RZECZPOSPOLITA POLSKA (12) TŁUMACZENIE PATENTU EUROPEJSKIEGO (19) PL (11) PL/EP 228126 (96) Data i numer zgłoszenia patentu europejskiego: 02.04.08 0873704.2 (13) (1) T3 (skorygowane po B9) Int.Cl. H04W 12/04 (09.01) Urząd Patentowy Rzeczypospolitej Polskiej (97) O udzieleniu patentu europejskiego ogłoszono: 11.07.12 Europejski Biuletyn Patentowy 12/28 EP 228126 B1 (4) Tytuł wynalazku: Bezpieczeństwo dostępu do systemu evolved packet system z sieci innej niż 3 GPP () Pierwszeństwo: (43) Zgłoszenie ogłoszono: 08.12. w Europejskim Biuletynie Patentowym nr /49 (4) O złożeniu tłumaczenia patentu ogłoszono: 31.12.12 Wiadomości Urzędu Patentowego 12/12 (73) Uprawniony z patentu: Nokia Siemens Networks OY, Espoo, FI (72) Twórca(y) wynalazku: PL/EP 228126 T3 GÜNTHER HORN, München, DE (74) Pełnomocnik: rzecz. pat. Oliwia Gąbka POLSERVICE KANCELARIA RZECZNIKÓW PATENTOWYCH SP. Z O.O. ul. Bluszczańska 73 00-712 Warszawa Uwaga: W ciągu dziewięciu miesięcy od publikacji informacji o udzieleniu patentu europejskiego, każda osoba może wnieść do Europejskiego Urzędu Patentowego sprzeciw dotyczący udzielonego patentu europejskiego. Sprzeciw wnosi się w formie uzasadnionego na piśmie oświadczenia. Uważa się go za wniesiony dopiero z chwilą wniesienia opłaty za sprzeciw (Art. 99 (1) Konwencji o udzielaniu patentów europejskich).
2 EP 2 28 126 B1 Opis DZIEDZINA WYNALAZKU [0001] Niniejszy wynalazek dotyczy bezpieczeństwa dla systemu Evolved Packet System (EPS). W szczególności wynalazek dotyczy bezpieczeństwa dla systemu EPS, kiedy dostęp do niego uzyskiwany jest z sieci dostępowej innej niż 3GPP (nie należącej do projektu Third Generation Partnership Project). TŁO WYNALAZKU 1 2 [0002] System EPS jest następcą technologii systemu UMTS (Universal Mobile Telecommunications System). Aspekty bezpieczeństwa systemu EPS zależą od tego, czy sieć dostępowa jest siecią dostępową zdefiniowaną według projektu 3GPP, na przykład GERAN (GSM (globalny system komunikacji mobilnej), EDGE (Enhanced Data rates for Global Evolution), Radio Access Network), UTRAN (UMTS Terrestrial Radio Access Network), E-UTRAN (evolved UTRAN), czy też siecią dostępową nie należącą do projektu 3GPP, jak na przykład rozwiniętą siecią HRPD (High Rate Packet Data) zdefiniowaną przez 3GPP2 (Third Generation Partnership Project 2), WiMAX (Worldwide Interoperability for Microwave Access) zdefiniowaną przez IEEE (Institute of Electrical and Electronic Engineers) oraz Forum WiMAX. [0003] W przypadku, kiedy sieć dostępowa jest siecią E-UTRAN (znaną także jako LTE (Long Term Evolution)), to znaczy siecią dostępową zdefiniowaną przez projekt 3GPP, uwierzytelnienie sieci obsługującej oznacza, że urządzenie użytkownika (User Equipment (UE)) ma zapewnioną komunikację z Mobility Management Entity (MME) w danej sieci obsługującej. Jest to cecha bezpieczeństwa nie znana w systemie UMTS. [0004] W celu zapobieżenia temu, iż ta cecha bezpieczeństwa będzie pokonana przez atakującego, wymagana jest dodatkowa cecha nazywana kryptograficzną separacją sieci. W następującym dalej opisie podaje się nieco więcej informacji w celu wyjaśnienia tej dodatkowej cechy.
3 EP 2 28 126 B9 1 2 [000] W systemie UMTS oraz podobnie w systemie EPS, wektor uwierzytelniania jest zbiorem parametrów, który zawiera między innymi klucze kryptograficzne CK, IK oraz tak zwany bit separacji AMF (Authentication Management Field). Gdy atakujący zna klucze CK, IK, może on podać się za sieć obsługującą. Klucze CK, IK są dostępne w sieciach obsługujących UMTS w jednostkach SGSN (Serving GPRS (General Packet Radio Service) Support Node) oraz RNC (Radio Network Controller). Dlatego też każdy kompromis SGSN lub RNC w jednej sieci obsługującej systemu UMTS pozwala atakującemu na wcielenie się w inną jednostkę sieci obsługującej systemu UMTS. [0006] Użytkownicy systemu EPS są wyposażeni w kartę UICC (UMTS Integrated Circuit Card) z aplikacją USIM (User Services Identity Module) dla celów bezpieczeństwa. Rejestry użytkownika są przechowywane na serwerze HSS (Home Subscriber Server). [0007] Kryptograficzna separacja sieci danych bezpieczeństwa użytkownika, zgodnie z tym, co jest określone dla systemu EPS, spoczywa na określonym traktowaniu pola Authentication Management Field (AMF), które stanowi część wektora AV (wektor uwierzytelniania, Authentication Vector) na serwerze HSS i urządzeniu mobilnym (Mobile Equipment (ME)). Urządzenie ME jest urządzeniem użytkownika (UE) bez UICC. [0008] Procedury bezpieczeństwa między urządzeniem użytkownika UE a elementami sieci EPC (Evolved Packet Core) zawierającymi jednostkę ASME (Access Security Management Entity) oraz HSS zawierającym centrum uwierzytelniania (Authentication Centre), zawierają procedurę uwierzytelniania i uzgadniania klucza (AKA). Procedura EPS AKA produkuje klucze tworzące podstawę dla ochrony płaszczyzny użytkownika i płaszczyzny sterowania (szyfrowanie, spójność). Procedura EPS AKA jest oparta na następujących długoterminowych kluczach współdzielonych między UE a HSS: - K jest trwałym kluczem przechowywanym w module USIM (User Services Identity Module) oraz w centrum uwierzytelniania AuC;
4 EP 2 28 126 B9 - CK, IK jest parą kluczy wyznaczonych w centrum AuC i na USIM w trakcie wykonywania procedury AKA. 1 2 [0009] W wyniku uwierzytelniania i uzgodnienia klucza, generowany jest pośredni klucz K_ASME, który jest współdzielony między urządzeniem użytkownika UE a ASME. Dla sieci dostępowych E-UTRAN, ASME jest jednostką MME. [00] Celem tej procedury jest zaopatrzenie jednostki MME (Mobility Management Entity) w jeden lub większą liczbę kontekstów bezpieczeństwa MME (przykładowo K_ASME), zawierających świeży wektor uwierzytelniania od serwera HSS użytkownika w celu wykonania pewnej liczby uwierzytelnień użytkownika. [0011] Kontekst bezpieczeństwa MME jest otrzymywany z wektora uwierzytelniania. W celu otrzymania klucza K_ASME na serwerze HSS, wykorzystuje się funkcję Key Derivation Function, która zawiera parametry wejściowe CK, IK oraz tożsamość SN (sieć obsługująca). [0012] System EPS wprowadza kryptograficzną separację sieci dla przypadku sieci dostępowych E-UTRAN poprzez zastosowanie bitu separacji AMF. Właściwość ta uniemożliwia atakującemu dokonanie kradzieży kluczy CK, IK z jednostki w jednej sieci obsługującej, w przypadku sieci dostępowych UTRAN lub E-UTRAN, a także wykorzystanie ich do podawania się za inną sieć obsługującą, kiedy urządzenie użytkownika UE wykorzystuje dostęp E-UTRAN. Właściwości ta zapewnia za pośrednictwem środków kryptograficznych, że wyrwa w bezpieczeństwie w jednej sieci nie będzie wpływała na inną sieć, stąd też nazwa kryptograficzna separacja sieci. [0013] W kontekście dostępu E-UTRAN do systemu EPS kryptograficzna separacja sieci uzyskiwana jest w następujący sposób: - serwer Home Subscriber Server (HSS) wykorzystuje tylko wektory uwierzytelniania z bitem separacji AMF = 1 dla sieci dostępowych E- UTRAN;
EP 2 28 126 B9 1 2 - serwer Home Subscriber Server (HSS) wykorzystuje tylko wektory uwierzytelniania z bitem separacji AMF = 0 dla sieci dostępowych UTRAN; - kiedy dostęp wykonywany jest za pośrednictwem E-UTRAN, wówczas serwer HSS nie wysyła kluczy CK, IK do innej jednostki poza serwerem HSS, ale wysyła klucz otrzymany z CK, IK oraz tożsamość sieci obsługującej do jednostki MME w sieci obsługującej; a także - urządzenie użytkownika UE akceptuje tylko wektory uwierzytelniania z bitem separacji AMF = 1 dla sieci dostępowych E-UTRAN. [0014] W kontekście sieci dostępowych nie należących do 3GPP, dla uwierzytelnienia abonenta, wykorzystuje się protokół EAP-AKA (Extensible Authentication Protocol for Authentication and Key Agreement). Protokół EAP- AKA jest kończony w serwerze 3GPP AAA (Access, Authorization, and Accounting), który zawsze rezyduje w sieci macierzystej. Serwer 3GPP AAA otrzymuje klucze CK, IK z serwera HSS (Home Subscriber Server). Klucze CK, IK pozostają wówczas w serwerze 3GPP AAA, który rezyduje w sieci macierzystej. Dlatego kradzież kluczy CK, IK nie jest tutaj problemem. Jednakże serwer 3GPP AAA produkuje klucz Master Session Key (MSK) z kluczy CK, IK, a następnie wysyła klucz MSK do układu uwierzytelniania, który jest jednostką kontrolującą dostęp z urządzenia użytkownika. W kontekście dostępu do systemu EPS z sieci nie należących do 3GPP, układ uwierzytelniania może być jednostką w sieci dostępowej nie należącej do 3GPP w przypadku tak zwanego dostępu zaufanego albo też układ uwierzytelniania może stanowić bramka evolved Packet Data Gateway (epdg) w systemie 3GPP EPS w przypadku tak zwanego dostępu niezaufanego. [001] Problem stanowi to, że układ uwierzytelniania może być kompromisowy i może wykorzystywać klucz MSK do podawania się za inny układ uwierzytelniania w innej sieci. Przykładowo punkt dostępowy sieci WLAN (Wireless Local Area Network) ze współpracującego systemu 3GWLAN może otrzymywać klucz MSK, a następnie podawać się za epdg w sieci EPS albo układ uwierzytelniania w sieci ehrpd. Uzależniłoby to bezpieczeństwo sieci
6 EP 2 28 126 B9 1 EPS od bezpieczeństwa punktu dostępowego WLAN. Ale ten ostatni może odznaczać się dość małym bezpieczeństwem fizycznym i może znajdować się w wyeksponowanym położeniu. Ponadto łącze typu backhaul z tego punktu dostępowego WLAN może być słabo chronione. Ta zależność bezpieczeństwa systemu EPS od bezpieczeństwa WLAN jest więc wysoce niepożądana. [0016] W pracach 3GPP TR33821 v0.7.03 (08-02), 3rd Generation Partnership Project; Technical Specification Group Services and System Aspects; Rationale and track of security decisions in Long Term Evolved (LTE) RAN /3GPP System Architecture Evolution (SAE) (Release 8), 29 luty 08, XP0043836, opisano technologię bezpieczeństwa, która pozwala terminalowi na dokonanie weryfikacji, czy jest on połączony z architekturą Evolved Packet Core (EPC) poprzez zastosowanie bitu separacji w danych uwierzytelniania. Cecha ta jest nazywana wiązaniem SAE. W szczególności opisana została technologia bezpieczeństwa dla dostępu do EPC za pośrednictwem sieci dostępowej E-UTRAN. ISTOTA WYNALAZKU 2 [0017] Zapewnione są urządzenia i sposoby do rozwiązywania powyższego problemu, które zdefiniowane są w załączonych zastrzeżeniach patentowych. Przykład wykonania wynalazku może być także zaimplementowany przez program komputerowy. [0018] Według przykładu wykonania niniejszego wynalazku w kontekście nie należącego do 3GPP dostępu do systemu EPS, atakujący może mieć uniemożliwioną możliwość podszycia się pod układ uwierzytelniania narażając inny układ uwierzytelniania w innej sieci. Innymi słowy, kryptograficzna separacja układów uwierzytelniania oraz kryptograficzna separacja sieci, w której znajdują się układy uwierzytelniania może być obecna w kontekście nie należącego do 3GPP dostępu do systemu EPS. [0019] Zgodnie z przykładem wykonania niniejszego wynalazku protokół EAP AKA nie musi zostać zmieniony i nie są wymagane zmiany protokołu w układach uwierzytelniania.
7 EP 2 28 126 B9 KRÓTKI OPIS RYSUNKÓW [00] Figura 1 przedstawia schemat sygnalizacji ilustrujący uwierzytelnianie oraz uzgadnianie klucza dla zaufanego dostępu według przykładu wykonania wynalazku. Figura 2 przedstawia schemat sygnalizacji ilustrujący uwierzytelnianie oraz uzgadnianie klucza dla niezaufanego dostępu według przykładu wykonania wynalazku. 1 Figura 3 przedstawia schematyczny schemat blokowy ilustrujący strukturę urządzenia użytkownika, układu uwierzytelniania, serwera uwierzytelniania oraz domowego serwera abonenta według przykładu wykonania wynalazku. 2 OPIS PRZYKŁADÓW WYKONANIA WYNALAZKU [0021] W następującej części wynalazek opisany zostanie za pośrednictwem jego przykładów wykonania odwołując się do załączonych rysunków, które stanowią część opisu. [0022] Dla opisywanego poniżej przykładu wykonania wynalazku należy zauważyć, że: - urządzenie użytkownika może być przykładowo dowolnym urządzeniem, za pośrednictwem którego użytkownik może mieć dostęp do sieci komunikacyjnej; oznacza to zarówno mobilne jak i nie mobilne urządzenia i sieci, niezależnie od platformy technologicznej, na której są one oparte; jedynie w charakterze przykładu, należy zaznaczyć, że terminale wyposażone w kartę UICC (UMTS (Universal Mobile
8 EP 2 28 126 B9 1 Telecommunications System) Integrated Circuit Card) z aplikacją USIM (User Services Identity Module) dla celów bezpieczeństwa są szczególnie przydatne do zastosowania w połączeniu z niniejszym wynalazkiem; - etapy sposobu, które będą prawdopodobnie implementowane jako fragmenty kodu oprogramowania i uruchamiane z wykorzystaniem procesora na jednej z jednostek, są niezależne od kodu oprogramowania i mogą być określone z wykorzystaniem dowolnego znanego albo opracowanego w przyszłości języka programowania; - etapy sposobu i/lub urządzenia, które będą prawdopodobnie implementowane jako komponenty sprzętowe w jednej z jednostek, są niezależne od platformy sprzętowej i mogą być implementowane z wykorzystaniem dowolnej znanej albo opracowanej w przyszłości technologii sprzętowej albo dowolnych ich hybryd, takich jak technologia MOS, CMOS, BiCMOS, ECL, TTL, i inne, z wykorzystaniem przykładowo komponentów ASIC albo DSP; - ogólnie dowolny etap sposobu może być implementowany jako oprogramowanie albo sprzęt bez zmiany istoty niniejszego wynalazku; - urządzenia mogą być implementowane jako indywidualne urządzenia, ale nie wyklucza to tego, aby były one implementowane w sposób rozłożony w systemie, o ile tylko zachowana jest funkcjonalność urządzenia. 2 [0023] Zgodnie z tym, co opisano powyżej, w kontekście sieci dostępowych nie należących do 3GPP, dla autoryzacji abonenta stosuje się protokół EAP AKA. Protokół EAP AKA jest kończony w serwerze AAA (serwerze 3GPP AAA), który w kontekście sieci 3GPP zawsze rezyduje w sieci macierzystej. Serwer 3GPP AAA otrzymuje klucze CK, IK z serwera HSS. Klucze CK, IK pozostają wówczas w serwerze 3GPP AAA, który rezyduje w sieci macierzystej. Serwer 3GPP AAA wytwarza klucz Master Session Key (MSK) z kluczy CK, IK a następnie wysyła klucz MSK do układu uwierzytelniania, który jest jednostką kontrolującą dostęp z urządzenia użytkownika (UE). W kontekście nie należącego do 3GPP dostępu do systemu
9 EP 2 28 126 B9 1 2 EPS, układ uwierzytelniania może być jednostką w sieci nie należącej do 3GPP w przypadku tak zwanego zaufanego dostępu, lub układ uwierzytelniania może być typu evolved Packet Data Gateway (epdg) w sieci 3GPP EPS w przypadku tak zwanego niezaufanego dostępu. [0024] Według przykładu wykonania niniejszego wynalazku serwer HSS nie wysyła kluczy CK, IK do serwera AAA, ale stosuje transformację w celu otrzymania kluczy CK_new, IK_new. Urządzenie użytkownika UE stosuje tę samą transformację dla kluczy CK, IK otrzymanych z modułu USIM (UMTS Subscriber Identity Module). Serwer AAA, EAP na urządzenie użytkownika UE oraz układ uwierzytelniania nie zauważają tej transformacji i postępują według EAP-AKA. Ponadto zastosowanie bitu separacji AMF jest takie, jak dla dostępu E-UTRAN o ile serwer HSS wysyła wektory uwierzytelniania z bitem separacji AMF ustawionym na wartość 1 tylko do serwerów AAA, kiedy są one wykorzystywane dla dostępu EPS, zaś urządzenie użytkownika UE sprawdza, że bit separacji AMF jest ustawiony na wartość 1, kiedy urządzenie użytkownika UE ma dostęp do systemu EPS. [002] W celu uzyskania uwierzytelnienia układu uwierzytelniania albo sieci obsługującej dla urządzenia użytkownika UE, według przykładu wykonania wynalazku, transformacja stosowana przez serwer HSS i urządzenie użytkownika UE zawiera znaczący układ uwierzytelniania albo tożsamość sieci obsługującej, na przykład w pełni kwalifikowaną nazwę domeny bramy epdg albo mobilny kod krajowy Mobile Country Code (MCC) plus mobilny kod sieci Mobile Network Code (MNC) identyfikujący sieć ehprd. Urządzenie użytkownika UE i serwer HSS mają dostępną tożsamość w takiej samej formie. [0026] Klucze MSK otrzymane z kluczy CK, IK oraz odpowiednio z kluczy CK_new, IK_new są różne. Dlatego też punkt dostępowy WLAN kradnący klucz MSK otrzymany z kluczy CK, IK nie może wykorzystać tego klucza MSK do podawania się za układ uwierzytelniania w kontekście EPS, ponieważ dla tego ostatniego klucz MSK musiałby być otrzymany z kluczy CK_new, IK_new. [0027] W następującej części opisany zostanie przykład implementacji poprzez odwołanie do figur 1 i 2.
EP 2 28 126 B9 Figura 1 przedstawia schemat sygnalizacji ilustrujący uwierzytelnianie i uzgodnienie klucza dla zaufanego dostępu do systemu EPS z sieci dostępowej nie należącej do 3GPP według przykładu wykonania wynalazku. Figura 2 przedstawia schemat sygnalizacji ilustrujący uwierzytelnianie i uzgodnienie klucza dla niezaufanego dostępu według przykładu wykonania niniejszego wynalazku. 1 2 [0028] Według przykładu wykonania wynalazku uwierzytelnienie dostępu dla dostępu nie należącego do 3GPP w systemie EPS jest oparta na EAP-AKA. Serwer AAA (serwer 3GPP AAA), który rezyduje w architekturze EPC, może działać jako serwer EAP dla EAP-AKA. [0029] Według przykładu wykonania wynalazku zakłada się, że serwer HSS 40 wysyła wektor uwierzytelniania z bitem separacji AMF =1 do serwera AAA, tylko wówczas, jeśli wektor uwierzytelniania jest wykorzystywany z procedurami zdefiniowanymi w przykładzie wykonania. [00] Według przykładu wykonania wynalazku procedura przedstawiona na figurze 1 jest wykonywana, zawsze kiedykolwiek nie jest wykonywana procedura przedstawiona na figurze 2. [0031] Zgodnie z tym, co pokazano na figurze 1, w etapie S1 tworzone jest połączenie między urządzeniem użytkownika UE a zaufaną siecią nie należącą do 3GPP z wykorzystaniem procedury specyficznej dla sieci dostępowej nie należącej do 3GPP. [0032] W etapie S2 układ uwierzytelniania w zaufanej sieci dostępowej nie należącej do 3GPP wysyła do urządzenia użytkownika UE EAP Request/Identity, żądając tożsamości użytkownika. W etapie S3 urządzenie użytkownika UE wysyła wiadomość EAP Response/Identity. Urządzenie użytkownika UE może wysłać swoją tożsamość zgodną z formatem Network Access Identifier (NAI). Format NAI zawiera albo pseudonim przydzielony urządzeniu użytkownika UE w poprzednim przebiegu procedury uwierzytelniania albo, w przypadku pierwszego uwierzytelnienia, tożsamość
11 EP 2 28 126 B9 1 2 IMSI (International Mobile Subscriber Identity). W przypadku pierwszego uwierzytelnienia format NAI wskazuje EAP-AKA. [0033] W etapie S4 wiadomość EAP Response/Identity jest kierowana do serwera AAA na podstawie części dziedziny formatu NAI. Ścieżka trasowania może zawierać jedno lub większą liczbę proksy AAA (nie pokazane na figurze 1). W etapie S serwer AAA odbiera przez interfejs Ta*/Wd* (nie pokazany) wiadomość EAP Response/Identity, która zawiera tożsamość abonenta. [0034] W etapie S6 serwer AAA sprawdza, czy ma on niewykorzystany wektor autoryzacji z bitem separacji AMF =1 dostępnym dla tego abonenta, to znaczy urządzenia użytkownika UE. Jeśli nie, to z serwera HSS 40 pobierany jest w etapie S6 zbiór nowych wektorów uwierzytelniania. W tym celu serwer AAA umieszcza wskazanie, że wektor autoryzacji jest przeznaczony dla zastosowania EPS oraz tożsamość sieci dostępowej, w której rezyduje układ uwierzytelniania, na przykład MCC+MNC sieci dostępowej ehrpd, w wiadomości wysłanej do serwera HSS 40 w etapie S6. Wymagane jest przyporządkowanie z tymczasowego identyfikatora do identyfikatora IMSI. Serwer HSS 40 pobiera wektor uwierzytelniania z centrum uwierzytelniania (nie pokazane) z bitem separacji AMF = 1. Serwer HSS 40 dokonuje następnie transformacji tego wektora autoryzacji na nowy wektor autoryzacji poprzez obliczenie (CK_new, IK_new) = F(CK, IK, <tożsamość sieci dostępowej>, <możliwe dalsze parametry>), gdzie F jest funkcją otrzymywania klucza. Serwer HSS 40 wysyła następnie ten przetworzony wektor uwierzytelniania do serwera AAA w etapie S6. [003] Należy zauważyć, że serwer AAA nie zauważa transformacji i traktuje ten wektor uwierzytelniania tak, jak każdy inny wektor autoryzacji. [0036] Ponadto serwer AAA może odzyskiwać wektory uwierzytelniania z serwera HSS 40, kiedy wykrywa, że sieć VPLMN (Visited Public Land Mobile Network) wybrana przez użytkownika urządzenia użytkownika UE uległa zmianie. Może to się wydarzyć przykładowo wówczas, kiedy użytkownik wykonuje procedurę ponownego wyboru sieci
12 EP 2 28 126 B9 1 2 VPLMN i inicjuje nową procedurę uwierzytelniania za pośrednictwem nowej sieci VPLMN. [0037] Serwer HSS 40 może sprawdzić, czy istnieje serwer 3GPP AAA już zarejestrowany do obsługi tego abonenta, to znaczy urządzenia użytkownika UE. W przypadku, kiedy serwer HSS 40 wykrywa, że inny serwer AAA jest już zarejestrowany dla tego abonenta, może on zaopatrzyć serwer AAA w adres uprzednio zarejestrowanego serwera AAA. Sygnalizacja uwierzytelniania jest następnie trasowana do uprzednio zarejestrowanego serwera AAA z mechanizmami specyficznymi dla parametru Diameter, to znaczy serwer AAA przekazuje uprzednio zarejestrowany adres serwera AAA do proksy 3GPP AAA albo jednostki AAA w zaufanej sieci dostępowej nie należącej do 3GPP albo też serwer AAA działa jako proksy AAA i przekazuje wiadomość uwierzytelniania do uprzednio zarejestrowanego serwera AAA. [0038] W etapie S7 serwer AAA ponownie żąda tożsamości użytkownika, wykorzystując wiadomość Request/AKA Identity EAP. To żądanie tożsamości wykonywane jest, ponieważ węzły pośrednie mogły ulec zmianie albo zastąpić tożsamość użytkownika odebraną w wiadomości EAP Response Identity. Jednakże to nowe żądanie tożsamości użytkownika może zostać pominięte przez operatora macierzystego, jeśli zapewnione jest, że tożsamość użytkownika nie mogła ulec zmianie albo modyfikacji w jakikolwiek sposób w wiadomości EAP Response Identity. [0039] W etapie S8 układ uwierzytelniania w sieci dostępowej przekazuje wiadomość EAP Request/AKA Identity do urządzenia użytkownika UE. W etapie S9 urządzenie użytkownika UE odpowiada z tą samą tożsamością, jaką stosowało w poprzedniej wiadomości EAP Response Identity. W etapie S1 układ uwierzytelniania w sieci dostępowej przekazuje wiadomość EAP Request/AKA Identity do serwera AAA. Tożsamość odebrana w tej wiadomości będzie wykorzystana przez serwer AAA w pozostałej części procesu autoryzacji. Jeśli wykryta zostanie niespójność między tożsamościami odebranymi w obydwu wiadomościach (EAP Response Identity i EAP Response/AKA Identity), tak że profil użytkownika i wektory
13 EP 2 28 126 B9 1 2 uwierzytelniania uprzednio pozyskane z serwera HSS 40 nie są ważne, wówczas dane te mogą zostać zażądane ponownie z serwera HSS 40. Innymi słowy, etap S6 może zostać powtórzony przed kontynuacją w etapie S111. [0040] W celu optymalizacji wydajności, proces ponownego żądania tożsamości (etapy od S7 do S1) może być wykonany przed pozyskaniem profilu użytkownika i wektorów uwierzytelniania. [0041] W etapie S111 serwer AAA sprawdza, czy ma on dostępny profil dostępu EPS urządzenia użytkownika UE. Jeśli nie, wówczas profil dostępu EPS jest pozyskiwany z serwera HSS 40. Serwer AAA sprawdza, że urządzenie użytkownika UE jest upoważnione do korzystania z systemu EPS. Należy zauważyć, że etap ten może być wykonywany w jakimś innym punkcie, po etapie S i przed etapem S114. [0042] W etapie S112 otrzymuje się nowy materiał na klucz z kluczy CK_new, IK_new zgodnie EAP-AKA. Wybrany może zostać nowy pseudonim i/lub ID ponownego uwierzytelniania i jeśli są one wybrane, to powinny być zabezpieczone, to znaczy zaszyfrowane a ich spójność zabezpieczona, z wykorzystaniem materiału na klucz generowanego z EAP-AKA. [0043] W etapie S113 serwer AAA wysyła RAND, AUTN, kod uwierzytelniania wiadomości (MAC) oraz dwie tożsamości użytkownika (jeśli są one generowane), zabezpieczony pseudonim i/lub zabezpieczony identyfikator id ponownego uwierzytelniania, do układu uwierzytelniania w sieci dostępowej w wiadomości EAP Request/AKA-Challenge. Wysłanie identyfikatora id ponownego uwierzytelniania uzależnione jest od polityki operatora 3GPP co do tego, czy pozwalać na szybkie procesy ponownego uwierzytelniania, czy nie. Oznacza to, że w dowolnym momencie serwer AAA decyduje się (na podstawie polityki ustalonej przez operatora) na włączenie identyfikatora ponownego uwierzytelniania albo nie, pozwalając tym samym albo nie pozwalając na uruchomienie procesu szybkiego ponownego uwierzytelniania. [0044] Serwer AAA może wysyłać również wskazanie wyniku do układu uwierzytelniania w sieci dostępowej w celu wskazywania, że życzy on sobie ochraniać wiadomość o pomyślnym wyniku na zakończenie procesu, to
14 EP 2 28 126 B9 1 2 znaczy, jeśli wynik jest pomyślny. Ochrona wiadomości o wyniku uzależniona jest od polityki operatora macierzystego. [004] W etapie S114 układ uwierzytelniania w sieci dostępowej wysyła wiadomość EAP Request/AKA-Challenge do urządzenia użytkownika UE. W etapie S11 urządzenie użytkownika UE sprawdza najpierw, czy bit separacji AMF w wiadomości EAP Request/AKA-Challenge jest ustawiony na wartość 1. Jeśli nie ma to miejsca, to wówczas urządzenie użytkownika UE odmawia uwierzytelnienia. W przeciwnym razie urządzenie użytkownika UE uruchamia algorytm AKA na aplikacji USIM. Aplikacja USIM dokonuje weryfikacji, czy AUTN jest prawidłowy i niniejszym dokonuje uwierzytelnienia sieci. Jeśli AUTN jest nieprawidłowy, wówczas urządzenie użytkownika UE odmawia uwierzytelnienia (nie pokazano w tym przykładzie). Jeśli numer sekwencyjny jest poza synchronizacją, wówczas urządzenie użytkownika UE inicjuje procedurę synchronizacji. Jeśli AUTN jest prawidłowy, wówczas aplikacja USIM oblicza RES, IK i CK. [0046] Ponadto, w etapie S11 urządzenie użytkownika UE oblicza (CK_new, IK_new)= F(CK, IK, <tożsamość sieci dostępowej>, <możliwe dalsze parametry>), gdzie F jest funkcją otrzymania klucza, w taki sam sposób, jak serwer HSS 40. Urządzenie użytkownika UE otrzymuje wymagany dodatkowy nowy materiał na klucz, wliczając w to klucz MSK, na podstawie nowego obliczanego klucza IK i CK (to znaczy CK_new, IK_new) w taki sam sposób, jak serwer AAA, a także sprawdza odebrany kod MAC z nowym otrzymanym materiałem na klucz. [0047] Jeśli otrzymane będą zabezpieczony pseudonim i/lub tożsamość ponownego uwierzytelniania, wówczas urządzenie użytkownika UE przechowuje tymczasową tożsamość (tożsamości) dla przyszłych uwierzytelnień. [0048] W etapie S116 urządzenie użytkownika UE oblicza nową wartość MAC pokrywającą wiadomość EAP z nowym materiałem na klucz. Urządzenie użytkownika UE wysyła wiadomość EAP Response/AKA- Challenge zawierającą obliczony RES oraz nową obliczoną wartość MAC do układu uwierzytelniania w sieci dostępowej. Urządzenie użytkownika UE
1 EP 2 28 126 B9 1 2 może zawierać w tej wiadomości wskazanie wyniku, jeśli odebrało ono to samo wskazanie z serwera AAA. W przeciwnym przypadku urządzenie użytkownika UE może pominąć to wskazanie. [0049] W etapie S117 układ uwierzytelniania w sieci dostępowej wysyła EAP Response/AKA-Challenge to serwera AAA. W etapie S118 serwer AAA sprawdza odebrane MAC i dokonuje porównania XRES z odebranym RES. Jeśli wszystkie testy w etapie S118 są pomyślne, to wówczas w etapie S119 serwer AAA może wysyłać wiadomość EAP Request/AKA- Notification, przed wiadomością EAP Success, jeśli serwer AAA żądał uprzednio zastosowania zabezpieczonych oznaczeń pomyślnego wyniku. Wiadomość ta jest zabezpieczona kodem MAC. [000] W etapie S1 autoryzator w sieci dostępowej kieruje wiadomość do urządzenia użytkownika UE. W etapie S121 urządzenie użytkownika UE wysyła EAP Response/AKA-Notification. W etapie S122 urządzenie uwierzytelniania w sieci dostępowej kieruje EAP Response/AKA- Notification do serwera AAA. Serwer AAA może zignorować treść tej wiadomości. W etapie S123 serwer AAA wysyła wiadomość EAP Success do układu uwierzytelniania w sieci dostępowej, która może zostać poprzedzona przez Powiadomienie EAP, zgodnie z tym, co wyjaśniono w etapie S1. Serwer AAA zawiera także materiał na klucz, na przykład klucz MSK, w leżącej niżej wiadomości protokołu AAA (to znaczy nie na poziomie EAP). Układ uwierzytelniania w sieci dostępowej przechowuje materiał na klucz do zastosowania w komunikacji z uwierzytelnionym urządzeniem użytkownika UE, jak jest to wymagane przez sieć dostępową. [001] W etapie S124 układ uwierzytelniania w sieci dostępowej informuje urządzenie użytkownika UE o pomyślnym uwierzytelnieniu z wykorzystaniem wiadomość EAP Success. Teraz wymiana EAP AKA została pomyślnie zakończona, zaś urządzenie użytkownika UE oraz układ uwierzytelniania w sieci dostępowej współdzielą materiał na klucz otrzymany w trakcie tej wymiany. W etapie S12 serwer AAA może inicjować rejestrację do serwera HSS 40.
16 EP 2 28 126 B9 1 2 [002] Proces sprawdzania uwierzytelniania może zawieść w dowolnym momencie, przykładowo ze względu na niepomyślny wynik sprawdzenia kodów MAC albo brak odpowiedzi z urządzenia użytkownika UE po żądaniu sieciowym. W tym przypadku proces EAP AKA zostanie zakończony i wskazanie powinno zostać wysłane do serwera HSS 40. [003] W następującym części, opisany zostanie proces tunelowego pełnego uwierzytelniania i autoryzacji niezaufanego dostępu do systemu EPS, za pośrednictwem przykładu wykonania przedstawionego na figurze 2. Tunelowy punkt końcowy w sieci EPS jest bramą epdg 60 pełniącym rolę układu uwierzytelniania. Jako część próby utworzenia tunelu wymagane jest zastosowanie pewnej nazwy APN (Access Point Name). Kiedy urządzenie użytkownika UE 0 dokonuje nowej próby utworzenia tunelu, wówczas urządzenie użytkownika UE 0 powinno stosować (IKEv2 (Internet Key Exchange version 2). Uwierzytelnienie urządzenia użytkownika UE 0 w jego roli jako inicjatora IKEv2 kończy się w serwerze AAA (serwer 3GPP AAA). Urządzenie użytkownika UE 0 może wysyłać wiadomości EAP według protokołu IKEv2 do bramki epdg 60. Bramka epdg 60 może dokonywać ekstrakcji wiadomości EAP odbieranych z urządzenia użytkownika UE 0 po IKEv2 oraz wysyłać je do serwera AAA. Urządzenie użytkownika UE 0 może stosować Configuration Payload IKEv2 w celu otrzymania zdalnego adresu IP. [004] Pomija się parametry wiadomości EAP-AKA oraz procedury dotyczące uwierzytelniania są pomijane. Wyjaśniane są tylko decyzje i procesy związane z zastosowaniem EAP-AKA w ramach IKEv2. [00] Ponieważ urządzenie użytkownika UE 0 i bramka epdg 60 generują słowa jednokrotne (nonces) jako elementy wejściowe do otrzymania kluczy szyfrowania i uwierzytelniania w IKEv2, uzyskuje się ochronę odtworzenia. Z tego powodu nie ma potrzeby, aby serwer AAA żądał tożsamości użytkownika ponownie z wykorzystaniem metod specyficznych dla EAP-AKA, ponieważ serwer AAA ma pewność, że żaden węzeł pośredni nie zmodyfikował ani nie zmienił tożsamości użytkownika.
17 EP 2 28 126 B9 1 2 [006] W etapie S1 urządzenie użytkownika UE 0 oraz epdg 60 dokonują wymiany pierwszej pary wiadomości IKE_SA_INIT, w której epdg 60 oraz urządzenie użytkownika UE 0 negocjują algorytmy kryptograficzne, wymieniają słowa jednokrotne i dokonują wymiany Diffie_Hellmana. [007] W etapie S2 urządzenie użytkownika UE 0 wysyła tożsamość użytkownika (w ładunku IDi) oraz informację APN (w ładunku IDr) w pierwszej wiadomości fazy IKE_AUTH i zaczyna negocjacje potomnych powiązań bezpieczeństwa. Urządzenie użytkownika UE 0 pomija parametr AUTH w celu wskazania bramce epdg 60, że chce ono zastosować EAP po IKEv2. Tożsamość użytkownika powinna być zgodna z formatem Network Access Identifier (NAI) zawierającym IMSI albo pseudonim, zgodnie z tym, co zdefiniowano dla protokołu EAP-AKA. Urządzenie użytkownika UE 0 może wysyłać ładunek konfiguracji (CFG_REQUEST) wewnątrz wiadomości żądania IKE_AUTH w celu otrzymania zdalnego adresu IP. [008] W etapie S3 bramka epdg 60 wysyła wiadomość Żądania Uwierzytelnienia z pustym parametrem EAP AVP (Attribute Value Pair) do serwera AAA, zawierającą tożsamość użytkownika oraz APN. Bramka epdg 60 powinna zawierać wskaźnik typu PDG, wskazujący, że uwierzytelnianie jest wykonywane dla utworzenia tunelu z epdg a nie I-WLAN (Interrogating WLAN) PDG. Pomoże to serwerowi AAA w rozróżnieniu pośród uwierzytelnień dla dostępu zaufanego, zgodnie z tym, co opisano względem figury 1, uwierzytelnień dla zestawienia tunelu w I-WLAN, co pozwala także na EAP-SIM (Subscriber Identity Module), a także uwierzytelnienia dla zestawienia tunelu w EPS, które pozwalałoby tylko na EAP-AKA. [009] W etapie S4 serwer AAA może pobierać profil użytkownika i wektory uwierzytelniania z serwera HSS 40, jeśli te parametry nie są dostępne w serwerze AAA. Serwer AAA zawiera wskaźnik typu PDG, a także tożsamość epdg w jego żądaniu do serwera HSS 40. [0060] Ponadto w etapie S4 serwer HSS 40 pobiera wektor uwierzytelniania z Centrum Autoryzacji z bitem separacji AMF =1. Serwer HSS 40 dokonuje następnie przekształcenia tego wektora uwierzytelnienia na nowy wektor uwierzytelnienia poprzez obliczenie: (CK_new, IK_new) = F(CK, IK, <
18 EP 2 28 126 B9 1 2 wskaźnik typu PDG, tożsamość epdg>, <możliwie dalsze parametry>), gdzie F jest funkcją otrzymania klucza. Serwer HSS 40 wysyła następnie ten przekształcony wektor uwierzytelnienia do serwera AAA. [0061] Należy zauważyć, że serwer AAA nie zauważa transformacji i traktuje ten wektor uwierzytelniania jak każdy inny wektor uwierzytelniania. [0062] Ponadto serwer AAA może pozyskiwać wektory uwierzytelniania z serwera HSS 40, kiedy wykryje, że sieć VPLMN wybrana przez użytkownika uległa zmianie. Może to mieć miejsce na przykład wówczas, kiedy użytkownik wykonuje procedurę ponownego wyboru sieci VPLMN oraz inicjuje nową procedurę uwierzytelniania za pośrednictwem nowej sieci VPLMN. Należy zauważyć, że użytkownik nie może zainicjować nowej procedury uwierzytelniania. [0063] W etapie S serwer AAA inicjuje wyzwanie uwierzytelnienia. Tożsamość użytkownika nie jest ponownie żądana. W etapie S6 z wiadomością Response IKE_AUTH, bramka epdg 60 odpowiada swoją tożsamością, certyfikatem i wysyła parametr AUTH w celu ochrony poprzedniej wiadomości, jaką wysłał do urządzenia użytkownika UE 0 w wymianie IKE_SA_INIT. Bramka epdg 60 również kończy negocjacje potomnych powiązań bezpieczeństwa. Wiadomość EAP Request/AKA-Challenge odebrana z serwera AAA jest dołączona w celu rozpoczęcia procedury EAP po IKEv2. [0064] W etapie S07 urządzenie użytkownika UE 0 sprawdza najpierw, czy bit separacji AMF jest ustawiony na wartość 1 w wiadomości Response IKE_ AUTH odebranej z epdg 60. Jeśli nie ma to miejsca, wówczas urządzenie użytkownika UE 0 odmawia uwierzytelnienia. W przeciwnym przypadku urządzenie użytkownika UE 0 uruchamia algorytmy AKA na aplikacji USIM i sprawdza parametry uwierzytelniania, zgodnie z tym, co opisano względem etapu S11 na figurze 1. [006] Urządzenie użytkownika UE 0 oblicza następnie (CK_new, IK_new) = F(CK, IK, <wskaźnik typu PDG, tożsamość epdg >, <możliwe dalsze parametry>), gdzie F jest funkcją otrzymania klucza, w taki sam sposób, jak serwer HSS 40. Urządzenie użytkownika UE 0 wyznacza wymagany dodatkowy materiał na klucz, wliczając w to klucz MSK, zgodnie z protokołem
19 EP 2 28 126 B9 1 2 EAP AKA z nowego obliczonego IK i CK (to znaczy CK_new, IK_new) w taki sam sposób, jak serwer AAA, zaś w etapie S7a, odpowiada na wyzwanie uwierzytelnienia. Jedyny ładunek (poza nagłówkami) w wiadomości IKEv2 IKE_AUTH Request jest wiadomością EAP Response/AKA-Challenge. [0066] W etapie S8 epdg 60 przekazuje wiadomość EAP Response/AKA-Challenge do serwera AAA. W etapie S9, kiedy wszystkie testy są pomyślne, serwer AAA wysyła Response Autoryzacji zawierającą sukces EAP i materiał na klucz do bramki epdg 60. Tenże materiał na klucz powinien zawierać klucz MSK wygenerowany w trakcie procesu uwierzytelniania. Kiedy interfejsy Wm* i Wd* pomiędzy epdg 60 a serwerem AAA są implementowane z wykorzystaniem Diameter, klucz MSK może być zamknięty w parametrze EAP-Master-Session-Key. [0067] W etapie S9a bramka epdg 60 wysyła wiadomość Żądania Upoważnienia z pustym parametrem EAP AVP do serwera AAA zawierającą APN. W etapie S9b serwer AAA sprawdza w abonencie użytkownika (subskrypcja urządzenia użytkownika UE 0), czy użytkownik (urządzenie użytkownika UE 0) jest upoważniony do utworzenia tunelu. Licznik powiązań IKE SA (Internet Key Exchange Security Associations) dla tej nazwy APN jest zwiększany skokowo. Jeśli maksymalna liczba powiązań IKE SA dla tej nazwy APN jest przekraczana, wówczas serwer AAA powinien wysłać wskazanie do bramki epdg, która ustanowiła najstarsze aktywne powiązanie IKE SA (może to być bramka epdg 60 lub jakaś inna) w celu wydelegowania najstarszego ustanowionego powiązania IKE AS. Serwer AAA powinien odpowiednio zaktualizować informację a aktywnym powiązaniu IKE SA dla nazwy APN. [0068] W etapie S9c serwer AAA wysyła odpowiedź AAA do bramki epdg 60. Serwer AAA może wysyłać tożsamość IMSI wewnątrz odpowiedzi AA, jeśli wiadomość Żądania Upoważnienia (Authorization Request) w etapie S9a zawiera tymczasową tożsamość, to znaczy jeśli Request AA nie zawiera tożsamości IMSI. [0069] W etapie S2 klucz MSK powinien być wykorzystywany przez bramkę epdg 60 do generowania parametrów AUTH w celu uwierzytelnienia
EP 2 28 126 B9 1 2 wiadomości fazy IKE_SA_INIT, według specyfikacji dla IKEv2. Te dwie pierwsze wiadomości nie były wcześniej uwierzytelnianie, ponieważ brak było jeszcze dostępnego materiału na klucz. Współdzielony tajny generowany w wymianie EAP, na przykład klucz MSK, przy zastosowaniu po IKEv2, powinien być stosowany do wygenerowania parametrów AUTH. [0070] W etapie S211 wiadomość EAP Success/Failure, Sukces/Niepowodzenie EAP, jest przekazywana do urządzenia użytkownika UE 0 po IKEv2. W etapie S212 urządzenie użytkownika UE 0 może przyjąć swoją własną kopię klucza MSK jako daną wejściową w celu wygenerowania parametru AUTH w celu uwierzytelnienia pierwszej wiadomości IKE_SA_INIT. Parametr AUTH jest wysyłany do bramki epdg 60. [0071] W etapie S213 bramka epdg 60 sprawdza poprawność AUTH odebranego z urządzenia użytkownika UE 0. W tym miejscu urządzenie użytkownika UE jest uwierzytelniane. W przypadku kiedy wykorzystuje się punkt odniesienia S2b, rozpocząć może się sygnalizacja PMIP (Proxy Mobile IP) między bramką epdg 60 a PDN GW (Packet Data Network Gateway) (nie pokazane). Bramka epdg 60 kontynuuje w następnym etapie procedurę opisaną w odniesieniu do figury 2 tylko po pomyślnym zakończeniu procedury aktualizacji wiązania PMIP. [0072] W etapie S214 bramka epdg 60 oblicza parametr AUTH, który uwierzytelnia drugą wiadomość IKE_SA_INIT. Bramka epdg 60 powinna wysłać przypisany zdalny adres Remote IP w ładunku konfiguracji (CFG_REPLY). Wówczas parametr AUTH jest wysyłany do urządzenia użytkownika UE 0 wraz z ładunkiem konfiguracji, powiązaniami bezpieczeństwa oraz resztą parametrów IKEv2 i negocjacja IKEv2 ulega zakończeniu. [0073] W etapie S21, jeśli bramka epdg 60 wykrywa, że istnieje już stary IKE SA dla tej nazwy APN, skasuje ona IKE SA i wyśle do urządzenia użytkownika UE 0 informacyjną (INFORMATIONAL) wymianę z ładunkiem Delete w celu skasowania starego IKE SA w urządzeniu użytkownika UE 0. [0074] Figura 3 przedstawia schemat blokowy ilustrujący strukturę wyposażenia użytkownika 0, układu uwierzytelniania 0, serwera
21 EP 2 28 126 B9 1 2 uwierzytelniania 0 i macierzystego serwera abonenta (home subscriber server) 400 według przykładu wykonania wynalazku. Wyposażenie użytkownika 0 może działać jako urządzenie użytkownika UE przedstawione na figurze 1 albo urządzenie użytkownika UE 0 przedstawione na figurze 2. Serwer uwierzytelniania 0 może działać jak serwer AAA przedstawiony na figurach 1 i 2, zaś macierzysty serwer 400 abonenta może działać jak serwer HSS 40 przedstawiony na figurach 1 i 2. Układ uwierzytelniania 0 może działać jako układ uwierzytelniania przedstawiony na figurze 1 albo jako bramka epdg 60 przedstawiona na figurze 3. [007] Według przykładu wykonania przedstawionego na figurze 3 wyposażenie użytkownika 0 zawiera procesor 3, odbiornik 311 oraz nadajnik 312, które komunikują się z sobą za pośrednictwem magistrali 313.. Serwer uwierzytelniania 0 zawiera procesor 3, odbiornik 331 oraz nadajnik 332, które komunikują się z sobą za pośrednictwem magistrali 333. Macierzysty serwer 400 abonenta zawiera procesor 340, odbiornik 341 oraz nadajnik 342, które komunikują się wzajemnie ze sobą za pośrednictwem magistrali 343. Układ uwierzytelniania 0 zawiera procesor 3, odbiornik 321 i nadajnik 322, które komunikują się z sobą za pośrednictwem magistrali 323. [0076] Procesor 3 układu uwierzytelniania 0 steruje dostępem z urządzenia użytkownika 0 do sieci, na przykład sieci EPS w trakcie uwierzytelniania między wyposażeniem użytkownika a siecią i może powodować, że nadajnik322 prześle informację o użyciu oraz tożsamość układu uwierzytelniania 0 do serwera uwierzytelniania 0 w trakcie tej sterowania. [0077] Procesor 3 serwera uwierzytelniania 0 dokonuje sprawdzenia, czy niewykorzystana informacja uwierzytelniania zawierająca wskaźnik separacji (bit separacji AMF), który jest ustawiony (to znaczy ma wartość ustawioną na 1) jest dostępna dla urządzenia użytkownika 0 w trakcie uwierzytelniania między urządzeniem użytkownika 0 a siecią EPS. W przypadku, gdy niewykorzystana informacja o uwierzytelnianiu nie jest dostępna, wówczas procesor 3 umieszcza informację o użyciu oraz tożsamość układu uwierzytelniania 0 sterującego dostępem z urządzenia użytkownika 0 w sieci EPS w żądaniu informacji uwierzytelniania i powoduje, że nadajnik 331
22 EP 2 28 126 B9 1 2 wysyła to żądanie. Informacja o użyciu może zawierać co najmniej jedno spośród: wskazanie, że informacja uwierzytelniania jest przeznaczona dla wykorzystania przez system evolved packet system oraz wskaźnik wskazujący, że uwierzytelnienie jest wykonywane dla utworzenia tunelu z układem uwierzytelniania 0. Wskaźnik i/lub tożsamość mogą być odbierane z układu uwierzytelniania 0. Tożsamość układu uwierzytelniania 0 może zawierać co najmniej jedno spośród: w pełni kwalifikowana nazwa domeny, mobilny kod kraju oraz mobilny kod sieci. [0078] Odbiornik 341 macierzystego serwera 400 abonenta może odbierać żądanie informacji uwierzytelniani z serwera uwierzytelniania 0. Procesor 340 macierzystego serwera 400 abonenta dokonuje przekształcenia kluczy kryptograficznych (CK, IK) dla urządzenia użytkownika 0 zgodnie z informacją o użyciu do postaci specyficznych dla dostępu kluczy kryptograficznych (CK_new, IK_new) na podstawie tożsamości układu uwierzytelniania 0, a także generuje informację uwierzytelniania zawierającą specyficzne dla dostępu klucze kryptograficzne oraz wskaźnik separacji (bit separacji AMF), który jest ustawiony (to znaczy jest ustawiony na wartość 1) zgodnie z informacją o użyciu, natomiast nadajnik 342 macierzystego serwera 400 abonenta przesyła informację uwierzytelniania do serwera uwierzytelniania 0. [0079] Odbiornik 331 serwera uwierzytelniania 0 odbiera informację uwierzytelniania z macierzystego serwera 400 abonenta, zaś procesor 3 oblicza klucz (MSK) specyficzny dla sposobu uwierzytelniania na podstawie specyficznych dla dostępu kluczy kryptograficznych. Sposób uwierzytelniania może być oparty na rozszerzalnym protokole uwierzytelniania dla uwierzytelniania i uzgadniania klucza (EAP-AKA). [0080] Procesor 3 urządzenia użytkownika 0 sprawdza, czy wskaźnik separacji (bit separacji AMF) zawarty w informacji uwierzytelniania jest ustawiony (to znaczy ustawiony na wartość 1). Informacja uwierzytelniania może być odbierana przez odbiornik 311 z układu uwierzytelniania 0 w trakcie uwierzytelniania między urządzeniem użytkownika 0 a siecią EPS z wykorzystaniem rozszerzalnego protokołu uwierzytelniania dla uwierzytelniania
23 EP 2 28 126 B9 1 2 i uzgadniania klucza (EAP-AKA). Jeśli wskaźnik separacji jest ustawiony, wówczas procesor 3 dokonuje transformacji kluczy kryptograficznych (CK, IK) otrzymanych z aplikacji USIM (nie pokazana) umieszczonej w urządzeniu użytkownika 0 na specyficzne dla dostępu klucze kryptograficzne (CK_new, IK_new) na podstawie tożsamości układu uwierzytelniania 0 i oblicza klucz (MSK) specyficzny dla sposobu uwierzytelniania na podstawie specyficznych dla dostępu kluczy kryptograficznych. Transmiter 312 może transmitować wiadomości uwierzytelniania z wykorzystaniem rozszerzalnego protokołu uwierzytelniania dla uwierzytelniania i uzgodnienia klucza. [0081] Według przykładu wykonania wynalazku macierzysty serwer 400 abonenta odbiera żądanie informacji uwierzytelniania z serwera uwierzytelniania 0 i dokonuje przekształcenia kluczy kryptograficznych (CK, IK) dla urządzenia użytkownika 0 na specyficzne dla dostępu klucze kryptograficzne (CK_new, IK_new) na podstawie tożsamości układu uwierzytelniania 0 sterującego dostęp z urządzenia użytkownika 0 do sieci EPS, a także generuje informację uwierzytelniania zawierającą specyficzne dla dostępu klucze kryptograficzne oraz wskaźnik separacji, który jest stawiony. Urządzenie użytkownika 0 sprawdza, czy wskaźnik separacji zawarty w informacji uwierzytelniania jest ustawiony i, jeśli wskaźnik separacji jest ustawiony, dokonuje przekształcenia kluczy kryptograficznych na specyficzne dla dostępu klucze kryptograficzne na podstawie tożsamości układu uwierzytelniania 0 oraz oblicza klucz (MSK) specyficzny dla sposobu uwierzytelniania na podstawie specyficznych dla dostępu kluczy kryptograficznych. [0082] Zgodnie z przykładem wykonania wynalazku, zgodnie z tym, co opisano powyżej, nowe klucze CK_new, IK_new są otrzymywane równolegle na urządzeniu użytkownika UE i serwerze HSS transparentnym dla mechanizmu EAP sterowanego przez serwer AAA. Te nowe otrzymane klucze nie mogą być niewłaściwie wykorzystane do autoryzacji w innych sieciach. [0083] W systemie EPS dla niezaufanego dostępu nie należącego do 3GPP, separacja kryptograficzna ma ziarnistość układu uwierzytelniania. Zgodnie z tym, co powiedziano powyżej, biorą w tym udział serwer HSS i
24 EP 2 28 126 B9 bramka epdg. W rezultacie jeden układ uwierzytelniania nie może podszyć się pod inny układ uwierzytelniania, nawet jeśli istnieje kilka bramek epdg (układów uwierzytelniania) na jedną obsługującą sieć PLMN. [0084] W systemie EPS dla zaufanego dostępu należącego do 3GPP, separacja kryptograficzna jest tak jak opisano powyżej na poziom PLMN. Może przypadać ona także na układ uwierzytelniania, jeśli układ uwierzytelniania może dostarczyć znaczącą tożsamość do serwera AAA. [008] Należy zauważyć, że powyższy opis przykładów wykonania ma charakter ilustracyjny dla wynalazku a nie ma być uznawany za ograniczenie wynalazku. Bez odchodzenia od zakresu wynalazku, zdefiniowanego w załączonych zastrzeżeniach, znawcy zauważą możliwość dokonania rozmaitych modyfikacji i zastosowań. 1 Zastrzeżenia patentowe 1. Urządzenie (, 0) skonfigurowane do: 2 sprawdzania (S11, S7), czy wskaźnik separacji zawarty w informacji uwierzytelniania jest ustawiony, przy czym informacja uwierzytelniania jest odbierana w trakcie uwierzytelniania między urządzeniem (, 0) a siecią z wykorzystaniem sposobu rozszerzalnego protokołu uwierzytelniania dla uwierzytelniania i uzgadniania klucza, zaś wskaźnik separacji wskazuje, czy sieć jest siecią systemu evolved packet system czy nie; a także przekształcania (S11, S7), jeśli wskaźnik separacji jest ustawiony, kluczy kryptograficznych CK, IK dla tego urządzenia na nowe klucze kryptograficzne CK_new, IK_new z wykorzystaniem tożsamości sieci, oraz obliczania (S11, S7) klucza MSK do zastosowania w sposobie rozszerzalnego protokołu uwierzytelniania na podstawie nowych kluczy kryptograficznych CK_new, IK_new.
2 EP 2 28 126 B9 2. Urządzenie według zastrzeżenia 1, w którym tożsamość sieci zawiera mobilny kod kraju oraz mobilny kod sieci. 1 2 3. Urządzenie (40, 400) zawierające: odbiornik (341) skonfigurowany do odbierania (S6, S4) żądania informacji uwierzytelniania w trakcie uwierzytelniania między urządzeniem użytkownika (, 0) a siecią z wykorzystaniem sposobu rozszerzalnego protokołu uwierzytelniania dla uwierzytelniania i uzgadniania klucza, przy czym żądanie zawiera informację o użyciu oraz tożsamość urządzenia sterującego dostępem do sieci z urządzenia użytkownika; procesor (340) skonfigurowany do przekształcania (S6, S4) kluczy kryptograficznych CK, IK dla urządzenia użytkownika zgodnie z informacją o użyciu na nowe klucze kryptograficzne CK_new, IK_new z wykorzystaniem tożsamości sieci, a także generowania informacji uwierzytelniania zawierającej te nowe klucze kryptograficzne oraz wskaźnik separacji, który jest ustawiany zgodnie z informacją o użyciu, przy czym wskaźnik separacji wskazuje, czy sieć jest siecią systemu evolved packet system, czy nie, przy czym nowe klucze kryptograficzne służą jako podstawa do obliczenia klucza MSK do zastosowania w rozszerzalnym protokole uwierzytelniania; a także nadajnik (342) skonfigurowany do przesyłania (S6, S4) informacji uwierzytelniania. 4. Urządzenie według zastrzeżenia 3, w którym informacja o użyciu zawiera co najmniej jedno spośród: wskazanie, że informacja uwierzytelniania jest przeznaczona do użycia w systemie evolved packet system oraz wskaźnik wskazujący, że uwierzytelnianie między urządzeniem użytkownika a siecią jest wykonywana dla utworzenia tunelu z siecią.. Sposób obejmujący:
26 EP 2 28 126 B9 1 sprawdzanie (S11, S7), czy wskaźnik separacji zawarty w informacji uwierzytelniania jest ustawiony, przy czym informacja autoryzacji jest odbierana w trakcie uwierzytelniania między urządzeniem użytkownika (, 0) a siecią z wykorzystaniem sposobu rozszerzalnego protokołu uwierzytelniania dla uwierzytelniania i uzgadniania klucza, zaś wskaźnik separacji wskazuje, czy sieć jest siecią systemu evolved packet system czy nie; a także jeśli wskaźnik separacji jest ustawiony, przekształcenia (S11, S7) kluczy kryptograficznych CK, IK dla urządzenia użytkownika na nowe klucze kryptograficzne CK_new, IK_new z wykorzystaniem tożsamości sieci, a także obliczenia (S11, S7) klucza MSK do zastosowania w sposobie rozszerzalnego protokołu uwierzytelniania na podstawie nowych kluczy kryptograficznych CK_new, IK_new. 6. Sposób według zastrzeżenia, w którym tożsamość sieci zawiera mobilny kod kraju oraz mobilny kod sieci. 2 7. Sposób obejmujący: odbieranie (S6, S4) żądania informacji uwierzytelniania w trakcie uwierzytelniania między urządzeniem użytkownika (, 0) a siecią z wykorzystaniem sposobu rozszerzalnego protokołu uwierzytelniania dla uwierzytelniania i uzgodnienia klucza, przy czym żądanie zawiera informację o użyciu oraz tożsamość urządzenia kontrolującego dostęp z urządzenia użytkownika do sieci; przekształcanie (S6, S4) kluczy kryptograficznych CK, IK dla urządzenia użytkownika zgodnie z informacją o użyciu na nowe klucze kryptograficzne CK_new, IK_new z wykorzystaniem tożsamości sieci, a także generowanie (S6, S4) informacji uwierzytelniania zawierającej te nowe klucze kryptograficzne oraz wskaźnik separacji, który jest ustawiany zgodnie z informacją o użyciu, przy czym wskaźnik separacji