认证本地网络中的订户的方法技术

本发明专利技术涉及一种认证本地网络（LNj）内的订户（IMSIi）的方法，包括以下初步步骤：导出本地密钥（LKi）中的订户密钥（SMKi），针对订户（IMSIi）被授权访问的每一个本地网络（LNj）有一个本地密钥（LKiLNj），为订户（IMSIi）被授权访问的每一个本地网络（LNj）供应其自身的本地密钥（LKiLNj）。当在给定本地网络（LNj）中要求认证时，UICC应用使用网络标识符（LNj）、密钥导出功能（KDF）和订户密钥（SMKi）来导出订户（IMSIi）的UICC应用中的本地密钥（LKiLNj），并且在所述算法中使用经导出的本地密钥（LKiLNj）以执行本地网络（LNj）中的本地认证。

【技术实现步骤摘要】
【国外来华专利技术】认证本地网络中的订户的方法
本专利技术涉及一种认证本地网络内的订户而不要求该本地网络与订户的归属（home）网络之间的在线通信的方法。将本地网络定义为不同于订户注册在其中的归属网络的网络。本专利技术还关于由归属运营商托管的归属订户服务器（HSS）的认证中心和UICC应用。
技术介绍
3GPP应对新的情境，其中运营商的订户应当在本地E-UTRAN网络（4G）内被认证，而没有与归属网络的通信。该情境用于商务使用或用于公共安全，尤其是在宏网络不可用时。运营商对保持在本地网络内的其订户的认证的控制感兴趣。不应当允许订户在没有与订户的归属运营商达成协议的情况下部署的本地网络内被认证。依赖于归属HSS、UICC应用和所有本地网络之间共享的一个唯一密钥来认证任何本地网络内的订户的解决方案在将在比归属HSS更少安全的环境中托管本地HSS的情况下可能具有安全问题。在这样的情境中，可能发生的是，攻击者可以具有对本地HSS的物理访问权，并且检索用于认证订户的唯一密钥。结果，使用相同密钥来认证订户的所有其它本地网络将是已知的。在3GPP认证的情况下，还可能存在同步问题，存在序列号（SQN）机制的使用。在不连接以同步的不同本地网络内使用相同SQN在一些情境中可以以UICC的去同步化而告终。然后认证可能失败并且附加的过程可能是必需的。因此，另外的可替换的且有利的解决方案在本领域中是合期望的。
技术实现思路
本专利技术旨在提出一种认证的新颖方案，其中不发生本地与归属网络之间的即时（on-the-fly）通信。本专利技术以其最宽泛的含义被限定为一种方法，包括以下初步步骤，针对归属网络中所托管的归属订户服务器（HSS）的归属认证中心（AuC）：–在归属认证中心中存储每个订户的订户密钥（Kmacro），所述归属认证中心具有密钥导出功能（KDF），并且所述订户密钥专用于在与归属运营商达成协议的任何本地网络内的该订户的认证，–导出本地密钥中的订户密钥，针对订户被授权访问的每一个本地网络有一个本地密钥，–为订户被授权访问的每一个本地网络供应其自身的本地密钥，–为订户的UICC应用供应订户密钥和密钥导出功能（KDF），–为订户的UICC应用供应执行本地认证的算法，所述方法还包括以下步骤：当在给定本地网络中要求认证时，对于UICC应用：–接收网络标识符，–使用本地网络的网络标识符、密钥导出功能和订户密钥来在订户的UICC应用中导出本地密钥，–在所述算法中使用经导出的本地密钥以执行本地网络中的本地认证。本专利技术依赖于既在运营商网络中又在运营商的订户的用户设备中的本地密钥的生成，以执行在本地E-UTRAN网络内的订户的AKA认证。归属网络向任何本地E-UTRAN网络发送本地密钥，在所述任何本地E-UTRAN网络中订户被授权存在并且归功于AKA认证而可以被本地认证。一个本地密钥专用于仅一个本地网络。本专利技术允许运营商继续使用AKA算法来在本地网络内认证其订户。这因而允许归属运营商保持本地网络内的控制。只有如果本地认证中心AuC和用户设备被供应有由归属运营商提供的密钥，认证才发生。特定于仅一个本地网络的本地密钥的使用提供高安全等级。该特征在本地认证中心AuC将比归属认证中心AuC，其包括在本地HSS中的一个，更加易受攻击的情况下是重要的。如果攻击者具有对一个本地认证中心AuC的访问权，所检索到的本地密钥不可以用于其它本地网络内的认证。本专利技术还具有允许基于对称密钥的本地认证的优点。这进一步保证基于UICC的认证将在订户处于本地网络内时发生。因为基于AKA的认证应当被托管在UICC中，而基于凭证的解决方案可以被托管在用户设备的终端部分中。本地网络中使用的认证方法（即利用AUTN、RAND的AKA认证）可以是标准方法，并且在本地网络内、在UICC内都不需要修改。UICC将仅包含存储新的订户密钥和用于所有本地网络的所有经导出的本地密钥的附加文件或专用应用。有利地实现相关联的OTA服务以更新经授权的本地网络的列表。根据有利的特征，所述方法包括作为初步步骤的以下步骤：对于认证中心，为订户的UICC应用供应其中订户被授权访问的本地网络的标识符的列表，以及当在给定本地网络中要求认证时，对于UICC应用，检查本地网络的标识符在列表中的存在性的步骤。利用该特征，对于UICC应用而言必要的是还包含其中订户将被授权存在的经授权的本地网络的列表。根据有利的实现方式，一旦本地密钥由UICC应用导出，方法还包括存储用于该本地网络的本地密钥的步骤，以及针对本地网络的标识符而检查所存储的本地密钥的存在性的步骤。该特征避免每一次UICC进入本地网络时都反复进行密钥导出。根据具体的实现方式，认证过程使用序列号机制，其还包括以下步骤：对于认证中心和对于UICC应用，在导出本地密钥的同时，将本地序列号阵列关联到每一个经导出的本地密钥。这样的序列号阵列典型地关联到某个标准认证过程。本专利技术与这样的标准完全兼容。本专利技术还涉及一种归属网络中所托管的归属订户服务器的认证中心，所述认证中心存储每个订户应用的订户密钥，所述订户密钥专用于与归属网络的运营商达成协议的任何本地网络内的订户的认证，所述认证中心具有密钥导出功能以导出本地密钥中的订户密钥，针对订户被授权访问的每一个本地网络一个，所述认证中心具有供应资源以便为订户被授权访问的每一个本地网络供应其自身的本地密钥，并且为订户的UICC供应自身的订户密钥、密钥导出功能（KDF）和执行本地认证的算法。这样的认证中心使得能够在归属网络侧上实现本专利技术。本专利技术至少涉及提供有订户密钥、密钥导出功能（KDF）和执行本地认证的算法的UICC应用，所述订户密钥专用于与归属网络达成协议的任何本地网络内的订户的认证，所述UICC应用还被适配成从本地网络接收网络标识符，并且使用该网络标识符、密钥导出功能和订户密钥以在订户的UICC应用中导出本地密钥，UICC应用还被适配成在所述算法中使用经导出的本地密钥以执行本地网络中的本地认证。这样的UICC应用使得能够在用户设备侧上实现本专利技术。为了实现前述和相关目的，一个或多个实施例包括以下充分描述并且在权利要求中特别指出的特征。附图说明以下描述和附图详细阐述某些说明性方面，并且指示可以其中可以采用实施例的原理的各种方式中的仅几个。当结合附图考虑时，其它优点和新颖特征将从以下详细描述变得明显，并且所公开的实施例意图包括所有这样的方面及其等同物。·图1表示其中实现本专利技术的环境；·图2示出根据本专利技术的方法的实体之间的交换的功能图。具体实施方式为了对本专利技术的更加完整的理解，现在将参照附图详细描述本专利技术。详细描述将说明和描述被视为本专利技术的优选实施例的内容。当然应当理解到，可以在不脱离于本专利技术的精神的情况下容易地做出形式或细节方面的各种修改和改变。因此意图在于本专利技术可以不限于本文所示出和描述的确切形式和细节，也不限于少于本文所公开的并如以下要求保护的本专利技术的整体的任何事物。相同的元件在不同图中已经被指定有相同的参考标记。为了清楚起见，仅已经在附图中示出并且将描述对本专利技术的理解有用的那些元件和步骤。图1示意性地示出包括归属网络HN以及两个本地网络LN1和LN2的环境。它们中的每一个具有相应的归属订户服务器HHSS、LHSS1和LHSS2以及认证中心HAuC、LAuC本文档来自技高网...

【技术保护点】
一种认证本地网络（LNj）内的订户（IMSIi）的方法，包括以下初步步骤，针对归属网络（HN）中所托管的归属订户服务器（HHSS）的归属认证中心（HAuC）：– 在归属认证中心（HAuC）中存储每个订户（IMSIi）的订户密钥（SMKi），所述归属认证中心（HAuC）具有密钥导出功能（KDF），并且所述订户密钥（SMKi）专用于在与归属运营商（HN）达成协议的任何本地网络（LNj）内的该订户（IMSIi）的认证，– 导出本地密钥（LKi）中的订户密钥（SMKi），针对订户（IMSIi）被授权访问的每一个本地网络（LNj）有一个本地密钥（LKiLNj），– 为订户（IMSIi）被授权访问的每一个本地网络（LNj）供应其自身的本地密钥（LKiLNj），– 为订户（IMSIi）的UICC应用供应订户密钥（SMKi）和密钥导出功能（KDF），– 为订户（IMSIi）的UICC应用供应执行本地认证的算法，所述方法还包括以下步骤：当在给定本地网络（LNj）中要求认证时，对于UICC应用：– 接收网络标识符（Id(LNj)），– 使用本地网络的网络标识符（LNj）、密钥导出功能（KDF）和订户密钥（SMKi）来在订户（IMSIi）的UICC应用中导出本地密钥（LKiLNj），– 在所述算法中使用经导出的本地密钥（LKiLNj）以执行本地网络（LNj）中的本地认证。...

【技术特征摘要】
【国外来华专利技术】2015.09.04 EP 15306361.51.一种认证本地网络（LNj）内的订户（IMSIi）的方法，包括以下初步步骤，针对归属网络（HN）中所托管的归属订户服务器（HHSS）的归属认证中心（HAuC）：–在归属认证中心（HAuC）中存储每个订户（IMSIi）的订户密钥（SMKi），所述归属认证中心（HAuC）具有密钥导出功能（KDF），并且所述订户密钥（SMKi）专用于在与归属运营商（HN）达成协议的任何本地网络（LNj）内的该订户（IMSIi）的认证，–导出本地密钥（LKi）中的订户密钥（SMKi），针对订户（IMSIi）被授权访问的每一个本地网络（LNj）有一个本地密钥（LKiLNj），–为订户（IMSIi）被授权访问的每一个本地网络（LNj）供应其自身的本地密钥（LKiLNj），–为订户（IMSIi）的UICC应用供应订户密钥（SMKi）和密钥导出功能（KDF），–为订户（IMSIi）的UICC应用供应执行本地认证的算法，所述方法还包括以下步骤：当在给定本地网络（LNj）中要求认证时，对于UICC应用：–接收网络标识符（Id(LNj)），–使用本地网络的网络标识符（LNj）、密钥导出功能（KDF）和订户密钥（SMKi）来在订户（IMSIi）的UICC应用中导出本地密钥（LKiLNj），–在所述算法中使用经导出的本地密钥（LKiLNj）以执行本地网络（LNj）中的本地认证。2.根据权利要求1所述的方法，所述方法包括作为初步步骤的以下步骤：对于认证中心（HAuC），为订户（IMSIi）的UICC应用供应其中订户（IMSIi）被授权访问的本地网络的标识符（Id(LNj)）的列表，以及当在给定本地网络（LNj）中要求认证时，对于UICC应用，检查本地网络的标识符（Id(LNj)）在列表中的存在性的步骤。3.根据权利要求1和2之一所述的方法，其中，一旦本地密钥（L...

【专利技术属性】
技术研发人员：M保利亚克，AM普拉登，
申请(专利权)人：格马尔托股份有限公司，
类型：发明
国别省市：法国,FR