[发明专利]用于802.1x载体热点和Wi-Fi呼叫认证的基于经加密的IMSI的方案

说明书

本发明题为“用于802.1x载体热点和Wi‑Fi呼叫认证的基于经加密的IMSI的方案”。本公开涉及一种用于在无线通信系统中执行Wi‑Fi认证的技术。可使用公钥加密来增强用户的持久身份在传输中的保密。在一些实施方案中，在没有匿名或快速重新认证身份的情况下，在EAP客户端需要向服务器发送用户的持久身份时，可使用RSA‑OAEP(SHA‑256)加密方案来保护持久身份。在一些实施方案中，使用服务器证书来认证iWLAN隧道，以在Wi‑Fi呼叫的设立期间保护IMSI。在EAP客户端和服务器侧两者或任一者上使用本文所述的方法可提供改进的隐私保护。

本申请是申请日为2017年10月27日、申请号为201711027143.1、发明名称为“用于802.1x载体热点和Wi-Fi呼叫认证的基于经加密的IMSI的方案”的发明专利申请的分案申请。

技术领域

本专利申请涉及无线通信，包括一种用于在无线通信系统中执行Wi-Fi认证的技术。

背景技术

无线通信系统的使用正在快速增长。另外，无线通信技术已从仅语音通信演进到还包括对数据诸如互联网和多媒体内容的传输。存在多种不同的无线通信技术和标准。无线通信标准的一些示例包括GSM、UMTS(例如与WCDMA空中接口或TD-SCDMA空中接口相关联)、LTE、高级LTE(LTE-A)、HSPA、3GPP2 CDMA2000(例如，1xRTT、1xEV-DO、HRPD、eHRPD)、IEEE 802.11(WLAN或Wi-Fi)、IEEE 802.16(WiMAX)、蓝牙等。

与802.1X一起使用EAP-AKA协议和EAP-SIM协议，以认证客户端对载体Wi-Fi热点的访问。这些协议还与IKEv2/IPsec隧道技术一起使用，以提供对运营商的内部网络的访问，以实现特征诸如Wi-Fi呼叫。

EAP-AKA和EAP-SIM两者使用国际移动用户识别码(IMSI)作为认证交换的持久身份。IMSI是可用于跟踪装置移动的唯一标识符。为了保护用户隐私，可能期望IMSI保护的领域中的改进。

发明内容

本文描述的实施方案涉及一种用于在认证交换中为国际移动用户身份(IMSI)传输提供身份隐私支持机制的系统、装置和方法。

一些实施方案涉及一种无线装置，该无线装置包括一个或多个天线、一个或多个无线电部件、以及(直接或间接)耦接至无线电部件的一个或多个处理器。至少一个无线电部件被配置为执行Wi-Fi通信。该无线装置可执行语音通信和/或数据通信，以及本文所述的方法。

一些实施方案涉及一种认证服务器，该认证服务器包括一个或多个天线、一个或多个无线电部件、以及(直接或间接)耦接至无线电部件的一个或多个处理器。至少一个无线电部件被配置为执行Wi-Fi通信。该认证服务器可执行语音通信和/或数据通信，以及本文所述的方法。

本文包含的实施方案提出了一种消除EAP客户端“以明文”即不加密形式发送持久身份的需求的方案。在一些实施方案中，可使用公钥加密来实现对持久身份的保密。无线装置可被配置为具有认证服务器的公钥，使得其可在向服务器发送其之前对持久身份进行加密。载体的家庭环境中的认证服务器可被配置有对应的私钥。在服务器接收经加密的持久身份时，其可能能够使用私钥来对其进行解密。在一些实施方案中，对持久身份进行加密可在EAP方法层处被采用。

在一些实施方案中，如果载体部署包括多个认证服务器，则该提案可假设这些节点中的每个节点共享相同的密钥对。此外，无线装置可提供密钥标识符，以帮助认证服务器定位私钥，以对持久身份进行解密。例如，可为该无线装置提供服务器证书的证书序列号作为向认证服务器发送的密钥标识符。

在一些实施方案中，UE可被配置为在使用服务器证书建立Wi-Fi呼叫时利用ePDG来认证iWLAN/IPsec隧道。在这些实施方案中，该UE可被预先配置以载体设置文件中的一个或多个服务器证书，该UE可将其与从ePDG接收的服务器证书进行比较，以确定其正在与有效的ePDG而不是攻击者进行通信。