專利名稱:用于增強(qiáng)密鑰推衍算法靈活性的方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及用于增強(qiáng)密鑰推衍算法靈活性的方法和系統(tǒng)。
背景技術(shù):
在TS33.401和TS33. 102中定義了用戶鑒權(quán)過程中由K (密鑰)推衍CK/IK (加密 密鑰/完整性密鑰)及Kasme(其是根據(jù)CK/IK推衍得到的密鑰)并將它們進(jìn)行傳遞的過程。如果網(wǎng)絡(luò)側(cè)需要對用戶設(shè)備(user equipment,簡稱為UE)進(jìn)行鑒權(quán),則移動管理 實(shí)體(mobility management entity,簡稱為 MME)向歸屬用戶月艮務(wù)器(home subscriber server,簡稱為HSQ發(fā)送認(rèn)證數(shù)據(jù)請求(Authentication data Request)消息請求鑒權(quán) 參數(shù),HSS生成認(rèn)證向量,其包括AUTN(網(wǎng)絡(luò)身份確認(rèn)標(biāo)記)、RAND (隨機(jī)數(shù))、RES (用戶認(rèn) 證應(yīng)答),由K和RAND按照推衍算法推衍出CK/IK,進(jìn)而推衍出KASME。然后,在認(rèn)證數(shù)據(jù)響 應(yīng)(Authentication data Response)消息中將參數(shù)(即,認(rèn)證向量AV)帶給MME。MME將 RAND、AUTN發(fā)給UE,隨后在UE中,按照相同的方法推衍出CK/IK及KASME。該過程在圖1和 圖2所示的流程圖中示出。此外,圖3和圖4示出了分別在HSS和UE中推衍認(rèn)證向量和密鑰的示圖。從圖3和圖4中可以看出,HSS和通用用戶身份模塊(UniversalSubscriber Identity Module,簡稱為USIM)在密鑰推演過程中,推衍CK/IK的算法是f3和f4,此密鑰 推演算法是公開的、默認(rèn)的,每個鑒權(quán)過程都必須選擇算法f3和f4,由此就產(chǎn)生了一些限 制。在某些情況下單一的一種密鑰推衍算法已經(jīng)難以滿足需求,例如在支持默認(rèn)算法的前 提下,運(yùn)營商想對某些用戶鑒權(quán)過程使用自己特定的算法,但這種需求不能被實(shí)現(xiàn),因此單 一的算法影響運(yùn)營的靈活性。因此,需要一種增強(qiáng)密鑰推衍算法靈活性的方法和系統(tǒng)。
發(fā)明內(nèi)容
考慮到上述問題而做出本發(fā)明。根據(jù)本發(fā)明的一個方面,提供了一種用于增強(qiáng)密鑰推衍算法靈活性的方法,該方 法包括以下步驟S502,HSS接收到來自MME的認(rèn)證數(shù)據(jù)請求消息之后,從密鑰推衍算法列 表中選擇一種密鑰推衍算法并推衍生成密鑰和認(rèn)證向量;S504,HSS通過認(rèn)證數(shù)據(jù)響應(yīng)消 息將認(rèn)證向量發(fā)送給MME ;以及S506,MME通過用戶認(rèn)證請求消息將認(rèn)證向量發(fā)送給UE。此外,在步驟S502之前,還包括以下步驟MME在接收到來自UE的服務(wù)請求信息 的情況下或者M(jìn)ME自身決定對UE進(jìn)行鑒權(quán);以及MME向HSS發(fā)送認(rèn)證數(shù)據(jù)請求消息。此外,在步驟S506之后,還包括以下步驟UE接收所述用戶認(rèn)證請求信息,并將接 收到的所述認(rèn)證向量發(fā)送給USIM ;以及USIM根據(jù)認(rèn)證向量中包括的表示所選密鑰推衍算 法的信息從密鑰推衍算法列表中選擇對應(yīng)的密鑰推衍算法,根據(jù)該密鑰推衍算法和認(rèn)證向 量推衍生成密鑰。 優(yōu)選地,預(yù)先在HSS和UE中分別存儲相同的密鑰推衍算法列表,其中,密鑰推衍算法列表包括默認(rèn)的密鑰推衍算法和運(yùn)營商定制的密鑰推衍算法。此外,在認(rèn)證向量的網(wǎng)絡(luò)身份確認(rèn)標(biāo)記中的認(rèn)證管理功能域中攜帶表示所選擇的 密鑰推衍算法的信息。優(yōu)選地,在認(rèn)證管理功能域中的保留位中承載表示所選密鑰推衍算法的信息。其中,表示所選密鑰推衍算法的信息為密鑰推衍算法的名稱?;蛘?,表示所選密鑰 推衍算法的信息為密鑰推衍算法的序號。優(yōu)選地,HSS根據(jù)UE的安全能力、網(wǎng)絡(luò)配置、運(yùn)營商的選擇等因素來選擇一種密鑰 推衍算法。根據(jù)本發(fā)明的另一方面,提供了一種用于增強(qiáng)密鑰推衍算法靈活性的系統(tǒng),該系 統(tǒng)包括密鑰推衍算法選擇裝置,設(shè)置在HSS中,用于在HSS接收到來自MME的認(rèn)證數(shù)據(jù)請 求消息之后,從密鑰推衍算法列表中選擇一種密鑰推衍算法并推衍生成密鑰和認(rèn)證向量; 認(rèn)證數(shù)據(jù)響應(yīng)消息發(fā)送裝置,設(shè)置在HSS中,用于通過認(rèn)證數(shù)據(jù)響應(yīng)消息將認(rèn)證向量發(fā)送 給 MME ;以及用戶認(rèn)證請求消息發(fā)送裝置,設(shè)置在MME中,用于通過用戶認(rèn)證請求消息將 認(rèn)證向量發(fā)送給UE。此外,該系統(tǒng)還包括鑒權(quán)決定裝置,設(shè)置在MME中,用于在接收到來自UE的服務(wù) 請求信息的情況下或者鑒權(quán)決定裝置自身決定對UE進(jìn)行鑒權(quán);以及認(rèn)證數(shù)據(jù)請求消息發(fā) 送裝置,設(shè)置在MME中,用于向HSS發(fā)送認(rèn)證數(shù)據(jù)請求消息。此外,該系統(tǒng)還包括用戶認(rèn)證請求消息接收裝置,設(shè)置在UE中,用于接收用戶認(rèn) 證請求消息并將接收到的認(rèn)證向量發(fā)送給USIM ;以及密鑰推衍裝置,設(shè)置在USIM中,用于 根據(jù)認(rèn)證向量中包括的表示所選密鑰推衍算法的信息從密鑰推衍算法列表中選擇對應(yīng)的 密鑰推衍算法,根據(jù)該密鑰推衍算法和認(rèn)證向量推衍生成密鑰。優(yōu)選地,預(yù)先在HSS和USIM中分別存儲相同的密鑰推衍算法列表,其中,密鑰推衍 算法列表包括默認(rèn)的密鑰推衍算法和運(yùn)營商定制的密鑰推衍算法。此外,在認(rèn)證向量的網(wǎng)絡(luò)身份確認(rèn)標(biāo)記中的認(rèn)證管理功能域中攜帶表示所選擇的 密鑰推衍算法的信息。優(yōu)選地,在認(rèn)證管理功能域的保留位中承載表示所選密鑰推衍算法的信息。其中,表示所選密鑰推衍算法的信息為密鑰推衍算法的名稱。或者,表示所選密鑰 推衍算法的信息為密鑰推衍算法的序號。優(yōu)選地,密鑰推衍算法選擇裝置根據(jù)UE的安全能力、網(wǎng)絡(luò)配置、運(yùn)營商的選擇等 因素來選擇一種密鑰推衍算法。在本發(fā)明的技術(shù)方案中,提供了密鑰推衍算法可選的方法,從而增強(qiáng)了算法的靈 活性,滿足了運(yùn)營商的潛在需求。本發(fā)明的其它特征和優(yōu)點(diǎn)將在隨后的說明書中闡述,并且,部分地從說明書中變 得顯而易見,或者通過實(shí)施本發(fā)明而了解。本發(fā)明的目的和其他優(yōu)點(diǎn)可通過在所寫的說明 書、權(quán)利要求書、以及附圖中所特別指出的結(jié)構(gòu)來實(shí)現(xiàn)和獲得。
此處所說明的附圖用來提供對本發(fā)明的進(jìn)一步理解,構(gòu)成本申請的一部分,本發(fā)
5明的示意性實(shí)施例及其說明用于解釋本發(fā)明,并不構(gòu)成對本發(fā)明的不當(dāng)限定。在附圖中圖1是示出現(xiàn)有技術(shù)中在MME和HSS之間傳送認(rèn)證消息的示圖;圖2是示出現(xiàn)有技術(shù)中在MME和UE之間傳送認(rèn)證消息的示圖;圖3是示出現(xiàn)有技術(shù)在HSS中推衍認(rèn)證向量和密鑰的示圖;圖4是示出現(xiàn)有技術(shù)在UE中推衍密鑰的示圖;圖5是示出根據(jù)本發(fā)明的用于增強(qiáng)密鑰推衍算法靈活性的方法的流程圖;圖6是示出根據(jù)本發(fā)明的用于增強(qiáng)密鑰推衍算法靈活性的系統(tǒng)的框圖;圖7是示出根據(jù)本發(fā)明實(shí)施例的密鑰算法的選擇和傳遞處理的流程圖;以及圖8是示出根據(jù)本發(fā)明實(shí)施例的認(rèn)證管理功能(authenticationmanagement function,簡稱為AMF)域的結(jié)構(gòu)的示圖。
具體實(shí)施例方式下面將結(jié)合附圖來詳細(xì)說明本發(fā)明的實(shí)施例。圖5是示出根據(jù)本發(fā)明的用于增強(qiáng)密鑰推衍算法靈活性的方法的流程圖。參照圖5,根據(jù)本發(fā)明的方法包括以下步驟S502,HSS接收到來自MME的認(rèn)證數(shù) 據(jù)請求消息之后,從密鑰推衍算法列表中選擇一種密鑰推衍算法并推衍生成密鑰和認(rèn)證向 量;HSS通過認(rèn)證數(shù)據(jù)響應(yīng)消息將認(rèn)證向量發(fā)送給MME ;以及MME通過用戶認(rèn)證請求消息將 認(rèn)證向量發(fā)送給UE。圖6是示出根據(jù)本發(fā)明的用于增強(qiáng)密鑰推衍算法靈活性的系統(tǒng)的框圖。參照圖6,根據(jù)本發(fā)明的系統(tǒng)包括密鑰推衍算法選擇裝置602,設(shè)置在HSS中,用 于在HSS接收到來自MME的認(rèn)證數(shù)據(jù)請求消息之后,從密鑰推衍算法列表中選擇一種密鑰 推衍算法并推衍生成密鑰和認(rèn)證向量;認(rèn)證數(shù)據(jù)響應(yīng)消息發(fā)送裝置604,設(shè)置在HSS中,用 于通過認(rèn)證數(shù)據(jù)響應(yīng)消息將認(rèn)證向量發(fā)送給MME ;以及用戶認(rèn)證請求消息發(fā)送裝置606,設(shè) 置在MME中,用于通過用戶認(rèn)證請求消息將認(rèn)證向量發(fā)送給UE。下面,參照圖7和圖8詳細(xì)描述本發(fā)明的實(shí)施例。圖7是示出根據(jù)本發(fā)明實(shí)施例的密鑰算法的選擇和傳遞處理的流程圖。首先,在HSS和USIM中預(yù)先存儲密鑰推衍算法列表。該列表包含多種密鑰推衍算 法。在該密鑰推衍算法列表中包含默認(rèn)的密鑰推衍算法,即表1中第一行所示的算法,此外 還可以包含運(yùn)營商自己定制的推衍算法,如表1中的第二行、第三行...所示的算法,因此 不同的運(yùn)營商可以根據(jù)不同需要定制自己想使用的推衍算法。表 權(quán)利要求
1.一種用于增強(qiáng)密鑰推衍算法靈活性的方法,其特征在于,所述方法包括以下步驟 S502,歸屬用戶服務(wù)器接收到來自移動管理實(shí)體的認(rèn)證數(shù)據(jù)請求消息之后,從密鑰推衍算法列表中選擇一種密鑰推衍算法并推衍生成密鑰和認(rèn)證向量;S504,所述歸屬用戶服務(wù)器通過認(rèn)證數(shù)據(jù)響應(yīng)消息將所述認(rèn)證向量發(fā)送給所述移動管 理實(shí)體;以及S506,所述移動管理實(shí)體通過用戶認(rèn)證請求消息將所述認(rèn)證向量發(fā)送給用戶設(shè)備。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于,在步驟S502之前,還包括以下步驟 所述移動管理實(shí)體在接收到來自所述用戶設(shè)備的服務(wù)請求信息的情況下或者所述移動管理實(shí)體自身決定對所述用戶設(shè)備進(jìn)行鑒權(quán);以及所述移動管理實(shí)體向所述歸屬用戶服務(wù)器發(fā)送所述認(rèn)證數(shù)據(jù)請求消息。
3.根據(jù)權(quán)利要求1所述的方法,其特征在于,在所述步驟S506之后,還包括以下步驟 所述用戶設(shè)備接收所述用戶認(rèn)證請求信息,并將接收到的所述認(rèn)證向量發(fā)送給通用用戶身份模塊;以及所述通用用戶身份模塊根據(jù)所述認(rèn)證向量中包括的表示所選密鑰推衍算法的信息從 所述密鑰推衍算法列表中選擇對應(yīng)的密鑰推衍算法,根據(jù)該密鑰推衍算法和所述認(rèn)證向量 推衍生成密鑰。
4.根據(jù)權(quán)利要求3所述的方法,其特征在于,預(yù)先在所述歸屬用戶服務(wù)器和所述通用 用戶身份模塊中分別存儲相同的密鑰推衍算法列表。
5.根據(jù)權(quán)利要求4所述的方法,其特征在于,所述密鑰推衍算法列表包括默認(rèn)的密鑰 推衍算法和運(yùn)營商定制的密鑰推衍算法。
6.根據(jù)權(quán)利要求3所述的方法,其特征在于,在所述認(rèn)證向量的網(wǎng)絡(luò)身份確認(rèn)標(biāo)記中 的認(rèn)證管理功能域中攜帶表示所選密鑰推衍算法的信息。
7.根據(jù)權(quán)利要求6所述的方法,其特征在于,在所述認(rèn)證管理功能域中的保留位中承 載表示所選密鑰推衍算法的信息。
8.根據(jù)權(quán)利要求7所述的方法,其特征在于,表示所選密鑰推衍算法的信息為密鑰推 衍算法的名稱。
9.根據(jù)權(quán)利要求7所述的方法,其特征在于,表示所選密鑰推衍算法的信息為密鑰推 衍算法的序號。
10.根據(jù)權(quán)利要求1至9中任一項(xiàng)所述的方法,其特征在于,所述歸屬用戶服務(wù)器根據(jù) 所述用戶設(shè)備的安全能力、網(wǎng)絡(luò)配置、運(yùn)營商的選擇等因素來選擇一種密鑰推衍算法。
11.一種用于增強(qiáng)密鑰推衍算法靈活性的系統(tǒng),其特征在于,所述系統(tǒng)包括密鑰推衍算法選擇裝置,設(shè)置在歸屬用戶服務(wù)器中,用于在歸屬用戶服務(wù)器接收到來 自移動管理實(shí)體的認(rèn)證數(shù)據(jù)請求消息之后,從密鑰推衍算法列表中選擇一種密鑰推衍算法 并推衍生成密鑰和認(rèn)證向量;認(rèn)證數(shù)據(jù)響應(yīng)消息發(fā)送裝置,設(shè)置在所述歸屬用戶服務(wù)器中,用于通過認(rèn)證數(shù)據(jù)響應(yīng) 消息將所述認(rèn)證向量發(fā)送給所述移動管理實(shí)體;以及用戶認(rèn)證請求消息發(fā)送裝置,設(shè)置在所述移動管理實(shí)體中,用于通過用戶認(rèn)證請求消 息將所述認(rèn)證向量發(fā)送給用戶設(shè)備。
12.根據(jù)權(quán)利要求11所述的系統(tǒng),其特征在于,所述系統(tǒng)還包括鑒權(quán)決定裝置,設(shè)置在所述移動管理實(shí)體中,用于在接收到來自所述用戶設(shè)備的服務(wù) 請求信息的情況下或者所述鑒權(quán)決定裝置自身決定對所述用戶設(shè)備進(jìn)行鑒權(quán);以及認(rèn)證數(shù)據(jù)請求消息發(fā)送裝置,設(shè)置在所述移動管理實(shí)體中,用于向所述歸屬用戶服務(wù) 器發(fā)送所述認(rèn)證數(shù)據(jù)請求消息。
13.根據(jù)權(quán)利要求11所述的系統(tǒng),其特征在于,所述系統(tǒng)還包括用戶認(rèn)證請求消息接收裝置,設(shè)置在所述用戶設(shè)備中,用于接收所述用戶認(rèn)證請求消 息并將接收到的所述認(rèn)證向量發(fā)送給通用用戶身份模塊;以及密鑰推衍裝置,設(shè)置在所述通用用戶身份模塊中,用于根據(jù)所述認(rèn)證向量中包括的表 示所選密鑰推衍算法的信息從所述密鑰推衍算法列表中選擇對應(yīng)的密鑰推衍算法,根據(jù)該 密鑰推衍算法和所述認(rèn)證向量推衍生成密鑰。
14.根據(jù)權(quán)利要求13所述的系統(tǒng),其特征在于,預(yù)先在所述歸屬用戶服務(wù)器和所述通 用用戶身份模塊中分別存儲相同的密鑰推衍算法列表。
15.根據(jù)權(quán)利要求14所述的系統(tǒng),其特征在于,所述密鑰推衍算法列表包括默認(rèn)的密 鑰推衍算法和運(yùn)營商定制的密鑰推衍算法。
16.根據(jù)權(quán)利要求13所述的系統(tǒng),其特征在于,在所述認(rèn)證向量的網(wǎng)絡(luò)身份確認(rèn)標(biāo)記 中的認(rèn)證管理功能域中攜帶表示所選密鑰推衍算法的信息。
17.根據(jù)權(quán)利要求16所述的系統(tǒng),其特征在于,在所述認(rèn)證管理功能域的保留位中承 載表示所選密鑰推衍算法的信息。
18.根據(jù)權(quán)利要求17所述的系統(tǒng),其特征在于,表示所選密鑰推衍算法的信息為密鑰 推衍算法的名稱。
19.根據(jù)權(quán)利要求17所述的系統(tǒng),其特征在于,表示所選密鑰推衍算法的信息為密鑰 推衍算法的序號。
20.根據(jù)權(quán)利要求11至19中任一項(xiàng)所述的系統(tǒng),其特征在于,所述歸屬用戶服務(wù)器根 據(jù)所述用戶設(shè)備的安全能力、網(wǎng)絡(luò)配置、運(yùn)營商的選擇等因素來選擇一種密鑰推衍算法。
全文摘要
本發(fā)明公開了用于增強(qiáng)密鑰推衍算法靈活性的方法和系統(tǒng),其中,該方法包括S502,HSS接收到來自MME的認(rèn)證數(shù)據(jù)請求消息之后,從密鑰推衍算法列表中選擇一種密鑰推衍算法并推衍生成密鑰和認(rèn)證向量;S504,HSS通過認(rèn)證數(shù)據(jù)響應(yīng)消息將認(rèn)證向量發(fā)送給MME;以及S506,MME通過用戶認(rèn)證請求消息將認(rèn)證向量發(fā)送給UE。通過本發(fā)明,提供了密鑰推衍算法可選的方法,從而增強(qiáng)了算法的靈活性,滿足了運(yùn)營商的潛在需求。
文檔編號H04W12/04GK102083064SQ200910241588
公開日2011年6月1日 申請日期2009年11月26日 優(yōu)先權(quán)日2009年11月26日
發(fā)明者習(xí)建德, 姜曉寧, 孫偉, 李郜偉, 蘇麗芳, 趙國勝 申請人:大唐移動通信設(shè)備有限公司