MX2010012033A - Generacion de clave criptografica. - Google Patents

Abstract

Se proporciona una técnica para generar una clave criptográfica (120). La técnica es particularmente útil para proteger la comunicación entre dos entidades (202, 302; 204, 304) que corren cooperativamente una operación de seguridad distribuida. La técnica comprende proporcionar cuando menos dos parámetros (106, 108), el primer parámetro (106) comprendiendo o derivándose de algunas claves criptográficas (100, 112) que se han computado por la primera entidad (202, 302) corriendo la operación de seguridad; y el segundo parámetro (108) comprendiendo o derivándose de una señal (116) que tiene un valor diferente cada vez que la operación de seguridad (114) se inicia por la segunda entidad 8204, 304) para la primera entidad 8202, 302). Una función de derivación de clave se aplica a los parámetros proporcionados (106, 108) para generar la clave criptográfica deseada (120).

Description

GENERACIÓN DE CLAVE CRIPTOGRÁFICA Campo Técnico La presente invención generalmente se relaciona con una técnica para generar claves criptográficas. Particularmente, la invención se relaciona con una técnica de generación de clave criptográfica que proporciona un nivel elevado de seguridad.

Antecedentes El protocolo de autenticación y Convenio de Clave (AKA) es un protocolo basado en respuesta de reto que usa criptografía simétrica. Las metas principales de AKA incluyen autenticación mutua por dos entidades que se comunican entre sí y establecimiento de claves criptográficas que protegen la comunicación intercambiada entre las mismas. Una variante de AKA es la U TS AKA, incluida en la arquitectura de seguridad normalizada por 3GPP para redes de comunicación móvil 3G en la Especificación Técnica 3G TS 33.102.

El concepto básico de UMTS AKA se muestra en la Figura 1. Haciendo referencia a esta figura, el protocolo UMTS AKA se corre entre un equipo de usuario (UE) y una entidad de red (NE) . La entidad de red inicia el AKA enviando una solicitud de autenticación de usuario al UE. Junto con la solicitud, un reto aleatorio, o código aleatorio (RAND) , y una Señal de Autenticación /AUTN) se envían al UE. Al recibo del RAND y el AUTN, el UE, entre otras cosas computa una Clave de cifra (CK) y una Clave de Integridad (IK) y luego las usa para funciones de cifrado e integridad.

El 3GPP también está asumiendo la normalización de redes de comunicación llamadas "más allá de 3G" . La Evolución de Arquitectura de Sistema (SAE) y Evaluación de Término Prolongado (LTE) son dos aspectos estrechamente relacionados de la red más allá de 3G. Comparado con las redes 3G convencionales, una red basada en SAE/LTE puede imponer requerimientos de seguridad más elevados y más en número. Por ejemplo, más claves criptográficas para asegurar la comunicación a diferentes niveles se pueden necesitar. El 3GPP tiene, en otro documento relacionado convencional, 3GPP TR 33.821, recomendó una jerarquía de clave para derivar más claves criptográficas para uso en SAE/LTE.

La Figura 2 muestra esta jerarquía de clave. En la parte superior de la jerarquía se encuentra una clave K, una clave criptográfica de término prolongado compartida entre el Módulo de Identidad de Suscriptor Universal (USIM) del UE y el centro de Autenticación (AuC) que reside en la -red. Un nivel abajo es un par de claves criptográficas CK e IK que se derivan por el UE, particularmente por el USIM del mismo, en una manera igual o similar que la operación de UMTS AKA arriba mencionada. Más abajo en la jerarquía hay un clave AS E que es deriva por el UE de CK, IK, y, si se necesario, algunos otros parámetros. Una vez derivada, KASME se transfiere del AuC a la red de acceso, particularmente a la Entidad de Manejo de Seguridad de Acceso (ASME) de la red de SAE/LTE, y luego compartir entre el UE y la red. Cuando la red de acceso se basa en tecnología LTE, las funcionalidades de ASME se manejan mediante una Entidad de Manejo de Movilidad ( mE) .

La clave SME/ y las claves "abajo" de la misma en la jerarquía, se pueden derivar aplicando una cierta función criptográfica. Por ejemplo, AS E = KDF (CK || IK, 0x02 || PLMN_ID | | <otro_parámetro> ) en donde KDF se basa en una función de derivación de clave de Arquitectura de Enlace Genérico (GBA) (KDF) . Una GBA KDF se especifica en 3G TS 33.220.

La GBA KDFR puede hacer uso de funciones de señal criptográfica tales como las funciones de señal de Algoritmo de Señal Segura (SHA) . Entre muchas funciones de señal SHA, SHA-256 es una variante altamente segura puesto que se considera resistente al choque y actúa como una función pseudo aleatoria. Como su nombre lo sugiere, SHA-256 es una función de señal de Algoritmo de Señal Segura con una longitud de digestión (salida) de 256 bits. El PLMN_ID es un identificador de la red que sirve al UE.

Se ha observado que, a fin de lograr un nivel elevado de seguridad, no es suficiente basar la función de GBA KDF principalmente en CK e IK solamente. La racional para esto es el riesgo que un UE podría obtener la misma CK dos veces, o dos UEs diferentes podrían obtener la misma CK. En tales casos, la "calidad única" de las entradas al KDF es baja, y puede ocurrir un choque entre UEs diferentes (usando la misma · KASME) · Como un comentario general, mientras que es cierto que KDF (x) produce la misma clave que KDF (y) si x = y, lo inverso no siempre se mantiene. Es decir, aún cuando x ? y, todavía puede suceder que KDF (x) = KDF (y) . Sin embargo, este es un evento improbable puesto que la KDF se recomienda que esté basada en SHA-256 que, como se mencionó, se ha diseñado para ser resistente al choque. De esta manera, para la técnica descrita en la presente, se puede asumir de manera segura que KDF (x) = KDF (y) si y sólo si x = y. Esta suposición permite que la técnica descrita en la presente se enfoque en asegurar la "calidad única" de las entradas a la KDF.

El cuerpo de normalización de la especificación de GBA KDF (ETSI/SAGE, el Grupo de Expertos de Algoritmo Especial) ha notado el problema anterior y recomendó incluir la Identidad de Usuario Privada de UE (IMPI) en <otro_parámetro> . Esto se describe en una manifestación de enlace de ETSI/SAGE a 3GPP SA3 (en documento de 3GPP número S3 - 030219) .

Sin embargo, se ha encontrado que las recomendaciones anteriores todavía no pueden garantizar la "calidad única" de las entradas a la KDF. Esto se puede ver del análisis debajo de la propiedad de seguridad de la función GBA KDF y su uso en SAE/LTE para uno y el mismo UE (v. gr., una y la misma IMPI) .

Primeramente, se considera la siguiente construcción básica: KDF (CK, IMPI) .

Puesto que se ha supuesto que IMPI = IMPI' (cuando el UE es fijo) , esta construcción básica conducirá a choque para dos entradas (CK, IMPI), (CK' , IMPI') si y sólo si CK = CK' .

En segundo lugar, se considera otra construcción, que es más cercana a GBA KDF real: KDF (CK M IK, IMPI) .

Sin embargo, incluir IK en las entradas no cambia la propiedad de choque anterior como se podría creer en principio. Es decir, KDF (CK || IK, IMPI) será igual a KDF(CK' I I IK' , IMPI), si y sólo si CK = CK' . Para entender por qué incluir IK no ayudaría, es necesario considerar como CK e IK se producen por el algoritmo criptográfico ejecutado en el UE.

Un algoritmo criptográfico de lado de UE típico es el algoritmo Milenage que se muestra en la Figura 9. En la Figura 9, Ek denota el algoritmo de Norma de Encripción Avanzada (AES), también conocido como el algoritmo Rijndael, usando la clave K (almacenado en el AuC y USIM de UE) . Considere ahora lo que sucede si CK ¿ CK' . Puesto que AES es una permuta (un mapeo de uno a uno) , esto implica que el valor intermedio (que ocurre en la flecha gorda) es determina de manera única por el resultado de f3 que sucede que es CK. Pero esto implica que el valor en la flecha gorda cuando se produce CK debe ser el mismo que el valor que ocurre en el mismo lugar cuando CK' se. produjo. Esto a su vez significa que los valores que ocurren como entrada a f4 debe ser igual y consecuentemente, los mismos valores f4 deben ocurrir. Como sucede, f4 es IK. De esta manera se ha mostrado que CK = CK' si y solamente si IK = IK' .

A continuación, se considera una construcción "mejorada" de conformidad con la recomendación del cuerpo de normalización (SAGE) , es decir, incluyendo RAND en las entradas: KDF (CK I I IK, RAND || IMPI) .

Se asume que CK = CK' (y de esta manera IK = IK' ) . Se espera que el uso d# RAND garantizará la calidad única. Sin embargo, esto no es cierto. Considere nuevamente la parte "relevante" del algoritmo Milenage que produjo CK e IK de RAND: Como se muestra en la Figura 9, hay una situación en la que el valor en la flecha gorda correspondiente a RAND es el mismo que aquel correspondiente a RAND' . Pero nuevamente AES (Ek) es una permuta de modo que las entradas también deben ser iguales, es decir, RAND = RAND' . (El hecho de que AES es dependiente de K no ayuda puesto que un UE fijo se supone y asi el mismo K ocurrirá en ambos casos) .

En otras palabras, se ha mostrado que (CK | | IK, RAND I I IMPI) = (CK' | | IK' , RAND' | | IMPI) si y solo si RAND = RAND'. En el caso de SAE/LTE, la PLMN_ID también se puede incluir en las entradas, pero puesto que es altamente probable que el UE permanezca en la misma red varias veces, este parámetro PLMN_ID no se puede confiar para el propósito de garantizar "calidad única".

Un acercamiento alternativo para tratar de evitar choque podría ser usar otro algoritmo distinto a AES para el procesamiento criptográfico de los algoritmos f3 y f4. Específicamente, el análisis anterior se basó en el que de que AES es una permuta. Por lo tanto, sería posible usar una no permuta (mapeo de muchos a uno) en lugar de AES. Esto es problemático debido a dos razones. Primeramente, los USIMs existentes deben adaptarse para ser apropiados para la arquitectura de 3GPP SAE. En segundo lugar, seleccionar una función de no permuta, uno en realidad aumenta la probabilidad de que dos salidas de v. gr., f3 choquen.

La falta de calidad única de las entradas puede ser un problema serio de seguridad. Puesto que el choque ocurrirá si y solamente si RAND = RAND' , y puesto que RAND es 128 bits, el choque se espera que ocurra después de aproximadamente 2 " (128/2) = 2~64 autenticaciones 8es decir la llamada "paradoja de cumpleaños") . Claramente, esto es inferior al nivel de seguridad de meta de GBA (que es 128 bits) . Para LTE el caso es aún peor, puesto que se requiere que LTE proporcione un nivel de seguridad de 256 bits. De esta manera, la probabilidad elevada de choque es un obstáculo significativo pará proporcionar el nivel de seguridad requerido en SAE/LTE.

Compendio Consecuentemente, existe una necesidad de una solución que evite los choques arriba mencionados. La solución idealmente también debe trabajar con USIMs ya desplegados y no requerir reemplazar todos los USIMs.

De conformidad con un primer aspecto, se proporciona un método para generar una clave criptográfica. La clave criptográfica se usa, entre otros, para proteger la comunicación entre dos entidades. El método se lleva a cabo por la primera entidad. El método forma parte de una operación de seguridad distribuida que se inicia por la segunda entidad. El método comprende proporcionar cuando menos dos parámetros, en donde el primer parámetro comprende o se deriva de un juego de claves criptográficas que se han computado por la primera entidad corriendo la operación de seguridad; y el segundo parámetro comprende o se deriva de una señal que tiene un valor diferente cada vez que la operación cié seguridad se inicia por la segunda entidad para la primera entidad (en otras palabras, el valor de la señal nunca es el mismo para cualquiera de las dos operaciones de seguridad) ; y aplicar una función de derivación de clave para generar una clave criptográfica basada en los parámetros proporcionados .

Una expresión "un parámetro comprende X" puede significar que la variable X, en este formato de sarta, forma el parámetro o una parte del mismo. La expresión "un parámetro se deriva de X" puede significar que el parámetro es el resultado de aplicar ciertas funciones, tales como funciones matemáticas, a cuando menos la variable X. Ejemplos de las funciones incluyen, pero no están limitadas a, operaciones aritméticas, operaciones lógicas, operaciones de sarta, y cualquier combinación de las mismas. La operación aritmética puede ser suma, resta, multiplicación, etc., y cualesquiera combinaciones significativas de las mismas. La operación lógica puede ser Y, O, Exclusivo O (xO) NO, etc., y cualesquiera combinaciones significativas de las mismas. La operación de sarta puede ser Concatenación, Reversa, Reemplazo, etc., y cualesquiera combinaciones significativas de las mismas. Además, la operación aritmética y la operación de sarta se pueden combinar.

Particularmente, la señal arriba mencionada puede comprender o derivarse de un número de secuencia (SQN) indicando el número de veces que la operación de seguridad se ha iniciado por la segunda entidad para la primera entidad. Con cada inicio, el SQN se puede incrementar por la segunda entidad. Este mecanismo asegura que la señal tenga un valor diferente para cada operación de seguridad iniciada.

La señal puede tomar muchas formas. En un caso, el propio SQN puede ser la señal. Alternativamente, la señal se puede derivar de la SQN usando un algoritmo que involucra ciertas operaciones matemáticas, tales como cuando menos una de una operación aritmética, una operación lógica y una operación de sarta. Por ejemplo, la señal puede comprender o derivarse de una Señal de Autenticación (AUTN) construida por la segunda entidad basada en la SQN y entregada a la primera entidad. Esta construcción y entrega pueden ser parte de la operación de seguridad.

Específicamente, la señal puede comprender un O exclusivo de la SQN y una Clave de Anónimo (AK) . Más específicamente, la señal puede ser una concatenación de la O exclusiva o la SQN y la Clave de Anónimo (AK) , un Campo de Autenticación y Manejo de Clave (AMF) , y un Código de Autenticación de Mensaje (MAC) . Esta concatenación puede expresarse como señal = AUTN = (SQN xOR AK) | | AMF | | MAC o señal = función (AUTN) = función ( (SQN. xOR AK) || AMF || MAC) El segundo parámetro puede comprender además p derivarse de un reto aleatorio, o código aleatorio (RAND) . El RAND puede ser generado por la segunda entidad y éntregado a la primera entidad como parte de la operación de seguridad. El segundo parámetro puede todavía comprender además o derivarse de un identificador de la primera entidad. Este identificador puede ser una Identidad de Usuario Privada (IMPI) o una Identidad de Suscriptor Móvil Internacional (IMSI) . Aún adicionalmente, el segundo parámetro puede comprender o derivarse de un identificador de una red de comunicaciones y particularmente la red de servicio de la primera entidad. Por ejemplo, este identificador podría ser un Identificador de Red Móvil de Tierra Pública (PLMN_ID) .

Específicamente, el segundo parámetro puede comprender o derivarse de una concatenación de 0x02, una PLMN_ID, un RAND, una IMPI o IMSI, y la señal. Esto podría expresarse como .0x02 I I PLMN_ID | | RAND | | IMPI | | señal Cuando la señal es la propia SQN, lo anterior se convierte en 0x02 I I PLMN_ID | | RAND | | IMPI | | SQN, y cuando la señal es la AUTN, lo anterior se convierte en 0x02 I I PLMN_ID | | RAND | | IMPI | | AUTN Con respecto al primer parámetro usado en el método, este parámetro comprende o se deriva de un juego de claves criptográficas que se han obtenido por la primera entidad corriendo la operación de seguridad. El juego de claves criptográficas pueden comprender o derivarse de una Clave de Cifra (CK) o una Clave de Integridad (IK) .

Las CK e IK pueden ser la clave de cifra y clave de integridad computadas por la primera entidad basada en una AUTN y una RA D. La AUTN y la RA D se pueden derivar de la segunda entidad. Esta computación asi como la entrega de la AUTN y la RAND pueden formar partes de la operación de seguridad.

En una implementación, el primer parámetro puede comprender o derivarse de una concatenación de CK e IK. Esto se puede expresar automáticamente como CK M IK.

El método descrito en la presente genera una clave criptográfica. Esta clave se puede compartir cuando menos por la primera entidad · y la segunda entidad, en cualquier comunicación subsecuente entre las mismas. En ciertas implementaciones, esta clave puede ser la KASME mencionada en la "jerarquía de clave" de la Figura 2, que se puede compartir por la primera entidad y una Entidad, de Manejo de Seguridad de Acceso (ASME) de la segunda entidad.

El método se puede extender para comprender aplicar una o más funciones de derivación de clave de manera de generar más claves criptográficas. Esta generación se basa en, o hace uso de, la clave criptográfica generada en el método no extendido, básico arriba descrito, v. gr., KASME.

Las claves criptográficas generadas por el método extendido pueden incluir cuando menos uno de un juego de claves criptográficas para proteger el tráfico de Estrato de No Acceso ( AS); un juego de claves criptográficas para la protección de tráfico de Control de Recurso de Radio ( RRC) ; . un juego de claves criptográficas para la protección de tráfico de Plano de Usuario (UP) ; y una clave criptográfica intermedia, tal como KWNBÍ para derivar las claves criptográficas para proteger el tráfico RRC y/o las claves criptográficas para proteger el tráfico UP. Para un entendimiento más sencillo de estas claves, se hace referencia a la Figura 2 que ilustra la jerarquía de clave usada en SAE7LTE.

Específicamente, el juego de claves criptográficas para proteger el tráfico ÑAS puede comprender una clave para proteger el tráfico AS con un algoritmo de encripción (KNAsenc) y/u otra clave para proteger el tráfico AS con un algoritmo de integridad (KNASint) · De manera similar, el juego de claves criptográficas para la protección de tráfico RRC puede comprender una clave para proteger el tráfico RRC con un algoritmo de integridad (KRRcint) · Además, el juego de claves criptográficas para la protección de tráfico UP puede comprender una clave para proteger el tráfico UP con un algoritmo de encripción (I enc) .

Para la técnica descrita en la presente, la "primera entidad" puede ser un equipo de usuario, tal como una estación móvil. La "segunda entidad" puede ser una entidad ubicada dentro de una red de comunicaciones, por lo tanto una "entidad de red". Particularmente, la segunda entidad puede estar ubicada en una red SAE/LTE.

La segunda entidad puede comprender un Centro de Autenticación (AuC) /Servidor de Suscriptor de Casa (HSS) y una Entidad de Manejo de Movilidad (MME) . La MME puede ser responsable por el inicio de la operación de seguridad para la primera entidad. Las claves criptográficas generadas se pueden generar mediante la Auc/HSS y compartirse por la primera entidad y la MME. El AuC/HSS puede incrementar la SQN, particularmente cada vez que la operación de seguridad se inicia para la primera entidad. Además, el AuC/HSS también puede construir la AUTN basada en la SQN.

La operación de seguridad referida en la presente se puede realizar mediante las primera y segunda entidades de una manera cooperativa. Por ejemplo, la operación de seguridad se puede basar en un procedimiento AKA, tal como el protocolo U TS AKA.

La función de derivación de clave referida por el método puede ser una función de derivación de clave de Arquitectura de Enlace Genérico (GBA) . Una función de derivación de clave de Arquitectura de Enlace Genérico puede emplear una función de señal de Algoritmo de Señal Segura (SHA). En particular, una función de señal de Algoritmo de Señal Segura con una digestión de una longitud de 256 bits (SHA-256) se' puede emplear.

De conformidad con otro aspecto, se proporciona un producto de programa de computadora. El producto de programa de computadora comprende porciones de código de programa para realizar los pasos del método descrito en la presente cuando el producto de programa de computadora se ejecuta en un sistema de computadora para un dispositivo de computación. El producto de programa de computadora puede estar almacenado en un medio de reporte legible por computadora.

En general, la solución se puede practicar por medio de hardware, software, o un acercamiento de hardware/software combinados.

En cuanto a la realización de hardware, un dispositivo adaptado para generar una clave criptográfica para' una entidad de comunicaciones se proporciona. El dispositivo puede realizar una operación de seguridad, de la cual la generación de la clave criptográfica puede ser una parte del mismo. El dispositivo comprende un primer componente adaptado para proporcionar cuando menos dos parámetros, en donde el primer parámetro puede comprender o derivarse de un juego de claves criptográficas que se han computado por la entidad de comunicaciones corriendo la operación de seguridad, y el segundo parámetro puede comprender o derivarse de una señal que tiene un valor diferente cada vez que se inicia la operación de seguridad para la entidad de comunicaciones. El dispositivo comprende además un segundo componente adaptado para ejecutar una función de derivación de clave de manera de generar una clave criptográfica basada en los parámetros proporcionados. Como se dijo arriba, la señal puede tomar muchas formas posibles.

La señal puede comprender o derivarse de una SQN indicando el número de veces que la operación de seguridad se ha iniciado por la entidad de comunicaciones. En una implementación, la propia SQN es la señal. Alternativamente, la señal se puede derivar de la SQN usando un algoritmo que involucra cuando menos una operación aritmética, una operación lógica y una operación de sarta. Por ejemplo, la señal puede comprender o derivarse de una AUTN que está construida basada en la SQN y entregada a la entidad de comunicaciones, en donde esta construcción y entrega forman parte de la operación de seguridad. Por ejemplo, la señal puede ser una concatenación del O-Exclusivo de la SQN y la Clave de Anónimo (AK, un Campo de Autenticación y Manejo de Clave (MAF) , y un Código de Autenticación de Mensaje (MAC) . Específicamente, esto se puede expresar como señal = UATN = (SQN xOR AK) | | AMF | | MAC.

Además de la señal, el segundo parámetro también puede comprender o derivarse de una RAND, el RAND se puede entregar a la entidad de comunicaciones como parte de la operación de seguridad. Además, el segundo parámetro puede comprender o derivarse de un identificador de la entidad de comunicaciones. Un ejemplo del identificador es una Identidad de Usuario Privada (IMPI) de la entidad de comunicaciones. Aún adicionalmente, el segundo parámetro puede comprender o derivarse de un identificador de la red de servicio de la entidad de comunicaciones. Este identificador podría ser un Identificador de Red Móvil de Tierra Pública (PLMN_ID) .

Un ejemplo particular del segundo parámetro puede comprender o derivarse de una concatenación de 0x02, una PLMN_ID, una. RAND, una IMPI o una IMSI, y la señal. Por ejemplo, el segundo parámetro se puede expresar como 0x02 I I PLMN_ID | | RAND | | I PI | | señal.

Cuando la señal es la SQN, lo anterior se convierte en 0x02 I I PLMN_ID | | RAND | | IMPI | | SQN; y cuando la señal es AUTN, lo anterior se convierte en 0x02 I I PLMN_ID | | RAND | | IMPI | | AUTN.

Como se mencionó arriba, el primer parámetro puede comprender o derivarse de un juego de claves criptográficas. Particularmente, este juego de claves criptográficas puede comprender una Clave de Cifra (CK) y una Clave de Integridad (IK) que se han computado por la entidad de comunicaciones como parte de la operación de seguridad. Alternativamente, ' el juego de claves criptográficas se puede derivar de la Clave de Cifra y la Clave de Integridad.

Como una implementación particular, el primer parámetro puede comprender o derivarse de una concatenación de CK e IK, que se puede expresar como CK I I IK.

El dispositivo puede generar no solamente la clave criptográfica basado en los parámetros primero y segundo proporcionados, sino también más claves criptográficas basadas en la clave criptográfica generada. Al hacer esto, el dispositivo puede estar adaptado para aplicar una o más funciones de derivación de clave de manera de generar las más claves criptográficas basado en la clave criptográfica que se ha generado.

Estas "más claves criptográficas" pueden comprender cuando menos uno de un juego de claves criptográficas para la protección de tráfico de Estrato de No Acceso (ÑAS), un juego de claves criptográficas para la protección de tráfico de Control de Recurso de Radio 8RRC), un juego de claves criptográficas para la protección de tráfico de Plano de Usuario (UP) , y una clave criptográfica intermedia ?T ? para derivar claves criptográficas para la protección de tráfico de RRC y/o las claves criptográficas para la protección de tráfico de UP.

La entidad de comunicaciones arriba mencionada puede ser un equipo de usuario, tal como una estación móvil (v. gr., un teléfono móvil o una tarjeta de red).

De conformidad con un aspecto adicional, se proporciona un equipo de usuario que comprende el dispositivo arriba presentado. El equipo de usuario pude ser una estación móvil.

De conformidad ,con todavía un aspecto adicional, se proporciona un sistema que comprende el equipo de usuario arriba mencionado. El sistema también comprende una entidad de red. La entidad de red se puede usar dentro de una red SAE/LTE. La entidad de red puede comprender un AuC/HSSD y una MME. La MME puede ser responsable por iniciar la operación de seguridad para el equipo de usuario. El AuC/HSS puede generar la clave criptográfica. Las claves criptográficas generadas se pueden compartir por el equipo de usuario y la MME. El AuC/HSS puede incrementar la SQN, particularmente cada vez que la operación de seguridad se inicia para el equipo de usuario. Además, el AuC/HSS puede también construir la AUTN basado en la SQN.

Breve Descripción de los Dibujos La Figura 1 es un diagrama que muestra el concepto básico del protocolo UMTS AKA; La Figura 2 es un diagrama de bloque que ilustra una jerarquía de clave propuesta para el sistema SAE/LTE; La Figura 3 es un diagrama de bloque que muestra una modalidad de dispositivo; La Figura 4 es un diagrama de bloque que muestra una modalidad de sistema; La Figura 5 es un diagrama de bloque que muestra una modalidad de método; La Figura 6 es un diagrama de bloque que muestra un procedimiento para la operación de UMTS AKA, Generación de un Vector de Autenticación por una entidad de red; La Figura 7 es un diagrama de bloque que muestra otro procedimiento de la operación de UMTS AKA, Autenticación y Establecimiento de Clave; .La Figura 8 es un diagrama de bloque que muestra la función de autenticación general realizada por el UE como parte de la operación de UMTS AKA; La Figura 9 es un diagrama de bloque que muestra un algoritmo criptográfico particular para realizar la función de autenticación anterior en el UE; y La Figura 10 es un diagrama de bloque que muestra un detalle particular del algoritmo criptográfico anterior. Descripción Detallada En la siguiente descripción, para propósitos de explicación y no limitación, se exponen detalles específicos, tales como secuencias de pasos particulares, ínterfaces y configuraciones, a fin de proporcionar un entendimiento completo de la técnica de generación de clave criptográfica. Será evidente a aquellos expertos en el ramo que la técnica se puede practicar en otras modalidades que salen de estos detalles específicos. Por ejemplo, mientras que la técnica describirá principalmente en contexto con el protocolo de UMTS AKA y en el ambiente de red de SAE/LTE, será evidente a la¦ persona experta que la técnica también se puede practicar en conexión con otros protocolos de seguridad, arquitecturas o ambientes.

Además, aquellos expertos en el ramo apreciarán que las funciones explicadas en la presente abajo se pueden implementar usando software que funciona en conjunción con un microprocesador programado o una computadora de propósito general. También se apreciará que mientras la técnica se describe primariamente en la forma de métodos y dispositivos, la técnica también se puede incrustar en un producto de programa de computadora asi como en un sistema que comprende un procesador de computadora y una memoria acoplada al procesador, en donde la memoria está codificada con uno o más programas que pueden realizar la función descrita en la presente.

La Figura 3 muestra una modalidad de un dispositivo 100 adaptado para generar una clave criptográfica para una entidad de comunicaciones (no mostrada en la Figura 3) . La entidad de comunicaciones está adaptada para correr una operación de seguridad. El dispositivo 100 comprende un primer componente 102 y un segundo componente 104. El primer componente 102 está adaptado para proporcionar cuando menos dos parámetros, figurat9vamente mostrados en las flechas 106 y 108.

El primer parámetro 106 comprende o se deriva de un juego de claves 110 y 112 criptográficas. (Aún cuando dos claves se muestran en la figura, el juego de claves criptográficas pueden incluir cualquier número de claves) . El juego de claves criptográficas se ha computado por la entidad de comunicaciones corriendo la operación de seguridad. La derivación del juego de claves 110 y 112 criptográficas en el primer parámetro 106 se muestra figurativamente como un bloque 114. El segundo parámetro 108 comprende o se deriva de una señal 116. La señal 116 tiene un valor diferente cada vez que la operación de seguridad se inicia para la entidad de comunicaciones. La derivación de la señal 116 hacia el segundo parámetro 108 se muestra figurativamente como un bloque 118. El segundo componente 104 del dispositivo 100 está adaptado para correr una función de derivación de clave para generar una clave 120 criptográfica basada en los parámetros 106 y 108 proporcionados.

Haciendo referencia a la Figura 4, se muestra una modalidad de un sistema 200 que comprende el dispositivo 100 arriba mencionado. El dispositivo 100 puede estar comprendido en una entidad 202 de comunicaciones, que puede ser un UE, tal como una estación móvil. Desde luego, la entidad 202 de comunicaciones puede ser cualquier clase apropiada de entidad de comunicaciones capaz de acomodar el dispositivo 100. Además, el sistema comprende una entidad 204 de red, que puede residir en una red SAE/LTE. La entidad 204 de red puede comprender un AuC o HSS y una MME . También puede ser otra entidad de comunicaciones en una red de SAE/LTE.

Correspondiendo al dispositivo 100 de generación de clave criptográfica mostrado en las Figuras' 3 y 4, un diagrama que ilustra una modalidad de un método para generar una clave criptográfica se muestra en la Figura 5. La clave generada se usa para proteger la comunicación entre dos entidades. La primera entidad 302 puede corresponder a la entidad 202 de comunicaciones como se muestra en la Figura 4, y la segunda entidad 304 puede corresponder a la entidad 204 de red de la Figura 4. La primera entidad puede ser un UE. Sin embargo, la modalidad no está limitada a un escenario de entidad de UE-red. En su lugar, se puede aplicar a cualesquiera dos entidades de comunicaciones en general.

La MME puede ser responsable por iniciar la operación de seguridad para la entidad 202 de comunicaciones. Las claves criptográficas generadas se pueden compartir por la MME y la entidad 202 de comunicaciones.

Particularmente, la modalidad de método se lleva a cabo por la primera entidad 302 como parte de una operación de seguridad figurativamente ilustrada por la flecha 300' , que se inicia por la segunda entidad 304 (particularmente por la MME de la misma) para la primera entidad 302. La propia modalidad comprende dos pasos, 306 y 308. El paso 306 proporciona cuando menos dos parámetros (106 y 108 de la Figura 3) . El primer parámetro comprende o se deriva de un juego de claves criptográficas (110 y 112 como se muestra en la Figura 3 que se han computado por la primera entidad 302 corriendo la operación 300' de seguridad. El segundo parámetro comprende o se deriva de una señal (116 como se muestra en la Figura 3) que tiene un valor diferente cada vez que la operación 300' de seguridad se inicia por la segunda entidad 304 para la primera entidad 302. En el segundo paso 308, una función de derivación de clave se aplica para generar una clave criptográfica (120 como se muestra en la Figura 3) basada en los parámetros provistos (106 y 108 como se muestra en la Figura 3) .

Abajo, los detalles substanciales se proporcionan para explicar la técnica de generación de clave criptográfica con un énfasis particular sobre cómo la técnica puede evitar satisfactoriamente los choques de clave entre dos UEs, o de manera más importante, entre dos ejecuciones distintas de la operación de seguridad para uno y el mismo UE.

La generación de clave criptográfica puede ser parte de la operación de UMTS AKA. La UMTS AKA se basa en la implementación que el UE, particularmente la USIM del mismo, y el AuC/HSS en el Ambiente de Casa de UE (HE) comparten una clave K secreta específica de usuario,' ciertas funciones fl, f2 de autenticación de mensaje y ciertas funciones f3, f4, f5 de generación de clave criptográfica. Además del USIM y el AuC/HSS mantienen seguimiento de contadores, o secuencia de números SQt½ y SQBHE respectivamente para . soportar autenticación de red. Por ejemplo, ( el AuC/HSS puede incrementar la SQ HE, particularmente cada vez que se inicia una operación de seguridad para la primera entidad. La operación de UMTS AKA comprende un número de procedimientos, incluyendo Generación de Vectores de Autenticación (AV) , y Autenticación y Establecimiento de Clave.

El propósito . del procedimiento AV es proporcionar la SN/VLR (o MME) con una disposición de AVs frescos del HE de UE para realizar un número de autenticaciones de usuario. La generación de Vectores de Autenticación por el HE se ilustra en la Figura 6. Haciendo referencia a esta figura, durante el recibo de una solicitud del SN/VLR, el AuC/HSS envía una disposición ordenada de n Vectores de Autenticación AV (l...n) al SN/VLR. Cada AV comprende un número aleatorio (o reto aleatorio) RAND, una respuesta XRES esperada, una clave CK de cifra, una clave IK de integridad y una señal de autenticación AUTN.

El AuC/HSS empieza con generar un número de secuencia fresco SQN y un reto impredecible RAND. Subsecuentemente se computan los siguientes valores, un código de autenticación de mensaje MAC = fl(SQN | | RNAD | | AMF) en donde fl es una función de autenticación de mensaje; una respuesta esperada XRES = f2 (RAND) en donde f2 es una función de autenticación de mensaje (posiblemente truncada); una tecla de cifra CK = f2 (RAND) en donde f3 es una función de generación de clave; una clave de integridad IK = f4 (RAND) en donde f4 es una función de generación de clave; y una clave de anónimo AK = f5 (RAND) en donde f5 es una función de generación de clave.

Finalmente la señal de autenticación AUTN = SQN xOR AK) I I AMF | | MAC se construye. Se puede construir por el AuC/HSS. Aquí, AK es una clave de anónimo usada para esconder la SQN ya que la última puede exponer la identidad y ubicación del UE. El ocultamiento de la SQN es para proteger contra ataques pasivos. El uso de AK puede ser opcional. Cuando no se usa AK, el valor AK = 000...0 se puede usar figurativamente en su lugar.

La disposición de AVs se envia nuevamente al SN/VLR de solicitud en una respuesta de autenticación. Cada AV es válido para una (y solamente una) autenticación y convenio de clave entre el SN/VLR y la USIM.

El siguiente procedimiento de la operación de UMTS AKA, Autenticación y Establecimiento de Cleve, es autenticar mutuamente y establecer nuevas claves de cifra e integridad entre el SN/VLR y el UE. Este proceso se ilustra en la Figura 7. Haciendo referencia a esta figura, cuando el SN/VLR inicia una autenticación y convenio de clave, selecciona el siguiente AV de la disposición y envia los parámetros RAND y AUTN al UE. El USIM compraba si AUTRN se puede aceptar y, si es asi, produce una respuesta RES que se envia nuevamente al SN/VLR. Particularmente, los procedimientos de UE se muestran en la Figura 8.

Haciendo referencia a la Figura 8, durante el recibo de RAND y AUTN, el UE primero computa la clave de anónimo AK = f5 (RAND) (o usa AK = 000...0) y retira el número de secuencia SQN = (SQN xOR AK) xOR AK. A continuación el UE computa XMAC = fl (SQN | | RAND | | AMF) y compara este con MAC que está incluido en AUTN. Si son diferentes, el UE envia rechazo de autenticación de usuario nuevamente al SN/VLR con una indicación de la causa y el UE abandona el procedimiento. O bien, el UE verifica que la SQN recibida está en la escala correcta.

Si la SQN se considera que está en la escala correcta, el UE computa RES = f2 (RAND) e incluye este parámetro en una respuesta de autenticación de usuario nuevamente al SN/VLR. Finalmente el UE computa la clave de cifra CK = f3 (RAND) y la clave de integridad IK = f4 (RAND) . Para mejorar la eficiencia, RES, CK e IK podrían también computarse anteriormente en cualquier momento después de recibir RAND. El UE puede almacenar RAND para propósitos de resincronización.

Después del recibo de respuesta de autenticación de usuario, el SN/VLR compara RES con la respuesta esperada XRES del vector de autenticación seleccionado. Si XRES es igual a RES entonces la autenticación del usuario, se ha aceptado. Las claves recientemente computadas CK e IK luego se transferirán por el USIM y el SN/VLR a las entidades que realizan funciones de cifrado e integridad.

De lo anterior, se puede ver que la operación de UMTS AKA se basa en un par (RAND, AUTN) y AUTN comprende o se deriva de un número de secuencia SQN, como' AUTN = (SQN xOR AK) | | AMF | | MAC en donde AK es una clave de anónimo, que se puede producir por Milenage (ver la Figura 9) de la salida "f5" anterior.

La función abajo es una primera solución al problema de choque expuesto arriba: KDF ( CK M IK, RAND | | IMPI | | SQN) en donde SQN se ha incluido de esta manera en las entradas. Ahora, aún cuando dos RANDs sean los mismos, es decir, RAND = RAND', el hecho de que SQN siempre aumenta (por v. gr., uno) asegurará que las entradas son diferentes, únicas, o distintas.

Una solución alternativa es' usar KDF(CK'|| IK, RAND || IMPI || AUTN).

Esta solución puede ser más sencilla de implementar puesto que AUTN se puede usar "como está" de la señalización AKA. Sin embargo, la "calidad única" de las entradas en este caso puede no ser obvia puesto que AUTN = (SQN xOR AK) | | AMF | | MAC y aún si SQN ?. SQN' , no se puede ver inmediatamente que (SQN xOR AK) , SQN' sOR AK' ) serán distintas ya que AK podría "cancelar" potencialmente las diferencias. Sin embargo, abajo, se puede comprobar la distinción de (SQN xOR AK) .

Supóngase que (CK M UJM RABD || IMPI || AUTN) = (CK I I KI' , RA D' || IMPI I I AUTN' ) .

Se ha mostrado ya que esto implica CK = CK' , IK ? IK' , y RAND = RAND' . De esta manera permanece por comprobar si podría ser que AUTN = AUTN' . Esta comprobación se puede traducir en comprobar si (SQN xOR CK) I I AMF | | MAC = "SQN' xOR AK' ) | | AMF | | MAC Supóngase sin pérdida de generalidad que AMF = AMF' y MAC = MAC . Entonces solamente es necesario comprobar si lo siguiente podría retenerse: SQN xOR AK = SQN' xOR AK' , Recuérdese que se espera que RAND = RAND' . Haciendo referencia al algoritmo Milenage mostrado en la figura 9, esto implica que AK = AK' (como se produjeron de los mismos RANDs) . De esta manera, tenía que ser que SQN = SQN' , que es una contradicción' puesto que, como ya se, anotó, SQN siempre "sube" y de esta manera SQN ? SQN' .

De esta manera, se prueba que la segunda solución también garantiza la calidad única de entradas a la función KDF.

Como una solución general, en lugar de usar SQN o AUTN para lograr la calidad única, cualquier señal que tenga un valor diferente cada vez que se inicia la operación de UMTS 'AKA por la red para el UE es factible. Por ejemplo, SQN xOR AK (que forma parte de AUTN) se puede usar puesto que (mediante el análisis anterior) tiene la propiedad de calidad única requerida.

La técnica de generación de clave criptográfica descrita aquí arriba presente numerosas ventajas. Por ejemplo, garantiza la calidad única de entradas de KDF. Por lo tanto, evita satisfactoriamente las comisiones ocasionadas por posibles entradas idénticas. Con esta técnica, la clave criptográfica generada se llenará, por ejemplo, los requerimientos de seguridad de alto nivel en sistemas SAE/LTE. Como una ventaja adicional, la técnica se puede implementar basada en USTMs ya desplegados sin requerir ninguna reposición de USIM. Otra ventaja especifica con usar AUTN en lugar de SQN es que la invención se puede implementar en la Terminal móvil (fuera del USIM) .

Aún cuando se han ilustrado modalidades de la técnica de generación de clave criptográfica se han ilustrado en los dibujos que se acompañan, y se describen en la descripción anterior, se entenderá que la técnica no está limitada a las modalidades descritas en la presente. La técnica es capaz de numerosas redisposiciones, modificaciones y substituciones sin abandonar el alcance de la invención.

Claims (21)

REIVINDICACIONES

1. - Un método para generar una clave criptográfica para proteger comunicación entre dos entidades, en donde el método se lleva a cabo por la primera entidad como parte de una operación de seguridad distribuida iniciada por ia segunda entidad, el método comprendiendo los pasos de: proporcionar cuando menos dos parámetros, en donde el primer parámetro comprende o se deriva de un juego de claves criptográficas que se han computado por la primera entidád corriendo la operación de seguridad, y el segundo parámetro comprende o se deriva de una señal que tiene un valor diferente cada vez que se inicia la operación de seguridad por la segunda entidad para la primera entidad; y aplicar una función de derivación de clave para generar una clave criptográfica basada en los parámetros proporcionados ; en donde la señal comprende un 0 exclusivo de un número de secuencia <SQN> y una clave de Anonimato <AK>.

2. - El método de conformidad con la reivindicación 1, en donde la SQN indica el número de veces que la operación de seguridad se ha iniciado por la segunda entidad para la primera entidad.

3. - El método de conformidad con la reivindicación 1 o 2, en donde la señal es una concatenación de 0 exclusivo de la SQN y la Clave de Anonimato <AKZ, un Campo de Autenticación .y Manejo de Clave <AMF>, y un Código de Autenticación de Mensaje <MAC>.

4. - El método de conformidad con cualquiera de las reivindicaciones anteriores, en donde el juego de claves criptográficas comprendido en el primer parámetro o del que el primer parámetro se deriva comprende o se deriva de una Clave de Cifra <CK> y una Clave de Integridad <IK>.

5. - El método de conformidad con cualquiera de las reivindicaciones anteriores, que comprende además el paso de: aplicar una o más funciones de derivación de clave para generar más claves criptográficas basadas en la clave criptográfica generada.

6. - El método de conformidad con la reivindicación 5, en donde las más claves criptográficas comprenden cuando menos una de las siguientes: un juego de claves criptográficas para la protección de tráfico de Estrato de No Acceso <NAS>; un juego de claves criptográficas para la protección de tráfico de Control de Recurso de Radio <RRC>; un juego de claves criptográficas para la protección de tráfico de Plano de usuario <UP>; y una clave criptográfica intermedia <KeNB> para derivar las claves criptográficas para la protección de tráfico de RRC y/o las claves criptográficas para la protección de tráfico de UP.

7. - El método de conformidad con cualquiera de las reivindicaciones anteriores, en donde la primera entidad es un equipo de usuario.

8. - El método de conformidad con cualquiera de las reivindicaciones anteriores, en donde la segunda entidad es una entidad de red.

9. - El método de conformidad con la reivindicación 8, en donde la segunda entidad reside en una red de Evolución de Arquitectura de Sistema <SAE>/Evolución de Término Prolongado <LTE>.

10. - El método de conformidad con la reivindicación 8 o 9, en donde la segunda entidad comprende un Centro de Autenticación <AuC>/Servidor de Suscriptor de Casa <HSS> y una Entidad de Manejo de Movilidad <MME>.

11. - El método de conformidad con cualquiera de las reivindicaciones anteriores, en donde la operación de seguridad se realiza cooperativamente por la primera y segunda entidades.

12. - El método de conformidad con cualquiera de las reivindicaciones anteriores, en donde la operación de seguridad se basa en protocolo de Autenticación UMTS y Convenio de Clave <AKA>.

13. - Un producto de programa de computadora que comprende porciones de código de programa para ejecutar los pasos del método de conformidad con cualquiera de las reivindicaciones anteriores cuando el producto de programa de computadora se corre en un sistema de computadora.

14. - El producto de programa de computadora de conformidad con la reivindicación 13, en donde el producto de programa de computadora se almacena en un medio de registro legible por computadora.

15. - Un dispositivo adaptado para generar una clave criptográfica para una entidad de comunicaciones adaptada para correr una operación de seguridad, el dispositivo comprendiendo: un primer componente adaptado para proporcionar cuando menos dos parámetros, en donde el primer parámetro comprende o se deriva de un juego de claves criptográficas que se ha computado por la entidad de comunicaciones corriendo la operación de seguridad, y el segundo parámetro comprende o se deriva de una señal que tiene un valor diferente cada vez que la operación de seguridad se inicia para la entidad de comunicaciones; y un segundo componente adaptado para correr una función de derivación de clave para generar una clave criptográfica basada en los parámetros proporcionados; en donde la señal comprende un 0 exclusivo o un número de secuencia <SQN> y una Clave de Anonimato (AK) .

16. - El dispositivo de conformidad con la reivindicación 15, en donde el SQN indica el número de veces que la operación de seguridad se ha iniciado para la entidad de comunicaciones.

17. - El dispositivo de conformidad con cualquiera de las reivindicaciones 15 a 17, en donde el juego de claves criptográficas comprendido en el primer parámetro o del que el primer parámetro se deriva comprende o se deriva de una Clave de Cifra <C > y una Clave de Integridad <IK> computadas por la entidad de comunicaciones como parte de la operación de seguridad.

18. - El dispositivo de conformidad con cualquiera de las reivindicaciones 15 a 17, adaptado además para aplicar una o más funciones de derivación de clave adicionales para generar más claves criptográficas basadas en la clave criptográfica generada.

19. - Un equipo de usuario que comprende el . dispositivo de conformidad con cualquiera de las reivindicaciones 15 a 18.

20. - Un sistema que comprende el equipo de usuario de conformidad con la reivindicación 19 y una entidad de red.

21. - El sistema de conformidad con la reivindicación 20, en donde la entidad de red es para uso en una red SAE/LTE.