专利名称:无线通信的安全自启动的制作方法
技术领域:
本发明大体上涉及用于保证无线通信的系统和方法。更确切地说,本发明的一个特 征提供一种用于支持传统网络认证机制的装置的新颖认证和密钥协商机制,以便通过利 用传统无线认证和密钥协商机制来提供应用安全密钥。
背景技木
由全球移动系统(GSM)协议界定一种类型的无线通信的蜂窝式技术,所述全球移 动系统(GSM)协议对第二代(2G)无线电话网络进行操作。GSM由较新的网络扩展, 所述较新的网络例如为通用分组无线服务(GPRS),也称为2.5G网络,其为GSM网络 提供因特网内容和基于分组的数据服务。GSM和GPRS用于许多类型的无线通信,其中 包含声音、因特网浏览、电子邮件和多媒体数据。GSM并入有各种安全机制,以保护通 过这些系统传送的内容。服务提供商和用户均依赖于这些安全机制来实现其通信的保密 性以及对其数据的保护,且服务提供商使用这些安全措施来对其订户进行认证以便记帐。 这些安全机制通常通过向网络认证用户移动终端来操作,且可对随后的传输进行加密。 然而,由于GSM安全协议中的弱点(例如由于缺乏网络认证而产生的假基站攻击、重放 安全协议的可能性),以及GSM加密算法中的弱点的缘故,GSM安全措施容易受到第三 方攻击。
在第三代(3G)无线通信标准中的安全协议的研发中解决了这些安全弱点。具体来 说,针对通用移动电信系统(UMTS)研发的认证和密钥协商(AKA)协议包含例如序 列号和消息认证码(MAC)的特征,所述特征防止GSM易受到假基站攻击。因此,使 用UMTS用户服务身份模块(USIM)来进行网络认证的移动订户不容易受到针对GSM
用户身份模块(SIM)的用户作出的攻击。
举例来说,在第三代合作伙伴计划文献3GPP 33.220通用认证架构(GAA)中,3G 标准化组织也在研发用于通用自启动架构的通用认证架构(GAA)。这个架构依赖于3G AKA协议以在移动订户的用户设备(UE)与已知为自启动服务器功能(BSF)的新服务 器实体之间建立密钥。作为建立在NAF与适当的UE之间共用的安全密钥的方式,可通 过这些密钥得到进一步的密钥,并由BSF将所述密钥提供到各种网络应用功能(NAF)。
正在研发的技术依赖于3G认证和密钥协商方法,例如UMTS通用用户身份模块 (USIM)中支持的方法,其与2G或例如GSM的较早的传统系统相比具有固有的安全 改进。举例来说,通用认证架构(GAA)和通用自启动架构(GBA)指定用于3G网络 且建立在3G移动网络的安全设施上(即基于USIM的安全),以在移动用户设备与促进 网络应用和/或服务的网络服务器之间提供安全相互认证。
然而,这些相互认证技术(例如,GAA禾HGBA)不可用于较早研发的(例如,2G) 通信系统,例如GSM认证和密钥协商(AKA)协议。这些GSM协议易受到重放攻击, 因此攻击者可强制密钥的重新使用,且可能会在某些环境下利用弱点来泄露密钥,且因 此破坏安全。因此,需要一种用于以不易受到重放攻击且密钥可能不易泄露的方式对来 自GSM认证和密钥协商的应用安全密钥进行自启动的方法。
因此,需要建立指定用于3G网络的通用认证架构(GAA)可借此得以扩展而支持 传统系统(例如,2G或较早的系统)的技术。这将允许向具有用户身份模块(SIM)的 GSM或其它装置的订户提供用于移动网络应用和/或服务的密钥,而无需用UMTS USIM 替换其SIMS。此外,此种方法不会因GSM认证本身的脆弱性而将弱点引入通用认证架 构中。
发明内容
提供一种相互认证的方法,用于与支持传统用户身份模块(例如,GSM SIM和 CDMA2000 R-UTM,其不支持3GAKA机制)的移动终端就应用安全密钥安全地达成一 致的方法。在自启动服务器功能(BSF)与移动终端(MT)之间实施挑战响应密钥交换。 BSF从归属位置寄存器(HLR)接收对应于此移动终端的网络认证参数(例如,GSM RAND, SRES, Kc),并在服务器认证的公共密钥机制下产生包含RAND的认证挑战, 且将其发送给MT。这个认证挑战可包含其它参数,例如随机数、身份信息、时间戳、序 列号和Diffie-Hellman公共密钥。
MT接收认证挑战并基于自启动服务器证书确定其是否源自BSF。 MT基于从认证挑
战(例如,随机数)和(例如,在GSMSIM中的)预共用秘密密钥得到的密钥来制定对 认证挑战的响应。也就是说,MT中的SIM可基于在认证挑战中接收到的随机数RAND 和SIM中存储的预共用秘密密钥得到自启动服务器功能所使用的秘密密钥(例如,SRES 和Kc)。认证响应可包含其它参数,例如加密的随机数、身份信息、时间戳、序列号和 Diffie-Hellman公共密钥。BSF接收认证响应并确定其是否源自MT。挑战响应机制利用 公共密钥机制来核实挑战和预共用安全密钥的起源,以核实响应的起源。举例来说,BSF 可独立地重新计算认证响应中的一个或一个以上参数(例如,使用或基于其从HLR获得 的RAND、 SRES和/或Kc),以核实认证响应中接收到的一个或一个以上参数是否相同。
在己认证这些消息的情况下,BSF和MT现在可基于RAND、 SRES、 Kc和/或可能 已经在BSF和MT之间传输的其它参数来计算应用安全密钥。请注意,BSF和MT独立 地知道密钥SRES和Kc未在二者之间传输。可将应用安全密钥从自启动服务器功能发送 到请求的网络应用功能,使得移动终端和网络应用功能共用应用安全密钥,且可将其用 于其之间的安全通信。
