專利名稱:用于在兩個接入系統(tǒng)之間進(jìn)行安全證書的空中供給的裝置和方法
技術(shù)領(lǐng)域:
多個方案涉及用于具有3GPP和/或3GPP2能力的接入設(shè)備的3GPP認(rèn)證證書的空中(OTA)供給��。
背景技術(shù):
無線通信系統(tǒng)被廣泛部署來提供各種類型的通信內(nèi)容�����,諸如語音和數(shù)據(jù)等����。這些系統(tǒng)可以是能夠通過共享可用系統(tǒng)資源(例如帶寬和發(fā)射功率)來支持與多個用戶的通信的多址系統(tǒng)����。這樣的多址系統(tǒng)的示例包括碼分多址(CDMA)系統(tǒng)���、時分多址(TDMA)系統(tǒng)�����、頻分多址(FDMA)系統(tǒng)���、3GPP長期演進(jìn)(LTE)系統(tǒng)、通用移動電信系統(tǒng)(UMTS)��、全球移動通信系統(tǒng)(GSM)和正交頻分多址(OFDMA)系統(tǒng)����。CDMA2000系統(tǒng)(例如lx����、演進(jìn)數(shù)據(jù)優(yōu)化“EV/D0”/高速率分組數(shù)據(jù)“HRPD”)使用空中服務(wù)供給(OTASP)和空中網(wǎng)際協(xié)議(IP) (IOTA) (Internet Protocol (IP)over-the-air) 來進(jìn)行用于認(rèn)證的認(rèn)證參數(shù)(諸如身份、密鑰等)的OTA供給���。但是��,諸如eHPRD����、LTE的演進(jìn)型接入系統(tǒng),諸如通用移動電信系統(tǒng)(UMTS) /高速分組接入(HSPA)的3GPP接入系統(tǒng)����,以及更新的GSM系統(tǒng)使用3GPP認(rèn)證和密鑰協(xié)商(AKA)認(rèn)證方法來將3GPP核心網(wǎng)絡(luò)用于認(rèn)證。諸如AKA的這些3GPP認(rèn)證方法假定已經(jīng)在接入設(shè)備上預(yù)先配置了要在所述認(rèn)證方法中使用的認(rèn)證證書��。因此�����,認(rèn)證當(dāng)前要求在設(shè)備可以訪問服務(wù)之前要在所述設(shè)備上預(yù)先配置認(rèn)證證書�。通常,在例如以下應(yīng)用的應(yīng)用上預(yù)先配置認(rèn)證證書在諸如通用集成電路卡(UICC)的智能卡上的通用用戶身份模塊(USIM)或者CDMA 通用用戶身份模塊(CSIM)�。但是,認(rèn)證證書也可以被安全地存儲在所述設(shè)備上(例如存儲在安全存儲設(shè)備中)���,和所述設(shè)備本身的執(zhí)行環(huán)境或者置信環(huán)境(TrE)中�����。這可以特別用于使用非3GPP接入的設(shè)備����,諸如具有演進(jìn)HRPD (eHPRD)或者甚至某些3GPP接入能力的設(shè)備, 這些設(shè)備可能不支持諸如UICC的智能卡用于認(rèn)證��。因為用于3GPP認(rèn)證的當(dāng)前方法要求接入設(shè)備被預(yù)先配置有用于連接到符合3GPP 的核心網(wǎng)絡(luò)的認(rèn)證證書�,因此通常需要在設(shè)備制造時選擇運(yùn)營商,和/或需要在可以獲得服務(wù)之前獨(dú)立地獲取智能卡�����。而且�,如果在任何點(diǎn)損害了證書,則幾乎不可能使用當(dāng)前的方法來改變它們���。因此����,一旦損害了證書���,則必須購買新的設(shè)備。因此�����,在本領(lǐng)域中需要一種在現(xiàn)有的設(shè)備上供給或者替換3GP認(rèn)證證書的方式。 因為有更多的使用無線系統(tǒng)來進(jìn)行通信的機(jī)器對機(jī)器的設(shè)備正在出現(xiàn)��,所以這種能力將變得更重要��。
發(fā)明內(nèi)容
在此所描述的多個方案通過提供一種用于在制造設(shè)備后隨時供給證書的方式來滿足這些需要�。因此,如果有理由相信例如由于服務(wù)竊取而損害了證書���,則可以供給新的證書���。多個方案可以包括一種用于空中供給的方法,所述方法包括連接到第一接入系統(tǒng)�����;請求用于第二接入系統(tǒng)的認(rèn)證證書的空中供給�����,其中����,所述第二接入系統(tǒng)缺少空中供給過程��;經(jīng)由所述第一接入系統(tǒng)來接收用于所述第二接入系統(tǒng)的認(rèn)證證書的空中供給�����;連接到所述第二接入系統(tǒng)���;以及向所述第二接入系統(tǒng)提供所供給的認(rèn)證證書,以便執(zhí)行向所述第二接入系統(tǒng)的認(rèn)證��。多個方案還可以包括一種用于接收空中供給的裝置��,所述裝置包括發(fā)射機(jī)�,用于連接到第一接入系統(tǒng)和第二接入系統(tǒng);處理器��,用于從所述第一接入系統(tǒng)請求用于所述第二接入系統(tǒng)的認(rèn)證證書的空中供給�����,其中�,所述第二接入系統(tǒng)缺少空中供給過程;接收機(jī)����, 用于從所述第一接入系統(tǒng)接收用于所述第二接入系統(tǒng)的認(rèn)證證書的空中供給;存儲器����,用于存儲所接收的用于所述第二接入系統(tǒng)的認(rèn)證證書的空中供給;以及通信組件�����,用于向所述第二接入系統(tǒng)提供所供給的認(rèn)證證書����,以便執(zhí)行向所述第二接入系統(tǒng)的認(rèn)證,從而與所述第二接入系統(tǒng)建立連接���。多個方案還可以包括所述認(rèn)證證書是認(rèn)證和密鑰協(xié)商(AKA)認(rèn)證證書�,所述方法還包括使用所述AKA認(rèn)證證書來執(zhí)行向所述第二接入系統(tǒng)的AKA認(rèn)證���。所述第二接入系統(tǒng)可以包括3GPP核心網(wǎng)絡(luò)���,而所述第一接入系統(tǒng)是非3GPP核心網(wǎng)絡(luò)。所述空中供給可以包括使用基于Diffie-Hellman的協(xié)議來建立密鑰����,或者使用 Diffie-Hellman協(xié)議來交換密碼認(rèn)證密鑰��。所空中供給的認(rèn)證證書可以包括以下項中的至少一項3GPPAKA認(rèn)證根密鑰(K)��、AKA認(rèn)證相關(guān)參數(shù)或者要用于向所述第二接入系統(tǒng)的認(rèn)證的AKA認(rèn)證算法�。所空中供給的認(rèn)證證書可以包括AKA認(rèn)證相關(guān)參數(shù),并且其中��,所述 AKA認(rèn)證相關(guān)參數(shù)包括以下項中的至少一項是否使用f5來進(jìn)行SQN隱藏�,和用于AKA SQN 管理的一個或多個SQN號的配置�。所空中供給的認(rèn)證證書包括要用于向所述第二接入系統(tǒng)的認(rèn)證的AKA認(rèn)證算法��,所述方法還包括從所述第一接入系統(tǒng)接收所述認(rèn)證算法的空中定制��。所述AKA認(rèn)證算法可以是MILENAGE�����,并且其中��,所述認(rèn)證算法的定制包括OP或者OPc 參數(shù)的定制����。所述第一接入系統(tǒng)包括CDMA2000系統(tǒng)。所述空中供給可以是經(jīng)由空中服務(wù)供給(OTASP)來接收的�。所述空中供給可以是經(jīng)由空中因特網(wǎng)(IOTA)來接收的。多個方案還可以包括一種用于接收空中供給的裝置�����,所述裝置包括發(fā)射機(jī)���,用于連接到第一接入系統(tǒng)和第二接入系統(tǒng)�����;處理器����,用于從所述第一接入系統(tǒng)請求用于所述第二接入系統(tǒng)的認(rèn)證證書的空中供給,其中�,所述第二接入系統(tǒng)缺少空中供給過程;接收機(jī)�, 用于從所述第一接入系統(tǒng)接收用于所述第二接入系統(tǒng)的認(rèn)證證書的空中供給;存儲器�,用于存儲所接收的用于所述第二接入系統(tǒng)的認(rèn)證證書的空中供給;以及通信組件��,用于向所述第二接入系統(tǒng)提供所供給的認(rèn)證證書��,以便執(zhí)行向所述第二接入系統(tǒng)的認(rèn)證����,從而與所述第二接入系統(tǒng)建立連接。多個方案還可以包括一種用于接收空中供給的裝置�,所述裝置包括用于連接到第一接入系統(tǒng)和第二接入系統(tǒng)的模塊;用于請求用于所述第二接入系統(tǒng)的認(rèn)證證書的空中供給的模塊�,其中,所述第二接入系統(tǒng)缺少空中供給過程�;用于從所述第一接入系統(tǒng)接收用于所述第二接入系統(tǒng)的認(rèn)證證書的空中供給的模塊;以及用于向所述第二接入系統(tǒng)提供所供給的認(rèn)證證書���,以便執(zhí)行向所述第二接入系統(tǒng)的認(rèn)證的模塊��。多個方案還可以包括被配置來接收空中供給的至少一個處理器�,所述處理器包括第一模塊,用于連接到第一接入系統(tǒng)��;第二模塊����,用于請求用于第二接入系統(tǒng)的認(rèn)證證書的空中供給,其中��,所述第二接入系統(tǒng)缺少空中供給過程���;第三模塊,用于從所述第一接入系統(tǒng)接收用于所述第二接入系統(tǒng)的認(rèn)證證書的空中供給���;第四模塊���,用于連接到所述第二接入系統(tǒng);以及第五模塊���,用于向所述第二接入系統(tǒng)提供所供給的認(rèn)證證書���,以便執(zhí)行向所述第二接入系統(tǒng)的認(rèn)證��。多個方案還可以包括一種計算機(jī)程序產(chǎn)品����,所述計算機(jī)程序產(chǎn)品包括計算機(jī)可讀介質(zhì)����,所述計算機(jī)可讀介質(zhì)包括第一組代碼,用于使得計算機(jī)連接到第一接入系統(tǒng)���;第二組代碼�,用于使得計算機(jī)請求用于第二接入系統(tǒng)的認(rèn)證證書的空中供給�,其中,所述第二接入系統(tǒng)缺少空中供給過程���;第三組代碼��,用于使得計算機(jī)接收用于所述第二接入系統(tǒng)的認(rèn)證證書的空中供給�;第四組代碼����,用于使得計算機(jī)連接到所述第二接入系統(tǒng);以及第五組代碼����,用于使得計算機(jī)向所述第二接入系統(tǒng)提供所供給的認(rèn)證證書��,以便執(zhí)行向所述第二接入系統(tǒng)的認(rèn)證�����。多個方案還可以包括一種用于執(zhí)行空中供給的方法�,所述方法包括在第一接入系統(tǒng)處接收始發(fā)自接入設(shè)備的呼叫�����;將所述呼叫引導(dǎo)到供給系統(tǒng)�;確定所述接入設(shè)備的協(xié)議能力;以及在所述接入設(shè)備處經(jīng)由所述第一接入系統(tǒng)來執(zhí)行認(rèn)證證書的空中供給��,其中�����, 所述認(rèn)證證書用于第二接入系統(tǒng)�,所述第二接入系統(tǒng)缺少空中供給過程�。多個方案還可以包括一種用于空中供給的裝置,所述裝置包括接收機(jī)���,用于在第一接入系統(tǒng)處接收始發(fā)自接入設(shè)備的呼叫�;處理器,用于將所述呼叫引導(dǎo)到供給系統(tǒng)�����,并且用于確定所述接入設(shè)備的協(xié)議能力����;以及發(fā)射機(jī),用于在所述接入設(shè)備處經(jīng)由所述第一接入系統(tǒng)來執(zhí)行認(rèn)證證書的空中供給���,其中��,所述認(rèn)證證書用于第二接入系統(tǒng)����,所述第二接入系統(tǒng)缺少空中供給過程��。多個方案還可以包括一種用于空中供給的裝置���,所述裝置包括用于在第一接入系統(tǒng)處接收始發(fā)自接入設(shè)備的呼叫的模塊���;用于將所述呼叫引導(dǎo)到供給系統(tǒng)的模塊�����;用于確定所述接入設(shè)備的協(xié)議能力的模塊�����;以及用于在所述接入設(shè)備處經(jīng)由所述第一接入系統(tǒng)來執(zhí)行認(rèn)證證書的空中供給的模塊��,其中����,所述認(rèn)證證書用于第二接入系統(tǒng)��,所述第二接入系統(tǒng)缺少空中供給過程���。多個方案還可以包括被配置來執(zhí)行空中供給的至少一個處理器�,所述處理器包括第一模塊���,用于在第一接入系統(tǒng)處接收始發(fā)自接入設(shè)備的呼叫;第二模塊���,用于將所述呼叫引導(dǎo)到供給系統(tǒng)���;第三模塊�����,用于確定所述接入設(shè)備的協(xié)議能力���;以及第四模塊,用于在所述接入設(shè)備處經(jīng)由所述第一接入系統(tǒng)來執(zhí)行認(rèn)證證書的空中供給����,其中,所述認(rèn)證證書用于第二接入系統(tǒng)���,所述第二接入系統(tǒng)缺少空中供給過程�����。多個方案還可以包括一種計算機(jī)程序產(chǎn)品��,所述計算機(jī)程序產(chǎn)品包括計算機(jī)可讀介質(zhì)��,所述計算機(jī)可讀介質(zhì)包括第一組代碼�����,用于使得計算機(jī)在第一接入系統(tǒng)處接收始發(fā)自接入設(shè)備的呼叫����;第二組代碼,用于使得計算機(jī)將所述呼叫引導(dǎo)到供給系統(tǒng)�;第三組代碼,用于使得計算機(jī)確定所述接入設(shè)備的協(xié)議能力���;以及第四組代碼�,用于使得計算機(jī)在所述接入設(shè)備處經(jīng)由所述第一接入系統(tǒng)來執(zhí)行認(rèn)證證書的空中供給���,其中�����,所述認(rèn)證證書用于第二接入系統(tǒng)�,所述第二接入系統(tǒng)缺少空中供給過程�����。下面闡述了一個或多個方案的簡要概述���,以提供對這些方案的基本理解�。本概述并不是所有設(shè)想方案的詳盡綜述�����,并且既不意圖標(biāo)識所有方案的關(guān)鍵或重要要素�,也不意圖描繪任意或所有方案的范圍。其唯一目的是以簡化的形式闡述一個或多個方案的一些概念���,作為后面闡述的更詳細(xì)的說明書的序言���。為了實(shí)現(xiàn)前述以及相關(guān)目標(biāo),一個或多個方案包括在后文中完整描述并在權(quán)利要求中具體指出的特征�。以下說明書和附圖詳細(xì)闡述了一個或多個方案的某些說明性的特征。然而���,這些特征僅僅指示了可以采用各種方案的原理的各種方式中的少數(shù)幾個�,并且本說明書意圖包括所有這些方案及其等同方案�����。
下面結(jié)合附圖來描述所公開的方案����,所述附圖被提供來說明而不是限制所公開的方案�����,其中���,相似的附圖標(biāo)號表示相似的要素,并且其中圖1說明了使能在接入設(shè)備處進(jìn)行認(rèn)證證書的OTA供給的示例性通信系統(tǒng)的方案���。圖2說明了在接入設(shè)備處進(jìn)行認(rèn)證證書的OTA供給的示例性方法的方案�����。圖3說明了經(jīng)由接入系統(tǒng)進(jìn)行認(rèn)證證書的OTA供給的示例性方法的方案����。圖4說明了經(jīng)由另一個接入系統(tǒng)進(jìn)行用于一個接入系統(tǒng)的認(rèn)證證書的OTA供給的示例性呼叫流程圖的方案����。圖5說明了經(jīng)由另一個接入系統(tǒng)進(jìn)行用于一個接入系統(tǒng)的認(rèn)證證書的OTA供給的示例性呼叫流程圖的另外的方案。圖6說明了通信系統(tǒng)的框圖�����。圖7說明了用于接收經(jīng)由另一個接入系統(tǒng)進(jìn)行的用于一個接入系統(tǒng)的認(rèn)證證書的OTA供給的計算機(jī)設(shè)備。圖8說明了用于執(zhí)行經(jīng)由另一個接入系統(tǒng)進(jìn)行的用于一個接入系統(tǒng)的認(rèn)證證書的OTA供給的計算機(jī)設(shè)備���。圖9說明了從另一個接入系統(tǒng)接收用于一個接入系統(tǒng)的認(rèn)證證書的OTA供給的系統(tǒng)��。圖10說明了在接入設(shè)備處執(zhí)行用于另一個接入系統(tǒng)的認(rèn)證證書的OTA供給的系統(tǒng)。
具體實(shí)施例方式在本說明書的全文中使用的各種縮寫的說明被包括在使用該縮寫的第一個實(shí)例中����,或者可以在詳細(xì)描述的結(jié)尾找到。某些接入系統(tǒng)使用它們的認(rèn)證參數(shù)的OTA供給�。例如,諸如lx���、EVD0/HRPD的 CDMA2000系統(tǒng)使用OTASP (C. S0016)和IOTA (C. S0040)來進(jìn)行認(rèn)證參數(shù)的OTA供給����。認(rèn)證參數(shù)可以包括用于認(rèn)證的身份�、密鑰等。
相對地���,使用AKA認(rèn)證方法的3GPP網(wǎng)絡(luò)當(dāng)前要求在接入設(shè)備可以連接到3GPP網(wǎng)絡(luò)和訪問3GPP服務(wù)之前在所述接入設(shè)備上預(yù)先配置認(rèn)證證書�。諸如在TS 3GPP 33.102 中規(guī)定的AKA這樣的這些AKA認(rèn)證方法假定在移動設(shè)備可以訪問服務(wù)之前在所述移動設(shè)備上預(yù)先配置認(rèn)證證書�����,諸如身份、密鑰和要在認(rèn)證期間使用的認(rèn)證算法�����。例如���,eHRPD(X. S0057)使用3GPP演進(jìn)分組核心來進(jìn)行認(rèn)證��,其使用3GPP AKA認(rèn)證方法并且假定在接入設(shè)備上預(yù)先配置了認(rèn)證證書���。在此提供的方案通過提供一種使用獨(dú)立的接入系統(tǒng)來在空中供給必要的3GPP認(rèn)證證書的方式,克服了這個問題����。當(dāng)接入設(shè)備能夠連接到第一接入技術(shù)時,該接入技術(shù)可以用于供給接入3GPP網(wǎng)絡(luò)所需要的3GPP認(rèn)證證書�����。例如���,能夠訪問CDMA2000的接入設(shè)備可以使用OTASP來在3GPP認(rèn)證之前供給3GPP認(rèn)證證書����。例如,Ix可以用于供給3GPP證書���。 在其他方案中��,當(dāng)可以獲得IP連接時����,可以使用IOTA���。雖然描述了用于CDMA、0TASP和IOTA 的示例�����,但是其他接入技術(shù)也適用于供給3GPP認(rèn)證證書����。接入系統(tǒng)可以是3GPP或者非3GPP 的。例如����,可以使用3GPP核心網(wǎng)絡(luò)的接入系統(tǒng)特別包括HRPD/eHRPD(EV-DO)���、LTE、HSPA/ UMTS���、GSM�����、全球微波接入互通(WiMAX)���、無線局域網(wǎng)(WLAN),和甚至諸如xDSL/電纜調(diào)制解調(diào)器的寬帶接入����。GSM可以包括其變化形式的任何一種,其中例如用于分組服務(wù)的GPRS或者EDGE���。而且�����,該解決方案適用于連接到由3GPP所規(guī)定的核心網(wǎng)絡(luò)的任何設(shè)備����。其中,這樣的網(wǎng)絡(luò)可以包括演進(jìn)分組核心網(wǎng)絡(luò)�、UMTS核心網(wǎng)絡(luò)和網(wǎng)際協(xié)議(IP)多媒體系統(tǒng)?����?梢設(shè)TA供給的3GPP認(rèn)證證書可以包括以下項中的任意一項3GPPAKA認(rèn)證根密鑰(K)���、AKA認(rèn)證相關(guān)參數(shù)�����、要在3GPP認(rèn)證中使用的AKA認(rèn)證算法、認(rèn)證算法定制參數(shù)��,所述認(rèn)證算法定制參數(shù)諸如運(yùn)營商可變算法配置(OP)和用于MILENAGE認(rèn)證算法的OP常數(shù) (OPc)����。OPc包括OP(運(yùn)營商證書)與根密鑰k的組合。這避免了將OP編程到智能卡中的必要�,其中,有可能通過逆向工程從智能卡得出OP��。AKA認(rèn)證相關(guān)參數(shù)可以特別包括例如 是否使用f5認(rèn)證函數(shù)來進(jìn)行序列號(SQN)隱藏,和用于AKA SQN管理的一個或多個SQN號的配置�����。其中�����,AKA認(rèn)證算法可以是在TS �;35.205和;35.306中規(guī)定的MILENAGE���。MILENAGE 認(rèn)證算法定制參數(shù)可以特別包括OP或者OPc���。OP是128比特的運(yùn)營商可變算法配置字段, 其用于導(dǎo)出OPc或者直接供給OPc�����。類似地����,其他AKA認(rèn)證算法可以使用它們本身的定制參數(shù),其也可以使用本發(fā)明來進(jìn)行OTA供給�。例如��,對于EAP-AKA����,�����,AKA證書包括IMSI�、1 比特的根密鑰(K)和一組認(rèn)證函數(shù) (“r”函數(shù))。AKA所需要的f函數(shù)是Π���、fl*�、f2�、f3、f4�、f5、f5*�。所述一組f函數(shù)也被稱為AKA認(rèn)證算法函數(shù)��。被稱為MILENAGE的AKA算法被3GPP TS 35. 205定義并且用于 eHRPD�����。運(yùn)營商選擇運(yùn)營商可變算法配置(OP)或者OPc值。OP是運(yùn)營商可變算法配置����,并且被運(yùn)營商使用來定制MILENAGE AKA算法。如果OP被配置��,則導(dǎo)出OPc值���。MILENAGE也允許運(yùn)營商直接地配置OPc����。因此���,接入系統(tǒng)經(jīng)由OTASP來使能OP和/或OPc的配置��。接入系統(tǒng)——通過其來向接入設(shè)備提供OTA供給——可以是CDMA2000系統(tǒng)或者任何具有IP能力的接入系統(tǒng)�����。如上所述�,CDMA2000系統(tǒng)使用OTASP和IOTA來供給認(rèn)證參數(shù)���。因此���,當(dāng)IP連接例如通過無線線路或者無線系統(tǒng)可用于設(shè)備時�����,IOTA可以用于配置3GPP認(rèn)證證書參數(shù)����。IOTA是可以在支持IP連接的任何接入網(wǎng)上運(yùn)行的傳輸協(xié)議��。另外��,OTASP可以用于配置3GPP認(rèn)證證書�����。OTASP(空中服務(wù)供給)可以包括空中供給下面特征的任何一個號碼分配模塊 (NAM)操作參數(shù)的下載�;用于安全地建立A密鑰和根密鑰的電子密鑰交換;優(yōu)選漫游的系統(tǒng)選擇(SSPR)��,用于向移動臺提供允許獲取在區(qū)域中的優(yōu)選系統(tǒng)的信息����;優(yōu)選用戶區(qū)列表 (PUZL)��,用于向支持選用的用戶區(qū)域特征的移動臺提供允許在區(qū)域中使用優(yōu)選用戶區(qū)的信息;以及���,3G分組數(shù)據(jù)操作參數(shù)的下載��。服務(wù)編程鎖定(SPL)——如果被提供的話——可以防止由未經(jīng)授權(quán)的網(wǎng)絡(luò)實(shí)體進(jìn)行的特定移動臺參數(shù)的空中供給��。盡管描述了在CDMA和模擬系統(tǒng)中的空中服務(wù)供給(OTASP)的示例性實(shí)現(xiàn)����,但是這些過程是可擴(kuò)展的并且足夠靈活來用于未來的空中接口規(guī)范�����。所述過程不要求支持在CDMA 到模擬的切換后進(jìn)行服務(wù)供給處理��。OTASP和/或IOTA供給消息可以在設(shè)備本身終止����。另外,所述設(shè)備可以將這些消息中繼到另一安全計算平臺/處理器�,所述另一安全計算平臺/處理器連接到具有蜂窩/IP 連接性的所述設(shè)備。所述安全計算平臺/處理器可以包括例如智能卡或者SIM卡���,接入設(shè)備將認(rèn)證證書信息中繼到所述智能卡或者SIM卡�����。在一種說明性實(shí)現(xiàn)中�,接入設(shè)備連接到諸如CDMA的無線無線電接口或者連接到 IP連接。一旦連接���,則所述連接用于執(zhí)行在接入設(shè)備和網(wǎng)絡(luò)實(shí)體之間的Diffie-Hellman密鑰協(xié)商�����,并且建立網(wǎng)絡(luò)接入所需要的根密鑰�。這種方法可以用于供給沒有任何與網(wǎng)絡(luò)預(yù)先共享的信息的設(shè)備�����。所述Diffie-Hellman密鑰協(xié)商用于供給3GPP認(rèn)證證書�����。一旦接收到 3GPP認(rèn)證證書�����,則它們可以用于連接到3GPP核心網(wǎng)絡(luò)。在另一種說明性實(shí)現(xiàn)中���,密碼認(rèn)證的Diffie-Hellman密鑰協(xié)商用于供給接入設(shè)備。在這種實(shí)現(xiàn)中�����,可以使用要在執(zhí)行密鑰協(xié)商的接入設(shè)備和網(wǎng)絡(luò)實(shí)體上配置的帶外模塊���, 經(jīng)由第三方來提供密碼或者密鑰�。密鑰協(xié)商可以使用例如IOM比特或者2048比特模質(zhì)數(shù)����。3GPP認(rèn)證證書的OTA供給可以包括使用包括OTASP或者IOTA的接入技術(shù)的AKA 算法定制。每個運(yùn)營商可以在接入設(shè)備和本地網(wǎng)絡(luò)實(shí)體之間使用它們自己的AKA算法���。根據(jù)所述網(wǎng)絡(luò)和所述設(shè)備的能力�,可以進(jìn)行指示或者配置��,其規(guī)定要在所述設(shè)備和所述網(wǎng)絡(luò)之間使用的算法���。例如���,可以使用MILENAGE�。一旦選擇了算法�����,則還可以使用0TASP/I0TA 消息來傳送這些算法所需要的參數(shù)���。這些參數(shù)可以包括例如MILENAGE OP或者OPc參數(shù)�����。圖1說明了其中可以進(jìn)行在此所述的方案的示例性網(wǎng)絡(luò)環(huán)境�����。如圖1中所示��,用戶裝置(UE)或者移動臺110位于第一接入系統(tǒng)120和第二接入系統(tǒng)140的范圍中����。注意����, 每個接入系統(tǒng)可以包括例如多個接入點(diǎn)基站。第二接入系統(tǒng)140缺少空中供給機(jī)制。第一接入系統(tǒng)包括空中供給機(jī)制����。移動臺110能夠與第一和第二接入系統(tǒng)通信。第一接入系統(tǒng)被配置來不僅針對其本身�、而且還針對缺少空中供給能力的第二接入系統(tǒng)140,來執(zhí)行移動臺110的空中供給�。移動臺被配置來經(jīng)由第一接入系統(tǒng)120接收與第二接入系統(tǒng)建立通信所需要的認(rèn)證證書的空中供給�����。移動臺與第一接入系統(tǒng)120建立通信����,并且請求用于第二接入系統(tǒng)的認(rèn)證證書的空中供給。作為響應(yīng)�,第一接入系統(tǒng)120將來自移動臺的呼叫引導(dǎo)到在第一接入系統(tǒng)中的供給組件150。在第一接入系統(tǒng)的協(xié)議能力確定器160處確定移動臺的協(xié)議能力�����。然后�,第一接入系統(tǒng)120為移動臺執(zhí)行認(rèn)證證書的空中供給,其中�,認(rèn)證證書用于第二接入系統(tǒng)。這可以通過在第一接入系統(tǒng)120的認(rèn)證證書組件170來完成。
一旦移動臺已經(jīng)被供給���,則移動臺建立與第二接入系統(tǒng)140的連接����,并且在第二接入系統(tǒng)的認(rèn)證組件180對移動臺進(jìn)行認(rèn)證�。圖2說明了經(jīng)由第一接入系統(tǒng)來為接入設(shè)備進(jìn)行認(rèn)證證書的空中供給的示例性方法的方案,其中�����,所述認(rèn)證證書用于第二接入系統(tǒng)����。第一接入系統(tǒng)可以是使用OTASP或者 IOTA的CDMA2000系統(tǒng)。所述第二接入系統(tǒng)可以是使用AKA認(rèn)證方法的3GPP系統(tǒng)��。在201�,接入設(shè)備連接到第一接入系統(tǒng)。在202�����,接入設(shè)備從第一接入系統(tǒng)請求認(rèn)證證書的空中供給��。其中,所述認(rèn)證證書用于第二接入系統(tǒng)�����。在203���,接入設(shè)備接收用于第二接入系統(tǒng)的認(rèn)證證書的OTA供給�。用于第二接入系統(tǒng)的認(rèn)證證書的空中供給可以包括Diffie-Hellman密鑰協(xié)商或者密碼認(rèn)證的Diffie-Hellman密鑰協(xié)商����。被供給的認(rèn)證證書可以包括以下項中的任何一項3GPPAKA認(rèn)證根密鑰⑷�����、AKA認(rèn)證相關(guān)參數(shù)和要在向第二接入系統(tǒng)的認(rèn)證中使用的AKA 認(rèn)證算法����。AKA認(rèn)證相關(guān)參數(shù)可以包括以下項中的至少一項是否使用f5來進(jìn)行SQN隱藏, 或者用于AKA SQN管理的一個或多個SQN號的配置��。接收空中供給的認(rèn)證證書還可以包括 從第一接入系統(tǒng)接收AKA認(rèn)證算法的空中定制��。例如��,AKA認(rèn)證算法可以是MILENAGE,并且認(rèn)證算法的定制可以包括OP或者OPc參數(shù)的定制��。在204�,接入設(shè)備連接到第二接入系統(tǒng)。在205����,接入設(shè)備向第二接入系統(tǒng)提供所供給的認(rèn)證證書,以便執(zhí)行向第二接入系統(tǒng)的認(rèn)證����。如上所述,認(rèn)證證書可以是AKA認(rèn)證證書��,并且接入設(shè)備可以執(zhí)行向第二接入系統(tǒng)的AKA認(rèn)證���,以便訪問在第二接入系統(tǒng)處的服務(wù)�。圖3說明了在接入設(shè)備處經(jīng)由第一接入系統(tǒng)進(jìn)行用于第二接入系統(tǒng)的認(rèn)證證書的OTA供給的示例性方法的方案��。如上結(jié)合圖2所述����,第一接入系統(tǒng)可以是使用OTASP或者IOTA的CDMA2000系統(tǒng)。第二接入系統(tǒng)可以是使用AKA認(rèn)證方法的3GPP系統(tǒng)���。在301��,諸如CDMA2000網(wǎng)絡(luò)或者IP連接接入網(wǎng)(IP CAN)的第一接入系統(tǒng)接收始發(fā)自接入設(shè)備的呼叫��。在302����,第一接入系統(tǒng)將呼叫引導(dǎo)到供給系統(tǒng)。還可以在供給系統(tǒng)和接入設(shè)備之間交換信息����。在303,第一接入系統(tǒng)確定接入設(shè)備的協(xié)議能力��。這可以包括向接入設(shè)備發(fā)送協(xié)議能力請求����。在304���,第一接入系統(tǒng)例如經(jīng)由0TASP/I0TA服務(wù)器為接入設(shè)備執(zhí)行認(rèn)證證書的 OTA供給�����,其中�,所述認(rèn)證證書用于第二接入系統(tǒng)。這可以包括發(fā)送MS密鑰請求和密鑰產(chǎn)生請求��,如圖4中更詳細(xì)地說明���。用于第二接入系統(tǒng)的認(rèn)證證書的空中供給可以包括Diffie-HelIman密鑰協(xié)商或者密碼認(rèn)證的Diffie-Hellman密鑰協(xié)商�����。被供給的認(rèn)證證書可以包括以下項中的任意一項3GPP AKA認(rèn)證根密鑰(K)�、AKA認(rèn)證相關(guān)參數(shù)或者要在向第二接入系統(tǒng)的認(rèn)證中使用的 AKA認(rèn)證算法�。AKA認(rèn)證相關(guān)參數(shù)可以包括以下項中的至少一項是否使用f5來進(jìn)行SQN隱藏,或者用于AKA SQN管理的一個或多個SQN號的配置���。接收空中供給的認(rèn)證證書還可以包括從第一接入系統(tǒng)接收AKA認(rèn)證算法的空中定制��。例如����,AKA認(rèn)證算法可以是MILENAGE�����, 并且認(rèn)證算法的定制可以包括OP或者OPc參數(shù)的定制?,F(xiàn)在將結(jié)合圖4和5來詳細(xì)描述使用OTASP或者IOTA的示例性實(shí)現(xiàn)的方案����。該圖示示出了可以如何使用諸如CDMA2000 OTASP的OTA供給協(xié)議來供給諸如3GPP AKA的3GPP 認(rèn)證證書�。
首先,在401��,在接入設(shè)備向接入網(wǎng)始發(fā)呼叫�,所述接入設(shè)備在此也可可互換地被稱為移動臺(MS)。圖4說明了 MS經(jīng)由OTASP來始發(fā)呼叫�����,并且接入網(wǎng)絡(luò)是CDMA2000或者 IP CAN網(wǎng)絡(luò)����。如果接入系統(tǒng)是IP CAN,則可以用IOTA取代OTASP�。在402,接入系統(tǒng)將呼叫重新定向到客戶服務(wù)或者供給系統(tǒng)�����。在403�����,在MS和客戶服務(wù)或者供給系統(tǒng)之間執(zhí)行信息交換�。該信息交換可以包括、但是不限于設(shè)備的識別���、諸如客戶身份的相關(guān)聯(lián)預(yù)訂信息的識別��、所請求的服務(wù)和計費(fèi)信息等��。在404�����,諸如設(shè)備身份(例如移動裝置的MEID/IMEI��,或者如果智能卡用于存儲證書�,則是智能卡的ICCID/UIMID)這樣的要供給的信息�����,0TASP/I0TA服務(wù)器成功地向設(shè)備供給3GPP認(rèn)證證書所需要的信息����,以及所允許的網(wǎng)絡(luò)服務(wù)等被從客戶服務(wù)或者供給系統(tǒng)傳送到0TASP/I0TA服務(wù)器。然后,在405���,0TASP/I0TA服務(wù)器向MS發(fā)送協(xié)議能力請求�����,諸如 0TASP_P_REV = 0或者8����。在406�,MS發(fā)送擴(kuò)展的能力響應(yīng)。例如����,這可以包括密鑰交換或者密鑰協(xié)商,諸如 FEATURE_P_REV 值為 00000111 和 / 或 000010000 的 A_KEY_P_PREV�����,其中 00000111表示eHRPD根密鑰供給����,000010000表示增強(qiáng)的eHRPD根密鑰供給,如在下面的表 3. 5. 1. 7-1 中所示�。在407,OTASP/1OTA服務(wù)器決定對MS執(zhí)行3GPPAKA證書供給���。在408�����,OTASP/1OTA 服務(wù)器向 MS 發(fā)送MS 密鑰請求��,諸如 A_KEY_P_REV = 00000111 或者 0000100����。在409�����,MS計算移動臺結(jié)果(MS_RESULT)���,如下更詳細(xì)討論的�。在410�����,MS向OTASP或者IOTA服務(wù)器發(fā)送MS密鑰響應(yīng)�����,其中,RESULT (結(jié)果)= Success (成功)�。在411,OTASP或者IOTA服務(wù)器計算BS_RESULT���,即基站結(jié)果���,如下更詳細(xì)討論的。在412�,OTASP/1OTA服務(wù)器發(fā)送例如具有BS_RESULT的密鑰產(chǎn)生請求。在413�,MS 計算3GPP根密鑰,諸如eHRPD根密鑰�。在414,MS發(fā)送例如具有MS_RESULT的密鑰產(chǎn)生響應(yīng)�����。在415��,0TASP/I0TA服務(wù)器計算3GPP AKA根密鑰�。在416,0TASP/I0TA服務(wù)器確定是否執(zhí)行AKA算法供給或者AKA算法定制�。在417�,從0TASP/I0TA向MS發(fā)送MS連接到3GPP 網(wǎng)絡(luò)所需要的3GPP認(rèn)證證書�。然后,MS準(zhǔn)備好執(zhí)行向使用AKA來進(jìn)行認(rèn)證的任何3GPP或者3GPP2系統(tǒng)的AKA認(rèn)證����。圖5說明了可以結(jié)合在圖4中說明的供給來執(zhí)行的���、使用0TASP/I0TA進(jìn)行的AKA 算法定制的示例性方案�。在步驟517�,0TASP/I0TA服務(wù)器向MS發(fā)送例如具有參數(shù)塊Id的第三代分組數(shù)據(jù)(3GPD)配置請求,所述參數(shù)塊Id指示eHRPD AKA算法能力參數(shù)���,諸如BL0CK_ID = 00001110 ��;禾口 / 或指示 eHRPD MILENAGE 算法參數(shù)����,諸如 BL0CK_ID = 00001111���。在步驟518����,MS向0TASP/I0TA服務(wù)器發(fā)送例如具有eHRPD AKA算法能力參數(shù)塊和/或eHRPD MILENAGE算法參數(shù)塊的3GPD響應(yīng)。在519����,OTASP/1OTA服務(wù)器確定MS的算法能力。例如�����,0TASP/I0TA服務(wù)器可以從所接收的配置響應(yīng)確定在MS支持MILENAGE����。 在520,OTASP/1OTA服務(wù)器發(fā)送例如具有eHRPD MILENAGE算法參數(shù)塊(諸如BL0CK_ID = 00001101)的下載請求�。在521,MS根據(jù)從0TASP/I0TA服務(wù)器的發(fā)送來配置MILENAGE參數(shù)�。在522,MS發(fā)送3GPS下載響應(yīng)���,例如RESULT = Success���。在523,MS準(zhǔn)備好執(zhí)行向任何3GPP或者3GPP2系統(tǒng)或者向使用AKA認(rèn)證的另一個系統(tǒng)的AKA認(rèn)證��。
在C. S0016-D vl. 0 中規(guī)定了 OTASP 過程��,將很可能在 C. S0040-0 vl. O(IOTA)和 C. S0064-0 vl. O(IOTA-DM)的未來修訂版中規(guī)定IOTA過程,特此通過引用并入上述每個文獻(xiàn)的全部內(nèi)容��。在圖4和5中說明的方案包括新的A_KEY_P_REV的引入�,以支持基于在 OTASP中的現(xiàn)有3G根密鑰供給方法來進(jìn)行eHRPD根密鑰產(chǎn)生和密鑰交換過程,諸如eHRPD 根密鑰供給和增強(qiáng)的eHRPD根密鑰供給���。在可應(yīng)用的情況下,可以將SHA-I的使用替換為SHA-26���,因為用于SHA-256的散列函數(shù)更安全�。還說明了下述兩個3GPD參數(shù)塊的引入 eHRPD AKA算法能力參數(shù)塊��,用于指示MS支持的AKA算法(例如MILENAGE)���;以及����,eHRPD MILENAGE算法參數(shù)塊�����,用于配置OP或者OPc參數(shù)����。另外�����,遞增3GPD特征標(biāo)識符的FEATURE_ P_REV以指示對于增加的3GPD參數(shù)塊的支持��。以下參考下面在詳細(xì)說明的結(jié)尾列出的部分來更詳細(xì)地描述在圖4和5中說明的消息的示例性方案���。移動臺編稈過稈編稈過稈的啟動、MS密鉬請求消息3. 3如果移動臺具有存儲的eHRPD_k_TEMPs�����,即在移動臺中臨時存儲128比特模式的秘密����,則在接收到密鑰產(chǎn)生請求消息后,其將eHRPD_Kp(在移動臺中永久存儲128比特模式的秘密)的值�����、NAM指示符設(shè)置為等于eHRPD_K_TEMPs�。一旦MS像在408那樣接收到MS密鑰請求,則MS計算MS_RESULT����。如果在MS密鑰請求消息中接收的A_KEY_P_REV = ‘00000010��,���,則移動臺應(yīng)當(dāng)設(shè)置PARAM_Ps = PARAM_Pr 禾口 PARAM_Gs = PARAM_Gr。如果在MS密鑰請求消息中接收的A_KEY_P_REV = ‘00000011��,���、‘00000100,或者 ‘00000111 ’����,則移動臺應(yīng)當(dāng)分別將PARAM_Ps和PARAM_Gs設(shè)置為如下(在詳細(xì)說明的結(jié)尾) 在5. 3.1部分中所規(guī)定的值。如果在MS密鑰請求消息中接收的A_KEY_P_REV = ‘00000101����,或者‘00001000,�, 則移動臺應(yīng)當(dāng)分別將PARAM_Ps設(shè)置為在5. 3. 1中規(guī)定的值,將PARAM_Gs設(shè)置為在5. 5. 1 中規(guī)定的值�。如果在MS密鑰請求消息中的A_KEY_P_REV的值不被移動臺支持,則移動臺應(yīng)當(dāng)通過下述方式來指示錯誤狀況設(shè)置RESULT_C0DE為‘00000011��,,“被拒絕-協(xié)議版本不匹配”���。移動臺應(yīng)當(dāng)在接收到這個消息后750毫秒內(nèi)發(fā)送MS密鑰響應(yīng)消息��。如果移動臺支持在MS密鑰請求消息中的A_KEY_P_REV的值����,則移動臺應(yīng)當(dāng)將 RESULT_C0DE設(shè)置為‘00000000’��,“被接受-操作成功”����。移動臺應(yīng)當(dāng)按照在MS密鑰請求消息中接收的A_KEY_P_REV的值來計算MS_RESULT值如下?!?0000010,�����,根據(jù) 5. 1. 2 來計算 MS_RESULT�,例如 MS_RESULT = PARAM_GSX 模 PARAM_
Ps;‘00000011,��,根據(jù) 5. 3. 2 來計算 MS_RESULT,例如 MS_RESULT = PARAM_GSX 模 PARAM_
Ps;‘00000100�,,根據(jù) 5. 3. 2 來計算 MS_RESULT�����,例如 MS_RESULT = PARAM_GSX 模 PARAM_
Ps;‘00000101�����,�,根據(jù) 5· 5· 2 來計算 MS_RESULT,例如 MS_RESULT = (MS_Pff_ HASH*PARAM_Gsx)模 PARAM_PS��,其中 MS_PW_HASH 被計算如下
MS_Pff_HASH = SHA-I (0x00000001����,0x00000001�����,MS_Pff)模 2128SHA-I (0x00000001���,0x00000002�����,MS_PW)模 2128SHA-I (0x00000001����,0x00000003,MS_PW)模 2128SHA-I (0x00000001�,0x00000004,MS_PW)模 2128SHA-I (0x00000001�,0x00000005,MS_PW)模 2128SHA-I (0x00000001,0x00000006, MS_Pff)模 2128SHA-I (0x00000001,0x00000007, MS_Pff)模 2128SHA-I (0x00000001,0x00000008, MS_Pff)模 2128SHA-I(0x00000001,0x00000009, MS_Pff)模 2口8����。MS_Pff_HASH在相乘之前可以是減小的模PARAM_PS以簡化實(shí)現(xiàn)。SHA-1是指在 C. S0024-A,"cdma2000 High Rate Packet Data Air Interface Specification", April 2004中規(guī)定的FIPS-180散列函數(shù)�����?����!?0000111����,��,根據(jù) 5. 7. 2 計算 MS_RESULT�����,MS_RESULT = PARAM_GSX 模 PARAM_PS �;‘00001000����,,根據(jù) 5. 9. 2 計算 MS_RESULT���,MS_RESULT = (MS_Pff_HASH2*PARAM_Gsx) 模PARAM_PS�,其中����,MS_PW_HASH被計算如下。SHA-256是指在美國標(biāo)準(zhǔn)技術(shù)研究院的文獻(xiàn)“Secure Hash Standard" , FIPS 180-2, With Change Notice 1 dated February 2004���,August2002 中規(guī)定的 FIPS-180-2 散列函數(shù)�����。MS_Pff_HASH = SHA-256 (0x00000001,0x00000001,MS_Pff)模 2256SHA-256 (0x00000001��,0x00000002��,MS_Pff)模 2256SHA-256 (0x00000001���,0x00000003����,MS_Pff)模 2256SHA-256 (0x00000001,0x00000004, MS_Pff)模 2256SHA-256 (0x00000001���,0x00000005, MS_Pff)模 2128����。返回值應(yīng)當(dāng)被處理為整數(shù)�。移動臺應(yīng)當(dāng)在接收到這個消息后30秒內(nèi)發(fā)送MS密鑰響應(yīng)消息。如果移動臺不能根據(jù)所描述那樣計算MS_RESULT值�����,則移動臺應(yīng)當(dāng)將RESULT_ CODE設(shè)置為‘00000001’���,“被拒絕-未知原因”�。移動臺應(yīng)當(dāng)在接收到這個消息后30秒內(nèi)發(fā)送MS密鑰響應(yīng)消息。密鑰產(chǎn)生請求消息當(dāng)MS在412從0TASP/I0TA服務(wù)器接收到密鑰產(chǎn)生請求時�,MS發(fā)送響應(yīng)。如果移動臺未接收到MS密鑰請求消息����,則移動臺應(yīng)當(dāng)通過下述方式來指示錯誤狀況將RESULT_C0DE設(shè)置為‘00000110,���,“被拒絕-在這個模式中未預(yù)期的消息”����。移動臺應(yīng)當(dāng)在接收到這個消息后750毫秒內(nèi)發(fā)送密鑰產(chǎn)生響應(yīng)消息���。如果移動臺已經(jīng)接收到MS密鑰請求消息并且返回了不是‘00000000’ (即�,“被接受-操作成功”)的RESULT CODE����,則移動臺應(yīng)當(dāng)通過下述方式來指示錯誤狀況將RESULT_ CODE設(shè)置為‘00000110’,“被拒絕-在這個模式中未預(yù)期的消息”�����。移動臺應(yīng)當(dāng)在接收到這個消息后750毫秒內(nèi)發(fā)送密鑰產(chǎn)生響應(yīng)消息��。如果移動臺已經(jīng)接收了具有等于0的BS_RESULT值的密鑰產(chǎn)生請求消息����,則移動臺應(yīng)當(dāng)將RESULT_C0DE設(shè)置為‘00000001’,“被拒絕-未知原因”����。移動臺然后應(yīng)當(dāng)在接收到這個消息后750毫秒內(nèi)發(fā)送密鑰產(chǎn)生響應(yīng)消息。
否則��,如果在MS密鑰請求消息中接收的A_KEY_P_REV的值等于下列情況�,則移動臺應(yīng)當(dāng)計算A-key、A-key和根密鑰組合或者(eHRPD)根密鑰的值‘00000010’�����,根據(jù)5. 1. 3計算A_key�,例如,移動臺應(yīng)當(dāng)計算公共密鑰K = BS_ RESULT/模PARAM_PS�。移動臺應(yīng)當(dāng)將結(jié)果K的64個最低有效比特存儲為A_KEY_TEMPS ;‘ 00000011’���,根據(jù) 5.3.3 計算 Α-key 和根密鑰�;‘ 00000100 ’�����,根據(jù)5. 3. 4計算根密鑰,例如�,移動臺應(yīng)當(dāng)計算根密鑰RK = BS_ RESULT/模PARAM_PS。移動臺應(yīng)當(dāng)將結(jié)果RK的1 個最低有效比特存儲為RK_TEMPS ����;‘00000101,���,根據(jù)5. 5. 3來計算根密鑰�;‘00000111����,,根據(jù) 5. 7. 3 來計算 eHRPD 根密鑰�����,例如 eHRPD 根密鑰 eRK = BS_ RESULT/模PARAM_PS�。移動臺應(yīng)當(dāng)將結(jié)果eRK的1觀個最低有效比特存儲為eHRPD_K_ TEMPs ;‘00001000�,,根據(jù) 5. 9. 3 計算 eHRPD 根密鑰,例如 eHRPD 根密鑰 eRK = SHA-256 (0x00000003 | 0x00000C80 (這個值被設(shè)置為 MS_PARAM 的比特長度)| MS_PARAM | MS_ PARAM)���,其中�����,MS_PARAM = MS_PffPARAM_GSX 模 PARAM_PS(BS_RESULTs/BS_Pff_HASH)模 PARAM_PS ((BS_RESULTs/BS_Pff_HASH)x)模 PARAM_PS。移動臺應(yīng)當(dāng)將結(jié)果eRK的1 個最低有效比特存儲為eHRPD_K_TEMPs����。如果移動臺未成功地如所描述那樣分別計算A-key、A-key和根密鑰組合或者 (eHRPD)根密鑰�����,則移動臺應(yīng)當(dāng)將RESULT_C0DE設(shè)置為‘00000001�,,“被拒絕-未知原因”�。 移動臺應(yīng)當(dāng)然后在接收到這個消息后30秒內(nèi)發(fā)送密鑰產(chǎn)生響應(yīng)消息。如果移動臺成功地如所描述那樣分別計算A-key���、A-key和根密鑰組合或者 (eHRPD)根密鑰����,則移動臺應(yīng)當(dāng)將RESULT_C0DE設(shè)置為‘00000000’,“被接受-操作成功”�。 移動臺應(yīng)當(dāng)然后在接收到這個消息后30秒內(nèi)發(fā)送密鑰產(chǎn)生響應(yīng)消息。密鑰產(chǎn)生響應(yīng)消息�����,3. 5. 1.4在414����,MS發(fā)送密鑰產(chǎn)生響應(yīng)消息。所述密鑰產(chǎn)生響應(yīng)消息具有下面的可變長度格式
字段長度(比特)0TASP—MSG—TYPE( ‘00000011�����,)8RESULT—CODE8MS—RESULT—LEN8MS—RESULT8XMS—RESULT—LEN 0TASP_MSG_TYPE——OTASP數(shù)據(jù)消息類型�����。移動臺應(yīng)當(dāng)將這個字段設(shè)置為 ‘00000011��,�。
RESULT_C0DE——密鑰交換結(jié)果碼。移動臺應(yīng)當(dāng)使用在表3. 5. 1. 2-1中限定的值來設(shè)置這個字段以指示接受或者拒絕狀態(tài)���。MS_RESULT_LEN——MS_RESULT字段的長度����。移動臺應(yīng)當(dāng)將這個字段設(shè)置為在MS_ RESULT字段中的八位字節(jié)的數(shù)量。MS_RESULT——移動臺計算結(jié)果��。如果在MS密鑰請求消息中接收的A_KEY_P_REV等于‘00000010’��,則移動臺應(yīng)當(dāng)將這個字段設(shè)置為等于在5. 1. 2中所描述的MS_RESULT的值�,MS_RESULT = PARAM_GSX模 PARAM_Ps0如果在MS密鑰請求消息中接收的A_KEY_P_REV等于‘00000011,或者 ‘00000100’�����,則移動臺應(yīng)當(dāng)將這個字段設(shè)置為等于在5. 3. 2中所描述的MS_RESULT的值��, MS_RESULT = PARAM_GSX 模 PARAM_PS�����。如果在MS密鑰請求消息中接收的A_KEY_P_REV等于‘00000101�,��,則移動臺應(yīng)當(dāng)將這個字段設(shè)置為等于在5. 5. 2中所描述的MS_RESULT的值或者如下MS_PW_HASH MS_Pff_HASH = SHA-I (0x00000001�,0x00000001,MS_Pff)模 2128SHA-I (0x00000001�,0x00000002,MS_PW)模 2128SHA-I (0x00000001,0x00000003���,MS_PW)模 2128SHA-I (0x00000001�,0x00000004����,MS_PW)模 2128SHA-I (0x00000001,0x00000005����,MS_PW)模 2128SHA-I (0x00000001,0x00000006, MS_Pff)模 2128SHA-I (0x00000001,0x00000007, MS_Pff)模 2128SHA-I (0x00000001,0x00000008����,MS_PW)模 2128SHA-I (0x00000001,0x00000009�����,MS_PW)模 2128.移動臺應(yīng)當(dāng)計算MS_RESULT = (MS_PW_HASH*PARAM_Gsx)模 PARAM_PS��。SHA-1 是指在下述文獻(xiàn)中規(guī)定的 FIPS-180 散列函數(shù)C. S0024-A�,“cdma2000 High Rate Packet Data Air Interface Specification”,April 2004����。MS_PW_HASH 在相乘之前可以是減小的模 PARAM_PS以簡化實(shí)現(xiàn)�����。如果在MS密鑰請求消息中接收的A_KEY_P_REV等于‘00000111’�,則移動臺應(yīng)當(dāng)將這個字段設(shè)置為在5. 7. 2中所描述的MS_RESULT的值����,MS_RESULT = PARAM_GSX模PARAM_Ps。如果在MS密鑰請求消息中接收的A_KEY_P_REV等于‘00001000’��,則移動臺應(yīng)當(dāng)將這個字段設(shè)置為在5. 9. 2中所描述的MS_RESULT的值��,移動臺應(yīng)當(dāng)計算MS_PW_HASH如下MS_Pff_HASH = SHA-256 (0x00000001�,0x00000001��,MS_Pff)模 2256SHA-256 (0x00000001���,0x00000002���,MS_Pff)模 2256SHA-256 (0x00000001,0x00000003���,MS_Pff)模 2256SHA-256 (0x00000001,0x00000004, MS_Pff)模 2256SHA-256 (0x00000001���,0x00000005���,MS_Pff)模 2128.返回值應(yīng)當(dāng)被處理為整數(shù)。SHA-256是指在美國標(biāo)準(zhǔn)技術(shù)研究院的文 K “ Secure Hash Standard “ �����, FIPS 180-2, With Change Notice ldated February2004, August 2002中規(guī)定的FIPS-180-2散列函數(shù)�����。移動臺應(yīng)當(dāng)計算MS_RESULT
18=(MS_Pff_HASH*PARAM_Gsx)模 PARAM_PS��。MS_PW_HASH 在相乘之前可以是減小的模 PARAM_ Ps以簡化實(shí)現(xiàn)���。eHRPD DATA AKA 算法能力參數(shù)���,3. 5. 8. 15eHRPD AKA算法能力參數(shù)塊的PARAM_DATA字段由具有8比特長度的AKA_ ALGORITHM 構(gòu)成
權(quán)利要求
1.一種用于空中供給的方法,包括連接到第一接入系統(tǒng)����;請求用于第二接入系統(tǒng)的認(rèn)證證書的空中供給���,其中,所述第二接入系統(tǒng)缺少空中供給過程���;經(jīng)由所述第一接入系統(tǒng)來接收用于所述第二接入系統(tǒng)的認(rèn)證證書的空中供給��;連接到所述第二接入系統(tǒng)�����;以及向所述第二接入系統(tǒng)提供所供給的認(rèn)證證書�,以便執(zhí)行向所述第二接入系統(tǒng)的認(rèn)證����。
2.根據(jù)權(quán)利要求1所述的方法,其中��,所述認(rèn)證證書包括認(rèn)證和密鑰協(xié)商(AKA)認(rèn)證證書�����,所述方法還包括使用所述AKA認(rèn)證證書來執(zhí)行向所述第二接入系統(tǒng)的AKA認(rèn)證�����。
3.根據(jù)權(quán)利要求2所述的方法�,其中,所述第二接入系統(tǒng)包括3GPP核心網(wǎng)絡(luò)�����,并且所述第一接入系統(tǒng)是非3GPP核心網(wǎng)絡(luò)�。
4.根據(jù)權(quán)利要求3所述的方法,其中���,所述空中供給包括使用基于Diffie-Hellman的協(xié)議來建立密鑰�。
5.根據(jù)權(quán)利要求3所述的方法��,其中��,所述空中供給包括使用Diffie-Hellman協(xié)議來交換密碼認(rèn)證密鑰�。
6.根據(jù)權(quán)利要求3所述的方法,其中�,所空中供給的認(rèn)證證書包括以下項中的至少一項3GPP AKA認(rèn)證根密鑰(K)、AKA認(rèn)證相關(guān)參數(shù)或者要用于向所述第二接入系統(tǒng)的認(rèn)證的 AKA認(rèn)證算法����。
7.根據(jù)權(quán)利要求6所述的方法,其中����,所空中供給的認(rèn)證證書包括AKA認(rèn)證相關(guān)參數(shù)��, 并且其中�����,所述AKA認(rèn)證相關(guān)參數(shù)包括以下項中的至少一項是否使用f5來進(jìn)行SQN隱藏�, 和用于AKA SQN管理的一個或多個SQN號的配置��。
8.根據(jù)權(quán)利要求6所述的方法�����,其中���,所空中供給的認(rèn)證證書包括要用于向所述第二接入系統(tǒng)的認(rèn)證的AKA認(rèn)證算法�,所述方法還包括從所述第一接入系統(tǒng)接收所述認(rèn)證算法的空中定制���。
9.根據(jù)權(quán)利要求8所述的方法�,其中���,所述AKA認(rèn)證算法是MILENAGE�,并且其中����,所述認(rèn)證算法的定制包括OP或者OPc參數(shù)的定制。
10.根據(jù)權(quán)利要求8所述的方法�����,其中�,所述第一接入系統(tǒng)包括CDMA2000系統(tǒng)。
11.根據(jù)權(quán)利要求10所述的方法����,其中,所述空中供給是經(jīng)由空中服務(wù)供給(OTASP)來接收的��。
12.根據(jù)權(quán)利要求10所述的方法�,其中,所述空中供給是經(jīng)由空中因特網(wǎng)(IOTA)來接收的�����。
13.一種用于接收空中供給的裝置����,所述裝置包括發(fā)射機(jī)�����,用于連接到第一接入系統(tǒng)和第二接入系統(tǒng)�;處理器���,用于從所述第一接入系統(tǒng)請求用于所述第二接入系統(tǒng)的認(rèn)證證書的空中供給�����,其中��,所述第二接入系統(tǒng)缺少空中供給過程���;接收機(jī),用于從所述第一接入系統(tǒng)接收用于所述第二接入系統(tǒng)的認(rèn)證證書的空中供存儲器����,用于存儲所接收的用于所述第二接入系統(tǒng)的認(rèn)證證書的空中供給;以及通信組件��,用于向所述第二接入系統(tǒng)提供所供給的認(rèn)證證書����,以便執(zhí)行向所述第二接入系統(tǒng)的認(rèn)證�,從而與所述第二接入系統(tǒng)建立連接����。
14.根據(jù)權(quán)利要求13所述的裝置�,其中,所述認(rèn)證證書包括認(rèn)證和密鑰協(xié)商(AKA)認(rèn)證證書����,并且其中,所述空中供給包括使用所述AKA認(rèn)證證書來執(zhí)行向所述第二接入系統(tǒng)的 AKA認(rèn)證�。
15.根據(jù)權(quán)利要求14所述的裝置,其中��,所述第二接入系統(tǒng)包括3GPP核心網(wǎng)絡(luò)�����,而所述第一接入系統(tǒng)是非3GPP核心網(wǎng)絡(luò)���。
16.根據(jù)權(quán)利要求15所述的裝置��,其中��,所述空中供給包括使用基于Diffie-Hellman 的協(xié)議來建立密鑰��。
17.根據(jù)權(quán)利要求15所述的裝置��,其中���,所述空中供給包括交換密碼認(rèn)證的 Diffie-Hellman 密鑰協(xié)商�����。
18.根據(jù)權(quán)利要求15所述的裝置�,其中�����,所空中供給的認(rèn)證證書包括以下項中的至少一項3GPP AKA認(rèn)證根密鑰(K)�����、AKA認(rèn)證相關(guān)參數(shù)和要用于向所述第二接入系統(tǒng)的認(rèn)證的 AKA認(rèn)證算法�����。
19.根據(jù)權(quán)利要求18所述的裝置����,其中����,所空中供給的認(rèn)證證書包括AKA認(rèn)證相關(guān)參數(shù)���,并且其中,所述AKA認(rèn)證相關(guān)參數(shù)包括以下項中的至少一項是否使用f5來進(jìn)行SQN隱藏���,和用于AKA SQN管理的一個或多個SQN號的配置��。
20.根據(jù)權(quán)利要求18所述的裝置�����,其中��,所空中供給的認(rèn)證證書包括要用于向所述第二接入系統(tǒng)的認(rèn)證的AKA認(rèn)證算法�,并且其中�,所述空中供給還包括從所述第一接入系統(tǒng)接收所述認(rèn)證算法的空中定制。
21.根據(jù)權(quán)利要求20所述的裝置�,其中,所述AKA認(rèn)證算法是MILENAGE���,并且其中����,所述認(rèn)證算法的定制包括OP或者OPc參數(shù)的定制。
22.根據(jù)權(quán)利要求20所述的裝置��,其中�,所述第一接入系統(tǒng)是CDMA2000系統(tǒng)。
23.根據(jù)權(quán)利要求22所述的裝置���,其中����,所述空中供給是經(jīng)由空中服務(wù)供給(OTASP)來接收的�。
24.根據(jù)權(quán)利要求22所述的裝置,其中����,所述空中供給是經(jīng)由空中因特網(wǎng)(IOTA)來接收的。
25.一種用于接收空中供給的裝置�,所述裝置包括用于連接到第一接入系統(tǒng)和第二接入系統(tǒng)的模塊;用于請求用于第二接入系統(tǒng)的認(rèn)證證書的空中供給的模塊�����,其中�,所述第二接入系統(tǒng)缺少空中供給過程���;用于從所述第一接入系統(tǒng)接收用于所述第二接入系統(tǒng)的認(rèn)證證書的空中供給的模塊;以及用于向所述第二接入系統(tǒng)提供所供給的認(rèn)證證書��,以便執(zhí)行向所述第二接入系統(tǒng)的認(rèn)證的模塊�。
26.被配置來接收空中供給的至少一個處理器��,所述處理器包括第一模塊��,用于連接到第一接入系統(tǒng)�����;第二模塊���,用于請求用于第二接入系統(tǒng)的認(rèn)證證書的空中供給,其中��,所述第二接入系統(tǒng)缺少空中供給過程����;第三模塊,用于從所述第一接入系統(tǒng)接收用于所述第二接入系統(tǒng)的認(rèn)證證書的空中供第四模塊����,用于連接到所述第二接入系統(tǒng)����;以及第五模塊���,用于向所述第二接入系統(tǒng)提供所供給的認(rèn)證證書����,以便執(zhí)行向所述第二接入系統(tǒng)的認(rèn)證�。
27.一種計算機(jī)程序產(chǎn)品,包括計算機(jī)可讀介質(zhì)����,所述計算機(jī)可讀介質(zhì)包括第一組代碼,用于使得計算機(jī)連接到第一接入系統(tǒng)����;第二組代碼,用于使得計算機(jī)請求用于第二接入系統(tǒng)的認(rèn)證證書的空中供給�,其中,所述第二接入系統(tǒng)缺少空中供給過程����;第三組代碼�,用于使得計算機(jī)接收用于所述第二接入系統(tǒng)的認(rèn)證證書的空中供給����;第四組代碼,用于使得計算機(jī)連接到所述第二接入系統(tǒng)��;以及第五組代碼����,用于使得計算機(jī)向所述第二接入系統(tǒng)提供所供給的認(rèn)證證書,以便執(zhí)行向所述第二接入系統(tǒng)的認(rèn)證�。
28.一種用于執(zhí)行空中供給的方法,所述方法包括在第一接入系統(tǒng)處接收始發(fā)自接入設(shè)備的呼叫���;將所述呼叫引導(dǎo)到供給系統(tǒng);確定所述接入設(shè)備的協(xié)議能力�;以及在所述接入設(shè)備處經(jīng)由所述第一接入系統(tǒng)來執(zhí)行認(rèn)證證書的空中供給,其中�,所述認(rèn)證證書用于第二接入系統(tǒng),所述第二接入系統(tǒng)缺少空中供給過程��。
29.根據(jù)權(quán)利要求觀所述的方法����,其中�,所述認(rèn)證證書包括認(rèn)證和密鑰協(xié)商(AKA)認(rèn)證證書����。
30.根據(jù)權(quán)利要求四所述的方法,其中����,所述第二接入系統(tǒng)包括3GPP核心網(wǎng)絡(luò),而所述第一接入系統(tǒng)是非3GPP核心網(wǎng)絡(luò)�。
31.根據(jù)權(quán)利要求30所述的方法,其中��,執(zhí)行所述空中供給包括使用基于 Diffie-Hellman的協(xié)議來建立密鑰�����。
32.根據(jù)權(quán)利要求30所述的方法���,其中�,執(zhí)行所述空中供給包括密碼認(rèn)證的 Diffie-Hellman 密鑰協(xié)商���。
33.根據(jù)權(quán)利要求30所述的方法���,其中���,所空中供給的認(rèn)證證書包括以下項中的至少一項3GPP AKA認(rèn)證根密鑰(K)、AKA認(rèn)證相關(guān)參數(shù)和要用于向所述第二接入系統(tǒng)的認(rèn)證的 AKA認(rèn)證算法�。
34.根據(jù)權(quán)利要求33所述的方法,其中�,所空中供給的認(rèn)證證書包括AKA認(rèn)證相關(guān)參數(shù),并且其中����,所述AKA認(rèn)證相關(guān)參數(shù)包括以下項中的至少一項是否使用f5來進(jìn)行SQN隱藏,和用于AKA SQN管理的一個或多個SQN號的配置��。
35.根據(jù)權(quán)利要求33所述的方法��,其中���,所空中供給的認(rèn)證證書包括所述要用于向所述第二接入系統(tǒng)的認(rèn)證的AKA認(rèn)證算法����,所述方法還包括從所述第一接入系統(tǒng)執(zhí)行所述認(rèn)證算法的空中定制�����。
36.根據(jù)權(quán)利要求35所述的方法�����,其中��,所述AKA認(rèn)證算法是MILENAGE�����,并且其中��,所述認(rèn)證算法的定制包括OP或者OPc參數(shù)的定制���。
37.根據(jù)權(quán)利要求35所述的方法���,其中,所述第一接入系統(tǒng)是CDMA2000系統(tǒng)��。
38.根據(jù)權(quán)利要求37所述的方法��,其中��,所述空中供給是經(jīng)由空中服務(wù)供給(OTASP)來執(zhí)行的�����。
39.根據(jù)權(quán)利要求37所述的方法,其中�����,所述空中供給是經(jīng)由空中因特網(wǎng)(IOTA)來執(zhí)行的��。
40.一種用于空中供給的裝置�����,所述裝置包括接收機(jī)�,用于在第一接入系統(tǒng)處接收始發(fā)自接入設(shè)備的呼叫;處理器���,用于將所述呼叫引導(dǎo)到供給系統(tǒng)����,并且用于確定所述接入設(shè)備的協(xié)議能力����;以及供給系統(tǒng),用于在所述接入設(shè)備處經(jīng)由所述第一接入系統(tǒng)來執(zhí)行認(rèn)證證書的空中供給�,其中,所述認(rèn)證證書用于第二接入系統(tǒng)�����,所述第二接入系統(tǒng)缺少空中供給過程�。
41.根據(jù)權(quán)利要求40所述的裝置,其中�����,所述認(rèn)證證書是認(rèn)證和密鑰協(xié)商(AKA)認(rèn)證證書��。
42.根據(jù)權(quán)利要求41所述的裝置���,其中����,所述第二接入系統(tǒng)包括3GPP核心網(wǎng)絡(luò)�����,而所述第一接入系統(tǒng)是非3GPP核心網(wǎng)絡(luò)�。
43.根據(jù)權(quán)利要求42所述的裝置,其中����,執(zhí)行所述空中供給包括使用基于 Diffie-Hellman的協(xié)議來建立密鑰�����。
44.根據(jù)權(quán)利要求42所述的裝置�����,其中�����,執(zhí)行所述空中供給包括密碼認(rèn)證的 Diffie-Hellman 密鑰協(xié)商���。
45.根據(jù)權(quán)利要求42所述的裝置,其中����,所空中供給的認(rèn)證證書包括以下項中的至少一項3GPP AKA認(rèn)證根密鑰(K)、AKA認(rèn)證相關(guān)參數(shù)和要用于向所述第二接入系統(tǒng)的認(rèn)證的 AKA認(rèn)證算法���。
46.根據(jù)權(quán)利要求45所述的裝置�����,其中����,所空中供給的認(rèn)證證書包括AKA認(rèn)證相關(guān)參數(shù)���,并且其中����,所述AKA認(rèn)證相關(guān)參數(shù)包括以下項中的至少一項是否使用f5來進(jìn)行SQN隱藏�,和用于AKA SQN管理的一個或多個SQN號的配置。
47.根據(jù)權(quán)利要求45所述的裝置��,其中�,所空中供給的認(rèn)證證書包括所述要用于向所述第二接入系統(tǒng)的認(rèn)證的AKA認(rèn)證算法,并且其中����,執(zhí)行認(rèn)證證書的空中供給包括從所述第一接入系統(tǒng)執(zhí)行所述認(rèn)證算法的空中定制。
48.根據(jù)權(quán)利要求47所述的裝置��,其中���,所述AKA認(rèn)證算法是MILENAGE���,并且其中�,所述認(rèn)證算法的定制包括OP或者OPc參數(shù)的定制��。
49.根據(jù)權(quán)利要求47所述的裝置�,其中,所述第一接入系統(tǒng)是CDMA2000系統(tǒng)�����。
50.根據(jù)權(quán)利要求49所述的裝置��,其中�,所述空中供給是經(jīng)由空中服務(wù)供給(OTASP)來執(zhí)行的。
51.根據(jù)權(quán)利要求49所述的裝置�����,其中��,所述空中供給是經(jīng)由空中因特網(wǎng)(IOTA)來執(zhí)行的����。
52.一種用于空中供給的裝置,所述裝置包括用于在第一接入系統(tǒng)處接收始發(fā)自接入設(shè)備的呼叫的模塊; 用于將所述呼叫引導(dǎo)到供給系統(tǒng)的模塊���; 用于確定所述接入設(shè)備的協(xié)議能力的模塊�����;以及用于在所述接入設(shè)備處經(jīng)由所述第一接入系統(tǒng)來執(zhí)行認(rèn)證證書的空中供給的模塊���,其中���,所述認(rèn)證證書用于第二接入系統(tǒng)�,所述第二接入系統(tǒng)缺少空中供給過程���。
53.被配置來執(zhí)行空中供給的至少一個處理器,所述處理器包括 第一模塊����,用于在第一接入系統(tǒng)處接收始發(fā)自接入設(shè)備的呼叫; 第二模塊����,用于將所述呼叫引導(dǎo)到供給系統(tǒng);第三模塊���,用于確定所述接入設(shè)備的協(xié)議能力�����;以及第四模塊�,用于在所述接入設(shè)備處經(jīng)由所述第一接入系統(tǒng)來執(zhí)行認(rèn)證證書的空中供給,其中�����,所述認(rèn)證證書用于第二接入系統(tǒng)����,所述第二接入系統(tǒng)缺少空中供給過程。
54.一種計算機(jī)程序產(chǎn)品����,包括計算機(jī)可讀介質(zhì),所述計算機(jī)可讀介質(zhì)包括第一組代碼�����,用于使得計算機(jī)在第一接入系統(tǒng)處接收始發(fā)自接入設(shè)備的呼叫���; 第二組代碼�,用于使得計算機(jī)將所述呼叫引導(dǎo)到供給系統(tǒng); 第三組代碼����,用于使得計算機(jī)確定所述接入設(shè)備的協(xié)議能力;以及第四組代碼��,用于使得計算機(jī)在所述接入設(shè)備處經(jīng)由所述第一接入系統(tǒng)來執(zhí)行認(rèn)證證書的空中供給�����,其中�,所述認(rèn)證證書用于第二接入系統(tǒng)�����,所述第二接入系統(tǒng)缺少空中供給過
全文摘要
一種用于在接入設(shè)備處經(jīng)由第一接入系統(tǒng)進(jìn)行認(rèn)證證書的空中供給的方法和裝置����,其中,所述認(rèn)證證書用于缺少空中供給過程的第二接入系統(tǒng)��。例如�����,第二接入系統(tǒng)可以是使用AKA認(rèn)證方法的3GPP系統(tǒng)。第一接入系統(tǒng)可以是使用OTASP或者IOTA過程的CDMA��。供給所述認(rèn)證證書可以包括供給以下項中的任意一項3GPP AKA認(rèn)證根密鑰(K)�、AKA認(rèn)證相關(guān)參數(shù)、要用于3GPP認(rèn)證的AKA認(rèn)證算法���,或者認(rèn)證算法定制參數(shù)����。
文檔編號H04W12/06GK102440016SQ201080020658
公開日2012年5月2日 申請日期2010年5月11日 優(yōu)先權(quán)日2009年5月11日
發(fā)明者A·帕拉尼恭德爾, G·G·羅斯, J·W·納西爾斯基, Y·C·尹 申請人:高通股份有限公司