[发明专利]用于在网络中的设备和智能卡之间建立安全和授权连接的方法

权利要求书

1.一种用于在网络（100）中的第一设备（501）和智能卡（504）之间建立第一安全和授权连接的方法，其中该第一设备（501）包括到第二设备（502）的第二安全连接，其中该方法包括：

存储第一安全数据；

在该第一设备（501）和该第二设备（502）之间传递该第一安全数据；

在该第一设备（501）处提供该第一安全数据；

利用该第一安全数据经由该第一安全和授权连接来在该智能卡（504）和该第一设备（501）之间建立绑定；

在该智能卡（504）和该第一设备（501）之间授权该绑定；以及

鉴于该第二安全数据对于将该第一设备（501）认证到该网络（100）是可用的，将第二安全数据经由该第一安全和授权连接从该智能卡（504）发送到该第一设备（501）。

2.根据权利要求1的方法，其中安全数据是来自由以下组成的数据组中的至少一个安全数据：预共享密钥、证书、根证书、证书撤销数据、授权数据、服务网络身份、智能卡身份、网络设备身份、从EPS AKA的运行生成的数据，预先存在的密钥的变换的密钥、从证书和授权消息得到的至少一个参数。

3.根据权利要求1或2的方法，该方法进一步包括存储用于安装在该网络（100）内的该第二设备（502）上的智能卡（504）的密钥和/或授权数据的列表。

4.根据权利要求1至3中任意一项的方法，该方法进一步包括

在该第二设备（502）处或在第三设备处动态地生成安全数据，该第三设备与该第二设备（502）相连接。

5.根据权利要求1到4中任意一项的方法，该方法进一步包括

从认证该第一设备（501）的EPS AKA的运行期间所获取的参数和/或从设备身份得到该安全数据。

6.根据权利要求1至5中的一个的方法，该方法进一步包括

在该第一设备（501）处接收来源于该第二设备（502）的证书或根证书。

7.根据权利要求1至6中任意一项的方法，该方法进一步包括

通过由网络设备将安全数据进行数字签名来提供完整性保护。

8.根据权利要求1至7中任意一项的方法，该方法进一步包括：

该第一设备（501）将其自身的身份和/或该智能卡（504）的身份经由该第二设备（502 503）发送到第四网络设备，以用于授权验证。

9.根据权利要求1至8中任意一项的方法，该方法进一步包括：

该第二设备（502，503）将该第一设备的身份和/或该智能卡（504）的身份发送到第四网络设备，以用于授权验证。

10.根据权利要求1至9中任意一项的方法，其中该方法继之以通过使用在安全和授权连接上接收的EPS AKA安全数据来将该第一设备认证或重新认证到该网络。

11.根据权利要求1至10中任意一项的方法，

其中由IPsec来执行该认证。

12.根据权利要求1至11中任意一项的方法，

其中第二设备（502，503）基于至少一个认证或重新认证的结果来执行该第一设备（501）到该网络的访问控制和/或平台验证。

13.网络中的设备，其包括：

第一接口（511，514）、第二接口（512）和第三接口（513），

其中该第一接口（511，514）适合于发送和/或接收安全数据，

其中该第二接口（512）适合于经由第一安全和授权连接来对智能卡（504）建立绑定，

其中该第三接口（513）适合于经由第二安全连接来对另一个设备建立绑定。

14.根据权利要求13的网络设备，其中该网络设备是从以下组成的设备组中所选择的至少一个网络设备：中继节点（RN）、连接到RN的UICC中的USIM（USIM-RN）、eNB、施主eNB、MME、MME-RN、中继、服务器、OAM服务器、OCSP服务器、归属订户服务器（HSS）、AAA服务器、身份管理器和数据储存库。

15.根据权利要求13或14的网络设备，包括到该智能卡（504）的安全连接的第一端点和到该第二网络设备的安全连接的第二端点，其中该第一端点和该第二端点终止于该网络设备中的相同的信任环境。