專利名稱:由wtru使用的用于建立安全本地密鑰的方法
由WTRU使用的用于建立安全本地密鑰的方法
本申請是申請日為2008年10月6日�、申請?zhí)枮?00880110341. 7,發(fā)明名稱為“用于ncc和終端之間安全信道化的技術(shù)”的發(fā)明專利申請的分案申請��。技術(shù)領(lǐng)域
本申請涉及無線通信�。
背景技術(shù):
UMTS蜂窩無線通信系統(tǒng)第七版本中,標(biāo)準(zhǔn)制訂機(jī)構(gòu)第三代合作計劃(3GPP)已經(jīng)起草了技術(shù)規(guī)范TS33. 220-780來加強現(xiàn)存的認(rèn)證和密鑰協(xié)議(AKA)進(jìn)程��。TS33. 220中描述的較新的AKA進(jìn)程明確了涉及含有UMTS集成電路卡(UICC)和歸屬位置寄存器/歸屬用戶系統(tǒng)(HLR/HSS)的無線接收/發(fā)送單元(WTRU)的進(jìn)程���。
圖1示出了期望用于AKA進(jìn)程的網(wǎng)絡(luò)元件和其各自的接口���。引導(dǎo)服務(wù)器功能(BSF) 是網(wǎng)絡(luò)元件的一部分,處于移動網(wǎng)絡(luò)控制器(MNO)的控制下�����,且與WTRU和HSS—起參與帶有基于HCC增強的通用引導(dǎo)架構(gòu)(GBA) (GBA_U)�����,以建立網(wǎng)絡(luò)和WTRU之間的共享機(jī)密��。網(wǎng)絡(luò)應(yīng)用功能(NAF)是用作網(wǎng)絡(luò)元件的一部分��,且使用GBA建立的共享機(jī)密用以驅(qū)動密鑰從而保護(hù)WTRU和NAF之間的通信路徑����。引導(dǎo)服務(wù)器功能(BSF)使用用戶位置功能(SLF)來獲得歸屬用戶系統(tǒng)(HSS)的詳情,其中當(dāng)BSF沒有被預(yù)先定義的HSS配置或者管理時��,所述HSS 包括所需的用戶特定數(shù)據(jù)�。HSS存儲了所 有用戶安全設(shè)置(USS),用戶具有nCC上的多個 IP多媒體服務(wù)身份模塊(ISM)或者用戶服務(wù)身份模塊(USM)應(yīng)用��。HSS可包括與一個或多個私有身份成映射的一個或者多個GBA用戶安全設(shè)置(⑶SS)����。Ub是指WTRU和BSF之間的參考點。WTRU和BSF之間相互的認(rèn)證過程在這些參考點上發(fā)生���,會話密鑰基于3GPP AKA 架構(gòu)引導(dǎo)����。Ua是帶有應(yīng)用協(xié)議的NAF和WTRU之間的參考點����,且作為在Ub參考點上的HTTP 摘要AKA的結(jié)果,Ua是通過基于WTRU和BSF之間達(dá)成協(xié)議的機(jī)密材料來得出(derive)密鑰從而被保證安全的���。Zn是NAF和BSF之間的參考點�����,且被NAF使用來從BSF獲得密鑰材料(在之前的Ub上的HTTP摘要AKA協(xié)議中同意的)和特定應(yīng)用的USS�。Zh是BSF和HSS之間的參考點,是由BSF使用來從HSS檢索認(rèn)證信息和⑶SS�。Dz是BSF和SLF之間的參考點, 是由BSF使用來檢索包括用戶特定信息的HSS的名稱�。
在TS33. 220中討論兩個過程。第一個是WCC增強的GBA (GBA_U)進(jìn)程�����,以及第二個是安全結(jié)合(SA)進(jìn)程���。
在GBA_U進(jìn)程中����,UICC和BSF相互認(rèn)證����,并且通過從WCC和HLR/HSS之間共享的用戶認(rèn)證密鑰K中得出稱為GBA_U密鑰的密鑰Ks來對其進(jìn)行建立�。
參見圖2�����,用于GBA_U的步驟如圖所示���,且在下面進(jìn)一步地描述。在步驟SI�����,ME 向BSF發(fā)送HTTP請求用以初始化GBA_U進(jìn)程�。ME在HTTP請求的用戶名參數(shù)字段中插入用戶身份(臨時IP多媒體私有身份(TMPI)或者IP多媒體私有身份(IMPI))。在步驟S2����, BSF 從 HLR/HSS (在 Zh 參考點上)獲取認(rèn)證向量(AV=RAND Il AUTN Il XRES CK Il IK)和 GBA 用戶安全設(shè)置(⑶SS),其中AUTN = SQNms十[AK] || AMF || MAC���。BSF然后計算MAC* (= MAC Θ Trunc (SHA-1 (IK) ))���。MAC 用來保護(hù) RAND 和 AUTN 的完整性。 BSF 在步驟 S3 將 RAND 和 AUTN* (=SQN xorAK | | AMF Il MAC*)轉(zhuǎn)發(fā)給 ME�����,且在 HTTP401 未授權(quán)的WWW認(rèn)證摘要信息中存儲XRES,CK和IK�����。在步驟S4�����,ME在HTTP401未授權(quán)WffW-認(rèn)證摘要信息中將接收到的RAND和AUTN*轉(zhuǎn)發(fā)給HCC�����。在步驟S5�,UICC運行AKA算法,即計算IK和XMAC����,然后UICC校驗AUTN (即SQN十AK Il AMF Il MAC)來驗證挑戰(zhàn)是來自認(rèn)證的網(wǎng)絡(luò);UICC還計算CK和RES���。這將導(dǎo)致在BSF和HCC中會話密鑰CK和IK的建立���, 其中Ks=CK Il IK。在步驟S6,UICC將RES轉(zhuǎn)發(fā)給ME����。在步驟S7�,ME將另一個HTTP請求發(fā)送給BSF,該BSF包含使用RES計算的摘要AKA響應(yīng)�。在步驟S8,通過比較接收到的RES和 XRESjBSF驗證UE的認(rèn)證����,以及在步驟S9,創(chuàng)建Ks=CK | | IK和引導(dǎo)事務(wù)標(biāo)識符(B-TID)���。在步驟S10����,BSF發(fā)送回包括B-TID和密鑰壽命的2000K消息�,來指示認(rèn)證的成功。在步驟S11�, ME發(fā)送B-TID和密鑰壽命給UICC0在步驟S12,UICC存儲Ks=CK Il IK, B-TID和密鑰壽命����。
在GBA_U進(jìn)程的最后,如圖2中所描述的,如果在例如安全性關(guān)聯(lián)階段的稍后的階段中需要的化����,UICC和BSF處于能夠分別使用它們都必須得出的Ks——網(wǎng)絡(luò)接入功能 (NAF)特定的密鑰Ks_ext_NAF和Ks_int_NAF的狀態(tài)。這些獲得的密鑰Ks_ext_NAF和Ks_ int_NAF稍后將用于保證Ua參考點的安全��。Ks_ext_NAF在HCC中作為Ks_ext_NAF=KDF (Ks, 〃gba-me〃, RAND, IMPI, NAF_Id)而被計算�����,Ks_int_NAF 在 UICC 中作為 Ks_int_NAF=KDF (Ks, 〃gba-u�����,RAND, IMPI, NAF_Id)而被計算�����,NAF_Id=NAF 的 FQDN | Ua 安全性協(xié)議標(biāo)識符的�。 KDF是如TS33. 220-780附錄B中指定的密鑰得出功能。
在Ks在GBA_U進(jìn)程中建立后���,安全性關(guān)聯(lián)進(jìn)程出現(xiàn)在NAF和WTRU之間��。該進(jìn)程的目的是用于WTRU和NAF來確定是否使用GBA密鑰(Ks_int_NAF和/或Ks_ext_NAF)��。默認(rèn)地�,Ks_ext_NAF用于在隨后得出將被用來加密WTRU和NAF之間的分組的密鑰流。但是���, 如 果使用Ks_int_NAF或者Ks_int_NAF和Ks_ext_NAF,那么將在安全性進(jìn)程中對此達(dá)成協(xié)議�����。應(yīng)當(dāng)注意這種協(xié)議將否定默認(rèn)的選擇�����。同樣�,密鑰選擇指示還可在特定應(yīng)用USS中明確指定。
參見圖3�,圖中描述了安全性關(guān)聯(lián)步驟,在開始通信之前��,WTRU (ME)校驗Ks (GBA_ U建立的)是否存在并且通用���,以及如果不存在����,則GBA_U被初始化來創(chuàng)建Ks。如果Ks是有效且通用的��,則在步驟SI����,ME從HCC檢索B-TID,并且HCC得出Ks_int/ext_NAF密鑰��。 在步驟S2�,ME將B-TID作為應(yīng)用請求的一部分發(fā)送給NAF。在步驟S3����,ME發(fā)送認(rèn)證請求 (incl. B-TID and NAF-1D)給BSF,以在Zn參考點上發(fā)送對應(yīng)于B-TID的密鑰�����。在步驟S4�, BSF得出Ks_int_NAF和Ks_ext_NAF。如果NAF是GBA_U�����,在步驟S4��,它將輸送兩個密鑰���,否則它僅將Ks_ext_NAF隨其他一些信息例如引導(dǎo)時間�、密鑰壽命等一起提供。如果USS從 BSF返回�,則NAF瀏覽USS來檢驗是否存在密鑰選擇指示,其中在存在的情況下USS中指示的密鑰將被使用����,并且NAF將存儲所述密鑰�。在步驟S7,NAF向WTRU發(fā)送應(yīng)用應(yīng)答����,以指示 NAF現(xiàn)在擁有密鑰Ks_ext/int_NAF���。
近來�����,3GPP TS 33. 110-700提出了 HCC和終端之間的平臺和特定應(yīng)用密鑰Ks_ local的建立���。該密鑰用來由nCC和終端使用以保證它們之間的信道安全�����。
在終端是支持裝置的一部分的情況下的參考點的結(jié)構(gòu)如圖4所示��。圖4的網(wǎng)絡(luò)元件與圖1中所示的相同����,除了提供ncc主機(jī)設(shè)備����。在ncc和終端之間建立Ks_local 的協(xié)議流如圖5中所示。在步驟SI��,終端通過從HCC獲取B-TID和相應(yīng)的壽命來校驗有效的Ks密鑰是否存在于nCC中����。如果在nCC中沒有存在可用的有效Ks,則終端將請求GBA 弓I導(dǎo)過程來建立BSF和nCC之間的Ks密鑰�����。然后�,終端校驗是否存在有效的Ks_int_NAF, 如果存在����,則終端請求nCC來檢索用于對應(yīng)于NAF密鑰中心的NAF_ID的B-TID值�。如果終端沒有NAF_ID���,則在步驟S2請求HCC來檢索該值����。在步驟S3�,UICC返回對應(yīng)于NAF密鑰中心的B-TID和NAF_ID。在步驟S4�,終端和NAF密鑰中心用基于終端和NAF密鑰中心之間的相互認(rèn)證的證書,建立HTTP類型隧道�。在步驟S5�����,終端在隧道上發(fā)送“服務(wù)請求”消息以請求密鑰Ks_local和可變值RANDx的建立����,所述消息的有效載荷包括B-TID、終端標(biāo)識符 (Terminal_ID)���、智能卡標(biāo)識符(ICCID)�、UICC應(yīng)用的應(yīng)用標(biāo)識符(UICC_appli_ID)和終端應(yīng)用的應(yīng)用標(biāo)識符(Terminal_appl i_ID)。當(dāng)期望特定平臺密鑰而不是特定應(yīng)用密鑰時,參數(shù) UICC_appli_ID 和 Terminal_appli_ID 將等于靜態(tài) ASCII 編碼的字符串“platform”����。在步驟S6,NAF密鑰中心確定終端ID/ICCID是否不是黑名單或者密鑰建立過程是否允許用以目標(biāo)應(yīng)用�。如果不滿足這些條件,NAF密鑰中心以合適的誤碼進(jìn)行回應(yīng)���,并且中斷與終端的 TLS連接��。隨后在步驟S6�,NAF密鑰中心聯(lián)系BSF�����,并在信任請求(該請求的目的是請求BSF 來返回相關(guān)的密鑰Ks_int_NAF和Ks_ext_NAF���。應(yīng)當(dāng)注意Ks_local僅從Ks_int_NAF中產(chǎn)生)中發(fā)送B-TID和其自身的NAF_ID���。在步驟S7,BSF得出Ks_int_NAF和Ks_ext_NAF�����,向 NAF密鑰中心返回這些密鑰和相關(guān)信息,諸如引導(dǎo)時間�、密鑰壽命等。然后在步驟S8����,NAF 密鑰中心生成為了在nCC中使用的合適的16個八比特組(octet)的計數(shù)器限值,并且為了在終端中使用而將密鑰壽命與得出的密鑰Ks_local相關(guān)聯(lián)���。然后從Ks_int_NAF中得出 Ks_local����,其中使用的密鑰獲取功能(KDF)如下
Ks_local=KDF (Ks_int_NAF, B-TID, Terminal_ID, ICCID,Terminal_appli_ ID,UICC_appli_ID, RANDx,計數(shù)器限值)
然后在步驟S9�����,NAF密鑰中心在步驟S4中建立的HTTPS隧道上將Ks_local與 B-TID�����、密鑰壽命和計算器限值一起傳送到終端��。在步驟S10���,終端在其自己的存儲器中存儲 Ks_local 和相關(guān)參數(shù)����,諸如密鑰壽命�、ICCID、Terminal_appli_ID�����、和 UICC_appli_ ID�����。在步驟Sll����,終端請求HCC來生成Ks_local,并將密鑰材料(NAF_ID�,Terminal ID, Terminal_appli_ID, UICC_appli_ID, RANDx和計數(shù)器限值)與依次被截取為16個八比特組=128 個比特的 MAC(=HMAC-SHA-256[Ks_local,NAF_ID Terminal_ID ICCID Il Term_ appli_ID Il UICC_appli_ID Il RANDX Il 計數(shù)器限值])一起發(fā)送給它����。在步驟 12,UICC 檢索 Ks」nt_NAF 和 B-TID,并生成 Ks_local=KDF (Ks_int_NAF���,B-TID, Terminal ID, ICCID, Terminal_appli_ID, UICC_appli_ID, RANDx���,計數(shù)器限值)�。UICC 計算依次被截取為 16 個八比特組=128 個比特的 MAC’ = (HMAC-SHA-256 [Ks_local, NAF_ID | | Terminal, ID Il ICCID Il Terminal_appli_ID Il UICC_appli_ID Il RANDX | 計數(shù)器限值])�����。計算的 MAC�����, 與接收到的MAC進(jìn)行比較��。如果MAC’和MAC不匹配�,則在步驟S13將失敗消息發(fā)送回終端。如果MAC和MAC’之間匹配�����,則在nCC中存儲Ks_local和相關(guān)參數(shù)諸如Terminal ID�����,Terminal_appli_ID�,UICC_appli_ID 和計數(shù)器限值。在步驟 S13��,UICC 將使用 Ks_ local和依次截取為16個八比特組的MAC算法HMAC-SHA-256創(chuàng)建的“Verification Successful”(驗證成功)消息返回到終端���。
圖5描述了和終端之間的密鑰的建立�。來自TS33. 110v7. 2. O的本地密鑰建立進(jìn)程依賴于HTTPS隧道的建立(見圖5中的步驟S4)�����。在TS33. 110v7. 2. O中��,指定HTTPS隧道是使用用戶證書建立的����,該用戶證書對在隨后設(shè)置隧道時使用的公鑰進(jìn)行驗證。最新的3GPP規(guī)范TS33. 221v7. O. O指出了這種用戶證書是使用圖6中描述的步驟建立的�。
圖6中的序列圖描述了當(dāng)使用公鑰加密標(biāo)準(zhǔn)(PKCS) #10與HTTP摘要認(rèn)證時的證書請求。在步驟SI����,WTRU向公鑰構(gòu)架(PKI)入口發(fā)送空的HTTP請求。在步驟S2��,PKI入口使用包含www-認(rèn)證報頭的HTTP響應(yīng)代碼401 “未認(rèn)證”來發(fā)送認(rèn)證挑戰(zhàn)響應(yīng)����。報頭指示W(wǎng)TRU來使用HTTP摘要認(rèn)證����。WTRU通過使用作為用戶名從BSF收到的引導(dǎo)事務(wù)標(biāo)識符 (B-TID)和NAF特定會話密鑰Ks_NAF來計算授權(quán)報頭值����,從而生成HTTP請求。如果證書請求為了密鑰proof-of-origin需要無線身份模塊(WM)應(yīng)用的額外確保�,WTRU生成包含密鑰proof-of-origin生成所需的參數(shù)的WM挑戰(zhàn)請求。在步驟S4�����,WTRU發(fā)送HTTP請求給PKI入口�,并在該請求中包括WM機(jī)會請求。在步驟S5�,充當(dāng)NAF的PKI入口接收請求, 通過使用B-TID從BSF獲取NAF特定會話密鑰����,使用Ks_NAF計算相應(yīng)的摘要值,以及在認(rèn)證報頭將計算的值與接收的值進(jìn)行比較來驗證認(rèn)證報頭�����。如果驗證成功,且需要WM應(yīng)用的額外確保����,則PKI入口可使用PKI入口特定用戶安全性設(shè)置來計算WM挑戰(zhàn)響應(yīng)��。在步驟S6�,PKI入口發(fā)送回包含隨后的PKCS#10請求的生成所需的附加參數(shù)的WM挑戰(zhàn)響應(yīng)。 PKI入口可以使用會話密鑰Ks_NAF來對該響應(yīng)進(jìn)行完整性保護(hù)和認(rèn)證�。在步驟S7,WTRU 生成PKCS#10請求�,且在步驟S8,WTRU使用HTTP摘要請求將該PKCS#10請求發(fā)送至PKI入口����。在私鑰存儲于WM應(yīng)用中的情況下,ME從WM應(yīng)用請求Assurance Info�,并且如果WM 應(yīng)用提供AssuranceInfo的話,便將其包括在PKCS#10請求中。注冊(enrolIment)請求將遵循PKCS#10證書注冊格式�。OMA ECMA腳本規(guī)范中定義了在請求中增加Assurancelnfo。 AssuranceInfo為密鑰處理提供出處證明(Proof of Origin)�。(例如識別WIM應(yīng)用且提供密鑰存儲在其中的證據(jù))。WTRU可指示認(rèn)證響應(yīng)所期望的格式證書��、指向證書的指針(如 URL)���,或者完全證書鏈(即從頒發(fā)的證書到相應(yīng)的根證書)�����。WTRU向PKI入口發(fā)送證書注冊的HTTP請求��。注冊請求應(yīng)當(dāng)如下
P0ST〈base URL> response=<indication)[other URL parameters]HTTP/1.1
Content-Type: application/x-pkcslO
<base64encoded PKCS#10blob>
其中〈base URL>標(biāo)識服務(wù)器/程序��。標(biāo)簽〈indication〉用來向PKI入口指示 WTRU的期望響應(yīng)類型�����?��?赡艿闹凳莾H用于用戶證書的“單一”�,
用于指向用戶的指針的“指針”或者用于完全證書鏈的“鏈”���。進(jìn)一步地����,其他的 URL參數(shù)是附加的或者是可選的參數(shù)��。
在步驟S9����,PKCS#10請求由PKI入口處理�����。如果PKI入口是認(rèn)證授權(quán)(CA)��,則證書是在PKI入口生成的。如果PKI入口僅是注冊授權(quán)(RA)��,而不是CA���,PKCS#10請求轉(zhuǎn)發(fā)給使用任何可用協(xié)議的CA�����,例如IETF RFC2797中指定的CMC��,或者IETF RFC2510和IETF RFC2511中指定的CMP����。在這種情況下�,在PKCS#10請求已經(jīng)處理且證書已經(jīng)創(chuàng)建后,新的證書返回到PKI入口��。在任何一種情況下,在S10�����,PKI入口生成包含證書或者OMA無線PKI 規(guī)范(WPKI)的條款7. 4定義的指向證書的指針����,或者從頒發(fā)的證書至根證書的完全證書鏈的HTTP響應(yīng)。如果HTTP響應(yīng)包含用戶證書本身���,則基于64編碼����,且可以如下來標(biāo)定
HTTP/1. 12000K
Content-Type:application/x-x509-user_cert
-----開始證書-----<base64encoded X. 509certificate blob〉-----結(jié)束證書-----如果HTTP響應(yīng)包含指向證書的指針�����,則應(yīng)當(dāng)使用OMA WPKI的子條款7. 3. 5中定義的CertResponse架構(gòu)�����,且且可以如 下來標(biāo)定HTTP/1. 12000KContent-Type:application/pkix-pkipath-----開始證書響應(yīng)-----<base64encoded CertResponse structure blob〉-----結(jié)束證書響應(yīng)-----如果HTTP響應(yīng)包含PkiPath結(jié)構(gòu)中定義下的完全證書鏈��,且應(yīng)當(dāng)基于64編碼HTTP/1. 12000KContent-Type:application/pkix-pkipath<base64encoded PkiPath blob〉用于證書鏈的content-type 報頭值是“application/pkix-pkipath”。如果證書或者指向該證書的指針發(fā)送給WTRU���,則PKI端口可使用會話密鑰Ks_NAF來對該響應(yīng)進(jìn)行完整性保護(hù)和認(rèn)證����。如果完全證書鏈發(fā)送給WTRU���,則PKI入口應(yīng)使用完整性保護(hù)并認(rèn)證該響應(yīng)����。當(dāng)WTRU接收用戶證書或者指向用戶證書的URL時����,在步驟SI I�,將被存儲在本地證書管理系統(tǒng)中。現(xiàn)有技術(shù)的問題GBA_U進(jìn)程和安全性關(guān)聯(lián)進(jìn)程具有隱私問題��,這是因為在這兩個進(jìn)程中�,在和終端之間的安全本地信道或者終端和BSF (或者NAF)之間的安全信道形成之前,UICC和終端會在它們之間的開放信道上交換很多參數(shù)��,同樣的情況也會出現(xiàn)在終端和網(wǎng)絡(luò)(BSF�、NAF)之間。例如,諸如AUTN和RAND的參數(shù)從BSF至WCC的傳輸是開放信道上的明文�����。UICC和BSF之間的完整性保護(hù)被分別提供給認(rèn)證信息(AUTN)和通過使用消息認(rèn)證碼(MAC)(和期望的MAC (XMAC))和用戶響應(yīng)(RES)(和期望的RES (XRES))來充當(dāng)現(xiàn)時(即在安全工程中僅使用一次的數(shù)或比特流)的隨機(jī)數(shù)(RAND)����。但是,由于信道是開放的����,就會有竊聽、引起隱私問題的風(fēng)險以及由于密碼分析而將K最終暴露的風(fēng)險?��,F(xiàn)有技術(shù)還包括由于會話密鑰的開放信道傳送引起的問題�����。在內(nèi)部得出(在得出過程中使用Ks或者Ks_NAF)的會話密鑰從nCC傳送給終端�����,以供終端隨后在會話加密或者解密使用�����,而且該過程在不安全的信道上執(zhí)行�。因此,竊聽代理可以截取會話密要����,并且對在終端和網(wǎng)絡(luò)之間交換的消息進(jìn)行加密或者解密。在該事件中�����,很多隨后需要在終端和NAF密鑰中心之間建立HTTPS隧道以供后者得出并傳送(從NAF密鑰中心)本地密鑰(Ks_local)的過程�,例如用戶證書建立,將會有被破壞的風(fēng)險����。由于本地密鑰本身是在HTTPS隧道上傳輸?shù)模虼藭捗荑€被破壞將引起本地密鑰被破壞�。隨后����,如果本地密鑰在重置或者電話啟動后保持不變,當(dāng)本地密鑰在ncc和終端之間的加密信息傳輸中使用�����,所有這些通信都會有風(fēng)險。本地密鑰建立中的問題TS33. 110-720中的建立Ks_local的過程具有以下問題
I)由多個OTA連接導(dǎo)致低效率一終端必須穿過空中GBA_U進(jìn)程來建立Ks密鑰�。為了嘗試建立得出自Ks的Ks_local,其中Ks本身基于WCC和HSS之間共享的用戶密鑰(K) Ks_local����,TS33. 110提出,UICC和終端之間的Ks_local的密鑰建立過程再次遵循無線協(xié)議�����,以及每一個指定應(yīng)用的NAF都被用于該信道���。由于標(biāo)準(zhǔn)允許多個不同的本地密鑰以這種方式生成�,其中每一個都特定的用于不同NAF��,因此如果想要建立多個這種密鑰�,必須經(jīng)過很多OTA過程。2)信息隱私問題-很多參數(shù)的值是在和終端之間的開放信道上傳輸?shù)?�,例?NAF_ID��、終端 ID��、Terminal_appli_ID�����、UICC_appli_ID、RANDx 和計數(shù)器極值��。這些參數(shù)中的部分如果被暴露將會導(dǎo)致隱私風(fēng)險��。3)在NAF密鑰中心和終端之間的HTTPS隧道中 -在3GPP TS33. 110V7. 2. O中(見圖5�,步驟S4和S5),隧道應(yīng)使用基于證書的相互認(rèn)證來創(chuàng)建�,并應(yīng)當(dāng)用于從NAF密鑰中心至終端的密鑰材料和Ks_local的傳輸。用戶證書可頒發(fā)給終端或者在nCC中運行的應(yīng)用�����。用于建立用戶證書的私鑰和公鑰可存在于ncc中或者在終端上��。在多種這類情況下��,由于需要在ncc和終端之間的不安全信道上傳送這些敏感信息����,如私鑰或者公鑰或者用戶證書或者Ks_ext_NAF密鑰����,因此存在有安全性弱點�。一些方案和與這些方案相關(guān)的弱點在下文中描述圖7-9示出了三(3)種不同的用戶證書建立進(jìn)程的方案��。在方案Al中�����,如圖7所示���,私鑰/公鑰對位于終端����。通過HTTP會話同PKI(=NAF)建立用戶證書����。假定GBA/GBA_U過程已經(jīng)發(fā)生,Ks_NAF/Ks_ext_NAF密鑰出現(xiàn)在UICC上��。在方案Al的當(dāng)前方案中存在缺陷���。最值得注意的�����,在步驟S5�,終端不得不在開放信道上向ncc發(fā)送用于驗證的公鑰。另外���,在步驟sii�����,ncc在開放信道上向終端發(fā)送用戶證書(用于HTTPS會話)���。在方案A2中,如圖8所示����,私鑰/公鑰對位于終端。終端通過HTTP會話同PKI (=NAF)建立用戶證書�。假定GBA/GBA_U過程已經(jīng)發(fā)生,Ks_NAF/Ks_ext_NAF密鑰如步驟SI所示出現(xiàn)在nCC上�。在方案A2的當(dāng)前方案中存在缺陷。最值得注意的����,在步驟SI,nCC在開放信道上向終端發(fā)送Ks_ext_NAF (其中終端需要在用戶證書會話中驗證HTTP摘要)�。在方案A3中,如圖9所示���,私鑰/公鑰對位于終端���。終端通過HTTP會話歷經(jīng)步驟Sl-Sll同PKI(= NAF)建立用戶證書。假定GBA/GBA_U過程已經(jīng)發(fā)生�����,Ks_NAF/Ks_ext_NAF密鑰如步驟SI所示出現(xiàn)在nCC上����。在步驟SI,終端在由會話密鑰Kss保證安全在OTA信道上用PKI (= NAF)接收Ks_ext_NAF����。應(yīng)當(dāng)注意,這樣假定標(biāo)準(zhǔn)中存在變化���,即Ks_ext_NAF從PKI (NAF)發(fā)送至終端��。然而��,在方案A3的當(dāng)前方案中存在缺陷�����。當(dāng)前����,終端使用任何會話密鑰,從而如步驟so所示�����,Ks不得不在當(dāng)前電話架構(gòu)下由ncc在開放信道上發(fā)送至終端���。這就意味著竊聽者可以截取會話密鑰�����,且解密任何消息(包括用戶證書進(jìn)程消息)�����。這種缺陷(會話密鑰的清楚傳輸)是普遍問題�,甚至能夠影響第一 AKA進(jìn)程��。如圖10-11中示出本地密鑰建立進(jìn)程的兩種(2)不同的方案�。在方案BI中,如圖10中所示,私鑰/公鑰對位于終端����。在步驟S4,終端使用進(jìn)程A中建立的用戶證書來建立HTTPS隧道(TS33. 110)�����。在方案A3的當(dāng)前方案中存在缺陷���。最值得注意的,在步驟sio�����,終端在開放信道上發(fā)送用于證書的公鑰給ncc����。而且,在步驟S12�����,UICC在開放信道上發(fā)送用戶證書(用于HTTPS會話)給終端�。
在方案B2中,如圖11所示,私鑰/公鑰對位于Π(Χ���。在步驟S5��,終端使用進(jìn)程A中建立的用戶證書來建立HTTPS隧道(TS33. 110)����。但是���,在方案BI中有著與當(dāng)前方案相關(guān)的缺點��。最值得注意的����,在ncc和終端之間沒有安全信道�。而且,攻擊者可截取用戶證書和密鑰(由于密鑰在開放信道上由Π(Χ發(fā)送給終端����,如步驟S4所示),這引起HTTPS隧道泄密����。另外���,Ks_local被透露給攻擊者,見步驟S13�。
發(fā)明內(nèi)容
本發(fā)明公開了一種由無線發(fā)射/接收單元使用的用于建立安全本地密鑰的方法,該WTRU包括內(nèi)部密鑰中心(IKC)��,該方法包括確定有效密鑰是否存在于通用移動電信系統(tǒng)(UMTS)集成電路卡(Uicc)上����,以及在所述有效密鑰存在于所述ncc上的情況下經(jīng)由所述IKC與所述ncc之間的安全隧道從所述ncc中檢索引導(dǎo)事務(wù)標(biāo)識符(B-TID)和至少一個網(wǎng)絡(luò)應(yīng)用功能標(biāo)識符(NAF-1D)����,其中所述IKC是位于所述WTRU上的可信本地實體,且其中所述IKC與ncc之間的安全隧道是使用成功認(rèn)證的預(yù)共享密鑰集合建立的傳輸層安全性預(yù)共享密鑰(TLS-PSK)隧道���;向引導(dǎo)服務(wù)器功能(BSF)發(fā)送針對密鑰的應(yīng)用請求�����;接收 包括至少一個密鑰的應(yīng)用響應(yīng)�����;生成計數(shù)器限值并且從相關(guān)參數(shù)中得出用于所述至少一個網(wǎng)絡(luò)應(yīng)用功能(NAF)的本地密鑰��;向所述nCC發(fā)送用于密鑰建立的應(yīng)用請求����;接收用于指示成功驗證所述本地密鑰的本地偏差響應(yīng);以及在所述IKC中存儲所述本地密鑰和所有相關(guān)參數(shù)�。3G UMTS移動電話系統(tǒng)依賴于被稱為UMTS集成電路卡(UICC)的受保護(hù)的智能卡,該智能卡提供UMTS用戶身份模塊(USIM)應(yīng)用以作為用來保護(hù)3G移動終端和UMTS無線網(wǎng)絡(luò)(或者UTRAN)之間的通信路徑的各種安全性措施的基礎(chǔ)或者根本UICC與終端(ME)和引導(dǎo)服務(wù)器功能(BSF)交換信息���,其中多個特定用于應(yīng)用和網(wǎng)絡(luò)應(yīng)用功能(NAF) (Ks_local)的本地密鑰被用于得出用來加密WCC和終端(ME)之間的本地信道的密鑰����,其中所述本地密鑰本身由特定NAF密鑰(KS_int/ext_NAF)的多個實例得出��,消除在空中(OTA)過程從而為每個NAF得出密鑰����。在此提出的方法使得能夠得出本地密鑰,與“整體”(bulk)進(jìn)程中的多個NAF進(jìn)行安全性關(guān)聯(lián)����,以及減輕額外OTA連接的需要。在此提出的另一個概念是內(nèi)部密鑰中心(IKC)的使用��。IKC是無線發(fā)射/接收單元(WTRU )中的可信實體���,該可信實體具有與外部NAF功能中的一些相類似的功能���,直到獲得中間密鑰材料以及最終的KS_local����。為IKC提出了幾種可選的實施方式�����。在一種實施方式中�����,IKC用作終端���,IKC是可信的,且能復(fù)制NAF密鑰中心功能�,以及提供功能(如OTA通信性能)和Ks_local的生成所需的數(shù)據(jù)。在另一種實施方式中����,IKC用作可信實體,該可信實體位于ME中但與終端分離����,并且能夠用作NAF密鑰中心的代理���。還提出了基于可信計算的方法,一起來保護(hù)IKC的完整性和使用�,使得IKC能夠安全充當(dāng)諸如NAF這樣的外部網(wǎng)絡(luò)的代理或者替換。
從以下關(guān)于優(yōu)選實施方式的描述中可以更詳細(xì)地理解本發(fā)明���,這些實施方式是以實例的方式給出的����,并且可以結(jié)合附圖被理解�,其中
圖1示出了用于涉及BSS的引導(dǎo)的參考模型;圖2示出了描述使用基于的增強的GBA_U引導(dǎo)進(jìn)程的流程圖��;圖3示出了在GBA_U實施后進(jìn)行安全性關(guān)聯(lián)的進(jìn)程�;圖4示出了終端是主機(jī)設(shè)備的一部分的參考模型;圖5示出了和終端之間的密鑰的建立���;圖6示出了使用帶有HTTP摘要認(rèn)證的PKCS#10的證書請求���;圖7示出了方案Al中的用戶證書進(jìn)程;圖8示出了方案A2中的用戶證書進(jìn)程�; 圖9示出了方案A3中的用戶證書進(jìn)程����;圖10示出了方案BI中的本地密鑰建立進(jìn)程��;圖11示出了方案B2中的本地密鑰建立進(jìn)程�����;圖12a示出了安全無線通信系統(tǒng)的實例框圖��;圖12b示出了 UIICC和HLR/HSS共享Krai的情況�����;圖13示出了和IKC共享對稱機(jī)密密鑰Ksym 的實施方式��;圖14示出了由IKC執(zhí)行的用于正確Kih識別的進(jìn)程�����,以及隨后TLS-PSK隧道建立����;圖15示出了由BSF執(zhí)行的用于正確Kih識別的進(jìn)程�����,以及隨后TLS-PSK隧道建立;圖16示出了本公開中描述的WTRU和NAF之間的安全性關(guān)聯(lián)����;圖17示出了 HCC和終端之間的Ks_local建立進(jìn)程;圖18示出了 MTM保護(hù)IKC���、密鑰以及IKC處理的數(shù)據(jù)的完整性的方法�;圖19示出了 MTM連接在終端和IKC之間的系統(tǒng)�����。規(guī)范中使用的縮寫3GPP第三代合作伙伴計劃AK匿名密鑰�;計算為AK=f5K (RAND)AKA認(rèn)證和密鑰協(xié)議AUTN認(rèn)證令牌AV認(rèn)證向量B-TID引導(dǎo)事務(wù)標(biāo)識符BSF引導(dǎo)服務(wù)器功能CA證書授權(quán)CK密碼密鑰FQDN完全合格域名GAA通用認(rèn)證架構(gòu)GBA通用引導(dǎo)架構(gòu)GBA_ME基于 ME 的 GBAGBA_U帶有基于UICC增強的GBA⑶SSGBA用戶安全性設(shè)置HLR歸屬位置寄存器HSS歸屬用戶服務(wù)器HTTP超文本傳輸協(xié)議
ICCID集成電路卡標(biāo)識IK完整性密鑰IKC內(nèi)部密鑰中心IMPIIP多媒體私有身份KDF密鑰得出功能K用戶認(rèn)證密鑰(TS33. 105第5.1. 7.1節(jié))·
Ks_IKC_NAF 提出的密鑰,該密鑰在BSF計算�����,并將被用作用來在WCC和IKC之間為IKC和終端之間的安全本地信道得出本地密鑰的密鑰材料����,Ks_ext_NAF GBAJJ 中得出的密鑰Kih本發(fā)明中IKC和HLR/HSS之間的預(yù)先共享的密鑰Ksym uiUICC和IKC之間的預(yù)先共享的對稱密鑰Krai本發(fā)明中和HLR/HSS之間預(yù)先共享的密鑰Ks_IKC_NAF在UICC和BSF得出,將被用于NAF特定Ks_local的得出Ks_int_NAF保留在WCC上的GBA_U中得出的密鑰Ks_local 得出密鑰��,該密鑰在終端和WCC之間共享MAC消息認(rèn)證碼MACnaf本發(fā)明中 NAF 生成的 MAC (在 Part2 )MACikc本發(fā)明中 IKC 生成的 MAC (在 Part3 )MACuicc本發(fā)明中 UICC 生成的 MAC (在 Part3)MACuicc sa本發(fā)明中 NAF 生成的 MAC (在 Part2 )MNO移動網(wǎng)絡(luò)運營商MTM移動可信模塊NAF網(wǎng)絡(luò)應(yīng)用功能NAI網(wǎng)絡(luò)接入標(biāo)識符OTA空中PKI公鑰架構(gòu)RAND隨機(jī)挑戰(zhàn)RANDxIKC生成的用于Ks_local得出的隨機(jī)挑戰(zhàn)RANDyIKC生成的用于Ks_IKC_NAF得出的隨機(jī)挑戰(zhàn)RES用戶響應(yīng)SLF用戶位置功能SQN序列號TibIKC和BSF之間的TLS類型隧道TuiIKC和IKC之間的TLS類型隧道TCG可信計算組TLS傳輸層安全性TMPI臨時IP多媒體私有身份USS用戶安全性設(shè)置UE用戶設(shè)備
USIM用戶服務(wù)身份模塊XMAC用于認(rèn)證和密鑰協(xié)議的期望MACXRES期望的用戶響應(yīng)
具體實施例方式下文涉及的術(shù)語“無線發(fā)射/接收單元(WTRU)”包括,但并不限于用戶設(shè)備(UE)����、移動站、固定或移動用戶單元�、尋呼機(jī)、無線電話�、個人數(shù)字助理(PDA)、計算機(jī)或者能在無線環(huán)境下操作的任何其它類型的用戶設(shè)備�����。下文涉及的術(shù)語“基站”包括但并不限于節(jié)點B����、站點控制器、接入點(AP)或者能在無線環(huán)境下操作的任何其它類型的接口設(shè)備��。在下面的詳細(xì)描述中���,術(shù)語ME是與終端同義的,并且這些術(shù)語是可交換的�����。UE是用來共同識別nCC和終端(或者M(jìn)E)的合并?�?尚乓苿与娫捙c終端同義���,但是在TGC中可信��,電話與終端同義��。遠(yuǎn)程裝置識別UE���,其中nCC和用于nCC的讀卡器沒有處在包含UE的相同的物理封裝中, 但是通過遠(yuǎn)程連接與UE連接�����,例如USB電纜�、無線連接及類似。描述了一種新的方法來解決現(xiàn)有技術(shù)中的問題���,并且增強現(xiàn)有進(jìn)程的安全性和效率���,例如GBA_U、安全性關(guān)聯(lián)和特定用于NAF的本地密鑰Ks_local的建立。該方法是基于以下假定或者需求的����。假定如下1.內(nèi)部密鑰中心(IKC),作為WTRU中的實體被提供���,具有與外部NAF密鑰中心相似的功能���。a.在以下考慮的實施方式中,IKC還用于ME的通信功能(到網(wǎng)絡(luò)和HCC)���。在這點上�,IKC可被當(dāng)作具有外部NAF密鑰中心的其它功能的終端���。b.1KC的假定功能的詳情是如下描述的���。2.1KC和HLR/HSS可能在建造或者銷售時就具有規(guī)定的預(yù)先共享機(jī)密KIH。a.引導(dǎo)服務(wù)功能(BSF)假定能安全地從HLR/HSS檢索KIH���。b. Kih用來建立IKC和BSF之間的傳輸層安全性預(yù)先共享密鑰(TLS-PSK)隧道���,在此后稱之為隧道TIB���。3-A. UICC和HLR/HSS共享密鑰Krai���,不同于HCC和HLR/HSS已經(jīng)在它們之間為現(xiàn)有的GBA_U進(jìn)程共享的用戶機(jī)密K��。a. BSF假定能夠安全地從HLR/HSS檢索KUH��。b. BSF還假定能夠?qū)⒃撁荑€Krai安全地�、加密的并使用TLS-PSK隧道Tib轉(zhuǎn)發(fā)到IKC��。c. 一旦將Kuh從BSF傳送到IKC��,那么Krai可被用來建立HCC和IKC之間的TLS-PSK隧道���,在下文中�����,稱之為隧道Tm���。隧道Tui具有短暫的安全性壽命,從而僅可用于有限時間����。3-B.作為3A的可替換方案���,UICC和HLR/HSS共享密鑰KraiWICC和IKC假定被預(yù)先規(guī)定為帶有預(yù)先共享的對稱密鑰Ksym ,這種規(guī)定是在制造或者銷售時提供�。4-Α. 可使用共享密鑰Kuh加密和解密消息。4-B.采用3B假定����,WCC可使用共享對稱密鑰Ksym 加密和解密消息。5-A.1KC可使用共享密鑰Kuh加密和解密消息����。5-B.采用3B假定,IKC可使用預(yù)先共享對稱密鑰Ksym 加密和解密消息����。
6. UICC和BSF均可得出一個或多個密鑰Ks_IKC_NAF,每一個特定用于每一個NAF���,且用于生成NAF特定密鑰Ks_local�����。7.1KC和BSF均可以交換密鑰材料用于每一個OTA應(yīng)用響應(yīng)交換中的多個NAF����。8.在接收到IKC的標(biāo)識信息(下文稱為ICK_ID)后,BSF可識別已經(jīng)歷史上認(rèn)證過的或者期望來認(rèn)證的UICC_ID��,并且使用這些可能的多個UICC_ID來識別對應(yīng)于認(rèn)證過的或者期望來認(rèn)證的UICC_ID的多個可能準(zhǔn)確的密鑰{KUH}���。BSF還可以將集合{KUH}中的一個、多個或者所有的都同時或者順序發(fā)送給IKC�����,并且允許IKC來測試這些密鑰中的哪一個可以與主ncc —起使用�。9.移動可信模塊(MTM)滿足TGG移動可信模塊規(guī)范v0.1和與它相關(guān)的位于WTRU 中的軟件堆棧;UE是滿足TGG可信移動電話參考架構(gòu)規(guī)范的規(guī)定的可信的移動電話�。MTM是用于創(chuàng)建、檢驗和驗證IKC和nCC的狀態(tài)��,并且還用于安全存儲IKC處理用以GBA_U�����、安全性關(guān)聯(lián)和安全本地密鑰建立進(jìn)程的密鑰和數(shù)據(jù)��。內(nèi)部密鑰中心(IKC)在一種實施方式中�����,IKC是終端的一部分,能夠使用3G空中接口���,并最終實現(xiàn)與BSF在空中通信�����。在一種可替換的實施方式中��,IKC是獨立于終端的實體��。IKC是可信組件�����,其完整性和可信度可被WTRU中的MTM驗證���。MTM在一種實施方式中是終端(或者WTRU)的一部分。在具有MTM和IKC作為終端(或者WTRU)—部分的實施方式中�,無線連接可由有線連接替代。IKC具有加密能力來建立IKC自身和nCC之間的TLS類型隧道�����,以及與BSF之間的TLS類型隧道。隧道用來保護(hù)在GBA_U過程和安全性關(guān)聯(lián)��,還有在nCC和終端之間的安全信道建立過程中交換的信息的完整性和機(jī)密性����。IKC能夠與BSF建立TLS-PSK隧道。BSF假定能夠與IKC支持這種隧道�。在我們提出的版本中第一部分和第二部分中,IKC執(zhí)行終端需要來執(zhí)行現(xiàn)有技術(shù)的GBA_U和安全性關(guān)聯(lián)過程的功能��,以及需要用來創(chuàng)建和使用兩個TLS隧道的功能��,一個隧道在IKC和nCC之間����,另一個在IKC和BSF之間����。在我們的技術(shù)的第三部分,IKC執(zhí)行的功能類似于外部NAF密鑰中心執(zhí)行的功能�。這些功能包括1)生成計數(shù)器限值;2)生成一對或者多對隨機(jī)數(shù)RANDx和RANDy�����,每一個特定用于NAF,且用來得出NAF特定的Ks_local ;3)使用KDF得出Ks_local ;以及4)在IKC是獨立于終端的實體的情況下��,將Ks_local轉(zhuǎn)發(fā)給終端�����。圖12a示出了根據(jù)上述假定配置的安全無線通信系統(tǒng)的示例性框圖���。無線通信系統(tǒng)包括WTRU1200����。WTRU1200包括終端1210�����、調(diào)制解調(diào)器1220和無線電(RF)單元1230�。終端1210包括移動可信模塊(MTM) 1240和內(nèi)部密鑰中心(IKC) 1250。IKC單元1250被配置為與外部Π(Χ1260進(jìn)行通信���。RF單元1230被配置為與引導(dǎo)服務(wù)器功能(BSF)1270在空中接口 1275上通信��。BSF1270與HLR/HSS1280通信�����,并且可選地��,與其他網(wǎng)絡(luò)應(yīng)用功能(NAF)(未示出)通信�����。使用IKC過程的改進(jìn)的密鑰得出和安全性關(guān)聯(lián)(SA)被劃分為三部分�,如下所述過程第一部分(部分-1)使用與圖12所示的第一種實施方式一致的改進(jìn)的GBA_U進(jìn)程。在現(xiàn)有方法上的一個改進(jìn)是現(xiàn)在該進(jìn)程在新提出的在WTRU中的實體IKC1250的控制下在兩個TLS類型信道上執(zhí)行���。參見圖12�����,在步驟S1,IKC1250發(fā)送建立IKC1250和BSF1270之間的TLS-PSK隧道的請求�。請求消息包括IKC1250_ID作為有效載荷。接下來���,在步驟S2�,BSF1270從HSS/HLR檢索預(yù)先共享密鑰(1(111和1(111)�。1(111用來建立110250和85 1270之間的TLS-PSK隧道,而Kuh是用來建立UICC1260和IKC1250之間的隧道��。IKC1250和BSF1270之間的TLS-PSK隧道(Tib)在步驟S3建立,采用基于預(yù)先共享的機(jī)密(Kih)的相互認(rèn)證�。在步驟S4,BSF1270在隧道Tib上發(fā)送Kuh給IKC1250�。在步驟S5,UICC1260和IKC1250使用基于預(yù)先共享的密鑰(Kuh)的相互認(rèn)證來建立TLS-PSK隧道(Tui)15發(fā)生GBA_U����,導(dǎo)致在Π(Χ1260和BSF1270都建立Ks。最后�,在GBA_U過程結(jié)束時在BSF1270 (參見S7a)和UICC1260 (參見S7b)上建立Ks=CKl I IK。NAF_ID還在UICC1260上按如下構(gòu)造NAF_Id=NAF| Ua安全性協(xié)議標(biāo)識符的FQDN�����。在該過程中��,UICC1260假定與HLR/HSS1280共享密鑰KUH��。作為替換方案,圖13描述了被修改的GBA_U的步驟,其中Π(Χ1260與IKC1250直接共享預(yù)先規(guī)定的對稱密鑰Ksym ui (參見S4)����。僅僅對那些不同于圖12的步驟進(jìn)行描述���。在步驟S2��,僅將共享密鑰Kih提供給BSF1270�。圖13的步驟S4使用Ksym m建立了 TLS-PSK隧道���。圖13的步驟S5與圖12的步驟S6相同����。圖13中步驟S6a和步驟S6b與圖17中的步驟S7a和步驟S7b相同�����。圖13這種可替換的進(jìn)程具有缺點���,UICC1260和IKC1250直接共享預(yù)先規(guī)定的密鑰Ksym m的需求可以導(dǎo)致在特定的Π(Χ1260和特定的IKC1250之間創(chuàng)建不必要的強烈“綁定”�����,從而Π(Χ1260的上述可在不同類型的裝置中裝載的攜帶性變得更 難實施或者管理。如圖12所示的過程��,BSF1270被配置為收集對應(yīng)于Π(Χ1260的多個密鑰{KUH}(如果需要的話)��,其中HLR/HSS1280可能已經(jīng)通過連接到或者期望連接到給定的IKC1250對所述nCC有所了解。BSF1270能夠發(fā)送多個密鑰�,且IKC1250隨后可以同HCC1260執(zhí)行挑戰(zhàn)響應(yīng)類型密鑰驗證過程,直到識別出正確的密鑰KUH�。該過程的一種實施方式如圖14中所描述。將僅描述不同于圖13的步驟��,在步驟S2����,向BSF1270提供了 Kih和多個密鑰{KUH}。IKC1250 請求(步驟 S5)并且然后從 UICC1260 接收(步驟 S6)nonce Il hash (KuH0nonce)o計算每一個Kuh (步驟S7)以找到正確的Krai來與Π(Χ1260建立TLS-PSK隧道Tm����。如圖14所描述的進(jìn)程的可替換方案,我們提出了密鑰驗證技術(shù)��,其中IKC1250沒有從BSF1270接收到所有的可能密鑰KUH����。而是,IKC1250從Π(Χ1260接收到證據(jù)密鑰Kuh(參見圖15�����,步驟S4和S5)��,并且將其傳遞給BSF1270 (步驟S6),BSF1270然后執(zhí)行該過程來識別可能的密鑰集合IKmJ中的正確密鑰�,如圖15的步驟S6所示。正確的Krai傳遞給IKC1250 (步驟S7)以用于同HCC1260建立TLS-PSK隧道��。該方法相比在圖14中描述的方法具有很多優(yōu)點���,BSF1270不會冒多個候選密鑰OTA公開的風(fēng)險����。在圖12b中描述的TLS-PSK隧道建立進(jìn)程中�,IKC1250_ID的初始信息從IKC1250傳送到BSF1270當(dāng)前只在物理層保護(hù)上執(zhí)行(即被UIA和UEA會話密鑰保護(hù))。如果�����,如之前所描述的���,這種會話密鑰易受到竊聽�,那么IKC1250-1D也會變得易受到竊聽��,導(dǎo)致隱私的公開�����??稍趫D14中采用可選的步驟來保護(hù)IKC1250的身份,其中IKC1250和BSF1270使用基于公鑰的IKC1250_ID的加密和解密���,還使用TLS-PSK隧道建立進(jìn)程中交換的其他信息�����。以證書為基礎(chǔ)的方法容易出現(xiàn)安全性風(fēng)險且難以解決�,為了代替這種方法��,有人提出����,IKC1250和BSF1270可以使用迪菲-海爾曼(DH)密鑰交換過程來建立各自的公鑰。實際上��,IKC1250可獲得數(shù)量為相當(dāng)大的數(shù)目η的很多個不同的公鑰��,并且從中選擇一個�����,其中這些密鑰從網(wǎng)絡(luò)上廣播��。DH密鑰交換協(xié)議可用于該目的。通信者將該協(xié)議在公鑰集合中應(yīng)用來計算公共索引�,諸如a。為了完成這個過程�����,首先����,網(wǎng)絡(luò)和IKC1250就公知的兩個值達(dá)成一致非常大的質(zhì)數(shù)P以及域Fp的乘法群^/^的生成元g。然后網(wǎng)絡(luò)選擇隨機(jī)數(shù)RANDi,計算gMA�����;Di Eg勵1 modp ,并且發(fā)送§&%給IKC1250(I ( RANDi ( p-2)����。IKC1250 然后計算隨機(jī)數(shù) FRESH,計算 gFKESH ^ gFEESHmodp,并且發(fā)送gFKESH給網(wǎng)絡(luò)(I < FRESHS p-2)���。然后�����,網(wǎng)絡(luò)計算々 = modp�����。最后�����,IKC1250計算
“0盧����。很簡單地示出了 k三k’modp����。已經(jīng)計算了 k (O < k < p)的IKC1250和網(wǎng)絡(luò)通過簡單地對k模η的方式來減小k從而可以計算共鑰的機(jī)密索引a。即�,a = kmodn。使用所述公鑰ka����,所述共鑰對應(yīng)于索引a的,IKC1250加密包括IKC1250_ID的消息����,并且網(wǎng)絡(luò)使用對應(yīng)ka的密鑰來解密消息。
IKC1250_ID的機(jī)密性被獲取�����,這是因為網(wǎng)絡(luò)是RANDi的單獨處理器,并且IKC1250是FRESH的單獨處理器����,僅這兩個信息參入者能計算k。攻擊者沒有這兩個被離散算法問題的計算不可行性所保護(hù)的隨機(jī)值�。消息機(jī)制與公鑰集合的分發(fā)相關(guān)?����?奢p易成為小區(qū)廣播消息結(jié)構(gòu)的一部分��。但是��,還需要其它消息機(jī)制來用于從網(wǎng)絡(luò)至IKC1250的^^傳輸���,以及從IKC1250至網(wǎng)絡(luò)的值gFKESH的傳輸�����。這些機(jī)制優(yōu)選地包括用于上述定義的公共值P和g的網(wǎng)絡(luò)/IKC1250協(xié)議進(jìn)程���。關(guān)于傳送多個密鑰的網(wǎng)絡(luò)�����,所述密鑰為向IKC1250指定的Kuh��,可使用反復(fù)相互(挑戰(zhàn)響應(yīng))認(rèn)證進(jìn)程���,對每一個密鑰使用一個�,直到獲得成功的Kra。如果對所有的密鑰認(rèn)證均失敗����,則Π(Χ1260被拒絕。上述描述的公鑰的DH交換還可以作為TLS-PSK隧道建立進(jìn)程的一部分來執(zhí)行���。在這種情況下�����,IKC1250_ID將被包括在TLS-PSK握手進(jìn)程中從IKC1250至BSF1270的初始交換消息中�。應(yīng)當(dāng)注意用于TLS-PSK擴(kuò)展的RFC4279允許四個不同的加密組用于DH TLS-PSK進(jìn)程��,這是1. TLS_DHE_PSK_WITH_RC4_128_SHA2. TLS_DHE_PSK_WITH_3DES_EDE_CBC_SHA3. TLS_DHE_PSK_WITH_AES_128_CBC_SHA4. TLS_DHE_PSK_WITH_AES_256_CBC_SHA由于現(xiàn)有的RC4算法的加密強度問題,只有分別帶有3DES����、AES128或者AES256的后3個加密組可以使用。部分-2 =NAF和UE之間的安全性關(guān)聯(lián)第二部分是安全性關(guān)聯(lián)進(jìn)程���,由于使用了兩個(2)11^- 51(隧道來確保瓜01260和IKC1250之間以及IKC1250和BSF1270之間信息交換的安全���,因此該進(jìn)程優(yōu)于現(xiàn)有技術(shù)中具有相同名稱的進(jìn)程。其他的改進(jìn)是在IKC1250和BSF1270的幫助下�,UICC1260可與整體密鑰建立機(jī)制中的多個NAF建立密鑰。參見圖16���,示出了第二部分的詳細(xì)步驟�����。在步驟S1�����,IKC1250校驗在HCC1260上是否存在通用且有效的Ks�����,如果是�,則IKC1250在已經(jīng)建立的隧道(Tui)上從Π(Χ1260檢索B-TID和NAF_ID (或者其他NAF的身份,利用該身份Π(Χ1260希望來建立安全性關(guān)聯(lián))��。UICC1260還在步驟SI中得出Ks_int/ext_NAF密鑰���。如果Ks不存在或者無效����,GBA_U初始化用以建立Ks�。在步驟S2�,IKC1250在隧道Tib上將NAF_IDs和B-TID轉(zhuǎn)發(fā)給BSF1270。在步驟S3�,BSF1270將認(rèn)證請求發(fā)送給期望的NAF (出于簡單,在圖16中僅示出了一個NAF)��。在步驟S4����,BSF1270從NAF接收認(rèn)證響應(yīng)。如果NAF被認(rèn)證��,則在步驟S5�,BSF1270得出NAF特定密鑰(Ks_int/ext_NAF)。在步驟S6,BSF1270將Ks_int/ext_NAF密鑰與引導(dǎo)時間和密鑰壽命一起轉(zhuǎn)發(fā)給所有的NAF��。在步驟S7�,每一個NAF發(fā)送給BSF1270用于指示接收到Ks_int/ext_NAF、密鑰壽命和引導(dǎo)時間的應(yīng)答消息����。在步驟S8,BSF1270將這些消息聚集���,并且將整體安全性相關(guān)消息在TLS-PSK隧道Tib上發(fā)送給IKC1250�,該消息包含多個MACnaf,每個MACnaf對應(yīng)于特定的NAF���,其中已經(jīng)在步驟S5-S7中建立了用于所述NAF的Ks_int/ext_NAF����。對于每一個 MACnaf 消息����,MACnaf=HMAC-SHA-256 (Ks_ext_NAF Ks_int_NAF II NAF_ID Il⑶SS)對每一個NAF都被截取為16個八比特組。在步驟S9�����,IKC1250在TLS-PSK信道Tui上將在步驟S8中從BSF1270接收到的該整體安全性關(guān)聯(lián)消息轉(zhuǎn)發(fā)給Π(Χ1260。在步驟SlO, UICC1260為每一個NAF計算特定用于該NAF的MAC· SA�,從而MAC· SA=被截取為16個八比特組的 HMAC-SHA-256 (Ks_ext_NAF Il Ks_int_NAF II NAF_ID II ⑶SS)。在步驟 S11�����,整體安全性關(guān)聯(lián)響應(yīng)消息由Π(Χ1260創(chuàng)建����,其中包括了 Π(Χ1260和所有NAF之間的安全性
關(guān)聯(lián)的成功和/或失敗。對于任何一個NAF���,當(dāng)MACiik與其對應(yīng)的MACurc��。―SA不匹配時���,會探測到失敗��。該失敗是由字符串指示的����,例如,“security association failure” | |NAF_ID�����。當(dāng)MACllffi與其對應(yīng)的MAC· SA匹配時,則會探測到成功�����。該成功響應(yīng)包含使用密鑰Ks_int/ext_NAF和截取為16八比特組的MAC算法HMAC-SHA-256的ASCI1-編碼的字符串“SecurityAssociation Successful”的消息認(rèn)證碼(MAC)���。在步驟Sll,整體安全性關(guān)聯(lián)響應(yīng)消息在Tui和Tib隧道上經(jīng)由IKC1250發(fā)送給BSF1270��。在步驟S12�����,BSF1270向每一個NAF發(fā)送特定用于該NAF的安全性關(guān)聯(lián)嘗試的失敗或者成功狀態(tài)�����。在步驟S13��,所有接收到成功狀態(tài)的NAF存儲密鑰(Ks_int/ext_NAF)��、引導(dǎo)時間和相關(guān)的密鑰壽命����。部分-3 :終端和UICC1260之間的密鑰建立(Ks_local)第三部分是和終端之間的本地密鑰建立的進(jìn)程。與現(xiàn)有技術(shù)相比該部分的優(yōu)點是兩個TLS-PSK隧道的使用保證了 Π(Χ1260和IKC1250之間以及IKC1250和BSF1270之間的信息交換的安全����。第二,UICC1260和終端���,在IKC1250和BSF1270的幫助下�,建立多個本地密鑰�����,每一個特定用于不同的NAF����,而不需終端像現(xiàn)有技術(shù)中所需要的那樣與不同的外部NAF密鑰中心建立多個OTA連接。圖17示出了第三部分的詳細(xì)步驟�����,在步驟SI�����,IKC1250檢查在HCC1260上是否存在通用且有效的Ks���。如果存在的話��,則IKC1250從Π(Χ1260檢索B-TID和一個或多個NAF_ID��。當(dāng)沒有通用的或者有效的Ks時�,則初始化新的GBA_U進(jìn)程來建立Ks��,在其后���,IKC1250從UICC1260檢索B-TID和一個或多個NAF_ID�。需要用于上述過程的在UICC1260和IKC1250之間的所有的信息交換都在TLS-PSK隧道Tui上提供����。在步驟S2,IKC1250向BSF1270發(fā)送對一個或多個密鑰Ks_IKC1250_NAF的應(yīng)用請求���,每一個對應(yīng)于被請求的NAF的NAF_ID�����。IKC1250還將B-TID�����,以及一個或多個NAF_ID與對應(yīng)的RANDy現(xiàn)時一起在TLS-PSK隧道Tib上發(fā)送����。BSF1270計算一個或多個IKC1250密鑰Ks_IKC1250_NAF,每一個特定用于每一個被請求的NAF���,其中Ks_IKC1250_NAF=KDF (Ks_int_NAF����,RNDy)���。然后��,在步驟S3���,BSF1270向IKC1250發(fā)送包含所有Ks_IKC1250_NAF密鑰的和其各自(NAF-特定)密鑰壽命的應(yīng)用響應(yīng)。在步驟S4��,IKC1250生成計數(shù)器限值值(每一個專用于被請求的NAF中的一個相關(guān)的NAF)��,并且得出一個或多個本地密鑰Ks_local��,其中Ks_local=KDF (Ks_IKC1250_NAF, B-TID, Terminal_ID, ICCID, Terminal_appli_ID, UICC_appli_ID, RANDx,計數(shù)器限值)���。應(yīng)當(dāng)注意到��,在本地密鑰是平臺特定密鑰的情況下�,UICC_appli_ID和Terminal_appli_ID八比特組字符串設(shè)置為等于靜態(tài)的ASCII編碼的字符串“platform”�����。在步驟S5���,IKC1250在隧道Tui上發(fā)送應(yīng)用請求消息給UICC1260�����,請求HCC1260來創(chuàng)建專用于 NAF_ID 的 Ks_local�。該請求的有效載荷包括 NAF_ID��、Terminal_ID���、Terminal_appli_ID�、UICC_appli_ID�、RANDx、RANDy、以及計數(shù)器限值值�����。該終端還包括MACllffi,該MACikc計算為 MACikc=被截取為 16 個八比特組的 HMAC-SHA-256 (Ks_local, NAF_ID II Terminal,ID Il ICCID Term_appli_ID UICC_appli_ID Il RANDx Il RANDy Il 計數(shù)器限值)�����。應(yīng)當(dāng)注意�����,在這是平臺特定密鑰的情況下����,UICC_appli_ID和Terminal_appli_ID八比特組字符串被設(shè)置為與靜態(tài)ASCI1-碼字符串“platform”相等。HCC1260檢索與接收到的NAF_ID相關(guān)的 B-TID 和 Ks_int_NAF�����,首先根據(jù) Ks_IKC1250_NAF=KDF (Ks_int_NAF, RANDy)得出 Ks_IKC1250_NAF���,然后得出 Ks_local����,其中 Ks_local=KDF (Ks_IKC1250_NAF, B-TID, Terminal,ID, ICCID, Terminal_appli_ID, UICC_appli_ID, RANDx,計數(shù)器限值)。在步驟 S6��,UICC1260通過計算 MACuicc=截取為 16 八比特組的 HMAC-SHA-256 (Ks_local, NAF_ID | Terminal— ID Il ICCID Il Term_appl1-1D UICC_appli_ID RANDx Il RANDy | 計數(shù)器限值)�����,并將其與MACikc比較���,來驗證從終端接收到的MACira25tl值。如果MAC·不等于MACIK�����。�,UICC1260終止密鑰協(xié)議進(jìn)程,并且返回MAC驗證失敗消息���,以響應(yīng)Ks_local得出請求����。如果MACuicc=MACikc,則 UICC1260 存儲 Ks_local 和與其相關(guān)的參數(shù)(Terminal_ID, Terminal_appli_ID, UICC_appli_ID_and the Ks_local計數(shù)器限值)���。在步驟S7����,UICC1260使用密鑰Ks local和被截取為16個八比特組的MAC算法HMAC-SHA-256來發(fā)送包含ASCII碼的字符串“verificationsuccessful ”的MAC的Ks_local得出響應(yīng)。在步驟S8��,IKC1250存儲Ks_local和密鑰壽命��。對于每一個NAF重復(fù)步驟S4至S8����,其中為所述每一個NAF都請求了本地密鑰Ks_local。在上面描述的方法中�����,在可替換的實施方式中��,預(yù)先共享的密鑰Kuh和Kih不是直接使用的�����,而是用作預(yù)先共享的機(jī)密�����,實際共享的密鑰是從這些預(yù)先共享的機(jī)密得出出來的��。得出的共享密鑰可以更新,即它們可以變?yōu)闀捗荑€����。在這種方式下,即使從Kuh或者Kih得出的會話密鑰被泄露�,機(jī)密本身仍然可以受到保護(hù)。參見上面描述的TLS-PSK隧道���,使用預(yù)先共享的機(jī)密的認(rèn)證加密的其他方法可作為替換方案。一個可替換的實施方式在遠(yuǎn)程認(rèn)證撥入用戶服務(wù)(RADIUS)上合并可擴(kuò)展認(rèn)證協(xié)議(EAP)的使用�����。這種可替換的方法可應(yīng)用于以下進(jìn)一步描述的新提出的協(xié)議中的所
有三部分�。另外,在上面描述的過程中��,TLS無需隧道技術(shù)即可使用����,即TLS僅用于加密和認(rèn)證,而不用于授權(quán)����。普適于上面描述的方法的要求如下�,預(yù)先共享的密鑰或者從預(yù)先共享的密鑰得出的會話密鑰用來保護(hù)GBA_U��、安全性關(guān)聯(lián)�,以及本地密鑰生成進(jìn)程僅用于本地密鑰Ks_local第一次生成的情況。如果在本文提出的機(jī)制的保護(hù)下生成本地密鑰Ks_local����,并確保其存在于UICC1260和終端上(甚至在關(guān)閉電話或者移除nCC之后),且如果在NAF密鑰中心維持Ks_local (用于管理目的)�����,則當(dāng)以后三個進(jìn)程即GBA_U�����、安全性關(guān)聯(lián)或者本地密鑰得出進(jìn)程中的任何一者再次發(fā)生時�,不需要在以后對提出的過程進(jìn)行重復(fù)。這是因為在這種情況下�,已經(jīng)生成的且安全存儲的本地密鑰Ks_local可替代在本公開中提出的預(yù)先共享的密鑰來使用,以保護(hù)在原始����、未修改的進(jìn)程(GBA_U、安全性關(guān)聯(lián)和本地密鑰得出)實例(inst)中的����,以及NAF密鑰中心的信息流的完整性和機(jī)密性����。上述提出的新的方法經(jīng)過稍稍的修改還可應(yīng)用于�����,使Π(Χ1260主機(jī)設(shè)備和遠(yuǎn)程設(shè)備之間的信道安全的現(xiàn)存協(xié)議�。使用MTM來保證IKC1250的安全為了執(zhí)行提出的有關(guān)增強型GBA_U、安全性關(guān)聯(lián)以及用于Π(Χ1260和終端之間的安全信道的本地密鑰的建立的方法��,移動可信模塊(MTM)可在移動電話(UE)上使用�,以保護(hù)內(nèi)部密鑰中心(IKC1250)和其處理和操作的數(shù)據(jù)的完整性��,�。圖18描述了 MTM1240怎樣用于節(jié)4. 3中描述的被修改的GBA_U進(jìn)程(部分-1)。MTMl240首先用來在IKC1250繼續(xù)進(jìn)行GBA_U進(jìn)程之前驗證IKC1250的完整性����。MTM1240 還用來在其自身內(nèi)(在安全的非易失性NVRAM下)或者通過保護(hù)加密密鑰來安全存儲,該加密密鑰用于對IKC1250和BSF1270之間以及IKC1250和HCC1260之間的隧道所需要的的密鑰進(jìn)行加密�����。MTM1240還用來生成用作TLS-PSK隧道中的現(xiàn)時的隨機(jī)數(shù)。如上述描述的Partl(GBA_U)進(jìn)程相似����,上述提出的Part_2(安全性關(guān)聯(lián))和Part3(本地密鑰生成)也能通過使用相似方式的MTM1240來加強。MTM1240用來在每一個進(jìn)程之前驗證IKC1250的完整性��;保證安全����、進(jìn)行存儲以及允許IKC1250來檢索密鑰和IKC1250生成的或者從其他例如Π(Χ1260和BSF1270的實體接收到的其他敏感材料;并且生成用于每一個進(jìn)程的現(xiàn)時的隨機(jī)數(shù)���。圖19示出了 MTM1240與終端和IKC1250 —起使用的情況��。當(dāng)IKC1250獨立于被認(rèn)為比IKC1250信任度低或者安全的終端時��,MTM1240還可用來驗證終端的完整性��。這使得終端能安全地檢索并隨后使用Π(Χ1260和IKC1250之間以及Π(Χ1260和終端之間得出的本地密鑰Ks_local����。參見圖19�,使用在HCC1260和KC1250之間得出的密鑰Ks_local (見第三部分的結(jié)尾),IKC1250將Ks_local安全地存儲于MTM1240或者在MTM1240加密保護(hù)下安全地存儲。從Ks_local得出的任何平臺特定或者應(yīng)用特定密鑰也被MTM1240以相同的方式安全地存儲�。在終端(不同于IKC1250)可以使用Ks_local或者從其得出的任何密鑰之前,在步驟SI�,終端向IKC1250請求使用本地密鑰。在步驟S2����,IKC1250請求MTM1240來驗證終端的完整性。在步驟S3�,MTM1240驗證終端的完整性。僅在終端的完整性被MTM1240對于終端和IKC1250驗證之后(在步驟S3和S4)�,IKC1250授權(quán)MTM1240來釋放被終端請求的用于終端和Π(Χ1260之間的通信的密鑰(在步驟S5)。在步驟S6����,MTMl240釋放本地密鑰給終端。在步驟S7���,終端使用本地密鑰來建立與Π(Χ1260的安全信道。提出的方案的一些優(yōu)點如下所述��。圖19步驟S2�、S3和S4允許IKC1250和BSF1270之間的密鑰和密鑰材料的整體傳輸和處理,其中一個以上NAF的材料可用于交換�,并且處理來得出特定用于NAF的Ks_local,從而減少所需的OTA進(jìn)程的數(shù)量�,如果多個NAF的Ks_local的得出是根據(jù)現(xiàn)有技術(shù)執(zhí)行����。第二���,由于使用了兩個TLS-PSK隧道�,UICC1260和IKC1250之間以及IKC1250和BSF1270之間的信息交換的完整性和機(jī)密性現(xiàn)在都得到了保護(hù)�����。這將減輕現(xiàn)有技術(shù)由于上述問題帶來的隱私和潛在安全性危險����。這不僅對本地密鑰的建立有利還對于GBA_U和安全性關(guān)聯(lián)進(jìn)程有利。第三��,分開的共享的機(jī)密Kui和Kih (任何一者都不可追蹤到已存在的用戶機(jī)密K)的使用��,將隧道效應(yīng)的進(jìn)程與Π(Χ1260和HLR/HSS1280共享的用戶密鑰分開���,這減少了安全性風(fēng)險��,因為潛在的Kui和Kih密鑰的破壞不會泄露用戶機(jī)密���。第四��,IKC1250的使用增加了安全性���,這是因為IKC1250是可信實體,其可信度是由MTM1240在WTRU1200上保護(hù)的(可被證實和證明的)���。由于本地密鑰(Ks_local)和密鑰材料由可信的IKC1250處理�,并且還因為IKC1250還能使用MTM1240的安全存儲能力來保持信息�,以及MTM1240的保護(hù)能力,例如用于創(chuàng)建RANDx和RANDy的隨機(jī)數(shù)生成器��,整個處理的安全性被增強�����。最后�,使用MTM1240來驗證IKC1250(以及當(dāng)IKC1250和終端是分開的實體時的終端)的完整性,來安全存儲密鑰和密鑰材料��,以及安全地生成用作現(xiàn)時的隨機(jī)數(shù)�,增加了建立本地密鑰的進(jìn)程(Part-Ι至Part-3)安全性和可信性���,并且還使得終端能夠僅在本地密鑰的完整性被MTM1240驗證后�����,使用IKC1250和HCC1260生成的本地密鑰�。雖然本發(fā)明的特征和元素在優(yōu)選的實施方式中以特定的結(jié)合進(jìn)行了描述,但每個特征或元素可以在沒有所述優(yōu)選實施方式的其他特征和元素的情況下單獨使用���,或在與或不與本發(fā)明的其他特征和元素結(jié)合的各種情況下使用�。本發(fā)明提供的方法或流程圖可以在由通用計算機(jī)或處理器執(zhí)行的計算機(jī)程序�、軟件或固件中實施,其中所述計算機(jī)程序����、軟件或固件是以有形的方式包含在計算機(jī)可讀存儲介質(zhì)中的,關(guān)于計算機(jī)可讀存儲介質(zhì)的實例 包括只讀存儲器(ROM)��、隨機(jī)存取存儲器(RAM)���、寄存器��、緩沖存儲器�����、半導(dǎo)體存儲設(shè)備�、內(nèi)部硬盤和可移動磁盤之類的磁介質(zhì)、磁光介質(zhì)以及CD-ROM碟片和數(shù)字多功能光盤(DVD)之類的光介質(zhì)��。舉例來說�,恰當(dāng)?shù)奶幚砥靼ㄍㄓ锰幚砥鳌S锰幚砥?�、傳統(tǒng)處理器��、數(shù)字信號處理器(DSP)��、多個微處理器�、與DSP核心相關(guān)聯(lián)的一個或多個微處理器、控制器��、微控制器�、專用集成電路(ASIC)、現(xiàn)場可編程門陣列(FPGA)電路���、任何一種集成電路(IC)和/或狀態(tài)機(jī)���。與軟件相關(guān)聯(lián)的處理器可以用于實現(xiàn)射頻收發(fā)信機(jī),以在無線發(fā)射接收單元(WTRU)�、用戶設(shè)備�、終端��、基站��、無線電網(wǎng)絡(luò)控制器或是任何一種主機(jī)計算機(jī)中加以使用���。WTRU可以與采用硬件和/或軟件形式實施的模塊結(jié)合使用,例如相機(jī)����、攝像機(jī)模塊、視頻電路��、揚聲器電話��、振動設(shè)備����、揚聲器、麥克風(fēng)��、電視收發(fā)信機(jī)�����、免提耳機(jī)、鍵盤���、藍(lán)牙 模塊���、調(diào)頻(FM)無線電單元、液晶顯示器(IXD)顯示單元�����、有機(jī)發(fā)光二極管(OLED)顯示單元����、數(shù)字音樂播放器、媒體播放器����、視頻游戲機(jī)模塊、因特網(wǎng)瀏覽器和/或任何一種無線局域網(wǎng)(WLAN)模塊或超寬帶(UWB)模塊�����。實施例1�、一種建立安全通信的方法,該方法包括A)請求內(nèi)部密鑰中心(IKC)和引導(dǎo)服務(wù)器功能(BSF)之間的TLS-PSK隧道�;B)從歸屬用戶系統(tǒng)/歸屬位置寄存器(HSS/HLR)檢索多個預(yù)先共享密鑰��;C)在IKC和BSF之間建立TLS-PSK隧道���;D)在所述隧道上從所述BSF傳輸多個預(yù)先共享密鑰中的至少一個給所述IKC ;E)在UICC和所述IKC之間建立TLS-PSK隧道�����;以及F)在HCC和BSF之間建立至少一個用戶認(rèn)證密鑰���。2、根據(jù)前述實施例中的任一項所述的方法�,該方法還包括直接與所述IKC共享預(yù)先規(guī)定的對稱密鑰。3��、根據(jù)前述實施例中的任一項所述的方法�,該方法還包括
發(fā)送多個密鑰給所述IKC ;以及同HCC進(jìn)行確認(rèn)直到識別正確的密鑰。4�����、根據(jù)前述實施例中的任一項所述的方法�,其中所述確認(rèn)包括挑戰(zhàn)響應(yīng)類型密鑰確認(rèn)。5���、根據(jù)前述實施例中的任一項所述的方法����,該方法還包括從所述接收預(yù)先共享密鑰的證據(jù);發(fā)送所述證據(jù)給所述BSF ;和 從所述多個預(yù)先共享密鑰中識別正確的密鑰�。6、根據(jù)前述實施例中的任一項所述的方法���,該方法還包括接收請求消息���,其中所述請求消息將IKC標(biāo)識符包括為有效載荷。7��、根據(jù)前述實施例中的任一項所述的方法���,其中預(yù)先共享密鑰用來在所述IKC和BSF之間建立TLS-PSK隧道��。8���、根據(jù)前述實施例中的任一項所述的方法,其中預(yù)先共享密鑰用來在所述和所述IKC之間建立隧道�。9、根據(jù)前述實施例中的任一項所述的方法,該方法還包括所述UICC構(gòu)造NAF標(biāo)識符�����。10����、根據(jù)前述實施例中的任一項所述的方法,其中所述IKC和所述BSF基于公鑰對IKC標(biāo)識符進(jìn)行加密和解密�����。11�、根據(jù)前述實施例中的任一項所述的方法��,該方法還包括從多個不同的公鑰中選擇���,其中公鑰是從網(wǎng)絡(luò)廣播的����。12�����、根據(jù)前述實施例中的任一項所述的方法,其中使用Diffie-Hellman密鑰交換協(xié)議����。13、一種在公鑰集合中計算公共索引的方法���,該方法包括網(wǎng)絡(luò)和IKC對兩個值達(dá)成協(xié)議�,其中所述兩個值包括質(zhì)數(shù)P和生成元g ;所述網(wǎng)絡(luò)選擇隨機(jī)數(shù)(RANDi);計算^gMNDi mod/ .所述網(wǎng)絡(luò)發(fā)送給所述IKC (I彡RANDi ^ p-2)�����;所述IKC 計算隨機(jī)數(shù)(FRESH)����,其中 gFKESH ^ gFEESHmodp ;發(fā)送gF_給所述網(wǎng)絡(luò)(I彡FRESH ^ p-2)�;所述網(wǎng)絡(luò)計算左Ξmod以及
所述 IKC 計算免‘ =mod P。14����、根據(jù)前述實施例中的任一項所述的方法,該方法還包括加密包含IKC標(biāo)識符的消息�����。15、根據(jù)前述實施例中的任一項所述的方法��,該方法還包括在所述TLS-PSK隧道建立進(jìn)程中交換所述公鑰����。16、根據(jù)前述實施例中的任一項所述的方法��,該方法還包括用于TLS-PSK 的 TLS_DHE_PSK_WITH_3DES_EDE_CBC_SHA 加密組�,其中所述 TLS-PSK能夠執(zhí)行DH密鑰交換協(xié)議。17����、根據(jù)前述實施例中的任一項所述的方法,該方法還包括
用于TLS-PSK 的 TLS_DHE_PSK_WITH_AES_128_CBC_SHA����,其中所述 TLS-PSK 能夠執(zhí)行DH密鑰交換協(xié)議����。18、根據(jù)前述實施例中的任一項所述的方法����,該方法還包括用于TLS-PSK 的 TLS_DHE_PSK_WITH_AES_256_CBC_SHA,其中所述 TLS-PSK 能夠執(zhí)行DH密鑰交換協(xié)議。19�����、一種用于安全性關(guān)聯(lián)的方法���,該方法包括在HCC和IKC之間��,以及IKC和BSF之間交換信息���,其中所述HCC、IKC和BSF使用TSL-PSK隧道來保證交換安全����。20、根據(jù)前述實施例中的任一項所述的方法�,該方法還包括在所述上檢驗有效的用戶認(rèn)證密鑰。 21�����、根據(jù)前述實施例中的任一項所述的方法��,該方法還包括檢索NAF的身份數(shù)據(jù)�����,所述要與該NAF在已經(jīng)建立的隧道(Tui)上建立自WCC的安全性關(guān)聯(lián)。22�、根據(jù)前述實施例中的任一項所述的方法,該方法還包括所述得出多個NAF特定密鑰��。23�、根據(jù)前述實施例中的任一項所述的方法,該方法還包括初始化帶有基于的增強的通用引導(dǎo)架構(gòu)(GBA_U)�����,用以建立用戶認(rèn)證密鑰���。24��、根據(jù)前述實施例中的任一項所述的方法�����,該方法還包括在所述多個隧道中的一者上從所述IKC向BSF傳送所述身份數(shù)據(jù)。25�、根據(jù)前述實施例中的任一項所述的方法,該方法還包括向至少一個NAF發(fā)送認(rèn)證請求���。26��、根據(jù)前述實施例中的任一項所述的方法���,該方法還包括在所述BSF上從所述NAF接收至少一個認(rèn)證響應(yīng)�。27�����、根據(jù)前述實施例中的任一項所述的方法�����,該方法還包括BSF得出多個NAF特定密鑰����。28、根據(jù)前述實施例中的任一項所述的方法�����,該方法還包括從所述BSF向多個NAF轉(zhuǎn)發(fā)引導(dǎo)時間�、密鑰壽命和多個NAF特定密鑰。29����、根據(jù)前述實施例中的任一項所述的方法����,該方法還包括從所述NAF向所述BSF發(fā)送應(yīng)答消息�����,該應(yīng)答消息指示接收到所述NAF特定密鑰��、密鑰壽命和引導(dǎo)時間����。30、根據(jù)前述實施例中的任一項所述的方法���,該方法還包括從BSF向所述IKC發(fā)送整體安全性關(guān)聯(lián)連接消息�����,其中所述整體安全性關(guān)聯(lián)消息包括多個NAF消息認(rèn)證碼(MACnaf),每一個對應(yīng)一個特定NAF��。31�����、根據(jù)前述實施例中的任一項所述的方法��,該方法還包括所述IKC將從BSF接收到的所述整體安全性關(guān)聯(lián)消息轉(zhuǎn)發(fā)給所述WCC�����。32���、根據(jù)前述實施例中的任一項所述的方法,該方法還包括在UICC上計算專用于NAF的MAC· SA�。33、根據(jù)前述實施例中的任一項所述的方法����,該方法還包括所述HCC創(chuàng)建整體安全性關(guān)聯(lián)響應(yīng)消息。
34�、根據(jù)前述實施例中的任一項所述的方法,該方法還包括如果MACiik與對應(yīng)的用于NAF的MAC· SA不匹配�,則在會話中探測失敗。35���、根據(jù)前述實施例中的任一項所述的方法��,該方法還包括如果MACiik與其對應(yīng)的MAC· Μ匹配����,則探測成功。36���、根據(jù)前述實施例中的任一項所述的方法���,該方法還包括使用NAF特定密鑰和MAC算法發(fā)送成功響應(yīng)。37���、根據(jù)前述實施例中的任一項所述的方法�,該方法還包括 經(jīng)由IKC在多個隧道上向所述BSF發(fā)送所述整體安全性關(guān)聯(lián)響應(yīng)消息��。38����、根據(jù)前述實施例中的任一項所述的方法,該方法還包括由所述BSF向所述NAF指示安全性關(guān)聯(lián)嘗試的失敗或者成功狀態(tài)�����。39����、根據(jù)前述實施例中的任一項所述的方法��,該方法還包括在所述NAF上接收成功狀態(tài);以及存儲所述NAF特定密鑰�����、引導(dǎo)時間和相關(guān)的密鑰壽命���。40����、一種用于在終端和UMTS集成電路卡(UICC)之間建立密鑰的方法����,該方法包括使用兩個TLS-PSK隧道以安全方式交換信息。41�����、根據(jù)前述實施例中的任一項所述的方法�����,該方法還包括所述內(nèi)部密鑰中心(IKC)在所述上識別至少一個有效用戶認(rèn)證密鑰的存在;以及從所述HCC上檢索引導(dǎo)事務(wù)標(biāo)識符和至少一個網(wǎng)絡(luò)應(yīng)用功能(NAF)標(biāo)識符�。42、根據(jù)前述實施例中的任一項所述的方法����,該方法還包括用HCC基礎(chǔ)的增強(GBA_U)進(jìn)程初始化通用引導(dǎo)架構(gòu),來建立所述至少一個用戶認(rèn)證密鑰���;和從所述HCC上檢索引導(dǎo)事務(wù)標(biāo)識符和至少一個NAF標(biāo)識符�。43�、根據(jù)前述實施例中的任一項所述的方法,該方法還包括在TLS-PSK隧道上發(fā)送在所述和IKC之間交換的信息��。44���、根據(jù)前述實施例中的任一項所述的方法���,該方法還包括從所述IKC向引導(dǎo)服務(wù)器功能(BSF)發(fā)送對至少一個IKC密鑰的應(yīng)用請求,每一個對應(yīng)于被請求的NAF的NAF標(biāo)識符���;以及所述IKC將所述引導(dǎo)事務(wù)標(biāo)識符和至少一個NAF標(biāo)識符與IKC生成的用于Ks_IKC_NAF(RANDy)現(xiàn)時的多個相應(yīng)的隨機(jī)挑戰(zhàn)一起發(fā)送����。45、根據(jù)前述實施例中的任一項所述的方法�����,該方法還包括計算至少一個IKC密鑰��,每個IKC密鑰特定用于每個被請求的NAF�。46�����、根據(jù)前述實施例中的任一項所述的方法���,該方法還包括向所述IKC發(fā)送包括至少一個IKC密鑰和密鑰壽命的應(yīng)用響應(yīng)�。47�����、根據(jù)前述實施例中的任一項所述的方法�����,該方法還包括所述IKC生成至少一個計數(shù)器限值值�;和得出至少一個本地密鑰。48、根據(jù)前述實施例中的任一項所述的方法���,該方法還包括
所述IKC在隧道Tui上向所述發(fā)送應(yīng)用請求消息����;請求所述創(chuàng)建專用于NAF標(biāo)識符的本地密鑰�����,其中所述請求包含所述NAF標(biāo)識符���、終端標(biāo)識符���、終端應(yīng)用標(biāo)識符、UICC應(yīng)用標(biāo)識符和計數(shù)器限值值��。49���、根據(jù)前述實施例中的任一項所述的方法��,其中所述終端還包括計算MACikc����。50、根據(jù)前述實施例中的任一項所述的方法����,該方法還包括所述HCC檢索Ks_int_NAF和與接收到的NAF標(biāo)識符相關(guān)的引導(dǎo)標(biāo)識符。51�����、根據(jù)前述實施例中的任一項所述的方法�����,該方法還包括
基于所述int_NAF密鑰得出IKC-NAF密鑰���,以及得出RANDy。52��、根據(jù)前述實施例中的任一項所述的方法�����,該方法還包括UICC得出本地密鑰�����,其中所述本地密鑰確定為IKC-NAF密鑰、引導(dǎo)事務(wù)標(biāo)識符����、終端標(biāo)識符、集成電路卡識別(ICCID)����、終端應(yīng)用標(biāo)識符、UICC應(yīng)用標(biāo)識符�、RANDx和計數(shù)器限值的函數(shù)。53�����、根據(jù)前述實施例中的任一項所述的方法�����,該方法還包括UICC驗證從終端接收到的MACikc值����。54、根據(jù)前述實施例中的任一項所述的方法�����,該方法還包括UICC終止密鑰協(xié)議過程;以及返回MAC驗證失敗消息來響應(yīng)本地密鑰得出請求���。55����、根據(jù)前述實施例中的任一項所述的方法�,該方法還包括所述HCC存儲本地密鑰和相關(guān)的參數(shù);以及所述HCC使用本地密鑰和MAC算法發(fā)送包括ASCII碼字符串的MAC的本地密鑰得出響應(yīng)����。56、根據(jù)前述實施例中的任一項所述的方法���,該方法還包括所述IKC存儲本地密鑰和密鑰壽命�����。57、根據(jù)前述實施例中的任一項所述的方法����,該方法還包括從本地密鑰得出實際共享的密鑰;以及更新所述得出的共享密鑰�。58�����、根據(jù)前述實施例中的任一項所述的方法�,該方法還包括認(rèn)證和加密在遠(yuǎn)程認(rèn)證撥入用戶服務(wù)上合并可擴(kuò)展認(rèn)證協(xié)議����。59、一種使用內(nèi)部密鑰中心安全通信的方法���,該方法包括在移動電話(UE)上使用移動可信模塊(MTM)來保證密鑰安全��。60����、根據(jù)前述實施例中的任一項所述的方法��,該方法還包括所述IKC在所述MTM中存儲本地密鑰�。61、根據(jù)前述實施例中的任一項所述的方法��,該方法還包括存儲由MTM從本地密鑰得出的任何平臺或應(yīng)用特定密鑰��。62�����、根據(jù)前述實施例中的任一項所述的方法,該方法還包括在使用本地密鑰之前����,終端請求所述IKC使用本地密鑰。63��、根據(jù)前述實施例中的任一項所述的方法�,該方法還包括所述IKC請求所述MTM來驗證終端的完整性。
64��、根據(jù)前述實施例中的任一項所述的方法���,該方法還包括MTM驗證終端的完整性��。65���、根據(jù)前述實施例中的任一項所述的方法,該方法還包括所述IKC授權(quán)所述MTM來釋放由終端請求的用于它本身與之間的通信的多個密鑰���。66、根據(jù)前述實施例中的任一項所述的方法�,該方法還包括從所述MTM釋放至少一個本地密鑰給終端���。67、根據(jù)前述實施例中的任一項所述的方法���,該方法還包括所述終端發(fā)送本地密鑰來與建立至少一個安全信道����。 68���、根據(jù)前述實施例中的任一項所述的方法�����,該方法由所述執(zhí)行����。69��、根據(jù)前述實施例中的任一項所述的方法���,該方法由所述BSF執(zhí)行����。70、根據(jù)前述實施例中的任一項所述的方法����,該方法由無線發(fā)射/接收單元(WTRU)執(zhí)行。71����、根據(jù)前述實施例中的任一項所述的方法,該方法由基站執(zhí)行��。72����、根據(jù)前述實施例中的任一項所述的方法,該方法由所述IKC執(zhí)行���。
權(quán)利要求
1.一種由無線發(fā)射/接收單元(WTRU)使用的用于建立安全本地密鑰的方法����,該WTRU包括內(nèi)部密鑰中心(IKC)��,該方法包括 確定有效密鑰是否存在于通用移動電信系統(tǒng)(UMTS)集成電路卡(UICC)上�,以及在所述有效密鑰存在于所述ncc上的情況下經(jīng)由所述IKC與所述ncc之間的安全隧道從所述ncc中檢索引導(dǎo)事務(wù)標(biāo)識符(B-TID)和至少一個網(wǎng)絡(luò)應(yīng)用功能標(biāo)識符(NAF-1D)�,其中所述IKC是位于所述WTRU上的可信本地實體����,且其中所述IKC與ncc之間的安全隧道是使用成功認(rèn)證的預(yù)共享密鑰集合建立的傳輸層安全性預(yù)共享密鑰(TLS-PSK)隧道�����; 向引導(dǎo)服務(wù)器功能(BSF)發(fā)送針對密鑰的應(yīng)用請求�����; 接收包括至少一個密鑰的應(yīng)用響應(yīng)����; 生成計數(shù)器限值并從相關(guān)參數(shù)中得出用于所述至少一個網(wǎng)絡(luò)應(yīng)用功能(NAF)的本地密鑰; 向所述ncc發(fā)送用于密鑰建立的應(yīng)用請求��; 接收用于指示成功驗證所述本地密鑰的本地偏差響應(yīng)�����;以及 在所述IKC中存儲所述本地密鑰和所有相關(guān)參數(shù)���。
2.根據(jù)權(quán)利要求1所述的方法����,其中從所述nCC檢索所述B-TID和所述至少一個NAF-1D是通過所述IKC與nCC之間的所述安全隧道完成的。
3.根據(jù)權(quán)利要求1所述的方法��,其中向所述BSF發(fā)送所述針對密鑰的應(yīng)用請求是通過第二安全隧道完成的��。
4.根據(jù)權(quán)利要求3所述的方法����,其中接收所述包括至少一個密鑰的應(yīng)用響應(yīng)是通過所述第二安全隧道完成的。
5.根據(jù)權(quán)利要求4所述的方法���,其中所述第二安全隧道是使用第二安全認(rèn)證的預(yù)共享密鑰集合建立的傳輸層安全性預(yù)共享密鑰(TLS-PSK)隧道���。
全文摘要
一種由WTRU使用的用于建立安全本地密鑰的方法,該WTRU包括IKC�����,該方法包括確定有效密鑰是否存在于UICC上����,以及在所述有效密鑰存在于所述UICC上的情況下經(jīng)由所述IKC與所述UICC之間的安全隧道從所述UICC中檢索B-TID和至少一個NAF-ID,其中所述IKC是位于所述WTRU上的可信本地實體�,且其中所述IKC與UICC之間的安全隧道是使用成功認(rèn)證的預(yù)共享密鑰集合建立的TLS-PSK隧道����;BSF發(fā)送針對密鑰的應(yīng)用請求����;接收包括至少一個密鑰的應(yīng)用響應(yīng)��;生成計數(shù)器限值并且從相關(guān)參數(shù)中得出用于所述至少一個網(wǎng)絡(luò)應(yīng)用功能(NAF)的本地密鑰��;向所述UICC發(fā)送用于密鑰建立的應(yīng)用請求�����;接收用于指示成功驗證所述本地密鑰的本地偏差響應(yīng)����;以及在所述IKC中存儲所述本地密鑰和所有相關(guān)參數(shù)。
文檔編號H04W12/04GK103001940SQ20121027234
公開日2013年3月27日 申請日期2008年10月6日 優(yōu)先權(quán)日2007年10月5日
發(fā)明者I·查, C·V·拉蒂, Y·C·沙阿, L·J·古喬內(nèi), A·U·施米特, N·孔茨 申請人:交互數(shù)字技術(shù)公司