CN100518056C - 网络设备生成用户卡鉴权随机数的方法及鉴权方法 - Google Patents
网络设备生成用户卡鉴权随机数的方法及鉴权方法 Download PDFInfo
- Publication number
- CN100518056C CN100518056C CNB2004100868720A CN200410086872A CN100518056C CN 100518056 C CN100518056 C CN 100518056C CN B2004100868720 A CNB2004100868720 A CN B2004100868720A CN 200410086872 A CN200410086872 A CN 200410086872A CN 100518056 C CN100518056 C CN 100518056C
- Authority
- CN
- China
- Prior art keywords
- authentication
- terminal
- random number
- network
- user card
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3242—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Power Engineering (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种移动通信网络中的鉴权方法。在该方法中,预先在网络设备和移动终端中分别设置对应该移动终端的安全密钥和终端鉴权序列号。在需要鉴权时,网络设备生成终端鉴权随机数,根据安全密钥、终端鉴权序列号和终端鉴权随机数生成终端消息鉴权编码。网络设备根据终端鉴权随机数、终端鉴权序列号和终端消息鉴权编码生成用户卡鉴权随机数,并将该用户卡鉴权随机数发送给移动终端。移动终端然后根据自己设置的安全密钥和接收的用户卡鉴权随机数判断对网络的鉴权是否通过。本发明同时还同开了一种网络设备生成用户卡鉴权随机数的方法和终端对网络进行鉴权的方法。
Description
技术领域
本发明涉及鉴权技术,具体涉及移动通信网络中网络设备生成用户卡鉴权随机数的方法和相应的鉴权方法。
背景技术
目前的移动终端大多数采用机卡分离的方式,也就是移动终端本身和保存了用于验证无线网络用户的信息的用户卡是两个独立的部分,在使用时将它们结合在一起即可。目前的用户卡主要是用于无线通信系统中的用户标识模块卡,比如,全球移动通信(GSM)系统的用户标识模块(SIM)卡、宽带码分多址(WCDMA)通信系统的USIM卡或码分多址(CDMA)通信系统的UIM卡等等。这种方式具有很多突出的优点,例如用户想更换一个移动终端的话,只需要购买一个新的移动终端并且将原有的用户卡插入到新的移动终端即可,这样,由于用户的信息不需要改变,因此用户也不需要向通信运行商办理任何更换移动终端的手续。这种方式还有一个更加突出的优点是,移动通信运营商开展移动业务比如放号等工作可以和移动终端的销售工作很好地分离开来,从而便于移动业务的开展,以及终端销售的相对独立,给移动业务营运和终端销售带来很大的灵活性。
但是采用机卡分离方式给用户带来极大方便的同时,也导致移动终端被盗和被抢现象时有发生,以至于在有些地方人们不敢将移动终端挂在腰间。因为在机卡分离方式下,只要在所盗抢的移动终端上换上一个新的用户卡就可以毫无障碍地使用。这样盗贼可以将所盗抢的移动终端再销售出去从而获利。这样,用户不但经济利益受到损失,而且还需要去通信运营商处办理一系列手续,例如更改签约数据,给用户带来了很大的不便,同时,移动终端的丢失,用户保存在移动终端里的常用信息,比如号码簿记录等等也会丢失,将给用户日常生活和工作造成很大的影响。
在目前有些移动通信网络,如第三代移动通信网络的通用移动通信系统(UMTS)所使用的鉴权方法中,用户卡可以对移动通信网络进行鉴权,当鉴权成功后,用户卡可以正常使用,而当鉴权失败后,用户卡不能在移动通信网络中正常使用。但是这种方法只能解决移动终端中用户卡安全性问题,而不能解决移动终端本身防盗的问题。例如,盗贼盗抢了合法用户的移动终端之后,可以将合法用户的用户卡更换为自己的用户卡,这样在现有的鉴权方法中该用户卡将会鉴权成功,这样盗贼依然可以使用该盗抢的移动终端而不能禁止被盗手机继续使用,从而不能达到对移动终端进行防盗的作用。而第二代移动通信网络也不支持机卡分离的终端对网络鉴权,因此,也不能解决防盗问题。
发明内容
有鉴于此,本发明的一个发明目的是提供一种移动通信系统中网络侧设备生成用户卡鉴权随机数的方法,以使移动终端通过这种定制的用户卡鉴权随机数可以对网络进行鉴权,从而提高移动终端的安全性,防止移动终端被盗抢。
本发明的另一个目的是提供一种移动通信系统中移动终端利用用户卡鉴权随机数对网络进行鉴权的方法,以通过对网络的鉴权提高移动终端的安全性,从而防止移动终端被盗抢后继续使用。
本发明还有一个目的是提供一种移动通信系统中的鉴权方法,以通过移动终端对网络的鉴权提高移动终端的安全性,从而防止移动终端被盗抢。
根据本发明的第一个方面,一种移动通信系统中网络设备生成用户卡鉴权随机数的方法至少包括:
a.预先在网络设备中设置对应于移动终端的安全密钥和终端鉴权序列号;
b.网络设备生成终端鉴权随机数,根据所述安全密钥、所述终端鉴权序列号和该终端鉴权随机数生成终端消息鉴权编码;
c.网络设备根据所述终端鉴权随机数、所述终端鉴权序列号和所述终端消息鉴权编码生成新的用户卡鉴权随机数。
较佳地,步骤c所述根据终端鉴权随机数、终端鉴权序列号和终端消息鉴权编码生成新的用户卡鉴权随机数是将终端鉴权随机数、终端鉴权序列号和终端消息鉴权编码组合成用户卡鉴权随机数。
较佳地,网络设备是归属位置寄存器/验证中心HLR/AUC。该方法可以进一步包括:HLR/AUC将生成的用户卡鉴权随机数发送给MSC/VLR或SGSN。另外,该方法可以进一步包括:HLR/AUC根据用户卡鉴权随机数生成包含了该用户卡鉴权随机数的鉴权集,并进一步包括HLR/AUC将生成的鉴权集发送给MSC/VLR或SGSN。
本发明提供了另一种移动通信系统中网络设备生成用户卡鉴权随机数的方法,以使移动终端通过所述用户卡鉴权随机数可以对网络进行鉴权,至少包括:
a.预先在网络设备中设置对应于移动终端的安全密钥和终端鉴权序列号;
x.判断是否执行根据安全密钥生成用户卡鉴权随机数的步骤,如果是,执行步骤b;否则不执行根据安全密钥生成用户卡鉴权随机数的步骤;
b.网络设备生成终端鉴权随机数,根据所述安全密钥、所述终端鉴权序列号和该终端鉴权随机数生成终端消息鉴权编码;
c.网络设备根据所述终端鉴权随机数、所述终端鉴权序列号和所述终端消息鉴权编码生成新的用户卡鉴权随机数。
由于移动通信系统中的网络设备在生成用户卡鉴权随机数时,使用了预先设置的对应于移动终端的安全密钥,从而使本发明方法的用户卡鉴权随机数不同于现有技术中没有考虑安全密钥的用户卡鉴权随机数,再配合移动终端在接收到用户卡鉴权随机数后的处理,即可实现由移动终端对网络进行鉴权,而不同于现有技术中移动终端仅仅将用户卡鉴权随机数传送给用户卡,而移动终端自己却不根据用户卡鉴权随机数对网络进行鉴权的情况。
在由移动终端对网络进行鉴权的情况下,如果移动终端被盗抢,非法用户在更换一个用户卡之后,由于移动终端中保存的安全密钥是对应于网络侧按照合法用户卡为该移动终端设置的安全密钥,比如合法用户的签约信息里设置的安全密钥,而和非法用户的签约信息里设置的安全密钥不一致,因此移动终端对网络的鉴权将不会通过,这样,非法用户将不能正常使用该移动终端;或者安全密钥是对应于网络侧按照该移动终端标识设置的安全密钥,这样一旦用户在丢失移动终端后去运营商处修改网络侧对应于自己的移动终端设备的安全密钥信息,该移动终端对网络的鉴权也不会通过,因此该移动终端也将不能正常使用。因此,移动终端对网络的鉴权可以有效地提高移动终端的安全性,并有效防止移动终端被盗抢。
进一步,通过将根据终端鉴权随机数、终端鉴权序列号和终端消息鉴权编码得到的新的用户卡鉴权随机数代替现有鉴权方法中的普通的用户卡鉴权随机数,只需升级HLR/AUC和移动终端即可实现本发明,而不需要更改大量的MSC/VLR或SGSN等网络设备,使本发明和现有技术的兼容性更好,更有利于本发明的实施。
根据本发明的第二个方面,一种移动通信网络中移动终端对通信网络进行鉴权的方法至少包括:
a.预先在移动终端中设置安全密钥和终端鉴权序列号;
b.移动终端在接收到来自网络侧设备的根据终端鉴权随机数、终端鉴权序列号和终端消息鉴权编码生成的用户卡鉴权随机数之后,根据自己设置的安全密钥和接收的用户卡鉴权随机数判断对网络的鉴权是否通过。
较佳地,步骤b所述根据自己设置的安全密钥和接收的用户卡鉴权随机数判断对网络的鉴权是否通过包括:
b1.从所述用户卡鉴权随机数中解析出终端鉴权随机数、终端鉴权序列号和终端消息鉴权编码;
b2.根据自己设置的安全密钥、解析出的终端鉴权序列号和终端鉴权随机数计算得到终端消息鉴权编码;
b3.比较计算得到的终端消息鉴权编码和解析出的终端消息鉴权编码是否一致,如果一致,判定对网络的鉴权通过;否则判定对网络的鉴权失败。
较佳地,步骤b所述根据自己设置的安全密钥和接收的用户卡鉴权随机数判断对网络的鉴权是否通过包括:
b1.从所述用户卡鉴权随机数中解析出终端鉴权随机数、终端鉴权序列号和终端消息鉴权编码;
b2.根据自己设置的安全密钥、解析出的终端鉴权序列号和终端鉴权随机数计算得到终端消息鉴权编码;
b3.比较计算得到的终端消息鉴权编码和解析出的终端消息鉴权编码是否一致,如果一致,则执行步骤b4;否则判定对网络的鉴权失败;
b4.判断解析出的终端鉴权序列号和自己设置的终端鉴权序列号是否满足预定条件,如果是,判定对网络的鉴权通过;否则执行同步终端鉴权序列号的步骤。这里的预定条件为解析出的终端鉴权序列号和自己设置的终端鉴权序列号的差值在一个预定范围内。
另一种移动通信网络中移动终端对通信网络进行鉴权的方法,至少包括:
a.预先在移动终端中设置安全密钥和终端鉴权序列号;
x.判断是否执行根据安全密钥和用户卡鉴权随机数判断对网络的鉴权是否通过的步骤,如果是,执行步骤b;否则不执行终端对网络的鉴权步骤;
b.移动终端在接收到来自网络侧设备的根据终端鉴权随机数、终端鉴权序列号和终端消息鉴权编码生成的用户卡鉴权随机数之后,根据自己设置的安全密钥和接收的用户卡鉴权随机数判断对网络的鉴权是否通过。
由于移动终端在接收到用户卡鉴权随机数之后根据自己保存的安全密钥和接收到的用户卡鉴权随机数直接判断对网络的鉴权是否通过,而不同于现有技术中移动终端仅仅将用户卡鉴权随机数传送给用户卡,而移动终端自己却不根据用户卡鉴权随机数对网络进行鉴权的情况。如前所述,由于实现了由移动终端自身对网络的鉴权,提高了移动终端的安全性,有效防止了移动终端被盗抢。
根据本发明的第三个方面,一种移动通信网络中的鉴权方法至少包括:
a.预先在网络设备和移动终端中分别设置对应该移动终端的安全密钥和终端鉴权序列号;
b.网络设备生成终端鉴权随机数,根据所述安全密钥、所述终端鉴权序列号和该终端鉴权随机数生成终端消息鉴权编码;
c.网络设备根据所述终端鉴权随机数、所述终端鉴权序列号和所述终端消息鉴权编码生成用户卡鉴权随机数,并将该用户卡鉴权随机数发送给移动终端;
d.移动终端根据自己设置的安全密钥和接收的用户卡鉴权随机数判断对网络的鉴权是否通过。
较佳地,根据自己设置的安全密钥和接收的用户卡鉴权随机数判断对网络的鉴权是否通过包括:
d1.从所述用户卡鉴权随机数中解析出终端鉴权随机数、终端鉴权序列号和终端消息鉴权编码;
d2.根据自己设置的安全密钥、解析出的终端鉴权序列号和终端鉴权随机数计算得到一个终端消息鉴权编码;
d3.比较计算得到的终端消息鉴权编码和解析出的终端消息鉴权编码是否一致,如果一致,判定对网络的鉴权通过;否则判定对网络的鉴权失败。
网络设备可以是HLR/AUC,此时该方法进一步包括:
HLR/AUC根据鉴权密钥和用户卡鉴权随机数生成包含用户卡鉴权随机数的鉴权集,并将该鉴权集发送给MSC/VLR或SGSN;
鉴权时,MSC/VLR或SGSN从鉴权集中取出用户卡鉴权随机数,并将该用户卡鉴权随机数发送给移动终端。
如前所述,由于结合了第一方面和第二方面,因此实现了由移动终端自身对网络的鉴权,提高了移动终端的安全性,有效防止了移动终端被盗抢。进一步,通过将根据终端鉴权随机数、终端鉴权序列号和终端消息鉴权编码得到的新的用户卡鉴权随机数代替现有鉴权方法中普通的用户卡鉴权随机数,只需升级HLR/AUC和移动终端即可实现本发明,而不需要更改大量的MSC/VLR或SGSN等网络设备,使本发明和现有技术的兼容性更好,更有利于本发明的实施。
附图说明
图1是根据本发明的网络设备生成用户卡鉴权随机数的总体流程图。
图2是根据本发明的网络设备生成用户卡鉴权随机数的一个具体实施例的流程图。
图3是根据本发明的移动终端对网络进行鉴权的总体流程图。
图4是根据本发明的移动终端对网络进行鉴权的一个具体实施例的流程图。
图5是根据本发明的整体鉴权操作的流程图。
图6是根据本发明的整体鉴权操作的一个具体实施例的流程图。
图7是根据本发明的整体鉴权操作的另一个具体实施例的流程图。
具体实施方式
下面结合附图和具体实施例对本发明进行详细说明。
图1示出了根据本发明的网络设备生成用户卡鉴权随机数(RAND)的总体流程图。如图1所示,在步骤101,首先在网络设备中设置一个对应移动终端的安全密钥(SKEY)和一个终端鉴权序列号(msSQN)。
在步骤102,网络设备在针对某一个移动终端生成RAND时,首先产生一个终端鉴权随机数(msRAND)。
在步骤103,网络设备根据对应该移动终端的SKEY、msSQN和产生的msRAND生成终端消息鉴权编码(msMAC)。
在步骤104,网络设备根据msRAND、msSQN和msMAC生成RAND。
图2示出了网络设备生成RAND的一个具体实施例。这里的网络设备是HLR/AUC。由于本领域技术人员公知,HLR和AUC通常集成在一个设备中,该设备同时起到归属位置寄存器和验证中心的作用,因此这里将该设备称为HLR/AUC。
如图2所示,在步骤201,首先在HLR/AUC中保存对应移动终端的SKEY和msSQN。
在步骤202,HLR/AUC利用自己的随机数发生器产生一个msRAND。
在步骤203,HLR/AUC利用预先设置的对应移动终端的SKEY、msSQN以及msRAND生成msMAC。
在步骤204,HLR/AUC将步骤202中生成的msRAND、步骤203中生成的msMAC和已知的msSQN组合成RAND。
在步骤205,HLR/AUC利用自己保存的鉴权密钥(KI)和RAND产生鉴权集。
对于WCDMA通信网络,HLR/AUC利用自己保存的KI和RAND计算得到期望响应(XRES)、加密密钥(CK)、完整性密钥(IK)和鉴权标记(AUTN),并将RAND、XRES、CK、IK和AUTN组成一个该移动终端的五元组鉴权集。产生AUTN时,首先根据KI、用户卡鉴权序列号(SQN)、鉴权管理域(AMF)和RAND计算得到用户卡消息鉴权编码(MAC),再由SQN、AMF和MAC产生AUTN。
对于GSM通信网络,HLR/AUC利用自己保存的鉴权密钥(KI)和RAND计算得到符号响应(SRES)、密码密钥(KC),并将RAND、SRES、KC组成一个该移动终端的三元组鉴权集。
在步骤206,HLR/AUC将鉴权集发送给MSC/VLR。这里同样由于MSC和VLR通常集成在一个设备中,因此将该设备称为MSC/VLR。
在步骤207,鉴权时,MSC/VLR在该移动终端的相应的鉴权集中提取出RAND,将其发送给移动终端。对于WCDMA网络来说,MSC/VLR还要将AUTN也发送给移动终端。
这里,步骤204中将msRAND、msMAC和msSQN组合成RAND可以是简单地将它们并接在一起。例如现有协议规定HLR/AUC发送给MSC/VLR的RAND应该是128位,因此现有技术中HLR/AUC利用随机数发生器产生的随机数都是128位的。而本发明的步骤202中可以产生一个64位的msRAND,或者将产生的一个128位随机数分成两个64位的msRAND来使用。并规定msSQN和msMAC都是32位,这样将32位的msMAC和32位的msSQN并接在64位的msRAND之后,即可组成协议规定的128位的新RAND。和现有技术相比,新RAND中包括了msSQN信息和msMAC信息,而msMAC的生成过程又考虑了SKEY信息,因此本发明的新RAND中包括SKEY信息,而不同于现有技术中的纯粹的随机数,使得通过本发明可以利用SKEY实现移动终端对网络的鉴权,进而提高了移动终端的安全性,防止了移动终端被盗抢。
当然可以理解,也可以通过其他方法来根据64位的msRAND、32位的msSQN和32位的msMAC生成128位的新RAND。
上述实施例中,对于GSM网络来说,鉴权集是一个三元组,其中除了RAND之外,还包括SRES、KC,这三个参数发送到MSC/VLR之后由MSC/VLR保存,其中SRES用来在MSC/VLR对移动终端进行鉴权时使用,KC用于数据加解密。对于WCDMA网络来说,鉴权集是一个五元组,其中除了RAND之外,还包括XRES、CK、IK和AUTN。这四个参数发送到MSC/VLR之后由MSC/VLR保存,其中XRES用来在MSC/VLR对移动终端进行鉴权时使用,CK用于数据加解密,IK用于数据完整性验证。
这里,在步骤202之前可以进一步包括一个判断是否执行根据SKEY生成用户卡鉴权随机数的步骤,如果是,执行步骤202及其后续步骤;否则按照现有流程直接生成128位终端鉴权随机数RAND作为用户卡鉴权随机数,然后进行后续处理。
判断是否执行根据SKEY生成RAND可以是预先设置一个安全标志,如果该安全标志是表示需要根据SKEY生成RAND的值,例如1,则意味着需要根据SKEY生成RAND,如果安全标志是表示不需要根据SKEY生成RAND的值,例如0,则意味着不需要根据SKEY生成RAND。
可替代地,判断是否执行根据SKEY生成RAND可以是判断SKEY是否是一个特定值,例如是0,如果是,则表示不需要根据SKEY生成RAND,如果不是0而是其他任意值,则表示需要根据SKEY生成RAND。
在上述方法中,HLR/AUC每产生一次鉴权集之后就对msSQN进行一次更新,换句话说,每个鉴权集都具有不同的msSQN。对于msSQN的更新,可以按照一定的算法进行,算法根据原有的msSQN生成新的msSQN。
上述说明了网络设备侧生成RAND的处理,在网络设备生成RAND之后会将该RAND发送到对应的移动终端,下面说明移动终端接收到该RAND之后所进行的处理。
图3示出了移动通信网络中移动终端对通信网络进行鉴权的总体方法流程。如图3所示,在步骤301,移动终端首先设置一个SKEY和一个msSQN,这里的SKEY和msSQN和网络设备侧设置并保存的对应于自己的SKEY和msSQN一般是相同的。
在步骤302,移动终端在接收到来自网络设备侧的RAND之后,根据该RAND和自己保存的SKEY判断对网络的鉴权是否通过,如果通过,在步骤303可以正常接入网络,如果未通过,则认定自己非法,在步骤304停止自己的正常使用。
这里停止自己的正常使用可以是不允许自己接入网络,或者直接断电或关机等,并且还可以配合例如发送短消息通知亲友或安全机关等操作。
对于图2所示的情况,移动终端对网络进行鉴权的一个具体实施例示于图4。
在图4的步骤401,移动终端首先保存一个SKEY和一个msSQN,这里的SKEY和网络设备侧保存的对应于自己的SKEY是一致的。一般来说,终端和网络侧分别保存的是一对对称密钥,通常情况下这对对称密钥相同。
在步骤402,鉴权时,移动终端在接收到来自MSC/VLR的RAND之后,首先从中解析出msRAND、msSQN和msMAC。
在步骤403,移动终端根据自己的SKEY和从RAND中解析得到的msRAND、msSQN计算得到一个msMAC值,并比较自己计算得到的msMAC值和从RAND中解析出的msMAC值是否一致,如果不一致,则在步骤404判定对网络的鉴权失败;如果一致,则在步骤405移动终端判断RAND是否可以接受,如果可以接受则在步骤406判定对网络的鉴权通过;否则在步骤407向网络发起一个msSQN同步命令。msSQN同步方法可以采用SQN的同步方式来进行。
这里判断RAND是否可以接受是通过判断其中的msSQN来完成的。移动终端和网络侧会预先保存一个同步的msSQN,这样,终端在接收到网络侧的RAND时,会通过比较自己保存的msSQN和从RAND中解析出的msSQN是否满足预定的条件来判断RAND是否可以接受,该预定条件可以是RAND中解析出的msSQN和移动终端自己保存的msSQN的差值在一个预定范围内。如果移动终端判断RAND中解析出的msSQN和自己保存的msSQN的差值在所述预定范围内,则判定RAND是可接受的,否则判定RAND是不可接受的。
移动终端判定RAND可以接受后,使用从用户卡鉴权随机数中解析出的msSQN更新自己保存的msSQN。
这里,在步骤402之前可以进一步包括一个判断是否执行根据SKEY对网络进行鉴权的步骤,如果是,执行步骤402;否则不执行根据SKEY对网络进行鉴权的步骤。
判断是否执行根据SKEY对网络进行鉴权可以是预先设置一个安全标志,如果该安全标志是表示需要根据SKEY对网络进行鉴权的值,例如1,则意味着需要根据SKEY对网络进行鉴权,如果安全标志是表示不需要根据SKEY对网络进行鉴权的值,例如0,则意味着不需要根据SKEY对网络进行鉴权。
可替代地,判断是否执行根据SKEY对网络进行鉴权可以是判断SKEY是否是一个特定值,例如是0,如果是,则表示不需要根据SKEY对网络进行鉴权,如果不是0而是其他任意值,则表示需要根据SKEY对网络进行鉴权。
上面分别说明了网络侧设备生成用户卡鉴权随机数的流程和移动终端侧对网络进行鉴权的流程。下面根据图5说明本发明的移动通信网络中的鉴权方法的流程。
如图5所示,在步骤501,首先在网络设备和移动终端中同时设置一个对应移动终端的SKEY和msSQN。当然,这里网络侧设备设置的SKEY可以是对应移动终端特征信息来设置的SKEY,也可以是对应于用户卡的IMSI来设置的SKEY,也可以根据用户的移动终端号码MSISDN来设置SKEY。
在步骤502,网络设备在针对某一个移动终端生成RAND时,首先产生一个msRAND。
在步骤503,网络设备利用对应该移动终端的SKEY、msSQN和产生的msRAND生成msMAC。
在步骤504,网络设备将msRAND、msSQN和msMAC组合成RAND,并在鉴权时,将RAND发送到对应的移动终端。
在步骤505,移动终端在接收到来自网络设备侧的RAND之后,根据该RAND和自己保存的SKEY判断对网络的鉴权是否通过,如果通过,在步骤506可以正常接入网络,如果未通过,在步骤507停止自己的正常使用。
移动终端判定对网络的鉴权通过后,使用接收的RAND中的msSQN更新自己保存的msSQN。
下面结合图2和图4的具体实施例说明完整的鉴权方法。图6示出了在WCDMA系统应用环境下的实施例。
如图6所示,在步骤601,首先在HLR/AUC和移动终端中同时保存对应移动终端鉴权的SKEY和msSQN。
在步骤602,HLR/AUC产生一个msRAND。HLR/AUC上有一个随机数产生器,通过该产生器可以直接产生msRAND,也可以在产生一个临时随机数后,通过变换得到msRAND。比如,要求msRAND为64位,而实际随机数产生器产生的随机数为128位,这时,可以将128位的随机数分成两个64位的随机数分别作为两个msRAND来使用。
在步骤603,HLR/AUC利用预先保存的对应移动终端的SKEY、msSQN以及msRAND生成msMAC。
在步骤604,HLR/AUC将msRAND、msSQN和msMAC组合成RAND。如前所述,这里的组合可以是简单地将它们并接在一起,例如将64位的msRAND、32位的msSQN和32位的msMAC并接形成128位的RAND。
在步骤605,HLR/AUC利用自己保存的KI和RAND产生鉴权集。
HLR/AUC利用自己保存的KI和RAND计算得到XRES、CK和IK,利用KI、SQN、AMF和RAND计算得到MAC,并根据SQN、AMF和MAC产生AUTN,并将RAND、XRES、CK、IK和AUTN组成一个五元组鉴权集。在现有的WCDMA系统鉴权流程中,SQN、AMF是已知的,因此,这里不再对其进行详细描述。
在步骤606,HLR/AUC将该鉴权集发送给MSC/VLR。
在步骤607,鉴权时,MSC/VLR在该移动终端的相应的鉴权集中提取RAND,并将其发送给移动终端。
由于是WCDMA系统,同时发送给终端的还有AUTN,即MSC/VLR在该移动终端的相应的鉴权集中提取RAND和AUTN,并将RAND和AUTN一起发送给移动终端。
在步骤608,移动终端在接收到来自MSC/VLR的RAND之后,首先解析出msRAND、msSQN和msMAC。
在步骤609,移动终端根据自己的SKEY和从RAND中解析得到的msRAND、msSQN计算得到一个msMAC值,并比较自己计算得到的msMAC值和从RAND中解析出的msMAC值是否一致,如果不一致,则在步骤610判定对网络的鉴权失败,否则,即如果一致,则在步骤611判断RAND是否可以接受,如果可以接受,则在步骤612判定对网络的鉴权通过;否则在步骤613移动终端向网络发起一个msSQN同步命令。
其中在步骤611中移动终端根据解析出的msSQN和自己保存的msSQN判断RAND是否可以接受,比如判断解析出的msSQN和自己保存的msSQN的差值是否在一个预定范围内,如果是,判定RAND是可接受的;否则判定RAND是不可接受的,移动终端在判断RAND不可接受时,可以向网络侧发送一个同步msSQN的同步命令,通过同步流程,使终端和网络对应保存的msSQN同步。
在步骤614,移动终端将RAND和AUTN发送给用户卡。
在步骤615,用户卡使用自己的KI和接收的RAND、AUTN判断对网络的鉴权是否通过,以及是否需要进行SQN的同步,并在对网络鉴权通过后,生成XRES、CK和IK。
在步骤616,用户卡将生成的XRES发送给移动终端。
在步骤617,移动终端将接收自用户卡的XRES发送给MSC/VLR。
在步骤618,MSC/VLR比较接收自移动终端的XRES和接收自HLR/AUC的该移动终端的相应的鉴权集中XRES是否一致。如果一致,在步骤619判定网络对移动终端鉴权通过;否则在步骤620判定网络对移动终端鉴权失败。
这里的步骤614及其后续步骤的处理是为了进行网络对移动终端的鉴权,以及用户卡和网络协商CK、IK等等通信密钥,在现有的鉴权流程中有详尽的描述,本发明对此不再赘述。
和现有的网络对移动终端的鉴权相比,这里移动终端给用户卡发送的RAND是定制的,而不是现有鉴权处理流程中的纯粹由随机数发生器产生的随机的RAND,因此,移动终端可以利用该RAND和自己保存的SKEY、msSQN等等对网络进行鉴权。而对于用户卡来说,其处理流程和现有处理流程完全相同,因而不需要进行任何升级就可以应用本发明。
图7示出了在GSM系统应用环境下的实施例。如图7所示,在步骤701,首先在HLR/AUC和移动终端中同时保存对应移动终端鉴权的SKEY和msSQN。
在步骤702,HLR/AUC产生一个msRAND。
在步骤703,HLR/AUC利用预先保存的对应移动终端的SKEY、msSQN以及msRAND生成msMAC。
在步骤704,HLR/AUC将msRAND、msSQN和msMAC组合成RAND。
在步骤705,HLR/AUC利用自己保存的KI和RAND产生鉴权集。
HLR/AUC利用自己保存的KI和RAND计算得到SRES、KC,并将RAND、SRES和KC组成一个三元组鉴权集。
在步骤706,HLR/AUC将该鉴权集发送给MSC/VLR。
在步骤707,鉴权时,MSC/VLR在该移动终端的相应的鉴权集中提取RAND,并将其发送给移动终端。
在步骤708,移动终端在接收到来自MSC/VLR的RAND之后,首先解析出msRAND、msSQN和msMAC。
在步骤709,移动终端根据自己的SKEY和从RAND中解析得到的msRAND、msSQN计算得到一个msMAC值,并比较自己计算得到的msMAC值和从RAND中解析出的msMAC值是否一致,如果不一致,则在步骤710判定对网络的鉴权失败,否则,即如果一致,则在步骤711判断RAND是否可以接受,如果可以接受,则在步骤712判定对网络的鉴权通过;否则在步骤713移动终端向网络发起一个msSQN同步命令。
在步骤711,移动终端根据解析出的msSQN和自己保存的msSQN判断RAND是否可以接受,比如判断解析出的msSQN和自己保存的msSQN的差值是否在一个预定范围内,如果是,判定RAND是可接受的;否则判定RAND是不可接受的,移动终端在判断RAND不可接受时,可以向网络侧发送一个同步msSQN的同步命令,通过同步流程,使终端和网络对应保存的msSQN同步。
在步骤714,移动终端将RAND发送给用户卡。
在步骤715,用户卡使用自己的KI和接收的RAND生成SRES和KC。
在步骤716,用户卡将生成的SRES发送给移动终端。
在步骤717,移动终端将接收自用户卡的SRES发送给MSC/VLR。
在步骤718,MSC/VLR比较接收自移动终端的SRES和接收自HLR/AUC的该移动终端的相应的鉴权集中SRES是否一致。如果一致,在步骤719判定网络对移动终端鉴权通过;否则在步骤720判定网络对移动终端鉴权失败。
这里的步骤714及其后续步骤的处理是为了进行网络对移动终端的鉴权,以及用户卡和网络协商CK等等通信密钥,在现有的鉴权流程中有详尽的描述,具体可以参考GSM相关协议,本发明对此不再赘述。
上述MSC/VLR为电路域设备,对于分组域的网络,对应的MSC/VLR设备可以为SGSN。
可以理解,以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (14)
1.一种移动通信系统中网络设备生成用户卡鉴权随机数的方法,以使移动终端通过所述用户卡鉴权随机数可以对网络进行鉴权,至少包括:
a.预先在网络设备中设置对应于移动终端的安全密钥和终端鉴权序列号;
b.网络设备生成终端鉴权随机数,根据所述安全密钥、所述终端鉴权序列号和该终端鉴权随机数生成终端消息鉴权编码;
c.网络设备根据所述终端鉴权随机数、所述终端鉴权序列号和所述终端消息鉴权编码生成新的用户卡鉴权随机数。
2.根据权利要求1所述的方法,其特征是,步骤c所述根据终端鉴权随机数、终端鉴权序列号和终端消息鉴权编码生成新的用户卡鉴权随机数是将终端鉴权随机数、终端鉴权序列号和终端消息鉴权编码组合成用户卡鉴权随机数。
3.根据权利要求1所述的方法,其特征是,所述网络设备是归属位置寄存器/验证中心HLR/AUC。
4.根据权利要求3所述的方法,其特征是,该方法进一步包括:HLR/AUC将生成的用户卡鉴权随机数发送给移动交换中心/拜访位置寄存器MSC/VLR或业务GPRS支持节点SGSN。
5.根据权利要求3所述的方法,其特征是,该方法进一步包括:HLR/AUC根据用户卡鉴权随机数生成包含了该用户卡鉴权随机数的鉴权集,并进一步包括HLR/AUC将生成的鉴权集发送给移动交换中心/拜访位置寄存器MSC/VLR或业务GPRS支持节点SGSN。
6.一种移动通信系统中网络设备生成用户卡鉴权随机数的方法,以使移动终端通过所述用户卡鉴权随机数可以对网络进行鉴权,至少包括:
a.预先在网络设备中设置对应于移动终端的安全密钥和终端鉴权序列号;
x.判断是否执行根据安全密钥生成用户卡鉴权随机数的步骤,如果是,执行步骤b;否则不执行根据安全密钥生成用户卡鉴权随机数的步骤;
b.网络设备生成终端鉴权随机数,根据所述安全密钥、所述终端鉴权序列号和该终端鉴权随机数生成终端消息鉴权编码;
c.网络设备根据所述终端鉴权随机数、所述终端鉴权序列号和所述终端消息鉴权编码生成新的用户卡鉴权随机数。
7.一种移动通信网络中移动终端对通信网络进行鉴权的方法,至少包括:
a.预先在移动终端中设置安全密钥和终端鉴权序列号;
b.移动终端在接收到来自网络侧设备的根据终端鉴权随机数、终端鉴权序列号和终端消息鉴权编码生成的用户卡鉴权随机数之后,根据自己设置的安全密钥和接收的用户卡鉴权随机数判断对网络的鉴权是否通过。
8.根据权利要求7所述的方法,其特征是,步骤b所述根据自己设置的安全密钥和接收的用户卡鉴权随机数判断对网络的鉴权是否通过包括:
b1.从所述用户卡鉴权随机数中解析出终端鉴权随机数、终端鉴权序列号和终端消息鉴权编码;
b2.根据自己设置的安全密钥、解析出的终端鉴权序列号和终端鉴权随机数计算得到终端消息鉴权编码;
b3.比较计算得到的终端消息鉴权编码和解析出的终端消息鉴权编码是否一致,如果一致,判定对网络的鉴权通过;否则判定对网络的鉴权失败。
9.根据权利要求7所述的方法,其特征是,步骤b所述根据自己设置的安全密钥和接收的用户卡鉴权随机数判断对网络的鉴权是否通过包括:
b1.从所述用户卡鉴权随机数中解析出终端鉴权随机数、终端鉴权序列号和终端消息鉴权编码;
b2.根据自己设置的安全密钥、解析出的终端鉴权序列号和终端鉴权随机数计算得到终端消息鉴权编码;
b3.比较计算得到的终端消息鉴权编码和解析出的终端消息鉴权编码是否一致,如果一致,则执行步骤b4;否则判定对网络的鉴权失败;
b4.判断解析出的终端鉴权序列号和自己设置的终端鉴权序列号是否满足预定条件,如果是,判定对网络的鉴权通过;否则执行同步终端鉴权序列号的步骤。
10.根据权利要求9所述的方法,其特征是,所述预定条件为解析出的终端鉴权序列号和自己设置的终端鉴权序列号的差值在一个预定范围内。
11.一种移动通信网络中移动终端对通信网络进行鉴权的方法,至少包括:
a.预先在移动终端中设置安全密钥和终端鉴权序列号;
x.判断是否执行根据安全密钥和用户卡鉴权随机数判断对网络的鉴权是否通过的步骤,如果是,执行步骤b;否则不执行终端对网络的鉴权步骤;
b.移动终端在接收到来自网络侧设备的根据终端鉴权随机数、终端鉴权序列号和终端消息鉴权编码生成的用户卡鉴权随机数之后,根据自己设置的安全密钥和接收的用户卡鉴权随机数判断对网络的鉴权是否通过。
12.一种移动通信网络中的鉴权方法,至少包括:
a.预先在网络设备和移动终端中分别设置对应该移动终端的安全密钥和终端鉴权序列号;
b.网络设备生成终端鉴权随机数,根据所述安全密钥、所述终端鉴权序列号和该终端鉴权随机数生成终端消息鉴权编码;
c.网络设备根据所述终端鉴权随机数、所述终端鉴权序列号和所述终端消息鉴权编码生成用户卡鉴权随机数,并将该用户卡鉴权随机数发送给移动终端;
d.移动终端根据自己设置的安全密钥和接收的用户卡鉴权随机数判断对网络的鉴权是否通过。
13.根据权利要求12所述的方法,其特征是,步骤d中所述根据自己设置的安全密钥和接收的用户卡鉴权随机数判断对网络的鉴权是否通过包括:
d1.从所述用户卡鉴权随机数中解析出终端鉴权随机数、终端鉴权序列号和终端消息鉴权编码;
d2.根据自己设置的安全密钥、解析出的终端鉴权序列号和终端鉴权随机数计算得到一个终端消息鉴权编码;
d3.比较计算得到的终端消息鉴权编码和解析出的终端消息鉴权编码是否一致,如果一致,判定对网络的鉴权通过;否则判定对网络的鉴权失败。
14.根据权利要求13所述的方法,其特征是,所述网络设备是归属位置寄存器/验证中心HLR/AUC,该方法进一步包括:
归属位置寄存器/验证中心HLR/AUC根据鉴权密钥和用户卡鉴权随机数生成包含用户卡鉴权随机数的鉴权集,并将该鉴权集发送给移动交换中心/拜访位置寄存器MSC/VLR或业务GPRS支持节点SGSN;
鉴权时,移动交换中心/拜访位置寄存器MSC/VLR或业务GPRS支持节点SGSN从鉴权集中取出用户卡鉴权随机数,并将该用户卡鉴权随机数发送给移动终端。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2004100868720A CN100518056C (zh) | 2004-11-02 | 2004-11-02 | 网络设备生成用户卡鉴权随机数的方法及鉴权方法 |
| PCT/CN2005/001799 WO2006047938A1 (fr) | 2004-11-02 | 2005-10-31 | Procede permettant a un equipement de reseau de produire un nombre aleatoire d'authentification de carte d'abonne et procede d'authentification |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2004100868720A CN100518056C (zh) | 2004-11-02 | 2004-11-02 | 网络设备生成用户卡鉴权随机数的方法及鉴权方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1770682A CN1770682A (zh) | 2006-05-10 |
| CN100518056C true CN100518056C (zh) | 2009-07-22 |
Family
ID=36318883
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2004100868720A Expired - Fee Related CN100518056C (zh) | 2004-11-02 | 2004-11-02 | 网络设备生成用户卡鉴权随机数的方法及鉴权方法 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN100518056C (zh) |
| WO (1) | WO2006047938A1 (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100525503C (zh) * | 2006-10-17 | 2009-08-05 | 中国移动通信集团公司 | 鉴权方法、验证鉴权序列号的方法、通信系统及用户卡 |
| CN102638794B (zh) * | 2007-03-22 | 2016-03-30 | 华为技术有限公司 | 鉴权和密钥协商方法、认证方法、系统及设备 |
| CN101119381B (zh) * | 2007-09-07 | 2013-01-16 | 中兴通讯股份有限公司 | 防止重放攻击的方法及系统 |
| CN101588579B (zh) * | 2008-05-20 | 2011-09-14 | 华为技术有限公司 | 一种对用户设备鉴权的系统、方法及其基站子系统 |
| CN101938741A (zh) * | 2009-06-30 | 2011-01-05 | 大唐移动通信设备有限公司 | 双向认证的方法、系统及装置 |
| CN101990201B (zh) * | 2009-07-31 | 2013-09-04 | 中国移动通信集团公司 | 生成gba密钥的方法及其系统和设备 |
| CN103297970B (zh) * | 2013-05-24 | 2016-06-15 | 北京创毅讯联科技股份有限公司 | 移动终端的鉴权方法、鉴权终端、移动终端和鉴权系统 |
| CN105635089B (zh) * | 2014-11-28 | 2020-10-09 | 珠海汇金科技股份有限公司 | 动态密码锁的鉴权方法、开锁方法和开锁系统 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100315641B1 (ko) * | 1999-03-03 | 2001-12-12 | 서평원 | 오티에이피에이를 위한 단말기와 시스템의 상호 인증 방법 |
| US20030096595A1 (en) * | 2001-11-21 | 2003-05-22 | Michael Green | Authentication of a mobile telephone |
| CN1285235C (zh) * | 2003-10-31 | 2006-11-15 | 大唐微电子技术有限公司 | 应用国际移动设备识别码实现手机防盗的方法及其系统 |
-
2004
- 2004-11-02 CN CNB2004100868720A patent/CN100518056C/zh not_active Expired - Fee Related
-
2005
- 2005-10-31 WO PCT/CN2005/001799 patent/WO2006047938A1/zh active Application Filing
Non-Patent Citations (2)
| Title |
|---|
| Technical Specification Group Services and System Aspects,3G Security,Security architecture(Release 6). 3rd,Generation,Partnership,Project.3GPP TS 33.102 V6.2.0. 2004 |
| Technical Specification Group Services and System Aspects,3G Security,Security architecture(Release 6). 3rd,Generation,Partnership,Project.3GPP TS 33.102 V6.2.0. 2004 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1770682A (zh) | 2006-05-10 |
| WO2006047938A1 (fr) | 2006-05-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1767430B (zh) | 鉴权方法 | |
| USRE45873E1 (en) | Subscriber authentication | |
| EP0976278B1 (en) | Preventing misuse of a copied subscriber identity in a mobile communication system | |
| EP3253092B1 (en) | Self provisioning of wireless terminals in wireless networks | |
| CN100466806C (zh) | 一种移动终端和网络设备之间的鉴权方法 | |
| JP2002084276A (ja) | ユーザ加入識別モジュールの認証についての改善された方法 | |
| CN101163003A (zh) | Sim卡使用umts终端和umts系统时终端认证网络的系统和方法 | |
| CN102318386A (zh) | 向网络的基于服务的认证 | |
| CN104521213A (zh) | 网络认证规程中的认证挑战参数的操纵和恢复 | |
| CN1894996B (zh) | 用于无线通信中的认证的方法和装置 | |
| CN101711023B (zh) | 一种实现机卡互锁的方法及系统 | |
| CN107750470A (zh) | 替换用于认证安全元件的至少一个认证参数的方法和相应的安全元件 | |
| CN100518056C (zh) | 网络设备生成用户卡鉴权随机数的方法及鉴权方法 | |
| WO2011124051A1 (zh) | 终端鉴权方法及系统 | |
| CN104955029A (zh) | 通讯录保护方法、装置及通信系统 | |
| CN100388835C (zh) | 一种验证移动终端用户合法性的方法 | |
| CN100466803C (zh) | 一种码分多址网络中实现终端对网络鉴权的方法 | |
| CN100396156C (zh) | 一种同步sqn的处理方法 | |
| CN100441036C (zh) | 码分多址网络中移动终端安全性的验证方法 | |
| CN100579274C (zh) | 安全密钥的设置方法 | |
| CN100459787C (zh) | 一种用户卡的安全保障方法 | |
| He et al. | SIM card security | |
| CN101175324B (zh) | 一种用户卡的安全保障方法 | |
| CN1968096B (zh) | 一种同步流程优化方法和系统 | |
| CN1650580B (zh) | 保证链路安全的方法及实现该方法的数据终端 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C17 | Cessation of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20090722 Termination date: 20121102 |