用于管理服务器和用户设备之间的通信的方法技术

本发明专利技术是一种用于通过一组命令/响应对在服务器（30）和用户设备（20）之间通信的方法。用户设备（20）使用如由ETSI TS 124.008定义的附着请求帧的IMSI字段来将命令传送到服务器（30）。服务器（30）使用如由ETSI TS 124.008定义的认证请求帧的认证参数RAND字段或认证参数AUTN字段来传送对应于接收到的命令的响应。服务器（30）响应于附着请求帧而发送认证请求帧。

Method for managing communication between server and user equipment

The invention is a method for communicating between a server (30) and a user device (20) through a set of command / response pairs. The user device (20) transmits the command to the server (30) using the IMSI field of the attached request frame as defined by ETSI TS 124.008. The server (30) uses the authentication parameter Rand field or the authentication parameter autn field of the authentication request frame defined by ETSI TS 124.008 to transmit the response corresponding to the received command. The server (30) sends an authentication request frame in response to the attachment request frame.

【技术实现步骤摘要】
【国外来华专利技术】用于管理服务器和用户设备之间的通信的方法
本专利技术涉及管理服务器和用户设备之间的通信的方法。它特别涉及在服务器和没有完整电信凭证的电信用户设备之间建立通信信道的方法。
技术介绍
为了安全地连接电信通信网络，用户设备需要被提供有被称为IMSI/Ki对（couple）的完整电信凭证，其中IMSI是电信订阅的唯一标识符，并且Ki是由移动网络运营商唯一分配给订阅的秘密密钥。IMSI/Ki对通常被存储在防篡改元件中，该元件可以是SIM卡、通用集成电路卡（UICC）、嵌入式安全元件（例如eUICC）、软件安全包围区（enclave）或集成在片上系统（SOC）内的安全元件（即iUICC）。防篡改元件被认为是安全的，因为它能够控制对其包含的数据的访问，并授权或不授权由其他机器或实体使用其数据。防篡改元件还可以基于密码组件（也称为密码处理器）提供计算服务。通常，防篡改元件具有有限的计算资源和有限的存储器资源，并且它们旨在被连接到为它们提供电力的主机（hostmachine）。防篡改元件可以是可移除的或固定到主机上的。由于制造过程，可以在没有IMSI/Ki对的情况下发布用户设备（及其防篡改元件）。存在对在这样的用户设备和旨在允许用户设备获得IMSI/Ki对的服务器之间安全地建立通信会话的需要。
技术实现思路
本专利技术的目的是解决以上提及的技术问题。本专利技术的目的是一种通过一组命令/响应对在服务器和用户设备之间通信的方法。用户设备使用如由ETSITS124.008定义的附着请求帧的IMSI字段来将所述对之一的命令传送到服务器。服务器使用如由ETSITS124.008定义的认证请求帧的认证参数RAND字段或认证参数AUTN字段来传送对应于接收到的命令的响应。服务器响应于附着请求帧而发送认证请求帧。有利地，用户设备可以使用IMSI字段的MSIN部分来发送命令。有利地，用户设备可以发送初始命令以检索会话标识符，服务器可以响应于初始命令而发送会话标识符，并且用户设备可以包括发送到服务器直到会话关闭命令的所有随后的命令中的会话标识符。有利地，用户设备可以存储唯一分配给所述用户设备的目标标识符，服务器可以包括事务标识符的范围，命令可以包括根据目标标识符生成的参数，并且服务器可以由于所述参数而在所述范围内找到目标标识符。