RU2480925C2 - Генерация криптографического ключа - Google Patents

Генерация криптографического ключа Download PDF

Info

Publication number
RU2480925C2
RU2480925C2 RU2010149890/08A RU2010149890A RU2480925C2 RU 2480925 C2 RU2480925 C2 RU 2480925C2 RU 2010149890/08 A RU2010149890/08 A RU 2010149890/08A RU 2010149890 A RU2010149890 A RU 2010149890A RU 2480925 C2 RU2480925 C2 RU 2480925C2
Authority
RU
Russia
Prior art keywords
key
cryptographic
parameter
cryptographic keys
sqn
Prior art date
Application number
RU2010149890/08A
Other languages
English (en)
Other versions
RU2010149890A (ru
Inventor
Карл НОРРМАН
Матс НЕСЛУНД
Original Assignee
Телефонактиеболагет Лм Эрикссон (Пабл)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Family has litigation
First worldwide family litigation filed litigation Critical https://patents.darts-ip.com/?family=40527985&utm_source=google_patent&utm_medium=platform_link&utm_campaign=public_patent_search&patent=RU2480925(C2) "Global patent litigation dataset” by Darts-ip is licensed under a Creative Commons Attribution 4.0 International License.
Application filed by Телефонактиеболагет Лм Эрикссон (Пабл) filed Critical Телефонактиеболагет Лм Эрикссон (Пабл)
Publication of RU2010149890A publication Critical patent/RU2010149890A/ru
Application granted granted Critical
Publication of RU2480925C2 publication Critical patent/RU2480925C2/ru

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/065Encryption by serially and continuously modifying data stream elements, e.g. stream cipher systems, RC4, SEAL or A5/3
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0866Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/062Pre-authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/24Key scheduling, i.e. generating round keys or sub-keys for block encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/061Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying further key derivation, e.g. deriving traffic keys from a pair-wise master key

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

Изобретение относится к передаче данных, а именно к способу генерации криптографического ключа. Техническим результатом является повышение безопасности связи. Технический результат достигается тем, что заявлен способ генерации криптографического ключа (120) для защиты связи между двумя объектами (202, 204), причем этот способ выполняется первым объектом (202, 302) как часть распределенной операции безопасности, инициированной вторым объектом (202, 304), и содержит этапы, на которых: предоставляют (306) по меньшей мере два параметра (106, 108), из которых первый параметр (106) содержит в себе или выводится из ряда криптографических ключей (110, 112), вычисленных первым объектом (202) при выполнении операции безопасности, а второй параметр содержит в себе или выводится из маркера (116), имеющего разное значение при каждой инициации операции безопасности вторым объектом (204, 304) для первого объекта (202, 302); и применяют (308) функцию выведения ключа для генерации криптографического ключа (120) на основе предоставленных параметров (106, 108); причем маркер (116) содержит исключающее ИЛИ порядкового номера <SQN> и ключа анонимности <AK>. 5 н. и 15 з.п. ф-лы, 10 ил.

Description

Область техники, к которой относится изобретение
Настоящее изобретение в целом относится к способу генерации криптографического ключа. Конкретно, изобретение относится к способу генерации криптографического ключа, обеспечивающему высокий уровень безопасности.
Предшествующий уровень техники
Протокол согласования аутентификации и распределения ключей (АКА) является основанным на ответе на вызов протоколом, который использует симметричную криптографию. Основные цели протокола АКА включают в себя взаимную аутентификацию двумя объектами, связывающимися друг с другом, и ввод в действие криптографических ключей для защиты осуществляемой между ними связи. Вариантом протокола АКА является UMTS AKA, включенный в архитектуру безопасности, стандартизованную консорциумом 3GPP для мобильных систем связи третьего поколения (3G) в технической спецификации 3G TS 33.102.
Основная концепция протокола UMTS AKA представлена на фиг. 3. Согласно этому рисунку протокол UMTS AKA выполняется между пользовательским оборудованием (UE) и сетевым объектом (NE). Сетевой объект инициирует протокол АКА, посылая в UE запрос на аутентификацию пользователя. Вместе с запросом в UE посылаются случайный вызов или случайный код (RAND) и маркер аутентификации (AUTN). После того как будут приняты RAND и AUTN, то среди прочего UE вычисляет ключ шифрования (СК) и ключ целостности (IK) и затем использует их для функций шифрования и целостности.
3GPP предпринимает стандартизацию так называемых сетей связи "свыше 3G". "Развитие архитектуры системы" (SAE) и "Долгосрочное развитие" (LTE) являются двумя тесно связанными аспектами сети "свыше 3G". По сравнению с обычными сетями 3G сеть, основанная на стандарте SAE/LTE, может налагать более высокие и более безопасные требования. Например, может потребоваться больше криптографических ключей для обеспечения безопасности связи на разных уровнях. 3GPP рекомендовал в другом, относящемся к стандартам документе, 3GPP TR 33.821, иерархию ключей с целью получения большего числа криптографических ключей для использования в SAE/LTE.
На фиг. 2 показана эта иерархия ключей. На самом верху иерархии располагается ключ К, долгосрочный криптографический ключ, совместно используемый универсальным модулем идентификации абонента (USIM) в UE и центром аутентификации (AuC), находящимся в сети. Одним уровнем ниже располагается пара криптографических ключей СК и IK, которые выводятся оборудованием UE, конкретно модулем USIM в нем, таким же или подобным образом, как и в вышеупомянутой операции UMTS AKA. Еще ниже в иерархии находится ключ KASME, который выводится оборудованием UE из СК, IK и, если необходимо, из некоторых других параметров. Будучи выведенным, KASME передается из AuC в сеть доступа, конкретно в объект управления безопасностью доступа (ASME) сети SAE/LTE и затем совместно используется UE и сетью. Когда сеть доступа основана на технологии LTE, функциональные свойства ASME обслуживаются объектом управления мобильностью (ММЕ).
Ключ KASME и ключи, располагающиеся "ниже" по иерархии, могут быть выведены за счет применения определенной криптографической функции. Например,
KASME = KDF(CK||IK, 0x02||PLMN-ID||<другой_параметр>),
где KDF является функцией выведения ключа (KDF), основанной на стандартной архитектуре загрузки (GBA). Одна GBA KDF определена в 3G TS 33.220.
GBA KDF может позволить использовать криптографические хеш-функции, такие как хеш-функции алгоритма безопасного хеширования (SHA). Среди многих других SHA хеш-функций SHA-256 является в высшей степени безопасным вариантом, поскольку она задумана как устойчивая к конфликтным ситуациям и действует подобно псевдослучайной функции. Как подсказывает ее наименование, SHA-256 является хеш-функцией алгоритма безопасного хеширования с длиной дайджеста (выхода) в 256 битов. PLMN-ID является идентификатором сети, обслуживающей UE.
Было осознано, что для достижения высокого уровня безопасности недостаточно основывать GBA KDF функцию преимущественно только на СК и IK. Основной причиной этого является риск, что данное UE может дважды получить один и тот же СК или два разных UE могут получить один и тот же СК. В таких случаях подрывается "уникальность" входов в KDF, и может возникнуть конфликт между различными UE (использующими один и тот же KASME).
Следует отметить, что тогда как несомненно, что KDF(x) производит тот же ключ, что и KDF(y), если x=y, обратное утверждение не всегда справедливо. То есть если даже x≠y, может по-прежнему случиться, что KDF(x)=KDF(y). Однако это является маловероятным событием, поскольку рекомендуется, чтобы KDF основывалась на SNA-256, которая, как упоминалось выше, была задумана как устойчивая к конфликтам функция. Таким образом, применительно к описываемому здесь способу можно без риска предположить, что KDF(x)=KDF(y), тогда и только тогда, когда x=y. Такое предположение позволяет сосредоточить описываемый здесь способ на утверждении "уникальности" входов в KDF.
Стандартизующий орган спецификации GBA KDF (ETSI/SAGE, Группа экспертов специальных алгоритмов) отметил вышеупомянутую проблему и рекомендовал включить идентификатор индивидуального пользователя UE (IMPI) в <другой_параметр> (<other parameters>), чтобы устранить конфликты между различными UE. В качестве дополнительной рекомендации случайный код, такой как RAND, может быть также включен в <другой_параметр>. Это описано в информационном сообщении от ETSI/SAGE в 3GPP SA3 (в документе 3GPP за номером S3-030219).
Однако было обнаружено, что вышеупомянутые рекомендации по-прежнему не гарантируют "уникальность" входов в KDF. Это можно увидеть из приведенного ниже анализа свойств безопасности функции GBA KDF и ее использования в SAE/LTE для одного и того же UE (например, одного и того же IMPI).
Во-первых, рассматривается следующая базовая конструкция:
KDF (CK, IMPI).
Так как было предположено, что IMPI=IMPI' (когда UE фиксировано), эта базовая конструкция приведет к конфликту для двух входов (СК, IMPI), (CK',IMPI'), тогда и только тогда, когда CK=CK'.
Во-вторых, рассматривается другая конструкция, которая ближе к реальной GBA KDF:
KDF(CK||IK,IMPI).
Однако включение IK во входы не изменяет вышеупомянутой природы конфликта, как может показаться сначала. То есть KDF(CK||IK,IMPI) будет равна KDF(CK'||IK',IMPI), тогда и только тогда, когда CK=CK'. Для того чтобы понять, почему включение IK не должно помочь, необходимо рассмотреть, как создаются СК и IK криптографическим алгоритмом, выполняемом на UE.
Типовым криптографическим алгоритмом со стороны UE является алгоритм Milenage, который показан на фиг. 9. На фиг. 9 Ek означает алгоритм улучшенного стандарта шифрования (AES), известный также как алгоритм Rijndael, использующий ключ К (запомненный в AuC и USIM оборудования UE). Рассмотрим теперь, что происходит, если CK=CK'. Поскольку AES является перестановкой (отображением "один к одному"), это означает, что промежуточное значение (указываемое жирной стрелкой) однозначно определяется выходом f3, который оказывается равным СК. Но из этого следует, что значение в точке, указываемой жирной стрелкой, при генерации СК должно быть таким же, каким было значение в той же точке при генерации CK'. Это в свою очередь означает, что значения на входе в f4 должны быть одинаковыми, а следовательно, должны быть одинаковыми и результирующие значения f4. Когда это происходит, значение f4 равно IK. Таким образом, было показано, что CK=CK' тогда и только тогда, когда IK=IK'.
Затем рассмотрим "улучшенную" конструкцию, соответствующую рекомендации стандартизующего органа (SAGE), то есть включающую в себя RAND на входах:
KDF (CK||IK, RAND||IMPI).
Предположим, что CK=CK' (и, таким образом, IK=IK'). Хочется надеяться, что использование RAND будет гарантировать уникальность. Однако это не так. Снова рассмотрим "уместную" часть алгоритма Milenage, которая создает СК и IK из RAND. Как показано на фиг. 9, существует ситуация, при которой значение у жирной стрелки, соответствующее RAND, является таким же, что и значение, соответствующее RAND'. Но опять AES(Ek) является перестановкой, так что входы должны быть также равны, то есть RAND=RAND'. (Тот факт, что AES зависит от К, не помогает, так как предполагается фиксированное UE, и, таким образом, один и тот же К будет иметь место в обоих случаях).
Другими словами, было показано, что (CK||IK, RAND||IMPI)=(CK'||IK',RAND'||IMPI) тогда и только тогда, когда RAND=RAND'. В случае SAE/LTE идентификатор PLMN-ID может быть также включен во входы, но так как вполне вероятно, что UE находится в одной и той же сети несколько раз, на этот параметр PLMN-ID нельзя надеяться в смысле обеспечения гарантии уникальности.
Другим подходом к попытке устранения конфликта может быть использование алгоритма, отличающегося от AES, для криптографической обработки алгоритмов f3 и f4. Дело в том, что проведенный выше анализ был основан на том факте, что AES является перестановкой. Поэтому было бы возможно использовать алгоритм, не являющийся перестановкой (отображение "многие к одному"), вместо AES. Это проблематично по двум причинам. Во-первых, существующие USIM должны быть приспособлены к тому, чтобы стать подходящими для 3GPP SAE архитектуры. Во-вторых, при выборе отличающейся от перестановки функции реально возрастает возможность того, что два выхода, например, f3 будут вступать в противоречие.
Отсутствие уникальности входов может стать серьезной проблемой безопасности. Поскольку конфликт может возникнуть тогда и только тогда, когда RAND=RAND', и поскольку RAND составляет 128 битов, возникновение конфликта ожидается после около 2^(128/2)=2^64 аутентификаций (это так называемый "парадокс дней рождения"). Очевидно, что это ниже чем целевой уровень безопасности для GBA (который составляет 128 битов). Для LTE ситуация даже хуже, так как для LTE требуется обеспечить уровень безопасности в 256 битов. Таким образом, высокая вероятность конфликта является значительным препятствием к обеспечению требуемого уровня безопасности в SAE/LTE.
Сущность изобретения
В соответствии с этим существует необходимость в решении, которое исключает вышеупомянутые конфликты. Это решение должно также идеально работать с уже введенными в действие USIM и не требовать замены всех USIM.
Согласно первому аспекту обеспечен способ генерации криптографического ключа. Криптографический ключ используется, среди прочего, для защиты связи между двумя объектами. Способ выполняется первым объектом. Способ составляет часть распределенной операции безопасности, которая инициируется вторым объектом. Способ содержит обеспечение по меньшей мере двух параметров, причем первый параметр либо содержит в себе, либо выводится из ряда криптографических ключей, которые были вычислены первым объектом при выполнении операции безопасности, а второй параметр либо содержит в себе, либо выводится из маркера, имеющего разное значение при каждой инициации операции безопасности вторым объектом для первого объекта (другими словами, значение маркера никогда не бывает одинаковым для двух операций безопасности); и применение функции выведения ключа для генерации криптографического ключа на основе обеспеченных параметров.
Выражение "параметр содержит Х" может означать, что переменная Х, в ее строковом формате, образует параметр или его часть. Выражение "параметр выводится из Х" может означать, что параметр является результатом применения определенных функций, таких как математические функции, по меньшей мере к переменной Х. Примеры функций включают в себя, но не ограничиваются ими, арифметические операции, логические операции, строковые операции или любые их сочетания. Арифметическая операция может быть сложением, вычитанием, умножением и т.п., и любыми их значащими сочетаниями. Логическая операция может быть операцией AND, OR, исключающего ИЛИ (xOR), NOT и т.п., и любыми их значащими сочетаниями. Строковая операция может быть операцией объединения, реверсирования, замены и т.п., и любыми их значащими сочетаниями. Дополнительно арифметическая операция, логическая операция и строковая операция могут быть объединены.
В частности, вышеупомянутый маркер может содержать в себе или быть выведен из порядкового номера (SQN), указывающего число раз, когда была инициирована безопасная операция вторым объектом для первого объекта. При каждой инициации SCN может дискретно увеличиваться вторым активным объектом. Такой механизм обеспечивает, что маркер будет иметь другое значение для каждой инициированной операции безопасности.
Маркер может принимать много форм. В одном случае сам SQN может быть маркером. Альтернативно маркер может выводиться из SQN, используя алгоритм, включающий в себя определенные математические операции, такие как по меньшей мере одна из арифметической операции, логической операции и строковой операции. Например, маркер может содержать в себе или выводиться из маркера аутентификации (AUNT), созданного вторым объектом на основе SCN и доставленного в первый объект. Такое создание и доставка могут быть частью операции безопасности.
В частности, маркер может содержать операцию исключающего ИЛИ для SQN и ключа анонимности (АК). Более конкретно, маркер может быть объединением исключающего ИЛИ для SQN и ключа анонимности (АК), поля управления аутентификацией и ключами (AMF) и кода аутентификации сообщения (МАС). Объединение может быть выражено следующим образом:
маркер = AUTN = (SQN xOR AK)||AMF||MAC
или
маркер = функция (AUTN) = функция ((SQN xOR AK)||AMF||MAC).
Второй параметр может дополнительно содержать в себе или выводиться из случайного вызова или случайного кода (RAND). RAND может создаваться вторым объектом и доставляться первому объекту как часть операции безопасности. Второй параметр может еще дополнительно содержать в себе или выводиться из идентификатора первого объекта. Этот идентификатор может быть идентификатором индивидуального пользователя (IMPI) или международным идентификатором абонента мобильной связи (IMSI). Более того, второй параметр может содержать в себе или выводиться из идентификатора сети связи и, конкретно, обслуживающей сети первого объекта. Например, этот идентификатор может быть идентификатором наземной сети мобильной связи общего пользования (PLMN-ID).
В частности, второй параметр может содержать в себе или выводиться из объединения 0х02, PLMN-ID, RAND, IMPI или IMSI и маркера. Это может быть выражено следующим образом:
0x02||PLMN-ID||RAND||IMPI||маркер.
Когда маркером является сам SQN, вышеприведенное выражение принимает вид:
0x02||PLMN-ID||RAND||IMPI||SQN,
а когда маркером является AUTN, это выражение принимает вид:
0x02||PLMN-ID||RAND||IMPI||AUTN.
Что касается первого параметра, используемого в этом способе, то этот параметр содержит в себе или выводится из ряда криптографических ключей, которые были получены первым объектом при выполнении операции безопасности. Ряд криптографических ключей может содержать в себе или выводиться из ключа шифрования (СК) и ключа целостности (IK).
СК и IK могут быть ключом шифрования и ключом целостности, вычисленными первым объектом на основе AUTN и RAND. AUTN и RAND могут быть доставлены от второго объекта. Вычисление, так же как и доставка AUTN и RAND, могут быть частями операции безопасности.
В одном варианте реализации первый параметр может содержать в себе или выводиться из объединения СК и IK. Математически это может быть выражено следующим образом:
CK||IK.
Описанный здесь способ генерирует криптографический ключ. Этот ключ может совместно использоваться по меньшей мере первым объектом и вторым объектом в любой последующей операции связи между ними. В определенных вариантах реализации этот ключ может быть ключом KASME, который показан в "иерархии ключей" на фиг. 2 и который может совместно использоваться первым объектом и объектом управления безопасным доступом (ASME) во втором объекте.
Этот способ может быть расширен, чтобы содержать применение одной или более дополнительных функций выведения ключа с целью генерации большего числа криптографических ключей. Такая генерация основана на криптографическом ключе или использует криптографический ключ, созданный в базовом, нерасширенном способе, описанном выше, например, KASME.
Криптографические ключи, созданные по расширенному способу, могут включать в себя по меньшей мере один из ряда криптографических ключей для защиты трафика на уровне не связанном с предоставлением доступа (NAS); ряда криптографических ключей для защиты трафика на уровне, управления радиоресурсами (RRC); ряда криптографических ключей для защиты трафика в плоскости пользователя (UP); и промежуточного криптографического ключа, такого как KeNB, для выведения криптографических ключей для защиты RRC трафика и/или криптографических ключей для защиты UP трафика. Чтобы облегчить понимание этих ключей, сделана ссылка на фиг. 2, на которой представлена иерархия ключей, используемых в SAE/LTE.
В частности, ряд криптографических ключей для защиты NAS трафика может содержать ключ для защиты NAS трафика алгоритмом шифрования (KNASenc) и/или другой ключ для защиты NAS трафика алгоритмом целостности (KNASint). Подобным образом ряд криптографических ключей для защиты RRC трафика может содержать ключ для защиты RRC трафика алгоритмом шифрования (KRRCenc) и/или другой ключ для защиты RRC трафика алгоритмом целостности (KRRCint). Далее ряд криптографических ключей для защиты UP трафика может содержать ключ для защиты UP трафика алгоритмом шифрования (KUPenc).
Применительно к описываемому здесь способу "первый объект" может быть пользовательским оборудованием, таким как мобильная станция. "Второй объект" может быть объектом, расположенным внутри сети связи, то есть "сетевым объектом". В частности, второй объект может быть расположен в SAE/LTE сети.
Второй объект может содержать центр аутентификации (AuC)/сервер данных собственных абонентов (HSS) и объект управления мобильностью (ММЕ). MME может быть ответственен за инициацию операции безопасности для первого объекта. Генерируемые криптографические ключи могут создаваться AuC/HSS и совместно использоваться первым объектом и ММЕ. AuC/HSS может дискретно увеличивать SQN, конкретно при каждой инициации операции безопасности для первого объекта. Дополнительно AuC/HSS может также создавать AUTN на основе SQN.
Упоминаемая здесь операция безопасности может выполняться первым и вторым объектами совместно. Например, операция безопасности может быть основана на процедуре АКА, такой как протокол UMTS АКА.
Функция выведения ключа, рассматриваемая в этом способе, может быть функцией выведения ключа в архитектуре стандартной загрузки (GBA). Функция вывода ключа в архитектуре стандартной загрузки может использовать хеш-функцию алгоритма безопасного хеширования (SHA). В частности, может использоваться хеш-функция алгоритма безопасного хеширования с дайджестом длиной в 256 битов (SHA-256).
Согласно другому аспекту обеспечен компьютерный программный продукт. Компьютерный программный продукт содержит программные кодовые участки для выполнения этапов описанного здесь способа, когда компьютерный программный продукт исполняется в компьютерной системе для вычислительного устройства. Компьютерный программный продукт может запоминаться на машиночитаемом носителе записи.
В общем случае решение может быть реализовано на практике посредством аппаратного оборудования, программного обеспечения или подхода с сочетанием аппаратного оборудования и программного обеспечения.
Что касается реализации посредством аппаратного оборудования, обеспечивается устройство, выполненное с возможностью генерации криптографического ключа для объекта связи. Устройство может выполнять операцию безопасности, в которой генерация криптографического ключа может быть ее частью. Устройство содержит первый компонент, выполненный с возможностью обеспечения по меньшей мере двух параметров, при этом первый параметр может содержать в себе или выводиться из ряда криптографических ключей, вычисленных объектом связи при выполнении операции безопасности, а второй параметр может содержать в себе или выводиться из маркера, принимающего другое значение при каждой инициации операции безопасности для объекта связи. Устройство дополнительно содержит второй компонент, выполненный с возможностью выполнения функции выведения ключа с целью генерации криптографического ключа на основе обеспеченных параметров. Как было сказано выше, маркер может принимать многие возможные формы.
Маркер может содержать в себе или выводиться из SQN, указывающего число раз, когда была инициирована операция безопасности для объекта связи. В одном варианте реализации сам SQN является маркером. Альтернативно, маркер может выводиться из SQN, используя алгоритм, включающий в себя по меньшей мере одну из арифметической операции, логической операции и строковой операции. Например, маркер может содержать в себе или выводиться из AUTN, который создан на основе SQN и доставлен в объект связи, причем это создание и доставка являются частями операции безопасности. Например, маркер может быть объединением исключающего ИЛИ для SQN и ключа анонимности (АК), поля управления аутентификацией и ключами (AMF) и кода аутентификации сообщения (МАС). Конкретно это может быть выражено следующим образом:
маркер = AUTN = (SQN xOR AK)||AMF||MAC.
В дополнение к маркеру второй параметр может также содержать в себе или выводиться из RAND. RAND может доставляться в объект связи как часть операции безопасности. Дополнительно второй параметр может содержать в себе или выводиться из идентификатора объекта связи. Примером идентификатора является идентификатор индивидуального пользователя (IMPI) объекта связи. Более того, второй параметр может содержать в себе или выводиться из идентификатора обслуживающей сети объекта связи. Такой идентификатор может быть идентификатором наземной сети мобильной связи общего пользования (PLMN-ID).
В конкретном примере второй параметр может содержать в себе или выводиться из объединения 0х02, PLMN_ID, RAND, IMPI или IMSI и маркера. Например, второй параметр может быть выражен как:
0x02||PLMN_ID||RAND||IMPI||маркер.
Когда маркером является SQN, приведенное выше выражение принимает вид:
0x02||PLMN_ID||RAND||IMPI||SQN,
а когда маркером является AUTN, это выражение становится следующим:
0x02||PLMN_ID||RAND||IMPI||AUTN.
Как было сказано выше, первый параметр может содержать в себе или выводиться из ряда криптографических ключей. В частности, этот ряд криптографических ключей может содержать ключ шифрования (СК) и ключ целостности (IK), которые были вычислены объектом связи как часть операции безопасности. Альтернативно ряд криптографических ключей может быть выведен из ключа шифрования и ключа целостности.
В конкретном варианте реализации первый параметр может содержать в себе или быть выведен из объединения СК и IK, что может быть выражено как:
CK||IK.
Устройство может генерировать не только криптографический ключ на основе предоставленных первого и второго параметров, но и большее число криптографических ключей на основе созданного криптографического ключа. Для того чтобы сделать это, устройство может быть выполнено с возможностью применения одной или более дополнительных функций вывода ключа для генерации большего числа криптографических ключей на основе уже созданного криптографического ключа.
Это "большее число криптографических ключей" может содержать один из ряда криптографических ключей для защиты трафика на уровне, не связанном с предоставлением доступа (NAS), ряда криптографических ключей для защиты трафика на уровне радиоресурсов (RRC), ряда криптографических ключей для защиты трафика в плоскости пользователя (UP) и промежуточного ключа KeNB с целью вывода криптографических ключей для защиты RRC трафика и/или криптографических ключей для защиты UP трафика.
Упомянутый выше объект связи может быть пользовательским оборудованием, таким как мобильная станция (например, мобильный телефон или сетевая карта).
Согласно следующему аспекту обеспечено пользовательское оборудование, содержащее представленное выше устройство. Пользовательское оборудование может быть мобильной станцией.
Согласно еще одному аспекту обеспечена система, содержащая вышеупомянутое пользовательское оборудование. Система содержит также сетевой объект. Сетевой объект может быть использован внутри SAE/LTE сети. Сетевой объект может содержать AuC/HSS и ММЕ. ММЕ может нести ответственность за инициацию операции безопасности для пользовательского оборудования. AuC/HSS может генерировать криптографический ключ. Созданные криптографические ключи могут совместно использоваться пользовательским оборудованием и ММЕ. AuC/HSS может дискретно увеличивать SQN, конкретно при каждой инициации операции безопасности для пользовательского оборудования. Дополнительно AuC/HSS может также создавать AUTN на основе SQN.
Краткое описание чертежей
В дальнейшем способ генерации криптографических ключей будет описан со ссылкой на приведенные в качестве примера варианты реализации, представленные на следующих чертежах:
ФИГ.1 - диаграмма, иллюстрирующая основную концепцию UMTS AKA протокола;
ФИГ.2 - блок-схема, иллюстрирующая иерархию ключей, предложенную системой SAE/LTE;
ФИГ.3 - блок-схема, представляющая вариант реализации устройства;
ФИГ.4 - блок-схема, представляющая вариант реализации системы;
ФИГ.5 - блок-схема, представляющая вариант реализации способа;
ФИГ.6 - блок-схема, представляющая последовательность выполнения операции UMTS AKA, генерацию вектора аутентификации сетевым объектом.
ФИГ.7 - диаграмма, представляющая другую последовательность выполнения операции UMTS AKA, аутентификацию и ввод в действие ключа.
ФИГ.8 - блок-схема, представляющая в общем виде функцию аутентификации, выполняемую UE как часть операции UMTS AKA;
ФИГ.9 - блок-схема, представляющая конкретный криптографический алгоритм для выполнения вышеупомянутой функции аутентификации в UE; и
ФИГ.10 - блок-схема, представляющая конкретные детали вышеупомянутого криптографического алгоритма
Подробное описание
В последующем описании в целях пояснения, а не ограничения, представлены конкретные детали, такие как конкретная последовательность этапов, интерфейсы и конфигурации, для того чтобы обеспечить полное понимание способа генерации криптографического ключа. Для специалистов в данной области техники должно быть очевидно, что способ может быть осуществлен на практике в других вариантах реализации, имеющих отличия от этих конкретных деталей. Например, хотя этот способ будет главным образом описан в контексте UMTS AKA протокола и сетевой среды SAE/LTE, специалистам в данной области техники будет понятно, что этот способ может быть также практически применим в сочетании с другими протоколами безопасности, архитектурами или средами.
Более того, специалисты в данной области техники оценят, что функции, поясняемые ниже, могут быть реализованы за счет использования программного обеспечения, действующего в сочетании с программируемым микропроцессором или компьютером общего назначения. Должно быть также понятно, что хотя техническое воплощение описывается в форме способов и устройств, техническое воплощение может быть также встроенным в компьютерный программный продукт, а также в систему, содержащую процессор компьютера и память, подсоединенную к компьютеру, причем эта память имеет одну или более закодированных программ, способных выполнять описанные здесь функции.
На фиг. 3 показан пример реализации устройства 100, выполненного с возможностью генерации криптографического ключа для объекта связи (не показан на фиг. 3). Объект связи выполнен с возможностью выполнения операции безопасности. Устройство 100 содержит первый компонент 102 и второй компонент 104. Первый компонент 102 выполнен с возможностью обеспечения по меньшей мере двух параметров, условно обозначенных стрелками 106 и 108.
Первый параметр 106 содержит в себе или вводится из ряда криптографических ключей 110 и 112. (Хотя на рисунке показаны два ключа, ряд криптографических ключей может включать в себя любое число ключей). Ряд криптографических ключей был вычислен объектом связи при выполнении операции безопасности. Вывод ряда криптографических ключей 110 и 112 в первый параметр 106 условно показан как блок 114. Второй параметр 108 содержит в себе или выводится из маркера 116. Маркер 116 принимает другое значение при каждой инициации операции безопасности для объекта связи. Вывод маркера 116 во второй параметр 108 условно показан как блок 118. Второй компонент 104 устройства 100 выполнен с возможностью выполнения функции вывода ключа для генерации криптографического ключа 120 на основе обеспеченных параметров 106 и 108.
На фиг. 4 представлен вариант реализации системы 200, содержащей вышеупомянутое устройство 100. Устройство 100 может содержаться в объекте 202 связи, которое может быть UE, таким как мобильная станция. Конечно, объект 202 связи может быть любым подходящим типом объекта связи, способным включать в себя устройство 100. Дополнительно система содержит сетевой объект 204, который может находиться в сети SAE/LTE. Сетевой объект 204 может содержать AuC или HSS и ММЕ. Может быть также другой объект связи в сети SAE/LTE.
В соответствии с устройством 100 генерации криптографического ключа, показанным на фиг. 3 и 4, блок-схема 300, иллюстрирующая вариант реализации способа генерации криптографического ключа, показана на фиг. 5. Созданный ключ используется для защиты связи между двумя объектами. Первый объект 302 может соответствовать объекту 202 связи, изображенному на фиг. 4, а второй объект 304 связи может соответствовать сетевому объекту 204 на фиг. 4. Первый объект может представлять собой UE. Однако вариант реализации не ограничивается сценарием "UE-сетевой объект". Напротив, он может быть применен в общем случае к любым двум объектам связи.
ММЕ может нести ответственность за инициацию операции безопасности для объекта 202 связи. Созданные криптографические ключи могут совместно использоваться ММЕ и объектом 202 связи.
Конкретно вариант реализации способа выполняется первым объектом 302 связи как часть операции безопасности, условно обозначенной стрелкой 300', которая инициируется вторым объектом 304 (конкретно ММЕ в нем) для первого объекта 302. Сам вариант реализации содержит два этапа 306 и 308. На этапе 306 обеспечиваются по меньшей мере два параметра (106 и 108 на фиг. 3). Первый параметр содержит в себе или выводится из ряда криптографических ключей (110 и 112 на фиг. 3), которые были вычислены первым объектом 302 при выполнении операции 300' безопасности. Второй параметр содержит в себе или выводится из маркера (116 на фиг. 3), который принимает другое значение при каждой инициации операции 300' безопасности вторым объектом 304 для первого объекта 302. На втором этапе 308 применяется функция выведения ключа для генерации криптографического ключа (120 на фиг. 3) на основе обеспеченных параметров (106 и 108 на фиг. 3).
Ниже приведены существенные подробности для пояснения способа генерации криптографического ключа с особым акцентом на то, как этот способ может успешно устранить связанные с ключами конфликты между двумя UE или, что более важно, между двумя отдельными исполнениями операции безопасности для одного и того же UE.
Генерация криптографического ключа может быть частью UMTS AKA операции. UMTS AKA основывается на реализации, при которой UE, конкретно USIM в нем, и AuC/HSS в домашней среде (НЕ) UE совместно используют конкретный секретный ключ К, определенные функции f1, f2 аутентификации сообщений и определенные функции f3, f4, f5 генерации криптографических ключей. В дополнение к этому USIM и AuC/HSS отслеживают показания счетчиков или порядковые номера SQNUE и SQNHE, соответственно, чтобы поддержать аутентификацию сети. Например, AuC/HSS может дискретно увеличивать SQNHE конкретно при каждой инициации операции безопасности для первого объекта. UMTS AKA операция содержит ряд процедур, включая генерацию вектора аутентификации (AV) и аутентификацию и ввод в действие ключа.
Назначение процедуры AV заключается в том, чтобы обеспечить SN/VLR (или ММЕ) набором свежих AV от UE НЕ для выполнения ряда аутентификаций пользователя. Генерация векторов аутентификации НЕ-средой иллюстрируется на фиг. 6. На этом рисунке показано, что по приему запроса от SN/VLR, AUC/HSS посылает заказанный набор векторов аутентификации, AV (1…N), в SN/VLR. Каждый AV содержит случайное число (или случайный вызов) RAND, ожидаемый ответ XRES, ключ СК шифрования, ключ IK целостности и маркер AUTN аутентификации.
AuC/HSS начинает с генерации свежего порядкового номера SQN и непредсказуемого вызова RAND. Затем вычисляются следующие значения:
- код аутентификации сообщений MAC = f1(SQN||RAND||AMF), где f1 - функция аутентификации сообщений;
- ожидаемый ответ XRES = f2(RAND), где f2 - (возможно, усеченная) функция аутентификации сообщений;
- ключ шифрования CK = f3(RAND), где f3 - функция генерации ключа;
- ключ целостности IK = f4(RAND), где f4 - функция генерации ключа; и
- ключ анонимности AK = f5(RAND), где f5 - функция генерации ключа.
Наконец, создается маркер аутентификации AUTN=(SQN xOR AK||AMF||MAC). Он может быть создан AuC/HSS. Здесь АК - ключ анонимности, используемый для сокрытия SQN, так как тот может раскрыть подлинность и местоположение UE. Сокрытие SQN должно защитить от пассивных атак. Использование АК может осуществляться по желанию. Когда АК не используется, может условно использоваться значение АК=000…0.
Набор векторов AV посылается обратно запрашивающему SN/VLR в ответе на запрос аутентификации. Каждый AV действителен для одного (и только для одного) согласования аутентификации и ключей между SN/VLR и USIM.
Следующая процедура в UMTS AKA операции, аутентификация и ввод в действие ключа, должна взаимно аутентифицировать и вводить в действие новые ключи шифрования и целостности между SN/VLR и UE. Этот процесс иллюстрируется на фиг. 7. На этом рисунке показано, что когда SN/VLR инициирует согласование аутентификации и ключей, он выбирает следующий AV из набора и посылает параметры RAND и AUTN в UE. USIM проверяет, может ли быть принят AUTN и, если да, вырабатывает ответ RES, который посылается обратно в SN/VLR. Конкретно процедуры в UE показаны на фиг. 8.
Как следует из фиг. 8, по приему RAND и AUTN в первую очередь UE вычисляет ключ анонимности AK=f5(RAND) (или использует АК=000…0) и извлекает порядковый номер SQN=(SQN xOR AK)xOR AK. Затем UE вычисляет XMAC=f1(SQN||RAND||AMF) и сравнивает его с МАС, который включен в AUTN. Если они различаются, UE посылает отказ в аутентификации пользователя обратно в SN/VLR с указанием причины, и UE прекращает процедуру. Кроме того, UE проверяет, что принятый SQN находится в правильном диапазоне.
Если окажется, что SQN находится в правильном диапазоне, UE вычисляет RES=f2(RAND) и включает этот параметр в ответ на запрос аутентификации пользователя, посылаемый обратно в SN/VLR. Наконец, UE вычисляет ключ шифрования CK=f3(RAND) и ключ целостности IK=f4(RAND). Для того чтобы повысить эффективность, RES, СК и IK могут быть также вычислены раньше, в любой момент времени после приема RAND. UE может запомнить RAND в целях ресинхронизации.
После приема ответа на запрос аутентификации пользователя SN/VLR сравнивает RES с ожидаемым ответом XRES от выбранного вектора аутентификации. Если XRES равен RES, то аутентификация пользователя была принята. Заново вычисляемые ключи СК и IK будут затем передаваться USIM и SN/VLR в объекты, которые выполняют функции шифрования и целостности.
Из вышесказанного можно понять, что UMTS AKA операция основана на паре (RAND, AUTN), и AUTN содержит в себе или выводится из порядкового номера, SQN, как
AUTN=(SQN xOR AK)||AMF||MAC,
где АК - ключ анонимности, который может вырабатываться алгоритмом Milenage (см. фиг. 8) из вышеупомянутого выхода “f5”.
Следующая функция является первым решением вышеупомянутой проблемы конфликта:
KDF(CK||IK, RAND||IMPI||SQN),
где SQN, таким образом, включен во входы. Теперь, даже если два RAND одинаковы, то есть RAND=RAND', тот факт, что SQN всегда возрастает (например, на единицу), обеспечивает, что входы являются разными, уникальными или отличающимися друг от друга.
Альтернативное решение должно использовать:
KDF(CK||IK, RAND||IMPI||AUTN).
Это решение может быть проще в реализации, так как AUTN может использоваться по принципу "как есть" из сигнализации АКА. Однако "уникальность" входов в этом случае может быть не очевидной, поскольку
AUTN=(SQN xOR AK)||AMF||MAK,
и даже если SQN≠SQN', не может быть тотчас же ясно, что (SQN xOR AK) и (SQN' xOR AK)' будут разными, так как АК может потенциально "аннулировать" различия. Однако ниже может быть доказана различительная способность (SQN xOR AK).
Предположим, что
(CK||IK, RAND||IMPI||AUTN)=(CK'||IK', RAND'||IMPI||AUTN').
Было уже показано, что из этого следует, что CK=CK', IK=IK' и RAND=RAND'. Таким образом, остается проверить, может ли быть, что AUTN=AUTN'. Такая проверка может быть преобразована в проверку того, справедливо ли равенство:
(SQN xOR AK)||AMF||MAC=(SQN' xOR AK')||AMF'||MAC'.
Предположим без потери общности, что AMF=AMF' и MAC=MAC'. Тогда необходимо только проверить, может ли выполняться следующее условие:
SQN xOR AK=SQN' xOR AK'.
Напомним, что ожидается, что RAND=RAND'. Из алгоритма Milenage на фиг. 9 следует, что при этом AK=AK' (так как они были произведены из одинаковых RAND). Таким образом, должно быть:
SQN=SQN',
что является противоречием, поскольку, как ранее отмечалось, SQN всегда "дискретно возрастает", и поэтому SQN≠SQN'.
Тем самым доказано, что второе решение всегда гарантирует уникальность входов в KDF функцию.
В качестве решения в общем виде, вместо использования SQN или AUTN для достижения уникальности, подходит любой маркер, принимающий другое значение при каждой инициации сетью операции UMTS AKA для UE. Например, может быть использовано SQN xOR AK (образующее часть AUTN), поскольку оно (согласно проведенному выше анализу) обладает требуемым свойством уникальности.
Описанный выше способ генерации криптографических ключей предоставляет многочисленные преимущества. Например, он гарантирует уникальность KDF входов. Следовательно, он успешно устраняет хлопоты, обусловленные возможными идентичными входами. При этом способе созданный криптографический ключ сможет удовлетворять, например, высоким требованиям безопасности в SAE/LTE системах. Дополнительным преимуществом является то, что способ может быть реализован на основе уже действующих USIM, не требуя какой-либо замены USIM. Другое конкретное преимущество при использовании AUTN взамен SQN заключается в том, что изобретение может быть осуществлено в мобильном терминале (вне USIM).
Хотя варианты способа генерации криптографических ключей были проиллюстрированы прилагаемыми чертежами и раскрыты в вышеприведенном описании, должно быть понятно, что способ не ограничивается изложенными здесь вариантами реализации. Способ допускает многочисленные изменения, модификации и замены без отклонения от объема изобретения.

Claims (20)

1. Способ генерации криптографического ключа (120) для защиты связи между двумя объектами (202, 204), причем этот способ выполняется первым объектом (202, 302) как часть распределенной операции безопасности, инициированной вторым объектом (202, 304), и содержит этапы, на которых:
предоставляют (306) по меньшей мере два параметра (106, 108), из которых первый параметр (106) содержит в себе или выводится из ряда криптографических ключей (110, 112), вычисленных первым объектом (202) при выполнении операции безопасности, а второй параметр содержит в себе или выводится из маркера (116), имеющего разное значение при каждой инициации операции безопасности вторым объектом (204, 304) для первого объекта (202, 302); и
применяют (308) функцию выведения ключа для генерации криптографического ключа (120) на основе предоставленных параметров (106, 108);
причем маркер (116) содержит исключающее ИЛИ порядкового номера <SQN> и ключа анонимности <AK>.
2. Способ по п.1, в котором SQN указывает число раз, которое операция безопасности была инициирована вторым объектом (204, 304) для первого объекта (202, 302).
3. Способ по п.1 или 2, в котором маркер является объединением исключающего ИЛИ, примененного в отношении SQN и ключа анонимности <AK>, и поля управления аутентификацией и ключами<AMF> и кода аутентификации сообщения <МАС>.
4. Способ по п.1 или 2, в котором ряд криптографических ключей (110, 112), который содержится в первом параметре (106) или из которого выводится первый параметр, содержит в себе или выводится из ключа шифрования <CK> (110) и ключа целостности <IK> (112).
5. Способ по п.1 или 2, который дополнительно содержит этап, на котором применяют одну или более дополнительных функций выведения ключа для генерации большего числа криптографических ключей на основе сгенерированного криптографического ключа (120).
6. Способ по п.5, в котором упомянутое большее число криптографических ключей содержат одно из следующих:
ряд криптографических ключей для защиты трафика на уровне, не связанном с предоставлением доступа <NAS>;
ряд криптографических ключей для защиты трафика на уровне управления радиоресурсами <RRC>;
ряд криптографических ключей для защиты трафика в плоскости пользователя <UP>;
промежуточный криптографический ключ <KeNB> для выведения криптографических ключей для защиты RRC трафика и/или криптографических ключей для защиты UP трафика.
7. Способ по п.1 или 2, в котором первый объект (202, 302) является пользовательским оборудованием.
8. Способ по п.1 или 2, в котором второй объект (204, 304) является сетевым объектом.
9. Способ по п.8, в котором второй объект (204, 304) находится в сети, соответствующей стандарту "Развитие архитектуры систем" <SAE>/"Долгосрочное развитие" <LTE>.
10. Способ по п.9, в котором второй объект (204, 304) содержит центр аутентификации <AuC>/сервер данных собственных абонентов <HSS> и объект управления мобильностью <ММЕ>.
11. Способ по п.1 или 2, в котором операция безопасности совместно выполняется первым объектом (202, 302) и вторым объектом (204, 304).
12. Способ по п.1 или 2, в котором операция безопасности основана на UMTS протоколе аутентификации и согласования ключей <AKA>.
13. Машиночитаемый носитель записи, содержащий части компьютерного программного кода для выполнения этапов способа согласно любому одному из предшествующих пунктов, когда эти части компьютерного программного кода прогоняются в компьютерной системе.
14. Устройство (100) для генерации криптографического ключа (120) для объекта (202, 203) связи, выполненного с возможностью осуществления операции безопасности, содержащее:
первый компонент (102), выполненный с возможностью предоставлять по меньшей мере два параметра (106, 108), из которых первый параметр (106) содержит в себе или выводится из ряда криптографических ключей (110, 112), вычисленных объектом (202, 302) связи при выполнении операции безопасности, а второй параметр (108) содержит в себе или выводится из маркера (116), имеющего разное значение при каждой инициации операции безопасности для объекта (202, 302) связи; и второй компонент (104), выполненный с возможностью выполнять функцию выведения ключа для генерации криптографического ключа (120) на основе предоставленных параметров (106, 108);
причем маркер (116) содержит исключающее ИЛИ порядкового номера <SQN> и ключа анонимности <AK>.
15. Устройство по п.14, в котором SQN указывает число раз, которое операция безопасности была инициирована для объекта (202, 302) связи.
16. Устройство (100) по п.14 или 15, в котором ряд криптографических ключей (110, 112), который содержится в первом параметре (106) или из которого выведен первый параметр (106), содержит в себе или выводится из ключа шифрования<СК> (110) и ключа целостности <1К> (112), вычисленных объектом (202, 302) связи как часть операции безопасности.
17. Устройство (100) по п.14 или 15, дополнительно выполненное с возможностью применения одной или более дополнительных функций выведения ключа для генерации большего числа криптографических ключей на основе сгенерированного криптографического ключа (120).
18. Пользовательское оборудование (202), содержащее устройство (100) по п.14.
19. Система связи, содержащая пользовательское оборудование (202, 302) по п.18 и сетевой объект (304).
20. Система связи по п.19, в которой сетевой объект (304) служит для использования в сети SAE/LTE.
RU2010149890/08A 2008-06-06 2008-07-21 Генерация криптографического ключа RU2480925C2 (ru)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US5938608P 2008-06-06 2008-06-06
US61/059,386 2008-06-06
PCT/EP2008/005960 WO2009146729A1 (en) 2008-06-06 2008-07-21 Cryptographic key generation

Publications (2)

Publication Number Publication Date
RU2010149890A RU2010149890A (ru) 2012-06-10
RU2480925C2 true RU2480925C2 (ru) 2013-04-27

Family

ID=40527985

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2010149890/08A RU2480925C2 (ru) 2008-06-06 2008-07-21 Генерация криптографического ключа

Country Status (20)

Country Link
US (3) US8340288B2 (ru)
EP (4) EP2291946B2 (ru)
JP (5) JP4792135B2 (ru)
KR (1) KR101274392B1 (ru)
CN (2) CN102057617B (ru)
AU (1) AU2008357317B2 (ru)
BR (1) BRPI0822761B1 (ru)
CA (1) CA2722186C (ru)
CL (1) CL2009001359A1 (ru)
DK (2) DK2528268T6 (ru)
ES (3) ES2617067T7 (ru)
IL (1) IL209799A (ru)
MA (1) MA32613B1 (ru)
MX (1) MX2010012033A (ru)
MY (1) MY146687A (ru)
NZ (1) NZ589294A (ru)
PL (3) PL2658163T6 (ru)
RU (1) RU2480925C2 (ru)
WO (1) WO2009146729A1 (ru)
ZA (1) ZA201008200B (ru)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2733828C1 (ru) * 2017-04-11 2020-10-07 Хуавей Текнолоджиз Ко., Лтд. Способ, устройство и система для сетевой аутентификации

Families Citing this family (50)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8079071B2 (en) * 2006-11-14 2011-12-13 SanDisk Technologies, Inc. Methods for accessing content based on a session ticket
US8763110B2 (en) * 2006-11-14 2014-06-24 Sandisk Technologies Inc. Apparatuses for binding content to a separate memory device
US20080112562A1 (en) * 2006-11-14 2008-05-15 Fabrice Jogand-Coulomb Methods for linking content with license
US8327454B2 (en) * 2006-11-14 2012-12-04 Sandisk Technologies Inc. Method for allowing multiple users to access preview content
US20080114693A1 (en) * 2006-11-14 2008-05-15 Fabrice Jogand-Coulomb Method for allowing content protected by a first DRM system to be accessed by a second DRM system
US20080114772A1 (en) * 2006-11-14 2008-05-15 Fabrice Jogand-Coulomb Method for connecting to a network location associated with content
US8463264B2 (en) * 2007-08-15 2013-06-11 Telefonaktiebolaget L M Ericsson (Publ) Early IMS security
US7522723B1 (en) * 2008-05-29 2009-04-21 Cheman Shaik Password self encryption method and system and encryption by keys generated from personal secret information
CN102595399B (zh) * 2008-06-23 2017-02-01 华为技术有限公司 密钥衍生方法、设备及系统
GB0822599D0 (en) * 2008-12-11 2009-01-21 Vodafone Plc Securing network rejection
US8296836B2 (en) * 2010-01-06 2012-10-23 Alcatel Lucent Secure multi-user identity module key exchange
US9215220B2 (en) * 2010-06-21 2015-12-15 Nokia Solutions And Networks Oy Remote verification of attributes in a communication network
US20120142315A1 (en) * 2010-12-06 2012-06-07 Jong-Moon Chung Method for authentication and key establishment in a mobile communication system and method of operating a mobile station and a visitor location register
US8943318B2 (en) 2012-05-11 2015-01-27 Verizon Patent And Licensing Inc. Secure messaging by key generation information transfer
US9270453B2 (en) * 2011-06-30 2016-02-23 Verizon Patent And Licensing Inc. Local security key generation
US9154527B2 (en) 2011-06-30 2015-10-06 Verizon Patent And Licensing Inc. Security key creation
US8990554B2 (en) 2011-06-30 2015-03-24 Verizon Patent And Licensing Inc. Network optimization for secure connection establishment or secure messaging
JP2014523192A (ja) 2011-07-07 2014-09-08 ベラヨ インク デバイス及びサーバの通信におけるファジーな認証情報を用いた暗号化によるセキュリティ
US9215076B1 (en) 2012-03-27 2015-12-15 Amazon Technologies, Inc. Key generation for hierarchical data access
US8892865B1 (en) 2012-03-27 2014-11-18 Amazon Technologies, Inc. Multiple authority key derivation
CN103906053B (zh) * 2012-12-28 2019-09-10 北京三星通信技术研究有限公司 配置和传输加密密匙的方法
EP2944108B1 (en) * 2013-01-11 2020-03-04 LG Electronics Inc. Method and apparatus for applying security information in wireless communication system
DK2951975T3 (en) 2013-01-30 2016-10-24 ERICSSON TELEFON AB L M (publ) GENERATION OF SECURITY KEY TO BICONNECTIVITY
JP2014192612A (ja) 2013-03-26 2014-10-06 Toshiba Corp 生成装置、暗号化装置、復号装置、生成方法、暗号化方法、復号方法およびプログラム
GB2586549B (en) * 2013-09-13 2021-05-26 Vodafone Ip Licensing Ltd Communicating with a machine to machine device
FR3018371B1 (fr) * 2014-03-10 2016-05-06 Commissariat Energie Atomique Procede et systeme de chiffrement/dechiffrement de donnees a cle distante et verification prealable de jeton
WO2015177396A1 (en) 2014-05-20 2015-11-26 Nokia Technologies Oy Exception handling in cellular authentication
CN106465109A (zh) * 2014-05-20 2017-02-22 诺基亚技术有限公司 蜂窝网络认证
FR3022053B1 (fr) * 2014-06-06 2018-02-02 Oberthur Technologies Procede d'authentification d'une premiere entite electronique par une seconde entite electronique et entite electronique mettant en œuvre un tel procede
RU2017132104A (ru) * 2015-02-16 2019-03-18 Нек Корпорейшн Система связи, устройство узла, терминал связи, способ управления ключами и энергонезависимый читаемый компьютером носитель, на котором хранится программа
KR101675088B1 (ko) * 2015-04-30 2016-11-10 성균관대학교산학협력단 Mtc에서의 네트워크와의 상호 인증 방법 및 시스템
US10931644B2 (en) 2015-06-23 2021-02-23 Telefonaktiebolaget Lm Ericsson (Publ) Methods, network nodes, mobile entity, computer programs and computer program products for protecting privacy of a mobile entity
EP3446518B1 (en) * 2016-04-19 2022-01-05 Nokia Solutions and Networks Oy Network authorization assistance
EP3482551B1 (en) * 2016-07-07 2022-03-02 Nokia Solutions and Networks Oy Machine type communication using mobile originated short messaging service without mobile station international subscriber directory number
CN110192212B (zh) * 2016-07-14 2024-06-04 数字资产(瑞士)股份有限公司 数字资产平台
CN109417539A (zh) * 2016-07-15 2019-03-01 华为技术有限公司 密钥获取方法及装置
EP3285512A1 (en) * 2016-08-17 2018-02-21 Gemalto Sa Authentication server of a cellular telecommunication network and corresponding uicc
CN106789057B (zh) * 2016-11-28 2020-05-22 航天恒星科技有限公司 卫星通信协议下的密钥协商方法及系统
KR102549946B1 (ko) * 2017-01-09 2023-06-30 삼성전자주식회사 이동통신 환경에서 단말의 초기 접속 요청 메시지를 라우팅하는 방법 및 관련 파라미터
JP6441390B2 (ja) * 2017-01-26 2018-12-19 株式会社東芝 生成装置、暗号化装置、復号装置、生成方法、暗号化方法、復号方法およびプログラム
WO2018237374A1 (en) * 2017-06-23 2018-12-27 Motorola Mobility Llc METHOD AND APPARATUS FOR IMPLEMENTING MEDIA-SPECIFIC MODIFICATIONS AS PART OF CONNECTION RECONFIGURATION WHICH HAS CONSEQUENCES OF SAFETY KEYS DURING USE
DE112018003506T5 (de) * 2017-08-29 2020-04-02 Robert Bosch Gmbh Verfahren und Systeme zur linearen Schlüsselvereinbarung mit Forward Secrecy unter Verwendung eines unsicheren gemeinsam genutzten Kommunikationsmediums
KR101835076B1 (ko) * 2017-11-15 2018-04-19 곽권섭 보안강화 eps-aka 프로토콜을 이용한 이동통신 가입자 인증 방법
DE102018133605B4 (de) * 2018-12-27 2023-03-02 Bachmann Gmbh Verfahren und Vorrichtung zur Prüfung der Integrität von Modulen einer Windkraftanlage
EP3720039A1 (de) * 2019-04-05 2020-10-07 Siemens Aktiengesellschaft Verfahren für das konfigurieren eines sicherheitsmoduls mit mindestens einem abgeleiteten schlüssel
CN111628985A (zh) * 2020-05-22 2020-09-04 深圳市有方科技股份有限公司 安全访问控制方法、装置、计算机设备和存储介质
US20220103354A1 (en) * 2020-09-25 2022-03-31 Renesas Electronics Corporation Secure encryption key generation and management in open and secure processor environments
US11924350B2 (en) 2021-07-29 2024-03-05 Digital Asset (Switzerland) GmbH Cryptographically enforced partial blinding for distributed system
US11647392B1 (en) 2021-12-16 2023-05-09 Bank Of America Corporation Systems and methods for context-aware mobile application session protection
CN115021913B (zh) * 2022-06-14 2024-05-31 中国信息通信研究院 工业互联网标识解析体系密钥生成方法、系统与存储介质

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2173505C2 (ru) * 1995-09-27 2001-09-10 Телефонактиеболагет Лм Эрикссон (Пабл) Способ шифрования информации
GB2407236A (en) * 2003-10-17 2005-04-20 Toshiba Res Europ Ltd Diffie-Hellman exchange of a session key

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7131006B1 (en) * 1999-11-15 2006-10-31 Verizon Laboratories Inc. Cryptographic techniques for a communications network
GB0004178D0 (en) * 2000-02-22 2000-04-12 Nokia Networks Oy Integrity check in a communication system
US20030053629A1 (en) * 2001-09-14 2003-03-20 Koninklijke Philips Electronics N.V. USB authentication interface
DE10307403B4 (de) * 2003-02-20 2008-01-24 Siemens Ag Verfahren zum Bilden und Verteilen kryptographischer Schlüssel in einem Mobilfunksystem und Mobilfunksystem
ES2384634T7 (es) * 2003-09-26 2018-10-11 Telefonaktiebolaget Lm Ericsson (Publ) Diseño de seguridad mejorado para criptografía en sistemas de comunicaciones de móviles
EP1626598A1 (en) * 2004-06-21 2006-02-15 Axalto SA Method for securing an authentication and key agreement protocol
US7461268B2 (en) * 2004-07-15 2008-12-02 International Business Machines Corporation E-fuses for storing security version data
US20060046690A1 (en) * 2004-09-02 2006-03-02 Rose Gregory G Pseudo-secret key generation in a communications system
US20060236116A1 (en) * 2005-04-18 2006-10-19 Lucent Technologies, Inc. Provisioning root keys
US7558957B2 (en) * 2005-04-18 2009-07-07 Alcatel-Lucent Usa Inc. Providing fresh session keys
WO2007062689A1 (en) * 2005-12-01 2007-06-07 Telefonaktiebolaget Lm Ericsson (Publ) Method and apparatus for distributing keying information
DE602006009846D1 (de) * 2006-01-24 2009-11-26 British Telecomm Public Ltd Co Verfahren und system zur rekursiven authentifikation in einem mobilnetz
US20070271458A1 (en) * 2006-05-22 2007-11-22 Peter Bosch Authenticating a tamper-resistant module in a base station router
JP5060081B2 (ja) 2006-08-09 2012-10-31 富士通株式会社 フレームを暗号化して中継する中継装置
JP5349319B2 (ja) * 2006-11-01 2013-11-20 テレフオンアクチーボラゲット エル エム エリクソン(パブル) 電気通信システム及びかかるシステムにおける制御メッセージの暗号化
JP5396300B2 (ja) * 2010-02-08 2014-01-22 オルガノ株式会社 電気式脱イオン水製造装置

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2173505C2 (ru) * 1995-09-27 2001-09-10 Телефонактиеболагет Лм Эрикссон (Пабл) Способ шифрования информации
GB2407236A (en) * 2003-10-17 2005-04-20 Toshiba Res Europ Ltd Diffie-Hellman exchange of a session key

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
3GPP TR 33.821 V0.8.0, 3rd Generation Partnership Project; Technical Specification Group Services and System Aspects; Rationale and track of security decisions in Long Term Evolved (LTE) RAN / 3GPP System Architecture Evolution (SAE) (Release 8), 04.2008, найдено в Интернете по адресу: "http://www.3gpp.org/ftp/Specs/archive/33_series/33.821/33821-080.zip". *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2733828C1 (ru) * 2017-04-11 2020-10-07 Хуавей Текнолоджиз Ко., Лтд. Способ, устройство и система для сетевой аутентификации
US11223954B2 (en) 2017-04-11 2022-01-11 Huawei Technologies Co., Ltd. Network authentication method, device, and system

Also Published As

Publication number Publication date
EP2658163B1 (en) 2016-12-14
CL2009001359A1 (es) 2010-12-03
CN103746794A (zh) 2014-04-23
PL2528268T3 (pl) 2017-10-31
EP2291946A1 (en) 2011-03-09
KR101274392B1 (ko) 2013-06-17
ES2617067T7 (es) 2022-04-28
DK2291946T4 (da) 2020-08-31
CN102057617A (zh) 2011-05-11
US20110091036A1 (en) 2011-04-21
DK2528268T3 (en) 2017-09-11
JP2011254512A (ja) 2011-12-15
BRPI0822761A2 (pt) 2015-06-30
BRPI0822761B1 (pt) 2020-09-29
EP3242436A1 (en) 2017-11-08
US20130156182A1 (en) 2013-06-20
CN103746794B (zh) 2017-06-23
US8953793B2 (en) 2015-02-10
MY146687A (en) 2012-09-14
WO2009146729A1 (en) 2009-12-10
PL2658163T6 (pl) 2022-02-14
US20150023499A1 (en) 2015-01-22
PL2658163T3 (pl) 2017-08-31
PL2291946T5 (pl) 2021-02-08
MA32613B1 (fr) 2011-09-01
JP6121512B2 (ja) 2017-04-26
PL2528268T6 (pl) 2022-04-25
IL209799A0 (en) 2011-02-28
CN102057617B (zh) 2013-12-25
JP2011522494A (ja) 2011-07-28
JP2014078985A (ja) 2014-05-01
ES2617067T3 (es) 2017-06-15
JP2016096557A (ja) 2016-05-26
CA2722186A1 (en) 2009-12-10
ES2400020T5 (es) 2021-03-09
EP2528268A1 (en) 2012-11-28
ES2637313T7 (es) 2022-04-27
IL209799A (en) 2015-03-31
AU2008357317A1 (en) 2009-12-10
EP2528268B3 (en) 2021-12-29
EP2291946B1 (en) 2012-12-26
AU2008357317B2 (en) 2012-04-12
RU2010149890A (ru) 2012-06-10
DK2291946T3 (da) 2013-03-18
US9326142B2 (en) 2016-04-26
ES2400020T3 (es) 2013-04-05
ZA201008200B (en) 2011-03-30
JP2017175624A (ja) 2017-09-28
EP2528268B1 (en) 2017-05-24
KR20110017426A (ko) 2011-02-21
US8340288B2 (en) 2012-12-25
DK2528268T6 (da) 2022-03-21
CA2722186C (en) 2015-09-15
ES2637313T3 (es) 2017-10-11
EP2658163A1 (en) 2013-10-30
JP4792135B2 (ja) 2011-10-12
PL2291946T3 (pl) 2013-05-31
EP2658163B3 (en) 2021-12-29
MX2010012033A (es) 2010-11-30
NZ589294A (en) 2012-07-27
JP6492115B2 (ja) 2019-03-27
EP2291946B2 (en) 2020-06-03

Similar Documents

Publication Publication Date Title
RU2480925C2 (ru) Генерация криптографического ключа
CN101931955B (zh) 认证方法、装置及系统
US20090240944A1 (en) Generation method and update method of authorization key for mobile communication
US20110191842A1 (en) Authentication in a Communication Network
KR20000011999A (ko) 무선통신시스템에서보안공유된데이터를갱신하는방법
KR20070112260A (ko) Sim/uicc 키 설정을 위한 네트워크 지원 단말기
CA2314303A1 (en) Method and apparatus for performing a key update using bidirectional validation
WO2008069627A1 (en) Generation method and update method of authorization key for mobile communication
Choudhury Relaxing trust requirement in 3GPP mobile systems for improved subscriber identity privacy