專利名稱:移動通信系統(tǒng)中鑒權(quán)密鑰的管理的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種移動通信系統(tǒng)中鑒權(quán)密鑰的管理方法��,該移動通信系統(tǒng)包括至少一個鑒權(quán)中心、多個基站和與所述基站通信的多個移動臺�,用戶身份模塊則耦合到移動臺中。
本發(fā)明可以應(yīng)用于移動通信系統(tǒng)�����,在該移動通信系統(tǒng)中用戶由用戶身份模塊識別�����,用戶身份模塊或者位于移動臺中或者可以耦合到移動臺�。這種移動通信系統(tǒng)的一個實例是GSM系統(tǒng)(全球移動通信系統(tǒng))。這種移動通信系統(tǒng)的另一個實例是TETRA無線電話系統(tǒng)(TETRA=泛歐中繼無線系統(tǒng))��。TETRA無線電話系統(tǒng)是PMR(專用移動無線)無線電話系統(tǒng)的一個實例��。
背景技術(shù):
電信網(wǎng)絡(luò)通過鑒權(quán)過程檢查用戶的身份��,以保證移動臺給出的用戶身份是正確的�����。通過檢查用戶身份���,網(wǎng)絡(luò)確保只有有權(quán)使用網(wǎng)絡(luò)業(yè)務(wù)的用戶才能夠使用這些業(yè)務(wù)。同時����,確保未授權(quán)用戶的行為不會導(dǎo)致有權(quán)用戶繳納任何額外費用�����,或者能夠冒充另一個用戶��。
下面通過與GSM相關(guān)的實例詳細(xì)描述用戶身份的檢查方法�。類似的原則也可應(yīng)用于GSM類型的系統(tǒng)以及Tetra系統(tǒng)����。移動通信系統(tǒng)總是在登記、呼叫建立階段以及激活或去激活特定補充業(yè)務(wù)時檢查用戶身份���。在用戶漫游號碼����,即MSRN(移動臺漫游號碼)改變時��,定位區(qū)(LA)更新過程中也檢查用戶身份�����。在其它定位區(qū)(LA)更新情況下,網(wǎng)絡(luò)運營者可以決定是否檢查用戶身份�。
用戶身份按照下述步驟進行檢查得到上述情況信息之后,開始檢查用戶身份�����,移動通信系統(tǒng)�����,例如其鑒權(quán)中心(AUC)向移動臺發(fā)送一個隨機數(shù)RAND����,RAND在系統(tǒng)中產(chǎn)生。接收到RAND之后����,移動臺通過一種指定算法、接收到的RAND以及事先存儲在移動臺中的鑒權(quán)密鑰K計算出確認(rèn)參數(shù)SRES的值�����。因此���,密鑰K至少存儲在鑒權(quán)中心和移動臺中,從而使這兩者都能夠計算出同一個參考數(shù)字。移動臺向移動通信網(wǎng)絡(luò)��,特別是它的鑒權(quán)中心發(fā)送確認(rèn)參數(shù)SRES��,鑒權(quán)中心檢查移動臺中計算出的參數(shù)SRES的值�����,即把它和鑒權(quán)中心計算出的值比較���,這種比較的結(jié)果能夠?qū)С霭l(fā)送該確認(rèn)參數(shù)的用戶是否是一個授權(quán)用戶��。
移動通信系統(tǒng)中使用的移動臺將用戶身份和鑒權(quán)密鑰存儲在用戶身份模塊中��,用戶身份模塊可以可分離地附加在該移動臺上或集成在移動臺中�����?��?煞蛛x地耦合到移動臺中的用戶身份模塊包含用戶身份,它可以在需要的時候連接到終端設(shè)備以形成一個移動臺���。這種用戶身份模塊和集成了這種用戶身份模塊的移動臺通常是與具體用戶相關(guān)的�����,它們由用戶的安全標(biāo)識(IMSI=國際移動用戶身份或ITSI=個體Tetra用戶身份)識別�。可分離用戶身份模塊包括�,例如SIM卡(SIM=用戶身份模塊)。
上述用戶身份模塊���,例如SIM卡是與具體用戶相關(guān)的���,這意味著用戶設(shè)備并不是專用于特定用戶。用戶身份模塊���,例如SIM卡���,是一種智能卡,它位于移動設(shè)備中�����,包含識別用戶和加密無線業(yè)務(wù)量所需的信息����,例如鑒權(quán)密鑰K����。用戶身份模塊����,例如SIM卡在本申請中是指一種可以從移動設(shè)備中取走的功能卡�����,用戶通過SIM卡能夠使用卡控制移動設(shè)備���。
如果采用一種用戶身份模塊����,例如SIM卡�,用戶不需要擁有它自己的移動設(shè)備,而只需要移動通信系統(tǒng)運營者分發(fā)給他的用戶身份模塊�����,例如SIM卡���。這種用戶身份模塊的一種形式是電話卡�����,通過該電話卡用戶可以從系統(tǒng)的任何移動設(shè)備發(fā)出(和接收)呼叫��。SIM卡的功能一方面是包括以保護良好的形式向移動臺提供表明用戶身份的數(shù)據(jù)���,另一方面是向移動臺提供業(yè)務(wù)��。這種業(yè)務(wù)可以包括���,例如維護(輸入、修改)個人標(biāo)識號碼(PIN)�、維護數(shù)據(jù)保護密鑰(即鑒權(quán)密鑰K)以及通過例如PUK碼(個人解鎖密鑰)解鎖,在輸入錯誤PIN的次數(shù)過多之后將鎖住SIM卡�����。
為了將SIM卡集成在手?jǐn)y話機中�,引入了所謂的內(nèi)嵌式SIM作為實現(xiàn)用戶身份模塊的一種可選方式。內(nèi)嵌式SIM是大約一個硬幣大小的部件��,它包含信用卡大小SIM卡的電子器件并置于話機內(nèi)部�����,使用戶無法輕易地更換。話機還可以具有一個集成的內(nèi)嵌式SIM���,此外還有一個讀卡機���。如果讀卡機包含一張卡,則基于該外部卡識別該話機�����,否則基于集成的內(nèi)嵌式SIM識別���。除非上下文給出了某種其它解釋,在本申請中術(shù)語用戶身份模塊��,例如SIM卡���,是指內(nèi)嵌式SIM��、信用卡大小智能卡SIM��、以及集成在移動臺中并且包含用戶身份和鑒權(quán)密鑰K的用戶身份模塊�。
除了按照GSM移動通信系統(tǒng)的移動通信系統(tǒng)之外��,本發(fā)明的方法也可用于PMR(專用移動無線)網(wǎng)絡(luò),即中繼網(wǎng)絡(luò)�,這些網(wǎng)絡(luò)一般是公司網(wǎng)絡(luò)或公用安全網(wǎng)絡(luò),在這些網(wǎng)絡(luò)中所有信道由一家或多家公司或者公共權(quán)威機構(gòu)組使用��。權(quán)威機構(gòu)所用網(wǎng)絡(luò)的安全性提出的安全要求比普通的GSM網(wǎng)絡(luò)更嚴(yán)格�����。
下面按照GSM系統(tǒng)的正常操作描述鑒權(quán)密鑰K的管理����。當(dāng)用戶獲得用戶身份模塊時,例如SIM卡(SIM=用戶身份模塊)���,用戶的IMSI�、鑒權(quán)密鑰K以及加密算法都存儲在SIM卡中��。IMSI和鑒權(quán)密鑰K還存儲在用戶的歸屬PLMN(公共陸地移動網(wǎng))的鑒權(quán)中心AUC中����。每個PLMN包括一個或多個鑒權(quán)中心。
在GSM系統(tǒng)中��,定義了兩種密鑰管理方法。如果采用兩者中保護得更好的一種方法����,則不需要在不同地點間傳送密鑰。如果采用兩者中保護得較好的一種方法�����,密鑰在網(wǎng)絡(luò)內(nèi)部傳送���,這使該方法只能在PLMN間不需要傳送加密信息時使用����。在其它時候�,網(wǎng)絡(luò)可以決定采用其中的哪一種方法��。
下面描述這兩種方法中較為安全的一種�����,即其中用戶身份的證實不需要傳送鑒權(quán)密鑰K的方法���。在該方法中�����,一個適當(dāng)?shù)木W(wǎng)絡(luò)單元����,例如每個移動臺的基站(BS)或一個移動交換中心(MSC)可以向該移動臺的歸屬PLMN中的AUC請求與用戶相關(guān)的保密信息。鑒權(quán)中心或者是一個獨立的單元���,或者是HLR(歸屬位置寄存器)的一部分���。在這種情況下保密信息包括一張RAND/SRES對的表,這些RAND/SRES對是通過算法對已知的參數(shù)RAND值和鑒權(quán)密鑰K處理得到的��。這些RAND/SRES對通常存儲在訪問位置寄存器VLR中��。
Tetra系統(tǒng)中的用戶識別在“prETS 300 392-7���,September 1995���,Radio Equipment and Systems(RES);Trans-European TrunkedRadio(TETRA)��;Voice Plus Data(V+D)����;Part 7Security��,ETSI�����,pp.8-10 and pp.28-32”中描述���。在Tetra系統(tǒng)中,鑒權(quán)密鑰存儲在移動通信網(wǎng)中用戶歸屬網(wǎng)絡(luò)的安全數(shù)據(jù)庫中���。在終端設(shè)備中��,則可以通過三種不同方式生成鑒權(quán)密鑰���,這些都在前述文檔中描述�����。在終端設(shè)備中生成鑒權(quán)密鑰的一種方法是在鑒權(quán)過程中使用存儲在用戶設(shè)備中的用戶鑒權(quán)密鑰(UAK)���。
安全地完成移動用戶的鑒權(quán)越重要�,則移動通信系統(tǒng)/網(wǎng)絡(luò)中實現(xiàn)的安全級別就越高。這也受網(wǎng)絡(luò)的其它方案的影響如果�����,例如用戶所用的網(wǎng)絡(luò)內(nèi)部用戶身份IMSI和用戶號碼MSISDN(移動用戶國際ISDN號碼)是分開的(GSM系統(tǒng)便是如此)����,則可以靈活地使用,從而可以先組成所分配的IMSI和鑒權(quán)密鑰K對�����,然后定義實際用戶號碼MSISDN及其對應(yīng)的用戶數(shù)據(jù)�。這意味著可以事先在用戶身份模塊和移動通信系統(tǒng)的鑒權(quán)中心中存儲同一個用戶標(biāo)識符IMSI和同一個鑒權(quán)密鑰K,而不需要在無線通路上傳送��,否則容易被干擾和竊聽���。
自然也可以為用戶身份模塊����,例如SIM卡定義用戶號碼����,例如MSISDN或ITSI號碼�,并且編程寫入密鑰��。在這種情況下應(yīng)當(dāng)將輸入了用戶號碼的卡交給發(fā)行商���,而其它用戶數(shù)據(jù)僅在定義新用戶時才饋送到系統(tǒng)中�����。它的問題是用戶無法選擇或組成適當(dāng)?shù)挠脩籼柎a以便用戶記憶或者能夠以其它方式識別該用戶�,例如通過姓名���。此外�,這種方案不能通過公共權(quán)威機構(gòu)成員的用戶號碼以系統(tǒng)方式描述公共權(quán)威機構(gòu)的不同層次和等級�����,因為它無法事先知道該組織中將會有多少新成員�,以及之后將哪個層次標(biāo)識符賦予該組織的每個成員。
解決這個問題的方式是將生成�、用戶定義和系統(tǒng)鑒權(quán)��,即用戶身份模塊(例如SIM卡)的密鑰數(shù)據(jù)庫集中在一處�����。但是從用戶角度看,這種將所有密鑰和用戶管理集中在一處的方法不是一種明智的方案����。必須可以定義新用戶并在若干地點,例如在警察局的公共安全網(wǎng)絡(luò)和報警接收中心以及發(fā)行商代理機構(gòu)的商業(yè)網(wǎng)絡(luò)中����,分發(fā)SIM卡,這樣�����,上述操作方式將會出現(xiàn)問題��,因為通常移動通信系統(tǒng)中許多不同機構(gòu)��,例如運營商�、移動臺的零售經(jīng)銷商以及業(yè)務(wù)提供商希望迅速地提供集成在移動臺中或者可分離地連接到移動臺的用戶身份模塊給它們的客戶,并且用戶號碼應(yīng)當(dāng)適合用戶���。
在這種情況下�����,用戶號碼事先存儲在SIM卡中的方法因為不靈活而不合理���。因此���,無法分發(fā)給例如一支警察巡邏隊一個與指定場所相關(guān)的號碼,而不得不選擇一個事先存儲在SIM卡上的號碼�,該號碼位于分發(fā)鏈中的某處。
這種屬性在公共安全網(wǎng)絡(luò)上特定明顯����,因為例如TETRA標(biāo)準(zhǔn)不允許用戶使用單獨的MSISDN號碼(MSISDN=移動用戶國際ISDN號碼)以及在網(wǎng)絡(luò)內(nèi)部使用IMSI(國際移動用戶身份)號碼。
此外�,在例如公共安全網(wǎng)絡(luò)中,某個網(wǎng)絡(luò)可以具有若干組公共權(quán)威機構(gòu)用戶��,例如警察局�、消防隊、客戶等等�,每個組都希望分發(fā)和定義不同的用戶身份模塊給它們各自的用戶,即使在鑒權(quán)密鑰已存儲在這些模塊中之后��,這些模塊中的用戶標(biāo)識符也可以組織成層次結(jié)構(gòu)�����,例如等級的形式����。
鑒權(quán)密鑰在任何時候應(yīng)當(dāng)可以由人讀出,它們應(yīng)當(dāng)僅與系統(tǒng)的用戶數(shù)據(jù)相關(guān)�����,存儲在SIM卡上�����,它們不應(yīng)該在網(wǎng)絡(luò)中傳送�。這意味著密鑰必須在一處以集中方式生成,并存入系統(tǒng)和用戶身份模塊��,例如SIM卡�。
發(fā)明內(nèi)容
本發(fā)明的一個目的是解決現(xiàn)有技術(shù)方案的問題。
目的是提供一種方法和系統(tǒng)�����,通過它們可以盡可能地靈活地進行移動通信系統(tǒng)中的鑒權(quán)���,而不會損傷其安全性�。另一個目的是能夠在需要時為用戶定義與事先的定義無關(guān)的標(biāo)識符,使每個用戶可以在需要時�,不受限制地選擇一個可用的用戶身份。
這種在移動通信系統(tǒng)中管理鑒權(quán)密鑰的新方法可以通過按照本發(fā)明的方法得到�,其特征在于下述步驟生成鑒權(quán)密鑰及其對應(yīng)標(biāo)識符,通過標(biāo)識符可以在所述鑒權(quán)中心找到對應(yīng)于該標(biāo)識符的鑒權(quán)密鑰�����,在所述鑒權(quán)中心中存儲所述鑒權(quán)密鑰�����,從而基于標(biāo)識符可以在所述鑒權(quán)中心找到所述鑒權(quán)密鑰�,并將所述鑒權(quán)密鑰及其相應(yīng)的所述標(biāo)識符存儲在所述用戶身份模塊中。
本發(fā)明還涉及一種移動通信系統(tǒng)中鑒權(quán)密鑰的管理方法����,該移動通信系統(tǒng)包括至少一個鑒權(quán)中心、多個基站和移動臺�����、以及至少一個存儲每個用戶的用戶數(shù)據(jù)的用戶數(shù)據(jù)庫�����,前述移動臺具有標(biāo)識符且與所述基站通信,用戶身份模塊可以連接到移動臺中�。
按照本發(fā)明的方法,其特征在于包括下述步驟生成鑒權(quán)密鑰和對應(yīng)于每個鑒權(quán)密鑰的標(biāo)識符��,通過標(biāo)識符可以找到對應(yīng)于該標(biāo)識符的鑒權(quán)密鑰��,在每個用戶身份模塊中存儲一個對應(yīng)于特定標(biāo)識符的鑒權(quán)密鑰�����,在移動通信系統(tǒng)的鑒權(quán)中心中存儲所述鑒權(quán)密鑰��,從而基于所述標(biāo)識符可以在所述鑒權(quán)中心找到所述鑒權(quán)密鑰�����,并將所述標(biāo)識符存儲在所述至少一個用戶數(shù)據(jù)庫中����,與所述移動臺的用戶數(shù)據(jù)相關(guān)聯(lián)��。
本發(fā)明還涉及一種移動通信系統(tǒng)中鑒權(quán)密鑰的管理方法�,該移動通信系統(tǒng)包括至少一個鑒權(quán)中心、用戶身份模塊可以耦合的移動臺、至少一個存儲基站用戶數(shù)據(jù)的用戶數(shù)據(jù)庫�,以及與移動臺通信的基站。
該創(chuàng)新方法的特征在于包括下述步驟以集中方式在移動通信系統(tǒng)的某處生成鑒權(quán)所需的鑒權(quán)密鑰���,以及對應(yīng)于鑒權(quán)密鑰的標(biāo)識符�����,在所述鑒權(quán)中心中存儲所述鑒權(quán)密鑰���,從而基于所述標(biāo)識符可以在所述鑒權(quán)中心找到所述鑒權(quán)密鑰,將鑒權(quán)密鑰存儲在用戶身份模塊中��,在生成和存儲所述鑒權(quán)密鑰和所述標(biāo)識符之后����,將移動用戶身份存儲在所述用戶身份模塊中。
本發(fā)明還涉及一種移動通信系統(tǒng)����,包括至少一個包含鑒權(quán)密鑰的鑒權(quán)中心、基站以及移動臺��,這些移動臺與所述基站通信����,用戶身份模塊可以耦合到這些移動臺����。
本發(fā)明的移動通信系統(tǒng)的特征還在于����,它包括一個標(biāo)識符生成裝置,生成的標(biāo)識符對應(yīng)于鑒權(quán)所需的鑒權(quán)密鑰��,在鑒權(quán)過程中�,通過該標(biāo)識符可以在所述鑒權(quán)中心中找到所述鑒權(quán)密鑰�。
本發(fā)明基于下述構(gòu)思按照本發(fā)明的方案,蜂窩網(wǎng)絡(luò)采用索引或標(biāo)識符作為指向用戶保密鑒權(quán)密鑰K的標(biāo)識符的指針���。通過指針可以得到輸入SIM卡的保密鑒權(quán)密鑰和網(wǎng)絡(luò)中定義的保密鑒權(quán)密鑰之間的對應(yīng)關(guān)系���。按照該方法,鑒權(quán)所用的保密密鑰同時程序控制注入到網(wǎng)絡(luò)數(shù)據(jù)庫和集成或可分離的用戶身份模塊�����,例如SIM卡��,以防止有人看見保密密鑰。與前述程序控制過程相關(guān)�����,每個密鑰還具有一個索引或標(biāo)識符�����,移動通信系統(tǒng)通過它得知相應(yīng)密鑰在其數(shù)據(jù)庫�,例如在與歸屬位置寄存器(HLR)相連的鑒權(quán)數(shù)據(jù)庫(AUC)中的位置。因此��,在移動通信系統(tǒng)的數(shù)據(jù)庫中生成鑒權(quán)密鑰的標(biāo)識符�����。當(dāng)移動臺或所需網(wǎng)絡(luò)單元知道這些標(biāo)識符時����,移動臺在鑒權(quán)過程中發(fā)射這些標(biāo)識符給移動通信系統(tǒng)就已經(jīng)足夠。然后�����,在移動通信系統(tǒng)中�����,鑒權(quán)密鑰存儲在獨立的單元中,該單元能夠例如生成鑒權(quán)處理中使用的數(shù)對����。這表明通過移動臺或另一網(wǎng)絡(luò)單元所發(fā)射的指針,鑒權(quán)中心能夠在其數(shù)據(jù)庫中搜索到對應(yīng)每個特定用戶的鑒權(quán)密鑰��。這意味著可以實現(xiàn)鑒權(quán)而不用在無線通路上發(fā)射鑒權(quán)密鑰��。按照本發(fā)明給出的索引或指針可以位于用戶身份模塊(例如SIM卡)中�,或者也可以是存儲在其它地方的一個信息,在定義用戶時��,該索引或指針被手工或紙面輸入例如其HLR中的用戶數(shù)據(jù)中��。
本發(fā)明的方法涉及通過下述方式管理鑒權(quán)無線網(wǎng)絡(luò)用戶所用的保密密鑰密鑰以集中方式在系統(tǒng)中和用戶身份模塊(例如SIM卡或集成在移動臺中的用戶身份模塊)中生成���。
按照本發(fā)明,系統(tǒng)使用一種指向系統(tǒng)中鑒權(quán)密鑰的索引或指針��。索引可以位于用戶身份模塊(例如SIM卡)中���,或者存儲在用戶數(shù)據(jù)庫���,例如該用戶的HLR中����。
根據(jù)本發(fā)明��,提供了一種移動通信系統(tǒng)中鑒權(quán)密鑰的管理方法��,所述移動通信系統(tǒng)包括至少一個鑒權(quán)中心102����,AUC、多個基站BS以及與所述基站通信的移動臺301�����,500�,其中用戶身份模塊101,509��,SIM可以耦合到這些移動臺�,其特征在于,所述方法包括下述步驟生成鑒權(quán)密鑰和對應(yīng)于所述鑒權(quán)密鑰的標(biāo)識符202�����,所述標(biāo)識符獨立于移動用戶身份,通過標(biāo)識符可以在所述鑒權(quán)中心102�����,AUC找到對應(yīng)于所述標(biāo)識符的鑒權(quán)密鑰�,在所述鑒權(quán)中心102,AUC中存儲所述鑒權(quán)密鑰���,從而基于所述標(biāo)識符202可以在所述鑒權(quán)中心找到所述鑒權(quán)密鑰���,以及將所述鑒權(quán)密鑰及對應(yīng)于所述鑒權(quán)密鑰的標(biāo)識符存儲在所述用戶身份模塊101,509�����,SIM中����;從所述移動臺301向所述移動通信系統(tǒng)的基站BS傳送存儲在所述用戶身份模塊101����,509,SIM中的標(biāo)識符202����;基于所述標(biāo)識符��,從所述鑒權(quán)中心102�����,AUC檢索對應(yīng)于所述標(biāo)識符202的鑒權(quán)密鑰��;使用基于所述標(biāo)識符202檢索到的鑒權(quán)密鑰執(zhí)行鑒權(quán)�。
根據(jù)本發(fā)明��,還提供了一種移動通信系統(tǒng)中鑒權(quán)密鑰的管理方法�,所述移動通信系統(tǒng)包括至少一個鑒權(quán)中心102,AUC�����、多個基站BS�、移動臺301,500以及至少一個存儲每個用戶的用戶數(shù)據(jù)的用戶數(shù)據(jù)庫DB�,所述移動臺具有標(biāo)識符且與所述基站通信,其中用戶身份模塊101�,509,SIM可以連接到所述移動臺,其特征在于�,所述方法包括下述步驟生成鑒權(quán)密鑰和對應(yīng)于鑒權(quán)密鑰的標(biāo)識符202,通過這些標(biāo)識符可以在所述鑒權(quán)中心102���,AUC中找到對應(yīng)于所述標(biāo)識符202的鑒權(quán)密鑰�����,
在每個用戶身份模塊101�,509�,SIM中存儲對應(yīng)于特定標(biāo)識符202的鑒權(quán)密鑰,在移動通信系統(tǒng)的鑒權(quán)中心102��,AUC中存儲所述鑒權(quán)密鑰�,從而基于所述標(biāo)識符202可以在所述鑒權(quán)中心102,AUC中找到所述鑒權(quán)密鑰��,以及將所述標(biāo)識符202存儲在與所述用戶的用戶數(shù)據(jù)相關(guān)的所述至少一個用戶數(shù)據(jù)庫DB中����;在進行鑒權(quán)時,向所述鑒權(quán)中心102����,AUC發(fā)送存儲在所述用戶數(shù)據(jù)庫DB中的標(biāo)識符202����;基于所述標(biāo)識符202從所述鑒權(quán)中心102���,AUC中檢索到對應(yīng)于所述標(biāo)識符202的鑒權(quán)密鑰;使用基于所述標(biāo)識符202檢索到的鑒權(quán)密鑰執(zhí)行鑒權(quán)�����。
根據(jù)本發(fā)明���,還提供了一種移動通信系統(tǒng)中鑒權(quán)密鑰的管理方法���,所述移動通信系統(tǒng)包括至少一個鑒權(quán)中心102,AUC����、用戶身份模塊509,SIM可以耦合到的移動臺301�,500、至少一個存儲移動臺用戶數(shù)據(jù)的用戶數(shù)據(jù)庫DB以及與所述移動臺301�,500通信的基站BS,其特征在于�,所述方法包括下述步驟以集中方式在所述移動通信系統(tǒng)中生成601鑒權(quán)所需的鑒權(quán)密鑰,以及對應(yīng)于所述鑒權(quán)密鑰的標(biāo)識符202,所述標(biāo)識符獨立于移動用戶身份��,在所述鑒權(quán)中心102��,AUC中存儲所述鑒權(quán)密鑰����,從而基于所述標(biāo)識符202可以在所述鑒權(quán)中心102,AUC中找到所述鑒權(quán)密鑰���,將鑒權(quán)密鑰存儲在用戶身份模塊101�����,509��,SIM中��,在生成和存儲所述鑒權(quán)密鑰和所述標(biāo)識符202之后�,將移動用戶身份存儲在所述用戶身份模塊101����,509,SIM中�。
根據(jù)本發(fā)明����,還提供了一種移動通信系統(tǒng)�,包括至少一個擁有鑒權(quán)密鑰的鑒權(quán)中心102�,AUC、基站BS以及移動臺301��,500����,這些移動臺與所述基站通信,并且用戶身份模塊101��,509��,SIM可以耦合到這些移動臺���,其特征在于����,所述移動通信系統(tǒng)包括
用于生成標(biāo)識符的標(biāo)識符生成裝置601�����,所述標(biāo)識符獨立于移動用戶身份,并且對應(yīng)于鑒權(quán)時所需的鑒權(quán)密鑰�����,所述標(biāo)識符生成裝置601在功能上連接到所述鑒權(quán)中心102����,AUC,存儲裝置��,用于在所述移動通信系統(tǒng)所包含的存儲位置SIM�����,DB中存儲對應(yīng)于所述鑒權(quán)密鑰的標(biāo)識符����,在鑒權(quán)時可以存取所述存儲位置,用于所述鑒權(quán)中心102�,AUC中存儲所述鑒權(quán)密鑰,以便基于所述標(biāo)識符202在所述鑒權(quán)中心中找到所述鑒權(quán)密鑰����,并且用于將所述鑒權(quán)密鑰存儲在所述用戶身份模塊101,509��,SIM中,傳送裝置510�,用于將至少一個標(biāo)識符202從所述存儲位置SIM,DB傳送到所述鑒權(quán)中心�,其中所述鑒權(quán)中心被設(shè)置成基于所述標(biāo)識符202檢索對應(yīng)于所述標(biāo)識符202的鑒權(quán)密鑰,并且使用基于所述標(biāo)識符202檢索到的鑒權(quán)密鑰執(zhí)行鑒權(quán)����。
本發(fā)明具有下述優(yōu)點在按照本發(fā)明操作時��,任何時候鑒權(quán)密鑰都不暴露給用戶�����,并且也不通過無線通路發(fā)射�。它們用于例如計算識別數(shù)對。
本發(fā)明還具有下述優(yōu)點它能夠使鑒權(quán)密鑰保密且不可見��,同時又能將SIM卡平滑地分發(fā)給用戶����。
此外,本發(fā)明具有下述優(yōu)點可以以分散方式定義用戶�����,并且可以在系統(tǒng)中為用戶自由地定義用戶號碼,并編程寫入SIM卡���。然而��,在系統(tǒng)中或系統(tǒng)與SIM卡間不再以非加密形式傳送加密密鑰��。因此��,該方法既具有靈活的使用性�,又具有高安全性���。
此外��,本發(fā)明具有下述優(yōu)點系統(tǒng)或SIM卡不需要用以讀出鑒權(quán)密鑰的任何功能����。密鑰僅輸入用戶身份模塊和移動通信系統(tǒng)的鑒權(quán)中心一次�����,之后它用于鑒權(quán)中心和用戶身份模塊(例如SIM卡)的內(nèi)部計算���。
本發(fā)明的移動通信系統(tǒng)中的索引號僅用于系統(tǒng)內(nèi)部���,因此在進行編號或空中接口信令交互時不必考慮它��。
本發(fā)明具有下述優(yōu)點在用戶身份模塊(例如SIM卡)中泄露按照本發(fā)明的索引號不會構(gòu)成安全威脅�����,因為在未授權(quán)用戶試圖鑒權(quán)并登記到移動通信系統(tǒng)的非法嘗試中����,這種泄露不會給他帶來任何好處�����。
本發(fā)明還具有下述優(yōu)點用戶身份模塊(例如SIM卡)和密鑰不必編程寫入同一處�����。鑒權(quán)密鑰還可以通過中間設(shè)備��,例如卡或計算機�����,在兩個方向上傳送���。在這種情況下���,可以生成包含若干鑒權(quán)密鑰的分發(fā)卡,并使用分發(fā)卡將密鑰傳送到將卡實際分發(fā)給用戶的地點����。這種分發(fā)卡上的數(shù)據(jù)的保護程度自然必須與系統(tǒng)中和SIM卡上的數(shù)據(jù)相同。分發(fā)卡具有需要根據(jù)它編程寫入的所有卡的索引號�。
還必須考慮到該方法不需要針對SIM卡使用,因為類似的方法也可以應(yīng)用于移動臺中具有集成的用戶身份模塊的系統(tǒng)中�����,以及具有用戶身份的用戶身份模塊形成移動臺或其存儲器的一個集成部件的系統(tǒng)���。
下面結(jié)合附圖詳細(xì)描述本發(fā)明�����,在附圖中圖1示出了按照本發(fā)明在移動通信系統(tǒng)中集中生成鑒權(quán)密鑰��;圖2示出了按照本發(fā)明定義用戶的方法�����;圖3示出了本發(fā)明的一種實施例�,其中在無線通路上發(fā)射按照本發(fā)明的標(biāo)識符;以及圖4的框圖說明了按照本發(fā)明的移動通信系統(tǒng)以及其中的移動臺���。
具體實施例方式
圖1示出了按照本發(fā)明在移動通信系統(tǒng)中集中于移動通信系統(tǒng)的某處生成鑒權(quán)密鑰�。按照本發(fā)明���,移動通信系統(tǒng)/網(wǎng)絡(luò)包括一個集中裝置-密鑰生成器100-其中生成鑒權(quán)密鑰并在程序控制下寫入系統(tǒng)鑒權(quán)中心的存儲器和SIM卡��。實際上����,值得(但不是必須)一次生成大量的鑒權(quán)密鑰����。每個密鑰具有一個標(biāo)識符�����,例如一個索引號���,它指向該密鑰在系統(tǒng)中的位置���。該圖還示出了主鑒權(quán)中心102��,其中進行實際的鑒權(quán)���。此外,移動通信系統(tǒng)還具有另一個備用的鑒權(quán)中心����,即備用鑒權(quán)中心103。
按照本發(fā)明的第一實施例���,在登記移動臺或其用戶時�,從所討論的移動臺向移動通信系統(tǒng)的基站BS發(fā)射按照本發(fā)明存儲在用戶身份模塊SIM 101的標(biāo)識符��。此后���,基于所述標(biāo)識符�����,在鑒權(quán)中心AUC 102中搜索對應(yīng)于所述標(biāo)識符202的鑒權(quán)密鑰�����?�;谠摌?biāo)識符202�����,使用檢索到的鑒權(quán)密鑰進行所需鑒權(quán)��。
按照本發(fā)明的第二實施例���,在登記移動臺或其用戶時��,在鑒權(quán)處理期間向鑒權(quán)中心102 AUC發(fā)射按照本發(fā)明存儲在用戶數(shù)據(jù)庫DB中的標(biāo)識符��。此后�����,使用基于所述標(biāo)識符檢索到的鑒權(quán)密鑰進行鑒權(quán)。
應(yīng)當(dāng)注意到��,通過所述鑒權(quán)密鑰����,可以鑒權(quán)移動臺或其用戶����,或者移動通信系統(tǒng)����。移動臺發(fā)送的詢問包含RAND和指向網(wǎng)絡(luò)的指針。通過該指針���,系統(tǒng)找到正確的密鑰K��,使用RAND計算出的結(jié)果必須與移動臺中算出的相同�。如果不是這樣�,則網(wǎng)絡(luò)可能出錯。
圖2示出了按照本發(fā)明在移動通信系統(tǒng)中定義用戶的方法��。用戶接收SIM卡101����,其用戶數(shù)據(jù)在系統(tǒng),例如在系統(tǒng)的用戶數(shù)據(jù)庫201中定義���。提供給該卡的鑒權(quán)密鑰索引(即標(biāo)識符202)在用戶數(shù)據(jù)中定義�����。這樣��,按照這種方案�,索引信息(即標(biāo)識符202)在SIM卡101外部,例如在單獨的一張紙上(例如在信203中)�。
圖3示出了按照本發(fā)明實施例的一種實現(xiàn),其中通過無線通路RP從移動臺301向基站BS發(fā)射按照本發(fā)明的索引��。按照這種方案�,索引(即本發(fā)明的標(biāo)識符202)位于SIM卡101上,因此例如在登記和鑒權(quán)時�����,通過無線通路RP將它傳送給基站BS�,并進一步傳送給移動通信系統(tǒng)的其它部分,例如到該系統(tǒng)的鑒權(quán)中心102(圖1)����。鑒權(quán)的實現(xiàn)也可以帶有消息交換,其中傳送所述標(biāo)識符以使移動通信系統(tǒng)知道該標(biāo)識符�����,并永久存儲在其數(shù)據(jù)庫中���,當(dāng)用戶以后在該系統(tǒng)中登記以及進行鑒權(quán)時���,可以從該數(shù)據(jù)庫中得到該標(biāo)識符。
在生成用戶身份之后�,系統(tǒng)知道了該用戶并能夠基于該標(biāo)識符使用正確的鑒權(quán)密鑰。系統(tǒng)的鑒權(quán)中心AUC 102可以位于該用戶的歸屬位置寄存器(HLR)���。在鑒權(quán)用戶時���,系統(tǒng)基于該標(biāo)識符能夠發(fā)現(xiàn)正確的鑒權(quán)中心。此外�����,在鑒權(quán)中心內(nèi)部����,系統(tǒng)基于該標(biāo)識符能夠請求對應(yīng)于所述用戶的鑒權(quán)數(shù)對,通過該數(shù)對可以鑒權(quán)所討論的移動臺��、用戶或者移動通信系統(tǒng)�。
圖4的框圖說明了按照本發(fā)明的一種無線單元�����。該圖示出了移動通信系統(tǒng)的網(wǎng)絡(luò)基礎(chǔ)設(shè)施(INFRA)600�。網(wǎng)絡(luò)基礎(chǔ)設(shè)施包括例如基站BS(圖3)�����、交換機和其它電信設(shè)備�、用戶數(shù)據(jù)庫(例如歸屬位置寄存器(HLR)和訪問位置寄存器(VLR))以及鑒權(quán)中心(AUC)。
本發(fā)明的移動通信系統(tǒng)還包括一種標(biāo)識符生成裝置601�����,用以生成標(biāo)識符202�����,標(biāo)識符202對應(yīng)于鑒權(quán)處理所需的鑒權(quán)密鑰����,在鑒權(quán)過程中,通過該標(biāo)識符可以在所述鑒權(quán)中心102 AUC中找到所述鑒權(quán)密鑰�����。
圖4示出了一種在移動通信系統(tǒng)中進行通信的典型的無線單元500,例如用戶操作的移動話機��、移動臺或用戶臺�。收發(fā)信單元(TX/RX)501的功能是匹配到任一場合所使用的無線信道���,移動臺通常借助基站BS(圖3)通過無線信道與網(wǎng)絡(luò)基礎(chǔ)設(shè)施通信���。天線502連接到收發(fā)信機501,該天線具有到無線通路RP的連接�。通常使用范圍60-1000MHz(VHF和UHF頻帶)間的射頻,盡管也可以使用其它頻率�。在無線通路RP上,可以使用模擬或數(shù)字調(diào)制���。
用戶接口505包括一個電聲傳感裝置��,一般是一個揚聲器506和一個麥克風(fēng)507�����,以及可能有與開始�、結(jié)束和撥號呼叫相關(guān)的按鈕�。在中繼系統(tǒng)中�,用戶單元通常包含一個按鍵談話按鈕(PTT)�,在談話期間必須按下該按鈕。
控制器503的作用是控制該無線單元的操作����。控制器503連接到用戶接口505�,它從該接口得到與例如呼叫發(fā)起和終止相關(guān)的脈沖。通過用戶接口505����,控制器503還可以向用戶提供與移動話機操作或移動無線系統(tǒng)相關(guān)的話音/聲音或可視符號。
控制器503連接到收發(fā)信機TX/RX 501�。收發(fā)信機使用的信道由控制器503定義,這意味著收發(fā)信機調(diào)諧到控制器503所決定的信道(即射頻和適當(dāng)?shù)臅r隙)��。收發(fā)信機也在控制器503控制下調(diào)諧�����?��?刂破?03通過收發(fā)信機501收發(fā)信令消息��。按照本發(fā)明的無線單元501可以用于例如無線通信系統(tǒng)(即無線系統(tǒng))����,包括一個無線網(wǎng)絡(luò),它至少具有一個基站BS和多個用戶站�����,并可能有一個或多個中繼站��。所述無線單元包含一個收發(fā)信單元501�、控制無線單元功能的控制單元503和用戶接口504��,收發(fā)信單元501用以接收其它無線單元所發(fā)射的消息�����,以及發(fā)射消息給所述其它無線單元���。
按照本發(fā)明的移動臺500包括一個用戶設(shè)備���,該設(shè)備可能帶有一個用戶身份模塊。用戶設(shè)備包括收發(fā)信單元501�、控制器503以及用戶接口505。移動臺還包括一個用戶身份模塊509(例如一張SIM卡),它可分離地連接到用戶設(shè)備����,從而組成一個移動臺。
按照本發(fā)明的移動臺還包括從移動臺向移動通信系統(tǒng)發(fā)射標(biāo)識符的發(fā)射裝置���,基于該標(biāo)識符可以鑒權(quán)中心AUC中找到鑒權(quán)處理所用的鑒權(quán)密鑰�����。
本申請中的附圖和描述僅用于說明本發(fā)明的構(gòu)思�。本發(fā)明的細(xì)節(jié)可以在權(quán)利要求書范圍內(nèi)有所變化���。盡管以上主要針對GSM和TETRA移動通信系統(tǒng)描述了本發(fā)明��,但本發(fā)明也可以應(yīng)用于其它類型的移動通信系統(tǒng)��,尤其是那些基于GSM和TETRA移動通信系統(tǒng)的移動通信系統(tǒng)��。
本發(fā)明可以通過插入索引(即用戶身份模塊(SIM卡��,509)中的標(biāo)識符���,該用戶身份模塊或者集成在移動臺中���,或者是一張可移動的SIM卡),或者通過將該標(biāo)識符與用戶數(shù)據(jù)一起編程寫入系統(tǒng)中的某個數(shù)據(jù)庫�。在前一種方法中,索引在需要時必須通過無線接口傳送給系統(tǒng)���。在后一種方法中���,必須例如在一張紙上記下標(biāo)識符信息,并且在用戶身份模塊中存儲該鑒權(quán)密鑰��,從而在向系統(tǒng)輸入該用戶身份模塊(例如SIM卡)的用戶時�����,該標(biāo)識符信息能夠與用戶數(shù)據(jù)相關(guān)聯(lián)�。
在公開的可選方案之外���,更有用的是使用SIM卡的方案�����。這基于下述事實修理集成在移動臺中的用戶身份模塊相當(dāng)困難��,因為它需要不同生產(chǎn)廠商和運營商之間的協(xié)作����。
權(quán)利要求
1.一種移動通信系統(tǒng)中鑒權(quán)密鑰的管理方法,所述移動通信系統(tǒng)包括至少一個鑒權(quán)中心(102�,AUC)、多個基站(BS)以及與所述基站通信的移動臺(301��,500)�,其中用戶身份模塊(101,509�,SIM)可以耦合到這些移動臺,其特征在于���,所述方法包括下述步驟生成鑒權(quán)密鑰和對應(yīng)于所述鑒權(quán)密鑰的標(biāo)識符(202)�,所述標(biāo)識符獨立于移動用戶身份�����,通過標(biāo)識符可以在所述鑒權(quán)中心(102�����,AUC)找到對應(yīng)于所述標(biāo)識符的鑒權(quán)密鑰��,在所述鑒權(quán)中心(102,AUC)中存儲所述鑒權(quán)密鑰���,從而基于所述標(biāo)識符(202)可以在所述鑒權(quán)中心找到所述鑒權(quán)密鑰���,以及將所述鑒權(quán)密鑰及對應(yīng)于所述鑒權(quán)密鑰的標(biāo)識符存儲在所述用戶身份模塊(101,509�,SIM)中;從所述移動臺(301)向所述移動通信系統(tǒng)的基站(BS)傳送存儲在所述用戶身份模塊(101�,509,SIM)中的標(biāo)識符(202)�;基于所述標(biāo)識符,從所述鑒權(quán)中心(102���,AUC)檢索對應(yīng)于所述標(biāo)識符(202)的鑒權(quán)密鑰���;使用基于所述標(biāo)識符(202)檢索到的鑒權(quán)密鑰執(zhí)行鑒權(quán)���。
2.一種移動通信系統(tǒng)中鑒權(quán)密鑰的管理方法��,所述移動通信系統(tǒng)包括至少一個鑒權(quán)中心(102��,AUC)���、多個基站(BS)��、移動臺(301��,500)以及至少一個存儲每個用戶的用戶數(shù)據(jù)的用戶數(shù)據(jù)庫(DB)���,所述移動臺具有標(biāo)識符且與所述基站通信,其中用戶身份模塊(101��,509���,SIM)可以連接到所述移動臺��,其特征在于���,所述方法包括下述步驟生成鑒權(quán)密鑰和對應(yīng)于鑒權(quán)密鑰的標(biāo)識符(202),通過這些標(biāo)識符可以在所述鑒權(quán)中心(102����,AUC)中找到對應(yīng)于所述標(biāo)識符(202)的鑒權(quán)密鑰,在每個用戶身份模塊(101�����,509,SIM)中存儲對應(yīng)于特定標(biāo)識符(202)的鑒權(quán)密鑰����,在移動通信系統(tǒng)的鑒權(quán)中心(102,AUC)中存儲所述鑒權(quán)密鑰�,從而基于所述標(biāo)識符(202)可以在所述鑒權(quán)中心(102,AUC)中找到所述鑒權(quán)密鑰����,以及將所述標(biāo)識符(202)存儲在與所述用戶的用戶數(shù)據(jù)相關(guān)的所述至少一個用戶數(shù)據(jù)庫(DB)中;在進行鑒權(quán)時���,向所述鑒權(quán)中心(102����,AUC)發(fā)送存儲在所述用戶數(shù)據(jù)庫(DB)中的標(biāo)識符(202)����;基于所述標(biāo)識符(202)從所述鑒權(quán)中心(102,AUC)中檢索到對應(yīng)于所述標(biāo)識符(202)的鑒權(quán)密鑰�����;使用基于所述標(biāo)識符(202)檢索到的鑒權(quán)密鑰執(zhí)行鑒權(quán)�����。
3.根據(jù)權(quán)利要求1或2的方法���,其特征在于���,使用所述鑒權(quán)密鑰對所述移動臺(301,500)或使用所述移動臺的用戶進行鑒權(quán)��。
4.根據(jù)權(quán)利要求1或2的方法�,其特征在于,使用所述鑒權(quán)密鑰對所述移動通信系統(tǒng)進行鑒權(quán)��。
5.一種移動通信系統(tǒng)中鑒權(quán)密鑰的管理方法����,所述移動通信系統(tǒng)包括至少一個鑒權(quán)中心(102,AUC)�����、用戶身份模塊(509����,SIM)可以耦合到的移動臺(301�����,500)����、至少一個存儲移動臺用戶數(shù)據(jù)的用戶數(shù)據(jù)庫(DB)以及與所述移動臺(301�����,500)通信的基站(BS)���,其特征在于��,所述方法包括下述步驟以集中方式在所述移動通信系統(tǒng)中生成(601)鑒權(quán)所需的鑒權(quán)密鑰�����,以及對應(yīng)于所述鑒權(quán)密鑰的標(biāo)識符(202)�����,所述標(biāo)識符獨立于移動用戶身份���,在所述鑒權(quán)中心(102,AUC)中存儲所述鑒權(quán)密鑰����,從而基于所述標(biāo)識符(202)可以在所述鑒權(quán)中心(102,AUC)中找到所述鑒權(quán)密鑰�����,將鑒權(quán)密鑰存儲在用戶身份模塊(101���,509�����,SIM)中��,在生成和存儲所述鑒權(quán)密鑰和所述標(biāo)識符(202)之后���,將移動用戶身份存儲在所述用戶身份模塊(101,509����,SIM)中。
6.根據(jù)權(quán)利要求5的方法,其特征在于����,將生成(601)所述鑒權(quán)密鑰過程中同時生成的所述標(biāo)識符(202)與對應(yīng)于所述標(biāo)識符(202)的鑒權(quán)密鑰存儲在同一個用戶身份模塊(101,509�����,SIM)中����。
7.根據(jù)權(quán)利要求6的方法,其特征在于��,將用戶標(biāo)識及其相關(guān)的所述標(biāo)識符(202)存儲在移動通信系統(tǒng)的用戶數(shù)據(jù)庫(DB)中���,同時在所述用戶身份模塊(101��,509��,SIM)中存儲所述用戶身份�,用以指示存儲在所述移動通信系統(tǒng)的鑒權(quán)中心(102���,AUC)中的鑒權(quán)密鑰����。
8.根據(jù)權(quán)利要求6的方法,其特征在于��,從所述移動臺(3012�����,500)向所述移動通信系統(tǒng)發(fā)送存儲在所述用戶身份模塊(101����,509���,SIM)中的用戶身份和所述標(biāo)識符(202)�,用以指示存儲在所述移動通信系統(tǒng)的鑒權(quán)中心(102����,AUC)中的鑒權(quán)密鑰。
9.根據(jù)權(quán)利要求5的方法���,其特征在于����,將鑒權(quán)密鑰生成過程中生成(601)的所述標(biāo)識符(202)附加在存儲著對應(yīng)于所述標(biāo)識符(202)的鑒權(quán)密鑰的用戶身份模塊(101,509��,SIM)上�,從而在所述用戶數(shù)據(jù)庫(DB)中存有所述用戶身份時可以得到所述標(biāo)識符。
10.根據(jù)權(quán)利要求9的方法�,其特征在于,在所述移動通信系統(tǒng)的用戶數(shù)據(jù)庫(DB)中存儲用戶身份以及與所述用戶身份相關(guān)的標(biāo)識符(202)�����,所述標(biāo)識符(202)以前附加在所述用戶身份模塊(101�,509,SIM)上����,以指示存儲在所述移動通信系統(tǒng)的鑒權(quán)中心(102,AUC)中的鑒權(quán)密鑰����,同時在所述用戶身份模塊(101,509���,SIM)中存儲所述用戶身份��。
11.一種移動通信系統(tǒng)�,包括至少一個擁有鑒權(quán)密鑰的鑒權(quán)中心(102,AUC)�、基站(BS)以及移動臺(301,500)��,這些移動臺與所述基站通信���,并且用戶身份模塊(101���,509����,SIM)可以耦合到這些移動臺,其特征在于����,所述移動通信系統(tǒng)包括用于生成標(biāo)識符的標(biāo)識符生成裝置(601),所述標(biāo)識符獨立于移動用戶身份��,并且對應(yīng)于鑒權(quán)時所需的鑒權(quán)密鑰����,所述標(biāo)識符生成裝置(601)在功能上連接到所述鑒權(quán)中心(102,AUC)���,存儲裝置����,用于在所述移動通信系統(tǒng)所包含的存儲位置(SIM,DB)中存儲對應(yīng)于所述鑒權(quán)密鑰的標(biāo)識符��,在鑒權(quán)時可以存取所述存儲位置�����,用于所述鑒權(quán)中心(102��,AUC)中存儲所述鑒權(quán)密鑰����,以便基于所述標(biāo)識符(202)在所述鑒權(quán)中心中找到所述鑒權(quán)密鑰,并且用于將所述鑒權(quán)密鑰存儲在所述用戶身份模塊(101���,509�����,SIM)中����,傳送裝置(510),用于將至少一個標(biāo)識符(202)從所述存儲位置(SIM���,DB)傳送到所述鑒權(quán)中心��,其中所述鑒權(quán)中心被設(shè)置成基于所述標(biāo)識符(202)檢索對應(yīng)于所述標(biāo)識符(202)的鑒權(quán)密鑰�,并且使用基于所述標(biāo)識符(202)檢索到的鑒權(quán)密鑰執(zhí)行鑒權(quán)��。
全文摘要
本發(fā)明公開了一種移動通信系統(tǒng)中鑒權(quán)密鑰的管理方法����,移動通信系統(tǒng)包括至少一個鑒權(quán)中心、多個基站以及與基站通信的移動臺�����,其中用戶身份模塊可以耦合到這些移動臺�����,包括下述步驟生成鑒權(quán)密鑰和對應(yīng)于鑒權(quán)密鑰的標(biāo)識符����,標(biāo)識符獨立于移動用戶身份��,通過標(biāo)識符可以在鑒權(quán)中心找到對應(yīng)于標(biāo)識符的鑒權(quán)密鑰,在鑒權(quán)中心中存儲鑒權(quán)密鑰����,從而基于標(biāo)識符可以在鑒權(quán)中心找到鑒權(quán)密鑰,將鑒權(quán)密鑰及對應(yīng)于鑒權(quán)密鑰的標(biāo)識符存儲在用戶身份模塊中�����;從移動臺向移動通信系統(tǒng)的基站傳送存儲在用戶身份模塊中的標(biāo)識符���;基于標(biāo)識符���,從鑒權(quán)中心檢索對應(yīng)于標(biāo)識符的鑒權(quán)密鑰;使用基于標(biāo)識符檢索到的鑒權(quán)密鑰執(zhí)行鑒權(quán)��。
文檔編號H04L9/08GK101076190SQ200710085049
公開日2007年11月21日 申請日期1997年1月23日 優(yōu)先權(quán)日1996年1月24日
發(fā)明者朱考·阿維奈南 申請人:伊茲安全網(wǎng)絡(luò)有限公司