加密密鑰生成的制作方法
【專利摘要】本發(fā)明提供了一種用于生成加密密鑰(120)的技術(shù)。該技術(shù)尤其適用于保護(hù)協(xié)作運(yùn)行分布式安全操作的兩個(gè)實(shí)體(202、302；204、304)之間的通信。該技術(shù)包括：提供至少兩個(gè)參數(shù)(106、108)，第一參數(shù)(106)包括第一實(shí)體(202、302)通過運(yùn)行該安全操作而計(jì)算的一些加密密鑰(110、112)，或者第一參數(shù)(106)是根據(jù)所述加密密鑰(110、112)導(dǎo)出的；以及第二參數(shù)(108)包括令牌(116)或者是根據(jù)所述令牌(116)導(dǎo)出的，每次第二實(shí)體(204、304)針對(duì)所述第一實(shí)體(202、302)發(fā)起安全(114)操作時(shí)，所述令牌(116)具有不同的值。對(duì)所提供的參數(shù)(106、108)應(yīng)用密鑰導(dǎo)出函數(shù)，以生成所需的加密密鑰(120)。
【專利說明】加密密鑰生成
[0001]本申請(qǐng)是2010年12月3日(申請(qǐng)日:2008年7月21日)向中國專利局遞交并進(jìn)入中國國家階段的題為“加密密鑰生成”的發(fā)明專利申請(qǐng)N0.200880129636.9 (PCT國際申請(qǐng) N0.PCT/EP2008/005960)的分案申請(qǐng)。
【技術(shù)領(lǐng)域】
[0002]本發(fā)明總體涉及用于生成加密密鑰的技術(shù)。具體地，本發(fā)明涉及提供高等級(jí)安全性的加密密鑰生成技術(shù)。
【背景技術(shù)】
[0003]認(rèn)證和密鑰協(xié)商協(xié)議(AKA)是一種基于質(zhì)詢-響應(yīng)的、使用對(duì)稱加密的協(xié)議。AKA的主要目的包括兩個(gè)彼此通信的實(shí)體進(jìn)行互相認(rèn)證以及建立用于保護(hù)其間交換的通信的加密密鑰。AKA的一個(gè)變型是UMTS AKA，包括在技術(shù)規(guī)范3G TS33.102中由3GPP針對(duì)3G移動(dòng)通信網(wǎng)絡(luò)而標(biāo)準(zhǔn)化的安全架構(gòu)中。
[0004]UMTS AKA的基本概念如圖1所示。參照該圖，UMTS AKA協(xié)議在用戶設(shè)備(UE)與網(wǎng)絡(luò)實(shí)體(NE)之間運(yùn)行。網(wǎng)絡(luò)實(shí)體通過向UE發(fā)送用戶認(rèn)證請(qǐng)求來發(fā)起AKA。將隨機(jī)質(zhì)詢或隨機(jī)碼(RAND)和認(rèn)證令牌(AUTN)與該請(qǐng)求一起發(fā)送至UE。在接收到RAND和AUTN時(shí)，UE計(jì)算密碼密鑰(CK)和完整性密鑰(IK)等等，然后使用CK和IK用于密碼處理和完整性功能。
[0005]3GPP還在進(jìn)行所謂“超3G”通信網(wǎng)絡(luò)的標(biāo)準(zhǔn)化。系統(tǒng)架構(gòu)演進(jìn)(SAE)和長期演進(jìn)(LTE)是超3G網(wǎng)絡(luò)的兩個(gè)密切相關(guān)的方面。與傳統(tǒng)3G網(wǎng)絡(luò)相比，基于SAE/LTE的網(wǎng)絡(luò)可以施加更高和/或更多安全要求。例如，可能需要以不同等級(jí)來保護(hù)通信的更多加密密鑰。在另一標(biāo)準(zhǔn)相關(guān)文獻(xiàn)3GPP TR33.821中，3GPP推薦了一種密鑰層級(jí)，用于導(dǎo)出在SAE/LTE中使用的更多加密密鑰。
[0006]圖2示出了這種密鑰層級(jí)。在該層級(jí)的最頂部是密鑰K，密鑰K是在UE的全球訂戶標(biāo)識(shí)模塊(USM)與位于網(wǎng)絡(luò)中的認(rèn)證中心(AuC)之間共享的長期加密密鑰。向下一級(jí)是一對(duì)加密密鑰CK和IK，CK和IK是由UE (具體由UE的USM)以與上述UMTS AKA操作相同或相似的方式導(dǎo)出的。該層級(jí)中的再下一級(jí)是密鑰Kasme，密鑰Kasme是由UE從CK、IK以及(如果需要)一些其他參數(shù)導(dǎo)出的。一旦導(dǎo)出，就將KasmeWAuC傳送至接入網(wǎng)，具體而言傳送至SAE/LTE網(wǎng)絡(luò)的接入安全管理實(shí)體(ASME)，然后在UE與網(wǎng)絡(luò)之間共享。當(dāng)接入網(wǎng)是基于LTE技術(shù)時(shí)，ASME的功能由移動(dòng)性管理實(shí)體(MME)來處理。
[0007]可以通過應(yīng)用特定加密函數(shù)來導(dǎo)出密鑰Kasme以及該層級(jí)中位于其“下層”的密鑰。例如，
[0008]Kasme=KDF (CKI IK, 0x02 PLMN_ID <other_parameter>)其中 KDF 基于通用自舉架構(gòu)(GBA)密鑰導(dǎo)出函數(shù)(KDF)。在3G TS33.220中規(guī)定了一個(gè)GBAKDF。
[0009]GBA KDF可以利用加密散列函數(shù)，如安全散列算法(SHA)散列函數(shù)。在許多SHA散列函數(shù)中，SHA-256是一種高度安全的變型，因?yàn)樗徽J(rèn)為能夠防沖突并且如偽隨機(jī)函數(shù)一樣工作。顧名思義，SHA-256是具有256比特摘要(輸出)長度的安全散列算法散列函數(shù)。PLMN_ID是向UE提供服務(wù)的網(wǎng)絡(luò)的標(biāo)識(shí)符。
[0010]已經(jīng)認(rèn)識(shí)到，為了實(shí)現(xiàn)高等級(jí)安全性，GBA KDF函數(shù)僅僅主要基于CK和IK是不夠的。其原因在于以下風(fēng)險(xiǎn):給定UE可能兩次得到相同CK，或者兩個(gè)不同UE可能得到相同CK。在這種情況下，破壞了對(duì)KDF的輸入的“唯一性”，不同UE(使用相同Kasme)之間可能發(fā)生沖突。
[0011]總而言之，盡管如果x=y，則KDF(X)肯定產(chǎn)生與KDF(y)相同的密鑰，但是反之則可能不一定成立。即，即使X古y，仍可能發(fā)生KDF(X)=KDF(y)。然而，由于建議KDF基于SHA-256，如上所述，SHA-256被設(shè)計(jì)為能夠防沖突，因此這是不太可能發(fā)生的事件。因此，對(duì)于本文描述的技術(shù)，可以安全的假定:當(dāng)且僅當(dāng)x=y，KDF(x)=KDF(y)。這種假定允許本文描述的技術(shù)集中關(guān)注確保對(duì)KDF的輸入的“唯一性”。
[0012]GBA KDF規(guī)范的標(biāo)準(zhǔn)化團(tuán)體(ETSI/SAGE，特別算法專家組)已經(jīng)注意到上述問題，并建議將UE的私有用戶標(biāo)識(shí)(MPI)包括在<other_parameter>中，以避免不同UE之間的沖突。作為另一建議，還可以將隨機(jī)碼(如RAND)包括在<other_parameter>中。這在從ETSI/SAGE至3GPP SA3的聯(lián)絡(luò)函(在3GPP文獻(xiàn)中編號(hào)S3-030219)中進(jìn)行描述。
[0013]然而，已經(jīng)發(fā)現(xiàn)，上述建議仍不能保證對(duì)KDF的輸入的“唯一性”。從以下對(duì)GBAKDF函數(shù)的安全屬性及其在SAE/LTE中針對(duì)同一 UE (例如同一 MPI)的使用的分析中可以看出這一點(diǎn)。
[0014]首先，考慮以下基本構(gòu)造:
[0015]KDF (CK, IMPI)
[0016]由于已經(jīng)假定MPI = IMPI?(當(dāng)UE固定時(shí))，當(dāng)且僅當(dāng)CK=CK’時(shí)，該基本構(gòu)造將導(dǎo)致兩個(gè)輸入(CK, MPI)、(CKMMPI')的沖突。
[0017]其次，考慮另一構(gòu)造，該構(gòu)造更接近實(shí)際GBA KDF:
[0018]KDF (CKI I IK, MPI)
[0019]然而，與起初可能認(rèn)為的不同，將IK包括在輸入中不改變上述沖突屬性。即，當(dāng)且僅當(dāng) CK=CK，時(shí)，KDF (CKI I IK, IMP I)將等于 KDF (CK，| | IK’，IMP I)。為了理解包括 IK 為何無用，需要考慮在UE上執(zhí)行的加密算法如何生成CK和IK。
[0020]典型的UE側(cè)加密算法是如圖9所示的Milenage算法。在圖9中，Ek表示高級(jí)加密標(biāo)準(zhǔn)(AES)算法，也稱為Rijndael算法，使用密鑰K (存儲(chǔ)在AuC和UE的USM中)。現(xiàn)在考慮如果CK=CK’將發(fā)生何種情況。由于AES是一種置換(permutation，一對(duì)一映射)，這意味著，中間值(在寬箭頭處出現(xiàn))由f3的結(jié)果(正巧為CK)唯一確定。但是，這意味著，在產(chǎn)生CK時(shí)，寬箭頭處的值必須與產(chǎn)生CK’時(shí)在相同位置出現(xiàn)的值相同。這繼而意味著，作為對(duì)f4的輸入而出現(xiàn)的值必須相同，因此，相同的f4值必須出現(xiàn)。恰好f4是IK。因此，已經(jīng)示出，當(dāng)且僅當(dāng)IK=IK’時(shí)，CK=CK’。
[0021]接下來，考慮根據(jù)標(biāo)準(zhǔn)化團(tuán)體(SAGE)的建議的一種“改進(jìn)”構(gòu)造，即將RAND包括在輸入中:
[0022]KDF (CKI I IK, RAND | | IMP I)
[0023]假定CK=CK’(從而IK=IK’)。希望使用RAND將保證唯一性。然而并非如此。再次考慮Milenage算法中根據(jù)RAND來產(chǎn)生CK和IK的“相關(guān)”部分:如圖9所示，存在以下情形，在寬箭頭處與RAND相對(duì)應(yīng)的值與對(duì)應(yīng)于RAND’的值相同。但是再次，AES(Ek)是一種置換，使得輸入必須也相等，即RAND=RAND’。(因?yàn)榧俣ü潭║E，并且因此在兩種情況下都將出現(xiàn)相同的K，因此AES依賴于K的事實(shí)無濟(jì)于事。)
[0024]換言之，已經(jīng)示出，當(dāng)且僅當(dāng)RAND=RAND’ 時(shí)，(CK | | IK, RAND | MPI) = (CK，| | IK’，RAND’ IlMPI)。在SAE/LTE的情況下，輸入中也可以包括PLMN_ID，但是由于UE很可能保持在相同網(wǎng)絡(luò)中多次，因此不能依賴于該參數(shù)PLMN_ID來實(shí)現(xiàn)保證唯一性的目的。
[0025]嘗試避免沖突的一種備選方式可以是使用不同于AES的另一算法來進(jìn)行f3和f4算法的加密處理。具體地，上述分析基于AES是置換的事實(shí)。因此可以使用非置換(多對(duì)一映射)來取代AES。由于兩個(gè)原因，這是有問題的。首先，必須將現(xiàn)有USM調(diào)整為適合3GPP SAE架構(gòu)。其次，通過選擇非置換函數(shù)，實(shí)際上增大了例如f3的兩個(gè)輸出相沖突的概率。
[0026]缺乏輸入唯一性可能是一個(gè)嚴(yán)重的安全問題。由于當(dāng)且僅當(dāng)RAND=RAND’時(shí)，將出現(xiàn)沖突，并且由于RAND是128比特，預(yù)期該沖突將在約2~ (128/2) =2~64次認(rèn)證之后出現(xiàn)(這是所謂的“生日悖論”)。顯然，這低于GBA(128比特)的目標(biāo)安全等級(jí)。對(duì)于LTE，情況甚至更糟，因?yàn)樾枰狶TE提供256比特的安全等級(jí)。因此，高沖突概率是在SAE/LTE中提供所需安全等級(jí)的重大障礙。

【發(fā)明內(nèi)容】

[0027]相應(yīng)地，需要一種避免上述沖突的方案。該方案還應(yīng)當(dāng)理想地與已經(jīng)部署的USM一起工作，并且不需要替換所有USM。
[0028]根據(jù)第一方面，提供了一種用于生成加密密鑰的方法。加密密鑰用于保護(hù)兩個(gè)實(shí)體之間的通信等等。該方法由第一實(shí)體執(zhí)行。該方法形成由第二實(shí)體發(fā)起的分布式安全操作的一部分。該方法包括:提供至少兩個(gè)參數(shù)，其中，第一參數(shù)包括第一實(shí)體通過運(yùn)行該安全操作而計(jì)算的加密密鑰集合，或者第一參數(shù)是根據(jù)所述加密密鑰集合導(dǎo)出的；以及第二參數(shù)包括令牌或者是根據(jù)令牌導(dǎo)出的，每次第二實(shí)體針對(duì)第一實(shí)體發(fā)起安全操作時(shí)，所述令牌具有不同的值(換言之，對(duì)于任何兩次安全操作，該令牌的值永不相同)；以及應(yīng)用密鑰導(dǎo)出函數(shù)，以基于所提供的參數(shù)來生成加密密鑰。
[0029]表述“參數(shù)包括X”可以意味著具有字符串格式的變量X形成該參數(shù)或該參數(shù)的一部分。表述“參數(shù)是根據(jù)X導(dǎo)出的”可以意味著該參數(shù)是將特定函數(shù)(如數(shù)學(xué)函數(shù))至少應(yīng)用至變量X的結(jié)果。函數(shù)的示例包括但不限于:算術(shù)運(yùn)算、邏輯運(yùn)算、字符串運(yùn)算、及其任何組合。算術(shù)運(yùn)算可以是加法、減法、乘法等等，及其任何有意義的組合。邏輯運(yùn)算可以是與(AND)、或(0R)、異或(xOR)、非(NOT)等等，及其任何有意義的組合。字符串運(yùn)算可以是連接、反轉(zhuǎn)、替換等等，及其任何有意義的組合。此外，可以將算術(shù)運(yùn)算、邏輯運(yùn)算和字符串運(yùn)算進(jìn)行組合。
[0030]具體地，上述令牌可以包括序號(hào)(SQN)或根據(jù)SQN導(dǎo)出，所述SQN指示第二實(shí)體已經(jīng)針對(duì)第一實(shí)體發(fā)起安全操作的次數(shù)。對(duì)于每次發(fā)起，第二實(shí)體可以增大SQN。這種機(jī)制確保針對(duì)所發(fā)起的每次安全操作，令牌具有不同的值。
[0031]令牌可以具有許多形式。在一種情況下，SQN本身可以是令牌。備選地，可以使用涉及特定數(shù)學(xué)運(yùn)算(如算術(shù)運(yùn)算、邏輯運(yùn)算和字符串運(yùn)算中的至少一個(gè))的算法從所述SQN導(dǎo)出令牌。例如，令牌可以包括由第二實(shí)體基于SQN來構(gòu)造并傳送給第一實(shí)體的認(rèn)證令牌(AUTN)，或者根據(jù)該AUTN導(dǎo)出。這種構(gòu)造和傳送可以是安全操作的一部分。
[0032]具體地，令牌可以包括SQN與匿名密鑰(AK)的異或。更具體地，令牌可以是以下各項(xiàng)的級(jí)聯(lián)連接:SQN與匿名密鑰(AK)的異或、認(rèn)證和密鑰管理字段(AMF)以及消息認(rèn)證碼(MAC)?？梢詫⒃摷?jí)聯(lián)連接表示為:
[0033]令牌=AUTN=(SQN xOR AK) | | AMF | | MAC
[0034]或者
[0035]令牌=函數(shù)(AUTN)=函數(shù)((SQNxOR AK) | AMF MAC)
[0036]第二參數(shù)還可以包括隨機(jī)質(zhì)詢或隨機(jī)碼(RAND)，或者根據(jù)隨機(jī)質(zhì)詢或隨機(jī)碼(RAND)導(dǎo)出。RAND可以由第二實(shí)體生成，并傳送至第一實(shí)體，作為安全操作的一部分。第二參數(shù)還可以包括第一實(shí)體的標(biāo)識(shí)符，或根據(jù)第一實(shí)體的標(biāo)識(shí)符導(dǎo)出。該標(biāo)識(shí)符可以是私有用戶標(biāo)識(shí)(MPI)或者國際移動(dòng)訂戶標(biāo)識(shí)(MSI)。此外，第二參數(shù)可以包括通信網(wǎng)絡(luò)(具體為第一實(shí)體的服務(wù)網(wǎng)絡(luò))的標(biāo)識(shí)符，或者根據(jù)通信網(wǎng)絡(luò)的標(biāo)識(shí)符導(dǎo)出。例如，該標(biāo)識(shí)符可以是公共陸地移動(dòng)網(wǎng)絡(luò)標(biāo)識(shí)符(PLMN_ID)。
[0037]具體地，第二參數(shù)可以包括0x02、PLMN_ID、RAND、IMPI或MSI以及令牌的級(jí)聯(lián)連接，或根據(jù)該級(jí)聯(lián)連接導(dǎo)出?？梢詫⑵浔硎緸?
[0038]0x02 I I PLMN_ID | | RAND | | IMPI | | 令牌
[0039]當(dāng)令牌是SQN自身時(shí)，以上變?yōu)?
[0040]0x02 I I PLMN_ID | | RAND | | IMPI | | SQN
[0041]當(dāng)令牌是AUTN時(shí)，以上變?yōu)?
[0042]0x02 I IPLMN_ID| |RAND| |IMPI| |AUTN
[0043]關(guān)于方法中使用的第一參數(shù)，該參數(shù)包括第一實(shí)體通過運(yùn)行安全操作而獲得的加密密鑰集合，或根據(jù)該加密密鑰集合導(dǎo)出。該加密密鑰集合可以包括密碼密鑰(CK)和完整性密鑰(IK)，或者根據(jù)所述CK和所述IK導(dǎo)出。
[0044]CK和IK可以是第一實(shí)體基于AUTN和RAND計(jì)算的密碼密鑰和完整性密鑰?？梢詮牡诙?shí)體傳送AUTN和RAND。該計(jì)算以及AUTN和RAND的傳送可以形成安全操作的一部分。
[0045]在一個(gè)實(shí)施中，第一參數(shù)可以包括CK和IK的級(jí)聯(lián)連接，或者根據(jù)CK和IK的級(jí)聯(lián)連接導(dǎo)出。數(shù)學(xué)上可以將其表示為:
[0046]CK I I IK
[0047]本文所述的方法生成加密密鑰。該密鑰可以至少由第一實(shí)體和第二實(shí)體在它們之間的任何后續(xù)通信中共享。在特定實(shí)施中，該密鑰可以是圖2的“密鑰層級(jí)”中的Kasme，可以由第一實(shí)體和第二實(shí)體的接入安全管理實(shí)體(ASME)共享該密鑰。
[0048]可以將該方法擴(kuò)展為包括:應(yīng)用一個(gè)或多個(gè)其他密鑰導(dǎo)出函數(shù)，以生成更多加密密鑰。這種生成基于或者利用上述基本的、未擴(kuò)展的方法中生成的加密密鑰，例如KASME。
[0049]由擴(kuò)展方法生成的加密密鑰可以包括以下至少一項(xiàng):用于保護(hù)非接入層(NAS)業(yè)務(wù)的加密密鑰集合；用于保護(hù)無線資源控制(RRC)業(yè)務(wù)的加密密鑰集合；用于保護(hù)用戶平面(UP)業(yè)務(wù)的加密密鑰集合；以及用于導(dǎo)出保護(hù)RRC業(yè)務(wù)的加密密鑰和/或保護(hù)UP業(yè)務(wù)的加密密鑰的中間加密密鑰，如ΚεΝΒ。為了更容易理解這些密鑰，參照?qǐng)D2，圖2示出了 SAE/LTE中使用的密鑰層級(jí)。
[0050]具體地，用于保護(hù)NAS業(yè)務(wù)的加密密鑰集合可以包括:用于使用加密算法來保護(hù)NAS業(yè)務(wù)的密鑰(KNASen。)和/或用于使用完整性算法來保護(hù)NAS業(yè)務(wù)的另一密鑰(KNASint)。類似地，用于保護(hù)RRC業(yè)務(wù)的加密密鑰集合可以包括:用于使用加密算法來保護(hù)RRC業(yè)務(wù)的密鑰(K—)和/或用于使用完整性算法來保護(hù)RRC業(yè)務(wù)的另一密鑰(Kraffiint)。此外，用于保護(hù)UP業(yè)務(wù)的加密密鑰集合可以包括用于使用加密算法來保護(hù)UP業(yè)務(wù)的密鑰(Kupenc)。
[0051]對(duì)于本文描述的技術(shù)，“第一實(shí)體”可以是用戶設(shè)備，如移動(dòng)臺(tái)?！暗诙?shí)體”可以是位于通信網(wǎng)絡(luò)內(nèi)的實(shí)體，因此是“網(wǎng)絡(luò)實(shí)體”。具體地，第二實(shí)體可以位于SAE/LTE網(wǎng)絡(luò)中。
[0052]第二實(shí)體可以包括認(rèn)證中心(AuC)/歸屬地訂戶服務(wù)器(HSS)和移動(dòng)性管理實(shí)體(MME)。MME可以負(fù)責(zé)發(fā)起針對(duì)第一實(shí)體的安全操作。所生成的加密密鑰可以由AuC/HSS生成，并由第一實(shí)體和MME共享。AuC/HSS可以增大SQN，具體在每次針對(duì)第一實(shí)體發(fā)起安全操作時(shí)增大SQN。此外，AuC/HSS也可以基于SQN來構(gòu)造AUTN0
[0053]可以由第一和第二實(shí)體以協(xié)作方式來執(zhí)行本文涉及的安全操作。例如，安全操作可以基于AKA過程，如UMTS AKA協(xié)議。
[0054]該方法涉及的密鑰導(dǎo)出函數(shù)可以是通用自舉架構(gòu)(GBA)密鑰導(dǎo)出函數(shù)。通用自舉架構(gòu)密鑰導(dǎo)出函數(shù)可以采用安全散列算法(SHA)散列函數(shù)。具體地，可以采用具有256比特長度的摘要的安全散列算法散列函數(shù)(SHA-256)。
[0055]根據(jù)另一方面，提供了一種計(jì)算機(jī)程序產(chǎn)品。所述計(jì)算機(jī)程序產(chǎn)品包括程序代碼部分，當(dāng)在計(jì)算設(shè)備的計(jì)算機(jī)系統(tǒng)上執(zhí)行計(jì)算機(jī)程序產(chǎn)品時(shí)，所述程序代碼部分用于執(zhí)行本文所述的方法的步驟。可以在計(jì)算機(jī)可讀報(bào)告介質(zhì)上存儲(chǔ)所述計(jì)算機(jī)程序產(chǎn)品。
[0056]一般而言，可以通過硬件、軟件或組合的硬件/軟件方法來實(shí)現(xiàn)該方案。
[0057]對(duì)于硬件實(shí)現(xiàn)，提供了一種適于生成用于通信實(shí)體的加密密鑰的設(shè)備。所述設(shè)備可以執(zhí)行安全操作，加密密鑰的生成可以是安全操作的一部分。所述設(shè)備包括:第一組件，適于提供至少兩個(gè)參數(shù)，其中，第一參數(shù)可以包括通信實(shí)體通過運(yùn)行該安全操作而計(jì)算的加密密鑰集合，或者第一參數(shù)是根據(jù)所述加密密鑰集合導(dǎo)出的；以及第二參數(shù)可以包括令牌或者是根據(jù)令牌導(dǎo)出的，每次針對(duì)通信實(shí)體發(fā)起安全操作時(shí)，所述令牌具有不同的值。所述設(shè)備還包括:第二組件，適于執(zhí)行密鑰導(dǎo)出函數(shù)，以基于所提供的參數(shù)來生成加密密鑰。如上所述，令牌可以采取許多可能形式。
[0058]令牌可以包括SQN或根據(jù)SQN導(dǎo)出，SQN指示已經(jīng)針對(duì)通信實(shí)體發(fā)起安全操作的次數(shù)。在一個(gè)實(shí)施中，SQN本身是令牌。備選地，可以使用涉及算術(shù)運(yùn)算、邏輯運(yùn)算和字符串運(yùn)算中的至少一個(gè)的算法基于所述SQN構(gòu)造令牌。例如，令牌可以包括基于SQN構(gòu)造并傳送給通信實(shí)體的AUTN，或者根據(jù)該AUTN導(dǎo)出，其中，這種構(gòu)造和傳送形成安全操作的一部分。例如，令牌可以是以下各項(xiàng)的級(jí)聯(lián)連接:SQN與匿名密鑰(AK)的異或、認(rèn)證和密鑰管理字段(AMF)以及消息認(rèn)證碼(MAC)?？梢詫⒃摷?jí)聯(lián)連接表示為:
[0059]令牌=AUTN=(SQN xOR AK) | | AMF | | MAC
[0060]除了令牌之外，第二參數(shù)還可以包括RAND，或者根據(jù)RAND導(dǎo)出?？梢詫AND傳送至通信實(shí)體，作為安全操作的一部分。此外，第二參數(shù)可以包括通信實(shí)體的標(biāo)識(shí)符，或根據(jù)通信實(shí)體的標(biāo)識(shí)符導(dǎo)出。該標(biāo)識(shí)符的示例是通信實(shí)體的私有用戶標(biāo)識(shí)αΜΡ?)。此外，第二參數(shù)可以包括通信實(shí)體的服務(wù)網(wǎng)絡(luò)的標(biāo)識(shí)符，或者根據(jù)通信實(shí)體的服務(wù)網(wǎng)絡(luò)的標(biāo)識(shí)符導(dǎo)出。該標(biāo)識(shí)符可以是公共陸地移動(dòng)網(wǎng)絡(luò)標(biāo)識(shí)符(PLMN_ID)。
[0061]第二參數(shù)的具體示例可以包括0x02、PLMN_ID、RAND、IMPI或MSI以及令牌的級(jí)聯(lián)連接，或根據(jù)該級(jí)聯(lián)連接導(dǎo)出。例如，可以將第二參數(shù)表示為:
[0062]0x02 I I PLMN_ID | | RAND | | IMPI | | 令牌
[0063]當(dāng)令牌是SQN時(shí)，以上變?yōu)?
[0064]0x02 I I PLMN_ID | | RAND | | IMPI | | SQN
[0065]當(dāng)令牌是AUTN時(shí)，以上變?yōu)?
[0066]0x02 I IPLMN_ID| |RAND| |IMPI| |AUTN
[0067]如上所述，第一參數(shù)可以包括加密密鑰集合，或根據(jù)加密密鑰集合導(dǎo)出。具體地，該加密密鑰集合可以包括由通信實(shí)體作為安全操作的一部分而計(jì)算的密碼密鑰(CK)和完整性密鑰(IK)。備選地，加密密鑰集合可以根據(jù)密碼密鑰和完整性密鑰導(dǎo)出。
[0068]作為一個(gè)具體實(shí)施，第一參數(shù)可以包括CK和IK的級(jí)聯(lián)連接，或者根據(jù)所述CK和所述IK的級(jí)聯(lián)連接導(dǎo)出，可以將該級(jí)聯(lián)連接表示為:
[0069]CKI IIK
[0070]該設(shè)備不僅可以基于所提供的第一和第二參數(shù)來生成加密密鑰，還可以基于所生成的加密密鑰來生成更多加密密鑰。因此，該設(shè)備可以適于應(yīng)用一個(gè)或多個(gè)其他密鑰導(dǎo)出函數(shù)，以基于已經(jīng)生成的加密密鑰來生成更多加密密鑰。
[0071]這些“更多加密密鑰”可以包括以下至少一項(xiàng):用于保護(hù)非接入層(NAS)業(yè)務(wù)的加密密鑰集合；用于保護(hù)無線資源控制(RRC)業(yè)務(wù)的加密密鑰集合；用于保護(hù)用戶平面(UP)業(yè)務(wù)的加密密鑰集合；用于導(dǎo)出保護(hù)RRC業(yè)務(wù)的加密密鑰和/或保護(hù)UP業(yè)務(wù)的加密密鑰的中間加密密鑰K.。
[0072]上述通信實(shí)體可以是用戶設(shè)備，如移動(dòng)臺(tái)(例如移動(dòng)電話或網(wǎng)卡)。
[0073]根據(jù)另一方面，提供了一種包括上述設(shè)備的用戶設(shè)備。該用戶設(shè)備可以是移動(dòng)臺(tái)。
[0074]根據(jù)另一方面，提供了一種包括上述用戶設(shè)備的系統(tǒng)。所述系統(tǒng)還包括網(wǎng)絡(luò)實(shí)體。該網(wǎng)絡(luò)實(shí)體可以用于SAE/LTE網(wǎng)絡(luò)內(nèi)。該網(wǎng)絡(luò)實(shí)體可以包括AuC/HSS和MME。MME可以負(fù)責(zé)發(fā)起針對(duì)用戶設(shè)備的安全操作。AuC/HSS可以生成加密密鑰?？梢杂捎脩粼O(shè)備和MME共享所生成的加密密鑰。AuC/HSS可以增大SQN，具體地，在每次針對(duì)用戶設(shè)備發(fā)起安全操作時(shí)增大SQN。此外，AuC/HSS也可以基于SQN來構(gòu)造AUTN。
【專利附圖】

【附圖說明】
[0075]以下參照附圖中示出的示例實(shí)施例來描述加密密鑰生成技術(shù)，其中:
[0076]圖1是示出了 UMTS AKA協(xié)議的基本概念的圖；
[0077]圖2是示出了針對(duì)SAE/LTE系統(tǒng)提出的密鑰層級(jí)的框圖；
[0078]圖3是示出了設(shè)備實(shí)施例的框圖；
[0079]圖4是示出了系統(tǒng)實(shí)施例的框圖；
[0080]圖5是示出了方法實(shí)施例的框圖；
[0081]圖6是示出了網(wǎng)絡(luò)實(shí)體生成認(rèn)證向量的UMTS AKA操作過程的框圖；
[0082]圖7是示出了認(rèn)證和密鑰建立的另一 UMTS AKA操作過程的框圖；
[0083]圖8是示出了 UE執(zhí)行的、作為UMTS AKA操作的一部分的一般認(rèn)證功能的框圖；[0084]圖9是示出了在UE處執(zhí)行上述認(rèn)證功能的特定加密算法的框圖；以及
[0085]圖10是示出了上述加密算法的特定細(xì)節(jié)的框圖。
【具體實(shí)施方式】
[0086]在以下描述中，為了解釋而非限制的目的，闡述了具體細(xì)節(jié)，如步驟的特定序列、接口和配置，以提供對(duì)加密密鑰生成技術(shù)的透徹理解。對(duì)本領(lǐng)域技術(shù)人員而言顯而易見地，在脫離這些具體細(xì)節(jié)的其他實(shí)施例中，可以實(shí)現(xiàn)該技術(shù)。例如，盡管主要在UMTS AKA協(xié)議和SAE/LTE網(wǎng)絡(luò)環(huán)境的上下文中描述該技術(shù)，但是對(duì)本領(lǐng)域技術(shù)人員而言顯而易見地，可以通過其他安全協(xié)議、架構(gòu)或環(huán)境相結(jié)合實(shí)現(xiàn)該技術(shù)。
[0087]此外，本領(lǐng)域技術(shù)人員可以理解，可以使用與編程的微處理器或通用計(jì)算機(jī)結(jié)合工作的軟件來實(shí)現(xiàn)在下文中解釋的功能。還可以理解，盡管主要以方法和設(shè)備的形式來描述該技術(shù)，但是還可以將該技術(shù)嵌入計(jì)算機(jī)程序產(chǎn)品中以及包括計(jì)算機(jī)處理器和耦合至處理器的存儲(chǔ)器在內(nèi)的系統(tǒng)中，其中，使用可以執(zhí)行本文公開的功能的一個(gè)或更多程序來對(duì)存儲(chǔ)器進(jìn)行編碼。
[0088]圖3示出了設(shè)備100的實(shí)施例，設(shè)備100適于生成用于通信實(shí)體(圖3中未示出)的加密密鑰。該通信實(shí)體適于運(yùn)行安全操作。設(shè)備100包括第一組件102和第二組件104。第一組件102適于提供至少兩個(gè)參數(shù)，象征性地在箭頭106和108處示出。
[0089]第一參數(shù)106包括加密密鑰110和112的集合，或根據(jù)加密密鑰110和112的集合的導(dǎo)出(盡管圖中示出了兩個(gè)密鑰，但是加密密鑰集合可以包括任何數(shù)目的密鑰)。已經(jīng)由通信實(shí)體通過運(yùn)行安全操作來計(jì)算加密密鑰集合。將加密密鑰110和112的集合導(dǎo)出為第一參數(shù)106的操作象征性地示出為塊114。第二參數(shù)108包括令牌116，或根據(jù)令牌116導(dǎo)出。每次針對(duì)通信實(shí)體發(fā)起安全操作時(shí)，令牌116具有不同的值。將令牌116導(dǎo)出為第二參數(shù)108的操作象征性地示出為塊118。設(shè)備100的第二組件104適于運(yùn)行密鑰導(dǎo)出函數(shù)，以基于所提供的參數(shù)106和108來生成加密密鑰120。
[0090]參照?qǐng)D4，示出了包括上述設(shè)備100的系統(tǒng)200的實(shí)施例。通信實(shí)體202可以包括設(shè)備100，通信實(shí)體202可以是UE，如移動(dòng)臺(tái)。當(dāng)然，通信實(shí)體202可以是能夠容納設(shè)備100的任何合適類型的通信實(shí)體。此外，系統(tǒng)包括網(wǎng)絡(luò)實(shí)體204，網(wǎng)絡(luò)實(shí)體204可以位于SAE/LTE網(wǎng)絡(luò)中。網(wǎng)絡(luò)實(shí)體204可以包括AuC或HSS和MME。它還可以是SAE/LTE網(wǎng)絡(luò)中的另一通信實(shí)體。
[0091]與圖3和4所示的加密密鑰生成設(shè)備100相對(duì)應(yīng)，圖5中示出了圖300，圖300示出了用于生成加密密鑰的方法的實(shí)施例。所生成的密鑰用于保護(hù)兩個(gè)實(shí)體之間的通信。第一實(shí)體302可以與圖4所示的通信實(shí)體202相對(duì)應(yīng)，并且第二實(shí)體304可以與圖4的網(wǎng)絡(luò)實(shí)體204相對(duì)應(yīng)。第一實(shí)體可以是UE。然而，該實(shí)施例不限于UE-網(wǎng)絡(luò)實(shí)體場景。而是可以應(yīng)用與一般的任何兩個(gè)通信實(shí)體。
[0092]MME可以負(fù)責(zé)發(fā)起針對(duì)通信實(shí)體202的安全操作。所生成的加密密鑰可以由MME和通信實(shí)體202共享。
[0093]具體地，該方法實(shí)施例可以由第一實(shí)體302執(zhí)行，作為在箭頭300’處象征性地示出的安全操作的一部分，該安全操作由第二實(shí)體304(具體由其MME)針對(duì)第一實(shí)體302發(fā)起。該實(shí)施例本身包括兩個(gè)步驟:306和308。步驟306提供至少兩個(gè)參數(shù)(圖3的106和108)。第一參數(shù)包括第一實(shí)體302通過運(yùn)行安全操作300’計(jì)算的加密密鑰(圖3中所示的110和112)的集合，或根據(jù)加密密鑰集合導(dǎo)出。第二參數(shù)包括令牌(圖3中所示的116)，或根據(jù)令牌導(dǎo)出，每次第二實(shí)體304針對(duì)第一實(shí)體302發(fā)起安全操作300’時(shí)，令牌具有不同的值。在第二步驟308，應(yīng)用密鑰導(dǎo)出函數(shù)，基于所提供的參數(shù)(圖3中所示的106和108)來生成加密密鑰(圖3中所示的120)。
[0094]以下給出實(shí)質(zhì)細(xì)節(jié)，以解釋加密密鑰生成技術(shù)，其中特別強(qiáng)調(diào)該技術(shù)如何可以成功避免兩個(gè)UE之間的密鑰沖突，或者更重要地，如何避免針對(duì)同一 UE的安全操作的兩次不同執(zhí)行之間的密鑰沖突。
[0095]加密密鑰生成可以是UMTS AKA操作的一部分。UMTS AKA基于以下實(shí)施:UE(尤其是其USM)與UE的歸屬地環(huán)境(HE)中的AuC/HSS共享用戶專有密鑰K、特定消息認(rèn)證函數(shù)
H、f2和特定加密密鑰生成函數(shù)f3、f4、f5。此外，USIM和AuC/HSS跟蹤計(jì)數(shù)器，或分別跟蹤序號(hào)SQNue和SQNhe,以支持網(wǎng)絡(luò)認(rèn)證。例如，AuC/HSS可以增大SQNhe,具體地，每次針對(duì)第一實(shí)體發(fā)起安全操作時(shí)增大SQNhe。UMTS AKA操作包括多個(gè)過程，包括認(rèn)證向量(AV)的生成以及認(rèn)證和密鑰建立。
[0096]AV過程的目的是向SN/VLR (或MME)提供來自UE的HE的新AV的數(shù)組，以執(zhí)行多個(gè)用戶認(rèn)證。圖6示出了 HE生成認(rèn)證向量的操作。參照該圖,在從SN/VLR接收到請(qǐng)求時(shí)，AuC/HSS向SN/VLR發(fā)送η個(gè)認(rèn)證向量AV (1...η)的有序數(shù)組。每個(gè)AV包括隨機(jī)數(shù)(或隨機(jī)質(zhì)詢)RAND、期望響應(yīng)XRES、密碼密鑰CK、完整性密鑰IK和認(rèn)證令牌AUTN。
[0097]AuC/HSS從生成新序號(hào)SQN和不可預(yù)測的質(zhì)詢RAND開始操作。隨后，計(jì)算以下值:
[0098]-消息認(rèn)證碼MAC=fI (SQN | | RAND | | AMF)，其中f I是消息認(rèn)證函數(shù)；
[0099]-期望響應(yīng)XRES=f2(RAND)，其中f2是(可能截?cái)嗟?消息認(rèn)證函數(shù)；
[0100]-密碼密鑰CK=f3(RAND)，其中f3是密鑰生成函數(shù)；
[0101]-完整性密鑰IK=f4(RAND)，其中f4是密鑰生成函數(shù)；以及
[0102]-匿名密鑰AK=f5(RAND)，其中f5是密鑰生成函數(shù)。
[0103]最終，構(gòu)造認(rèn)證令牌AUTN = (SQN xOR AK) | | AMF | | MAC?？梢杂葾uC/HSS來構(gòu)造它。這里，AK是用于隱藏SQN的匿名密鑰，因?yàn)镾QN可能暴露UE的標(biāo)識(shí)和位置。隱藏SQN是為了抵御被動(dòng)攻擊。AK的使用可以是可選的。當(dāng)不使用AK時(shí)，可以象征性地代之以值A(chǔ)K=OO0...0。
[0104]在認(rèn)證響應(yīng)中，將AV的數(shù)組發(fā)送回進(jìn)行請(qǐng)求的SN/VLR。每個(gè)AV對(duì)SN/VLR與USM之間的一個(gè)(并且僅有一個(gè))認(rèn)證和密鑰協(xié)商有效。
[0105]UMTS AKA操作的下一過程，認(rèn)證和密鑰建立，是用于在SN/VLR與UE之間互相認(rèn)證和建立新的密碼密鑰和完整性密鑰。圖7中示出了該過程。參照該圖，當(dāng)SN/VLR發(fā)起認(rèn)證和密鑰協(xié)商時(shí)，SN/VLR從數(shù)組中選擇下一 AV，并將參數(shù)RAND和AUTN發(fā)送至UE。USM檢查是否可以接受AUTN，如果是，則產(chǎn)生發(fā)送回SN/VLR的響應(yīng)RES。具體地，在圖8中示出了UE的過程。
[0106]參照?qǐng)D8，在接收到RAND和AUTN時(shí)，UE首先計(jì)算匿名密鑰AK=f5 (RAND)(或使用AK=OO0...0),并取回序號(hào)SQN= (SQN xOR AK) xOR AK。接下來，UE計(jì)算XMAC=fl (SQN RAND AMF)，并將其與AUTN中包括的MAC進(jìn)行比較。如果它們不同，則UE將具有原因指示的用戶認(rèn)證拒絕發(fā)送回SN/VLR，UE放棄該過程。否則，UE驗(yàn)證接收的SQN在正確范圍內(nèi)。
[0107]如果認(rèn)為SQN在正確范圍內(nèi)，則UE計(jì)算RES=f 2 (RAND)，并將該參數(shù)包括在返回SN/VLR的用戶認(rèn)證響應(yīng)中。最終，UE計(jì)算密碼密鑰CK=f3 (RAND)和完整性密鑰IK=f4(RAND)0為了提高效率，也可以在接收RAND之后的任何時(shí)間，更早地計(jì)算RES、CK和IK0 UE可以存儲(chǔ)RAND用于同步目的。
[0108]在接收用戶認(rèn)證響應(yīng)之后，SN/VLR將RES與來自所選認(rèn)證向量的期望響應(yīng)XRES進(jìn)行比較。如果XRES與RES相等，則用戶的認(rèn)證已經(jīng)被接受。然后，USIM和SN/VLR將新計(jì)算的密鑰CK和IK傳送至執(zhí)行密碼和完整性功能的實(shí)體。[0109]從以上內(nèi)容可以看到，UMTS AKA操作基于(RAND，AUTN)對(duì)，AUTN包括序號(hào)SQN或根據(jù)序號(hào)SQN導(dǎo)出，如:
[0110]AUTN= (SQN xOR AK) | | AMF | | MAC
[0111]其中AK是匿名密鑰，可以通過Milenage (見圖9)根據(jù)上述輸出“f5”來產(chǎn)生。
[0112]以下函數(shù)是對(duì)上述沖突問題的第一解決方案:
[0113]KDF (CF I I IK, RAND | | IMPI | | SQN)
[0114]其中輸入已經(jīng)包括SQN?，F(xiàn)在，即使兩個(gè)RAND相同，即RAND=RAND’，SQN始終增大(例如增大I)的事實(shí)將確保輸入不同、唯一或獨(dú)特。
[0115]備選解決方案使用:
[0116]KDF (CKI I IK, RAND | | IMPI | | AUTN)
[0117]該方案更容易實(shí)現(xiàn)，因?yàn)榭梢浴霸瓨印笔褂脕碜訟KA信令的AUTN。然而，在這種情況下，輸入的“唯一性”可能不明顯，因?yàn)?
[0118]AUTN= (SQN xOR AK) | AMF MAC
[0119]即使SQN Φ SQN’，可能不能直接看出(SQN xOR AK)、(SQN’xOR AK’)將不同，因?yàn)锳K可能潛在地“消除”了差異。然而，以下，可以證明(SQN xOR AK)的獨(dú)特性。
[0120]假定:
[0121](CKI I IK, RAND | IMPI | AUTN) = (CK’ | | IK，，RAND，| | IMPI | AUTN’)
[0122]已經(jīng)表明，這意味著CK=CK’，IK=IK’W&RAND=RAND’。因此，仍要檢查 AUTN=AUTN’是否成立。這種檢查可以轉(zhuǎn)換為檢查以下是否成立:
[0123](SQN xOR AK) | AMF MAC= (SQN，xOR AK’) | AMF，| MAC，
[0124]不失一般性，假定AMF=AMF’，MAC=MAC’。此時(shí)，只要檢查以下是否成立:
[0125]SQN xOR AK=SQN ’ xOR AK ’
[0126]回想期望RAND=RAND ’。參照?qǐng)D9所示的Milenage算法,這意味著AK=AK’ (由于它們是由相同的RAND產(chǎn)生的)。因此，必須有:
[0127]SQN=SQN’
[0128]這是一個(gè)矛盾，因?yàn)槿缟纤?，SQN始終“逐步增大”，因此SNQ ? SQN’。
[0129]因此，正明第二方案也保正了對(duì)KDF函數(shù)的輸入的唯一性。
[0130]作為一般方案，取代使用SQN或AUTN來實(shí)現(xiàn)唯一性，每次網(wǎng)絡(luò)針對(duì)UE發(fā)起UMTSAKA操作時(shí)具有不同值的任何令牌都是可行的。例如，可以使用SQN xOR AK(形成AUTN的一部分)，由于它(通過上述分析)具有所需的唯一性屬性。
[0131]這里，上述加密密鑰生成技術(shù)表現(xiàn)出許多優(yōu)點(diǎn)。例如，它保證了 KDF輸入的唯一性。因此，它成功地避免了可能的相同輸入所帶來的問題。使用這種技術(shù)，所生成的加密密鑰應(yīng)當(dāng)能夠滿足例如SAE/LTE系統(tǒng)中的高等級(jí)安全性要求。作為另一優(yōu)點(diǎn)，該技術(shù)可以基于已經(jīng)部署的USM來實(shí)現(xiàn)，無需任何USM替換。使用AUTN而不是SQN的另一具體優(yōu)點(diǎn)在于，可以在移動(dòng)終端中(在USM之外)實(shí)施本發(fā)明。
[0132]盡管已經(jīng)在附圖中示出了并在前述描述中描述了加密密鑰生成技術(shù)的實(shí)施例，但是可以理解，該技術(shù)不限于本文公開的實(shí)施例。在不脫離本發(fā)明范圍的前提下，能夠?qū)υ摷夹g(shù)進(jìn)行許多重新配置、修改和替換。
【權(quán)利要求】
1.一種用于生成加密密鑰(120)的方法，所述加密密鑰用于保護(hù)第一實(shí)體(202、302)和第二實(shí)體(204、304)之間的通信，其中所述方法由包括在第一實(shí)體(202、302)中的加密密鑰生成設(shè)備(100)執(zhí)行，作為由第二實(shí)體(204、304)發(fā)起的認(rèn)證和密鑰協(xié)商協(xié)議AKA過程的一部分，所述方法包括以下步驟: -提供(306)至少兩個(gè)參數(shù)(106、108)，其中，第一參數(shù)(106)包括所述第一實(shí)體(202、302)通過運(yùn)行所述AKA過程而計(jì)算的加密密鑰集合(110、112)，或者所述第一參數(shù)(106)是根據(jù)所述加密密鑰集合導(dǎo)出的；以及第二參數(shù)包括令牌(116)或者是根據(jù)令牌(116)導(dǎo)出的，所述令牌(116)包括序號(hào)SQN和匿名密鑰AK的異或；以及 -應(yīng)用(308)密鑰導(dǎo)出函數(shù)，以基于所提供的參數(shù)(106、108)來生成加密密鑰(120)。
2.根據(jù)權(quán)利要求1所述的方法，其中，所述SQN指示所述第二實(shí)體(204、304)已經(jīng)針對(duì)所述第一實(shí)體(202、302)發(fā)起的所述AKA過程的次數(shù)。
3.根據(jù)權(quán)利要求1所述的方法，其中，所述令牌(116)是所述SQN與所述匿名密鑰AK的異或、認(rèn)證和密鑰管理字段AMF以及消息認(rèn)證碼MAC的級(jí)聯(lián)連接。
4.根據(jù)權(quán)利要求1所述的方法，其中，所述第一參數(shù)(106)中包括的所述加密密鑰集合(110、112)或者用于導(dǎo)出所述第一參數(shù)(106)的所述加密密鑰集合(110、112)包括密碼密鑰CK(IlO)和完整性密鑰IK (112)，或者是根據(jù)所述CK和所述IK導(dǎo)出的。
5.根據(jù)權(quán)利要求1所述的方法，還包括以下步驟: -應(yīng)用一個(gè)或更多其他密鑰導(dǎo)出函數(shù)，以基于所生成的加密密鑰(120)來生成更多加密密鑰。
6.根據(jù)權(quán)利要求5所述的方法，其中，所述更多加密密鑰包括以下至少一項(xiàng): -用于保護(hù)非接入層NAS業(yè)務(wù)的加密密鑰集合；` -用于保護(hù)無線資源控制RRC業(yè)務(wù)的加密密鑰集合； -用于保護(hù)用戶平面UP業(yè)務(wù)的加密密鑰集合；以及 -用于導(dǎo)出保護(hù)RRC業(yè)務(wù)的加密密鑰和/或保護(hù)UP業(yè)務(wù)的加密密鑰的中間加密密鑰KeNB。
7.根據(jù)權(quán)利要求1所述的方法，其中，所述第一實(shí)體(202、302)是用戶設(shè)備。
8.根據(jù)權(quán)利要求1所述的方法，其中，所述第二實(shí)體(204、304)是網(wǎng)絡(luò)實(shí)體。
9.根據(jù)權(quán)利要求8所述的方法，其中，所述第二實(shí)體(204、304)位于系統(tǒng)架構(gòu)演進(jìn)SAE/長期演進(jìn)LTE網(wǎng)絡(luò)中。
10.根據(jù)權(quán)利要求8所述的方法，其中，所述第二實(shí)體(204、304)包括認(rèn)證中心AuC/歸屬地訂戶服務(wù)器HSS和移動(dòng)性管理實(shí)體MME。
11.根據(jù)權(quán)利要求1所述的方法，其中，所述安全操作是由所述第一實(shí)體(202、302)和第二實(shí)體(204、304)協(xié)作執(zhí)行的。
12.根據(jù)權(quán)利要求1所述的方法，其中，所述AKA過程是UMTSAKA協(xié)議。
13.根據(jù)權(quán)利要求1所述的方法，其中，每次所述第二實(shí)體(204、304)針對(duì)所述第一實(shí)體(202、302)發(fā)起所述AKA過程時(shí)，所述至少兩個(gè)參數(shù)(106、108)的組合具有不同的值。
14.一種配置用于生成用于通信實(shí)體(202、302)的加密密鑰的設(shè)備(100)，所述通信實(shí)體(202、302)配置用于運(yùn)行認(rèn)證和密鑰協(xié)商協(xié)議AKA過程，所述設(shè)備(100)包括: -第一組件(102)，配置用于提供至少兩個(gè)參數(shù)(106、108)，其中，第一參數(shù)(106)包括所述通信實(shí)體(202、302)通過運(yùn)行所述AKA過程而計(jì)算的加密密鑰集合(110、112)，或者所述第一參數(shù)是根據(jù)所述加密密鑰集合(110、112)導(dǎo)出的；以及第二參數(shù)(108)包括令牌(116)或者是根據(jù)令牌(116)導(dǎo)出的，所述令牌(116)包括序號(hào)SQN和匿名密鑰AK的異或；以及 -第二組件(104)，配置用于運(yùn)行密鑰導(dǎo)出函數(shù)，以基于所提供的參數(shù)(106、108)來生成加密密鑰(120)。
15.根據(jù)權(quán)利要求14所述的設(shè)備(100)，其中，所述SQN指示已經(jīng)針對(duì)所述通信實(shí)體(202.302)發(fā)起所述AKA過程的次數(shù)。
16.根據(jù)權(quán)利要求14所述的設(shè)備(100)，其中，所述第一參數(shù)(106)中包括的所述加密密鑰集合(110、112)或者用于導(dǎo)出所述第一參數(shù)(106)的所述加密密鑰集合(110、112)包括密碼密鑰CK(IlO)和完整性密鑰IK (112)，或者是根據(jù)CK和IK導(dǎo)出的，所述CK和所述IK是所述通信實(shí)體(202、302)作為所述AKA過程的一部分來計(jì)算的。
17.根據(jù)權(quán)利要求14所述的設(shè)備(100)，還配置用于:應(yīng)用一個(gè)或更多其他密鑰導(dǎo)出函數(shù)，以基于所生成的加密密鑰(120)來生成更多加密密鑰。
18.根據(jù)權(quán)利要求14所述的設(shè)備(100)，其中，每次針對(duì)所述通信實(shí)體(202、302)發(fā)起所述AKA過程時(shí)，所述至少兩個(gè)參數(shù)(106、108)的組合具有不同的值。
19.一種用戶設(shè)備(202)，配置用于運(yùn)行認(rèn)證和密鑰協(xié)商協(xié)議AKA過程，并包括根據(jù)權(quán)利要求14至18中任一項(xiàng)所述的設(shè)備(100)。
20.一種系統(tǒng)(200)，包括網(wǎng)絡(luò)實(shí)體(204、304)和根據(jù)權(quán)利要求19所述的用戶設(shè)備(202.302)。
21.根據(jù)權(quán)利要求20所述的系統(tǒng)(200)，其中，所述網(wǎng)絡(luò)實(shí)體(204、304)用于系統(tǒng)架構(gòu)演進(jìn)SAE/長期演進(jìn)LTE網(wǎng)絡(luò)。
【文檔編號(hào)】H04L9/06GK103746794SQ201310606861
【公開日】2014年4月23日 申請(qǐng)日期:2008年7月21日 優(yōu)先權(quán)日:2008年6月6日
【發(fā)明者】卡爾·諾曼, 馬茨·內(nèi)斯隆德 申請(qǐng)人:艾利森電話股份有限公司