專(zhuān)利名稱(chēng):鑒權(quán)方法
技術(shù)領(lǐng)域:
本發(fā)明涉及鑒權(quán)方法���,具體涉及一種移動(dòng)通信網(wǎng)絡(luò)中使用的移動(dòng)終端和網(wǎng)絡(luò)側(cè)設(shè)備之間的鑒權(quán)方法�。
背景技術(shù):
目前的移動(dòng)終端大多數(shù)采用機(jī)卡分離的方式�,也就是移動(dòng)終端本身和保存了用于驗(yàn)證無(wú)線網(wǎng)絡(luò)用戶的信息的用戶卡是兩個(gè)獨(dú)立的部分,在使用時(shí)將它們結(jié)合在一起即可���。目前的用戶卡主要是用于無(wú)線通信系統(tǒng)中的用戶標(biāo)識(shí)模塊卡�,比如��,全球移動(dòng)通信(GSM)系統(tǒng)的用戶標(biāo)識(shí)模塊(SIM)卡�����,寬帶碼分多址(WCDMA)通信系統(tǒng)的USIM卡��,碼分多址(CDMA)通信系統(tǒng)的UIM卡等等���。這種方式具有很多突出的優(yōu)點(diǎn)����,例如用戶想更換一個(gè)移動(dòng)終端的話�����,只需要購(gòu)買(mǎi)一個(gè)新的移動(dòng)終端并且將原有的SIM卡插入到新的移動(dòng)終端即可����,這樣,由于用戶的信息不需要改變����,因此用戶也不需要向通信運(yùn)行商辦理任何更換移動(dòng)終端的手續(xù)。這種方式還有一個(gè)更加突出的優(yōu)點(diǎn)是����,移動(dòng)通信運(yùn)營(yíng)商開(kāi)展移動(dòng)業(yè)務(wù)比如放號(hào)等工作可以和移動(dòng)終端的銷(xiāo)售工作很好地分離開(kāi)來(lái),從而便于移動(dòng)業(yè)務(wù)的開(kāi)展�����,以及終端銷(xiāo)售的相對(duì)獨(dú)立���,給移動(dòng)業(yè)務(wù)營(yíng)運(yùn)和終端銷(xiāo)售帶來(lái)很大的靈活性�����。
但是采用機(jī)卡分離方式給用戶帶來(lái)極大方便的同時(shí)�����,也導(dǎo)致移動(dòng)終端被盜和被搶現(xiàn)象時(shí)有發(fā)生���,以至于在有些地方人們不敢將移動(dòng)終端掛在腰間�。因?yàn)樵跈C(jī)卡分離方式下���,只要在所盜搶的移動(dòng)終端上換上一個(gè)新的SIM卡就可以毫無(wú)障礙地使用����。這樣盜賊可以將所盜搶的移動(dòng)終端再銷(xiāo)售出去從而獲利���。這樣�,用戶不但經(jīng)濟(jì)利益受到損失�����,而且還需要去通信運(yùn)營(yíng)商處辦理一系列手續(xù),例如更改簽約數(shù)據(jù)���,給用戶帶來(lái)了很大的不便,同時(shí)�,移動(dòng)終端的丟失,用戶保存在移動(dòng)終端里的常用信息���,比如號(hào)碼簿記錄等等也會(huì)丟失����,將給用戶日常生活和工作造成很大的影響����。
為了解決移動(dòng)終端容易被盜搶的問(wèn)題,一種比較常用的方法是在移動(dòng)終端上設(shè)置密碼保護(hù)����。例如在移動(dòng)終端上設(shè)置開(kāi)機(jī)密碼,每次開(kāi)機(jī)時(shí)都需要輸入正確的開(kāi)機(jī)密碼��,移動(dòng)終端才能執(zhí)行向網(wǎng)絡(luò)注冊(cè)等后續(xù)操作��。如果開(kāi)機(jī)密碼輸入不正確����,該移動(dòng)終端就不能正常使用����。這樣盜賊即使得到了用戶的移動(dòng)終端���,也會(huì)因?yàn)椴荒茌斎胝_的密碼而不能使用和銷(xiāo)售����。因此�,這種方法在一定程度上解決了移動(dòng)終端容易被盜搶的問(wèn)題。但是����,對(duì)于這一種方法而言,合法用戶在每次開(kāi)機(jī)時(shí)也需要輸入密碼��,將給合法用戶帶來(lái)非常大的麻煩��。因此���,目前很多用戶因?yàn)橛X(jué)得這樣每次輸入開(kāi)機(jī)密碼太麻煩而沒(méi)有設(shè)置這樣的開(kāi)機(jī)密碼����,使得這種解決方法難以被用戶接受并得到實(shí)際的應(yīng)用,從而并不能從根本上解決移動(dòng)終端容易被盜搶的問(wèn)題�����。
還有一種解決方法是建設(shè)大量的設(shè)備標(biāo)識(shí)寄存器(EIR)設(shè)備��,并將那些被盜移動(dòng)終端的國(guó)際移動(dòng)設(shè)備標(biāo)識(shí)(IMEI)放入相應(yīng)的EIR的黑名單中����。這樣��,移動(dòng)終端在每次開(kāi)機(jī)登錄網(wǎng)絡(luò)時(shí)�,將其IMEI上報(bào)給網(wǎng)絡(luò),相關(guān)網(wǎng)絡(luò)設(shè)備都需要到EIR設(shè)備中檢查該移動(dòng)終端所對(duì)應(yīng)的IMEI是否被加入到黑名單中�,如果在黑名單中發(fā)現(xiàn)了該移動(dòng)終端的IMEI,網(wǎng)絡(luò)認(rèn)為該移動(dòng)終端為被盜終端����,該移動(dòng)終端的用戶為非法用戶,從而拒絕其網(wǎng)絡(luò)業(yè)務(wù)���。這樣盜賊同樣會(huì)因?yàn)樗玫降囊苿?dòng)終端不能再次使用而不能從中獲利�,從而可以從根本上解決移動(dòng)終端容易被盜搶的問(wèn)題。但是這種方法需要建設(shè)大量的EIR設(shè)備��,需要增加網(wǎng)絡(luò)設(shè)備的建設(shè)����,既增加了網(wǎng)絡(luò)運(yùn)營(yíng)商的成本,同時(shí)也給網(wǎng)絡(luò)運(yùn)營(yíng)商帶來(lái)不便����。另外,通過(guò)更改移動(dòng)終端程序���,使移動(dòng)終端在向網(wǎng)絡(luò)上報(bào)IMEI時(shí)�,上報(bào)一個(gè)假I(mǎi)MEI��,從而欺騙了網(wǎng)絡(luò)����,使網(wǎng)絡(luò)不能判斷該移動(dòng)終端是否為被盜終端。
在目前有些移動(dòng)通信網(wǎng)絡(luò)��,如第三代移動(dòng)通信網(wǎng)絡(luò)的通用移動(dòng)通信系統(tǒng)(UMTS)�,所使用的鑒權(quán)方法中,用戶卡可以對(duì)移動(dòng)通信網(wǎng)絡(luò)進(jìn)行鑒權(quán)����,當(dāng)鑒權(quán)成功后�,用戶卡可以正常使用��,而當(dāng)鑒權(quán)失敗后�,用戶卡不能在移動(dòng)通信網(wǎng)絡(luò)中正常使用。但是這種方法只能解決移動(dòng)終端中用戶卡安全性問(wèn)題��,而不能解決移動(dòng)終端本身防盜的問(wèn)題�����。例如����,盜賊盜搶了合法用戶的移動(dòng)終端之后����,可以將合法用戶的用戶卡更換為自己的用戶卡,這樣在現(xiàn)有的鑒權(quán)方法中該用戶卡將會(huì)鑒權(quán)成功����,這樣盜賊依然可以使用該盜搶的移動(dòng)終端而不能禁止被盜手機(jī)繼續(xù)使用,從而不能達(dá)到對(duì)移動(dòng)終端進(jìn)行防盜的作用����。而第二代移動(dòng)通信網(wǎng)絡(luò)也不支持機(jī)卡分離的終端對(duì)網(wǎng)絡(luò)鑒權(quán)�,因此����,也不能解決防盜問(wèn)題。
發(fā)明內(nèi)容
有鑒于此����,本發(fā)明的一個(gè)發(fā)明目的是提供一種移動(dòng)通信系統(tǒng)中網(wǎng)絡(luò)側(cè)設(shè)備生成鑒權(quán)信息的方法,以使移動(dòng)終端可以對(duì)網(wǎng)絡(luò)進(jìn)行鑒權(quán)�,從而提高移動(dòng)終端的安全性,防止移動(dòng)終端被盜搶�����。
本發(fā)明的另一個(gè)目的是提供一種移動(dòng)通信系統(tǒng)中移動(dòng)終端對(duì)網(wǎng)絡(luò)進(jìn)行鑒權(quán)的方法�,以通過(guò)對(duì)網(wǎng)絡(luò)的鑒權(quán)提高移動(dòng)終端的安全性,從而防止移動(dòng)終端被盜搶����。
本發(fā)明的還有一個(gè)目的是提供一種移動(dòng)通信系統(tǒng)中的鑒權(quán)方法,以通過(guò)移動(dòng)終端對(duì)網(wǎng)絡(luò)的鑒權(quán)提高移動(dòng)終端的安全性���,從而防止移動(dòng)終端被盜搶�����。
根據(jù)本發(fā)明的第一個(gè)方面���,一種移動(dòng)通信系統(tǒng)中網(wǎng)絡(luò)設(shè)備生成鑒權(quán)信息的方法至少包括a.預(yù)先在網(wǎng)絡(luò)設(shè)備中設(shè)置一個(gè)對(duì)應(yīng)于移動(dòng)終端的安全密鑰����;b.網(wǎng)絡(luò)設(shè)備根據(jù)所述安全密鑰和一個(gè)隨機(jī)數(shù)生成對(duì)應(yīng)于該移動(dòng)終端的鑒權(quán)信息���。
這里鑒權(quán)信息包括所述隨機(jī)數(shù)和一個(gè)鑒權(quán)標(biāo)記�����,其中鑒權(quán)標(biāo)記至少包括序列號(hào)和消息鑒權(quán)編碼。
步驟b所述根據(jù)安全密鑰和隨機(jī)數(shù)生成鑒權(quán)信息包括b1.根據(jù)安全密鑰����、隨機(jī)數(shù)和自己設(shè)置的序列號(hào)生成鑒權(quán)標(biāo)記;
b2.組合所述隨機(jī)數(shù)和鑒權(quán)標(biāo)記形成所述鑒權(quán)信息�����。
步驟b1包括根據(jù)安全密鑰�、隨機(jī)數(shù)和序列號(hào)生成消息鑒權(quán)編碼�����;然后將消息鑒權(quán)編碼和序列號(hào)組合成鑒權(quán)標(biāo)記��。
另外����,鑒權(quán)標(biāo)記可以進(jìn)一步包括鑒權(quán)管理域�,步驟b1中根據(jù)安全密鑰、隨機(jī)數(shù)和序列號(hào)生成消息鑒權(quán)編碼是根據(jù)安全密鑰���、隨機(jī)數(shù)����、序列號(hào)和鑒權(quán)管理域生成消息鑒權(quán)編碼����,在組合成鑒權(quán)標(biāo)記的步驟中進(jìn)一步包括加入鑒權(quán)管理域的步驟。
所述網(wǎng)絡(luò)設(shè)備可以包括歸屬位置寄存器/驗(yàn)證中心HLR/AUC��,該方法進(jìn)一步包括HLR/AUC根據(jù)鑒權(quán)密鑰和隨機(jī)數(shù)生成期望響應(yīng)�、加密密鑰和完整性密鑰;并將隨機(jī)數(shù)����、期望響應(yīng)�、加密密鑰���、完整性密鑰和鑒權(quán)標(biāo)記組成鑒權(quán)集����。另外�����,也可以根據(jù)安全密鑰和隨機(jī)數(shù)生成期望響應(yīng)�、加密密鑰和完整性密鑰;并將隨機(jī)數(shù)���、期望響應(yīng)�����、加密密鑰、完整性密鑰和鑒權(quán)標(biāo)記組成鑒權(quán)集�。
網(wǎng)絡(luò)設(shè)備可以進(jìn)一步包括移動(dòng)交換中心MSC/VLR,該方法進(jìn)一步包括HLR/AUC將鑒權(quán)集發(fā)送給MSC/VLR�����。
所述HLR/AUC將鑒權(quán)集發(fā)送給MSC/VLR是將大于等于一個(gè)鑒權(quán)集發(fā)送給MSC/VLR。
所述HLR/AUC將大于等于一個(gè)鑒權(quán)集發(fā)送給MSC/VLR是在接收到來(lái)自MSC/VLR的鑒權(quán)集請(qǐng)求消息后�,或者是需要更新MSC/VLR的鑒權(quán)集時(shí),將已經(jīng)生成的大于等于一個(gè)鑒權(quán)集發(fā)送給MSC/VLR�。
該方法進(jìn)一步包括MSC/VLR在鑒權(quán)時(shí)發(fā)現(xiàn)沒(méi)有相應(yīng)終端的鑒權(quán)集時(shí)向HLR/AUC發(fā)送請(qǐng)求鑒權(quán)集消息,或者在使用完了相應(yīng)終端的所有鑒權(quán)集后向HLR/AUC發(fā)送鑒權(quán)集請(qǐng)求消息��。
該方法進(jìn)一步包括MSC/VLR將由鑒權(quán)集中隨機(jī)數(shù)和鑒權(quán)標(biāo)記組成的鑒權(quán)信息發(fā)送給移動(dòng)終端����。所述MSC/VLR向移動(dòng)終端發(fā)送鑒權(quán)信息是在接收到來(lái)自移動(dòng)終端的觸發(fā)鑒權(quán)的請(qǐng)求消息后發(fā)送,或者是在網(wǎng)絡(luò)側(cè)需要對(duì)移動(dòng)終端進(jìn)行鑒權(quán)時(shí)發(fā)送�。
在形成鑒權(quán)信息之后可以進(jìn)一步包括更新序列號(hào)的步驟。
所述序列號(hào)是用于移動(dòng)終端用戶卡鑒權(quán)的序列號(hào)�����?�;蛘咴摲椒ㄟM(jìn)一步包括設(shè)置一個(gè)對(duì)應(yīng)于移動(dòng)終端鑒權(quán)的序列號(hào)的步驟��;步驟b中所述序列號(hào)是所設(shè)置的對(duì)應(yīng)于移動(dòng)終端鑒權(quán)的序列號(hào)�����。
步驟a中設(shè)置對(duì)應(yīng)于移動(dòng)終端的安全密鑰是設(shè)置對(duì)應(yīng)于移動(dòng)終端特征信息的安全密鑰。所述移動(dòng)終端特征信息是移動(dòng)終端設(shè)備標(biāo)識(shí)信息IMEI��。
步驟a中設(shè)置對(duì)應(yīng)于移動(dòng)終端的安全密鑰是設(shè)置對(duì)應(yīng)于移動(dòng)終端用戶簽約相關(guān)信息的安全密鑰����。所述移動(dòng)終端用戶簽約相關(guān)信息是移動(dòng)終端用戶標(biāo)識(shí)信息IMSI或移動(dòng)終端用戶卡編號(hào)或移動(dòng)電話號(hào)碼MSISDN。
步驟b之前可以進(jìn)一步包括一個(gè)判斷是否執(zhí)行根據(jù)安全密鑰生成鑒權(quán)信息的步驟�,如果是,執(zhí)行步驟b���;否則不執(zhí)行根據(jù)安全密鑰生成鑒權(quán)信息的步驟���。
步驟a所述安全密鑰是根據(jù)隨機(jī)數(shù)和鑒權(quán)密鑰產(chǎn)生的。
由于移動(dòng)通信系統(tǒng)中的網(wǎng)絡(luò)設(shè)備在生成鑒權(quán)信息時(shí)����,使用了預(yù)先設(shè)置的對(duì)應(yīng)于移動(dòng)終端的安全密鑰,從而使本發(fā)明方法的鑒權(quán)信息不同于現(xiàn)有技術(shù)中沒(méi)有考慮安全密鑰的鑒權(quán)信息��,再配合移動(dòng)終端在接收到鑒權(quán)信息后的處理�,即可實(shí)現(xiàn)由移動(dòng)終端對(duì)網(wǎng)絡(luò)進(jìn)行鑒權(quán),而不同于現(xiàn)有技術(shù)中由用戶卡對(duì)網(wǎng)絡(luò)進(jìn)行鑒權(quán)����。
在由移動(dòng)終端對(duì)網(wǎng)絡(luò)進(jìn)行鑒權(quán)的情況下,如果移動(dòng)終端被盜搶?zhuān)欠ㄓ脩粼诟鼡Q一個(gè)用戶卡之后����,由于移動(dòng)終端中保存的是安全密鑰對(duì)應(yīng)于網(wǎng)絡(luò)側(cè)按照合法用戶卡為該移動(dòng)終端設(shè)置的安全密鑰,比如合法用戶的簽約信息里設(shè)置的安全密鑰���,而和非法用戶的簽約信息里設(shè)置的安全密鑰不一致���,因此移動(dòng)終端對(duì)網(wǎng)絡(luò)的鑒權(quán)將不會(huì)通過(guò),這樣���,非法用戶將不能正常使用該移動(dòng)終端���;或者安全密鑰對(duì)應(yīng)于網(wǎng)絡(luò)側(cè)按照該移動(dòng)終端標(biāo)識(shí)設(shè)置的安全密鑰,這樣一旦用戶在丟失移動(dòng)終端后去運(yùn)營(yíng)商處修改網(wǎng)絡(luò)側(cè)對(duì)應(yīng)于自己的移動(dòng)終端設(shè)備的安全密鑰信息��,該移動(dòng)終端對(duì)網(wǎng)絡(luò)的鑒權(quán)也不會(huì)通過(guò)�����,因此該移動(dòng)終端也將不能正常使用����。因此�,移動(dòng)終端對(duì)網(wǎng)絡(luò)的鑒權(quán)可以有效地提高移動(dòng)終端的安全性�����,并有效防止移動(dòng)終端被盜搶�����。
根據(jù)本發(fā)明的第二個(gè)方面���,一種移動(dòng)通信網(wǎng)絡(luò)中移動(dòng)終端對(duì)通信網(wǎng)絡(luò)進(jìn)行鑒權(quán)的方法至少包括a.預(yù)先在移動(dòng)終端中設(shè)置一個(gè)對(duì)應(yīng)于該移動(dòng)終端的安全密鑰����;b.移動(dòng)終端在接收到來(lái)自網(wǎng)絡(luò)側(cè)設(shè)備的鑒權(quán)信息之后�����,根據(jù)自己設(shè)置的安全密鑰和所述鑒權(quán)信息判斷對(duì)網(wǎng)絡(luò)的鑒權(quán)是否通過(guò)����。
所述接收的鑒權(quán)信息包括隨機(jī)數(shù)和鑒權(quán)標(biāo)記,其中鑒權(quán)標(biāo)記至少包括序列號(hào)和消息鑒權(quán)編碼����。
步驟b所述根據(jù)自己設(shè)置的安全密鑰和所述鑒權(quán)信息判斷對(duì)網(wǎng)絡(luò)的鑒權(quán)是否通過(guò)包括b1.根據(jù)自己設(shè)置的安全密鑰���、接收的序列號(hào)和隨機(jī)數(shù)計(jì)算得到一個(gè)移動(dòng)終端消息鑒權(quán)編碼�����;b2.比較計(jì)算得到的移動(dòng)終端消息鑒權(quán)編碼和接收的鑒權(quán)信息中包含的消息鑒權(quán)編碼是否一致�,如果一致,判定對(duì)網(wǎng)絡(luò)的鑒權(quán)通過(guò)����;否則判定對(duì)網(wǎng)絡(luò)的鑒權(quán)失敗。
在步驟b1之前可以進(jìn)一步包括判斷所接收的鑒權(quán)信息的鑒權(quán)標(biāo)記是否可接受�,如果是,執(zhí)行步驟b1���;否則直接判定對(duì)網(wǎng)絡(luò)的鑒權(quán)失敗�����。判斷鑒權(quán)標(biāo)記是否可接受是比較接收的鑒權(quán)信息中的序列號(hào)和自己設(shè)置的序列號(hào)是否滿足預(yù)定的條件�,如果是���,判定鑒權(quán)標(biāo)記可接受�����;否則判定鑒權(quán)標(biāo)記不可接受����。所述預(yù)定條件是接收的鑒權(quán)信息中的序列號(hào)和自己設(shè)置的序列號(hào)的差值在一個(gè)預(yù)定范圍內(nèi)。
鑒權(quán)標(biāo)記可以進(jìn)一步包括鑒權(quán)管理域���,步驟b1中根據(jù)自己設(shè)置的安全密鑰��、接收的序列號(hào)和隨機(jī)數(shù)計(jì)算得到一個(gè)移動(dòng)終端消息鑒權(quán)編碼時(shí)進(jìn)一步結(jié)合所述鑒權(quán)管理域����。
在判定對(duì)網(wǎng)絡(luò)的鑒權(quán)通過(guò)之后進(jìn)一步包括更新自己設(shè)置的序列號(hào)的步驟���。
序列號(hào)是用于移動(dòng)終端用戶卡鑒權(quán)的序列號(hào)�����?���;蛘撸摲椒ㄟM(jìn)一步包括設(shè)置一個(gè)對(duì)應(yīng)于移動(dòng)終端鑒權(quán)的序列號(hào)的步驟�;步驟b中所述序列號(hào)是所設(shè)置的對(duì)應(yīng)于移動(dòng)終端鑒權(quán)的序列號(hào)。
步驟a中設(shè)置對(duì)應(yīng)于移動(dòng)終端的安全密鑰是設(shè)置對(duì)應(yīng)于移動(dòng)終端用戶卡特征信息的安全密鑰�����。用戶卡特征信息是移動(dòng)終端用戶卡里的移動(dòng)終端用戶標(biāo)識(shí)信息IMSI或移動(dòng)終端用戶卡編號(hào)�。
步驟b之前可以進(jìn)一步包括一個(gè)判斷是否執(zhí)行根據(jù)安全密鑰和鑒權(quán)信息判斷對(duì)網(wǎng)絡(luò)的鑒權(quán)是否通過(guò)的步驟����,如果是,執(zhí)行步驟b����;否則不執(zhí)行終端對(duì)網(wǎng)絡(luò)的鑒權(quán)步驟。
步驟b之前可以進(jìn)一步包括移動(dòng)終端向網(wǎng)絡(luò)設(shè)備發(fā)送觸發(fā)鑒權(quán)的請(qǐng)求消息的步驟�����。
步驟b進(jìn)一步包括根據(jù)安全密鑰和隨機(jī)數(shù)生成期望響應(yīng)��、加密密鑰和完整性密鑰�,并將期望響應(yīng)返回給相應(yīng)的網(wǎng)絡(luò)設(shè)備。
步驟a所述安全密鑰是根據(jù)隨機(jī)數(shù)和用戶卡中的鑒權(quán)密鑰產(chǎn)生的��。
由于移動(dòng)終端在接收到鑒權(quán)信息之后根據(jù)自己保存的安全密鑰和接收到的鑒權(quán)信息直接判斷對(duì)網(wǎng)絡(luò)的鑒權(quán)是否通過(guò),而不同于現(xiàn)有技術(shù)中由用戶卡來(lái)對(duì)網(wǎng)絡(luò)進(jìn)行鑒權(quán)����。如前所述,由于實(shí)現(xiàn)了由移動(dòng)終端自身對(duì)網(wǎng)絡(luò)的鑒權(quán)��,提高了移動(dòng)終端的安全性���,有效防止了移動(dòng)終端被盜搶��。
根據(jù)本發(fā)明的第三個(gè)方面�,一種移動(dòng)通信網(wǎng)絡(luò)中的鑒權(quán)方法至少包括a.預(yù)先在網(wǎng)絡(luò)設(shè)備和移動(dòng)終端中分別設(shè)置一個(gè)對(duì)應(yīng)該移動(dòng)終端的安全密鑰��;b.網(wǎng)絡(luò)設(shè)備根據(jù)安全密鑰和隨機(jī)數(shù)生成對(duì)應(yīng)于所述移動(dòng)終端的鑒權(quán)信息�;c.網(wǎng)絡(luò)設(shè)備將所述鑒權(quán)信息發(fā)送到所述移動(dòng)終端;d.移動(dòng)終端根據(jù)自己設(shè)置的安全密鑰和接收的鑒權(quán)信息判斷對(duì)網(wǎng)絡(luò)的鑒權(quán)是否通過(guò)����。
鑒權(quán)信息包括隨機(jī)數(shù)和鑒權(quán)標(biāo)記,其中鑒權(quán)標(biāo)記至少包括序列號(hào)和消息鑒權(quán)編碼����。
網(wǎng)絡(luò)設(shè)備包括HLR/AUC,步驟b包括HLR/AUC根據(jù)鑒權(quán)密鑰�、自己設(shè)置的序列號(hào)和隨機(jī)數(shù)生成包括隨機(jī)數(shù)�、期望響應(yīng)��、加密密鑰��、完整性密鑰和鑒權(quán)標(biāo)記的鑒權(quán)集��。
網(wǎng)絡(luò)設(shè)備進(jìn)一步包括MSC/VLR���,步驟b包括HLR/AUC將所述鑒權(quán)集發(fā)送到MSC/VLR���。網(wǎng)絡(luò)設(shè)備將所述鑒權(quán)信息發(fā)送到所述移動(dòng)終端為MSC/VLR將鑒權(quán)集中的隨機(jī)數(shù)和鑒權(quán)標(biāo)記作為鑒權(quán)信息發(fā)送給移動(dòng)終端�����。
較佳地���,步驟d之后進(jìn)一步包括移動(dòng)終端將隨機(jī)數(shù)發(fā)送給用戶卡��,用戶卡根據(jù)自己設(shè)置的鑒權(quán)密鑰和接收的隨機(jī)數(shù)生成期望響應(yīng)和加密密鑰�����;用戶卡將期望響應(yīng)發(fā)送給移動(dòng)終端��,移動(dòng)終端再將期望響應(yīng)發(fā)送給MSC/VLR�����;MSC/VLR比較接收自移動(dòng)終端的期望響應(yīng)和接收自HLR/AUC的對(duì)應(yīng)的鑒權(quán)集中的期望響應(yīng)是否一致��,如果一致�,網(wǎng)絡(luò)對(duì)移動(dòng)終端的鑒權(quán)通過(guò);否則網(wǎng)絡(luò)對(duì)移動(dòng)終端的鑒權(quán)不通過(guò)���。
用戶卡在生成期望響應(yīng)和加密密鑰的同時(shí)進(jìn)一步生成完整性密鑰����,所述方法進(jìn)一步包括用戶卡將所述完整性密鑰發(fā)送給移動(dòng)終端���。
該方法進(jìn)一步包括移動(dòng)終端根據(jù)加密密鑰生成完整性密鑰�����。
在移動(dòng)終端將隨機(jī)數(shù)發(fā)送給用戶卡的同時(shí)進(jìn)一步包括發(fā)送鑒權(quán)標(biāo)記的步驟����。
該方法進(jìn)一步包括設(shè)置鑒權(quán)標(biāo)記為一個(gè)預(yù)定值,用戶卡在接收到鑒權(quán)標(biāo)記之后進(jìn)一步包括判斷鑒權(quán)標(biāo)記是否是預(yù)定值����,如果是,執(zhí)行生成期望響應(yīng)和加密密鑰的步驟�����;否則��,用戶卡判斷對(duì)網(wǎng)絡(luò)的鑒權(quán)是否通過(guò)�����。
所述網(wǎng)絡(luò)設(shè)備包括HLR/AUC��,步驟b包括HLR/AUC根據(jù)安全密鑰��、自己設(shè)置的序列號(hào)和隨機(jī)數(shù)生成包括隨機(jī)數(shù)�、期望響應(yīng)�、加密密鑰、完整性密鑰和鑒權(quán)標(biāo)記的鑒權(quán)集����。
所述網(wǎng)絡(luò)設(shè)備進(jìn)一步包括MSC/VLR,步驟b包括HLR/AUC將所述鑒權(quán)集發(fā)送到MSC/VLR����。所述網(wǎng)絡(luò)設(shè)備將所述鑒權(quán)信息發(fā)送到所述移動(dòng)終端為MSC/VLR將鑒權(quán)集中的隨機(jī)數(shù)和鑒權(quán)標(biāo)記作為鑒權(quán)信息發(fā)送給移動(dòng)終端��。
步驟d之后可以進(jìn)一步包括移動(dòng)終端根據(jù)自己設(shè)置的安全密鑰和接收的隨機(jī)數(shù)生成期望響應(yīng)和加密密鑰���;并將期望響應(yīng)發(fā)送給MSC/VLR;MSC/VLR比較接收自移動(dòng)終端的期望響應(yīng)和接收自HLR/AUC的對(duì)應(yīng)的鑒權(quán)集中的期望響應(yīng)是否一致�����,如果一致����,網(wǎng)絡(luò)對(duì)移動(dòng)終端的鑒權(quán)通過(guò);否則網(wǎng)絡(luò)對(duì)移動(dòng)終端的鑒權(quán)不通過(guò)�。
如前所述,由于結(jié)合了第一方面和第二方面����,因此實(shí)現(xiàn)了由移動(dòng)終端自身對(duì)網(wǎng)絡(luò)的鑒權(quán),提高了移動(dòng)終端的安全性����,有效防止了移動(dòng)終端被盜搶。進(jìn)一步,移動(dòng)終端還可以將期望響應(yīng)發(fā)送給MSC/VLR���,MSC/VLR比較接收自移動(dòng)終端的期望響應(yīng)和接收自HLR/AUC的期望響應(yīng)是否一致�����,從而在實(shí)現(xiàn)移動(dòng)終端對(duì)網(wǎng)絡(luò)的鑒權(quán)之后還可以由網(wǎng)絡(luò)對(duì)移動(dòng)終端進(jìn)行鑒權(quán)�,進(jìn)一步完善了鑒權(quán)處理��,提高了鑒權(quán)效果�����。
圖1是根據(jù)本發(fā)明的網(wǎng)絡(luò)設(shè)備生成鑒權(quán)信息的總體流程圖���。
圖2是根據(jù)本發(fā)明的網(wǎng)絡(luò)設(shè)備生成鑒權(quán)信息的一個(gè)具體實(shí)施例的流程圖��。
圖3是根據(jù)本發(fā)明的移動(dòng)終端對(duì)網(wǎng)絡(luò)進(jìn)行鑒權(quán)的總體流程圖�����。
圖4是根據(jù)本發(fā)明的移動(dòng)終端對(duì)網(wǎng)絡(luò)進(jìn)行鑒權(quán)的一個(gè)具體實(shí)施例的流程圖。
圖5是根據(jù)本發(fā)明的整體鑒權(quán)操作的流程圖�����。
圖6是根據(jù)本發(fā)明的整體鑒權(quán)操作的一個(gè)具體實(shí)施例的流程圖。
圖7是圖6中進(jìn)一步包括了網(wǎng)絡(luò)對(duì)終端進(jìn)行鑒權(quán)的一種處理過(guò)程的流程圖��。
圖8是根據(jù)本發(fā)明的整體鑒權(quán)操作的另一個(gè)具體實(shí)施例的流程圖����。
具體實(shí)施例方式
下面結(jié)合附圖和具體實(shí)施例對(duì)本發(fā)明進(jìn)行詳細(xì)說(shuō)明。
圖1示出了根據(jù)本發(fā)明的網(wǎng)絡(luò)設(shè)備生成鑒權(quán)信息的總體流程圖���。如圖1所示���,在步驟101,首先在網(wǎng)絡(luò)設(shè)備中設(shè)置一個(gè)對(duì)應(yīng)移動(dòng)終端的安全密鑰(SKEY)���。
這里設(shè)置對(duì)應(yīng)移動(dòng)終端的SKEY可以是設(shè)置對(duì)應(yīng)移動(dòng)終端特征信息的SKEY�����,例如設(shè)置對(duì)應(yīng)于IMEI的SKEY�;也可以是設(shè)置對(duì)應(yīng)于移動(dòng)終端用戶簽約信息����,或者說(shuō)是移動(dòng)終端用戶卡特征信息的SKEY��,例如是對(duì)應(yīng)于IMSI的SKEY�����,或者是對(duì)應(yīng)于移動(dòng)終端用戶卡編號(hào)的SKEY���,或者是對(duì)應(yīng)于移動(dòng)電話號(hào)碼MSISDN的SKEY。
在步驟102���,網(wǎng)絡(luò)設(shè)備在針對(duì)某一個(gè)移動(dòng)終端生成鑒權(quán)信息時(shí)���,首先產(chǎn)生一個(gè)隨機(jī)數(shù)(RAND)。
在步驟103��,網(wǎng)絡(luò)設(shè)備利用對(duì)應(yīng)該移動(dòng)終端的SKEY和產(chǎn)生的RAND生成鑒權(quán)信息����。
在本發(fā)明中,鑒權(quán)信息包括隨機(jī)數(shù)和鑒權(quán)標(biāo)記(AUTN)�����。鑒權(quán)標(biāo)記可以至少包括序列號(hào)(SQN)和消息鑒權(quán)編碼(MAC)����,并且可以進(jìn)一步包括鑒權(quán)管理域(AMF)。鑒權(quán)管理域和序列號(hào)是在網(wǎng)絡(luò)設(shè)備中預(yù)先設(shè)定的���,而不是根據(jù)SKEY和RAND得到的�����,在生成鑒權(quán)信息的過(guò)程中��,會(huì)生成AUTN中的MAC����,而將已有的SQN和AMF與計(jì)算得到的MAC組合在一起即構(gòu)成了AUTN�����。
本發(fā)明由網(wǎng)絡(luò)設(shè)備生成鑒權(quán)信息在具體實(shí)現(xiàn)上可以包括兩個(gè)階段第一階段由HLR/AUC生成包括鑒權(quán)信息和其他信息的鑒權(quán)集����,然后將鑒權(quán)集發(fā)送給MSC/VLR;第二階段�,由MSC/VLR將鑒權(quán)集中的鑒權(quán)信息提取出來(lái)發(fā)送給移動(dòng)終端。其具體流程如圖2所示����。
這里的鑒權(quán)集中除了RAND和AUTN之外�,還包括期望響應(yīng)(XRES)�、加密密鑰(CK)和完整性密鑰(IK)。其他三個(gè)參數(shù)發(fā)送到MSC/VLR之后由MSC/VLR保存��,其中XRES用來(lái)在MSC/VLR對(duì)移動(dòng)終端進(jìn)行鑒權(quán)時(shí)使用�,CK用于數(shù)據(jù)加解密,IK用于數(shù)據(jù)完整性驗(yàn)證��,以及產(chǎn)生數(shù)據(jù)的驗(yàn)證摘要信息�。本發(fā)明將在后面對(duì)此進(jìn)行說(shuō)明。
上述SKEY可以是根據(jù)一個(gè)隨機(jī)數(shù)和鑒權(quán)密鑰產(chǎn)生���。比如����,移動(dòng)終端和網(wǎng)絡(luò)側(cè)相關(guān)設(shè)備協(xié)商產(chǎn)生SKEY時(shí)�,可以由其中的一方產(chǎn)生一個(gè)隨機(jī)數(shù),并將該隨機(jī)數(shù)發(fā)送給另一方���,網(wǎng)絡(luò)側(cè)根據(jù)該隨機(jī)數(shù)和自己保存的對(duì)應(yīng)于該移動(dòng)終端用戶卡的鑒權(quán)密鑰進(jìn)行一定的計(jì)算���,比如是一個(gè)摘要計(jì)算�,得到一個(gè)計(jì)算結(jié)果�,并將該計(jì)算結(jié)果作為SKEY。相應(yīng)地�����,移動(dòng)終端根據(jù)隨機(jī)數(shù)和用戶卡中的KI進(jìn)行相應(yīng)的計(jì)算得到一個(gè)計(jì)算結(jié)果��,將該計(jì)算結(jié)果作為SKEY保存在移動(dòng)終端���,比如移動(dòng)終端將隨機(jī)數(shù)傳送給用戶卡,用戶卡根據(jù)隨機(jī)數(shù)和KI進(jìn)行相應(yīng)的計(jì)算得到移動(dòng)終端需要的SKEY并發(fā)送給移動(dòng)終端�。上述摘要計(jì)算算法可以根據(jù)實(shí)際應(yīng)用進(jìn)行選擇。通過(guò)隨機(jī)數(shù)和鑒權(quán)密鑰產(chǎn)生安全密鑰SKEY�,可以保證SKEY本身不需要在網(wǎng)絡(luò)設(shè)備和終端之間傳送,保證了SKEY的安全性���。同時(shí)�,這種方法有助于使用終端完全替代用戶卡完成與網(wǎng)絡(luò)進(jìn)行相互鑒權(quán)�。
如圖2所示,在步驟201����,首先在HLR/AUC中保存對(duì)應(yīng)移動(dòng)終端的SKEY�����。
在步驟202���,HLR/AUC利用自己的隨機(jī)數(shù)發(fā)生器產(chǎn)生一個(gè)RAND。
在步驟203�����,HLR/AUC利用自己保存的鑒權(quán)密鑰(KI)和自己產(chǎn)生的RAND計(jì)算得到XRES����、CK和IK。
在步驟204���,HLR/AUC利用預(yù)先設(shè)置的對(duì)應(yīng)移動(dòng)終端的SKEY以及RAND和SQN生成MAC��。這里的SQN是當(dāng)前已知的��,例如是預(yù)先設(shè)置好的�。
在步驟205��,HLR/AUC將步驟204生成的MAC以及已知的SQN組合成AUTN。
在步驟206�����,HLR/AUC將RAND����、步驟205得到的AUTN、步驟203得到的XRES�����、CK和IK組成一個(gè)該移動(dòng)終端的鑒權(quán)集��。
在步驟207�,HLR/AUC將鑒權(quán)集發(fā)送給MSC/VLR�。
在步驟208,鑒權(quán)時(shí)�,MSC/VLR在該移動(dòng)終端的相應(yīng)的鑒權(quán)集中提取出RAND和AUTN,作為本發(fā)明的鑒權(quán)信息發(fā)送給移動(dòng)終端��。
本步驟可以是移動(dòng)終端向網(wǎng)絡(luò)側(cè)發(fā)送一個(gè)觸發(fā)信息開(kāi)始的��。實(shí)際當(dāng)中��,在移動(dòng)終端發(fā)起位置更新請(qǐng)求,或業(yè)務(wù)請(qǐng)求時(shí)����,MSC/VLR會(huì)對(duì)終端發(fā)起鑒權(quán)請(qǐng)求,比如在移動(dòng)終端開(kāi)機(jī)登陸網(wǎng)絡(luò)時(shí)MSC/VLR會(huì)向終端發(fā)起鑒權(quán)請(qǐng)求�。當(dāng)然,這里也可以將移動(dòng)終端發(fā)起位置更新請(qǐng)求�,或業(yè)務(wù)請(qǐng)求理解為包含了觸發(fā)鑒權(quán)的請(qǐng)求消息,MSC/VLR在接受到這些請(qǐng)求時(shí)向終端發(fā)送鑒權(quán)信息�����。
本步驟可以是網(wǎng)絡(luò)側(cè)主動(dòng)發(fā)起��,比如���,網(wǎng)絡(luò)側(cè)在移動(dòng)終端很久沒(méi)有發(fā)起相關(guān)請(qǐng)求時(shí)�����,出動(dòng)發(fā)起一個(gè)鑒權(quán)流程���,這種情況下不需要移動(dòng)終端的觸發(fā)消息。
在AUTN包括AMF的情況下���,在步驟204中進(jìn)一步考慮AMF��,比如利用SKEY����、RAND、SQN和AMF生成MAC���,其中AMF也是當(dāng)前已知的�,比如�����,預(yù)先設(shè)置好的���。在步驟205中同樣進(jìn)一步考慮AMF,也就是將MAC��、SQN和AMF共同組合成AUTN����。
這里,在步驟204之前可以進(jìn)一步包括一個(gè)判斷是否執(zhí)行根據(jù)SKEY生成鑒權(quán)信息的步驟�����,如果是,執(zhí)行步驟204�;否則按照現(xiàn)有流程直接根據(jù)鑒權(quán)密鑰和隨機(jī)數(shù)生成鑒權(quán)信息,例如使用KI�����、RAND�����、SQN和AMF生成MAC�,然后組合成AUTN并進(jìn)一步組合成鑒權(quán)集。
判斷是否執(zhí)行根據(jù)SKEY生成鑒權(quán)信息可以是預(yù)先設(shè)置一個(gè)安全標(biāo)志����,如果該安全標(biāo)志是表示需要根據(jù)SKEY生成鑒權(quán)信息的值,例如1�����,則意味著需要根據(jù)SKEY生成鑒權(quán)信息����,如果安全標(biāo)志是表示不需要根據(jù)SKEY生成鑒權(quán)信息的值�,例如0���,則意味著不需要根據(jù)SKEY生成鑒權(quán)信息��。
可替代地�����,判斷是否執(zhí)行根據(jù)SKEY生成鑒權(quán)信息可以是判斷SKEY是否是一個(gè)特定值��,例如是0���,如果是,則表示不需要根據(jù)SKEY生成鑒權(quán)信息��,如果不是0而是其他任意值�,則表示需要根據(jù)SKEY生成鑒權(quán)信息。
在上述方法中��,HLR/AUC每產(chǎn)生一次鑒權(quán)集之后就對(duì)SQN進(jìn)行一次更新���,換句話說(shuō),每個(gè)鑒權(quán)集都具有不同的SQN��。對(duì)于SQN的更新,可以按照一定的算法進(jìn)行�����,算法根據(jù)原有的SQN生成新的SQN����。具體可以參考3GPP 33.102/29.002的相關(guān)協(xié)議規(guī)定。
在現(xiàn)有技術(shù)中�,HLR/AUC和移動(dòng)終端中的用戶卡都會(huì)保存一個(gè)SQN,并且在執(zhí)行鑒權(quán)處理之前需要保證兩個(gè)SQN進(jìn)行同步�����。本發(fā)明的SQN可以使用和現(xiàn)有技術(shù)相同的SQN�,即用于用戶卡鑒權(quán)的SQN,也即網(wǎng)絡(luò)和用戶卡對(duì)應(yīng)保存的SQN�,具體可以參考3GPP 33.102/29.002的相關(guān)協(xié)議規(guī)定。但是較佳地���,本發(fā)明另外單獨(dú)設(shè)置一個(gè)專(zhuān)門(mén)用于移動(dòng)終端鑒權(quán)的SQN�����,并且移動(dòng)終端和HLR/AUC也會(huì)對(duì)該SQN進(jìn)行同步處理���。當(dāng)然可以理解���,單獨(dú)設(shè)置的SQN和用戶卡中保存的SQN可以取相同的值。
一般地����,步驟207中HLR/AUC向MSC/VLR發(fā)送鑒權(quán)集是在接收到來(lái)自MSC/VLR的請(qǐng)求鑒權(quán)集消息后進(jìn)行,或者在需要刷新MSC/VLR中保存的鑒權(quán)集時(shí)進(jìn)行��。在向MSC/VLR發(fā)送鑒權(quán)集之前�,HLR/AUC一般會(huì)生成多個(gè)鑒權(quán)集,這樣在接收到來(lái)自MSC/VLR的獲取鑒權(quán)集的請(qǐng)求消息之后�����,可以一次只向MSC/VLR發(fā)送一個(gè)鑒權(quán)集�����,也可以將多個(gè)鑒權(quán)集一起發(fā)送給MSC/VLR����,比如����,一次發(fā)送三個(gè)鑒權(quán)集到MSC/VLR����,當(dāng)然��,MSC/VLR的請(qǐng)求獲取鑒權(quán)集的請(qǐng)求消息中可以進(jìn)一步包括需要HLR/AUC返回的鑒權(quán)集的數(shù)量���,HLR/AUC根據(jù)MSC/VLR的請(qǐng)求和自己當(dāng)前保存的鑒權(quán)集的數(shù)量來(lái)決定返回給MSC/VLR的鑒權(quán)集數(shù)量�����,比如�����,HLR/AUC產(chǎn)生了5個(gè)鑒權(quán)集��,MSC/VLR請(qǐng)求3個(gè)鑒權(quán)集����,則HLR/AUC向MSC/VLR返回3個(gè)���,如果HLR/AUC產(chǎn)生了2個(gè)鑒權(quán)集����,MSC/VLR請(qǐng)求3個(gè)鑒權(quán)集,則HLR/AUC向MSC/VLR返回2個(gè)鑒權(quán)集��。
MSC/VLR在鑒權(quán)時(shí)�,比如是在接收到來(lái)自移動(dòng)終端的觸發(fā)鑒權(quán)的請(qǐng)求消息后,或者需要對(duì)移動(dòng)終端進(jìn)行鑒權(quán)時(shí)�����,會(huì)從保存的該終端的鑒權(quán)集中取出一個(gè)鑒權(quán)集���,將其中包含的RAND和AUTN等鑒權(quán)信息發(fā)送給終端�。如果MSC/VLR在取鑒權(quán)集時(shí)�����,發(fā)現(xiàn)從HLR/AUC發(fā)送來(lái)的鑒權(quán)集已經(jīng)用完�����,則MSC/VLR會(huì)向HLR/AUC發(fā)送獲取鑒權(quán)集的命令����。
實(shí)際當(dāng)中����,上述計(jì)算鑒權(quán)集操作可以是在AUC中完成����,AUC將計(jì)算得到的鑒權(quán)集發(fā)送給HLR臨時(shí)保存���,HLR在接收到MSC/VLR請(qǐng)求鑒權(quán)集的請(qǐng)求消息時(shí)��,或者在需要刷新MSC/VLR中保存的鑒權(quán)集時(shí)����,將一個(gè)或多個(gè)鑒權(quán)集發(fā)送給MSC/VLR保存�����。由于實(shí)際當(dāng)中�����,HLR和AUC一般會(huì)集成在一起�,因此,本發(fā)明里稱(chēng)為HLR/AUC。
相應(yīng)地�����,MSC/VLR是移動(dòng)交換中心和拜訪位置寄存器模塊的統(tǒng)稱(chēng)���,實(shí)際當(dāng)中��,對(duì)于鑒權(quán)集的保存��、向HLR請(qǐng)求鑒權(quán)集�、以及對(duì)終端的鑒權(quán)判斷等操作可以由VLR來(lái)實(shí)現(xiàn)�。因?yàn)閂LR一般被實(shí)現(xiàn)為MSC的一個(gè)模塊,因此���,本發(fā)明里將MSC和VLR統(tǒng)稱(chēng)為MSC/VLR�����。
在上面步驟203中����,也可以是HLR/AUC利用自己保存的鑒權(quán)密鑰(KI)和自己產(chǎn)生的RAND計(jì)算得到XRES�����、CK和IK。實(shí)際當(dāng)中��,也可以是HLR/AUC利用自己保存的SKEY和自己產(chǎn)生的RAND計(jì)算得到XRES����、CK和IK���。這種情況下�,實(shí)現(xiàn)了終端完全替代用戶卡來(lái)完成和網(wǎng)絡(luò)的相互鑒權(quán)過(guò)程��。這種情況下�,較理想的做法是,要求終端的安全密鑰SKEY是根據(jù)鑒權(quán)密鑰KI產(chǎn)生���。
在設(shè)置SKEY后�,可以進(jìn)一步包括����,更新MSC/VLR中保存的鑒權(quán)集的步驟。SKEY設(shè)置后����,原來(lái)根據(jù)原有的SKEY產(chǎn)生的鑒權(quán)集中的鑒權(quán)信息失效��,因此��,需要重新生成鑒權(quán)集并更新MSC/VLR中保存的鑒權(quán)集�����。
如果專(zhuān)門(mén)為移動(dòng)終端鑒權(quán)設(shè)置了SQN����,則�����,在設(shè)置SKEY之后���,可以重新初始化該專(zhuān)門(mén)為移動(dòng)終端鑒權(quán)設(shè)置的SQN�。當(dāng)然�����,保持該SQN不變也是可行的�����。
上述說(shuō)明了網(wǎng)絡(luò)設(shè)備側(cè)生成鑒權(quán)信息的處理,在網(wǎng)絡(luò)設(shè)備生成鑒權(quán)信息之后會(huì)將該鑒權(quán)信息發(fā)送到對(duì)應(yīng)的移動(dòng)終端����,下面說(shuō)明移動(dòng)終端接收到該鑒權(quán)信息之后所進(jìn)行的處理。
圖3示出了移動(dòng)通信網(wǎng)絡(luò)中移動(dòng)終端對(duì)通信網(wǎng)絡(luò)進(jìn)行鑒權(quán)的總體方法流程�。如圖3所示,在步驟301���,移動(dòng)終端首先設(shè)置一個(gè)SKEY,這里的SKEY和網(wǎng)絡(luò)設(shè)備側(cè)設(shè)置并保存的對(duì)應(yīng)于自己的SKEY一般是相同的�����。
在步驟302�����,移動(dòng)終端在接收到來(lái)自網(wǎng)絡(luò)設(shè)備側(cè)的鑒權(quán)信息之后��,根據(jù)該鑒權(quán)信息和自己保存的SKEY判斷對(duì)網(wǎng)絡(luò)的鑒權(quán)是否通過(guò)����,如果通過(guò)��,在步驟303可以正常接入網(wǎng)絡(luò)����,如果未通過(guò)�,則認(rèn)定自己非法,在步驟304停止自己的正常使用�����。
這里停止自己的正常使用可以是不允許自己接入網(wǎng)絡(luò)���,或者直接斷電或關(guān)機(jī)等���,并且還可以配合例如發(fā)送短消息通知親友或安全機(jī)關(guān)等操作。
對(duì)于圖2所示的情況��,移動(dòng)終端對(duì)網(wǎng)絡(luò)進(jìn)行鑒權(quán)的一個(gè)具體實(shí)施例示于圖4����。
在圖4的步驟401,移動(dòng)終端首先保存一個(gè)SKEY���,這里的SKEY和網(wǎng)絡(luò)設(shè)備側(cè)保存的對(duì)應(yīng)于自己的SKEY是一致的��。一般來(lái)說(shuō)��,終端和網(wǎng)絡(luò)側(cè)分別保存的是一對(duì)對(duì)稱(chēng)密鑰�����,通常情況下這對(duì)對(duì)稱(chēng)密鑰相同��。
在步驟402�����,移動(dòng)終端在接收到來(lái)自MSC/VLR的RAND和AUTN之后�����,首先判斷AUTN是否可以接受����,判斷AUTN是否可以接受是通過(guò)判斷其中的SQN來(lái)完成的�。移動(dòng)終端和網(wǎng)絡(luò)側(cè)會(huì)預(yù)先保存一個(gè)同步的SQN,這樣�,終端在接收到網(wǎng)絡(luò)側(cè)的鑒權(quán)信息時(shí),會(huì)通過(guò)比較自己保存的SQN和AUTN中的SQN是否滿足預(yù)定的條件來(lái)判斷AUTN是否可以接受�����,該預(yù)定條件可以是AUTN中的SQN和移動(dòng)終端自己保存的SQN的差值在一個(gè)預(yù)定范圍內(nèi)。如果移動(dòng)終端判斷AUTN中的SQN和自己保存的SQN的差值在所述預(yù)定范圍內(nèi)�,則判定AUTN是可接受的,繼續(xù)執(zhí)行步驟403�����;否則判定AUTN是不可接受的�,直接在步驟405判定對(duì)網(wǎng)絡(luò)的鑒權(quán)失敗。
在步驟403�����,移動(dòng)終端根據(jù)自己的SKEY和接收的RAND�、SQN計(jì)算得到一個(gè)MAC值,并比較自己計(jì)算得到的MAC值和AUTN中的MAC值是否一致�,如果一致,則在步驟404判定對(duì)網(wǎng)絡(luò)的鑒權(quán)通過(guò)����;否則在步驟405判定對(duì)網(wǎng)絡(luò)的鑒權(quán)失敗。
移動(dòng)終端判定對(duì)網(wǎng)絡(luò)的鑒權(quán)通過(guò)后��,使用接收的AUTN中的SQN更新自己保存的SQN。
在AUTN包括AMF的情況下����,在步驟403中進(jìn)一步考慮AMF,比如利用自己的SKEY�、接收的RAND、SQN和AMF生成MAC值��,其中SQN和AMF是AUTN中攜帶的��。
這里���,在步驟402之前可以進(jìn)一步包括一個(gè)判斷是否執(zhí)行根據(jù)SKEY對(duì)網(wǎng)絡(luò)進(jìn)行鑒權(quán)的步驟�����,如果是����,執(zhí)行步驟402�;否則按照現(xiàn)有流程將RAND發(fā)送給用戶卡���,由用戶卡對(duì)網(wǎng)絡(luò)進(jìn)行鑒權(quán)���。
判斷是否執(zhí)行根據(jù)SKEY對(duì)網(wǎng)絡(luò)進(jìn)行鑒權(quán)可以是預(yù)先設(shè)置一個(gè)安全標(biāo)志���,如果該安全標(biāo)志是表示需要根據(jù)SKEY對(duì)網(wǎng)絡(luò)進(jìn)行鑒權(quán)的值,例如1�����,則意味著需要根據(jù)SKEY對(duì)網(wǎng)絡(luò)進(jìn)行鑒權(quán)���,如果安全標(biāo)志是表示不需要根據(jù)SKEY對(duì)網(wǎng)絡(luò)進(jìn)行鑒權(quán)的值�,例如0�����,則意味著不需要根據(jù)SKEY對(duì)網(wǎng)絡(luò)進(jìn)行鑒權(quán)���。
可替代地�����,判斷是否執(zhí)行根據(jù)SKEY對(duì)網(wǎng)絡(luò)進(jìn)行鑒權(quán)可以是判斷SKEY是否是一個(gè)特定值���,例如是0,如果是,則表示不需要根據(jù)SKEY對(duì)網(wǎng)絡(luò)進(jìn)行鑒權(quán)�,如果不是0而是其他任意值,則表示需要根據(jù)SKEY對(duì)網(wǎng)絡(luò)進(jìn)行鑒權(quán)�。
同樣,這里的SQN可以使用和現(xiàn)有技術(shù)相同的SQN��,即用于用戶卡鑒權(quán)的SQN�����,也即網(wǎng)絡(luò)和用戶卡對(duì)應(yīng)保存的SQN����,具體可以參考3GPP33.102/29.002的相關(guān)協(xié)議規(guī)定。但是較佳地�,本發(fā)明另外單獨(dú)設(shè)置一個(gè)專(zhuān)門(mén)用于移動(dòng)終端鑒權(quán)的SQN,并且移動(dòng)終端和HLR/AUC也會(huì)對(duì)該SQN進(jìn)行同步處理���。當(dāng)然可以理解�����,單獨(dú)設(shè)置的SQN和用戶卡中保存的SQN可以取相同的值��。
由于移動(dòng)終端中保存的SKEY和網(wǎng)絡(luò)設(shè)備保存的SKEY一致,比如相同,因此����,在移動(dòng)終端中的SKEY可以是對(duì)應(yīng)于用戶卡的編號(hào)或IMSI來(lái)保存的SKEY。當(dāng)然��,當(dāng)移動(dòng)終端僅僅支持一個(gè)用戶卡時(shí)��,該SKEY可以直接保存在移動(dòng)終端����,而不是按照支持的用戶卡的編號(hào)或IMSI來(lái)保存。當(dāng)移動(dòng)終端支持多于一個(gè)用戶卡時(shí)�����,對(duì)應(yīng)于用戶卡的編號(hào)或IMSI來(lái)保存的SKEY時(shí)��,移動(dòng)終端可以根據(jù)當(dāng)前用戶卡的編號(hào)或IMSI來(lái)選擇使用哪個(gè)SKEY來(lái)對(duì)網(wǎng)絡(luò)進(jìn)行鑒權(quán)�����。由于支持多卡的情況是本發(fā)明的一個(gè)擴(kuò)展應(yīng)用例子��,本領(lǐng)域人員根據(jù)本發(fā)明思想很容易開(kāi)發(fā)具體的應(yīng)用�����,因此,這里不再對(duì)其進(jìn)行詳細(xì)描述�。
上面分別說(shuō)明了網(wǎng)絡(luò)側(cè)設(shè)備生成鑒權(quán)信息的流程和移動(dòng)終端側(cè)對(duì)網(wǎng)絡(luò)進(jìn)行鑒權(quán)的流程。下面根據(jù)圖5說(shuō)明本發(fā)明的移動(dòng)通信網(wǎng)絡(luò)中的鑒權(quán)方法的流程����。
如圖5所示,在步驟501���,首先在網(wǎng)絡(luò)設(shè)備和移動(dòng)終端中同時(shí)設(shè)置一個(gè)對(duì)應(yīng)移動(dòng)終端鑒權(quán)的SKEY����。當(dāng)然�����,這里網(wǎng)絡(luò)側(cè)設(shè)備設(shè)置的SKEY可以是對(duì)應(yīng)移動(dòng)終端特征信息來(lái)設(shè)置的SKEY�����,也可以是對(duì)應(yīng)于用戶卡的IMSI來(lái)設(shè)置的SKEY��。網(wǎng)絡(luò)側(cè)設(shè)備也可以根據(jù)用戶的移動(dòng)終端號(hào)碼MSISDN來(lái)設(shè)置SKEY����。
在步驟502��,網(wǎng)絡(luò)設(shè)備在針對(duì)某一個(gè)移動(dòng)終端生成鑒權(quán)信息時(shí),首先產(chǎn)生一個(gè)RAND���。
在步驟503���,網(wǎng)絡(luò)設(shè)備利用對(duì)應(yīng)該移動(dòng)終端的SKEY和產(chǎn)生的RAND生成鑒權(quán)信息。
在步驟504�,網(wǎng)絡(luò)設(shè)備將鑒權(quán)信息發(fā)送到對(duì)應(yīng)的移動(dòng)終端。
在步驟505�,移動(dòng)終端在接收到來(lái)自網(wǎng)絡(luò)設(shè)備側(cè)的鑒權(quán)信息之后,根據(jù)該鑒權(quán)信息和自己保存的SKEY判斷對(duì)網(wǎng)絡(luò)的鑒權(quán)是否通過(guò)��,如果通過(guò)����,在步驟506可以正常接入網(wǎng)絡(luò),如果未通過(guò)��,則認(rèn)定自己非法����,在步驟507停止自己的正常使用����。
移動(dòng)終端判定對(duì)網(wǎng)絡(luò)的鑒權(quán)通過(guò)后��,使用接收的AUTN中的SQN更新自己保存的SQN�。
下面結(jié)合圖2和圖4的具體實(shí)施例說(shuō)明完整的鑒權(quán)方法。如圖6所示����,在步驟601,首先在HLR/AUC和移動(dòng)終端中同時(shí)保存對(duì)應(yīng)移動(dòng)終端鑒權(quán)的SKEY�。
在步驟602,HLR/AUC利用自己的隨機(jī)數(shù)發(fā)生器產(chǎn)生一個(gè)RAND�����。
在步驟603��,HLR/AUC利用自己保存的鑒權(quán)密鑰(KI)和自己產(chǎn)生的RAND計(jì)算得到XRES�����、CK和IK��。
在步驟604�����,HLR/AUC利用預(yù)先保存的對(duì)應(yīng)移動(dòng)終端的SKEY以及RAND和SQN生成MAC。這里的SQN是當(dāng)前已知的��,比如��,預(yù)先設(shè)置好的�。
在步驟605����,HLR/AUC將MAC以及已知的SQN組合成AUTN。
在AUTN包括AMF的情況下�����,在步驟604中進(jìn)一步考慮AMF���,比如利用SKEY�����、RAND���、SQN和AMF生成MAC�����,其中AMF也是預(yù)先設(shè)置的��。在步驟605中同樣進(jìn)一步考慮AMF��,也就是將MAC��、SQN和AMF共同組合成AUTN���。
在步驟606,HLR/AUC將RAND��、AUTN����、XRES、CK和IK組成一個(gè)鑒權(quán)集��。
在步驟607�����,HLR/AUC將該鑒權(quán)集發(fā)送給MSC/VLR。
在步驟608�����,鑒權(quán)時(shí)��,MSC/VLR在該移動(dòng)終端的相應(yīng)的鑒權(quán)集中提取出RAND和AUTN��,作為本發(fā)明的鑒權(quán)信息發(fā)送給移動(dòng)終端�。
本步驟可以是移動(dòng)終端向網(wǎng)絡(luò)側(cè)發(fā)送一個(gè)觸發(fā)信息開(kāi)始的。實(shí)際當(dāng)中�,在移動(dòng)終端發(fā)起位置更新請(qǐng)求,或業(yè)務(wù)請(qǐng)求時(shí)�����,MSC/VLR會(huì)對(duì)終端發(fā)起鑒權(quán)請(qǐng)求����,比如在移動(dòng)終端開(kāi)機(jī)登陸網(wǎng)絡(luò)時(shí)MSC/VLR會(huì)向終端發(fā)起鑒權(quán)請(qǐng)求��。
本步驟可以是網(wǎng)絡(luò)側(cè)主動(dòng)發(fā)起���,比如��,網(wǎng)絡(luò)側(cè)在移動(dòng)終端很久沒(méi)有發(fā)起相關(guān)請(qǐng)求時(shí)��,出動(dòng)發(fā)起一個(gè)鑒權(quán)流程��。
在步驟609�,移動(dòng)終端在接收到來(lái)自MSC/VLR的RAND和AUTN之后,首先判斷AUTN是否可以接受����,比如判斷AUTN中的SQN和自己保存的SQN的差值是否在一個(gè)預(yù)定范圍內(nèi),如果是,判定AUTN是可接受的����,繼續(xù)執(zhí)行步驟610����;否則判定AUTN是不可接受的,直接在步驟612判定對(duì)網(wǎng)絡(luò)的鑒權(quán)失敗�����,這種情況下����,移動(dòng)終端可以向網(wǎng)絡(luò)側(cè)發(fā)送一個(gè)同步SQN的同步命令,通過(guò)同步流程,使終端和網(wǎng)絡(luò)對(duì)應(yīng)保存的SQN同步��。關(guān)于SQN同步流程��,可以參考現(xiàn)有技術(shù)中關(guān)于SQN同步的描述����,參見(jiàn)3GPP33.102/29.002相關(guān)協(xié)議,在此不再贅述��。
在步驟610����,移動(dòng)終端根據(jù)自己的SKEY和接收的RAND、SQN計(jì)算得到一個(gè)MAC值���,并比較自己計(jì)算得到的MAC值和AUTN中的MAC值是否一致�����,如果一致,則在步驟611判定對(duì)網(wǎng)絡(luò)的鑒權(quán)通過(guò)�����;否則在步驟612判定對(duì)網(wǎng)絡(luò)的鑒權(quán)失敗�。
移動(dòng)終端判定對(duì)網(wǎng)絡(luò)的鑒權(quán)通過(guò)后��,使用接收的的AUTN中的SQN更新自己保存的SQN��。
在AUTN包括AMF的情況下����,在步驟610中進(jìn)一步考慮AMF�,比如利用自己的SKEY��、接收的RAND、SQN和AMF生成MAC值���,其中SQN和AMF是AUTN中攜帶的。
上述說(shuō)明了本發(fā)明的移動(dòng)終端對(duì)網(wǎng)絡(luò)進(jìn)行鑒權(quán)的處理�����,本發(fā)明還可以進(jìn)一步包括由網(wǎng)絡(luò)對(duì)移動(dòng)終端進(jìn)行鑒權(quán)的處理�����,也就是在步驟611之后��,繼續(xù)執(zhí)行網(wǎng)絡(luò)對(duì)終端進(jìn)行鑒權(quán)的后續(xù)步驟���。
如圖7所示,步驟701-712和步驟601-612完全相同�����,不再重復(fù)說(shuō)明�,并且在圖中使用一個(gè)字母A替代。
在步驟713�����,移動(dòng)終端將RAND發(fā)送給用戶卡。
在步驟714�,用戶卡使用自己的KI和接收的RAND生成XRES���、CK和IK����。
在步驟715,用戶卡將生成的XRES發(fā)送給移動(dòng)終端���。
在步驟716��,移動(dòng)終端將接收自用戶卡的XRES發(fā)送給MSC/VLR�。
在步驟717���,MSC/VLR比較接收自移動(dòng)終端的XRES和接收自HLR/AUC的該移動(dòng)終端的相應(yīng)的鑒權(quán)集中XRES是否一致��。如果一致,在步驟718判定網(wǎng)絡(luò)對(duì)移動(dòng)終端鑒權(quán)通過(guò)�����;否則在步驟719判定網(wǎng)絡(luò)對(duì)移動(dòng)終端鑒權(quán)失敗�����。
這里在步驟713�����,為了和現(xiàn)有處理兼容��,移動(dòng)終端在發(fā)送RAND的同時(shí)可以發(fā)送AUTN���,這樣用戶卡可以進(jìn)一步根據(jù)AUTN和自己的KI對(duì)網(wǎng)絡(luò)進(jìn)行鑒權(quán)�����。在這種情況下����,移動(dòng)終端可以將發(fā)送給用戶卡的AUTN設(shè)置成一個(gè)表示由移動(dòng)終端對(duì)網(wǎng)絡(luò)進(jìn)行鑒權(quán)的特殊值�,用戶卡在判斷出AUTN是該特殊值之后,僅僅使用KI和RAND產(chǎn)生XRES���、CK和IK,而不再根據(jù)AUTN和KI對(duì)網(wǎng)絡(luò)進(jìn)行鑒權(quán)����。
在用戶卡根據(jù)KI和RAND生成XRES、CK和IK時(shí)�,也可以只產(chǎn)生XRES和CK,然后將產(chǎn)生的XRES和CK發(fā)送給移動(dòng)終端��,由移動(dòng)終端根據(jù)CK導(dǎo)出IK����。
上述步驟716,移動(dòng)終端將接收自用戶卡的XRES發(fā)送給MSC/VLR之前����,可以判斷網(wǎng)絡(luò)是否為第二代移動(dòng)通信網(wǎng)絡(luò)���,如果是,移動(dòng)終端可以根據(jù)XRES、CK����、IK等導(dǎo)出用于第二代網(wǎng)絡(luò)鑒權(quán)的SRES2g(Signed Response符號(hào)響應(yīng))和KC2g(Cipher Key密碼密鑰)����,使用生成的SRES2g替代XRES傳送給MSC/VLR�����,使用KC2g和網(wǎng)絡(luò)側(cè)進(jìn)行相關(guān)通信的加解密����。相關(guān)推導(dǎo)方法在現(xiàn)有3GPP中相關(guān)協(xié)議有建議��,在此不再贅述��。
另外�����,關(guān)于第二代移動(dòng)通信網(wǎng)絡(luò)的鑒權(quán)請(qǐng)參考GSM 03.20和GSM09.02��。
另外���,XRES�����、CK����、IK也可以由SEY和RAND產(chǎn)生,在此情況下���,提出了如圖8所示的另一實(shí)施例��。
在步驟801���,首先在HLR/AUC和移動(dòng)終端中同時(shí)保存對(duì)應(yīng)移動(dòng)終端鑒權(quán)的SKEY。
在步驟802�����,HLR/AUC利用自己的隨機(jī)數(shù)發(fā)生器產(chǎn)生一個(gè)RAND�。
在步驟803,HLR/AUC利用預(yù)先保存的對(duì)應(yīng)移動(dòng)終端的SKEY和自己產(chǎn)生的RAND計(jì)算得到XRES���、CK和IK���。
在步驟804�����,HLR/AUC利用預(yù)先保存的對(duì)應(yīng)移動(dòng)終端的SKEY以及RAND和SQN生成MAC��。這里的SQN是當(dāng)前已知的�,例如預(yù)先設(shè)置好的�。
在步驟805,HLR/AUC將MAC以及已知的SQN組合成AUTN��。
在AUTN包括AMF的情況下����,在步驟804中進(jìn)一步考慮AMF����,比如利用SKEY、RAND�����、SQN和AMF生成MAC����,其中AMF也是預(yù)先設(shè)置的���。在步驟805中同樣進(jìn)一步考慮AMF,也就是將MAC�、SQN和AMF共同組合成AUTN。
在步驟806�����,HLR/AUC將RAND�����、AUTN��、XRES����、CK和IK組成一個(gè)鑒權(quán)集。
在步驟807�����,HLR/AUC將該鑒權(quán)集發(fā)送給MSC/VLR��。
在步驟808,鑒權(quán)時(shí)��,MSC/VLR在該移動(dòng)終端的相應(yīng)鑒權(quán)集中提取出RAND和AUTN����,作為本發(fā)明的鑒權(quán)信息發(fā)送給移動(dòng)終端。
在步驟809���,移動(dòng)終端在接收到來(lái)自MSC/VLR的RAND和AUTN之后����,首先判斷AUTN是否可以接受�����,比如判斷AUTN中的SQN和自己保存的SQN的差值是否在一個(gè)預(yù)定范圍內(nèi)�,如果是�����,判定AUTN是可接受的���,繼續(xù)執(zhí)行步驟810�;否則判定AUTN是不可接受的,直接在步驟812判定對(duì)網(wǎng)絡(luò)的鑒權(quán)失敗�����,這種情況下�����,移動(dòng)終端可以向網(wǎng)絡(luò)側(cè)發(fā)送一個(gè)SQN不可接受命令���,比如�,發(fā)起一個(gè)同步SQN的同步命令��,通過(guò)同步流程�����,使終端和網(wǎng)絡(luò)保存的相應(yīng)的SQN同步�����。
在步驟810���,移動(dòng)終端根據(jù)自己的SKEY和接收的RAND�����、SQN計(jì)算得到一個(gè)MAC值��,并比較自己計(jì)算得到的MAC值和AUTN中的MAC值是否一致�,如果一致,則在步驟811判定對(duì)網(wǎng)絡(luò)的鑒權(quán)通過(guò)���;否則在步驟812判定對(duì)網(wǎng)絡(luò)的鑒權(quán)失敗���。
移動(dòng)終端判定對(duì)網(wǎng)絡(luò)的鑒權(quán)通過(guò)后,使用接收的AUTN中的SQN更新自己保存的SQN�。
在AUTN包括AMF的情況下,在步驟810中進(jìn)一步考慮AMF�����,比如利用自己的SKEY�、接收的RAND、SQN和AMF生成MAC值�,其中SQN和AMF是AUTN中攜帶的。
在步驟813����,移動(dòng)終端使用自己的SKEY和接收的RAND生成XRES、CK和IK��。并將自己生成的XRES發(fā)送給MSC/VLR�。
在步驟814,MSC/VLR比較接收自移動(dòng)終端的XRES和接收自HLR/AUC的該移動(dòng)終端的相應(yīng)的鑒權(quán)集中XRES是否一致��。如果一致��,在步驟815判定網(wǎng)絡(luò)對(duì)移動(dòng)終端鑒權(quán)通過(guò)����;否則在步驟816判定網(wǎng)絡(luò)對(duì)移動(dòng)終端鑒權(quán)失敗。
上述各種方法中��,網(wǎng)絡(luò)設(shè)備比如MSC/VLR在向終端發(fā)送鑒權(quán)信息時(shí)�,可以一次發(fā)送,也可以分多次發(fā)送����。比如,第一次傳送一個(gè)隨機(jī)數(shù)RAND���,第二次傳送鑒權(quán)標(biāo)記AUTN����。實(shí)際當(dāng)中,將根據(jù)網(wǎng)絡(luò)的協(xié)議能力來(lái)決定分幾次發(fā)送��。比如�����,在UMTS網(wǎng)絡(luò)中�����,MSC/VLR可以一次將RAND�����、AUTN等鑒權(quán)信息通過(guò)鑒權(quán)命令發(fā)送給移動(dòng)終端�����,而在第二代移動(dòng)通信網(wǎng)絡(luò)中���,MSC/VLR可能需要通過(guò)兩次或多次將RAND��、AUTN等鑒權(quán)信息通過(guò)第二代網(wǎng)絡(luò)的鑒權(quán)命令發(fā)送給移動(dòng)終端�。
本發(fā)明中產(chǎn)生隨機(jī)數(shù)、產(chǎn)生鑒權(quán)集�、以及終端產(chǎn)生期望響應(yīng)XRES�����、加密密鑰�����、完整性密鑰及消息鑒權(quán)碼MAC等等所使用的算法�����,可以是利用3GPP現(xiàn)有協(xié)議規(guī)定或建議的算法�,也可以單獨(dú)確定算法。關(guān)于第三代移動(dòng)通信網(wǎng)絡(luò)的鑒權(quán)請(qǐng)參考3G TS 33.102和3G TS 29.002�����。
上述MSC/VLR為電路域設(shè)備�����,對(duì)于分組域的網(wǎng)絡(luò)����,對(duì)應(yīng)的MSC/VLR設(shè)備可以為SGSN�����。
可以理解��,以上所述僅為本發(fā)明的較佳實(shí)施例而已����,并不用以限制本發(fā)明�����,凡在本發(fā)明的精神和原則之內(nèi)�����,所作的任何修改���、等同替換����、改進(jìn)等�����,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。
權(quán)利要求
1.一種移動(dòng)通信系統(tǒng)中網(wǎng)絡(luò)設(shè)備生成鑒權(quán)信息的方法�,至少包括a.預(yù)先在網(wǎng)絡(luò)設(shè)備中設(shè)置一個(gè)對(duì)應(yīng)于移動(dòng)終端的安全密鑰;b.網(wǎng)絡(luò)設(shè)備根據(jù)所述安全密鑰和一個(gè)隨機(jī)數(shù)生成對(duì)應(yīng)于該移動(dòng)終端的鑒權(quán)信息���。
2.根據(jù)權(quán)利要求1所述的方法,其特征是���,所述鑒權(quán)信息包括所述隨機(jī)數(shù)和一個(gè)鑒權(quán)標(biāo)記��,其中鑒權(quán)標(biāo)記至少包括序列號(hào)和消息鑒權(quán)編碼��。
3.根據(jù)權(quán)利要求2所述的方法�,其特征是���,步驟b所述根據(jù)安全密鑰和隨機(jī)數(shù)生成鑒權(quán)信息包括b1.根據(jù)安全密鑰��、隨機(jī)數(shù)和自己設(shè)置的序列號(hào)生成鑒權(quán)標(biāo)記�;b2.組合所述隨機(jī)數(shù)和鑒權(quán)標(biāo)記形成所述鑒權(quán)信息�����。
4.根據(jù)權(quán)利要求3所述的方法,其特征是�����,步驟b1包括根據(jù)安全密鑰�、隨機(jī)數(shù)和序列號(hào)生成消息鑒權(quán)編碼;然后將消息鑒權(quán)編碼和序列號(hào)組合成鑒權(quán)標(biāo)記��。
5.根據(jù)權(quán)利要求4所述的方法����,其特征是,鑒權(quán)標(biāo)記進(jìn)一步包括鑒權(quán)管理域�����,步驟b 1中根據(jù)安全密鑰����、隨機(jī)數(shù)和序列號(hào)生成消息鑒權(quán)編碼是根據(jù)安全密鑰、隨機(jī)數(shù)�����、序列號(hào)和鑒權(quán)管理域生成消息鑒權(quán)編碼��,在組合成鑒權(quán)標(biāo)記的步驟中進(jìn)一步包括加入鑒權(quán)管理域的步驟。
6.根據(jù)權(quán)利要求3所述的方法�����,其特征是���,所述網(wǎng)絡(luò)設(shè)備包括歸屬位置寄存器/驗(yàn)證中心HLR/AUC�����,該方法進(jìn)一步包括HLR/AUC根據(jù)鑒權(quán)密鑰和隨機(jī)數(shù)生成期望響應(yīng)、加密密鑰和完整性密鑰��,或者根據(jù)安全密鑰和隨機(jī)數(shù)生成期望響應(yīng)�����、加密密鑰和完整性密鑰�;并將隨機(jī)數(shù)、期望響應(yīng)���、加密密鑰��、完整性密鑰和鑒權(quán)標(biāo)記組成鑒權(quán)集����。
7.根據(jù)權(quán)利要求6所述的方法,其特征是�,所述網(wǎng)絡(luò)設(shè)備進(jìn)一步包括移動(dòng)交換中心MSC/VLR,該方法進(jìn)一步包括HLR/AUC將鑒權(quán)集發(fā)送給MSC/VLR�����。
8.根據(jù)權(quán)利要求7所述的方法���,其特征是�����,該方法進(jìn)一步包括MSC/VLR在鑒權(quán)時(shí)發(fā)現(xiàn)沒(méi)有相應(yīng)終端的鑒權(quán)集或者在使用完了相應(yīng)終端的所有鑒權(quán)集后向HLR/AUC發(fā)送鑒權(quán)集請(qǐng)求消息����,HLR/AUC將鑒權(quán)集發(fā)送給MSC/VLR是在接收到來(lái)自MSC/VLR的鑒權(quán)集請(qǐng)求消息��,或者是需要更新MSC/VLR的鑒權(quán)集時(shí)進(jìn)行發(fā)送����,所述發(fā)送鑒權(quán)集是將已經(jīng)生成的大于等于一個(gè)鑒權(quán)集發(fā)送給MSC/VLR。
9.根據(jù)權(quán)利要求7所述的方法,其特征是�����,該方法進(jìn)一步包括MSC/VLR在接收到來(lái)自移動(dòng)終端的觸發(fā)鑒權(quán)的請(qǐng)求消息后��,或者是在網(wǎng)絡(luò)側(cè)需要對(duì)移動(dòng)終端進(jìn)行鑒權(quán)時(shí)將由鑒權(quán)集中隨機(jī)數(shù)和鑒權(quán)標(biāo)記組成的鑒權(quán)信息發(fā)送給移動(dòng)終端����。
10.根據(jù)權(quán)利要求3所述的方法,其特征是����,所述序列號(hào)是用于移動(dòng)終端用戶卡鑒權(quán)的序列號(hào);或者該方法進(jìn)一步包括設(shè)置一個(gè)對(duì)應(yīng)于移動(dòng)終端鑒權(quán)的序列號(hào)的步驟�����;步驟b中所述序列號(hào)是所設(shè)置的對(duì)應(yīng)于移動(dòng)終端鑒權(quán)的序列號(hào)���。
11.根據(jù)權(quán)利要求1所述的方法,其特征是����,步驟a中設(shè)置對(duì)應(yīng)于移動(dòng)終端的安全密鑰是設(shè)置對(duì)應(yīng)于移動(dòng)終端特征信息的安全密鑰,所述移動(dòng)終端特征信息是移動(dòng)終端設(shè)備標(biāo)識(shí)信息IMEI�。
12.根據(jù)權(quán)利要求1所述的方法����,其特征是��,步驟a中設(shè)置對(duì)應(yīng)于移動(dòng)終端的安全密鑰是設(shè)置對(duì)應(yīng)于移動(dòng)終端用戶簽約相關(guān)信息的安全密鑰�����,所述移動(dòng)終端用戶簽約相關(guān)信息是移動(dòng)終端用戶標(biāo)識(shí)信息IMSI或移動(dòng)終端用戶卡編號(hào)或移動(dòng)電話號(hào)碼MSISDN��。
13.根據(jù)權(quán)利要求1所述的方法����,其特征是,步驟b之前進(jìn)一步包括一個(gè)判斷是否執(zhí)行根據(jù)安全密鑰生成鑒權(quán)信息的步驟�,如果是,執(zhí)行步驟b���;否則不執(zhí)行根據(jù)安全密鑰生成鑒權(quán)信息的步驟�����。
14.根據(jù)權(quán)利要求1所述的方法����,其特征是,步驟a所述安全密鑰是根據(jù)隨機(jī)數(shù)和鑒權(quán)密鑰產(chǎn)生的�����。
15.一種移動(dòng)通信網(wǎng)絡(luò)中移動(dòng)終端對(duì)通信網(wǎng)絡(luò)進(jìn)行鑒權(quán)的方法��,至少包括a.預(yù)先在移動(dòng)終端中設(shè)置一個(gè)對(duì)應(yīng)于該移動(dòng)終端的安全密鑰��;b.移動(dòng)終端在接收到來(lái)自網(wǎng)絡(luò)側(cè)設(shè)備的鑒權(quán)信息之后�����,根據(jù)自己設(shè)置的安全密鑰和所述鑒權(quán)信息判斷對(duì)網(wǎng)絡(luò)的鑒權(quán)是否通過(guò)�����。
16.根據(jù)權(quán)利要求15所述的方法�,其特征是,所述接收的鑒權(quán)信息包括隨機(jī)數(shù)和鑒權(quán)標(biāo)記�����,其中鑒權(quán)標(biāo)記至少包括序列號(hào)和消息鑒權(quán)編碼����。
17.根據(jù)權(quán)利要求16所述的方法,其特征是���,步驟b所述根據(jù)自己設(shè)置的安全密鑰和所述鑒權(quán)信息判斷對(duì)網(wǎng)絡(luò)的鑒權(quán)是否通過(guò)包括b1.根據(jù)自己設(shè)置的安全密鑰�����、接收的序列號(hào)和隨機(jī)數(shù)計(jì)算得到一個(gè)移動(dòng)終端消息鑒權(quán)編碼�;b2.比較計(jì)算得到的移動(dòng)終端消息鑒權(quán)編碼和接收的鑒權(quán)信息中包含的消息鑒權(quán)編碼是否一致����,如果一致,判定對(duì)網(wǎng)絡(luò)的鑒權(quán)通過(guò)��;否則判定對(duì)網(wǎng)絡(luò)的鑒權(quán)失敗���。
18.根據(jù)權(quán)利要求17所述的方法�����,其特征是���,在步驟b1之前進(jìn)一步包括判斷所接收的鑒權(quán)信息中的序列號(hào)和自己設(shè)置的序列號(hào)的差值是否在一個(gè)預(yù)定范圍內(nèi)��,如果是����,執(zhí)行步驟b1����;否則直接判定對(duì)網(wǎng)絡(luò)的鑒權(quán)失敗。
19.根據(jù)權(quán)利要求17所述的方法�,其特征是,所述鑒權(quán)標(biāo)記進(jìn)一步包括鑒權(quán)管理域�,步驟b1中根據(jù)自己設(shè)置的安全密鑰、接收的序列號(hào)和隨機(jī)數(shù)計(jì)算得到一個(gè)移動(dòng)終端消息鑒權(quán)編碼時(shí)進(jìn)一步結(jié)合所述鑒權(quán)管理域��。
20.根據(jù)權(quán)利要求16所述的方法���,其特征是��,所述序列號(hào)是用于移動(dòng)終端用戶卡鑒權(quán)的序列號(hào)�;或者該方法進(jìn)一步包括設(shè)置一個(gè)對(duì)應(yīng)于移動(dòng)終端鑒權(quán)的序列號(hào)的步驟����;步驟b中所述序列號(hào)是所設(shè)置的對(duì)應(yīng)于移動(dòng)終端鑒權(quán)的序列號(hào)。
21.根據(jù)權(quán)利要求15所述的方法��,其特征是����,步驟a中設(shè)置對(duì)應(yīng)于移動(dòng)終端的安全密鑰是設(shè)置對(duì)應(yīng)于移動(dòng)終端用戶卡特征信息的安全密鑰,所述用戶卡特征信息是移動(dòng)終端用戶卡里的移動(dòng)終端用戶標(biāo)識(shí)信息IMSI或移動(dòng)終端用戶卡編號(hào)��。
22.根據(jù)權(quán)利要求15所述的方法�,其特征是,步驟b之前進(jìn)一步包括一個(gè)判斷是否執(zhí)行根據(jù)安全密鑰和鑒權(quán)信息判斷對(duì)網(wǎng)絡(luò)的鑒權(quán)是否通過(guò)的步驟����,如果是,執(zhí)行步驟b�����;否則不執(zhí)行終端對(duì)網(wǎng)絡(luò)的鑒權(quán)步驟�����。
23.根據(jù)權(quán)利要求15所述的方法�,其特征是,步驟b之前進(jìn)一步包括移動(dòng)終端向網(wǎng)絡(luò)設(shè)備發(fā)送觸發(fā)鑒權(quán)的請(qǐng)求消息的步驟���。
24.根據(jù)權(quán)利要求15所述的方法�,其特征是,步驟b進(jìn)一步包括根據(jù)安全密鑰和隨機(jī)數(shù)生成期望響應(yīng)�、加密密鑰和完整性密鑰,并將期望響應(yīng)返回給相應(yīng)的網(wǎng)絡(luò)設(shè)備�。
25.根據(jù)權(quán)利要求15所述的方法,其特征是�����,步驟a所述安全密鑰是根據(jù)隨機(jī)數(shù)和用戶卡中的鑒權(quán)密鑰產(chǎn)生的���。
26.一種移動(dòng)通信網(wǎng)絡(luò)中的鑒權(quán)方法�����,至少包括a.預(yù)先在網(wǎng)絡(luò)設(shè)備和移動(dòng)終端中分別設(shè)置一個(gè)對(duì)應(yīng)該移動(dòng)終端的安全密鑰�����;b.網(wǎng)絡(luò)設(shè)備根據(jù)安全密鑰和隨機(jī)數(shù)生成對(duì)應(yīng)于所述移動(dòng)終端的鑒權(quán)信息��;c.網(wǎng)絡(luò)設(shè)備將所述鑒權(quán)信息發(fā)送到所述移動(dòng)終端���;d.移動(dòng)終端根據(jù)自己設(shè)置的安全密鑰和接收的鑒權(quán)信息判斷對(duì)網(wǎng)絡(luò)的鑒權(quán)是否通過(guò)。
27.根據(jù)權(quán)利要求26所述的方法���,其特征是�,所述鑒權(quán)信息包括隨機(jī)數(shù)和鑒權(quán)標(biāo)記,其中鑒權(quán)標(biāo)記至少包括序列號(hào)和消息鑒權(quán)編碼���。
28.根據(jù)權(quán)利要求27所述的方法,其特征是���,所述網(wǎng)絡(luò)設(shè)備包括HLR/AUC和MSC/VLR�,步驟b包括HLR/AUC根據(jù)鑒權(quán)密鑰�、自己設(shè)置的序列號(hào)和隨機(jī)數(shù)生成包括隨機(jī)數(shù)、期望響應(yīng)�����、加密密鑰�����、完整性密鑰和鑒權(quán)標(biāo)記的鑒權(quán)集�����,并將所述鑒權(quán)集發(fā)送到MSC/VLR��,MSC/VLR將鑒權(quán)集中的隨機(jī)數(shù)和鑒權(quán)標(biāo)記作為鑒權(quán)信息發(fā)送給移動(dòng)終端。
29.根據(jù)權(quán)利要求28所述的方法���,其特征是����,步驟d之后進(jìn)一步包括移動(dòng)終端將隨機(jī)數(shù)發(fā)送給用戶卡��,用戶卡根據(jù)自己設(shè)置的鑒權(quán)密鑰和接收的隨機(jī)數(shù)生成期望響應(yīng)和加密密鑰����;用戶卡將期望響應(yīng)發(fā)送給移動(dòng)終端,移動(dòng)終端再將期望響應(yīng)發(fā)送給MSC/VLR�����;MSC/VLR比較接收自移動(dòng)終端的期望響應(yīng)和接收自HLR/AUC的對(duì)應(yīng)的鑒權(quán)集中的期望響應(yīng)是否一致��,如果一致�����,網(wǎng)絡(luò)對(duì)移動(dòng)終端的鑒權(quán)通過(guò)���;否則網(wǎng)絡(luò)對(duì)移動(dòng)終端的鑒權(quán)不通過(guò)���。
30.根據(jù)權(quán)利要求29所述的方法���,其特征是,所述用戶卡在生成期望響應(yīng)和加密密鑰的同時(shí)進(jìn)一步生成完整性密鑰�,所述方法進(jìn)一步包括用戶卡將所述完整性密鑰發(fā)送給移動(dòng)終端;或者該方法進(jìn)一步包括移動(dòng)終端根據(jù)加密密鑰生成完整性密鑰�����。
31.根據(jù)權(quán)利要求30所述的方法�,其特征是�,在移動(dòng)終端將隨機(jī)數(shù)發(fā)送給用戶卡的同時(shí)進(jìn)一步包括發(fā)送鑒權(quán)標(biāo)記的步驟,該方法進(jìn)一步包括設(shè)置鑒權(quán)標(biāo)記為一個(gè)預(yù)定值�,用戶卡在接收到鑒權(quán)標(biāo)記之后進(jìn)一步包括判斷鑒權(quán)標(biāo)記是否是預(yù)定值,如果是��,執(zhí)行生成期望響應(yīng)和加密密鑰的步驟�����;否則��,用戶卡判斷對(duì)網(wǎng)絡(luò)的鑒權(quán)是否通過(guò)。
32.根據(jù)權(quán)利要求27所述的方法��,其特征是�����,所述網(wǎng)絡(luò)設(shè)備包括HLR/AUC和MSC/VLR�,步驟b包括HLR/AUC根據(jù)安全密鑰、自己設(shè)置的序列號(hào)和隨機(jī)數(shù)生成包括隨機(jī)數(shù)��、期望響應(yīng)���、加密密鑰�����、完整性密鑰和鑒權(quán)標(biāo)記的鑒權(quán)集�����,并將所述鑒權(quán)集發(fā)送到MSC/VLR����;MSC/VLR將鑒權(quán)集中的隨機(jī)數(shù)和鑒權(quán)標(biāo)記作為鑒權(quán)信息發(fā)送給移動(dòng)終端����。
33.根據(jù)權(quán)利要求32所述的方法��,其特征是����,步驟d之后進(jìn)一步包括移動(dòng)終端根據(jù)自己設(shè)置的安全密鑰和接收的隨機(jī)數(shù)生成期望響應(yīng)和加密密鑰����;并將期望響應(yīng)發(fā)送給MSC/VLR;MSC/VLR比較接收自移動(dòng)終端的期望響應(yīng)和接收自HLR/AUC的對(duì)應(yīng)的鑒權(quán)集中的期望響應(yīng)是否一致�,如果一致,網(wǎng)絡(luò)對(duì)移動(dòng)終端的鑒權(quán)通過(guò)��;否則網(wǎng)絡(luò)對(duì)移動(dòng)終端的鑒權(quán)不通過(guò)�����。
全文摘要
本發(fā)明公開(kāi)了一種移動(dòng)通信系統(tǒng)中網(wǎng)絡(luò)設(shè)備生成鑒權(quán)信息的方法��,至少包括預(yù)先在網(wǎng)絡(luò)設(shè)備中設(shè)置一個(gè)對(duì)應(yīng)于移動(dòng)終端的安全密鑰����;網(wǎng)絡(luò)設(shè)備根據(jù)安全密鑰和一個(gè)隨機(jī)數(shù)生成對(duì)應(yīng)于該移動(dòng)終端的鑒權(quán)信息�。同時(shí),本發(fā)明公開(kāi)了一種移動(dòng)通信網(wǎng)絡(luò)中移動(dòng)終端對(duì)通信網(wǎng)絡(luò)進(jìn)行鑒權(quán)的方法,至少包括預(yù)先在移動(dòng)終端中設(shè)置一個(gè)對(duì)應(yīng)于該移動(dòng)終端的安全密鑰��;移動(dòng)終端在接收到來(lái)自網(wǎng)絡(luò)側(cè)設(shè)備的鑒權(quán)信息之后�,根據(jù)自己設(shè)置的安全密鑰和所述鑒權(quán)信息判斷對(duì)網(wǎng)絡(luò)的鑒權(quán)是否通過(guò)。本發(fā)明還公開(kāi)了一種移動(dòng)通信網(wǎng)絡(luò)中的鑒權(quán)方法����,包括移動(dòng)終端對(duì)網(wǎng)絡(luò)的鑒權(quán)和網(wǎng)絡(luò)對(duì)移動(dòng)終端的鑒權(quán)。
文檔編號(hào)H04L9/32GK1767430SQ20041008788
公開(kāi)日2006年5月3日 申請(qǐng)日期2004年10月27日 優(yōu)先權(quán)日2004年10月27日
發(fā)明者董昆陽(yáng), 王正偉, 周春艷, 朱志明, 黃天振, 孔杰, 王尚賓 申請(qǐng)人:華為技術(shù)有限公司