CN1728635A - 一种在码分多址系统中开展数字集群业务时的鉴权方法 - Google Patents
一种在码分多址系统中开展数字集群业务时的鉴权方法 Download PDFInfo
- Publication number
- CN1728635A CN1728635A CNA2004100702227A CN200410070222A CN1728635A CN 1728635 A CN1728635 A CN 1728635A CN A2004100702227 A CNA2004100702227 A CN A2004100702227A CN 200410070222 A CN200410070222 A CN 200410070222A CN 1728635 A CN1728635 A CN 1728635A
- Authority
- CN
- China
- Prior art keywords
- authentication
- entity
- authenticating result
- travelling carriage
- parameter
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 64
- 238000004364 calculation method Methods 0.000 claims description 17
- 230000004044 response Effects 0.000 claims description 16
- 238000004321 preservation Methods 0.000 claims description 7
- 238000013475 authorization Methods 0.000 claims description 3
- 238000005538 encapsulation Methods 0.000 claims description 3
- 230000008569 process Effects 0.000 description 30
- 238000010586 diagram Methods 0.000 description 4
- 238000010295 mobile communication Methods 0.000 description 3
- 238000012795 verification Methods 0.000 description 3
- 230000011664 signaling Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000012467 final product Substances 0.000 description 1
- 238000005111 flow chemistry technique Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000026676 system process Effects 0.000 description 1
- 239000002699 waste material Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明公开了一种在码分多址系统中开展数字集群业务时的鉴权方法,设置核心网实体和鉴权实体,建立核心网实体与基站子系统和鉴权实体的连接,该方法还包括:移动台由获得的系统侧鉴权参数、保存的鉴权算法和密钥计算出鉴权结果M1,将M1发送至鉴权实体;鉴权实体由系统侧鉴权参数、保存的鉴权算法和密钥计算出鉴权结果M2,判断M2与M1是否相同,如果不同,结束本流程,否则,鉴权实体由获得的终端侧鉴权参数、保存的鉴权算法和密钥计算出鉴权结果N1,将N1发送至移动台;移动台由终端侧鉴权参数、保存的鉴权算法和密钥计算出鉴权结果N2,判断N2与N1是否相同,如果是,则鉴权成功,否则鉴权失败。本发明提供了双向鉴权过程,极大地满足了数字集群业务对安全性的要求。
Description
技术领域
本发明涉及码分多址系统中的鉴权技术,特别是涉及一种在码分多址系统中开展数字集群业务时的鉴权方法。
背景技术
目前,数字集群业务正逐渐成为码分多址(CDMA,Code DivisionMultiple Access)系统中一项日益普及的业务。数字集群业务对实时性和安全性要求很高,但是,现有的协议中却没有定义任何对CDMA系统中数字集群业务进行鉴权的方法。
CDMA系统中现有的鉴权方式是针对公众移动通信业务进行的鉴权。由于公众移动通信业务对用户信息及通话内容的保密性没有特殊要求,所以CDMA现有鉴权方式是一种由系统验证终端合法性的单向鉴权过程,且鉴权过程可能包括无线侧鉴权和分组域鉴权。
为了实现鉴权,CDMA系统中的终端设备即移动台(MS)和系统侧进行鉴权的实体归属位置寄存器(HLR)或鉴权中心(AC),在内部保存有相同的鉴权算法和共享加密数据(SSD)。
当终端即MS进行普通语音业务时,CDMA系统只对终端进行无线侧的鉴权。CDMA无线侧鉴权的前提条件是系统要求广播鉴权,由基站在前向寻呼信道广播的总体消息中将Access Parameters Message中的AUTH字段置为‘01’(标准鉴权模式)来声明。涉及鉴权的流程有:移动台登记的鉴权、移动台始呼的鉴权、移动台终呼的鉴权、移动台数据突发的鉴权、独特查询响应程序和SSD更新消息流程。
图1是在现有技术中CDMA系统进行无线侧鉴权时的信号流向示意图。参见图1,现有技术在CDMA系统中进行无线侧鉴权时,由MS通过基站子系统(BSS)、移动交换中心(MSC)和拜访位置寄存器(VLR)将业务请求发送至HLR/AC,HLR/AC再将对MS的鉴权结果通过VLR、MSC和BSS发送至MS。图2是在现有技术中CDMA系统进行无线侧鉴权的流程图。参见图1和图2,在现有技术中,当系统进行广播鉴权声明后,在CDMA系统中进行无线侧鉴权的具体过程包括以下步骤:
步骤201:MS与BSS建立业务信道,然后MS根据自身保存的鉴权算法和SSD计算出鉴权结果,在反向接入信道上通过BSS向MSC发送携带该鉴权结果字段的业务请求。
步骤202:MSC将接收到的携带鉴权结果字段的业务请求发送给VLR。
步骤203:VLR将接收到的携带鉴权结果字段的业务请求发送给HLR/AC。
步骤204:HLR/AC接收到携带鉴权结果字段的业务请求,根据自身保存的鉴权算法和SSD计算出鉴权结果,并判断自身计算的鉴权结果与接收到的业务请求中携带的鉴权结果是否相同,如果相同,则执行步骤205,否则,执行步骤206。
步骤205:HLR/AC通过VLR和MSC向MS返回接入成功消息,指示MS可以接入,结束本流程。
步骤206:HLR/AC通过VLR和MSC向MS返回接入失败消息,拒绝MS接入。
当MS进行分组数据业务时,CDMA系统首先对MS进行上述无线侧的鉴权,在无线侧鉴权成功后,进行分组域鉴权。图3是在现有技术中CDMA系统进行分组域鉴权时的信号流向示意图。参见图3,现有技术在CDMA系统中进行分组域鉴权时,MS通过BSS、分组控制功能实体(PCF)和分组数据服务节点(PDSN)将身份验证请求发送至认证授权计费实体(AAA),AAA再将身份验证结果通过PDSN、PCF和BSS发送至MS。
由此可见,在CDMA系统中现有技术没有实现对数字集群业务的鉴权,如果采用CDMA系统现有鉴权方式对集群业务进行鉴权,则又存在以下缺点:
1、由于数字集群业务对安全性的要求很高,而CDMA系统现有的鉴权方式是单向鉴权方式,仅仅由系统验证终端的合法性,而没有终端验证系统合法性的过程。这种单向鉴权方式虽然可以满足CDMA系统中对安全性要求不高的公众移动通信业务,但是却无法满足对安全性要求很高的数字集群业务。
2、在CDMA系统中实现分组数据业务时,必须进行无线侧鉴权和分组域鉴权两次鉴权过程,不仅需要CDMA系统中的多个网络实体参与鉴权,耗费了系统的资源,而且增加了MS接入网络的时间,从而无法满足数字集群业务实时性的要求。
因此,在CDMA系统中,如何针对数字集群业务进行鉴权,满足其实时性和安全性的要求,已经成为一个亟待解决的问题。
发明内容
有鉴于此,本发明的主要目的在于提供一种在码分多址系统中开展数字集群业务时的鉴权方法,使其满足CDMA系统对数字集群业务进行鉴权的安全性和实时性要求。
为了达到上述目的,本发明的技术方案是这样实现的:
一种在码分多址系统中开展数字集群业务时的鉴权方法,设置核心网实体和鉴权实体,并分别建立核心网实体与基站子系统和鉴权实体的连接,在移动台和所设置的鉴权实体内部存储鉴权算法和密钥,该方法还包括以下步骤:
A、移动台获得系统侧鉴权参数,根据该系统侧鉴权参数和自身保存的鉴权算法和密钥计算出鉴权结果M1,并将该鉴权结果M1通过基站子系统和核心网实体发送至鉴权实体;
B、鉴权实体根据系统侧鉴权参数和自身保存的鉴权算法和密钥计算出鉴权结果M2,判断该鉴权结果M2与移动台发来的鉴权结果M1是否相同,如果相同,则执行步骤C,否则结束当前鉴权流程;
C、鉴权实体获得终端侧鉴权参数,根据该终端侧鉴权参数和自身保存的鉴权算法和密钥计算出鉴权结果N1,并将该鉴权结果N1通过核心网实体和基站子系统发送至移动台;
D、移动台根据终端侧鉴权参数和自身保存的鉴权算法和密钥计算出鉴权结果N2,判断该鉴权结果N2与鉴权实体发来的鉴权结果N1是否相同,如果相同,则鉴权成功,否则鉴权失败。
所述设置核心网实体和鉴权实体的步骤包括:
当核心网采用电路模式时,将移动交换中心MSC和拜访位置寄存器VLR作为核心网实体,将归属位置寄存器HLR或鉴权中心AC进行分组域鉴权功能扩充,并将功能扩充后的HLR或AC作为鉴权实体;
当核心网采用分组模式时,将分组控制功能实体PCF和分组数据服务节点PDSN作为核心网实体,将认证授权计费实体AAA进行无线侧鉴权功能扩充,并将功能扩充后的AAA作为鉴权实体;
其中,所述核心网实体与鉴权实体通过连接功能扩充后的接口进行连接。
所述鉴权实体和移动台内部存储的鉴权算法和密钥包括:系统对终端的鉴权算法和密钥以及终端对系统的鉴权算法和密钥。
步骤A中,移动台根据系统侧鉴权参数和自身存储的系统对终端的鉴权算法和密钥计算出所述鉴权结果M1;步骤B中,鉴权实体根据系统侧鉴权参数和自身存储的系统对终端的鉴权算法和密钥计算出所述鉴权结果M2;步骤C中,鉴权实体根据终端侧鉴权参数和自身存储的终端对系统的鉴权算法和密钥计算出所述鉴权结果N1;步骤D中,移动台根据终端侧鉴权参数和自身存储的终端对系统的鉴权算法和密钥计算出所述鉴权结果N2。
在步骤A中,所述移动台获得系统侧鉴权参数的步骤包括:
A11、移动台在反向信道上通过基站子系统和核心网实体向鉴权实体发送业务请求消息;
A12、鉴权实体接收到业务请求消息后,随机生成系统侧鉴权参数,然后通过核心网实体和基站子系统将携带系统侧鉴权参数的业务响应消息发送至移动台。
在步骤A中,所述移动台获得系统侧鉴权参数的步骤为:移动台接收基站子系统发送的广播消息,并从所接收到的广播消息中获得系统侧鉴权参数。
步骤C中,所述鉴权实体获得终端侧鉴权参数的步骤包括:
C11、鉴权实体将鉴权成功消息通过核心网实体和基站子系统发送给移动台;
C12、移动台接收到鉴权成功消息后随机产生终端侧鉴权参数,然后通过基站子系统和核心网实体将该终端侧鉴权参数发送至鉴权实体。
在步骤A中,移动台在获得系统侧鉴权参数时随机产生终端侧鉴权参数,通过基站子系统和核心网实体将计算出的鉴权结果M1和该终端侧鉴权参数一起发送至鉴权实体,由鉴权实体保存该终端侧鉴权参数;
步骤C中,鉴权实体由自身获得所述终端侧鉴权参数。
所述鉴权结果M1和鉴权结果N1是携带在新定义的消息中进行传输的,或是以Data Burst Message封装发送的消息进行传输的,或是携带在前向控制信道或者业务接入信道上的任一消息中进行传输的。
所述鉴权结果M1是携带在申请登记请求中进行传输的。
可见,本发明提出的方法,具有以下优点:
1)本发明提出了一种针对CDMA数字集群业务进行鉴权的方法,不仅实现了现有技术中系统对移动台的鉴权过程,而且,还增加了移动台对系统进行鉴权的过程。由于在系统和移动台中均保存有两套鉴权算法和密钥,即系统对移动台进行鉴权时使用的鉴权算法和密钥,以及移动台对系统进行鉴权时使用的鉴权算法和密钥,所以在实现移动台对系统进行鉴权时,系统和移动台可分别根据自身保存的移动台对系统进行鉴权时使用的鉴权算法和密钥计算出鉴权结果,如果移动台计算出的鉴权结果与系统计算出的鉴权结果相同,则移动台认定系统合法,否则,认定系统非法。因此,本发明所提出的方法是一种双向鉴权过程,能够满足CDMA系统中数字集群业务对安全性的要求。
2、在本发明中,使用统一的网络结构对包括语音和分组数据业务在内的数字集群业务进行统一鉴权流程,因此,对分组数据业务也只需通过较少的网络实体进行一次鉴权过程即可,不再区分现有技术中的无线侧鉴权网络结构和鉴权流程,以及分组域鉴权网络结构和鉴权流程的两次鉴权过程,从而大大降低了鉴权流程造成的时延,满足了数字集群业务对实时性的要求。
3、本发明所提出的简化鉴权流程,只需移动台与系统进行一次信令交互过程,即鉴权实体接收到移动台发来的业务请求后,根据对移动台的鉴权结采,向移动台返回鉴权成功消息或鉴权失败消息。该简化鉴权流程减少了系统处理信令的负荷,减少了移动台接入网络的时延。
4、在本发明的鉴权流程中,所使用的相关消息,比如业务响应消息和鉴权成功消息等,均可通过将现有业务中已有消息的字段进行扩展而得到,从而使得本发明易于实现,且减少了流程处理及消息交互时间,提高了鉴权处理速度,加快了数字集群业务的建立时间。
附图说明
图1是在现有技术中CDMA系统进行无线侧鉴权时的信号流向示意图。
图2是在现有技术中CDMA系统进行无线侧鉴权的流程图。
图3是在现有技术中CDMA系统进行分组域鉴权时的信号流向示意图。
图4是在本发明中实现CDMA数字集群业务的网络结构示意图。
图5是在本发明中CDMA系统不要求广播鉴权时对数字集群业务进行鉴权的流程图。
图6在本发明中CDMA系统要求广播鉴权时对数字集群业务进行鉴权的流程图。
图7是在本发明中CDMA系统要求广播鉴权时对数字集群业务进行鉴权的简化流程图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面结合附图及具体实施例对本发明作进一步地详细描述。
图4是在本发明中实现CDMA数字集群业务的网络结构示意图。参见图4,针对CDMA系统中的数字集群业务进行鉴权,本发明所使用的网络实体为BSS、核心网实体和鉴权实体(Auth Entity),并且核心网实体与鉴权实体之间通过Auth接口相连。这里,本发明根据实现集群业务所采用的不同承载模式即电路模式或分组模式,来设置对CDMA系统中数字集群业务进行鉴权的网络实体。当采用电路模式实现集群业务时,核心网实体主要包括MSC和VLR,鉴权实体则是通过在HLR/AC上进行相应功能扩充,使其能够进行集群业务鉴权,并且,将VLR与现有HLR/AC之间的消息接口进行相应功能扩充,使其具有连接VLR与功能扩充后的HLR/AC的功能,称之为Auth接口。当采用分组模式实现集群业务时,核心网实体主要包括PCF和PDSN,鉴权实体则是通过在AAA上进行相应功能扩充,使其能够进行集群业务鉴权,并且,将PDSN与现有AAA之间的消息接口进行相应功能扩充,使其具有连接PDSN与功能扩充后的AAA的功能,称之为Auth接口。
本发明预先在鉴权实体和MS内部存储系统对MS进行鉴权时使用的鉴权算法AuthMSFunction和密钥Ksn,且密钥Ksn只存储在鉴权实体和MS内部不易被读取的位置,而不会在空中传输。同时,在鉴权实体和MS内部存储MS对系统进行鉴权时使用的鉴权算法AuthNetFunction和密钥Ksm,且密钥Ksm只存储在鉴权实体和MS内部不易被读取的位置,而不会在空中传输。
上述系统对MS鉴权的算法AuthMSFunction和MS对系统鉴权的算法AuthNetFunction可以相同或不同,密钥Ksn和Ksm可以相同或不同。
图5是在本发明中CDMA系统不要求广播鉴权时对数字集群业务进行鉴权的流程图。参见图4和图5,如果CDMA系统不要求广播鉴权,则本发明实现对数字集群业务进行双向鉴权的具体过程包括以下步骤:
步骤501:MS在反向信道上通过BSS和核心网实体向鉴权实体发送业务请求。
这里,MS通过公共信道或业务信道发送业务请求。
步骤502:鉴权实体接收到业务请求后,随机生成系统对终端进行鉴权的系统侧鉴权参数RAND_NET,并保存,然后通过核心网实体和BSS将携带该系统侧鉴权参数RAND_NET的业务响应消息发送给MS。
步骤503:MS接收到携带有系统侧鉴权参数RAND_NET的业务响应消息,利用自身保存的鉴权算法AuthMSFunction和密钥Ksn,以及业务响应消息中的系统侧鉴权参数RAND_NET,计算出自身鉴权结果MS_RESULT,然后将鉴权结果MS_RESULT携带在终端鉴权响应消息中通过BSS和核心网实体发送给鉴权实体。
这里,MS在计算鉴权结果时,也可以利用自身与鉴权实体事先所共同确定的其它参数。
步骤504:鉴权实体接收到携带有MS_RESULT的终端鉴权响应消息,根据自身保存的系统侧鉴权参数RAND_NET以及对MS鉴权的算法AuthMSFunction和密钥Ksn,计算出鉴权结果,然后判断自身计算出的鉴权结果与终端鉴权响应消息中的鉴权结果MS_RESULT是否相同,如果相同,则执行步骤506,否则,执行步骤505。
这里,如果在步骤503中,MS计算鉴权结果时使用了与鉴权实体事先所共同确定的参数,则在步骤504中,鉴权实体计算鉴权结果时同样使用与MS事先所共同确定的该参数。
步骤505:鉴权实体通过核心网实体和BSS将鉴权失败消息发送至MS,拒绝MS接入网络,并结束本流程。
步骤506:鉴权实体通过核心网实体和BSS将鉴权成功消息发送至MS,允许MS接入网络。
步骤507:MS接收到鉴权成功消息,随机产生终端对系统进行鉴权的终端侧鉴权参数RAND_MS,并保存,然后通过BSS和核心网实体将携带该终端侧鉴权参数RAND_MS的鉴权请求消息发送给鉴权实体。
步骤508:鉴权实体接收到携带终端侧鉴权参数RAND_MS的鉴权请求消息后,根据该消息中的终端侧鉴权参数RAND_MS和自身保存的鉴权算法AuthNetFunction和密钥Ksm,计算出自身的鉴权结果NET_RESULT,然后通过核心网实体和BSS将携带有鉴权结果NET_RESULT的系统鉴权响应消息发送给MS。
这里,鉴权实体在计算鉴权结果时,也可以利用自身与MS事先所共同确定的其它参数。
步骤509:MS接收到携带有NET_RESULT的系统鉴权响应消息后,根据自身保存的终端侧鉴权参数RAND_MS以及对系统进行鉴权的算法AuthNetFunction和密钥Ksm,计算出鉴权结果,然后判断自身计算出的鉴权结果与系统鉴权响应消息中携带的鉴权结果NET_RESULT是否相同,如果相同,则执行步骤511,否则,执行步骤510。
这里,如果在步骤508中,鉴权实体计算鉴权结果时使用了与MS事先所共同确定的参数,则在步骤509中,MS算鉴权结果时同样使用与鉴权实体事先所共同确定的该参数。
步骤510:MS通过BSS和核心网实体向鉴权实体返回鉴权失败消息,并向用户显示对网络鉴权失败信息,结束本流程。
步骤511:MS通过BSS和核心r网实体向鉴权实体返回鉴权成功消息,并向用户显示对网络鉴权成功信息,提示用户可以进行数字集群业务。
至此,本发明完成了系统对终端鉴权和终端对系统鉴权的双向鉴权过程。
图6是在本发明中CDMA系统要求广播鉴权时对数字集群业务进行鉴权的流程图。参见图4和图6,如果CDMA数字集群系统要求广播鉴权,即CDMA系统发送广播消息,并且在广播消息中携带系统对终端进行鉴权的系统侧鉴权参数RAND_NET,主动要求MS在发送反向接入消息时进行鉴权,那么本发明实现对数字集群业务进行双向鉴权的具体过程包括以下步骤:
步骤601:MS接收CDMA系统中BSS发来的广播消息,根据广播消息中携带的系统侧鉴权参数RAND_NET和自身保存的鉴权算法AuthMSFunction和密钥Ksn,计算出自身鉴权结果MS_RESULT,然后将鉴权结果MS_RESULT携带在业务请求中通过BSS和核心网实体发送给鉴权实体。
步骤602:鉴权实体接收到携带有MS_RESULT的业务请求,根据广播消息中的系统侧鉴权参数RAND_NET以及对MS鉴权的算法AuthMSFunction和密钥Ksn,计算出鉴权结果,然后判断自身计算出的鉴权结果与业务请求中的鉴权结果MS_RESULT是否相同,如果相同,则执行步骤604,否则,执行步骤603。
步骤603~步骤609的所有描述与步骤505~步骤511的所有描述完全相同。
图7是在本发明中CDMA系统要求广播鉴权时对数字集群业务进行鉴权的简化流程图。参见图4和图7,如果CDMA数字集群系统要求广播鉴权,并且在广播消息中携带系统对终端进行鉴权的系统侧鉴权参数RAND_NET时,本发明也可采用一种简化的流程对数字集群业务进行双向鉴权,包括以下步骤:
步骤701:MS接收CDMA系统中BSS发来的广播消息,根据广播消息中携带的系统侧鉴权参数RAND_NET和自身保存的鉴权算法AuthMSFunction和密钥Ksn,计算出自身鉴权结果MS_RESULT,并随机产生并保存终端侧鉴权参数RAND_MS,然后将鉴权结果MS_RESULT和终端侧鉴权参数RAND_MS携带在业务请求中通过BSS和核心网实体发送给鉴权实体。
步骤702:鉴权实体接收到携带有鉴权结果MS_RESULT和终端侧鉴权参数RAND_MS的业务请求后,根据广播消息中携带的系统侧鉴权参数RAND_NET和自身保存的鉴权算法AuthMSFunction和密钥Ksn,计算出鉴权结果,然后判断自身计算的鉴权结果与业务请求中携带的鉴权结果MS_RESULT是否相同,如果相同,则执行步骤704,否则,执行步骤703。
这里,鉴权实体可通过核心网实体从BSS处获得广播消息。
步骤703:鉴权实体通过核心网实体和BSS向MS返回鉴权失败消息,拒绝MS接入网络,结束本流程。
步骤704:鉴权实体根据业务请求中携带的终端侧鉴权参数RAND_MS和自身保存的鉴权算法AuthNetFunction和密钥Ksm,计算出自身的鉴权结果NET_RESULT,通过核心网实体和BSS向MS返回携带该鉴权结果NET_RESULT的鉴权成功消息。
步骤705:MS接收到携带有鉴权结果NET_RESULT的鉴权成功消息,根据自身保存的终端侧鉴权参数RAND_MS和鉴权算法AuthNetFunction和密钥Ksm,计算出鉴权结果,然后判断自身计算出的鉴权结果与鉴权成功消息中的鉴权结果NET_RESULT是否相同,如果相同,则执行步骤707,否则,执行步骤706。
步骤706:MS向用户显示对系统鉴权失败信息,结束本流程。
步骤707:MS向用户显示对系统鉴权成功信息,提示用户可以进行数字集群业务。
在上述图5、图6和图7所示鉴权过程中所传输的部分消息,包括业务响应消息、MS鉴权响应消息、鉴权成功消息、鉴权失败消息、鉴权请求消息和系统鉴权响应消息,可以是新定义的消息;也可以是以Data BurstMessage封装发送的消息,即使用Data Burst承载模式但内容为所述鉴权内容的消息;还可以是将前向控制信道或者业务接入信道上的某一消息进行相应扩展后的消息,比如,上述携带有鉴权结果NET_RESULT的系统鉴权响应消息,可以是将前向控制信道上发送的消息Authentication ChallengeMessage的某一字段进行扩展,使其携带参数NET_RESULT后得到的。
为了进一步简化鉴权所涉及的流程,本发明也可只在MS发送的业务请求为申请登记请求时才进行上述的双向鉴权过程,在MS发起其它业务请求,比如始呼、终呼、紧急呼叫及其它业务类型请求时,不进行上述的双向鉴权过程。
由上可见,本发明是针对现有技术中对语音业务和分组数据业务进行鉴权时,必须通过CDMA系统中不同的网络实体且进行不同鉴权处理流程所造成的鉴权过程耗时,浪费系统资源的缺点,在CDMA系统中采用一种较为简单的鉴权网络结构,在对终端的语音业务和分组数据业务进行鉴权时均采用该鉴权网络结构,进行统一的鉴权流程,从而节约网络资源。同时,本发明针对现有技术仅完成系统对终端单向鉴权过程,无法满足数字集群业务对安全性要求的缺点,采用本发明中的鉴权网络结构,完成系统对终端和终端对系统的双向鉴权过程。
总之,以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1、一种在码分多址系统中开展数字集群业务时的鉴权方法,其特征在于,设置核心网实体和鉴权实体,并分别建立核心网实体与基站子系统和鉴权实体的连接,在移动台和所设置的鉴权实体内部存储鉴权算法和密钥,该方法还包括以下步骤:
A、移动台获得系统侧鉴权参数,根据该系统侧鉴权参数和自身保存的鉴权算法和密钥计算出鉴权结果M1,并将该鉴权结果M1通过基站子系统和核心网实体发送至鉴权实体;
B、鉴权实体根据系统侧鉴权参数和自身保存的鉴权算法和密钥计算出鉴权结果M2,判断该鉴权结果M2与移动台发来的鉴权结果M1是否相同,如果相同,则执行步骤C,否则结束当前鉴权流程;
C、鉴权实体获得终端侧鉴权参数,根据该终端侧鉴权参数和自身保存的鉴权算法和密钥计算出鉴权结果N1,并将该鉴权结果N1通过核心网实体和基站子系统发送至移动台;
D、移动台根据终端侧鉴权参数和自身保存的鉴权算法和密钥计算出鉴权结果N2,判断该鉴权结果N2与鉴权实体发来的鉴权结果N1是否相同,如果相同,则鉴权成功,否则鉴权失败。
2、根据权利要求1所述的方法,其特征在于,所述设置核心网实体和鉴权实体的步骤包括:
当核心网采用电路模式时,将移动交换中心MSC和拜访位置寄存器VLR作为核心网实体,将归属位置寄存器HLR或鉴权中心AC进行分组域鉴权功能扩充,并将功能扩充后的HLR或AC作为鉴权实体;
当核心网采用分组模式时,将分组控制功能实体PCF和分组数据服务节点PDSN作为核心网实体,将认证授权计费实体AAA进行无线侧鉴权功能扩充,并将功能扩充后的AAA作为鉴权实体;
其中,所述核心网实体与鉴权实体通过连接功能扩充后的接口进行连接。
3、根据权利要求1所述的方法,其特征在于,所述鉴权实体和移动台内部存储的鉴权算法和密钥包括:系统对终端的鉴权算法和密钥以及终端对系统的鉴权算法和密钥。
4、根据权利要求3所述的方法,其特征在于,步骤A中,移动台根据系统侧鉴权参数和自身存储的系统对终端的鉴权算法和密钥计算出所述鉴权结果M1;步骤B中,鉴权实体根据系统侧鉴权参数和自身存储的系统对终端的鉴权算法和密钥计算出所述鉴权结果M2;步骤C中,鉴权实体根据终端侧鉴权参数和自身存储的终端对系统的鉴权算法和密钥计算出所述鉴权结果N1;步骤D中,移动台根据终端侧鉴权参数和自身存储的终端对系统的鉴权算法和密钥计算出所述鉴权结果N2。
5、根据权利要求1所述的方法,其特征在于,在步骤A中,所述移动台获得系统侧鉴权参数的步骤包括:
A11、移动台在反向信道上通过基站子系统和核心网实体向鉴权实体发送业务请求消息;
A12、鉴权实体接收到业务请求消息后,随机生成系统侧鉴权参数,然后通过核心网实体和基站子系统将携带系统侧鉴权参数的业务响应消息发送至移动台。
6、根据权利要求1所述的方法,其特征在于,在步骤A中,所述移动台获得系统侧鉴权参数的步骤为:移动台接收基站子系统发送的广播消息,并从所接收到的广播消息中获得系统侧鉴权参数。
7、根据权利要求1所述的方法,其特征在于,步骤C中,所述鉴权实体获得终端侧鉴权参数的步骤包括:
C11、鉴权实体将鉴权成功消息通过核心网实体和基站子系统发送给移动台;
C12、移动台接收到鉴权成功消息后随机产生终端侧鉴权参数,然后通过基站子系统和核心网实体将该终端侧鉴权参数发送至鉴权实体。
8、根据权利要求1所述的方法,其特征在于,在步骤A中,移动台在获得系统侧鉴权参数时随机产生终端侧鉴权参数,通过基站子系统和核心网实体将计算出的鉴权结果M1和该终端侧鉴权参数一起发送至鉴权实体,由鉴权实体保存该终端侧鉴权参数;
步骤C中,鉴权实体由自身获得所述终端侧鉴权参数。
9、根据权利要求1所述的方法,其特征在于,所述鉴权结果M1和鉴权结果N1是携带在新定义的消息中进行传输的,或是以Data Burst Message封装发送的消息进行传输,或是携带在前向控制信道或者业务接入信道上的任一消息中进行传输的。
10、根据权利要求9所述的方法,其特征在于,所述鉴权结果M1是携带在申请登记请求中进行传输的。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2004100702227A CN100550729C (zh) | 2004-07-30 | 2004-07-30 | 一种在码分多址系统中开展数字集群业务时的鉴权方法 |
| PCT/CN2005/001171 WO2006010343A1 (fr) | 2004-07-30 | 2005-08-01 | Procede et systeme d'identification pour service a grappes numeriques |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2004100702227A CN100550729C (zh) | 2004-07-30 | 2004-07-30 | 一种在码分多址系统中开展数字集群业务时的鉴权方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1728635A true CN1728635A (zh) | 2006-02-01 |
| CN100550729C CN100550729C (zh) | 2009-10-14 |
Family
ID=35785914
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2004100702227A Expired - Lifetime CN100550729C (zh) | 2004-07-30 | 2004-07-30 | 一种在码分多址系统中开展数字集群业务时的鉴权方法 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN100550729C (zh) |
| WO (1) | WO2006010343A1 (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100433861C (zh) * | 2006-09-30 | 2008-11-12 | 华为技术有限公司 | 对集群用户进行处理的方法和集群用户处理系统 |
| CN101141711B (zh) * | 2007-10-12 | 2010-11-10 | 中兴通讯股份有限公司 | 一种集群系统资源建立的并行处理方法 |
| CN103096317A (zh) * | 2011-11-08 | 2013-05-08 | 中国电信股份有限公司 | 一种基于共享加密数据的双向鉴权方法及系统 |
| CN103108291A (zh) * | 2011-11-15 | 2013-05-15 | 中国电信股份有限公司 | 短信发送方法、移动交换中心和移动通信系统 |
| CN104253806A (zh) * | 2013-06-29 | 2014-12-31 | 华为终端有限公司 | 鉴权方法、客户端及服务器 |
| CN112565285A (zh) * | 2020-12-16 | 2021-03-26 | 卡斯柯信号(成都)有限公司 | 一种适用于轨道交通的通信加密方法 |
| WO2021208027A1 (zh) * | 2020-04-15 | 2021-10-21 | 青岛交互物联科技有限公司 | 一种入网双向鉴权的方法及装置 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112910652B (zh) * | 2021-01-18 | 2022-11-08 | 湖南海格力士智能科技有限公司 | 遥控器识别方法及遥控器识别装置 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FI106605B (fi) * | 1997-04-16 | 2001-02-28 | Nokia Networks Oy | Autentikointimenetelmä |
| KR100506076B1 (ko) * | 2000-03-23 | 2005-08-04 | 삼성전자주식회사 | 패스워드를 기반으로 한 상호 인증 및 키 교환방법과 그장치 |
| CN1467943A (zh) * | 2002-07-10 | 2004-01-14 | ����ͨѶ�ɷ�����˾ | 实现双向鉴权的码分多址系统和方法 |
-
2004
- 2004-07-30 CN CNB2004100702227A patent/CN100550729C/zh not_active Expired - Lifetime
-
2005
- 2005-08-01 WO PCT/CN2005/001171 patent/WO2006010343A1/zh active Application Filing
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100433861C (zh) * | 2006-09-30 | 2008-11-12 | 华为技术有限公司 | 对集群用户进行处理的方法和集群用户处理系统 |
| CN101141711B (zh) * | 2007-10-12 | 2010-11-10 | 中兴通讯股份有限公司 | 一种集群系统资源建立的并行处理方法 |
| CN103096317A (zh) * | 2011-11-08 | 2013-05-08 | 中国电信股份有限公司 | 一种基于共享加密数据的双向鉴权方法及系统 |
| CN103096317B (zh) * | 2011-11-08 | 2016-04-20 | 中国电信股份有限公司 | 一种基于共享加密数据的双向鉴权方法及系统 |
| CN103108291A (zh) * | 2011-11-15 | 2013-05-15 | 中国电信股份有限公司 | 短信发送方法、移动交换中心和移动通信系统 |
| CN104253806A (zh) * | 2013-06-29 | 2014-12-31 | 华为终端有限公司 | 鉴权方法、客户端及服务器 |
| CN104253806B (zh) * | 2013-06-29 | 2017-11-17 | 华为终端有限公司 | 鉴权方法、客户端及服务器 |
| WO2021208027A1 (zh) * | 2020-04-15 | 2021-10-21 | 青岛交互物联科技有限公司 | 一种入网双向鉴权的方法及装置 |
| CN112565285A (zh) * | 2020-12-16 | 2021-03-26 | 卡斯柯信号(成都)有限公司 | 一种适用于轨道交通的通信加密方法 |
| CN112565285B (zh) * | 2020-12-16 | 2023-03-24 | 卡斯柯信号(成都)有限公司 | 一种适用于轨道交通的通信加密方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2006010343A1 (fr) | 2006-02-02 |
| CN100550729C (zh) | 2009-10-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1968534A (zh) | 用于在移动通信系统中连接重建的方法 | |
| CN1722694A (zh) | 控制不同网络间转换的方法、介质和装置 | |
| CN1960567A (zh) | 一种终端进入和退出空闲模式的通信方法 | |
| CN1922908A (zh) | 点对多点数据通信 | |
| CN1910839A (zh) | 用于建立移动终端的无线承载的装置和方法 | |
| JP2007060314A (ja) | 移動局、無線アクセスネットワーク装置および移動交換局並びに通信サービスアクセス方法 | |
| CN108307389A (zh) | 数据安全保护方法、网络接入设备及终端 | |
| US7945053B2 (en) | Methods and apparatus for a keying mechanism for end-to-end service control protection | |
| WO2019192445A1 (zh) | 一种组播组创建、组播组加入方法及装置 | |
| CN1596556A (zh) | 用于选择无线服务节点的系统和方法 | |
| CN1819698A (zh) | 一种目标基站获取鉴权密钥上下文信息的方法 | |
| CN1656744A (zh) | 使用本地链路对无线通信设备的仿真 | |
| CN1802024A (zh) | 对退出空闲模式的终端的信息进行管理的方法 | |
| CN101075865A (zh) | 一种用户面加密的启动方法 | |
| CN1941695A (zh) | 初始接入网络过程的密钥生成和分发的方法及系统 | |
| CN1705261A (zh) | 一种端对端加密通讯系统及方法 | |
| CN1921379A (zh) | 一种目标鉴权者/密钥提供者获取密钥的方法 | |
| CN1625851A (zh) | 混合通信网络中的切换 | |
| CN1728635A (zh) | 一种在码分多址系统中开展数字集群业务时的鉴权方法 | |
| EP2020101A1 (en) | Methods and apparatus for a protected paging indication mechanism within wireless networks including multiple access points | |
| CN1905734A (zh) | 一种目标基站获取鉴权密钥的方法及系统 | |
| CN1925671A (zh) | 一种加密模式下系统切换的实现方法 | |
| CN1794873A (zh) | 一种位置更新控制方法 | |
| CN101039457A (zh) | 撷取一点对多点多媒体广播及群播服务信息的方法及装置 | |
| CN1640177A (zh) | 分组模式蜂窝移动无线系统中改进服务质量管理的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20220118 Address after: 450046 Floor 9, building 1, Zhengshang Boya Plaza, Longzihu wisdom Island, Zhengdong New Area, Zhengzhou City, Henan Province Patentee after: xFusion Digital Technologies Co., Ltd. Address before: 518129 Bantian HUAWEI headquarters office building, Longgang District, Guangdong, Shenzhen Patentee before: HUAWEI TECHNOLOGIES Co.,Ltd. |
|
| TR01 | Transfer of patent right | ||
| CX01 | Expiry of patent term |
Granted publication date: 20091014 |
|
| CX01 | Expiry of patent term |