密钥衍生的制作方法

密钥衍生的制作方法
【专利摘要】为在蜂窝电信网络上的验证期间便于改变供智能卡(SIM)使用的网络验证密钥(Ki)，提供一种将密钥衍生与空中下载(OTA)规范结合的智能卡管理方案。该方案确保Ki从不以OTA方式发送，并且Ki仅存储在两个位置：在SIM上和在验证中心(AuC)。
【专利说明】密钥衍生
发明领域
[0001]本发明涉及用于通过诸如GSM或UMTS网络的无线电信网络或移动网络运营商(MNO)验证终端设备的智能卡的领域。
【背景技术】
[0002]SM卡(也称为通用集成电路卡，UICC)是一种普遍存在的智能卡形式。无线电信网络标准批准通过SM卡便于网络装置的验证(事实上，术语SM卡常常用于共同地包括真SM卡和USM卡)。这些卡可靠地存储网络验证程序的基本单元:秘密密钥(包括网络验证密钥(Ki))、“空中下载”(OTA)传送密钥和用于一个或多个运营商加密算法的参数。
[0003]每个SM卡对顾客是特定的，并且除验证信息之外承载为该顾客所特有的信息，诸如顾客的国际移动用户识别码(IMSI)。
[0004]SIM卡用于为每个终端提供相关识别(例如IMSI)和验证信息。在例如电信应用的某些应用中，在卡本身上可不提供SIM,而是在植入或集成到装置中的集成电路上提供。这例如可采取用于标准化安装的VQFN8封装形式。
[0005]现有的SM卡典型地针对单个MNO作个性化:换句话说，它们存储仅在一个MNO的网络上有效的秘密密钥。每个SIM因而对特殊的网络是特定的(“归属”网络)，也就是说，每个SIM在该网络的运营商的控制下发布并供该网络内使用。
[0006]改变MNO需要可移除SM卡的物理交换。卡的该交换在一些情况下是不切实际的，在这些情况下，需要调换SIM的终端可能广泛地分布或植入(并且因此不可调换)。
[0007]蜂窝电信系统的基本安全需求是SM的网络验证密钥(Ki)仅曾经存储在网络的两个点，即在SM上和在验证中心(AuC)。另外，Ki是不管什么在任何情况下从不发送的。事实上，Ki在制造之后的任何点从SIM移除或传输在有些地方是违法的。
[0008]在传统的电信系统中，Ki在制造的时候与SM的国际移动用户识别码(MSI)配对。仅IMSI以及因此其固有耦合的Ki控制装置能天然地连接至哪个网络。如上所述，由于Ki不可发送、不可传送或不可编程，所以目前情况下使SIM天然地连接至各种网络或者延续各种网络的行踪是不可行的。
[0009]传统的SM与网络布置不太令人满意。如果具有其相关的SM卡的终端供产品内使用并在特定的运营公司的网络内提供功能，则出现的问题是终端的所有者是否希望让自己利用竞争网络运营商的服务(可能由于终端永久地移入未被该终端向其登记的初始网络覆盖的地理区域)。
[0010]转换SM具有相关的后勤保障困难，并且另外地可具有安置在先前的SM卡上的有用信息丢失的后果。此外，在某些应用(此时SM没有以可移动智能卡的形式存储而是存储在植入装置中的集成电路上)中，SIM替换是不可能的。
[0011]先前设计能够在多个网络上登记并重新登记的SM的尝试基于这样的原理:在一个超级SIM内产生单个SIM的多个实例，该超级SIM随后能够挑选MS1-Ki对以用于每种情形(即当在多个网络上登记或重新登记时)。国际专利公布W003 / 013174中描述了这种示例，其中描述了这样的智能卡。作为在不转换SIM卡本身的情况下转换运营商的问题的一般解决方案，其存在许多固有的缺点。
[0012]首先，由于SM实际上是安置在同一物理SM卡/ 内的多个SM，所以存在关于谁是超级SM的所有者的固有歧义性。每个IMS1-Ki对被认为是负责发布每个IMS1-Ki对的每个地方或组织的网络的性质。
[0013]其次,利用该机制带来运营商后勤保障的变化,使得运营商在完成对该运营商的分配之后仅知悉其“Ki”，而不能预订(K1、IMSI, ICCID)并预载至归属位置寄存器(HLR)。替代性地，每个MNO可能预先接收预载的(IMS1、K1、ICCID)值中的一个，但是随后在每个“超级SM”上必须正好存在与整个系统中的MNO (全球数百个)一样多的Ki，并且这些密钥中的绝大多数从不使用。另外，MNO引起将所有不使用的密钥保存在它们的HLR中的成本。
[0014]在US20080276090中提出了一种替代性的解决方案:在此，全球性的中间密钥Kint与卡上的密钥衍生算法一起使用。个性化模块中的伪随机发生器为发送的每个最终的识别号码MSI生成相应的随机数RND。然后，个性化模块为发送的每个IMSI号码确定尚未分配给任何卡的最终验证密钥Ki。验证密钥Ki根据生成的中间验证密钥Kint和与MSI号码相关的生成的随机数RND，由载入卡中的算法AD确定。其后，卡使用最终的验证密钥Ki。在确保每个可能的卡上衍生相同的Ki的情况下，相同的Kint值需要加载至多张卡。
[0015]对空中下载方式发送“Ki”的替代性机制包括Ki在运送中被发现的危险；它们还引起其中Ki发送至卡上的可写入文件的危险，这于是允许进一步写入(包括部分的重写)。这样的写入(尤其是部分重写)可危及Ki和/或相关参数的保密。进一步的危险是“锁定”，由此强制MNO使用卡的初始供应方(或由该供应方选择的一方)，以空中下载方式发送其Ki。替代性地，可能强制MNO使用其未设计并且不完全信任的密钥集或算法。

【发明内容】

[0016]根据本发明，提供一种用于管理存储在微处理器卡上的签约信息的方法，卡预先配置有相关的唯一的卡号码、至少一个预定的主密钥(K_master)和至少一个号码生成装置，该方法包括:从多个信任方(TSM)中的一个信任方接收衍生值(SEED);将衍生值(SEED)存储在微处理器卡上；利用号码生成装置、卡号码和根密钥生成识别号码(Ki);其中，生成的识别号码(Ki)适合于用于电信网络。
[0017]根据本发明的另一方面，提供一种配置有一个或多个唯一的主密钥和一种或多种号码生成算法的电信安全模块，该模块包括:用于从多个信任方(TSM)中的一个信任方接收衍生值(SEED)的装置；用于存储衍生值(SEED)的存储装置；用于利用号码生成装置、卡号码和根密钥生成识别号码(Ki)的微处理器；其中，生成的识别号码(Ki)适合于用于电信网络。
[0018]本发明还涉及一种包括或结合电信安全模块的装置，该电信安全模块配置有一个或多个唯一的主密钥和一种或多种密钥衍生算法，能够衍生用于电信网络的至少一个验证密钥，并使得给定的网络验证密钥能衍生到任何目标模块上而无需将全球性秘密不配置到多个模块上。
[0019]优选地，所述衍生算法中的至少一种衍生算法设置有输入种子值以及主密钥以产生输出密钥值，使得算法是可逆的，以允许预先计算一个或多个可能的种子值，从而产生目标密钥值。
[0020]便利地，所述衍生算法中的至少一种衍生算法附加地向衍生密钥提供完整性保护。优选的是，向与衍生密钥结合使用的算法标识符和算法参数附加地提供完整性保护。
[0021]安全模块可布置成确保利用密钥衍生算法和相关的数据结构仅能修改衍生密钥值。另外，模块可布置成确保密钥值及相关的算法标识符和参数不能被独立地修改，而是结合利用密钥衍生算法及相关的数据结构才能修改。
[0022]便利地，模块对于限定的事件或者在每次使用之前重新检查衍生网络验证密钥的完整性，以及可选择地重新检查相关的算法标识符和参数。
[0023]存储装置优选地存储种子值而不是最后所得到的密钥值，并且在对于预定事件作完整性检查之前或者在每次使用之前重新衍生密钥值。
[0024]优选的是，种子值其本身在利用加密和/或完整性算法传输至安全模块期间被保护。
[0025]有利地，种子值利用空中下载机制发送至安全模块。
[0026]可使得多个信任方能够连续地或并行地管理安全模块内的网络验证密钥及相关的签约数据。
[0027]一个或多个信任方可使用首先由初始信任方生成并且然后可选择地由后续信任方改变的密钥集。此外，初始信任方可确保一次仅一个后续信任方能够管理安全模块内的网络验证密钥及相关的签约数据。
[0028]模块可嵌入装置内或者可替代性地为可移除的。模块可以是嵌入的或可移除的ncc。
[0029]根据本发明的另外的方面，提供一种包含这样的电信安全模块的装置。装置优选地适合于机器对机器或其他机器类型的通信实现。
【专利附图】

【附图说明】
[0030]为了更好地理解本发明，现在以示例方式对附图进行参照，其中:
[0031]图1图示移动/蜂窝电信系统的关键单元；以及
[0032]图2图示根据本发明的密钥衍生机制。
【具体实施方式】
[0033]现在将参照图1简要描述移动/蜂窝电信系统的关键单元及其操作。
[0034]诸如GSM或UMTS网络的蜂窝电信网络的每个用户配置有WCC /智能卡(例如SM、USIM)，该nCC /智能卡当与用户的移动终端相关时识别网络的用户。SM卡被预编程有唯一的识别号码、在卡上不可见并且不为用户所知的“国际移动用户识别码”(MSI)以及唯一的密钥Ki。向用户发布公开已知的号码，也就是说用户的电话号码，借助于该用户的电话号码，呼叫者启动对用户的呼叫。该号码是MSISDN。
[0035]网络包括归属位置寄存器(HLR) /归属用户服务器(10)，其为网络的每个用户存储MSI和对应的MSISDN，连同诸如用户的移动终端的当前或最后已知的MSC的其他用户数据。HSS是用于网络的主数据库，并且尽管逻辑上该HSS被看作一个实体，但在实践中，其由多个物理数据库组成。HSS保存用于由用户进行的呼叫和对话的支持、建立和维护的变量和识别码。
[0036]当用户希望在网络中激活他们的移动终端(使得其可随后进行或接收呼叫)时，用户将他们的SIM卡放置在与移动终端(在该示例中的终端I)相关的读卡器中。移动终端I使用无线接入网络，以将(从智能卡读取的)頂SI发送至由存储IMSI等的MNO运行的蜂窝网络的核心网络。
[0037]HLRlO使得对移动终端I执行验证程序。HLRlO将包括用户识别码(MSI)的验证请求发送至AUC(验证中心)，用于衍生验证向量(AV)。基于MSI，AUC生成作为随机数的询问(challenge)，或者基于MSI获得存储的询问。此外，AUC基于询问和与SM共享的秘密生成XRES (预期结果)，或者获得与询问一起存储的XRES。XRES用于最后完成验证。
[0038]验证数据和XRES然后以验证询问方式发送至移动电话I。移动电话I通过将验证数据发送至移动电话I的SM来生成响应。SM基于存储在SM上的签约的Ki和验证询问生成与存储在服务器中的XRES对应的响应。
[0039]为了根据SIM验证最后完成验证,核心网络为验证控制而将响应值与存储的XRES的值比较。
[0040]如果来自移动终端I的响应正如所预期的，则移动终端I被认为得到验证。
[0041]作为验证过程的一部分，还建立用于加密无线路径上的用户和信令数据的密码密钥Kc。该程序被称作密码密钥设定。密钥在密钥Ki的控制下利用单向函数由移动终端I计算，并且由AuC为网络预先计算。因而在成功的验证交换的结束时，双方拥有新的密码密钥Kc。
[0042]如果需要，验证过程传统地在移动终端I保持激活时被重复，并且每次移动终端进行或者接收呼叫时同样可被重复。每次执行验证过程时，新的Kc被生成并提供至终端I。
[0043]以上的机制不允许一个Ki被(用于另一 MNO的)另一 Ki直接替换，并因此遭受以上概述的缺点。
[0044]根据本发明的方案将密钥衍生与OTA规范相结合。在制造时，主秘密Kjnaster配置在卡上。当配置新的签约时，“可信服务管理器”(TSM)生成随机或伪随机种子(SEED)，并将其传送至卡。SEED由卡用于密钥衍生过程。
[0045]由于SEED只有当需要时才生成，所以TSM不知道将来生成的任何Ki。此外，如果TSM在将Ki发送至MNO并发送至卡之后删除Ki，则其不再长期保留关于K的知识。
[0046]尽管Ki本身不与OTA Ki规范方案中实现的那样在安全分组中发送，但该方案具有相同的优点。衍生值(SEED)被作为安全的OTA分组输送。
[0047]优选地，密钥衍生为可逆过程(例如用密钥Kjnaster加密SEED)，使得即使Ki由MNO提供，或者如果Ki已在早期提供至MNO并且已载入HLR，该密钥衍生也起作用。由TSM生成的SEED因而不是随机值:TSM通过应用反向密钥衍生操作由MNO提供的Ki计算要发送至卡的值。
[0048]密钥衍生方法在卡(UICC)上使用以通过发送数据串SEED由预载的主密钥“K_master”衍生出Ki,使得Ki=KDF(K_master, SEED)。然而,衍生功能是可逆的，使得通过预先计算合适的SEED能够衍生任何所期望的目标Ki。这意味着任何所期望的目标Ki (在运营商的HLR中已订并存在)能衍生到任何卡上。
[0049]该解决方案允许借助任何目标签约密钥(Ki)，为任何运营商远程地个性化SIM卡(UICC)，而无需以空中下载方式发送运营商(Ki)，无需在可写入文件中存储Ki，并且无需巨大的预载密钥的集合。
[0050]在优选的实施例中，衍生使用验证的加密算法，使得卡能检查最后所得到的Ki的完整性。例如，我们可能实际上使 KDF (K_master，SEED) =Ki Hash (Ki)或 KDF (K_master，SEED) =Ki| |MAC(Ki)，开且卡检查对应的散列或消息验证代码(MAC)函数匹配衍生的散列或MAC，从而确保Ki恰如所预期的。
[0051]便利地,Ki使用的任何参数(例如算法标识符、用于MILENAGE的运营商轮转和常数)连同Ki本身一起得到完整性保护，使得Ki不可能与不正确的算法(也将危害Ki安全的某些事情)一起使用。
[0052]“SEED”本身发送至利用OTA加密+OTA完整性算法保护的卡，使得密钥衍生机制附加在OTA安全之上而不是OTA安全的替换。
[0053]作为附加的保护措施，“SEED”永久存储在卡上；Ki并非这样。相反地，Ki在SM /USIM验证算法的每次启动或每次使用时重新衍生，并且重新检查Ki的完整性(使得可容易检测到窜改/部分更新Ki的任何企图)。
[0054]在本发明的另一方面中，有利的是对许多(有限数量的)预载“主密钥，，和相关的衍生算法的选择，使得不同的运营商组不再需要信任彼此的密钥和算法。另外，存在对一系列信任方(基本上为可信服务管理器TSM)的选择，每个信任方能够将“SEED”以OTA方式发送至卡。
[0055]安全性的要求是，除了利用以OTA方式发送的预定数据结构连同SEED，Ki不能以任何方式在UICC上更新；其参数(OPc、alg_id、r、c)也不能独立于K更新。
[0056]Ki的衍生
[0057]在优选的实施例中，用于从SEED衍生Ki的机制应满足以下需求:
[0058]密钥衍生是可逆的，使得通过发送合适定制的SEED能从预载主密钥Kjnaster衍生任何目标Ki。
[0059]衍生算法提供完整性检查(例如经由验证加密的形式)，使得卡能检查最后所得到的Ki的完整性。
[0060]Ki使用的参数(例如算法id和轮转以及常数参数)还与Ki本身一起受到完整性保护。
[0061]例如，考虑利用AES作为密码，通过用主密钥Kjnaster加密SEED计算的字符串(Ki I I CheckSum):
[0062]Ki I I CheckSum=E [SEED] Kmaster
[0063]并且卡校验Checksum=SHA-256 (Ki | |算法_参数)。该方案允许TSM在给定Ki时(如果Ki由MNO提供或者已经存储在MNO的HLR中，或者如果二次签约配置相同的Ki)计算 SEED:
[0064]SEED=D [Ki I Checksum] Kmaster
[0065]这样的方案的优点是有助于卡满足以上的安全需求:除了通过定义的数据结构，Ki及相关的算法参数不能更新。卡不再将Ki存储在文件中，而是仅存储SEED，并且当需要时(例如在卡启动时或者在每次使用验证算法时)重新计算Ki。即使为了试图发现Ki而篡改SEED (例如通过部分重写)，则也将检测到窜改，并且卡能拒绝执行验证算法。完整性机制还确保Ki不能与错误的验证算法一起使用，或者不能与不正确的OPc、轮转、常数等一起使用。
[0066]有利的是将两种衍生算法结合在一起:主衍生算法和备用衍生算法。不同的主密钥需要与不同的算法一起使用，因而当发送SEED时还需要算法标识符(或者更直截了当的是K_master标识符)。原则上，MNO组还可指定要与特定的主密钥一起使用的(专有)密钥衍生算法。
[0067]在本发明的一个实施例中，卡(例如SIM)与机器对机器(M2M)的终端相关(典型地嵌入机器对机器(M2M)的终端内)。术语“M2M”用于描述在这样的不同领域中的应用:跟踪与追踪；支付；远程维护；汽车与电子收费(例如电信)；计量；和消费设备。M2M允许装置(常常称为移动M2M)之间的无线通信的扩展使得在有些情况下(例如，在汽车工业内)提供新的服务成为可能，并且在其他情况下延伸现有的M2M服务(在智能计量领域内)。
[0068]借助于移动M2M，能同时监测数以百万计的、处于移动网络覆盖区域内任何地方的机器，以提供使个体或企业能分析并按照其行动的实时信息。
[0069]无论那些M2M终端是移动的还是固定的，都存在许多的场景，在这些场景中，与每个终端进行安全的、经过验证的无线通信的可能性被认为是有益的。在不明显增加监测来自装置的输出的负担的情况下，这使得M2M装置能够变得广泛分布。
[0070]显然，在广泛分布的装置中物理地交换智能卡可能出现令后勤保障头痛的问题。并且在M2M装置具有嵌入的SM卡的情况下将是不切实际的。
[0071]在M2M应用的情况下，虽然M2M服务的供应方是明显不同于主MNO的实体，但是其可以是信任方并且可能希望实现签约管理(即变成TSM)。
[0072]在有些情况下，实际上可能允许超过一个的TSM执行签约管理。这将允许存在对一系列信任方(TSM)的选择，每个信任方能将合适的SEED值以OTA方式发送至卡。
[0073]考虑TSM从TSMl到TSM2的变化:
[0074]TSMl向TSM2提供执行签约管理所需的数据(发行方安全域(ISD)或其他信任安全域(TSD)、卡ID、密钥集等)。
[0075]TSM2于是应在密钥集内改变密钥值，使得仅TSM2能够利用该密钥集管理卡上的签约。
[0076]TSM的变化还可与MNO的变化相关:例如考虑签约(从MN02到MN03)的变化，与此同时还有TSM(从TSMl到TSM2)的改变。如果卡被“锁定”至现任MNO (例如根据合同条款)，则现任TSM不应允许该变化。
[0077]如果存在TSM的多个连续的变化，则即使密钥由后续TSM改变，也存在通过链中的任何TSM的密钥泄露而影响到所有后续TSM密钥的安全的危险。因此，这样的泄露还影响到所有后续MNO的密钥的安全。有利的是应采取如下的减少这种“链危险”的方法:
[0078]TSMl具有密钥集I。为了移交至TSM2，TSMl检查卡未锁定至当前有效的ΜΝ0。如果没有锁定，则TSMl创建新的临时密钥集2，并将密钥集2交给TSM2。TSM2以永久密钥集替换临时密钥集2。
[0079]TSMl保证在TSM2作为签约管理器时不使用密钥集I ;TSM2保证不删除密钥集I。
[0080]为了移交至TSM3，TSMl检查卡未锁定至当前有效的ΜΝ0。如果没有锁定，则TSMl用新的临时密钥集2重写密钥集2，并将密钥集2交给TSM3。TSM3以永久密钥集替换临时密钥集2。
[0081]TSMl保证在TSM3作为签约管理器时不使用密钥集I ;TSM3保证不删除密钥集I。
[0082]对于TSM将来的变化也是如此。该解决方案允许TSM不限数量的变化，但技术上与存在可用于签约管理的密钥集从不超过两个时的一样简单。TSMl的保证确保每次仅使用一个密钥集。密钥通过TSM2的泄露不会影响TSM3、TSM4的密钥等的安全，并且没有TSM必须移交它们自己的密钥。在全球平台中无需作出改变。授信的TSM仅有义务为其他的授信TSM创建密钥集，使得在TSM之间作出的保证是可靠的。
[0083]根据本发明，如果使用来自主密钥Kjnaster的密钥衍生，则每个TSM需要知道对应的K_master。每个TSM可能会将K_master的值传给其后继者,但这再次产生上述连续泄露的危险。另一可能的解决方案是，预载Kjnaster并将它们分配给生态系统中已知(授信)的TSM，有些Kjnaster被保留给将来的授信TSM。益处是由于密钥分配问题适用于几个授信TSM而不是许多ΜΝ0，所以密钥分配问题可更容易管理。
[0084]上述移交机制需要当前的TSM(TSMl)在发行方安全域中为竞争者TSM (TSM2)创建密钥集。取决于是否存在不对称的或对称的解决方案，该新的密钥集对于TSMl可能是未知的或仅临时已知。
[0085]总之，这些解决方法需要当前的TSMl向其竞争者释放有价值的资源:在许多情况下，这可能是商业上不可接受的。尽管TSMl与TSM2可能就该业务(facility)商定价格，但该价格可能影响释放资源的商业情形。
[0086]因此，提供对以上机制的进一步改善。当务之急是向这样的MNO提供移交机制，该MNO已预先从TSM2订购SM(或者更确切的是K、IMSI, ICCID等)，但没有从TSMl订购它们。此外，该MNO可与TSM2具有信任关系，而不是与TSMl具有信任关系:并且结果是，MNO典型地希望拒绝TSMl对其密钥的访问。
[0087]该进一步改善操作如下:
[0088]1.TSMl创建最终为目标MNO所拥有、但临时为TSM2所拥有的“最小，，SbsD (签约域)。这意味着创建最小的文件系统、RFM等。TSMl确保用于该最小SbsD的密钥集传到TSM2。密钥集可利用PUTKEY设立，或者可利用保密卡内容管理设立(在这样的情况下，TSMl将不知道密钥集)。替代性地，许多最小SbsD可被预载，其带有直接从eLIICC供应方传到TSM2的预载密钥。
[0089]2.在尚未激活SbsD的情况下，TSM2使用其密钥集以给SbsD配置代表目标MNO的整套概貌数据aMS1、K、USIM应用、其他应用等)，包括利用任何优选的在卡上得到支持的K的密钥衍生方法。
[0090]3.TSM2通知TSMl其已完成配置新的SbsD，并请求SMl激活新的SbsD。
[0091]4.TSMl 激活新的 SbsD。
[0092]5.TSM2改变SbsD的密钥集并且将它们传到目标ΜΝ0，因而它们变成MNO的OTA密钥。(替代性地，如果已预订OTA密钥，则TSM2仅将它们变成预订值)。
[0093]关键差异是在步骤2中。在以上流程中，必须能够利用“未激活”SbsD本身的密钥集管理该SbsD:实际上，提供不可见的背景更新。如以上所限定地，仅ISD的密钥集能够执行这样的背景更新。倘若TSM2值得信任，则不可能出现安全问题:即，可信任TSM2在建立背景SbsD时不会耗尽所有的备用存储或者可信任TSM2不会中断基本的前台过程等)。[0094]有利的是以上流程使需要控制过程的参与方数量最少:由于仅一方(TSMl) —直需要管理ISD，所以仍可布置成它们从不知道用于SbsD的密钥集。
[0095]进一步的优点是如果MNO的确一直希望变成其自身的TSM，则以上模型显然支持该可能性。MNO基本上仅担负TSM2的角色，并目仅代表自身在步骤2接管配置过程。
【权利要求】
1.一种用于管理存储在微处理器卡上的签约信息的方法，所述卡预先配置有相关的唯一的卡号码、至少一个预定的主密钥(K_master)和至少一个号码生成装置,所述方法包括: 从多个信任方(TSM)中的一个信任方接收衍生值(SEED)； 将所述衍生值(SEED)存储在所述微处理器卡上； 利用所述号码生成装置、所述卡号码和所述根密钥生成识别号码(Ki)； 其中，所述生成的识别号码(Ki)适合于用于电信网络。
2.根据权利要求1所述的方法，还包括: 提供完整性检查，由此所述卡检查所述生成的识别号码(Ki)的完整性。
3.根据权利要求1或权利要求2所述的方法，其中，所述识别号码(Ki)在与MNO的验证中使用之后被删除。
4.根据前述权利要求中的任一项所述的方法，其中，所述衍生值(SEED)在安全OTA分组中接收。
5.根据前述权利要求中的任一项所述的方法，其中，所述密钥衍生是可逆过程，使得通过利用所述唯一的卡号码、所述SEED和所述主密钥Kjnaster在信任方(TSM)处应用反向密钥衍生，所述SEED能与任何所期望的Ki关联。
6.根据前述权利要求中的任一项所述的方法，其中，所述识别号码(Ki)在每次启动所述微处理器卡验证算法时重新衍生。
7.根据前述权利要求中的任一项所述的方法，其中，所述微处理器卡预先配置有多个预定的主密钥(K_master)。
8.根据权利要求7所述的方法，其中，所述微处理器卡还预先配置有与所述相应的预定的主密钥(Kjnaster)对应的根密钥标识符和至少两个号码生成装置，从而至少提供主号码生成装置和备用号码生成装置，每个号码生成装置通过所述主密钥标识符识别所述预定主密钥中不同的一个预定主密钥。
9.一种配置有一个或多个唯一的主密钥和一种或多种号码生成算法的电信安全模块，所述模块包括: 用于从多个信任方(TSM)中的一个信任方接收衍生值(SEED)的装置； 用于存储所述衍生值(SEED)的存储装置； 用于利用所述号码生成装置、所述卡号码和所述根密钥生成识别号码(Ki)的微处理器； 其中，所述生成的识别号码(Ki)适合于用于电信网络。
10.一种设备，其结合根据权利要求9所述的电信安全模块。
【文档编号】G07F7/10GK103493426SQ201180068554
【公开日】2014年1月1日 申请日期:2011年12月15日 优先权日:2010年12月15日
【发明者】S·巴巴格, N·博恩 申请人:沃达方Ip许可有限公司