密鑰衍生的制作方法
【專利摘要】為在蜂窩電信網(wǎng)絡上的驗證期間便于改變供智能卡(SIM)使用的網(wǎng)絡驗證密鑰(Ki),提供一種將密鑰衍生與空中下載(OTA)規(guī)范結合的智能卡管理方案���。該方案確保Ki從不以OTA方式發(fā)送��,并且Ki僅存儲在兩個位置:在SIM上和在驗證中心(AuC)��。
【專利說明】密鑰衍生
發(fā)明領域
[0001]本發(fā)明涉及用于通過諸如GSM或UMTS網(wǎng)絡的無線電信網(wǎng)絡或移動網(wǎng)絡運營商(MNO)驗證終端設備的智能卡的領域���。
【背景技術】
[0002]SM卡(也稱為通用集成電路卡,UICC)是一種普遍存在的智能卡形式�����。無線電信網(wǎng)絡標準批準通過SM卡便于網(wǎng)絡裝置的驗證(事實上,術語SM卡常常用于共同地包括真SM卡和USM卡)�。這些卡可靠地存儲網(wǎng)絡驗證程序的基本單元:秘密密鑰(包括網(wǎng)絡驗證密鑰(Ki))、“空中下載”(OTA)傳送密鑰和用于一個或多個運營商加密算法的參數(shù)��。
[0003]每個SM卡對顧客是特定的����,并且除驗證信息之外承載為該顧客所特有的信息,諸如顧客的國際移動用戶識別碼(IMSI)�。
[0004]SIM卡用于為每個終端提供相關識別(例如IMSI)和驗證信息。在例如電信應用的某些應用中�����,在卡本身上可不提供SIM,而是在植入或集成到裝置中的集成電路上提供��。這例如可采取用于標準化安裝的VQFN8封裝形式�����。
[0005]現(xiàn)有的SM卡典型地針對單個MNO作個性化:換句話說��,它們存儲僅在一個MNO的網(wǎng)絡上有效的秘密密鑰�。每個SIM因而對特殊的網(wǎng)絡是特定的(“歸屬”網(wǎng)絡),也就是說���,每個SIM在該網(wǎng)絡的運營商的控制下發(fā)布并供該網(wǎng)絡內使用����。
[0006]改變MNO需要可移除SM卡的物理交換���??ǖ脑摻粨Q在一些情況下是不切實際的���,在這些情況下����,需要調換SIM的終端可能廣泛地分布或植入(并且因此不可調換)���。
[0007]蜂窩電信系統(tǒng)的基本安全需求是SM的網(wǎng)絡驗證密鑰(Ki)僅曾經(jīng)存儲在網(wǎng)絡的兩個點�,即在SM上和在驗證中心(AuC)���。另外��,Ki是不管什么在任何情況下從不發(fā)送的�����。事實上�,Ki在制造之后的任何點從SIM移除或傳輸在有些地方是違法的。
[0008]在傳統(tǒng)的電信系統(tǒng)中���,Ki在制造的時候與SM的國際移動用戶識別碼(MSI)配對��。僅IMSI以及因此其固有耦合的Ki控制裝置能天然地連接至哪個網(wǎng)絡��。如上所述���,由于Ki不可發(fā)送、不可傳送或不可編程��,所以目前情況下使SIM天然地連接至各種網(wǎng)絡或者延續(xù)各種網(wǎng)絡的行蹤是不可行的�。
[0009]傳統(tǒng)的SM與網(wǎng)絡布置不太令人滿意。如果具有其相關的SM卡的終端供產(chǎn)品內使用并在特定的運營公司的網(wǎng)絡內提供功能�����,則出現(xiàn)的問題是終端的所有者是否希望讓自己利用競爭網(wǎng)絡運營商的服務(可能由于終端永久地移入未被該終端向其登記的初始網(wǎng)絡覆蓋的地理區(qū)域)��。
[0010]轉換SM具有相關的后勤保障困難����,并且另外地可具有安置在先前的SM卡上的有用信息丟失的后果���。此外,在某些應用(此時SM沒有以可移動智能卡的形式存儲而是存儲在植入裝置中的集成電路上)中��,SIM替換是不可能的���。
[0011]先前設計能夠在多個網(wǎng)絡上登記并重新登記的SM的嘗試基于這樣的原理:在一個超級SIM內產(chǎn)生單個SIM的多個實例,該超級SIM隨后能夠挑選MS1-Ki對以用于每種情形(即當在多個網(wǎng)絡上登記或重新登記時)��。國際專利公布W003 / 013174中描述了這種示例����,其中描述了這樣的智能卡。作為在不轉換SIM卡本身的情況下轉換運營商的問題的一般解決方案�,其存在許多固有的缺點。
[0012]首先��,由于SM實際上是安置在同一物理SM卡/ 內的多個SM���,所以存在關于誰是超級SM的所有者的固有歧義性�。每個IMS1-Ki對被認為是負責發(fā)布每個IMS1-Ki對的每個地方或組織的網(wǎng)絡的性質��。
[0013]其次,利用該機制帶來運營商后勤保障的變化,使得運營商在完成對該運營商的分配之后僅知悉其“Ki”����,而不能預訂(K1���、IMSI, ICCID)并預載至歸屬位置寄存器(HLR)。替代性地���,每個MNO可能預先接收預載的(IMS1��、K1����、ICCID)值中的一個�����,但是隨后在每個“超級SM”上必須正好存在與整個系統(tǒng)中的MNO (全球數(shù)百個)一樣多的Ki���,并且這些密鑰中的絕大多數(shù)從不使用��。另外��,MNO引起將所有不使用的密鑰保存在它們的HLR中的成本��。
[0014]在US20080276090中提出了一種替代性的解決方案:在此���,全球性的中間密鑰Kint與卡上的密鑰衍生算法一起使用��。個性化模塊中的偽隨機發(fā)生器為發(fā)送的每個最終的識別號碼MSI生成相應的隨機數(shù)RND�����。然后����,個性化模塊為發(fā)送的每個IMSI號碼確定尚未分配給任何卡的最終驗證密鑰Ki��。驗證密鑰Ki根據(jù)生成的中間驗證密鑰Kint和與MSI號碼相關的生成的隨機數(shù)RND���,由載入卡中的算法AD確定。其后����,卡使用最終的驗證密鑰Ki。在確保每個可能的卡上衍生相同的Ki的情況下����,相同的Kint值需要加載至多張卡。
[0015]對空中下載方式發(fā)送“Ki”的替代性機制包括Ki在運送中被發(fā)現(xiàn)的危險���;它們還引起其中Ki發(fā)送至卡上的可寫入文件的危險���,這于是允許進一步寫入(包括部分的重寫)�����。這樣的寫入(尤其是部分重寫)可危及Ki和/或相關參數(shù)的保密����。進一步的危險是“鎖定”�,由此強制MNO使用卡的初始供應方(或由該供應方選擇的一方),以空中下載方式發(fā)送其Ki��。替代性地����,可能強制MNO使用其未設計并且不完全信任的密鑰集或算法。
【發(fā)明內容】
[0016]根據(jù)本發(fā)明���,提供一種用于管理存儲在微處理器卡上的簽約信息的方法���,卡預先配置有相關的唯一的卡號碼、至少一個預定的主密鑰(K_master)和至少一個號碼生成裝置,該方法包括:從多個信任方(TSM)中的一個信任方接收衍生值(SEED);將衍生值(SEED)存儲在微處理器卡上�;利用號碼生成裝置、卡號碼和根密鑰生成識別號碼(Ki);其中�����,生成的識別號碼(Ki)適合于用于電信網(wǎng)絡���。
[0017]根據(jù)本發(fā)明的另一方面����,提供一種配置有一個或多個唯一的主密鑰和一種或多種號碼生成算法的電信安全模塊����,該模塊包括:用于從多個信任方(TSM)中的一個信任方接收衍生值(SEED)的裝置��;用于存儲衍生值(SEED)的存儲裝置����;用于利用號碼生成裝置、卡號碼和根密鑰生成識別號碼(Ki)的微處理器�����;其中,生成的識別號碼(Ki)適合于用于電信網(wǎng)絡�。
[0018]本發(fā)明還涉及一種包括或結合電信安全模塊的裝置,該電信安全模塊配置有一個或多個唯一的主密鑰和一種或多種密鑰衍生算法�,能夠衍生用于電信網(wǎng)絡的至少一個驗證密鑰,并使得給定的網(wǎng)絡驗證密鑰能衍生到任何目標模塊上而無需將全球性秘密不配置到多個模塊上�。
[0019]優(yōu)選地,所述衍生算法中的至少一種衍生算法設置有輸入種子值以及主密鑰以產(chǎn)生輸出密鑰值�����,使得算法是可逆的��,以允許預先計算一個或多個可能的種子值��,從而產(chǎn)生目標密鑰值����。
[0020]便利地,所述衍生算法中的至少一種衍生算法附加地向衍生密鑰提供完整性保護�����。優(yōu)選的是�,向與衍生密鑰結合使用的算法標識符和算法參數(shù)附加地提供完整性保護。
[0021]安全模塊可布置成確保利用密鑰衍生算法和相關的數(shù)據(jù)結構僅能修改衍生密鑰值����。另外���,模塊可布置成確保密鑰值及相關的算法標識符和參數(shù)不能被獨立地修改,而是結合利用密鑰衍生算法及相關的數(shù)據(jù)結構才能修改���。
[0022]便利地�,模塊對于限定的事件或者在每次使用之前重新檢查衍生網(wǎng)絡驗證密鑰的完整性��,以及可選擇地重新檢查相關的算法標識符和參數(shù)����。
[0023]存儲裝置優(yōu)選地存儲種子值而不是最后所得到的密鑰值,并且在對于預定事件作完整性檢查之前或者在每次使用之前重新衍生密鑰值�。
[0024]優(yōu)選的是,種子值其本身在利用加密和/或完整性算法傳輸至安全模塊期間被保護����。
[0025]有利地,種子值利用空中下載機制發(fā)送至安全模塊����。
[0026]可使得多個信任方能夠連續(xù)地或并行地管理安全模塊內的網(wǎng)絡驗證密鑰及相關的簽約數(shù)據(jù)�����。
[0027]一個或多個信任方可使用首先由初始信任方生成并且然后可選擇地由后續(xù)信任方改變的密鑰集。此外���,初始信任方可確保一次僅一個后續(xù)信任方能夠管理安全模塊內的網(wǎng)絡驗證密鑰及相關的簽約數(shù)據(jù)��。
[0028]模塊可嵌入裝置內或者可替代性地為可移除的��。模塊可以是嵌入的或可移除的ncc�����。
[0029]根據(jù)本發(fā)明的另外的方面����,提供一種包含這樣的電信安全模塊的裝置����。裝置優(yōu)選地適合于機器對機器或其他機器類型的通信實現(xiàn)。
【專利附圖】
【附圖說明】
[0030]為了更好地理解本發(fā)明��,現(xiàn)在以示例方式對附圖進行參照���,其中:
[0031]圖1圖示移動/蜂窩電信系統(tǒng)的關鍵單元�;以及
[0032]圖2圖示根據(jù)本發(fā)明的密鑰衍生機制。
【具體實施方式】
[0033]現(xiàn)在將參照圖1簡要描述移動/蜂窩電信系統(tǒng)的關鍵單元及其操作��。
[0034]諸如GSM或UMTS網(wǎng)絡的蜂窩電信網(wǎng)絡的每個用戶配置有WCC /智能卡(例如SM�����、USIM)���,該nCC /智能卡當與用戶的移動終端相關時識別網(wǎng)絡的用戶�。SM卡被預編程有唯一的識別號碼���、在卡上不可見并且不為用戶所知的“國際移動用戶識別碼”(MSI)以及唯一的密鑰Ki��。向用戶發(fā)布公開已知的號碼����,也就是說用戶的電話號碼����,借助于該用戶的電話號碼,呼叫者啟動對用戶的呼叫��。該號碼是MSISDN��。
[0035]網(wǎng)絡包括歸屬位置寄存器(HLR) /歸屬用戶服務器(10)��,其為網(wǎng)絡的每個用戶存儲MSI和對應的MSISDN�,連同諸如用戶的移動終端的當前或最后已知的MSC的其他用戶數(shù)據(jù)。HSS是用于網(wǎng)絡的主數(shù)據(jù)庫����,并且盡管邏輯上該HSS被看作一個實體,但在實踐中�,其由多個物理數(shù)據(jù)庫組成。HSS保存用于由用戶進行的呼叫和對話的支持�����、建立和維護的變量和識別碼���。
[0036]當用戶希望在網(wǎng)絡中激活他們的移動終端(使得其可隨后進行或接收呼叫)時�,用戶將他們的SIM卡放置在與移動終端(在該示例中的終端I)相關的讀卡器中����。移動終端I使用無線接入網(wǎng)絡,以將(從智能卡讀取的)頂SI發(fā)送至由存儲IMSI等的MNO運行的蜂窩網(wǎng)絡的核心網(wǎng)絡�����。
[0037]HLRlO使得對移動終端I執(zhí)行驗證程序。HLRlO將包括用戶識別碼(MSI)的驗證請求發(fā)送至AUC(驗證中心)�����,用于衍生驗證向量(AV)�。基于MSI���,AUC生成作為隨機數(shù)的詢問(challenge)���,或者基于MSI獲得存儲的詢問。此外�,AUC基于詢問和與SM共享的秘密生成XRES (預期結果),或者獲得與詢問一起存儲的XRES��。XRES用于最后完成驗證���。
[0038]驗證數(shù)據(jù)和XRES然后以驗證詢問方式發(fā)送至移動電話I�。移動電話I通過將驗證數(shù)據(jù)發(fā)送至移動電話I的SM來生成響應����。SM基于存儲在SM上的簽約的Ki和驗證詢問生成與存儲在服務器中的XRES對應的響應。
[0039]為了根據(jù)SIM驗證最后完成驗證,核心網(wǎng)絡為驗證控制而將響應值與存儲的XRES的值比較。
[0040]如果來自移動終端I的響應正如所預期的�����,則移動終端I被認為得到驗證��。
[0041]作為驗證過程的一部分���,還建立用于加密無線路徑上的用戶和信令數(shù)據(jù)的密碼密鑰Kc。該程序被稱作密碼密鑰設定���。密鑰在密鑰Ki的控制下利用單向函數(shù)由移動終端I計算�����,并且由AuC為網(wǎng)絡預先計算�����。因而在成功的驗證交換的結束時�,雙方擁有新的密碼密鑰Kc�。
[0042]如果需要,驗證過程傳統(tǒng)地在移動終端I保持激活時被重復��,并且每次移動終端進行或者接收呼叫時同樣可被重復。每次執(zhí)行驗證過程時�����,新的Kc被生成并提供至終端I����。
[0043]以上的機制不允許一個Ki被(用于另一 MNO的)另一 Ki直接替換,并因此遭受以上概述的缺點�。
[0044]根據(jù)本發(fā)明的方案將密鑰衍生與OTA規(guī)范相結合。在制造時���,主秘密Kjnaster配置在卡上���。當配置新的簽約時,“可信服務管理器”(TSM)生成隨機或偽隨機種子(SEED)��,并將其傳送至卡���。SEED由卡用于密鑰衍生過程���。
[0045]由于SEED只有當需要時才生成,所以TSM不知道將來生成的任何Ki��。此外,如果TSM在將Ki發(fā)送至MNO并發(fā)送至卡之后刪除Ki��,則其不再長期保留關于K的知識�����。
[0046]盡管Ki本身不與OTA Ki規(guī)范方案中實現(xiàn)的那樣在安全分組中發(fā)送�����,但該方案具有相同的優(yōu)點�����。衍生值(SEED)被作為安全的OTA分組輸送�。
[0047]優(yōu)選地���,密鑰衍生為可逆過程(例如用密鑰Kjnaster加密SEED)����,使得即使Ki由MNO提供�����,或者如果Ki已在早期提供至MNO并且已載入HLR,該密鑰衍生也起作用��。由TSM生成的SEED因而不是隨機值:TSM通過應用反向密鑰衍生操作由MNO提供的Ki計算要發(fā)送至卡的值���。
[0048]密鑰衍生方法在卡(UICC)上使用以通過發(fā)送數(shù)據(jù)串SEED由預載的主密鑰“K_master”衍生出Ki,使得Ki=KDF(K_master, SEED)�����。然而,衍生功能是可逆的�,使得通過預先計算合適的SEED能夠衍生任何所期望的目標Ki����。這意味著任何所期望的目標Ki (在運營商的HLR中已訂并存在)能衍生到任何卡上��。
[0049]該解決方案允許借助任何目標簽約密鑰(Ki)���,為任何運營商遠程地個性化SIM卡(UICC)�����,而無需以空中下載方式發(fā)送運營商(Ki)���,無需在可寫入文件中存儲Ki�,并且無需巨大的預載密鑰的集合�。
[0050]在優(yōu)選的實施例中,衍生使用驗證的加密算法�����,使得卡能檢查最后所得到的Ki的完整性����。例如,我們可能實際上使 KDF (K_master����,SEED) =Ki Hash (Ki)或 KDF (K_master��,SEED) =Ki| |MAC(Ki)����,開且卡檢查對應的散列或消息驗證代碼(MAC)函數(shù)匹配衍生的散列或MAC,從而確保Ki恰如所預期的���。
[0051]便利地,Ki使用的任何參數(shù)(例如算法標識符�、用于MILENAGE的運營商輪轉和常數(shù))連同Ki本身一起得到完整性保護����,使得Ki不可能與不正確的算法(也將危害Ki安全的某些事情)一起使用���。
[0052]“SEED”本身發(fā)送至利用OTA加密+OTA完整性算法保護的卡,使得密鑰衍生機制附加在OTA安全之上而不是OTA安全的替換�����。
[0053]作為附加的保護措施���,“SEED”永久存儲在卡上���;Ki并非這樣。相反地���,Ki在SM /USIM驗證算法的每次啟動或每次使用時重新衍生�����,并且重新檢查Ki的完整性(使得可容易檢測到竄改/部分更新Ki的任何企圖)��。
[0054]在本發(fā)明的另一方面中���,有利的是對許多(有限數(shù)量的)預載“主密鑰�,�,和相關的衍生算法的選擇,使得不同的運營商組不再需要信任彼此的密鑰和算法����。另外,存在對一系列信任方(基本上為可信服務管理器TSM)的選擇���,每個信任方能夠將“SEED”以OTA方式發(fā)送至卡��。
[0055]安全性的要求是�����,除了利用以OTA方式發(fā)送的預定數(shù)據(jù)結構連同SEED���,Ki不能以任何方式在UICC上更新����;其參數(shù)(OPc、alg_id����、r�����、c)也不能獨立于K更新����。
[0056]Ki的衍生
[0057]在優(yōu)選的實施例中�����,用于從SEED衍生Ki的機制應滿足以下需求:
[0058]密鑰衍生是可逆的�����,使得通過發(fā)送合適定制的SEED能從預載主密鑰Kjnaster衍生任何目標Ki�����。
[0059]衍生算法提供完整性檢查(例如經(jīng)由驗證加密的形式)�����,使得卡能檢查最后所得到的Ki的完整性��。
[0060]Ki使用的參數(shù)(例如算法id和輪轉以及常數(shù)參數(shù))還與Ki本身一起受到完整性保護�。
[0061]例如�,考慮利用AES作為密碼�,通過用主密鑰Kjnaster加密SEED計算的字符串(Ki I I CheckSum):
[0062]Ki I I CheckSum=E [SEED] Kmaster
[0063]并且卡校驗Checksum=SHA-256 (Ki | |算法_參數(shù))。該方案允許TSM在給定Ki時(如果Ki由MNO提供或者已經(jīng)存儲在MNO的HLR中�,或者如果二次簽約配置相同的Ki)計算 SEED:
[0064]SEED=D [Ki I Checksum] Kmaster
[0065]這樣的方案的優(yōu)點是有助于卡滿足以上的安全需求:除了通過定義的數(shù)據(jù)結構,Ki及相關的算法參數(shù)不能更新�。卡不再將Ki存儲在文件中��,而是僅存儲SEED����,并且當需要時(例如在卡啟動時或者在每次使用驗證算法時)重新計算Ki。即使為了試圖發(fā)現(xiàn)Ki而篡改SEED (例如通過部分重寫)�,則也將檢測到竄改,并且卡能拒絕執(zhí)行驗證算法���。完整性機制還確保Ki不能與錯誤的驗證算法一起使用��,或者不能與不正確的OPc����、輪轉���、常數(shù)等一起使用��。
[0066]有利的是將兩種衍生算法結合在一起:主衍生算法和備用衍生算法��。不同的主密鑰需要與不同的算法一起使用�,因而當發(fā)送SEED時還需要算法標識符(或者更直截了當?shù)氖荎_master標識符)����。原則上,MNO組還可指定要與特定的主密鑰一起使用的(專有)密鑰衍生算法���。
[0067]在本發(fā)明的一個實施例中��,卡(例如SIM)與機器對機器(M2M)的終端相關(典型地嵌入機器對機器(M2M)的終端內)�。術語“M2M”用于描述在這樣的不同領域中的應用:跟蹤與追蹤����;支付;遠程維護����;汽車與電子收費(例如電信);計量��;和消費設備。M2M允許裝置(常常稱為移動M2M)之間的無線通信的擴展使得在有些情況下(例如�����,在汽車工業(yè)內)提供新的服務成為可能�����,并且在其他情況下延伸現(xiàn)有的M2M服務(在智能計量領域內)���。
[0068]借助于移動M2M�����,能同時監(jiān)測數(shù)以百萬計的�����、處于移動網(wǎng)絡覆蓋區(qū)域內任何地方的機器��,以提供使個體或企業(yè)能分析并按照其行動的實時信息���。
[0069]無論那些M2M終端是移動的還是固定的,都存在許多的場景����,在這些場景中,與每個終端進行安全的�����、經(jīng)過驗證的無線通信的可能性被認為是有益的���。在不明顯增加監(jiān)測來自裝置的輸出的負擔的情況下�,這使得M2M裝置能夠變得廣泛分布�����。
[0070]顯然��,在廣泛分布的裝置中物理地交換智能卡可能出現(xiàn)令后勤保障頭痛的問題����。并且在M2M裝置具有嵌入的SM卡的情況下將是不切實際的。
[0071]在M2M應用的情況下���,雖然M2M服務的供應方是明顯不同于主MNO的實體�,但是其可以是信任方并且可能希望實現(xiàn)簽約管理(即變成TSM)��。
[0072]在有些情況下,實際上可能允許超過一個的TSM執(zhí)行簽約管理�。這將允許存在對一系列信任方(TSM)的選擇,每個信任方能將合適的SEED值以OTA方式發(fā)送至卡���。
[0073]考慮TSM從TSMl到TSM2的變化:
[0074]TSMl向TSM2提供執(zhí)行簽約管理所需的數(shù)據(jù)(發(fā)行方安全域(ISD)或其他信任安全域(TSD)���、卡ID、密鑰集等)��。
[0075]TSM2于是應在密鑰集內改變密鑰值���,使得僅TSM2能夠利用該密鑰集管理卡上的簽約����。
[0076]TSM的變化還可與MNO的變化相關:例如考慮簽約(從MN02到MN03)的變化��,與此同時還有TSM(從TSMl到TSM2)的改變����。如果卡被“鎖定”至現(xiàn)任MNO (例如根據(jù)合同條款),則現(xiàn)任TSM不應允許該變化���。
[0077]如果存在TSM的多個連續(xù)的變化�����,則即使密鑰由后續(xù)TSM改變�,也存在通過鏈中的任何TSM的密鑰泄露而影響到所有后續(xù)TSM密鑰的安全的危險。因此�,這樣的泄露還影響到所有后續(xù)MNO的密鑰的安全��。有利的是應采取如下的減少這種“鏈危險”的方法:
[0078]TSMl具有密鑰集I�。為了移交至TSM2,TSMl檢查卡未鎖定至當前有效的ΜΝ0�����。如果沒有鎖定����,則TSMl創(chuàng)建新的臨時密鑰集2,并將密鑰集2交給TSM2�。TSM2以永久密鑰集替換臨時密鑰集2。
[0079]TSMl保證在TSM2作為簽約管理器時不使用密鑰集I ;TSM2保證不刪除密鑰集I��。
[0080]為了移交至TSM3��,TSMl檢查卡未鎖定至當前有效的ΜΝ0����。如果沒有鎖定����,則TSMl用新的臨時密鑰集2重寫密鑰集2��,并將密鑰集2交給TSM3��。TSM3以永久密鑰集替換臨時密鑰集2����。
[0081]TSMl保證在TSM3作為簽約管理器時不使用密鑰集I ;TSM3保證不刪除密鑰集I。
[0082]對于TSM將來的變化也是如此�。該解決方案允許TSM不限數(shù)量的變化,但技術上與存在可用于簽約管理的密鑰集從不超過兩個時的一樣簡單�。TSMl的保證確保每次僅使用一個密鑰集。密鑰通過TSM2的泄露不會影響TSM3�����、TSM4的密鑰等的安全�����,并且沒有TSM必須移交它們自己的密鑰��。在全球平臺中無需作出改變。授信的TSM僅有義務為其他的授信TSM創(chuàng)建密鑰集�����,使得在TSM之間作出的保證是可靠的�����。
[0083]根據(jù)本發(fā)明����,如果使用來自主密鑰Kjnaster的密鑰衍生�����,則每個TSM需要知道對應的K_master�。每個TSM可能會將K_master的值傳給其后繼者,但這再次產(chǎn)生上述連續(xù)泄露的危險。另一可能的解決方案是��,預載Kjnaster并將它們分配給生態(tài)系統(tǒng)中已知(授信)的TSM��,有些Kjnaster被保留給將來的授信TSM�。益處是由于密鑰分配問題適用于幾個授信TSM而不是許多ΜΝ0,所以密鑰分配問題可更容易管理�。
[0084]上述移交機制需要當前的TSM(TSMl)在發(fā)行方安全域中為競爭者TSM (TSM2)創(chuàng)建密鑰集�����。取決于是否存在不對稱的或對稱的解決方案�����,該新的密鑰集對于TSMl可能是未知的或僅臨時已知�。
[0085]總之����,這些解決方法需要當前的TSMl向其競爭者釋放有價值的資源:在許多情況下,這可能是商業(yè)上不可接受的���。盡管TSMl與TSM2可能就該業(yè)務(facility)商定價格���,但該價格可能影響釋放資源的商業(yè)情形。
[0086]因此�,提供對以上機制的進一步改善。當務之急是向這樣的MNO提供移交機制����,該MNO已預先從TSM2訂購SM(或者更確切的是K、IMSI, ICCID等),但沒有從TSMl訂購它們�����。此外�����,該MNO可與TSM2具有信任關系�,而不是與TSMl具有信任關系:并且結果是,MNO典型地希望拒絕TSMl對其密鑰的訪問�。
[0087]該進一步改善操作如下:
[0088]1.TSMl創(chuàng)建最終為目標MNO所擁有、但臨時為TSM2所擁有的“最小�,,SbsD (簽約域)����。這意味著創(chuàng)建最小的文件系統(tǒng)�、RFM等。TSMl確保用于該最小SbsD的密鑰集傳到TSM2���。密鑰集可利用PUTKEY設立���,或者可利用保密卡內容管理設立(在這樣的情況下,TSMl將不知道密鑰集)�。替代性地����,許多最小SbsD可被預載���,其帶有直接從eLIICC供應方傳到TSM2的預載密鑰��。
[0089]2.在尚未激活SbsD的情況下�,TSM2使用其密鑰集以給SbsD配置代表目標MNO的整套概貌數(shù)據(jù)aMS1�、K、USIM應用�、其他應用等),包括利用任何優(yōu)選的在卡上得到支持的K的密鑰衍生方法���。
[0090]3.TSM2通知TSMl其已完成配置新的SbsD�����,并請求SMl激活新的SbsD�����。
[0091]4.TSMl 激活新的 SbsD��。
[0092]5.TSM2改變SbsD的密鑰集并且將它們傳到目標ΜΝ0��,因而它們變成MNO的OTA密鑰����。(替代性地,如果已預訂OTA密鑰���,則TSM2僅將它們變成預訂值)���。
[0093]關鍵差異是在步驟2中。在以上流程中����,必須能夠利用“未激活”SbsD本身的密鑰集管理該SbsD:實際上,提供不可見的背景更新���。如以上所限定地,僅ISD的密鑰集能夠執(zhí)行這樣的背景更新��。倘若TSM2值得信任���,則不可能出現(xiàn)安全問題:即�,可信任TSM2在建立背景SbsD時不會耗盡所有的備用存儲或者可信任TSM2不會中斷基本的前臺過程等)。[0094]有利的是以上流程使需要控制過程的參與方數(shù)量最少:由于僅一方(TSMl) —直需要管理ISD�,所以仍可布置成它們從不知道用于SbsD的密鑰集。
[0095]進一步的優(yōu)點是如果MNO的確一直希望變成其自身的TSM���,則以上模型顯然支持該可能性��。MNO基本上僅擔負TSM2的角色�,并目僅代表自身在步驟2接管配置過程�����。
【權利要求】
1.一種用于管理存儲在微處理器卡上的簽約信息的方法�,所述卡預先配置有相關的唯一的卡號碼、至少一個預定的主密鑰(K_master)和至少一個號碼生成裝置,所述方法包括: 從多個信任方(TSM)中的一個信任方接收衍生值(SEED)�����; 將所述衍生值(SEED)存儲在所述微處理器卡上����; 利用所述號碼生成裝置、所述卡號碼和所述根密鑰生成識別號碼(Ki)����; 其中���,所述生成的識別號碼(Ki)適合于用于電信網(wǎng)絡。
2.根據(jù)權利要求1所述的方法���,還包括: 提供完整性檢查����,由此所述卡檢查所述生成的識別號碼(Ki)的完整性����。
3.根據(jù)權利要求1或權利要求2所述的方法,其中��,所述識別號碼(Ki)在與MNO的驗證中使用之后被刪除�。
4.根據(jù)前述權利要求中的任一項所述的方法,其中�����,所述衍生值(SEED)在安全OTA分組中接收�����。
5.根據(jù)前述權利要求中的任一項所述的方法��,其中����,所述密鑰衍生是可逆過程,使得通過利用所述唯一的卡號碼����、所述SEED和所述主密鑰Kjnaster在信任方(TSM)處應用反向密鑰衍生,所述SEED能與任何所期望的Ki關聯(lián)�。
6.根據(jù)前述權利要求中的任一項所述的方法,其中����,所述識別號碼(Ki)在每次啟動所述微處理器卡驗證算法時重新衍生。
7.根據(jù)前述權利要求中的任一項所述的方法��,其中�����,所述微處理器卡預先配置有多個預定的主密鑰(K_master)�。
8.根據(jù)權利要求7所述的方法,其中���,所述微處理器卡還預先配置有與所述相應的預定的主密鑰(Kjnaster)對應的根密鑰標識符和至少兩個號碼生成裝置����,從而至少提供主號碼生成裝置和備用號碼生成裝置,每個號碼生成裝置通過所述主密鑰標識符識別所述預定主密鑰中不同的一個預定主密鑰�����。
9.一種配置有一個或多個唯一的主密鑰和一種或多種號碼生成算法的電信安全模塊��,所述模塊包括: 用于從多個信任方(TSM)中的一個信任方接收衍生值(SEED)的裝置����; 用于存儲所述衍生值(SEED)的存儲裝置; 用于利用所述號碼生成裝置�、所述卡號碼和所述根密鑰生成識別號碼(Ki)的微處理器; 其中����,所述生成的識別號碼(Ki)適合于用于電信網(wǎng)絡。
10.一種設備�,其結合根據(jù)權利要求9所述的電信安全模塊。
【文檔編號】G07F7/10GK103493426SQ201180068554
【公開日】2014年1月1日 申請日期:2011年12月15日 優(yōu)先權日:2010年12月15日
【發(fā)明者】S·巴巴格, N·博恩 申請人:沃達方Ip許可有限公司