用于获得对网络的初始接入的方法以及相关的无线设备和网络节点技术

本公开提供了一种在无线设备60中执行的方法，该方法用于获得对网络700、800的初始接入以建立向连接到网络700、800的服务器80的连接。无线设备60存储设备公钥和设备私钥。服务器80存储设备公钥。该方法包括向网络700、800的网络节点70发送S1初始接入请求，并从网络节点70接收S2认证请求，认证请求包括质询。该方法包括基于质询和设备公钥生成S4设备认证符，并向网络节点70发送S5认证响应。认证响应包括设备认证符。该方法包括从网络节点70接收S6初始接入响应，初始接入响应包括指示初始接入是被准许还是拒绝的指示符。

Method for obtaining initial access to network and related wireless devices and network nodes

The present disclosure provides a method performed in a wireless device 60 for obtaining initial access to network 700 and 800 to establish a connection to a server 80 connected to a network 700 and 800. The wireless device 60 stores the public key and the device private key of the device. Server 80 stores the public key of the device. The method includes transmitting the S1 initial access request to the network node 70 of the network 700 and 800, and receiving the S2 authentication request from the network node 70, and the authentication request includes a question. The method includes generating S4 device identifier based on query and device public key, and sending S5 authentication response to network node 70. The authentication response includes the device authenticator. The method includes receiving the initial S6 access response from the network node 70, and the initial access response includes an indicator indicating whether the initial access is permitted or denied.

