CN101116284B - 无线电通信网络中的防克隆相互鉴权的方法、身份模块、服务器以及系统 - Google Patents
无线电通信网络中的防克隆相互鉴权的方法、身份模块、服务器以及系统 Download PDFInfo
- Publication number
- CN101116284B CN101116284B CN2005800428511A CN200580042851A CN101116284B CN 101116284 B CN101116284 B CN 101116284B CN 2005800428511 A CN2005800428511 A CN 2005800428511A CN 200580042851 A CN200580042851 A CN 200580042851A CN 101116284 B CN101116284 B CN 101116284B
- Authority
- CN
- China
- Prior art keywords
- visit
- key
- rand
- inquiry
- res
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0643—Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
- H04L9/0841—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
- H04L9/3273—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/126—Anti-theft arrangements, e.g. protection against subscriber identity module [SIM] cloning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/20—Manipulating the length of blocks of bits, e.g. padding or block truncation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
用于防止身份模块IM(11)的未经授权复制并对有效IM进行鉴权的系统及方法。不同的信息存储在IM和鉴权中心AuC(13),如果AuC中的信息被泄露,则它不足以克隆IM。IM生成第一密钥K1和第二密钥K2,同时确保K1无法从K2中得出,以及可选地K2无法从K1中得出。IM则把K2和标识符导出到AuC,同时使K1在IM中保密。在鉴权期间,IM向第三方、如VLR(12)提供包含标识符的信息。VLR把信息转发给AuC,它根据标识符检索K2,以及至少根据K2来生成第一值R和第二值X。AuC则向VLR返回R和X,VLR把R转发给IM。IM则至少根据K1和R来生成响应RES,并把RES发送给VLR。VLR则根据X来检验RES。
Description
优先权要求
本申请要求2004年12月17日提交的美国临时申请No.60/636906的权益,通过引用将其完整公开结合到本文中。
背景
本发明涉及用户鉴权。非限制性地更具体来说,本发明针对利用基于SIM的鉴权来防止用户身份模块(SIM)的克隆以及增强针对蜂窝无线电通信网络中或者其它服务中的克隆SIM的保护的方法。
在现有的第二代(2G)和第三代(3G)标准中,安全性基于在归属运营商的鉴权中心(AuC)中以及在诸如全球移动通信系统(GSM)用户身份模块(SIM)、通用移动电话服务(UMTS)SIM(即USIM)或者因特网协议多媒体子系统(IMS)SIM(即ISIM)之类的用户的“身份模块”中存储的共享保密密钥K。用户根据其身份、国际移动台标识符(IMSI)以及在其中用户证明他知道共享保密密钥K的询问-应答协议被鉴权(和计费)。
图1是消息流程图,说明在通过引用结合到本文中的第三代合作项目技术规范3GPP TS 33.102,V6.2.0中详细描述的现有鉴权规程中的消息流程。所涉及的实体是USIM 1、用作中间件的来访位置寄存器(VLR)2以及生成鉴权向量的归属环境鉴权中心(HE/AuC)3。在以下描述中,参照网络表明VLR以及HE/AuC。所使用的机制基于在USIM与HE/AuC之间共享的保密密钥K。各USIM被分配随机的唯一K。为了实现(相互)鉴权,USIM和HE/AuC向另一方证明了解保密密钥。
USIM 1向VLR 2发送鉴权请求4,并且在请求中包含标识符、如IMSI。VLR向HE/AuC 3转发鉴权请求。当HE/AuC接收鉴权请求时, HE/AuC更新序列号(SQNHE),选择随机值RAND,以及通过对K、RAND、SQNHE和消息字段(AMF)应用函数f1来计算加密钥消息鉴权码(MAC)。预期响应(XRES)采用由运营商定义的函数f2来计算,并且可保密,但是无疑是USIM和HE/AuC已知的。HE/AuC还计算加密钥值Ck=f3(K,RAND);lk=f4(K,RAND);AK=f5(K,RAND);以及称作AUTN=SQN XOR AK||AMF||MAC的鉴权消息,它们均在3GPP TS33.102中定义。在5,HE/AuC向VLR发送RAND、XRES、AUTN、Ck和lk。在6,VLR向USIM发送RAND和包含SQNHE(保密保护)、AMF和MAC的消息AUTN。
USIM 1检验MAC,它证实发送实体、即网络知道共享密钥K。在这种检验之后,USIM知道询问来自其HE/AuC 3。但是要注意,这没有证明,询问从合法网络发送到USIM,因为RAND和AUTN消息可能已经被诈骗实体截取并且在以后重放。为了防止这类重放攻击,USIM相对它自己的值SQNMS来检验SQNHE的新鲜度。如果USIM判定呈现的SQNHE是失序的,则它返回出错代码和消息AUTS。AUTS包含由USIM保持的序列号(SEQMS)(保密保护)和MAC。如果SQNHE是最新的,则它先前未被使用,以及由于RAND由已检验MAC绑定到序列号,所以它表示RAND也是最新的。USIM则计算响应RES=f2(K,RAND),并在7把RES返回给VLR 2。VLR则检验RES=XRES。如果这种检验是成功的,则用户被认为已鉴权,并且密钥Ck和lk可用于数据保护(保密性和完整性)。
但是,现有标准不提供任何方式来检测采用相同K/IMSI的多个副本的克隆。针对“克隆”的保护只依靠逆向工程设计身份模块、如USIM的假定困难或者了解共享密钥K的困难。但是要注意,这些假定困难可能不会那么大。首先,由于共享密钥K在身份模块与HE/AuC之间共享,所以,在某个点,K必须被传递给AuC。这种传递是黑客或不诚实的内部人员可能了解K的一个弱点。其次,如果黑客/内部人员危及HE/AuC,则不仅对于单个目标用户,而且更可能对于与该HE/AuC 关联的全部用户,安全性完全失效。第三,某些AKA算法(例如GSMAKA的COMP128版本)是脆弱的,并且对SIM的访问通过观察RAND/RES对而允许K的轻易的逆向工程设计。第四,SIM制造环境中的过程可能展现“K泄漏”的风险。
观察到的网络行为表明,现有标准不提供任何方式来检测采用相同K/IMSI的多个副本的克隆。相同的USIM可同时使用而没有问题或者任何种类的失效。现有网络和USIM不能够检测采用相同K/IMSI编程的克隆。
因此,本领域所需的是用于防止SIM、USIM和ISIM的克隆以及增强克隆保护、克服了先有技术的缺点的解决方案。本发明提供这样一种解决方案。
发明内容
在一个方面,本发明针对一种防止身份模块(IM)的未经授权复制的方法。该方法包括在IM中内部生成至少第一密钥(K1)和不同的第二密钥(K2),其中,生成步骤包括确保K1无法从K2中得出,以及在一些实施例中还确保K2无法从K1中得出。IM则把K2和标识符(ID)导出到鉴权服务器(AS),同时使K1在IM中内部保密。K1和K2可构成用于不对称密码术的保密/公开密钥对,在这种情况中,公开密钥K2在AS中保密。用于生成K1和K2的IM中的内部信息可被擦除,以便确保K1无法从K2中得出或者K2无法从K1中得出。
由于密钥K1和K2是不同的,所以对AS的损害/闯入不会公开从中可推断K1的信息,因而阻止IM的克隆。类似地,K2从IM到AS的传递不需要极大地保护。大家会看到,本发明仍然能够保持现有鉴权协议的信令流程,但是在处理中采用不对称密码术而不是对称密码术。下面描述采用不同类型的不对称密码术(例如加密、签名等)的各种详细实施例。还描述了根据散列链的一个实施例。
稍后进行描述,在另一个方面,还说明如何使K1不可用于得出 K2。这具有以下作用:即使IM受到损害(在这种情况中将有可能克隆IM),也仍然不可能克隆AS(即,制造可与IM互配的AS)。
在本发明的鉴权阶段,第三方对IM鉴权。鉴权阶段包括:通过从IM向第三方提供至少包含ID的信息来发起鉴权;把信息从第三方转发给AS;由AS根据从第三方接收的ID来检索K2;以及由AS至少根据K2生成至少第一值(R)和第二值(X)。鉴权阶段还包括:把R和X从AS返回给第三方;把R从第三方转发给IM;由IM至少根据K1和R生成响应(RES);把RES从IM返回给第三方;以及由第三方根据X来检验RES。
在另一个方面,本发明针对防复制IM。IM包括:用于在IM中内部生成至少第一密钥(K1)和第二密钥(K2)、同时确保K1无法从K2中得出以及K2无法从K1中得出的部件;以及用于把K2和标识符(ID)从IM导出到鉴权服务器(AS)、同时使K1在IM中内部保密的部件。IM可在包含根据IM执行支付的电子商务应用的终端中实现。
在又一个方面,本发明针对一种用于对访问身份模块(IM)进行鉴权、同时防止访问IM的未经授权复制的鉴权服务器。鉴权服务器包括:用于从访问IM接收访问请求的部件;用于采用鉴权服务器中但不是访问IM中存储的信息来生成询问的部件,其中,鉴权服务器中存储的信息不足以创建IM克隆;以及用于生成从有效IM预期的预期响应的部件。鉴权服务器还包括用于向访问IM发送询问的部件,其中,询问对于各访问尝试改变。
在又一个方面,本发明针对一种用于为有效IM提供对网络的访问、同时防止由未经授权的IM克隆对网络的访问的系统。该系统包括鉴权服务器,用于从访问IM接收访问请求,采用鉴权服务器中但不是访问IM中存储的信息来生成询问,生成从有效IM预期的预期响应,以及向访问IM发送询问,其中,询问对于各访问尝试改变,以及在鉴权服务器中存储或者由其生成的信息不足以创建能够作为有效IM进行响应的IM克隆。系统还包括:访问IM中用于接收询问并根 据询问中的信息和访问IM中但不是鉴权服务器中存储的信息来预备和发送响应的部件;以及用于仅在访问IM预备的响应等于鉴权服务器生成的预期响应时才为访问IM提供对网络的访问的部件。
系统还可包括中间节点,它适合于从鉴权服务器接收询问和预期响应,把询问转发给访问IM,从访问IM接收响应,以及确定访问IM预备的响应是否等于鉴权服务器生成的预期响应。
在又一个方面,本发明针对一种用于为有效IM提供对网络的访问、同时防止由未经授权的IM克隆对网络的访问的方法,其中,访问IM向鉴权服务器发送访问请求。该方法在鉴权服务器中包括以下步骤:选择随机值y;利用RAND=gy计算随机值(RAND);计算值R=gxy,其中的x是访问IM已知的Diffie-Hellman私有密钥;利用K=KDF(R,...)计算共享保密密钥(K),其中的KDF是密钥推导函数;更新序列号(SQNHE);利用MAC=f1(K,RAND||SQN||AMF...)计算加密钥消息鉴权码(MAC);利用XRES=f2(K,RAND)计算预期响应(XRES);利用Ck=f3(K,RAND)计算Ck;利用lk=f4(K,RAND)计算lk;利用AK=f5(K,RAND)计算AK;利用AUTN=SQN XOR AK||AMF||MAC构成消息AUTN;以及向服务于访问IM的来访位置寄存器(VLR)发送RAND、XRES、AUTN、Ck和lk。
VLR向访问IM转发RAND和包含保密保护的SQNHE、消息字段(AMF)和MAC的AUTN。该方法则在访问IM中包括以下步骤:利用R=RANDx确定R,其中的x是Diffie-Hellman私有密钥;利用密钥推导函数计算共享保密密钥K=KDF(R,...);利用AK=f5(K,RAND)计算AK;提取和检验SQNHE、AMF和MAC;利用RES=f2(K,RAND)计算响应(RES);以及向VLR发送RES。VLR则确定从访问IM接收的RES是否等于从鉴权服务器接收的XRES。访问IM仅在从访问IM接收的RES等于从鉴权服务器接收的XRES时才被提供对网络的访问权。
在又一个方面,本发明针对一种用于对访问身份模块(IM)进行鉴权、同时防止利用具有消息恢复的签名方案的网络中的访问IM的未 经授权复制的方法。公开密钥U_EK在访问IM中内部生成,并且在鉴权服务器(AS)上登记。当访问IM向AS发送至少包括IM标识符的访问请求时,AS检索访问IM的公开密钥U_EK。AS预备询问CHAL,它包含随机值(RAND)、序列号(SEQ)和附加数据(DATA)中的至少一个。AS向中间节点发送询问和访问IM的公开密钥U_EK,中间节点把询问从中间节点转发给访问IM。然后,访问IM预备询问的数字签名U_SIGN(CHAL),并把数字签名U_SIGN(CHAL)发送给中间节点作为对询问的响应RES。中间节点通过确定询问(CHAL)是否等于公开密钥U_EK(RES)来检验响应。
附图说明
在以下部分,将参照通过附图所述的示范实施例来描述本发明,附图包括:
图1(先有技术)是消息流程图,说明现有第三代合作项目(3GPP)鉴权规程中的消息的流程;
图2是消息流程图,说明本发明的第一实施例中的消息的流程;
图3是消息流程图,说明采用明文询问系统的本发明的一个实施例中的消息的流程;
图4是消息流程图,说明采用加密询问系统的本发明的一个实施例中的消息的流程;
图5是消息流程图,说明采用加密询问系统的本发明的一个备选实施例中的消息的流程;以及
图6是消息流程图,说明采用公开密钥分发系统的本发明的一个备选实施例中的消息的流程。
具体实施方式
本发明采用不对称密码术系统来防止*SIM(即SIM、USIM和ISIM)的克隆以及增强针对克隆身份模块(IM)的保护。与先有技术配置(在 *SIM和HE/AuC中存储相同信息)截然相反,本发明在HE/AuC中存储与*SIM中的信息不同的信息,并且即使在HE/AuC中的信息泄漏时,也不足以克隆*SIM。在一个实施例中,*SIM内部生成其保密(私有)公开密钥对,并且安全地把公开密钥传递给HE/AuC。在另一个实施例中,置信第三方生成保密(私有)公开密钥对。置信第三方把保密密钥输入*SIM,并且把公开密钥传递给HE/AuC。注意,系统不依靠如标准GSM/UMTS鉴权和密钥协议(AKA)程序中那样的共享密钥。
本发明中的不对称方案可基于公开密钥加密或者基于Diffie-Hellman公开密钥分发系统。在第一种情况中,保密密钥U_SK等于公开密钥加密系统中的私有密钥,以及U_PK表示对应公开密钥。在第二种情况中,U_SK表示保密值(x),以及U_PK表示对应公共值gx。
本发明设计成防止具有通过下列三种方式的任一种获得的信息的攻击者进行*SIM克隆。
1.保存在HLR/AuC中的信息被泄露给攻击者。这表示攻击者可生成可信询问。但是,不一定表示攻击者可生成克隆USIM。
2.保存在VLR中的信息被泄露给攻击者。这不应当使攻击者能够生成新的有效询问或者给予所保存询问的正确响应。攻击者也不应当能够得出从AKA程序产生的密钥。
3.编程到USIM中的信息/参数被泄露给攻击者。这不应当使攻击者能够生成有效询问。注意,在USIM中内部生成的信息被假定为不是攻击者可得到的。通常,这是公开密钥系统中的私有密钥,以及如果它是可得到的,则攻击者显然能够克隆USIM。但是,在一个实施例中,即使私有密钥变为可用,但它仍然不会使攻击者能够发出有效鉴权询问、即创建伪造的鉴权服务器。
还假定攻击者可监测所有所涉及实体之间的全部信令,直到执行攻击的时刻为止。
本发明所考虑的攻击是标准攻击:(1)冒充用户;(2)冒充系统;(3)重定向攻击(即把鉴权请求从一个服务重定向到用于另一个服务的 USIM);(4)重放攻击;(5)中间人攻击以便影响密钥;以及(6)从截取的业务和知识中得出密钥。
图2是消息流程图,说明本发明的第一实施例中、诸如USIM 11之类的*SIM、来访位置寄存器(VLR)12与HE/AuC 13之间的消息的流程。USIM了解保密密钥(SK),以及HE/AuC了解与SK对应的公开密钥(PK)。在一个示范实施例中,采取RSA公开密钥系统,但是容易看到,可采用任何公开密钥系统。虽然RSA具有某些特殊优点(稍后论述),但是,从效率/带宽的角度来看,诸如基于椭圆曲线之类的其它系统的使用也可能是有益的。USIM向VLR发送鉴权请求14,并且在请求中包含标识符、如IMSI。VLR向HE/AuC转发鉴权请求。当HE/AuC接收鉴权请求时,HE/AuC选择随机值R,并计算RAND=E(PK,R),其中的E是RSA加密。可选地,HE/AuC可例如根据PKCS#1v1.5或RSA-OAEP标准在这里对R添加冗余度/填充。HE/AuC还采用K=KDF(R,...)来计算得出的共享保密密钥K,其中的KDF是密钥推导函数(例如基于AES或HMAC)。HE/AuC则更新序列号SQNHE,利用f1(K,RAND||SQN||AMF...)计算MAC,利用f2(K,RAND)计算XRES,利用f3(K,RAND)计算Ck,利用f4(K,RAND)计算lk,利用f5(K,RAND)计算AK,以及构造消息AUTN=SQN XOR AK||AMF||MAC,如3GPP TS33.102中所述。在15,HE/AuC向VLR发送RAND、XRES、AUTN、Ck和lk。在16,VLR向USIM转发RAND和包含SQNHE(保密保护)、AMF和MAC的AUTN。
在接收到RAND和AUTN时,USIM 11确定R=D(SK,RAND),其中D是RSA解密。如果HE/AuC对R添加冗余度/填充,则USIM在这里检验冗余度/填充。USIM还采用密钥推导函数来计算共享保密密钥K=KDF(R,...)。USIM则如3GPP TS 33.102中那样继续进行,以便预备响应RES。在17,USIM向VLR发送RES,它确定从USIM接收的RES是否等于从HE/AuC接收的XRES。如果采用基于RSA的公开密钥方案,在其中仅在USIM中存储公开密钥的模数,但不是形成 公开密钥的素数,并且在其中在公开密钥已经分发给HE/AuC之后被擦除,则USIM中的信息不足以生成有效询问。
因此,本发明应用公开密钥密码术(或散列链,下面进行描述)以便保护用户鉴权。公开密钥解决方案与标准UMTS AKA程序的消息交换一致,并且采用相同的置信模型,其中略微修改消息格式和处理。散列链解决方案可能需要少量额外信令,除了在ISIM情况中之外,其中解决方案仅影响归属网络内部信令。
或者,本发明可采用明文询问方法而不是如上所述的加密询问方法。两种方法均首先假定USIM生成私有/公开密钥对(内部),并且以安全方式向HE/AuC登记公开密钥。“安全”在此表示经过鉴权但不一定经过加密。无法被克隆并且实现攻击检测的USIM操作将执行涉及私有密钥的操作以便生成数字签名,或者检索明文信息。明文询问还假定USIM和HE/AuC共享秘密,但是作为备选,这个假定可采用HE/AuC具有私有/公开密钥的假定来替代。
通过明确地使AKA输出与USIM的IMSI相关,本发明对标准UMTS AKA系统以及对下面描述的新AKA解决方案增加整体改进。这使得无法采用给定用户的密钥K对用于标准UMTS AKA程序的USIM进行编程,并生成正确响应。
本发明还使标准UMTS AKA输出与询问的序列号相关。在响应计算中包含序列号的操作防止输出参数从先前使用的输入参数计算。
明文询问系统
图3是消息流程图,说明采用明文询问系统的本发明的一个实施例中的USIM 11、VLR 12与HE/AuC 13之间的消息的流程。在这个实施例中,假定USIM已经在HE/AuC上生成和登记其公开密钥(U_EK)。USIM向VLR发送鉴权请求14,并且在请求中包含标识符、如IMSI。VLR向HE/AuC转发鉴权请求。当HE/AuC接收鉴权请求时,HE/AuC检索USIM的公开密钥U_EK,并预备询问(CHAL)。如同标准UMTS AKA中那样,HE/AuC为各USIM维护各个序列计数器。由 于USIM无法被克隆的事实,序列号的生成以及USIM使用的SNAP可适应系统需要和总系统解决方案。询问包括RAND和SEQ以及可能的附加数据(DATA)其中的至少一个。优选地,RAND和SEQ均为询问的一部分,它优选地在DATA部分中包含服务标识符。服务指示符使得无法重定向来自一个服务的询问,并为另一个服务使用结果。
在18,HE/AuC向VLR 12发送询问(CHAL)以及USIM的公开密钥(U_EK),VLR 12在19把CHAL转发给USIM。USIM预备询问的数字签名U_SIGN(CHAL),并将其作为响应(RES)20发送给VLR,VLR则通过确定询问(CHAL)是否等于公开密钥U_EK(RES)来检验该签名。
在图3的实施例中,假定采用消息恢复的签名方案。如果采用具有附录的签名,则检验CHAL=?U_EK(RES)由hash(CHAL)=?U_EK(RES)替代。为了防止拒绝服务攻击以及检验询问是否来自已鉴权源,询问以及用户的公开密钥可受到采用共享密钥MAC的完整性保护。HE/AuC或者可采用所有用户的公用公开/私有密钥对或者USIM特有公开/私有密钥对来数字签署询问。在后一种情况中,公开密钥可在USIM向HE/AuC登记其公开密钥的同时分发给USIM。通过以这种方式对询问进行完整性保护,攻击者无法产生用于所有情况的有效询问,除非他具有与HE/AuC同样的知识。因此,攻击者无法发送询问以阻塞有效序列号。
共享密钥还可如同标准UMTS AKA系统中那样用来推导共享密钥、如Ck和lk。在这个导出的实施例中,密钥优选地取决于完整的询问而不只是RAND部分。这保证密钥还将取决于序列号和DATA部分。如果终端或USIM例如可检验数据部分中的服务描述符是正确的,则重定向攻击被阻塞。注意,得出的共享密钥必须从HE/AuC发送给VLR。
隐藏标准UMTS AKA系统提供的序列号的方法也适用于这个解决方案。
还要注意,如果USIM中的共享密钥被泄露,则攻击者可生成有效询问,因为USIM的公开密钥必须被认为是公开已知的,因为它以明文发送给VLR。如果询问采用HE/AuC私有密钥来签署,则情况不是这样。攻击者在这种情况中还可能能够在实际USIM已经鉴权之后“拦截”连接,因为攻击者可能能够得出相同的会话密钥。为了防止这种情况,密钥应当是仅在具有USIM中的保密(非共享)密钥时才可得出。这可通过让HE/AuC向USIM发送“密钥籽”,如先前描述的加密询问解决方案中执行的那样通过USIM的公开密钥加密来完成。
备选加密询问系统
图4是消息流程图,说明采用加密询问系统的本发明的一个备选实施例中的USIM 11、VLR 12与HE/AuC 13之间的消息的流程。在这个实施例与以上所述的加密询问实施例之间存在两个主要差别。首先,在这个实施例中,完整性保护通过让USIM和HE/AuC共享保密密钥来提供。其次,在这个实施例中,使USIM公开密钥可供VLR使用。在这个实施例中,假定USIM已经生成和在HE/AuC上登记其公开密钥(U_EK)。正如以上所述,HE/AuC或者可采用公开/私有密钥对来数字签署询问。
USIM向VLR发送鉴权请求14,并且在请求中包含标识符、如IMSI。VLR向HE/AuC转发鉴权请求。当HE/AuC接收鉴权请求时,HE/AuC检索USIM的公开密钥U_EK,并预备和加密询问(E_CHAL)。在21,HE/AuC向VLR 12发送E_CHAL以及USIM的公开密钥(U_EK)和MAC,VLR 12在22把E_CHAL和MAC转发给USIM。大家注意,对VLR传递公开密钥U_EK的步骤是与先前所述的加密询问实施例的第二主要差别。USIM通过应用公开已知的函数HR来修改已加密询问E_CHAL。USIM数字签署得到的结果,以及在23,签名作为响应(RES)发送给VLR。VLR了解HR函数和USIM的公开密钥,因而它可检验所接收的签名。
共享密钥可通过对明文询问CHAL_D应用HASH(PRG)函数从询 问中得出。同样在这里,得出的共享密钥必须从HE/AuC发送给VLR。
还要注意,如果USIM中的共享密钥被泄露,则攻击者在这种情况中还可生成有效询问。如果询问采用HE/AuC私有密钥来签署,则情况不是这样,并且AKA密钥可能从明文询问中得出。
图5是消息流程图,说明采用加密询问系统的本发明的第三备选实施例中的USIM 11、VLR 12与HE/AuC 13之间的消息的流程。在这个实施例中,USIM的公开密钥没有如前一个实施例中那样被发送给VLR。USIM向VLR发送鉴权请求14,并且在请求中包含标识符、如IMSI。VLR向HE/AuC转发鉴权请求。当HE/AuC接收鉴权请求时,HE/AuC检索USIM的公开密钥U_EK,并预备和加密询问(E_CHAL)。HE/AuC还得出将与VLR 12共享的S_KEY。在24,HE/AuC向VLR 12发送E_CHAL以及预期响应(XRES)、S_KEY和MAC,VLR 12在25把E_CHAL和MAC转发给USIM。USIM预备响应(RES)作为明文询问CHAL_D的HASH或伪随机生成者(PRG)、HA(CHAL_D)。在26,RES被发送给VLR,VLR确定从USIM接收的RES是否等于从HE/AuC接收的XRES。
为了保持由VLR保存的信息不足以生成对询问的有效响应的特征,应用掩码技术。相同类型的掩码技术可用于使得出的共享密钥与USIM生成的响应相关。这个方法也适用于以上所述的两种解决方案。
还要注意,在这个实施例中没有共享密钥。如果采用基于RSA的公开密钥方案,在其中仅在USIM中存储公开密钥的模数但不是形成公开密钥的素数,并且在其中公开密钥在已经分发给HE/AuC之后被擦除,则USIM中的信息不足以生成有效询问。
基于散列链的解决方案
基于散列的解决方案的好处是效率,但是信令和维护略微地更复杂。数字签名的原理在于,签署者揭示只有签署者才可产生的、但任何人都能够检验正确性的值。相同的结果原则上可采用单向散列函数取得。以易于计算但难以逆转的函数h开始,“签署者”A选择随机x, 并公布y(=h(x))作为“公开密钥”。随后,签署者A揭示x,以及任何人可应用h并检验该值是否正确。为了能够“签署”不止一次,可使用链
X_0=random,
X_j=h(X_(j-1)),j=1,2,...
问题在于,这样一种链无论如何始终具有有限长度,并且可以用完X值。但是,在USIM的情况中,通常存在所定义的最大数量的允许鉴权(大约20000-50000),因此始终可使链足够长。或者,存在从旧链“引导”新链的方法。这通过让第一散列链的第二个至最后一个值用作消息完整性密钥来进行,这个密钥完整性保护第二散列链的最后一个值。
因此,USIM生成散列链{X_j}作为以上签署者A,以及最后一个“锚”值X_N在AuC中登记。为了减小存储要求,USIM可例如仅存储每第r个值,并根据需要得出中间值。原则上,在各鉴权时,USIM揭示“下一个”X_j(它是链中的前一个X值)。但是,这具有一些同步问题,因为归属网络需要知道已经发生多少次鉴权,以便提供正确的X值。这不一定是轻松的,因为归属网络可能在“跟踪”漫游用户时有困难。
一种解决方案是让USIM至少以给定间隔经由VLR“报告归属”。AuC存储作为最近报告的散列链值的(j,X_j)。(或者,由于j将通过j=N-SQN与N和SQN对应,所以N和SQN可用来推导j,参见下文)。归属网络始终知道什么SQN与特定询问-响应(AKA向量)结合使用。因此,每当VLR向回报告特定X_j时,AuC可相应地更新它的值。下一次,当VLR请求AKA参数时,AuC查找最近的(j,X_j)值。AuC产生AKA向量,并且包括X_j和整数T=SQN-j。这个值T是VLR需要把h应用于USIM揭示的X_k值以便获得X_j的次数。
应当注意,VLR可立即对不止一个AKA向量排序,并存储它们供以后使用。例如假定VLR对M>1个向量排序。“恶意”VLR则可 能取这些向量的最后一个(而不是如通常预期的取第一个),并发送给USIM。当USIM揭示对应的X_n时,如果VLR也有权访问K,则将能够产生对于M个连续鉴权是良好的克隆USIM。一般来说,如果有人能够同时危及VLR和USIM的安全(以得到K),这种告诫存在。在IP多媒体子系统(IMS)中,鉴权在归属网络中进行。因此,解决方案在那里更适合(于ISIM),因为“报告归属”功能基本上已经到位。
基于Diffie-Hellman的解决方案
图6是消息流程图,说明采用公开密钥分发系统而不是公开密钥加密的本发明的一个实施例中的USIM 11、VLR 12与HE/AuC 13之间的消息的流程。该解决方案可采用标准Diffie-Hellman方法来说明。USIM了解Diffie-Hellman保密密钥(x),以及HE/AuC了解Diffie-Hellman公开密钥(gx)。注意,gx可易于从x中计算,但是相反的则被认为在计算上不可行。USIM向VLR发送鉴权请求14,并且在请求中包含标识符、如IMSI。VLR向HE/AuC转发鉴权请求。当HE/AuC接收到鉴权请求时,HE/AuC选择随机值y,并计算RAND=gy。HE/AuC则根据公开密钥gx来计算值R=gxy,其中的值x是Diffie-Hellman私有密钥。HE/AuC还采用K=KDF(R,...)来计算共享保密密钥K,其中的KDF是密钥推导函数。HE/AuC则更新序列号SQNHE,利用f1(K,RAND||SQN||AMF...)计算MAC,利用f2(K,RAND)计算XRES,利用f3(K,RAND)计算Ck,利用f4(K,RAND)计算lk,利用f5(K,RAND)计算AK,以及构造消息AUTN=SQN XOR AK||AMF||MAC,如3GPP TS33.102中所述。在27,HE/AuC向VLR发送RAND、XRES、AUTN、Ck和lk。在28,VLR向USIM 11转发RAND和包含SQNHE(保密保护)、AMF和MAC的AUTN。
在接收到RAND和AUTN时,USIM 11确定R=RANDx,其中的x是Diffie-Hellman私有密钥。这个步骤可表示为:D(SK,RAND)=D(x,RAND)=RANDx。
USIM还采用密钥推导函数来计算共享保密密钥K=KDF(R,...)。 USIM则如3GPP TS 33.102中那样继续进行,以便预备响应RES。在29,USIM向VLR发送RES,它确定从USIM接收的RES是否等于从HE/AuC接收的XRES。
在一个实施例中,关于公开密钥或Diffie-Hellman的情况,保密信息存储在IM中并且受到密码保护,使得它仅可通过初始化IM、例如通过输入适当的初始化信息来使用。保密信息可包括保密密钥、公开密钥或者这两者。适当的初始化信息可用于发起保密信息的生成,以及例如输出进一步导出到AuC的公开密钥。这个初始化信息不是普通用户已知的,因此公开密钥不是普通用户已知的。其它适当的初始化信息可在用户执行需要使用私有密钥的鉴权时使用。通过应用适当的初始化信息,实现先前创建的私有密钥的使用,或者信息发起根据预先存储的籽数的密钥的重新创建。在后一种情况中,应当注意,在应用初始化信息之前,没有密钥在移动设备上可用。在国际专利申请PCT/SE03/01660中公开了实现这些特征的电子电路,通过引用结合到本文中。
本领域的技术人员会理解,本申请所描述的创造性概念可在大范围的应用中进行修改和变更。因此,专利主题的范围不应当局限于以上所述的具体示范理论的任一个,而是由以下权利要求来定义。
Claims (18)
1.一种防止身份模块IM的未经授权复制的方法,所述方法包括:
在所述IM中内部生成至少第一密钥K1和不同的第二密钥K2,其中,用于生成K1和K2的IM中的内部信息被擦除,以便确保K1无法从K2中得出以及K2无法从K1中得出;
在所述IM中内部秘密地存储K1;
把K2和标识符ID从所述IM导出到鉴权服务器AS;以及
在所述AS中秘密地存储K2,
所述方法还包括鉴权阶段,其中K1和K2构成用于不对称密码术的密钥对,以及第三方对所述IM进行鉴权,所述鉴权阶段包括:
从所述IM向第三方提供发起鉴权的信息,所述信息至少包含所述ID;
把所述信息从第三方转发给所述AS;
由所述AS根据从第三方接收的所述ID来检索秘密地存储的K2;
由所述AS至少根据K2生成至少第一值R和第二值X;
把R和X从所述AS返回给第三方;
把R从第三方转发给所述IM;
由所述IM至少根据K1和R生成响应RES;
把RES从所述IM返回给第三方;以及
由第三方根据X检验所述RES。
2.如权利要求1所述的方法,其特征在于:
所述生成R的步骤包括采用所述秘密地存储的K2对值V加密,其中,V包含用于得出X的信息;
所述生成RES的步骤包括对R解密以及检验从R的解密中得出的信息;以及
所述由第三方根据X检验RES的步骤是RES是否等于X的比较。
3.如权利要求1所述的方法,其特征在于,K1是用于公开密钥交换系统的第一秘密,以及K2是秘密地存储在所述AS中的对应的公开参数。
4.一种抗复制的身份模块IM,包括:
用于在所述IM中内部生成至少第一密钥K1和第二密钥K2、同时擦除用于生成K1和K2的IM中的内部信息以便确保K1无法从K2中得出以及K2无法从K1中得出的部件;
用于在所述IM中内部秘密地存储K1的部件;以及
用于把K2和标识符ID从所述IM导出到鉴权服务器AS以便在其中秘密存储的部件。
5.如权利要求4所述的身份模块,其特征在于,所述IM在包含电子商务应用的终端中实现,所述电子商务应用根据所述IM执行支付。
6.一种鉴权服务器,用于对访问身份模块IM进行鉴权,同时防止所述访问IM的未经授权复制,所述鉴权服务器包括:
用于在所述AS中秘密地存储从所述访问IM接收的密钥K2的部件,其中,所述密钥K2在所述IM中内部生成且与在所述IM中内部生成的第一密钥K1不同,并且用于生成K1和K2的IM中的内部信息被擦除,以便确保K1无法从K2中得出以及K2无法从K1中得出;
用于接收来自所述访问IM的访问请求的部件,所述访问请求包括所述访问IM的标识符;
用于利用所述访问IM的标识符检索所述秘密地存储的K2的部件;
用于利用所述秘密地存储的K2生成询问以及从有效IM预期的预期响应的部件;
用于向所述访问IM发送所述询问的部件,其中,所述询问对于各个访问尝试改变;以及
用于向鉴权第三方发送所述预期响应的部件。
7.一种用于为有效身份模块IM提供对网络的访问、同时防止由未经授权的IM克隆对网络的访问的系统,所述系统包括:
抗复制的访问IM,包括:
用于在所述访问IM中内部生成至少第一密钥K1和第二密钥K2、同时擦除用于生成K1和K2的IM中的内部信息以便确保K1无法从K2中得出以及K2无法从K1中得出的部件;
用于在所述访问IM中内部秘密地存储K1的部件;以及
用于把K2和标识符ID从所述访问IM导出到鉴权服务器AS的部件;
AS,用于对访问IM进行鉴权,同时防止所述访问IM的未经授权复制,所述AS包括:
用于在所述AS中秘密地存储K2的部件;
用于接收来自所述访问IM的访问请求的部件,所述访问请求包括所述访问IM的ID;
用于利用所述访问IM的ID检索所述秘密地存储的K2的部件;
用于利用所述秘密地存储的K2生成询问以及从有效IM预期的预期响应的部件;
用于向所述访问IM发送所述询问的部件,其中,所述询问对于各个访问尝试改变;以及
用于向鉴权第三方发送所述预期响应的部件;
在所述访问IM中用于接收所述询问、以及根据所述询问中的信息和所述访问IM中但不是所述鉴权服务器中存储的信息来预备和发送响应给所述鉴权第三方的部件;以及
鉴权第三方,包括:
用于接收来自所述AS的预期响应的部件;
用于接收来自所述访问IM的响应的部件;以及
用于仅在所述访问IM预备的响应等于所述鉴权服务器生成的预期响应时才为所述访问IM提供对网络的访问的部件。
8.如权利要求7所述的系统,其特征在于,所述访问IM还包括用于确定从所述鉴权服务器接收的序列号是否最新的部件。
9.一种为有效身份模块IM提供对网络的访问、同时防止由未经授权的IM克隆对网络的访问的方法,其中,访问IM向鉴权服务器发送访问请求,所述方法包括:
在所述鉴权服务器中:
选择随机值y;
利用RAND=gy计算随机值RAND;
计算值R=gxy,其中,x是所述访问IM已知的Diffie-Hellman私有密钥,以及gx是所述鉴权服务器已知的;
利用K=KDF(R,...)计算共享保密密钥(K),其中,KDF是密钥推导函数,其中,用于生成所述私有密钥和所述共享保密密钥的IM中的内部信息被擦除,以便确保所述私有密钥无法从所述共享保密密钥中得出以及所述共享保密密钥无法从所述私有密钥中得出;
向中间节点发送所述RAND和预期响应XRES;以及
把所述RAND从所述中间节点转发给所述访问IM;以及
在所述访问IM中:
利用R=RANDx来确定R,其中x是Diffie-Hellman私有密钥;
利用所述密钥推导函数计算所述共享保密密钥K=KDF(R,...);
利用RES=f2(K,RAND)计算响应RES;以及
向所述中间节点发送所述RES;
由所述中间节点确定从所述访问IM接收的所述RES是否等于从所述鉴权服务器接收的所述XRES;以及
仅在从所述访问IM接收的所述RES等于从所述鉴权服务器接收的所述XRES时才为所述访问IM提供对网络的访问。
10.如权利要求9所述的方法,其特征在于,还包括:
在所述鉴权服务器中:
更新序列号SQNHE;
利用MAC=f1(K,RAND||SQN||AMF...)计算加密钥消息鉴权码(MAC);
利用XRES=f2(K,RAND)计算所述XRES;
利用Ck=f3(K,RAND)计算密钥Ck;
利用lk=f4(K,RAND)计算密钥lk;
利用AK=f5(K,RAND)计算AK;
利用AUTN=SQN XOR AK||AMF||MAC来构造鉴权消息AUTN;以及
向所述中间节点发送所述AUTN以及所述RAND和所述XRES;
在所述中间节点中:
向所述访问IM转发所述AUTN以及所述RAND;以及
在所述访问IM中:
采用AK=f5(K,RAND)计算AK;以及
从所述AUTN中提取和检验所述SQNHE、AMF和MAC。
11.一种对访问身份模块IM进行鉴权、同时防止所述访问IM的未经授权复制的方法,所述方法包括:
在所述访问IM中内部生成至少第一密钥K1和不同的第二密钥K2,其中,用于生成K1和K2的IM中的内部信息被擦除,以便确保K1无法从K2中得出以及K2无法从K1中得出;以及
把K2和标识符ID从所述访问IM导出到鉴权服务器AS,同时使K1在所述访问IM中内部保密并且使K2在所述AS中保密;
从所述访问IM向第三方发送至少包含所述ID的信息;
把所述信息从第三方转发给所述AS;
由所述AS根据从第三方接收的所述ID来检索秘密地存储的K2;
由所述AS选择随机数R;
由所述AS至少根据所述数R生成至少一个值RAND;
由所述AS至少根据所述数R生成密钥K;
由所述AS至少根据所述值RAND和所述密钥K生成值X;
从所述AS向第三方返回所述值RAND和X;
把所述值RAND从第三方转发给所述访问IM;
由第三方从所述访问IM接收响应RES;以及
由第三方根据X检验所述RES。
12.如权利要求11所述的方法,其特征在于,在从所述访问IM接收所述RES的所述步骤之前还包括以下步骤:
由所述访问IM至少根据所述密钥K1和所述值RAND来计算所述随机数R;
由所述访问IM至少根据所述值R来计算所述密钥K;以及
由所述访问IM至少根据所述密钥K和所述值RAND来计算所述响应RES。
13.如权利要求12所述的方法,其特征在于:
所述访问IM利用R1=RANDK1来计算值R1;
所述访问IM利用K=KDF(R1,...)来计算密钥K;以及
所述访问IM利用RES=f2(K,RAND)来计算所述响应RES。
14.如权利要求11所述的方法,其特征在于,还包括由所述AS利用所述随机数R来确定随机数R1=(K2)R;
其中,所述AS根据RAND=gR来生成所述值RAND;
其中,所述AS利用K=KDF(R1,...)来生成所述密钥K,其中,KDF是密钥推导函数;以及
其中,所述AS利用采用函数f2的X=f2(K,RAND)来生成所述值X。
15.一种对访问身份模块IM进行鉴权、同时防止利用具有消息恢复的签名方案的网络中的所述访问IM的未经授权复制的方法,所述方法包括:
在所述访问IM中内部生成至少私有密钥和不同的公开密钥U_EK,其中,用于生成所述私有密钥和所述公开密钥的IM中的内部信息被擦除,以便确保所述私有密钥无法从所述公开密钥中得出以及所述公开密钥无法从所述私有密钥中得出;
在鉴权服务器AS上秘密地存储所述公开密钥U_EK;
从所述访问IM向所述AS发送访问请求,所述访问请求至少包括用于所述访问IM的标识符;
由所述AS检索所述访问IM的秘密地存储的公开密钥U_EK;
由所述AS预备询问CHAL,所述询问包含随机值RAND、序列号SEQ和附加数据DATA中的至少一个;
从所述AS向中间节点发送所述询问和所述访问IM的公开密钥U_EK;
把所述询问从所述中间节点转发给所述访问IM;
由所述访问IM预备所述询问的数字签名U_SIGN(CHAL);
从所述访问IM向所述中间节点发送所述数字签名U_SIGN(CHAL),作为对所述询问的响应RES;以及
由所述中间节点通过确定所述询问CHAL是否等于所述公开密钥U_EK(RES)来检验所述响应。
16.如权利要求15所述的方法,其特征在于,所述询问CHAL包含RAND以及SEQ。
17.如权利要求16所述的方法,其特征在于,所述询问CHAL还包含所述DATA部分,其中,所述DATA部分包括服务标识符。
18.一种对访问身份模块IM进行鉴权、同时防止利用具有附录的签名的网络中的所述访问IM的未经授权复制的方法,所述方法包括:
在所述访问IM中内部生成至少私有密钥和不同的公开密钥U_EK,其中,用于生成所述私有密钥和所述公开密钥的IM中的内部信息被擦除,以便确保所述私有密钥无法从所述公开密钥中得出以及所述公开密钥无法从所述私有密钥中得出;
在鉴权服务器AS上秘密地存储所述公开密钥U_EK;
从所述访问IM向所述AS发送访问请求,所述访问请求至少包括用于所述访问IM的标识符;
由所述AS检索所述访问IM的秘密地存储的公开密钥U_EK;
由所述AS预备询问CHAL,所述询问包含随机值RAND、序列号SEQ和附加数据DATA中的至少一个;
从所述AS向中间节点发送所述询问和所述访问IM的公开密钥U_EK;
把所述询问从所述中间节点转发给所述访问IM;
由所述访问IM预备所述询问的数字签名U_SIGN(hash(CHAL));
从所述访问IM向所述中间节点发送所述数字签名U_SIGN(hash(CHAL)),作为对所述询问的响应RES;以及
由所述中间节点通过确定所述询问的散列hash(CHAL)是否等于所述公开密钥U_EK(RES)来检验所述响应。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US63690604P | 2004-12-17 | 2004-12-17 | |
US60/636,906 | 2004-12-17 | ||
PCT/IB2005/003803 WO2006064359A1 (en) | 2004-12-17 | 2005-12-16 | Clone-resistant mutual authentication in a radio communication network |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101116284A CN101116284A (zh) | 2008-01-30 |
CN101116284B true CN101116284B (zh) | 2012-11-14 |
Family
ID=36190745
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2005800428511A Expired - Fee Related CN101116284B (zh) | 2004-12-17 | 2005-12-16 | 无线电通信网络中的防克隆相互鉴权的方法、身份模块、服务器以及系统 |
Country Status (3)
Country | Link |
---|---|
US (1) | US20070192602A1 (zh) |
CN (1) | CN101116284B (zh) |
WO (1) | WO2006064359A1 (zh) |
Families Citing this family (23)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8049594B1 (en) * | 2004-11-30 | 2011-11-01 | Xatra Fund Mx, Llc | Enhanced RFID instrument security |
GB0507495D0 (en) * | 2005-04-14 | 2005-05-18 | Radio Tactics Ltd | A forensic toolkit and method for accessing data stored on electronic smart cards |
US20090063851A1 (en) * | 2006-03-20 | 2009-03-05 | Nijdam Mark J | Establishing communications |
EP1997269A4 (en) * | 2006-03-22 | 2014-01-08 | Lg Electronics Inc | ASYMMETRIC CRYPTOGRAPHY FOR WIRELESS SYSTEMS |
EP1865656A1 (en) * | 2006-06-08 | 2007-12-12 | BRITISH TELECOMMUNICATIONS public limited company | Provision of secure communications connection using third party authentication |
DE102006060967A1 (de) * | 2006-12-20 | 2008-06-26 | Vodafone Holding Gmbh | Überprüfung von Authentisierungsfunktionen |
US20090259851A1 (en) * | 2008-04-10 | 2009-10-15 | Igor Faynberg | Methods and Apparatus for Authentication and Identity Management Using a Public Key Infrastructure (PKI) in an IP-Based Telephony Environment |
WO2010028681A1 (en) * | 2008-09-09 | 2010-03-18 | Telefonaktiebolaget Lm Ericsson (Publ) | Authentication in a communication network |
US8181030B2 (en) * | 2008-12-02 | 2012-05-15 | Electronics And Telecommunications Research Institute | Bundle authentication system and method |
US9219612B2 (en) * | 2009-06-26 | 2015-12-22 | France Telecom | Method of mutually authenticating a reader and a radio tag |
NO331571B1 (no) * | 2009-10-30 | 2012-01-30 | Uni I Stavanger | System for a beskytte en kryptert informasjonsenhet |
CN103370899B (zh) * | 2011-02-14 | 2016-09-28 | 瑞典爱立信有限公司 | 无线设备、注册服务器和无线设备预配置方法 |
CN102202290A (zh) * | 2011-05-30 | 2011-09-28 | 中兴通讯股份有限公司 | 用户设备鉴权码的更新方法及系统、用户设备 |
WO2014053161A1 (en) | 2012-10-01 | 2014-04-10 | Iiinnovation S.A. | Method of authorizing a financial transaction |
JP6062828B2 (ja) | 2013-08-26 | 2017-01-18 | 株式会社Nttドコモ | 加入者プロファイル転送方法、加入者プロファイル転送システム及びユーザ装置 |
RU2663972C1 (ru) * | 2015-02-27 | 2018-08-14 | Телефонактиеболагет Лм Эрикссон (Пабл) | Обеспечение безопасности при связи между устройством связи и сетевым устройством |
WO2017040124A1 (en) * | 2015-08-31 | 2017-03-09 | Pcms Holdings, Inc. | System and method for detection of cloned devices |
BR112019004143A2 (pt) | 2017-04-11 | 2019-12-31 | Huawei Tech Co Ltd | método, dispositivo, e sistema de autenticação de rede |
US11483709B2 (en) | 2019-03-14 | 2022-10-25 | At&T Intellectual Property I, L.P. | Authentication technique to counter subscriber identity module swapping fraud attack |
CN113525152B (zh) * | 2020-04-15 | 2023-07-18 | 华为技术有限公司 | 充电认证的方法和装置 |
CN116569516A (zh) * | 2020-09-30 | 2023-08-08 | 中兴通讯股份有限公司 | 防止移动终端的认证序列号泄露的方法 |
WO2023275998A1 (ja) * | 2021-06-29 | 2023-01-05 | 株式会社Nttドコモ | 端末、ネットワークノード及び通信方法 |
CN114173327B (zh) * | 2021-12-06 | 2024-08-23 | 中国电信股份有限公司 | 基于5g行业专网的认证方法及终端 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2002073877A2 (en) * | 2001-03-09 | 2002-09-19 | Pascal Brandys | System and method of user and data verification |
CN1478342A (zh) * | 2000-11-28 | 2004-02-25 | �ɸ���Ӱ��ɷ�����˾ | 交易认证 |
Family Cites Families (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH05281906A (ja) * | 1992-04-02 | 1993-10-29 | Fujitsu Ltd | 暗号鍵共有方式 |
GB9709135D0 (en) * | 1997-05-02 | 1997-06-25 | Certicom Corp | Two way authentication protocol |
US6144949A (en) * | 1998-02-12 | 2000-11-07 | Motorola, Inc. | Radio frequency communication system with subscribers arranged to authenticate a received message |
FI115372B (fi) * | 1998-09-18 | 2005-04-15 | Nokia Corp | Menetelmä matkaviestimen tunnistamiseksi, viestintäjärjestelmä ja matkaviestin |
US6516414B1 (en) * | 1999-02-26 | 2003-02-04 | Intel Corporation | Secure communication over a link |
CA2402934C (en) * | 2000-04-06 | 2006-12-05 | Nokia Corporation | Method and system for generating a sequence number to be used for authentication |
GB2366938B (en) * | 2000-08-03 | 2004-09-01 | Orange Personal Comm Serv Ltd | Authentication in a mobile communications network |
US7900242B2 (en) * | 2001-07-12 | 2011-03-01 | Nokia Corporation | Modular authentication and authorization scheme for internet protocol |
US7363494B2 (en) * | 2001-12-04 | 2008-04-22 | Rsa Security Inc. | Method and apparatus for performing enhanced time-based authentication |
US7194765B2 (en) * | 2002-06-12 | 2007-03-20 | Telefonaktiebolaget Lm Ericsson (Publ) | Challenge-response user authentication |
CN100366007C (zh) * | 2002-05-01 | 2008-01-30 | 爱立信电话股份有限公司 | 用于在无线局域网接入的基于sim的鉴权和加密的系统、设备和方法 |
DE60307498T2 (de) * | 2002-11-06 | 2007-09-13 | International Business Machines Corp. | Bereitstellen eines benutzergerätes mit einer zugangskodesammlung |
-
2005
- 2005-12-16 CN CN2005800428511A patent/CN101116284B/zh not_active Expired - Fee Related
- 2005-12-16 WO PCT/IB2005/003803 patent/WO2006064359A1/en active Application Filing
- 2005-12-16 US US11/275,166 patent/US20070192602A1/en not_active Abandoned
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1478342A (zh) * | 2000-11-28 | 2004-02-25 | �ɸ���Ӱ��ɷ�����˾ | 交易认证 |
WO2002073877A2 (en) * | 2001-03-09 | 2002-09-19 | Pascal Brandys | System and method of user and data verification |
Non-Patent Citations (8)
Title |
---|
3rd Generation Partnership Project Technical Specification Group Services and System Aspects 3G Security Security architecture.3GPP TS 33.102 V4.5.0,(Release 4).2002,(TS 33.102 V4.5.0,(Release 4)),12-16页. * |
3rdGenerationPartnershipProject |
Securityarchitecture.3GPP TS 33.102 V4.5.0 ,(Release 4).2002,(TS 33.102 V4.5.0 ,(Release 4)),12-16页. |
TechnicalSpecificationGroupServices andSystemAspects3GSecurity |
何晨、杨涛等.GSM移动通信用户鉴权算法的分析与实现.数据采集与处理14 4.1999,14(4),438-442. |
何晨、杨涛等.GSM移动通信用户鉴权算法的分析与实现.数据采集与处理14 4.1999,14(4),438-442. * |
张方舟等.3G接入技术中认证鉴权的安全性研究.微电子学与计算机21 9.2004,21(9),33-37. |
张方舟等.3G接入技术中认证鉴权的安全性研究.微电子学与计算机21 9.2004,21(9),33-37. * |
Also Published As
Publication number | Publication date |
---|---|
CN101116284A (zh) | 2008-01-30 |
US20070192602A1 (en) | 2007-08-16 |
WO2006064359A1 (en) | 2006-06-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101116284B (zh) | 无线电通信网络中的防克隆相互鉴权的方法、身份模块、服务器以及系统 | |
US10931644B2 (en) | Methods, network nodes, mobile entity, computer programs and computer program products for protecting privacy of a mobile entity | |
CN101969638B (zh) | 一种移动通信中对imsi进行保护的方法 | |
EP1757148B1 (en) | Security in a mobile communications system | |
CN100388852C (zh) | 用于询问-应答用户鉴权的方法和系统 | |
Saxena et al. | Authentication protocol for an IoT-enabled LTE network | |
US9253178B2 (en) | Method and apparatus for authenticating a communication device | |
CN101366263B (zh) | 用于建立安全关联的方法和设备 | |
CN110971415A (zh) | 一种天地一体化空间信息网络匿名接入认证方法及系统 | |
US20130170643A1 (en) | Method and system for transmitting subscriber identity information, user equipment, network device | |
JP2013034220A (ja) | セキュリティ・アソシエーションを確立するための方法および装置 | |
CN101895881B (zh) | 一种实现gba密钥的方法及终端可插拔设备 | |
JP2012517185A (ja) | ネットワークにおけるブートストラップ・メッセージを保護するための装置と方法 | |
CN101039181B (zh) | 防止通用鉴权框架中服务功能实体受攻击的方法 | |
Amadeo et al. | Securing the mobile edge through named data networking | |
Ekene et al. | Enhanced user security and privacy protection in 4G LTE network | |
Muthana et al. | Analysis of user identity privacy in LTE and proposed solution | |
Zhang et al. | SLDS: Secure and location-sensitive data sharing scheme for cloud-assisted cyber-physical systems | |
Saxena et al. | BVPSMS: A batch verification protocol for end-to-end secure SMS for mobile users | |
Coruh et al. | Hybrid secure authentication and key exchange scheme for M2M home networks | |
US8855604B2 (en) | Roaming authentication method for a GSM system | |
Leu et al. | Improving security level of LTE authentication and key agreement procedure | |
CN101547091A (zh) | 一种信息发送的方法及装置 | |
US20190082318A1 (en) | Mobile equipment identity privacy, network node and methods thereof | |
Yu et al. | AAKA: An Anti-Tracking Cellular Authentication Scheme Leveraging Anonymous Credentials |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 1117304 Country of ref document: HK |
|
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
REG | Reference to a national code |
Ref country code: HK Ref legal event code: WD Ref document number: 1117304 Country of ref document: HK |
|
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20121114 Termination date: 20141216 |
|
EXPY | Termination of patent right or utility model |