6生成询问(challenge)和会话密钥。在一些实例中,图 3A、4A、5A、4B和6A中所示的示例过程可以用于生成询问和会话密钥。其他合适的技术可 被用于生成询问和会话密钥。在一些实施方式中,网络服务器206参与认证和密钥协定过 程,以生成认证矢量AV。认证矢量可以包括:例如,随机值RAND、期望的响应XRES、密码密 钥CK、完整性密钥IK和认证令牌AUTH。每个认证矢量可以是仅对在网络服务器206和移 动设备202之间的一次认证和密钥协定有效,并且可以基于序列号排序。可以由网络服务 器206生成另外的或不同类型的数据。
[0048] 在216处,网络服务器206向网络服务器204发送数据。该数据可以包括,例如, 认证矢量或任意合适信息。在一些实例中,该数据包括随机值RAND、期望的响应XRES,密码 密钥CK,完整性密钥IK、认证令牌AUTH,或者由网路服务器206响应于接收到标识符而生成 的值的任意合适组合。
[0049] 在217处,网络服务器204向移动设备202发送询问。在一些实施方式中,网络服 务器204可以通过解析数据且将其发送给移动设备202来促进认证密钥协定过程。发送给 移动设备202的询问可以包括随机值RAND、认证令牌AUTN、或者这些和其他数据的组合。
[0050] 在218处,移动设备202生成响应和会话密钥。在一些实例中,图3B、4B、5C、5D、 6B和6C中所示的示例过程可被用于生成响应和会话密钥。其他合适的技术可被用于生成 询问和会话密钥。在接收到询问时,如果认证令牌AUTN被移动设备202接受,则移动设备 202可以生成响应RES、密码密钥CK、完整性密钥IK和移动设备认证令牌AUTNms。可以由移 动设备202生成另外的或不同类型的数据。
[0051] 在220处,移动设备202向网络服务器204发送响应。该响应可以包括由移动设 备202生成的响应RES。视情况,该响应可以包括另外的或不同的数据。
[0052] 在222处,网络服务器204比较由网络服务器204提供的预期响应XRES与由移动 设备202提供的响应RES。如果响应与预期响应相匹配,则网络服务器204可以认为在移动 设备202和网络服务器206之间已经成功完成认证和密钥协定。如果响应与预期响应不匹 配,则网络服务器204可以认为认证及密钥协定已经失败。在这种情况下,可以重复先前操 作中的一个或更多个,可以停止过程,或者可以存在可用的其他选项。
[0053] 在224处,网络服务器206向移动设备202发送标识符。可以通过网络服务器204 或者通过另一通信链路或中间系统,来发送标识符。标识符可以是TMIS或另一标识符。在 一些情况下,标识符可以是加密的,或标识符可以是未加密的。在一些实例中,在图2中所 示的其他操作之前将标识符发送给移动设备。
[0054] 在226处,在移动设备与网络服务器204、206中的一个或更多个之间使用安全通 信信道。可以(例如)使用212和218处所生成的会话密钥,来使信道安全。在一些实施 方式中,移动设备202或网络服务器使用会话密钥来彼此通信或与其它实体通信。在一些 实例中,移动设备202或网络服务器使用密码密钥CK对通信进行加密或解密。在一些实例 中,移动设备202或网络服务器使用完整性密钥IK来生成认证标签或者验证认证标签的真 实性。可以使用另外的或不同的安全性过程。在一些实例中,匿名密钥AK*可被用于保护 信息,例如,用以向AuC发送重新同步的序列值SQN。在一些实例中,匿名密钥被用于对序列 值SQN进行掩码,原因在于序列值SQN可被用于跟踪。例如,可以根据密钥K和值RAND或 用任意其他合适方式计算匿名密钥AK。
[0055] 图3A是示出可被网络运营商系统用于认证密钥协定的示例过程300的流程图。可 以(例如)由无线网络的服务器系统或由任意其他合适系统来实现过程300。在一些实施 方式中,由归属位置寄存器(HLR)或由无线网络的任意其他组件来执行过程300的一个或 更多个操作。过程300可以包括另外的或不同的操作,并且可以根据图3A中所示的顺序或 任意合适的顺序来执行这些操作。在一些情况下,可以(例如)迭代或重复这些操作中的 一个或更多个操作,直至达到指定条件。
[0056] 在302处,接收移动设备的标识符。例如,该标识符可以是临时移动订户识别符 (TMSI)或与移动设备相关联的任意其他合适的标识符。在一些实施方式中,该标识符可以 与开放系统互联(OSI)模型的层中的识别码(例如电子邮件地址、电话号码、会话发起协议 (SIP)、统一资源标识符(URI)、介质访问控制标识符等)有关。该标识符可以直接或间接从 移动设备接收。例如,移动设备可以将标识符无线发送给无线网络,以及可以通过核心网络 系统中的一个或更多个通信链路来转发标识符。
[0057] 在304处,存取秘密密钥。例如秘密密钥可以存储于核心网的任意合适的数据库 或网络服务器中。302处所接收的标识符可被用于在安全数据库中定位秘密密钥。在一些 实例中,秘密密钥是由移动设备和网络运营商二者保存的长期的对称密钥。可以使用另外 的或不同类型的秘密密钥。
[0058] 在306处,获得询问。例如,该询问可以是随机询问值。随机值可以是先前所生成 的随机值,或者可以是响应于接收到标识符而生成的随机值。可以(例如)由伪随机生成 器或其他合适的系统生成该随机值。在一些情况下,可以通过将随机询问与运营商常量进 行异或(XOR)来更新询问。
[0059] 在308处,基于秘密密钥和询问来估计消息认证码(MAC)函数。MAC函数可以包 括任意合适的函数或函数族。例如,MAC函数可以是散列MC(HMAC)、加密MC(CMC)、或任 意其他合适的MAC函数。MAC函数可被估计为孤立函数,或MAC函数可被估计为较大函数 的一部分(例如被估计为密钥导出函数的一部分)。某些密钥导出函数(KDF)包括MAC函 数,并且估计这种KDF会使得MAC函数被估计。包括MAC函数的KDF的示例包括:在ANSI X. 9. 63-2011中定义的使用SHA256的基于散列的KDF、在NISTSP800-108中定义的利用来 自NISTSP800-38B的CMAC-AES128的计数器模式KDF、在NISTSP800-108中定义的利用来 自FIPS198-1的带密钥-HMAC-SHA256的NIST计数器模式KDF等等。MAC函数可以对任意 合适的输入进行操作。在一些示例中,MAC函数的输入可以包括秘密密钥和询问值。视情 况,可以使用另外的或不同的输入。
[0060] 在310处,基于MAC函数的输出来获得(一个或多个)会话密钥和预期响应。例 如,这些会话密钥可以包括密码密钥(CK)和完整性密钥(IK)之一或两者。可以生成另外 的或不同的会话密钥。预期响应可以是预期移动设备响应于306处所获得的询问值将生成 的响应。由此,询问和预期响应可被用于认证移动设备。
[0061] 在312处,基于询问、预期响应和(一个或多个)会话密钥来生成消息。例如,该 消息可以包括询问、预期响应、会话密钥(例如CK、IK或其他会话密钥)、认证令牌(AUTN) 或这些和其他数据的任意合适组合。该消息可以具有任意合适的结构或格式。该消息可被 构建为有序阵列或认证向量,该有序阵列或认证向量可从HLR发送给VLR。在一些情况下, 可以通过串接序列号SQN、认证管理函数(AMF)和消息认证码来组装AUTN。此外,匿名密钥 亦可以是AUTN的一部分。在一些情况下,可以用SQN对匿名密钥AK进行掩码。例如,SQNak 可被作为AUTN的一部分进行发送。
[0062] 图3B是示出可被移动设备用于认证密钥协定的示例过程350的流程图。例如,可 以由无线通信系统中的移动设备或由任意其他合适的系统实现过程350。在一些实施方式 中,由移动设备与执行图3A中所示的示例过程300的无线网络服务器协同执行图3B中所 示的示例过程350。过程350可以包括另外的或不同的操作,并且可以按照图3B中示出的 顺序或者任意合适顺序来执行操作。在一些情况下,可以(例如)迭代或重复这些操作中 的一个或更多个操作,直至达到指定条件。
[0063] 在352处,接收询问。该询问可以是从无线网络系统接收的。例如,VLR或无线网 络系统的另一组件可以向移动设备发送询问以发起认证密钥协定协议。该询问可以包括随 机值、认证令牌、或者这些和其它数据的任意合适组合。在一些实例中,询问可以包括在图 3A中的306处由网络运营商生成的询问值。例如,该询问可以包括来自在图3A中的312处 由网络运营商生成的消息的数据。
[0064] 在354处,存取秘密密钥。可以通过任意合适的技术来存取秘密密钥。可以响应于 从无线网络接收到询问而在移动设备上本地存取该秘密密钥。该秘密密钥可以是由移动设 备和网络运营商保存的先前计算的密钥。例如,该秘密密钥可以是存储于移动设备的USIM 上的长期的对称密钥。在一些情况下,可以使用其它类型的密钥。
[0065] 在356处,基于秘密密钥和询问来估计MAC函数。在356处由移动设备估计的MAC 函数可以与在308处由网络服务器估计的MAC函数相同。例如,该MAC函数可以是散列 MAC(HMAC)、加密MAC(CMAC)或任意其他合适的MAC函数。该MAC函数可被估计为孤立函数, 或者MC函数可被估计为较大函数的一部分(例如密钥导出函数的一部分)。某些密钥导 出函数(KDF)包括MAC函数,并且估计这种KDF会使得MAC函数被估计。
[0066] 在358处,基于MAC函数的输出来获得响应和(一个或多个)会话密钥。例如,这 些会话密钥可以包括密码密钥(CK)和完整性密钥(IK)之一或两者。可以生成另外的或不 同的会话密钥。该响应可以包括移动设备响应于352处所接收的询问值将提供的信息。例 如,移动设备可以将响应发送给网络,并且网络可以使用该响应来认证移动设备。
[0067] 在360处,发送响应。该响应可以从移动设备向无线网络系统无线发送。例如,该 响应可以发送给提供在352处的询问的网络系统。在一些情况下,例如,该响应可以发送给 VLR或无线网络系统的另一组件。在一些情况下,视情况,该响应可以与认证令牌和其它数 据一起发送。
[0068] 图4A是示出可被网络运营商系统用于认证密钥协定的示例过程400的流程图。例 如,可以由无线网络的服务器系统或由任意其它合适系统来实现过程400。在一些实施方式 中,由归属位置寄存器(HLR)或由无线网络的另一组件来执行过程400的一个或更多个操 作。过程400可以包括另外的或不同的操作