蜂窝设备认证制造技术

在制造、分发或销售移动电话时，每个电话与非对称加密密钥对相关联，其包括公钥和私钥。私钥存储在电话上，公钥存储在公钥存储库中。当连接到蜂窝网络时，电话会将其设备ID提供给网络。蜂窝网络查询公钥存储库以确定电话的公钥并使用电话的公钥认证电话。蜂窝网络还向电话提供数字身份证书，允许电话使用公钥基础设施(PKI)认证蜂窝网络。

Cellular device authentication

In manufacturing, distributing, or selling mobile phones, each phone is associated with an asymmetric encryption key pair, which includes a public key and a private key. The private key is stored on the phone, and the public key is stored in the public key repository. When connected to a cellular network, the telephone will provide its device ID to the network. The cellular network queries the public key repository to determine the public key of the telephone and authenticated the telephone with the public key of the telephone. Cellular networks also provide digital identity certificates to telephones, allowing them to authenticate cellular networks using the Public Key Infrastructure (PKI).

【技术实现步骤摘要】
【国外来华专利技术】蜂窝设备认证相关申请的交叉引用本专利申请要求于2016年2月23日提交的序列号为15/051,447的美国实用专利申请的优先权。序列号为15/051,447的申请的全部内容通过引用并入本文。
技术介绍
诸如蜂窝电话之类的蜂窝通信设备通常使用集成电路芯片(称为订户识别模块(SIM))来向蜂窝网络供应商进行认证。SIM存储所谓的国际移动订户身份(IMSI)号码，以及特定于发布网络供应商的各种配置信息。SIM还存储唯一的秘密加密密钥，并且具有基于秘密密钥(secretkey)执行加密和解密的处理器。网络供应商维护一个称为认证中心(AuC)的数据库，该数据库存储每个发行的SIM的秘密密钥。为了使用蜂窝通信系统进行认证，设备将SIM的IMSI发送给网络供应商。网络供应商参考AuC以找到SIM的秘密密钥。然后，网络供应商向设备发送随机值(RAND)。设备将随机数传递给SIM，SIM使用秘密密钥生成RAND的数字签名。数字签名被传递回网络供应商，并与网络供应商使用秘密密钥计算出的RAND的数字签名进行比较。如果设备提供的数字签名与网络供应商计算出的数字签名匹配，则认为该设备被认证并且被授权访问蜂窝网络。SIM执行类似的数字签名检查以验证网络供应商请求。使用在设备和网络供应商AuC之间建立的会话密钥对进一步的通信进行加密和解密。附图说明参考附图描述具体实施方式。在附图中，参考标号的最左边的数字标识首次出现该参考标号的图。在不同附图中使用相同的参考标号表示相似或相同的组件或特征。图1是用于在蜂窝通信设备和蜂窝网络供应商之间执行相互认证的系统的框图。图2是示出将非对称加密密钥对与蜂窝通信设备相关联的示例方法的流程图。图3是示出在蜂窝通信设备和蜂窝网络供应商之间进行认证和通信的示例方法的流程图。图4是示出激活和配置蜂窝通信设备的示例方法的流程图。图5是示例蜂窝通信设备的框图。图6是可用于实现蜂窝网络的各种组件(包括蜂窝网络的服务器)的示例计算设备的框图。具体实施方式所描述的实现提供了允许蜂窝通信设备向蜂窝网络供应商进行认证而不使用诸如订户识别模块(SIM)之类的物理令牌的设备、系统和方法。非对称加密密钥对与每个制造的蜂窝通信设备的非易失性安全内存相关联并存储在其中。非对称密钥对包括公钥和私钥。诸如国际移动订户身份(IMSI)号码之类的唯一码也存储在每个设备上。设备的制造商或另一受信实体维护公钥存储库，该公钥存储库将设备的IMSI交叉引用到设备的公钥。对于对应于特定设备的每个IMSI，可以引用存储库以找到设备的公钥。存储库是公共的并且是受信的，因此可以由多个蜂窝网络供应商访问。为了获得对蜂窝网络的访问，设备向网络供应商发送指示设备的IMSI的消息。网络供应商访问公钥存储库以确定设备的公钥。然后，供应商使用数字签名方案对设备进行如下认证：供应商生成随机值消息(RAND)；设备接收RAND并使用存储在设备上的私钥加密RAND，并将加密的RAND发送回供应商；供应商使用设备的公钥解密RAND，并将返回的RAND与最初发送的RAND进行比较。如果两个值匹配，则认为该设备被认证并且被授权访问蜂窝网络。蜂窝通信设备还可以使用公钥基础设施(PKI)技术来认证蜂窝网络供应商。例如，蜂窝供应商可以向设备发送数字身份证书。设备使用公钥基础设施(PKI)的认证机构(CA)的服务来验证证书。证书指定与网络供应商所持有的私钥相对应的非对称加密密钥对的公钥。可以对设备和供应商之间的通信进行数字签名，以允许每个实体验证另一个实体的身份。例如，来自设备的消息可以用设备私钥签名，并且供应商可以使用设备公钥来验证签名，该设备公钥是基于设备提供的IMSI从存储库获得的。类似地，来自供应商的消息可以使用供应商的私钥来签名，并且设备可以使用由供应商的证书指定的供应商公钥来验证签名。在认证之后，使用由设备或网络供应商使用PKI生成的唯一会话密钥来加密设备和蜂窝网络之间的进一步通信。当激活设备时，蜂窝网络供应商还可以向设备发送配置信息。可以使用蜂窝供应商的私钥来对配置信息进行签名，使得设备可以使用蜂窝供应商的公钥来验证配置信息的真实性。配置信息可以包括诸如服务供应商名称、服务拨号号码、设备的电话号码、漫游偏好、网络连接参数等信息。图1示出了示例系统100，其中可以使用非对称加密技术和公钥基础设施(PKI)来执行对蜂窝电信设备的认证。系统100包括蜂窝网络供应商102，其为多个蜂窝通信设备104提供无线蜂窝电信服务。出于讨论的目的，在图1中仅示出了单个蜂窝通信设备104，在下文中简称为“设备”104。该系统还包括密钥存储库106和公钥基础设施(PKI)的认证机构(CA)108。设备104可以包括任何类型的蜂窝通信设备，例如智能手机、平板计算机、个人计算机、膝上型计算机、可穿戴设备、家庭自动化设备、安全设备、跟踪设备等。在制造、分发或销售时设备104被配置有设备ID110。设备的设备ID在所有现有蜂窝设备上是全球唯一的。作为示例，设备ID可以包括国际移动台设备身份(IMEI)号码。在制造、分发或销售时设备104还被配置为与非对称加密密钥对相关联，密钥对包括私钥112和公钥114。私钥112被安全地存储在设备104上，并且在一些情况下，公钥114也可以存储在设备104上。此外，公钥114存储在密钥存储库106中，并由设备ID110索引。可以根据RSA加密技术来创建加密密钥对。当使用RSA非对称加密/解密技术时，第一实体可以自由地分发其公钥。也就是说，公钥不需要是秘密的。当第二实体希望将加密通信发送到第一实体时，使用算法来使用第一实体的公钥加密通信。在接收到加密通信时，第一实体使用其私钥来解密通信。除了在设备104上嵌入设备ID110、私钥112和公钥114之外，设备104的制造商、分销商或销售者将公钥114添加到密钥存储库106，使得网络供应商102可以访问和使用对应于任何设备ID110的公钥114。密钥存储库106可以由设备104的销售者维护，或者可以由第三方维护，作为可由许多不同设备制造商或其他设备销售者访问的中央存储库。密钥存储库交叉引用设备ID和相应的公钥。密钥存储库106包括多个条目116，每个条目由设备ID110索引，并且每个条目包含设备104的对应于设备ID110的公钥114。此外，用于特定设备ID110的条目116和对应设备104可以包含关于设备104的设备信息118。例如，设备信息118可以指示设备104的制造商、设备104的型号或类型、设备104的容量、能力或其他规范等。设备信息118由设备104的制造商或其他销售者或供应商提供。网络供应商102可以包括执行设备授权的一个或更多个服务器或其他功能组件。出于讨论的目的，网络供应商102被示为具有授权服务器120，授权服务器120执行本文描述的与认证有关的操作，尽管本文归属于授权服务器120的功能可以由多于一个服务器或计算实体执行。这里使用的术语“服务器”指的是为一个或更多个其他实体提供服务的任何计算实体或计算实体的组合。网络供应商102可以具有由CA108提供的数字身份证书122。网络供应商102还可以具有其自己的非对称加密密钥对，其包括公钥124和对应的私钥126。证书122指示或指定供应商公钥本文档来自技高网...

【技术保护点】
1.一种由蜂窝通信网络服务器执行的方法，所述方法包括：从蜂窝通信设备接收设备标识符，所述蜂窝通信设备与包括私钥和公钥的非对称加密密钥对相关联；使用所述设备标识符访问密钥存储库，以确定所述蜂窝通信设备的所述公钥，所述密钥存储库交叉引用设备标识符以分别对应公钥；使用所述蜂窝通信设备的所述公钥认证所述蜂窝通信设备；将数字身份证书发送到所述蜂窝通信设备，以由所述蜂窝通信网络服务器的所述蜂窝通信设备进行认证；与所述蜂窝通信设备交换一个或更多个会话密钥；以及使用所述一个或更多个会话密钥加密所述蜂窝通信网络服务器和所述蜂窝通信设备之间的通信。

【技术特征摘要】
【国外来华专利技术】2016.02.23 US 15/051,4471.一种由蜂窝通信网络服务器执行的方法，所述方法包括：从蜂窝通信设备接收设备标识符，所述蜂窝通信设备与包括私钥和公钥的非对称加密密钥对相关联；使用所述设备标识符访问密钥存储库，以确定所述蜂窝通信设备的所述公钥，所述密钥存储库交叉引用设备标识符以分别对应公钥；使用所述蜂窝通信设备的所述公钥认证所述蜂窝通信设备；将数字身份证书发送到所述蜂窝通信设备，以由所述蜂窝通信网络服务器的所述蜂窝通信设备进行认证；与所述蜂窝通信设备交换一个或更多个会话密钥；以及使用所述一个或更多个会话密钥加密所述蜂窝通信网络服务器和所述蜂窝通信设备之间的通信。2.如权利要求1所述的方法，还包括在将所述蜂窝通信设备销售给消费者之前将所述私钥存储在所述蜂窝通信设备上。3.如权利要求1所述的方法，其中：所述私钥通过所述蜂窝通信设备的销售者存储在所述蜂窝通信设备上；以及所述密钥存储库至少部分地由所述蜂窝通信设备的所述销售者维护。4.如权利要求1所述的方法，其中，认证所述蜂窝通信设备包括：向所述蜂窝通信设备发送第一值；从所述蜂窝通信设备接收第二值；解密所述第二值；以及确定所述第二值与所述第一值相同。5.如权利要求1所述的方法，还包括：将配置信息发送到所述蜂窝通信设备；生成所述配置信息的数字签名；以及将所述数字签名发送到所述蜂窝通信设备。6.如权利要求1所述的方法，还包括：加密所述一个或更多个会话密钥；其中，与所述蜂窝通信设备交换所述一个或更多个会话密钥包括将一个或更多个加密的会话密钥发送到所述蜂窝通信设备。7.如权利要求1所述的方法，其中，与所述蜂窝通信设备交换所述一个或更多个会话密钥包括从所述蜂窝通信设备接收一个或更多个加密的会话密钥；所述方法还包括解密所述一个或更多个加密的会话密钥。8.一种蜂窝通信设备，包括：一个或更多个处理器；存储设备ID和非对称加密密钥对的私钥的一个或更多个非暂时性计算机可读介质，存储计算机可执行指令的所述一个或更多个非暂时性计算机可读介质，当在所述一个或更多个处理器上执行所述指令时，使得所述一个或更多个处理器执行以下动作，包括：将所述设备ID发送给蜂窝通信供应商；至少部分地基于所述非对称加密密钥对与所述蜂窝通信提供商进行认证；从所述蜂窝通信供应商接收数字身份证书；使用公...

【专利技术属性】
技术研发人员：A·西利斯，
申请(专利权)人：T移动美国公司，
类型：发明
国别省市：美国,US