提供一种用于对传统移动终端进行认证以与网络应用功能通信的方法,其包括(a) 在自启动服务器功能处产生认证挑战;(b)将认证挑战发送到移动终端,其中所述移动 终端可基于先前获得的与自启动服务器功能相关联的自启动服务器证书来核实认证挑战 的起源;(c)在自启动服务器功能处接收包含用移动终端处产生的第一密钥计算的第一 参数的认证响应;(d)通过基于提供给自启动服务器功能的第二密钥在自启动服务器功 能处重新计算第一参数,来核实认证响应是否源自移动终端;以及(e)将在认证响应中 接收到的第一参数与自启动服务器功能重新计算的第一参数进行比较。如果两个第一参 数相同,则认为认证响应是源自移动终端。
可从存储在移动终端中的订户识别模块获得第一密钥,所述订户识别模块可为全球 移动系统(GSM)用户身份模块(SIM)或CDMA2000认证模块。可从以通信方式耦合 到自启动服务器功能的归属位置寄存器获得第二密钥。可基于移动终端中的订户识别模 块和以通信方式耦合到自启动服务器功能的网络数据库已知的相同安全算法和预共用安 全密钥来产生第一和第二密钥。认证挑战可包含随机数作为参数,且由订户识别模块用 所述随机数和存储在移动终端中的订户识别模块中的预共用安全密钥产生第一密钥,所 述第一密钥用来计算认证响应中的第一参数。可基于移动终端外部存储的预共用安全密 钥的副本和认证挑战中的随机数而产生提供给自启动服务器功能的第二密钥。认证响应 的第一参数可包含用第一密钥计算的消息认证码,且由自启动服务器功能用所述消息认
证码来核实认证响应的起源。
在一些实施方案中,可基于第二密钥在自启动服务器功能处产生第三密钥;使用所 述第三密钥在自启动服务器功能处重新计算第一参数。
此外,所述方法可进一步包含(a)基于第二密钥在自启动服务器功能处计算第四 密钥,其中还由移动终端使用第一密钥独立计算所述第二密钥;以及(b)将第四密钥从 自启动服务器功能发送到请求的网络应用功能,使得移动终端和网络应用功能共用第四 密钥以保证其之间的通信。
另一特征提供一种网络装置,其包括(a)用以与无线移动终端通信的通信接口; 以及(b)处理电路,其耦合到所述通信接口,且经配置以实施自启动服务器功能来认证 移动终端。所述处理电路可通过以下方式认证移动终端(a)产生包含随机数的认证挑 战;(b)将所述认证挑战发送到移动终端,其中所述移动终端可基于先前获得的与自启 动服务器功能相关的自启动服务器证书来核实认证挑战的起源;(C)从所述移动终端接 收认证响应,所述认证响应包含用基于随机数、预共用秘密密钥和算法的第一密钥计算 的第一参数,其中所述预共用秘密密钥和算法对于移动终端中的订户识别模块和以通信 方式耦合到自启动服务器功能的网络数据库是已知的;(d)在所述自启动服务器功能处 基于由网络数据库提供给自启动服务器的第二密钥计算第二参数;以及(e)将第一参数 与第二参数进行比较,其中如果第一和第二参数相同,则认为认证响应是源自移动终端。 在有些实施方案中,订户识别模块可为全球移动系统(GSM)用户身份模块(SIM)或 CDMA2000认证模块中的一者。此外,处理电路可进一步经配置以实施自启动服务器功 能,以通过以下方式认证移动终端(a)在自启动服务器功能处基于第二密钥计算第四 密钥,还基于第一密钥在移动终端处计算所述第二密钥;以及(b)将第四密钥从自启动 服务器功能发送到请求的网络应用功能,使得移动终端与网络应用功能共用第四密钥。 处理电路可进一步经配置以实施自启动服务器功能,以通过将认证响应中接收到的第一 参数与自启动服务器功能所计算的第一参数进行比较而认证移动终端,其中如果所述两 个第一参数相同,则认为认证响应是源自移动终端。
又一方面提供一种用于对传统移动终端进行认证以与网络应用功能通信的方法,其 包括(a)在所述移动终端处接收包含随机数的认证挑战;(b)基于先前获得的与自启 动服务器功能相关联的自启动服务器证书来核实认证挑战是否源自自启动服务器功能 处;(c)基于由移动终端中的传统订户识别模块所产生的第一密钥来产生认证响应;以 及(d)响应于接收到在认证挑战中接收到的随机数将第一密钥从订户识别模块提供到移
动终端。所述方法可进一步包含使用随机数、预共用秘密密钥和算法在订户识别模块处 产生第一密钥。预共用秘密密钥和算法均存储在订户识别模块和以通信方式耦合到自启 动服务器功能的网络数据库中。在有些实施方案中,可使用在认证挑战和响应中传输的 额外参数来产生第一密钥。
所述方法可进一步包含基于第一密钥在移动终端处计算第三密钥。也可基于由网络 数据库提供给自启动服务器功能的第二密钥在自启动服务器功能处独立计算所述第三密 钥。将第三密钥从自启动服务器功能发送到请求的网络应用功能,使得移动终端与网络 应用功能共用第三密钥。
另一特征提供一种移动终端,其包括(a)用以与自启动服务器功能通信的无线通 信接口; (b)用于存储预共用秘密密钥和算法的订户识别模块;以及(C)处理电路,其 经配置以操作传统通信协议,并用自启动服务器功能以挑战响应协议认证移动终端。所 述处理电路可通过以下方式操作(a)从自启动服务器功能接收包含随机数的认证挑战;
(b)基于先前获得的与自启动服务器功能相关联的自启动服务器证书来确定认证挑战是 否源自自启动服务器功能;以及(C)产生包含用第一密钥计算的第一参数的认证响应, 其中所述第一密钥由随机数、预共用的秘密密钥和算法产生。此外,所述处理电路可(a) 基于第一密钥和认证挑战和响应中传输的其它参数产生第三密钥;以及(b)产生使用第 三密钥计算的消息认证码。所述消息认证码可包含在对自启动服务器的认证响应中。订 户识别模块可基于随机数、预共用秘密密钥和算法而产生第一密钥。
订户识别模块可为与全球移动系统(GSM)协议兼容的用户身份模块(SIM)。也可 采用预共用秘密密钥以允许移动终端通过传统无线网络建立通信。
图1是说明根据一种实施方案的通信系统的方框图,在所述通信系统中,自启动服 务器与传统移动终端可彼此相互认证。
图2是说明根据一种实施方案的移动终端的方框图,所述移动终端经配置以与在通 信网络上操作的自启动服务器功能执行相互认证。
图3是说明根据一种实施方案的网络装置的方框图,所述网络装置经配置以执行用 于认证移动站的自启动服务器功能。
图4说明根据一种实施方案的用于执行挑战响应机制的方法,所述挑战响应机制使 传统移动终端与自启动服务器功能相互认证。
图5说明根据一种实施方案的使用自启动服务器功能和服务器功能的认证来认证移
动终端的一般方法。图6说明根据一种实施方案的在兼容GSM的移动终端与自启动服务器功能之间执行 挑战响应协议以便针对网络应用功能彼此安全认证的方法。图7说明根据一种实施方案的在兼容GSM的移动终端与自启动服务器功能之间执行 挑战响应协议以便针对网络应用功能彼此安全认证的替代方法。
具体实施方式
在以下描述中,给出特定细节以提供对实施例的彻底了解。然而,所属领域的技术 人员将了解,可在没有这些特定细节的情况下实践所述实施例。举例来说,可在方框图 中展示电路,以免在不必要的细节方面混淆实施例。在其它例子中,未详细展示众所周 知的电路、结构和技术,以免混淆实施例。此外,请注意,可将实施例描述为过程,将所述过程描绘成流程图、程序图、结构 图或方框图。虽然流程图可能会将操作描述为循序过程,但其中许多操作可并行或同时 执行。此外,操作次序可经重新排列。当一个过程的操作完成时,所述操作终止。过程 可对应于方法、函数、程序、子例行程序、子程序等。当过程对应于函数时,其终止对 应于所述函数到调用函数或主函数的返回。此外,存储媒体可代表一个或一个以上用于存储数据的装置,包含只读存储器 (ROM)、随机存取存储器(RAM)、磁盘存储媒体、光学存储媒体、快闪存储装置和/ 或其它用于存储信息的机器可读媒体。术语"机器可读媒体"包含但不限于便携的或固 定的存储装置、光学存储装置、无线信道和其它各种能够存储、含有或携带指令和/或数 据的媒体。此外,可通过硬件、软件、固件、中间件、微代码或其组合来实施实施例。当以软 件、固件、中间件或微代码的形式实施时,可将用以执行必要任务的程序代码或代码段 存储在机器可读媒体(例如存储媒体或其它存储装置)中。处理器可执行必要的任务。 代码段可代表过程、函数、子程序、程序、例行程序、子例行程序、模块、软件包、类 别,或指令、数据结构或程序语句的组合。代码段可通过传递和/或接收信息、数据、自 变量、参数或存储器内容而耦合到另一代码段或硬件电路。可通过合适的方法来传递、 转发或传输信息、自变量、参数、数据等,所述方法包含存储器共用、消息传递、令牌 传递、网络传输等。在以下描述中,使用特定术语来描述本发明的一个或一个以上实施例的特定特征。 举例来说,术语"移动终端"、"用户设备"、"移动装置"、"无线装置"和"无线移动装
置"可互换使用以指代移动电话、寻呼机、无线调制解调器、个人数字助理、个人信息 管理器(PIM)、掌上计算机、膝上型计算机和/或其它至少部分地通过蜂窝式网络通信的 移动通信/计算装置。术语"传统"用来指代作为3G前的装置、操作3G前的协议或采用 兼容GSM的SIM或兼容CDMA的认证模块或MN-AAA认证模块的网络、协议和/或移 动装置。此外,术语"订户认证模块"用来指代兼容GSM的用户身份模块(SIM)、兼 容CDMA的认证模块或MN-AAA认证模块,或移动终端中通常包含的用以识别接入无 线网络的移动终端的任何其它模块。一个特征提供一种用以扩展通用认证架构以支持传统系统的方式,以便可向持有 GSM用户身份模块(SIM)的订户提供用于移动应用的密钥,而无需用3G、兼容UMTS 的用户服务身份模块(USIM)来替换SIM。图1是说明根据一种实施方案的通信系统的方框图,在所述通信系统中,自启动服 务器与传统移动终端可彼此相互认证。网络架构100 (例如兼容GSM或兼容CDMA2000 的通信系统)包含移动终端(MT) 102、归属位置寄存器(HLR) 104、自启动服务器功 能(BSF) 106和至少一个网络应用功能(NAF) 108。 HLR 104禾口 BSF 106可寄留在作 为网络架构100的基础设施的一部分的一个或一个以上网络装置和/或服务器中。HLR 104包含一数据库,所述数据库含有用于无线运营商的移动订户信息,其中包含属于订 户的每一 MT 102的国际移动订户身份(IMSI)。 IMSI是与网络中的MT102相关联的唯 一数字。IMSI也存储在每一MT 102的用户身份模块(SIM)中,且由MT发送到网络 HLR以查找关于MT 102的信息。MT 102可为使用预定义协议(例如,3G前的协议)向服务提供商登记或与服务提 供商连接以经由网络100进行通信的传统无线通信装置。在有些实施方案中,这个向服 务提供商登记的过程可能会涉及到使用预共用秘密密钥(例如,存储在GSM SIM、CDMA 认证模块或其它传统模块中)来认证MT 102。举例来说,MT 102可含有兼容GSM的 SIM或兼容CDMA2000的认证模块,以使得MT 102能够在GSM或CDMA2000网络中 操作,并允许通过网络对其进行认证以用于无线通信。一旦MT 102被服务提供商认证以通过网络进行通信,本发明的一个方面便添加另一 认证层,以实现安全的网络应用。这个额外的认证机制独立于基础网络经营商或经营商 的认证机制。额外的认证层使用SIM或认证模块中的现有密钥连同新颖的协议来建立独 立于网络或经营商安全服务的密钥。这种新的认证机制为了认证或其它目的而提供密钥, 所述密钥在MT 102与特定NAF 108之间共用,并且经由BSF 106分配给NAF。 NAF 108
可为在联网的装置上运行的应用,例如商业业务应用和/或基于位置的服务。
当MT 102准备使用网络应用开始时,其通过通信链路110起始与NAF 108的联系。 如果MT和NAF尚未共用适当的密钥,那么NAF108通过接口 112向BFS 106发出对认 证密钥的请求。如果其尚未进行此操作,则MT102与BSF106通过认证链路114与MT 102就密钥达成一致。
可采用Diffie-Hellman密钥交换作为MT 102与BSF 106之间的密钥协商过程的一部 分。Diffie-Hellman密钥交换是一种允许先前彼此不了解的双方通过不安全的通信信道共 同建立共用秘密密钥的加密协议。在一个应用中,接着可使用这个共用的秘密密钥来使 用对称的密钥密码加密随后的通信。
然而,仅这样的话,常规的Diffie-Hellman密钥交换算法易受到"中间人"攻击,所 述攻击会破坏这种算法的安全性。这在通过无线媒介交换信息以在MT 102与NAF 108 之间执行商业和/或机密业务的情况下特别重要。
本发明的一个特征提供一种使得BSF 106和MT 102能够以不易受到固有的GSM和 /或CDMA2000弱点影响的方式就公共或共用秘密密钥达成一致的协议。确切地说,首先 向MT 102提供数字证书以认证BSF 106。这允许在经过服务器认证的信道中以数字形式 签名或载运从BSF 106到MT 102的通信,因而允许MT 102确信在认证过程期间接收到 的密钥或参数是来自BSF 106而不是来自试图成为"中间人"或进行重放攻击的另一实 体。因此,可应用本方法将3G通用自启动架构的认证方案扩展到UMTSAKA之外的协 议,所述协议本身不从网络认证中受益。
图2是说明经配置以与在通信网络上操作的自启动服务器功能执行相互认证的移动 终端(MT) 200的方框图。MT 200包含处理电路202 (例如,处理器),其耦合到通 信接口 202以与无线网络通信;以及用户身份模块(SIM)卡204。处理电路202可经配 置以执行图4、 5、 6和7中描述的部分或全部方法。SIM 204可含有秘密密钥Ki、 GSM 认证的实施方案和密钥协商算法(即,GSM A3/A8算法),且插入含有公共密钥或对应 于BSF 106中的私用密钥的公共密钥的数字服务器证书的MT 102中。确切地说,SIM 204 可为经配置以用于GSM网络的标准传统智能卡。所述公共密钥或服务器证书可对应于 RSA公共密钥,或者也可使用其它可提供数字签名的公共密钥技术,例如DSA(数字签 名算法)。BSF 106和MT 102也可共用循环群的预定生成器P (所述群例如为有限域或 椭圆曲线中的点的乘法子群),从而允许其采用Diffie-Hellman密钥交换。在替代实施例 中,MT 200可包含兼容CDMA2000的认证模块而不是SIM 204。 图3是说明根据本发明的一个方面的网络装置的方框图,所述网络装置经配置以执 行用于认证移动站(MT)的自启动服务器功能(BSF)。网络装置300包含处理电路 302 (例如处理器),其耦合到通信接口 306以与无线网络通信;以及存储器装置304。 处理电路302可经配置以执行自启动服务器功能,同时维持密钥和/或参数以与MT实施 Diffie-Hellman密钥交换。举例来说,处理电路302可经配置以执行图4、 5、 6和7中所 说明的部分或全部方法。图4说明根据一种实施方案的用于执行挑战响应机制的方法,所述挑战响应机制使 具有传统SIM的移动终端与自启动服务器功能相互认证。这种挑战响应机制利用公共密 钥机制来核实挑战的起源,并利用预共用的秘密密钥来核实响应的起源。自启动服务器功能(BSF)产生认证挑战并在经过服务器认证的公共密钥机制下将 其发送到移动终端(MT) 402。所述认证挑战可包含随机数(例如,RAND)且得自网 络数据库和MT中的订户识别模块已知的预共用秘密密钥(例如,Ki)。举例来说,可使 用预共用秘密密钥Ki和随机数(例如,RAND)来产生秘密密钥(例如,SRES禾tIKc), 所述秘密密钥用来产生认证挑战参数。认证挑战还可包含额外参数,例如时间戳、其它 随机数、身份信息、Diffie-Hellman公共密钥等,且通过数字签名的和/或经过服务器认证 的信道发送。MT接收认证挑战并基于自启动服务器证书来核实其是否源自BSF404。可能已在设 置、离线时和/或在前一过程期间向MT和BSF提供此种自启动服务器证书(例如,公共 密钥)。MT基于由MT中的订户识别模块得到和/或提供的密钥来制定对认证挑战的响应 406。可由订户识别模块基于认证挑战中接收到的随机数和存储在订户识别模块中的预共 用秘密密钥来产生这些秘密密钥。举例来说,认证挑战中接收到的随机数(例如,RAND) 和存储在MT的订户识别模块中的预共用秘密密钥(例如,Ki)可用来产生密钥(例如, SRES和Kc),所述密钥用来产生认证响应参数。此外,在有些实施方案中,MT也可使 用额外参数(例如,时间戳、其它随机数、身份信息、Diffie-Hellman公共密钥)来计算 用以制定认证响应的密钥。BSF接收认证响应并基于由自启动服务器功能独立获得的秘密密钥(例如,SRES和 Kc)来核实其是否源自MT408。举例来说,BSF可使用由网络数据库基于随机数RAND 和预共用秘密密钥(例如,Ki)而产生的秘密密钥(例如,SRES和Kc)。因此,由MT 使用自启动服务器证书来核实挑战的起源,同时由BSF使用密钥(例如,SRES和Kc) 来核实响应的起源。这确保不发生由第三方发起的攻击。
和Kc)的核实和独立计算,可计算MT与BSF的共用密 钥。可在移动终端和自启动服务器处产生应用密钥,自启动服务器可将所述应用密钥提 供给请求的网络应用功能,以实现移动终端与网络应用功能之间的安全通信410。举例 来说,可由BSF将共用密钥或得自共用密钥的应用密钥发送给请求的网络应用功能 (NAF),使得NAF与MT共用可用来保证NAF与MT之间的通信的密钥。图5说明根据本发明一个实施例的使用自启动服务器功能和服务器功能的认证来认 证移动终端的方法。当网络应用功能希望在起始网络应用业务之前与移动终端(MT)就 密钥达成一致时,可实施本方法。举例来说,GSM认证和密钥协商(AKA)是基于挑战 响应协议。秘密密钥Ki以及两个算法A3和A8存储在MT内部的用户身份模块(SIM) 以及网络归属位置寄存器(HLR) /认证中心(AuC)中。SIM被设计成防止篡改且含有 无法由用户轻易读出的秘密数据和算法。由内部具有传统SIM的MT产生对密钥的请求,并将所述请求发送到自启动服务器 功能(BSF) 502。 BSF含有来自网络HLR或AuC的MT的认证信息504。举例来说, HLR/AuC选择一个128位的随机挑战RAND,所述RAND与Ki 一起被输入两个算法A3 和A8中,以分别产生32位的输出SRES和64位的输出Kc。接着,向BSF提供对应于 请求的MT的SIM的三元组(RAND、 SRES、 Kc),以认证请求的MT内部的SIM。接 着,BSF用随机数RAND (由HLR产生)及其它参数挑战MT 506。MT基于自启动服务器证书核实认证挑战是否源自既定的BSF508。举例来说,可使 用已在MT中提供的BSF的公共密钥或数字服务器证书来执行这个核实。如果认证挑战 不是来自预期的BSF,那么过程终止。否则,基于由MT的SIM提供的秘密密钥来制定 对挑战的认证响应510。举例来说,MT将随机数RAND传递到SIM (在MT中),所述 SIM使用预共用的秘密密钥Ki和随机数RAND用算法A3和A8来计算一个或一个以上 秘密密钥(SRES和Kc)。接着,将秘密密钥SRES和Kc提供给MT以制定认证响应。 在一个实施方案中,可使用秘密密钥SRS和Kc来计算消息认证码,或者得到或加密一 个或一个以上参数,所述消息认证码或参数被作为认证响应的一部分而发送。将认证响应从MT发送到BSF 512。接着,BSF基于独立获得的秘密密钥来核实认 证响应的起源514。举例来说,可使用从HLR (在对应于随机数RAND和预共用秘密密 钥Ki的三元组中)获得的SRES和Kc来验证来自MT的认证响应中的一个或一个以上 参数。举例来说,BSF可使用从HLR接收的随机数RAND、 SRES和/或Kc来独立地计 算消息认证码(或认证响应中的其它参数)。如果由MT和BSF计算的参数(例如,消息
认证码)匹配,那么便核实了认证响应的起源。在替代的实施方案中,MT可使用一个或一个以上秘密密钥(从SIM获得的SRES 和Kc)及(从认证挑战或响应或从SIM获得的)其它参数来计算第三密钥。接着,使用 这个第三密钥来制定认证响应(例如,计算消息认证码)。由于BSF知道与MT相同的密 钥和/或参数,所以BSF也可计算相同的密钥。因此,BSF可核实认证响应是否源自MT。一旦核实了认证响应,BSF禾B MT便基于BSF禾B MT均已知的一个或一个以上密钥 和/或参数(例如,SRES、 Kc和/或其它参数)独立地计算共用密钥516。接着,可将这 个共用密钥提供给请求的NAF,以在MT与NAF之间建立安全的通信或业务518。MT借助公共密钥机制来认证来自BSF的传输。BSF用随机数RAND挑战MT,并 确信其拥有相应的秘密密钥SRES和/或Kc,以便认证来自MT的传输。因此,BSF与 MT相互认证,以便共用可从中得到密钥以用于自启动的信息。图6说明根据一种实施方案的在兼容GSM的移动终端608与自启动服务器功能604 之间执行挑战响应协议以便针对网络应用功能彼此安全认证的方法。GSM认证和密钥协 商(AKA)是基于挑战响应协议。为了基于传统SIM进行自启动,HLR/AuC以及SIM 基于现有的秘密密钥Ki和GSM算法A3和A8来执行类似计算。在GSM协议中,秘密 密钥Ki和认证算法A3和A8存储在用户身份模块(SIM)智能卡中,并且由网络HLR 602 存储。SIM 608设计成防止篡改,且含有无法被用户轻易读出的数据和算法。通常,使 用秘密密钥Ki和认证算法A3和A8与网络建立无线服务。在一个实施例中,可通过MT 606从其SIM 608中检索其关联的国际移动订户身份 (IMSI) 600并将其发送给自启动服务器功能(BSF) 604来起始对认证密钥的请求。在 BSF 604可核实IMSI 600是否属于预订网络的MT的情况下,BSF 604向HLR 602发送 IMSI 600。可由服务提供商针对SIM包含在MT 606中的订户来操作HLR 602。举例来 说,HLR 602选择128位的随机挑战RAND连同预共用秘密密钥Ki,并使用其作为对两 个算法A3和A8的输入,以分别产生32位的输出签名响应SRES和64位的输出秘密机 密密钥Kc。接着,HLR 602向BSF 604提供三元组(RAND、 SRES、 Kc),其对应于SIM 608的身份IMSI 600。 BSF 604产生随机秘密指数x,并计算Diffie-Hellman公共密钥Px, 其中P是先前提供给BSF 604和MT 606 二者的循环群的生成器,所述循环群例如为有 限域的乘法群或椭圆曲线的加法群。接着,BSF 602将三元组(RAND、 Px、 SIG) 610 发送给MT 606,其中SIG是使用BSF 604 RSA私用密钥计算出的数字签名。可进一步 增强消息610以包含其它经过服务器认证的参数,例如业务识别符。MT606接收三元组(RAND、 Px、 SIG) 610,并使用BSF 604数字证书来核实SIG。 假设向MT 606提供数字证书以使得其能够认证从BSF 604传输的数据。如果认为数据 起源于BSF处,则MT 606产生随机数y并计算Py。 MT 606还将RAND 612传递到SIM 608,所述SIM 608将基于RAND和Ki产生的一对(SRES, Kc) 614返回到MT 606。 如果SIM 608是可信的,那么其应当产生与HLR 602产生的相同的SRES和Kc。接着, MT 606计算用SRES和Kc加密的Py的消息认证码MAC,并向BSF 604发送响应(Py, MAC) 616。可将这个响应616进一步增强,以包含借此来计算MAC的其它参数,例如 业务识别符。BSF 604接收py并使用其在来自HLR 602的认证三元组中接收到的SRES和Kc来 核实MAC。如果这个MAC是正确的,则其核实MT606拥有正确的SIM 608,且可将确 认消息618发送给MT 606。在此实施例中,MT 606和BSF 604因此执行相互认证的Diffie-Hellman密钥交换, 且就其分别计算的密钥pw达成一致。接着可将用于进一步通信的密钥(例如)计算成 P"的散列,其中可能包含MT和BSF二者已知的进一步的信息,例如身份信息、RAND、 SRES和Kc。在进行Diffie-Hellman计算或者所得的密钥存储在MT 606而不是SIM 608 中的情况下,如果从MT中移除了 SIM 608或者使用不同的SIM 608来开动MT,则应当删除这个密钥pxy和所得的达成一致的密钥。请注意,假如MT606不支持算法A5/2,则这个协议不具有由于GSM而产生的标准 弱点。A5/2算法允许在GSM协议中出现可能会破坏以上协议的准瞬时破解。然而,在 3GPP版本6的规范中正逐步淘汰A5/2算法。进一步请注意,试图攻击协议的中间人由于SIG的缘故无法改变初始挑战(RAND、 Px、 SIG),因此攻击者无法插入其自身的pz或者使用不同的RAND。其至多可重放这些 消息,但其无法冒充BSF,因为任何重放均相当于使用短暂的DiffieHellman。相反,如 果BSF确保所使用的RAND从对这个协议的一次使用到下次使用是新的,并且确保在短时间周期中接收到响应(py, MAC),那么攻击者不会有机会通过其它手段(例如在典型的GSM情境中用RAND作出挑战以及攻击A5/1算法以得到密钥)来得到SRES和Kc。 图7说明根据一种实施方案的在支持兼容GSM的用户身份模块708 (SIM)的传统 移动终端(MT) 706与自启动服务器功能(BSF) 704之间执行挑战响应协议以便针对网 络应用功能(NAF)彼此安全认证并就密钥达成一致的替代方法。与图6中的方法相似, 可通过MT 706将其关联的IMSI 700从其SIM 708发送到BSF 704来起始对认证密钥的
请求。在BSF 704可核实IMSI 700是否属于预订所述网络的MT的情况下,所述BSF 704 将所述IMSI700发送到HLR 702。 HLR 702接着选择三元组(RAND、 SRES、 Kc)并将 其提供给所述BSF704,所述三元组对应于SIM 708的身份IMSI700。举例来说,RAND 可为128位随机数且Ki为预共用秘密完整密钥Ki,且可使用其作为对两个算法A3和 A8的输入,所述两个算法A3和A8分别产生签名响应SRES (例如,32位数字)和秘 密机密密钥Kc(例如,64位数字)。假设向MT 706提供使其能够认证从BSF 704传输 的数据的公共密钥或数字证书。BSF704从HLR702接收三元组(RAND、 SRES、 Kc)。 BSF 704接着使用基于公共 密钥的机制计算RAND的数字签名SIG (且可能为其它参数,例如时间戳、序列号、随 机种子或身份信息),所述机制使得MT 706能够认证从BSF 704接收的数据的来源。BSF 704将RAND和SIG 710发送给MT 706。 一旦接收到(RAND, SIG) 710, MT 706便 使用BSF 704的数字证书核实SIG。如果认为所述数据是来自BSF 704, MT 706便将 RAND 712发送给SIM 708以检索相应的参数SRES和Kc。也就是说,SIM 708通过使 用预共用秘密密钥Ki和RAND作为对其已经具备的A3和A8算法的输入而产生SRES 和Kc对。MT706接着可产生密钥PSK、在基于公共密钥的机制下加密PSK并对结果应 用消息认证码MAC。可在响应中包含例如时间戳、序列号、随机种子或身份信息的进一 步的参数。MAC可基于可包含Kc和SRES作为输入参数的函数或算法(对于MT 706 和BSF704均为已知),并且用于向BSF704证实MT706拥有正确的SIM 708。请注意, 可以任一次序执行数据的基于公共密钥的加密和用SRES和Kc加密MAC的操作。接着, MT 706将(加密的PSK, MAC) 716发送给BSF 704, BSF 704通过核实MAC来核实 MT 706是否拥有正确的SRES和Kc。通过使用由BSF 704从HLR 702接收到的SRES 和Kc来重新计算MAC并将其与从MT 706接收到的MAC进行比较,而对MAC进行核 实。如果认为MAC是正确的,那么认为PSK是源自MT706和SIM 708,且将确认或认 可718发送给MT706。因此,在MT706与BSF704之间就这个PSK达成一致,或者可 使用PSK、 Kc、 SRES、身份信息和可能的其它参数来作出进一步的密钥推导。图6和7中针对基于GSM的移动终端说明的挑战响应机制也可在其它类型的移动终 端上实施。举例来说,本发明可在兼容CDMA2000的网络和移动终端(MT)上操作。 在此种实施方案中,兼容CDMA2000的移动终端含有cdma2000认证模块、UIM或RUIM, 以就可用于实现网络应用的安全的预共用秘密密钥达成一致。在一个实施方案中,可使 用经过认证的Diffie Hellman算法产生预共用密钥,其中借助公共密钥数字签名机制(即,MT已知的自启动服务器证书)来认证由BSF提供的公共参数px,而通过添加消息认证 码来认证由MT提供的参数py,其中所述消息认证码具有例如来自CAVE (蜂窝式认证 和声音加密算法)或MN-AAA认证器(移动节点认证、授权和记帐)的SMEKEY (信 令消息加密密钥)等材料的密钥。假设向MT提供使其能够认证来自BSF的数字签名消 息的公共密钥或数字证书,以及认证码模块和HLR均已知的预共用秘密密钥Ki和认证 码识别符IMSI。所属领域的技术人员将了解,这种方法同等地适用于经营商认证是基于CAVE的环 境,且同样提供可始终使用对称和RSA操作执行这些自启动操作的优点,并且可因此提 供优于要求支持Diffie Hellman和RSA 二者的协议的实施优点。图1、 2和/或3中所说明的组件和功能中的一者或一者以上可在不偏离本发明的情 况下重新排列和/或组合成单个组件或者在若干组件中实施。也可在不偏离本发明的情况 下添加额外元件或组件。图1、 2和/或3中所说明的设备、装置和/或组件可经配置以执 行图4、 5、 6和/或7中所说明的方法、特征或步骤。应注意,以上实施例只是实例且不应理解为限制本发明。实施例的描述意欲是说明 性的,而不限制权利要求书的范围。因此,当前教示可容易地适用于其它类型的设备, 且所属领域的技术人员将容易了解许多替代形式、修改和变化形式。
权利要求
1. 一种用于认证传统移动终端以便与网络应用功能进行通信的方法,其包括在自启动服务器功能处产生认证挑战;向所述移动终端发送所述认证挑战,其中所述移动终端可基于与所述自启动服务 器功能相关联的先前获得的自启动服务器证书来核实所述认证挑战的起源;在所述自启动服务器功能处接收认证响应,所述认证响应包含用所述移动终端处 产生的第一密钥所计算的第一参数;以及通过基于提供给所述自启动服务器功能的第二密钥在所述自启动服务器功能处 重新计算所述第一参数来核实所述认证响应是否源自所述移动终端。
2. 根据权利要求1所述的方法,其中所述第一密钥是从所述移动终端中的订户识别模 块获得的。
3. 根据权利要求2所述的方法,其中所述订户识别模块是全球移动系统(GSM)用户 身份模块(SIM)或CDMA2000认证模块中的一者。
4. 根据权利要求2所述的方法,其进一步包括将在所述认证响应中接收到的第一参数与由所述自启动服务器功能重新计算的 第一参数进行比较,其中如果两个第一参数相同,则认为所述认证响应是源自所述 移动终端。
5. 根据权利要求l所述的方法,其进一步包括从以通信方式耦合到所述自启动服务器功能的归属位置寄存器获得所述第二密 钥。
6. 根据权利要求l所述的方法,其进一步包括-在所述自启动服务器功能处产生涉及所述第二密钥的第三密钥;以及 使用所述第三密钥在所述自启动服务器功能处计算所述第一参数。
7. 根据权利要求1所述的方法,其中基于所述移动终端中的订户识别模块和以通信方 式耦合到所述自启动服务器功能的网络数据库已知的同一安全算法和预共用秘密 密钥而产生所述第一和第二密钥。
8. 根据权利要求1所述的方法,其中所述认证挑战包含随机数作为参数,且由所述移 动终端中的订户识别模块使用所述随机数和存储在所述订户识别模块中的预共用 秘密密钥来产生用以计算所述认证响应中的所述第一参数的第一密钥。
9. 根据权利要求8所述的方法,其中基于存储在所述移动终端外部的所述预共用秘密 密钥的副本和所述认证挑战中的所述随机数来产生提供给所述自启动服务器功能 的第二密钥。
10. 根据权利要求1所述的方法,其中所述认证响应的所述第一参数包含消息认证码, 所述自启动服务器功能使用所述消息认证码来核实所述认证响应的起源。
11. 根据权利要求l所述的方法,其进一步包括在所述自启动服务器功能处基于所述第二密钥计算第四密钥,其中还由所述移动 终端使用所述第一密钥独立计算所述第二密钥;以及将所述第四密钥从所述自启动服务器功能发送到请求的网络应用功能,使得所述 移动终端和网络应用功能共用所述第四密钥以保证其之间的通信安全。
12. —种网络装置,其包括-通信接口,其用以与无线移动终端进行通信;以及处理电路,其耦合到所述通信接口,且经配置以实施自启动服务器功能,以通过 以下方式认证所述移动终端 产生包含随机数的认证挑战;将所述认证挑战发送到所述移动终端,其中所述移动终端可基于与所述自启动服 务器功能相关联的先前获得的自启动服务器证书来核实所述认证挑战的起源;从所述移动终端接收认证响应,所述认证响应包含用基于所述随机数、预共用秘 密密钥和算法的第一密钥计算的第一参数,其中所述移动终端中的订户识别模块和 在所述自启动服务器功能处基于由所述网络数据库提供给所述自启动服务器的 第二密钥而计算第二参数;以及将所述第一参数与所述第二参数进行比较,其中如果所述第一和第二参数相同, 则认为所述认证响应是源自所述移动终端。
13. 根据权利要求12所述的网络装置,其中所述订户识别模块是全球移动系统(GSM) 用户身份模块(SIM)或CDMA2000认证模块中的一者。
14. 根据权利要求12所述的网络装置,其中所述处理电路经配置以实施所述自启动服 务器功能,以通过以下方式认证所述移动终端在所述自启动服务器功能处基于所述第二密钥计算第四密钥,其中还在所述移动 终端处基于所述第一密钥独立计算所述第二密钥;以及将所述第四密钥从所述自启动服务器功能发送到请求的网络应用功能,使得所述 移动终端和网络应用功能共用所述第四密钥。
15. 根据权利要求12所述的网络装置,其中所述处理电路进一步经配置以实施所述自 启动服务器功能,以通过将所述认证响应中接收到的第一参数与由所述自启动服务 器功能计算的第一参数进行比较来认证所述移动终端,其中如果两个第一参数相 同,则认为所述认证响应是源自所述移动终端。
16. —种用于实施自启动服务器功能以认证传统移动终端的网络装置,其包括用于基于随机数产生认证挑战的装置;用于将所述认证挑战发送给所述移动终端的装置,其中所述移动终端可基于与所 述自启动服务器功能相关联的先前获得的自启动服务器证书来核实所述认证挑战 的起源;用于从所述移动终端接收认证响应的装置,所述认证响应包含基于由预共用秘密 密钥和所述随机数得到的第一密钥计算的第一参数;以及 用于确定所述认证响应是否源自所述移动终端的装置。
17. 根据权利要求16所述的网络装置,其中所述用于确定所述认证响应是否源自所述 移动终端的装置包含用以核实所述认证响应的所述第一参数的第二密钥,其中所 述第二密钥是从所述预共用秘密密钥和所述随机数以及在所述认证挑战和认证响 应内传输的其它参数得到的。
18. 根据权利要求17所述的网络装置,其进一步包括用于在所述自启动服务器功能处基于所述第二密钥计算第三密钥的装置,其中还 在所述移动终端处基于所述第一密钥计算所述第二密钥;以及用于将所述第三密钥从所述自启动服务器功能发送到请求的网络应用功能以使 得所述移动终端和网络应用功能共用所述第三密钥的装置。
19. 根据权利要求17所述的网络装置,其进一步包括用于在所述自启动服务器功能处基于所述第二密钥独立地计算第二参数的装置; 以及用于将所述第二参数与从认证响应接收到的所述第一参数进行比较以确定其是 否相同的装置。
20. —种用于认证传统移动终端以便与网络应用功能进行通信的方法,其包括在所述移动终端处接收包含随机数的认证挑战;基于与自启动服务器功能相关联的先前获得的自启动服务器证书而核实所述认 证挑战是否起源于所述自启动服务器功能处;以及基于由所述移动终端中的传统订户识别模块所产生的第一密钥而产生认证响应。
21. 根据权利要求20所述的方法,其进一步包括响应于接收到所述认证响应中接收到的所述随机数,将所述第一密钥从所述订户 识别模块提供到所述移动终端。
22. 根据权利要求20所述的方法,其进一步包括在所述订户识别模块处使用所述随机数、预共用秘密密钥和算法产生所述第一密 钥;其中所述预共用秘密密钥和算法均存储在所述订户识别模块和以通信方式耦合 到所述自启动服务器功能的网络数据库中。
23. 根据权利要求22所述的方法,其中使用在所述认证挑战和响应中传输的额外参数 产生所述第一密钥。
24. 根据权利要求20所述的方法,其进一步包括在所述移动终端处基于所述第一密钥计算第三密钥,其中还在所述自启动服务器 功能处基于由网络数据库提供给所述自启动服务器功能的第二密钥独立计算所述 第三密钥,其中将所述第三密钥从所述自启动服务器功能发送到请求的网络应用功 能,使得所述移动终端与网络应用功能共用所述第三密钥。
25. 根据权利要求20所述的方法,其中所述订户识别模块是全球移动系统(GSM)用 户身份模块(SIM)或CDMA2000认证模块中的一者。
26. —种移动终端,其包括无线通信接口,其用以与自启动服务器功能进行通信;以及处理电路,其经配置以操作传统通信协议,并通过以下方式用自启动服务器功能以挑战响应协议证实所述移动终端-从所述自启动服务器功能接收包含随机数的认证挑战,基于与所述自启动服务器功能相关联的先前获得的自启动服务器证书来确定所 述认证挑战是否源自所述自启动服务器功能,以及产生包含用第一密钥计算的第一参数的认证响应,其中所述第一密钥是由所述随 机数、预共用秘密密钥和算法产生的。
27. 根据权利要求26所述的移动终端,其中所述处理电路进一步经配置以产生基于所述第一密钥和在所述认证挑战和响应中传输的其它参数而得到的第 三密钥,以及 产生消息认证码,其中所述认证响应包含使用所述第三密钥计算的所述消息认证码。
28. 根据权利要求26所述的移动终端,其进一步包括耦合到所述处理电路的订户识别模块,所述订户识别模块用于存储所述预共用秘 密密钥和所述算法。
29. 根据权利要求28所述的移动终端,其中所述订户识别模块基于所述随机数、所述 预共用秘密密钥和所述算法而产生所述第一密钥。
30. 根据权利要求28所述的移动终端,其中所述订户识别模块是与所述全球移动系统(GSM)协议兼容的用户身份模块(SIM)。
31. 根据权利要求26所述的移动终端,其中所述预共用秘密密钥还用以允许所述移动 终端通过传统无线网络建立通信。
32. —种传统移动终端,其包括用于在所述移动终端处接收包含随机数的认证挑战的装置;用于通过使用与特定自启动服务器功能相关联的先前获得的自启动服务器证书 来确定所述认证挑战是否源自所述自启动服务器功能的装置;以及用于基于由所述移动终端中的订户识别模块产生的第一密钥对所述认证挑战产 生认证响应的装置。
33. 根据权利要求32所述的传统移动终端,其进一步包括用于基于所述订户识别模块中存储的预共用秘密密钥、所述认证挑战中接收到的 随机数、在所述认证挑战和响应中传输的其它参数来产生所述第一密钥的装置;以 及用于使用所述第一密钥计算消息认证码并将所述消息认证码包含在所述认证响 应中的装置。
全文摘要
提供一种用于与支持传统用户身份模块(例如,GSM SIM和CDMA2000 R-UIM,其不支持3G AKA机制)的移动终端就应用安全密钥安全地达成一致的相互认证方法。在自启动服务器功能(BSF)与移动终端(MT)之间实施挑战响应密钥交换。所述BSF产生认证挑战,并在经服务器认证的公共密钥机制下将其发送给所述MT。所述MT接收所述挑战,并基于自启动服务器证书确定其是否源自所述BSF。所述MT基于从所述认证挑战和预共用秘密密钥得到的密钥制定对所述认证挑战的响应。所述BSF接收所述认证响应并核实其是否源自所述MT。一旦经过核实,所述BSF和MT便独立地计算应用安全密钥,所述BSF将所述应用安全密钥发送给请求的网络应用功能以与所述MT建立安全的通信。
文档编号H04L29/06GK101147377SQ200680009662
公开日2008年3月19日 申请日期2006年2月3日 优先权日2005年2月4日
发明者格雷戈里·戈登·罗斯, 约翰·华莱士·纳谢尔斯基, 詹姆斯·森普尔 申请人:高通股份有限公司