CN101123778A - 网络接入鉴权方法及其usim卡 - Google Patents
网络接入鉴权方法及其usim卡 Download PDFInfo
- Publication number
- CN101123778A CN101123778A CNA2007101754379A CN200710175437A CN101123778A CN 101123778 A CN101123778 A CN 101123778A CN A2007101754379 A CNA2007101754379 A CN A2007101754379A CN 200710175437 A CN200710175437 A CN 200710175437A CN 101123778 A CN101123778 A CN 101123778A
- Authority
- CN
- China
- Prior art keywords
- authentication
- usim card
- arithmetic
- network side
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
本发明涉及一种网络接入鉴权方法及其USIM卡,其中USIM卡内置与网络侧相同的一组鉴权算法及鉴权算法标识列表,鉴权方法包括:终端登网或位置更新时由终端发起接入鉴权请求;终端侧和网络侧利用相互之间的消息和约定选择所述一组鉴权算法中的相同一个进行网络接入鉴权;所述消息是网络侧下发的鉴权令牌,所述约定是所述鉴权令牌中鉴权管理域的特殊位值与所述一组鉴权算法中任一鉴权算法的对应关系。这种方法及其USIM卡基于现有3G网络接入鉴权过程、无须增加新的信令或改变现有的鉴权协议,实现成本低同时较原单一密钥和单一算法的网络接入鉴权安全体系降低了鉴权密钥和鉴权算法被破译的安全风险。
Description
技术领域
本发明涉及第三代移动通信技术,具体涉及一种支持密钥协商和算法协商的网络接入鉴权方法及其USIM卡。
背景技术
网络接入鉴权是第三代移动通信(简称3G)安全体系的重要特征,它是由手机终端侧USIM卡、VLR/SGSN和HLR/AuC协同完成的。它的基本原理是基于手机终端侧USIM卡和网络侧HLR/AuC共享永久鉴权密钥K。如图1所示,在第三代移动通信网络接入鉴权过程中,鉴权是由移动终端内置的USIM、网络侧VLR/SGSN和HLR/AuC共同完成的。其中永久鉴权密钥K是通过安全方式分别预置在移动终端侧USIM卡与网络侧HLR/AuC中,二者共享此密钥。借助鉴权密钥K终端侧USIM卡和网络侧可以进行相互认证从而完成用户的接入鉴权。3GPP用户接入鉴权过程包括以下步骤:
101)移动终端ME携带身用户份标识IMSI向服务网发送鉴权向量请求消息;
102)服务网VLR/SGSN向HLR/AuC请求五元组鉴权向量AV,同时将用户身份标识IMSI传递给HLR/AuC;
103)HLR/AuC根据户身份标识IMSI查找对应的鉴权密钥K(唯一),并调用鉴权算法(唯一)生成五元组鉴权向量AV(包括随机数RAND、期望响应值XRES、加密密钥CK、完整性密钥IK和鉴权令牌AUTN);
104)HLR/AuC将生成的鉴权向量AV发送给VLR/SGSN;
105)VLR/SGSN保留五元组鉴权向量中的期望响应值XRES、加密密钥CK和完整性密钥IK
106)然后VLR/SGSN将五元组鉴权向量中的随机数RAND和认证令牌AUTN发送给移动终端ME;
107)移动终端ME将接收到的随机数RAND和认证令牌AUTN转发给USIM卡。USIM卡使用内部保存的鉴权密钥K(唯一)和鉴权算法(唯一)验证AUTN的合法性和有效性。如果AUTN认证通过(USIM卡认证网络的合法性),则USIM使用鉴权密钥K、RAND和鉴权算法生成鉴权响应值RES和加密密钥CK、完整性密钥IK;
108)移动终端ME向服务网发送鉴权响应值RES
109)VLR/SGSN比较接收到的RES与XRES是否相等,如果相等,则网络侧认为USIM卡为合法用户。从而完成了移动终端侧USIM卡和网络侧的双向认证过程。
该鉴权机制具体可见参考文献3GPP TS 33.102:“3rd GenerationPartnership Project;Technical Specification Group Services and SystemAspects;3G Security;Security architecture(Release 6)”。
采用这种共享单一永久密钥K的鉴权机制是存在一定安全缺陷的,因为攻击者通过空中接口监测是可以截获网络下发的鉴权向量(AUTN,RAND)和USIM卡响应结果RES,在获取大量鉴权参数和响应结果后,通过对算法实施攻击来推算密钥K的威胁总是存在的。如果发生密钥K被攻破或泄露的意外灾难,其危害是十分严重的。
发明内容
本发明需要解决的技术问题是提供一种网络接入鉴权方法及其USIM卡,能够进一步增强移动通信的安全性。
本发明的上述第一个技术问题这样解决,提供一种网络接入鉴权方法,在终端侧和网络侧共享一组鉴权算法,包括以下步骤:
1.1)终端登网或位置更新时向网络请求鉴权向量;
1.2)终端侧和网络侧利用相互之间的消息和算法约定选择所述一组鉴权算法中的一个进行网络接入鉴权。
这种多算法协商机制可以增强鉴权密钥K的抗攻击能力。
按照本发明提供的鉴权方法,所述选择包括定期更换算法选择或动态随机算法选择或按用户类别选择或它们的结合。
按照本发明提供的鉴权方法,所述相互之间的消息是网络侧下发的鉴权令牌,所述算法约定是所述鉴权令牌中鉴权管理域的指定位值与所述一组鉴权算法中任一鉴权算法的对应关系,这种方式无须增加或改变现有的3G鉴权协议和鉴权参数。
按照本发明提供的鉴权方法,所述步骤1.2)还包括终端侧和网络侧利用相互消息和密钥约定选择终端侧和网络侧共享的一组鉴权密钥中的相同一个进行网络接入鉴权;这种多密钥协商机制,与多算法协商机制配合,进一步为网络接入提供了更强大的安全保证,多算法协商与多密钥协商在时间上可以相互交错或者互为先/后。
按照本发明提供的鉴权方法,所述相互消息是网络侧下发的鉴权令牌,与协商算法的所述相互之间的消息是相同的,所述密钥约定是所述鉴权令牌中鉴权管理域的设定位值与所述一组密钥中任一密钥的对应关系,所述设定位与所述指定位不同,这种方式无须增加或改变现有的3G鉴权协议和鉴权参数。
按照本发明提供的鉴权方法,所述鉴权管理域共有16位,包括但不限制于使用以下约定:高8位做为预留,低8位用来协商鉴权算法和鉴权密钥
所述密钥约定是:BIT0-BIT5表示密钥标识,可对应标识64个不同密钥;
所述算法约定是:BIT6-BIT7表示算法标识,可对应标识4种算法。
这样在不改变3GPP鉴权协议基础之上,通过鉴权管理域AMF实现了鉴权算法协商和鉴权密钥协商,从而基于现有3G网络接入鉴权过程实现本发明,不需要增加新的信令或改变现有的鉴权协议。。
按照本发明提供的鉴权方法,具体包括以下步骤:
5.1)终端向网络侧发起网络接入、业务接入或位置更新请求并携带移动用户身份标识IMSI;
5.2)网络侧VLR/SGSN向网络侧HLR/AuC请求移动用户身份标识IMSI用户的鉴权五元组;该鉴权五元组包括随机数、期望响应值、加密密钥、完整性密钥和鉴权令牌;
5.3)网络侧HLR/AuC根据安全策略对所述鉴权令牌中鉴权管理域的指定位和设定位值进行相应设置同时根据对应的鉴权算法和鉴权密钥生成鉴权五元组;
5.4)网络侧HLR/AuC将鉴权五元组发送给网络侧VLR/SGSN,网络侧VLR/SGSN保存所述期望响应值、加密密钥和完整性密钥;
5.5)网络侧VLR/SGSN向终端发送鉴权请求并携带所述随机数和鉴权令牌;
5.6)终端接收所述鉴权请求并根据所述鉴权令牌中鉴权管理域的指定位和设定位值选择对应的鉴权算法和鉴权密钥进行终端对网络的认证并向网络侧VLR/SGSN发送鉴权响应结果;
5.7)网络侧VLR/SGSN根据所述鉴权响应结果进行网络对终端的认证。
按照本发明提供的鉴权方法,所述安全策略即:定期更换选择或动态随机选择或按用户类别选择或它们的结合,还包括直接使用缺省鉴权算法和鉴权密钥。
按照本发明提供的鉴权方法,所述步骤5.3)中的相应设置如果是全零,所述对应的鉴权算法和鉴权密钥是缺省鉴权算法和鉴权密钥。
按照本发明提供的鉴权方法,所述步骤5.6)中终端对网络的认证过程中如果USIM卡对序列号SQN认证无效,则须执行再同步过程,所述终端侧USIM卡和网络侧直接使用缺省鉴权密钥或和鉴权算法进行再同步。(即USIM卡采用缺省密钥和缺省算法计算再同步认证令牌AUTS*,而HLR/AuC也采用同样方式验证AUTS*)
本发明的上述另一个技术问题这样解决,提供一种USIM卡,内置与网络侧相同的一组鉴权算法及鉴权算法标识列表,该USIM卡这样进行网络接入鉴权:USIM卡收到其终端发送的鉴权请求命令;USIM卡利用终端侧和网络侧相互之间的消息和算法约定选择所述一组鉴权算法中的一个鉴权算法进行网络接入鉴权。这种多算法协商机制可以增强鉴权密钥K的抗攻击能力。
按照本发明提供的USIM卡,所述鉴权算法标识一一对应所述鉴权算法,所述相互之间的消息是网络侧下发的鉴权令牌,所述算法约定是所述鉴权令牌中鉴权管理域的指定位值与所述算法标识的对应关系;该USIM卡这样进行网络接入鉴权:USIM卡收到其终端发送的鉴权请求命令;USIM卡从鉴权令牌中解析出鉴权管理域,然后根据所述指定位和所述对应关系在所述鉴权算法中查找与之匹配的算法标识,确定鉴权算法;USIM卡根据确定的鉴权算法进行终端对网络的认证并向网络侧发送鉴权响应结果。
按照本发明提供的USIM卡,该USIM卡还内置与网络侧共享的一组鉴权密钥,该USIM卡这样进行网络接入鉴权:USIM卡收到其终端发送的鉴权请求命令;USIM卡利用终端侧和网络侧之间的消息以及算法约定和密钥约定对应选择所述一组鉴权算法中的一个鉴权算法和所述一组鉴权密钥中的一个鉴权密钥进行网络接入鉴权。这种多密钥协商机制与多算法协商机制配合,进一步为网络接入提供了更强大的安全保证,多密钥协商与多算法协商在时间上可以相互交错或者互为先/后。
本发明提供的一种网络接入鉴权方法及其USIM卡,在不改变3GPP鉴权协议基础之上,通过鉴权管理域AMF实现了鉴权算法协商和鉴权密钥协商,相比较单一密钥和单一算法的安全体系而言,本方案可以很大程度上提高鉴权密钥被破译的难度,从而降低因为密钥泄露而导致的安全风险。另外,本方案不需要增加或改变现有的3G鉴权协议和鉴权参数,对现有终端和网络改动量较少。因此实现成本相对较低;而且我国具有先进水平的密码理论研究和密码算法设计能力,国家支持采用自主的安全算法。本方案主张的算法协商能力为我国实现自主鉴权算法提供了可能性。采用自主鉴权算法对互联互通和漫游等没有影响,但运营商的安全防范能力却可以因此增强,因而本方案对于3G网络的布署和实施具有重要的现实指导意义。
附图说明
下面结合附图和具体实施例进一步对本发明进行详细说明。
图1是现有网络接入鉴权流程示意图。
图2是本发明网络接入鉴权流程示意图。
图3是本发明网络接入鉴权再同步过程示意图。
图4是本发明增强USIM卡鉴权算法协商流程示意图。
图5是本发明增强USIM卡鉴权密钥协商流程示意图。
图6是本发明增强USIM卡算法协商和鉴权密钥流程示意图。
具体实施方式
首先,说明本发明特点:
1.提出了基于现有3G网络接入鉴权过程实现的、无须增加新的信令或改变现有的鉴权协议的3G鉴权算法协商和鉴权密钥协商的具体实现方法。
2.3G鉴权再同步过程中,USIM卡和网络侧可以采用缺省密钥而不是协商密钥进行再同步认证,从而保证了与现有VLR/SGSN设备的完全一致。
3.本方案最大程度地继承了原3G鉴权协议。本方案只涉及到对鉴权中心AuC和USIM卡做升级改造,对移动终端和其它网元没有任何影响。
4.本方案还提出了密钥协商和算法协商的安全策略,运营商可以根据自身的业务特点和对安全的需求布署网络侧鉴权中心AuC的安全策略。
第二步,说明本发明安全策略:
本方案阐述了基于3G鉴权认证过程中的鉴权算法协商和鉴权密钥协商的方法。各运营商可以根据自身的业务特点和对安全的需求制定HLR/AuC实施算法协商和密钥协商的全策略,可以统一布署也可以为用户单独配置。而每次移动终端请求HLR/AuC生成鉴权五元组时,HLR/AuC将根据安全策略配置列表自动生成鉴权管理域AMF。
(一)密钥协商策略:
-每次生成鉴权元组时,可采用从一组鉴权密钥中随机抽取一个的动态选择方式
-采用定期更换密钥方式,例如,3个月或半年更换一次密钥
-第一阶段3G开始商用时可以只采用单一密钥鉴权方式;后期条件成熟时,通过升级USIM卡和网络侧HLR/AuC,可以对新用户提供动态协商密钥服务。
(二)算法协商策略:
-第一阶段3G开始商用时可以考虑只采用MILENAGE鉴权算法
-第二阶段国产自主鉴权算法在USIM卡和网络侧HLR/AuC联合调试完成后,可采用MILENAGE鉴权算法与自主鉴权算法共存的使用方案。网络侧可配置优选自主鉴权算法。
第三步,说明本发明对鉴权管理域AMF的具体定义:
(一)网络侧下发的鉴权令牌AUTN长16字节,其组成结构AUTN=SQN*AK‖AMF‖MAC,其中鉴权管理域AMF长16位,目前鉴权管理域AMF没有标准化定义,缺省值为‘0x0000’。本发明的原理就是通过USIM卡和网络对AMF特殊位的约定来可实现算法协商和密钥协商的,如图3所示,运营商可根据网络自身特点和对安全的需求有效地分配16位AMF资源。
(二)为方便理解,下面举例说明:
假设定义AMF的高8位做为预留,低8位用来协商鉴权算法和鉴权密钥,约定如下:
-BIT0-BIT5表示密钥标识,可用来标识64个不同的密钥,000000表示缺省密钥
-BIT6-BIT7表示算法标识,最多可支持四种算法,00表示缺省算法
当然,也可以根据需要定义AMF的低8位做为预留,而将高8位用来协商鉴权算法和鉴权密钥,或者不一定是8位,可以任选16位中的几位来做为预留或是用来协商鉴权算法和鉴权密钥。
第四步,说明网络接入鉴权中再同步机制对鉴权管理域AMF的处理
再同步机制中约定AMF采用缺省鉴权密钥和鉴权算法进行再同步,其目的是兼容现有VLR/SGSN设备。可以保证本发明只对USIM卡和HLR/AuC实行端到端的技术改造。
具体如图3所示,包括:当VLR/SGSN收到|来自移动终端的AUTS*再同步消息后,直接向HLR/AuC发送RAND‖AUTS*,无需传递AMF。这样可以保证与现有3GVLR/SGSN设备的完全兼容,因为再同步请求发生的概率很低,故也不会低其安全性;其中,AUTS*表示使用缺省鉴权密钥K,RAND表示随机数。HLR/AuC收到再同步消息RAND‖AUTS*后,首先通过缺省鉴权密钥和鉴权算法认证AUTS*的合法性,认证通过以后,HLR/AuC修改其网络侧的SQN,然后重新发送一个五元组的鉴权向量Qi请求USIM卡再次做鉴权认证。
第五步,详细说明本发明鉴权密钥协商和鉴权算法协商流程,如图2所示,具体包括以下步骤:
201)当移动终端ME向服务网发起网络接入、业务接入或位置更新等请求时,需携带移动用户身份标识IMSI;
202)服务网VLR/SGSN向HLR/AuC请求IMSI用户的鉴权五元组。鉴权五元组包括随机数RAND、期望响应值XRES、加密密钥CK、完整性密钥IK和鉴权令牌AUTN(SQN*AK‖AMF‖MAC);
203)HLR/AuC根据安全策略(见4.2)判断该IMSI用户是否需要执行密钥协商和算法协商:
1)如果不需要协商新的鉴权算法和密钥,则设置AMF为‘0x0000’,采用缺省算法和密钥生成鉴权五元组RAND‖XRES‖CK‖IK‖AUTN;
2)如果需要协商算法或密钥,则对AMF进行相应设置,并根据AMF查找对应的鉴权密钥K和鉴权算法。然后根据指定的鉴权算法和密钥生成鉴权五元组RAND‖XRES‖CK‖IK‖AUTN;
204)HLR/AuC将鉴权五元组发送给VLR/SGSN,VLR/SGSN保存XRES,CK和IK。期望响应值XRES用来认证USIM卡返回的响应值RES,加密密钥CK和完整性密钥IK用来对空口数据进行加解密和完整性保护;
205)VLR/SGSN向移动终端ME发送鉴权请求,携带随机数RAND和鉴权令牌AUTN;
206)USIM卡接收到鉴权请求消息后,先通过AMF判断网络侧是否要求算法协商或密钥协商:
1)如果AMF为‘0x0000’,则执行正常的鉴权流程;
2)如果AMF表示需要进行算法或密钥协商,则通过AMF查找对应的鉴权密钥K或鉴权算法。然后根据指定的鉴权密钥K和算法验证消息认证码MAC的正确性和序列号SQN的有效性。
-如果MAC验证失败,则USIM卡直接返回鉴权失败
-如果MAC验证通过,SQN验证无效,则USIM卡使用缺省算法和缺省密钥K计算再同步请求认证令牌AUTS*(见注)
-如果MAC和SQN均验证通过,则USIM卡使用此次协商的算法和K计算响应值RES、加密密钥CK和完整性密钥IK。从而完成了USIM卡对网络的认证过程。
207)ME保存USIM卡返回的CK和IK,用于后续空口数据加解密和完整性保护。并向VLR/SGSN发送鉴权响应结果,包括三种情况:鉴权失败/再同步请求AUTS*/正确响应值RES
208)VLR/SGSN收到鉴权响应后,执行如下操作:
1)如果收到RES,将RES与XRES进行比较
-如果RES等于XRES,则完成了网络对终端的认证过程
-如果RES不等于XRES,则网络对终端认证失败,VLR/SGSN向HLR/AuC发送鉴权失败消息
2)如果收到AUTS*,将AUTS*与对应的RAND一起发送给HLR/AuC
3)如果收到认证失败消息,则向HLR/AuC发送鉴权认证失败消息。
209)VLR/SGSN向HLR/AuC发送鉴权失败消息或再同步消息
210)HLR/AuC收到再同步消息后,首先通过缺省鉴权密钥和鉴权算法认证AUTS*的合法性,认证通过以后,HLR/AuC修改其网络侧的SQN,然后重新发送一个五元组的鉴权向量Qi请求USIM卡再次做鉴权认证。
五元组鉴权向量说明:
消息认证码 MAC=f1K(SQN‖RAND‖AMF)
期望响应 XRES=f2K(RAND)
加密密钥 CK=f3K(RAND)
完整性密钥 IK=f4K(RAND)
匿名密钥 AK=f5K(RAND)
鉴权令牌 AUTN=SQNAK‖AMF‖MAC
再同步令牌 AUTS=SQNMSf5*K(RAND)‖MAC-S.
再同步认证码 MAC-S=f1*K(SQNMS‖RAND‖AMF)
其中:
f1消息认证函数,用来计算MAC
f1*消息认证函数,用来计算MAC-S
f2消息认证函数,用来计算RES和XRES
f3密钥生成函数,用来计算CK
f4密钥生成函数,用来计算IK
f5密钥生成函数,正常流程中用来计算AK
f5*密钥生成函数,再同步流程中用来计算AK
最后,说明本发明具体实现的关键:增强USIM卡技术具体实现
(一)鉴权算法协商
增强USIM卡应至少支持二种以上鉴权算法。而选择哪一个鉴权算法,在代码开发阶段就需要在卡内建立一个AMF值与鉴权算法的对应关系列表。该列表是基于运营商对AMF算法标识位的定义而产生的。通过AMF算法标识位,增强USIM可以采用不同的鉴权算法验证网络下发的AUTN并计算响应值RES,从而实现算法协商功能。
USIM卡鉴权算法协商流程(假定暂不考虑鉴权密钥协商),如图4所示,USIM卡收到终端发送的鉴权请求命令后,做如下操作:
1)首先从AUTN中解析出鉴权管理域AMF,然后根据约定的AMF算法标识位查找对应的算法模块。
2)根据缺省鉴权密钥K和AMF指定的算法模块来验证AUTN(SQNAK‖AMF‖MAC)。
-如果MAC验证失败,则USIM卡直接返回鉴权失败
-如果MAC验证通过,SQN验证无效,则USIM卡使用缺省的算法计算再同步认证令牌AUTS*
3)如果MAC和SQN均验证通过,则USIM卡使用指定的算法计算鉴权响应RES、加密密钥CK和完整性密钥IK,并将计算结果返回给终端。
(二)鉴权密钥协商
与单一鉴权密钥管理方式不同,增强USIM在卡内应保存一组鉴权密钥列表,它由密钥标识及密钥值两部分组成。在卡片个人化发卡阶段,这些密钥标识及密钥值需通过安全方式预置在卡内。同理,在HLR/AuC数据库中也应存在相同的一组鉴权密钥列表。每次鉴权时,USIM卡可以通过AMF鉴权密钥标识位索引到卡内对应的鉴权密钥标识,从而定位鉴权密钥K,并根据指定的鉴权密钥K来验证网络下发的AUTN并计算响应值RES,实现密钥协商功能。
USIM卡鉴权密钥协商流程(假定暂不考虑鉴权算法协商),如图5所示,USIM卡收到终端发送的鉴权请求命令后,做如下操作:
1)首先从AUTN中解析出鉴权管理域AMF,然后根据AMF鉴权密钥标识位在鉴权密钥列表中查找与之匹配的密钥标识,确定鉴权密钥K。
2)根据缺省鉴权算法和AMF指定的鉴权密钥验证AUTN(SQNAK‖AMF‖MAC)。
-如果MAC验证失败,则USIM卡直接返回鉴权失败
-如果MAC验证通过,SQN验证无效,则USIM卡使用缺省的算法计算再同步认证令牌AUTS*
3)如果MAC和SQN均验证通过,则USIM卡使用指定的鉴权密钥计算鉴权响应RES、加密密钥CK和完整性密钥IK,并将计算结果返回给终端。
如图6所示,基于上述(一)和(二),按但不限制于先算法协商后密钥协商顺序可在增强USIM卡内同时进行密钥协商和算法协商。
(三)鉴权算法协商和鉴权密钥协商
与单一鉴权密钥管理方式不同,增强USIM在卡内应保存一组鉴权密钥列表,它由密钥标识及密钥值两部分组成。在卡片个人化发卡阶段,这些密钥标识及密钥值需通过安全方式预置在卡内。同理,在HLR/AuC数据库中也应存在相同的一组鉴权密钥列表。每次鉴权时,USIM卡可以通过AMF鉴权密钥标识位索引到卡内对应的鉴权密钥标识,从而定位鉴权密钥K,并根据指定的鉴权密钥K来验证网络下发的AUTN并计算响应值RES,实现密钥协商功能。
USIM卡鉴权算法协商和鉴权密钥协商流程,如图6所示,USIM卡收到终端发送的鉴权请求命令后,做如下操作:
1)首先从AUTN中解析出鉴权管理域AMF,然后根据约定的AMF算法标识位查找对应的算法模块。
2)从AUTN中解析出鉴权管理域AMF,然后根据AMF鉴权密钥标识位在鉴权密钥列表中查找与之匹配的密钥标识,确定鉴权密钥K。
3)根据AMF指定的鉴权算法和鉴权密钥验证AUTN(SQNAK‖AMF‖MAC)。
-如果MAC验证失败,则USIM卡直接返回鉴权失败
-如果MAC验证通过,SQN验证无效,则USIM卡使用缺省的算法计算再同步认证令牌AUTS*
4)如果MAC和SQN均验证通过,则USIM卡使用指定的鉴权密钥计算鉴权响应RES、加密密钥CK和完整性密钥IK,并将计算结果返回给终端。
Claims (10)
1.一种网络接入鉴权方法,其特征在于,在终端侧和网络侧共享一组鉴权算法,包括以下步骤:
1.1)终端登网或位置更新时向网络请求鉴权向量;
1.2)终端侧和网络侧利用相互之间的消息和算法约定选择所述一组鉴权算法中的一个进行网络接入鉴权。
2.根据权利要求1所述鉴权方法,其特征在于,所述选择是定期更换选择或动态随机选择或按用户类别选择或它们的结合。
3.根据权利要求1所述鉴权方法,其特征在于,所述步骤1.2)还包括终端侧和网络侧利用相互消息和密钥约定选择终端侧和网络侧共享的一组鉴权密钥中的一个进行网络接入鉴权。
4.根据权利要求1或3所述鉴权方法,其特征在于,所述消息都是网络侧下发的鉴权令牌,所述约定是所述鉴权令牌中鉴权管理域的指定位值与所述一组鉴权算法或鉴权密钥中任一鉴权算法或鉴权密钥的对应关系,所述算法约定和密钥约定的对应指定位不同。
5.根据权利要求1-3任一项所述鉴权方法,其特征在于,该鉴权方法具体包括以下步骤:
5.1)终端向网络侧发起网络接入、业务接入或位置更新请求并携带移动用户身份标识IMSI;
5.2)网络侧VLR/SGSN向网络侧HLR/AuC请求移动用户身份标识IMSI用户的鉴权五元组;该鉴权五元组包括随机数、期望响应值、加密密钥、完整性密钥和鉴权令牌;
5.3)网络侧HLR/AuC根据安全策略对所述鉴权令牌中鉴权管理域的指定位和设定位值进行相应设置同时根据对应的鉴权算法和鉴权密钥生成鉴权五元组;
5.4)网络侧HLR/AuC将鉴权五元组发送给网络侧VLR/SGSN,网络侧VLR/SGSN保存所述期望响应值、加密密钥和完整性密钥;
5.5)网络侧VLR/SGSN向终端发送鉴权请求并携带所述随机数和鉴权令牌;
5.6)终端USIM卡接收所述鉴权请求并根据所述鉴权令牌中鉴权管理域的指定位和设定位值选择对应的鉴权算法和鉴权密钥进行终端对网络的认证并向网络侧VLR/SGSN发送鉴权响应结果;
5.7)网络侧VLR/SGSN根据所述鉴权响应结果进行网络对终端的认证。
6.根据权利要求5所述鉴权方法,其特征在于,所述步骤5.3)中的鉴权管理域设置是全零时,所述对应的鉴权算法和鉴权密钥是缺省鉴权算法和鉴权密钥。
7.根据权利要求5所述鉴权方法,其特征在于,所述步骤5.6)中终端对网络的认证过程内如果USIM卡对序列号SQN认证无效,则所述终端侧USIM卡和网络侧直接使用缺省鉴权密钥和算法进行再同步。
8.一种USIM卡,其特征在于,内置与网络侧相同的一组鉴权算法及鉴权算法标识列表,该USIM卡这样进行网络接入鉴权:收到其终端发送的鉴权请求命令;利用终端侧和网络侧相互之间的消息和算法约定选择所述一组鉴权算法中的一个鉴权算法进行网络接入鉴权。
9.根据权利要求8所述USIM卡,其特征在于,所述鉴权算法标识一一对应所述鉴权算法,所述相互之间的消息是网络侧下发的鉴权令牌,所述算法约定是所述鉴权令牌中鉴权管理域的指定位值与所述鉴权算法标识的对应关系;该USIM卡这样进行网络接入鉴权:收到其终端发送的鉴权请求命令;从鉴权令牌中解析出鉴权管理域,然后根据所述指定位和所述对应关系在所述鉴权算法列表中查找与之匹配的算法标识,确定鉴权算法;然后根据确定的鉴权算法进行终端对网络的认证并向网络侧发送鉴权响应结果。
10.根据权利要求8所述USIM卡,其特征在于,该USIM卡还内置与网络侧相同的一组鉴权密钥,该USIM卡这样进行网络接入鉴权:USIM卡收到其终端发送的鉴权请求命令;USIM卡利用终端侧和网络侧之间的消息以及算法约定和密钥约定对应选择所述一组鉴权算法中的一个鉴权算法和所述一组鉴权密钥中的一个鉴权密钥进行网络接入鉴权。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2007101754379A CN101123778A (zh) | 2007-09-29 | 2007-09-29 | 网络接入鉴权方法及其usim卡 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2007101754379A CN101123778A (zh) | 2007-09-29 | 2007-09-29 | 网络接入鉴权方法及其usim卡 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101123778A true CN101123778A (zh) | 2008-02-13 |
Family
ID=39085907
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2007101754379A Pending CN101123778A (zh) | 2007-09-29 | 2007-09-29 | 网络接入鉴权方法及其usim卡 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101123778A (zh) |
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102347957A (zh) * | 2011-11-18 | 2012-02-08 | 王鑫 | 一种云网络准入鉴别系统及准入鉴别技术方法 |
| CN103188669A (zh) * | 2011-12-28 | 2013-07-03 | 中国电信股份有限公司 | 使2g或3g手机卡接入lte网络的方法、系统和移动终端 |
| CN103581154A (zh) * | 2012-08-08 | 2014-02-12 | 中国移动通信集团公司 | 物联网系统中的鉴权方法和装置 |
| CN103581153A (zh) * | 2012-08-08 | 2014-02-12 | 中国移动通信集团公司 | 物联网系统中的加密方法和装置 |
| CN103874068A (zh) * | 2014-03-20 | 2014-06-18 | 工业和信息化部电信研究院 | 一种识别伪基站的方法和装置 |
| CN103974250A (zh) * | 2013-01-30 | 2014-08-06 | 华为终端有限公司 | 配置方法和设备 |
| CN105207969A (zh) * | 2014-06-10 | 2015-12-30 | 江苏大泰信息技术有限公司 | 一种应用于物联网低功耗环境下的轻量级流式加密方法 |
| CN105306406A (zh) * | 2014-05-26 | 2016-02-03 | 中国移动通信集团公司 | 认证和密钥协商算法的协商方法、网络侧设备和用户设备 |
| WO2016086356A1 (zh) * | 2014-12-02 | 2016-06-09 | 华为技术有限公司 | 一种无线通信网络中的鉴权方法、相关装置及系统 |
| CN105847432A (zh) * | 2016-05-23 | 2016-08-10 | 成都亿闻科技有限公司 | 基于物联网的车辆远程控制方法和装置 |
| WO2016161583A1 (zh) * | 2015-04-08 | 2016-10-13 | 华为技术有限公司 | 一种gprs系统密钥增强的方法、sgsn设备、ue、hlr/hss及gprs系统 |
| WO2016206387A1 (zh) * | 2015-06-26 | 2016-12-29 | 中兴通讯股份有限公司 | 一种接入孤立网络的鉴权认证方法及系统 |
| CN103781067B (zh) * | 2014-03-03 | 2017-03-29 | 南京理工大学 | Lte/lte‑a网络中带隐私保护的切换认证方法 |
| CN111107598A (zh) * | 2019-12-28 | 2020-05-05 | 深圳市嘉创信息技术服务有限公司 | 一种通讯模组网络运营商自动切换的方法 |
| WO2020216338A1 (zh) * | 2019-04-24 | 2020-10-29 | 华为技术有限公司 | 一种参数发送方法及装置 |
| CN113285805A (zh) * | 2020-02-20 | 2021-08-20 | 华为技术有限公司 | 一种通信方法及装置 |
-
2007
- 2007-09-29 CN CNA2007101754379A patent/CN101123778A/zh active Pending
Cited By (30)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102347957A (zh) * | 2011-11-18 | 2012-02-08 | 王鑫 | 一种云网络准入鉴别系统及准入鉴别技术方法 |
| CN103188669A (zh) * | 2011-12-28 | 2013-07-03 | 中国电信股份有限公司 | 使2g或3g手机卡接入lte网络的方法、系统和移动终端 |
| CN103188669B (zh) * | 2011-12-28 | 2016-09-14 | 中国电信股份有限公司 | 使2g或3g手机卡接入lte网络的方法、系统和移动终端 |
| CN103581154B (zh) * | 2012-08-08 | 2017-01-25 | 中国移动通信集团公司 | 物联网系统中的鉴权方法和装置 |
| CN103581154A (zh) * | 2012-08-08 | 2014-02-12 | 中国移动通信集团公司 | 物联网系统中的鉴权方法和装置 |
| CN103581153A (zh) * | 2012-08-08 | 2014-02-12 | 中国移动通信集团公司 | 物联网系统中的加密方法和装置 |
| CN103974250A (zh) * | 2013-01-30 | 2014-08-06 | 华为终端有限公司 | 配置方法和设备 |
| CN103974250B (zh) * | 2013-01-30 | 2017-11-17 | 华为终端有限公司 | 配置方法和设备 |
| CN103781067B (zh) * | 2014-03-03 | 2017-03-29 | 南京理工大学 | Lte/lte‑a网络中带隐私保护的切换认证方法 |
| CN103874068A (zh) * | 2014-03-20 | 2014-06-18 | 工业和信息化部电信研究院 | 一种识别伪基站的方法和装置 |
| CN103874068B (zh) * | 2014-03-20 | 2018-04-20 | 工业和信息化部电信研究院 | 一种识别伪基站的方法和装置 |
| CN105306406A (zh) * | 2014-05-26 | 2016-02-03 | 中国移动通信集团公司 | 认证和密钥协商算法的协商方法、网络侧设备和用户设备 |
| CN105207969A (zh) * | 2014-06-10 | 2015-12-30 | 江苏大泰信息技术有限公司 | 一种应用于物联网低功耗环境下的轻量级流式加密方法 |
| WO2016086356A1 (zh) * | 2014-12-02 | 2016-06-09 | 华为技术有限公司 | 一种无线通信网络中的鉴权方法、相关装置及系统 |
| EP3518569A1 (en) * | 2015-04-08 | 2019-07-31 | Huawei Technologies Co., Ltd. | Gprs system key enhancement method, sgsn device, ue, hlr/hss and gprs system |
| WO2016161583A1 (zh) * | 2015-04-08 | 2016-10-13 | 华为技术有限公司 | 一种gprs系统密钥增强的方法、sgsn设备、ue、hlr/hss及gprs系统 |
| CN107079293A (zh) * | 2015-04-08 | 2017-08-18 | 华为技术有限公司 | 一种gprs系统密钥增强的方法、sgsn设备、ue、hlr/hss及gprs系统 |
| EP3258718A4 (en) * | 2015-04-08 | 2017-12-20 | Huawei Technologies Co., Ltd. | Gprs system key enhancement method, sgsn device, ue, hlr/hss and gprs system |
| KR101929699B1 (ko) * | 2015-04-08 | 2018-12-14 | 후아웨이 테크놀러지 컴퍼니 리미티드 | Gprs 시스템 키 강화 방법, sgsn 디바이스, ue, hlr/hss, 및 gprs 시스템 |
| RU2683853C1 (ru) * | 2015-04-08 | 2019-04-02 | Хуавей Текнолоджиз Ко., Лтд. | Способ улучшения ключа системы gprs, устройство sgsn, пользовательское устройство, hlr/hss и система gprs |
| CN106332077A (zh) * | 2015-06-26 | 2017-01-11 | 中兴通讯股份有限公司 | 一种接入孤立网络的鉴权认证方法及系统 |
| CN106332077B (zh) * | 2015-06-26 | 2021-01-22 | 中兴通讯股份有限公司 | 一种接入孤立网络的鉴权认证方法及系统 |
| WO2016206387A1 (zh) * | 2015-06-26 | 2016-12-29 | 中兴通讯股份有限公司 | 一种接入孤立网络的鉴权认证方法及系统 |
| CN105847432B (zh) * | 2016-05-23 | 2018-11-23 | 成都亿闻科技有限公司 | 基于物联网的车辆远程控制方法和装置 |
| CN105847432A (zh) * | 2016-05-23 | 2016-08-10 | 成都亿闻科技有限公司 | 基于物联网的车辆远程控制方法和装置 |
| WO2020216338A1 (zh) * | 2019-04-24 | 2020-10-29 | 华为技术有限公司 | 一种参数发送方法及装置 |
| CN111107598A (zh) * | 2019-12-28 | 2020-05-05 | 深圳市嘉创信息技术服务有限公司 | 一种通讯模组网络运营商自动切换的方法 |
| CN111107598B (zh) * | 2019-12-28 | 2022-04-29 | 深圳市新国都通信技术有限公司 | 一种通讯模组网络运营商自动切换的方法 |
| CN113285805A (zh) * | 2020-02-20 | 2021-08-20 | 华为技术有限公司 | 一种通信方法及装置 |
| CN113285805B (zh) * | 2020-02-20 | 2022-08-26 | 华为技术有限公司 | 一种通信方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101123778A (zh) | 网络接入鉴权方法及其usim卡 | |
| KR102018971B1 (ko) | 네트워크 액세스 디바이스가 무선 네트워크 액세스 포인트를 액세스하게 하기 위한 방법, 네트워크 액세스 디바이스, 애플리케이션 서버 및 비휘발성 컴퓨터 판독가능 저장 매체 | |
| US8265593B2 (en) | Method and system of communication using extended sequence number | |
| KR101485230B1 (ko) | 안전한 멀티 uim 인증 및 키 교환 | |
| CN101132649A (zh) | 一种网络接入鉴权方法及其usim卡 | |
| CN101969638B (zh) | 一种移动通信中对imsi进行保护的方法 | |
| CN1929371B (zh) | 用户和外围设备协商共享密钥的方法 | |
| US8819765B2 (en) | Security policy distribution to communication terminals | |
| CA2879910C (en) | Terminal identity verification and service authentication method, system and terminal | |
| CN101409619B (zh) | 闪存卡及虚拟专用网密钥交换的实现方法 | |
| CN100512201C (zh) | 用于处理分组业务的接入-请求消息的方法 | |
| CN108683510A (zh) | 一种加密传输的用户身份更新方法 | |
| CN101777978A (zh) | 一种基于无线终端的数字证书申请方法、系统及无线终端 | |
| CN103533539A (zh) | 虚拟sim卡参数管理方法及装置 | |
| CN103597799A (zh) | 服务访问认证方法和系统 | |
| CN1921682B (zh) | 增强通用鉴权框架中的密钥协商方法 | |
| CN102137397A (zh) | 机器类型通信中基于共享群密钥的认证方法 | |
| CN113746632B (zh) | 一种物联网系统多级身份认证方法 | |
| CN102685739B (zh) | 安卓企业应用的鉴权方法及系统 | |
| CN104521213A (zh) | 网络认证规程中的认证挑战参数的操纵和恢复 | |
| CN101378582A (zh) | 用户识别模块、鉴权中心、鉴权方法及系统 | |
| CN101990201B (zh) | 生成gba密钥的方法及其系统和设备 | |
| US20190260587A1 (en) | Security authentication method and system, and integrated circuit | |
| CN101699890A (zh) | 一种3g-wlan认证方法 | |
| CN103024735B (zh) | 无卡终端的业务访问方法及设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Open date: 20080213 |