【技术实现步骤摘要】
【国外来华专利技术】
本专利技术通常涉及在认证通信设备时的认证与安全密钥协商,更具体地,涉及当用户使用多用户识别模块时的可扩展认证协议(EAP)-认证与密钥协商(AKA)。
技术介绍
需要在电信行业提供安全的事务得到广泛地认可。如果服务提供商不能够提供支持安全事务的系统,则用户将不会使用无线设备以进行购买或执行任何其它必须被安全地执行的业务。因此,电信行业不断努力以提供安全的环境,其中用户可以安全地执行个人和商务事务。例如,已知通用移动通信系统(UMTS)标准规定了认证密钥协议(AKA)和可扩展认证协议(EAP) -AKA。在AKA和EAP-AKA中,通信设备使用共享秘密密钥来进行认证。共享秘密密钥可 驻留在作为通信设备的一部分的用户识别模块(UM)中。网络中的通信设备和服务器可以使用该秘密密钥计算其它各种密钥,以确保通信设备与接入网络之间的安全通信链路。当只有一个WM时,该方式工作得很好。然而,用户通常具有不止一个的通信设备。例如,用户可具有蜂窝电话、个人数字助理、膝上型计算机和其它通信设备。这些通信设备的每一个都需要被认证以提供安全事务。一种支持具有多个通信设备的用户的有效方法是对该用户所拥有的每个设备向用户提供一个UIM卡,其中每个UIM卡具有相同的共享秘密密钥。然而,如果用户具有多个nM,则在AKA和EAP-AKP协议中打开了安全漏洞。如果服务提供商想要提供安全的通信链路并允许用户拥有具有相同的共享秘密密钥的多个WM卡,则与具有多个MM卡相关联的安全漏洞必须得到解决。
技术实现思路
在一个实施例中,提供了一种装置。该装置包括通信设备组件,其通过接收第一随机数(RAND)和...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】2010.01.06 US 12/655,7061.一种装置,包括 通信设备组件,其通过接收第一随机数(RAND)和认证令牌来执行认证密钥协商协议,其中,所述通信设备组件被配置有共享秘密密钥; 所述通信设备组件通过将伪随机函数应用于所述RAND和所述共享秘密密钥来生成派生密钥; 所述通信设备组件基于第二随机数(RANDC)和所述派生密钥,生成第一组会话密钥,其中所述第一组会话密钥用于加密通信。2.如权利要求I所述的装置,其中,所述通信设备组件是用户识别模块,其可操作地与通信设备连接; 其中,所述第一组会话密钥与第二组会话密钥一起用于执行安全通信,其中,所述第一组会话密钥和所述第二组会话密钥是相等的; 所述用户识别模块包括所述派生密钥、所述共享秘密密钥和所述第一组会话密钥,所述用户识别模块向所述通信设备输出所述第一组会话密钥; 所述共享秘密密钥和所述派生密钥不被输出到所述通信设备。3.如权利要求2所述的装置,其中,所述认证令牌包括序列号、第一消息认证码和认证管理字段; 所述用户识别模块通过将伪随机函数应用于所述共享秘密密钥、所述序列号、所述认证管理字段和所述RAND来计算第二消息认证码; 所述用户识别模块将所述第二消息认证码与所述第一消息认证码进行比较,当所述第一消息认证码等于所述第二消息认证码时,所述用户识别模块获取所述RANDC、所述会话密钥和响应; 所述用户识别模块向所述通信设备输出所述第一组会话密钥、所述RANDC和所述响应。4.如权利要求3所述的装置,其中,获取所述RANDC、所述第一组会话密钥和所述响应还包括 生成所述RANDC ; 通过应用伪随机函数计算所述第一组会话密钥,其中所述第一组会话密钥包括完整性密钥和加密密钥;以及 通过将伪随机函数应用于所述RANDC和所述派生密钥,计算所述响应; 其中,所述用户识别模块通过将伪随机函数应用于所述RANDC和所述派生密钥来计算所述完整性S钥; 所述用户识别模块通过将伪随机函数应用于所述RANDC和所述派生密钥来计算所述加密密钥; 其中,所述通信设备将所述RANDC和所述响应传送给服务网络,其中所述服务网络生成所述第二组会话密钥,其中所述第一组会话密钥和所述第二组会话密钥用于加密所述服务网络与所述通信设备之间的通信。5.一种装置,其 接收响应和第一随机数(RANDC); 基于客户机标识符获取派生密钥;根据所述派生密钥和所述RANDC计算期望响应;以及 将所述响应与所述期望响应进行比较,当所述响应等于所述期望响应时,获取第一组会话密钥,其中,所述第一组会话密钥与第二组会话密钥一起用于执行加密通信。6.如权利要求5所述的装置,其中, 所述装置包括网络节点,其可通信地与客户机连接; 所述第一组会话密钥和所述第二组会话密钥是相等的; 所述客户机包括所述第二组会话密钥; 其中,所述第一组会话密钥包括完整...
【专利技术属性】
技术研发人员:V·Y·柯勒斯尼科夫,
申请(专利权)人:阿尔卡特朗讯公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。