演进网络中的应用特定的主密钥选择的制作方法

专利名称：演进网络中的应用特定的主密钥选择的制作方法
技术领域：
本发明涉及通过诸如电信网络等网络发送的信息的认证和安全性。
背景技术：
许多网络具有向网络认证用户终端和向用户终端认证网络的过程。典型地，认证 过程涉及使用存储在预定位置(如认证中心(AuC))和用户终端的事先共享的密钥。在认 证过程中使用的其他参数一般是根据该密钥导出的。使用密钥进行认证涉及密钥管理活动。针对某些网络的密钥管理一般基于公知的 机制，如认证和密钥协商(AKA)机制。在AKA过程期间，从认证中心(AuC)获得/传送具有 要由用户终端确认的参数的消息。这些参数在认证矢量(AV)中结合在一起。该认证矢量 (AV)的部分通过网络传送至用户终端。此时，用户终端必须执行某些计算，以回应该质询。 用户终端计算的结果被发送回去，并对照认证矢量(AV)进行检查。如果结果匹配，则认证 成功。如果结果不对，激活某些其他过程来纠正该问题。上述认证可以用在诸如电信网络等许多类型的网络中。在典型的蜂窝无线系统 中，无线用户终端(又称为移动台、移动终端和移动用户设备单元(UE))经由无线接入网 (RAN)与一个或多个核心网通信。用户终端可以是诸如移动电话(“蜂窝”电话)和具有移 动终端的膝上型计算机等移动台，因而可以是例如与无线接入网进行语音和/或数据通信 的便携式、袖珍式、手持式、计算机包含式、或车载移动设备。无线接入网(RAN)覆盖被划分为小区区域的地理区域，每个小区区域由基站(如 无线基站(RBS))提供服务，在某些网络中无线基站是所谓的“NodeB”或“B节点”。小区是 基站站点处的无线基站设备提供无线覆盖的地理区域。每个小区由在小区内广播的本地无 线区域内的唯一标识所标识。基站通过空中接口(例如射频)与基站范围内的用户终端通 信。在无线接入网中，典型地，多个基站连接至(例如通过陆地通信线路或微波)无线网络 控制器(RNC)。无线网络控制器有时被称为基站控制器(BSC)，监督并协调与其连接的多个 基站的各种活动。无线网络控制器典型地连接至一个或多个核心网。通用移动电信系统(UMTS)是由全球移动通信系统(GSM)演进而来的第三代移动 通信系统，意在提供基于宽带码分多址(WCDMA)接入技术的改进的移动通信服务。UMTS陆 地无线接入网(UTRAN)实质上是为用户设备单元(UE)提供宽带码分多址的无线接入网。第 三代伙伴计划(3GPP)已经着手进一步演进基于UTRAN和GSM的无线接入网技术。2GPP/3GPP网络的密钥管理以及IP多媒体子系统[IMS]网络一般基于公知 的UMTS或GSM机制，如前述认证和密钥协商(AKA)机制。参见例如，3rd Generat ion Partnership Project, “ 3GPP Technical Specification 3GPP TS 33. 102 V5. 1. 0 " Technical Specification Group Services and System Aspects；3G Security ；Security Architecture (Release 5)" “ , December 2002。甚至互联网工程任 务组/可扩展认证协议[IETF/EAP]的密钥管理也实质上使用AKA的变体(在基本AKA上 具有“薄垫层”)，从而对于EAP安全性属性基本相同。
在涉及无线接入网(RAN)的电信网络的AKA过程期间，从认证中心(AuC)获得/ 传送具有要由用户终端确认的参数的消息。这些参数在认证矢量(AV)中结合在一起。该 认证矢量(AV)被传送至核心网，核心网通过无线接入网将该认证矢量(AV)的部分分发至 用户终端。如前面所指出的，然后，用户终端必须执行某些计算以回应该质询。用户终端计 算的结果被发送回去，并对照其来源于的认证矢量(AV)进行检查。如果结果匹配，则认证 成功。如果结果不对，激活某些其他过程来纠正该问题。AKA型机制在近几年内并未发生很大的演进。在电信网络向考虑到固定-移动网 络的融合以及3GPP接入网(GERAN/UTRAN/LTE)与更多地基于IEEE/IETF的非3GPP接入网 (Wimax/1-WLAN/xDSL)的融合(或者至少集成)的全IP网络的当前演进中，安全性风险的 数量可能增加。但在该演进中的一个要求是与现有网络和机制的兼容性。这意味着，这些网 络(因此终端)也将能够利用AKA过程。如上所述，非3GPP接入可能已经采用了基于IETF EAP 框架的 AKA (EAP-AKA)。3GPP当前指定了“下一代”网络的标准，采用演进的UTRAN(EUTRAN)无线接入的演 进的分组系统(EPS)。这是简化的网络架构，需要享有至少与更复杂的GERAN/UTRAN架构相 同等级的安全性。除了如前段所述在接入层中使用AKA，还可以在应用或服务域中使用AKA，如一般 地在IMS域或在应用域中使用摘要AKA (又称IP多媒体子系统[IMS]AKA)。UICC(通用集成电路卡)是GSM和UMTS/EPS网络中的移动用户终端中使用的芯片 卡(例如智能卡)，并且涉及例如认证。在GSM网络中，UICC包含SIM应用，并且在UMTS/ EPS网络中，其是USIM应用。UICC可以包括多种应用，使得同一智能卡可以接入GSM和UMTS 网络。给定的UICC (通用集成电路卡)[UICC]具有两个选项(1)针对USIM和ISIM应用 使用不同的“Ki”密钥/凭证；以及⑵针对USIM和ISIM共享相同的Ki。然而，在该情况 下，对于USIM和ISIM，安全算法(密钥导出函数)必须是不同的。不幸的是，现有技术方法在允许何种基本“凭证”的方面通常是不灵活的。虽然EAP 框架通过定义所谓的“ΕΑΡ方法”添加了某些灵活性，当在给定客户端的不同方法之间切换 时没有灵活性(具有完全的安全性)。当为了不同目的重用相同凭证/密钥时也存在安全 性问题。某些方法(典型地“军用”情形下的智能卡部署)允许在相同的“智能卡”上存储 更大量的密钥，但典型地每个密钥捆绑至特定目的/应用。这意味着，由于攻击者知道每当 应用“X”运行时将反复使用相同的基本密钥，因此攻击者可以“摊销”其密码分析成本。在密码学中，公开密钥基础设施(PKI)是通过证书权威机构(CA)将公开密钥与分 别的用户标识绑定的配置。对于每个用户，在证书权威机构(CA)所发布的公开密钥认证 中，令用户标识、它们的绑定、有效性条件和其他属性是不可改变的。PKI密钥的典型威胁在于针对签名和认证重用相同的密钥(终端可能“认为”其正 在响应于认证质询，但实际上其正在对“文档”或“协定”进行签字/认可)。通常，针对签 名和认证使用分别指定的密钥，以缓解该问题(认证指定了密钥的“所允许的目的”)。因此，所需要的是，提高与AKA所使用的实际密钥有关的安全性从而将AKA进一步 强化为有效机制的其他方式。当网络融合(以及不同技术的融合)是普遍的共同特征时， 这一点尤其必要。

发明内容
在其多方面中的一方面，该技术涉及一种认证方法，包括向用户终端和归属网络 实体提供数量为N的多个主密钥构成的集合；以及当执行针对应用的认证密钥协商(AKA) 事务时，随机选择N个主密钥之一，作为在用户终端和归属网络实体处使用，以导出该应用 的其他密钥的主密钥。例如，当执行针对第一应用的认证密钥协商(AKA)事务时，该方法涉 及随机选择N个主密钥之一，作为在用户终端和归属网络实体处使用，以导出第一应用的 其他密钥的第一主密钥；但当执行针对另一应用的认证密钥协商(AKA)事务时，该方法涉 及选择N个主密钥中的另一主密钥，作为在用户终端和归属网络实体处使用，以导出另一 应用的其他密钥的主密钥。在示例实施例中，随机选择N个主密钥之一作为第一主密钥包括选择所述集合 中的密钥y，其中y= (RAND mod N)，其中RAND是用户终端和用户终端的归属网络实体都 知道的随机数，并且密钥是根据某一确定顺序配置的。选择N个主密钥中的另一主密钥作为用于其他应用的主密钥可以根据各种示例 实施例来实现。作为第一示例实施例，选择N个主密钥中的另一主密钥作为用于另一应用 的主密钥包括以预定顺序(如循环顺序)使用下一主密钥。作为另一示例实施例，选择N 个主密钥中的另一主密钥作为用于另一应用的主密钥包括选择所述集合中的密钥y’，其 中y’ = (RAND' mod N)，其中RAND’是用户终端和用户终端的归属网络实体都知道的随机 数，但f不对应于第一主密钥，并且RAND’不用于获得第一主密钥。作为又一示例实施例， 选择N个主密钥中的另一主密钥作为用于另一应用的主密钥包括选择经修正的集合中的 密钥y’，所述经修正的集合包括N-I个主密钥，所述主密钥的经修正的集合不包括针对第 一应用选择的第一主密钥，并且其中，y’ = (RAND' mod N_l)，RAND’是用户终端和用户终端 的归属网络实体都知道的随机数。优选地，RAND’不用于获得第一主密钥。因此，反之，在 大多数情况下，第一主密钥的选择是随机的，对另一应用的下一密钥的选择不是独立随机 的，这是由于第一密钥可能被标记为已用，从而第二密钥选择虽然可能在剩余集合中是随 机的，但对于密钥的整个集合而言不是随机的。在极端情况下，仅仅一个密钥可能保留为下 一应用的候选密钥。在其他情况下，可以部分依赖与诸如用户状态(如位置)等其他信息 来做出选择，用户状态不是随机因素。在另一示例实施例中，随机选择N个主密钥之一作为第一主密钥包括多种因素， 所述多种因素包括(1)用户终端和用户终端的归属网络实体都知道的随机数；以及(2)第 二因素。在不同实现中，第二因素可以是以下一个或多个(1)用户终端类型/标识；(2)接 入网类型；(3)用户终端位置；(4)第一应用的上下文信息。在又一示例实施例中，所述方法包括使用独特的第一算法集合来导出第一应用 的其他密钥；以及使用独特的第二算法集合来导出第二应用的其他密钥。在再一示例实施例中，所述方法包括当第一主密钥过期时，选择用于第一应用的 新的第一主密钥。在示例实现中，所述方法包括当第一主密钥的持续时间过期时，选择新 的第一主密钥；将所述持续时间表示为序列值，在该序列值后认证矢量不再有效；以及当 达到该序列值时，执行新的认证过程，以选择用于第一应用的新的第一主密钥。在再一示例实施例中，所述方法包括至少部分基于用户状态信息来选择新的第一主密钥。在示例实现中，用户状态信息包括以下至少一个(1)时间戳；(2)网络标识符； 和⑶用户位置。在再一示例实施例中，当不应使用主密钥中的一个可疑主密钥时，所述方法包括 随机产生替代主密钥；利用用户终端和归属网络实体都知道的超密钥对所述替代主密钥进 行加密；从归属网络实体向用户终端发送经加密的替代主密钥；以及在用户终端处，以所 述替代主密钥替代主密钥中的可疑主密钥。在示例实现中，所述网络是电信网络，所述用户终端是无线用户终端。在这样的实 现中，所述方法还包括通过无线接入网向无线用户终端提供所选择的认证矢量值，并且无 线用户终端使用所选择的认证矢量值来获得第一应用所使用的第一主密钥和其他密钥。在其多方面的另一方面中，该技术涉及一种在认证系统中操作使用的实体。该实 体包括主密钥存储器；应用特定的主密钥选择器；以及其他密钥发生器，被配置为使用应 用特定的主密钥所选择的主密钥来导出其他密钥。主密钥存储器被配置为，针对用户终端 存储数量为N的多个主密钥构成的集合。应用特定的主密钥选择器被配置为，针对用户终 端所执行的第一应用，随机选择N个主密钥中的第一主密钥，作为在用户终端和归属网络 实体处使用，以导出第一应用的其他密钥的主密钥，并针对由用户终端执行的另一应用，选 择N个主密钥中的另一主密钥，作为在用户终端和归属网络实体处使用，以导出另一应用 的其他密钥的主密钥。在示例实施例中，实体是位于电信系统的归属环境中的认证服务器。在另一示例 实施例中，实体是包括收发机的无线用户终端，所述收发机被配置为从电信系统的认证服 务器接收认证矢量的至少某些内容。在示例实现中，网络是电信网络，用户终端是至少部分通过无线接入网与归属网 络实体通信的无线用户终端。


通过以下对附图所示的优选实施例的更具体的描述，本发明的前述和其他目的、 特征及优势将显而易见，在各附图中，参考标记指代相同部件。附图不一定是按比例绘制 的，重点在于示意本发明的原理。图IA是示例网络的视图，所述网络包括根据示例说明性实施例的归属网络实体/ 认证服务器(AuC)中的AKA密钥发生器和用户终端的AKA密钥管理器。图IB是实现了图IA的实施例的特征的示例电信网络的视图。图2是示例电信网络的视图，并且还示出了在代表性认证和密钥协商(AKA)过程 执行的基本动作。图3是AKA密钥发生器的示例实施例的视图。图4是用户终端的AKA密钥管理器的示例实施例的视图。图5是示出了可以结合代表性AKA密钥产生过程执行的示例、基本动作或步骤的 流程图。图5A是示出了根据图5的代表性AKA密钥产生过程的可选示例实施例、可以结合 选择用于下一应用的主密钥执行的示例、基本动作或步骤的流程图。图5B是示出了根据图5的代表性AKA密钥产生过程的另一可选示例实施例、可以结合选择用于下一应用的主密钥执行的示例、基本动作或步骤的流程图。图5C是示出了根据图5的代表性AKA密钥产生过程的又一可选示例实施例、可以 结合选择用于下一应用的主密钥执行的示例、基本动作或步骤的流程图。图6是示出了可以结合针对密钥选择利用多因素的AKA密钥产生过程执行的所选 择的、示例、基本动作或步骤的流程图。图7是示出了根据用于密钥选择的第二因素的值来选择主密钥的适当集合的视 图。图8是示出了包括其他密钥发生器并且包括f函数的多个集合在内的AKA密钥发 生器的示例实施例的视图。图9是用户终端的AKA密钥管理器的示例实施例的视图，并且AKA密钥管理器包 括其他密钥发生器，其他密钥发生器包含f函数的多个集合。图10是示出了可以结合具有密钥更新特征的AKA密钥产生过程执行的示例、基本 动作或步骤的流程图。图11是示出了结合具有密钥替代操作的AKA密钥产生过程执行的示例、基本动作 或步骤的流程图。
具体实施例方式在以下描述中，为了说明而非限制的目的，记载了特定的细节，如特定架构、接口、 技术等，以提供对本发明的透彻理解。然而，对于所述领域技术人员显而易见，本发明可以 在背离这些特定细节的其他实施例中实现。即，所属领域技术人员能够设计出虽未在此处 明确描述或示出、但体现了本发明的原理并包含在其精神和范围内的各种配置。在某些实 例中，省去了对公知设备、电路和方法的详细描述，以免使对本发明的描述与不必要的细节 混淆。此处记载本发明原理、方案和实施例及其特定示例的所有陈述均意在涵盖其结构和 功能的等效。此外，这样的等效意在包括当前已知的等效和未来开发的等效，即无论结构如 何执行相同功能的开发出的任何元件。因此，例如，所属领域技术人员将意识到，此处的框图能够表示体现本技术原理的 说明性电路的概念视图。类似地，将意识到，任何流程图、状态转移图、伪代码等表示各种实 质上可以表示在计算机可读介质中从而由明确或未明确示出的计算机或处理器执行的各 种处理。包括被标记或描述为“处理器”或“控制器”在内的各种元件的功能可以通过使用 专用硬件以及能够与适当软件相关联地执行软件的硬件来提供。当由处理器提供时，功能 可以由单个专用处理器、单个共享处理器、或其中某些可以是共享或分布式的多个独立处 理器来提供。此外，术语“处理器”或“控制器”的明确使用不应被理解为专门指能够执行 软件的硬件，相反可以不受限制地包括数字信号处理器(DSP)硬件、用于存储软件的只读 存储器(ROM)、随机存取存储器(RAM)和非易失性存储。图IA示出了包含认证操作的通用网络10。网络10包括通过链路12与多个用户 终端通信的归属网络实体/认证服务器(AuC) 11，图IA中示出了一个这样的用户终端13。 归属网络实体/认证服务器(AuC) 11提供多个用户终端的认证功能，所述多个用户终端共 享相同或相似的归属环境。归属网络实体/认证服务器(AuC) 11保持每个用户的认证、加密和完整性所需的所有数据。归属网络实体/认证服务器(AuC) 11包括AKA密钥发生器14(40)及其未示出的 构成功能中的其他功能。如图IA所示，AKA密钥发生器14包括AuC主密钥存储器15 ；AuC 应用特定的主密钥选择器16 ；以及AuC其他密钥发生器17。如以下针对不同实施例和实 现更详细地解释和说明的那样，AuC主密钥存储器15针对用户终端(如用户终端13)存储 数量为N的多个主密钥构成的集合。对于用户终端13所执行的每个应用，AuC应用特定的 主密钥选择器16随机选择N个主密钥中不同的(例如统计上独一无二的)一个作为主密 钥。AuC其他密钥发生器17接着使用针对该应用所选择的主密钥来导出与该应用一起使用 的其他密钥，如数据保护密钥。换言之，对于由用户终端13执行的第一应用，AuC应用特定 的主密钥选择器16选择N个主密钥中的第一主密钥作为主密钥，由用户终端13和归属网 络实体34使用该主密钥来导出第一应用的其他密钥，但对于由用户终端13执行的另一应 用，AuC应用特定的主密钥发生器16选择(例如伪随机地)N个主密钥中的另一(例如不 同的)主密钥作为主密钥，由用户终端和归属网络实体使用该主密钥来导出第二应用的其 他密钥。以类似的方式，用户终端13包括AKA密钥管理器18。对于用户终端13，AKA密钥 管理器18同样包括诸如终端主密钥存储器19 ；终端应用特定的主密钥选择器20 ；以及终 端其他密钥发生器21等类似功能。由于图1 一般化地示意了网络10，链路12可以采用许多不同的形式。例如，链路 12可以包括硬线链路、射频链路或光学链路等中的一个或多个。链路12的特性取决于作 为归属网络实体/认证服务器(AuC)Il的网络和用户终端13的类型。作为一种非限制的 示例实现，图IB示出了示例电信网络10T，其他核心网22通过Iu接口连接至无线接入网 24。虽未在图IB中如此示出，但将意识到，核心网22可以包括电路交换(CS)域和分组交 换(PS)域以及运营商的骨干网。PS域通过与互联网和其他数据网络的连接为用户提供数 据服务，CS域向其他电话网络提供“标准”电话服务。CN中的节点通过运营商的骨干互联， 典型地通过高速网络技术(如ATM)来连接。在核心网22中，分组交换(PS)域可以包括服务GPRS支撑节点(SGSN)节点和网关 GPRS支撑节点(GGSN)节点。服务GPRS支撑节点(SGSN)通过Iu PS接口连接至无线接入 网24(如UTRAN)并通过Gn接口连接至GGSN。SGSN负责订户的所有分组交换连接。其保持 订户数据(如，国际移动订户标识(IMSI)；临时标识(P-TMSI地址)；分组数据协议(PDP) 地址)，订阅信息和位置信息(如订户的路由区；VLR号；具有活动连接的每个GGSN的GGSN 地址)。网关GPRS支撑节点(GGSN)与其他数据网络互联。所有数据通信经过订户和外部 网络之间的GGSN。对于SGSN，其保持两种类型的数据，订户信息(例如国际移动订户标识 (IMSI)；分组数据协议(PDP)地址)和位置信息(例如订户所连接至的当前SGSN的地址)。 GGSN通过Gi接口连接至互联网，并通过Gp接口连接至边界网管。在核心网22中，电路交换(CS)域可以包括连接至网关MSC(GMSC)的移动交换中 心(MSC)/访问位置寄存器(VLR)。访问位置寄存器(VLR)是订户的归属位置寄存器的服 务网络“副本”。从HLR复制向订户提供其服务所需的订户数据，并将其存储在此。MSC和 SGSN具有连接至它们的VLR。在VLR中存储以下数据国际移动订户标识(IMSI)；移动台国际ISDN号(MSISDN)；临时移动订户标识(TMSI)(如果存在的话)；订户的当前位置区(LA)； 以及订户连接至的当前SGNS节点。在图IB中所示的非限制示例中，无线接入网24包括一个或多个无线网络控制器 (RNC)节点26和一个或多个基站节点28，如Node_B或B-Node。无线接入网24的基站节点 28通过Uu无线接口与无线终端通信，无线终端通信的一个示例是用户终端13。在WCDMA 文献中以及此处，无线用户终端13还被称为“用户设备单元”或“UE”。当意识到的是，典 型地，无线接入网24包括多个无线网络控制器(RNC)节点26，每个无线网络控制器(RNC) 节点26 —般地服务于多于一个的基站节点28。此外，无线网络控制器(RNC)节点26可以 通过Iur接口彼此连接。另外，在诸如EPS和WCDMA的长期演进(LTE)版本所包含的某些 示例实施例中，无线基站节点28直接连接至核心网而不是连接至无线网络控制器(RNC)节 点。在EPS/LTE中，一般地，由无线基站节点执行无线网络控制器(RNC)节点的功能。如此， 在LTE版本中，LTE系统的无线接入网(RAN)具有实质上“平坦的”架构，该架构包括无线基 站节点，而不向无线网络控制器(RNC)节点报告。本技术完全能够实现在无线接入网24的 LTE和非LTE (例如部署了 RNC)版本中。在3GPP TS 23. 401和23. 402中对EPS/LTE进行 了更详细地描述，3GPP TS 23. 401和23. 402被完整地并于于此作为操作。如图IB进一步示出的，电信网络IOT可以连接至外部网络32和被称为用户终端 13的归属环境34的设备或工具。虽然未详细示出，但众所周知，外部网络32包括IP互联 网、其他运营商网络、和陆上通信线系统，如PLMN、PSTN和ISDN。归属环境(HE) 34包括例如 保持运营商的订户的服务简档的服务器和/或其他设备。其还向订户提供服务网络和对用 户进行认证并针对所提供的服务向用户收费所需的收费信息。在归属环境34中列出了所 提供的服务和所阻塞的服务。在图IB中所示的非限制示例中，特定无线终端(例如用户终 端13)的归属环境34被示为包括归属位置寄存器(HLR) 36和适于电信网络IOT的版本的 归属网络实体11。例如，归属网络实体/认证服务器(AuC) 11能够采用AAA服务器、HLR/ AUC服务器、HSS或PKI-服务器的形式。为了方便，此处归属网络实体11还被称为认证服 务器(AuC)Il或归属网络实体/认证服务器(AuC)ll。归属位置寄存器(HLR) 36和归属网 络实体/认证服务器(AuC) 11是两个逻辑网络节点，但如图IB所示的情况下，归属位置寄 存器(HLR) 36和归属网络实体/认证服务器(AuC) 11通常实现于相同的物理节点。归属位置寄存器(HLR) 36是负责管理移动订户的数据库。根据每个HLR的容量以 及网络的内部组织，移动网络可由许多HLR构成。数据库包括国际移动订户标识、至少一 个移动订户ISDN号(MSISDN)以及至少一个分组数据协议(PDP)地址。IMSI和MSISDN号 都可以用作访问所存储的其他信息的密钥。为了能够对呼叫进行路由和收费，HLR还保持 关于当前管理订户的SGSN和VLR的信息。还与服务限制(如漫游限制)一起列入了其他 所提供的服务，如呼叫转发、数据速率和语音邮件。用户终端13的AKA密钥管理器可以包括或被实现为标识模块58。标识模块58可 以采用由用户终端13的处理器60执行的软件的形式，或包括在用户终端13中的硬件。可 选地，并且如图IB的非限制示例实现所示，标识模块58可由诸如UICC(通用集成电路卡) 等集成电路卡/芯片来实现。UICC (通用集成电路卡)是使用在GSM和UMTS网络中的移动 用户终端中的芯片卡(如智能卡)并且涉及例如认证。在GSM网络中，UICC包含SIM应用， SIM应用保持硬编码在卡上的个人(订阅)信息。在UMTS网络中，UICC包含包括UMTS订
11内的USIM应用。UICC允许为了其他目的将更多的应用和/或密钥/电子签 名(如安全银行交易访问码)与USIM—起存储在UICC上。其还提供了在相同UICC具有 多个USIM，从而提供接入多个网络的机会。标识模块58典型地包括CPU、ROM、RAM、EEPROM 和I/O电路。标识模块58通过接口 Cu与其主机用户终端13通信。用户终端13还包括处理器或控制器(如此处扩展详述的那些术语)，如图IB中的 处理器60。标识模块58和处理器60典型地还用于(单独和/或同时)执行存储在适当存 储器或介质上(或标识模块58上)的应用62。本技术的特别的优势在于，可以执行不同的 应用，并且每个应用提供不同的主密钥用于认证目的。为此，图IB示出了多个应用62，如应 用62i至应用62Jt)除了可以包括AKA密钥管理器18并且可以执行应用62的处理器60外，用户终端 13典型地包括多种其他功能，这些功能中的某些或全部也可由处理器60来实现。此外，图 IB中的无线用户终端13包括收发机66，收发机66便于通过Uu接口与基站节点28进行上 行链路和下行链路无线通信中的一个或两个。因此，作为其多方面中的一个，该技术涉及与网络其他操作使用的实体。在示例实 施例中，网络可以是电信网络或系统。在其所实现于的无论何种类型的网络或系统中，实体 包括主密钥存储器；应用特定的主密钥选择器；以及其他密钥发生器，被配置为用于使用 应用特定的主密钥所选择的主密钥来导出其他密钥。如此处所使用的，实体可以是认证服 务器(如位于利用归属环境中的归属网络实体/认证服务器(AuC)Il)[或某些实质上等效 的单元]，或者从相应的归属网络实体/认证服务器(AuC) 11接收认证矢量的无线用户终端 13。图2示出了代表性认证和密钥协商(AKA)过程的示例主要动作，用于为此处描述 的其他技术方面提供上下文。图2中的代表性认证和密钥协商(AKA)过程的这些主要动 作主要在图IB的电信网络IOT的上下文中进行讨论。然而，应当理解，该技术不限于或电 信网络而可应用于一般的网络。因此，图IB的电信上下文中的图2的代表性认证和密钥协 商(AKA)过程的主要动作主要涉及标识模块58、SGSN/VLR和归属网络实体/认证服务器 (AuC) 11。认证和密钥协商由订户所连接至的特定VLR/SGSN管理。VLR/SGSN负责认证和密钥协商。因此，VLR/SGSN通过向HLR发送“认证数据请 求”来起始过程。图2的代表性认证和密钥协商(AKA)过程的动作2-1示出了 VLR/SGSN， VLR/SGSN负责用户终端13向订户的归属位置寄存器36发送“认证数据请求(IMSI) ”。如 动作2-2，归属位置寄存器(HLR) 36定位订户数据存储在其上的归属网络实体/认证服务器 (AuC) 11，并向该中心要求认证矢量的集合(AVi、AV2、…AVn)。如果归属网络实体/认证服务器(AuC)Il存储了订户的认证矢量，则其回复认 证矢量中的一个或多个，或者其产生认证矢量。典型地，一次返回多个认证矢量(多达5 个)，但如果AuC上的当前负载较高，则其可能仅返回一个。当处理负载下降时将产生并将 为了未来的查询而准备好更多的AV。因此，动作2-3反映了归属网络实体/认证服务器 (AuC) 11产生认证矢量的集合(AVi、AV2、-AVn)；动作2_4描绘了归属网络实体/认证服务 器(AuC)Il向归属位置寄存器36发送认证矢量的集合(AVi、AV2、…AVn)。动作2-5涉及归属位置寄存器(HLR)36以包括由归属网络实体/认证服务器 (AuC) 11产生的认证矢量集合(AVi、AV2、…AVn)在内的“认证数据响应(AW…AVn)”
12对动作2-1做出应答。当接收到来自归属位置寄存器(HLR)36的“认证数据响应(AVpAV2、…AVn)”时， 如动作2-6，SGSN/VLR在其数据库中存储认证矢量的集合H…AVn)，并选择认证矢 量之一(典型地，第一个认证矢量)作为要使用的认证矢量AV(i)。如动作2-7，VLR/SGSN 向标识模块58发送包括从所选的认证矢量获得的两个参数RAND(i) Il AUTN(i)在内的“用 户认证请求”，通过无线接入网24(如通过基站节点28和向/通过用户终端13)发送这些 值。当接收到来自VLR/SGSN的“用户认证请求(RAND⑴|| AUTN(i)) ”时，用户终端13 的标识模块58 (在一个示例实现中，在UICC [通用集成电路卡]中)验证认证令牌，以对归 属网络进行认证。这是通过间接地示出知道密钥来实现的。网络认证是一次消息流中双向 认证的第一部分。接着，标识模块58产生要发送回到VLR/SGSN的响应。因此，图2的动作 2-8示出标识模块5验证AUTN(i)并计算用户响应值RES (i)。接着，如动作2_9，标识模块 58向VLR/SGSN发送回“用户认证响应(RESQ)) ”。如动作2-10，SGSN/VLR将所接收的用户响应值RES(i)与其自身存储的XRES (i) 进行比较，以对用户进行认证。如果RES(i)和所存储的XRES(i)相等，则网络已认证该订 户。接着，VLR/SGSN从相同的AV(AV(i))得到密码和完整性密钥，并且如动作2-11向当前 保持订户的RNC发送密码和完整性密钥。接着，使用这些密码和完整性密钥来对通信进行 加密并对消息进行完整性检查。如动作2-12，标识模块58使用所接收的RAND (i) || AUTN(i)值来产生密码和完整 性密钥CK和IK。此外，VLR/SGSN获取当前AV的CK和IK。图3示出了 AKA密钥发生器14的示例非限制实施例。AKA密钥发生器14包括 AKA主密钥发生器70 ；AKA密钥发生控制器72 ；SQN发生器74 ；随机数RAND发生器76 ；以及 前述AuC其他密钥发生器17。AKA主密钥发生器70包括前述AuC主密钥存储器15和AuC 应用特定的主密钥选择器16。具体地，参照对包括传统的认证和密钥协商(AKA)在内的密码函数和算法的集合 以及表1的描述来理解AuC其他密钥发生器17的结构和操作。图3示出了在AuC其他密 钥发生器17中涉及这些函数中的5个函数函数fl至f5。表 1AKA函数及其输出函数描述输出f0随机质询产生函数RANDfl网络认证函数MAC-A/XMAC-Afl*再同步消息认证函 数MAC-S/XMAC-Sf2用户认证函数RES/XRESβ密码密钥导出函数CKf4完整性密钥导出函数IKf5匿名密钥导出函数AKf5*用于再同步消息函数 的匿名密钥导出函数AKf8机密函数<加密数据>f9完整性校验和产生函 数MAC-I/XMAC-I返回到图3的AKA密钥发生器14，SQN发生器74被连接以将其SQN值提供给AuC 应用特定的主密钥选择器16和AuC其他密钥发生器17的函数Π。RAND发生器76被连接 以将其随机数RAND提供给AuC应用特定的主密钥选择器16和包括AuC其他密钥发生器17 在内的函数fl至f5中的每一个。fl还接收AMF参数。当产生新认证矢量时，归属网络实体/认证服务器(AuC)Il读取所存储的序列号 SQNhe的值，然后产生新的SQN(SQNHE的后续整数)和随机质询RAND。与所存储的认证矢量、 密钥管理字段和事先共享的密钥一起，准备好这四个输入参数以供使用。函数使用这些输入并产生消息认证码、MAC-A、预期结果、X-RES、密码密钥(CK)、完 整性密钥(IK)和匿名密钥(AK)的值。利用SQN AK、AMF和MAC，可以生成认证令牌AUTN。 AUTN包括这三个参数的级联(SQN AK、AMF和MAC)。图4示出了 AKA密钥管理器18的示例非限制实施例，AKA密钥管理器18典型地位 于标识模块58中(例如在示例实现中在通用集成电路卡中)。AKA密钥管理器18包括终 端主密钥发生器80和前述终端其他密钥发生器21。AKA主密钥发生器80包括前述终端主 密钥存储器19和终端应用特定的主密钥选择器20。终端其他密钥发生器21包括函数fl 至f5以及XOR门83。AKA密钥管理器18仅需要以下四个参数来产生其输出密钥其事先共享的秘密密 钥(K)以及其从归属网络实体/认证服务器(AuC) 11经由RAND (i) Il AUTN(i)值接收的三个 参数。当AKA密钥管理器18接收到(RAND Il AUTN)对时，AKA密钥管理器18通过对所接收 的RAND和K应用函数f5来产生匿名密钥(AK)。通过将AK与来自认证令牌的(SQN AK) 进行异或，来获得序列号(SQNhe)。接着，将密钥K与所接收的AMF、SQN和RAND (i)参数一起使用，来产生预期消息认证码(XMAC-A)。接着，将其与MAC-A比较。如果X-MAC和MAC匹 配，AKA密钥管理器18可以认证，起源自其归属环境(从而连接至可靠服务网络)中的消 息(RAND Il AUTN对)和密钥产生函数可以继续。图5示出了可以结合本技术的代表性AKA密钥产生过程执行的示例、基本动作或 步骤。AKA密钥产生过程有利地用于，每当AKA针对任意应用运行时，选择新的(可能是唯 一的)主密钥。为了在AKA密钥产生过程中引入这样的较高的安全性和较大的灵活性，向 端用户分配(例如事先分配)N个Ki主密钥。这些密钥存在于用户设备(终端、USIM/ISIM 卡或智能卡)上和用户的归属网络中专门的认证服务器中。例如，可以在标识模块58的主 密钥存储器19中以及认证服务器11的AuC主密钥存储器15中存储N个主密钥。通过示 例术语，分配给端用户的主密钥的范围是[Ki_l、Ki_2 "、Ki_n]。如此处所解释的，可以根 据这些主密钥中的任一个导出诸如Ck和Ik (在AKA中)等后续密钥。图5的动作5-1描绘了 AKA密钥产生过程的起始或初始。假定AKA密钥产生过程 的起始与第一应用(例如应用62》的执行在无线终端13处一起发生。因此，直至并且包括 动作5-6的图5的动作与第一应用62i的认证(例如获得认证密钥)相关。这样的起始动 作5-1可以包括例如图2的认证和密钥协商(AKA)过程的动作2-1至2-2。此外，在该点， 假设已向无线终端13和用户终端的归属网络实体/认证服务器(AuC) 11提供和/或由无 线终端13和用户终端的归属网络实体/认证服务器(AuC) 11存储了数量为N的多个主密 钥构成的集合，例如分别向终端主密钥存储器19和AuC主密钥存储器15提供。AKA密钥产生过程的动作5-2包括产生随机数RAND。随机数RAND由网络认证服 务器(如归属网络实体/认证服务器(AuC)Il)产生。在所示的示例实施例中，优选地，随 机数RAND是由AKA密钥发生器14的RAND发生器76产生的。随机数RAND被应用于例如 AuC应用特定的主密钥发生器16。AKA密钥产生过程的动作5-3包括由AuC应用特定的主密钥发生器16计算模函 数y = (RAND mod N)。该计算的结果(即，“y”的值)是针对第一应用62i选择的数量为N 的多个主密钥之一的排序和位置。根据模函数，用户的主密钥范围中的所选位置被计算为 y = (RAND mod N)。因此，如动作5-4所描绘的，从[Ki_0、Ki_l...、Ki_N_l]中选择的密钥 将位于位置y，即Ki_y。例如，如果模函数的评估y = (RAND mod N)导致值为3的y，那么 将集合[ια_0、ια_ι···、ια_Ν-ι]中的第四个主密钥选为用于第一应用62i的主密钥。此处， 针对第一应用62i选择的第一主密钥被表示为第一主密钥Ki_y。动作5-5包括使用第一主密钥Ki_y来导出第一应用62i的其他认证密钥，包括 密码密钥(CK)和完整性密钥(IK)。这些其他密钥由AuC其他密钥发生器17以已知方式产生。归属网络实体/认证服务器(AuC) 11以例如之前参照图2的动作2_3描述的那样 的方式产生认证矢量。这样的认证矢量(AV)被通信至SGSN/VLR，SGSN/VLR(如之前解释 的)选择这些矢量之一用于第一应用，并接着以诸如动作2-7所描绘的那样的方式向标识 模块58发送矢量参数RAND(i) IIAUTN(I)0因此，动作5_6涉及将所选择的认证矢量(AV) 的参数(如RAND⑴Il AUTN⑴)通信至标识模块58。当接收到所选择的认证矢量(AV)的参数(如RAND⑴|| AUTN(i))时，无线终端13 的标识模块58计算用于第一应用的第一主密钥，并使用第一主密钥来导出第一应用的其他密钥(例如CK和IK密钥)。图5的动作5-7描绘了标识模块58获得用于第一应用的第 一主密钥以及其他密钥。标识模块58实际上以与归属网络实体/认证服务器(AuC) 11相 同的方式获得第一主密钥计算模函数y= (RAND mod N)。用于模函数计算的RAND值是 从所选择的认证矢量(AV)获得的，并且多个主密钥的集合[ια_0、ια_ι···、ια_Ν-ι]存储在 终端主密钥存储器19中。因此，如动作5-7，标识模块58可以执行实质上与动作5-3和动 作5-4相同的动作，以获得用于第一应用的第一主密钥，然后可以执行与动作5-5可比的动 作，以获得第一应用的其他密钥。AKA密钥产生过程可以在此处停止。但考虑到可能并且典型地存在运行在用户终 端上并且利用认证和密钥协商(AKA)的多于一个的应用，用户终端和网络避免重用当前所 选择的主密钥可能是有利的。虽然不是对于任意实施例强制的，针对每个应用使用唯一主 密钥的可选优势有许多，包括(例如)(a) 一个应用或域或会话中使用的导出密钥不受在不同应用/域中有相同用户终 端或用户使用的被盗密钥的影响。例如，如果未授权方获得了用户终端针对IMS应用正在 使用的Ck和Ik，原则上，这不应破坏有相同用户终端针对GSM或UMTS电路交换呼叫使用的 导出的其他密钥(如密钥Ck’和Ik’ )。(b)由于每个后续激活的应用或域将使用根据在任意时刻仅仅由一个应用或域正 在使用的特定Ki_y导出的其新密钥，减少了可能的认证矢量同步或序列化问题。当前，这 样的认证矢量同步或序列化问题可能发生。根据前述内容，应当理解的是，此处所述的技术包含确定每一应用或域或会话的 主密钥。换言之，如此处所使用的，确定用于第一应用的第一主密钥然后确定用于另一应用 的另一主密钥意在涵盖，确定用于第一域的第一主密钥然后确定用于另一域的另一主密钥 的实质上相同的过程。例如，如果在第一域和第二域中执行相同的应用，针对第一域确定第 一主密钥，并针对第二域确定第二(优选不同的)主密钥。此外，如此处所使用的，确定用 于另一应用的另一主密钥包含针对与第一应用相同的应用的不同会话确定另一主密钥。因 此，每当此处提到另一或下一应用时，都意在还涵盖针对在另一域中执行相同或另一应用、 针对在相同或另一域中执行相同应用的另一会话确定密钥。因此，鉴于多于一个的应用在 或将在用户终端上运行并利用认证和密钥协商(AKA)的可能性，如动作5-8，AKA密钥产生 过程检查是否在无线终端13处指定的另一应用也需要认证。如果不需要，AKA密钥产生过 程周期性的进行监控，或者可以在对另一应用的认证有必要时进行提示。如果另一应用确 实需要授权，在对不同应用的认证过程中可以需要选择不同的主密钥，如动作5-9所描绘 的那样。动作5-9的执行(选择用于其他应用的其他主密钥)可以采用多种方式。图5A、 图5B和图5C中的每一幅表示或对应于用于执行动作5-9 (例如选择用于其他应用的其他 主密钥)的可选实施例或模式。图5A示出了可由AKA密钥发生器14根据另一示例实施例结合图5的动作5_9的 执行或实现执行的示例步骤或子动作，以获得用于下一应用的主密钥和其他密钥。如子动 作5-9A-1，将被选择为用于第一应用的主密钥的密钥(即Ki_y)标记为正在使用(从而无 法被其他应用/域所使用)。接着，如子动作5-9A-2，AuC应用特定的主密钥选择器16选 择集合中的下一密钥，用作用于下一应用的下一主密钥。例如，如果根据图5中的动作5-3至动作5-6，第一主密钥Ki_y占据主密钥集合[Κ _0、 α_1···、 α_Ν-1]中的第y个位置，作 为一示例实现，用于第二应用的第二主密钥可以占据集合[Ki_0、Ki_l···、Ki_N-l]中的第 (y+1)个位置。在这样的实现中，下一主密钥将是密钥Ki_y+1。反之，在该示例实现中确定 下一位置是简单地递增位置号或顺序，也可以使用任何其他预定的选择逻辑。此外，由于 可以针对第二、第三甚至其他应用执行图5A的动作，因此就动作涉及“下一”应用的意义而 言，下一位置将一般地指位置r，与位置r相对应的所选择的下一主密钥将被称为主密钥 Ki_y，。因此，如以上所解释的，子动作5-9A-2涉及使用预定义规则(例如递增先前选择 的密钥的位置顺序或对其进行其他数学操作)从集合中选择下一主密钥。本实施例不限于 任何特定的预定规则。在递增实现中，下一主密钥通称为密钥Ki_y’。图5A的例程的子动作5-9A-3涉及使用下一主密钥Ki_y’来导出下一应用的其他 密钥。这样的其他密钥(如CK和IK密钥)是由AuC其他密钥发生器17以先前解释的方 式导出的。在认证和密钥协商(AKA)过程的过程中，如子动作5-9A-4所指示的，向用户终 端13的标识模块58发送SGSN所选择的认证矢量(AV)的AUTN和RAND值。然而，用户终 端13无需使用认证矢量信息来选择用于下一应用的主密钥。相反，如子动作5-9A-5所指示 的，用户终端13的用户终端应用特定的主密钥选择器20应用预定规则作为标准，选择集合 [Κ _0、Κ _Ρ··、 α_Ν-1]中适当排序的密钥。因此，已知先前主密钥在集合中具有位置y，并 且已知示例实现的预定规则是递增位置顺序，如子动作5-9A-5，用户终端应用特定的主密 钥选择器20选择y+Ι位置的密钥，如密钥Ki_y+1用于第二应用(通称为密钥Ki_y’)。此 外，如子动作5-9A-5的一部分，用户终端13的终端其他密钥发生器21使用刚确定的主密 钥Ki_y’来导出下一应用所使用的其他密钥。其他密钥的导出可以利用子动作5-9A-4接 收的认证矢量中包括的信息。如子动作5-9A-6，AKA密钥产生过程标记所使用的刚分配的主密钥，使得由该最 近的对图5A例程的执行所分配的主密钥对于其他应用或域是不可用的。接着，如子动作 5-9A-7，AKA密钥产生过程查看在无线终端13处执行的另一应用是否需要认证。如果不需 要，AKA密钥产生过程周期性的进行监控，或者可以在对另一应用的认证有必要时进行提 示。如果另一应用确实授权，针对另一应用重复图5A的密钥选择例程。图5B示出了可由AKA密钥发生器14根据另一示例实施例并结合图5的动作5_9 的执行或实现执行的示例步骤或子动作，以获得用于下一应用的主密钥和其他密钥。如可 选子动作5-9B-1，将被选择为用于第一应用的主密钥的密钥(即Ki_y)标记为正在使用 (从而无法被其他应用/域所使用)。接着，如子动作5-9B-2，AuC应用特定的主密钥选择 器16通过减小先前值N来计算新值N’，即N’ =N-I0将回顾到N是存在于存储在AuC主 密钥存储器15和用户终端主密钥存储器19处的主密钥集合[ια_0、ια_ι···、ια_Ν-ι]中的 主密钥的数量。如可选子动作5-9Β-3，如果期望，AKA密钥产生过程可以产生新的RAND值。 然而，另外的主密钥产生的该第二实施例的区别方面在于，如子动作5-9Β-4中描绘的计算 新的位置值y’。特别地，如子动作5-9B-4，AKA密钥产生过程将下一应用的新位置值y’计 算为y’ =RAND模N’。鉴于N’的值此时不同于先前使用的值N，计算y’的模算子是不同 的，因此如子动作5-9B-4计算出新的位置顺序y’。因此，采用以如子动作5-9B-4计算出 的新位置顺序y’，如子动作5-9B-5选择新密钥密钥Ki_y’用于下一应用。可选地，可以使用被编码为与每个RAND相关的每个AUTN值的SQN序列号来实现类似的方法。例如，如果 与SQN= S相关的初始主密钥为Ki_y，那么与SQN = S’ 一起使用的主密钥将是Ki_y’，其 中 y，= (y+S，-S)mod N 等。图5B的例程的其余子动作与先前描述的动作实质上类似。例如，如子动作 5-9B-6，AKA密钥产生过程使用下一主密钥Ki_y’导出下一应用的其他认证密钥，包括密码 密钥(CK)和完整性密钥(IK)。这些其他密钥是由AuC其他密钥发生器17以公知方式产生 的。子动作5-9B-7涉及计算用于对用户终端13的下一应用的认证矢量AV，该计算实质上 以先前描述(并且例如参照图2的动作2-4至2-7理解)的方式实现。当接收到所选择的认证矢量(AV)的参数(例如RAND⑴|| AUTN⑴)时，如子动作 5-9B-8，无线终端13的标识模块58计算用于下一应用的下一主密钥，并使用下一主密钥来 导出下一应用的其他密钥(如CK和IK密钥)。标识模块58以与归属网络实体/认证服务 器(AuC) 11相同的方式获得下一主密钥计算模函数r = (RAND mod N’)。在一示例实现 中，用于模函数计算的RAND值是从所选择的认证矢量(AV)获得的。在另一模式下，可以通 过协调或预定协商，重用先前使用的RAND值。因此，如子动作5-9B-8，标识模块58可以执 行实质上与子动作5-9B-4和子动作5-9B-5相同的动作，以获得用于下一应用的下一主密 钥，然后可以执行与子动作5-9B-6可比的动作，以获得下一应用的其他密钥。如子动作5-9B-9，AKA密钥产生过程具有标记所使用的刚分配的主密钥的选项， 使得由该最近的对图5B例程的执行所分配的主密钥对于其他应用或域是不可用的。接着， 如子动作5-9B-10，AKA密钥产生过程查看在无线终端13处执行的另一应用是否需要认证。 如果不需要，AKA密钥产生过程周期性的进行监控，或者可以在对另一应用的认证有必要时 进行提示。如果另一应用确实授权，针对另一应用重复图5B的密钥选择例程。因此，图5B的例程实质上涉及重复图5的例程，但用户终端13和归属网络实体/ 认证服务器(AuC) 11都产生新RAND值(RAND’)。如果所选择的位置f产生了被标记为不 可用的主密钥，则需要重复该处理，直到返回非标记主密钥。每次重复需要在归属网络实体 /认证服务器(AuC) 11中产生的新的RAND值(RAND’ )。图5C示出了可由AKA密钥发生器14根据另一示例实施例并结合图5的动作5_9 的执行或实现而执行的示例步骤或子动作，以获得用于下一应用的主密钥和其他密钥。如 子动作5-9C-1，将被选择为用于第一应用的主密钥的密钥(即Ki_y)标记或加标签为正在 使用(从而无法被其他应用/域所使用)。接着，如子动作5-9C-2，AKA密钥产生过程提示 AKA密钥发生器14的RAND发生器76产生不同于第一应用的RAND’值的新的RAND’值(即 用于下一应用的RAND’值)。接着，如子动作5-9C-3，AuC应用特定的主密钥选择器16计算 用于下一应用的新的位置值y’，作为y’ = RAND’模N。如子动作5-9C-3，计算新的位置顺 序y’。如子动作5-9C-4，AKA密钥产生过程检查子动作5-9C-3所计算的新的位置顺序f 是否与集合中先前或其他标记的密钥值相同，例如是否y’ = y或y与任何先前使用并标记 的主密钥的任何位置顺序相同。如果子动作5-9C-4的检查是肯定的，例如如果新位置顺序 y’先前已被使用，执行返回子动作5-9C-2，以产生用于下一应用的另一 RAND’值。如果子 动作5-9C-4的检查是否定的，图5C例程的执行继续子动作5-9C-5，子动作5-9C-5包括使 用新的位置顺序f来选择用于下一应用的新密钥Ki_y’。图5C的例程的其余子动作与先前描述的动作实质上类似。例如，如子动作5-9C-6，AKA密钥产生过程使用下一主密钥Ki_y’导出下一应用的其他认证密钥，包括密码 密钥(CK)和完整性密钥(IK)。这些其他密钥是由AuC其他密钥发生器17以公知方式产生 的。子动作5-9C-7涉及计算用于对用户终端13的下一应用的认证矢量AV，该计算实质上 以先前描述(并且例如参照图2的动作2-4至2-7理解)的方式实现。当接收到所选择的认证矢量(AV)的参数(例如RAND (i) || AUTN(i))时，如子动作 5-9C-8，无线终端13的标识模块58计算用于下一应用的下一主密钥，并使用下一主密钥来 导出下一应用的其他密钥(如CK和IK密钥)。标识模块58以与归属网络实体/认证服务 器(AuC) 11相同的方式获得下一主密钥计算模函数r = (RAND'mod N)。因此，如子动作 5-9C-8，标识模块58可以执行与子动作5-9C-3和子动作5-9C-5实质相同的动作，以获得 用于下一应用的下一主密钥，然后可以执行与子动作5-9C-6可比的动作，以获得下一应用 的其他密钥。如子动作5-9C-9，图5C例程的AKA密钥产生过程标记所使用的刚分配的主密钥， 使得通过该最近的对图5C例程的执行而分配的主密钥对于其他应用或域是不可用的。接 着，如子动作5-9C-10，AKA密钥产生过程查看在无线终端13处执行的另一应用是否需要认 证。果不需要，AKA密钥产生过程周期性的进行监控，或者可以在对另一应用的认证有必要 时进行提示。如果另一应用确实需要授权，则针对另一应用重复图5C的密钥选择例程。因此，图5C的例程实质上涉及重复图5C的例程，但将已标记的主密钥从主密钥的 列表或集合中临时移除，使得无法再次对其进行选择。因此，可用主密钥的数量现在是N-I = N’。根据模运算，从该范围中选择的位置被计算为y’ = (RAND mod N_l) = (RAND mod N’)。此外，还推荐(但不是需要)，针对图5C的例程，产生新的RAND值。在前述示例实施例中，涉及对正在使用的主密钥或密钥位置值进行标记，这样的 标记在归属网络实体/认证服务器(AuC)ll(例如由AKA密钥发生器14)和用户终端13(由 AKA密钥管理器18)处执行。如果未经授权的第三方(例如攻击者)篡改针对对特定访问或应用的认证而选择 的秘密密钥信息，当试图重用不同访问/应用的密钥或者相同访问/应用但不同会话中的 密钥时攻击者将无法成功。相反，攻击者将使用不正确的密钥。如果攻击者尝试使用不正 确的密钥，则可以发生两件事中的一件(1)如果被盗密钥已处于“使用中”，认证者将拒绝 不正确地提供的认证数据；(2)如果密钥仍未使用，用户终端13中的响应/密钥将无法同 在网络侧保持的值匹配(如在归属网络实体/认证服务器(AuC) 11处)，使得此时响应无法 被攻击者使用，并且认证将会失败。当认证由于用户正在试图基于不同密钥进行访问而失败时，必须考虑一种重要情 况。可以提供后处理机制来检查用户终端13已利用网络提供的RAND值和与所要求的密钥 不同的已知密钥(Ki)导出的RES。如果是这种情况，运营商可以采取强力措施来强化安全 信息。这样的后处理可以在认证者节点内部，或着可以被委托给不同的实体。还可以向集 中式实体包括通知机制，使得运营商采取特定动作(如产生警报、删除订阅等)。因此，当 UMTS AKA已经具有相互认证，本技术的特征可以被看作对该属性的强化。在另一示例实施例中，随机选择N个主密钥之一作为第一主密钥包括多种因素。 多种因素可以包括(1)用户终端和用户终端的归属网络实体都知道的随机数(如上述随 机值RAND等)；以及(2)第二因素。在不同实现中，第二因素可以是以下一个或多个(1)用户终端类型/标识；(2)接入网类型；(3)用户终端位置；(4)正在认证的应用的上下文信 肩、ο图6与图7 —起示出了如何修改图5的示例动作以服务于利用多种因素来选择主 密钥的实施例。具体而言，在多因素实施例中，可以在总体与图5的动作5-1和5-2相对应 的动作之间插入附加动作6-1和6-2。如动作6-1，确定第二因素值。如动作6-2，根据在动 作6-1处确定的第二因素值，来选择主密钥集合中适当的一个主密钥。例如，假设主密钥选择的第二因素是接入网类型。还假设存在K个第二因素值，例 如对于特定用户终端13有K个接入网类型可用。因此，如图7中所示，根据多因素实施例 的示例实现，对于用户终端13，可以存储(在AuC主密钥存储器15和终端主密钥存储器19 中)K个可能的主密钥集合，如设置S1至SK。每个主密钥集合Si具有Nk个可能的主密钥， 并且每一主密钥集合Si与K个接入网类型之一相关。如果例如用户终端13通过其寻求认 证的接入网类型是第一接入网类型(具有第二因素值1)，如图7的箭头7-1所指示的，通过 动作6-1来选择主密钥集合Sp另一方面，如果通过其寻求认证的接入网类型是第二接入 网类型(从而具有第二因素值2)，(如图7的箭头7-2所指示的)，使用主密钥集合S2,以 此类推，直到编号为K的接入网类型。无论基于第二因素值选择了何种集合S，在该示例实 现中，可以按与之前相同的方式利用集合S，例如使用随机产生的值和模Nk，来确定所选集 合中的位置值yK，然后使用该位置值从集合确定主密钥值。图6的动作5-3’涉及计算模函数y = (RAND mod Νκ)以用于所选择的集合，其中， 元素或密钥的数量在集合之间可能改变，从而被表示为Νκ。计算结果(即“y”值)是针对 第一应用62i从所选择的集合S中选择的数量为Nk的多个主密钥之一的排序或位置。因 此，如动作5-4’所描绘的，从所选择的集合中选择的密钥将位于第y个位置Ki_y。图5的 其他动作可以遵循图6所示的动作。如上所述，第二因素可以是以下一个或多个(1)用户终端类型/标识；(2)接入 网类型；(3)用户终端位置；(4)正在认证的应用的上下文信息。关于接入网类型，应当注意 的是，例如WLAN具有与适合3G等的范围不同的Ki:s的范围。关于用户终端位置，应当注 意的是，特定密钥(Ki:s)仅被允许在特定国家或特定VPLMN中使用。应用的上下文信息的 示例包括例如应用或应用提供商的名称/ID、应用会话ID、应用中的用户帐号ID等。多因 素选择实施例的其他实现也是可能的。涉及使用多因素的主密钥选择的实施例可以具有完全“隔离”密钥的效果和/或 优势。例如，即使“瑞典”密钥被盗，“西班牙”密钥也不会受影响等。此外，在例如接入特定 的密钥的情况下，并且仅当用户订阅被更新为包括WLAN接入时，WLAN密钥才在HSS中被标 记为“启用”。一般地，UICC可以事先安装“稍后激活的”密钥。例如，在军事应用中，可以 事先安装用于外国紧急任务的密钥，当向正在执行任务的军队发送时，缩短配置时间。作为另一实施例，处理具有N个不同的密钥Ki，可以可选地或附加地具有用于每 个Ki的f算法的不同集合。图8示出了适于f函数的多个集合的实施例的示例归属网络 实体/认证服务器(AuC)Il(S)；图9示出了适于f函数的多个集合的实施例的实施例的示 例标识模块58 (如UICC (通用集成电路卡))。AKA密钥发生器14(8)的图8实施例包括AuC其他密钥发生器17 (8)，AuC其他密 钥发生器17 (8)针对AuC应用特定的主密钥选择器16所选择的每个可能的主密钥值Ki_y，具有密钥函数的不同集合或聚集(例如密钥函数fl-f5)。例如，如果AuC应用特定的主 密钥选择器16选择主密钥Ki_l，采用其他函数集合QO1来导出其他密钥函数，如CK密钥 和IK密钥。图8 一般化地示出了针对主密钥Ki_y采用的用于导出其他密钥函数的其他函 数集合90y。通过内部f函数路由器92，向所使用的其他函数集合90提供必要的输入信息 (如RAND和AMF参数)，所述路由器92基于y的值将必要信息路由至所采用的其他函数集 合90。类似地，AKA密钥管理器18(8)的图9实施例包括终端其他密钥发生器21 (9)，终 端其他密钥发生器21 (9)针对终端应用特定的主密钥选择器20所选择的每个可能的主密 钥值Ki_y具有密钥函数的不同集合或聚集(例如密钥函数f l_f5)。例如，如果终端应用特定的主密钥选择器20选择主密钥Ki_l，采用其他函数集合 94!来导出其他密钥函数，如CK密钥和IK密钥。图9 一般化地示出了针对主密钥Ki_y采 用的用于导出其他密钥函数的其他函数集合90y。通过内部f函数路由器96，向所使用的其 他函数集合94提供必要的输入信息(如MAC、SQN异或AKjP AMF参数)，路由器96基于y 的值将必要信息路由至所采用的其他函数集合90。在现有技术中，有可能如果由于弱f算法的缘故一个密钥(Ki) “泄露”或被盗，通 过相同f算法集合获得的其他密钥Kj也被盗。具有f函数的多个集合的密钥选择器的实施 例有利地克服了该现有技术缺陷，这是由于每个主密钥Ki_j具有其相应的、通过其导出特 定AKA密钥的“f函数”算法实体。为了向“f函数”实体提供所产生的SQN、RAND以及AMF， 将模函数y = (RAND mod N)的结果提供为函数(例如图8中的内部f函数路由器和图9 中的内部f函数路由器96)的输入，该函数简单地将之前的函数分发(或路由、提供等)给 与灯_7相对应的正确的f函数实体。最终，灯_7还被提供给算法的相应f集合。可选地， 也可以将主密钥Ki_y而不是“y”发送至分发函数，用于选择正确的f集合算法的准则。作 为该实施例的用途的另一示例，不同国家对于加密的使用可以具有不同的限制。在这样的 情况下，当选择f函数的集合时，可以将诸如用户的“位置”(例如“国家”)等其他因素用 作一个因素。在具有图10所示的示例动作或步骤的再一示例实施例中，当之前的第一主密钥 过期时，用于第一应用的新的第一主密钥。动作10-1表示AKA密钥产生过程产生用于特定 应用的主密钥，优选地，应用特定的主密钥。可以根据此处描述的其他实施例来执行动作 10-1。动作10-2包括使用f函数来导出其他密钥，如CK密钥和IK密钥(这样的其他密钥 的导出还可以通过此处提供的对实施例的其他讨论加以理解)。动作10-3涉及查看现有 主密钥是否过期。动作10-3的检查可由例如AKA密钥发生控制器72来执行。如果在动作 10-3处确定现有主密钥未过期，动作10-4表示继续使用现有密钥。然而，如果在动作10-3 处确定现有主密钥已经过期，如动作10-5所描述的针对应用选择新的主密钥。此后，如动 作10-6，基于新的主密钥导出其他密钥。使用新密钥，直到通过重复动作10-4确定这些密 钥已经过期。图10所表示的密钥更新实施例的示例实现，现有主密钥的持续时间可以表示为 序列值(SQN)，在序列值后认证矢量不再有效。当达到所分配的过期序列值时，执行新的认 证过程，以选择用于正在进行的应用的新的第一主密钥。因此，为了避免在长时段内使用相同的所选择的主密钥，图10所表示的密钥更新实施例引入了动态地重新选择要在AKA过程中使用的新的主密钥，并且将接着用于导出其 余密钥。在示例实现中，可以预定于给定的序列值SQN，在该序列值后认证矢量不再有效。 换言之，一旦达到具有序列值SQN的认证矢量，则执行完整的AKA认证过程，包括新主密钥 选择。为了避免重新选择当前处于使用中的主密钥Ki_y，将该密钥保持标记，例如标记为至 少对于新执行AKA不可用。因此，如果存在特定Ki被泄露或被盗的嫌疑，例如HLR/AUC、HSS、AAA等形式的网 络认证服务器(归属网络实体/认证服务器(AuC) 11优选地应当将该密钥标记为“被盗”， 并不再选择该密钥。这可以通过重复重放攻击来推断，重复重放攻击可以是对给定主密钥 Ki已经被盗的指示。可能出现应针对涉及特定用户终端13的应用选择新的主密钥的情形。这样的情 形的示例实施例已在以上参照图10和特定密钥更新特征进行了讨论。这样的实施例的变 体，其中，新的第一主密钥的选择至少部分依赖于用户状态信息。换言之，除了先前描述的 包括允许端用户具有多个主密钥并随机选择要用作AKA算法的输入的AKA密钥产生过程， 如果除了现有参数，还将用户状态信息用作AKA算法的重复的输入，可以提供安全性。在示 例实现中，用户状态信息包括以下至少一个⑴时间戳；⑵网络标识符；以及(3)用户位 置。更具体地，仅仅用户设备和网络知道的用户状态信息(USI)的示例为 请求认证的时刻的时间戳(假设用户终端和网络具有协调好的网络定时协议)。·用户正在通过(或向)其注册的网络ID，如诸如归属或访问网络ID、I-WLAN SSID。·触发认证的时刻的用户位置。这可以具有GSM/UMTS位置区或路由器区、WLAN/ Wimax覆盖区、基站ID等形式。·将处理分为两个步骤。第一步骤输入RAND，以计算(仅仅)SQN和MAC。如果这 些值是“正常的”，在第二步骤中，将SQN与RAND —起输入，以产生密钥。(这给出了重放保 护的“额外的”自由度即使MAC验证是错误的，也将使用新SQN来导出新密钥。)在GSM/UMTS AKA或EAP-AKA运行时包括先前信息的任意组合可以有利地倾向于 提高在网络中使用的任何导出的密钥的安全性，从而提高任何主密钥的安全性(降低其被 危及的风险)。图11示出了在另一示例实施例中涉及的所选择的、代表性、非限制性动作或步 骤。在图11的示例实施例中，AKA主密钥发生器70和终端主密钥发生器80已经存储了或 预定义了超密钥。超密钥可以存储在存储器，如归属网络实体/认证服务器(AuC)Il的AuC 主密钥存储器15和标识模块58的终端主密钥存储器19中。当接收到指示或提示或辨识 出需要执行主密钥替代操作时(如可能在怀疑不应使用主密钥之一时发生)，执行图11的 动作。动作11-1包括在AKA密钥发生器14处随机产生替代主密钥。如根据其他实施例 所理解的，动作11-2包括由替代主密钥导出CK密钥和IK密钥。动作11-3包括使用超密 钥对替代主密钥进行加密。如以上所指示的，超密钥对用户终端和归属网络实体11是已知 的(优选地预先知道的)。动作11-2包括从归属网络实体11向用户终端13发送经加密的 替代主密钥。在用户终端13的标识模块58处执行的动作11-5包括用超密钥对所接收的 经加密的替代密钥进行解密，以获得替代主密钥，从而用替代主密钥替代主密钥中的可疑主密钥。动作11-6包括由此时用户终端13的标识模块58已知的替代主密钥，导出CK密 钥和IK密钥。除了图11所示的动作外，替代密钥操作可以并且优选地包括附加动作。这样的动 作可以包括例如将任何可疑或问题密钥标记为“被盗”；标识模块58验证从归属网络实体/ 认证服务器(AuC) 11接收的替代密钥是真实的，并且用新的Ki’值对Ki值进行“改编”；标 识模块58向归属网络实体/认证服务器(AuC) 11发送经认证的确认；以及(此后)归属网 络实体/认证服务器(AuC) 11对密钥Ki“去除标记”，使得其不再被认为是被盗的。采用这 种方式，在执行密钥替代操作后，可以再次使用密钥Ki。而在大多数情况下，第一主密钥的选择是随机的，由于第一密钥可能被标记为已 用，对用于另一应用的下一密钥的选择不是严格随机的，从而第二密钥选择虽然可能在剩 余集合中是随机的(例如伪随机)，但对于密钥的整个集合而言不是随机的。在极端情况 下，仅仅一个密钥可能保留为下一应用的候选密钥。在其他情况下，可以部分依赖与诸如用 户状态(如位置)等其他信息来做出选择，用户状态不是随机因素。将意识到，此处描述的示例实施例的一个或多个可以包括多种修饰和附加特征。 例如，对于此处描述的一个或多个实施例，完全有可能针对Ki密钥具有不同的长度。此外， 作为示例，如果期望，密钥可以是非对称PKI密钥。此外，如上所述，将单独、指定的密钥用 户签名和认证，以减小威胁。至少在密钥足够从而具有较短寿命的情况下，上述机制提供了 实现相同目的而不从一开始对密钥打耳标的方式。选择密钥的上述方式“模N (密钥数量)” 当然也是可能的。因此，在至少某些示例实施例和模式下，技术包含以下一个或多个·向端用户和网络提供主密钥(Ki)的范围，以确保需要AKA作为认证过程的不同 应用不使用相同的Ki来导出其他密钥。换言之，用户将已分配[Ki_l、Ki_2…、Ki_n]而不 仅仅具有一个Ki。·提供从被分配给用户的主密钥范围[Ki_l、Ki_2···、Ki_n]中随机选择在用户终 端上和网络中的、当执行AKA时由其导出其他密钥的Ki主密钥的机制。 提供将所选择的主密钥标记为处于“使用中”从而对利用AKA的其他AKA过程不 可用的机制。必要从在所分配的范围中可用的主密钥中选择不同的Ki_j。·允许网络和用户终端动态地从[Ki_l、Ki_2···、Ki_n]中的可用密钥中选择新的 主密钥，由所述新的主密钥基于某些常见算法和准则导出新密钥。·允许基于密钥的其他认证机制(如PKI)，以同样利用之前描述的过程。·通过将密钥使用“捆绑”至特定上下文来允许其他扩展。虽然以上描述包括许多特异性，但这些不应被理解为对本发明范围的限制，相反 经理解为提供本发明的某些当前优选实施例的说明。因此，将理解的是，本发明的范围完全 涵盖对于所属领域技术人员可能是显而易见的其他实施例，并且本发明的范围相应地不受 限制。除非明确说明，此处以单数形式对元件的引用并非意在指“仅仅唯一”，而是指“一个 或多个”。所属领域技术人员所知的与上述优选实施例的元件等效的所有结构和功能等效 以引用方式明确并入此处，并且意在以此涵盖。此外，为了以此涵盖，设备或方法不必解决 本发明所要解决的每个问题。此外，本公开的元件、组件或方法步骤并非意在用作公用。
权利要求
一种认证方法，其特征在于向用户终端(13)和用户终端(13)的归属网络实体(11)提供数量为N的多个主密钥构成的集合；当执行针对第一应用的认证密钥协商(AKA)事务时，选择N个主密钥之一，作为在用户终端(13)和归属网络实体(11)处使用以导出第一应用的其他密钥的第一主密钥；以及当执行针对另一应用的认证密钥协商(AKA)事务时，选择N个主密钥中的第二主密钥，作为在用户终端(13)和归属网络实体(11)处使用以导出所述另一应用的其他密钥的主密钥。
2.根据权利要求1所述的方法，其中，选择N个主密钥之一作为第一主密钥包括随机选择。
3.根据权利要求2所述的方法，其中，选择N个主密钥之一作为第一主密钥包括选择 所述集合中的密钥y，其中y= (RAND mod N)，其中RAND是用户终端(13)和用户终端(13) 的归属网络实体(11)都知道的随机数。
4.根据权利要求1所述的方法，其中，选择N个主密钥中的第二主密钥包括确保第二 密钥不同于被选为第一主密钥的密钥。
5.根据权利要求4所述的方法，其中，选择N个主密钥中的第二主密钥作为用于所述另 一应用的主密钥包括以循环的顺序使用下一个主密钥。
6.根据权利要求4所述的方法，还包括通过选择所述集合中的密钥y’，选择N个主密 钥中的第二主密钥作为用于所述另一应用的主密钥，其中y’ = (RAND’ mod N)，其中RAND’ 是用户终端(13)和用户终端(13)的归属网络实体(11)都知道的随机数，但y’不对应于 第一主密钥，并且RAND’不用于获得第一主密钥。
7.根据权利要求4所述的方法，还包括通过选择经修正的集合中的密钥y’，选择N个 主密钥中的第二主密钥作为用于所述另一应用的主密钥，所述经修正的集合包括N-I个主 密钥，主密钥的所述经修正的集合不包括针对第一应用选择的第一主密钥。
8.根据权利要求7所述的方法，其中，y’= (RAND’ mod N_l)，其中RAND’是用户终端 (13)和用户终端(13)的归属网络实体(11)都知道的随机数。
9.根据权利要求7所述的方法，其中，RAND’不用于获得第一主密钥。
10.根据权利要求1所述的方法，其中，所述用户终端(13)是无线用户终端，并且所述 方法还包括通过无线接入网向无线用户终端(13)提供所选择的认证矢量值； 所述无线用户终端(13)使用所选择的认证矢量值来获得供第一应用使用的第一主密 钥和其他密钥。
11.根据权利要求1所述的方法，其中，随机选择N个主密钥之一作为第一主密钥包括 多种因素，所述多种因素包括(1)用户终端(13)和用户终端(13)的归属网络实体(11)都 知道的随机数；以及(2)第二因素。
12.根据权利要求11所述的方法，其中，所述第二因素是以下各项之一(1)用户终端 (13)类型/标识；(2)接入网类型；(3)用户终端(13)位置；(4)第一应用的上下文信息。
13.根据权利要求1所述的方法，还包括使用算法的第一集合来导出第一应用的其他密钥；以及使用与所述第一集合不同的、算法的第二集合来导出第二应用的其他密钥。
14.根据权利要求1所述的方法，还包括当第一主密钥过期时，选择用于第一应用的 新的第一主密钥。
15.根据权利要求14所述的方法，还包括当第一主密钥的持续时间过期时，选择新的第一主密钥；将所述持续时间表示为序列值，在该序列值之后认证矢量不再有效；以及当达到该序列值时，执行新的认证过程，以选择用于第一应用的新的第一主密钥。
16.根据权利要求14所述的方法，还包括至少部分地基于用户状态信息来选择新的 第一主密钥。
17.根据权利要求16所述的方法，其中，所述用户状态信息包括以下至少一项(1)时 间戳；(2)网络标识符；以及⑶用户位置。
18.根据权利要求1所述的方法，其中，当不应当使用主密钥中的一个可疑主密钥时随机产生替代主密钥；利用用户终端(13)和归属网络实体(11)都知道的超密钥来对所述替代主密钥进行加密；从归属网络实体(11)向用户终端(13)发送经加密的替代主密钥；在用户终端(13)处，以所述替代主密钥替代主密钥中的可疑主密钥。
19.一种认证实体，包括其他密钥发生器(17、21)；所述实体的特征在于主密钥存储器(15、19)，被配置为针对无线用户终端(13)存储数量为N的多个主密钥 构成的集合；应用特定的主密钥选择器(16、20)，被配置为针对由用户终端(13)执行的第一应用， 选择N个主密钥中的第一主密钥，作为由用户终端(13)和归属网络实体(11)使用以导出 第一应用的其他密钥的主密钥，并针对由用户终端(13)执行的另一应用，选择N个主密钥 中的第二主密钥，作为由用户终端(13)和归属网络实体(11)使用以导出所述另一应用的 其他密钥的主密钥；其中，所述其他密钥发生器(17、21)被配置为使用应用特定的主密钥选择器(16、20) 所选择的主密钥来导出其他密钥。
20.根据权利要求19所述的设备，其中，所述实体被配置为通过无线接入网(24)与 无线用户终端(13)通信。
21.根据权利要求19所述的设备，其中，所述实体是位于电信系统(IOT)的归属环境 (34)中的认证服务器(11)。
22.根据权利要求19所述的设备，其中，所述实体是包括收发机(66)的用户终端 (13)，所述收发机(66)被配置为从电信系统(IOT)的认证服务器(11)接收认证矢量的值。
23.根据权利要求19所述的设备，其中，所述主密钥选择器(16、20)被配置为随机选择 N个主密钥之一作为第一主密钥，包括选择所述集合中的密钥y，其中y = (RAND mod N)， 其中RAND是用户终端(13)和用户终端(13)的归属网络实体(11)都知道的随机数。
24.根据权利要求19所述的设备，其中，所述主密钥选择器(16、20)被配置为通过以循环的顺序使用下一个主密钥，选择N个主密钥中的第二主密钥作为用于所述另一应用的 主密钥。
25.根据权利要求19所述的设备，其中，所述主密钥选择器(16、20)被配置为通过 选择所述集合中的密钥y’，选择N个主密钥中的第二主密钥作为用于所述另一应用的主密 钥，其中y’ = (RAND' mod N)，其中RAND’是用户终端(13)和用户终端(13)的归属网络实 体(11)都知道的随机数，但y’不对应于第一主密钥，并且RAND’不用于获得第一主密钥。
26.根据权利要求19所述的设备，其中，所述主密钥选择器(16、20)被配置为通过选 择经修正的集合中的密钥y’，选择N个主密钥中的另一主密钥作为用于所述另一应用的主 密钥，所述经修正的集合包括N-I个主密钥，主密钥的所述经修正的集合不包括针对第一 应用选择的第一主密钥，并且其中1’ = (RAND’ mod N-1)，其中RAND’是用户终端(13)和 用户终端(13)的归属网络实体(11)都知道的随机数。
27.根据权利要求19所述的设备，其中，所述主密钥选择器(16、20)被配置为使用多 种因素来随机选择N个主密钥之一作为第一主密钥，所述多种因素包括(1)用户终端(13) 和用户终端(13)的归属网络实体(11)都知道的随机数；以及(2)第二因素。
28.根据权利要求27所述的设备，其中，所述第二因素是以下各项之一(1)用户终端 (13)类型/标识；(2)接入网类型；(3)用户终端(13)位置；(4)第一应用的上下文信息。
29.根据权利要求19所述的设备，其中，所述其他密钥发生器(17、21)被配置为使用 算法的第一集合来导出第一应用的其他密钥，并使用算法的不同的第二集合来导出第二应 用的其他密钥。
30.根据权利要求19所述的设备，其中，所述主密钥选择器(16、20)被配置为当第一 主密钥过期时，选择用于第一应用的新的第一主密钥。
31.根据权利要求30所述的设备，其中，所述主密钥选择器(16、20)被配置为当第一 主密钥的持续时间过期时，选择新的第一主密钥；以及将所述持续时间表示为序列值，在该 序列值之后认证矢量不再有效；以及当达到该序列值时，所述认证服务器被配置为选择用 于第一应用的新的第一主密钥。
32.根据权利要求30所述的设备，其中，所述主密钥选择器(16、20)被配置为至少部 分地基于用户状态信息来选择新的第一主密钥。
33.根据权利要求32所述的设备，其中，所述用户状态信息包括以下至少一项(1)时 间戳；(2)网络标识符；以及⑶用户位置。
34.根据权利要求19所述的设备，其中，所述实体是认证服务器(11)，并且当不应当 使用主密钥中的一个可疑主密钥时，所述主密钥选择器(16)被配置为随机产生替代主密 钥；以及利用用户终端(13)和归属网络实体(11)都知道的超密钥来对所述替代主密钥进 行加密。
35.根据权利要求19所述的设备，其中，所述实体是包括收发机(66)的用户终端 (13)，所述收发机(66)被配置为从认证服务器接收认证矢量，并且当不应当使用主密钥中 的一个可疑主密钥时，所述主密钥选择器(20)被配置为利用用户终端(13)知道的超密钥 来对替代主密钥进行解密；以及以所述替代主密钥替代主密钥中的可疑主密钥。
全文摘要
一种认证方法，包括向用户终端(13)和归属网络实体(11)提供数量为N的多个主密钥构成的集合；以及当执行针对应用的认证密钥协商(AKA)事务时，选择N个主密钥之一，作为在用户终端和归属网络实体处使用以导出该应用的其他密钥的主密钥。例如，当执行针对第一应用的认证密钥协商(AKA)事务时，该方法涉及随机选择N个主密钥之一，作为在用户终端和归属网络实体处使用以导出第一应用的其他密钥的第一主密钥；但是当执行针对另一应用的认证密钥协商(AKA)事务时，该方法涉及随机选择N个主密钥中的另一主密钥，作为在用户终端和归属网络实体处使用以导出另一应用的其他密钥的主密钥。
文档编号H04L9/32GK101946536SQ200880126750
公开日2011年1月12日 申请日期2008年2月15日 优先权日2008年2月15日
发明者约翰·迈克尔·沃克尔, 阿隆索 苏珊娜·费尔南德斯, 马茨·内斯隆德 申请人:艾利森电话股份有限公司