请求式服务网络认证制造技术

技术编号:15531119 阅读:99 留言:0更新日期:2017-06-04 17:57
提供了用于无线通信的方法、装置和计算机程序产品。一种方法包括:将具有随机数和签名请求的请求发送给服务网络,其被引导至服务网络的网络功能单元,从服务网络接收对请求的响应,以及基于网络功能单元的签名来认证服务网络。随机数可以提供重放保护。响应可以包括网络功能单元的签名。发送到服务网络的请求可以包括无线资源控制(RRC)消息或跟踪区域更新(TAU)请求。可以利用信任的第三方来认证服务网络以验证与服务网络相关联的证书。

Request service network authentication

Methods, devices, and computer program products for wireless communication are provided. A method includes: with random number and signature request sent to the service network, which is directed to the service network function unit, receiving a response to the request from the service network, and the network function unit based on the signature authentication service network. Random numbers can provide replay protection. The response may include a signature of the network function unit. A request sent to a service network may include a radio resource control (RRC) message or a tracking area update (TAU) request. A trusted third party can be used to authenticate the service network to validate the certificate associated with the service network.

【技术实现步骤摘要】
【国外来华专利技术】请求式服务网络认证相关申请的交叉引用本申请要求享受2014年9月26日提交到美国专利商标局的临时申请No.62/056,387、以及2015年3月31日提交到美国专利商报局的非临时申请No.14/675,676的优先权和利益,这两个申请的整体内容以引用方式并入本文。
本公开内容一般涉及通信系统,更具体地涉及用于在无线通信系统中在用户设备和服务网络之间进行认证的系统。
技术介绍
无线通信系统被广泛部署以提供各种电信服务,例如,电话、视频、数据、消息传送和广播。典型的无线通信系统可以采用多址技术,其能够通过共享可用系统资源(例如,带宽、传输功率)而支持与多个用户的通信。这种多址技术的例子包括码分多址(CDMA)系统、时分多址(TDMA)系统、频分多址(FDMA)系统、正交频分多址(OFDMA)系统、单载波频分多址(SC-FDMA)系统、以及时分同步码分多址(TD-SCDMA)系统。这些多址技术已经用于各种电信标准,以提供使得不同无线设备能够在城市、国家、区域以及甚至全球级别进行通信的常见协议。随着多址技术的改善和增加,出现了新的电信标准。出现的电信标准的例子是第四代长期演进(LTE)。LTE是对由第三代合作伙伴计划(3GPP)公布的通用移动电信系统(UMTS)移动标准的一组增强。其被设计为通过改善频谱效率、降低成本、改善服务、使用新频谱而更好地支持移动宽带互联网接入,以及使用在下行链路(DL)上的OFDMA、上行链路(UL)上的SC-FDMA以及多输入多输出(MIMIO)天线技术来更好地集成其它开放式标准。然而,随着对移动宽带接入需求的持续增加,存在对LTE技术的进一步改善和/或具有改善能力的新一代的电信标准的需要。安全配置是建立LTE网络中的逻辑承载或信道(例如,在移动通信设备和网络实体或接入点之间的通信链路)的初始步骤。密钥导出和建立是该安全配置的一部分。大部分生成的密钥是用于非接入层(NAS)安全模式配置(NASSMC)和接入层(AS)安全模式配置(ASSMC)的加密和完整性密钥。当新一代的通信技术被部署时,可能在安全配置过程中暴露易受攻击的漏洞(vulnerability)。因此,存在改善安全过程的需要。优选地,改善应该能应用于其它多址技术和采用这些技术的电信标准。
技术实现思路
在本公开内容的一方面,提供了一种方法、一种计算机程序产品以及一种装置。根据本文公开的某些方面,一种保护用户设备(UE)和服务网络之间的无线通信的方法包括:在UE和服务网络之间已经建立了安全关联之后,通过UE向服务网络中的网络功能单元发送连接请求或跟踪区域请求,其中所述请求包括随机数(nonce)和签名请求;通过UE从网络功能单元接收对连接请求或跟踪区域请求的响应,其中所述响应包括网络功能单元的签名;以及基于网络功能单元的签名以及对应于网络功能单元的公共密钥证书通过UE对服务网络进行认证,其中公共密钥证书是利用由与服务网络相关联的网络操作员提供的服务网络的私有密钥来签名的。根据本文公开的某些方面,一种装置包括:无线收发机;以及耦合到收发机的处理器。所述处理器可以被配置为:在UE和服务网络之间已经建立了安全关联之后,向服务网络中的网络功能单元发送连接请求或跟踪区域请求,其中所述请求包括随机数和签名请求;从网络功能单元接收对连接请求或跟踪区域请求的响应,其中所述响应包括网络功能单元的签名;以及基于网络功能单元的签名和对应于网络功能单元的公共密钥证书对服务网络进行认证,其中公共密钥证书是利用由与服务网络相关联的网络操作员提供的服务网络的私有密钥签名的。根据本文公开的某些方面,一种证明服务网络的成员资格的方法包括:在UE已经建立了与归属网络的安全连接之后,从UE接收第一消息,其中所述消息被引导至服务网络的网络功能单元,并且可以包括随机数和签名请求;利用由服务网络的网络功能单元维护的操作员签名的证书来生成签名;以及向UE发送第二消息,其中签名被附加到第二消息。根据本文公开的某些方面,一种装置包括:用于在UE已经建立了与归属网络的安全连接之后从UE接收第一消息的单元,其中所述消息被引导至服务网络的网络功能单元,并且包括随机数和签名请求;用于利用由服务网络的网络功能单元维护的操作员签名的证书来生成签名的单元;以及用于向UE发送第二消息的单元,其中签名被附加到第二消息。可以生成被附加到第二消息的签名以向UE证明所述装置是服务网络的成员。所述操作员签名的证书是由服务网络的操作员签名的公共密钥证书。附图说明图1是示出网络架构的例子的图。图2是示出接入网络的例子的图。图3是示出用于用户和控制平面的无线协议架构的例子的图。图4是示出接入网络中的演进节点B和用户设备(UE)的例子的图。图5示出了可以在网络(例如LTE无线网络)中实现的E-UTRAN密钥层级的例子。图6示出了可以在操作在LTE分组交换网络中的通信设备中实现的协议栈。图7是示出LTE无线网络的例子中认证的消息流程图。图8示出了在其中UE与服务网络连接以便从归属网络获得服务的网络环境。图9是示出无线网络中的漏洞的第一例子的图。图10是根据本文公开的某些方面示出通过eNodeB用于服务网络的请求式认证的连接请求消息的第一例子的消息流程图。图11是根据本文公开的某些方面示出通过eNodeB用于服务网络的请求式认证的连接请求消息的第二例子的消息流程图。图12是根据本文公开的某些方面示出通过移动管理实体(MME)用于服务网络的请求式认证的跟踪区域更新(TAU)消息的第一例子的消息流程图。图13是根据本文公开的某些方面示出通过eNodeB用于服务网络的请求式认证的连接请求消息的第三例子的消息流程图。图14是根据本文公开的某些方面示出通过eNodeB用于服务网络的请求式认证的连接请求消息的第四例子的消息流程图。图15是根据本文公开的某些方面示出通过MME用于服务网络的请求式认证的TAU消息的第二例子的消息流程图。图16是示出无线网络中的漏洞的第二例子的图。图17是根据本文公开的某些方面示出被配置为克服图16中所示的漏洞的无线网络环境的图。图18是根据本文公开的某些方面示出通过eNodeB用于服务网络的请求式认证的连接请求消息的第五例子的消息流程图。图19是根据本文公开的某些方面示出通过eNodeB用于服务网络的请求式认证的连接请求消息的第六例子的消息流程图。图20是根据本文公开的某些方面示出通过MME用于服务网络的请求式认证的TAU消息的第三例子的消息流程图。图21是示出采用可以根据本文公开的某些方面适用的处理电路的装置的例子的框图。图22是根据本文公开的某些方面在UE处执行的无线通信方法的流程图。图23示出了根据本文公开的一个或多个方面适用的装置的硬件实现方式的第一例子。图24是根据本文公开的某些方面在网络节点处执行的无线通信方法的流程图。图25示出了根据本文公开的一个或多个方面适用的装置的硬件实现方式的第二例子。具体实施方式结合附图在下文阐述的详细描述意图作为各种配置的描述,且不打算表示在其中可以实践本文描述的概念的仅有配置。为了提供对各个概念的透彻理解的目的,详细的描述包括特定细节。然而,本领域技术人员可以理解的是,可以在没有这些特定细节的情况下实践这些概念。在一些实例中,以框图形式本文档来自技高网
...
请求式服务网络认证

【技术保护点】
一种保护用户设备(UE)和服务网络之间的无线通信的方法,包括:在所述UE和所述服务网络之间已经建立了安全关联之后,通过所述UE将请求发送到所述服务网络中的网络功能单元,其中所述请求包括随机数和签名请求;通过所述UE从所述网络功能单元接收对所述请求的响应,其中所述响应包括所述网络功能单元的签名;以及基于所述网络功能单元的签名,通过所述UE来认证所述服务网络。

【技术特征摘要】
【国外来华专利技术】2014.09.26 US 62/056,387;2015.03.31 US 14/675,6761.一种保护用户设备(UE)和服务网络之间的无线通信的方法,包括:在所述UE和所述服务网络之间已经建立了安全关联之后,通过所述UE将请求发送到所述服务网络中的网络功能单元,其中所述请求包括随机数和签名请求;通过所述UE从所述网络功能单元接收对所述请求的响应,其中所述响应包括所述网络功能单元的签名;以及基于所述网络功能单元的签名,通过所述UE来认证所述服务网络。2.根据权利要求1所述的方法,其中,所述签名是利用对应于所述网络功能单元的公共密钥证书来创建的,以及其中,所述公共密钥证书是利用由与所述服务网络相关联的网络操作员提供的所述服务网络的私有密钥来签名的。3.根据权利要求2所述的方法,其中,认证所述服务网络包括:利用信任的第三方来验证对应于所述网络功能单元的所述公共密钥证书。4.根据权利要求1所述的方法,其中,所述签名是利用在所述UE和所述网络功能单元之间共享的密钥来创建的。5.根据权利要求1所述的方法,还包括:在所述UE处维护标识对应于信任网络的公共密钥或公共密钥证书的信任网络的列表;其中,认证所述服务网络包括:通过所述UE验证所述网络功能单元的所述公共密钥和通过所述网络功能单元利用所述信任网络的列表生成的签名。6.根据权利要求1所述的方法,其中,发送到所述服务网络的所述请求包括无线资源控制消息(RRC消息)。7.根据权利要求6所述的方法,其中,所述RRC消息包括RRC连接请求、RRC连接重新建立请求、或RRC重新配置完成消息。8.根据权利要求6所述的方法,其中,所述RRC消息是在从空闲模式转变期间发送的。9.根据权利要求1所述的方法,其中,发送到所述服务网络的所述请求包括跟踪区域更新(TAU)请求。10.根据权利要求1所述的方法,还包括:将证书完整性信息请求发送到所述服务网络;以及利用从归属用户服务器接收到的第二证书完整性信息来验证从所述服务网络接收到的第一证书完整性信息;其中,所述证书完整性信息请求包括对应于所述第二证书完整性信息的证书观测站的标识符;以及其中,所述证书观测站被配置为维护一个或多个网络的一组证书的完整性。11.根据权利要求10所述的方法,其中,所述证书观测站的标识符包括互联网协议(IP)地址或通用资源定位符(URL)。12.根据权利要求10所述的方法,其中,验证第一证书完整性信息包括:利用所述证书观测站的公共密钥来认证对所述证书完整性信息请求的响应。13.根据权利要求10所述的方法,其中,验证第一证书完整性信息包括:比较所述第一证书完整性信息与所述第二证书完整性信息;当确定出所述第一证书完整性信息和所述第二证书完整性信息之间存在不同时,将证书状态请求发送给证书服务器功能单元(CSF);以及基于来自所述CSF的响应,验证网络功能单元证书的状态;其中,所述证书状态请求包括标识所述网络功能单元的第一标识信息,标识所述网络功能单元证书的第二标识信息,以及所述网络功能单元证书的版本号;以及其中,来自所述CSF的响应包括证书状态响应,所述证书状态响应包括所述网络功能单元证书的状态、所述网络的公共密钥,以及利用所述网络的私有密钥由所述CSF创建的所述证书状态响应的签名,以及其中,所述证书状态响应的验证是利用所述网络的所述公共密钥来执行的。14.一种装置,包括:无线收发机;以及耦合到所述收发机的处理器,所述处理器被配置为:在所述装置和服务网络之间已经建立了安全关联之后,将请求发送到所述服务网络中的网络功能单元,其中,所述请求包括随机数和签名请求;从所述网络功能单元接收对所述请求的响应,其中,所述响应包括所述网络功能单元的签名;以及基于所述网络功能单元的签名来认证所述服务网络。15.根据权利要求14所述的装置,其中,所述请求包括无线资源控制连接请求或跟踪区域请求,以及其中,所述处理器被配置为:在所述装置从空闲模式转变时,发送所述无线资源控制连接请求或跟踪区域请求到所述服务网络中的所述网络功能单元。16.根据权利要求14所述的装置,其中,所述签名是利用在所述UE和所述网络功能单元之间共享的密钥,或是利用使用由与所述服务网络相关联的网络操作员提供的所述服务...

【专利技术属性】
技术研发人员:S·B·李G·霍恩A·帕拉尼恭德尔
申请(专利权)人:高通股份有限公司
类型:发明
国别省市:美国,US

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1