DE102019105571A1 - Sichere eap-aka-authentifizierung über ein proxy - Google Patents

Sichere eap-aka-authentifizierung über ein proxy Download PDF

Info

Publication number
DE102019105571A1
DE102019105571A1 DE102019105571.7A DE102019105571A DE102019105571A1 DE 102019105571 A1 DE102019105571 A1 DE 102019105571A1 DE 102019105571 A DE102019105571 A DE 102019105571A DE 102019105571 A1 DE102019105571 A1 DE 102019105571A1
Authority
DE
Germany
Prior art keywords
proxy device
eap
proxy
authentication
peer device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE102019105571.7A
Other languages
English (en)
Inventor
Steven HARTLEY
Lakshmi V. Thanayankizil
Yu-Kung Ke
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
GM Global Technology Operations LLC
Original Assignee
GM Global Technology Operations LLC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by GM Global Technology Operations LLC filed Critical GM Global Technology Operations LLC
Publication of DE102019105571A1 publication Critical patent/DE102019105571A1/de
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0841Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
    • H04L9/0844Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • H04L9/3273Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/40Security arrangements using identity modules
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/76Proxy, i.e. using intermediary entity to perform cryptographic operations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/84Vehicles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • H04W4/44Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for communication between vehicles and infrastructures, e.g. vehicle-to-cloud [V2C] or vehicle-to-home [V2H]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

Ein sicheres EAP-AKA (Extensible Authentication Protocol - Authentifizierung und Schlüsselvereinbarung) Authentifizierungssystem beinhaltet eine PROXY-Vorrichtung eines Kraftfahrzeug-Kommunikationssystems, das eine drahtlose Kommunikation mit einem Authentifikator eines Dienstanbieters ermöglicht. Die PROXY-Vorrichtung beinhaltet ein Wi-Fi-Element für die Wi-Fi-Konnektivität. Eine PEER-Vorrichtung ist von der PROXY-Vorrichtung getrennt. Die PEER-Vorrichtung beinhaltet ein UMTS Teilnehmeridentifizierungsmodul (USIM), das eine internationale Mobilfunkteilnehmerkennung (IMSI) speichert. Ein Transportschicht-Sicherheits-(TLS)-Element, das ein Ethernet-Tunnelelement definiert, ist mit jeder der PROXY-Vorrichtungen und der PEER-Vorrichtung verbunden. Das TLS ermöglicht die Kommunikation zwischen der PROXY-Vorrichtung und der PEER-Vorrichtung. Eine EAP-Zustandsmaschine ist mit der PROXY-Vorrichtung verbunden.

Description

  • EINLEITUNG
  • Die vorliegende Offenbarung betrifft Systeme und Verfahren zum sicheren Weiterleiten von drahtlosen Nachrichten an und von Kraftfahrzeugen.
  • Peer-Vorrichtungen, wie beispielsweise Mobiltelefone, sind in der Lage, unter Verwendung der Wi-Fi-Technologie für die drahtlose lokale Vernetzung mit anderen Vorrichtungen, die auf dem IEEE 802.11-Standard (Institute of Electrical and Electronics Engineers) basieren, zu kommunizieren. Wi-Fi-Netzwerke ermöglichen Computern, Smartphones und anderen Vorrichtungen, sich mit dem Internet zu verbinden und innerhalb eines vordefinierten Bereichs drahtlos miteinander zu kommunizieren. Um über Wi-Fi-Netzwerke auf das Internet zuzugreifen oder über einen Mobilfunkanbieter auf ein Mobilfunknetz zuzugreifen, werden häufig ein Authentifizierungsverfahren und eine Schlüsselvereinbarung verwendet. Authentifizierungsspezifikationen, Open-Source-Software und Herstellerimplementierungen setzen alle voraus, dass eine Peer-Vorrichtung sowohl einen Wi-Fi-Chipsatz für die Wi-Fi-Kommunikation als auch einen Mobilfunk-Chipsatz mit einem UMTS Teilnehmeridentifizierungsmodul (USIM) zur Kommunikation mit 3G- und 4G-Netzen enthält.
  • Bekannte und häufig verwendete Authentifizierungs- und Schlüsselvereinbarungsprotokolle, wie beispielsweise das Extensible Authentication Protocol (EAP) zum Authentifizieren und Verteilen von Sitzungsschlüsseln, verwenden einen Authentifizierungs- und Schlüsselvereinbarungs-(AKA)-Mechanismus. Ein exemplarisches EAP-AKA-Protokoll (RFC4187) definiert einen Authentifizierungsprozess und Nachrichtenaustausch zwischen einer PEER-Vorrichtung und dem Authentifikator (Träger). Nachrichten werden in der Regel mit dem 802.1X-Protokoll über das WiFi-Netzwerk zwischen der PEER-Vorrichtung und dem Authenticator gesendet. Vor kurzem wurde eine „MintM“-Schwachstelle (Man-in-the-Middle) mit 802.IX als Teil des AKA-Protokolls identifiziert, und 802.1X wurde geändert, um eine Multischicht-Verschlüsselung hinzuzufügen, die in 802.1X-2010 unter Verwendung von 802.1AE unter Verwendung eines Zufallszahlengenerators und eines Schlüssels definiert ist.
  • Long-Term Evolution (LTE) ist ein Standard für die drahtlose Hochgeschwindigkeitskommunikation für mobile Geräte und Datenendgeräte. Die LTE-Sicherheitsarchitektur schreibt vor, dass bei Verwendung eines Zufallszahlengenerators und eines vom Authenticator gesendeten Schlüssels der Peer einen Integritätsschlüssel und einen Chiffrierschlüssel erzeugt, die zum Erzeugen eines Master-Schlüssels verwendet werden. Die PEER-Vorrichtung, die das USIM enthält, und eine PROXY-Vorrichtung, welche die Schlüsselinformationen enthält, können in einem Kraftfahrzeug physisch getrennt sein. Das Übergeben der Schlüssel im Klartext über ein ungeschütztes Medium zwischen der PEER-Vorrichtung und der PROXY-Vorrichtung kann daher zu einem Man-in-the-Middle-Angriff führen. Darüber hinaus definieren bekannte Spezifikationen nicht, was zu tun ist, wenn die Peer-Vorrichtung mit einem anderen ECU (System) verbunden ist, das sich in einem anderen Netzwerksegment befindet.
  • Somit, obwohl die aktuellen Authentifizierungsprotokolle ihren Zweck erfüllen, besteht ein Bedarf an einem neuen und verbesserten System und Verfahren zur Weitergabe der EAP-AKA-Authentifizierung, wobei eine PEER-Vorrichtung von einer PROXY-Vorrichtung getrennt ist, die ein USIM enthält.
  • KURZDARSTELLUNG
  • Gemäß mehreren Aspekten beinhaltet ein sicheres EAP-AKA (Extensible Authentication Protocol - Authentifizierung und Schlüsselvereinbarung) Authentifizierungssystem eine PROXY-Vorrichtung eines Kraftfahrzeug-Kommunikationssystems, das eine drahtlose Kommunikation mit einem Authentifikator eines Dienstanbieters ermöglicht. Eine PEER-Vorrichtung ist von der PROXY-Vorrichtung getrennt. Ein Ethernet-Tunnel, der ein Transportschicht-Sicherheitselement (TLS) definiert, ist mit jedem der PROXY-Vorrichtungen und der PEER-Vorrichtung verbunden und ermöglicht eine sichere Kommunikation zwischen der PROXY-Vorrichtung und der PEER-Vorrichtung.
  • In einem weiteren Aspekt der vorliegenden Offenbarung leitet die PROXY-Vorrichtung nach dem Empfangen eines EAP-Signal zur Anforderung der Identität, das die PROXY-Vorrichtung vom Authentifikator empfängt, eine Anforderung für ein Signal zur internationalen Mobilfunkteilnehmerkennung (IMSI) an die PEER-Vorrichtung weiter, die eine IMSI anfordert.
  • In einem weiteren Aspekt der vorliegenden Offenbarung gibt ein von der PEER-Vorrichtung erzeugtes IMSI-Rückgabesignal die IMSI über das TLS an die PROXY-Vorrichtung zurück.
  • In einem weiteren Aspekt der vorliegenden Offenbarung wird ein von der PROXY-Vorrichtung erzeugtes EAP-Response-Identity-Signal drahtlos an den Authentifikator weitergeleitet.
  • In einem weiteren Aspekt der vorliegenden Offenbarung laufen mehrere Algorithmen des Authentifikators, um eine Zufallszahl und ein Authentifizierungstoken zu erzeugen, die in einem EAP-Response-AKA-Challenge-Signal an die PROXY-Vorrichtung zurückgegeben werden. Ein AKA-Challenge-Response-Signal wird über das TLS von der PROXY-Vorrichtung an die PEER-Vorrichtung weitergeleitet. Ein AKA-Algorithmus in der PEER-Vorrichtung läuft nach dem Empfangen des AKA-Challenge-Request-Signals, um die Authentizität des Authentifizierungstokens zu überprüfen und zu identifizieren, ob eine gegenseitige Authentifizierung zwischen der PEER-Vorrichtung, der PROXY-Vorrichtung und dem Authentifikator besteht.
  • In einem weiteren Aspekt der vorliegenden Offenbarung, wenn eine gegenseitige Authentifizierung zwischen der PEER-Vorrichtung, der PROXY-Vorrichtung und dem Authentifikator besteht, gibt die PEER-Vorrichtung ein AKA-Challenge-Response-Signal über das TLS an die PROXY-Vorrichtung zurück. Die PROXY-Vorrichtung leitet drahtlos ein EAP-Response-AKA-Challenge-Signal einschließlich der Schlüssel zum Authentifikator weiter.
  • In einem weiteren Aspekt der vorliegenden Offenbarung überprüft ein Server des Authentifikators das EAP-Response-AKA-Challenge-Signal von der PROXY-Vorrichtung und überprüft, ob ein gegenseitiger Authentifizierungscode unter Verwendung der Schlüssel von der PEER-Vorrichtung vorhanden ist, und wenn der gegenseitige Authentifizierungscode bestätigt wird, wird ein Authentifizierungserfolgssignal ausgegeben.
  • In einem weiteren Aspekt der vorliegenden Offenbarung, wenn die PEER-Vorrichtung den Authentifizierungscode zurückweist, der anzeigt, dass keine gegenseitige Authentifizierung zwischen der PEER-Vorrichtung, der PROXY-Vorrichtung und dem Authentifikator besteht, wird ein AKA-Authentifizierungsablehnungssignal von der PEER-Vorrichtung erzeugt und von der PEER-Vorrichtung an die PROXY-Vorrichtung weitergeleitet. Ein EAP-Response-AKA-Authentifizierungsablehnungssignal wird von der PROXY-Vorrichtung erzeugt und von der PROXY-Vorrichtung an den Authentifikator weitergeleitet.
  • In einem weiteren Aspekt der vorliegenden Offenbarung beinhaltet die Peer-Vorrichtung ein UMTS Teilnehmeridentifizierungsmodul (USIM), welches das IMSI speichert.
  • In einem weiteren Aspekt der vorliegenden Offenbarung beinhaltet die PROXY-Vorrichtung ein Wi-Fi-Element für die Wi-Fi-Konnektivität.
  • Gemäß mehreren Aspekten beinhaltet ein sicheres EAP-AKA (Extensible Authentication Protocol - Authentifizierung und Schlüsselvereinbarung) Authentifizierungssystem eine PROXY-Vorrichtung eines Kraftfahrzeug-Kommunikationssystems, das eine drahtlose Kommunikation mit einem Authentifikator eines Dienstanbieters ermöglicht. Eine PEER-Vorrichtung ist von der PROXY-Vorrichtung getrennt, wobei die PEER-Vorrichtung ein UMTS Teilnehmeridentifizierungsmodul (USIM) beinhaltet, das eine internationale Mobilfunkteilnehmerkennung (IMSI) speichert. Ein Transportschicht-Sicherheits-(TLS)-Element, das ein Ethernet-Tunnelelement definiert, ist mit der jeweiligen PROXY-Vorrichtung und der PEER-Vorrichtung verbunden und ermöglicht die Kommunikation zwischen der PROXY-Vorrichtung und der PEER-Vorrichtung. Eine EAP-Zustandsmaschine ist mit der PROXY-Vorrichtung verbunden.
  • In einem weiteren Aspekt der vorliegenden Offenbarung empfängt und verarbeitet die PEER-Vorrichtung EAP-Nachrichten über das TLS und reagiert auf die PROXY-Vorrichtung, die sich dann mit der EAP-Zustandsmaschine verbindet.
  • In einem weiteren Aspekt der vorliegenden Offenbarung werden die EAP-Nachrichten durch die EAP-Zustandsmaschine auf der PROXY-Vorrichtung geleitet, wobei die PROXY-Vorrichtung dann eine Reihe von Smartcard-APIs zum Durchführen eines EAP-Kommunikationsprozesses aussendet.
  • In einem weiteren Aspekt der vorliegenden Offenbarung wird ein Signal, das die IMSI anfordert, von der PROXY-Vorrichtung an die PEER-Vorrichtung weitergeleitet, nachdem die PROXY-Vorrichtung vom Authentifikator ein EAP-Anforderungsidentitätssignal empfangen hat.
  • In einem weiteren Aspekt der vorliegenden Offenbarung gibt ein von der PEER-Vorrichtung erzeugtes IMSI-Rückgabesignal die IMSI über das TLS an die PROXY-Vorrichtung zurück. Ein von der PROXY-Vorrichtung erzeugtes EAP-Anforderungsidentitätssignal drahtlos an den Authentifikator weitergeleitet.
  • In einem weiteren Aspekt der vorliegenden Offenbarung werden mehrere Algorithmen durch den Authentifikator ausgeführt, um eine Zufallszahl und ein Authentifizierungstoken zu erzeugen, die drahtlos in einem EAP-Response-AKA-Challenge-Signal an die PROXY-Vorrichtung zurückgegeben werden.
  • In einem weiteren Aspekt der vorliegenden Offenbarung wird ein AKA-Challenge-Response-Signal über das TLS von der PROXY-Vorrichtung an die PEER-Vorrichtung weitergeleitet. Ein AKA-Algorithmus in der PEER-Vorrichtung läuft nach dem Empfangen des AKA-Challenge-Request-Signals, um die Authentizität des Authentifizierungstokens zu überprüfen und zu identifizieren, ob eine gegenseitige Authentifizierung zwischen der PEER-Vorrichtung, der PROXY-Vorrichtung und dem Authentifikator besteht. Wenn eine gegenseitige Authentifizierung zwischen der PEER-Vorrichtung, der PROXY-Vorrichtung und dem Authentifikator besteht, gibt die PEER-Vorrichtung ein AKA-Challenge-Response-Signal über das TLS an die PROXY-Vorrichtung zurück. Die PROXY-Vorrichtung leitet drahtlos ein EAP-Response-AKA-Challenge-Signal einschließlich der Schlüssel zum Authentifikator weiter.
  • Gemäß mehreren Aspekten umfasst ein Verfahren zum Durchführen einer sicheren EAP-AKA (Extensible Authentication Protocol - Authentifizierung und Schlüsselvereinbarung) Authentifizierung die folgenden Schritte: Bereitstellen einer drahtlosen Kommunikation mit einem Authentifikator eines Dienstanbieters für eine PROXY-Vorrichtung eines Kraftfahrzeug-Kommunikationssystems, wobei die PROXY-Vorrichtung ein Wi-Fi-Element für eine Wi-Fi-Konnektivität beinhaltet; Speichern einer internationalen Mobilfunkteilnehmerkennung (IMSI) in einem UMTS Teilnehmeridentifizierungsmodul (USIM) in einer PEER-Vorrichtung, die von der PROXY-Vorrichtung getrennt ist; Verbinden der PROXY-Vorrichtung mit der PEER-Vorrichtung unter Verwendung eines Transportschicht-Sicherheitselements (TLS), das ein Ethernet-Tunnelelement definiert, um eine Kommunikation zwischen der PROXY-Vorrichtung und der PEER-Vorrichtung bereitzustellen; und Verbinden einer EAP-Zustandsmaschine mit der PROXY-Vorrichtung.
  • In einem weiteren Aspekt der vorliegenden Offenbarung beinhaltet das Verfahren ferner das Zuführen von EAP-Nachrichten durch die EAP-Zustandsmaschine auf der
  • PROXY-Vorrichtung; und das Senden eines Satzes von Smartcard-APIs zum Durchführen eines EAP
  • -Kommunikationsprozesses von der PROXY-Vorrichtung aus.
  • In einem weiteren Aspekt der vorliegenden Offenbarung beinhaltet das Verfahren ferner: das Weiterleiten eines Signals, das die IMSI von der PROXY-Vorrichtung an die PEER-Vorrichtung anfordert, nach dem Empfangen eines EAP-Request-Identity-Signals durch die PROXY-Vorrichtung vom Authentifikator, der ein IMSI-Rückgabesignal durch die PEER-Vorrichtung erzeugt, um die IMSI über das TLS an die PROXY-Vorrichtung zurückzugeben; und das Erzeugen einer EAP-Response-Identität, die von der PROXY-Vorrichtung erzeugt wird, die drahtlos die EAP-Response-Identität an den Authentifikator weitergeleitet.
  • Weitere Anwendungsbereiche werden aus der hierin bereitgestellten Beschreibung ersichtlich. Es ist zu beachten, dass die Beschreibung und die spezifischen Beispiele nur dem Zweck der Veranschaulichung dienen und nicht dazu beabsichtigt sind, den Umfang der vorliegenden Offenbarung zu begrenzen.
  • Figurenliste
  • Die hierin beschriebenen Zeichnungen dienen lediglich der Veranschaulichung und sollen den Umfang der vorliegenden Offenbarung in keiner Weise einschränken.
    • 1 ist ein Diagramm eines sicheren Extensible Authentication Protocol - Authentifizierung und Schlüsselvereinbarung Authentifizierungssystems gemäß einer exemplarischen Ausführungsform;
    • 2 ist ein Flussdiagramm von den gesicherten Nachrichten wegen des EAP-AKA-Systems von 1; und
    • 3 ist ein Diagramm, das mehrere verfügbare Kommunikationsverbindungen darstellt, die für das EAP-AKA-System von 1 verfügbar sind.
  • AUSFÜHRLICHE BESCHREIBUNG
  • Die folgende Beschreibung ist ihrer Art nach lediglich exemplarisch und beabsichtigt nicht, die vorliegende Offenbarung, Anwendung oder Verwendungen zu begrenzen.
  • Unter Bezugnahme auf 1 ist ein sicheres EAP-AKA (Extensible Authentication Protocol - Authentifizierung und Schlüsselvereinbarung) Authentifizierungssystem 10 für ein Kommunikationssystem 12 in einem Kraftfahrzeug 14 vorgesehen. Komponenten des Kommunikationssystems 12 beinhalten eine PEER-Vorrichtung 16 mit einem UMTS Teilnehmeridentifizierungsmodul (USIM) 18 für die drahtlose 3G- oder 4G-LTE-Kommunikation. Die PEER-Vorrichtung 16 kann eine Login-Adresse 192.168.1.102 für den privaten Netzwerkrouter aufweisen. Eine PROXY-Vorrichtung 20 ist physisch von der PEER-Vorrichtung 16 getrennt und steht in direkter Verbindung mit der PEER-Vorrichtung 16 über einen Ethernet-Kabel-„Tunnel“, der eine Transportschicht-Sicherheit (TLS) 22 definiert. Die „physische Trennung“ zwischen der PEER-Vorrichtung 16 und der PROXY-Vorrichtung 20 kann aufgrund des Fahrzeugraums und der Konfiguration des Kommunikationssystems 12 von ca. 2 cm bis mehr als 1 Meter betragen.
  • Das TLS 22 ermöglicht die Aufrüstung eines bestehenden Fahrzeugkommunikationssystems, um sowohl die PEER-Vorrichtung 16 als auch die PROXY-Vorrichtung 20 bereitzustellen, wenn eine der Vorrichtungen nicht vorhanden ist, und ermöglicht die Verbindung der PEER-Vorrichtung 16 mit der PROXY-Vorrichtung 20 unabhängig von der räumlichen Trennung zwischen den beiden Komponenten im Fahrzeug 14. Die PROXY-Vorrichtung 20 kann eine Login-Adresse 192.168.1.100 für den privaten Netzwerkrouter aufweisen. Das Kommunikationssystem 12 kann ferner ein Gateway 24 beinhalten, das auch in Verbindung mit dem TLS 22 steht. Die PEER-Vorrichtung 16 kann einen drahtlosen LTE-Empfänger-Sender 26 beinhalten. Die PROXY-Vorrichtung 20 kann einen Wi-Fi-Empfänger-Sender 28 beinhalten.
