CN112119651A - 接入技术不可知的服务网络认证 - Google Patents
接入技术不可知的服务网络认证 Download PDFInfo
- Publication number
- CN112119651A CN112119651A CN201980032158.8A CN201980032158A CN112119651A CN 112119651 A CN112119651 A CN 112119651A CN 201980032158 A CN201980032158 A CN 201980032158A CN 112119651 A CN112119651 A CN 112119651A
- Authority
- CN
- China
- Prior art keywords
- instance
- public key
- entity
- network
- serving network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/085—Secret sharing or secret splitting, e.g. threshold schemes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3239—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/50—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
- H04W12/108—Source integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
一种由UE进行服务网络认证和验证的实施例方法包括:使用与UE尝试接入的服务网络相关联的公钥的第一实例来加密与UE相关联的标识符;向上述服务网络发送上述标识符;从上述服务网络接收包含上述公钥的第二实例的认证向量,上述公钥的第二实例已使用由上述UE和与上述UE相关联的归属网络共享的密钥进行加密;使用由上述UE和上述归属网络共享的上述密钥来解密上述公钥的第二实例;将上述公钥的第一实例与上述公钥的第二实例进行比较;以及当第一实例和第二实例相同时,确定归属网络已经认证并验证了服务网络。
Description
相关申请的交叉引用
本申请要求于2018年5月22日提交的发明名称为“接入技术不可知的服务网络认证”、申请号为62/674,821的美国临时申请的优先权,该申请通过引用整体并入本文。
技术领域
本公开一般涉及用于无线通信的系统和方法,并且在特定实施例中涉及用于下一代服务网络的认证和验证。
背景技术
诸如用户设备(user equipment,UE)的移动电信设备的用户可以通过服务提供商订阅电信服务。提供商通过网络向用户提供服务,该网络称为用户的归属网络。有时,例如当用户位于归属网络无法直接使用的物理位置时,用户可以通过除了用户的归属网络之外的其他网络访问电信服务。这种网络称为服务网络。在现有的电信系统中,归属网络的提供商和服务网络的提供商可能具有允许用户经由服务网络访问网络服务的漫游协定。漫游协定通常指定服务网络应如何提供服务、服务如何计费、以及经由归属网络和服务网络的通信如何进行。
然而,下一代电信服务的用户可以动态地访问网络服务,并且可以以不可预测的方式使用服务网络。例如,机场或其他大型公共场所可以运营用户可以临时接入的服务网络。作为另一示例,大公司可以运营其自己的电信网络以供该公司的雇员使用,但是可以允许非雇员有偿接入该公司的网络。作为另一示例,企业可以在对其他网络的接入受限的位置创建服务网络,并且在用户访问该企业的网络时向这些用户收费。这种网络可能与UE用户的归属网络达成漫游协定,也可能未与该归属网络达成漫游协定。此外,这种服务网络可以使用不同的接入技术来访问其网络,例如长期演进、Wi-Fi、或WiMAX。
发明内容
根据本公开的实施例,一种由UE进行服务网络认证和验证的方法包括:使用与UE尝试接入的服务网络相关联的公钥的第一实例来加密与UE相关联的标识符;向上述服务网络发送上述标识符;响应于上述标识符的上述发送,从上述服务网络接收包含上述公钥的第二实例的认证向量,上述公钥的第二实例已使用由上述UE和与上述UE相关联的归属网络共享的密钥进行加密;使用由上述UE和上述归属网络共享的上述密钥来解密上述公钥的第二实例;将上述公钥的第一实例与上述公钥的第二实例进行比较;以及当上述公钥的第一实例和上述公钥的第二实例相同时,确定上述归属网络已经认证并验证了上述服务网络。
根据本公开的另一实施例,一种由服务网络进行服务网络认证和验证的方法包括:从UE接收与上述UE相关联的标识符,上述标识符已使用与上述服务网络相关联的公钥的第一实例进行加密;向与上述UE相关联的归属网络发送上述加密的标识符和与上述服务网络相关联的上述公钥的第一实例;响应于发送上述加密的标识符和上述公钥的第一实例,从上述归属网络接收包含上述公钥的第二实例的认证向量,上述公钥的第二实例已使用由上述UE和上述归属网络共享的密钥进行加密;从接收的认证向量中提取期望响应值;以及向UE发送其余的认证向量。
根据本公开的另一实施例,一种由归属网络进行服务网络认证和验证的方法包括:从服务网络接收与上述服务网络相关联的公钥的第一实例和与UE相关联的标识符,上述标识符已使用与上述服务网络相关联的私钥进行加密;使用上述公钥的第一实例作为数字标识符来获得与上述服务网络相关联的先前建立的认证和验证信息;当已经认证并验证了上述服务网络时,生成包含与上述公钥的第一实例结合的AUTN值的认证向量,上述公钥的第一实例已使用由上述UE和上述归属网络共享的密钥进行加密;以及向服务网络发送认证向量。
根据本公开的另一实施例,一种三方认证的方法包括:第一实体将与第一实体相关联的公钥的第一实例以及与第一实体相关联的系统时钟信息一起发送,上述系统时钟信息已使用与第一实体相关联的私钥进行加密;第二实体接收上述公钥的第一实例和上述系统时钟信息;第二实体通过使用上述公钥的第一实例解密上述系统时钟信息,来确定上述公钥的第一实例和上述私钥是合法密钥对;第二实体使用公钥的第一实例来加密与第二实体相关联的标识符;第二实体向第一实体发送上述标识符;第一实体解密上述标识符以确定上述标识符中标识与第二实体相关联的第三实体的信息;第一实体使用与第一实体相关联的上述私钥来加密上述标识符;第一实体向第三实体发送上述标识符和上述公钥的第一实例;第三实体使用上述公钥的第一实例作为数字标识符来获得与第一实体相关联的先前建立的认证和验证信息;第三实体在认证向量中向第一实体发送上述公钥的第二实例以及由第三实体发送的第一实体的认证和验证信息,上述公钥的第二实例是通过使用由第二实体和第三实体共享的密钥加密上述公钥的第一实例而创建的;第一实体从包含上述公钥的第二实例的上述认证向量中提取期望响应;第一实体将其余的认证向量、认证和验证信息、以及上述公钥的第二实例一起转发到第二实体;第二实体使用由第二实体和第三实体共享的上述密钥来解密上述公钥的第二实例;第二实体将上述公钥的第一实例与上述公钥的第二实例进行比较;以及当上述公钥的第一实例和上述公钥的第二实例相同时,确定第三实体已经认证并验证了第一实体。
附图说明
为了更完整地理解本公开及其优点,现在参考结合附图的以下描述,在附图中:
图1是示出服务网络认证和验证的实施例呼叫流程的图;
图2是示出由UE进行服务网络认证和验证的实施例方法的流程图;
图3是示出由服务网络进行服务网络认证和验证的实施例方法的流程图;
图4是示出由归属网络进行服务网络认证和验证的实施例方法的流程图;
图5是示出三方认证的实施例方法的流程图;
图6是示出用于执行本文所述的方法的实施例处理系统的框图;以及
图7是示出适于通过电信网络发送和接收信令的实施例收发器的框图。
具体实施方式
下面详细讨论当前优选实施例的结构、制造、以及使用。然而,应当理解,本公开提供了可以在各种特定环境中实施的许多适用的新颖概念。所讨论的特定实施例仅仅是对制造和使用实施例的特定方式的说明,而不限制本公开的范围。
本文公开的实施例提供了一种服务网络认证和验证机制。本公开使用认证与密钥协商(authentication and key agreement,AKA)过程来举例说明,但是也可以通过其他认证机制实现。实施例还可以通过任何类型的接入技术来实现,并且因此接入网的类型是不可知的。
在下一代网络服务中,服务网络可能与订户的归属网络达成服务协定,也可能未与该归属网络达成服务协定。为了使UE安全可靠地接入服务网络,服务网络认证和验证是重要的。当前,可能存在这样的情况,其中不在UE和服务网络之间进行认证,而仅在UE和UE的归属网络之间执行认证。例如,UE可能尝试接入与UE的归属网络不具有漫游协定的服务网络。可能优选的是,对这种服务网络进行认证和验证,以确保该服务网络是可信的。此外,由于服务网络可能是动态的并且众多的,因此当前没有合适的解决方案来为UE预先提供用于所有可能的未来服务网络的公钥。UE可能无法预知UE可能访问的所有可能的服务网络。即使UE知道UE可能访问的所有可能的服务网络,UE也可能没有足够的内存来存储用于所有期望的服务网络的大量公钥。认证和验证服务网络的完整解决方案还有待开发。
本公开的实施例提供了用于认证和验证可能与归属网络不具有预先存在的漫游关系的服务网络的方法。作为该认证的结果,可以将服务网络公钥提供给UE。此外,除了认证服务网络之外,还可以验证服务网络。也就是说,可以给出服务网络的评级或等级,以指示可以置于服务网络中的信任级别或服务网络提供的服务质量。通过这样的验证,终端用户可以避免使用已经认证但可能信任度低或提供的服务差的服务网络。
与在整个服务网络上执行的认证相反,实施例可以提供例如基于每接入点执行的认证的细粒度。可以用公钥基础设施(public key infrastructure,PKI)由于其复杂度和成本而不能匹配的细粒度对实体进行认证。例如,由于每个接入点具有该接入点自己的唯一标识符,因此每个接入点可以基于该接入点的标识符单独进行认证和验证。
实施例可以提供UE、服务网络、以及归属网络之间的三方认证,而不需要服务网络和归属网络之间预先存在漫游协定。
在实施例中,服务网络可经由区块链网络对服务收费,而不是通过充当归属网络与服务网络之间的中介的第三方清算所进行收费。另外,归属网络可以使用服务网络标识符经由区块链来认证和验证服务网络,上述服务网络标识符例如是公钥,或者例如是服务网络智能合约的公共地址。
实施例避免了可能存在于集中式认证机制中的单点故障,并且还避免了来自证书授权中心(certificate authority)和信任网(web of trust)的问题,例如需要可信第三方、有限可访问性。
图1是示出服务网络认证和验证的实施例呼叫流程100的图。在呼叫流程100中,在UE110、服务网络130、以及归属网络140之间发送消息。UE 110和服务网络130可以经由接入点120进行通信。或者,服务网络130可以是任何单独的接入点120。或者,接入点120和服务网络130可以视为单个实体。本文描述为由服务网络130或归属网络140采取的动作可以由服务网络130或归属网络140内的一个或多个部件采取。图1中的斜体文字指示与第三代(third generation,3G)或第四代(fourth generation,4G)认证机制不同的动作。
在事件162,服务网络130广播系统信息,该系统信息包括服务网络公钥(servingnetwork public key,SN PuKey)和使用服务网络私钥(serving network private key,SNPrKey)加密的服务网络系统时钟信息。或者,可以使用SN PrKey来加密其他服务网络系统信息。在事件164,UE 110接收广播,并且使用SN PuKey来验证系统时钟。也就是说,UE 110使用SN PuKey来解密系统时钟信息,并且由此确保SN PuKey和SN PrKey是合法的密钥对。仍然在事件164,UE 110保存SN PuKey以供之后在认证和验证过程中使用,并且供UE 110将来可能再次尝试接入服务网络130时可能的使用。当UE 110尝试附着到服务网络130时,在事件166,服务网络130向UE 110发送标识请求消息。在事件168,响应于标识请求消息,UE110在标识响应消息中向服务网络130发送其用户标识符(user identifier,ID)。在实施例中,UE已使用SN PuKey来加密标识响应消息中的用户ID。
可以注意到,如果在UE 110中已经提供有SN PuKey,则服务网络130已经认证。否则,服务网络130需要由归属网络140认证。
响应于从UE 110接收到标识响应消息,服务网络130使用SN PrKey来解密用户ID。服务网络130使用用户ID中的信息确定与UE 110相关联的归属网络140。然后,服务网络130使用SN PrKey来对用户ID进行加密,以确保当服务网络130将用户ID发送到归属网络140时,没有对用户ID的“中间人”拦截。在事件170,服务网络130将具有加密的用户ID和SNPuKey的认证请求消息发送到归属网络140以获得认证向量。
在事件172,归属网络140使用SN PuKey来解密用户ID,并且确定与用户ID相关联的UE 110是否可以合法接入服务网络130。然后,归属网络140使用SN PuKey认证并验证服务网络130。也就是说,归属网络140使用SN PuKey来获得先前建立的与服务网络130相关联的认证和验证信息。归属网络140然后使用该信息来确定服务网络130是否合法,并且还确定与服务网络130相关联的服务质量和/或信任级别的已知评级或等级。如果归属网络140确定服务网络130合法并且评级或等级高于阈值,则归属网络允许UE 110接入服务网络130。如果多于一个服务网络130可用于UE 110,则归属网络140可以向UE提供对评级或等级最高的服务网络130的接入。或者,归属网络140可允许UE 110的用户选择具有可接受的评级或等级的服务网络130。在实施例中,归属网络140使用SN PuKey作为服务网络地址或作为数字标识符经由区块链网络190来认证和验证服务网络130。
仍然在事件172,归属网络140生成认证向量(authentication vector,AV)。认证向量包含新的数字值,该新的数字值可以称为AUTN*并且可以从可以称为AUTN的现有数字值中导出。在实施例中,通过对AUTN和SN PuKey执行XOR运算来计算AUTN*,其中SN PuKey已由可以称为KEY的密钥加密,并且该密钥从归属网络140与UE 110共享的密钥中导出。即,AUTN*=AUTN(XOR)(PuKey)KEY。在其他实施例中,AUTN可以以其他方式与(PuKey)KEY组合。在另一实施例中,可以使用归属网络私钥来保护待由UE 110验证的SN PuKey,并且UE 110可使用归属网络公钥来解密归属网络私钥。这防止了对SN PuKey的“中间人”拦截,并且确保了SN PuKey在从归属网络140发送到UE 110时不变。在认证向量中,AUTN由AUTN*代替。
在事件174,归属网络140将包含AUTN*和SN PuKey的认证向量响应发送到服务网络130。在事件176,服务网络130提取并保留认证向量的期望响应(expected response,XRES)部分,并在认证请求消息中将认证向量的RAND和AUTN*部分转发给UE 110。
在事件178,UE 110导出由UE 110和归属网络140共享的KEY,并且使用共享的KEY或者在另一实施例中使用归属网络PrKey来计算AUTN=AUTN*(XOR)(PuKey)KEY。也就是说,可以执行由归属网络140执行的XOR运算的逆运算。UE 110使用由UE 110和归属网络140共享的KEY获得由归属网络140发送的SN PuKey,并且确保由归属网络140发送的SN PuKey的实例与在事件162由服务网络130广播的SN PuKey的实例相同。这样,UE 110确认广播SNPuKey的服务网络130已经由归属网络140认证并验证。
也就是说,当UE 110验证AUTN以认证归属网络140,并且验证在AUTN*中接收的SNPuKey与广播的SN PuKey相同时,UE由此确定归属网络140已经认证并验证了服务网络130,并且因此UE 110可以使用服务网络130可靠地访问网络服务。然后,UE 110保存SN PuKey,以供UE 110在将来尝试接入服务网络130时使用。
然后,在图1的其余部分中,UE 110和服务网络130遵循现有认证过程。在事件180,UE 110计算RES并将RES发送到服务网络130。在事件182,服务网络130通过确定RES=XRES来认证UE。在事件184,服务网络130向UE 110发送安全模式命令消息。在事件186,UE 110用安全模式完成消息来响应服务网络130。
当在UE与服务网络或接入点之间已经完成以上步骤时,服务网络或接入点对UE保持认证和验证,并且在UE与服务网络或接入点之间不需要再次执行这样的过程,直到基于策略或配置进行下一强制认证。
图2是示出由UE进行服务网络认证和验证的实施例方法200的流程图。在框201,使用与UE尝试接入的服务网络相关联的公钥的第一实例来加密与UE相关联的标识符。在框203,向服务网络发送标识符。在框205,响应于标识符的发送,从服务网络接收包含公钥的第二实例的认证向量,公钥的第二实例已使用由UE和与UE相关联的归属网络共享的密钥进行加密。在框207,使用由UE和归属网络共享的密钥来解密公钥的第二实例。在框209,将公钥的第一实例与公钥的第二实例进行比较。在框211,当公钥的第一实例和公钥的第二实例相同时,确定归属网络已经认证并验证了服务网络。
图3是示出由服务网络进行服务网络认证和验证的实施例方法300的流程图。在框301,从UE接收与UE相关联的标识符,该标识符已使用与服务网络相关联的公钥的第一实例进行加密。在框303,向与UE相关联的归属网络发送加密的标识符和公钥的第一实例。在框305,响应于发送加密的标识符和公钥的第一实例,从归属网络接收包含公钥的第二实例的认证向量,公钥的第二实例已使用由UE和归属网络共享的密钥进行加密。在框307,从认证向量中提取期望响应值。在框309,向UE发送其余的认证向量。
图4是示出由归属网络进行服务网络认证和验证的实施例方法400的流程图。在框401,从服务网络接收与服务网络相关联的公钥的第一实例和与UE相关联的标识符,该标识符已使用与服务网络相关联的私钥进行加密。在框403,使用公钥的第一实例作为数字标识符来获得与服务网络相关联的先前建立的认证和验证信息。在框405,将认证和验证信息以及与服务网络相关联的公钥的第二实例一起发送到服务网络,公钥的第二实例已使用由归属网络和UE共享的密钥进行加密。
图5是示出三方认证的实施例方法500的流程图。在框501,第一实体将与第一实体相关联的公钥的第一实例以及与第一实体相关联的系统时钟信息一起发送,该系统时钟信息已使用与第一实体相关联的私钥进行加密。在框503,第二实体接收公钥的第一实例和系统时钟信息。在框505,第二实体通过使用公钥的第一实例解密系统时钟信息,来确定公钥的第一实例和私钥是合法密钥对。在框507,第二实体使用公钥的第一实例来加密与第二实体相关联的标识符。在框509,第二实体向第一实体发送加密的标识符。在框511,第一实体解密该标识符以确定该标识符中标识与第二实体相关联的第三实体的信息。在框513,第一实体使用与第一实体相关联的私钥来加密标识符。在框515,第一实体向第三实体发送加密的标识符和公钥的第一实例。在框517,第三实体使用公钥的第一实例作为数字标识符来获得与第一实体相关联的先前建立的认证和验证信息。在框519,第三实体在认证向量中向第一实体发送公钥的第二实例以及由第三实体发送的第一实体的认证和验证信息,该公钥的第二实例是通过使用由第二实体和第三实体共享的密钥加密公钥的第一实例而创建的。在框521,第一实体从包含公钥的第二实例的认证向量中提取期望响应。在框523,第一实体将其余的认证向量、认证和验证信息、以及公钥的第二实例一起转发到第二实体。在框525,第二实体使用由第二实体和第三实体共享的密钥来解密公钥的第二实例。在框527,第二实体将公钥的第一实例与公钥的第二实例进行比较。在框529,当公钥的第一实例和公钥的第二实例相同时,第二实体确定第三实体已经认证并验证了第一实体。
图6是示出用于执行本文所述的方法的实施例处理系统600的框图,该系统可以安装在主机设备中。如图所示,处理系统600包括处理器604、存储器606、以及接口610-614,该系统可以(或可以不)如图所示布置。处理器604可以是适于执行计算和/或其他处理相关任务的任何部件或部件集合,并且存储器606可以是适于存储由处理器604执行的程序和/或指令的任何部件或部件集合。在实施例中,存储器606包括非暂时性计算机可读介质。接口610、612、614可以是允许处理系统600与其他设备/部件和/或用户通信的任何部件或部件集合。例如,接口610、612、614中的一个或多个可以适于将数据、控制、或管理消息从处理器604传输到安装在主机设备和/或远程设备上的应用。作为另一示例,接口610、612、614中的一个或多个可以适于允许用户或用户设备(例如个人计算机(personal computer,PC)等)与处理系统600交互/通信。处理系统600可以包括图中未示出的附加部件,例如长期存储器(例如非易失性存储器等)。
在一些实施例中,处理系统600包括在正在接入电信网络或作为电信网络的一部分的网络设备中。在一个示例中,处理系统600在无线或有线电信网络中的网络侧设备中,例如基站、中继站、调度器、控制器、网关、路由器、应用服务器、或电信网络中的任何其他设备。在其他实施例中,处理系统600在接入无线或有线电信网络的用户侧设备中,例如移动台、用户设备(UE)、个人计算机(PC)、平板电脑、可穿戴通信设备(例如,智能手表等)、或适于接入电信网络的任何其他设备。
在一些实施例中,接口610、612、614中的一个或多个将处理系统600连接到适于通过电信网络发送和接收信令的收发器。图7是示出适于通过电信网络发送和接收信令的收发器700的框图。收发器700可以安装在主机设备中。如图所示,收发器700包括网络侧接口702、耦合器704、发射器706、接收器708、信号处理器710、以及设备侧接口712。网络侧接口702可以包括适于通过无线或有线电信网络发送或接收信令的任何部件或部件集合。耦合器704可以包括适于促进网络侧接口702上的双向通信的任何部件或部件集合。发射器706可以包括适于将基带信号转换成适于通过网络侧接口702传输的调制载波信号的任何部件或部件集合(例如,上变频器、功率放大器等)。接收器708可以包括适于将通过网络侧接口702接收的载波信号转换成基带信号的任何部件或部件集合(例如,下变频器、低噪声放大器等)。信号处理器710可以包括适于将基带信号转换成适于通过设备侧接口712进行通信的数据信号或进行相反转换的任何部件或部件集合。设备侧接口712可以包括适于在信号处理器710和主机设备内的部件(例如,处理系统600、局域网(local area network,LAN)端口等)之间传输数据信号的任何部件或部件集合。
收发器700可以通过任何类型的通信介质发送和接收信令。在一些实施例中,收发器700通过无线介质发送和接收信令。例如,收发器700可以是适于根据无线电信协议进行通信的无线收发器,上述无线电信协议例如是蜂窝协议(例如,长期演进(long-termevolution,LTE)等)、无线局域网(wireless local area network,WLAN)协议(例如,Wi-Fi等)、或任何其他类型的无线协议(例如,蓝牙、近场通信(near field communication,NFC)等)。在这样的实施例中,网络侧接口702包括一个或多个天线/辐射元件。例如,网络侧接口702可以包括用于多层通信(例如,单输入多输出(single input multiple output,SIMO)、多输入单输出(multiple input single output,MISO)、多输入多输出(multiple inputmultiple output,MIMO)等)的多天线阵列、多个单独的天线、或单个天线。在其他实施例中,收发器700通过有线介质(例如双绞线、同轴电缆、光纤等)发送和接收信令。特定的处理系统和/或收发器可使用所有示出的部件,或仅使用这些部件的子集,并且集成程度因设备而异。
应当理解,本文提供的实施例方法的一个或多个步骤可以由相应的单元或模块来执行。例如,信号可以由发射单元或发射模块发送。信号可以由接收单元或接收模块接收。信号可以由处理单元或处理模块处理。相应的单元/模块可以是硬件、软件、或硬件和软件的组合。例如,一个或多个单元/模块可以是集成电路,例如现场可编程门阵列(fieldprogrammable gate array,FPGA)或专用集成电路(application-specific integratedcircuit,ASIC)。
尽管已经参考说明性实施例描述了本公开,但是该描述不应解释为限制性的。参考本说明书,说明性实施例的各种修改和组合以及本公开的其他实施例对于本领域技术人员将是显而易见的。因此,所附权利要求书旨在涵盖任何这样的修改或实施例。
Claims (20)
1.一种由用户设备(UE)进行服务网络认证和验证的方法,所述方法包括:
使用与所述UE尝试接入的服务网络相关联的公钥的第一实例来加密与所述UE相关联的标识符;
向所述服务网络发送所述标识符;
响应于发送所述标识符,从所述服务网络接收包含所述公钥的第二实例的认证向量,所述公钥的所述第二实例已使用由所述UE和与所述UE相关联的归属网络共享的密钥进行加密;
使用由所述UE和所述归属网络共享的所述密钥来加密所述公钥的所述第二实例;
将所述公钥的所述第一实例与所述公钥的所述第二实例进行比较;以及
当所述公钥的所述第一实例和所述公钥的所述第二实例相同时,确定所述归属网络已经认证并验证了所述服务网络。
2.根据权利要求1所述的方法,其中,所述UE从所述服务网络接收所述公钥的所述第一实例以及使用与所述服务网络相关联的私钥加密的服务网络系统时钟信息。
3.根据权利要求2所述的方法,其中,所述UE通过使用所述公钥的所述第一实例解密所述系统时钟信息,来确定所述公钥的所述第一实例和所述私钥是合法密钥对。
4.根据权利要求1-3中任一项所述的方法,其中,所述UE通过对在所述认证向量中接收到的数字值和所述公钥的所述第二实例执行XOR运算来解密所述公钥的所述第二实例。
5.根据权利要求1-4中任一项所述的方法,其中,所述认证向量包含与所述服务网络相关联的验证信息,所述验证信息提供所述服务网络的质量评级。
6.根据权利要求1-5中任一项所述的方法,其中,所述UE保存所述公钥的实例以及经由所述认证向量获得的认证和验证信息,以供所述UE在将来尝试接入所述服务网络时使用。
7.一种由服务网络进行服务网络认证和验证的方法,所述方法包括:
从用户设备(UE)接收与所述UE相关联的标识符,所述标识符已使用与所述服务网络相关联的公钥的第一实例进行加密;
向与所述UE相关联的归属网络发送所述标识符和所述公钥的所述第一实例;
响应于发送所述标识符和所述公钥的所述第一实例,从所述归属网络接收包含所述公钥的第二实例的认证向量,所述公钥的所述第二实例已使用由所述UE和所述归属网络共享的密钥进行加密;
从所述认证向量中提取期望响应值;以及
向所述UE发送其余的所述认证向量。
8.根据权利要求7所述的方法,其中,所述服务网络使用与所述服务网络相关联的私钥来解密所述标识符,并且根据解密的所述标识符中的信息来确定所述归属网络。
9.根据权利要求8所述的方法,其中,所述服务网络在将所述标识符发送到所述归属网络之前使用所述私钥来加密所述标识符。
10.根据权利要求7-9中任一项所述的方法,其中,在接收所述标识符之前,所述服务网络广播所述公钥的所述第一实例和使用与所述服务网络相关联的私钥加密的服务网络系统时钟信息。
11.根据权利要求7-10中任一项所述的方法,其中,所述认证向量包含与所述服务网络相关联的验证信息,所述验证信息提供所述服务网络的质量评级。
12.一种由归属网络进行服务网络认证和验证的方法,所述方法包括:
从服务网络接收与所述服务网络相关联的公钥的第一实例和与用户设备(UE)相关联的标识符,所述标识符已使用与所述服务网络相关联的私钥进行加密;
使用所述公钥的所述第一实例作为数字标识符来获得与所述服务网络相关联的先前建立的认证和验证信息;以及
将所述认证和验证信息以及与所述服务网络相关联的所述公钥的第二实例一起发送到所述服务网络,所述公钥的所述第二实例已使用由所述归属网络和所述UE共享的密钥进行加密。
13.根据权利要求12所述的方法,其中,所述归属网络经由区块链网络获得所述先前建立的认证和验证信息。
14.根据权利要求12-13中任一项所述的方法,其中,所述归属网络使用所述公钥的所述第一实例来解密所述标识符,并且使用解密的所述标识符来确定是否认证并验证了所述服务网络,以及是否允许所述UE接入所述服务网络。
15.根据权利要求12-14中任一项所述的方法,其中,所述归属网络通过使用由所述归属网络和所述UE共享的所述密钥加密所述公钥的所述第一实例,来创建所述公钥的所述第二实例。
16.根据权利要求15所述的方法,其中,所述归属网络通过对存储的数字值执行XOR运算来加密所述公钥的所述第二实例。
17.根据权利要求12-16中任一项所述的方法,其中,所述验证信息提供所述服务网络的质量评级。
18.一种三方认证的方法,包括:
第一实体将与所述第一实体相关联的公钥的第一实例以及与所述第一实体相关联的系统时钟信息一起发送,所述系统时钟信息已使用与所述第一实体相关联的私钥进行加密;
第二实体接收所述公钥的所述第一实例和所述系统时钟信息;
所述第二实体通过使用所述公钥的所述第一实例解密所述系统时钟信息,来确定所述公钥的所述第一实例和所述私钥是合法密钥对;
所述第二实体使用所述公钥的所述第一实例来加密与所述第二实体相关联的标识符;
所述第二实体向所述第一实体发送由所述公钥的所述第一实例加密的所述标识符;
所述第一实体解密所述标识符以确定所述标识符中标识与所述第二实体相关联的第三实体的信息;
所述第一实体使用与所述第一实体相关联的所述私钥来加密所述标识符;
所述第一实体向所述第三实体发送所述标识符和所述公钥的所述第一实例;
所述第三实体使用所述公钥的所述第一实例作为数字标识符来获得与所述第一实体相关联的先前建立的认证和验证信息;
所述第三实体在认证向量中向所述第一实体发送所述公钥的第二实例以及由所述第三实体发送的所述第一实体的所述认证和验证信息,所述公钥的所述第二实例是通过使用由所述第二实体和所述第三实体共享的密钥加密所述公钥的所述第一实例而创建的;
所述第一实体从包含所述公钥的所述第二实例的所述认证向量中提取期望响应;
所述第一实体将其余的所述认证向量、认证和验证信息、以及所述公钥的所述第二实例一起转发到所述第二实体;
所述第二实体使用由所述第二实体和所述第三实体共享的所述密钥来解密所述公钥的所述第二实例;
所述第二实体将所述公钥的所述第一实例与所述公钥的所述第二实例进行比较;以及
当所述公钥的所述第一实例和所述公钥的所述第二实例相同时,确定所述第三实体已经认证并验证了所述第一实体。
19.根据权利要求18所述的方法,其中,所述验证信息提供所述第二实体的质量评级。
20.根据权利要求18所述的方法,其中,所述第三实体经由区块链网络获得所述先前建立的认证和验证信息。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201862674821P | 2018-05-22 | 2018-05-22 | |
US62/674,821 | 2018-05-22 | ||
PCT/US2019/033387 WO2019226696A1 (en) | 2018-05-22 | 2019-05-21 | Access technology agnostic serving network authentication |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112119651A true CN112119651A (zh) | 2020-12-22 |
CN112119651B CN112119651B (zh) | 2022-05-17 |
Family
ID=68617038
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201980032158.8A Active CN112119651B (zh) | 2018-05-22 | 2019-05-21 | 接入技术不可知的服务网络认证方法和装置 |
Country Status (4)
Country | Link |
---|---|
US (1) | US11552791B2 (zh) |
EP (1) | EP3788810A4 (zh) |
CN (1) | CN112119651B (zh) |
WO (1) | WO2019226696A1 (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113438650A (zh) * | 2021-06-10 | 2021-09-24 | 湖南天河国云科技有限公司 | 基于区块链的网络设备认证方法及系统 |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11110272B2 (en) | 2011-12-08 | 2021-09-07 | Pilogics L.P. | Apparatus for stimulating hair growth and/or preventing hair loss |
JP7059282B6 (ja) * | 2017-01-05 | 2022-06-03 | コーニンクレッカ フィリップス エヌ ヴェ | ネットワークデバイス及び信頼できるサードパーティデバイス |
US11265702B1 (en) * | 2019-09-24 | 2022-03-01 | Sprint Communications Company L.P. | Securing private wireless gateways |
US11166147B2 (en) * | 2020-03-04 | 2021-11-02 | Cisco Technology, Inc. | Roaming among different types of networks |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20140003605A1 (en) * | 2012-07-02 | 2014-01-02 | Intel Mobile Communications GmbH | Circuit arrangement and a method for roaming between a visited network and a mobile station |
CN106717044A (zh) * | 2014-09-26 | 2017-05-24 | 高通股份有限公司 | 服务网络认证 |
US20180013568A1 (en) * | 2016-03-10 | 2018-01-11 | Futurewei Technologies, Inc. | Authentication Mechanism for 5G Technologies |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
GB2366938B (en) * | 2000-08-03 | 2004-09-01 | Orange Personal Comm Serv Ltd | Authentication in a mobile communications network |
DE60219431T2 (de) * | 2001-02-06 | 2007-12-13 | Certicom Corp., Mississauga | Mobile zertifikatverteilung in einer infrastruktur mit öffentlichem schlüssel |
US8699709B2 (en) * | 2011-07-08 | 2014-04-15 | Motorola Solutions, Inc. | Methods for obtaining authentication credentials for attaching a wireless device to a foreign 3GPP wireless domain |
US9264900B2 (en) * | 2014-03-18 | 2016-02-16 | Huawei Technologies Co., Ltd. | Fast authentication for inter-domain handovers |
US10382206B2 (en) * | 2016-03-10 | 2019-08-13 | Futurewei Technologies, Inc. | Authentication mechanism for 5G technologies |
KR101780636B1 (ko) * | 2016-05-16 | 2017-09-21 | 주식회사 코인플러그 | 인증 정보의 발급 방법 및 이를 지원하는 블록체인기반 인증 정보 관리 서버 |
EP3465978B1 (en) * | 2016-05-30 | 2021-07-07 | Telecom Italia S.p.A. | Protection of privacy in wireless telecommunication networks |
US10492056B2 (en) * | 2017-06-15 | 2019-11-26 | T-Mobile Usa, Inc. | Enhanced mobile subscriber privacy in telecommunications networks |
-
2019
- 2019-05-21 EP EP19806856.1A patent/EP3788810A4/en active Pending
- 2019-05-21 CN CN201980032158.8A patent/CN112119651B/zh active Active
- 2019-05-21 WO PCT/US2019/033387 patent/WO2019226696A1/en unknown
-
2020
