TWI356614B - Improved subscriber authentication for unlicensed - Google Patents

Description

1356614 九、發明說明： 【發明所屬之技術領域】 本發明係有關未授權行動存取網路之通訊，特別是行動 基地台及行動網路通訊期間使用者存取之鑑認。 【先前技術】 在未授權（unlicensed)行動存取架構中，一行動基地台 使用未授權無線電技術(如：無線區域網路(WLAN)或藍芽）透 過未授權行動存取網路通訊。於此作法中，未授權行動存取 .網路取代傳統全球行動通訊系統(GSM)中，全球行動通訊系統 基地台子系統(GSM BSS)之工作。行動基地台與未授權行動存 取網路間之介面使用網際網路協定，至少會使用部份未授權 無線電技術，及新的未授權無線電資源協定。 在典型的未授權行動存取佈署中，行動基地台與WLAN 存取點通訊，該存取點係與一寬頻網際網路連線。行動基地 台（mobile station)與未授權連結網路間之連線可能使用未信 賴網路，因此必須提供足夠的安全功能。 因此’在未授權行動存取架構中，在發送任何未授權無 ^ 線電資源信號或高詹訊息（如：行動管理）前，未授權行動存取 網路須先鑑認使用用戶’其可由行動站台傳送信號至未授權 行動存取網路。未授權行動存取網路可利用已存在鑑認方法 (如：密碼認證、SIM卡）於行動基地台鑑認用戶。行動基地台 與未授權行動存取網路間信號之交流係被加密及使用如IPSee 或傳輸層安全協定完整的保護。使用者平台信號之交流亦可 選擇性的使用IPsec或安全即時傳輸協定來保護。 用戶與未授權行動存取網路鑑認後，接著在未授權行動 6 存取架構中用戶向核心網路進行鑑認。為確保核心網路係與 it確用戶進行鑑認，核心網路傳送一盤問信號(RAND)至行動 基地台。行動基地台使用用戶認證模組（SIM)卡計算一回應 (SRES)及一加密金鑰(Kc)。行動基地台傳送回應至核心網路， 若回應正確，核心網路藉由傳送一”BSSMAP密碼方法命令” 訊息至未授權行動存取網路啟用加密^ BSSMAP密碼方法命 令訊息包括一連串可用之演算法及加密金鑰。不同於GSM之 作法’ BBS係由密碼方法命令訊息中選擇一合適之演算法， 且命令行動基地台由選定之演算法開始加密，在未授權行動 存取架構’行動基地台與未授權行動存取網路間之連線係已 加密’且該演算法包含於BSSMAP密碼方法命令訊息内，其 係不適合用於IPsec或用於行動基地台與未授權行動存取網路 間之TLS加密。因此，未授權行動存取網路並不使用BSSMAp 密碼方法命令訊息中之演算法及金鑰。不過，未授權行動存 取網路轉送密碼方法命令中一連串之演算法至行動基地台， 且行動基地台儲存參數及金鑰，其係為了稍後若執行交遞至 GSM網路可以使用。 使用於未授權行動存取架構之鑑認程序無法確保向未授 權行動存取網路避認之身份與向核心網路鑑之身份係為相同 身份〇此現象允許攔截式攻擊，例如，一擁有合法用^的攻 擊者可撥電話向其它用戶取得許可證。 圖1說明一擁有合法帳號之用戶如何執行摘戴式攻擊。 在步騨1010中，該用戶連線至未授權行動存取網路且未授 權行動存取網路鑑認此用戶並建立一安全通道。在步帮 中，於行動基地台與未授權行動存取網路間建立未授權無線 1356614 電資源信號。在步琢1030中，該用戶要求訊息服務，該服務 係包含國際行動用戶識別碼（IMSI)或臨時行動用戶識別碼 (TMSI)向核心網路認證用戶。然而，於此步驟中，該用戶執 行之摘截式攻擊包括其它未知用戶之IMSI或TMSI。在步驟 1040中，未授權行動存取網路轉送一要求訊息至核心網路， 且沒有檢查要求訊息之内容。在步驟1〇5〇中，對要求訊息回 應，核心網路傳送一鑑認要求至行動基地台。在步驟1〇6〇中， s用戶接收到要求訊息’該用戶並不使用用戶之SIM或USIM φ 計算回應提供鑑別，此用戶偽裝為GSM網路内之BSS ,並且 轉送鑑別要求至其它未知用戶。其它未知用戶使用其SIM卡 對鐘別要求計算回應，且傳送回應至偽裝為BSS之用戶。若 使用UMTS協定’其係由核心網路額外傳送，，autn”參數，且 由其它未用戶查證。然而，” AUTN”參數並無法防止攔截式攻 擊。在步驟1070中，依據由其它未知用戶接收之回應，該用 戶執行掘截式攻擊轉送其它用戶SIM之回應至未授權行動存 取網路*在步驟1080中’未授權行動存取網路轉送回應至核 心網路，且並無檢查回應之内容。在步驟1 〇9〇中，因其它未 φ知用戶係為一有效用戶’核心網路核對回應係為正確無誤， 且傳送BSSMAP密碼方法命令訊息至未授權行動存取網路。 由於未授權行動存取網路並不使用由核心網路提供於密碼方 法命令訊息中之演算法或金鍮，未授權行動存取網路僅是轉 送一連串可用之演算法至用戶。在步驟1100中，行動基地台 與未授權行動存取網路間之密碼方法係已完成。在步驟1010 中，未授權行動存取網路與核心網路間之BSSMAP密碼方法 命令係已完成。 8 1356614 密碼方法與其它用戶之訊息設定完成後，當建立一通話 連線時，該用戶係可執行一般行動管理及電話控制信號。導 致核心網路用其它用戶之IMSI或TMSI並達到要求其付款之 目的。 【發明内容】 符合本發明之觀念’在此提供未授權行動存取網路確保 當第一用戶由行動基地台至核心網路要求服務時，防止第一 用戶以第二用戶身份未授權的使用存取系統。該網路包括鑑 • 認構件，用於行動基地台傳送高層訊息至核心網路前，行動 基地台與未授權行動存取網路之鑑認。該網路亦包括連接構 件，用於行動基地台與核心網路之連線及行動基地與核心網 路間之信號轉送，以及檢查構件，其係用於確保高層 (higher-layer)訊息皆來自與未授權行動存取網路鐘認之行 動基地台，而該高層訊息係透過未授權行動存取網路由行動 基地台傳至核心網路。行動基地台與未授權行動存取網路鑑 認期間，未授權行動存取網路儲存有關行動基地台之鑑認構 件，打動基地台與核心網路鑑認後，未授權行動存取網路使 # 用檢查構件來檢測高層訊息，其中高層訊息係由行動基地台 傳送至核心網路，以及確保有關行動基地台之鑑認構件儲存 於高層訊息中。 符合本發明之其它觀念，在此提供未授權行動存取網路 碟保當第一用戶由行動基地台至核心網路要求服務時，防止 第一用戶以第二用戶身份未授權的使用存取系統。該網路包 括鑑認構件，用於行動基地台傳送高層訊息至核心網路前， 打動基地台與未授權行動存取網路之鑑認。該網路亦包括連 9 接構件，用於行動基地台與核心網路之連線及行動基地與核 心網路間之信號轉送。行動基地台與核心網路鑑認期間，未 授權行動存取網路包括由核心網至行動基地台，置於命令訊 息中之鑑認資訊及對命令訊息之回應。行動基地台包括一密 碼，其係使用鎧認資訊及金錄所加密，而該金錄係於行動基 台中所計算。 符合本發明之其它觀念，在此提供未授權行動存取網路 確保當第一用戶由行動基地台至核心網路要求服務時，防止 第一用戶以第二用戶身份未授權的使用存取系統。該網路包 括鑑認構件，用於行動基地台傳送高層訊息至核心網路前， 行動基地台與未授權行動存取網路之鑑認，其中該行動基地 台包括用戶身份模組，該模組係包含一識別構件用於識別行 動基地台及金鑰。該網路亦包括連接構件，用於行動基地台 與核心網路之連線，及轉送構件，用於行動基地與核心網路 間之信號轉送。行動基地台與核心網路鑑認期間，行動基地 台傳送一金鑰至IPsec或TLS層至未授權行動存取網路，因此 確保未來所有由行動基地台傳送之訊息皆被金鑰或由金鑰所 衍生之金鑰群所保護。 本發明之其它觀念，在此提供行動基地台與未授權行動 存取網路通訊時，確保當第一用戶由行動基地台至核心網路 要求服務時，防止第一用戶以第二用戶身份未授權的使用存 取系統。該行動基地台包括鑑認構件，用於行動基地台傳送 高層訊息至核心網路前，行動基地台與未授權行動存取網路 之鑑認。該行動基地台亦包括用戶身份模組，該模組係包含 一識別構件用於識別行動基地台及金鑰。該行動基地台另外 10 1356614 〇括’接構件’用於行動基地台與核心網路之連線及行動基 地與核網路間之信號轉送。行動暴地台與核心網路鑑認期 間’打動基地*傳送—麵至IPsee或TLS層至未授權行動存 取·網因此確保未來所有由行動基地台傳送之訊息皆被金 錄或由金_魅之金料㈣護。 本發明之其它觀念，在此提供一種系統確保當第—用戶 由行動$地合至核心網路要求服務時，防止第一用戶以第二 用戶身份未授權的使用存取系統。該系統包括鑑認構件，用 • 於由行動基地台傳送高層訊息前，行動基地台與未授權行動 存取網路之鑑認及之後行動基地台與核心網路之鑑認。該系 統亦包括一具有用戶身份模組之行動基地台，該模組係包含 一識別構件用於識別行動基地台。該系統另外包括未授權行 動存取網路，用於行動基地台與核心網路之連線及行動基地 與核心網路間之信號轉送。該未授權行動存取網路包括檢查 構件，其係用於確保高層訊息皆來自與未授權行動存取網路 鑑認之行動基地台，而該高層訊息係透過未授權行動存取網 路傳至核心網路。該系統亦包括核心網路，用於實行轉換控 Φ 制及使用者服務。行動基地台與未授權行動存取網路鑑認期 間，未授權行動存取網路儲存有關行動基地台之鐘認構件， 行動基地台與核心網路鑑認後，未授權行動存取網路使用檢 查構件來檢測咼層訊息，其中高層訊息係由行動基地台傳送 至核心網路，以及確保有關行動基地台之鑑認構件儲存於高 層訊息中。 符合本發明之其它觀念，在此提供一種系統確保當第一 用戶由行動基地台至核心網路要求服務時，防止第一 11 1356614 第二用戶身份未授權的使用存取系統。該系統包括鑑認構 件，用於由行動基地台傳送高層訊息前，行動基地台與未授 權行動存取網路之鑑認及之後行動基地台與核心網路之鑑 認。該系統亦包括一具有用戶身份模組之行動基地台，該模 組係包含一識別構件用於識別行動基地台及金鑰。該系統亦 包括未授權行動存取網路，用於行動基地台與核心網路之連 線及行動基地與核心網路間之信號轉送，其係用於實行轉換 控制及使用者服務。行動基地台與核心網路鑑認期間，未授 φ 權行動存取網路包括由核心網至行動基地台，置於命令訊息 中之鑑認資訊及對命令訊息之回應》行動基地台包括一密 碼，其係使用鑑認資訊及金鑰所加密。 符合本發明之其它觀念，在此提供一種系統確保當第一 用戶由行動基地台至核心網路要求服務時，防止第一用戶以 第二用戶身份未授權的使用存取系統。該系統包括鑑認構 件，用於由行動基地台傳送高層訊息前，行動基地台與未授 權行動存取網路之鑑認及之後行動基地台與核心網路之鑑 認。該系統亦包括一具有用戶身份模組之行動基地台，該模 • 組係包含一識別構件用於識別行動基地台及金鑰。該系統亦 包括未授權行動存取網路，用於行動基地台與核心網路之連 線及行動基地與核心網路間之信號轉送，其係用於實行轉換 控制及使用者服務。行動基地台與核心網路鑑認期間，行動 基地台傳送一金鑰至IPsec或TLS層至未授權行動存取網路， 因此確保未來所有由行動基地台傳送之訊息皆被金鑰或由金 鑰所衍生之金鑰群所保護。 本發明之其它觀念，在此提供一種方法於未授權行動存 12 取網路中，確保當第一用戶由行動基地台至核心網路要求服 務時，防止第一用戶以第二用戶身份未授權的使用存取系 統。本方法包括鑑認之步驟，於未授權行動存取網路中，行 動基地台傳送高層訊息至核心網路前鑑認行動基地台，以及 轉送，於未授權行動存取網路中，由行動基地台轉送一服務 要求至核心網路，其中服務要求已包括用於行動基地台之 IMSI。該方法亦包括傳送之步驟，於未授權行動存取網路中， 由核心網路傳送一鑑認要求至行動基地台；以及轉送，於未 授權行動存取網路中，轉送對鑑認要求之鑑認回應；以及檢 測，由未授權行動存取網路，檢測由行動基地台至核心網路 之高層訊息，以確保有關行動基地台之鑑認構件儲存於高層 訊息中。 本發明之其它觀念，在此提供一種方法於未授權行動存 取網路中，確保當第一用戶由行動基地台至核心網路要求服 務時，防止第一用戶以第二用戶身份未授權的使用存取系 統。本方法包括鑑認之步驟，於未授權行動存取網路中，行 動基地台傳送高層訊息至核心網路前鑑認行動基地台，以及 轉送，於未授權行動存取網路中，由行動基地台轉送一服務 要求至核心網路，其中服務要求已包括用於行動基地台之 IMSI。該方法亦包括傳送之步驟，於未授權行動存取網路中， 由核心網路傳送一鑑認要求至行動基地台；以及轉送，於未 授權行動存取網路中，轉送對鏗認要求之鑑認回應，其中行 動基地台對鑑認要求做出之回應係建立一金鑰。本方法另外 包括轉送之步驟，於未授權行動存取網路中，由核心網路建 立一密碼方法命令訊息轉送至行動基地台；其係包括，於未 13 1356614 授權行動存取網路中，由核心網路至行動基地台之密碼方法 命令訊息中之鑑認資訊及轉送修改後之密碼方法命令訊息至 行動基地台；以及接收，藉由未授權行動存取網路，由行動 基地台接收一密碼，該密碼係使用鑑認資訊及金鑰所加密。 符合本發明之其它觀念，在此提供一種方法確保當第一 用戶由行動基地台至核心網路要求服務時，防止第一用戶以 第二用戶身份未授權的使用存取系統。本方法包括由行動基 地傳送高層訊息前，鑑認行動基地台至未授權行動存取網路 | 之步驟；藉由行動基地台，由核心網路要求服務，且服務要 求係已包括用於行動基地台之IMSI ;以及轉送，藉由未授權 行動存取網路，轉送要求訊息至核心網路，且並無藉由未授 權行動存取網路檢查訊息。本方法亦包括透過未授權行動存 取網路，由核心網路傳送一鑑認要求至行動基地台之步驟； 藉由行動基地台建立鑑認回應，該回應為對鑑認要求之回 應，以及透過未授權行動存取網路轉送鑑認回應至核心網 路。本方法亦包括藉由核心網路認證鑑認回應，及傳送密碼 方法命令訊息至之未授權行動存取網路之步驟。本方法亦包 • 括藉由未授權行動存取網路，轉送密碼方法命令訊息中一連 串可用演算法至行動基地台之步驟；以及檢測，由未授權行 動存取網路，檢測由行動基地台至核心網路之高層訊息，以 確保有關行動基地台之鑑認構件儲存於高層訊息中。 符合本發明之其它觀念，在此提供一種方法確保當第一 用戶由行動基地台至核心網路要求服務時，防止第一用戶以 第二用戶身份未授權的使用存取系統。本方法包括由行動基 地傳送高層訊息前，鑑認行動基地台至未授權行動存取網路 14 1356614 之步驟；藉由行動基地台，由核心網路要求服務，且服務要 求係已包括用於行動基地台之IMSI ;以及轉送，藉由未授權 行動存取網路，轉送要求訊息至核心網路，且並無藉由未授 權行動存取網路檢查訊息。本方法亦包括透過未授權行動存 取網路，由核心網路傳送一鑑認要.求至行動基地台之步驟； 藉由行動基地台建立鑑認回應，該回應為對鑑認要求之回 應，以及透過未授權行動存取網路轉送鑑認回應至核心網 路；以及藉由核心網路認證鑑認回應，及傳送密碼方法命令 B 訊息至之未授權行動存取網路。本方法亦包括以下之步驟， 密碼方法命令訊息中所包括之鑑認訊息，藉由未授權行動存 取網路，由核心網路轉送密碼方法命令訊息至行動基地台； 並對命令訊息做出回應，包括，利用鑑認訊息及金鑰加密之 密碼及轉送回應至未授權行動存取網路。 本發明之其它觀念，在此提供一種方法確保當第一用戶 由行動基地台至核心網路要求服務時，防止第一用戶以第二 用戶身份未授權的使用存取系統。本方法包括由行動基地傳 送高層訊息前，鑑認行動基地台至未授權行動存取網路之步 # 驟；藉由行動基地台，由核心網路要求服務，且服務要求係 已包括用於行動基地台之IMSI ;以及轉送，藉由未授權行動 存取網路，轉送要求訊息至核心網路，且並無藉由未授權行

I 動存取網路檢查訊息。本方法亦包括透過未授權行動存取網 路，由核心網路傳送一鑑認要求至行動基地台之步驟；藉由 行動基地台建立鑑認回應，該回應為對鑑認要求之回應，以 及透過未授權行動存取網路轉送鑑認回應至核心網路；以及 藉由核心網路認證鏗認回應，及傳送密碼方法命令訊息至之 15 1356614 未授權行動存取網路；藉由未授權行動存取網路，轉送密瑪 方法命令訊‘I至行動基地台；藉由行動基地台，傳送一金繪 、或TLS層，用以確保未來所有由行動基地台傳送之訊 w奢被金鑰或由金鑰所衍生之金鑰群所保護。 本發月之其匕觀念，在此提供一種方法確保+第_ 用戶由行動基地台至核心網路要求服務時，二二以 第-用:身份未授權的使用存取系統。本方法包括由行動基 地傳送R7層訊息剛，鑑認行動基地台至未授權行動存取網路 之步辑’藉由㈣基地台，由核心網路要求服務，且服務要 求係已包括用於行動基地台之麵。本方法亦包括如下之步 一藉，、行動基地台建立鑑認回應，該回應係為核心網路對 鑑認要求之簡、，錢•未授權行動存取網路轉送鑑認回 ^至核心網路及傳送—金錄至㈣。或TLS層，藉由行動基地 〇，用以確保未來所有由行動基地台傳送之訊息皆被金鑰或 由金鑰所衍生之金鑰群所保護。 【實施方式】 本發明之實施例將詳細的提出說明，該實施例皆附帶著 泰圖式之說明。如下所述，本發明提供發明方法之功能係用於 行動基地台與未授權行動存取網路及核心網路之鑑認。 本發明係有關行動基地台在未授權行動存取架構系統中 之鑑認，用以防止攔截式攻擊。藉由通過某種GSM/GpRS協 定，未授權行動存取工作延伸全球行動通訊系統/整合封包無 電服務技術(GSM/GPRS)行動服務，其係透過寬頻網際網路協 定（IP)由核心網路延伸至用戶終端，且透過未授權行動存取網 路將其轉送至用戶終端内部。未授權行動存取係設計用於補 16 足傳統GSM/GPRS無線電覆叢p· & 蓋卩沾^ 电復盍&域，及用於增強用戶終端覆 ^域’增加網路容量及儘可能的降仁成本。未授權行動^ 取網路在未授權行動存取工作中 存 線雷;^ _ u + 相於與GSM/GPRS無 動I .，、子’且透過相同之介界使GSM核心、網路與行 連繫’其顧縣的gsm基地台子系統(咖 故 目此’未授權行動存取網路對GSM/GPRS核心網 t^GSMBSS —般本身被管理及操作。值得注意的是未 ^行動存取驗用UMTS協定，㈣㈣協I在本案例 中，未授權行動存取網路表示—無線電存取網路至核 心網路。 圖2說明依本發明實行之系統細執行未授權行動存取 之組件。系、统2〇〇包括三個主要組件：行動基地台2〇2、 未授權行動存取纟㈣2G4及如網路2()6。如設計巾所顯示之 技此’行動基地台202可包括電話 '膝上型輕便電腦、pDA ，任何可在未授權行動存取工作中被用戶使用之其它設備。 仃動基地台202係出現用戶終端設備2〇1中，且行動基地台 2〇2係包括行動終端機2〇8及用戶身份模組(sim)2i…未授權 行動存取網路204提供等同於GSM/GpRS基地控制者之功 能，未授權行動存取網路204連接行動基地台202至核心網路 206 ’並透過標準GSM a介面與行動基台2〇2通訊，其係用 於繞送及交換語音服務，而標準GPRS Gb介面係用於封包資 料服務。核心網路206提供轉換控制及用戶服務之構造組件。 寬頻IP網路205提供用戶終端設備2〇1與未授權行動存取網 路204之連接’且存取點2〇3提供未授權無線電連結至行動基 地台202 ° 一1P傳輸網路透過用戶終端設備201内之存取點 203 ’由未授權行動存取網路204延伸至行動基地台202，如 17 1356614 此成為單一介面Ut，其係定義為未授權行動存取網路2〇4及 行動基地台202間之介面。 特別地，於行動基地台202中’ SIM2l〇係為一智慧卡， 其係用於提供個人行動化，如此當SIM 210插入任何終端機 中使用者依然可以存取用戶服務。因此，當sim 210插入 一終端機時，使用者可於終端機接聽電話，由該終端機撥打 電話及接收其它用戶服務。行動通訊國際識別碼（ΙΜΕΙ)鑑別行 動基地台202及SIM 210包括國際行動用戶識別碼（IMSI)間其 _ 匕之 > 訊，其係用於識別系統用戶及鑑認私密金瑜Κ。β imei 及IMSI獨立分開，因此允許個人行動化。在此設計中如同 各位所知之方法，SIM210用於保護對抗未授權之使用係採用 密碼或個人識別碼。 在未授權行動存取架構中，行動基地台202提供兩種模 式，例如已授權及未授權，無線電及容量用於兩者間交換。 存取模式提供GSM模式及未授權行動存取模式間之交換。因 此’行動基地台202支援IP介面至存取點203啟用一由未授 權行動存取網路204延伸至行動基地台202之IP網路。存取 鲁點203係不提供任何未授權行動存取特定閘道器功能。因此， 任何標準存取點可透過寬頻IP網路205由行動基地台202連 接至未授權行動存取網路204。存取點203提供未授權無線電 連接行動基地台202，且其係透過寬頻IP網路連接至未授權 行動存取網路204。 如上所述，未授權行動存取網路204提供等同於 GSM/GPRS基地控制者之功能。其係經由IP傳輸網路連接至 用戶終端設備201，並透過存取點203至行動基地台202。未 18 授權行動存取網路204保持與行動基地台2〇2端對端之通 訊，並且轉送GSM/GPRS信號至核心網路2〇6。特別地’當 核心網路206内之行動交換機並無使用某種功能時，其用戶 終端201對映語音由至PCM語音。

核心網路206包括行動交換機（MSC)212、本地位置記錄 器（HLR)214、訪客位置記錄器（vlr)210、設備識別記錄器 (EIR)218及鑑認中心220。MSC 212扮演類似PSTN或ISDN 標準交換知點’且提供所有處理行動用戶之功能，例如註冊、 鑑認、位置更新、交遞及語音路由至漫遊用戶。MSC 212亦 提供連線至固定網路，例如PSTN或ISDN。HRL 212與MSC 212及VLR 216 —同運作用於提供語音路由及GSM.之漫遊能 力。HLR 214包括每一用戶之所有管理之資訊，其中該用戶係 註冊於相對應GSM網路，及目前行動基地台202之位置。VLR 216包括由HLR 214選擇之管理資訊，該資訊係為語音控制及 提供每一行動基地台用戶服務必要之資訊，其中該用戶係在 目前之地理區域中被VLR 216所控制。EIR 218為一資料庫， 其係包括一連串網路上所有合法行動裝備，其中每一行動基 地台係由其IMEI所識別。鑑認中心220係一受保護之資料庫 用於儲存私密金鑰之複本，該金鑰係儲存於每一甩戶之SIM 210卡中，其中私密金鑰係透過無線電通道用於鑑認及加密。 未授權行動存取網路204及行動基地台202間之Ut介面 係透過IP傳輸網路運作，且由公眾陸地行動網路(PLMN)核心 網路206轉送GSM/GPRS信號至行動基地台202。Ut介面啟 用GSM行動管理協定及上述核心網路2〇6之協定用於承載行 動基地台202及MSC 212間之信號。由此行動基地台202可 19 1356614 獲得所有GSM之服務，猶如其係位於qsm BSS中。未授權 行動存取架構中，未授權行動存取無線電資源(UMA RR)協定 取代傳統之GSM-RR協定，其係由於未授權無線電連結呈現 與授權無線電連結不同之功能。傳輸及多路傳輸之未授權行 動存取傳輸協定被定義用於承載UMA_RR訊息，其係透過行 動基地台202及未授權行動存取網路204間之安全通道來傳 輸。未授權行動存取安全通道係透過ιρ使用SSL/TCP所建 立，且建立此一安全通道係極為重要的。未授權行動存取安 全通道用於管理與標準存取點2〇3之未授權無線電連結亦十 分重要。未授權行動存取架構中，標準ιρ技術使用於行動基 地台202來存取未授權無線電連結。 由行動基地台接收任何未授權無線電資源信號或高層訊 息之前’未授權行動存取網路204須於行動基地台202上，利 用現有之鑑認方法，如密碼、憑證或SIM卡進行鑑認。行動 基地台202及未授權連結網路2〇4間之信號交流皆為加密且 完整的利用如：IPsec或傳輸層安全協定保護。用戶與未授權 連結網路204鑑認後’然後用戶可與核心網路206進行鑑認。 圖3說明本發明防止被合法用戶使用攔截式攻擊之實施 例實行步驟。在步驟3010中，用戶連接至未授權連結網路 204 ’且未授權連結網路2〇4鑑認該用戶龙建立一安全通道。 在步驟3020中，未授權連結網路204與行動基地台202間建 立未授權無線電資源信號。在步驟3030中，用戶由核心網路 206利用訊息要求服務，該服務包括國際行動用戶識別碼 (IMSI)或臨時行動用戶識別碼(TMSI)向核心網路認證用戶。在 步驟3040中，未授權行動存取網路2〇4轉送一要求訊息至核 20 1356614 心網路，且沒有檢查要求訊息之内容。在步驟3050中，對要 求訊息回應，核心網路2〇6傳送一鑑認要求至行動基地台 202。在步雜3060中’用戶使用行動基地台202内之SIM 210 建立一回應訊息。在步驟3070中’行動基地台202傳送回應 訊息至未授權行動存取網路204，且未授權行動存取網路204 轉送回應訊息至核心網路206，且沒有檢查要求訊息之内容。 在步驟3080中，核心網路核對回應並且傳送BSSmap密碼方 法命令訊息至未授權行動存取網路204。由於未授權行動存取 網路204並不使用由核心網路206提供於密碼方法命令訊息 •中之决算法或金鍮，未授權行動存取網路204僅是轉送一連 串可用之演算法至用戶。在步驟3〇9〇中，密碼方法設定完成 後’未授權行動存取網路204檢查由行動基地台202傳送至核 心網路206之行動管理訊息，行動管理訊息包括cM服務要 求、CM重建要求、身份回應、IMSI分派指示、位置更新要 求及附加要求訊息。在步驟震中，未授權行動存取網路2〇4 由先前之鑑認步驟對映行動基地台202之身份，其中先前之 f驟係為行動基地台2G2與未授權行動存取網路2()4間利用 ❿T動基地台之IMSI傳送行動管理訊息。若imsi於行動基地 台2〇2與未授權行動存取網路間之鑑認步驟期間尚未被 使用，未授權行動存取網路2〇4可由HLR取得用戶數據資料， 且由HLR獲得IMSI。在步驟3〇1〇中，若行動管理訊息包括 行動身份攔位’且若行動身份欄位並不包括行動基地台202 之IMSI ’其係為先前與未授權行動存取網路綱鑑認，未授 權行動存取網路204為行動基地台2〇2由鑑認過程中複製 IMSI至行動身份攔仅。由此確保某—用戶無法使用第二未知

I 21 1356614 用戶洵層訊息中之IMSI或TMSI，該高層訊息係由行動基地 台202傳送至核心網路204。 圖4說明在未授權行動存取工作中，防止攔截式攻擊之 另一實施例實行步驟。在步驟4〇1〇中，用戶連接至未授權連 結網路204,且未授權連結網路2〇4鑑認該用戶並建立一安全 通道。在步驟4020中，未授權連結網路2〇4與行動基地台2〇2 建立未授權無線電資源信號。在步驟4〇3〇中，用戶由核心網 路206利用訊息要求服務，該服務包括國際行動用戶識別碼 • (IMSI)或臨時行動用戶識別碼(TMSI)向核心網路認證用戶。在 步驟4040中，未授權行動存取網路2〇4轉送一要求訊息至核 心網路，且沒有檢查要求訊息之内容。在步驟4〇5〇中，針對 要求訊息回應，核心網路206傳送一盤問信號至行動基地A 在步驟侧中，行動基地台202計算一加密金錄及H 210建立回應訊息。在步驟4070中，行動基地台2〇2傳送回 應訊息至未授權行動存取網路2〇4 ^在步驟4080中，未授^ 行動存取網路204轉送回應訊息至核心網路2〇6，且沒有檢杳 要求訊息之内容。在步驟4090中，核心網路核對回應並且 鲁送BSSMAP密碼方法命令訊息至未授權行動存取網路2〇4。 在步驟4100中，未授權行動存取網路2〇4於傳送密碣方法 令訊息至用戶前，在密碼方法命令訊息中包括隨機選取之^ 問及可能之附加資訊。在步驟4110中，對步驟41〇〇中由未俨 權行動存取網路204傳來之盤問回應，行動基地台2〇2包括j 钒息鑑認碼(MAC)，其係利用來自未授權行動存取網路2二 之盤問加密金鑰及可能之附加訊息所計算。由於加密金鑰 不透過無線電連結傳送，且每一用戶必須知道加密金鑰，該 22 1356614 金錄係與核心網路206之盤問有關，本實施例係得以防止攔 截式攻擊。在替代實施例中，在步驟1〇4〇中，MAC可括行動 基地台之身份，例如有關行動基地台之IMSI及行動基地台 202及未授權行動存取網路204間之鑑認得知之未授權行動存 取網路204之身份。在另一替代實施例中，MAc可包括有關 行動基地台202及未授權行動存取網路204間建立之安全通 道(IPsec或TLS)之訊息。 圖5說明在未授權行動存取工作中，防止攔截式攻擊之 φ 另一實施例實行步驟9在步驟5010中，用戶連接至未授權連 結網路204 ’且未授權連結網路204鑑認該用戶並建立一安全 通道。在步驟5020中，行動基地台202與未授權連結網路2〇4 間建立未授權無線電資源信號。在步驟5〇3〇中，用戶由核心 網路206利用訊息要求服務，該服務包括國際行動用戶識別 碼（IMSI)或臨時行動用戶識別碼（TMSI)向核心網路認證用 戶。在步驟5040中，未授權行動存取網路2〇4轉送一要求訊 息至核心網路，且沒有檢查要求訊息之内容。在步驟5〇5〇中， 對要求訊息回應，核心網路206傳送一鑑認要求至行動基地 •台2〇2。在步驟5060中，用戶使用行動基地台202内之SIM 210 建立一回應訊息及一 Kc金鑰。在步驟5〇7〇中，行動基地台 2〇2傳送回應訊息至未授權行動存取網路2⑽。在步驟 中、’未授權行動存取網路204轉送回應訊息至核心網路2〇6， 且沒有檢查要求訊息之内容。在步驟5〇9〇中，核心網路核對 回應並且傳送BSSMAp密碼方法命令訊息至未授權行動存取 網路204。在步驟51〇〇中，未授權行動存取網路傳送密 碼方法命令訊息至用戶。在步驟川〇中，行動基地台202傳 23 1356614 送金鑰Kc至IPsec或TLS層。藉由傳送金鑰至IPsec或TLS 層，本實施例可確保未來所有訊息皆可利用Kc或由金鑰Kc 所衍生之金鑰所保護，且可防止攔截式攻擊，因為用戶無法 藉由偽裝為BBS獲得其它用戶之金鑰。 雖然本發明以前述之較佳實施例揭露如上，然其並非用 以限定本發明，任何熟悉相關技術者，在不脫離本發明之精 神和範圍内，當可作些許之更動與變更，因此本發明之專利 保護範圍需視本說明書所附之申請範圍所界定者為準。

24 1356614 【圖式簡單說明】 圖1說明一擁有合法帳號之用戶如何執行攔截式攻擊； 圖2說明依本發明實行之系統200執行未授權行動存取 架構之組件； 圖3說明本發明防止被合法用戶使用攔截式攻擊之實施 例實行步驟； 圖4說明在未授權行動存取工作中，防止攔截式攻擊之 另一實施例實行步驟； 圖5說明在未授權行動存取工作中，防止攔截式攻擊之 另一實施例實行步驟； 【主要元件符號說明】 201 用戶終端 202 行動基地台 203 存取點 204 未授權行動存取網路 205 寬頻IP網路 206 核心網路 208 終端機 210 使用者認證模組 212 行動交換機 214 本地位置記錄器 216 訪客位置記錄器 218 設備識別記錄器 220 鑑認中心 25

Claims (1)

1356614 十、申請專利範圍： 1.一種用於綠保當第一用戶由行動基地台至核心網路要 求服務時，防止第一用戶以第二用戶身份未授權的使用存取 系統之未授權行動存取網路，該網路包括： 鑑認構件用於行動基地台傳送高層訊息至核心網路前， 行動基地台與未授權行動存取網路之鑑認；以及 連接構件用於行動基地台與核心網路之連線及行動基地 與核心網路間之信號轉送； 檢查構件用於確保高層訊息皆來自與未授權行動存取網 路鑑認之行動基地台，而該高層訊息係透過未授權行動存取 網路由行動基地台傳至核心網路； 其中行動基地台與未授權行動存取網路鑑認期間，未授 權行動存取網路儲存有關行動基地台之鑑認構件，行動基地 台與核心網路鑑認後，未授權行動存取網路使用檢查構件來 檢測高層訊息’其中高層訊息係由行動基地台傳送至核心網 路，以及確保有關行動基地台之鑑認構件儲存於高層訊息中。 、2.—種用於確保當第一用戶由行動基地台至核心網路要 求服務時1¾止第—用戶以第二用戶身份未授權的使用存取 系統之未授權行動存取網路，該網路包括： 鑑認構件用於行動基地台傳送高層訊息至核心網路前， 行動基地台與未授權行動存取網路之鑑認； 連接構件用於行動基地台與核心網路之連線及行動 與核心網路間之信號轉送；以及 其中行動基地台與核心網路鑑認期間，未授權行動存取 26 1356614 網路c括由核^網至行動基地台，置於命令訊息_之鐘認資 訊及對命令訊息之回應，行動基地台包括n其係使用 鑑認資訊及金辑加密，⑽金_於行動基Μ所計算。 3.種用於4保虽第—用戶由行動基地台至核心網路要 求服務時:防止第1戶以第二用戶身份未授㈣使用存取 系統之未授權行動存取網路，該網路包括·· 鑑認構件用於行動基地台傳送高層訊息至核 心網路前， #行動基地台與未授權行動存取網路之鐘認，其中該行動基地 «包括用戶身&模組’該模組係包含—識別構件用於識別行 動基地台及金錄； 連接構件用於行動基地台與核心網路之連線；以及 轉送構件用於行動基地與核心網路間之信號轉送； 其令行動基地台與核心網路鑑認期間，行動基地台傳送 金鑰至IPsec或TLS層至未授權行動存取網路，因此確保未 來所有由行動基地台傳送之訊息皆被錄或由金賴衍生之 金鑰群所保護。 4.一種與未授權行動存取網路通訊時，用於確保當第一用 戶由行動基地台至核心網路要求服務時，防止第一用戶以第 二用戶身份未授權的使用存取系統之行動基地台，該行動基 地台包括： 鑑》«構件用於行動基地台傳送高層訊息至核心網路前， 行動基地台與未授權行動存取網路之鑑認； 用戶身份模組，該模組係包含一識別構件用於識別行動 27 1356614 基地台及一金鑰； 連接構件用於行動基地台與核心網路之連線；以及 行動基地與核心網路間之信號轉送； 其中行動基地台與核心網路鑑認期間，行動基地台傳送 —金錄至IPsec或TLS層至未授權行動存取網路，因此確保未 來所有由行動基地台傳送之訊息皆被金鑰或由金鑰所衍生之 金鑰群所保護。 | 5.—種用於破保當第一用戶由行動基地台至核心網路要 求服務時’防止第一用戶以第二用戶身份未授權的使用存取 系統之系統，該系統包括·· 鐘認構件用於由行動基地台傳送高層訊息前，行動基地 台與未授權行動存取網路之鑑認及之後行動基地台與核心網 路之鑑認； 一行動基地台包括用戶身份模組，該模組係包含一識別 構件用於識別行動基地台； 未授權行動存取網路用於行動基地台與核心網路之連線 馨及行動基地與核心網路間之信號轉送，該未授權行動存取網 路包括檢查構件，其係用於確保高層訊息皆來自與未授權行 動存取網路鑑認之行動基地台，而該高層訊息係透過未授權 行動存取網路傳至核心網路；以及 核心網路用於執行轉換控制及使用者服務， 其中行動基地台與未授權行動存取網路鑑認期間，未授 權行動存取網路儲存有關行動基地台之鑑認構件，行動基地 台與核〜網路鐘認後’未授權行動存取網路使用檢查構件來 28 1356614 檢測高層訊息’其中高層訊息係由行動基地台傳送至核心網 路，以及確保有關行動基地台之鑑認構件儲存於高層訊I、中。 6.如申請專利範圍第5項之系統，其中未授權行動存取 路包括： 對映構件用於對映一 IMSI，其係用於識別行動基地台， 未授權行動存取網路從鑑認過程中，由行動基地台與未授權 行動存取網路間獲得IMSI，利用行動基地台之IMSI傳送高層 訊息至核心網路；以及 右已存於高層訊息中之IMSI與由鑑認過程獲得之IMSI 不同’錯存構件則用於儲存高層訊息中鑑認過程之IMSI。 路勺7.如申請專利範圍第6項之系統，其中未授權行動存取網 包括獲取構件’若鑑認過程未授權行動存取網路並未儲存 SI ’則該構件用於由用戶數據資料中獲取IMSI。

工8·如中請專利範圍第5項之系統，其中行動基地台提供1 ^式無線電及單—存取模式錢，使行動基地台可於雙-模式無線電間交換。 9.如申請專利範圍第5項之系統，其中行動基地台包括— 用戶終端，該系統進—步包括： 一寬頻.IP網路用於連結用戶終端及未授權行動存取網 路；_以及 用戶終端中之存取點用於提供未授權無線電連結至行動 29 1356614 基地台，且用於透過寬頻ip網路連結未授權行動存取網路， 其中該行動基地台支援1p傳輸介面，其係使ip網路可透 過存取點由未授權行動存取網路延伸至行動基地台，以及 其中該IP傳輸層為一 Ut單一介面，其係定義介於未授權 行動存取網路與行動基地台之間。 10. 如申請專利範圍第9項之系統，其中ut介面包括一轉 送組件，用於由PLMN核心網路轉送GSM/GPRS信號至行動 φ 基地台，其中Ut介面使GSM行動管理層内或其上之協定， 可用於載送核心網路内行動基地台與行動交換中心間之訊 息’因此行動基地台可獲得所有GSM之服務，猶如行動基地 台GSM BBS通訊一般。 11. 如申請專利範圍第9項之系統，其中存取點係一標準 存取點。 12. 如申請專利範圍第9項之系統，其中未授權行動存取 隹網路包括一對映組件，其係用於當核心網路内之行動交換中 心未執行某種功能時，由用戶終端對映語音至PCM語音。 13·如申請專利範圍第9項之系統，進一步包括協定構 件，用於使傳輸及多路傳輪協定可傳輸訊息，其係結合無線 電資源協定透過一安全通道於行動基地台與未授權行動存取 網路間傳送，其中安全通道係透過IP使用SSL/TCP所建立， 且其權責係用於管理未授權無線電連結與存取點，且行動基 30 1356614 地台係使用鮮ip技術來存取未麟電連結。 14.如申請專利範圍第 網路包括通訊構件，用次 GSM A-介面及 GPRS Gb- 5項之系統，其中未授權行動存取 用於未授權行動存取網路可透過標準 ]b-介面與行動基地台通訊。

鲁或SIM卡之-與未授權行動存取網路鑑認。 16_如申請專利範圍第5項之系統，進一步包括加密構 件，用於對行動基地台與未授權行動存取網路間交流之信號 17.—種用於確保當第一用戶由行動基地台至核心網路要 求服務時’防止第一用戶以第二用戶身份未授權的使用存取 系統之系統，該系統包括： 鑑認構件用於由行動基地台傳送高層訊息前，行動基地 台與未授權行動存取網路之鑑認及之後行動基地台與核心網 路之鑑認； 一行動基地台包括用戶身份模組，該模組係包含一識別 構件用於識別行動基地台及一金鑰； 未授權行動存取網路用於行動基地台與核心網路之連線 及行動基地與核心網路間之信號轉送；以及 核心網路用於執行轉換控制及使用者服務， 31 1356614 其中行動基地台與核心網路鑑認期間，未授權行動存取 網路包括由核心網至行動基地台，置於命令訊息中之鑑認資 訊及對命令訊息之回應，行動基地台包括一密碼，其係使用 鑑認資訊及金鑰所加密。 18.如申請專利範圍第17項之系統，其中鑑認資訊包括至 少一隨機選取之盤問。 19_如申請專利範圍第17項之系統，其中該密碼包括有關 行動基地台及未授權行動存取網路身份之IMSI，其中行動基 地台係於行動基地台與未授權行動存取網路之鑑認期間獲得 未授權行動存取網路之身份。 20.如申請專利範圍第17項之系統，其中該密碼包括有關 安全通道之訊息，該通道係於行動基地台與未授權行動存取 網路之鑑認期間在行動基地台與未授權行動存取網路間所建 立。 21.—種用於確保當第一用戶由行動基地台至核心網路要 求服務時，防止第一用戶以第二用戶身份未授權的使用存取 系統之系統，該系統包括： 鑑認構件用於由行動基地台傳送高層訊息前，行動基地 台與未授權行動存取網路之鑑認及之後行動基地台與核心網 路之鑑認； 一行動基地台包括用戶身份模組，該模組係包含一識別 32 1356614 構件用於識別行動基地台及一金鑰； 未授權行動存取網路用於行動基地台與核心網路之連線 及行動基地與核心網路間之信號轉送；以及 核心網路用於執行轉換控制及使用者服務， 其中行動基地台與核心網路鑑認期間，行動基地台傳送 一金錄至IPsec或TLS層至未授權行動存取網路，因此確保未 來所有由行動基地台傳送之訊息皆被金鑰或由Kc金鑰所衍生 之金鑰群所保護。 22_—種用於未授權行動存取網路中，確保當第一用戶由 行動基地台至核心網路要求服務時，防止第一用戶以第二用 戶身份未授權的使用存取系統之方法，該方法包括之步驟： 鑑認，於未授權行動存取網路中，行動基地台傳送高層 訊息至核心網路前鑑認行動基地台； 轉送，於未授權行動存取網路中，由行動基地台轉送一 服務要求至核心網路，其中服務要求已包括行動基地台之 IMSI ； 傳送，於未授權行動存取網路中，由核心網路傳送一鑑 認要求至行動基地台； 轉送，於未授權行動存取網路中，轉送對鑑認要求之鑑 認回應；以及 檢測，由未授權行動存取網路，檢測由行動基地台至核 心網路之高層訊息，以確保有關行動基地台之鑑認構件儲存 於高層訊息中。 33 1356614 23. —種用於未授權行動存取網路中，確保當第一用戶由 行動基地台至核心網路要求服務時，防止第一用戶以第二用 戶身份未授權的使用存取系統之方法，該方法包括之步驟： 鑑認，於未授權行動存取網路中，行動基地台傳送高層 訊息至核心網路前鑑認行動基地台； 轉送，於未授權行動存取網路中，由行動基地台轉送一 服務要求至核心網路，其中服務要求已包括行動基地台之 IMSI ； | 傳送，於未授權行動存取網路中，由核心網路傳送一鑑 認要求至行動基地台； 轉送，於未授權行動存取網路中，轉送對鑑認要求之鑑 認回應，其中行動基地台對鑑認要求做出之回應係建立一金 錄； 轉送，於未授權行動存取網路中，由核心網路建立一密 碼方法命令訊息轉送至行動基地台； 包括，於未授權行動存取網路中，由核心網路至行動基 地台之密碼方法命令訊息中之鑑認資訊及轉送修改後之密碼 # 方法命令訊息至行動基地台；以及 接收，藉由未授權行動存取網路，由行動基地台接收一 密碼，該密碼係使用鑑認資訊及金鑰所加密。 24. —種用於未授權行動存取網路執行之工作中，確保當 第一用戶由行動基地台至核心網路要求服務時，防止第一用 戶以第二用戶身份未授權的使用存取系統之方法，該方法包 括之步驟： 34 1356614 由行動基地傳送高層訊息前，鑑認行動基地台至未授權 行動存取網路； 藉由行動基地台，由核心網路要求服務，且服務要求係 已包括行動基地台之IMSI ; 轉送，藉由未授權行動存取網路，轉送要求訊息至核心 網路，且並無藉由未授權行動存取網路檢查訊息； 透過未授權行動存取網路，由核心網路傳送一鑑認要求 至行動基地台； | 藉由行動基地台建立鑑認回應，該回應為對鑑認要求之 回應，以及透過未授權行動存取網路轉送鑑認回應至核心網 路； 藉由核心網路認證鑑認回應，及傳送密碼方法命令訊息 至未授權行動存取網路； 藉由未授權行動存取網路，轉送密碼方法命令訊息中一 連串可用演算法至行動基地台；以及 由未授權行動存取網路，檢測由行動基地台至核心網路 之高層訊息，以確保有關行動基地台之鑑認構件儲存於高層 φ 訊息中。 25.如申請專利範圍第24項之方法，進一步之步驟： 藉由未授權行動存取網路，從行動基地台與未授權行動 存取網路間之鑑粦過程中對映一 IMSI，用於識別行動基地 台，利用行動基地台之IMSI傳送高層訊息至核心網路；以及 若已存於高層訊息中之IMSI與由鑑認過程獲得之IMSI 不同，則儲存高層訊息中鑑認過程之IMSI。 35 1356614 對命令訊息做出回應，包括藉由行動基地台，利用鑑認 訊息及金鑰加密之密碼及轉送回應至未授權行動存取網路。 28. 如申請專利範圍第27項之方法，進一步包括在鑑認資 訊中至少儲存一隨機選取盤問之步驟。 29. 如申諳專利範圍第27項之方法，進一步包括儲存密碼 中有關行動基地台及未授權行動存取網路身份之IMSI之步 驟，其中行動基地台係於行動基地台與未授權行動存取網路 之鑑認期間獲得未授權行動存取網路之身份。 30. 如申請專利範圍第27項之方法，進一步包括儲存有關 安全通道訊息之步驟，該通道係於行動基地台與未授權行動 存取網路之鑑認期間在行動基地台與未授權行動存取網路間 所建立。 31.—種用於在未授權行動存取網路執行之工作中，確保 φ 當第一用戶由行動基地台至核心網路要求服務時，防止第一 用戶以第二用戶身份未授權的使用存取系統之方法，該方法 包括之步驟： 由行動基地傳送高層訊息前，鑑認行動基地台至未授權 行動存取網路； 藉由行動基地台，由核心網路要求服務，且服務要求係 已包括行動基地台之IMSI ; 轉送，藉由未授權行動存取網路，轉送要求訊息至核心 37 1356614 網路，且並無藉由未授權行動存取網路檢查訊息； 透過未授權行動存取網路，由核心網路傳送一鑑認要求 至行動基地台； 藉由行動基地台建立鑑認回應，該回應為對鑑認要求之 回應，以及透過未授權行動存取網路轉送鑑認回應至核心網 路； 藉由核心網路認證鑑認回應，及傳送密碼方法命令訊息 至之未授權行動存取網路； 藉由未授權行動存取網路，轉送密碼方法命令訊息至行 動基地台；以及 藉由行動基地台，傳送一金鑰至IPsec或TLS層，用以確 保未來所有由行動基地台傳送之訊息皆被金鑰或由金鑰所衍 生之金鑰群所保護。 32.—種用於在未授權行動存取網路執行之工作中，確保 當第一用戶由行動基地台至核心網路要求服務時，防止第一 用戶以第二用戶身份未授權的使用存取系統之方法，該方法 包括之步驟： 由行動基地台傳送高層訊息前，鑑認行動基地台至未授 權行動存取網路； 藉由行動基地台，由核心網路要求服務，且服務要求係 已包括行動基地台之IMSI ; 藉由行動基地台建立鑑認回應，該回應係為核心網路對 鑑認要求之回應，以及 透過未授權行動存取網路轉送鑑認回應至核心網路及傳 38 1356614

送一金鑰至IPsec或TLS層，藉由行動基地台，用以確保未來 所有由行動基地台傳送之訊息皆被金鑰或由金鑰所衍生之金 鑰群所保護。 39