[发明专利]演进网络中的应用特定的主密钥选择

说明书

技术领域

本发明涉及通过诸如电信网络等网络发送的信息的认证和安全性。

背景技术

许多网络具有向网络认证用户终端和向用户终端认证网络的过程。典型地，认证过程涉及使用存储在预定位置(如认证中心(AuC))和用户终端的事先共享的密钥。在认证过程中使用的其他参数一般是根据该密钥导出的。

使用密钥进行认证涉及密钥管理活动。针对某些网络的密钥管理一般基于公知的机制，如认证和密钥协商(AKA)机制。在AKA过程期间，从认证中心(AuC)获得/传送具有要由用户终端确认的参数的消息。这些参数在认证矢量(AV)中结合在一起。该认证矢量(AV)的部分通过网络传送至用户终端。此时，用户终端必须执行某些计算，以回应该质询。用户终端计算的结果被发送回去，并对照认证矢量(AV)进行检查。如果结果匹配，则认证成功。如果结果不对，激活某些其他过程来纠正该问题。

上述认证可以用在诸如电信网络等许多类型的网络中。在典型的蜂窝无线系统中，无线用户终端(又称为移动台、移动终端和移动用户设备单元(UE))经由无线接入网(RAN)与一个或多个核心网通信。用户终端可以是诸如移动电话(“蜂窝”电话)和具有移动终端的膝上型计算机等移动台，因而可以是例如与无线接入网进行语音和/或数据通信的便携式、袖珍式、手持式、计算机包含式、或车载移动设备。

无线接入网(RAN)覆盖被划分为小区区域的地理区域，每个小区区域由基站(如无线基站(RBS))提供服务，在某些网络中无线基站是所谓的“NodeB”或“B节点”。小区是基站站点处的无线基站设备提供无线覆盖的地理区域。每个小区由在小区内广播的本地无线区域内的唯一标识所标识。基站通过空中接口(例如射频)与基站范围内的用户终端通信。在无线接入网中，典型地，多个基站连接至(例如通过陆地通信线路或微波)无线网络控制器(RNC)。无线网络控制器有时被称为基站控制器(BSC)，监督并协调与其连接的多个基站的各种活动。无线网络控制器典型地连接至一个或多个核心网。

通用移动电信系统(UMTS)是由全球移动通信系统(GSM)演进而来的第三代移动通信系统，意在提供基于宽带码分多址(WCDMA)接入技术的改进的移动通信服务。UMTS陆地无线接入网(UTRAN)实质上是为用户设备单元(UE)提供宽带码分多址的无线接入网。第三代伙伴计划(3GPP)已经着手进一步演进基于UTRAN和GSM的无线接入网技术。

2GPP/3GPP网络的密钥管理以及IP多媒体子系统[IMS]网络一般基于公知的UMTS或GSM机制，如前述认证和密钥协商(AKA)机制。参见例如，3rd Generation Partnership Project，″3GPP Technical Specification 3GPP TS 33.102 V5.1.0：″Technical Specification Group Services and System Aspects；3G Security；Security Architecture(Release 5)″″，December 2002。甚至互联网工程任务组/可扩展认证协议[IETF/EAP]的密钥管理也实质上使用AKA的变体(在基本AKA上具有“薄垫层”)，从而对于EAP安全性属性基本相同。

在涉及无线接入网(RAN)的电信网络的AKA过程期间，从认证中心(AuC)获得/传送具有要由用户终端确认的参数的消息。这些参数在认证矢量(AV)中结合在一起。该认证矢量(AV)被传送至核心网，核心网通过无线接入网将该认证矢量(AV)的部分分发至用户终端。如前面所指出的，然后，用户终端必须执行某些计算以回应该质询。用户终端计算的结果被发送回去，并对照其来源于的认证矢量(AV)进行检查。如果结果匹配，则认证成功。如果结果不对，激活某些其他过程来纠正该问题。

AKA型机制在近几年内并未发生很大的演进。在电信网络向考虑到固定-移动网络的融合以及3GPP接入网(GERAN/UTRAN/LTE)与更多地基于IEEE/IETF的非3GPP接入网(Wimax/I-WLAN/xDSL)的融合(或者至少集成)的全IP网络的当前演进中，安全性风险的数量可能增加。但在该演进中的一个要求是与现有网络和机制的兼容性。这意味着，这些网络(因此终端)也将能够利用AKA过程。如上所述，非3GPP接入可能已经采用了基于IETF EAP框架的AKA(EAP-AKA)。