CN112640385B - 用于在si系统中使用的非si设备和si设备以及相应的方法 - Google Patents
用于在si系统中使用的非si设备和si设备以及相应的方法 Download PDFInfo
- Publication number
- CN112640385B CN112640385B CN201980056557.8A CN201980056557A CN112640385B CN 112640385 B CN112640385 B CN 112640385B CN 201980056557 A CN201980056557 A CN 201980056557A CN 112640385 B CN112640385 B CN 112640385B
- Authority
- CN
- China
- Prior art keywords
- core network
- public key
- channel
- communication channel
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 59
- 238000004891 communication Methods 0.000 claims abstract description 207
- 238000004590 computer program Methods 0.000 claims description 21
- 238000011156 evaluation Methods 0.000 claims description 6
- 230000000007 visual effect Effects 0.000 claims description 6
- 230000001413 cellular effect Effects 0.000 description 14
- GVVPGTZRZFNKDS-JXMROGBWSA-N geranyl diphosphate Chemical compound CC(C)=CCC\C(C)=C\CO[P@](O)(=O)OP(O)(O)=O GVVPGTZRZFNKDS-JXMROGBWSA-N 0.000 description 11
- 230000007246 mechanism Effects 0.000 description 7
- 238000013475 authorization Methods 0.000 description 6
- 238000012795 verification Methods 0.000 description 6
- 230000005540 biological transmission Effects 0.000 description 5
- 238000012545 processing Methods 0.000 description 4
- 230000010354 integration Effects 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 238000012790 confirmation Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000005259 measurement Methods 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 238000003860 storage Methods 0.000 description 2
- 230000001052 transient effect Effects 0.000 description 2
- 230000008901 benefit Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000001934 delay Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000005415 magnetization Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 238000003825 pressing Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000005236 sound signal Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/18—Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
- H04L9/3066—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
- H04L9/3073—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves involving pairings, e.g. identity based encryption [IBE], bilinear mappings or bilinear pairings, e.g. Weil or Tate pairing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0433—Key management protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/40—Security arrangements using identity modules
- H04W12/43—Security arrangements using identity modules using shared identity modules, e.g. SIM sharing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/50—Secure pairing of devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/72—Subscriber identity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/80—Services using short range communication, e.g. near-field communication [NFC], radio-frequency identification [RFID] or low energy communication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Pure & Applied Mathematics (AREA)
- Mathematical Optimization (AREA)
- Mathematical Analysis (AREA)
- General Physics & Mathematics (AREA)
- Algebra (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
一种非SI设备(120)被布置用于进行无线通信(130)并且与有权访问订户身份的SI设备(110)进行协作。非SI设备具有用于在本地网络中进行通信的收发机(121)以及用于建立与SI的关联的处理器(122)。经由第一通信信道来向SI设备提供非SI公钥。经由第二通信信道来与SI设备共享验证码。这些信道是不同的并且包括带外信道(140)。经由第一通信信道或第二通信信道来向SI设备提供拥有非SI私钥的证明。从SI设备接收与SI有关并且使用非SI公钥而计算的安全数据。安全数据可靠地使得非SI设备能够经由本地网络以及在本地网络与核心网络之间的网关来接入核心网络。
Description
技术领域
本发明涉及被布置用于根据本地通信协议在本地网络中进行无线通信的非订户身份(非SI)设备。本发明进一步涉及供在SI系统中使用的订户身份SI设备和方法。
本发明涉及将本地无线通信设备整合到至少地区性区域移动通信系统(进一步被称为核心网络,例如3G、LTE、4G或5G网络)中的领域。对核心网络的接入是由所谓的提供商来管理的,这些提供商使用被称为订户身份SI的订户数据集合来为订户的移动设备提供对核心网络的接入。SI包括针对提供商的相应订户的用于接入核心网络的订户身份数据。
通常,这样的本地无线通信设备被配备用于根据本地通信协议(例如,Wi-Fi)进行无线通信,并且不具有用于与核心网络进行无线通信的收发机单元。例如,在所谓的物联网中,各种类型的本地无线通信设备可以是可经由Wi-Fi连接到互联网的,例如,所谓的无头设备不具有用户接口,或者所谓的UI设备具有像触摸屏、显示器和/或按钮的用户接口。因此,至少在最初,此类设备不具有接入核心网络所需要的任何订户身份数据或凭证。这种本地无线通信设备在本文档中被称为非SI设备。
目前,在被称为3GPP的现有核心网络的新世代和扩展的各方之间讨论将非SI设备整合到核心网络中。第三代合作伙伴计划(3GPP)是电信标准协会(被称为组织合作伙伴)之间的协作。3GPP提出了若干机制,以允许移动设备(在3GPP术语中被称为UE或用户设备)使用非3GPP接入网络(例如,Wi-Fi)来接入核心蜂窝网络,例如以用于将蜂窝业务卸载在其它接入网络上。在以下3GPP规范中特别规定了对4G核心网络(被称为演进分组核心或EPC)的非3GPP接入:[TS 23.402](最新版本15.3.0)、[TS 24.302](最新版本15.3.0)和[TS33.402}(最新版本15.1.0)。在以下3GPP规范中特别规定了对5G核心网络的非3GPP接入:[TS 23.501](最新版本15.2.0)第4.2.8节、[TS 23.502](最新版本15.2.0)第4.12节和[TS24.502](最新版本15.0.0)。目前,这项工作关注的是支持在住宅网关(RG)之后的非3GPP设备,但是考虑到5G蜂窝运营商将Wi-Fi作为其5G网络产品的一部分并入并且使用其服务(例如,基于Wi-Fi的计费语音、实时视频服务等),这可能扩展到对非3GPP设备的更一般的支持。
通常,像智能手机的移动设备被配备有用于与核心网络进行通信的专用收发机,并且还被提供有订户身份SI。SI表示订户的身份和接入核心网络所需要的另外数据,而对核心网络的使用是由提供商(例如,经由所谓的语音和数据捆绑)向相应订户计费的。例如,SI可以包括诸如IMSI(国际移动订户身份)的订户身份码。通常通过将被称为SIM的物理半导体模块插入到移动设备中来向此类设备提供SI。SIM卡是被嵌入到塑料卡中的集成电路,其旨在安全地存储国际移动订户身份码(IMSI)号码以及其相关密钥,所述密钥用于识别和认证移动电话设备(例如,移动电话和计算机)上的订户。各种类型的模块或卡是已知的,例如USIM,其指代通用订户身份模块并且工作在UMTS通用移动通信系统(其是3G核心网络标准)上。相关的物理卡也被称为UICC(通用集成电路卡),并且USIM是运行在UICC之上的应用。另一类型的SIM被称为e-SIM或eSIM(嵌入式SIM)或嵌入式通用集成电路卡(eUICC)。其是被直接焊接在电路板上的不可更换的嵌入式芯片。目前,在本文档中,被配备用于与核心网络进行无线通信并且经由SIM卡或以其它方式而被提供有原始SI的任何类型的设备被称为SIM设备。
此外,SI数据也可以是在诸如核心网络的提供商的管理系统之类的其它位置处(例如,在管理订户身份数据的服务器上的订户数据库中)可得到的,而订户凭证可以使用授权服务器(通常被称为证书颁发机构(CA))来认证和授权。例如,订户还可以通过使用诸如用户名和密码之类的用户凭证或使用两步认证经由互联网来登录到应用服务器(AS)上的用户帐户,从而访问SI数据。AS可以耦合到订户数据库和CA,或者可以包括订户数据库和CA。
在本文档中,所谓的SI设备是有权访问SI的本地设备,其包括SI或耦合到核心网络的至少一个提供商服务器,所述服务器被布置为管理SI数据。SI设备被布置为与非SI设备进行通信并且有权访问CA。SI设备的第一示例是SIM设备,其被布置用于经由核心网络来与存储订户数据库和CA的一个或多个服务器进行通信,同时也被布置为与非SI设备进行通信。SI设备的另外示例是用于与非SI设备进行通信的用户接口(UI)设备,该UI设备还被布置为经由核心网络来访问服务器上的SI数据和CA,并且其中,订制所有者必须登录以获得对SI数据的访问。另一示例是被布置为经由本地网络来与非SI设备进行通信的UI设备,同时UI设备还被布置为经由到互联网的连接来访问服务器上的SI数据和CA。SI系统可以包括耦合到用于在本地网络中进行无线通信的本地接入点的基于服务器的管理系统,并且还包括适当地耦合到核心网络的相应数据服务器的以上定义的SIM设备或UI设备。
背景技术
允许非3GPP设备连接到4G/5G核心网络的可能系统和方法是通过使用如在Hotspot 2.0技术规范[HOTSPOT]中定义的Hotspot 2.0(也被称为Wi-Fi认证控制点),Hotspot 2.0允许运营商为设备配备例如X.509证书。然而,许多设备可能不是受运营商控制的,而且不清楚可以如何允许人们家里的其它基础的仅Wi-Fi设备接入4G/5G核心网络。
文档US9648019B2描述了针对非SIM设备的Wi-Fi整合。所提议的系统允许非3GPP设备连接到4G/5G核心网络。应用服务器(AS)可以用于使得非订户身份模块(非SIM)设备能够经由第二网络(例如,Wi-Fi)接入第一网络(例如,移动或3GPP网络),其中,非SIM设备与SIM设备相关联,并且其中,AS从SIM设备接收关于SIM设备以及其相关联的非SIM卡设备的信息。在SIM设备与非SIM设备之间的关联是由AS基于从SIM设备接收的信息来创建的。在非SIM设备与SIM设备之间的关联被存储在订户数据库中。
随后,为了经由第二网络来接入第一网络,基于来自非SIM设备的对于对第一网络的授权的请求,系统获得与非SIM设备相关联的身份,并且将对于与非SIM设备的用户相关联的用户简档的请求发送到订户数据库,该请求包括所获得的用于非SIM设备的身份。然后,系统从订户数据库接收所请求的针对非SIM设备的用户简档,所请求的用于非SIM设备的用户简档与SIM设备相关联。基于所接收的用户简档,系统授权非SIM设备经由第二网络来接入第一网络。因此,在非SIM设备与SIM设备之间的关联已经建立并且存储在订户数据库中之后,非SIM设备可以在其想要接入第一网络时获得对接入第一网络的授权。
在US9648019B2中,图1b的描述可以对应于3GPP的文档[TS 23.402](尤其是对于根据图4.2.2-1和图4.2.2-2的非漫游情况),并且例如在[TS 23.402]的条款7的图4.2.3-1到[TS 23.402]的图4.2.3-5中关于在这些图中所示的节点和链路以及如何使用这些节点和链路的描述示出了漫游情况。非SIM设备可以通过节点“可信非3GPP IP接入”或节点“不可信非3GPP IP接入”来接入第一网络。
发明内容
在US9648019B2中,没有解释SIM设备如何可靠地获得非SIM设备的身份,或者SIM设备可以如何以获得的身份来获得信任。缺少信任可能产生使攻击者通过使用(滥用)SIM设备来获得他们的设备对移动或3GPP网络的接入的方式。此外,在非SIM设备和SIM设备之间的关联已经建立之后,非SIM设备可以独立于SIM设备来操作。由于非SIM设备可能更容易被入侵,因此使得非SIM设备能够连接到核心蜂窝网络的凭证可能被窃取,之后黑客可能使用该信息来获得对核心网络的接入并且向SIM设备的用户的签署收费。
本发明的目的是提供一种用于为非SI设备可靠地建立到核心网络的无线接入的系统。
为此目的,提供了如在所附的权利要求中限定的设备和方法。根据本发明的一个方面,提供了如在权利要求1中限定的非SI设备。根据本发明的另外方面,提供了如在权利要求9中限定的SI设备。根据本发明的另外方面,提供了如在权利要求14和15中限定的方法。根据本发明的另外方面,提供了可从网络下载和/或被存储在计算机可读介质和/或微处理器可执行介质上的计算机程序产品,该产品包括用于在计算机上被执行时实现以上方法的程序代码指令。
以上非SI设备被布置用于根据本地通信协议在本地网络中进行无线通信。本地通信协议定义协议消息和在有限区域之内的无线收发。订户身份(SI)包括订户的用于接入核心网络的订户身份数据,核心网络为在至少地区性区域之内的移动设备提供无线通信。非SI设备不包括SI并且被布置用于与有权访问SI的SI设备进行协作。所述非SI设备包括:收发机,其被布置用于根据本地通信协议进行本地收发;以及处理器,其被布置为执行关联序列以建立与SI的关联。关联序列包括:存储与非SI公钥构成一对的非SI私钥;经由第一通信信道来向SI设备提供非SI公钥;以及经由第二通信信道来与SI设备共享验证码,以用于验证SI设备已经获得非SI公钥。第一通信信道和第二通信信道是不同的,并且包括带外OOB信道作为一个信道。关联序列还包括:经由第一通信信道或第二通信信道来向SI设备提供拥有非SI私钥的证明,以及随后从SI设备接收安全数据。
所述安全数据包括与SI相关的数据(通常被称为凭证)。安全数据是代表提供商使用非SI公钥而生成的。在该背景下,安全数据构成关于安全数据的所有者基于与SI相关的凭证而有权使用核心网络的验证后的证明。
例如,安全数据可以包括在由CA生成的非SI公钥的至少部分上的传统签名,并且包括与SI相关的凭证,凭证可以是至少部分地使用非SI公钥来加密的。例如,凭证可以是用户名/密码组合或仅仅是密码,而至少密码是被加密的并且用户名可以保持未被加密。非SI设备可以验证安全数据,例如通过验证签名源自于CA或者通过使用非SI私钥来解密经加密的凭证。
凭证可以是先前经由应用服务器、CA和/或订户数据库而生成的,并且可以被存储在例如订户数据库中。为了构成安全数据,凭证可以由CA检索,并且在它们被发送给SI设备之前至少部分地利用非SI公钥来加密。凭证使得非SI设备能够经由本地网络以及在本地网络和核心网络之间的网关来接入核心网络。经加密的凭证构成安全数据并且提供安全性,因为非SI设备是知道非SI私钥的唯一设备。因此,非SI设备是可以使用安全数据以及对凭证进行解密来接入核心网络的唯一设备。此外,利用非SI公钥来加密至少一些凭证并不排除使用另外密钥来加密凭证。
在验证安全数据之后,凭证在解密经加密的部分之后使得非SI设备能够经由本地网络以及在本地网络和核心网络之间的网关来接入核心网络。
以上关联序列也可以在用于在非SI设备使用的方法中实现,例如用软件在所谓的应用中实现。
以上SI设备被布置用于与以上非SI设备进行无线通信。SI设备有权访问订户身份数据,例如,因为该设备包含或者可以耦合到SIM,或者被布置为经由网络来访问包含SI的服务器。SI设备包括:收发机,其被布置用于与非SI设备进行无线通信;以及处理器,其被布置为执行关联序列以建立与SI的关联。SI设备中的关联序列包括:经由所述第一通信信道从所述非SI设备获得非SI公钥;并且经由所述第二通信信道与入非SI设备共享验证码。SI设备中的关联序列进一步包括:经由第一通信信道或第二通信信道从非SI设备接收拥有与非SI公钥构成一对的非SI私钥的证明。在对所接收的证明的成功评估时,关联序列通过以下操作继续进行:获得以上安全数据,并且向非SI设备发送所述安全数据。该关联序列还可以在用于在SI设备中使用的方法中实现。
以上特征具有以下效果。在非SI设备中,非SI私钥必须在基于成对的非SI公钥执行关联序列期间可供使用。因此,处理器可以访问其中已经存储密钥的存储器,或者可以首先生成或以其它方式获得密钥对,而随后存储非SI私钥以供在关联序列期间使用。
经由第一通信信道将非SI公钥传输给SI设备,而经由第二不同的通信信道来与SI设备共享验证码以用于验证SI设备已经获得非SI公钥。因此,非SI设备被布置为建立到SI设备的所述第一和第二通信信道,这些信道包括一个OOB信道并且二者是独立地建立的。在该背景下,通信信道是经由物理机制的数据链路,例如,无线电传输、或者被显示和扫描的可视信息、或者由用户读取和比较的码、或者由用户读取和手动输入的码、或者在两个设备中手动输入的码。每个信道在该信道的端点(在这种情况下,是非SI设备和SI系统)之间传输数据。例如,一个信道可以是通过在非SI设备和SI设备之间交换协议消息而经由本地通信网络创建的无线信道。另一示例是不使用本地通信网络、而是使用诸如蓝牙或单独的Wi-Fi网络之类的某种其它无线通信协议的无线信道。另一信道是相对于使用某个频带进行无线电传输的所述一个无线信道而言的带外(OOB)信道。因此,OOB信道在使用与所述一个无线信道不同的物理机制,例如,由用户可视或手动输入数据。经由具有有限范围的物理机制来创建这些信道中的至少一者,以便使得用户能够验证旨在整合的非SI设备在距构成相应信道的物理端点的SI设备的该有限范围内。稍后提供各种示例。
应用两个不同的通信信道(其中一个信道是OOB信道)具有可靠地确保非SI设备在有限范围内(即,在第一和第二通信信道的通信范围内)的优势。使用OOB信道有利地避免恶意中间方检测到所有无线通信并且操纵该通信以获得或改变接入权限和/或用户数据业务(所谓的中间人攻击)。此外,OOB信道可能需要涉及非SI设备的用户交互,这有利地向用户提供关于预期的非SI设备实际上正在耦合到用户的订户身份(SI)(例如,用于使用订户信用或语音/数据捆绑)的确认。
验证码使得非SI设备能够验证SI设备已经如预期地获得非SI公钥。有效地,验证码表示关于发送者根据预定义的协议实际耦合到预期的非SI设备或与其进行通信的证明。存在用于经由根据这样的协议操作的通信信道来共享这样的码的许多变型。在该背景下使用的“共享”一词涵盖在非SI设备和SI设备之间的通信信道上传输验证码的任何方式。例如,非SI公钥是在作为OOB信道的无线信道(例如在该背景下,蓝牙或NFC是OOB,因为其使用与另一通信信道不同的传输频带)上发送的。在第二无线信道上(例如,经由Wi-Fi)将验证码发送回去。替代地,可以经由无线信道来传输非SI公钥,并且经由涉及用户的OOB信道传输由非SI设备生成的验证码。例如,将验证码例如经由显示器或音频信号传送给用户,而用户必须例如经由键盘向SI设备输入相同的码。或者,反之亦然,可以在SI设备处显示要在非SI设备处输入的码。此外,验证码可以由非SI设备和SI设备两者处显示,而必须在一侧或两侧输入确认(例如,通过按下按钮或点击图标)。此外,验证码可以是用户知道或必须生成的码,该码随后必须在两侧输入。
验证码可以是由SI设备获得的非SI公钥的哈希结果。验证码也可以是或包括非SI公钥本身。其也可以是由这些设备中的一者或用户生成的任何数字码、密码或密码短语。第一示例定义了关于发送者已经根据协议获得正确的非SI公钥的证明。例如,非SI公钥可以由SI设备通过扫描QR码来获得。这种扫描构成OOB信道(在这种情况下是单向通信信道),并且SI设备通过Wi-Fi(另一通信信道)将非SI公钥本身和/或其哈希结果作为验证码发送给非SI设备。因此,非SI设备知道通过Wi-Fi与其进行通信的设备刚刚扫描了其非SI公钥。替代地,可以经由Wi-Fi传输非SI公钥,同时使用OOB信道(例如,通过手动输入验证码)将该码从SI设备传输回非SI设备,这经由该单向通信信道向非SI设备提供相同的保证。
例如经由本地通信网络、第一或第二通信信道或另外的网络将拥有非SI私钥的证明传送给SI设备。一方拥有私钥的证明可以通过利用该私钥加密该方的数据来完成。另一方可以通过利用相应的公钥来解密经加密的数据并且检查结果是否与所提供的数据相同来检查结果。另一方也可以利用必须证明拥有私钥的设备的公钥来加密某些内容,发送经加密的结果,并且请求该设备通过对其进行解密和返回结果来证明拥有私钥。当设备通过交换一个或多个公钥来建立安全信道(如在例如SSL、TLS和DPP认证协议中所进行的)时,也完成了拥有私钥的证明。这样,非SI设备和SI设备可以基于非SI公钥来在诸如Wi-Fi、蓝牙或本地网络等的网络上建立安全信道。对拥有的证明向SI设备可靠地保证非SI设备实际上是非SI密钥对的所有者。
安全数据表示使用核心网络和向核心网络的提供商标识用户所需要的凭证的至少部分。在根据3GPP而管理的核心网络中,凭证可以被称为3GPP凭证。安全数据是代表提供商来发出的(例如,在提供商服务器或应用服务器上生成),并且包括使用非SI公钥来加密的与SI相关的至少一些凭证。任选地,证书颁发机构(CA)可以生成表示其授权的签名,在该背景下授权使用核心网络的权利,同时关联到对于核心网络的已知的订户的SI。例如,安全数据可以包括由CA在非SI公钥的至少部分上和/或在经加密和非加密的凭证的部分上生成的签名。安全数据可以包含另外的核心网络数据,例如,核心身份码、像IMEI(国际移动设备身份)的设备码、或者像IMSI(国际移动订户身份)的订户身份码。此外,安全数据可以包含其它信息,例如,订户名称、公钥和相关联的私钥的所有者、他的地址等。可以使用已经经由本地网络建立的安全信道来将安全数据传输给非SI设备。
当接收到安全数据时,非SI设备可以检查安全数据。例如,其可以使用CA的公共验证密钥,同时使用安全数据中的非SI公钥的至少一部分和/或其本身的非SI公钥副本,来检查安全数据中的签名。凭证或另外的核心网络数据可以至少部分地被加密(例如,使用非SI公钥),而非SI设备可以通过解密同时使用非SI私钥来验证安全数据。
在对任何经加密的部分解密之后,安全数据使得非SI设备能够经由本地网络以及在本地网络和核心网络之间的网关来接入核心网络。在实践中,非SI设备可以使用在不同位置上的各种网关来通过核心网络进行通信。网关根据核心通信协议来将本地网络侧(例如,Wi-Fi)的协议和消息转换为核心网络侧的对应消息。
当设备使用安全数据来被授权接入时,核心网络可以尝试在各个方面对该设备进行认证。例如,核心网络可以检查安全数据的签名以查看其是否被正确地签名,并且通过检查安全数据是否是由CA签名的。此外,核心网络可以要求设备证明其拥有与非SI公钥相对应的非SI私钥。如果签名是正确的,或者在接收到并成功地验证所述证明时,核心网将使用由非SI设备提供的身份数据(例如,非SI公钥或另外的核心网络数据的部分)来在订户数据库中进行搜索,以查看该身份是否具有接入网络的权利。例如,当对于SI而言已经支付了订制时,由于非SI设备和SI之间的关联,非SI设备对核心网络的使用可以向订户计费。定义非SI设备与订户之间的链路的关联数据被存储在核心网络的数据库中。
当设备使用凭证(例如,用户名/密码组合或身份和秘密密钥)而被授权接入时,核心网络通过检查所提供的用户名/密码组合是否为网络所知并且正确来尝试对设备进行认证。为此目的,密码可以以明文形式被发送给网络,但是在利用像网络提供的随机数的其它信息进行哈希运算之前在串接的密码上的哈希结果也可以被发送给网络。在凭证包括身份和秘密密钥的情况下,网络请求设备提供其身份并且利用该秘密密钥执行计算,并且将结果发送给网络,然后网络可以检查该结果的正确性。如果认证被成功执行,则核心网络将使用由非SI设备提供的用户名或身份数据来在订户数据库中进行搜索,以查看该身份是否具有接入网络的权利。
在一个实施例中,关联序列包括:通过以下操作来提供安全信道作为第一通信信道和第二通信信道中的另一信道:
与充当服务器的非SI设备一起参与安全套接层(SSL[RFC 6101])协议或传输层安全(TLS[RFC 5246])协议,其中,非SI设备在自签名证书中提供非SI公钥,并且将该证书用作服务器证书消息中的服务器证书;或者
如同非SI设备充当客户端来参与SSL或TLS协议,其中,非SI设备在客户端认证握手中在自签名证书中提供非SI公钥;或者
参与通过其中使用非SI公钥或非SI私钥的公钥加密中建立的互联网协议安全(IPsec[RFC 4301])隧道;或者
参与设备配置协议(DPP[DPP])认证协议,其中,非SI设备提供非SI公钥或另外的非SI公钥作为DPP引导密钥或DPP协议密钥。有效地,安全信道是在非SI设备和SI设备之间提供的,而在两个设备之间的另一信道是OOB信道。有利地,不同的独立信道向用户提供关于非SI设备是旨在进行关联的设备的安全性。通过以上述方式或者使用其它协议来建立安全信道,非SI设备还向SI设备证明了对非SI私钥的拥有。
在一个实施例中,所述接收安全数据包括经由安全信道来接收安全数据。有利地,包括任何凭证的安全数据可以可控制地且安全地被递送给作为旨在进行关联的设备的非SI设备。
在一个实施例中,OOB信道是经由以下组中的一项来提供的:
短程无线电通信协议,像NFC或蓝牙,
在非SI设备侧使用像条形码或QR码的可视码并且在SI设备侧使用扫描器或相机的可视信道,
用户信道,其中,码在SI设备侧被显示并且将在非SI系统侧被输入,
用户信道,其中,码在非SI设备侧被显示并且将在SI系统侧被输入,或者将在SI设备侧与另外的码进行比较,以及
用户信道,其中,码将被输入到非SI设备中,并且相关的码将被输入到SI设备中。用于OOB信道的各种选项有效地不同于并且独立于经由本地网络的以上安全信道。
在一个实施例中,安全数据包括与SI相关的凭证,凭证的至少部分是使用非SI公钥来加密的。
在一个实施例中,非SI公钥包括分别与第一非SI私钥和第二非SI私钥相对应的第一非SI公钥和第二非SI公钥,
第一非SI公钥首先经由OOB信道被提供给SI设备的,并且第二非SI公钥随后用于所述生成安全数据。有利地,第二非SI公钥对于用作安全数据中的身份和/或加密密钥而言是唯一的,而第一非SI公钥可以自由地分发或者可以是固定的,因为其被印刷在例如设备的壳体或手册上。
在一个实施例中,非SI设备中的处理器还被布置用于:
从SI设备接收心跳消息,所述SI设备在从核心网络接收到心跳消息时传输心跳消息;并且经由网关来将所述心跳消息传输给所述核心网络;或者
经由网关从所述核心网络接收心跳消息,并且将所述心跳消息传输给SI设备,SI设备将所述心跳消息传输给所述核心网络;
以用于在预定间隔期间没有从非SI设备接收到心跳消息时使得核心网络能够禁用非SI设备对核心网络的接入。有利地,所述心跳消息提供关于SI设备同意非SI设备使用SI的证明。
在一个实施例中,非SI设备中的处理器还被布置为管理多个用户帐户,并且被布置为:
选择性地针对相应的用户帐户,执行关联序列以建立安全数据的多个相应实例,并且
选择性地针对相应的用户帐户,基于安全数据的相应实例来使得非SI设备能够接入核心网络。有利地,可以针对相应的用户账户提供多个关联。
根据本发明的方法可以作为计算机实现的方法在计算机上实现,或者在专用硬件中实现,或者在两者的组合中实现。用于根据本发明的方法的可执行代码可以被存储在计算机程序产品上。计算机程序产品的示例包括诸如记忆棒的存储器设备、诸如光盘的光存储设备、集成电路、服务器、在线软件等。
非瞬态形式的计算机程序产品可以包括被存储在计算机可读介质上的非瞬态程序代码模块,其用于在计算机上执行所述程序产品时执行根据本发明的方法。在一个实施例中,计算机程序包括:当计算机程序在计算机上运行时适于执行根据本发明的方法的所有步骤或阶段的计算机程序代码模块。优选地,计算机程序被体现在计算机可读介质上。还提供了一种瞬态形式的计算机程序产品,其可从网络下载和/或被存储在易失性计算机可读存储器和/或微处理器可执行介质中,该产品包括用于在计算机上被执行时实现上述方法的程序代码指令。
本发明的另一方面提供了一种使计算机程序以瞬态形式可供下载的方法。当计算机程序被上传到例如Apple的应用商店、Google的游戏商店或Microsoft的Windows商店中时,以及当计算机程序可供从此类商店下载时,使用该方面。
在所附的权利要求中给出了根据本发明的设备和方法的另外优选实施例,权利要求的公开内容通过引用的方式被并入本文中。
附图说明
本发明的这些和其它方面将从在以下描述中以举例的方式并且参照附图所描述的实施例而变得显而易见,并且参照这些实施例得以进一步阐明,在附图中:
图1示出了用于无线通信和建立OOB通信信道的非SI设备和SI设备,
图2示出了用于无线通信的非SI设备和SI设备,
图3示出了用于无线通信的非SI设备和UI设备,
图4示出了用于无线通信的非SI设备和UI设备的另外示例,
图5示出了用于在被布置用于与SI设备进行无线通信的非SI设备中使用的方法,
图6示出了用于在被布置用于与非SI设备进行无线通信的SI设备中使用的方法,
图7a示出了计算机可读介质,并且
图7b示出了处理器系统的示意性表示。
这些图纯粹是图解性的,而不是按比例绘制的。在附图中,与已经描述的元素相对应的元素可以具有相同的附图标记。
具体实施方式
图1示出了用于无线通信以及建立OOB通信信道的非SI设备和SI设备。在通信系统100中,非订户身份(非SI)设备120被布置用于根据本地通信协议在本地网络中进行无线通信。本地通信协议(例如,Wi-Fi)定义协议消息和在有限区域之内的无线收发,该区域被限制为Wi-Fi收发机的无线电传输范围。
在这样的通信系统(另外被称为SI系统)中,订户身份(SI)包括要接入核心网络的订户的订户身份数据,核心网络为在至少地区性区域之内的移动设备提供无线通信。如在概述中阐明的,核心网络可以是3G、LTE、4G或5G蜂窝核心网络,其具有如3GPP提议的扩展以允许非SI设备使用诸如Wi-Fi之类的本地网络来接入核心蜂窝网络(例如,被称为演进分组核心或EPC的4G核心网络)。
图1示意性地示出了用于在非SI设备120和SI设备110之间提供通信信道的无线通信130。这样的SI系统具有用于在有限区域之内进行无线通信的至少一个本地通信网络和用于在至少地区性区域之内的移动设备进行无线通信的至少一个核心网络。核心网络由例如用于管理订户数据库和开具费用清单的至少一个提供商管理。SI系统可以包括以下元素的任何组合:
-至少一个订户身份模块(SIM),其包括订户身份数据;或者
-至少一个SIM设备,其包括SIM和被布置用于与核心网络进行通信的收发机;
-应用服务器(AS),其被布置用于在提供商侧实现关联序列;或者
-订户数据库,其用于在提供商侧存储关于使用核心网络的订户数据;
或者
-证书颁发机构(CA),其被布置用于授权订户凭证;或者
-用户服务器,其被布置用于基于用户凭证,经由互联网等来访问和提
供订户身份数据和订户凭证。
非SI设备120最初不具有SI,并且被布置用于与有权访问SI的SI设备110进行协作。所述非SI设备具有:被布置用于根据本地通信协议进行本地收发的收发机121;以及被布置用于执行关联序列以建立与SI的关联的处理器122。
处理器122被布置为例如经由本地网络来向SI设备提供无线信道。然而,无线信道也可以经由不同的通信系统(例如,另外的Wi-Fi链路或蓝牙系统)来提供。
处理器122被布置为提供到SI设备的带外(OOB)信道140作为另外的通信信道,如虚线箭头所指示的。如在概述中阐明的,相对于使用某个频带进行无线电传输的以上无线信道而言,OOB信道是带外的。因此,OOB信道在使用与所述一个无线信道不同的物理机制,例如,由用户以可视方式或手动地输入数据。经由物理机制来创建具有有限范围的这些信道中的至少一者,以便使用户能够验证旨在进行关联的非SI设备在距构成相应信道的物理端点的SI设备的该有限范围内。
SI设备110被布置用于与以上非SI设备进行无线通信。所述SI设备具有:被布置用于与非SI设备进行无线通信的收发机111;以及被布置为执行关联序列以建立与SI的关联的处理器112。SI设备可以被设置有订户身份模块(SIM)116。SI设备还可以被设置有用户接口113,其例如包括显示器和一个或多个用户输入元件115。例如,用户输入元件可以包括触摸屏、各种按钮、鼠标或触摸板等中的一者或多者。按钮可以是传统的物理按钮、触摸传感器或虚拟按钮(例如,在触摸屏上或要经由鼠标激活的图标)。用户接口也可以是远程用户接口。
处理器112被布置为例如经由本地网络来向非SI设备提供无线信道。然而,无线信道也可以是经由不同的通信系统来提供的,例如,另外的Wi-Fi链路或蓝牙系统。处理器被布置为向SI设备提供带外(OOB)信道140作为另外的通信信道,如虚线箭头所指示的。因此,第一和第二通信是不同的,并且包括OOB信道作为一个信道。所述非SI设备包括例如被存储在存储器中的非SI私钥。所述非SI私钥与非SI公钥构成密钥对。
在所述非SI设备中,关联序列包括:经由第一通信信道来向SI设备提供非SI公钥。接下来,经由第二通信信道来与SI设备共享验证码。然后,经由第一或第二通信信道来向SI设备提供拥有非SI私钥的证明。接下来,从SI设备接收涉及SI的安全数据。如上所述,安全数据包括凭证,并且可以具有如由证书颁发机构使用非SI公钥生成的某种签名。在解密任何经加密的部分之后,凭证使得非SI设备能够经由本地网络以及在本地网络和核心网络之间的网关(如图2所示)来接入核心网络。
在SI设备中,处理器112被布置为执行关联序列,其包括经由第一通信信道来从非SI设备接收非SI公钥。接下来,经由第二通信信道来与非SI设备共享验证码。然后,经由第一或第二通信信道,从非SI设备接收拥有非SI私钥的证明,非SI私钥与非SI公钥构成一对。在成功地评估所接收的证明时,获得涉及SI的安全数据,如上所述。最后,将安全数据发送给非SI设备。
关于对公钥和私钥的使用(例如,使用OOB信道),注意以下内容。当两个无线设备需要保护它们的通信时,它们通常对它们的通信进行加密。然而,这要求两个无线设备知道相同的密钥。
Diffie-Hellman(参见参考文档[DH])是用于在双方之间建立安全密钥的公知技术,其中,在各方之间用于建立安全密钥的通信不向第三方透露关于所建立的安全密钥的任何信息。双方各自使用它们自己的公钥/私钥对,并且与彼此交换公钥。每一方能够使用其自己的私钥和另一方的公钥以及可能的一些其它信息(例如,来自每一方的随机数(随机数字))来计算安全密钥。每当每一方执行Diffie-Hellman或其重用旧密钥对时,其都可以重新生成密钥对。
Wi-Fi联盟的设备配置协议(DPP)(参见参考文档[DPP])使用Diffie-Hellman来在两个设备(想要被配置的DPP加入者、以及能够配置DPP加入者的DPP配置者)之间建立安全密钥,因此这些设备可以获得对启用DPP的网络的接入(另外参见参考文档[802.11])。
当在网络上执行Diffie-Hellman时,接收用于执行Diffie-Hellman的公钥的设备不知道该公钥来自哪个设备。这在所谓的中间人攻击中可能被攻击者所利用。攻击者E可能伪装成设备A想要与其进行连接的真实设备B。攻击者E执行与设备A的Diffie-Hellman,并且与设备A建立安全密钥。类似地,对于设备B而言,攻击者伪装成设备A,并且与设备B建立密钥。当消息来自设备A或设备B之一时,攻击者利用一个密钥来对该消息进行解密,利用另一密钥对其进行加密并且将其转发给另一设备。这样,设备A和B在它们的通信中不会注意到任何异常,除了一些额外延迟之外。当它们通过使用另一种通信方式发送相同的信息并且对结果进行比较来检查它们的通信时,它们将不会注意到对它们通信的任何篡改。但是攻击者已经完全了解它们传送的内容。
为了防止中间人攻击,提议使用额外的短程通信协议(带外(OOB)信道)来交换公钥或验证码(例如,公钥的哈希结果)。例如,设备的用户知道以OOB接收的公钥是来自短程通信协议的操作范围内的设备。在公钥的哈希结果是以OOB来交换的情况下,设备可以检查经由第一通信信道(例如,Wi-Fi)接收的需要被加密的公钥是否导致与以OBB接收的哈希结果相同的哈希结果。要注意的是,在本文档中对术语通信协议的使用包括ISO-OSI模型的多个层,包括用于收发的物理层。
在[DPP]中,描述了若干种OOB方法,其中一种是近场通信(NFC)。NFC是在相对短的距离(比如10-20厘米)内进行无线通信的一种技术。例如,NFC可以用作用于交换公钥的OOB通信。当使用NFC时,用户知道通过NFC接收的公钥来自距其设备10-20cm内的设备(因此来自他与其执行NFC“触摸”的设备)。当在对等模式下使用NFC时,另一设备还可以确保其从用户的设备接收到公钥。
图2示出了用于经由核心网络进行无线通信的非SI设备和SI设备。在通信系统200中,非SI设备220被布置用于根据本地通信协议(例如,Wi-Fi)在本地网络236中进行无线通信。
在通信系统中,核心网络CORE_N 230为在至少地区性区域之内的移动或固定设备提供无线通信232、233。如在概述中阐明的,核心网络可以是3GPP演进分组核心或EPC。通信系统还可以包括在本地网络236和核心网络之间的网关GW 234。此外,核心网络可以耦合到应用服务器AS 252、订户数据库Sub_DB 250和证书颁发机构CA 254。SI数据可以是在诸如核心网络的提供商的管理系统的位置处(例如,在管理订户身份数据的服务器上的订户数据库250中)可得到的。可以使用授权服务器或证书颁发机构254来认证和授权订户凭证。例如,订户还可以通过使用诸如用户名和密码之类的用户凭证或使用两步授权,经由互联网来登录到应用服务器252上的用户帐户,从而访问SI数据。AS可以耦合到或者可以包括订户数据库和CA。AS可以控制将非SI设备关联到SI的过程。
SI设备可以是SIM设备,其被布置用于经由核心网络来与存储订户数据库和CA的一个或多个服务器进行通信233,同时还被布置为经由无线信道242来与非SI设备(具体地,安全信道)进行通信。
在一个实施例中,关联序列包括:通过与充当服务器的非SI设备一起参与安全套接层(SSL[RFC 6101])协议或传输层安全(TLS[RFC 5246])协议来提供安全信道作为第一和第二通信信道中的另一信道,其中,非SI设备在自签名证书中提供非SI公钥,并且将该证书用作服务器证书消息中的服务器证书。替代地,可以通过如果非SI设备充当客户端而参与SSL或TLS协议来提供安全信道,其中,非SI设备在客户端认证握手中在自签名证书中提供非SI公钥。替代地,可以通过参与其中使用非SI公钥或非SI私钥的公钥加密而建立的互联网协议安全(IPsec[RFC 4301])隧道来提供安全信道。替代地,可以通过参与设备配置协议(DPP[DPP])认证协议来提供安全信道,其中,非SI设备将非SI公钥或另外的非SI公钥作为DPP引导密钥或作为DPP协议密钥来提供。任选地,在关联序列中,在提供以上安全信道之一之后,还经由安全信道传输安全数据。
当仅使用以上SSL、TLS或IPsec时,SI设备在证明拥有私钥时不能证明其正在与非SI设备进行通信。通过以带外(OOB)方式获得非SI设备的引导密钥,当非SI设备证明拥有相应的私钥时(尤其当紧接在使用OOB通信之前已经生成引导密钥对并且将短程通信技术用于OOB通信时),SI设备证明其正在与非SI设备进行通信。非SI设备的引导密钥可以用作以上第一公钥,或者另一公钥(协议密钥)可以用作第一公钥。DPP规范提供了设备可以如何在无线网络上传输协议密钥以及该设备如何证明拥有与协议密钥相对应的私钥的示例。
同样,在非SI和SI设备参与SSL或TTL或IPsec协议会话之前,可以在它们之间使用OOB信道,其中,第一公钥、包含第一公钥的证书或公钥或证书的哈希结果是以OOB被传送给SI设备的。SI设备必须检查其以OOB获得的关于第一公钥的信息是否与其通过安全信道从非SI设备获得的第一公钥相对应。作为一个选项,SI设备还可以使其用于建立安全信道的公钥、包含其公钥的证书或其公钥或证书的哈希结果通过OOB协议而可用于非SI设备。诸如NFC、QR码显示和扫描、蓝牙等的短程通信协议是合适的OOB协议。涉及用户的OOB方法的示例是:非SI设备显示其公钥或证书的(缩短的)哈希结果,用户必须将其与在第三网络上接收并且由SI设备显示的公钥或证书的(缩短的)哈希结果进行比较。
涉及用户的OOB方法的另一示例是:在两个设备参与SSL或TTL或IPsec协议会话之前,用户在它们中输入数字码(例如,PIN码)、密码或密码短语,并且这些设备必须检查是否使用了相同的验证。涉及用户的OOB方法的另一示例是:在两个设备参与DPP认证协议会话之前,用户在它们中输入数字码(例如,PIN码)、密码或密码短语作为PKEX(公钥交换)“码”,其中,PKEX用于引导DPP认证协议的安全性(参见用于PKEX和PKEX“码”的[DPP](第5.6节)以及DPP认证协议(第6.2节))。
此外,作为短程OOB安全信道,如果SI设备和非SI设备两者都安全地连接到同一Wi-Fi接入点或住宅网关,则Wi-Fi基础设施连接可以用作非SI设备通过其证明拥有私钥的OOB信道。
在另一实施例中,SI设备可以是Wi-Fi接入点和住宅网关(例如,[TR 23.716]中的5G-RG,其连接到5G核心网络并且支持5G网络协议),其被配备有SIM并且能够在OOB信道上与非SI设备进行通信,非SI设备在该OOB信道上提供稍后在Diffie-Hellman交换中用于在非SI和SI设备之间建立安全信道的身份。该身份或在建立安全信道时使用的另一公钥或证书然后可以用作非SI设备的身份以用于将非SI设备关联到核心蜂窝网络。此外,该身份或证书的某个部分然后可以用作公钥来对与SI相关联的另外凭证进行加密,所述另外凭证随后可以由非SI设备用来变得被授权接入核心网络。可以通过例如智能电话上的远程UI来操作SI设备。安全信道可以是上述四个选项中的任何一者或任何其它安全信道。
在另一实施例中,对于5G-RG来说,SI设备是充当DPP配置者的移动设备(参见[DPP]),由此SI设备具有用户接口,以使得用户选择其是否想要将非SI设备与SI设备或5G-RG或两者进行关联。该设备可以示出订户数据库的与SI设备和5G-RG设备相关的关于用户简档的信息、或者与不同选项相关的定价/计费信息。在非SI设备将与SI设备进行关联以接入核心网络的情况下,非SI设备的DPP协议密钥或DPP引导密钥可以用作非SI设备的身份。
在以上选项中,可以请求SI设备的用户/所有者接受非SI设备与SI设备的关联,因为这可能涉及用户/所有者的额外成本。
