[发明专利]分布式网络蜂窝身份管理

说明书

此文件描述了用于分布式网络蜂窝身份管理的技术和装置。特别地，分布式网络蜂窝身份管理(DNCIM)服务器166包括查找表，该查找表将与用户设备(UE)私钥208相关联的UE公钥210、与核心网络(CN)私钥212相关联的CN公钥214以及订户身份216存储并且相联系在一起。使用DNCIM服务器166，UE 110和认证服务器164分别基于UE私钥208和CN公钥214以及UE公钥210和CN私钥212生成两个不同的(例如，非对称的)密码密钥。UE 110和认证服务器164还可以通过参考DNCIM服务器166的查找表中的信息来相互认证。使用这些密码密钥，UE 110和认证服务器164可以彼此建立安全通信。

背景技术

一些电子设备可以使用射频(RF)信号来传达信息。这些射频信号使用户可以与朋友交谈，下载信息，共享图片，远程控制家用设备，接收全球定位信息，收听广播电台等等。使射频信号所携带的信息免受第三方可能具有挑战性。因为射频信号通过空气传播，所以第三方可以使用设备来检测这些射频信号。在没有适当的安全措施的情况下，第三方可以从射频信号中提取信息，并使用此信息来冒充用户，获得对网络的未经授权的访问，窃听会话，侵害用户的隐私，在用户的身份下执行破坏性或非法行为等等。

为了解决这个问题，无线通信可以使用密码学来加密由射频信号携带的信息。这种加密可能会给第三方提取信息带来挑战。一些无线通信标准使用对称密钥，该对称密钥被提供给用户设备(UE)和网络以使UE和网络能够加密或解密在它们之间传达的信息。但是，对称密钥的使用具有一些固有的弱点。例如，负责向UE指配对称密钥的实体可以无意或有意地将对称密钥分配给第三方。另外，负责存储网络对称密钥的服务器可能容易受到第三方的网络攻击(例如，黑客)。因此，保护存储在分离位置的对称密钥可能具有挑战性。

发明内容

描述用于分布式网络蜂窝身份管理的技术和装置。特别地，分布式网络蜂窝身份管理(DNCIM)服务器包括查找表，该查找表具有与不同的用户设备(UE)相关联的一个或多个条目。每个条目包括UE公钥、核心网络(CN)公钥以及与特定UE相关联的订户标识符。UE和网络的认证服务器基于UE私钥和CN公钥以及UE公钥和CN私钥来生成相应密码密钥。这些密码密钥是可以用于建立安全通信(例如，在UE和网络之间加密和解密消息)的非对称密钥。UE和认证服务器还可以通过下述彼此认证：例如，确定DNCIM服务器中存储的订户身份是否与UE和认证服务器分别使用的CN公钥和UE公钥对应。通过DNCIM服务器，不需要将单个对称密钥安全地放置在两个位置。相反，UE和身份验证服务器可以基于DNCIM服务器存储和相联系在一起的信息来生成不同的密码密钥。

以下描述的方面包括由认证服务器执行的方法。该方法包括存储核心网络公钥、与核心网络公钥相关联的核心网络私钥以及预期有效载荷。该方法还包括接收与用户设备相关联的用户设备公钥；和基于用户设备公钥和核心网络私钥两者来生成第一密码密钥。该方法另外包括从用户设备接收加密消息。加密消息包括用第二加密密钥加密的有效载荷，该第二加密密钥基于用户设备私钥和核心网络公钥。该方法进一步包括使用第一密码密钥解密加密消息以获得有效载荷，和基于加密消息的有效载荷等于预期有效载荷的确定来验证第一密码密钥和第二密码密钥。

下面描述的方面包括具有第一处理器和第一存储器系统的认证服务器，其被配置成执行所描述的任何方法。处理器可以通信地耦合到第一存储器系统，其中，处理器可以被配置成执行存储在第一存储器系统中并且使认证服务器执行所描述和/或要求保护的方法中的任意一个的步骤的计算机可读指令。