CN104521213A - 网络认证规程中的认证挑战参数的操纵和恢复 - Google Patents
网络认证规程中的认证挑战参数的操纵和恢复 Download PDFInfo
- Publication number
- CN104521213A CN104521213A CN201380033139.XA CN201380033139A CN104521213A CN 104521213 A CN104521213 A CN 104521213A CN 201380033139 A CN201380033139 A CN 201380033139A CN 104521213 A CN104521213 A CN 104521213A
- Authority
- CN
- China
- Prior art keywords
- authentication
- parameter
- network
- ran
- challenge parameter
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims description 59
- 230000004044 response Effects 0.000 claims abstract description 79
- 230000006870 function Effects 0.000 claims description 21
- 238000004364 calculation method Methods 0.000 claims description 9
- 238000010200 validation analysis Methods 0.000 abstract 1
- 230000008569 process Effects 0.000 description 37
- 238000012795 verification Methods 0.000 description 23
- 238000004891 communication Methods 0.000 description 19
- 238000013507 mapping Methods 0.000 description 14
- 230000001413 cellular effect Effects 0.000 description 7
- 230000010267 cellular communication Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 108020004705 Codon Proteins 0.000 description 3
- 238000013475 authorization Methods 0.000 description 3
- CSRZQMIRAZTJOY-UHFFFAOYSA-N trimethylsilyl iodide Substances C[Si](C)(C)I CSRZQMIRAZTJOY-UHFFFAOYSA-N 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 2
- 238000011084 recovery Methods 0.000 description 2
- 238000012958 reprocessing Methods 0.000 description 2
- 238000004846 x-ray emission Methods 0.000 description 2
- 230000006978 adaptation Effects 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000003780 insertion Methods 0.000 description 1
- 230000037431 insertion Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/40—Security arrangements using identity modules
- H04W12/48—Security arrangements using identity modules using secure binding, e.g. securely binding identity modules to devices, services or applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/72—Subscriber identity
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明提供了用于在网络认证期间使用的挑战操纵和恢复能力。在移动设备(MD)和订户服务器(SS)中分别提供有与MD的网络认证模块(NAM)的订户身份相关联的绑定密钥(B密钥)。当MD尝试附接到无线电接入网(RAN)时,SS响应于来自RAN的请求获得认证矢量(AV)。AV包括原始认证挑战参数(ACP)。SS基于其B密钥对原始ACP进行加密,并且通过用已加密ACP替换原始ACP来更新AV。MD接收已加密ACP,并且基于其B密钥对已加密ACP进行解密,以便恢复原始ACP。MD向NAM提供原始ACP,以用于计算供RAN验证的认证响应。
Description
技术领域
本发明总体上涉及通信网络,更加特别地而非排他地是涉及用于通信网络的网络认证规程。
背景技术
在许多类型的网络中,利用安全性和认证能力来防止由未经授权的设备进行网络接入。
发明内容
本发明的实施例通过对于认证挑战参数的操纵和恢复将已订购网络接入的使用限制到特定的经过授权的设备,从而解决了现有技术中的许多缺陷。
在一个实施例中,一种装置包括处理器和可通信地连接到处理器的存储器,其中所述处理器被配置来接收认证挑战参数并且确定认证挑战参数是否被加密。
在一个实施例中,一种用于由包括处理器和存储器的移动设备使用的方法包括:由处理器接收认证挑战参数并且确定认证挑战参数是否被加密。
在一个实施例中,一种装置包括处理器和可通信地连接到处理器的存储器,其中所述处理器被配置来基于绑定密钥对认证矢量(AV)的原始认证挑战参数(original authentication challengeparameter)进行加密,从而形成已加密认证挑战参数(encryptedauthentication challenge parameter)并且用已加密认证挑战参数替换AV的原始认证挑战参数。
在一个实施例中,一种方法包括:利用处理器基于绑定密钥对认证矢量(AV)的原始认证挑战参数进行加密,从而形成已加密认证挑战参数并且用已加密认证挑战参数替换AV的原始认证挑战参数。
附图说明
通过考虑后面结合附图进行的详细描述,可以很容易理解这里的教导,其中:
图1示出示例性无线通信系统的高层级方框图;
图2示出由订户服务器使用来对被用于认证与网络的订购的认证挑战参数进行加密的方法的一个实施例;
图3示出由移动设备使用来对被用于认证与网络的订购的认证挑战参数进行解密的方法的一个实施例;以及
图4示出适用于实施这里所描述的功能的计算机的高层级方框图。
为了便于理解,在可能的情况下使用完全相同的附图标记来标示各幅图所共同的完全相同的单元。
具体实施方式
一般来说,提供响应验证能力以用于在网络认证规程期间确保验证针对认证挑战的响应。
在至少一些实施例中,通过在移动设备附接到无线网络时验证针对被用于移动设备的网络认证模块的认证的认证挑战参数的响应,所述响应验证能力确保移动设备拥有订购秘密。认证挑战参数通过这样一种方式与认证事件相关联,从而使得对于认证挑战参数的修改将导致认证失败,从而防止移动设备接入无线网络(也就是说,对于认证挑战参数的修改将导致由移动设备的网络认证模块计算出错误的认证响应,从而在把认证响应提供给无线网络时使得对于所述认证响应的验证失败,从而防止移动设备接入无线网络)。在至少一些实施例中,响应验证能力使用被提供在移动设备和订户服务器上的绑定密钥(其在这里被称作B密钥)来对被用于移动设备的网络认证模块与无线接入网络的认证的认证挑战参数进行加密和解密。
在至少一些实施例中,订户服务器被配置来在把认证挑战参数从订户服务器提供到移动设备以用于订购认证之前,对认证挑战参数实施密码操纵(cryptographic manipulation)。认证挑战参数与特定认证事件相关联,在所述特定认证事件中尝试认证与移动设备的网络认证模块相关联的订购。对于认证挑战参数的密码操纵可以包括对认证挑战参数的加密(例如利用B密钥作为加密秘密)或者任何其他适当类型的操纵。
在至少一些实施例中,经过授权的移动设备被配置来在把所接收到的认证挑战参数呈送到移动设备的网络认证模块以用于生成针对认证挑战的响应之前,对认证挑战参数实施反向密码操纵。对于认证挑战参数的反向密码操纵可以包括对认证挑战参数的解密(例如利用B密钥作为解密秘密)或者任何其他适当类型的操纵。
在至少一些实施例中,响应验证能力支持把网络认证模块(例如智能卡、基于软件的网络认证模块等等)的使用限制到被授权使用网络认证模块的移动设备。在智能卡(或者任何其他类型的物理可移除的网络认证模块)的情况下,这样的实施例确保在未被授权使用网络认证模块的移动设备中无法不当地使用网络认证模块。在基于软件的网络认证模块的情况下,这样确保在由基于软件的网络认证模块根据认证挑战参数生成的响应无效时,移动设备的基于软件的网络认证模块无法被用来接入网络。
应当提到的是,虽然这里主要是在特定类型的无线网络内(即在基于蜂窝的无线网络内)提供响应验证能力的实施例的情境中进行了描绘和描述,但是所述响应验证能力可以被提供在任何其他适当类型的无线网络中。
应当提到的是,虽然这里主要是在特定类型的安全性框架内(即在利用基于认证和密钥协定(AKA)的认证规程的网络内)提供响应验证能力的实施例的情境中进行了描绘和描述,但是所述响应验证能力可以被使用在基于挑战-响应协议(challenge-response protocol)的任何安全性框架内。
图1示出示例性无线通信网络的高层级方框图。
示例性无线通信系统100支持网络认证规程。网络认证规程可以是挑战-响应认证规程,其可以是在网络认证期间使用认证矢量(AV)的基于AKA的认证规程。举例来说,示例性无线通信系统100可以是第二代(2G)蜂窝网络(例如2G全球移动系统(GSM)蜂窝网络、2G码分多址(CDMA)蜂窝网络等等)、第三代(3G)蜂窝网络(例如3G CDMA2000网络、3G合作伙伴计划(3GPP)通用移动电信系统(UMTS)网络等等)、第四代(4G)蜂窝网络(例如长期演进(LTE)网络)等等。
示例性无线通信系统100包括移动设备(MD)110、无线电接入网(RAN)120、核心网络(CN)130和订户服务器(SS)140。
MD 110是被配置来支持挑战-响应认证规程的移动设备,其可以是基于AKA的认证规程。
MD 110包括处理器112和可通信地连接到处理器112的存储器113。存储器113存储各种程序和数据,其中包括挑战恢复进程114和B密钥数值115。处理器112被配置来从存储器113取回挑战恢复进程114并且执行挑战恢复进程114,以便提供响应验证能力的功能。挑战恢复进程114被配置来对于在网络认证规程期间在MD110处接收到的AV的已加密认证挑战参数进行解密,其中利用保持在MD 110上的B密钥115(其也被提供在SS 140上,并且由SS140使用来在将AV发送到MD 110之前对认证挑战参数进行加密)来对已加密认证挑战参数进行解密。后面将更加详细地描述挑战恢复进程114的操作。
MD 110包括网络认证模块(NAM)116。NAM 116被配置来支持挑战-响应认证规程,其可以是基于AKA的认证规程。
NAM 116与订户的网络订购相关联。NAM 116确保使用MD110的订户的个人数据的完整性和安全性。NAM 116包括订购凭证(例如订户身份,比如国际移动订户身份(IMSI)、临时移动订购身份(TMSI)、全球唯一临时身份(GUTI)等等)、一个或更多订购秘密、用于订购认证以及生成用于保护会话信息的安全性密钥的一种或更多种算法等等。
如图1中所示,NAM 116可以通过任何适当的方式来实施,这可以取决于RAN 120的底层无线电接入技术(RAT)。
在一个实施例中,如图1中所示,NAM 116是插入到MD 110中的物理可移除设备。在该实施例中,NAM 116可以是智能卡。在GSM网络的情况下,NAM 116例如可以是订户身份模块(SIM)卡。在UMTS网络或LTE网络的情况下,NAM 116例如可以是通用集成电路卡(UICC)。NAM 116可以是任何其他适当类型的卡或设备。在这样的实施例中,NAM 116例如可以包括中央处理单元(CPU)、只读存储器(ROM)、随机存取存储器(RAM)、输入-输出(I/O)电路等等(所述单元为了清楚起见而被省略)。
在一个实施例中,如图1中所示,NAM 116是存储在MD 110内(例如在存储器113中或者在MD 110内的任何其他适当的存储位置处)的基于软件的模块。
NAM 116支持一项或更多项应用,至少其中一些可以取决于底层RAT(例如用于CDMA2000网络的CDMA订户身份模块(CSIM)应用、用于UMTS网络或LTE网络的UMTS订户身份模块(USIM)应用等等)。
本领域技术人员将会理解NAM(比如NAM 116)的典型配置和操作。
MD 110具有与之相关联的设备身份。MD 110的设备身份可以取决于RAN 120的RAT。举例来说,MD 110可以具有与之相关联的国际移动设备标识符(IMEI)或移动设备标识符(MEID)。在要求MD 110作为网络认证规程的一部分提供其设备身份的情况下,MD 110向RAN 120提供其设备身份的方式可以取决于RAN 120的RAT。举例来说,MD 110可以在由MD 110发送到RAN 120的初始附接请求中提供其设备身份(例如IMEI、MEID等等),或者可以由RAN 120在单独的事务中从MD 110请求MD 110的设备身份。
NAM 116具有与之相关联的订户身份。NAM 116的订户身份可以取决于RAN 120的RAT。举例来说,NAM 116可以具有一个或更多订户身份(例如国际移动订户身份(IMSI)、临时移动订购身份(TMSI)、全球唯一临时身份(GUTI)等等)。MD 110在网络认证规程期间提供NAM 116的订户身份的方式可以取决于RAN120的RAT。举例来说,MD 110可以在由MD 110发送到RAN 120的初始附接请求中提供NAM 116的IMSI,或者MD 110可以在初始附接请求中提供TMSI或GUTI(其中IMSI随后由RAN 120解析)。
应当认识到,虽然为了清楚起见做了省略,但是MD 110可以包括通常由移动设备支持的多种其他模块和功能(例如移动操作系统、针对一种或更多种类型的无线接入网络的一个或更多网络接口、一个或更多客户端模块(例如摄影机客户端模块、视频客户端模块等等)、电池等等)。
RAN 120和CN 130可以支持任何适当类型的无线通信。举例来说,RAN 120和CN 130可以支持2G蜂窝通信、3G蜂窝通信、4G蜂窝通信等等当中的一项或更多项,以及其各种组合。RAN 120提供用于MD 110的无线接入接口,从而支持MD 110与CN 130之间的通信。RAN 120支持网络认证规程。本领域技术人员将理解RAN 120和CN 130的典型操作。
SS 140被配置来提供用于对接入RAN 120的移动设备(作为说明是MD 110)进行认证的安全性和认证功能。举例来说,SS 140可以被实施为归属位置寄存器(HLR)(例如在GSM网络中)、归属订户服务器(HSS)(例如在UMTS网络中)等等,以及其各种组合。
SS 140包括处理器142和存储器143。存储器143存储各种程序和相关联的数据。更具体来说,存储器143存储挑战操纵进程144和订户身份到B密钥映射表145。处理器142被配置来从存储器143取回挑战操纵进程144并且执行挑战操纵进程144,以便提供响应验证能力的功能。当MD 110请求附接到RAN 120时,挑战操纵进程144被配置来对认证挑战参数进行加密,其中所述认证挑战参数是由SS 140响应于接收自RAN 120的针对MD 110的AV请求而生成的,其中基于MD 110的NAM 116的订户身份利用从订户身份到B密钥映射表145取回的B密钥(其也被提供在MD 110上,并且由MD 110使用来对由MD 110作为AV的一部分接收到的认证挑战参数进行解密)对认证挑战参数进行加密。后面将更加详细地描述挑战操纵进程144的操作。应当提到的是,虽然主要是作为SS 140的一部分来进行描绘和描述,但是挑战操纵进程144可以被实施为与SS 140相关联或者能够通过其他方式与SS 140通信的附属进程或调节模块(例如作为另一个设备上的进程、作为独立设备等等,以及其各种组合)。
订户身份到B密钥映射表145包括订户身份到B密钥映射信息,其中包括与NAM 116相关联的条目146,其包括NAM 116的订户身份到B密钥147的映射。应当提到的是,虽然主要关于其中与由SS 140保持的其他信息分开保持订户身份到B密钥映射信息的实施例进行了描绘和描述,但是可以通过任何其他适当的方式来保持订户身份到B密钥映射信息(例如通过包括在SS 140的一个或更多现有的表中(其为了清楚起见而被省略)、作为挑战操纵进程144的一部分等等,以及其各种组合)。应当提到的是,虽然在这里主要关于其中订户身份到B密钥映射表145被存储在SS 140内的存储器中(作为说明是存储器143)的实施例进行了描绘和描述,但是可以利用与SS 140相关联的一个或更多数据库保持订户身份到B密钥映射表145。可以通过任何其他适当的方式保持订户身份到B密钥映射信息,并且使其对于SS 140可访问。
示例性无线通信系统100被配置来支持使用响应验证能力的实施例的基于AKA的认证规程。
MD 110发起服务附接规程,其中MD 110尝试附接到RAN 120。MD 110确定与MD 110的NAM 116相关联的订户身份。MD 110向RAN 120发送初始附接请求。由MD 110提供到RAN 120的订户身份的类型(以及由MD 110向RAN 120提供订户身份的方式)可以取决于正由MD 110使用的接入协议,其又可以取决于RAN 120的RAT。
RAN 120响应于接收到来自MD 110的初始附接请求,继续如在适用于RAN 120的(多种)标准中规定的基于AKA的认证规程。RAN 120作为认证规程的一部分向SS 140发送AV请求。所述AV请求包括MD 110的NAM 116的订户身份。
SS 140接收来自RAN 120的AV请求。SS 140响应于来自RAN120的AV请求获得AV。一般来说,标准的AV包括认证挑战参数、预期响应以及一个或更多其他参数(例如一个或更多会话密钥、认证令牌等等以及其各种组合)。包括在AV内的参数的数目和类型可以取决于RAN 120的底层RAT。在GSM网络的情况下,例如所生成的AV可以包括RAND参数(即认证挑战参数)、签名响应(SRES)(即预期响应)以及会话密钥。在UMTS网络的情况下,例如所生成的AV可以包括RAND参数(即认证挑战参数)、XRES(即预期响应)、会话密钥(包括加密密钥(CK)和完整性密钥(IK))以及认证令牌(AUTN)。本领域技术人员将会理解通常包括在各种RAT的AV内的参数。在LTE网络的情况下,例如所生成的AV可以包括RAND参数(即认证挑战参数)、XRES(即预期响应)、会话密钥(KASME)以及认证令牌(AUTN)。在每一种情况下,AV都包括认证挑战参数。
在向RAN 120提供AV响应(包括具有原始认证挑战参数的所生成的AV)之前,SS 140执行挑战操纵进程144。挑战操纵进程144支持对于原始认证挑战参数的密码操纵。挑战操纵进程144确定MD 110的NAM 116的订户身份,取回与MD 110的NAM 116的订户身份相关联的B密钥147,基于B密钥147对原始认证挑战参数进行加密从而形成已加密认证挑战参数,并且用AV中的已加密认证挑战参数替换AV中的原始认证挑战参数。
挑战操纵进程144从订户身份到B密钥映射表145取回与NAM116的订户身份相关联的B密钥147,其中利用NAM 116的订户身份作为去到订户身份到B密钥映射表145中的钥匙。
挑战操纵进程144利用将B密钥147取作秘密的密码对原始认证挑战参数进行加密。挑战操纵进程144可以使用任何适当的密码来对认证挑战参数进行加密。举例来说,挑战操纵进程144可以使用高级加密标准(AES)、SNOW3G、KASUMI等等。由SS 140的挑战操纵进程144使用的密码对应于由MD 110的挑战恢复进程114使用来对已加密认证挑战参数进行解密的密码。
应当提到的是,SS 140不需要MD 110的设备身份;相反,SS 140简单地假设(这是基于与MD 110的NAM 116相关联的条目146中的B密钥147的存在)为当前正与NAM 116一同使用的MD 110提供了正确的B密钥。
SS 140将包括已加密认证挑战参数的更新后的AV发送到RAN120,并且RAN 120将包括已加密认证挑战参数的更新后的AV递送到MD 110。
MD 110接收包括已加密认证挑战参数的更新后的AV。MD 110检测到需要对已加密认证挑战参数进行解密以便恢复原始认证挑战参数,从而可以把原始认证挑战参数提供到NAM 116。MD 110执行挑战恢复进程114以便对已加密认证挑战参数进行解密,从而恢复原始认证挑战参数。挑战恢复进程114从存储器113取回B密钥115,并且基于B密钥115对已加密认证挑战参数进行解密。挑战恢复进程114利用将B密钥115取作秘密的密码基于B密钥115对已加密认证挑战参数进行解密。由MD 110的挑战恢复进程114使用的密码对应于由SS 140的挑战操纵进程144使用来对原始认证挑战参数进行加密的密码。
处理器112将原始认证挑战参数提供到NAM 116。处理器112可以通过任何适当的方式将原始认证挑战参数提供到NAM 116。举例来说,处理器112可以在AV中用原始认证挑战参数替换已加密认证挑战参数,并且将包括原始认证挑战参数的AV提供到NAM116,从而使得NAM 116可以实施正常AKA认证计算。举例来说,处理器112可以将原始认证挑战参数(并且可选地还有来自AV和/或从AV计算的任何其他所需参数)提供到NAM 116,从而使得NAM 116可以实施正常AKA认证计算。处理器112可以通过任何其他适当的方式将原始认证挑战参数提供到NAM 116。
NAM 116从处理器112接收原始认证挑战参数以及任何其他所需参数。NAM 116利用原始认证挑战参数以及任何其他所需参数实施正常的基于AKA的认证计算。NAM 116确定将要返回到MD 110的处理器112的参数,其中包括针对在MD 110处接收到的AV的响应(RES)。由NAM 116确定的参数可以取决于RAN 120的底层RAT。在GSM网络的情况下,例如所返回的参数可以包括RES和会话密钥。在UMTS网络的情况下,例如所返回的参数可以包括RES和会话密钥(包括CK和IK)。在LTE网络的情况下,例如所返回的参数可以包括RES和会话密钥(KASME)。本领域技术人员将理解通常由MD 110的NAM 116对于各种RAT返回的参数。
处理器112从NAM 116接收所返回的参数,其中包括RES。处理器112将RES传送到RAN 120。RAN 120按照通常的方式验证RES(例如通过把接收自MD 110的RES的一个或更多参数与接收自SS 140的AV的一个或更多参数进行比较)。RAN 120对RES的成功验证导致对于MD 110的成功认证,并且MD 110被允许附接到RAN 120。RAN 120对RES的不成功验证导致对于MD 110的认证失败,并且防止MD 110附接到RAN 120。
如前所述,为了支持对于认证挑战参数的加密和解密,将秘密B密钥提供到SS 140和MD 110中以用作加密和解密的密钥。应当认识到,被提供到SS 140和MD 110众的B密钥数值彼此对应(例如SS 140的B密钥147与MD 110的B密钥115相同)。在物理可移除的NAM 116的情况下,这样确保在NAM 116被从MD 110移除并且被放置到具有与SS 140的B密钥147不同的B密钥的不同的MD中时,该不同的MD将不会正确地解密所述已加密认证挑战参数,从而该不同的MD将不会被RAN 120认证。在基于软件的NAM 116的情况下,这样确保在NAM 116被非法侵入时,MD 110将不会被RAN 120认证。在MD 110和SS 140上提供相同的B密钥数值的做法可以被用来防止或缓解各种其他类型的安全性威胁。
可以通过任何适当的方式(例如利用任何适当的数值)确定B密钥数值,并且类似地可以通过任何适当的方式将其提供到SS 140(即作为B密钥147)和MD 110(即作为B密钥115)中。
在一个实施例中,B密钥数值例如可以是预先提供的随机数或字符串。将B密钥数值预先提供到MD 110中的步骤可以在设备制造期间实施,由运营商(或关连实体)在部署之前实施,利用一种或更多种设备管理机制(例如开放移动联盟-设备管理(OMA-DM))来实施等等。
在一个实施例中,B密钥数值例如可以是在自举规程期间被提供到MD 110中的一个字符串(例如密钥、口令等等),并且通过潜在地专有机制(例如利用离线提供方法)将相同的B密钥提供到SS 140中。
在一个实施例中,B密钥数值例如可以是散列函数的输出。在该实施例中,散列函数可以利用任何(多项)适当的输入,比如以下各项当中的一项或更多项:(1)随机数值,(2)特定于设备的身份和/或参数(例如IMEI、介质接入控制(MAC)地址、序列号、型号等等,以及其各种组合)等等,以及其各种组合。
在一个实施例中,B密钥数值例如可以是利用专有标准选择的数字或字符串。
可以通过任何其他适当的方式确定B密钥数值并且将其提供到MD 110和SS 140中。
在前面的描述中,假设MD 110被授权使用NAM 116。保持在SS 140中的B密钥147与保持在MD 110中的B密钥115相同,因此由SS 140加密的原始认证挑战参数被MD 110正确地解密,从而使得NAM 116在正确的认证挑战参数的基础上实施网络认证并且生成正确的RES,因此RAN 120成功地验证MD 110。
在其中NAM 116是已被插入到MD 110中的物理可移除设备的情况下,如果从MD 110移除NAM 116并且将其置入不包括正确的B密钥数值的未经授权的MD中,则利用未经授权的MD尝试附接到RAN 120将导致对于已加密认证挑战参数的错误解密,从而将导致错误的RES,并且因此导致认证失败。通过这种方式,NAM 116被防止使用在除了为之授权的MD 110之外的任何其他MD中。
在其中NAM 116是存储在MD 110内的基于软件的模块的情况下,如果NAM 116被非法侵入,则尝试利用MD 110附接到RAN 120将导致对于已加密认证挑战参数的错误解密,从而将导致错误的RES,并且因此导致认证失败。通过这种方式,保护NAM 116免于非法侵入。
因此,只有拥有对应于NAM的正确B密钥数值的经过授权的移动设备能够正确地解密认证挑战参数,从而使得NAM可以生成正确的RES,并且使得移动设备可以被RAN成功地认证。通过这种方式,在无线运营商的完全控制下,特定于订购的NAM被安全地绑定到经过授权的移动设备。
如前所述,与认证挑战参数的操纵和恢复相关联的各种功能可以由SS 140和MD 110实施。分别通过参照图2和图3可以更好地理解由SS 140和MD 110实施来操纵和恢复认证挑战参数的功能。
图2示出由订户服务器使用来对被用于认证与网络的订购的认证挑战参数进行加密的方法的一个实施例。MD与RAN相关联,其能够与SS进行通信。所述订购与MD的NAM相关联。在步骤210处,方法200开始。在步骤220处,从RAN接收AV请求。AV请求包括MD的NAM的订户身份。在步骤230处,生成AV。AV包括原始认证挑战参数。在步骤240处,基于NAM的订户身份确定于NAM相关联的B密钥。在步骤250处,利用基于B密钥的密码对原始认证挑战参数进行加密,从而形成已加密认证挑战参数。被用来在SS上对原始认证挑战参数进行加密的B密钥对应于将被用来在MD上对认证挑战参数进行解密的B密钥(例如所述B密钥是完全相同的)。在步骤260处,在AV中用已加密认证挑战参数替换原始认证挑战参数,从而形成更新后的AV。在步骤270处,向RAN传送更新后的AV。在步骤280处,方法200结束。应当提到的是,在结合图1考虑时可以更好地理解图2的方法200的操作。
图3示出由移动设备使用来对被用于认证与网络的订购的认证挑战参数进行解密的方法的一个实施例。MD包括NAM。MD与RAN相关联,其能够与SS进行通信。如图3中所示,一部分步骤由MD实施,并且一部分步骤由MD的NAM实施。在步骤305处,方法300开始。在步骤310处,MD从RAN接收AV。响应于从MD向RAN发送的附接请求而接收到AV。AV包括已加密认证挑战参数。在步骤315处,MD利用基于存储在MD上的B密钥的密码对已加密认证挑战参数进行解密。由MD使用来对已加密认证挑战参数进行解密的B密钥对应于由SS使用来对认证挑战参数进行加密的B密钥(例如所述B密钥是完全相同的)。在步骤320处,MD向NAM传送已解密认证挑战参数。在步骤325处,NAM从MD接收已解密认证挑战参数。在步骤330处,NAM基于已解密认证挑战参数实施认证计算,以便确定与AV相关联的RES。在步骤335处,NAM向MD传送RES。在步骤340处,MD从NAM接收RES。在步骤345处,MD向RAN传送RES。在步骤350处,方法300结束。应当提到的是,在结合图1考虑时可以更好地理解图3的方法300的操作。
现在回到图1,应当提到的是,虽然在这里主要关于其中在认证期间使用响应验证能力的实施例进行了描绘和描述,但是也可以在响应于同步失败而实施的重新认证期间使用响应验证能力。在同步失败的罕见情况下,由NAM 116用于认证计算以生成RES的认证挑战参数的数值(即已解密认证挑战参数)不被报告回到RAN120。相反,仅由NAM 116通过MD 110将认证令牌(例如在RFC3310中定义的AUTS令牌)发送到RAN 120,其中所述认证令牌包括认证挑战参数的预期数值。RAN 120把所接收到的认证令牌与在前一次认证期间使用的认证挑战参数的上一次使用的数值(即已加密认证挑战参数)相关联,并且把认证令牌与相关联的认证挑战数值提供到SS 140。在SS 140重新生成AV以用于重新同步之前,SS140(例如挑战操纵进程144或者任何其他适当的进程)对已加密认证挑战参数进行解密。换句话说,在恢复与原始认证参数的关联并且可以实现重新同步之前,需要恢复(例如解密)由SS 140在同步失败事务中从RAN 120接收的已加密认证挑战参数。为了恢复原始认证挑战参数对已加密认证挑战参数进行的解密使用在NAM 116的前一次认证期间被用来对原始认证挑战参数进行加密的相同密码。类似地,为了恢复原始认证挑战参数对已加密认证挑战参数进行的解密使用在NAM 116的前一次认证期间被用来对原始认证挑战参数进行加密的相同B密钥(也就是与NAM 116的订户身份相关联的B密钥)。换句话说,在重新同步期间,SS 140实施类似于由MD 110在认证期间所实施的处理。
应当提到的是,在机器类型通信(MTC)的情境中,响应验证能力的各个实施例可以是特别有用的。MTC正由多个标准化实体定义,以便允许针对机器对机器(M2M)通信的无线运营商支持。一般来说,M2M通信包括在没有人类交互的情况下由无线设备进行的通信。可以越来越多地预期的是,在M2M通信中所涉及的MTC设备(其通常被称作MTC设备或M2M设备)将是基于典型的无线移动平台,同时最大化对于现有无线电接入和核心网络技术的使用。换句话说,针对商用无线架构和基础设施的特定于M2M/MTC的修改预期会被减少到最低程度。但是MTC/M2M特征操作的细节要求与MTC/M2M订购相关联的NAM只能被使用在专门被设计成MTC/M2M设备并且/或者被授权实施M2M/MTC功能的移动设备中。响应验证能力的各个实施例适于把与MTC/M2M订购相关联的NAM限制到被设备来实施MTC/M2M功能并且/或者被授权实施MTC/M2M功能的移动设备。响应验证能力的各个实施例适于限制专用于仅和与特定记账计划相关联的MTC/M2M模块一起使用的NAM的接入。响应验证能力的各个实施例支持在3GPP TS 22.368(第3代合作伙伴计划;技术规范小组服务和系统方面;针对机器类型通信(MTC)的服务要求;第1阶段(第11版))中定义的要求,其把USIM的使用限制到特定MTC/M2M设备(以及可以在其他标准中规定的类似要求,例如3GPP2 S.P0146-0第0.50版(机器对机器通信系统要求,第1阶段要求,2012年2月)等等)。在一个实施例中,为经过特别设备或授权的MTC/M2M设备提供秘密B密钥数值(其与经过特别设备或授权的MTC/M2M设备的设备身份或者特别设备或授权的MTC/M2M设备的NAM的订户身份当中的一项或全部两项相关联),其也被存储在归属运营商的网络中的数据库中,以用于在所述经过特别设备或授权的MTC/M2M设备在针对接入网的接入方面得到认证时,对于在归属运营商的网络中生成的AV进行后处理。
应当提到的是,虽然在这里主要关于其中在从RAN接收到AV请求时由SS计算对应于MD的AV的实施例中进行了描绘和描述,但是在至少一些实施例中,SS可以在从RAN接收AV请求之前预先计算并且存储对应于MD的AV。在该实施例中,可以在从RAN接收到AV请求时由SS取回与MD相关联的AV。因此,SS可以被配置来在从RAN接收到AV请求时获得对应于MD的AV,其中获得对应于MD的AV可以被视为包括在接收到AV请求时计算AV或者在接收到AV请求时取回AV。预先计算的AV可以被存储在任何适当类型的存储模块中(例如缓冲器、高速缓存等等)。应当提到的是,预先计算的AV可以包括已加密认证挑战参数或者原始认证挑战参数。
在一个实施例中,预先计算并且存储的AV包括已加密认证挑战参数。SS能够在接收AV之前对原始认证挑战参数进行加密,这是因为SS已经保持了对应于NAM的相关联的信息(即订户身份、订购秘密(即B密钥)以及原始认证挑战参数)。因此,如果SS具有表明需要对NAM的原始认证挑战参数进行加密的信息,则SS可以生成包括已加密认证挑战参数的AV(包括对原始认证挑战参数实施加密),并且存储包括已加密认证挑战参数的AV以供后来用于对MD接入RAN的请求做出响应。这样就使得SS在接收到AV请求时不必实时地生成AV,其中包括对原始认证挑战参数进行加密从而形成已加密认证挑战参数。SS可以被配置来事先对于多项订购计算多个AV并且存储预先计算的AV,从而使得在相关联的MD接入RAN时可以取回预先计算的AV。SS可以被配置来使得在响应于AV请求从SS取回AV时,计算并且存储包括已加密认证挑战参数的新的AV以供在MD对RAN的后续接入期间使用。通过这种方式,可以随着时间平均SS上的负荷。
在一个实施例中,预先计算并且存储的AV包括原始认证挑战参数。在该实施例中,在接收到来自RAN的AV请求时,基于B密钥对原始认证挑战参数进行加密。在与特定MD相关联而不是与NAM相关联地进行后处理时,该实施例可以是有用的(例如其中SS事先不知道NAM被插入到其中的MD,因此必须等到接收到AV请求(其中除了NAM的订户身份之外还包括MD的设备身份)为止)。
应当提到的是,虽然在这里主要关于其中从RAN向MD提供AV的实施例进行了描绘和描述,但是在至少一些实施例中,仅从RAN向MD提供AV的一部分。在其中RAN是基于GSM的网络的一个实施例中,例如仅从RAN向MD提供AV的认证挑战参数(即RAND)。在其中RAN是基于UMTS的网络的一个实施例中,例如仅从RAN向MD提供AV的认证挑战参数(即RAND)和认证令牌(即AUTN)。在其中RAN是基于LTM的网络的一个实施例中,例如仅从RAN向MD提供AV的认证挑战参数(即RAND)和认证令牌(即AUTN)。应当提到的是,在每一种情况下,至少从RAN向MD提供AV的认证挑战参数。
应当提到的是,虽然在这里主要关于其中假设从SS提供到RAN再到MD的认证挑战参数是已加密认证挑战参数的实施例进行了描绘和描述,但是在至少一些实施例中,MD可以能够接收已加密认证挑战参数和未加密的认证挑战参数全部二者(例如MD可以能够支持多项订购,其中至少一项订购被配置来使用已加密认证挑战参数,并且至少一项订购被配置来使用未加密的认证挑战参数)。在一个实施例中,MD可以被配置来确定所接收到的认证挑战参数是否被加密(也就是确定在将其提供到NAM之前是否需要对所接收到的认证挑战参数进行解密)。在一个实施例中,MD被配置成基于订户身份确定所接收到的认证挑战参数是否被加密。在一个实施例中,MD被配置来使得在确定认证挑战参数被加密时,基于B密钥对已加密认证挑战参数进行解密,并且向NAM传送已解密认证挑战参数。在一个实施例中,MD被配置来使得在确定认证挑战参数未被加密时,向NAM传送认证挑战参数。这例如可以被使用在包括非MTC/M2M订购(例如典型的电话服务订购)和MTC/M2M订购(例如对于心率监测器或者任何其他MTC/M2M应用)的MD内,其中(1)非MTC/M2M订购对于RAN的每一次接入导致返回未被加密的认证挑战参数,因此在被提供到NAM之前不需要进行解密,并且(2)MTC/M2M订购对于RAN的每一次接入导致返回被加密的认证挑战参数,因此在被提供到NAM之前需要基于B密钥进行解密。应当认识到,这仅仅是其中MD可以被配置来确定所接收到的认证挑战参数是否被加密的情况的一个实例。还应当认识到,正如在这里主要描绘和描述的那样,MD可以被配置来使得不必要确定所接收到的认证挑战参数是否被加密。应当提到的是,虽然在这里主要关于其中对于认证挑战参数的密码操纵是基于对认证挑战参数的加密和解密的实施例进行了描绘和描述,但是对于认证挑战参数的密码操纵可以是基于任何其他适当类型的密码操纵。
应当提到的是,虽然在这里主要关于其中NAM被绑定到单一经过授权的MD的实施例进行了描绘和描述,但是在至少一些实施例中,NAM可以被授权与多个MD一同使用,从而使得NAM可以被使用在多个MD中的任一个之内而不会发生任何认证失败。在一个实施例中,这可以利用单一B密钥来提供,其中将相同的B密钥提供到多个MD当中的每一个MD中并且提供到SS中(例如通过利用一个或更多映射条目把多个MD当中的每一个的设备身份映射到相同的B密钥数值)。在一个实施例中,这可以利用与多个MD相关联的多个B密钥数值来提供,其中在多个MD当中的每一个中提供其中一个B密钥,并且各个B密钥被提供到SS中并且分别被映射到多个MD。
应当提到的是,虽然在这里主要关于其中MD具有与之相关联的单一NAM的实施例进行了描绘和描述,但是在至少一些实施例中,MD可以具有与之相关联的多个NAM(例如多个NAM可以与该MD一同使用)。在一个实施例中,为MD提供分别与可以对于该MD使用的多个NAM相关联的多个B密钥。在该实施例中,当MD接收到包括已加密认证挑战参数的AV时,MD基于在认证规程期间由NAM提供给该MD的订户身份选择将被用来对已加密认证挑战参数进行解密的适当的B密钥。
应当提到的是,虽然在这里主要关于其中NAM按照受限制方式被绑定到一个或更多MD的实施例进行了描绘和描述,但是在至少一些实施例中,NAM可以被授权与任何MD一同使用。在该实施例中,不为MD预先提供特定于NAM的B密钥,这是因为在提供MD时将不知道订户身份的数值。相反,在该实施例中,为MD预先提供关联到该MD的设备身份的B密钥,并且类似地将把设备身份到B密钥映射保持在相关联的SS中。在该实施例中,MD 110将报告其设备身份(除了MD的NAM的订户身份之外),并且SS(例如挑战操纵进程144)将使用MD的设备身份(而不是MD的NAM的订户身份)来取回对应于MD的相关联的B密钥,以用于在MD的认证期间对认证挑战参数进行加密。在该实施例中,SS(例如挑战操纵进程144)还实施一个附加步骤,以便检验由MD报告的设备身份被授权与由该MD报告的NAM的订户身份一同使用(例如利用由SS保持的订户身份到设备身份映射表,或者此类映射信息的任何其他适当来源)。这一检验确保正被认证的MD的NAM被授权在该MD中操作(即在具有由该MD报告的设备身份的设备中操作)。
应当提到的是,虽然在这里主要关于在特定类型的无线通信网络(即利用基于AKA的认证规程的蜂窝通信网络,比如2G GSM网络、2G CDMA网络、3G CDMA2000网络、3GPP 3G(UMTS)网络、4G(LTE)网络等等)内使用响应验证能力进行了描绘和描述,但是响应验证能力可以被使用在多种其他类型的无线通信网络内。举例来说,响应验证能力可以被使用在3G CDMA2000传统网络(例如其中RANDU参数被加密和解密)、1xEV-DO网络(例如其中CHAP-挑战参数被加密和解密)等等内。
应当提到的是,虽然在这里主要关于在特定类型的框架(即基于蜂窝的通信网络)内使用响应验证能力进行了描绘和描述,但是响应验证能力可以被使用在基于挑战-响应协议的任何安全性框架内。
应当提到的是,响应验证能力的各个实施例只需要对被配置来支持网络认证的移动设备以及对支持针对此类移动设备的认证的订户服务器(例如HLR、HSS等等)做出修改,而不需要对其他单元做出修改(例如不需要对RAN的单元、CN的单元等等做出修改)。
图4示出适用于实施这里所描述的功能的计算机的高层级方框图。
计算机400包括处理器402(例如中央处理单元(CPU)和/或其他(多个)适当的处理器)以及存储器404(例如随机存取存储器(RAM)、只读存储器(ROM)等等)。
计算机400还可以包括协作模块/进程405。协作进程405可以被加载到存储器404中并且由处理器402执行,以便实施这里所讨论的功能,因此协作进程405(包括相关联的数据结构)可以被存储在计算机可读存储介质上,例如RAM存储器、磁性或光学驱动器或盘等等。
计算机400还可以包括一个或更多输入/输出设备406(例如用户输入设备(比如键盘、小键盘、鼠标等等)、用户输出设备(比如显示器、扬声器等等)、输入端口、输出端口、接收器、传送器、一个或更多存储设备(例如带驱动器、软盘驱动器、硬盘驱动器、紧致盘驱动器等等)等等,以及其各种组合)。
应当认识到,图4中描绘的计算机400提供了适合于实施这里所描述的功能单元和/或这里所描述的功能单元的某些部分的一般架构和功能。举例来说,计算机400提供了适合于实施以下各项当中的一项或更多项的一般架构和功能:MD 110、NAM 116、RAN 120的某一单元、RAN 120的某一单元的一部分、CN 130的某一单元、CN 130的某一单元的一部分、SS 140等等。
应当认识到,这里所描绘和描述的功能可以用软件实施(例如通过一个或更多处理器上的软件的实现方式,其用于在通用计算机上执行(例如通过由一个或更多处理器执行)以便实施专用计算机等等),并且/或者可以用硬件实施(例如利用通用计算机、一个或更多专用集成电路(ASIC)以及/或者任何其他硬件等效方案)。
可以设想到,在这里作为软件方法讨论的其中一些步骤可以被实施在硬件内,例如作为与处理器协作来实施各个方法步骤的电路。这里所描述的功能/单元的某些部分可以被实施为计算机程序产品,其中的计算机指令在由计算机处理时对计算机的操作进行适配,从而使得调用或者以其他方式提供这里所描述的方法和/或技术。用于调用发明性方法的指令可以被存储在固定或可移除介质中,通过广播或其他信号载送介质中的数据流来传送,以及/或者被存储在根据所述指令操作的计算设备内的存储器内。
在权利要求书中规定了各个实施例的各个方面。在下列编号条款中规定了各个实施例的这些和其他方面:
1、一种装置,其包括:
处理器和可通信地连接到处理器的存储器,所述处理器被配置来:
接收认证挑战参数;以及
确定认证挑战参数是否被加密。
2、条款1的装置,其中,所述处理器被配置来基于与网络认证模块相关联的订户身份确定认证挑战参数是否被加密。
3、条款1的装置,其中,所述处理器被配置来:
当确定认证挑战参数被加密时:
基于存储在存储器中的绑定密钥对已加密认证挑战参数进行解密;以及
向网络认证模块传送已解密认证挑战参数。
4、条款3的装置,其中,所述绑定密钥包括以下各项的其中之一:预先提供的随机数或字符串,在自举规程期间提供的字符串,散列函数的输出,或者字符串或数字。
5、条款3的装置,其中,所述处理器被配置来:
从网络认证模块接收由网络认证模块基于已解密认证挑战参数计算的认证响应;以及
向无线电接入网(RAN)传送认证响应。
6、条款1的装置,其中,所述处理器被配置来:
当确定认证挑战参数未被加密时:
向网络认证模块传送认证挑战参数。
7、条款6的装置,其中,所述处理器被配置来:
从网络认证模块接收由网络认证模块基于认证挑战参数计算的认证响应;以及
向无线电接入网(RAN)传送认证响应。
8、条款1的装置,其中,所述处理器被配置来:
在接收认证挑战参数之前:
向无线电接入网(RAN)传送针对附接到RAN的请求;
其中,针对附接到RAN的请求包括网络认证模块的订户身份。
9、条款8的装置,其中,针对附接到RAN的请求还包括设备身份。
10、条款1的装置,其中,所述装置还包括网络认证模块。
11、条款10的装置,其中,所述网络认证模块是以下各项的其中之一:
被配置来插入在所述装置内以及从所述装置移除的设备;或者
存储在所述装置的存储器中的软件模块。
12、一种用于由包括处理器和存储器的移动设备使用的方法,所述方法包括:
由处理器接收认证挑战参数;以及
由处理器确定认证挑战参数是否被加密。
13、一种装置,其包括:
处理器和可通信地连接到处理器的存储器,所述处理器被配置来:
基于绑定密钥对认证矢量(AV)的原始认证挑战参数进行加密,从而形成已加密认证挑战参数;以及
用已加密认证挑战参数替换AV的原始认证挑战参数。
14、条款13的装置,其中,所述处理器被配置来:
当从无线电接入网(RAN)接收到AV请求时:
取回包括已加密认证挑战参数的AV;以及
向RAN传送包括已加密认证挑战参数的AV。
15、条款13的装置,其中,所述处理器被配置来:
在对AV的原始认证挑战参数进行加密从而形成已加密认证挑战参数之前:
从无线电接入网(RAN)接收AV请求;以及
获得包括原始认证挑战参数的AV。
16、条款13的装置,其中,所述处理器被配置来:
确定与接收自无线电接入网的AV请求相关联的订户身份;以及
基于所确定的订户身份取回绑定密钥。
17、条款13的装置,其中,所述处理器被配置来:
确定与接收自无线电接入网的AV请求相关联的设备身份;以及
基于所确定的设备身份取回绑定密钥。
18、条款13的装置,其中,所述处理器被配置来:
向无线电接入网(RAN)传送包括已加密认证挑战参数的AV,以供递送到移动设备。
19、条款13的装置,其中,所述处理器被配置来:
在对AV的原始认证挑战参数进行加密从而形成已加密认证挑战参数之前:
从无线电接入网(RAN)接收AV请求,其中所述AV请求包括移动节点的设备身份以及该移动节点的网络认证模块的订户身份;以及
基于所述订户身份和设备身份,确定网络认证模块是否被授权与移动设备一同使用。
20、条款13的装置,其中,存储在存储器中的绑定密钥对应于由AV所意定的移动设备保持的绑定密钥。
21、条款13的装置,其中,所述绑定密钥包括以下各项的其中之一:预先提供的随机数或字符串,在自举规程期间提供的字符串,散列函数的输出,或者字符串或数字。
22、条款13的装置,其中,所述处理器被配置来:
从无线电接入网接收已加密认证挑战参数;以及
基于与订户身份相关联的绑定密钥对已加密认证挑战参数进行解密。
23、一种方法,其包括:
利用处理器基于绑定密钥对认证矢量(AV)的原始认证挑战参数进行加密,从而形成已加密认证挑战参数;以及
用已加密认证挑战参数替换AV的原始认证挑战参数。
虽然在这里详细示出并描述了合并有本发明的教导的各个实施例,但是本领域技术人员可以很容易设想到仍然合并有这些教导的许多其他不同的实施例。
Claims (10)
1.一种装置,其包括:
处理器和可通信地连接到处理器的存储器,所述处理器被配置来:
接收认证挑战参数;以及
确定认证挑战参数是否被加密。
2.权利要求1的装置,其中,所述处理器被配置来基于与网络认证模块相关联的订户身份确定认证挑战参数是否被加密。
3.权利要求1的装置,其中,所述处理器被配置来:
当确定认证挑战参数被加密时:
基于存储在存储器中的绑定密钥对已加密认证挑战参数进行解密;以及
向网络认证模块传送已解密认证挑战参数。
4.权利要求3的装置,其中,所述绑定密钥包括以下各项的其中之一:预先提供的随机数或字符串,在自举规程期间提供的字符串,散列函数的输出,或者字符串或数字。
5.权利要求3的装置,其中,所述处理器被配置来:
从网络认证模块接收由网络认证模块基于已解密认证挑战参数计算的认证响应;以及
向无线电接入网(RAN)传送认证响应。
6.权利要求1的装置,其中,所述处理器被配置来:
当确定认证挑战参数未被加密时,向网络认证模块传送认证挑战参数;
从网络认证模块接收由网络认证模块基于认证挑战参数计算的认证响应;以及
向无线电接入网(RAN)传送认证响应。
7.权利要求1的装置,其中,所述处理器被配置来:
在接收认证挑战参数之前:
向无线电接入网(RAN)传送针对附接到RAN的请求;
其中,针对附接到RAN的请求包括网络认证模块的订户身份。
8.权利要求1的装置,其中,所述装置还包括网络认证模块,其中所述网络认证模块包括以下各项的其中之一:
被配置来插入在所述装置内以及从所述装置移除的设备;或者
存储在所述装置的存储器中的软件模块。
9.一种用于由包括处理器和存储器的移动设备使用的方法,所述方法包括:
由处理器接收认证挑战参数;以及
由处理器确定认证挑战参数是否被加密。
10.一种装置,其包括:
处理器和可通信地连接到处理器的存储器,所述处理器被配置来:
基于绑定密钥对认证矢量(AV)的原始认证挑战参数进行加密,从而形成已加密认证挑战参数;以及
用已加密认证挑战参数替换AV的原始认证挑战参数。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US13/528,802 | 2012-06-20 | ||
| US13/528,802 US9537663B2 (en) | 2012-06-20 | 2012-06-20 | Manipulation and restoration of authentication challenge parameters in network authentication procedures |
| PCT/US2013/046310 WO2013192173A1 (en) | 2012-06-20 | 2013-06-18 | Manipulation and restoration of authentication challenge parameters in network authentication procedures |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104521213A true CN104521213A (zh) | 2015-04-15 |
Family
ID=48746657
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201380033139.XA Pending CN104521213A (zh) | 2012-06-20 | 2013-06-18 | 网络认证规程中的认证挑战参数的操纵和恢复 |
Country Status (6)
| Country | Link |
|---|---|
| US (2) | US9537663B2 (zh) |
| EP (1) | EP2865155B1 (zh) |
| JP (2) | JP2015525545A (zh) |
| KR (1) | KR101632946B1 (zh) |
| CN (1) | CN104521213A (zh) |
| WO (1) | WO2013192173A1 (zh) |
Families Citing this family (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10013563B2 (en) * | 2013-09-30 | 2018-07-03 | Dell Products L.P. | Systems and methods for binding a removable cryptoprocessor to an information handling system |
| US10194469B2 (en) * | 2014-02-10 | 2019-01-29 | Zte Corporation | Enabling different device triggering aspects in a machine to machine communication system |
| EP3105909A4 (en) | 2014-02-10 | 2017-03-08 | ZTE Corporation | Techniques for mapping machine to machine communication to different underlying networks |
| KR101922100B1 (ko) | 2014-02-10 | 2018-11-27 | 지티이 코포레이션 | M2m 통신을 도모하는 방법 및 장치 |
| US10263980B2 (en) * | 2014-03-06 | 2019-04-16 | Telefonaktiebolaget Lm Ericsson (Publ) | Network node, device and methods for providing an authentication module |
| WO2015157295A1 (en) * | 2014-04-08 | 2015-10-15 | Capital One Financial Corporation | Systems and methods for transacting at an atm using a mobile device |
| CA2938918C (en) | 2014-04-17 | 2018-06-12 | Mitel Mobility Inc. | Gsm a3/a8 authentication in an ims network |
| CN107113606B (zh) | 2014-12-22 | 2020-09-29 | 瑞典爱立信有限公司 | 与通用分组无线服务网络通信的方法、设备及存储介质 |
| WO2017087552A1 (en) * | 2015-11-17 | 2017-05-26 | Cryptography Research, Inc. | Authenticating a secondary device based on encrypted tables |
| CN107612547B (zh) * | 2016-07-11 | 2020-10-02 | 创意电子股份有限公司 | 失锁侦测装置、失锁侦测方法及时脉数据回复电路 |
| KR102813926B1 (ko) * | 2016-12-15 | 2025-05-27 | 사로니코스 트레이딩 앤드 서비스즈, 유니페쏘알 엘디에이 | 무선 통신 시스템을 통해 액추에이터를 제어하기 위한 장치들, 시스템, 및 방법들 |
| KR102381389B1 (ko) | 2018-12-24 | 2022-04-01 | 인천대학교 산학협력단 | 우선 순위가 설정된 멀티 팩터 액세스 제어 시스템 및 방법 |
| IL295580A (en) * | 2020-02-13 | 2022-10-01 | Onomondo Aps | Improved packet forwarding |
| CN117596588B (zh) * | 2024-01-18 | 2024-03-26 | 中国电子科技集团公司第三十研究所 | 移动通信网络长期密钥动态更新方法及装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6427073B1 (en) * | 1996-09-17 | 2002-07-30 | Nokia Telecommunications Oy | Preventing misuse of a copied subscriber identity in a mobile communication system |
| US20060291660A1 (en) * | 2005-12-21 | 2006-12-28 | Telefonaktiebolaget Lm Ericsson (Publ) | SIM UICC based broadcast protection |
| US20110004754A1 (en) * | 2007-06-12 | 2011-01-06 | John Michael Walker | Method And Apparatuses For Authentication And Reauthentication Of A User With First And Second Authentication Procedures |
Family Cites Families (45)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5481611A (en) * | 1993-12-09 | 1996-01-02 | Gte Laboratories Incorporated | Method and apparatus for entity authentication |
| US5887253A (en) * | 1996-03-22 | 1999-03-23 | Bellsouth Corporation | Method for activating and servicing a cellular telephone |
| US5953652A (en) * | 1997-01-24 | 1999-09-14 | At&T Wireless Services Inc. | Detection of fraudulently registered mobile phones |
| US6065120A (en) | 1997-12-09 | 2000-05-16 | Phone.Com, Inc. | Method and system for self-provisioning a rendezvous to ensure secure access to information in a database from multiple devices |
| US7308431B2 (en) | 2000-09-11 | 2007-12-11 | Nokia Corporation | System and method of secure authentication and billing for goods and services using a cellular telecommunication and an authorization infrastructure |
| FI115098B (fi) | 2000-12-27 | 2005-02-28 | Nokia Corp | Todentaminen dataviestinnässä |
| US7900242B2 (en) | 2001-07-12 | 2011-03-01 | Nokia Corporation | Modular authentication and authorization scheme for internet protocol |
| US7185362B2 (en) | 2001-08-20 | 2007-02-27 | Qualcomm, Incorporated | Method and apparatus for security in a data processing system |
| US7194765B2 (en) | 2002-06-12 | 2007-03-20 | Telefonaktiebolaget Lm Ericsson (Publ) | Challenge-response user authentication |
| US6947725B2 (en) | 2002-03-04 | 2005-09-20 | Microsoft Corporation | Mobile authentication system with reduced authentication delay |
| US20030212616A1 (en) | 2002-05-09 | 2003-11-13 | Casabyte, Inc. | Method, apparatus and article to remotely associate wireless communications devices with subscriber identities and/or proxy wireless communications devices |
| US7155526B2 (en) | 2002-06-19 | 2006-12-26 | Azaire Networks, Inc. | Method and system for transparently and securely interconnecting a WLAN radio access network into a GPRS/GSM core network |
| US20030235305A1 (en) | 2002-06-20 | 2003-12-25 | Hsu Raymond T. | Key generation in a communication system |
| CN101541000B (zh) | 2002-10-11 | 2012-04-18 | 松下电器产业株式会社 | 用户识别信息保护方法、系统及移动终端和家乡域服务器 |
| US7398550B2 (en) | 2003-06-18 | 2008-07-08 | Microsoft Corporation | Enhanced shared secret provisioning protocol |
| CN1857024B (zh) * | 2003-09-26 | 2011-09-28 | 艾利森电话股份有限公司 | 在移动通信系统中用于密码学的增强型安全性设计 |
| ES2385824T3 (es) * | 2003-12-30 | 2012-08-01 | Telecom Italia S.P.A. | Procedimiento y sistema de protección de datos, red de comunicaciones relacionada y producto de programa informático |
| US7940932B2 (en) | 2004-04-08 | 2011-05-10 | Texas Instruments Incorporated | Methods, apparatus, and systems for securing SIM (subscriber identity module) personalization and other data on a first processor and secure communication of the SIM data to a second processor |
| JP2006033765A (ja) | 2004-07-21 | 2006-02-02 | Sanyo Electric Co Ltd | コンテンツ利用情報提供装置およびコンテンツ利用情報享受装置 |
| JP2006085676A (ja) * | 2004-08-20 | 2006-03-30 | Matsushita Electric Ind Co Ltd | 暗号化命令処理装置 |
| US8611536B2 (en) | 2004-09-08 | 2013-12-17 | Qualcomm Incorporated | Bootstrapping authentication using distinguished random challenges |
| CN100385983C (zh) * | 2005-01-30 | 2008-04-30 | 华为技术有限公司 | 一种密钥设置方法 |
| JP4786190B2 (ja) | 2005-02-01 | 2011-10-05 | 株式会社エヌ・ティ・ティ・ドコモ | 認証ベクトル生成装置、加入者認証モジュール、無線通信システム、認証ベクトル生成方法、演算方法及び加入者認証方法 |
| CN100428848C (zh) | 2005-05-31 | 2008-10-22 | 华为技术有限公司 | 一种对终端用户标识模块进行ip多媒体域鉴权的方法 |
| SE532098C2 (sv) | 2005-08-23 | 2009-10-20 | Smarttrust Ab | Autenticeringssystem och -förfarande |
| US20090217048A1 (en) | 2005-12-23 | 2009-08-27 | Bce Inc. | Wireless device authentication between different networks |
| EP1976322A1 (en) | 2007-03-27 | 2008-10-01 | British Telecommunications Public Limited Company | An authentication method |
| WO2009046400A1 (en) | 2007-10-05 | 2009-04-09 | Interdigital Technology Corporation | Techniques for secure channelization between uicc and a terminal |
| WO2009050324A1 (en) * | 2007-10-16 | 2009-04-23 | Nokia Corporation | Credential provisioning |
| US8689012B1 (en) * | 2008-10-17 | 2014-04-01 | Sprint Communications Company L.P. | Diagnostics for secure elements in a mobile device |
| WO2010069962A1 (en) | 2008-12-15 | 2010-06-24 | Koninklijke Kpn N.V. | Service-based authentication to a network |
| US20100318782A1 (en) * | 2009-06-12 | 2010-12-16 | Microsoft Corporation | Secure and private backup storage and processing for trusted computing and data services |
| CN102714791B (zh) * | 2009-07-24 | 2015-06-17 | 瑞典爱立信有限公司 | 通信网络中的终端标识符 |
| US8170528B2 (en) * | 2009-10-09 | 2012-05-01 | Hewlett-Packard Development Company, L.P. | Network access control |
| JP2011223495A (ja) | 2010-04-14 | 2011-11-04 | Sony Corp | 情報処理装置及び方法、並びにプログラム |
| US8571218B2 (en) * | 2010-06-01 | 2013-10-29 | GreatCall, Inc. | Short message service cipher |
| US8385953B2 (en) * | 2010-06-23 | 2013-02-26 | At&T Mobility Ii Llc | Systems, methods, and computer program products for automatic mapping between parlay-X short messaging service message element XML encoding and native SMPP protocol data coding scheme |
| US9112905B2 (en) * | 2010-10-22 | 2015-08-18 | Qualcomm Incorporated | Authentication of access terminal identities in roaming networks |
| WO2012097883A1 (en) * | 2011-01-17 | 2012-07-26 | Telefonaktiebolaget L M Ericsson (Publ) | Method and apparatus for authenticating a communication device |
| US8346287B2 (en) * | 2011-03-31 | 2013-01-01 | Verizon Patent And Licensing Inc. | Provisioning mobile terminals with a trusted key for generic bootstrap architecture |
| JP5778853B2 (ja) * | 2011-04-01 | 2015-09-16 | インターデイジタル パテント ホールディングス インコーポレイテッド | 共通のpdpコンテキストを共有するためのシステムおよび方法 |
| US9450759B2 (en) | 2011-04-05 | 2016-09-20 | Apple Inc. | Apparatus and methods for controlling distribution of electronic access clients |
| US9131330B2 (en) * | 2011-07-15 | 2015-09-08 | Telefonaktiebolaget L M Ericsson (Publ) | M2M services enablement architecture for cellular access networks |
| US10044713B2 (en) | 2011-08-19 | 2018-08-07 | Interdigital Patent Holdings, Inc. | OpenID/local openID security |
| US20130212642A1 (en) * | 2012-02-12 | 2013-08-15 | John J. Walsh | Resilient Device Authentication System |
-
2012
- 2012-06-20 US US13/528,802 patent/US9537663B2/en not_active Expired - Fee Related
-
2013
- 2013-06-18 KR KR1020147035413A patent/KR101632946B1/ko not_active Expired - Fee Related
- 2013-06-18 JP JP2015518514A patent/JP2015525545A/ja active Pending
- 2013-06-18 CN CN201380033139.XA patent/CN104521213A/zh active Pending
- 2013-06-18 WO PCT/US2013/046310 patent/WO2013192173A1/en active Application Filing
- 2013-06-18 EP EP13734239.0A patent/EP2865155B1/en not_active Not-in-force
-
2016
- 2016-12-12 US US15/375,684 patent/US20170093588A1/en not_active Abandoned
-
2017
- 2017-05-24 JP JP2017102618A patent/JP2017192134A/ja not_active Ceased
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6427073B1 (en) * | 1996-09-17 | 2002-07-30 | Nokia Telecommunications Oy | Preventing misuse of a copied subscriber identity in a mobile communication system |
| US20060291660A1 (en) * | 2005-12-21 | 2006-12-28 | Telefonaktiebolaget Lm Ericsson (Publ) | SIM UICC based broadcast protection |
| US20110004754A1 (en) * | 2007-06-12 | 2011-01-06 | John Michael Walker | Method And Apparatuses For Authentication And Reauthentication Of A User With First And Second Authentication Procedures |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2865155A1 (en) | 2015-04-29 |
| US20170093588A1 (en) | 2017-03-30 |
| JP2015525545A (ja) | 2015-09-03 |
| US9537663B2 (en) | 2017-01-03 |
| JP2017192134A (ja) | 2017-10-19 |
| KR20150013821A (ko) | 2015-02-05 |
| WO2013192173A1 (en) | 2013-12-27 |
| EP2865155B1 (en) | 2017-01-18 |
| KR101632946B1 (ko) | 2016-07-08 |
| US20130343538A1 (en) | 2013-12-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104521213A (zh) | 网络认证规程中的认证挑战参数的操纵和恢复 | |
| US10003965B2 (en) | Subscriber profile transfer method, subscriber profile transfer system, and user equipment | |
| CN1969580B (zh) | 移动通信系统中的安全 | |
| US9332575B2 (en) | Method and apparatus for enabling connectivity in a communication network | |
| US20090191857A1 (en) | Universal subscriber identity module provisioning for machine-to-machine communications | |
| US20100135491A1 (en) | Authentication method | |
| US10462667B2 (en) | Method of providing mobile communication provider information and device for performing the same | |
| CN102318386B (zh) | 向网络的基于服务的认证 | |
| EP3340690A1 (en) | Access method, device and system for user equipment (ue) | |
| CN112566112A (zh) | 用于无线通信的装置、方法和存储介质 | |
| KR20070112260A (ko) | Sim/uicc 키 설정을 위한 네트워크 지원 단말기 | |
| US20140171029A1 (en) | Method and apparatus for authenticating subscribers to long term evolution telecommunication networks or universal mobile telecommunications system | |
| CN108683510A (zh) | 一种加密传输的用户身份更新方法 | |
| CN108848495B (zh) | 一种使用预置密钥的用户身份更新方法 | |
| CN101926188A (zh) | 对通信终端的安全策略分发 | |
| WO2017062731A1 (en) | INSTANTIATION OF MULTIPLE ELECTRONIC SUBSCRIBER IDENTITY MODULE (eSIM) INSTANCES | |
| US20140153722A1 (en) | Restricting use of mobile subscriptions to authorized mobile devices | |
| CN101990201A (zh) | 生成gba密钥的方法及其系统和设备 | |
| CN101176296A (zh) | 网络辅助终端到simm/uicc密钥建立 | |
| HK40023059A (zh) | 無線通訊的密鑰協定 | |
| HK40023059B (zh) | 無線通訊的密鑰協定 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| AD01 | Patent right deemed abandoned | ||
| AD01 | Patent right deemed abandoned |
Effective date of abandoning: 20181109 |