CN107409305B - 通信设备与网络设备之间的通信安全设置 - Google Patents
通信设备与网络设备之间的通信安全设置 Download PDFInfo
- Publication number
- CN107409305B CN107409305B CN201580076997.1A CN201580076997A CN107409305B CN 107409305 B CN107409305 B CN 107409305B CN 201580076997 A CN201580076997 A CN 201580076997A CN 107409305 B CN107409305 B CN 107409305B
- Authority
- CN
- China
- Prior art keywords
- parameter
- pfs
- challenge
- verification code
- network device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004891 communication Methods 0.000 title claims abstract description 265
- 238000012795 verification Methods 0.000 claims abstract description 201
- 230000004044 response Effects 0.000 claims abstract description 159
- 238000000034 method Methods 0.000 claims description 51
- 238000004590 computer program Methods 0.000 claims description 45
- 238000010200 validation analysis Methods 0.000 claims description 35
- 238000009795 derivation Methods 0.000 claims description 17
- 238000013500 data storage Methods 0.000 claims description 12
- 238000012545 processing Methods 0.000 claims description 10
- 230000002708 enhancing effect Effects 0.000 claims description 8
- 101100049641 Caenorhabditis elegans pfs-2 gene Proteins 0.000 abstract 1
- 230000006870 function Effects 0.000 description 29
- 239000013598 vector Substances 0.000 description 25
- 101100269308 Saccharomyces cerevisiae (strain ATCC 204508 / S288c) PFS1 gene Proteins 0.000 description 20
- 230000008901 benefit Effects 0.000 description 13
- 230000007774 longterm Effects 0.000 description 13
- 238000004364 calculation method Methods 0.000 description 12
- 102100036218 DNA replication complex GINS protein PSF2 Human genes 0.000 description 11
- 101000736065 Homo sapiens DNA replication complex GINS protein PSF2 Proteins 0.000 description 11
- 230000011664 signaling Effects 0.000 description 10
- 238000010586 diagram Methods 0.000 description 8
- 238000007726 management method Methods 0.000 description 6
- 238000010295 mobile communication Methods 0.000 description 5
- 230000001010 compromised effect Effects 0.000 description 4
- 238000012986 modification Methods 0.000 description 4
- 230000004048 modification Effects 0.000 description 4
- 230000004888 barrier function Effects 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 2
- 238000004422 calculation algorithm Methods 0.000 description 2
- 230000007613 environmental effect Effects 0.000 description 2
- 238000013519 translation Methods 0.000 description 2
- 239000000654 additive Substances 0.000 description 1
- 230000000996 additive effect Effects 0.000 description 1
- 230000003466 anti-cipated effect Effects 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000002349 favourable effect Effects 0.000 description 1
- GVVPGTZRZFNKDS-JXMROGBWSA-N geranyl diphosphate Chemical compound CC(C)=CCC\C(C)=C\CO[P@](O)(=O)OP(O)(O)=O GVVPGTZRZFNKDS-JXMROGBWSA-N 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
- H04L9/0841—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
- H04L9/0844—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/082—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying multi-factor authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
第一通信网络的第一网络设备(MME)获得质询(RAND),生成第一PFS参数(PFS1),获得第一PFS参数(PFS1)的第一验证码(VC1A),并向通信设备(ME)发送质询(RAND)、第一PFS参数(PFS1)和第一验证码(VC1A),通信设备(ME)进而接收质询(RAND)、第一PFS参数(PFS1)和第一验证码(VC1A),向身份模块(USIM)转发所述质询或其导出物,从所述身份模块(USIM)接收至少一个结果参数(CK/IK,RES)作为响应,基于所述结果参数(CK/IK,RES)确定所述第一PFS参数(PFS1)是否可信,并且如果该确定为肯定,则生成并向第一网络设备发送第二PFS参数(PFS2),第一网络设备进而验证所述第二PFS参数(PFS2)。
Description
技术领域
本发明涉及用于与网络设备通信的通信设备、用于与通信网络的网络设备通信的通信设备的方法、计算机程序和计算机程序产品、第一通信网络的第一网络设备、用于第一通信网络的第一网络节点的方法、计算机程序和计算机程序产品、以及包括第一通信系统中的第一网络设备和第二通信系统中的第二网络设备的系统。本发明还涉及第二网络设备。
背景技术
通过通信网络传输的数据变得越来越敏感。诸如移动、无线和固定通信网络之类的通信网络现在越来越频繁地用于例如各种经济和商业相关交易、信息物理系统的控制等。因此,需要采取更强的安全措施。
在例如移动通信中重要的是,通信网络和用户设备(UE)彼此相互认证,并且能够加密交换的业务数据,其中这两个安全服务都严格依赖于安全密钥管理,包括密钥协商或密钥建立。
在这方面,来自第二代(2G)和以后的移动网络已经使用了强大的基于(通用)用户识别模块((U)SIM)卡的认证和加密密钥协议。从第三代(3G)网络往后,认证已是相互的:网络和用户设备互相认证。基于USIM的3G/4G认证在例如3GPP TS 33.102V12.2.0和33.401V12.13.0中描述。该协议取决于使用哪种接入网络类型被称为UMTS AKA或LTE AKA,其中UMTS AKA是通用移动电信系统认证和密钥协商的首字母缩写,而LTE AKA是长期演进认证和密钥协商的缩写。注意,虽然3GPP标准使用术语密钥协议,但实际使用的协议更具有密钥建立性质。然而,该差异对于本讨论并不重要。已经针对IP多媒体子系统(IMS)以及针对一般服务层认证(通用引导架构,GBA,3GPP TS 33.220V12.3.0)开发了该AKA协议的变体,IMS AKA,非3GPP接入技术(EAP-AKA,IETF RFC4187)。
图1示出了根据TS 33.102V12.2.0的针对3G网络的高层上的AKA的功能,其中具有与用户设备相对应的通信设备类型的移动站MS与服务网络(SN)的访问位置寄存器(VLR)/服务网络支持节点(SGSN)进行通信,服务网络(SN)的访问位置寄存器(VLR)/服务网络支持节点(SGSN)进而与归属环境(HE)/归属位置寄存器(HLR)进行通信。在4G/LTE中,移动管理实体(MME)代替VLR/SGSN,并且HE/HLR对应于归属订户服务器(HSS)。
在图1中,示出了VLR/SGSN向HE/HLR发送有关访问移动台MS的认证数据请求10。HE/HLR生成12一组认证矢量(AV(1..n)),并在认证数据响应消息14中向VLR/SGSN发送矢量(AV1..n),其中VLR/SGSN然后存储16认证矢量。这些步骤一起形成了来自HE的分发和认证矢量的阶段17。
之后遵循认证和密钥建立(或密钥协商)阶段31。当要在该阶段31进行认证时,VLR/SGSN选择18可用(未使用的)认证矢量,并且VLR/SGSN基于该矢量的内容,使用随机值Rand(i)和认证令牌AUTN(i)发送包括质询的用户认证请求消息ARQ 20,其中AUTN(i)包括质询验证码,并且索引i指示该值与AVi相关联。在MS中验证AUTN(i),并且如果验证成功,则在验证步骤22中计算结果RES(i)。准确地说,这些操作由USIM在MS中进行。然后,MS发送包括结果RES(i)的用户认证响应消息(ARE)20。认证矢量包括期望结果XRES(i),然后VLR/SGSN将接收结果RES(i)与期望结果XRES(i)进行比较26,如果比较成功(即两个值相等),则VLR/SGSN然后选择30对应的加密密钥CK(i)和完整性保护密钥IK(i)。同时,MS(再次,准确地说,USIM)计算28相同的密钥CK(i)和IK(i)。在LTE的情况下,从CK(i)和IK(i)中推导出其他密钥,例如所谓Kasme密钥(未示出),该推导是在USIM外部的MS部分完成的。USIM以外的部分被称为移动设备(ME)。
在图1所示类型的认证和密钥协商中,如上所述,具有优点预先共享(advantagepre-shared)的秘密密钥K被用于并存储在用户设备(具体地,在USIM中)和归属网络中。共享密钥K然后用于导出CK(i)和IK(i)。
因此,AKA的安全性取决于密钥K被保密。最近有媒体报道,USIM卡制造商的安全性被破坏,一套K密钥已经“泄漏”(或落入错误的手中),从而将与这些密钥相关联的用户置于诸如假冒、连接劫持和窃听(因为从CK(i)和/或IK(i)中导出的加密密钥也因此可能有风险)之类的风险之中。在检索到的2015年7月6日的文章https://firstlook.org/theintercept/2015/02/19/great-sim-heist/中,提到导致上述安全性暗示的AKA协议的潜在问题在于,AKA缺乏所谓的完美前向保密(PFS)。
鉴于以上所述,当安全性基于使用与通信网络节点共享的秘密/密钥的诸如USIM的身份模块时提高通信设备和通信网络之间的通信的安全性级别是令人感兴趣的。
因此,需要增强通信设备和通信网络之间的通信安全性。
发明内容
本发明的一个目的是提高通信设备与长期共享密钥的使用相关的通信安全性。
该目的通过根据第一方面的与通信网络的网络设备通信的通信设备实现。所述通信设备被配置为:
从网络设备接收质询、第一PFS参数和第一验证码,
向身份模块转发质询或其导出物(derivative),
从身份模块接收作为响应的至少一个结果参数,
基于所述结果参数,确定所述第一PFS参数是否可信,
生成第二PFS参数,以及
如果确定所述第一PFS参数是可信的,则向网络设备发送第二PFS参数。
该目的通过根据第二方面的由通信设备执行的方法实现,所述通信设备与通信网络的网络设备进行通信。所述方法包括:
从网络设备接收质询、第一PFS参数和第一验证码,
向身份模块转发质询或其导出物,
从所述身份模块接收作为响应的至少一个结果参数,
基于所述结果参数,确定所述第一PFS参数是否可信,
生成第二PFS参数,以及
如果确定第一PFS参数是可信的,则向网络设备发送所述第二PFS参数。
该目的通过根据第三方面的用于与通信网络的网络设备进行通信的通信设备的计算机程序来实现。所述计算机程序包括计算机程序代码,当在通信设备中运行时,所述计算机程序代码使所述通信设备:
从网络设备接收质询、第一PFS参数和第一验证码,
向身份模块转发质询或其导出物,
从身份模块接收作为响应的至少一个结果参数,
基于结果参数,确定所述第一PFS参数是否是可信的,
生成第二PFS参数,以及
如果该确定为肯定,即如果所述第一PFS参数是可信的,则向网络设备发送第二PFS参数。
该目的通过根据第四方面的用于与通信网络的网络节点进行通信的通信设备的计算机程序产品来实现。所述计算机程序产品包括具有根据第三方面的计算机程序代码的数据存储介质。
根据所述第一、第二和第四方面的本发明具有许多优点。增强的安全性建立起防范能够损坏(compromise)长期共享密钥的攻击者的屏障,迫使他们发起所谓的中间人攻击以利用受损密钥。
导出物可能与质询相同。导出物也可能是质询的散列。
如果使用作为质询的散列的导出物,则质询的大小减小,并且也可适应于标准化的质询大小。对身份模块提供纯质询具有减少通信设备中的处理的优点。
在第一方面的第一变型中,通信设备被配置为生成用于通信设备和网络设备之间的通信的会话密钥,其中该会话密钥至少基于用于生成第一和第二PFS参数的值。
在第二方面的相应变型中,该方法包括生成用于通信设备和网络设备之间的通信的会话密钥,其中该会话密钥至少基于用于生成第一和第二PFS参数的值。
该变型具有提供具有防范潜在的未来共享密钥损坏的增强的通信安全性的会话的优点。
在第一和第二方面的更具体的实施例中,会话密钥基于第一PFS参数、以及第二PFS参数的指数。
第一验证码可以包括至少基于第一PFS参数的消息认证码。基于至少第二PFS参数意味着在一个实施例中,其可以至少基于第一PFS参数的散列,并且该散列可以是加密散列。此外,质询可以基于第一PFS参数。它可以例如是第一PFS参数或第一PFS参数的散列。这个散列也可能是加密散列。通过基于第一PFS参数的质询,提供了加密和带宽使用中的经济性。通过提供散列来进一步增强该经济性,这允许使第一PFS参数的大小适应于各种标准化格式。
第一和第二PFS参数可以更具体地是Diffie-Hellman参数。
在第一方面的第三变型中,通信设备被配置为从网络设备接收认证请求消息中的质询、第一PFS参数和第一验证码,并且在这种情况下,认证请求消息还包括质询验证码。此外,当通信设备接收到至少一个结果参数时,其被配置为接收作为对质询的响应的响应参数。最后,当通信设备被配置为生成并发送第二PFS参数时,其被配置为与第二验证码一起生成第二PFS参数,并在还包括响应参数的认证响应消息中发送所述第二验证码和第二PFS参数。
在第二方面的相应变型中,在认证请求消息中接收质询、第一PFS参数和第一验证码,该认证请求消息还包括质询验证码。所述至少一个结果参数还包括作为对质询的响应而接收的响应参数。此外,生成和发送第二PFS参数包括:与第二验证码一起生成第二PFS参数,并在还包括响应参数的认证响应消息中发送所述第二PFS参数以及第二验证码。
该变型具有允许在已经存在的消息中传送第一和第二PFS参数以及第一和第二验证码的优点。从而避免了额外的消息。这可以节省通信设备中的能量,其可能是有限的资源。
第二验证码可以生成为至少基于第二PFS参数的消息认证码。至少基于第二PFS参数意味着,在一个实施例中,其可以至少基于第二PFS参数的散列,并且该散列可以是加密散列。
散列/消息认证码还可以基于HMAC/SHA-256。
在第一和第二方面的第四变型中,认证请求消息包括认证请求消息的相应单独信息元素中的第一验证码。
在这种情况下,通信设备被配置为在确定第一PFS参数的可信性时使用第一验证码。
在这种情况下,使用第一验证码来确定在该方法中生成的第一PFS参数的可信性。
在第一和第二方面的第五变型中,提供第一验证码作为质询验证码的至少一部分。
在这种情况下,通信设备被配置为基于提供至少一个结果参数的身份模块来确定第一PFS参数的可信性。
在这种情况下,基于提供至少一个结果参数的身份模块来确定在该方法中所做出的第一PFS参数的可信性。
该变型在认证请求消息中使用的加密中提供了进一步的经济性。
在第一方面的第六变型中,通信设备被配置为基于至少一个结果参数中的至少一个生成第二验证码,并且在指派给认证响应消息中的响应参数的信息元素中发送所述第二验证码。
在第二方面的相应变型中,该方法包括使第二验证码基于响应参数。在这种情况下,认证响应的发送还包括:在指派给响应参数的认证响应消息的信息元素中发送第二验证码。
这种变型在认证响应消息及其处理中使用的带宽和加密中提供了进一步的经济性。
通信设备可以是用户设备,并且还可以包括其中存储有处理器所作用的计算机指令的移动设备。另外可能的是,通信设备包括身份模块,身份模块进而包括密钥和加密处理装置。
另一目的是提供通信网络中的第一网络设备的与长期共享密钥的使用相关的增强的通信安全性。
该目的通过根据第五方面的第一通信网络的第一网络设备实现。所述第一网络设备被配置为:
获得质询,
获得第一PFS参数,
获得第一PFS参数的第一验证码,
向通信设备发送所述质询、第一PFS参数和第一验证码,
从通信设备接收第二PFS参数、第二验证码和响应参数,
确定响应参数的可信性,以及
基于第二验证码验证第二PFS参数。
该目的通过根据第六方面的用于通信网络的第一网络设备的方法实现。所述方法由第一网络设备执行并包括:
获得质询,
获得第一PFS参数,
获得第一PFS参数的第一验证码,
向通信设备发送所述质询、第一PFS参数和第一验证码,
从所述通信设备接收第二PFS参数、第二验证码和响应参数,
确定响应参数的可信性,以及
基于第二验证码验证第二PFS参数。
该目的通过根据第七方面的用于通信网络的第一网络设备的计算机程序实现。所述计算机程序包括计算机程序代码,所述计算机程序代码在第一网络设备上运行时使所述第一网络设备:
获得质询,
获得第一PFS参数,
获取第一PFS参数的第一验证码,
向通信设备发送所述质询、第一PFS参数和第一验证码,
从所述通信设备接收第二PFS参数、第二验证码和响应参数,
确定响应参数的可信性,以及
基于第二验证码验证第二PFS参数。
该目的通过根据第八方面的用于通信网络的第一网络设备的计算机程序产品实现。所述计算机程序产品包括具有根据第七方面的计算机程序代码的数据存储介质。
根据所述第五、第六、第七和第八方面的本发明增强了第一网络设备和通信设备之间的通信的安全性。增强的安全性建立了防范所谓的中间人攻击的屏障。
在第五方面的第一变型中,第一网络设备还被配置为计算用于通信设备和第一网络设备之间的通信的会话密钥。会话密钥至少基于用于生成第一和第二PFS参数的值。
在第六方面的相应变型中,该方法还包括:计算用于通信设备用户设备和第一网络设备之间的通信的会话密钥,所述会话密钥至少基于用于生成第一和第二PFS参数的值。
在第五和第六方面的更具体的实施例中,所述会话密钥基于第二PFS参数、以及第一PFS参数的指数。
在第五方面的第二变型中,第一网络设备被配置为在获得质询时获得质询验证码,在认证请求消息中与质询验证码一起发送质询、第一PFS参数和第一验证码,以及在认证响应消息中接收第二PFS参数、第二验证码和响应参数。
在第六方面的相应变型中,获得质询包括:获得质询验证码;发送质询、第一PFS参数和第一验证码包括:将质询、第一PFS参数和第一验证码在认证请求消息中与质询验证码一起发送;接收第二PFS参数、第二验证码和响应参数包括:在认证响应消息中接收第二PFS参数、第二验证码和响应参数。
这具有重新使用现有消息的优点。这意味着,可以使用现有的认证和密钥协商协议的现有消息结构,而不添加新消息。这可以在一般环境级别上节约能量,因为发送附加消息使用可能是无线电网络中的有限资源的能量。此外,网络通信也通常是标准化的,并且新消息的引入通常比在已经存在的消息中添加新的信息元素更难达成一致。
在第五方面的第三变型中,所述第二网络设备在获取所述第一验证码时被配置为:使用所述第一PFS参数生成所述第一验证码,并且当发送所述认证请求消息被配置为:在认证请求消息的相应单独信息元素中发送所述第一验证码。
在第六方面的相应变型中,获得第一验证码包括:使用第一PFS参数生成第一验证码,并且发送认证请求消息包括:在相应单独信息元素中发送所述第一验证码。
在第五方面的第四变型中,第一网络设备在获得第一PFS参数时还被配置为:接收要用于生成第一PFS参数的值,获得第一验证码作为质询验证码的至少一部分,以及将作为质询验证码的至少一部分的第一验证码在验证请求消息中发送。
在第六方面的相应变型中,所述方法还包括:接收用于生成所述第一PFS参数的值,获得第一验证码作为质询验证码的至少一部分,并将作为质询验证码的至少一部分的第一验证码在验证请求消息中发送。
在第五方面的第五变型中,第一网络设备被配置为:还获得期望质询结果,并通过与期望质询结果的比较来确定响应参数的可信性。
在第六方面的相应变型中,所述方法还包括:与质询一起获得期望质询结果,并通过与预期质询结果的比较来确定响应参数的可信性。
在第五和第六方面的第六变型中,响应参数通过基于响应参数的第二验证码包括在认证响应消息中。
在这种情况下,第一网络设备被配置为:在指派给响应参数的认证响应消息的信息元素中接收第二验证码,并且使用第二验证码同时确定响应参数的可信性和验证第二PFS参数。
在这种情况下,在该方法中执行的认证响应消息的接收包括:在指派给响应参数的认证响应消息的信息元素中接收第二验证码,以及使用第二验证码同时执行响应参数的可信性的确定和第二PFS参数的验证。
另一目的是提供一种用于增强网络设备的与使用长期共享密钥相关的通信安全性的系统。
该目的通过根据第九方面的包括第一通信网络中的第一网络设备和第二通信网络中的第二网络设备的系统实现。第二网络设备被配置为向第一网络设备发送质询。
另一方面,第一网络设备被配置为
接收质询,
生成第一PFS参数,
获取第一PFS参数的第一验证码,
向所述通信设备发送所述质询、第一PFS参数和第一验证码,
从所述通信设备接收第二PFS参数、第二验证码和响应参数,
确定响应参数的可信性,以及
基于第二验证码来验证第二PFS参数。
在第九方面的第一变型中,第二网络设备被配置为:还通过至少基于值x生成第一PFS参数来提供用于获得第一PFS参数的值,使用第一PFS参数生成质询验证码,并向第一网络设备发送底数值(base value)。第一网络设备进而被配置为:向通信设备发送作为质询验证码的第一验证码。
根据第九方面的本发明还具有增强第一网络设备和通信设备之间的通信的安全性的优点。增强的安全性建立起防范能够损坏长期共享密钥的攻击者的屏障,迫使他们发起所谓的中间人攻击以利用受损密钥。
此外,本发明的第十方面涉及一种用于第二通信网络的第二网络设备,所述第二网络设备操作用于:
从第一通信网络的第一网络设备接收针对与通信设备的身份模块相关的认证数据的请求,
生成第一PFS参数,
基于至少第一PFS参数和第二网络设备与身份模块之间共享的密钥来生成第一验证码,
响应于所述请求,向第一网络设备发送至少第一验证码和可以从中导出第一PFS参数的值。
在第二网络设备的一个实施例中,可以从中导出第一PFS参数的值包括第一PFS参数。
在第二网络设备的一个实施例中,第一PFS参数包括Diffie-Hellman参数,并且可以从中导出第一PFS参数的值包括Diffie-Hellman参数的指数。
应当强调的是,当在本说明书中使用术语“包括”时用来指所阐述的特征、要件、步骤、组成部分的存在,但不排除一个或多个其它特征、要件、步骤、组成部分或它们的组合的存在或增加。应将“参数”一词解释为覆盖该参数的值,例如,参数的计算包括对该参数的值的计算,并且基于一个或多个参数的结果或响应的计算或推导包括基于一个或多个参数的一个或多个值的结果或响应的计算。以相同的方式,接收参数和发送/转发参数包括接收和发送该参数的值。
附图说明
现在将结合附图更详细地描述本发明,在附图中:
图1示意性地示出了在通信设备和通信网络之间执行的已知认证方案的图,
图2示意性地示出了第一和第二通信网络以及与第一通信网络通信的通信设备,
图3示意性地示出了通信设备和第一通信网络之间的Diffie-Hellman协议的使用,
图4示出了包括身份模块和移动设备的用户设备的框图,
图5示出了移动设备的框图,
图6示出了概述网络设备的框图,该网络设备适用于在第一和第二通信网络中用作节点的设备,
图7示出了根据第一实施例的增强通信设备的通信安全性并且在通信设备中执行的方法中的多个方法步骤的流程图,
图8示出了根据第一实施例的用于第一通信网络中的第一网络设备并且在第一网络设备中执行的方法中的若干方法步骤的流程图,
图9示出了根据第二实施例的在通信设备、第一网络设备和第二通信网络中的第二网络设备之间交换信号的信令图,
图10更详细地示出了质询验证码,
图11示出了根据第三实施例的在通信设备、第一网络设备和第二网络设备之间交换信号的信令图,
图12示出了包括数据存储介质的计算机程序产品,所述数据存储介质具有用于实现通信设备的功能的计算机程序代码,
图13示出了包括数据存储介质的计算机程序产品,所述数据存储介质具有用于实现网络设备的功能的计算机程序代码,
图14示出了实现通信设备的另一种方式,
图15示出了实现第一网络设备的另一种方式,以及
图16示出了实现第二网络设备的另一种方式。
具体实施方式
在以下描述中,为了解释性而不是限制性的目的,阐述了诸如特定架构、接口和技术等的具体细节,以提供对本发明的完整理解。然而,对本领域技术人员显而易见的是,本发明可以在不背离这些具体细节的其他实施例中实行。在其他实例中省略了对公知设备、电路和方法的详细描述,以避免以因为不必要的细节使本发明的描述不清楚。
本发明涉及使用预先共享密钥作为通信安全性的基础来改善通信网络中的通信安全性。通信网络可以在这里是移动通信网络,例如像全球移动通信系统(GSM)那样的第二代(2G)移动通信网络,像通用移动电信系统(UMTS)那样的第三代(3G)网络,或诸如长期演进(LTE)之类的第四代(4G)网络,或像当前正在开发的3GPP第5代(5G)那样的任何未来的演进系统。这些仅仅是可以实现本发明的网络的几个示例。可以使用的其他类型的网络是例如无线局域网(WLAN)。有时表示为蜂窝电话的通信设备(如用户设备(UE)、移动站(MS))可以使用这些通信网络进行通信。此外,这里的通信没备与身份模块连接,其中身份模块可以是智能卡,例如容纳用户身份模块(SIM)和/或通用用户身份模块(USIM)或IP多媒体子系统SIM(ISIM)的通用集成电路卡(UICC)、嵌入式SIM(eSIM)模块、软件模块、全球平台可信执行模块等。因此,身份模块也可以在受信执行环境中运行的软件或在通用处理器上运行的软件来实现,但后者不是优选的。以下,术语USIM将用作描述中的示例,但是本领域技术人员将理解,任何类型的身份模块将用于相同的目的。应当认识到,身份模块可以是通信设备的一部分。当要使用通信设备时,它也可以是与通信设备连接的单独的实体。
作为通信安全性的基础,使用密钥,例如用于认证和密钥协商。该密钥可以有利地被预先共享并存储在刚刚描述的身份模块中。
在下文中,将讨论UE形式的通信设备的示例。然而,应当认识到,通信设备不限于UE。它可以是能够向和自网络节点无线发送和接收数据和/或信号的任何类型的无线端点、移动站、智能电话、无线本地环路电话、智能电话、用户设备、台式计算机、PDA、手机、平板电脑、笔记本电脑、VoIP电话或手持机。它也可以是例如为某些形式的电子设备(例如传感器或数码相机)、车辆、家庭网关、家庭/住宅WiFi/4G接入点、家用电器设备(如冰箱,恒温器,盗窃报警器,吸尘器,割草机机器人等)提供3G或4G连接的通信调制解调器。它也可以是连接到固定通信网络的固定终端。
如前所述,如图1所示,认证和密钥协商(AKA)是用于某些通信网络的已知密钥协商系统。
从图1中可以看出,访问者位置寄存器/服务网关支持节点(VLR/SGSN)被示出为向归属环境/归属位置寄存器(HE/HLR)发送关于访问用户设备(UE)的认证数据请求10。HE/HLR生成12一组认证矢量(AV(1..n)),并在认证数据响应消息14中向VLR/SGSN发送矢量(AV(1..n)),其中VLR/SGSN然后存储16认证矢量。
VLR/SGSN选择18认证矢量,并且VLR/SGSN基于该矢量的内容,使用指派了随机值RAND(i)和认证令牌AUTN(i)的参数RAND,发送包括质询的用户认证请求消息ARQ20,其中AUTN(i)还包括将在下面更详细描述的质询验证码,并且i表示该值与AVi相关联。在UE中,验证AUTN(i),并且在验证步骤22中计算结果RES(i)。然后,UE发送包括结果RES(i)的用户认证响应消息(ARE)20。认证矢量包括期望结果XRES(i),然后VLR/SGSN将接收到的结果RES(i)与期望结果XRES(i)进行比较26,如果比较成功,即如果发现它们相等,则VLR/SGSN然后选择30加密密钥CK(i)和完整性保护密钥IK(i)。UE还计算28相同的密钥CK(i)和IK(i)。然后将它们用于获得会话密钥。在一些系统(例如LTE)中,密钥CK(i)和IK(i)用于获得会话密钥Kasme。
在图1所示类型的认证中,如上所述,在用户设备和网络中都使用优点预先共享的秘密密钥K。
可以预见的是,UMTS/LTE AKA将被用作未来一代移动网络(例如5G)的基础,因为它具有公认良好的安全性和鲁棒性。接下来,除非另有说明,否则将使用“AKA”来表示UMTSAKA、LTE AKA或基于这些的协议,例如针对“5G”网络的未来扩展。
如前所述,如图1所示的AKA协议与3GPP TS33.102兼容,其中在UE、访问位置寄存器/服务网关支持节点(VLR/SGSN)和归属环境/归属位置寄存器(HE/HLR)之间发生通信。在4G/LTE中,移动管理实体(MME)代替VLR/SGSN,并且HE/HLR对应于归属用户服务器(HSS)。注意,在该图中,终端/UE/通信设备被称为MS。为了本公开的目的,MS和UE是相同的实体。
AUTN(i)(认证令牌)是由不同字段组成的参数:AMF(认证管理字段),MAC和序列号指示(SQN,可能由匿名密钥AK加密/修改)。MAC(i)是通过USIM实现的加密功能保护质询RAND(i)(RANDom号)、以及SQN和AMF免受第三方伪造的消息认证码。密钥CK(i)和IK(i)直接用于3G中的加密/完整性保护,并且通过从CK(i)和IK(i)中(具体地,从由CK(i)和IK(i)形成的密钥Kasme中)导出加密/完整性密钥在4G/LTE中间接地用于这些目的。
由此在UE和HE中提供的这些加密功能中,使用共享密钥K。
K是由US[M和HSS/AuC共享的密钥(通常为128比特),其中AuC是认证中心的缩写。共享密钥必须对其他方保密。
作为在加密和其他形式的计算的其余描述中使用的简化符号约定,除了明确提及的那些之外的参数可以被输入到函数,诸如密钥推导函数(KDF)、消息认证码(MAC)和在本文所述的所有实例中的所有其他函数。参数可以按照与明确提及的不同的顺序输入。参数可以在输入到函数之前进行变换。例如,针对某一非负整数n的一组参数P1,P2,...,Pn可以首先通过第二函数f进行变换,并且其结果即f(P1,P2,...,Pn)被输入到该函数。
当参数P1在被输入到KDF之前被首先变换以计算称为“output_key”的密钥时密钥推导的示例可以是形式为output_key=KDF(f(P1),某些其他参数)的推导,其中f是某个任意函数或函数链。输入“某些其他参数”可以是0、1或更多其他参数,例如用于将密钥绑定到特定上下文。有时,符号“...”可能被用作“某些其他参数”的同义词。参数可以作为单独的参数输入,也可以连接在一起,然后以单个输入输入到KDF中。因此,本领域技术人员将理解,可以使用附加参数,参数可以被变换或被重新布置等,并且即使在存在这样的变化的情况下,本发明思想的核心保持不变。
如上所述,AKA的安全性取决于K密钥保密。最近有媒体报道,USIM卡制造商的安全性被破坏,一套K密钥已经“泄漏”(或落入不法分子的手中),从而将与这些密钥相关联的用户置于诸如假冒、连接劫持和窃听(因为从CK(i)和/或IK(i)中导出的加密密钥也因此可能有风险)之类的风险之中。在文章https://firstlook.org/theintercept/2015/02/19/great-sim-heist/中,提到导致上述安全性暗示的AKA协议的潜在问题在于,AKA缺乏所谓的完美前向保密(PFS)。PFS意味着,即使用于建立会话密钥的长期密钥被暴露,仍然不意味着过去的会话密钥也被暴露。也就是说,会话密钥在长期密钥已被损坏的将来是安全的。事实上,AKA具有有利的但较弱的属性,通常被称为密钥分离:即使会话密钥(CK(i),IK(i)等)被暴露,过去/未来的CK CK(j),IK(j)(以及其他导出的密钥)也不被暴露。然而,当长期密钥K被暴露时,所有这些安全属性几乎没有价值。
本发明的方面涉及通过添加完善的转发保密来改进上述认证功能。因此涉及增强用户设备和网络二者的通信安全性。
然而,在描述如何完成任何细节之前,现在将给出一些更多的环境细节。
图2示意性地示出了通信设备40的一个示例性通信环境,图2中的通信设备40是其通信安全性正在增强的用户设备(UE)的形式。在该示例中,存在第一和第二通信网络,在这种情况下都是诸如LTE网络的移动通信网络。在这种情况下,用户设备UE通过与第一通信网络36的基站BS 42的空中接口进行无线联系,该通信网络是第一无线网络WN1。基站42进而与第一无线网络WN1的第一网络设备44连接,该第一网络设备44也可以被认为是网络节点。在该示例中,它是MME。MME 44进而与第二通信网络38中的第二网络设备46连接,第二通信网络46是第二无线网络WN2。在这种情况下,第二网络设备46是HSS并且可以被认为是网络节点。第一无线网络WN1可以是被访问网络,即UE所访问的网络,而第二无线网络WN2可以是UE的归属网络,即托管与UE相关联的订阅的网络。在许多网络中可以表示为节点B或eNodeB的基站42被设置在第一无线网络WN1中名为接入网AN的部分中,而MME 44被设置在称为核心网CN的部分中。
因此,第一通信网络36在该示例中是由UE访问的网络,而第二通信网络38是UE的归属网络。
在不同的实施例中,每个无线网络可以包括任何数量的有线或无线网络、网络节点、基站、控制器、无线设备、中继站和/或可以促进或参与数据和/或信号通过有线或无线连接的通信中。
每个无线网络可以包括一个或多个IP网络、公共交换电话网络(PSTN)、分组数据网络、光网络、广域网(WAN)、局域网(LAN)、无线局域网(WLAN)、有线网络、无线网络、城域网和其他网络,以实现设备之间的通信。
从图1中可以看出,在UE和第一网络设备之间发生通信。然而,也可以看出,认证信息(AV)本质上由UE的归属网络中的第二网络设备提供。
如前所述,本发明旨在在诸如图2所示的系统中引入完美前向保密。
用作基础的一种合适的方案是Diffie-Hellman防议中定义的方案。在UE和第一无线网络WN1之间实现的该方案在图3中示意性地示出。
从图3中可以看出,第一无线网络WN1(然后通常是第一网络设备)发送按照底数值g的随机数x次方而生成的参数,并且UE以按照相同的底数值的另一随机数y次方而生成的参数进行响应(术语“随机”应该被理解为既包括统计学随机也包括伪随机)。这些参数也应该使用例如共享密钥(未示出)来认证。一旦被认证,UE和第一网络设备可以使用公共会话密钥,其因而也被共享。可以按照K’=g^(xy)或K’=g^(yx)(将生成相同值K’)获得会话密钥的基础。更具体地,可以按照g的x次方的y次方、或者g的y次方的x次方,即
(g^x)^y或(g^y)^x,来获得该密钥。
可以看出,可以基于值x和y生成作为安全会话密钥的会话密钥K’。本领域技术人员将认识到,也可以使用椭圆曲线以及离散对数问题困难的其他周期组,然而,为了简单起见,使用乘法符号g^x,即使在椭圆曲线的情况下加法符号x*g更为适合。参见Menezes等人的“Handbook of Applied Cryptography”,第五版印刷(2001年8月),CRC Press,以了解更多细节。
图4示出了UE的一个示例性实现。UE可以包括与完美前向安全认证和密钥协商(PFS-AKA)模块52连接、进而与通信模块50(其可以是无线通信模块)连接的通用用户身份模块(USIM)48(例如智能卡形式)。这里,通信模块50和PFS-AKA模块52一起形成移动设备46,而USIM是身份模块48。因此,USIM、PFS-AKA模块和通信模块一起形成用户设备。
图5中示意性地示出了实现ME 46的一种方式。ME 46包括处理器54、存储器56、接口50B和天线50A。这些组件可以一起工作以提供ME功能,例如在无线网络中提供无线连接。ME 46的组件被描述为位于单个较大方框内的单框,然而实际上,ME可以包括构成单个所示组件的多个不同的物理组件(例如,存储器56可以包括多个分立的微芯片,每个微芯片代表总存储容量的一部分)。
处理器54可以是微处理器、控制器、微控制器、中央处理单元、数字信号处理器、专用集成电路、现场可编程门阵列、或任何其它合适的计算设备、资源、或硬件、软件和/或编码逻辑的组合中的一个或多个的组合,其可以单独地或与其它ME组件(例如存储器56)相结合以提供ME功能。这样的功能可以包括提供本文讨论的各种无线特征,包括本文公开的任何特征或益处。
存储器56可以是任何形式的易失性或非易失性存储器,包括但不限于永久存储器、固态存储器、远程安装存储器、磁介质、光介质、随机存取存储器(RAM)、只读存储器(ROM)、可移除介质、或任何其他适合的本地或远程存储器组件。存储器56可以存储由ME 46使用的任何适合的数据、指令或信息,包括软件和编码逻辑。存储器56可以用于存储由处理器54做出的任何计算和/或经由接口50B接收的任何数据。
接口50B可用于UE与诸如基站42之类的网络设备之间的信令和/或数据的无线通信。例如,接口50B可以执行可能需要的任何格式化、编码或翻译,以允许UE通过无线连接从基站42发送和接收数据。接口50B还可以包括可以与天线50a的一部分耦接或是天线50a的一部分的无线电发射机和/或接收机。无线电装置可以接收将经由无线连接向基站42发出的数字数据。无线电装置可以将数字数据转换为具有适合的信道和带宽参数的无线电信号。无线电信号然后可以经由天线50a发送到基站42。
天线50a可以是能够以无线方式发送和接收数据和/或信号的任何类型的天线。
存储器56还可以包括用于处理与ME到第一无线网络的通信相关的完美前向保密的指令。
存储器56可以更具体地包括使处理器54实现PFS-AKA模块52的计算机指令。通信模块50本质上可以通过接口50B和天线50A的组合来实现。
图6示出了通用网络设备57,其结构适用于第一和第二网络设备44和46。网络设备47包括处理器60、存储器62和接口58。这些组件被描绘为位于单个较大方框内的单框。然而在实践中,网络设备可以包括构成单个所示组件的多个不同的物理组件(例如,接口58可以包括用于耦接用于有线连接的线的端子)。类似地,网络设备57可以由多个物理上分离的组件组成,每个组件可以各自具有它们自己的相应处理器、存储器和接口组件。在网络设备57包括多个单独组件的某些情况下,可以在多个网络设备之间共享一个或多个这些单独组件。
处理器60可以是微处理器、控制器、微控制器、中央处理单元、数字信号处理器、专用集成电路、现场可编程门阵列、或任何其它合适的计算设备、资源、或硬件、软件和/或编码逻辑的组合中的一个或多个的组合,其可以单独地或与其它网络设备组件(例如存储器62)相结合以提供网络设备功能。例如,处理器60可以执行存储在存储器62中的指令。
存储器62可以包括任何形式的易失性或非易失性计算机可读存储器,包括但不限于永久存储器、固态存储器、远程安装的存储器、磁介质、光介质、随机存取存储器(RAM)、只读存储器(R0M)、可移除介质、或任何其他适合的本地或远程存储器组件。存储器62可以存储由网络设备57使用的任何适合的指令、数据或信息,包括软件和编码逻辑。存储器62可用于存储由处理器60做出的任何计算和/或经由接口58接收的任何数据。
网络设备57还包括可用于网络设备57、网络WN1或WN2、和/或UE之间的信令和/或数据的有线通信中的接口58。例如,接口58可以执行可能需要的任何格式化、编码或翻译,以允许网络设备57通过有线连接从网络WN1或WN2发送和接收数据。
本发明的方面涉及将PFS添加到AKA中。
为了简化,以下实施例将在4G/LTE上下文中描述,但其也适用于IMS AKA(IP多媒体子系统AKA)和EAP-AKA(可扩展认证协议-AKA),并且实施例当前也被视为适用于当前讨论的5G系统或基于AKA的任何其他未来系统、或其他使用具有预先共享密钥的身份模块的设置。
如上所述,本发明的方面涉及在通信设备和第一网络设备之间的通信中的完美前向保密提供基于Diffie-Hellman(DH)协议的优点。
然而,该协议需要计算工作和附加带宽来承载必要的参数:交换的DH参数远远大于当前标准化的AKA协议的参数(RAND,RES等)。即使可以增加通过空中接口发信号通知的比特数,也会希望在UE中保持标准化的USIM-ME接口,这意味着低于该级别的协议参数大小的瓶颈是DH提供强安全性。(RAND目前为128比特,为了达到与AKA的128比特强度匹配的安全性,DH的椭圆曲线变量需要至少256比特的DH参数,而大约3000比特用于标准离散对数DH以质数p求模)此外,DH对中间人(MITM)攻击敏感,这意味着需要增加某机制来认证DH参数。这样做的自然方法是将另一个数据字段添加到AKA,并导致甚至更多的信令开销。
因此,一个目的是提高通信设备和通信网络之间与长期共享密钥的使用相关的通信的安全级别。也可能有兴趣避免发送附加消息。因此,期望使用现有的消息结构,而不添加新消息。由于发送附加消息使用能量(特别是在通信设备中,能量可能是有限的资源),所以从关于通信设备以及一般环境级别的节能观点看,这会是重要的。此外,网络通信也通常是标准化的,并且在新消息的引入比在已经存在的消息中添加新元素(如果使用直接方式添加完美前向保密,则将必须提供认证和MITM保护)上通常更难达成一致。
在继续之前,由DH协议示例化的关于提供PFS的协议中的认证的一些观察是有益的。在AKA的具体上下文中,本领域技术人员为此可能会尝试使用USIM中的计算生成的AKA结果参数中的一个或多个,即RES、CK和IK。这对安全性来说一般是危险的。例如通过针对某函数F’的x=F’(CK,IK)和/或y=F’(CK,IK)计算DH参数g^x和/或g^y将不会导致完美前向保密,因为这些参数可以根据长期密钥K的知识计算。因此,虽然重新使用AKA参数和协议数据字段是有益的,但必须谨慎行事。因此,x和y应该与AKA参数无关。
另一方面,为了保护免受MITM,可以使用AKA参数中的一个或多个并添加标准MAC。例如,来自UE的AKA响应可以包括:
RES,g^y,MAC(CK||IK||…,g^y||…)。
(因此,这可能是另一MAC函数,不与AKA协议的上述MAC参数混淆。还要注意,由于正在考虑一组固定的AKA参数,所以抑制索引i并且写的是例如CK而不是上述CK(i))。注意,通常针对在MAC中使用哪个密钥通常是多个选项,即作为MAC(...,...)的输入中的第一参数。因此,为了该描述不被过多的细节掩盖,通常抑制密钥(和其他不太重要的参数),例如,如上所述写的是MAC(g^y)而不是MAC(CK||IK||…,g^y||…)。其中...表示可能的其他变量/参数,以及||表示将输入组合(例如,级联)到MAC函数的方式。然而,甚至更经济的方式是在从UE发送到MME时将上述MAC并入携带RES的现有信息元素中,例如,使用RES(和可选地,CK、IK)作为密钥计算RES’=MAC(RES,g^y,…),因此UE仅以RES’,g^y响应。MAC函数可以基于HMAC--本地AKA f-函数之一(如在3GPP TS 33.102中定义)或另一适合的函数(例如,基于AES)。由于RES被计算为基于g^y和密钥值(CK/IK或RES)的MAC,所以很明显,它实际上是g^y的可信性的验证码。此外,当MAC也基于RES作为密钥时,它可以同时用于验证RES。这里也应该意识到,MAC只是可以用于计算RES的一个可能的函数。另一示例一般是密钥推导函数或伪随机函数。
类似的考虑应用于从网络向ME发送的DH值g^x,以便节省通信开销并仍然提供PFS。
具体来说,在一些实施例中,AuC/HSS可以相应地生成发送到服务网络的认证矢量,即计算诸如RAND=g^x的参数,在将其输入到f函数之前将散列应用于RAND等。因此,在不添加新的信息元素的情况下,在RAND AKA协议字段中有效地携带g^x。在一些实施例中,由于所得到的共享密钥将基于g^(xy)(无论如何在AV生成时HSS是不知道g^(xy)的),所以HSS不需要向MME发送CK、IK(或从中导出的密钥,例如Kasme)作为认证矢量(AV)的一部分。在其他实施例中,AuC/HSS可以包括要包括在密钥生成中的这些CK、IK。例如,通过在从CK、IK中推导Kasme密钥的过程中包含PLMN(公共陆地移动网络)标识符,LTE密钥被“绑定”到接入网。由于如上所述的HSS在生成AV时不知道g^(xy),所以可以通过在从CK、IK中推导出一些其他密钥的过程中包括PLMN ID并且在AV中包括导出的密钥来实现与PLMN ID的绑定。此外,也可以采用MME,即,给定来自HSS的AV中的XRES,在上述实施例中,在验证用户可信性之前,将计算XRES’=MAC(XRES,g^y),并且它可以从某适合的函数F中按照F(g^(xy)||…)导出Kasme。ME可以类似地计算Kasme。
现在将参考图7和8来描述第一实施例,其中图7示出了用于增强与通信网络的网络设备通信的用户设备的通信安全性的方法的流程图,以及图8示出了用于增强通信网络的第一网络设备的通信安全性的方法中的方法步骤的流程图。
在这里给出的示例中,通信网络36是第一无线网络WN1,第一网络设备44是第一无线网络的MME。
该操作可以从UE附接到第一通信网络36开始。作为其一部分,标识符例如国际移动用户身份IMSI可以从UE提供,或者说从UE的USIM 48提供给第一网络设备44,第一网络设备44进而向第二通信网络38中的第二网络设备46发送针对认证矢量AV的请求。第二网络设备46生成认证矢量,该认证矢量可以包括认证令牌AUTN、随机值RAND、验证计算XRES的期望结果以及初始会话密钥Kasme。它还可以包括诸如密钥CK/IK之类的其他密钥。因此,到目前为止,第二网络节点46可以根据现有的(3GPP)AKA规范来操作。以这种方式,第一网络设备44获得认证矢量(步骤74),该认证矢量可以至少包括随机值RAND和期望验证结果XRES。这里可以提及,RAND被提供用作对UE的质询,并且AUTN包括用于该质询的质询验证码。
在获得认证矢量之后,第一网络设备然后获得第一PFS参数PFS1(步骤76)该第一PFS参数PFS1可以通过按照底数值g的随机值x次方(即g^x)生成而获得,其中随机值x可以由第一网络设备44生成。或者,从第二网络设备46获得随机值x和/或第一PFS参数PFS1,在这种情况下,除了当前由AKA指定的那些操作之外,第二节点46还执行附加操作。此后,第一网络设备44获得第一PFS参数PFS1的第一验证码VC1(步骤78)。在一个变型中,它通过生成验证码本身来获得VC1,而在另一变型中,第二网络设备生成第一验证码。因此,在第二变型中,第二节点46除了当前由AKA指定的以外也执行附加操作。第一验证码VC1可以生成为使用诸如XRES或初始会话密钥Kasme之类的认证矢量的已知密钥作为密钥的基于第一PFS参数PFS1的消息认证码(MAC)。当第二网络设备46生成第一验证码时,RAND值基于第一PFS参数PFS1。在这种情况下,可以由第二网络设备46生成RAND值作为第一PFS参数PFS1或者作为第一PFS参数PFS1的散列,例如加密散列。因此,例如,可以通过UE也使用质询验证码AUTN作为第一PFS参数PFS1的第一验证码VC1。这里也可以提及,这两个示例中的RAND实际上是对UE的USIM 48的质询。
然后,第一网络设备44将质询RAND、第一PFS参数PFS1(可能均通过RAND信息元素编码)、以及第一验证码VC1发送给UE,这可以有利地在认证请求消息ARQ中发送(步骤80)。在第一验证码VC1是单独的代码(即,与AUTN不同)的情况下,例如,由第一网络设备44生成的专用MAC,还可以在消息中单独提供认证令牌AUTN。
然后,在UE中接收质询RAND、第一PFS参数PFS1(编码在RAND或附加参数中)和第一验证码VC1(编码在AUTN或单独的代码中)(步骤64)。它们可以更具体地通过由ME 46的通信模块50接收并从其转发到PFS-AKA模块52的认证请求消息ARQ来接收。
在PFS AKA模块52中,将质询或其导出物转发给USIM 48(步骤65)。这样做是为了将一个纯质询转发给USIM 48。取决于上述备选方案,纯质询可以通过两种方式之一获得。如果RAND信息元素对第一PFS参数PFS1进行编码,则可以通过PFS AKA模块计算RAND信息元素的散列值,即g^x的散列值作为导出物获得。这意味着如果RAND不是第一PFS参数g^x的散列,则可以在此阶段计算一个。如果RAND信息元素不对第一PFS参数PFS1进行编码,则可以将RAND信息元素的值直接输入到USIM。此外,如果PFS AKA模块接收到的质询是第一PFS参数(例如加密散列)的散列,则可以将其直接转发到USIM。通过UE中的标准化USIM-ME接口进行转发。
如前所述,USIM 48包括密钥K,其优点是密钥K是与第二网络设备46预先共享的。它还包括加密处理装置。然后,该模块48可以提供至少一个结果参数(CK/IK)作为对质询的响应(RAND和AUTN)。一个结果参数可以是一个或多个加密密钥,例如加密密钥CK和完整性保护密钥IK,其可以由PFS AKA模块52用于获得初始会话密钥Kasme。另一结果参数可以是针对质询的响应参数RES,该响应参数具有响应值。这样的响应参数因此具有基于预先共享密钥和所述加密处理装置计算的加密值。
因此,移动设备46(更具体地,PFS AKA模块52)获得、或者说接收一个或多个结果参数(步骤66),以及继续并确定第一PFS参数PFS1的可信性,即g^x的可信性(步骤68)。因此,它基于VC1和所述一个或多个结果参数,确定PFS参数PFS1是否可信。这可以通过基于一个或多个结果参数的第一验证码的密钥并使用所述密钥来验证VC1中承载的MAC来完成。如果第一验证码是质询的一部分,或者说是在质询验证码AUTN(即,AUTN的MAC子字段)中携带,则为了确定可信性而获得结果参数就足够了。即,如果AUTN的验证在USIM内部失败,则USIM 49甚至将不会提供任何结果参数,而是返回错误状态代码。因此,第一验证码可以作为质询验证码的至少一部分来提供。因此,基于提供至少一个结果参数的USIM 48来确定可信性。
所述至少一个结果参数可以包括错误指示,用于指示身份模块验证所述质询失败,或者使用预先共享密钥K和加密处理装置推导质询失败。当RAND=g^x abd-AUTN验证在USIM内部失败时可能是这种情况。如果PFS AKA模块52接收到这样的错误信号,则它可以直接确定第一PFS参数是不可信的。
此后,ME 46或者说ME 46的PFS AKA模块52生成第二PFS参数PFS2和第二验证码VC2(步骤70),可以按照底数值的另一随机值y次方(即g^y)生成该第二PFS参数PFS2。验证码VC2进而可以被生成为第二PFS参数PFS2和密钥(例如,结果参数之一或结果参数(例如,KASME)的导出物Kd)的消息认证码(MAC)。因此可以使用第二PFS参数和结果参数或结果参数的导出物来计算第二验证码。如果基于响应参数RES生成该第二验证码VC2,则VC2可以编码在通常携带RES的信息元素中。然后,它可以生成为RES和g^y的函数,例如RES和g^y的MAC,其中RES用作密钥。因此,PFS模块将VC2计算为MAC(Kd,g^y,…)、MAC(Kasme,g^y,…)、或MAC(RES,g^y,…)。然后将第二PFS参数PFS2和第二验证码VC2与单独的响应参数RES(如果使用Kd作为密钥)或者(如果使用RES作为密钥)通过将VC2编码在通常是RES的信息元素中一起发送到第一网络设备(步骤72),并且更具体地,可以在认证请求响应消息ARE中发送。
PFS AKA模块52还可以验证第一和第二验证码是否满足特定关系。当第一PFS参数(即,g^x)未编码在质询RAND中并且其中第一验证码VC1是单独的代码(例如在USIM外验证的显式MAC)时,可能是这种情况。在这种情况下,具体关系是相等的。
第二PFS参数PFS2和第二验证码VC2以及可能的单独响应参数因而由第一网络设备44例如在认证请求响应消息ARE中接收(步骤82)。第一网络设备44然后确定响应参数RES的可信性(步骤84),其可以通过将质询结果或响应参数值RES与预期质询结果XRES进行比较来完成。最后,基于第二验证码VC2验证第二PFS参数PFS2(步骤86)。如果第二验证码VC2与响应RES分开提供,则步骤86中的验证可以基于使用初始会话密钥Kasme或其导出物Kd作为密钥的第二PFS参数的MAC来验证第二验证码VC2。在第二验证码VC2被设置为基于响应参数值作为密钥的函数,并且VC2被编码在RES参数中的情况下,第一网络设备可以同时执行步骤84和86,因为针对第二验证码的正确值意味着UE使用了正确的RES,即,与XRES所指示的相同的值。
从而实现了增强通信安全性的方案。它更特别地增强了在秘密的预先共享密钥已被损坏的情况下的安全性,因为它提供了完美前向保密。
在随后的会话-例如UE和网络之间(更具体地,UE和第一网络设备44之间)的数据或信令交换-中,可以使用会话密钥来保护通信,并且该会话密钥基于第一和第二PFS参数。会话密钥可以更具体地基于根据g^(xy)的底数g的值x次方的值y次方。或者,可以使用Kasme和g^(xy)的组合的导出物。因此可以看出,获得至少基于用于生成第一和第二PFS参数的值x和y的安全会话密钥。因此,安全会话密钥基于PFS参数之一和其他PFS参数的指数生成。更具体地,这可以意味着,PFS AKA模块52可以基于第一PFS参数PFS1、以及第二PFS参数PFS2的指数y来生成会话密钥,而第一网络设备44可以基于第二PFS参数PFS2、以及第一PFS参数PFS1的指数x来生成会话密钥。
现在将参考图2描述第二实施例。图9示出了涉及HSS形式的第二网络设备、MME形式的第一网络设备和被分为ME和USIM的用户设备的信令图。在该实施例中,第二节点(HSS)执行不是当前AKA规范的一部分的步骤,参考图10,其更详细地示出了质询验证码。
从图10中可以看出,如前所述,由AUTN参数提供的质询验证码包括以下字段:AMF(认证管理字段)、MAC(消息认证码)和序列号指示SQN(在这种情况下由匿名密钥AK加密)。还可以看出,MAC字段被用作第一验证码VC1A。这里可以提及,SQN字段也可以用于第一验证码。
第二实施例基于当从网络/网络设备发送到UE/通信设备时使用RAND参数携带DH值作为PFS参数:RAND=g^x或g^x的导出物。
注意,根据DH的某些变化计算的PFS参数可以实质上大于作为RAND的当前标准化大小的128比特。因此,可能会对USIM-ME接口造成问题。为了解决这个问题,在向USIM(以及HSS,归属订户服务器)中的f算法输入RAND之前,可以例如通过以下加密散列运算来压缩所提供的RAND值:RAND’=H(RAND)=H(g^x),其中H是产生适合比特数的适合函数,例如,H可以基于SHA2(其中SHA代表安全散列算法)、AES(高级加密标准)、HMAC(密钥消息认证码)等。原则上,H也可以是从RAND中选择一组128个比特(例如128个最低有效比特)的函数。在UE侧,在向USIM输入RAND’之前,H也可以类似地应用于ME(例如,在PFS模块中)。由于RAND是针对USIM的质询,可以看出,ME因而可以生成质询的导出物并将其转发给USIM。因此,AKA MAC字段(包含在AUTN内)将依据RAND’来计算,但是通过使用H,它仍将依据RAND(即g^x)来计算。因此,获得从AuC(认证中心)/HSS到该DH值的USIM的认证,防止作为g^x的任何欺骗或修改(但在传输过程中将被UE中的USIM中的AUTN验证检测到)的特别是在服务网络和UE之间的MITM攻击。
参考图4和图7,这意味着第一PFS参数PFS1的修改或者编造将暗示AUTN(更确切地说是MAC子字段)不正确的概率很高。然后,AUTN的验证将在USIM 48内部失败,USIM甚至将不会提供任何结果参数。因此基于提供至少一个结果参数的USIM 48来确定第一PFS参数的可信性。
较大的RAND值可以由AuC/HSS计算,并以修改的认证矢量(AV)的形式发送到MME(移动管理实体)。另一种可能性是,MME在AV中接收规则大小的RAND,并且通过在发送给UE之前将一组比特附加或者前置于RAND来扩展RAND。在后一种情况下,函数H的选择必须与MME如何扩展接收的RAND相匹配,否则USIM将拒绝RAND/AUTN对。
在特殊情况下,即将AUTN用于提供第一验证码VC1(对应于下面的VC1A),或者等效地将第一PFS参数PFS1编码到RAND信息元素中,该第二实施例的其余部分与第一实施例相同,。第二实施例的操作可以更具体地如下且如图9所示。
●作为例如网络附接88的一部分,从UE(USIM)提供标识符,例如,IMSI(国际移动用户身份)。这被转发10到HSS。
●HSS生成89认证矢量(AV)。该实施例添加的一些新组件被突出显示(其他部分通常不受影响)。特别地,RAND被生成为所讨论的g^x,并且其压缩版本RAND’用于f1,f2,...等的正常AKA计算。在响应AV90中,HSS包括/添加x(以允许MME稍后计算共享密钥)。因此,当MME能够根据x计算RAND时,HSS可以省略发送RAND。类似地,由于现在可以从DH值(g^x和g^y)中推导出会话密钥K’,所以可能根本并不总是必须发送CK和IK(或从中导出的密钥,例如LTE的Kasme)。是否需要传递CK和IK取决于本公开其他部分所讨论的实施例的细节。
●MME将RAND和AUTN转发20给UE/USIM。这里RAND是质询以及第一PFS参数PFS1,以及AUTN的MAC字段是第一PFS参数PFS1的第一验证码VC1A,因为它已经依据RAND计算,实际上也是g^x。
●UE(例如,ME部分)计算RAND’=H(RAND),并将其发送92到USIM用于AKA参数推导(RES,CK,IK)。如上所述,当USIM内部验证AUTN的MAC部分时,这也用于验证g^x的可信性。
●USIM可以通过RES、CK、IK进行响应94。通过ME接收到该响应,还能够确定第一PFS参数PFS1是否可信,因为否则将不提供包含这些参数的响应。
●UE生成96DH值g^y和相关联的认证信息。因此它生成第二PFS参数PFS2和第二验证码VC2A。第二验证码VC2A可以被实现为形式MAC(Kd||…,g^y||…)的值RES’。验证信息的确切格式(使用哪个密钥Kd等)可以变化:
-在一个变型中,只有RES被用作密钥Kd的基础。
-在另一变型中,RES以及CK、IK中的至少一个用作Kd的基础(这假设在生成认证矢量时HSS包括这些)。还可以使用Kasme作为Kd的基础。因此,可以通过将RES用作密钥Kd的基础而将第二验证码VC2A生成为RES’。请注意,如果RES不包括在导出认证/响应RES’中,则ME可能需要发送RES。一般来说,RES’可以替代当前AKA协议的RES,或者可以作为额外的参数与RES一起发送:
然后,ME向MME发送24g^y和RES’。
●MME可以执行相应的计算98以验证RES’并计算共享密钥K’。除了对g^(xy)的依赖性之外,如果由HSS提供,K’也可以依据CK、IK(或Kasme密钥)来计算,例如,针对密钥导出函数G,K’=G(g^(xy),CK,IK,…)。可以通过UE和MME(未示出)从K’中导出更多的密钥(例如用于数据保护,例如加密)。
在第二实施例的变型中,使用的质询是g^x的散列。这意味着,由HSS生成并由MME发送给UE的RAND是g^x的散列。这必须也由g^x伴随。因此,RAND可以直接从ME发送到USIM,而无需ME计算它的散列。
在第三实施例中,第二节点可能不需要执行不是当前AKA规范一部分的任何步骤。虽然以下存在一些选项,其中第二节点确实执行当前AKA规范的附加步骤,但是这些步骤是可选的,如果期望则可以避免。
在该实施例中,RAND参数不用于将关于g^x的信息从网络(服务或家庭网络)传递或携带到UE。因此,AUTN也不能用于携带第一验证码。相反,网络单独向UE发送RAND,并且在与RAND相同的消息的新信息元素中包括g^x。传输可以如所述源于HSS,或者可以源于MME(例如,MME本地生成随机x)。在这种情况下,g^x需要被认证,并且网络(服务或家庭网络)也包括在消息中通过g^x计算的附加MAC。该MAC的密钥可以是例如RES、或CK/IK之一、或两者。它也可以是其导出物,例如Kasme。函数H将是本实施例中的身份功能。因此,导出物变得与质询相同。该实施例的一个好处是,服务网络(例如,MME)可以选择值x,并且这不需要在服务网络和AuC/HSS之间发信号通知。事实上,目前使用的这些节点之间的相同信令可以重新使用。缺点是,需要从服务网络向UE发送128比特的RAND以及较大的g^x值。因此,在空中接口上需要一些更多的带宽。
现在将参考图10进一步描述第三实施例。图10示出了涉及USIM、ME、MME和HSS的信令图。
●操作可以从MME向HSS发送针对认证矢量的请求10开始,HSS用包括RAND、AUTN、XRES和会话密钥Kasme的认证矢量响应100进行响应。然后,MME生成第一PFS参数PFS1,并且生成第一验证码VC1B,其中第一PFS参数PFS1可以被生成为g^x,并且可以使用例如XRES或Kasme作为公共密钥将第一验证码VC1B生成为MAC(g^x)。当这样做完成时,MME向UE的ME发送认证请求消息20。在这种情况下,认证请求包括RAND、AUTN、g^x和MAC(g^x)。然后,ME将质询RAND和质询验证码作为AUTN的一部分转发给USIM,USIM以密钥CK/IK和响应参数RES进行响应104。由此,USIM已经对质询做出了正确的响应。然后,ME使用第一验证码VC1B认证第一PFS参数PFS1,在这种情况下可以通过通过公共密钥生成的第一验证码VC1B来完成该认证,在这种情况下,该公共密钥是XRES(与ME中的响应参数值RES相同)。然后,ME生成第二PFS参数PFS2和第二验证码VC2B,其中第二PFS参数PFS2可以被生成为g^y,并且可以使用CK/IK、Kasme或RES(无论哪个都是MME知道的)将第二验证码VC2B生成为MAC(g^y),并将第二PFS参数PFS2和第二验证码VC2B与结果RES一起发送到认证响应消息24中。然后,MME通过将RES与XRES进行比较来验证结果,并且还使用MAC(g^y)和适合的密钥(例如,CK/IK或XRES等)来验证g^y。此后,ME按照g^(xy)的函数计算106会话密钥K’,该函数通常是g^(xy)的散列。此外,MME将按照与g^(xy)相同的函数计算会话密钥K’。
因此,UE可以以提高的安全性与第一无线网络进行通信。
应当认识到,在该第三实施例中,也可以使用RES’作为第二验证码,例如,如果用于计算第二验证码VC2B的密钥依据如前述实施例中的RES。
注意,所有实施例都可以与美国专利7,194,765中公开的发明相结合。在这种情况下,HSS不会向MME提供XRES,而是提供XRES’=H(XRES)。然后,UE可以向MME显式地发信号通知RES,使得MME可以计算并验证XRES’。在这种情况下,在RES’的计算中应包括CK和IK(或从中导出的某密钥)中的至少一个。
再次注意,由于GBA和EAP-AKA利用AKA,本领域技术人员将在该描述之后认识到,所描述的实施例也可以通过直接修改应用于在这些上下文中。本公开的至少一个实施例的优点是以低或甚至最低的成本将PFS添加到网络认证,例如,移动网络认证,实现和/或确保与针对AKA协议的SIM-ME接口的向后兼容性。本公开的至少一个实施例的另一个优点是,其限制了长期密钥损坏(例如被黑客攻击的HSS和被黑客攻击的智能卡供应商站点)的影响。其他优点包括避免使用额外的传输,从而节省能量。
移动调整设备的计算机程序代码可以具有计算机程序产品的形式,例如数据存储介质的形式,比如CD-ROM盘或记忆棒。在这种情况下,数据存储介质携带具有计算机程序代码的计算机程序,所述计算机程序代码将实现上述移动设备的功能。图12中示意性的示出了具有计算机程序代码112的一个这样的数据存储介质110。
第一网络设备的计算机程序代码可以具有计算机程序产品的形式,例如数据存储介质的形式,比如CD-ROM盘或记忆棒。在这种情况下,数据存储介质携带具有计算机程序代码的计算机程序,所述计算机程序代码实现上述第一网络设备的功能。图13中示意性的示出了具有计算机程序代码116的一个这样的数据存储介质114。
如图14所示,通信设备40在一些实施例中可以包括:
用于从网络设备接收质询、第一PFS参数和第一验证码的接收单元118,
将质询或其导出物转发到身份模块的转发单元120,
用于从身份模块接收作为响应的至少一个结果参数的接收单元122,
用于基于结果参数确定第一PFS参数是否可信的确定单元124,以及
用于如果确定第一PFS参数可信则生成并向网络设备发送第二PFS参数的生成单元126。在一个实施例中,这些单元对应于软件指令。在另一实施例中,这些单元被实现为一个或多个硬件电路(如ASIC或FPGA)中的硬件单元。
通信设备还可以包括:生成单元,用于生成用于通信设备和网络设备之间的通信的会话密钥,其中所述会话密钥至少基于用于生成第一和第二PFS参数的值。
用于接收质询、第一PFS参数和第一验证码的接收单元118还可以是用于在认证请求消息中从网络设备接收质询、第一PFS参数和第一验证码的接收单元,其中所述认证请求消息还包括质询验证码。用于接收至少一个结果参数的接收单元122进而可以是用于接收作为对质询的响应的响应参数的接收单元,并且生成单元126可以是用于生成第二PFS参数以及第二验证码并在还包括响应参数的认证响应消息中发送第二PFS参数以及第二验证码的生成单元。
确定单元124还可以是用于使用包括在认证请求消息的相应单独信息元素中的第一验证码来确定第一PFS参数的可信性的确定单元。
如果第一验证码作为质询验证码的至少一部分而提供,则确定单元124还可以是用于基于提供至少一个结果参数的身份模块来确定第一PFS参数的可信性的确定单元。
生成单元126还可以是用于基于响应参数生成第二验证码并在分配给响应参数的认证响应消息的信息元素中发送第二验证码的生成单元。
如图15所示,在一些实施例中,第一网络设备44可以包括:
用于获得质询的获得单元128,
用于获得第一PFS参数的获得单元130,
用于获得第一PFS参数的第一验证码的获得单元132,
用于向通信设备发送质询、第一PFS参数和第一验证码的发送单元134,
用于从通信设备接收第二PFS参数、第二验证码和响应参数的接收单元136,
用于确定响应参数的可信性的确定单元138,以及
用于基于第二验证码验证第二PFS参数的验证单元140。
在一个实施例中,这些单元对应于软件指令。在另一实施例中,这些单元被实现为一个或多个硬件电路(如ASIC或FPGA)中的硬件单元。
第一网络设备44还可以包括用于计算用于通信设备和第一网络设备之间的通信的会话密钥的计算单元,其中所述会话密钥至少基于用于生成第一和第二PFS参数的值。
用于获得质询的获取单元128也可以是用于获得质询验证码的获取单元,发送单元134可以是用于在认证请求消息中与质询验证码一起发送质询、第一PFS参数和第一验证码的发送单元,以及接收单元136可以是用于在认证响应消息中接收第二PFS参数、第二验证码和响应参数的接收单元。
用于获得第一验证的获得单元132可以包括用于使用第一PFS参数生成第一验证码的生成单元,并且发送单元134可以是用于在认证请求消息的相应单独信息元素中发送第一验证码的发送单元。
第一网络设备还可以包括用于接收要用于生成第一PFS参数的值x的接收单元。作为指数值的值x也可以称为种子值。在这种情况下,用于获得第一验证码的获得单元132可以是用于获得作为质询验证码的至少一部分的第一验证码的获得单元,并且发送单元134可以是用于发送第一验证码作为验证请求消息中的质询验证码的至少一部分的发送单元。
用于获得质询的获得单元128还可以是用于获得期望质询结果的获得单元,并且确定单元138可以是用于通过与预期质询结果的比较来确定响应参数的可信性的确定单元。
响应参数可以通过基于响应参数的第二验证码包括在认证响应消息中。在这种情况下,接收单元136可以是用于在被指派给响应参数的认证响应消息的信息元素中接收第二验证码的接收单元,并且确定单元138和验证单元140可以是组合的确定和验证单元,用于使用第二验证码同时确定响应参数的可信性并验证第二PFS参数。
如图16所示,第二网络设备在一些实施例中进而可以包括用于向第一网络设备发送质询的发送单元14。
其还可以包括:用于提供值的提供单元144,以便通过至少基于该值x生成第一PFS参数来获得第一PFS参数;生成单元,用于使用第一PFS参数生成质询验证码;以及发送单元,用于向第一网络设备发送该值。
在一个实施例中,这些单元对应于软件指令。在另一实施例中,这些单元被实现为一个或多个硬件电路(如ASIC或FPGA)中的硬件单元。
虽然已经结合当前认为最实际和优选的实施例来描述了本发明,但是应该理解本发明不限于所公开的实施例,相反,本发明旨在覆盖各种修改和等同排列。因此,本发明仅由所附权利要求来限定。
Claims (70)
1.一种用于与通信网络的网络设备进行通信的通信设备,所述通信设备操作用于:
从网络设备接收质询、第一完美前向保密PFS参数和第一PFS参数的第一验证码,其中,所述第一验证码包括至少基于所述第一PFS参数的消息认证码,
向身份模块转发所述质询的导出物,
从所述身份模块接收作为响应的至少一个结果参数,
基于所述结果参数,确定所述第一PFS参数是否可信,以及
如果所述确定为第一PFS参数是可信的,则生成并向所述网络设备发送第二PFS参数。
2.根据权利要求1所述的通信设备,还操作用于:生成用于通信设备与网络设备之间的通信的会话密钥,所述会话密钥至少基于用于生成第一和第二PFS参数的值。
3.根据权利要求2所述的通信设备,其中所述会话密钥基于所述第一PFS参数、以及所述第二PFS参数的指数。
4.根据权利要求1所述的通信设备,其中所述通信设备包括移动设备,所述移动设备操作用于接收所述质询,执行所述转发,接收所述至少一个结果参数,确定所述第一PFS参数是否是可信的,以及生成并发送第二PFS参数。
5.根据权利要求1所述的通信设备,其中所述通信设备包括所述身份模块,所述身份模块包括密钥和加密处理装置。
6.根据权利要求1所述的通信设备,其中所述第一PFS参数和第二PFS参数是Diffie-Hellman参数。
7.根据权利要求1所述的通信设备,其中所述导出物与所述质询相同。
8.根据权利要求1所述的通信设备,其中所述导出物是所述质询的散列。
9.根据权利要求1所述的通信设备,当操作用于接收质询、第一PFS参数和所述第一验证码时,操作用于在来自网络设备的认证请求消息中接收所述质询、第一PFS参数和所述第一验证码,所述认证请求消息还包括质询验证码;当操作用于接收所述至少一个结果参数时,操作用于接收响应参数作为对所述质询的响应;以及
当操作用于生成并发送所述第二PFS参数时,操作用于生成所述第二PFS参数以及第二验证码,并在还包括响应参数的认证响应消息中发送所述第二PFS参数以及第二验证码。
10.根据权利要求9所述的通信设备,其中,所述认证请求消息包括在所述认证请求消息的相应单独信息元素中的第一验证码,以及当所述通信设备操作用于确定所述第一PFS参数的可信性时,所述通信设备操作用于使用所述第一验证码。
11.根据权利要求9所述的通信设备,其中所述第一验证码被提供为所述质询验证码的至少一部分,以及当所述通信设备操作用于确定所述第一PFS参数的可信性时,所述通信设备操作用于基于提供所述至少一个结果参数的身份模块来确定所述可信性。
12.根据权利要求11所述的通信设备,其中所述质询基于所述第一PFS参数。
13.根据权利要求9所述的通信设备,还操作用于:基于所述至少一个结果参数中的至少一个生成所述第二验证码,以及当所述通信设备操作用于发送所述认证响应消息时,所述通信设备操作用于在指派给响应参数的信息元素中发送所述第二验证码。
14.根据权利要求9所述的通信设备,其中所述第二验证码被生成为至少基于所述第二PFS参数的消息认证码。
15.根据权利要求8所述的通信设备,其中所述散列/消息认证码基于HMAC/SHA-256。
16.一种用于与通信网络的网络设备进行通信的通信设备,所述通信设备操作用于:
从网络设备接收质询、第一完美前向保密PFS参数和第一PFS参数的第一验证码,其中,所述第一验证码包括至少基于所述第一PFS参数的消息认证码,
向身份模块转发所述质询,
从所述身份模块接收作为响应的至少一个结果参数,
基于所述结果参数,确定所述第一PFS参数是否可信,以及
如果所述确定为第一PFS参数是可信的,则生成并向所述网络设备发送第二PFS参数。
17.根据权利要求16所述的通信设备,还操作用于:生成用于通信设备与网络设备之间的通信的会话密钥,所述会话密钥至少基于用于生成第一和第二PFS参数的值。
18.根据权利要求17所述的通信设备,其中所述会话密钥基于所述第一PFS参数、以及所述第二PFS参数的指数。
19.根据权利要求16所述的通信设备,其中所述通信设备包括移动设备,所述移动设备操作用于接收所述质询,执行所述转发,接收所述至少一个结果参数,确定所述第一PFS参数是否是可信的,以及生成并发送第二PFS参数。
20.根据权利要求16所述的通信设备,其中所述通信设备包括所述身份模块,所述身份模块包括密钥和加密处理装置。
21.根据权利要求16所述的通信设备,其中所述第一PFS参数和第二PFS参数是Diffie-Hellman参数。
22.根据权利要求16所述的通信设备,当操作用于接收质询、第一PFS参数和所述第一验证码时,操作用于在来自网络设备的认证请求消息中接收所述质询、第一PFS参数和所述第一验证码,所述认证请求消息还包括质询验证码;当操作用于接收所述至少一个结果参数时,操作用于接收响应参数作为对所述质询的响应;以及
当操作用于生成并发送所述第二PFS参数时,操作用于生成所述第二PFS参数以及第二验证码,并在还包括响应参数的认证响应消息中发送所述第二PFS参数以及第二验证码。
23.根据权利要求22所述的通信设备,其中,所述认证请求消息包括在所述认证请求消息的相应单独信息元素中的第一验证码,以及当所述通信设备操作用于确定所述第一PFS参数的可信性时,所述通信设备操作用于使用所述第一验证码。
24.根据权利要求22所述的通信设备,其中所述第一验证码被提供为所述质询验证码的至少一部分,以及当所述通信设备操作用于确定所述第一PFS参数的可信性时,所述通信设备操作用于基于提供所述至少一个结果参数的身份模块来确定所述可信性。
25.根据权利要求24所述的通信设备,其中所述质询基于所述第一PFS参数。
26.根据权利要求22所述的通信设备,还操作用于:基于所述至少一个结果参数中的至少一个生成所述第二验证码,以及当所述通信设备操作用于发送所述认证响应消息时,所述通信设备操作用于在指派给响应参数的信息元素中发送所述第二验证码。
27.根据权利要求22所述的通信设备,其中所述第二验证码被生成为至少基于所述第二PFS参数的消息认证码。
28.根据权利要求16所述的通信设备,其中消息认证码基于HMAC/SHA-256。
29.一种用于与通信网络的网络设备进行通信的通信设备的方法,所述方法由通信设备执行并且包括:
从网络设备接收质询、第一完美前向保密PFS参数和第一PFS参数的第一验证码,其中,所述第一验证码包括至少基于所述第一PFS参数的消息认证码,
向身份模块转发所述质询的导出物,
从所述身份模块接收作为响应的至少一个结果参数,
基于所述结果参数,确定所述第一PFS参数是否可信,以及
如果所述确定为第一PFS参数是可信的,则生成并向网络设备发送第二PFS参数。
30.根据权利要求29所述的方法,还包括:生成用于通信设备与网络设备之间的通信的会话密钥,所述会话密钥至少基于用于生成第一和第二PFS参数的值。
31.根据权利要求30所述的方法,其中所述会话密钥基于所述第一PFS参数、以及所述第二PFS参数的指数。
32.根据权利要求29所述的方法,其中所述质询、第一PFS参数和第一验证码在认证请求消息中接收,所述认证请求消息还包括质询验证码,
所述至少一个结果参数包括作为对所述质询的响应而接收的响应参数,以及
生成并发送第二PFS参数包括:生成第二PFS参数和第二验证码,并在还包括响应参数的认证响应消息中发送所述第二PFS参数以及所述第二验证码。
33.根据权利要求32所述的方法,其中所述认证请求消息包括在所述认证请求消息的相应单独信息元素中的第一验证码,以及确定所述第一PFS参数的可信性是使用所述第一验证码做出的。
34.根据权利要求32所述的方法,其中所述第一验证码被提供为所述质询验证码的至少一部分,以及确定所述第一PFS参数的可信性包括:基于提供所述至少一个结果参数的身份模块来确定所述可信性。
35.根据权利要求32所述的方法,还包括:使所述第二验证码基于所述响应参数,以及发送所述认证响应包括:在指派给所述响应参数的所述认证响应消息中的信息元素中发送所述第二验证码。
36.根据权利要求29所述的方法,其中所述导出物与所述质询相同。
37.根据权利要求29所述的方法,其中所述导出物是所述质询的散列。
38.一种用于与通信网络的网络设备进行通信的通信设备的方法,所述方法由通信设备执行并且包括:
从网络设备接收质询、第一PFS完美前向保密参数和第一PFS参数的第一验证码,其中,所述第一验证码包括至少基于所述第一PFS参数的消息认证码,
向身份模块转发所述质询,
从所述身份模块接收作为响应的至少一个结果参数,
基于所述结果参数,确定所述第一PFS参数是否可信,以及
如果所述确定为第一PFS参数是可信的,则生成并向网络设备发送第二PFS参数。
39.根据权利要求38所述的方法,还包括:生成用于通信设备与网络设备之间的通信的会话密钥,所述会话密钥至少基于用于生成第一和第二PFS参数的值。
40.根据权利要求39所述的方法,其中所述会话密钥基于所述第一PFS参数、以及所述第二PFS参数的指数。
41.根据权利要求38所述的方法,其中所述质询、第一PFS参数和第一验证码在认证请求消息中接收,所述认证请求消息还包括质询验证码,
所述至少一个结果参数包括作为对所述质询的响应而接收的响应参数,以及
生成并发送第二PFS参数包括:生成第二PFS参数和第二验证码,并在还包括响应参数的认证响应消息中发送所述第二PFS参数以及所述第二验证码。
42.根据权利要求41所述的方法,其中所述认证请求消息包括在所述认证请求消息的相应单独信息元素中的第一验证码,以及确定所述第一PFS参数的可信性是使用所述第一验证码做出的。
43.根据权利要求41所述的方法,其中所述第一验证码被提供为所述质询验证码的至少一部分,以及确定所述第一PFS参数的可信性包括:基于提供所述至少一个结果参数的身份模块来确定所述可信性。
44.根据权利要求41所述的方法,还包括:使所述第二验证码基于所述响应参数,以及发送所述认证响应包括:在指派给所述响应参数的所述认证响应消息中的信息元素中发送所述第二验证码。
45.一种用于与通信网络的网络设备进行通信的通信设备的计算机程序,所述计算机程序包括当在通信设备中运行时使所述通信设备执行以下操作的计算机程序代码:
从网络设备接收质询、第一完美前向保密PFS参数和第一PFS参数的第一验证码,其中,所述第一验证码包括至少基于所述第一PFS参数的消息认证码,
向身份模块转发所述质询的导出物,
从所述身份模块接收作为响应的至少一个结果参数,
基于所述结果参数,确定所述第一PFS参数是否可信,以及
如果所述确定为第一PFS参数是可信的,则生成并向网络设备发送第二PFS参数。
46.一种用于与通信网络的网络设备进行通信的通信设备的计算机程序,所述计算机程序包括当在通信设备中运行时使所述通信设备执行以下操作的计算机程序代码:
从网络设备接收质询、第一完美前向保密PFS参数和第一PFS参数的第一验证码,其中,所述第一验证码包括至少基于所述第一PFS参数的消息认证码,
向身份模块转发所述质询,
从身份模块接收作为响应的至少一个结果参数,
基于所述结果参数,确定所述第一PFS参数是否可信,以及
如果所述确定为第一PFS参数是可信的,则生成并向网络设备发送第二PFS参数。
47.一种用于增强与通信网络的网络设备进行通信的通信设备的通信安全性的计算机程序产品,所述计算机程序产品包括具有根据权利要求45或46所述的计算机程序代码的数据存储介质。
48.一种第一通信网络的第一网络设备,所述第一网络设备操作用于:
获得质询,
获得第一完美前向保密PFS参数,
获得第一PFS参数的第一验证码,其中,所述第一验证码包括至少基于所述第一PFS参数的消息认证码;
向通信设备发送质询、第一PFS参数和第一验证码,
从通信设备接收第二PFS参数、第二验证码和响应参数,
确定所述响应参数的可信性,以及
基于所述第二验证码,验证所述第二PFS参数。
49.根据权利要求48所述的第一网络设备,还操作用于:计算用于所述通信设备与所述第一网络设备之间的通信的会话密钥,所述会话密钥至少基于用于生成第一和第二PFS参数的值。
50.根据权利要求49所述的第一网络设备,其中所述会话密钥基于所述第二PFS参数、以及所述第一PFS参数的指数。
51.根据权利要求48所述的第一网络设备,当在操作用于获得所述质询时,还操作用于获得质询验证码;当操作用于发送所述质询、第一PFS参数和第一验证码时,操作用于在认证请求消息中与所述质询验证码一起发送所述质询、第一PFS参数和第一验证码;以及当操作用于接收所述第二PFS参数、第二验证码和响应参数时,操作用于在认证响应消息中接收所述第二PFS参数、第二验证码和响应参数。
52.根据权利要求51所述的第一网络设备,其中当操作用于获得所述第一验证码时,操作用于使用所述第一PFS参数生成所述第一验证码;以及当操作用于发送所述认证请求消息时,操作用于在所述认证请求消息的相应单独信息元素中发送所述第一验证码。
53.根据权利要求51所述的第一网络设备,当操作用于获得第一PFS参数时,进一步操作用于接收要用于生成所述第一PFS参数的值;以及当操作用于获得所述第一验证码时,操作用于获得作为所述质询验证码的至少一部分的第一验证码;以及当操作用于发送所述认证请求消息时,操作用于发送作为所述质询验证码的至少一部分的第一验证码。
54.根据权利要求51所述的第一网络设备,当操作用于获得所述质询时,还操作用于获得期望质询结果;以及当操作用于确定响应参数的可信性时,操作用于通过与期望质询结果的比较来确定所述可信性。
55.根据权利要求51所述的第一网络设备,其中所述响应参数通过基于所述响应参数的所述第二验证码包括在所述认证响应消息中;以及所述第一网络设备当操作用于接收所述认证响应消息时,操作用于接收指派给响应参数的所述认证响应消息的信息元素中的所述第二验证码;以及当操作用于确定所述响应参数的可信性并操作用于验证所述第二PFS参数时,操作用于使用所述第二验证码同时执行确定所述响应参数的可信性和验证所述第二PFS参数。
56.一种用于第一通信网络的第一网络设备的方法,所述方法由所述第一网络设备执行并且包括以下步骤:
获得质询,
获得第一完美前向保密PFS参数,
获得第一PFS参数的第一验证码,其中,所述第一验证码包括至少基于所述第一PFS参数的消息认证码;
向通信设备发送质询、第一PFS参数和第一验证码,
从通信设备接收第二PFS参数、第二验证码和响应参数,
确定所述响应参数的可信性,以及
基于所述第二验证码,验证所述第二PFS参数。
57.根据权利要求56所述的方法,还包括:计算用于所述通信设备与所述第一网络设备之间的通信的会话密钥,所述会话密钥至少基于用于生成第一和第二PFS参数的值。
58.根据权利要求57所述的方法,其中所述会话密钥基于所述第二PFS参数、以及所述第一PFS参数的指数。
59.根据权利要求56所述的方法,其中获得质询还包括:获得质询验证码;发送质询、第一PFS参数和第一验证码包括:在认证请求消息中与所述质询验证码一起发送所述质询、第一PFS参数和第一验证码;以及接收所述第二PFS参数、第二验证码和响应参数包括:在认证响应消息中接收所述第二PFS参数、第二验证码和响应参数。
60.根据权利要求59所述的方法,其中获得所述第一验证码包括:使用所述第一PFS参数生成所述第一验证码,其中发送所述认证请求消息包括:在相应单独信息元素中发送所述第一验证码。
61.根据权利要求59所述的方法,其中获得所述第一PFS参数还包括:接收用于生成所述第一PFS参数的值,其中获得所述第一验证码包括:获得作为所述质询验证码的至少一部分的第一验证码;以及发送所述认证请求消息包括:发送作为所述质询验证码的至少一部分的第一验证码。
62.根据权利要求59所述的方法,还包括:与所述质询一起获得期望质询结果;以及确定所述响应参数的可信性包括:通过与所述期望质询结果的比较来确定所述可信性。
63.根据权利要求59所述的方法,其中所述响应参数通过基于所述响应参数的所述第二验证码包括在所述认证响应消息中;接收所述认证响应消息包括:接收指派给响应参数的所述认证响应消息的信息元素中的所述第二验证码;以及确定所述响应参数的可信性和验证所述第二PFS参数是使用所述第二验证码同时执行的。
64.一种用于第一通信网络的第一网络设备的计算机程序,所述计算机程序包括计算机程序代码,当在所述第一网络设备中运行时,所述计算机程序代码使所述第一网络设备:
获得质询,
获得第一完美前向保密PFS参数,
获得第一PFS参数的第一验证码,其中,所述第一验证码包括至少基于所述第一PFS参数的消息认证码;
向通信设备发送所述质询、第一PFS参数和第一验证码,
从通信设备接收第二PFS参数、第二验证码和响应参数,
确定所述响应参数的可信性,以及
基于所述第二验证码,验证所述第二PFS参数。
65.一种用于第一通信网络的第一网络设备的计算机程序产品,所述计算机程序产品包括具有根据权利要求64所述的计算机程序代码的数据存储介质。
66.一种包括第一通信网络的第一网络设备和第二通信网络中的第二网络设备的系统,
所述第二网络设备操作用于向第一网络设备发送质询,
所述第一网络设备操作用于:
接收质询,
获得第一完美前向保密PFS参数,
获得第一PFS参数的第一验证码,其中,所述第一验证码包括至少基于所述第一PFS参数的消息认证码;
向通信设备发送所述质询、第一PFS参数和第一验证码,
从通信设备接收第二PFS参数、第二验证码和响应参数,
确定所述响应参数的可信性,以及
基于所述第二验证码,验证所述第二PFS参数。
67.根据权利要求66所述的系统,所述第二网络设备还操作用于:提供用于获得所述第一PFS参数的值,所述第一PFS参数通过至少基于所述值来生成;以及使用所述第一PFS参数生成所述质询验证码,并向所述第一网络设备发送所述值,其中所述第一网络设备进而操作用于向通信设备发送作为质询验证码的第一验证码。
68.一种用于第二通信网络的第二网络设备,所述第二网络设备操作用于:
从第一通信网络的第一网络设备接收针对与通信设备的身份模块相关的认证数据的请求,
生成第一完美前向保密PFS参数,
至少基于第一PFS参数和第二网络设备与身份模块之间共享的密钥,生成第一验证码,其中,所述第一验证码包括至少基于所述第一PFS参数的消息认证码;
响应于所述请求,向第一网络设备发送至少第一验证码和能够从中导出第一PFS参数的值。
69.根据权利要求68所述的第二网络设备,其中能够从中导出第一PFS参数的值包括所述第一PFS参数。
70.根据权利要求68所述的第二网络设备,其中所述第一PFS参数包括Diffie-Hellman参数,以及能够从中导出第一PFS参数的值包括Diffie-Hellman参数的指数。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201562121689P | 2015-02-27 | 2015-02-27 | |
| US62/121,689 | 2015-02-27 | ||
| PCT/SE2015/050822 WO2016137374A1 (en) | 2015-02-27 | 2015-07-13 | Security arrangements in communication between a communication device and a network device |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107409305A CN107409305A (zh) | 2017-11-28 |
| CN107409305B true CN107409305B (zh) | 2021-05-25 |
Family
ID=56788912
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201580076997.1A Active CN107409305B (zh) | 2015-02-27 | 2015-07-13 | 通信设备与网络设备之间的通信安全设置 |
Country Status (15)
| Country | Link |
|---|---|
| US (5) | US9787661B2 (zh) |
| EP (2) | EP3262861B1 (zh) |
| JP (3) | JP2018507646A (zh) |
| KR (1) | KR102033465B1 (zh) |
| CN (1) | CN107409305B (zh) |
| AR (1) | AR105756A1 (zh) |
| AU (1) | AU2015384233B2 (zh) |
| BR (1) | BR112017018428A2 (zh) |
| CA (1) | CA2977950C (zh) |
| ES (1) | ES2881632T3 (zh) |
| IL (1) | IL253734B (zh) |
| MX (2) | MX367997B (zh) |
| RU (1) | RU2663972C1 (zh) |
| WO (1) | WO2016137374A1 (zh) |
| ZA (1) | ZA201705850B (zh) |
Families Citing this family (28)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| SG10201509342WA (en) * | 2015-11-12 | 2017-06-29 | Huawei Int Pte Ltd | Method and system for session key generation with diffie-hellman procedure |
| US9979554B2 (en) * | 2016-01-11 | 2018-05-22 | Panasonic Avionics Corporation | Methods and systems for securely accessing line replaceable units |
| WO2017176068A1 (en) * | 2016-04-06 | 2017-10-12 | Samsung Electronics Co., Ltd. | System and method for validating authenticity of base station and/or information received from base station |
| FR3057132A1 (fr) * | 2016-10-04 | 2018-04-06 | Orange | Procede d'authentification mutuelle entre un equipement utilisateur et un reseau de communication |
| US10805349B2 (en) | 2017-03-29 | 2020-10-13 | At&T Intellectual Property I, L.P. | Method and system to secure and dynamically share IOT information cross multiple platforms in 5G network |
| EP3526951B1 (en) * | 2017-04-11 | 2021-06-02 | Huawei Technologies Co., Ltd. | Network authentication method, device, and system |
| US10841302B2 (en) * | 2017-05-24 | 2020-11-17 | Lg Electronics Inc. | Method and apparatus for authenticating UE between heterogeneous networks in wireless communication system |
| WO2019000171A1 (en) * | 2017-06-26 | 2019-01-03 | Zte Corporation | METHODS AND COMPUTER DEVICE FOR AUTHENTICATING USER EQUIPMENT VIA HOME NETWORK |
| US10486646B2 (en) * | 2017-09-29 | 2019-11-26 | Apple Inc. | Mobile device for communicating and ranging with access control system for automatic functionality |
| WO2019086444A1 (en) | 2017-10-30 | 2019-05-09 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods, computer programs, computer program product, communication devices, network device and server |
| EP3718279A1 (en) * | 2017-11-30 | 2020-10-07 | Telefonaktiebolaget LM Ericsson (publ) | Serving-network based perfect forward security for authentication |
| US10637858B2 (en) | 2018-02-23 | 2020-04-28 | T-Mobile Usa, Inc. | Key-derivation verification in telecommunications network |
| US11265699B2 (en) | 2018-02-23 | 2022-03-01 | T-Mobile Usa, Inc. | Identifier-based access control in mobile networks |
| EP3769487A1 (en) * | 2018-03-22 | 2021-01-27 | British Telecommunications public limited company | Wireless communication network authentication |
| US11184177B2 (en) * | 2018-09-19 | 2021-11-23 | Synaptics Incorporated | Method and system for securing in-vehicle ethernet links |
| US11218466B2 (en) * | 2018-10-31 | 2022-01-04 | Salesforce.Com, Inc. | Endpoint security |
| CN111404666B (zh) * | 2019-01-02 | 2024-07-05 | 中国移动通信有限公司研究院 | 一种密钥生成方法、终端设备及网络设备 |
| EP3684088A1 (en) | 2019-01-18 | 2020-07-22 | Thales Dis France SA | A method for authentication a secure element cooperating with a mobile equipment within a terminal in a telecommunication network |
| CN111669276B (zh) * | 2019-03-07 | 2022-04-22 | 华为技术有限公司 | 一种网络验证方法、装置及系统 |
| US11076296B1 (en) * | 2019-05-13 | 2021-07-27 | Sprint Communications Company L.P. | Subscriber identity module (SIM) application authentication |
| EP3787250B1 (en) * | 2019-08-27 | 2021-07-28 | GlobalmatiX AG | Authentication between a telematic control unit and a core server system |
| JP2022549671A (ja) * | 2019-09-25 | 2022-11-28 | コモンウェルス サイエンティフィック アンド インダストリアル リサーチ オーガナイゼーション | ブラウザアプリケーション用の暗号化サービス |
| CN112672345B (zh) * | 2019-09-30 | 2023-02-10 | 华为技术有限公司 | 通信认证方法和相关设备 |
| CN110830985B (zh) * | 2019-11-11 | 2022-04-29 | 重庆邮电大学 | 一种基于信任机制的5g轻量级终端接入认证方法 |
| CN111669748B (zh) * | 2020-05-20 | 2021-06-29 | 中国科学院软件研究所 | 一种隐私保护的移动通信认证方法 |
| WO2022069056A1 (en) * | 2020-10-02 | 2022-04-07 | Huawei Technologies Co., Ltd. | Protection of sensitive user data in communication networks |
| US11743044B2 (en) * | 2021-09-21 | 2023-08-29 | Salesforce, Inc. | Password-less authentication using key agreement and multi-party computation (MPC) |
| US20230412378A1 (en) * | 2022-06-16 | 2023-12-21 | Qualcomm Incorporated | Methods and systems for key exchange and encryption |
Family Cites Families (66)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5491749A (en) * | 1993-12-30 | 1996-02-13 | International Business Machines Corporation | Method and apparatus for entity authentication and key distribution secure against off-line adversarial attacks |
| ATE492088T1 (de) * | 1995-06-05 | 2011-01-15 | Cqrcert Llc | Verfahren und einrichtung zur digitalen unterschrift in mehreren schritten |
| US7010692B2 (en) * | 1996-04-17 | 2006-03-07 | Phoenix Technologies Ltd. | Cryptographic methods for remote authentication |
| CA2228185C (en) * | 1997-01-31 | 2007-11-06 | Certicom Corp. | Verification protocol |
| US6754820B1 (en) * | 2001-01-30 | 2004-06-22 | Tecsec, Inc. | Multiple level access system |
| GB0004178D0 (en) * | 2000-02-22 | 2000-04-12 | Nokia Networks Oy | Integrity check in a communication system |
| FI20000760A0 (fi) * | 2000-03-31 | 2000-03-31 | Nokia Corp | Autentikointi pakettidataverkossa |
| US7194765B2 (en) | 2002-06-12 | 2007-03-20 | Telefonaktiebolaget Lm Ericsson (Publ) | Challenge-response user authentication |
| US7565537B2 (en) * | 2002-06-10 | 2009-07-21 | Microsoft Corporation | Secure key exchange with mutual authentication |
| US7725730B2 (en) * | 2002-08-09 | 2010-05-25 | Emc Corporation | Cryptographic methods and apparatus for secure authentication |
| US8005070B2 (en) * | 2003-03-12 | 2011-08-23 | Lon Communication Mgmt. Llc | Extension of a local area phone system to a wide area network with handoff features |
| CN101241735B (zh) * | 2003-07-07 | 2012-07-18 | 罗威所罗生股份有限公司 | 重放加密的视听内容的方法 |
| US20050086342A1 (en) * | 2003-09-19 | 2005-04-21 | Andrew Burt | Techniques for client-transparent TCP migration |
| US7434050B2 (en) * | 2003-12-11 | 2008-10-07 | International Business Machines Corporation | Efficient method for providing secure remote access |
| US7434054B2 (en) * | 2004-03-31 | 2008-10-07 | Microsoft Corporation | Asynchronous enhanced shared secret provisioning protocol |
| US7545932B2 (en) * | 2004-10-29 | 2009-06-09 | Thomson Licensing | Secure authenticated channel |
| US7464267B2 (en) * | 2004-11-01 | 2008-12-09 | Innomedia Pte Ltd. | System and method for secure transmission of RTP packets |
| US20070192602A1 (en) * | 2004-12-17 | 2007-08-16 | Telefonaktiebolaget Lm Ericsson (Publ) | Clone resistant mutual authentication in a radio communication network |
| MX2007009475A (es) * | 2005-02-04 | 2007-10-16 | Qualcomm Inc | Inicio seguro para comunicaciones inalambricas. |
| US7747865B2 (en) * | 2005-02-10 | 2010-06-29 | International Business Machines Corporation | Method and structure for challenge-response signatures and high-performance secure Diffie-Hellman protocols |
| EP1851932A1 (en) * | 2005-02-11 | 2007-11-07 | Nokia Corporation | Method and apparatus for providing bootstrapping procedures in a communication network |
| US20060206710A1 (en) * | 2005-03-11 | 2006-09-14 | Christian Gehrmann | Network assisted terminal to SIM/UICC key establishment |
| US8132006B2 (en) * | 2005-05-03 | 2012-03-06 | Ntt Docomo, Inc. | Cryptographic authentication and/or establishment of shared cryptographic keys, including, but not limited to, password authenticated key exchange (PAKE) |
| JP2007028529A (ja) * | 2005-07-21 | 2007-02-01 | Fuji Xerox Co Ltd | 情報記録システム、情報再生システム、および情報記録再生システム |
| US7730309B2 (en) * | 2005-07-27 | 2010-06-01 | Zimmermann Philip R | Method and system for key management in voice over internet protocol |
| GB0517592D0 (en) * | 2005-08-25 | 2005-10-05 | Vodafone Plc | Data transmission |
| US20070086590A1 (en) * | 2005-10-13 | 2007-04-19 | Rolf Blom | Method and apparatus for establishing a security association |
| US8122240B2 (en) | 2005-10-13 | 2012-02-21 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and apparatus for establishing a security association |
| JP4016061B2 (ja) * | 2006-01-25 | 2007-12-05 | 松下電器産業株式会社 | 端末装置、サーバ装置及びデジタルコンテンツ配信システム |
| US8522025B2 (en) * | 2006-03-28 | 2013-08-27 | Nokia Corporation | Authenticating an application |
| US20090100264A1 (en) * | 2006-04-28 | 2009-04-16 | Yuichi Futa | Communication device and communication system |
| WO2008005162A2 (en) * | 2006-06-19 | 2008-01-10 | Interdigital Technology Corporation | Method and apparatus for security protection of an original user identity in an initial signaling message |
| US9503462B2 (en) * | 2007-02-08 | 2016-11-22 | Nokia Technologies Oy | Authenticating security parameters |
| US8667285B2 (en) * | 2007-05-31 | 2014-03-04 | Vasco Data Security, Inc. | Remote authentication and transaction signatures |
| WO2008151663A1 (en) * | 2007-06-12 | 2008-12-18 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and apparatuses for authentication and reauthentication of a user with first and second authentication procedures |
| US9279899B2 (en) * | 2007-07-18 | 2016-03-08 | Westerngeco L.L.C. | System and technique to estimate physical propagation parameters associated with a seismic survey |
| JP5432156B2 (ja) * | 2007-10-05 | 2014-03-05 | インターデイジタル テクノロジー コーポレーション | Uiccと端末との間のセキュア通信方法 |
| US8812858B2 (en) * | 2008-02-29 | 2014-08-19 | Red Hat, Inc. | Broadcast stenography of data communications |
| AU2009233837B2 (en) * | 2008-04-07 | 2013-02-07 | Interdigital Patent Holdings, Inc | Secure session key generation |
| CN101286844B (zh) * | 2008-05-29 | 2010-05-12 | 西安西电捷通无线网络通信有限公司 | 一种支持快速切换的实体双向鉴别方法 |
| WO2010010430A2 (en) * | 2008-07-25 | 2010-01-28 | Lee Kok-Wah | Methods and systems to create big memorizable secrets and their applications in information engineering |
| US9258696B2 (en) * | 2009-02-11 | 2016-02-09 | Alcatel-Lucent | Method for secure network based route optimization in mobile networks |
| EP2249593B1 (en) * | 2009-05-04 | 2013-01-02 | NTT DoCoMo, Inc. | Method and apparatus for authenticating a mobile device |
| CN101662465B (zh) * | 2009-08-26 | 2013-03-27 | 深圳市腾讯计算机系统有限公司 | 一种动态口令验证的方法及装置 |
| US8510561B2 (en) * | 2010-02-26 | 2013-08-13 | Research In Motion Limited | Methods and devices for computing a shared encryption key |
| KR101198120B1 (ko) * | 2010-05-28 | 2012-11-12 | 남궁종 | 홍채정보를 이용한 양방향 상호 인증 전자금융거래시스템과 이에 따른 운영방법 |
| US8572385B2 (en) * | 2010-07-29 | 2013-10-29 | Brown University | System and method for optimal verification of operations on dynamic sets |
| EP3217696A1 (en) * | 2011-03-23 | 2017-09-13 | InterDigital Patent Holdings, Inc. | Device and method for securing network communications |
| WO2013165605A1 (en) * | 2012-05-02 | 2013-11-07 | Interdigital Patent Holdings, Inc. | One round trip authentication using single sign-on systems |
| US8971851B2 (en) * | 2012-06-28 | 2015-03-03 | Certicom Corp. | Key agreement for wireless communication |
| US9088408B2 (en) * | 2012-06-28 | 2015-07-21 | Certicom Corp. | Key agreement using a key derivation key |
| TW201417598A (zh) * | 2012-07-13 | 2014-05-01 | Interdigital Patent Holdings | 安全性關聯特性 |
| US20150244685A1 (en) * | 2012-09-18 | 2015-08-27 | Interdigital Patent Holdings | Generalized cryptographic framework |
| CN104937865B (zh) * | 2012-10-21 | 2017-12-12 | Lg电子株式会社 | 监测无线通信系统中的下行链路控制信道的方法和装置 |
| KR102024531B1 (ko) * | 2012-12-14 | 2019-09-25 | 한국전자통신연구원 | 송신 메시지 연결성을 제공하는 익명 인증 및 키 합의 장치 및 방법 |
| US9768962B2 (en) * | 2013-03-15 | 2017-09-19 | Microsoft Technology Licensing, Llc | Minimal disclosure credential verification and revocation |
| US9769658B2 (en) * | 2013-06-23 | 2017-09-19 | Shlomi Dolev | Certificating vehicle public key with vehicle attributes |
| US20150031334A1 (en) * | 2013-07-25 | 2015-01-29 | Htc Corporation | Method of Handling Authentication for Wireless Charging |
| GB2518257A (en) * | 2013-09-13 | 2015-03-18 | Vodafone Ip Licensing Ltd | Methods and systems for operating a secure mobile device |
| US9326141B2 (en) * | 2013-10-25 | 2016-04-26 | Verizon Patent And Licensing Inc. | Internet protocol multimedia subsystem (IMS) authentication for non-IMS subscribers |
| EP3114879B1 (en) * | 2014-03-03 | 2021-07-14 | Telefonaktiebolaget LM Ericsson (publ) | Methods and devices for improving access steering between radio access networks |
| US9264900B2 (en) * | 2014-03-18 | 2016-02-16 | Huawei Technologies Co., Ltd. | Fast authentication for inter-domain handovers |
| US9628273B2 (en) | 2014-04-30 | 2017-04-18 | Thamir Alshammari | Cryptographic method and system for secure authentication and key exchange |
| US10142840B2 (en) * | 2015-01-29 | 2018-11-27 | Motorola Mobility Llc | Method and apparatus for operating a user client wireless communication device on a wireless wide area network |
| SG10201509342WA (en) * | 2015-11-12 | 2017-06-29 | Huawei Int Pte Ltd | Method and system for session key generation with diffie-hellman procedure |
| KR102549272B1 (ko) * | 2016-05-17 | 2023-06-30 | 한국전자통신연구원 | 패스워드와 id 기반 서명을 이용한 인증 키 합의 방법 및 장치 |
-
2015
- 2015-07-13 CN CN201580076997.1A patent/CN107409305B/zh active Active
- 2015-07-13 KR KR1020177023886A patent/KR102033465B1/ko active IP Right Grant
- 2015-07-13 EP EP15883516.5A patent/EP3262861B1/en active Active
- 2015-07-13 WO PCT/SE2015/050822 patent/WO2016137374A1/en active Application Filing
- 2015-07-13 US US14/770,774 patent/US9787661B2/en active Active
- 2015-07-13 ES ES15883516T patent/ES2881632T3/es active Active
- 2015-07-13 CA CA2977950A patent/CA2977950C/en active Active
- 2015-07-13 RU RU2017133360A patent/RU2663972C1/ru active
- 2015-07-13 MX MX2017010250A patent/MX367997B/es active IP Right Grant
- 2015-07-13 EP EP21171317.7A patent/EP3876573B1/en active Active
- 2015-07-13 JP JP2017545344A patent/JP2018507646A/ja active Pending
- 2015-07-13 AU AU2015384233A patent/AU2015384233B2/en not_active Ceased
- 2015-07-13 BR BR112017018428-1A patent/BR112017018428A2/pt not_active IP Right Cessation
-
2016
- 2016-02-26 AR ARP160100519A patent/AR105756A1/es active IP Right Grant
- 2016-04-12 US US15/096,644 patent/US10057232B2/en active Active
-
2017
- 2017-07-30 IL IL253734A patent/IL253734B/en active IP Right Grant
- 2017-08-09 MX MX2019005063A patent/MX2019005063A/es unknown
- 2017-08-28 ZA ZA2017/05850A patent/ZA201705850B/en unknown
-
2018
- 2018-07-24 US US16/043,842 patent/US10659447B2/en active Active
-
2019
- 2019-05-13 JP JP2019090941A patent/JP6979420B2/ja active Active
- 2019-09-03 US US16/558,891 patent/US10965660B2/en active Active
-
2021
- 2021-02-23 US US17/182,553 patent/US11722473B2/en active Active
- 2021-08-23 JP JP2021135734A patent/JP2021193800A/ja active Pending
Also Published As
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11722473B2 (en) | Communication between a communication device and a network device | |
| US10931445B2 (en) | Method and system for session key generation with diffie-hellman procedure | |
| US8379854B2 (en) | Secure wireless communication | |
| US9668139B2 (en) | Secure negotiation of authentication capabilities | |
| US11228429B2 (en) | Communication with server during network device during extensible authentication protocol—authentication and key agreement prime procedure | |
| CN109788480B (zh) | 一种通信方法及装置 | |
| CN111865870B (zh) | 一种参数发送方法及装置 | |
| CN109076058B (zh) | 一种移动网络的认证方法和装置 | |
| CN109756324A (zh) | 一种Mesh网络中的密钥协商方法、终端及网关 | |
| CN102026184A (zh) | 一种鉴权方法及鉴权系统以及相关设备 | |
| CN109155775B (zh) | 一种移动设备、网络节点及其方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 1240014 Country of ref document: HK |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |