專利名稱:密鑰刷新sae/lte系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信系統(tǒng)(具體為移動通信系統(tǒng))中的安全性問題�。更具體來說,本
發(fā)明涉及新類型的移動通信系統(tǒng)中的密鑰處理��。本申請還涉及用于允許通信系統(tǒng)中的安全
通信的安全性方法、考慮到安全通信的通信系統(tǒng)�、SAE/LTE中的用戶設(shè)備、移動性管理實體 和演進(jìn)的NodeB�����。
背景技術(shù):
在移動通信系統(tǒng)中需要保障信令和用戶平面協(xié)議的安全以避免消息被竊聽和未 授權(quán)的修改�����。在下文中���,主要著重于始發(fā)于或端接于用戶設(shè)備的協(xié)議��。網(wǎng)絡(luò)節(jié)點(diǎn)之間的協(xié) 議則不作詳細(xì)考慮����。 協(xié)議的安全性通常使用例如加密和完整性保護(hù)的密碼機(jī)制來實現(xiàn)��。這些機(jī)制又依 賴于密碼密鑰��,并且在一些情況中,依賴于計數(shù)器或序列號�,其與密碼密鑰和明文消息一起 被置于計算通過通信鏈路發(fā)送的受保護(hù)消息的函數(shù)中�����。
在此類公知的系統(tǒng)中��,可能產(chǎn)生如下問題 —旦與不同的消息一起使用相同的密碼密鑰和相同的計數(shù)器����,則攻擊者可能利用 此情況來以如下兩種方式之一破解安全性�。 1.對于完整性保護(hù),通常根據(jù)計數(shù)器�����、密碼密鑰和明文消息來計算消息認(rèn)證碼 (MAC)�����。然后將MAC追加到明文消息并通過通信鏈路與其一起發(fā)送�����。計數(shù)器可以用于檢測 攻擊者重放先前消息的嘗試�����,這些嘗試可能導(dǎo)致非期望或危險的影響。當(dāng)計數(shù)器和密碼密 鑰對于兩個不同的消息是相同的時�,攻擊者可以將這兩個消息彼此替換,接收器將無法注 意到這一點(diǎn)���。 2.對于機(jī)密性保護(hù)�,常常使用所謂的密碼�����。對于無線電鏈路�,流密碼可能是有利 的�,因為它們能夠容易地進(jìn)行錯誤恢復(fù)��。流密碼產(chǎn)生偽隨機(jī)位流(密鑰流)���,偽隨機(jī)位流與 明文消息執(zhí)行異或(XOR)�����,從而對竊聽者隱匿消息����。接收器能夠產(chǎn)生相同的密鑰流���,從接收 的消息減去����,并恢復(fù)明文消息����。密鑰流的生成取決于計數(shù)器和密碼密鑰。當(dāng)計數(shù)器和密碼 密鑰相同時�����,僅密鑰流將是相同的����。但是當(dāng)兩個不同明文消息與相同密鑰流執(zhí)行異或時,攻 擊者在找出明文消息中擁有強(qiáng)大優(yōu)勢��。
發(fā)明內(nèi)容
本發(fā)明的一個目的在于為上述問題提供解決方案���。優(yōu)選地��,應(yīng)該有效率地將這種 解決方案嵌入在移動通信系統(tǒng)的或相應(yīng)的新通信系統(tǒng)的其他過程中��。 本發(fā)明適用于范圍廣泛的通信系統(tǒng)(例如移動通信系統(tǒng))���,但是尤其適用于如3G TR 23. 882、3G TR 25. 813和3G TS 23. 402中描述的SAE/LTE系統(tǒng)��。SAE/LTE是擴(kuò)展和增 強(qiáng)UMTS的移動通信系統(tǒng)�。在3G TR 33. 821中描述了 SAE/LTE的安全性方面。在3G TS 33. 102中描述了 UMTS的安全性架構(gòu)�����。 特別是,上面的問題利用一種用于允許通信系統(tǒng)中的安全通信的安全性方法來解決�,其中該通信系統(tǒng)包括第一實體、第二實體和第三實體����。第一實體和第二實體共享第一密 碼密鑰和第二密碼密鑰。以及第一實體和第三實體共享第三密碼密鑰�,以及可能的另外的 密碼密鑰。該方法包括將第一數(shù)從第一實體發(fā)送到第二實體的步驟�����。然后�,將第二數(shù)從第 二實體發(fā)送到第一實體。然后�����,至少從第一���、第二或第三密碼密鑰之一以及第一實體和第二 實體中的至少一個中的第一和第二數(shù)中的至少一個來導(dǎo)出第四密碼密鑰和可能的另外的 密碼密鑰�����。 上面的方法可以允許確保各個密碼密鑰和與它們結(jié)合使用的計數(shù)器(序列號)的 新鮮度�。上面的解決方案特別有效率并且易于嵌入在SAE/LTE中已經(jīng)定義的過程中。
而且�,可以在一種適合于執(zhí)行上面的方法的通信系統(tǒng)內(nèi)解決上面的問題,其中該 通信系統(tǒng)包括第一實體���、第二實體和第三實體。第一實體和第二實體共享第一密碼密鑰和 第二密碼密鑰����,以及第一實體和第三實體共享第三密碼密鑰。第一實體適合于將第一數(shù)從 第一實體發(fā)送到第二實體����。第二實體適合于將第二數(shù)發(fā)送到第一實體。第一和第二實體中 的至少一個適合用于從第一���、第二或第三密碼密鑰中的至少一個以及第一和第二數(shù)中的至 少一個來導(dǎo)出第四臨時密碼密鑰�。 由于可以確保各個密碼密鑰和與這些密鑰結(jié)合使用計數(shù)器的新鮮度����,所以可以有 利地保障上面的通信系統(tǒng)(可以是例如SAE/LTE系統(tǒng)的移動通信系統(tǒng))的安全。
上面的目的還可以通過適合于執(zhí)行上面的方法的用戶設(shè)備�����、移動性管理實體和/ 或演進(jìn)的NodeB來解決。 使用nonce(當(dāng)前量)可以視為本發(fā)明的要點(diǎn)���。nonce是與相關(guān)系統(tǒng)參數(shù)有關(guān)的僅 使用一次的數(shù)��。在以上的上下文中���,nonce僅相關(guān)于(半)永久性密碼密鑰使用一次。換 言之���,nonce在實體之間交換����。此nonce僅相關(guān)于這些實體中的至少一個中提供的永久性 或(半)永久性密碼密鑰使用一次���。 關(guān)于SAE/LTE��,本發(fā)明描述一種有關(guān)在用戶設(shè)備(UE)�����、移動性管理實體(匪E)和演 進(jìn)的NodeB (eNB)之間進(jìn)行數(shù)據(jù)交換以便UE和匪E共享一個(半)永久性(密碼)密鑰的 方法�; UE和匪E共享一個或多個臨時(密碼)密鑰;
UE和eNB共享一個或多個臨時(密碼)密鑰;
在狀態(tài)轉(zhuǎn)變中���,UE向匪E發(fā)送nonceUE���。 在狀態(tài)轉(zhuǎn)變中���,匪E向UE發(fā)送nonce匪E (僅使用一次的數(shù))���。 在狀態(tài)轉(zhuǎn)變中�����,UE�����、匪E和eNB從(半)永久性密鑰或從另一個臨時密鑰通過適合
的密鑰導(dǎo)出函數(shù)����、交換的nonce和可能適合的附加輸入來導(dǎo)出新的臨時密鑰��。
現(xiàn)在將參考附圖描述并闡明本發(fā)明的進(jìn)一步的示范實施例�。 圖1示出根據(jù)本發(fā)明的第一示范實施例的UE�����、 eNB和匪E之間的消息交換的簡化 示意圖��。本實施例將應(yīng)用于在沒有AKA(認(rèn)證和密鑰協(xié)商協(xié)議)的情況下從空閑到活動或 分離到活動的狀態(tài)轉(zhuǎn)變中����。 圖2示出根據(jù)本發(fā)明的第二示范實施例的UE、 eNB和匪E之間的簡化消息交換�����。 本實施例將應(yīng)用于在具有AKA(認(rèn)證和密鑰協(xié)商協(xié)議)的情況下從空閑到活動或分離到活動的狀態(tài)轉(zhuǎn)變中。 圖3示出根據(jù)本發(fā)明的第三示范實施例的UE、eNB��、新匪E以及老匪E之間的簡化 消息交換。本實施例將應(yīng)用于在沒有AKA(認(rèn)證和密鑰協(xié)商協(xié)議)的情況下從空閑到空閑 的狀態(tài)轉(zhuǎn)變中��。 圖4示出根據(jù)本發(fā)明的第四示范實施例的UE����、eNB�����、新匪E以及老匪E之間的消息 交換。本實施例將應(yīng)用于在具有AKA(認(rèn)證和密鑰協(xié)商協(xié)議)的情況下從空閑到空閑的狀 態(tài)轉(zhuǎn)變中��。
具體實施例方式
下文中,將結(jié)合本發(fā)明的示范實施例來更詳細(xì)地描述本發(fā)明��。 在SAE/LTE中���,UE經(jīng)由網(wǎng)絡(luò)接入層(Network Access Stratum) (NAS)協(xié)議來與移 動性管理實體(匪E)通信��,以及經(jīng)由用戶平面(UP)協(xié)議和無線電資源控制(RRC)協(xié)議來與 基站(稱為演進(jìn)的NodeB(eNB))通信�����。 NAS協(xié)議和RRC協(xié)議需要機(jī)密性保護(hù)和完整性保護(hù)����,而UP協(xié)議只需機(jī)密性保護(hù),參 考3G TR 33.821 vl. 8. 0���。對于每種協(xié)議和每種保護(hù)模式��,都需要單獨(dú)的密碼密鑰和(可能 的)關(guān)聯(lián)的計數(shù)器����。存在五種密鑰K
NASenc���、 KNASint��、 K艦enc�、 K腦nt和K
UPenc Q 結(jié)果是在這個上下
文中第六種密鑰K^是有用的����,參考3G TR 33.821����。所有這些密鑰均根據(jù)UE和匪E之間共 享的半永久性密鑰K來導(dǎo)出�����。(K在TR33. 821中被稱為KASME��。 ) K由認(rèn)證協(xié)議AKA的運(yùn)行產(chǎn) 生�。下文將更詳細(xì)地解釋這些密鑰的定義�。 對于上面這六個密鑰的每一個,需要確保密鑰或關(guān)聯(lián)的計數(shù)器對應(yīng)于每個新消息 (或鏈路層幀)均發(fā)生改變�。當(dāng)UE處于活動狀態(tài)且持續(xù)發(fā)送消息時,這不是多大的問題��,因 為持續(xù)地增加計數(shù)器可滿足需要�。但是,當(dāng)UE進(jìn)入空閑狀態(tài)或分離且密鑰被存儲并重復(fù)使 用時����,則必須存儲所有計數(shù)器值,并將它們重發(fā)到另一方�����。這是UE在UMTS中執(zhí)行的操作, 且在UMTS中是可行的��,因為僅涉及兩個密鑰以及僅涉及一個網(wǎng)絡(luò)實體��。但是對于大量密鑰 和網(wǎng)絡(luò)實體���,則變得非常麻煩����。而且�����,通過哪些協(xié)議消息將計數(shù)器值傳送到網(wǎng)絡(luò)實體以及當(dāng) UE再次進(jìn)入活動狀態(tài)時連接到哪些網(wǎng)絡(luò)實體并不總是明確的��。因此��,可能期望針對此問題 的另一個解決方案���。 此解決方案必須是有效率的�,以便無需六個不同的過程來確保六個(計數(shù)器��,密 鑰)對的新鮮度。 其基本理念是在狀態(tài)轉(zhuǎn)變中始終刷新密鑰�����,則計數(shù)器可初始化為任何值(例如初 始化為零)���,因為(計數(shù)器�,密鑰)對由此總是新鮮的�。這意味著解決對于所有相關(guān)狀態(tài)轉(zhuǎn) 變?nèi)绾嗡⑿旅荑€的問題就足夠了 。 GSM:在GSM中�����,使用鏈路層幀編號作為計數(shù)器���。存在這些計數(shù)器的回巻 (wrap-around)的風(fēng)險,這些計數(shù)器相對較短�����。因此���,在UMTS中增強(qiáng)了相關(guān)GSM過程�����,在本 發(fā)明的上下文中只需考慮UMTS����。 UMTS :UE端維護(hù)一個計數(shù)器,稱為START��。 START對利用特定的密碼密鑰對CK�����、 IK 來保護(hù)的分組進(jìn)行計數(shù)���。即使當(dāng)UE未處于活動狀態(tài)或甚至掉電時�����,也必須將START存儲在 非易失性存儲器中�。當(dāng)UE再次變成活動狀態(tài)時��,可以重復(fù)使用相同的密碼密鑰�����,所以重要 的是當(dāng)前計數(shù)器值START仍然可用。實際上��,在UMTS中將START存儲在USIM上�。需要定義值THRESHOLD (閾值)來設(shè)置START的最大值。當(dāng)達(dá)到THRESHOLD時��,需要協(xié)商一對新的 密碼密鑰�。 UE安全地與之通信的只有一個網(wǎng)絡(luò)實體,RNC��。有一對密碼密鑰(CK��, IK)�����,以及有 幾個計數(shù)器用于幾個協(xié)議(RRC�����、 RLC�、MAC-d)��,根據(jù)它們���,以復(fù)雜的方式計算START���。
摘自3G TS 33. 102 : "ME和RNC將MAC-d HFN(用于加密)���、RLC HFN(用于加密)和RRC HFN(用于完整 性保護(hù))的20個最高有效位初始化為對應(yīng)服務(wù)域的START值;其余的位則被初始化為0�����。 還將RRC SN(用于完整性保護(hù))和RLC SN(用于加密)初始化為0���。 在正在進(jìn)行的無線電連接期間��,將ME中和SRNC中的STARTCS值定義為使用CKCS 和/或IKCS保護(hù)的所有信令無線電承載和CS用戶數(shù)據(jù)無線電承載的所有當(dāng)前COUNT-C和 COUNT-I值的最大值的20個最高有效位���,按2遞增,即STARTCS' = MSB2����。(MAX{COUNT-C, COUNT-II利用CKes和IKes保護(hù)的所有無線電承載(包括信令)}) +2 。
-如果當(dāng)前STARTCS < STARTCS'����,則STARTCS = STARTCS'�����,否則STARTCS不變�。
同樣地���,在正在進(jìn)行的無線電連接期間�����,將ME中和SRNC中的STARTPS值定義為 使用CKPS和/或IKPS保護(hù)的所有信令無線電承載和PS用戶數(shù)據(jù)無線電承載的所有當(dāng)前 COUNT-C和COUNT-I值的最大值的20個最高有效位�,按2遞增�����,即 STARTps' = MSB2����。 (MAX {COUNT-C, COUNT-I |利用CKPS和IKPS保護(hù)的所有無線電承 載(包括信令)})+2。-如果當(dāng)前STARTPS < STARTPS'�,則STARTPS = STARTPS'��,否則STARTPS不變�。"
避免這些復(fù)雜的計算規(guī)則將會是有用的�。 WLAN IEEE 802. lli :在握手過程中�,雙方制作nonce以生成會話密鑰。只有一個 這種密鑰���。對于所謂的CCMP模式����,此會話密鑰稱為成對瞬時密鑰(PTK)��。只有一個協(xié)議需 要保護(hù)���。 對于SAE/LTE�����,迄今為止沒有解決方案���,并且由于UMTS和WLAN中有關(guān)涉及的密鑰 的數(shù)量、網(wǎng)絡(luò)實體和協(xié)議有不同的設(shè)置��,所以如何延續(xù)來自UMTS或WLAN的解決方案并不簡 單���。 根據(jù)本發(fā)明的一個示范實施例�����,提供一種方法��,其具有如下23個方面中的至少一 個方面 1.第一個方面有關(guān)通信系統(tǒng)中涉及三個實體的過程稱為UE的第一實體�、稱為
匪E的第二實體和稱為eNB的第三實體,由此 -UE和匪E共享一個(半)永久性(密碼)密鑰���; -UE和匪E共享一個或多個臨時(密碼)密鑰����; -UE和eNB共享一個或多個臨時(密碼)密鑰���;-在狀態(tài)轉(zhuǎn)變中��,UE向匪E發(fā)送NonceUE���。-在狀態(tài)轉(zhuǎn)變中,匪E向UE發(fā)送NonceME(僅使用一次的數(shù))�����。-此外����,UE、匪E和eNB還可以在狀態(tài)轉(zhuǎn)變中交換另外的nonce ;-在狀態(tài)轉(zhuǎn)變中��,UE�、匪E和eNB能夠從(半)永久性密鑰或從另一個臨時密鑰通
過適合的密鑰導(dǎo)出函數(shù)、交換的nonce和可能適合的附加輸入來導(dǎo)出新的臨時密鑰�����。 2. 1.中的通信系統(tǒng)是如3G TR 23. 882和TS 23. 402中描述的SAE/LTE���。
3. 1.中的三個實體UE���、匪E和eNB是SAE/LTE中的用戶設(shè)備、移動性管理實體和 演進(jìn)的NodeB�。 4. 1.中的狀態(tài)轉(zhuǎn)變是空閑到空閑、或空閑到活動��、或分離到活動��、或(可能的)分 離到空閑狀態(tài)轉(zhuǎn)變�����,如3G TR 25. 813中所述的。 5. 1.中的(半)永久性密鑰是3G TR 33. 821中的密鑰K應(yīng)�����。 7. 1.中的nonce可以是隨機(jī)值�����、或不重復(fù)的計數(shù)器�、或時間戳、或臨時身份��、或這 些項的組合��。 8.在如1.中的系統(tǒng)中�����,nonce NonceUE和NonceME可以是狀態(tài)轉(zhuǎn)變中在實體UE�、 匪E和eNB之間交換的僅有的nonce 。 9.在如l.中的系統(tǒng)中�,在如4.中的狀態(tài)轉(zhuǎn)變的情況下,UE和匪E可以使用nonce Nonc^和Nonce皿而可能無需另外的時變輸入來直接從(半)永久性密鑰導(dǎo)出新密鑰
KNASenc�����、 KwASint 0 10.在如l.中的系統(tǒng)中,在如4.中的狀態(tài)轉(zhuǎn)變的情況下��,UE和匪E可以使用nonce Nonce皿和Nonce皿而可能無需另外的時變輸入來直接從(半)永久性密鑰導(dǎo)出新密鑰K^����。
11.在如l.中的系統(tǒng)中�����,在如4.中的狀態(tài)轉(zhuǎn)變以及如10.中的密鑰導(dǎo)出的情況 下��,UE和匪E可以無需另外的時變輸入而從密鑰KeNB為KKKCene��、KKKant�����、KUPene中的一些或全部 來導(dǎo)出新密鑰���。 12.在如l.中的系統(tǒng)中�����,在如4.中的狀態(tài)轉(zhuǎn)變的情況下�����,UE和匪E可以無需另外 的時變輸入而直接從(半)永久性密鑰來導(dǎo)出新密鑰K^�。 13.在如l.中的系統(tǒng)中,在如4.中的狀態(tài)轉(zhuǎn)變以及如12.中的密鑰導(dǎo)出的情況 下�����,UE和匪E可以使用nonce NonCeUE和Nonce腿作為輸入而從密鑰KeNB為KKKCene�����、 KKKCint��、 KUP �。中的一些或全部來導(dǎo)出新密鑰。 14.在如l.中的系統(tǒng)中����,在如4.中的狀態(tài)轉(zhuǎn)變以及如10.或12.中的密鑰導(dǎo)出 的情況下,UE和匪E可以使用nonce NonceUE和NonceME和/或UE與eNB之間交換的附加 nonce f乍為輸人從^lS�����、明KeNB為KRRCenc、 KRRCint�����、 KUPenc 中的一些或全部來導(dǎo)出新密鑰���。
15.在如4.中的狀態(tài)轉(zhuǎn)變中�����,UE可以在初始第3層消息中向匪E發(fā)送Nonce^,如 3G TR 23. 882中定義的�����。 16.在如4.中的狀態(tài)轉(zhuǎn)變中�����,匪E可以在如3G TR 33. 821中定義的安全性模式命 令中向UE發(fā)送Nonce皿�,或在如3G TR 23. 882中定義的用于空閑模式移動性的TA注冊確 認(rèn)中向UE發(fā)送NonceME。 17.還可以在RRC連接請求以及在RRC建立消息中在UE與eNB之間交換Nonce�����。
18.在如1.中的系統(tǒng)中,可以在導(dǎo)出新臨時密鑰之后將與臨時密鑰關(guān)聯(lián)的所有計 數(shù)器重新初始化為任意值����。 19.如18.中的計數(shù)器包括但不限于用于重放保護(hù)的序列號和確保密鑰流同步的 計數(shù)器。 20.匪E生成的Nonce可以完全或部分地由匪E指派的臨時用戶身份(例如 S-TMSI)組成��,參考3G TR 23.882�����。
21.eNB生成的Nonce可以完全或部分地由eNB指派的臨時用戶身份(例如 C-RNTI)組成�����,參考3G TR 25.813���。 22.UE與匪E之間共享的(半)永久性密鑰可以由UE存儲在防篡改的硬件模塊
上����,例如在UICC上的USM應(yīng)用中��。有關(guān)USIM的定義���,參考3G TR 31.102��。 23.除了 22.夕卜���,可以由UE在防篡改的硬件模塊上�����,例如在UICC上的USIM應(yīng)用
中��,執(zhí)行從共享的交換的nonce和(半)永久性密鑰導(dǎo)出臨時密鑰��。在此情況中����,對于其中
導(dǎo)出臨時密鑰的每個狀態(tài)轉(zhuǎn)變����,將該USIM存在的證明提供到網(wǎng)絡(luò)����。這樣針對被操縱的終端
(例如租用的終端)在移除USIM之后可能保留臨時密鑰或(半)永久性密鑰的情況中的攻
擊提供保護(hù)。 詳細(xì)地來說���,正如可從上面的多個方面獲取的��,可以實現(xiàn)如下的優(yōu)點(diǎn)��。當(dāng)回顧其 他方面時�,應(yīng)切記SAE/LTE是在UMTS之外演進(jìn)的。因此���,與UMTS比較可以顯示諸多優(yōu)點(diǎn)�。 有利地��,利用上面的方法�����,無需繁瑣地處理計數(shù)器START�����。而且����,不存在為LTE將START和 THRESHOLD存儲在USIM上所要求的可能性,LTE的USIM沒有更改�����,所以沒有有關(guān)USIM的附 加參數(shù)。而且�,如果將來在LTE上實現(xiàn)了 UMTS解決方案,則需要不同的START值��,NAS����、RRC、 UP各對應(yīng)一個�����。利用上面的方法和系統(tǒng)�����,通過在任何時間僅刷新密鑰并將計數(shù)器復(fù)位到零 或任意值來避免計數(shù)器處理的這些復(fù)雜性����。 有利地���,在SAE/LTE中操作nonce是有利的�,因為可以在來自任一方的僅一個
nonce的交換中更新多達(dá)六個密碼密鑰,避免了來自UMTS已知的計數(shù)器初始化存儲問題����。 而且,利用上面的方法和系統(tǒng)����,可以針對受操縱的終端提供保護(hù)。 此問題導(dǎo)致受操縱的終端(例如租用的終端)在從該終端移除USIM(通用訂戶身
份模塊)之后�,例如移除租用該終端的人的USIM之后保留密鑰CK和IK的情況。如果下次
呼叫未由網(wǎng)絡(luò)認(rèn)證�����,則控制該終端的假冒者可以使用該終端上保留的CK和IK��。在3GPP中���,足夠頻繁地運(yùn)行認(rèn)證協(xié)議AKA(如TS 33. 102/TR31. 900中定義的)即
視為足夠了��。在LTE中��,現(xiàn)在提供有中間密鑰��,即密鑰K����。存在不必為LTE接入更改USIM
的要求可能是成立的。但是�����,如果在USIM的在將來發(fā)行版中���,將K存儲在UICC上且不離開
UICC�����,則可以使用如上所述的密鑰刷新機(jī)制來對抗受操縱的終端線程(thread)�����,因為此密
鑰刷新僅在USIM的參與下才工作��。 下文將參考如下四個示范實施例進(jìn)一步詳細(xì)地描述這一點(diǎn)
使用如下符號表示SAE/LTE中的不同密鑰 K :在AKA期間借助HSS建立的����、在UE與匪E之間共享的密鑰�。AKA是公知來自3G TS 33. 102的認(rèn)證和密鑰協(xié)商協(xié)議����。此密鑰在TR 33. 821中被稱為KASME����。它在每次AKA時 改變�。 KNASen。��, KNASint :在匪E與UE之間共享的用于NAS信令的加密和完整性保護(hù)的密鑰�����。 在每次分離到活動以及空閑到活動的轉(zhuǎn)變時���、在空閑模式移動性時以及在K改變的情況下 被刷新���。 KeNB :在UE與eNB之間共享的用于導(dǎo)出KKKCenc、 KKKCint���、 KUPenc的中間密鑰����。在空閑到 活動的轉(zhuǎn)變時以及在K改變的情況下被刷新��。 KKKCene、KKKCint�、KUPene :在UE與eNB之間共享的用于RRC信令的加密和完整性保護(hù)以 及用于UP業(yè)務(wù)的加密的密鑰。在IUB改變的情況下被刷新�。
12
下文詳細(xì)描述的示例中,借助UE與網(wǎng)絡(luò)之間交換的兩個nonce (NonCeUE和NonceJ來刷新密鑰���。如下是在密鑰導(dǎo)出函數(shù)(KDF)中的nonce的提議用途的一個示例
1) KNASint = KDF (K | | NonceUE | | NonceSN | | 〃 NAS完整性")
2) KNASeM = KDF (K | | NonceUE | | NonceSN | | " NAS加密")
3) KeNB = KDF (K | | eNB Id | | NonceUE | | NonceSN)
4)KUPenc = KDF(KeNB| | 〃 UP加密〃 )
5)KKKCenc = KDF(KeNB| |〃 RRC加密〃 )
6) KKKCint = KDF (KeNB | | 〃 RRC完整性〃 ) 這些密鑰可能還取決于本發(fā)明的上下文中不相關(guān)的其他輸入?yún)?shù)(例如���,Kup,可能還取決于其上將使用它的加密算法的標(biāo)識符)。 在下文中��,有一些示例����,這些示例說明可以在不同類型的狀態(tài)轉(zhuǎn)變期間和空閑模
式移動性時,如何在UE與網(wǎng)絡(luò)之間交換nonce對NonceUE����、 NonceSN : 示例1 :在無AKA的情況下空閑到活動的轉(zhuǎn)變以及分離到活動的轉(zhuǎn)變 在這兩個類型的狀態(tài)轉(zhuǎn)變中,通過將NonCeUE包含在從UE發(fā)送到匪E的初始第3
層消息中并且將Nonc^包含在從匪E發(fā)送到UE的安全性模式命令消息中來刷新六個密鑰
KNASenc����、 KNASint、 KeNB����、 K艦enc、 KRint���、 Kupenc 0 如圖1所示��,首先����,相應(yīng)的UE將n0nCeUE包含在發(fā)送到匪E的初始第3層消息中�����。此前�����,UE向eNB發(fā)送無線電資源連接請求���。然后�,匪E選擇nonce認(rèn)�����,并將其包含在安全性模式中。匪E從上次AKA運(yùn)行期間生成的KASME和這些nonce來導(dǎo)出KeNB�、 KNASene和KNASint。
然后�,匪E將KeNB傳遞到eNB,并將該nonceSN包含在發(fā)送到eNB的安全性命令中�。該安全性命令是利用新的NAS密鑰(NAS-MAC)來進(jìn)行完整性保護(hù)的。然后���,eNB從接收的新鮮K���,導(dǎo)出RRC和UB密鑰,正如方面1. ���、2.和3.中所描述的�����。 然后���,eNB將安全性模式命令消息包含在無線電資源建立消息中。此消息是利用新的RRC完整性密鑰(RRC-MAC)來進(jìn)行保護(hù)���。 然后����,UE從KASME禾口 nonceUE禾口 nonceSN導(dǎo)出KNASenc禾口 KNASint、 K通b�,正如上文方面1.、2.和3.中所描述的�����。然后����,UE從新鮮K觀導(dǎo)出K艦e加�����、K腦nt��、Kupe加���,正如方面4. �����、5.和6.中
分別描述的����。 最后,UE使用新NAS�����、UP和RRC完整性密鑰來開始�。據(jù)此,可以確保相應(yīng)密鑰的新鮮度���。 可以認(rèn)識到��,安全性模式和過程的具體形式對于上面的方法是無關(guān)緊要的���。但是,應(yīng)該注意匪E可以將n0nCeSN包含在完整性模式命令消息中�����。在UE需要保護(hù)初始第3層消息并因此還對于網(wǎng)絡(luò)認(rèn)證自己的情況中���,它可使用當(dāng)前K�����,int并使用下一個序列號來對該消息實現(xiàn)完整性保護(hù)���。然后����,UE需要存儲用于NAS信令的SN���。備選地,UE還可以取用K和nonCeUE并導(dǎo)出新密鑰KNASint����,它可以使用該新密鑰來對初始第3層消息實現(xiàn)完整性保護(hù)。除了 nonce和密鑰外����,還可以將附加的輸入?yún)?shù)用于密鑰生成。例如�����,可以使用KSI��。然后,此nonceuE將必須是增加的計數(shù)器�,例如時間戳。 第二個示例有關(guān)在AKA的情況下空閑或分離到活動的轉(zhuǎn)變時的密鑰刷新�,如圖2所示。 在這兩個狀態(tài)轉(zhuǎn)變中����,通過在認(rèn)證期間刷新K來刷新所有七個密鑰(K、 KNAS_����、KNASint、 KeNB��、 K跟Cenc ��、 KuRCint ��、 Kupenc )���。但是��,因為密鑰刷新過程獨(dú)立于是否發(fā)生AKA的運(yùn)行是有
利的�����,所以提出以與空閑到活動的轉(zhuǎn)變中相同的方式來生成和交換nonce��。 正如圖2中可以見到的���,在將無線電資源連接請求從UE發(fā)送到eNB之后�����,UE向匪E
發(fā)送第3層消息�,與圖1的示例一樣���,該消息包含TMSI����、 UE�、 KSI和nonce『然后���,利用AKA建立新鮮的K�����。匪E選擇n0nCesN并導(dǎo)出KeNB���、 KNASenc和KNASint����。匪E和UE在AKA期間同意新KASME��。 然后�����,可以如圖1所示地繼續(xù)該方法���,其中匪E向eNB發(fā)信號通知允許的RRCalgo(算法)��、允許的UP algo和KeNB����。eNB則選擇相應(yīng)的RRC algo以及選擇相應(yīng)的UP algo��。在eNB中進(jìn)行這些選擇之后��,eNB向匪E發(fā)信號通知選定的RRC algo�、UP algo���。在安全性模式命令中��,匪E向eNB發(fā)送通知選定的UP���、RRC����、NAS algo���、KSI����、nonceSN的信號��,這些受到MAC-NAS的保護(hù)。 基于此���,eNB根據(jù)KeNB導(dǎo)出RRC/UP密鑰并開始RRC完整性過程�。然后�,由MAC-RRC保護(hù)的無線電資源建立以包含nonCesN的安全性模式命令來執(zhí)行。 響應(yīng)于此��,UE從onCeUE和NC�、 RRC和UP密鑰導(dǎo)出新鮮的KeNB��、 KNASenc���、 KNASint�。 UE驗證MAC-NAS和MAC-RRC并開始RRC完整性�。 在完成那個操作之后,UE發(fā)送無線電資源建立確認(rèn)(MAC-RRC)�����,其完成安全性模式(MAC-NAS)����。在接收到此確認(rèn)之后�����,eNB向MME發(fā)送安全性模式完成消息(MAC-NAS)��。
圖3示出在無AKA的情況下空閑模式移動性(即空閑到空閑的轉(zhuǎn)變)時的密鑰刷新。該示范實施例是基于如下假設(shè)構(gòu)建的由于空閑模式移動性��,所以無需為跟蹤區(qū)域(TA)注冊請求建立安全RRC連接���。在此情況中僅刷新NAS密鑰���。根據(jù)此示范實施例,UE將nonCeUE包含在發(fā)送到新匪E的TA注冊請求中���,而該新匪E選擇n0nCeSN并將其包含在注冊確認(rèn)消息中�。此消息則已經(jīng)利用刷新的NAS密鑰來保護(hù)����。 如圖3所示,最初�,UE將包含TMSI和nonceuE的TA注冊消息發(fā)送到新匪E。新匪E則將包含TMSI的UE上下文請求發(fā)送到老匪E�����。老匪E以包含IMSI和KASME的UE上下文消息予以響應(yīng)�����。響應(yīng)從老匪E接收的此消息����,新匪E選擇n0nCeSN并從來自UE的TA注冊消息中接收的n0nCeUE以及新匪E中選擇的n0nCeSN來導(dǎo)出新鮮的KNASene和KNASint密鑰。然后�����,從新匪E����,確認(rèn)注冊。此消息包含nonCeSN和具有新密鑰的MAC-NAS�����。在接收到此消息之后�����,UE根據(jù)從新匪E接收的n0nCeSN和n0nCeUE導(dǎo)出新鮮的KNASene和KNASint密鑰�。
簡言之,UE將nonceuE包含在發(fā)送到新匪E的TA注冊請求中��。然后,新匪E從老匪E請求包含TMSI的UE上下文���。然后����,老匪E將包含TMSI和KASME的UE上下文發(fā)送到新匪E����。可選地��,UE和新匪E可以借助AKA同意新鮮的KASME�,例如下文參照圖4描述的。新匪E可選擇新nonCeSN并可在KNASen���。���、 KNASint密鑰導(dǎo)出,如上文方面1.和2.中描述的��。
新匪E然后可以向UE發(fā)送確認(rèn)注冊消息����,其中包含nonce認(rèn)����。此消息已經(jīng)得到新NAS完整性的保護(hù)?�,F(xiàn)在��,UE可以如上文方面1.和2.中描述的導(dǎo)出新鮮的K��,����,和K�����,int密鑰��。 在UE需要保護(hù)初始第3層消息并因此還對于網(wǎng)絡(luò)認(rèn)證自己的情況中���,它可以使用當(dāng)前KNASint并使用下一個序列號來對該消息進(jìn)行完整性保護(hù)�。然后���,UE需要為NAS信令存儲SN����。另一個選擇可以是使UE取用K和n0nCeUE并導(dǎo)出新密鑰KNASint,它可以使用該新密鑰來對初始第3層消息進(jìn)行完整性保護(hù)�����。對于此密鑰生成����,還可以使用另外的輸入?yún)?shù),例
14如TMSI�����。 下文中��,將參照圖4描述具有AKA的情況下的空閑模式移動的密鑰刷新����。在此第四個示范實施例中,如果在空閑模式移動時���,新匪E請求新的AKA���,則刷新K和NAS密鑰��。在AKA期間密鑰K被刷新�,并且使用無AKA情況下的空閑模式移動中交換的nonce以及新的K來刷新KNASm�����。和K
NASint���,
如上文方面1.和2.中描述的。 正如可從圖4中見到的�,UE開始于將包含TMSI和nonce皿的TA注冊發(fā)送到新匪E。然后����,新匪E將包含TMSI的該UE上下文請求發(fā)送到老匪E,老匪E則通過將包含IMSI和KASME的UE上下文消息發(fā)送到新匪E來予以響應(yīng)����,然后新匪E開始AKA,其中UE和新匪E同意新的K密鑰���。然后����,該方法如參照圖3所描述的繼續(xù)進(jìn)行。 根據(jù)一個示范實施例�����,在空閑到活動的轉(zhuǎn)變時�,可以為IW,和K皿nt、K,�。密鑰直接使用nonCeSN和n0nCeUE作為密鑰生成函數(shù)的輸入,而不間接使用KeNB��。在此情況中�,匪E將必須將兩個nonce都傳遞到eNB,例如�,在包含KeNB的消息中。 而且���,根據(jù)另一個示范實施例�����,在空閑到活動的轉(zhuǎn)變時����,可以在eNB與UE之間交換附加的nonce對��。UE可以將nonce包含在RRC連接請求中,以及eNB可以將nonce包含在RRC建立消息中����。 根據(jù)另外的示范實施例,可以將C-RNTI作為nonce認(rèn)或nonce認(rèn)的部分來實現(xiàn)�����。還可以使用S-TMSI作為nonceSN或nonceSN的部分����。 根據(jù)又一個示范實施例�����,nonce不需要是隨機(jī)數(shù)���,只需確保在具有相同KASME之前未使用過該nonce�。因此��,nonce可以始終是相應(yīng)站點(diǎn)(site)中維護(hù)的計數(shù)器�����。該計數(shù)器可以對消息或鏈路層幀或分組或狀態(tài)轉(zhuǎn)變的次數(shù)或任何其他單元的數(shù)量進(jìn)行計數(shù)。在此方面中�����,甚至可以使用例如UMTS中定義的START (參考3G TS 33. 102)的計數(shù)器的使用作為nonc6UEO 在本發(fā)明的另一個示范實施例中����,如果在空閑模式移動之前基于TA注冊建立了RRC連接,則可以將n0nCeUE包含在RRC請求中���,而非TA注冊消息中�。eNB將因而必須將nonceuE傳遞至IJ匪E����。 上文引用的3GPP技術(shù)規(guī)范和技術(shù)報告可以在ftp:〃ftp. 3GPP/org/specs/htmlinfo/下找到。 在http://standards, ieee.org/getieee802/download/802. lli 2004. pdf可找到所引用的IEEE 802. 11規(guī)范����。 應(yīng)該注意,上文中具體參考SAE/LTE系統(tǒng)和方法來描述本發(fā)明�。但是,應(yīng)該注意�����,本發(fā)明還可以擴(kuò)展到其他移動通信系統(tǒng),甚至擴(kuò)展到一般的通信系統(tǒng)��。
1權(quán)利要求
一種用于允許通信系統(tǒng)中的安全通信的安全性方法�����,所述通信系統(tǒng)包括第一實體(UE)���、第二實體(MME)和第三實體(eNB)��,其中所述第一實體(UE)和所述第二實體(MME)共享第一密碼密鑰和第二密碼密鑰��,以及所述第一實體(UE)和所述第三實體(eNB)共享第三密碼密鑰���,以及可能地共享另外的密碼密鑰�,所述方法包括以下步驟將第一數(shù)從所述第一實體(UE)發(fā)送到所述第二實體(MME);將第二數(shù)從所述第二實體(MME)發(fā)送到所述第一實體(UE)�;從所述第一、第二或第三密碼密鑰中的至少一個以及所述第一實體(UE)和所述第二實體(MME)中的至少一個中的所述第一和第二數(shù)中的至少一個來導(dǎo)出第四臨時密碼密鑰和可能的另外的密碼密鑰����。
2. 如權(quán)利要求l所述的方法,還包括以下步驟 在所述第一實體(UE)��、所述第二實體(匪E)和所述第三實體(eNB)中的至少兩個之間 交換所述第一和第二數(shù)或第三數(shù)中的至少一個;從所述第一實體(UE)�����、所述第二實體(匪E)或所述第三實體(eNB)中的至少一個中的 所述第一�����、第二或第三密碼密鑰中的至少一個以及從所述第一���、第二或第三數(shù)中的至少一 個來導(dǎo)出所述第四臨時密碼密鑰和第五密碼密鑰中的至少一個���。
3. 如權(quán)利要求1或2的任一項所述的方法, 其中所述第一密碼密鑰是永久性或半永久性第六密碼密鑰��; 其中所述第二密碼密鑰是至少一個臨時第七密鑰�����;以及 其中所述第三密碼密鑰是至少一個臨時第八密鑰���。
4. 如權(quán)利要求1至3的任一項所述的方法�, 其中在狀態(tài)轉(zhuǎn)變期間傳送所述第一和第二數(shù);其中所述狀態(tài)轉(zhuǎn)變是從由以下組成的組中選擇的空閑到空閑���、空閑到活動��、分離到活 動以及分離到空閑狀態(tài)轉(zhuǎn)變�。
5. 如權(quán)利要求1至4的任一項所述的方法����, 其中所述第一、第二和第三數(shù)是nonce ;其中nonce是相應(yīng)通信系統(tǒng)中與所述通信系統(tǒng)的相關(guān)系統(tǒng)參數(shù)有關(guān)的僅使用一次的數(shù)�����。
6. 如權(quán)利要求5所述的方法���,其中所述通信系統(tǒng)的所述相關(guān)系統(tǒng)參數(shù)是所述第一密碼 密鑰���。
7. 如權(quán)利要求5和6的任一項所述的方法,其中所述nonce是隨機(jī)值�����、不重復(fù)的計數(shù)器����、時間戳和臨時身份中的至少一個。
8. 如權(quán)利要求1至7的任一項所述的方法�����, 其中所述第一和第二數(shù)是在所述狀態(tài)轉(zhuǎn)變期間交換的僅有的數(shù)���。
9. 如權(quán)利要求1至8的任一項所述的方法��,其中在導(dǎo)出新臨時第九密鑰之后將與所述第二和/或第三密鑰關(guān)聯(lián)的計數(shù)器重新初 始化為任意值�;其中所述計數(shù)器是從由以下組成的組中選擇的用于重放保護(hù)的序列號和用于密鑰流 同步的另外的計數(shù)器����。
10. 如權(quán)利要求1至9的任一項所述的方法,其中所述通信系統(tǒng)是如3G TR 23. 882和TS 23. 402中描述的SAE/LTE ;其中所述第一實體(UE)是用戶設(shè)備�����,所述第二實體(匪E)是移動性管理實體���,以及所 述第三實體(eNB)是SAE/LTE中的演進(jìn)的NodeB ;其中所述狀態(tài)轉(zhuǎn)變是從由以下組成的組中選擇的如3G TR25. 813中描述的空閑到空 閑��、空閑到活動����、分離到活動以及分離到空閑狀態(tài)轉(zhuǎn)變;其中所述第一密碼密鑰是3G TR 33. 821中的密鑰KASME ;其中所述第二和第三密鑰是從由以下組成的組中選擇的如3GTR 33.821中定義的KNASenc����、 KNASint、 K艦enc��、 K艦int��、 Kupenc和KeNBD
11. 如權(quán)利要求10所述的方法�,還包括在所述第一和第二實體(UE和匪E)中無需另 外的時變輸入而使用所述第一和第二數(shù)直接從所述第一密碼密鑰來導(dǎo)出KNASm。��、 KNASint的步 驟���。
12. 如權(quán)利要求11所述的方法��,其中所述第一和第二實體(UE和MME)無需另外的時變輸入而從所述密鑰K����,為K^��、 KKKant��、 KUP �����。中的至少一個導(dǎo)出另外的新密鑰���。
13. 如權(quán)利要求10所述的方法����,其中所述第一和第二實體(UE和MME)無需另外的時變輸入而直接從所述第一密碼密 鑰來導(dǎo)出另外的新密鑰K^�。
14. 如權(quán)利要求13所述的方法,其中所述第一和第二實體(UE和匪E)分別使用所述第一和第二數(shù)中的至少一個作為 輸入�����,從所述密鑰IU為KRRCenc�、 K服cint、 Kupenc 中的至少一個來導(dǎo)出另外的新密鑰���。
15. 如權(quán)利要求1至14的任一項所述的方法��,其中所述第一實體(UE)在初始第3層消息中將所述第一數(shù)發(fā)送到所述第二實體 (匪E)���,如3G TR 23. 882中定義的��。
16. 如權(quán)利要求1至15的任一項所述的方法�����,其中所述第二實體(匪E)在如3G TR 33.821中定義的安全性模式命令以及如3G TR 23. 882中定義的用于空閑模式移動性的TA注冊確認(rèn)的其中之一中發(fā)送所述第二數(shù)���。
17. 如權(quán)利要求1至16的任一項所述的方法,其中所述第一和第二數(shù)在所述第一實體(UE)和所述第三實體(eNB)之間在RRC連接 請求����、RRC連接請求和RRC建立消息之一中交換,如3G TR 23. 882和TS 23. 402中定義的��。
18. 如權(quán)利要求1至17的任一項所述的方法��,其中所述第一數(shù)至少部分地與所述第二實體(匪E)指派的臨時用戶身份��、例如S-TMSI 相關(guān)����,參考3G TR 23. 882。
19. 如權(quán)利要求1至18的任一項所述的方法���,還包括以下步驟 在所述第三實體(eNB)中生成eNB nonce ;其中所述eNB nonce至少部分地與所述第三實體(eNB)指派的臨時用戶身份���、例如 C-RNTI相關(guān)���,參考3G TR 25.813���。
20. 如權(quán)利要求1至19的任一項所述的方法�����,還包括以下步驟將所述第一實體(UE)中的所述第一密碼密鑰存儲在防篡改硬件模塊上����,例如在如參 考3G TR 31. 102中定義的UICC上的USIM應(yīng)用中�����;其中由所述第一實體(UE)在所述防篡改硬件模塊上����,例如在UICC上的USIM應(yīng)用中, 執(zhí)行從共享的所交換的nonce和所述第一密碼密鑰來導(dǎo)出臨時密鑰�����;以及其中,對于其中 導(dǎo)出臨時密鑰的每次狀態(tài)轉(zhuǎn)變�,向所述通信網(wǎng)絡(luò)提供存在所述USIM的證明,以用于針對受 操縱的終端���、例如租用的終端可能在移除所述USIM之后保留所述第二或第三密碼密鑰或 所述第一密碼密鑰的情況中的攻擊提供保護(hù)����。
21. —種適合于執(zhí)行如權(quán)利要求1至20的任一項所述的方法的通信系統(tǒng)����,所述通信系 統(tǒng)包括第一實體(UE)、第二實體(匪E)和第三實體(eNB)��,其中所述第一實體(UE)和所述第 二實體(匪E)共享第一密碼密鑰和第二密碼密鑰����,以及所述第一實體(UE)和所述第三實體 (eNB)共享第三密碼密鑰,以及可能地共享另外的密碼密鑰�;其中所述第一實體(UE)適合用于將第一數(shù)從所述第一實體(UE)發(fā)送到所述第二實體 (匪E);其中所述第二實體(匪E)適合用于將第二數(shù)從所述第二實體(匪E)發(fā)送到所述第一實 體(UE);以及其中所述第一和第二實體中的至少一個適合用于從所述第一、第二或第三密碼密鑰中 的至少一個以及所述第一和第二數(shù)中的至少一個來導(dǎo)出第四臨時密碼密鑰和可能的另外 的密碼密鑰���。
22. 如權(quán)利要求21所述的系統(tǒng)�,其中所述第一、第二和第三實體還適合用于 在所述第一實體(UE)��、所述第二實體(匪E)和所述第三實體(eNB)中的至少兩個之間交換所述第一和第二數(shù)或第三數(shù)中的至少一個�;從所述第一實體(UE)、所述第二實體(匪E)或所述第三實體(eNB)中的至少一個中的 所述第一����、第二或第三密碼密鑰中的至少一個以及從所述第一、第二或第三數(shù)中的至少一 個來導(dǎo)出所述第四臨時密碼密鑰和第五密碼密鑰中的至少一個��。
23. 如權(quán)利要求21或22的任一項所述的系統(tǒng)���, 其中所述第一密碼密鑰是永久性或半永久性第六密碼密鑰; 其中所述第二密碼密鑰是至少一個臨時第七密鑰���;以及 其中所述第三密碼密鑰是至少一個臨時第八密鑰����。
24. 如權(quán)利要求21至23的任一項所述的系統(tǒng)�����, 其中在狀態(tài)轉(zhuǎn)變期間傳送所述第一和第二數(shù)�;其中所述狀態(tài)轉(zhuǎn)變是從由以下組成的組中選擇的空閑到空閑、空閑到活動����、分離到活 動以及分離到空閑狀態(tài)轉(zhuǎn)變��。
25. 如權(quán)利要求21至24的任一項所述的系統(tǒng)�����,其中所述第一�����、第二和第三數(shù)是nonce ;其中nonce是在相應(yīng)通信系統(tǒng)中與所述通信系 統(tǒng)的相關(guān)系統(tǒng)參數(shù)有關(guān)的僅使用一次的數(shù)����。
26. 如權(quán)利要求25所述的系統(tǒng)�����,其中所述通信系統(tǒng)的所述相關(guān)系統(tǒng)參數(shù)是所述第一密 碼密鑰���。
27. 如權(quán)利要求25和26的任一項所述的系統(tǒng)���,其中所述nonce是隨機(jī)值、不重復(fù)的計數(shù)器、時間戳和臨時身份中的至少一個��。
28. 如權(quán)利要求21至27的任一項所述的系統(tǒng)����,其中在導(dǎo)出新臨時第九密鑰之后將與所述第二和/或第三密鑰關(guān)聯(lián)的計數(shù)器重新初 始化為任意值;其中所述計數(shù)器是從由以下組成的組中選擇的用于重放保護(hù)的序列號和用于密鑰流 同步的另外的計數(shù)器�。
29. 如權(quán)利要求21至28的任一項所述的系統(tǒng),其中所述通信系統(tǒng)是如3G TR 23. 882和TS 23. 402中描述的SAE/LTE ;其中所述第一實體(UE)是用戶設(shè)備�����,所述第二實體(匪E)是移動性管理實體��,以及所 述第三實體(eNB)是SAE/LTE中的演進(jìn)的NodeB ;其中所述狀態(tài)轉(zhuǎn)變是從由以下組成的組中選擇的如3G TR25. 813中描述的空閑到空 閑�����、空閑到活動����、分離到活動以及分離到空閑狀態(tài)轉(zhuǎn)變�����;其中所述第一密碼密鑰是3G TR 33. 821中的密鑰KASME ;其中所述第二和第三密鑰是從由以下組成的組中選擇的如3GTR 33.821中定義的KNASenc、 KNASint�����、 K艦enc�����、 KRRcint���、 Kupenc和KeNBD
30. 如權(quán)利要求29所述的系統(tǒng)�,其中所述系統(tǒng)還適合用于在所述第一和第二實體(UE和匪E)中無需另外的時變輸入而使用所述第一和第二數(shù) 直接從所述第一密碼密鑰來導(dǎo)出KNASm����。、KNASint °
31. 如權(quán)利要求30所述的系統(tǒng)��,其中所述第一和第二實體(UE和匪E)適合于無需另外的時變輸入而從所述密鑰K^為K服Cenc��、 KRRCint����、KUPm。中的至少一個來導(dǎo)出另外的新密鑰�����。
32. 如權(quán)利要求29所述的系統(tǒng),其中所述第一和第二實體(UE和匪E)適合于無需另外的時變輸入而直接從所述第一 密碼密鑰來導(dǎo)出另外的新密鑰I^B����。
33. 如權(quán)利要求32所述的系統(tǒng),其中所述第一和第二實體(UE和匪E)適合于分別使用所述第一和第二數(shù)中的至少一 個作為輸入�,從所述密鑰KeNB為KKKCenc、KKKCint��、KUPenc中的至少一個來導(dǎo)出另外的新密鑰���。
34. 如權(quán)利要求21至33的任一項所述的系統(tǒng)���,其中所述第一實體(UE)在初始第3層消息中將所述第一數(shù)發(fā)送到所述第二實體 (匪E),如3G TR 23. 882中定義的����。
35. 如權(quán)利要求21至34的任一項所述的系統(tǒng)����,其中所述第二實體(匪E)在如3G TR 33.821中定義的安全性模式命令以及如3G TR 23. 882中定義的用于空閑模式移動性的TA注冊確認(rèn)的其中之一中發(fā)送所述第二數(shù)。
36. 如權(quán)利要求21至35的任一項所述的系統(tǒng)�,其中所述第一和第二數(shù)在所述第一實體(UE)和所述第三實體(eNB)之間在RRC連接 請求���、RRC連接請求和RRC建立消息之一中交換,如3G TR 23. 882和TS 23. 402中定義的�。
37. 如權(quán)利要求21至36的任一項所述的系統(tǒng),其中所述第一數(shù)至少部分地與所述第二實體(匪E)指派的臨時用戶身份����、例如S-TMSI 相關(guān),參考3G TR 23. 882����。
38. 如權(quán)利要求21至37的任一項所述的系統(tǒng),其中所述第三實體還適合用于 在所述第三實體(eNB)中生成eNB nonce ;其中所述eNB nonce至少部分地與所述第三實體(eNB)指派的臨時用戶身份�����、例如 C-RNTI相關(guān)�,參考3G TR 25.813。
39. 如權(quán)利要求21至38的任一項所述的系統(tǒng)����,其中所述第四實體(UE)包括用于將所述第一密碼密鑰存儲在其中的防篡改硬件模 塊,例如在如參考3G TR 31. 102中定義的UICC上的USIM中�;其中由所述第一實體(UE)在所述防篡改硬件模塊上,例如在UICC上的USIM應(yīng)用中�, 執(zhí)行從共享的所交換的nonce和所述第一密碼密鑰來導(dǎo)出臨時密鑰�����;以及其中���,對于其中 導(dǎo)出臨時密鑰的每次狀態(tài)轉(zhuǎn)變,向所述通信網(wǎng)絡(luò)提供存在所述USIM的證明�,以用于針對受 操縱的終端、例如租用的終端可能在移除所述USIM之后保留所述第二或第三密碼密鑰或 所述第一密碼密鑰的情況中的攻擊提供保護(hù)�����。
40. —種如在如3G TR 23. 882和TS 23. 402中描述的SAE/LTE中的用戶設(shè)備����,所述用 戶設(shè)備適合于執(zhí)行如權(quán)利要求1至20的任一項中所述的方法。
41. 一種如在如3G TR 23. 882和TS 23. 402中描述的SAE/LTE中的移動性管理實體����, 所述移動性管理實體適合于執(zhí)行如權(quán)利要求1至20的任一項中所述的方法。
42. —種如在如3G TR 23. 882和TS 23. 402中描述的SAE/LTE中的演進(jìn)的NodeB����,所 述演進(jìn)的NodeB適合于執(zhí)行如權(quán)利要求1至20的任一項中所述的方法�����。
全文摘要
本申請描述移動通信系統(tǒng)中的密鑰處理,其中在移動通信系統(tǒng)的實體之間交換第一和第二數(shù)�。該第一和第二數(shù)分別相關(guān)于通信系統(tǒng)的相應(yīng)系統(tǒng)參數(shù)僅使用一次。
文檔編號H04L29/06GK101720539SQ200880016329
公開日2010年6月2日 申請日期2008年3月18日 優(yōu)先權(quán)日2007年3月21日
發(fā)明者D·福斯伯格, G·霍恩, U·邁耶 申請人:諾基亞西門子通信有限責(zé)任兩合公司