CN103493426A - 密钥衍生 - Google Patents

密钥衍生 Download PDF

Info

Publication number
CN103493426A
CN103493426A CN201180068554.XA CN201180068554A CN103493426A CN 103493426 A CN103493426 A CN 103493426A CN 201180068554 A CN201180068554 A CN 201180068554A CN 103493426 A CN103493426 A CN 103493426A
Authority
CN
China
Prior art keywords
key
card
seed
master
derivative
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201180068554.XA
Other languages
English (en)
Other versions
CN103493426B (zh
Inventor
S·巴巴格
N·博恩
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Vodafone IP Licensing Ltd
Original Assignee
Vodafone IP Licensing Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Vodafone IP Licensing Ltd filed Critical Vodafone IP Licensing Ltd
Publication of CN103493426A publication Critical patent/CN103493426A/zh
Application granted granted Critical
Publication of CN103493426B publication Critical patent/CN103493426B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • H04L9/0897Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3234Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/30Security of mobile devices; Security of mobile applications
    • H04W12/35Protecting application or service provisioning, e.g. securing SIM application provisioning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/26Network addressing or numbering for mobility support
    • H04W8/265Network addressing or numbering for mobility support for initial activation of new user
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/061Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying further key derivation, e.g. deriving traffic keys from a pair-wise master key

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Databases & Information Systems (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Storage Device Security (AREA)
  • Telephone Function (AREA)
  • Telephonic Communication Services (AREA)

Abstract

为在蜂窝电信网络上的验证期间便于改变供智能卡(SIM)使用的网络验证密钥(Ki),提供一种将密钥衍生与空中下载(OTA)规范结合的智能卡管理方案。该方案确保Ki从不以OTA方式发送,并且Ki仅存储在两个位置:在SIM上和在验证中心(AuC)。

Description

密钥衍生
发明领域
本发明涉及用于通过诸如GSM或UMTS网络的无线电信网络或移动网络运营商(MNO)验证终端设备的智能卡的领域。
背景技术
SIM卡(也称为通用集成电路卡,UICC)是一种普遍存在的智能卡形式。无线电信网络标准批准通过SIM卡便于网络装置的验证(事实上,术语SIM卡常常用于共同地包括真SIM卡和USIM卡)。这些卡可靠地存储网络验证程序的基本单元:秘密密钥(包括网络验证密钥(Ki))、“空中下载”(OTA)传送密钥和用于一个或多个运营商加密算法的参数。
每个SIM卡对顾客是特定的,并且除验证信息之外承载为该顾客所特有的信息,诸如顾客的国际移动用户识别码(IMSI)。
SIM卡用于为每个终端提供相关识别(例如IMSI)和验证信息。在例如电信应用的某些应用中,在卡本身上可不提供SIM,而是在植入或集成到装置中的集成电路上提供。这例如可采取用于标准化安装的VQFN8封装形式。
现有的SIM卡典型地针对单个MNO作个性化:换句话说,它们存储仅在一个MNO的网络上有效的秘密密钥。每个SIM因而对特殊的网络是特定的(“归属”网络),也就是说,每个SIM在该网络的运营商的控制下发布并供该网络内使用。
改变MNO需要可移除SIM卡的物理交换。卡的该交换在一些情况下是不切实际的,在这些情况下,需要调换SIM的终端可能广泛地分布或植入(并且因此不可调换)。
蜂窝电信系统的基本安全需求是SIM的网络验证密钥(Ki)仅曾经存储在网络的两个点,即在SIM上和在验证中心(AuC)。另外,Ki是不管什么在任何情况下从不发送的。事实上,Ki在制造之后的任何点从SIM移除或传输在有些地方是违法的。
在传统的电信系统中,Ki在制造的时候与SIM的国际移动用户识别码(IMSI)配对。仅IMSI以及因此其固有耦合的Ki控制装置能天然地连接至哪个网络。如上所述,由于Ki不可发送、不可传送或不可编程,所以目前情况下使SIM天然地连接至各种网络或者延续各种网络的行踪是不可行的。
传统的SIM与网络布置不太令人满意。如果具有其相关的SIM卡的终端供产品内使用并在特定的运营公司的网络内提供功能,则出现的问题是终端的所有者是否希望让自己利用竞争网络运营商的服务(可能由于终端永久地移入未被该终端向其登记的初始网络覆盖的地理区域)。
转换SIM具有相关的后勤保障困难,并且另外地可具有安置在先前的SIM卡上的有用信息丢失的后果。此外,在某些应用(此时SIM没有以可移动智能卡的形式存储而是存储在植入装置中的集成电路上)中,SIM替换是不可能的。
先前设计能够在多个网络上登记并重新登记的SIM的尝试基于这样的原理:在一个超级SIM内产生单个SIM的多个实例,该超级SIM随后能够挑选IMSI-Ki对以用于每种情形(即当在多个网络上登记或重新登记时)。国际专利公布WO03/013174中描述了这种示例,其中描述了这样的智能卡。作为在不转换SIM卡本身的情况下转换运营商的问题的一般解决方案,其存在许多固有的缺点。
首先,由于SIM实际上是安置在同一物理SIM卡/UICC内的多个SIM,所以存在关于谁是超级SIM的所有者的固有歧义性。每个IMSI-Ki对被认为是负责发布每个IMSI-Ki对的每个地方或组织的网络的性质。
其次,利用该机制带来运营商后勤保障的变化,使得运营商在完成对该运营商的分配之后仅知悉其“Ki”,而不能预订(Ki、IMSI、ICCID)并预载至归属位置寄存器(HLR)。替代性地,每个MNO可能预先接收预载的(IMSI、Ki、ICCID)值中的一个,但是随后在每个“超级SIM”上必须正好存在与整个系统中的MNO(全球数百个)一样多的Ki,并且这些密钥中的绝大多数从不使用。另外,MNO引起将所有不使用的密钥保存在它们的HLR中的成本。
在US20080276090中提出了一种替代性的解决方案:在此,全球性的中间密钥Kint与卡上的密钥衍生算法一起使用。个性化模块中的伪随机发生器为发送的每个最终的识别号码IMSI生成相应的随机数RND。然后,个性化模块为发送的每个IMSI号码确定尚未分配给任何卡的最终验证密钥Ki。验证密钥Ki根据生成的中间验证密钥Kint和与IMSI号码相关的生成的随机数RND,由载入卡中的算法AD确定。其后,卡使用最终的验证密钥Ki。在确保每个可能的卡上衍生相同的Ki的情况下,相同的Kint值需要加载至多张卡。
对空中下载方式发送“Ki”的替代性机制包括Ki在运送中被发现的危险;它们还引起其中Ki发送至卡上的可写入文件的危险,这于是允许进一步写入(包括部分的重写)。这样的写入(尤其是部分重写)可危及Ki和/或相关参数的保密。进一步的危险是“锁定”,由此强制MNO使用卡的初始供应方(或由该供应方选择的一方),以空中下载方式发送其Ki。替代性地,可能强制MNO使用其未设计并且不完全信任的密钥集或算法。
发明内容
根据本发明,提供一种用于管理存储在微处理器卡上的签约信息的方法,卡预先配置有相关的唯一的卡号码、至少一个预定的主密钥(K_master)和至少一个号码生成装置,该方法包括:从多个信任方(TSM)中的一个信任方接收衍生值(SEED);将衍生值(SEED)存储在微处理器卡上;利用号码生成装置、卡号码和根密钥生成识别号码(Ki);其中,生成的识别号码(Ki)适合于用于电信网络。
根据本发明的另一方面,提供一种配置有一个或多个唯一的主密钥和一种或多种号码生成算法的电信安全模块,该模块包括:用于从多个信任方(TSM)中的一个信任方接收衍生值(SEED)的装置;用于存储衍生值(SEED)的存储装置;用于利用号码生成装置、卡号码和根密钥生成识别号码(Ki)的微处理器;其中,生成的识别号码(Ki)适合于用于电信网络。
本发明还涉及一种包括或结合电信安全模块的装置,该电信安全模块配置有一个或多个唯一的主密钥和一种或多种密钥衍生算法,能够衍生用于电信网络的至少一个验证密钥,并使得给定的网络验证密钥能衍生到任何目标模块上而无需将全球性秘密不配置到多个模块上。
优选地,所述衍生算法中的至少一种衍生算法设置有输入种子值以及主密钥以产生输出密钥值,使得算法是可逆的,以允许预先计算一个或多个可能的种子值,从而产生目标密钥值。
便利地,所述衍生算法中的至少一种衍生算法附加地向衍生密钥提供完整性保护。优选的是,向与衍生密钥结合使用的算法标识符和算法参数附加地提供完整性保护。
安全模块可布置成确保利用密钥衍生算法和相关的数据结构仅能修改衍生密钥值。另外,模块可布置成确保密钥值及相关的算法标识符和参数不能被独立地修改,而是结合利用密钥衍生算法及相关的数据结构才能修改。
便利地,模块对于限定的事件或者在每次使用之前重新检查衍生网络验证密钥的完整性,以及可选择地重新检查相关的算法标识符和参数。
存储装置优选地存储种子值而不是最后所得到的密钥值,并且在对于预定事件作完整性检查之前或者在每次使用之前重新衍生密钥值。
优选的是,种子值其本身在利用加密和/或完整性算法传输至安全模块期间被保护。
有利地,种子值利用空中下载机制发送至安全模块。
可使得多个信任方能够连续地或并行地管理安全模块内的网络验证密钥及相关的签约数据。
一个或多个信任方可使用首先由初始信任方生成并且然后可选择地由后续信任方改变的密钥集。此外,初始信任方可确保一次仅一个后续信任方能够管理安全模块内的网络验证密钥及相关的签约数据。
模块可嵌入装置内或者可替代性地为可移除的。模块可以是嵌入的UICC或可移除的UICC。
根据本发明的另外的方面,提供一种包含这样的电信安全模块的装置。装置优选地适合于机器对机器或其他机器类型的通信实现。
附图说明
为了更好地理解本发明,现在以示例方式对附图进行参照,其中:
图1图示移动/蜂窝电信系统的关键单元;以及
图2图示根据本发明的密钥衍生机制。
具体实施方式
现在将参照图1简要描述移动/蜂窝电信系统的关键单元及其操作。
诸如GSM或UMTS网络的蜂窝电信网络的每个用户配置有UICC/智能卡(例如SIM、USIM),该UICC/智能卡当与用户的移动终端相关时识别网络的用户。SIM卡被预编程有唯一的识别号码、在卡上不可见并且不为用户所知的“国际移动用户识别码”(IMSI)以及唯一的密钥Ki。向用户发布公开已知的号码,也就是说用户的电话号码,借助于该用户的电话号码,呼叫者启动对用户的呼叫。该号码是MSISDN。
网络包括归属位置寄存器(HLR)/归属用户服务器(10),其为网络的每个用户存储IMSI和对应的MSISDN,连同诸如用户的移动终端的当前或最后已知的MSC的其他用户数据。HSS是用于网络的主数据库,并且尽管逻辑上该HSS被看作一个实体,但在实践中,其由多个物理数据库组成。HSS保存用于由用户进行的呼叫和对话的支持、建立和维护的变量和识别码。
当用户希望在网络中激活他们的移动终端(使得其可随后进行或接收呼叫)时,用户将他们的SIM卡放置在与移动终端(在该示例中的终端1)相关的读卡器中。移动终端1使用无线接入网络,以将(从智能卡读取的)IMSI发送至由存储IMSI等的MNO运行的蜂窝网络的核心网络。
HLR10使得对移动终端1执行验证程序。HLR10将包括用户识别码(IMSI)的验证请求发送至AUC(验证中心),用于衍生验证向量(AV)。基于IMSI,AUC生成作为随机数的询问(challenge),或者基于IMSI获得存储的询问。此外,AUC基于询问和与SIM共享的秘密生成XRES(预期结果),或者获得与询问一起存储的XRES。XRES用于最后完成验证。
验证数据和XRES然后以验证询问方式发送至移动电话1。移动电话1通过将验证数据发送至移动电话1的SIM来生成响应。SIM基于存储在SIM上的签约的Ki和验证询问生成与存储在服务器中的XRES对应的响应。
为了根据SIM验证最后完成验证,核心网络为验证控制而将响应值与存储的XRES的值比较。
如果来自移动终端1的响应正如所预期的,则移动终端1被认为得到验证。
作为验证过程的一部分,还建立用于加密无线路径上的用户和信令数据的密码密钥Kc。该程序被称作密码密钥设定。密钥在密钥Ki的控制下利用单向函数由移动终端1计算,并且由AuC为网络预先计算。因而在成功的验证交换的结束时,双方拥有新的密码密钥Kc。
如果需要,验证过程传统地在移动终端1保持激活时被重复,并且每次移动终端进行或者接收呼叫时同样可被重复。每次执行验证过程时,新的Kc被生成并提供至终端1。
以上的机制不允许一个Ki被(用于另一MNO的)另一Ki直接替换,并因此遭受以上概述的缺点。
根据本发明的方案将密钥衍生与OTA规范相结合。在制造时,主秘密K_master配置在卡上。当配置新的签约时,“可信服务管理器”(TSM)生成随机或伪随机种子(SEED),并将其传送至卡。SEED由卡用于密钥衍生过程。
由于SEED只有当需要时才生成,所以TSM不知道将来生成的任何Ki。此外,如果TSM在将Ki发送至MNO并发送至卡之后删除Ki,则其不再长期保留关于K的知识。
尽管Ki本身不与OTA Ki规范方案中实现的那样在安全分组中发送,但该方案具有相同的优点。衍生值(SEED)被作为安全的OTA分组输送。
优选地,密钥衍生为可逆过程(例如用密钥K_master加密SEED),使得即使Ki由MNO提供,或者如果Ki已在早期提供至MNO并且已载入HLR,该密钥衍生也起作用。由TSM生成的SEED因而不是随机值:TSM通过应用反向密钥衍生操作由MNO提供的Ki计算要发送至卡的值。
密钥衍生方法在卡(UICC)上使用以通过发送数据串SEED由预载的主密钥“K_master”衍生出Ki,使得Ki=KDF(K_master,SEED)。然而,衍生功能是可逆的,使得通过预先计算合适的SEED能够衍生任何所期望的目标Ki。这意味着任何所期望的目标Ki(在运营商的HLR中已订并存在)能衍生到任何卡上。
该解决方案允许借助任何目标签约密钥(Ki),为任何运营商远程地个性化SIM卡(UICC),而无需以空中下载方式发送运营商(Ki),无需在可写入文件中存储Ki,并且无需巨大的预载密钥的集合。
在优选的实施例中,衍生使用验证的加密算法,使得卡能检查最后所得到的Ki的完整性。例如,我们可能实际上使KDF(K_master,SEED)=Ki||Hash(Ki)或KDF(K_master,SEED)=Ki||MAC(Ki),开且卡检查对应的散列或消息验证代码(MAC)函数匹配衍生的散列或MAC,从而确保Ki恰如所预期的。
便利地,Ki使用的任何参数(例如算法标识符、用于MILENAGE的运营商轮转和常数)连同Ki本身一起得到完整性保护,使得Ki不可能与不正确的算法(也将危害Ki安全的某些事情)一起使用。
“SEED”本身发送至利用OTA加密+OTA完整性算法保护的卡,使得密钥衍生机制附加在OTA安全之上而不是OTA安全的替换。
作为附加的保护措施,“SEED”永久存储在卡上;Ki并非这样。相反地,Ki在SIM/USIM验证算法的每次启动或每次使用时重新衍生,并且重新检查Ki的完整性(使得可容易检测到窜改/部分更新Ki的任何企图)。
在本发明的另一方面中,有利的是对许多(有限数量的)预载“主密钥,,和相关的衍生算法的选择,使得不同的运营商组不再需要信任彼此的密钥和算法。另外,存在对一系列信任方(基本上为可信服务管理器TSM)的选择,每个信任方能够将“SEED”以OTA方式发送至卡。
安全性的要求是,除了利用以OTA方式发送的预定数据结构连同SEED,Ki不能以任何方式在UICC上更新;其参数(OPc、alg_id、r、c)也不能独立于K更新。
Ki的衍生
在优选的实施例中,用于从SEED衍生Ki的机制应满足以下需求:
密钥衍生是可逆的,使得通过发送合适定制的SEED能从预载主密钥K_master衍生任何目标Ki。
衍生算法提供完整性检查(例如经由验证加密的形式),使得卡能检查最后所得到的Ki的完整性。
Ki使用的参数(例如算法id和轮转以及常数参数)还与Ki本身一起受到完整性保护。
例如,考虑利用AES作为密码,通过用主密钥K_master加密SEED计算的字符串(Ki||CheckSum):
Ki||CheckSum=E[SEED]Kmaster
并且卡校验Checksum=SHA-256(Ki||算法_参数)。该方案允许TSM在给定Ki时(如果Ki由MNO提供或者已经存储在MNO的HLR中,或者如果二次签约配置相同的Ki)计算SEED:
SEED=D[Ki||CheckSum]Kmaster
这样的方案的优点是有助于卡满足以上的安全需求:除了通过定义的数据结构,Ki及相关的算法参数不能更新。卡不再将Ki存储在文件中,而是仅存储SEED,并且当需要时(例如在卡启动时或者在每次使用验证算法时)重新计算Ki。即使为了试图发现Ki而篡改SEED(例如通过部分重写),则也将检测到窜改,并且卡能拒绝执行验证算法。完整性机制还确保Ki不能与错误的验证算法一起使用,或者不能与不正确的OPc、轮转、常数等一起使用。
有利的是将两种衍生算法结合在一起:主衍生算法和备用衍生算法。不同的主密钥需要与不同的算法一起使用,因而当发送SEED时还需要算法标识符(或者更直截了当的是K_master标识符)。原则上,MNO组还可指定要与特定的主密钥一起使用的(专有)密钥衍生算法。
在本发明的一个实施例中,卡(例如SIM)与机器对机器(M2M)的终端相关(典型地嵌入机器对机器(M2M)的终端内)。术语“M2M”用于描述在这样的不同领域中的应用:跟踪与追踪;支付;远程维护;汽车与电子收费(例如电信);计量;和消费设备。M2M允许装置(常常称为移动M2M)之间的无线通信的扩展使得在有些情况下(例如,在汽车工业内)提供新的服务成为可能,并且在其他情况下延伸现有的M2M服务(在智能计量领域内)。
借助于移动M2M,能同时监测数以百万计的、处于移动网络覆盖区域内任何地方的机器,以提供使个体或企业能分析并按照其行动的实时信息。
无论那些M2M终端是移动的还是固定的,都存在许多的场景,在这些场景中,与每个终端进行安全的、经过验证的无线通信的可能性被认为是有益的。在不明显增加监测来自装置的输出的负担的情况下,这使得M2M装置能够变得广泛分布。
显然,在广泛分布的装置中物理地交换智能卡可能出现令后勤保障头痛的问题。并且在M2M装置具有嵌入的SIM卡的情况下将是不切实际的。
在M2M应用的情况下,虽然M2M服务的供应方是明显不同于主MNO的实体,但是其可以是信任方并且可能希望实现签约管理(即变成TSM)。
在有些情况下,实际上可能允许超过一个的TSM执行签约管理。这将允许存在对一系列信任方(TSM)的选择,每个信任方能将合适的SEED值以OTA方式发送至卡。
考虑TSM从TSM1到TSM2的变化:
TSM1向TSM2提供执行签约管理所需的数据(发行方安全域(ISD)或其他信任安全域(TSD)、卡ID、密钥集等)。
TSM2于是应在密钥集内改变密钥值,使得仅TSM2能够利用该密钥集管理卡上的签约。
TSM的变化还可与MNO的变化相关:例如考虑签约(从MNO2到MNO3)的变化,与此同时还有TSM(从TSM1到TSM2)的改变。如果卡被“锁定”至现任MNO(例如根据合同条款),则现任TSM不应允许该变化。
如果存在TSM的多个连续的变化,则即使密钥由后续TSM改变,也存在通过链中的任何TSM的密钥泄露而影响到所有后续TSM密钥的安全的危险。因此,这样的泄露还影响到所有后续MNO的密钥的安全。有利的是应采取如下的减少这种“链危险”的方法:
TSM1具有密钥集1。为了移交至TSM2,TSM1检查卡未锁定至当前有效的MNO。如果没有锁定,则TSM1创建新的临时密钥集2,并将密钥集2交给TSM2。TSM2以永久密钥集替换临时密钥集2。
TSM1保证在TSM2作为签约管理器时不使用密钥集1;TSM2保证不删除密钥集1。
为了移交至TSM3,TSM1检查卡未锁定至当前有效的MNO。如果没有锁定,则TSM1用新的临时密钥集2重写密钥集2,并将密钥集2交给TSM3。TSM3以永久密钥集替换临时密钥集2。
TSM1保证在TSM3作为签约管理器时不使用密钥集1;TSM3保证不删除密钥集1。
对于TSM将来的变化也是如此。该解决方案允许TSM不限数量的变化,但技术上与存在可用于签约管理的密钥集从不超过两个时的一样简单。TSM1的保证确保每次仅使用一个密钥集。密钥通过TSM2的泄露不会影响TSM3、TSM4的密钥等的安全,并且没有TSM必须移交它们自己的密钥。在全球平台中无需作出改变。授信的TSM仅有义务为其他的授信TSM创建密钥集,使得在TSM之间作出的保证是可靠的。
根据本发明,如果使用来自主密钥K_master的密钥衍生,则每个TSM需要知道对应的K_master。每个TSM可能会将K_master的值传给其后继者,但这再次产生上述连续泄露的危险。另一可能的解决方案是,预载K_master并将它们分配给生态系统中已知(授信)的TSM,有些K_master被保留给将来的授信TSM。益处是由于密钥分配问题适用于几个授信TSM而不是许多MNO,所以密钥分配问题可更容易管理。
上述移交机制需要当前的TSM(TSM1)在发行方安全域中为竞争者TSM(TSM2)创建密钥集。取决于是否存在不对称的或对称的解决方案,该新的密钥集对于TSM1可能是未知的或仅临时已知。
总之,这些解决方法需要当前的TSM1向其竞争者释放有价值的资源:在许多情况下,这可能是商业上不可接受的。尽管TSM1与TSM2可能就该业务(facility)商定价格,但该价格可能影响释放资源的商业情形。
因此,提供对以上机制的进一步改善。当务之急是向这样的MNO提供移交机制,该MNO已预先从TSM2订购SIM(或者更确切的是K、IMSI、ICCID等),但没有从TSM1订购它们。此外,该MNO可与TSM2具有信任关系,而不是与TSM1具有信任关系:并且结果是,MNO典型地希望拒绝TSM1对其密钥的访问。
该进一步改善操作如下:
1.TSM1创建最终为目标MNO所拥有、但临时为TSM2所拥有的“最小,,SbsD(签约域)。这意味着创建最小的文件系统、RFM等。TSM1确保用于该最小SbsD的密钥集传到TSM2。密钥集可利用PUTKEY设立,或者可利用保密卡内容管理设立(在这样的情况下,TSM1将不知道密钥集)。替代性地,许多最小SbsD可被预载,其带有直接从eLIICC供应方传到TSM2的预载密钥。
2.在尚未激活SbsD的情况下,TSM2使用其密钥集以给SbsD配置代表目标MNO的整套概貌数据(IMSI、K、USIM应用、其他应用等),包括利用任何优选的在卡上得到支持的K的密钥衍生方法。
3.TSM2通知TSM1其已完成配置新的SbsD,并请求SM1激活新的SbsD。
4.TSM1激活新的SbsD。
5.TSM2改变SbsD的密钥集并且将它们传到目标MNO,因而它们变成MNO的OTA密钥。(替代性地,如果已预订OTA密钥,则TSM2仅将它们变成预订值)。
关键差异是在步骤2中。在以上流程中,必须能够利用“未激活”SbsD本身的密钥集管理该SbsD:实际上,提供不可见的背景更新。如以上所限定地,仅ISD的密钥集能够执行这样的背景更新。倘若TSM2值得信任,则不可能出现安全问题:即,可信任TSM2在建立背景SbsD时不会耗尽所有的备用存储或者可信任TSM2不会中断基本的前台过程等)。
有利的是以上流程使需要控制过程的参与方数量最少:由于仅一方(TSM1)一直需要管理ISD,所以仍可布置成它们从不知道用于SbsD的密钥集。
进一步的优点是如果MNO的确一直希望变成其自身的TSM,则以上模型显然支持该可能性。MNO基本上仅担负TSM2的角色,并目仅代表自身在步骤2接管配置过程。

Claims (10)

1.一种用于管理存储在微处理器卡上的签约信息的方法,所述卡预先配置有相关的唯一的卡号码、至少一个预定的主密钥(K_master)和至少一个号码生成装置,所述方法包括:
从多个信任方(TSM)中的一个信任方接收衍生值(SEED);
将所述衍生值(SEED)存储在所述微处理器卡上;
利用所述号码生成装置、所述卡号码和所述根密钥生成识别号码(Ki);
其中,所述生成的识别号码(Ki)适合于用于电信网络。
2.根据权利要求1所述的方法,还包括:
提供完整性检查,由此所述卡检查所述生成的识别号码(Ki)的完整性。
3.根据权利要求1或权利要求2所述的方法,其中,所述识别号码(Ki)在与MNO的验证中使用之后被删除。
4.根据前述权利要求中的任一项所述的方法,其中,所述衍生值(SEED)在安全OTA分组中接收。
5.根据前述权利要求中的任一项所述的方法,其中,所述密钥衍生是可逆过程,使得通过利用所述唯一的卡号码、所述SEED和所述主密钥K_master在信任方(TSM)处应用反向密钥衍生,所述SEED能与任何所期望的Ki关联。
6.根据前述权利要求中的任一项所述的方法,其中,所述识别号码(Ki)在每次启动所述微处理器卡验证算法时重新衍生。
7.根据前述权利要求中的任一项所述的方法,其中,所述微处理器卡预先配置有多个预定的主密钥(K_master)。
8.根据权利要求7所述的方法,其中,所述微处理器卡还预先配置有与所述相应的预定的主密钥(K_master)对应的根密钥标识符和至少两个号码生成装置,从而至少提供主号码生成装置和备用号码生成装置,每个号码生成装置通过所述主密钥标识符识别所述预定主密钥中不同的一个预定主密钥。
9.一种配置有一个或多个唯一的主密钥和一种或多种号码生成算法的电信安全模块,所述模块包括:
用于从多个信任方(TSM)中的一个信任方接收衍生值(SEED)的装置;
用于存储所述衍生值(SEED)的存储装置;
用于利用所述号码生成装置、所述卡号码和所述根密钥生成识别号码(Ki)的微处理器;
其中,所述生成的识别号码(Ki)适合于用于电信网络。
10.一种设备,其结合根据权利要求9所述的电信安全模块。
CN201180068554.XA 2010-12-15 2011-12-15 密钥衍生 Active CN103493426B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
GB1021300.7A GB2486461B (en) 2010-12-15 2010-12-15 Key derivation
GB1021300.7 2010-12-15
PCT/GB2011/052490 WO2012080740A1 (en) 2010-12-15 2011-12-15 Key derivation

Publications (2)

Publication Number Publication Date
CN103493426A true CN103493426A (zh) 2014-01-01
CN103493426B CN103493426B (zh) 2017-06-23

Family

ID=43567264

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201180068554.XA Active CN103493426B (zh) 2010-12-15 2011-12-15 密钥衍生

Country Status (5)

Country Link
US (1) US9247429B2 (zh)
EP (1) EP2652898B1 (zh)
CN (1) CN103493426B (zh)
GB (1) GB2486461B (zh)
WO (1) WO2012080740A1 (zh)

Families Citing this family (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2696531B1 (en) * 2012-08-08 2019-07-17 Nxp B.V. Initialization of embedded secure elements
GB2512595A (en) 2013-04-02 2014-10-08 Mastercard International Inc Integrated contactless mpos implementation
US9088409B2 (en) 2013-06-25 2015-07-21 International Business Machines Corporation Accessing local applications when roaming using a NFC mobile device
FR3007920A1 (fr) * 2013-06-28 2015-01-02 France Telecom Procede de changement de cle d'authentification
US9136303B2 (en) 2013-08-20 2015-09-15 International Business Machines Corporation CMOS protection during germanium photodetector processing
CN106465106B (zh) 2014-05-02 2020-02-14 皇家Kpn公司 用于从无线电接入网络提供安全性的方法和系统
GB2526619A (en) * 2014-05-30 2015-12-02 Vodafone Ip Licensing Ltd Service provisioning
CN104093139B (zh) * 2014-07-15 2017-10-03 中国联合网络通信集团有限公司 空中写卡方法、服务器和智能卡
EP3139649A1 (en) * 2015-09-04 2017-03-08 Gemalto Sa Method to authenticate a subscriber in a local network
US10615969B1 (en) 2017-02-10 2020-04-07 Wells Fargo Bank, N.A. Database encryption key management
US10615970B1 (en) * 2017-02-10 2020-04-07 Wells Fargo Bank, N.A. Secure key exchange electronic transactions
US10805799B1 (en) * 2019-09-18 2020-10-13 Verizon Patent And Licensing Inc. System and method for providing authenticated identity of mobile phones
US11785468B2 (en) 2021-02-26 2023-10-10 Microsoft Technology Licensing, Llc Subscriber identification module (SIM) management for cloud-based private mobile networks
EP4298816A1 (en) * 2021-02-26 2024-01-03 Microsoft Technology Licensing, LLC Subscriber identification module (sim) management for cloud-based private mobile networks
US20220338008A1 (en) * 2021-04-14 2022-10-20 Samsung Electronics Co., Ltd. Method and apparatus for managing events in a wireless communication system

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1209934A1 (en) * 2000-11-27 2002-05-29 Siemens Aktiengesellschaft Method and apparatus to counter the rogue shell threat by means of local key derivation
CN101120604A (zh) * 2004-12-22 2008-02-06 格姆普拉斯公司 向网络运营商分配芯片卡的系统
CN101621801A (zh) * 2009-08-11 2010-01-06 深圳华为通信技术有限公司 无线局域网的认证方法、系统及服务器、终端
EP2200253A1 (en) * 2008-12-19 2010-06-23 Gemalto SA Method of managing sensitive data in an electronic token
WO2010102259A2 (en) * 2009-03-06 2010-09-10 Interdigital Patent Holdings, Inc. Platform validation and management of wireless devices

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19840742B4 (de) 1998-09-07 2006-04-20 T-Mobile Deutschland Gmbh Verfahren zur Erhöhung der Sicherheit von Authentisierungsverfahren in digitalen Mobilfunksystemen
FR2820916B1 (fr) 2001-02-15 2004-08-20 Gemplus Card Int Module d'identification pourvu d'un code d'authentification securise
GB2378094B (en) * 2001-07-27 2004-12-22 Vodafone Plc Telecommunications systems and methods and smart cards for use therewith
CN100440195C (zh) * 2002-05-10 2008-12-03 斯伦贝谢(北京)智能卡科技有限公司 智能卡更换方法及其更换系统
SE0300252D0 (sv) * 2003-02-03 2003-02-03 Hamid Delalat Blueguards
US8705442B2 (en) * 2007-11-15 2014-04-22 Ubeeairwalk, Inc. System, method, and computer-readable medium for mobile station authentication and registration via an IP-femtocell
US9135620B2 (en) * 2008-02-08 2015-09-15 Microsoft Technology Licensing, Llc Mobile device security using wearable security tokens
EP2245872A4 (en) * 2008-02-15 2016-04-13 Ericsson Telefon Ab L M APPLICATION-SPECIFIC MASTER KEY SELECTION IN EVOLVED NETWORKS
GB0819892D0 (en) 2008-10-30 2008-12-10 Vodafone Plc Telecommunications systems and methods and smart cards for use therewith
US20100273452A1 (en) * 2009-04-26 2010-10-28 Qualcomm Incorporated Apparatus and Methods For Locating Tracking and/or Recovering a Wireless Communication Device
US8379856B2 (en) * 2009-06-17 2013-02-19 Empire Technology Development Llc Hardware based cryptography

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1209934A1 (en) * 2000-11-27 2002-05-29 Siemens Aktiengesellschaft Method and apparatus to counter the rogue shell threat by means of local key derivation
CN101120604A (zh) * 2004-12-22 2008-02-06 格姆普拉斯公司 向网络运营商分配芯片卡的系统
EP2200253A1 (en) * 2008-12-19 2010-06-23 Gemalto SA Method of managing sensitive data in an electronic token
WO2010102259A2 (en) * 2009-03-06 2010-09-10 Interdigital Patent Holdings, Inc. Platform validation and management of wireless devices
WO2010102259A3 (en) * 2009-03-06 2010-10-28 Interdigital Patent Holdings, Inc. Platform validation and management of wireless devices
CN101621801A (zh) * 2009-08-11 2010-01-06 深圳华为通信技术有限公司 无线局域网的认证方法、系统及服务器、终端

Also Published As

Publication number Publication date
GB201021300D0 (en) 2011-01-26
EP2652898A1 (en) 2013-10-23
US9247429B2 (en) 2016-01-26
US20140087691A1 (en) 2014-03-27
GB2486461B (en) 2015-07-29
GB2486461A (en) 2012-06-20
CN103493426B (zh) 2017-06-23
EP2652898B1 (en) 2018-05-30
WO2012080740A1 (en) 2012-06-21

Similar Documents

Publication Publication Date Title
CN103493426A (zh) 密钥衍生
US10694369B2 (en) Profile management method, embedded UICC, and device provided with the embedded UICC
US20240179138A1 (en) Embedded Universal Integrated Circuit Card Supporting Two-Factor Authentication
KR102450358B1 (ko) 무선 통신 시스템에서 프로파일을 다운로드 하는 방법 및 장치
CN102204299B (zh) 将移动装置从旧拥有者安全变更到新拥有者的方法
US10462667B2 (en) Method of providing mobile communication provider information and device for performing the same
US9706407B2 (en) Method for configuring profile of subscriber authenticating module embedded and installed in terminal device, and apparatus using same
US20140235210A1 (en) Method for managing embedded uicc and embedded uicc, mno system, provision method, and method for changing mno using same
CN103493526A (zh) Sim锁定
US20140219447A1 (en) Method for managing profile of embedded uicc, and embedded uicc, embedded uicc-equipped terminal, provision method, and method for changing mno using same
US9439076B2 (en) Method for incorporating subscriber identity data into a subscriber identity module
KR101891330B1 (ko) 내장 uicc 환경에서의 신뢰성 있는 sm을 이용한 가입 방법 및 내장 uicc 장치
US20240314539A1 (en) Method, apparatus, and system for authorizing remote profile management
KR20200044629A (ko) 프로파일 원격관리 예외 처리 방법 및 장치
KR101443161B1 (ko) 능력 정보를 이용한 내장형 범용 아이씨카드의 프로파일 프로비저닝 방법 및 이를 위한 이동통신 단말기
US11848929B2 (en) IMEI storage
CN109474635A (zh) 一种基于扫码技术的用电设备配网方法及系统
KR102012340B1 (ko) 정책 제어 기능 제공 방법 및 eUICC
EP3815407B1 (en) Method, apparatus, and system for authorizing remote profile management
KR20200099836A (ko) eUICC 프로파일 설치 권한을 관리하는 방법 및 장치

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CB03 Change of inventor or designer information
CB03 Change of inventor or designer information

Inventor after: S Ba Bage

Inventor after: S. N. Berne

Inventor before: S Ba Bage

Inventor before: N. Bonn