在实践中,关联序列可以涉及以下内容。在SI设备已经成功获得非SI设备的身份的证明之后,SI设备使用第一公钥或由非SI设备生成的包含第一公钥的证书作为非SI设备的身份,并且例如通过可以是启用5G的或者可以未启用5G的3GPP核心网络(直接地或通过Wi-Fi接入点/住宅网关)将其发送给AS服务器。AS服务器使用第一公钥作为非SI设备的身份来创建用于非SI设备的用户简档以及在SI设备的SI和非SI设备(其用户简档)之间的关联。AS将非SI设备的该用户简档发送到存储该用户简档的订户数据库。AS可以使用第一公钥从证书颁发机构或证书颁发机构服务器(CA)请求安全数据,并且可以将安全数据发送给SI设备,SI设备随后将该安全数据发送给非SI设备(优选地,在诸如SSL、TLS连接、IPsec隧道之类的安全信道上或使用在DPP认证期间建立的对称密钥(例如,作为在DPP配置对象或者甚至在DPP连接器中的DPP配置协议消息的一部分))。除了第一公钥之外,对于CA的针对安全数据的请求可以包括要被包括的其它信息,例如,关于用户简档的信息、将由非SI设备使用的IMEI(如果有的话)、将由SI设备使用的IMSI(如果有的话)等。在US9648019B2中提供了AS、CA和Sub_DB服务器的概念以及这样的服务器可以如何辅助在SIM设备和非SIM设备之间创建关联的另外示例,而现在使用非SI公钥作为身份以及使用在SIM设备和非SIM设备之间的安全信道。AS还可以从CA、提供商服务器或订户数据库请求凭证,这些凭证使得非SI设备能够变得被授权接入核心网络。这些凭证由提供商存储(例如,存储在订户数据库中)。AS利用第一公钥对凭证的至少部分进行加密,并且将包括经加密的凭证的安全数据发送给SI设备,SI设备将安全数据转发给非SI设备以进行如上所述的处理。
图3示出了用于经由核心网络进行无线通信的非SI设备和UI设备。在通信系统300中,非SI设备320被布置用于例如经由Wi-Fi来与UI设备310进行无线通信。通信系统300的各种元件对应于参照图2描述的通信系统200中的类似元件。这样的元件具有相同的附图标记并且不再进行描述。UI设备310具有用户接口和收发机,以经由核心网络进行通信以用于访问SI。随之,UI设备被布置用于连接到AS 252并且从订户数据库Sub-DB 250获得SI以及例如从CA 254获得安全数据。
在一个实施例中,用于接入3GPP核心网络的凭证可以被链接到个人;场景可以如下。(U-)SIM卡的所有者在其提供商的网站上也具有帐户。当在其提供商的网站上登录时,使用具有3GPP连接和3GPP收发机的任何UI设备,用户能够请求基于个人的凭证。登录到提供商的网站可能需要任何认证过程,例如用户名/密码、证书等。UI设备可能必须提供要用于生成安全数据的公钥。其也可以是由网站递送包括相应私钥的凭证。该网站可以将凭证和可能的对应私钥存储在UI设备中的适当位置处,并且在此之后,UI设备可以使用该证书,通过连接到3GPP网络的AP或住宅网关在3GPP网络上获得认证。(U-)SIM卡的所有者将为非SI设备的3GPP使用而付费。在该证书中,UI设备还可以请求和接收利用公钥而加密的凭证,如前面所解释的。
上文可以在具有UI或可以运行此类应用的设备中实现。对于作为非SI设备320的无头设备(即不具有用户接口的设备),提出以下内容以安装3GPP凭证。当UI设备具有以上SI设备的角色时,步骤的系列将如针对图2所描述,但是其中UI设备获得安全数据,如上针对UI设备所描述的。UI设备可以是使用SIM连接到3GPP网络和应用服务器的SIM设备。
图4示出了用于经由核心网络进行无线通信的非SI设备和UI设备的进一步示例。在通信系统400中,非SI设备420被布置用于例如经由Wi-Fi来与UI设备410进行无线通信。通信系统400的各种元件对应于参照图2描述的通信系统200中的类似元件。这样的元件具有相同的附图标记并且不再进行描述。UI设备410具有用户接口,并且被布置用于经由互联网IN 433进行通信。例如,UI设备410可以经由互联网连接到应用服务器AS 252以获得安全数据,类似于如上关于图3描述的经由到核心网络的连接来获得安全数据。
在一个实施例中,提供商可以提供用户可以在没有3GPP收发机的设备上下载和运行的应用。用户必须在该应用中输入其用户名和密码,并且然后应用通过不涉及3GPP蜂窝网络的互联网连接来请求安全数据。然后,应用可以使用安全数据,通过连接到3GPP网络的AP或住宅网关使得非SI设备在3GPP网络上被认证。在实践中,UI设备可以是具有互联网连接的设备(例如,通过陆线),其中,建立到应用服务器的可信信道(其中,用户必须提供其用户名和密码或证书等)。
在一个实施例中,非SI设备是无头设备,其以机器可读码(例如,QR码或条形码)的形式在标签上或在其手册中示出其公共引导密钥。具有足够好的显示器的无头设备可以在其显示器上示出新生成的公共引导密钥。接下来,UI设备扫描无头设备的公共引导密钥。接下来,UI设备通过Wi-Fi来发送无头设备信息,无头设备可以利用Wi-Fi而知道UI设备已经读取其公共引导密钥(例如,通过发送公钥的哈希结果)。
随后,为了建立安全信道,UI设备通过Wi-Fi来与无头设备执行Diffie-Hellman交换(其中,其预期无头设备使用其已经扫描的公钥引导密钥),并且以这种方式建立与无头设备的安全连接。可选地,无头设备创建第二非SI公钥/私钥对,将第二非SI公钥发送给UI设备并且证明拥有私钥。该步骤可以与安全信道的建立整合。
接下来,UI设备使用公共引导密钥或第二非SI公钥作为公钥,以在蜂窝网络提供商处请求安全数据。该通信可以在与蜂窝网络提供商的服务器的另外安全信道上完成,该安全信道是使用用户的凭证(例如,用户名和密码)来建立的,以用于在蜂窝网络提供商处获得对用户帐户的访问。
UI设备现在从蜂窝网络提供商接收包括凭证的安全数据,并且使用所述安全信道将安全数据传输给非SI设备。非SI设备现在可以使用第二网络(236),以针对3GPP网络(232、230)而被认证并且使用3GPP网络。
作为以上基于非SI公钥的安全数据的替代,UI设备可以接收基于提供商生成的公钥以及伴随的提供商生成的私钥的替代安全数据,并且将二者传输给非SI设备。非SI设备现在可以使用基于提供商生成的公钥和提供商生成的私钥的替代安全数据来使用3GPP网络。
在一个实施例中,运营商或用户可能希望限制非SI设备正在与SI进行关联时可以在其中操作以便获得对核心网络的接入的区域,例如以用于额外的安全。提供了各种选项以确定非SI设备是否在预期操作范围内,例如通过确保两个设备保持彼此接近。
在一个实施例中,核心网络在第一网络上向SI设备发送心跳消息(例如,寻呼消息)。心跳信息可能具有随机分量,使得它们难以被非SI设备预测。SI设备被布置为例如使用为非SI设备和SI设备之间的关联过程而建立的安全信道来将心跳消息转发给非SI设备。然后,非SI设备经由第二网络将所接收的心跳转发给核心网络。当核心网络在一段时间内没有接收到正确的心跳信号时,核心网络禁用非SI设备对核心网络的接入。在核心网络再次接收到正确的心跳信号之后,其可以再次启用接入。
任选地,SI设备还可以使用心跳来在时间上或用途上限制非SI设备对核心网络的接入,因为这种接入可能涉及订户的额外成本。当SI设备想要限制接入时,其停止转发心跳信号。当SI设备再次允许接入时,其再次开始转发心跳信号。停止非SI设备对核心网络的接入的另一种方式是SI设备撤销在AS服务器处第一公钥作为用于相关联的非SI设备的身份的关联。
在另一实施例中,SI设备使用由SI设备签名的消息流来定期地向AS传送关于在SI设备和非SI设备之间的距离的信息。例如,可以通过使用如[802.11]中定义的定时测量(TM)或精细定时测量(FTM)机制来确定距离。替代地,当SI设备与非SI设备连接到相同的Wi-Fi AP/住宅网关时,其可以使用由SI设备签名的消息流来向AS发送关于这样的连接的信息。AS可以被布置为验证该信息,并且检查该信息是否是由SI设备正确签名的。如果距离超过特定配置的阈值,或者如果其最近没有接收到这样的连接信息,则拒绝非SI设备接入核心网络。
在另外的实施例中,SI设备充当针对去往和/或来自非SI设备的业务的特定部分的中继器。随之,SI设备被布置为使用SI设备自己的凭证来对消息的部分进行加密。AS可以使用经加密的部分来检测SI设备直接参与非SI设备通信,并且核心网络没有从某个其它地方附着到核心网络的被侵入的非SI设备被接入。
在另外的实施例中,SI设备和/或非SI设备连接到其的AP/RG可以持续地跟踪并且向AS发送关于非SI设备所请求的服务/内容的信息。AS现在可以检查服务和内容是否符合被分配给非SI设备的访问权限。如果不是,则被侵入的设备可能正在使用非SI设备的凭证来尝试访问由非SI设备请求的不同的服务/内容集合。然后,AS可以撤销对非SI设备的访问或服务。
在另外的实施例中,可以利用一个以上的用户帐户来设置非SI设备。通常存在至少一个主用户帐户,其它辅助帐户可以利用该主用户账户来创建。用户帐户可以不同于SIM设备的用户帐户,同时用户可以具有不同的权限来访问互联网或蜂窝网络上的内容/服务(例如,父母相比于子女)。例如,每个帐户可以与不同的Google帐户、Apple ID或Microsoft帐户连接。每个辅助帐户可能被许可或可能没有被许可使用设备的Wi-Fi或3GPP系统。此外,每个帐户可能需要被配置有针对由蜂窝网络提供的内容/服务的不同类型的访问限制(例如,父母对未成年儿童帐户的控制)。任选地,在多用户非SI设备中,可以仅允许特定用户帐户与SI设备相关联。对于所允许的用户帐户中的每一者,关联可以是相同的SI,在这种情况下,与SI设备的关联仅需要进行一次。替代地,多个不同的SI可以与相应的用户帐户相关联,在这种情况下,需要分别与不同SI中的每一者进行关联。
在一个实施例中,与一个SI相关联的用户帐户名或多个用户帐户名可以具有在相关联的SI设备从CA服务器请求的凭证中列出的帐户名或帐户ID。为此,非SI设备需要使用与非SI设备建立的安全信道(在此期间,非SI设备证明拥有属于非SI设备的公钥的私钥)来向SI设备提供用户帐户名。任选地,在包含第一公钥的证书中提及帐户名,并且利用第一公钥所对应的私钥来对其进行签名(因此例如在由非SI设备生成的自签名SSL或TLS证书中)。代替仅有第一密钥,SI设备将该证书发送给AS服务器,并且要由CA服务器生成的安全数据可以包含帐户名。对于SI设备的用户来说,优势在于其可以从证书中看到启用非SI设备的哪些用户。对于SI设备、AS和CA来说,优势在于它们可以检查其是否是已经命名用户账户的非SI设备。
在另外的实施例中,当已经准许非SI设备对核心网络的接入时,通过其中非SI设备通过其证明拥有属于非SI设备的公钥的私钥的相同安全信道来发送关于非SI设备的用户帐户和被准许接入的可能的接入限制的信息。在接收到该信息时,非SI设备针对非SI设备的相应的不同用户帐户来实施这些接入限制。
图5示出了用于在被布置用于与SI设备进行无线通信的非SI设备中使用的方法。上文已经描述了这些设备。该方法可以例如由固定或移动计算设备中的处理器中的电路和软件来执行。上文已经描述了本地网络、核心网络或其它网络中的无线通信以及用于OOB信道的各种选项。要注意的是,图5示出了用于可以与SI设备进行协作的非SI设备的方法。与非SI公钥构成一对的非SI私钥被存储在非SI设备中。该密钥对可以被永久或临时存储,或者可以首先生成以用于建立新的关联。
在该方法中,执行关联序列并且从节点开始501开始。在第一阶段PR-NPK 503中,经由第一通信信道来向SI设备提供非SI公钥。随之,例如经由诸如Wi-Fi之类的无线网络来建立第一通信信道。第一信道也可以是如上所述的OOB信道,例如,非SI公钥可以以打印形式被提供给SI设备,而对应的私钥必须被存储在非SI设备内部。
在下一阶段SH-VER 504中,经由第二通信信道来与SI设备共享验证码。随之,例如经由与第一通信信道不同的无线通信(例如,蓝牙)来建立第二通信信道。第一和第二通信信道是不同的,而第一和第二通信信道之一是OOB信道。例如,可以通过在SI设备上显示验证码来经由OOB信道共享该码,同时用户必须在非SI设备上手动输入该码。在下一阶段PR-PRO 505中,经由第一或第二通信信道来向SI设备提供(使用前述用于此的协议中的任何协议)拥有非SI私钥的证明。
如果对该证明的评估不是成功的,则如箭头510所指示的,当没有接收到安全数据(例如,在预定的超时时段之后)时,或者当接收到关于没有安全数据可用的消息时,该方法终止。如果已经成功地评估该证明,SI设备可以获得包括凭证的安全数据,并且向非SI设备发送安全数据。在下一阶段REC-SEC 506中,从SI设备接收安全数据,该安全数据与SI相关并且可以包括签名(例如,由证书颁发机构在非SI公钥的至少部分上生成的签名),并且包括与SI相关的凭证(正在使用非SI公钥而加密的凭证的至少部分)。
最后,在阶段AC-CORE 507中,在对经加密的部分进行解密之后,安全数据使得非SI设备能够经由本地网络以及在本地网络和核心网络之间的网关来接入核心网络。关联序列在节点END 508中终止。
图6示出了用于在被布置用于与非SI设备进行无线通信的SI设备中使用的方法。上文已经描述了这些设备。该方法可以例如由固定或移动计算设备中的处理器中的电路和软件来执行。
在该方法中,执行关联序列并且从节点开始601开始。在第一阶段OB-NPK 602中,经由第一通信信道从非SI设备获得非SI公钥。随之,例如经由诸如Wi-Fi之类的无线网络来建立第一通信信道。第一信道也可以是如上所述的OOB信道,例如,非SI公钥可以由SI设备通过扫描打印的QR码来获得。
在下一阶段SH-VER 603中,经由第二通信信道来与SI设备共享验证码。随之,例如经由与第一通信信道不同的无线通信来建立第二通信信道。第一和第二通信信道是不同的,而第一和第二通信信道之一是OOB信道。例如,可以通过在SI设备上显示验证码来经由OOB信道共享该码,同时用户必须在非SI设备上手动输入该码。在下一阶段RC-PRO 604中,经由第一或第二通信信道,使用前述用于此的协议中的任何协议来接收拥有非SI私钥的证明,该非SI私钥与来自非SI设备的非SI公钥构成一对。
在下一阶段EV-PRO 605中,评估所接收的证明,并且如果对该证明的评估不是成功的,则该方法终止,如到节点END 608的箭头610所指示的。例如在预定的超时时段之后没有获得安全数据。此外,可以发送关于没有安全数据可用的中止消息。如果已经成功地评估该证明,则SI设备可以如上所述地获得安全数据,并且在下一阶段TR-SEC 606中向非SI设备发送安全数据。
最后,在任选的阶段MN-NSI 607中,当安全数据使得非SI设备能够经由本地网络以及在本地网络和核心网络之间的网关来接入核心网络时,可以监测非SI设备对核心网络的接入和/或使用,例如,监测非SI设备的位置、或者非SI设备的接入、服务和/或业务。关联序列在节点END 608中终止。
如对于本领域技术人员来说将是显而易见的,实现这些方法的许多不同方式是可能的。例如,可以改变阶段或步骤的次序,或者可以并行地执行一些阶段。此外,在步骤之间可以插入其它方法步骤。所插入的步骤可以表示诸如本文描述的方法的细化,或者可以与该方法无关。
提供了可从网络下载和/或被存储在计算机可读介质和/或微处理器可执行介质上的计算机程序产品,其包括用于在计算机设备上被执行时实现以上方法、连接序列、安全过程和进一步操作的程序代码指令。因此,可以使用软件来执行根据本发明的方法,软件包括用于使得处理器系统执行相应方法的指令。
通常,进行交互以执行关联序列的非SI设备和SI设备各自包括耦合到存储器的处理器,所述存储器包含被存储在这些设备处的适当软件代码;例如,该软件可能已经被下载和/或被存储在相应的存储器中,例如,诸如RAM之类的易失性存储器或诸如闪存(未示出)之类的非易失性存储器。这些设备可以例如被配备有微处理器和存储器(未示出)。替代地,这些设备可以全部或部分地以可编程逻辑来实现,例如作为现场可编程门阵列(FPGA)。这些设备和服务器可以全部或部分地被实现为所谓的专用集成电路(ASIC),即为其特定用途而定制的集成电路(IC)。例如,电路可以用CMOS(例如,使用诸如Verilog、VHDL等的硬件描述语言)来实现。
软件可以仅包括系统的特定子实体所采取的那些步骤。软件可以被存储在适当的存储介质中,例如,硬盘、软盘、存储器等。软件可以作为信号沿着导线或无线或使用数据网络(例如,互联网)来发送。可以使得软件可供下载和/或在服务器上远程使用。根据本发明的方法可以使用被布置为将可编程逻辑(例如,现场可编程门阵列(FPGA))配置为执行该方法的比特流来执行。应该理解,软件可以具有源代码、目标代码、源代码和目标代码中间的代码(例如,部分编译的形式)的形式,或者具有适于在根据本发明的方法的实现中使用的任何其它形式。涉及计算机程序产品的实施例包括与所阐述的方法中的至少一种方法的处理步骤中的每一者相对应的计算机可执行指令。这些指令可以被细分为子例程和/或被存储在静态或动态链接的一个或多个文件中。涉及计算机程序产品的另一实施例包括与所阐述的系统和/或产品中的至少一者的模块中的每一者相对应的计算机可执行指令。
图7a示出了具有可写部分1010的计算机可读介质1000,可写部分1010包括计算机程序1020,计算机程序1020包括用于使得处理器系统在如参照图1-6描述的系统中执行以上方法和过程中的一者或多者的指令。计算机程序1020可以作为物理标记或借助于计算机可读介质1000的磁化而体现在计算机可读介质1000上。然而,也可以预想到任何其它适当的实施例。此外,将明白的是,尽管计算机可读介质1000在此处被示为光盘,但是计算机可读介质1000可以是任何适当的计算机可读介质(例如,硬盘、固态存储器、闪存等),并且可以是不可记录或可记录的。计算机程序1020包括用于使得处理器系统执行所述方法的指令。
图7b示出了根据如参照图1-6所描述的设备或方法的实施例的处理器系统1100的示意性表示。处理器系统可以包括电路1110,例如,一个或多个集成电路。在该图中示意性地示出了电路1110的架构。电路1110包括处理单元1120(例如,CPU),其用于运行计算机程序组件以执行根据一个实施例的方法和/或实现其模块或单元。电路1110包括用于存储编程代码、数据等的存储器1122。存储器1122的一部分可以是只读的。电路1110可以包括通信元件1126,例如,天线、收发机、连接器或两者等。电路1110可以包括专用集成电路1124,其用于执行在该方法中定义的部分或全部处理。处理器1120、存储器1122、专用IC 1124和通信元件1126可以经由互连1130(比如总线)连接到彼此。处理器系统1110可以被布置用于分别使用连接器和/或天线进行有线和/或无线通信。
将明白的是,为了清楚起见,以上描述参照不同的功能单元和处理器来描述了本发明的实施例。然而,将显而易见的是,在不偏离本发明的情况下,可以使用在不同的功能单元或处理器之间的任何适当的功能分配。例如,被示为由单独的单元、处理器或控制器执行的功能可以由相同的处理器或控制器来执行。因此,对特定功能单元的引用仅被视为对用于提供所描述的功能的适当模块的引用,而不是指示严格的逻辑或物理结构或组织。本发明可以用包括硬件、软件、固件或这些项的任何组合的任何适当形式来实现。
要注意的是,在本文档中,动词“包括”并不排除除了所列出的元素或步骤以外的元件或步骤的存在,并且在元件前面的词语“一”或“一个”并不排除多个此类元素的存在。当在元素列表前面时,诸如“至少一个”之类的表达表示从该列表中选择全部或任何元件子集。例如,表达“A、B和C中的至少一个”应当被理解为包括仅A、仅B、仅C、A和B两者、A和C两者、B和C两者或者全部A、B和C。任何附图标记都不限制权利要求的范围。本发明可以借助于硬件和软件两者来实现。若干“模块”或“单元”可以由相同的硬件或软件项来表示,并且处理器可以实现一个或多个单元的功能(可能与硬件元件进行协作)。此外,本发明不限于各实施例,并且本发明在于上述或在相互不同的从属权利要求中记载的每一个新颖特征或特征的组合。
总之,非SI设备被布置用于无线通信并且与有权访问订户身份的SI设备进行协作。非SI设备具有用于在本地网络中进行通信的收发机以及用于建立与SI的关联的处理器。经由第一通信信道来向SI设备提供非SI公钥。经由第二通信信道来与SI设备共享验证码。这些通道是不同的,并且包括带外(OOB)信道。经由第一或第二通信信道来向SI设备提供拥有非SI私钥的证明。从SI设备接收与SI相关并且使用非SI公钥而计算出的安全数据。安全数据可靠地使得非SI设备能够经由本地网络以及在本地网络和核心网络之间的网关来接入核心网络。
参考文献:
[802.11]IEEE Computer Society,“IEEE Standard for InformationTechnology–Telecommunications and Information Exchange Between Systems–Localand Metropolitan Area Networks–Specific requirements Part 11:Wireless LANMedium Access Control(MAC)and Physical Layer(PHY)Specifications,”(IEEEStd.802.11-2016),December 2016
[DH]Diffie,W.;Hellman,M.(1976),"New directions in cryptography",IEEETransactions on Information Theory,22(6):644–654
[DPP]Device Provisioning Protocol-Technical Specification-Version1.0,Wi-Fi Alliance,2018
[HOTSPOT]Hotspot 2.0(Release 2)Technical Specification Package(seehttps://www.wi-fi.org/discover-wi-fi/passpoint)
[RFC 4301]"Security Architecture for the Internet Protocol",December2005,https://datatracker.ietf.org/doc/rfc4301/
[RFC 5246]"The Transport Layer Security(TLS)Protocol,Version 1.2",August 2008,https://datatracker.ietf.org/doc/rfc5246/
[RFC 6101]"The Secure Sockets Layer(SSL)Protocol Version 3.0",August2011,https://datatracker.ietf.org/doc/rfc6101/
[TS 23.402]3rd Generation Partnership Project;Technical SpecificationGroup Services and System Aspects;Architecture enhancements for non-3GPPaccesses(Release 15);3GPP TS 23.402 V15.3.0(2018-03)
http://www.3gpp.org/ftp//Specs/archive/23_series/23.402/23402-f30.zip
[TS 24.302]3rd Generation Partnership Project;Technical SpecificationGroup Core Network and Terminals;Access to the 3GPP Evolved Packet Core(EPC)via non-3GPP access networks;Stage 3(Release 15);3GPP TS 24.302V15.3.0(2018-06)
[TS 33.402]3rd Generation Partnership Project;Technical SpecificationGroup Services and System Aspects;3GPP System Architecture Evolution (SAE);Security aspects of non-3GPP accesses(Release 15);3GPP TS 33.402V15.1.0(2018-06)
Claims (18)
1.一种被布置为根据本地通信协议在本地网络(236)中进行无线通信(130)的非订户身份(非SI)设备,
所述本地通信协议定义协议消息以及在有限区域之内的无线收发,
所述非SI设备(120)不包括SI并且被布置用于与有权访问所述SI的SI设备进行协作,
所述SI包括针对提供商的订户的用于接入核心网络(230)的订户身份数据,所述核心网络为在至少地区性区域之内的移动设备提供无线通信,
所述非SI设备包括:
与非SI公钥构成一对的非SI私钥;
收发机(121),其被布置用于根据所述本地通信协议进行本地收发;
处理器(122),其被布置为执行关联序列以建立与所述SI的关联,所述关联序列包括:
经由第一通信信道来向所述SI设备提供所述非SI公钥,
经由第二通信信道来与所述SI设备共享验证码,以用于验证所述SI设备已经获得所述非SI公钥,
所述第一通信信道和所述第二通信信道是不同的,并且所述信道中的一者是带外OOB信道(140),
经由所述第一通信信道或所述第二通信信道来向所述SI设备提供拥有所述非SI私钥的证明,
从所述SI设备接收使用所述非SI公钥代表所述提供商生成的安全数据,
所述安全数据使得所述非SI设备能够经由所述本地网络以及在所述本地网络和所述核心网络之间的网关来接入所述核心网络。
2.根据权利要求1所述的设备,其中,所述关联序列包括:通过以下操作来提供安全信道作为所述第一通信信道和所述第二通信信道中的另一信道:
与充当服务器的所述非SI设备一起参与安全套接层SSL协议或传输层安全TLS协议,其中,所述非SI设备在自签名证书中提供所述非SI公钥,并且将该证书用作服务器证书消息中的服务器证书;或者
如同所述非SI设备充当客户端来参与SSL或TLS协议,其中,所述非SI设备在客户端认证握手中在自签名证书中提供所述非SI公钥;或者
参与通过其中使用所述非SI公钥或所述非SI私钥的公钥加密中建立的互联网协议安全IPsec隧道;或者
参与设备配置协议DPP认证协议,其中,所述非SI设备提供所述非SI公钥或另外的非SI公钥作为DPP引导密钥或DPP协议密钥。
3.根据权利要求2所述的设备,其中,所述SSL包括RFC 6101,所述TLS包括RFC 5246,并且所述IPsec包括RFC 4301。
4.根据权利要求3所述的设备,其中,所述接收所述安全数据包括经由所述安全信道来接收所述安全数据。
5.根据权利要求1至4中的任一项所述的设备,其中,所述OOB信道是经由以下组中的一项来提供的:
短程无线电通信协议,
可视信道,其在所述非SI设备侧使用可视码并且在所述SI设备侧使用扫描器或相机,
用户信道,其中,码在所述SI设备侧被显示并且将在非SI系统侧被输入,
用户信道,其中,码在所述非SI设备侧被显示并且将在SI系统侧被输入,或者将在所述SI设备侧与另外的码进行比较,以及
用户信道,其中,码将被输入到所述非SI设备中,并且相关的码将被输入到所述SI设备中。
6.根据权利要求5所述的设备,其中,所述短程无线电通信协议包括NFC或蓝牙,并且其中,所述可视码包括条形码或QR码。
7.根据权利要求1至4中的任一项所述的设备,其中,所述安全数据包括与所述SI相关的凭证,所述凭证的至少部分是使用所述非SI公钥来加密的。
8.根据权利要求1至4中的任一项所述的设备,其中,所述非SI公钥包括分别与第一非SI私钥和第二非SI私钥相对应的第一非SI公钥和第二非SI公钥,
所述第一非SI公钥首先经由所述OOB信道被提供给所述SI设备,并且所述第二非SI公钥随后用于所述生成所述安全数据。
9.根据权利要求1至4中的任一项所述的设备,其中,所述处理器还被布置为:
从所述SI设备接收心跳消息,所述SI设备在从所述核心网络接收到所述心跳消息时传输所述心跳消息;并且经由所述网关来将所述心跳消息传输给所述核心网络;或者
经由所述网关从所述核心网络接收心跳消息,并且将所述心跳消息传输给所述SI设备,所述SI设备将所述心跳消息传输给所述核心网络;
以用于在预定间隔期间没有从所述非SI设备接收到所述心跳消息时使得所述核心网络能够禁用所述非SI设备对所述核心网络的所述接入。
10.根据权利要求1至4中的任一项所述的设备,其中,所述处理器还被布置用于管理多个用户帐户,并且被布置用于:
选择性地针对相应的用户帐户,执行所述关联序列以建立安全数据的多个相应实例,并且
选择性地针对相应的用户帐户,基于安全数据的相应实例来使得所述非SI设备能够接入所述核心网络。
11.一种被布置用于与非订户身份SI设备(120)进行无线通信(130)的SI设备(110),所述SI设备有权访问SI,
所述SI包括针对提供商的订户的用于接入核心网络(230)的订户身份数据,所述核心网络为在至少地区性区域之内的移动设备提供无线通信,
所述SI设备包括:
收发机(111),其被布置用于与非SI设备进行无线通信,
处理器(112),其被布置为执行关联序列以建立与所述SI的关联,所述关联序列包括:
经由第一通信信道从所述非SI设备获得非SI公钥,
经由第二通信信道与所述非SI设备共享验证码,以用于验证所述SI设备已经获得所述非SI公钥,
所述第一通信信道和所述第二通信信道是不同的,并且所述信道中的一者是带外OOB信道(140),
经由所述第一通信信道或所述第二通信信道从所述非SI设备接收拥有与所述非SI公钥构成一对的非SI私钥的证明,
在对所接收的证明的成功评估时,获得使用所述非SI公钥代表所述提供商生成的安全数据,并且
向所述非SI设备发送所述安全数据,
所述安全数据使得所述非SI设备能够经由本地网络以及在所述本地网络和所述核心网络之间的网关来接入所述核心网络。
12.根据权利要求11所述的SI设备,包括:
订户身份模块SIM(116),其包括所述订户身份数据;
另外的收发机,其用于与所述核心网络进行无线通信。
13.根据权利要求11或12所述的SI设备,其中,所述处理器被布置为:
从所述核心网络接收心跳消息,并且将所述心跳消息传输给所述非SI设备,或者
从所述非SI设备接收心跳信息,并且将所述心跳信息传输给所述核心网络,
以使得在预定间隔期间没有从所述非SI设备接收到所述心跳消息时所述核心网络能够禁用所述非SI设备对所述核心网络的所述接入。
14.根据权利要求11或12所述的SI设备,其中,所述处理器被布置为:
接收并且中继在所述非SI设备和所述核心网络之间的数据通信的特定部分,同时使用与所述SI相关的密钥来加密所中继的数据的部分,以用于确定所述非SI设备的所述数据通信是经由所述SI设备启用的。
15.根据权利要求11或12所述的SI设备,其中,所述处理器被布置为:
确定所述非SI设备的位置是否在允许范围内,或者
测量所述SI设备和所述非SI设备之间的距离是否在所述允许范围内,
以使得当发现所述非SI设备不在所述允许范围内时所述核心网络能够禁用所述非SI设备对所述核心网络的所述接入。
16.一种用于在被布置用于与订户身份SI设备进行无线通信的非SI设备中使用的方法,所述SI设备有权访问SI,
所述SI包括针对提供商的订户的用于接入核心网络(230)的订户身份数据,所述核心网络为在至少地区性区域之内的移动设备提供无线通信,
所述非SI设备包括与非SI公钥对构成一对的非SI私钥,
所述方法包括:
经由第一通信信道来向所述SI设备提供所述非SI公钥,
经由第二通信信道来与所述SI设备共享验证码,以用于验证所述SI设备已经获得所述非SI公钥,
所述第一通信信道和所述第二通信信道是不同的,并且所述信道中的一者是带外OOB信道,
经由所述第一通信信道或所述第二通信信道来向所述SI设备提供拥有所述非SI私钥的证明,
从所述SI设备接收使用所述非SI公钥代表所述提供商生成的安全数据,
所述安全数据使得所述非SI设备能够经由本地网络以及在所述本地网络和所述核心网络之间的网关来接入所述核心网络。
17.一种用于在被布置用于与非订户身份SI设备进行无线通信的SI设备中使用的方法,所述SI设备有权访问SI,
所述SI包括针对提供商的订户的用于接入核心网络(230)的订户身份数据,所述核心网络为在至少地区性区域之内的移动设备提供无线通信,
所述方法包括:
经由第一通信信道从非SI设备获得非SI公钥,
经由第二通信信道与所述非SI设备共享验证码,以用于验证所述SI设备已经获得所述非SI公钥,
所述第一通信信道和所述第二通信信道是不同的,并且所述信道中的一者是带外OOB信道,
经由所述第一通信信道或所述第二通信信道从所述非SI设备接收拥有与所述非SI公钥构成一对的非SI私钥的证明,
在对所接收的证明的成功评估时,获得使用所述非SI公钥代表所述提供商生成的安全数据,并且
向所述非SI设备发送所述安全数据,
所述安全数据使得所述非SI设备能够经由本地网络以及在所述本地网络和所述核心网络之间的网关来接入所述核心网络。
18.一种存储有计算机程序的计算机可读介质和/或微处理器可执行介质,所述计算机程序包括用于在计算设备上被执行时实现根据权利要求16或17所述的方法的程序代码指令。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
EP18191757.6 | 2018-08-30 | ||
EP18191757.6A EP3618383A1 (en) | 2018-08-30 | 2018-08-30 | Non-3gpp device access to core network |
PCT/EP2019/073029 WO2020043809A1 (en) | 2018-08-30 | 2019-08-29 | Non-3gpp device access to core network |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112640385A CN112640385A (zh) | 2021-04-09 |
CN112640385B true CN112640385B (zh) | 2023-12-12 |
Family
ID=63491413
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201980056557.8A Active CN112640385B (zh) | 2018-08-30 | 2019-08-29 | 用于在si系统中使用的非si设备和si设备以及相应的方法 |
Country Status (7)
Country | Link |
---|---|
US (2) | US11711693B2 (zh) |
EP (3) | EP3618383A1 (zh) |
JP (2) | JP6997886B2 (zh) |
CN (1) | CN112640385B (zh) |
BR (1) | BR112021003460A2 (zh) |
MX (1) | MX2021002105A (zh) |
WO (1) | WO2020043809A1 (zh) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP3618383A1 (en) * | 2018-08-30 | 2020-03-04 | Koninklijke Philips N.V. | Non-3gpp device access to core network |
US11696133B2 (en) * | 2019-02-21 | 2023-07-04 | Blackberry Limited | Method and system for provisioning device specific WLAN credentials |
JP7161108B2 (ja) * | 2019-02-26 | 2022-10-26 | 日本電信電話株式会社 | 通信方法、通信システム、中継装置および中継プログラム |
JP7427176B2 (ja) | 2019-12-27 | 2024-02-05 | 国立研究開発法人情報通信研究機構 | 無線通信情報更新システム及び無線通信情報更新方法 |
US12096214B2 (en) * | 2022-04-14 | 2024-09-17 | Hewlett Packard Enterprise Development Lp | Establishing a backup connectivity between a sensor and a management system |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106537943A (zh) * | 2014-07-16 | 2017-03-22 | 高通股份有限公司 | 基于ue的网络订制管理 |
US9648019B2 (en) * | 2014-04-15 | 2017-05-09 | Telefonaktiebolaget Lm Ericsson (Publ) | Wi-Fi integration for non-SIM devices |
CN106716920A (zh) * | 2014-09-25 | 2017-05-24 | 贝扎德·莫赫比 | 基于代理验证对核心网络的混合式接入的方法及设备 |
WO2017165488A1 (en) * | 2016-03-22 | 2017-09-28 | Google Inc. | Methods and apparatus for sim-based authentication of non-sim devices |
CN107409136A (zh) * | 2015-03-17 | 2017-11-28 | 高通股份有限公司 | 用于使用应用专用网络接入凭证到无线网络的受担保连通性的装置和方法 |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9432363B2 (en) | 2014-02-07 | 2016-08-30 | Apple Inc. | System and method for using credentials of a first client station to authenticate a second client station |
CN103970501B (zh) | 2014-04-04 | 2017-04-05 | 形山科技(深圳)有限公司 | 一种图像显示方法及终端 |
US10142840B2 (en) * | 2015-01-29 | 2018-11-27 | Motorola Mobility Llc | Method and apparatus for operating a user client wireless communication device on a wireless wide area network |
JP6444200B2 (ja) | 2015-02-09 | 2018-12-26 | キヤノン株式会社 | 通信装置、通信装置の制御方法、プログラム |
CN108419232A (zh) * | 2017-02-10 | 2018-08-17 | 联发科技(新加坡)私人有限公司 | 共享用户身份模块卡的方法和移动终端 |
EP3618383A1 (en) | 2018-08-30 | 2020-03-04 | Koninklijke Philips N.V. | Non-3gpp device access to core network |
-
2018
- 2018-08-30 EP EP18191757.6A patent/EP3618383A1/en not_active Withdrawn
-
2019
- 2019-08-29 CN CN201980056557.8A patent/CN112640385B/zh active Active
- 2019-08-29 BR BR112021003460-9A patent/BR112021003460A2/pt unknown
- 2019-08-29 WO PCT/EP2019/073029 patent/WO2020043809A1/en unknown
- 2019-08-29 US US17/272,314 patent/US11711693B2/en active Active
- 2019-08-29 EP EP24150987.6A patent/EP4344135A3/en active Pending
- 2019-08-29 MX MX2021002105A patent/MX2021002105A/es unknown
- 2019-08-29 EP EP19758764.5A patent/EP3844930B1/en active Active
- 2019-08-29 JP JP2020571550A patent/JP6997886B2/ja active Active
-
2021
- 2021-12-17 JP JP2021204751A patent/JP7470671B2/ja active Active
-
2023
- 2023-06-08 US US18/207,249 patent/US12041452B2/en active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9648019B2 (en) * | 2014-04-15 | 2017-05-09 | Telefonaktiebolaget Lm Ericsson (Publ) | Wi-Fi integration for non-SIM devices |
CN106537943A (zh) * | 2014-07-16 | 2017-03-22 | 高通股份有限公司 | 基于ue的网络订制管理 |
CN106716920A (zh) * | 2014-09-25 | 2017-05-24 | 贝扎德·莫赫比 | 基于代理验证对核心网络的混合式接入的方法及设备 |
CN107409136A (zh) * | 2015-03-17 | 2017-11-28 | 高通股份有限公司 | 用于使用应用专用网络接入凭证到无线网络的受担保连通性的装置和方法 |
WO2017165488A1 (en) * | 2016-03-22 | 2017-09-28 | Google Inc. | Methods and apparatus for sim-based authentication of non-sim devices |
Also Published As
Publication number | Publication date |
---|---|
EP4344135A2 (en) | 2024-03-27 |
US20210258787A1 (en) | 2021-08-19 |
EP3618383A1 (en) | 2020-03-04 |
JP2021522757A (ja) | 2021-08-30 |
US11711693B2 (en) | 2023-07-25 |
US12041452B2 (en) | 2024-07-16 |
WO2020043809A1 (en) | 2020-03-05 |
CN112640385A (zh) | 2021-04-09 |
JP6997886B2 (ja) | 2022-01-18 |
BR112021003460A2 (pt) | 2021-05-11 |
EP3844930A1 (en) | 2021-07-07 |
JP7470671B2 (ja) | 2024-04-18 |
JP2022043175A (ja) | 2022-03-15 |
US20230328524A1 (en) | 2023-10-12 |
MX2021002105A (es) | 2021-04-28 |
EP4344135A3 (en) | 2024-06-05 |
EP3844930B1 (en) | 2024-04-03 |
EP3844930C0 (en) | 2024-04-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112640385B (zh) | 用于在si系统中使用的非si设备和si设备以及相应的方法 | |
CN112640387B (zh) | 用于无线连接的非si设备、si设备、方法和计算机可读介质和/或微处理器可执行介质 | |
KR101038064B1 (ko) | 애플리케이션 인증 | |
WO2015029945A1 (ja) | 加入者プロファイル転送方法、加入者プロファイル転送システム及びユーザ装置 | |
CN110545252B (zh) | 一种认证和信息保护的方法、终端、控制功能实体及应用服务器 | |
CN101371550A (zh) | 自动安全地向移动通信终端的用户供给在线服务的服务访问凭证的方法和系统 | |
CN113556227A (zh) | 网络连接管理方法、装置、计算机可读介质及电子设备 | |
WO2017091987A1 (zh) | 一种终端间的安全交互方法及装置 | |
US20240129320A1 (en) | Method and device to provide a security level for communication | |
RU2779029C1 (ru) | Доступ не отвечающего спецификациям 3gpp устройства к базовой сети | |
CN106060810B (zh) | 移动设备间连接关系的建立方法和系统 | |
CN117158011A (zh) | 预配无头wifi设备以及相关系统、方法和设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |