CN107409133A - 具有完全前向保密的认证与密钥协商 - Google Patents

具有完全前向保密的认证与密钥协商 Download PDF

Info

Publication number
CN107409133A
CN107409133A CN201680015491.4A CN201680015491A CN107409133A CN 107409133 A CN107409133 A CN 107409133A CN 201680015491 A CN201680015491 A CN 201680015491A CN 107409133 A CN107409133 A CN 107409133A
Authority
CN
China
Prior art keywords
network
pfs
key value
value
user equipment
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201680015491.4A
Other languages
English (en)
Other versions
CN107409133B (zh
Inventor
阿南德·帕拉尼古德
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Qualcomm Inc
Original Assignee
Qualcomm Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Qualcomm Inc filed Critical Qualcomm Inc
Publication of CN107409133A publication Critical patent/CN107409133A/zh
Application granted granted Critical
Publication of CN107409133B publication Critical patent/CN107409133B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/067Network architectures or network communication protocols for network security for supporting key management in a packet data network using one-time keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0841Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/085Secret sharing or secret splitting, e.g. threshold schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3066Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3242Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0433Key management protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/068Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Power Engineering (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Physics (AREA)
  • Pure & Applied Mathematics (AREA)
  • Algebra (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Small-Scale Networks (AREA)

Abstract

本文揭示用于提供具有完全前向保密PFS的认证密钥协商AKA的系统和方法。在一个实施例中,根据本公开的网络可从UE接收附着请求,将包含网络支持指示符的认证请求提供到网络资源,从所述网络资源接收认证令牌以使得所述认证令牌包含网络支持PFS的指示,将所述认证令牌提供到所述UE,接收包含UE公钥值的认证响应,获得网络公钥值和网络私钥值,基于所述网络私钥值和所述UE公钥值确定共享密钥值,将所述共享密钥值与会话密钥值绑定以产生绑定的共享密钥值,以及使用所述绑定的共享密钥值来保护后续网络流量。

Description

具有完全前向保密的认证与密钥协商
相关申请的交叉参考
本申请案请求2015年3月30日申请的名为“具有完全前向保密的认证和密钥协商(Authentication and Key Agreement with Perfect Forward Secrecy)”的美国临时申请案第62/140,331号、2015年3月30日申请的名为“具有完全前向保密的认证和密钥协商(Authentication and Key Agreement with Perfect Forward Secrecy)”的美国临时申请案第62/140,426号以及2015年8月13日申请的名为“具有完全前向保密的认证和密钥协商(Authentication and Key Agreement with Perfect Forward Secrecy)”的美国实用新型申请14/825,988的权益,以上各者让与给本受让人且其内容以全文引用的方式并入本文中。
背景技术
一般来说,无线通信系统可促进网络与试图接入所述网络的装置之间的认证程序。不同网络可具有不同认证程序。装置可包含用以认证在提供对网络的接入之前的装置的安全凭证。在一些系统中,保密通信可利用存储在装置上的模块中并将装置耦合到主机网络的安全凭证。举例来说,广泛使用的认证与密钥协商(AKA)协议依赖于在装置(例如可卸除式通用订户身份模块(USIM))与网络(例如归属订户服务器(HSS))之间安全共享的对称根密钥(K)。其它网络可能能够提供其它类型的加密保证以实现安全交换。
在使用AKA的现有无线网络中,存在以下风险:如果长期齿根密钥(例如K)被破解,那么所有过去的通信的保密性可能被破解。也就是说,一旦长期根密钥(K)被破解,攻击者可捕获过去的经加密通信并对其进行解密。还存在以下风险:能够提供不同水平的加密保证(例如弱和强)的网络可能易受中间人攻击,使得强加密保证可经打压至较弱解决方案。
发明内容
下文概括本公开的一些方面以提供对所论述技术的基本理解。此概述并非本公开的所有所涵盖特征的广泛综述,且既不希望识别本公开的所有方面的关键或至关重要元素,也不希望划定本公开的任何或所有方面的范围。其唯一目的是以概述形式呈现本公开的一或多个方面的一些概念以作为稍后呈现的更详细描述的序言。
根据本公开的用于在用户设备与网络之间提供具有完全前向保密(PFS)的认证与密钥协商协议的方法的实例包含:通过用户设备产生附着请求;通过用户设备接收认证令牌,以使得所述认证令牌包含网络对PFS的支持的指示;通过用户设备确定网络支持PFS;通过用户设备将UE公钥值提供到网络;通过用户设备从网络接收网络公钥值;通过用户设备基于所述网络公钥值和UE私钥值来确定共享密钥值;通过用户设备将所述共享密钥值与会话密钥值绑定以产生绑定的共享密钥值;以及通过用户设备利用所述绑定的共享密钥值来保护后续网络流量。
此类方法的实施方案可包含以下特征中的一或多者。所述附着请求可包含用户设备支持PFS的指示。产生附着请求可包含服务请求、跟踪区请求或位置更新请求中的一个。将共享密钥值与会话密钥值绑定可包含确定共享密钥值和会话密钥值的加密散列。会话密钥值可为KASME、密钥(CK)或完整性密钥(IK)。将UE公钥值提供到网络可包含使用椭圆形曲线密码术或使用有限域算术产生短暂的迪菲·赫尔曼(Diffie-Hellman)对。确定网络并不支持PFS,并拒绝连接到网络。认证令牌可包含认证管理域(AMF)位值,其设定成1以指示网络支持PFS。
根据本公开的用于在用户设备(UE)与网络之间提供具有完全前向保密(PFS)的认证与密钥协商协议的实例设备包含存储器、至少一个处理器,其可操作地耦合到所述存储器并配置成:从UE接收附着请求;将包含网络支持指示符的认证请求提供到网络资源;从所述网络资源接收认证令牌,以使得所述认证令牌包含网络支持PFS的指示;将所述认证令牌提供到UE;接收包含UE公钥值的认证响应;如果所述认证响应并非预期响应,则拒绝附着请求;如果所述认证响应是预期响应,则获得网络公钥值和网络私钥值,基于网络私钥值和UE公钥值来确定共享密钥值,将所述共享密钥值与会话密钥值绑定以产生绑定的共享密钥值,以及使用所述绑定的共享密钥值来保护后续网络流量。
此类设备的实施方案可包含以下特征中的一或多者。所述认证令牌可在UE与网络资源之间受到完整性保护。从UE接收的附着请求可包含接收服务请求、跟踪区请求或位置更新请求中的一个而非附着请求。可确定共享密钥值和会话密钥值的加密散列。所述会话密钥值可为KASME、密钥(CK)或完整性密钥(IK)中的至少一个。所述共享密钥值可通过椭圆形曲线密码学或有限域算术中的一者确定。所述附着请求可包含UE支持PFS的指示。认证令牌可包含认证管理域(AMF)位值,其设定成1以指示网络支持PFS。
根据本公开的用于防止对具有强安全协议的系统的打压式攻击的方法的实例包含:从用户设备接收附着请求;将认证请求发送到归属网络,以使得所述认证请求包含网络支持强安全协议的指示;从归属网络接收完整性保护令牌,以使得所述完整性保护令牌包含配置成指示网络支持强安全协议的至少一个位;以及将完整性保护令牌发送到用户设备。
此类方法的实施方案可包含以下特征中的一或多者。所述附着请求可包含用户设备支持强安全协议的指示。强安全协议可为具有完全前向保密的认证与密钥协商协议。认证请求可为计费认证(diameter)协议消息,其具有属性值对(AVP)作为信息元素以指示网络支持强安全协议。完整性保护令牌可包含在从归属网络接收的认证向量中。所述至少一个位可包含在认证管理域(AMF)中。
根据本公开的包括用于防止对具有强安全协议的系统的打压式攻击的指令的实例性非暂时性处理器可读存储媒体包含:用于从用户设备接收附着请求的代码;用于将认证请求发送到归属网络以使得所述认证请求包含网络支持强安全协议的指示的代码;用于从归属网络接收完整性保护令牌以使得所述完整性保护令牌包含配置成指示网络支持强安全协议的至少一个位的代码;以及用于将所述完整性保护令牌发送到用户设备的代码。
此类非暂时性处理器可读存储媒体的实施方案可包含以下限制中的一或多者。所述附着请求可包含用户设备支持强安全协议的指示。所述强安全协议可为具有完全前向保密的认证与密钥协商协议。认证请求可为diameter协议消息,其具有属性值对(AVP)作为信息元素以指示网络支持强安全协议。完整性保护令牌可包含在从归属网络接收的认证向量中。所述至少一个位可包含在认证管理域(AMF)中。
本文中描述的项目和/或技术可提供以下能力中的一或多者以及未提到的其它能力。移动装置可将指示提供到网络以指示其支持完全前向保密。网络可向归属网络提供用以指示网络支持完全前向保密的信息元素。完整性保护令牌可通过归属网络产生并转发到移动装置。完整性保护令牌可包含用以指示网络支持完全前向保密的信息元素。移动装置和网络可参与迪菲·赫尔曼交换以产生共享密钥。共享密钥可用于绑定到会话密钥。所绑定的会话密钥可用于保护后续网络流量。可实现具有完全前向保密的认证与密钥协商协定。通过使用合并了网络完全前向保密的完整性保护令牌可显著减少打压式攻击的可能性。可提供其它能力且根据本公开的每一实施方案不一定提供任何特定能力,更不要说提供所论述的所有能力。另外,通过除了所提到的手段之外的手段来实现上文提到的效果可为可能的,且所提到的项目/技术可能不一定产生所提到的效果。
在结合附图查阅对本发明的特定示范性实施例的以下描述后,本发明的其它方面、特征及实施例对于所属领域的技术人员将变得显而易见。虽然可相对于以下的某些实施例和图式论述本发明的特征,但本发明的全部实施例可包含本文中所论述的有利特征中的一或多者。换句话说,虽然可将一或多个实施例论述为具有某些有利特征,但也可以根据本文中所论述的本发明的各种实施例来使用此类特征中的一或多者。以类似方式,虽然下文可将示范性实施例论述为装置、系统或方法实施例,但应理解,此类示范性实施例可以各种装置、系统和方法来实施。
附图说明
图1是根据一些方面/实施例的移动装置的一个实施例的组件的框图。
图2是根据一些方面/的实例性无线通信系统的框图。
图3是根据一些方面/实施例的用于图2的无线通信系统中的计算机系统的实例的框图。
图4是3GPP长期演进(LTE)认证程序的现有技术调用流程图。
图5是根据一些方面/实施例的具有完全前向保密(PFS)特性的实例性认证程序的调用流程图。
图6是具有完全前向保密(PFS)特性的另一实例性认证程序的调用流程图。
图7是根据一些方面/实施例的提供与移动装置安全通信的过程的框流程图。
图8是根据一些方面/实施例的提供与网络服务器安全通信的过程的框流程图。
图9是根据一些方面/实施例的用于防止对具有强安全协议的系统的打压式攻击的过程的框流程图。
具体实施方式
论述了用于提供具有完全前向保密(PFS)的认证与密钥协商(AKA)的技术。如本文所使用,术语完全前向保密是指密钥-协商协议的特性的密码术定义,以有助于确保在一组长期密钥中的一个在将来被破解时从所述长期密钥中导出的会话密钥不会被破解。如本文中所使用的术语完全并不意味着完全不含疵点或缺陷或尽可能接近这种条件的事物。AKA是现代蜂窝式网络(例如GSM、UMTS、LTE、eHRPD)中广泛使用的认证与密钥协商协议。AKA指定于3GPP TS 33.102中。AKA的安全性总体上依赖于在UE(例如通常存储于USIM中)与归属网络中的服务器(例如归属订户服务器(HSS))之间安全共享的对称根密钥(K)。AKA并不提供完全完前向保密(PFS)。也就是说,AKA并不提供在长期密钥(例如K)在将来破解时无法被破解的会话密钥。如将论述,在一实施例中,可利用PFS特性缓解AKA的潜在安全性不足。举例来说,短暂的迪菲·赫尔曼(DHE)交换可发生在移动装置与网络服务器之间。移动装置及网络服务器可各自确定个别的私钥值及公钥值。公钥可与相应私钥交换及组合以产生共享密钥。所得共享密钥可绑定到认证向量中的基础密钥(例如KASME)并用来保护网络中的通信。安全认证信息元素可用于确保移动装置及网络服务器两者均支持PFS。安全认证位可防止打压式攻击(例如中间人攻击)。
参考图1,说明可以利用本文中各种技术的移动装置100。移动装置100是用户设备(UE)且可包含或实施各种移动通信和/计算装置的功能性;实例包含(但不限于)个人数字助理(PDA)、智能电话、例如笔记本计算机、台式计算机或平板计算机等计算装置、汽车计算系统等,无论是目前存在的还是在将来开发的。
移动装置100包含处理器111(或处理器核心)和存储器140。所述移动装置可以任选地包含通过公共总线101或私人总线(图中未展示)以可操作方式连接到存储器140的受信任环境。移动装置100还可包含通信接口120和无线收发器121,所述无线收发器配置成经由无线天线122在无线网络上发送和接收无线信号123。无线收发器121连接到总线101。此处,将移动装置100说明为具有单个无线收发器121。然而,移动装置100可替代地具有多个无线收发器121和无线天线122以支持多个通信标准,例如Wi-Fi、CDMA、宽带CDMA(WCDMA)、长期演进(LTE)、蓝牙(BLUETOOTH)短程无线通信技术等。
所述通信接口120和/或无线收发器121可以支持多个载波(不同频率的波形信号)上的操作。多载波发射器可在多个载波上同时发射经调制信号。每一经调制信号可为码分多址(CDMA)信号、时分多址(TDMA)信号、正交频分多址(OFDMA)信号、单载波频分多址(SC-FDMA)信号等。每一经调制信号可在不同载波上发送且可携载导频、开销信息、数据等。
移动装置100还可包含用户接口150(例如显示器、GUI)和经由SPS天线158接收卫星定位系统(SPS)信号159(例如,来自SPS卫星)的SPS接收器155。SPS接收器155可与单一全球导航卫星系统(GNSS)或多个此类系统通信。GNSS可包含(但不限于)全球定位系统(GPS)、伽利略、格洛纳斯、北斗(指南针)等。SPS卫星还被称作卫星、宇宙飞船(SV)等。SPS接收器155整体或部分地处理SPS信号159且使用这些SPS信号159来确定移动装置100的位置。还可以利用处理器111、存储器140、DSP 112和/或专用处理器(图中未展示)来整体或部分地处理SPS信号159,和/或结合SPS接收器155来计算移动装置100的位置。使用存储器140或寄存器(图中未展示)来执行对来自SPS信号159或其它位置信号的信息的存储。尽管图1中仅展示一个处理器111、一个DSP 112和一个存储器140,但是移动装置100可使用这些组件中的任一个、一对或全部中的多于一个。处理器111和与移动装置100相关联的DSP 112连接到总线101。
存储器140可包含将功能存储为一或多个指令或代码的非暂时性计算机可读存储媒体(或多个媒体)。可构成存储器140的媒体包含(但不限于)RAM、ROM、闪存(FLASH)、光盘驱动器等。一般来说,通过通用处理器111、专用处理器或DSP 112来执行由存储器140存储的功能。因此,存储器140是存储配置成使得处理器111和/或DSP 112执行所描述的功能的软件(编程代码、指令等)的处理器可读存储器和/或计算机可读存储器。替代地,移动装置100的一或多个功能可整体或部分地在硬件中执行。
移动装置100可基于移动装置100可获得的观察及/或信息内的其它通信实体使用各种技术估计其在相关联系统内的当前位置。举例来说,移动装置100可以使用从与一或多个无线局域网(LAN)、利用短程无线通信技术(例如蓝牙或等)的个人局域网(PAN)、SPS卫星相关联的接入点(AP)获得的信息和/或从地图服务器或LCI服务器获得的地图约束数据来评估其位置。
接下来参考图2,展示实例性通信系统200的框图。通信系统200可包含长期演进(LTE)无线电接入网络(RAN),其使用LTE无线电接入技术在UE 202(即移动装置100)与演进型节点B(eNB)204(例如基站、接入点等)之间提供无线电通信。图2中的LTE网络仅为示范性的,因为可使用其它网络。为了简化论述,图2描绘UE 202及一个eNB 204,但RAN可包含任何数目的UE和/或eNB。eNB 204经由前向链路或下行链路信道将信息发射到UE 202,且UE 202可经由反向链路或上行链路信道将信息发射到eNB 204。如图所示,RAN可利用任何合适类型的无线电接入技术,例如(但不限于)LTE、LTE-A、HSPA、CDMA、高速率分组数据(HRPD)、演进型HRPD(eHRPD)、CDMA2000、GSM、GPRS、GSM演进增强数据速率(EDGE)、UMTS或类似者。
eNB 204可与实现计费(例如服务使用费等)、安全性(例如加密及完整性保护)、订户管理、移动性管理、承载管理、QoS操纵、数据流策略控制和/或与外部网络的互连的核心网络通信。RAN及核心网络可经由例如S1接口通信。核心网络可包含移动性管理实体(MME)206,其可为用于来自服务网关(S-GW)210的控制信令的端点。MME 206可提供例如移动性管理(例如跟踪)、认证和安全性等功能。MME 206可经由S1接口与RAN通信。服务网关(S-GW)210是将核心网络连接到LTE RAN的用户平面节点。MME 206可配置成经由S11接口与S-GW210通信。MME 206及S-GW 210可配置作为单一节点以提供用于源自RAN和/或终止于RAN处的用户和控制信令的单一端点。所述网络还可包含策略及计费规则功能(PCRF)212。
通信系统200还可包含分组数据网络(PDN)网关(GW)214,其促进核心网络(及RAN)与外部网络之间的通信。PDN GW 214可提供包过滤、QoS监管、计费、IP地址分配以及流量至外部网络的路由。在实例中,S-GW 210及PDN GW 214可经由S5接口通信。虽然在图2中经说明为单独节点,但应了解,S-GW 210及PDN GW 214例如可配置成作为单一网络节点操作以减少通信系统200中的用户平面节点。通信系统200还可包含可与MME 206通信的归属订户服务(HSS)实体208。通信系统200还可包含其它网络组件,例如3GPP认证、授权和计费(AAA)服务器/代理和3GPP2AAA服务器/代理(图中未展示),其配置成与彼此通信并进一步与PDNGW 214和HSS 208通信。
通信系统200可配置成经由PDN GW 214与外部网络通信。外部网络(图中未展示)可包含例如(但不限于)公共交换电话网络(PSTN)、IP多媒体子系统(IMS)和/或IP网络等网络。IP网络可为因特网、局域网、广域网、企业内部网或类似网络。图2是仅一个可能的配置的实例,且许多其它配置和额外组件可根据下文所描述的各种方面和实施方案而使用。框
可利用如图3中所说明的计算机系统300来至少部分地实施图2中的元件的功能性。图3提供计算机系统300的一个实施例的示意性说明,所述计算机系统可以执行由如本文中所描述的各种其它实施例提供的方法,和/或可以充当移动装置或其它计算机系统。举例来说,eNB 204、MME 206、HSS 208、S-GW 210、PCRF 212及PDN GW 214可由一或多个计算机系统300组成。图3提供各种组件的一般化说明,适当时可以利用所述各种组件中的任一个或全部。因此,图3大致说明可以如何以相对分离或相对更集中的方式来实施个别系统元件。
计算机系统300展示为包括可经由总线305电耦合(或适当时可以其它方式通信)的硬件元件。硬件元件可以包含:一或多个处理器310,其包含(但不限于)一或多个通用处理器和/或一或多个专用处理器(例如数字信号处理芯片、图形加速处理器和/或类似处理器);一或多个输入装置315,其可包含(但不限于)鼠标、键盘和/或类似输入装置;和一或多个输出装置320,其可包含(但不限于)显示装置、打印机和/或类似输出装置。处理器310可以包含例如智能硬件装置,例如中央处理单元(CPU)(例如那些由公司或制造的中央处理单元)、微控制器、ASIC等。还可利用其它处理器类型。
计算机系统300可以进一步包含一或多个非暂时性存储装置325(且/或与其通信),其可包括(但不限于)本地存储器和/或网络可接入存储器,且/或可包含(但不限于)磁盘驱动器、驱动阵列、光学存储装置、例如随机存取存储器(“RAM”)和/或可编程、闪存可更新的只读存储器(“ROM”)等的固态存储装置和/或类似者。此类存储装置可配置成实施任何适当的数据存储装置,包含(但不限于)各种文件系统、数据库结构和/或其类似者。
计算机系统300还可能包含通信子系统330,其可包含(但不限于)调制解调器、网卡(无线或有线)、红外线通信装置、无线通信装置和/或芯片组(例如,蓝牙短程无线通信技术收发器/装置、802.11装置、Wi-Fi装置、WiMax装置、蜂窝式通信设施等)和/或类似者。通信子系统330可准许与网络(例如,作为一个实例,下文所描述的网络)、其它计算机系统和/或本文所描述的任何其它装置交换数据。在许多实施例中,计算机系统300将如此处进一步包括工作存储器335,所述工作存储器可包含如上文所描述的RAM或ROM装置。
计算机系统300还可以包括展示为当前位于工作存储器335内的软件元件,所述软件元件包含操作系统340、装置驱动器、可执行库和/或例如一或多个应用程序345的其它代码,所述应用程序可包括由各种实施例提供、且/或可经设计成实施方法且/或配置由其它实施例提供的系统的计算机程序,如本文中所描述。仅通过实例的方式,本文所描述一或多个过程可能实施为可由计算机(和/或计算机内的处理器)执行的代码和/或指令。此类代码和/或指令可用于配置和/或调适通用计算机(或其它装置)以根据所描述方法执行一或多个操作。
这些指令和/或代码的集合可能存储在计算机可读存储媒体(例如上文所描述的存储装置325)上。在一些情况下,存储媒体可能并入到计算机系统(例如计算机系统300)内。在其它实施例中,存储媒体可能与计算机系统分离(例如,可卸除式媒体(例如压缩光盘)),和/或提供于安装包中,使得存储媒体可用以编程、配置和/或调适其上存储有指令/代码的通用计算机。这些指令可呈可由计算机系统300执行的可执行代码形式,及/或可呈源和/或可安装代码的形式,所述源和/或可安装代码在由计算机系统300编译及/或安装于所述计算机系统上后(例如,使用多种大体可用编译程序、安装程序、压缩/解压缩公用程序等中的任一者),接着呈可执行代码的形式。
参考图4,展示了3GPP长期演进(LTE)认证程序的现有技术调用流程图400。现有技术调用流程图400符合所公布的标准,例如3GPP TS 33.401。调用流程中所指示的消息表示在计算机系统之间电发射的信息(例如数据字段)。所述信息可以属于如所属领域中已知的数据类型(例如二进制、数目、固定长度字符(char)、可变长度字符(varchar)、日期等)。图400表示通信系统200可使用的安全程序,因此,图400包含UE 202(例如移动装置100)、网络402及归属网络404。网络402可包含eNodeB(eNB)204及MME 206。归属网络404至少包含HSS208。调用流程图400说明用于提供关于网络的凭证的认证与密钥协商(AKA)程序。UE 202(例如经由eNB 204)发送MME 206、包含国际移动站设备识别码(IMSI)的非接入层(NAS)请求消息410。MME 206配置成从HSS 208接收认证数据以执行用户认证。MME 206可向HSS 208发送认证信息请求消息412,其包含IMSI(例如包含于NAS附着请求消息410中)和网络身份信息(SN_id)。SN_id可包含移动国家码和移动网码。认证信息请求消息412还可包含指示网络类型(例如E-UTRAN)及所请求认证向量(AV)(图中未展示)的数目的数据字段。HSS 208配置成接收认证信息请求消息412并产生一或多个AV。在一实例中,HSS 208可从认证中心(AuC)(图中未展示)请求AV。AV包括认证令牌(AUTN)、预期响应(XRES)、随机数(RAND)及密钥接入安全管理实体(KASME)。KASME形成用于产生接入层(AS)和NAS加密及完整性密钥以于NAS信令保护及用户平面保护的基础。将认证信息响应消息414中的AV提供到MME 206。在使用AKA的其它3GPP网络(例如UMTS、GSMA)中,AV包含认证令牌(AUTN)、预期响应(XRES)、随机数(RAND)、加密密钥(CK)及完整性保密钥(IK)。CK及IK用于消息的加密和完整性保护。
MME 206可配置成经由演进型分组系统(EPS)协议来发起UE 202的认证。MME 206产生NAS认证请求消息416,其包含从归属网络404接收的AUTN值和RAND值以及基于所接收的KASME值的NAS密钥集标识符(KSIASME)。KSIASME存储在UE 202及MME 206中。UE 202配置成识别AV的新鲜度(例如通过检查是否可接受AUTN)。UE 202接着可在接受验证(例如接受AUTN)的情况下计算响应(RES)值,并接着发送包含RES值的NAS认证响应消息418。如果验证失败,那么UE 202发送认证失败消息到MME 206,其中成因(CAUSE)值指示失败原因。MME 206配置成确定RES值与XRES值是否相等。如果相等,那么认证成功。如果不相等,那么MME 206可配置成发起另外的身份请求或朝向UE 202发送认证拒收消息。
在成功认证后,MME 206可配置成启动由MME 206与UE 202之间的往返消息构成的NAS安全模式命令(SMC)程序。MME 206发送含有机密性和完整性算法的NAS安全模式命令(SMC)消息420。举例来说,NAS SMC消息420可含有重放UE安全能力、所选NAS算法、用于识别KASME的KSIASME值以及在空闲状态下的移动中创建映射上下文的情况下的NONCEUE值及NONCEMME值两者。NAS SMC消息420可基于由所述消息中的KSIASME值所指示的KASME而受到NAS完整性密钥的完整性保护(但未加密)。UE 202配置成验证NAS SMC消息420的完整性。这可包含:确保由MME 206发送的UE安全能力匹配存储于UE 202中的UE安全能力以确保攻击者并未修改这些UE安全能力,及使用所指示的NAS完整性算法和NAS完整性密钥基于由KSIASME值所指示的KASME来检查完整性保护。如果NAS安全模式命令的检查通过,那么UE 202配置成以NAS安全模式完成消息422作出响应。UE 202配置成执行NAS完整性保护及加密/解密,并配置成将经加密及完整性保护的NAS安全模式完成消息422发送到MME 206。MME 206配置成使用NAS安全模式命令中所指示的密钥和算法来解密并检查对NAS安全模式完成消息422的完整性保护。利用这种安全上下文在MME处的NAS下行链路加密可在接收NAS安全模式完成消息422之后开始。在MME 206处的NAS上行链路解密可在发送NAS SMC消息420之后开始。
在接收到NAS安全模式完成消息422之后,MME 206可配置成通过发送S1AP初始上下文设定消息424来启动eNB 204与MME 206之间的S1接口。一般来说,初始上下文设定程序的目的是建立必要的整体初始UE上下文,其包含E-UTRAN无线电接入承载(E-RAB)上下文、安全密钥、切换限制列表、UE无线电能力和UE安全能力等。所述程序使用UE关联信令。如果可在MME中使用,那么S1AP初始上下文设定消息424可含有跟踪激活信息元素(IE)、切换限制列表IE(其可含有漫游、区域或接入限制)、UE无线电能力IE、用于RAT/频率优先级的订户文件ID IE、CS回退指示符IE、SRVCC操作可能IE、CSG成员地位IE、注册LAI IE、指示为UE服务的MME的GUMMEI ID IE、指示由MME指派的MME UE S1AP ID的MME UE S1AP ID 2IE、基于管理的MDT允用IE,以及用于RAT/频率优先级的订户文件ID IE。eNB可配置成经由例如3GPPTS25.331协议规范中所描述的无线电资源控制(RRC)协议来发起与UE 202的安全通信。eNB可发送RRC SMC消息426到UE 202,且UE 202可配置成产生RRC安全模式完成消息428,如本文说明书中所描述。
参考图5,进一步参考图2,展示了具有完全前向保密(PFS)的实例性认证程序的调用流程图500。图500表示通信系统200可使用的安全程序,因此,图500包含UE 202(例如移动装置100)、网络502及归属网络504。网络502可包含eNodeB(eNB)204及MME 206。归属网络504至少包含假设支持具有PFS特性的AKA的HSS 208。调用流程图500通过增添完全前向保密(PFS)特性来改进图4中所描述的认证与密钥协商(AKA)程序。图500中的新的或经改进字段(例如与图4中的调用流程相比)标记有‘PFS’前缀并在图500中用下划线突出显示。以斜体字指示任选元素。在相应过程方框中指示图500中的新计算程序(例如阶段)。
UE 202可配置成发送PFS NAS附着请求510到MME 206。PFS NAS附着请求510包含识别信息(例如IMSI)且还可以任选地包含UE PFS信息元素(IE)。UE PFS IE可为布尔数据位或任何数据类型,以指示UE 202能够处理具有PFS特性的AKA。然而,UE PFSIE是任选的,因为UE处理具有PFS特性的AKA的能力可以其它方式(例如经由存在于其它消息交换中的信息元素)来确立。在接收到请求后,MME 206配置成从归属网络504(例如HSS 208)请求认证向量。MME 206产生PFS认证信息请求消息512,其包含UE安全信息(例如IMSI)、指示网络类型(例如E-UTRAN)的数据字段以及对于网络502支持PFS特性的指示(例如MME(SN)PFS信息元素)。PFS认证信息请求消息512通常是具有属性值对(AVP)作为信息元素的diameter协议消息。MME(SN)PFS信息元素可为布尔值或其它数据值,并用来指示网络502支持PFS特性。此指示可用于帮助防止中间人(MiM)攻击。也就是说,拦截PFS NAS附着请求510的恶意站无法在没有MME(SN)PFS信息元素的情况下仅仅将PFS NAS附着请求消息转发到归属网络504,并无法试图强迫UE使用不具PFS特性的AKA协议。
HSS 208配置成接收PFS认证信息请求消息512并确定网络502是否支持PFS特性。如果支持PFS,那么在阶段526处,HSS 208配置成产生认证令牌(AUTN)。在此情况下,认证令牌(AUTN)中的认证管理域(AMF)中的字段经设定成指示网络502支持PFS特性(例如布尔位经设定成1)。这可被称为PFS位。如果网络502不支持PFS特性,那么PFS位经设定成指示不支持PFS且将使用标准AKA协议的值(例如布尔位经设定成零)。HSS 208产生包含认证向量(AV)的PFS认证信息响应消息514。PFS认证信息响应消息514中的AV包含具有上述PFS位的认证令牌(AUTN)、预期响应(XRES)值、随机数(RAND)值和密钥接入安全管理实体(KASME)值。
UE 202及MME 206配置成分别在阶段521及524处产生相应对的公开及私人短暂迪菲·赫尔曼(DHE)密钥。迪菲·赫尔曼对可例如使用椭圆曲线密码术或有限域算术产生。作为一实例而非限制,所述DHE对可描述于1977年9月6日申请且名为“加密设备及方法(Cryptographic Apparatus and Method)”的美国专利案第4,200,770号中。UE 202配置成产生UE私钥值(DHEpriKeyUE)及UE公钥值(DHEpubKeyUE)。MME 206配置成产生MME私钥值(DHEpriKeyMME)及MME公钥值(DHEpubKeyMME)。私钥(DHEpriKeyUE、DHEpriKeyMME)通常是使用加密安全的伪随机数产生器(CSPRNG)产生,但可使用可供相应系统使用的其它机密的(及优选地不确定的)信息。还通过所述相应系统产生相对应的公钥。可由UE 202及MME 206提前选择及产生(例如预先计算)DHE密钥对,以减小潜在网络攻击的影响(例如由于产生DHE密钥而导致的处理延迟)。应注意,UE可在阶段521之前的任何时间产生其DHE对,且MME可在阶段530之前的任何时间或在阶段530中产生其DHE对。
UE 202及MME 206配置成在AKA认证程序期间交换其公钥且各自导出共享密钥(例如sharedDHkey)。举例来说,MME 206产生PFS NAS认证请求消息516,其包含从HSS 208接收的AUTN值和RAND值以及基于所接收的KASME值的NAS密钥集标识符(KSIASME)。在阶段528处,如果UE 202能够处理PFS特性,那么UE 202配置成确定AUTN值中的PFS位是否指示支持PFS特性。如果UE 202并未配置成支持PFS特性,那么消息交换可在标准AKA程序下继续(例如,所述UE发送图4中所描述的NAS认证响应消息418)。UE 202还配置成确定AUTN值是否新鲜,如先前所描述。如果接受AUTN值且设定PFS位,那么UE 202计算RES值并向MME 206提供PFSNAS认证响应消息518,其包含RES值和UE公钥值((即DHEpubKeyUE)。如果接受AUTN值但PFS位未经设定(例如值为零),那么UE 202可决定异常终止与不支持PFS特性的网络的连接程序,或可根据标准AKA程序计算并发送RES(例如,所述UE发送图4中所描述的NAS认证响应消息418)。如果AUTN验证失败,那么UE 202发送认证失败消息到MME 206,其中成因值指示失败原因。
在接收到PFS NAS认证响应消息518之后,在阶段530处,MME 206配置成确定RES值是否等于XRES值并接着基于所接收的UE公钥(即DHEpubKeyUE)导出迪菲·赫尔曼共享密钥(即sharedDHEkey)。应了解,如果UE的认证失败(即,RES值不等于XRES),那么网络可拒绝附着请求且不会在执行昂贵的不对称密码操作上浪费计算资源。这有助于减轻恶意UE的任何拒绝服务攻击。共享密钥随后经绑定到从HSS 208接收的KASME值(例如会话密钥)且所绑定的密钥用来保护所有后续NAS流量。举例来说,所绑定的密钥可指定为K'ASME(例如KASME-撇号)且可基于KASME和共享密钥的密钥导出函数(KDF)而产生。也就是说,K'ASME=KDF(KASME,sharedDHEkey)。KDF可为加密散列函数(例如SHA256、SHA512、SHA3等)。所得K'ASME值可在后续LTE安全程序中用作KASME值。
MME 206还发送PFS NAS SMC消息520,其包含MME公钥(即DHEpubKeyMME)以及机密性和完整性算法。举例来说,PFS NAS SMC消息520可含有重放UE安全能力、所选NAS算法、用于识别KASME的KSIASME值以及在空闲状态下的移动中创建映射上下文的情况下的NONCEUE值及NONCEMME值两者。PFS NAS SMC消息520可基于由所述消息中的KSIASME值所指示的KASME而受到NAS完整性密钥的完整性保护(但未加密)。UE 202配置成验证PFS NAS SMC消息520的完整性。这可包含:确保由MME发送的UE安全能力匹配存储于UE中的UE安全能力以确保攻击者并未修改这些UE安全能力,及使用所指示的NAS完整性算法和NAS完整性密钥基于由KSIASME值所指示的KASME来检查完整性保护。在阶段532处,UE 202配置成基于MME公钥(例如DHEpubKeyMME)导出迪菲·赫尔曼共享密钥(例如sharedDHEkey)。所述sharedDHEkey随后经绑定到KASME值(例如,如由KSIASME值所识别)以产生如本文中所描述的K'ASME。所得K'ASME值可在所有后续LTE安全程序中用作KASME值。
如果基于PFS NAS SMC消息520的检查通过(例如,由MME发送的UE安全能力匹配存储于UE中的UE安全能力,且完整性保护基于由KSIAMSE值指示的KAMSE而使用所指示的NAS完整性算法和NAS完整性密钥),那么UE 202配置成以PFS NAS安全模式完成消息522作出响应。UE 202配置成执行基于K'ASME的NAS完整性保护及加密/解密,并配置成将(例如基于K'ASME)经加密及完整性保护的PFS NAS安全模式完成消息522发送到MME 206。MME 206配置成使用PFS NAS SMC消息520中所指示的基于K'ASME的密钥和其它算法来解密并检查对PFS NAS安全模式完成消息522的完整性保护。
参考图6,进一步参考图2、4及5,展示了具有完全前向保密(PFS)的另一实例性认证程序的调用流程图600。图600表示通信系统200可使用的替代性安全程序,因此,图600包含UE 202(例如移动装置100)、网络602及归属网络604。网络602可包含eNodeB(eNB)204及MME 206。归属网络604至少包含假设支持具有PFS特性的AKA的HSS 208。调用流程图600通过增添完全前向保密(PFS)特性来改进图4中所描述的认证与密钥协商(AKA)程序。图600还包含先前在图5中所描述的一些消息。举例来说,UE 202可配置成将PFS NAS附着请求510发送到MME 206。在接收到请求后,MME 206配置成从归属网络604(例如HSS 208)请求认证向量。MME 206产生PFS认证信息请求消息512(例如包含MME(SN)PFS信息元素)并将其提供到归属网络604。归属网络604(例如HSS 208)配置成接收PFS认证信息请求消息512并确定网络602是否支持PFS特性。如果支持PFS,那么在阶段526处,HSS 208配置成产生包含图5中所论述的PFS位的认证令牌(AUTN)。如果网络602不支持PFS特性,那么PFS位经设定成指示不支持PFS且将使用标准AKA协议的值(例如布尔位经设定成零)。HSS 208产生包含认证向量(AV)的PFS认证信息响应消息514。PFS认证信息响应消息514中的AV包含具有上述PFS位的认证令牌(AUTN)、预期响应(XRES)值、随机数(RAND)值和密钥接入安全管理实体(KASME)值。
UE 202及MME 206配置成分别在阶段521及524处产生相应对的公开及私人短暂迪菲·赫尔曼(DHE)密钥。UE 202配置成产生UE私钥值(DHEpriKeyUE)及UE公钥值(DHEpubKeyUE)。MME 206配置成产生MME私钥值(DHEpriKeyMME)及MME公钥值(DHEpubKeyMME)。私钥(DHEpriKeyUE、DHEpriKeyMME)通常是使用加密安全的伪随机数产生器(CSPRNG)产生,但可使用可供相应系统使用的其它机密信息。可通过所述相应系统以类似不确定方式产生相对应的公钥。可由UE 202及MME 206提前选择及产生(例如预先计算)DHE密钥对,以减小潜在网络攻击的影响(例如由于产生DHE密钥而导致的处理延迟)。应注意,MME可在阶段524之前的任何时间产生其DHE对,且UE可在阶段521之前的任何时间产生其DHE对。
UE 202及MME 206配置成在AKA认证程序期间交换其公钥且各自导出共享密钥(例如sharedDHkey)。与图5中的PFS NAS认证请求消息516相对比,在图6中的调用流程中,MME206产生PFS NAS认证请求消息616,其包含从HSS 208接收的AUTN值和RAND值、基于所接收的KASME值的NAS密钥集标识符(KSIASME)以及MME公钥(即DHEpubKeyMME)。在阶段628处,UE 202配置成确定AUTN值中的PFS位是否指示支持PFS特性,且确定MME公钥(即DHEpubKeyMME)是否存在于PFS NAS认证请求消息616中。
UE 202还配置成确定AUTN值是否新鲜,如先前所描述。如果接受AUTN值且设定PFS位,且随后MME公钥(即DHEpubKeyMME)存在,那么UE 202计算RES值并向MME 206提供PFS NAS认证响应消息518,其包含RES值和UE公钥值(即DHEpubKeyUE)。如果接受AUTN值,但PFS位未经设定(例如值为零),且MME公钥(即DHEpubKeyMME)不存在,那么UE 202可决定异常终止与不支持PFS特性的网络的连接程序,或可根据标准AKA程序计算并发送RES(例如,所述UE发送图4中所描述的NAS认证响应消息418)。如果设定PFS位,但MME公钥(即DHEpubKeyMME)不存在或AUTN验证失败(例如,不管PFS值如何及MME公钥存在与否),那么UE 202将认证失败消息发送到MME 206。在一实例中,失败消息可包含指示失败原因的成因值。
在阶段530处,MME 206配置成确定RES值是否等于XRES值并接着基于所接收的UE公钥(即,PFS NAS认证响应消息518中的DHEpubKeyUE)导出迪菲·赫尔曼共享密钥(即sharedDHEkey)。共享密钥随后经绑定到从HSS 208接收的KASME值且所绑定的密钥用来保护所有后续NAS流量。举例来说,所绑定的密钥可指定为K'ASME(例如KASME-撇号)且可基于KASME和共享密钥的密钥导出函数(KDF)产生。也就是说,K'ASME=KDF(KASME,sharedDHEkey)。KDF可为加密散列函数(例如SHA256、SHA512、SHA3等)。所得K'ASME值可在LTE网络中用作KASME值。在阶段632处,UE 202配置成基于MME公钥(例如DHEpubKeyMME)导出迪菲·赫尔曼共享密钥(例如sharedDHEkey)。所述sharedDHEkey随后经绑定到KASME值(例如,如由KSIASME值所识别)以产生如本文中所描述的K'ASME。所得K'ASME值可在后续LTE安全程序中用作KASME值。
MME 206发送PFS NAS SMC消息620,其包含机密性及完整性算法。举例来说,PFSNAS SMC消息620可含有重放UE安全能力、所选NAS算法以及在空闲状态下的移动中创建映射上下文的情况下的NONCEUE值及NONCEMME值两者。在一实施例中,PFS NAS SMC消息620可基于在阶段530处确定的K'ASME而受到NAS完整性密钥的完整性保护(但未加密)。UE 202配置成验证PFS NAS SMC消息620的完整性。这可包含:确保由MME发送的UE安全能力匹配存储于UE中的UE安全能力以确保攻击者并未修改这些UE安全能力,及使用所指示的NAS完整性算法和NAS完整性密钥基于在阶段632处导出的K'ASME来检查完整性保护。
如果基于PFS NAS SMC消息620的检查通过(例如,由MME发送的UE安全能力匹配存储于UE中的UE安全能力,且完整性保护使用所指示的NAS完整性算法和基于K'ASME的NAS完整性密钥),那么UE 202配置成以PFS NAS安全模式完成消息522作出响应。UE 202配置成执行基于K'ASME的NAS完整性保护及加密/解密,并配置成将经加密及完整性保护的PFS NAS安全模式完成消息522发送到MME 206。MME 206配置成使用PFS NAS SMC消息620中所指示的基于K'ASME的密钥和其它算法来解密并检查对PFS NAS安全模式完成消息522的完整性保护。
除了包含与PFS特性相关联的安全方面之外,图5及6中所提供的调用流程实例提供对打压式攻击(例如其中恶意实体修改消息交换的中间人攻击)的保护。也就是说,调用流程防止中间人将“具有PFS的AKA”程序打压为“不具PFS的AKA”程序。当订户的归属网络(例如HSS 208)支持PFS时,暗示HSS理解从MME接收的指示(例如MME(SN)PFS信息元素),且可在AKA认证向量(AV)产生期间在认证令牌(AUTN)中设定AMF域中的PFS位。一般来说,如果网络(例如MME)支持PFS,那么向归属网络(例如HSS)指示其对PFS的支持而作为AV请求的一部分。此指示包含到HSS,即使UE不在附着请求中指示PFS支持。所述HSS在AUTN中设定AMF位(例如PFS位)。AUTN在HSS与UE之间受到完整性保护。支持PFS的UE配置为检查是否在AUTN中设定PFS位。如果设定了PFS但在没有PFS的情况下执行AKA,那么UE将拒绝认证。不支持PFS的UE可忽略位检查。如果网络(例如MME)不支持PFS(即,PFS位在AV中经设定为零),那么可调用UE策略以确定UE是否利用所述网络继续不具PFS的认证。
参考图7,进一步参考图1至6,用于提供与移动装置安全通信的过程700包含所示阶段。然而,过程700仅为一实例并且没有限制性。可以例如通过添加、移除、重新布置、组合及/或并行地执行各阶段来更改过程700。举例来说,可在先前计算UE公钥和UE私钥。过程700可在移动装置100上执行,所述移动装置也是通信系统200中的UE 202的一实例。
在阶段702处,移动装置中100的处理器111和无线收发器121配置成产生附着请求。在一实施例中,所述附着请求可包含PFS支持指示符。处理器111和无线收发器121是用于产生附着请求的装置。附着请求可为移动装置100与通信网络之间的无线通信,例如LTE、LTE-A、HSPA、CDMA、高速率分组数据(HRPD)、演进型HRPD(eHRPD)、CDMA2000、GSM、GPRS、GSM演进增强数据速率(EDGE)、UMTS或类似者。通信系统可利用‘具有PFS的AKA’协议来保护网络中的消息流。产生附着请求可为经由eNB 204将PFS NAS附着请求510从移动装置发送到MME 206。PFS支持附着请求可任选地包含布尔位或任何数据类型,例如PFS NAS附着请求510中的任选UE PFS信息元素。
在阶段704处,移动装置中100的处理器111和无线收发器121配置成接收具有认证令牌的认证请求,以使得所述认证令牌包含服务小区对PFS支持的指示。认证令牌的值至少部分地基于网络支持指示符(例如MME PFS)。也就是说,认证令牌配置成指示网络是否支持PFS。举例来说,网络对PFS的支持的指示可为PFS认证信息响应消息514中的AUTN字段。认证令牌可包含数据字段(例如位、字节)作为网络支持PFS的指示(例如AUTN中的PFS位)。
在阶段706处,移动装置中100的处理器111配置成确定网络是否支持完全前向保密(PFS)。在阶段704处接收的令牌可包含PFS位(例如AMF位)以指示网络是否支持PFS。如果网络不支持PFS(即,PFS位等于零),那么在阶段716处,移动装置100配置成提供不含UE公钥值的认证响应。举例来说,参考图4,认证响应可为NAS认证响应消息418。在阶段718处,移动装置100配置成执行例如图4中所描绘的标准AKA认证程序。
如果移动装置100确定网络支持PFS(例如AUTN中的PFS位等于1),那么移动装置中100的处理器111配置成在阶段708处将UE公钥值提供到网络(例如作为认证回应)。处理器111和无线收发器121是用于将UE公钥值提供到网络的装置。举例来说,处理器111配置成产生UE公钥值和UE私钥值。产生公钥和私钥作为迪菲·赫尔曼对。处理器111是用于产生UE私钥和公钥的装置。处理器111可配置成产生加密安全的伪随机数产生器(CSPRNG)作为UE私钥值。UE公钥值还可由处理器111以不确定方式产生。UE私钥值和公钥值可在执行过程700之前产生,且存储在移动装置上的存储器中并根据需要检索。在图5中的LTE实例中,移动装置100可向MME 206提供PFS NAS认证响应消息518,其包含RES值及UE公钥值(即DHEpubKeyUE)。
在阶段710处,移动装置中的无线收发器121和处理器111配置成从网络接收网络公钥值。举例来说,移动装置100可配置成从网络502(例如经由eNB 204从MME 206)接收PFSNAS SMC消息520。PFS NAS SMC消息520可包含网络公钥(例如DHEpubKeyMME)以及机密性和完整性算法。
在阶段712处,移动装置中100的处理器111配置成基于网络公钥值和UE私钥值来确定共享密钥值。举例来说,处理器111配置成基于所接收的网络公钥值(即,DHEpubKeyMME)和先前产生的UE私钥值(DHEpriKeyUE)导出迪菲·赫尔曼共享密钥(即sharedDHEkey)。
在阶段714处,移动装置中100的处理器111配置成将共享密钥值与会话密钥值绑定并使用所绑定的共享密钥值来保护后续网络流量。将共享密钥值与会话密钥值绑定可包含对共享密钥值与会话密钥值的串联执行加密散列(例如,SHA256(共享密钥,根密钥))。参考图5,共享密钥值(即sharedDHEkey)经绑定到KASME值。所得绑定的共享密钥值经指定为K'ASME且可基于KASME和共享密钥的密钥导出函数(KDF)产生。也就是说,K'ASME=KDF(KASME,sharedDHEkey)。KDF可为加密散列函数(例如SHA256、SHA512、SHA3等)。所得K'ASME值(即,所绑定的共享密钥值)在LTE网络中用作KASME值。也就是说,所绑定的共享密钥值用来保护后续网络流量。
参考图8,进一步参考图1至6,用于提供与网络服务器安全通信的过程800包含所示阶段。然而,过程800仅为一实例并且没有限制性。可例如通过添加、移除、重新布置、组合及/或并行地执行各阶段来更改过程800。举例来说,可通过过程800来预先计算网络公钥值和私钥值,且将其存储于存储器中并根据需要检索。过程800可在计算机系统300上执行,所述计算机系统也是通信系统200中的MME 206的一实例。
在阶段802处,计算机系统300的通信子系统330和处理器310配置成从UE接收附着请求。在一实例中,所述附着请求可包含任选PFS支持指示符。网络502可包含作为用于接收附着请求的装置的计算机系统300。在图5中的LTE实例中,网络502从UE 202接收PFS NAS附着请求510。PFS NAS附着请求包含识别信息(例如IMSI)且可以任选地包含UE PFS信息元素(IE)。任选的UE PFS IE是配置成指示UE 202支持PFS特性的数据字段(例如布尔位或其它字符)。PFS NAS附着请求510是从UE 202发送到MME 206。
在阶段804处,计算机系统300中的通信子系统330和处理器310配置成将包含网络支持指示符的认证请求发送到网络资源。标准AKA程序要求网络(例如MME)向归属网络(例如HSS)请求认证向量。向AKA协议增添PFS改进通信系统200上的安全强度。假设UE的归属网络支持PFS。然而,由于可能存在许多不同的可供UE使用的网络,所以有可能的是,UE可以附着到不支持PFS的网络。因此,还有可能的是,中间人可能试图将所请求的‘具有PSF的AKA’协议打压成‘不具PFS的AKA’协议。过程800可通过要求网络向归属网络指示其支持PFS的能力来消除这种风险。在LTE实例中,此指示包含在PFS认证信息请求消息512中,作为对于网络支持PFS特性的指示(例如MME(SN)PFS信息元素)。认证请求通常是具有属性值对(AVP)作为信息元素的diameter协议消息,但在其它网络中,可使用其它数据值或类型来指示网络支持PFS特性。
在阶段808处,通信子系统330和处理器310配置成从网络资源接收认证令牌,以使得所述认证令牌包含网络支持PFS的指示。响应于接收在阶段804处提供的认证请求,网络资源可以一或多个认证向量作出响应。认证向量包含在网络资源与UE之间受到完整性保护的认证令牌。认证令牌的值至少部分地基于网络支持指示符。也就是说,认证令牌配置成指示网络(例如,在阶段804处提供认证请求的网络)是否支持PFS。举例来说,认证令牌可以是PFS认证信息响应消息514中的AUTN字段。认证令牌可包含数据字段(例如位、字节)作为网络支持PFS的指示(例如AUTN中的PFS位)。
在阶段810处,通信子系统330和处理器310配置成将认证令牌提供到UE。在LTE实例中,认证令牌可经由RAT(例如eNB 204)提供且可包含在PFS NAS认证请求消息516、616中的一者(即AUTN值)中。在阶段812处,网络配置成接收包含UE公钥值的认证响应。计算机300中的通信子系统330是用于接收认证响应的装置。举例来说,认证响应可以是包含RES值和UE公钥值(即DHEpubKeyUE)的PFS NAS认证响应消息518。
在阶段814处,处理器310配置成确定在阶段812中接收的认证响应是否是预期响应。预期响应例如是其中响应值(例如RES)等于先前存储的预期响应值(例如XRES)的预期响应。在LTE实例中,RES值包含在PFS NAS认证响应消息518中,且XRES值包含在从网络资源接收的认证向量中。处理器310配置成对所述两个值执行逻辑比较运算。如果所述两个值不匹配,那么在阶段818处拒绝UE的附着请求。
在阶段806处,计算机系统300中的处理器310配置成产生网络公钥值和网络私钥值。网络公钥值和私钥值可以是使用椭圆曲线密码术产生的迪菲·赫尔曼对。还可使用其它不确定方法(例如CSPRNG的结果)来产生密钥。密钥集合可在执行过程800之前预产生并存储在存储器中。可通过过程800根据需要从存储器中检索一对密钥。
在阶段816处,处理器310配置成基于网络私钥值和UE公钥值来确定共享密钥值。共享密钥值是基于在阶段812处接收的所接收UE公钥(即DHEpubKeyUE)及在阶段806处产生的网络私钥的迪菲·赫尔曼共享密钥(即sharedDHEkey)。
在阶段820处,处理器310配置成将共享密钥值与会话密钥值绑定并使用所绑定的共享密钥值来保护后续网络流量。一般来说,从在UE与网络资源之间共享的对称根密钥中导出会话密钥值。AKA程序中的会话密钥的实例是KASME密钥值。共享密钥值可经由密钥导出函数(KDF)绑定到会话密钥值(例如KASME)。KDF可为加密散列函数(例如SHA256、SHA512、SHA3等)。也可以使用其它绑定算法。在图5中所描述的LTE实例中,所绑定的共享密钥是K'ASME,其是利用KDF函数(例如,K'ASME=KDF(KASME,sharedDHEkey))而产生的。所得K'ASME值可用作KASME值以保护LTE网络中的后续流量。
参考图9,进一步参考图1至6,用于防止对具有强安全协议的系统的打压式攻击的过程900包含所示阶段。然而,过程900仅为一实例并且没有限制性。例如,可通过添加、移除、重新布置、组合及/或并行地执行各阶段来更改过程900。过程900可在包含于网络502中的计算机系统300上执行。
在阶段902处,计算机系统300的通信子系统330和处理器310配置成从用户设备接收附着请求。在一实例中,强安全协议支持PFS特性。因此,在相对比较中,支持PFS的AKA程序比不支持PFS的AKA程序强。在LTE实例中,UE 202配置成将PFS NAS附着请求510发送到计算机系统300。
在阶段904处,计算机系统300中的通信子系统330和处理器310配置成将认证请求发送到归属网络,以使得所述认证请求包含网络支持强安全协议的指示。在一实例中,计算机系统300配置成向归属网络请求认证向量并产生认证请求,所述认证请求包含与用户设备相关联的安全信息(例如IMSI),和指示网络类型(例如E-UTRAN)的数据字段以及对于网络支持强安全协议的指示。PFS认证信息请求消息512是在阶段904发送的认证请求的实例。相对应的MME(SN)PFS信息元素是网络支持强安全协议(例如具有PFS的AKA)的指示的实例。认证请求有助于防止中间人(MiM)将具有PFS的AKA打压为标准AKA协议。在一实例中,可能拦截在阶段902处接收的附着请求的MiM(例如站)无法仅仅将所述附着请求转发到归属网络,是因为所得转发消息将不包含网络支持强安全协议(例如具有PFS的AKA)的指示。
在阶段906处,计算机系统300中的通信子系统330和处理器310配置成从归属网络接收完整性保护令牌,以使得所述完整性保护令牌包含配置成指示网络支持强安全协议的至少一个位。完整性保护令牌在用户设备与归属网络之间提供完整性保护。在LTE实例中,认证令牌AUTN是完整性保护令牌。在AUTN中,认证管理域(AMF)中的字段可设定成指示网络支持PFS特性(例如,布尔位设定成1)。AUTN中的PFS位是配置成指示网络支持强安全协议的至少一个位的实例。举例来说,如果网络支持强安全协议,那么PFS位可设定成指示支持强安全协议的值(例如PFS位经设定成1)。相反,如果网络不支持强安全协议,那么PFS位可设定成零。
在阶段908处,计算机系统300中的通信子系统330和处理器310配置成将完整性保护令牌发送到用户设备。用户设备可配置成剖析来自完整性保护令牌的至少一个位以确定网络是否支持强安全协议。在图5所描述的LTE实例中,用户设备可配置成确定AUTN值中的PFS位是否指示支持PFS特性。如果设定了PFS位(且其它认证值有效),那么用户设备向网络提供迪菲·赫尔曼公钥。公钥是相对较弱安全协议(例如不具PFS的AKA)并不需要的强安全协议的组成部分。如果完整性保护令牌中的PFS位未经设定(例如值为零),那么用户设备可配置成根据较弱安全协议作出响应。自完整性保护令牌在用户设备与归属网络之间提供保护以来,强安全协议无法经打压成弱安全协议,是因为中间人无法改变完整性保护令牌的值。
具有PFS特性的认证程序不限于图5及6中所描绘的调用流程。举例来说,在移动场景中,UE可启动服务请求或位置区更新或跟踪区更新(TAU)请求消息而非PFS NAS附着请求510。UE可以任选地在这些消息中指示其对PFS的支持(例如通过包含UE PFS IE)。因此,如果MME已改变或MME决定发起新AKA,那么可按需要执行具有PFS特性的新AKA。此外,PFS特性可经实施以用于接入层(AS)安全。类似于KASME(及其它NAS安全密钥),上述短暂的DHE方法可用于在eNB与UE之间设置具有PFS特性的AS安全密钥。KeNB和其它AS安全密钥可绑定到在KeNB与UE之间导出的sharedDHEkey。举例来说,eNB 204和UE 202可使用RRC消息交换(例如RRCConnectionSetupComplete及RRC安全模式命令)来交换DHE公钥,以交换相应的迪菲·赫尔曼公钥并设置具有PFS特性的AS安全密钥。PFS特性的这种实施方案防止在将来破解导出AS安全密钥的NAS级密钥(例如KASME)的情况下破解UE与eNB之间经过的空中(OTA)流量的机密性。这可随着UE在空闲模式与活动模式之间转变或在UE在空闲模式移动期间移动到不同eNB时发生。
可根据特定需求进行实质性变化。举例来说,还可使用定制硬件,和/或可将特定元件实施于硬件、软件(包括便携式软件,如小程序等)或两者中。另外,可采用到其它计算装置(例如网络输入/输出装置)的连接。
计算机系统(例如计算机系统300)可用于执行根据本公开的方法。响应于处理器310执行工作存储器335中所含的一或多个指令的一或多个序列(其可并入到操作系统340和/或例如应用程序345的其它代码中),可以通过计算机系统300来执行这类方法的程序中的一些或全部。可以将这类指令从例如存储装置325中的一或多个的另一计算机可读媒体读取到工作存储器335中。仅通过实例的方式,工作存储器335中所含的指令的序列的执行可以使得处理器310执行本文中所描述的方法的一或多个程序。
如本文中所使用,术语“机器可读媒体”和“计算机可读媒体”指代参与提供致使机器以特定方式操作的数据的任何媒体。在使用移动装置100和/或计算机系统300来实施的一实施例中,各种计算机可读媒体可以参与向处理器111、310提供指令/代码以用于执行且/或可以用于存储和/或携载这类指令/代码(例如作为信号)。在许多实施方案中,计算机可读媒体为物体及/或有形存储媒体。此媒体可以采用许多形式,包含(但不限于)非易失性媒体、易失性媒体和发射媒体。非易失性媒体包含例如光盘和/或磁盘,例如存储装置140、325。易失性媒体包含(但不限于)动态存储器,例如工作存储器140、335。发射媒体包含(但不限于)同轴缆线、铜线和光纤以及通信子系统330的各种组件(和/或通信子系统330借以提供与其它装置的通信的媒体),所述光纤包含包括总线101、305的电线。因此,发射媒体还可呈波的形式(包含(但不限于)无线电、声波和/或光波,例如,在无线电波及红外线数据通信期间产生的那些波)。
常见形式的物理及/或有形计算机可读媒体包含例如软盘、软磁盘、硬盘、磁带或任何其它磁性媒体、CD-ROM、蓝光光盘、任何其它光学媒体、打孔卡、纸带、具有孔图案的任何其它物理媒体、RAM、PROM、EPROM、快闪EPROM、任何其它存储器芯片或盒带、如下文所描述的载波或计算机可从其读取指令及/或代码的任何其它媒体。
各种形式的计算机可读媒体可以参与将一或多个指令的一或多个序列携载到处理器111、310以供执行。仅举例来说,最初可将指令携载于远程计算机的磁盘和/或光盘上。远程计算机可以将指令加载到其动态存储器中且经由发射媒体将指令作为信号发送以便由移动装置100和/或计算机系统300接收和/或执行。根据本发明的各种实施例,可能呈电磁信号、声学信号、光信号及/或其类似者的这些信号皆为可在其上编码指令的载波的实例。
上文所论述的方法、系统和装置是实例。各种替代配置可在适当时省略、取代或添加各种程序或组件。举例来说,在替代方法中,可按不同于上文所论述的次序的次序执行各阶段,并且可添加、省略或组合各个阶段。又,可以各种其它配置组合关于某些配置所描述的特征。可以类似方式组合配置的不同方面和元件。并且,技术发展,且因此元件中的许多为实例且并不限制本公开或权利要求的范围。
在描述中给出特定细节以提供对实例配置(包含实施方案)的透彻理解。然而,可在并无这些特定细节的情况下实践配置。举例来说,已在并无不必要细节的情况下展示熟知电路、过程、算法、结构和技术以便避免混淆配置。此描述仅提供实例配置,且并不限制权利要求的范围、适用性或配置。实际上,对配置的先前描述将向所属领域的技术人员提供用于实施所描述技术的使能性描述。在不脱离本发明的精神或范围的情况下,可对元件的功能及布置作出各种改变。
可将配置描述为描绘为流程图或框图的过程。尽管每一流程图或框图可将操作描述为循序过程,但许多操作可并行地或同时地执行。此外,操作的次序可重新布置。过程可具有图式中未包含的额外步骤。此外,方法的实例可由硬件、软件、固件、中间件、微码、硬件描述语言或其任何组合实施。当以软件、固件、中间件或微码实施时,用以执行必要任务的程序代码或代码段可存储在例如存储媒体的非暂时性计算机可读媒体中。处理器可执行所描述的任务。
如本文所使用(包含在权利要求书中),以“中的至少一者”结尾的项目的列表中所使用的“或”指示分离性列表,以使得例如“A、B或C中的至少一者”的列表意味着A或B或C,或AB或AC或BC或ABC(即A和B和C),或与多于一个特征的组合(例如AA、AAB、ABBC等)。
如本文中所使用(包含在权利要求书中),除非另有陈述,否则功能或操作是“基于”项目或条件的陈述意味所述功能或操作是基于所陈述的项目或条件且可基于除了所陈述的项目或条件之外的一或多个项目和/或条件。
在已描述若干实例配置之后,可在不脱离本公开的精神的情况下使用各种修改、替代性构造和等效物。举例来说,以上元件可为较大系统的组件,其中其它规则可优先于本发明的应用或以其它方式修改本发明的应用。并且,可在考虑以上元件之前、期间或之后进行多个步骤。因此,以上描述并不约束权利要求书的范围。

Claims (30)

1.一种用于在用户设备与网络之间提供具有完全前向保密PFS的认证与密钥协商协议的方法,所述方法包括:
通过所述用户设备产生附着请求;
通过所述用户设备接收认证令牌,所述认证令牌包含所述网络对PFS的支持的指示;
通过所述用户设备确定所述网络是否支持PFS;
通过所述用户设备将UE公钥值提供到所述网络;
通过所述用户设备从所述网络接收网络公钥值;
通过所述用户设备基于所述网络公钥值和UE私钥值来确定共享密钥值;
通过所述用户设备将所述共享密钥值与会话密钥值绑定以产生绑定的共享密钥值;以及
通过所述用户设备利用所述绑定的共享密钥值来保护后续网络流量。
2.根据权利要求1所述的方法,其中所述附着请求包含所述用户设备支持PFS的指示。
3.根据权利要求1所述的方法,其中通过所述用户设备产生附着请求包括产生服务请求、跟踪区请求或位置更新请求中的一个。
4.根据权利要求1所述的方法,其中通过所述用户设备将所述共享密钥值与所述会话密钥值绑定包括确定所述共享密钥值和/或所述会话密钥值的密码散列。
5.根据权利要求1所述的方法,其中所述会话密钥值为KASME
6.根据权利要求1所述的方法,其中所述会话密钥值是密码密钥CK或完整性密钥IK中的至少一个。
7.根据权利要求1所述的方法,其中将所述UE公钥值提供到所述网络包含通过所述用户设备使用椭圆曲线密码术产生短暂的迪菲·赫尔曼对。
8.根据权利要求1所述的方法,其中将所述UE公钥值提供到所述网络包含通过所述用户设备使用有限域算术产生短暂的迪菲·赫尔曼对。
9.根据权利要求1所述的方法,其包括:
在所述UE确定所述网络不支持PFS的情况下拒绝连接到所述网络。
10.根据权利要求1所述的方法,其中所述认证令牌包含认证管理域AMF位值,其配置成指示所述网络支持PFS。
11.一种用于在用户设备UE与网络之间提供具有完全前向保密PFS的认证与密钥协商协议的设备,所述设备包括:
存储器;
至少一个处理器,其可操作地耦合到所述存储器并配置成:
从UE接收附着请求;
将包含网络支持指示符的认证请求提供到网络资源;
从所述网络资源接收认证令牌,其中所述认证令牌包含网络支持PFS的指示;
将所述认证令牌提供到所述UE;
接收包含UE公钥值的认证响应;
如果所述认证响应并非预期响应,则拒绝所述附着请求;
如果所述认证响应是所述预期响应,则
获得网络公钥值和网络私钥值;
基于所述网络私钥值和所述UE公钥值来确定共享密钥值;
将所述共享密钥值与会话密钥值绑定以产生绑定的共享密钥值;以及
使用所述绑定的共享密钥值来保护后续网络流量。
12.根据权利要求11所述的设备,其中所述认证令牌在所述UE与所述网络资源之间受到完整性保护。
13.根据权利要求11所述的设备,其中所述至少一个处理器配置成通过接收服务请求、跟踪区请求或位置更新请求中的一个而非附着请求来从所述UE接收所述附着请求。
14.根据权利要求11所述的设备,其中所述至少一个处理器配置成确定所述共享密钥值和所述会话密钥值的密码散列。
15.根据权利要求11所述的设备,其中所述会话密钥值是KASME、密码密钥CK或完整性密钥IK中的至少一个。
16.根据权利要求11所述的设备,其中所述共享密钥值是通过椭圆曲线密码学或有限域算术而确定。
17.根据权利要求11所述的设备,其中所述附着请求包含所述UE支持PFS的指示。
18.根据权利要求11所述的设备,其中所述认证令牌包含指示所述网络支持PFS的认证管理域AMF位值。
19.一种用于防止对具有强安全协议的系统的打压式攻击的方法,所述方法包括:
从用户设备接收附着请求;
将认证请求发送到归属网络,其中所述认证请求包含网络支持所述强安全协议的指示;
从所述归属网络接收受完整性保护令牌,其中所述完整性保护令牌包含配置成指示所述网络支持所述强安全协议的至少一个位;以及
将所述完整性保护令牌发送到所述用户设备。
20.根据权利要求19所述的方法,其中所述附着请求包含所述用户设备支持所述强安全协议的指示。
21.根据权利要求19所述的方法,其中所述强安全协议是具有完全前向保密的认证与密钥协商协议。
22.根据权利要求19所述的方法,其中所述认证请求是diameter协议消息,其具有属性值对AVP作为信息元素以指示所述网络支持所述强安全协议。
23.根据权利要求19所述的方法,其中所述完整性保护令牌包含在从所述归属网络接收的认证向量中。
24.根据权利要求23所述的方法,其中所述至少一个位包含在认证管理域AMF中。
25.一种非暂时性处理器可读存储媒体,其包括用于防止对具有强安全协议的系统的打压式攻击的指令,所述指令包括:
用于从用户设备接收附着请求的代码;
用于将认证请求发送到归属网络的代码,其中所述认证请求包含网络支持所述强安全协议的指示;
用于从所述归属网络接收完整性保护令牌的代码,其中所述完整性保护令牌包含配置成指示所述网络支持所述强安全协议的至少一个位;以及
用于将所述完整性保护令牌发送到所述用户设备的代码。
26.根据权利要求25所述的非暂时性处理器可读存储媒体,其中所述附着请求包含所述用户设备支持所述强安全协议的指示。
27.根据权利要求25所述的非暂时性处理器可读存储媒体,其中所述强安全协议是具有完全前向保密的认证与密钥协商协议。
28.根据权利要求25所述的非暂时性处理器可读存储媒体,其中所述认证请求是diameter协议消息,其具有属性值对AVP作为信息元素以指示所述网络支持所述强安全协议。
29.根据权利要求25所述的非暂时性处理器可读存储媒体,其中所述完整性保护令牌包含在从所述归属网络接收的认证向量中。
30.根据权利要求29所述的非暂时性处理器可读存储媒体,其中所述至少一个位包含在认证管理域AMF中。
CN201680015491.4A 2015-03-30 2016-03-03 一种具有完全前向保密的认证与密钥协商的方法以及设备 Active CN107409133B (zh)

Applications Claiming Priority (7)

Application Number Priority Date Filing Date Title
US201562140331P 2015-03-30 2015-03-30
US201562140426P 2015-03-30 2015-03-30
US62/140,331 2015-03-30
US62/140,426 2015-03-30
US14/825,988 2015-08-13
US14/825,988 US9801055B2 (en) 2015-03-30 2015-08-13 Authentication and key agreement with perfect forward secrecy
PCT/US2016/020545 WO2016160256A1 (en) 2015-03-30 2016-03-03 Authentication and key agreement with perfect forward secrecy

Publications (2)

Publication Number Publication Date
CN107409133A true CN107409133A (zh) 2017-11-28
CN107409133B CN107409133B (zh) 2020-06-19

Family

ID=55650686

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201680015491.4A Active CN107409133B (zh) 2015-03-30 2016-03-03 一种具有完全前向保密的认证与密钥协商的方法以及设备

Country Status (9)

Country Link
US (2) US9801055B2 (zh)
EP (2) EP3278530B1 (zh)
JP (1) JP6759232B2 (zh)
KR (1) KR102547749B1 (zh)
CN (1) CN107409133B (zh)
AU (1) AU2016243284B2 (zh)
BR (1) BR112017020675B1 (zh)
ES (1) ES2824527T3 (zh)
WO (1) WO2016160256A1 (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111741470A (zh) * 2019-03-25 2020-10-02 美光科技公司 用于安全装置耦合的设备、系统和方法
CN112468495A (zh) * 2020-11-26 2021-03-09 上海天旦网络科技发展有限公司 完全前向保密加密系统的降级监控方法、系统及介质
CN113098688A (zh) * 2020-01-09 2021-07-09 大唐移动通信设备有限公司 一种aka方法及装置

Families Citing this family (29)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3146741B1 (en) * 2014-05-20 2021-10-06 Nokia Technologies Oy Cellular network authentication control
US9717003B2 (en) * 2015-03-06 2017-07-25 Qualcomm Incorporated Sponsored connectivity to cellular networks using existing credentials
US9801055B2 (en) 2015-03-30 2017-10-24 Qualcomm Incorporated Authentication and key agreement with perfect forward secrecy
US9800578B2 (en) * 2015-10-27 2017-10-24 Blackberry Limited Handling authentication failures in wireless communication systems
SG10201509342WA (en) * 2015-11-12 2017-06-29 Huawei Int Pte Ltd Method and system for session key generation with diffie-hellman procedure
EP3185159A1 (en) * 2015-12-24 2017-06-28 Gemalto Sa Method and system for enhancing the security of a transaction
CN108702624B (zh) * 2016-01-05 2021-02-23 华为技术有限公司 移动通信方法、装置及设备
ES2935527T3 (es) * 2017-01-30 2023-03-07 Ericsson Telefon Ab L M Manejo del contexto de seguridad en 5G durante el modo conectado
CN108574570B (zh) * 2017-03-08 2022-05-17 华为技术有限公司 私钥生成方法、设备以及系统
US11792172B2 (en) * 2017-05-05 2023-10-17 Nokia Technologies Oy Privacy indicators for controlling authentication requests
US11172359B2 (en) * 2017-08-09 2021-11-09 Lenovo (Singapore) Pte. Ltd. Method and apparatus for attach procedure with security key exchange for restricted services for unauthenticated user equipment
US11297502B2 (en) 2017-09-08 2022-04-05 Futurewei Technologies, Inc. Method and device for negotiating security and integrity algorithms
WO2019065897A1 (ja) * 2017-09-27 2019-04-04 日本電気株式会社 通信端末、コアネットワーク装置、コアネットワークノード、ネットワークノード及び鍵導出方法
CN109699028B (zh) 2017-10-23 2020-08-25 华为技术有限公司 一种生成密钥的方法、装置及系统
ES2973317T3 (es) * 2017-10-30 2024-06-19 Huawei Tech Co Ltd Método y dispositivo para obtener capacidades de seguridad del equipo de usuario
CN109756451B (zh) 2017-11-03 2022-04-22 华为技术有限公司 一种信息交互方法及装置
US10542428B2 (en) 2017-11-20 2020-01-21 Telefonaktiebolaget Lm Ericsson (Publ) Security context handling in 5G during handover
WO2019106451A1 (en) * 2017-11-30 2019-06-06 Telefonaktiebolaget Lm Ericsson (Publ) Serving-network based perfect forward security for authentication
CN111869182B (zh) * 2018-03-22 2023-01-17 英国电讯有限公司 对设备进行认证的方法、通信系统、通信设备
US11061920B2 (en) 2018-03-28 2021-07-13 Opus Global, Inc. Application programming interfaces (“APIs”) for accessing and amalgamating data from incongruent sources
TWI717717B (zh) * 2018-04-10 2021-02-01 新加坡商 聯發科技(新加坡)私人有限公司 行動通訊中錯誤ksi處理的改進方法
FR3080730B1 (fr) * 2018-04-27 2020-10-09 Airbus Ds Slc Procede de configuration pour un acces a des services de repli de communication et systeme associe
CN110830991B (zh) * 2018-08-10 2023-02-03 华为技术有限公司 安全会话方法和装置
KR102460418B1 (ko) * 2018-11-21 2022-10-31 한국전자통신연구원 통신 시스템에서 제어 메시지의 송수신 방법 및 장치
US20220159457A1 (en) * 2019-03-13 2022-05-19 Telefonaktiebolaget Lm Ericsson (Publ) Providing ue capability information to an authentication server
US11252652B2 (en) 2019-04-02 2022-02-15 Electronics And Telecommunications Research Institute Non-IP data delivery authorization update method and connection release method for non-IP data delivery, and device for performing the method
US11463875B2 (en) * 2019-04-26 2022-10-04 Qualcomm Incorporated Detection of system information modification using access stratum security mode command
US11638152B2 (en) * 2019-11-28 2023-04-25 Qualcomm Incorporated Identifying an illegitimate base station based on improper response
CN116847341A (zh) * 2020-08-31 2023-10-03 Oppo广东移动通信有限公司 一种网络连接方法及终端、待配网设备、存储介质

Citations (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1079565A2 (en) * 1999-08-25 2001-02-28 Dew Engineering and Development Limited Method of securely establishing a secure communication link via an unsecured communication network
EP0779570B1 (en) * 1995-12-11 2001-07-18 International Business Machines Corporation System and method for supporting distributed computing mechanisms in a local area network server environment
CN1350382A (zh) * 2001-11-29 2002-05-22 东南大学 基于pki的vpn密钥交换的实现方法
CN1969501A (zh) * 2004-04-30 2007-05-23 捷讯研究有限公司 安全地产生共享密钥的系统和方法
CN101048970A (zh) * 2004-10-29 2007-10-03 汤姆森许可贸易公司 安全认证信道
CN101141253A (zh) * 2006-09-05 2008-03-12 华为技术有限公司 实现认证的方法和认证系统
CN101282211A (zh) * 2008-05-09 2008-10-08 西安西电捷通无线网络通信有限公司 一种密钥分配方法
CN101286842A (zh) * 2008-05-26 2008-10-15 西安西电捷通无线网络通信有限公司 一种利用公钥密码技术的密钥分配及其公钥在线更新方法
CN101388770A (zh) * 2008-10-20 2009-03-18 华为技术有限公司 获取动态主机配置协议密钥的方法、服务器及客户端装置
CN101800982A (zh) * 2010-01-15 2010-08-11 西安电子科技大学 无线局域网切换快速认证安全性增强方法
US20130243194A1 (en) * 2011-09-12 2013-09-19 Qualcomm Incorporated Systems and methods for encoding exchanges with a set of shared ephemeral key data
CN103929299A (zh) * 2014-04-28 2014-07-16 王小峰 地址即公钥的自安全轻量级网络报文传输方法
CN104394528A (zh) * 2012-01-04 2015-03-04 华为技术有限公司 X2安全通道建立方法与系统、以及基站

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4200770A (en) 1977-09-06 1980-04-29 Stanford University Cryptographic apparatus and method
US7647389B2 (en) * 2002-02-28 2010-01-12 Alcatel-Lucent Usa Inc. Method for configuration negotiation in a data communication system
US8504700B2 (en) * 2004-12-06 2013-08-06 Samsung Electronics Co., Ltd. Method, apparatus, and system for negotiating a session between an access terminal and an access network in a high rate packet data system
MX2007015841A (es) * 2005-06-13 2008-02-22 Nokia Corp Aparato, metodo y producto de programa de computadora que proporciona identidades de nodo movil en conjunto con preferencias de autenticacion en arquitectura de arranque generico.
KR101009330B1 (ko) * 2006-01-24 2011-01-18 후아웨이 테크놀러지 컴퍼니 리미티드 모바일 네트워크를 기반으로 하는 엔드 투 엔드 통신에서의 인증을 위한 방법, 시스템 및 인증 센터
WO2007095995A2 (de) * 2006-02-23 2007-08-30 Togewa Holding Ag Vermittlungssystem und entsprechendes verfahren für unicast oder multicast end-to-end daten- und/oder multimediastreamübertragungen zwischen netzwerknodes
US8255684B2 (en) * 2007-07-19 2012-08-28 E.F. Johnson Company Method and system for encryption of messages in land mobile radio systems
US8848904B2 (en) 2008-10-24 2014-09-30 University Of Maryland, College Park Method and implementation for information exchange using Markov models
US8644515B2 (en) * 2010-08-11 2014-02-04 Texas Instruments Incorporated Display authenticated security association
US8897751B2 (en) * 2011-03-14 2014-11-25 Alcatel Lucent Prevention of eavesdropping type of attack in hybrid communication system
EP2715969B1 (en) 2011-05-31 2018-04-25 BlackBerry Limited System and method for authentication and key exchange for a mobile device via spectrally confined wireless communications
US8683570B1 (en) * 2012-03-30 2014-03-25 Emc Corporation Scheduling soft token data transmission
JP2015531096A (ja) * 2012-06-11 2015-10-29 インタートラスト テクノロジーズ コーポレイション データ収集・解析システムと方法
TW201417598A (zh) 2012-07-13 2014-05-01 Interdigital Patent Holdings 安全性關聯特性
US20150244685A1 (en) 2012-09-18 2015-08-27 Interdigital Patent Holdings Generalized cryptographic framework
US9801055B2 (en) 2015-03-30 2017-10-24 Qualcomm Incorporated Authentication and key agreement with perfect forward secrecy

Patent Citations (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0779570B1 (en) * 1995-12-11 2001-07-18 International Business Machines Corporation System and method for supporting distributed computing mechanisms in a local area network server environment
EP1079565A2 (en) * 1999-08-25 2001-02-28 Dew Engineering and Development Limited Method of securely establishing a secure communication link via an unsecured communication network
CN1350382A (zh) * 2001-11-29 2002-05-22 东南大学 基于pki的vpn密钥交换的实现方法
CN1969501A (zh) * 2004-04-30 2007-05-23 捷讯研究有限公司 安全地产生共享密钥的系统和方法
CN101048970A (zh) * 2004-10-29 2007-10-03 汤姆森许可贸易公司 安全认证信道
CN101141253A (zh) * 2006-09-05 2008-03-12 华为技术有限公司 实现认证的方法和认证系统
CN101282211A (zh) * 2008-05-09 2008-10-08 西安西电捷通无线网络通信有限公司 一种密钥分配方法
CN101286842A (zh) * 2008-05-26 2008-10-15 西安西电捷通无线网络通信有限公司 一种利用公钥密码技术的密钥分配及其公钥在线更新方法
CN101388770A (zh) * 2008-10-20 2009-03-18 华为技术有限公司 获取动态主机配置协议密钥的方法、服务器及客户端装置
CN101800982A (zh) * 2010-01-15 2010-08-11 西安电子科技大学 无线局域网切换快速认证安全性增强方法
US20130243194A1 (en) * 2011-09-12 2013-09-19 Qualcomm Incorporated Systems and methods for encoding exchanges with a set of shared ephemeral key data
CN104394528A (zh) * 2012-01-04 2015-03-04 华为技术有限公司 X2安全通道建立方法与系统、以及基站
CN103929299A (zh) * 2014-04-28 2014-07-16 王小峰 地址即公钥的自安全轻量级网络报文传输方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
ADRIAN ESCOTT: ""simplification of bootstrapping procedures"", 《3GPP2 DRAFT》 *

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111741470A (zh) * 2019-03-25 2020-10-02 美光科技公司 用于安全装置耦合的设备、系统和方法
CN113098688A (zh) * 2020-01-09 2021-07-09 大唐移动通信设备有限公司 一种aka方法及装置
CN113098688B (zh) * 2020-01-09 2022-05-06 大唐移动通信设备有限公司 一种aka方法及装置
CN112468495A (zh) * 2020-11-26 2021-03-09 上海天旦网络科技发展有限公司 完全前向保密加密系统的降级监控方法、系统及介质

Also Published As

Publication number Publication date
US9801055B2 (en) 2017-10-24
ES2824527T3 (es) 2021-05-12
CN107409133B (zh) 2020-06-19
AU2016243284A1 (en) 2017-09-07
BR112017020675A2 (pt) 2018-06-26
WO2016160256A1 (en) 2016-10-06
EP3731490C0 (en) 2024-04-10
US20170006469A1 (en) 2017-01-05
US20180020347A1 (en) 2018-01-18
EP3731490A1 (en) 2020-10-28
US10178549B2 (en) 2019-01-08
EP3731490B1 (en) 2024-04-10
AU2016243284B2 (en) 2020-06-18
JP6759232B2 (ja) 2020-09-23
BR112017020675B1 (pt) 2024-01-23
JP2018510578A (ja) 2018-04-12
KR102547749B1 (ko) 2023-06-23
KR20170132184A (ko) 2017-12-01
EP3278530A1 (en) 2018-02-07
EP3278530B1 (en) 2020-07-15

Similar Documents

Publication Publication Date Title
CN107409133A (zh) 具有完全前向保密的认证与密钥协商
JP6903006B2 (ja) 次世代セルラーネットワークのためのユーザプレーンセキュリティ
JP6438593B2 (ja) サービスcプレーン手法のためにネットワークトークンを使用する効率的なポリシー実施
CN108012264B (zh) 用于802.1x载体热点和Wi-Fi呼叫认证的基于经加密的IMSI的方案
CN108293223A (zh) 一种数据传输方法、用户设备和网络侧设备
US11991165B2 (en) Authentication method for next generation systems
CN110583036A (zh) 网络认证方法、网络设备及核心网设备
KR20230101818A (ko) 검증된 디지털 아이덴티티를 사용한 가입 온보딩
US11316670B2 (en) Secure communications using network access identity
JP6123035B1 (ja) Twagとueとの間でのwlcpメッセージ交換の保護
CN113170369B (zh) 用于在系统间改变期间的安全上下文处理的方法和装置
US11553561B2 (en) Protection of the UE identity during 802.1x carrier hotspot and wi-fi calling authentication
US10492056B2 (en) Enhanced mobile subscriber privacy in telecommunications networks
Reddy et al. A Review of 3G-WLAN Interworking

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant