密鑰衍生的制作方法
【專(zhuān)利摘要】為在蜂窩電信網(wǎng)絡(luò)上的驗(yàn)證期間便于改變供智能卡(SIM)使用的網(wǎng)絡(luò)驗(yàn)證密鑰(Ki)����,提供一種將密鑰衍生與空中下載(OTA)規(guī)范結(jié)合的智能卡管理方案。該方案確保Ki從不以O(shè)TA方式發(fā)送����,并且Ki僅存儲(chǔ)在兩個(gè)位置:在SIM上和在驗(yàn)證中心(AuC)。
【專(zhuān)利說(shuō)明】密鑰衍生
發(fā)明領(lǐng)域
[0001]本發(fā)明涉及用于通過(guò)諸如GSM或UMTS網(wǎng)絡(luò)的無(wú)線(xiàn)電信網(wǎng)絡(luò)或移動(dòng)網(wǎng)絡(luò)運(yùn)營(yíng)商(MNO)驗(yàn)證終端設(shè)備的智能卡的領(lǐng)域���。
【背景技術(shù)】
[0002]SM卡(也稱(chēng)為通用集成電路卡���,UICC)是一種普遍存在的智能卡形式。無(wú)線(xiàn)電信網(wǎng)絡(luò)標(biāo)準(zhǔn)批準(zhǔn)通過(guò)SM卡便于網(wǎng)絡(luò)裝置的驗(yàn)證(事實(shí)上���,術(shù)語(yǔ)SM卡常常用于共同地包括真SM卡和USM卡)�。這些卡可靠地存儲(chǔ)網(wǎng)絡(luò)驗(yàn)證程序的基本單元:秘密密鑰(包括網(wǎng)絡(luò)驗(yàn)證密鑰(Ki))、“空中下載”(OTA)傳送密鑰和用于一個(gè)或多個(gè)運(yùn)營(yíng)商加密算法的參數(shù)����。
[0003]每個(gè)SM卡對(duì)顧客是特定的,并且除驗(yàn)證信息之外承載為該顧客所特有的信息��,諸如顧客的國(guó)際移動(dòng)用戶(hù)識(shí)別碼(IMSI)����。
[0004]SIM卡用于為每個(gè)終端提供相關(guān)識(shí)別(例如IMSI)和驗(yàn)證信息。在例如電信應(yīng)用的某些應(yīng)用中�,在卡本身上可不提供SIM,而是在植入或集成到裝置中的集成電路上提供。這例如可采取用于標(biāo)準(zhǔn)化安裝的VQFN8封裝形式�。
[0005]現(xiàn)有的SM卡典型地針對(duì)單個(gè)MNO作個(gè)性化:換句話(huà)說(shuō),它們存儲(chǔ)僅在一個(gè)MNO的網(wǎng)絡(luò)上有效的秘密密鑰���。每個(gè)SIM因而對(duì)特殊的網(wǎng)絡(luò)是特定的(“歸屬”網(wǎng)絡(luò))�,也就是說(shuō)��,每個(gè)SIM在該網(wǎng)絡(luò)的運(yùn)營(yíng)商的控制下發(fā)布并供該網(wǎng)絡(luò)內(nèi)使用��。
[0006]改變MNO需要可移除SM卡的物理交換���??ǖ脑摻粨Q在一些情況下是不切實(shí)際的�,在這些情況下,需要調(diào)換SIM的終端可能廣泛地分布或植入(并且因此不可調(diào)換)����。
[0007]蜂窩電信系統(tǒng)的基本安全需求是SM的網(wǎng)絡(luò)驗(yàn)證密鑰(Ki)僅曾經(jīng)存儲(chǔ)在網(wǎng)絡(luò)的兩個(gè)點(diǎn),即在SM上和在驗(yàn)證中心(AuC)���。另外�����,Ki是不管什么在任何情況下從不發(fā)送的�����。事實(shí)上����,Ki在制造之后的任何點(diǎn)從SIM移除或傳輸在有些地方是違法的�����。
[0008]在傳統(tǒng)的電信系統(tǒng)中,Ki在制造的時(shí)候與SM的國(guó)際移動(dòng)用戶(hù)識(shí)別碼(MSI)配對(duì)����。僅IMSI以及因此其固有耦合的Ki控制裝置能天然地連接至哪個(gè)網(wǎng)絡(luò)。如上所述����,由于Ki不可發(fā)送、不可傳送或不可編程���,所以目前情況下使SIM天然地連接至各種網(wǎng)絡(luò)或者延續(xù)各種網(wǎng)絡(luò)的行蹤是不可行的���。
[0009]傳統(tǒng)的SM與網(wǎng)絡(luò)布置不太令人滿(mǎn)意。如果具有其相關(guān)的SM卡的終端供產(chǎn)品內(nèi)使用并在特定的運(yùn)營(yíng)公司的網(wǎng)絡(luò)內(nèi)提供功能��,則出現(xiàn)的問(wèn)題是終端的所有者是否希望讓自己利用競(jìng)爭(zhēng)網(wǎng)絡(luò)運(yùn)營(yíng)商的服務(wù)(可能由于終端永久地移入未被該終端向其登記的初始網(wǎng)絡(luò)覆蓋的地理區(qū)域)�����。
[0010]轉(zhuǎn)換SM具有相關(guān)的后勤保障困難�����,并且另外地可具有安置在先前的SM卡上的有用信息丟失的后果���。此外�����,在某些應(yīng)用(此時(shí)SM沒(méi)有以可移動(dòng)智能卡的形式存儲(chǔ)而是存儲(chǔ)在植入裝置中的集成電路上)中�����,SIM替換是不可能的����。
[0011]先前設(shè)計(jì)能夠在多個(gè)網(wǎng)絡(luò)上登記并重新登記的SM的嘗試基于這樣的原理:在一個(gè)超級(jí)SIM內(nèi)產(chǎn)生單個(gè)SIM的多個(gè)實(shí)例�,該超級(jí)SIM隨后能夠挑選MS1-Ki對(duì)以用于每種情形(即當(dāng)在多個(gè)網(wǎng)絡(luò)上登記或重新登記時(shí))。國(guó)際專(zhuān)利公布W003 / 013174中描述了這種示例���,其中描述了這樣的智能卡�。作為在不轉(zhuǎn)換SIM卡本身的情況下轉(zhuǎn)換運(yùn)營(yíng)商的問(wèn)題的一般解決方案��,其存在許多固有的缺點(diǎn)�����。
[0012]首先�,由于SM實(shí)際上是安置在同一物理SM卡/ 內(nèi)的多個(gè)SM����,所以存在關(guān)于誰(shuí)是超級(jí)SM的所有者的固有歧義性����。每個(gè)IMS1-Ki對(duì)被認(rèn)為是負(fù)責(zé)發(fā)布每個(gè)IMS1-Ki對(duì)的每個(gè)地方或組織的網(wǎng)絡(luò)的性質(zhì)。
[0013]其次,利用該機(jī)制帶來(lái)運(yùn)營(yíng)商后勤保障的變化,使得運(yùn)營(yíng)商在完成對(duì)該運(yùn)營(yíng)商的分配之后僅知悉其“Ki”��,而不能預(yù)訂(K1�、IMSI, ICCID)并預(yù)載至歸屬位置寄存器(HLR)。替代性地�����,每個(gè)MNO可能預(yù)先接收預(yù)載的(IMS1��、K1��、ICCID)值中的一個(gè)����,但是隨后在每個(gè)“超級(jí)SM”上必須正好存在與整個(gè)系統(tǒng)中的MNO (全球數(shù)百個(gè))一樣多的Ki,并且這些密鑰中的絕大多數(shù)從不使用����。另外�����,MNO引起將所有不使用的密鑰保存在它們的HLR中的成本���。
[0014]在US20080276090中提出了一種替代性的解決方案:在此,全球性的中間密鑰Kint與卡上的密鑰衍生算法一起使用���。個(gè)性化模塊中的偽隨機(jī)發(fā)生器為發(fā)送的每個(gè)最終的識(shí)別號(hào)碼MSI生成相應(yīng)的隨機(jī)數(shù)RND�����。然后,個(gè)性化模塊為發(fā)送的每個(gè)IMSI號(hào)碼確定尚未分配給任何卡的最終驗(yàn)證密鑰Ki���。驗(yàn)證密鑰Ki根據(jù)生成的中間驗(yàn)證密鑰Kint和與MSI號(hào)碼相關(guān)的生成的隨機(jī)數(shù)RND���,由載入卡中的算法AD確定。其后�,卡使用最終的驗(yàn)證密鑰Ki。在確保每個(gè)可能的卡上衍生相同的Ki的情況下��,相同的Kint值需要加載至多張卡�。
[0015]對(duì)空中下載方式發(fā)送“Ki”的替代性機(jī)制包括Ki在運(yùn)送中被發(fā)現(xiàn)的危險(xiǎn)���;它們還引起其中Ki發(fā)送至卡上的可寫(xiě)入文件的危險(xiǎn),這于是允許進(jìn)一步寫(xiě)入(包括部分的重寫(xiě))�����。這樣的寫(xiě)入(尤其是部分重寫(xiě))可危及Ki和/或相關(guān)參數(shù)的保密�。進(jìn)一步的危險(xiǎn)是“鎖定”,由此強(qiáng)制MNO使用卡的初始供應(yīng)方(或由該供應(yīng)方選擇的一方)����,以空中下載方式發(fā)送其Ki。替代性地��,可能強(qiáng)制MNO使用其未設(shè)計(jì)并且不完全信任的密鑰集或算法���。
【發(fā)明內(nèi)容】
[0016]根據(jù)本發(fā)明�����,提供一種用于管理存儲(chǔ)在微處理器卡上的簽約信息的方法���,卡預(yù)先配置有相關(guān)的唯一的卡號(hào)碼、至少一個(gè)預(yù)定的主密鑰(K_master)和至少一個(gè)號(hào)碼生成裝置,該方法包括:從多個(gè)信任方(TSM)中的一個(gè)信任方接收衍生值(SEED);將衍生值(SEED)存儲(chǔ)在微處理器卡上���;利用號(hào)碼生成裝置����、卡號(hào)碼和根密鑰生成識(shí)別號(hào)碼(Ki);其中�����,生成的識(shí)別號(hào)碼(Ki)適合于用于電信網(wǎng)絡(luò)����。
[0017]根據(jù)本發(fā)明的另一方面,提供一種配置有一個(gè)或多個(gè)唯一的主密鑰和一種或多種號(hào)碼生成算法的電信安全模塊��,該模塊包括:用于從多個(gè)信任方(TSM)中的一個(gè)信任方接收衍生值(SEED)的裝置�;用于存儲(chǔ)衍生值(SEED)的存儲(chǔ)裝置��;用于利用號(hào)碼生成裝置�、卡號(hào)碼和根密鑰生成識(shí)別號(hào)碼(Ki)的微處理器;其中�����,生成的識(shí)別號(hào)碼(Ki)適合于用于電信網(wǎng)絡(luò)。
[0018]本發(fā)明還涉及一種包括或結(jié)合電信安全模塊的裝置�,該電信安全模塊配置有一個(gè)或多個(gè)唯一的主密鑰和一種或多種密鑰衍生算法,能夠衍生用于電信網(wǎng)絡(luò)的至少一個(gè)驗(yàn)證密鑰�����,并使得給定的網(wǎng)絡(luò)驗(yàn)證密鑰能衍生到任何目標(biāo)模塊上而無(wú)需將全球性秘密不配置到多個(gè)模塊上����。
[0019]優(yōu)選地,所述衍生算法中的至少一種衍生算法設(shè)置有輸入種子值以及主密鑰以產(chǎn)生輸出密鑰值��,使得算法是可逆的���,以允許預(yù)先計(jì)算一個(gè)或多個(gè)可能的種子值�����,從而產(chǎn)生目標(biāo)密鑰值��。
[0020]便利地��,所述衍生算法中的至少一種衍生算法附加地向衍生密鑰提供完整性保護(hù)��。優(yōu)選的是�,向與衍生密鑰結(jié)合使用的算法標(biāo)識(shí)符和算法參數(shù)附加地提供完整性保護(hù)。
[0021]安全模塊可布置成確保利用密鑰衍生算法和相關(guān)的數(shù)據(jù)結(jié)構(gòu)僅能修改衍生密鑰值��。另外��,模塊可布置成確保密鑰值及相關(guān)的算法標(biāo)識(shí)符和參數(shù)不能被獨(dú)立地修改�,而是結(jié)合利用密鑰衍生算法及相關(guān)的數(shù)據(jù)結(jié)構(gòu)才能修改。
[0022]便利地�����,模塊對(duì)于限定的事件或者在每次使用之前重新檢查衍生網(wǎng)絡(luò)驗(yàn)證密鑰的完整性����,以及可選擇地重新檢查相關(guān)的算法標(biāo)識(shí)符和參數(shù)。
[0023]存儲(chǔ)裝置優(yōu)選地存儲(chǔ)種子值而不是最后所得到的密鑰值�,并且在對(duì)于預(yù)定事件作完整性檢查之前或者在每次使用之前重新衍生密鑰值。
[0024]優(yōu)選的是��,種子值其本身在利用加密和/或完整性算法傳輸至安全模塊期間被保護(hù)�。
[0025]有利地,種子值利用空中下載機(jī)制發(fā)送至安全模塊���。
[0026]可使得多個(gè)信任方能夠連續(xù)地或并行地管理安全模塊內(nèi)的網(wǎng)絡(luò)驗(yàn)證密鑰及相關(guān)的簽約數(shù)據(jù)。
[0027]一個(gè)或多個(gè)信任方可使用首先由初始信任方生成并且然后可選擇地由后續(xù)信任方改變的密鑰集���。此外�,初始信任方可確保一次僅一個(gè)后續(xù)信任方能夠管理安全模塊內(nèi)的網(wǎng)絡(luò)驗(yàn)證密鑰及相關(guān)的簽約數(shù)據(jù)。
[0028]模塊可嵌入裝置內(nèi)或者可替代性地為可移除的��。模塊可以是嵌入的或可移除的ncc�。
[0029]根據(jù)本發(fā)明的另外的方面,提供一種包含這樣的電信安全模塊的裝置��。裝置優(yōu)選地適合于機(jī)器對(duì)機(jī)器或其他機(jī)器類(lèi)型的通信實(shí)現(xiàn)�。
【專(zhuān)利附圖】
【附圖說(shuō)明】
[0030]為了更好地理解本發(fā)明,現(xiàn)在以示例方式對(duì)附圖進(jìn)行參照���,其中:
[0031]圖1圖示移動(dòng)/蜂窩電信系統(tǒng)的關(guān)鍵單元����;以及
[0032]圖2圖示根據(jù)本發(fā)明的密鑰衍生機(jī)制�����。
【具體實(shí)施方式】
[0033]現(xiàn)在將參照?qǐng)D1簡(jiǎn)要描述移動(dòng)/蜂窩電信系統(tǒng)的關(guān)鍵單元及其操作��。
[0034]諸如GSM或UMTS網(wǎng)絡(luò)的蜂窩電信網(wǎng)絡(luò)的每個(gè)用戶(hù)配置有WCC /智能卡(例如SM����、USIM)�,該nCC /智能卡當(dāng)與用戶(hù)的移動(dòng)終端相關(guān)時(shí)識(shí)別網(wǎng)絡(luò)的用戶(hù)��。SM卡被預(yù)編程有唯一的識(shí)別號(hào)碼�����、在卡上不可見(jiàn)并且不為用戶(hù)所知的“國(guó)際移動(dòng)用戶(hù)識(shí)別碼”(MSI)以及唯一的密鑰Ki���。向用戶(hù)發(fā)布公開(kāi)已知的號(hào)碼����,也就是說(shuō)用戶(hù)的電話(huà)號(hào)碼��,借助于該用戶(hù)的電話(huà)號(hào)碼�����,呼叫者啟動(dòng)對(duì)用戶(hù)的呼叫����。該號(hào)碼是MSISDN。
[0035]網(wǎng)絡(luò)包括歸屬位置寄存器(HLR) /歸屬用戶(hù)服務(wù)器(10)��,其為網(wǎng)絡(luò)的每個(gè)用戶(hù)存儲(chǔ)MSI和對(duì)應(yīng)的MSISDN�,連同諸如用戶(hù)的移動(dòng)終端的當(dāng)前或最后已知的MSC的其他用戶(hù)數(shù)據(jù)。HSS是用于網(wǎng)絡(luò)的主數(shù)據(jù)庫(kù)��,并且盡管邏輯上該HSS被看作一個(gè)實(shí)體��,但在實(shí)踐中����,其由多個(gè)物理數(shù)據(jù)庫(kù)組成。HSS保存用于由用戶(hù)進(jìn)行的呼叫和對(duì)話(huà)的支持���、建立和維護(hù)的變量和識(shí)別碼��。
[0036]當(dāng)用戶(hù)希望在網(wǎng)絡(luò)中激活他們的移動(dòng)終端(使得其可隨后進(jìn)行或接收呼叫)時(shí)���,用戶(hù)將他們的SIM卡放置在與移動(dòng)終端(在該示例中的終端I)相關(guān)的讀卡器中。移動(dòng)終端I使用無(wú)線(xiàn)接入網(wǎng)絡(luò),以將(從智能卡讀取的)頂SI發(fā)送至由存儲(chǔ)IMSI等的MNO運(yùn)行的蜂窩網(wǎng)絡(luò)的核心網(wǎng)絡(luò)�����。
[0037]HLRlO使得對(duì)移動(dòng)終端I執(zhí)行驗(yàn)證程序��。HLRlO將包括用戶(hù)識(shí)別碼(MSI)的驗(yàn)證請(qǐng)求發(fā)送至AUC(驗(yàn)證中心)��,用于衍生驗(yàn)證向量(AV)�。基于MSI��,AUC生成作為隨機(jī)數(shù)的詢(xún)問(wèn)(challenge)�����,或者基于MSI獲得存儲(chǔ)的詢(xún)問(wèn)�����。此外��,AUC基于詢(xún)問(wèn)和與SM共享的秘密生成XRES (預(yù)期結(jié)果)�����,或者獲得與詢(xún)問(wèn)一起存儲(chǔ)的XRES����。XRES用于最后完成驗(yàn)證。
[0038]驗(yàn)證數(shù)據(jù)和XRES然后以驗(yàn)證詢(xún)問(wèn)方式發(fā)送至移動(dòng)電話(huà)I���。移動(dòng)電話(huà)I通過(guò)將驗(yàn)證數(shù)據(jù)發(fā)送至移動(dòng)電話(huà)I的SM來(lái)生成響應(yīng)�����。SM基于存儲(chǔ)在SM上的簽約的Ki和驗(yàn)證詢(xún)問(wèn)生成與存儲(chǔ)在服務(wù)器中的XRES對(duì)應(yīng)的響應(yīng)�。
[0039]為了根據(jù)SIM驗(yàn)證最后完成驗(yàn)證,核心網(wǎng)絡(luò)為驗(yàn)證控制而將響應(yīng)值與存儲(chǔ)的XRES的值比較。
[0040]如果來(lái)自移動(dòng)終端I的響應(yīng)正如所預(yù)期的�,則移動(dòng)終端I被認(rèn)為得到驗(yàn)證�����。
[0041]作為驗(yàn)證過(guò)程的一部分�,還建立用于加密無(wú)線(xiàn)路徑上的用戶(hù)和信令數(shù)據(jù)的密碼密鑰Kc。該程序被稱(chēng)作密碼密鑰設(shè)定�����。密鑰在密鑰Ki的控制下利用單向函數(shù)由移動(dòng)終端I計(jì)算��,并且由AuC為網(wǎng)絡(luò)預(yù)先計(jì)算����。因而在成功的驗(yàn)證交換的結(jié)束時(shí),雙方擁有新的密碼密鑰Kc���。
[0042]如果需要���,驗(yàn)證過(guò)程傳統(tǒng)地在移動(dòng)終端I保持激活時(shí)被重復(fù)�,并且每次移動(dòng)終端進(jìn)行或者接收呼叫時(shí)同樣可被重復(fù)���。每次執(zhí)行驗(yàn)證過(guò)程時(shí)���,新的Kc被生成并提供至終端I。
[0043]以上的機(jī)制不允許一個(gè)Ki被(用于另一 MNO的)另一 Ki直接替換���,并因此遭受以上概述的缺點(diǎn)��。
[0044]根據(jù)本發(fā)明的方案將密鑰衍生與OTA規(guī)范相結(jié)合����。在制造時(shí)����,主秘密Kjnaster配置在卡上。當(dāng)配置新的簽約時(shí)�,“可信服務(wù)管理器”(TSM)生成隨機(jī)或偽隨機(jī)種子(SEED),并將其傳送至卡���。SEED由卡用于密鑰衍生過(guò)程����。
[0045]由于SEED只有當(dāng)需要時(shí)才生成,所以TSM不知道將來(lái)生成的任何Ki����。此外,如果TSM在將Ki發(fā)送至MNO并發(fā)送至卡之后刪除Ki���,則其不再長(zhǎng)期保留關(guān)于K的知識(shí)。
[0046]盡管Ki本身不與OTA Ki規(guī)范方案中實(shí)現(xiàn)的那樣在安全分組中發(fā)送��,但該方案具有相同的優(yōu)點(diǎn)���。衍生值(SEED)被作為安全的OTA分組輸送�。
[0047]優(yōu)選地�����,密鑰衍生為可逆過(guò)程(例如用密鑰Kjnaster加密SEED)��,使得即使Ki由MNO提供�,或者如果Ki已在早期提供至MNO并且已載入HLR,該密鑰衍生也起作用��。由TSM生成的SEED因而不是隨機(jī)值:TSM通過(guò)應(yīng)用反向密鑰衍生操作由MNO提供的Ki計(jì)算要發(fā)送至卡的值。
[0048]密鑰衍生方法在卡(UICC)上使用以通過(guò)發(fā)送數(shù)據(jù)串SEED由預(yù)載的主密鑰“K_master”衍生出Ki,使得Ki=KDF(K_master, SEED)��。然而,衍生功能是可逆的�,使得通過(guò)預(yù)先計(jì)算合適的SEED能夠衍生任何所期望的目標(biāo)Ki。這意味著任何所期望的目標(biāo)Ki (在運(yùn)營(yíng)商的HLR中已訂并存在)能衍生到任何卡上���。
[0049]該解決方案允許借助任何目標(biāo)簽約密鑰(Ki)�����,為任何運(yùn)營(yíng)商遠(yuǎn)程地個(gè)性化SIM卡(UICC)��,而無(wú)需以空中下載方式發(fā)送運(yùn)營(yíng)商(Ki)�����,無(wú)需在可寫(xiě)入文件中存儲(chǔ)Ki��,并且無(wú)需巨大的預(yù)載密鑰的集合�����。
[0050]在優(yōu)選的實(shí)施例中�,衍生使用驗(yàn)證的加密算法����,使得卡能檢查最后所得到的Ki的完整性�。例如����,我們可能實(shí)際上使 KDF (K_master,SEED) =Ki Hash (Ki)或 KDF (K_master�����,SEED) =Ki| |MAC(Ki)��,開(kāi)且卡檢查對(duì)應(yīng)的散列或消息驗(yàn)證代碼(MAC)函數(shù)匹配衍生的散列或MAC�����,從而確保Ki恰如所預(yù)期的��。
[0051]便利地,Ki使用的任何參數(shù)(例如算法標(biāo)識(shí)符���、用于MILENAGE的運(yùn)營(yíng)商輪轉(zhuǎn)和常數(shù))連同Ki本身一起得到完整性保護(hù),使得Ki不可能與不正確的算法(也將危害Ki安全的某些事情)一起使用����。
[0052]“SEED”本身發(fā)送至利用OTA加密+OTA完整性算法保護(hù)的卡�,使得密鑰衍生機(jī)制附加在OTA安全之上而不是OTA安全的替換�。
[0053]作為附加的保護(hù)措施,“SEED”永久存儲(chǔ)在卡上�����;Ki并非這樣���。相反地����,Ki在SM /USIM驗(yàn)證算法的每次啟動(dòng)或每次使用時(shí)重新衍生���,并且重新檢查Ki的完整性(使得可容易檢測(cè)到竄改/部分更新Ki的任何企圖)��。
[0054]在本發(fā)明的另一方面中�����,有利的是對(duì)許多(有限數(shù)量的)預(yù)載“主密鑰�,����,和相關(guān)的衍生算法的選擇�,使得不同的運(yùn)營(yíng)商組不再需要信任彼此的密鑰和算法�。另外,存在對(duì)一系列信任方(基本上為可信服務(wù)管理器TSM)的選擇��,每個(gè)信任方能夠?qū)ⅰ癝EED”以O(shè)TA方式發(fā)送至卡�。
[0055]安全性的要求是,除了利用以O(shè)TA方式發(fā)送的預(yù)定數(shù)據(jù)結(jié)構(gòu)連同SEED�,Ki不能以任何方式在UICC上更新;其參數(shù)(OPc����、alg_id、r�、c)也不能獨(dú)立于K更新。
[0056]Ki的衍生
[0057]在優(yōu)選的實(shí)施例中����,用于從SEED衍生Ki的機(jī)制應(yīng)滿(mǎn)足以下需求:
[0058]密鑰衍生是可逆的��,使得通過(guò)發(fā)送合適定制的SEED能從預(yù)載主密鑰Kjnaster衍生任何目標(biāo)Ki����。
[0059]衍生算法提供完整性檢查(例如經(jīng)由驗(yàn)證加密的形式),使得卡能檢查最后所得到的Ki的完整性�����。
[0060]Ki使用的參數(shù)(例如算法id和輪轉(zhuǎn)以及常數(shù)參數(shù))還與Ki本身一起受到完整性保護(hù)。
[0061]例如�����,考慮利用AES作為密碼�����,通過(guò)用主密鑰Kjnaster加密SEED計(jì)算的字符串(Ki I I CheckSum):
[0062]Ki I I CheckSum=E [SEED] Kmaster
[0063]并且卡校驗(yàn)Checksum=SHA-256 (Ki | |算法_參數(shù))�����。該方案允許TSM在給定Ki時(shí)(如果Ki由MNO提供或者已經(jīng)存儲(chǔ)在MNO的HLR中����,或者如果二次簽約配置相同的Ki)計(jì)算 SEED:
[0064]SEED=D [Ki I Checksum] Kmaster
[0065]這樣的方案的優(yōu)點(diǎn)是有助于卡滿(mǎn)足以上的安全需求:除了通過(guò)定義的數(shù)據(jù)結(jié)構(gòu),Ki及相關(guān)的算法參數(shù)不能更新��?�?ú辉賹i存儲(chǔ)在文件中�����,而是僅存儲(chǔ)SEED,并且當(dāng)需要時(shí)(例如在卡啟動(dòng)時(shí)或者在每次使用驗(yàn)證算法時(shí))重新計(jì)算Ki����。即使為了試圖發(fā)現(xiàn)Ki而篡改SEED (例如通過(guò)部分重寫(xiě)),則也將檢測(cè)到竄改�,并且卡能拒絕執(zhí)行驗(yàn)證算法。完整性機(jī)制還確保Ki不能與錯(cuò)誤的驗(yàn)證算法一起使用�����,或者不能與不正確的OPc��、輪轉(zhuǎn)�、常數(shù)等一起使用。
[0066]有利的是將兩種衍生算法結(jié)合在一起:主衍生算法和備用衍生算法�。不同的主密鑰需要與不同的算法一起使用,因而當(dāng)發(fā)送SEED時(shí)還需要算法標(biāo)識(shí)符(或者更直截了當(dāng)?shù)氖荎_master標(biāo)識(shí)符)���。原則上��,MNO組還可指定要與特定的主密鑰一起使用的(專(zhuān)有)密鑰衍生算法���。
[0067]在本發(fā)明的一個(gè)實(shí)施例中�����,卡(例如SIM)與機(jī)器對(duì)機(jī)器(M2M)的終端相關(guān)(典型地嵌入機(jī)器對(duì)機(jī)器(M2M)的終端內(nèi))。術(shù)語(yǔ)“M2M”用于描述在這樣的不同領(lǐng)域中的應(yīng)用:跟蹤與追蹤�����;支付�;遠(yuǎn)程維護(hù);汽車(chē)與電子收費(fèi)(例如電信)���;計(jì)量�����;和消費(fèi)設(shè)備��。M2M允許裝置(常常稱(chēng)為移動(dòng)M2M)之間的無(wú)線(xiàn)通信的擴(kuò)展使得在有些情況下(例如��,在汽車(chē)工業(yè)內(nèi))提供新的服務(wù)成為可能����,并且在其他情況下延伸現(xiàn)有的M2M服務(wù)(在智能計(jì)量領(lǐng)域內(nèi))���。
[0068]借助于移動(dòng)M2M�����,能同時(shí)監(jiān)測(cè)數(shù)以百萬(wàn)計(jì)的����、處于移動(dòng)網(wǎng)絡(luò)覆蓋區(qū)域內(nèi)任何地方的機(jī)器,以提供使個(gè)體或企業(yè)能分析并按照其行動(dòng)的實(shí)時(shí)信息�。
[0069]無(wú)論那些M2M終端是移動(dòng)的還是固定的,都存在許多的場(chǎng)景�����,在這些場(chǎng)景中���,與每個(gè)終端進(jìn)行安全的����、經(jīng)過(guò)驗(yàn)證的無(wú)線(xiàn)通信的可能性被認(rèn)為是有益的�。在不明顯增加監(jiān)測(cè)來(lái)自裝置的輸出的負(fù)擔(dān)的情況下,這使得M2M裝置能夠變得廣泛分布���。
[0070]顯然���,在廣泛分布的裝置中物理地交換智能卡可能出現(xiàn)令后勤保障頭痛的問(wèn)題��。并且在M2M裝置具有嵌入的SM卡的情況下將是不切實(shí)際的��。
[0071]在M2M應(yīng)用的情況下�,雖然M2M服務(wù)的供應(yīng)方是明顯不同于主MNO的實(shí)體,但是其可以是信任方并且可能希望實(shí)現(xiàn)簽約管理(即變成TSM)���。
[0072]在有些情況下�,實(shí)際上可能允許超過(guò)一個(gè)的TSM執(zhí)行簽約管理���。這將允許存在對(duì)一系列信任方(TSM)的選擇�,每個(gè)信任方能將合適的SEED值以O(shè)TA方式發(fā)送至卡�。
[0073]考慮TSM從TSMl到TSM2的變化:
[0074]TSMl向TSM2提供執(zhí)行簽約管理所需的數(shù)據(jù)(發(fā)行方安全域(ISD)或其他信任安全域(TSD)、卡ID����、密鑰集等)。
[0075]TSM2于是應(yīng)在密鑰集內(nèi)改變密鑰值�����,使得僅TSM2能夠利用該密鑰集管理卡上的簽約。
[0076]TSM的變化還可與MNO的變化相關(guān):例如考慮簽約(從MN02到MN03)的變化���,與此同時(shí)還有TSM(從TSMl到TSM2)的改變����。如果卡被“鎖定”至現(xiàn)任MNO (例如根據(jù)合同條款)���,則現(xiàn)任TSM不應(yīng)允許該變化�����。
[0077]如果存在TSM的多個(gè)連續(xù)的變化���,則即使密鑰由后續(xù)TSM改變,也存在通過(guò)鏈中的任何TSM的密鑰泄露而影響到所有后續(xù)TSM密鑰的安全的危險(xiǎn)��。因此�,這樣的泄露還影響到所有后續(xù)MNO的密鑰的安全。有利的是應(yīng)采取如下的減少這種“鏈危險(xiǎn)”的方法:
[0078]TSMl具有密鑰集I����。為了移交至TSM2,TSMl檢查卡未鎖定至當(dāng)前有效的ΜΝ0��。如果沒(méi)有鎖定,則TSMl創(chuàng)建新的臨時(shí)密鑰集2�,并將密鑰集2交給TSM2。TSM2以永久密鑰集替換臨時(shí)密鑰集2����。
[0079]TSMl保證在TSM2作為簽約管理器時(shí)不使用密鑰集I ;TSM2保證不刪除密鑰集I��。
[0080]為了移交至TSM3���,TSMl檢查卡未鎖定至當(dāng)前有效的ΜΝ0�����。如果沒(méi)有鎖定��,則TSMl用新的臨時(shí)密鑰集2重寫(xiě)密鑰集2�����,并將密鑰集2交給TSM3����。TSM3以永久密鑰集替換臨時(shí)密鑰集2�����。
[0081]TSMl保證在TSM3作為簽約管理器時(shí)不使用密鑰集I ;TSM3保證不刪除密鑰集I。
[0082]對(duì)于TSM將來(lái)的變化也是如此�����。該解決方案允許TSM不限數(shù)量的變化��,但技術(shù)上與存在可用于簽約管理的密鑰集從不超過(guò)兩個(gè)時(shí)的一樣簡(jiǎn)單�����。TSMl的保證確保每次僅使用一個(gè)密鑰集�����。密鑰通過(guò)TSM2的泄露不會(huì)影響TSM3�����、TSM4的密鑰等的安全�����,并且沒(méi)有TSM必須移交它們自己的密鑰����。在全球平臺(tái)中無(wú)需作出改變��。授信的TSM僅有義務(wù)為其他的授信TSM創(chuàng)建密鑰集����,使得在TSM之間作出的保證是可靠的����。
[0083]根據(jù)本發(fā)明����,如果使用來(lái)自主密鑰Kjnaster的密鑰衍生,則每個(gè)TSM需要知道對(duì)應(yīng)的K_master���。每個(gè)TSM可能會(huì)將K_master的值傳給其后繼者,但這再次產(chǎn)生上述連續(xù)泄露的危險(xiǎn)�。另一可能的解決方案是��,預(yù)載Kjnaster并將它們分配給生態(tài)系統(tǒng)中已知(授信)的TSM��,有些Kjnaster被保留給將來(lái)的授信TSM��。益處是由于密鑰分配問(wèn)題適用于幾個(gè)授信TSM而不是許多ΜΝ0����,所以密鑰分配問(wèn)題可更容易管理�。
[0084]上述移交機(jī)制需要當(dāng)前的TSM(TSMl)在發(fā)行方安全域中為競(jìng)爭(zhēng)者TSM (TSM2)創(chuàng)建密鑰集�����。取決于是否存在不對(duì)稱(chēng)的或?qū)ΨQ(chēng)的解決方案�,該新的密鑰集對(duì)于TSMl可能是未知的或僅臨時(shí)已知。
[0085]總之��,這些解決方法需要當(dāng)前的TSMl向其競(jìng)爭(zhēng)者釋放有價(jià)值的資源:在許多情況下����,這可能是商業(yè)上不可接受的。盡管TSMl與TSM2可能就該業(yè)務(wù)(facility)商定價(jià)格�����,但該價(jià)格可能影響釋放資源的商業(yè)情形����。
[0086]因此,提供對(duì)以上機(jī)制的進(jìn)一步改善����。當(dāng)務(wù)之急是向這樣的MNO提供移交機(jī)制��,該MNO已預(yù)先從TSM2訂購(gòu)SM(或者更確切的是K��、IMSI, ICCID等)�,但沒(méi)有從TSMl訂購(gòu)它們���。此外��,該MNO可與TSM2具有信任關(guān)系�����,而不是與TSMl具有信任關(guān)系:并且結(jié)果是�,MNO典型地希望拒絕TSMl對(duì)其密鑰的訪(fǎng)問(wèn)���。
[0087]該進(jìn)一步改善操作如下:
[0088]1.TSMl創(chuàng)建最終為目標(biāo)MNO所擁有、但臨時(shí)為T(mén)SM2所擁有的“最小����,,SbsD (簽約域)�。這意味著創(chuàng)建最小的文件系統(tǒng)、RFM等�。TSMl確保用于該最小SbsD的密鑰集傳到TSM2��。密鑰集可利用PUTKEY設(shè)立����,或者可利用保密卡內(nèi)容管理設(shè)立(在這樣的情況下��,TSMl將不知道密鑰集)�。替代性地,許多最小SbsD可被預(yù)載����,其帶有直接從eLIICC供應(yīng)方傳到TSM2的預(yù)載密鑰。
[0089]2.在尚未激活SbsD的情況下��,TSM2使用其密鑰集以給SbsD配置代表目標(biāo)MNO的整套概貌數(shù)據(jù)aMS1���、K���、USIM應(yīng)用、其他應(yīng)用等)�,包括利用任何優(yōu)選的在卡上得到支持的K的密鑰衍生方法。
[0090]3.TSM2通知TSMl其已完成配置新的SbsD�����,并請(qǐng)求SMl激活新的SbsD。
[0091]4.TSMl 激活新的 SbsD�。
[0092]5.TSM2改變SbsD的密鑰集并且將它們傳到目標(biāo)ΜΝ0,因而它們變成MNO的OTA密鑰��。(替代性地��,如果已預(yù)訂OTA密鑰���,則TSM2僅將它們變成預(yù)訂值)�。
[0093]關(guān)鍵差異是在步驟2中��。在以上流程中�����,必須能夠利用“未激活”SbsD本身的密鑰集管理該SbsD:實(shí)際上�����,提供不可見(jiàn)的背景更新��。如以上所限定地��,僅ISD的密鑰集能夠執(zhí)行這樣的背景更新��。倘若TSM2值得信任����,則不可能出現(xiàn)安全問(wèn)題:即,可信任TSM2在建立背景SbsD時(shí)不會(huì)耗盡所有的備用存儲(chǔ)或者可信任TSM2不會(huì)中斷基本的前臺(tái)過(guò)程等)��。[0094]有利的是以上流程使需要控制過(guò)程的參與方數(shù)量最少:由于僅一方(TSMl) —直需要管理ISD���,所以仍可布置成它們從不知道用于SbsD的密鑰集�。
[0095]進(jìn)一步的優(yōu)點(diǎn)是如果MNO的確一直希望變成其自身的TSM�,則以上模型顯然支持該可能性。MNO基本上僅擔(dān)負(fù)TSM2的角色�,并目?jī)H代表自身在步驟2接管配置過(guò)程。
【權(quán)利要求】
1.一種用于管理存儲(chǔ)在微處理器卡上的簽約信息的方法���,所述卡預(yù)先配置有相關(guān)的唯一的卡號(hào)碼�、至少一個(gè)預(yù)定的主密鑰(K_master)和至少一個(gè)號(hào)碼生成裝置,所述方法包括: 從多個(gè)信任方(TSM)中的一個(gè)信任方接收衍生值(SEED)�����; 將所述衍生值(SEED)存儲(chǔ)在所述微處理器卡上���; 利用所述號(hào)碼生成裝置����、所述卡號(hào)碼和所述根密鑰生成識(shí)別號(hào)碼(Ki); 其中���,所述生成的識(shí)別號(hào)碼(Ki)適合于用于電信網(wǎng)絡(luò)����。
2.根據(jù)權(quán)利要求1所述的方法���,還包括: 提供完整性檢查��,由此所述卡檢查所述生成的識(shí)別號(hào)碼(Ki)的完整性���。
3.根據(jù)權(quán)利要求1或權(quán)利要求2所述的方法,其中�����,所述識(shí)別號(hào)碼(Ki)在與MNO的驗(yàn)證中使用之后被刪除��。
4.根據(jù)前述權(quán)利要求中的任一項(xiàng)所述的方法��,其中�,所述衍生值(SEED)在安全OTA分組中接收。
5.根據(jù)前述權(quán)利要求中的任一項(xiàng)所述的方法�����,其中���,所述密鑰衍生是可逆過(guò)程��,使得通過(guò)利用所述唯一的卡號(hào)碼��、所述SEED和所述主密鑰Kjnaster在信任方(TSM)處應(yīng)用反向密鑰衍生���,所述SEED能與任何所期望的Ki關(guān)聯(lián)。
6.根據(jù)前述權(quán)利要求中的任一項(xiàng)所述的方法�,其中,所述識(shí)別號(hào)碼(Ki)在每次啟動(dòng)所述微處理器卡驗(yàn)證算法時(shí)重新衍生�����。
7.根據(jù)前述權(quán)利要求中的任一項(xiàng)所述的方法��,其中�,所述微處理器卡預(yù)先配置有多個(gè)預(yù)定的主密鑰(K_master)��。
8.根據(jù)權(quán)利要求7所述的方法�,其中����,所述微處理器卡還預(yù)先配置有與所述相應(yīng)的預(yù)定的主密鑰(Kjnaster)對(duì)應(yīng)的根密鑰標(biāo)識(shí)符和至少兩個(gè)號(hào)碼生成裝置,從而至少提供主號(hào)碼生成裝置和備用號(hào)碼生成裝置�,每個(gè)號(hào)碼生成裝置通過(guò)所述主密鑰標(biāo)識(shí)符識(shí)別所述預(yù)定主密鑰中不同的一個(gè)預(yù)定主密鑰。
9.一種配置有一個(gè)或多個(gè)唯一的主密鑰和一種或多種號(hào)碼生成算法的電信安全模塊���,所述模塊包括: 用于從多個(gè)信任方(TSM)中的一個(gè)信任方接收衍生值(SEED)的裝置�; 用于存儲(chǔ)所述衍生值(SEED)的存儲(chǔ)裝置�����; 用于利用所述號(hào)碼生成裝置��、所述卡號(hào)碼和所述根密鑰生成識(shí)別號(hào)碼(Ki)的微處理器�����; 其中�����,所述生成的識(shí)別號(hào)碼(Ki)適合于用于電信網(wǎng)絡(luò)。
10.一種設(shè)備����,其結(jié)合根據(jù)權(quán)利要求9所述的電信安全模塊��。
【文檔編號(hào)】G07F7/10GK103493426SQ201180068554
【公開(kāi)日】2014年1月1日 申請(qǐng)日期:2011年12月15日 優(yōu)先權(quán)日:2010年12月15日
【發(fā)明者】S·巴巴格, N·博恩 申請(qǐng)人:沃達(dá)方Ip許可有限公司