專利名稱:用于增強(qiáng)密鑰推衍算法靈活性的方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及用于增強(qiáng)密鑰推衍算法靈活性的方法和系統(tǒng)�����。
背景技術(shù):
在TS33.401和TS33. 102中定義了用戶鑒權(quán)過(guò)程中由K (密鑰)推衍CK/IK (加密 密鑰/完整性密鑰)及Kasme(其是根據(jù)CK/IK推衍得到的密鑰)并將它們進(jìn)行傳遞的過(guò)程����。如果網(wǎng)絡(luò)側(cè)需要對(duì)用戶設(shè)備(user equipment����,簡(jiǎn)稱為UE)進(jìn)行鑒權(quán),則移動(dòng)管理 實(shí)體(mobility management entity,簡(jiǎn)稱為 MME)向歸屬用戶月艮務(wù)器(home subscriber server�,簡(jiǎn)稱為HSQ發(fā)送認(rèn)證數(shù)據(jù)請(qǐng)求(Authentication data Request)消息請(qǐng)求鑒權(quán) 參數(shù),HSS生成認(rèn)證向量�����,其包括AUTN(網(wǎng)絡(luò)身份確認(rèn)標(biāo)記)、RAND (隨機(jī)數(shù))���、RES (用戶認(rèn) 證應(yīng)答)�����,由K和RAND按照推衍算法推衍出CK/IK��,進(jìn)而推衍出KASME��。然后,在認(rèn)證數(shù)據(jù)響 應(yīng)(Authentication data Response)消息中將參數(shù)(即�����,認(rèn)證向量AV)帶給MME��。MME將 RAND���、AUTN發(fā)給UE����,隨后在UE中��,按照相同的方法推衍出CK/IK及KASME����。該過(guò)程在圖1和 圖2所示的流程圖中示出���。此外,圖3和圖4示出了分別在HSS和UE中推衍認(rèn)證向量和密鑰的示圖���。從圖3和圖4中可以看出�����,HSS和通用用戶身份模塊(UniversalSubscriber Identity Module��,簡(jiǎn)稱為USIM)在密鑰推演過(guò)程中�,推衍CK/IK的算法是f3和f4��,此密鑰 推演算法是公開(kāi)的�����、默認(rèn)的����,每個(gè)鑒權(quán)過(guò)程都必須選擇算法f3和f4,由此就產(chǎn)生了一些限 制。在某些情況下單一的一種密鑰推衍算法已經(jīng)難以滿足需求����,例如在支持默認(rèn)算法的前 提下,運(yùn)營(yíng)商想對(duì)某些用戶鑒權(quán)過(guò)程使用自己特定的算法�,但這種需求不能被實(shí)現(xiàn),因此單 一的算法影響運(yùn)營(yíng)的靈活性���。因此��,需要一種增強(qiáng)密鑰推衍算法靈活性的方法和系統(tǒng)�����。
發(fā)明內(nèi)容
考慮到上述問(wèn)題而做出本發(fā)明����。根據(jù)本發(fā)明的一個(gè)方面�����,提供了一種用于增強(qiáng)密鑰推衍算法靈活性的方法�����,該方 法包括以下步驟S502����,HSS接收到來(lái)自MME的認(rèn)證數(shù)據(jù)請(qǐng)求消息之后,從密鑰推衍算法列 表中選擇一種密鑰推衍算法并推衍生成密鑰和認(rèn)證向量��;S504��,HSS通過(guò)認(rèn)證數(shù)據(jù)響應(yīng)消 息將認(rèn)證向量發(fā)送給MME �����;以及S506����,MME通過(guò)用戶認(rèn)證請(qǐng)求消息將認(rèn)證向量發(fā)送給UE。此外��,在步驟S502之前�����,還包括以下步驟MME在接收到來(lái)自UE的服務(wù)請(qǐng)求信息 的情況下或者M(jìn)ME自身決定對(duì)UE進(jìn)行鑒權(quán)����;以及MME向HSS發(fā)送認(rèn)證數(shù)據(jù)請(qǐng)求消息�。此外�,在步驟S506之后,還包括以下步驟UE接收所述用戶認(rèn)證請(qǐng)求信息�����,并將接 收到的所述認(rèn)證向量發(fā)送給USIM �;以及USIM根據(jù)認(rèn)證向量中包括的表示所選密鑰推衍算 法的信息從密鑰推衍算法列表中選擇對(duì)應(yīng)的密鑰推衍算法,根據(jù)該密鑰推衍算法和認(rèn)證向 量推衍生成密鑰�。 優(yōu)選地,預(yù)先在HSS和UE中分別存儲(chǔ)相同的密鑰推衍算法列表�����,其中�����,密鑰推衍算法列表包括默認(rèn)的密鑰推衍算法和運(yùn)營(yíng)商定制的密鑰推衍算法�����。此外�����,在認(rèn)證向量的網(wǎng)絡(luò)身份確認(rèn)標(biāo)記中的認(rèn)證管理功能域中攜帶表示所選擇的 密鑰推衍算法的信息���。優(yōu)選地��,在認(rèn)證管理功能域中的保留位中承載表示所選密鑰推衍算法的信息�����。其中���,表示所選密鑰推衍算法的信息為密鑰推衍算法的名稱?;蛘撸硎舅x密鑰 推衍算法的信息為密鑰推衍算法的序號(hào)��。優(yōu)選地��,HSS根據(jù)UE的安全能力��、網(wǎng)絡(luò)配置��、運(yùn)營(yíng)商的選擇等因素來(lái)選擇一種密鑰 推衍算法��。根據(jù)本發(fā)明的另一方面�����,提供了一種用于增強(qiáng)密鑰推衍算法靈活性的系統(tǒng),該系 統(tǒng)包括密鑰推衍算法選擇裝置��,設(shè)置在HSS中�,用于在HSS接收到來(lái)自MME的認(rèn)證數(shù)據(jù)請(qǐng) 求消息之后,從密鑰推衍算法列表中選擇一種密鑰推衍算法并推衍生成密鑰和認(rèn)證向量; 認(rèn)證數(shù)據(jù)響應(yīng)消息發(fā)送裝置��,設(shè)置在HSS中��,用于通過(guò)認(rèn)證數(shù)據(jù)響應(yīng)消息將認(rèn)證向量發(fā)送 給 MME ���;以及用戶認(rèn)證請(qǐng)求消息發(fā)送裝置�����,設(shè)置在MME中���,用于通過(guò)用戶認(rèn)證請(qǐng)求消息將 認(rèn)證向量發(fā)送給UE。此外�����,該系統(tǒng)還包括鑒權(quán)決定裝置�����,設(shè)置在MME中�,用于在接收到來(lái)自UE的服務(wù) 請(qǐng)求信息的情況下或者鑒權(quán)決定裝置自身決定對(duì)UE進(jìn)行鑒權(quán);以及認(rèn)證數(shù)據(jù)請(qǐng)求消息發(fā) 送裝置���,設(shè)置在MME中���,用于向HSS發(fā)送認(rèn)證數(shù)據(jù)請(qǐng)求消息。此外���,該系統(tǒng)還包括用戶認(rèn)證請(qǐng)求消息接收裝置�����,設(shè)置在UE中�,用于接收用戶認(rèn) 證請(qǐng)求消息并將接收到的認(rèn)證向量發(fā)送給USIM �;以及密鑰推衍裝置,設(shè)置在USIM中��,用于 根據(jù)認(rèn)證向量中包括的表示所選密鑰推衍算法的信息從密鑰推衍算法列表中選擇對(duì)應(yīng)的 密鑰推衍算法��,根據(jù)該密鑰推衍算法和認(rèn)證向量推衍生成密鑰�。優(yōu)選地��,預(yù)先在HSS和USIM中分別存儲(chǔ)相同的密鑰推衍算法列表�����,其中��,密鑰推衍 算法列表包括默認(rèn)的密鑰推衍算法和運(yùn)營(yíng)商定制的密鑰推衍算法�����。此外�,在認(rèn)證向量的網(wǎng)絡(luò)身份確認(rèn)標(biāo)記中的認(rèn)證管理功能域中攜帶表示所選擇的 密鑰推衍算法的信息�。優(yōu)選地,在認(rèn)證管理功能域的保留位中承載表示所選密鑰推衍算法的信息���。其中�,表示所選密鑰推衍算法的信息為密鑰推衍算法的名稱�。或者�����,表示所選密鑰 推衍算法的信息為密鑰推衍算法的序號(hào)。優(yōu)選地���,密鑰推衍算法選擇裝置根據(jù)UE的安全能力�����、網(wǎng)絡(luò)配置、運(yùn)營(yíng)商的選擇等 因素來(lái)選擇一種密鑰推衍算法��。在本發(fā)明的技術(shù)方案中�,提供了密鑰推衍算法可選的方法,從而增強(qiáng)了算法的靈 活性���,滿足了運(yùn)營(yíng)商的潛在需求�����。本發(fā)明的其它特征和優(yōu)點(diǎn)將在隨后的說(shuō)明書(shū)中闡述���,并且,部分地從說(shuō)明書(shū)中變 得顯而易見(jiàn)�����,或者通過(guò)實(shí)施本發(fā)明而了解。本發(fā)明的目的和其他優(yōu)點(diǎn)可通過(guò)在所寫(xiě)的說(shuō)明 書(shū)����、權(quán)利要求書(shū)、以及附圖中所特別指出的結(jié)構(gòu)來(lái)實(shí)現(xiàn)和獲得���。
此處所說(shuō)明的附圖用來(lái)提供對(duì)本發(fā)明的進(jìn)一步理解�,構(gòu)成本申請(qǐng)的一部分����,本發(fā)
5明的示意性實(shí)施例及其說(shuō)明用于解釋本發(fā)明,并不構(gòu)成對(duì)本發(fā)明的不當(dāng)限定�����。在附圖中圖1是示出現(xiàn)有技術(shù)中在MME和HSS之間傳送認(rèn)證消息的示圖���;圖2是示出現(xiàn)有技術(shù)中在MME和UE之間傳送認(rèn)證消息的示圖���;圖3是示出現(xiàn)有技術(shù)在HSS中推衍認(rèn)證向量和密鑰的示圖;圖4是示出現(xiàn)有技術(shù)在UE中推衍密鑰的示圖�����;圖5是示出根據(jù)本發(fā)明的用于增強(qiáng)密鑰推衍算法靈活性的方法的流程圖;圖6是示出根據(jù)本發(fā)明的用于增強(qiáng)密鑰推衍算法靈活性的系統(tǒng)的框圖��;圖7是示出根據(jù)本發(fā)明實(shí)施例的密鑰算法的選擇和傳遞處理的流程圖�;以及圖8是示出根據(jù)本發(fā)明實(shí)施例的認(rèn)證管理功能(authenticationmanagement function,簡(jiǎn)稱為AMF)域的結(jié)構(gòu)的示圖��。
