專利名稱:證書認(rèn)證和信道綁定的制作方法
證書認(rèn)證和信道綁定相關(guān)申請的交叉引用本申請要求2011年I月7日提交的序列號為N0.61/430,855的美國臨時專利申請和2010年10月15日提交的序列號為N0.61/413,839的美國臨時專利申請的權(quán)益,這些申請的內(nèi)容全部作為引用結(jié)合于此。
背景技術(shù):
網(wǎng)絡(luò)的安全性可以取決于受限設(shè)備和另一端點之間的信道上的通信的私密性(例如信道上的網(wǎng)絡(luò)加密)。由于受限網(wǎng)絡(luò)設(shè)備可能具有有限的資源和計算能力,受限網(wǎng)絡(luò)設(shè)備可能不能執(zhí)行用于與其他端點安全地建立通信信道的一些任務(wù)。由此,與受限網(wǎng)絡(luò)實體的通信可能容易受竊聽和/或冒仿的攻擊。類似地,在具有機器對機器通信(M2M)能力的網(wǎng)絡(luò)中,網(wǎng)絡(luò)的安全性可能取決于M2M網(wǎng)絡(luò)實體之間的信道上的通信的私密性。這些M2M網(wǎng)絡(luò)實體可能也不能安全地執(zhí)行一些用于啟動相互間的通信建立的任務(wù)。由此,在具有執(zhí)行M2M通信能力的網(wǎng)絡(luò)設(shè)備之間的通信可能也容易受竊聽和/或冒仿的攻擊。
發(fā)明內(nèi)容
提供這一發(fā)明內(nèi)容來以簡化的形式引入各種概念,這些概念還將在下面的具體實施方式
部分進(jìn)一步描述。這里描述了用于確保被用于建立與受限網(wǎng)絡(luò)實體的安全信道的證書的有效性的系統(tǒng)、方法和設(shè)備。根據(jù)示例實施方式,如以下描述的,來自網(wǎng)絡(luò)實體(例如中繼節(jié)點終端或者M(jìn)2M網(wǎng)絡(luò)實體)可以在受限網(wǎng)絡(luò)實體處接收。所述證書被接收以用于建立所述受限網(wǎng)絡(luò)實體與所述網(wǎng)絡(luò)實體之間的安全信道。所述證書的有效性不為所述受限網(wǎng)絡(luò)實體所知。所述證書可以被發(fā)送至核心網(wǎng)絡(luò)實體以確定證書的有效性。從所述核心網(wǎng)絡(luò)實體接收對所述證書的有效性的指示,并且基于對所述證書的有效性的指示而做出是否認(rèn)證所述網(wǎng)絡(luò)實體的決定。根據(jù)另一實施方式,可以從受限網(wǎng)絡(luò)實體接收證書。所述證書可以與嘗試建立與所述受限網(wǎng)絡(luò)實體的安全信道的網(wǎng)絡(luò)實體相關(guān)聯(lián)。代表所述受限網(wǎng)絡(luò)實體,可以確定證書的有效性,并且可以向所述受限網(wǎng)絡(luò)實體指示所述有效性。提供這一發(fā)明內(nèi)容來以簡化的形式引入概念的選擇,這在下面的具體實施方式
中將進(jìn)一步描述。這一發(fā)明內(nèi)容并不意在確定要求保護(hù)的主題的關(guān)鍵特征或者必要特征,也并不意在用于限制所要求保護(hù)的主題的范圍。此外,要求保護(hù)的主題不限于解決在本公開的任何部分中記載的任何或者所有缺點。
從以下描述中可以更詳細(xì)地理解本發(fā)明,這些描述是以實例方式給出的,并且可以結(jié)合附圖加以理解,其中:
圖1A是可以在其中實現(xiàn)一個或多個所公開的實施方式的示例通信系統(tǒng)的系統(tǒng)圖示;圖1B是示例無線發(fā)射/接收單元(WTRU)的系統(tǒng)圖示,其中所述WTRU可以在如圖1A所示的通信系統(tǒng)中使用;圖1C是示例無線電接入網(wǎng)絡(luò)和示例核心網(wǎng)絡(luò)的系統(tǒng)圖示,其中所述示例無線接入網(wǎng)絡(luò)和示例核心網(wǎng)絡(luò)可以在如圖1A所示的通信系統(tǒng)中使用;圖1D是另一示例無線電接入網(wǎng)絡(luò)和示例核心網(wǎng)絡(luò)的系統(tǒng)圖示,其中所述示例無線接入網(wǎng)絡(luò)和示例核心網(wǎng)絡(luò)可以在如圖1A所示的通信系統(tǒng)中使用;圖2是描述在用戶設(shè)備中(UE )推導(dǎo)Kasme的圖示;圖3是描述使用網(wǎng)絡(luò)認(rèn)證的示例證書驗證的圖示;圖4是描述使用隱性安全信道證書驗證和平臺綁定的相位2中繼節(jié)點啟動程序的圖示;圖5是描述將獨立安全信道證書處理和插入認(rèn)證服務(wù)器數(shù)據(jù)庫的圖示;圖6是描述中繼的啟動序列的圖示;圖7是描述使用安全信道登記的中繼啟動程序的圖示;圖8描述了 EPS的密鑰分布和密鑰導(dǎo)出(derivation);圖9描述了 EPS的密鑰導(dǎo)出;圖10描述了 USM上的Kasme的示例性導(dǎo)出;圖11描述了示例性的使用TpuK作為參數(shù)推導(dǎo)Kasme ;圖12描述了示例性的使用TpuK在USM上推導(dǎo)密鑰;以及圖13是描述機器對機器(M2M)設(shè)備認(rèn)證和/或與M2M接入網(wǎng)絡(luò)和M2M應(yīng)用服務(wù)器的安全信道的建立的圖示。
具體實施例方式這里描述了用于驗證與端點(例如中繼、終端等)相關(guān)聯(lián)的證書,該證書可以被用于建立端點和受限網(wǎng)絡(luò)實體(例如ncc或USM)之間的安全信道。根據(jù)一實施方式,安全信道可以在受限網(wǎng)絡(luò)實體(例如nCC或USM)和端點(例如中繼、終端等)之間建立。受限網(wǎng)絡(luò)實體可以從端點接收證書。受限網(wǎng)絡(luò)實體可以發(fā)送由端點聲明的證書至核心網(wǎng)絡(luò)實體以驗證所聲明的證書。受限網(wǎng)絡(luò)實體可以與其建立或者嘗試建立安全信道的端點例如可以包括終端、中繼節(jié)點(RN)或RN平臺、M2M網(wǎng)絡(luò)實體或者另一網(wǎng)絡(luò)實體。這里描述了用于確保被用于認(rèn)證和/或建立與受限網(wǎng)絡(luò)實體的安全信道的證書的有效性的系統(tǒng)、方法和設(shè)備。根據(jù)一示例實施方式,如此處描述的,可以在受限網(wǎng)絡(luò)實體處從網(wǎng)絡(luò)實體(例如終端或者M(jìn)2M網(wǎng)絡(luò)實體)接收證書。網(wǎng)絡(luò)實體例如可以包括終端(例如移動設(shè)備、中繼節(jié)點等)、M2M設(shè)備或者嘗試與受限網(wǎng)絡(luò)實體建立安全信道的其他網(wǎng)絡(luò)實體。所述證書可以被接收以用于認(rèn)證和建立所述受限網(wǎng)絡(luò)實體與所述網(wǎng)絡(luò)實體之間的安全信道。所述網(wǎng)絡(luò)實體證書的有效性不為所述受限網(wǎng)絡(luò)實體所知。所述網(wǎng)絡(luò)實體證書可以由受限網(wǎng)絡(luò)實體發(fā)送至可信核心網(wǎng)絡(luò)實體以確定證書的有效性??梢詮暮诵木W(wǎng)絡(luò)實體接收對所述網(wǎng)絡(luò)實體的證書的有效性的指示。所述網(wǎng)絡(luò)實體的證書的有效性可以基于所述證書的真實性,并且由此其中包含的信息包括密鑰。所述受限網(wǎng)絡(luò)實體之后可以基于對所述證書的有效性的指示來確定是否認(rèn)證和(可選地)建立與網(wǎng)絡(luò)實體的安全信道。對所述網(wǎng)絡(luò)實體的認(rèn)證和/或安全信道建立可以使用證書和在證書中提供的認(rèn)證密鑰來執(zhí)行。根據(jù)另一示例實施方式,認(rèn)證密鑰和與終端相關(guān)聯(lián)的標(biāo)識可以由受限網(wǎng)絡(luò)實體從可信網(wǎng)絡(luò)實體安全地接收。受限網(wǎng)絡(luò)實體可能正在嘗試認(rèn)證和建立與網(wǎng)絡(luò)實體(例如,終端或者M(jìn)2M設(shè)備)的安全信道。認(rèn)證密鑰和終端的標(biāo)識的有效性可以由例如接收信息所源自的可信網(wǎng)絡(luò)實體來保證。如此處所描述的,網(wǎng)絡(luò)可以用作針對具有有限的資源和/或接入或者在核心網(wǎng)絡(luò)中的受限網(wǎng)絡(luò)實體的證書驗證的代理。核心網(wǎng)絡(luò)實體可以驗證所聲明的證書。例如,受限網(wǎng)絡(luò)實體可以發(fā)送終端的標(biāo)識至核心網(wǎng)絡(luò)實體。核心網(wǎng)絡(luò)實體可以使用終端的標(biāo)識來獲取與終端相關(guān)聯(lián)的有效證書。核心網(wǎng)絡(luò)實體可以使用驗證后的證書來推導(dǎo)加密和/或認(rèn)證密鑰。核心網(wǎng)絡(luò)實體可以確定所聲明的證書的有效性狀態(tài)。例如,核心網(wǎng)絡(luò)實體可以確定與終端相關(guān)聯(lián)的所聲明的證書是有效還是無效。網(wǎng)絡(luò)實體可以發(fā)送有效性狀態(tài)至受限網(wǎng)絡(luò)實體。如果所聲明的證書有效,則受限網(wǎng)絡(luò)實體可以根據(jù)所聲明的證書有效的網(wǎng)絡(luò)實體確定結(jié)果來執(zhí)行認(rèn)證。如果所聲明的證書無效,則受限網(wǎng)絡(luò)實體可以根據(jù)所聲明的證書無效的網(wǎng)絡(luò)實體確定結(jié)果來抑制執(zhí)行對終端的認(rèn)證。圖1A、圖1B和圖1C示出了在執(zhí)行此處描述的實施方式中可以實施的示例通信環(huán)境。圖1A是可以在其中實施一個或多個所公開的實施方式的示例通信系統(tǒng)100的系統(tǒng)框圖。通信系統(tǒng)100可以是將諸如語音、數(shù)據(jù)、視頻、消息、廣播等之類的內(nèi)容提供給多個無線用戶的多接入系統(tǒng)。通信系統(tǒng)100可以通過系統(tǒng)資源(包括無線帶寬)的共享使得多個無線用戶能夠訪問這樣的內(nèi)容。例如,通信系統(tǒng)100可以使用一個或多個信道接入方法,例如碼分多址(CDMA)、時分多址(TDMA)、頻分多址(FDMA)、正交FDMA (OFDMA)、單載波FDMA(SC-FDMA)等等。如圖1A所示,通信系統(tǒng)100可以包括無線發(fā)射/接收單元(WTRU) 102a, 102b,102c,102d、無線電接入網(wǎng)絡(luò)(RAN) 104、核心網(wǎng)絡(luò)106、公共交換電話網(wǎng)(PSTN) 108、因特網(wǎng)110和其他網(wǎng)絡(luò)112,但可以理解的是所公開的實施方式可以涵蓋任意數(shù)量的WTRU、基站、網(wǎng)絡(luò)和/或網(wǎng)絡(luò)元件。WTRU102a,102b, 102c, 102d中的每一個可以是被配置成在無線通信中操作和/或通信的任何類型的裝置。作為示例,WTRU102a, 102b, 102c, 102d可以被配置成發(fā)送和/或接收無線信號,并且可以包括用戶設(shè)備(UE)、移動站、固定或移動用戶單元、尋呼機、蜂窩電話、個人數(shù)字助理(PDA)、智能電話、便攜式電腦、上網(wǎng)本、個人計算機、無線傳感器、消費電子產(chǎn)品等等。通彳目系統(tǒng)100還可以包括基站114a和基站114b?;?14a,114b中的每個可以是被配置成與WTRU102a,102b, 102c, 102d中的至少一者無線交互,以便于接入一個或多個通信網(wǎng)絡(luò)(例如核心網(wǎng)絡(luò)106、因特網(wǎng)110和/或網(wǎng)絡(luò)112)的任何類型的裝置。例如,基站114a,114b可以是基站收發(fā)信站(BTS)、節(jié)點B、e節(jié)點B、家用節(jié)點B、家用e節(jié)點B、站點控制器、接入點(AP)、無線路由器以及類似裝置。盡管基站114a,114b每個均被描述為單個元件,但是可以理解的是基站114a,114b可以包括任何數(shù)量的互聯(lián)基站和/或網(wǎng)絡(luò)元件?;?14&可以是狀附04的一部分,該狀附04還可以包括諸如基站控制器化50、無線電網(wǎng)絡(luò)控制器(RNC)、中繼節(jié)點之類的其他基站和/或網(wǎng)絡(luò)元件(未示出)?;?14a和/或基站114b可以被配置成發(fā)送和/或接收特定地理區(qū)域內(nèi)的無線信號,該特定地理區(qū)域可以被稱作小區(qū)(未示出)。小區(qū)還可以被劃分成小區(qū)扇區(qū)。例如與基站114a相關(guān)聯(lián)的小區(qū)可以被劃分成三個扇區(qū)。由此,在一種實施方式中,基站114a可以包括三個收發(fā)信機,即針對所述小區(qū)的每個扇區(qū)都有一個收發(fā)信機。在另一實施方式中,基站114a可以使用多輸入多輸出(MMO)技術(shù),并且由此可以使用針對小區(qū)的每個扇區(qū)的多個收發(fā)信機?;?14a,114b 可以通過空中接口 116 與 WTRU102a,102b,102c,102d 中的一者或多者通信,該空中接口 116可以是任何合適的無線通信鏈路(例如射頻(RF)、微波、紅外(IR)、紫外(UV)、可見光等)??罩薪涌?116可以使用任何合適的無線電接入技術(shù)(RAT)來建立。更具體地,如前所述,通信系統(tǒng)100可以是多接入系統(tǒng),并且可以使用一個或多個信道接入方案,例如CDMA、TDMA、FDMA、OFDMA、SC-FDMA以及類似的方案。例如,在RAN104中的基站114&和訂冊102&,102b, 102c可以實施諸如通用移動電信系統(tǒng)(UMTS)陸地?zé)o線電接入(UTRA)之類的無線電技術(shù),其可以使用寬帶CDMA (WCDMA)來建立空中接口 116。WCDMA可以包括諸如高速分組接入(HSPA)和/或演進(jìn)型HSPA (HSPA+)的通信協(xié)議。HSPA可以包括高速下行鏈路分組接入(HSDPA)和/或高速上行鏈路分組接入(HSUPA)。在另一實施方式中,基站114a和WTRU102a,102b,102c可以實施諸如演進(jìn)型UMTS陸地?zé)o線電接入(E-UTRA)之類的無線電技術(shù),其可以使用長期演進(jìn)(LTE)和/或高級LTE(LTE-A)來建立空中接口 116。在其他實施方式中,基站114a和WTRU102a,102b,102c可以實施諸如IEEE802.16(即全球微波互聯(lián)接入(WiMAX))、CDMA2000、CDMA20001x、CDMA2000EV-D0、臨時標(biāo)準(zhǔn) 2000(IS-2000)、臨時標(biāo)準(zhǔn)95 (IS-95)、臨時標(biāo)準(zhǔn)856 (IS-856)、全球移動通信系統(tǒng)(GSM)、增強型數(shù)據(jù)速率GSM演進(jìn)(EDGE)、GSM EDGE (GERAN)之類的無線電技術(shù)。舉例來講,圖1A中的基站114b可以是無線路由器、家用節(jié)點B、家用e節(jié)點B、毫微微小區(qū)基站或者接入點,并且可以使用任何合適的RAT,以用于促進(jìn)在諸如公司、家庭、車輛、校園之類的局部區(qū)域的無線連接。在一種實施方式中,基站114b和WTRU102c,102d可以實施諸如IEEE802.11之類的無線電技術(shù)以建立無線局域網(wǎng)絡(luò)(WLAN)。在一實施方式中,基站114b和WTRU102c,102d可以實施諸如IEEE802.15之類的無線電技術(shù)以建立無線個人局域網(wǎng)絡(luò)(WPAN)。在又一實施方式中,基站114b和WTRU102c,102d可以使用基于蜂窩的RAT(例如WCDMA、CDMA2000、GSM、LTE、LTE-A等)以建立微微型小區(qū)(picocell)和毫微微小區(qū)(femtocell)o如圖1A所示,基站114b可以直接連接至因特網(wǎng)110。由此,基站114b不必經(jīng)由核心網(wǎng)絡(luò)106來接入因特網(wǎng)110。RAN104可以與核心網(wǎng)絡(luò)106通信,該核心網(wǎng)絡(luò)可以是被配置成將語音、數(shù)據(jù)、應(yīng)用程序和/或網(wǎng)際協(xié)議上的語音(VoIP)服務(wù)提供到WTRU102a,102b, 102c, 102d中的一者或多者的任何類型的網(wǎng)絡(luò)。例如,核心網(wǎng)絡(luò)106可以提供呼叫控制、賬單服務(wù)、基于移動位置的服務(wù)、預(yù)付費呼叫、網(wǎng)際互聯(lián)、視頻分配等,和/或執(zhí)行高級安全性功能,例如用戶認(rèn)證。盡管圖1A中未示出,需要理解的是RAN104和/或核心網(wǎng)絡(luò)106可以直接或間接地與其他RAN進(jìn)行通信,這些其他RAN可以使用與RAN104相同的RAT或者不同的RAT。例如,除了連接到可以采用E-UTRA無線電技術(shù)的RAN104,核心網(wǎng)絡(luò)106也可以與使用GSM無線電技術(shù)的其他RAN (未顯示)通信。
核心網(wǎng)絡(luò)106也可以用作WTRU102a,102b, 102c, 102d接入PSTN108、因特網(wǎng)110和/或其他網(wǎng)絡(luò)112的網(wǎng)關(guān)。PSTN108可以包括提供普通老式電話服務(wù)(POTS)的電路交換電話網(wǎng)絡(luò)。因特網(wǎng)110可以包括互聯(lián)計算機網(wǎng)絡(luò)的全球系統(tǒng)以及使用公共通信協(xié)議的裝置,所述公共通信協(xié)議例如傳輸控制協(xié)議(TCP)/網(wǎng)際協(xié)議(IP)因特網(wǎng)協(xié)議套件的中的TCP、用戶數(shù)據(jù)報協(xié)議(UDP)和IP。網(wǎng)絡(luò)112可以包括由其他服務(wù)提供方擁有和/或運營的無線或有線通信網(wǎng)絡(luò)。例如,網(wǎng)絡(luò)112可以包括連接到一個或多個RAN的另一核心網(wǎng)絡(luò),這些RAN可以使用與RAN104相同的RAT或者不同的RAT。通信系統(tǒng)100中的WTRU102a,102b, 102c, 102d中的一些或者全部可以包括多模式能力,即WTRU102a,102b, 102c, 102d可以包括用于通過不同無線鏈路與不同的無線網(wǎng)絡(luò)進(jìn)行通信的多個收發(fā)信機。例如,圖1A中顯示的WTRU102c可以被配置成與使用基于蜂窩的無線電技術(shù)的基站114a進(jìn)行通信,并且與使用IEEE802無線電技術(shù)的基站114b進(jìn)行通信。圖1B是示例WTRU102的系統(tǒng)框圖。如圖1B所示,WTRU102可以包括處理器118、收發(fā)信機120、發(fā)射/接收元件122、揚聲器/麥克風(fēng)124、鍵盤126、顯示屏/觸摸板128、不可移除存儲器130、可移除存儲器132、電源134、全球定位系統(tǒng)(GPS)芯片組136和其他外圍設(shè)備138。需要理解的是,在與以上實施方式保持一致的同時,WTRU102可以包括上述元件的任何子集。處理器118可以是通用目的處理器、專用目的處理器、常規(guī)處理器、數(shù)字信號處理器(DSP)、多個微處理器、與DSP核心相關(guān)聯(lián)的一個或多個微處理器、控制器、微控制器、專用集成電路(ASIC)、現(xiàn)場可編程門陣列(FPGA)電路、其他任何類型的集成電路(1C)、狀態(tài)機等。處理器118可以執(zhí)行信號編碼、數(shù)據(jù)處理、功率控制、輸入/輸出處理和/或使得WTRU102能夠操作在無線環(huán)境中的其他任何功能。處理器118可以耦合到收發(fā)信機120,該收發(fā)信機120可以耦合到發(fā)射/接收元件122。盡管圖1B中將處理器118和收發(fā)信機120描述為獨立的組件,但是可以理解的是處理器118和收發(fā)信機120可以被一起集成到電子封裝或者芯片中。處理器118可以執(zhí)行應(yīng)用層程序(例如瀏覽器)和/或無線電接入層(RAN)程序和/或通信。處理器118可以執(zhí)行諸如認(rèn)證、安全性密鑰協(xié)議和/或加密操作,諸如在接入層和/或應(yīng)用層。發(fā)射/接收元件122可以被配置成通過空中接口 116將信號發(fā)送到基站(例如基站114a),或者從基站(例如基站114a)接收信號。例如,在一種實施方式中,發(fā)射/接收元件122可以是被配置成發(fā)送和/或接收RF信號的天線。在另一實施方式中,發(fā)射/接收元件122可以是被配置成發(fā)送和/或接收例如IR、UV或者可見光信號的發(fā)射器/檢測器。在又一實施方式中,發(fā)射/接收元件122可以被配置成發(fā)送和接收RF信號和光信號兩者。需要理解的是發(fā)射/接收元件122可以被配置成發(fā)送和/或接收無線信號的任意組合。此外,盡管發(fā)射/接收元件122在圖1B中被描述為單個元件,但是WTRU102可以包括任何數(shù)量的發(fā)射/接收元件122。更具體地,WTRU102可以使用MMO技術(shù)。由此,在一種實施方式中,WTRU102可以包括兩個或更多個發(fā)射/接收元件122 (例如多個天線)以用于通過空中接口 116發(fā)送和接收無線信號。收發(fā)信機120可以被配置成對將由發(fā)射/接收元件122發(fā)送的信號進(jìn)行調(diào)制,并且被配置成對由發(fā)射/接收元件122接收的信號進(jìn)行解調(diào)。如上所述,WTRU102可以具有多模式能力。由此,收發(fā)信機120可以包括多個收發(fā)信機以用于使得WTRU102能夠經(jīng)由多RAT進(jìn)行通信,例如UTRA和IEEE802.11。WTRU102的處理器118可以被耦合到揚聲器/麥克風(fēng)124、鍵盤126和/或顯示屏/觸摸板128 (例如,液晶顯示器(IXD)顯示單元或者有機發(fā)光二極管(OLED)顯示單元),并且可以從上述裝置接收用戶輸入數(shù)據(jù)。處理器118還可以向揚聲器/麥克風(fēng)124、鍵盤126和/或顯示屏/觸摸板128輸出數(shù)據(jù)。此外,處理器118可以訪問來自任何類型的合適的存儲器中的信息,以及向任何類型的合適的存儲器中存儲數(shù)據(jù),所述存儲器例如可以是不可移除存儲器130和/或可移除存儲器132。不可移除存儲器130可以包括隨機接入存儲器(RAM)、可讀存儲器(ROM)、硬盤或者任何其他類型的存儲器存儲裝置??梢瞥鎯ζ?32可以包括用戶標(biāo)識模塊(SIM)卡、記憶棒、安全數(shù)字(SD)存儲卡等類似裝置。在其他實施方式中,處理器118可以訪問來自物理上未位于WTRU102上而位于服務(wù)器或者家用計算機(未示出)上的存儲器的信息,以及向上述存儲器中存儲數(shù)據(jù)。處理器118可以從電源134接收功率,并且可以被配置成將功率分配給WTRU102中的其他組件和/或?qū)χ罻TRU102中的其他組件的功率進(jìn)行控制。電源134可以是任何適用于給WTRU102加電的裝置。例如,電源134可以包括一個或多個干電池(鎳鎘(NiCd)、鎳鋅(NiZn)、鎳氫(NiMH)、鋰離子(L1-1on)等)、太陽能電池、燃料電池等。處理器118還可以耦合到GPS芯片組136,該GPS芯片組136可以被配置成提供關(guān)于WTRU102的當(dāng)前位置的位置信息(例如經(jīng)度和緯度)。作為來自GPS芯片組136的信息的補充或者替代,WTRU可以通過空中接口 116從基站(例如基站114a,114b)接收位置信息,和/或基于從兩個或更多個相鄰基站接收到的信號的定時來確定其位置。需要理解的是,在與實施方式保持一致的同時,WTRU102可以通過任何合適的位置確定方法來獲取位置信肩、O處理器118還可以耦合到其他外圍設(shè)備138,該外圍設(shè)備138可以包括提供附加特征、功能性和/或無線或有線連接的一個或多個軟件和/或硬件模塊。例如,外圍設(shè)備138可以包括加速度計、電子指南針(e-compass)、衛(wèi)星收發(fā)信機、數(shù)碼相機(用于照片或者視頻)、通用串行總線(USB)端口、震動裝置、電視收發(fā)信機、免持耳機、藍(lán)牙 模塊、調(diào)頻(FM)無線電單元、數(shù)字音樂播放器、媒體播放器、視頻游戲播放器模塊、因特網(wǎng)瀏覽器等等。圖1C為根據(jù)一種實施方式的RAN104和核心網(wǎng)絡(luò)106的系統(tǒng)框圖。如上所述,RAN104可以使用UTRA無線電技術(shù)通過空中接口 116與WTRU102a、102b和102c通信。RAN104還可以與核心網(wǎng)絡(luò)106通信。如圖1C所示,RAN104可以包括節(jié)點B140a、140b、140c,其中節(jié)點B140a、140b、140c可以分別包含一個或多個收發(fā)信機,該收發(fā)信機通過空中接口 116來與WTRU102a、102b、102c通信。節(jié)點B140a、140b、140c的每個可以在RAN104內(nèi)與特定小區(qū)(未示出)關(guān)聯(lián)。RAN104還可以包括RNC142a、142b。應(yīng)該理解的是RAN104可以包含任意數(shù)量的節(jié)點B和RNC而仍然與實施方式保持一致。如圖1C所示,節(jié)點B140a、140b可以與RNC142a進(jìn)行通信。此外,節(jié)點B140c可以與RNC142b進(jìn)行通信。節(jié)點B140a、140b、140c可以通過Iub接口與對應(yīng)的RNC142a、142b進(jìn)行通信。RNC142a、142b可以通過Iur接口彼此相互通信。RNC142a、142b都可以被配置成控制被連接的對應(yīng)節(jié)點140a、140b、140c。此外,RNC142a、142b都可以被配置成執(zhí)行或者支持其它功能,諸如外環(huán)功率控制、負(fù)載控制、允許控制、分組調(diào)度、移交控制、宏分集、安全功能、數(shù)據(jù)加密等。
如圖1C所示的核心網(wǎng)絡(luò)106可以包括媒體網(wǎng)關(guān)(MGW) 144、移動交換中心(MSC)146、服務(wù)GPRS支持節(jié)點(SGSN)148、和/或網(wǎng)關(guān)GPRS支持節(jié)點(GGSN)150。盡管上述元素中的每個被描述為核心網(wǎng)絡(luò)106的一部分,但是應(yīng)該理解的是這些元素中的任何一個可以被除了核心網(wǎng)絡(luò)運營商以外的實體擁有和/或運營。RAN104中的RNC142a可以通過IuCS接口連接到核心網(wǎng)絡(luò)106中的MSC146。MSC146可以連接到MGW144中。MSC146和MGW144可以給WTRU102a、102b、102c提供至諸如PSTN108的電路交換網(wǎng)絡(luò)的接入,從而便于WTRU102a、102b、102c和傳統(tǒng)陸線通信設(shè)備之間的通信。RAN104中的RNC142a還可以通過IuPS接口連接到核心網(wǎng)絡(luò)106中的SGSN148。SGSN148 可以連接到 GGSN150 中。SGSN148 和 GGSN150 可以給 WTRU102a、102b、102c 提供至諸如因特網(wǎng)110的分組交換網(wǎng)絡(luò)的接入,從而便于WTRU102a、102b、102c和IP使能設(shè)備之間的通信。如上所述,核心網(wǎng)絡(luò)106還可以連接到網(wǎng)絡(luò)112,其中所述網(wǎng)絡(luò)112可以包括由其它服務(wù)提供商所擁有和/或運營的其它有線或無線網(wǎng)絡(luò)。圖1D為根據(jù)一種實施方式的RAN104和核心網(wǎng)絡(luò)106的系統(tǒng)框圖。如上所述,RAN104可以使用E-UTRA無線電技術(shù)通過空中接口 116與WTRU102a、102b和102c通信。RAN104還可以與核心網(wǎng)絡(luò)106通信。RAN104可以包括e節(jié)點B140a、140b、140c,但應(yīng)當(dāng)理解的是在保持與實施方式一致的同時,RAN104可以包括任何數(shù)量的e節(jié)點B。e節(jié)點B140a、140b、140c每個可以包含一個或多個收發(fā)信機,該收發(fā)信機通過空中接口 116來與訂冊102&、10213、102(3通信。在實施方式中,e節(jié)點B140a、140b、140c可以使用MMO技術(shù)。因此,例如e節(jié)點B140a可以使用多個天線傳送無線信號至WTRU102a,并且從WTRU102a接收到無線信號。e節(jié)點B140a、140b、140c每個還可以與特定小區(qū)(未示出)進(jìn)行關(guān)聯(lián)并且被配置成處理無線電資源管理決定、切換決定、上行鏈路和/或下行鏈路中的用戶調(diào)度等。如圖1D所示,e節(jié)點B140a、140b、140c可以通過X2接口相互通信。圖1D中所示的核心網(wǎng)絡(luò)106可以包括移動性管理網(wǎng)關(guān)(MME) 160、服務(wù)網(wǎng)關(guān)162和分組數(shù)據(jù)網(wǎng)絡(luò)(PDN)網(wǎng)關(guān)164。盡管上述元素中的每個被描述為核心網(wǎng)絡(luò)106的一部分,但是應(yīng)該理解的是這些元素中的任何一個可以被除了核心網(wǎng)絡(luò)運營商以外的實體擁有和/或運營。MME160可以通過SI接口連接到RAN104中e節(jié)點B142a、142b、142c的每一個并且可以作為控制節(jié)點。例如,MME160可以負(fù)責(zé)認(rèn)證WTRU102a、102b、102c的用戶、承載激活/去激活、在WTRU102a、102b、102c的初始連接期間選擇特定的服務(wù)網(wǎng)關(guān)等等。MME160也可以為RAN104與使用其他無線電技術(shù)(例如GSM或WCDMA)的RAN (未示出)之間的交換提供控制平面功能。服務(wù)網(wǎng)關(guān)162可以通過SI接口被連接到RAN104中的e節(jié)點B140a、140b、140c的每個。服務(wù)網(wǎng)關(guān)162通常可以路由和轉(zhuǎn)發(fā)用戶數(shù)據(jù)包至WTRU102a、102b、102c,或者路由和轉(zhuǎn)發(fā)來自WTRU102a、102b、102c的用戶數(shù)據(jù)包。服務(wù)網(wǎng)關(guān)162也可以執(zhí)行其他功能,例如在e節(jié)點B間切換期間錨定用戶平面、當(dāng)下行鏈路數(shù)據(jù)可用于WTRU102a、102b、102c時觸發(fā)尋呼、為WTRU102a、102b、102c管理和存儲上下文等等。服務(wù)網(wǎng)關(guān)162也可以被連接到PDN網(wǎng)關(guān)164,該網(wǎng)關(guān)164可以向WTRU102a、102b、102c提供至分組交換網(wǎng)絡(luò)(例如因特網(wǎng)110)的接入,從而便于WTRU102a、102b、102c與IP使能設(shè)備之間的通信。核心網(wǎng)絡(luò)106可以促進(jìn)與其他網(wǎng)絡(luò)之間的通信。例如,核心網(wǎng)絡(luò)106可以向WTRU102a、102b、102c提供至電路交換網(wǎng)絡(luò)(例如PSTN108)的接入,從而便于WTRU102a、102b、102c與傳統(tǒng)陸線通信設(shè)備之間的通信。例如,核心網(wǎng)絡(luò)106可以包括,或可以與下述通信:作為核心網(wǎng)絡(luò)106和PSTN108之間接口的IP網(wǎng)關(guān)(例如,IP多媒體子系統(tǒng)(MS)服務(wù)器)。另外,核心網(wǎng)絡(luò)106可以向提供WTRU102a、102b、102c至網(wǎng)絡(luò)112的接入,該網(wǎng)絡(luò)112可以包含被其他服務(wù)提供商擁有和/或運營的其他有線或無線網(wǎng)絡(luò)。以上描述的通信系統(tǒng)和/或系統(tǒng)可以被用于驗證來自這里描述的端點(例如中繼節(jié)點、終端等)的證書。此處公開了可以建立端點之間的安全信道的系統(tǒng)、方法和/或設(shè)施。每個端點例如可以包括受限網(wǎng)絡(luò)實體(例如US頂或ncc)、終端(例如中繼節(jié)點)、設(shè)備中的安全和/或隔離域或者其他端點。根據(jù)一實施方式,核心網(wǎng)絡(luò)實體可以被用作用于受限網(wǎng)絡(luò)實體的證書驗證代理。安全信道可以由認(rèn)證將被受限網(wǎng)絡(luò)實體使用的證書的網(wǎng)絡(luò)來建立。所述受限網(wǎng)絡(luò)實體使用的證書可以從端點(例如終端、中繼節(jié)點等)或者可信源獲得。網(wǎng)絡(luò)的安全性取決于在受限網(wǎng)絡(luò)實體和另一節(jié)點(諸如終端)之間的信道上的通信的私密性。受限網(wǎng)絡(luò)實體和終端之間的信道可以被用于轉(zhuǎn)移網(wǎng)絡(luò)加密和/或認(rèn)證密鑰。這可以是這種情況,例如,在高級LTE中繼節(jié)點中,其中UICC被連接到RN平臺。例如Π CC至RN平臺通信容易受到竊聽攻擊。然而,加密和/或認(rèn)證密鑰可以在整個信道中轉(zhuǎn)移。流氓設(shè)備可能能夠讀取這些密鑰,并且由此冒仿認(rèn)證序列中的真正設(shè)備和/或竊聽會話。UICC可以通過公共密鑰交換創(chuàng)建與RN平臺的安全信道。公共密鑰可以使用由nCC和/或RN平臺提供的證書來簽名。RN平臺可以假設(shè)從nCC接收的證書是值得相信的,或者可以驗證所述證書,但是nCC絕不可能驗證由RN平臺提供的證書。所述終端(例如中繼節(jié)點)平臺的所聲明的證書和/或所述證書的有效性可以被結(jié)合到ncc對網(wǎng)絡(luò)認(rèn)證程序中,由此認(rèn)證可以在證書驗證出現(xiàn)時發(fā)生。網(wǎng)絡(luò)可能通過使用有效證書而得知安全信道沒有泄露,并且由此加密和/或認(rèn)證密鑰沒有泄露。這例如可以在相同程序中完成。如果終端平臺正在使用無效證書(例如冒仿RN平臺正在泄露加密和/或認(rèn)證密鑰),則網(wǎng)絡(luò)認(rèn)證失敗。對網(wǎng)絡(luò)的認(rèn)證可以便于將證書的有效性狀態(tài)轉(zhuǎn)發(fā)至受限網(wǎng)絡(luò)實體(例如ncc),并且隨后建立安全信道。受限網(wǎng)絡(luò)實體(例如UICC)和核心網(wǎng)絡(luò)實體之間的隱性信任可以被使用以允許核心網(wǎng)絡(luò)用作受限實體的代理來驗證證書。例如,在受限網(wǎng)絡(luò)實體沒有執(zhí)行證書的驗證和/或使用OCSP檢查廢止(revocation)狀態(tài)的情況下,跨越別的易受攻擊信道,受限網(wǎng)絡(luò)實體和另一端點(諸如終端)之間的安全信道可以被建立。受限網(wǎng)絡(luò)實體和終端之間的安全信道可以使用受限網(wǎng)絡(luò)實體和核心網(wǎng)絡(luò)之間的認(rèn)證程序來驗證。使用驗證的異步認(rèn)證的公共密鑰可以作為參數(shù)而被包括在共享認(rèn)證序列中。此處描述的系統(tǒng)、方法和設(shè)施可以被應(yīng)用于諸如中繼節(jié)點之類的設(shè)備,例如在該中繼節(jié)點處,受限網(wǎng)絡(luò)實體(例如UICC)和端點(例如RN平臺)跨越易受攻擊信道來傳送網(wǎng)絡(luò)加密和/或認(rèn)證密鑰。受限網(wǎng)絡(luò)實體和端點由此可以建立安全信道。根據(jù)一實施方式,可以假設(shè)端點或者中繼證書的驗證。根據(jù)另一實施方式,受限網(wǎng)絡(luò)實體(例如UICC)可以驗證受限網(wǎng)絡(luò)實體內(nèi)的證書。在又一實施方式中,受限網(wǎng)絡(luò)實體可以驗證如此處描述的受限網(wǎng)絡(luò)實體和核心網(wǎng)絡(luò)之間的單獨的驗證請求交換中的證書。為了使用核心網(wǎng)絡(luò)驗證證書,受限網(wǎng)絡(luò)實體(例如UICC)和核心網(wǎng)絡(luò)可以建立安全性關(guān)聯(lián),諸如基于AKA的安全性關(guān)聯(lián)(SA)。另一網(wǎng)絡(luò)節(jié)點(諸如終端)和受限網(wǎng)絡(luò)實體可以使用證書嘗試建立主SA以使用證書建立TLS安全信道。終端和受限網(wǎng)絡(luò)實體可以交換證書。受限網(wǎng)絡(luò)實體可以經(jīng)由終端執(zhí)行對核心網(wǎng)絡(luò)的AKA。受限網(wǎng)絡(luò)實體可以從終端請求簽名的有效終端證書。核心網(wǎng)絡(luò)實體可以接收受限網(wǎng)絡(luò)實體轉(zhuǎn)發(fā)的例如被簽名的終端證書。核心網(wǎng)絡(luò)實體可以驗證證書。例如,核心網(wǎng)絡(luò)實體可以通過OCSP或CRL來驗證證書。核心網(wǎng)絡(luò)實體還可以發(fā)送和/或接收證書的廢止?fàn)顟B(tài)。核心網(wǎng)絡(luò)實體可以加密終端證書的實際狀態(tài)和/或發(fā)送終端證書的狀態(tài)至受限網(wǎng)絡(luò)實體。根據(jù)一示例實施方式,受限網(wǎng)絡(luò)實體可以包括ULCC TLS端點應(yīng)用程序。如果由核心網(wǎng)絡(luò)指示的證書的狀態(tài)為無效,受限網(wǎng)絡(luò)實體和/或核心網(wǎng)絡(luò)實體可以移除AKA安全性上下文。所公開的系統(tǒng)、方法和設(shè)施可以在終端的證書無效的情況下確保AKA序列失效。受限網(wǎng)絡(luò)實體和核心網(wǎng)絡(luò)之間的另一證書驗證處理可以被執(zhí)行。圖2是描述密鑰生成和等級的圖示。例如,密鑰生成和等級可以用于3GPP eNB。如圖2所示,K210可以是存儲在US頂和/或認(rèn)證中心AuC202上的永久密鑰。USM例如可以在HCC上實現(xiàn)。CK,IK212可以是在AKA程序期間在US頂和/或認(rèn)證中心AuC202中推導(dǎo)的一對密鑰。CK,IK212可以被用于計算密鑰接入安全管理實體(Kasme)214。Kasme214可以在HSS和/或UE204上生成。Kasme可以被用于創(chuàng)建NAS加密密鑰(KNASen。)216、完整性密鑰(KNASint)218和/或eNB密鑰(KeNB)220。KeNB220可以是由UE和/或MME206推導(dǎo)的密鑰,并且可以在UE和/或eNB208上使用以創(chuàng)建UP加密密鑰(Kupene)222、RRC完整性密鑰(KKKCint)224和/或RRC加密密鑰(K—)226。KeNB220還可以在UE和/或eNB208上使用以創(chuàng)建其他密鑰,例如UP完整性密鑰(Kupint)(未示出)。Kupint可以是被用于利用完整性算法保護(hù)RN和DeNB之間的UP業(yè)務(wù)的密鑰。如此處所描述,受限網(wǎng)絡(luò)實體(例如UICC)可以驗證終端(例如中繼節(jié)點)的證書。終端可以是與受限網(wǎng)絡(luò)實體相關(guān)聯(lián)的安全信道的端點。證書可以通過與非受限的另一端點(例如核心網(wǎng)絡(luò)實體)的認(rèn)證程序來驗證。此處描述的系統(tǒng)、方法和設(shè)施可以被用于綁定至少一級的安全信道。圖3描述了使用網(wǎng)絡(luò)認(rèn)證的證書驗證的示例。如圖3所示,實體2可以是使用網(wǎng)絡(luò)實體(例如實體3)來驗證從實體I接收到的安全信道證書的受限實體。根據(jù)一個示例實施方式,實體I可以是終端(例如中繼節(jié)點),實體2可以是受限網(wǎng)絡(luò)實體(例如USIM或HCC),和/或?qū)嶓w3可以是非受限核心網(wǎng)絡(luò)實體。如圖3所示,在302處,實體I和實體2可以建立和/或嘗試建立安全信道。在302建立安全信道的過程中,實體I和實體2可以執(zhí)行公共密鑰交換。伴隨公共密鑰交換,實體I可以接收實體2的證書308,且實體2可以接收實體I的證書306。實體2可能不確定證書306是否是有效證書。為了確定實體I的證書306的有效性,實體2可以使用實體3作為驗證證書306的代理。為了驗證實體I的證書306,在310認(rèn)證期間實體2和實體3可以執(zhí)行密鑰交換。在執(zhí)行認(rèn)證過程中,實體2和實體3可以交換共享密鑰304,該共享密鑰可以從被用于在實體I和實體2之間在302處建立安全信道的相同的公共密鑰中推導(dǎo)得出。在310的認(rèn)證期間,實體3可以接收與實體I和/或?qū)嶓w2相關(guān)聯(lián)的預(yù)訂標(biāo)識,并且使用預(yù)訂標(biāo)識來為實體2查找相對應(yīng)的信道公共密鑰。實體3可以基于與實體I和/或?qū)嶓w2相關(guān)聯(lián)的預(yù)訂標(biāo)識來獲得實體I的最新的有效證書和/或相應(yīng)的公共密鑰,并且驗證證書306。例如,實體3可以使用證書授權(quán)方312來驗證證書306。如果證書306有效,則實體3可以向?qū)嶓w2指示有效性。例如,如果證書306有效,實體3可以繼續(xù)和/或完成310處的對實體2的認(rèn)證。如果證書306無效,則實體3可以終止310處的認(rèn)證(例如拒絕來自實體2的認(rèn)證請求)。此處描述了使用終端的安全信道證書和非受限網(wǎng)絡(luò)實體作為用于證書驗證過程中的代理來執(zhí)行驗證的示例實施方式,如圖3所示。受限網(wǎng)絡(luò)實體可以使用終端的公共密鑰以用于建立安全信道。受限網(wǎng)絡(luò)實體可能不知道公共密鑰的證書是否有效(例如未廢止)??赡鼙浑[性地信任的受限網(wǎng)絡(luò)實體可以使用用以建立安全信道使用的相同的公共密鑰,來作為對網(wǎng)絡(luò)進(jìn)行加密和/或認(rèn)證密鑰的導(dǎo)出的過程中的公共認(rèn)證參數(shù)。核心網(wǎng)絡(luò)(例如運營商網(wǎng)絡(luò))可以使用這一公共認(rèn)證參數(shù),該公共認(rèn)證參數(shù)可以在對應(yīng)于終端所綁定到的受限網(wǎng)絡(luò)實體的預(yù)訂標(biāo)識的數(shù)據(jù)庫中找到。如此處所述,對于網(wǎng)絡(luò)認(rèn)證的證書驗證和安全信道綁定可以被結(jié)合。安全信道綁定可以在存在密鑰正暴露在受限網(wǎng)絡(luò)實體(例如UICC)和終端之間的通信鏈路中的威脅時使用。作為示例實施方式,受限網(wǎng)絡(luò)實體(例如Uicc)內(nèi)的信任可以被使用以將終端要求的公共密鑰插入到3GPP AKA程序的密鑰導(dǎo)出參數(shù)中。終端公共密鑰可以被公然地公開,因而不會是密文。終端密鑰可以與受限網(wǎng)絡(luò)實體密文和受限網(wǎng)絡(luò)實體可信過程結(jié)合以確保用于受限網(wǎng)絡(luò)實體和終端之間的安全信道建立的公共密鑰是在受限網(wǎng)絡(luò)實體AKA密鑰導(dǎo)出中使用的相同的公共密鑰。核心網(wǎng)絡(luò)可以接收受限網(wǎng)絡(luò)實體的預(yù)訂標(biāo)識,并且使用該標(biāo)識來查找對應(yīng)終端的安全信道公共密鑰。核心網(wǎng)絡(luò),利用其資源,可能能夠基于受限網(wǎng)絡(luò)實體的預(yù)訂標(biāo)識來獲得最新的未廢止終端證書和對應(yīng)的公共密鑰,并且確認(rèn)終端證書的有效性。受限網(wǎng)絡(luò)實體可以給核心網(wǎng)絡(luò)提供終端證書。公共密鑰可以被用于在核心網(wǎng)絡(luò)處推導(dǎo)AKA密鑰。如果證書有效并且受限網(wǎng)絡(luò)實體和核心網(wǎng)絡(luò)上的終端公共密鑰匹配,則所推導(dǎo)出的AKA密鑰可以匹配以用于后續(xù)的NAS和/或AS級認(rèn)證。如果受限網(wǎng)絡(luò)實體被給予無效的終端證書,則AKA密鑰可能不會匹配核心網(wǎng)絡(luò)的密鑰,后續(xù)NAS和/或AS級認(rèn)證會失敗。受限網(wǎng)絡(luò)實體(例如UICC)和終端可以初始地建立臨時(tentative)安全信道,該臨時安全信道可以通過交換證書和使用公共密鑰交換算法來建立,從而建立受限網(wǎng)絡(luò)實體和終端之間的加密通信鏈路。受限網(wǎng)絡(luò)實體可以將終端的公共密鑰TpuK(例如或者公共密鑰的散列,或者證書的散列)包括在發(fā)送至核心網(wǎng)絡(luò)且被用于受限網(wǎng)絡(luò)實體的Kasme認(rèn)證密鑰的導(dǎo)出以向核心網(wǎng)絡(luò)進(jìn)行認(rèn)證的參數(shù)中。受限網(wǎng)絡(luò)實體和終端單元可以首先利用受限網(wǎng)絡(luò)實體的標(biāo)識符向網(wǎng)絡(luò)認(rèn)證。例如,如果受限網(wǎng)絡(luò)實體包括UICC,受限網(wǎng)絡(luò)實體的標(biāo)識符可以是IMSI或HMSI。核心網(wǎng)絡(luò)(例如AAA)可以參考其合法預(yù)訂的數(shù)據(jù)庫中的標(biāo)識符和/或參考伴隨的終端證書。網(wǎng)絡(luò)可以使用證書授權(quán)方(CA)312來確保終端的證書有效。如果終端的證書有效,網(wǎng)絡(luò)可以在發(fā)送至受限網(wǎng)絡(luò)且被用于加密和/或認(rèn)證密鑰的導(dǎo)出的參數(shù)中使用終端證書公共密鑰TpuK (例如或者公共密鑰的散列,或者證書的散列)。如果終端的證書無效,則網(wǎng)絡(luò)可以拒絕對受限網(wǎng)絡(luò)實體和/或終端的認(rèn)證請求。根據(jù)另一實施方式,網(wǎng)絡(luò)可以使用無效、但是上次使用的用于終端的好的公共密鑰值,并且限制終端和/或受限網(wǎng)絡(luò)實體的接入直到與終端和/或受限網(wǎng)絡(luò)實體相關(guān)聯(lián)的安全信道非對稱密鑰對被更新。由于在密鑰的導(dǎo)出中使用的參數(shù)(包括終端的公共密鑰參數(shù))可能是相同的,受限網(wǎng)絡(luò)實體和核心網(wǎng)絡(luò)在此時可能具有匹配的密鑰。如果終端嘗試使用錯誤的公共密鑰(該錯誤的公共密鑰可能被用于認(rèn)證和建立與受限網(wǎng)絡(luò)實體相應(yīng)的SA ;并且例如可以被用于在終端上建立相應(yīng)的私有密鑰),則受限網(wǎng)絡(luò)實體和核心網(wǎng)絡(luò)密鑰可能不會匹配,網(wǎng)絡(luò)認(rèn)證會失敗。根據(jù)示例實施方式,受限網(wǎng)絡(luò)實體可以假設(shè)終端證書有效。在另一實施方式中,受限網(wǎng)絡(luò)實體可以驗證受限網(wǎng)絡(luò)實體能力或者受限網(wǎng)絡(luò)實體和核心網(wǎng)絡(luò)之間的獨立的驗證請求交換中的證書。根據(jù)另一示例實施方式,如此處所述,計算的富足網(wǎng)絡(luò)實體可以代表受限網(wǎng)絡(luò)實體來驗證安全信道證書。受限網(wǎng)絡(luò)實體可以是計算受限的安全信道端點。受限網(wǎng)絡(luò)實體可以易于從設(shè)備移除(例如容易分離和/或替換)。安全信道證書可以通過網(wǎng)絡(luò)和受限網(wǎng)絡(luò)實體之間的認(rèn)證來驗證。例如這可以將安全信道證書和/或共享密鑰與其他端點綁定。如果網(wǎng)絡(luò)依賴于安全信道的有效性和/或終端中的信任,則受限網(wǎng)絡(luò)實體和核心網(wǎng)絡(luò)之間的認(rèn)證過程可以提供對于安全信道和/或安全信道的端點可以保護(hù)其傳輸?shù)拿芪牡碾[性保證。例如,所傳輸?shù)拿芪目梢允窃试SLTE中繼以安全地與網(wǎng)絡(luò)通信的密文。根據(jù)一個示例,終端可以是安全信道的端點。對于安全信道證書的驗證可以通過與另一端點(例如非受限的端點)的認(rèn)證程序發(fā)生。這一對安全信道證書的驗證可以被用于例如在認(rèn)證程序中將一層(例如接入層)的安全信道和/或域綁定到另一層(例如傳輸或應(yīng)用層)和/或域。此處描述的認(rèn)證的示例形式是利用隱性安全信道證書驗證的終端(例如中繼節(jié)點)驗證。圖4是描述使用隱性安全信道證書驗證和平臺綁定的相位2中繼節(jié)點啟動程序的圖示。如圖4所示,USM-RN402可以在412執(zhí)行與中繼404的證書交換。在414,由于USM-RN402可能不確定從中繼404接收到的證書有效,則USM-RN402和延遲節(jié)點404之間的安全信道可以被臨時建立。由此,USM-RN402可以使用網(wǎng)路來驗證從中繼404接收到的證書。例如,在416,USIM-RN402可以發(fā)送預(yù)訂標(biāo)識符(例如MSI)至中繼404以用于轉(zhuǎn)發(fā)至網(wǎng)絡(luò)。在418,中繼404可以建立與DeNB406的連接(例如RRC連接)。在418建立的連接可以包括RN指示。在420,中繼404可以附著到MME-RN408。在422,MME-RN408可以發(fā)送認(rèn)證請求至HSS410。在422處的認(rèn)證請求例如可以包括預(yù)訂標(biāo)識(例如MSI)。在424,HSS410例如使用預(yù)訂標(biāo)識(例如MSI)可以發(fā)現(xiàn)與中繼404和/或USM-RN402相關(guān)聯(lián)的預(yù)訂。在426,HSS410可以確定中繼404證書有效。在428,HSS410可以生成在密鑰級中混合有效中繼404證書的散列的認(rèn)證向量。在430,認(rèn)證向量可以從HSS410發(fā)送至MME-RN408。在432,會話(例如GTP-C會話)可以在DeNB406和MME-RN408之間創(chuàng)建。在434,MME_RN408可以發(fā)送安全性模式至USM-RN402。在436,USM-RN402可以生成認(rèn)證響應(yīng)。例如,認(rèn)證響應(yīng)可以通過在密鑰級中混合所聲明中繼404證書的散列來生成。在438,USM-RN402可以發(fā)送表明安全性模式完成的指示至MME-RN408。在440,USIM-RN402和中繼404之間的安全信道可以被確認(rèn)。根據(jù)示例實施方式,密鑰導(dǎo)出可以被執(zhí)行。例如,HSS410可以被載有中繼404證書的128比特的加密散列。這一散列例如可以通過逐位異或函數(shù)而添加到匿名密鑰,并且可以在認(rèn)證向量在428由HSS410計算和/或在430發(fā)送至MME-RN408之前(例如當(dāng)中繼404正連接到網(wǎng)絡(luò)時)被存儲以用于恢復(fù)。圖5是描述將獨立安全信道證書處理和插入認(rèn)證服務(wù)器數(shù)據(jù)庫的圖示。如圖5所示,散列函數(shù)可以在有效RN平臺證書502上執(zhí)行,其可以返回散列504。所述散列可以使用逐位異或506而添加到其他密鑰綁定材料(例如匿名密鑰)508。結(jié)果可以是在HSS處存儲在訂戶數(shù)據(jù)庫512中的訂戶特定的RN密鑰綁定材料510。安全信道證書登記可以被執(zhí)行,例如在此所述。終端(安全信道的其它端點)可以確保其安全信道證書被更新用于受限網(wǎng)絡(luò)實體和網(wǎng)絡(luò)認(rèn)證以成功進(jìn)行。終端可以具有取得和/或存儲有效安全信道證書的裝置。安全信道證書可以在網(wǎng)絡(luò)數(shù)據(jù)庫服務(wù)器中登記。安全信道證書可以在制造時在終端上提供。安全信道證書可以后續(xù)在具有為此目的部署或激活的終端的網(wǎng)絡(luò)中登記。根據(jù)一實施方式,終端可以直接向證書服務(wù)器認(rèn)證。在中繼節(jié)點,終端可以包括中繼節(jié)點平臺。中繼節(jié)點平臺可以在其作為UE (例如作為RN)向網(wǎng)絡(luò)認(rèn)證之后,具有至網(wǎng)絡(luò)的基于IP的連接。這一 UE認(rèn)證可以允許網(wǎng)絡(luò)給予網(wǎng)絡(luò)元件RN受限的接入,諸如操作、管理和維持(0ΑΜ)。中繼的OAM和UE角色可以相互認(rèn)證。中繼節(jié)點可以給OAM提供自生成的安全信道證書和/或相應(yīng)的公共密鑰,并且在其安全環(huán)境中存儲私有密鑰??商鎿Q地,或者附加地,RN可以直接向注冊授權(quán)方(RA)認(rèn)證以用于證書登記。為了認(rèn)證目的在網(wǎng)絡(luò)登記元件和中繼之間使用密鑰以登記安全信道證書,可以由安全環(huán)境控制和/或在中繼節(jié)點平臺妥協(xié)的情況下不可用。圖6是描述中繼的示例啟動序列的圖示。如圖6所示,RN615可以使用程序或者階段啟動。第一階段啟動在601-606描述。例如,RN615可以作為UE附著到HSS619以用于初始配置。在RN615通電之后,RN615和eNB616可以在601建立連接(例如RRC連接)。在602a,RN615可以附著到MME617和/或交換認(rèn)證和安全性信息。在602b,MME617可以轉(zhuǎn)發(fā)與RN615相關(guān)聯(lián)的認(rèn)證和安全性信息至HSS619。在603,MME617和S/P-GW618可以在他們之間創(chuàng)建會話(GTP-C會話)。在604a,RN615和eNB616可以重新配置他們的連接(例如RRC連接)。在604b,eNB616和MME617可以建立SI上下文,并且附著可以被接受。在附著之后,0AM620可以在605向RN615提供用于認(rèn)證和/或證書驗證的初始參數(shù)。初始參數(shù)例如可以與DeNB621相關(guān)聯(lián)。在606,RN615可以分離其自身作為UE。隱性證書驗證可以在例如607-613處描述的第二階段的啟動中的認(rèn)證期間發(fā)生。在607,RN615可以建立與DeNB621的連接(RRC連接)。在連接建立期間,RN615可以向DeNB621指示RN615實際上是RN。在608a,RN615可以附著到MME RN622,并且提供認(rèn)證和安全性信息。例如MME617和MME RN622可以是相同或不同的網(wǎng)絡(luò)實體。RN615可以作為中繼附著。在608b,MME RN622可以發(fā)送認(rèn)證和安全性信息至HSS619。在609,DeNB621和MME RN622可以在他們之間創(chuàng)建會話(例如GTP-C會話)。在610a,RN615和DeNB621可以重新配置他們之間的連接(例如RRC連接)。在610b,DeNB621和MME RN622可以建立SI上下文,并且NAS附著可以被接受。在附著之后,0AM620可以在611處完成與RN615的RN配置。RN615和DeNB621可以在612發(fā)起SI建立和在613發(fā)起X2建立。在614,RN615可以作為中繼開始操作。如果如圖6所示的認(rèn)證失敗,則RN615可以返回605和/或從管理實體請求證書。因此,步驟605可以包括安全信道證書驗證和/或登記。安全信道證書可以與RN615平臺的nCC交換,和/或安全信道可以在階段二認(rèn)證程序中通過nCC-RN接口傳遞密鑰之前被建立。階段二認(rèn)證程序可以與圖4所示的程序相同或者相似(例如沒有密鑰導(dǎo)出)。安全信道證書更新可以被執(zhí)行。當(dāng)安全信道證書被更新時,訂戶數(shù)據(jù)庫可以被更新,諸如利用散列化的證書值。如果在更新證書時受限網(wǎng)絡(luò)實體是活動的,則網(wǎng)絡(luò)可以利用受限網(wǎng)絡(luò)實體初始化另一認(rèn)證程序。如果AKA失敗,則RN平臺可以更新其證書。安全信道證書生成可以通過遠(yuǎn)程提供來執(zhí)行。RN平臺可以安裝用于安全信道認(rèn)證的私有密鑰。這一程序可以以安全方式完成。公共/私有密鑰對可以在RN平臺上生成和/或私有密鑰可以在RN平臺上安全地提供。安全環(huán)境可以用于安裝安全信道密鑰。例如,如果環(huán)境適當(dāng)?shù)亟?,則安全環(huán)境可以用于安裝安全信道私有密鑰。這可以通過安全啟動過程中的技術(shù)來檢測和/或?qū)嵭?。例如,制造商安裝的RN平臺密文可以在RN平臺已經(jīng)安全啟動和/或完整性驗證檢查通過的情況下變?yōu)榭捎?。RN平臺可以利用由建立安全環(huán)境保護(hù)的安全環(huán)境加密密鑰來生成安全信道密鑰對和/或加密私有密鑰。這意味著安全環(huán)境加密密鑰在RN平臺的安全環(huán)境未被成功建立的情況下可能是不可用的。相應(yīng)的證書可以在諸如證書授權(quán)方之類的網(wǎng)絡(luò)實體的協(xié)助下生成。通過例如如圖7的722-732所示的信道建立,RN平臺可以發(fā)送證書至諸如RA和/或OAM的登記實體。如果網(wǎng)絡(luò)認(rèn)證使用平臺驗證技術(shù),其中用于向登記實體的認(rèn)證的密鑰在建立RN平臺的安全環(huán)境時被釋放,則登記實體能夠通過認(rèn)證程序隱性地證實證書的可信性??商鎿Q地,網(wǎng)絡(luò)可以在成功的自動驗證和/或認(rèn)證之后生成安全信道密鑰對和/或傳輸安全信道密鑰。利用自動驗證,如果網(wǎng)絡(luò)認(rèn)證失敗,則證書不會被信任。代替自動驗證,安全環(huán)境可以在其發(fā)送證書至網(wǎng)絡(luò)以用于登記時對安全信道證書進(jìn)行簽名。以這種方式,管理認(rèn)證程序不會被直接綁定到安全信道程序,而是都綁定到成功的安全環(huán)境建立。圖7是描述使用安全信道登記的中繼啟動程序的圖示。如圖7所示,中繼節(jié)點的啟動階段可以包括安全信道證書驗證。在716,中繼704可以執(zhí)行安全啟動。在718,中繼704可以執(zhí)行安全信道密鑰對和證書生成。在720,中繼704可以執(zhí)行階段一啟動程序,諸如在圖601-606描述的階段一啟動程序。在階段一啟動程序之后,在722,中繼704和0AM712可以執(zhí)行OAM程序。在724,中繼704和RA/CA714可以執(zhí)行安全信道證書登記。在726,RA/CA714可以在HSS710上安裝安全信道證書。在728,HSS710可以將安全信道證書的設(shè)備標(biāo)識與訂戶標(biāo)識相關(guān)聯(lián)。在730,HSS710還可以生成和安裝用于RN AKA密鑰級的安全信道證書綁定材料。在732,登記可以在中繼704和RA/CA714之間完成。在734,中繼704可以分離作為UE。在736,中繼704和USM-RN702可以交換安全信道證書,并且執(zhí)行安全信道的臨時建立。在738,USM-RN702可以在其密鑰級中使用安全信道證書。在740,可以執(zhí)行階段二的中繼704啟動,諸如圖6的607-613所示的階段二中繼啟動。在740處的階段二中繼啟動可以利用隱性安全信道證書驗證和綁定來執(zhí)行。在742,0AM712可以完成RN程序。根據(jù)一實施方式,可以使用RN平臺特定密鑰導(dǎo)出的替換方式。例如,在安全信道綁定密鑰中,用于密鑰導(dǎo)出函數(shù)的輸入?yún)?shù)可以如此處所述。這可以基于如TS33.220描述的GBA密鑰導(dǎo)出函數(shù),但是對PO、P3和L0、L3字段進(jìn)行了修改以作為區(qū)別字段和/或特別地綁定結(jié)果密鑰至安全信道的手段:FC=0x01,Pl=RAND, Ll=RAND的長度為16個八位位組(即0x000x10),P2=使用UTF-8被編碼為八位位組串的MPI,L2=IMPI的長度是可變的(不大于65535),P3=RN平臺安全信道證書或者證書的散列,L3=安全信道證書或者散列的長度是可變的(不大于 65535),P0=”rn_sc”(即 0x720x6e0x5f0x730x63),和 / 或 LO=PO 的長度為5個八位位組(即0x000x05)。
在密鑰導(dǎo)出中使用的密鑰可以是例如在TS33.220的條款4和5中規(guī)定的Ks (即級聯(lián)的CK IK)。在TS33.220中,這一函數(shù)可以被表示為:Ks_rn_sc=KDF (Ks,”rn_sc”,RAND, IMPI, RN_PLAT_SC_CERT)。例如,如以下所描述,RN附著請求還可以被執(zhí)行。HSS可以由于NAS傳輸消息中的RN平臺初始請求消息中的指示而知道包括RN特定的參數(shù),包括:例如安全信道證書參數(shù)。RN還可以附著RN特定指示符信息。MME之后可以請求適于RN特定上下文的認(rèn)證向量,所述RN特定上下文可以包括安全信道證書參數(shù)。認(rèn)證序列可以成功或者失效。當(dāng)傳送認(rèn)證序列時,可以使用密鑰等級,諸如圖2中所示的密鑰等級。在密鑰等級中導(dǎo)出的KeNB (RRC完整性和機密性、PDCP機密性和當(dāng)使用增強型rocp時的rocp完整性)可以被傳送至DeNB從而允許在RN平臺和/或DeNB之間的AS安全性關(guān)聯(lián)建立。同時nCC可以根據(jù)相同或者類似的等級推導(dǎo)其基于KeNB的密鑰。這些密鑰可以匹配用于RN、MME和/或DeNB之間的安全通信。例如,這些密鑰可以在所有參數(shù)、UICC和/或HSS密鑰基于USM-RN根密鑰和用于WCC標(biāo)識的對應(yīng)HSS根密鑰匹配的情況下和/或在安全信道證書匹配的情況下匹配。如果AKA失敗,那么XRES會無法匹配并且這可以指示給RN平臺。RN平臺可以將其先前發(fā)送給的證書發(fā)送到網(wǎng)絡(luò)。這一程序可能會與證書登記階段的不同。這一證書可以在第一階段的啟動程序中當(dāng)IP附著被允許時被發(fā)送。這一信息可以與登記和/或驗證的證書(或證書的散列)一起被存儲在HSS中,和/或被比較以提供拒絕的可能理由(例如如果XRES未能通過)。然而,由RN平臺提供的這一證書可能不會被證書授權(quán)方正式登記也不會正式驗證,但是可以被用于提供信息目的。它可以例如由網(wǎng)絡(luò)使用來確定給予nCC的證書和在HSS中登記的證書不匹配,以及這可能是已經(jīng)發(fā)生認(rèn)證失敗的原因。由于遞送和/或處理這一信息性證書的程序可能在安全性方面是輕量的,所以這一信息性證書可能不會被用于實際的認(rèn)證。正式登記的證書和/或與ncc交換的證書可以是被用于認(rèn)證的那個。從RN平臺接收的安全信道證書可以是被用來建立安全信道的那一個。UICC使用的加密和/或認(rèn)證密鑰可以被嵌入證書中。因此ncc接收的證書可以綁定安全信道和/或AKA程序,可以幫助抵御變換證書的攻擊。如果RN平臺給ncc錯誤證書,則AKA會失敗。網(wǎng)絡(luò)可以不使用隨后被用來建立安全信道的證書(該證書可能被綁定到RN平臺)。經(jīng)安全信道發(fā)送的AKA證書在安全信道無效的情況下(意味著UICC可以使用無效的證書通過RN平臺建立安全信道)可能是易受攻擊的。在這種情況下AKA會失敗,所以AKA證書的暴露可能不是問題。如果HCC使用有效證書通過RN平臺建立安全信道,AKA證書被真正地保護(hù)和/或AKA程序可以通過,或者由于HSS和nCC安全信道證書匹配而至少不因為不匹配的證書失敗。圖8描述了針對網(wǎng)絡(luò)節(jié)點的用于EPS (在特定E-UTRAN中)的密鑰分布和密鑰導(dǎo)出方案。如圖8所示,KASME804可以例如當(dāng)產(chǎn)生認(rèn)證向量時在HSS802中從CK,IK806和SN標(biāo)識808中推導(dǎo)得出。圖9描述了針對ME的用于EPS (在特定E-UTRAN中)的密鑰導(dǎo)出。如圖9所示,Kasme904可以例如在AKA程序期間在ME902中從CK,IK906和SN標(biāo)識908中推導(dǎo)得出。
圖10描述了另外的密鑰生成和等級的示例實施方式。密鑰生成和等級例如可以是針對3GPP eNB,其中Kasme導(dǎo)出可以在US頂或其他受限網(wǎng)絡(luò)實體上執(zhí)行。圖10示出的密鑰生成和等級與圖2示出的密鑰生成和等級可以是相似的,除了圖10示出的Kasme214可能在USM和/或HSS1002上生成之外。圖11描述了示例性的使用TpuK作為參數(shù)推導(dǎo)Kasme ;當(dāng)在產(chǎn)生認(rèn)證向量時從CK, IK1104和SN idll06中推導(dǎo)KASME1102時,以下參數(shù)可以被用來形成對KDF的輸入S:
FC=OxlO ;P0=SN id ;LO=SN id 的長度(SP 0x000x03) ; Pl = SQN 十 AK 十 TpuK (其中
TpuK是核心網(wǎng)絡(luò)中的終端有效公共密鑰以及nCC中的假設(shè)終端有效公共密鑰);和/或LI= SQN 十 AK 的長度(即,0x000x06)ο序列號(SQN)和匿名密鑰(AK)的異或可以被作為認(rèn)證令牌(AUTN)的一部分發(fā)送到UE,例如如同在TS33.102描述的。如果AK未被使用,AK可以被視為如同在TS33.102中描述的,即000…O。SN id可以包括MCC和MNC,并且可以根據(jù)表I被編碼為八位位組串。
權(quán)利要求
1.一種方法,該方法包括: 在受限網(wǎng)絡(luò)實體處接收與網(wǎng)絡(luò)實體相關(guān)聯(lián)的證書,其中所述證書被接收以用于建立所述受限網(wǎng)絡(luò)實體與所述網(wǎng)絡(luò)實體之間的安全信道,并且其中所述證書的有效性不為所述受限網(wǎng)絡(luò)實體所知; 將與所述網(wǎng)絡(luò)實體相關(guān)聯(lián)的證書發(fā)送至核心網(wǎng)絡(luò)實體,以確定所接收的證書的有效性; 從所述核心網(wǎng)絡(luò)實體接收對所述證書的有效性的指示;以及 基于對所述證書的有效性的所述指示來確定是否與所述網(wǎng)絡(luò)實體進(jìn)行認(rèn)證。
2.根據(jù)權(quán)利要求1所述的方法,該方法還包括使用所接收的證書生成在認(rèn)證所述網(wǎng)絡(luò)實體時使用的認(rèn)證密鑰信息。
3.根據(jù)權(quán)利要求2所述的方法,其中在所述網(wǎng)絡(luò)實體與所述受限網(wǎng)絡(luò)實體之間成功認(rèn)證之后,在所述網(wǎng)絡(luò)實體與所述受限網(wǎng)絡(luò)實體之間建立所述安全信道。
4.根據(jù)權(quán)利要求1所述的方法,其中所述網(wǎng)絡(luò)實體為終端或M2M網(wǎng)絡(luò)實體中的至少一者。
5.根據(jù)權(quán)利要求4所述的方法,其中所述終端為中繼節(jié)點。
6.根據(jù)權(quán)利要求1所述的方法,其中所述受限網(wǎng)絡(luò)實體為nCC或USM中的至少一者。
7.根據(jù)權(quán)利要求1所述的方法,其中對所述證書的有效性的所述指示包括所述受限網(wǎng)絡(luò)實體與所述核心網(wǎng)絡(luò)實體之間的認(rèn)證結(jié)果。
8.根據(jù)權(quán)利要求7所述的方法,其中所述認(rèn)證結(jié)果包括在所述證書無效時的認(rèn)證失敗。
9.根據(jù)權(quán)利要求7所述的方法,其中所述認(rèn)證結(jié)果包括在所述證書有效時的成功認(rèn)證。
10.根據(jù)權(quán)利要求1所述的方法,其中所述證書在為建立所述網(wǎng)絡(luò)實體與終端之間的安全信道而執(zhí)行的公共密鑰交換期間被接收。
11.一種方法,該方法包括: 從受限網(wǎng)絡(luò)實體接收與嘗試與所述受限網(wǎng)絡(luò)實體建立安全信道的網(wǎng)絡(luò)實體相關(guān)聯(lián)的證書; 確定與所述網(wǎng)絡(luò)實體相關(guān)聯(lián)的證書的有效性,其中所述有效性代表所述受限網(wǎng)絡(luò)實體來被確定;以及 向所述受限網(wǎng)絡(luò)實體指示所述證書的有效性,以使能所述受限網(wǎng)絡(luò)實體與所述網(wǎng)絡(luò)實體之間的所述安全信道的建立。
12.根據(jù)權(quán)利要求11所述的方法,其中確定與終端相關(guān)聯(lián)的證書的有效性還包括: 將所述證書發(fā)送至證書授權(quán)方以確定所述證書的有效性;以及 從所述證書授權(quán)方接收對所述證書的有效性的指示。
13.根據(jù)權(quán)利要求11所述的方法,其中所述受限網(wǎng)絡(luò)實體使用所述網(wǎng)絡(luò)實體的標(biāo)識來獲取與所述標(biāo)識相關(guān)聯(lián)的已知有效的證書;以及 所述方法還包括將所述已知有效的證書與關(guān)聯(lián)于所述網(wǎng)絡(luò)實體的證書進(jìn)行比較,以確定關(guān)聯(lián)于所述網(wǎng)絡(luò)實體的證書的有效性。
14.根據(jù)權(quán)利要求11所述的方法,該方法還包括將所述證書的廢止?fàn)顟B(tài)發(fā)送至所述受限網(wǎng)絡(luò)實體以指示所述證書無效。
15.根據(jù)權(quán)利要求11所述的方法,其中所述網(wǎng)絡(luò)實體為中繼節(jié)點,以及所述受限網(wǎng)絡(luò)實體為ncc。
16.一種受限網(wǎng)絡(luò)設(shè)備,該受限網(wǎng)絡(luò)設(shè)備被配置成:接收與網(wǎng)絡(luò)實體相關(guān)聯(lián)的證書,其中所述證書被接收以用于建立所述受限網(wǎng)絡(luò)設(shè)備與所述網(wǎng)絡(luò)實體之間的安全信道,并且其中所述證書的有效性不為所述受限網(wǎng)絡(luò)設(shè)備所知;將與所述網(wǎng)絡(luò)實體相關(guān)聯(lián)的證書發(fā)送至核心網(wǎng)絡(luò)實體,以確定所接收的證書的有效性; 從所述核心網(wǎng)絡(luò)實體接收對所述證書的有效性的指示;以及 基于對所述證書的有效性的所述指示而確定是否與所述網(wǎng)絡(luò)實體進(jìn)行認(rèn)證。
17.根據(jù)權(quán)利要求16所述的系統(tǒng),其中所述網(wǎng)絡(luò)實體為終端或M2M網(wǎng)絡(luò)實體中的至少一者O
18.根據(jù)權(quán)利要求16所述的系統(tǒng),其中所述受限網(wǎng)絡(luò)實體為nCC或USIM。
19.根據(jù)權(quán)利要求16所述的系統(tǒng),其中對所述證書的有效性的所述指示包括所述受限網(wǎng)絡(luò)設(shè)備與所述核心網(wǎng)絡(luò)實體之間的認(rèn)證結(jié)果。
20.根據(jù)權(quán)利要 求19所述的系統(tǒng),其中在所述認(rèn)證結(jié)果包括認(rèn)證失敗時,所述證書無效,以及其中在所述認(rèn)證結(jié)果包括成功認(rèn)證時,所述證書有效。
全文摘要
受限網(wǎng)絡(luò)實體可以經(jīng)由與核心網(wǎng)絡(luò)實體的認(rèn)證程序來確定嘗試與受限網(wǎng)絡(luò)實體建立安全信道的端點的可信度。受限網(wǎng)絡(luò)實體可以從嘗試建立安全信道的端點接收證書,并且受限網(wǎng)絡(luò)實體可以發(fā)送由端點聲明的證書至核心網(wǎng)絡(luò)實體以用于驗證。核心網(wǎng)絡(luò)實體可以在與受限網(wǎng)絡(luò)實體的密鑰交換期間接收證書,并且核心網(wǎng)絡(luò)實體可以向受限網(wǎng)絡(luò)實體指示證書的有效性。受限網(wǎng)絡(luò)實體可以基于證書的有效性來確定是否與端點建立安全信道。
文檔編號H04L29/06GK103210627SQ201180054890
公開日2013年7月17日 申請日期2011年11月15日 優(yōu)先權(quán)日2010年11月15日
發(fā)明者L·凱斯, Y·C·沙阿, I·查 申請人:交互數(shù)字專利控股公司