本申請一般涉及蜂窩網(wǎng)絡(luò)認(rèn)證。

背景技術(shù)：

本部分示出了有用的背景信息，而并未承認(rèn)本文描述的任何技術(shù)是當(dāng)前發(fā)展水平的代表。

蜂窩網(wǎng)絡(luò)(或更準(zhǔn)確地，蜂窩電信網(wǎng)絡(luò))目前是現(xiàn)代社會的重要工具。作為必要條件，需要對它們進(jìn)行保護(hù)以避免電話帳單欺騙并且保護(hù)通信以防止非法攔截私人呼叫和消息。為此，現(xiàn)代蜂窩網(wǎng)絡(luò)的電信運(yùn)營商利用通常依賴于數(shù)字信號處理的大量不同技術(shù)來保護(hù)他們的用戶。

為了使蜂窩終端能夠開始通信，終端需要在網(wǎng)絡(luò)附著或網(wǎng)絡(luò)注冊過程中附著到網(wǎng)絡(luò)。在網(wǎng)絡(luò)注冊過程中，蜂窩終端通常使用托管通用用戶身份模塊(USIM)應(yīng)用的UICC來交換信號以認(rèn)證自身(或更準(zhǔn)確地，其簽約)。有時也使用R-UIM、ISIM、SIM卡或SIM應(yīng)用或類似物。在網(wǎng)絡(luò)注冊過程中，終端從網(wǎng)絡(luò)和SIM獲得接入信息諸如會話密鑰，終端可隨后在蜂窩網(wǎng)絡(luò)中利用該會話密鑰進(jìn)行通信。接入信息通常會變化以防止可能的非法攔截者重新使用該接入信息。

加密是也用在其他類型的數(shù)字蜂窩系統(tǒng)中的基本工具。GSM已經(jīng)實現(xiàn)了加密以減輕非法攔截。計算機(jī)技術(shù)的發(fā)展隨后已經(jīng)使舊的加密技術(shù)更加脆弱，但也幫助增強(qiáng)了蜂窩系統(tǒng)中使用的安全技術(shù)。例如，寬帶CDMA(W-CDMA)被設(shè)計用于通過使得網(wǎng)絡(luò)也能夠向終端認(rèn)證自身來實現(xiàn)更強(qiáng)的安全性。在W-CDMA中，用戶身份由運(yùn)行通用用戶身份模塊(USIM)的通用集成電路卡(UICC)提供。USIM基于存儲在UICC上的共享秘密、從網(wǎng)絡(luò)接收的挑戰(zhàn)和重放攻擊防止代碼、以及比在GSM中使用的密碼算法增強(qiáng)的密碼算法，來產(chǎn)生例如會話密鑰。在W-CDMA中也比GSM增強(qiáng)了認(rèn)證信令，例如以防止某些中間人攻擊。

在開發(fā)用于保護(hù)蜂窩系統(tǒng)中的通信的安全方法的同時，對開發(fā)蜂窩終端的結(jié)構(gòu)的需求也在不斷增長。目前，大多數(shù)終端包含身份模塊槽，在該身份模塊槽中，用戶可以放置和替換身份模塊。還存在著朝向基于軟件的身份模塊的發(fā)展，所述基于軟件的身份模塊在物理上不可替換，以便實現(xiàn)簽約的空中改變、和/或防止從終端盜竊身份模塊。此類軟件身份模塊例如對于內(nèi)置車輛通信系統(tǒng)可能非常有用，使得它們的緊急報告能力和可能的防盜控制系統(tǒng)不會由于移除身份模塊而被容易地停用。那些安全模塊可以是蜂窩模式、SoC(片上系統(tǒng))、受信任元件或受信任平臺的一部分。這些嵌入式安全元件當(dāng)前主要用于機(jī)器類型通信(也稱為M2M)或物聯(lián)網(wǎng)通信。

安全嵌入式元件防止容易地被竊賊移除，但另一方面，預(yù)期各種蜂窩通信使能機(jī)器在市場上會持續(xù)15-20年(例如，交通燈、電表和停車計量器等)。而且，增加的計算能力可以幫助攻擊者嘗試濫用蜂窩系統(tǒng)。

技術(shù)實現(xiàn)要素：

本發(fā)明的示例的各個方面在權(quán)利要求書中闡明。

根據(jù)本發(fā)明的第一示例方面，提供了一種蜂窩終端中的方法，包括：

向蜂窩網(wǎng)絡(luò)傳送要求認(rèn)證過程觸發(fā)的請求，并且響應(yīng)地從所述蜂窩網(wǎng)絡(luò)接收認(rèn)證請求消息，所述認(rèn)證請求消息具有從一組多個密碼算法中選擇的密碼算法的指示；

根據(jù)所選擇的密碼算法，并且基于為所述蜂窩終端和所述蜂窩終端的網(wǎng)絡(luò)運(yùn)營商已知的共享秘密，將所述認(rèn)證請求消息解碼為經(jīng)解碼的認(rèn)證請求；

基于所述經(jīng)解碼的認(rèn)證請求、所述共享秘密和所選擇的密碼算法，產(chǎn)生認(rèn)證響應(yīng)消息并對所述認(rèn)證響應(yīng)消息進(jìn)行加密；以及

向所述蜂窩網(wǎng)絡(luò)傳送所述認(rèn)證響應(yīng)消息。

要求認(rèn)證過程觸發(fā)的請求可以是網(wǎng)絡(luò)注冊請求。

要求認(rèn)證過程觸發(fā)的請求可以是路由區(qū)域請求。

要求認(rèn)證過程觸發(fā)的請求可以是跟蹤區(qū)域更新請求。

可以從移動管理實體接收認(rèn)證請求消息?？梢韵蛞苿庸芾韺嶓w傳送認(rèn)證響應(yīng)消息。

方法認(rèn)證請求可以是演進(jìn)分組系統(tǒng)架構(gòu)的認(rèn)證請求。

蜂窩終端可以包括安全實體。安全實體可以包括安全元件和用戶身份應(yīng)用。蜂窩終端可以包括用戶設(shè)備。用戶設(shè)備可以配置成通過無線電接口與基站進(jìn)行通信。安全實體可以配置成對認(rèn)證請求進(jìn)行解碼、以及產(chǎn)生認(rèn)證響應(yīng)。用戶設(shè)備可以選自：移動終端；膝上型計算機(jī)；車輛；汽車；汽車鑰匙；便攜式設(shè)備；手持電子設(shè)備；以及具有蜂窩無線電能力的單功能或多功能設(shè)備。安全元件可以是可移除的，或者被嵌入或集成在現(xiàn)有處理器架構(gòu)(例如，基帶電路、主處理器、中央處理單元和/或主控制單元)中。

密碼算法可以選自：MILENAGE；128位TUAK；以及256位TUAK。TUAK可以指代符合3GPP TS 35.231v.12.0.1的算法集。TUAK可以配置成采用AES密碼。TUAK可以基于Keccak轉(zhuǎn)換。

認(rèn)證請求消息可以是擴(kuò)展認(rèn)證請求消息。擴(kuò)展認(rèn)證請求可以包括消息類型指示，該消息類型指示配置成使遺留終端忽略擴(kuò)展認(rèn)證請求消息。

擴(kuò)展認(rèn)證請求可以包括配置成容納256位認(rèn)證令牌AUTN的字段。

認(rèn)證令牌可以包括128位、192位、256位或320位。認(rèn)證令牌可以由128位、192位、256位或320位組成。在認(rèn)證令牌多于256位的情況下，可以丟棄超出的位。

認(rèn)證令牌可以包括序列號SQN。序列號可以由48位組成。

認(rèn)證令牌可以包括匿名密鑰AK。匿名密鑰可以由48位組成。

認(rèn)證令牌可以包括認(rèn)證管理字段AMF。認(rèn)證管理字段可以由16位組成。認(rèn)證管理字段可以包括7個備用位。備用位可以被用于指示密碼適配信息。密碼適配信息可以包括不同密碼參數(shù)的長度。

認(rèn)證令牌可以包括挑戰(zhàn)RAND。挑戰(zhàn)可以由128位組成。

蜂窩認(rèn)證可以采用加密密鑰CK。加密密鑰可以由64位、128位或256位組成。

蜂窩認(rèn)證可以采用完整性密鑰IK。完整性密鑰可以由64位、128位或256位組成。

蜂窩認(rèn)證可以采用響應(yīng)參數(shù)RES。響應(yīng)參數(shù)可以由32位、64位、128位或256位組成。

認(rèn)證請求消息可以是更新的認(rèn)證請求。更新的認(rèn)證請求可以包括用于指示哪個密碼算法正被用于認(rèn)證的標(biāo)識符。標(biāo)識符可以是除了正常認(rèn)證請求中的字段之外的新字段。正常認(rèn)證請求可以符合3GPP TS 24.301和3GPP TS 24.008?？商娲?，標(biāo)識符可以被包含在認(rèn)證管理字段AMF的一個或多個位中。

認(rèn)證請求消息可以包括協(xié)議鑒別符。認(rèn)證請求消息可以包括安全報頭類型。認(rèn)證請求消息可以包括非接入層密鑰集標(biāo)識符。認(rèn)證請求消息可以包括備用的半個八位字節(jié)。認(rèn)證請求消息可以包括挑戰(zhàn)RAND(例如，演進(jìn)分組系統(tǒng)EPS挑戰(zhàn))。認(rèn)證請求消息可以包括認(rèn)證令牌AUTN。認(rèn)證令牌可以包括認(rèn)證管理字段AMF。認(rèn)證管理字段可以包括指示將被使用的TUAK的長度的參數(shù)(例如，128位或256位TUAK)。

消息類型可以與正常認(rèn)證請求消息的消息類型相匹配。更新的認(rèn)證請求可以包括256位認(rèn)證令牌字段。僅當(dāng)正在使用256位認(rèn)證令牌時，更新的認(rèn)證請求可以包括256位認(rèn)證令牌字段。否則，更新的認(rèn)證請求可以包括128位認(rèn)證令牌字段。

認(rèn)證響應(yīng)消息可以包括消息類型指示。消息類型指示可以將認(rèn)證響應(yīng)消息標(biāo)識為擴(kuò)展認(rèn)證響應(yīng)消息。消息類型指示可以與正常認(rèn)證響應(yīng)消息的消息類型指示相匹配。正常認(rèn)證響應(yīng)消息的消息類型指示可以符合3GPP TS 24.301。

擴(kuò)展認(rèn)證響應(yīng)消息可以包括可變長度認(rèn)證響應(yīng)參數(shù)RES。認(rèn)證響應(yīng)參數(shù)可以具有的長度選自下述中的任何一個或多個：32位、64位、128位或256位。

與正常認(rèn)證響應(yīng)消息相比，認(rèn)證響應(yīng)消息可以被提供具有新的信息元素。新的信息元素可以配置成容納128位或256位認(rèn)證響應(yīng)參數(shù)。

認(rèn)證響應(yīng)消息可以包括配置成容納128位或256位認(rèn)證響應(yīng)參數(shù)的擴(kuò)展認(rèn)證響應(yīng)參數(shù)字段。

認(rèn)證響應(yīng)消息可以包括密碼算法指示。

根據(jù)本發(fā)明的第二示例方面，提供了一種方法，包括：

識別供蜂窩終端使用的用于所述蜂窩終端的認(rèn)證的所選擇的密碼算法；

獲得與用于所述蜂窩終端的認(rèn)證的所選擇的密碼算法相對應(yīng)的網(wǎng)絡(luò)證書；

向所述蜂窩終端傳送具有所選擇的密碼算法的指示的認(rèn)證請求消息；

從所述蜂窩終端接收認(rèn)證響應(yīng)消息；

根據(jù)所選擇的密碼算法，對所述認(rèn)證響應(yīng)消息進(jìn)行解碼；以及

基于所述網(wǎng)絡(luò)證書和經(jīng)解碼的認(rèn)證響應(yīng)消息，確定所述蜂窩終端的認(rèn)證是成功的還是不成功的。

所述方法可以由移動管理實體執(zhí)行。

方法認(rèn)證請求可以是演進(jìn)分組系統(tǒng)架構(gòu)的認(rèn)證請求。

密碼算法可以從多個密碼算法中選擇。密碼算法可以選自：MILENAGE；128位TUAK；以及256位TUAK。

供蜂窩終端使用的用于蜂窩終端的認(rèn)證的所選擇的密碼算法的識別可以由移動管理實體執(zhí)行。

所述方法可以包括：確定蜂窩終端是否未能及時產(chǎn)生成功響應(yīng)消息，以及隨后使用所選擇的密碼算法發(fā)送新的認(rèn)證請求消息，或者選擇另一個密碼算法并發(fā)送新的認(rèn)證請求，所述新的認(rèn)證請求發(fā)送新的認(rèn)證請求消息。

供蜂窩終端使用的用于蜂窩終端的認(rèn)證的所選擇的密碼算法的識別可以由歸屬用戶服務(wù)器執(zhí)行。

可以使用擴(kuò)展認(rèn)證請求消息，向蜂窩終端傳送認(rèn)證請求消息。擴(kuò)展認(rèn)證請求可以包括消息類型指示，該消息類型指示配置成使遺留終端忽略擴(kuò)展認(rèn)證請求消息。

所述方法可以包括：如果所選擇的密碼算法的使用導(dǎo)致數(shù)據(jù)字段的總長度超過正常認(rèn)證請求的長度，則傳送擴(kuò)展認(rèn)證請求。擴(kuò)展認(rèn)證請求可以包括配置成容納256位認(rèn)證令牌AUTN的字段。

可以通過使用更新的認(rèn)證請求向蜂窩終端傳送認(rèn)證請求消息。更新的認(rèn)證請求可以包括用于指示哪個密碼算法正被用于認(rèn)證的標(biāo)識符。標(biāo)識符可以被添加為除了正常認(rèn)證請求中的字段之外的新字段。正常認(rèn)證請求可以符合3GPP TS 24.301或3GPP TS 24.008?？商娲?，標(biāo)識符可以被包含在認(rèn)證管理字段AMF的一個或多個位中。

認(rèn)證令牌可以包括128位、192位、256位或320位。認(rèn)證令牌可以由128位、192位、256位或320位組成。在認(rèn)證令牌超出256位的情況下，可以丟棄超出的位。

認(rèn)證令牌可以包括序列號SQN。序列號可以由48位組成。

認(rèn)證令牌可以包括匿名密鑰AK。匿名密鑰可以由48位組成。

認(rèn)證令牌可以包括認(rèn)證管理字段AMF。認(rèn)證管理字段可以由16位組成。認(rèn)證管理字段可以包括7個備用位。備用位可以被用于指示密碼適配信息。密碼適配信息可以包括不同密碼參數(shù)的長度。

認(rèn)證令牌可以包括挑戰(zhàn)RAND。挑戰(zhàn)可以由128位組成。

蜂窩認(rèn)證可以采用加密密鑰CK。加密密鑰可以由64位、128位或256位組成。

蜂窩認(rèn)證可以采用完整性密鑰IK。完整性密鑰可以由64位、128位或256位組成。

蜂窩認(rèn)證可以采用響應(yīng)參數(shù)RES。響應(yīng)參數(shù)可以由32位、64位、128位或256位組成。

認(rèn)證請求消息可以包括協(xié)議鑒別符。認(rèn)證請求消息可以包括安全報頭類型。認(rèn)證請求消息可以包括非接入層密鑰集標(biāo)識符。認(rèn)證請求消息可以包括備用的半個八位字節(jié)。認(rèn)證請求消息可以包括挑戰(zhàn)RAND。認(rèn)證請求消息可以包括認(rèn)證令牌AUTN。認(rèn)證令牌可以包括認(rèn)證管理字段AMF。

消息類型可以與正常認(rèn)證請求消息的消息類型相匹配。更新的認(rèn)證請求可以包括256位認(rèn)證令牌字段。僅當(dāng)正使用256位認(rèn)證令牌時，更新的認(rèn)證請求可以包括256位認(rèn)證令牌字段。否則，更新的認(rèn)證請求可以包括128位認(rèn)證令牌字段。

認(rèn)證響應(yīng)消息可以包括消息類型指示。消息類型指示可以將認(rèn)證響應(yīng)消息標(biāo)識為擴(kuò)展認(rèn)證響應(yīng)消息。消息類型指示可以與正常認(rèn)證響應(yīng)消息的消息類型指示相匹配。正常認(rèn)證響應(yīng)消息的消息類型指示可以符合3GPP TS 24.008。

擴(kuò)展認(rèn)證響應(yīng)消息可以包括可變長度認(rèn)證響應(yīng)參數(shù)RES。認(rèn)證響應(yīng)參數(shù)可以具有的長度選自下述中的任何一個或多個：32位、64位、128位或256位。

與正常認(rèn)證響應(yīng)消息相比，認(rèn)證響應(yīng)消息可以被提供具有新的信息元素。新的信息元素可以配置成容納128位或256位認(rèn)證響應(yīng)參數(shù)。

認(rèn)證響應(yīng)消息可以包括配置成容納128位或256位認(rèn)證響應(yīng)參數(shù)的擴(kuò)展認(rèn)證響應(yīng)參數(shù)字段。

認(rèn)證響應(yīng)消息可以包括密碼算法指示。

根據(jù)本發(fā)明的第三示例方面，提供了一種過程，包括第一示例方面的方法和第二示例方面的方法。

根據(jù)本發(fā)明的第四示例方面，提供了一種裝置，包括至少一個存儲器和處理器，所述至少一個存儲器和處理器被共同配置成使裝置執(zhí)行第一示例方面的方法。

根據(jù)本發(fā)明的第五示例方面，提供了一種裝置，包括至少一個存儲器和處理器，所述至少一個存儲器和處理器被共同配置成使裝置執(zhí)行第二示例方面的方法。

根據(jù)本發(fā)明的第六示例方面，提供了一種裝置，包括用于執(zhí)行第一示例方面的方法的模塊。

根據(jù)本發(fā)明的第七示例方面，提供了一種裝置，包括用于執(zhí)行第二示例方面的方法的模塊。

根據(jù)本發(fā)明的第八示例方面，提供了一種系統(tǒng)，包括第三或第五示例方面的裝置、以及第四或第六示例實施例的裝置。

根據(jù)本發(fā)明的第九示例方面，提供了一種計算機(jī)程序，包括配置成執(zhí)行第一或第二示例方面的方法的計算機(jī)可執(zhí)行程序代碼。

計算機(jī)程序可以被存儲在計算機(jī)可讀存儲介質(zhì)中。

任何前述存儲介質(zhì)可以包括數(shù)字?jǐn)?shù)據(jù)存儲裝置，諸如數(shù)據(jù)盤或磁盤、光學(xué)存儲裝置、磁存儲裝置、全息存儲裝置、光磁存儲裝置、相變存儲器、阻變隨機(jī)存取存儲器、磁隨機(jī)存取存儲器、固體電解質(zhì)存儲器、鐵電隨機(jī)存取存儲器、有機(jī)存儲器或聚合物存儲器。存儲介質(zhì)可以被形成到除了儲存存儲器之外沒有其他實質(zhì)功能的設(shè)備中，或者其可以被形成為具有其他功能的設(shè)備的一部分，包括但不限于計算機(jī)的存儲器、芯片集、以及電子設(shè)備的子組件。

前面已經(jīng)示出了本發(fā)明的不同非約束性示例方面和實施例。前文中的實施例僅僅用于解釋可以在本發(fā)明的實現(xiàn)中利用的所選方面或步驟?？梢詢H參考本發(fā)明的某些示例方面來呈現(xiàn)一些實施例。應(yīng)當(dāng)理解的是，相應(yīng)的實施例也可以應(yīng)用于其他示例方面。

附圖說明

為了更完整地理解本發(fā)明的示例實施例，現(xiàn)在結(jié)合附圖參考下面的描述，在附圖中：

圖1示出示例實施例的系統(tǒng)的架構(gòu)圖；

圖2示出示例實施例的過程的流程圖；

圖3示出示例實施例的裝置的框圖；

圖4示出示例實施例的裝置的框圖；以及

圖5示出一流程圖，其示出根據(jù)示例實施例的蜂窩終端中的方法。

具體實施方式

通過參考附圖的圖1至4理解本發(fā)明的示例實施例及其潛在優(yōu)點。在本文檔中，相同的附圖標(biāo)記表示相同的部件或步驟。

圖1是示例實施例的系統(tǒng)的架構(gòu)圖。蜂窩終端100被繪制為具有用戶設(shè)備110和包含USIM 120的安全元件。在示例實施例中，USIM是軟件實現(xiàn)的安全元件上的應(yīng)用。系統(tǒng)還包括蜂窩電信網(wǎng)絡(luò)200，其包括E-UTRAN或eNB 210、移動性管理實體MME 220、歸屬用戶服務(wù)器HSS 230(例如，歸屬位置寄存器HLR、認(rèn)證中心AuC)、服務(wù)網(wǎng)關(guān)240、服務(wù)網(wǎng)關(guān)支持節(jié)點SGSN 250、通用陸地?zé)o線電接入網(wǎng)UTRAN 260和GSM EDGE無線電接入網(wǎng)GERAN 270。

圖2示出示例實施例的過程的流程圖。在步驟21中，蜂窩終端100向蜂窩網(wǎng)絡(luò)200傳送要求認(rèn)證過程觸發(fā)的請求。例如，蜂窩終端100經(jīng)由eNB 210向MME 220發(fā)送非接入層(NAS)附著請求或網(wǎng)絡(luò)注冊請求。MME 220從HSS 230請求22認(rèn)證數(shù)據(jù)(例如，認(rèn)證五元組)，并且響應(yīng)地接收23具有所請求的認(rèn)證數(shù)據(jù)的認(rèn)證數(shù)據(jù)響應(yīng)。然后，MME 220對要求認(rèn)證的請求的傳送作出響應(yīng)，使得蜂窩終端100從蜂窩網(wǎng)絡(luò)接收認(rèn)證請求消息，該認(rèn)證請求消息具有從一組多個密碼算法中選擇的密碼算法的指示。例如，MME 220向終端100發(fā)送24NAS認(rèn)證請求，如果終端100能夠?qū)AS認(rèn)證請求進(jìn)行解碼且產(chǎn)生NAS認(rèn)證響應(yīng)，則終端100利用NAS認(rèn)證響應(yīng)進(jìn)行答復(fù)25。

為此，終端100必須支持由MME使用的認(rèn)證算法，并且擁有為HSS 230和終端100已知的共享秘密。如果終端100未能對NAS認(rèn)證請求進(jìn)行解碼，則終端100利用NAS認(rèn)證失敗進(jìn)行答復(fù)25’。

在示例實施例中，蜂窩終端根據(jù)所選擇的密碼算法、并且基于由蜂窩終端和蜂窩終端的網(wǎng)絡(luò)運(yùn)營商已知的共享秘密，將認(rèn)證請求消息解碼為經(jīng)解碼的認(rèn)證請求。在示例實施例中(例如，用于在步驟25中進(jìn)行答復(fù))，基于經(jīng)解碼的認(rèn)證請求、共享秘密和所選擇的密碼算法，蜂窩終端100產(chǎn)生認(rèn)證響應(yīng)消息并對認(rèn)證響應(yīng)消息進(jìn)行加密。

在NAS認(rèn)證請求的成功解碼、以及響應(yīng)性的NAS認(rèn)證響應(yīng)之后，MME向終端100發(fā)送26NAS安全模式完成消息，并且終端100利用對應(yīng)的NAS安全模式完成消息進(jìn)行答復(fù)27。在另一個示例實施例中，NAS安全模式完成和NAS安全模式完成答復(fù)中的任一個或兩者被省略，或者由一個或多個其它信號或消息替代。

圖2的各種消息以及它們的處理可以用各種不同的方式實現(xiàn)。

在示例實施例中，圖2的過程開始于向蜂窩網(wǎng)絡(luò)200要求認(rèn)證過程觸發(fā)的另一個請求(諸如跟蹤區(qū)域更新請求或路由區(qū)域請求)，而不是網(wǎng)絡(luò)注冊請求。

在示例實施例中，認(rèn)證請求消息24包括從一組多個密碼算法中選擇的密碼算法的指示。在示例實施例中，密碼算法選自：MILENAGE；128位TUAK；以及256位TUAK。TUAK可以指代符合3GPP TS 35.231v.12.0.1的算法集。TUAK可以配置成采用AES密碼。TUAK可以基于Keccak置換。

在示例實施例中，所選擇的密碼算法采用加密密鑰CK。加密密鑰可以由64位、128位或256位組成。

在示例實施例中，所選擇的密碼算法采用完整性密鑰IK。完整性密鑰可以由64位、128位或256位組成。

在示例實施例中，所選擇的密碼算法采用響應(yīng)參數(shù)RES。響應(yīng)參數(shù)可以由32位、64位、128位或256位組成。

在示例實施例中，認(rèn)證請求消息24是擴(kuò)展認(rèn)證請求消息。在示例實施例中，擴(kuò)展認(rèn)證請求包括消息類型指示，其配置成使遺留終端忽略擴(kuò)展認(rèn)證請求消息。

在示例實施例中，擴(kuò)展認(rèn)證請求包括配置成容納256位認(rèn)證令牌AUTN的字段。

在示例實施例中，認(rèn)證請求消息24是更新的認(rèn)證請求。在示例實施例中，更新的認(rèn)證請求包括用于指示哪個密碼算法正被用于認(rèn)證的標(biāo)識符。在示例實施例中，標(biāo)識符是除了正常認(rèn)證請求中的那些之外的新字段。在示例實施例中，正常認(rèn)證請求符合3GPP TS 24.301和3GPP TS 24.008。在示例實施例中，標(biāo)識符被包含在認(rèn)證管理字段AMF的一個或多個位中。

在示例實施例中，認(rèn)證請求消息24包括協(xié)議鑒別符。在示例實施例中，認(rèn)證請求消息包括安全報頭類型。在示例實施例中，認(rèn)證請求消息包括非接入層密鑰集標(biāo)識符。在示例實施例中，認(rèn)證請求消息包括備用的半個八位字節(jié)。在示例實施例中，認(rèn)證請求消息包括挑戰(zhàn)RAND(例如，演進(jìn)分組系統(tǒng)EPS挑戰(zhàn))。在示例實施例中，認(rèn)證請求消息包括認(rèn)證令牌AUTN。在示例實施例中，認(rèn)證令牌包括認(rèn)證管理字段AMF。認(rèn)證管理字段可以包括指示將被使用的TUAK的長度(例如，128位TUAK或256位TUAK)的參數(shù)。

在示例實施例中，更新的認(rèn)證請求的消息類型與正常認(rèn)證請求消息的消息類型相匹配。在示例實施例中，更新的認(rèn)證請求包括256位認(rèn)證令牌字段。僅當(dāng)256位認(rèn)證令牌正被使用時，更新的認(rèn)證請求可以包括256位認(rèn)證令牌字段。否則，更新的認(rèn)證請求可以包括128位認(rèn)證令牌字段。

在示例實施例中，認(rèn)證令牌包括128位、192位、256位或320位。在示例實施例中，認(rèn)證令牌由128位、192位、256位或320位組成。在認(rèn)證令牌多于256位的情況下，可以丟棄超出的位。

在示例實施例中，認(rèn)證令牌包括序列號SQN。在示例實施例中，序列號由48位組成。

在示例實施例中，認(rèn)證令牌包括匿名密鑰AK。在示例實施例中，匿名密鑰由48位組成。

在示例實施例中，認(rèn)證令牌包括認(rèn)證管理字段AMF。在示例實施例中，認(rèn)證管理字段由16位組成。在示例實施例中，認(rèn)證管理字段包括7個備用位。在示例實施例中，備用位被用于指示密碼適配信息。在示例實施例中，密碼適配信息包括不同密碼參數(shù)的長度。

在示例實施例中，認(rèn)證令牌包括挑戰(zhàn)RAND。在示例實施例中，挑戰(zhàn)由128位組成。

在示例實施例中，根據(jù)所選擇的密碼算法、并且基于為蜂窩終端和蜂窩終端的網(wǎng)絡(luò)運(yùn)營商已知的共享秘密，將認(rèn)證請求消息24解碼為經(jīng)解碼的認(rèn)證請求。

在示例實施例中，所述過程包括：基于經(jīng)解碼的認(rèn)證請求、共享秘密和所選擇的密碼算法，產(chǎn)生認(rèn)證響應(yīng)消息25并對認(rèn)證響應(yīng)消息25進(jìn)行加密。

在示例實施例中，認(rèn)證響應(yīng)消息25包括消息類型指示。在示例實施例中，消息類型指示將認(rèn)證響應(yīng)消息標(biāo)識為擴(kuò)展認(rèn)證響應(yīng)消息。在示例實施例中，消息類型指示與正常認(rèn)證響應(yīng)消息的消息類型指示相匹配。在示例實施例中，正常認(rèn)證響應(yīng)消息的消息類型指示符合3GPP TS 24.301。

在示例實施例中，擴(kuò)展認(rèn)證響應(yīng)消息包括可變長度認(rèn)證響應(yīng)參數(shù)RES。在示例實施例中，認(rèn)證響應(yīng)參數(shù)所具有的長度選自下述中的任何一個或多個：32位、64位、128位或256位。

在示例實施例中，與正常認(rèn)證響應(yīng)消息相比，認(rèn)證響應(yīng)消息25被提供有新的信息元素。在示例實施例中，新的信息元素配置成容納128位或256位認(rèn)證響應(yīng)參數(shù)。

在示例實施例中，認(rèn)證響應(yīng)消息25包括配置成容納128位或256位認(rèn)證響應(yīng)參數(shù)的擴(kuò)展認(rèn)證響應(yīng)參數(shù)字段。

在示例實施例中，認(rèn)證響應(yīng)消息25包括密碼算法指示。

圖3示出根據(jù)示例實施例的裝置300的示例框圖。裝置300包括存儲器320，其包括易失性存儲器330和非易失性存儲器340，該非易失性存儲器340配置成存儲包括計算機(jī)程序代碼350的計算機(jī)程序或軟件。裝置300還包括：用于使用計算機(jī)程序代碼350控制裝置300的操作的至少一個處理器310；以及用于與其它實體或裝置通信的輸入/輸出系統(tǒng)360。因此，輸入/輸出系統(tǒng)360包括提供朝向其它實體和/或裝置的通信接口的一個或多個通信單元或模塊。在示例實施例中，處理器310配置成在易失性存儲器330中運(yùn)行程序代碼350。在示例實施例中，裝置300配置成充當(dāng)MME220。

處理器310包括例如下述中的任一個或多個：主控制單元(MCU)；微處理器；數(shù)字信號處理器(DSP)；專用集成電路(ASIC)；現(xiàn)場可編程門陣列；以及微控制器。

圖4示出根據(jù)示例實施例的裝置400的示例框圖。裝置400包括存儲器420，其包括易失性存儲器430和非易失性存儲器440，該非易失性存儲器440配置成存儲包括計算機(jī)程序代碼450的計算機(jī)程序或軟件。裝置400還包括用于使用計算機(jī)程序代碼450控制裝置400的操作的至少一個處理器410。裝置400還包括用于與其它實體或裝置通信的輸入/輸出系統(tǒng)460。因此，輸入/輸出系統(tǒng)460包括提供朝向其它實體和/或裝置的通信接口的一個或多個通信單元或模塊。裝置400還包括安全元件(SE)470安全元件，其包含一個或多個網(wǎng)絡(luò)接入應(yīng)用諸如SIM(多個SIM)或USIM(多個USIM)。在示例實施例中，SE 470是由實現(xiàn)為軟件的安全元件托管的應(yīng)用。在另一個實施例中，安全元件470包括通用集成電路卡UICC。在示例實施例中，處理器410配置成在易失性存儲器430中運(yùn)行程序代碼450。在示例實施例中，裝置400配置成充當(dāng)蜂窩終端100。

處理器410包括例如下述中的任何一個或多個：主控制單元(MCU)；微處理器；數(shù)字信號處理器(DSP)；專用集成電路(ASIC)；現(xiàn)場可編程門陣列；以及微控制器。

圖5示出一流程圖，其示出根據(jù)示例實施例的蜂窩終端中的方法，包括：

向蜂窩網(wǎng)絡(luò)傳送510要求認(rèn)證過程觸發(fā)的請求，并且響應(yīng)地從蜂窩網(wǎng)絡(luò)接收520認(rèn)證請求消息，其具有從一組多個密碼算法中選擇的密碼算法的指示；

530根據(jù)所選擇的密碼算法、并且基于為蜂窩終端和蜂窩終端的網(wǎng)絡(luò)運(yùn)營商已知的共享秘密，將認(rèn)證請求消息解碼為經(jīng)解碼的認(rèn)證請求；

基于經(jīng)解碼的認(rèn)證請求、共享秘密和所選擇的密碼算法，產(chǎn)生認(rèn)證響應(yīng)消息并對認(rèn)證響應(yīng)消息進(jìn)行加密540；以及

550向蜂窩網(wǎng)絡(luò)傳送認(rèn)證響應(yīng)消息。

在不以任何方式限制下面出現(xiàn)的權(quán)利要求書的范圍、解釋或應(yīng)用的情況下，本文中所公開的示例實施例中的一個或多個的技術(shù)效果是，當(dāng)兩個或更多的潛在算法(例如，Milenage和TUAK)可用時，尤其是如果TUAK算法可能以128位或256位被使用，則有可能利用TUAK運(yùn)行蜂窩認(rèn)證過程(特別地，認(rèn)證請求和響應(yīng))。

本文中所公開的示例實施例中的一個或多個的另一個技術(shù)效果是，網(wǎng)絡(luò)和安全元件可以動態(tài)地與期望的密碼算法適配。

本文中所公開的示例實施例中的一個或多個的另一個技術(shù)效果是，如果正常蜂窩認(rèn)證過程失敗，則也可以支持密碼操作。

本文中所公開的示例實施例中的一個或多個的另一個技術(shù)效果是，在嵌入式安全元件的情況下，盡管目前當(dāng)改變運(yùn)營商時用戶通常獲得新的UICC、并且運(yùn)營商因此知道該UICC的內(nèi)容和能力，但是用戶或簽約的所有者(諸如管理蜂窩通信機(jī)器的參與者)可能會改變機(jī)器的運(yùn)營商，在該情況下，新運(yùn)營商可能不知道UICC的內(nèi)容和/或能力，但是新運(yùn)營商仍能夠?qū)崿F(xiàn)蜂窩認(rèn)證過程的增強(qiáng)的安全性。

本發(fā)明的實施例可以在軟件、硬件、應(yīng)用邏輯、或者軟件、硬件和應(yīng)用邏輯的組合中實現(xiàn)。軟件、應(yīng)用邏輯和/或硬件可以駐留在存儲器320、非易失性存儲器340、存儲器420或非易失性存儲器440上。在示例實施例中，應(yīng)用邏輯、軟件或指令集被維持在各種常規(guī)計算機(jī)可讀介質(zhì)中的任一個上。在本文檔的上下文中，“計算機(jī)可讀介質(zhì)”可以是可包含、存儲、傳遞、傳播或傳輸指令的任何非暫時性介質(zhì)或裝置，所述指令由指令執(zhí)行系統(tǒng)、裝置或設(shè)備(諸如計算機(jī))使用或與其結(jié)合使用，其中所述計算機(jī)的一個示例在圖3或圖4中描述和描繪。計算機(jī)可讀介質(zhì)可以包括計算機(jī)可讀存儲介質(zhì)，其可以是可包含或存儲指令的任何介質(zhì)或裝置，所述指令由指令執(zhí)行系統(tǒng)、裝置或設(shè)備(諸如計算機(jī))使用或與其結(jié)合使用。

如果需要，本文所討論的不同功能可以按照不同的順序執(zhí)行和/或彼此同時執(zhí)行。此外，如果需要，前述功能中的一個或多個可以是任選的或者可被組合。

盡管在獨立權(quán)利要求中闡述了本發(fā)明的各個方面，但是本發(fā)明的其他方面包括來自所述實施例和/或從屬權(quán)利要求的特征與獨立權(quán)利要求的特征的其他組合，而不僅僅是在權(quán)利要求中明確闡述的組合。

在本文中還應(yīng)注意的是，盡管前文描述了本發(fā)明的示例實施例，但是這些描述不應(yīng)被視為具有限制性意義。相反，在不脫離如所附權(quán)利要求中限定的本發(fā)明的范圍的情況下，可以作出若干變型和改型。