專利名稱:一種鑒權方法
技術領域:
本發(fā)明涉及一種用于但不專門用于例如無線蜂窩通信網(wǎng)絡的鑒權方法�����,本發(fā)明還涉及一種利用這種方法的系統(tǒng)����。
背景技術:
圖1示出了一種典型的蜂窩無線網(wǎng)絡1。該網(wǎng)絡覆蓋的區(qū)域被劃分為多個小區(qū)2。每個小區(qū)2由一個基站收發(fā)信臺4服務����,基站收發(fā)信臺4發(fā)送信號到位于一個特定基站收發(fā)信臺4相關的小區(qū)內的終端6,并從終端6接收信號�。終端6可為移動臺,能在小區(qū)2之間移動�。由于信號在終端6和基站收發(fā)信臺4之間是通過無線電波傳輸?shù)模虼?��,未?jīng)授權的第三方可能接收這些信號。
因此��,在已知的無線蜂窩網(wǎng)絡中���,應提供鑒權用于識別正確的移動臺���,而且應使用加密來防止第三方竊聽。圖2示意的為在GSM(全球移動通信系統(tǒng))標準中執(zhí)行的過程���。在第一步驟S1����,移動臺MS通過基站向移動業(yè)務交換中心(MSSC)請求呼出。來訪位置寄存器(VLR)通過移動業(yè)務交換中心被通知該請求�。VLR控制鑒權過程。
每個移動終端有一個識別號���,這種識別號有時在GSM標準中稱為IMSI(國際移動用戶身份)號��。MSSC轉發(fā)移動終端的IMSI到VLR��。IMSI的信息最初由移動臺提供�����。VLR接著在第二步驟S2發(fā)送IMSI與VLR的身份到移動臺的歸屬位置寄存器HLR����。這就確保任何輸入呼叫可送至當前位置的移動臺����。一旦HLR接收到IMSI,就請求鑒權中心AC提供移動用戶的密鑰KI�。密鑰KI同時存在于鑒權中心AC和移動臺。
在第三步驟S3�,鑒權中心使用密鑰KI和一個隨機數(shù)產(chǎn)生一個簽名SRES以及一個用于信道編碼的密鑰Kc。隨機數(shù)����、密鑰Kc以及簽名SRES構成了只用于單個通信的三個一組(triplet)����。由鑒權中心AC計算的每個三個一組被轉發(fā)到相關的來訪位置寄存器VLR以及移動業(yè)務交換中心MSSC�。
在步驟S4,VLR傳送密鑰Kc值到基站控制器(未示出)��,以及傳送隨機數(shù)值到移動臺�。
移動臺接著根據(jù)鑒權中心使用的同一算法計算簽名SRES,而且該簽名在步驟S5被傳輸?shù)絍LR�。移動臺是以移動用戶密鑰KI和從VLR接收的隨機數(shù)為基礎生成簽名的。當移動臺生成的簽名SRES與鑒權中心AC生成的一致時��,就認為鑒權過程完成�����。一完成鑒權過程����,發(fā)送的數(shù)據(jù)就利用密鑰Kc和由VLR以編碼形式提供給移動臺的臨時移動用戶身份(TSMI)加密�。
發(fā)明內容
本發(fā)明實施例的目的是改進鑒權過程,由此使得通信更為安全���。
根據(jù)本發(fā)明一方面�,提供一種利用第一和第二方信任的第三方鑒權所述第一和第二方之間通信的鑒權方法,該方法包括步驟信任的第三方利用第一方參數(shù)計算第一鑒權輸出值�,以及利用第一鑒權輸出計算第二鑒權輸出值,并發(fā)送第二鑒權輸出到第二方��;第一方計算第一鑒權輸出并發(fā)送第一鑒權輸出到第二方�����;以及第二方根據(jù)從第一方接收的第一鑒權輸出計算第二鑒權輸出�,并比較其計算的第二鑒權輸出與從信任的第三方接收的第二鑒權輸出,借此���,如果這兩個第二鑒權輸出相同����,則第一方被鑒權�����。
該方法可包括步驟第一方計算第二鑒權輸出值�,發(fā)送由信任的第三方計算的第二鑒權輸出值到所述第一方,以及在第一方比較其計算的第二鑒權輸出值與第三方連接的第二鑒權輸出值�,從而第二方被鑒權���。
信任的第三方計算的第二鑒權輸出值最好通過第二站送至第一方。
第一和第二鑒權輸出中最好至少一個�,最好是都為哈希(hash)函數(shù)的輸出。為提供安全的通信方法使用雙哈希函數(shù)更佳��。
第一和第二哈希函數(shù)都最好是單向的�����。這意味著第三方實際上不可能確定至少一個參數(shù)的值����。至少其中一個哈希函數(shù)的值最好長至少160比特。哈希函數(shù)值當然也可更長或更短���。然而�����,哈希函數(shù)越長,授權方解密的難度就越大��。
未經(jīng)授權方能猜測出至少一個所述哈希函數(shù)值的可能性最好為至多160數(shù)量級��。換句話說,如果至少一個參數(shù)未知則猜測哈希函數(shù)值的可能性微乎其微�����。這就進一步增強了各方之間通信的安全性�����。
其中一個輸出最好包括一個第一和第二方共用的密碼(secret)����。這個密碼最好只為第一和第二方知曉。該密碼最好包括一個Diffie-Hellman函數(shù)���。
該共用密碼最好被至少一方用于加密第一方和第二方之間的通信���。這使得第一方和第二方之間的通信很安全。
該共用密碼最好為gxymod n��,其中Diffie-Hellman函數(shù)���、x和y為隨機數(shù)��,而n為Diffie-Hellman函數(shù)的模�����。
最好有至少一個隨機數(shù)用于加密第一和第二方之間的通信�����。這個隨機數(shù)可作為該共用密碼的補充或替代����。最好在改變至少一個隨機數(shù)時重新給加密函數(shù)指定一個密鑰。
至少一個參數(shù)的值最好從第一站送至第二站���。同樣地�,至少一個參數(shù)的值最好從第二站送至第一站���。這使得信息能在各方之間交換�,而且例如�,使得能計算該共用密碼。
信任的另一方最好與第二方建立安全連接��。
至少一方的身份最好僅以編碼形式送至另一方��。例如���,該身份可包含于第一和第二鑒權輸出的其中一個內���。或者該身份可以獨立加密的形式發(fā)送��。由于一方的身份對保持安全通信很重要���,因此未經(jīng)授權的第三方應無法獲得第一或第二方的身份����,這一點很重要�。
該方法最好用于有線或無線的通信網(wǎng)絡。第一和第二方中一方可為移動臺���,而另一方可為基站��。
根據(jù)本發(fā)明第二方面����,提供一種用于鑒權第一和第二方之間通信的鑒權方法��,該方法包括步驟利用至少一個參數(shù)計算第二哈希函數(shù)的第一哈希函數(shù)值;從第一方發(fā)送計算的第二哈希函數(shù)的第一哈希函數(shù)值到第二方��,所述第二方有利用該至少一個參數(shù)獨立計算的第二哈希函數(shù)的第一哈希函數(shù)值����;以及比較從第一方接收的第二哈希函數(shù)的第一哈希函數(shù)值與獨立計算的第二哈希函數(shù)的第一哈希函數(shù)值,借此�,如果這兩個值相同,則第一方被鑒權�����。
為更好地理解本發(fā)明以及如何實現(xiàn)本發(fā)明���,現(xiàn)在通過舉例參考附圖�����,其中圖1示出了本發(fā)明的實施例可使用的一種已知蜂窩網(wǎng)絡����;圖2示出了一種已知的鑒權協(xié)議���;圖3示意了一種體現(xiàn)本發(fā)明的利用簽名的密鑰交換�����;圖4示意了一種體現(xiàn)本發(fā)明的利用信任的第三方的密鑰交換��;圖5示意了一種體現(xiàn)本發(fā)明的不使用移動臺識別的密鑰交換��;圖6示意了一種體現(xiàn)本發(fā)明的不重新鑒權的密鑰重置�����;圖7示意了一種體現(xiàn)本發(fā)明的具有共享秘密鑒權的密鑰重置���;圖8示意了一種體現(xiàn)本發(fā)明的具有簽名鑒權的密鑰重置;圖9示意了一種體現(xiàn)本發(fā)明的利用第三方鑒權的密鑰重置��,以及�;圖10示出了圖1所示的網(wǎng)絡分層結構部分。
具體實施例方式
為幫助理解本發(fā)明的實施例��,現(xiàn)在將所使用的一些縮略語歸納如下U-UMTS(通用移動通信業(yè)務)用戶識別��,有時稱為IMUI(國際移動用戶身份)��。換句話說�,U表示移動臺的身份。
n-Diffie-Hellman密鑰交換的模,通常為一個大的素數(shù)�,換句話說,這表示使用的模算術�。模算術為計數(shù)的循環(huán)形式,這樣對于得到的任何結果����,結果本身不會使用。而使用被模n除后的余數(shù)�。
g-Diffie-Hellman密鑰交換的生成數(shù),g可為大于2小于等于n-1的任何適當整數(shù)�。
x,y-在Diffie-Hellman密鑰交換中使用的隨機指數(shù)���。換句話說�����,g升到x和/或y的冪�。
R����,R’-隨機數(shù),也稱為臨時數(shù)(nonces)���。通常這些隨機數(shù)有規(guī)則變化��。
P����,P’-安全參數(shù)——包括可用密碼��、哈希函數(shù)等信息�����。
SIGA()-采用A的簽名密鑰的的簽名SIG�。
Ek()-利用密鑰k加密的。
hash[X]()-利用常參數(shù)X參數(shù)化的哈希函數(shù)���。換句話說�,哈希函數(shù)根據(jù)一個給定的參數(shù)X變化��。該參數(shù)值當然可以改變�����。
|X-串接和X(即將兩項串接在一起)����。
��,X-串接和X��。
本發(fā)明的實施例使用具有下述特征的簽名函數(shù)SIG����。SIGA()只應由A和僅由A授權的各方計算����,假定已預先選擇而且沒有預先簽名。為使預先選擇的簽名函數(shù)SIGA()能有效地防止未經(jīng)授權人偽造���,遭遇未經(jīng)授權人的難度應為2160或更大���。另外,該簽名應可由擁有相應驗證函數(shù)的所有各方驗證��。該驗證函數(shù)有時稱為驗證密鑰����。
如果X是一個適用于下面要描述的協(xié)議中使用的參數(shù)化哈希函數(shù)的參數(shù),那么哈希函數(shù)將提供下述特征哈希函數(shù)的返回值長度應至少為160比特以防止birthday攻擊�。換句話說�,哈希X等于哈希Y的可能性很低����,所以第三方通過嘗試某些可能值獲準接入的可能性很小。該函數(shù)應為單向密鑰加密函數(shù)����。哈希函數(shù)應有較大的域,即可能值集合�����,集合大小為2l����,l至少為160�����。如果z已知����,則從hash[X](y)=z計算y值所需的工作量復雜度應為2l數(shù)量級,l為哈希函數(shù)輸出的比特長度�,而且l至少為160�。知道z值與不知道z值相比����,應使攻擊者確定hash[X](i)時處于更為不利位置。如果對于屬于集合1�����,2�����,…k的i��,哈希函數(shù)hash[X](S|yi)的值已知�����,而且yi已知�,但只知道S只是一個可能值,那么對于某些X能猜測出hash[X](S|x)值的可能性應為I/O(min(2l���,|Q|))��,其中O表示“數(shù)量級”�����,而Q為從中選出在用密鑰加密的哈希函數(shù)中使用的密碼S的特定值的集合���。例如�,如果在加密哈希函數(shù)中使用的密碼S為一個40比特的隨機數(shù)�����,那么Q為所有40比特隨機數(shù)的集合��。|Q|表示該集合的大小�。“min”選擇2l和|Q|的最小值��。
X確定哈希函數(shù)�����,而且由于X僅確定所使用的函數(shù)����,因此它不需要保密���。事實上��,在一個較長的時期內��,參數(shù)X可公開并固定���。
下面將描述的協(xié)議用于執(zhí)行密鑰交換����,密鑰重交換以及互鑒權��??傊苿优_MS和網(wǎng)絡或基站收發(fā)信臺BTS執(zhí)行一個初始密鑰交換協(xié)議����,以便獲得作為Diffie-Hellman密鑰交換結果的共用密碼S。這個共用密碼S為gxymod n����。協(xié)議各方還交換一對隨機數(shù)R,R’����。共用密碼S串接這兩個隨機數(shù)提供作為密鑰源�。利用不同參數(shù)化哈希函數(shù)從密鑰源中取出不同密鑰���。通過交換一對新的隨機數(shù)可執(zhí)行密鑰重置����。
利用下述公式也可產(chǎn)生加密進一步通信的密鑰k=hash[T](gxymodn|R|R’)�����,其中T為一個唯一的參數(shù)�����。T可公開或固定��,而且可使用一次或多次�����。
在初始密鑰交換協(xié)議期間�����,交換安全參數(shù)P�����。這些安全參數(shù)用于通知另一方可用密碼�、哈希函數(shù)等。
Diffie-Hellman密鑰交換是一種在兩方之間建立共用密碼的方式�。當利用模算術時,在只知gx時很難計算出x值�。通常從gx計算x,意味著計算gx的對數(shù)��,這很容易實現(xiàn)�����。然而在模算術中情況發(fā)生了很大變化����;不知道如何從gx計算x。
因此�����,在Diffie-Hellman密鑰交換中�,雙方以下述方式建立共用密碼第一方發(fā)送“gx”���,第二方發(fā)送“gy”。在此����,只有第一方知道x,且只有第二方知道y���。然而���,gx和gy值是公開的。現(xiàn)在共用密碼為gxy���。為計算gxy�����,需知道值x和y中的至少一個�����。例如����,如果知道x��,可計算gxy為(gy)x����。計算離散對數(shù),即從gx計算x很難����。因此即使gx和gy值公開,其他任何人無法計算出gxy���。
下面參考圖3����,圖3示意了利用簽名進行密鑰交換的原理�����。這種密鑰交換的目的是建立共用密碼S=gxymod n���,以交換隨機數(shù)和鑒權雙方���。
在首次通信時����,移動臺MS將隨機數(shù)R與公開的Diffie-Hellman密鑰交換參數(shù)n和g以及公開密鑰gxmod n一道發(fā)送到基站收發(fā)信臺����。移動臺還發(fā)送安全參數(shù)P到基站。這個從移動臺MS到基站收發(fā)信臺的第一消息啟動密鑰交換�����,并在圖3的步驟A1中示意�����。
第二消息從基站收發(fā)信臺BTS發(fā)送到移動臺MS�����,并構成圖3示意的第二步驟A2����。基站收發(fā)信臺發(fā)送隨機數(shù)R’與另一公開的Diffie-Hellman密鑰gymod n以及安全參數(shù)P’到移動臺MS�。網(wǎng)絡接著標記(sign)該密鑰交換和隨機數(shù),以便移動臺能確保交換順利進行��,不受攻擊。這種特定方法防止了稱為man in the middle attacks的攻擊��。這就是�,第三方截收移動臺發(fā)送的信息��,在發(fā)送到基站之前用其他信息替代來自移動臺的通信�,以及同樣截收從基站接收的移動臺通信。該共用密碼S=gxymod n必須包含在簽名中�,這樣移動臺就能確信基站收發(fā)信臺知道該共用密碼。
第二消息中由基站收發(fā)信臺提供的簽名SIGB如下SIGB(hash[SIG1](n|g|gx|gy|gxy|P|P’|R|R’|B))B為基站收發(fā)信臺的識別��。
臨時密鑰k從該共用密碼和隨機數(shù)中計算�����。隨機數(shù)包含在臨時密鑰中�����,以便利用同一共用密碼可進行密鑰重置����。密鑰重置發(fā)生在產(chǎn)生一個新的臨時密鑰時。下面將詳細描述通過提供新的隨機數(shù)R和R’可實現(xiàn)密鑰重置��。臨時密鑰k等于hash[TKEY](gxymod n|R|R’)。
移動臺執(zhí)行關于簽名SIGB的驗證函數(shù)�。驗證函數(shù)和簽名函數(shù)有關,以便給定簽名函數(shù)值����,驗證函數(shù)提供一個接受或拒絕值。接受意味著簽名被接受����,而拒絕意味著簽名無效。換句話說���,移動臺驗證它接收的簽名���。
在步驟A3,從移動臺MS發(fā)送到基站收發(fā)信臺的消息利用臨時密鑰加密���。在加密的消息中包含移動用戶U的身份��。因此���,用戶U的身份僅以加密形式發(fā)送。加密的身份由Ek(U)表示。除加密的識別外�����,移動臺還發(fā)送簽名SIGU����,其類似于在步驟A2從基站收發(fā)信臺發(fā)送到移動臺的簽名。然而���,該簽名被加密。加密的簽名表示如下Ek(SIGU(hash[SIG2](n|g|gx|gy|gxy|P|P’|R|R’|B|U)))從中可看出���,移動用戶的身份包含在簽名中�����。盡管移動用戶的身份被加密��,但是簽名不是必須加密�����,而且加密簽名更為方便�����。應理解的是��,簽名SIGB和SIGU分別包含簽名人的身份���,即B和U�,而且使用簽名中的這些身份的目的是�����,防止第三方竊聽簽名的哈希值���,以及利用不同密鑰再次簽名���。換句話說,包含身份B和U使得這些函數(shù)對基站和移動臺都是唯一的���。
基站收發(fā)信臺驗證從移動臺接收的簽名����,目的是以移動臺驗證基站的相同方式鑒權移動用戶�����。這可能要求連接移動用戶的業(yè)務提供商。
下面參考圖4��,圖4示意了利用信任的第三方的密鑰交換�。如同利用簽名的密鑰交換一樣,這種密鑰交換的目的是交換隨機數(shù)和鑒權雙方��。
這個協(xié)議以與移動臺在步驟B1發(fā)送n���、g值�,隨機數(shù)R���、gxmod n以及參數(shù)P到基站收發(fā)信臺開始?���;臼瞻l(fā)信臺接著發(fā)送隨機數(shù)R’、gymodn以及參數(shù)P’到移動臺��。臨時密鑰k從hash[TKEY](gxymod n|R|R’)計算�。不同于利用簽名的密鑰交換,這種密鑰交換在加密前不鑒權��。在第三步驟B3,用戶身份U以加密形式Ek(U)從移動臺發(fā)送到基站收發(fā)信臺�����。
在第四步驟B4���,基站收發(fā)信臺利用一個假定為安全且被鑒權的連接����,接觸信任的第三方TTP��,例如用戶的業(yè)務提供商�。基站收發(fā)信臺BTS因此發(fā)送給信任的第三方TTP共用密碼的哈希函數(shù)����,Diffie-Hellman公開密鑰參數(shù),隨機數(shù)����,通信方的身份以及安全參數(shù)。因此����,基站收發(fā)信臺BTS發(fā)送下述鑒權哈希函數(shù)到信任的第三方TIPhash[AUTH](n|g|gx|gy|gxy|P|P’|R|R’|B|U)移動用戶U的身份已被信任的第三方知曉��。這可通過任何適當?shù)姆绞綄崿F(xiàn)��。
在本發(fā)明的實施例中��,最好發(fā)送gxy的哈希函數(shù)而不是加密密鑰k��。由于加密密鑰k可能短于gxy���,因此很容易攻擊。首先��,共用的加密數(shù)據(jù)gxymodn假定被基站和移動臺共用��,但不被它人共用���。在基站和移動電話之間有一個脫機分配的第二、長期的共用密碼��。這個長期密碼可能位于移動電話或類似電話的SIM卡內�。用于得到會話密鑰的第一密碼gxymod n和第二密碼被使用,以便移動電話能鑒權基站���。
在第五步驟B5�,信任的第三方從基站收發(fā)信臺發(fā)送的共用加密數(shù)據(jù)串接hash[AUTH]計算該密碼的哈希函數(shù)。由信任的第三方計算的哈希值的哈希函數(shù)再次被信任的第三方計算���。信任的第三方接著發(fā)送這個最后計算的哈希值到記錄該值的基站收發(fā)信臺��。由信任的第三方發(fā)送到基站收發(fā)信臺的值如下
hash[RESP](hash[SEC](S|hash[AUTH](n|g|gx|gy|gxy|P|P’|R|R’|B|U)))接著在第六步驟B6�����,從基站收發(fā)信臺轉發(fā)同一值到移動臺����。移動臺能直接計算hash[SEC]值�����。移動臺接著從hash[SEC]計算hash[RESP]��,并比較其計算的hash[RESP](hash[SEC])值與從信任的第三方通過基站收發(fā)信臺接收的值��。如果這兩個hash[RESP](hash[SEC])值相同�����,那么移動臺知道歸屬位置寄存器已鑒權基站收發(fā)信臺和Diffie-Hellman密鑰交換��。如果這兩個hash[RESP](hash[SEC])值不相同,這指示存在鑒權問題或某人正在攻擊系統(tǒng)�。
最后在第七步驟B7,移動臺發(fā)送hash[SEC]值�����,而不進一步做哈希函數(shù)到基站�。基站收發(fā)信機檢測hash[SEC]的哈希是否為基站已接收的同一哈希值�����,即來自信任的第三方的hash[RESP]hash[SEC]�����。如果從信任的第三方接收的hash[RESP]hash[SEC]值與基站收發(fā)信臺計算的值相同��,那么基站收發(fā)信臺就能確定移動臺能計算正確的hash[SEC]函數(shù)���,由此移動用戶被鑒權。同時Diffie-Hellman密鑰交換也被鑒權���。
利用圖3和圖4描述的兩種密鑰交換�����,如果Diffie-Hellman公開參數(shù)n和g已知�����,例如為常數(shù)����,那么它們可不出現(xiàn)在第一消息中。
現(xiàn)在參考圖5�����,圖5示意了一種不要求移動用戶身份的密鑰交換�����。這種過程的目的是在移動臺和基站收發(fā)信臺之間分配共用密碼和隨機數(shù)�����,以及鑒權網(wǎng)絡�。然而�,移動用戶未被鑒權��,而且實際上仍為匿名狀態(tài)�。
在第一步驟C1��,移動臺發(fā)送在圖3和圖4所示的利用簽名的密鑰交換以及利用信任的第三方的密鑰交換的第一步驟中發(fā)送的相同信息到基站收發(fā)信臺�。
基站接著在步驟C2發(fā)送在利用簽名的密鑰交換(圖3)中發(fā)送的相同信息到移動臺,并且還簽名該信息�����。利用這個密鑰交換��,基站無法確認與之通信的移動臺的身份����。然而,基站收發(fā)信臺的簽名能確保密鑰交換順利�����。換句話說���,未識別的移動臺能檢測出是否有人在攻擊����,并在需要時斷開連接��?���;緹o法檢測攻擊的人,但它也不需要這么做��。尤其是基站肯定不會發(fā)送保密的關鍵信息到未識別的一方��。這可用于接入諸如因特網(wǎng)的公眾網(wǎng)絡���,在此情況下不要求移動臺的身份識別���。
現(xiàn)在參考圖6,圖6示出了一種不要求新鑒權的簡單密鑰重置過程�����。這個協(xié)議的目的是分配新隨機數(shù)用于執(zhí)行密鑰重置����。
密鑰重置意味著可產(chǎn)生一個用于加密目的的新臨時密鑰k。為避免在移動臺和基站之間消息被未經(jīng)授權地解密,應頻繁地重置密鑰�。
在第一步驟D1,移動臺發(fā)送該新隨機數(shù)Rnew到基站收發(fā)信臺�。在第二步驟D2,基站收發(fā)信臺發(fā)送第二新隨機數(shù)Rnew′到移動臺����。利用這個特定協(xié)議,隨機數(shù)不必保密��。然而���,應保護隨機數(shù)的完整���。換句話說,隨機數(shù)在移動臺和基站收發(fā)信臺之間傳輸時不應修改���。這是為了保證質量�����,而不是出于安全目的��。D1和D2兩個步驟的順序當然可以顛倒���。
新臨時密鑰k可從等式hash[T](gxymod n|R|R’)中推導出來�。因此�����,原始的共用密碼可用于確定新密鑰����。這種可能性是因為原始共用密碼gxymod n本身從未被用作密鑰�。因此,即使利用老隨機數(shù)組合共用密碼的老密鑰已被泄露���,新密鑰還是很安全����。還應理解的是�����,即使新隨機數(shù)的身份已公開�����,這種協(xié)議還是很安全。這是因為利用哈希函數(shù)�,即使知道了隨機數(shù)的識別,還是無法推導出共用密碼或密鑰���。
下面參考圖7�,圖7示出了鑒權各方的密鑰重置過程�。在第一步驟E1,移動臺發(fā)送新隨機數(shù)Rnew到基站收發(fā)信臺���。在第二步驟E2���,基站收發(fā)信臺發(fā)送第二新隨機數(shù)Rnew′到移動臺MS。在第三步驟E3���,移動臺發(fā)送一個具有下述形式的hash簽名到基站收發(fā)信臺hash[SIG1](n|g|gx|gy|gxy|P|P’|Rnew|R’new|B|U)基站將計算hash[SIG1]值�,并將其與從移動臺接收的hash[SIG1]相比較�。如果這兩個值相同,那么新隨機數(shù)和移動臺都被鑒權����。
在第四步驟E4,基站收發(fā)信臺提供下述形式的哈希值到移動臺hash[SIG2](n|g|gx|gy|gxy|P|P’|Rnew|R’new|B)�����。這些值使得隨機數(shù)通過被捆綁到當前共用密碼被鑒權。移動臺將驗證hash[SIG2]值��。如果hash[SIG2]被驗證�����,那么新隨機數(shù)和基站被再次鑒權�。
現(xiàn)在參考圖8��,圖8示出了利用簽名鑒權的密鑰重置協(xié)議�。在這個過程中,雙方都被重新鑒權��。
在第一步驟F1��,移動臺發(fā)送新隨機數(shù)Rnew到基站收發(fā)信臺���。在第二步驟F2�,基站收發(fā)信臺發(fā)送第二新隨機數(shù)Rnew′到移動臺�����,并簽名下述的簽名哈希函數(shù)SIGB(hash[SIG1](n|g|gx|gy|gxy|P|P’|Rnew|R’new|B))移動臺能利用前面概述的這些新隨機數(shù)計算一個新加密密鑰。移動臺還能利用一個驗證函數(shù)鑒權基站���。
這個新加密密鑰k因此為hash[TKEY](gxymod n|Rnew|R’new)�����。在第三步驟F3��,移動臺發(fā)送具有下述形式的哈希函數(shù)hash[SIG]加密的簽名到基站收發(fā)信臺Ek(SIGu(hash[SIG2](n|g|gx|gy|gxy|P|P’|Rnew|R’new|B|U))�����。移動臺發(fā)送的簽名被加密�����。這個過程不是必要的�,但對于需要加密的其它信息來說更為方便��。該加密使用新加密密鑰k�����?����;就ㄟ^驗證簽名能鑒權移動臺。如果該驗證函數(shù)被接受��,那么移動臺被鑒權�����。
下面參考圖9�����,圖9示出了利用第三方鑒權的密鑰重置�����。在第一步驟G1����,移動臺發(fā)送新隨機數(shù)Rnew的識別到基站��。在第二步驟G2����,基站收發(fā)信臺發(fā)送鑒權哈希函數(shù)hash[AUTH](n|g|gx| gy|gxy|P|P’|Rnew|R’new|B|U)與移動臺身份U到信任的第三方�����。鑒權哈希函數(shù)包含第二新隨機數(shù)R′new�����。由于基站和信任的第三方之間的連接是安全的�����,因此無需加密移動臺的身份U����。信任的第三方在第三步驟G3計算哈希共用密碼S的hash[RESP]�,它包含鑒權哈希函數(shù)和共用密碼,并發(fā)送這個值到基站��。該鑒權哈希函數(shù)與從基站接收的相同����。
在第四步驟G4,基站發(fā)送其從信任的第三方接收的相同值與第二新隨機數(shù)Rnew值到移動臺�。移動臺利用新隨機數(shù)值計算hash[SEC]值,并由此計算hash[RESP]值�。移動臺檢查從基站收發(fā)信臺得到的值是否等于其計算的值���。如同前面參考圖4描述的利用信任的第三方的密鑰交換,如果這兩個值相同���,則移動臺知道歸屬位置寄存器已鑒權了基站收發(fā)信臺和密鑰交換�����。
移動臺接著在步驟G5發(fā)送hash[SEC]值����,而不再做哈希函數(shù)到基站收發(fā)信臺����。基站收發(fā)信臺接著檢查從移動臺接收的hash[SEC]的哈希值是否等于基站收發(fā)信臺從信任的第三方接收的值�。如果確實等于���,那么基站收發(fā)信臺知道移動臺能計算hash[SEC]函數(shù)��,由此用戶被鑒權���。
在上面描述的所有密鑰重置過程中���,隨機數(shù)無需保密。
由此可見����,在這些協(xié)議中使用了15種不同消息。這些消息歸納如下1.n���,g2.R3.R’4.P5.P’6.gxmod n7.gymod n8.n|g|gx|gy|gxy|P|P’|R|R’|B9.n|g|gx|gy|gxy|P|P’|R|R’|B|U10.SIGB(hash[SIG1]n|g|gx|gy|gxy|P|P’|R|R’|B)11.Ek(SIGu(hash[SIG2](n|g|gx|gy|gxy|P|P’|R|R’|B|U))12.Ek(U)13.hash[AUTH](n|g|gxymodn|R|R’|B|U)�,U14.hash[RESP](hash[SEC]S|hash[AUTH](n|g|gxymod n|R|R’|B|U))15.hash[SEC](S|hash[AUTH](n|g|gxymod n|R|R’|B|U))由此看出����,其中一些消息共用一種通用結構,即消息2和3�、消息4和5以及消息6和7。這使得總共有12種不同類型的消息���。這種協(xié)議族的優(yōu)點在于���,僅利用少量的不同消息就能實現(xiàn)相對大量的不同協(xié)議。
因此����,前面陳述的各種不同方法可定義一個由有限數(shù)量的消息構成的方法族���。因此,在本發(fā)明的實施例中�����,能選擇其中一種方法�。在確定使用何種方法時,可使用各種不同標準���。例如��,可隨機選擇不同方法�。只要預先選擇了一種密鑰交換方法就總是能選擇一種密鑰重置方法�。這種方法可根據(jù)第一和/或第二方(或提供的信任的第三方)的處理能力選擇。由于使用了最后一種方法����,這種方法的選擇可與時間量無關?;蛘?,這種方法可根據(jù)特定方法提供的功能選擇,例如,是否使用了信任的第三方����、是否要求鑒權,以及如果要求鑒權應使用何種鑒權類型�。
在前面描述的裝置中,移動臺被描述為與基站收發(fā)信臺通信�����。應理解的是����,盡管通信將通過基站收發(fā)信臺,但實際上可與任何適當?shù)木W(wǎng)絡單元進行通信��。換句話說��,在優(yōu)選實施例中描述為發(fā)生在基站收發(fā)信臺的某些計算可發(fā)生在網(wǎng)絡的其它部分����,但將傳送到正確的基站收發(fā)信臺。移動臺可由任何其它適當?shù)墓潭ɑ蛞苿咏K端替代���。
本發(fā)明的實施例可用于任何適當?shù)臒o線蜂窩通信網(wǎng)絡?��,F(xiàn)在參考圖10��,圖10示出了網(wǎng)絡分層結構����?;綛TS 1-4與相應的移動臺MS1-6通信。尤其是第一基站BTS1與第一和第二移動臺MS 1和2通信��。第二基站BTS 2與第三和第四移動臺通信�����,第三基站BTS 3與第五移動臺MS5通信���,而第四基站BTS 4與第六移動臺MS 6通信����。第一和第二基站BTS1和2連接第一基站控制器BSC 1����,而第三和第四基站BTS 3和4連接第二基站控制器BSC 2。第一和第二基站控制器BSC 1和2連接一個移動業(yè)務交換中心MSSC���。
實際上可提供多個移動業(yè)務交換中心�,每個移動業(yè)務交換中心連接多個基站控制器�����。通常有兩個以上的基站控制器連接一個移動業(yè)務交換中心�。兩個以上的基站可連接到每個基站控制器。當然����,許多遠不止兩個移動臺將與一個基站通信。
可在圖10所示的任何一個或多個網(wǎng)絡單元確定使用何種方法�����。例如��,可在移動臺�����、基站收發(fā)信臺�����、鑒權中心、移動業(yè)務交換中心等進行確定����。或者��,可由任何其它適當?shù)膯卧M行判定�。也可提供專用于確定使用方法的單元。信任的第三方可為基站控制器���、移動業(yè)務交換中心或其它單元��。
本發(fā)明的實施例也可用于要求鑒權的其它情況���,如其它形式的無線通信,或使用固定有線連接的通信�。本發(fā)明的實施例不僅適用于通信網(wǎng)絡,而且適用于有線或無線的點到點連接��。
權利要求
1.一種利用第一和第二方信任的第三方鑒權所述第一和第二方之間通信的鑒權方法��,包括步驟由信任的第三方利用第一方的參數(shù)計算第一鑒權輸出值���,以及利用第一鑒權輸出值計算第二鑒權輸出值��,并發(fā)送第二鑒權輸出到第二方�;第一方計算第一鑒權輸出值,并發(fā)送第一鑒權輸出值到第二方�����;以及第二方根據(jù)從第一方接收的第一鑒權輸出值計算第二鑒權輸出�����,并比較計算的第二鑒權輸出值與從信任的第三方接收的第二鑒權輸出值�����,借此�����,如果這兩個第二鑒權輸出值相同�,則第一方被鑒權����。
2.根據(jù)權利要求1的方法,其中該方法包括步驟第一方計算第二鑒權輸出值����,發(fā)送由信任的第三方計算的第二鑒權輸出值到所述第一方����,并且第一方比較其計算的第二鑒權輸出值與第三方連接的第二鑒權輸出值�����,從而第二方被鑒權�����。
3.根據(jù)權利要求2的方法��,其中由信任的第三方計算第二鑒權輸出值通過第二站被發(fā)送到第一方�����。
4.根據(jù)權利要求1��、2或3的方法�����,其中第一和第二鑒權輸出的至少一個為哈希函數(shù)的輸出���。
5.根據(jù)權利要求4的方法����,其中所述第一和第二鑒權輸出值均為哈希函數(shù)的輸出,而且所述哈希函數(shù)均為單向函數(shù)����。
6.根據(jù)權利要求4或5的方法,其中至少一個所述哈希函數(shù)值長至少160比特��。
7.根據(jù)權利要求4����、5或6中任何一個的方法��,其中一個哈希函數(shù)包括所述第一和第二方共用的一個密碼�。
8.根據(jù)權利要求7的方法,其中所述密碼包括一個Diffie-Hellman函數(shù)��。
9.根據(jù)權利要求7或8的方法����,其中該共用密碼被至少一方用來加密第一和第二方之間的通信。
10.根據(jù)權利要求7����、8或9中任何一個的方法����,其中該共用密碼為gxymod n����,其中g為Diffie-Hellman函數(shù),x和y為隨機數(shù)�����,而n為Diifie-Hellman函數(shù)的模�。
11.根據(jù)前述任何一個權利要求的方法,其中至少一個隨機數(shù)用于加密第一和第二方之間的通信�。
12.根據(jù)權利要求11的方法,其中加密函數(shù)的密鑰重置發(fā)生在至少一個隨機數(shù)改變時���。
13.根據(jù)前述任何一個權利要求的方法�����,其中至少一個參數(shù)值從第一站發(fā)送到第二站�。
14.根據(jù)前述任何一個權利要求的方法,其中至少一個參數(shù)值從第二站發(fā)送到第一站����。
15.根據(jù)前述任何一個權利要求的方法,其中信任的第三方與第二方建立安全連接�。
16.根據(jù)前述任何一個權利要求的方法,其中所述第一和第二方中至少一方的身份僅以編碼形式發(fā)送到所述第一和第二方的另一方�����。
17.根據(jù)權利要求16的方法����,其中在所述第一和第二鑒權輸出值的其中一個內發(fā)送該身份。
18.根據(jù)權利要求16的方法���,其中身份以加密形式發(fā)送。
19.根據(jù)前述任何一個權利要求的方法����,其中該方法用于通信網(wǎng)絡。
20.根據(jù)權利要求19的方法��,其中所述第一和第二方中至少一方包括一個移動臺��。
21.根據(jù)權利要求20或21的方法,其中所述第一和第二方中至少一方包括一個基站�����。
22.一種利用第一站和第二站信任的第三方與所述第二站通信的第一站�����,所述第一站包括接收裝置�,用于從所述第二站接收第一鑒權輸出值,以及從所述信任的第三方接收第二鑒權輸出值�����;計算裝置���,用于從第二站接收的第一鑒權輸出值中計算第二鑒權輸出值���;以及比較裝置,用于比較計算的第二鑒權輸出值與從信任的第三方接收的第二鑒權輸出值�����,借此�,如果這兩個第二鑒權輸出值相同���,則第一方被鑒權。
23.根據(jù)權利要求22的第一站�,其中所述第一站為移動臺。
24.根據(jù)權利要求22的第一站�����,其中所述第一站為基站收發(fā)信臺��。
25.根據(jù)權利要求22�����、23或24的第一站�����,其中所述第一站從信任的第三方經(jīng)第二站接收第二鑒權輸出值��。
26.一種無線通信系統(tǒng)�,包括根據(jù)權利要求22到25中任何一個的第一站和第二站�,其中所述第二站用于計算第一鑒權輸出值,并發(fā)送第一鑒權輸出值到第一方�。
全文摘要
一種利用第一和第二方信任的第三方鑒權所述第一和第二方之間通信的鑒權方法,包括步驟:由信任的第三方利用第一方的參數(shù)計算第一鑒權輸出值,以及利用第一鑒權輸出計算第二鑒權輸出值,并發(fā)送第二鑒權輸出值到第二方;第一方計算第一鑒權輸出值,并發(fā)送第一鑒權輸出值到第二方;以及第二方根據(jù)從第一方接收的第一鑒權輸出值計算第二鑒權輸出,并比較計算的第二鑒權輸出值與從信任的第三方接收的第二鑒權輸出值,如果這兩個第二鑒權輸出值相同,則第一方被鑒權。
文檔編號G06F21/20GK1345498SQ00804923
公開日2002年4月17日 申請日期2000年2月10日 優(yōu)先權日1999年2月11日
發(fā)明者安蒂·休馬 申請人:諾基亞網(wǎng)絡有限公司