TWI455558B - 通訊網路之認證 - Google Patents
通訊網路之認證 Download PDFInfo
- Publication number
- TWI455558B TWI455558B TW096145764A TW96145764A TWI455558B TW I455558 B TWI455558 B TW I455558B TW 096145764 A TW096145764 A TW 096145764A TW 96145764 A TW96145764 A TW 96145764A TW I455558 B TWI455558 B TW I455558B
- Authority
- TW
- Taiwan
- Prior art keywords
- user
- database
- location register
- home location
- security setting
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/72—Subscriber identity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/75—Temporary identity
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Stored Programmes (AREA)
- Telephonic Communication Services (AREA)
- Storage Device Security (AREA)
Description
本發明一般係關於通訊網路之認證。
在通訊網路中,在進一步發生通訊之前會有許多應用共享客戶端(也就是末端使用者裝置或使用者設備UE)與應用伺服器之間的認證需求。為了提供對等認證機制,3GPP(3G Partnership Project,第三代合作夥伴計劃)已經定義「Generic Authentication Architecture(GAA),通用認證架構」以及「Generic Bootstrapping Architecture(GBA),通用引導指令架構」。GAA/GBA說明可當場用於任何(目前與未來)應用的對等認證之通用架構。GAA/GBA係根據隸屬於3GPP和CHAP(挑戰交握認證協定)的行動演算法AKA(認證與金鑰協議)以及隸屬於3GPP2的CAVE(蜂巢式認證與語音加密)。此外,還有由纜線實驗室(Cable Labs)定義的GAA/GBA使用者名稱/密碼異變。
GAA/GBA指定用來與本籍用戶系統(Home Subscriber System,HSS)以及Diameter存取一起使用。稱為「引導指令伺服器函數(Bootstrapping Server Function,BSF)」的新網路元件則導入GAA/GBA內,此BSF具有Diameter式介面與HSS相連。3GPP TS 29.109 v7.4.0內指定GAA/GBA的引導指令程序。
第1圖顯示根據3GPP規格的GAA/GBA系統100的簡
單方塊圖。系統包含具有Ub介面至「引導指令伺服器函數(Bootstrapping Server Function,BSF)」102以及Ua介面至應用伺服器(網路應用函數(Network Application Function,NAF))105的使用者設備(UE)101。BSF 102具有Zh介面至「本籍用戶系統(Home Subscriber System,HSS)」103、Dz介面至「伺服器定位函數(Server Locator Function,SLF)」104以及Zn介面至NAF 105。
第2圖顯示根據第1圖系統內3GPP規格說明GAA/GBA引導指令程序之訊息圖。首先,UE利用傳送包含UE使用者的IMPI(IMS私人使用者識別)之引導指令要求2-1,透過Ub介面與BSF開始引導指令程序。
BSF利用傳送包含UE使用者的IMPI之多媒體認證要求2-2,透過Zh介面從使用者的HSS要求使用者的認證向量(AV)以及GBA使用者安全設定(GUSS)。多媒體認證要求以「多媒體認證要求(Multimedia-Auth-Request,MAR)」訊息的格式傳送。HSS產生認證向量並且擷取階段2-3內的GUSS,並且供應包含認證向量以及GUSS的多媒體認證應答2-4給BSF。多媒體認證應答以「多媒體認證應答(Multimedia-Auth-Answer,MAA)」訊息的格式傳送。在3GPP內,認證向量包含RAND(認證內隨機挑戰)、AUTN(認證令符)、XRES(認證內預期的回應)、CK(機密金鑰)以及IK(整合金鑰)。
若網路內佈署超過一個HSS,則BSF可透過Dz介面聯繫SLF 104,來找出在傳送多媒體認證要求2-2之前該
為特定使用者聯繫哪個HSS。SLF傳回相關HSS的位址來回應一要求。
BSF儲存來自階段2-5內IMPI的引導指令資訊記錄(包含IMPI、金鑰材料以及GUSS),並將引導指令應答2-6傳送至UE。此後,BSF和UE繼續透過Ub介面的引導指令程序。
NAF 105可透過Zn介面從BSF 102擷取認證資訊(金鑰材料儲存在BSF內),因此可透過Ua介面在應用作業開始時認證UE 101,或使用接收的金鑰材料來保全通訊。
運用GAA/GBA的某些通訊網路操作者將會有所問題,就是其尚未用有具備Diameter式存取的HSS,因此無法根據3GPP規格執行GAA/GBA。
依照本發明的一第一態樣其提供一方法,該方法包含:接收關於一用戶的一認證引導指令要求;從一用戶資料庫要求該用戶的認證資訊;從一安全設定資料庫要求該用戶的安全設定;從該用戶資料庫與該安全設定資料庫至少之一者接收一回應;以及使用至少部分根據所接收回應的認證引導指令來進行。
一用戶可表示一使用者,也就是用戶一詞可等於使用者。或者,訂閱並不需要連接至特定使用者。例如:公司可擁有多位使用者使用的訂閱。說明書中一般使用使用者一詞,但是確切意思為用戶。
在本發明的具體實施例內,從用戶資料庫透過非Diameter介面要求認證資訊,其中該介面可為例如MAP/SS7介面。
該方法可進一步包含從一位址儲存裝置要求該用戶資料庫與該安全設定資料庫至少之一者的位址資訊。
該安全設定資料庫可為例如一GUSS(GBA使用者安全設定)資料庫,並且該用戶資料庫可為例如一本籍位置暫存器或一訪客位置暫存器。
根據本發明第二態樣,提供一引導指令元件,其包含一輸入,其可操作來接收與一用戶有關的一認證引導指令要求,以及一處理單元,其經組態以從一用戶資料庫要求該用戶的認證資訊;從一安全設定資料庫要求該用戶的安全設定;從該用戶資料庫與該安全設定資料庫至少之一者接收一回應;以及使用至少部分根據所接收回應的認證引導指令來進行。
根據本發明第三態樣,提供一安全設定資料庫,其包含一儲存媒體,其可操作來儲存與許多用戶有關的安全設定;以及一處理單元,其經組態以與一引導指令元件共同操作,並且將與一特定用戶有關來回應至一要求的安全設定提供給該引導指令元件。
根據本發明第四態樣,提供一位址儲存元件,其包含一儲存媒體,其可操作來儲存與許多用戶的安全設定資料庫有關之位址資訊;以及一處理單元,其經組態以與一引導指令元件共同操作,並且將與一特定用戶有關來回應至
一要求的一安全設定資料庫之位址資訊提供給該引導指令元件。
在本發明的具體實施例內,該位址儲存的該儲存媒體可進一步操作來儲存與許多用戶的用戶資料庫有關之位址資訊,並且該處理單元進一步經組態以將與一特定用戶有關來回應至一要求的一用戶資料庫之位址資訊提供給該引導指令元件。
根據本發明第五態樣,提供一系統,其包含一用戶資料庫,其可操作來儲存與許多用戶有關的認證資訊;一安全設定資料庫,其可操作來儲存與許多用戶有關的安全設定;以及一引導指令元件,其可操作來與該用戶資料庫以及該安全設定資料庫一起運作,該引導指令元件包含一輸入,其可操作來接收與一用戶有關的一認證引導指令要求,以及一處理單元,其經組態以從該用戶資料庫要求該用戶的認證資訊;從該安全設定資料庫要求該用戶的安全設定;從該用戶資料庫與該安全設定資料庫至少之一者接收一回應;以及使用至少部分根據所接收回應的認證引導指令來進行。
該系統可進一步包含一位址儲存元件,其可操作來儲存許多用戶的至少一相關安全設定資料庫與一相關用戶資料庫之一的位址資訊,並且該引導指令元件的該處理單元進一步經組態以與該位址儲存元件一起運作,並且從該位址儲存元件要求與該用戶有關的至少該用戶資料庫與該安全設定資料庫之一之位址資訊。
根據本發明的第六態樣,其提供一包含電腦可執行程式碼的記憶媒體,讓一設備執行該第一態樣的該方法。
用本發明某些具體實施例可達成的好處為:允許網路業者使用根據3GPP規格的GBA(通用引導指令架構)和根據3GPP TS 33.920 v,7.1.0的特定SIM式GBA搭配舊式HLR和新式BSF,而不需要改變為3G智慧卡或HSS用途。如此,業者可在對網路變更最少的情況下使用GBA。更新像是HLR這類大型資料庫成為HSS費力並且有風險,因為更新後的資料庫可能不會依照預期立即運作。這導致網路無法連接通話。為此因素,網路業者寧願將網路變更縮至最少。
吾人應該瞭解,與一態樣有關的具體實施例標的可與其他某些合適的態樣或具體實施例結合。
上面已經用先前技術討論過第1圖和第2圖。在下列說明中,相同的參考號碼表示相同的部分。
第3圖顯示依照本發明具體實施例的認證系統300之簡單方塊圖。系統300包含使用者設備(UE)101,其像是第1圖的系統透過Ua介面連接至應用伺服器(網路應用函數,NAF)105。UE可為任何合適的通訊裝置。UE 101也具有Ub介面至引導指令實體301,其在本具體實施例內為引導指令伺服器函數(BSF),並且BSF 301具有Zn介面至NAF 105。
然而,本具體實施例的BSF 301與第1圖的BSF 102不同。BSF 301可與位址儲存裝置304通訊,其在此具體實施例內為伺服器定位器函數(SLF)、安全設定資料庫302,其在此具體實施例內為GUSS(GBA使用者安全設定)資料庫以及用戶資料庫303通訊。SLF 304也與第1圖的SLF 104不同。用戶資料庫303可為例如本籍位置暫存器(HLR),也就是,其不需要為根據3GPP規格的HSS。此外,用戶資料庫可為某些其他包含認證資訊(例如認證向量)的資料庫,像是訪客位置暫存器(VLR)。
BSF與用戶資料庫之間的介面可為非Diameter式介面,像是例如MAP/SS7(行動應用部分/7號發訊系統)介面(MAP屬於SS7通訊協定套件的一部分)。MAP定義行動交換器與資料庫之間的訊息傳送,來支援使用者認證、設備識別以及漫遊。Diameter式通訊協定為運用在GAA/GBA的3GPP規格之認證、帳務以及授權通訊協定,但是可能在較舊的網路元件內不支援。Diameter式通訊協定規格在2003年定案,因此較舊的網路元件就不可能支援此通訊協定。
因此,本發明的具體實施例提供使用MAP/SS7通訊協定的可能性,讓不支援Diameter式通訊協定的舊式網路元件具備運用GAA/GBA之好處。
BSF 301與GUSS資料庫302間之介面可為LDAP(輕量級目錄存取協定)、XED(XML啟用目錄)、DSML(目錄服務標記語言)、SPML(服務準備標記語言)或SLP(服務位
置協定)介面或某些其他合適的資料庫介面。
像是GUSS資料庫302這類儲存安全設定的安全設定資料庫包含應用與使用者特定參數,其可包含例如認證部分,其包含特定應用需要的使用者識別名單(例如IMPU(IM公眾識別)、MSISDN、假名)以及授權部分,其包含使用者權限旗標(例如存取允許的應用、可發出的證書類型)。此外,參數可包含某些金鑰選擇指示。安全設定可為例如3GPP規格TS 29.109 v.7.4.0的附錄A內所定義之GUSS。
此外,根據3GPP規格,BSF 301可具有容量具有(Diameter式)Zh介面至本籍用戶系統(HSS)以及Dz介面至伺服器定位器函數(SLF)。
第4圖顯示根據第3圖系統內本發明具體實施例的GAA/GBA引導指令程序之訊息圖。首先,UE利用傳送包含UE使用者的IMPI(IMS私人使用者識別)之引導指令要求2-1,透過Ub介面與BSF開始引導指令程序。
然後,BSF利用傳送包含UE使用者(包含在從UE接收的IMPI內)的IMSI(國際行動用戶識別)之認證資訊要求4-2,從用戶資料庫要求使用者的認證資訊。或者,使用者的某些其他識別碼可包含在認證資訊要求4-2內。認證資訊要求可用例如MAP_SendAuthlnfo訊息的格式來傳送。用戶資料庫用包含對應至IMSI的憑證之認證資訊應答4-3來回應。認證資訊應答可用例如MAP_SendAuthlnfo-ask訊息的格式來傳送。憑證可包含例如三個一組RAND、
SRES(帶符號的回應)以及Kc(加密金鑰),或包含RAND、AUTN、XRES、CK和IK的認證向量。
在此之後,BSF傳送包含IMPI的GUSS要求4-4至GUSS資料庫302。GUSS要求4-4也可為在要求內由某些合適識別碼所識別的特定使用者安全設定之某些其他要求。GUSS要求4-4可為例如LDAP、XED、DSML、SPML、SLP或類似的資料庫存取協定要求。GUSS資料庫利用回傳IMPI的GUSS 4-5來回應。GUSS資料庫可用IMPI或用其他使用者識別碼來分類。然後BSF繼續處理接收的憑證以及GUSS,例如3GPP規格內所指定。也就是,BSF儲存引導指令資訊記錄,包含IMPI、相關憑證(或金鑰材料)以及GUSS,並將引導指令應答2-6傳送至UE,如同第2圖。此後,BSF和UE得以繼續透過Ub介面的引導指令程序。
此外,若BSF已經儲存「舊式」GUSS用於特定使用者,則BSF可在GUSS要求內包含時間戳記,指出BSF內已經可用哪一版GUSS。在此情況下,若GUSS資料庫不具有任何較新的GUSS,則不需要回傳相同的GUSS至BSF。
吾人應該注意,第4圖內傳送訊息4-2和4-4的順序並未繫結,則有可能BSF在聯繫用戶資料庫之前可連絡GUSS資料庫,或BSF同時連絡這兩者,而不用等待一個先回應。
若網路內佈署超過一個用戶資料庫以及/或GUSS資料庫,則BSF 301可聯繫SLF 304,來找出在傳送要求4-2和4-4之前該為特定使用者聯繫哪個資料庫。
第5圖顯示根據本發明具體實施例聯繫SLF(或其他位址儲存裝置)的訊息圖。BSF將用於特定使用者的要求資料庫位址5-1傳送給SLF。要求5-1可為根據Zh介面的要求,但是應答可與標準解答不同。在要求內可利用IMSI或IMPI識別使用者。SLF用對應的資料庫位址5-2回應。SLF可回傳對應的用戶資料庫位址或對應的GUSS資料庫(或其他安全設定資料庫)位址或兩者。然後BSF可儲存接收的位址,以便未來在階段5-3內使用,但這並不強制。
本發明可利用例如在合適硬體平台上執行的電腦程式,或利用任何其他合適的硬體、軟體、特殊用途電路以及/或邏輯的組合來實施。
第6圖顯示適合實施本發明許多具體實施例的設備600之方塊圖。設備600可為具有分散功能的一般電腦,像是一般用途電腦或伺服器。該設備包含控制該設備的處理單元601以及記憶體602,該記憶體內含電腦程式碼或軟體603。處理單元可為例如中央處理單元(CPU)、一般用途處理器、微處理器、數位信號處理器、應用特定積體電路、場域可程式閘道器陣列、微控制器或這些元件的組合。記憶體也可包含資料庫604,根據本發明的實施儲存例如認證資訊、安全設定資訊以及/或位址資訊。
軟體603包含讓CPU 601控制設備600的指令,像是作業系統以及不同電腦應用程式。軟體603可包含控制設備來提供本發明某些功能的指令。這些指令可例如根據本發明某些具體實施例控制設備,當成引導指令元件、安全
設定資料庫元件、用戶資料庫元件或位址儲存元件來運作。這些指令也可控制相同設備,根據本發明某些具體實施例當成前述元件之一來運作。也就是,本發明的元件不需要為實體上個別的元件,而也可是在相同實體硬體上運行的邏輯不同之元件。設備600進一步包含包含I/O(輸入/輸出)單元605,像是LAN(區域網路)、乙太網路或WLAN(無線LAN)單元。設備600也可包含使用者介面(未顯示),像是顯示器與鍵盤,但是使用者介面也可透過I/O單元用遠端連線來實施。
吾人應該瞭解,在本文件內,包含、包括與內含等詞都屬於開放表示方式,並無例外。
本發明的特定實施與具體實施例已經藉由關於GBA和CUSS的無限制範例來說明。熟知該項技術者就會瞭解,本發明並不受限於上述具體實施例的細節,在不偏離本發明特性之下,本發明可在其他具體實施例內使用同等裝置來實施。例如:前述範例的使用者設備、BSF、SLF、GUSS和GUSS資料庫都可分別用某些其他合適的通訊裝置、引導指令元件、位址儲存裝置、安全設定以及安全設定資料庫來取代。
更進一步,上述揭示本發明具體實施例的某些功能具有不需使用其他對應功能的優點。如此,上面的說明應該看成僅是本發明原理的說明,而非限制。因此,本發明的領域僅受限於下列申請專利範圍。
100‧‧‧GAA/GBA系統
101‧‧‧使用者設備
102‧‧‧引導指令伺服器函數
103‧‧‧本籍用戶系統
104‧‧‧伺服器定位函數
105‧‧‧網路應用函數
2-1‧‧‧引導指令要求
2-2‧‧‧多媒體認證要求
2-3‧‧‧產生認證向量並擷取GUSS
2-4‧‧‧多媒體認證應答
2-5‧‧‧儲存用於IMPI的引導指令資訊記錄
2-6‧‧‧引導指令應答
300‧‧‧認證系統
301‧‧‧引導指令實體
302‧‧‧安全設定資料庫
303‧‧‧用戶資料庫
304‧‧‧位址儲存裝置
4-2‧‧‧認證資訊要求
4-3‧‧‧認證資訊應答
4-4‧‧‧GUSS要求
4-5‧‧‧GUSS
4-6‧‧‧儲存用於IMPI的引導指令資訊記錄
5-1‧‧‧要求資料庫位址
5-2‧‧‧資料庫位址
5-3‧‧‧儲存IMPI的資料庫位址
600‧‧‧設備
601‧‧‧處理單元
602‧‧‧記憶體
603‧‧‧軟體
604‧‧‧資料庫
605‧‧‧輸入/輸出單元
參考附圖舉例說明本發明,其中:
第1圖顯示根據先前技術的系統;
第2圖顯示根據先前技術的訊息圖;
第3圖顯示根據本發明具體實施例的系統;
第4圖顯示根據本發明具體實施例的訊息圖;
第5圖顯示根據本發明具體實施例的訊息圖;
第6圖顯示適合實施本發明許多具體實施例的設備之方塊圖。
Claims (20)
- 一種用於通訊網路之方法,包含:接收關於一用戶的一認證引導指令要求;從一本籍位置暫存器要求該用戶的認證資訊,包含經由一第一介面使用包含一行動應用部分協定格式之一第一協定,從該本籍位置暫存器要求對應該用戶之一行動用戶識別之一認證向量;經由一第二介面使用與該第一協定不同的一協定,從與該本籍位置暫存器分開之一安全設定資料庫要求該用戶的安全設定,其中該安全設定資料庫係一通用引導指令架構使用者安全設定資料庫;從該本籍位置暫存器與該安全設定資料庫至少之一者接收一回應;以及使用至少部分根據所接收的該回應的認證引導指令來進行。
- 如申請專利範圍第1項所述之方法,其中該第一介面為一非Diameter(non-diameter)介面。
- 如申請專利範圍第1項所述之方法,其中該第一介面為一行動應用部分/7號發訊系統介面。
- 如申請專利範圍第1項所述之方法,更包含:從一位址儲存裝置要求用於該本籍位置暫存器與 該安全設定資料庫至少之一者的位址資訊。
- 如申請專利範圍第1項所述之方法,更包含:從一伺服器定位器函數要求用於一特別使用者之一資料庫位址,以及響應該要求從該伺服器定位器函數接收與該本籍位置暫存器分開之該安全設定資料庫之至少一位址。
- 如申請專利範圍第1項所述之方法,其中自該本籍位置暫存器之認證資訊係至少部分儲存在與該本籍位置暫存器分開之一資料庫中。
- 如申請專利範圍第1項所述之方法,其中係由於以一處理單元讀取於一記憶體中的軟體的執行來進行該方法。
- 如申請專利範圍第1項所述之方法,其中該要求係於一行動應用部分發送認證資訊格式中。
- 一種用於通訊網路之裝置,包含:至少一處理器;以及至少一包含電腦程式碼之記憶體,其中該至少一記憶體和電腦程式碼以該至少一處理器組配來使該裝 置至少執行以下步驟:接收與一用戶有關的一認證引導指令要求;從一本籍位置暫存器要求該用戶的認證資訊,包含透過一第一介面使用包含一行動應用部分協定格式之一第一協定,從該本籍位置暫存器要求對應該用戶之一行動用戶識別之一認證向量;透過一第二介面使用與該第一協定不同的一協定,從與該本籍位置暫存器分開之一安全設定資料庫要求該用戶的安全設定其中該安全設定資料庫係一通用引導指令架構使用者安全設定資料庫;從該本籍位置暫存器與該安全設定資料庫之至少之一者接收一回應;以及使用至少部分根據所接收的該回應的認證引導指令來進行。
- 如申請專利範圍第9項所述之裝置,其中該第一介面為一非Diameter介面。
- 如申請專利範圍第9項所述之裝置,其中該第一介面為一行動應用部分/7號發訊系統介面。
- 如申請專利範圍第9項所述之裝置,其中該電腦程式碼使用該至少一處理器組配來使該裝置從一位址儲存裝置要求用於該本籍位置暫存器與該安全設定資料庫之至少之一 者的位址資訊。
- 如申請專利範圍第9項所述之裝置,其中該電腦程式碼使用該至少一處理器組配來使該裝置執行以下步驟:從一伺服器定位器函數要求一特別使用者之一資料庫位址,以及響應該要求從該伺服器定位器函數接收與該本籍位置暫存器分開之該安全設定資料庫之至少一位址。
- 如申請專利範圍第9項所述之裝置,其中自該本籍位置暫存器之認證資訊係至少部分儲存在與該本籍位置暫存器分開之一資料庫中。
- 如申請專利範圍第9項所述之裝置,其中該要求係於一行動應用部分發送認證資訊格式中。
- 一種安全設定資料庫,包含:一儲存媒體,其可操作來儲存與多個用戶有關的安全設定,其中該等多個用戶具有儲存在與該安全設定資料庫分開之至少一資料庫之認證向量,其中該安全設定資料庫係一通用引導指令架構使用者安全設定資料庫;以及 一處理單元,其經組態以與一引導指令元件共同操作,並且將與一特定用戶有關回應一要求的安全設定提供給該引導指令元件,其中該要求係隨著使用一第一協定之一第一要求至與該安全設定資料庫分開之一本籍位置暫存器,以提供對應於該等多個用戶之一用戶之一行動用戶識別的一認證向量,以及其中該要求使用不同於該第一協定之一協定。
- 一種位址儲存元件,包含:一儲存媒體,其可操作來儲存與多個用戶的安全設定資料庫有關之位址資訊,其中該安全設定資料庫儲存關於該等多個用戶之安全設定,其中該等多個用戶具有儲存在與該安全設定資料庫分開的一本籍位置暫存器中的認證向量,其中儲存在該本籍位置暫存器中的該等認證向量的每一個對應該等多個用戶之一用戶之一行動用戶識別,其中該本籍位置暫存器響應一要求,該要求係對於對應該等多個用戶之一用戶之一行動用戶識別之一認證向量,而向該本籍位置暫存器經由一第一介面使用一包含一行動應用部分協定格式之第一協定所提之要求,其中該安全設定資料庫係響應於針對安全設定的要求,該安全設定的要求係經由一第二介面使用不同於該第一協定之一協定對該安全設定資料庫所提之要求,以及其中該安全設定資料庫為一通用引導指令架構使用者安全設定資料庫;以及 一處理單元,其經組態以與一引導指令元件共同操作,並且將與一特定用戶有關回應一要求的一安全設定資料庫之位址資訊提供給該引導指令元件。
- 如申請專利範圍第17項所述之位址儲存元件,其中:該儲存媒體更可操作來儲存與多個用戶的本籍位置暫存器有關之位址資訊;以及該處理單元更經組態以將與一特定用戶有關回應一要求的本籍位置暫存器之位址資訊提供給該引導指令元件。
- 一種用於通訊網路之系統,包含:一本籍位置暫存器,其可操作來儲存與多個用戶有關的認證資訊;一安全設定資料庫,其可操作來儲存與多個用戶有關的安全設定,其中該安全設定資料庫係與該本籍位置暫存器分開,並且其中該安全設定資料庫為一通用引導指令架構使用者安全設定資料庫;以及一引導指令元件,其可操作來與該本籍位置暫存器以及該安全設定資料庫共同操作,該引導指令元件包含:一輸入,其可操作來接收與一用戶有關的一認證引導指令要求,以及一處理單元,其經組態以:經由一第一介面使用包含一行動應用部分協 定格式之一第一協定來從該本籍位置暫存器要求對應該用戶的一認證向量;經由一第二介面使用不同於該第一協定的一協定來從該安全設定資料庫要求該用戶的安全設定;從該本籍位置暫存器與該安全設定資料庫之至少之一者接收一回應;以及使用至少部分根據所接收的該回應的認證引導指令來進行。
- 如申請專利範圍第19項所述之系統,更包含:一位址儲存元件,其可操作來儲存用於多個用戶的一相關安全設定資料庫與一相關本籍位置暫存器之至少一者的位址資訊,其中該引導指令元件的該處理單元更經組態以與該位址儲存元件共同操作,並且從該位址儲存元件要求與該用戶有關的該本籍位置暫存器與該安全設定資料庫之至少一者的位址資訊。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US11/652,223 US7885640B2 (en) | 2007-01-11 | 2007-01-11 | Authentication in communication networks |
Publications (2)
Publication Number | Publication Date |
---|---|
TW200835279A TW200835279A (en) | 2008-08-16 |
TWI455558B true TWI455558B (zh) | 2014-10-01 |
Family
ID=39608399
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
TW096145764A TWI455558B (zh) | 2007-01-11 | 2007-11-30 | 通訊網路之認證 |
Country Status (8)
Country | Link |
---|---|
US (1) | US7885640B2 (zh) |
EP (1) | EP2103078B1 (zh) |
KR (1) | KR101123346B1 (zh) |
CN (1) | CN101578841B (zh) |
AR (1) | AR064354A1 (zh) |
RU (1) | RU2421931C2 (zh) |
TW (1) | TWI455558B (zh) |
WO (1) | WO2008084135A1 (zh) |
Families Citing this family (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102572833B (zh) * | 2008-04-28 | 2016-08-10 | 华为技术有限公司 | 一种保持用户业务连续性的方法、系统及装置 |
US8181030B2 (en) * | 2008-12-02 | 2012-05-15 | Electronics And Telecommunications Research Institute | Bundle authentication system and method |
US9729529B2 (en) * | 2008-12-31 | 2017-08-08 | Google Technology Holdings LLC | Device and method for providing bootstrapped application authentication |
US8782743B2 (en) * | 2009-11-24 | 2014-07-15 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods and apparatus for use in a generic bootstrapping architecture |
EP2510717B1 (en) * | 2009-12-11 | 2020-03-04 | Nokia Technologies Oy | Smart card security feature profile in home subscriber server |
US8978100B2 (en) * | 2011-03-14 | 2015-03-10 | Verizon Patent And Licensing Inc. | Policy-based authentication |
PT2695410T (pt) * | 2011-04-01 | 2017-05-23 | ERICSSON TELEFON AB L M (publ) | Métodos e aparelhos para evitar danos em ataques de rede |
TW201705779A (zh) | 2011-09-29 | 2017-02-01 | 內數位專利控股公司 | 致礽存取與客籍網路整合之應用方法及裝置 |
US9251315B2 (en) | 2011-12-09 | 2016-02-02 | Verizon Patent And Licensing Inc. | Security key management based on service packaging |
US8776197B2 (en) * | 2011-12-09 | 2014-07-08 | Verizon Patent And Licensing Inc. | Secure enterprise service delivery |
US10708267B2 (en) * | 2017-07-19 | 2020-07-07 | Mediatek Inc. | Method and associated processor for authentication |
CN112672345B (zh) * | 2019-09-30 | 2023-02-10 | 华为技术有限公司 | 通信认证方法和相关设备 |
US20220321605A1 (en) * | 2021-04-01 | 2022-10-06 | Cisco Technology, Inc. | Verifying trust postures of heterogeneous confidential computing clusters |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2006084183A1 (en) * | 2005-02-04 | 2006-08-10 | Qualcomm Incorporated | Secure bootstrapping for wireless communications |
Family Cites Families (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
GB2366938B (en) * | 2000-08-03 | 2004-09-01 | Orange Personal Comm Serv Ltd | Authentication in a mobile communications network |
US7035281B1 (en) * | 2000-09-13 | 2006-04-25 | Wp Media, Inc. | Wireless provisioning device |
US9635540B2 (en) * | 2002-03-25 | 2017-04-25 | Jeffrey D. Mullen | Systems and methods for locating cellular phones and security measures for the same |
KR100506528B1 (ko) * | 2003-08-12 | 2005-08-03 | 삼성전자주식회사 | 전자 서명을 이용한 모바일 기기 제어 시스템 및 방법 |
JP2005122606A (ja) * | 2003-10-20 | 2005-05-12 | Fujitsu Ltd | 情報閲覧装置、情報閲覧システム、及び情報閲覧プログラム |
US7539862B2 (en) | 2004-04-08 | 2009-05-26 | Ipass Inc. | Method and system for verifying and updating the configuration of an access device during authentication |
GB0409496D0 (en) * | 2004-04-28 | 2004-06-02 | Nokia Corp | Subscriber identities |
GB0409704D0 (en) * | 2004-04-30 | 2004-06-02 | Nokia Corp | A method for verifying a first identity and a second identity of an entity |
CN1299537C (zh) * | 2004-06-28 | 2007-02-07 | 华为技术有限公司 | 应用通用鉴权框架对接入拜访网络的用户实现管理的方法 |
US7418253B2 (en) * | 2004-07-19 | 2008-08-26 | Telefonaktiebolaget Lm Ericsson (Publ) | Method, security system control module and policy server for providing security in a packet-switched telecommunications system |
WO2006085207A1 (en) * | 2005-02-11 | 2006-08-17 | Nokia Corporation | Method and apparatus for providing bootstrapping procedures in a communication network |
US7628322B2 (en) * | 2005-03-07 | 2009-12-08 | Nokia Corporation | Methods, system and mobile device capable of enabling credit card personalization using a wireless network |
US20060236116A1 (en) * | 2005-04-18 | 2006-10-19 | Lucent Technologies, Inc. | Provisioning root keys |
US8087069B2 (en) | 2005-06-13 | 2011-12-27 | Nokia Corporation | Method, apparatus and computer program product providing bootstrapping mechanism selection in generic bootstrapping architecture (GBA) |
US20070101122A1 (en) * | 2005-09-23 | 2007-05-03 | Yile Guo | Method and apparatus for securely generating application session keys |
US7840687B2 (en) * | 2007-07-11 | 2010-11-23 | Intel Corporation | Generic bootstrapping protocol (GBP) |
-
2007
- 2007-01-11 US US11/652,223 patent/US7885640B2/en active Active
- 2007-11-30 TW TW096145764A patent/TWI455558B/zh active
- 2007-12-03 KR KR1020097016614A patent/KR101123346B1/ko active IP Right Grant
- 2007-12-03 CN CN2007800495017A patent/CN101578841B/zh active Active
- 2007-12-03 RU RU2009130147/09A patent/RU2421931C2/ru active
- 2007-12-03 WO PCT/FI2007/050653 patent/WO2008084135A1/en active Application Filing
- 2007-12-03 EP EP07848185.0A patent/EP2103078B1/en active Active
- 2007-12-14 AR ARP070105624A patent/AR064354A1/es active IP Right Grant
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2006084183A1 (en) * | 2005-02-04 | 2006-08-10 | Qualcomm Incorporated | Secure bootstrapping for wireless communications |
Non-Patent Citations (1)
Title |
---|
Generic bootstrapping architecture, Generic Authentication Architecture (GAA), Technical Specification Group Services and System Aspects, 3rd Generation Partnership Project (3GPP) (3GPP TS 33.220, V7.6.0 Release 7),Dec. 2006 * |
Also Published As
Publication number | Publication date |
---|---|
CN101578841B (zh) | 2013-04-10 |
EP2103078A1 (en) | 2009-09-23 |
CN101578841A (zh) | 2009-11-11 |
KR20090118924A (ko) | 2009-11-18 |
US7885640B2 (en) | 2011-02-08 |
TW200835279A (en) | 2008-08-16 |
RU2421931C2 (ru) | 2011-06-20 |
KR101123346B1 (ko) | 2012-03-23 |
AR064354A1 (es) | 2009-04-01 |
US20080171534A1 (en) | 2008-07-17 |
EP2103078A4 (en) | 2012-02-22 |
EP2103078B1 (en) | 2017-09-20 |
RU2009130147A (ru) | 2011-02-20 |
WO2008084135A1 (en) | 2008-07-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
TWI455558B (zh) | 通訊網路之認證 | |
US8191124B2 (en) | Systems and methods for acquiring network credentials | |
US8554830B2 (en) | Systems and methods for wireless network selection | |
US8196188B2 (en) | Systems and methods for providing network credentials | |
US20060218396A1 (en) | Method and apparatus for using generic authentication architecture procedures in personal computers | |
JP5276593B2 (ja) | ネットワーク信用証明書を獲得するためのシステムおよび方法 | |
JP5497646B2 (ja) | 無線ネットワーク選択のためのシステム及び方法 | |
WO2018000834A1 (zh) | 一种wifi热点信息修改方法及装置 | |
JP2008506139A (ja) | ユーザ認証及びサービス承認を管理し、シングル・サイン・オンを実現して、複数のネットワーク・インタフェースにアクセスするためのシステム及び方法 | |
CN112219415A (zh) | 在第一网络中使用用于第二旧网络的订户标识模块的用户认证 | |
JP2018517367A (ja) | サービスプロバイダ証明書管理 | |
US8601568B2 (en) | Communication system for authenticating or relaying network access, relaying apparatus, authentication apparatus, and communication method | |
WO2023115913A1 (zh) | 认证方法、系统、电子设备和计算机可读存储介质 | |
JP5466770B2 (ja) | サーバにおけるスマートカード・セキュリティ機能プロファイル | |
JP2013513986A5 (zh) | ||
US11751059B1 (en) | Subscriber identification module (SIM) application authentication | |
CN108370369B (zh) | 使用重定向促进客户端设备和应用服务器之间安全通信的网关、客户端设备和方法 | |
CN110839237B (zh) | 一种待配网设备接入接入点的方法和装置 | |
US20240163273A1 (en) | Pacs modification to incorporate lacs authentication | |
EP3512229B1 (en) | Network access authentication processing method and device |