【技术实现步骤摘要】
【国外来华专利技术】用于获得对网络的初始接入的方法以及相关的无线设备和网络节点
本公开涉及安全性，且具体涉及初始网络接入。更具体地，本公开涉及用于获得对网络的初始接入的方法，并且涉及相关的无线设备和网络节点。
技术介绍
预计2020年将有500亿台设备连接到互联网，其中连接了诸如传感器、灯泡等无线设备的物联网(IoT)将会是连接设备的主要部分。安全对于这些无线设备非常重要。例如，确保从传感器传送的数据最终到达正确的地方中并且没有被篡改，且来自这些传感器的敏感数据不被暴露，这一点非常重要。另一个例子是需要防止篡改发往和来自诸如门锁或起搏器之类的控制设备的数据，对于这些控制设备，篡改可能对人的财产或健康产生严重后果。不仅无线设备本身和无线设备提供的服务应受到保护(例如，保护无线设备与无线设备向其传送敏感传感器数据的服务器之间的通信)，而且设备管理(例如，设备的软件更新和配置)以及服务注册和启用需要以安全的方式处理。因此，防止中间人操纵SW，将无线设备置于有故障/不安全的配置中，或使无线设备注册到流氓服务器非常重要。在IoT中，无线设备通常是具有有限的计算和通信功率和存储器的受限设备。对于这样的无线设备，已经在各种标准化论坛中提出了若干标准。这些标准中的一个标准是轻量机器对机器LwM2M协议，该协议为受限无线设备的引导、注册、管理、服务启用和信息报告提供了手段。LwM2M协议运行在受限应用协议CoAP之上，CoAP是由IETF标准化的针对受限设备的表示状态转移(REST)应用协议。LwM2M和CoAP都要求将数据报传输层安全(DTLS)用于安全通信，包括无线设备和服务器(引导服务器、设备管理服务器或数据报告服务器)之间的相互认证。CoAP和LwM2M规范描述了要使用DTLS的三种模式，并规定了要使用的强制DTLS密码套件：·具有预共享密钥的DTLS：使用无线设备和服务器之间的预共享密钥。·具有原公钥密钥(RPK)模式下的公钥和私钥对的DTLS：无线设备和服务器都有单独的公-私椭圆曲线密码密钥对用于相互认证，并且RPK格式用于在IoT设备和服务器之间传递密钥以避免证书，并节省无线设备中的存储器和处理能力。·具有证书的DTLS：无线设备和服务器都具有单独的公-私椭圆曲线密码密钥对和证明其公钥的对应证书。私钥和证书用于相互认证。为了允许受限无线设备以这些模式中的任何模式与不同服务器建立DTLS会话，有必要向受限无线设备提供凭证，例如预共享密钥，公钥-私钥对以及证书。然而，受限无线设备通常很缺乏接口和显示使得拥有该设备的用户/企业能够使用凭证来手动配置无线设备。通常，唯一的接口是网络接口。在许多情况下，用户/企业购买数百或数千个无线设备，然后对每个设备的手动配置太耗时。通常，无线设备可能已经在无线设备的制造商处被预先配置有一些凭证，但仍然需要被提供以具有支持无线设备在用户/企业网络中安全地操作的设备凭证。然而，为了安全地获得设备凭证，无线设备需要获得对通信网络(例如，LTE网络)的初始网络接入，以使得能够连接到企业网络。为了保证初始网络接入的安全，网络至少需要使用接入网络认证协议来认证无线设备。根据所接入网络的类型，存在许多不同的接入网络认证协议。实现这种安全连接的协议需要尽可能地轻量，以被IoT中的无线设备所支持，并且需要与各种网络互操作。WO2008/128873提供了方法和系统，其允许移动设备制造商预先配置移动设备以向任何能够接入集中式设备目录服务器的网络运营商进行预订。目录服务器存储设备记录，每个设备记录包括初步预订标识。制造商使用这些初步预订标识各自提供新的移动设备，网络运营商通过向目录服务器提交请求，使其将个人设备记录与适当的凭证服务器地址相链接，以初步注册订户。移动设备通过提交它们的初步预订标识来获得临时网络接入，该初步预订标识被传递给目录服务器进行验证。继而，目录服务器生成给予移动设备临时网络接入的认证向量，并返回适当的凭证服务器地址。移动设备使用该地址信息来提交请求永久预订凭证的安全请求，并且所涉及的凭证服务器响应于有效请求安全地返回永久预订凭证。具有专用的初步或临时密码材料是资源受到限制且密码材料的数量或数目保持最小的无线设备的次优解决方案。WO2008/128873仅涉及无线设备对蜂窝系统的初始网络接入，并且不处理跨各种网络的交互。因此，需要为无线设备提供对各种网络的初始接入的轻量安全协议。
技术实现思路
本公开的目的在于，提供以单独或任何组合的形式来缓解、减轻或消除现有技术中的上述一个或多个缺陷和缺点的方法、无线设备和服务器。该目标通过在无线设备中执行的方法而获得，该方法用于获得对网络的初始接入以建立向连接到网络的服务器的连接。无线设备存储设备公钥和设备私钥。服务器存储设备公钥。该方法包括向网络的网络节点发送初始接入请求，并从网络节点接收认证请求，认证请求包括质询。该方法包括基于质询和设备公钥生成设备认证符，并向网络节点发送认证响应。认证响应包括设备认证符。该方法包括从网络节点接收初始接入响应，初始接入响应包括初始接入是被准许还是拒绝的指示符。本公开提供了一种轻量技术，用于使用已经提供且未暴露的设备公钥作为共享秘密来为附着到网络的无线设备获得初始网络接入，该网络可以是归属网络或访问网络。因此不需要专门用于获得初始网络接入的临时/初步密码材料。因而，无线设备可以减少用于存储密码材料的存储器使用，并且仅存储设备公钥和设备私钥，并仍然获得对(归属或访问)网络的初始接入，使得能够例如被提供永久网络接入凭证。该目标还通过在网络节点中执行的用于向无线设备提供初始网络接入的方法来获得。网络节点连接到第二服务器和存储无线设备的设备公钥的第一服务器。方法包括从无线设备接收初始接入请求；以及确定无线设备的设备网络标识符。方法包括从第二服务器获得与设备网络标识符相对应的认证数据。认证数据包括质询。方法包括向无线设备发送认证请求。认证请求包括质询。方法包括从无线设备接收认证响应。认证响应包括设备认证符。方法包括基于设备认证符和认证数据来验证接收到的认证响应；以及在成功验证时：向无线设备发送初始接入响应。本公开的优点是，网络节点能够以几乎相同的方式操作并且通过从第二服务器获得认证数据来适应本文公开的无线设备，因此能够认证本文公开的无线设备以进行初始接入。此外，所公开的网络节点方法允许无线设备根据网络是归属网络还是访问网络，是无线局域网还是蜂窝网络来独立地请求并获得对各种网络的初始接入。本文还公开了无线设备。无线设备包括被配置为与服务器和网络节点通信的接口、其上存储有设备公钥和设备私钥的存储单元以及被配置为经由接口向网络的网络节点发送初始接入请求的处理器。处理器被配置为经由接口从网络节点接收认证请求。认证请求包括质询。处理器被配置为基于质询和设备公钥生成设备认证符，并经由接口向网络节点发送认证响应。认证响应包括设备认证符。处理器被配置为经由接口从网络节点接收初始接入响应。初始接入响应包括指示初始接入是被准许还是拒绝的指示符。本公开还涉及用于无线设备到网络的初始接入的网络节点。网络节点包括：被配置为与无线设备通信的第一接口，以及被配置为与第二服务器和存储无线设备的设备公钥的第一服务器通信的第二接口。网络节点包括存储单元和处理器，处本文档来自技高网...

【技术保护点】
一种在无线设备(60)中执行的方法，所述方法用于获得对网络(700、800)的初始接入，以建立向连接到所述网络(700、800)的服务器(80)的连接，所述无线设备(60)存储设备公钥和设备私钥，所述服务器(80)存储所述设备公钥，所述方法包括：‑向所述网络(700、800)的网络节点(70)发送(S1)初始接入请求；‑从所述网络节点(70)接收(S2)认证请求，所述认证请求包括质询；‑基于所述质询和所述设备公钥生成(S4)设备认证符；‑向所述网络节点(70)发送(S5)认证响应，所述认证响应包括所述设备认证符；以及‑从所述网络节点(70)接收(S6)初始接入响应，所述初始接入响应包括指示初始接入是被准许还是拒绝的指示符。

【技术特征摘要】
【国外来华专利技术】1.一种在无线设备(60)中执行的方法，所述方法用于获得对网络(700、800)的初始接入，以建立向连接到所述网络(700、800)的服务器(80)的连接，所述无线设备(60)存储设备公钥和设备私钥，所述服务器(80)存储所述设备公钥，所述方法包括：-向所述网络(700、800)的网络节点(70)发送(S1)初始接入请求；-从所述网络节点(70)接收(S2)认证请求，所述认证请求包括质询；-基于所述质询和所述设备公钥生成(S4)设备认证符；-向所述网络节点(70)发送(S5)认证响应，所述认证响应包括所述设备认证符；以及-从所述网络节点(70)接收(S6)初始接入响应，所述初始接入响应包括指示初始接入是被准许还是拒绝的指示符。2.根据权利要求1所述的方法，其中，所述发送(S1)包括：基于所述设备公钥生成(S11)设备标识符；以及向所述网络节点(70)发送(S12)所述设备标识符。3.根据权利要求2所述的方法，其中，生成(S11)所述设备标识符包括从所述网络节点(70)接收(S11a)标识请求，发送(S12)所述设备标识符包括在标识响应中向所述网络节点(70)发送(S12a)所述设备标识符。4.根据前述权利要求中的任一项所述的方法，其中，所述认证请求还包括网络认证符，所述网络认证符提供所述服务器拥有所述设备公钥的证据，所述方法还包括：基于所述网络认证符和所述设备公钥来验证(S3)所述认证请求；以及在成功验证时进行到所述生成(S4)步骤。5.根据前述权利要求中的任一项所述的方法，其中，使用从所述设备公钥导出的共享秘密，根据认证和密钥协商AKA协议执行对所述认证请求的验证(S3)。6.根据前述权利要求中的任一项所述的方法，其中，生成(S4)所述设备认证符包括从所述设备公钥导出(S41)共享秘密，以及将所述质询和所导出的共享秘密作为输入，使用所述AKA协议来生成所述设备认证符。7.根据前述权利要求中的任一项所述的方法，所述方法包括：生成(S7)会话密钥以实现从所述服务器(80)安全提供凭证。8.根据权利要求7所述的方法，其中，所述会话密钥包括密码密钥和/或完整性密钥。9.根据权利要求2至8中的任一项所述的方法，其中，生成(S11)所述设备标识符包括基于所述设备标识符生成(S11b)临时设备网络标识符。10.根据权利要求9所述的方法，其中，生成(S11b)所述临时设备网络标识符包括对所述设备标识符进行编码以匹配网络标识符格式，所述网络标识符格式包括蜂窝网络标识符格式和/或无线局域网标识符格式。11.根据权利要求2-10中的任一项所述的方法，其中，生成(S11)所述设备标识符还包括：从所述网络接收(S11c)附加标识请求，生成附加临时设备网络标识符，以及在附加标识响应中发送(S11d)附加临时设备网络标识符。12.根据权利要求10至11中的任一项所述的方法，其中，所述蜂窝网络标识符格式包括国际移动订户标识IMSI格式。13.根据权利要求10至11中的任一项所述的方法，其中，所述无线局域网标识符包括网络接入标识符。14.根据前述权利要求中的任一项所述的方法，其中，生成(S4)所述设备认证符包括使用所述质询和所述设备公钥来生成(S42)消息认证码MAC。15.根据前述权利要求中的任一项所述的方法，所述方法还包括：生成(S7)设备随机数，以及在所述认证响应中向所述网络节点(70)发送所述设备随机数。16.根据权利要求15所述的方法，其中，使用所述质询和所述设备公钥生成(S42)所述消息认证码包括：使用所述设备公钥，关于所述质询和所述设备随机数生成所述MAC。17.根据权利要求15至16中的任一项所述的方法，其中，从所述网络节点(70)接收(S2)认证请求包括：接收(S21)包括质询的第一认证请求和包括网络认证符的第二认证请求，所述网络认证符是基于所述设备随机数生成的。18.根据权利要求15-17中的任一项所述的方法，其中，所述网络认证符包括使用所述设备公钥的关于所述质询和/或所述设备随机数的MAC，验证(S3)所述认证请求包括验证(S31)所述MAC。19.根据前述权利要求中的任一项所述的方法，所述凭证包括服务器公钥、服务器证书、证书机构CA、用于被配置为与所述设备通信的一个或多个服务器(80)的证书、设备证书、对称密钥和/或标识符。20.一种在网络节点(70)中执行的用于向无线设备(60)提供初始网络接入的方法，所述网络节点(70)连接到存储所述无线设备(60)的设备公钥的第一服务器(80)并且连接到第二服务器(81)，所述方法包括：-从所述无线设备(60)接收(S301)初始接入请求；-确定(S302)所述无线设备(60)的设备网络标识符；-从所述第二服务器(81)获得(S303)与所述设备网络标识符相对应的认证数据，所述认证数据包括质询；-向所述无线设备(60)发送(S304)认证请求，所述认证请求包括所述质询；-从所述无线设备(60)接收(S305)认证响应，所述认证响应包括设备认证符；-基于所述设备认证符和所述认证数据来验证(S306)接收到的认证响应；以及在成功验证时：-向所述无线设备(60)发送(S307)初始接入响应。21.根据权利要求20所述的方法，其中，确定(S302)所述设备网络标识符包括从所述无线设备(60)接收(S302a)设备标识符；以及使用所述设备标识符向标识注册器90请求(S302b)所述设备网络标识符。22.根据权利要求21所述的方法，其中，从所述无线设备(60)接收(S302a)所述设备标识符包括向所述无线设备发送标识请求以及接收包括所述设备标识符的标识响应。23...

【专利技术属性】
技术研发人员：珀尔·斯塔赫，
申请(专利权)人：瑞典爱立信有限公司，
类型：发明
国别省市：瑞典,SE