有利地，UH表示目标标识符的64个最高有效位，PHLn表示所述范围的下界的64个最高有效位，PHHn表示所述范围的上界的64个最高有效位，H表示被包括在参数中的探测值，用户设备可以从服务器接收PHHn和PHLn两者，H等于（（UH-PHLn）*100000）/（PHHn-PHLn）。服务器可以生成等于PHLn+（H*（PHHn-PHLn）/100000）的更新的PHLn+1并且可以生成等于PHLn+（（H+1）*（PHHn-PHLn）/100000）的更新的PHHn+1。有利地，用户设备可以嵌入防篡改元件。用户设备可以发送命令以请求分配给用户设备的IMSI。作为响应，服务器可以由于目标标识符而选择IMSI并返回IMSI。用户设备可以将IMSI转发到防篡改元件。有利地，用户设备可以发送命令以请求分配给移动运营商并且生成安全地访问通信网络所需的凭证所需的密钥。作为响应，服务器可以由于目标标识符而选择密钥并返回密钥。用户设备可以将密钥转发到防篡改元件，并且防篡改元件可以根据密钥和预先存储在防篡改元件中的种子计算所述凭证。有利地，可以从用户设备检索种子并将其发送给移动运营商。移动运营商可以生成包括私有MNO密钥和公共MNO密钥的MNO密钥对，生成IMSI并根据种子来计算Ki。公共MNO密钥可以是分配给移动运营商的密钥。移动运营商可以向服务器发送公共MNO密钥、IMSI和目标标识符。有利地，移动运营商可以通过请求第三方检查种子来验证防篡改元件是真实的。有利地，用户设备可以嵌入基带。基带可以发送所述组的任何命令，而不将防篡改元件用于从服务器检索IMSI和分配给移动运营商的密钥。基带可以将所述IMSI和所述密钥两者转发到防篡改元件。防篡改元件可以根据3GPP密钥导出机制计算导出的连接凭证。本专利技术的另一个目的是一种用户设备，包括处理器并且能够通过一组命令/响应对与服务器通信。用户设备包括通信代理，所述通信代理适于由处理器运行，用于生成并发送如由ETSITS124.008所定义的附着请求帧，以将所述对之一的命令传送到服务器，所述命令被包括在附着请求帧的IMSI字段中。通信代理适于由处理器运行，用于响应于附着请求帧而接收对应于在如由ETSITS124.008定义的认证请求帧的认证参数RAND字段或认证参数AUTN字段中传送的所述命令的响应。有利地，用户设备可以被配置成向服务器发送以下有序命令的系列：请求会话标识符，目标标识符的传输，IMSI的请求，分配给移动运营商的密钥的请求以及会话关闭。有利地，UH表示目标标识符（14）的64个最高有效位，PHLn表示存储在服务器（30）中的范围的下界的64个最高有效位，PHHn表示所述范围的上界的64个最高有效位，用户设备可以嵌入防篡改元件，所述防篡改元件包括处理器和软件探测代理，所述软件探测代理适于由防篡改元件的处理器运行，用于生成等于（（UH-PHLn）*100000）/（PHHn-PHLn）的探测值（H）。本专利技术的另一个目的是一种服务器，包括处理器并且能够通过一组命令/响应对与用户设备通信。服务器包括提供代理，所述提供代理适于由处理器运行，用于接收如由ETSITS124.008定义的附着请求帧，以从用户设备传送所述对之一的命令，所述命令被包括在附着请求帧的IMSI字段中。提供代理适于由处理器运行，用于响应于附着请求帧而生成和发送对应于在如由ETSITS124.008定义的认证请求帧的认证参数RAND字段或认证参数AUTN字段中传送的所述命令的响应。有利地，用户设备可以旨在存储唯一分配给所述用户设备的目标标识符。服务器可以存储事务标识符的范围。命令可以包括根据目标标识符生成的参数，并且服务器可以被配置成通过使用所述参数在所述范围内找到目标标识符。有利地，UH表示目标标识符的64个最高有效位，PHLn表示所述范围的下界的64个最高有效位，PHHn表示所述范围的上界的64个最高有效位，H表示被包括在参数中的探测值，服务器可以被配置成向用户设备发送PHHn和PHLn两者，其中H等于（（UH-PHLn）*100000）/（PHHn-PHLn）。服务器可以被配置成生成等于PHLn+（H*（PHHn-PHLn）/100000）的更新的PHLn+1以及生成等于PHLn+（（H+1）*（PHHn-PHLn）/100000）的更新的PHHn+1。附图说明从参考对应的附图阅读本专利技术的多个优选实施例的以下描述，本专利技术的其他特性和优点将更清楚地显现，在附图中：-图1示出了根据本专利技术的示例的用户设备和服务器之间的通信管理的流程图，-图2示意性地描绘了根据本专利技术的本文档来自技高网...

【技术保护点】
1.一种通过一组命令/响应对在服务器（30）和用户设备（20）之间通信的方法，/n其特征在于，用户设备（20）使用如由ETSI TS 124.008定义的附着请求帧的IMSI字段来将所述对之一的命令传送到服务器（30），在于服务器（30）使用如由ETSI TS 124.008定义的认证请求帧的认证参数RAND字段或认证参数AUTN字段来传送对应于所述命令的响应，以及在于服务器（30）响应于附着请求帧而发送认证请求帧。/n

【技术特征摘要】
【国外来华专利技术】20170203 EP 17305124.41.一种通过一组命令/响应对在服务器（30）和用户设备（20）之间通信的方法，
其特征在于，用户设备（20）使用如由ETSITS124.008定义的附着请求帧的IMSI字段来将所述对之一的命令传送到服务器（30），在于服务器（30）使用如由ETSITS124.008定义的认证请求帧的认证参数RAND字段或认证参数AUTN字段来传送对应于所述命令的响应，以及在于服务器（30）响应于附着请求帧而发送认证请求帧。


2.根据权利要求1所述的方法，其中，用户设备（20）使用IMSI字段的MSIN部分来发送命令。


3.根据权利要求1所述的方法，其中，用户设备（20）发送初始命令以检索会话标识符，其中服务器（30）响应于初始命令而发送会话标识符，并且其中用户设备（20）包括发送到服务器（30）直到会话关闭命令的所有随后的命令中的会话标识符。


4.根据权利要求1所述的方法，其中，用户设备（20）存储唯一分配给所述用户设备（20）的目标标识符（14），其中，服务器（30）包括事务标识符的范围，其中，命令包括根据目标标识符（14）生成的参数，并且其中服务器（30）由于所述参数而在所述范围内找到目标标识符（14）。


5.根据权利要求4所述的方法，其中，UH表示目标标识符（14）的64个最高有效位，PHLn表示所述范围的下界的64个最高有效位，PHHn表示所述范围的上界的64个最高有效位，H表示被包括在参数中的探测值，用户设备（20）从服务器（30）接收PHHn和PHLn两者，其中H等于（（UH-PHLn）*100000）/（PHHn-PHLn）并且其中服务器（30）生成等于PHLn+（H*（PHHn-PHLn）/100000）的更新的PHLn+1并且生成等于PHLn+（（H+1）*（PHHn-PHLn）/100000）的更新的PHHn+1。


6.根据权利要求4所述的方法，其中，用户设备（20）嵌入防篡改元件（10），其中，用户设备（20）发送命令以请求分配给用户设备（20）的IMSI（26），其中，作为响应，服务器（30）由于目标标识符（14）而选择IMSI（26）并返回IMSI（26），并且其中用户设备（20）将IMSI（26）转发到防篡改元件（10）。


7.根据权利要求6所述的方法，其中，用户设备（20）发送命令以请求分配给移动运营商并且生成安全地访问通信网络所需的凭证所需的密钥（28），其中，作为响应，服务器（30）由于目标标识符（14）而选择密钥（28）并返回密钥（28），其中用户设备（20）将密钥（28）转发到防篡改元件（10），并且其中防篡改元件（10）根据密钥（28）和预先存储在防篡改元件（10）中的种子（24）计算所述凭证。


8.根据权利要求7所述的方法，其中，从用户设备（20）检索种子并将其发送给移动运营商，其中移动运营商生成包括私有MNO密钥和公共MNO密钥的MNO密钥对，生成IMSI并根据其中的种子来计算Ki，其中公共MNO密钥是分配给移动运营商的密钥（28），并且其中移动运营商向服务器（30）发送公共MNO密钥、IMSI和目标标识符（14）。


9.根据权利要求7所述的方法，其中，移动运营商通过请求第三方（IDS）检查种子（24）来验证防篡改元件（10）是真实的。


10.根据权利要求7所述的方法，其中，用户设备（20）嵌入基带，其中，所述...

【专利技术属性】
技术研发人员：A雷利米，M安斯洛特，
申请(专利权)人：泰雷兹数字安全法国股份有限公司，
类型：发明
国别省市：法国;FR