【技术实现步骤摘要】
【国外来华专利技术】根据35U.S.C.§119的优先权要求本专利申请要求于2010年6月16日提交且被转让给本申请受让人并由此通过援引明确纳入于此的题为“Apparatus and Method for Device Authentication in 3GPP Systems(用于3GPP系统中的设备认证的方法和装置)的美国临时申请No.61/355,423的优先权。背景领域各种特征涉及通信系统,尤其涉及对有线和/或无线通信系统中采用的诸如中继节点和机对机设备之类的设备的认证。背景现代无线网络可包括中继节点和/或接入终端,它们在本文中被统称为设备。为了使此类设备正确地运行,在使该设备进入操作之前,该设备往往被提供/配置有操作和订户安全性凭证。此类订户安全性凭证可例如被用来在提供无线服务或接入之前认证该设备,并且在一些情形中可被存储在不可移除地耦合至其主机设备的模块中。存在着订户安全性凭证可从经认证设备移除并置于未授权设备中的风险。在中继节点的情形中,这可能允许未授权的中继节点暗中访问例如接入节点与一个或多个接入终端之间的传输和/或获得对网络服务的自由访问。在机对机(M2M)设备的情形中也存在此风险或弱点,因为M2M设备中的有效订户凭证(例如,可移除的通用集成电路卡(UICC)中的认证和密钥协定(AKA)参数)可被转移至另一设备以得到自由的网络访问。存在相关的弱点是因为不必对M2M设备本身进行物理访问。对正越过M2M设 ...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】2010.06.16 US 61/355,423;2011.06.15 US 13/161,3361.一种在设备中操作的方法,包括:
与网络实体来执行订户认证;
与所述网络实体来执行对所述设备的设备认证;
生成将所述订户认证与所述设备认证绑定的安全性密钥;以及
使用所述安全性密钥来保护所述设备与服务网络之间的通信。
2.如权利要求1所述的方法,其特征在于,订户认证基于所述设备与所述
网络实体之间的认证密钥协定交换。
3.如权利要求1所述的方法,其特征在于,设备认证基于所述设备与所述
网络实体之间的质询-响应交换。
4.如权利要求1所述的方法,其特征在于,订户认证由作为所述网络实体
的一部分的第一认证服务器执行,并且设备认证由作为所述网络实体的一部分
的第二认证服务器执行。
5.如权利要求1所述的方法,其特征在于,所述设备认证通过以下步骤来
执行:
从所述网络实体接收用所述设备的公钥加密的数据;
使用对应的私钥来解密经加密的数据;以及
随后向所述网络实体证明所述设备具备所述数据的知识。
6.如权利要求1所述的方法,其特征在于,进一步包括:
从所述设备向所述网络实体发送附连请求,所述附连请求包括对所述设备
的设备认证能力的指示。
7.如权利要求1所述的方法,其特征在于,设备认证是由在所述订户认证
\t期间生成的至少一个密钥来保护的。
8.如权利要求1所述的方法,其特征在于,订户认证和设备认证是在经组
合的消息交换中并发执行的。
9.如权利要求1所述的方法,其特征在于,订户认证是在比所述设备认证
早且与之分开的安全性交换中执行的。
10.如权利要求1所述的方法,其特征在于,所述安全性密钥是至少作
为从订户认证获得的第一密钥和从设备认证获得的第二密钥的函数来生成的。
11.如权利要求10所述的方法,其特征在于,所述安全性密钥还是网
络一次性数和设备一次性数的函数。
12.如权利要求1所述的方法,其特征在于,所述设备是对于所述网络
实体而言表现为接入终端并且对于一个或多个接入终端而言表现为网络设备
的中继节点。
13.如权利要求1所述的方法,其特征在于,所述安全性密钥是由所述
设备和所述网络实体分别生成的。
14.如权利要求1所述的方法,其特征在于,进一步包括:
作为服务协定的一部分提供因订户而异的密钥,其中所述因订户而异的密
钥被用于所述订户认证;以及
在制造期间在所述设备中提供因设备而异的密钥,其中所述因设备而异的
密钥被用于所述设备认证。
15.一种设备,包括:
通信接口;以及
耦合至所述通信接口的处理电路,所述处理电路被适配成:
与网络实体来执行订户认证;
与所述网络实体来执行对所述设备的设备认证;
生成将所述订户认证与所述设备认证绑定的安全性密钥;以及
使用所述安全性密钥来保护所述设备与服务网络之间的通信。
16.如权利要求15所述的设备,其特征在于,订户认证基于所述设备
与所述网络实体之间的认证密钥协定交换。
17.如权利要求15所述的设备,其特征在于,设备认证基于所述设备
与所述网络实体之间的质询-响应交换。
18.如权利要求15所述的设备,其特征在于,设备认证通过以下方式
执行:
从所述网络实体接收用所述设备的公钥加密的数据;
使用对应的私钥来解密经加密的数据;以及
随后向所述网络实体证明所述设备具备所述数据的知识。
19.如权利要求15所述的设备,其特征在于,进一步包括:
从所述设备向所述网络实体发送附连请求,所述附连请求包括对所述设备
的设备认证能力的指示。
20.如权利要求15所述的设备,其特征在于,所述设备认证是由在所
述订户认证期间生成的至少一个密钥来保护的。
21.如权利要求15所述的设备,其特征在于,订户认证和设备认证是
在经组合的消息交换中并发执行的。
22.如权利要求15所述的设备,其特征在于,订户认证是在比所述设
\t备认证早且与之分开的安全性交换中执行的。
23.如权利要求15所述的设备,其特征在于,所述安全性密钥是至少
作为从订户认证获得的第一密钥和从设备认证获得的第二密钥的函数来生成
的。
24.如权利要求15所述的设备,其特征在于,所述设备是对于所述网
络实体而言表现为接入终端并且对于一个或多个接入终端而言表现为网络设
备的中继节点。
25.如权利要求15所述的设备,其特征在于,进一步包括:
可移除存储设备,其耦合至所述处理电路并存储用于所述订户认证的因订
户而异的密钥;以及
安全存储设备,其耦合至所述处理电路并存储用于所述设备认证的因设备
而异的密钥。
26.一种设备,包括:
用于与网络实体来执行订户认证的装置;
用于与所述网络实体来执行对所...
【专利技术属性】
技术研发人员:A·E·艾斯科特,A·帕拉尼格朗德,
申请(专利权)人:高通股份有限公司,
类型:
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。