具體實(shí)施例方式下面將結(jié)合附圖來(lái)詳細(xì)說(shuō)明本發(fā)明的實(shí)施例���。圖5是示出根據(jù)本發(fā)明的用于增強(qiáng)密鑰推衍算法靈活性的方法的流程圖。參照?qǐng)D5��,根據(jù)本發(fā)明的方法包括以下步驟S502�����,HSS接收到來(lái)自MME的認(rèn)證數(shù) 據(jù)請(qǐng)求消息之后����,從密鑰推衍算法列表中選擇一種密鑰推衍算法并推衍生成密鑰和認(rèn)證向 量;HSS通過(guò)認(rèn)證數(shù)據(jù)響應(yīng)消息將認(rèn)證向量發(fā)送給MME �;以及MME通過(guò)用戶認(rèn)證請(qǐng)求消息將 認(rèn)證向量發(fā)送給UE。圖6是示出根據(jù)本發(fā)明的用于增強(qiáng)密鑰推衍算法靈活性的系統(tǒng)的框圖����。參照?qǐng)D6,根據(jù)本發(fā)明的系統(tǒng)包括密鑰推衍算法選擇裝置602,設(shè)置在HSS中�����,用 于在HSS接收到來(lái)自MME的認(rèn)證數(shù)據(jù)請(qǐng)求消息之后���,從密鑰推衍算法列表中選擇一種密鑰 推衍算法并推衍生成密鑰和認(rèn)證向量�;認(rèn)證數(shù)據(jù)響應(yīng)消息發(fā)送裝置604�����,設(shè)置在HSS中�����,用 于通過(guò)認(rèn)證數(shù)據(jù)響應(yīng)消息將認(rèn)證向量發(fā)送給MME ��;以及用戶認(rèn)證請(qǐng)求消息發(fā)送裝置606�,設(shè) 置在MME中,用于通過(guò)用戶認(rèn)證請(qǐng)求消息將認(rèn)證向量發(fā)送給UE�。下面,參照?qǐng)D7和圖8詳細(xì)描述本發(fā)明的實(shí)施例�����。圖7是示出根據(jù)本發(fā)明實(shí)施例的密鑰算法的選擇和傳遞處理的流程圖。首先�����,在HSS和USIM中預(yù)先存儲(chǔ)密鑰推衍算法列表����。該列表包含多種密鑰推衍算 法。在該密鑰推衍算法列表中包含默認(rèn)的密鑰推衍算法�����,即表1中第一行所示的算法���,此外 還可以包含運(yùn)營(yíng)商自己定制的推衍算法,如表1中的第二行����、第三行...所示的算法,因此 不同的運(yùn)營(yíng)商可以根據(jù)不同需要定制自己想使用的推衍算法�。表 權(quán)利要求
1.一種用于增強(qiáng)密鑰推衍算法靈活性的方法,其特征在于���,所述方法包括以下步驟 S502�,歸屬用戶服務(wù)器接收到來(lái)自移動(dòng)管理實(shí)體的認(rèn)證數(shù)據(jù)請(qǐng)求消息之后,從密鑰推衍算法列表中選擇一種密鑰推衍算法并推衍生成密鑰和認(rèn)證向量����;S504,所述歸屬用戶服務(wù)器通過(guò)認(rèn)證數(shù)據(jù)響應(yīng)消息將所述認(rèn)證向量發(fā)送給所述移動(dòng)管 理實(shí)體����;以及S506,所述移動(dòng)管理實(shí)體通過(guò)用戶認(rèn)證請(qǐng)求消息將所述認(rèn)證向量發(fā)送給用戶設(shè)備��。
2.根據(jù)權(quán)利要求1所述的方法����,其特征在于,在步驟S502之前����,還包括以下步驟 所述移動(dòng)管理實(shí)體在接收到來(lái)自所述用戶設(shè)備的服務(wù)請(qǐng)求信息的情況下或者所述移動(dòng)管理實(shí)體自身決定對(duì)所述用戶設(shè)備進(jìn)行鑒權(quán);以及所述移動(dòng)管理實(shí)體向所述歸屬用戶服務(wù)器發(fā)送所述認(rèn)證數(shù)據(jù)請(qǐng)求消息����。
3.根據(jù)權(quán)利要求1所述的方法,其特征在于�����,在所述步驟S506之后,還包括以下步驟 所述用戶設(shè)備接收所述用戶認(rèn)證請(qǐng)求信息����,并將接收到的所述認(rèn)證向量發(fā)送給通用用戶身份模塊;以及所述通用用戶身份模塊根據(jù)所述認(rèn)證向量中包括的表示所選密鑰推衍算法的信息從 所述密鑰推衍算法列表中選擇對(duì)應(yīng)的密鑰推衍算法�����,根據(jù)該密鑰推衍算法和所述認(rèn)證向量 推衍生成密鑰����。
4.根據(jù)權(quán)利要求3所述的方法,其特征在于�����,預(yù)先在所述歸屬用戶服務(wù)器和所述通用 用戶身份模塊中分別存儲(chǔ)相同的密鑰推衍算法列表��。
5.根據(jù)權(quán)利要求4所述的方法���,其特征在于,所述密鑰推衍算法列表包括默認(rèn)的密鑰 推衍算法和運(yùn)營(yíng)商定制的密鑰推衍算法��。
6.根據(jù)權(quán)利要求3所述的方法�����,其特征在于,在所述認(rèn)證向量的網(wǎng)絡(luò)身份確認(rèn)標(biāo)記中 的認(rèn)證管理功能域中攜帶表示所選密鑰推衍算法的信息�����。
7.根據(jù)權(quán)利要求6所述的方法�����,其特征在于��,在所述認(rèn)證管理功能域中的保留位中承 載表示所選密鑰推衍算法的信息���。
8.根據(jù)權(quán)利要求7所述的方法���,其特征在于,表示所選密鑰推衍算法的信息為密鑰推 衍算法的名稱�����。
9.根據(jù)權(quán)利要求7所述的方法���,其特征在于���,表示所選密鑰推衍算法的信息為密鑰推 衍算法的序號(hào)��。
10.根據(jù)權(quán)利要求1至9中任一項(xiàng)所述的方法��,其特征在于��,所述歸屬用戶服務(wù)器根據(jù) 所述用戶設(shè)備的安全能力�、網(wǎng)絡(luò)配置���、運(yùn)營(yíng)商的選擇等因素來(lái)選擇一種密鑰推衍算法�。
11.一種用于增強(qiáng)密鑰推衍算法靈活性的系統(tǒng)���,其特征在于�,所述系統(tǒng)包括密鑰推衍算法選擇裝置����,設(shè)置在歸屬用戶服務(wù)器中,用于在歸屬用戶服務(wù)器接收到來(lái) 自移動(dòng)管理實(shí)體的認(rèn)證數(shù)據(jù)請(qǐng)求消息之后���,從密鑰推衍算法列表中選擇一種密鑰推衍算法 并推衍生成密鑰和認(rèn)證向量;認(rèn)證數(shù)據(jù)響應(yīng)消息發(fā)送裝置�����,設(shè)置在所述歸屬用戶服務(wù)器中,用于通過(guò)認(rèn)證數(shù)據(jù)響應(yīng) 消息將所述認(rèn)證向量發(fā)送給所述移動(dòng)管理實(shí)體���;以及用戶認(rèn)證請(qǐng)求消息發(fā)送裝置��,設(shè)置在所述移動(dòng)管理實(shí)體中�����,用于通過(guò)用戶認(rèn)證請(qǐng)求消 息將所述認(rèn)證向量發(fā)送給用戶設(shè)備�����。
12.根據(jù)權(quán)利要求11所述的系統(tǒng)��,其特征在于�,所述系統(tǒng)還包括鑒權(quán)決定裝置�,設(shè)置在所述移動(dòng)管理實(shí)體中,用于在接收到來(lái)自所述用戶設(shè)備的服務(wù) 請(qǐng)求信息的情況下或者所述鑒權(quán)決定裝置自身決定對(duì)所述用戶設(shè)備進(jìn)行鑒權(quán)���;以及認(rèn)證數(shù)據(jù)請(qǐng)求消息發(fā)送裝置���,設(shè)置在所述移動(dòng)管理實(shí)體中���,用于向所述歸屬用戶服務(wù) 器發(fā)送所述認(rèn)證數(shù)據(jù)請(qǐng)求消息。
13.根據(jù)權(quán)利要求11所述的系統(tǒng)����,其特征在于,所述系統(tǒng)還包括用戶認(rèn)證請(qǐng)求消息接收裝置���,設(shè)置在所述用戶設(shè)備中��,用于接收所述用戶認(rèn)證請(qǐng)求消 息并將接收到的所述認(rèn)證向量發(fā)送給通用用戶身份模塊��;以及密鑰推衍裝置����,設(shè)置在所述通用用戶身份模塊中����,用于根據(jù)所述認(rèn)證向量中包括的表 示所選密鑰推衍算法的信息從所述密鑰推衍算法列表中選擇對(duì)應(yīng)的密鑰推衍算法,根據(jù)該 密鑰推衍算法和所述認(rèn)證向量推衍生成密鑰���。
14.根據(jù)權(quán)利要求13所述的系統(tǒng)��,其特征在于����,預(yù)先在所述歸屬用戶服務(wù)器和所述通 用用戶身份模塊中分別存儲(chǔ)相同的密鑰推衍算法列表��。
15.根據(jù)權(quán)利要求14所述的系統(tǒng)�,其特征在于,所述密鑰推衍算法列表包括默認(rèn)的密 鑰推衍算法和運(yùn)營(yíng)商定制的密鑰推衍算法�����。
16.根據(jù)權(quán)利要求13所述的系統(tǒng)�����,其特征在于�,在所述認(rèn)證向量的網(wǎng)絡(luò)身份確認(rèn)標(biāo)記 中的認(rèn)證管理功能域中攜帶表示所選密鑰推衍算法的信息。
17.根據(jù)權(quán)利要求16所述的系統(tǒng),其特征在于,在所述認(rèn)證管理功能域的保留位中承 載表示所選密鑰推衍算法的信息����。
18.根據(jù)權(quán)利要求17所述的系統(tǒng)��,其特征在于����,表示所選密鑰推衍算法的信息為密鑰 推衍算法的名稱�。
19.根據(jù)權(quán)利要求17所述的系統(tǒng),其特征在于���,表示所選密鑰推衍算法的信息為密鑰 推衍算法的序號(hào)�����。
20.根據(jù)權(quán)利要求11至19中任一項(xiàng)所述的系統(tǒng),其特征在于�����,所述歸屬用戶服務(wù)器根 據(jù)所述用戶設(shè)備的安全能力�����、網(wǎng)絡(luò)配置�、運(yùn)營(yíng)商的選擇等因素來(lái)選擇一種密鑰推衍算法。
全文摘要
本發(fā)明公開(kāi)了用于增強(qiáng)密鑰推衍算法靈活性的方法和系統(tǒng)���,其中�,該方法包括S502�����,HSS接收到來(lái)自MME的認(rèn)證數(shù)據(jù)請(qǐng)求消息之后����,從密鑰推衍算法列表中選擇一種密鑰推衍算法并推衍生成密鑰和認(rèn)證向量��;S504��,HSS通過(guò)認(rèn)證數(shù)據(jù)響應(yīng)消息將認(rèn)證向量發(fā)送給MME��;以及S506���,MME通過(guò)用戶認(rèn)證請(qǐng)求消息將認(rèn)證向量發(fā)送給UE����。通過(guò)本發(fā)明,提供了密鑰推衍算法可選的方法�,從而增強(qiáng)了算法的靈活性����,滿足了運(yùn)營(yíng)商的潛在需求��。
文檔編號(hào)H04W12/04GK102083064SQ200910241588
公開(kāi)日2011年6月1日 申請(qǐng)日期2009年11月26日 優(yōu)先權(quán)日2009年11月26日
發(fā)明者習(xí)建德, 姜曉寧, 孫偉, 李郜偉, 蘇麗芳, 趙國(guó)勝 申請(qǐng)人:大唐移動(dòng)通信設(shè)備有限公司