用于生成认证信息的方法技术

一种用于生成认证信息的方法，该方法包括：确定安装在移动台中的安全模块是否能够使用第一密钥资料来生成在与通信系统的认证过程中使用的认证信息。如果不能，则该方法包括：使用该安全模块生成密钥资料，以及，至少基于该密钥资料而生成在与通信系统的认证过程中使用的认证信息。

【技术实现步骤摘要】
【专利说明】本申请是申请号为200580043661.1、专利技术名称为“”的专利申请的分案申请。
本专利技术涉及通信系统中的认证协议，具体地涉及认证信息的生成。
技术介绍
通信系统的认证协议通常依据存储在诸如SM(用户身份模块)卡的安全模块中、移动台中、以及诸如AuC(认证中心)节点的专用网络节点中的密钥信息。密钥信息可以是共享秘密，或者例如是私有/公有密钥对。在使用了共享秘密的系统中，认证信息基于共享秘密而生成，并通常用于询问响应(challenge-response)协议以向网络认证该移动台。蜂窝电信系统的持续发展带来了移动台和网络之间所使用的认证程序的发展。其不可避免地导致了伴随着较老设备和新系统的广泛使用基础的操作协同问题。通用认证架构(GAA)是在撰写本专利申请时处于3GPP (第三代合作伙伴计划)系统第6版下的标准。3GPP标准指定了特定认证程序，其需要移动台的安全模块的特定能力。但是，存在具有大量用户的GSM(全球移动通信系统)技术的广泛安装基础，其导致了如何结合最新认证程序使用较老的GSM SIM卡的问题，因为SM卡不能提供这些最新的认证程序所需的密钥资料。本专利技术人预想的是，当发展的下一代技术取代目前处于发展中的第三代(3G)技术时，类似的问题今后还将出现。
技术实现思路
本专利技术的实施方式旨在克服上述问题中的一个或者多个。根据实施方式，提供了一种通信系统的移动台中的方法。该方法包括以下步骤:确定安装在移动台中的安全模块是否能够生成通过通信系统在预定认证过程中使用的认证信息；如果不能，则利用安全模块生成密钥资料；以及，至少基于所述密钥资料来生成通过所述通信系统在所述预定认证程序中使用的认证信息。根据更具体的实施方式，所述认证信息是共享秘密。例如可以通过确定安全模块的类型来确定所述安全模块生成在预定认证程序中使用的认证信息的能力。该确定还可以例如通过确定作为用户身份而存储在安全模块中的信息的类型来执行。本方法可以进一步包括以下步骤:发送确定安装在移动台中的安全模块是否能够生成认证信息的步骤的结果的指示。根据本专利技术的另一实施方式，提供了一种通信系统的网元中的方法。根据该实施方式，该方法包括:确定移动台的安全模块是否能够生成在待执行于通信系统和移动台之间的预定认证程序中使用的认证信息；如果不能，则使用安全模块能够执行的方法生成密钥资料；以及，至少基于该密钥资料生成在预定认证程序中使用的认证信息。根据更详细的实施方式，所述认证信息是共享秘密。进一步，确定安装在移动台中的安全模块是否能够生成认证信息的步骤包括从移动台接收指示的步骤。根据另一实施方式，提供了一种用于通信系统的移动台，该移动台具有用于安全模块的接口。根据该实施方式，移动台包括:用于确定与所述接口相连接的安全模块是否能够生成通过通信系统在预定认证程序中使用的认证信息的装置；用于使安全模块生成密钥资料并用于接收所生成的第一密钥资料的装置；以及，用于至少基于该密钥资料而生成通过通信系统在预定认证过程中使用的认证信息的装置。用于确定的装置可以配置为确定所述安全模块的类型，或者确定例如作为用户身份而存储在安全模块中的信息的类型。移动台还可以包括用于发送安装在移动台中的安全模块是否能够生成通过通信系统在预定认证程序中使用的认证信息的指示的装置。根据另一实施方式，提供了用于通信系统的移动台，该移动台具有用于安全模块的接口。根据该实施方式，移动台包括:配置为确定与该接口相连接的安全模块是否能够生成通过通信系统在预定认证程序中使用的认证信息的控制器；配置为使安全模块生成密钥资料并且接收所生成的第一密钥资料的控制器；密钥资料生成器，配置为至少基于该密钥资料而生成通过通信系统在预定认证程序中使用的认证信息。根据另一实施方式，提供了一种通信系统的网元中的认证系统。根据该实施方式，该认证系统包括:用于确定移动台的安全模块是否能够生成在待执行于通信系统和移动台之间的预定认证程序中使用的认证信息的装置；用于使用安全模块能够执行的方法而生成密钥资料的装置；以及用于至少基于该密钥资料而生成在所述预定认证程序中使用的认证信息的装置。根据又一实施方式，提供了一种通信系统的网元中的认证系统。根据该实施方式，该认证系统包括:配置为确定移动台的安全模块是否能够生成在待执行于通信系统和移动台之间的预定认证程序中使用的认证信息的控制器；配置为使用安全模块能够执行的方法而生成密钥资料的密钥生成器；以及配置为至少基于该密钥资料而生成在预定认证程序中使用的认证信息的密钥生成器。根据另一实施方式，提供了一种通信系统的网元。根据该实施方式，网元包括:用于确定移动台的安全模式是否能够生成在待执行于通信系统和移动台之间的预定认证程序中使用的认证信息的装置；用于使用安全模块能够执行的方法而生成密钥资料的装置；以及，用于至少基于该密钥资料而生成在所述预定认证程序中使用的认证信息的装置。根据又一实施方式，提供了一种通信系统的网元。根据该实施方式，该网元包括:配置为确定移动台的安全模块是否能够生成在待执行于通信系统和移动台之间的预定认证程序中使用的认证信息的控制器；配置为使用安全模块能够执行的方法而生成密钥资料的密钥生成器；以及，配置为至少基于该密钥资料而生成在预定认证程序中使用的认证信息的密钥生成器。【附图说明】将参考附图并通过示例的方式对本专利技术的实施方式进行描述，附图中:图1示出了移动台和通信系统；以及图2示出了根据实施方式的信号传输流程图。【具体实施方式】图1示出了移动台20和安装在该移动台中的安全模块10。图1还示出了诸如蜂窝电信网络的通信系统210、通信系统的基站212、SANE 30以及安全网元40。移动台还包括:用于确定与所述接口相连接的安全模块是否能够生成通过蜂窝网络在预定认证程序中使用的认证信息的装置220 ;用于使所述安全模块生成密钥资料并用于接收所生成的第一密钥资料的装置222 ;以及，用于至少部分地基于所述密钥资料而生成通过蜂窝网络在所述预定认证程序中使用的认证信息的装置224。有利地，所述装置220、222以及224可以使用移动台的处理器中的软件程序代码来实现。图1还示出了安全网元40的特定组件。安全网元还包括用于确定移动台的安全模块是否能够生成在待执行于网络通信系统和移动台之间的预定认证程序中使用的认证信息的装置230 ;用于使用所述安全模块能够执行的方法而生成密钥资料的装置232 ;以及，用于至少部分地基于所述密钥资料而生成在所述预定认证程序中使用的认证信息的装置234。有利地，所述装置230、232以及234可以使用网元的处理器中的软件程序代码来实现。图2示出了安全模块(SM) 10、移动台(MS) 20、认证网元(SANE) 30以及安全网元(NE)40的行为和它们之间的信号传输。安全应用网元(SANE)是一种网元，其与负责存储用户的密钥信息的网元和移动台进行通信，执行特定认证协议。例如，MSC/VLR(移动交换中心/访问位置寄存器)或者SGSN(GPRS服务支持节点)可以用作SANE。例如，在GAA架构(通用认证架构)中，引导(Bootstrapping)功能(BSF)可以用作SANE。安全当前第1页1 2 3 本文档来自技高网...

【技术保护点】
一种方法，包括：在用于通信系统的移动台中确定安装在所述移动台中的安全模块是否能够使用第一密钥资料来产生在与通信系统的认证过程中使用的认证信息，所述第一密钥资料用于所述认证过程；以及当安装在所述移动台中的所述安全模块不能够产生所述认证信息时，在所述移动台中使用所述安全模块支持的密钥生成方法来生成第二密钥资料；并且当安装在所述移动台中的所述安全模块不能够产生所述认证信息时，在所述移动台中至少基于所生成的第二密钥资料来生成所述认证信息以在与所述通信系统的所述认证过程中使用。

【技术特征摘要】
...

【专利技术属性】
技术研发人员：L·莱蒂南，
申请(专利权)人：诺基亚公司，
类型：发明
国别省市：芬兰;FI