[发明专利]基于证书的认证

说明书

描述了一种在被配置为与长期演进(LTE)网络通信的设备中操作的用于认证的方法。该方法包括从所述LTE网络接收第一消息，该第一消息指示所述LTE网络支持基于执行基于证书的认证作为对基于用户身份模块(SIM)的认证的代替来建立LTE安全上下文。该方法还包括与该LTE网络传输一个或多个消息以执行基于证书的认证。该方法还包括基于从基于证书的认证导出的密钥来建立该LTE安全上下文。

相关申请

本申请涉及2014年9月23日提交的美国临时专利申请序列号No. 62/054272，“Certificate-Based Authentication”并要求享有其优先权。本申请还涉及2014年11月24日提交的美国临时专利申请序列号No.62/083826，“Certificate-Based Authentication”并要求享有其优先权。

背景技术

概括地说，本公开内容涉及通信领域，更具体而言，涉及用于通过传输一个或多个证书向网络认证设备的系统和方法。

无线通信系统被广泛地部署以提供各种类型的通信内容，例如，语音、数据等。典型的无线通信系统可以是能够通过共享可用的系统资源(例如，带宽、传输功率等)来支持与多个用户的通信的多址系统。这种多址系统的示例可以包括码分多址(CDMA)系统、时分多址(TDMA)系统、频分多址(FDMA)系统、正交频分多址(OFDMA)系统等。此外，这些系统能够符合诸如第三代合作伙伴计划(3GPP)、3GPP长期演进(LTE)、超移动宽带(UMB)、演进数据优化(EV-DO)等规范。

通常，无线多址通信系统可以同时支持针对多个设备的通信。每个设备可以经由前向和反向链路上的传输与一个或多个基站通信。前向链路(或下行链路)是指从基站到设备的通信链路，而反向链路(或上行链路)是指从设备到基站的通信链路。此外，可以经由单输入单输出(SISO)系统、多输入单输出(MISO)系统、多输入多输出(MIMO)系统等建立设备与基站之间的通信。此外，设备能够以对等无线网络配置与其它设备(和/或基站与其它基站)通信。

在接入无线通信网络之前，可以要求对设备进行认证。在很多无线通信网络中，可以使用由网络运营商提供的用户身份模块(SIM)卡来执行认证。一些无线通信网络(例如中性主机(neutral-host，NH)网络)可能需要允许设备在不使用SIM卡的情况下进行连接并安全地认证。于是，用于通过交换一个或多个证书向无线通信网络认证设备的系统和方法可能是有益的。

发明内容

描述了一种在被配置为与长期演进(LTE)网络通信的设备中操作的用于认证的方法。该方法包括从所述LTE网络接收第一消息，所述第一消息指示所述LTE网络支持基于执行基于证书的认证作为对基于用户身份模块 (SIM)的认证的代替来建立LTE安全上下文。该方法还包括与所述LTE 网络传输一个或多个消息以执行基于证书的认证。该方法还包括基于从所述基于证书的认证导出的密钥来建立所述LTE安全上下文。

来自所述LTE网络的所述第一消息可以包括系统信息广播(SIB)消息。该方法还可以包括从所述LTE网络接收第二消息，所述第二消息指示由所述LTE网络支持的一个或多个认证方法和一个或多个服务提供者。该方法还可以包括响应于从设备发送请求来接收第二消息。

所述一个或多个消息可以是使用一个或多个LTE非接入层(NAS)信令消息来传输的。所述一个或多个消息可以包括一个或多个可扩展认证协议(EAP)消息。所述一个或多个EAP消息可以是使用一个或多个LTE NAS 信令消息来传输的。所述基于证书的认证可以是使用EAP-传输层安全 (EAP-TLS)或EAP-隧道传输层安全(EAP-TTLS)来执行的。

与所述LTE网络传输所述一个或多个消息以执行所述基于证书的认证可以包括从认证服务器接收网络证书。可以验证(validate)所述网络证书。