  • Unter Bezugnahme auf 2 und erneut auf 1 stellt ein Flussdiagramm 30 mehrere Wege zum Authentifizieren der Kommunikation zwischen dem Kommunikationssystem 12 im Fahrzeug 14 und einem von einem Trägerdienst bereitgestellten Authentifikator 32 dar. Ein Carrier-to-Proxy-Abschnitt 34 des Authentifizierungsprozesses ist allgemein bekannt und wird hierin der Vollständigkeit halber erläutert. Ein Proxy-to-Peer-Abschnitt 36 des Authentifizierungsprozesses unterscheidet sich von bekannten Vorrichtungen wie Mobiltelefonen durch die Einbeziehung des TLS 22 zwischen der PROXY-Vorrichtung 20 und der PEER-Vorrichtung 16 und die hinzugefügten Authentifizierungsschritte, um eine sichere Kommunikation über das TLS 22 zu gewährleisten.
  • Ein Authentifizierungserfolgssegment 38 stellt die Wege für eine erfolgreiche Fahrzeug-Träger-Authentifizierung bereit.
  • Wenn zunächst eine Kommunikationsanforderung des Fahrzeugs 14 an den Träger gerichtet wird, leitet der Authentifikator 32 des Trägers ein EAP-Request-Identity-Signal 40 weiter, das von der PROXY-Vorrichtung 20 empfangen wird. Nach dem Empfangen des EAP-Request-Identity-Signals 40 leitet die PROXY-Vorrichtung 20 eine Anforderung für eine internationale Mobilfunkteilnehmerkennung (IMSI) 42 an die PEER-Vorrichtung 16 weiter, die eine IMSI anfordert, die normalerweise in der USIM 18 gespeichert ist. Die PEER-Vorrichtung 16 ruft die IMSI vom USIM 18 ab und leitet die IMSI in einem IMSI-Rückgabesignal 44 an die PROXY-Vorrichtung 20 weiter. Die PROXY-Vorrichtung 20 erzeugt ein EAP-Response-Identity-Signal 46, das auch den NAI des Benutzers beinhaltet und diese Informationen an den Authentifikator 32 weiterleitet. Der Authentifikator 32 führt einen oder mehrere Algorithmen 48 aus, die eine Zufallszahl (AT RAND) und ein Authentifizierungstoken (AT_AUTN) erzeugen, die in einem EAP-Response-AKA-Anforderungssignal 50 an die PROXY-Vorrichtung 20 zurückgegeben werden.
  • Die PROXY-Vorrichtung 20 leitet ein AKA-Challenge-Anforderungssignal 52 an die PEER-Vorrichtung 16 weiter. Die PEER-Vorrichtung 16 führt einen oder mehrere AKA-Algorithmen 54 aus, um die Authentizität des Authentifizierungstokens (AT_AUTN) zu überprüfen und eine gegenseitige Authentifizierung zwischen dem Kommunikationssystem 12 und dem Authentifikator 32 (Träger) zu erreichen. Die PEER-Vorrichtung 16 gibt ein AKA-Challenge-Anforderungssignal 56 an die PROXY-Vorrichtung 20 zurück, die diese Werte wiederum als EAP-Response-AKA-Challenge-Signal 58 an den Authentifikator 32 weiterleitet. Ein Server 60 des Authentifikators 32 überprüft die Reaktion der PROXY-Vorrichtung 20 und verifiziert den gegenseitigen Authentifizierungscode unter Verwendung abgeleiteter Schlüssel von der PEER-Vorrichtung 16, und wenn die gegenseitige Authentifizierung bestätigt wird, wird ein Authentifizierungserfolgssignal 62 ausgegeben.
  • Ein Authentifizierungsablehnungssegment 64 stellt die Kommunikationswege zur Verfügung, wenn der Authentifikator 32 den Authentifizierungscode zurückweist.
  • Wenn der Server 60 nach dem Empfangen des EAP-Response-AKA Challenge-Signals 58 während der Reaktionsprüfung des gegenseitigen Authentifizierungscodes mit den abgeleiteten Schlüsseln von der PEER-Vorrichtung 16 identifiziert, dass der gegenseitige Authentifizierungscode falsch ist, gibt der Server 60 des Authentifikators 32 ein EAP-Response-AKA-Benachrichtigungssignal 66 an die PROXY-Vorrichtung 20 aus. Eine EAP-Zustandsmaschine 68 der PROXY-Vorrichtung 20 wird beendet und ein EAP-Response-AKA-Benachrichtigungssignal 70 zusammen mit einem Verbindungsabbruchssignal 72 wird von der PROXY-Vorrichtung 20 erzeugt, die an den Authentifikator 32 zurückgegeben wird.
  • Ein PEER-Authentifizierungsablehnungssegment 74 stellt die Wege zur Verfügung, wenn die PEER-Vorrichtung 16 den Authentifizierungscode zurückweist.
  • Ähnlich wie der vorstehend erwähnte erfolgreiche Authentifizierungsprozess führt der Authentifikator 32 die Algorithmen 48 aus, welche die Zufallszahl und das Authentifizierungstoken erzeugen, die im EAP-Reaktions-AKA-Challenge-Signal 50' an die PROXY-Vorrichtung 20 weitergeleitet werden, und die PROXY-Vorrichtung 20 leitet das AKA-Challenge-Anforderungssignal 52' als Authentifizierungscode an die PEER-Vorrichtung 16 weiter. Die PEER-Vorrichtung 16 führt die AKA-Algorithmen 54' aus, um die Authentizität des Authentifizierungstokens zu überprüfen, wobei jedoch, wenn die PEER-Vorrichtung 16 den Authentifizierungscode zurückweist, der anzeigt, dass keine gegenseitige Authentifizierung zwischen der PEER-Vorrichtung 16, der PROXY-Vorrichtung 20 und dem Authentifikator 32 besteht, ein AKA-Authentifizierungsablehnungssignal 76 von der PEER-Vorrichtung 16 an die PROXY-Vorrichtung 20 weitergeleitet wird, die ihrerseits ein EAP-AKA-Authentifizierung abgelehntes Signal 78 an den Authentifikator 32 weiterleitet.
  • Im Betrieb leitet die PROXY-Vorrichtung 20 nach dem Empfangen des EAP-Response/AKA-Challenge-Signals 50' mit den Werten AT_RAND, AT_AUTN diese Werte über das TLS 22 an die PEER-Vorrichtung weiter. Wenn die PEER-Vorrichtung 16 die Serverauthentifizierung zurückweist, sendet die PEER-Vorrichtung 16 ein AKA-Authentifizierungsablehnungssignal 76 an die PROXY-Vorrichtung 20. Die PROXY-Vorrichtung 20 leitet die Fehlermeldung als EAP-Response/AKA-Authentifizierungablehnungssignal 78 weiter.
  • Die PROXY-Vorrichtung 20 wird auf einem ECU (Systemabschnitt) erstellt, in dem sich die Wi-Fi-Kommunikationsausrüstung befindet. Die PROXY-Vorrichtung 20 verarbeitet die EAP-Nachrichten und enthält die EAP-Zustandsmaschine 68. Die PROXY-Vorrichtung 20 leitet die EAP-Nachrichten durch den Tunnel, der die Transportschicht-Sicherheit (TLS) 22 definiert, an die PEER-Vorrichtung 16 weiter, welche die USIM 18 enthält. Das TLS 22 gewährleistet die Sicherheit und Autorität für die PROXY-Vorrichtung 20 und die PEER-Vorrichtung 16, um sich gegenseitig zu authentifizieren und die AKA-Fähigkeiten zu registrieren.
  • Die PEER-Vorrichtung 16 empfängt und verarbeitet die EAP-AKA-Nachrichten über das TLS 22 und reagiert auf die PROXY-Vorrichtung 20, die sich dann mit der EAP-AKA-Zustandsmaschine 68 verbindet. Die EAP-Nachrichten werden durch die EAP-Zustandsmaschine 68 auf der PROXY-Vorrichtung 20 geleitet, die dann nur einen Satz vo „Smart-Card“-APIs sendet, die zum Durchführen des EAP-Kommunikationsprozesses erforderlich sind. Wie bekannt ist, ist eine Anwendungsprogrammierschnittstelle (API) eine Reihe von Unterprogrammdefinitionen, Protokollen und Werkzeugen zum Erstellen von Anwendungssoftware, die Verfahren zur Kommunikation zwischen verschiedenen Softwarekomponenten definieren.
  • Die PROXY-Vorrichtung 20 fängt die EAP-AKA-Nachrichten über eine Smartcard-API ab, die sich in einer Linux-Open-Source-Bibliothek wpa_supplicant befindet (nicht dargestellt). Die wpa supplicant Bibliothek kommuniziert direkt mit der USIM 18, jedoch leitet die PROXY-Vorrichtung 20 diese Nachrichten über das TLS 22 an die PEER-Vorrichtung 16 am anderen Ende als Smartcard-Funktionen weiter. Die PROXY-Vorrichtung 20 fordert die IMSI (Internationale Mobilfunkteilnehmerkennung) an.
  • Der Server weist die Authentifizierung zurück.
  • Nach dem Empfangen des EAP-Response/AKA-Challenge-Signals 50 bestimmt der Server 60, ob die Schlüssel gültig sind. Wenn die Schlüssel nicht gültig sind, sendet der Server 60 eine EAP-Request/AKA-Benachrichtigung, welche die PROXY-Vorrichtung 20 darüber informiert, dass der Server 60 die Authentifizierung zurückgewiesen hat und die EAP-Zustandsmaschine 68 wird beendet, woraufhin die Verbindung fehlschlägt, wobei in diesem Fall keine Kommunikation mit der Peer-Vorrichtung erforderlich ist. Die PROXY-Vorrichtung 20 sendet die EAP-Response/AKA-Benachrichtigung und informiert den Server-Authentifikator 32 darüber, dass die Authentifizierung fehlgeschlagen ist.
  • Unter Bezugnahme auf 3 und wiederum auf die 1 bis 2 ermöglicht das EAP-AKA-Authentifizierungssystem 10 dem Kommunikationssystem 12 des Kraftfahrzeugs 14 eine sichere und drahtlose Kommunikation über das Internet 80 mit mehreren externen Systemen. Diese Systeme können unter anderem das Heim-Wi-Fi-System 82 eines Benutzers über den Zugangsanbieter 84 eines Benutzers über einen Router 86 beinhalten. Die Kommunikation kann auch an einem vom Fahrzeughersteller bereitgestellten Wi-Fi-Hotspot 88 erfolgen, der einen vom Partner bereitgestellten Server 90 und einen lokalen Router 92 verwendet. Die Kommunikation kann ferner bei einem Händler eines Fahrzeugherstellers, der über einen Wi-Fi-Hotspot 94 verfügt, erfolgen, beispielsweise während der Wartungszeiten des Fahrzeugs, der einen Server 96 des Händlers und einen lokalen Router 98 verwendet. Das EAP-AKA-Authentifizierungssystem 10 ermöglicht es dem Kommunikationssystem 12 des Kraftfahrzeugs 14, drahtlos über ein Mobilfunksystem 100 unter Verwendung eines Mobilfunknetzes 102 und eines oder mehrerer mit einem Netzwerk versehener Mobilfunktürme 104 zu kommunizieren. Die Kommunikation für das EAP-AKA-Authentifizierungssystem 10 erfolgt auch über das Internet 80 zu einem Server 106 des Fahrzeugherstellers, der es dem Fahrzeughersteller ermöglicht, Fahrzeugdaten drahtlos zu erfassen und zu verteilen.
  • Das EAP-AKA-Authentifizierungssystem 10 der vorliegenden Offenbarung bringt mehrere Vorteile mit sich. Diese beinhalten das Bereitstellen eines Verfahrens und Systems zum beabsichtigten und sicheren Einfügen eines Man-in-the-Middle in die PROXY-Vorrichtung 20, um im Namen der PEER-Vorrichtung 16 zu handeln und USIM-EAP-Nachrichten zu authentifizieren und zu verarbeiten, wenn die PROXY-Vorrichtung 20 physisch von der PEER-Vorrichtung 16 getrennt ist. Eine Remote-Chipkartenlösung ist so implementiert, dass die Implementierung sowohl für EAP-SIM- als auch für EAP-AKA-Nachrichten verwendet werden kann. Die EAP-Nachrichten werden nicht direkt über die PROXY-Vorrichtung 20 an die PEER-Vorrichtung 16 weitergeleitet. Die PROXY-Vorrichtung 20 implementiert die EAP-Zustandsmaschine 68 und kommuniziert nur die erforderlichen Smartcard-Anforderungen und -Reaktionen.
  • Die Beschreibung der vorliegenden Offenbarung ist nur als Beispiel zu verstehen und Variationen, die sich nicht vom Kern der Erfindung entfernen, werden als im Rahmen der Erfindung befindlich vorausgesetzt. Solche Varianten sollen nicht als eine Abweichung vom Sinn und Umfang der Erfindung betrachtet werden.

Claims (10)

  1. Sicheres EAP-AKA (Extensible Authentication Protocol - Authentifizierung und Schlüsselvereinbarung) Authentifizierungssystem, umfassend: eine PROXY-Vorrichtung eines Kraftfahrzeug-Kommunikationssystems die eine drahtlose Kommunikation mit einem Authentifikator eines Dienstleistungsträgers bereitstellt; eine PEER-Vorrichtung, die von der PROXY-Vorrichtung getrennt ist; und ein Ethernet-Tunnel, der ein Transportschicht-Sicherheits-(TLS) Element definiert, ist mit jeder der PROXY-Vorrichtungen und der PEER-Vorrichtung verbunden und ermöglicht eine sichere Kommunikation zwischen der PROXY-Vorrichtung und der PEER-Vorrichtung.
  2. System nach Anspruch 1, worin die PROXY-Vorrichtung nach dem Empfangen EAP-Request-Identity-Signals durch die PROXY-Vorrichtung vom Authentifikator eine Anforderung für ein internationale Mobilfunkteilnehmerkennungs-(IMSI)-Signal an die PEER-Vorrichtung weiterleitet, die eine IMSI anfordert.
  3. System nach Anspruch 2, worin ein von der PEER-Vorrichtung erzeugtes IMSI-Rückgabesignal die IMSI über das TLS an die PROXY-Vorrichtung zurückgibt.
  4. System nach Anspruch 3, worin ein von der PROXY-Vorrichtung erzeugtes EAP-Response-Identity-Signal drahtlos an den Authentifikator weitergeleitet wird.
  5. System nach Anspruch 4, worin: mehrere Algorithmen des Authentifikatorlaufs zum Erzeugen einer Zufallszahl und eines Authentifizierungstokens, die in einem EAP- Response-AKA-Challenge-Signal an die PROXY-Vorrichtung zurückgegeben werden; ein AKA-Challenge-Request-Signal wird von der PROXY -Vorrichtung über das TLS an die PEER-Vorrichtung weitergeleitet; und ein AKA-Algorithmus in der PEER-Vorrichtung läuft nach dem Empfangen des AKA-Challenge-Request-Signals, um die Authentizität des Authentifizierungstokens zu überprüfen und zu identifizieren, ob eine gegenseitige Authentifizierung zwischen der PEER-Vorrichtung, der PROXY-Vorrichtung und dem Authentifikator besteht.
  6. System nach Anspruch 5, worin: wenn eine gegenseitige Authentifizierung zwischen der PEER-Vorrichtung, der PROXY-Vorrichtung und dem Authentifikator besteht, gibt die PEER-Vorrichtung ein AKA-Challenge-Response-Signal über das TLS an die PROXY-Vorrichtung zurück; und die PROXY-Vorrichtung leitet drahtlos ein EAP-Response-AKA Challenge-Signal einschließlich Schlüssel zum Authentifikator weiter.
  7. System nach Anspruch 6, worin ein Server des Authentifikators das EAP-Response-AKA-Challenge-Signal von der PROXY-Vorrichtung überprüft und überprüft, ob ein gegenseitiger Authentifizierungscode unter Verwendung der Schlüssel von der PEER-Vorrichtung vorhanden ist, und wenn der gegenseitige Authentifizierungscode bestätigt wird, wird ein Authentifizierungserfolgssignal ausgegeben.
  8. System nach Anspruch 5, worin: wenn die PEER-Vorrichtung den Authentifizierungscode zurückweist, der anzeigt, dass keine gegenseitige Authentifizierung zwischen der PEER-Vorrichtung, der PROXY-Vorrichtung und dem Authentifikator besteht, wird ein AKA-Authentifizierungsablehnungssignal von der PEER-Vorrichtung erzeugt und von der PEER-Vorrichtung an die PROXY-Vorrichtung weitergeleitet; und ein EAP-Response-AKA-Authentifizierungsablehnungssignal wird von der PROXY-Vorrichtung erzeugt und von der PROXY-Vorrichtung an den Authentifikator weitergeleitet.
  9. System nach Anspruch 2, worin die Peer-Vorrichtung ein UMTS Teilnehmeridentifizierungsmodul (USIM) zum Speichern der IMSI beinhaltet.
  10. System nach Anspruch 1, worin die Proxy-Vorrichtung ein Wi-Fi-Element für die Wi-Fi-Konnektivität beinhaltet.
DE102019105571.7A 2018-03-09 2019-03-05 Sichere eap-aka-authentifizierung über ein proxy Withdrawn DE102019105571A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US201815916672A 2018-03-09 2018-03-09
US15/916,672 2018-03-09

Publications (1)

Publication Number Publication Date
DE102019105571A1 true DE102019105571A1 (de) 2019-09-12

Family

ID=67701796

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102019105571.7A Withdrawn DE102019105571A1 (de) 2018-03-09 2019-03-05 Sichere eap-aka-authentifizierung über ein proxy

Country Status (2)

Country Link
CN (1) CN110248363A (de)
DE (1) DE102019105571A1 (de)

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8095179B2 (en) * 2004-10-14 2012-01-10 Nokia Corporation Proxy smart card applications
CN101983517B (zh) * 2008-04-02 2014-12-03 诺基亚通信公司 演进分组系统的非3gpp接入的安全性
US10521736B2 (en) * 2015-12-22 2019-12-31 GM Glboal Technology Operations LLC Ride sharing accessory device and system
US10430607B2 (en) * 2016-05-05 2019-10-01 Ribbon Communications Operating Company, Inc. Use of AKA methods and procedures for authentication of subscribers without access to SIM credentials
US10716002B2 (en) * 2016-07-05 2020-07-14 Samsung Electronics Co., Ltd. Method and system for authenticating access in mobile wireless network system

Also Published As

Publication number Publication date
CN110248363A (zh) 2019-09-17

Similar Documents

Publication Publication Date Title
DE602004004844T2 (de) Authentifizierung des Zugriffs auf ein drahtloses Local Area Network basierend auf Sicherheitswerte(n), die einem zellularen Mobilfunksystem zugeordnet sind
DE60209858T2 (de) Verfahren und Einrichtung zur Zugriffskontrolle eines mobilen Endgerätes in einem Kommunikationsnetzwerk
DE102019218394A1 (de) Bereitstellung von elektronischen teilnehmeridentitätsmodulen für mobile drahtlose vorrichtungen
DE60132591T2 (de) Arrangieren der datenchiffrierung in einem drahtlosen telekommunikationssystem
EP1763200B1 (de) Computersystem und Verfahren zur Übermittlung von kontextbasierten Daten
DE102018214850A1 (de) Verwaltung einer eingebetteten universellen integrierten Schaltkarten (EUICC)-Bereitstellung mit mehreren Zertifikatsausstellern (CIS)
DE102017215230B4 (de) Sichere kontrolle von profilrichtlinienregeln
DE60021496T2 (de) Gesichertes drahtloses lokales Netzwerk
DE60106665T2 (de) Vorrichtung und entsprechendes Verfahren zur Vereinfachung der Authentifikation von Kommunikationsstationen in einem mobilen Kommunikationssystem
CA2602581C (en) Secure switching system for networks and method for secure switching
DE102007044905A1 (de) Verfahren und Vorrichtung zur Ermöglichung einer Dienstnutzung und Feststellung der Teilnehmeridentität in Kommunikationsnetzen mittels softwarebasierten Zugangsberechtigungsausweisen (vSIM)
EP3198903B1 (de) Verfahren und vorrichtungen zum bereitstellen eines subskriptionsprofils auf einem mobilen endgerät
DE102006038591A1 (de) Verfahren und Anordnung zum Bereitstellen eines drahtlosen Mesh-Netzwerks
DE102016204285A1 (de) Mobile Vorrichtung-zentrische elektronische Teilnehmer-Identitätsmodul(Electronic Subscriber ldentity Module, eSIM)-Bereitstellung
DE112018000632T5 (de) Verfahren und systeme zum verbinden eines drahtlosen kommunikationsgeräts mit einem verlegbaren drahtlosen kommunikationsnetzwerk
DE102018207161A1 (de) Kommunikation in einem Mobilfunknetz
DE102021127364A1 (de) Anschluss von geräten des internet of things ( i0t) an ein drahtloses netz
WO2016050333A1 (de) Verfahren und system zum personalisieren eines sicherheitselements eines endgeräts
EP2575385B1 (de) Verfahren zur Initialisierung und/oder Aktivierung wenigstens eines Nutzerkontos, zum Durchführen einer Transaktion, sowie Endgerät
DE102021109942B4 (de) Autonome Geräteauthentifizierung für den Zugang zu privaten Netzwerken
DE102022204571A1 (de) Offline-profilbereitstellung für drahtlose vorrichtungen
DE60224391T2 (de) Sicherer Zugang zu einem Teilnehmermodul
EP1240794B1 (de) Verfahren zur Verschlüsselung von Daten und Telekommunikationsendgerät und Zugangsberechtigungskarte
DE112021000866T5 (de) Benutzergerät, authentifizierung-autorisierung-abrechnung-server eines nicht-öffentlichen netzes, authentifizierungsserverfunktionsentität
EP1519603A1 (de) Verfahren zur Authentisierung eines Teilnehmers für einen über ein Kommunikationssystem angebotenen Dienst

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R082 Change of representative

Representative=s name: MANITZ FINSTERWALD PATENT- UND RECHTSANWALTSPA, DE

R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee