本申請一般涉及蜂窩網(wǎng)絡(luò)認(rèn)證。
背景技術(shù):
本部分示出了有用的背景信息,而并未承認(rèn)本文描述的任何技術(shù)是當(dāng)前發(fā)展水平的代表。
蜂窩網(wǎng)絡(luò)(或更準(zhǔn)確地,蜂窩電信網(wǎng)絡(luò))目前是現(xiàn)代社會的重要工具。作為必要條件,需要對它們進(jìn)行保護(hù)以避免電話帳單欺騙并且保護(hù)通信以防止非法攔截私人呼叫和消息。為此,現(xiàn)代蜂窩網(wǎng)絡(luò)的電信運(yùn)營商利用通常依賴于數(shù)字信號處理的大量不同技術(shù)來保護(hù)他們的用戶。
為了使蜂窩終端能夠開始通信,終端需要在網(wǎng)絡(luò)附著或網(wǎng)絡(luò)注冊過程中附著到網(wǎng)絡(luò)。在網(wǎng)絡(luò)注冊過程中,蜂窩終端通常使用托管通用用戶身份模塊(USIM)應(yīng)用的UICC來交換信號以認(rèn)證自身(或更準(zhǔn)確地,其簽約)。有時也使用R-UIM、ISIM、SIM卡或SIM應(yīng)用或類似物。在網(wǎng)絡(luò)注冊過程中,終端從網(wǎng)絡(luò)和SIM獲得接入信息諸如會話密鑰,終端可隨后在蜂窩網(wǎng)絡(luò)中利用該會話密鑰進(jìn)行通信。接入信息通常會變化以防止可能的非法攔截者重新使用該接入信息。
加密是也用在其他類型的數(shù)字蜂窩系統(tǒng)中的基本工具。GSM已經(jīng)實現(xiàn)了加密以減輕非法攔截。計算機(jī)技術(shù)的發(fā)展隨后已經(jīng)使舊的加密技術(shù)更加脆弱,但也幫助增強(qiáng)了蜂窩系統(tǒng)中使用的安全技術(shù)。例如,寬帶CDMA(W-CDMA)被設(shè)計用于通過使得網(wǎng)絡(luò)也能夠向終端認(rèn)證自身來實現(xiàn)更強(qiáng)的安全性。在W-CDMA中,用戶身份由運(yùn)行通用用戶身份模塊(USIM)的通用集成電路卡(UICC)提供。USIM基于存儲在UICC上的共享秘密、從網(wǎng)絡(luò)接收的挑戰(zhàn)和重放攻擊防止代碼、以及比在GSM中使用的密碼算法增強(qiáng)的密碼算法,來產(chǎn)生例如會話密鑰。在W-CDMA中也比GSM增強(qiáng)了認(rèn)證信令,例如以防止某些中間人攻擊。
在開發(fā)用于保護(hù)蜂窩系統(tǒng)中的通信的安全方法的同時,對開發(fā)蜂窩終端的結(jié)構(gòu)的需求也在不斷增長。目前,大多數(shù)終端包含身份模塊槽,在該身份模塊槽中,用戶可以放置和替換身份模塊。還存在著朝向基于軟件的身份模塊的發(fā)展,所述基于軟件的身份模塊在物理上不可替換,以便實現(xiàn)簽約的空中改變、和/或防止從終端盜竊身份模塊。此類軟件身份模塊例如對于內(nèi)置車輛通信系統(tǒng)可能非常有用,使得它們的緊急報告能力和可能的防盜控制系統(tǒng)不會由于移除身份模塊而被容易地停用。那些安全模塊可以是蜂窩模式、SoC(片上系統(tǒng))、受信任元件或受信任平臺的一部分。這些嵌入式安全元件當(dāng)前主要用于機(jī)器類型通信(也稱為M2M)或物聯(lián)網(wǎng)通信。
安全嵌入式元件防止容易地被竊賊移除,但另一方面,預(yù)期各種蜂窩通信使能機(jī)器在市場上會持續(xù)15-20年(例如,交通燈、電表和停車計量器等)。而且,增加的計算能力可以幫助攻擊者嘗試濫用蜂窩系統(tǒng)。
技術(shù)實現(xiàn)要素:
本發(fā)明的示例的各個方面在權(quán)利要求書中闡明。
根據(jù)本發(fā)明的第一示例方面,提供了一種蜂窩終端中的方法,包括:
向蜂窩網(wǎng)絡(luò)傳送要求認(rèn)證過程觸發(fā)的請求,并且響應(yīng)地從所述蜂窩網(wǎng)絡(luò)接收認(rèn)證請求消息,所述認(rèn)證請求消息具有從一組多個密碼算法中選擇的密碼算法的指示;
根據(jù)所選擇的密碼算法,并且基于為所述蜂窩終端和所述蜂窩終端的網(wǎng)絡(luò)運(yùn)營商已知的共享秘密,將所述認(rèn)證請求消息解碼為經(jīng)解碼的認(rèn)證請求;
基于所述經(jīng)解碼的認(rèn)證請求、所述共享秘密和所選擇的密碼算法,產(chǎn)生認(rèn)證響應(yīng)消息并對所述認(rèn)證響應(yīng)消息進(jìn)行加密;以及
向所述蜂窩網(wǎng)絡(luò)傳送所述認(rèn)證響應(yīng)消息。
要求認(rèn)證過程觸發(fā)的請求可以是網(wǎng)絡(luò)注冊請求。
要求認(rèn)證過程觸發(fā)的請求可以是路由區(qū)域請求。
要求認(rèn)證過程觸發(fā)的請求可以是跟蹤區(qū)域更新請求。
可以從移動管理實體接收認(rèn)證請求消息??梢韵蛞苿庸芾韺嶓w傳送認(rèn)證響應(yīng)消息。
方法認(rèn)證請求可以是演進(jìn)分組系統(tǒng)架構(gòu)的認(rèn)證請求。
蜂窩終端可以包括安全實體。安全實體可以包括安全元件和用戶身份應(yīng)用。蜂窩終端可以包括用戶設(shè)備。用戶設(shè)備可以配置成通過無線電接口與基站進(jìn)行通信。安全實體可以配置成對認(rèn)證請求進(jìn)行解碼、以及產(chǎn)生認(rèn)證響應(yīng)。用戶設(shè)備可以選自:移動終端;膝上型計算機(jī);車輛;汽車;汽車鑰匙;便攜式設(shè)備;手持電子設(shè)備;以及具有蜂窩無線電能力的單功能或多功能設(shè)備。安全元件可以是可移除的,或者被嵌入或集成在現(xiàn)有處理器架構(gòu)(例如,基帶電路、主處理器、中央處理單元和/或主控制單元)中。
密碼算法可以選自:MILENAGE;128位TUAK;以及256位TUAK。TUAK可以指代符合3GPP TS 35.231v.12.0.1的算法集。TUAK可以配置成采用AES密碼。TUAK可以基于Keccak轉(zhuǎn)換。
認(rèn)證請求消息可以是擴(kuò)展認(rèn)證請求消息。擴(kuò)展認(rèn)證請求可以包括消息類型指示,該消息類型指示配置成使遺留終端忽略擴(kuò)展認(rèn)證請求消息。
擴(kuò)展認(rèn)證請求可以包括配置成容納256位認(rèn)證令牌AUTN的字段。
認(rèn)證令牌可以包括128位、192位、256位或320位。認(rèn)證令牌可以由128位、192位、256位或320位組成。在認(rèn)證令牌多于256位的情況下,可以丟棄超出的位。
認(rèn)證令牌可以包括序列號SQN。序列號可以由48位組成。
認(rèn)證令牌可以包括匿名密鑰AK。匿名密鑰可以由48位組成。
認(rèn)證令牌可以包括認(rèn)證管理字段AMF。認(rèn)證管理字段可以由16位組成。認(rèn)證管理字段可以包括7個備用位。備用位可以被用于指示密碼適配信息。密碼適配信息可以包括不同密碼參數(shù)的長度。
認(rèn)證令牌可以包括挑戰(zhàn)RAND。挑戰(zhàn)可以由128位組成。
蜂窩認(rèn)證可以采用加密密鑰CK。加密密鑰可以由64位、128位或256位組成。
蜂窩認(rèn)證可以采用完整性密鑰IK。完整性密鑰可以由64位、128位或256位組成。
蜂窩認(rèn)證可以采用響應(yīng)參數(shù)RES。響應(yīng)參數(shù)可以由32位、64位、128位或256位組成。
認(rèn)證請求消息可以是更新的認(rèn)證請求。更新的認(rèn)證請求可以包括用于指示哪個密碼算法正被用于認(rèn)證的標(biāo)識符。標(biāo)識符可以是除了正常認(rèn)證請求中的字段之外的新字段。正常認(rèn)證請求可以符合3GPP TS 24.301和3GPP TS 24.008??商娲?,標(biāo)識符可以被包含在認(rèn)證管理字段AMF的一個或多個位中。
認(rèn)證請求消息可以包括協(xié)議鑒別符。認(rèn)證請求消息可以包括安全報頭類型。認(rèn)證請求消息可以包括非接入層密鑰集標(biāo)識符。認(rèn)證請求消息可以包括備用的半個八位字節(jié)。認(rèn)證請求消息可以包括挑戰(zhàn)RAND(例如,演進(jìn)分組系統(tǒng)EPS挑戰(zhàn))。認(rèn)證請求消息可以包括認(rèn)證令牌AUTN。認(rèn)證令牌可以包括認(rèn)證管理字段AMF。認(rèn)證管理字段可以包括指示將被使用的TUAK的長度的參數(shù)(例如,128位或256位TUAK)。
消息類型可以與正常認(rèn)證請求消息的消息類型相匹配。更新的認(rèn)證請求可以包括256位認(rèn)證令牌字段。僅當(dāng)正在使用256位認(rèn)證令牌時,更新的認(rèn)證請求可以包括256位認(rèn)證令牌字段。否則,更新的認(rèn)證請求可以包括128位認(rèn)證令牌字段。
認(rèn)證響應(yīng)消息可以包括消息類型指示。消息類型指示可以將認(rèn)證響應(yīng)消息標(biāo)識為擴(kuò)展認(rèn)證響應(yīng)消息。消息類型指示可以與正常認(rèn)證響應(yīng)消息的消息類型指示相匹配。正常認(rèn)證響應(yīng)消息的消息類型指示可以符合3GPP TS 24.301。
擴(kuò)展認(rèn)證響應(yīng)消息可以包括可變長度認(rèn)證響應(yīng)參數(shù)RES。認(rèn)證響應(yīng)參數(shù)可以具有的長度選自下述中的任何一個或多個:32位、64位、128位或256位。
與正常認(rèn)證響應(yīng)消息相比,認(rèn)證響應(yīng)消息可以被提供具有新的信息元素。新的信息元素可以配置成容納128位或256位認(rèn)證響應(yīng)參數(shù)。
認(rèn)證響應(yīng)消息可以包括配置成容納128位或256位認(rèn)證響應(yīng)參數(shù)的擴(kuò)展認(rèn)證響應(yīng)參數(shù)字段。
認(rèn)證響應(yīng)消息可以包括密碼算法指示。
根據(jù)本發(fā)明的第二示例方面,提供了一種方法,包括:
識別供蜂窩終端使用的用于所述蜂窩終端的認(rèn)證的所選擇的密碼算法;
獲得與用于所述蜂窩終端的認(rèn)證的所選擇的密碼算法相對應(yīng)的網(wǎng)絡(luò)證書;
向所述蜂窩終端傳送具有所選擇的密碼算法的指示的認(rèn)證請求消息;
從所述蜂窩終端接收認(rèn)證響應(yīng)消息;
根據(jù)所選擇的密碼算法,對所述認(rèn)證響應(yīng)消息進(jìn)行解碼;以及
基于所述網(wǎng)絡(luò)證書和經(jīng)解碼的認(rèn)證響應(yīng)消息,確定所述蜂窩終端的認(rèn)證是成功的還是不成功的。
所述方法可以由移動管理實體執(zhí)行。
方法認(rèn)證請求可以是演進(jìn)分組系統(tǒng)架構(gòu)的認(rèn)證請求。
密碼算法可以從多個密碼算法中選擇。密碼算法可以選自:MILENAGE;128位TUAK;以及256位TUAK。
供蜂窩終端使用的用于蜂窩終端的認(rèn)證的所選擇的密碼算法的識別可以由移動管理實體執(zhí)行。
所述方法可以包括:確定蜂窩終端是否未能及時產(chǎn)生成功響應(yīng)消息,以及隨后使用所選擇的密碼算法發(fā)送新的認(rèn)證請求消息,或者選擇另一個密碼算法并發(fā)送新的認(rèn)證請求,所述新的認(rèn)證請求發(fā)送新的認(rèn)證請求消息。
供蜂窩終端使用的用于蜂窩終端的認(rèn)證的所選擇的密碼算法的識別可以由歸屬用戶服務(wù)器執(zhí)行。
可以使用擴(kuò)展認(rèn)證請求消息,向蜂窩終端傳送認(rèn)證請求消息。擴(kuò)展認(rèn)證請求可以包括消息類型指示,該消息類型指示配置成使遺留終端忽略擴(kuò)展認(rèn)證請求消息。
所述方法可以包括:如果所選擇的密碼算法的使用導(dǎo)致數(shù)據(jù)字段的總長度超過正常認(rèn)證請求的長度,則傳送擴(kuò)展認(rèn)證請求。擴(kuò)展認(rèn)證請求可以包括配置成容納256位認(rèn)證令牌AUTN的字段。
可以通過使用更新的認(rèn)證請求向蜂窩終端傳送認(rèn)證請求消息。更新的認(rèn)證請求可以包括用于指示哪個密碼算法正被用于認(rèn)證的標(biāo)識符。標(biāo)識符可以被添加為除了正常認(rèn)證請求中的字段之外的新字段。正常認(rèn)證請求可以符合3GPP TS 24.301或3GPP TS 24.008??商娲?,標(biāo)識符可以被包含在認(rèn)證管理字段AMF的一個或多個位中。
認(rèn)證令牌可以包括128位、192位、256位或320位。認(rèn)證令牌可以由128位、192位、256位或320位組成。在認(rèn)證令牌超出256位的情況下,可以丟棄超出的位。
認(rèn)證令牌可以包括序列號SQN。序列號可以由48位組成。
認(rèn)證令牌可以包括匿名密鑰AK。匿名密鑰可以由48位組成。
認(rèn)證令牌可以包括認(rèn)證管理字段AMF。認(rèn)證管理字段可以由16位組成。認(rèn)證管理字段可以包括7個備用位。備用位可以被用于指示密碼適配信息。密碼適配信息可以包括不同密碼參數(shù)的長度。
認(rèn)證令牌可以包括挑戰(zhàn)RAND。挑戰(zhàn)可以由128位組成。
蜂窩認(rèn)證可以采用加密密鑰CK。加密密鑰可以由64位、128位或256位組成。
蜂窩認(rèn)證可以采用完整性密鑰IK。完整性密鑰可以由64位、128位或256位組成。
蜂窩認(rèn)證可以采用響應(yīng)參數(shù)RES。響應(yīng)參數(shù)可以由32位、64位、128位或256位組成。
認(rèn)證請求消息可以包括協(xié)議鑒別符。認(rèn)證請求消息可以包括安全報頭類型。認(rèn)證請求消息可以包括非接入層密鑰集標(biāo)識符。認(rèn)證請求消息可以包括備用的半個八位字節(jié)。認(rèn)證請求消息可以包括挑戰(zhàn)RAND。認(rèn)證請求消息可以包括認(rèn)證令牌AUTN。認(rèn)證令牌可以包括認(rèn)證管理字段AMF。
消息類型可以與正常認(rèn)證請求消息的消息類型相匹配。更新的認(rèn)證請求可以包括256位認(rèn)證令牌字段。僅當(dāng)正使用256位認(rèn)證令牌時,更新的認(rèn)證請求可以包括256位認(rèn)證令牌字段。否則,更新的認(rèn)證請求可以包括128位認(rèn)證令牌字段。
認(rèn)證響應(yīng)消息可以包括消息類型指示。消息類型指示可以將認(rèn)證響應(yīng)消息標(biāo)識為擴(kuò)展認(rèn)證響應(yīng)消息。消息類型指示可以與正常認(rèn)證響應(yīng)消息的消息類型指示相匹配。正常認(rèn)證響應(yīng)消息的消息類型指示可以符合3GPP TS 24.008。
擴(kuò)展認(rèn)證響應(yīng)消息可以包括可變長度認(rèn)證響應(yīng)參數(shù)RES。認(rèn)證響應(yīng)參數(shù)可以具有的長度選自下述中的任何一個或多個:32位、64位、128位或256位。
與正常認(rèn)證響應(yīng)消息相比,認(rèn)證響應(yīng)消息可以被提供具有新的信息元素。新的信息元素可以配置成容納128位或256位認(rèn)證響應(yīng)參數(shù)。
認(rèn)證響應(yīng)消息可以包括配置成容納128位或256位認(rèn)證響應(yīng)參數(shù)的擴(kuò)展認(rèn)證響應(yīng)參數(shù)字段。
認(rèn)證響應(yīng)消息可以包括密碼算法指示。
根據(jù)本發(fā)明的第三示例方面,提供了一種過程,包括第一示例方面的方法和第二示例方面的方法。
根據(jù)本發(fā)明的第四示例方面,提供了一種裝置,包括至少一個存儲器和處理器,所述至少一個存儲器和處理器被共同配置成使裝置執(zhí)行第一示例方面的方法。
根據(jù)本發(fā)明的第五示例方面,提供了一種裝置,包括至少一個存儲器和處理器,所述至少一個存儲器和處理器被共同配置成使裝置執(zhí)行第二示例方面的方法。
根據(jù)本發(fā)明的第六示例方面,提供了一種裝置,包括用于執(zhí)行第一示例方面的方法的模塊。
根據(jù)本發(fā)明的第七示例方面,提供了一種裝置,包括用于執(zhí)行第二示例方面的方法的模塊。
根據(jù)本發(fā)明的第八示例方面,提供了一種系統(tǒng),包括第三或第五示例方面的裝置、以及第四或第六示例實施例的裝置。
根據(jù)本發(fā)明的第九示例方面,提供了一種計算機(jī)程序,包括配置成執(zhí)行第一或第二示例方面的方法的計算機(jī)可執(zhí)行程序代碼。
計算機(jī)程序可以被存儲在計算機(jī)可讀存儲介質(zhì)中。
任何前述存儲介質(zhì)可以包括數(shù)字?jǐn)?shù)據(jù)存儲裝置,諸如數(shù)據(jù)盤或磁盤、光學(xué)存儲裝置、磁存儲裝置、全息存儲裝置、光磁存儲裝置、相變存儲器、阻變隨機(jī)存取存儲器、磁隨機(jī)存取存儲器、固體電解質(zhì)存儲器、鐵電隨機(jī)存取存儲器、有機(jī)存儲器或聚合物存儲器。存儲介質(zhì)可以被形成到除了儲存存儲器之外沒有其他實質(zhì)功能的設(shè)備中,或者其可以被形成為具有其他功能的設(shè)備的一部分,包括但不限于計算機(jī)的存儲器、芯片集、以及電子設(shè)備的子組件。
前面已經(jīng)示出了本發(fā)明的不同非約束性示例方面和實施例。前文中的實施例僅僅用于解釋可以在本發(fā)明的實現(xiàn)中利用的所選方面或步驟??梢詢H參考本發(fā)明的某些示例方面來呈現(xiàn)一些實施例。應(yīng)當(dāng)理解的是,相應(yīng)的實施例也可以應(yīng)用于其他示例方面。
附圖說明
為了更完整地理解本發(fā)明的示例實施例,現(xiàn)在結(jié)合附圖參考下面的描述,在附圖中:
圖1示出示例實施例的系統(tǒng)的架構(gòu)圖;
圖2示出示例實施例的過程的流程圖;
圖3示出示例實施例的裝置的框圖;
圖4示出示例實施例的裝置的框圖;以及
圖5示出一流程圖,其示出根據(jù)示例實施例的蜂窩終端中的方法。
具體實施方式
通過參考附圖的圖1至4理解本發(fā)明的示例實施例及其潛在優(yōu)點。在本文檔中,相同的附圖標(biāo)記表示相同的部件或步驟。
圖1是示例實施例的系統(tǒng)的架構(gòu)圖。蜂窩終端100被繪制為具有用戶設(shè)備110和包含USIM 120的安全元件。在示例實施例中,USIM是軟件實現(xiàn)的安全元件上的應(yīng)用。系統(tǒng)還包括蜂窩電信網(wǎng)絡(luò)200,其包括E-UTRAN或eNB 210、移動性管理實體MME 220、歸屬用戶服務(wù)器HSS 230(例如,歸屬位置寄存器HLR、認(rèn)證中心AuC)、服務(wù)網(wǎng)關(guān)240、服務(wù)網(wǎng)關(guān)支持節(jié)點SGSN 250、通用陸地?zé)o線電接入網(wǎng)UTRAN 260和GSM EDGE無線電接入網(wǎng)GERAN 270。
圖2示出示例實施例的過程的流程圖。在步驟21中,蜂窩終端100向蜂窩網(wǎng)絡(luò)200傳送要求認(rèn)證過程觸發(fā)的請求。例如,蜂窩終端100經(jīng)由eNB 210向MME 220發(fā)送非接入層(NAS)附著請求或網(wǎng)絡(luò)注冊請求。MME 220從HSS 230請求22認(rèn)證數(shù)據(jù)(例如,認(rèn)證五元組),并且響應(yīng)地接收23具有所請求的認(rèn)證數(shù)據(jù)的認(rèn)證數(shù)據(jù)響應(yīng)。然后,MME 220對要求認(rèn)證的請求的傳送作出響應(yīng),使得蜂窩終端100從蜂窩網(wǎng)絡(luò)接收認(rèn)證請求消息,該認(rèn)證請求消息具有從一組多個密碼算法中選擇的密碼算法的指示。例如,MME 220向終端100發(fā)送24NAS認(rèn)證請求,如果終端100能夠?qū)AS認(rèn)證請求進(jìn)行解碼且產(chǎn)生NAS認(rèn)證響應(yīng),則終端100利用NAS認(rèn)證響應(yīng)進(jìn)行答復(fù)25。
為此,終端100必須支持由MME使用的認(rèn)證算法,并且擁有為HSS 230和終端100已知的共享秘密。如果終端100未能對NAS認(rèn)證請求進(jìn)行解碼,則終端100利用NAS認(rèn)證失敗進(jìn)行答復(fù)25’。
在示例實施例中,蜂窩終端根據(jù)所選擇的密碼算法、并且基于由蜂窩終端和蜂窩終端的網(wǎng)絡(luò)運(yùn)營商已知的共享秘密,將認(rèn)證請求消息解碼為經(jīng)解碼的認(rèn)證請求。在示例實施例中(例如,用于在步驟25中進(jìn)行答復(fù)),基于經(jīng)解碼的認(rèn)證請求、共享秘密和所選擇的密碼算法,蜂窩終端100產(chǎn)生認(rèn)證響應(yīng)消息并對認(rèn)證響應(yīng)消息進(jìn)行加密。
在NAS認(rèn)證請求的成功解碼、以及響應(yīng)性的NAS認(rèn)證響應(yīng)之后,MME向終端100發(fā)送26NAS安全模式完成消息,并且終端100利用對應(yīng)的NAS安全模式完成消息進(jìn)行答復(fù)27。在另一個示例實施例中,NAS安全模式完成和NAS安全模式完成答復(fù)中的任一個或兩者被省略,或者由一個或多個其它信號或消息替代。
圖2的各種消息以及它們的處理可以用各種不同的方式實現(xiàn)。
在示例實施例中,圖2的過程開始于向蜂窩網(wǎng)絡(luò)200要求認(rèn)證過程觸發(fā)的另一個請求(諸如跟蹤區(qū)域更新請求或路由區(qū)域請求),而不是網(wǎng)絡(luò)注冊請求。
在示例實施例中,認(rèn)證請求消息24包括從一組多個密碼算法中選擇的密碼算法的指示。在示例實施例中,密碼算法選自:MILENAGE;128位TUAK;以及256位TUAK。TUAK可以指代符合3GPP TS 35.231v.12.0.1的算法集。TUAK可以配置成采用AES密碼。TUAK可以基于Keccak置換。
在示例實施例中,所選擇的密碼算法采用加密密鑰CK。加密密鑰可以由64位、128位或256位組成。
在示例實施例中,所選擇的密碼算法采用完整性密鑰IK。完整性密鑰可以由64位、128位或256位組成。
在示例實施例中,所選擇的密碼算法采用響應(yīng)參數(shù)RES。響應(yīng)參數(shù)可以由32位、64位、128位或256位組成。
在示例實施例中,認(rèn)證請求消息24是擴(kuò)展認(rèn)證請求消息。在示例實施例中,擴(kuò)展認(rèn)證請求包括消息類型指示,其配置成使遺留終端忽略擴(kuò)展認(rèn)證請求消息。
在示例實施例中,擴(kuò)展認(rèn)證請求包括配置成容納256位認(rèn)證令牌AUTN的字段。
在示例實施例中,認(rèn)證請求消息24是更新的認(rèn)證請求。在示例實施例中,更新的認(rèn)證請求包括用于指示哪個密碼算法正被用于認(rèn)證的標(biāo)識符。在示例實施例中,標(biāo)識符是除了正常認(rèn)證請求中的那些之外的新字段。在示例實施例中,正常認(rèn)證請求符合3GPP TS 24.301和3GPP TS 24.008。在示例實施例中,標(biāo)識符被包含在認(rèn)證管理字段AMF的一個或多個位中。
在示例實施例中,認(rèn)證請求消息24包括協(xié)議鑒別符。在示例實施例中,認(rèn)證請求消息包括安全報頭類型。在示例實施例中,認(rèn)證請求消息包括非接入層密鑰集標(biāo)識符。在示例實施例中,認(rèn)證請求消息包括備用的半個八位字節(jié)。在示例實施例中,認(rèn)證請求消息包括挑戰(zhàn)RAND(例如,演進(jìn)分組系統(tǒng)EPS挑戰(zhàn))。在示例實施例中,認(rèn)證請求消息包括認(rèn)證令牌AUTN。在示例實施例中,認(rèn)證令牌包括認(rèn)證管理字段AMF。認(rèn)證管理字段可以包括指示將被使用的TUAK的長度(例如,128位TUAK或256位TUAK)的參數(shù)。
在示例實施例中,更新的認(rèn)證請求的消息類型與正常認(rèn)證請求消息的消息類型相匹配。在示例實施例中,更新的認(rèn)證請求包括256位認(rèn)證令牌字段。僅當(dāng)256位認(rèn)證令牌正被使用時,更新的認(rèn)證請求可以包括256位認(rèn)證令牌字段。否則,更新的認(rèn)證請求可以包括128位認(rèn)證令牌字段。
在示例實施例中,認(rèn)證令牌包括128位、192位、256位或320位。在示例實施例中,認(rèn)證令牌由128位、192位、256位或320位組成。在認(rèn)證令牌多于256位的情況下,可以丟棄超出的位。
在示例實施例中,認(rèn)證令牌包括序列號SQN。在示例實施例中,序列號由48位組成。
在示例實施例中,認(rèn)證令牌包括匿名密鑰AK。在示例實施例中,匿名密鑰由48位組成。
在示例實施例中,認(rèn)證令牌包括認(rèn)證管理字段AMF。在示例實施例中,認(rèn)證管理字段由16位組成。在示例實施例中,認(rèn)證管理字段包括7個備用位。在示例實施例中,備用位被用于指示密碼適配信息。在示例實施例中,密碼適配信息包括不同密碼參數(shù)的長度。
在示例實施例中,認(rèn)證令牌包括挑戰(zhàn)RAND。在示例實施例中,挑戰(zhàn)由128位組成。
在示例實施例中,根據(jù)所選擇的密碼算法、并且基于為蜂窩終端和蜂窩終端的網(wǎng)絡(luò)運(yùn)營商已知的共享秘密,將認(rèn)證請求消息24解碼為經(jīng)解碼的認(rèn)證請求。
在示例實施例中,所述過程包括:基于經(jīng)解碼的認(rèn)證請求、共享秘密和所選擇的密碼算法,產(chǎn)生認(rèn)證響應(yīng)消息25并對認(rèn)證響應(yīng)消息25進(jìn)行加密。
在示例實施例中,認(rèn)證響應(yīng)消息25包括消息類型指示。在示例實施例中,消息類型指示將認(rèn)證響應(yīng)消息標(biāo)識為擴(kuò)展認(rèn)證響應(yīng)消息。在示例實施例中,消息類型指示與正常認(rèn)證響應(yīng)消息的消息類型指示相匹配。在示例實施例中,正常認(rèn)證響應(yīng)消息的消息類型指示符合3GPP TS 24.301。
在示例實施例中,擴(kuò)展認(rèn)證響應(yīng)消息包括可變長度認(rèn)證響應(yīng)參數(shù)RES。在示例實施例中,認(rèn)證響應(yīng)參數(shù)所具有的長度選自下述中的任何一個或多個:32位、64位、128位或256位。
在示例實施例中,與正常認(rèn)證響應(yīng)消息相比,認(rèn)證響應(yīng)消息25被提供有新的信息元素。在示例實施例中,新的信息元素配置成容納128位或256位認(rèn)證響應(yīng)參數(shù)。
在示例實施例中,認(rèn)證響應(yīng)消息25包括配置成容納128位或256位認(rèn)證響應(yīng)參數(shù)的擴(kuò)展認(rèn)證響應(yīng)參數(shù)字段。
在示例實施例中,認(rèn)證響應(yīng)消息25包括密碼算法指示。
圖3示出根據(jù)示例實施例的裝置300的示例框圖。裝置300包括存儲器320,其包括易失性存儲器330和非易失性存儲器340,該非易失性存儲器340配置成存儲包括計算機(jī)程序代碼350的計算機(jī)程序或軟件。裝置300還包括:用于使用計算機(jī)程序代碼350控制裝置300的操作的至少一個處理器310;以及用于與其它實體或裝置通信的輸入/輸出系統(tǒng)360。因此,輸入/輸出系統(tǒng)360包括提供朝向其它實體和/或裝置的通信接口的一個或多個通信單元或模塊。在示例實施例中,處理器310配置成在易失性存儲器330中運(yùn)行程序代碼350。在示例實施例中,裝置300配置成充當(dāng)MME220。
處理器310包括例如下述中的任一個或多個:主控制單元(MCU);微處理器;數(shù)字信號處理器(DSP);專用集成電路(ASIC);現(xiàn)場可編程門陣列;以及微控制器。
圖4示出根據(jù)示例實施例的裝置400的示例框圖。裝置400包括存儲器420,其包括易失性存儲器430和非易失性存儲器440,該非易失性存儲器440配置成存儲包括計算機(jī)程序代碼450的計算機(jī)程序或軟件。裝置400還包括用于使用計算機(jī)程序代碼450控制裝置400的操作的至少一個處理器410。裝置400還包括用于與其它實體或裝置通信的輸入/輸出系統(tǒng)460。因此,輸入/輸出系統(tǒng)460包括提供朝向其它實體和/或裝置的通信接口的一個或多個通信單元或模塊。裝置400還包括安全元件(SE)470安全元件,其包含一個或多個網(wǎng)絡(luò)接入應(yīng)用諸如SIM(多個SIM)或USIM(多個USIM)。在示例實施例中,SE 470是由實現(xiàn)為軟件的安全元件托管的應(yīng)用。在另一個實施例中,安全元件470包括通用集成電路卡UICC。在示例實施例中,處理器410配置成在易失性存儲器430中運(yùn)行程序代碼450。在示例實施例中,裝置400配置成充當(dāng)蜂窩終端100。
處理器410包括例如下述中的任何一個或多個:主控制單元(MCU);微處理器;數(shù)字信號處理器(DSP);專用集成電路(ASIC);現(xiàn)場可編程門陣列;以及微控制器。
圖5示出一流程圖,其示出根據(jù)示例實施例的蜂窩終端中的方法,包括:
向蜂窩網(wǎng)絡(luò)傳送510要求認(rèn)證過程觸發(fā)的請求,并且響應(yīng)地從蜂窩網(wǎng)絡(luò)接收520認(rèn)證請求消息,其具有從一組多個密碼算法中選擇的密碼算法的指示;
530根據(jù)所選擇的密碼算法、并且基于為蜂窩終端和蜂窩終端的網(wǎng)絡(luò)運(yùn)營商已知的共享秘密,將認(rèn)證請求消息解碼為經(jīng)解碼的認(rèn)證請求;
基于經(jīng)解碼的認(rèn)證請求、共享秘密和所選擇的密碼算法,產(chǎn)生認(rèn)證響應(yīng)消息并對認(rèn)證響應(yīng)消息進(jìn)行加密540;以及
550向蜂窩網(wǎng)絡(luò)傳送認(rèn)證響應(yīng)消息。
在不以任何方式限制下面出現(xiàn)的權(quán)利要求書的范圍、解釋或應(yīng)用的情況下,本文中所公開的示例實施例中的一個或多個的技術(shù)效果是,當(dāng)兩個或更多的潛在算法(例如,Milenage和TUAK)可用時,尤其是如果TUAK算法可能以128位或256位被使用,則有可能利用TUAK運(yùn)行蜂窩認(rèn)證過程(特別地,認(rèn)證請求和響應(yīng))。
本文中所公開的示例實施例中的一個或多個的另一個技術(shù)效果是,網(wǎng)絡(luò)和安全元件可以動態(tài)地與期望的密碼算法適配。
本文中所公開的示例實施例中的一個或多個的另一個技術(shù)效果是,如果正常蜂窩認(rèn)證過程失敗,則也可以支持密碼操作。
本文中所公開的示例實施例中的一個或多個的另一個技術(shù)效果是,在嵌入式安全元件的情況下,盡管目前當(dāng)改變運(yùn)營商時用戶通常獲得新的UICC、并且運(yùn)營商因此知道該UICC的內(nèi)容和能力,但是用戶或簽約的所有者(諸如管理蜂窩通信機(jī)器的參與者)可能會改變機(jī)器的運(yùn)營商,在該情況下,新運(yùn)營商可能不知道UICC的內(nèi)容和/或能力,但是新運(yùn)營商仍能夠?qū)崿F(xiàn)蜂窩認(rèn)證過程的增強(qiáng)的安全性。
本發(fā)明的實施例可以在軟件、硬件、應(yīng)用邏輯、或者軟件、硬件和應(yīng)用邏輯的組合中實現(xiàn)。軟件、應(yīng)用邏輯和/或硬件可以駐留在存儲器320、非易失性存儲器340、存儲器420或非易失性存儲器440上。在示例實施例中,應(yīng)用邏輯、軟件或指令集被維持在各種常規(guī)計算機(jī)可讀介質(zhì)中的任一個上。在本文檔的上下文中,“計算機(jī)可讀介質(zhì)”可以是可包含、存儲、傳遞、傳播或傳輸指令的任何非暫時性介質(zhì)或裝置,所述指令由指令執(zhí)行系統(tǒng)、裝置或設(shè)備(諸如計算機(jī))使用或與其結(jié)合使用,其中所述計算機(jī)的一個示例在圖3或圖4中描述和描繪。計算機(jī)可讀介質(zhì)可以包括計算機(jī)可讀存儲介質(zhì),其可以是可包含或存儲指令的任何介質(zhì)或裝置,所述指令由指令執(zhí)行系統(tǒng)、裝置或設(shè)備(諸如計算機(jī))使用或與其結(jié)合使用。
如果需要,本文所討論的不同功能可以按照不同的順序執(zhí)行和/或彼此同時執(zhí)行。此外,如果需要,前述功能中的一個或多個可以是任選的或者可被組合。
盡管在獨立權(quán)利要求中闡述了本發(fā)明的各個方面,但是本發(fā)明的其他方面包括來自所述實施例和/或從屬權(quán)利要求的特征與獨立權(quán)利要求的特征的其他組合,而不僅僅是在權(quán)利要求中明確闡述的組合。
在本文中還應(yīng)注意的是,盡管前文描述了本發(fā)明的示例實施例,但是這些描述不應(yīng)被視為具有限制性意義。相反,在不脫離如所附權(quán)利要求中限定的本發(fā)明的范圍的情況下,可以作出若干變型和改型。