The present disclosure provides a method performed in a wireless device 60 for obtaining initial access to network 700 and 800 to establish a connection to a server 80 connected to a network 700 and 800. The wireless device 60 stores the public key and the device private key of the device. Server 80 stores the public key of the device. The method includes transmitting the S1 initial access request to the network node 70 of the network 700 and 800, and receiving the S2 authentication request from the network node 70, and the authentication request includes a question. The method includes generating S4 device identifier based on query and device public key, and sending S5 authentication response to network node 70. The authentication response includes the device authenticator. The method includes receiving the initial S6 access response from the network node 70, and the initial access response includes an indicator indicating whether the initial access is permitted or denied.
【技术实现步骤摘要】
【国外来华专利技术】用于获得对网络的初始接入的方法以及相关的无线设备和网络节点
本公开涉及安全性,且具体涉及初始网络接入。更具体地,本公开涉及用于获得对网络的初始接入的方法,并且涉及相关的无线设备和网络节点。
技术介绍
预计2020年将有500亿台设备连接到互联网,其中连接了诸如传感器、灯泡等无线设备的物联网(IoT)将会是连接设备的主要部分。安全对于这些无线设备非常重要。例如,确保从传感器传送的数据最终到达正确的地方中并且没有被篡改,且来自这些传感器的敏感数据不被暴露,这一点非常重要。另一个例子是需要防止篡改发往和来自诸如门锁或起搏器之类的控制设备的数据,对于这些控制设备,篡改可能对人的财产或健康产生严重后果。不仅无线设备本身和无线设备提供的服务应受到保护(例如,保护无线设备与无线设备向其传送敏感传感器数据的服务器之间的通信),而且设备管理(例如,设备的软件更新和配置)以及服务注册和启用需要以安全的方式处理。因此,防止中间人操纵SW,将无线设备置于有故障/不安全的配置中,或使无线设备注册到流氓服务器非常重要。在IoT中,无线设备通常是具有有限的计算和通信功率和存储器的受限设备。对于这样的无线设备,已经在各种标准化论坛中提出了若干标准。这些标准中的一个标准是轻量机器对机器LwM2M协议,该协议为受限无线设备的引导、注册、管理、服务启用和信息报告提供了手段。LwM2M协议运行在受限应用协议CoAP之上,CoAP是由IETF标准化的针对受限设备的表示状态转移(REST)应用协议。LwM2M和CoAP都要求将数据报传输层安全(DTLS)用于安全通信,包括无线设备和服务器(引导服务器 ...
【技术保护点】
一种在无线设备(60)中执行的方法,所述方法用于获得对网络(700、800)的初始接入,以建立向连接到所述网络(700、800)的服务器(80)的连接,所述无线设备(60)存储设备公钥和设备私钥,所述服务器(80)存储所述设备公钥,所述方法包括:‑向所述网络(700、800)的网络节点(70)发送(S1)初始接入请求;‑从所述网络节点(70)接收(S2)认证请求,所述认证请求包括质询;‑基于所述质询和所述设备公钥生成(S4)设备认证符;‑向所述网络节点(70)发送(S5)认证响应,所述认证响应包括所述设备认证符;以及‑从所述网络节点(70)接收(S6)初始接入响应,所述初始接入响应包括指示初始接入是被准许还是拒绝的指示符。
【技术特征摘要】
【国外来华专利技术】1.一种在无线设备(60)中执行的方法,所述方法用于获得对网络(700、800)的初始接入,以建立向连接到所述网络(700、800)的服务器(80)的连接,所述无线设备(60)存储设备公钥和设备私钥,所述服务器(80)存储所述设备公钥,所述方法包括:-向所述网络(700、800)的网络节点(70)发送(S1)初始接入请求;-从所述网络节点(70)接收(S2)认证请求,所述认证请求包括质询;-基于所述质询和所述设备公钥生成(S4)设备认证符;-向所述网络节点(70)发送(S5)认证响应,所述认证响应包括所述设备认证符;以及-从所述网络节点(70)接收(S6)初始接入响应,所述初始接入响应包括指示初始接入是被准许还是拒绝的指示符。2.根据权利要求1所述的方法,其中,所述发送(S1)包括:基于所述设备公钥生成(S11)设备标识符;以及向所述网络节点(70)发送(S12)所述设备标识符。3.根据权利要求2所述的方法,其中,生成(S11)所述设备标识符包括从所述网络节点(70)接收(S11a)标识请求,发送(S12)所述设备标识符包括在标识响应中向所述网络节点(70)发送(S12a)所述设备标识符。4.根据前述权利要求中的任一项所述的方法,其中,所述认证请求还包括网络认证符,所述网络认证符提供所述服务器拥有所述设备公钥的证据,所述方法还包括:基于所述网络认证符和所述设备公钥来验证(S3)所述认证请求;以及在成功验证时进行到所述生成(S4)步骤。5.根据前述权利要求中的任一项所述的方法,其中,使用从所述设备公钥导出的共享秘密,根据认证和密钥协商AKA协议执行对所述认证请求的验证(S3)。6.根据前述权利要求中的任一项所述的方法,其中,生成(S4)所述设备认证符包括从所述设备公钥导出(S41)共享秘密,以及将所述质询和所导出的共享秘密作为输入,使用所述AKA协议来生成所述设备认证符。7.根据前述权利要求中的任一项所述的方法,所述方法包括:生成(S7)会话密钥以实现从所述服务器(80)安全提供凭证。8.根据权利要求7所述的方法,其中,所述会话密钥包括密码密钥和/或完整性密钥。9.根据权利要求2至8中的任一项所述的方法,其中,生成(S11)所述设备标识符包括基于所述设备标识符生成(S11b)临时设备网络标识符。10.根据权利要求9所述的方法,其中,生成(S11b)所述临时设备网络标识符包括对所述设备标识符进行编码以匹配网络标识符格式,所述网络标识符格式包括蜂窝网络标识符格式和/或无线局域网标识符格式。11.根据权利要求2-10中的任一项所述的方法,其中,生成(S11)所述设备标识符还包括:从所述网络接收(S11c)附加标识请求,生成附加临时设备网络标识符,以及在附加标识响应中发送(S11d)附加临时设备网络标识符。12.根据权利要求10至11中的任一项所述的方法,其中,所述蜂窝网络标识符格式包括国际移动订户标识IMSI格式。13.根据权利要求10至11中的任一项所述的方法,其中,所述无线局域网标识符包括网络接入标识符。14.根据前述权利要求中的任一项所述的方法,其中,生成(S4)所述设备认证符包括使用所述质询和所述设备公钥来生成(S42)消息认证码MAC。15.根据前述权利要求中的任一项所述的方法,所述方法还包括:生成(S7)设备随机数,以及在所述认证响应中向所述网络节点(70)发送所述设备随机数。16.根据权利要求15所述的方法,其中,使用所述质询和所述设备公钥生成(S42)所述消息认证码包括:使用所述设备公钥,关于所述质询和所述设备随机数生成所述MAC。17.根据权利要求15至16中的任一项所述的方法,其中,从所述网络节点(70)接收(S2)认证请求包括:接收(S21)包括质询的第一认证请求和包括网络认证符的第二认证请求,所述网络认证符是基于所述设备随机数生成的。18.根据权利要求15-17中的任一项所述的方法,其中,所述网络认证符包括使用所述设备公钥的关于所述质询和/或所述设备随机数的MAC,验证(S3)所述认证请求包括验证(S31)所述MAC。19.根据前述权利要求中的任一项所述的方法,所述凭证包括服务器公钥、服务器证书、证书机构CA、用于被配置为与所述设备通信的一个或多个服务器(80)的证书、设备证书、对称密钥和/或标识符。20.一种在网络节点(70)中执行的用于向无线设备(60)提供初始网络接入的方法,所述网络节点(70)连接到存储所述无线设备(60)的设备公钥的第一服务器(80)并且连接到第二服务器(81),所述方法包括:-从所述无线设备(60)接收(S301)初始接入请求;-确定(S302)所述无线设备(60)的设备网络标识符;-从所述第二服务器(81)获得(S303)与所述设备网络标识符相对应的认证数据,所述认证数据包括质询;-向所述无线设备(60)发送(S304)认证请求,所述认证请求包括所述质询;-从所述无线设备(60)接收(S305)认证响应,所述认证响应包括设备认证符;-基于所述设备认证符和所述认证数据来验证(S306)接收到的认证响应;以及在成功验证时:-向所述无线设备(60)发送(S307)初始接入响应。21.根据权利要求20所述的方法,其中,确定(S302)所述设备网络标识符包括从所述无线设备(60)接收(S302a)设备标识符;以及使用所述设备标识符向标识注册器90请求(S302b)所述设备网络标识符。22.根据权利要求21所述的方法,其中,从所述无线设备(60)接收(S302a)所述设备标识符包括向所述无线设备发送标识请求以及接收包括所述设备标识符的标识响应。23...
【专利技术属性】
技术研发人员:珀尔·斯塔赫,
申请(专利权)人:瑞典爱立信有限公司,
类型:发明
国别省市:瑞典,SE
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。