本发明专利技术提供了用于在网络认证期间使用的挑战操纵和恢复能力。在移动设备(MD)和订户服务器(SS)中分别提供有与MD的网络认证模块(NAM)的订户身份相关联的绑定密钥(B密钥)。当MD尝试附接到无线电接入网(RAN)时,SS响应于来自RAN的请求获得认证矢量(AV)。AV包括原始认证挑战参数(ACP)。SS基于其B密钥对原始ACP进行加密,并且通过用已加密ACP替换原始ACP来更新AV。MD接收已加密ACP,并且基于其B密钥对已加密ACP进行解密,以便恢复原始ACP。MD向NAM提供原始ACP,以用于计算供RAN验证的认证响应。
【技术实现步骤摘要】
【国外来华专利技术】
本专利技术总体上涉及通信网络,更加特别地而非排他地是涉及用于通信网络的网络认证规程。
技术介绍
在许多类型的网络中,利用安全性和认证能力来防止由未经授权的设备进行网络接入。
技术实现思路
本专利技术的实施例通过对于认证挑战参数的操纵和恢复将已订购网络接入的使用限制到特定的经过授权的设备,从而解决了现有技术中的许多缺陷。在一个实施例中,一种装置包括处理器和可通信地连接到处理器的存储器,其中所述处理器被配置来接收认证挑战参数并且确定认证挑战参数是否被加密。在一个实施例中,一种用于由包括处理器和存储器的移动设备使用的方法包括:由处理器接收认证挑战参数并且确定认证挑战参数是否被加密。在一个实施例中,一种装置包括处理器和可通信地连接到处理器的存储器,其中所述处理器被配置来基于绑定密钥对认证矢量(AV)的原始认证挑战参数(originalauthenticat1n challenge parameter)进行加密,从而形成已加密认证挑战参数(encrypted authenticat1n challenge parameter)并且用已加密认证挑战参数替换 AV的原始认证挑战参数。在一个实施例中,一种方法包括:利用处理器基于绑定密钥对认证矢量(AV)的原始认证挑战参数进行加密,从而形成已加密认证挑战参数并且用已加密认证挑战参数替换AV的原始认证挑战参数。【附图说明】通过考虑后面结合附图进行的详细描述,可以很容易理解这里的教导,其中:图1示出示例性无线通信系统的高层级方框图;图2示出由订户服务器使用来对被用于认证与网络的订购的认证挑战参数进行加密的方法的一个实施例;图3示出由移动设备使用来对被用于认证与网络的订购的认证挑战参数进行解密的方法的一个实施例;以及图4示出适用于实施这里所描述的功能的计算机的高层级方框图。为了便于理解,在可能的情况下使用完全相同的附图标记来标示各幅图所共同的完全相同的单元。【具体实施方式】一般来说,提供响应验证能力以用于在网络认证规程期间确保验证针对认证挑战的响应。在至少一些实施例中,通过在移动设备附接到无线网络时验证针对被用于移动设备的网络认证模块的认证的认证挑战参数的响应,所述响应验证能力确保移动设备拥有订购秘密。认证挑战参数通过这样一种方式与认证事件相关联,从而使得对于认证挑战参数的修改将导致认证失败,从而防止移动设备接入无线网络(也就是说,对于认证挑战参数的修改将导致由移动设备的网络认证模块计算出错误的认证响应,从而在把认证响应提供给无线网络时使得对于所述认证响应的验证失败,从而防止移动设备接入无线网络)。在至少一些实施例中,响应验证能力使用被提供在移动设备和订户服务器上的绑定密钥(其在这里被称作B密钥)来对被用于移动设备的网络认证模块与无线接入网络的认证的认证挑战参数进行加密和解密。在至少一些实施例中,订户服务器被配置来在把认证挑战参数从订户服务器提供到移动设备以用于订购认证之前,对认证挑战参数实施密码操纵(cryptographicmanipulat1n)。认证挑战参数与特定认证事件相关联,在所述特定认证事件中尝试认证与移动设备的网络认证模块相关联的订购。对于认证挑战参数的密码操纵可以包括对认证挑战参数的加密(例如利用B密钥作为加密秘密)或者任何其他适当类型的操纵。在至少一些实施例中,经过授权的移动设备被配置来在把所接收到的认证挑战参数呈送到移动设备的网络认证模块以用于生成针对认证挑战的响应之前,对认证挑战参数实施反向密码操纵。对于认证挑战参数的反向密码操纵可以包括对认证挑战参数的解密(例如利用B密钥作为解密秘密)或者任何其他适当类型的操纵。在至少一些实施例中,响应验证能力支持把网络认证模块(例如智能卡、基于软件的网络认证模块等等)的使用限制到被授权使用网络认证模块的移动设备。在智能卡(或者任何其他类型的物理可移除的网络认证模块)的情况下,这样的实施例确保在未被授权使用网络认证模块的移动设备中无法不当地使用网络认证模块。在基于软件的网络认证模块的情况下,这样确保在由基于软件的网络认证模块根据认证挑战参数生成的响应无效时,移动设备的基于软件的网络认证模块无法被用来接入网络。应当提到的是,虽然这里主要是在特定类型的无线网络内(即在基于蜂窝的无线网络内)提供响应验证能力的实施例的情境中进行了描绘和描述,但是所述响应验证能力可以被提供在任何其他适当类型的无线网络中。应当提到的是,虽然这里主要是在特定类型的安全性框架内(即在利用基于认证和密钥协定(AKA)的认证规程的网络内)提供响应验证能力的实施例的情境中进行了描绘和描述,但是所述响应验证能力可以被使用在基于挑战-响应协议(challenge-responseprotocol)的任何安全性框架内。图1示出示例性无线通信网络的高层级方框图。示例性无线通信系统100支持网络认证规程。网络认证规程可以是挑战-响应认证规程,其可以是在网络认证期间使用认证矢量(AV)的基于AKA的认证规程。举例来说,示例性无线通信系统100可以是第二代(2G)蜂窝网络(例如2G全球移动系统(GSM)蜂窝网络、2G码分多址(CDMA)蜂窝网络等等)、第三代(3G)蜂窝网络(例如3G CDMA2000网络、3G合作伙伴计划(3GPP)通用移动电信系统(UMTS)网络等等)、第四代(4G)蜂窝网络(例如长期演进(LTE)网络)等等。示例性无线通信系统100包括移动设备(MD) 110、无线电接入网(RAN) 120、核心网络(CN) 130和订户服务器(SS) 140。MD 110是被配置来支持挑战-响应认证规程的移动设备,其可以是基于AKA的认证规程。MD 110包括处理器112和可通信地连接到处理器112的存储器113。存储器113存储各种程序和数据,其中包括挑战恢复进程114和B密钥数值115。处理器112被配置来从存储器113取回挑战恢复进程114并且执行挑战恢复进程114,以便提供响应验证能力的功能。挑战恢复进程114被配置来对于在网络认证规程期间在MDllO处接收到的AV的已加密认证挑战参数进行解密,其中利用保持在MD 110上的B密钥115 (其也被提供在SS140上,并且由SS140使用来在将AV发送到MD 110之前对认证挑战参数进行加密)来对已加密认证挑战参数进行解密。后面将更加详细地描述挑战恢复进程114的操作。MD 110包括网络认证模块(NAM) 116。NAM 116被配置来支持挑战-响应认证规程,其可以是基于AKA的认证规程。NAM 116与订户的网络订购相关联。NAM 116确保使用MDllO的订户的个人数据的完整性和安全性。NAM 116包括订购凭证(例如订户身份,比如国际移动订户身份(MSI)、临时移动订购身份(TMSI)、全球唯一临时身份(GUTI)等等)、一个或更多订购秘密、用于订购认证以及生成用于保护会话信息的安全性密钥的一种或更多种算法等等。如图1中所示,NAM 116可以通过任何适当的方式来实施,这可以取决于RAN 120的底层无线电接入技术(RAT)。在一个实施例中,如图1中所示,NAM 116是插入到MD 110中的物理可移除设备。在该实施例中,NAM 116可以是智能卡。在GSM网络的情况下,NAM 本文档来自技高网...
【技术保护点】
一种装置,其包括:处理器和可通信地连接到处理器的存储器,所述处理器被配置来:接收认证挑战参数;以及确定认证挑战参数是否被加密。
【技术特征摘要】
【国外来华专利技术】...
【专利技术属性】
技术研发人员:谢米扬·米兹克夫斯盖,扬尼斯·布鲁斯替斯,维奥莱塔·凯库莱福,
申请(专利权)人:阿尔卡特朗讯,
类型:发明
国别省市:法国;FR
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。