CN101163003A - Sim卡使用umts终端和umts系统时终端认证网络的系统和方法 - Google Patents
Sim卡使用umts终端和umts系统时终端认证网络的系统和方法 Download PDFInfo
- Publication number
- CN101163003A CN101163003A CNA2006101409196A CN200610140919A CN101163003A CN 101163003 A CN101163003 A CN 101163003A CN A2006101409196 A CNA2006101409196 A CN A2006101409196A CN 200610140919 A CN200610140919 A CN 200610140919A CN 101163003 A CN101163003 A CN 101163003A
- Authority
- CN
- China
- Prior art keywords
- terminal
- network
- wcdma
- authentication
- parameter
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
一种SIM卡使用WCDMA终端或者GSM/WCDMA双模和WCDMA网络时实现终端认证网络的装置,包括:SIM卡,用于生成一个临时密钥Kc;包括鉴权单元的终端,用于计算终端认证网络的参数,并将所述的参数与网络发送过来的相应参数进行比较;包括鉴权单元的网络实体,用于计算网络测的终端认证网络的参数并发送给终端。本发明提供了一种方便实现和应用的当2G的SIM卡使用WCDMA终端或者GSM/WCDMA双模和WCDMA网络时实现终端认证网络的方法和装置,提供了双向认证的机制,弥补了被伪造基站攻击的安全漏洞,增强在这样一种广泛存在的场景下的安全机制。
Description
技术领域
本发明涉及全球移动通信系统(以下简称为GSM)的用户身份模块(以下简称SIM卡)使用通用移动通信系统地面无线接入(以下简称UMTS,又称为宽带码分多址,以下简称WCDMA)终端或者GSM与WCDMA双模终端并使用WCDMA系统时,实现终端认证网络的方法和装置。
背景技术
在当前的GSM或者通用分组无线业务(以下简称GPRS)系统中,对于每一用户,分别在归属位置寄存器(以下简称为HLR)或者认证中心(以下简称为AUC)和用户的SIM卡中保存用户的根密钥(以下用Ki来表示)和两个认证加密算法(以下用A3,A8来表示)。GSM/GPRS系统中的认证机制如图1所示,具体过程如下:
101 移动交换机(以下简称为MSC)或者GPRS服务支持节点(以下简称为SGSN)向HLR/AuC发送认证请求;
102 HLR/AuC中有一随机数产生器,产生一个随机数RAND,根据两个输入参数RAND和Ki,使用算法A3,A8生成两个输出参数XRES和Kc。然后,把三元组{RAND,XRES,Kc}通过认证相应消息回送给MSC/SGSN;
103 MSC/SGSN把三元组中的随机数参数RAND发送给终端;
104 终端再把RAND传送给SIM卡,SIM卡中的A3,A8算法根据输入的RAND和Ki计算生成RES和Kc。然后通过认证响应消息把RES发送到MSC/SGSN。MSC/SGSN比较RES和XRES,如果相同,则通过认证,用户可以接入此网络。否则,则不通过认证,网络拒绝此用户的接入。
从以上过程可以看出,在GSM/GPRS系统中,只提供了单向认证的机制,即只有网络认证用户,但用户不认证网络,这样,就存在着被伪造基站攻击的安全漏洞。
在GSM/GPRS进一步演进的WCDMA系统中,就吸取了GSM/GPRS系统的经验教训,增强其安全功能。提供了双向认证的机制。即不仅有网络认证用户的功能,而且也增加了用户认证网络的机制,从而就防止了在GSM/GPRS系统存在的被伪造基站攻击的安全漏洞。WCDMA系统中的具体认证机制请参见图2所示,其认证过程如下:
201 WCDMA系统中的MSC或者SGSN向WCDMA系统中的HLR/AuC发送认证请求;如没有特别说明,如下步骤中所说的MSC/SGSN均指的是WCDMA系统中的MSC/SGSN;
202 HLR/AuC中有一随机数产生器,产生一个随机数RAND,另外,HLR/AuC还有一序列号产生器,产生一个序列号SQN,根据三个输入参数RAND,SQN和认证管理域参数AMF,HLR/AuC中的f1-f5函数生成5个输出参数:
(1)XRES:期望的认证响应;
(2)CK:加密密钥;
(3)IK:完整性密钥;
(4)AK:匿名密钥;
(5)MAC:消息认证码
HLR/AuC向MSC/SGSN把没有被使用过的五元组{RAND,XRES,CK,IK,AUTN}参数通过认证响应消息发送给MSC/SGSN,其中,认证令牌参数AUTN=SQNAK||AMF||MAC,表达式中的为异或运算,||为串连。
203 MSC/SGSN向终端发送认证请求消息,把五元组中两个参数RAND和AUTN发送给终端;
204终端再把RAND和AUTN传送给用户服务识别模块(USIM:UserService Identity Module,以下简称为USIM卡),首先,USIM卡利用f1函数验证MAC,然后使用f5函数从AUTN中把SQN解出来,并验证SQN是否为最新的序列号。若是,则网络通过终端的认证,否则,网络则没有通过终端的认证。WCDMA系统中继续沿用了GSM/GPRS中的网络认证终端的机制,即在USIM卡计算生成RES,通过认证响应发送到MSC/SGSN,MSC/SGSN比较RES与XRES,若相同,则终端通过网络的认证,否则,终端则没有通过网络的认证。
从以上WCDMA系统的认证过程可以看出,在WCDMA系统中所提供的是双向认证的机制,即不仅要网络通过终端的认证,而且终端通过网络的认证的情况下,才允许用户接入到系统并继续所申请的业务。从而弥补了在GSM/GPRS系统中潜在的被伪造基站攻击的安全漏洞。
如前所述,第二代(以下简称为2G)的GSM/GPRS系统仅提供了单向认证的功能,在第三代(以下简称3G)的WCDMA系统中,当使用3G的USIM并在WCDMA系统中使用时,可以实现双向认证的功能。但目前仍有大量的2G用户和正在使用的2G的SIM卡,当建设了3G的WCDMA网络时,不太可能将目前使用的SIM卡全部换成USIM卡,特别是在已有2亿多2G用户的中国,广大用户有”换机不换卡”的习惯,即更换一款新的手机,而SIM仍使用原来的SIM卡。当中国部署了3G的WCDMA网络时,目前广大的2G用户只需更换一款WCDMA手机或者GSM/WCDMA双模手机,仍使用2G的SIM卡就可以接入WCDMA网络并使用3G多种多样的业务了,这种情况将在部署了WCDMA网络后在一段相当长的时间内普遍存在。在这种情况下,尽管所使用的WCDMA网络和WCDMA终端或者GSM/WCDMA双模可以提供双向认证的功能。但由于所使用的2G的SIM卡只有2G系统中的A3,A8算法并只能进行2G中三元组相关的计算,而没有WCDMA系统中的f1-f5函数,也不能进行五元组参数相关的计算。所以,仍只能实现网络认证终端,而不能提供终端认证网络的功能,即仍只能提供单向认证的功能。
也就是说,当SIM卡使用WCDMA终端或者GSM/WCDMA双模终端和WCDMA网络时,存在不能提供终端认证网络的功能。这样,就仍然存在被伪造基站攻击的安全漏洞。这一缺陷有待于进一步改善。
发明内容
为解决上述问题,本发明的目的是提供一种当2G的SIM卡使用WCDMA终端或者GSM/WCDMA双模和WCDMA网络时实现终端认证网络的方法和装置。
按照本发明的一方面,一种SIM卡使用WCDMA终端或者GSM/WCDMA双模和WCDMA网络时实现终端认证网络的装置,包括:
SIM卡,用于生成一个临时密钥Kc;
包括鉴权单元的终端,用于计算终端认证网络的参数,并将所述的参数与网络发送过来的相应参数进行比较;
包括鉴权单元的网络实体,用于计算网络测的终端认证网络的参数并发送给终端。
按照本发明的另一方面,一种SIM卡使用WCDMA终端或者GSM/WCDMA双模和WCDMA网络时实现终端认证网络的方法,包括步骤:
SIM卡生成一个临时密钥Kc;
包括鉴权单元的网络实体计算网络测的终端认证网络的参数并发送给终端。
包括鉴权单元的终端计算终端认证网络的参数,并将所述的参数与网络发送过来的相应参数进行比较;
本发明提供了一种方便实现和应用的当2G的SIM卡使用WCDMA终端或者GSM/WCDMA双模和WCDMA网络时实现终端认证网络的方法和装置,提供了双向认证的机制,弥补了被伪造基站攻击的安全漏洞,增强在这样一种广泛存在的场景下的安全机制。
附图说明
图1为SIM卡在GSM/GPRS系统中的认证机制;
图2为USIM卡在UMTS系统中的认证机制;
图3为支持SIM卡使用WCDMA终端和WCDMA网络时终端认证网络的的通信网络结构图;
图4为本发明实施例的WCDMA终端的结构框图;
图5为本发明实施例的GSM与WCDMA双模终端的结构框图;
图6为SIM卡使用WCDMA终端和网络时实现终端认证网络的过程;
图7为SIM卡用户使用WCDMA终端和WCDMA网络时实现终端认证网络的消息流程;
具体实施方式
为方便实施和应用,本发明本着对现有的机制改动最小的原则,并不增加第三代伙伴组织计划(以下简称为3GPP)国际标准中标准接口中的消息或者消息中的参数。按照现有的3GPP协议规范,当SIM卡在WCDMA系统中使用时,AUTN参数虽然已有定义,但并不传送或者不起作用。本发明将充分利用此参数。本发送的具体解决方案为:在WCDMA系统中的MSC/SGSN和WCDMA终端或者GSM/WCDMA双模终端中,分别增加一鉴权单元,此鉴权单元包含一鉴权算法和相应的计算功能,这里的鉴权算法应该具有如下两个特性:
1)该算法应该是容易计算的;
2)计算其逆函数(或者说根据输出反推出输入)应该是非常困难的,或者说是不可能的;
为方便期间,本专利中把满足上述特性的函数称为单向加密函数。在WCDMA系统中的MSC/SGSN,根据输入的Kc(不限于此一个参数),此单向加密函数生成AUTN,并把利用现有的标准接口消息将此AUTN传送给WCDMA终端或者GSM/WCDMA双模终端。在WCDMA终端或者GSM/WCDMA双模终端侧,同样根据SIM卡中计算生成的Kc,单向加密函数生成XAUTN,比较AUTN与XAUTN,若相同,则网络通过终端的认证,否则,网络没有通过终端的认证,后续过程与现有的标准规定相同。
为使本发明能被充分地理解,如下以WCDMA R99为例,从通信网络结构,实施过程和消息流程这些方面详细说明SIM卡使用WCDMA终端或者GSM/WCDMA终端和WCDMA网络时实现终端认证网络的具体实现与实施。如没有特别说明,如下提及的MSC/SGSN为WCDMA R99中的网络实体。值得说明的是,本节实施例仅以WCDMA R99为例,但专利的实施与应用并不仅仅局限于WCDMA R99。本专利所说明的解决方法和装置适用于所有版本的WCDMA系统,这里涉及的WCDMA R99网络实体,随着WCDMA系统版本的不断升级,本专利的网络实体同样适用于实现认证功能的相应实体。例如升级到WCDMA 4版本(以下简称R4)时,MSC分裂为MSC服务器(一般称为MSC Server)和媒体网关(一般称为MGW),MSC上的认证功能移至MSC Server,若在WCDMA R4实施本专利,只需把本实施例中的MSC替换为MSC Server即可。
支持SIM卡使用WCDMA终端或者GSM/WCDMA双模终端和WCDMA网络时终端认证网络的的通信网络结构图如图3所示。为突出本发明的主题,将网络实体中与本发明不相关的功能省略,仅说明实施本专利的功能。实施本专利的网络结构所包括的网络实体及其功能说明如下:
SIM卡301
与2G的SIM卡功能一样,保存根密钥Ki和2G的认证与密码算法A3/A8,根据根密钥Ki和网络所发送过来的随机数RAND,A3/A8生成一个临时密钥Kc;
WCDMA终端或者GSM/WCDMA双模终端302
其中包含鉴权单元305,网络实体302主要用于计算终端认证网络的参数,与网络发送过来的相应参数进行比较,以此来实现终端对网络的认证;
拜访地WCDMA系统MSC/SGSN 303
其中也包含一个鉴权单元306,网络实体303主要用于计算网络侧的终端认证网络的参数并发送给终端;
HLR/AuC 304
与GSM/GPRS系统中的相应实体功能一样,主要用于对SIM卡用户生成三元组向量并发送给MSC/SGSN。
本专利所发明的装置包括如下两个功能模块:
鉴权单元305
鉴权单元305位于WCDMA终端或者GSM/WCDMA双模终端302这一网络实体上。这里所说的终端,是3GPP国际标准中的移动设备(MobileEquipment,以下简称为ME)的一种通俗称谓。鉴权单元305的功能为实现终端对网络的认证,包括鉴权算法和相应的计算功能。鉴权算法为一单向加密函数。所谓单向加密函数,必须具有如下两个特征:
1)该算法应该是容易计算的;
2)计算其逆函数(或者说根据输出反推出输入)应该是
非常困难的,或者说是不可能的;
本专利仅说明实现本发明的具有上述特性的函数,并不限定某一具体的函数,实施本专利者可以根据实际需要,自行选择一个具有上述特性的某一具体函数。
上述单向加密函数的输入参数的个数,具体输入参数的含义等在本专利中并不限定,但至少应该有一个从SIM卡传送来的64位的Kc参数或者从Kc衍生出的其他参数,如根据3GPP 33.102规定,可以按照如下算法将Kc转换为完整性保护密钥IK与加密密钥CK:
a)c4:CK[UMTS]=Kc||Kc;
b)c5:IK[UMTS]=Kc1 xor Kc2||Kc||Kc1 xor Kc2;
在公式c5中,Kci(i=1,2)都是32位,并且Kc=Kc1||Kc2,其中的xor为按位异或,||为串连。实施者可以根据自己的需要自行设定除了Kc以外的其他输入参数的个数,其他输入参数的含义等。
根据上述输入,单向加密函数生成若干输出参数,具体输出参数的个数,每个参数的具体含义在本专利中并不限定,但至少应该有一个用以终端认证网络的128位参数,这里用XAUTN来表示。实施者可以根据自己的需要自行设定除XAUTN以外的其他输出参数的个数,其他输出参数的含义等。
鉴权单元305另一功能为比较其中的单向加密函数生成的终端认证网络的参数XAUTN与网络侧发送过来的AUTN进行比较:若相同,则网络通过了终端的认证,后续过程与现有的3GPP中相应过程一样进行处理,否则,网络则没有通过终端的认证,后续过程也与现有的3GPP中相应过程一样进行处理,在本专利中不再一一说明。
鉴权单元306
鉴权单元306位于拜访地WCDMA系统的核心网实体MSC/SGSN 303上。鉴权单元306的功能与位于WCDMA终端或者GSM/WCDMA双模终端302中的鉴权单元305的功能基本相同,也是计算终端认证网络的参数,并发送给终端。鉴权单元306也包括鉴权算法和相应的计算功能,鉴权算法与鉴权单元305中单向加密函数相同,具体函数仍不限定,只要满足305中单向加密函数的特性并与305中单向加密函数为同一函数即可。鉴权单元306单向加密函数输入参数与输出参数的规定与实施者如何实现与鉴权单元305中输入与输出参数的说明相同,并且,实施者所选定的单向加密函数输入参数与输出参数的个数,具体含义等,在鉴权单元306与鉴权单元305中必须是一样的。
鉴权单元306另一功能为计算出终端认证网络的认证参数(这里重用3GPP中已有的AUTN来表示)后,将此认证参数发送给终端。
本发明实施例的WCDMA终端的结构框图如图4所示。其中,所包括的硬件部分及各部分应该完成的基本功能描述如下如下:
天线401
用来接收和发送无线信号,该天线应能搜索WCDMA所使用的频率。
射频模块402
负责WCDMA基带数字信号和射频模拟信号的转换、射频模拟信号的发送与接收等,射频模块通与调制解调器相连。
WCDMA调制解调器403
其功能实现WCDMA物理层的功能,包括传输信道的信道交织/解交织,传输信道的复用,码组合信道的解复用,速率匹配,码组合信道到物理信道的映射,物理信道的调制与解调物理信道的功率加权与组合等;
WCDMA协议处理模块404
该模块负责完成WCDMA空中接口层2及其以上各层协议栈的功能,包括媒体接入控制层(简称MAC),数据链路层(简称RLC),无线资源控制层(简称RRC)以及非接入层(简称NAS)。本发明的图3中的鉴权单元305即在此模块中实现;
控制模块405
该模块负责WCDMA终端各控制的集中控制,为终端中的应用层软件提供运行平台,承载应用软件模块,完成空中接口信令的发送、接收与处理,呼叫过程的控制,以及对空中接口消息、内部指令的分发与调度等。
扬声器406
用于放大并输出各种提示音,如来电提示音等。
键盘407
用于输入信息,将用户输入的信息传送到控制模块,与显示单元以及扬声器、麦克风等共同完成用户与终端进行交互的界面功能。
显示单元408
显示单元一般包括显示屏等,能够在控制模块的控制下,显示给用户各种文字、图标等。
存储器409
终端中的数据存储模块,存储终端正常工作必需的数据。
电源模块410
为各模块提供电源。
SIM卡411
SIM卡的主要完成两种功能:存储数据(控制存取各种数据)和在安全条件下(个人身份号码PIN、鉴权钥Ki正确)完成客户身份鉴权和客户信息加密算法的全过程。此功能主要是由SIM卡内的一部具有操作系统的微处理机完成。
为实现本发明的SIM卡使用UMTS终端和UMTS系统时实现终端认证网络的方法和装置,在WCDMA终端中的具体实施过程为:从SIM卡411取出Ki,SIM卡把从WCDMA协议处理模块404中传送过来的随机数参数RAND和Ki作为输入参数,根据A3/A8算法生成RES和Kc,然后把Kc和RES发送WCDMA终端,WCDMA终端收到后,暂存在存储器409中。WCDMA协议处理模块404从存储器409中取出Kc,利用Kc作为输入参数(不仅限于此参数),WCDMA协议处理模块404中的单项加密函数进行计算,生成输出参数XAUTN。WCDMA协议处理模块404从存储器409取出所保存的从网络侧发送AUTN,并与XAUTN进行比较。若一致,则网络通过终端的认证;否则,网络则没有通过终端的认证。
本发明实施例的GSM与WCDMA双模终端的结构框图如图5所示。其中,所包括的硬件部分及各部分应该完成的基本功能描述如下如下:
天线501
用来接收和发送无线信号,该天线应能对GSM和WCDMA系统所使用的频率都适用。
射频模块502
负责WCDMA与GSM两套系统的基带数字信号和射频模拟信号的转换、射频模拟信号的发送与接收等,射频模块与WCDMA调制解调器与GSM调制解调器相连。
WCDMA调制解调器503
其功能实现WCDMA物理层的功能,包括传输信道的信道交织/解交织,传输信道的复用,码组合信道的解复用,速率匹配,码组合信道到物理信道的映射,物理信道的调制与解调物理信道的功率加权与组合;
GSM调制解调器504
该模块实现GSM物理层的功能,包括GSM物理层信道的编码/解码,信号的调制/解调等。
WCDMA协议处理模块505
该模块负责完成WCDMA空中接口层2及其以上各层协议栈的功能,包括媒体接入控制层(简称MAC),数据链路层(简称RLC),无线资源控制层(简称RRC)以及非接入层(简称NAS)。本发明的图3中的鉴权单元305即在此模块中实现;
GSM协议处理模块506
该模块负责完成GSM空中接口物理层(不包括物理层)以上各层协议栈的功能,包括媒体接入控制层(简称MAC层)、逻辑链路控制层(LogicalLink Control,简称LLC)、子网汇聚层(Subnetwork DependantConvergence,简称SNDC)和网络层的功能。
其他模块508-513与图4WCDMA终端的结构框图中相应模块的功能相同,再此不一一赘述。
另外,GSM与WCDMA双模终端在实施SIM卡使用此终端实现终端认证网络的方法与上述WCDMA终端实现此功能的方法基本相同,也同样不一一赘述。
SIM卡使用WCDMA终端或者GSM/WCDMA双模终端时实现终端认证网络的过程如图6所示。具体实施过程如下:
601在某一个具体流程中,如WCDMA终端或者GSM/WCDMA并接入WCDMA网络时的呼叫建立流程,位置区/路由区更新等,若运营商需要认证过程,则WCDMA系统中MSC/SGSN向此SIM卡用户归属位置寄存器HLR或者认证中心AuC发送认证请求,这里的HLR/AuC可以为GSM系统的HLR/AuC,也可以是GSM与WCDMA共用的HLR/AuC;
602与GSM/GPRS系统中一样,HLR/AuC中有一随机数产生器,产生一个随机数RAND,根据两个输入参数RAND和Ki,使用算法A3,A8生成两个输出参数XRES和Kc。然后,把三元组{RAND,XRES,Kc}通过认证相应消息回送给WCDMA系统中拜访地的MSC/SGSN;
603对于SIM卡用户,WCDMA系统中拜访地的MSC/SGSN除了根据Kc生成WCDMA的空中接口所使用的完整性保护密钥IK和加密密钥CK之外,对参数AUTN不做处理。由于AUTN在现有的3GPP标准接口中已有定义,只不过为一可选参数。为易于实施与使用,本发明本着尽量不增加现有3GPP标准接口消息和参数的原则,而是充分利用AUTN参数来实现。从HLR/AuC所发送过来的三元组中取出Kc交给鉴权单元306进行处理,鉴权单元306中的单向函数根据一个64位输入参数Kc(或者根据Kc衍生的其他输入参数)和其他输入参数(实施者自行设定,也可以没有其他参数)通过计算生成一个128位的输出参数,用此参数代替现有3GPP标准中的AUTN进行传送和处理。当然,实施者可以自行设定除AUTN之外的其他输出参数,也可以没有其他输出参数。
604 WCDMA系统中的MSC/SGSN把从HLR/AuC处得到的随机数RAND和步骤503中所计算得到的AUTN参数通过现有的3GPP标准消息发送给WCDMA终端或者GSM/WCDMA双模终端;
605 WCDMA终端或者GSM/WCDMA双模终端收到后,把其中的随机数参数RAND发送给所使用的SIM卡;
606与GSM/GPRS中(使用SIM卡,GSM/GPRS终端和GSM/GPRS网络)的认证机制一样,SIM卡得到随机数参数RAND后,把RAND和SIM所保存的根密钥Ki作为输入参数,利用A3/A8算法,生成两个输出参数:网络认证终端的参数RES和临时密钥Kc;把SIM上生成的网络认证终端的参数RES和临时密钥Kc发送到WCDMA终端或者GSM/WCDMA双模终端;
607 WCDMA终端或者GSM/WCDMA双模终端收到后,把其中的Kc参数传递给WCDMA终端或者GSM/WCDMA双模终端上的鉴权单元305进行处理。鉴权单元305中的单向函数根据一个64位输入参数Kc(或者根据Kc衍生的其他输入参数)和其他输入参数(实施者自行设定,也可以没有其他参数)通过计算生成一个128位的输出参数,记为XAUTN。本专利不限定仅XAUTN一个输出参数,实施者在具体实现与应用过程中,可以根据需要,自行设定除XAUTN之外的其他输出参数,也可以只有XAUTN一个输出参数,而不设定其他输出参数。最后,鉴权单元305比较计算生成的XAUTN与网络侧发过来的AUTN,若相同,则网络通过终端的认证,后续过程与现有3GPP中终端认证网络成功后的过程相同;否则,网络则没有通过终端的认证,后续过程与现有3GPP中终端认证网络失败后的过程相同。
608 WCDMA终端或者GSM/WCDMA双模终端把SIM卡上计算得到的RES发送给WCDMA系统中的网络实体MSC/SGSN,MSC/SGSN比较RES与从HLR/AuC发送来的XRES,若相同,则终端和SIM用户通过网络的认证,否则,终端和SIM用户则没有通过网络的认证。
只有通过下述的双向认证:
1)网络通过终端的认证;
2)终端和SIM卡用户通过网络的认证;
才允许SIM用户真正接入WCDMA系统,并享受WCDMA网络所提供的各种各样的业务。这样,SIM卡用户在WCDMA网络上使用时,就解决了目前存在的网络不能认证终端的问题,从而克服了在这样情况下潜在的被伪造基站攻击的安全漏洞,为SIM卡用户提供了与USIM卡用户一样的增强的安全性能。
SIM卡使用WCDMA终端或者GSM/WCDMA双模终端实现终端认证网络的消息流程图如图7所示,具体步骤如下:
701在某些具体的消息流程,如呼叫建立,路由区/位置区更新等过程中,若运营商需要认证,则在拜访地WCDMA系统的MSC/SGSN,首先检查是否此SIM用户是否是新的、未被使用过的三元组,若没有,则执行步骤702,步骤703;若有,则转向步骤704;
702 MSC/SGSN通过7号信令协议中的管理应用部分(MobileApplication Part,如下简称为MAP)向HLR/AuC发发送认证信息请求(MAP_SEND_AUTHENTICATION_INFO Request)消息;
703 HLR/AuC收到MSC/SGSN发送来的发送认证信息请求消息后,随机数产生器产生若干个随机数RAND(1..n),再找到此SIM用户的根密钥Ki,以每个RAND和Ki作为输入参数,使用A3/A8算法计算生成若干个XRES和Kc,把这些参数组成一个三元组向量(RAND,XRES,Kc)使用发送认证信息响应(MAP_SEND_AUTHENTICATION_INFO Response)消息回送给MSC/SGSN;MSC/SGSN收到后,保存这些三元组向量;
704 MSC/SGSN从所保存的三元组向量中取一组新的,未被使用的三元组(RAND,XRES,Kc),以其中的Kc或者Kc衍生的其他参数(并不排除实施者自行设定的其他输入参数)作为输入参数,本专利所发明的MSC/SGSN上的认证单元306中的单向加密函数进行计算,生成一个128位的输出参数(并不排除实施者自行设定的其他输出数),仍用3GPP中已定义的WCDMA终端认证网络的所使用的AUTN来表示;
705 MSC/SGSN通过非接入层(Non-Access Stadium,以下简称为NAS)的移动性管理(Mobility Management,以下简称为MM)管理消息认证请求(AUTHENTICATION REQUEST)把RAND和AUTN发送给WCDMA终端或者GSM/WCDMA双模终端,其中MM消息通过WCDMA的无线网络(如下简称为RAN)不作处理,由RAN透传给WCDMA终端或者GSM/WCDMA双模终端;
706 WCDMA终端或者GSM/WCDMA双模终端收到后,取出其中的随机数参数RAND发送给SIM卡;
707 SIM卡收到RAND,以RAND和SIM卡所保存的根密钥Ki作为输入参数,使用A3/A8函数进行计算,得到输出参数RES和Kc;然后,把计算得到两个参数:RES和Kc返回给终端;
708 WCDMA终端或者GSM/WCDMA双模终端以其中的Kc或者Kc衍生的其他参数(并不排除实施者自行设定的其他输入参数)作为输入参数,本专利所发明的WCDMA终端或者GSM/WCDMA双模终端上的认证单元305中的单向加密函数进行计算,生成一个128位的输出参数XAUTN(并不排除实施者自行设定的其他输出参数);
709 WCDMA终端或者GSM/WCDMA双模终端上的认证单元305比较计算所生成的XUTN与网络发送过来的AUTN,若相同,则表明网络通过了终端的认证,执行包括步骤510及其以后的步骤;否则,则表明网络没有通过终端的认证,转向步骤512进行处理;
710终端认证网络成功,WCDMA终端或者GSM/WCDMA双模终端向MSC/SGSN回送NAS层MM消息认证响应(AUTHENTICATIONRESPONSE),其中包括SIM卡上计算得到的用以实现网络认证终端的参数RES;
711 MSC/SGSN收到认证响应(AUTHENTICATION RESPONSE)后,取出其中的RES参数,与HLR/AuC发送来的XRES参数进行比较,若相同,则表明终端通过了网络的认证,此SIM卡用户可以继续其他流程,如呼叫建立,路由区/位置区更新等过程,并最终接入WCDMA网络并享受WCDMA网络所提供的各种业务;否则,则表明终端没有通过网络的认证,执行网络认证终端失败的流程,这一流程在3GPP现有标准已有明确的规定,不再一一赘述;
712终端认证网络失败,则WCDMA终端或者GSM/WCDMA双模终端向MSC/SGSN发送NAS层MM消息认证失败(AUTHENTICATIONFAILURE),其中包括参数拒绝原因(Rejectcause)指示认证失败的原因。
Claims (11)
1.一种SIM卡使用WCDMA终端或者GSM/WCDMA双模和WCDMA网络时实现终端认证网络的装置,包括:
SIM卡,用于生成一个临时密钥Kc;
包括鉴权单元的终端,用于计算终端认证网络的参数,并将所述的参数与网络发送过来的相应参数进行比较;
包括鉴权单元的网络实体,用于计算网络测的终端认证网络的参数并发送给终端。
2.根据权利要求1所述的装置,其特征在于所述终端包括WCDMA终端或GSM/WCDMA双模终端。
3.根据权利要求1所述的装置,其特征在于所述计算终端认证网络的参数包括单向加密函数。
4.根据权利要求3所述的装置,其特征在于所述单向加密函数的输入参数至少有一个。
5.根据权利要求3所述的装置,其特征在于所述输出参数为128位的AUTN。
6.根据权利要求1所述的装置,其特征在于所述终端中鉴权单元的加密函数输入参数与输出参数的个数与网络实体中鉴权单元的加密函数输入参数与输出参数的个数相同。
7.一种SIM卡使用WCDMA终端或者GSM/WCDMA双模和WCDMA网络时实现终端认证网络的方法,包括步骤:
SIM卡生成一个临时密钥Kc;
包括鉴权单元的终端计算终端认证网络的参数,并将所述的参数与网络发送过来的相应参数进行比较;
包括鉴权单元的网络实体计算网络测的终端认证网络的参数并发送给终端。
8.根据权利要求7所述的方法,其特征在于所述计算终端认证网络的参数包括单项加密函数。
9.根据权利要求8所述的方法,其特征在于所述单向加密函数的输入参数至少有一个。
10.根据权利要求8所述的方法,其特征在于所述输出参数为128位的AUTN。
11.根据权利要求7所述的方法,其特征在于所述终端中鉴权单元的加密函数输入参数与输出参数的个数与网络实体中鉴权单元的加密函数输入参数与输出参数的个数相同。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2006101409196A CN101163003A (zh) | 2006-10-12 | 2006-10-12 | Sim卡使用umts终端和umts系统时终端认证网络的系统和方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2006101409196A CN101163003A (zh) | 2006-10-12 | 2006-10-12 | Sim卡使用umts终端和umts系统时终端认证网络的系统和方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101163003A true CN101163003A (zh) | 2008-04-16 |
Family
ID=39297843
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2006101409196A Pending CN101163003A (zh) | 2006-10-12 | 2006-10-12 | Sim卡使用umts终端和umts系统时终端认证网络的系统和方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101163003A (zh) |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101800987A (zh) * | 2010-02-10 | 2010-08-11 | 中兴通讯股份有限公司 | 一种智能卡鉴权装置及方法 |
| CN101635993B (zh) * | 2008-07-25 | 2013-02-13 | 捷讯研究有限公司 | 在无线通信用户设备中进行加密的设备和方法 |
| CN103067168A (zh) * | 2011-10-21 | 2013-04-24 | 华为技术有限公司 | 一种gsm安全方法及系统、相关设备 |
| CN103188669A (zh) * | 2011-12-28 | 2013-07-03 | 中国电信股份有限公司 | 使2g或3g手机卡接入lte网络的方法、系统和移动终端 |
| CN103188671A (zh) * | 2011-12-28 | 2013-07-03 | 中国电信股份有限公司 | 使HRPD手机卡接入eHRPD网络的方法、系统和移动终端 |
| CN101510825B (zh) * | 2009-02-25 | 2014-04-30 | 中兴通讯股份有限公司 | 一种管理消息的保护方法及系统 |
| CN103874068A (zh) * | 2014-03-20 | 2014-06-18 | 工业和信息化部电信研究院 | 一种识别伪基站的方法和装置 |
| CN104144436A (zh) * | 2008-06-11 | 2014-11-12 | 三菱电机研发中心欧洲有限公司 | 用于识别至少一个终端的方法和设备 |
| CN104247530A (zh) * | 2012-07-21 | 2014-12-24 | 奥迪股份公司 | 用于汽车的移动通信设备的电路配置结构,用于运行移动通信设备的方法及用于移动通信设备的芯片卡 |
| WO2016106535A1 (zh) * | 2014-12-28 | 2016-07-07 | 高剑青 | 蜂窝网络系统 |
| CN106304061A (zh) * | 2015-05-26 | 2017-01-04 | 成都鼎桥通信技术有限公司 | 一种故障弱化状态下的用户鉴权方法 |
| CN107071773A (zh) * | 2016-11-24 | 2017-08-18 | 奇酷互联网络科技(深圳)有限公司 | 一种网络连接建立方法及装置 |
| CN109788480A (zh) * | 2017-11-14 | 2019-05-21 | 华为技术有限公司 | 一种通信方法及装置 |
| CN110933621A (zh) * | 2019-11-25 | 2020-03-27 | 深圳市安特保电子商务集团有限公司 | 一种定位装置的防探测方法及其系统 |
-
2006
- 2006-10-12 CN CNA2006101409196A patent/CN101163003A/zh active Pending
Cited By (27)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104144436A (zh) * | 2008-06-11 | 2014-11-12 | 三菱电机研发中心欧洲有限公司 | 用于识别至少一个终端的方法和设备 |
| CN101635993B (zh) * | 2008-07-25 | 2013-02-13 | 捷讯研究有限公司 | 在无线通信用户设备中进行加密的设备和方法 |
| CN101510825B (zh) * | 2009-02-25 | 2014-04-30 | 中兴通讯股份有限公司 | 一种管理消息的保护方法及系统 |
| WO2011097843A1 (zh) * | 2010-02-10 | 2011-08-18 | 中兴通讯股份有限公司 | 一种智能卡鉴权装置及方法 |
| US9491166B2 (en) | 2010-02-10 | 2016-11-08 | Zte Corporation | Apparatus and method for authenticating smart card |
| CN101800987A (zh) * | 2010-02-10 | 2010-08-11 | 中兴通讯股份有限公司 | 一种智能卡鉴权装置及方法 |
| CN101800987B (zh) * | 2010-02-10 | 2014-04-09 | 中兴通讯股份有限公司 | 一种智能卡鉴权装置及方法 |
| RU2573745C2 (ru) * | 2011-10-21 | 2016-01-27 | Хуавэй Текнолоджиз Ко., Лтд. | Способ и система gsm безопасности и соответствующие устройства |
| CN103067168A (zh) * | 2011-10-21 | 2013-04-24 | 华为技术有限公司 | 一种gsm安全方法及系统、相关设备 |
| WO2013056681A1 (zh) * | 2011-10-21 | 2013-04-25 | 华为技术有限公司 | 一种gsm安全方法及系统、相关设备 |
| CN103067168B (zh) * | 2011-10-21 | 2016-01-27 | 华为技术有限公司 | 一种gsm安全方法及系统、相关设备 |
| CN103188671A (zh) * | 2011-12-28 | 2013-07-03 | 中国电信股份有限公司 | 使HRPD手机卡接入eHRPD网络的方法、系统和移动终端 |
| CN103188669B (zh) * | 2011-12-28 | 2016-09-14 | 中国电信股份有限公司 | 使2g或3g手机卡接入lte网络的方法、系统和移动终端 |
| CN103188669A (zh) * | 2011-12-28 | 2013-07-03 | 中国电信股份有限公司 | 使2g或3g手机卡接入lte网络的方法、系统和移动终端 |
| CN104247530A (zh) * | 2012-07-21 | 2014-12-24 | 奥迪股份公司 | 用于汽车的移动通信设备的电路配置结构,用于运行移动通信设备的方法及用于移动通信设备的芯片卡 |
| CN104247530B (zh) * | 2012-07-21 | 2017-09-19 | 奥迪股份公司 | 用于汽车的移动通信设备的电路配置结构,用于运行移动通信设备的方法及用于移动通信设备的芯片卡 |
| CN103874068A (zh) * | 2014-03-20 | 2014-06-18 | 工业和信息化部电信研究院 | 一种识别伪基站的方法和装置 |
| CN103874068B (zh) * | 2014-03-20 | 2018-04-20 | 工业和信息化部电信研究院 | 一种识别伪基站的方法和装置 |
| WO2016106535A1 (zh) * | 2014-12-28 | 2016-07-07 | 高剑青 | 蜂窝网络系统 |
| CN106304061B (zh) * | 2015-05-26 | 2020-01-10 | 成都鼎桥通信技术有限公司 | 一种故障弱化状态下的用户鉴权方法 |
| CN106304061A (zh) * | 2015-05-26 | 2017-01-04 | 成都鼎桥通信技术有限公司 | 一种故障弱化状态下的用户鉴权方法 |
| CN107071773A (zh) * | 2016-11-24 | 2017-08-18 | 奇酷互联网络科技(深圳)有限公司 | 一种网络连接建立方法及装置 |
| CN107071773B (zh) * | 2016-11-24 | 2021-01-08 | 奇酷互联网络科技(深圳)有限公司 | 一种网络连接建立方法及装置 |
| CN109788480A (zh) * | 2017-11-14 | 2019-05-21 | 华为技术有限公司 | 一种通信方法及装置 |
| CN109788480B (zh) * | 2017-11-14 | 2021-01-05 | 华为技术有限公司 | 一种通信方法及装置 |
| US11082843B2 (en) | 2017-11-14 | 2021-08-03 | Huawei Technologies Co., Ltd. | Communication method and communications apparatus |
| CN110933621A (zh) * | 2019-11-25 | 2020-03-27 | 深圳市安特保电子商务集团有限公司 | 一种定位装置的防探测方法及其系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101163003A (zh) | Sim卡使用umts终端和umts系统时终端认证网络的系统和方法 | |
| US7933591B2 (en) | Security in a mobile communications system | |
| JP4263384B2 (ja) | ユーザ加入識別モジュールの認証についての改善された方法 | |
| US7904072B2 (en) | Method and apparatus for secure immediate wireless access in a telecommunications network | |
| EP0977452B1 (en) | Method for updating secret shared data in a wireless communication system | |
| US5915021A (en) | Method for secure communications in a telecommunications system | |
| EP1758417B1 (en) | Authentication method | |
| US8792641B2 (en) | Secure wireless communication | |
| KR101097709B1 (ko) | 셀룰러 시스템과 연관된 보안값(들)에 기초하여 무선근거리 네트워크에 대한 액세스를 인증하는 방법 | |
| KR101170029B1 (ko) | 자체-동기화 인증 및 키 동의 프로토콜 | |
| EP1976322A1 (en) | An authentication method | |
| US8819765B2 (en) | Security policy distribution to communication terminals | |
| CN1835436B (zh) | 一种通用鉴权网络及一种实现鉴权的方法 | |
| CN101416541A (zh) | 移动通信设备的电话号码发现以及电话号码认证的方法和系统 | |
| CN101183938A (zh) | 一种无线网络安全传输方法、系统及设备 | |
| KR19990077193A (ko) | 이동 통신 시스템의 인증 키 관리 | |
| CN102318386A (zh) | 向网络的基于服务的认证 | |
| EP1121822B1 (en) | Authentication in a mobile communications system | |
| CN100441023C (zh) | 鉴定移动站的方法、通信系统与移动站 | |
| KR20080093449A (ko) | Cdma 네트워크에서 gsm 인증 | |
| CN101160784B (zh) | 一种密钥更新协商方法及装置 | |
| CN102111268B (zh) | 一种gsm网络双向认证的方法 | |
| CN112887979A (zh) | 一种网络接入方法及相关设备 | |
| CN111770496B (zh) | 一种5g-aka鉴权的方法、统一数据管理网元及用户设备 | |
| CN100396156C (zh) | 一种同步sqn的处理方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Open date: 20080416 |