MX2007012043A - Mecanismo de decision de clave generica para arquitectura de autentificacion generica. - Google Patents

Mecanismo de decision de clave generica para arquitectura de autentificacion generica.

Info

Publication number
MX2007012043A
MX2007012043A MX2007012043A MX2007012043A MX2007012043A MX 2007012043 A MX2007012043 A MX 2007012043A MX 2007012043 A MX2007012043 A MX 2007012043A MX 2007012043 A MX2007012043 A MX 2007012043A MX 2007012043 A MX2007012043 A MX 2007012043A
Authority
MX
Mexico
Prior art keywords
naf
network
key
application
user
Prior art date
Application number
MX2007012043A
Other languages
English (en)
Inventor
Pekka Laitinen
Silke Holtmanns
Original Assignee
Nokia Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nokia Corp filed Critical Nokia Corp
Publication of MX2007012043A publication Critical patent/MX2007012043A/es

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Computer And Data Communications (AREA)

Abstract

Un metodo y aparato proporcionan mecanismo generico para un servidor de aplicacion de la red. Un receptor recibe una peticion de un equipo del usuario para proporcionar informacion de autentificacion a una funcion de aplicacion de la red. Una unidad determinadora determina una clave de una arquitectura de autentificacion generica para integrar servidores adicionales de aplicacion de la red mediante la extension de un estandar existente para las regulaciones de seguridad del usuario. Una unidad proveedora proporciona la informacion de autentificacion a la funcion de aplicacion de la red.

