当前位置: 首页 > 专利查询>诺基亚公司专利>正文

使用NAF密钥的设备到设备安全性制造技术

技术编号:10557839 阅读:155 留言:0更新日期:2014-10-22 13:11
本发明专利技术公开了用于在各自具有蜂窝标识的第一和第二安全蜂窝设备之间建立安全的离线网络通信的方法、装置和计算机程序产品。第二安全蜂窝设备可以承担远程设备的用于与NAF密钥服务器交互的角色并且可以获得本地密钥。第一安全蜂窝设备可以推导出本地密钥并且两个设备可以使用共享的本地密钥进行安全通信。两个安全蜂窝设备可以交替安全主机和远程设备的角色,每个两次获得和推导出共享的本地密钥,从而有两个这样的密钥。设备可以利用一个密钥用于在一个方向上的安全通信而利用另一密钥用于在另一方向上的通信。可替换地,设备可以根据两个共享密钥推导出唯一的共享密钥。

【技术实现步骤摘要】
【国外来华专利技术】使用NAF密钥的设备到设备安全性
本专利技术涉及移动通信技术,并且更具体而言,涉及在使用网络应用功能(NAF)密钥而启用的设备之间安全离线网络通信。
技术介绍
随着智能手机和具有通信能力的移动计算设备的日益普及,许多通信网络正变得过载。经常难以通过无线网络建立通信,因为它的资源被网络负载所完全阻碍。“设备到设备”直接通信能够通过将否则会成为网络流量的内容卸载到设备之间直接通信路径来缓解这一问题。这种替代性方案引起了与通信安全相关的问题。设备各自必须关于它们的蜂窝标识认证彼此。设备间的任何安全关联(即,安全密钥加密的信令)必须继续符合合法监听的要求。用于在两个设备之间创建安全通道的一种技术仅涉及期望进行通信的两个设备。通常情况下,设备必须彼此接近(比如蓝牙设备、或者经由通用串行总线(USB)电缆、红外链路或串行电缆链路而连接)。设备需要用户交互,从而例如插入共享秘密(例如,密码学密钥)、手机一起握手、或者以其他方式通过用户操纵来建立它们之间的一些类型的连接。这些技术不满足合法监听要求,因为所建立的安秘密对于合法监听机构不可用。用于在两个设备之间建立安全通道的另一种技术涉及可信第三方。这种技术包括向设备提供由用户按需访问和使用的共享密钥或信任证书。通信3GPPTM技术规范TS33.259描述了使用NAF密钥中心,但并没有规定远程设备和密钥中心如何能够相互地认证彼此。编写TS33.259假定远程设备将例如是个人计算机(PC)。参考图3,示出了用于支持这种技术以出于保护设备间的通信的目的而在经由本地接口44连接的通用集成电路卡(UICC)宿主设备40和远程设备42之间建立安全通道的架构。图3的架构是在用于密钥建立的3GPPTMTS33.259(v.10.0)中规定的,将其整体并入于此,就像在本文全面阐述的一样。继续参考图3,UICC宿主设备40和远程设备42之间的本地接口44通常经由短距离射频(RF)连接(例如,蓝牙或红外(IR))或者有线连接(例如,USB电缆或串行电缆)来实现。密钥安全处理的目标是实现UICC宿主40和远程设备42共享的本地密钥从而它们能够安全地交换数据。通常,远程设备42从UICC宿主设备40请求对于最终推导出共享的本地密钥(Ks_local_device)的所必需的参数,该本地密钥将促进安全通信。这些参数包括NAF-ID和引导事务标识符(B-TID)。远程设备42和NAF密钥中心46经由安全的传输层安全预共享密钥(TLS-PSK)隧道建立通信链接。远程设备42针对共享密钥(Ks_local_device)向NAF密钥中心46发送请求。NAF密钥中心46使用远程设备42提供的参数来计算新的共享的本地密钥并且返回包含共享的本地密钥Ks_local_device的值和它的生命周期的消息。远程设备42存储共享的本地密钥并且向UICC宿主设备40发送已经建立了密钥的消息。远程设备42然后连同新的共享的本地密钥的生命周期向宿主设备40发送被提供NAF密钥中心46的相同的参数。共享的本地密钥(Ks_local_device)自身从不在远程设备42和UICC设备40之间交换。UICC宿主设备40使用来自远程设备42的参数以推导出本地共享的设备密钥Ks_local_device并且本地存储它。UICC宿主设备40用信号通知远程设备42密钥验证成功。在两个设备之间的安全通信使用共享的本地密钥继续。如果远程设备42没有网络连接性以便直接访问NAF,它的通信可以被通过UICC宿主设备40路由到NAF46(网络共享)。用于推导出共享的本地密钥的协议如上文所描述的那样进行。这种协议假定远程设备是个人计算机或其他计算设备。因此,协议不提供远程设备42和NAF密钥中心相互地认证彼此的方式,因为没有关于可用安全机制(例如,在PC中的)的假定能够在编写标准的期间被制定。图3的“UICC宿主设备”是对于演进的通信设备的太窄的参考,演进的通信设备例如包括移动(蜂窝)电话、各种计算设备、个人数字助理(PDA)、笔记本电脑、平板电脑等。这些设备中的每个设备可以配备有安全的密钥导出特征,如例如SIM、ISIM、USIM、ICC_ID、C-SIM、RUIM、或者SIP摘要机制应用(统称为“安全性基础”)。这些是基准密钥导出特征并且可以被UICC、SIM卡、嵌入式SIM能力、或者其他形式的安全元件(例如,ARMTrustZone芯片或其他安全芯片)所托管。甚至现有处理器中的安全元件的虚拟化是可能的。出于这些原因,在本描述的剩余部分,图3的“UICC宿主设备”将被更一般的“安全蜂窝设备”所取代以涵盖更宽领域的安全通信设备。
技术实现思路
本专利技术现在假定第二设备,即“远程设备”,配备有网络应用访问凭证(即SIM、ISIM、C-SIM、SIP摘要凭证)。这些凭证可能被编码在可移动或嵌入式的UICC上。本专利技术考虑如下事实,在“远程设备”中存在能够被进一步用于提高和改善现有的方法的安全性基础。本专利技术的一个示例实施例提供一种机制,用于通过扩展NAF密钥服务器功能性来在具有蜂窝标识和安全性基础的两个设备之间建立运营商受控的安全关联。这样的安全关联可以被合法监听机构所使用。网络应用功能(NAF)是通用引导架构(GBA)的一部分并且GBA在NAF服务器和设备之间提供共享的密码学秘密。在第一示例性实施例,提供了一种方法,其包括使具有蜂窝标识的安全蜂窝设备与通信网络应用功能(NAF)密钥服务器相链接,使得所述安全设备的所述蜂窝标识被使用所述NAF密钥服务器进行认证,并且推导出用于安全的离线网络通信的第一本地密钥。该方法可以进一步包括使用所述第一本地密钥来进行与另一安全蜂窝设备的安全的离线网络通信,使得向NAF密钥服务器提供引导识别和外部密钥,并且使得提供网络共享功能用于远程设备链接到NAF密钥服务器。该方法还可以包括承担远程设备的用于网络认证的功能,包括使得向NAF密钥服务器提供引导识别和外部密钥,并且接收来自NAF密钥服务器的用于安全的离线网络通信的第二本地密钥,使得通过安全隧道作为远程设备与网络密钥服务器建立链接,并且使用第一密钥用于与另一设备的在第一方向上的通信,而第二密钥用于与该另一设备在另一方向上的通信,或者根据用于安全的离线网络通信的第一密钥和第二密钥推导出一个唯一密钥。在另一示例性实施例中,提供了一种装置,其包括至少一个处理器和至少一个包括计算机程序代码的存储器,所述至少一个存储器和至少一个计算机程序代码被配置为利用所述至少一个处理器使得所述装置至少:使得具有蜂窝标识的安全蜂窝设备与通信网络应用功能(NAF)密钥服务器相链接,使得UICC设备的蜂窝标识被使用NAF密钥服务器进行认证,以及推导出用于安全的离线网络通信的第一本地密钥。该装置还可以被配置为使用本地密钥来进行与另一安全蜂窝设备的安全的离线网络通信,执行具有蜂窝标识的远程设备的功能,使得通过安全隧道与NAF密钥服务器建立链接。该装置还被配置为使用所述NAF密钥服务器认证它的蜂窝标识,接收来自所述NAF密钥服务器的用于安全的离线网络通信的第二本地密钥,在双向的安全的离线网络通信中利用所述第一本地密钥和所述第二本地密钥,并且使用所述第一密钥用于在第一方向上的通信,而使用第二密钥用于在本文档来自技高网
...
使用NAF密钥的设备到设备安全性

【技术保护点】
一种方法,包括:使得具有蜂窝标识的安全设备与通信网络应用功能(NAF)密钥服务器相链接,使得所述安全设备的所述蜂窝标识被使用所述NAF密钥服务器来认证,以及推导出用于安全的离线网络通信的第一本地密钥,并且使用所述第一本地密钥来进行与另一安全蜂窝设备的安全的离线网络通信。

【技术特征摘要】
【国外来华专利技术】1.一种用于通信的方法,包括:使得具有蜂窝标识的安全蜂窝设备与通信网络应用功能(NAF)密钥服务器相链接;使得所述安全蜂窝设备的所述蜂窝标识使用所述NAF密钥服务器被认证;使得另一安全蜂窝设备与所述NAF密钥服务器相链接;使得所述另一安全蜂窝设备使用所述NAF密钥服务器被认证;在所述安全蜂窝设备中推导出用于安全的离线网络通信的第一本地密钥,并从所述NAF密钥服务器向所述另一安全蜂窝设备传输所述第一本地密钥,所述第一本地密钥在所述安全蜂窝设备的第一模式中被提供;在所述另一安全蜂窝设备中推导出用于安全的离线网络通信的第二本地密钥,并从所述NAF密钥服务器向所述安全蜂窝设备传输所述第二本地密钥,所述第二本地密钥在所述安全蜂窝设备的第二模式中被提供,所述第二模式不同于所述第一模式;在所述安全蜂窝设备和所述另一安全蜂窝设备处基于所述第一本地密钥和所述第二本地密钥推导出共享密钥;以及使用所述共享密钥来进行所述安全蜂窝设备与所述另一安全蜂窝设备之间的安全的离线网络通信。2.根据权利要求1所述的方法,还包括:使得向所述NAF密钥服务器提供引导识别和外部密钥。3.根据权利要求1-2中任一项所述的方法,还包括:使得提供网络共享功能以用于将所述安全蜂窝设备或所述另一安全蜂窝设备作为远程设备链接到所述NAF密钥服务器。4.根据权利要求1-2中任一项所述的方法,还包括:承担所述安全蜂窝设备或所述另一安全蜂窝设备作为远程设备用于网络认证的功能,包括:使得向NAF密钥服务器提供引导识别和外部密钥,以及接收来自所述NAF密钥服务器的用于安全的离线网络通信的第二本地密钥。5.根据权利要求4所述的方法,还包括:使得所述安全蜂窝设备或所述另一安全蜂窝设备作为远程设备通过安全隧道与所述NAF密钥服务器建立链接。6.一种用于通信的装置,包括至少一个处理器和包括计算机程序代码的至少一个存储器,所述至少一个存储器和一个计算机程序代码被配置为利用所述至少一个处理器使得所述装置至少:使得具有蜂窝标识的安全蜂窝设备与通信网络应用功能(NAF)密钥服务器相链接;使得所述安全蜂窝设备的所述蜂窝标识被使用所述NAF密钥服务器来认证;使得另一安全蜂窝设备与所述NAF密钥服务器相链接;使得所述另一安全蜂窝设备被使用所述NAF密钥服务器来认证;在所述安全蜂窝设备中推导出用于安全的离线网络通信的第一本地密钥,并从所述NAF密钥服务器向所述另一安全蜂窝设备传输所述第一本地密钥,所述第一本地密钥在所述安全蜂窝设备的第一模式中被提供;在所述另一安全蜂窝设备中推导出用于安全的离线网络通信的第二本地密钥,并从所述NAF密钥服务器向所述安全蜂窝设备传输所述第二本地密钥,所述第二本地密钥在所述安全蜂窝设备的第二模式中被提供,所述第二模式不同于所述第一模式;在所述安全蜂窝设备和所述另一安全蜂窝设备处基于所述第一本地密钥和所述第二本地密钥推导出共享密钥;以及使用所述共享密钥来进行所述安全蜂窝设备与所述另一安全蜂窝设备之间的安全的离线网络通信。7.根据权利要求6所述的装置,其中,所述装置还被配置为执行所述安全蜂窝设备或所述另一安全蜂窝设备的、作为具有蜂窝标识的远程设备的功能。8.根据权利要求7所述的装置,其中,所述装置还被配置为使得通过传输层安全预共享密钥(TLS-PSK)隧道与所述NAF密钥服务器建立链接。9.根据权利要求7所述的装置,其中,所述装置还被配置为使用所述NAF密钥服务器来认证它的蜂窝标识。10.根据权利要求7所述的装置,其中,所述装置还被配置为在双向的安全的离线网络通信中利用所述第一本地密钥和所述第二本地密钥。11.根据权利要求7所述的装置,其中,所述装置被配置为根据所述第一本地密钥和所述第二本地密钥推导出所述共享密钥。12.一种计算机可读介质,具有存储在其中的可执行的计算机可读程序代码指令,所述计算机可读程序代码指令在由一个或多个处理器执行时使得装置至少执行以下步骤:使得具有蜂窝标识的安全蜂窝设备与通信网络应用功能(NAF)密钥服务器相链接;使得所述蜂窝标识被使用所述NAF密钥服务器来认证;使得另一安全蜂窝设备与所述NAF密钥服务器相链接;使得所述另一安全蜂窝设备被使用所述NAF密钥服务器来认证;在所述安全蜂窝设备中推导出用于安全的离线网络通信的第一本地密钥,并从所述NAF密钥服...

【专利技术属性】
技术研发人员:S·霍尔特曼斯N·阿索坎
申请(专利权)人:诺基亚公司
类型:发明
国别省市:芬兰;FI

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1