【技术实现步骤摘要】
【国外来华专利技术】通信设备与网络设备之间的通信安全设置
本专利技术涉及用于与网络设备通信的通信设备、用于与通信网络的网络设备通信的通信设备的方法、计算机程序和计算机程序产品、第一通信网络的第一网络设备、用于第一通信网络的第一网络节点的方法、计算机程序和计算机程序产品、以及包括第一通信系统中的第一网络设备和第二通信系统中的第二网络设备的系统。本专利技术还涉及第二网络设备。
技术介绍
通过通信网络传输的数据变得越来越敏感。诸如移动、无线和固定通信网络之类的通信网络现在越来越频繁地用于例如各种经济和商业相关交易、信息物理系统的控制等。因此,需要采取更强的安全措施。在例如移动通信中重要的是,通信网络和用户设备(UE)彼此相互认证,并且能够加密交换的业务数据,其中这两个安全服务都严格依赖于安全密钥管理,包括密钥协商或密钥建立。在这方面,来自第二代(2G)和以后的移动网络已经使用了强大的基于(通用)用户识别模块((U)SIM)卡的认证和加密密钥协议。从第三代(3G)网络往后,认证已是相互的:网络和用户设备互相认证。基于USIM的3G/4G认证在例如3GPPTS33.102V12.2.0和33.401V12.13.0中描述。该协议取决于使用哪种接入网络类型被称为UMTSAKA或LTEAKA,其中UMTSAKA是通用移动电信系统认证和密钥协商的首字母缩写,而LTEAKA是长期演进认证和密钥协商的缩写。注意,虽然3GPP标准使用术语密钥协议,但实际使用的协议更具有密钥建立性质。然而,该差异对于本讨论并不重要。已经针对IP多媒体子系统(IMS)以及针对一般服务层认证(通用引导架构,GBA,3G ...
【技术保护点】
一种用于与通信网络(36)的网络设备(44)进行通信的通信设备(40),所述通信设备(40)操作用于:从网络设备(44)接收质询(RAND)、第一PFS参数(PFS1)和第一验证码(VC1;VC1A;VC1B),向身份模块(48)转发(65)所述质询的导出物,从所述身份模块(48)接收作为响应的至少一个结果参数(CK/IK,RES),基于所述结果参数(CK/IK,RES),确定所述第一PFS参数(PFS1)是否可信,以及如果所述确定为第一PFS参数(PFS1)是可信的,则生成并向所述网络设备发送第二PFS参数(PFS2)。
【技术特征摘要】
【国外来华专利技术】2015.02.27 US 62/121,6891.一种用于与通信网络(36)的网络设备(44)进行通信的通信设备(40),所述通信设备(40)操作用于:从网络设备(44)接收质询(RAND)、第一PFS参数(PFS1)和第一验证码(VC1;VC1A;VC1B),向身份模块(48)转发(65)所述质询的导出物,从所述身份模块(48)接收作为响应的至少一个结果参数(CK/IK,RES),基于所述结果参数(CK/IK,RES),确定所述第一PFS参数(PFS1)是否可信,以及如果所述确定为第一PFS参数(PFS1)是可信的,则生成并向所述网络设备发送第二PFS参数(PFS2)。2.一种用于与通信网络(36)的网络设备(44)进行通信的通信设备(40),所述通信设备(40)操作用于:从网络设备(44)接收质询(RAND)、第一PFS参数(PFS1)和第一验证码(VC1;VC1A;VC1B),向身份模块(48)转发(65)所述质询,从所述身份模块(48)接收作为响应的至少一个结果参数(CK/IK,RES),基于所述结果参数(CK/IK,RES),确定所述第一PFS参数(PFS1)是否可信,以及如果所述确定为第一PFS参数(PFS1)是可信的,则生成并向所述网络设备发送第二PFS参数(PFS2)。3.根据权利要求1或2所述的通信设备(40),还操作用于:生成用于通信设备(40)与网络设备(44)之间的通信的会话密钥(K’),所述会话密钥至少基于用于生成第一和第二PFS参数(PFS1,PFS2)的值(x,y)。4.根据权利要求1-3中任一项所述的通信设备,其中所述会话密钥基于所述第一PFS参数(PFS1)、以及所述第二PFS参数(PFS2)的指数(y)。5.根据权利要求1-4中任一项所述的通信设备(40),其中所述通信设备包括移动设备(46),所述移动设备(46)操作用于接收所述质询(RAND),执行所述转发,接收所述至少一个结果参数,确定所述第一PFS参数(PFS1)是否是可信的,以及生成并发送第二PFS参数(PFS2)。6.根据前述权利要求中任一项所述的通信设备(40),其中所述通信设备包括所述身份模块(48),所述身份模块包括密钥和加密处理装置。7.根据前述权利要求中任一项所述的通信设备,其中所述第一PFS参数和第二PFS参数是Diffie-Hellman参数。8.根据前述权利要求中任一项所述的通信设备,其中所述第一验证码(VC1A;VC1B)包括至少基于所述第一PFS参数的消息认证码。9.根据权利要求1、3、4、5、6、7或8中任一项所述的通信设备,其中所述导出物与所述质询相同。10.根据权利要求1、3、4、5、6、7或8中任一项所述的通信设备,其中所述导出物是所述质询的散列。11.根据前述权利要求中任一项所述的通信设备,当操作用于接收质询(RAND)、第一PFS参数(PFS1)和所述第一验证码(VC1;VC1A;VC1B)时,操作用于在来自网络设备(44)的认证请求消息(20)中接收所述质询(RAND)、第一PFS参数(PFS1)和所述第一验证码(VC1;VC1A;VC1B),所述认证请求消息还包括质询验证码(AUTN);当操作用于接收所述至少一个结果参数(CK/IK,RES)时,操作用于接收响应参数(RES)作为对所述质询的响应;以及当操作用于生成并发送所述第二PFS参数(PFS2)时,操作用于生成所述第二PFS参数以及第二验证码(VC2;VC2A;VC2B),并在还包括响应参数(RES)的认证响应消息(24)中发送所述第二PFS参数以及第二验证码(VC2;VC2A;VC2B)。12.根据权利要求11所述的通信设备(40),其中,所述认证请求消息(20)包括在所述认证请求消息的相应单独信息元素中的第一验证码(VC1B),以及当所述通信设备操作用于确定所述第一PFS参数(PFS1)的可信性时,所述通信设备操作用于使用所述第一验证码(VC1B)。13.根据权利要求11所述的通信设备(40),其中所述第一验证码(VC1A)被提供为所述质询验证码(AUTN)的至少一部分,以及当所述通信设备操作用于确定所述第一PFS参数(PFS1)的可信性时,所述通信设备操作用于基于提供所述至少一个结果参数(CK/IK,RES)的身份模块(48)来确定所述可信性。14.根据权利要求13所述的通信设备,其中所述质询基于所述第一PFS参数。15.根据权利要求11-14中任一项所述的通信设备,还操作用于:基于所述至少一个结果参数(CK/IK,RES)中的至少一个生成所述第二验证码(VC2A),以及当所述通信设备操作用于发送所述认证响应消息时,所述通信设备操作用于在指派给响应参数(RES)的信息元素中发送所述第二验证码(VC2A)。16.根据权利要求11至15中任一项所述的通信设备,其中所述第二验证码(VC2A)被生成为至少基于所述第二PFS参数(PFS2)的消息认证码。17.根据权利要求8、10或16中任一项所述的通信设备,其中所述散列/消息认证码基于HMAC/SHA-256。18.一种用于与通信网络(36)的网络设备(44)进行通信的通信设备(40)的方法,所述方法由通信设备执行并且包括:从网络设备(44)接收(64)质询(RAND)、第一PFS参数(PFS1)和第一验证码(VC1;VC1A;VC1B),向身份模块(48)转发(65)所述质询的导出物,从所述身份模块(48)接收(66)作为响应的至少一个结果参数(CK/IK,RES),基于所述结果参数(CK/IK,RES),确定(68)所述第一PFS参数(PFS1)是否可信,以及如果所述确定为第一PFS参数(PFS1)是可信的,则生成(70)并向网络设备发送(72)第二PFS参数(PFS2)。19.一种用于与通信网络(36)的网络设备(44)进行通信的通信设备(40)的方法,所述方法由通信设备执行并且包括:从网络设备(44)接收(64)质询(RAND)、第一PFS参数(PFS1)和第一验证码(VC1;VC1A;VC1B),向身份模块(48)转发(65)所述质询,从所述身份模块(48)接收(66)作为响应的至少一个结果参数(CK/IK,RES),基于所述结果参数(CK/IK,RES),确定(68)所述第一PFS参数(PFS1)是否可信,以及如果所述确定为第一PFS参数(PFS1)是可信的,则生成(70)并向网络设备发送(72)第二PFS参数(PFS2)。20.根据权利要求18或19所述的方法,还包括:生成(96;106)用于通信设备与网络设备(44)之间的通信的会话密钥(K’),所述会话密钥至少基于用于生成第一和第二PFS参数(PFS1,PFS2)的值(x,y)。21.根据权利要求18-20中任一项所述的方法,其中所述会话密钥基于所述第一PFS参数(PFS1)、以及所述第二PFS参数(PFS2)的指数(y)。22.根据权利要求18-21中任一项所述的方法,其中所述质询(RAND)、第一PFS参数(PFS1)和第一验证码(VC1;VC1A;VC1B)在认证请求消息(20)中接收(64),所述认证请求消息还包括质询验证码(AUTN),所述至少一个结果参数(CK/IK,RES)包括作为对所述质询的响应而接收的响应参数(RES),以及生成并发送第二PFS参数(PFS2)包括:生成第二PFS参数(PFS2)和第二验证码(VC2;VC2A;VC2B),并在还包括响应参数(RES)的认证响应消息(24)中发送所述第二PFS参数(PFS2)以及所述第二验证码(VC2;VC2A;VC2B)。23.根据权利要求22所述的方法,其中所述认证请求消息(20)包括在所述认证请求消息的相应单独信息元素中的第一验证码(VC1B),以及确定(68)所述第一PFS参数(PFS1)的可信性是使用所述第一验证码(VC1B)做出的。24.根据权利要求22所述的方法,其中所述第一验证码(VC1A)被提供为所述质询验证码(AUTN)的至少一部分,以及确定(68)所述第一PFS参数(PFS1)的可信性包括:基于提供所述至少一个结果参数(CK/IK,RES)的身份模块(48)来确定所述可信性。25.根据权利要求22-24中任一项所述的方法,还包括:使所述第二验证码(VC2A)基于所述响应参数(RES),以及发送所述认证响应包括:在指派给所述响应参数(RES)的所述认证响应消息中的信息元素中发送所述第二验证码(VC2A)。26.根据权利要求18、20-25中任一项的方法,其中所述导出物与所述质询相同。27.根据权利要求18、20-25中任一项所述的方法,其中所述导出物是所述质询的散列。28.一种用于与通信网络(36)的网络设备(44)进行通信的通信设备(40)的计算机程序,所述计算机程序包括当在通信设备(40)中运行时使所述通信设备(40)执行以下操作的计算机程序代码(112):从网络设备(44)接收质询(RAND)、第一PFS参数(PFS1)和第一验证码(VC1;VC1A;VC1B),向身份模块(48)转发(65)所述质询的导出物,从所述身份模块(48)接收作为响应的至少一个结果参数(CK/IK,RES),基于所述结果参数(CK/IK,RES),确定所述第一PFS参数(PFS1)是否可信,以及如果所述确定为第一PFS参数(PFS1)是可信的,则生成并向网络设备(44)发送第二PFS参数(PFS2)。29.一种用于与通信网络(36)的网络设备(44)进行通信的通信设备(40)的计算机程序,所述计算机程序包括当在通信设备(40)中运行时使所述通信设备(40)执行以下操作的计算机程序代码(112):从网络设备(44)接收质询(RAND)、第一PFS参数(PFS1)和第一验证码(VC1;VC1A;VC1B),向身份模块(48)转发(65)所述质询,从身份模块(48)接收作为响应的至少一个结果参数(CK/IK,RES),基于所述结果参数(CK/IK,RES),确定所述第一PFS参数(PFS1)是否可信,以及如果所述确定为第一PFS参数(PFS1)是可信的,则生成并向网络设备(44)发送第二PFS参数(PFS2)。30.一种用于增强与通信网络(36)的网络设备(44)进行通信的通信设备(40)的通信安全性的...
【专利技术属性】
技术研发人员:马茨·尼斯伦,本特·萨林,卡尔·诺曼,杰瑞·亚尔科,
申请(专利权)人:瑞典爱立信有限公司,
类型:发明
国别省市:瑞典,SE
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。