專利名稱:無線電通信網(wǎng)絡(luò)中的防克隆相互鑒權(quán)的制作方法
無線電通信網(wǎng)絡(luò)中的防克隆相互鑒權(quán)
優(yōu)先權(quán)要求
本申請要求2004年12月17日提交的美國臨時申請No.60/636906 的權(quán)益,通過引用將其完整公開結(jié)合到本文中。
背景
本發(fā)明涉及用戶鑒權(quán)。非限制性地更具體來說,本發(fā)明針對利用 基于SIM的鑒權(quán)來防止用戶身傷"漠塊(SIM)的克隆以及增強(qiáng)針對蜂窩 無線電通信網(wǎng)絡(luò)中或者其它服務(wù)中的克隆SIM的保護(hù)的方法。
在現(xiàn)有的第二代(2G)和第三代(3G)標(biāo)準(zhǔn)中,安全性基于在歸屬運 營商的鑒權(quán)中心(AuC)中以及在諸如全球移動通信系統(tǒng)(GSM)用戶身 份模塊(SM)、通用移動電話服務(wù)(UMTS)SIM(即USIM)或者因特網(wǎng)協(xié) 議多媒體子系統(tǒng)(IMS)SIM(即ISIM)之類的用戶的"身份模塊"中存儲 的共享保密密鑰K。用戶根據(jù)其身份、國際移動臺標(biāo)識符(IMSI)以及 在其中用戶證明他知道共享保密密鑰K的詢問-應(yīng)答協(xié)議凈皮鑒權(quán)(和計 費)。
圖l是消息流程圖,說明在通過引用結(jié)合到本文中的第三代合作 項目技術(shù)規(guī)范3GPP TS 33.102, V6.2.0中詳細(xì)描述的現(xiàn)有鑒權(quán)規(guī)程中 的消息流程。所涉及的實體是USIM1、用作中間件的來訪位置寄存器 (VLR)2以及生成鑒權(quán)向量的歸屬環(huán)境鑒權(quán)中心(HE/AuC)3。在以下描 述中,參照網(wǎng)絡(luò)表明VLR以及HE/AuC。所使用的機(jī)制基于在USIM 與HE/AuC之間共享的保密密鑰K。各USIM被分配隨機(jī)的唯一 K。 為了實現(xiàn)(相互)鑒權(quán),USIM和HE/AuC向另 一方證明了解保密密鑰。
USIM 1向VLR 2發(fā)送鑒權(quán)請求4,并且在請求中包含標(biāo)識符、如 IMSI。 VLR向HE/AuC3轉(zhuǎn)發(fā)鑒權(quán)請求。當(dāng)HE/AuC接收鑒權(quán)請求時,
HE/AuC更新序列號(SQNhe),選擇隨機(jī)值RAND,以及通過對K、 RAND、 sqnhe和消息字段(AMF)應(yīng)用函數(shù)fl來計算加密鑰消息鑒權(quán) 碼(MAC)。預(yù)期響應(yīng)(XRES)采用由運營商定義的函數(shù)f2來計算,并且 可保密,但是無疑是USIM和HE/AuC已知的。HE/AuC還計算加密鑰 值Ck=f3(K,RAND); lk=f4(K,RAND); AK=f5(K,RAND);以及稱作 AUTN=SQN XOR AK||AMF||MAC的鑒權(quán)消息,它們均在3GPP TS 33.102中定義。在5, HE/AuC向VLR發(fā)送RAND、 XRES、 AUTN、 Ck和lk。在6, VLR向USIM發(fā)送RAND和包含SQNnE(保密保護(hù))、 AMF和MAC的消息AUTN。
USIM l檢驗MAC,它證實發(fā)送實體、即網(wǎng)絡(luò)知道共享密鑰K。 在這種檢驗之后,USIM知道詢問來自其HE/AuC3。但是要注意,這 沒有證明,詢問從合法網(wǎng)絡(luò)發(fā)送到USIM,因為RAND和AUTN消息 可能已經(jīng)被詐騙實體截取并且在以后重放。為了防止這類重放攻擊, USIM相對它自己的值SQNMS來檢驗SQNhe的新鮮度。如果USIM判 定呈現(xiàn)的SQNhe是失序的,則它返回出錯代碼和消息AUTS。 AUTS 包含由USIM保持的序列號(SEQMs)(保密保護(hù))和MAC。如果SQN朋 是最新的,則它先前未被使用,以及由于RAND由已檢驗MAC綁定 到序列號,所以它表示RAND也是最新的。USIM則計算響應(yīng) RES=f2(K,RAND),并在7把RES返回給VLR 2。 VLR則檢驗 RES-XRES。如果這種檢驗是成功的,則用戶被認(rèn)為已鑒權(quán),并且密 鑰Ck和lk可用于數(shù)據(jù)保護(hù)(保密性和完整性)。
但是,現(xiàn)有標(biāo)準(zhǔn)不提供任何方式來檢測采用相同K/MSI的多個副 本的克隆。針對"克隆,,的保護(hù)只依靠逆向工程設(shè)計身份模塊、如USIM 的假定困難或者了解共享密鑰K的困難。但是要注意,這些假定困難 可能不會那么大。首先,由于共享密鑰K在身份才莫塊與HE/AuC之間 共享,所以,在某個點,K必須被傳遞給AuC。這種傳遞是黑客或不 誠實的內(nèi)部人員可能了解K的一個弱點。其次,如果黑客/內(nèi)部人員危 及HE/AuC,則不僅對于單個目標(biāo)用戶,而且更可能對于與該HE/AuC
關(guān)聯(lián)的全部用戶,安全性完全失效。第三,某些AKA算法(例如GSM AKA的COMP128版本)是脆弱的,并且對SIM的訪問通過觀察 RAND/RES對而允許K的輕易的逆向工程設(shè)計。第四,SIM制造環(huán)境 中的過程可能展現(xiàn)"K泄漏"的風(fēng)險。
觀察到的網(wǎng)絡(luò)行為表明,現(xiàn)有標(biāo)準(zhǔn)不提供任何方式來檢測采用相 同K/IMSI的多個副本的克隆。相同的USIM可同時使用而沒有問題或 者任何種類的失效?,F(xiàn)有網(wǎng)絡(luò)和USIM不能夠檢測釆用相同K/IMSI 編程的克隆。
因此,本領(lǐng)域所需的是用于防止SIM、 USIM和ISIM的克隆以及 增強(qiáng)克隆保護(hù)、克服了先有技術(shù)的缺點的解決方案。本發(fā)明提供這樣 一種解決方案。
發(fā)明內(nèi)容
在一個方面,本發(fā)明針對一種防止身份模塊(IM)的未經(jīng)授權(quán)復(fù)制 的方法。該方法包括在IM中內(nèi)部生成至少第一密鑰(K1)和不同的第二 密鑰(K2),其中,生成步驟包括確保K1無法從K2中得出,以及在一 些實施例中還確保K2無法從K1中得出。IM則把K2和標(biāo)識符(ID)導(dǎo) 出到鑒權(quán)服務(wù)器(AS),同時使Kl在IM中內(nèi)部保密。Kl和K2可構(gòu)成 用于不對稱密碼術(shù)的保密/公開密鑰對,在這種情況中,公開密鑰K2 在AS中保密。用于生成K1和K2的IM中的內(nèi)部信息可被擦除,以 便確保K1無法從K2中得出或者K2無法從K1中得出。
由于密鑰Kl和K2是不同的,所以對AS的損害/闖入不會公開從 中可推斷K1的信息,因而阻止IM的克隆。類似地,K2從IM到AS 的傳遞不需要極大地保護(hù)。大家會看到,本發(fā)明仍然能夠保持現(xiàn)有鑒 權(quán)協(xié)議的信令流程,但是在處理中釆用不對稱密碼術(shù)而不是對稱密碼 術(shù)。下面描述采用不同類型的不對稱密碼術(shù)(例如加密、簽名等)的各 種詳細(xì)實施例。還描述了根據(jù)散列鏈的一個實施例。
稍后進(jìn)行描述,在另一個方面,還說明如何使K1不可用于得出
K2。這具有以下作用即使M受到損害(在這種情況中將有可能克隆 IM),也仍然不可能克隆AS(即,制造可與IM互配的AS)。
在本發(fā)明的鑒權(quán)階段,第三方對IM鑒權(quán)。鑒權(quán)階段包括通過 從IM向第三方提供至少包含ID的信息來發(fā)起鑒權(quán);把信息從第三方 轉(zhuǎn)發(fā)給AS;由AS根據(jù)從第三方接收的ID來檢索K2;以及由AS至 少根據(jù)K2生成至少第一值(R)和第二值(X)。鑒權(quán)階段還包括把R和 X從AS返回給第三方;把R從第三方轉(zhuǎn)發(fā)給M;由EM至少根據(jù)K1 和R生成響應(yīng)(RES);把RES從IM返回給第三方;以及由第三方根 據(jù)X來檢驗RES。
在另一個方面,本發(fā)明針對防復(fù)制IM。 IM包括用于在M中 內(nèi)部生成至少第一密鑰(K1)和第二密鑰(K2)、同時確保K1無法從K2 中得出以及K2無法從Kl中得出的部件;以及用于把K2和標(biāo)識符(ID) 從M導(dǎo)出到鑒權(quán)服務(wù)器(AS)、同時使K1在IM中內(nèi)部保密的部件。 IM可在包含根據(jù)IM執(zhí)行支付的電子商務(wù)應(yīng)用的終端中實現(xiàn)。
在又一個方面,本發(fā)明針對一種用于對訪問身傷^莫塊(IM)進(jìn)行鑒 權(quán)、同時防止訪問IM的未經(jīng)授權(quán)復(fù)制的鑒權(quán)服務(wù)器。鑒權(quán)服務(wù)器包 括用于從訪問IM接收訪問請求的部件;用于釆用鑒權(quán)服務(wù)器中但 不是訪問M中存儲的信息來生成詢問的部件,其中,鑒權(quán)服務(wù)器中 存儲的信息不足以創(chuàng)建IM克??;以及用于生成從有效IM預(yù)期的預(yù)期 響應(yīng)的部件。鑒4又服務(wù)器還包括用于向訪問IM發(fā)送詢問的部件,其 中,詢問對于各訪問嘗試改變。
在又一個方面,本發(fā)明針對一種用于為有效M提供對網(wǎng)絡(luò)的訪 問、同時防止由未經(jīng)^i受權(quán)的IM克隆對網(wǎng)絡(luò)的訪問的系統(tǒng)。該系統(tǒng)包 括鑒權(quán)服務(wù)器,用于從訪問M接收訪問請求,釆用鑒權(quán)服務(wù)器中但 不是訪問IM中存儲的信息來生成詢問,生成從有效IM預(yù)期的預(yù)期響 應(yīng),以及向訪問IM發(fā)送詢問,其中,詢問對于各訪問嘗試改變,以 及在鑒權(quán)服務(wù)器中存儲或者由其生成的信息不足以創(chuàng)建能夠作為有效 IM進(jìn)行響應(yīng)的IM克隆。系統(tǒng)還包括訪問IM中用于接收詢問并根
據(jù)詢問中的信息和訪問IM中但不是鑒權(quán)服務(wù)器中存儲的信息來預(yù)備 和發(fā)送響應(yīng)的部件;以及用于l又在訪問IM預(yù)備的響應(yīng)等于鑒權(quán)服務(wù) 器生成的預(yù)期響應(yīng)時才為訪問IM提供對網(wǎng)絡(luò)的訪問的部件。
系統(tǒng)還可包括中間節(jié)點,它適合于從鑒權(quán)服務(wù)器接收詢問和預(yù)期 響應(yīng),把詢問轉(zhuǎn)發(fā)給訪問M,從訪問IM接收響應(yīng),以及確定訪問M 預(yù)備的響應(yīng)是否等于鑒權(quán)服務(wù)器生成的預(yù)期響應(yīng)。
在又一個方面,本發(fā)明針對一種用于為有效IM提供對網(wǎng)絡(luò)的訪 問、同時防止由未經(jīng)授權(quán)的IM克隆對網(wǎng)絡(luò)的訪問的方法,其中,訪 問IM向鑒權(quán)服務(wù)器發(fā)送訪問請求。該方法在鑒權(quán)服務(wù)器中包括以下 步驟選擇隨機(jī)值y;利用RAND=gy計算隨機(jī)值(RAND);計算值 R-g^,其中的x是訪問IM已知的Diffie-Hellman私有密鑰;利用 K^KDF(R,.,.)計算共享保密密鑰(K),其中的KDF是密鑰推導(dǎo)函數(shù);更 新序列號(SQNhe);利用MAC-fl(K,RANDIISQNHAMF...)計算加密鑰 消息鑒權(quán)碼(MAC);利用XRES-f2(K,RAND)計算預(yù)期響應(yīng)(XRES); 利用Cl^f3(K,RAND)計算Ck;利用lk-f4(K,RAND)計算lk;利用 AK-f5(K,RAND)計算AK;利用AUTN=SQN XOR AK||AMF||MAC柄 成消息AUTN;以及向服務(wù)于訪問IM的來訪位置寄存器(VLR)發(fā)送 RAND、 XRES、 AUTN、 Ck和lk。
VLR向訪問IM轉(zhuǎn)發(fā)RAND和包含保密保護(hù)的SQNre、消息字段 (AMF)和MAC的AUTN。該方法則在訪問IM中包括以下步驟利用 R-RANDX確定R,其中的x是Diffie-Hellman私有密鑰;利用密鑰推 導(dǎo)函數(shù)計算共享保密密鑰K-KDF(R,...);利用AK-f5(K,RAND)計算 AK;提取和檢驗SQNnE、 AMF和MAC;利用RES-f2(K,RAND)計算 響應(yīng)(RES);以及向VLR發(fā)送RES。VLR則確定從訪問IM接收的RES 是否等于從鑒權(quán)服務(wù)器接收的XRES。訪問IM僅在從訪問IM接收的 RES等于從鑒權(quán)服務(wù)器接收的XRES時才被提供對網(wǎng)絡(luò)的訪問權(quán)。
在又一個方面,本發(fā)明針對一種用于對訪問身份;溪塊(IM)進(jìn)行鑒 權(quán)、同時防止利用具有消息恢復(fù)的簽名方案的網(wǎng)絡(luò)中的訪問IM的未
經(jīng)授權(quán)復(fù)制的方法。公開密鑰U一EK在訪問IM中內(nèi)部生成,并且在 鑒權(quán)服務(wù)器(AS)上登記。當(dāng)訪問IM向AS發(fā)送至少包括M標(biāo)識符的 訪問請求時,AS檢索訪問IM的/>開密鑰U一EK。 AS預(yù)備詢問CHAL, 它包含隨機(jī)值(RAND)、序列號(SEQ)和附加數(shù)據(jù)(DATA)中的至少一 個。AS向中間節(jié)點發(fā)送詢問和訪問IM的7>開密鑰U一EK,中間節(jié)點 把詢問從中間節(jié)點轉(zhuǎn)發(fā)給訪問IM。然后,訪問IM預(yù)備詢問的數(shù)字簽 名U一SIGN(CHAL),并把數(shù)字簽名U—SIGN(CHAL)發(fā)送給中間節(jié)點作 為對詢問的響應(yīng)RES。中間節(jié)點通過確定詢問(CHAL)是否等于^^開密 鑰U—EK(RES)來檢驗響應(yīng)。
在以下部分,將參照通過附圖所述的示范實施例來描述本發(fā)明, 附圖包括
圖l(先有技術(shù))是消息流程圖,說明現(xiàn)有第三代合作項目(3GPP) 鑒權(quán)規(guī)程中的消息的流程;
圖2是消息流程圖,說明本發(fā)明的第一實施例中的消息的流程;
圖3是消息流程圖,說明采用明文詢問系統(tǒng)的本發(fā)明的一個實施 例中的消息的流程;
圖4是消息流程圖,說明采用加密詢問系統(tǒng)的本發(fā)明的一個實施 例中的消息的流程;
圖5是消息流程圖,說明采用加密詢問系統(tǒng)的本發(fā)明的一個備選 實施例中的消息的流程;以及
圖6是消息流程圖,說明采用公開密鑰分發(fā)系統(tǒng)的本發(fā)明的一個 備選實施例中的消息的流程。
具體實施例方式
本發(fā)明采用不對稱密碼術(shù)系統(tǒng)來防止申SIM(即SIM、USIM和ISIM) 的克隆以及增強(qiáng)針對克隆身份才莫塊(IM)的保護(hù)。與先有技術(shù)配置(在
*SIM和HE/AuC中存儲相同信息)截然相反,本發(fā)明在HE/AuC中存 儲與fSIM中的信息不同的信息,并且即使在HE/AuC中的信息泄漏 時,也不足以克隆—SIM。在一個實施例中,*SIM內(nèi)部生成其保密(私 有)公開密鑰對,并且安全地把公開密鑰傳遞給HE/AuC。在另一個實 施例中,置信第三方生成保密(私有)公開密鑰對。置信第三方把保密 密鑰輸入fSIM,并且把公開密鑰傳遞給HE/AuC。注意,系統(tǒng)不依靠 如標(biāo)準(zhǔn)GSM/UMTS鑒權(quán)和密鑰協(xié)議(AKA)程序中那樣的共享密鑰。
本發(fā)明中的不對稱方案可基于公開密鑰加密或者基于Diffie-Hellman公開密鑰分發(fā)系統(tǒng)。在第一種情況中,保密密鑰U—SK等于公 開密鑰加密系統(tǒng)中的私有密鑰,以及U一PK表示對應(yīng)公開密鑰。在第 二種情況中,IT一SK表示保密值(x),以及U—PK表示對應(yīng)公共值f。
本發(fā)明設(shè)計成防止具有通過下列三種方式的任一種獲得的信息的 攻擊者進(jìn)行fSIM克隆。
1. 保存在HLR/AuC中的信息被泄露給攻擊者。這表示攻擊者可生 成可信詢問。但是,不一定表示攻擊者可生成克隆USM。
2. 保存在VLR中的信息被泄露給攻擊者。這不應(yīng)當(dāng)使攻擊者能夠 生成新的有效詢問或者給予所保存詢問的正確響應(yīng)。攻擊者也不應(yīng)當(dāng) 能夠得出從AKA程序產(chǎn)生的密鑰。
3. 編程到USM中的信息/參數(shù)被泄露給攻擊者。這不應(yīng)當(dāng)使攻擊 者能夠生成有效詢問。注意,在USIM中內(nèi)部生成的信息被假定為不 是攻擊者可得到的。通常,這是公開密鑰系統(tǒng)中的私有密鑰,以及如 果它是可得到的,則攻擊者顯然能夠克隆USIM。但是,在一個實施 例中,即使私有密鑰變?yōu)榭捎?,但它仍然不會使攻擊者能夠發(fā)出有效 鑒權(quán)詢問、即創(chuàng)建偽造的鑒權(quán)服務(wù)器。
還假定攻擊者可監(jiān)測所有所涉及實體之間的全部信令,直到執(zhí)行 攻擊的時刻為止。
本發(fā)明所考慮的攻擊是標(biāo)準(zhǔn)攻擊(1)冒充用戶;(2)冒充系統(tǒng); (3)重定向攻擊(即把鑒權(quán)請求從一個服務(wù)重定向到用于另一個服務(wù)的
USIM); (4)重放攻擊;(5)中間人攻擊以便影響密鑰;以及(6)從截 取的業(yè)務(wù)和知識'中得出密鑰。
圖2是消息流程圖,說明本發(fā)明的第一實施例中、諸如USMll 之類的*811\4、來訪位置寄存器(VLR)12與HE/AuC 13之間的消息的流 程。USIM 了解保密密鑰(SK),以及HE/AuC 了解與SK對應(yīng)的公開密 鑰(PK)。在一個示范實施例中,采取RSA公開密鑰系統(tǒng),但是容易看 到,可采用任何公開密鑰系統(tǒng)。雖然RSA具有某些特殊優(yōu)點(稍后論 述),但是,從效率/帶寬的角度來看,諸如基于橢圓曲線之類的其它系 統(tǒng)的使用也可能是有益的。USIM向VLR發(fā)送鑒權(quán)請求14,并且在請 求中包含標(biāo)識符、如IMSI。 VLR向HE/AuC轉(zhuǎn)發(fā)鑒權(quán)請求。當(dāng)HE/AuC 接收鑒權(quán)請求時,HE/AuC選擇隨機(jī)值R,并計算RAND=E(PK,R), 其中的E是RSA加密。可選地,HE/AuC可例如根據(jù)PKCS弁lvl.5或 RSA-OAEP標(biāo)準(zhǔn)在這里對R添加冗余度/填充。HE/AuC還采用 K^KDF(R,.,.)來計算得出的共享保密密鑰K,其中的KDF是密鑰推導(dǎo) 函數(shù)(例如基于AES或HMAC)。 HE/AuC則更新序列號SQNhe,利用 fl(K,RANDIISQNIIAMF…)計算MAC,利用f2(K,RAND)計算XRES, 利用f3(K,RAND)計算Ck,利用f4(K,RAND)計算lk,利用f5(K,RAND) 計算AK,以及構(gòu)造消息AUTN=SQN XOR AK||AMF||MAC,如3GPP TS 33.102中所述。在15, HE/AuC向VLR發(fā)送RAND、 XRES、 AUTN、 Ck和lk。在16, VLR向USIM轉(zhuǎn)發(fā)RAND和包含SQNHE(保密保護(hù))、 AMF和MAC的'AUTN。
在接收到RAND和AUTN時,USIM 11確定R=D(SK,RAND), 其中D是RSA解密。如果HE/AuC對R添加冗余度/填充,則USIM 在這里檢驗冗余度/填充。USM還釆用密鑰推導(dǎo)函數(shù)來計算共享保密 密鑰K二KDF(R,...)。 USIM則如3GPPTS 33.102中那樣繼續(xù)進(jìn)行,以 便預(yù)備響應(yīng)RES。在17, USIM向VLR發(fā)送RES,它確定從USIM接 收的RES是否等于從HE/AuC接收的XRES。如果采用基于RSA的公 開密鑰方案,在其中僅在USM中存儲公開密鑰的模數(shù),但不是形成 公開密鑰的素數(shù),并且在其中在公開密鑰已經(jīng)分發(fā)給HE/AuC之后被 擦除,則USIM中的信息不足以生成有效詢問。
因此,本發(fā)明應(yīng)用公開密鑰密碼術(shù)(或散列鏈,下面進(jìn)行描述)以 便保護(hù)用戶鑒權(quán)。公開密鑰解決方案與標(biāo)準(zhǔn)UMTS AKA程序的消息交 換一致,并且采用相同的置信模型,其中略微修改消息格式和處理。 散列鏈解決方案可能需要少量額外信令,除了在ISM情況中之外,其 中解決方案僅影響歸屬網(wǎng)絡(luò)內(nèi)部信令。
或者,本發(fā)明可采用明文詢問方法而不是如上所述的加密詢問方 法。兩種方法均首先假定USIM生成私有/公開密鑰對(內(nèi)部),并且以 安全方式向HE/AuC登記公開密鑰。"安全"在此表示經(jīng)過鑒權(quán)但不 一定經(jīng)過加密。無法被克隆并且實現(xiàn)攻擊檢測的USM操作將執(zhí)行涉 及私有密鑰的操作以便生成數(shù)字簽名,或者檢索明文信息。明文詢問 還假定USIM和HE/AuC共享秘密,但是作為備選,這個假定可采用 HE/AuC具有私有/公開密鑰的假定來替代。
通過明確地使AKA輸出與USIM的IMSI相關(guān),本發(fā)明對標(biāo)準(zhǔn) UMTS AKA系統(tǒng)以及對下面描述的新AKA解決方案增加整體改進(jìn)。 這使得無法采用給定用戶的密鑰K對用于標(biāo)準(zhǔn)UMTS AKA程序的 USIM進(jìn)行編程,并生成正確響應(yīng)。
本發(fā)明還使標(biāo)準(zhǔn)UMTS AKA輸出與詢問的序列號相關(guān)。在響應(yīng) 計算中包含序列號的操作防止輸出參數(shù)從先前使用的輸入?yún)?shù)計算。
明文詢問系統(tǒng)
圖3是消息流程圖,說明采用明文詢問系統(tǒng)的本發(fā)明的一個實施 例中的USIM 11、 VLR 12與HE/AuC 13之間的消息的流程。在這個 實施例中,假定USM已經(jīng)在HE/AuC上生成和登記其公開密鑰 CU一EIQ。 USM向VLR發(fā)送鑒權(quán)請求14,并且在請求中包含標(biāo)識符、 如IMSI。 VLR向HE/AuC轉(zhuǎn)發(fā)筌權(quán)請求。當(dāng)HE/AuC接收鑒權(quán)請求時, HE/AuC檢索USIM的公開密鑰U一EK,并預(yù)備詢問(CHAL)。如同標(biāo) 準(zhǔn)UMTSAKA中那樣,HE/AuC為各USIM維護(hù)各個序列計數(shù)器。由
于USIM無法被克隆的事實,序列號的生成以及USM使用的SNAP 可適應(yīng)系統(tǒng)需要和總系統(tǒng)解決方案。詢問包括RAND和SEQ以及可 能的附加數(shù)據(jù)(DATA)其中的至少一個。優(yōu)選地,RAND和SEQ均為 詢問的一部分,它優(yōu)選地在DATA部分中包含服務(wù)標(biāo)識符。服務(wù)指示 符使得無法重定向來自 一個服務(wù)的詢問,并為另 一個服務(wù)使用結(jié)果。
在18, HE/AuC向VLR 12發(fā)送詢問(CHAL)以及USM的公開密 鑰(U—EK),VLR 12在19把CHAL轉(zhuǎn)發(fā)給USIM。 USM預(yù)備詢問的數(shù) 字簽名U一SIGN(CHAL),并將其作為響應(yīng)(RES)20發(fā)送給VLR, VLR 則通過確定詢問(CHAL)是否等于公開密鑰U一EK(RES)來檢驗該簽 名。
在圖3的實施例中, -底定采用消息恢復(fù)的簽名方案。如果釆用具 有附錄的簽名,則檢驗CHAL- U—EK(RES)由hash(CHAL)= U一EK(RES)替代。為了防止拒絕服務(wù)攻擊以及檢驗詢問是否來自已鑒 權(quán)源,詢問以及用戶的公開密鑰可受到采用共享密鑰MAC的完整性 保護(hù)。HE/AuC或者可采用所有用戶的公用公開/私有密鑰對或者USIM 特有公開/私有密鑰對來數(shù)字簽署詢問。在后一種情況中,公開密鑰可 在USIM向HE/AuC登記其公開密鑰的同時分發(fā)給USM。通過以這 種方式對詢問進(jìn)行完整性保護(hù),攻擊者無法產(chǎn)生用于所有情況的有效 ,問,除非他具有與HE/AuC同樣的知識。因此,攻擊者無法發(fā)送詢 問以阻塞有效序列號。
共享密鑰還可如同標(biāo)準(zhǔn)UMTS AKA系統(tǒng)中那樣用來推導(dǎo)共享密 鑰、如Ck和lk。在這個導(dǎo)出的實施例中,密鑰優(yōu)選地取決于完整的 詢問而不只是RAND部分。這保證密鑰還將取決于序列號和DATA部 分。如果終端或USIM例如可檢驗數(shù)據(jù)部分中的服務(wù)描述符是正確 的,則重定向攻擊凈支阻塞。注意,得出的共享密鑰必須從HE/AuC發(fā) 送給VLR。
隱藏標(biāo)準(zhǔn)UMTS AKA系統(tǒng)提供的序列號的方法也適用于這個解 決方案。
還要注意,如果USIM中的共享密鑰被泄露,則攻擊者可生成有 效詢問,因為USIM的公開密鑰必須被認(rèn)為是公開已知的,因為它以 明文發(fā)送給VLR。如果詢問采用HE/AuC私有密鑰來簽署,則情況不 是這樣。攻擊者在這種情況中還可能能夠在實際USIM已經(jīng)鑒權(quán)之后 "攔截"連接,因為攻擊者可能能夠得出相同的會話密鑰。為了防止 這種情況,密鑰應(yīng)當(dāng)是僅在具有USIM中的保密(非共享)密鑰時才可得 出。這可通過讓HE/AuC向USIM發(fā)送"密鑰籽",如先前描述的加 密詢問解決方案中執(zhí)行的那樣通過USIM的公開密鑰加密來完成。 備選加密詢問系統(tǒng)
圖4是消息流程圖,說明采用加密詢問系統(tǒng)的本發(fā)明的一個備選 實施例中的USIM 11、 VLR 12與HE/AuC 13之間的消息的流程。在 這個實施例與以上所述的加密詢問實施例之間存在兩個主要差別。首 先,在這個實施例中,完整性保護(hù)通過讓USIM和HE/AuC共享保密 密鑰來提供。其次,在這個實施例中,使USIM公開密鑰可供VLR使 用。在這個實施例中,假定USIM已經(jīng)生成和在HE/AuC上登記其公 開密鑰(U一EK)。正如以上所述,HE/AuC或者可采用公開/私有密鑰對 來數(shù)字簽署詢問。
USIM向VLR發(fā)送鑒權(quán)請求14,并且在請求中包含標(biāo)識符、如 IMSI。 VLR向HE/AuC轉(zhuǎn)發(fā)鑒4又請求。當(dāng)HE/AuC接收鑒權(quán)請求時, HE/AuC檢索USIM的公開密鑰U_EK,并預(yù)備和加密詢問(E一CHAL)。 在21,HE/AuC向VLR 12發(fā)送E—CHAL以及USIM的公開密鑰(U一EK) 和MAC, VLR 12在22把E—CHAL和MAC轉(zhuǎn)發(fā)給USIM。大家注意, 對VLR傳遞公開密鑰U_EK的步驟是與先前所述的加密詢問實施例的 第二主要差別。USIM通過應(yīng)用公開已知的函數(shù)HR來修改已加密詢問 E_CHAL。 USIM數(shù)字簽署得到的結(jié)杲,以及在23,簽名作為響應(yīng)(RES) 發(fā)送給VLR。 VLR 了解HR函數(shù)和USIM的公開密鑰,因而它可檢驗 所接收的簽名。
共享密鑰可通過對明文詢問CHAL—D應(yīng)用HASH(PRG)函數(shù)從詢 問中得出。同樣在這里,得出的共享密鑰必須從HE/AuC發(fā)送給VLR。 還要注意,如果USIM中的共享密鑰被泄露,則攻擊者在這種情 況中還可生成有效詢問。如果詢問釆用HE/AuC私有密鑰來簽署,則 情況不是這樣,并且AKA密鑰可能從明文詢問中得出。
圖5是消息流程圖,說明采用加密詢問系統(tǒng)的本發(fā)明的第三備選 實施例中的USIM 11、 VLR 12與HE/AuC 13之間的消息的流程。在 這個實施例中,USM的公開密鑰沒有如前一個實施例中那樣被發(fā)送 給VLR。 USIM向VLR發(fā)送鑒4又請求14,并且在請求中包含標(biāo)識符、 如IMSI。 VLR向HE/AuC轉(zhuǎn)發(fā)鑒權(quán)請求。當(dāng)HE/AuC接收鑒權(quán)請求時, HE/AuC檢索USIM的公開密鑰U—EK,并預(yù)備和加密詢問(E—CHAL)。 HE/AuC還得出將與VLR12共享的S—KEY。在24,HE/AuC向VLR 12 發(fā)送E一CHAL以及預(yù)期響應(yīng)(XRES)、 SJCEY和MAC, VLR 12在25 把E一CHAL和MAC轉(zhuǎn)發(fā)給USIM。 USIM預(yù)備響應(yīng)(RES)作為明文詢 問CHAL—D的HASH或偽隨機(jī)生成者(PRG)、 HA(CHAL—D)。在26, RES被發(fā)送給VLR , VLR確定從USM接收的RES是否等于從HE/AuC 接收的XRES。
為了保持由VLR保存的信息不足以生成對詢問的有效響應(yīng)的特 征,應(yīng)用掩碼技術(shù)。相同類型的掩碼技術(shù)可用于使得出的共享密鑰與 USM生成的響應(yīng)相關(guān)。這個方法也適用于以上所述的兩種解決方案。
還要注意,在這個實施例中沒有共享密鑰。如果采用基于RSA的 公開密鑰方案,在其中僅在USIM中存儲公開密鑰的才莫數(shù)但不是形成 公開密鑰的素數(shù),并且在其中公開密鑰在已經(jīng)分發(fā)給HE/AuC之后被 擦除,則USM中的信息不足以生成有效詢問。
基于散列鏈的解決方案
基于散列的解決方案的好處是效率,但是信令和維護(hù)略微地更復(fù) 雜。數(shù)字簽名的原理在于,簽署者揭示只有簽署者才可產(chǎn)生的、但任 何人都能夠檢驗正確性的值。相同的結(jié)果原則上可釆用單向散列函數(shù) 取得。以易于計算但難以逆轉(zhuǎn)的函數(shù)h開始,"簽署者,,A選擇隨機(jī)x,
并公布y—h(x))作為"公開密鑰"。隨后,簽署者A揭示x,以及任何 人可應(yīng)用h并檢驗該值是否正確。為了能夠"簽署,,不止一次,可使 用鏈
<formula>formula see original document page 21</formula>
問題在于,這樣一種鏈無論如何始終具有有限長度,并且可以用完X 值。但是,在USIM的情況中,通常存在所定義的最大數(shù)量的允許鑒 權(quán)(大約20000-50000),因此始終可使鏈足夠長?;蛘?,存在從舊鏈 "引導(dǎo)"新鏈的方法。這通過讓笫一散列鏈的第二個至最后一個值用 作消息完整性密鑰來進(jìn)行,這個密鑰完整性保護(hù)第二散列鏈的最后一 個值。
因此,USIM生成散列鏈(XJ)作為以上簽署者A,以及最后一個 "錨,,值X-N在AuC中登記。為了減小存儲要求,USIM可例如僅存 儲每第r個值,并根據(jù)需要得出中間值。原則上,在各鑒權(quán)時,USIM 揭示"下一個"XJ(它是鏈中的前一個X值)。但是,這具有一些同步 問題,因為歸屬網(wǎng)絡(luò)需要知道已經(jīng)發(fā)生多少次鑒權(quán),以便提供正確的 X值。這不一定是輕松的,因為歸屬網(wǎng)絡(luò)可能在"跟蹤"漫游用戶時 有困難。
一種解決方案是讓USM至少以給定間隔經(jīng)由VLR"報告歸屬,,。 AuC存儲作為最近報告的散列鏈值的(j,XJ)。(或者,由于j將通過 j-N-SQN與N和SQN對應(yīng),所以N和SQN可用來推導(dǎo)j,參見下文)。 歸屬網(wǎng)絡(luò)始終知道什么SQN與特定詢問-響應(yīng)(AKA向量)結(jié)合使用。 因此,每當(dāng)VLR向回報告特定XJ時,AuC可相應(yīng)地更新它的值。下 一次,當(dāng)VLR請求AKA參數(shù)時,AuC查找最近的(j,XJ)值。AuC產(chǎn) 生AKA向量,并且包括XJ和整數(shù)T-SQN-j。這個值T是VLR需要 把h應(yīng)用于USM揭示的X—k值以便獲得XJ的次數(shù)。
應(yīng)當(dāng)注意,VLR可立即對不止一個AKA向量排序,并存儲它們 供以后使用。例如假定VLR對IV^1個向量排序。"惡意"VLR則可
能取這些向量的最后 一個(而不是如通常預(yù)期的取第 一個),并發(fā)送給
USIM。當(dāng)USM揭示對應(yīng)的X一n時,如果VLR也有權(quán)訪問K,則將 能夠產(chǎn)生對于M個連續(xù)鑒權(quán)是良好的克隆USIM。 一般來說,如果有 人能夠同時危及VLR和USIM的安全(以得到K),這種告誡存在。在 IP多々某體子系統(tǒng)(IMS)中,鑒權(quán)在歸屬網(wǎng)絡(luò)中進(jìn)行。因此,解決方案在 那里更適合(于ISM),因為"報告歸屬"功能基本上已經(jīng)到位。 基于Di傷e-Hellman的解決方案
圖6是消息流程圖,說明采用公開密鑰分發(fā)系統(tǒng)而不是公開密鑰 加密的本發(fā)明的一個實施例中的USIM 11、 VLR 12與HE/AuC 13之 間的消息的流程。該解決方案可釆用標(biāo)準(zhǔn)Di伍e-Hellman方法來說明。 USIM 了解Diffie-Hellman保密密鑰(x),以及HE/AuC 了解Di傷e-Hdlman公開密鑰(力。注意,f可易于從x中計算,但是相反的則被 認(rèn)為在計算上不可行。USIM向VLR發(fā)送鑒權(quán)請求14,并且在請求中 包含標(biāo)識符、如IMSI。 VLR向HE/AuC轉(zhuǎn)發(fā)鑒權(quán)請求。當(dāng)HE/AuC接 收到鑒權(quán)請求時,HE/AuC選擇隨機(jī)值y,并計算RAND-gy。 HE/AuC 則根據(jù)公開密鑰^來計算值R-g^,其中的值x是Diffie-Hellman私有 密鑰。HE/AuC還釆用K-KDF(R,...)來計算共享保密密鑰K,其中的 KDF是密鑰推導(dǎo)函數(shù)。HE/AuC則更新序列號SQNhe ,利用 fl(K,RANDllSQNIIAMF...)計算MAC,利用f2(K,RAND)計算XRES, 利用fi(K,RAND)計算Ck,利用f4(K,RAND)計算lk,利用f5(K,RAND) 計算AK,以及構(gòu)造消息AUTN=SQN XOR AK||AMF||MAC,如3GPP TS 33.102中所述。在27, HE/AuC向VLR發(fā)送RAND、 XRES、 AUTN、 Ck和lk。在28, VLR向USM 11轉(zhuǎn)發(fā)RAND和包含SQNhe(保密保 護(hù))、AMF和MAC的AUTN。
在接收到RAND和AUTN時,USIM 11確定R=RANDX,其中的 x是Diffie-Hellman私有密鑰。這個步驟可表示為 D(SK,RAND)=D(x,RAND)=RANDx。
USIM還采用密鑰推導(dǎo)函數(shù)來計算共享保密密鑰K=KDF(R,...)。
USIM則如3GPP TS 33.102中那樣繼續(xù)進(jìn)行,以便預(yù)備響應(yīng)RES。在 29, USIM向VLR發(fā)送RES,它確定從USM接收的RES是否等于從 HE/AuC接收的XRES。
在一個實施例中,關(guān)于公開密鑰或Diffie-Hellman的情況,保密信 息存儲在IM中并且受到密碼保護(hù),使得它僅可通過初始化IM、例如 通過輸入適當(dāng)?shù)某跏蓟畔硎褂?。保密信息可包括保密密鑰、公開 密鑰或者這兩者。適當(dāng)?shù)某跏蓟畔⒖捎糜诎l(fā)起保密信息的生成,以 及例如輸出進(jìn)一步導(dǎo)出到AuC的公開密鑰。這個初始化信息不是普通 用戶已知的,因此公開密鑰不是普通用戶已知的。其它適當(dāng)?shù)某跏蓟?信息可在用戶執(zhí)行需要使用私有密鑰的鑒權(quán)時使用。通過應(yīng)用適當(dāng)?shù)?初始化信息,實現(xiàn)先前創(chuàng)建的私有密鑰的使用,或者信息發(fā)起根據(jù)預(yù) 先存儲的籽數(shù)的密鑰的重新創(chuàng)建。在后一種情況中,應(yīng)當(dāng)注意,在應(yīng) 用初始化信息之前,沒有密鑰在移動設(shè)備上可用。在國際專利申請 PCT/SE03/01660中公開了實現(xiàn)這些特征的電子電路,通過引用結(jié)合到 本文中。
本領(lǐng)域的技術(shù)人員會理解,本申請所描述的創(chuàng)造性概念可在大范 圍的應(yīng)用中進(jìn)行修改和變更。因此,專利主題的范圍不應(yīng)當(dāng)局限于以 上所述的具體示范理論的任一個,而是由以下權(quán)利要求來定義。
權(quán)利要求
1.一種防止身份模塊(IM)的未經(jīng)授權(quán)復(fù)制的方法,所述方法包括在所述IM中內(nèi)部生成至少第一密鑰(K1)和不同的第二密鑰(K2),其中,所述生成步驟包括確保K1無法從K2中得出以及K2無法從K1中得出;以及把K2和標(biāo)識符(ID)從所述IM導(dǎo)出到鑒權(quán)服務(wù)器(AS),同時使K1在所述IM中內(nèi)部保密。
2. 如權(quán)利要求l所述的方法,其特征在于,K1和K2構(gòu)成用于不 對稱密碼術(shù)的保密/公開密鑰對,以及所述方法還包括使所述公開密鑰 K2在所述AS中保密。
3. 如權(quán)利要求2所述的方法,其特征在于,確保K2無法從Kl中得出的所述步驟包括擦除所迷IM中用于生成Kl和K2的內(nèi)部信 臺o
4. 如權(quán)利要求l所述的方法,其特征在于,所述導(dǎo)出步驟包括初 始化所述IM以在輸出端接收K2,用于導(dǎo)出到所述AS,同時使K1在 所述IM中內(nèi)部保密。
5. 如權(quán)利要求4所述的方法,其特征在于,所述初始化步驟包括 把初始化代碼應(yīng)用于所述M的輸入端口 。
6. 如權(quán)利要求l所述的方法,其特征在于,還包括鑒權(quán)階段,其 中,笫三方對所述IM進(jìn)行鑒權(quán),所述鑒權(quán)階段包括從所述IM向第三方提供發(fā)起鑒權(quán)的信息,所述信息至少包含所 述ID;把所述信息從第三方轉(zhuǎn)發(fā)給所述AS;由所述AS根據(jù)從笫三方接收的所述ID來檢索K2;由所述AS至少根據(jù)K2生成至少第一值(R)和第二值(X);把R和X從所述AS返回給第三方; 把R從第三方轉(zhuǎn)發(fā)給所述IM; 由所述IM至少根據(jù)Kl和R生成響應(yīng)(RES); 把RES從所述IM返回給第三方;以及 由第三方根據(jù)X檢驗所述RES。
7. 如權(quán)利要求6所述的方法,其特征在于 所述生成R的步驟包括采用K2對值V加密,其中,V包含用于得出X的信息;所述生成RES的步驟包括對R解密以及檢驗從R的解密中得出的 信息;以及所述由第三方根據(jù)X檢驗RES的步驟是RES等于X的比較。
8. 如權(quán)利要求1所述的方法,其特征在于,Kl是用于公開密鑰 交換系統(tǒng)的第一秘密,以及K2是對應(yīng)的公開參數(shù)。
9. 一種抗復(fù)制的身份才莫塊(IM),包括用于在所述M中內(nèi)部生成至少第一密鑰(K1)和第二密鑰(K2)、同 時確保K1無法從K2中得出以及K2無法從K1中得出的部件;以及用于把K2和標(biāo)識符(ID)從所述M導(dǎo)出到鑒權(quán)服務(wù)器(AS)、同時 使K1在所述IM中內(nèi)部保密的部件。
10. 如權(quán)利要求9所述的身份模塊,其特征在于,所述M在包舍 電子商務(wù)應(yīng)用的終端中實現(xiàn),所述電子商務(wù)應(yīng)用根據(jù)所述M執(zhí)行支 付。
11. 一種鑒權(quán)服務(wù)器,用于對訪問身份模塊(IM)進(jìn)行鑒權(quán),同時 防止所述訪問IM的未經(jīng)授權(quán)復(fù)制,所述鑒權(quán)服務(wù)器包括用于接收來自所述訪問IM的訪問請求的部件;用于采用所述鑒權(quán)服務(wù)器中但不是所述訪問IM中存儲的信息生 成詢問的部件,其中,所述鑒;k服務(wù)器中存儲的所述信息不足以生成 能夠作為有效IM進(jìn)行響應(yīng)的IM克??;用于生成從有效IM預(yù)期的預(yù)期響應(yīng)的部件;以及用于向所述訪問IM發(fā)送所述詢問的部件,其中,所述詢問對于 各個訪問嘗試改變。
12. —種用于為有效身份;溪塊(IM)提供對網(wǎng)絡(luò)的訪問、同時防止 由未經(jīng)授權(quán)的IM克隆對網(wǎng)絡(luò)的訪問的系統(tǒng),所述系統(tǒng)包括鑒權(quán)服務(wù)器,用于從訪問IM接收訪問請求,釆用所述鑒權(quán)服務(wù) 器中但不是所述訪問IM中存儲的信息來生成詢問,生成從有效M預(yù) 期的預(yù)期響應(yīng),以及向所述訪問M發(fā)送所述詢問,其中,所述詢問 對于各個訪問嘗試改變,以及在所述鑒權(quán)服務(wù)器中存儲或者由其生成 的所述信息不足以創(chuàng)建能夠作為有效IM進(jìn)行響應(yīng)的IM克??;在所述訪問IM中用于接收所述詢問、以及根據(jù)所述詢問中的信 息和所述訪問IM中但不是所迷鑒權(quán)服務(wù)器中存儲的信息來預(yù)備和發(fā) 送響應(yīng)的部件;以及用于僅在所述訪問IM預(yù)備的響應(yīng)等于所述鑒權(quán)服務(wù)器生成的預(yù) 期響應(yīng)時才為所述訪問IM提供^J"網(wǎng)絡(luò)的訪問的部件。
13. 如權(quán)利要求12所述的系統(tǒng),其特征在于,所述訪問IM還包 括用于確定從所述鑒權(quán)服務(wù)器接收的序列號是否最新的部件。
14. 如權(quán)利要求12所述的系統(tǒng),其特征在于,還包括中間節(jié)點, 所述中間節(jié)點適合于從所述鑒^U良務(wù)器接收所述詢問和預(yù)期響應(yīng),把 所述詢問轉(zhuǎn)發(fā)給所述訪問M, /人所述訪問M接收所述響應(yīng),以及確 定所述訪問IM預(yù)備的所述響應(yīng)是否等于所述鑒權(quán)服務(wù)器生成的所述 預(yù)期響應(yīng)。
15. —種為有效身份;f莫塊(IM)提供對網(wǎng)絡(luò)的訪問、同時防止由未 經(jīng)授權(quán)的IM克隆對網(wǎng)絡(luò)的訪問的方法,其中,訪問IM向鑒權(quán)服務(wù)器 發(fā)送訪問請求,所述方法包括在所述鑒權(quán)服務(wù)器中 選擇隨機(jī)值y;利用RAND-gy計算隨機(jī)值(RAND);計算值R-g^,其中,x是所述訪問IM已知的Diffie-Hellmaii私有 密鑰,以及^是所述鑒權(quán)服務(wù)器已知的; 利用K二KDF(R,...)計算共享保密密鑰(K),其中,KDF是密鑰推 導(dǎo)函數(shù);向中間節(jié)點發(fā)送所述RAND和預(yù)期響應(yīng)(XRES);以及 把所述RAND從所述中間節(jié)點轉(zhuǎn)發(fā)給所述訪問IM;以及 在所述訪問IM中利用R二RANDX來確定R,其中x是Di傷e-Hellman私有密鑰; 利用所述密鑰推導(dǎo)函數(shù)計算所述共享保密密鑰K^KDF(R,…); 利用RES-f2(K,RAND)計算響應(yīng)(RES);以及 向所述中間節(jié)點發(fā)送所述RES;由所述中間節(jié)點確定從所述訪問IM接收的所述RES是否等于從 所述鑒權(quán)服務(wù)器接收的所述XRES;以及僅在從所述訪問M接收的所述RES等于從所述鑒權(quán)服務(wù)器接收 的所述XRES時才為所述訪問IM提供對網(wǎng)絡(luò)的訪問。
16.如權(quán)利要求15所述的方法,其特征在于,還包括在所述鑒權(quán)服務(wù)器中更新序列號(SQNhe);利用MAC-fl(K,RANDUSQNIIAMF...)計算加密鑰消息鑒權(quán)碼 (MAC);利用XRES-f2(K,RAND)計算所述XRES; 利用Ck-f3(K,RAND)計算密鑰Ck; 利用lk-f4(K,RAND)計算密鑰lk; 利用AK-f5(K,RAND)計算AK;利用AUTN=SQN XOR AK||AMF||MAC來構(gòu)造鑒權(quán)消息AUTN;以及在所述中間節(jié)點中向所述訪問IM轉(zhuǎn)發(fā)所述AUTN以及所述RAND;以及 在所述訪問IM中釆用AK^f5(K,RAND)計算AK;以及從所述AUTN中提取和檢驗所述SQNhe、 AMF和MAC。
17. —種對訪問身份才莫塊(IM)進(jìn)行鑒權(quán)、同時防止所述訪問IM的 未經(jīng)授權(quán)復(fù)制的方法,所述方法包括在所述訪問IM中內(nèi)部生成至少第一密鑰(K1)和不同的第二密鑰 (K2);以及把K2和標(biāo)識符(ED)從所述訪問IM導(dǎo)出到鑒權(quán)服務(wù)器(AS),同時 使Kl在所述訪問IM中內(nèi)部保密;從所述訪問M向第三方發(fā)送至少包含所述ID的信息; 把所述信息從第三方轉(zhuǎn)發(fā)給所述AS; 由所述AS根據(jù)從第三方接收的所述ID來檢索K2; 由所述AS選擇隨機(jī)數(shù)R;由所述AS至少根據(jù)所述數(shù)R生成至少一個值(RAND);由所述AS至少根據(jù)所述數(shù)R生成密鑰K;由所述AS至少根據(jù)所述值(RAND)和所述密鑰K生成值(X);從所述AS向第三方返回所述值RAND和X;把所述值RAND從第三方轉(zhuǎn)發(fā)給所述訪問IM;由第三方從所述訪問M接收響應(yīng)RES;以及由第三方根據(jù)X檢驗所述RES。
18. 如權(quán)利要求17所述的方法,其特征在于,在從所述訪問IM 接收所述RES的所述步驟之前還包括以下步驟由所述訪問IM至少根據(jù)所述密鑰Kl和所述值(RAND)來計算所 述隨機(jī)數(shù)R;由所述訪問IM至少根據(jù)所述值R來計算所述密鑰K;以及 由所述訪問IM至少根據(jù)所述密鑰K和所述值RAND來計算所迷 響應(yīng)RES。
19. 如權(quán)利要求18所述的方法,其特征在于 所述訪問IM利用Rl = RANDK1來計算值Rl;所述訪問IM利用K-KDF(Rl,...)來計算密鑰K;以及 所述訪問IM利用RES-f2(K,RAND)來計算所述響應(yīng)RES。
20. 如權(quán)利要求17所述的方法,其特征在于,還包括由所述AS 利用所述隨機(jī)數(shù)R來確定隨機(jī)數(shù)R1=(K2)R;其中,所述AS根據(jù)RAND-^來生成所述值RAND; 其中,所述AS利用K^KDF(R1,…)來生成所述密鑰K,其中,KDF 是密鑰推導(dǎo)函數(shù);以及其中,所述AS利用釆用函數(shù)f2的X-f2(K,RAND)來生成所述值X。
21. —種對訪問身份沖莫塊(IM)進(jìn)行鑒權(quán)、同時防止利用具有消息 恢復(fù)的簽名方案的網(wǎng)絡(luò)中的所述訪問IM的未經(jīng)授權(quán)復(fù)制的方法,所 述方法包括在所述訪問IM中內(nèi)部生成/>開密鑰U—EK;在鑒權(quán)服務(wù)器(AS)上登記.所述公開密鑰U_EK;從所述訪問IM向所述AS發(fā)送訪問請求,所述訪問請求至少包括 用于所述訪問IM的標(biāo)識符;由所述AS檢索所述訪問IM的公開密鑰U—EK;由所述AS預(yù)備詢問CHAL,所述詢問包含隨機(jī)值(RAND)、序列 號(SEQ)和附加數(shù)據(jù)(DATA)中的至少一個;從所述AS向中間節(jié)點發(fā)送所述詢問和所述訪問IM的公開密鑰 U—EK;把所述詢問從所述中間節(jié)點轉(zhuǎn)發(fā)給所述訪問IM;由所述訪問IM預(yù)備所述詢問的數(shù)字簽名U—SIGN(CHAL);從所述訪問IM向所述中間節(jié)點發(fā)送所述數(shù)字簽名 U—SIGN(CHAL),作為對所述詢問的響應(yīng)RES;以及由所述中間節(jié)點通過確定所述詢問(CHAL)是否等于所述公開密 鑰U—EK(RES)來檢驗所述響應(yīng)。
22. 如權(quán)利要求21所述的方法,其特征在于,所述詢問(CHAL)包含RAND以及SEQ。
23. 如權(quán)利要求22所述的方法,其特征在于,所述詢問(CHAL) 還包含所述DATA部分,其中,所述DATA部分包括服務(wù)標(biāo)識符。
24. —種對訪問身份模塊(IM)進(jìn)行鑒權(quán)、同時防止利用具有附錄 的簽名的網(wǎng)絡(luò)中的所述訪問IM的未經(jīng)授權(quán)復(fù)制的方法,所述方法包 括在所述訪問IM中內(nèi)部生成公開密鑰U一EK;在鑒權(quán)服務(wù)器(AS)上登記所述公開密鑰U_EK;從所述訪問IM向所述AS發(fā)送訪問請求,所述訪問請求至少包括 用于所述訪問IM的標(biāo)識符;由所述AS檢索所述訪問IM的公開密鑰U_EK;由所述AS預(yù)備詢問CHAL,所述詢問包含隨機(jī)值(RAND)、序列 號(SEQ)和附加數(shù)據(jù)(DATA)中的至少 一個;從所述AS向中間節(jié)點發(fā)送所述詢問和所述訪問IM的/>開密鑰 U—EK;把所述詢問從所述中間節(jié)點轉(zhuǎn)發(fā)給所述訪問IM;由所述訪問M預(yù)備所述詢問的數(shù)字簽名U_SIGN(hash(CHAL》;從所迷訪問M向所述中間節(jié)點發(fā)送所迷數(shù)字簽名 U_SIGN(hash(CHAL)),作為對所述詢問的響應(yīng)RES;以及由所述中間節(jié)點通過確定所述詢問的散列hash(CHAL)是否等于 所述公開密鑰U—EK(RES)來檢驗所述響應(yīng)。
全文摘要
用于防止身份模塊IM(11)的未經(jīng)授權(quán)復(fù)制并對有效IM進(jìn)行鑒權(quán)的系統(tǒng)及方法。不同的信息存儲在IM和鑒權(quán)中心AuC(13),如果AuC中的信息被泄露,則它不足以克隆IM。IM生成第一密鑰K1和第二密鑰K2,同時確保K1無法從K2中得出,以及可選地K2無法從K1中得出。IM則把K2和標(biāo)識符導(dǎo)出到AuC,同時使K1在IM中保密。在鑒權(quán)期間,IM向第三方、如VLR(12)提供包含標(biāo)識符的信息。VLR把信息轉(zhuǎn)發(fā)給AuC,它根據(jù)標(biāo)識符檢索K2,以及至少根據(jù)K2來生成第一值R和第二值X。AuC則向VLR返回R和X,VLR把R轉(zhuǎn)發(fā)給IM。IM則至少根據(jù)K1和R來生成響應(yīng)RES,并把RES發(fā)送給VLR。VLR則根據(jù)X來檢驗RES。
文檔編號H04W12/06GK101116284SQ200580042851
公開日2008年1月30日 申請日期2005年12月16日 優(yōu)先權(quán)日2004年12月17日
發(fā)明者M·納斯倫德, R·J·布洛姆 申請人:艾利森電話股份有限公司