- 2020-10-23 US US17/079,228 patent/US11552791B2/en active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20140003605A1 (en) * | 2012-07-02 | 2014-01-02 | Intel Mobile Communications GmbH | Circuit arrangement and a method for roaming between a visited network and a mobile station |
CN106717044A (zh) * | 2014-09-26 | 2017-05-24 | 高通股份有限公司 | 服务网络认证 |
US20180013568A1 (en) * | 2016-03-10 | 2018-01-11 | Futurewei Technologies, Inc. | Authentication Mechanism for 5G Technologies |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113438650A (zh) * | 2021-06-10 | 2021-09-24 | 湖南天河国云科技有限公司 | 基于区块链的网络设备认证方法及系统 |
CN113438650B (zh) * | 2021-06-10 | 2024-05-03 | 湖南天河国云科技有限公司 | 基于区块链的网络设备认证方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
WO2019226696A1 (en) | 2019-11-28 |
EP3788810A4 (en) | 2021-06-02 |
US20210044427A1 (en) | 2021-02-11 |
CN112119651B (zh) | 2022-05-17 |
US11552791B2 (en) | 2023-01-10 |
EP3788810A1 (en) | 2021-03-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112119651B (zh) | 接入技术不可知的服务网络认证方法和装置 | |
US11272365B2 (en) | Network authentication method, and related device and system | |
CN109644134B (zh) | 用于大型物联网组认证的系统和方法 | |
CN108781366B (zh) | 用于5g技术的认证机制 | |
US20220385445A1 (en) | EMBEDDED UNIVERSAL INTEGRATED CIRCUIT CARD (eUICC) PROFILE CONTENT MANAGEMENT | |
US10567165B2 (en) | Secure key transmission protocol without certificates or pre-shared symmetrical keys | |
US7734280B2 (en) | Method and apparatus for authentication of mobile devices | |
US8838972B2 (en) | Exchange of key material | |
CN101765057B (zh) | 一种向WiFi访问终端提供组播业务的方法、设备及系统 | |
CN103596173A (zh) | 无线网络认证方法、客户端及服务端无线网络认证装置 | |
US20080170699A1 (en) | Method and device for managing a wireless resource | |
EP2979418B1 (en) | Method to establish a secure voice communication using generic bootstrapping architecture | |
US20240080316A1 (en) | Methods and apparatus for provisioning, authentication, authorization, and user equipment (ue) key generation and distribution in an on-demand network | |
CN112566119A (zh) | 终端认证方法、装置、计算机设备及存储介质 | |
JP6621416B2 (ja) | 2つのセキュリティモジュールの間に安全な通信チャネルを生成する方法及びシステム | |
CN113302895B (zh) | 用于认证无线通信设备群组的方法和装置 | |
CN107925874B (zh) | 超密集网络安全架构和方法 | |
WO2023221502A1 (zh) | 数据传输方法和系统及信令安全管理网关 | |
CN117203935A (zh) | 用于在按需网络中进行设置、认证、授权和用户设备(ue)密钥生成和分发的方法和装置 | |
JP2024522056A (ja) | オンデマンドネットワークにおけるプロビジョニング、認証、認可、ならびにユーザ機器(ue)鍵生成および配布のための方法および装置 | |
CN116349266A (zh) | 用于跨网络的关键控制消息传递的方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |