CN1968096B - 一种同步流程优化方法和系统 - Google Patents
一种同步流程优化方法和系统 Download PDFInfo
- Publication number
- CN1968096B CN1968096B CN200610149807A CN200610149807A CN1968096B CN 1968096 B CN1968096 B CN 1968096B CN 200610149807 A CN200610149807 A CN 200610149807A CN 200610149807 A CN200610149807 A CN 200610149807A CN 1968096 B CN1968096 B CN 1968096B
- Authority
- CN
- China
- Prior art keywords
- synchronization request
- aresvc
- vlr
- sgsn
- auts
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明实施例公开了一种同步流程优化方法,终端发送再同步请求命令时,在附上的再同步标记中包含鉴权响应校验码;网络侧由拜访位置寄存器/服务通用分组无线业务支持节点VLR/SGSN判断接收到的再同步请求命令的合法性,若不合法则结束同步流程,否则VLR/SGSN将合法的再同步请求命令发送给归属位置寄存器/鉴权中心HLR/AUC。因此,网络侧接收到非法用户再同步请求命令时,VLR/SGSN将其有效滤除,避免非法用户利用再同步请求攻击网络的HLR/AUC。本发明实施例还公开一种同步流程优化系统、终端产生再同步标记的方法、VLR/SGSN处理再同步请求的方法及一种HLR/AUC处理再同步请求的方法。
Description
技术领域
本发明涉及通信安全技术,具体涉及鉴权流程中的一种同步流程优化方法和系统。
背景技术
现有的第三代移动通信系统中,在移动终端中保存国际移动用户标识IMSI、鉴权密钥KI和序列号SQNMS,网络侧的归属位置寄存器/鉴权中心(HLR/AUC)中针对该移动终端对应保存IMSI、KI和序列号SQNHE,以用于移动终端和网络相互鉴权。为将终端和HLR/AUC保存的鉴权密钥加以区分,将终端保存的KI称为第一鉴权密钥,将HLR/AUC保存的KI称为第二鉴权密钥。
3G通信系统的现有鉴权流程主要为:HLR/AUC产生随机数RAND,根据随机数RAND和KI产生期望响应XRES、加密密钥CK、完整性密钥IK;根据随机数RAND、序列号SQNHE、鉴权密钥KI和鉴权管理域AMF产生出MAC-A,根据MAC-A,SQNHE、AK和AMF得到鉴权标记AUTN(Authentication Token)。由RAND和XRES、CK、IK和AUTN组成鉴权五元组,将该五元组发送给拜访位置寄存器/服务通用分组无线业务支持节点(VLR/SGSN)保存。当然,实际当中,HLR/AUC是应VLR/SGSN的请求才将产生的相应的一个或多个五元组发送给VLR/SGSN的。鉴权时,VLR/SGSN将对应五元组中RAND和AUTN发送给终端,终端根据自己保存的第一鉴权密钥KI,验证AUTN的一致性,如果一致性验证不通过,则向VLR/SGSN返回鉴权失败信息;若一致性验证通过,则判断SQNHE是否属于可接受的范围:若属于,则终端判断出对网络鉴权通过,终端向VLR/SGSN返回终端自己产生的鉴权响应,并根据AUTN中的SQNHE更新SQNMS,VLR/SGSN比较终端返回的鉴权响应和对应五元组中的XRES是否一致来判断终端的合法性;若判断出SQNHE不属于可接受范围,则根据SQNMS产生再同步标记AUTS(Resynchronisation Token),对网络侧VLR/SGSN返回再同步请求消息,同时附上产生的再同步标记AUTS,也即消息中包含AUTS。网络侧VLR/SGSN接收到再同步标记AUTS时,将AUTS和对应五元组中的RAND发送给HLR/AUC,HLR/AUC根据对应保存的KI和接收到的RAND,判断AUTS的合法性,如果不合法,则HLR/AUC向VLR/SGSN返回AUTS不合法信息;如果判断出AUTS合法,则HLR/AUC根据AUTS中的SQNMS更新SQNHE,并产生一个新的鉴权五元组发送给VLR/SGSN,VLR/SGSN接收到新的五元组后,删除对应的旧的五元组。关于鉴权流程,可以参照3GPP规范。
由上可见,第三代移动通信系统中,鉴权流程可以充分保障终端和网络不会受到恶意欺骗,从而保障终端和网络的安全性。
上述鉴权流程可以通过网络对终端的鉴权防止假冒的用户终端欺骗网络,也可以通过终端对网络的鉴权防止假冒网络欺骗用户终端,却无法防止非法用户终端利用同步流程攻击HLR/AUC,例如,1.非法用户利用一个假的IMSI向网络发起位置更新;2.VLR/SGSN将鉴权元组中RAND和AUTN发送给非法用户;3.非法用户产生一个随机数代替AUTS,向网络VLR/SGSN发起同步SQNMS的请求;4.VLR/SGSN将对应五元组中随机数RAND和接收自终端的AUTS发送给HLR/AUC;5.HLR/AUC执行同步流程。
上述攻击流程中,虽然,在第5步中HLR/AUC可以识别出同步是不合法的,但是识别过程本身就消耗了HLR/AUC的资源,况且还包括VLR/SGSN和HLR/AUC之间的协议交互所消耗的资源。如果攻击者不断变换用户身份来制造假同步,那么,就有可能导致HLR/AUC忙于处理同步流程,而无暇顾及其它的业务请求,从而会导致HLR/AUC假吊死现象发生。
综上所述,如何防止非法用户通过再同步请求对网络进行攻击是一个值得解决的问题。
发明内容
有鉴于此,本发明实施例提供一种同步流程优化方法,能够防止非法用户利用再同步请求攻击网络。
本发明实施例还提供一种同步流程优化系统,能够防止非法用户利用再同步请求攻击网络。
本发明实施例又提供一种终端产生再同步标记的方法、VLR/SGSN处理再同步请求的方法,以及HLR/AUC处理再同步请求的方法,能够防止非法用户利用再同步请求攻击网络。
为了实现上述目的,本发明提供的技术方案为:
一种同步流程优化方法,包括:
终端产生再同步标记AUTS时,根据自己保存的第一鉴权密钥和接收自网络侧的随机数生成鉴权响应校验码ARESVC,根据该ARESVC生成同步消息鉴权编码MAC-S,产生AUTS后向VLR/SGSN发送携带AUTS的再同步请求消息;
拜访位置寄存器/服务通用分组无线业务支持节点VLR/SGSN在接收到所述再同步请求消息时,根据期望响应XRES判断再同步请求是否合法,若是合法,则向归属位置寄存器/鉴权中心HLR/AUC发送再同步请求消息,否则结束本次同步处理流程。
一种同步流程优化系统,包括:终端、VLR/SGSN和HLR/AUC,其中,
所述终端,用于根据自己保存的第一鉴权密钥和接收自网络侧的随机数生成鉴权响应校验码ARESVC,根据该ARESVC生成同步消息鉴权编码MAC-S,产生AUTS,还用于向所述VLR/SGSN发送携带AUTS的再同步请求消息;
所述VLR/SGSN,用于接收所述终端发送的再同步请求消息,根据期望响应XRES判断再同步请求的合法性,在该请求合法时向所述HLR/AUC发送再同步请求消息,在该请求非法时结束本次同步处理流程;
所述HLR/AUC,用于接收所述VLR/SGSN发送的再同步请求消息,执行同步处理流程。
一种终端产生再同步标记AUTS的方法,包括:终端接收网络侧发送的随机数,根据自己保存的第一鉴权密钥和所述随机数生成鉴权响应校验码ARESVC,并根据ARESVC和生成的同步校验码AVC生成同步消息鉴权编码MAC-S,进而生成AUTS,将携带AUTS的再同步请求消息发送出去,供网络侧拜访位置寄存器/服务通用分组无线业务支持节点VLR/SGSN利用XRES判断所述再同步请求是否合法,并在判定非法时结束同步处理流程。
一种VLR/SGSN处理再同步请求的方法,包括,
VLR/SGSN接收终端发送的再同步请求消息,在所述再同步请求消息中包括所述终端产生的鉴权响应校验码ARESVC,所述VLR/SGSN根据期望响应XRES判断再同步请求是否合法,若是合法,则向归属位置寄存器/鉴权中心HLR/AUC发送再同步请求消息,否则结束本次同步处理流程。
一种HLR/AUC处理再同步请求的方法,包括:VLR/SGSN接收终端发送的再同步请求消息,在所述再同步请求消息中包括所述终端产生的鉴权响应校验码ARESVC,所述VLR/SGSN根据期望响应XRES判断再同步请求是否合法,若是合法,则向归属位置寄存器/鉴权中心HLR/AUC发送再同步请求消息,否则结束本次同步处理流程;HLR/AUC接收VLR/SGSN发送携带AUTS的再同步请求消息,在所述AUTS中包括ARESVC和AVC;
HLR/AUC根据保存的第二鉴权密钥,对接收到的再同步请求消息进行一致性验证,若一致性验证通过,则将产生的鉴权元组发送给VLR/SGSN,和/或根据接收的再同步请求消息中的SQNMS更新自己设置的第二序列号SQNHE;否则,结束本次同步处理流程。
应用本发明的实施例,将产生的鉴权响应校验码包含在发送的同步请求消息中,并且没有增加消息流量,网络侧在判断同步请求的合法性时,先由VLR/SGSN根据鉴权响应来判断同步请求消息合法性,如果同步请求消息不合法则不再进行后续同步处理流程,使得网络侧的HLR/AUC不再对非法的同步请求消息进行处理,从而达到防止非法用户通过大量的再同步请求消息来攻击网络HLR/AUC的目的。
附图说明
图1为本发明的同步流程优化方法的总体流程图。
图2为本发明的同步流程优化系统的总体结构图。
图3为本发明实施例一中同步流程优化方法的具体流程图。
图4为本发明实施例一中同步流程优化系统的具体结构图。
图5为本发明实施例二中同步流程优化方法的具体流程图。
具体实施方式
为使本发明的目的、技术手段和优点更加清楚明白,以下结合附图对本发明作进一步详细说明。
本发明实施例的基本思想是:终端产生鉴权响应校验码,并将该鉴权响应校验码包含在发送给网络的再同步请求消息中,网络侧先根据鉴权响验证再同步请求消息中鉴权响应校验码的合法性,如果不合法则可立即判断出再同步请求命令非法,并直接中止同步流程;只有在鉴权响应校验码合法时,网络侧才进一步根据保存的第二鉴权密钥来验证再同步标记的一致性。
图1为本发明的同步流程优化方法的总体流程图。如图1所示,该方法包括:
步骤101,终端产生再同步标记AUTS时,根据自己保存的第一鉴权密钥和接收自网络侧的随机数生成鉴权响应校验码ARESVC,根据该ARESVC生成同步消息鉴权编码MAC-S,产生AUTS后向VLR/SGSN发送携带AUTS的再同步请求消息。
步骤102,VLR/SGSN在接收到所述再同步请求消息时,根据期望响应XRES判断再同步请求是否合法,若是,则向HLR/AUC发送携带AUTS的再同步请求消息,否则结束本次同步处理流程。
图2为本发明的同步流程优化系统的总体结构图。如图4所示,该系统200包括:终端210、VLR/SGSN 220和HLR/AUC 230。
在该系统200中,终端210,用于根据自己保存的第一鉴权密钥和接收自网络侧的随机数生成鉴权响应校验码ARESVC,根据该ARESVC生成同步消息鉴权编码MAC-S,产生AUTS,还用于向VLR/SGSN 220发送携带AUTS的再同步请求消息。
VLR/SGSN 220,用于接收终端210发送的再同步请求消息,根据期望响应XRES判断再同步请求的合法性,在该请求合法时向HLR/AUC 230发送再同步请求消息,在该请求非法时结束本次同步处理流程。HLR/AUC 230,用于接收VLR/SGSN 220发送的再同步请求消息,执行同步处理流程。
上述为本发明的鉴权流程中的同步方法和系统的总体概述,本发明的方法能够有效解决3GPP现有鉴权与密钥协商规程AKA中存在的同步攻击安全隐患,增强网络的安全性。具体地说,在WCDMA系统中,VLR/SGSN判断再同步请求不合法时,可以直接终止同步流程,从而可以将非法同步消息屏蔽在HLR/AUC之外,使HLR/AUC免受假同步的攻击。由于VLR/SGSN从HLR/AUC中得到的鉴权五元组中已经包括了期望鉴权响应值XRES,因此,VLR/SGSN不需要计算XRES,而是直接通过对终端返回的AUTS中包含的ARESVC来判断再同步请求的合法性,因此,假同步对VLR/SGSN资源的消耗要远小于HLR/AUC判断AUTS合法性的资源消耗。
下面结合附图对本发明的具体实施方式进行详细的说明。
移动通信网络中,在移动终端中保存IMSI、和SQNMS,网络侧的HLR/AUC中针对该移动终端对应保存IMSI、KI和序列号SQNHE,以用于移动终端和网络相互鉴权。在下面的实施例中,均以3G通信系统中的鉴权流程为例,说明在该鉴权流程中的同步流程优化方法和系统的具体实施方式。
实施例一:
图3为本发明实施例一中同步流程优化方法的具体流程图。如图3所示,该方法包括:
步骤301,鉴权时,网络侧VLR/SGSN将接收自HLR/AUC的鉴权元组中的相应鉴权参数发送给终端。
本步骤中,鉴权元组可以包括随机数RAND、期望响应XRES和鉴权标记AUTN。其中,发送给终端的所述相应鉴权参数包括RAND和AUTN。
具体地,HLR/AUC产生鉴权元组时,用随机数发生器产生的RAND和自身保存的第二鉴权密钥KI分别计算出XRES,根据RAND、KI、序列号SQNHE、鉴权管理域AMF产生AUTN。
在本实施例中,产生的AUTN长16字节,包括三部分内容:1)SQNHE^AK,也即用AK加密了的SQNHE,其中序列号SQNHE与匿名密钥AK分别长6字节,SQNHE指保存在网络侧的SQN,以区别于保存在终端的SQNMS;当需要对SQNHE进行加密时,HLR/AUC根据RAND和KI产生AK,使用AK对SQNHE作异或运算,从而加密SQNHE;当不需要对SQNHE进行加密时,AK=0;2)鉴权管理域AMF长2字节。3)消息鉴权编码MAC-A长8字节;MAC-A用于验证RAND、SQNHE、AMF的数据完整性,用于终端对HLR/AUC进行鉴权。HLR/AUC根据RAND、SQNHE、KI和AMF计算出AUTN中的消息鉴权编码MAC-A。这样,由RAND、AUTN、XRES、CK、IK等组成了鉴权五元组。
HLR/AUC可以是在接收到VLR/SGSN请求鉴权元组的请求时,将产生的鉴权五元组和对应的国际移动用户识别码IMSI发送给VLR/SGSN。鉴权时,网络侧的VLR/SGSN将接收自HLR/AUC的鉴权元组中的随机数RAND和鉴权标记AUTN传送给终端MS。
步骤302,终端MS接收到网络侧发送的相应鉴权参数即随机数RAND和鉴权标记AUTN并判断出对RAND和AUTN的一致性验证通过后,产生鉴权响应校验码ARESVC;终端根据ARESVC产生再同步标记AUTS,向网络发起再同步请求消息,并附上产生的AUTS。
具体地说,终端根据接收到的RAND与自身保存的第一鉴权密钥KI和接收到的AUTN中的SQNHE以及AMF,采用与HLR/AUC计算AUTN中MAC-A一致的算法计算出XMAC-A,然后进行一致性验证,即,比较自己计算得到的XMAC-A与接收到的AUTN中的MAC-A是否一致,例如是否相同,若不一致,则向VLR/SGSN返回鉴权失败信息;若一致则根据KI和RAND产生ARESVC。
本实施例中,终端根据KI和RAND产生ARESVC,具体地,可以为:终端先根据自己保存的第一鉴权密钥和接收的RAND产生鉴权响应ARES,而后根据ARES得到ARESVC。其中,可以将完整的ARES作为ARESVC,或者也可以将ARES的一部分作为ARESVC,例如是ARES中的某些位,简单地,可以是ARES的前几位或后几位。
再同步标记AUTS包括两部分内容,分别为:1)SQNMS ^AK,也即用AK加密了的SQNMS,其中序列号SQNMS与匿名密钥AK分别长6字节,SQNMS指保存在终端侧的SQN,以区别于保存在网络侧的SQNHE;当需要对SQNMS进行加密时,终端可以采用根据RAND和KI产生AK,使用AK对SQNMS作异或运算来实现为SQNMS加密;当不需要对SQNMS进行加密时,AK=0;2)同步消息鉴权编码MAC-S长8字节。
进一步地,在本实施例中,MAC-S包括两部分,一部分为ARESVC,另外一部分为同步校验码AVC。其中,ARESVC用于网络侧VLR/SGSN验证同步消息的合法性,本发明即利用该字段尽早发现非法再同步请求,以保护HLR/AUC免受非法同步攻击;AVC用于HLR/AUC验证同步消息的一致性,即防止AUTS中的SQNMS被窜改。ARESVC和AVC的长度可以变化,例如,ARESVC长2字节,AVC长6字节,或者ARESVC长6字节,AVC长2字节。本发明中,为了便于说明,取ARESVC长4字节,AVC长4字节。
本实施例中,终端根据自己的SQNMS、KI和接收到的RAND以及AMF等计算得到AVC,再根据ARESVC和AVC得到MAC-S,而后,进一步根据SQNMS、AK和MAC-S产生再同步标记AUTS。
上述产生AUTS过程的一种简单处理方式为:按照现有技术产生鉴权响应ARES的方式产生了鉴权响应ARES后,取ARES中的低4位作为ARESVC;按照现有技术产生同步消息鉴权编码MAC-S的方式产生了同步消息鉴权编码MAC-S后,取MAC-S中的低4位作为AVC;用ARESVC和AVC拼接成同步消息鉴权编码MAC-S,例如,用ARESVC填充MAC-S的高4位,用AVC填充MAC-S的低4位,或者以相反的顺序拼接。
终端产生再同步标记AUTS后,对网络侧VLR/SGSN返回再同步请求命令,同时附上产生的AUTS。
步骤303,网络侧VLR/SGSN接收到终端发送的再同步请求消息后,根据期望鉴权响应XRES判断再同步请求消息的合法性,如果判断出再同步请求命令合法,则执行步骤304,如果判断出再同步请求命令不合法,则执行步骤305。
具体地说,网络侧VLR/SGSN接收到再同步请求命令时,VLR/SGSN先判断所接收到的ARESVC与保存的对应鉴权元组中的XRES是否一致,如果不一致则认为再同步请求命令本身不合法,也即,该再同步请求命令可能是一个非法攻击者所发送的假同步请求;如果一致,则认为再同步请求合法,也即该再同步请求命令源自一个合法终端。
ARESVC和相应的XRES一致可以是ARESVC和该XRES相同,例如ARESVC是ARES本身的情况;也可以是ARESVC和该XRES中相应的某些位相同,例如ARESVC是ARES相应的某些位,或简单地是ARES的前几位或后几位,例如当ARESVC是ARES的低4位时,所述一致性判断可以是判断XRES的低4位是否和ARESVC相同。
步骤304,VLR/SGSN向HLR/AUC发送再同步请求消息,并附上对应鉴权元组中的RAND和接收自终端的AUTS,HLR/AUC执行后续的同步处理操作。
具体地说,VLR/SGSN向HLR/AUC发送再同步请求,通过该请求,VLR/SGSN将接收自终端的AUTS和对应鉴权元组中的RAND一并发送给HLR/AUC;HLR/AUC判断再同步请求消息的完整性或一致性,即,判断接收的AUTS的完整性,也即,对AUTS进行一致性验证,也即HLR/AUC先根据RAND、KI、SQMMS和AMF等采用与步骤302中终端计算AUTS中AVC一致的算法计算得出一个计算结果,再将自己计算得到的计算结果与接收到的AUTS中的AVC比较,若一致,判断出AUTS合法,即,通过对AUTS的完整性验证,也即通过对再同步请求消息的完整性验证,否则,判断出AUTS非法,即,对AUTS的完整性验证通不过,也即对再同步请求消息的完整性验证通不过。HLR/AUC对再同步请求消息的完整性验证通不过时,可以进一步向VLR/SGSN返回AUTS不完整的消息或者再同步请求消息被篡改。HLR/AUC通过对再同步请求消息的完整性验证时按正常同步流程处理,例如,根据SQNMS更新SQNHE,并作后续处理。
这里如果SQNMS是经过AK加密的,HLR/AUC还要根据KI和RAND计算出AK,用AK来解密出SQNMS。关于现有技术中正常同步流程处理可以参照3GPP规范,这里不再赘述。
步骤305,VLR/SGSN结束同步处理流程。
至此,本实施例中同步流程优化方法结束。在上述实施例中,步骤303即为本发明的终端产生再同步标记方法的具体实施方式。步骤304~305即为本发明的VLR/SGSN处理再同步请求方法的具体实施方式。
上述为本实施例提供的同步流程优化方法的具体实施方式,能够防止HLR/AUC免受非法同步的攻击。本实施例还提供了一种同步流程优化系统,可以用于实施图3所示的方法。图4即为本发明实施例一中同步流程优化系统的具体结构图。如图4所示,该系统400包括:终端410、VLR/SGSN 420和HLR/AUC 430。其中,终端410包括鉴权模块411、ARESVC生成模块412、AUTS生成模块413和发送模块414;VLR/SGSN 420包括合法性判定模块421、同步处理模块422、发送模块423和接收模块424;HLR/AUC包括一致性判定模块431、SQNHE更新模块432和发送模块433。
在该系统400中,终端410中的鉴权模块411,用于根据接收自VLR/SGSN的鉴权元组对网络进行鉴权,并在鉴权通过后,通知ARESVC生成模块412生成ARESVC。ARESVC生成模块412,用于根据自己保存的第一鉴权密钥和接收自网络侧的随机数生成ARESVC,并将生成的ARESVC发送给AUTS生成模块413。AUTS生成模块413,用于接收ARESVC生成模块412发送的ARESVC,生成同步校验码AVC,并根据ARESVC和AVC生成同步消息鉴权编码MAC-S,进而生成AUTS,将该AUTS发送给发送模块414。发送模块414,用于生成再同步请求消息,接收AUTS生成模块413发送的AUTS,将携带AUTS的再同步请求消息发送给VLR/SGSN 420中的合法性判定模块421。
在VLR/SGSN 420中,合法性判定模块421,用于接收终端410中发送模块413发送的携带AUTS的再同步请求消息,根据AUTS中的ARESVC判断再同步请求的合法性,并将判断结果发送给同步处理模块422。同步处理模块422,用于接收合法性判定模块421的判断结果,当该再同步请求合法时,通知发送模块423向HLR/AUC 430中的一致性判定模块431发送再同步请求消息;当该再同步请求非法时,结束本次同步处理流程。接收模块424,用于接收HLR/AUC 430中的发送模块433发送的新鉴权元组。
在HLR/AUC 430中,一致性判定模块431,用于接收VLR/SGSN 420中发送模块423发送的再同步请求消息,并对该再同步请求消息进行一致性验证,当通过该验证时,向SQNHE更新模块432发送接收到的SQNMS,通知SQNHE更新模块432进行SQNHE更新,还用于通知发送模块433向VLR/SGSN 420发送新的鉴权元组。SQNHE更新模块432,用于接收一致性判定模块431发送的SQNMS和更新SQNHE的通知,利用接收到的SQNMS对保存的SQNHE进行更新。发送模块433,用于接收一致性判定模块431发送的发送新鉴权元组的通知,向VLR/SGSN 420发送新的鉴权元组。
在本实施例中,VLR/SGSN发送给终端用于鉴权的鉴权元组包括RAND、XRES和AUTN,事实上,鉴权元组也可以进一步包括加密密钥CK和完整性密钥IK,并且可以根据RAND和自身保存的鉴权密钥KI分别计算出CK和IK。另外,终端产生AVC时,是根据RAND、KI、SQNMS和AMF计算产生。事实上,产生AVC时,还可以根据RAND、KI和SQNMS计算产生,不再根据AMF,对应地,网络侧验证AVC合法性时,也根据RAND、KI、SQNMS来验证,而不再根据AMF来进行。
本实施例中,终端对网络进行鉴权时,还可以包括如果对RAND和AUTN的一致性验证未能通过,则判断出对网络鉴权不通过,终端向网络返回鉴权失败信息。
通常情况下,在终端产生ARESVC并执行后续操作之前,还可以包括:终端判断AUTN中的SQNHE是否属于可接受范围的步骤,如果终端判断出AUTN中的SQNHE不属于可接受范围时,则执行产生ARESVC以及后续操作,否则,即终端判断出AUTN中的SQNHE属于可接受范围时,终端判断出对网络侧的鉴权通过,结束本同步流程。
终端判断出对网络侧的鉴权通过时,可以进一步根据SQNHE更新SQNMS,例如将SQNMS的值设置为与SQNHE相等,然后将产生的鉴权响应ARES发送给网络侧的VLR/SGSN,VLR/SGSN通过比较ARES和对应鉴权元组中的XRES是否一致,例如是否相同来判断对终端鉴权是否通过。详细的信息可以参照3GPP规范。
但是,在某些情况下,在终端通过手工设置了SQNMS的值,并认为设置的SQNMS极有可能和AUTN中的SQNHE不同步时,那么,在图3所示的步骤303之前,终端就不需要执行所谓的判断AUTN中的SQNHE是否属于可接受范围的步骤,而是直接就执行步骤303。
上述计算CK、IK、AK、ARES、XRES、ARESVC、MAC-A和AVC值的计算可以是已知的摘要计算、加密计算或解密计算,参见《应用密码学》一书,也可以采用3GPP规范建议的算法,当然,也可以是使用业界公知的一些算法来进行。
实施例二:
在本实施例中,终端进行对网络的鉴权时,进一步包括判断接收到的SQNHE是否可以接受,并在判断出AUTN中的SQNHE不属于可接受范围时,产生再同步标记并向网络侧发送再同步请求,另外还加入了更新SQNMS的步骤。
图5为本发明实施例二中同步流程优化方法的具体流程图。如图5所示,该方法包括:
步骤501,鉴权时,网络侧通过对终端发送鉴权请求,将产生的对应鉴权元组中的相应的鉴权参数发送给终端。
具体地说,HLR/AUC根据随机数发生器产生随机数RAND,根据RAND和第二鉴权密钥KI分别计算出期望向应XRES、加密密钥CK、完整性密钥IK。根据随机数RAND、序列号SQNHE、第二鉴权密钥KI和AMF计算产生出消息鉴权编码MAC-A,再根据MAC-A、SQNHE、匿名密钥AK及鉴权管理域AMF产生AUTN。这里,当需要对SQNHE进行加密时,HLR/AUC根据RAND和KI产生AK,使用AK对SQNHE作异或运算,从而加密SQNHE;当不需要对SQNHE进行加密时,AK=0;HLR/AUC用MAC-A、SQNHE和AMF连接组合成AUTN。这样,由RAND、AUTN、XRES、CK和IK等组成了鉴权五元组。
HLR/AUC可以是在接收到VLR/SGSN请求鉴权元组的请求时,将产生的鉴权五元组和对应的IMSI一起发送给VLR/SGSN。鉴权时,VLR/SGSN向终端发起鉴权请求,通过该鉴权请求消息将对应鉴权五元组中相应的鉴权参数RAND和AUTN发送给终端。
步骤502,终端接收到鉴权请求时,先对RAND和AUTN进行一致性验证。
具体地说,终端接收到来自网络侧VLR/SGSN发送的随机数RAND和鉴权标记AUTN时,根据接收到的RAND、自身保存的KI和接收到的AUTN中的SQNHE以及AMF采用与HLR/AUC计算AUTN中MAC-A一致的算法进行计算得到一个计算结果,然后终端将自己计算得到的计算结果与AUTN中的MAC-A进行比较,看二者是否一致,例如是否相同,若不一致,则认为对网络的鉴权未通过,执行步骤503;若一致,则执行步骤504。
步骤503,终端向网络返回“鉴权失败”的信息,然后结束本次流程。实际当中,终端将“鉴权失败”的信息发送给VLR/SGSN后,VLR/SGSN还可以根据该“鉴权失败”信息向HLR/AUC返回相应的失败报告。
步骤504,终端判断AUTN中的SQNHE是否在可接受范围内,如果是,则判断出对网络鉴权通过,并执行步骤505~508,否则,判断出同步失败,并执行步骤509及其后续步骤。
具体地说,终端通过比较自己保存的SQNMS和AUTN中的SQNHE是否满足预定的条件来判断AUTN中的SQNHE是否可以接受,该预定条件可以是SQNHE和SQNMS的差值在一个预定范围内,例如,是否(SQNHE-SQNMS)大于0,或者是否(SQNHE-SQNMS)大于0且小于65536。如果SQNHE和SQNMS的差值在所述预定范围内,则判断出SQNHE是可接受的;否则判断出SQNHE是不可接受的。
步骤505,终端根据KI和接收到的随机数RAND产生鉴权响应ARES,并向网络侧的VLR/SGSN发送鉴权响应ARES;然后执行步骤506。
步骤506,网络侧VLR/SGSN接收到终端的鉴权响应ARES后判断接收自终端的ARES是否与保存的对应鉴权元组中的期望响应XRES一致,例如是否相同,如果一致,则执行步骤507;否则,执行步骤508。
步骤507,网络侧VLR/SGSN判断出对终端鉴权通过,结束本次流程。在结束本次流程,还可以向终端返回鉴权成功信息。
步骤508,判断出对终端鉴权失败,结束本次流程。在结束本次流程,还可以向终端返回鉴权失败信息。
步骤509,终端根据KI和接收到的随机数RAND产生鉴权响应校验码ARESVC,并根据ARESVC和SQNMS产生再同步标记AUTS,向网络发送再同步请求消息,并附上AUTS。
终端根据自己的KI、SQNMS和接收到的RAND以及AMF等计算得到AVC,根据ARESVC和AVC得到MAC-S,再根据SQNMS、AK和MAC-S产生再同步标记AUTS,然后向网络侧发送再同步请求消息,并附上该AUTS。也即,向VLR/SGSN发送再同步请求消息,该再同步请求消息中包含了AUTS。终端可以是将ARESVC和AVC进行拼接来得到MAC-S。例如,用ARESVC填充MAC-S的高4位,用AVC填充MAC-S的低4位,反之依然。
本实施例中,为便于说明,终端产生ARESVC是:先根据KI和接收到的随机数RAND产生鉴权响应ARES,而后取ARES的低4位得到所述ARESVC。
步骤510,网络侧VLR/SGSN接收到再同步请求命令时,判断接收到的ARESVC是否与保存的对应鉴权元组中的XRES一致,也即ARESVC与所述XRES的后半部分是否相同。如果不相同,也即不一致,则执行步骤511;如果一致则执行步骤512。
终端判断ARESVC与所述XRES的低4位是否相同,相同,则说明ARESVC与所述XRES一致,否则,ARESVC与所述XRES不一致。
步骤511,网络侧的VLR/SGSN判断出再同步请求命令非法,即再同步请求本身不合法,即该再同步请求可能来自非法攻击者,然后,结束同步处理流程。
步骤512,网络侧VLR/SGSN向HLR/AUC发送再同步请求,请求中附上对应鉴权元组中的RAND和接收自终端的AUTS。
步骤513,HLR/AUC接收携带AUTS的再同步请求,通过验证AUTS的一致性来验证再同步请求消息的完整性,如果完整,则执行步骤514;否则,执行步骤515;
具体地说,网络侧的HLR/AUC根据接收自VLR/SGSN的RAND、保存的KI、接收到的AUTS中的SQNMS和AMF等采用与终端计算AUTS中的AVC一致的算法计算得到一个计算结果,然后通过比较自己计算得到的计算结果与接收到的AUTS中的AVC是否一致,例如是否相同,来判断AUTS合法性,若所述计算结果与AUTS中的AVC值比较一致,则认为AUTS合法,否则认为AUTS不合法。
步骤514,网络侧的HLR/AUC根据SQNMS更新SQNHE,并重新产生鉴权元组,将新产生的鉴权元组发送给VLR/SGSN,然后,结束本次流程。
步骤515,网络侧的HLR/AUC向VLR/SGSN发送再同步请求命令不合法信息,然后,结束本次同步处理流程。
至此,本实施例中的同步流程优化方法结束。在上述流程中,步骤509即为本发明的终端产生再同步标记的方法的具体实施方式。步骤510~512即为本发明的VLR/SGSN处理再同步请求方法的具体实施方式。步骤513~515即为本发明的HLR/AUC处理再同步请求方法的具体实施方式。
上述同步流程优化方法也可以在图4所示的系统结构中实施。在图4所示的系统中,终端410可以是用户识别卡(USIM)。
在上述两个实施例中,终端对于AUTN一致性验证,对于SQNHE是否属于可接受范围的判断,以及HLR/AUC产生鉴权元组时,对于SQNHE的更新;产生鉴权元组的算法,等等,可以参见3GPP相关协议,由于是公知技术,这里不再赘述。
由上述两个实施例可以看出,终端产生鉴权响应校验码,并将该鉴权响应校验码包含在发送给网络的再同步请求消息中,网络侧先根据鉴权响应验证再同步请求消息中鉴权响应校验码的合法性,如果不合法则可立即判断出再同步请求命令非法,并直接中止同步流程,只有在所述鉴权响应校验码合法时,网络侧才进一步根据保存的第二鉴权密钥来验证再同步标记的一致性。应用本发明,网络侧可以在接收到终端的再同步请求消息时,根据其中包含的鉴权响应校验码判断再同步请求消息的合法性,从而实现了尽早发现非法再同步请求的目的,在验证该再同步请求消息合法后,才进一步验证再同步标记的一致性。这样,由于尽早发现了非法再同步请求,直接中止同步流程,使非法同步消息屏蔽在HLR/AUC之外,使HLR/AUC免受假同步的攻击。
文中所有根据几个值产生或计算出某一个值的计算可以是摘要计算或加密计算或解密计算。参见《应用密码学》一书,也可以是使用业界公知的一些算法来进行。至于采用何种算法,根据具体应用和安全要求而定。
可以理解,以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (17)
1.一种同步流程优化方法,其特征在于,该方法包括:
终端产生再同步标记AUTS时,根据自己保存的第一鉴权密钥和接收自网络侧的随机数生成鉴权响应校验码ARESVC,根据该ARESVC生成同步消息鉴权编码MAC-S,产生AUTS后向VLR/SGSN发送携带AUTS的再同步请求消息;
拜访位置寄存器/服务通用分组无线业务支持节点VLR/SGSN在接收到所述再同步请求消息时,根据期望响应XRES判断再同步请求是否合法,若是合法,则向归属位置寄存器/鉴权中心HLR/AUC发送携带AUTS的再同步请求消息,否则结束本次同步处理流程。
2.根据权利要求1所述的方法,其特征在于,所述根据自己保存的第一鉴权密钥和接收自网络侧的随机数生成鉴权响应校验码ARESVC为,终端根据第一鉴权密钥和所述随机数生成鉴权响应ARES,再根据ARES得到ARESVC。
3.根据权利要求2所述的方法,其特征在于,
当所述根据ARES得到ARESVC为将ARES本身作为ARESVC时,所述根据期望响应XRES判断再同步请求是否合法为,判断XRES与鉴权响应校验码ARESVC是否相同,若是相同,则判定再同步请求合法,否则判定再同步请求非法;
当所述根据ARES得到ARESVC为,将ARES中部分比特位作为鉴权响应校验码时,所述根据期望响应XRES判断再同步请求是否合法为,按照根据ARES得到ARESVC的方式,将XRES中对应的部分比特位与ARESVC比较是否相同,若相同,则判定该再同步请求合法,否则,判定该再同步请求非法。
4.根据权利要求1所述的方法,其特征在于,所述终端根据该ARESVC生成同步消息鉴权编码MAC-S为,根据终端保存的第一鉴权密钥、序列号和所述随机数生成同步校验码AVC,将AVC与ARESVC拼接组成MAC-S。
5.根据权利要求1所述的方法,其特征在于,所述向HLR/AUC发送携带AUTS的再同步请求消息后,进一步包括:
HLR/AUC接收VLR/SGSN的再同步请求消息,根据HLR/AUC保存的第二鉴权密钥,对接收到的再同步请求消息进行一致性验证,若一致性验证通过,则将产生的鉴权元组发送给VLR/SGSN,和/或根据接收的再同步请求消息中的SQNMS更新自己设置的第二序列号SQNHE;否则,结束本次同步处理流程。
6.根据权利要求5所述的方法,其特征在于,所述根据第二鉴权密钥对所述再同步请求消息进行一致性验证为:
若终端根据保存的第一鉴权密钥、SQNMS和所述随机数生成同步校验码AVC,则HLR/AUC根据保存的第二鉴权密钥、接收到的随机数以及AUTS中的SQNMS采用和终端一致的算法得到一个计算结果,比较所述计算结果和接收的AUTS中的AVC是否相同,若相同,则判定一致性验证通过,否则,判定一致性验证不通过;
若终端根据保存的第一鉴权密钥、AMF、所述随机数和SQNMS生成同步校验码AVC,则HLR/AUC根据保存的第二鉴权密钥、接收到的AMF、随机数以及AUTS中的SQNMS采用和终端一致的算法得到一个计算结果,比较所述计算结果和接收的AUTS中的AVC是否相同,若相同,则判定一致性验证通过,否则,判定一致性验证不通过。
7.一种同步流程优化系统,其特征在于,该系统包括:终端、VLR/SGSN和HLR/AUC,其中,
所述终端,用于根据自己保存的第一鉴权密钥和接收自网络侧的随机数生成鉴权响应校验码ARESVC,根据该ARESVC生成同步消息鉴权编码MAC-S,产生AUTS,还用于向所述VLR/SGSN发送携带AUTS的再同步请求消息;
所述VLR/SGSN,用于接收所述终端发送的再同步请求消息,根据期望响应XRES判断再同步请求的合法性,在该请求合法时向所述HLR/AUC发送再同步请求消息,在该请求非法时结束本次同步处理流程;
所述HLR/AUC,用于接收所述VLR/SGSN发送的再同步请求消息,执行同步处理流程。
8.根据权利要求7所述的系统,其特征在于,所述终端包括ARESVC生成模块、AUTS生成模块和发送模块,其中,
所述ARESVC生成模块,用于根据自己保存的第一鉴权密钥和接收自网络侧的随机数生成ARESVC,并将生成的ARESVC发送给所述AUTS生成模块;
所述AUTS生成模块,用于接收所述ARESVC生成模块发送的ARESVC,生成同步校验码AVC,并根据ARESVC和AVC生成同步消息鉴权编码MAC-S,进而生成AUTS,将该AUTS发送给所述发送模块;
所述发送模块,用于生成再同步请求消息,接收所述AUTS生成模块发送的AUTS,将携带AUTS的再同步请求消息发送给所述VLR/SGSN。
9.根据权利要求7所述的系统,其特征在于,所述VLR/SGSN包括合法性判定模块、同步处理模块和发送模块,其中,
所述合法性判定模块,用于接收所述终端发送的携带AUTS的再同步请求消息,根据AUTS中的ARESVC判断再同步请求的合法性,并将判断结果发送给所述同步处理模块;
所述同步处理模块,用于接收所述合法性判定模块的判断结果,当该再同步请求合法时,通知所述发送模块向所述HLR/AUC发送再同步请求消息;当该再同步请求非法时,结束本次同步处理流程。
10.根据权利要求7到9中任意一项所述的系统,其特征在于,所述HLR/AUC包括一致性判定模块、SQNHE更新模块和发送模块,其中,
所述一致性判定模块,用于接收所述VLR/SGSN发送的再同步请求消息,并对该再同步请求消息进行一致性验证,当通过该验证时,向所述SQNHE更新模块发送接收到的SQNMS,通知SQNHE更新模块进行SQNHE更新,还用于通知HLR/AUC中的所述发送模块向所述VLR/SGSN发送新的鉴权元组;
所述SQNHE更新模块,用于接收所述一致性判定模块发送的SQNMS和更新SQNHE的通知,利用接收到的SQNMS对保存的SQNHE进行更新;
HLR/AUC中的所述发送模块,用于接收所述一致性判定模块发送的发送新鉴权元组的通知,向所述VLR/SGSN发送新的鉴权元组;
所述VLR/SGSN,进一步用于接收新的鉴权元组。
11.一种终端产生再同步标记的方法,其特征在于,该方法包括:
终端接收网络侧发送的随机数,根据自己保存的第一鉴权密钥和所述随机数生成鉴权响应校验码ARESVC,并根据ARESVC和生成的同步校验码AVC生成同步消息鉴权编码MAC-S,进而生成AUTS,将携带AUTS的再同步请求消息发送出去,供网络侧拜访位置寄存器/服务通用分组无线业务支持节点VLR/SGSN利用XRES判断所述再同步请求是否合法,并在判定非法时结束同步处理流程。
12.根据权利要求11所述的方法,其特征在于,所述根据自己保存的第一鉴权密钥和接收自网络侧的随机数生成鉴权响应校验码ARESVC为,终端根据第一鉴权密钥和所述随机数生成鉴权响应ARES,再根据ARES得到ARESVC。
13.根据权利要求12所述的方法,其特征在于,所述根据ARES得到ARESVC为:将ARES本身作为ARESVC,或者将ARES中部分比特位作为鉴权响应校验码。
14.一种VLR/SGSN处理再同步请求的方法,其特征在于,该方法包括,
VLR/SGSN接收终端发送的再同步请求消息,在所述再同步请求消息中包括所述终端产生的鉴权响应校验码ARESVC,所述VLR/SGSN根据期望响应XRES判断再同步请求是否合法,若是合法,则向归属位置寄存器/鉴权中心HLR/AUC发送再同步请求消息,否则结束本次同步处理流程。
15.根据权利要求14所述的方法,其特征在于,所述终端根据自己保存的第一鉴权密钥和接收自网络侧的随机数生成鉴权响应ARES,再根据ARES得到ARESVC;
所述根据期望响应XRES判断再同步请求是否合法为,按照终端根据ARES得到ARESVC的方式,VLR/SGSN根据XRES得到一个计算结果,比较该计算结果与鉴权响应校验码ARESVC是否相同,若相同,则判定该再同步请求合法,否则,判定该再同步请求非法。
16.一种HLR/AUC处理再同步请求的方法,其特征在于,该方法包括:
VLR/SGSN接收终端发送的再同步请求消息,在所述再同步请求消息中包括所述终端产生的鉴权响应校验码ARESVC,所述VLR/SGSN根据期望响应XRES判断再同步请求是否合法,若是合法,则向归属位置寄存器/鉴权中心HLR/AUC发送再同步请求消息,否则结束本次同步处理流程;
HLR/AUC接收VLR/SGSN发送携带AUTS的再同步请求消息,在所述AUTS中包括ARESVC和AVC;
HLR/AUC根据保存的第二鉴权密钥,对接收到的再同步请求消息进行一致性验证,若一致性验证通过,则将产生的鉴权元组发送给VLR/SGSN,和/或根据接收的再同步请求消息中的SQNMS更新自己设置的第二序列号SQNHE;否则,结束本次同步处理流程。
17.根据权利要求16所述的方法,其特征在于,所述根据第二鉴权密钥对所述再同步请求消息进行一致性验证为:
若终端根据保存的第一鉴权密钥、SQNMS和接收自系统中VLR/SGSN的随机数生成AVC,则HLR/AUC根据保存的第二鉴权密钥、接收到的随机数以及AUTS中的SQNMS采用和终端一致的算法得到一个计算结果,比较所述计算结果和接收的AUTS中的AVC是否相同,若相同,则判定一致性验证通过,否则,判定一致性验证不通过;
若终端根据保存的第一鉴权密钥、AMF、接收自系统中VLR/SGSN的随机数和SQNMS生成AVC,则HLR/AUC根据保存的第二鉴权密钥、接收到的AMF、随机数以及AUTS中的SQNMS采用和终端一致的算法得到一个计算结果,比较所述计算结果和接收的AUTS中的AVC是否相同,若相同,则判定一致性验证通过,否则,判定一致性验证不通过。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200610149807A CN1968096B (zh) | 2006-10-25 | 2006-10-25 | 一种同步流程优化方法和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200610149807A CN1968096B (zh) | 2006-10-25 | 2006-10-25 | 一种同步流程优化方法和系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN1968096A CN1968096A (zh) | 2007-05-23 |
CN1968096B true CN1968096B (zh) | 2010-05-19 |
Family
ID=38076668
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN200610149807A Active CN1968096B (zh) | 2006-10-25 | 2006-10-25 | 一种同步流程优化方法和系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN1968096B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102469459B (zh) * | 2010-11-05 | 2014-12-10 | 中国移动通信集团公司 | 一种中继节点的设备完整性检测方法、系统和装置 |
CN111865870B (zh) * | 2019-04-24 | 2022-01-11 | 华为技术有限公司 | 一种参数发送方法及装置 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1414259B1 (de) * | 2002-10-21 | 2004-12-29 | Swisscom Mobile AG | Verfahren zum Detektieren eines duplizierten Identifizierungsmoduls |
EP1414260B1 (de) * | 2002-10-21 | 2005-04-27 | Swisscom Mobile AG | Verfahren, System und Vorrichtungen zur Teilnehmerauthentifizierung in einem Telekommunikationsnetz |
CN1835623A (zh) * | 2005-08-08 | 2006-09-20 | 华为技术有限公司 | 一种受控的密钥更新方法 |
-
2006
- 2006-10-25 CN CN200610149807A patent/CN1968096B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1414259B1 (de) * | 2002-10-21 | 2004-12-29 | Swisscom Mobile AG | Verfahren zum Detektieren eines duplizierten Identifizierungsmoduls |
EP1414260B1 (de) * | 2002-10-21 | 2005-04-27 | Swisscom Mobile AG | Verfahren, System und Vorrichtungen zur Teilnehmerauthentifizierung in einem Telekommunikationsnetz |
CN1835623A (zh) * | 2005-08-08 | 2006-09-20 | 华为技术有限公司 | 一种受控的密钥更新方法 |
Non-Patent Citations (1)
Title |
---|
JP特开2005-204144A 2005.07.28 |
Also Published As
Publication number | Publication date |
---|---|
CN1968096A (zh) | 2007-05-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN100488280C (zh) | 一种鉴权方法及相应的信息传递方法 | |
CN101005359B (zh) | 一种实现终端设备间安全通信的方法及装置 | |
EP2296392A1 (en) | Authentication method, re-certification method and communication device | |
CN103533539A (zh) | 虚拟sim卡参数管理方法及装置 | |
CN101640887A (zh) | 鉴权方法、通信装置和通信系统 | |
CN104717063B (zh) | 移动终端的软件安全防护方法 | |
CN109565672B (zh) | 蜂窝远程通信网络的认证服务器和对应的uicc | |
CN1941695B (zh) | 初始接入网络过程的密钥生成和分发的方法及系统 | |
CN103974248A (zh) | 在能力开放系统中的终端安全性保护方法、装置及系统 | |
CN108848495A (zh) | 一种使用预置密钥的用户身份更新方法 | |
CN104219650A (zh) | 发送用户身份认证信息的方法及用户设备 | |
WO2011124051A1 (zh) | 终端鉴权方法及系统 | |
CN100461938C (zh) | 一种受控的密钥更新方法 | |
CN101160780B (zh) | 一种受控的密钥更新方法及装置 | |
CN102892102B (zh) | 一种在移动网络中实现机卡绑定的方法、系统和设备 | |
CN101160784B (zh) | 一种密钥更新协商方法及装置 | |
CN110719292B (zh) | 边缘计算设备与中心云平台的连接认证方法及系统 | |
CN1968096B (zh) | 一种同步流程优化方法和系统 | |
CN102111268B (zh) | 一种gsm网络双向认证的方法 | |
CN108243416A (zh) | 用户设备鉴权方法、移动管理实体及用户设备 | |
CN101022330A (zh) | 提高密钥管理授权消息安全性的方法和模块 | |
CN102905267B (zh) | Me标识鉴权、安全模式控制方法及装置 | |
CN105873059A (zh) | 配电通信无线专网的联合身份认证方法和系统 | |
CN106789076B (zh) | 服务器与智能设备的交互方法及装置 | |
CN205693897U (zh) | Lte电力无线专网的二次身份认证系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |