CN100454808C

CN100454808C - 一种鉴权方法、设备和系统

Info

Publication number: CN100454808C
Application number: CNB008049238A
Authority: CN
Inventors: 安蒂·休马
Original assignee: Nokia Oyj
Current assignee: Nokia Oyj
Priority date: 1999-02-11
Filing date: 2000-02-10
Publication date: 2009-01-21
Anticipated expiration: 2020-02-10
Also published as: JP4313515B2; GB9903124D0; AU2803800A; CA2362905C; WO2000048358A1; CN1345498A; US20020164026A1; EP1151578A1; JP2002541685A; CA2362905A1

Abstract

本发明公开了一种利用第一和第二方所信任的第三方来鉴权所述第一和第二方之间通信的鉴权方法，包括步骤：由所信任的第三方利用所述第一方的参数来计算第一鉴权输出值，以及利用所述第一鉴权输出值来计算第二鉴权输出值，并发送所述第二鉴权输出到所述第二方；所述第一方计算第一鉴权输出值，并发送所述第一鉴权输出值到所述第二方；以及所述第二方根据从所述第一方接收的所述第一鉴权输出值，计算第二鉴权输出值，并比较所计算的第二鉴权输出值与从信任的第三方接收的第二鉴权输出值，从而如果这两个第二鉴权输出值相同，则所述第一方被鉴权。

Description

一种鉴权方法、设备和系统

技术领域

本发明涉及一种用于但不专门用于例如无线蜂窝通信网络的鉴权方法，本发明还涉及一种利用这种方法的系统。

背景技术

图1示出了一种典型的蜂窝无线网络1。该网络覆盖的区域被划分为多个小区2。每个小区2由一个基站收发信台4服务，基站收发信台4发送信号到位于一个特定基站收发信台4相关的小区内的终端6，并从终端6接收信号。终端6可为移动台，能在小区2之间移动。由于信号在终端6和基站收发信台4之间是通过无线电波传输的，因此，未经授权的第三方可能接收这些信号。

因此，在已知的无线蜂窝网络中，应提供鉴权用于识别正确的移动台，而且应使用加密来防止第三方窃听。图2示意的为在GSM(全球移动通信系统)标准中执行的过程。在第一步骤S1，移动台MS通过基站向移动业务交换中心(MSSC)请求呼出。来访位置寄存器(VLR)通过移动业务交换中心被通知该请求。VLR控制鉴权过程。

每个移动终端有一个识别号，这种识别号有时在GSM标准中称为IMSI(国际移动用户身份)号。MSSC转发移动终端的IMSI到VLR。IMSI的信息最初由移动台提供。VLR接着在第二步骤S2发送IMSI与VLR的身份到移动台的归属位置寄存器HLR。这就确保任何输入呼叫可送至当前位置的移动台。一旦HLR接收到IMSI，就请求鉴权中心AC提供移动用户的密钥KI。密钥KI同时存在于鉴权中心AC和移动台。

在第三步骤S3，鉴权中心使用密钥KI和一个随机数产生一个签名SRES以及一个用于信道编码的密钥Kc。随机数、密钥Kc以及签名SRES构成了只用于单个通信的三个一组(triplet)。由鉴权中心AC计算的每个三个一组被转发到相关的来访位置寄存器VLR以及移动业务交换中心MSSC。

在步骤S4，VLR传送密钥Kc值到基站控制器(未示出)，以及传送随机数值到移动台。

移动台接着根据鉴权中心使用的同一算法计算签名SRES，而且该签名在步骤S5被传输到VLR。移动台是以移动用户密钥KI和从VLR接收的随机数为基础生成签名的。当移动台生成的签名SRES与鉴权中心AC生成的一致时，就认为鉴权过程完成。一完成鉴权过程，发送的数据就利用密钥Kc和由VLR以编码形式提供给移动台的临时移动用户身份(TSMI)加密。

发明内客

本发明的目的是改进鉴权过程，由此使得通信更为安全。

根据本发明一方面，提供了一种利用第一和第二方所信任的第三方来鉴权所述第一和第二方之间通信的鉴权方法，包括步骤：

由所信任的第三方利用所述第一方的参数来计算第一鉴权输出值，以及利用所述第一鉴权输出值来计算第二鉴权输出值，并发送所述第二鉴权输出值到所述第二方；

所述第一方计算第一鉴权输出值，并发送所述第一方所计算的第一鉴权输出值到所述第二方；以及

所述第二方根据从所述第一方接收的所述第一鉴权输出值，计算第二鉴权输出值，并比较所计算的第二鉴权输出值与从信任的第三方接收的第二鉴权输出值，从而如果这两个第二鉴权输出值相同，则所述第一方被鉴权。

该方法可包括步骤：第一方计算第二鉴权输出值，发送由信任的第三方计算的第二鉴权输出值到所述第一方，以及在第一方比较其计算的第二鉴权输出值和从第三方接收的第二鉴权输出值，从而如果这两个第二鉴权输出值相同，则第二方被鉴权。

信任的第三方计算的第二鉴权输出值最好通过第二站送至第一方。

第一和第二鉴权输出中最好至少一个，最好是都为哈希(hash)函数的输出。为提供安全的通信方法使用双散列函数更佳。

第一和第二散列函数都最好是单向的。这意味着第三方实际上不可能确定至少一个参数的值。至少其中一个散列函数的值最好长至少160比特。散列函数值当然也可更长或更短。然而，散列函数越长，授权方解密的难度就越大。

未经授权方能猜测出至少一个所述散列函数值的可能性最好为至多1/2¹⁶⁰数量级。换句话说，如果至少一个参数未知则猜测散列函数值的可能性微乎其微。这就进一步增强了各方之间通信的安全性。

其中一个输出最好包括一个第一和第二方共用的密码(secret)。这个密码最好只为第一和第二方知晓。该密码最好是通过Diffie-Hellman密钥交换建立的。

该共用密码最好被至少一方用于加密第一方和第二方之间的通信。这使得第一方和第二方之间的通信很安全。

该共用密码最好为g^xymod n，其中g为Diffie-Hellman密钥交换的生成数、x和y为随机数，而n为Diffie-Hellman函数的模。

最好有至少一个随机数用于加密第一和第二方之间的通信。这个随机数可作为该共用密码的补充或替代。最好在改变至少一个随机数时重新给加密函数指定一个密钥.

至少一个参数的值最好从第一站送至第二站。同样地，至少一个参数的值最好从第二站送至第一站。这使得信息能在各方之间交换，而且例如，使得能计算该共用密码。

信任的另一方最好与第二方建立安全连接。

至少一方的身份最好仅以编码形式送至另一方。例如，该身份可包含于第一和第二鉴权输出的其中一个内。或者该身份可以独立加密的形式发送。由于一方的身份对保持安全通信很重要，因此未经授权的第三方应无法获得第一或第二方的身份，这一点很重要。

该方法最好用于有线或无线的通信网络。第一和第二方中一方可为移动台，而另一方可为基站。

根据本发明第二方面，提供一种用于鉴权第一和第二方之间通信的鉴权方法，该方法包括步骤：利用至少一个参数计算第二散列函数的第一散列函数值；从第一方发送计算的第二散列函数的第一散列函数值到第二方，所述第二方有利用该至少一个参数独立计算的第二散列函数的第一散列函数值；以及比较从第一方接收的第二散列函数的第一散列函数值与独立计算的第二散列函数的第一散列函数值，借此，如果这两个值相同，则第一方被鉴权。

根据本发明的再一个方面，提供了一种利用第一设备和第二设备信任的第三设备与所述第二设备通信的第一设备，所述第一设备包括：

接收装置，用于从所述第二设备接收由所述第二设备计算的第一鉴权输出值以及从所述信任的第三设备接收第二鉴权输出值，其中所述第二鉴权输出值是由所述信任的第三设备利用由所述信任的第三设备使用所述第二设备的第一参数所计算出的第一鉴权输出值来计算的；

计算装置，用于根据从所述第二设备接收的第一鉴权输出值计算第二鉴权输出值；以及

比较装置，用于比较所计算的第二鉴权偷出值与从信任的第三设备接收的第二鉴权输出值，从而如果这两个第二鉴权输出值相同，则所述第二设备被鉴权。

根据本发明的再一个方面，提供了一种无线通信系统，包括如上所述的第一设备和第二设备，其中所述第二设备用于计算第一鉴权输出值，并发送第一鉴权输出值到所述第一设备。

附图说明

为更好地理解本发明以及如何实现本发明，现在通过举例参考附图，其中：

图1示出了本发明的实施例可使用的一种已知蜂窝网络；

图2示出了一种已知的鉴权协议；

图3示意了一种体现本发明的利用签名的密钥交换；

图4示意了一种体现本发明的利用信任的第三方的密钥交换；

图5示意了一种体现本发明的不使用移动台识别的密钥交换；

图6示意了一种体现本发明的不重新鉴权的密钥重置；

图7示意了一种体现本发明的具有共享秘密鉴权的密钥重置；

图8示意了一种体现本发明的具有签名鉴权的密钥重置；

图9示意了一种体现本发明的利用第三方鉴权的密钥重置，以及；

图10示出了图1所示的网络分层结构部分。

具体实施方式

为帮助理解本发明的实施例，现在将所使用的一些缩略语归纳如下：

U-UMTS(通用移动通信业务)用户识别，有时称为IMUI(国际移动用户身份)。换句话说，U表示移动台的身份。

n-Diffie-Hellman密钥交换的模，通常为一个大的素数，换句话说，这表示使用的模算术。模算术为计数的循环形式，这样对于得到的任何结果，结果本身不会使用。而使用被模n除后的余数。

g-Diffie-Hellman密钥交换的生成数，g可为大于2小于等于n-1的任何适当整数。

x，y-在Diffie-Hellman密钥交换中使用的随机指数。换句话说，g升到x和/或y的幂。

R，R’-随机数，也称为临时数(nonces)。通常这些随机数有规则变化。

P，P’-安全参数——包括可用密码、散列函数等信息。

-采用A的签名密钥的

的签名SIG。

-利用密钥k加密的

-利用常参数X参数化的散列函数。换句话说，散列函数根据一个给定的参数X变化。该参数值当然可以改变。

-串接和X(即将两项串接在一起)。

-串接和X。

本发明的实施例使用具有下述特征的签名函数SIG。只应由A和仅由A授权的各方计算，假定

已预先选择而且没有预先签名。为使预先选择

的签名函数

能有效地防止未经授权人伪造，遭遇未经授权人的难度应为2¹⁶⁰或更大。另外，该签名应可由拥有相应验证函数的所有各方验证。该验证函数有时称为验证密钥。

如果X是一个适用于下面要描述的协议中使用的参数化散列函数的参数，那么散列函数将提供下述特征：散列函数的返回值长度应至少为160比特以防止birthday攻击。换句话说，哈希X等于哈希Y的可能性很低，所以第三方通过尝试某些可能值获准接入的可能性很小。该函数应为单向密钥加密函数。散列函数应有较大的域，即可能值集合，集合大小为2^l，l至少为160。如果z已知，则从hash[X](y)＝z计算y值所需的工作量复杂度应为2^l数量级，l为散列函数输出的比特长度，而且l至少为160。知道z值与不知道z值相比，应使攻击者确定hash[X](i)时处于更为不利位置。如果对于属于集合1，2，...k的i，散列函数hash[X](S|y_i)的值已知，而且y_i已知，但只知道S只是一个可能值，那么对于某些X能猜测出hash[X](S|x)值的可能性应为l/O(min(2_l，|Q|))，其中O表示“数量级”，而Q为从中选出在用密钥加密的散列函数中使用的密码S的特定值的集合。例如，如果在加密散列函数中使用的密码S为一个40比特的随机数，那么Q为所有40比特随机数的集合。|Q|表示该集合的大小。“min”选择2^l和|Q|的最小值。

X确定散列函数，而且由于X仅确定所使用的函数，因此它不需要保密。事实上，在一个较长的时期内，参数X可公开并固定。

下面将描述的协议用于执行密钥交换，密钥重交换以及互鉴权。总之，移动台MS和网络或基站收发信台BTS执行一个初始密钥交换协议，以便获得作为Diffie-Hellman密钥交换结果的共用密码S。这个共用密码S为g^xymod n。协议各方还交换一对随机数R，R’。共用密码S串接这两个随机数提供作为密钥源。利用不同参数化散列函数从密钥源中取出不同密钥。通过交换一对新的随机数可执行密钥重置。

利用下述公式也可产生加密进一步通信的密钥：k＝hash[T](g^xymodn|R|R’)，其中T为一个唯一的参数。T可公开或固定，而且可使用一次或多次。

在初始密钥交换协议期间，交换安全参数P。这些安全参数用于通知另一方可用密码、散列函数等。

Diffie-Hellman密钥交换是一种在两方之间建立共用密码的方式。当利用模算术时，在只知g^x时很难计算出x值。通常从g^x计算x，意味着计算g^x的对数，这很容易实现。然而在模算术中情况发生了很大变化；不知道如何从g^x计算x。

因此，在Diffie-Hellman密钥交换中，双方以下述方式建立共用密码：第一方发送“g^x”，第二方发送“g^y”。在此，只有第一方知道x，且只有第二方知道y。然而，g^x和g^y值是公开的。现在共用密码为g^xy。为计算g^xy，需知道值x和y中的至少一个。例如，如果知道x，可计算g^xy为(g^y)^x。计算离散对数，即从g^x计算x很难。因此即使g^x和g^y值公开，其他任何人无法计算出g^xy。

下面参考图3，图3示意了利用签名进行密钥交换的原理。这种密钥交换的目的是建立共用密码S＝g^xymod n，以交换随机数和鉴权双方。

在首次通信时，移动台MS将随机数R与公开的Diffie-Hellman密钥交换参数n和g以及公开密钥g^xmod n一道发送到基站收发信台。移动台还发送安全参数P到基站。这个从移动台MS到基站收发信台的第一消息启动密钥交换，并在图3的步骤A1中示意。

第二消息从基站收发信台BTS发送到移动台MS，并构成图3示意的第二步骤A2。基站收发信台发送随机数R’与另一公开的Diffie-Hellman密钥g^ymod n以及安全参数P’到移动台MS。网络接着标记(sign)该密钥交换和随机数，以便移动台能确保交换顺利进行，不受攻击。这种特定方法防止了称为man in the middle attacks的攻击。这就是，第三方截收移动台发送的信息，在发送到基站之前用其他信息替代来自移动台的通信，以及同样截收从基站接收的移动台通信。该共用密码S＝g^xymod n必须包含在签名中，这样移动台就能确信基站收发信台知道该共用密码。

第二消息中由基站收发信台提供的签名SIG_B如下：

SIG_B(hash[SIG1](n|g|g^x|g^y|g^xy|P|P’|R|R’|B))

B为基站收发信台的识别。

临时密钥k从该共用密码和随机数中计算。随机数包含在临时密钥中，以便利用同一共用密码可进行密钥重置。密钥重置发生在产生一个新的临时密钥时。下面将详细描述通过提供新的随机数R和R’可实现密钥重置。临时密钥k等于hash[TKEY](g^xymod n|R|R’)。

移动台执行关于签名SIG_B的验证函数。验证函数和签名函数有关，以便给定签名函数值，验证函数提供一个接受或拒绝值。接受意味着签名被接受，而拒绝意味着签名无效。换句话说，移动台验证它接收的签名。

在步骤A3，从移动台MS发送到基站收发信台的消息利用临时密钥加密。在加密的消息中包含移动用户U的身份。因此，用户U的身份仅以加密形式发送。加密的身份由E_k(U)表示。除加密的识别外，移动台还发送签名SIG_U，其类似于在步骤A2从基站收发信台发送到移动台的签名。然而，该签名被加密。加密的签名表示如下：

E_k(SIG_U(hash[SIG2](n|g|g^x|g^y|g^xy|P|P’|R|R’|B|U)))

从中可看出，移动用户的身份包含在签名中。尽管移动用户的身份被加密，但是签名不是必须加密，而且加密签名更为方便。应理解的是，签名SIG_B和SIG_U分别包含签名人的身份，即B和U，而且使用签名中的这些身份的目的是，防止第三方窃听签名的哈希值，以及利用不同密钥再次签名。换句话说，包含身份B和U使得这些函数对基站和移动台都是唯一的。

基站收发信台验证从移动台接收的签名，目的是以移动台验证基站的相同方式鉴权移动用户。这可能要求连接移动用户的业务提供商。

下面参考图4，图4示意了利用信任的第三方的密钥交换。如同利用签名的密钥交换一样，这种密钥交换的目的是交换随机数和鉴权双方。

这个协议以与移动台在步骤B1发送n、g值，随机数R、g^xmod n以及参数P到基站收发信台开始。基站收发信台接着发送随机数R’、g^ymodn以及参数P’到移动台。临时密钥k从hash[TKEY](g^xymod n|R|R’)计算。不同于利用签名的密钥交换，这种密钥交换在加密前不鉴权。在第三步骤B3，用户身份U以加密形式E_k(U)从移动台发送到基站收发信台。

在第四步骤B4，基站收发信台利用一个假定为安全且被鉴权的连接，接触信任的第三方TTP，例如用户的业务提供商。基站收发信台BTS因此发送给信任的第三方TTP共用密码的散列函数，Diffie-Hellman公开密钥参数，随机数，通信方的身份以及安全参数。因此，基站收发信台BTS发送下述鉴权散列函数到信任的第三方TTP：

hash[AUTH](n|g|g^x|g^y|g^xy|P|P’|R|R’|B|U)

移动用户U的身份已被信任的第三方知晓。这可通过任何适当的方式实现。

在本发明的实施例中，最好发送g^xy的散列函数而不是加密密钥k。由于加密密钥k可能短于g^xy，因此很容易攻击。首先，共用的加密数据g^xymod n假定被基站和移动台共用，但不被它人共用。在基站和移动电话之间有一个脱机分配的第二、长期的共用密码。这个长期密码可能位于移动电话或类似电话的SIM卡内。用于得到会话密钥的第一密码g^xymod n和第二密码被使用，以便移动电话能鉴权基站。

在第五步骤B5，信任的第三方从基站收发信台发送的共用加密数据串接hash[AUTH]计算该密码的散列函数。由信任的第三方计算的哈希值的散列函数再次被信任的第三方计算。信任的第三方接着发送这个最后计算的哈希值到记录该值的基站收发信台。由信任的第三方发送到基站收发信台的值如下：

hash[RESP](hash[SEC](S|hash[AUTH](n|g|g^x|g^y|g^xy|P|P’|R|R’|B|U)))

接着在第六步骤B6，从基站收发信台转发同一值到移动台。移动台能直接计算hash[SEC]值。移动台接着从hash[SEC]计算hash[RESP]，并比较其计算的hash[RESP](hash[SEC])值与从信任的第三方通过基站收发信台接收的值。如果这两个hash[RESP](hash[SEC])值相同，那么移动台知道归属位置寄存器已鉴权基站收发信台和Diffie-Hellman密钥交换。如果这两个hash[RESP](hash[SEC])值不相同，这指示存在鉴权问题或某人正在攻击系统。

最后在第七步骤B7，移动台发送hash[SEC]值，而不进一步做散列函数到基站。基站收发信机检测hash[SEC]的哈希是否为基站已接收的同一哈希值，即来自信任的第三方的hash[RESP]hash[SEC]。如果从信任的第三方接收的hash[RESP]hash[SEC]值与基站收发信台计算的值相同，那么基站收发信台就能确定移动台能计算正确的hash[SEC]函数，由此移动用户被鉴权。同时Diffie-Hellman密钥交换也被鉴权。

利用图3和图4描述的两种密钥交换，如果Diffie-Hellman公开参数n和g已知，例如为常数，那么它们可不出现在第一消息中。

现在参考图5，图5示意了一种不要求移动用户身份的密钥交换。这种过程的目的是在移动台和基站收发信台之间分配共用密码和随机数，以及鉴权网络。然而，移动用户未被鉴权，而且实际上仍为匿名状态。

在第一步骤C1，移动台发送在图3和图4所示的利用签名的密钥交换以及利用信任的第三方的密钥交换的第一步骤中发送的相同信息到基站收发信台。

基站接着在步骤C2发送在利用签名的密钥交换(图3)中发送的相同信息到移动台，并且还签名该信息。利用这个密钥交换，基站无法确认与之通信的移动台的身份。然而，基站收发信台的签名能确保密钥交换顺利。换句话说，未识别的移动台能检测出是否有人在攻击，并在需要时断开连接。基站无法检测攻击的人，但它也不需要这么做。尤其是基站肯定不会发送保密的关键信息到未识别的一方。这可用于接入诸如因特网的公众网络，在此情况下不要求移动台的身份识别。

现在参考图6，图6示出了一种不要求新鉴权的简单密钥重置过程。这个协议的目的是分配新随机数用于执行密钥重置。

密钥重置意味着可产生一个用于加密目的的新临时密钥k。为避免在移动台和基站之间消息被未经授权地解密，应频繁地重置密钥。

在第一步骤D1，移动台发送该新随机数R_new到基站收发信台。在第二步骤D2，基站收发信台发送第二新随机数R_new′到移动台。利用这个特定协议，随机数不必保密。然而，应保护随机数的完整。换句话说，随机数在移动台和基站收发信台之间传输时不应修改。这是为了保证质量，而不是出于安全目的。D1和D2两个步骤的顺序当然可以颠倒。

新临时密钥k可从等式hash[T](g^xymod n|R|R’)中推导出来。因此，原始的共用密码可用于确定新密钥。这种可能性是因为原始共用密码g^xymod n本身从未被用作密钥。因此，即使利用老随机数组合共用密码的老密钥已被泄露，新密钥还是很安全。还应理解的是，即使新随机数的身份已公开，这种协议还是很安全。这是因为利用散列函数，即使知道了随机数的识别，还是无法推导出共用密码或密钥。

下面参考图7，图7示出了鉴权各方的密钥重置过程。在第一步骤E1，移动台发送新随机数R_new到基站收发信台。在第二步骤E2，基站收发信台发送第二新随机数R_new′到移动台MS。在第三步骤E3，移动台发送一个具有下述形式的hash签名到基站收发信台：hash[SIG1](n|g|g^x|g^y|g^xy|P|P’|R_new|R’_new|B|U)

基站将计算hash[SIG1]值，并将其与从移动台接收的hash[SIG1]相比较。如果这两个值相同，那么新随机数和移动台都被鉴权。

在第四步骤E4，基站收发信台提供下述形式的哈希值到移动台：hash[SIG2](n|g|g^x|g^y|g^xy|P|P’|R_new|R’_new|B)。这些值使得随机数通过被捆绑到当前共用密码被鉴权。移动台将验证hash[SIG2]值。如果hash[SIG2]被验证，那么新随机数和基站被再次鉴权。

现在参考图8，图8示出了利用签名鉴权的密钥重置协议。在这个过程中，双方都被重新鉴权。

在第一步骤F1，移动台发送新随机数R_new到基站收发信台。在第二步骤F2，基站收发信台发送第二新随机数R_new′到移动台，并签名下述的签名散列函数：

SIG_B(hash[SIG1](n|g|g^x|g^y|g^xy|P|P’|R_new|R’_new|B))

移动台能利用前面概述的这些新随机数计算一个新加密密钥。移动台还能利用一个验证函数鉴权基站。

这个新加密密钥k因此为hash[TKEY](g^xy mod n|Rnew|R’new)。在第三步骤F3，移动台发送具有下述形式的散列函数hash[SIG]加密的签名到基站收发信台：E_k(SIG_u(hash[SIG2](n|g|g^x|g^y|g^xy|P|P’|R_new|R’_new|B|U))。移动台发送的签名被加密。这个过程不是必要的，但对于需要加密的其它信息来说更为方便。该加密使用新加密密钥k。基站通过验证签名能鉴权移动台。如果该验证函数被接受，那么移动台被鉴权。

下面参考图9，图9示出了利用第三方鉴权的密钥重置。在第一步骤G1，移动台发送新随机数R_new的识别到基站。在第二步骤G2，基站收发信台发送鉴权散列函数hash[AUTH](n|g|g^x|g^y|g^xy|P|P’|R_new|R’_new|B|U)与移动台身份U到信任的第三方。鉴权散列函数包含第二新随机数R′_new。由于基站和信任的第三方之间的连接是安全的，因此无需加密移动台的身份U。信任的第三方在第三步骤G3计算哈希共用密码S的hash[RESP]，它包含鉴权散列函数和共用密码，并发送这个值到基站。该鉴权散列函数与从基站接收的相同。

在第四步骤G4，基站发送其从信任的第三方接收的相同值与第二新随机数R_new值到移动台。移动台利用新随机数值计算hash[SEC]值，并由此计算hash[RESP]值。移动台检查从基站收发信台得到的值是否等于其计算的值。如同前面参考图4描述的利用信任的第三方的密钥交换，如果这两个值相同，则移动台知道归属位置寄存器已鉴权了基站收发信台和密钥交换。

移动台接着在步骤G5发送hash[SEC]值，而不再做散列函数到基站收发信台。基站收发信台接着检查从移动台接收的hash[SEC]的哈希值是否等于基站收发信台从信任的第三方接收的值。如果确实等于，那么基站收发信台知道移动台能计算hash[SEC]函数，由此用户被鉴权。

在上面描述的所有密钥重置过程中，随机数无需保密。

由此可见，在这些协议中使用了15种不同消息。这些消息归纳如下：

1.n，g

2.R

3.R’

4.P

5.P’

6.g^xmod n

7.g^ymod n

8.n|g|g^x|g^y|g^xy|P|P’|R|R’|B

9.n|g|g^x|g^y|g^xy|P|P’|R|R’|B|U

10.SIG_B(hash[SIG1]n|g|g^x|g^y|g^xy|P|P’|R|R’|B)

11.E_k(SIG_u(hash[SIG2](n|g|g^x|g^y|g^xy|P|P’|R|R’|B|U))

12.E_k(U)

13.hash[AUTH](n|g|g^xymod n|R|R’|B|U)，U

14.hash[RESP](hash[SEC]S|hash[AUTH](n|g|g^xymod n|R|R’|B|U))

15.hash[SEC](S|hash[AUTH](n|g|g^xymod n|R|R’|B|U))

由此看出，其中一些消息共用一种通用结构，即消息2和3、消息4和5以及消息6和7。这使得总共有12种不同类型的消息。这种协议族的优点在于，仅利用少量的不同消息就能实现相对大量的不同协议。

因此，前面陈述的各种不同方法可定义一个由有限数量的消息构成的方法族。因此，在本发明的实施例中，能选择其中一种方法。在确定使用何种方法时，可使用各种不同标准。例如，可随机选择不同方法。只要预先选择了一种密钥交换方法就总是能选择一种密钥重置方法。这种方法可根据第一和/或第二方(或提供的信任的第三方)的处理能力选择。由于使用了最后一种方法，这种方法的选择可与时间量无关。或者，这种方法可根据特定方法提供的功能选择，例如，是否使用了信任的第三方、是否要求鉴权，以及如果要求鉴权应使用何种鉴权类型。

在前面描述的装置中，移动台被描述为与基站收发信台通信。应理解的是，尽管通信将通过基站收发信台，但实际上可与任何适当的网络单元进行通信。换句话说，在优选实施例中描述为发生在基站收发信台的某些计算可发生在网络的其它部分，但将传送到正确的基站收发信台。移动台可由任何其它适当的固定或移动终端替代。

本发明的实施例可用于任何适当的无线蜂窝通信网络。现在参考图10，图10示出了网络分层结构。基站BTS 1-4与相应的移动台MS1-6通信。尤其是第一基站BTS1与第一和第二移动台MS 1和2通信。第二基站BTS 2与第三和第四移动台通信，第三基站BTS 3与第五移动台MS 5通信，而第四基站BTS 4与第六移动台MS 6通信。第一和第二基站BTS 1和2连接第一基站控制器BSC 1，而第三和第四基站BTS 3和4连接第二基站控制器BSC 2。第一和第二基站控制器BSC 1和2连接一个移动业务交换中心MSSC。

实际上可提供多个移动业务交换中心，每个移动业务交换中心连接多个基站控制器。通常有两个以上的基站控制器连接一个移动业务交换中心。两个以上的基站可连接到每个基站控制器。当然，许多远不止两个移动台将与一个基站通信。

可在图10所示的任何一个或多个网络单元确定使用何种方法。例如，可在移动台、基站收发信台、鉴权中心、移动业务交换中心等进行确定。或者，可由任何其它适当的单元进行判定。也可提供专用于确定使用方法的单元。信任的第三方可为基站控制器、移动业务交换中心或其它单元。

本发明的实施例也可用于要求鉴权的其它情况，如其它形式的无线通信，或使用固定有线连接的通信。本发明的实施例不仅适用于通信网络，而且适用于有线或无线的点到点连接。

Claims

1.一种利用第一和第二方所信任的第三方来鉴权所述第一和第二方之间通信的鉴权方法，包括步骤：

所述第一方计算所述第一鉴权输出值，并发送所述第一方所计算的第一鉴权输出值到所述第二方；以及

所述第二方根据从所述第一方接收的所述第一鉴权输出值，计算所述第二鉴权输出值，并比较所计算的第二鉴权输出值与从信任的第三方接收的第二鉴权输出值，从而如果这两个第二鉴权输出值相同，则所述第一方被鉴权。

2.根据权利要求1的方法，其中所述方法包括步骤：

所述第一方计算所述第二鉴权输出值，

发送由信任的第三方计算的第二鉴权输出值到所述第一方，并且

所述第一方比较其计算的第二鉴权输出值和从第三方接收的第二鉴权输出值，从而如果这两个第二鉴权输出值相同，则所述第二方被鉴权。

3.根据权利要求2的方法，其中由信任的第三方所计算的第二鉴权输出值通过所述第二方被发送到所述第一方。

4.根据权利要求1、2或3的方法，其中所述第一和第二鉴权输出值的至少一个为散列函数的输出。

5.根据权利要求1、2或3的方法，其中所述第一和第二鉴权输出值均为散列函数的输出，而且所述散列函数均为单向函数。

6.根据权利要求4的方法，其中至少一个所述散列函数值的长度至少为160比特。

7.根据权利要求4的方法，其中一个所述散列函数包括所述第一和第二方共用的一个密码。

8.根据权利要求7的方法，其中所述密码是通过Diffie-Hellman密钥交换建立的。

9.根据权利要求7的方法，其中所述共用密码被至少一方用来加密第一和第二方之间的通信。

10.根据权利要求7的方法，其中所述共用密码为g^xymod n，其中g为Diffie-Hellman密钥交换的生成数，x和y为随机数，而n为Diffie-Hellman函数的模。

11.根据权利要求1的方法，其中至少一个随机数用于加密第一和第二方之间的通信。

12.根据权利要求11的方法，其中加密函数的密钥重置发生在至少一个随机数改变时。

13.根据权利要求1的方法，其中至少一个参数值从第一方发送到第二方。

14.根据权利要求1的方法，其中至少一个参数值从第二方发送到第一方。

15.根据权利要求1的方法，其中信任的第三方与第二方建立安全连接。

16.根据权利要求1的方法，其中所述第一和第二方中至少一方的身份仅以编码形式发送到所述第一和第二方的另一方。

17.根据权利要求16的方法，其中在所述第一和第二鉴权输出值的其中一个中发送所述身份。

18.根据权利要求16的方法，其中所述身份以加密形式发送。

19.根据权利要求1的方法，其中所述方法用于电信网络。

20.根据权利要求19的方法，其中所述第一和第二方中至少一方包括移动台。

21.根据权利要求20的方法，其中所述第一和第二方中至少一方包括基站。

22.一种利用第一设备和第二设备信任的第三设备与所述第二设备通信的第一设备，所述第一设备包括：

比较装置，用于比较所计算的第二鉴权输出值与从信任的第三设备接收的第二鉴权输出值，从而如果这两个第二鉴权输出值相同，则所述第二设备被鉴权。

23.根据权利要求22的第一设备，其中所述第一设备为移动台。

24.根据权利要求22的第一设备，其中所述第一设备为基站收发信台。

25.根据权利要求22、23或24的第一设备，其中所述第一设备从信任的第三设备经第二设备接收所述第二鉴权输出值。

26.一种无线通信系统，包括根据权利要求22到25中任何一个的第一设备和第二设备。