WO2008006306A1

WO2008006306A1 - Procédé et dispositif de dérivation d'une clé interface locale

Info

Publication number: WO2008006306A1
Application number: PCT/CN2007/070025
Authority: WO
Inventors: Yanmei Yang; Shuhua Cao
Original assignee: Huawei Technologies Co., Ltd.
Priority date: 2006-07-04
Filing date: 2007-05-17
Publication date: 2008-01-17
Also published as: CN101317359A; EP2037621A1; EP2037621B1; US8559633B2; CN101317359B; US20090116642A1; CN101102190A; US20140007207A1; US9467432B2; EP2037621A4

Description

生成本地接口密钥的方法及装置技术领域

本发明涉及通用鉴权框架（GAA )技术领域，特别是指一种生成本地接口密钥的方法及装置。发明背景

在第三代无线通信标准中， GAA是多种应用业务实体使用的一个用于完成对用户身份进行验证的通用结构，应用通用鉴权框架可实现对应用业务的用户进行检查和验证身份。上述多种应用业务可以是多播或广播业务、用户证书业务、信息即时提供业务等，也可以是代理业务。

图 la为现有技术通用鉴权框架结构示意图，如图 la所示，通用鉴权框架通常由用户、执行用户身份初始检查验证的服务功能（BSF ) 实体、归属用户服务器（HSS )和网络业务应用（NAF ) 实体组成。下文中将 BSF实体筒称为 BSF, 将 NAF实体筒称为 NAF。其中， BSF用于与用户进行互认证，该互认证过程为互相验证身份，同时生成 BSF与用户的共享密钥的过程，该互认证过程也称为 Bootstrapping过程或 GBA 过程，称能够与 BSF实现 GBA过程的用户为具备 GBA功能的用户； HSS中存储用于描述用户信息的描述（Profile )文件，同时 HSS还兼有产生鉴权信息的功能； NAF可以代表不同的网络业务应用实体，用户要实现某种业务时，必须访问该业务对应的 NAF并与该 NAF进行通信。各个实体之间的接口如图 la所示， BSF与 NAF之间通过 Zn接口连接；用户通过用户终端（ UE )与 BSF或 NAF连接， UE与 BSF之间通过 Ub 接口连接， UE与 NAF之间通过 Ua接口连接。本文中，可以将 BSF、 NAF及 HSS统一称为网络侧。

用户需要使用某种业务时，如果用户知道该业务需要到 BSF进行 GBA过程，则直接到 BSF进行互鉴权，否则，用户会首先和该业务对应的 NAF联系，如果该 NAF使用 GAA通用鉴权框架，并且发现该用户还未到 BSF进行互认证过程， NAF则通知该用户到 BSF进行互鉴权以验证身份。

用户与 BSF之间的 GBA (互鉴权 ) 的步骤包括：用户向 BSF发出鉴权请求； BSF接到鉴权请求后，首先到 HSS获取该用户的鉴权信息； BSF 获得鉴权信息后与用户进行双向认证以及密钥协商，完成用户和 BSF之间身份的互相认证及共享密钥 Ks的生成， BSF还为共享密钥 Ks 定义了一个有效期限即生存周期（ Key-lifetime ) ,以便 Ks进行定期更新。共享密钥 Ks是作为根密钥来使用的，用于衍生出加密通信的密钥。

之后， BSF分配一个会话事务标识（ B-TID )发送给用户，该 B-TID 与 Ks相关联，可以用于标识 Ks, 还包含了 Ks的有效期限。

用户收到 B-TID后，重新向 NAF发出连接请求，且请求消息中携带了该 B-TID, 同时用户侧根据 Ks计算出衍生密钥 Ks_NAF。

NAF收到连接请求后，先在本地查询是否有用户携带的该 B-TID, 如果 NAF不能在本地查询到该 B-TID, 则向 BSF进行查询，该查询消息中携带了 NAF标识（ NAF_ID )和 Β-ΤΠ 如果 BSF不能在本地查询到该 B-TID, 则通知 NAF没有该用户的信息，此时， NAF将通知用户到 BSF重新进行认证鉴权。 BSF查询到该 B-TID后，使用与用户侧相同的算法计算出 Ks的衍生密钥 Ks_NAF, 并向 NAF发送成功的响应消息，该成功的响应中包括 NAF所需的 B-TID、与该 B-TID对应的衍生密钥 Ks_NAF、以及 BSF为该密钥设置的有效期限。 NAF收到 BSF的成功响应消息后，就认为该用户是经过 BSF认证的合法用户，同时 NAF 和用户也就共享了由 Ks衍生的密钥 Ks_NAF。

之后， NAF和用户在后续的通信过程中通过 Ks_NAF来进行加密通信。

当用户发现 Ks即将过期，或 NAF要求用户重新到 BSF进行鉴权时，用户就会重复上述的步骤重新到 BSF进行互鉴权，以得到新的共享密钥 Ks及衍生密钥 Ks_NAF。

这里需要说明的是， GBA过程可以分为 GBA_ME过程和 GBAJJ 过程，对于 GBA_ME过程，将会产生密钥 Ks_NAF, 该 Ks_NAF存储于移动设备（ME ) 中；对于 GBAJJ过程，将会产生两个密钥，其中一个是移动设备中的用户身份模块 UICC的密钥即 Ks_int_NAF,另一个是 ME的密钥即 Ks_ext_NAF。

随着网络技术的发展，以及市场需求的推动，网络融合已经成为人们关注的焦点。从未来发展的角度来看，多种网络融合对于用户来说，可使用任意终端设备如移动台、 PDA (个人数字助理）、 PC (个人电脑)等通过任意方式接入网络如无线局域网（WLAN )、数字用户线路（DSL)、通用分组无线业务（GPRS ) 等，而且号码可唯一、帐单可唯一。这就意味着一个用户可以具备多种终端设备，并且这些终端设备共享该用户的一个用户终端（ UE )对应的用户信息，如 UE的 UICC ( UICC上可以为 GSM用户身份模块（ SIM)、通用用户身份模块（ USIM )等）和 ME 对应的用户信息，在这种情况下，这就不仅仅是 UICC或者 ME可以安全接入网络，而且还需要保证其它终端设备也要通过 UICC安全的接入网络。

图 lb是 NAF应用客户端和 GBA客户端分离状态下的 GAA框架示意图，某个移动用户具备多个终端设备，如除了手机以外，还具备其它终端设备如 PC机， WLAN UE, 掌上电脑等，而这些终端设备采用同一个 UE用户信息访问网络业务， NAF应用客户端并不在 UICC上，而是在 UICC 以外的某一个或者某几个外围终端设备上， GBA客户端仍在 UICC上。

基于上述情况，在终端设备与网络建立安全连接之前，终端设备必须获得 UICC中的相关机密信息，从而来保证终端设备能够安全接入网络或者开展相应的业务，即终端设备与 UICC间需要传送一些机密信息，比如终端设备与网络进行双向认证所需要的 UICC的信息、终端设备开展业务时需要使用的密钥信息等等。因此，终端设备与 UICC之间的本地接口 U_L0必须提供安全保护，能够保证终端设备与 UICC之间传送的信息不泄漏、不被非法获得。只有本地接口的安全性得到保护，整个网络的安全性才能得以完全保证。

终端设备下文筒称为终端要使用某应用时，检查到自身不存在与该应用对应的与 UICC通信所需要的 Ks_Local时，或者终端检查到自身存在与该应用对应的与 UICC通信所需要的 Ks_Local , 而 UICC中不存在与该应用对应的 Ks_Local时，将会发起 Ks_Local协商过程，图 2是现有技术 UICC与终端之间协商本地接口密钥的流程图，具体包括以下步骤：步骤 200: 终端请求 UICC进行一次完整的 GBA过程，及与 NAF密钥中心相关的 GB A_U过程，从而产生相关的密钥资料。

NAF密钥中心是用于协商终端与 UICC间通信密钥的服务器。

本步骤中，通过 GBA过程及 GBAJJ过程，协商了终端/ UICC与 BSF 间的共享密钥 Ks , 及保存在 UICC中与 B_TID , NAF标识（ NAF_ID )对应的密钥 Ks_int_NAF。

步骤 201：终端向 UICC请求与 GB A过程中生成的 Ks_int_NAF相关的 B_TID。

终端在请求中携带有终端标识（ Terminal_ID )等衍生 Ks_Local所需相关信息，如应用的标识等。

步骤 202: UICC利用自身存储的 Ks_int_NAF及接收到的 TerminaUD 等衍生 Ks_Local。

本步骤中， UICC利用 Ks_int_NAF和来自终端的相关信息衍生

Ks_Local, 并且存储该 Ks_Local。

需要说明的是，本步骤也可以在步骤 210之后执行。

步骤 203: UICC向终端发送与 Ks_int_NAF相关的 B_TID, 还可能包括 NAF_ID。

步骤 204: 终端与 NAF进行双向认证并建立隧道。如通过证书方式等建立基于 TLS的超文本传输协议（HTTPS ) 隧道等，具体实现属于本领域技术人员公知技术，可参见相关资料，这里不再赘述。

步骤 205: 终端通过建立好的 HTTPS隧道，向 NAF密钥中心发送本地密钥建立请求。

该本地密钥建立请求中携带有 TerminaUD和获得的8_丁10, 也可能携带有 NAF_ID等信息。

步骤 206: NAF向 BSF发送认证请求，该认证请求中携带有 B_TID和自身的 NAF_ID。

步骤 207 : BSF向 NAF发送认证响应，该认证响应中携带有 Ks_int_NAF和相关信息如 Ks_int_NAF的生命周期等信息。

步骤 208： NAF根据 TerminaUD检查该终端可以通过该 UICC接入网络后，利用 Ks_int_NAF和相关信息，采用与 UICC中相同的算法衍生 Ks_Local, 并为该 Ks_Local定义一个生存周期。

步骤 209: NAF通过 HTTPS隧道，将衍生的 Ks_Local及其生存周期发送给终端。

步骤 210: 终端存储接收到的 Ks_Local及其生存周期。至此，终端与 UICC共享了 Ks_Local, 并利用该 Ks_Local进行安全通信。

现有 UICC与终端间协商 Ks_Local的方法存在的问题是：

Ks_Local是由 Ks_int_NAF衍生的，在 Ks_int_NAF密钥有效期内，终端因与网络侧中断通信如关机等原因造成 Ks— Local丟失时，如果该终端再次发起该 Ks_Local所对应的应用，则将会发起图 2所示整个协商过程。然而，在这种情况下， UICC上保存的 Ks以及相关衍生密钥还没有过期，如果按照图 2所示流程重新协商一个新 Ks_Local,会重新执行一次完整的 GBA过程，使得已有的 Ks密钥及衍生密钥没有得到充分利用，造成了过于繁瑣的过程，浪费了资源。

现有技术中可以在已有 Ks密钥及衍生密钥有效期内，允许采用已有的 Ks密钥及衍生密钥重新衍生 Ksjocal。也就是在终端与 UICC中的 Ks_Local无效或者即将无效，但衍生该 Ks_Local的 Ks_int_NAF处于有效期时，采用该 Ks_int_NAF重新衍生 Ks_Local。但是，由于计算密钥的参数与协商丟失的 Ks_Local的过程中的参数相同，所以此次衍生出的 Ksjocal与前一次衍生的 Ks_local相同，这样的处理在一定程度上降低了 UICC与终端间通信的安全等级。发明内容

有鉴于此，本发明实施例的目的在于提供一种生成本地接口密钥的方法及装置，能够简单地获取本地接口密钥，保证 UICC与终端间通信的安全等级。

为达到上述目的，本发明实施例的技术方案具体是这样实现的：一种生成本地接口密钥的方法，该方法包括以下步骤：

A、生成可变参数； B、根据生成的可变参数，及计算本地接口密钥的相关参数衍生本地接口密钥。

一种终端，至少包括可变参数生成模块和发送模块，其中，可变参数生成模块用于生成可变参数；

发送模块用于将生成的可变参数发送给 UICC或网络侧。

一种 UICC, 至少包括第一接收模块和第一处理模块，其中，第一接收模块用于接收来自终端的可变参数；

第一处理模块用于利用接收到的可变参数衍生本地接口密钥。

一种 NAF, 至少包括第二接收模块和第二处理模块，其中，第二接收模块用于接收来自终端的可变参数；

第二处理模块用于利用接收到的可变参数衍生本地接口密钥。

由上述技术方案可见，本发明方案利用生成可变参数，并根据生成的可变参数，及计算本地接口密钥的相关参数衍生本地接口密钥。计算本地接口密钥的相关参数为已知的。本发明方法筒化了终端获取本地接口密钥的实现过程，节省了协商 Ks_Local的时间，从而节约了系统资源。同时，本发明结合可变参数如随机数或时间戳，以及有效的密钥信息如根密钥 Ks、由 Ks衍生得到的 Ks_int_NAF, 重新衍生以获取本地接口密钥，保证了 UICC侧与终端间通信的安全等级。所述 UICC侧指 UICC 本身和 UICC所属设备。因此应用本发明方法，可以使得在 Ks或其衍生密钥的有效期内可以重用该密钥衍生不同的 Ks_local, 而不必在每次更新 Ksjocal都去重新执行一次完整的 GBA过程，节省了协商 Ks_Local 的时间，以及系统资源。附图简要说明

图 la是 GAA结构示意图; 图 lb是 NAF应用客户端和 GBA客户端分离状态下的 GAA框架示意图；

图 2是现有技术 UICC与终端之间协商本地接口密钥的流程图；图 3是本发明终端获取本地接口密钥的流程图；

图 4是本发明终端获取本地接口密钥的实施例一的流程图；图 5是本发明终端获取本地接口密钥的实施例二的流程图；图 6是本发明终端获取本地接口密钥的实施例三的流程图；图 7是本发明终端获取本地接口密钥的实施例四的流程图；图 8是本发明终端获取本地接口密钥的实施例五的流程图。实施本发明的方式

本发明实施例的实现是：生成可变参数，并根据生成的可变参数，及计算本地接口密钥的相关参数衍生本地接口密钥。

为使本发明的目的、技术方案及优点更加清楚明白，以下参照附图并举较佳实施例，对本发明进一步详细说明。

图 3 是本发明终端获取本地接口密钥的流程图，本发明中的 NAF 密钥中心即为 NAF实体，当终端使用某应用时，包括以下步骤：

步骤 300: 终端获取密钥相关信息，并利用获得的密钥相关信息，向网络侧请求建立本地接口密钥。

本步骤中终端可以通过向 UICC侧请求，以获取密钥相关信息，该密钥相关信息可以是密钥标识信息如8_ 0, 密钥生命周期等。这里， UICC侧可以是 UICC本身，也可以是 UICC所属设备。

步骤 301: 网络侧利用接收到的密钥相关信息查询有效的密钥信息，利用该密钥信息及产生的可变参数衍生本地接口密钥。

本步骤中，网络侧查询与接收到的密钥相关信息对应的有效的 Ks_int_NAF或 Ks, 利用一可变参数如随机数或时间戳或者同步计数器的值，以及 Ks_int_NAF, 衍生出与前一次衍生的 Ks_local 不相同的 Ks_Local, 或者利用一可变参数如随机数或时间戳，以及 Ks, 衍生出与前一次衍生的 Ks_int_NAF不相同的 Ks_int_NAF,再利用该 Ks_int_NAF 衍生 Ks_Local。

步骤 302: 网络侧将衍生的本地接口密钥发送给终端。

在步骤 302之前或之后，该方法进一步包括， UICC侧自身利用有效的 Ks_int_NAF和一与网络侧相同的可变参数衍生 Ks_Local并存储，或者利用有效的 Ks和一与网络侧相同的可变参数，衍生出与前一次衍生的 Ks_int_NAF 不相同的 Ks_int_NAF, 再利用该 Ks_int_NAF衍生 Ks_Local。

进一步地，在步骤 300之前，终端可以先判断自身是否保存有与当前要使用的应用对应的 Ks_Local, 若保存有，则向 UICC侧发送查询请求，查看 UICC侧中该 Ks_Local是否有效，可以在 UICC侧内设置一个计数器来判断该 Ks_Local是否有效，如果计数器为 0或者空（ NULL ), 则表示该 Ks_Local无效，返回无效响应，之后终端发起新的密钥协商过程；否则，表示该 Ks_Local有效，直接应用该 Ks_Local与 UICC侧之间通信；

若未保存，则进一步查询 UICC 侧中与当前要使用的应用对应的 Ks_Local是否过期，若过期，则执行图 3所示流程；若未过期，则终端直接向 NAF密钥中心请求与当前应用对应的 Ks_Local即可。需要说明的是，即使 UICC中与当前要使用的应用对应的 Ks_Local未过期，也可以通过图 3所示的流程来获取新的 Ks_Local。

下面以 UICC侧为 UICC为例，结合几个实施例描述本发明方法的具体实现。实施例一， NAF相关密钥如 Ks_int_NAF有效的情况，假设可变参数为随机数 RAND。

图 4是本发明终端获取本地接口密钥的实施例一的流程图，包括以下步骤：

步骤 400：终端向 UICC查询与 GB A过程中生成的与 Ks_int_NAF相关的8_丁10, 也可以进一步请求本地接口密钥衍生指示。

该查询请求中可能携带有 Terminal_ID、 Terminal_appli_ID、随机数 RAND全部或者其中之一。

本步骤中，终端需要生成衍生本地接口密钥所需的随机数 RAND并存储，生成的方法属于现有技术，这里不再赘述。需要说明的是，随机数 RAND还可以单独携带在一条本地密钥衍生指令中发送给 UICC , 即本地接口密钥衍生指令不在本步骤执行，而是在其他步骤以一条单独本地密钥衍生指令形式发送。

需要说明的是，本步骤之前或者本步骤之后还可能包括终端检查 UICC侧是否存在有效的 Ks的步骤。如果不存在 Ks或者存在的 Ks已经过期，那么需要发起一个完整的 GBA过程，协商出一个新的 Ks。此时，由于终端可以获得 B-TID信息，则步骤 400查询 Ks_int_NAF的 B-TID的过程可以省略，也可以在要求 UICC计算 Ksjocal之前执行 Ks_int_NAF查询过程，以便知道 UICC中是否存有可用的 Ks_int_NAF。

步骤 401： UICC利用 GB A_U过程中生成的 Ks_int_NAF及接收到的随机数 RAND, 衍生 Ks_Local并存储。

如果 UICC中没有可用的 Ks_int_NAF, 那么需要执行 GBA_U密钥衍生过程，该 GBAJJ过程可能在收到本地密钥衍生指令之后，由 UICC执行；也可能在收到本地密钥衍生指令之前，收到一个 GBAJJ密钥衍生指令后由 UICC执行。本步骤可以在步骤 402或者 408之后执行，此时，步骤 400中所述本地密钥衍生指令可以在步骤 402或者 408之后执行，本步骤之前执行。

步骤 402： UICC将与 GB A过程中生成的 Ks_int_NAF对应的 B_TID , 还可以进一步包括 Ks_int_NAF对应的生存周期发送给终端。

本步骤中，在 UICC向终端返回 B_TID, 还可以进一步包括生存周期时， UICC将自身的 UICC标识符（UICC_ID ) 及 UICC的应用的标识 ( UICC_appli_ID )发送给终端。

本步骤还可以进一步包括：终端根据 Ks_int_NAF对应的生存周期判断 Ks_int_NAF是否过期，若未过期，则继续执行步骤 403; 若过期，则触发 GBA过程，之后返回步骤 400。

步骤 403 : 终端与 NAF密钥中心进行双向认证并建立安全隧道如 HTTPS隧道。

本步骤具体实现方法很多，属于现有技术，这里不再详述。

步骤 404: 终端通过建立好的 HTTPS隧道，向 NAF密钥中心发送本地接口密钥建立请求。

该本地密钥建立请求中携带有 Terminal_ID、 Terminal_appli_ID、获得的 B_TID、 UICCJD、 UICC_appli_ID以及终端存储的随机数 RAND。这样， NAF密钥中心可以对于不同的应用产生一个有效的本地接口密钥。

步骤 405 ~步骤 406: NAF密钥中心查询自身存储的与该8_丁10对应的有效 Ks_int_NAF , 利用该有效的 Ks_int_NAF及接收到的随机数 RAND 衍生 Ks_Local并分配该 Ks_Local的生存周期。需要说明的是，参加衍生 Ks_Local的信息还包括其它相关信息如 Terminal_ID、 Terminal_appli_ID、 UICCJD, UICC_appli_ID等，具体衍生的算法与本发明无关，这里不再详述。 UICC和 NAF密钥中心使用相同的衍生算法衍生 Ks_Local。

本步骤直接利用存储的密钥信息即有效的 Ks_int_NAF衍生 Ks_Local , 筒化了终端获取本地接口密钥的实现过程，节省了协商 Ks_Local的时间，从而节约了网络资源。此外，本步骤通过使用一随机数，即使在 Ks_int_NAF相同的情况下，衍生出来的 Ks_Local也是不同的，保证了终端与 UICC间通信的安全等级。

需要说明的是，如果 NAF密钥中心不存在该 B_TID对应的 Ks_int_NAF即 Ks_int_NAF无效，则 NAF密钥中心会向 BSF请求该密钥信息，这种情况不属于本发明范畴，可以参考现有方案，这里不再赘述。

本步骤中，在利用该有效的 Ks_int_NAF衍生 Ks_Local之前，进一步包括： NAF密钥中心可以通过 Terminal_ID和 UICC_ID, 查询该终端是否受限利用该 UICC接入网络，查询方式属于现有技术，可以是在 NAF密钥中心维护一个数据库，该数据库存储某个 UICC允许被哪些终端使用，或者存储某个 UICC不允许被哪些终端使用的信息。如果允许该设备接入网络，则利用 Ks_int_NAF和相关信息衍生 Ks_Local, 否则，返回指示该终端无权利用该 UICC接入网络的响应。

步骤 407: NAF密钥中心通过隧道，向终端发送本地密钥建立响应，该响应中携带有 B_TID、衍生得到的 Ks_Local及其生存周期。

步骤 408：终端存储接收到的 Ks_Local及其生存周期。

至此，终端与 UICC就共享了 Ks_Local, 并利用该 Ks_Local进行安全通信。

实施例二， NAF相关密钥如 Ks_int_NAF有效的情况。

本实施例与实施例一的不同之处在于，参与衍生 Ksjocal的可变参数的产生实体不同。在实施例一中，可变参数由终端产生。而本实施例中，列举了产生可变参数的两种可能及时机：（1) UICC先于 NAF密钥中心衍生 Ks_Local时， UICC在衍生 Ks_Local时，自身产生该可变参数作为衍生 Ks_Local的参数，并将该可变参数通过终端传递给 NAF密钥中心， NAF密钥中心也将该可变参数作为衍生 Ks_Local的一个参数，并采用与 111( (相同的衍生算法生成与 111( (相同的 Ks_Local。 (2) NAF密钥中心先于 UICC衍生 Ks_Local时， NAF密钥中心在衍生 Ks_Local时，自身产生该可变参数作为衍生 Ks_Local的参数，并将该可变参数通过终端传递给 UICC, UICC也将该可变参数作为衍生 Ks_Local的一个参数，并采用与 NAF密钥中心相同的衍生算法生成与 NAF密钥中心相同的 Ks_Local; 可变参数也可能是 BSF计算 Ks_int_NAF时生成后通过终端传递给 UICC的， UICC利用自身保存有的 Ks及接收到的可变参数衍生 Ks_int_NAF, 并在收到衍生本地接口密钥请求时，利用该 Ks_int_NAF衍生 Ks_local。

图 5是本发明终端获取本地接口密钥的实施例二的流程图，实施例二中以 NAF密钥中心先于 UICC衍生 Ks_Local为例，具体描述实现方法，包括以下步骤：

步骤 500：终端向 UICC请求与 GB A过程中生成的与 Ks_int_NAF相关的 B_TID及密钥生存周期，该请求中可以携带 TerminaUD 、 Terminal_appli_ID。

需要说明的是，本步骤之前或者本步骤之后还可能包括终端检查 UICC侧是否存在有效的 Ks的步骤。如果不存在 Ks或者存在的 Ks已经过期，那么需要发起一个完整的 GBA过程，协商出一个新的 Ks。此时，由于终端可以获得 B-TID信息，则步骤 500, 501中查寻 Ks_int_NAF的 B-TID 的过程可以省略，也可以在要求 UICC计算 Ksjocal之前执行 Ks_int_NAF 查询过程，以便知道 UICC中是否存有可用的 Ks_int_NAF。

步骤 501： UICC将与 GB A过程中生成的 Ks_int_NAF对应的 B_TID及生存周期等信息发送给终端。本步骤中，在 UICC向终端返回8_丁10及 Ks_int_NAF的生存周期时， UICC将自身的 UICC_ID及 UICC_appli_ID发送给终端。

步骤 502：终端与 NAF进行双向认证并建立 HTTPS隧道。

本步骤具体实现方法很多，属于现有技术，这里不再详述。

步骤 503: 终端通过建立好的 HTTPS隧道，向 NAF密钥中心发送本地密钥建立请求。

该本地密钥建立请求中携带有 Terminal_ID、 Terminal_appli_ID、获得的 B_TID、 UICC_ID以及 UICC_appi_ID。这样， NAF密钥中心可以对于不同的应用产生一个有效的本地接口密钥。

步骤 504 ~步骤 505: NAF密钥中心查询自身存储的与该 B_TID对应的有效 Ks_int_NAF、生成一随机数 RAND, 利用该有效的 Ks_int_NAF及生成的随机数 RAND衍生 Ks_Local并分配该 Ks_Local的生存周期。

本步骤中， NAF密钥中心生成随机数 RAND并存储，该随机数 RAND 的生成的方法属于现有技术，这里不再赘述。

需要说明的是，如果 NAF密钥中心不存在该 B_TID对应的 Ks_int_NAF或 Ks_int_NAF无效，则 NAF密钥中心会向 BSF请求该密钥信息，这种情况不属于本发明范畴，可以参考现有方案，这里不再赘述。

本步骤中，在利用该有效的 Ks_int_NAF衍生 Ks_Local之前，进一步包括： NAF密钥中心可以通过 Terminal_ID和 UICC_ID, 查询该终端是否受限利用该 UICC接入网络。如果允许该设备接入网络，则利用 Ks_int_NAF和相关信息衍生 Ks_Local, 否则，返回指示该终端无权利用该 UICC接入网络的的响应。

步骤 506: NAF密钥中心通过 HTTPS隧道，向终端发送本地密钥建立响应，该响应中携带有8_丁10、 NAF密钥中心自身存储有的随机数 RAND, 衍生得到的 Ks_Local及其生存周期。

步骤 507：终端存储接收到的 Ks_Local及其生存周期。

步骤 508 : 终端向 UICC发送生成 Ks_Local请求，该请求中携带有 Terminal_ID、 Terminal_appli_ID以及来自 NAF密钥中心的随机数 RAND。

步骤 509： UICC利用 GB A_U过程中生成的有效的 Ks_int_NAF及接收到的随机数 RAND , 衍生 Ks_Local并存储。

UICC和 NAF密钥中心使用相同的衍生算法衍生 Ks_Local。

需要说明的是， GBAJJ过程可以在本步骤中执行，也可以在步骤 508 之前的任何步骤执行。

需要说明的是，图 5所示流程中计算本地接口密钥的可变参数 RAND 也可以由 UICC或终端生成。若是由 UICC生成可变参数 RAND, 那么步骤 508和步骤 509可在步骤 502之前执行，并在执行成功后 UICC向终端发送 UICC生成的 RAND值。终端在步骤 503中将该 RAND值发给网络侧，以便网络侧采用相同的 RAND值计算本地密钥。

若是由终端生成可变参数 RAND值，那么如实施例一所述，以上步骤即可以按照实施例 5的顺序执行，又可以将步骤 508和步骤 509放在步骤 502之前，或者与 502~507同时执行。当然在步骤 503中需要将终端产生的 RAND值发给网络侧，以便网络侧采用相同的 RAND值计算本地密钥。实施例三， NAF相关密钥 Ks_int_NAF无效且 Ks有效的情况。

图 6是本发明终端获取本地接口密钥的实施例三的流程图，包括以下步骤：

步骤 600 : 终端向 UICC请求 Ks相关信息，该请求中可以携带 Terminal_ID、 Terminal_appli_ID , 还可以携带终端表示当前时间值的时步骤 601 : UICC查找本地存在的 Ks , 并将该 Ks对应的生存周期及 B-TID返回给终端。

如果来自终端的请求中携带有时间戳， UICC可根据该时间戳查询本地是否存在有效的的 Ks, 如果存在，则将该 Ks对应的生存周期及 B_TID 发送给终端，进入步骤 603, 否则，进入步骤 602。

UICC对比时间戳和生存周期，判断该 Ks的有效性，若生存周期大于时间戳则表示有效；否则，表示无效。

步骤 602: 发起 GBA过程，以产生一个有效的 Ks。

本步骤中 GBA过程的触发可能有多种情况：如果终端就是 UICC所属 ME, 那么直接由 ME发起 GBA过程；如果终端是一个通过外部接口连接到 UICC上的外围终端，那么可能是由外围终端向 UICC发指令，然后 UICC向 ME发主动式命令触发 GBA过程，或者 UICC发现没有有效的 Ks 后，向 ME发主动式命令触发 GBA过程，或者外围终端直接向 ME发命令触发 GBA过程；之外，也有可能就是终端自身发起 GBA过程。

GBA过程的目的就是为了产生一个 Ks, 存储在 UICC中。

步骤 603：终端与 NAF进行双向认证并建立 HTTPS隧道。

本步骤具体实现方法很多，属于现有技术，这里不再详述。

步骤 604: 终端通过建立好的 HTTPS隧道，向 NAF密钥中心发送本地密钥建立请求。该本地密钥建立请求中携带有步骤 602中 GBA过程产生的或 UICC 返回给终端的 B_TID, 以及 Terminal_ID、 Terminal_appli_ID、 UICC_ID、 UICC_appi_ID, 以及可能携带终端或 UICC生成的随机数 RAND。这样， NAF密钥中心可以对于不同的应用产生一个有效的本地接口密钥。

步骤 605: NAF密钥中心向 BSF请求 Ks_int_NAF,该请求中可能携带有接收到的 B_TID和随机数 RAND , 以及自身的 NAF_ID。其中随机数可能是步骤 604中终端发来的，还可能是 NAF密钥中心生成的。

步骤 606: BSF利用 B_TID对应的 Ks、 NAF_ID、随机数 RAND等参数衍生 Ks_int_NAF并分配该 Ks_int_NAF对应的生存周期，将该 Ks_int_NAF及其生存周期发送给 NAF密钥中心。

本步骤中，利用该随机数 RAND , 使得由 Ks衍生的 Ks_int_NAF与前一次使用的 Ks_int_NAF不同。

步骤 607: NAF密钥中心利用接收到的 Ks_int_NAF衍生 Ks_Local。本步骤中， NAF密钥中心在利用该有效的 Ks_int_NAF衍生 Ks_Local 之前，进一步包括： NAF密钥中心可以通过 TerminaUD和 UICC_ID, 查询该终端是否受限利用该 UICC接入网络。如果允许该设备接入网络，则利用 Ks_int_NAF和相关信息衍生 Ks_Local, 否则，返回指示该终端无权利用该 UICC接入网络的响应。

步骤 608: NAF密钥中心通过 HTTPS隧道，向终端发送本地密钥建立响应，该响应中携带有8_ 0、 Ks_Local及其生存周期。

步骤 609: 终端存储接收到的 Ks_Local及其生存周期。

步骤 610: 终端向 UICC发送生成 Ks_Local请求，该请求中携带有 Terminal—ID、 Terminal_appli_ID。

步骤 611 : UICC首先利用 Ks和 NAF_ID、随机数 RAND等参数衍生 Ks_int_NAF, 之后再利用该 Ks_int_NAF衍生 Ks_Local并存储。 UICC和 NAF密钥中心使用相同的衍生算法衍生 Ks_Local。

需要说明的是，如果随机数 RAND是由终端或 UICC生成，那么步骤 610 ~611中 UICC利用 Ks、 NAF_ID、随机数 RAND等参数衍生 Ks_int_NAF 的步骤也可在步骤 610之前步骤 602之后任何一步执行。本实施例流程只是其中一种，并不限制终端和 UICC交互，与终端、与网络侧交互的顺序。

从上述实施例一、实施例二和实施例三可见，实施例一和实施例二获取 Ks_Local的方法为：利用一可变参数如随机数或时间戳，以及密钥信息中的有效 Ks_int_NAF , 衍生出与前一次衍生的 Ksjocal不相同的 Ks_Local, 而实施例三获取 Ks_Local的方法为：利用一可变参数如随机数或时间戳，以及密钥信息中的 Ks, 衍生出与前一次衍生的 Ks_int_NAF 不相同的 Ks_int_NAF, 再利用该 Ks_int_NAF衍生 Ks_Local。

需要说明的是， UICC侧和 BSF利用可变参数以及 Ks计算 Ks_int_NAF 的可变参数，除了本实施例中所述终端产生，还可以由 NAF密钥中心产生，并携带在步骤 605中的请求消息中发给 BSF, 随后通过步骤 608、步骤 609、步骤 610发给 UICC侧；还可以由 BSF在步骤 606产生，并通过后续步骤发给 UICC侧。

以上实施例中，不需要执行完整的 GBA过程，筒化了获取 Ks_Local 的流程，筒单地获取了本地接口密钥，节省了协商 Ks_Local的时间，从而节约了网络资源；同时，通过可变参数参与衍生而获得的 Ks_Local 与前一次使用的 Ks_Local是不同的，保证了 UICC与终端间通信的安全等级。

需要说明的是，在执行实施例一和实施例二之前，还可以增加实施例三中的步骤 600 ~步骤 602 , 此时，实施例一中的步骤 400 ~步骤 401 可以省略，实施例二中的步骤 500 ~步骤 501可以省略。

除此之外，对于终端由于关机等操作而造成未过期的 Ks_Local丟失的情况，在终端需要使用某应用时，除了可以采用上述实施例一至实施例三的方法获取 Ks_Local外，还可以通过与 UICC的交互，获取与 Ks_Local相关的信息如8_丁10和应用相关标识，并利用获得的相关信息直接向 NAF密钥中心请求与该8_丁10对应的 Ks_Local即可。下面结合实施例四和实施例五详细描述实现方法。

实施例四， UICC中存在 Ks_Local且未过期的情况。

图 7是本发明终端获取本地接口密钥的实施例四的流程图，包括以下步骤：

步骤 700 : 终端向 UICC发起查询 Ks_Local请求，该请求中携带有 Terminal—ID和 Terminal_appli_ID。

步骤 701 : UICC查询自身存储的，与 Terminal_ID和 Terminal_appli_ID 对应的 Ks_Local, 则 UICC将该 Ks_Local的生存周期携带在查询响应中发送给终端。该查询响应中还携带有 UICC_ID和 UICC_appli_ID。

需要说明的是，如果 UICC 中未存储与 TerminaUD和 Terminal_appli_ID对应的 Ks_Local,则 UICC会通知终端不存在 Ks_Local, 之后终端会采用实施例一、或实施例二、或实施例三所示的方法来获取 Ks_Local。

步骤 702: 终端根据接收到的 Ks_Local的生存周期，及终端自身的时间机制，确定该 Ks_Local未过期后，向 NAF密钥中心请求该 Ks_Local。

需要说明的是，如果该 Ks_Local已过期，则终端会采用实施例一、或实施例二、或实施例三所示的方法来获取 Ks_Local。

只要终端确定该 Ks_Local已过期，那么，终端向 UICC发送删除旧的 Ks_Local以及发起建立新的 Ks_Local的请求。删除旧的 Ks_Local以及发起建立新的 Ks_Local两个请求，可以作为一条消息发送，也可以分两条发送；或者，终端只向 UICC发送删除旧的 Ks_Local的请求；或者终端只向 UICC发送建立新的 Ks_Local的请求。

步骤 703：终端与 NAF进行双向认证并建立 HTTPS隧道。

本步骤具体实现方法很多，属于现有技术，这里不再详述。

步骤 704: 终端通过建立好的 HTTPS隧道，向 NAF密钥中心请求 Ks_Local。该请求中携带有 Terminal_ID、 Terminal_appli_ID , UICCJD 及 UICC_appli_ID。

步骤 705： NAF密钥中心查询到与请求中携带的信息对应的 Ks_Local 后，在 HTTPS隧道中，将该 Ks_Local及其生存周期返回给终端。

在步骤 701中，由于传输生存周期是未加密的， UICC在向终端发送 Ks_Local的生存周期时，攻击者可能非法修改该生存周期，因此，在步骤 704中，为了确保 UICC与终端能够共享有效的 Ks_Local, NAF密钥中心在查询到该 Ks_Local后，进一步对该 Ks_Local的生存周期进行验证，判断该 Ks_Local是否过期。

实施例五， UICC中存在 Ks_Local且未过期的情况。

图 8是本发明终端获取本地接口密钥的实施例五的流程图，包括以下步骤：

步骤 800: 终端向 UICC发起查询 Ks_Local请求，该请求中携带有 Terminal—ID和 Terminal_appli_ID。

步骤 801 : UICC查询自身存储的，与 TerminaUD和 Terminal_appli_ID 对应的 Ks_Local, 则 UICC将自身 UICC_ID和 UICC_appli_ID携带在查询响应中发送给终端，以告知终端， UICC中存在终端查询的 Ks_Local。需要说明的是，如果 UICC 中未存储与 TerminaUD和 Terminal_appli_ID对应的 Ks_Local,则 UICC会通知终端不存在 Ks_Local, 之后终端会采用实施例一、或实施例二、或实施例三所示的方法来获取 Ks_Local。

步骤 802: 终端与 NAF进行双向认证并建立 HTTPS隧道。

本步骤具体实现方法很多，属于现有技术，这里不再详述。

步骤 803 : 终端在建立好的 HTTPS隧道中，向 NAF密钥中心请求 Ks_Local。该请求中携带有 Terminal_ID、 Terminal_appli_ID , UICCJD 及 UICC_appli_ID。

步骤 804 ~ 步骤 805： NAF密钥中心查询到与接收到的 Terminal_appli_ID对应的 Ks_Local , 并确定该 Ks_Local未过期后， NAF 密钥密钥中心通过 HTTPS隧道，将该 Ks_Local及其生存周期返回给终端。

从实施例四和实施例五可见，如果终端因关机等原因造成 Ks_Local 丟失，而 UICC内还存储有该 Ks_Local且该 Ks_Local未过期时，终端只需向 NAF密钥中心请求丟失的密钥即可，而不需要再次进行整个密钥协商过程，该方法更进一步的筒化了获取 Ks_Local的流程，从而实现了本发明筒单获取本地接口密钥的方法。

结合本发明方法，还提供一种终端，至少包括可变参数生成模块和发送模块，其中，

可变参数生成模块用于生成可变参数；

发送模块用于将生成的可变参数发送给 UICC或网络侧。还提供一种 UICC, 至少包括第一接收模块和第一处理模块，其中，第一接收模块用于接收来自终端的可变参数；

还提供一种 NAF, 至少包括第二接收模块和第二处理模块，其中，第二接收模块用于接收来自终端的可变参数；

以上所述，仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围，凡在本发明的精神和原则之内所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

权利要求书

1、一种生成本地接口密钥的方法，其特征在于，该方法包括以下步骤：

A、生成可变参数；

B、根据生成的可变参数，及计算本地接口密钥的相关参数衍生本地接口密钥。

2、根据权利要求 1 所述的方法，其特征在于，所述可变参数由终端生成，所述本地接口密钥由用户集成电路卡 UICC侧衍生，所述步骤 B具体包括：

UICC侧收到终端发送的所述可变参数；

UICC侧根据所述可变参数及计算本地接口密钥的相关参数衍生所述本地接口密钥。

3、根据权利要求 1 所述的方法，其特征在于，所述可变参数由终端生成，所述本地接口密钥由网络侧衍生，所述步骤 B具体包括：网络侧收到终端发送的所述可变参数以及从 UICC侧获取的密钥标识信息；

网络侧根据所述可变参数、密钥标识信息及计算本地接口密钥的相关参数衍生所述本地接口密钥。

4、根据权利要求 1所述的方法，其特征在于，所述可变参数由 UICC 侧生成，所述本地接口密钥由 UICC侧衍生，所述步骤 B具体包括：

5、根据权利要求 1所述的方法，其特征在于，所述可变参数由 UICC 侧生成，所述本地接口密钥由网络侧衍生，所述步骤 B具体包括：网络侧收到终端发送的从 UICC侧获取的密钥标识信息以及可变参数；

6、根据权利要求 1 所述的方法，其特征在于，所述可变参数由网络侧生成，所述本地接口密钥由 UICC侧衍生，所述步骤 B具体包括：所述 UICC侧收到终端发送的从网络侧获取的所述可变参数；所述 UICC侧根据所述可变参数及计算本地接口密钥的相关参数衍生所述本地接口密钥。

7、根据权利要求 1 所述的方法，其特征在于，所述可变参数由网络侧生成，所述本地接口密钥由网络侧衍生，所述步骤 B具体包括：所述网络侧收到终端发送的从 UICC侧获取的密钥标识信息；网络侧根据所述可变参数、密钥标识信息及计算本地接口密钥的相关参数衍生所述本地接口密钥。

8、根据权利要求 7 所述的方法，其特征在于：所述网络侧衍生本地接口密钥具体包括：

所述网络侧中的 BSF根据 Ks以及所述可变参数衍生 NAF相关密钥，所述 Ks为 UICC用户和 BSF之间的共享密钥；

根据所述 NAF相关密钥及计算本地接口密钥 Ks_local的相关参数衍生本地接口密钥。

9、根据权利要求 7 所述的方法，其特征在于：所述网络侧衍生本地接口密钥具体包括：

所述网络侧中的 BSF根据 Ks衍生 NAF相关密钥，所述 Ks为 UICC 用户和 BSF之间的共享密钥；

根据所述 NAF 相关密钥、所述可变参数及计算本地接口密钥 Ksjocal的相关参数衍生本地接口密钥。

10、根据权利要求 7、 8或 9所述的方法。其特征在于，所述可变参数由所述网络侧中的通用自引导鉴权框架服务功能实体 BSF或网络应用功能实体 NAF生成。

11、根据权利要求 10所述的方法，其特征在于，若所述生成可变参数由所述网络侧中的通用自引导鉴权框架服务功能实体 BSF生成，所述网络侧衍生本地接口密钥具体包括：

所述网络侧中的网络应用功能实体 NAF将从所述终端获得的密钥标识信息发送至 BSF;

BSF根据 Ks、获得的密钥标识信息及所述可变参数衍生 NAF相关密钥，并发送至 NAF, 所述 Ks为 UICC用户和 BSF之间的共享密钥；

NAF根据获得的 NAF相关密钥及计算本地接口密钥的相关参数衍生所述本地接口密钥。

12、根据权利要求 10所述的方法，其特征在于，若所述可变参数由所述网络侧中的 NAF生成，所述网络侧衍生本地接口密钥的步骤具体包括：

NAF根据该可变参数及计算本地接口密钥 Ks_local的相关参数衍生所述本地接口密钥。

13、根据权利要求 12所述的方法，其特征在于，所述 NAF根据所述可变参数及计算本地接口密钥 Ks_local的相关参数衍生所述本地接口密钥之前，还包括：

所述 NAF将从所述终端获得的密钥标识信息发送至所述网络侧中的 BSF;

BSF根据 Ks、获得的密钥标识信息衍生 NAF相关密钥，并发送至 NAF, 所述 Ks为 UICC用户和 BSF之间的共享密钥。

14、根据权利要求 2 ~ 9 中任意一项所述方法，其特征在于，所述 UICC侧为用户身份模块 UICC , 或者 UICC所属设备。

15、一种终端，其特征在于，至少包括可变参数生成模块和发送模块，其中，

可变参数生成模块用于生成可变参数；

发送模块用于将生成的可变参数发送给 UICC或网络侧。

16、一种 UICC, 至少包括第一接收模块和第一处理模块，其中，第一接收模块用于接收来自终端的可变参数；

17、一种 NAF, 至少包括第二接收模块和第二处理模块，其中，