專利名稱:用于在通信系統(tǒng)中將訂戶認證與設(shè)備認證綁定的方法和裝置的制作方法
用于在通信系統(tǒng)中將訂戶認證與設(shè)備認證綁定的方法和裝根據(jù)35U. S. C. § 119的優(yōu)先權(quán)要求本專利申請要求于2010年6月16日提交且被轉(zhuǎn)讓給本申請受讓人并由此通過援引明確納入于此的題為 “Apparatus and Method for Device Authentication in 3GPPSystems (用于3GPP系統(tǒng)中的設(shè)備認證的方法和裝置)的美國臨時申請No. 61/355�����,423的優(yōu)先權(quán)�����。背景領(lǐng)域各種特征涉及通信系統(tǒng)���,尤其涉及對有線和/或無線通信系統(tǒng)中采用的諸如中繼節(jié)點和機對機設(shè)備之類的設(shè)備的認證���。背景現(xiàn)代無線網(wǎng)絡(luò)可包括中繼節(jié)點和/或接入終端,它們在本文中被統(tǒng)稱為設(shè)備�����。為了使此類設(shè)備正確地運行�����,在使該設(shè)備進入操作之前�,該設(shè)備往往被提供/配置有操作和訂戶安全性憑證。此類訂戶安全性憑證可例如被用來在提供無線服務或接入之前認證該設(shè)備,并且在一些情形中可被存儲在不可移除地耦合至其主機設(shè)備的模塊中�����。存在著訂戶安全性憑證可從經(jīng)認證設(shè)備移除并置于未授權(quán)設(shè)備中的風險����。在中繼節(jié)點的情形中,這可能允許未授權(quán)的中繼節(jié)點暗中訪問例如接入節(jié)點與一個或多個接入終端之間的傳輸和/或獲得對網(wǎng)絡(luò)服務的自由訪問�。在機對機(M2M)設(shè)備的情形中也存在此風險或弱點,因為M2M設(shè)備中的有效訂戶憑證(例如�����,可移除的通用集成電路卡(UICC)中的認證和密鑰協(xié)定(AKA)參數(shù))可被轉(zhuǎn)移至另一設(shè)備以得到自由的網(wǎng)絡(luò)訪問�。存在相關(guān)的弱點是因為不必對M2M設(shè)備本身進行物理訪問�����。對正越過M2M設(shè)備接口(例如��,主機設(shè)備至nCC接口)的數(shù)據(jù)(例如�����,從認證得到的安全性密鑰)的訪問足以獲得對安全性密鑰的訪問并曝露由所述密鑰保護的數(shù)據(jù)��。在運營商希望控制哪些設(shè)備被允許接入其網(wǎng)絡(luò)的情況下也存在類似的問題。因此����,需要為設(shè)備提供附加的安全性以解決這些以及其他弱點和風險。概述提供了用于通過將訂戶認證與設(shè)備認證綁定以生成安全性密鑰的方式來保護設(shè)備的方法和裝置�����。根據(jù)第一方面��,提供一種在設(shè)備中操作的用于將訂戶與設(shè)備認證綁定的方法����。該設(shè)備一開始可向網(wǎng)絡(luò)實體發(fā)送附連請求,該附連請求包括對該設(shè)備的設(shè)備認證能力的指示��。訂戶認證可由該設(shè)備與網(wǎng)絡(luò)實體執(zhí)行�。例如,訂戶認證可基于該設(shè)備與該網(wǎng)絡(luò)實體之間的認證密鑰協(xié)定交換��。該設(shè)備還可與該網(wǎng)絡(luò)實體執(zhí)行設(shè)備認證���。例如��,設(shè)備認證可基于該設(shè)備與該網(wǎng)絡(luò)實體之間的質(zhì)詢-響應交換����。隨后,可以生成將訂戶認證與設(shè)備認證綁定的安全性密鑰�����。該安全性密鑰可至少作為從訂戶認證獲得的第一密鑰和從設(shè)備認證獲得的第二密鑰的函數(shù)來生成����。附加地,該安全性密鑰還可以是網(wǎng)絡(luò)一次性數(shù)和設(shè)備一次性數(shù)的函數(shù)�����。隨后����,可以使用該安全性密鑰來保護該設(shè)備與服務網(wǎng)絡(luò)之間的通信���。注意���,該安全性密鑰可以由該設(shè)備和該網(wǎng)絡(luò)實體分別生成,所以該安全性密鑰不越空傳送。根據(jù)一個實現(xiàn)��,訂戶認證可以由作為網(wǎng)絡(luò)實體的一部分的第一認證服務器執(zhí)行��,而設(shè)備認證可以由作為網(wǎng)絡(luò)實體的一部分的第二認證服務器執(zhí)行�。在一個示例中,可以通過使用共享的機密密鑰來加密/解密該設(shè)備與網(wǎng)絡(luò)實體之間的某些交換的方式來執(zhí)行設(shè)備認證����。在另一個示例中,可通過如下方式來執(zhí)行設(shè)備認證(a)從網(wǎng)絡(luò)實體接收用該設(shè)備的公鑰加密的數(shù)據(jù)��;(b)使用對應的私鑰來解密該經(jīng)加密數(shù)據(jù)�����;和/或(C)隨后向該網(wǎng)絡(luò)實體證明該設(shè)備具備該數(shù)據(jù)的知識����。根據(jù)一個方面,可以由在訂戶認證期間生成的至少一個密鑰來保護設(shè)備認證�。在各種實現(xiàn)中,可以在組合的消息交換中并發(fā)地執(zhí)行訂戶認證和設(shè)備認證��,或者 可以在比設(shè)備認證早且與之分開的安全性交換中執(zhí)行訂戶認證�。根據(jù)一個特征���,可以在該設(shè)備上作為服務協(xié)定的一部分提供因訂戶而異的密鑰,其中該因訂戶而異的密鑰被用于訂戶認證�����。類似地�,可以在制造期間在該設(shè)備中提供因設(shè)備而異的密鑰,其中該因設(shè)備而異的密鑰被用于設(shè)備認證����。在一個實現(xiàn)中,設(shè)備可以是對于網(wǎng)絡(luò)實體而言表現(xiàn)為接入終端而對于一個或多個接入終端而言表現(xiàn)為網(wǎng)絡(luò)設(shè)備的中繼節(jié)點�����。在另一個實現(xiàn)中��,該設(shè)備可以是接入終端����。根據(jù)一個示例�����,該設(shè)備可包括耦合至處理電路的通信接口。該處理電路可被適配成(a)與網(wǎng)絡(luò)實體執(zhí)行訂戶認證�����;(b)與該網(wǎng)絡(luò)實體執(zhí)行對該設(shè)備的設(shè)備認證�;(C)生成將訂戶認證與設(shè)備認證綁定的安全性密鑰;和/或(d)使用該安全性密鑰來保護該設(shè)備與服務網(wǎng)絡(luò)之間的通信�����。根據(jù)又一示例����,可以提供包括在設(shè)備上操作的指令的處理器可讀介質(zhì)。當由處理器執(zhí)行時��,這些指令可使該處理器(a)與網(wǎng)絡(luò)實體執(zhí)行訂戶認證�;(b)與該網(wǎng)絡(luò)實體執(zhí)行對該設(shè)備的設(shè)備認證;(C)生成將訂戶認證與設(shè)備認證綁定的安全性密鑰�����;和/或(d)使用該安全性密鑰來保護該設(shè)備與服務網(wǎng)絡(luò)之間的通信�。根據(jù)另一方面,提供在網(wǎng)絡(luò)實體中操作的方法�����。該網(wǎng)絡(luò)實體可從設(shè)備接收附連請求,該附連請求包括對該設(shè)備的設(shè)備認證能力的指示��。該網(wǎng)絡(luò)實體可與設(shè)備執(zhí)行訂戶認證����。類似地,該網(wǎng)絡(luò)實體可執(zhí)行對該設(shè)備的設(shè)備認證�。隨后,可由該網(wǎng)絡(luò)實體生成將訂戶認證與設(shè)備認證綁定的安全性密鑰��。隨后���,可以使用該安全性密鑰來保護該網(wǎng)絡(luò)實體與該設(shè)備之間的通信�����。注意���,為了防止該安全性密鑰的越空傳輸,該安全性密鑰可由該設(shè)備和該網(wǎng)絡(luò)實體分別生成����。在一個示例中,訂戶認證可基于網(wǎng)絡(luò)實體與設(shè)備之間的認證密鑰協(xié)定交換��。設(shè)備認證可基于網(wǎng)絡(luò)實體與設(shè)備之間的質(zhì)詢-響應交換�。在一個實現(xiàn)中,設(shè)備認證可包括(a)從設(shè)備接收證書���;以及(b)驗證與該設(shè)備相關(guān)聯(lián)的該證書尚未被撤銷�。在一個實現(xiàn)中�����,為了防止設(shè)備認證過程期間的窺探��,可以由在較早的訂戶認證期間生成的至少一個密鑰來保護設(shè)備認證����。根據(jù)各種示例,可以在組合的消息交換中并發(fā)地執(zhí)行訂戶認證和設(shè)備認證�����,或者可以在比設(shè)備認證早且與之分開的安全性交換中執(zhí)行認證����。在另一示例中����,安全性密鑰可至少作為從訂戶認證獲得的第一密鑰和從設(shè)備認證獲得的第二密鑰的函數(shù)來生成����。在一個實現(xiàn)中,網(wǎng)絡(luò)實體可作為服務協(xié)定的一部分獲得因訂戶而異的密鑰���,該因訂戶而異的密鑰被用于訂戶認證���。類似地,網(wǎng)絡(luò)實體可獲得該設(shè)備的因設(shè)備而異的密鑰���,該因設(shè)備而異的密鑰被用于設(shè)備認證�。在一個實現(xiàn)中����,網(wǎng)絡(luò)實體可包括耦合至處理電路的通信接口。該處理電路可被適配成(a)與設(shè)備執(zhí)行訂戶認證���;(b)執(zhí)行對該設(shè)備的設(shè)備認證��;(C)生成將訂戶認證與設(shè)備認證綁定的安全性密鑰���;和/或(d)使用該安全性密鑰來保護該網(wǎng)絡(luò)實體與該設(shè)備之間的通信。在一個實現(xiàn)中����,提供一種包括在網(wǎng)絡(luò)實體上操作的指令的處理器可讀介質(zhì)。當由處理器執(zhí)行時����,這些指令可使該處理器(a)與設(shè)備執(zhí)行訂戶認證;(b)執(zhí)行對該設(shè)備的設(shè)備認證����;(C)生成將訂戶認證與設(shè)備認證綁定的安全性密鑰;和/或(d)使用該安全性密鑰來保護該網(wǎng)絡(luò)實體與該設(shè)備之間的通信�。 附圖簡述圖I是解說在其中各種類型的無線設(shè)備可由核心網(wǎng)認證以獲得服務的無線通信系統(tǒng)的框圖。圖2解說用于將設(shè)備認證與訂戶認證綁定的一般性辦法����。圖3 (包括圖3A和圖3B)解說如何可以修改基于訂戶認證的密鑰階級以添加設(shè)備認證的示例。圖4解說可在分組交換網(wǎng)絡(luò)內(nèi)工作的設(shè)備中實現(xiàn)的示例性協(xié)議棧��。圖5是解說在其中可生成圖3和圖4中解說的各種認證和/或安全性密鑰的網(wǎng)絡(luò)系統(tǒng)的框圖��。圖6是解說可被適配成將訂戶認證與設(shè)備認證綁定的無線設(shè)備的組件選集的框圖。圖7是解說在無線設(shè)備中操作以用于生成將訂戶認證與設(shè)備認證綁定的安全性密鑰的方法的示例的流程圖�����。圖8是解說可被適配成將訂戶認證與設(shè)備認證綁定的網(wǎng)絡(luò)實體的組件選集的框圖��。圖9是解說在網(wǎng)絡(luò)實體中操作以用于生成將訂戶認證與設(shè)備認證綁定的安全性密鑰的方法的示例的流程圖��。
圖10解說用于通過將訂戶與設(shè)備認證綁定來生成安全性密鑰的第一示例性方法���。圖11解說用于通過將訂戶與設(shè)備認證綁定來生成安全性密鑰的第二示例性方法�。圖12解說用于通過將訂戶與設(shè)備認證綁定來生成安全性密鑰的第三示例性方法��。詳細描述在以下描述中�,給出了具體細節(jié)以提供對所描述的實現(xiàn)的透徹理解。然而���,本領(lǐng)域普通技術(shù)人員將理解����,沒有這些具體細節(jié)也可實踐各種實現(xiàn)����。例如,電路可能以框圖形式示出,以免使這些實現(xiàn)湮沒在不必要的細節(jié)中�����。在其他實例中����,公知的電路�����、結(jié)構(gòu)和技術(shù)可能被詳細示出以免湮沒所描述的實現(xiàn)���。措辭“示例性”在本文中用于表示“用作示例��、實例或解說”���。本文中描述為“示例性”的任何實現(xiàn)或?qū)嵤├槐乇唤忉尀閮?yōu)于或勝過其他實施例或?qū)崿F(xiàn)。同樣�,術(shù)語“實施例”并不要求所有實施例都包括所討論的特征、優(yōu)點�、或工作模式。綜述提供在設(shè)備(例如����,客戶端設(shè)備或接入終端)與網(wǎng)絡(luò)實體之間的認證方法���。可移除的存儲設(shè)備可耦合至該設(shè)備并存儲可被用于訂戶認證的因訂戶而 異的密鑰�����。安全的存儲設(shè)備可耦合至該設(shè)備并存儲被用于設(shè)備認證的因設(shè)備而異的密鑰����。訂戶認證可以在該設(shè)備與網(wǎng)絡(luò)實體之間執(zhí)行。還可以與該網(wǎng)絡(luò)實體執(zhí)行對該設(shè)備的設(shè)備認證��。隨后��,可以生成將訂戶認證與設(shè)備認證綁定的安全性密鑰����。即,來自訂戶認證過程的密鑰�、數(shù)據(jù)、和/信息和來自設(shè)備認證過程的密鑰�����、數(shù)據(jù)、和/或信息可被組合以生成(復合)安全性密鑰���?��?梢允褂迷摪踩悦荑€來保護該設(shè)備與服務網(wǎng)絡(luò)之間的通信。示例性網(wǎng)絡(luò)環(huán)境圖I是解說在其中各種類型的無線設(shè)備可由核心網(wǎng)認證以獲得服務的無線通信系統(tǒng)的框圖���。此無線通信系統(tǒng)可以例如是通用移動電信系統(tǒng)(UMTS)順應性網(wǎng)絡(luò)或兼容網(wǎng)絡(luò)�����、或全球移動通信系統(tǒng)(GSM)兼容網(wǎng)絡(luò)、或全球移動通信系統(tǒng)(GSM)兼容網(wǎng)絡(luò)�。雖然本文中所描述的示例中的一些示例可能涉及長期演進(LTE)網(wǎng)絡(luò),但是本文中所描述的各種特征也可在其他網(wǎng)絡(luò)中實現(xiàn)��。該系統(tǒng)可包括與接入節(jié)點106通信的諸如接入終端103/104和中繼節(jié)點102之類的一個或多個設(shè)備101����。中繼節(jié)點102可促成無線通信網(wǎng)絡(luò)106/108與一個或多個接入終端104之間的無線傳輸。無線通信系統(tǒng)(例如��,長期演進(LTE)網(wǎng)絡(luò)��,高級LTE網(wǎng)絡(luò)等)可包括核心網(wǎng)108和一個或多個接入節(jié)點106。接入節(jié)點106可經(jīng)由回程鏈路(例如�,有線連接)耦合至核心網(wǎng)108。核心網(wǎng)108可以包括例如移動管理實體(MME) 110�、歸屬訂戶服務器(HSS) 112、和/或其他組件�����。在一個示例中�����,移動管理實體(MME) 110可參與對設(shè)備101���、中繼節(jié)點102和/或接入終端103/104 (下文中普遍稱為“設(shè)備”)的承載激活/停用并通過與歸屬訂戶服務器(HSS) 112交互來輔助認證���。MME 110還可生成臨時身份和/或向設(shè)備(例如,設(shè)備101��、中繼節(jié)點102����、接入終端103/104等)分配這些臨時身份。MME 110可檢查對設(shè)備宿營于服務供應商的公眾陸地移動網(wǎng)絡(luò)(PLMN)(例如����,從該PLMN獲得服務���,連接至該PLMN,建立與該PLMN的通信鏈路)的授權(quán)并可強制實施對該設(shè)備的漫游約束���。MME 110可以是網(wǎng)絡(luò)中用于對非接入階層(NAS)信令進行密碼化/完好性保護并處置安全性密鑰管理的終接點��。MME110還可對耦合至核心網(wǎng)108的設(shè)備執(zhí)行跟蹤和/或?qū)ず粢?guī)程(包括重傳)��。歸屬訂戶服務器(HSS) 112是支持實際處置設(shè)備的網(wǎng)絡(luò)實體的主訂戶數(shù)據(jù)庫�����。該HSS可包含與訂閱有關(guān)的信息(訂戶概況)�����,幫助執(zhí)行對訂閱的認證和授權(quán),并可提供關(guān)于訂戶位置的信息�。該HSS類似于GSM歸屬位置注冊器(HLR)和認證中心(AuC)。歸屬位置注冊器(HLR)可以是包含被授權(quán)使用核心網(wǎng)的每個訂戶的詳情的數(shù)據(jù)庫���。HLR可輔助AuC認證訂戶(即�,使用用戶終端)。中繼節(jié)點102可被適配成在接入終端104與接入節(jié)點106之間放大和/或轉(zhuǎn)發(fā)信號���。一般而言��,中繼節(jié)點102可以對于接入終端104而言表現(xiàn)為接入節(jié)點(AN)并可對于接入節(jié)點106而言表現(xiàn)為接入終端(AT)���。例如,中繼節(jié)點102可包括藉以與接入節(jié)點106通信的接入終端接口 105����,并還可包括藉以與接入終端104通信的接入節(jié)點接口 107。S卩�,接入終端接口 105可使中繼節(jié)點對于接入節(jié)點106而言表現(xiàn)為接入終端。類似地���,接入節(jié)點接口 107可使中繼節(jié)點102對于接入終端104而言表現(xiàn)為接入節(jié)點����。在一些實現(xiàn)中�����,中繼節(jié)點102可將接入終端接口 105與接入節(jié)點接口 107之間的信號從第一格式轉(zhuǎn)換成第二格式���。中繼節(jié)點102可置于蜂窩小區(qū)的邊緣附近�,以使得接入終端104能與中繼節(jié)點102通信而不是直接與接入節(jié)點106通信。在無線電系統(tǒng)中�����,蜂窩小區(qū)是接收和發(fā)射覆蓋的地理區(qū)域��。蜂窩小區(qū)可彼此交疊����。在典型示例中,與每個蜂窩小區(qū)有一個相關(guān)聯(lián)的接入節(jié)點�����。蜂窩小區(qū)的大小是由諸如頻帶��、功率電平和信道狀況之類的因素決定的���。諸如中繼節(jié)點102之類的中繼節(jié)點可被用于增強蜂窩小區(qū)內(nèi)或蜂窩小區(qū)附近的覆蓋,或擴展蜂窩小區(qū)的覆蓋大小���。附加地�����,中繼節(jié)點102的使用能夠增強蜂窩小區(qū)內(nèi)的信號的吞吐量�,因為接入終端104能以比接入終端104在與該蜂窩小區(qū)的接入節(jié)點106直接通信時所可使用的數(shù)據(jù)率或者發(fā)射功率更高的數(shù)據(jù)率或者更低的發(fā)射功率來訪問中繼節(jié)點102。較高數(shù)據(jù)率下的傳輸創(chuàng)生較高的頻譜效率����,并且較低的功率例如通過消耗較少的電池功率來使接入終端104受益。在一些示例中���,中繼節(jié)點102可被實現(xiàn)為三種中繼類型之一第I層中繼節(jié)點���、第2層中繼節(jié)點、和/或第3層中繼節(jié)點�����。第I層中繼節(jié)點實質(zhì)上是能在除了放大和略微延遲之外不作任何修改的情況下重傳傳輸?shù)闹欣^器�����。第2層中繼節(jié)點可解碼其接收的傳輸�,重新編碼該解碼的結(jié)果,并隨后傳送經(jīng)重新編碼的數(shù)據(jù)。第3層中繼節(jié)點可具有全無線電資源控制能力并因此能以類似于接入節(jié)點的方式起作用����。由中繼節(jié)點使用的無線電資源控制協(xié)議可以與由接入節(jié)點使用的那些無線電資源控制協(xié)議相同,并且中繼節(jié)點可具有典型情況下由接入節(jié)點使用的唯一性蜂窩小區(qū)身份��。為了本公開的目的�����,中繼節(jié)點102因以下·事實而區(qū)別于接入節(jié)點106 :中繼節(jié)點102可依賴至少一個接入節(jié)點106 (和與該接入節(jié)點相關(guān)聯(lián)的蜂窩小區(qū))或其他接入節(jié)點的存在來訪問電信系統(tǒng)(例如��,網(wǎng)絡(luò)108)中的其他組件���。即�,中繼節(jié)點102可以對于網(wǎng)絡(luò)而言表現(xiàn)為訂戶設(shè)備�����、客戶端設(shè)備���、或接入終端�,因此中繼節(jié)點102連接至接入節(jié)點以在網(wǎng)絡(luò)108上通信����。然而,對于其他訂戶設(shè)備�����、用戶設(shè)備��、和/或接入終端104而言�����,中繼節(jié)點102可以表現(xiàn)為網(wǎng)絡(luò)設(shè)備(例如�,接入節(jié)點)。因此��,中繼節(jié)點102可實現(xiàn)一個或多個通信接口以與接入節(jié)點和/或一個或多個接入/訂戶/用戶終端通信���。在一個示例中��,相同的發(fā)射機/接收機(例如���,在一個或多個無線信道中)可由中繼節(jié)點102用來與其接入節(jié)點和/或一個或多個接入終端通信。在另一示例中����,中繼節(jié)點102可利用兩個或更多個不同的發(fā)射機/接收機來與接入節(jié)點和/或該一個或多個接入終端通信�。為了減輕對接入網(wǎng)服務的訂閱的濫用����,這些設(shè)備可將設(shè)備認證與訂戶認證綁定。設(shè)備認證可協(xié)同例如基于存儲在可移除地耦合至該設(shè)備的通用集成電路卡(UICC) 109���、111��、113和116或通用訂戶標識模塊(例如��,USM)中的憑證(諸如訂戶根密鑰K)的標準3GPPAKA (認證和密鑰協(xié)定)接入認證來工作�����。在一些實施例中��,可以在被用于AKA認證的相同的非接入階層(NAS)消息中執(zhí)行設(shè)備認證��。以此方式�����,該設(shè)備(例如���,中繼節(jié)點102���、接入終端103/104等)可被綁定至自己的訂閱(B卩��,向核心網(wǎng)108的服務訂閱)以便防止他人在未授權(quán)設(shè)備中使用其訂戶憑證(即��,用于訂閱服務的訂戶憑證)��。
一種針對訂戶憑證的未授權(quán)使用的風險的解決方案在于���,由該設(shè)備(例如��,設(shè)備101�、中繼節(jié)點102或接入終端103/104)和WCC 109彼此相互認證(例如�,使用主機設(shè)備與nCC之間的安全信道),但這會要求向nCC 109�����、111�、113和116和/或主機設(shè)備(例如,設(shè)備101���、中繼節(jié)點102或接入終端103/104)預先提供用以執(zhí)行此類相互認證的信息����。另一解決方案可以是要求用于網(wǎng)絡(luò)接入的密鑰(例如,被用來保護該設(shè)備與網(wǎng)絡(luò)之間的話務的密鑰)取決于存儲在ncc 109�����、111����、113和116上的憑證以及存儲在該設(shè)備(例如,設(shè)備101�、中繼節(jié)點102或接入終端103/104)上的憑證兩者。這可通過以某種方式將AKA認證密鑰與設(shè)備認證綁定的方式達成���。這種解決方案在國際移動裝備身份(IMEI)認證(該認證例如可允許運營商阻止未授權(quán)設(shè)備附連至其網(wǎng)絡(luò))的情形中也是有用的�����。這是因為���,通過將從AKA認證得到的用于網(wǎng)絡(luò)接入的密鑰與用于設(shè)備認證的密鑰綁定,就確保了源自該設(shè)備去往網(wǎng)絡(luò)108的所有消息確實源自此經(jīng)認證的設(shè)備�。在假定被綁定的密鑰(和所有其他從被綁定的密鑰推導出來的后續(xù)密鑰)被安全地存儲在該設(shè)備(例如�����,設(shè)備101�、中繼節(jié)點102�����、或接入終端103/104)上的情況下�,將來自AKA認證的密鑰與設(shè)備認證綁定便提供比單獨將基于質(zhì)詢/響應的機制用于設(shè)備認證的方式更強的安全性�����。單獨將質(zhì)詢/響應 機制用于設(shè)備認證僅證明該設(shè)備曾在場以生成認證響應�����,但不能證明該設(shè)備在后續(xù)時間仍然在場�。圖2解說用于將設(shè)備認證與訂戶認證綁定的一般性辦法??蔀樵O(shè)備202 (例如,設(shè)備101����、中繼節(jié)點102或接入終端103/104)提供訂戶根密鑰206和/或訂戶身份207���,該訂戶根密鑰206和/或訂戶身份207可被用來認證向核心網(wǎng)108的訂閱和/或生成被用來訪問發(fā)送給設(shè)備202的經(jīng)加密話務的安全性密鑰。訂戶根密鑰206可以唯一性地與訂戶身份207相關(guān)聯(lián)����。在一個示例中,訂戶根密鑰206和/或訂戶身份207可被存儲在WCC 204中�����,和/或訂戶認證可由nCC 204來處理�����。類似地�,可為設(shè)備202提供(或其可存儲)可被用來與核心網(wǎng)108認證該設(shè)備的設(shè)備根密鑰208和/或設(shè)備身份209。設(shè)備根密鑰208可以唯一性地與設(shè)備身份209相關(guān)聯(lián)�����。在一個示例中��,設(shè)備身份209可以是設(shè)備202 (例如�����,設(shè)備101、中繼節(jié)點102或接入終端103/104)的國際移動裝備身份(IMEI)�,但是其他形式的與該設(shè)備相關(guān)聯(lián)的身份(例如,諸如EUI-48或EUI-64之類的IEEE硬件地址)也可被使用�。在一些實現(xiàn)中,設(shè)備根密鑰208可以是由設(shè)備202僅與核心網(wǎng)108共享但不越空傳送的機密密鑰�。設(shè)備身份209可由設(shè)備202向核心網(wǎng)108傳送,以使得核心網(wǎng)108能夠獲得在設(shè)備認證中使用的正確的設(shè)備根密鑰��。替換地��,設(shè)備根密鑰208可以是公鑰/私鑰對中的公鑰����,其中諸證書被用于設(shè)備認證����。例如,設(shè)備可從網(wǎng)絡(luò)接收一些數(shù)據(jù)�,其中這些數(shù)據(jù)是用公鑰來加密的。設(shè)備可隨后使用自己的私鑰來解密經(jīng)加密數(shù)據(jù)并隨后向網(wǎng)絡(luò)證明它知道該數(shù)據(jù)��。證書(例如�����,設(shè)備憑證)可由核心網(wǎng)108來驗證。設(shè)備202的相關(guān)聯(lián)的私鑰可被安全地存儲在設(shè)備202中����。設(shè)備憑證可以指代設(shè)備證書或指向設(shè)備證書的指針。這些設(shè)備憑證可允許有關(guān)的網(wǎng)絡(luò)實體形成設(shè)備質(zhì)詢并檢查設(shè)備202的撤銷狀態(tài)(例如����,檢查與設(shè)備相關(guān)聯(lián)的諸如私鑰或共享密鑰之類的憑證是否泄密)。進一步假定��,設(shè)備的安全部分(諸如在3GPP技術(shù)規(guī)范33. 320中定義的受信任環(huán)境或即TrE)存儲諸如設(shè)備根密鑰和/或與證書相關(guān)聯(lián)的私鑰之類的敏感的設(shè)備密鑰���。另外�,假定����,TrE執(zhí)行利用這些密鑰的所有密碼術(shù)操作。
最初����,訂戶認證可在設(shè)備202與網(wǎng)絡(luò)108之間進行。例如��,設(shè)備202與網(wǎng)絡(luò)108之間的認證和密鑰協(xié)定(AKA)交換210可導致建立密鑰K_ASME。此類AKA交換210可例如基于訂戶根密鑰206和/或訂戶身份207以認證與設(shè)備202相關(guān)聯(lián)的訂戶���。例如��,此類訂閱信息或憑證可安全地存儲在可移除地耦合至主機設(shè)備202的nCC 204中����。網(wǎng)絡(luò)108還可對設(shè)備202執(zhí)行設(shè)備認證���。設(shè)備身份209可由設(shè)備202提供給核心網(wǎng)108���,以使得核心網(wǎng)108可查找或獲得正確的對應設(shè)備根密鑰 208。網(wǎng)絡(luò)108可創(chuàng)建設(shè)備質(zhì)詢212并向設(shè)備202發(fā)送該設(shè)備質(zhì)詢212 (例如�,作為有關(guān)的NAS消息的一部分)。作為響應���,設(shè)備202計算設(shè)備響應214 (例如,基于設(shè)備質(zhì)詢和設(shè)備根密鑰208或其衍生物)并向網(wǎng)絡(luò)108返回該設(shè)備響應214�����。設(shè)備202可使用設(shè)備質(zhì)詢和設(shè)備響應中的數(shù)據(jù)來演算復合安全性密鑰K_ASME_D 216����。注意��,在設(shè)備202的情形中��,可以要么在設(shè)備響應214被發(fā)送之前要么在設(shè)備響應214被發(fā)送之后生成復合安全性密鑰K_ASME_D 216�。在一個示例中�����,復合安全性密鑰K_ASME_D可以是在3GPP技術(shù)規(guī)范33. 401中定義的演進型通用地面無線電接入網(wǎng)E-UTRAN (E-UTRAN)中定義的安全性密鑰K_ASME的等效密鑰����,區(qū)別僅在于該密鑰K_ASME_D被綁定至設(shè)備身份209還綁定至從AKA認證得到的諸如K_ASME密鑰之類的密鑰。如果網(wǎng)絡(luò)108接收到有效的設(shè)備響應���,則網(wǎng)絡(luò)108還演算復合安全性密鑰K_ASME_D218���。設(shè)備質(zhì)詢212、設(shè)備響應214和復合安全性密鑰K_ASME_D的演算可如下進行�。設(shè)備質(zhì)詢212可被演算為設(shè)備質(zhì)詢=eKSI,[E_設(shè)備根密鑰(設(shè)備臨時密鑰)�,網(wǎng)絡(luò)一次性數(shù)],其中eKSI是將與K_ASME_D相關(guān)聯(lián)的演進/擴展密鑰集標識符����,[..]表示可任選的參數(shù)����,E_k (數(shù)據(jù))表示用密鑰k加密的數(shù)據(jù)�����,并且網(wǎng)絡(luò)一次性數(shù)是由網(wǎng)絡(luò)選擇的合適大小的隨機數(shù)(例如�����,128位)�。加密算法可以是非對稱的(在設(shè)備根密鑰是與設(shè)備證書相關(guān)聯(lián)的公鑰的情形中)或者是對稱的(在設(shè)備根密鑰是共享密鑰的情形中)。設(shè)備臨時密鑰可以是作為設(shè)備認證的一部分獲得或生成的密鑰���。在一個示例中���,設(shè)備臨時密鑰可由網(wǎng)絡(luò)108(例如,隨機地)選擇�,以經(jīng)加密的形式發(fā)送給設(shè)備202,并具有恰適的長度(例如�,256位或128位值)�。設(shè)備202和網(wǎng)絡(luò)108兩者可為了優(yōu)化目的而在網(wǎng)絡(luò)接入之間保持設(shè)備臨時密鑰。如果不是這種情形,那么設(shè)備質(zhì)詢212中的第二個參數(shù)([E設(shè)備根密鑰(設(shè)備臨時密鑰)])就不是可任選的�。設(shè)備響應214可被演算為設(shè)備響應=設(shè)備一次性數(shù),設(shè)備_res����。其中設(shè)備一次性數(shù)是由設(shè)備選擇的合適大小的隨機數(shù)(例如,128位)�����,并且設(shè)備_res=KDF(設(shè)備臨時密鑰�,網(wǎng)絡(luò)一次性數(shù),設(shè)備一次性數(shù))其中KDF是適于生成響應設(shè)備_res的密碼術(shù)函數(shù)����。在先前已獲得認證密鑰K_ASME (例如,作為AKA交換210的一部分)的情況下���,復合安全性密鑰K_ASME_D 216和218的演算(即�����,將設(shè)備認證與訂戶認證綁定)可如下進行K_ASME_D=KDF (設(shè)備臨時密鑰����,K_ASME,網(wǎng)絡(luò)一次性數(shù),設(shè)備一次性數(shù))其中K_ASME可以是在設(shè)備與網(wǎng)絡(luò)之間的訂戶認證期間獲得的密鑰或值(作為AKA認證交換210的結(jié)果)���。在一個示例中�����,K_ASME密鑰可以是先前在設(shè)備202與網(wǎng)絡(luò)108之間生成和/或使用的密鑰����。替換地�����,如果設(shè)備認證過程212和214是正使用與用于AKA規(guī)程210的NAS消息相同的NAS消息來執(zhí)行的���,那么K_ASME密鑰可被重新或并發(fā)地生成�。類似地�,設(shè)備臨時密鑰可以是在設(shè)備202與網(wǎng)絡(luò)108之間的設(shè)備認證期間獲得的密鑰或值。復合安全性密鑰可隨后被用作用于演算附加的安全性密鑰217和219的基礎(chǔ)和/或根��。這些附加的安全性密鑰可用于保護例如NAS級和/或AS級通信��。與安全性參數(shù)相關(guān)聯(lián)的復合安全性密鑰K_ASME_D和從K_ASME_D推導出來的所有密鑰可被安全地保持在設(shè)備202上并且不被存儲在nCC 204上��。復合安全性密鑰K_ASME_D可隨后被用來保護設(shè)備202與核心網(wǎng)108之間交換的消息220。圖3 (包括圖3A和圖3B)解說可以如何將基于訂戶認證的密鑰階級修改成還包括設(shè)備認證的示例���。密鑰階級可被實現(xiàn)成建立在設(shè)備與網(wǎng)絡(luò)之間的通信的加密/解密中使用的安全性參數(shù)(例如,安全性密鑰)���。在此示例中�,可以在設(shè)備322與網(wǎng)絡(luò)實體324之間執(zhí)行 訂戶和設(shè)備認證�����。設(shè)備322可以例如是接入終端(AT)���、用戶裝備(UE)�、移動電話�、和/或中繼節(jié)點。網(wǎng)絡(luò)實體324可以是諸如移動性管理實體(MME)和/或歸屬訂戶服務器(HSS)之類的一個或多個網(wǎng)絡(luò)設(shè)備��。此示例解說如何修改基于訂戶認證的第一密鑰階級300以獲得基于訂戶認證和設(shè)備認證兩者的第二密鑰階級300’�。為了如在第一密鑰階級300中解說的訂戶認證的目的,通用集成電路卡(設(shè)備322中的ncc)�����、和網(wǎng)絡(luò)實體324 (例如,圖I中的MME 110����、HSS 112、或是其他網(wǎng)絡(luò)實體)可使用主密鑰K 302來生成密碼密鑰(CK)304和完好性密鑰(IK)306���。密碼密鑰(CK)304和完好性密鑰(IK)306可隨后由設(shè)備322和網(wǎng)絡(luò)實體324用作認證和密鑰協(xié)定(AKA)交換的一部分以生成接入安全性管理實體密308 (在本文中亦被稱為訂戶認證密鑰)��。設(shè)備202的安全性激活可通過認證和密鑰協(xié)定規(guī)程(ΑΚΑ)�、非接入階層(NAS)安全性模式配置(NAS SMC)規(guī)程和接入階層(AS)安全性模式配置(AS SMC)規(guī)程來達成��。在此示例中����,訂戶認證可包括結(jié)果得到K_ASME 308的AKA交換326。AKA交換236可包括訂戶認證請求340和訂戶認證響應342����。在此示例中,生成K_ASME密鑰308的訂戶認證過程還可生成相關(guān)聯(lián)的NAS級密鑰(例如����,K_NAS-enc 305和K_NAS_int 311)和/或AS 級密鑰(例如,K_UP-enc 315、K_RRC_enc 317���、和 K_RRC_int 319)�。注意���,在一些實現(xiàn)中,如果不使用這些版本的NAS級密鑰和AS級密鑰�����,那么這些密鑰的生成可以是在訂戶認證期間已先期進行了的�����。第二密鑰階級300’解說設(shè)備認證可如何綁定至訂戶認證以生成NAS級和AS級安全性密鑰��。與訂戶認證(以及生成其對應的K_ASME密鑰308)并發(fā)地����,在其之前或之后,可以至少部分地基于因設(shè)備而異的根密鑰來執(zhí)行設(shè)備認證328���。設(shè)備認證328可包括設(shè)備認證請求344和設(shè)備認證響應346���。在一個實現(xiàn)中���,設(shè)備認證307可獨立于訂戶認證;僅當訂戶和設(shè)備認證兩者均被滿足時才生成復合安全性密鑰K_ASME_D 309���。在替換實現(xiàn)中��,可以在訂戶認證之前執(zhí)行設(shè)備認證��。復合安全性密鑰K_ASME_D 309可被用作用于例如NAS (非接入階層)密鑰310和312以及AS (接入階層)密鑰314�、316���、318和320的演算的基密鑰���。S卩,設(shè)備322和網(wǎng)絡(luò)實體324可隨后使用K_ASME_D密鑰309來生成一個或多個安全性密鑰��。分組交換網(wǎng)絡(luò)可被結(jié)構(gòu)化成多個階級式協(xié)議層���,其中各下協(xié)議層向各上層提供服務�����,并且每一層負責不同的任務����。例如,圖4解說可在分組交換網(wǎng)絡(luò)中工作的設(shè)備中實現(xiàn)的示例性協(xié)議棧�����。在此示例中����,協(xié)議棧402包括物理(PHY)層404���、媒體接入控制(MAC)層406��、無線電鏈路控制(RLC)層408����、分組數(shù)據(jù)匯聚協(xié)議(PDCP)層410���、無線電資源控制(RRC)層412��、非接入階層(NAS)層414�����、和應用(APP)層416���。NAS層414以下的各層常被稱為接入階層(AS)層418��。RLC層408可包括一個或多個信道420�。RRC層412可為接入終端實現(xiàn)各種監(jiān)視模式����,包括連通狀態(tài)和空閑狀態(tài)。非接入階層(NAS)層414可維護通信設(shè)備的移動性管理上下文���、分組數(shù)據(jù)上下文和/或它的IP地址��。注意���,其他層可存在于協(xié)議棧402中(例如,在所解說的層之上��、之下和/或之間)����,但為了解說的目的而已被省去���。參照圖4,無線電/會話承載422可以例如被建立在RRC層412和/或NAS層414處����。結(jié)果,NAS層414可由設(shè)備202和核心網(wǎng)108用來生成圖3中所示的安全性密鑰K_NAS-enc 310和K_NAS_int 312�。類似地,RRC層412可由設(shè)備202和接入節(jié)點108用來生成接入階層(AS)安全性密鑰K_UP-enc 316����、K_RRC_enc 318、和K_RRC_int 320�。雖然安全性密鑰 K_UP-enc 316、K_RRC_enc318�、和 K_RRC_int 320 可在 RRC 層 312 處生成�����,但是這些 密鑰可由HXP層410用來保護信令和/或用戶/數(shù)據(jù)通信�����。例如�����,密鑰K_UP-enc 316可由PDCP層410用來保護用戶/數(shù)據(jù)面(UP)通信,而密鑰K_RRC-enc 318和K_RRC_int320可被用來保護HXP層410處的信令(B卩��,控制)通信��。在被用于密碼化和完好性算法的這些安全性密鑰的推導中����,在AS (用戶面和RRC)和NAS兩者處均要求提供個體算法身份作為輸入之一。在AS級處���,要使用的算法由無線電資源控制(RRC)安全性模式命令提供�����。圖5是解說在其中可生成圖3和圖4中解說的各種認證和/或安全性密鑰的網(wǎng)絡(luò)系統(tǒng)的框圖����。此處�,設(shè)備322可實現(xiàn)包括各種層(例如,APP��、NAS�����、RRC、RLC����、MAC和PHY)的通信棧。接入網(wǎng)504 (例如�����,圖I中的接入節(jié)點106)可向設(shè)備322提供無線連通性�,以使得設(shè)備322可與網(wǎng)絡(luò)108通信。歸屬訂戶服務器506和設(shè)備322可雙方均知曉或有途徑訪問可被用來生成或獲得密碼密鑰(CK)和/或完好性密鑰(IK)的根密鑰(K)��。設(shè)備322和/或HSS506可隨后使用密碼密鑰(CK)和/或完好性密鑰(IK)來生成接入安全性管理實體密鑰K_ASME�����。設(shè)備認證也可被執(zhí)行并與K_ASME密鑰相組合或基于K_ASME密鑰以生成復合安全性密鑰K_ASME_D�,由此將訂戶與設(shè)備認證組合成一個密鑰��。使用該K_ASME_d密鑰�,設(shè)備322和移動性管理實體(MME)510可隨后生成密鑰K_NAS_enc和K_NAS_int。設(shè)備322和MME 510還可生成因接入網(wǎng)而異的密鑰1(_6他/順���。使用此因接入網(wǎng)而異的密鑰K_eNB/NH,設(shè)備322和接入網(wǎng)504可生成密鑰K_UP_enc以及K_RRC_enc和K_RRC_int��。關(guān)于這些密鑰的推導的詳情在3GPP STD-T63-33. 401 “(System ArchitectureEvolution (SAE) :Security Architecture)系統(tǒng)構(gòu)架演進(SAE):安全性架構(gòu)”(稱為 3GPPTS 33. 401)第八版中提供���,其通過援引納入于此����。注意���,雖然圖3-圖5描述了在其中可實現(xiàn)設(shè)備和訂戶認證及綁定的特定環(huán)境/上下文��,但是這并非旨在對此特征構(gòu)成限定��,該特征可在各種其他類型的網(wǎng)絡(luò)中實現(xiàn)��。示例性無線設(shè)備圖6是解說可被適配成將訂戶認證與設(shè)備認證綁定的無線設(shè)備600的組件選集的框圖����。無線設(shè)備600—般包括耦合至一個或多個無線通信接口 604的處理電路602�����。例如���,無線設(shè)備600可以是中繼節(jié)點和/或接入終端����。
處理電路602可被安排成獲得、處理和/或發(fā)送數(shù)據(jù)�����、控制數(shù)據(jù)訪問和存儲����、發(fā)布命令、以及控制其他期望的操作�。在至少一個實施例中,處理電路602可包括被配置成實現(xiàn)由恰適的介質(zhì)提供的期望編程的電路系統(tǒng)��。例如�,處理電路602可被實現(xiàn)為處理器、控制器���、多個處理器和/或被配置成執(zhí)行包括例如軟件和/或固件指令的可執(zhí)行指令的其他結(jié)構(gòu)�����、和/或硬件電路系統(tǒng)中的一者或多者�����。處理電路602的實施例可包括被設(shè)計成執(zhí)行本文中所描述的功能的通用處理器�����、數(shù)字信號處理器(DSP)���、專用集成電路(ASIC)、現(xiàn)場可編程門陣列(FPGA)或其他可編程邏輯組件����、分立的門或晶體管邏輯、分立的硬件組件�、或其任何組合。通用處理器可以是微處理器�,但在替換方案中,處理器可以是任何常規(guī)的處理器�����、控制器�、微控制器、或狀態(tài)機。處理器還可以實現(xiàn)為計算組件的組合�����,諸如DSP與微處理器的組合�����、數(shù)個微處理器�、與DSP核心協(xié)作的一個或多個微處理器、或任何其他此類配置��。處理電路602的這些示例是為了解說�,并且本公開范圍內(nèi)的其他合適的配置也是構(gòu)想到的。無線通信接口 604可被配置成促成無線設(shè)備600的無線通信����。例如,通信接口 604可被配置成關(guān)于諸如接入終端�����、接入點�、其他中繼節(jié)點等之類的其他無線設(shè)備雙向地傳達
信息。通信接口 604可耦合至天線(未示出)并可包括無線收發(fā)機電路系統(tǒng)���,該無線收發(fā)機電路系統(tǒng)包括用于無線通信的至少一個發(fā)射機和/或至少一個接收機(例如����,一個或多個發(fā)射機/接收機鏈)��。處理電路602可包括訂戶與設(shè)備認證綁定模塊610���。訂戶與設(shè)備認證模塊610可包括適配成使用訂戶安全性憑證(例如����,存儲在通用集成電路卡608中的因訂戶而異的密鑰607和/或訂戶身份609)來執(zhí)行訂戶認證規(guī)程�、適配成使用因設(shè)備而異的憑證(例如,因設(shè)備而異的密鑰605和/或設(shè)備身份611)來(在受信任環(huán)境606內(nèi))執(zhí)行設(shè)備認證規(guī)程���、并將訂戶認證與設(shè)備認證綁定在一起的電路系統(tǒng)和/或編程�����。此類“綁定”可涉及將來自訂戶認證和設(shè)備認證兩者的一些結(jié)果相組合��。例如���,從訂戶認證獲得的第一安全性密鑰可與從設(shè)備認證獲得的第二安全性密鑰相組合以獲得第三(復合)安全性密鑰。在一些實施例中,無線設(shè)備600可包括受:信任環(huán)境(TrE)606����。受:信任環(huán)境606可被適配成滿足TS 33. 320處的3GPP規(guī)范詳情中針對受信任環(huán)境的規(guī)范?�?蔀槭苄湃苇h(huán)境606預先提供(或安全地嵌入)至少一些安全性憑證(例如�����,因設(shè)備而異的密鑰605和/或設(shè)備身份6111)����。例如,受信任環(huán)境606可具有與設(shè)備認證有關(guān)的安全性憑證��。在一些實施例中�����,無線設(shè)備600可包括通用集成電路卡(UICC) 608內(nèi)的受保護處理�。UICC 608可被可移除地耦合至無線設(shè)備600??蔀镠CC 608預先提供訂戶安全性憑證(例如,因訂戶而異的密鑰607和/或訂戶身份609)���,諸如初始認證和密鑰協(xié)定(AKA)憑證�。替換地,可以在通用訂戶身份模塊(USM)內(nèi)執(zhí)行受保護處理����。根據(jù)無線設(shè)備600的一個或多個特征,處理電路602可被適配成執(zhí)行圖2 - 5��、7��、10��、11和12中解說的有關(guān)的過程���、功能、步驟和/或例程中的任何一者或全部��。如本文中使用的�����,涉及處理電路602的術(shù)語“適配成”可指處理電路602被配置����、采用��、實現(xiàn)和/或編程為執(zhí)行根據(jù)本文中所描述的各種特征的特定過程���、功能、步驟和/或例程����。圖7是解說在無線設(shè)備中操作以用于生成將訂戶認證與設(shè)備認證綁定的安全性密鑰的方法的示例的流程圖?��?蔀闊o線設(shè)備預先提供因設(shè)備而異的密鑰702�。例如�����,此類因設(shè)備而異的密鑰可在該無線設(shè)備的制造期間被嵌入芯片中或被配置��。無線設(shè)備還可包括與該因設(shè)備而異的密鑰相關(guān)聯(lián)的設(shè)備標識符�����。附加地��,可為無線設(shè)備預先提供因訂戶而異的密鑰704�。例如����,此類因訂戶而異的密鑰可以是指派給訂戶的根密鑰并可被存儲在耦合至該無線設(shè)備的固定或可移除模塊(例如�,UICC或USIM)內(nèi)。無線設(shè)備還可包括與該因訂戶而異的密鑰相關(guān)聯(lián)的訂閱身份����。無線設(shè)備可與網(wǎng)絡(luò)實體(例如,使用因訂戶而異的密鑰)來執(zhí)行訂戶認證706��。這可包括例如與該網(wǎng)絡(luò)實體的認證和密鑰協(xié)定交換��。無線設(shè)備還可與網(wǎng)絡(luò)實體(例如���,使用因設(shè)備而異的密鑰)來執(zhí)行設(shè)備認證708。訂戶認證和設(shè)備認證可在相同或不同的時間并且與相同網(wǎng)絡(luò)實體或與不同網(wǎng)絡(luò)實體來執(zhí)行����。安全性密鑰(例如,K_ASME_D等)可隨后由該無線設(shè)備生成�,此類安全性密鑰將訂戶認證與設(shè)備認證綁定710。例如��,在一個示例中����,來自設(shè)備認證的數(shù)據(jù)(例如�,一個或多個結(jié)果得到的密鑰�����、證書��、標識符等)和來自訂戶認證的數(shù)據(jù)(例如�����,一個或多個結(jié)果得到的密鑰���、證書�、標識符等)可被組合以生成安全性密鑰��。例如�����,在圖I中�����,來自訂戶認證210的K_ASME密鑰和來自圖I中的設(shè)備認證的設(shè)備臨時密鑰可被組合以生成安全性密該安全性密鑰可隨后被用來保護該無線設(shè)備與網(wǎng)絡(luò)實體之間的無線通信712。例如���,該安全性密鑰可被用來生成可用于加密/解密該無線設(shè)備與網(wǎng)絡(luò)之間的通信(例如����,數(shù)據(jù)和信令)的其他密鑰和/或證書(例如����,NAS級和/或AS級安全性密鑰)。示例性網(wǎng)絡(luò)實體 圖8是解說可被適配成將訂戶認證與設(shè)備認證綁定的網(wǎng)絡(luò)實體800的組件選集的框圖����。網(wǎng)關(guān)實體800可包括耦合至通信接口 804的處理電路802。處理電路802被安排成獲得��、處理和/或發(fā)送數(shù)據(jù)�����、控制數(shù)據(jù)訪問和存儲、發(fā)布命令、以及控制其他期望的操作�����。在至少一個實施例中,處理電路802可包括被配置成實現(xiàn)由恰適的介質(zhì)提供的期望編程的電路系統(tǒng)���。例如�,處理電路802可被實現(xiàn)為處理器��、控制器���、多個處理器和/或被配置成執(zhí)行包括例如軟件和/或固件指令的可執(zhí)行指令的其他結(jié)構(gòu)���、和/或硬件電路系統(tǒng)中的一者或多者。處理電路802的實施例可包括被設(shè)計成執(zhí)行本文中所描述的功能的通用處理器�����、數(shù)字信號處理器(DSP)�、專用集成電路(ASIC)、現(xiàn)場可編程門陣列(FPGA)或其他可編程邏輯組件�����、分立的門或晶體管邏輯����、分立的硬件組件���、或其任何組合。通用處理器可以是微處理器�,但在替換方案中,處理器可以是任何常規(guī)的處理器����、控制器、微控制器�、或狀態(tài)機。處理器還可以實現(xiàn)為計算組件的組合��,諸如DSP與微處理器的組合�、數(shù)個微處理器、與DSP核心協(xié)作的一個或多個微處理器��、或任何其他此類配置��。處理電路802的這些示例是為了解說��,并且本公開范圍內(nèi)的其他合適的配置也是構(gòu)想到的���。處理電路802包括訂戶與設(shè)備認證綁定模塊806。訂戶與設(shè)備認證綁定模塊806可包括適配成執(zhí)行用于基于訂戶安全性憑證(例如,因訂戶而異的密鑰和/或訂戶標識符)來認證訂閱的訂戶認證規(guī)程�、執(zhí)行用于基于因設(shè)備而異的憑證(例如,因設(shè)備而異的密鑰和/或設(shè)備標識符)來認證設(shè)備的設(shè)備認證規(guī)程�、以及將來自設(shè)備認證和訂戶認證的數(shù)據(jù)(例如,密鑰���、值�����、證書等)綁定以生成安全性密鑰的電路系統(tǒng)和/或編程�����。通信接口 804被配置成促成網(wǎng)絡(luò)實體800的通信以直接地或間接地(例如���,通過一個或多個其他網(wǎng)絡(luò)實體)與諸如中繼節(jié)點和接入終端之類的其他設(shè)備通信。根據(jù)網(wǎng)絡(luò)實體800的一個或多個特征���,處理電路802可被適配成執(zhí)行與諸如移動管理實體(MME) 110和歸屬訂戶服務器(HSS) 112之類的各種網(wǎng)絡(luò)實體有關(guān)的過程�、功能�、步驟和/或例程中的任一者或全部。此外���,網(wǎng)絡(luò)實體800可包括單個實體�,或網(wǎng)絡(luò)中的兩個或更多個實體的組合。作為示例而非限定����,網(wǎng)絡(luò)實體800可尤其包括移動管理實體(MME)、歸屬訂戶服務器(HSS)��、設(shè)備認證服務器��,等等��。如本文中使用的����,涉及處理電路802的術(shù)語“適配成”可指處理電路802被配置、采用��、實現(xiàn)和/或編程為執(zhí)行根據(jù)本文中所描述的各種特征的特定過程��、功能�����、步驟和/或例程中的一者或多者�����。圖9是解說在網(wǎng)絡(luò)實體中操作以用于生成將訂戶認證與設(shè)備認證綁定的安全性密鑰的方法的示例的流程圖���。網(wǎng)絡(luò)實體可獲得無線設(shè)備的因設(shè)備而異的密鑰902�����。例如����,此類因設(shè)備而異的密鑰可在該無線設(shè)備的制造期間被嵌入芯片中或被配置��,并且此信息可被存儲在網(wǎng)絡(luò)實體可訪問的數(shù)據(jù)庫中�����。設(shè)備標識符可與該因設(shè)備而異的密鑰相關(guān)聯(lián)�,并可被用來標識該設(shè)備及其密鑰。附加地���,網(wǎng)絡(luò)實體可獲得與無線設(shè)備的訂閱相關(guān)聯(lián)的因訂戶而異的密鑰904�����。例如�����,此類因訂戶而異的密鑰可以是指派給訂戶的根密鑰����,并可被存儲在耦合至該無線設(shè)備的固定或可移除模塊(例如,nCC或USIM)內(nèi)����。網(wǎng)絡(luò)實體可與無線設(shè)備(例如,使用因訂戶而異的密鑰)來執(zhí)行訂戶認證906�。這可包括例如與該網(wǎng)絡(luò)實體的認證和密鑰協(xié)定交換。網(wǎng)絡(luò)實體還可與無線設(shè)備(例如�,使用因設(shè)備而異的密鑰)來執(zhí)行設(shè)備認證908。訂戶認證和設(shè)備認證可在相同或不同的時間執(zhí)行�。(復合)安全性密鑰(例如,K_ASME_D等)可隨后由網(wǎng)絡(luò)實體生成��,此類安全性密鑰將訂戶認證與設(shè)備認證綁定910�����。例如�,在一 個示例中�����,來自設(shè)備認證的數(shù)據(jù)(例如��,一個或多個結(jié)果得到的密鑰、證書��、標識符等)和來自訂戶認證的數(shù)據(jù)(例如����,K_ASME等)可被組合以生成安全性密鑰。隨后���,可以使用該安全性密鑰來保護該網(wǎng)絡(luò)實體與該無線設(shè)備之間的無線通信912�。例如�����,該安全性密鑰可被用來生成可用于加密/解密該無線設(shè)備與網(wǎng)絡(luò)之間的通信的其他密鑰和/或證書�����。訂戶-設(shè)備認證的第一示例性方法圖10解說用于通過將訂戶與設(shè)備認證綁定來生成安全性密鑰的第一示例性方法���。在此示例中���,設(shè)備1002可以例如是中繼節(jié)點或接入終端�����。在其中設(shè)備1102可尋求附連至無線網(wǎng)絡(luò)(例如�,該無線網(wǎng)絡(luò)包括MME 1002和HSS1006)的附連階段期間�����,越空泄露設(shè)備身份或其他有關(guān)的設(shè)備信息可能(例如����,對于設(shè)備1002而言)是安全性問題所在。結(jié)果�����,在此方法中���,設(shè)備1002不越空呈現(xiàn)其設(shè)備憑證(例如���,諸如國際移動裝備身份(IMEI)等的因設(shè)備而異的標識符)���,直至由網(wǎng)絡(luò)安全地請求,以防止對設(shè)備身份的被動攻擊�����。設(shè)備一開始可向網(wǎng)絡(luò)發(fā)送附連請求1010�����,該附連請求1010包括對該設(shè)備能夠進行設(shè)備認證的指示����。一旦接收到附連請求1010����,移動性管理實體(MME) 1004即可向歸屬訂閱服務器(HSS) 1006請求并從其接收(例如,與基于訂閱的賬戶或設(shè)備1002的用戶相關(guān)聯(lián)的)訂閱和認證信息1012��。MME 1004隨后發(fā)送包括AKA質(zhì)詢的認證請求1014以執(zhí)行AKA認證�。一旦接收到AKA認證請求1014,設(shè)備1002即發(fā)送包括AKA響應的認證響應1016。AKA認證請求1014和響應1016用于執(zhí)行訂閱認證����。此類AKA認證規(guī)程可導致由設(shè)備1002和MME生成訂戶認證密鑰(例如�,K_ASME)���。設(shè)備認證可在此安全性激活過程期間的各種階段執(zhí)行���。在此示例中,可以在NAS級安全性消息上背載設(shè)備認證����。例如,MME 1004可發(fā)送包括對設(shè)備身份的請求(例如�����,對IMEI軟件版本(MEISV)的請求和/或?qū)υO(shè)備憑證的請求)的NAS安全性模式命令1018�。作為響應,設(shè)備1002可在設(shè)備認證將被執(zhí)行的安全性模式完成1020消息內(nèi)提供設(shè)備身份或憑證��。注意����,為了避免在傳輸期間越空曝露設(shè)備身份或憑證,安全性模式完成1020中的設(shè)備身份或憑證可由先前計算的訂戶認證密鑰(例如����,K_ASME)來保護���。一旦接收到設(shè)備身份或憑證,MME 1004就可發(fā)送帶有演進/擴展密鑰集標識符(eKSI)和設(shè)備質(zhì)詢的身份請求1022消息���。eKSI可與待生成的關(guān)聯(lián)�。因此��,在身份請求1022中使用的eKSI可以不同或相異于可能已被例如用于AKA (B卩��,訂戶認證)的任何其他eKSI���。一旦接收到身份請求1022消息,設(shè)備1002就可基于設(shè)備質(zhì)詢來生成設(shè)備響應并將該設(shè)備響應作為身份響應1024消息的一部分來發(fā)送�����。該設(shè)備 響應可基于設(shè)備質(zhì)詢以及設(shè)備身份或憑證��。設(shè)備1002可隨后基于認證密鑰(例如�����,K_ASME)和設(shè)備認證數(shù)據(jù)(例如,設(shè)備響應等)來演算(復合)安全性密鑰(K_ASME_D)1025�����。MME 1004例如通過使用設(shè)備1002的設(shè)備身份或證書以及使用設(shè)備質(zhì)詢來檢查設(shè)備響應�。如果設(shè)備1002由MME 1004成功認證,那么MME 1004還生成安全性密鑰(K_ASME_D) 1027����。此時,設(shè)備1002和MME 1004共享該安全性密鑰(K_ASME_D)及其相關(guān)聯(lián)的標識符eKSI�����。MME 1004可隨后發(fā)送帶有與該安全性密鑰(K_ASME_D)相關(guān)聯(lián)的演進/擴展密鑰集標識符eKSI的安全性模式命令1026����。這允許設(shè)備1002基于該安全性密鑰(K_ASME_D)來計算一個或多個安全性密鑰。設(shè)備1002可向MME1004發(fā)送安全性模式完成1028消息�,由此允許MME 1004發(fā)送附連完成1030消息。訂戶-設(shè)備認證的第二示例性方法圖11解說了用于通過將訂戶與設(shè)備認證綁定來生成安全性密鑰的第二示例性方法�。在此示例中,在越空傳輸中泄露設(shè)備身份或證書(或其他有關(guān)的憑證信息)不是安全性問題所在���。不同于圖10的方法�����,在這種情形中����,假定在開頭就呈現(xiàn)設(shè)備身份將不會導致任何隱私問題或風險。設(shè)備已具有MME將接受的設(shè)備標識符或憑證(例如�����,MEI)但不具有MME愿意使用的E-UTRAN安全性上下文���。設(shè)備1102向MME 1104發(fā)送包括自己的設(shè)備標識符或憑證的附連請求1108��。MME1104可從HSS 1106獲得訂閱和認證信息1110并發(fā)送包括例如AKA質(zhì)詢(針對訂閱認證)和/或設(shè)備質(zhì)詢(針對設(shè)備認證)的認證請求1112�。注意�����,設(shè)備1102可通過發(fā)送可包括AKA響應和/或設(shè)備響應的認證響應1114來響應�。AKA響應可至少部分地基于訂戶標識符���。設(shè)備響應可基于設(shè)備標識符和/或憑證以及設(shè)備質(zhì)詢��。設(shè)備1104可隨后通過將訂戶認證信息與設(shè)備認證信息相組合的方式來生成(復合)安全性密鑰K_ASME_D�。類似地,一旦成功驗證了 AKA響應和設(shè)備響應��,MME 1104就還可通過將訂戶認證信息與設(shè)備認證信息相組合的方式來生成安全性密鑰K_ASME_D��。MME發(fā)送安全性模式命令1116消息來開始使用基于安全性密鑰K_ASME_D的安全性上下文����。設(shè)備1102用安全性模式完成1118消息來響應。S卩�����,設(shè)備1102和MME 1104可使用安全性密鑰K_ASME_D來生成一個或多個附加的安全性密鑰(或以其他方式保護設(shè)備1102與MME 1104之間的通信)����。MME 1104可隨后向設(shè)備1102發(fā)送附連完成1120消息。此處觀察到�,如果設(shè)備標識符和/或憑證(或先前獲得/生成的設(shè)備密鑰)被與訂戶標識符一起存儲在HSS 1106或網(wǎng)絡(luò)中的另一服務器中,那么設(shè)備1102可使用此流程來執(zhí)行附連���。為了在那里進行此舉�,設(shè)備1102可指示(例如�,在附連請求1108中)其設(shè)備標識符和/或憑證可從HSS 1106或其他網(wǎng)絡(luò)服務器獲得�����。替換地���,MME 1104可向設(shè)備1102指示設(shè)備質(zhì)詢與特定的設(shè)備標識符相關(guān)聯(lián)(例如,通過以某種形式將諸如MEI之類的設(shè)備標識符隨設(shè)備質(zhì)詢而包括)���。以此方式��,設(shè)備1102可知曉(認證請求1112中的)該設(shè)備質(zhì)詢與自己的設(shè)備標識符相關(guān)聯(lián)���。
訂戶-設(shè)備認證的第三示例性方法圖12解說了用于通過將訂戶與設(shè)備認證綁定來生成安全性密鑰的第三示例性方法。在此示例中��,先前已執(zhí)行了訂戶認證���,所以訂戶安全性上下文1206(例如�����,K_ASME密鑰)已存在。經(jīng)組合的訂戶和設(shè)備認證可由網(wǎng)絡(luò)發(fā)起以替代現(xiàn)有的安全性上下文���。此實施例可以有益于可能需要建立初始的基于AKA的安全性上下文以從運營商獲得有完全資格的或起作用的憑證的設(shè)備�。此辦法假定MME已知曉設(shè)備標識符(例如,MEI)和/或設(shè)備憑證���。MME 1204向設(shè)備1202發(fā)送包括設(shè)備質(zhì)詢的認證請求1208�����。作為響應���,設(shè)備1202向MME 1204發(fā)送包括設(shè)備響應的認證響應1210。該設(shè)備響應可基于設(shè)備質(zhì)詢以及設(shè)備身份和/或證書��。此時��,設(shè)備1202和MME 1204兩者都可具有足以(例如���,在基于AKA的安全性上下文和設(shè)備認證信息的基礎(chǔ)上來)演算(復合)安全性密鑰K_ASME_D的信息�����。
MME 1204可向設(shè)備1202發(fā)送NAS安全性模式命令1212以將現(xiàn)有的安全性上下文1206替換成基于新的安全性密鑰K_ASME_D的安全性上下文(例如����,該安全性上下文納入訂戶認證和設(shè)備認證兩者)。作為響應���,設(shè)備1202可基于安全性密鑰K_ASME_D來生成新的安全性上下文并可作為響應而發(fā)送NAS安全性模式完成1214消息����。注意����,雖然本文中的各種示例解說可經(jīng)由MME來執(zhí)行訂戶認證和設(shè)備認證兩者,但是其他網(wǎng)絡(luò)實體也可與MME相組合地或替代MME來執(zhí)行這些功能中的一些功能�����。圖1��、2���、3�����、4�����、5���、6、7�����、8�����、9�����、10���、11���、和/或12中解說的組件、步驟���、特征和/或功能之中的一個或更多個可以被重新安排和/或組合成單個組件�����、步驟��、特征或功能��,或可以實施在數(shù)個組件����、步驟、或功能中�。還可添加附加的元件、組件���、步驟�、和/或功能而不會脫離本公開����。圖1、5���、6和/或8中解說的裝置��、設(shè)備���、和/或組件可被配置成執(zhí)行圖2��、3�����、4、7和/或9-12中描述的方法�、特征、或步驟中的一者或多者���。本文中描述的新穎算法還可以高效率地實現(xiàn)在軟件中和/或嵌入硬件中��。還應注意��,至少一些實現(xiàn)是作為被描繪為流圖��、流程圖�、結(jié)構(gòu)圖����、或框圖的過程來描述的。盡管流圖可能把諸操作描述為順序過程,但是這些操作中有許多可以并行或并發(fā)執(zhí)行��。另外�,這些操作的次序可以被重新安排。過程在其操作完成時終止����。過程可對應于方法、函數(shù)����、規(guī)程、子例程����、子程序等。當過程對應于函數(shù)時���,它的終止對應于該函數(shù)返回調(diào)用方函數(shù)或主函數(shù)��。此外���,諸實施例可由硬件、軟件����、固件�、中間件����、微代碼、或其任何組合來實現(xiàn)�����。當在軟件����、固件��、中間件或微碼中實現(xiàn)時����,執(zhí)行必要任務的程序代碼或代碼段可被存儲在諸如存儲介質(zhì)或其它存儲之類的機器可讀介質(zhì)中。處理器可以執(zhí)行這些必要的任務�。代碼段可以代表規(guī)程、函數(shù)����、子程序����、程序����、例程、子例程����、模塊、軟件包���、類����、或是指令���、數(shù)據(jù)結(jié)構(gòu)�、或程序語句的任何組合�。通過傳遞和/或接收信息、數(shù)據(jù)���、自變量���、參數(shù)���、或存儲器內(nèi)容,一代碼段可被耦合到另一代碼段或硬件電路����。信息、自變量����、參數(shù)、數(shù)據(jù)等可以經(jīng)由包括存儲器共享�����、消息傳遞�、令牌傳遞����、網(wǎng)絡(luò)傳輸?shù)热魏魏线m的手段被傳遞、轉(zhuǎn)發(fā)�����、或傳輸。術(shù)語“機器可讀介質(zhì)”�����、“計算機可讀介質(zhì)”和/或“處理器可讀介質(zhì)”可包括�����,但不限于����,便攜或固定的存儲設(shè)備、光存儲設(shè)備���、以及能夠存儲���、包含或承載指令和/或數(shù)據(jù)的各種其他非瞬態(tài)介質(zhì)。因此���,本文中描述的各種方法可部分或完全地由可存儲在“機器可讀介質(zhì)”�、“計算機可讀介質(zhì)”和/或“處理器可讀介質(zhì)”中并由一個或多個處理器��、機器和/或設(shè)備執(zhí)行的指令和/或數(shù)據(jù)來實現(xiàn)����。結(jié)合本文中公開的示例描述的方法或算法可直接在硬件中�����、在能由處理器執(zhí)行的軟件模塊中�、在這兩者的組合中�����,以處理單元���、編程指令����、或其他指示的形式實施��,并且可包含在單個設(shè)備中或跨多個設(shè)備分布�。軟件模塊可駐留在RAM存儲器����、閃存、ROM存儲器��、EPROM存儲器、EEPROM存儲器�����、寄存器����、硬盤、可移動盤�����、CD-ROM�、或本領(lǐng)域中所知的任何其他形式的非瞬態(tài)存儲介質(zhì)中。存儲介質(zhì)可耦合到處理器以使得該處理器能從/向該存儲介質(zhì)讀寫信息��。在替換方案中����,存儲介質(zhì)可以被整合到處理器。本領(lǐng)域技術(shù)人員將可進一步領(lǐng)會��,結(jié)合本文中公開的實施例描述的各種解說性邏輯框����、模塊���、電路、和算法步驟可被實現(xiàn)為電子硬件�、計算機軟件、或兩者的組合����。為清楚地解說硬件與軟件的這一可互換性,各種解說性組件��、框�、模塊、電路���、和步驟在上面是以其功能性的形式作一般化描述的���。此類功能性是被實現(xiàn)為硬件還是軟件取決于具體應用和施加 于整體系統(tǒng)的設(shè)計約束。本文中所描述的本發(fā)明的各種特征可實現(xiàn)于不同系統(tǒng)中而不脫離本發(fā)明�����。應注意�����,以上實施例僅是示例�,且并不應被解釋成限定本發(fā)明。這些實施例的描述旨在解說�,而并非旨在限定本公開的范圍。由此�,本發(fā)明的教導可以現(xiàn)成地應用于其他類型的裝置,并且許多替換���、修改����、和變形對于本領(lǐng)域技術(shù)人員將是顯而易見的��。
權(quán)利要求
1.一種在設(shè)備中操作的方法�����,包括 與網(wǎng)絡(luò)實體來執(zhí)行訂戶認證�; 與所述網(wǎng)絡(luò)實體來執(zhí)行對所述設(shè)備的設(shè)備認證; 生成將所述訂戶認證與所述設(shè)備認證綁定的安全性密鑰���;以及 使用所述安全性密鑰來保護所述設(shè)備與服務網(wǎng)絡(luò)之間的通信�����。
2.如權(quán)利要求I所述的方法��,其特征在于��,訂戶認證基于所述設(shè)備與所述網(wǎng)絡(luò)實體之間的認證密鑰協(xié)定交換���。
3.如權(quán)利要求I所述的方法�,其特征在于�����,設(shè)備認證基于所述設(shè)備與所述網(wǎng)絡(luò)實體之間的質(zhì)詢-響應交換����。
4.如權(quán)利要求I所述的方法,其特征在于�,訂戶認證由作為所述網(wǎng)絡(luò)實體的一部分的第一認證服務器執(zhí)行,并且設(shè)備認證由作為所述網(wǎng)絡(luò)實體的一部分的第二認證服務器執(zhí)行�����。
5.如權(quán)利要求I所述的方法��,其特征在于,所述設(shè)備認證通過以下步驟來執(zhí)行 從所述網(wǎng)絡(luò)實體接收用所述設(shè)備的公鑰加密的數(shù)據(jù)��; 使用對應的私鑰來解密經(jīng)加密的數(shù)據(jù)���;以及 隨后向所述網(wǎng)絡(luò)實體證明所述設(shè)備具備所述數(shù)據(jù)的知識。
6.如權(quán)利要求I所述的方法���,其特征在于����,進一步包括 從所述設(shè)備向所述網(wǎng)絡(luò)實體發(fā)送附連請求�,所述附連請求包括對所述設(shè)備的設(shè)備認證能力的指示。
7.如權(quán)利要求I所述的方法�,其特征在于,設(shè)備認證是由在所述訂戶認證期間生成的至少一個密鑰來保護的�。
8.如權(quán)利要求I所述的方法,其特征在于�,訂戶認證和設(shè)備認證是在經(jīng)組合的消息交換中并發(fā)執(zhí)行的。
9.如權(quán)利要求I所述的方法���,其特征在于����,訂戶認證是在比所述設(shè)備認證早且與之分開的安全性交換中執(zhí)行的。
10.如權(quán)利要求I所述的方法�����,其特征在于����,所述安全性密鑰是至少作為從訂戶認證獲得的第一密鑰和從設(shè)備認證獲得的第二密鑰的函數(shù)來生成的。
11.如權(quán)利要求10所述的方法�����,其特征在于�,所述安全性密鑰還是網(wǎng)絡(luò)一次性數(shù)和設(shè)備一次性數(shù)的函數(shù)。
12.如權(quán)利要求I所述的方法��,其特征在于�,所述設(shè)備是對于所述網(wǎng)絡(luò)實體而言表現(xiàn)為接入終端并且對于一個或多個接入終端而言表現(xiàn)為網(wǎng)絡(luò)設(shè)備的中繼節(jié)點。
13.如權(quán)利要求I所述的方法��,其特征在于���,所述安全性密鑰是由所述設(shè)備和所述網(wǎng)絡(luò)實體分別生成的����。
14.如權(quán)利要求I所述的方法,其特征在于���,進一步包括 作為服務協(xié)定的一部分提供因訂戶而異的密鑰��,其中所述因訂戶而異的密鑰被用于所述訂戶認證�;以及 在制造期間在所述設(shè)備中提供因設(shè)備而異的密鑰����,其中所述因設(shè)備而異的密鑰被用于所述設(shè)備認證�����。
15.一種設(shè)備��,包括通信接口 ���;以及 耦合至所述通信接口的處理電路�,所述處理電路被適配成 與網(wǎng)絡(luò)實體來執(zhí)行訂戶認證����; 與所述網(wǎng)絡(luò)實體來執(zhí)行對所述設(shè)備的設(shè)備認證; 生成將所述訂戶認證與所述設(shè)備認證綁定的安全性密鑰����;以及 使用所述安全性密鑰來保護所述設(shè)備與服務網(wǎng)絡(luò)之間的通信�����。
16.如權(quán)利要求15所述的設(shè)備�,其特征在于���,訂戶認證基于所述設(shè)備與所述網(wǎng)絡(luò)實體之間的認證密鑰協(xié)定交換��。
17.如權(quán)利要求15所述的設(shè)備�����,其特征在于���,設(shè)備認證基于所述設(shè)備與所述網(wǎng)絡(luò)實體之間的質(zhì)詢-響應交換。
18.如權(quán)利要求15所述的設(shè)備�����,其特征在于����,設(shè)備認證通過以下方式執(zhí)行 從所述網(wǎng)絡(luò)實體接收用所述設(shè)備的公鑰加密的數(shù)據(jù)����; 使用對應的私鑰來解密經(jīng)加密的數(shù)據(jù)���;以及 隨后向所述網(wǎng)絡(luò)實體證明所述設(shè)備具備所述數(shù)據(jù)的知識����。
19.如權(quán)利要求15所述的設(shè)備��,其特征在于�����,進一步包括 從所述設(shè)備向所述網(wǎng)絡(luò)實體發(fā)送附連請求�����,所述附連請求包括對所述設(shè)備的設(shè)備認證能力的指示���。
20.如權(quán)利要求15所述的設(shè)備,其特征在于�����,所述設(shè)備認證是由在所述訂戶認證期間生成的至少一個密鑰來保護的。
21.如權(quán)利要求15所述的設(shè)備���,其特征在于���,訂戶認證和設(shè)備認證是在經(jīng)組合的消息 交換中并發(fā)執(zhí)行的。
22.如權(quán)利要求15所述的設(shè)備����,其特征在于,訂戶認證是在比所述設(shè)備認證早且與之分開的安全性交換中執(zhí)行的���。
23.如權(quán)利要求15所述的設(shè)備�����,其特征在于�����,所述安全性密鑰是至少作為從訂戶認證獲得的第一密鑰和從設(shè)備認證獲得的第二密鑰的函數(shù)來生成的���。
24.如權(quán)利要求15所述的設(shè)備,其特征在于,所述設(shè)備是對于所述網(wǎng)絡(luò)實體而言表現(xiàn)為接入終端并且對于一個或多個接入終端而言表現(xiàn)為網(wǎng)絡(luò)設(shè)備的中繼節(jié)點�����。
25.如權(quán)利要求15所述的設(shè)備����,其特征在于,進一步包括 可移除存儲設(shè)備��,其耦合至所述處理電路并存儲用于所述訂戶認證的因訂戶而異的密鑰��;以及 安全存儲設(shè)備����,其耦合至所述處理電路并存儲用于所述設(shè)備認證的因設(shè)備而異的密鑰。
26.—種設(shè)備,包括 用于與網(wǎng)絡(luò)實體來執(zhí)行訂戶認證的裝置���; 用于與所述網(wǎng)絡(luò)實體來執(zhí)行對所述設(shè)備的設(shè)備認證的裝置; 用于生成將所述訂戶認證與所述設(shè)備認證綁定的安全性密鑰的裝置���;以及 用于使用所述安全性密鑰來保護所述設(shè)備與服務網(wǎng)絡(luò)之間的通信的裝置����。
27.如權(quán)利要求26所述的設(shè)備,其特征在于�,進一步包括 用于存儲用于所述訂戶認證的因訂戶而異的密鑰的裝置;以及用于存儲用于所述設(shè)備認證的因設(shè)備而異的密鑰的裝置��。
28.—種包括在設(shè)備上操作的指令的處理器可讀介質(zhì)����,所述指令在由處理器執(zhí)行時使所述處理器 與網(wǎng)絡(luò)實體來執(zhí)行訂戶認證; 與所述網(wǎng)絡(luò)實體來執(zhí)行對所述設(shè)備的設(shè)備認證���; 生成將所述訂戶認證與所述設(shè)備認證綁定的安全性密鑰�����;以及 使用所述安全性密鑰來保護所述設(shè)備與服務網(wǎng)絡(luò)之間的通信���。
29.—種在網(wǎng)絡(luò)實體中操作的方法,包括 與設(shè)備來執(zhí)行訂戶認證���; 執(zhí)行對所述設(shè)備的設(shè)備認證��; 生成將所述訂戶認證與所述設(shè)備認證綁定的安全性密鑰����;以及 使用所述安全性密鑰來保護所述網(wǎng)絡(luò)實體與所述設(shè)備之間的通信。
30.如權(quán)利要求29所述的方法�,其特征在于,訂戶認證基于所述網(wǎng)絡(luò)實體與所述設(shè)備之間的認證密鑰協(xié)定交換����。
31.如權(quán)利要求29所述的方法,其特征在于��,設(shè)備認證基于所述網(wǎng)絡(luò)實體與所述設(shè)備之間的質(zhì)詢-響應交換���。
32.如權(quán)利要求29所述的方法�,其特征在于����,所述設(shè)備認證包括 從所述設(shè)備接收證書; 驗證與所述設(shè)備相關(guān)聯(lián)的所述證書未曾被撤銷���。
33.如權(quán)利要求29所述的方法��,其特征在于�����,進一步包括 從所述設(shè)備接收附連請求,所述附連請求包括對所述設(shè)備的設(shè)備認證能力的指示。
34.如權(quán)利要求29所述的方法�,其特征在于,設(shè)備認證是由在所述訂戶認證期間生成的至少一個密鑰來保護的�����。
35.如權(quán)利要求29所述的方法��,其特征在于����,訂戶認證和設(shè)備認證是在經(jīng)組合的消息交換中并發(fā)執(zhí)行的。
36.如權(quán)利要求29所述的方法���,其特征在于����,訂戶認證是在比所述設(shè)備認證早且與之分開的安全性交換中執(zhí)行的��。
37.如權(quán)利要求29所述的方法�,其特征在于,所述安全性密鑰是至少作為從訂戶認證獲得的第一密鑰和從設(shè)備認證獲得的第二密鑰的函數(shù)來生成的�。
38.如權(quán)利要求29所述的方法,其特征在于�,所述安全性密鑰是由所述設(shè)備和所述網(wǎng)絡(luò)實體分別生成的��。
39.如權(quán)利要求29所述的方法�,其特征在于����,進一步包括 作為服務協(xié)定的一部分獲得因訂戶而異的密鑰,其中所述因訂戶而異的密鑰被用于所述訂戶認證�;以及 獲得所述設(shè)備的因設(shè)備而異的密鑰,所述因設(shè)備而異的密鑰被用于所述設(shè)備認證����。
40.一種網(wǎng)絡(luò)實體,包括 通信接口 ��;以及 耦合至所述通信接口的處理電路�����,所述處理電路被適配成 與設(shè)備來執(zhí)行訂戶認證��;執(zhí)行對所述設(shè)備的設(shè)備認證��; 生成將所述訂戶認證與所述設(shè)備認證綁定的安全性密鑰�;以及 使用所述安全性密鑰來保護所述網(wǎng)絡(luò)實體與所述設(shè)備之間的通信。
41.如權(quán)利要求40所述的網(wǎng)絡(luò)實體��,其特征在于�����,訂戶認證基于所述網(wǎng)絡(luò)實體與所述設(shè)備之間的認證密鑰協(xié)定交換�。
42.如權(quán)利要求40所述的網(wǎng)絡(luò)實體,其特征在于��,設(shè)備認證基于所述網(wǎng)絡(luò)實體與所述設(shè)備之間的質(zhì)詢-響應交換��。
43.如權(quán)利要求40所述的網(wǎng)絡(luò)實體����,其特征在于,所述處理電路還被配置成 從所述設(shè)備接收附連請求�,所述附連請求包括對所述設(shè)備的設(shè)備認證能力的指示。
44.如權(quán)利要求40所述的網(wǎng)絡(luò)實體�,其特征在于,設(shè)備認證是由在所述訂戶認證期間生成的至少一個密鑰來保護的����。
45.如權(quán)利要求40所述的網(wǎng)絡(luò)實體,其特征在于���,訂戶認證和設(shè)備認證是在經(jīng)組合的消息交換中并發(fā)執(zhí)行的�����。
46.如權(quán)利要求40所述的網(wǎng)絡(luò)實體�,其特征在于,訂戶認證是在比所述設(shè)備認證早且與之分開的安全性交換中執(zhí)行的�。
47.如權(quán)利要求40所述的網(wǎng)絡(luò)實體,其特征在于����,所述安全性密鑰是至少作為從訂戶認證獲得的第一密鑰和從設(shè)備認證獲得的第二密鑰的函數(shù)來生成的。
48.如權(quán)利要求40所述的網(wǎng)絡(luò)實體�,其特征在于,進一步包括 作為服務協(xié)定的一部分獲得因訂戶而異的密鑰��,其中所述因訂戶而異的密鑰被用于所述訂戶認證���;以及 獲得所述設(shè)備的因設(shè)備而異的密鑰�����,所述因設(shè)備而異的密鑰被用于所述設(shè)備認證����。
49.一種網(wǎng)絡(luò)實體,包括 用于與設(shè)備來執(zhí)行訂戶認證的裝置��; 用于執(zhí)行對所述設(shè)備的設(shè)備認證的裝置�����; 用于生成將所述訂戶認證與所述設(shè)備認證綁定的安全性密鑰的裝置�����;以及 用于使用所述安全性密鑰來保護所述網(wǎng)絡(luò)實體與所述設(shè)備之間的通信的裝置�。
50.一種包括在網(wǎng)絡(luò)實體上操作的指令的處理器可讀介質(zhì)��,所述指令在由處理器執(zhí)行時使所述處理器 與設(shè)備來執(zhí)行訂戶認證���; 執(zhí)行對所述設(shè)備的設(shè)備認證��; 生成將所述訂戶認證與所述設(shè)備認證綁定的安全性密鑰�;以及 使用所述安全性密鑰來保護所述網(wǎng)絡(luò)實體與所述設(shè)備之間的通信��。
全文摘要
提供了設(shè)備(例如����,客戶端設(shè)備或接入終端)與網(wǎng)絡(luò)實體之間的認證方法?����?梢瞥鎯υO(shè)備可耦合至該設(shè)備并存儲可被用于訂戶認證的因訂戶而異的密鑰。安全存儲設(shè)備可耦合至該設(shè)備并存儲用于設(shè)備認證的因設(shè)備而異的密鑰���?��?梢栽谠撛O(shè)備與網(wǎng)絡(luò)實體之間執(zhí)行訂戶認證。還可以與該網(wǎng)絡(luò)實體執(zhí)行對該設(shè)備的設(shè)備認證�����。隨后���,可生成將訂戶認證與設(shè)備認證綁定的安全性密鑰��。該安全性密鑰可被用來保護該設(shè)備與服務網(wǎng)絡(luò)之間的通信�����。
文檔編號H04L29/06GK102934470SQ201180027820
公開日2013年2月13日 申請日期2011年6月16日 優(yōu)先權(quán)日2010年6月16日
發(fā)明者A·E·艾斯科特, A·帕拉尼格朗德 申請人:高通股份有限公司