CN101378582A - 用户识别模块、鉴权中心、鉴权方法及系统 - Google Patents

用户识别模块、鉴权中心、鉴权方法及系统 Download PDF

Info

Publication number
CN101378582A
CN101378582A CNA2007101210469A CN200710121046A CN101378582A CN 101378582 A CN101378582 A CN 101378582A CN A2007101210469 A CNA2007101210469 A CN A2007101210469A CN 200710121046 A CN200710121046 A CN 200710121046A CN 101378582 A CN101378582 A CN 101378582A
Authority
CN
China
Prior art keywords
keys
authentication
key
key identification
module
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CNA2007101210469A
Other languages
English (en)
Other versions
CN101378582B (zh
Inventor
刘利军
刘斐
魏冰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Mobile Communications Group Co Ltd
Original Assignee
China Mobile Communications Group Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Mobile Communications Group Co Ltd filed Critical China Mobile Communications Group Co Ltd
Priority to CN2007101210469A priority Critical patent/CN101378582B/zh
Publication of CN101378582A publication Critical patent/CN101378582A/zh
Application granted granted Critical
Publication of CN101378582B publication Critical patent/CN101378582B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Mobile Radio Communication Systems (AREA)

Abstract

本发明涉及鉴权方法,包括:用户识别模块及鉴权中心预存多个密钥及密钥标识;鉴权中心生成选择密钥标识,根据选择密钥标识确定对应密钥,生成携带有选择密钥标识信息的认证数据并向VLR/SGSN发送;VLR/SGSN将携带有选择密钥标识信息的部分认证数据向用户识别模块发送;用户识别模块从部分认证数据中获得选择密钥标识,根据选择密钥标识确定对应密钥,利用对应密钥对网络侧鉴权,利用对应密钥生成认证响应发送至VLR/SGSN;VLR/SGSN根据认证响应以及认证数据进行用户鉴权。本发明还涉及用户识别模块、鉴权中心及鉴权系统。本发明实现了利用动态更新的密钥进行鉴权,提高了密钥的攻击难度,增强了鉴权的安全性。

Description

用户识别模块、鉴权中心、鉴权方法及系统
技术领域
本发明涉及鉴权技术,尤其涉及用户识别模块、鉴权中心、鉴权方法及系统。
背景技术
在移动通信网络中,用户通过无线信道接入服务网络,而无线网络的天然开放性使得空中接口的窃听、篡改、仿冒、重放等安全威胁大大提高,因而无线网络成为移动通信网络的安全薄弱环节。如何保证用户安全的接入和访问网络,始终是移动通信网络安全的核心问题之一。
在全球移动通讯系统(Global System for Mobile Communications,简称GSM)中,为保证用户接入的安全,提供了用户标识隐藏、用户身份认证和通信机密性保护等安全特征。但由于只采用了网络对用户的单向身份认证,使得攻击者可以伪装网络向用户卡发送大量随机数并获得响应,进而通过已知明文攻击破解用户密钥,导致了克隆卡现象的出现。
针对GSM中存在的问题,在通用移动通信系统(Universal MobileTelecommunications System,简称UMTS)中对空口安全机制进行了进一步加强和完善,除用户标识隐藏和通信机密性保护外,增加了双向身份认证、抗重放攻击和通信完整性保护等机制,进一步增强了网络访问的安全性。
在UMTS中,用户与网络的双向认证是利用归属位置寄存器(HomeLocation Register,简称HLR)/鉴权中心(Authentication Center,简称AuC)基于用户根密钥K产生的五元组认证向量(<Rand,RES,CK,IK,AUTN>)完成的。UMTS的鉴权流程包括如下步骤:
步骤A1、当用户发起网络接入、业务接入或位置更新等请求时,网络侧发起用户身份认证过程,拜访位置寄存器(Visit Location Register,简称VLR)/GPRS服务支持节点(Serving GPRS Support Node,简称SGSN)向HLR/AuC请求认证五元组数据;
步骤A2、收到来自VLR/SGSN的请求后,HLR/AuC向VLR/SGSN发送一组或几组认证五元组数据;
每个五元组由下列元素组成:随机数RAND,由AuC中的随机数发生器产生;期望的响应XRES,由RAND和K通过f2算法计算获得;加密密钥CK和完整性密钥IK,分别由RAND和K通过f3和f4算法计算获得;认证令牌 AUTN = SQN &CirclePlus; AK | | AMF | | MAC , 其中:序列号SQN是用于防止重放攻击的计数器;匿名密钥AK=f5K(RAND)用于隐藏SQN;AMF为管理域字段,留做将来扩展用途,目前定义为空值;消息认证码MAC=f1K(SQN‖RAND‖AMF);每一认证五元组可用于执行一次用户鉴权过程;
步骤A3、VLR/SGSN从得到的五元组数据中顺序确定一组,将对应的RAND和AUTN作为认证请求发送给用户;
步骤A4、通用用户识别模块(Universal Subscriber Identity Module,简称USIM)卡收到RAND和AUTN后,利用与网络侧计算MAC相同的方法计算XMAC,并比较XMAC是否与MAC相同,从而认证网络身份;验证序列号SQN是否有效,从而防止恶意的重放攻击;如果SQN不合法,则本次鉴权失败,向网络发起同步过程;如果SQN合法,由K和RAND通过f2算法计算响应值RES,并作为认证响应发回VLR/SGSN;同时计算加密密钥CK和完整性密钥IK,用于后续通信内容的保护;
步骤A5、VLR/SGSN将所接收到的RES和认证五元组数据中的XRES比较,如果相同,则鉴权通过,否则拒绝用户请求。
在上述UMTS鉴权过程中,通过验证MAC使得用户可以对网络身份进行认证,从而可以避免2G网络中的伪基站攻击,通过引入SQN序列号检查机制,能够防止重放攻击,并提供了通信内容的完整性保护能力,有效提高了空中接口的安全强度。
虽然UMTS已经提供了较好的安全机制,但仍存在严重的安全隐患:
(1)用户根密钥在整个生命期内始终保持固定不变,长期不变的固定密钥是违反安全原则的,会极大的增加密钥被破解的可能性。
(2)3G鉴权密钥,可能从以下途径泄漏:如果密钥由卡商写入,卡商的工作人员可能泄漏密钥;如果密钥由运营商写入,运营商的工作人员可能泄漏密钥;HLR/AuC维护人员可能泄漏相关密钥数据。例如,通过欺骗、贿赂或胁迫的方式,从HLR/AUC的维护人员处直接获取密钥;黑客攻击HLR/AUC获取根密钥,随着网络开放性的不断增加,该种泄漏途径的可能性还会继续增高;从空中接口截获足够数量的网络下发的鉴权参数(RAND,AUTN)和终端返回的鉴权响应(RES),通过对算法的攻击来破解密钥,长期有效的用户密钥更增加了该种攻击的可行性。由于用户的身份认证、通信机密性、完整性等安全特征都是建立在用户密钥基础上的,密钥的泄漏会导致严重的后果。
如果能够以安全可靠的方式对用户根密钥进行动态更新,将有效弥补UMTS网络安全机制的缺陷,提高用户和网络的安全性。
发明内容
本发明的目的在于,提供用户识别模块、鉴权中心、鉴权方法及系统,增强鉴权的安全性。
为了实现上述目的,本发明提供了一种鉴权方法,包括如下步骤:
用户识别模块及鉴权中心预先存储多个密钥及所述多个密钥的密钥标识;
所述鉴权中心接收认证数据请求信息,生成选择密钥标识,根据所述选择密钥标识以及所述鉴权中心存储的所述多个密钥及所述多个密钥的密钥标识确定对应密钥,根据所述选择密钥标识及对应密钥生成携带有所述选择密钥标识信息的认证数据,并将所述认证数据向拜访位置寄存器/通用分组无线业务服务支持节点(VLR/SGSN)发送;
所述VLR/SGSN接收所述认证数据,将携带有所述选择密钥标识信息的部分认证数据向所述用户识别模块发送;
所述用户识别模块接收所述部分认证数据,从所述部分认证数据中获得所述选择密钥标识,根据所述选择密钥标识以及所述用户识别模块中存储的所述多个密钥及所述多个密钥的密钥标识获得对应密钥,利用所述对应密钥对网络侧鉴权,若鉴权通过,则利用所述对应密钥生成认证响应信息,并将所述认证响应信息发送至所述VLR/SGSN;
所述VLR/SGSN根据所述认证响应信息以及所述认证数据判断鉴权是否通过。
为了实现上述目的,本发明还提供了一种鉴权中心,包括:存储模块,用于存储多个密钥及所述多个密钥的密钥标识;接收模块,用于接收信息;发送模块,用于发送信息;第一确定模块,用于在接收到认证数据请求信息后,生成选择密钥标识并根据所述选择密钥标识以及所述存储模块存储的所述多个密钥及所述多个密钥的密钥标识确定对应密钥;认证数据生成模块,用于根据所述选择密钥标识及所述对应密钥生成携带有所述选择密钥标识信息的认证数据,并通过所述发送模块发送。
为了实现上述目的,本发明还提供了一种用户识别模块,包括:接收模块,用于接收信息;发送模块,用于发送信息;密钥存储模块,用于存储多个密钥及所述多个密钥的密钥标识;第二确定模块,用于接收携带有选择密钥标识信息的部分认证数据,从所述部分认证数据中获得所述选择密钥标识,并根据所述选择密钥标识以及所述密钥存储模块中存储的所述多个密钥及所述多个密钥的密钥标识确定对应密钥;鉴权模块,用于利用所述对应密钥对网络侧进行鉴权;认证响应模块,用于在对网络侧鉴权通过的情况下,根据所述对应密钥生成认证响应信息。
为了实现上述目的,本发明还提供了一种鉴权系统,包括:
鉴权中心,用于存储多个密钥及所述多个密钥的密钥标识;接收认证数据请求信息,生成选择密钥标识,根据所述选择密钥标识及存储的所述多个密钥与所述多个密钥的密钥标识确定对应密钥;根据所述选择密钥标识及所述对应密钥生成携带有选择密钥信息的认证数据并发送;
VLR/SGSN,用于接收认证数据,发送携带有所述选择密钥信息的部分认证数据;接收所述认证响应信息,并根据所述认证响应信息以及所述认证数据判断鉴权是否通过;
用户识别模块,用于存储多个密钥及所述多个密钥的密钥标识,接收所述部分认证数据,从所述部分认证数据中获得选择密钥标识,根据所述选择密钥标识以及存储的所述多个密钥及所述多个密钥的密钥标识确定对应密钥,利用所述对应密钥对网络侧鉴权,若鉴权通过,则利用所述对应密钥生成认证响应信息并向所述VLR/SGSN发送。
本发明实现了利用动态更新的密钥进行鉴权,提高了密钥的攻击难度,增强了鉴权的安全性。
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
附图说明
图1为本发明的鉴权系统实施例结构示意图;
图2为本发明的鉴权方法实施例一流程图;
图3为本发明的鉴权方法实施例二流程图;
图4为本发明的鉴权方法实施例三流程图;
图5为本发明的鉴权中心实施例一结构示意图;
图6为本发明的鉴权中心实施例二结构示意图;
图7为本发明的用户识别模块实施例一结构示意图;
图8为本发明的用户识别模块实施例二结构示意图。
具体实施方式
如图1所示,为本发明的鉴权系统实施例结构示意图。本实施例包括:鉴权中心1、VLR/SGSN 2以及用户识别模块3。
鉴权中心1用于存储多个密钥及多个密钥的密钥标识;接收认证数据请求信息,生成选择密钥标识,根据选择密钥标识及存储的多个密钥与多个密钥的密钥标识确定对应密钥;根据选择密钥标识及对应密钥生成携带有选择密钥信息的认证数据,并向VLR/SGSN 2发送。
VLR/SGSN 2用于接收认证数据,并向用户识别模块发送携带有选择密钥信息的部分认证数据;接收用户识别模块返回的认证响应信息,并根据认证响应信息以及认证数据判断鉴权是否通过。
用户识别模块3用于存储多个密钥及多个密钥的密钥标识,接收部分认证数据,从部分认证数据中获得选择密钥标识,根据选择密钥标识以及存储的多个密钥及多个密钥的密钥标识确定对应密钥,利用对应密钥对网络侧鉴权,若鉴权通过,则利用对应密钥生成认证响应信息并向VLR/SGSN 2发送。
本实施例在鉴权过程中实现了密钥的动态更新,利用动态更新的密钥进行鉴权,提高了密钥的攻击难度,解决了固定密钥存在的安全隐患。
如图2所示,为本发明的鉴权方法实施例一流程图。本实施例包括如下步骤:
步骤101、用户识别模块及鉴权中心预先存储多个密钥及多个密钥的密钥标识;
步骤102、鉴权中心生成选择密钥标识,根据选择密钥标识以及鉴权中心存储的多个密钥及多个密钥的密钥标识确定对应密钥,根据选择密钥标识及对应密钥生成携带有选择密钥标识信息的认证数据,并将认证数据向VLR/SGSN发送;
步骤103、VLR/SGSN接收认证数据,将携带有选择密钥标识信息的部分认证数据向用户识别模块发送;
步骤104、用户识别模块接收部分认证数据,从部分认证数据中获得选择密钥标识,根据选择密钥标识以及用户识别模块中存储的多个密钥及多个密钥的密钥标识确定对应密钥,利用对应密钥对网络侧鉴权,若鉴权通过,则利用对应密钥生成认证响应信息,并将认证响应信息发送至VLR/SGSN;
步骤105、VLR/SGSN根据认证响应信息以及认证数据判断鉴权是否通过。
本实施例在鉴权过程中完成了密钥的协商,实现了鉴权密钥的动态更新,利用动态更新的密钥进行鉴权,提高了密钥的攻击难度,解决了固定密钥存在的安全隐患。
考虑到具体的使用情况以及用户识别模块的存储容量,在预先存储密钥及密钥标识时,用户识别模块可存储该用户识别模块的用户标识所对应的多个密钥及该多个密钥的密钥标识;而鉴权中心存储所有用户的密钥信息,即存储各用户标识对应的多个密钥及该多个密钥的密钥标识。此时,当鉴权中心确定密钥时,除了考虑选择密钥标识,还需要考虑用户标识。
当密钥的使用并不频繁时,例如,针对某个特定增值业务的鉴权密钥,用户识别模块与鉴权中心可存储相同的多个密钥及该多个密钥的密钥标识。此时,鉴权中心根据选择密钥标识确定密钥就可以了。
根据不同的密钥标识方式,可采用不同的方式生成选择密钥标识。为了增强安全性,可采用随机方式生成选择密钥标识。例如,密钥标号依次递增1,那么可在密钥标识最大值和最小值的范围内生成一个符合均匀分布的随机数,这样大大增加了攻破密钥的难度。
选择密钥标识可采用现有的某个字段携带,或者采用一扩展字段携带,采用哪种携带方式可根据具体情况而定。
如图3所示,为本发明的鉴权方法实施例二流程图。本实施例采用鉴权管理字段(Authentication Management Field,简称AMF)携带选择密钥标识。由于AMF的长度为8位,因此,最多可以在数量为28=256个密钥中选择。本实施例中,采用AMF的低6位携带选择密钥标识,这样,可以为每个用户分配26=64个密钥。
步骤201、用户识别模块预先存储国际移动用户识别码(InternationalMobile Subscriber Identity,简称IMSI)、64个密钥及64个密钥的密钥标识;鉴权中心也预先存储该IMSI及其对应的64个密钥及该64个密钥的密钥标识;
步骤202、用户识别模块发起网络接入、业务接入或位置更新等请求;该请求中携带有IMSI或临时移动用户识别码(Temporary Mobile SubscriberIdentity,简称TMSI);
步骤203、VLR/SGSN向鉴权中心发送认证数据请求信息,该认证数据请求信息中携带有IMSI;当用户识别模块发送的请求信息携带的是TMSI时,VLR/SGSN需要查询该TMSI对应的IMSI;
步骤204、鉴权中心接收到认证数据请求信息后,随机生成选择密钥标识,根据选择密钥标识设置AMF的低6位,并根据选择密钥标识及用户标识以及其存储的该用户标识对应的多个密钥以及多个密钥的密钥标识确定对应密钥,根据选择密钥标识及对应密钥生成携带有选择密钥标识信息的认证数据,并将认证数据向VLR/SGSN发送;
认证数据AV=RAND‖XRES‖CK‖IK‖AUTN:随机数RAND,由鉴权中心中的随机数发生器产生;期望的响应XRES,由RAND和对应密钥通过f2算法计算获得;加密密钥CK和完整性密钥IK,分别由RAND和K通过f3和f4算法计算获得;认证令牌 AUTN = SQN &CirclePlus; AK | | AMF | | MAC , 其中:序列号SQN是用于防止重放攻击的计数器;匿名密钥AK=f5K(RAND)用于隐藏SQN;AMF的低6位根据选择密钥标识设置;消息认证码MAC=f1K(SQN‖RAND‖AMF);
步骤205、VLR/SGSN接收认证数据,将RAND和AUTN作为认证请求发送给用户识别模块;
步骤206、用户识别模块接收认证请求,从中提取RAND和AUTN,从AUTN中获取AMF,根据AMF低6位的值确定选择密钥标识,根据选择密钥标识以及用户识别模块中存储的多个密钥及多个密钥的密钥标识获得对应密钥;
步骤207、用户识别模块对网络侧进行鉴权,若鉴权通过,执行步骤208;否则,本次鉴权失败;
本步骤中,用户识别模块利用与网络侧计算MAC相同的方法计算XMAC,并比较XMAC是否与MAC相同,从而对网络侧身份进行认证,若不相同,则鉴权失败;用户识别模块还验证序列号SQN是否有效,从而防止恶意的重放攻击;如果SQN不合法,则本次鉴权失败,向网络发起同步过程;如果XMAC与MAC相同,且SQN合法,则对网络侧鉴权通过,执行步骤309;
步骤208、用户识别模块利用对应密钥和RAND通过f2算法计算响应值RES,并作为认证响应信息返回VLR/SGSN;同时计算加密密钥CK和完整性密钥IK,用于后续通信内容的保护;
步骤209、VLR/SGSN将所接收到的认证响应信息RES和认证五元组数据中的XRES进行比较,如果相同,则鉴权通过,否则拒绝用户请求。
本实施例实现了用户接入、业务及位置更新等过程中,利用动态更新的密钥进行鉴权,从而克服了固定密钥的缺陷,大大提高了用户的安全程度;本实施例采用现有字段AMF携带选择密钥标识,不需改变现有的UMTS信令交互流程,中间环节的设备无需更改,只需在用户识别模块和鉴权中心进行修改;并且利用AMF进行密钥选择,计算开销低。
如图4所示,为本发明的鉴权方法实施例三流程图。本实施例中,在鉴权时,首先根据预先设定的更新条件判断是否需要执行密钥更新;若需要更新,则在鉴权过程中协商新的密钥并采用新密钥进行鉴权;若不需更新,则可采用现有的鉴权过程;每个用户具有31个密钥,采用AMF的高5位携带选择密钥标识,密钥标识从1至31;当AMF的高5位为“00000”时,表示不需更新密钥。本实施例包括如下步骤:
步骤301、用户识别模块预先存储IMSI、31个密钥及31个密钥的密钥标识;鉴权中心也预先存储该IMSI及其对应的31个密钥及该31个密钥的密钥标识;
步骤302、用户识别模块发起网络接入、业务接入或位置更新等请求;该请求中携带有IMSI或TMSI;
步骤303、VLR/SGSN向鉴权中心发送认证数据请求信息,该认证数据请求信息中携带有IMSI;当用户识别模块发送的请求信息携带的是TMSI时,VLR/SGSN需要查询该TMSI对应的IMSI;
步骤304、鉴权中心接收到认证数据请求信息后,判断是否需要执行密钥更新,若需要则执行步骤306,否则,执行步骤305;
本步骤中,鉴权中心可以根据上次密钥更新时间或者当前密钥使用次数来判断是否需要执行密钥更新;
当根据上次密钥更新时间判断时,需要记录上次密钥更新时间,并预先设置一个密钥使用时长阈值,在判断时,根据上次密钥更新时间及当前时间得到当前密钥的使用时长,判断该时长是否已达到密钥使用时长阈值,若达到了,则需要执行密钥更新;
当根据当前密钥使用次数判断时,需要记录密钥的使用次数,并预先设置一个密钥使用次数阈值,在判断时,判断当前密钥的使用次数是否达到了密钥使用次数阈值,若达到了,则需要执行密钥更新;
步骤305、按照现有的鉴权流程继续后续步骤,AMF各字段均为零;
步骤306、鉴权中心随机生成选择密钥标识,根据选择密钥标识设置AMF的高5位,并根据选择密钥标识及用户标识以及其存储的该用户标识对应的多个密钥以及多个密钥的密钥标识,确定对应密钥,根据选择密钥标识及对应密钥生成携带有选择密钥标识信息的认证数据,并将认证数据向VLR/SGSN发送;本步骤中生成认证数据的方式与鉴权方法实施例二步骤204中生成认证数据的方法相同;
步骤307、VLR/SGSN接收认证数据,将RAND和AUTN作为认证请求发送给用户;
步骤308、用户识别模块接收认证请求,从中提取RAND和AUTN,从AUTN中获取AMF,根据AMF高5位的值确定选择密钥标识,根据选择密钥标识以及用户识别模块中存储的多个密钥及多个密钥的密钥标识获得对应密钥;
步骤309、用户识别模块对网络侧进行鉴权,若鉴权通过,执行步骤310;否则,本次鉴权失败;
本步骤中,用户识别模块利用与网络侧计算MAC相同的方法计算XMAC,并比较XMAC是否与MAC相同,从而对网络侧身份进行认证,若不相同,则鉴权失败;用户识别模块还验证序列号SQN是否有效,从而防止恶意的重放攻击;如果SQN不合法,则本次鉴权失败,向网络发起同步过程;如果XMAC与MAC相同,且SQN合法,则对网络侧鉴权通过,执行步骤309;
步骤310、用户识别模块利用对应密钥和RAND通过f2算法计算响应值RES,并作为认证响应信息返回VLR/SGSN;同时计算加密密钥CK和完整性密钥IK,用于后续通信内容的保护;
步骤311、VLR/SGSN将所接收到的认证响应信息RES和认证五元组数据中的XRES比较,如果相同,则鉴权通过,否则拒绝用户请求。
本实施例中,加入了判断是否需要执行密钥更新的步骤,当需要执行密钥更新的时,再在鉴权过程中加入密钥协商更新的过程;可根据具体的情况适当设置密钥更新条件;本实施例在增强了安全性的同时,又不会给鉴权中心和用户识别模块带来过大的计算量。
如图5所示,为本发明的鉴权中心实施例一结构示意图。本实施例包括:存储模块11、接收模块12、发送模块13、第一确定模块14以及认证数据生成模块15。
存储模块11用于存储多个密钥及该多个密钥的密钥标识;接收模块12用于接收信息;发送模块13用于发送信息;第一确定模块14用于在接收模块12接收到认证数据请求信息后,生成选择密钥标识并根据选择密钥标识以及存储模块11存储的多个密钥及多个密钥的密钥标识确定对应密钥;认证数据生成模块15用于根据选择密钥标识及对应密钥生成携带有所述选择密钥标识信息的认证数据,并通过发送模块13发送。
本实施例的鉴权中心实现了在生成认证数据时,进行密钥更新,根据更新后的密钥生成认证数据并在认证数据中携带新密钥的密钥标识,以在鉴权过程中通知用户识别模块所采用的新密钥的密钥标识,并根据新密钥鉴权。这样,可大大提高鉴权过程的安全性。
如图6所示,为本发明的鉴权中心实施例二结构示意图。
本实施例中第一确定模块14具体包括:判断单元141、标识生成单元142及第一密钥确定单元143。判断单元141用于在接收模块12接收到认证数据请求信息后,判断是否需要执行密钥更新;标识生成单元142用于在需要执行密钥更新时随机生成选择密钥标识;第一密钥确定单元143用于根据选择密钥标识以及存储模块存储的多个密钥及多个密钥的密钥标识确定对应密钥。
本实施例中的认证数据生成模块15具体包括:设置单元151及生成单元152。设置单元151用于根据选择密钥标识设置鉴权管理字段AMF,例如,将选择密钥标识转换为AMF的某些字节。生成单元152用于根据AMF及对应密钥生成包含鉴权管理字段AMF的认证数据,并通过发送模块13发送。
本实施例的鉴权中心实现了,在鉴权过程中,对是否需要执行密钥更新进行判断,在需要更新时再在鉴权过程中加入密钥协商更新的过程;可根据具体的情况适当设置密钥更新条件;本实施例在增强了安全性的同时,又不会给鉴权中心和用户识别模块带来过大的计算量;通过现有的AMF字段携带选择密钥标识,不需改变现有的鉴权流程,中间环节设备无需更改。
如图7所示,为本发明的用户识别模块实施例一结构示意图。本实施例包括:接收模块31、发送模块32、密钥存储模块33、第二确定模块34、鉴权模块35及认证响应模块36。
接收模块31用于接收信息;发送模块32用于发送信息;密钥存储模块33用于存储多个密钥及该多个密钥的密钥标识;第二确定模块34用于从接收的携带有选择密钥标识信息的部分认证数据中获得选择密钥标识,并根据选择密钥标识以及密钥存储模块33中存储的多个密钥及该多个密钥的密钥标识确定对应密钥;鉴权模块35用于利用对应密钥对网络侧进行鉴权;认证响应模块36用于在对网络侧鉴权通过的情况下,根据对应密钥生成认证响应信息并通过发送模块32发送。
本实施例的用户识别模块实现了在鉴权过程中根据网络侧发送的部分认证数据携带的选择密钥标识信息动态更新密钥,从而可克服固定密钥的安全性缺陷。
如图8所示,为本发明的用户识别模块实施例二结构示意图。
本实施例中的第二确定模块34具体包括:认证令牌提取单元341、密钥标识获得单元342及第二密钥确定单元343。认证令牌提取单元341用于从接收到的部分认证数据中提取认证令牌;密钥标识获得单元342用于从认证令牌中获得鉴权管理字段,并根据鉴权管理字段的值确定选择密钥标识;第二密钥确定单元343用于根据选择密钥标识以及密钥存储模块33中存储的多个密钥及该多个密钥的密钥标识确定对应密钥。
本实施例的用户识别模块实现了在网络侧采用AMF携带选择密钥标识时,从接收到的认证数据中提取AMF字段的值,并根据该值确定选择密钥标识并进而确定对应密钥,从而实现采用AMF携带选择密钥标识时的用户侧密钥更新。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (18)

1、一种鉴权方法,其特征在于,所述方法包括如下步骤:
用户识别模块及鉴权中心预先存储多个密钥及所述多个密钥的密钥标识;
所述鉴权中心接收认证数据请求信息,生成选择密钥标识,根据所述选择密钥标识以及所述鉴权中心存储的所述多个密钥及所述多个密钥的密钥标识确定对应密钥,根据所述选择密钥标识及对应密钥生成携带有所述选择密钥标识信息的认证数据,并将所述认证数据向VLR/SGSN发送;
所述VLR/SGSN接收所述认证数据,将携带有所述选择密钥标识信息的部分认证数据向所述用户识别模块发送;
所述用户识别模块接收所述部分认证数据,从所述部分认证数据中获得所述选择密钥标识,根据所述选择密钥标识以及所述用户识别模块中存储的所述多个密钥及所述多个密钥的密钥标识获得对应密钥,利用所述对应密钥对网络侧鉴权,若鉴权通过,则利用所述对应密钥生成认证响应信息,并将所述认证响应信息发送至所述VLR/SGSN;
所述VLR/SGSN根据所述认证响应信息以及所述认证数据判断用户鉴权是否通过。
2、根据权利要求1所述的鉴权方法,其特征在于,所述生成选择密钥标识之前还包括,判断是否需要执行密钥更新;在需要进行密钥更新时,执行生成选择密钥标识的步骤。
3、根据权利要求1所述的鉴权方法,其特征在于,所述用户识别模块及鉴权中心预先存储多个密钥及所述多个密钥的密钥标识的步骤具体为:所述用户识别模块预先存储与所述用户识别模块的用户标识对应的多个密钥及所述多个密钥的密钥标识,所述鉴权中心预先存储所述用户标识与所述多个密钥及所述多个密钥的密钥标识的对应关系。
4、根据权利要求3所述的鉴权方法,其特征在于,所述根据所述选择密钥标识以及所述鉴权中心存储的所述多个密钥及所述多个密钥的密钥标识确定对应密钥的步骤具体为:根据所述选择密钥标识,以及所述用户标识与所述多个密钥及所述多个密钥的密钥标识的对应关系,确定所述选择密钥标识的对应密钥。
5、根据权利要求1所述的鉴权方法,其特征在于,所述鉴权通过时,所述VLR/SGSN向所述鉴权中心发送密钥更新响应信息。
6、根据权利要求1-5任一所述的鉴权方法,其特征在于,所述鉴权中心利用鉴权管理字段携带所述选择密钥标识。
7、根据权利要求6所述的鉴权方法,其特征在于,所述用户识别模块从所述部分认证数据中获得所述选择密钥标识的步骤具体为,所述用户识别模块从所述部分认证数据中提取认证令牌,从所述认证令牌中获取所述鉴权管理字段的值,并根据所述鉴权管理字段的值确定所述选择密钥标识。
8、一种鉴权中心,其特征在于,所述鉴权中心包括:
存储模块,用于存储多个密钥及所述多个密钥的密钥标识;
接收模块,用于接收信息;
发送模块,用于发送信息;
第一确定模块,用于在接收到认证数据请求信息后,生成选择密钥标识并根据所述选择密钥标识以及所述存储模块存储的所述多个密钥及所述多个密钥的密钥标识确定对应密钥;
认证数据生成模块,用于根据所述选择密钥标识及所述对应密钥生成携带有所述选择密钥标识信息的认证数据,并通过所述发送模块发送。
9、根据权利要求8所述的鉴权中心,其特征在于,所述第一确定模块包括:
判断单元,用于在接收到认证数据请求信息后,判断是否需要执行密钥更新;
标识生成单元,用于在需要执行密钥更新时随机生成选择密钥标识;
第一密钥确定单元,用于根据选择密钥标识以及所述存储模块存储的所述多个密钥及所述多个密钥的密钥标识确定对应密钥。
10、根据权利要求8或9所述的鉴权中心,其特征在于,所述认证数据生成模块包括:
设置单元,用于根据所述选择密钥标识设置鉴权管理字段;
生成单元,用于根据所述鉴权管理字段及所述对应密钥生成包含所述鉴权管理字段的认证数据,并通过所述发送模块发送。
11、一种用户识别模块,其特征在于,所述用户识别模块包括:
接收模块,用于接收信息;
发送模块,用于发送信息;
密钥存储模块,用于存储多个密钥及所述多个密钥的密钥标识;
第二确定模块,用于在所述接收模块接收到携带有选择密钥标识信息的部分认证数据时,从所述部分认证数据中获得所述选择密钥标识,并根据所述选择密钥标识以及所述密钥存储模块中存储的所述多个密钥及所述多个密钥的密钥标识确定对应密钥;
鉴权模块,用于利用所述对应密钥对网络侧进行鉴权;
认证响应模块,用于在对网络侧鉴权通过的情况下,根据所述对应密钥生成认证响应信息并通过所述发送模块发送。
12、根据权利要求11所述的用户识别模块,其特征在于,所述第二确定模块包括:
认证令牌提取单元,用于从所述部分认证数据中提取认证令牌;
密钥标识获得单元,用于从所述认证令牌中获得鉴权管理字段,并根据所述鉴权管理字段的值确定所述选择密钥标识;
第二密钥确定单元,用于根据所述选择密钥标识以及所述密钥存储模块中存储的所述多个密钥及所述多个密钥的密钥标识确定对应密钥。
13、一种鉴权系统,其特征在于,所述鉴权系统包括:
鉴权中心,用于存储多个密钥及所述多个密钥的密钥标识;接收认证数据请求信息,生成选择密钥标识,根据所述选择密钥标识及存储的所述多个密钥与所述多个密钥的密钥标识确定对应密钥;根据所述选择密钥标识及所述对应密钥生成携带有选择密钥信息的认证数据并发送;
VLR/SGSN,用于接收所述携带有选择密钥信息的认证数据,发送携带有所述选择密钥信息的部分认证数据;接收认证响应信息,并根据所述认证响应信息以及所述认证数据判断鉴权是否通过;
用户识别模块,用于存储多个密钥及所述多个密钥的密钥标识,接收所述部分认证数据,从所述部分认证数据中获得选择密钥标识,根据所述选择密钥标识以及存储的所述多个密钥及所述多个密钥的密钥标识确定对应密钥,利用所述对应密钥对网络侧鉴权,若鉴权通过,则利用所述对应密钥生成认证响应信息并向所述VLR/SGSN发送。
14、根据权利要求13所述的鉴权系统,其特征在于,所述用户识别模块包括:
接收模块,用于接收信息;
发送模块,用于发送信息;
密钥存储模块,用于存储多个密钥及所述多个密钥的密钥标识;
第二确定模块,用于接收携带有选择密钥标识信息的部分认证数据,从所述部分认证数据中获得所述选择密钥标识,并根据所述选择密钥标识以及所述密钥存储模块中存储的所述多个密钥及所述多个密钥的密钥标识确定对应密钥;
鉴权模块,用于利用所述对应密钥对网络侧进行鉴权;
认证响应模块,用于在对网络侧鉴权通过的情况下,根据所述对应密钥生成认证响应信息并通过所述发送模块发送。
15、根据权利要求14所述的鉴权系统,其特征在于,所述第二确定模块包括:
认证令牌提取单元,用于从所述部分认证数据中提取认证令牌;
密钥标识获得单元,用于从所述认证令牌中获得鉴权管理字段,并根据所述鉴权管理字段的值确定所述选择密钥标识;
第二密钥确定单元,用于根据所述选择密钥标识以及所述密钥存储模块中存储的所述多个密钥及所述多个密钥的密钥标识确定对应密钥。
16、根据权利要求13所述的鉴权系统,其特征在于,所述鉴权中心包括:
存储模块,用于存储多个密钥及所述多个密钥的密钥标识;
接收模块,用于接收信息;
发送模块,用于发送信息;
第一确定模块,用于在接收到认证数据请求信息后,生成选择密钥标识并根据所述选择密钥标识以及所述存储模块存储的所述多个密钥及所述多个密钥的密钥标识确定对应密钥;
认证数据生成模块,用于根据所述选择密钥标识及所述对应密钥生成携带有所述选择密钥标识信息的认证数据,并通过所述发送模块发送。
17、根据权利要求16所述的鉴权系统,其特征在于,所述第一确定模块包括:
判断单元,用于在接收到认证数据请求信息后,判断是否需要执行密钥更新;
标识生成单元,用于在需要执行密钥更新时随机生成选择密钥标识;
第一密钥确定单元,用于根据选择密钥标识以及所述存储模块存储的所述多个密钥及所述多个密钥的密钥标识确定对应密钥。
18、根据权利要求16或17所述的鉴权系统,其特征在于,所述认证数据生成模块包括:
设置单元,用于根据所述选择密钥标识设置鉴权管理字段;
生成单元,用于根据所述鉴权管理字段及所述对应密钥生成包含所述鉴权管理字段的认证数据,并通过所述发送模块发送。
CN2007101210469A 2007-08-29 2007-08-29 用户识别模块、鉴权中心、鉴权方法及系统 Active CN101378582B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN2007101210469A CN101378582B (zh) 2007-08-29 2007-08-29 用户识别模块、鉴权中心、鉴权方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN2007101210469A CN101378582B (zh) 2007-08-29 2007-08-29 用户识别模块、鉴权中心、鉴权方法及系统

Publications (2)

Publication Number Publication Date
CN101378582A true CN101378582A (zh) 2009-03-04
CN101378582B CN101378582B (zh) 2012-04-11

Family

ID=40421864

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2007101210469A Active CN101378582B (zh) 2007-08-29 2007-08-29 用户识别模块、鉴权中心、鉴权方法及系统

Country Status (1)

Country Link
CN (1) CN101378582B (zh)

Cited By (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102202290A (zh) * 2011-05-30 2011-09-28 中兴通讯股份有限公司 用户设备鉴权码的更新方法及系统、用户设备
CN102883319A (zh) * 2012-09-07 2013-01-16 大唐移动通信设备有限公司 鉴权向量管理方法及装置
CN103249040A (zh) * 2012-02-08 2013-08-14 华为终端有限公司 一种无线接入认证的方法及装置
CN104869535A (zh) * 2014-02-24 2015-08-26 苏州华脉通讯科技有限公司 基于位置的移动智能终端id认证的方法及其系统
CN106028331A (zh) * 2016-07-11 2016-10-12 华为技术有限公司 一种识别伪基站的方法及设备
CN106650482A (zh) * 2015-11-04 2017-05-10 阿里巴巴集团控股有限公司 电子文件加密解密方法、装置和系统
CN108076460A (zh) * 2016-11-15 2018-05-25 中国移动通信有限公司研究院 一种进行鉴权的方法及终端
WO2018127118A1 (zh) * 2017-01-06 2018-07-12 中国移动通信有限公司研究院 一种身份认证方法及装置
CN108282329A (zh) * 2017-01-06 2018-07-13 中国移动通信有限公司研究院 一种双向身份认证方法及装置
CN108347404A (zh) * 2017-01-24 2018-07-31 中国移动通信有限公司研究院 一种身份认证方法及装置
CN108604988A (zh) * 2016-05-03 2018-09-28 华为技术有限公司 一种证书通知方法及装置
CN108768974A (zh) * 2018-05-16 2018-11-06 深圳市沃特沃德股份有限公司 一种形成注册信息的方法及装置
CN108848104A (zh) * 2018-07-02 2018-11-20 北京阿尔山金融科技有限公司 信息管理方法及装置
WO2019019185A1 (zh) * 2017-07-28 2019-01-31 华为技术有限公司 网络接入应用鉴权信息的更新方法、终端及服务器
CN111741464A (zh) * 2020-07-22 2020-10-02 深圳Tcl新技术有限公司 设备连接方法、主控设备、被控设备、控制系统及介质

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5249230A (en) * 1991-11-21 1993-09-28 Motorola, Inc. Authentication system
FI102235B (fi) * 1996-01-24 1998-10-30 Nokia Telecommunications Oy Autentikointiavainten hallinta matkaviestinjärjestelmässä
KR101547141B1 (ko) * 2004-07-14 2015-08-25 퀄컴 인코포레이티드 키를 전송하기 위한 방법 및 장치

Cited By (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2012163142A1 (zh) * 2011-05-30 2012-12-06 中兴通讯股份有限公司 用户设备鉴权码的更新方法及系统、用户设备
CN102202290A (zh) * 2011-05-30 2011-09-28 中兴通讯股份有限公司 用户设备鉴权码的更新方法及系统、用户设备
CN103249040A (zh) * 2012-02-08 2013-08-14 华为终端有限公司 一种无线接入认证的方法及装置
CN102883319A (zh) * 2012-09-07 2013-01-16 大唐移动通信设备有限公司 鉴权向量管理方法及装置
CN102883319B (zh) * 2012-09-07 2015-05-20 大唐移动通信设备有限公司 鉴权向量管理方法及装置
CN104869535A (zh) * 2014-02-24 2015-08-26 苏州华脉通讯科技有限公司 基于位置的移动智能终端id认证的方法及其系统
CN106650482A (zh) * 2015-11-04 2017-05-10 阿里巴巴集团控股有限公司 电子文件加密解密方法、装置和系统
CN108604988A (zh) * 2016-05-03 2018-09-28 华为技术有限公司 一种证书通知方法及装置
US10833874B2 (en) 2016-05-03 2020-11-10 Huawei Technologies Co., Ltd. Certificate notification method and apparatus
CN106028331A (zh) * 2016-07-11 2016-10-12 华为技术有限公司 一种识别伪基站的方法及设备
CN108076460A (zh) * 2016-11-15 2018-05-25 中国移动通信有限公司研究院 一种进行鉴权的方法及终端
CN108076460B (zh) * 2016-11-15 2021-07-30 中国移动通信有限公司研究院 一种进行鉴权的方法及终端
CN108282329A (zh) * 2017-01-06 2018-07-13 中国移动通信有限公司研究院 一种双向身份认证方法及装置
WO2018127118A1 (zh) * 2017-01-06 2018-07-12 中国移动通信有限公司研究院 一种身份认证方法及装置
CN108347404A (zh) * 2017-01-24 2018-07-31 中国移动通信有限公司研究院 一种身份认证方法及装置
CN108347404B (zh) * 2017-01-24 2021-10-26 中国移动通信有限公司研究院 一种身份认证方法及装置
WO2019019185A1 (zh) * 2017-07-28 2019-01-31 华为技术有限公司 网络接入应用鉴权信息的更新方法、终端及服务器
US11937080B2 (en) 2017-07-28 2024-03-19 Huawei Technologies Co., Ltd. Method for updating network access application authentication information, terminal, and server
CN108768974A (zh) * 2018-05-16 2018-11-06 深圳市沃特沃德股份有限公司 一种形成注册信息的方法及装置
CN108848104A (zh) * 2018-07-02 2018-11-20 北京阿尔山金融科技有限公司 信息管理方法及装置
CN111741464A (zh) * 2020-07-22 2020-10-02 深圳Tcl新技术有限公司 设备连接方法、主控设备、被控设备、控制系统及介质
CN111741464B (zh) * 2020-07-22 2021-04-09 深圳Tcl新技术有限公司 设备连接方法、主控设备、被控设备、控制系统及介质

Also Published As

Publication number Publication date
CN101378582B (zh) 2012-04-11

Similar Documents

Publication Publication Date Title
CN101378582B (zh) 用户识别模块、鉴权中心、鉴权方法及系统
KR102321781B1 (ko) 전자 토큰 프로세싱
EP3709598B1 (en) Anti&#39;sim swapping fraud
US20090103728A1 (en) Secure wireless communication
US9445269B2 (en) Terminal identity verification and service authentication method, system and terminal
CN106302502A (zh) 一种安全访问认证处理方法、用户终端和服务端
CN101123778A (zh) 网络接入鉴权方法及其usim卡
CN111092820B (zh) 一种设备节点认证方法、装置和系统
CN108737381A (zh) 一种物联网系统的扩展认证方法
CN101990201B (zh) 生成gba密钥的方法及其系统和设备
EP3675541B1 (en) Authentication method and device
CN102892102B (zh) 一种在移动网络中实现机卡绑定的方法、系统和设备
CN101926188A (zh) 对通信终端的安全策略分发
CN103974248A (zh) 在能力开放系统中的终端安全性保护方法、装置及系统
CN107113613A (zh) 服务器、移动终端、网络实名认证系统及方法
CN103905194A (zh) 身份溯源认证方法及系统
CN107135205A (zh) 一种网络接入方法和系统
CN101132649A (zh) 一种网络接入鉴权方法及其usim卡
CN103686651A (zh) 一种基于紧急呼叫的认证方法、设备和系统
CN108900306A (zh) 一种无线路由器数字证书的产生方法及系统
CN105868975A (zh) 电子金融账户的管理方法、管理系统和移动终端
CN104918241A (zh) 一种用户认证方法及系统
CN109474635A (zh) 一种基于扫码技术的用电设备配网方法及系统
CN108076460B (zh) 一种进行鉴权的方法及终端
CN108235311A (zh) 一种推送/接收验证码的方法、装置和验证码下发系统

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant