SQN| |AMF。例如,可以通过串接SQN和AMF来 组装temp。在一些实例中,串接执行两次。这里,SQN是由移动设备和HLR保持同步的序列 号。此外,AMF表示认证管理字段。AMF的示例用途可以包括支持多个认证算法和密钥、改 变列表参数和设定用以限定密码和完整性密钥的使用期限的阈值。
[0091] 在 516 处,计算Z的新值。可以通过估计Z=A7.)/''(A", @ ') 来计算新值。这里,KDF的输入可以包括密钥K、用temp异或的随机值RAND,以及outlen。 值outlen可以表示fl、fl*和f4的位长的总和。值temp可以是514处生成的SQN与AMF 的串接。
[0092] 在518处,从Z提取fl、fl*和f4。例如,提取过程可以包括解析Z或其他任意合 适的技术。
[0093] 在520处,如果使用掩码,则可以对序列值SQN进行掩码。例如,可以通过计算 S(5N=SQN?f5来对序列值进行掩码。针对每个移动设备,认证中心(AuC)可以保持跟踪 序列值SQN,这可以便于重新同步。可以例如在提供非生产环境的同时进行序列掩码,使得 为了支持测试和开发过程创建的副本不暴露敏感信息,并且因此避免泄露风险。掩码算法 可被设计为可重复的,因此维持了参考完整性。
[0094] 在522处,组装(assemble)认证令牌AUTN。这里,可以通过形成AUTN= SQN| |AMF| |fl( =MACa)来组装认证令牌AUTN。例如,可以利用序列号SQN、认证管理字段AMF和值fl的串接来组装AUTN。fl的值可以是消息认证码MACa。
[0095] 在524处,生成输出五元组Q。这里,可以通过形成Q= (RAND,XRES=f2,CK= f3,IK=f4,AUTN)来生成输出五元组。例如,Q可以是认证向量的有序阵列,其可以包括随 机数RAND、预期响应XRES、密码密钥CK、完整性密钥IK和认证令牌AUTN。在一些情况下, 五元组Q对VLR与移动设备之间的认证和密钥协定有效。
[0096] 在526处,发送输出五元组Q。可以(例如)由HLR向VLR发送该输出五元组Q。 可以使用任意合适的发送技术来以任意合适的形式或格式发送该输出五元组Q。随后,VLR 可以提取RAND和AUTN,并且可以将这些变量转发给移动设备。
[0097] 图5C和是示出可被移动设备用于UMTS系统中的认证密钥协定的示例过程 550的流程图。例如,可以由无线通信系统中的移动设备或任意其他合适的系统来实现过 程550。在一些实施方式中,由移动设备与执行图5A和5B中所示的示例过程500的无线网 络服务器协同执行图5C和中所示的示例过程550。过程550可以包括另外的或不同操 作,并且可以按照图5C和中所示的顺序或任意合适的顺序来执行这些操作。在一些情 况下,可以(例如)迭代或重复这些操作中的一个或更多个,直至达到指定条件。
[0098] 在552处,接收随机值RAND和认证令牌AUTN。可以由移动设备从无线网络无线 接收这些值。在一些情况下,可以由VLR或无线网络系统的另一组件向移动设备发送RAND 和AUTN。在一些情况下,随机值RAND和认证令牌AUTN是在图5A和5B中所示的过程500 中(例如在506或508、522处)由网络运营商生成的值。例如,VLR可以根据从HLR发送 给VLR的认证向量AV来解析随机值RAND和认证令牌AUTN,并且VLR可以将这些经解析的 值转发给移动设备用于认证。
[0099] 在554处,存取密钥K和所储存的序列值SQNms。例如,可以在移动设备的本地存 储器中存取密钥S和序列值SQNms,在移动设备中,SQNms可被存储于USIM或其他合适的计 算机可读介质中。序列值SQNms可以是在移动设备上本地存储的计数器。密钥K可以是由 移动设备和网络运营商系统存储的长期的对称密钥。可以使用另外的或不同类型的密钥。
[0100] 在556处,如果运营商正在使用运营商常量,则可以更新随机值RAND。可以 以与过程500中的508处的方式相同的方式来更新随机值RAND。例如,可以通过计算 /心1/\7..)=/^\7) @ (其中如参照图5A中的操作508所描述得那样计算OP。)来更新 RAND。
[0101] 在558处,计算值Z。这里,通过估计Z=KDF(K,RAND,outlen)计算值Z。移动设 备可以使用在过程500中的510处由网络运营商系统使用的相同KDF和相同输入来计算值 Z0
[0102] 在560处,从Z提取f2、f3、f5和可选的f5*。例如,提取过程可以包括解析Z或 任意其他合适的技术。
[0103] 在562处,解析认证令牌AUTN。例如,可以完成解析认证令牌(AUTN= SQNl|AMF|IMACa),以得到序列号SQN、认证管理字段AMF、消息认证码嫩匕或它们的任意组 合。
[0104] 在564处,如果使用掩码,则对序列值SQN进行掩码。可以根据在过程500中的 520处使用的技术对序列值SQN进行掩码。例如,可以通过用f5来异或所提取的序列号 SQN( ¢/5 )来对序列号进行掩码。
[0105] 在566处,形成temp。可以利用在过程500的514处使用的相同技术来形成值 temp。例如,可以通过设定temp=SQNl|AMF| |SQN| |AMF,即所提取的序列号SQN与AMF的 串接,来形成值temp。
[0106] 在568处,计算Z的新值。可以通过在过程500中的516处用于计算新值Z的相 同技术来计算新值Z。例如,可以通过估计Z=KDimiM/.) 0 /削P,川"/⑶')来计算 新值Z。
[0107] 在570处,从Z提取fl、fl*和f4。例如,该提取过程可以包括解析Z或任意其他 合适技术。
[0108] 在572处,比较MAC#fl。如果它们不相等(S卩,如果MACfl),则该过程可被 中断。如果过程被中断,则在573处返回错误码。否则(即,如果MACa=fl),过程可以进 行至574。
[0109] 在574处,检查SQN对SQNsJ^有效性。可以执行该检查以判定 是否需要重新同步。如果SQN无效,则在575处执行重新同步。可以通 过下述方式执行重新同步:(1)更新序列值SQNms; (2)计算Z=iTZ)F(ir,
【主权项】
1. 一种方法,包括: 接收通用集成电路卡ncc的标识符; 基于所述标识符存取由计算机系统保存的秘密密钥,其中所述秘密密钥与所述标识符 相关联; 至少部分根据所述秘密密钥估计密钥导出函数KDF,以生成第一输出值,其中所述KDF 是散列函数; 基于所述第一输出值获得会话密钥; 通过至少部分根据序列值估计所述KDF来产生第二输出值;以及 基于所述第二输出值获得消息认证码MAC。
2. 根据权利要求1所述的方法,其中根据多个输入值来估计所述KDF,所述多个输入值 包括: 输出长度变量,所述输出长度变量指不输出的位长。
3. 根据权利要求1所述的方法,其中根据多个输入值来估计所述KDF,所述多个输入值 包括: 输出长度变量,所述输出长度变量是所需密钥材料的位长的总和。
4. 根据权利要求1所述的方法,其中所述密钥导出函数的第一输出值被用于计算密码 密钥。
5. 根据权利要求1所述的方法,其中所述估计值中的一个或更多个是根据所述散列函 数的一次迭代得到的。
6. 根据权利要求1所述的方法,还包括: 在估计所述KDF之前获得随机询问值; 基于所述第一输出值获得预期响应值;以及 生成包括所述随机询问值和所述预期响应值的消息。
7. 根据权利要求1所述的方法,其中根据多个输入值来估计所述KDF,所述多个输入值 包括: 询问值; 输出长度变量,所述输出长度变量指不输出的位长。
8. 根据权利要求1所述的方法,还包括: 基于所述第二输出值生成认证令牌。
9. 一种方法,包括: 存取秘密密钥; 基于所述秘密密钥估计密钥导出函数KDF,以产生第一输出值; 基于所述第一输出值获得会话密钥; 基于所述第一输出值获得响应值; 通过至少部分根据序列值估计所述KDF来产生第二输出值; 基于所述第二输出值获得消息认证码;以及 将所述响应值发送给无线网络运营商系统; 其中所述KDF是散列函数。
10. 根据权利要求9所述的方法,其中所述估计值中的一个或更多个是根据所述散列 函数的一次迭代得到的。
11. 根据权利要求9所述的方法,还包括: 基于所述第二输出值生成认证令牌。
12. -种装置,包括: 数据处理装置,操作用于: 存取秘密密钥; 基于所述秘密密钥估计密钥导出函数KDF,以产生第一输出值; 基于所述第一输出值获得会话密钥; 基于所述第一输出值获得响应值; 通过至少部分根据序列值估计所述KDF来产生第二输出值;以及 基于所述第二输出值获得消息认证码; 其中所述KDF是散列函数。
13. 根据权利要求12所述的装置,其中所述估计值中的一个或更多个是根据所述散列 函数的一次迭代得到的。
14. 根据权利要求12所述的装置,其中所述数据处理装置还可操作用于: 基于所述第二输出值生成认证令牌。
15. 根据权利要求12所述的装置,其中所述装置是通用集成电路卡UICC。
16. 根据权利要求12所述的装置,其中所述装置是移动设备。
【专利摘要】描述了用于在通信系统中执行密钥协定操作的方法、系统和计算机程序。在一些方案中,无线网络运营商接收移动设备标识符,并存取与移动设备相关联的密钥。基于秘密密钥估计消息认证码函数以生成输出值。基于输出值获得会话密钥和询问值。在一些方案中,移动设备响应于接收到来白无线网络运营商的询问值而存取密钥。基于秘密密钥估计消息认证码函数以生成输出值。基于输出值获得响应值和会话密钥。将响应值发送给无线网络运营商。
【IPC分类】H04L9-08
【公开号】CN104604181
【申请号】CN201380045551
【发明人】丹尼尔·理查德·L·布朗, 马修·约翰·坎帕尼亚, 内文·莫里斯·纳斯夫·艾贝德
【申请人】塞尔蒂卡姆公司
【公开日】2015年5月6日
【申请日】2013年6月26日
【公告号】CA2877490A1, EP2868029A1, US8971851, US20140004824, US20150139424, WO2014004688A1