專(zhuān)利名稱(chēng):網(wǎng)絡(luò)設(shè)備生成用戶(hù)卡鑒權(quán)隨機(jī)數(shù)的方法及鑒權(quán)方法
技術(shù)領(lǐng)域:
本發(fā)明涉及鑒權(quán)技術(shù)���,具體涉及移動(dòng)通信網(wǎng)絡(luò)中網(wǎng)絡(luò)設(shè)備生成用戶(hù)卡鑒權(quán)隨機(jī)數(shù)的方法和相應(yīng)的鑒權(quán)方法���。
背景技術(shù):
目前的移動(dòng)終端大多數(shù)采用機(jī)卡分離的方式,也就是移動(dòng)終端本身和保存了用于驗(yàn)證無(wú)線(xiàn)網(wǎng)絡(luò)用戶(hù)的信息的用戶(hù)卡是兩個(gè)獨(dú)立的部分����,在使用時(shí)將它們結(jié)合在一起即可。目前的用戶(hù)卡主要是用于無(wú)線(xiàn)通信系統(tǒng)中的用戶(hù)標(biāo)識(shí)模塊卡���,比如����,全球移動(dòng)通信(GSM)系統(tǒng)的用戶(hù)標(biāo)識(shí)模塊(SIM)卡����、寬帶碼分多址(WCDMA)通信系統(tǒng)的USIM卡或碼分多址(CDMA)通信系統(tǒng)的UIM卡等等。這種方式具有很多突出的優(yōu)點(diǎn),例如用戶(hù)想更換一個(gè)移動(dòng)終端的話(huà)�,只需要購(gòu)買(mǎi)一個(gè)新的移動(dòng)終端并且將原有的用戶(hù)卡插入到新的移動(dòng)終端即可,這樣�,由于用戶(hù)的信息不需要改變,因此用戶(hù)也不需要向通信運(yùn)行商辦理任何更換移動(dòng)終端的手續(xù)��。這種方式還有一個(gè)更加突出的優(yōu)點(diǎn)是�,移動(dòng)通信運(yùn)營(yíng)商開(kāi)展移動(dòng)業(yè)務(wù)比如放號(hào)等工作可以和移動(dòng)終端的銷(xiāo)售工作很好地分離開(kāi)來(lái)���,從而便于移動(dòng)業(yè)務(wù)的開(kāi)展����,以及終端銷(xiāo)售的相對(duì)獨(dú)立�,給移動(dòng)業(yè)務(wù)營(yíng)運(yùn)和終端銷(xiāo)售帶來(lái)很大的靈活性。
但是采用機(jī)卡分離方式給用戶(hù)帶來(lái)極大方便的同時(shí)�,也導(dǎo)致移動(dòng)終端被盜和被搶現(xiàn)象時(shí)有發(fā)生,以至于在有些地方人們不敢將移動(dòng)終端掛在腰間�����。因?yàn)樵跈C(jī)卡分離方式下���,只要在所盜搶的移動(dòng)終端上換上一個(gè)新的用戶(hù)卡就可以毫無(wú)障礙地使用��。這樣盜賊可以將所盜搶的移動(dòng)終端再銷(xiāo)售出去從而獲利��。這樣����,用戶(hù)不但經(jīng)濟(jì)利益受到損失,而且還需要去通信運(yùn)營(yíng)商處辦理一系列手續(xù)�,例如更改簽約數(shù)據(jù),給用戶(hù)帶來(lái)了很大的不便�,同時(shí),移動(dòng)終端的丟失���,用戶(hù)保存在移動(dòng)終端里的常用信息���,比如號(hào)碼簿記錄等等也會(huì)丟失,將給用戶(hù)日常生活和工作造成很大的影響�����。
在目前有些移動(dòng)通信網(wǎng)絡(luò)����,如第三代移動(dòng)通信網(wǎng)絡(luò)的通用移動(dòng)通信系統(tǒng)(UMTS)所使用的鑒權(quán)方法中,用戶(hù)卡可以對(duì)移動(dòng)通信網(wǎng)絡(luò)進(jìn)行鑒權(quán)���,當(dāng)鑒權(quán)成功后�����,用戶(hù)卡可以正常使用��,而當(dāng)鑒權(quán)失敗后�����,用戶(hù)卡不能在移動(dòng)通信網(wǎng)絡(luò)中正常使用�����。但是這種方法只能解決移動(dòng)終端中用戶(hù)卡安全性問(wèn)題�����,而不能解決移動(dòng)終端本身防盜的問(wèn)題���。例如,盜賊盜搶了合法用戶(hù)的移動(dòng)終端之后���,可以將合法用戶(hù)的用戶(hù)卡更換為自己的用戶(hù)卡���,這樣在現(xiàn)有的鑒權(quán)方法中該用戶(hù)卡將會(huì)鑒權(quán)成功��,這樣盜賊依然可以使用該盜搶的移動(dòng)終端而不能禁止被盜手機(jī)繼續(xù)使用����,從而不能達(dá)到對(duì)移動(dòng)終端進(jìn)行防盜的作用��。而第二代移動(dòng)通信網(wǎng)絡(luò)也不支持機(jī)卡分離的終端對(duì)網(wǎng)絡(luò)鑒權(quán)��,因此����,也不能解決防盜問(wèn)題。
發(fā)明內(nèi)容
有鑒于此���,本發(fā)明的一個(gè)發(fā)明目的是提供一種移動(dòng)通信系統(tǒng)中網(wǎng)絡(luò)側(cè)設(shè)備生成用戶(hù)卡鑒權(quán)隨機(jī)數(shù)的方法��,以使移動(dòng)終端通過(guò)這種定制的用戶(hù)卡鑒權(quán)隨機(jī)數(shù)可以對(duì)網(wǎng)絡(luò)進(jìn)行鑒權(quán)�����,從而提高移動(dòng)終端的安全性��,防止移動(dòng)終端被盜搶�。
本發(fā)明的另一個(gè)目的是提供一種移動(dòng)通信系統(tǒng)中移動(dòng)終端利用用戶(hù)卡鑒權(quán)隨機(jī)數(shù)對(duì)網(wǎng)絡(luò)進(jìn)行鑒權(quán)的方法,以通過(guò)對(duì)網(wǎng)絡(luò)的鑒權(quán)提高移動(dòng)終端的安全性��,從而防止移動(dòng)終端被盜搶后繼續(xù)使用�����。
本發(fā)明還有一個(gè)目的是提供一種移動(dòng)通信系統(tǒng)中的鑒權(quán)方法���,以通過(guò)移動(dòng)終端對(duì)網(wǎng)絡(luò)的鑒權(quán)提高移動(dòng)終端的安全性�,從而防止移動(dòng)終端被盜搶��。
根據(jù)本發(fā)明的第一個(gè)方面���,一種移動(dòng)通信系統(tǒng)中網(wǎng)絡(luò)設(shè)備生成用戶(hù)卡鑒權(quán)隨機(jī)數(shù)的方法至少包括a.預(yù)先在網(wǎng)絡(luò)設(shè)備中設(shè)置對(duì)應(yīng)于移動(dòng)終端的安全密鑰和終端鑒權(quán)序列號(hào)���;b.網(wǎng)絡(luò)設(shè)備生成終端鑒權(quán)隨機(jī)數(shù)��,根據(jù)所述安全密鑰��、所述終端鑒權(quán)序列號(hào)和該終端鑒權(quán)隨機(jī)數(shù)生成終端消息鑒權(quán)編碼�;c.網(wǎng)絡(luò)設(shè)備根據(jù)所述終端鑒權(quán)隨機(jī)數(shù)、所述終端鑒權(quán)序列號(hào)和所述終端消息鑒權(quán)編碼生成新的用戶(hù)卡鑒權(quán)隨機(jī)數(shù)���。
較佳地���,步驟c所述根據(jù)終端鑒權(quán)隨機(jī)數(shù)����、終端鑒權(quán)序列號(hào)和終端消息鑒權(quán)編碼生成新的用戶(hù)卡鑒權(quán)隨機(jī)數(shù)是將終端鑒權(quán)隨機(jī)數(shù)����、終端鑒權(quán)序列號(hào)和終端消息鑒權(quán)編碼組合成用戶(hù)卡鑒權(quán)隨機(jī)數(shù)。
較佳地���,網(wǎng)絡(luò)設(shè)備是歸屬位置寄存器/驗(yàn)證中心HLR/AUC�����。該方法可以進(jìn)一步包括HLR/AUC將生成的用戶(hù)卡鑒權(quán)隨機(jī)數(shù)發(fā)送給MSC/VLR或SGSN�。另外��,該方法可以進(jìn)一步包括HLR/AUC根據(jù)用戶(hù)卡鑒權(quán)隨機(jī)數(shù)生成包含了該用戶(hù)卡鑒權(quán)隨機(jī)數(shù)的鑒權(quán)集�,并進(jìn)一步包括HLR/AUC將生成的鑒權(quán)集發(fā)送給MSC/VLR或SGSN。
較佳地����,步驟b之前進(jìn)一步包括判斷是否執(zhí)行根據(jù)安全密鑰生成用戶(hù)卡鑒權(quán)隨機(jī)數(shù)的步驟���,如果是,執(zhí)行步驟b����;否則不執(zhí)行根據(jù)安全密鑰生成用戶(hù)卡鑒權(quán)隨機(jī)數(shù)的步驟。
由于移動(dòng)通信系統(tǒng)中的網(wǎng)絡(luò)設(shè)備在生成用戶(hù)卡鑒權(quán)隨機(jī)數(shù)時(shí)���,使用了預(yù)先設(shè)置的對(duì)應(yīng)于移動(dòng)終端的安全密鑰�,從而使本發(fā)明方法的用戶(hù)卡鑒權(quán)隨機(jī)數(shù)不同于現(xiàn)有技術(shù)中沒(méi)有考慮安全密鑰的用戶(hù)卡鑒權(quán)隨機(jī)數(shù)�,再配合移動(dòng)終端在接收到用戶(hù)卡鑒權(quán)隨機(jī)數(shù)后的處理,即可實(shí)現(xiàn)由移動(dòng)終端對(duì)網(wǎng)絡(luò)進(jìn)行鑒權(quán)��,而不同于現(xiàn)有技術(shù)中移動(dòng)終端僅僅將用戶(hù)卡鑒權(quán)隨機(jī)數(shù)傳送給用戶(hù)卡�����,而移動(dòng)終端自己卻不根據(jù)用戶(hù)卡鑒權(quán)隨機(jī)數(shù)對(duì)網(wǎng)絡(luò)進(jìn)行鑒權(quán)的情況��。
在由移動(dòng)終端對(duì)網(wǎng)絡(luò)進(jìn)行鑒權(quán)的情況下���,如果移動(dòng)終端被盜搶?zhuān)欠ㄓ脩?hù)在更換一個(gè)用戶(hù)卡之后,由于移動(dòng)終端中保存的安全密鑰是對(duì)應(yīng)于網(wǎng)絡(luò)側(cè)按照合法用戶(hù)卡為該移動(dòng)終端設(shè)置的安全密鑰�,比如合法用戶(hù)的簽約信息里設(shè)置的安全密鑰�����,而和非法用戶(hù)的簽約信息里設(shè)置的安全密鑰不一致���,因此移動(dòng)終端對(duì)網(wǎng)絡(luò)的鑒權(quán)將不會(huì)通過(guò),這樣���,非法用戶(hù)將不能正常使用該移動(dòng)終端����;或者安全密鑰是對(duì)應(yīng)于網(wǎng)絡(luò)側(cè)按照該移動(dòng)終端標(biāo)識(shí)設(shè)置的安全密鑰�,這樣一旦用戶(hù)在丟失移動(dòng)終端后去運(yùn)營(yíng)商處修改網(wǎng)絡(luò)側(cè)對(duì)應(yīng)于自己的移動(dòng)終端設(shè)備的安全密鑰信息,該移動(dòng)終端對(duì)網(wǎng)絡(luò)的鑒權(quán)也不會(huì)通過(guò)��,因此該移動(dòng)終端也將不能正常使用��。因此���,移動(dòng)終端對(duì)網(wǎng)絡(luò)的鑒權(quán)可以有效地提高移動(dòng)終端的安全性�,并有效防止移動(dòng)終端被盜搶���。
進(jìn)一步��,通過(guò)將根據(jù)終端鑒權(quán)隨機(jī)數(shù)�、終端鑒權(quán)序列號(hào)和終端消息鑒權(quán)編碼得到的新的用戶(hù)卡鑒權(quán)隨機(jī)數(shù)代替現(xiàn)有鑒權(quán)方法中的普通的用戶(hù)卡鑒權(quán)隨機(jī)數(shù),只需升級(jí)HLR/AUC和移動(dòng)終端即可實(shí)現(xiàn)本發(fā)明�����,而不需要更改大量的MSC/VLR或SGSN等網(wǎng)絡(luò)設(shè)備�,使本發(fā)明和現(xiàn)有技術(shù)的兼容性更好,更有利于本發(fā)明的實(shí)施���。
根據(jù)本發(fā)明的第二個(gè)方面���,一種移動(dòng)通信網(wǎng)絡(luò)中移動(dòng)終端對(duì)通信網(wǎng)絡(luò)進(jìn)行鑒權(quán)的方法至少包括a.預(yù)先在移動(dòng)終端中設(shè)置安全密鑰和終端鑒權(quán)序列號(hào);b.移動(dòng)終端在接收到來(lái)自網(wǎng)絡(luò)側(cè)設(shè)備的根據(jù)終端鑒權(quán)隨機(jī)數(shù)�����、終端鑒權(quán)序列號(hào)和終端消息鑒權(quán)編碼生成的用戶(hù)卡鑒權(quán)隨機(jī)數(shù)之后���,根據(jù)自己設(shè)置的安全密鑰和接收的用戶(hù)卡鑒權(quán)隨機(jī)數(shù)判斷對(duì)網(wǎng)絡(luò)的鑒權(quán)是否通過(guò)��。
較佳地�����,步驟b所述根據(jù)自己設(shè)置的安全密鑰和接收的用戶(hù)卡鑒權(quán)隨機(jī)數(shù)判斷對(duì)網(wǎng)絡(luò)的鑒權(quán)是否通過(guò)包括b1.從所述用戶(hù)卡鑒權(quán)隨機(jī)數(shù)中解析出終端鑒權(quán)隨機(jī)數(shù)����、終端鑒權(quán)序列號(hào)和終端消息鑒權(quán)編碼���;b2.根據(jù)自己設(shè)置的安全密鑰����、解析出的終端鑒權(quán)序列號(hào)和終端鑒權(quán)隨機(jī)數(shù)計(jì)算得到終端消息鑒權(quán)編碼���;b3.比較計(jì)算得到的終端消息鑒權(quán)編碼和解析出的終端消息鑒權(quán)編碼是否一致���,如果一致,判定對(duì)網(wǎng)絡(luò)的鑒權(quán)通過(guò)���;否則判定對(duì)網(wǎng)絡(luò)的鑒權(quán)失敗�����。
步驟b3可以進(jìn)一步包括判斷解析出的終端鑒權(quán)序列號(hào)和自己設(shè)置的終端鑒權(quán)序列號(hào)是否滿(mǎn)足預(yù)定條件����,如果是,判定對(duì)網(wǎng)絡(luò)的鑒權(quán)通過(guò)����;否則執(zhí)行同步終端鑒權(quán)序列號(hào)的步驟。這里的預(yù)定條件為解析出的終端鑒權(quán)序列號(hào)和自己設(shè)置的終端鑒權(quán)序列號(hào)的差值在一個(gè)預(yù)定范圍內(nèi)��。
較佳地��,步驟b之前進(jìn)一步包括判斷是否執(zhí)行根據(jù)安全密鑰和用戶(hù)卡鑒權(quán)隨機(jī)數(shù)判斷對(duì)網(wǎng)絡(luò)的鑒權(quán)是否通過(guò)的步驟���,如果是���,執(zhí)行步驟b;否則不執(zhí)行終端對(duì)網(wǎng)絡(luò)的鑒權(quán)步驟����。
由于移動(dòng)終端在接收到用戶(hù)卡鑒權(quán)隨機(jī)數(shù)之后根據(jù)自己保存的安全密鑰和接收到的用戶(hù)卡鑒權(quán)隨機(jī)數(shù)直接判斷對(duì)網(wǎng)絡(luò)的鑒權(quán)是否通過(guò),而不同于現(xiàn)有技術(shù)中移動(dòng)終端僅僅將用戶(hù)卡鑒權(quán)隨機(jī)數(shù)傳送給用戶(hù)卡����,而移動(dòng)終端自己卻不根據(jù)用戶(hù)卡鑒權(quán)隨機(jī)數(shù)對(duì)網(wǎng)絡(luò)進(jìn)行鑒權(quán)的情況。如前所述���,由于實(shí)現(xiàn)了由移動(dòng)終端自身對(duì)網(wǎng)絡(luò)的鑒權(quán)��,提高了移動(dòng)終端的安全性�,有效防止了移動(dòng)終端被盜搶。
根據(jù)本發(fā)明的第三個(gè)方面�,一種移動(dòng)通信網(wǎng)絡(luò)中的鑒權(quán)方法至少包括a.預(yù)先在網(wǎng)絡(luò)設(shè)備和移動(dòng)終端中分別設(shè)置對(duì)應(yīng)該移動(dòng)終端的安全密鑰和終端鑒權(quán)序列號(hào)��;b.網(wǎng)絡(luò)設(shè)備生成終端鑒權(quán)隨機(jī)數(shù)�����,根據(jù)所述安全密鑰�、所述終端鑒權(quán)序列號(hào)和該終端鑒權(quán)隨機(jī)數(shù)生成終端消息鑒權(quán)編碼;c.網(wǎng)絡(luò)設(shè)備根據(jù)所述終端鑒權(quán)隨機(jī)數(shù)��、所述終端鑒權(quán)序列號(hào)和所述終端消息鑒權(quán)編碼生成用戶(hù)卡鑒權(quán)隨機(jī)數(shù)�,并將該用戶(hù)卡鑒權(quán)隨機(jī)數(shù)發(fā)送給移動(dòng)終端;d.移動(dòng)終端根據(jù)自己設(shè)置的安全密鑰和接收的用戶(hù)卡鑒權(quán)隨機(jī)數(shù)判斷對(duì)網(wǎng)絡(luò)的鑒權(quán)是否通過(guò)���。
較佳地��,根據(jù)自己設(shè)置的安全密鑰和接收的用戶(hù)卡鑒權(quán)隨機(jī)數(shù)判斷對(duì)網(wǎng)絡(luò)的鑒權(quán)是否通過(guò)包括d1.從所述用戶(hù)卡鑒權(quán)隨機(jī)數(shù)中解析出終端鑒權(quán)隨機(jī)數(shù)����、終端鑒權(quán)序列號(hào)和終端消息鑒權(quán)編碼;d2.根據(jù)自己設(shè)置的安全密鑰��、解析出的終端鑒權(quán)序列號(hào)和終端鑒權(quán)隨機(jī)數(shù)計(jì)算得到一個(gè)終端消息鑒權(quán)編碼�;d3.比較計(jì)算得到的終端消息鑒權(quán)編碼和解析出的終端消息鑒權(quán)編碼是否一致,如果一致�,判定對(duì)網(wǎng)絡(luò)的鑒權(quán)通過(guò);否則判定對(duì)網(wǎng)絡(luò)的鑒權(quán)失敗�����。
網(wǎng)絡(luò)設(shè)備可以是HLR/AUC�,此時(shí)該方法進(jìn)一步包括HLR/AUC根據(jù)鑒權(quán)密鑰和用戶(hù)卡鑒權(quán)隨機(jī)數(shù)生成包含用戶(hù)卡鑒權(quán)隨機(jī)數(shù)的鑒權(quán)集,并將該鑒權(quán)集發(fā)送給MSC/VLR或SGSN���;鑒權(quán)時(shí)�����,MSC/VLR或SGSN從鑒權(quán)集中取出用戶(hù)卡鑒權(quán)隨機(jī)數(shù)����,并將該用戶(hù)卡鑒權(quán)隨機(jī)數(shù)發(fā)送給移動(dòng)終端����。
如前所述�����,由于結(jié)合了第一方面和第二方面�����,因此實(shí)現(xiàn)了由移動(dòng)終端自身對(duì)網(wǎng)絡(luò)的鑒權(quán)����,提高了移動(dòng)終端的安全性����,有效防止了移動(dòng)終端被盜搶���。進(jìn)一步�����,通過(guò)將根據(jù)終端鑒權(quán)隨機(jī)數(shù)���、終端鑒權(quán)序列號(hào)和終端消息鑒權(quán)編碼得到的新的用戶(hù)卡鑒權(quán)隨機(jī)數(shù)代替現(xiàn)有鑒權(quán)方法中普通的用戶(hù)卡鑒權(quán)隨機(jī)數(shù),只需升級(jí)HLR/AUC和移動(dòng)終端即可實(shí)現(xiàn)本發(fā)明�����,而不需要更改大量的MSC/VLR或SGSN等網(wǎng)絡(luò)設(shè)備,使本發(fā)明和現(xiàn)有技術(shù)的兼容性更好���,更有利于本發(fā)明的實(shí)施��。
圖1是根據(jù)本發(fā)明的網(wǎng)絡(luò)設(shè)備生成用戶(hù)卡鑒權(quán)隨機(jī)數(shù)的總體流程圖�。
圖2是根據(jù)本發(fā)明的網(wǎng)絡(luò)設(shè)備生成用戶(hù)卡鑒權(quán)隨機(jī)數(shù)的一個(gè)具體實(shí)施例的流程圖���。
圖3是根據(jù)本發(fā)明的移動(dòng)終端對(duì)網(wǎng)絡(luò)進(jìn)行鑒權(quán)的總體流程圖�����。
圖4是根據(jù)本發(fā)明的移動(dòng)終端對(duì)網(wǎng)絡(luò)進(jìn)行鑒權(quán)的一個(gè)具體實(shí)施例的流程圖��。
圖5是根據(jù)本發(fā)明的整體鑒權(quán)操作的流程圖����。
圖6是根據(jù)本發(fā)明的整體鑒權(quán)操作的一個(gè)具體實(shí)施例的流程圖���。
圖7是根據(jù)本發(fā)明的整體鑒權(quán)操作的另一個(gè)具體實(shí)施例的流程圖����。
具體實(shí)施例方式
下面結(jié)合附圖和具體實(shí)施例對(duì)本發(fā)明進(jìn)行詳細(xì)說(shuō)明。
圖1示出了根據(jù)本發(fā)明的網(wǎng)絡(luò)設(shè)備生成用戶(hù)卡鑒權(quán)隨機(jī)數(shù)(RAND)的總體流程圖���。如圖1所示��,在步驟101��,首先在網(wǎng)絡(luò)設(shè)備中設(shè)置一個(gè)對(duì)應(yīng)移動(dòng)終端的安全密鑰(SKEY)和一個(gè)終端鑒權(quán)序列號(hào)(msSQN)�。
在步驟102����,網(wǎng)絡(luò)設(shè)備在針對(duì)某一個(gè)移動(dòng)終端生成RAND時(shí),首先產(chǎn)生一個(gè)終端鑒權(quán)隨機(jī)數(shù)(msRAND)��。
在步驟103�,網(wǎng)絡(luò)設(shè)備根據(jù)對(duì)應(yīng)該移動(dòng)終端的SKEY���、msSQN和產(chǎn)生的msRAND生成終端消息鑒權(quán)編碼(msMAC)����。
在步驟104�����,網(wǎng)絡(luò)設(shè)備根據(jù)msRAND、msSQN和msMAC生成RAND�。
圖2示出了網(wǎng)絡(luò)設(shè)備生成RAND的一個(gè)具體實(shí)施例。這里的網(wǎng)絡(luò)設(shè)備是HLR/AUC��。由于本領(lǐng)域技術(shù)人員公知�����,HLR和AUC通常集成在一個(gè)設(shè)備中����,該設(shè)備同時(shí)起到歸屬位置寄存器和驗(yàn)證中心的作用,因此這里將該設(shè)備稱(chēng)為HLR/AUC�。
如圖2所示,在步驟201�����,首先在HLR/AUC中保存對(duì)應(yīng)移動(dòng)終端的SKEY和msSQN����。
在步驟202,HLR/AUC利用自己的隨機(jī)數(shù)發(fā)生器產(chǎn)生一個(gè)msRAND���。
在步驟203��,HLR/AUC利用預(yù)先設(shè)置的對(duì)應(yīng)移動(dòng)終端的SKEY��、msSQN以及msRAND生成msMAC��。
在步驟204��,HLR/AUC將步驟202中生成的msRAND���、步驟203中生成的msMAC和已知的msSQN組合成RAND����。
在步驟205�,HLR/AUC利用自己保存的鑒權(quán)密鑰(KI)和RAND產(chǎn)生鑒權(quán)集。
對(duì)于WCDMA通信網(wǎng)絡(luò)����,HLR/AUC利用自己保存的KI和RAND計(jì)算得到期望響應(yīng)(XRES)�、加密密鑰(CK)、完整性密鑰(IK)和鑒權(quán)標(biāo)記(AUTN)�,并將RAND、XRES�����、CK、IK和AUTN組成一個(gè)該移動(dòng)終端的五元組鑒權(quán)集�����。產(chǎn)生AUTN時(shí)�����,首先根據(jù)KI���、用戶(hù)卡鑒權(quán)序列號(hào)(SQN)�����、鑒權(quán)管理域(AMF)和RAND計(jì)算得到用戶(hù)卡消息鑒權(quán)編碼(MAC)����,再由SQN���、AMF和MAC產(chǎn)生AUTN�����。
對(duì)于GSM通信網(wǎng)絡(luò)�����,HLR/AUC利用自己保存的鑒權(quán)密鑰(KI)和RAND計(jì)算得到符號(hào)響應(yīng)(SRES)����、密碼密鑰(KC),并將RAND�、SRES、KC組成一個(gè)該移動(dòng)終端的三元組鑒權(quán)集���。
在步驟206���,HLR/AUC將鑒權(quán)集發(fā)送給MSC/VLR。這里同樣由于MSC和VLR通常集成在一個(gè)設(shè)備中����,因此將該設(shè)備稱(chēng)為MSC/VLR。
在步驟207�����,鑒權(quán)時(shí)����,MSC/VLR在該移動(dòng)終端的相應(yīng)的鑒權(quán)集中提取出RAND,將其發(fā)送給移動(dòng)終端�。對(duì)于WCDMA網(wǎng)絡(luò)來(lái)說(shuō),MSC/VLR還要將AUTN也發(fā)送給移動(dòng)終端���。
這里����,步驟204中將msRAND��、msMAC和msSQN組合成RAND可以是簡(jiǎn)單地將它們并接在一起�����。例如現(xiàn)有協(xié)議規(guī)定HLR/AUC發(fā)送給MSC/VLR的RAND應(yīng)該是128位�,因此現(xiàn)有技術(shù)中HLR/AUC利用隨機(jī)數(shù)發(fā)生器產(chǎn)生的隨機(jī)數(shù)都是128位的。而本發(fā)明的步驟202中可以產(chǎn)生一個(gè)64位的msRAND���,或者將產(chǎn)生的一個(gè)128位隨機(jī)數(shù)分成兩個(gè)64位的msRAND來(lái)使用�。并規(guī)定msSQN和msMAC都是32位����,這樣將32位的msMAC和32位的msSQN并接在64位的msRAND之后,即可組成協(xié)議規(guī)定的128位的新RAND。和現(xiàn)有技術(shù)相比���,新RAND中包括了msSQN信息和msMAC信息����,而msMAC的生成過(guò)程又考慮了SKEY信息����,因此本發(fā)明的新RAND中包括SKEY信息,而不同于現(xiàn)有技術(shù)中的純粹的隨機(jī)數(shù)��,使得通過(guò)本發(fā)明可以利用SKEY實(shí)現(xiàn)移動(dòng)終端對(duì)網(wǎng)絡(luò)的鑒權(quán)��,進(jìn)而提高了移動(dòng)終端的安全性���,防止了移動(dòng)終端被盜搶����。
當(dāng)然可以理解�����,也可以通過(guò)其他方法來(lái)根據(jù)64位的msRAND��、32位的msSQN和32位的msMAC生成128位的新RAND。
上述實(shí)施例中���,對(duì)于GSM網(wǎng)絡(luò)來(lái)說(shuō),鑒權(quán)集是一個(gè)三元組����,其中除了RAND之外,還包括SRES��、KC���,這三個(gè)參數(shù)發(fā)送到MSC/VLR之后由MSC/VLR保存�,其中SRES用來(lái)在MSC/VLR對(duì)移動(dòng)終端進(jìn)行鑒權(quán)時(shí)使用��,KC用于數(shù)據(jù)加解密�。對(duì)于WCDMA網(wǎng)絡(luò)來(lái)說(shuō),鑒權(quán)集是一個(gè)五元組����,其中除了RAND之外,還包括XRES��、CK�、IK和AUTN��。這四個(gè)參數(shù)發(fā)送到MSC/VLR之后由MSC/VLR保存����,其中XRES用來(lái)在MSC/VLR對(duì)移動(dòng)終端進(jìn)行鑒權(quán)時(shí)使用��,CK用于數(shù)據(jù)加解密����,IK用于數(shù)據(jù)完整性驗(yàn)證。
這里���,在步驟202之前可以進(jìn)一步包括一個(gè)判斷是否執(zhí)行根據(jù)SKEY生成用戶(hù)卡鑒權(quán)隨機(jī)數(shù)的步驟��,如果是�,執(zhí)行步驟202及其后續(xù)步驟�����;否則按照現(xiàn)有流程直接生成128位終端鑒權(quán)隨機(jī)數(shù)RAND作為用戶(hù)卡鑒權(quán)隨機(jī)數(shù)�����,然后進(jìn)行后續(xù)處理���。
判斷是否執(zhí)行根據(jù)SKEY生成RAND可以是預(yù)先設(shè)置一個(gè)安全標(biāo)志�,如果該安全標(biāo)志是表示需要根據(jù)SKEY生成RAND的值,例如1�,則意味著需要根據(jù)SKEY生成RAND,如果安全標(biāo)志是表示不需要根據(jù)SKEY生成RAND的值�,例如0�,則意味著不需要根據(jù)SKEY生成RAND。
可替代地��,判斷是否執(zhí)行根據(jù)SKEY生成RAND可以是判斷SKEY是否是一個(gè)特定值�,例如是0,如果是�����,則表示不需要根據(jù)SKEY生成RAND��,如果不是0而是其他任意值��,則表示需要根據(jù)SKEY生成RAND�。
在上述方法中,HLR/AUC每產(chǎn)生一次鑒權(quán)集之后就對(duì)msSQN進(jìn)行一次更新�����,換句話(huà)說(shuō),每個(gè)鑒權(quán)集都具有不同的msSQN��。對(duì)于msSQN的更新���,可以按照一定的算法進(jìn)行���,算法根據(jù)原有的msSQN生成新的msSQN。
上述說(shuō)明了網(wǎng)絡(luò)設(shè)備側(cè)生成RAND的處理�����,在網(wǎng)絡(luò)設(shè)備生成RAND之后會(huì)將該RAND發(fā)送到對(duì)應(yīng)的移動(dòng)終端�����,下面說(shuō)明移動(dòng)終端接收到該RAND之后所進(jìn)行的處理��。
圖3示出了移動(dòng)通信網(wǎng)絡(luò)中移動(dòng)終端對(duì)通信網(wǎng)絡(luò)進(jìn)行鑒權(quán)的總體方法流程�����。如圖3所示�,在步驟301,移動(dòng)終端首先設(shè)置一個(gè)SKEY和一個(gè)msSQN�,這里的SKEY和msSQN和網(wǎng)絡(luò)設(shè)備側(cè)設(shè)置并保存的對(duì)應(yīng)于自己的SKEY和msSQN一般是相同的��。
在步驟302�����,移動(dòng)終端在接收到來(lái)自網(wǎng)絡(luò)設(shè)備側(cè)的RAND之后��,根據(jù)該RAND和自己保存的SKEY判斷對(duì)網(wǎng)絡(luò)的鑒權(quán)是否通過(guò)��,如果通過(guò),在步驟303可以正常接入網(wǎng)絡(luò)����,如果未通過(guò),則認(rèn)定自己非法���,在步驟304停止自己的正常使用�����。
這里停止自己的正常使用可以是不允許自己接入網(wǎng)絡(luò)���,或者直接斷電或關(guān)機(jī)等,并且還可以配合例如發(fā)送短消息通知親友或安全機(jī)關(guān)等操作�����。
對(duì)于圖2所示的情況,移動(dòng)終端對(duì)網(wǎng)絡(luò)進(jìn)行鑒權(quán)的一個(gè)具體實(shí)施例示于圖4��。
在圖4的步驟401��,移動(dòng)終端首先保存一個(gè)SKEY和一個(gè)msSQN���,這里的SKEY和網(wǎng)絡(luò)設(shè)備側(cè)保存的對(duì)應(yīng)于自己的SKEY是一致的�����。一般來(lái)說(shuō)�,終端和網(wǎng)絡(luò)側(cè)分別保存的是一對(duì)對(duì)稱(chēng)密鑰����,通常情況下這對(duì)對(duì)稱(chēng)密鑰相同。
在步驟402�,鑒權(quán)時(shí),移動(dòng)終端在接收到來(lái)自MSC/VLR的RAND之后���,首先從中解析出msRAND�����、msSQN和msMAC��。
在步驟403����,移動(dòng)終端根據(jù)自己的SKEY和從RAND中解析得到的msRAND、msSQN計(jì)算得到一個(gè)msMAC值���,并比較自己計(jì)算得到的msMAC值和從RAND中解析出的msMAC值是否一致�,如果不一致���,則在步驟404判定對(duì)網(wǎng)絡(luò)的鑒權(quán)失?����。蝗绻恢?��,則在步驟405移動(dòng)終端判斷RAND是否可以接受�����,如果可以接受則在步驟406判定對(duì)網(wǎng)絡(luò)的鑒權(quán)通過(guò)�;否則在步驟407向網(wǎng)絡(luò)發(fā)起一個(gè)msSQN同步命令。msSQN同步方法可以采用SQN的同步方式來(lái)進(jìn)行��。
這里判斷RAND是否可以接受是通過(guò)判斷其中的msSQN來(lái)完成的����。移動(dòng)終端和網(wǎng)絡(luò)側(cè)會(huì)預(yù)先保存一個(gè)同步的msSQN,這樣���,終端在接收到網(wǎng)絡(luò)側(cè)的RAND時(shí)��,會(huì)通過(guò)比較自己保存的msSQN和從RAND中解析出的msSQN是否滿(mǎn)足預(yù)定的條件來(lái)判斷RAND是否可以接受���,該預(yù)定條件可以是RAND中解析出的msSQN和移動(dòng)終端自己保存的msSQN的差值在一個(gè)預(yù)定范圍內(nèi)。如果移動(dòng)終端判斷RAND中解析出的msSQN和自己保存的msSQN的差值在所述預(yù)定范圍內(nèi)���,則判定RAND是可接受的�,否則判定RAND是不可接受的��。
移動(dòng)終端判定RAND可以接受后�,使用從用戶(hù)卡鑒權(quán)隨機(jī)數(shù)中解析出的msSQN更新自己保存的msSQN。
這里�,在步驟402之前可以進(jìn)一步包括一個(gè)判斷是否執(zhí)行根據(jù)SKEY對(duì)網(wǎng)絡(luò)進(jìn)行鑒權(quán)的步驟�,如果是���,執(zhí)行步驟402����;否則不執(zhí)行根據(jù)SKEY對(duì)網(wǎng)絡(luò)進(jìn)行鑒權(quán)的步驟����。
判斷是否執(zhí)行根據(jù)SKEY對(duì)網(wǎng)絡(luò)進(jìn)行鑒權(quán)可以是預(yù)先設(shè)置一個(gè)安全標(biāo)志,如果該安全標(biāo)志是表示需要根據(jù)SKEY對(duì)網(wǎng)絡(luò)進(jìn)行鑒權(quán)的值����,例如1,則意味著需要根據(jù)SKEY對(duì)網(wǎng)絡(luò)進(jìn)行鑒權(quán)�,如果安全標(biāo)志是表示不需要根據(jù)SKEY對(duì)網(wǎng)絡(luò)進(jìn)行鑒權(quán)的值,例如0����,則意味著不需要根據(jù)SKEY對(duì)網(wǎng)絡(luò)進(jìn)行鑒權(quán)�����。
可替代地����,判斷是否執(zhí)行根據(jù)SKEY對(duì)網(wǎng)絡(luò)進(jìn)行鑒權(quán)可以是判斷SKEY是否是一個(gè)特定值���,例如是0,如果是��,則表示不需要根據(jù)SKEY對(duì)網(wǎng)絡(luò)進(jìn)行鑒權(quán)����,如果不是0而是其他任意值,則表示需要根據(jù)SKEY對(duì)網(wǎng)絡(luò)進(jìn)行鑒權(quán)�����。
上面分別說(shuō)明了網(wǎng)絡(luò)側(cè)設(shè)備生成用戶(hù)卡鑒權(quán)隨機(jī)數(shù)的流程和移動(dòng)終端側(cè)對(duì)網(wǎng)絡(luò)進(jìn)行鑒權(quán)的流程�����。下面根據(jù)圖5說(shuō)明本發(fā)明的移動(dòng)通信網(wǎng)絡(luò)中的鑒權(quán)方法的流程��。
如圖5所示����,在步驟501,首先在網(wǎng)絡(luò)設(shè)備和移動(dòng)終端中同時(shí)設(shè)置一個(gè)對(duì)應(yīng)移動(dòng)終端的SKEY和msSQN����。當(dāng)然��,這里網(wǎng)絡(luò)側(cè)設(shè)備設(shè)置的SKEY可以是對(duì)應(yīng)移動(dòng)終端特征信息來(lái)設(shè)置的SKEY��,也可以是對(duì)應(yīng)于用戶(hù)卡的IMSI來(lái)設(shè)置的SKEY��,也可以根據(jù)用戶(hù)的移動(dòng)終端號(hào)碼MSISDN來(lái)設(shè)置SKEY����。
在步驟502���,網(wǎng)絡(luò)設(shè)備在針對(duì)某一個(gè)移動(dòng)終端生成RAND時(shí)�����,首先產(chǎn)生一個(gè)msRAND���。
在步驟503,網(wǎng)絡(luò)設(shè)備利用對(duì)應(yīng)該移動(dòng)終端的SKEY��、msSQN和產(chǎn)生的msRAND生成msMAC����。
在步驟504,網(wǎng)絡(luò)設(shè)備將msRAND��、msSQN和msMAC組合成RAND���,并在鑒權(quán)時(shí)���,將RAND發(fā)送到對(duì)應(yīng)的移動(dòng)終端。
在步驟505�����,移動(dòng)終端在接收到來(lái)自網(wǎng)絡(luò)設(shè)備側(cè)的RAND之后��,根據(jù)該RAND和自己保存的SKEY判斷對(duì)網(wǎng)絡(luò)的鑒權(quán)是否通過(guò)��,如果通過(guò)���,在步驟506可以正常接入網(wǎng)絡(luò)���,如果未通過(guò),在步驟507停止自己的正常使用���。
移動(dòng)終端判定對(duì)網(wǎng)絡(luò)的鑒權(quán)通過(guò)后�,使用接收的RAND中的msSQN更新自己保存的msSQN。
下面結(jié)合圖2和圖4的具體實(shí)施例說(shuō)明完整的鑒權(quán)方法�。圖6示出了在WCDMA系統(tǒng)應(yīng)用環(huán)境下的實(shí)施例。
如圖6所示��,在步驟601���,首先在HLR/AUC和移動(dòng)終端中同時(shí)保存對(duì)應(yīng)移動(dòng)終端鑒權(quán)的SKEY和msSQN���。
在步驟602,HLR/AUC產(chǎn)生一個(gè)msRAND��。HLR/AUC上有一個(gè)隨機(jī)數(shù)產(chǎn)生器���,通過(guò)該產(chǎn)生器可以直接產(chǎn)生msRAND����,也可以在產(chǎn)生一個(gè)臨時(shí)隨機(jī)數(shù)后�����,通過(guò)變換得到msRAND���。比如���,要求msRAND為64位��,而實(shí)際隨機(jī)數(shù)產(chǎn)生器產(chǎn)生的隨機(jī)數(shù)為128位,這時(shí)��,可以將128位的隨機(jī)數(shù)分成兩個(gè)64位的隨機(jī)數(shù)分別作為兩個(gè)msRAND來(lái)使用�����。
在步驟603��,HLR/AUC利用預(yù)先保存的對(duì)應(yīng)移動(dòng)終端的SKEY���、msSQN以及msRAND生成msMAC�����。
在步驟604�,HLR/AUC將msRAND�����、msSQN和msMAC組合成RAND�。如前所述�����,這里的組合可以是簡(jiǎn)單地將它們并接在一起��,例如將64位的msRAND�、32位的msSQN和32位的msMAC并接形成128位的RAND�����。
在步驟605�����,HLR/AUC利用自己保存的KI和RAND產(chǎn)生鑒權(quán)集�。
HLR/AUC利用自己保存的KI和RAND計(jì)算得到XRES、CK和IK���,利用KI����、SQN����、AMF和RAND計(jì)算得到MAC����,并根據(jù)SQN��、AMF和MAC產(chǎn)生AUTN��,并將RAND�����、XRES����、CK�����、IK和AUTN組成一個(gè)五元組鑒權(quán)集�。在現(xiàn)有的WCDMA系統(tǒng)鑒權(quán)流程中,SQN�、AMF是已知的,因此�,這里不再對(duì)其進(jìn)行詳細(xì)描述。
在步驟606,HLR/AUC將該鑒權(quán)集發(fā)送給MSC/VLR�。
在步驟607,鑒權(quán)時(shí)���,MSC/VLR在該移動(dòng)終端的相應(yīng)的鑒權(quán)集中提取RAND��,并將其發(fā)送給移動(dòng)終端�。
由于是WCDMA系統(tǒng)�,同時(shí)發(fā)送給終端的還有AUTN,即MSC/VLR在該移動(dòng)終端的相應(yīng)的鑒權(quán)集中提取RAND和AUTN���,并將RAND和AUTN一起發(fā)送給移動(dòng)終端���。
在步驟608,移動(dòng)終端在接收到來(lái)自MSC/VLR的RAND之后�����,首先解析出msRAND���、msSQN和msMAC��。
在步驟609�,移動(dòng)終端根據(jù)自己的SKEY和從RAND中解析得到的msRAND、msSQN計(jì)算得到一個(gè)msMAC值����,并比較自己計(jì)算得到的msMAC值和從RAND中解析出的msMAC值是否一致,如果不一致����,則在步驟610判定對(duì)網(wǎng)絡(luò)的鑒權(quán)失敗,否則�����,即如果一致��,則在步驟611判斷RAND是否可以接受����,如果可以接受�����,則在步驟612判定對(duì)網(wǎng)絡(luò)的鑒權(quán)通過(guò)���;否則在步驟613移動(dòng)終端向網(wǎng)絡(luò)發(fā)起一個(gè)msSQN同步命令�����。
其中在步驟611中移動(dòng)終端根據(jù)解析出的msSQN和自己保存的msSQN判斷RAND是否可以接受�����,比如判斷解析出的msSQN和自己保存的msSQN的差值是否在一個(gè)預(yù)定范圍內(nèi)��,如果是��,判定RAND是可接受的�;否則判定RAND是不可接受的,移動(dòng)終端在判斷RAND不可接受時(shí),可以向網(wǎng)絡(luò)側(cè)發(fā)送一個(gè)同步msSQN的同步命令,通過(guò)同步流程,使終端和網(wǎng)絡(luò)對(duì)應(yīng)保存的msSQN同步。
在步驟614�����,移動(dòng)終端將RAND和AUTN發(fā)送給用戶(hù)卡��。
在步驟615�,用戶(hù)卡使用自己的KI和接收的RAND、AUTN判斷對(duì)網(wǎng)絡(luò)的鑒權(quán)是否通過(guò)�����,以及是否需要進(jìn)行SQN的同步,并在對(duì)網(wǎng)絡(luò)鑒權(quán)通過(guò)后�,生成XRES�����、CK和IK����。
在步驟616,用戶(hù)卡將生成的XRES發(fā)送給移動(dòng)終端�����。
在步驟617�,移動(dòng)終端將接收自用戶(hù)卡的XRES發(fā)送給MSC/VLR。
在步驟618��,MSC/VLR比較接收自移動(dòng)終端的XRES和接收自HLR/AUC的該移動(dòng)終端的相應(yīng)的鑒權(quán)集中XRES是否一致�。如果一致�����,在步驟619判定網(wǎng)絡(luò)對(duì)移動(dòng)終端鑒權(quán)通過(guò);否則在步驟620判定網(wǎng)絡(luò)對(duì)移動(dòng)終端鑒權(quán)失敗���。
這里的步驟614及其后續(xù)步驟的處理是為了進(jìn)行網(wǎng)絡(luò)對(duì)移動(dòng)終端的鑒權(quán)��,以及用戶(hù)卡和網(wǎng)絡(luò)協(xié)商CK、IK等等通信密鑰�����,在現(xiàn)有的鑒權(quán)流程中有詳盡的描述,本發(fā)明對(duì)此不再贅述��。
和現(xiàn)有的網(wǎng)絡(luò)對(duì)移動(dòng)終端的鑒權(quán)相比,這里移動(dòng)終端給用戶(hù)卡發(fā)送的RAND是定制的,而不是現(xiàn)有鑒權(quán)處理流程中的純粹由隨機(jī)數(shù)發(fā)生器產(chǎn)生的隨機(jī)的RAND�����,因此,移動(dòng)終端可以利用該RAND和自己保存的SKEY、msSQN等等對(duì)網(wǎng)絡(luò)進(jìn)行鑒權(quán)����。而對(duì)于用戶(hù)卡來(lái)說(shuō),其處理流程和現(xiàn)有處理流程完全相同�,因而不需要進(jìn)行任何升級(jí)就可以應(yīng)用本發(fā)明。
圖7示出了在GSM系統(tǒng)應(yīng)用環(huán)境下的實(shí)施例�����。如圖7所示����,在步驟701����,首先在HLR/AUC和移動(dòng)終端中同時(shí)保存對(duì)應(yīng)移動(dòng)終端鑒權(quán)的SKEY和msSQN。
在步驟702����,HLR/AUC產(chǎn)生一個(gè)msRAND��。
在步驟703,HLR/AUC利用預(yù)先保存的對(duì)應(yīng)移動(dòng)終端的SKEY、msSQN以及msRAND生成msMAC����。
在步驟704,HLR/AUC將msRAND�、msSQN和msMAC組合成RAND。
在步驟705�����,HLR/AUC利用自己保存的KI和RAND產(chǎn)生鑒權(quán)集���。
HLR/AUC利用自己保存的KI和RAND計(jì)算得到SRES�、KC����,并將RAND��、SRES和KC組成一個(gè)三元組鑒權(quán)集����。
在步驟706,HLR/AUC將該鑒權(quán)集發(fā)送給MSC/VLR����。
在步驟707�����,鑒權(quán)時(shí)�����,MSC/VLR在該移動(dòng)終端的相應(yīng)的鑒權(quán)集中提取RAND��,并將其發(fā)送給移動(dòng)終端。
在步驟708�,移動(dòng)終端在接收到來(lái)自MSC/VLR的RAND之后,首先解析出msRAND�����、msSQN和msMAC�����。
在步驟709����,移動(dòng)終端根據(jù)自己的SKEY和從RAND中解析得到的msRAND、msSQN計(jì)算得到一個(gè)msMAC值��,并比較自己計(jì)算得到的msMAC值和從RAND中解析出的msMAC值是否一致,如果不一致����,則在步驟710判定對(duì)網(wǎng)絡(luò)的鑒權(quán)失敗,否則�����,即如果一致�,則在步驟711判斷RAND是否可以接受,如果可以接受�����,則在步驟712判定對(duì)網(wǎng)絡(luò)的鑒權(quán)通過(guò)�;否則在步驟713移動(dòng)終端向網(wǎng)絡(luò)發(fā)起一個(gè)msSQN同步命令。
在步驟711��,移動(dòng)終端根據(jù)解析出的msSQN和自己保存的msSQN判斷RAND是否可以接受���,比如判斷解析出的msSQN和自己保存的msSQN的差值是否在一個(gè)預(yù)定范圍內(nèi)����,如果是�,判定RAND是可接受的��;否則判定RAND是不可接受的����,移動(dòng)終端在判斷RAND不可接受時(shí)���,可以向網(wǎng)絡(luò)側(cè)發(fā)送一個(gè)同步msSQN的同步命令���,通過(guò)同步流程,使終端和網(wǎng)絡(luò)對(duì)應(yīng)保存的msSQN同步���。
在步驟714,移動(dòng)終端將RAND發(fā)送給用戶(hù)卡��。
在步驟715���,用戶(hù)卡使用自己的KI和接收的RAND生成SRES和KC�。
在步驟716����,用戶(hù)卡將生成的SRES發(fā)送給移動(dòng)終端。
在步驟717��,移動(dòng)終端將接收自用戶(hù)卡的SRES發(fā)送給MSC/VLR。
在步驟718��,MSC/VLR比較接收自移動(dòng)終端的SRES和接收自HLR/AUC的該移動(dòng)終端的相應(yīng)的鑒權(quán)集中SRES是否一致����。如果一致,在步驟719判定網(wǎng)絡(luò)對(duì)移動(dòng)終端鑒權(quán)通過(guò)��;否則在步驟720判定網(wǎng)絡(luò)對(duì)移動(dòng)終端鑒權(quán)失敗����。
這里的步驟714及其后續(xù)步驟的處理是為了進(jìn)行網(wǎng)絡(luò)對(duì)移動(dòng)終端的鑒權(quán),以及用戶(hù)卡和網(wǎng)絡(luò)協(xié)商CK等等通信密鑰��,在現(xiàn)有的鑒權(quán)流程中有詳盡的描述��,具體可以參考GSM相關(guān)協(xié)議�,本發(fā)明對(duì)此不再贅述。
上述MSC/VLR為電路域設(shè)備���,對(duì)于分組域的網(wǎng)絡(luò)�,對(duì)應(yīng)的MSC/VLR設(shè)備可以為SGSN���。
可以理解���,以上所述僅為本發(fā)明的較佳實(shí)施例而已�����,并不用以限制本發(fā)明��,凡在本發(fā)明的精神和原則之內(nèi)���,所作的任何修改、等同替換�����、改進(jìn)等�,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。
權(quán)利要求
1.一種移動(dòng)通信系統(tǒng)中網(wǎng)絡(luò)設(shè)備生成用戶(hù)卡鑒權(quán)隨機(jī)數(shù)的方法�����,至少包括a.預(yù)先在網(wǎng)絡(luò)設(shè)備中設(shè)置對(duì)應(yīng)于移動(dòng)終端的安全密鑰和終端鑒權(quán)序列號(hào)����;b.網(wǎng)絡(luò)設(shè)備生成終端鑒權(quán)隨機(jī)數(shù),根據(jù)所述安全密鑰��、所述終端鑒權(quán)序列號(hào)和該終端鑒權(quán)隨機(jī)數(shù)生成終端消息鑒權(quán)編碼����;c.網(wǎng)絡(luò)設(shè)備根據(jù)所述終端鑒權(quán)隨機(jī)數(shù)、所述終端鑒權(quán)序列號(hào)和所述終端消息鑒權(quán)編碼生成新的用戶(hù)卡鑒權(quán)隨機(jī)數(shù)���。
2.根據(jù)權(quán)利要求1所述的方法����,其特征是�,步驟c所述根據(jù)終端鑒權(quán)隨機(jī)數(shù)、終端鑒權(quán)序列號(hào)和終端消息鑒權(quán)編碼生成新的用戶(hù)卡鑒權(quán)隨機(jī)數(shù)是將終端鑒權(quán)隨機(jī)數(shù)�����、終端鑒權(quán)序列號(hào)和終端消息鑒權(quán)編碼組合成用戶(hù)卡鑒權(quán)隨機(jī)數(shù)����。
3.根據(jù)權(quán)利要求1所述的方法,其特征是���,所述網(wǎng)絡(luò)設(shè)備是歸屬位置寄存器/驗(yàn)證中心HLR/AUC�����。
4.根據(jù)權(quán)利要求3所述的方法�����,其特征是��,該方法進(jìn)一步包括HLR/AUC將生成的用戶(hù)卡鑒權(quán)隨機(jī)數(shù)發(fā)送給移動(dòng)交換中心/拜訪位置寄存器MSC/VLR或業(yè)務(wù)GPRS支持節(jié)點(diǎn)SGSN�。
5.根據(jù)權(quán)利要求3所述的方法,其特征是�����,該方法進(jìn)一步包括HLR/AUC根據(jù)用戶(hù)卡鑒權(quán)隨機(jī)數(shù)生成包含了該用戶(hù)卡鑒權(quán)隨機(jī)數(shù)的鑒權(quán)集�,并進(jìn)一步包括HLR/AUC將生成的鑒權(quán)集發(fā)送給MSC/VLR或SGSN。
6.根據(jù)權(quán)利要求1所述的方法����,其特征是,步驟b之前進(jìn)一步包括判斷是否執(zhí)行根據(jù)安全密鑰生成用戶(hù)卡鑒權(quán)隨機(jī)數(shù)的步驟����,如果是���,執(zhí)行步驟b�����;否則不執(zhí)行根據(jù)安全密鑰生成用戶(hù)卡鑒權(quán)隨機(jī)數(shù)的步驟��。
7.一種移動(dòng)通信網(wǎng)絡(luò)中移動(dòng)終端對(duì)通信網(wǎng)絡(luò)進(jìn)行鑒權(quán)的方法���,至少包括a.預(yù)先在移動(dòng)終端中設(shè)置安全密鑰和終端鑒權(quán)序列號(hào)�;b.移動(dòng)終端在接收到來(lái)自網(wǎng)絡(luò)側(cè)設(shè)備的根據(jù)終端鑒權(quán)隨機(jī)數(shù)��、終端鑒權(quán)序列號(hào)和終端消息鑒權(quán)編碼生成的用戶(hù)卡鑒權(quán)隨機(jī)數(shù)之后���,根據(jù)自己設(shè)置的安全密鑰和接收的用戶(hù)卡鑒權(quán)隨機(jī)數(shù)判斷對(duì)網(wǎng)絡(luò)的鑒權(quán)是否通過(guò)���。
8.根據(jù)權(quán)利要求7所述的方法,其特征是�����,步驟b所述根據(jù)自己設(shè)置的安全密鑰和接收的用戶(hù)卡鑒權(quán)隨機(jī)數(shù)判斷對(duì)網(wǎng)絡(luò)的鑒權(quán)是否通過(guò)包括b1.從所述用戶(hù)卡鑒權(quán)隨機(jī)數(shù)中解析出終端鑒權(quán)隨機(jī)數(shù)�、終端鑒權(quán)序列號(hào)和終端消息鑒權(quán)編碼;b2.根據(jù)自己設(shè)置的安全密鑰����、解析出的終端鑒權(quán)序列號(hào)和終端鑒權(quán)隨機(jī)數(shù)計(jì)算得到終端消息鑒權(quán)編碼�;b3.比較計(jì)算得到的終端消息鑒權(quán)編碼和解析出的終端消息鑒權(quán)編碼是否一致��,如果一致�����,判定對(duì)網(wǎng)絡(luò)的鑒權(quán)通過(guò)�����;否則判定對(duì)網(wǎng)絡(luò)的鑒權(quán)失敗�。
9.根據(jù)權(quán)利要求8所述的方法,其特征是�,步驟b3進(jìn)一步包括判斷解析出的終端鑒權(quán)序列號(hào)和自己設(shè)置的終端鑒權(quán)序列號(hào)是否滿(mǎn)足預(yù)定條件,如果是�����,判定對(duì)網(wǎng)絡(luò)的鑒權(quán)通過(guò)�;否則執(zhí)行同步終端鑒權(quán)序列號(hào)的步驟。
10.根據(jù)權(quán)利要求9所述的方法��,其特征是����,所述預(yù)定條件為解析出的終端鑒權(quán)序列號(hào)和自己設(shè)置的終端鑒權(quán)序列號(hào)的差值在一個(gè)預(yù)定范圍內(nèi)。
11.根據(jù)權(quán)利要求7所述的方法�����,其特征是���,步驟b之前進(jìn)一步包括判斷是否執(zhí)行根據(jù)安全密鑰和用戶(hù)卡鑒權(quán)隨機(jī)數(shù)判斷對(duì)網(wǎng)絡(luò)的鑒權(quán)是否通過(guò)的步驟��,如果是��,執(zhí)行步驟b����;否則不執(zhí)行終端對(duì)網(wǎng)絡(luò)的鑒權(quán)步驟����。
12.一種移動(dòng)通信網(wǎng)絡(luò)中的鑒權(quán)方法,至少包括a.預(yù)先在網(wǎng)絡(luò)設(shè)備和移動(dòng)終端中分別設(shè)置對(duì)應(yīng)該移動(dòng)終端的安全密鑰和終端鑒權(quán)序列號(hào)����;b.網(wǎng)絡(luò)設(shè)備生成終端鑒權(quán)隨機(jī)數(shù),根據(jù)所述安全密鑰��、所述終端鑒權(quán)序列號(hào)和該終端鑒權(quán)隨機(jī)數(shù)生成終端消息鑒權(quán)編碼;c.網(wǎng)絡(luò)設(shè)備根據(jù)所述終端鑒權(quán)隨機(jī)數(shù)�、所述終端鑒權(quán)序列號(hào)和所述終端消息鑒權(quán)編碼生成用戶(hù)卡鑒權(quán)隨機(jī)數(shù),并將該用戶(hù)卡鑒權(quán)隨機(jī)數(shù)發(fā)送給移動(dòng)終端���;d.移動(dòng)終端根據(jù)自己設(shè)置的安全密鑰和接收的用戶(hù)卡鑒權(quán)隨機(jī)數(shù)判斷對(duì)網(wǎng)絡(luò)的鑒權(quán)是否通過(guò)����。
13.根據(jù)權(quán)利要求12所述的方法�,其特征是,步驟d中所述根據(jù)自己設(shè)置的安全密鑰和接收的用戶(hù)卡鑒權(quán)隨機(jī)數(shù)判斷對(duì)網(wǎng)絡(luò)的鑒權(quán)是否通過(guò)包括d1.從所述用戶(hù)卡鑒權(quán)隨機(jī)數(shù)中解析出終端鑒權(quán)隨機(jī)數(shù)����、終端鑒權(quán)序列號(hào)和終端消息鑒權(quán)編碼;d2.根據(jù)自己設(shè)置的安全密鑰���、解析出的終端鑒權(quán)序列號(hào)和終端鑒權(quán)隨機(jī)數(shù)計(jì)算得到一個(gè)終端消息鑒權(quán)編碼�����;d3.比較計(jì)算得到的終端消息鑒權(quán)編碼和解析出的終端消息鑒權(quán)編碼是否一致����,如果一致,判定對(duì)網(wǎng)絡(luò)的鑒權(quán)通過(guò)����;否則判定對(duì)網(wǎng)絡(luò)的鑒權(quán)失敗。
14.根據(jù)權(quán)利要求13所述的方法�,其特征是,所述網(wǎng)絡(luò)設(shè)備是HLR/AUC����,該方法進(jìn)一步包括HLR/AUC根據(jù)鑒權(quán)密鑰和用戶(hù)卡鑒權(quán)隨機(jī)數(shù)生成包含用戶(hù)卡鑒權(quán)隨機(jī)數(shù)的鑒權(quán)集�����,并將該鑒權(quán)集發(fā)送給MSC/VLR或SGSN����;鑒權(quán)時(shí),MSC/VLR或SGSN從鑒權(quán)集中取出用戶(hù)卡鑒權(quán)隨機(jī)數(shù)��,并將該用戶(hù)卡鑒權(quán)隨機(jī)數(shù)發(fā)送給移動(dòng)終端�。
全文摘要
本發(fā)明公開(kāi)了一種移動(dòng)通信網(wǎng)絡(luò)中的鑒權(quán)方法。在該方法中��,預(yù)先在網(wǎng)絡(luò)設(shè)備和移動(dòng)終端中分別設(shè)置對(duì)應(yīng)該移動(dòng)終端的安全密鑰和終端鑒權(quán)序列號(hào)���。在需要鑒權(quán)時(shí)�,網(wǎng)絡(luò)設(shè)備生成終端鑒權(quán)隨機(jī)數(shù),根據(jù)安全密鑰���、終端鑒權(quán)序列號(hào)和終端鑒權(quán)隨機(jī)數(shù)生成終端消息鑒權(quán)編碼��。網(wǎng)絡(luò)設(shè)備根據(jù)終端鑒權(quán)隨機(jī)數(shù)�����、終端鑒權(quán)序列號(hào)和終端消息鑒權(quán)編碼生成用戶(hù)卡鑒權(quán)隨機(jī)數(shù)����,并將該用戶(hù)卡鑒權(quán)隨機(jī)數(shù)發(fā)送給移動(dòng)終端�����。移動(dòng)終端然后根據(jù)自己設(shè)置的安全密鑰和接收的用戶(hù)卡鑒權(quán)隨機(jī)數(shù)判斷對(duì)網(wǎng)絡(luò)的鑒權(quán)是否通過(guò)�。本發(fā)明同時(shí)還公開(kāi)了一種網(wǎng)絡(luò)設(shè)備生成用戶(hù)卡鑒權(quán)隨機(jī)數(shù)的方法和終端對(duì)網(wǎng)絡(luò)進(jìn)行鑒權(quán)的方法。
文檔編號(hào)H04L9/18GK1770682SQ20041008687
公開(kāi)日2006年5月10日 申請(qǐng)日期2004年11月2日 優(yōu)先權(quán)日2004年11月2日
發(fā)明者董昆陽(yáng), 王正偉, 周春艷, 孔杰, 朱志明, 黃天振, 王尚賓 申請(qǐng)人:華為技術(shù)有限公司