CN109565672A - 蜂窝远程通信网络的认证服务器和对应的uicc - Google Patents

Abstract

本发明提出一种蜂窝远程通信网络的认证服务器，该认证服务器被布置用于生成要传输到远程通信终端的认证令牌，该认证令牌包括消息认证码和序列号，其中消息认证码等于：MACx=KIdx XOR fl（AMF,SQNx,RAND,K），其中KIdx是等于如下的MAC偏置形式的密钥索引信息：MAC=fl（K,AMF,SQNx,RAND），其中fl为函数，K为密钥，RAND是随机数，并且SQNx是相对于从密钥K和KIdx导出的对应密钥Kx的序列计数器，并且AMF是如3GPP TS 33.102中定义的认证管理域的内容。

Description

蜂窝远程通信网络的认证服务器和对应的UICC

本发明的领域是蜂窝网络（3G(UMTS)，4G网络（LTE）或未来（5G）网络）中的远程通信的领域。

这些网络的特定目标是帮助在与安全元件（UICC, eUICC, USIM,……）通信的终端之间建立通信。

这些安全元件通常采用通常由移动电话、智能手机，PDAs……组成的其终端的可移动卡的形式。还存在集成在调制解调器部分终端或机器（因此不可提取）中的安全元件，这些机器是交通工具、饮料自动售货机等等……。

更确切地说，本发明涉及此类网络中的认证。称为USIM并存储在(e)UICC上的应用具有在用户尝试连接到UMTS或LTE网络时认证用户设备的目标。此类应用通过使用存储在安全元件中的IMSI来唯一地识别用户和他的移动运营商。在这样的网络中，网络认证安全元件也是必要的。

认证允许验证由与无线电路径上的SIM卡通信的终端传输的身份（IMSI或TMSI）是正确的，以一方面针对其资源的欺诈使用保护运营商，并且另一方面通过禁止未授权的第三方使用他们的帐户来保护订阅者（subscriber）。移动网络可能每一最后的位置更新、呼叫建立（传入或传出）以及在启用或禁用某些服务之前来要求订阅者的认证。在一些专用信道上实施加密密钥期间也要求它。

GSM认证基于挑战/应答的协议并基于秘密密钥加密算法。然而，在GSM方案中，网络对SIM卡进行认证，但是SIM卡不对网络进行认证。终端的SIM卡不能验证移动所附连的网络的身份和有效性。

在3G网络（UMTS）或4G网络（LTE）中使用的认证机制是相互认证（终端认证网络并且网络认证终端）。

3G认证（也称为针对认证和密钥协商）基于共享密钥K，其仅存在于称为HLR（归属位置寄存器）和USIM的网络的元件中。因为HLR从不直接与终端通信，所以MSC服务器的VLR执行认证程序。因此，VLR代表认证服务器。

当MSC服务器从终端接收对附连的请求时，MSC服务器从HLR下载一到五个认证向量（AV，认证向量）。

AV中的参数是：

-RAND – 充当生成4个其他AV设置的输入参数之一的挑战。RAND在128位上编码；

-SRES – 对USIM认证的网络所使用的预期结果（32到128位）；

-AUTN – USIM针对网络认证所使用的认证令牌（128位）；

-CK - 用于通信的加密的会话密钥（128位）；

- IK - 完整性密钥（128位），以保护终端与RNC（“无线电网络控制器”）之间的信令的完整性，控制基本无线电传输站的UMTS网络的元件—RNC管理无线电资源的分配，在发送到终端之前加密数据，以及订阅者的位置的一部分）。

F1到f5算法被用来生成这些参数（参见图1）。生成MAC（64位）（以帮助终端认证网络，不一定是VLR）。AK是从RAND和K生成的匿名密钥。

AuC从它与USIM共享的密钥K终端和两个其它参数：序列号SQN（48位）和伪随机数RAND来生成认证向量。

SQN是在HLR/AuC中布置的计数器，并且针对每个USIM是个体的。就其本身而言，USIM记录由SQuicc套件调用的计数器序列，这是USIM已接受的最大序列号。

认证向量生成五个部分：随机值（RAND）、具有USIM的过程挑战/应答中将要求的结果（RES），对于USIM的认证网络的认证令牌（AUTN）、用于加密的会话密钥（CK）和用来保护信令消息的完整性的完整性控制密钥（IK）。

认证令牌AUTN等于：，

其中AK=f5（RAND，K），AMF（16位）为认证管理域，||表示级联并且为XOR函数。

在将IMSI传输到HLR/AuC之后，VLR在接收到五重（RAND, AUTN, XRES, CK, IK）时，将其从HLR接收的挑战RAND和认证令牌AUTN传输到USIM并等待应答RES。

在USIM处，类似于图2中所示出的，从AUTN检索MAC、AMF和。它然后计算f5（RAND, K= AK）并推断SQN。

如果SQuicc离SQN太远（不包括在特定范围中），则USIM执行与网络的重新同步阶段。

如果SQuicc离SQN不太远（包括在上面的范围中），则它计算XMAC=f1（K，RAND，SQN）并将其与MAC进行比较。如果它们相等，则网络由USIM来进行认证。

USIM还对于算法f2使用RAND和K来计算RES。会话密钥CK也在f3算法的情况下使用RAND和来自USIM的密钥K来计算。

挑战/应答可概括如下：如果由USIM计算并传输到VLR的结果RES是从HLR/AuC接收的相同XRES，则由VLR认证USIM。因此，认证令牌AUTN允许USIM检查AuC是否是真实的并且它不是通过接入网络的攻击类型“中间人”。此外，如果RES等于XRES，则VLR认为相互认证成功。因此在网络和USIM之间获得相互认证。

此认证机制在3GPP TS 33.102中描述（例如，在其日期为2016年1月的13.0.0版本中）。

已经请求3GPP组织在灾难的情况下或在其中不存在通过国家运营商的3GPP无线电覆盖的公共安全操作期间为公共安全组织提供网络覆盖。例如，在自然灾害（例如飓风）的情况下，可能丢失到现有固定长期演进（LTE）网络基础设施的所有连接。这样种类的操作被称为公共安全的隔离操作（IOPS），因为本地eNB不具有用来认证移动用户的对核心网络（HLR/AUC）的接入。

IOPS在从2016年5月的ETSI TS 123 401 V13.6.1的附录K中指定（LTE；演进通用陆地无线电接入网络（E-UTRAN）接入的通用分组无线电服务（GPRS）增强。

当eNB（LTE基站）与固定LTE网络基础设施之间的连接丢失时，不能执行用户设备的认证。为了在紧急情况期间提供通信，可以临时安装和激活可部署的LTE基础设施以提供临时LTE覆盖。当激活时，可部署的LTE基础设施不连接到固定的LTE网络基础设施，并且可部署的LTE基础设施可以在固定的LTE网络基础设施返回到服务的同时保持活动（active）达延长的时间量。

除了其他部件之外，LTE网络还包括诸如归属订阅者服务器（HSS）之类的数据库，其存储用户相关和订阅相关信息。例如，固定HSS被配置成存储IMSI（国际移动订阅者身份）和用来识别和认证通信设备（诸如移动电话或计算机）上的订阅者的相关认证密钥（K）。

可部署系统可以被提供在移动环境中，例如在卡车上。为了使可部署系统成功地完成通信设备的网络接入认证，当不存在到固定LTE网络基础设施的连接时，可部署系统必须维护其自己的HSS。可部署的HSS还被配置成存储用户相关的和订阅相关的信息。

然而，3GPP对公共安全组织（英国内政部，美国商务部，内政部，法国）提出的当前解决方案并未完全满足要求。今天的解决方案仅允许50到60个不同的IOPS本地网络在国家/州上运营，其中粗略估计将要求更多的10或15倍。例如，在比如法国的国家中，存在可以具有当地警察、消防员、第一救援部队、宪兵等等……的大约100个部门，并且这些.实体中的每个需要例如每个部门中HSS / AUC。

当前的解决方案基于一个长期IOPS密钥Ki（针对当地警察的Ki1，针对消防员的Ki2，……）到50至60个IOPS本地密钥K（每个IOPS本地网络一个）中的多样化。密钥索引化和多样化是基于认证向量的AUTN分组中的认证管理域（AMF）（参见3GPP TS 33.102）。每个IOPS本地密钥K被预共享（存储）在本地IOPS HSS/AUC中和被允许接入对应的IOPS本地网络的USIM中。

限制来自3GPP认证机制中的AMF中的可用位，以向USIM提供IOPS本地网络标识符：AMF可以包含16位，但是为MNO保留了10个，并且因此在AMF中仅6位可用于识别IOPS本地网络。

因此，在许多情况下，能够运行的IOPS本地网络的最大数目（理想地为2⁶ = 64）是不够的。

本发明提出了此问题的解决方案。

本发明提出了一种蜂窝远程通信网络的认证服务器，该认证服务器被布置用于生成要传输到远程通信终端的认证令牌，该认证令牌包括消息认证码和序列号，其中消息认证码等于：

MACx=KIdx XOR f1（AMF, SQNx, RAND, K），

其中KIdx是等于如下的MAC的偏置形式的密钥索引信息：

MAC=f1（K, AMF, SQNx, RAND），

其中f1是函数，K是密钥，RAND是随机数，并且SQNx是相对于从密钥K和KIdx导出的对应密钥Kx的序列计数器，并且AMF是如在3GPP TS 33.102中定义的认证管理域的内容。

优选地，认证服务器还计算要传输到远程通信终端的认证向量，所述认证向量等于：

AVx = RAND || XRESx || CKx || IKx || AUTNx

其中：XRESx = f2（RAND, Kx）

CKx = f3（RAND，Kx）

AUTNx = SQNx XOR AK || AMF || MACx

AK = f5（RAND，K）

有利地，认证服务器是IOPS认证服务器。本发明还涉及包括USIM应用的UICC，该USIM应用被配置成从它与其协作的远程通信终端接收消息

AUTNx || RAND

其中RAND为随机数并且AUTNx等于：

AUTNx = SQNx XOR AK || AMF || MACx

其中AK = f5（RAND，K）

并且MACx等于：

MACx=KIdx XOR f1（AMF, SQNx, RAND, K），

其中KIdx是等于如下的MAC的偏置的形式的密钥索引信息：

MAC=f1（K, AMF, SQNx, RAND），

其中f1和f5是函数，K是密钥，SQNx是相对于从密钥K和KIdx导出的对应密钥Kx的序列计数器，并且AMF是如3GPP TS 33.102中定义的认证管理域的内容，

应用计算值

XMAC = f1（AMF, SQNx, RAND, K）

以及密钥索引

KId = XMAC XOR MACx

应用验证计算的KId与存储的白名单中的KIds中的一个匹配，并且如果匹配为正（positive），则基于KIdx来计算对应的密钥Kx并计算密钥AK, SQNx和

RESx = f2（Kx, RAND）

CKx = f3（Kx, RAND）

IKx = f4（Kx, RAND）

并且将RESx, CKx和IKx发送到远程通信终端。

当阅读本发明的有利实施例时，本发明的其他特性和优点将显现，所述实施例作为说明且不是限制并且参考附图来给出，其中：

图1表示在HSS/AUC的级别处AUTN和认证向量AV的生成；

图2表示由USIM的网络运营商的HSS/AUC的认证；

图3表示在HSS/AUC级别处获得的本发明的优选实施例；

图4表示根据本发明的相互认证方法。

先前已经关于现有技术描述了图1和图2。

图3表示在HSS/AUC的级别处获得的本发明的优选实施例。

关于此图与图1的比较，差异如下：新密钥Kx用于生成SQNx（替代SQN），XRESx（替代XRES），CKx（替代CK），IKx（替代IK），并且另一密钥索引KIdx用来使MAC多样化以用于获得值MACx。

本发明在于认证服务器（HSS/AUC）以发送到USIM的AUTN的MAC部分（MACx）中的偏置的形式注入另外的密钥索引信息（KIdx）。另外的密钥索引信息允许另外的密钥被生成和编索引，而没有改变现有的认证协议。

针对给定的KIdx而由下面的等式来描述密钥索引注入算法：

基于AMF来计算K，因为它在3GPP TS 33.102中提出。如针对IOPS所定义的，它是来自长期密钥的多样化密钥。

Kx = Deriv（KIdx, K）。例如，Kx = HMAC-SHA-256（K, KIdx）。

SQNx=相对于对应密钥Kx生成的。例如，SQNx是每次基于密钥Kx生成认证向量而递增1的序列号。

MACx = KIdx XOR f1（AMF, SQNx, RAND, K）

AK = f5（RAND，K）

AUTNx = SQNx XOR AK || AMF || MACx

XRESx = f2（RAND，Kx）

CKx = f3（RAND，Kx）

IKx = f4（RAND，Kx）

AVx = RAND || XRESx || CKx || IKx || AUTNx

这里接下来是一些示例，示出了如何将MAC变换到MACx中：

对于MAC（64位）= 0x1122334455667788并且KIdx = 0x2222222222222222，

MACx（64位）= 0x33001166774455AA。

对于MAC（64位）= 0x1122334455667788并且Kidx = 0x5151515151515151，

MACx（64位）= 0x40736215043726D9。

Kx例如是多样化的或者例如是随机数。

KIdx是对应于Kx的密钥索引信息。

一旦HSS/AUC生成认证向量（在USIM的认证程序时），它们被发送到移动性管理实体（MME），其在本地管理USIM /移动的认证和授权。

图4表示根据本发明的相互认证方法。

四个实体在这里被表示：HSS /AUC，MME，远程通信终端ME和USIM。

为了认证目的，USIM首先通过ME和MME来将它的IMSI发送到HSS/AUC。 HSS/AUC在本地生成认证向量AVx，并且将这些向量发送到MME。MME在本地存储AVx并将（RAND, AUTNx）对发送到USIM。

在接收时，USIM从AUTNx检索AMF信息（其中AUTNx = SQNx XOR AK || AMF ||MACx）。

基于AMF信息，USIM验证是否必须在IOPS密钥K中导出长期密钥。如果是，则它计算IOPS密钥K。

USIM用f1来计算预期的XMAC：XMAC=f1（AMF, SQNx, RAND, K）并且密钥索引KId =XMAC XOR MACx。从AUTNx中提取MACx。

USIM验证计算的KId是可接受的值。例如，计算的KId与KIds的存储的白名单中的KIds中的一个匹配。如果此匹配为正，则匹配的KId是注入的KIdx。KIds的白名单是由USIM可接受的KIdx的名单。此名单可以在USIM的制造下在USIM中提供，或者在操作期间通过空中下载到USIM。在其他实施例中，可接受的KIds可以是满足某些给定条件的KIds，例如设置到1的位数等于6的KIds。

USIM基于KIdx来计算/检索对应的密钥Kx，并且计算密钥AK=f5（RAND，K），从AUTNx解密SQNx，并验证SQNx与Kx是一致的以防止重放攻击。

然后，USIM基于RAND和Kx来计算RESx，CKx，IKx。

USIM将RESx，CKx和IKx返回到ME。

ME存储CKx和IKx（因为它不知道长期密钥），并且将RESx作为对挑战的应答发送到MME。

然后，MME将接收的RESx与其预期值XRESx进行比较。

如果XRESx和RESx相等，则认证过程成功。否则，USIM的认证被视为失败。

本发明允许在公共安全用例的隔离操作中对附加密钥编索引。

附加索引化重新使用相同的认证协议，使得在各种实体：HSS/AUC，MME，ME，USIM之间的消息交换不改变。

因为密钥索引被作为偏置注入到MAC，所以检索过程在于在白名单中执行检索的偏置的查找。这不要求重新计算MAC或密钥。

本发明将3GPP认证机制中的限制提升到在没有密钥冲突的情况下部署的更多IOPS本地网络。它可用于公共安全隔离操作用例，但是还可以在消费者/商业用例中使用。

Claims (4)

1.一种蜂窝远程通信网络的认证服务器，所述认证服务器被布置用于生成要传输到远程通信终端的认证令牌，所述认证令牌包括消息认证码和序列号，其中所述消息认证码等于：

MACx = KIdx XOR f1（AMF, SQNx, RAND, K），

其中KIdx是等于如下的MAC的偏置的形式的密钥索引信息：

MAC=f1（K, AMF, SQNx, RAND），

其中f1为函数，K为密钥，RAND为随机数，并且SQNx为相对于从密钥K和KIdx导出的对应密钥Kx的序列计数器，并且AMF为如3GPP TS 33.102中定义的认证管理域的内容。

2.根据权利要求1所述的认证服务器，其中它还计算要传输到所述远程通信终端的认证向量，所述认证向量等于：

AVx = RAND || XRESx || CKx || IKx || AUTNx

其中：XRESx = f2（RAND, Kx）

CKx = f3（RAND，Kx）

AUTNx = SQNx XOR AK || AMF || MACx

AK=f5（RAND，K）。

3.根据权利要求1或2所述的认证服务器，其中，它是IOPS认证服务器。

4.包括USIM应用的UICC，所述USIM应用被配置成从它与其协作的远程通信终端接收消息

AUTNx || RAND

其中RAND为随机数并且AUTNx等于：

AUTNx = SQNx XOR AK || AMF || MACx

其中AK = f5（RAND，K）

并且MACx等于：

MACx=KIdx XOR f1（AMF, SQNx, RAND, K），

其中KIdx是等于如下的MAC的偏置的形式的密钥索引信息：

MAC = f1（K, AMF, SQNx, RAND）

其中f1和f5是函数，K是密钥，SQNx为相对于从密钥K和KIdx导出的对应密钥Kx的序列计数器，并且AMF是如在3GPP TS 33.102中定义的认证管理域的内容，

所述应用计算值

XMAC = f1（AMF, SQNx, RAND, K）

和密钥索引

KId=XMAC XOR MACx

所述应用验证计算的KId与存储的白名单中的KIds中的一个匹配，并且如果匹配为正，则基于KIdx来计算对应的密钥Kx并且计算所述密钥AK, SQNx和

RESx = f2（Kx, RAND）

CKx = f3（Kx, RAND）

IKx = f4（Kx, RAND）

并且将RESx，CKx和IKx发送到所述远程通信终端。