CN1747384A - 验证密钥设置方法 - Google Patents
验证密钥设置方法 Download PDFInfo
- Publication number
- CN1747384A CN1747384A CNA2004100742953A CN200410074295A CN1747384A CN 1747384 A CN1747384 A CN 1747384A CN A2004100742953 A CNA2004100742953 A CN A2004100742953A CN 200410074295 A CN200410074295 A CN 200410074295A CN 1747384 A CN1747384 A CN 1747384A
- Authority
- CN
- China
- Prior art keywords
- portable terminal
- random number
- authentication secret
- authentication
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
- H04L9/0841—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
- H04L9/0844—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/72—Subscriber identity
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephone Function (AREA)
Abstract
本发明公开了一种移动终端和验证设备的验证密钥设置方法,至少包括:移动终端和验证设备中的一个生成一个随机数,并将对应该随机数的随机信息发送到移动终端和验证设备中的另一个;移动终端和验证设备中的一个对该随机数和移动终端相关信息进行联合计算,或者对随机信息和移动终端相关信息进行联合计算,生成并保存用于验证移动终端用户合法性的验证密钥,移动终端和验证设备中的另一个对该随机信息和移动终端相关信息进行联合计算,生成并保存相应的验证密钥。根据本发明的验证密钥设置方法提高了移动终端用户合法性验证的安全性,并因此提高了移动终端的防盗效果。
Description
技术领域
本发明涉及通信网络中的通信安全技术,具体涉及一种移动终端和验证设备的验证密钥设置方法。
背景技术
在当前的移动通信网络中,为了保证移动终端的安全,例如为了防止移动终端容易被盗抢的情况时时发生,在用户使用移动终端之前,需要对移动终端用户的合法性进行验证。只有通过验证的移动终端才能正常使用或者正常接入移动通信网络,而没有通过验证的移动终端则会自动锁定、关机,甚至会根据移动终端用户的设置自动发送短消息给移动终端用户的亲友或者发送给公安机关,从而使盗抢了移动终端的非法用户即使得到了该移动终端也不能正常使用,甚至还有可能会被绳之以法,因此从根本上杜绝了盗抢移动终端的现象,极大地提高了移动终端的安全。
在上述对移动终端用户进行合法性验证的过程中,一般需要在移动通信网络中设置一个验证设备,例如归属位置寄存器(HLR)或者鉴权中心(AC),然后在移动终端中设置一个密钥,这里可以将其称之为防盗密钥,并在验证设备中同时保存该密钥,验证设备中还保存密钥和用户签约信息之间的对应关系。当需要对移动终端用户合法性进行验证时,最简单的方式是移动终端向验证设备发送一个请求密钥的请求消息,验证设备将对应于该移动终端用户的密钥发送给移动终端,移动终端比较接收到的密钥和自己保存的密钥是否一致。如果一致,则表明移动终端用户合法,否则表明移动终端用户非法。当然,也可以是移动终端向验证设备发送一个请求验证信息,验证设备根据移动终端对应的密钥进行相关计算,比如摘要计算,并将计算结果返回给移动终端,移动终端利用自己保存的密钥进行相应的计算,并比较自己计算的结果和来自验证设备的计算结果是否一致来判断移动终端用户的合法性。
当移动终端被盗抢后,合法用户会要求通信运营商停止对自己的用户卡服务,那么盗抢移动终端的非法用户如果想使用该移动终端进行正常通信,就必须更换一个用户卡。但是在更换用户卡之后,由于不同用户卡的用户签约信息的不同,致使验证设备根据新的用户签约信息查找不到移动终端保存的密钥,或者查找得到的密钥和移动终端中保存的密钥不同,从而移动终端判定用户非法。这样上述方法即可有效地达到保障移动终端安全的目的。
在上述方法中,移动终端中的密钥和验证设备中的密钥一般保持一致。在具体实现过程中,密钥可以由移动终端产生,然后传送给验证设备,例如可以由移动终端的用户输入一组数字或者字符来形成密钥,或者由移动终端随机产生一个密钥,然后移动终端将该密钥直接传送给验证设备。另外,密钥也可以由验证设备随机产生,然后由验证设备将该密钥直接传送给移动终端。
可以看出,上述密钥设置方法具有如下缺点。其一,如果密钥由移动终端用户输入,那么用户输入的密钥可能不是一个符合密钥产生标准的密钥,换句话说是一个容易被攻击的密钥,从而降低了移动终端用户合法性验证的安全性。其二,无论是移动终端将密钥传送给验证设备,还是验证设备将密钥传送给移动终端,在传送密钥的过程中,网络侧相关设备可能并没有对信令进行加密,从而导致传送的密钥容易被他人截获,从而降低了移动终端用户合法性验证的安全性。
综上所述,现有技术中的密钥设置方法存在安全漏洞,从而降低了移动终端用户合法性验证的安全性,并因此降低了移动终端防盗的效果。
发明内容
有鉴于此,本发明的主要目的是提出一种移动终端和验证设备的验证密设置方法,以克服现有技术中的安全漏洞,提高移动终端用户合法性验证的安全性,保障移动终端防盗的效果。
本发明的上述目的是通过如下的技术方案予以实现的:
一种移动终端和验证设备的验证密钥设置方法,至少包括:
a.移动终端和验证设备中的一个生成一个随机数,并将对应该随机数的随机信息发送到移动终端和验证设备中的另一个;
b.移动终端和验证设备中的一个对该随机数和移动终端相关信息进行联合计算,或者对随机信息和移动终端相关信息进行联合计算,生成并保存用于验证移动终端用户合法性的验证密钥,移动终端和验证设备中的另一个对该随机信息和移动终端相关信息进行联合计算,生成并保存相应的验证密钥。
这里的随机信息和随机数可以相同,步骤a为移动终端生成一个随机数并将该随机数发送给验证设备。在这种情况下,发送随机数是将该随机数包含在一个验证密钥设置请求中进行发送,该方法进一步包括验证设备在保存验证密钥之后向移动终端返回一个用于表明设置验证密钥的操作是否成功的验证密钥设置请求响应消息。步骤a还可以是验证设备生成一个随机数并将该随机数发送给移动终端。此时,在验证设备生成一个随机数之前进一步包括移动终端向验证设备发送一个验证密钥设置请求,所述验证设备将随机数发送给移动终端是将该随机数包含在一个验证密钥设置请求响应中发送。
步骤a在接收到用户要求进行移动终端用户合法性验证的设置之后执行。
步骤b中移动终端根据随机数生成用于验证移动终端用户合法性的验证密钥包括:
移动终端将随机数发送给移动终端中的用户卡;
用户卡使用自己保存的移动终端相关信息和所接收的随机数进行联合计算,得到一个计算结果;
用户卡将所得到的计算结果发送给移动终端。
另外,随机信息和随机数也可以不同,较佳地,步骤a为移动终端生成一个随机数,并对该随机数进行计算得到一个随机信息,然后将该随机信息发送给验证设备;在步骤b中移动终端对随机信息和移动终端相关信息进行计算得到验证密钥。
具体地说,移动终端根据随机数进行计算得到一个随机信息并且对该随机信息和移动终端相关信息进行联合计算生成验证密钥包括:
移动终端将随机数发送到移动终端中的用户卡;
用户卡对随机数进行摘要计算,得到一个作为随机信息的摘要计算结果;
用户卡对摘要计算结果和相应的移动终端相关信息进行联合计算,得到一个联合计算结果;
用户卡将摘要计算结果和联合计算结果同时返回给移动终端;
移动终端将接收自用户卡的联合计算结果保存为验证密钥。
随机信息和随机数不同时,较佳地,步骤a为移动终端生成一个随机数,并对该随机数进行计算得到一个随机信息,然后将该随机信息发送给验证设备;在步骤b中移动终端对随机数和移动终端相关信息进行计算得到验证密钥。
具体地说,移动终端根据随机数进行计算得到一个随机信息并且对该随机数和移动终端相关信息进行联合计算生成验证密钥包括:
移动终端将随机数发送到移动终端中的用户卡;
用户卡根据该随机数和相应的移动终端相关信息进行联合计算得到第一计算结果;
用户卡对随机数进行摘要计算,得到作为随机信息的第二计算结果;
用户卡将两个计算结果返回给移动终端;
移动终端将第一计算结果保存为验证密钥。
较佳地,步骤b中验证设备对随机信息和移动终端相关信息进行联合计算并生成验证密钥是从第二计算结果计算得到第一计算结果,然后将得到的第一计算结果保存为验证密钥。
在上述方法中,移动终端中可以进一步包括一个安全芯片,所述移动终端保存验证密钥为将验证密钥保存在所述安全芯片上。较佳地,在安全芯片预先设置用户操作密码,在将所述验证密钥写入安全芯片之前或接收到用户的设置之后,进一步包括提示用户输入表明用户是否有权操作安全芯片的用户操作密码,然后判断用户输入的用户操作密码是否正确,如果正确执行步骤a,否则结束本流程。
在上述方法中,移动终端相关信息是用户卡的根密钥(KI)、用户卡的通信密钥(KC)、用户卡的国际移动用户标识(IMSI)、移动终端的国际移动设备标识(IMEI)中的一种或者它们的任意组合。
较佳地,在验证设备保存验证密钥是按照终端身份信息保存对应的计算得到的验证密钥。这里的终端身份信息是用户卡标识信息、用户终端号码信息和移动终端标识信息中的一种或者它们的任意组合。
本发明中的验证设备是HLR、AC和设备标识寄存器(EIR)中的一种。
从本发明的技术方案可以看出,通过移动终端和验证设备中的任意一个设备生成一个随机数,然后将对应该随机数的随机信息传送给另外一个设备,移动终端和验证设备都根据随机数或随机信息分别生成各自的用于验证移动终端用户合法性的验证密钥。本发明的验证密钥通过直接或间接对一个随机数进行计算得到,而不是直接由用户生成,因此避免了现有技术中用户直接生成密钥造成的容易被攻击的现象;另外,该方法也避免了密钥的直接传送,进而避免了因为传输信令没有进行相应的加密而导致的通过截取密钥而获得密钥明文的现象发生,因此,保证了密钥的安全性,也提高了移动终端用户合法性验证的安全性。比如,即使随机信息被他人截获,但由于验证密钥是根据随机信息和移动终端相关信息进行联合计算得到的,截获随机信息的人难以知道具体计算并生成密钥时使用的保存在移动终端(包括用户卡)里的相关信息,因此难以根据截获的随机信息得到验证密钥。
如上所述,根据本发明的密钥设置方法克服了现有技术所存在的安全漏洞,提高了移动终端用户合法性验证的安全性,并因此提高了移动终端的防盗效果。
附图说明
图1是根据本发明的第一种方法的流程图。
图2是根据本发明的第一种方法的第一实施例的流程图。
图3是根据本发明的第一种方法的第二实施例的流程图。
图4是根据本发明的第二种方法的流程图。
图5是根据本发明的第三种方法的流程图。
具体实施方式
下面结合附图和具体实施例对本发明进行详细说明。
为了克服现有技术中移动终端用户输入信息作为密钥可能造成的易被攻击的缺陷,本发明中摒弃了这种密钥产生方式。另外,为了防止移动终端和验证设备之间直接传输密钥容易造成密钥被截获而泄漏的问题,在本发明中不直接传输密钥,而是传输一个用于生成密钥的随机数,然后移动终端和验证设备分别根据该随机数进行计算得到各自的密钥。
图1示出了按照上述思路提出的根据本发明的第一种密钥设置方法的总体流程。如图1所示,该方法包括如下步骤:
在步骤101,移动终端或者验证设备生成一个随机数,然后将该随机数发送给对方。
在步骤102,移动终端和验证设备根据该随机数和相应的移动终端相关信息进行计算,分别得到各自的用于验证移动终端用户合法性的验证密钥。
在步骤103,移动终端和验证设备分别保存自己计算得到的验证密钥。
其中在步骤101中,对于移动终端生成随机数的情况,随机数可以是由用户卡产生,也可以是由移动终端自己产生。
其中在步骤102中,移动终端相关信息可以是用户卡的KI,可以是用户卡的KC,可以是用户卡的IMSI,也可以是移动终端的IMEI,并且可以是它们的任意组合。本领域技术人员可以理解,这些信息会同时保存在移动终端和验证设备中。对于移动终端来说,上述移动终端根据随机数和相应的移动终端相关信息进行的计算可以是在用户卡内进行,即,由用户卡根据随机数和移动终端相关信息进行计算得到验证密钥。
步骤103中验证设备保存计算得到的验证密钥时,可以进一步保存表示终端身份信息的用户卡标识信息或者用户终端号码信息或者移动终端的标识信息和所计算得到的验证密钥的对应关系,这样验证设备可以按照终端身份信息对应地保存验证密钥,从而方便验证密钥的查找。这里的用户卡标识信息也就是IMSI信息,用户终端号码信息也就是移动终端中的用户卡所对应的电话号码,移动终端的标识信息可以是移动终端的IMEI。
本发明中的验证设备可以是HLR,也可以是AC,还可以是EIR。
下面结合图2说明根据本发明的第一种方法的第一实施例。在第一实施例中,由移动终端产生随机数,然后将随机数发送给验证设备。
在步骤201,移动终端生成一个随机数,并将该随机数发送给用户卡。此步骤可以是在用户设置需要进行移动终端用户合法性验证操作时开始执行。
在步骤202,用户卡接收到该随机数后,使用该随机数和自己保存的KI以及IMSI进行联合计算得到一个计算结果,然后将该计算结果传送给移动终端。
在步骤203,移动终端向验证设备发送一个验证密钥设置请求,在该请求中携带有步骤201产生的随机数。
在步骤204,验证设备在接收到来自移动终端的验证密钥设置请求后,从中提取出随机数,然后对该随机数和自己保存的对应该移动终端的KI以及IMSI进行联合计算得到一个计算结果,并将该计算结果保存为用于验证移动终端用户合法性的验证密钥。然后向移动终端返回验证密钥设置请求响应,其中可以进一步携带有设置验证密钥是否成功的信息。
在步骤205,移动终端接收到验证设备的响应消息后,将来自用户卡的计算结果保存为用于验证移动终端用户合法性的验证密钥。
这样,通过发送一个随机数,移动终端和验证设备根据相同的随机数进行计算分别得到各自的验证密钥。这里,移动终端和验证设备对相同的随机数进行的计算可以相同,也可以不同。在相同的情况下,在后续的移动终端用户合法性验证时,移动终端判断接收自验证设备的验证密钥和自己保存的验证密钥是否相同。在两个计算不同的情况下,需要确定两种计算之间的关系,这样在后续的移动终端用户合法性验证时,移动终端判断接收自验证设备的验证密钥和自己保存的验证密钥是否满足该关系。
需要说明的是,移动终端也可以通过其它方式判断保存在验证设备的验证密钥和自己保存的验证密钥是否一致。比如,移动终端也可以通过给验证设备发送一个随机数,由移动终端和验证设备分别根据保存的验证密钥对随机数进行摘要计算,移动终端通过比较验证设备的摘要计算结果和自己的摘要计算结果是否一致来判断保存在验证设备的验证密钥和自己保存的验证密钥是否一致。
本领域技术人员可以理解,上述计算可以是加密计算、摘要计算或者其它任何一种计算。对于所述联合计算,可以是使用KI对随机数进行摘要计算,并使用计算得到的结果,再对IMSI进行摘要计算以得到最终的摘要计算结果。
下面结合图3说明根据本发明的第一种方法的第二实施例。在第二实施例中,由验证设备产生随机数,然后将随机数发送给移动终端。
在步骤301,移动终端向验证设备发送一个验证密钥设置请求。此步骤可以是在用户设置需要进行移动终端用户合法性验证操作时开始执行。
在步骤302,验证设备生成一个随机数,并使用该随机数和对应该移动终端的KI以及IMSI信息进行联合计算得到一个计算结果,保存该计算结果为用于验证移动终端用户合法性的验证密钥。然后向移动终端返回验证密钥设置请求响应,其中该响应消息中包含所述随机数。
在步骤303,移动终端接收到来自验证设备的响应消息后,提取其中的随机数,然后将该随机数发送给用户卡。
在步骤304,用户卡对该随机数和自己保存的KI以及IMSI信息进行联合计算,得到一个计算结果,然后将该计算结果返回给移动终端。
在步骤305,移动终端将接收自用户卡的该计算结果保存为用于验证移动终端用户合法性的验证密钥。
和第二实施例类似,这里移动终端和验证设备对相同的随机数进行的计算可以相同,也可以不同。
在上述两个实施例中,移动终端产生随机数、发送随机数等操作是由移动终端程序来控制实现的。另外,用户设置需要进行移动终端用户合法性验证操作可以是通过移动终端的屏幕界面来进行设置。
在通常情况下,移动终端的验证密钥由移动终端程序保存在移动终端的一个非易失性存储器中。这时,可以在移动终端中设置用于验证用户合法性的安全芯片,移动终端中的验证密钥较佳地是由安全芯片来保存,此时在上述两个实施例中,移动终端在接收到来自用户卡的计算结果后,将该计算结果进一步发送给安全芯片,安全芯片将该计算结果保存为用于验证移动终端用户合法性的验证密钥。
在将验证密钥保存到安全芯片的情况下,为了提高对安全芯片操作的安全性,可以在安全芯片设置一个用户操作密码,在对安全芯片进行访问时,比如,写入密钥数据操作等,需要通过用户操作密钥验证后方可进行。实际当中,可以在用户要求进行移动终端用户合法性验证操作的设置后,移动终端进一步提示用户输入一个用户操作密码,以表明用户有权进行这项设置。在用户输入用户操作密码后,移动终端程序会判断用户输入的用户操作密码是否正确,如果正确执行后续步骤,否则向用户返回密码输入错误的消息,并结束本流程。
实际当中,用户操作密码可以设置在安全芯片,以保证用户操作密钥的安全性。相应的,在用户输入用户操作密码后,移动终端程序会将用户输入的用户操作密钥传送给安全芯片,并由安全芯片判断用户输入的用户操作密码是否正确,并将判断结果传送给移动终端程序,以显示给用户;如果安全芯片判断用户输入的用户操作密码正确,则允许对安全芯片进行相关访问操作。
在本发明中,也可以对随机数进行一个摘要计算得到摘要计算结果,然后将该摘要计算结果作为新的随机数,也就是随机信息发送给另一方。具体地说,本发明提出了如图4所示的第二种方法。
在步骤401,移动终端生成一个随机数,并向用户卡发送该随机数。此步骤可以是在用户设置需要进行移动终端用户合法性验证操作时开始执行。
在步骤402,用户卡接收到该随机数后,对随机数进行计算得到一个计算结果。该计算可以是摘要计算,并且,在进行摘要计算时,可以引入KI、KC、IMSI、IMEI等信息中的一个或任意几个组合等参与计算。
在步骤403,用户卡使用该计算结果和自己保存的KI以及IMSI等等进行联合计算得到一个联合计算结果,然后将摘要计算结果和联合计算结果同时传送给移动终端。
在步骤404,移动终端向验证设备发送一个验证密钥设置请求,在该请求中携带有步骤403从用户卡接收的摘要计算结果,也就是随机信息。
在步骤405,验证设备在接收到来自移动终端的验证密钥设置请求后,从中提取出摘要计算结果,然后对该摘要计算结果和自己保存的对应该移动终端的KI以及IMSI等等进行联合计算得到一个联合计算结果,并将该联合计算结果保存为用于验证移动终端用户合法性的验证密钥。然后向移动终端返回验证密钥设置请求响应,其中携带有设置验证密钥是否成功的信息。
在步骤406,移动终端接收到验证设备的响应消息后,将来自用户卡的联合计算结果保存为用于验证移动终端用户合法性的验证密钥。
在第二种方法中,用户卡在步骤402进行的摘要计算和在步骤403进行的联合计算是分离进行的,实际当中,这种分离进行的计算可能会对效率产生一定影响,或者增加实现的复杂度。实际当中,可以通过算法设计将这两个计算步骤合成为一个,为此,本发明提出了如图5所示的第三种方法。
在步骤501,移动终端生成一个随机数,并向用户卡发送该随机数。此步骤可以是在用户设置需要进行移动终端用户合法性验证操作时开始执行。
在步骤502,用户卡接收到该随机数后,对随机数和移动终端相关信息,例如KI以及IMSI等等进行联合计算得到一个第一计算结果,同时对随机数进行摘要计算得到一个第二计算结果。摘要计算时可以引入KI、KC、IMSI、IMEI等信息中的一个或任意几个组合等参与计算。
在步骤503,用户卡将第一计算结果和第二计算结果同时传送给移动终端。
在步骤504,移动终端向验证设备发送一个验证密钥设置请求,在该请求中携带有步骤503从用户卡接收的第二计算结果,也就是随机信息。
在步骤505,验证设备在接收到来自移动终端的验证密钥设置请求后,从中提取出第二计算结果,然后对该第二计算结果和自己保存的对应该移动终端的相关信息,例如KI以及IMSI等等进行联合计算得到一个联合计算结果,并将该联合计算结果保存为用于验证移动终端用户合法性的验证密钥。然后向移动终端返回验证密钥设置请求响应,其中携带有设置验证密钥是否成功的信息。
在步骤506,移动终端接收到验证设备的响应消息后,将来自用户卡的第一计算结果保存为用于验证移动终端用户合法性的验证密钥。当然,保存所述验证密钥前提应该是接收到验证设备响应了设置验证密钥成功的消息。
在上述方法中,移动终端保存的验证密钥是第一计算结果,而验证设备保存的验证密钥是对第二计算结果进行进一步计算得到的联合计算结果,验证设备计算得到的该联合计算结果和用户卡计算得到的第一计算结果要满足对称密钥的关系。比如,实际当中,可以将用户卡根据随机数计算得到第二计算结果的步骤称为步骤s1,将从第二计算结果进行计算得第一计算结果的步骤称为s2,将从随机数计算得到第一计算结果的步骤称为s3,这样,s3就是执行了s1之后再执行s2的结果。相应的,验证设备根据第二计算结果,通过执行步骤s2既可以得到和用户卡执行s3得到的计算结果一样的计算结果。
同样,如果将用户卡根据随机数计算得到第一计算结果的步骤称为步骤s1,将用户卡从第一计算结果进行计算得第二计算结果的步骤称为s2;将验证设备从第二计算结果计算得到所述联合计算结果的步骤称为s3,这样,如果s3就是执行了s2的逆步骤,那么,s3就能够从第二计算结果计算出第一计算结果,并以此计算结果来作为验证设备的联合计算结果。
实际当中,可能因为算法设计演变出各种不同的步骤,但其核心思想却都是在本发明方法的框架之下。
上述各个实施例中,所述对应该移动终端的KI、KC以及IMSI信息实际上是移动终端中当前用户卡中的KI、KC和IMSI信息。所述的联合计算可以是摘要计算,也可以是加密计算。
在上述各个实施例中,移动终端和验证设备保存的验证密钥可以是相同的,也可以不同,而只要满足预先设定的关系或者从一个验证密钥简单地推导出另外一个密钥即可,也即,两个密钥满足对称密钥关系即可。由于对称密钥是本领域技术人员公知常识,这里不再详细叙述。
可以理解,以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (18)
1.一种移动终端和验证设备的验证密钥设置方法,至少包括:
a.移动终端和验证设备中的一个生成一个随机数,并将对应该随机数的随机信息发送到移动终端和验证设备中的另一个;
b.移动终端和验证设备中的一个对该随机数和移动终端相关信息进行联合计算,或者对随机信息和移动终端相关信息进行联合计算,生成并保存用于验证移动终端用户合法性的验证密钥,移动终端和验证设备中的另一个对该随机信息和移动终端相关信息进行联合计算,生成并保存相应的验证密钥。
2.根据权利要求1所述的验证密钥设置方法,其特征是,所述随机信息和随机数相同,步骤a为移动终端生成一个随机数并将该随机数发送给验证设备。
3.根据权利要求2所述的验证密钥设置方法,其特征是,所述发送随机数是将该随机数包含在一个验证密钥设置请求中进行发送,该方法进一步包括验证设备在保存验证密钥之后向移动终端返回一个用于表明设置验证密钥的操作是否成功的验证密钥设置请求响应消息。
4.根据权利要求1所述的验证密钥设置方法,其特征是,所述随机信息和随机数相同,步骤a为验证设备生成一个随机数并将该随机数发送给移动终端。
5.根据权利要求4所述的验证密钥设置方法,其特征是,在验证设备生成一个随机数之前进一步包括移动终端向验证设备发送一个验证密钥设置请求,所述验证设备将随机数发送给移动终端是将该随机数包含在一个验证密钥设置请求响应中发送。
6.根据权利要求2或5所述的验证密钥设置方法,其特征是,步骤a在接收到用户要求进行移动终端用户合法性验证的设置之后执行。
7.根据权利要求2或5所述的验证密钥设置方法,其特征是,步骤b中移动终端根据随机数生成用于验证移动终端用户合法性的验证密钥包括:
移动终端将随机数发送给移动终端中的用户卡;
用户卡使用自己保存的移动终端相关信息和所接收的随机数进行联合计算,得到一个计算结果;
用户卡将所得到的计算结果发送给移动终端。
8.根据权利要求1所述的验证密钥设置方法,其特征是,所述随机信息和随机数不同,步骤a为移动终端生成一个随机数,并对该随机数进行计算得到一个随机信息,然后将该随机信息发送给验证设备;在步骤b中移动终端对随机信息和移动终端相关信息进行计算得到验证密钥。
9.根据权利要求8所述的验证密钥设置方法,其特征是,所述移动终端根据随机数进行计算得到一个随机信息并且对该随机信息和移动终端相关信息进行联合计算生成验证密钥包括:
移动终端将随机数发送到移动终端中的用户卡;
用户卡对随机数进行摘要计算,得到一个作为随机信息的摘要计算结果;
用户卡对摘要计算结果和相应的移动终端相关信息进行联合计算,得到一个联合计算结果;
用户卡将摘要计算结果和联合计算结果同时返回给移动终端;
移动终端将接收自用户卡的联合计算结果保存为验证密钥。
10.根据权利要求1所述的验证密钥设置方法,其特征是,所述随机信息和随机数不同,步骤a为移动终端生成一个随机数,并对该随机数进行计算得到一个随机信息,然后将该随机信息发送给验证设备;在步骤b中移动终端对随机数和移动终端相关信息进行计算得到验证密钥。
11.根据权利要求10所述的验证密钥设置方法,其特征是,所述移动终端根据随机数进行计算得到一个随机信息并且对该随机数和移动终端相关信息进行联合计算生成验证密钥包括:
移动终端将随机数发送到移动终端中的用户卡;
用户卡根据该随机数和相应的移动终端相关信息进行联合计算得到第一计算结果;
用户卡对随机数进行摘要计算,得到作为随机信息的第二计算结果;
用户卡将两个计算结果返回给移动终端;
移动终端将第一计算结果保存为验证密钥。
12.根据权利要求11所述的验证密钥设置方法,其特征是,步骤b中验证设备对随机信息和移动终端相关信息进行联合计算并生成验证密钥是从第二计算结果计算得到第一计算结果,然后将得到的第一计算结果保存为验证密钥。
13.根据权利要求1所述的验证密钥设置方法,其特征是,所述移动终端中进一步包括一个安全芯片,所述移动终端保存验证密钥为将验证密钥保存在所述安全芯片上。
14.根据权利要求13所述的验证密钥设置方法,其特征是,在安全芯片预先设置用户操作密码,在将所述验证密钥写入安全芯片之前或接收到用户的设置之后,进一步包括提示用户输入表明用户是否有权操作安全芯片的用户操作密码,然后判断用户输入的用户操作密码是否正确,如果正确执行步骤a,否则结束本流程。
15.根据权利要求1所述的验证密钥设置方法,其特征是,所述移动终端相关信息是用户卡的根密钥KI、用户卡的通信密钥KC、用户卡的国际移动用户标识IMSI、移动终端的国际移动设备标识IMEI中的一种或者它们的任意组合。
16.根据权利要求1所述的验证密钥设置方法,其特征是,在验证设备保存验证密钥是按照终端身份信息保存对应的计算得到的验证密钥。
17.根据权利要求16所述的验证密钥设置方法,其特征是,所述终端身份信息是用户卡标识信息、用户终端号码信息和移动终端标识信息中的一种或者它们的任意组合。
18.根据权利要求1所述的验证密钥设置方法,其特征是,所述验证设备是归属位置寄存器HLR、鉴权中心AC和设备标识寄存器EIR中的一种。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2004100742953A CN1747384A (zh) | 2004-09-08 | 2004-09-08 | 验证密钥设置方法 |
| PCT/CN2005/001432 WO2006026925A1 (fr) | 2004-09-08 | 2005-09-08 | Procede d'etablissement de la cle d'authentification |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2004100742953A CN1747384A (zh) | 2004-09-08 | 2004-09-08 | 验证密钥设置方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN1747384A true CN1747384A (zh) | 2006-03-15 |
Family
ID=36036078
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2004100742953A Pending CN1747384A (zh) | 2004-09-08 | 2004-09-08 | 验证密钥设置方法 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN1747384A (zh) |
| WO (1) | WO2006026925A1 (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101127606B (zh) * | 2006-07-08 | 2010-06-23 | 国际商业机器公司 | 传输数据对象的方法和装置 |
| CN101944170A (zh) * | 2010-09-20 | 2011-01-12 | 中兴通讯股份有限公司 | 一种软件版本发布方法、系统及装置 |
| CN102595401A (zh) * | 2012-03-19 | 2012-07-18 | 中兴通讯股份有限公司 | 一种检测uicc和设备是否配对的方法和系统 |
| WO2019095990A1 (zh) * | 2017-11-14 | 2019-05-23 | 华为技术有限公司 | 一种通信方法及装置 |
| CN111147236A (zh) * | 2019-12-25 | 2020-05-12 | 江苏星地通通信科技有限公司 | 基于rsa和aes的加解密方法及系统 |
| CN113381965A (zh) * | 2020-03-09 | 2021-09-10 | 中国电信股份有限公司 | 安全认证方法、系统和认证服务平台 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2786092B2 (ja) * | 1993-10-18 | 1998-08-13 | 日本電気株式会社 | 移動通信端末認証方式 |
| US5513245A (en) * | 1994-08-29 | 1996-04-30 | Sony Corporation | Automatic generation of private authentication key for wireless communication systems |
| FI105253B (fi) * | 1997-11-11 | 2000-06-30 | Sonera Oyj | Siemenluvun generointi |
-
2004
- 2004-09-08 CN CNA2004100742953A patent/CN1747384A/zh active Pending
-
2005
- 2005-09-08 WO PCT/CN2005/001432 patent/WO2006026925A1/zh active Application Filing
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101127606B (zh) * | 2006-07-08 | 2010-06-23 | 国际商业机器公司 | 传输数据对象的方法和装置 |
| CN101944170A (zh) * | 2010-09-20 | 2011-01-12 | 中兴通讯股份有限公司 | 一种软件版本发布方法、系统及装置 |
| CN101944170B (zh) * | 2010-09-20 | 2014-04-30 | 中兴通讯股份有限公司 | 一种软件版本发布方法、系统及装置 |
| CN102595401A (zh) * | 2012-03-19 | 2012-07-18 | 中兴通讯股份有限公司 | 一种检测uicc和设备是否配对的方法和系统 |
| CN102595401B (zh) * | 2012-03-19 | 2018-05-04 | 中兴通讯股份有限公司 | 一种检测uicc和设备是否配对的方法和系统 |
| WO2019095990A1 (zh) * | 2017-11-14 | 2019-05-23 | 华为技术有限公司 | 一种通信方法及装置 |
| US11082843B2 (en) | 2017-11-14 | 2021-08-03 | Huawei Technologies Co., Ltd. | Communication method and communications apparatus |
| CN111147236A (zh) * | 2019-12-25 | 2020-05-12 | 江苏星地通通信科技有限公司 | 基于rsa和aes的加解密方法及系统 |
| CN113381965A (zh) * | 2020-03-09 | 2021-09-10 | 中国电信股份有限公司 | 安全认证方法、系统和认证服务平台 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2006026925A1 (fr) | 2006-03-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1190717C (zh) | 有选择地容许移动终端访问分组数据网络的方法及相关装置 | |
| CN1285235C (zh) | 应用国际移动设备识别码实现手机防盗的方法及其系统 | |
| WO2017201809A1 (zh) | 终端通信方法及系统 | |
| US8116733B2 (en) | Method and apparatus for a wireless mobile device with SIM challenge modification capability | |
| CN1444835A (zh) | 移动通信网络中的验证 | |
| CA2557143C (en) | Trust inheritance in network authentication | |
| CN1879071A (zh) | 用于认证数据处理系统的用户的方法和系统 | |
| CN1268157C (zh) | 一种用于动态身份认证的手机 | |
| CN1864384A (zh) | 用于保护网络管理帧的系统和方法 | |
| CN1910882A (zh) | 保护数据的方法和系统、相关通信网络以及计算机程序产品 | |
| DK2924944T3 (en) | Presence authentication | |
| CN1694555A (zh) | 一种基于移动通信终端的动态密码系统及方法 | |
| CN1662092A (zh) | 高速分组数据网中接入认证方法以及装置 | |
| CN1812611A (zh) | 一种密钥设置方法 | |
| CN1929371A (zh) | 用户和外围设备协商共享密钥的方法 | |
| CN1713756A (zh) | 一种移动终端内存储的资料信息的安全保障方法 | |
| CN107612949B (zh) | 一种基于射频指纹的无线智能终端接入认证方法及系统 | |
| CN104484596A (zh) | 多操作系统中创建密码的方法及终端 | |
| CN107094127A (zh) | 安全信息的处理方法及装置、获取方法及装置 | |
| CN103037366A (zh) | 基于非对称密码技术的移动终端用户认证方法及移动终端 | |
| CN111031539A (zh) | 一种基于移动端增强Windows操作系统登录安全性的方法和系统 | |
| CN101047505A (zh) | 一种网络应用push业务中建立安全连接的方法及系统 | |
| CN101039181A (zh) | 防止通用鉴权框架中服务功能实体受攻击的方法 | |
| CN105119716A (zh) | 一种基于sd卡的密钥协商方法 | |
| US7650139B2 (en) | Method for ensuring security of subscriber card |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Open date: 20060315 |