Description

MECANISMO DE DECISIÓN DE CLAVE GENÉRICA PARA ARQUITECTURA DE AUTENTIFICACIÓN GENÉRICA REFERENCIA CRUZADA CON SOLICITUDES RELACIONADAS Esta solicitud reclama la prioridad de la Solicitud de Patente Provisional de los Estados Unidos Serie No. 60/669,873, presentada el 11 de Abril de 2005. La materia objeto de está solicitud presentada anteriormente se incorpora como referencia en la presente.
ANTECEDENTES DE LA INVENCIÓN CAMPO DE LA INVENCIÓN Esta invención se refiere a un mecanismo genérico para un servidor de aplicación, con el fin de determinar cuál clave de una Arquitectura de Autentificación Genérica (GAA) habilitaría la integración fácil de los servidores de aplicación adicionales, mediante la extensión de un estándar existente para Regulaciones de Seguridad del Usuario (USS) .
DESCRIPCIÓN DE LA TÉCNICA RELACIONADA La autentificación inicial (es decir, carga inicial) de la Arquitectura de Autentificación Genérica (GAA) de la Sociedad del Proyecto de Tercera Generación (3GPP) está basada en AKA (Protocolo de "Autentificación y Convenio de Claves) . Dependiendo de una terminal móvil, como un teléfono móvil, y una Tarjeta de Circuito Integrado (UICC) del Sistema de Telecomunicaciones Móvil Universal (UMTS) o módulo de identidad del suscriptor, insertado en la terminal móvil, la Arquitectura de Autentificación Genérica (GAA) de 3GPP puede tener las siguientes claves: Ks_int_NAF, Ks_ext_NAF, y KS_NAF. Actualmente, el número de servicios que utilizan GAA es muy pequeño y una definición en cuanto a cuál clave utilizar para la tarjeta inteligente particular o módulo de identidad del suscriptor, se puede implementar directamente en un servidor de la Función de Aplicación de la Red (NAF) que ofrece el servicio al usuario. No obstante, tal implementación en el servidor no es muy escalable o fácil de administrar en caso de cambios, como en casos de nuevos usos y cambios o actualizaciones a los servicios existentes, o la adquisición de una nueva tarjeta inteligente por parte de un usuario. Los cambios o actualizaciones a la NAF requerirían configuración manual, lo que es especialmente difícil, si la NAF no reside en la red local del usuario o suscriptor, sino en una red de un tercero. La clave Ks_int_NAF se utiliza para asegurar el Protocolo de Transporte de Hipertexto (HTTPS) entre la tarjeta inteligente o el módulo de identidad del suscriptor y la NAF del servidor de aplicación. La aplicación residiría en la tarjeta inteligente o en el módulo de identidad del suscriptor y la terminal móvil solamente actuaría como un módem. Este mecanismo se puede utilizar como una alternativa para presentar mensajes de configuración OTA SMS para descargar nuevas actualizaciones u otras aplicaciones de SAT. El único caso de uso para la clave Ks_int_NAF definida actualmente está en Difusión Multimedia/Servicio Colectivo (MBMS) . En MBMS, la NAF está configurada de acuerdo a las definiciones en la especificación TS33.246 3GPP, anexa a la presente como apéndice A, cuya exposición íntegra se considera forma parte de la presente, como referencia. En MBMS, una elección en cuanto a cuál clave utilizar se define por la descripción de las claves específicas en la especificación TS33.246. Por lo tanto, para este caso de uso, no se requiere mecanismo de elección de clave debido a que la clave se implementa directamente en la NAF que está ofreciendo el servicio MBMS al usuario.
SUMARIO DE LA INVENCIÓN De acuerdo a una modalidad de la presente invención, se proporciona un método para proveer mecanismo genérico para un servidor de aplicación de la red. El método incluye recibir una petición de un equipo de usuario para proporcionar la información de autentificación a una función de aplicación de la red. El método incluye determinar una clave de una arquitectura de autentificación genérica para integrar a los servidores adicionales de aplicación de la red mediante la extensión de un estándar existente para las regulaciones de seguridad del usuario. El método incluye además proporcionar la información de autentificación a la función de aplicación de la red. De acuerdo a una modalidad de la presente invención, se proporciona un aparato que provee mecanismo genérico para un servidor de aplicación de la red. Medios receptores para recibir una petición de un equipo de usuario para proporcionar información de autentificación a una función de aplicación de la red. Medios determinadores para determinar una clave de una arquitectura de autentificación genérica para integrar servidores adicionales de aplicación de la red mediante la extensión de un estándar existente para las regulaciones de seguridad del usuario. Primeros medios proporcionadores para proporcionar la información de autentificación a la función de aplicación de la red. De acuerdo a una modalidad de la presente invención, se proporciona un aparato que provee mecanismo genérico para un servidor de aplicación de la red. Un receptor recibe una petición de un equipo del usuario para proporcionar información de autentificación a una función de aplicación de la red. Una unidad determinadora determina una clave de una arquitectura de autentificación genérica para integrar servidores adicionales de aplicación de la red mediante la extensión de un estándar existente para regulaciones de seguridad del usuario. Una unidad proveedora proporciona la información de autentificación a la función de aplicación de la red.
BREVE DESCRIPCIÓN DE LOS DIBUJOS Los dibujos anexos, que se incluyen para proporcionar una comprensión adicional de la invención y están incorporados en una parte constitutiva de está especificación, ilustran modalidades de la invención que junto con la descripción sirven para explicar los principios de la invención, en donde: La figura ÍA, ilustra un aparato para proporcionar mecanismo genérico para un servidor de aplicación de la red, de acuerdo con una modalidad de la presente invención; La figura IB, ilustra una arquitectura de red ejemplar en donde una Función de Aplicación de Red está en una red visitada, de acuerdo con una modalidad de la presente invención; La figura 2 ilustra un aparato para proporcionar mecanismo genérico para un servidor de aplicación de la red, de acuerdo con una modalidad de la presente invención; La figura 3 ilustra un método para proporcionar mecanismo genérico para un servidor de aplicación de la red, de acuerdo con una modalidad de la presente invención; y La figura 4 ilustra un aparato para proporcionar mecanismo genérico para un servidor de aplicación de la red, de acuerdo con una modalidad alternativa de la presente invención.
TABLA DE ABREVIATURAS 3GPP — Proyecto de Sociedad de Tercera Generación 3GPP2 — Proyecto 2 de Sociedad de Tercera Generación ACM — Mensaje Completo de Dirección AKA - Autentificación y Convenio de Claves Auth - Autentificación AUTHR - Respuesta de Autentificación AVP - Par de Atributo-Valor BS — Estación Base BSC - Controlador de Estación Base BSF - Función del servidor de Carga Inicial BTS - Subsistema Transceptor de Estación Base CK - Clave de Confidencialidad CM - Mensaje Celular GAA -Arquitectura de Autentificación Genérica GBA - Arquitectura de Carga Inicial Genérica GBA_U - GBA con mejoramientos a base de UICC GUSS - Regulaciones de Seguridad del Usuario de GBA HSS - Servidor del Suscriptor Local HTTP - Protocolo de Transporte de Hipertexto HTTPS - Protocolo de Transporte de Hipertexto Asegurado IK - Clave de Integridad IMS - Subsistema Multimedia de IP IMSI - Identidad del Suscriptor Móvil Internacional IP - Protocolo de Internet ISIM - Tarjeta SIM del IMS Kc - Clave Cifrada Ki - Clave de Autentificación del Suscriptor Individual Ks - Material Clave Ks_int_NAF - Clave Derivada en GBA_U que permanece en UICC Ks_ext_NAF - Clave Derivada en GBA_U Ks_NAF - Clave Derivada en GBA_ME MAP - Parte de Aplicación Móvil MBMS - Difusión Multimedia/Servicio Colectivo ME - Equipo Móvil MIN - Número de Identificación Móvil MNO - Operador de Red Móvil Local MO - Originado Móvil NAF - Función de Aplicación de la Red NE - Elemento de Red OTA - Sobre el Aire PDSN - Nodo de Servicio de Datos en Paquete PLC - Código Largo Privado PLCM - Mascara del PLC PSTN - Red Telefónica Conmutada Pública RAN - Red de Acceso de Radio RAND - Dato de Pregunta Aleatoria SAT - Equipo de Herramientas de Aplicación del SIM SIM - Módulo de Identidad del Suscriptor SMS - Servicio de Mensaje Corto UE - Equipo del Usuario UICC - Tarjeta de Circuito Integrado del UMTS UMTS - Sistema de Telecomunicaciones Móviles Universales USIM - Tarjeta SIM Universal USS - Regulaciones de Seguridad del Usuario Ub - Interfaz aérea de carga inicial (de UE a BSF) Zh - Interfaz HSS de BSF DESCRIPCIÓN DETALLADA DE LAS MODALIDADES PREFERIDAS 3GPP es una infraestructura de autentificación propuesta (3GGP TS 33.220, anexa como apéndice B, cuya exposición íntegra se considera forma parte de la presente, como referencia) . Esta infraestructura se puede utilizar para habilitar funciones de aplicación en un lado de la red y en un lado del usuario, para comunicarse en situaciones en donde el lado de la red y el lado del usuario no serían capaces de comunicarse de otra manera. Esta funcionalidad se denomina "carga inicial de seguridad de aplicación", o más generalmente simplemente como "carga inicial".
Los principios generales de carga inicial son que una función del servidor de carga inicial genérica (BSF) permite que el equipo del usuario (UE) se autentifique con ella, y están de acuerdo sobre claves de sesión. Tal autentificación puede estar basada en la autentificación y convenio de claves (AKA) . Al correr AKA, la terminal móvil y la red se autentifican entre sí y están de acuerdo sobre las claves, específicamente una clave de confidencialidad (CK) y una clave de integridad (IK) . Después de esta autentificación, el UE y una función de aplicación de la red (NAF) , que también puede ser denominada como un proveedor de servicios, puede correr algún protocolo específico de aplicación, en donde la autentificación de los mensajes se basa en las claves de sesión convenidas entre el UE y la BSF. No se pretende que la función de carga inicial dependa de alguna función de aplicación de la red particular. El servidor que implementa la función de carga inicial debe ser confiable para un operador local, con el fin de manejar vectores de autentificación. Las funciones de aplicación de la red pueden estar soportadas en la red local del operador, en una red visitada, o en una tercera red . La figura ÍA ilustra una arquitectura de red ejemplar, de acuerdo con una modalidad de la presente invención. La arquitectura de red incluye un equipo del usuario (UE) (100), al menos una función de aplicación de la red (NAF) (102), una función del servidor de carga inicial (BSF) (104), y un sistema del suscriptor local (HSS) (106). La BSF (104) y el HSS (106) forman parte de un operador de red móvil local (MNO) (108) . El UE (100) se conecta al MNO (108) de acuerdo con técnicas de comunicación móvil bien conocidas . La NAF (102) está alojada en un elemento de la red, bajo el control del MNO (108), por ejemplo, y la BSF también puede estar alojada en un elemento de la red bajo el control del MNO (108). De esta manera, para fines prácticos, cada una de la NAF (102) y la BSF (104) se puede considerar como un elemento de la red. Como se ilustra en la figura ÍA, el UE (100) se comunica con la NAF (102) a través de una interfaz Ua (110) . El UE (100) se comunica con la BSF (104) a través de una interfaz Ub (112). La NAF (102) se comunica con la BSF (104) a través de una interfaz Zn (114) . La BSF (104) se comunica con el HSS (106) a través de una interfaz Zh (116) . La NAF (102) puede estar provista en una red separada adicional. Por ejemplo, como se ilustra en la figura IB, se proporciona una arquitectura de red ejemplar en donde la NAF (102) está en la red visitada. En el caso en donde el UE (100) ha contactado con una NAF (102) que es operada en otra red diferente a la red local, esta NAF visitada (102) utilizará un representante diametral (D-Proxy) (118) de la red de NAFs para comunicarse con la BSF del suscriptor (es decir la BSF local) (104) . La NAF (102) se comunica con la BSF (104) a través de la interfaz Zn (114) al D-Proxy (118) y a través de una interfaz Zn' (120) a la BSF (104). La funcionalidad D-Proxy (118) se puede implementar como un elemento de red separado, o ser parte de cualquier elemento de la red (NE) en la red visitada que implementa la funcionalidad del representante Diametral (ejemplos de tales NEs son la BSF de la red a la cual pertenece la NAF visitada (102), o un servidor AAA) . Para las figuras ÍA y IB, el principio de carga inicial es que el UE (100) y la función de carga inicial se autentifiquen entre sí, por ejemplo, utilizando el protocolo AKA, y están de acuerdo sobre un secreto compartido maestro. Posteriormente, el secreto compartido maestro se utiliza para derivar uno o varios secretos compartidos específicos de la función de aplicación de la red, que se aplican entre el UE (100) y las funciones de aplicación de la red particular (NAFs) en cuestión. El material de la clave secreta compartida específica de NAF se genera específicamente para cada función de aplicación de la red, independientemente. Después de que se ha completado la operación de carga inicial, el UE (100) y la función de aplicación de la red pueden correr algún protocolo específico en donde el aseguramiento de los mensajes se basará en aquellas claves generadas durante la autentificación mutua entre el UE (100) y la función del servidor de carga inicial. Por lo tanto, las claves se pueden utilizar para la autentificación y la protección de la integridad, y para confidencialidad. La función de aplicación de la red entonces es capaz de adquirir el secreto compartido especifico de NAF, derivado del secreto compartido maestro, establecido entre el equipo del usuario y la función del servidor de carga inicial . La interfaz Ub de comunicación (112) soporta la autentificacion de carga inicial y el protocolo de convenio de claves, para proporcionar la autentificación mutua y el convenio de claves entre el UE (100) y la BSF (104). Este protocolo se puede basar en el protocolo AKA del 3GPP, por e emplo. La terfaz Zh (116) permite que la BSF (104) busque cualquier información de autentificación requerida e información del perfil del suscriptor proveniente del HSS (106). La interfaz Ua (110) soporta cualquier protocolo especifico de aplicación que esté asegurado, utilizando el secreto compartido específico de NAF, derivado del secreto compartido maestro convenido entre la UE (100) y la BSF (104), con base en el protocolo soportado por la interfaz Ub (112). La interfaz Zn (114) se utiliza por la NAF (102) para buscar el secreto compartido específico de NAF que se ha derivado del secreto compartido maestro, convenido en el protocolo soportado en la interfaz Ub (112) proveniente de la BSF (104). La interfaz Zn (114) también se puede utilizar para buscar información del perfil del suscriptor proveniente de la BSF (104). Un mensaje transmitido desde la BSF (104) hacia la NAF (102) incluye información de carga inicial. La información de carga inicial puede incluir un identificador de transacción, un secreto compartido específico de NAF, e información opcional del perfil del suscriptor ("prof_naf" o "cualesquiera USSs específicos de NAF"). El secreto compartido específico de NAF, denotado Ks_NAF, se establece entre el UE (100) y la BSF (104), y se puede modificar para el uso específico para comunicaciones entre el UE (100) y la NAF específica. Ks_NAF se deriva de Ks mediante el uso de parámetros especificados en el Anexo B de 3GPP TS 33.220 (Apéndice A) . Ks es el secreto compartido maestro, y Ks_NAF es un secreto compartido específico de NAF. La información de carga inicial transmitida a cada NAF de este modo es única para esa NAF, de acuerdo con el secreto compartido específico Ks_NAF para esa NAF. Un grupo de todas las regulaciones de seguridad del usuario (GUSS) contiene el elemento de información específica de BSF y el grupo de todas las USSs específicas de la aplicación. El grupo de todas las regulaciones de seguridad del usuario (USSs), es decir GUSS, se almacena en el HSS. En el caso donde el suscriptor tiene múltiples suscripciones, es decir, múltiples aplicaciones ISIM o USIM en el UICC, el HSS contendrá una o varias GUSSs que se pueden mapear para una o varias identidades, por ejemplo IMPIs (Identidad Privada Multimedia de IP) e IMSIs (Identidad del Suscriptor Móvil Internacional). Sucede un despliegue de caso de nuevo uso para dos secretos compartidos específicos de NAF en GBA_U en donde uno se utiliza en UICC (Ks_int_NAF) y el otro se utiliza en el equipo móvil (Ks_ext_NAF) . Este caso de uso necesita alguna "lógica de decisión" para saber cuál clave tomar, es decir, Ks_int_NAF, o Ks_ext_NAF. Las adiciones de nuevos servicios a esta "lógica" deberían ser posibles sin nueva configuración de una tarjeta inteligente en una terminal móvil. En caso de que la NAF soporte más de un tipo de clave, se necesita prevenir cualquier clase de minimización de ataque del nivel de seguridad. Este ataque minimizado puede consistir en que la NAF es obligada con engaño a utilizar una clave de menor nivel de seguridad en vez de requerir el uso de Ks_int_NAF. De acuerdo a una modalidad de la presente invención, se proporciona un mecanismo genérico para un servidor de aplicación, con el fin de obtener el conocimiento en cuanto a cuál clave de Arquitectura de Autentificación Genérica (GAA) haría posible la fácil integración de servidores adicionales de aplicación mediante la extensión de un estándar existente para Regulaciones de Seguridad del Usuario (USS) . Los Pares de Atributo-Valor AVP (AVPs) están definidos en los mensajes de la petición de información de Carga Inicial-Información-Petición/Respuesta de la interfaz Zn de 3GPP TS 29.109 GAA, anexos como Apéndice C, cuyo contenido se incorpora en la presente, como referencia, y los AVP Diametrales nuevos adicionales están definidos en 3GPP TS 29.229, anexos como Apéndice D, cuya cuyo contenido se incorpora en la presente, como referencia. Un mecanismo genérico se puede implementar por codificación inflexible o configuración local de un uso de clave directamente en el software en cada NAF durante el establecimiento de la NAF (local en NAF) , mediante la codificación inflexible del uso de clave de BSF (BSF dicta solamente mediante la distribución de la clave relevante a NAF) , mediante la provisión de uno o varios campos adicionales en la regulación de seguridad del usuario (USS) almacenados en el Servidor del Suscriptor Local (HSS) que son transferidos a la BSF, y/o mediante el uso del AVP almacenado en la BSF que indica el uso de claves. Si la BSF solamente distribuyera las claves relevantes a la NAF, la NAF no se enteraría de la calidad de seguridad proporcionada y del tipo de clave que se está utilizando. El 3GPP estandarizado y las Regulaciones de Seguridad del Usuario (USS) existentes podrían ser extendidas y utilizadas para indicar cuál clave utilizar. Esto le proporcionaría al operador local del usuario el control total y flexible, especialmente en el caso en que el servicio se ofrece por una tercera NAF participante y la facturación del servicio se realiza por el operador local. De acuerdo con una modalidad de la presente invención, pueden existir al menos dos modalidades posibles. En una primera modalidad de la presente invención, el USS podría indicar qué tipo de tarjeta inteligente o ambiente seguro tiene un usuario. También, la primera modalidad proporcionaría si el SIM Universal del Suscriptor Móvil (USIM) , la tarjeta del IMS del SIM (ISIM) está habilitada o no por GBA_U . En la primera modalidad, este puede ser un campo indicador, que indica si la tarjeta o el ambiente seguro están habilitados por GBA_U . En una segunda modalidad de la presente invención, el USS puede incluir uno o dos campos indicadores de autorización que son transportados en un USS de una especificación 3GPP TS 29.109 existente, anexa a la presente como Apéndice D, cuyo contenido se incorpora en la presente, como referencia. En el primer campo indicador, si este campo está presente e indica el que es obligatorio el uso de secreto compartido con base en UICC (Ks_int_NAF) . El segundo campo indicador puede ser un campo opcional, en donde si está presente este segundo campo indicador e indica el uso del secreto compartido con base en ME (Ks_ext_NAF o Ks_NAF) . Si el suscriptor móvil está provisto con un operador local con un nuevo módulo de identidad del suscriptor, entonces el USS se puede actualizar fácilmente para requerir que desde ese momento se utilice la clave Ks_int_NAF más segura. Ambas alternativas previenen los ataques minimizados por la seguridad, por ejemplo, la clave Ks_ext_NAF se utiliza en vez de la clave Ks_int_NAF más segura . La figura 2 ilustra un aparato (150) para proporcionar un mecanismo genérico para un servidor de aplicación de la red, de acuerdo a una modalidad de la presente invención. El aparato (150) incluye una unidad receptora (152) para recibir una petición de un equipo del usuario para proporcionar la información de autentificación a una función de aplicación de la red. El aparato (150) incluye además una unidad determinadora (154) para determinar una clave de una arquitectura de autentificación genérica para integrar servidores adicionales de aplicación de la red mediante la extensión de un estándar existente para las regulaciones de seguridad del usuario. El aparato (150) también incluye una primera unidad proveedora (156) para proporcionar la información de autentificación a la función de aplicación de la red. La figura 3 ilustra un método para proporcionar un mecanismo genérico para un servidor de aplicación de la red, de acuerdo con una modalidad de la presente invención. En la operación (200), el método recibe una petición de un equipo del usuario para proporcionar la información de autentificación a una función de aplicación de la red. En la operación (210), el método determina una clave de una arquitectura de autentificación genérica para integrar servidores adicionales de aplicación de la red mediante la extensión de un estándar existente para las regulaciones de seguridad del usuario. En la operación (220), se proporciona la información de autentificación a la función de aplicación de la red. De acuerdo con una modalidad de la presente invención, el USS podría indicar qué tipo de tarjeta inteligente tiene el usuario, o qué tipo (por ejemplo, Ks_ext_NAF o Ks_int_NAF) , de secreto compartido se debe utilizar. En la operación (230), el método determina si el SIM Universal del suscriptor móvil (USIM) , la tarjeta SIM del IMS (ISIM) u otro ambiente seguro está habilitado o no por GBA_U . En la primera modalidad, puede ser un campo indicador, que indica si la tarjeta o ambiente seguro está habilitado por GBA_U . La figura 4 ilustra un método para proporcionar mecanismo genérico para un servidor de aplicación de la red, de acuerdo con una modalidad alternativa de la presente invención. En la operación (300), el método recibe una petición de un equipo del usuario para proporcionar información de autentificación a una función de aplicación de la red. En la operación (310), el método determina una clave de una arquitectura de autentificación genérica para integrar servidores adicionales de aplicación de la red mediante la extensión de un estándar existente para regulaciones de seguridad del usuario. En la operación (320), se proporciona la información de autentificación a la función de aplicación de la red. De acuerdo con una modalidad de la presente invención, el USS podría indicar cuál tipo de tarjeta inteligente o ambiente seguro tiene un usuario, o cuál tipo de secreto compartido se debe utilizar. En la operación (330), el método determina si el USS incluye uno o dos campos indicadores que van a ser transportados en el encabezado de Autorización de la especificación 3GPP TS 29.109 existente, anexa a la presente como Apéndice C. En el primer campo indicador, si este campo está presente, indica que es obligatorio el uso del secreto compartido basado en UICC (Ks_int_NAF) . El segundo campo indicador puede ser un campo opcional, en donde si está presente este segundo campo indicador e indica el uso del secreto compartido basado en ME (Ks_ext_NAF o Ks_NAF) . Si se establece un nuevo servidor de aplicación en la red del operador, ésta no necesita conocer cuál clave utilizar para cuál usuario o si el usuario estará provisto en el futuro cercano con una nueva tarjeta SIM. La NAF obtendría la información de la elección de clave necesaria de la BSF. De acuerdo con una modalidad de la presente invención, un nuevo AVP se podría utilizar para indicar el tipo de clave derivada que se está utilizando. Por ejemplo, el nuevo AVP puede indicar si la clave derivada es Ks_int_NAF o algún otro tipo de clave. El nuevo AVP indicaría si la tarjeta o ambiente seguro está habilitada o no por GBA_U, como una alternativa, cuál clave utilizar. Dependiendo del indicador, la NAF puede utilizar la clave secreta compartida basada en UICC (Ks_int_NAF) cuando se indica. Es decir, el AVP indica que una tarjeta o ambiente seguro está habilitado por GBA_U o el AVP indica explícitamente el uso de Ks_int_NAF. La NAF entonces requeriría que se utilice esta clave y no alguna otra clave con menor nivel de seguridad. Para un servidor de la web en el ambiente seguro, por ejemplo una tarjeta inteligente, un cliente residiría en una Tarjeta de Circuito Integrado (UICC) del Sistema de Telecomunicaciones Móviles Universales (UMTS) y la aplicación también residiría en el ambiente seguro. Esto típicamente sería una aplicación Java, una aplicación XML, una aplicación C++, una aplicación Perl, o una aplicación Visual Basic u otros tipos similares de aplicaciones. Posteriormente, la UICC también podría actuar como el servidor de aplicación, ofreciendo un servicio de web hacia otras entidades, las cuales en donde una de ellas pudiera residir en otro dominio confiable, por ejemplo, una segunda área segura en el teléfono y se puede utilizar Ks_int_NAF para asegurar comunicaciones entre entidades de servicio de la web . La NAF basada en UICC tomaría el papel de un SP (Proveedor de Servicio de la Web) como se señala en la Especificación de Esquema de Servicio de la Web de Alianza de Libertad (ID-WSF) http : //www.projectliberty . org/resources/specifications . php . El UICC puede actuar como un proveedor de servicio de la web de acuerdo a la Alianza de Libertad proporcionando una entidad solicitante (por ejemplo, un consumidor de servicios de la web) con información sensible, la cual se puede autentificar/asegurar a través de Ks_int_NAF. Las otras claves basadas en GAA se pueden utilizar en el esquema de servicio de la web para identificación y seguridad de mensaje. Además, TS24.109 3GPP especifica interfaz de carga inicial (Ub) e interfaz de función de aplicación de la red (Ua), anexas en la presente como Apéndice E, cuyo contenido se incorpora en la presente, como referencia, TS29.109 3GPP específica interfaces Zh y Zn a base de un protocolo diametral, anexas a la presente como Apéndice F, cuya exposición íntegra se considera forma parte de la presente, como referencia. La presente invención puede permitir que el operador local del suscriptor tenga el control total sobre el nivel de seguridad utilizado. La actualización de las regulaciones de seguridad del usuario en caso de que el usuario tenga un nuevo UICC podría ocurrir centralmente en un Servidor de Servicio Local (HSS) y no requeriría actualizar todas las NAFs individualmente. La decisión lógica puede residir en el HSS o la BSF, controlados por el operador. Además, ya no serían posibles ataques minimizados de seguridad para nuevas aplicaciones. La descripción anterior ha estado dirigida a modalidades específicas de esta invención. Será evidente, no obstante, que se puedan realizar otras variaciones y modificaciones a las modalidades descritas, con el logro de algunas o todas sus ventajas. Por lo tanto, el objeto de las reivindicaciones anexas es cubrir todas esas variaciones y modificaciones que se encuentren dentro del espíritu real y alcance de la invención.

Claims (1)

  1. REIVINDICACIONES : 1. Un método para proporcionar mecanismo genérico para un servidor de aplicación de la red, el método comprende : recibir una petición de un equipo del usuario para proporcionar información de autentificación a una función de aplicación de la red; determinar una clave de una arquitectura de autentificación genérica para integrar servidores de aplicación de la red adicionales mediante la extensión de un estándar existente para las regulaciones de seguridad del usuario; proporcionar la información de autentificación a la función de aplicación de la red. 2. El método según la reivindicación 1, que comprende además: proporcionar datos relacionados con un tipo de tarjeta inteligente o ambiente seguro en el equipo del usuario, en las regulaciones de seguridad del usuario; y proporcionar un campo indicador, que indica si una arquitectura de carga inicial genérica con mejoramientos a base de circuito integrado (GBA_U) habilita un módulo de identidad del suscriptor universal, módulo de identidad del Suscriptor, tarjeta SIM del IMS u otro ambiente seguro. 3. El método según la reivindicación 1, que comprende además: proporcionar primero y segundo campos indicadores en las regulaciones de seguridad del usuario, que son transportados en un encabezado de autorización de una especificación, en donde en el primer campo indicador, se utiliza una primera clave derivada (Ks_int_NAF) en mejoramientos a base de circuito integrado (GBA_U) , y en el segundo campo indicador, se utilizan una segunda clave derivada (Ks_ext_NAF) o una tercera clave derivada (Ks_NAF) . . El método según la reivindicación 1, en donde la etapa de determinación comprende determinar al menos uno de: configurar localmente un uso de clave directamente en la función de aplicación de la red durante un establecimiento de la función de aplicación de la red; configurar localmente el uso de la clave en una función del servidor carga inicial; proporcionar un campo adicional en la regulación de seguridad del usuario, almacenado en un servidor del suscriptor local que se transfiere a la función del servidor de carga inicial; y utilizar un par de atributo-valor almacenado en la función del servidor de carga inicial que indica el uso de la clave. 5. El método según la reivindicación 4, que comprende además: utilizar un par de atributo-valor para indicar un tipo de clave derivada que se utiliza o un tipo de tarjeta inteligente o ambiente seguro habilitados, en donde el tipo de clave derivada comprende Ks_int_NAF, Ks_ext_NAF o Ks_NAF, y la tarjeta inteligente o ambiente seguro comprende un GBA_U . 6. El método según la reivindicación 5, en donde, cuando el par de atributo-valor indica un uso de Ks_int_NAF, comprende además: requerir un uso de Ks_int_NAF por la función de aplicación de la red en vez de una clave con un menor nivel de seguridad. 7. El método según la reivindicación 2, en donde, cuando un servidor de la web está en el ambiente seguro, el método comprende además: asignar una aplicación de la red en una tarjeta de circuito integrado (UICC) del sistema de telecomunicaciones móviles universales (UMTS) , en donde la UICC es la función de aplicación de la red y se utiliza una clave derivada (Ks_int_NAF) para asegurar las comunicaciones entre las entidades de servicio a la web . 8. El método según la reivindicación 7, en donde la etapa de asignación de la aplicación de la red comprende una aplicación Java, una aplicación XML, una aplicación C++, una aplicación Perl, o una aplicación Visual Basic. 9. El método según la reivindicación 1, que comprende además : configurar localmente un uso de clave en una función del servidor de carga inicial (BSF) mediante la provisión de un campo adicional en las regulaciones de seguridad del usuario, almacenadas en un servidor del suscpptor local (HSS) . 10. Un aparato para proporcionar mecanismo genérico para un servidor de aplicación de la red, el aparato comprende: medios receptores para recibir una petición de un equipo del usuario, para proporcionar información de autentificación a una función de aplicación de la red; medios determmadores para determinar una clave de una arquitectura de autentificación genérica para integrar servidores adicionales de aplicación de la red mediante la extensión de un estándar existente para las regulaciones de seguridad del usuario; y primeros medios proveedores para proporcionar la información de autentificación a la función de aplicación de la red. 11. El aparato según la reivindicación 10, que comprende ademas: segundos medios proveedores para proporcionar un tipo de ambiente seguro en el equipo del usuario, en las regulaciones de seguridad del usuario; y terceros medios proveedores para proporcionar un campo indicador, que indica si una arquitectura de carga inicial genérica con mejoramientos a base de circuito integrado (GBA_U) habilita un módulo de identidad del suscriptor universal, módulo de identidad del Suscriptor, ambiente seguro o una tarjeta SIM del IMS. 12. El aparato según la reivindicación 10, que comprende además: segundos medios proveedores para proporcionar primero y segundo campos indicadores en las regulaciones de seguridad del usuario, que son transportados en un encabezado de autorización de una especificación, en donde en el primer campo indicador, se utiliza una primera clave derivada (Ks_int_NAF) en mejoramientos a base de circuito integrado (GBA_U) , y en el segundo campo indicador, se utiliza una segunda clave derivada (Ks_ext_NAF) o una tercera clave derivada (Ks_NAF) . 13. El aparato según la reivindicación 10, en donde el mecanismo genérico comprende al menos uno de: primeros medios de codificación inflexible para configurar localmente un uso de clave directamente en la función de aplicación de la red durante un establecimiento de la función de aplicación de la red; segundos medios de codificación inflexible para configurar localmente el uso de clave en una función del servidor de carga inicial; segundos medios proveedores para proporcionar un campo adicional en la regulación de seguridad del usuario, almacenado en un servidor del suscriptor local que se transfiere a la función del servidor de carga inicial; y primeros medios de utilización para utilizar un par de atributo-valor almacenado en la función del servidor de carga inicial que indica el uso de clave. 14. El aparato según la reivindicación 13, que comprende además: segundos medios de utilización para utilizar un par de atributo-valor para indicar un tipo de clave derivada que se utiliza o un tipo de tarjeta inteligente o ambiente seguro habilitados, en donde el tipo de clave derivada comprende Ks_int_NAF, Ks_ext_NAF o Ks_NAF, y la tarjeta inteligente o el ambiente seguro comprende un GBA_U . 15. El aparato según la reivindicación 14, en donde, cuando el par de atributo-valor indica un uso de Ks_int_NAF, la función de aplicación de la red requiere que se utilice Ks_int_NAF y no una clave con un menor nivel de seguridad . 16. El aparato según la reivindicación 11, en donde, cuando un servidor de la web está en la tarjeta inteligente o ambiente seguro, comprende además: medios de asignación para asignar una aplicación de la red en una tarjeta de circuito integrado (UICC) del sistema de telecomunicaciones móviles universales (UMTS), en donde la UICC es la función de aplicación de la red y se utiliza una clave derivada (Ks_int_NAF) para asegurar las comunicaciones entre las entidades de servicio de la web . 17. El aparato según la reivindicación 10, que comprende además: terceros medios de codificación inflexible para configurar localmente un uso de clave en una función del servidor de carga inicial (BSF) mediante la provisión de un campo adicional en las regulaciones de seguridad del usuario, almacenado en un servidor del suscriptor local (HSS) . 18. Un aparato para proporcionar mecanismo genérico para un servidor de aplicación de la red, el aparato comprende: una unidad receptora recibe una petición de un equipo del usuario para proporcionar información de autentificación a una función de aplicación de la red; una unidad determinadora determina una clave de una arquitectura de autentificación genérica para integrar servidores adicionales de aplicación de la red mediante la extensión de un estándar existente para las regulaciones de seguridad del usuario; y una unidad proveedora proporciona la información de autentificación a la función de aplicación de la red. 19. Un programa de computadora constituido dentro de un medio legible en computadora para proporcionar mecanismo genérico para un servidor de aplicación de la red, el programa de computadora está configurado para realizar un proceso que comprende: recibir una petición de un equipo del usuario para proporcionar información de autentificación a una función de aplicación de la red; determinar una clave de una arquitectura de autentificación genérica para integrar servidores adicionales de aplicación de la red mediante la extensión de un estándar existente para las regulaciones de seguridad del usuario; proporcionar la información de autentificación a la función de aplicación de la red. 20. El programa de computadora según la reivindicación 19, que comprende además: proporcionar datos relacionados a un tipo de tarjeta inteligente o ambiente seguro en el equipo del usuario, en las regulaciones de seguridad del usuario; y proporcionar un campo indicador, que indica si la arquitectura de carga inicial genérica con mejoramientos a base de circuito integrado (GBA_U) habilita un módulo de identidad del suscriptor universal, modulo de identidad del Suscriptor, ambiente seguro o una tarjeta SIM del IMS. 21. El programa de computadora según la reivindicación 19, que comprende además: proporcionar primero y segundo campos indicadores en las regulaciones de seguridad del usuario que son transportados en un encabezado de autorización de una especificación, en donde en el primer campo indicador, se utiliza la primera clave derivada (Ks_?nt_NAF) en los mejoramientos a base de circuito integrado (GBA_U) , y en el segundo campo indicador, se utiliza una segunda clave derivada (Ks_ext_NAF) o una tercera clave derivada (Ks_NAF) . 22. El programa de computadora según la reivindicación 19, en donde la etapa de determinación comprende determinar al menos uno de: configurar localmente un uso de clave directamente en la función de aplicación de la red durante un establecimiento de función de aplicación de la red; configurar localmente el uso de la clave en una función del servidor de carga inicial; proporcionar un campo adicional en la regulación de seguridad del usuario, almacenado en un servidor de suscpptor local que se transfiere a la función del servidor de carga inicial; y utilizar un par de atributo-valor almacenado en la función del servidor de carga inicial que indica el uso de la clave. 23. El programa de computadora según la reivindicación 22, que comprende además: utilizar un par de atributo-valor para indicar un tipo de clave derivada que se utiliza o un tipo de tarjeta inteligente o ambiente seguro habilitado, en donde el tipo de clave derivada comprende Ks_int_NAF, Ks_ext_NAF, o Ks_NAF, y la tarjeta inteligente o el ambiente seguro comprende un GBA_U . 24. El programa de computadora según la reivindicación 23, en donde cuando el par de atributo-valor indica un uso de Ks_int_NAF, comprende además: requerir un uso de Ks_int_NAF por la función de aplicación de la red en vez de una clave con un menor nivel de seguridad. 25. El programa de computadora según la reivindicación 20, en donde, cuando un servidor de la web está en la tarjeta inteligente o ambiente seguro, el programa de computadora comprende además: asignar una aplicación de la red en una tarjeta de circuito integrado (UICC) del sistema de telecomunicaciones móviles universales (UMTS), en donde la UICC es la función de aplicación de la red y se utiliza una clave derivada (Ks_int_NAF) para asegurar las comunicaciones entre las entidades de servicio de la web . 26. El programa de computadora según la reivindicación 25, en donde la etapa de asignación para asignar la aplicación de la red comprende una aplicación Java, una aplicación XML, una aplicación C++, una aplicación Perl, o una aplicación Visual Basic. 27. El programa de computadora según la reivindicación 19, que comprende además: configurar localmente un uso de clave en una función del servidor de carga inicial (BSF) mediante la provisión de un campo adicional en las regulaciones de seguridad del usuario, almacenadas en un servidor de suscriptor local (HSS) .
MX2007012043A 2005-04-11 2006-04-04 Mecanismo de decision de clave generica para arquitectura de autentificacion generica. MX2007012043A (es)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US66987305P 2005-04-11 2005-04-11
US11/184,931 US8046824B2 (en) 2005-04-11 2005-07-20 Generic key-decision mechanism for GAA
PCT/IB2006/000790 WO2006109122A1 (en) 2005-04-11 2006-04-04 Generic key-decision mechanism for gaa

Publications (1)

Publication Number Publication Date
MX2007012043A true MX2007012043A (es) 2007-12-05

Family

ID=37084545

Family Applications (1)

Application Number Title Priority Date Filing Date
MX2007012043A MX2007012043A (es) 2005-04-11 2006-04-04 Mecanismo de decision de clave generica para arquitectura de autentificacion generica.

Country Status (10)

Country Link
US (2) US8046824B2 (es)
EP (1) EP1875713B1 (es)
JP (2) JP2008538471A (es)
KR (1) KR100959315B1 (es)
CN (1) CN101156411B (es)
BR (1) BRPI0610400B1 (es)
MX (1) MX2007012043A (es)
PL (1) PL1875713T3 (es)
WO (1) WO2006109122A1 (es)
ZA (1) ZA200709618B (es)

Families Citing this family (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2008082337A1 (en) * 2006-12-28 2008-07-10 Telefonaktiebolaget Lm Ericsson (Publ) Method and arrangement for integration of different authentication infrastructures
FI122163B (fi) * 2007-11-27 2011-09-15 Teliasonera Ab Verkkopääsyautentikointi
WO2009145443A2 (en) * 2008-03-31 2009-12-03 Samsung Electronics Co., Ltd. Method and system for registering a smartcard terminal with a broadcast server
JP5058342B2 (ja) * 2008-05-23 2012-10-24 テレフオンアクチーボラゲット エル エム エリクソン(パブル) Imsユーザ装置、その制御方法、ホストデバイス、及びその制御方法
KR100950458B1 (ko) * 2008-07-24 2010-04-02 주식회사 드리머아이 메모리 카드 기반의 모바일 방송 수신 제한 시스템
EP2182696A1 (fr) * 2008-10-31 2010-05-05 Gemalto SA Procédé d'établissement d'une liaison entre les applications d'une carte d'authentification d'un abonné et un réseau IMS
CN102111759A (zh) * 2009-12-28 2011-06-29 中国移动通信集团公司 一种认证方法、系统和装置
CN102223347B (zh) * 2010-04-13 2015-01-28 中兴通讯股份有限公司 下一代网络中多接入认证方法及系统
CA2830283C (en) 2011-03-25 2016-11-01 Certicom Corp. Interrogating an authentication device
US8346287B2 (en) * 2011-03-31 2013-01-01 Verizon Patent And Licensing Inc. Provisioning mobile terminals with a trusted key for generic bootstrap architecture
WO2012151652A1 (en) 2011-05-06 2012-11-15 Certicom Corp. Managing data for authentication devices
US8713314B2 (en) * 2011-08-30 2014-04-29 Comcast Cable Communications, Llc Reoccuring keying system
US9369290B2 (en) * 2012-11-30 2016-06-14 Certicom Corp. Challenge-response authentication using a masked response value
US9727720B2 (en) 2012-11-30 2017-08-08 Certicom Corp. Challenge-response authentication using a masked response value
EP2785011A1 (en) * 2013-03-27 2014-10-01 Gemalto SA Method to establish a secure voice communication using generic bootstrapping architecture
CN104992212B (zh) * 2015-07-24 2017-10-03 大连大学 旅游智能卡系统
US10868803B2 (en) 2017-01-13 2020-12-15 Parallel Wireless, Inc. Multi-stage secure network element certificate provisioning in a distributed mobile access network
US11190510B2 (en) * 2017-11-15 2021-11-30 Parallel Wireless, Inc. Two-factor authentication in a cellular radio access network
US11580240B2 (en) * 2020-03-24 2023-02-14 Kyndryl, Inc. Protecting sensitive data
CN115378745B (zh) * 2022-10-26 2023-02-21 中国铁塔股份有限公司 通信认证方法、系统、装置、电子设备及存储介质

Family Cites Families (29)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7756892B2 (en) * 2000-05-02 2010-07-13 Digimarc Corporation Using embedded data with file sharing
EP1096443B1 (en) * 1998-07-02 2008-07-16 Sharp Kabushiki Kaisha Copyright management device, electronic-production sales device, electronic-book display device, key information management device, and electronic-production distribution management system in which these devices are connected via communication lines
US6338140B1 (en) * 1998-07-27 2002-01-08 Iridium Llc Method and system for validating subscriber identities in a communications network
EP1111873A3 (en) * 1999-12-23 2003-07-02 Nortel Networks Limited Method and apparatus for public key management
US20030059049A1 (en) * 2001-09-24 2003-03-27 Mihm Thomas J. Method and apparatus for secure mobile transaction
US7088823B2 (en) * 2002-01-09 2006-08-08 International Business Machines Corporation System and method for secure distribution and evaluation of compressed digital information
US7221935B2 (en) * 2002-02-28 2007-05-22 Telefonaktiebolaget Lm Ericsson (Publ) System, method and apparatus for federated single sign-on services
US7395083B2 (en) * 2003-10-30 2008-07-01 Research In Motion Limited Methods and apparatus for the communication of cellular network information between a wireless local area network and a mobile station
GB0326265D0 (en) * 2003-11-11 2003-12-17 Nokia Corp Shared secret usage for bootstrapping
EP1712058A1 (en) * 2004-02-06 2006-10-18 Telecom Italia S.p.A. Method and system for the secure and transparent provision of mobile ip services in an aaa environment
EP1728350A1 (en) 2004-03-11 2006-12-06 Koninklijke Philips Electronics N.V. Improved domain manager and domain device
CN1265676C (zh) * 2004-04-02 2006-07-19 华为技术有限公司 一种实现漫游用户使用拜访网络内业务的方法
GB0409496D0 (en) 2004-04-28 2004-06-02 Nokia Corp Subscriber identities
GB0409704D0 (en) * 2004-04-30 2004-06-02 Nokia Corp A method for verifying a first identity and a second identity of an entity
DE602004015854D1 (de) * 2004-05-12 2008-09-25 Ericsson Telefon Ab L M Authentifizierungssystem
US7181011B2 (en) * 2004-05-24 2007-02-20 Magiq Technologies, Inc. Key bank systems and methods for QKD
JP4559794B2 (ja) * 2004-06-24 2010-10-13 株式会社東芝 マイクロプロセッサ
US20060020791A1 (en) * 2004-07-22 2006-01-26 Pekka Laitinen Entity for use in a generic authentication architecture
US8260259B2 (en) * 2004-09-08 2012-09-04 Qualcomm Incorporated Mutual authentication with modified message authentication code
FI20041447A0 (fi) 2004-11-09 2004-11-09 Nokia Corp Avainderivointitoiminnon määrittäminen
JP4908750B2 (ja) * 2004-11-25 2012-04-04 ローム株式会社 半導体装置
US8543814B2 (en) * 2005-01-12 2013-09-24 Rpx Corporation Method and apparatus for using generic authentication architecture procedures in personal computers
EP2288107B1 (en) * 2005-02-03 2014-04-02 Nokia Corporation Authentication using GAA functionality for unidirectional network connections
ATE511292T1 (de) * 2005-02-04 2011-06-15 Qualcomm Inc Sicheres bootstrapping für die drahtlose kommunikation
WO2006085207A1 (en) * 2005-02-11 2006-08-17 Nokia Corporation Method and apparatus for providing bootstrapping procedures in a communication network
US7877787B2 (en) * 2005-02-14 2011-01-25 Nokia Corporation Method and apparatus for optimal transfer of data in a wireless communications system
US20060206710A1 (en) * 2005-03-11 2006-09-14 Christian Gehrmann Network assisted terminal to SIM/UICC key establishment
FI20050384A0 (fi) * 2005-04-14 2005-04-14 Nokia Corp Geneerisen todentamisarkkitehtuurin käyttö Internet-käytäntöavainten jakeluun matkaviestimissä
US7558957B2 (en) * 2005-04-18 2009-07-07 Alcatel-Lucent Usa Inc. Providing fresh session keys

Also Published As

Publication number Publication date
WO2006109122A1 (en) 2006-10-19
BRPI0610400A2 (pt) 2010-06-22
CN101156411A (zh) 2008-04-02
PL1875713T3 (pl) 2014-08-29
KR20070116679A (ko) 2007-12-10
CN101156411B (zh) 2013-01-09
BRPI0610400A8 (pt) 2016-04-05
BRPI0610400B1 (pt) 2019-05-07
JP2012034381A (ja) 2012-02-16
EP1875713A4 (en) 2010-08-18
US20120011574A1 (en) 2012-01-12
EP1875713A1 (en) 2008-01-09
US20060230436A1 (en) 2006-10-12
US8990897B2 (en) 2015-03-24
JP2008538471A (ja) 2008-10-23
KR100959315B1 (ko) 2010-05-20
EP1875713B1 (en) 2014-03-26
ZA200709618B (en) 2008-11-26
US8046824B2 (en) 2011-10-25

Similar Documents

Publication Publication Date Title
MX2007012043A (es) Mecanismo de decision de clave generica para arquitectura de autentificacion generica.
US11063912B2 (en) Methods and systems for communicating with an M2M device
US8407769B2 (en) Methods and apparatus for wireless device registration
US20090253409A1 (en) Method of Authenticating Home Operator for Over-the-Air Provisioning of a Wireless Device
US9344412B2 (en) Security key management in IMS-based multimedia broadcast and multicast services (MBMS)
US11659621B2 (en) Selection of IP version
US20100106967A1 (en) Method and arrangement for provisioning and managing a device
KR20120067459A (ko) 서비스 제공업체와 이동망 사업자간의 기기간 단말별 서비스 인증 방법 및 장치
US20190246275A1 (en) Operation related to user equipment using secret identifier
Passpoint Deployment Guidelines

Legal Events

Date Code Title Description
FG Grant or registration