CN112640387B - 用于无线连接的非si设备、si设备、方法和计算机可读介质和/或微处理器可执行介质 - Google Patents
用于无线连接的非si设备、si设备、方法和计算机可读介质和/或微处理器可执行介质 Download PDFInfo
- Publication number
- CN112640387B CN112640387B CN201980056758.8A CN201980056758A CN112640387B CN 112640387 B CN112640387 B CN 112640387B CN 201980056758 A CN201980056758 A CN 201980056758A CN 112640387 B CN112640387 B CN 112640387B
- Authority
- CN
- China
- Prior art keywords
- public key
- core network
- channel
- certificate
- communication channel
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 59
- 238000004891 communication Methods 0.000 claims abstract description 205
- 238000011156 evaluation Methods 0.000 claims description 6
- 230000000007 visual effect Effects 0.000 claims description 6
- 238000004590 computer program Methods 0.000 description 20
- 230000001413 cellular effect Effects 0.000 description 14
- GVVPGTZRZFNKDS-JXMROGBWSA-N geranyl diphosphate Chemical compound CC(C)=CCC\C(C)=C\CO[P@](O)(=O)OP(O)(O)=O GVVPGTZRZFNKDS-JXMROGBWSA-N 0.000 description 11
- 230000007246 mechanism Effects 0.000 description 7
- 238000013475 authorization Methods 0.000 description 6
- 230000005540 biological transmission Effects 0.000 description 5
- 238000012795 verification Methods 0.000 description 5
- 238000012545 processing Methods 0.000 description 4
- 230000010354 integration Effects 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 238000012790 confirmation Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000005259 measurement Methods 0.000 description 2
- 238000003860 storage Methods 0.000 description 2
- 230000001052 transient effect Effects 0.000 description 2
- 230000008901 benefit Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000001934 delay Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000005415 magnetization Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 238000003825 pressing Methods 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000005236 sound signal Effects 0.000 description 1
- 239000000725 suspension Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/50—Secure pairing of devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/18—Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/40—Security arrangements using identity modules
- H04W12/43—Security arrangements using identity modules using shared identity modules, e.g. SIM sharing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/80—Services using short range communication, e.g. near-field communication [NFC], radio-frequency identification [RFID] or low energy communication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Telephone Function (AREA)
Abstract
非SI设备(120)被布置用于进行无线通信(130)并且与具有对订户身份的接入的SI设备(110)协作。非SI设备具有在本地网络中通信的收发机(121)和与SI建立关联的处理器(122)。非SI公共密钥经由第一通信信道被提供给SI设备。经由第二通信信道与SI设备共享验证码。信道是不同的,并且包括带外信道(140)。拥有非SI私有密钥的证明经由第一或第二通信信道被提供给所述SI设备。从所述SI设备,接收与SI有关并且包括在所述非SI公共密钥的至少部分上计算的签名的证书。所述证书可靠地使得所述非SI设备能够经由所述本地网络和所述本地网络与所述核心网络之间的网关接入所述核心网络。
Description
技术领域
本发明涉及被布置用于根据本地通信协议在本地网络中进行无线通信的非订户身份(非SI)设备。本发明进一步涉及供在SI系统中使用的订户身份SI设备和方法。
本发明涉及将本地无线通信设备集成到至少地区性区域移动通信系统(进一步被称为核心网络,例如3G、LTE、4G或5G网络)中的领域。对核心网络的接入是由所谓的提供商来管理的,这些提供商使用被称为订户身份SI的订户数据集合来为订户的移动设备提供对核心网络的接入。SI包括针对提供商的相应订户的用于接入核心网络的订户身份数据。
通常,这样的本地无线通信设备被配备用于根据本地通信协议(例如,Wi-Fi)进行无线通信,并且不具有用于与核心网络进行无线通信的收发机单元。例如,在所谓的物联网中,各种类型的本地无线通信设备可以是可经由Wi-Fi连接到互联网的,例如,所谓的无头设备不具有用户接口,或者所谓的UI设备具有像触摸屏、显示器和/或按钮的用户接口。因此,至少在最初,此类设备不具有接入核心网络所需要的任何订户身份数据或凭证。这种本地无线通信设备在本文档中被称为非SI设备。
目前,在被称为3GPP的现有核心网络的新世代和扩展的各方之间讨论将非SI设备集成到核心网络中。第三代合作伙伴计划(3GPP)是电信标准协会(被称为组织合作伙伴)之间的协作。3GPP提出了若干机制,以允许移动设备(在3GPP术语中被称为UE或用户设备)使用非3GPP接入网络(例如,Wi-Fi)来接入核心蜂窝网络,例如以用于将蜂窝业务卸载在其它接入网络上。在以下3GPP规范中特别规定了对4G核心网络(被称为演进分组核心或EPC)的非3GPP接入:[TS 23.402](最新版本15.3.0)、[TS 24.302](最新版本15.3.0)和[TS33.402}(最新版本15.1.0)。在以下3GPP规范中特别规定了对5G核心网络的非3GPP接入:[TS 23.501](最新版本15.2.0)第4.2.8节、[TS 23.502](最新版本15.2.0)第4.12节和[TS24.502](最新版本15.0.0)。目前,这项工作关注的是支持在住宅网关(RG)之后的非3GPP设备,但是考虑到5G蜂窝运营商将Wi-Fi作为其5G网络产品的一部分并入并且使用其服务(例如,基于Wi-Fi的计费语音、实时视频服务等),这可能扩展到对非3GPP设备的更一般的支持。
通常,像智能手机的移动设备被配备有用于与核心网络进行通信的专用收发机,并且还被提供有订户身份SI。SI表示订户的身份和接入核心网络所需要的另外数据,而对核心网络的使用是由提供商(例如,经由所谓的语音和数据捆绑)向相应订户计费的。例如,SI可以包括诸如IMSI(国际移动订户身份)的订户身份码。通常通过将被称为SIM的物理半导体模块插入到移动设备中来向此类设备提供SI。SIM卡是被嵌入到塑料卡中的集成电路,其旨在安全地存储国际移动订户身份码(IMSI)号码以及其相关密钥,所述密钥用于识别和认证移动电话设备(例如,移动电话和计算机)上的订户。各种类型的模块或卡是已知的,例如USIM,其指代通用订户身份模块并且工作在UMTS通用移动通信系统(其是3G核心网络标准)上。相关的物理卡也被称为UICC(通用集成电路卡),并且USIM是运行在UICC之上的应用。另一类型的SIM被称为e-SIM或eSIM(嵌入式SIM)或嵌入式通用集成电路卡(eUICC)。其是被直接焊接在电路板上的不可更换的嵌入式芯片。目前,在本文档中,被配备用于与核心网络进行无线通信并且经由SIM卡或以其它方式而被提供有原始SI的任何类型的设备被称为SIM设备。
此外,SI数据也可以是在诸如核心网络的提供商的管理系统之类的其它位置处(例如,在管理订户身份数据的服务器上的订户数据库中)可得到的,而订户凭证可以使用授权服务器(通常被称为证书机构(CA))来认证和授权。例如,订户还可以通过使用诸如用户名和密码之类的用户凭证或使用两步认证经由互联网来登录到应用服务器(AS)上的用户帐户,从而接入SI数据。AS可以耦合到订户数据库和CA,或者可以包括订户数据库和CA。
在本文档中,所谓的SI设备是有权接入SI的本地设备,其包括SI或耦合到核心网络的至少一个提供商服务器,所述服务器被布置为管理SI数据。SI设备被布置为与非SI设备进行通信并且有权接入CA。SI设备的第一示例是SIM设备,其被布置用于经由核心网络来与存储订户数据库和CA的一个或多个服务器进行通信,同时也被布置为与非SI设备进行通信。SI设备的另外示例是用于与非SI设备进行通信的用户接口(UI)设备,该UI设备还被布置为经由核心网络来接入服务器上的SI数据和CA,并且其中,订制所有者必须登录以获得对SI数据的接入。另一示例是被布置为经由本地网络来与非SI设备进行通信的UI设备,同时UI设备还被布置为经由到互联网的连接来接入服务器上的SI数据和CA。SI系统可以包括耦合到用于在本地网络中进行无线通信的本地接入点的基于服务器的管理系统,并且还包括适当地耦合到核心网络的相应数据服务器的以上定义的SIM设备或UI设备。
背景技术
允许非3GPP设备连接到4G/5G核心网络的可能系统和方法是通过使用如在Hotspot 2.0技术规范[HOTSPOT]中定义的Hotspot 2.0(也被称为Wi-Fi认证控制点),Hotspot 2.0允许运营商为设备配备例如X.509证书。然而,许多设备可能不是受运营商控制的,而且不清楚可以如何允许人们家里的其它基础的仅Wi-Fi设备接入4G/5G核心网络。
文档US9648019B2描述了针对非SIM设备的Wi-Fi集成。所提议的系统允许非3GPP设备连接到4G/5G核心网络。应用服务器(AS)可以用于使得非订户身份模块(非SIM)设备能够经由第二网络(例如,Wi-Fi)接入第一网络(例如,移动或3GPP网络),其中,非SIM设备与SIM设备相关联,并且其中,AS从SIM设备接收关于SIM设备以及其相关联的非SIM卡设备的信息。在SIM设备与非SIM设备之间的关联是由AS基于从SIM设备接收的信息来创建的。在非SIM设备与SIM设备之间的关联被存储在订户数据库中。
随后,为了经由第二网络来接入第一网络,基于来自非SIM设备的对于对第一网络的授权的请求,系统获得与非SIM设备相关联的身份,并且将对于与非SIM设备的用户相关联的用户简档的请求发送到订户数据库,该请求包括所获得的用于非SIM设备的身份。然后,系统从订户数据库接收所请求的针对非SIM设备的用户简档,所请求的用于非SIM设备的用户简档与SIM设备相关联。基于所接收的用户简档,系统授权非SIM设备经由第二网络来接入第一网络。因此,在非SIM设备与SIM设备之间的关联已经建立并且存储在订户数据库中之后,非SIM设备可以在其想要接入第一网络时获得对接入第一网络的授权。
在US9648019B2中,图1b的描述可以对应于3GPP的文档[TS 23.402](尤其是对于根据图4.2.2-1和图4.2.2-2的非漫游情况),并且例如在[TS 23.402]的条款7的图4.2.3-1到[TS 23.402]的图4.2.3-5中关于在这些图中所示的节点和链路以及如何使用这些节点和链路的描述示出了漫游情况。非SIM设备可以通过节点“可信非3GPP IP接入”或节点“不可信非3GPP IP接入”来接入第一网络。
发明内容
在US9648019B2中,没有解释SIM设备如何可靠地获得非SIM设备的身份,或者SIM设备可以如何以获得的身份来获得信任。缺少信任可能产生使攻击者通过使用(滥用)SIM设备来获得他们的设备对移动或3GPP网络的接入的方式。此外,在非SIM设备和SIM设备之间的关联已经建立之后,非SIM设备可以独立于SIM设备来操作。由于非SIM设备可能更容易被入侵,因此使得非SIM设备能够连接到核心蜂窝网络的凭证可能被窃取,之后黑客可能使用该信息来获得对核心网络的接入并且向SIM设备的用户的签署收费。
本发明的目的是提供一种用于为非SI设备可靠地建立到核心网络的无线接入的系统。
为此目的,提供了如在所附的权利要求中限定的设备和方法。根据本发明的一个方面,提供了如在权利要求1中限定的非SI设备。根据本发明的另外方面,提供了如在权利要求8中限定的SI设备。根据本发明的另外方面,提供了如在权利要求13和14中限定的方法。根据本发明的另外方面,提供了可从网络下载和/或被存储在计算机可读介质和/或微处理器可执行介质上的计算机程序产品,该产品包括用于在计算机上被执行时实现以上方法的程序代码指令。
以上非SI设备被布置用于根据本地通信协议在本地网络中进行无线通信。本地通信协议定义协议消息和在有限区域之内的无线收发。订户身份(SI)包括订户的用于接入核心网络的订户身份数据,核心网络为在至少地区性区域之内的移动设备提供无线通信。非SI设备不包括SI并且被布置用于与具有对SI的接入的SI设备进行协作。所述非SI设备包括:收发机,其被布置用于根据本地通信协议进行本地收发;以及处理器,其被布置为执行关联序列以建立与SI的关联。关联序列包括:存储与非SI公共密钥构成一对的非SI私有密钥;经由第一通信信道来向SI设备提供非SI公共密钥;以及经由第二通信信道来与SI设备共享验证码,以用于验证SI设备已经获得非SI公共密钥。第一通信信道和第二通信信道是不同的,并且包括带外OOB信道作为一个信道。关联序列还包括:经由第一通信信道或第二通信信道来向SI设备提供拥有非SI私有密钥的证明,以及随后从SI设备接收证书。所述证书可以包括通常被称为凭证的与所述SI有关的数据。
证书包括如由证书机构CA在所述非SI公共密钥的至少部分上生成的签名。在该背景下,证书构成所述证书的所有者具有基于现在与SI有关的非SI公共和私有密钥使用所述核心网络的权利的验证证明。
签名可以例如是如由所述CA生成的所述非SI公共密钥的至少部分上的常规签名。此外,与SI有关的凭证可以使用所述非SI公共密钥的至少部分加密。例如,所述凭证可以是用户名/密码组合或仅密码,同时至少所述密码加密并且所述用户名可以保持未加密。所述非SI设备可以例如通过验证所述签名起源于所述CA或通过验证所述签名的正确性验证所述签名,并且还可以利用所述非SI私有密钥将加密凭证解密。
所述凭证可以经由应用服务器、所述CA和/或订户数据库较早生成,并且可以存储在例如所述订户数据库中。所述凭证可以由所述CA检索并且在其被发送到所述SI设备之前利用所述非SI公共密钥加密。所述凭证使得所述非SI设备能够经由所述本地网络和所述本地网络与所述核心网络之间的网关接入所述核心网络。由于所述非SI设备是知道所述非SI私有密钥的仅有设备,因此所述凭证的加密提供额外安全性。因此,所述非SI设备是可以解密加密凭证的仅有设备,并且因此可以使用所述凭证来接入所述核心网络。此外,利用所述非SI公共密钥的至少部分加密至少一些凭证不排除用于加密凭证的另外的密钥的使用。
所述证书在检验所述签名之后,使得所述非SI设备能够经由所述本地网络和所述本地网络与所述核心网络之间的网关接入所述核心网络。
以上关联序列也可以在用于在非SI设备使用的方法中实现,例如用软件在所谓的应用中实现。
以上SI设备被布置用于与以上非SI设备进行无线通信。SI设备具有对订户身份数据的接入,例如,因为该设备包含或者可以耦合到SIM,或者被布置为经由网络来接入包含SI的服务器。SI设备包括:收发机,其被布置用于与非SI设备进行无线通信;以及处理器,其被布置为执行关联序列以建立与SI的关联。SI设备中的关联序列包括:经由所述第一通信信道从所述非SI设备获得非SI公共密钥;并且经由所述第二通信信道与入非SI设备共享验证码。SI设备中的关联序列进一步包括:经由第一通信信道或第二通信信道从非SI设备接收拥有与非SI公共密钥构成一对的非SI私有密钥的证明。在对所接收的证明的成功评估时,关联序列通过以下操作继续进行:获得以上证书,并且向非SI设备发送所述证书。该关联序列还可以在用于在SI设备中使用的方法中实现。
以上特征具有以下效果。在非SI设备中,非SI私有密钥必须在基于成对的非SI公共密钥执行关联序列期间可供使用。因此,处理器可以接入其中已经存储密钥的存储器,或者可以首先生成或以其它方式获得密钥对,而随后存储非SI私有密钥以供在关联序列期间使用。
经由第一通信信道将非SI公共密钥传送给SI设备,而经由第二不同的通信信道来与SI设备共享验证码以用于验证SI设备已经获得非SI公共密钥。因此,非SI设备被布置为建立到SI设备的所述第一和第二通信信道,这些信道包括一个OOB信道并且二者是独立地建立的。在该背景下,通信信道是经由物理机制的数据链路,例如,无线电传输、或者被显示和扫描的可视信息、或者由用户读取和比较的码、或者由用户读取和手动录入的码、或者在两个设备中手动录入的码。每个信道在该信道的端点(在这种情况下,是非SI设备和SI系统)之间传送数据。例如,一个信道可以是通过在非SI设备和SI设备之间交换协议消息而经由本地通信网络创建的无线信道。另一示例是不使用本地通信网络、而是使用诸如蓝牙或单独的Wi-Fi网络之类的某种其它无线通信协议的无线信道。另一信道是相对于使用某个频带进行无线电传输的所述一个无线信道而言的带外(OOB)信道。因此,OOB信道在使用与所述一个无线信道不同的物理机制,例如,由用户可视或手动录入数据。经由具有有限范围的物理机制来创建这些信道中的至少一者,以便使得用户能够验证旨在集成的非SI设备在距构成相应信道的物理端点的SI设备的该有限范围内。稍后提供各种示例。
应用两个不同的通信信道(其中一个信道是OOB信道)具有可靠地确保非SI设备在有限范围内(即,在第一和第二通信信道的通信范围内)的优势。使用OOB信道有利地避免恶意中间方检测到所有无线通信并且操纵该通信以获得或改变接入限和/或用户数据业务(所谓的中间人攻击)。此外,OOB信道可能需要涉及非SI设备的用户交互,这有利地向用户提供关于预期的非SI设备实际上正在耦合到用户的订户身份(SI)(例如,用于使用订户信用或语音/数据捆绑)的确认。
验证码使得非SI设备能够验证SI设备已经如预期地获得非SI公共密钥。有效地,验证码表示关于发送者根据预定义的协议实际耦合到预期的非SI设备或与其进行通信的证明。存在用于经由根据这样的协议操作的通信信道来共享这样的码的许多变型。在该背景下使用的“共享”一词涵盖在非SI设备和SI设备之间的通信信道上传送验证码的任何方式。例如,非SI公共密钥是在作为OOB信道的无线信道(例如在该背景下,蓝牙或NFC是OOB,因为其使用与另一通信信道不同的传输频带)上发送的。在第二无线信道上(例如,经由Wi-Fi)将验证码发送回去。替代地,可以经由无线信道来传送非SI公共密钥,并且经由涉及用户的OOB信道传送由非SI设备生成的验证码。例如,将验证码例如经由显示器或音频信号传递给用户,而用户必须例如经由键盘向SI设备录入相同的码。或者,反之亦然,可以在SI设备处显示要在非SI设备处录入的码。此外,验证码可以由非SI设备和SI设备两者处显示,而必须在一侧或两侧录入确认(例如,通过按下按钮或点击图标)。此外,验证码可以是用户知道或必须生成的码,该码随后必须在两侧录入。
验证码可以是由SI设备获得的非SI公共密钥的哈希结果。验证码也可以是或包括非SI公共密钥本身。其也可以是由这些设备中的一者或用户生成的任何数字码、密码或密码短语。第一示例定义了关于发送者已经根据协议获得正确的非SI公共密钥的证明。例如,非SI公共密钥可以由SI设备通过扫描QR码来获得。这种扫描构成OOB信道(在这种情况下是单向通信信道),并且SI设备通过Wi-Fi(另一通信信道)将非SI公共密钥本身和/或其哈希结果作为验证码发送给非SI设备。因此,非SI设备知道通过Wi-Fi与其进行通信的设备刚刚扫描了其非SI公共密钥。替代地,可以经由Wi-Fi传送非SI公共密钥,同时使用OOB信道(例如,通过手动录入验证码)将该码从SI设备传送回非SI设备,这经由该单向通信信道向非SI设备提供相同的保证。
例如经由本地通信网络、第一或第二通信信道或另外的网络将拥有非SI私有密钥的证明传送给SI设备。一方拥有私有密钥的证明可以通过利用该私有密钥加密该方的数据来完成。另一方可以通过利用相应的公共密钥来解密经加密的数据并且检查结果是否与所提供的数据相同来检查结果。另一方也可以利用必须证明拥有私有密钥的设备的公共密钥来加密某些内容,发送经加密的结果,并且请求该设备通过对其进行解密和返回结果来证明拥有私有密钥。当设备通过交换一个或多个公共密钥来建立安全信道(如在例如SSL、TLS和DPP认证协议中所进行的)时,也完成了拥有私有密钥的证明。这样,非SI设备和SI设备可以基于非SI公共密钥来在诸如Wi-Fi、蓝牙或本地网络等的网络上建立安全信道。对拥有的证明向SI设备可靠地保证非SI设备实际上是非SI密钥对的所有者。
所述证书表示使用所述核心网络并且识别所述核心网络的提供商的用户要求的数据。所述证书可以包括表示其授权的由证书机构CA发布的安全数据,并且在该背景下保证使用所述核心网络的权利,同时与所述核心网络的已知订户的SI相关联。所述证书可以包括如由CA在所述非SI公共密钥的至少部分上生成的签名。以基本形式,所述签名可以是由CA在所述非SI公共密钥上或所述非SI公共密钥的部分上计算的签名,或者非SI公共密钥的一些部分的签名版本。
所述证书还可以包括与所述SI有关的凭证,该凭证使得所述非SI设备能够接入所述核心网络。这样的凭证与所述SI有关并且可以(至少部分地)基于所述非SI公共密钥或者从其导出。在如根据3GPP管理的核心网络中,所述凭证可以被称为3GPP凭证。所述证书可以包含另外的核心网络数据,如核心身份代码、如IMEI(国际移动设备身份)的设备代码、或如IMSI(国际移动订户身份)的订户身份代码。而且,所述证书可以包含其他信息,如订户名、公共和相关联的私有密钥的所有者、其地址等。证书可以使用如已经经由所述本地网络建立的安全信道传送到所述非SI设备。
当接收到证书时,非SI设备可以检查证书。例如,其可以使用CA的公共验证密钥,同时使用证书中的非SI公共密钥的至少部分和/或其本身的非SI公共密钥副本,来检查证书的签名。凭证或另外的核心网络数据可以至少部分地被加密(例如,使用非SI公共密钥),而非SI设备可以通过解密同时使用非SI私有密钥来验证证书。
证书使得非SI设备能够经由本地网络以及在本地网络和核心网络之间的网关来接入核心网络。在实践中,非SI设备可以使用在不同位置上的各种网关来通过核心网络进行通信。网关根据核心通信协议来将本地网络侧(例如,Wi-Fi)的协议和消息转换为核心网络侧的对应消息。
当设备使用证书来被授权接入时,核心网络可以尝试在各个方面对该设备进行认证。例如,核心网络可以检查证书的签名以查看其是否被正确地签名,并且通过检查证书是否是由CA签名的。此外,核心网络可以要求设备证明其拥有与非SI公共密钥相对应的非SI私有密钥。如果签名是正确的,或者在接收到并成功地验证所述证明时,核心网将使用由非SI设备提供的身份数据(例如,非SI公共密钥或另外的核心网络数据的部分)来在订户数据库中进行搜索,以查看该身份是否具有接入网络的权利。例如,当对于SI而言已经支付了订制时,由于非SI设备和SI之间的关联,非SI设备对核心网络的使用可以向订户计费。定义非SI设备与订户之间的链路的关联数据被存储在核心网络的数据库中。
当设备使用凭证(例如,用户名/密码组合或身份和秘密密钥)而被授权接入时,核心网络通过检查所提供的用户名/密码组合是否为网络所知并且正确来尝试对设备进行认证。为此目的,密码可以以明文形式被发送给网络,但是在利用像网络提供的随机数的其它信息进行哈希运算之前在串接的密码上的哈希结果也可以被发送给网络。在凭证包括身份和秘密密钥的情况下,网络请求设备提供其身份并且利用该秘密密钥执行计算,并且将结果发送给网络,然后网络可以检查该结果的正确性。如果认证被成功执行,则核心网络将使用由非SI设备提供的用户名或身份数据来在订户数据库中进行搜索,以查看该身份是否具有接入网络的权利。
在一个实施例中,关联序列包括:通过以下操作来提供安全信道作为第一通信信道和第二通信信道中的另一信道:
-与充当服务器的非SI设备一起参与安全套接层(SSL[RFC 6101])协议或传输层安全(TLS[RFC 5246])协议,其中,非SI设备在自签名证书中提供非SI公共密钥,并且将该证书用作服务器证书消息中的服务器证书;或者
-如同非SI设备充当客户端来参与SSL或TLS协议,其中,非SI设备在客户端认证握手中在自签名证书中提供非SI公共密钥;或者
-参与通过其中使用非SI公共密钥或非SI私有密钥的公共密钥加密中建立的互联网协议安全(IPsec[RFC 4301])隧道;或者
-参与设备配置协议(DPP[DPP])认证协议,其中,非SI设备提供非SI公共密钥或另外的非SI公共密钥作为DPP引导密钥或DPP协议密钥。有效地,安全信道是在非SI设备和SI设备之间提供的,而在两个设备之间的另一信道是OOB信道。有利地,不同的独立信道向用户提供关于非SI设备是旨在进行关联的设备的安全性。通过以上述方式或者使用其它协议来建立安全信道,非SI设备还向SI设备证明了对非SI私有密钥的拥有。
在实施例中,所述的接收证书包括经由安全信道来接收证书。有利地,包括任何凭证的证书可以可控制地且安全地被递送给作为旨在进行关联的设备的非SI设备。
在实施例中,OOB信道是经由以下组中的一项来提供的:
-短程无线电通信协议,像NFC或蓝牙,
-在非SI设备侧使用像条形码或QR码的可视码并且在SI设备侧使用扫描器或相机的可视信道,
-用户信道,其中,码在SI设备侧被显示并且将在非SI系统侧被录入,
-用户信道,其中,码在非SI设备侧被显示并且将在SI系统侧被录入,或者将在SI设备侧与另外的码进行比较,以及
-用户信道,其中,码将被录入到非SI设备中,并且相关的码将被录入到SI设备中。用于OOB信道的各种选项有效地不同于并且独立于经由本地网络的以上安全信道。
在实施例中,非SI公共密钥包括分别与第一非SI私有密钥和第二非SI私有密钥相对应的第一非SI公共密钥和第二非SI公共密钥,
-第一非SI公共密钥首先经由OOB信道被提供给SI设备的,并且第二非SI公共密钥随后用作证书中的身份。有利地,第二非SI公共密钥对于用作证书中的身份而言是唯一的,而第一非SI公共密钥可以自由地分发或者可以是固定的,因为其被印刷在例如设备的壳体或手册上。
在实施例中,非SI设备中的处理器还被布置用于:
-从SI设备接收心跳消息,所述SI设备在从核心网络接收到心跳消息时传送心跳消息;并且经由网关来将所述心跳消息传送给所述核心网络;或者
-经由网关从所述核心网络接收心跳消息,并且将所述心跳消息传送给SI设备,SI设备将所述心跳消息传送给所述核心网络;
以用于在预定间隔期间没有从非SI设备接收到心跳消息时使得核心网络能够禁用非SI设备对核心网络的接入。有利地,所述心跳消息提供关于SI设备同意非SI设备使用SI的证明。
在实施例中,非SI设备中的处理器还被布置为管理多个用户帐户,并且被布置为:
-选择性地针对相应的用户帐户执行关联序列以建立多个相应证书,并且
-选择性地针对相应的用户帐户,基于相应证书来使得非SI设备能够接入核心网络。有利地,可以针对相应的用户账户提供多个关联。
根据本发明的方法可以作为计算机实现的方法在计算机上实现,或者在专用硬件中实现,或者在两者的组合中实现。用于根据本发明的方法的可执行代码可以被存储在计算机程序产品上。计算机程序产品的示例包括诸如记忆棒的存储器设备、诸如光盘的光存储设备、集成电路、服务器、在线软件等。
非瞬态形式的计算机程序产品可以包括被存储在计算机可读介质上的非瞬态程序代码模块,其用于在计算机上执行所述程序产品时执行根据本发明的方法。在一个实施例中,计算机程序包括:当计算机程序在计算机上运行时适于执行根据本发明的方法的所有步骤或阶段的计算机程序代码模块。优选地,计算机程序被体现在计算机可读介质上。还提供了一种瞬态形式的计算机程序产品,其可从网络下载和/或被存储在易失性计算机可读存储器和/或微处理器可执行介质中,该产品包括用于在计算机上被执行时实现上述方法的程序代码指令。
本发明的另一方面提供了一种使计算机程序以瞬态形式可供下载的方法。当计算机程序被上传到例如Apple的应用商店、Google的游戏商店或Microsoft的Windows商店中时,以及当计算机程序可供从此类商店下载时,使用该方面。
在所附的权利要求中给出了根据本发明的设备和方法的另外优选实施例,权利要求的公开内容通过引用的方式被并入本文中。
附图说明
本发明的这些和其它方面将从在以下描述中以举例的方式并且参照附图所描述的实施例而变得显而易见,并且参照这些实施例得以进一步阐明,在附图中:
图1示出了用于无线通信和建立OOB通信信道的非SI设备和SI设备,
图2示出了用于无线通信的非SI设备和SI设备,
图3示出了用于无线通信的非SI设备和UI设备,
图4示出了用于无线通信的非SI设备和UI设备的另外示例,
图5示出了用于在被布置用于与SI设备进行无线通信的非SI设备中使用的方法,
图6示出了用于在被布置用于与非SI设备进行无线通信的SI设备中使用的方法,
图7a示出了计算机可读介质,并且
图7b示出了处理器系统的示意性表示。
这些图纯粹是图解性的,而不是按比例绘制的。在附图中,与已经描述的元素相对应的元素可以具有相同的附图标记。
具体实施方式
图1示出了用于无线通信以及建立OOB通信信道的非SI设备和SI设备。在通信系统100中,非订户身份(非SI)设备120被布置用于根据本地通信协议在本地网络中进行无线通信。本地通信协议(例如,Wi-Fi)定义协议消息和在有限区域之内的无线收发,该区域被限制为Wi-Fi收发机的无线电传输范围。
在这样的通信系统(另外被称为SI系统)中,订户身份(SI)包括要接入核心网络的订户的订户身份数据,核心网络为在至少地区性区域之内的移动设备提供无线通信。如在概述中阐明的,核心网络可以是3G、LTE、4G或5G蜂窝核心网络,其具有如3GPP提议的扩展以允许非SI设备使用诸如Wi-Fi之类的本地网络来接入核心蜂窝网络(例如,被称为演进分组核心或EPC的4G核心网络)。
图1示意性地示出了用于在非SI设备120和SI设备110之间提供通信信道的无线通信130。这样的SI系统具有用于在有限区域之内进行无线通信的至少一个本地通信网络和用于在至少地区性区域之内的移动设备进行无线通信的至少一个核心网络。核心网络由例如用于管理订户数据库和开具费用清单的至少一个提供商管理。SI系统可以包括以下元素的任何组合:-至少一个订户身份模块(SIM),其包括订户身份数据;或者-至少一个SIM设备,其包括SIM和被布置用于与核心网络进行通信的
收发机;
-应用服务器(AS),其被布置用于在提供商侧实现关联序列;或者-订户数据库,其用于在提供商侧存储关于使用核心网络的订户数据;
或者
-证书机构(CA),其被布置用于利用其中的非SI公共密钥签名非SI公共密钥或证书;或者
-用户服务器,其被布置用于基于用户凭证,经由互联网等来接入和提
供订户身份数据和订户凭证。
非SI设备120最初不具有SI,并且被布置用于与具有对SI的接入的SI设备110进行协作。所述非SI设备具有:被布置用于根据本地通信协议进行本地收发的收发机121;以及被布置用于执行关联序列以建立与SI的关联的处理器122。
处理器122被布置为例如经由本地网络来向SI设备提供无线信道。然而,无线信道也可以经由不同的通信系统(例如,另外的Wi-Fi链路或蓝牙系统)来提供。
处理器122被布置为提供到SI设备的带外(OOB)信道140作为另外的通信信道,如虚线箭头所指示的。如在概述中阐明的,相对于使用某个频带进行无线电传输的以上无线信道而言,OOB信道是带外的。因此,OOB信道在使用与所述一个无线信道不同的物理机制,例如,由用户以可视方式或手动地录入数据。经由物理机制来创建具有有限范围的这些信道中的至少一者,以便使用户能够验证旨在进行关联的非SI设备在距构成相应信道的物理端点的SI设备的该有限范围内。
SI设备110被布置用于与以上非SI设备进行无线通信。所述SI设备具有:被布置用于与非SI设备进行无线通信的收发机111;以及被布置为执行关联序列以建立与SI的关联的处理器112。SI设备可以被设置有订户身份模块(SIM)116。SI设备还可以被设置有用户接口113,其例如包括显示器和一个或多个用户输入元件115。例如,用户输入元件可以包括触摸屏、各种按钮、鼠标或触摸板等中的一者或多者。按钮可以是常规的物理按钮、触摸传感器或虚拟按钮(例如,在触摸屏上或要经由鼠标激活的图标)。用户接口也可以是远程用户接口。
处理器112被布置为例如经由本地网络来向非SI设备提供无线信道。然而,无线信道也可以是经由不同的通信系统来提供的,例如,另外的Wi-Fi链路或蓝牙系统。处理器被布置为向SI设备提供带外(OOB)信道140作为另外的通信信道,如虚线箭头所指示的。因此,第一和第二通信是不同的,并且包括OOB信道作为一个信道。所述非SI设备包括例如被存储在存储器中的非SI私有密钥。非SI私有密钥与非SI公共密钥构成密钥对。
在非SI设备中,关联序列包括经由第一通信信道向SI设备提供非SI公共密钥。接下来,经由第二通信信道与SI设备共享验证码。然后,拥有非SI私有密钥的证明经由第一或第二通信信道被提供给SI设备。接下来,从SI设备,与SI有关的证书要被接收。证书应当包括如由证书机构在非SI公共密钥的至少部分上生成的签名,如上文阐明的。证书使得非SI设备能够经由本地网络和本地网络与核心网络之间的网关(在图2中示出)接入核心网络。
在SI设备中,处理器112被布置为执行包括经由第一通信信道接收来自非SI设备的非SI公共密钥的关联序列。接下来,经由第二通信信道与非SI设备共享验证码。然后经由第一或第二通信信道接收拥有与来自非SI设备的非SI公共密钥构成对的非SI私有密钥的证明。在接收证明的成功评价后,获得与SI有关并且包括如由证书机构在非SI公共密钥的至少部分上生成的签名的证书,如上文所阐明的。最后,证书被发送给非SI设备。
关于对公共密钥和私有密钥的使用(例如,使用OOB信道),注意以下内容。当两个无线设备需要保护它们的通信时,它们通常对它们的通信进行加密。然而,这要求两个无线设备知道相同的密钥。
Diffie-Hellman(参见参考文档[DH])是用于在双方之间建立安全密钥的公知技术,其中,在各方之间用于建立安全密钥的通信不向第三方透露关于所建立的安全密钥的任何信息。双方各自使用它们自己的公共密钥/私有密钥对,并且与彼此交换公共密钥。每一方能够使用其自己的私有密钥和另一方的公共密钥以及可能的一些其它信息(例如,来自每一方的随机数(随机数字))来计算安全密钥。每当每一方执行Diffie-Hellman或其重用旧密钥对时,其都可以重新生成密钥对。
Wi-Fi联盟的设备配置协议(DPP)(参见参考文档[DPP])使用Diffie-Hellman来在两个设备(想要被配置的DPP加入者、以及能够配置DPP加入者的DPP配置者)之间建立安全密钥,因此这些设备可以获得对启用DPP的网络的接入(另外参见参考文档[802.11])。
当在网络上执行Diffie-Hellman时,接收用于执行Diffie-Hellman的公共密钥的设备不知道该公共密钥来自哪个设备。这在所谓的中间人攻击中可能被攻击者所利用。攻击者E可能伪装成设备A想要与其进行连接的真实设备B。攻击者E执行与设备A的Diffie-Hellman,并且与设备A建立安全密钥。类似地,对于设备B而言,攻击者伪装成设备A,并且与设备B建立密钥。当消息来自设备A或设备B之一时,攻击者利用一个密钥来对该消息进行解密,利用另一密钥对其进行加密并且将其转发给另一设备。这样,设备A和B在它们的通信中不会注意到任何异常,除了一些额外延迟之外。当它们通过使用另一种通信方式发送相同的信息并且对结果进行比较来检查它们的通信时,它们将不会注意到对它们通信的任何篡改。但是攻击者已经完全了解它们通信的内容。
为了防止中间人攻击,提议使用额外的短程通信协议(带外(OOB)信道)来交换公共密钥或验证码(例如,公共密钥的哈希结果)。例如,设备的用户知道以OOB接收的公共密钥是来自短程通信协议的操作范围内的设备。在公共密钥的哈希结果是以OOB来交换的情况下,设备可以检查经由第一通信信道(例如,Wi-Fi)接收的需要被加密的公共密钥是否导致与以OBB接收的哈希结果相同的哈希结果。要注意的是,在本文档中对术语通信协议的使用包括ISO-OSI模型的多个层,包括用于收发的物理层。
在[DPP]中,描述了若干种OOB方法,其中一种是近场通信(NFC)。NFC是在相对短的距离(比如10-20厘米)内进行无线通信的一种技术。例如,NFC可以用作用于交换公共密钥的OOB通信。当使用NFC时,用户知道通过NFC接收的公共密钥来自距其设备10-20cm内的设备(因此来自他与其执行NFC“触摸”的设备)。当在对等模式下使用NFC时,另一设备还可以确保其从用户的设备接收到公共密钥。
图2示出了用于经由核心网络进行无线通信的非SI设备和SI设备。在通信系统200中,非SI设备220被布置用于根据本地通信协议(例如,Wi-Fi)在本地网络236中进行无线通信。
在通信系统中,核心网络CORE_N 230为在至少地区性区域之内的移动或固定设备提供无线通信232、233。如在概述中阐明的,核心网络可以是3GPP演进分组核心或EPC。通信系统还可以包括在本地网络236和核心网络之间的网关GW 234。此外,核心网络可以耦合到应用服务器AS 252、订户数据库Sub_DB 250和证书机构CA 254。SI数据可以是在诸如核心网络的提供商的管理系统的位置处(例如,在管理订户身份数据的服务器上的订户数据库250中)可得到的。可以使用授权服务器或证书机构254来认证和授权订户凭证。例如,订户还可以通过使用诸如用户名和密码之类的用户凭证或使用两步授权,经由互联网来登录到应用服务器252上的用户帐户,从而接入SI数据。AS可以耦合到或者可以包括订户数据库和CA。AS可以控制将非SI设备关联到SI的过程。
SI设备可以是SIM设备,其被布置用于经由核心网络来与存储订户数据库和CA的一个或多个服务器进行通信233,同时还被布置为经由无线信道242来与非SI设备(具体地,安全信道)进行通信。
在一个实施例中,关联序列包括:通过与充当服务器的非SI设备一起参与安全套接层(SSL[RFC 6101])协议或传输层安全(TLS[RFC 5246])协议来提供安全信道作为第一和第二通信信道中的另一信道,其中,非SI设备在自签名证书中提供非SI公共密钥,并且将该证书用作服务器证书消息中的服务器证书。替代地,可以通过如果非SI设备充当客户端而参与SSL或TLS协议来提供安全信道,其中,非SI设备在客户端认证握手中在自签名证书中提供非SI公共密钥。替代地,可以通过参与其中使用非SI公共密钥或非SI私有密钥的公共密钥加密而建立的互联网协议安全(IPsec[RFC 4301])隧道来提供安全信道。替代地,可以通过参与设备配置协议(DPP[DPP])认证协议来提供安全信道,其中,非SI设备将非SI公共密钥或另外的非SI公共密钥作为DPP引导密钥或作为DPP协议密钥来提供。任选地,在关联序列中,在提供以上安全信道之一之后,还经由安全信道传送证书。
当仅使用以上SSL、TLS或IPsec时,SI设备在证明拥有私有密钥时不能证明其正在与非SI设备进行通信。通过以带外(OOB)方式获得非SI设备的引导密钥,当非SI设备证明拥有相应的私有密钥时(尤其当紧接在使用OOB通信之前已经生成引导密钥对并且将短程通信技术用于OOB通信时),SI设备证明其正在与非SI设备进行通信。非SI设备的引导密钥可以用作以上第一公共密钥,或者另一公共密钥(协议密钥)可以用作第一公共密钥。DPP规范提供了设备可以如何在无线网络上传送协议密钥以及该设备如何证明拥有与协议密钥相对应的私有密钥的示例。
同样,在非SI和SI设备参与SSL或TTL或IPsec协议会话之前,可以在它们之间使用OOB信道,其中,第一公共密钥、包含第一公共密钥的证书或公共密钥或证书的哈希结果是以OOB被传递给SI设备的。SI设备必须检查其以OOB获得的关于第一公共密钥的信息是否与其通过安全信道从非SI设备获得的第一公共密钥相对应。作为一个选项,SI设备还可以使其用于建立安全信道的公共密钥、包含其公共密钥的证书或其公共密钥或证书的哈希结果通过OOB协议而可用于非SI设备。诸如NFC、QR码显示和扫描、蓝牙等的短程通信协议是合适的OOB协议。涉及用户的OOB方法的示例是:非SI设备显示其公共密钥或证书的(缩短的)哈希结果,用户必须将其与在第三网络上接收并且由SI设备显示的公共密钥或证书的(缩短的)哈希结果进行比较。
涉及用户的OOB方法的另一示例是:在两个设备参与SSL或TTL或IPsec协议会话之前,用户在它们中录入数字码(例如,PIN码)、密码或密码短语,并且这些设备必须检查是否使用了相同的验证。涉及用户的OOB方法的另一示例是:在两个设备参与DPP认证协议会话之前,用户在它们中录入数字码(例如,PIN码)、密码或密码短语作为PKEX(公共密钥交换)“码”,其中,PKEX用于引导DPP认证协议的安全性(参见用于PKEX和PKEX“码”的[DPP](第5.6节)以及DPP认证协议(第6.2节))。
此外,作为短程OOB安全信道,如果SI设备和非SI设备两者都安全地连接到同一Wi-Fi接入点或住宅网关,则Wi-Fi基础设施连接可以用作非SI设备通过其证明拥有私有密钥的OOB信道。
在另一实施例中,SI设备可以是Wi-Fi接入点和住宅网关(例如,[TR 23.716]中的5G-RG,其连接到5G核心网络并且支持5G网络协议),其被配备有SIM并且能够在OOB信道上与非SI设备进行通信,非SI设备在该OOB信道上提供稍后在Diffie-Hellman交换中用于在非SI和SI设备之间建立安全信道的身份。该身份或在建立安全信道时使用的另一公共密钥或证书然后可以用作非SI设备的身份以用于将非SI设备关联到核心蜂窝网络。此外,该身份或证书的某个部分然后可以用作公共密钥来对与SI相关联的另外凭证进行加密,所述另外凭证随后可以由非SI设备用来变得被授权接入核心网络。可以通过例如智能电话上的远程UI来操作SI设备。安全信道可以是上述四个选项中的任何一者或任何其它安全信道。
在另一实施例中,对于5G-RG来说,SI设备是充当DPP配置者的移动设备(参见[DPP]),由此SI设备具有用户接口,以使得用户选择其是否想要将非SI设备与SI设备或5G-RG或两者进行关联。该设备可以示出订户数据库的与SI设备和5G-RG设备相关的关于用户简档的信息、或者与不同选项相关的定价/计费信息。在非SI设备将与SI设备进行关联以接入核心网络的情况下,非SI设备的DPP协议密钥或DPP引导密钥可以用作非SI设备的身份。
在以上选项中,可以请求SI设备的用户/所有者接受非SI设备与SI设备的关联,因为这可能涉及用户/所有者的额外成本。
在实践中,关联序列可以涉及以下内容。在SI设备已经成功获得非SI设备的身份的证明之后,SI设备使用第一公共密钥或由非SI设备生成的包含第一公共密钥的证书作为非SI设备的身份,并且例如通过可以是启用5G的或者可以未启用5G的3GPP核心网络(直接地或通过Wi-Fi接入点/住宅网关)将其发送给AS服务器。AS服务器使用第一公共密钥作为非SI设备的身份来创建用于非SI设备的用户简档以及在SI设备的SI和非SI设备(其用户简档)之间的关联。AS将非SI设备的该用户简档发送到存储该用户简档的订户数据库。AS可以从证书机构或证书机构服务器(CA)请求第一公共密钥的证书,并且可以将证书发送给SI设备,所述SI设备随后将该证书发送给非SI设备(优选地,在诸如SSL、TLS连接、IPsec隧道之类的安全信道上或使用在DPP认证期间建立的对称密钥(例如,作为在DPP配置对象或者甚至在DPP连接器中的DPP配置协议消息的一部分))。除了第一公共密钥之外,对于CA的针对证书的请求可以包括要被包括在证书中的其它信息,例如,关于用户简档的信息、将由非SI设备使用的IMEI(如果有的话)、将由SI设备使用的IMSI(如果有的话)等。在US9648019B2中提供了AS、CA和Sub_DB服务器的概念以及这样的服务器可以如何辅助在SIM设备和非SIM设备之间创建关联的另外示例,而现在使用非SI公共密钥作为身份以及使用在SIM设备和非SIM设备之间的安全信道。AS还可以从CA、提供商服务器或订户数据库请求凭证,这些凭证使得非SI设备能够变得被授权接入核心网络。这些凭证由提供商存储(例如,存储在订户数据库中)。AS可以利用第一公共密钥对凭证的至少部分进行加密,并且将包括经加密的凭证的证书发送给SI设备,SI设备将证书转发给非SI设备以进行如上所述的处理。
图3示出了用于经由核心网络进行无线通信的非SI设备和UI设备。在通信系统300中,非SI设备320被布置用于例如经由Wi-Fi来与UI设备310进行无线通信。通信系统300的各种元件对应于参照图2描述的通信系统200中的类似元件。这样的元件具有相同的附图标记并且不再进行描述。UI设备310具有用户接口和收发机,以经由核心网络进行通信以用于接入SI。随之,UI设备被布置用于连接到AS 252并且从订户数据库Sub-DB 250获得SI以及从CA 254获得签名证书。
在实施例中,用于接入3GPP核心网络的凭证可以链接到人;情形可以是以下内容。(U-)SIM卡的所有者还在他的提供商的网站上具有帐户。当登录他的提供商的网站时,使用具有3GPP连接或3GPP收发机的任何UI设备,用户可能能够以证书的形式请求基于人的凭证。登录提供商的网站可以要求任何认证流程,例如,用户名/密码、证书等。UI设备可能必须供应要使用和签名在证书中的公共密钥。其还可以是证书由具有对应的私有密钥的网站递送。网站可以将证书和可能的对应私有密钥存储在UI设备中的适当位置处,并且在此之后,UI设备可以使用该证书以通过连接到3GPP网络的AP或住宅网关在3GPP网络上获得认证。(U-)SIM卡的所有者将为非SI设备的3GPP使用而付费。在该证书中,UI设备还可以请求和接收利用公共密钥加密的凭证,如前面所解释的。
上文可以在具有UI或可以运行此类应用的设备中实现。对于作为非SI设备320的无头设备(即不具有用户接口的设备),提出以下内容以安装3GPP证书或凭证。当UI设备具有以上SI设备的角色时,步骤的系列将如针对图2所描述,但是其中UI设备获得证书,如上针对UI设备所描述的。UI设备可以是使用SIM连接到3GPP网络和应用服务器的SIM设备。
图4示出了用于经由核心网络进行无线通信的非SI设备和UI设备的进一步示例。在通信系统400中,非SI设备420被布置用于例如经由Wi-Fi来与UI设备410进行无线通信。通信系统400的各种元件对应于参照图2描述的通信系统200中的类似元件。这样的元件具有相同的附图标记并且不再进行描述。UI设备410具有用户接口,并且被布置用于经由互联网IN 433进行通信。例如,UI设备410可以经由互联网连接到应用服务器AS 252以获得证书,类似于如上关于图3描述的经由到核心网络的连接来获得证书。
在一个实施例中,提供商可以提供用户可以在没有3GPP收发机的设备上下载和运行的应用。用户必须在该应用中录入其用户名和密码,并且然后应用通过不涉及3GPP蜂窝网络的互联网连接来请求证书。然后,应用可以使用证书,通过连接到3GPP网络的AP或住宅网关使得非SI设备在3GPP网络上被认证。在实践中,UI设备可以是具有互联网连接的设备(例如,通过陆线),其中,建立到应用服务器的可信信道(其中,用户必须提供其用户名和密码或证书等)。
在一个实施例中,非SI设备是无头设备,其以机器可读码(例如,QR码或条形码)的形式在标签上或在其手册中示出其公共引导密钥。具有足够好的显示器的无头设备可以在其显示器上示出新生成的公共引导密钥。接下来,UI设备扫描无头设备的公共引导密钥。接下来,UI设备通过Wi-Fi来发送无头设备信息,无头设备可以利用Wi-Fi而知道UI设备已经读取其公共引导密钥(例如,通过发送公共密钥的哈希结果)。
随后,为了建立安全信道,UI设备通过Wi-Fi来与无头设备执行Diffie-Hellman交换(其中,其预期无头设备使用其已经扫描的公共密钥引导密钥),并且以这种方式建立与无头设备的安全连接。可选地,无头设备创建第二非SI公共密钥/私有密钥对,将第二非SI公共密钥发送给UI设备并且证明拥有私有密钥。该步骤可以与安全信道的建立集成。
接下来,UI设备使用公共引导密钥或第二非SI公共密钥作为公共密钥,以在蜂窝网络提供商处请求证书。该通信可以在与蜂窝网络提供商的服务器的另外安全信道上完成,该安全信道是使用用户的凭证(例如,用户名和密码)来建立的,以用于在蜂窝网络提供商处获得对用户帐户的接入。
UI设备现在从蜂窝网络提供商接收包括凭证的证书,并且使用所述安全信道将证书传送给非SI设备。非SI设备现在可以使用第二网络(236),以针对3GPP网络(232、230)而被认证并且使用3GPP网络。
作为以上基于非SI公共密钥的证书的替代,UI设备可以接收基于提供商生成的公共密钥以及伴随的提供商生成的私有密钥的替代证书,并且将二者传送给非SI设备。非SI设备现在可以使用基于提供商生成的公共密钥和提供商生成的私有密钥的替代证书来使用3GPP网络。
在一个实施例中,运营商或用户可能希望限制非SI设备正在与SI进行关联时可以在其中操作以便获得对核心网络的接入的区域,例如以用于额外的安全。提供了各种选项以确定非SI设备是否在预期操作范围内,例如通过确保两个设备保持彼此接近。
在一个实施例中,核心网络在第一网络上向SI设备发送心跳消息(例如,寻呼消息)。心跳信息可能具有随机分量,使得它们难以被非SI设备预测。SI设备被布置为例如使用为非SI设备和SI设备之间的关联过程而建立的安全信道来将心跳消息转发给非SI设备。然后,非SI设备经由第二网络将所接收的心跳转发给核心网络。当核心网络在一段时间内没有接收到正确的心跳信号时,核心网络禁用非SI设备对核心网络的接入。在核心网络再次接收到正确的心跳信号之后,其可以再次启用接入。
任选地,SI设备还可以使用心跳来在时间上或用途上限制非SI设备对核心网络的接入,因为这种接入可能涉及订户的额外成本。当SI设备想要限制接入时,其停止转发心跳信号。当SI设备再次允许接入时,其再次开始转发心跳信号。停止非SI设备对核心网络的接入的另一种方式是SI设备撤销在AS服务器处第一公共密钥作为用于相关联的非SI设备的身份的关联。
在另一实施例中,SI设备使用由SI设备签名的消息流来定期地向AS传递关于在SI设备和非SI设备之间的距离的信息。例如,可以通过使用如[802.11]中定义的定时测量(TM)或精细定时测量(FTM)机制来确定距离。替代地,当SI设备与非SI设备连接到相同的Wi-Fi AP/住宅网关时,其可以使用由SI设备签名的消息流来向AS发送关于这样的连接的信息。AS可以被布置为验证该信息,并且检查该信息是否是由SI设备正确签名的。如果距离超过特定配置的阈值,或者如果其最近没有接收到这样的连接信息,则拒绝非SI设备接入核心网络。
在另外的实施例中,SI设备充当针对去往和/或来自非SI设备的业务的特定部分的中继器。随之,SI设备被布置为使用SI设备自己的凭证来对消息的部分进行加密。AS可以使用经加密的部分来检测SI设备直接参与非SI设备通信,并且核心网络没有从某个其它地方附着到核心网络的被侵入的非SI设备被接入。
在另外的实施例中,SI设备和/或非SI设备连接到其的AP/RG可以持续地跟踪并且向AS发送关于非SI设备所请求的服务/内容的信息。AS现在可以检查服务和内容是否符合被分配给非SI设备的接入限。如果不是,则被侵入的设备可能正在使用非SI设备的凭证来尝试接入由非SI设备请求的不同的服务/内容集合。然后,AS可以撤销对非SI设备的接入或服务。
在另外的实施例中,可以利用一个以上的用户帐户来设置非SI设备。通常存在至少一个主用户帐户,其它辅助帐户可以利用该主用户账户来创建。用户帐户可以不同于SIM设备的用户帐户,同时用户可以具有不同的权限来接入互联网或蜂窝网络上的内容/服务(例如,父母相比于子女)。例如,每个帐户可以与不同的Google帐户、Apple ID或Microsoft帐户连接。每个辅助帐户可能被许可或可能没有被许可使用设备的Wi-Fi或3GPP系统。此外,每个帐户可能需要被配置有针对由蜂窝网络提供的内容/服务的不同类型的接入限制(例如,父母对未成年儿童帐户的控制)。任选地,在多用户非SI设备中,可以仅允许特定用户帐户与SI设备相关联。对于所允许的用户帐户中的每一者,关联可以是相同的SI,在这种情况下,与SI设备的关联仅需要进行一次。替代地,多个不同的SI可以与相应的用户帐户相关联,在这种情况下,需要分别与不同SI中的每一者进行关联。
在一个实施例中,与一个SI相关联的用户帐户名或多个用户帐户名可以具有在相关联的SI设备从CA服务器请求的证书中列出的帐户名或帐户ID。为此,非SI设备需要使用与非SI设备建立的安全信道(在此期间,非SI设备证明拥有属于非SI设备的公共密钥的私有密钥)来向SI设备提供用户帐户名。任选地,在包含第一公共密钥的证书中提及帐户名,并且利用第一公共密钥所对应的私有密钥来对其进行签名(因此例如在由非SI设备生成的自签名SSL或TLS证书中)。代替仅有第一密钥,SI设备将该证书发送给AS服务器,并且要由CA服务器生成的证书包含(一个或多个)帐户名。对于SI设备的用户来说,优势在于其可以从证书中看到启用非SI设备的哪些用户。对于SI设备、AS和CA来说,优势在于它们可以检查其是否是已经命名用户账户的非SI设备。
在另外的实施例中,当已经准许非SI设备对核心网络的接入时,通过其中非SI设备通过其证明拥有属于非SI设备的公共密钥的私有密钥的相同安全信道来发送关于非SI设备的用户帐户和被准许接入的可能的接入限制的信息。在接收到该信息时,非SI设备针对非SI设备的相应的不同用户帐户来实施这些接入限制。
图5示出了用于在被布置用于与SI设备进行无线通信的非SI设备中使用的方法。上文已经描述了这些设备。该方法可以例如由固定或移动计算设备中的处理器中的电路和软件来执行。上文已经描述了本地网络、核心网络或其它网络中的无线通信以及用于OOB信道的各种选项。要注意的是,图5示出了用于可以与SI设备进行协作的非SI设备的方法。与非SI公共密钥构成一对的非SI私有密钥被存储在非SI设备中。该密钥对可以被永久或临时存储,或者可以首先生成以用于建立新的关联。
在该方法中,执行关联序列并且从节点开始501开始。在第一阶段PR-NPK 503中,经由第一通信信道来向SI设备提供非SI公共密钥。随之,例如经由诸如Wi-Fi之类的无线网络来建立第一通信信道。第一信道也可以是如上所述的OOB信道,例如,非SI公共密钥可以以打印形式被提供给SI设备,而对应的私有密钥必须被存储在非SI设备内部。
在下一阶段SH-VER 504中,经由第二通信信道来与SI设备共享验证码。随之,例如经由与第一通信信道不同的无线通信(例如,蓝牙)来建立第二通信信道。第一和第二通信信道是不同的,而第一和第二通信信道之一是OOB信道。例如,可以通过在SI设备上显示验证码来经由OOB信道共享该码,同时用户必须在非SI设备上手动录入该码。在下一阶段PR-PRO 505中,经由第一或第二通信信道来向SI设备提供(使用前述用于此的协议中的任何协议)拥有非SI私有密钥的证明。
如果对证明的评价是不成功的,则如由箭头510所指示当无证书被接收时,例如在预定超时时段之后,或者当接收到无证书可用的消息时,方法终止。如果证明已经成功评价,则SI设备可以包含可能包括凭证的证书,并且将证书发送到非SI设备。在下一阶段REC-CER 506中,证书从SI设备接收,该证书与SI有关并且包括如由证书机构在非SI公共密钥的至少部分上生成的签名。
最后,在阶段AC-CORE 507中,证书使得非SI设备能够经由本地网络和本地网络与核心网络之间的网关接入核心网络。关联序列在节点结束508中终止。
图6示出了用于在被布置用于与非SI设备进行无线通信的SI设备中使用的方法。上文已经描述了这些设备。该方法可以例如由固定或移动计算设备中的处理器中的电路和软件来执行。
在该方法中,执行关联序列并且从节点开始601开始。在第一阶段OB-NPK 602中,经由第一通信信道从非SI设备获得非SI公共密钥。随之,例如经由诸如Wi-Fi之类的无线网络来建立第一通信信道。第一信道也可以是如上所述的OOB信道,例如,非SI公共密钥可以由SI设备通过扫描打印的QR码来获得。
在下一阶段SH-VER 603中,经由第二通信信道来与SI设备共享验证码。随之,例如经由与第一通信信道不同的无线通信来建立第二通信信道。第一和第二通信信道是不同的,而第一和第二通信信道之一是OOB信道。例如,可以通过在SI设备上显示验证码来经由OOB信道共享该码,同时用户必须在非SI设备上手动录入该码。在下一阶段RC-PRO 604中,经由第一或第二通信信道,使用前述用于此的协议中的任何协议来接收拥有非SI私有密钥的证明,该非SI私有密钥与来自非SI设备的非SI公共密钥构成一对。
在下一阶段EV-PRO 605中,评估所接收的证明,并且如果对该证明的评估不是成功的,则该方法终止,如到节点结束608的箭头610所指示的。例如在预定的超时时段之后没有获得证书。此外,可以发送关于没有证书可用的中止消息。如果已经成功地评估该证明,则SI设备可以如上所述地获得证书,并且在下一阶段TR-CER 606中向非SI设备发送证书。
最后,在任选的阶段MN-NSI 607中,当证书使得非SI设备能够经由本地网络以及在本地网络和核心网络之间的网关来接入核心网络时,可以监测非SI设备对核心网络的接入和/或使用,例如,监测非SI设备的位置、或者非SI设备的接入、服务和/或业务。关联序列在节点结束608中终止。
如对于本领域技术人员来说将是显而易见的,实现这些方法的许多不同方式是可能的。例如,可以改变阶段或步骤的次序,或者可以并行地执行一些阶段。此外,在步骤之间可以插入其它方法步骤。所插入的步骤可以表示诸如本文描述的方法的细化,或者可以与该方法无关。
提供了可从网络下载和/或被存储在计算机可读介质和/或微处理器可执行介质上的计算机程序产品,其包括用于在计算机设备上被执行时实现以上方法、连接序列、安全过程和进一步操作的程序代码指令。因此,可以使用软件来执行根据本发明的方法,软件包括用于使得处理器系统执行相应方法的指令。
通常,进行交互以执行关联序列的非SI设备和SI设备各自包括耦合到存储器的处理器,所述存储器包含被存储在这些设备处的适当软件代码;例如,该软件可能已经被下载和/或被存储在相应的存储器中,例如,诸如RAM之类的易失性存储器或诸如闪存(未示出)之类的非易失性存储器。这些设备可以例如被配备有微处理器和存储器(未示出)。替代地,这些设备可以全部或部分地以可编程逻辑来实现,例如作为现场可编程门阵列(FPGA)。这些设备和服务器可以全部或部分地被实现为所谓的专用集成电路(ASIC),即为其特定用途而定制的集成电路(IC)。例如,电路可以用CMOS(例如,使用诸如Verilog、VHDL等的硬件描述语言)来实现。
软件可以仅包括系统的特定子实体所采取的那些步骤。软件可以被存储在适当的存储介质中,例如,硬盘、软盘、存储器等。软件可以作为信号沿着导线或无线或使用数据网络(例如,互联网)来发送。可以使得软件可供下载和/或在服务器上远程使用。根据本发明的方法可以使用被布置为将可编程逻辑(例如,现场可编程门阵列(FPGA))配置为执行该方法的比特流来执行。应该理解,软件可以具有源代码、目标代码、源代码和目标代码中间的代码(例如,部分编译的形式)的形式,或者具有适于在根据本发明的方法的实现中使用的任何其它形式。涉及计算机程序产品的实施例包括与所阐述的方法中的至少一种方法的处理步骤中的每一者相对应的计算机可执行指令。这些指令可以被细分为子例程和/或被存储在静态或动态链接的一个或多个文件中。涉及计算机程序产品的另一实施例包括与所阐述的系统和/或产品中的至少一者的模块中的每一者相对应的计算机可执行指令。
图7a示出了具有可写部分1010的计算机可读介质1000,可写部分1010包括计算机程序1020,计算机程序1020包括用于使得处理器系统在如参照图1-6描述的系统中执行以上方法和过程中的一者或多者的指令。计算机程序1020可以作为物理标记或借助于计算机可读介质1000的磁化而体现在计算机可读介质1000上。然而,也可以预想到任何其它适当的实施例。此外,将明白的是,尽管计算机可读介质1000在此处被示为光盘,但是计算机可读介质1000可以是任何适当的计算机可读介质(例如,硬盘、固态存储器、闪存等),并且可以是不可记录或可记录的。计算机程序1020包括用于使得处理器系统执行所述方法的指令。
图7b示出了根据如参照图1-6所描述的设备或方法的实施例的处理器系统1100的示意性表示。处理器系统可以包括电路1110,例如,一个或多个集成电路。在该图中示意性地示出了电路1110的架构。电路1110包括处理单元1120(例如,CPU),其用于运行计算机程序组件以执行根据一个实施例的方法和/或实现其模块或单元。电路1110包括用于存储编程代码、数据等的存储器1122。存储器1122的一部分可以是只读的。电路1110可以包括通信元件1126,例如,天线、收发机、连接器或两者等。电路1110可以包括专用集成电路1124,其用于执行在该方法中定义的部分或全部处理。处理器1120、存储器1122、专用IC 1124和通信元件1126可以经由互连1130(比如总线)连接到彼此。处理器系统1110可以被布置用于分别使用连接器和/或天线进行有线和/或无线通信。
将明白的是,为了清楚起见,以上描述参照不同的功能单元和处理器来描述了本发明的实施例。然而,将显而易见的是,在不偏离本发明的情况下,可以使用在不同的功能单元或处理器之间的任何适当的功能分配。例如,被示为由单独的单元、处理器或控制器执行的功能可以由相同的处理器或控制器来执行。因此,对特定功能单元的引用仅被视为对用于提供所描述的功能的适当模块的引用,而不是指示严格的逻辑或物理结构或组织。本发明可以用包括硬件、软件、固件或这些项的任何组合的任何适当形式来实现。
要注意的是,在本文档中,动词“包括”并不排除除了所列出的元素或步骤以外的元件或步骤的存在,并且在元件前面的词语“一”或“一个”并不排除多个此类元素的存在。当在元素列表前面时,诸如“至少一个”之类的表达表示从该列表中选择全部或任何元件子集。例如,表达“A、B和C中的至少一个”应当被理解为包括仅A、仅B、仅C、A和B两者、A和C两者、B和C两者或者全部A、B和C。任何附图标记都不限制权利要求的范围。本发明可以借助于硬件和软件两者来实现。若干“模块”或“单元”可以由相同的硬件或软件项来表示,并且处理器可以实现一个或多个单元的功能(可能与硬件元件进行协作)。此外,本发明不限于各实施例,并且本发明在于上述或在相互不同的从属权利要求中记载的每一个新颖特征或特征的组合。
总之,非SI设备被布置用于无线通信并且与具有对订户身份的接入的SI设备进行协作。非SI设备具有用于在本地网络中进行通信的收发机以及用于建立与SI的关联的处理器。经由第一通信信道来向SI设备提供非SI公共密钥。经由第二通信信道来与SI设备共享验证码。这些通道是不同的,并且包括带外(OOB)信道。经由第一或第二通信信道来向SI设备提供拥有非SI私有密钥的证明。从SI设备接收与SI有关并且使用非SI公共密钥的至少部分上计算的签名的证书。证书可靠地使得非SI设备能够经由本地网络以及在本地网络和核心网络之间的网关来接入核心网络。
参考文档:
[802.11]IEEE Computer Society,“IEEE Standard for InformationTechnology–Telecommunications and Information Exchange Between Systems–Localand Metropolitan Area Networks–Specific requirements Part 11:Wireless LANMedium Access Control(MAC)and Physical Layer(PHY)Specifications,”(IEEEStd.802.11-2016),December 2016
[DH]Diffie,W.;Hellman,M.(1976),"New directions in cryptography",IEEETransactions on Information Theory,22(6):644–654
[DPP]Device Provisioning Protocol-Technical Specification-Version1.0,Wi-Fi Alliance,2018
[HOTSPOT]Hotspot 2.0(Release 2)Technical Specification Package(seehttps://www.wi-fi.org/discover-wi-fi/passpoint)
[RFC 4301]"Security Architecture for the Internet Protocol",December2005,https://datatracker.ietf.org/doc/rfc4301/
[RFC 5246]"The Transport Layer Security(TLS)Protocol,Version 1.2",August 2008,https://datatracker.ietf.org/doc/rfc5246/
[RFC 6101]"The Secure Sockets Layer(SSL)Protocol Version 3.0",August2011,https://datatracker.ietf.org/doc/rfc6101/
[TS 23.402]3rd Generation Partnership Project;Technical SpecificationGroup Services and System Aspects;Architecture enhancements for non-3GPPaccesses(Release 15);3GPP TS 23.402 V15.3.0(2018-03)
http://www.3gpp.org/ftp//Specs/archive/23_series/23.402/23402-f30.zip
[TS 24.302]3rd Generation Partnership Project;Technical SpecificationGroup Core Network and Terminals;Access to the 3GPP Evolved Packet Core (EPC)via non-3GPP access networks;Stage 3(Release 15);3GPP TS 24.302V15.3.0(2018-06)
[TS 33.402]3rd Generation Partnership Project;TechnicalSpecificationGroup Services and System Aspects;3GPP System ArchitectureEvolution(SAE);Security aspects of non-3GPP accesses(Release 15);3GPP TS33.402V15.1.0(2018-06)
Claims (17)
1.一种被布置用于根据本地通信协议的本地网络(236)中的无线通信(130)的非订户身份,即非SI,设备,
- 所述本地通信协议定义协议消息和跨有限区域的无线收发,
所述非SI设备(120)不包括SI,并且被布置用于与具有对所述SI的接入的SI设备协作,
- 所述SI包括提供商的订户的订户身份数据,所述订户身份数据用于接入核心网络(230),所述核心网络提供用于跨至少地区性区域的移动设备的无线通信,
所述非SI设备包括:
- 非SI私有密钥,其与非SI公共密钥构成对;
- 收发机(121),其被布置用于根据所述本地通信协议的本地收发;
- 处理器(122),其被布置为执行关联序列以与所述SI建立关联,所述关联序列包括:
- 经由第一通信信道向所述SI设备提供所述非SI公共密钥,
- 经由第二通信信道与所述SI设备共享验证码以验证所述SI设备已经获得所述非SI公共密钥,
- 所述第一通信信道与所述第二通信信道是不同的,并且所述信道中的一个信道是带外信道,即,OOB信道(140),
- 经由所述第一通信信道或所述第二通信信道向所述SI设备提供拥有所述非SI私有密钥的证明,
- 从所述SI设备接收与所述SI有关并且包括由证书机构在所述非SI公共密钥的至少部分上生成的签名的证书,
所述证书使得所述非SI设备能够经由所述本地网络和所述本地网络与所述核心网络之间的网关接入所述核心网络。
2.根据权利要求1所述的设备,其中,所述关联序列包括通过以下操作来提供安全信道作为所述第一通信信道和所述第二通信信道中的另一个通信信道:
- 与充当服务器的所述非SI设备一起参与安全套接层SSL协议或传输层安全TLS协议,其中,所述非SI设备在自签名证书中提供所述非SI公共密钥,并且将该证书用作服务器证书消息中的服务器证书;或者
- 如同所述非SI设备充当客户端来参与SSL或TLS协议,其中,所述非SI设备在客户端认证握手中在自签名证书中提供所述非SI公共密钥;或者
- 参与通过其中使用所述非SI公共密钥或所述非SI私有密钥的公共密钥加密中建立的互联网协议安全IPsec隧道;或者
- 参与设备配置协议DPP认证协议,其中,所述非SI设备提供所述非SI公共密钥或另外的非SI公共密钥作为DPP引导密钥或DPP协议密钥。
3.根据权利要求2所述的设备,其中,所述的接收所述证书包括经由所述安全信道接收所述证书。
4.根据权利要求1至3中的任一项所述的设备,其中,所述OOB信道是经由包括以下各项的组中的一项提供的:
- 短程无线电通信协议,
- 在非SI设备侧使用视觉码并且在SI设备侧使用扫描器或相机的视觉信道,
- 在其中代码被显示在所述SI设备侧并且要被录入在所述非SI系统侧的用户信道,
- 在其中代码被显示在所述非SI设备侧并且要被录入在所述SI系统侧或者要与所述SI设备侧的另外的代码进行比较的用户信道,以及
- 在其中代码要被录入在所述非SI设备中并且相关代码要被录入在所述SI设备中的用户信道。
5.根据权利要求4所述的设备,其中,所述短程无线电通信协议包括NFC或蓝牙。
6.根据权利要求4所述的设备,其中,所述视觉码包括条形码或QR码。
7.根据权利要求1至3中的任一项所述的设备,其中,所述非SI公共密钥包括第一非SI公共密钥和第二非SI公共密钥,所述第一非SI公共密钥和所述第二非SI公共密钥分别对应于第一非SI私有密钥和第二非SI私有密钥,
- 所述第一非SI公共密钥初始地经由所述OOB信道被提供给所述SI设备,并且所述第二非SI公共密钥随后被用作所述证书中的身份。
8.根据权利要求1至3中的任一项所述的设备,其中,所述处理器还被布置用于进行以下操作:
- 接收来自所述SI设备的心跳消息,所述SI设备在接收到来自所述核心网络的所述心跳消息的情况下传送所述心跳消息,并且经由所述网关将所述心跳消息传送到所述核心网络;或者
- 经由所述网关接收来自所述核心网络的心跳消息并且将所述心跳消息传送到所述SI设备,所述SI设备将所述心跳消息传送到所述核心网络;
用于使得所述核心网络能够在预定间隔期间没有接收到来自所述非SI设备的所述心跳消息的情况下禁用所述非SI设备对所述核心网络的所述接入。
9.根据权利要求1至3中的任一项所述的设备,其中,所述处理器还被布置用于管理众多用户帐户并且用于进行以下操作:
- 选择性地用于相应用户帐户执行所述关联序列以建立多个相应证书,并且
- 选择性地用于相应用户帐户使得所述非SI设备能够基于所述相应证书来接入所述核心网络。
10.一种被布置用于与非SI设备(120)无线通信(130)的订户身份SI设备(110),所述SI设备具有对SI的接入,
- 所述SI包括提供商的订户的订户身份数据,所述订户身份数据用于接入核心网络(230),所述核心网络提供用于跨至少地区性区域的移动设备的无线通信,
所述SI设备包括:
- 收发机(111),其被布置用于与所述非SI设备无线通信,
- 处理器(112),其被布置为执行关联序列以与所述SI建立关联,所述关联序列包括:
- 经由第一通信信道获得来自所述非SI设备的非SI公共密钥,
- 经由第二通信信道与所述非SI设备共享验证码以用于验证所述SI设备已经获得所述非SI公共密钥,
- 所述第一通信信道与所述第二通信信道是不同的,并且所述信道中的一个信道是带外信道,即,OOB信道(140),
- 经由所述第一通信信道或所述第二通信信道接收拥有与来自所述非SI设备的所述非SI公共密钥构成对的非SI私有密钥的证明,
- 在对接收到的证明的成功评价的情况下获得与所述SI有关并且包括由证书机构在所述非SI公共密钥的至少部分上生成的签名的证书,并且
- 将所述证书发送到所述非SI设备,
所述证书使得所述非SI设备能够经由本地网络和所述本地网络与所述核心网络之间的网关接入所述核心网络。
11.根据权利要求10所述的SI设备,包括:
- 订户身份模块SIM(116),其包括所述订户身份数据;
- 另外的收发机,其被布置用于与所述核心网络无线通信。
12.根据权利要求10或11所述的SI设备,其中,所述处理器被布置为:
- 接收来自所述核心网络的心跳消息并且将所述心跳消息传送到所述非SI设备,或者
- 接收来自所述非SI设备的心跳消息并且将所述心跳消息传送到所述核心网络,
用于使得所述核心网络能够在预定间隔期间没有接收到来自所述非SI设备的所述心跳消息的情况下禁用所述非SI设备对所述核心网络的所述接入。
13.根据权利要求10或11所述的SI设备,其中,所述处理器被布置为:
- 接收并且中继所述非SI设备与所述核心网络之间的数据通信的特定部分,同时使用与所述SI有关的密钥将中继数据的部分进行加密,
用于确定所述非SI设备的所述数据通信经由所述SI设备被启用。
14.根据权利要求10或11所述的SI设备,其中,所述处理器被布置为:
- 确定所述非SI设备的位置是否在允许范围内,或者
- 测量所述SI设备与所述非SI设备之间的距离是否在所述允许范围内,
用于使得所述核心网络能够在发现所述非SI设备不在所述允许范围内的情况下禁用所述非SI设备对所述核心网络的所述接入。
15.一种用于非订户身份,即非SI,设备中的方法,所述非SI设备被布置用于与SI设备无线通信,所述SI设备具有对SI的接入,
- 所述SI包括提供商的订户的订户身份数据,所述订户身份数据用于接入核心网络(230),所述核心网络提供用于跨至少地区性区域的移动设备的无线通信,
所述非SI设备包括与非SI公共密钥构成对的非SI私有密钥,
所述方法包括:
- 经由第一通信信道向所述SI设备提供所述非SI公共密钥,
- 经由第二通信信道与所述SI设备共享验证码以用于验证所述SI设备已经获得所述非SI公共密钥,
- 所述第一通信信道与所述第二通信信道是不同的,并且所述信道中的一个信道是带外信道,即,OOB信道,
- 经由所述第一通信信道或所述第二通信信道向所述SI设备提供拥有所述非SI私有密钥的证明,
- 从所述SI设备接收与所述SI有关并且包括由证书机构在所述非SI公共密钥的至少部分上生成的签名的证书,
所述证书使得所述非SI设备能够经由本地网络和所述本地网络与所述核心网络之间的网关接入所述核心网络。
16.一种用于订户身份SI设备中的方法,所述SI设备被布置用于与非SI设备无线通信,所述SI设备具有对SI的接入,
- 所述SI包括提供商的订户的订户身份数据,所述订户身份数据用于接入核心网络(230),所述核心网络提供用于跨至少地区性区域的移动设备的无线通信,
所述方法包括:
- 经由第一通信信道获得来自所述非SI设备的非SI公共密钥,
- 经由第二通信信道与所述非SI设备共享验证码以用于验证所述SI设备已经获得所述非SI公共密钥,
- 所述第一通信信道与所述第二通信信道是不同的,并且所述信道中的一个信道是带外信道,即,OOB信道,
- 经由所述第一通信信道或所述第二通信信道接收拥有与来自所述非SI设备的所述非SI公共密钥构成对的非SI私有密钥的证明,
- 在对接收到的证明的成功评价的情况下获得与所述SI有关并且包括由证书机构在所述非SI公共密钥的至少部分上生成的签名的证书,并且
- 将所述证书发送到所述非SI设备,
所述证书使得所述非SI设备能够经由本地网络和所述本地网络与所述核心网络之间的网关接入所述核心网络。
17.一种计算机可读介质和/或微处理器可执行介质,其包括程序代码指令,当在计算设备上执行时,所述程序代码指令用于实现根据权利要求13或14的方法。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP18191727.9 | 2018-08-30 | ||
| EP18191727.9A EP3618382A1 (en) | 2018-08-30 | 2018-08-30 | Non-3gpp device access to core network |
| PCT/EP2019/072866 WO2020043730A1 (en) | 2018-08-30 | 2019-08-27 | Non-3gpp device access to core network |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112640387A CN112640387A (zh) | 2021-04-09 |
| CN112640387B true CN112640387B (zh) | 2023-12-15 |
Family
ID=63491412
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201980056758.8A Active CN112640387B (zh) | 2018-08-30 | 2019-08-27 | 用于无线连接的非si设备、si设备、方法和计算机可读介质和/或微处理器可执行介质 |
Country Status (6)
| Country | Link |
|---|---|
| US (2) | US11917416B2 (zh) |
| EP (2) | EP3618382A1 (zh) |
| JP (2) | JP7337912B2 (zh) |
| CN (1) | CN112640387B (zh) |
| BR (1) | BR112021003448A2 (zh) |
| WO (1) | WO2020043730A1 (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3618382A1 (en) * | 2018-08-30 | 2020-03-04 | Koninklijke Philips N.V. | Non-3gpp device access to core network |
| US11681788B2 (en) * | 2019-09-10 | 2023-06-20 | Ford Global Technologies, Llc | Autonomous vehicle authentication key delivery |
| FR3111203B1 (fr) * | 2020-06-08 | 2023-02-10 | Evidian | Dispositif informatique et procédé pour l’authentification d’un utilisateur |
| CN116321082A (zh) * | 2021-12-21 | 2023-06-23 | 中兴通讯股份有限公司 | 基于短距离通信的组网方法、设备和存储介质 |
| US12096214B2 (en) | 2022-04-14 | 2024-09-17 | Hewlett Packard Enterprise Development Lp | Establishing a backup connectivity between a sensor and a management system |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104506534A (zh) * | 2014-12-25 | 2015-04-08 | 青岛微智慧信息有限公司 | 安全通信密钥协商交互方案 |
| CN106465120A (zh) * | 2014-04-15 | 2017-02-22 | 瑞典爱立信有限公司 | 用于对网路进行集成的方法和节点 |
| CN106716920A (zh) * | 2014-09-25 | 2017-05-24 | 贝扎德·莫赫比 | 基于代理验证对核心网络的混合式接入的方法及设备 |
| WO2017165488A1 (en) * | 2016-03-22 | 2017-09-28 | Google Inc. | Methods and apparatus for sim-based authentication of non-sim devices |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9423146B2 (en) * | 2013-03-14 | 2016-08-23 | Bradley Steve Bruce | HVAC controller having integrated comfort window display |
| JP6444200B2 (ja) * | 2015-02-09 | 2018-12-26 | キヤノン株式会社 | 通信装置、通信装置の制御方法、プログラム |
| US20160360407A1 (en) * | 2015-06-05 | 2016-12-08 | Qualcomm Incorporated | Distributed configurator entity |
| EP3345416A4 (en) * | 2015-09-01 | 2019-03-06 | Telefonaktiebolaget LM Ericsson (PUBL) | METHODS AND DEVICES FOR AUTHENTICATING SIM-FREE MOBILE TERMINALS ACCESSING A WIRELESS COMMUNICATION NETWORK |
| JP6716399B2 (ja) * | 2016-09-06 | 2020-07-01 | キヤノン株式会社 | 通信装置、通信装置の制御方法及びプログラム |
| US20180109418A1 (en) * | 2016-10-19 | 2018-04-19 | Qualcomm Incorporated | Device provisioning protocol (dpp) using assisted bootstrapping |
| CN108419232A (zh) * | 2017-02-10 | 2018-08-17 | 联发科技(新加坡)私人有限公司 | 共享用户身份模块卡的方法和移动终端 |
| US10958425B2 (en) * | 2018-05-17 | 2021-03-23 | lOT AND M2M TECHNOLOGIES, LLC | Hosted dynamic provisioning protocol with servers and a networked responder |
| EP3618382A1 (en) * | 2018-08-30 | 2020-03-04 | Koninklijke Philips N.V. | Non-3gpp device access to core network |
| US11490258B2 (en) * | 2019-04-19 | 2022-11-01 | Nxp Usa, Inc. | Method and apparatus for securing a Wi-Fi link in a wireless communication system |
-
2018
- 2018-08-30 EP EP18191727.9A patent/EP3618382A1/en not_active Withdrawn
-
2019
- 2019-08-27 EP EP19756402.4A patent/EP3844929B1/en active Active
- 2019-08-27 BR BR112021003448-0A patent/BR112021003448A2/pt unknown
- 2019-08-27 CN CN201980056758.8A patent/CN112640387B/zh active Active
- 2019-08-27 JP JP2021510401A patent/JP7337912B2/ja active Active
- 2019-08-27 US US17/271,618 patent/US11917416B2/en active Active
- 2019-08-27 WO PCT/EP2019/072866 patent/WO2020043730A1/en unknown
-
2023
- 2023-08-23 JP JP2023135160A patent/JP7564919B2/ja active Active
-
2024
- 2024-01-29 US US18/425,236 patent/US20240171982A1/en active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106465120A (zh) * | 2014-04-15 | 2017-02-22 | 瑞典爱立信有限公司 | 用于对网路进行集成的方法和节点 |
| US9648019B2 (en) * | 2014-04-15 | 2017-05-09 | Telefonaktiebolaget Lm Ericsson (Publ) | Wi-Fi integration for non-SIM devices |
| CN106716920A (zh) * | 2014-09-25 | 2017-05-24 | 贝扎德·莫赫比 | 基于代理验证对核心网络的混合式接入的方法及设备 |
| CN104506534A (zh) * | 2014-12-25 | 2015-04-08 | 青岛微智慧信息有限公司 | 安全通信密钥协商交互方案 |
| WO2017165488A1 (en) * | 2016-03-22 | 2017-09-28 | Google Inc. | Methods and apparatus for sim-based authentication of non-sim devices |
Also Published As
| Publication number | Publication date |
|---|---|
| US20210329461A1 (en) | 2021-10-21 |
| EP3844929A1 (en) | 2021-07-07 |
| JP2021536687A (ja) | 2021-12-27 |
| JP2023162296A (ja) | 2023-11-08 |
| CN112640387A (zh) | 2021-04-09 |
| BR112021003448A2 (pt) | 2021-05-18 |
| EP3618382A1 (en) | 2020-03-04 |
| WO2020043730A1 (en) | 2020-03-05 |
| US20240171982A1 (en) | 2024-05-23 |
| EP3844929B1 (en) | 2022-04-06 |
| JP7564919B2 (ja) | 2024-10-09 |
| US11917416B2 (en) | 2024-02-27 |
| JP7337912B2 (ja) | 2023-09-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112640387B (zh) | 用于无线连接的非si设备、si设备、方法和计算机可读介质和/或微处理器可执行介质 | |
| CN112640385B (zh) | 用于在si系统中使用的非si设备和si设备以及相应的方法 | |
| KR101038064B1 (ko) | 애플리케이션 인증 | |
| EP2912815B1 (en) | Method and apparatus for securing a connection in a communications network | |
| WO2015029945A1 (ja) | 加入者プロファイル転送方法、加入者プロファイル転送システム及びユーザ装置 | |
| CN101371550A (zh) | 自动安全地向移动通信终端的用户供给在线服务的服务访问凭证的方法和系统 | |
| CN110545252B (zh) | 一种认证和信息保护的方法、终端、控制功能实体及应用服务器 | |
| US20240129320A1 (en) | Method and device to provide a security level for communication | |
| WO2017091987A1 (zh) | 一种终端间的安全交互方法及装置 | |
| RU2779029C1 (ru) | Доступ не отвечающего спецификациям 3gpp устройства к базовой сети | |
| CN117158011A (zh) | 预配无头wifi设备以及相关系统、方法和设备 | |
| CN106060810B (zh) | 移动设备间连接关系的建立方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |