CN101946536B - 演进网络中的应用特定的主密钥选择 - Google Patents
演进网络中的应用特定的主密钥选择 Download PDFInfo
- Publication number
- CN101946536B CN101946536B CN200880126750.6A CN200880126750A CN101946536B CN 101946536 B CN101946536 B CN 101946536B CN 200880126750 A CN200880126750 A CN 200880126750A CN 101946536 B CN101946536 B CN 101946536B
- Authority
- CN
- China
- Prior art keywords
- master key
- key
- user terminal
- application
- master
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/06—Answer-back mechanisms or circuits
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
Abstract
一种认证方法,包括:向用户终端(13)和归属网络实体(11)提供数量为N的多个主密钥构成的集合;以及当执行针对应用的认证密钥协商(AKA)事务时,选择N个主密钥之一,作为在用户终端和归属网络实体处使用以导出该应用的其他密钥的主密钥。例如,当执行针对第一应用的认证密钥协商(AKA)事务时,该方法涉及:随机选择N个主密钥之一,作为在用户终端和归属网络实体处使用以导出第一应用的其他密钥的第一主密钥;但是当执行针对另一应用的认证密钥协商(AKA)事务时,该方法涉及:随机选择N个主密钥中的另一主密钥,作为在用户终端和归属网络实体处使用以导出另一应用的其他密钥的主密钥。
Description
技术领域
本发明涉及通过诸如电信网络等网络发送的信息的认证和安全性。
背景技术
许多网络具有向网络认证用户终端和向用户终端认证网络的过程。典型地,认证过程涉及使用存储在预定位置(如认证中心(AuC))和用户终端的事先共享的密钥。在认证过程中使用的其他参数一般是根据该密钥导出的。
使用密钥进行认证涉及密钥管理活动。针对某些网络的密钥管理一般基于公知的机制,如认证和密钥协商(AKA)机制。在AKA过程期间,从认证中心(AuC)获得/传送具有要由用户终端确认的参数的消息。这些参数在认证矢量(AV)中结合在一起。该认证矢量(AV)的部分通过网络传送至用户终端。此时,用户终端必须执行某些计算,以回应该质询。用户终端计算的结果被发送回去,并对照认证矢量(AV)进行检查。如果结果匹配,则认证成功。如果结果不对,激活某些其他过程来纠正该问题。
上述认证可以用在诸如电信网络等许多类型的网络中。在典型的蜂窝无线系统中,无线用户终端(又称为移动台、移动终端和移动用户设备单元(UE))经由无线接入网(RAN)与一个或多个核心网通信。用户终端可以是诸如移动电话(“蜂窝”电话)和具有移动终端的膝上型计算机等移动台,因而可以是例如与无线接入网进行语音和/或数据通信的便携式、袖珍式、手持式、计算机包含式、或车载移动设备。
无线接入网(RAN)覆盖被划分为小区区域的地理区域,每个小区区域由基站(如无线基站(RBS))提供服务,在某些网络中无线基站是所谓的“NodeB”或“B节点”。小区是基站站点处的无线基站设备提供无线覆盖的地理区域。每个小区由在小区内广播的本地无线区域内的唯一标识所标识。基站通过空中接口(例如射频)与基站范围内的用户终端通信。在无线接入网中,典型地,多个基站连接至(例如通过陆地通信线路或微波)无线网络控制器(RNC)。无线网络控制器有时被称为基站控制器(BSC),监督并协调与其连接的多个基站的各种活动。无线网络控制器典型地连接至一个或多个核心网。
通用移动电信系统(UMTS)是由全球移动通信系统(GSM)演进而来的第三代移动通信系统,意在提供基于宽带码分多址(WCDMA)接入技术的改进的移动通信服务。UMTS陆地无线接入网(UTRAN)实质上是为用户设备单元(UE)提供宽带码分多址的无线接入网。第三代伙伴计划(3GPP)已经着手进一步演进基于UTRAN和GSM的无线接入网技术。
2GPP/3GPP网络的密钥管理以及IP多媒体子系统[IMS]网络一般基于公知的UMTS或GSM机制,如前述认证和密钥协商(AKA)机制。参见例如,3rd Generation Partnership Project,″3GPP TechnicalSpecification 3GPP TS 33.102 V5.1.0:″Technical Specification GroupServices and System Aspects;3G Security;Security Architecture(Release5)″″,December 2002。甚至互联网工程任务组/可扩展认证协议[IETF/EAP]的密钥管理也实质上使用AKA的变体(在基本AKA上具有“薄垫层”),从而对于EAP安全性属性基本相同。
在涉及无线接入网(RAN)的电信网络的AKA过程期间,从认证中心(AuC)获得/传送具有要由用户终端确认的参数的消息。这些参数在认证矢量(AV)中结合在一起。该认证矢量(AV)被传送至核心网,核心网通过无线接入网将该认证矢量(AV)的部分分发至用户终端。如前面所指出的,然后,用户终端必须执行某些计算以回应该质询。用户终端计算的结果被发送回去,并对照其来源于的认证矢量(AV)进行检查。如果结果匹配,则认证成功。如果结果不对,激活某些其他过程来纠正该问题。
AKA型机制在近几年内并未发生很大的演进。在电信网络向考虑到固定-移动网络的融合以及3GPP接入网(GERAN/UTRAN/LTE)与更多地基于IEEE/IETF的非3GPP接入网(Wimax/I-WLAN/xDSL)的融合(或者至少集成)的全IP网络的当前演进中,安全性风险的数量可能增加。但在该演进中的一个要求是与现有网络和机制的兼容性。这意味着,这些网络(因此终端)也将能够利用AKA过程。如上所述,非3GPP接入可能已经采用了基于IETF EAP框架的AKA(EAP-AKA)。
3GPP当前指定了“下一代”网络的标准,采用演进的UTRAN(EUTRAN)无线接入的演进的分组系统(EPS)。这是简化的网络架构,需要享有至少与更复杂的GERAN/UTRAN架构相同等级的安全性。
除了如前段所述在接入层中使用AKA,还可以在应用或服务域中使用AKA,如一般地在IMS域或在应用域中使用摘要AKA(又称IP多媒体子系统[IMS]AKA)。
UICC(通用集成电路卡)是GSM和UMTS/EPS网络中的移动用户终端中使用的芯片卡(例如智能卡),并且涉及例如认证。在GSM网络中,UICC包含SIM应用,并且在UMTS/EPS网络中,其是USIM应用。UICC可以包括多种应用,使得同一智能卡可以接入GSM和UMTS网络。给定的UICC(通用集成电路卡)[UICC]具有两个选项:(1)针对USIM和ISIM应用使用不同的“Ki”密钥/凭证;以及(2)针对USIM和ISIM共享相同的Ki。然而,在该情况下,对于USIM和ISIM,安全算法(密钥导出函数)必须是不同的。
不幸的是,现有技术方法在允许何种基本“凭证”的方面通常是不灵活的。虽然EAP框架通过定义所谓的“EAP方法”添加了某些灵活性,当在给定客户端的不同方法之间切换时没有灵活性(具有完全的安全性)。当为了不同目的重用相同凭证/密钥时也存在安全性问题。
某些方法(典型地“军用”情形下的智能卡部署)允许在相同的“智能卡”上存储更大量的密钥,但典型地每个密钥捆绑至特定目的/应用。这意味着,由于攻击者知道每当应用“X”运行时将反复使用相同的基本密钥,因此攻击者可以“摊销”其密码分析成本。
在密码学中,公开密钥基础设施(PKI)是通过证书权威机构(CA)将公开密钥与分别的用户标识绑定的配置。对于每个用户,在证书权威机构(CA)所发布的公开密钥认证中,令用户标识、它们的绑定、有效性条件和其他属性是不可改变的。
PKI密钥的典型威胁在于针对签名和认证重用相同的密钥(终端可能“认为”其正在响应于认证质询,但实际上其正在对“文档”或“协定”进行签字/认可)。通常,针对签名和认证使用分别指定的密钥,以缓解该问题(认证指定了密钥的“所允许的目的”)。
因此,所需要的是,提高与AKA所使用的实际密钥有关的安全性从而将AKA进一步强化为有效机制的其他方式。当网络融合(以及不同技术的融合)是普遍的共同特征时,这一点尤其必要。
发明内容
在其多方面中的一方面,该技术涉及一种认证方法,包括:向用户终端和归属网络实体提供数量为N的多个主密钥构成的集合;以及当执行针对应用的认证密钥协商(AKA)事务时,随机选择N个主密钥之一,作为在用户终端和归属网络实体处使用,以导出该应用的其他密钥的主密钥。例如,当执行针对第一应用的认证密钥协商(AKA)事务时,该方法涉及:随机选择N个主密钥之一,作为在用户终端和归属网络实体处使用,以导出第一应用的其他密钥的第一主密钥;但当执行针对另一应用的认证密钥协商(AKA)事务时,该方法涉及:选择N个主密钥中的另一主密钥,作为在用户终端和归属网络实体处使用,以导出另一应用的其他密钥的主密钥。
在示例实施例中,随机选择N个主密钥之一作为第一主密钥包括:选择所述集合中的密钥y,其中y=(RAND mod N),其中RAND是用户终端和用户终端的归属网络实体都知道的随机数,并且密钥是根据某一确定顺序配置的。
选择N个主密钥中的另一主密钥作为用于其他应用的主密钥可以根据各种示例实施例来实现。作为第一示例实施例,选择N个主密钥中的另一主密钥作为用于另一应用的主密钥包括:以预定顺序(如循环顺序)使用下一主密钥。作为另一示例实施例,选择N个主密钥中的另一主密钥作为用于另一应用的主密钥包括:选择所述集合中的密钥y’,其中y’=(RAND’mod N),其中RAND’是用户终端和用户终端的归属网络实体都知道的随机数,但y’不对应于第一主密钥,并且RAND’不用于获得第一主密钥。作为又一示例实施例,选择N个主密钥中的另一主密钥作为用于另一应用的主密钥包括:选择经修正的集合中的密钥y’,所述经修正的集合包括N-1个主密钥,所述主密钥的经修正的集合不包括针对第一应用选择的第一主密钥,并且其中,y’=(RAND’mod N-1),RAND’是用户终端和用户终端的归属网络实体都知道的随机数。优选地,RAND’不用于获得第一主密钥。因此,反之,在大多数情况下,第一主密钥的选择是随机的,对另一应用的下一密钥的选择不是独立随机的,这是由于第一密钥可能被标记为已用,从而第二密钥选择虽然可能在剩余集合中是随机的,但对于密钥的整个集合而言不是随机的。在极端情况下,仅仅一个密钥可能保留为下一应用的候选密钥。在其他情况下,可以部分依赖与诸如用户状态(如位置)等其他信息来做出选择,用户状态不是随机因素。
在另一示例实施例中,随机选择N个主密钥之一作为第一主密钥包括多种因素,所述多种因素包括:(1)用户终端和用户终端的归属网络实体都知道的随机数;以及(2)第二因素。在不同实现中,第二因素可以是以下一个或多个:(1)用户终端类型/标识;(2)接入网类型;(3)用户终端位置;(4)第一应用的上下文信息。
在又一示例实施例中,所述方法包括:使用独特的第一算法集合来导出第一应用的其他密钥;以及使用独特的第二算法集合来导出第二应用的其他密钥。
在再一示例实施例中,所述方法包括:当第一主密钥过期时,选择用于第一应用的新的第一主密钥。在示例实现中,所述方法包括:当第一主密钥的持续时间过期时,选择新的第一主密钥;将所述持续时间表示为序列值,在该序列值后认证矢量不再有效;以及当达到该序列值时,执行新的认证过程,以选择用于第一应用的新的第一主密钥。
在再一示例实施例中,所述方法包括:至少部分基于用户状态信息来选择新的第一主密钥。在示例实现中,用户状态信息包括以下至少一个:(1)时间戳;(2)网络标识符;和(3)用户位置。
在再一示例实施例中,当不应使用主密钥中的一个可疑主密钥时,所述方法包括:随机产生替代主密钥;利用用户终端和归属网络实体都知道的超密钥对所述替代主密钥进行加密;从归属网络实体向用户终端发送经加密的替代主密钥;以及在用户终端处,以所述替代主密钥替代主密钥中的可疑主密钥。
在示例实现中,所述网络是电信网络,所述用户终端是无线用户终端。在这样的实现中,所述方法还包括:通过无线接入网向无线用户终端提供所选择的认证矢量值,并且无线用户终端使用所选择的认证矢量值来获得第一应用所使用的第一主密钥和其他密钥。
在其多方面的另一方面中,该技术涉及一种在认证系统中操作使用的实体。该实体包括:主密钥存储器;应用特定的主密钥选择器;以及其他密钥发生器,被配置为使用应用特定的主密钥所选择的主密钥来导出其他密钥。主密钥存储器被配置为,针对用户终端存储数量为N的多个主密钥构成的集合。应用特定的主密钥选择器被配置为,针对用户终端所执行的第一应用,随机选择N个主密钥中的第一主密钥,作为在用户终端和归属网络实体处使用,以导出第一应用的其他密钥的主密钥,并针对由用户终端执行的另一应用,选择N个主密钥中的另一主密钥,作为在用户终端和归属网络实体处使用,以导出另一应用的其他密钥的主密钥。
在示例实施例中,实体是位于电信系统的归属环境中的认证服务器。在另一示例实施例中,实体是包括收发机的无线用户终端,所述收发机被配置为从电信系统的认证服务器接收认证矢量的至少某些内容。
在示例实现中,网络是电信网络,用户终端是至少部分通过无线接入网与归属网络实体通信的无线用户终端。
附图说明
通过以下对附图所示的优选实施例的更具体的描述,本发明的前述和其他目的、特征及优势将显而易见,在各附图中,参考标记指代相同部件。附图不一定是按比例绘制的,重点在于示意本发明的原理。
图1A是示例网络的视图,所述网络包括根据示例说明性实施例的归属网络实体/认证服务器(AuC)中的AKA密钥发生器和用户终端的AKA密钥管理器。
图1B是实现了图1A的实施例的特征的示例电信网络的视图。
图2是示例电信网络的视图,并且还示出了在代表性认证和密钥协商(AKA)过程执行的基本动作。
图3是AKA密钥发生器的示例实施例的视图。
图4是用户终端的AKA密钥管理器的示例实施例的视图。
图5是示出了可以结合代表性AKA密钥产生过程执行的示例、基本动作或步骤的流程图。
图5A是示出了根据图5的代表性AKA密钥产生过程的可选示例实施例、可以结合选择用于下一应用的主密钥执行的示例、基本动作或步骤的流程图。
图5B是示出了根据图5的代表性AKA密钥产生过程的另一可选示例实施例、可以结合选择用于下一应用的主密钥执行的示例、基本动作或步骤的流程图。
图5C是示出了根据图5的代表性AKA密钥产生过程的又一可选示例实施例、可以结合选择用于下一应用的主密钥执行的示例、基本动作或步骤的流程图。
图6是示出了可以结合针对密钥选择利用多因素的AKA密钥产生过程执行的所选择的、示例、基本动作或步骤的流程图。
图7是示出了根据用于密钥选择的第二因素的值来选择主密钥的适当集合的视图。
图8是示出了包括其他密钥发生器并且包括f函数的多个集合在内的AKA密钥发生器的示例实施例的视图。
图9是用户终端的AKA密钥管理器的示例实施例的视图,并且AKA密钥管理器包括其他密钥发生器,其他密钥发生器包含f函数的多个集合。
图10是示出了可以结合具有密钥更新特征的AKA密钥产生过程执行的示例、基本动作或步骤的流程图。
图11是示出了结合具有密钥替代操作的AKA密钥产生过程执行的示例、基本动作或步骤的流程图。
具体实施方式
在以下描述中,为了说明而非限制的目的,记载了特定的细节,如特定架构、接口、技术等,以提供对本发明的透彻理解。然而,对于所述领域技术人员显而易见,本发明可以在背离这些特定细节的其他实施例中实现。即,所属领域技术人员能够设计出虽未在此处明确描述或示出、但体现了本发明的原理并包含在其精神和范围内的各种配置。在某些实例中,省去了对公知设备、电路和方法的详细描述,以免使对本发明的描述与不必要的细节混淆。此处记载本发明原理、方案和实施例及其特定示例的所有陈述均意在涵盖其结构和功能的等效。此外,这样的等效意在包括当前已知的等效和未来开发的等效,即无论结构如何执行相同功能的开发出的任何元件。
因此,例如,所属领域技术人员将意识到,此处的框图能够表示体现本技术原理的说明性电路的概念视图。类似地,将意识到,任何流程图、状态转移图、伪代码等表示各种实质上可以表示在计算机可读介质中从而由明确或未明确示出的计算机或处理器执行的各种处理。
包括被标记或描述为“处理器”或“控制器”在内的各种元件的功能可以通过使用专用硬件以及能够与适当软件相关联地执行软件的硬件来提供。当由处理器提供时,功能可以由单个专用处理器、单个共享处理器、或其中某些可以是共享或分布式的多个独立处理器来提供。此外,术语“处理器”或“控制器”的明确使用不应被理解为专门指能够执行软件的硬件,相反可以不受限制地包括数字信号处理器(DSP)硬件、用于存储软件的只读存储器(ROM)、随机存取存储器(RAM)和非易失性存储。
图1A示出了包含认证操作的通用网络10。网络10包括通过链路12与多个用户终端通信的归属网络实体/认证服务器(AuC)11,图1A中示出了一个这样的用户终端13。归属网络实体/认证服务器(AuC)11提供多个用户终端的认证功能,所述多个用户终端共享相同或相似的归属环境。归属网络实体/认证服务器(AuC)11保持每个用户的认证、加密和完整性所需的所有数据。
归属网络实体/认证服务器(AuC)11包括:AKA密钥发生器14(40)及其未示出的构成功能中的其他功能。如图1A所示,AKA密钥发生器14包括:AuC主密钥存储器15;AuC应用特定的主密钥选择器16;以及AuC其他密钥发生器17。如以下针对不同实施例和实现更详细地解释和说明的那样,AuC主密钥存储器15针对用户终端(如用户终端13)存储数量为N的多个主密钥构成的集合。对于用户终端13所执行的每个应用,AuC应用特定的主密钥选择器16随机选择N个主密钥中不同的(例如统计上独一无二的)一个作为主密钥。AuC其他密钥发生器17接着使用针对该应用所选择的主密钥来导出与该应用一起使用的其他密钥,如数据保护密钥。换言之,对于由用户终端13执行的第一应用,AuC应用特定的主密钥选择器16选择N个主密钥中的第一主密钥作为主密钥,由用户终端13和归属网络实体34使用该主密钥来导出第一应用的其他密钥,但对于由用户终端13执行的另一应用,AuC应用特定的主密钥发生器16选择(例如伪随机地)N个主密钥中的另一(例如不同的)主密钥作为主密钥,由用户终端和归属网络实体使用该主密钥来导出第二应用的其他密钥。
以类似的方式,用户终端13包括AKA密钥管理器18。对于用户终端13,AKA密钥管理器18同样包括诸如终端主密钥存储器19;终端应用特定的主密钥选择器20;以及终端其他密钥发生器21等类似功能。
由于图1一般化地示意了网络10,链路12可以采用许多不同的形式。例如,链路12可以包括硬线链路、射频链路或光学链路等中的一个或多个。链路12的特性取决于作为归属网络实体/认证服务器(AuC)11的网络和用户终端13的类型。作为一种非限制的示例实现,图1B示出了示例电信网络10T,其他核心网22通过Iu接口连接至无线接入网24。虽未在图1B中如此示出,但将意识到,核心网22可以包括电路交换(CS)域和分组交换(PS)域以及运营商的骨干网。PS域通过与互联网和其他数据网络的连接为用户提供数据服务,CS域向其他电话网络提供“标准”电话服务。CN中的节点通过运营商的骨干互联,典型地通过高速网络技术(如ATM)来连接。
在核心网22中,分组交换(PS)域可以包括服务GPRS支撑节点(SGSN)节点和网关GPRS支撑节点(GGSN)节点。服务GPRS支撑节点(SGSN)通过Iu PS接口连接至无线接入网24(如UTRAN)并通过Gn接口连接至GGSN。SGSN负责订户的所有分组交换连接。其保持订户数据(如,国际移动订户标识(IMSI);临时标识(P-TMSI地址);分组数据协议(PDP)地址),订阅信息和位置信息(如订户的路由区;VLR号;具有活动连接的每个GGSN的GGSN地址)。
网关GPRS支撑节点(GGSN)与其他数据网络互联。所有数据通信经过订户和外部网络之间的GGSN。对于SGSN,其保持两种类型的数据,订户信息(例如国际移动订户标识(IMSI);分组数据协议(PDP)地址)和位置信息(例如订户所连接至的当前SGSN的地址)。GGSN通过Gi接口连接至互联网,并通过Gp接口连接至边界网管。
在核心网22中,电路交换(CS)域可以包括连接至网关MSC(GMSC)的移动交换中心(MSC)/访问位置寄存器(VLR)。访问位置寄存器(VLR)是订户的归属位置寄存器的服务网络“副本”。从HLR复制向订户提供其服务所需的订户数据,并将其存储在此。MSC和SGSN具有连接至它们的VLR。在VLR中存储以下数据:国际移动订户标识(IMSI);移动台国际ISDN号(MSISDN);临时移动订户标识(TMSI)(如果存在的话);订户的当前位置区(LA);以及订户连接至的当前SGNS节点。
在图1B中所示的非限制示例中,无线接入网24包括一个或多个无线网络控制器(RNC)节点26和一个或多个基站节点28,如Node_B或B-Node。无线接入网24的基站节点28通过Uu无线接口与无线终端通信,无线终端通信的一个示例是用户终端13。在WCDMA文献中以及此处,无线用户终端13还被称为“用户设备单元”或“UE”。当意识到的是,典型地,无线接入网24包括多个无线网络控制器(RNC)节点26,每个无线网络控制器(RNC)节点26一般地服务于多于一个的基站节点28。此外,无线网络控制器(RNC)节点26可以通过Iur接口彼此连接。另外,在诸如EPS和WCDMA的长期演进(LTE)版本所包含的某些示例实施例中,无线基站节点28直接连接至核心网而不是连接至无线网络控制器(RNC)节点。在EPS/LTE中,一般地,由无线基站节点执行无线网络控制器(RNC)节点的功能。如此,在LTE版本中,LTE系统的无线接入网(RAN)具有实质上“平坦的”架构,该架构包括无线基站节点,而不向无线网络控制器(RNC)节点报告。本技术完全能够实现在无线接入网24的LTE和非LTE(例如部署了RNC)版本中。在3GPP TS 23.401和23.402中对EPS/LTE进行了更详细地描述,3GPP TS 23.401和23.402被完整地并于于此作为操作。
如图1B进一步示出的,电信网络10T可以连接至外部网络32和被称为用户终端13的归属环境34的设备或工具。虽然未详细示出,但众所周知,外部网络32包括IP互联网、其他运营商网络、和陆上通信线系统,如PLMN、PSTN和ISDN。归属环境(HE)34包括例如保持运营商的订户的服务简档的服务器和/或其他设备。其还向订户提供服务网络和对用户进行认证并针对所提供的服务向用户收费所需的收费信息。在归属环境34中列出了所提供的服务和所阻塞的服务。在图1B中所示的非限制示例中,特定无线终端(例如用户终端13)的归属环境34被示为包括归属位置寄存器(HLR)36和适于电信网络10T的版本的归属网络实体11。例如,归属网络实体/认证服务器(AuC)11能够采用AAA服务器、HLR/AUC服务器、HSS或PKI-服务器的形式。为了方便,此处归属网络实体11还被称为认证服务器(AuC)11或归属网络实体/认证服务器(AuC)11。归属位置寄存器(HLR)36和归属网络实体/认证服务器(AuC)11是两个逻辑网络节点,但如图1B所示的情况下,归属位置寄存器(HLR)36和归属网络实体/认证服务器(AuC)11通常实现于相同的物理节点。
归属位置寄存器(HLR)36是负责管理移动订户的数据库。根据每个HLR的容量以及网络的内部组织,移动网络可由许多HLR构成。数据库包括:国际移动订户标识、至少一个移动订户ISDN号(MSISDN)以及至少一个分组数据协议(PDP)地址。IMSI和MSISDN号都可以用作访问所存储的其他信息的密钥。为了能够对呼叫进行路由和收费,HLR还保持关于当前管理订户的SGSN和VLR的信息。还与服务限制(如漫游限制)一起列入了其他所提供的服务,如呼叫转发、数据速率和语音邮件。
用户终端13的AKA密钥管理器可以包括或被实现为标识模块58。标识模块58可以采用由用户终端13的处理器60执行的软件的形式,或包括在用户终端13中的硬件。可选地,并且如图1B的非限制示例实现所示,标识模块58可由诸如UICC(通用集成电路卡)等集成电路卡/芯片来实现。UICC(通用集成电路卡)是使用在GSM和UMTS网络中的移动用户终端中的芯片卡(如智能卡)并且涉及例如认证。在GSM网络中,UICC包含SIM应用,SIM应用保持硬编码在卡上的个人(订阅)信息。在UMTS网络中,UICC包含包括UMTS订户标识模块在内的USIM应用。UICC允许为了其他目的将更多的应用和/或密钥/电子签名(如安全银行交易访问码)与USIM一起存储在UICC上。其还提供了在相同UICC具有多个USIM,从而提供接入多个网络的机会。标识模块58典型地包括CPU、ROM、RAM、EEPROM和I/O电路。标识模块58通过接口Cu与其主机用户终端13通信。
用户终端13还包括处理器或控制器(如此处扩展详述的那些术语),如图1B中的处理器60。标识模块58和处理器60典型地还用于(单独和/或同时)执行存储在适当存储器或介质上(或标识模块58上)的应用62。本技术的特别的优势在于,可以执行不同的应用,并且每个应用提供不同的主密钥用于认证目的。为此,图1B示出了多个应用62,如应用621至应用62J。
除了可以包括AKA密钥管理器18并且可以执行应用62的处理器60外,用户终端13典型地包括多种其他功能,这些功能中的某些或全部也可由处理器60来实现。此外,图1B中的无线用户终端13包括收发机66,收发机66便于通过Uu接口与基站节点28进行上行链路和下行链路无线通信中的一个或两个。
因此,作为其多方面中的一个,该技术涉及与网络其他操作使用的实体。在示例实施例中,网络可以是电信网络或系统。在其所实现于的无论何种类型的网络或系统中,实体包括:主密钥存储器;应用特定的主密钥选择器;以及其他密钥发生器,被配置为用于使用应用特定的主密钥所选择的主密钥来导出其他密钥。如此处所使用的,实体可以是认证服务器(如位于利用归属环境中的归属网络实体/认证服务器(AuC)11)[或某些实质上等效的单元],或者从相应的归属网络实体/认证服务器(AuC)11接收认证矢量的无线用户终端13。
图2示出了代表性认证和密钥协商(AKA)过程的示例主要动作,用于为此处描述的其他技术方面提供上下文。图2中的代表性认证和密钥协商(AKA)过程的这些主要动作主要在图1B的电信网络10T的上下文中进行讨论。然而,应当理解,该技术不限于或电信网络而可应用于一般的网络。因此,图1B的电信上下文中的图2的代表性认证和密钥协商(AKA)过程的主要动作主要涉及标识模块58、SGSN/VLR和归属网络实体/认证服务器(AuC)11。认证和密钥协商由订户所连接至的特定VLR/SGSN管理。
VLR/SGSN负责认证和密钥协商。因此,VLR/SGSN通过向HLR发送“认证数据请求”来起始过程。图2的代表性认证和密钥协商(AKA)过程的动作2-1示出了VLR/SGSN,VLR/SGSN负责用户终端13向订户的归属位置寄存器36发送“认证数据请求(IMSI)”。如动作2-2,归属位置寄存器(HLR)36定位订户数据存储在其上的归属网络实体/认证服务器(AuC)11,并向该中心要求认证矢量的集合(AV1、AV2、…AVn)。
如果归属网络实体/认证服务器(AuC)11存储了订户的认证矢量,则其回复认证矢量中的一个或多个,或者其产生认证矢量。典型地,一次返回多个认证矢量(多达5个),但如果AuC上的当前负载较高,则其可能仅返回一个。当处理负载下降时将产生并将为了未来的查询而准备好更多的AV。因此,动作2-3反映了归属网络实体/认证服务器(AuC)11产生认证矢量的集合(AV1、AV2、…AVn);动作2-4描绘了归属网络实体/认证服务器(AuC)11向归属位置寄存器36发送认证矢量的集合(AV1、AV2、…AVn)。
动作2-5涉及归属位置寄存器(HLR)36以包括由归属网络实体/认证服务器(AuC)11产生的认证矢量集合(AV1、AV2、…AVn)在内的“认证数据响应(AV1、AV2、…AVn)”对动作2-1做出应答。
当接收到来自归属位置寄存器(HLR)36的“认证数据响应(AV1、AV2、…AVn)”时,如动作2-6,SGSN/VLR在其数据库中存储认证矢量的集合(AV1、AV2、…AVn),并选择认证矢量之一(典型地,第一个认证矢量)作为要使用的认证矢量AV(i)。如动作2-7,VLR/SGSN向标识模块58发送包括从所选的认证矢量获得的两个参数RAND(i)‖AUTN(i)在内的“用户认证请求”,通过无线接入网24(如通过基站节点28和向/通过用户终端13)发送这些值。
当接收到来自VLR/SGSN的“用户认证请求(RAND(i)‖AUTN(i))”时,用户终端13的标识模块58(在一个示例实现中,在UICC[通用集成电路卡]中)验证认证令牌,以对归属网络进行认证。这是通过间接地示出知道密钥来实现的。网络认证是一次消息流中双向认证的第一部分。接着,标识模块58产生要发送回到VLR/SGSN的响应。因此,图2的动作2-8示出标识模块5验证AUTN(i)并计算用户响应值RES(i)。接着,如动作2-9,标识模块58向VLR/SGSN发送回“用户认证响应(RES(i))”。
如动作2-10,SGSN/VLR将所接收的用户响应值RES(i)与其自身存储的XRES(i)进行比较,以对用户进行认证。如果RES(i)和所存储的XRES(i)相等,则网络已认证该订户。接着,VLR/SGSN从相同的AV(AV(i))得到密码和完整性密钥,并且如动作2-11向当前保持订户的RNC发送密码和完整性密钥。接着,使用这些密码和完整性密钥来对通信进行加密并对消息进行完整性检查。
如动作2-12,标识模块58使用所接收的RAND(i)‖AUTN(i)值来产生密码和完整性密钥CK和IK。此外,VLR/SGSN获取当前AV的CK和IK。
图3示出了AKA密钥发生器14的示例非限制实施例。AKA密钥发生器14包括:AKA主密钥发生器70;AKA密钥发生控制器72;SQN发生器74;随机数RAND发生器76;以及前述AuC其他密钥发生器17。AKA主密钥发生器70包括前述AuC主密钥存储器15和AuC应用特定的主密钥选择器16。
具体地,参照对包括传统的认证和密钥协商(AKA)在内的密码函数和算法的集合以及表1的描述来理解AuC其他密钥发生器17的结构和操作。图3示出了在AuC其他密钥发生器17中涉及这些函数中的5个函数:函数f1至f5。
表1
AKA函数及其输出
返回到图3的AKA密钥发生器14,SQN发生器74被连接以将其SQN值提供给AuC应用特定的主密钥选择器16和AuC其他密钥发生器17的函数f1。RAND发生器76被连接以将其随机数RAND提供给AuC应用特定的主密钥选择器16和包括AuC其他密钥发生器17在内的函数f1至f5中的每一个。f1还接收AMF参数。
当产生新认证矢量时,归属网络实体/认证服务器(AuC)11读取所存储的序列号SQNHE的值,然后产生新的SQN(SQNHE的后续整数)和随机质询RAND。与所存储的认证矢量、密钥管理字段和事先共享的密钥一起,准备好这四个输入参数以供使用。
函数使用这些输入并产生消息认证码、MAC-A、预期结果、X-RES、密码密钥(CK)、完整性密钥(IK)和匿名密钥(AK)的值。利用SQN⊕AK、AMF和MAC,可以生成认证令牌AUTN。AUTN包括这三个参数的级联(SQN⊕AK、AMF和MAC)。
图4示出了AKA密钥管理器18的示例非限制实施例,AKA密钥管理器18典型地位于标识模块58中(例如在示例实现中在通用集成电路卡中)。AKA密钥管理器18包括终端主密钥发生器80和前述终端其他密钥发生器21。AKA主密钥发生器80包括前述终端主密钥存储器19和终端应用特定的主密钥选择器20。终端其他密钥发生器21包括函数f1至f5以及XOR门83。
AKA密钥管理器18仅需要以下四个参数来产生其输出密钥:其事先共享的秘密密钥(K)以及其从归属网络实体/认证服务器(AuC)11经由RAND(i)‖AUTN(i)值接收的三个参数。当AKA密钥管理器18接收到(RAND‖AUTN)对时,AKA密钥管理器18通过对所接收的RAND和K应用函数f5来产生匿名密钥(AK)。通过将AK与来自认证令牌的(SQN⊕AK)进行异或,来获得序列号(SQNHE)。接着,将密钥K与所接收的AMF、SQN和RAND(i)参数一起使用,来产生预期消息认证码(XMAC-A)。接着,将其与MAC-A比较。如果X-MAC和MAC匹配,AKA密钥管理器18可以认证,起源自其归属环境(从而连接至可靠服务网络)中的消息(RAND‖AUTN对)和密钥产生函数可以继续。
图5示出了可以结合本技术的代表性AKA密钥产生过程执行的示例、基本动作或步骤。AKA密钥产生过程有利地用于,每当AKA针对任意应用运行时,选择新的(可能是唯一的)主密钥。为了在AKA密钥产生过程中引入这样的较高的安全性和较大的灵活性,向端用户分配(例如事先分配)N个Ki主密钥。这些密钥存在于用户设备(终端、USIM/ISIM卡或智能卡)上和用户的归属网络中专门的认证服务器中。例如,可以在标识模块58的主密钥存储器19中以及认证服务器11的AuC主密钥存储器15中存储N个主密钥。通过示例术语,分配给端用户的主密钥的范围是[Ki_1、Ki_2…、Ki_n]。如此处所解释的,可以根据这些主密钥中的任一个导出诸如Ck和Ik(在AKA中)等后续密钥。
图5的动作5-1描绘了AKA密钥产生过程的起始或初始。假定AKA密钥产生过程的起始与第一应用(例如应用621)的执行在无线终端13处一起发生。因此,直至并且包括动作5-6的图5的动作与第一应用621的认证(例如获得认证密钥)相关。这样的起始动作5-1可以包括例如图2的认证和密钥协商(AKA)过程的动作2-1至2-2。此外,在该点,假设已向无线终端13和用户终端的归属网络实体/认证服务器(AuC)11提供和/或由无线终端13和用户终端的归属网络实体/认证服务器(AuC)11存储了数量为N的多个主密钥构成的集合,例如分别向终端主密钥存储器19和AuC主密钥存储器15提供。
AKA密钥产生过程的动作5-2包括产生随机数RAND。随机数RAND由网络认证服务器(如归属网络实体/认证服务器(AuC)11)产生。在所示的示例实施例中,优选地,随机数RAND是由AKA密钥发生器14的RAND发生器76产生的。随机数RAND被应用于例如AuC应用特定的主密钥发生器16。
AKA密钥产生过程的动作5-3包括由AuC应用特定的主密钥发生器16计算模函数y=(RAND mod N)。该计算的结果(即,“y”的值)是针对第一应用621选择的数量为N的多个主密钥之一的排序和位置。根据模函数,用户的主密钥范围中的所选位置被计算为y=(RANDmod N)。因此,如动作5-4所描绘的,从[Ki_0、Ki_1…、Ki_N-1]中选择的密钥将位于位置y,即Ki_y。例如,如果模函数的评估y=(RANDmod N)导致值为3的y,那么将集合[Ki_0、Ki_1…、Ki_N-1]中的第四个主密钥选为用于第一应用621的主密钥。此处,针对第一应用621选择的第一主密钥被表示为第一主密钥Ki_y。
动作5-5包括:使用第一主密钥Ki_y来导出第一应用621的其他认证密钥,包括密码密钥(CK)和完整性密钥(IK)。这些其他密钥由AuC其他密钥发生器17以已知方式产生。
归属网络实体/认证服务器(AuC)11以例如之前参照图2的动作2-3描述的那样的方式产生认证矢量。这样的认证矢量(AV)被通信至SGSN/VLR,SGSN/VLR(如之前解释的)选择这些矢量之一用于第一应用,并接着以诸如动作2-7所描绘的那样的方式向标识模块58发送矢量参数RAND(i)‖AUTN(i)。因此,动作5-6涉及将所选择的认证矢量(AV)的参数(如RAND(i)‖AUTN(i))通信至标识模块58。
当接收到所选择的认证矢量(AV)的参数(如RAND(i)‖AUTN(i))时,无线终端13的标识模块58计算用于第一应用的第一主密钥,并使用第一主密钥来导出第一应用的其他密钥(例如CK和IK密钥)。图5的动作5-7描绘了标识模块58获得用于第一应用的第一主密钥以及其他密钥。标识模块58实际上以与归属网络实体/认证服务器(AuC)11相同的方式获得第一主密钥:计算模函数y=(RAND mod N)。用于模函数计算的RAND值是从所选择的认证矢量(AV)获得的,并且多个主密钥的集合[Ki_0、Ki_1…、Ki_N-1]存储在终端主密钥存储器19中。因此,如动作5-7,标识模块58可以执行实质上与动作5-3和动作5-4相同的动作,以获得用于第一应用的第一主密钥,然后可以执行与动作5-5可比的动作,以获得第一应用的其他密钥。
AKA密钥产生过程可以在此处停止。但考虑到可能并且典型地存在运行在用户终端上并且利用认证和密钥协商(AKA)的多于一个的应用,用户终端和网络避免重用当前所选择的主密钥可能是有利的。虽然不是对于任意实施例强制的,针对每个应用使用唯一主密钥的可选优势有许多,包括(例如):
(a)一个应用或域或会话中使用的导出密钥不受在不同应用/域中有相同用户终端或用户使用的被盗密钥的影响。例如,如果未授权方获得了用户终端针对IMS应用正在使用的Ck和Ik,原则上,这不应破坏有相同用户终端针对GSM或UMTS电路交换呼叫使用的导出的其他密钥(如密钥Ck’和Ik’)。
(b)由于每个后续激活的应用或域将使用根据在任意时刻仅仅由一个应用或域正在使用的特定Ki_y导出的其新密钥,减少了可能的认证矢量同步或序列化问题。当前,这样的认证矢量同步或序列化问题可能发生。
根据前述内容,应当理解的是,此处所述的技术包含确定每一应用或域或会话的主密钥。换言之,如此处所使用的,确定用于第一应用的第一主密钥然后确定用于另一应用的另一主密钥意在涵盖,确定用于第一域的第一主密钥然后确定用于另一域的另一主密钥的实质上相同的过程。例如,如果在第一域和第二域中执行相同的应用,针对第一域确定第一主密钥,并针对第二域确定第二(优选不同的)主密钥。此外,如此处所使用的,确定用于另一应用的另一主密钥包含针对与第一应用相同的应用的不同会话确定另一主密钥。因此,每当此处提到另一或下一应用时,都意在还涵盖针对在另一域中执行相同或另一应用、针对在相同或另一域中执行相同应用的另一会话确定密钥。因此,鉴于多于一个的应用在或将在用户终端上运行并利用认证和密钥协商(AKA)的可能性,如动作5-8,AKA密钥产生过程检查是否在无线终端13处指定的另一应用也需要认证。如果不需要,AKA密钥产生过程周期性的进行监控,或者可以在对另一应用的认证有必要时进行提示。如果另一应用确实需要授权,在对不同应用的认证过程中可以需要选择不同的主密钥,如动作5-9所描绘的那样。
动作5-9的执行(选择用于其他应用的其他主密钥)可以采用多种方式。图5A、图5B和图5C中的每一幅表示或对应于用于执行动作5-9(例如选择用于其他应用的其他主密钥)的可选实施例或模式。
图5A示出了可由AKA密钥发生器14根据另一示例实施例结合图5的动作5-9的执行或实现执行的示例步骤或子动作,以获得用于下一应用的主密钥和其他密钥。如子动作5-9A-1,将被选择为用于第一应用的主密钥的密钥(即Ki_y)标记为正在使用(从而无法被其他应用/域所使用)。接着,如子动作5-9A-2,AuC应用特定的主密钥选择器16选择集合中的下一密钥,用作用于下一应用的下一主密钥。例如,如果根据图5中的动作5-3至动作5-6,第一主密钥Ki_y占据主密钥集合[Ki_0、Ki_1…、Ki_N-1]中的第y个位置,作为一示例实现,用于第二应用的第二主密钥可以占据集合[Ki_0、Ki_1…、Ki_N-1]中的第(y+1)个位置。在这样的实现中,下一主密钥将是密钥Ki_y+1。反之,在该示例实现中确定下一位置是简单地递增位置号或顺序,也可以使用任何其他预定的选择逻辑。此外,由于可以针对第二、第三甚至其他应用执行图5A的动作,因此就动作涉及“下一”应用的意义而言,下一位置将一般地指位置y’,与位置y’相对应的所选择的下一主密钥将被称为主密钥Ki_y’。
因此,如以上所解释的,子动作5-9A-2涉及使用预定义规则(例如递增先前选择的密钥的位置顺序或对其进行其他数学操作)从集合中选择下一主密钥。本实施例不限于任何特定的预定规则。在递增实现中,下一主密钥通称为密钥Ki_y’。
图5A的例程的子动作5-9A-3涉及使用下一主密钥Ki_y’来导出下一应用的其他密钥。这样的其他密钥(如CK和IK密钥)是由AuC其他密钥发生器17以先前解释的方式导出的。在认证和密钥协商(AKA)过程的过程中,如子动作5-9A-4所指示的,向用户终端13的标识模块58发送SGSN所选择的认证矢量(AV)的AUTN和RAND值。然而,用户终端13无需使用认证矢量信息来选择用于下一应用的主密钥。相反,如子动作5-9A-5所指示的,用户终端13的用户终端应用特定的主密钥选择器20应用预定规则作为标准,选择集合[Ki_0、Ki_1…、Ki_N-1]中适当排序的密钥。因此,已知先前主密钥在集合中具有位置y,并且已知示例实现的预定规则是递增位置顺序,如子动作5-9A-5,用户终端应用特定的主密钥选择器20选择y+1位置的密钥,如密钥Ki_y+1用于第二应用(通称为密钥Ki_y’)。此外,如子动作5-9A-5的一部分,用户终端13的终端其他密钥发生器21使用刚确定的主密钥Ki_y’来导出下一应用所使用的其他密钥。其他密钥的导出可以利用子动作5-9A-4接收的认证矢量中包括的信息。
如子动作5-9A-6,AKA密钥产生过程标记所使用的刚分配的主密钥,使得由该最近的对图5A例程的执行所分配的主密钥对于其他应用或域是不可用的。接着,如子动作5-9A-7,AKA密钥产生过程查看在无线终端13处执行的另一应用是否需要认证。如果不需要,AKA密钥产生过程周期性的进行监控,或者可以在对另一应用的认证有必要时进行提示。如果另一应用确实授权,针对另一应用重复图5A的密钥选择例程。
图5B示出了可由AKA密钥发生器14根据另一示例实施例并结合图5的动作5-9的执行或实现执行的示例步骤或子动作,以获得用于下一应用的主密钥和其他密钥。如可选子动作5-9B-1,将被选择为用于第一应用的主密钥的密钥(即Ki_y)标记为正在使用(从而无法被其他应用/域所使用)。接着,如子动作5-9B-2,AuC应用特定的主密钥选择器16通过减小先前值N来计算新值N’,即N’=N-1。将回顾到N是存在于存储在AuC主密钥存储器15和用户终端主密钥存储器19处的主密钥集合[Ki_0、Ki_1…、Ki_N-1]中的主密钥的数量。如可选子动作5-9B-3,如果期望,AKA密钥产生过程可以产生新的RAND值。然而,另外的主密钥产生的该第二实施例的区别方面在于,如子动作5-9B-4中描绘的计算新的位置值y’。特别地,如子动作5-9B-4,AKA密钥产生过程将下一应用的新位置值y’计算为y’=RAND模N’。鉴于N’的值此时不同于先前使用的值N,计算y’的模算子是不同的,因此如子动作5-9B-4计算出新的位置顺序y’。因此,采用以如子动作5-9B-4计算出的新位置顺序y’,如子动作5-9B-5选择新密钥密钥Ki_y’用于下一应用。可选地,可以使用被编码为与每个RAND相关的每个AUTN值的SQN序列号来实现类似的方法。例如,如果与SQN=S相关的初始主密钥为Ki_y,那么与SQN=S’一起使用的主密钥将是Ki_y’,其中y’=(y+S’-S)mod N等。
图5B的例程的其余子动作与先前描述的动作实质上类似。例如,如子动作5-9B-6,AKA密钥产生过程使用下一主密钥Ki_y’导出下一应用的其他认证密钥,包括密码密钥(CK)和完整性密钥(IK)。这些其他密钥是由AuC其他密钥发生器17以公知方式产生的。子动作5-9B-7涉及计算用于对用户终端13的下一应用的认证矢量AV,该计算实质上以先前描述(并且例如参照图2的动作2-4至2-7理解)的方式实现。
当接收到所选择的认证矢量(AV)的参数(例如RAND(i)‖AUTN(i))时,如子动作5-9B-8,无线终端13的标识模块58计算用于下一应用的下一主密钥,并使用下一主密钥来导出下一应用的其他密钥(如CK和IK密钥)。标识模块58以与归属网络实体/认证服务器(AuC)11相同的方式获得下一主密钥:计算模函数y’=(RAND mod N’)。在一示例实现中,用于模函数计算的RAND值是从所选择的认证矢量(AV)获得的。在另一模式下,可以通过协调或预定协商,重用先前使用的RAND值。因此,如子动作5-9B-8,标识模块58可以执行实质上与子动作5-9B-4和子动作5-9B-5相同的动作,以获得用于下一应用的下一主密钥,然后可以执行与子动作5-9B-6可比的动作,以获得下一应用的其他密钥。
如子动作5-9B-9,AKA密钥产生过程具有标记所使用的刚分配的主密钥的选项,使得由该最近的对图5B例程的执行所分配的主密钥对于其他应用或域是不可用的。接着,如子动作5-9B-10,AKA密钥产生过程查看在无线终端13处执行的另一应用是否需要认证。如果不需要,AKA密钥产生过程周期性的进行监控,或者可以在对另一应用的认证有必要时进行提示。如果另一应用确实授权,针对另一应用重复图5B的密钥选择例程。
因此,图5B的例程实质上涉及重复图5的例程,但用户终端13和归属网络实体/认证服务器(AuC)11都产生新RAND值(RAND’)。如果所选择的位置y’产生了被标记为不可用的主密钥,则需要重复该处理,直到返回非标记主密钥。每次重复需要在归属网络实体/认证服务器(AuC)11中产生的新的RAND值(RAND’)。
图5C示出了可由AKA密钥发生器14根据另一示例实施例并结合图5的动作5-9的执行或实现而执行的示例步骤或子动作,以获得用于下一应用的主密钥和其他密钥。如子动作5-9C-1,将被选择为用于第一应用的主密钥的密钥(即Ki_y)标记或加标签为正在使用(从而无法被其他应用/域所使用)。接着,如子动作5-9C-2,AKA密钥产生过程提示AKA密钥发生器14的RAND发生器76产生不同于第一应用的RAND’值的新的RAND’值(即用于下一应用的RAND’值)。接着,如子动作5-9C-3,AuC应用特定的主密钥选择器16计算用于下一应用的新的位置值y’,作为y’=RAND’模N。如子动作5-9C-3,计算新的位置顺序y’。如子动作5-9C-4,AKA密钥产生过程检查子动作5-9C-3所计算的新的位置顺序y’是否与集合中先前或其他标记的密钥值相同,例如是否y’=y或y与任何先前使用并标记的主密钥的任何位置顺序相同。如果子动作5-9C-4的检查是肯定的,例如如果新位置顺序y’先前已被使用,执行返回子动作5-9C-2,以产生用于下一应用的另一RAND’值。如果子动作5-9C-4的检查是否定的,图5C例程的执行继续子动作5-9C-5,子动作5-9C-5包括使用新的位置顺序y’来选择用于下一应用的新密钥Ki_y’。
图5C的例程的其余子动作与先前描述的动作实质上类似。例如,如子动作5-9C-6,AKA密钥产生过程使用下一主密钥Ki_y’导出下一应用的其他认证密钥,包括密码密钥(CK)和完整性密钥(IK)。这些其他密钥是由AuC其他密钥发生器17以公知方式产生的。子动作5-9C-7涉及计算用于对用户终端13的下一应用的认证矢量AV,该计算实质上以先前描述(并且例如参照图2的动作2-4至2-7理解)的方式实现。
当接收到所选择的认证矢量(AV)的参数(例如RAND(i)‖AUTN(i))时,如子动作5-9C-8,无线终端13的标识模块58计算用于下一应用的下一主密钥,并使用下一主密钥来导出下一应用的其他密钥(如CK和IK密钥)。标识模块58以与归属网络实体/认证服务器(AuC)11相同的方式获得下一主密钥:计算模函数y’=(RAND’mod N)。因此,如子动作5-9C-8,标识模块58可以执行与子动作5-9C-3和子动作5-9C-5实质相同的动作,以获得用于下一应用的下一主密钥,然后可以执行与子动作5-9C-6可比的动作,以获得下一应用的其他密钥。
如子动作5-9C-9,图5C例程的AKA密钥产生过程标记所使用的刚分配的主密钥,使得通过该最近的对图5C例程的执行而分配的主密钥对于其他应用或域是不可用的。接着,如子动作5-9C-10,AKA密钥产生过程查看在无线终端13处执行的另一应用是否需要认证。果不需要,AKA密钥产生过程周期性的进行监控,或者可以在对另一应用的认证有必要时进行提示。如果另一应用确实需要授权,则针对另一应用重复图5C的密钥选择例程。
因此,图5C的例程实质上涉及重复图5C的例程,但将已标记的主密钥从主密钥的列表或集合中临时移除,使得无法再次对其进行选择。因此,可用主密钥的数量现在是N-1=N’。根据模运算,从该范围中选择的位置被计算为y’=(RAND mod N-1)=(RAND mod N’)。此外,还推荐(但不是需要),针对图5C的例程,产生新的RAND值。
在前述示例实施例中,涉及对正在使用的主密钥或密钥位置值进行标记,这样的标记在归属网络实体/认证服务器(AuC)11(例如由AKA密钥发生器14)和用户终端13(由AKA密钥管理器18)处执行。
如果未经授权的第三方(例如攻击者)篡改针对对特定访问或应用的认证而选择的秘密密钥信息,当试图重用不同访问/应用的密钥或者相同访问/应用但不同会话中的密钥时攻击者将无法成功。相反,攻击者将使用不正确的密钥。如果攻击者尝试使用不正确的密钥,则可以发生两件事中的一件:(1)如果被盗密钥已处于“使用中”,认证者将拒绝不正确地提供的认证数据;(2)如果密钥仍未使用,用户终端13中的响应/密钥将无法同在网络侧保持的值匹配(如在归属网络实体/认证服务器(AuC)11处),使得此时响应无法被攻击者使用,并且认证将会失败。
当认证由于用户正在试图基于不同密钥进行访问而失败时,必须考虑一种重要情况。可以提供后处理机制来检查用户终端13已利用网络提供的RAND值和与所要求的密钥不同的已知密钥(Ki)导出的RES。如果是这种情况,运营商可以采取强力措施来强化安全信息。这样的后处理可以在认证者节点内部,或着可以被委托给不同的实体。还可以向集中式实体包括通知机制,使得运营商采取特定动作(如产生警报、删除订阅等)。因此,当UMTS AKA已经具有相互认证,本技术的特征可以被看作对该属性的强化。
在另一示例实施例中,随机选择N个主密钥之一作为第一主密钥包括多种因素。多种因素可以包括:(1)用户终端和用户终端的归属网络实体都知道的随机数(如上述随机值RAND等);以及(2)第二因素。在不同实现中,第二因素可以是以下一个或多个:(1)用户终端类型/标识;(2)接入网类型;(3)用户终端位置;(4)正在认证的应用的上下文信息。
图6与图7一起示出了如何修改图5的示例动作以服务于利用多种因素来选择主密钥的实施例。具体而言,在多因素实施例中,可以在总体与图5的动作5-1和5-2相对应的动作之间插入附加动作6-1和6-2。如动作6-1,确定第二因素值。如动作6-2,根据在动作6-1处确定的第二因素值,来选择主密钥集合中适当的一个主密钥。
例如,假设主密钥选择的第二因素是接入网类型。还假设存在K个第二因素值,例如对于特定用户终端13有K个接入网类型可用。因此,如图7中所示,根据多因素实施例的示例实现,对于用户终端13,可以存储(在AuC主密钥存储器15和终端主密钥存储器19中)K个可能的主密钥集合,如设置S1至SK。每个主密钥集合Si具有Nk个可能的主密钥,并且每一主密钥集合Si与K个接入网类型之一相关。如果例如用户终端13通过其寻求认证的接入网类型是第一接入网类型(具有第二因素值1),如图7的箭头7-1所指示的,通过动作6-1来选择主密钥集合S1。另一方面,如果通过其寻求认证的接入网类型是第二接入网类型(从而具有第二因素值2),(如图7的箭头7-2所指示的),使用主密钥集合S2,以此类推,直到编号为K的接入网类型。无论基于第二因素值选择了何种集合S,在该示例实现中,可以按与之前相同的方式利用集合S,例如使用随机产生的值和模Nk,来确定所选集合中的位置值yK,然后使用该位置值从集合确定主密钥值。
图6的动作5-3’涉及计算模函数y=(RAND mod NK)以用于所选择的集合,其中,元素或密钥的数量在集合之间可能改变,从而被表示为NK。计算结果(即“y”值)是针对第一应用621从所选择的集合S中选择的数量为NK的多个主密钥之一的排序或位置。因此,如动作5-4’所描绘的,从所选择的集合中选择的密钥将位于第y个位置Ki_y。图5的其他动作可以遵循图6所示的动作。
如上所述,第二因素可以是以下一个或多个:(1)用户终端类型/标识;(2)接入网类型;(3)用户终端位置;(4)正在认证的应用的上下文信息。关于接入网类型,应当注意的是,例如WLAN具有与适合3G等的范围不同的Ki:s的范围。关于用户终端位置,应当注意的是,特定密钥(Ki:s)仅被允许在特定国家或特定VPLMN中使用。应用的上下文信息的示例包括:例如应用或应用提供商的名称/ID、应用会话ID、应用中的用户帐号ID等。多因素选择实施例的其他实现也是可能的。
涉及使用多因素的主密钥选择的实施例可以具有完全“隔离”密钥的效果和/或优势。例如,即使“瑞典”密钥被盗,“西班牙”密钥也不会受影响等。此外,在例如接入特定的密钥的情况下,并且仅当用户订阅被更新为包括WLAN接入时,WLAN密钥才在HSS中被标记为“启用”。一般地,UICC可以事先安装“稍后激活的”密钥。例如,在军事应用中,可以事先安装用于外国紧急任务的密钥,当向正在执行任务的军队发送时,缩短配置时间。
作为另一实施例,处理具有N个不同的密钥Ki,可以可选地或附加地具有用于每个Ki的f算法的不同集合。图8示出了适于f函数的多个集合的实施例的示例归属网络实体/认证服务器(AuC)11(8);图9示出了适于f函数的多个集合的实施例的实施例的示例标识模块58(如UICC(通用集成电路卡))。
AKA密钥发生器14(8)的图8实施例包括AuC其他密钥发生器17(8),AuC其他密钥发生器17(8)针对AuC应用特定的主密钥选择器16所选择的每个可能的主密钥值Ki_y,具有密钥函数的不同集合或聚集(例如密钥函数f1-f5)。例如,如果AuC应用特定的主密钥选择器16选择主密钥Ki_1,采用其他函数集合901来导出其他密钥函数,如CK密钥和IK密钥。图8一般化地示出了针对主密钥Ki_y采用的用于导出其他密钥函数的其他函数集合90y。通过内部f函数路由器92,向所使用的其他函数集合90提供必要的输入信息(如RAND和AMF参数),所述路由器92基于y的值将必要信息路由至所采用的其他函数集合90。
类似地,AKA密钥管理器18(8)的图9实施例包括终端其他密钥发生器21(9),终端其他密钥发生器21(9)针对终端应用特定的主密钥选择器20所选择的每个可能的主密钥值Ki_y具有密钥函数的不同集合或聚集(例如密钥函数f1-f5)。
例如,如果终端应用特定的主密钥选择器20选择主密钥Ki_1,采用其他函数集合941来导出其他密钥函数,如CK密钥和IK密钥。图9一般化地示出了针对主密钥Ki_y采用的用于导出其他密钥函数的其他函数集合90y。通过内部f函数路由器96,向所使用的其他函数集合94提供必要的输入信息(如MAC、SQN异或AK、和AMF参数),路由器96基于y的值将必要信息路由至所采用的其他函数集合90。
在现有技术中,有可能如果由于弱f算法的缘故一个密钥(Ki)“泄露”或被盗,通过相同f算法集合获得的其他密钥Kj也被盗。具有f函数的多个集合的密钥选择器的实施例有利地克服了该现有技术缺陷,这是由于每个主密钥Ki_j具有其相应的、通过其导出特定AKA密钥的“f函数”算法实体。为了向“f函数”实体提供所产生的SQN、RAND以及AMF,将模函数y=(RAND mod N)的结果提供为函数(例如图8中的内部f函数路由器和图9中的内部f函数路由器96)的输入,该函数简单地将之前的函数分发(或路由、提供等)给与Ki_y相对应的正确的f函数实体。最终,Ki_y还被提供给算法的相应f集合。可选地,也可以将主密钥Ki_y而不是“y”发送至分发函数,用于选择正确的f集合算法的准则。作为该实施例的用途的另一示例,不同国家对于加密的使用可以具有不同的限制。在这样的情况下,当选择f函数的集合时,可以将诸如用户的“位置”(例如“国家”)等其他因素用作一个因素。
在具有图10所示的示例动作或步骤的再一示例实施例中,当之前的第一主密钥过期时,用于第一应用的新的第一主密钥。动作10-1表示AKA密钥产生过程产生用于特定应用的主密钥,优选地,应用特定的主密钥。可以根据此处描述的其他实施例来执行动作10-1。动作10-2包括使用f函数来导出其他密钥,如CK密钥和IK密钥(这样的其他密钥的导出还可以通过此处提供的对实施例的其他讨论加以理解)。动作10-3涉及查看现有主密钥是否过期。动作10-3的检查可由例如AKA密钥发生控制器72来执行。如果在动作10-3处确定现有主密钥未过期,动作10-4表示继续使用现有密钥。然而,如果在动作10-3处确定现有主密钥已经过期,如动作10-5所描述的针对应用选择新的主密钥。此后,如动作10-6,基于新的主密钥导出其他密钥。使用新密钥,直到通过重复动作10-4确定这些密钥已经过期。
图10所表示的密钥更新实施例的示例实现,现有主密钥的持续时间可以表示为序列值(SQN),在序列值后认证矢量不再有效。当达到所分配的过期序列值时,执行新的认证过程,以选择用于正在进行的应用的新的第一主密钥。
因此,为了避免在长时段内使用相同的所选择的主密钥,图10所表示的密钥更新实施例引入了动态地重新选择要在AKA过程中使用的新的主密钥,并且将接着用于导出其余密钥。
在示例实现中,可以预定于给定的序列值SQN,在该序列值后认证矢量不再有效。换言之,一旦达到具有序列值SQN的认证矢量,则执行完整的AKA认证过程,包括新主密钥选择。为了避免重新选择当前处于使用中的主密钥Ki_y,将该密钥保持标记,例如标记为至少对于新执行AKA不可用。
因此,如果存在特定Ki被泄露或被盗的嫌疑,例如HLR/AUC、HSS、AAA等形式的网络认证服务器(归属网络实体/认证服务器(AuC)11优选地应当将该密钥标记为“被盗”,并不再选择该密钥。这可以通过重复重放攻击来推断,重复重放攻击可以是对给定主密钥Ki已经被盗的指示。
可能出现应针对涉及特定用户终端13的应用选择新的主密钥的情形。这样的情形的示例实施例已在以上参照图10和特定密钥更新特征进行了讨论。这样的实施例的变体,其中,新的第一主密钥的选择至少部分依赖于用户状态信息。换言之,除了先前描述的包括允许端用户具有多个主密钥并随机选择要用作AKA算法的输入的AKA密钥产生过程,如果除了现有参数,还将用户状态信息用作AKA算法的重复的输入,可以提供安全性。在示例实现中,用户状态信息包括以下至少一个:(1)时间戳;(2)网络标识符;以及(3)用户位置。更具体地,仅仅用户设备和网络知道的用户状态信息(USI)的示例为:
·请求认证的时刻的时间戳(假设用户终端和网络具有协调好的网络定时协议)。
·用户正在通过(或向)其注册的网络ID,如诸如归属或访问网络ID、I-WLAN SSID。
·触发认证的时刻的用户位置。这可以具有GSM/UMTS位置区或路由器区、WLAN/Wimax覆盖区、基站ID等形式。
·将处理分为两个步骤。第一步骤输入RAND,以计算(仅仅)SQN和MAC。如果这些值是“正常的”,在第二步骤中,将SQN与RAND一起输入,以产生密钥。(这给出了重放保护的“额外的”自由度:即使MAC验证是错误的,也将使用新SQN来导出新密钥。)
在GSM/UMTS AKA或EAP-AKA运行时包括先前信息的任意组合可以有利地倾向于提高在网络中使用的任何导出的密钥的安全性,从而提高任何主密钥的安全性(降低其被危及的风险)。
图11示出了在另一示例实施例中涉及的所选择的、代表性、非限制性动作或步骤。在图11的示例实施例中,AKA主密钥发生器70和终端主密钥发生器80已经存储了或预定义了超密钥。超密钥可以存储在存储器,如归属网络实体/认证服务器(AuC)11的AuC主密钥存储器15和标识模块58的终端主密钥存储器19中。当接收到指示或提示或辨识出需要执行主密钥替代操作时(如可能在怀疑不应使用主密钥之一时发生),执行图11的动作。动作11-1包括:在AKA密钥发生器14处随机产生替代主密钥。如根据其他实施例所理解的,动作11-2包括由替代主密钥导出CK密钥和IK密钥。动作11-3包括使用超密钥对替代主密钥进行加密。如以上所指示的,超密钥对用户终端和归属网络实体11是已知的(优选地预先知道的)。动作11-2包括从归属网络实体11向用户终端13发送经加密的替代主密钥。在用户终端13的标识模块58处执行的动作11-5包括用超密钥对所接收的经加密的替代密钥进行解密,以获得替代主密钥,从而用替代主密钥替代主密钥中的可疑主密钥。动作11-6包括由此时用户终端13的标识模块58已知的替代主密钥,导出CK密钥和IK密钥。
除了图11所示的动作外,替代密钥操作可以并且优选地包括附加动作。这样的动作可以包括例如将任何可疑或问题密钥标记为“被盗”;标识模块58验证从归属网络实体/认证服务器(AuC)11接收的替代密钥是真实的,并且用新的Ki’值对Ki值进行“改编”;标识模块58向归属网络实体/认证服务器(AuC)11发送经认证的确认;以及(此后)归属网络实体/认证服务器(AuC)11对密钥Ki“去除标记”,使得其不再被认为是被盗的。采用这种方式,在执行密钥替代操作后,可以再次使用密钥Ki。
而在大多数情况下,第一主密钥的选择是随机的,由于第一密钥可能被标记为已用,对用于另一应用的下一密钥的选择不是严格随机的,从而第二密钥选择虽然可能在剩余集合中是随机的(例如伪随机),但对于密钥的整个集合而言不是随机的。在极端情况下,仅仅一个密钥可能保留为下一应用的候选密钥。在其他情况下,可以部分依赖与诸如用户状态(如位置)等其他信息来做出选择,用户状态不是随机因素。
将意识到,此处描述的示例实施例的一个或多个可以包括多种修饰和附加特征。例如,对于此处描述的一个或多个实施例,完全有可能针对Ki密钥具有不同的长度。此外,作为示例,如果期望,密钥可以是非对称PKI密钥。此外,如上所述,将单独、指定的密钥用户签名和认证,以减小威胁。至少在密钥足够从而具有较短寿命的情况下,上述机制提供了实现相同目的而不从一开始对密钥打耳标的方式。选择密钥的上述方式“模N(密钥数量)”当然也是可能的。
因此,在至少某些示例实施例和模式下,技术包含以下一个或多个:
·向端用户和网络提供主密钥(Ki)的范围,以确保需要AKA作为认证过程的不同应用不使用相同的Ki来导出其他密钥。换言之,用户将已分配[Ki_1、Ki_2…、Ki_n]而不仅仅具有一个Ki。
·提供从被分配给用户的主密钥范围[Ki_1、Ki_2…、Ki_n]中随机选择在用户终端上和网络中的、当执行AKA时由其导出其他密钥的Ki主密钥的机制。
·提供将所选择的主密钥标记为处于“使用中”从而对利用AKA的其他AKA过程不可用的机制。必要从在所分配的范围中可用的主密钥中选择不同的Ki_j。
·允许网络和用户终端动态地从[Ki_1、Ki_2…、Ki_n]中的可用密钥中选择新的主密钥,由所述新的主密钥基于某些常见算法和准则导出新密钥。
·允许基于密钥的其他认证机制(如PKI),以同样利用之前描述的过程。
·通过将密钥使用“捆绑”至特定上下文来允许其他扩展。
虽然以上描述包括许多特异性,但这些不应被理解为对本发明范围的限制,相反经理解为提供本发明的某些当前优选实施例的说明。因此,将理解的是,本发明的范围完全涵盖对于所属领域技术人员可能是显而易见的其他实施例,并且本发明的范围相应地不受限制。除非明确说明,此处以单数形式对元件的引用并非意在指“仅仅唯一”,而是指“一个或多个”。所属领域技术人员所知的与上述优选实施例的元件等效的所有结构和功能等效以引用方式明确并入此处,并且意在以此涵盖。此外,为了以此涵盖,设备或方法不必解决本发明所要解决的每个问题。此外,本公开的元件、组件或方法步骤并非意在用作公用。
Claims (34)
1.一种认证方法,其特征在于:
向用户终端(13)和用户终端(13)的归属网络实体(11)提供数量为N的多个主密钥构成的集合;
每次当执行针对第一应用的认证密钥协商(AKA)事务时,随机选择N个主密钥之一,作为在用户终端(13)和归属网络实体(11)处使用以导出第一应用的其他密钥的第一主密钥;以及
每次当执行针对另一应用的认证密钥协商(AKA)事务时,随机选择N个主密钥中的第二主密钥,作为在用户终端(13)和归属网络实体(11)处使用以导出所述另一应用的其他密钥的主密钥。
2.根据权利要求1所述的方法,其中,随机选择N个主密钥之一作为第一主密钥包括:随机选择所述集合中的密钥y,其中y=(RAND mod N),其中RAND是用户终端(13)和用户终端(13)的归属网络实体(11)都知道的随机数。
3.根据权利要求1所述的方法,其中,随机选择N个主密钥中的第二主密钥包括:确保第二主密钥不同于被选为第一主密钥的密钥。
4.根据权利要求3所述的方法,其中,随机选择N个主密钥中的第二主密钥作为用于所述另一应用的主密钥包括:以循环的顺序使用下一个主密钥。
5.根据权利要求3所述的方法,还包括:通过选择所述集合中的密钥y’,选择N个主密钥中的第二主密钥作为用于所述另一应用的主密钥,其中y’=(RAND’mod N),其中RAND’是用户终端(13)和用户终端(13)的归属网络实体(11)都知道的随机数,但y’不对应于第一主密钥,并且RAND’不用于获得第一主密钥。
6.根据权利要求3所述的方法,还包括:通过选择经修正的集合中的密钥y’,选择N个主密钥中的第二主密钥作为用于所述另一应用的主密钥,所述经修正的集合包括N-1个主密钥,主密钥的所述经修正的集合不包括针对第一应用选择的第一主密钥。
7.根据权利要求6所述的方法,其中,y’=(RAND’mod N-1),其中RAND’是用户终端(13)和用户终端(13)的归属网络实体(11)都知道的随机数。
8.根据权利要求7所述的方法,其中,RAND’不用于获得第一主密钥。
9.根据权利要求1所述的方法,其中,所述用户终端(13)是无线用户终端,并且所述方法还包括:
通过无线接入网向无线用户终端(13)提供所选择的认证矢量值;
所述无线用户终端(13)使用所选择的认证矢量值来获得供第一应用使用的第一主密钥和其他密钥。
10.根据权利要求1所述的方法,其中,随机选择N个主密钥之一作为第一主密钥包括多种因素,所述多种因素包括:(1)用户终端(13)和用户终端(13)的归属网络实体(11)都知道的随机数;以及(2)第二因素。
11.根据权利要求10所述的方法,其中,所述第二因素是以下各项之一:(1)用户终端(13)类型/标识;(2)接入网类型;(3)用户终端(13)位置;(4)第一应用的上下文信息。
12.根据权利要求1所述的方法,还包括:
使用算法的第一集合来导出第一应用的其他密钥;以及
使用与所述第一集合不同的、算法的第二集合来导出第二应用的其他密钥。
13.根据权利要求1所述的方法,还包括:当第一主密钥过期时,选择用于第一应用的新的第一主密钥。
14.根据权利要求13所述的方法,还包括:
当第一主密钥的持续时间过期时,选择新的第一主密钥;
将所述持续时间表示为序列值,在该序列值之后认证矢量不再有效;以及
当达到该序列值时,执行新的认证过程,以选择用于第一应用的新的第一主密钥。
15.根据权利要求13所述的方法,还包括:至少部分地基于用户状态信息来选择新的第一主密钥。
16.根据权利要求15所述的方法,其中,所述用户状态信息包括以下至少一项:(1)时间戳;(2)网络标识符;以及(3)用户位置。
17.根据权利要求1所述的方法,其中,当不应当使用主密钥中的一个可疑主密钥时:
随机产生替代主密钥;
利用用户终端(13)和归属网络实体(11)都知道的超密钥来对所述替代主密钥进行加密;
从归属网络实体(11)向用户终端(13)发送经加密的替代主密钥;
在用户终端(13)处,以所述替代主密钥替代主密钥中的可疑主密钥。
18.一种认证实体,包括:
其他密钥发生器(17、21);
所述认证实体的特征在于还包括主密钥存储器(15、19)和应用特定的主密钥选择器(16、20),
所述主密钥存储器(15、19)被配置为针对无线用户终端(13)存储数量为N的多个主密钥构成的集合;
所述应用特定的主密钥选择器(16、20)被配置为:每次当由用户终端(13)执行针对第一应用的认证密钥协商(AKA)事务时,随机选择N个主密钥中的第一主密钥,作为由用户终端(13)和归属网络实体(11)使用以导出第一应用的其他密钥的主密钥,并且每次当由用户终端(13)执行针对另一应用的认证密钥协商(AKA)事务时,随机选择N个主密钥中的第二主密钥,作为由用户终端(13)和归属网络实体(11)使用以导出所述另一应用的其他密钥的主密钥;
其中,所述其他密钥发生器(17、21)被配置为:使用应用特定的主密钥选择器(16、20)所选择的主密钥来导出其他密钥。
19.根据权利要求18所述的认证实体,其中,所述认证实体被配置为:通过无线接入网(24)与无线用户终端(13)通信。
20.根据权利要求18所述的认证实体,其中,所述认证实体是位于电信系统(10T)的归属环境(34)中的认证服务器(11)。
21.根据权利要求18所述的认证实体,其中,所述认证实体是包括收发机(66)的用户终端(13),所述收发机(66)被配置为从电信系统(10T)的认证服务器(11)接收认证矢量的值。
22.根据权利要求18所述的认证实体,其中,所述主密钥选择器(16、20)被配置为随机选择N个主密钥之一作为第一主密钥,包括:选择所述集合中的密钥y,其中y=(RAND mod N),其中RAND是用户终端(13)和用户终端(13)的归属网络实体(11)都知道的随机数。
23.根据权利要求18所述的认证实体,其中,所述主密钥选择器(16、20)被配置为:通过以循环的顺序使用下一个主密钥,选择N个主密钥中的第二主密钥作为用于所述另一应用的主密钥。
24.根据权利要求18所述的认证实体,其中,所述主密钥选择器(16、20)被配置为:通过选择所述集合中的密钥y’,选择N个主密钥中的第二主密钥作为用于所述另一应用的主密钥,其中y’=(RAND’mod N),其中RAND’是用户终端(13)和用户终端(13)的归属网络实体(11)都知道的随机数,但y’不对应于第一主密钥,并且RAND’不用于获得第一主密钥。
25.根据权利要求18所述的认证实体,其中,所述主密钥选择器(16、20)被配置为:通过选择经修正的集合中的密钥y’,选择N个主密钥中的另一主密钥作为用于所述另一应用的主密钥,所述经修正的集合包括N-1个主密钥,主密钥的所述经修正的集合不包括针对第一应用选择的第一主密钥,并且其中y’=(RAND’mod N-1),其中RAND’是用户终端(13)和用户终端(13)的归属网络实体(11)都知道的随机数。
26.根据权利要求18所述的认证实体,其中,所述主密钥选择器(16、20)被配置为:使用多种因素来随机选择N个主密钥之一作为第一主密钥,所述多种因素包括:(1)用户终端(13)和用户终端(13)的归属网络实体(11)都知道的随机数;以及(2)第二因素。
27.根据权利要求26所述的认证实体,其中,所述第二因素是以下各项之一:(1)用户终端(13)类型/标识;(2)接入网类型;(3)用户终端(13)位置;(4)第一应用的上下文信息。
28.根据权利要求18所述的认证实体,其中,所述其他密钥发生器(17、21)被配置为:使用算法的第一集合来导出第一应用的其他密钥,并使用算法的不同的第二集合来导出第二应用的其他密钥。
29.根据权利要求18所述的认证实体,其中,所述主密钥选择器(16、20)被配置为:当第一主密钥过期时,选择用于第一应用的新的第一主密钥。
30.根据权利要求29所述的认证实体,其中,所述主密钥选择器(16、20)被配置为:当第一主密钥的持续时间过期时,选择新的第一主密钥;以及将所述持续时间表示为序列值,在该序列值之后认证矢量不再有效;以及当达到该序列值时,所述认证服务器被配置为选择用于第一应用的新的第一主密钥。
31.根据权利要求29所述的认证实体,其中,所述主密钥选择器(16、20)被配置为:至少部分地基于用户状态信息来选择新的第一主密钥。
32.根据权利要求31所述的认证实体,其中,所述用户状态信息包括以下至少一项:(1)时间戳;(2)网络标识符;以及(3)用户位置。
33.根据权利要求18所述的认证实体,其中,所述认证实体是认证服务器(11),并且当不应当使用主密钥中的一个可疑主密钥时,所述主密钥选择器(16)被配置为:随机产生替代主密钥;以及利用用户终端(13)和归属网络实体(11)都知道的超密钥来对所述替代主密钥进行加密。
34.根据权利要求18所述的认证实体,其中,所述认证实体是包括收发机(66)的用户终端(13),所述收发机(66)被配置为从认证服务器接收认证矢量,并且当不应当使用主密钥中的一个可疑主密钥时,所述主密钥选择器(20)被配置为:利用用户终端(13)知道的超密钥来对替代主密钥进行解密;以及以所述替代主密钥替代主密钥中的可疑主密钥。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/SE2008/050178 WO2009102247A1 (en) | 2008-02-15 | 2008-02-15 | Application specific master key selection in evolved networks |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101946536A CN101946536A (zh) | 2011-01-12 |
| CN101946536B true CN101946536B (zh) | 2015-07-15 |
Family
ID=40957161
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200880126750.6A Expired - Fee Related CN101946536B (zh) | 2008-02-15 | 2008-02-15 | 演进网络中的应用特定的主密钥选择 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US9467431B2 (zh) |
| EP (1) | EP2245872A4 (zh) |
| CN (1) | CN101946536B (zh) |
| WO (1) | WO2009102247A1 (zh) |
Families Citing this family (43)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101552987B (zh) * | 2008-03-31 | 2011-11-16 | 华为技术有限公司 | 防止认证向量被滥用的方法、装置和系统 |
| US20090259851A1 (en) * | 2008-04-10 | 2009-10-15 | Igor Faynberg | Methods and Apparatus for Authentication and Identity Management Using a Public Key Infrastructure (PKI) in an IP-Based Telephony Environment |
| ES2447546T3 (es) * | 2008-04-11 | 2014-03-12 | Telefonaktiebolaget L M Ericsson (Publ) | Acceso a través de redes de acceso no-3GPP |
| US8219802B2 (en) * | 2008-05-07 | 2012-07-10 | International Business Machines Corporation | System, method and program product for consolidated authentication |
| KR101514840B1 (ko) * | 2008-06-11 | 2015-04-23 | 삼성전자주식회사 | 휴대 방송 시스템에서의 암호화 키 분배 방법 및 이를 위한시스템 |
| WO2010041690A1 (ja) * | 2008-10-07 | 2010-04-15 | 日本電気株式会社 | 多者分散乗算装置、多者分散乗算システム及び方法 |
| US8873746B2 (en) * | 2010-01-28 | 2014-10-28 | Intel Corporation | Establishing, at least in part, secure communication channel between nodes so as to permit inspection, at least in part, of encrypted communication carried out, at least in part, between the nodes |
| EP2534863B1 (en) * | 2010-02-12 | 2017-12-27 | Telefonaktiebolaget LM Ericsson (publ) | Ip multimedia subsystem (ims) user identity handling |
| FR2960328B1 (fr) * | 2010-05-20 | 2013-12-20 | Oberthur Technologies | Procede de gestion de circuits integres avec generation interne d'une cle personnelle d'authentification |
| FR2960327B1 (fr) * | 2010-05-20 | 2015-10-16 | Oberthur Technologies | Procede et systeme d'acces a un circuit integre comprenant une cle personnelle d'authentification |
| GB2486461B (en) | 2010-12-15 | 2015-07-29 | Vodafone Ip Licensing Ltd | Key derivation |
| US8769303B2 (en) | 2011-12-05 | 2014-07-01 | Microsoft Corporation | Infrastructure independent recovery key release |
| US9489528B2 (en) * | 2011-12-12 | 2016-11-08 | Microsoft Technology Licensing, Llc | Single use recovery key |
| CN103428696B (zh) * | 2012-05-22 | 2017-04-19 | 中兴通讯股份有限公司 | 实现虚拟sim卡的方法、系统及相关设备 |
| DE102012209408A1 (de) * | 2012-06-04 | 2013-12-05 | Siemens Aktiengesellschaft | Sichere Übertragung einer Nachricht |
| US8971851B2 (en) * | 2012-06-28 | 2015-03-03 | Certicom Corp. | Key agreement for wireless communication |
| CN102883319B (zh) * | 2012-09-07 | 2015-05-20 | 大唐移动通信设备有限公司 | 鉴权向量管理方法及装置 |
| CN103813272A (zh) * | 2012-11-14 | 2014-05-21 | 普天信息技术研究院有限公司 | 一种集群组呼下行传输的方法 |
| EP2775656A1 (en) | 2013-03-04 | 2014-09-10 | Thomson Licensing | Device for generating an encrypted key and method for providing an encrypted key to a receiver |
| US9286466B2 (en) * | 2013-03-15 | 2016-03-15 | Uniloc Luxembourg S.A. | Registration and authentication of computing devices using a digital skeleton key |
| US9305172B2 (en) | 2013-03-15 | 2016-04-05 | Mcafee, Inc. | Multi-ring encryption approach to securing a payload using hardware modules |
| CN104185177B (zh) * | 2013-05-27 | 2019-02-01 | 中兴通讯股份有限公司 | 一种安全密钥管理方法、装置和系统 |
| CN103369523B (zh) * | 2013-07-18 | 2016-04-13 | 成都鼎桥通信技术有限公司 | 一种提高群组下行安全性的方法 |
| CN104468074A (zh) * | 2013-09-18 | 2015-03-25 | 北京三星通信技术研究有限公司 | 应用程序之间认证的方法及设备 |
| CN106105381B (zh) | 2014-03-12 | 2019-09-24 | 英国电讯有限公司 | 控制无线接入网关的方法、无线接入网关和无线网络 |
| CN106171041B (zh) * | 2014-03-12 | 2020-06-09 | 英国电讯有限公司 | 控制无线接入网关的方法、存储介质、设备及无线网络 |
| US10678880B2 (en) * | 2014-08-07 | 2020-06-09 | Greenman Gaming Limited | Digital key distribution mechanism |
| CN106576242B (zh) * | 2014-08-28 | 2020-05-15 | 诺基亚技术有限公司 | 对于异构网络有效的用户设备标识 |
| US9585013B2 (en) | 2014-10-29 | 2017-02-28 | Alcatel Lucent | Generation of multiple shared keys by user equipment and base station using key expansion multiplier |
| US9843928B2 (en) | 2014-10-30 | 2017-12-12 | Motorola Solutions, Inc. | Method and apparatus for connecting a communication device to a deployable network without compromising authentication keys |
| WO2016080726A1 (en) * | 2014-11-17 | 2016-05-26 | Samsung Electronics Co., Ltd. | Apparatus and method for profile installation in communication system |
| US9525675B2 (en) * | 2014-12-26 | 2016-12-20 | Mcafee, Inc. | Encryption key retrieval |
| CN104811937A (zh) * | 2015-05-26 | 2015-07-29 | 太仓市同维电子有限公司 | 提高家庭无线路由器使用安全的方法 |
| EP3110189A1 (en) * | 2015-06-25 | 2016-12-28 | Gemalto Sa | A method of replacing at least one authentication parameter for authenticating a security element and corresponding security element |
| WO2017065322A1 (ko) * | 2015-10-12 | 2017-04-20 | (주) 이스트몹 | 보안성이 강화된 p2p파일 전송방법 및 프로그램 |
| CN109314860B (zh) * | 2016-07-01 | 2023-11-03 | 华为技术有限公司 | 安全协商方法、安全功能实体、核心网网元及用户设备 |
| US10326746B1 (en) * | 2016-12-20 | 2019-06-18 | Amazon Technologies, Inc. | Access key retrieval service for clients |
| US10785193B2 (en) * | 2017-03-30 | 2020-09-22 | Seagate Technology Llc | Security key hopping |
| DE102018203949A1 (de) * | 2018-03-15 | 2019-09-19 | Bayerische Motoren Werke Aktiengesellschaft | Verfahren und Vorrichtungen zum Senden und Identifizieren von Funkkennungen |
| PT3915289T (pt) * | 2019-01-21 | 2023-07-14 | Ericsson Telefon Ab L M | Métodos para autenticação e gestão de chave numa rede de comunicações sem fios e aparelhos relacionados |
| JP7273523B2 (ja) * | 2019-01-25 | 2023-05-15 | 株式会社東芝 | 通信制御装置および通信制御システム |
| CN113411287B (zh) * | 2020-03-16 | 2023-05-26 | 阿里巴巴集团控股有限公司 | 密钥管理系统、方法、装置及设备 |
| WO2022031555A1 (en) * | 2020-08-03 | 2022-02-10 | Intel Corporation | Compute offload services in 6g systems |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5661806A (en) * | 1994-03-29 | 1997-08-26 | France Telecom | Process of combined authentication of a telecommunication terminal and of a user module |
| CN1167553A (zh) * | 1994-08-17 | 1997-12-10 | 英国电讯公司 | 通信网中的用户鉴权 |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5408448A (en) * | 1993-10-08 | 1995-04-18 | Delco Electronics Corporation | Device and method for CD shuffle play |
| US6393127B2 (en) * | 1998-03-02 | 2002-05-21 | Motorola, Inc. | Method for transferring an encryption key |
| US6944770B2 (en) * | 2001-05-17 | 2005-09-13 | Intelli-Mark Technologies, Inc. | Methods and systems for generating and validating value-bearing documents |
| US7464265B2 (en) * | 2002-05-03 | 2008-12-09 | Microsoft Corporation | Methods for iteratively deriving security keys for communications sessions |
| US20050135622A1 (en) * | 2003-12-18 | 2005-06-23 | Fors Chad M. | Upper layer security based on lower layer keying |
| JP4688426B2 (ja) * | 2004-03-09 | 2011-05-25 | 富士通株式会社 | 無線通信システム |
| US7765178B1 (en) * | 2004-10-06 | 2010-07-27 | Shopzilla, Inc. | Search ranking estimation |
| US7386573B2 (en) * | 2005-08-04 | 2008-06-10 | Microsoft Corporation | Media file organization for shuffled playback |
| US20070101122A1 (en) * | 2005-09-23 | 2007-05-03 | Yile Guo | Method and apparatus for securely generating application session keys |
| EP1773018A1 (en) | 2005-10-05 | 2007-04-11 | Privasphere AG | Method and devices for user authentication |
| US20070280481A1 (en) * | 2006-06-06 | 2007-12-06 | Eastlake Donald E | Method and apparatus for multiple pre-shared key authorization |
-
2008
- 2008-02-15 WO PCT/SE2008/050178 patent/WO2009102247A1/en active Application Filing
- 2008-02-15 CN CN200880126750.6A patent/CN101946536B/zh not_active Expired - Fee Related
- 2008-02-15 EP EP08712808.8A patent/EP2245872A4/en not_active Withdrawn
- 2008-02-15 US US12/867,687 patent/US9467431B2/en active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5661806A (en) * | 1994-03-29 | 1997-08-26 | France Telecom | Process of combined authentication of a telecommunication terminal and of a user module |
| CN1167553A (zh) * | 1994-08-17 | 1997-12-10 | 英国电讯公司 | 通信网中的用户鉴权 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20110004758A1 (en) | 2011-01-06 |
| EP2245872A4 (en) | 2016-04-13 |
| US9467431B2 (en) | 2016-10-11 |
| WO2009102247A1 (en) | 2009-08-20 |
| EP2245872A1 (en) | 2010-11-03 |
| CN101946536A (zh) | 2011-01-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101946536B (zh) | 演进网络中的应用特定的主密钥选择 | |
| Jover et al. | Security and protocol exploit analysis of the 5G specifications | |
| CN101536463B (zh) | 在下一代移动网络中生成用于保护的密钥 | |
| CN102934470B (zh) | 用于在通信系统中将订户认证与设备认证绑定的方法和装置 | |
| JP4369513B2 (ja) | 免許不要移動体接続信号通知のための改善された加入者認証 | |
| US9668139B2 (en) | Secure negotiation of authentication capabilities | |
| CN102843233B (zh) | 一种机器到机器通信中组认证的方法和系统 | |
| US20110058670A1 (en) | Arranging data ciphering in a wireless telecommunication system | |
| US8600356B2 (en) | Authentication in a roaming environment | |
| CN113329407A (zh) | 用户设备与演进分组核心之间的相互认证 | |
| Elouafiq | Authentication and Encryption in GSM and 3GUMTS: An Emphasis on Protocols and Algorithms | |
| MX2008013772A (es) | Metodo y sistema para proporcionar comunicaciones seguras asistidas por celular de una pluralidad de dispositivos ad hoc. | |
| CN109716724A (zh) | 与服务器通信的通信设备的双网认证的方法和系统 | |
| Choudhruy | A New Trust Model for Improved Identity Privacy in Cellular Networks | |
| CN101926188A (zh) | 对通信终端的安全策略分发 | |
| Zhang et al. | Dynamic group based authentication protocol for machine type communications | |
| US7551914B2 (en) | Authentication in a communication network | |
| CA3156911A1 (en) | Wireless communication method for registration procedure | |
| CN101730093B (zh) | 安全切换方法及系统 | |
| Lim et al. | Reducing communication overhead for nested NEMO networks: Roaming authentication and access control structure | |
| Abdelkader et al. | A novel advanced identity management scheme for seamless handoff in 4G wireless networks | |
| US20240137757A1 (en) | Systems and methods for authorization of proximity based services | |
| WO2022236543A1 (en) | Systems and methods for authorization of proximity based services | |
| Durresi et al. | Secure spatial authentication for mobile stations in hybrid 3G-WLAN serving networks | |
| CN116847350A (zh) | 一种d2d通信方法、终端及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20150715 Termination date: 20200215 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |