TW201624961A - 憑症驗證及頻道耦合 - Google Patents
憑症驗證及頻道耦合 Download PDFInfo
- Publication number
- TW201624961A TW201624961A TW104144782A TW104144782A TW201624961A TW 201624961 A TW201624961 A TW 201624961A TW 104144782 A TW104144782 A TW 104144782A TW 104144782 A TW104144782 A TW 104144782A TW 201624961 A TW201624961 A TW 201624961A
- Authority
- TW
- Taiwan
- Prior art keywords
- network entity
- credential
- restricted
- entity
- validity
- Prior art date
Links
- 238000010200 validation analysis Methods 0.000 title abstract 2
- 108091006146 Channels Proteins 0.000 title description 123
- 238000000034 method Methods 0.000 claims abstract description 60
- 238000004891 communication Methods 0.000 claims description 49
- 238000012795 verification Methods 0.000 description 25
- 238000010586 diagram Methods 0.000 description 19
- 238000005516 engineering process Methods 0.000 description 16
- JZEPSDIWGBJOEH-UHFFFAOYSA-N 4-decylbicyclo[2.2.1]hept-2-ene Chemical compound C1CC2C=CC1(CCCCCCCCCC)C2 JZEPSDIWGBJOEH-UHFFFAOYSA-N 0.000 description 15
- 230000006870 function Effects 0.000 description 9
- 239000000463 material Substances 0.000 description 6
- 230000000977 initiatory effect Effects 0.000 description 5
- 238000012545 processing Methods 0.000 description 5
- 230000002093 peripheral effect Effects 0.000 description 4
- 230000008569 process Effects 0.000 description 4
- 238000009826 distribution Methods 0.000 description 3
- 230000007717 exclusion Effects 0.000 description 3
- 238000003860 storage Methods 0.000 description 3
- 101000759879 Homo sapiens Tetraspanin-10 Proteins 0.000 description 2
- PXHVJJICTQNCMI-UHFFFAOYSA-N Nickel Chemical compound [Ni] PXHVJJICTQNCMI-UHFFFAOYSA-N 0.000 description 2
- 102100024990 Tetraspanin-10 Human genes 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 230000001413 cellular effect Effects 0.000 description 2
- 230000001010 compromised effect Effects 0.000 description 2
- 238000004590 computer program Methods 0.000 description 2
- 238000003780 insertion Methods 0.000 description 2
- 230000037431 insertion Effects 0.000 description 2
- 229910001416 lithium ion Inorganic materials 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- QELJHCBNGDEXLD-UHFFFAOYSA-N nickel zinc Chemical compound [Ni].[Zn] QELJHCBNGDEXLD-UHFFFAOYSA-N 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 238000004846 x-ray emission Methods 0.000 description 2
- UFHFLCQGNIYNRP-UHFFFAOYSA-N Hydrogen Chemical compound [H][H] UFHFLCQGNIYNRP-UHFFFAOYSA-N 0.000 description 1
- HBBGRARXTFLTSG-UHFFFAOYSA-N Lithium ion Chemical compound [Li+] HBBGRARXTFLTSG-UHFFFAOYSA-N 0.000 description 1
- 229910005580 NiCd Inorganic materials 0.000 description 1
- 229910005813 NiMH Inorganic materials 0.000 description 1
- 241000700159 Rattus Species 0.000 description 1
- 230000004913 activation Effects 0.000 description 1
- 238000004873 anchoring Methods 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- OJIJEKBXJYRIBZ-UHFFFAOYSA-N cadmium nickel Chemical compound [Ni].[Cd] OJIJEKBXJYRIBZ-UHFFFAOYSA-N 0.000 description 1
- 230000009849 deactivation Effects 0.000 description 1
- 239000000446 fuel Substances 0.000 description 1
- 229910052739 hydrogen Inorganic materials 0.000 description 1
- 239000001257 hydrogen Substances 0.000 description 1
- 239000003999 initiator Substances 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000005055 memory storage Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 229910052759 nickel Inorganic materials 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/70—Services for machine-to-machine communication [M2M] or machine type communication [MTC]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
- H04W76/15—Setup of multiple wireless link connections
- H04W76/16—Involving different core network technologies, e.g. a packet-switched [PS] bearer in combination with a circuit-switched [CS] bearer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/20—Manipulation of established connections
- H04W76/25—Maintenance of established connections
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/18—Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
- H04W8/183—Processing at user equipment or user record carrier
Abstract
受限網路實體可以經由與核心網路的認證程序來確定嘗試與受限網路實體建立安全頻道的端點的可信度。受限網路實體可以從嘗試建立安全頻道的端點接收憑證,並且受限網路實體可以藉由端點發送所聲明的憑證至核心網路實體以用於驗證。核心網路實體可以在與受限網路實體的密鑰交換期間接收憑證,並且核心網路可以向受限網路實體指示憑證的有效性。受限網路實體可以基於憑證的有效性來確定是否建立與端點的安全頻道。
Description
本申請案要求2011年1月7日提出的第61/430,855號美國臨時專利申請案和2010年11月15日提出的第61/413,839號美國臨時專利申請案的權益,這些申請案的內容全部作為引用結合於此。
網路的安全性可以取決於受限裝置和另一端點之間的頻道上的通訊的私密性(例如頻道上的網路加密)。由於受限網路裝置可能具有有限的資源和計算能力,受限網路裝置可能不能執行用於與其他端點安全地建立通訊頻道的一些任務。由此,與受限網路實體的通訊可能容易受竊聽及/或冒仿的攻擊。
類似地,在具有機器對機器通訊(M2M)能力的網路中,網路的安全性可能取決於M2M網路實體之間的頻道上的通訊的私密性。這些M2M網路實體可能也不能安全地執行一些用於啟動相互間的通訊建立的任務。由此,在具有執行M2M通訊能力的網路裝置之間的通訊可能也容易受竊聽及/或冒仿的攻擊。
提供這一發明內容來以簡化的形式引入各種概念,這些概念還將在下面的具體實施方式部分進一步描述。
這裏描述了用於確保被用於建立與受限網路實體的安全頻道的憑證的有效性的系統、方法和裝置。根據示例實施方式,如以下描述的,來自網路實體(例如中繼節點終端或者M2M網路實體)的憑證可以在受限網路實體處接收。該憑證被接收以用於建立該受限網路實體與該網路實體之間的安全頻道。該憑證的有效性不為該受限網路實體所知。該憑證
可以被發送至核心網路實體以確定憑證的有效性。從該核心網路實體接收對該憑證的有效性的指示,並且基於對該憑證的有效性的指示而做出是否認證該網路實體的決定。
根據另一實施方式,可以從受限網路實體接收憑證。該憑證可以與嘗試建立與該受限網路實體的安全頻道的網路實體相關聯。代表該受限網路實體,可以確定憑證的有效性,並且可以向該受限網路實體指示該有效性。
提供這一發明內容來以簡化的形式引入概念的選擇,這在下面的具體實施方式中將進一步描述。這一發明內容並不意在確定要求保護的主題的關鍵特徵或者必要特徵,也並不意在用於限制所要求保護的主題的範圍。此外,要求保護的主題不限於解決在本揭露內容的任何部分中記載的任何或者所有缺點。
100‧‧‧通訊系統
102a、102b、102c、102d‧‧‧無線傳輸/接收單元(WTRU)
104、RAN‧‧‧無線電存取網路
106‧‧‧核心網路
108‧‧‧公共交換電話網(PSTN)
110‧‧‧網際網路
112‧‧‧網路
114a、114b‧‧‧基地台
116‧‧‧空氣介面
118‧‧‧處理器
120‧‧‧收發器
122‧‧‧傳輸/接收元件
124‧‧‧揚聲器/麥克風
126‧‧‧鍵盤
128‧‧‧顯示器/觸控板
130‧‧‧不可移式記憶體
132‧‧‧可移式記憶體
134‧‧‧電源
136‧‧‧全球定位系統(GPS)碼片組
138‧‧‧週邊裝置
140a、140b、140c‧‧‧節點B
142a、142b‧‧‧無線電網路控制器(RNC)
144‧‧‧媒體閘道(MGW)
146‧‧‧行動交換中心(MSC)
148‧‧‧服務GPRS支援節點(SGSN)
150‧‧‧閘道GPRS支援節點(GGSN)
160‧‧‧移動性管理閘道(MME)
162‧‧‧服務閘道
164‧‧‧封包資料網路(PDN)閘道
202‧‧‧認證中心AuC
204‧‧‧UE
206‧‧‧UE/MME
208‧‧‧UE/eNB
210‧‧‧K
212‧‧‧CK、IK
214‧‧‧密鑰存取安全管理實體(KASME)
216‧‧‧NAS加密密鑰(KNASenc)
218‧‧‧完整性密鑰(KNASint)
220‧‧‧eNB密鑰(KeNB)
222‧‧‧UP加密密鑰(KUPenc)
224‧‧‧RRC完整性密鑰(KRRCint)
226‧‧‧RRC加密密鑰(KRRCenc)
304‧‧‧共享密鑰
306、308‧‧‧憑證
312‧‧‧憑證授權方(CA)
402‧‧‧USIM-RN
404‧‧‧中繼
406‧‧‧DeNB
408‧‧‧MME-RN
410‧‧‧HSS
502‧‧‧有效RN平臺憑證
504‧‧‧散列
506‧‧‧逐位互斥或
508‧‧‧密鑰綁定材料
510‧‧‧訂戶特定(RN)密鑰綁定材料
512‧‧‧訂戶資料庫
615‧‧‧RN
616‧‧‧eNB
617‧‧‧MME
618‧‧‧S/P-GW
619‧‧‧HSS
620‧‧‧OAM
621‧‧‧DeNB
622‧‧‧MME RN
702‧‧‧USIM-RN
704‧‧‧中繼
710‧‧‧HSS
712‧‧‧OAM
714‧‧‧RA/CA
802‧‧‧HSS
804‧‧‧KASME
806‧‧‧CK,IK
808‧‧‧SN識別碼
904‧‧‧KASME
902‧‧‧ME
906‧‧‧CK,IK
908‧‧‧SN識別碼
1002‧‧‧USIM/HSS
1102‧‧‧KASME
1104‧‧‧CK、IK
1106‧‧‧SN id
1202‧‧‧KASME
1204‧‧‧CK、IK
1206‧‧‧SN id
1208‧‧‧USIM
1302‧‧‧應用層
1304‧‧‧存取層
1306‧‧‧M2M應用伺服器
1308‧‧‧存取網路
1310‧‧‧軟體堆疊
1312‧‧‧M2M裝置
UE‧‧‧用戶設備
RN‧‧‧中繼節點
OAM‧‧‧操作、管理和維持
M2M‧‧‧機器對機器通訊
從以下描述中可以更詳細地理解本發明,這些描述是以實例方式給出的,並且可以結合附圖加以理解,其中:第1A圖是可以在其中實施一個或多個所揭露的實施方式的示例通訊系統的系統圖;第1B圖是示例無線傳輸/接收單元(WTRU)的系統圖,其中該WTRU可以在如第1A圖所示的通訊系統中使用;第1C圖是示例無線電存取網路和示例核心網路的系統圖,其中該示例無線存取網路和示例核心網路可以在如第1A圖所示的通訊系統中使用;第1D圖是另一示例無線電存取網路和示例核心網路的系統圖,其中該示例無線存取網路和示例核心網路可以在如第1A圖所示的通訊系統中使用;第2圖是描述在用戶設備中(UE)獲取KASME的圖示;第3圖是描述使用網路認證的示例憑證驗證的圖示;
第4圖是描述使用隱性安全頻道憑證驗證和平臺綁定的相位2中繼節點啟動程序的圖示;第5圖是描述將非獨立安全頻道憑證處理和插入認證伺服器資料庫的圖示;第6圖是描述中繼的啟動順序的圖示;第7圖是描述使用安全頻道登記的中繼啟動程敘的圖示;第8圖描述了EPS的密鑰分佈和密鑰取得;第9圖描述了EPS的密鑰取得;第10圖描述了示例性的在USIM上取得KASME;第11圖描述了示例性的使用TpuK作為參數取得KASME;第12圖描述了示例性的使用TpuK在USIM上取得密鑰;以及第13圖是描述機器對機器(M2M)裝置認證及/或與M2M存取網路和M2M應用伺服器的安全頻道的建立的圖示。
這裏描述了用於驗證與端點(例如中繼、終端等)相關聯的憑證,該憑證可以被用於建立端點和受限網路實體(例如UICC或USIM)之間的安全頻道。根據一實施方式,安全頻道可以在受限網路實體(例如UICC或USIM)和端點(例如中繼、終端等)之間建立。受限網路實體可以從端點接收憑證。受限網路實體可以發送由端點聲明的憑證至核心網路實體以驗證所聲明的憑證。受限網路實體可以與其建立或者嘗試建立安全頻道的端點例如可以包括終端、中繼節點(RN)或RN平臺、M2M網路實體或者另一網路實體。
這裏描述了用於確保被用於認證及/或建立與受限網路實體的安全頻道的憑證的有效性的系統、方法和裝置。根據一示例實施方式,如此處描述的,可以在受限網路實體處從網路實體(例如終端或者M2M網路實體)接收憑證。網路實體例如可以包括終端(例如行動裝置、中繼節
點等)、M2M裝置或者嘗試與受限網路實體建立安全頻道的其他網路實體。該憑證可以被接收以用於認證和建立該受限網路實體與該網路實體之間的安全頻道。該網路實體憑證的有效性不為該受限網路實體所知。該網路實體憑證可以由受限網路實體發送至可信核心網路實體以確定憑證的有效性。可以從核心網路實體接收對該網路實體的憑證的有效性的指示。該網路實體的憑證的有效性可以基於該憑證的真實性,並且由此其中包含的資訊包括密鑰。該受限網路實體接著可以基於對該憑證的有效性的指示來確定是否認證和(可選地)建立與網路實體的安全頻道。對該網路實體的認證及/或安全頻道建立可以使用憑證和在憑證中提供的認證密鑰來執行。
根據另一示例實施方式,認證密鑰和與終端相關聯的識別碼可以由受限網路實體從可信網路實體安全地接收。受限網路實體可能正在嘗試認證和建立與網路實體(例如,終端或者M2M裝置)的安全頻道。認證密鑰和終端的識別碼的有效性可以由例如從其接收資訊的可信網路實體來保證。
如此處所描述的,網路可以充當針對具有有限的資源及/或存取或者在核心網路中的受限網路實體的憑證驗證的代理。核心網路實體可以驗證所聲明的憑證。例如,受限網路實體可以發送終端的識別碼至核心網路實體。核心網路實體可以使用終端的識別碼來獲得與終端相關聯的有效憑證。核心網路實體可以使用驗證後的憑證來取得加密及/或認證密鑰。
核心網路實體可以確定所聲明的憑證的有效性狀態。例如,核心網路實體可以確定與終端相關聯的所聲明的憑證是有效或是無效。網路實體可以發送有效性狀態至受限網路實體。如果所聲明的憑證有效,則受限網路實體可以根據所聲明的憑證有效的網路實體確定結果來執行認證。如果所聲明的憑證無效,則受限網路實體可以根據所聲明的憑證無效的網路實體確定結果來抑制執行對終端的認證。
第1A圖、第1B圖和第1C圖示出了在執行此處描述的實施方式中可以實施的示例通訊環境。第1A圖是可以在其中實施一個或多個所揭露的實施方式的示例通訊系統100的圖示。通訊系統100可以是將諸如語音、資料、視訊、訊息、廣播等之類的內容提供給多個無線用戶的多重存取系統。通訊系統100可以經由系統資源(包括無線頻寬)的共享使
得多個無線用戶能夠存取這樣的內容。例如,通訊系統100可以使用一個或多個頻道存取方法,例如分碼多重存取(CDMA)、分時多重存取(TDMA)、分頻多重存取(FDMA)、正交FDMA(OFDMA)、單載波FDMA(SC-FDMA)等等。
如第1A圖所示,通訊系統100可以包括無線傳輸/接收單元(WTRU)102a,102b,102c,102d、無線電存取網路(RAN)104、核心網路106、公共交換電話網(PSTN)108、網際網路110和其他網路112,但可以理解的是所揭露的實施方式可以涵蓋任意數量的WTRU、基地台、網路及/或網路元件。WTRU 102a,102b,102c,102d中的每一個可以是被配置用於在無線環境中操作及/或通訊的任何類型的裝置。作為示例,WTRU 102a,102b,102c,102d可以被配置用於發送及/或接收無線信號,並且可以包括用戶設備(UE)、行動站、固定或行動用戶單元、呼叫器、行動電話、個人數位助理(PDA)、智慧型電話、膝上型電腦、迷你筆記型電腦、個人電腦、無線感測器、消費電子產品等等。
通訊系統100還可以包括基地台114a和基地台114b。基地台114a,114b中的每一個可以是被配置用於與WTRU 102a,102b,102c,102d中的至少一者無線介面連接,以促進存取一個或多個通訊網路(例如核心網路106、網際網路110及/或網路112)的任何類型的裝置。例如,基地台114a,114b可以是基地收發站(BTS)、節點B、e節點B、家用節點B、家用e節點B、站點控制器、存取點(AP)、無線路由器以及類似裝置。儘管基地台114a,114b每個均被描述為單一元件,但是可以理解的是基地台114a,114b可以包括任何數量的互連基地台及/或網路元件。
基地台114a可以是RAN 104的一部分,該RAN 104還可以包括諸如基地台控制器(BSC)、無線電網路控制器(RNC)、中繼節點之類的其他基地台及/或網路元件(未示出)。基地台114a及/或基地台114b可以被配置用於發送及/或接收特定地理區域內的無線信號,該特定地理區域可以被稱作胞元(未示出)。胞元還可以被劃分成胞元扇區。例如與基地台114a相關聯的胞元可以被劃分成三個扇區。由此,在一種實施方式中,基地台114a可以包括三個收發器,即針對該胞元的每個扇區都有一個收發器。在另一實施方式中,基地台114a可以使用多輸入多輸出(MIMO)技
術,並且由此可以使用針對胞元的每個扇區的多個收發器。
基地台114a,114b可以經由空氣介面116與WTRU 102a,102b,102c,102d中的一者或多者通訊,該空氣介面116可以是任何合適的無線通訊鏈路(例如射頻(RF)、微波、紅外(IR)、紫外(UV)、可見光等)。空氣介面116可以使用任何合適的無線電存取技術(RAT)來建立。
更具體地,如前所述,通訊系統100可以是多重存取系統,並且可以使用一個或多個頻道存取方案,例如CDMA、TDMA、FDMA、OFDMA、SC-FDMA以及類似的方案。例如,在RAN 104中的基地台114a和WTRU 102a,102b,102c可以實施諸如通用行動電信系統(UMTS)陸地無線電存取(UTRA)之類的無線電技術,其可以使用寬頻CDMA(WCDMA)來建立空氣介面116。WCDMA可以包括諸如高速封包存取(HSPA)及/或演進型HSPA(HSPA+)的通訊協定。HSPA可以包括高速下鏈封包存取(HSDPA)及/或高速上鏈封包存取(HSUPA)。
在另一實施方式中,基地台114a和WTRU 102a,102b,102c可以實施諸如演進型UMTS陸地無線電存取(E-UTRA)之類的無線電技術,其可以使用長期演進(LTE)及/或高級LTE(LTE-A)來建立空氣介面116。
在其他實施方式中,基地台114a和WTRU 102a,102b,102c可以實施諸如IEEE 802.16(即全球微波互通存取(WiMAX))、CDMA2000、CDMA2000 1x、CDMA2000 EV-DO、臨時標準2000(IS-2000)、臨時標準95(IS-95)、臨時標準856(IS-856)、全球行動通訊系統(GSM)、增強型資料速率GSM演進(EDGE)、GSM EDGE(GERAN)等之類的無線電技術。
舉例來講,第1A圖中的基地台114b可以是無線路由器、家用節點B、家用e節點B、毫微微胞元基地台或者存取點,並且可以使用任何合適的RAT,以用於促進在諸如商業場所、家庭、車輛、校園之類的局部區域的無線連接。在一種實施方式中,基地台114b和WTRU 102c,102d可以實施諸如IEEE 802.11之類的無線電技術以建立無線區域網路(WLAN)。在一實施方式中,基地台114b和WTRU 102c,102d可以實施諸如IEEE 802.15之類的無線電技術以建立無線個人區域網路(WPAN)。
在又一實施方式中,基地台114b和WTRU 102c,102d可以使用基於蜂窩的RAT(例如WCDMA、CDMA2000、GSM、LTE、LTE-A等)以建立微微胞元(picocell)和毫微微胞元(femtocell)。如第1A圖所示,基地台114b可以直接連接至網際網路110。由此,基地台114b不必經由核心網路106來存取網際網路110。
RAN 104可以與核心網路106通訊,該核心網路106可以是被配置用於將語音、資料、應用及/或網際網路協定語音(VoIP)服務提供到WTRU 102a,102b,102c,102d中的一者或多者的任何類型的網路。例如,核心網路106可以提供呼叫控制、帳單服務、基於移動位置的服務、預付費呼叫、網際網路連接、視訊分配等,及/或執行高階安全性功能,例如用戶認證。儘管第1A圖中未示出,需要理解的是RAN 104及/或核心網路106可以直接或間接地與其他RAN進行通訊,這些其他RAN可以使用與RAN 104相同的RAT或者不同的RAT。例如,除了連接到可以採用E-UTRA無線電技術的RAN 104,核心網路106也可以與使用GSM無線電技術的其他RAN(未顯示)通訊。
核心網路106也可以充當WTRU 102a,102b,102c,102d存取PSTN 108、網際網路110及/或其他網路112的閘道。PSTN 108可以包括提供普通老式電話服務(POTS)的電路交換電話網絡。網際網路110可以包括互連電腦網路的全球系統以及使用公共通訊協定的裝置,該公共通訊協定例如傳輸控制協定(TCP)/網際網路協定(IP)網際網路協定套件的中的TCP、用戶資料報協定(UDP)和IP。網路112可以包括由其他服務提供方擁有及/或操作的無線或有線通訊網路。例如,網路112可以包括連接到一個或多個RAN的另一核心網路,這些RAN可以使用與RAN 104相同的RAT或者不同的RAT。
通訊系統100中的WTRU 102a,102b,102c,102d中的一些或者全部可以包括多模式能力,即WTRU 102a,102b,102c,102d可以包括用於經由不同無線鏈路與不同的無線網路進行通訊的多個收發器。例如,第1A圖中顯示的WTRU 102c可以被配置用於與使用基於蜂窩的無線電技術的基地台114a進行通訊,並且與使用IEEE 802無線電技術的基地台114b進行通訊。
第1B圖是示例WTRU 102的系統圖。如第1B圖所示,WTRU 102可以包括處理器118、收發器120、傳輸/接收元件122、揚聲器/麥克風124、鍵盤126、顯示器/觸控板128、不可移式記憶體130、可移式記憶體132、電源134、全球定位系統(GPS)碼片組136和其他週邊裝置138。需要理解的是,在與以上實施方式保持一致的同時,WTRU 102可以包括上述元件的任何子集。
處理器118可以是通用目的處理器、專用目的處理器、常規處理器、數位信號處理器(DSP)、多個微處理器、與DSP核心相關聯的一或多個微處理器、控制器、微控制器、專用積體電路(ASIC)、現場可編程閘陣列(FPGA)電路、其他任何類型的積體電路(IC)、狀態機等。處理器118可以執行信號編碼、資料處理、功率控制、輸入/輸出處理及/或使得WTRU 102能夠在無線環境中操作的其他任何功能。處理器118可以耦合到收發器120,該收發器120可以耦合到傳輸/接收元件122。儘管第1B圖中將處理器118和收發器120描述為獨立的元件,但是可以理解的是處理器118和收發器120可以被一起集成到電子封裝或者晶片中。處理器118可以執行應用層程式(例如瀏覽器)及/或無線電存取層(RAN)程式及/或通訊。處理器118可以執行諸如認證、安全性密鑰協議及/或加密操作,諸如在存取層及/或應用層。
傳輸/接收元件122可以被配置用於經由空氣介面116將信號發送到基地台(例如基地台114a)、或者從基地台(例如基地台114a)接收信號。例如,在一種實施方式中,傳輸/接收元件122可以是被配置用於發送及/或接收RF信號的天線。在另一實施方式中,傳輸/接收元件122可以是被配置用於發送及/或接收例如IR、UV或者可見光信號的發光體/偵測器。在又一實施方式中,傳輸/接收元件122可以被配置用於發送和接收RF信號和光信號兩者。需要理解的是傳輸/接收元件122可以被配置用於發送及/或接收無線信號的任一組合。
此外,儘管傳輸/接收元件122在第1B圖中被描述為單一元件,但是WTRU 102可以包括任何數量的傳輸/接收元件122。更具體地,WTRU 102可以使用MIMO技術。由此,在一種實施方式中,WTRU 102可以包括兩個或更多個傳輸/接收元件122(例如多個天線)以用於經由空
氣介面116發送和接收無線信號。
收發器120可以被配置用於對將由傳輸/接收元件122發送的信號進行調變,並且被配置用於對由傳輸/接收元件122接收的信號進行解調。如上所述,WTRU 102可以具有多模式能力。由此,收發器120可以包括多個收發器以用於使得WTRU 102能夠經由多RAT(例如UTRA和IEEE 802.11)進行通訊。
WTRU 102的處理器118可以被耦合到揚聲器/麥克風124、鍵盤126及/或顯示器/觸控板128(例如,液晶顯示器(LCD)顯示單元或者有機發光二極體(OLED)顯示單元),並且可以從上述裝置接收用戶輸入資料。處理器118還可以向揚聲器/麥克風124、鍵盤126及/或顯示器/觸控板128輸出資料。此外,處理器118可以存取來自任何類型的合適的記憶體中的資訊,以及向任何類型的合適的記憶體中儲存資料,該記憶體例如可以是不可移式記憶體130及/或可移式記憶體132。不可移式記憶體130可以包括隨機存取記憶體(RAM)、唯讀記憶體(ROM)、硬碟或者任何其他類型的記憶體儲存裝置。可移式記憶體132可以包括用戶身份模組(SIM)卡、記憶條、安全數位(SD)記憶卡等類似裝置。在其他實施方式中,處理器118可以存取來自實體上未位於WTRU 102上而位於伺服器或者家用電腦(未示出)上的記憶體的資訊,以及向上述記憶體中儲存資料。
處理器118可以從電源134接收功率,並且可以被配置用於將功率分配給WTRU 102中的其他元件及/或對至WTRU 102中的其他元件的功率進行控制。電源134可以是任何適用於為WTRU 102供電的裝置。例如,電源134可以包括一個或多個乾電池(鎳鎘(NiCd)、鎳鋅(NiZn)、鎳氫(NiMH)、鋰離子(Li-ion)等)、太陽能電池、燃料電池等。
處理器118還可以耦合到GPS碼片組136,該GPS碼片組136可以被配置用於提供關於WTRU 102的目前位置的位置資訊(例如經度和緯度)。作為來自GPS碼片組136的資訊的補充或者替代,WTRU 102可以經由空氣介面116從基地台(例如基地台114a,114b)接收位置資訊、及/或基於從兩個或更多個相鄰基地台接收到的信號的時序來確定其位置。需要理解的是,在與實施方式保持一致的同時,WTRU 102可以用任何合
適的位置確定方法來獲取位置資訊。
處理器118還可以耦合到其他週邊裝置138,該週邊裝置138可以包括提供附加特徵、功能性及/或無線或有線連接的一個或多個軟體及/或硬體模組。例如,週邊裝置138可以包括加速度計、電子指南針(e-compass)、衛星收發器、數位相機(用於照片或者視訊)、通用串列匯流排(USB)埠、震動裝置、電視收發器、免持耳機、藍芽R模組、調頻(FM)無線電單元、數位音樂播放器、媒體播放器、視訊遊戲播放器模組、網際網路瀏覽器等等。
第1C圖為根據一種實施方式的RAN 104和核心網路106的系統圖。如上所述,RAN 104可以使用UTRA無線電技術經由空氣介面116與WTRU 102a、102b和102c通訊。RAN 104還可以與核心網路106通訊。如第1C圖所示,RAN 104可以包括節點B 140a、140b、140c,其中節點B 140a、140b、140c每一者可以包含一個或多個收發器,該收發器經由空氣介面116來與WTRU 102a、102b、102c通訊。節點B 140a、140b、140c的每個可以在RAN 104內與特定胞元(未示出)關聯。RAN 104還可以包括RNC 142a、142b。應該理解的是,在與實施方式保持一致的同時,RAN 104可以包含任一數量的節點B和RNC。
如第1C圖所示,節點B 140a、140b可以與RNC 142a進行通訊。此外,節點B 140c可以與RNC 142b進行通訊。節點B 140a、140b、140c可以經由Iub介面與各自的RNC 142a、142b進行通訊。RNC 142a、142b可以經由Iur介面彼此相互通訊。RNC 142a、142b都可以被配置用於控制與其連接的各自的節點140a、140b、140c。此外,RNC 142a、142b都可以被配置用於執行或者支援其他功能,諸如外環功率控制、負載控制、允許控制、封包排程、移交控制、巨集分集、安全功能、資料加密等。
如第1C圖所示的核心網路106可以包括媒體閘道(MGW)144、行動交換中心(MSC)146、服務GPRS支援節點(SGSN)148、及/或閘道GPRS支援節點(GGSN)150。儘管上述元素中的每個被描述為核心網路106的一部分,但是應該理解的是這些元素中的任何一個可以被除了核心網路操作者以外的實體擁有及/或操作。
RAN 104中的RNC 142a可以經由IuCS介面連接到核心網
路106中的MSC 146。MSC 146可以連接到MGW 144。MSC 146和MGW 144可以為WTRU 102a、102b、102c提供至諸如PSTN 108的電路交換網路的存取,從而促進WTRU 102a、102b、102c和傳統陸線通訊裝置之間的通訊。
RAN 104中的RNC 142a還可以經由IuPS介面連接到核心網路106中的SGSN 148。SGSN 148可以連接到GGSN 150。SGSN 148和GGSN 150可以為WTRU 102a、102b、102c提供至諸如網際網路110的封包交換網路的存取,從而促進WTRU 102a、102b、102c和IP賦能裝置之間的通訊。
如上所述,核心網路106還可以連接到網路112,其中該網路112可以包括由其他服務提供者所擁有及/或操作的其他有線或無線網路。
第1D圖為根據一種實施方式的RAN 104和核心網路106的系統圖。如上所述,RAN 104可以使用E-UTRA無線電技術經由空氣介面116與WTRU 102a、102b和102c通訊。RAN 104還可以與核心網路106通訊。
RAN 104可以包括e節點B 140a、140b、140c,但應當理解的是在保持與實施方式一致的同時,RAN 104可以包括任何數量的e節點B。e節點B 140a、140b、140c每個可以包含一個或多個收發器,該收發器經由空氣介面116來與WTRU 102a、102b、102c通訊。在實施方式中,e節點B 140a、140b、140c可以實施MIMO技術。因此,例如e節點B 140a可以使用多個天線來傳送無線信號至WTRU 102a,並且從WTRU 102a接收無線信號。
e節點B 140a、140b、140c每個可以與特定胞元(未示出)進行關聯並且被配置用於處理無線電資源管理決定、切換決定、上鏈及/或下鏈中的用戶排程等。如第1D圖所示,e節點B 140a、140b、140c可以經由X2介面相互通訊。
第1D圖中所示的核心網路106可以包括移動性管理閘道(MME)160、服務閘道162和封包資料網路(PDN)閘道164。儘管上述元素中的每個被描述為核心網路106的一部分,但是應該理解的是這些元
素中的任何一個可以被除了核心網路操作者以外的實體擁有及/或操作。
MME 160可以經由S1介面連接到RAN 104中的e節點B 142a、142b、142c的每一個並且可以作為控制節點。例如,MME 160可以負責認證WTRU 102a、102b、102c的用戶、承載啟動/止動、在WTRU 102a、102b、102c的初始連結期間選擇特定的服務閘道等等。MME 160也可以為RAN 104與使用其他無線電技術(例如GSM或WCDMA)的RAN(未示出)之間的交換提供控制平面功能。
服務閘道162可以經由S1介面被連接到RAN 104中的e節點B 140a、140b、140c的每一個。服務閘道162通常可以路由和轉發用戶資料封包至WTRU 102a、102b、102c,或者路由和轉發來自WTRU 102a、102b、102c的用戶資料包。服務閘道162也可以執行其他功能,例如在e節點B間切換期間錨定用戶平面、當下鏈數據可用於WTRU 102a、102b、102c時觸發尋呼、為WTRU 102a、102b、102c管理和儲存上下文等等。
服務閘道162也可以被連接到PDN閘道164,該閘道164可以向WTRU 102a、102b、102c提供至封包交換網路(例如網際網路110)的存取,從而促進WTRU 102a、102b、102c與IP賦能裝置之間的通訊。
核心網路106可以促進與其他網路之間的通訊。例如,核心網路106可以向WTRU 102a、102b、102c提供至電路交換網路(例如PSTN 108)的存取,從而促進WTRU 102a、102b、102c與傳統陸線通訊裝置之間的通訊。例如,核心網路106可以包括,或可以與下述通訊:作為核心網路106和PSTN 108之間介面的IP閘道(例如,IP多媒體子系統(IMS)伺服器)。另外,核心網路106可以向提供WTRU 102a、102b、102c至網路112的存取,該網路112可以包含被其他服務提供者擁有及/或操作的其他有線或無線網路。
以上描述的通訊系統及/或系統可以被用於驗證來自這裏描述的端點(例如中繼節點、終端等)的憑證。此處揭露了可以建立端點之間的安全頻道的系統、方法及/或設施。每個端點例如可以包括受限網路實體(例如USIM或UICC)、終端(例如中繼節點)、裝置中的安全及/或隔離域或者其他端點。根據一實施方式,核心網路實體可以被用作用於受限網路實體的憑證驗證代理。安全頻道可以由認證將被受限網路實體使用的
憑證的網路來建立。該受限網路實體使用的憑證可以從端點(例如終端、中繼節點等)或者可信來源獲得。
網路的安全性取決於在受限網路實體和另一節點(諸如終端)之間的頻道上的通訊的私密性。受限網路實體和終端之間的頻道可以被用於轉移網路加密及/或認證密鑰。這可以是這種情況,例如,在高級LTE中繼節點中,其中UICC被連接到RN平臺。例如UICC至RN平臺通訊容易受到竊聽攻擊。然而,加密及/或認證密鑰可以在整個頻道中轉移。惡意裝置可能能夠讀取這些密鑰,並且由此仿冒認證序列中的真正裝置及/或竊聽會話。UICC可以經由公共密鑰交換來創建與RN平臺的安全頻道。公共密鑰可以使用由UICC及/或RN平臺提供的憑證來簽名。RN平臺可以假設從UICC接收的憑證是值得相信的、或者可以驗證該憑證,但是UICC絕不可能驗證由RN平臺提供的憑證。
該終端(例如中繼節點)平臺的所聲明的憑證及/或該憑證的有效性可以被併入UICC對網路認證程序中,由此認證可以在憑證驗證出現時發生。網路可能使用有效憑證而得知安全頻道沒有洩露,並且由此加密及/或認證密鑰沒有洩露。這例如可以在相同程序中完成。如果終端平臺正在使用無效憑證(例如仿冒RN平臺正在洩露加密及/或認證密鑰),則網路認證失敗。對網路的認證可以促進將憑證的有效性狀態轉發至受限網路實體(例如UICC),並且隨後建立安全頻道。
受限網路實體(例如UICC)和核心網路實體之間的隱性信任可以被使用以允許核心網路充當受限實體的代理來驗證憑證。例如,在受限網路實體沒有執行憑證的驗證及/或使用OCSP檢查廢止狀態的情況下,跨越別的易受攻擊頻道,受限網路實體和另一端點(諸如終端)之間的安全頻道可以被建立。
受限網路實體和終端之間的安全頻道可以使用受限網路實體和核心網路之間的認證程序來驗證。使用驗證的非同步認證的公共密鑰可以作為參數而被包括在共享認證序列中。此處描述的系統、方法和設施可以被應用於諸如中繼節點之類的裝置,在該中繼節點處,受限網路實體(例如UICC)和端點(例如RN平臺)跨越易受攻擊頻道來傳送網路加密及/或認證密鑰。受限網路實體和端點由此可以建立安全頻道。
根據一實施方式,可以假設端點或者中繼憑證的驗證。根據另一實施方式,受限網路實體(例如UICC)可以驗證受限網路實體內的憑證。在又一實施方式中,受限網路實體可以驗證如此處描述的受限網路實體和核心網路之間的單獨的驗證請求交換中的憑證。
為了使用核心網路來驗證憑證,受限網路實體(例如UICC)和核心網路可以建立安全性關聯,諸如基於AKA的安全性關聯(SA)。另一網路端點(諸如終端)和受限網路實體可以嘗試建立主SA以使用憑證來建立TLS安全頻道。終端和受限網路實體可以交換憑證。受限網路實體可以經由終端執行對核心網路的AKA。受限網路實體可以從終端請求簽名的有效終端憑證。核心網路實體可以接收受限網路實體轉發的例如被簽名的終端憑證。核心網路實體可以驗證憑證。例如,核心網路實體可以經由OCSP或CRL來驗證憑證。核心網路實體還可以發送及/或接收憑證的廢止狀態。核心網路實體可以加密終端憑證的實際狀態及/或發送終端憑證的狀態至受限網路實體。根據一示例實施方式,受限網路實體可以包括ULCC TLS端點應用。如果由核心網路指示的憑證的狀態為無效,受限網路實體及/或核心網路實體可以移除AKA安全性上下文。所揭露的系統、方法和設施可以在終端的憑證無效的情況下確保AKA序列失效。受限網路實體和核心網路之間的另一憑證驗證處理可以被執行。
第2圖是描述密鑰產生和階層的圖示。例如,密鑰產生和階層可以用於3GPP eNB。如第2圖所示,K 210可以是儲存在USIM及/或認證中心AuC 202上的永久密鑰。USIM例如可以在UICC上實施。CK、IK 212可以是在AKA程序期間在USIM及/或認證中心AuC 202中取得的一對密鑰。CK、IK 212可以被用於計算密鑰存取安全管理實體(KASME)214。KASME214可以在HSS及/或UE 204上產生。KASME可以被用於創建NAS加密密鑰(KNASenc)216、完整性密鑰(KNASint)218及/或eNB密鑰(KeNB)220。KeNB220可以是由UE及/或MME 206取得的密鑰,並且可以在UE及/或eNB 208上使用以創建UP加密密鑰(KUPenc)222、RRC完整性密鑰(KRRCint)224及/或RRC加密密鑰(KRRCenc)226。KeNB220還可以在UE及/或eNB 208上使用以創建其他密鑰,例如UP完整性密鑰(KUPint)(未示出)。KUPint可以是被用於利用完整性演算法保護RN和DeNB之間的UP訊
務的密鑰。
如此處所描述,受限網路實體(例如UICC)可以驗證終端(例如中繼節點)的憑證。終端可以是與受限網路實體相關聯的安全頻道的端點。憑證可以經由利用非受限的另一端點(例如核心網路實體)的認證程序來驗證。此處描述的系統、方法和設施可以被用於綁定至少一級的安全頻道。
第3圖描述了使用網路認證的憑證驗證的示例。如第3圖所示,實體2可以是使用網路實體(例如實體3)來驗證從實體1接收到的安全頻道憑證的受限實體。根據一個示例實施方式,實體1可以是終端(例如中繼節點),實體2可以是受限網路實體(例如USIM或UICC),及/或實體3可以是非受限核心網路實體。如第3圖所示,在302處,實體1和實體2可以建立及/或嘗試建立安全頻道。在302建立安全頻道中,實體1和實體2可以執行公共密鑰交換。伴隨公共密鑰交換,實體1可以接收實體2的憑證308,且實體2可以接收實體1的憑證306。實體2可能不確定憑證306是否是有效憑證。為了確定實體1的憑證306的有效性,實體2可以使用實體3作為驗證憑證306的代理。
為了驗證實體1的憑證306,在310的認證期間實體2和實體3可以執行密鑰交換。在執行認證中,實體2和實體3可以交換共享密鑰304,該共享密鑰可以從被用於在實體1和實體2之間在302處建立安全頻道的相同的公共密鑰中取得。在310的認證期間,實體3可以接收與實體1及/或實體2相關聯的預訂識別碼、並且使用預訂識別碼來為實體2查找相對應的頻道公共密鑰。實體3可以基於與實體1及/或實體2相關聯的預訂識別碼來獲得實體1的最新的有效憑證及/或相應的公共密鑰,並且驗證憑證306。例如,實體3可以使用憑證授權方312來驗證憑證306。如果憑證306有效,則實體3可以向實體2指示有效性。例如,如果憑證306有效,實體3可以繼續及/或完成310處的對實體2的認證。如果憑證306無效,則實體3可以終止310處的認證(例如拒絕來自實體2的認證請求)。
此處描述了使用終端的安全頻道憑證和非受限網路實體作為用於憑證驗證過程中的代理來執行驗證的示例實施方式,如第3圖所示。受限網路實體可以使用終端的公共密鑰以用於建立安全頻道。受限網路實
體可能不知道公共密鑰的憑證是否有效(例如未廢止)。可能被隱性地信任的受限網路實體可以使用用以建立安全頻道相同的公共密鑰,作為向網路取得加密及/或認證密鑰中的公共認證參數。核心網路(例如操作者網路)可以使用這一公共認證參數,該公共認證參數可以在與終端所綁定到的受限網路實體的預訂識別碼對應的資料庫中找到。
如此處所述,對於網路認證的憑證驗證和安全頻道綁定可以被結合。安全頻道綁定可以在存在密鑰正暴露在受限網路實體(例如UICC)和終端之間的通訊鏈路中的威脅時使用。作為示例實施方式,受限網路實體(例如UICC)內的信任可以被使用以將終端要求的公共密鑰插入到3GPP AKA程序的密鑰獲取參數中。終端公共密鑰可以被公然地揭露,因而不會是私密。終端密鑰可以與受限網路實體私密和受限網路實體可信過程結合以確保用於受限網路實體和終端之間的安全頻道建立的公共密鑰是在受限網路實體AKA密鑰取得中使用的相同的公共密鑰。
核心網路可以接收受限網路實體的預訂識別碼,並且使用該識別碼來查找對應終端的安全頻道公共密鑰。核心網路,利用其資源,可能能夠基於受限網路實體的預訂識別碼來獲得最新的未廢止終端憑證和對應的公共密鑰,並且確認終端憑證的有效性。受限網路實體可以為核心網路提供終端憑證。公共密鑰可以被用於在核心網路處取得AKA密鑰。如果憑證有效並且受限網路實體和核心網路上的終端公共密鑰匹配,則所取得的AKA密鑰可以匹配以用於後續的NAS及/或AS級認證。如果受限網路實體被給予無效的終端憑證,則AKA密鑰可能不會匹配核心網路的密鑰,且後續NAS及/或AS級認證會失敗。
受限網路實體(例如UICC)和終端可以初始地建立臨時安全頻道,該臨時安全頻道可以藉由交換憑證和使用公共密鑰交換演算法來建立,從而建立受限網路實體和終端之間的加密通訊鏈路。受限網路實體可以將終端的公共密鑰TpuK(例如或者公共密鑰的散列、或者憑證的散列)包括在發送至核心網路且被用於取得受限網路實體的KASME認證密鑰以向核心網路進行認證的參數中。受限網路實體和終端單元可以首先利用受限網路實體的識別符向網路進行認證。例如,如果受限網路實體包括UICC,受限網路實體的識別符可以是IMSI或TIMSI。核心網路(例如AAA)
可以參考其合法預訂的資料庫中的識別符及/或參考伴隨的終端憑證。網路可以使用憑證授權方(CA)312來確保終端的憑證有效。如果終端的憑證有效,網路可以在發送至受限網路實體且被用於取得加密及/或認證密鑰的參數中使用終端憑證公共密鑰TpuK(例如或者公共密鑰的散列、或者憑證的散列)。如果終端的憑證無效,則網路可以拒絕對受限網路實體及/或終端的認證請求。根據另一實施方式,網路可以使用無效、但是上次使用的用於終端的好的公共密鑰值,並且限制終端及/或受限網路實體的存取直到與終端及/或受限網路實體相關聯的安全頻道非對稱密鑰對被更新。由於在取得密鑰中使用的參數(包括終端的公共密鑰參數)可能是相同的,受限網路實體和核心網路在此時可能具有匹配的密鑰。如果終端嘗試使用錯誤的公共密鑰(該錯誤的公共密鑰可能被用於認證和建立與受限網路實體相應的SA;並且例如可以被用於在終端上建立相應的私有密鑰),則受限網路實體和核心網路密鑰可能不會匹配,網路認證會失敗。
根據示例實施方式,受限網路實體可以假設終端憑證有效。在另一實施方式中,受限網路實體可以驗證受限網路實體能力或者受限網路實體和核心網路之間的獨立的驗證請求交換中的憑證。根據另一示例實施方式,如此處所述,計算的豐富網路實體可以代表受限網路實體來驗證安全頻道憑證。受限網路實體可以是計算受限的安全頻道端點。受限網路實體可以易於從裝置移除(例如容易分離及/或替換)。安全頻道憑證可以經由網路和受限網路實體之間的認證來驗證。例如這可以將安全頻道憑證及/或共享密鑰與其他端點綁定。如果網路依賴於安全頻道的有效性及/或終端中的信任,則受限網路實體和核心網路之間的認證程序可以提供對於安全頻道及/或安全頻道的端點可以保護其傳輸的私密的隱性保證。例如,所傳輸的私密可以是允許LTE中繼以安全地與網路通訊的私密。
根據一個示例,終端可以是安全頻道的端點。對於安全頻道憑證的驗證可以經由與另一端點(例如非受限的端點)的認證程序發生。對安全頻道憑證的此種驗證可以被用於例如在認證程序中將一層(例如存取層)的安全頻道及/或域綁定到另一層(例如傳輸或應用層)及/或域。
此處描述的認證的示例形式是利用隱性安全頻道憑證驗證的終端(例如中繼節點)驗證。第4圖是描述使用隱性安全頻道憑證驗證
和平臺綁定的相位2中繼節點啟動程序的圖示。如第4圖所示,USIM-RN 402可以在412執行與中繼404的憑證交換。在414,由於USIM-RN 402可能不確定從中繼404接收到的憑證有效,則USIM-RN 402和中繼404之間的安全頻道可以被臨時建立。由此,USIM-RN 402可以使用網路來驗證從中繼404接收到的憑證。例如,在416,USIM-RN 402可以發送預訂識別符(例如IMSI)至中繼404以用於轉發至網路。在418,中繼404可以建立與DeNB 406的連接(例如RRC連接)。在418建立的連接可以包括RN指示。在420,中繼404可以與MME-RN 408連結。在422,MME-RN 408可以發送認證請求至HSS 410。在422處的認證請求例如可以包括預訂識別碼(例如IMSI)。在424,HSS 410例如使用預訂識別碼(例如IMSI)可以發現與中繼404及/或USIM-RN 402相關聯的預訂。在426,HSS 410可以確定中繼404憑證有效。在428,HSS 410可以產生在密鑰階層中混合有效中繼404憑證的散列的認證向量。在430,認證向量可以從HSS 410發送至MME-RN 408。在432,會話(例如GTP-C會話)可以在DeNB 406和MME-RN 408之間創建。在434,MME-RN 408可以發送安全性模式指令至USIM-RN 402。在436,USIM-RN 402可以產生認證回應。例如,認證回應可以藉由在密鑰階層中混合所聲明中繼404憑證的散列來產生。在438,USIM-RN 402可以發送表明安全性模式完成的指示至MME-RN 408。在440,USIM-RN 402和中繼404之間的安全頻道可以被確認。
根據示例實施方式,密鑰取得可以被執行。例如,HSS 410可以被載有中繼404憑證的128位元的加密散列。這一散列例如可以藉由逐位元互斥或函數而添加到匿名密鑰,並且可以在認證向量在428由HSS 410計算及/或在430發送至MME-RN 408之前(例如當中繼404正連接到網路時)被儲存以用於恢復。
第5圖是描述將非獨立安全頻道憑證處理和插入認證伺服器資料庫的圖示。如第5圖所示,散列函數可以在有效RN平臺憑證502上執行,其可以返回散列504。該散列可以使用逐位互斥或506而添加到其他密鑰綁定材料(例如匿名密鑰)508。結果可以是在HSS處儲存在訂戶資料庫512中的訂戶特定的RN密鑰綁定材料510。
安全頻道憑證登記可以被執行,例如在此所述。終端(安
全頻道的其他端點)可以確保其安全頻道憑證被更新用於受限網路實體和網路認證以成功進行。終端可以具有取得及/或儲存有效安全頻道憑證的裝置。安全頻道憑證可以在網路資料庫伺服器中登記。
安全頻道憑證可以在製造時在終端上提供。安全頻道憑證可以後續在具有為此目的部署或啟動的終端的網路中登記。根據一實施方式,終端可以直接向憑證伺服器認證。
在中繼節點,終端可以包括中繼節點平臺。在中繼節點平臺作為UE(例如作為RN)向網路認證之後,中繼節點平臺可以具有至網路的基於IP的連接。此種UE認證可以允許網路給予對網路元件RN受限的存取,諸如操作、管理和維持(OAM)。中繼的OAM和UE角色可以相互認證。中繼節點可以為OAM提供自身產生的安全頻道憑證及/或相應的公共密鑰,並且在其安全環境中儲存私有密鑰。替代地或者附加地,RN可以直接向註冊授權方(RA)進行認證以用於憑證登記。為了認證目的在網路登記元件和中繼之間使用密鑰以登記安全頻道憑證可以由安全環境控制及/或在中繼節點平臺妥協的情況下不可用。
第6圖是描述中繼的示例啟動順序的圖示。如第6圖所示,RN 615可以使用程序或者階段進行啟動。第一階段啟動在601-606描述。例如,RN 615可以作為UE連結到HSS 619以用於初始配置。在RN 615通電之後,RN 615和eNB 616可以在601建立連接(例如RRC連接)。在602a,RN 615可以連結到MME 617及/或交換認證和安全性資訊。在602b,MME 617可以轉發與RN 615相關聯的認證和安全性資訊至HSS 619。在603,MME 617和S/P-GW 618可以在他們之間創建會話(GTP-C會話)。在604a,RN 615和eNB 616可以重新配置他們的連接(例如RRC連接)。在604b,eNB 616和MME 617可以建立S1環境,並且連結可以被接受。在連結之後,OAM 620可以在605向RN 615提供用於認證及/或憑證驗證的初始參數。初始參數例如可以與DeNB 621相關聯。在606,RN 615可以分離其自身作為UE。
隱性憑證驗證可以在例如607-613處描述的第二階段啟動中的認證期間發生。在607,RN 615可以建立與DeNB 621的連接(RRC連接)。在連接建立期間,RN 615可以向DeNB 621指示RN 615實際上是
RN。在608a,RN 615可以連結到MME RN 622,並且提供認證和安全性資訊。例如MME 617和MME RN 622可以是相同或不同的網路實體。RN 615可以作為中繼連結。在608b,MME RN 622可以發送認證和安全性資訊至HSS 619。在609,DeNB 621和MME RN 622可以在他們之間創建會話(例如GTP-C會話)。在610a,RN 615和DeNB 621可以重新配置他們之間的連接(例如RRC連接)。在610b,DeNB 621和MME RN 622可以建立S1環境,並且NAS連結可以被接受。在連結之後,OAM 620可以在611處完成與RN 615的RN配置。RN 615和DeNB 621可以在612發起S1建立和在613發起X2建立。在614,RN 615可以作為中繼開始操作。
如果如第6圖所示的認證失敗,則RN 615可以返回605及/或從管理實體請求憑證。因此,步驟605可以包括安全頻道憑證驗證及/或登記。安全頻道憑證可以與RN 615平臺的UICC交換,及/或安全頻道可以在階段二認證程序中經由UICC-RN介面傳遞密鑰之前被建立。階段二認證程序可以與第4圖所示的程序相同或者相似(但沒有密鑰取得,舉例而言)。
安全頻道憑證更新可以被執行。當安全頻道憑證被更新時,訂戶資料庫可以被更新,諸如利用散列化的憑證值。如果在更新憑證時受限網路實體是活動的,則網路可以利用受限網路實體來初始化另一認證程序。如果AKA失敗,則RN平臺可以更新其憑證。
安全頻道憑證產生可以經由遠端提供來執行。RN平臺可以安裝用於安全頻道認證的私有密鑰。這一程序可以用安全方式完成。公共/私有密鑰對可以在RN平臺上產生及/或私有密鑰可以在RN平臺上安全地提供。
安全環境可以用於安裝安全頻道密鑰。例如,如果環境適當地建立,則安全環境可以用於安裝安全頻道私有密鑰。這可以經由安全啟動過程中的技術來偵測及/或實行。例如,製造者安裝的RN平臺私密可以在RN平臺已經安全啟動及/或完整性驗證檢查通過的情況下變為可用。RN平臺可以利用由建立安全環境所保護的安全環境加密密鑰來產生安全頻道密鑰對及/或加密該私有密鑰。這意味著安全環境加密密鑰在RN平臺的安全環境未被成功建立的情況下可能是不可用的。
相應的憑證可以在諸如憑證授權方之類的網路實體的協助下產生。經由例如如第7圖的722-732所示的經建立的頻道,RN平臺可以發送憑證至諸如RA及/或OAM之類的登記實體。如果網路認證使用平臺驗證技術,其中用於向登記實體進行認證的密鑰在建立RN平臺的安全環境時被釋放,則登記實體能夠藉由認證程序隱性地證實憑證的可信性。
替代地,在成功的自動驗證及/或認證之後,網路可以產生安全頻道密鑰對及/或傳輸安全頻道密鑰。利用自動驗證,如果網路認證失敗,則憑證不會被信任。代替自動驗證,安全環境可以在其發送憑證至網路以用於登記時對安全頻道憑證進行簽名。以這種方式,管理認證程序不會被直接綁定到安全頻道程序,而是都綁定到成功的安全環境建立。
第7圖是描述使用安全頻道登記的中繼啟動程序的圖示。如第7圖所示,中繼節點的啟動階段可以包括安全頻道憑證驗證。在716,中繼704可以執行安全啟動。在718,中繼704可以執行安全頻道密鑰對和憑證產生。在720,中繼704可以執行階段一啟動程序,諸如在圖601-606描述的階段一啟動程序。在階段一啟動程序之後,在722,中繼704和OAM 712可以執行OAM程序。在724,中繼704和RA/CA 714可以執行安全頻道憑證登記。在726,RA/CA 714可以在HSS 710上安裝安全頻道憑證。在728,HSS 710可以將安全頻道憑證的裝置識別碼與訂戶識別碼相關聯。在730,HSS 710還可以產生和安裝用於RN AKA密鑰階層的安全頻道憑證綁定材料。在732,登記可以在中繼704和RA/CA 714之間完成。在734,中繼704可以分離作為UE。在736,中繼704和USIM-RN 702可以交換安全頻道憑證,並且執行安全頻道的臨時建立。在738,USIM-RN 702可以在其密鑰階層中使用安全頻道憑證。在740,可以執行階段二的中繼704啟動,諸如第6圖的607-613所示的階段二中繼啟動。在740處的階段二中繼啟動可以利用隱性安全頻道憑證驗證和綁定來執行。在742,OAM 712可以完成RN程序。
根據一實施方式,可以使用RN平臺特定密鑰取得的替代方式。例如,在安全頻道綁定密鑰中,用於密鑰取得函數的輸入參數可以如此處所述。這可以基於如TS 33.220描述的GBA密鑰取得函數,但是對P0、P3和L0、L3欄位進行了修改以作為區別欄位及/或特別地綁定結果密
鑰至安全頻道的手段:FC=0x01,P1=RAND,L1=RAND的長度為16個八位元組(即0x00 0x10),P2=使用UTF-8被編碼為八位元組串的IMPI,L2=IMPI的長度是可變的(不大於65535),P3=RN平臺安全頻道憑證或者憑證的散列,L3=安全頻道憑證或者散列的長度是可變的(不大於65535),P0=”rn_sc”(即0x72 0x6e 0x5f 0x73 0x63),及/或L0=P0的長度為5個八位元組(即0x00 0x05)。
在密鑰取得中使用的密鑰可以是例如在TS 33.220的條款4和5中規定的Ks(即序連的CK∥IK)。在TS 33.220中,這一函數可以被表示為:Ks_rn_sc=KDF(Ks,”rn_sc”,RAND,IMPI,RN_PLAT_SC_CERT)。
例如,如以下所描述,也可以執行RN連結請求。HSS可以由於NAS傳輸訊息中的RN平臺初始請求訊息中的指示而知道包括RN特定的參數,包括:例如安全頻道憑證參數。RN還可以連結RN特定指示符資訊。MME接著可以請求適於RN特定環境的認證向量,該RN特定環境可以包括安全頻道憑證參數。
認證序列可以成功或者失效。當傳送認證序列時,可以使用密鑰階層,諸如第2圖中所示的密鑰階層。在密鑰階層中取得的KeNB(RRC完整性和機密性、PDCP機密性和當使用增強型PDCP時的PDCP完整性)可以被傳送至DeNB,從而允許在RN平臺及/或DeNB之間的AS安全性關聯建立。同時UICC可以根據相同或者類似的階層取得其基於KeNB的密鑰。這些密鑰可以匹配用於RN、MME及/或DeNB之間的安全通訊。例如,在所有參數、UICC及/或HSS密鑰基於USIM-RN根密鑰和用於UICC識別碼的對應HSS根密鑰匹配的情況下及/或在安全頻道憑證匹配的情況下,這些密鑰可以匹配。如果AKA失敗,那麼XRES會無法匹配並且這可以指示給RN平臺。
RN平臺可以將其先前發送給UICC的憑證發送到網路。這一程序可能會與憑證登記階段的不同。當IP連結被允許時,這一憑證可以在第一階段的啟動程序中被發送。這一資訊可以與經登記及/或驗證的憑證(或憑證的散列)一起被儲存在HSS中、及/或被比較以提供拒絕的可能理由(例如,如果XRES未能通過)。然而,由RN平臺提供的這一憑證可能不會被憑證授權方正式登記也不會正式驗證,但是可以被用於提供資訊目
的。其可以例如由網路使用來確定給予UICC的憑證和在HSS中登記的憑證不匹配,以及這可能是已經發生認證失敗的原因。由於遞送及/或處理這一資訊性憑證的程序可能在安全性方面是輕量的,所以這一資訊性憑證可能不會被用於實際的認證。正式登記的憑證及/或與UICC交換的憑證可以是被用於認證的那個憑證。
UICC從RN平臺接收的安全頻道憑證可以是其用來建立安全頻道的那一個憑證。UICC使用的加密及/或認證密鑰可以被嵌入憑證中。因此,UICC接收的憑證可以綁定安全頻道及/或AKA程序,可以幫助抵禦變換憑證的攻擊。如果RN平臺給UICC錯誤憑證,則AKA會失敗。網路可以不使用隨後被用來建立安全頻道的憑證(該憑證可能已被綁定到RN平臺)。
經由安全頻道發送的AKA憑證在安全頻道無效的情況下(意味著UICC可以使用無效的憑證經由RN平臺建立安全頻道)可能是易受攻擊的。在這種情況下AKA會失敗,所以AKA憑證的暴露可能不是問題。
如果UICC使用有效憑證以RN平臺建立安全頻道,AKA憑證可被真正地保護及/或AKA程序可以通過,或者由於HSS和UICC安全頻道憑證匹配而至少不會因為不匹配的憑證而失敗。
第8圖描述了針對網路節點的用於EPS(在特定E-UTRAN中)的密鑰分佈和密鑰取得方案。如第8圖所示,KASME804可以例如當產生認證向量時在HSS 802中從CK,IK 806和SN識別碼808中取得。
第9圖描述了針對ME的用於EPS(在特定E-UTRAN中)的密鑰取得。如第9圖所示,KASME904可以例如在AKA程序期間在ME 902中從CK、IK906和SN識別碼908中取得。
第10圖描述了另外的密鑰產生和階層的示例實施方式。密鑰產生和階層例如可以是針對3GPP eNB,其中KASME取得可以在USIM或其他受限網路實體上執行。除了第10圖示出的KASME214可能在USIM及/或HSS 1002上產生之外,第10圖示出的密鑰產生和階層與第2圖示出的密鑰產生和階層可以是相似的。
第11圖描述了示例性的使用TpuK作為參數以取得
KASME;當在產生認證向量時從CK、IK 1104和SN id 1106中取得KASME 1102時,以下參數可以被用來形成對KDF的輸入S:FC=0x10;P0=SN id;L0=SN id的長度(即0x00 0x03);P1=SQN⊕AK⊕TpuK(其中TpuK是核心網路中的終端有效公共密鑰以及UICC中的假設的終端有效公共密鑰);及/或L1=SQN⊕AK的長度(即,0x00 0x06)。
序號(SQN)和匿名密鑰(AK)的互斥或可以被作為認證訊標(AUTN)的一部分發送到UE,例如如同在TS 33.102描述的。如果AK未被使用,AK可以被視為如同在TS 33.102中描述的,即000...0。
SN id可以包括MCC和MNC,並且可以根據表1被編碼為八位元組串。
MCC和MNC的數位(digit)編碼可以根據TS 24.301而被執行。輸入密鑰可以等於CK和IK的的序連CK∥IK。
第12圖示出了示例的使用TpuK來在USIM上取得密鑰。當在AKA程序期間從USIM 1208上的CK、IK 1204和SN id 1206中取得KASME 1202時,以下參數可以被用來形成對KDF的輸入S:FC=0x10;P0=SN id;L0=SN id的長度(即0x00 0x03);P1=SQN⊕AK⊕TpuK(其中TpuK是核心網路中的終端有效公共密鑰以及UICC中的假設的終端有效公共密鑰);及/或L1=SQN⊕AK的長度(即0x00 0x06)。
第13圖是描述M2M網路中安全頻道的認證與建立的圖示。安全頻道的認證與建立可以使用以下描述的實施方式在M2M網路實體之間建立。如第13圖所示,M2M網路可以包括M2M裝置1312、M2M應用伺服器1306、及/或存取網路1308。M2M裝置1312可以包括軟體堆疊1310,軟體堆疊1310包括應用層1302和存取層1304。如於此所描述,M2M存取層1304可以在1316處以M2M存取網路執行安全頻道的認證及/或建立。應用層1302還可以在1314處以M2M應用伺服器1306執行安全頻道
的獨立認證及/或建立。根據一種示例實施方式,M2M存取層1304網路連接、認證、及/或安全頻道可以在M2M應用層1302認證之前建立。應用層1302認證可以根據憑證交換來執行並且M2M裝置1312會受限從而無法執行憑證驗證。在一種實施方式中,M2M應用伺服器1306的驗證可以由存取網路1308代表M2M應用層1302來執行。
M2M應用層1302的認證和安全頻道關聯程序可以被綁定到成功的裝置完整性驗證,其中該裝置完整性驗證可以包括被用作與存取網路1308及/或應用伺服器1306通訊的M2M裝置1312的安全操作的M2M裝置1312的安全環境及/或元件,從而為M2M應用伺服器1306提供M2M裝置1312上的M2M應用層1302以及平臺的安全保證。
雖然本發明的特徵和元素以特定的結合在以上進行了描述,但本領域中具有通常知識者可以理解的是,每個特徵或元素可以在沒有其他特徵和元素的情況下單獨使用,或在與本發明的其他特徵和元素結合的各種情況下使用。此外,本發明提供的方法可以在由電腦或處理器執行的電腦程式、軟體或韌體中實施,其中所述電腦程式、軟體或韌體被包含在電腦可讀儲存媒體中。電腦可讀媒體的實例包括電子信號(經由有線或者無線連接而傳送)和電腦可讀儲存媒體。關於電腦可讀儲存媒體的實例包括但不限於唯讀記憶體(ROM)、隨機存取記憶體(RAM)、暫存器、快取記憶體、半導體記憶裝置、諸如內部硬碟和可移式磁片之類的磁性媒體、磁光媒體以及CD-ROM碟片和數位多功能光碟(DVD)之類的光學媒體。與軟體有關的處理器可以被用於實施在WTRU、UE、終端、基地台、RNC或者任何主電腦中使用的無線電頻率收發器。
304‧‧‧共享密鑰
Claims (20)
- 裝置,包括:在一受限網路實體處接收與一網路實體相關聯的一憑證,其中該憑證被接收以用於建立該受限網路實體與該網路實體之間的一安全頻道;於該受限網路實體處建立與該網路實體的一臨時安全頻道;由該受限網路實體將與該網路實體相關聯的該接收的憑證發送至一核心網路實體,以確定該接收的憑證的一有效性,該受限網路實體具有與該核心網路實體的一建立的安全性關聯,藉此該受限網路實體使用該核心網路實體做為一代理來驗證該憑證;基於該憑證的該核心網路實體的一分析,於該受限網路實體處從該核心網路實體接收該憑證的該有效性的一指示,其中在該憑證的該有效性的該接收的指示之前,該憑證的該有效性對該受限網路實體未知;以及基於該憑證的該有效性的該指示而確定是否以該網路實體來認證。
- 如申請專利範圍第1項所述的方法,其中,在該網路實體與該受限網路實體之間成功認證之後,在該網路實體與該受限網路實體之間建立該安全頻道。
- 如申請專利範圍第1項所述的方法,其中該網路實體為一終端或一M2M網路實體中的至少一者。
- 如申請專利範圍第1項所述的方法,其中該網路實體包括一中繼節點。
- 如申請專利範圍第1項所述的方法,其中該受限網路實體為一UICC或一USIM中的至少一者。
- 如申請專利範圍第1項所述的方法,其中該憑證的該有效性的該指示包括該受限網路實體與該核心網路實體之間的一認證結果。
- 如申請專利範圍第6項所述的方法,其中該認證結果包括該憑證無效時的一認證失敗。
- 如申請專利範圍第6項所述的方法,其中該認證結果包括該憑證有效時的一成功認證。
- 如申請專利範圍第1項所述的方法,其中該憑證在為建立該網路實體與該受限網路實體之間的該安全頻道而執行的一公共密鑰交換期間被接收。
- 如申請專利範圍第1項所述的方法,其中該建立的安全性關聯包括一基於認證和密鑰協商協議(AKA)的安全性關聯(SA)。
- 一種由一通訊網路的一核心網路實體執行的方法,該方法包括:從一受限網路實體接收與一網路實體相關聯的一憑證,該受限網路實體嘗試與該網路實體建立一安全頻道,該核心網路實體具有與該受限網路實體的一建立的安全性關聯;做為用於該受限網路實體的一代理以基於該憑證的一分析確定與該網路實體相關聯的該憑證的一有效性;以及向該受限網路實體表明該憑證的該有效性,以啟動該受限網路實體與該網路實體之間的該安全頻道的建立。
- 如申請專利範圍第11項所述的方法,其中確定與該網路實體相關聯的該憑證的該有效性更包括:將該憑證發送至一憑證授權方以確定該憑證的該有效性;以及從該憑證授權方接收該憑證的該有效性的一指示。
- 如申請專利範圍第11項所述的方法,其中該受限網路實體使用該網路實體的一識別碼來獲得與該識別碼相關聯的一已知有效憑證;以及更包括比較該已知有效憑證以及與該網路實體相關聯的該憑證,以確定與該網路實體相關聯的該憑證的該有效性。
- 如申請專利範圍第11項所述的方法,更包括將該憑證的一廢止狀態發送至該受限網路實體以表明該憑證無效。
- 如申請專利範圍第11項所述的方法,其中該網路實體包括一中繼節點,以及該受限網路實體包括一UICC。
- 如申請專利範圍第11項所述的方法,其中該建立的安全性關聯包括一基於認證和密鑰協商協議(AKA)的安全性關聯(SA)。
- 一種受限網路實體,被配置為:接收與一網路實體相關聯的一憑證,其中該憑證及一公共密鑰被接收以用於建立該受限網路實體與該網路實體之間的一安全通訊頻道;將該憑證發送至一核心網路實體,該受限網路實體具有與該核心網路實體的一建立的安全性關聯,藉此該受限網路實體使用該核心網路實體做為一代理以驗證該憑證;從該核心網路實體接收以該憑證的一分析為基礎的該憑證的該有效性的一指示,其中,在該憑證的該有效性的該接收的指示之前,該憑證的該有效性對該受限網路實體為未知;以及基於該憑證的該有效性的該指示而確定是否以該網路實體來認證及驗證該臨時安全頻道。
- 如申請專利範圍第17項所述的受限網路實體,其中該網路實體為一終端或一M2M網路實體中的至少一者。
- 如申請專利範圍第17項所述的受限網路實體,其中該受限網路實體為一UICC或一USIM。
- 如申請專利範圍第17項所述的受限網路實體,其中該建立的安全性關聯包括一基於認證和密鑰協商協議(AKA)的安全性關聯(SA)。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US41383910P | 2010-11-15 | 2010-11-15 | |
US201161430855P | 2011-01-07 | 2011-01-07 |
Publications (1)
Publication Number | Publication Date |
---|---|
TW201624961A true TW201624961A (zh) | 2016-07-01 |
Family
ID=45217668
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
TW104144782A TW201624961A (zh) | 2010-11-15 | 2011-11-15 | 憑症驗證及頻道耦合 |
TW100141593A TWI552564B (zh) | 2010-11-15 | 2011-11-15 | 憑證驗證及頻道耦合 |
Family Applications After (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
TW100141593A TWI552564B (zh) | 2010-11-15 | 2011-11-15 | 憑證驗證及頻道耦合 |
Country Status (7)
Country | Link |
---|---|
US (2) | US9497626B2 (zh) |
EP (1) | EP2641375A1 (zh) |
JP (2) | JP2013544471A (zh) |
KR (3) | KR20130089662A (zh) |
CN (1) | CN103210627A (zh) |
TW (2) | TW201624961A (zh) |
WO (1) | WO2012068094A1 (zh) |
Families Citing this family (40)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9408066B2 (en) * | 2010-12-06 | 2016-08-02 | Gemalto Inc. | Method for transferring securely the subscription information and user data from a first terminal to a second terminal |
EP2461613A1 (en) | 2010-12-06 | 2012-06-06 | Gemalto SA | Methods and system for handling UICC data |
WO2012154600A1 (en) * | 2011-05-06 | 2012-11-15 | Apple Inc. | Methods and apparatus for providing management capabilities for access control clients |
AP2014007426A0 (en) * | 2011-07-18 | 2014-02-28 | Visa Int Service Ass | Mobile device with secure element |
WO2013101141A1 (en) * | 2011-12-30 | 2013-07-04 | Intel Corporation | Secure machine to machine communication |
US8838971B2 (en) * | 2012-01-16 | 2014-09-16 | Alcatel Lucent | Management of public keys for verification of public warning messages |
BR112014019937A8 (pt) | 2012-02-14 | 2017-07-11 | Apple Inc | Método e aparelho para distribuição em grande escala de clientes de acesso eletrônico |
US9231931B2 (en) * | 2012-05-23 | 2016-01-05 | Kt Corporation | Method and apparatus of constructing secure infra-structure for using embedded universal integrated circuit card |
US8948386B2 (en) | 2012-06-27 | 2015-02-03 | Certicom Corp. | Authentication of a mobile device by a network and key generation |
US9088408B2 (en) | 2012-06-28 | 2015-07-21 | Certicom Corp. | Key agreement using a key derivation key |
US8971851B2 (en) * | 2012-06-28 | 2015-03-03 | Certicom Corp. | Key agreement for wireless communication |
EP3589001A1 (en) * | 2012-12-06 | 2020-01-01 | NEC Corporation | Mtc key management for sending key from network to ue |
WO2014120253A1 (en) * | 2013-01-29 | 2014-08-07 | Blackberry Limited | A system and method for providing a certificate-based trust framework using a secondary network |
BR112016000036B1 (pt) * | 2013-07-10 | 2023-05-09 | Sony Corporation | Dispositivo de recep«ão, e, mtodo para recep«ão de um dispositivo de recep«ão e para transmissão |
ES2890499T3 (es) | 2013-09-11 | 2022-01-20 | Samsung Electronics Co Ltd | Procedimiento y sistema para posibilitar una comunicación segura para una transmisión inter-eNB |
US11349675B2 (en) * | 2013-10-18 | 2022-05-31 | Alcatel-Lucent Usa Inc. | Tamper-resistant and scalable mutual authentication for machine-to-machine devices |
US9584492B2 (en) | 2014-06-23 | 2017-02-28 | Vmware, Inc. | Cryptographic proxy service |
WO2016028198A1 (en) * | 2014-08-20 | 2016-02-25 | Telefonaktiebolaget L M Ericsson (Publ) | Methods, devices and management terminals for establishing a secure session with a service |
WO2016129863A1 (en) | 2015-02-12 | 2016-08-18 | Samsung Electronics Co., Ltd. | Payment processing method and electronic device supporting the same |
US10193700B2 (en) | 2015-02-27 | 2019-01-29 | Samsung Electronics Co., Ltd. | Trust-zone-based end-to-end security |
EP3262582B1 (en) | 2015-02-27 | 2021-03-17 | Samsung Electronics Co., Ltd. | Electronic device providing electronic payment function and operating method thereof |
KR102460459B1 (ko) | 2015-02-27 | 2022-10-28 | 삼성전자주식회사 | 전자 장치를 이용한 카드 서비스 방법 및 장치 |
US9667600B2 (en) * | 2015-04-06 | 2017-05-30 | At&T Intellectual Property I, L.P. | Decentralized and distributed secure home subscriber server device |
JP6595631B2 (ja) | 2015-07-02 | 2019-10-23 | コンヴィーダ ワイヤレス, エルエルシー | サービス層におけるコンテンツセキュリティ |
US20170012783A1 (en) * | 2015-07-10 | 2017-01-12 | Entrust, Inc. | Low friction device enrollment |
US10362011B2 (en) | 2015-07-12 | 2019-07-23 | Qualcomm Incorporated | Network security architecture |
US20170026186A1 (en) * | 2015-07-26 | 2017-01-26 | Fortinet, Inc. | Detection of fraudulent digital certificates |
US10699274B2 (en) | 2015-08-24 | 2020-06-30 | Samsung Electronics Co., Ltd. | Apparatus and method for secure electronic payment |
US10846696B2 (en) | 2015-08-24 | 2020-11-24 | Samsung Electronics Co., Ltd. | Apparatus and method for trusted execution environment based secure payment transactions |
CN109155915A (zh) * | 2016-05-18 | 2019-01-04 | 华为技术有限公司 | 通信方法、网络侧设备和用户设备 |
KR102437730B1 (ko) | 2016-12-07 | 2022-08-26 | 한국전자통신연구원 | 자원 제약적 환경에서 기기들 간 인증 지원 장치 및 그 방법 |
US10637848B2 (en) | 2016-12-07 | 2020-04-28 | Electronics And Telecommunications Research Institute | Apparatus for supporting authentication between devices in resource-constrained environment and method for the same |
KR102233484B1 (ko) | 2017-02-23 | 2021-03-29 | 한국전자통신연구원 | 차량 긴급 구난 체계에서 사용하기 위한 최소 사고 정보를 생성하는 장치 및 그 방법 |
US11381998B2 (en) | 2017-02-28 | 2022-07-05 | Nec Corporation | Communication apparatus, method, program, and recording medium |
EP3509247A1 (de) * | 2018-01-03 | 2019-07-10 | Siemens Aktiengesellschaft | Verfahren und schlüsselgenerator zum rechnergestützten erzeugen eines gesamtschlüssels |
CN108880804B (zh) * | 2018-07-18 | 2020-06-30 | 北京理工大学 | 基于级联计算成像的网络密钥分发方法、装置和系统 |
US10681556B2 (en) * | 2018-08-13 | 2020-06-09 | T-Mobile Usa, Inc. | Mitigation of spoof communications within a telecommunications network |
JP7273523B2 (ja) * | 2019-01-25 | 2023-05-15 | 株式会社東芝 | 通信制御装置および通信制御システム |
WO2020226466A1 (en) * | 2019-05-09 | 2020-11-12 | Samsung Electronics Co., Ltd. | Method and apparatus for managing and verifying certificate |
US20220116774A1 (en) * | 2020-10-08 | 2022-04-14 | Samsung Electronics Co., Ltd. | Methods and systems for authentication and establishment of secure connection for edge computing services |
Family Cites Families (25)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100529550B1 (ko) * | 2001-10-18 | 2005-11-22 | 한국전자통신연구원 | 공개키 기반 구조 인증시스템에서 생체정보를 이용한인증서 권한 변경 방법 |
JP3621682B2 (ja) * | 2002-01-10 | 2005-02-16 | 株式会社東芝 | デジタル放送装置及びデジタル放送方法、デジタル放送受信装置及びデジタル放送受信方法、デジタル放送受信システム |
US20030196084A1 (en) * | 2002-04-12 | 2003-10-16 | Emeka Okereke | System and method for secure wireless communications using PKI |
US20030204741A1 (en) * | 2002-04-26 | 2003-10-30 | Isadore Schoen | Secure PKI proxy and method for instant messaging clients |
JP4304362B2 (ja) * | 2002-06-25 | 2009-07-29 | 日本電気株式会社 | Pki対応の証明書確認処理方法及びその装置、並びにpki対応の証明書確認処理プログラム |
FR2864410B1 (fr) * | 2003-12-19 | 2006-03-03 | Gemplus Card Int | Telephone portable et procede associe de securisation de son identifiant. |
JP2005217679A (ja) * | 2004-01-29 | 2005-08-11 | Hitachi Ltd | 通信相手の認証を行う認証サーバ |
EP1594316A1 (en) * | 2004-05-03 | 2005-11-09 | Thomson Licensing | Certificate validity checking |
US7444509B2 (en) | 2004-05-27 | 2008-10-28 | International Business Machines Corporation | Method and system for certification path processing |
US7454233B2 (en) * | 2004-09-23 | 2008-11-18 | Gemalto Inc | Communications of UICC in mobile devices using internet protocols |
PT1854263E (pt) * | 2005-02-04 | 2011-07-05 | Qualcomm Inc | Técnica de bootstrapping para protecção de comunicações sem fios |
US20060206710A1 (en) * | 2005-03-11 | 2006-09-14 | Christian Gehrmann | Network assisted terminal to SIM/UICC key establishment |
FI20050562A0 (fi) * | 2005-05-26 | 2005-05-26 | Nokia Corp | Menetelmä avainmateriaalin tuottamiseksi |
US20060274695A1 (en) * | 2005-06-03 | 2006-12-07 | Nokia Corporation | System and method for effectuating a connection to a network |
FR2890267B1 (fr) * | 2005-08-26 | 2007-10-05 | Viaccess Sa | Procede d'etablissement d'une cle de session et unites pour la mise en oeuvre du procede |
US7929703B2 (en) * | 2005-12-28 | 2011-04-19 | Alcatel-Lucent Usa Inc. | Methods and system for managing security keys within a wireless network |
US8407464B2 (en) * | 2006-10-10 | 2013-03-26 | Cisco Technology, Inc. | Techniques for using AAA services for certificate validation and authorization |
US8464045B2 (en) * | 2007-11-20 | 2013-06-11 | Ncr Corporation | Distributed digital certificate validation method and system |
KR100925329B1 (ko) * | 2007-12-03 | 2009-11-04 | 한국전자통신연구원 | 디지털케이블 방송망에서 다운로더블 제한수신시스템을위한 상호인증 및 키 공유 방법과 장치 |
US8249553B2 (en) * | 2008-03-04 | 2012-08-21 | Alcatel Lucent | System and method for securing a base station using SIM cards |
JP5053179B2 (ja) * | 2008-05-30 | 2012-10-17 | 株式会社日立製作所 | 検証サーバ、プログラム及び検証方法 |
US8804957B2 (en) * | 2010-03-29 | 2014-08-12 | Nokia Corporation | Authentication key generation arrangement |
EP2395780B1 (en) * | 2010-06-14 | 2019-08-07 | Koninklijke KPN N.V. | Authenticity verification of authentication messages |
WO2011160674A1 (en) * | 2010-06-21 | 2011-12-29 | Nokia Siemens Networks Oy | Method for establishing a secure and authorized connection between a smart card and a device in a network |
EP2659649A2 (en) * | 2010-12-30 | 2013-11-06 | Interdigital Patent Holdings, Inc. | Authentication and secure channel setup for communication handoff scenarios |
-
2011
- 2011-11-15 EP EP11793576.7A patent/EP2641375A1/en not_active Withdrawn
- 2011-11-15 CN CN2011800548909A patent/CN103210627A/zh active Pending
- 2011-11-15 WO PCT/US2011/060769 patent/WO2012068094A1/en active Application Filing
- 2011-11-15 KR KR1020137015364A patent/KR20130089662A/ko active Search and Examination
- 2011-11-15 KR KR1020167030967A patent/KR20160130870A/ko active IP Right Grant
- 2011-11-15 KR KR1020147030127A patent/KR101675094B1/ko active IP Right Grant
- 2011-11-15 JP JP2013539945A patent/JP2013544471A/ja active Pending
- 2011-11-15 TW TW104144782A patent/TW201624961A/zh unknown
- 2011-11-15 TW TW100141593A patent/TWI552564B/zh not_active IP Right Cessation
- 2011-11-15 US US13/296,855 patent/US9497626B2/en not_active Expired - Fee Related
-
2015
- 2015-03-25 JP JP2015062029A patent/JP6174617B2/ja not_active Expired - Fee Related
-
2016
- 2016-11-10 US US15/348,392 patent/US9781100B2/en not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2015149739A (ja) | 2015-08-20 |
KR101675094B1 (ko) | 2016-11-10 |
JP6174617B2 (ja) | 2017-08-02 |
TWI552564B (zh) | 2016-10-01 |
KR20160130870A (ko) | 2016-11-14 |
CN103210627A (zh) | 2013-07-17 |
US20120297473A1 (en) | 2012-11-22 |
TW201230750A (en) | 2012-07-16 |
EP2641375A1 (en) | 2013-09-25 |
US20170063847A1 (en) | 2017-03-02 |
WO2012068094A1 (en) | 2012-05-24 |
JP2013544471A (ja) | 2013-12-12 |
KR20140139099A (ko) | 2014-12-04 |
US9781100B2 (en) | 2017-10-03 |
US9497626B2 (en) | 2016-11-15 |
KR20130089662A (ko) | 2013-08-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
TWI552564B (zh) | 憑證驗證及頻道耦合 | |
EP3286871B1 (en) | Systems, methods, and devices for device credential protection | |
US10992472B2 (en) | Systems and methods for secure roll-over of device ownership | |
JP5390619B2 (ja) | Homenode−b装置およびセキュリティプロトコル | |
CN106797564B (zh) | 请求式服务网络认证方法及装置 | |
US20160065362A1 (en) | Securing peer-to-peer and group communications | |
US11178547B2 (en) | Identity-based message integrity protection and verification for wireless communication | |
TWI538463B (zh) | 確保網路通訊系統及方法 | |
TWI558253B (zh) | 進行用戶認證的計算機執行方法及使用用戶識別碼得到存取目標域處服務的方法 | |
TW201406118A (zh) | 使用單一登入系統之一次往返認證 | |
TW201626751A (zh) | 服務網路認證 | |
TW201225697A (en) | Identity management on a wireless device |