CN114258693A - 无电子用户身份模块(esim)凭证的移动设备认证 - Google Patents
无电子用户身份模块(esim)凭证的移动设备认证 Download PDFInfo
- Publication number
- CN114258693A CN114258693A CN201980099498.2A CN201980099498A CN114258693A CN 114258693 A CN114258693 A CN 114258693A CN 201980099498 A CN201980099498 A CN 201980099498A CN 114258693 A CN114258693 A CN 114258693A
- Authority
- CN
- China
- Prior art keywords
- euicc
- key
- ausf
- authentication
- temporary
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 230000001413 cellular effect Effects 0.000 claims abstract description 114
- 238000000034 method Methods 0.000 claims abstract description 88
- 238000004891 communication Methods 0.000 claims abstract description 39
- 238000012545 processing Methods 0.000 claims abstract description 19
- 238000013523 data management Methods 0.000 claims abstract description 8
- 230000004044 response Effects 0.000 claims description 36
- 230000006870 function Effects 0.000 claims description 28
- 230000003068 static effect Effects 0.000 claims description 9
- 238000009826 distribution Methods 0.000 claims description 4
- 238000004519 manufacturing process Methods 0.000 claims description 4
- 238000003860 storage Methods 0.000 abstract description 13
- 230000009471 action Effects 0.000 description 23
- 238000010586 diagram Methods 0.000 description 13
- 230000001052 transient effect Effects 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 4
- 238000013500 data storage Methods 0.000 description 3
- 238000009795 derivation Methods 0.000 description 3
- 238000007726 management method Methods 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 230000008569 process Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 241000700159 Rattus Species 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000005192 partition Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
- H04L9/0841—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
- H04L9/0844—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/40—Security arrangements using identity modules
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/18—Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
- H04W8/20—Transfer of user or subscriber data
- H04W8/205—Transfer to or from user equipment or user record carrier
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/068—Network architectures or network communication protocols for network security for supporting key management in a packet data network using time-dependent keys, e.g. periodically changing keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
Abstract
本申请阐述了用于通过使用可扩展认证协议传输层安全(EAP‑TLS)程序在没有电子用户身份模块(eSIM)凭证的情况下向蜂窝无线网络认证移动设备的技术。该移动设备使用嵌入式通用集成电路卡(eUICC)证书向该蜂窝无线网络的认证服务器功能(AUSF)进行认证。该eUICC外部的移动无线设备的处理电路实现该EAP‑TLS程序并且认证该AUSF的有效性。在一些实施方案中,该eUICC为该移动设备与该蜂窝无线网络之间的通信提供会话密钥的密钥生成和存储。在一些实施方案中,第三方管理的统一数据管理(UDM)代理基于对eUICC证书的了解来认证该移动设备,并且在成功认证该移动设备时向该蜂窝无线网络提供会话密钥以用于随后与该移动设备进行通信。
Description
技术领域
所描述的实施方案阐述了用于向蜂窝无线网络认证移动无线设备的技术,其中移动无线设备不包括用户身份模块(SIM)、电子SIM(eSIM)或配置SIM。
背景技术
许多移动无线设备被配置为使用可移除通用集成电路卡(UICC),该可移除通用集成电路卡使得移动无线设备能够访问由移动网络运营商(MNO)所提供的服务。具体地讲,每个UICC至少包括微处理器和只读存储器(ROM),其中ROM被配置为存储MNO简档,无线设备可使用此MNO简档来注册并与MNO进行交互以通过蜂窝无线网络获取无线服务。简档也可被称为用户身份模块(SIM)。通常,UICC采取被插入移动无线设备的UICC接收区中的小的可移除卡的形式(常常被称为SIM卡)。在最近的具体实施中,将UICC直接嵌入到无线设备的系统板中。嵌入式UICC(eUICC)可提供超过相比传统的可移除UICC的优点,因为eUICC可包括可重写存储器,该可重写存储器可有利于安装、修改和/或删除eUICC上的一个或多个电子SIM(eSIM),其中eSIM可提供用于访问由MNO提供的扩展特征部的新和/或不同服务和/或更新。eUICC可存储多个MNO简档(在本文中也称为eSIM),并可消除将UICC接收区包括在无线设备中的需要。
一些移动无线设备在由最终用户初始采集时,诸如被称为无SIM的那些设备,可包括加载在eUICC上的引导eSIM(简档)以提供与MNO配置服务器的连接,以用于下载操作eSIM,从而允许移动无线设备访问MNO的服务。引导eSIM可预先加载在移动无线设备的eUICC上,而不需要具体最终用户的参与,该引导eSIM通常由移动无线设备供应商和MNO之间的协议提供。引导eSIM的特征可由MNO确定,并可针对不同MNO而变化,最终用户可寻求这些不同MNO来定制所采集的移动无线设备。引导eSIM也可用于初始下载针对MNO的操作eSIM,在一些情况下,针对移动无线设备上的MNO所使用的eSIM或伴随软件的更新。对MNO配置服务器的访问还可取决于在移动无线设备位于直接访问MNO的蜂窝无线网络不可用的区域中时MNO与本地蜂窝无线网络提供商之间的漫游协议。
虽然配置简档可提供对采集全功能简档的访问,但包括和使用此类配置简档会带来一些问题。移动无线设备的eUICC中的有限存储空间可由针对不同MNO的一个或多个配置简档占用。当移动无线设备正在漫游时,配置简档可能受限或不具有功能。另外,对于可在移动无线设备中同时活动的简档的数量的限制(例如,在一些情况下,在eUICC上一次仅一个活动简档)可导致活动简档的连接被切断,以便激活用于下载或更新eSIM的配置简档。作为MNO发布的eSIM简档的配置简档需要移动无线设备特定的个性化,这可能使移动无线设备的制造和分发复杂化。
已经提出了用于非蜂窝无线网络认证的可扩展认证协议传输层安全(EAP-TLS)程序以在蜂窝无线网络上使用。为了满足MNO蜂窝无线网络安全级别,已经推荐在移动无线设备的安全元件上执行EAP-TLS程序;然而,安全元件的有限处理和存储能力阻碍了采用。然而,在移动无线设备的安全元件之外执行EAP-TLS程序被认为不如在安全元件上安全。因此,需要一种满足移动无线设备的MNO蜂窝无线网络安全性和处理能力的混合方法。
发明内容
本申请阐述了用于使用可扩展认证协议(EAP)传输层安全(TLS)程序向蜂窝无线网络认证移动设备(也称为用户装备(UE))的技术。UE在安全元件(SE)(例如,嵌入式通用集成电路卡(eUICC))和SE外部的UE的处理电路之间划分EAP-TLS程序的执行,其中该处理电路可被称为移动装备(ME)。EAP-TLS程序用于i)使用由eUICC安全地维护的eUICC证书向蜂窝无线网络的认证服务器功能(AUSF)认证UE,以及ii)基于服务器证书由ME认证蜂窝无线网络的AUSF。UE的eUICC可基于eUICC证书来签署二进制大对象(BLOB),并且将所签署的BLOB提供给ME以便与AUSF通信作为EAP-TLS程序的一部分,该BLOB可包括来自AUSF的质询。UE的ME可使用证书撤销列表和时间戳检查来验证从AUSF接收的消息,以确定由AUSF提供的服务器证书的有效性。eUICC基于eUICC证书向AUSF认证其自身(以及因此UE),而ME基于服务器证书认证AUSF(以及因此蜂窝无线网络)。ME在eUICC的帮助下实现EAP-TLS程序,以提供满足蜂窝无线网络对安全认证的要求的安全功能。在一些实施方案中,eUICC为EAP-TLS程序和/或为由UE执行的后续认证和密钥协商(AKA)程序提供附加密钥生成和存储。在另一个实施方案中,由第三方(例如,UE的制造商)维护的统一数据管理(UDM)代理基于安全地维护在UE的eUICC中并且为UDM代理所知的eUICC证书,并且基于可在UE上安全地预先配置的附加密码密钥(例如,网络认证密钥和隐私加密密钥)来认证UE。UE经由蜂窝无线网络与UDM代理通信以认证其自身,并且当认证成功时,UDM代理生成会话密钥并将该会话密钥提供给蜂窝无线网络的AUSF,以用于生成用于UE与蜂窝无线网络之间的后续安全通信的密码密钥。UE单独生成会话密钥,该会话密钥可以用作第五代(5G)AKA程序的一部分。
根据结合以举例的方式示出所述实施方案的原理的附图而进行的以下详细描述,本发明的其他方面和优点将变得显而易见。
提供本发明内容仅用于概述一些示例性实施方案的目的,以便提供对本文所述主题的一些方面的基本理解。因此应当理解,上述特征仅为示例,并且不应解释为以任何方式缩窄本文所描述的主题的范围。本文所描述的主题的其它特征、方面和优点将通过以下具体实施方式、附图和权利要求书而变得显而易见。
附图说明
本公开通过下面结合附图的具体描述将更易于理解,其中类似的附图标记表示类似的结构元件。
图1示出了根据一些实施方案的被配置为实现本文所述的各种技术的示例性系统的不同部件的框图。
图2示出了根据一些实施方案的图1的系统的示例性部件的更详细视图的框图。
图3A和图3B示出了根据一些实施方案的由移动无线设备和各种蜂窝无线网络实体执行以实现可扩展认证协议传输层安全(EAP-TLS)程序的现有技术示例性动作序列。
图4A、图4B和图4C示出了根据一些实施方案的用以向蜂窝无线网络认证移动无线设备的示例性动作序列。
图5A、图5B和图5C示出了根据一些实施方案的用以向蜂窝无线网络认证移动无线设备的另一示例性动作序列。
图6A和图6B示出了根据一些实施方案的用以向蜂窝无线网络认证移动无线设备的另外的示例性动作序列。
图7示出了根据一些实施方案的用以向蜂窝无线网络认证移动无线设备的示例性方法的流程图。
图8示出了根据一些实施方案的用以向蜂窝无线网络认证移动无线设备的另一示例性方法的流程图。
图9示出了根据一些实施方案的移动无线设备的示例性元件的框图。
具体实施方式
在该部分描述了根据本申请的方法与装置的代表性应用。提供这些示例仅为了添加上下文并有助于理解所描述的实施方案。因此,对于本领域的技术人员而言将显而易见的是,可在没有这些具体细节中的一些或全部的情况下实践所述实施方案。在其他情况下,为了避免不必要地模糊所述实施方案,未详细描述熟知的处理步骤。其他应用是可能的,使得以下示例不应被当作是限制性的。
在以下详细描述中,参考了形成说明书的一部分的附图,并且在附图中以例示的方式示出了根据所述实施方案的具体实施方案。虽然这些实施方案被描述得足够详细,以使本领域的技术人员能够实践所述实施方案,但是应当理解,这些示例不是限制性的;使得可以使用其他实施方案,并且可以在不脱离所述实施方案的范围的情况下作出修改。
本申请阐述了用于使用可扩展认证协议(EAP)传输层安全(TLS)程序向蜂窝无线网络认证移动设备(也称为用户装备(UE))的技术。UE在安全元件(SE)(例如,嵌入式通用集成电路卡(eUICC))和SE外部的UE的处理电路之间划分EAP-TLS程序的执行,其中该处理电路可被称为移动装备(ME)。EAP-TLS程序用于i)使用由eUICC安全地维护的eUICC证书向网络认证服务器(例如,第五代(5G)蜂窝无线网络的认证服务器功能(AUSF))认证UE,以及ii)基于由网络实体提供的服务器证书由ME认证蜂窝无线网络的网络实体(例如,AUSF)。本文所述的技术通过以下方式来利用UE的平台级别安全性:包括eUICC参与EAP-TLS程序以满足UE试图向其认证自身的MNO的蜂窝无线网络的安全性要求,同时允许ME执行整体EAP-TLS状态机并认证蜂窝无线网络。
UE认证可基于使用由UE安全地维护的可信eUICC证书。UE的eUICC可基于eUICC证书来签署二进制大对象(BLOB),并且将所签署的BLOB提供给ME以便与AUSF通信作为EAP-TLS程序的一部分,该BLOB可包括来自AUSF的质询。UE的ME可基于由AUSF提供的服务器证书来验证从AUSF接收的消息,并且可使用证书撤销列表、在线证书状态协议(OCSP)装订和时间戳检查来确定由AUSF提供的服务器证书的有效性。eUICC基于eUICC证书向AUSF认证其自身(以及因此UE),而ME基于服务器证书认证AUSF(以及因此蜂窝无线网络)。ME在eUICC的帮助下实现EAP-TLS程序,以提供满足蜂窝无线网络对安全认证的要求的安全功能。
可由eUICC和/或由ME执行密码密钥生成和存储。在一些实施方案中,ME生成临时公共/私有密钥对{ePK,eSK}并且将临时公共密钥(ePK)提供给蜂窝无线网络作为TLS客户端密钥交换的一部分,以在生成用于UE与蜂窝无线网络之间的安全通信会话的密码密钥时用于附加安全性。在一些实施方案中,ME使用椭圆曲线密钥协商(ECKA)程序生成根会话密钥KAUSF以获得扩展主会话密钥(EMSK),利用该EMSK可以导出根会话密钥KAUSF。根会话密钥KAUSF随后可用作密钥导出函数(KDF)的一部分,以导出用于UE与蜂窝无线网络的网络实体之间的安全通信的附加非接入层(NAS)层和接入层(AS)层密码密钥。在一些实施方案中,eUICC对于EAP-TLS程序实现密钥生成和存储,例如,以生成会话密钥KAUSF,生成临时密钥;并且/或者对于由UE执行的后续认证和密钥协商(AKA)程序实现密钥生成和存储。eUICC可在EAP-TLS程序期间向ME提供密码密钥,例如,临时公共密钥ePK和/或随后导出的会话密钥KAUSF,以供ME用于生成附加NAS层和/或AS层密码密钥。
在另一个实施方案中,由第三方(例如,UE的制造商)维护的统一数据管理(UDM)代理基于安全地维护在UE的eUICC中并且任选地为UDM代理预先所知的eUICC证书,并且基于附加密码密钥(例如,用于生成会话密钥的网络认证密钥PKauth,其中所生成的密钥随后用于初始认证以访问UE的归属网络,以及用于对UE的标识符进行加密以维护隐私的加密密钥PKenc)来认证UE。网络认证密钥PKauth和加密密钥PKenc两者可被安全地预先配置在UE的eUICC上。eUICC还可被预先配置有或动态地选择归属公共陆地移动网络(HPLMN),并且使用虚设标识符(例如,具有未使用的移动订阅标识符(MSIN)值(诸如全零值)的国际移动订阅标识符(IMSI))来向接入网络实体标识UE,该接入网络实体可将通信从UE转发到核心网实体以提供给UDM代理进行认证。在一些实施方案中,UE向UDM代理提供唯一装备标识符(EID)的加密版本,以向UDM代理标识UE以认证其自身,其中UDM代理可基于所提供的EID来确定对于UE适用的eUICC证书。在一些实施方案中,UE向UDM代理提供eUICC证书的加密版本以进行认证。UDM代理验证eUICC证书的有效性以认证UE,并且当认证成功时,UDM代理生成会话密钥(例如,KAUSF)并将该会话密钥提供给蜂窝无线网络的AUSF,以用于生成用于UE与蜂窝无线网络之间的后续安全通信的密码密钥。UE单独生成会话密钥KAUSF,其可由UE单独使用或与临时密钥结合使用以生成附加密码密钥,例如作为5GAKA程序的一部分,以用于UE与蜂窝无线网络之间的安全通信。
在一些实施方案中,可通过以下方式来适应漫游场景:使UE正在其中漫游的服务网络的网络实体(例如,安全锚功能(SEAF))将EAP有效载荷传送到UE可针对其预先配置以用于通信的归属网络的网络实体(例如,AUSF)。SEAF可使用基本EAP栈来在不了解EAP有效载荷的内容的情况下传输EAP有效载荷。在一些实施方案中,SEAF可识别非标准消息收发,例如,对于使用虚设IMSI值的HPLMN选择,以向归属网络转发消息以进行进一步处理来认证UE。
对不包括SIM或eSIM凭证的UE的认证可用于访问服务器以便配置eSIM凭证。如本文所讨论的认证还可用于基本无线设备以获得蜂窝无线网络访问,而不需要安装在其上的SIM/eSIM凭证,例如用于物联网(IoT)设备等。
以下参考图1至图9讨论这些实施方案和其他实施方案;然而,本领域的技术人员将容易地理解,本文相对于这些附图的所给出的详细描述仅出于说明性目的并且不应理解为限制性的。
图1示出了根据一些实施方案的被配置为实现本文所述的各种技术的系统100的不同部件的框图。更具体地,图1示出了系统100的高级概述,如图所示,该系统包括用户装备(UE)102(其也可称为移动无线设备、无线设备、移动设备等)、由不同移动网络运营商(MNO)114管理的一组基站112-1至112-n,以及与MNO 114通信的一组网络服务器116。UE102可表示移动计算设备(例如
的
或
基站112-1至112-n可表示被配置为与UE 102通信的蜂窝无线网络实体,包括演进型NodeB(eNodeB或eNB)和/或下一代NodeB(gNodeB或gNB),并且MNO 114可表示提供可供UE 102订阅的特定服务(例如语音和数据)的不同的无线服务提供商。
如图1所示,UE 102可包括处理电路,该处理电路可包括处理器104和存储器106,安全元件诸如嵌入式通用集成电路卡(eUICC)108,以及基带部件110,该基带部件可包括在无线电路中以用于由UE进行的无线通信。在一些实施方案中,除了或替代eUICC 108,UE102包括一个或多个物理UICC(也称为用户身份模块(SIM)卡(未示出))。UE 102的部件一起工作以使得UE 102能够向UE 102的用户提供有用的特征,诸如蜂窝无线网络访问、非蜂窝无线网络访问、本地化计算、基于位置的服务和互联网连接。eUICC 108可被配置为存储用于通过基站112-1至112-n访问不同MNO 114的多个电子SIM(eSIM)。例如,eUICC 108可被配置为存储和管理针对与UE 102相关联的不同订阅的一个或多个MNO 114的一个或多个eSIM。为了能够访问由MNO提供的服务,可将eSIM配置给eUICC 108。在一些实施方案中,eUICC 108从一个或多个相关联的网络服务器116获得一个或多个eSIM(或者一个或多个eSIM的更新)。需注意,网络服务器116可由UE 102的制造商、MNO 114、第三方实体等来维护。在网络服务器116与eUICC 108之间(或在网络服务器116与eUICC 108外部的UE 102的处理电路例如处理器104之间)的eSIM数据通信可使用安全通信信道。
UE 102在被用户采集时可缺少激活的eSIM,并要求用户从对应的网络服务器116选择MNO 114并从该网络服务器下载针对MNO 114的功能eSIM。在一些情况下,UE 102可不包括用以连接到基站112以到达网络服务器116的配置eSIM。在一些情况下,UE 102可基于预先配置给UE 102的安全元件(例如,eUICC 108)并且由该安全元件维护的可信证书来向网络服务器116(或者向MNO蜂窝无线网络的一个或多个其他网络实体)认证其自身。在一些实施方案中,UE 102使用部分地在eUICC 108上以及部分地在eUICC 108外部的UE 102的处理电路(例如,处理器104、存储器106和/或基带部件110)上实现的可扩展认证协议传输层安全(EAP-TLS)程序来向蜂窝无线网络认证其自身。
图2示出了根据一些实施方案的图1的UE 102的特定部件的更详细视图200的框图。如图2所示,结合存储器106的处理器104可实现主操作系统(OS)202,该主OS被配置为执行应用程序204(例如,本地OS应用程序和用户应用程序)。同样如图2所示,eUICC 108可被配置为实现eUICC OS 206,该eUICC OS被配置为管理eUICC 108的硬件资源(例如,嵌入在eUICC 108中的处理器和存储器)。eUICC OS 206还可被配置为例如通过启用、禁用、修改或以其他方式执行对eUICC 108内的eSIM 208的管理并且向基带部件110提供对eSIM 208的访问以将对无线服务的访问提供给UE 102,来管理由eUICC 108存储的eSIM 208。eUICC108OS可包括eSIM管理器210,该eSIM管理器可对各种eSIM 208执行管理功能。根据图2所示的图示,每个eSIM 208可包括定义eSIM 208的操作方式的多个小程序212。例如,小程序212中的一个或多个小程序在由基带部件110和eUICC 108实现时,可被配置为使UE 102能够与MNO 114通信并且向UE 102的用户提供有用的特征(例如,电话呼叫和互联网)。
同样如图2所示,UE 102的基带部件110可包括基带OS 214,该基带OS被配置为管理基带部件110的硬件资源(例如,处理器、存储器、不同的无线电部件等)。根据一些实施方案,基带部件110可实现基带管理器216,该基带管理器被配置为与eUICC 108进行交互以与配置服务器116建立安全信道并且从配置服务器116获得信息(诸如eSIM数据)以用于管理eSIM 208。基带管理器216可被配置为实现服务218,这表示软件模块集合,这些软件模块通过包括在eUICC 108中的启用的eSIM 208的各种小程序212而被实例化。例如,服务218可被配置为根据在eUICC 108内被启用的不同eSIM 208来管理UE 102和MNO 114之间的不同连接。
在初始配置时,UE 102上可能未安装有eSIM 208。UE 102还可能缺少配置eSIM208,利用该配置eSIM连接到被指定用于将eSIM 208配置给UE 102的网络服务器116。为了访问蜂窝无线网络,UE 102必须向蜂窝无线网络认证其自身,以及认证来自蜂窝无线网络的通信。eUICC 108可存储、维护并使用eUICC证书作为EAP-TLS程序的一部分以向蜂窝无线网络认证UE 102。eUICC 108外部的UE 102的处理电路可验证网络提供的服务器证书的有效性,以认证蜂窝无线网络。由于eUICC 108的计算处理能力和存储可能是有限的,因此eUICC 108仅可实现EAP-TLS程序的一部分,而eUICC 108未实现的总体状态机和附加处理可由eUICC 108外部的UE 102的处理电路执行。
图3A和图3B示出了UE 102与若干蜂窝无线网络实体之间的通信的图300、320,该通信用以实现现有技术EAP-TLS程序以便UE 102向网络服务器(例如,AUSF 304)进行认证,该网络服务器可处于蜂窝无线网络的核心网络部分中。UE 102经由SEAF 302通信,该SEAF针对漫游场景可在相同蜂窝无线网络的接入网络部分中或者在不同蜂窝无线网络的接入网络部分中。UE 102可向SEAF 302发送注册请求消息(动作#1),该注册请求消息包括UE102的加密标识符,例如订阅隐藏标识符(SUCI)。SEAF 302通过将SUCI连同服务网络(SN)名称一起转发到AUSF 304来请求对UE 102的认证(动作#2),该AUSF将请求转发到统一数据管理(UDM)306服务器(动作#3)。UDM 306的订阅标识符去隐藏功能(SIDF)从SUCI导出未加密订阅永久标识符(SUPI),并且UDM 306选择认证方法(动作#4),即,使用EAP-TLS以来认证UE102。UDM 306指示用于认证的EAP-TLS,并且在提供给AUSF 304的认证响应消息中包括SUPI(动作#5)。AUSF 304通过向SEAF 302发送认证响应来发起EAP-TLS程序(动作#6),该认证响应包括具有指定的EAP-TLS的EAP请求和TLS开始指示,该SEAF在认证请求(Auth-Req.)消息中将EAP请求连同下一代(5G)密钥集标识符(ngKSI)和架构间反竞标(ABBA)参数一起转发到UE 102以发起EAP-TLS(动作#7)。UE 102用包括EAP-TLS客户端问候指示的认证响应(Auth-Resp.)消息向SEAF 302回复(动作#8),该EAP-TLS客户端问候指示在UE认证请求消息中被转发到AUSF 304(动作#9)。AUSF 304用UE认证响应消息来回复(动作#10),该UE认证响应消息包括UE 102用来认证AUSF 304(以及因此AUSF 304所属的蜂窝无线网络)的服务器证书以及来自UE 102的对证书的请求。来自AUSF 304的UE认证响应消息还可包括一个或多个服务器密码密钥。SEAF 302在认证响应消息中将从AUSF 304接收的UE认证响应消息的内容连同ngKSI和ABBA参数一起转发到UE 102(动作#11)。UE 102基于所接收的认证响应消息的内容来认证AUSF 304(动作#12)。UE 102可被预先配置有一个或多个证书以验证经由SEAF 302从AUSF 304接收的服务器证书。当AUSF 304的认证成功时,UE 102向SEAF 302发送认证响应消息(动作#13),该认证响应消息具有包括UE证书和一个或多个UE密码密钥的内容。SEAF 302将包括UE证书的认证响应消息的内容转发到AUSF 304(动作#14)以用于UE102的认证。AUSF 304基于UE证书来认证UE 102(动作#15),包括验证UE证书对应于从UDM306接收的SUPI。AUSF 304可被预先配置有发证机构(CA)证书以及关于在线证书状态协议(OCSP)信息的证书撤销列表(CRL)以用于验证UE证书。当UE 102的认证成功时,AUSF 304向SEAF 302发送指示密码规范改变的认证响应消息(动作#16),该SEAF将具有ngKSI和ABBA参数的消息的内容转发到UE 102(动作#17)。UE 102用空认证响应消息向SEAF302回复(动作#18),该空认证响应消息消息被转发到AUSF 304(动作#19)。AUSF 304用最终UE认证响应消息进行响应(动作#20)并且包括导出的到SEAF 302的锚密码密钥连同UE 102的SUPI,该最终UE认证响应消息指示EAP-TLS程序的成功。SEAF 302将EAP-TLS成功指示连同ngKSI和ABBA参数一起转发到UE 102(动作#21)。
图4A、图4B和图4C示出了由UE 102的不同元件执行以使用EAP-TLS程序向蜂窝无线网络认证UE 102的示例性动作集合的图400、420、440。UE 102包括eUICC 108和eUICC108外部的UE 102的处理电路,示出为移动装备(ME)402。ME 402执行状态机来执行EAP-TLS程序以便UE 102进行认证,而eUICC 108在EAP-TLS程序期间提供支持功能以满足蜂窝无线网络的安全要求,即由eUICC 108基于安全维护的eUICC私有签名密钥及其相关联的代表UE102的证书进行数字签署。ME 402执行EAP-TLS程序(动作#1至动作#11),并且在从SEAF 302接收的认证请求消息中获得服务器证书(在动作#11中指示为TLS证书)以用于认证蜂窝无线网络的服务器(即AUSF 304)。在动作#11处接收的认证请求消息包括出于认证目的对UE102的证书的请求,并且可任选地包括服务器密码密钥信息,诸如UE 102要使用的加密密码组的指示。在404处,当EAP-TLS程序的相互认证成功时,ME 402可生成临时密码密钥,例如临时公共密钥(ePK)和临时私有密钥(eSK),以用于生成用于UE 102与蜂窝无线网络之间的安全通信的加密密钥。ME 402基于在动作#11的认证请求消息中接收到的TLS证书来认证蜂窝无线网络(动作#12)。ME 402可使用证书撤销列表(CRL),执行在线证书状态协议(OCSP)装订程序,并且/或者检查时间戳来确定由AUSF 304经由SEAF 302提供的TLS(服务器)证书的有效性。由于eUICC 108可能具有有限的存储和处理能力,因此用以验证TLS(服务器)证书的CRL、OCSP材料等替代地由ME 402来维护和使用。当蜂窝无线网络的认证成功时,ME402在422处向eUICC 108发送指示为EAPTLSSign(BLOB)的消息,其中指示为二进制大对象(BLOB)的EAPTLSSign消息的内容将由eUICC 108使用由eUICC 108安全地维护和管理的eUICC私有签名密钥来签署。在一些实施方案中,要由eUICC 108使用eUICC私有签名密钥及其证书签署的BLOB包括要在后续动作#13的认证响应消息中提供的内容中的一些或全部。eUICC 108在424处基于与eUICC证书相关联的私有签名密钥生成BLOB的签名,并且在426处向ME 402提供所签署的BLOB连同eUICC证书以包括在动作#13的认证响应消息中。值得注意的是,由ME 402向SEAF 302提供的认证响应消息的TLS证书是由eUICC 108安全维护的eUICC证书,并且不是由ME 402维护的设备等级证书。在一些实施方案中,eUICC 108提前向ME 402提供eUICC证书,例如,在422处接收BLOB之前,或在424处签署BLOB之前,或在426处传送所签署的BLOB之前。在一些实施方案中,动作#13的认证响应消息包括先前由ME 402生成的临时公共密钥ePK,其中蜂窝无线网络可在随后的密码密钥生成期间使用临时公共密钥ePK以用于UE 102与蜂窝无线网络之间的安全通信。在动作#14处,SEAF 302将认证响应消息的内容转发到AUSF 304,包括eUICC证书,用于在动作#15处发生的对UE 102的认证。当对UE 102的认证成功时,EAP-TLS程序继续(动作#16指至动作#21)。在442处,UE 102的ME402可通过执行椭圆曲线密钥协商(ECKA)程序来生成根会话密钥KAUSF,以获得扩展主会话密钥(EMSK),该扩展主会话密钥可被转换为根会话密钥KAUSF。根会话密钥KAUSF随后可用于使用密钥导出函数(KDF)来生成用于UE 102与蜂窝无线网络之间的安全通信的附加NAS层和AS层密码密钥。
图5A、图5B和图5C示出了由UE 102的不同元件执行以使用EAP-TLS程序向蜂窝无线网络认证UE 102的另一示例性动作集合的图500、520、540。由图4A-图4C中的UE 102的ME402执行的某些动作替代地由图5A-图5C中的UE 102的eUICC 108执行。具体地,eUICC 108执行附加密码密钥生成、存储和管理功能。动作#1至动作#12在图5A中与针对图4A所描述的那些相同。ME 402执行经由SEAF 302从AUSF 304接收的TLS(服务器)证书的验证。在ME 402在动作#12中通过验证在动作#11中接收的TLS证书的有效性来认证蜂窝无线网络之后,在502处,ME 402向eUICC 108提供二进制大对象(BLOB),以基于eUICC私有签名密钥及其相关联的由eUICC 108安全地存储和维护的证书来应用数字签名。eUICC 108在524处使用与eUICC证书相关联的签名密钥签署BLOB,并且在528处将所签署的BLOB连同eUICC证书一起返回到ME 402。在一些实施方案中,eUICC 108还在526处生成临时密钥对{ePK,eSK},并且在528处将临时公共密钥部分ePK连同所签署的BLOB和eUICC证书一起提供给ME 402。在一些实施方案中,由eUICC 108签署的BLOB包括要在后续动作#13的认证响应消息中提供的内容中的一些或全部。ME 402将包括所签署的BLOB和作为TLS(客户端)证书的eUICC证书的认证响应转发到SEAF 302,以提供给AUSF 304以进行认证。在一些实施方案中,eUICC 108提前向ME 402提供eUICC证书,例如,在422处接收BLOB之前,或在502处签署BLOB之前,或在528处传送所签署的BLOB之前。在一些实施方案中,动作#13的认证响应消息包括先前由eUICC 108生成并且在528处提供给ME 402的临时公共密钥ePK。蜂窝无线网络可在后续密码密钥生成程序中使用临时公共密钥ePK来确定用于UE 102与蜂窝无线网络之间的安全通信的加密密钥。在由AUSF 304成功认证UE 102之后,在530处,UE 102的eUICC 108可通过执行椭圆曲线密钥协商(ECKA)程序来生成根会话密钥KAUSF,以获得扩展主会话密钥(EMSK),该扩展主会话密钥可被转换为根会话密钥KAUSF。在548处,eUICC 108可向ME 402提供会话密钥以随后与密钥导出函数(KDF)一起使用来生成用于UE 102与蜂窝无线网络之间的安全通信的附加NAS层和AS层密码密钥。选择是使eUICC 108还是使ME 402使用ECKA程序来生成根会话密钥KAUSF可以取决于指定哪些椭圆曲线供蜂窝无线网络使用。在一些实施方案中,eUICC 108可支持与ME 402所支持的椭圆曲线相差至少一个椭圆曲线的一组椭圆曲线。如果蜂窝无线网络为ECKA程序指定的椭圆曲线仅由eUICC 108或ME 402支持,而不是两者均支持,则根会话密钥KAUSF生成可由UE 102的支持指定椭圆曲线的部分来执行。
图6A和图6B示出了使用EAP-AKA程序的修改形式来执行UE 102与蜂窝无线网络的相互认证的替代方法的图600、620,其中第三方网络可访问服务器(例如,统一数据管理代理602)基于由蜂窝无线网络提供的信息来针对蜂窝无线网络认证UE 102。图6A和图6B中所示的方法可与不支持EAP-TLS但确实支持EAP-AKA并且同意允许第三方管理的服务器(例如,UDM代理602)提供UE 102的认证的蜂窝无线网络一起使用。在一些实施方案中,蜂窝无线网络允许UDM代理针对有限范围的服务或针对特定服务来认证UE 102,例如,以允许将eSIM 208配置给UE 102而不使用UE 102中的预安装的配置eSIM。
在603处,UE 102可预先配置有网络认证公共密钥PKAUTH,并且任选地预先配置有网络隐私公共密钥PKENC以用于UE 102的永久标识符的加密。在604处,UE 102可以为HPLMN选择向其认证的预先配置的配置MNO(载体)。在606处,UE 102可基于所选择的HPLMN的MCC和MNC值以及未使用的MSIN值(例如,全零MSIN值)的组合来构造虚设IMSI。在608处,UE 102可任选地使用预先配置的网络隐私公共密钥PKENC来对UE 102的永久标识符(例如,eUICC标识符(EID))进行加密。在一些实施方案中,在610处,UE 102生成临时密钥对{ePK,eSK}。在612处,UE 102经由SEAF 302和AUSF 304向UDM代理602提供消息,该消息包括eUICC证书的加密EID或加密版本,用作网络隐私公共密钥PKENC的密钥标识符的HASH值,以及任选地临时公共密钥ePK。AUSF 304可使用虚设IMSI值来标识UDM代理602,将来自UE 102的消息转发到该UDM代理。UDM代理602可与MNO达成协议,虚拟IMSI值的MCC/MNC值与该MNO相对应。UDM代理602可基于所提供的UE 102的加密永久标识符(例如,EID的加密版本)或者基于在612处提供的加密eUICC证书来认证UE 102。如果使用UE 102的加密的永久标识符的标识足以向UDB代理指定在UE 102的eUICC 108中预先配置的相关联的eUICC证书,则加密的eUICC证书可能不需要由UE 102提供给UDM代理602。在一些实施方案中,UDM代理602可将UE 102的永久标识符,例如EID值(在由UDM代理解密之后)602映射到UE 102的适当匹配eUICC证书。在一些实施方案中,使用永久标识符来标识UE 102可以是优选的,以减少网络信令要求,因为eUICC证书可显著大于永久标识符。在614处,UDM代理602可基于包括在虚设IMSI中的未使用的MSIN值(例如,全零值)并且/或者基于包括在从UE 102接收的消息中的附加有效载荷信息来将从UE 102接收的消息标识为配置请求。UDM代理602可基于包括在消息中的HASH(PKENC)值来标识由UE 102使用的网络隐私密钥PKENC,并且根据需要对加密的有效载荷部分进行解密。在616处,当来自UE 102的消息中不包括eUICC证书时,UDM代理602可使用所接收的UE 102值(例如,EID值)的永久标识符从数据库中检索UE 102的适用eUICC证书。在622处,UDM代理602可使用与UE 102的eUICC 108相关联的公共密钥PKeUICC(例如,与eUICC证书相关联的eUICC的公共密钥)来对来自UE 102的消息的有效载荷进行解密。在624处,UDM代理602可验证eUICC证书的有效性,并且随后在626处,为蜂窝无线网络生成根会话密钥KAUSF以在632处用于5G AKA程序。根会话密钥KAUSF可使用椭圆曲线密钥协商(ECKA)程序(例如椭圆曲线迪菲-赫尔曼(ECDH)函数等)来生成,其中eUICC公共密钥PKeUICC和私有网络认证密钥SKAUTH作为输入。在一些实施方案中,来自UE 102的临时公共密钥ePK也用于根会话密钥生成,诸如i)使用PKeUICC作为输入来执行第一ECDH函数以生成第一共享秘密,ii)使用ePK作为输入来执行第二ECDH函数以生成第二共享秘密,以及iii)使用另一函数来组合第一共享秘密和第二共享秘密以生成根会话密钥KAUSF。在一些实施方案中,ECDH函数以ePK作为输入来执行,而不使用eUICC公共密钥PKeUICC作为输入来生成会话密钥KAUSF。在一些实施方案中,eUICC公共密钥PKeUICC被UDM代理602用于签名验证,其中在612处接收的临时公共密钥ePK用基于PKeUICC的签名来签署。在628处,UDM代理602向蜂窝无线网络的AUSF 304提供5G认证向量(AV),其包括UE 102成功通过认证的指示(AUTH)以及所生成的根会话密钥KAUSF,以用于蜂窝无线网络和UE 102之间的安全通信的附加密码密钥生成。在630处,UE 102可通过以下方式单独地生成根会话密钥KAUSF:使用eUICC私有密钥SKeUICC和公共网络认证密钥PKAUTH作为输入来执行椭圆曲线密钥协商(ECKA)程序,例如ECDH函数等。在一些实施方案中,当要使用eUICC临时密钥对时,也可将临时私有密钥eSK输入到ECDH函数。在632处,UE 102和蜂窝无线网络的网络实体(例如,SEAF 302和/或AUSF 304)执行5G认证和密钥协商(AKA)程序。
漫游场景
在一些情况下,UE 102试图在服务蜂窝无线网络中漫游时对其自身进行认证,该服务蜂窝无线网络不同于UE 102与其相关联的归属蜂窝无线网络。位于UE 102所附接的用于本地通信的本地无线网络的接入网络部分中的SEAF 302可以是不同于AUSF 304的蜂窝无线网络的一部分,该AUSF位于与UE 102相关联的归属无线网络的核心网络部分中,并且UE 102试图向该AUSF认证其自身。漫游蜂窝无线网络的SEAF 302不需要支持用于进行认证的完整EAP-TLS程序,而是确实需要支持EAP消息传送。SEAF 302可包括EAP层栈,以允许在UE 102和AUSF 304之间传送EAP有效载荷,而不需要SEAF 302解释所传送的消息的EAP有效载荷内容。
图7示出了用以向蜂窝无线网络认证UE 102的示例性方法的流程图700。在702处,UE 102的eUICC 108从UE 102的ME 402接收包括EAP-TLS认证响应消息的内容的二进制大对象(blob)。在704处,eUICC 108使用与由UE 102的eUICC 108维护的eUICC证书相关联的签名密钥来生成blob的数字签名。在706处,eUICC 108向ME 402提供blob的数字签名。在708处,ME 402向蜂窝无线网络的认证服务器(例如,经由SEAF 302向AUSF 304)发送EAP-TLS认证响应消息,该EAP-TLS认证响应消息包括签署版本的blob,包括数字签名和用于认证UE 102的eUICC证书的副本。在710处,ME 402从认证服务器接收UE 102成功认证的指示。
在一些实施方案中,该方法还包括ME 402基于eUICC的静态私有密钥(SKeUICC)和/或由ME 402生成的临时私有密钥(eSK)使用椭圆曲线密钥协商(ECKA)来生成根会话密钥KAUSF。在一些实施方案中,该方法还包括ME 402生成包括临时公共密钥(ePK)和临时私有密钥eSK的临时密钥对,其中EAP-TLS认证响应消息包括临时公共密钥ePK。在一些实施方案中,eUICC 108基于eUICC的静态私有密钥(SKeUICC)和/或由eUICC生成的临时私有密钥(eSK)使用椭圆曲线密钥协商(ECKA)来生成根会话密钥KAUSF,并且向ME 402提供根会话密钥KAUSF。在一些实施方案中,该方法还包括eUICC 108生成包括临时公共密钥(ePK)和临时私有密钥eSK的临时密钥对,以及向ME 402提供临时公共密钥ePK,其中EAP-TLS认证响应消息还包括临时公共密钥ePK。在一些实施方案中,该方法还包括ME 402基于由ME 402或由eUICC 108导出的根会话密钥KAUSF来导出用于UE 102与蜂窝无线网络之间的安全通信的一个或多个密码密钥。
图8示出了用以向蜂窝无线网络认证UE 102的另一示例性方法的流程图800。在802处,UE 102使用预先配置给UE 102的隐私公共密钥PKENC对UE 102的永久标识符进行加密。在804处,UE 102基于移动国家代码(MCC)值、移动网络代码(MNC)值和未使用的移动订阅标识号(MSIN)值生成虚设国际移动订阅标识符(IMSI),在806处,UE 102向统一数据管理(UDM)代理602发送认证消息,该认证消息包括与UE 102的eUICC 108相关联的证书的加密永久标识符或加密副本以及虚设IMSI。在808处,UE 102在UDM代理602基于认证消息向蜂窝无线网络指示UE 102的成功认证之后,执行与蜂窝无线网络的认证和密钥协商(AKA)协议。
在一些实施方案中,该方法还包括UE 102基于eUICC的静态私有密钥(SKeUICC)和/或由UE 102生成的临时私有密钥(eSK)使用椭圆曲线密钥协商(ECKA)来生成根会话密钥KAUSF。在一些实施方案中,根会话密钥KAUSF进一步基于在UE 102的制造或分发期间预先配置给UE 102的认证公共密钥(PKAUTH)。在一些实施方案中,认证公共密钥PKAUTH被预先配置给UE102的eUICC 108。在一些实施方案中,UE 102经由服务网络的安全锚功能(SEAF)302并且经由核心网络的认证服务器功能(AUSF)304将认证消息发送到UDM代理602。在一些实施方案中,SEAF 302是用于UE 102的漫游网络实体,并且AUSF 304是用于UE 102的归属网络实体。在一些实施方案中,SEAF 302基于包括在虚设IMSI中的MCC值和MNC值来标识AUSF 304的蜂窝无线网络。在一些实施方案中,UDM代理602标识UE 102基于虚设IMSI中的未使用的MSIN值来请求认证。在一些实施方案中,未使用的MSIN值是全零值。在一些实施方案中,UE 102生成包括临时公共密钥(ePK)和临时私有密钥(eSK)的临时密钥对,其中发送到UDM代理602的认证消息还包括临时公共密钥ePK。在一些实施方案中,UE 102基于由UE 102生成的临时私有密钥(eSK)使用椭圆曲线密钥协商(ECKA)生成根会话密钥KAUSF,其中UDM代理602基于临时公共密钥ePK生成根会话密钥KAUSF的相同副本,并且向蜂窝无线网络的认证服务器功能(AUSF)304提供该相同副本。
图9示出了根据一些实施方案的可用于实现本文所述的各种方法的代表性计算设备900的详细视图。具体地,该详细视图示出了UE 102中可包括的各种部件。如图9所示,计算设备900可包括表示微处理器的处理器902或用于控制计算设备900的总体操作的控制器。计算设备900还可包括用户输入设备908,该用户输入设备允许计算设备900的用户与计算设备900进行交互。例如,用户输入设备908能够采取多种形式,诸如按钮、小键盘、拨号盘、触摸屏、音频输入接口、视觉/图像捕获输入接口、传感器数据形式的输入端等。更进一步地,计算设备900能够包括可以由处理器902控制以向用户显示信息的显示器910。数据总线916可促进至少存储设备940、处理器902和控制器913之间的数据转移。控制器913可用于通过装备控制总线914与不同的装备进行交互并对不同的装备进行控制。计算设备900还可包括通信地耦接至数据链路912的网络/总线接口911。在无线连接的情况下,网络/总线接口911可包括无线收发器。
计算设备900还包括存储设备940,该存储设备可包括单个磁盘或多个磁盘(例如,硬盘驱动器),并且包括管理存储设备940内的一个或多个分区的存储管理模块。在一些实施方案中,存储设备940可包括闪存存储器、半导体(固态)存储器等。该计算设备900也可包括随机存取存储器(RAM)920和只读存储器(ROM)922。ROM 922可存储将以非易失性方式执行的程序、实用程序或进程。RAM 920可提供易失性数据存储并存储与计算设备900的操作相关的指令。计算设备900还可包括安全元件(SE)924,该安全元件可表示UE 102对蜂窝无线系统接入的安全存储。安全元件924可包括eUICC 108,在该eUICC上存储一个或多个eSIM208。
无线术语
根据本文所述的各种实施方案,术语“无线通信设备”、“无线设备”、“移动无线设备”、“移动站”、和“用户设备(UE)”在本文中可互换使用,以描述可能够执行与本公开的各种实施方案相关联的过程的一个或多个普通的消费电子设备。根据各种具体实施,这些消费电子设备中的任一种消费电子设备可涉及:蜂窝电话或智能电话、平板电脑、膝上型计算机、笔记本计算机、个人计算机、上网本计算机、媒体播放器设备、电子书设备、
设备、可穿戴计算设备、以及具有无限通信能力的任何其他类型的电子计算设备,该无限通信能力可包括经由一种或多种无线通信协议的通信,该无线通信协议诸如用于在以下网络上进行通信的协议:无线广域网(WWAN)、无线城域网(WMAN)、无线局域网(WLAN)、无线个人局域网(WPAN)、近场通信(NFC)、蜂窝无线网络、第四代(4G)长期演进(LTE)、高级LTE(LTE-A)、和/或5G或其他当前或未来开发的高级蜂窝无线网络。
在一些实施方案中,无线通信设备还可作为无线通信系统的一部分来操作,该无线通信系统可包括也可被称为站、客户端无线设备、或客户端无线通信设备的一组客户端设备,其被互连到接入点(AP)例如作为WLAN的一部分,和/或彼此互连例如作为WPAN和/或“自组织”无线网络的一部分。在一些实施方案中,客户端设备可为能够经由WLAN技术(例如,根据无线局域网通信协议)来进行通信的任何无线通信设备。在一些实施方案中,WLAN技术可包括Wi-Fi(或更一般地,WLAN)无线通信子系统或无线电部件,该Wi-Fi无线电部件可实施电气电子工程师协会(IEEE)802.11技术,诸如以下中的一种或多种:IEEE 802.11a;IEEE 802.11b;IEEE 802.11g;IEEE 802.11-2007;IEEE 802.11n;IEEE 802.11-2012;IEEE802.11ac;或其他当前或将来开发的IEEE 802.11技术。
另外,应当理解,本文所述的UE可被配置作为还能够经由不同的第三代(3G)和/或第二代(2G)RAT进行通信的多模无线通信设备。在这些情况下,多模UE可被配置为与提供较低数据速率吞吐量的其他3G传统网络相比更偏好附接到提供较快数据速率吞吐量的LTE网络。例如,在一些具体实施中,多模UE可被配置为在LTE和LTE-A网络以其他方式不可用时回退到3G传统网络,例如演进型高速分组接入(HSPA+)网络、或码分多址(CDMA)2000演进-仅数据(EV-DO)网络。
可单独地或以任何组合使用所述实施方案的各个方面、实施方案、具体实施或特征。可由软件、硬件或硬件与软件的组合来实施所述实施方案的各个方面。所述实施方案还可实施为在非暂态计算机可读介质上的计算机可读代码。非暂态计算机可读介质为可存储数据的任何数据存储设备,该数据之后可由计算机系统读取。非暂态计算机可读介质的示例包括只读存储器、随机存取存储器、CD-ROM、HDD、DVD、磁带和光学数据存储设备。非暂态计算机可读介质也可分布在网络耦接的计算机系统上,使得计算机可读代码以分布方式存储和执行。
关于本公开,众所周知,使用个人可识别信息应遵循公认为满足或超过维护用户隐私的行业或政府要求的隐私政策和做法。具体地,应管理和处理个人可识别信息数据,以使无意或未经授权的访问或使用的风险最小化,并应当向用户明确说明授权使用的性质。
为了说明的目的,前述描述使用具体命名以提供对所述实施方案的彻底理解。然而,对于本领域的技术人员而言将显而易见的是,不需要具体细节,以便实践所述实施方案。因此,具体实施方案的前述描述被呈现用于例示和描述的目的。前述描述不旨在为穷举性的或将所述的实施方案限制为所公开的精确形式。对于本领域的普通技术人员而言将显而易见的是,鉴于上面的教导内容,许多修改和变型是可行的。
Claims (34)
1.一种用于向蜂窝无线网络认证用户装备(UE)的方法,所述方法包括:
由所述UE的嵌入式通用集成电路卡(eUICC):
从包括所述eUICC外部的所述UE的处理电路的移动装备(ME)接收二进制大对象(blob),所述blob包括用于可扩展认证协议(EAP)传输层安全(TLS)认证响应消息的内容;
使用与eUICC证书相关联的签名密钥生成所述blob的数字签名;以及
向所述ME提供所述blob的所述数字签名;以及
由所述UE的所述ME:
向蜂窝无线网络的认证服务器发送所述EAP-TLS认证响应消息,所述EAP-TLS认证响应消息包括签署版本的所述blob,包括所述数字签名和用于认证所述UE的所述eUICC证书的副本;以及
从所述认证服务器接收所述UE的成功认证的指示。
2.根据权利要求1所述的方法,还包括:
由所述UE的所述ME:
基于所述eUICC的静态私有密钥(SKeUICC)和/或由所述ME生成的临时私有密钥(eSK)使用椭圆曲线密钥协商(ECKA)来生成根会话密钥KAUSF。
3.根据权利要求2所述的方法,所述方法还包括:
由所述UE的所述ME:
生成包括临时公共密钥(ePK)和所述临时私有密钥eSK的临时密钥对,
其中所述EAP-TLS认证响应消息还包括所述临时公共密钥ePK。
4.根据权利要求1所述的方法,还包括:
由所述UE的所述eUICC:
基于所述eUICC的静态私有密钥(SKeUICC)和/或由所述eUICC生成的临时私有密钥(eSK)使用椭圆曲线密钥协商(ECKA)来生成根会话密钥KAUSF;以及
向所述UE的所述ME提供所述根会话密钥KAUSF。
5.根据权利要求4所述的方法,还包括:
由所述UE的所述eUICC:
生成包括临时公共密钥(ePK)和所述临时私有密钥eSK的临时密钥对;以及
向所述UE的所述ME提供所述临时公共密钥ePK;
其中所述EAP-TLS认证响应消息还包括所述临时公共密钥ePK。
6.根据权利要求1所述的方法,还包括:
由所述UE的所述ME:
基于由所述ME或由所述eUICC导出的根会话密钥KAUSF来导出用于所述UE与所述蜂窝无线网络之间的安全通信的一个或多个密码密钥。
7.一种用于向蜂窝无线网络认证用户装备(UE)的方法,所述方法包括:
由所述UE:
使用预先配置给所述UE的隐私公共密钥PKENC对所述UE的永久标识符进行加密;
基于移动国家代码(MCC)值、移动网络代码(MNC)值和未使用的移动订阅标识号(MSIN)值生成虚设国际移动订阅标识符(IMSI);
向统一数据管理(UDM)代理发送认证消息,所述认证消息包括所述加密的永久标识符或与所述UE的嵌入式通用集成电路卡(eUICC)相关联的证书的加密副本以及所述虚设IMSI;以及
在所述UDM代理基于所述认证消息向所述蜂窝无线网络指示所述UE的成功认证之后,执行与所述蜂窝无线网络的认证和密钥协商(AKA)协议。
8.根据权利要求7所述的方法,所述方法还包括:
由所述UE:
基于所述eUICC的静态私有密钥(SKeUICC)和/或由所述UE生成的临时私有密钥(eSK)使用椭圆曲线密钥协商(ECKA)来生成根会话密钥KAUSF。
9.根据权利要求8所述的方法,其中所述根会话密钥KAUSF进一步基于在所述UE的制造或分发期间预先配置给所述UE的认证公共密钥(PKAUTH)。
10.根据权利要求9所述的方法,其中所述认证公共密钥PKAUTH被预先配置给所述UE的所述eUICC。
11.根据权利要求7所述的方法,其中所述UE经由服务网络的安全锚功能(SEAF)并且经由核心网络的认证服务器功能(AUSF)将所述认证消息发送到所述UDM代理。
12.根据权利要求11所述的方法,其中:
所述SEAF是用于所述UE的漫游网络实体;并且
所述AUSF是用于所述UE的归属网络实体。
13.根据权利要求11所述的方法,其中所述SEAF基于包括在所述虚设IMSI中的所述MCC值和所述MNC值来标识所述AUSF的所述蜂窝无线网络。
14.根据权利要求7所述的方法,其中所述UDM代理标识所述UE基于所述虚设IMSI中的未使用的MSIN值来请求认证。
15.根据权利要求14所述的方法,其中所述未使用的MSIN值是全零值。
16.根据权利要求7所述的方法,所述方法还包括:
由所述UE:
生成包括临时公共密钥(ePK)和临时私有密钥eSK的临时密钥对,
其中发送到所述UDM代理的所述认证消息还包括所述临时公共密钥ePK。
17.根据权利要求16所述的方法,还包括:
由所述UE:
基于由所述UE生成的所述临时私有密钥(eSK)使用椭圆曲线密钥协商(ECKA)来生成根会话密钥KAUSF,
其中所述UDM代理基于所述临时公共密钥ePK生成所述根会话密钥KAUSF的相同副本并将其提供给所述蜂窝无线网络的认证服务器功能(AUSF)。
18.一种用户装备(UE),所述UE包括:
嵌入式通用集成电路卡(eUICC);以及
包括通信地耦接到eUICC的处理电路的移动装备(ME),所述处理电路包括一个或多个处理器和存储指令的存储器,
其中所述UE的所述eUICC被配置为:
从所述ME接收二进制大对象(blob),所述blob包括用于可扩展认证协议(EAP)传输层安全(TLS)认证响应消息的内容;
使用与eUICC证书相关联的签名密钥生成所述blob的数字签名;并且
向所述ME提供所述blob的所述数字签名;并且
其中所述UE的所述ME被配置为:
向蜂窝无线网络的认证服务器发送所述EAP-TLS认证响应消息,所述EAP-TLS认证响应消息包括签署版本的所述blob,包括所述数字签名和用于认证所述UE的所述eUICC证书的副本;并且
从所述认证服务器接收所述UE的成功认证的指示。
19.根据权利要求18所述的UE,其中所述UE的所述ME被进一步配置为:
基于所述eUICC的静态私有密钥(SKeUICC)和/或由所述ME生成的临时私有密钥(eSK)使用椭圆曲线密钥协商(ECKA)来生成根会话密钥KAUSF。
20.根据权利要求19所述的UE,其中所述UE的所述ME被进一步配置为:
生成包括临时公共密钥(ePK)和所述临时私有密钥eSK的临时密钥对,
其中所述EAP-TLS认证响应消息还包括所述临时公共密钥ePK。
21.根据权利要求18所述的UE,其中所述UE的所述eUICC被进一步配置为:
基于所述eUICC的静态私有密钥(SKeUICC)和/或由所述eUICC生成的临时私有密钥(eSK)使用椭圆曲线密钥协商(ECKA)来生成根会话密钥KAUSF;并且
向所述UE的所述ME提供所述根会话密钥KAUSF。
22.根据权利要求21所述的UE,其中所述UE的所述eUICC被进一步配置为:
生成包括临时公共密钥(ePK)和所述临时私有密钥eSK的临时密钥对;以及
向所述UE的所述ME提供所述临时公共密钥ePK;
其中所述EAP-TLS认证响应消息还包括所述临时公共密钥ePK。
23.根据权利要求18所述的UE,其中所述UE的所述ME被进一步配置为:
基于由所述ME或由所述eUICC导出的根会话密钥KAUSF来导出用于所述UE与所述蜂窝无线网络之间的安全通信的一个或多个密码密钥。
24.一种用户装备(UE),所述UE包括:
无线电路,所述无线电路包括一个或多个天线;以及
一个或多个处理器,所述一个或多个处理器通信地耦接到所述无线电路并通信地耦接到存储指令的存储器,所述指令在由所述一个或多个处理器执行时,使得所述UE通过以下方式向蜂窝无线网络进行认证:
使用预先配置给所述UE的隐私公共密钥PKENC对所述UE的永久标识符进行加密;
基于移动国家代码(MCC)值、移动网络代码(MNC)值和未使用的移动订阅标识号(MSIN)值生成虚设国际移动订阅标识符(IMSI);
向统一数据管理(UDM)代理发送认证消息,所述认证消息包括所述加密的永久标识符或与所述UE的嵌入式通用集成电路卡(eUICC)相关联的证书的加密副本以及所述虚设IMSI;以及
在所述UDM代理基于所述认证消息向所述蜂窝无线网络指示所述UE的成功认证之后,执行与所述蜂窝无线网络的认证和密钥协商(AKA)协议。
25.根据权利要求24所述的UE,其中所述指令的执行进一步使得所述UE通过以下方式向所述蜂窝无线网络进行认证:
基于所述eUICC的静态私有密钥(SKeUICC)和/或由所述UE生成的临时私有密钥(eSK)使用椭圆曲线密钥协商(ECKA)来生成根会话密钥KAUSF。
26.根据权利要求25所述的UE,其中所述根会话密钥KAUSF进一步基于在所述UE的制造或分发期间预先配置给所述UE的认证公共密钥(PKAUTH)。
27.根据权利要求26所述的UE,其中所述认证公共密钥PKAUTH被预先配置给所述UE的所述eUICC。
28.根据权利要求24所述的UE,其中所述UE经由服务网络的安全锚功能(SEAF)并且经由核心网络的认证服务器功能(AUSF)将所述认证消息发送到所述UDM代理。
29.根据权利要求28所述的UE,其中:
所述服务网络是用于所述UE的漫游网络实体;以及
所述AUSF是用于所述UE的归属网络实体。
30.根据权利要求28所述的UE,其中所述SEAF基于包括在所述虚设IMSI中的所述MCC值和所述MNC值来标识所述AUSF的所述蜂窝无线网络。
31.根据权利要求24所述的UE,其中所述UDM代理标识所述UE基于所述虚设IMSI中的未使用的MSIN值来请求认证。
32.根据权利要求31所述的UE,其中所述未使用的MSIN值包括全零值。
33.根据权利要求24所述的UE,其中所述指令的执行进一步使得所述UE通过以下方式向所述蜂窝无线网络进行认证:
生成包括临时公共密钥(ePK)和临时私有密钥(eSK)的临时密钥对,
其中发送到所述UDM代理的所述认证消息还包括所述临时公共密钥ePK。
34.根据权利要求33所述的UE,其中所述指令的执行进一步使得所述UE通过以下方式向所述蜂窝无线网络进行认证:
基于由所述UE生成的所述临时私有密钥(eSK)使用椭圆曲线密钥协商(ECKA)来生成根会话密钥KAUSF,
其中所述UDM代理基于所述临时公共密钥ePK生成所述根会话密钥KAUSF的相同副本并将其提供给所述蜂窝无线网络的认证服务器功能(AUSF)。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/CN2019/101239 WO2021031051A1 (en) | 2019-08-18 | 2019-08-18 | Mobile device authentication without electronic subscriber identity module (esim) credentials |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114258693A true CN114258693A (zh) | 2022-03-29 |
| CN114258693B CN114258693B (zh) | 2024-02-06 |
Family
ID=74659565
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201980099498.2A Active CN114258693B (zh) | 2019-08-18 | 2019-08-18 | 无电子用户身份模块(esim)凭证的移动设备认证 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20220295276A1 (zh) |
| CN (1) | CN114258693B (zh) |
| WO (1) | WO2021031051A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2023212901A1 (en) * | 2022-05-06 | 2023-11-09 | Apple Inc. | Authentication proxy use in authentication and key management for applications |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3917188B1 (en) * | 2020-05-28 | 2023-06-21 | Nxp B.V. | Methods and systems for committing transactions utilizing rf ranging while protecting user privacy |
| TWI797819B (zh) * | 2021-11-08 | 2023-04-01 | 光寶科技股份有限公司 | 認證系統和方法 |
Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080209206A1 (en) * | 2007-02-26 | 2008-08-28 | Nokia Corporation | Apparatus, method and computer program product providing enforcement of operator lock |
| US20090209232A1 (en) * | 2007-10-05 | 2009-08-20 | Interdigital Technology Corporation | Techniques for secure channelization between uicc and a terminal |
| US20110113252A1 (en) * | 2009-11-06 | 2011-05-12 | Mark Krischer | Concierge registry authentication service |
| US20130227646A1 (en) * | 2012-02-14 | 2013-08-29 | Apple Inc. | Methods and apparatus for large scale distribution of electronic access clients |
| US20170104750A1 (en) * | 2015-10-08 | 2017-04-13 | Apple Inc. | INSTANTIATION OF MULTIPLE ELECTRONIC SUBSCRIBER IDENTITY MODULE (eSIM) INSTANCES |
| US20170127264A1 (en) * | 2015-11-02 | 2017-05-04 | Apple Inc. | Apparatus and methods for electronic subscriber identity module (esim) installation notification |
| US20170150356A1 (en) * | 2015-11-20 | 2017-05-25 | Apple Inc. | SECURE ELECTRONIC SUBSCRIBER IDENTITY MODULE (eSIM) RESTORATION |
| WO2019028698A1 (en) * | 2017-08-09 | 2019-02-14 | Apple Inc. | PROTECTION OF THE CONFIDENTIALITY OF A SUBSCRIBER IDENTITY |
| CN109417709A (zh) * | 2016-07-05 | 2019-03-01 | 三星电子株式会社 | 用于在移动无线网络系统中认证接入的方法和系统 |
| US20190074983A1 (en) * | 2017-09-01 | 2019-03-07 | Apple Inc. | MANAGING EMBEDDED UNIVERSAL INTEGRATED CIRCUIT CARD (eUICC) PROVISIONING WITH MULTIPLE CERTIFICATE ISSUERS (CIs) |
| CN109691157A (zh) * | 2016-09-19 | 2019-04-26 | 高通股份有限公司 | 基于扩展认证协议(eap)过程的执行来推导蜂窝网络的安全密钥的技术 |
| WO2019137630A1 (en) * | 2018-01-15 | 2019-07-18 | Telefonaktiebolaget Lm Ericsson (Publ) | Profile handling of a communications device |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102032857B1 (ko) * | 2015-03-22 | 2019-10-16 | 애플 인크. | 모바일 디바이스에서의 사용자 인증 및 인간 의도 검증을 위한 방법 및 장치 |
| US11032704B2 (en) * | 2017-12-01 | 2021-06-08 | Qualcomm Incorporated | Techniques for subscription-based authentication in wireless communications |
-
2019
- 2019-08-18 US US17/634,950 patent/US20220295276A1/en active Pending
- 2019-08-18 CN CN201980099498.2A patent/CN114258693B/zh active Active
- 2019-08-18 WO PCT/CN2019/101239 patent/WO2021031051A1/en active Application Filing
Patent Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080209206A1 (en) * | 2007-02-26 | 2008-08-28 | Nokia Corporation | Apparatus, method and computer program product providing enforcement of operator lock |
| US20090209232A1 (en) * | 2007-10-05 | 2009-08-20 | Interdigital Technology Corporation | Techniques for secure channelization between uicc and a terminal |
| US20110113252A1 (en) * | 2009-11-06 | 2011-05-12 | Mark Krischer | Concierge registry authentication service |
| US20130227646A1 (en) * | 2012-02-14 | 2013-08-29 | Apple Inc. | Methods and apparatus for large scale distribution of electronic access clients |
| US20170104750A1 (en) * | 2015-10-08 | 2017-04-13 | Apple Inc. | INSTANTIATION OF MULTIPLE ELECTRONIC SUBSCRIBER IDENTITY MODULE (eSIM) INSTANCES |
| US20170127264A1 (en) * | 2015-11-02 | 2017-05-04 | Apple Inc. | Apparatus and methods for electronic subscriber identity module (esim) installation notification |
| US20170150356A1 (en) * | 2015-11-20 | 2017-05-25 | Apple Inc. | SECURE ELECTRONIC SUBSCRIBER IDENTITY MODULE (eSIM) RESTORATION |
| CN109417709A (zh) * | 2016-07-05 | 2019-03-01 | 三星电子株式会社 | 用于在移动无线网络系统中认证接入的方法和系统 |
| CN109691157A (zh) * | 2016-09-19 | 2019-04-26 | 高通股份有限公司 | 基于扩展认证协议(eap)过程的执行来推导蜂窝网络的安全密钥的技术 |
| WO2019028698A1 (en) * | 2017-08-09 | 2019-02-14 | Apple Inc. | PROTECTION OF THE CONFIDENTIALITY OF A SUBSCRIBER IDENTITY |
| US20190074983A1 (en) * | 2017-09-01 | 2019-03-07 | Apple Inc. | MANAGING EMBEDDED UNIVERSAL INTEGRATED CIRCUIT CARD (eUICC) PROVISIONING WITH MULTIPLE CERTIFICATE ISSUERS (CIs) |
| WO2019137630A1 (en) * | 2018-01-15 | 2019-07-18 | Telefonaktiebolaget Lm Ericsson (Publ) | Profile handling of a communications device |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2023212901A1 (en) * | 2022-05-06 | 2023-11-09 | Apple Inc. | Authentication proxy use in authentication and key management for applications |
Also Published As
| Publication number | Publication date |
|---|---|
| US20220295276A1 (en) | 2022-09-15 |
| WO2021031051A1 (en) | 2021-02-25 |
| CN114258693B (zh) | 2024-02-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111263334B (zh) | 向移动无线设备配置电子用户身份模块 | |
| US20220385446A1 (en) | EMBEDDED UNIVERSAL INTEGRATED CIRCUIT CARD (eUICC) PROFILE CONTENT MANAGEMENT | |
| US11863982B2 (en) | Subscriber identity privacy protection against fake base stations | |
| US10498531B2 (en) | Electronic subscriber identity module (eSIM) provisioning error recovery | |
| US11856402B2 (en) | Identity-based message integrity protection and verification for wireless communication | |
| US11297492B2 (en) | Subscriber identity privacy protection and network key management | |
| US11805409B2 (en) | System and method for deriving a profile for a target endpoint device | |
| US20180060199A1 (en) | LOCAL RECOVERY OF ELECTRONIC SUBSCRIBER IDENTITY MODULE (eSIM) INSTALLATION FLOW | |
| US11496883B2 (en) | Apparatus and method for access control on eSIM | |
| CN107835204B (zh) | 配置文件策略规则的安全控制 | |
| CN114258693B (zh) | 无电子用户身份模块(esim)凭证的移动设备认证 | |
| US11943624B2 (en) | Electronic subscriber identity module transfer eligibility checking | |
| US11956375B2 (en) | Digital letter of approval (DLOA) for device compliance | |
| CN113498053A (zh) | 电子用户身份模块转移凭据包装 | |
| US20220360978A1 (en) | Off-line profile provisioning for wireless devices | |
| US20230403563A1 (en) | SECURE eSIM SUBSCRIPTION TRANSFER |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |