CN112075094A - 用于更新一次性秘密密钥的方法 - Google Patents
用于更新一次性秘密密钥的方法 Download PDFInfo
- Publication number
- CN112075094A CN112075094A CN201880090276.XA CN201880090276A CN112075094A CN 112075094 A CN112075094 A CN 112075094A CN 201880090276 A CN201880090276 A CN 201880090276A CN 112075094 A CN112075094 A CN 112075094A
- Authority
- CN
- China
- Prior art keywords
- secret key
- time secret
- version
- communication network
- subscription module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 30
- 238000004891 communication Methods 0.000 claims abstract description 96
- 238000009795 derivation Methods 0.000 claims abstract description 24
- 238000004846 x-ray emission Methods 0.000 claims abstract description 15
- 238000012545 processing Methods 0.000 claims description 7
- 238000004590 computer program Methods 0.000 claims description 2
- 230000008569 process Effects 0.000 abstract description 6
- 230000006870 function Effects 0.000 description 21
- 238000004422 calculation algorithm Methods 0.000 description 11
- 230000007246 mechanism Effects 0.000 description 6
- 238000007726 management method Methods 0.000 description 5
- 230000005540 biological transmission Effects 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 2
- 238000010367 cloning Methods 0.000 description 2
- 238000013481 data capture Methods 0.000 description 2
- 238000013500 data storage Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 241000760358 Enodes Species 0.000 description 1
- 101000993838 Homo sapiens Keratinocyte differentiation factor 1 Proteins 0.000 description 1
- 102100031728 Keratinocyte differentiation factor 1 Human genes 0.000 description 1
- 102000007315 Telomeric Repeat Binding Protein 1 Human genes 0.000 description 1
- 108010033711 Telomeric Repeat Binding Protein 1 Proteins 0.000 description 1
- QVFWZNCVPCJQOP-UHFFFAOYSA-N chloralodol Chemical compound CC(O)(C)CC(C)OC(O)C(Cl)(Cl)Cl QVFWZNCVPCJQOP-UHFFFAOYSA-N 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/067—Network architectures or network communication protocols for network security for supporting key management in a packet data network using one-time keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
- H04L9/3228—One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/126—Anti-theft arrangements, e.g. protection against subscriber identity module [SIM] cloning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/40—Security arrangements using identity modules
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/71—Hardware identity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明涉及一种用于更新在通信装置中实现的订阅模块中维护的一次性秘密密钥Kn的方法,无线通信网络维护所述一次性秘密密钥Kn的等同版本,并且被配置为当订阅模块使用随机挑战和所述一次性秘密密钥Kn作为输入应用认证函数时,确定从通信装置预期的结果XRES,所述方法包括以下步骤:从通信网络接收认证请求消息,所述认证请求消息至少包含随机挑战RANDn;由订阅模块通过使用随机数RANDn和所述一次性秘密密钥Kn作为输入应用认证函数来确定结果RES;将所述结果RES传输到通信网络,以便将其与由通信网络使用随机数RANDn和一次性秘密密钥Kn的对应版本确定的预期结果XRES进行比较,如果所述第一结果和第二结果匹配,则订户被认证;通过利用新版本替换一次性秘密密钥Kn的当前版本来更新所述一次性秘密密钥Kn,所述新版本是通过使用随机挑战RANDn作为输入应用第一密钥导出函数而获得的,一次性秘密密钥Kn的更新版本由订阅模块用于处理后续认证请求,相同的更新由可访问的服务器或者无线通信网络的部分实行,以便维护一次性秘密密钥Kn的等同版本。
Description
技术领域
本发明涉及一种。其适用于以硬件和/或软件实现的技术领域订阅模块。
背景技术
订户标识模块(SIM)是提供对移动网络的安全、可标识和经认证的访问的应用。自其在20世纪90年代初问世至今,它被实现为提供对移动网络的安全、可标识和经认证的访问的智能卡。该智能卡当包含SIM应用时被指定为SIM卡,并且更一般地,被指定为通用集成电路卡(UICC)。UICC能够包含若干个应用,例如SIM应用、通用订户标识模块应用(USIM)。UICC当连接到移动网络时,也是消费者使用的一件主要的运营商供给装备。
订户模块SIM将需要继续提供对移动运营商网络的安全访问。
包括一个或若干个订户模块的UICC卡的所有个性化在工厂中执行,这导致若干秒钟的持续时间。此外,来自运营商的所有订单必须包含UICC卡中所写的若干信息,特别是:
- 集成电路卡标识符(ICCID),其是SIM卡的标识符;
- 用于标识订户的国际移动订户标识(IMSI);
- 安全密钥,特别是Ki密钥、空中传输(over-the-air,OTA)密钥、个人解锁密钥(PUK)、使用Ki的运营商密钥OP的加密版本的OPc。
现在存在实现一个或若干个订阅模块的UICC卡的替代方案。这些被指定为虚拟SIM(vSIM)或软件SIM(softSIM),其中一个或若干个订阅模块的功能性由软件层实行。传统的UICC卡依据定义是防篡改的,但是虚拟SIM在没有高成本环境的情况下不具有该属性。如果凭证是从虚拟SIM中提取的,则可以容易地生成克隆。
因此,存在对于降低订户模块克隆后果的技术的需要。
发明内容
本发明涉及一种用于更新在通信装置中实现的订阅模块中维护的一次性秘密密钥Kn的方法,无线通信网络维护所述一次性秘密密钥Kn的等同版本,并且被配置为当订阅模块使用随机挑战和所述一次性秘密密钥Kn作为输入应用认证函数时,确定从通信装置预期的结果XRES,所述方法包括以下步骤:
-从通信网络接收认证请求消息,所述认证请求消息至少包含随机挑战RANDn;
-由订阅模块通过使用随机数RANDn和所述一次性秘密密钥Kn作为输入应用认证函数来确定结果RES;
- 将所述结果RES传输到通信网络,以便将其与由通信网络使用随机数RANDn和一次性秘密密钥Kn的对应版本确定的预期结果XRES进行比较,如果所述第一结果和第二结果匹配,则订户被认证;
- 在订户的每次成功认证之后,通过利用新版本替换一次性秘密密钥Kn的当前版本来更新所述一次性秘密密钥Kn,所述新版本是通过使用随机挑战RANDn作为输入应用第一密钥导出函数而获得的,一次性秘密密钥Kn的更新版本由订阅模块使用或者处理后续认证请求,相同的更新由可访问的服务器或者无线通信网络的部分实行,以便维护一次性秘密密钥Kn的等同版本。
根据一示例,被称为多样化密钥DK的秘密密钥由通信装置储存,并且由第一密钥导出函数用作输入,以便确定一次性秘密密钥Kn。
根据一示例,通信装置的标识符(诸如IMEI)由通信装置储存,并且由第一密钥导出函数用作输入,以便确定一次性秘密密钥Kn。
根据一示例,IMSI类型的订户的标识符由订阅模块储存,并且由第一密钥导出函数用作输入,以便确定一次性秘密密钥Kn。
根据一示例,使用第二密钥导出函数初始化一次性秘密密钥Kn的初始版本K_0,所述第二密钥导出函数使用从通信网络接收并由通信网络确定的随机种子作为输入。
本发明还涉及在通信装置中实现的订阅模块,所述订阅模块被配置为维护和更新一次性秘密密钥Kn,无线通信网络维护所述一次性秘密密钥Kn的等同版本,并且被配置为当订阅模块使用随机挑战和所述一次性秘密密钥Kn作为输入应用认证函数时,确定从通信装置预期的结果XRES,所述订阅模块进一步被配置为:
- 从通信网络接收认证请求消息,所述认证请求消息至少包含随机挑战RANDn;
- 通过使用随机数RANDn和一次性秘密密钥Kn作为输入应用认证函数来确定结果RES;
- 将所述结果RES传输到通信网络,以便将其与由通信网络使用随机数RANDn和一次性秘密密钥Kn的对应版本确定的预期结果XRES进行比较,如果所述第一结果和第二结果匹配,则订户被认证;
- 在订户的每次成功认证之后,通过利用新版本替换一次性秘密密钥Kn的当前版本来更新所述一次性秘密密钥Kn,所述新版本是通过使用随机挑战RANDn作为输入应用第一密钥导出函数而获得的,一次性秘密密钥Kn的更新版本由订阅模块用于处理后续认证请求,相同的更新由可访问的服务器或通信网络的部分来实行,以便维护一次性秘密密钥Kn的等同版本。
根据一示例,订阅模块是嵌入式通用集成电路卡(eUICC)。
根据另一示例,订阅模块是通用集成电路卡(UICC)。
根据一示例,订阅模块在定位于通信装置中的软件程序中实现。
本发明还涉及一种嵌入如上所述的订阅模块的通信装置。
本发明还涉及一种服务器,所述服务器适于与无线通信网络协作,以如上所述那样储存与订户相关联的一次性秘密密钥Kn,并且用于在拥有通信装置的订户的成功认证之后更新所述一次性秘密密钥Kn,成功认证过程牵涉由无线通信网络向通信装置传输的随机挑战RANDn,在订户的每次成功认证之后通过利用新版本替换一次性秘密密钥Kn的当前版本来更新所述一次性秘密密钥Kn,所述新版本是通过使用随机挑战RANDn作为输入应用第一密钥导出函数而获得的。
本发明还涉及一种包括指令的计算机程序产品,当程序由计算机执行时,所述指令使得计算机实行上述方法的步骤。
本发明还涉及一种包括指令的计算机可读存储介质,所述指令当由计算机执行时使得计算机实行上述方法的步骤。
附图说明
在结合以下附图阅读本发明的一个优选实施例的详细描述之后,本发明的附加特征和优点将更可清楚地理解,该优选实施例作为指示性而非限制性的示例给出:
-图1是实现基于一次性秘密密钥的使用的认证机制的系统的示例;
-图2示意性地表示生成一次性秘密密钥Kn的过程;
-图3是图示了根据本发明的在使用一次性秘密密钥生成的情况下的认证机制的示例的序列图。
具体实施方式
图1是实现基于一次性秘密密钥的使用的认证机制的系统的示例。
该系统包括通信装置100,也就是说,具有通信能力并且当需要时具有数据捕获、感测、数据存储、感测和/或数据处理能力的一件装备。
通信装置例如是智能电话、平板计算机或IoT设备。在本说明书中,表述IoT设备指代具有通信能力以及可选的数据捕获、感测、数据存储、感测和/或数据处理能力的一件装备。IoT设备包括例如无线通信模块——也称为机器类型通信(MTC)模块,所述无线通信模块允许从一个IoT设备向另一个IoT设备的数据传输,或者通过UMTS/HSDPA、CDMA/EVDO、LTE、5G、LoRa或其他网络在机器之间的数据交换。
通信装置嵌入订阅模块110。订阅模块是以软件和/或硬件实现的实体,并且至少包括用于认证通信网络中的订户的构件。订阅模块可以是例如通用集成电路卡(UICC),其包括SIM和USIM应用、软件SIM或者适于供应有一个或若干个订阅配置文件的eUICC。
订阅模块储存秘密密钥,该秘密密钥仅可以用于认证订户一次。在本说明书中,当说一次性密钥被储存在订户模块中时,这意味着:
- 在订户模块是使用诸如UICC或eUICC之类的硬件平台来被实现的情况下,则一次性密钥Kn被维护在作为所述硬件平台的部分的物理存储器中;
- 在订户模块被实现为诸如softSIM之类的纯软件模块的情况下,这意味着一次性密钥Kn被储存在与其相关联的通信装置的存储器中。
该系统还包括网络元件101、102,网络元件101、102可以是例如 eNode B 101,并且移动性管理实体(MME)102是作为LTE(长期演进)的通信技术。技术人员将领会到,本发明也适用于其他类型的无线技术,诸如2G、UMTS或5G。
另一个服务器103被表示并且能够与MME 102和嵌入订阅模块110的通信装置100通信。它被配置为储存和更新与订阅模块中储存的一次性秘密密钥相同的一次性秘密密钥。该服务器在sequel中被称为SKMAuC,并且由受信的第三方来操作,该受信的第三方不同于拥有订阅的移动网络运营商。它可以与诸如家庭订户服务器(HSS)之类的服务器并行工作。可替代地,其功能可以集成在拥有订阅的移动网络运营商的HSS中,或者集成在被配置为处理由通信装置传输的附接请求的代理服务器(D-HSS)中。
秘密密钥Kn由订阅模块和通信网络储存。它用于认证具有通信装置的订户,该通信装置配备有订阅模块。本发明的一个关键方面是,在无线通信网络和订阅模块110对订户的每次成功认证之后,更新秘密密钥Kn。双方均储存Kn的相同版本,以便实行认证过程。认证过程基于由无线通信网络向嵌入订阅模块110的通信装置100传输随机挑战RAND。订阅模块使用该随机挑战RAND来使用Kn的当前版本确定结果RES,并且将其提供给网络以供与预期结果XRES进行比较。如果预期结果XRES与订阅模块计算的结果XRES等同,则订户被认证。然后,随机挑战RAND被密钥导出函数用作输入,以便生成将用于下一次认证尝试的秘密密钥Kn的下一版本。
有利的是,如果欺诈者克隆订阅模块和/或嵌入订阅模块的通信装置以访问给定的通信网络,那么这将被检测到。克隆设备或合法用户的认证失败将被检测到,这是因为由克隆的和合法订阅模块用户维护的一次性秘密密钥Kn将在继克隆后的第一次成功认证之后分歧。在这种情况下,移动网络运营商可以请求合法用户提供秘密凭证,以便实现进一步的认证层,并且可以相应地更新合法用户持有的嵌入在通信装置中的订阅模块。有利的是,克隆的订阅将被禁止进入知道无效的一次性秘密密钥Kn的网络。
根据一实施例,可以在工厂中供应称为多样化密钥DK的秘密密钥,用于使由原始装备制造商(OEM)制造的每个通信装置多样化。因此,订阅模块控制并且储存一次性秘密密钥Kn,而通信装置储存多样化密钥DK。在这种情况下,从随机挑战RAND和多样化密钥DK中导出一次性秘密密钥Kn。这使欺诈设备的生成复杂,因为必须克隆通信装置和订阅模块二者。欺诈者将需要对通信装置的访问。
图2示意性地表示了生成一次性秘密密钥Kn的过程。
归因于密钥导出函数,在订阅模块成功认证之后,生成一次性秘密密钥Kn。它使用已经用于所述成功认证的随机挑战RAND。嵌入订阅模块的通信装置中储存的多样化密钥DK也可以用作输入。
密钥导出函数可以使用公知的技术来实现,所述技术诸如是如ISO/IEC 18033规范中定义的HMAC密钥导出函数(HKDF)、KDF1或KDF2。
图3是图示了根据本发明的在使用一次性秘密密钥生成的情况下的认证机制的示例的序列图。
根据该示例,订阅模块由通信设备在软件中实现为虚拟SIM,并且在sequel中被指定为超级安全虚拟SIM(HSVSIM)。然而,类似的机制也适用于eUICC或传统的SIM卡。该认证基于如在 3GPP 技术规范TS 35.205和3GPP TS 35.206中规定的MILENAGE算法。然而,这是出于示例性目的,并且技术人员将理解到,本发明也适用于其他认证和密钥生成算法。本发明与之适用的MILENAGE技术的替代方案是在3GPP技术规范3GPP TS 35.233中描述的Tuak算法集。
根据该示例,超级安全虚拟SIM 310可以利用用于到目标运营商网络的第一附接的一组凭证进行远程多样化。这可以在初始化阶段300期间执行,在初始化阶段300期间,嵌入HSVSIM 310的连接装置与发现服务器D-HSS 312之间对话。可以基于现有消息来设立协议,以便在连接装置没有附接到由移动网络运营商(MNO)操作的无线网络的情况下实行初始化阶段。该阶段的目标是要利用将仅用于到目标运营商网络的第一附接的凭证对超级安全虚拟SIM进行远程多样化。
在该示例中,订阅模块没有供应有访问运营商网络所需的凭证。在初始化阶段期间完成供应。然而,技术人员可以考虑一些替代方案。例如,HSVSIM初始可以供应有引导程序(bootstrap)配置文件。在该情况下,不需要初始化阶段。
初始化阶段基于使用D-HSS服务器以便配置超级安全虚拟SIM 310,从而使其附接到待决网络运营商。待决网络运营商是移动网络运营商,其使得订阅可用于用户(被称为订户),以利用通信装置访问其网络。
该初始化阶段不将设备附接到包括 D-HSS的网络。仅与发现服务器(D-HSS)交换第一消息“发送认证信息”(SAI)320-323。该初始阶段是这样的,使得订户不被任何移动网络运营商收费。
在初始阶段期间,可以通过使用现有字段提供的命令和加密数据来配置HSVSIM310,所述现有字段通常用于传输RAND、AUTN和AUTS参数。这些字段被转移,使得超级安全虚拟SIM 310被供应有例如ICCID、IMSI、
、OTA密钥、PUK、PUK2、PIN、PIN2和OPc。换言之,超级安全虚拟SIM 310被配置为分析标准化SAI消息的RAND和/或AUTN字段,所述RAND和/或AUTN字段的使用被转移,使得可以交换其他类型的参数。它还使得HSVSIM 310能够使用随机短暂eIMSI来执行旨在发起通信设备与网络之间的对话的命令,以便使用例如SAI消息322的AUTS字段来传输其国际移动装备标识(IMEI)。
IMEI是嵌入HSVSIM的通信装置的标识符。
根据本发明的实施例,在通信装置中,可以将IMEI与多样化密钥(DK)配对。相同的配对信息被供应在D-HSS 312中。在该初始化阶段期间,超级安全虚拟SIM 310从D-HSS 312中检索一组数据元素,例如,ICCID、永久IMSI、PUK、PUK2、OTA密钥。这些数据元素利用多样化密钥(DK)被加密或多样化。
D-HSS 312可以被供应有一组凭证,该组凭证对应于订阅并且与嵌入HSVSIM 310的通信装置的IMEI相关联。
将由D-HSS 312接收322的IMEI与储存在D-HSS 312内的IMEI值进行比较,以便检索被分配给该通信装置的永久IMSI。
然后,HSVSIM被提供323有使用多样化密钥DK加密的IMSI和集成电路卡标识符(ICCID)。根据一示例,D-HSS服务器312还提供随机数K_seed,该随机数K_seed可以由HSVSIM 310使用,并且在网络侧用于确定订户秘密密钥的初始版本。
一旦HSVSIM 310被初始化——这意味着它被供应有由网络分配的订阅的凭证和参数,刷新命令在超级安全虚拟SIM上启动,并且它转换到与永久IMSI相关联的新订阅。
在该阶段,订户密钥K的初始版本以及MILENAGE算法使用的运营商码OP可以由网络和HSVSIM二者计算。
MILENAGE算法使用运营商码OP,所述运营商码OP是128位运营商变体算法配置字段,其是函数f1、f1*、f2、f3、f4、f5和f5*的分量。
根据本发明的一方面,该运营商码OP是按每订户模块定义的,而不是如现有技术中通常所做的那样按每移动网络运营商(MNO)定义的。通过这样做,有利地针对黑客攻击保护移动网络运营商(MNO)。
作为提示,OPc是从OP以及从订户密钥K中导出的128位的值。它用于MILENAGE算法的函数计算内。后续计算中仅使用OPc,而不是OP。
如果黑客具有对OPc和K密钥的访问,那么他将能够取得OP码。然而,当OP码针对每个订户不同时,被黑客攻击的OP码不能重复用于暗中监视其他订户。
根据本发明的一方面,OP码通过短暂IMSI(eIMSI)、种子K_seed、IMEI和多样化密钥DK而被多样化。超级安全虚拟SIM 310使用密钥导出函数
来计算OP码。OP的导出可以表述为:
本发明的一个必要方面是密钥K在每次成功认证之后都改变。
作为提示,K是订户密钥,其是到MILENAGE算法的函数f1、f1*、f2、f3、f4、f5和f5*的输入。根据本发明,订户密钥按每认证而不是按每UICC是有效的。因此,订户秘密密钥是一次性秘密密钥。超级安全虚拟SIM 310使用密钥导出函数
来计算订户密钥的初始版本(标记为K_0)。出于该目的,可以使用诸如以下各项的一个或若干个输入参数:
- 在初始化阶段期间使用的短暂IMSI(eIMSI);
- 种子K_seed;
- 多元化密钥DK;
- 存储在通信装置中的IMEI。
因此,订阅密钥的初始值K_0可以表述如下:
根据该示例,D-HSS 312还安全地发送324与订阅相关联的数据元素,所述与订阅相关联的数据元素被传输到称为SKMAuC的服务器313。SKMAuC服务器313是特定认证中心(AuC),其表现为用于嵌入处置一次性订阅密钥的订户模块的通信装置的代理服务器。取决于实现方式,与订阅相关联的数据元素是IMSI、IMEI、DK、eIMSI和K_Seed中的全部或部分。例如,如果不需要K_Seed来导出K_0,则不将它传输到SKMAuC 313服务器。
下面为HSVSIM 310、其相关联的通信装置和SKMAuC服务器313提供初始状态(在初始化阶段的开始)和最终状态(在初始化阶段的结束)。
通信装置的初始状态:
·IMEI
·DK。
超级安全虚拟SIM的初始状态:
·eIMSI。
通信装置的最终状态:
·IMEI
·DK。
超级安全虚拟SIM的最终状态:
·IMSI
·ICCID
·K_0
·OP
·多样化PIN/PUK/PUK2
·RI/CI。
SKMAuC服务器的最终状态:
·IMSI
·IMEI
·ICCID
·eIMSI
·RAND
·DK。
初始化阶段之后是一个或若干个认证阶段301。
例如基于预定义的IMSI范围,针对这些通信装置的所有附接请求被路由到SKMAuC313。换言之,归属于HSVSIM 310的永久IMSI被选择在由网络标识为与SKMAuC服务器313相关联的范围中。结果,移动网络将朝向SKMAuC服务器131路由附接请求。
一旦通信装置发送了附接请求,并且SKMAuC服务器313接收到包括永久IMSI的对应SAI消息325,就在SAI确认消息中将命令传输326到HSVSIM 310。更精确地,由该SAI确认消息携带的RAND字段的使用被转移,以便将其解释为用于取得通信装置的IMEI的请求。
一旦接收到该命令,HSVSIM 310就使用SAI同步错误消息327将IMEI传输到SKMAuC。出于该目的,AUTS字段的使用可以转移,以便携带IMEI。根据一示例,IMEI可以使用多样化密钥DK加密传输。由于SKMAuC服务器313也知道该秘密密钥,因此于SKMAuC服务器313将能够对其解密。
SKMAuC服务器313然后检查永久IMSI与接收到的IMEI之间的配对。SKMAuC服务器313存储记录一个或若干个IMEI的数据库或具有对该数据库的访问,所述一个或若干个IMEI与移动网络运营商使用的IMSI标识符相关联。根据一示例,该数据库可以被定位于D-HSS 服务器312中。
在该阶段,并且如果在接收到的IMEI与先前传输的永久IMSI 325之间的对应性没有被正确地验证,则SKMAuC服务器313拒绝附接请求。在这种情况下,请求订户模块被标识为克隆,并且附接请求被拒绝。
在接收到的IMEI正确地与IMSI相关联的情况下,附接请求被传送328到HSS服务器314。出于该目的,可以使用包括IMSI的SAI消息。
然后,HSS服务器314使用例如SAI确认消息将第一认证向量传输329到SKMAuC服务器313。认证向量是提供认证数据的一组参数,所述认证数据使得能够使移动网络与特定订户从事认证过程。
根据该示例,第一认证向量包括:
·随机挑战RAND_HSS
·认证令牌AUTN_HSS
·密码密钥CK_HSS
·完整性密钥IK_HSS
·预期响应XRES_HSS。
符号“X_HSS”指示给定参数X由HSS服务器314提供。
SKMAuC服务器313从SAI确认消息329中提取认证管理字段AMF_HSS和序列号SQN_HSS,或者使用SKMAuC AMF和SQN。
根据一示例,SKMAuC服务器313运行MILENAGE算法以基于随机挑战RAND_HSS和一次性秘密密钥Kn重建第二认证向量:
·预期响应:
·密码密钥:
·完整性密钥:
·认证令牌:
·密钥访问安全管理条目
(用于LTE网络):
符号“X_SKMAuC”指示给定参数X由SKMAuC服务器313提供。
Kn指代如由SKMAuC服务器313维护的订户密钥的当前版本。
f1、f2、f3、f4和f5是作为如在3GPP技术规范TS 35.205和3GPP TS 35.206中定义的MILENAGE算法的部分的函数。
SKMAuC服务器313在SAI消息330中将第二认证向量发送到移动网络运营商的移动性管理实体(MME)311。
然后,移动性管理实体(MME)311将RAND_SKMAuC和AUTN_SKMAuC传输331到超级安全虚拟SIM 310,以便使其应用标准MILENAGE 算法。
一旦MILENAGE完成,获得的结果RES被传输332到MME 311,以用于网络和要认证的设备。
超级安全虚拟SIM 310然后确定订户秘密密钥Kn的下一版本。
作为一示例,可以通过应用如下的密钥导出函数Fk来获得Kn:
然后,MME 311检查RES和XRES是否等同。如果是这种情况,则认证过程成功,并且由HSVSIM 310将位置更新消息333传输到SKMAuC 313,SKMAuC 313将位置更新过程切换到移动网络运营商的HSS服务器314,以便完成通信装置的附接。
SKMAuC服务器313然后使用具有相同输入参数的相同密钥导出函数Fk计算并且存储用于与HSVSIM 310同步的订阅秘密密钥的下一版本Kn。
然后,相同的机制可以应用于下一认证请求的下一处理。
Claims (13)
1.一种用于更新在通信装置(100)中实现的订阅模块(110,310)中维护的一次性秘密密钥Kn的方法,无线通信网络(311-314)维护所述一次性秘密密钥Kn的等同版本,并且被配置为当订阅模块(110,310)使用随机挑战和所述一次性秘密密钥Kn作为输入应用认证函数时,确定从通信装置(100)预期的结果XRES,所述方法包括以下步骤:
- 从通信网络接收认证请求消息(330,331),所述认证请求消息(330,331)至少包含随机挑战RANDn;
- 由订阅模块(110)通过使用随机数RANDn和秘密密钥Kn作为输入应用认证函数来确定结果RES;
- 将所述结果RES传输到通信网络(311-314),以便将其与由通信网络使用随机数RANDn和秘密密钥Kn的对应版本确定的预期结果XRES进行比较,如果所述第一结果和第二结果匹配,则订户被认证;
- 在订户的每次成功认证之后,通过利用新版本替换一次性秘密密钥Kn的当前版本来更新所述一次性秘密密钥Kn,所述新版本是通过使用随机挑战RANDn作为输入应用第一密钥导出函数而获得的,一次性秘密密钥Kn的更新版本由订阅模块(110,310)用于处理后续认证请求,相同的更新由可访问的服务器或者无线通信网络(311-314)的部分实行,以便维护一次性秘密密钥Kn的等同版本。
2.根据权利要求1所述的方法,其中被称为多样化密钥DK的秘密密钥由通信装置(100)储存,并且由第一密钥导出函数用作输入,以便确定一次性秘密密钥Kn。
3.根据前述权利要求中任一项所述的方法,其中,诸如IMEI之类的通信装置的标识符由通信装置(100)储存,并且由第一密钥导出函数用作输入,以便确定一次性秘密密钥Kn。
4.根据前述权利要求中任一项所述的方法,其中,IMSI类型的订户的标识符由订阅模块储存,并且由第一密钥导出函数用作输入,以便确定一次性秘密密钥Kn。
5.根据前述权利要求中任一项所述的方法,其中,使用第二密钥导出函数初始化一次性秘密密钥Kn的初始版本K_0,所述第二密钥导出函数使用从通信网络接收并且由通信网络确定的随机种子作为输入。
6.一种在通信装置(100)中实现的订阅模块(110,310),所述订阅模块(110,310)被配置为维护和更新一次性秘密密钥Kn,无线通信网络(311-314)维护所述一次性秘密密钥Kn的等同版本,并且被配置为当订阅模块(110,310)使用随机挑战和所述一次性秘密密钥Kn作为输入应用认证函数时,确定从通信装置(100)预期的结果XRES,所述订阅模块进一步被配置为:
- 从通信网络接收认证请求消息(330,331),所述认证请求消息(330,331)至少包含随机挑战RANDn;
- 通过使用随机数RANDn和一次性秘密密钥Kn作为输入应用认证函数来确定结果RES;
- 将所述结果RES传输到通信网络(311-314),以便将其与由通信网络使用随机数RANDn和一次性秘密密钥Kn的对应版本确定的预期结果XRES进行比较,如果所述第一结果和第二结果匹配,则订户被认证;
- 在订户的每次成功认证之后,通过利用新版本替换一次性秘密密钥Kn的当前版本来更新所述一次性秘密密钥Kn,所述新版本是通过使用随机挑战RANDn作为输入应用第一密钥导出函数而获得的,一次性秘密密钥Kn的更新版本由订阅模块(110,310)用于处理后续认证请求,相同的更新由可访问的服务器或者通信网络(311-314)的部分实行,以便维护秘密密钥Kn的等同版本。
7.根据权利要求6所述的订阅模块,其是嵌入式通用集成电路卡(eUICC)。
8.根据权利要求6所述的订阅模块,其是通用集成电路卡(UICC)。
9.根据权利要求6所述的订阅模块,其在定位于通信装置中的软件程序中实现。
10.一种嵌入根据权利要求6至9中任一项的订阅模块的通信装置。
11.一种服务器,其适于与无线通信网络协作以储存与订户相关联的一次性秘密密钥Kn,并且用于在拥有根据权利要求6至9中任一项的通信装置的订户的成功认证之后更新所述一次性秘密密钥Kn,成功认证过程牵涉由无线通信网络向通信装置传输的随机挑战RANDn,在订户的每次成功认证之后通过利用新版本替换一次性秘密密钥Kn的当前版本来更新所述一次性秘密密钥Kn,所述新版本是通过使用随机挑战RANDn作为输入应用第一密钥导出函数而获得的。
12.一种包括指令的计算机程序产品,当程序由计算机执行时,所述指令使得计算机实行权利要求1至5中任一项的方法的步骤。
13.一种包括指令的计算机可读存储介质,所述指令当由计算机执行时使得计算机实行权利要求1至5中任一项的方法的步骤。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP17306942.8 | 2017-12-27 | ||
| EP17306942.8A EP3506668A1 (en) | 2017-12-27 | 2017-12-27 | A method for updating a one-time secret key |
| PCT/EP2018/084212 WO2019129481A1 (en) | 2017-12-27 | 2018-12-10 | A method for updating a one-time secret key |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112075094A true CN112075094A (zh) | 2020-12-11 |
| CN112075094B CN112075094B (zh) | 2024-04-30 |
Family
ID=61569013
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201880090276.XA Active CN112075094B (zh) | 2017-12-27 | 2018-12-10 | 用于更新一次性秘密密钥的方法 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US11336445B2 (zh) |
| EP (2) | EP3506668A1 (zh) |
| CN (1) | CN112075094B (zh) |
| AU (1) | AU2018393845B2 (zh) |
| BR (1) | BR112020012975A2 (zh) |
| WO (1) | WO2019129481A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115225673A (zh) * | 2022-07-14 | 2022-10-21 | 蔚来汽车科技(安徽)有限公司 | 车辆监控方法、设备和存储介质 |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3654681A1 (en) * | 2018-11-13 | 2020-05-20 | Thales Dis France SA | A method and network server for authenticating a communication apparatus |
| KR102369980B1 (ko) * | 2019-09-17 | 2022-03-04 | 주식회사 케이티 | 이동성 관리 엔티티 및 이를 이용한 긴급 통신망 구축방법 |
| EP3907958A1 (de) * | 2020-05-07 | 2021-11-10 | Siemens Aktiengesellschaft | Verfahren zum aufbau eines sicheren übertragungskanals zur datenübermittlung innerhalb eines industriellen automatisierungssystems |
| CN112349003B (zh) * | 2020-11-17 | 2024-07-12 | 深圳Tcl新技术有限公司 | 门锁密码的传输方法、锁体、服务器及可读存储介质 |
| FR3119289B1 (fr) | 2021-01-25 | 2024-04-19 | Thales Sa | PROCEDE D'ATTRIBUTION DYNAMIQUE D'IDENTIFIANTS A UNE CARTE DE CIRCUIT INTEGRE UNIVERSELLE EMBARQUEE - eUICC D'UN EQUIPEMENT UTILISATEUR ET SYSTEME ASSOCIE |
| FR3144733A1 (fr) | 2022-12-28 | 2024-07-05 | Thales | Procédé amélioré de provisionnement d'un équipement utilisateur avec un profil de souscription d'un opérateur final |
| CN117596588B (zh) * | 2024-01-18 | 2024-03-26 | 中国电子科技集团公司第三十研究所 | 移动通信网络长期密钥动态更新方法及装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101594616A (zh) * | 2009-07-08 | 2009-12-02 | 深圳华为通信技术有限公司 | 认证方法、服务器、用户设备及通信系统 |
| CN101742500A (zh) * | 2010-01-21 | 2010-06-16 | 中兴通讯股份有限公司 | 一种派生空口密钥的方法及系统 |
| CN102934470A (zh) * | 2010-06-16 | 2013-02-13 | 高通股份有限公司 | 用于在通信系统中将订户认证与设备认证绑定的方法和装置 |
| CN103354640A (zh) * | 2008-05-06 | 2013-10-16 | 高通股份有限公司 | 认证到访网络中的无线设备 |
| CN104604181A (zh) * | 2012-06-28 | 2015-05-06 | 塞尔蒂卡姆公司 | 无线通信的密钥协定 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FI115098B (fi) * | 2000-12-27 | 2005-02-28 | Nokia Corp | Todentaminen dataviestinnässä |
| DK1714418T3 (en) * | 2004-02-11 | 2017-04-24 | ERICSSON TELEFON AB L M (publ) | KEY MANAGEMENT FOR NETWORK ELEMENTS |
| CN100488280C (zh) * | 2005-06-04 | 2009-05-13 | 华为技术有限公司 | 一种鉴权方法及相应的信息传递方法 |
| US8924715B2 (en) * | 2010-10-28 | 2014-12-30 | Stephan V. Schell | Methods and apparatus for storage and execution of access control clients |
| GB201021784D0 (en) * | 2010-12-22 | 2011-02-02 | Vodafone Ip Licensing Ltd | SIM Locking |
| FR3007920A1 (fr) * | 2013-06-28 | 2015-01-02 | France Telecom | Procede de changement de cle d'authentification |
| US10420055B2 (en) | 2015-10-09 | 2019-09-17 | Microsoft Technology Licensing, Llc | SIM provisioning of a mobile device |
-
2017
- 2017-12-27 EP EP17306942.8A patent/EP3506668A1/en not_active Withdrawn
-
2018
- 2018-12-10 CN CN201880090276.XA patent/CN112075094B/zh active Active
- 2018-12-10 BR BR112020012975-5A patent/BR112020012975A2/pt unknown
- 2018-12-10 US US16/958,327 patent/US11336445B2/en active Active
- 2018-12-10 WO PCT/EP2018/084212 patent/WO2019129481A1/en unknown
- 2018-12-10 AU AU2018393845A patent/AU2018393845B2/en active Active
- 2018-12-10 EP EP18811870.7A patent/EP3732910B1/en active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103354640A (zh) * | 2008-05-06 | 2013-10-16 | 高通股份有限公司 | 认证到访网络中的无线设备 |
| CN101594616A (zh) * | 2009-07-08 | 2009-12-02 | 深圳华为通信技术有限公司 | 认证方法、服务器、用户设备及通信系统 |
| CN101742500A (zh) * | 2010-01-21 | 2010-06-16 | 中兴通讯股份有限公司 | 一种派生空口密钥的方法及系统 |
| CN102934470A (zh) * | 2010-06-16 | 2013-02-13 | 高通股份有限公司 | 用于在通信系统中将订户认证与设备认证绑定的方法和装置 |
| CN104604181A (zh) * | 2012-06-28 | 2015-05-06 | 塞尔蒂卡姆公司 | 无线通信的密钥协定 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115225673A (zh) * | 2022-07-14 | 2022-10-21 | 蔚来汽车科技(安徽)有限公司 | 车辆监控方法、设备和存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3732910A1 (en) | 2020-11-04 |
| WO2019129481A1 (en) | 2019-07-04 |
| US11336445B2 (en) | 2022-05-17 |
| CN112075094B (zh) | 2024-04-30 |
| EP3506668A1 (en) | 2019-07-03 |
| EP3732910B1 (en) | 2022-01-26 |
| BR112020012975A2 (pt) | 2020-11-24 |
| AU2018393845B2 (en) | 2021-10-21 |
| AU2018393845A1 (en) | 2020-07-09 |
| US20210058250A1 (en) | 2021-02-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112075094B (zh) | 用于更新一次性秘密密钥的方法 | |
| JP6877524B2 (ja) | ワイヤレス通信のための装置および方法 | |
| US10003965B2 (en) | Subscriber profile transfer method, subscriber profile transfer system, and user equipment | |
| RU2480925C2 (ru) | Генерация криптографического ключа | |
| CN110192381B (zh) | 密钥的传输方法及设备 | |
| WO2018040758A1 (zh) | 认证方法、认证装置和认证系统 | |
| US11159940B2 (en) | Method for mutual authentication between user equipment and a communication network | |
| KR20070112260A (ko) | Sim/uicc 키 설정을 위한 네트워크 지원 단말기 | |
| US10090997B2 (en) | Method for changing an authentication key | |
| US11228428B2 (en) | Mitigation of problems arising from SIM key leakage | |
| CA3137389A1 (en) | Parameter sending method and apparatus | |
| EP3149884B1 (en) | Resource management in a cellular network | |
| US11943612B2 (en) | Method and network server for authenticating a communication apparatus | |
| JP2017103761A (ja) | 移転認証方法、ユーザ装置及び移転確認方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20230317 Address after: French Meudon Applicant after: Thales Digital Security France Easy Stock Co. Address before: French Meudon Applicant before: Thales Digital Security France |
|
| TA01 | Transfer of patent application right | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |