專(zhuān)利名稱(chēng):一種鑒權(quán)方法及相應(yīng)的信息傳遞方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信安全技術(shù)����,具體涉及一種鑒權(quán)方法及相應(yīng)的信息傳遞方法。
背景技術(shù):
通常情況下���,相互通信的一端比如第一模塊��,向另外一端比如第二模塊傳遞信息時(shí)�,一般是在第二模塊建立了對(duì)第一模塊的可信任的連接后才進(jìn)行的�����,也即該連接為第二模塊對(duì)第一模塊鑒權(quán)通過(guò)后建立的連接�,通過(guò)這種連接,第一模塊可以向第二模塊傳遞相關(guān)信息時(shí)�����,第二模塊可以判斷出所傳遞信息的有效性����。但是,在某些時(shí)候���,通信雙方還沒(méi)有建立有效的通信連接之前�,一方需要向另外一方傳遞重要信息時(shí)�����,就沒(méi)有有效的辦法來(lái)解決�。比如說(shuō),用于通信雙方相互鑒權(quán)的密鑰因?yàn)槟撤N原因失去了同步�����,變得不再一致,從而導(dǎo)致正常的相互鑒權(quán)無(wú)法通過(guò)���,因而���,也無(wú)法建立有效的互信連接,此時(shí)��,通信的一方例如第一模塊需要告訴另外一方例如第二模塊�,需要重新同步鑒權(quán)密鑰,這時(shí)�,所述通信的第一模塊如何將需要同步鑒權(quán)密鑰的信息傳送給第二模塊,以及第二模塊接收到第一模塊的需要同步鑒權(quán)密鑰的信息后�,怎么能夠相信這是真的,而不是一個(gè)攻擊者發(fā)起的攻擊行為呢���?還例如��,在未來(lái)的通信網(wǎng)絡(luò)中�����,隨著業(yè)務(wù)的豐富��、網(wǎng)絡(luò)功能的擴(kuò)展���,對(duì)終端與網(wǎng)絡(luò)間或兩個(gè)通信模塊之間通信安全的要求也相應(yīng)提高���,而信息傳遞量的幾何級(jí)遞增,則要求具有更加安全與便捷的信息傳遞方式��。
先以現(xiàn)有的3G鑒權(quán)為例����,對(duì)現(xiàn)有的鑒權(quán)方法和信息傳遞方法簡(jiǎn)單介紹一下����,現(xiàn)有有3G網(wǎng)絡(luò)中的鑒權(quán)是由MS(終端)、MSC/VLR(移動(dòng)交換中心/訪問(wèn)位置寄存器)或SGSN(GPRS業(yè)務(wù)服務(wù)節(jié)點(diǎn))���、HLR/AUC(歸屬位置寄存器/鑒權(quán)中心)協(xié)同工作完成�,SIM卡或USIM卡上保存了一鑒權(quán)密鑰KI�,HLR/AUC也存有與用戶SIM卡或USIM卡上的KI一致的鑒權(quán)密鑰KI。由MS和AUC分別根據(jù)各自的鑒權(quán)密鑰KI計(jì)算出相應(yīng)鑒權(quán)參數(shù)�,再由MSC/VLR比較雙方的計(jì)算結(jié)果,完成網(wǎng)絡(luò)對(duì)MS合法性的驗(yàn)證���。該過(guò)程中包括終端對(duì)網(wǎng)絡(luò)的鑒權(quán)����,終端對(duì)網(wǎng)絡(luò)的鑒權(quán)失敗時(shí),會(huì)給網(wǎng)絡(luò)反饋“鑒權(quán)失敗”的消息�。
上述終端向網(wǎng)絡(luò)發(fā)送信息的是未經(jīng)過(guò)網(wǎng)絡(luò)鑒權(quán)的,這種終端向網(wǎng)絡(luò)發(fā)送信息的方式用于返回“鑒權(quán)失敗”類(lèi)的信息時(shí)可能不致導(dǎo)致嚴(yán)重的安全問(wèn)題��,但在某些應(yīng)用場(chǎng)合����,終端向網(wǎng)絡(luò)發(fā)送信息時(shí)網(wǎng)絡(luò)若不能對(duì)終端鑒權(quán)就會(huì)存在嚴(yán)重的安全問(wèn)題。
例如�����,在一些涉及密鑰設(shè)置與更新的情況下終端向網(wǎng)絡(luò)發(fā)送信息若不經(jīng)過(guò)網(wǎng)絡(luò)的鑒權(quán)���,將存在嚴(yán)重的安全隱患���。按照現(xiàn)有技術(shù),可通過(guò)USSD或短信息的方式將信息傳遞給網(wǎng)絡(luò)側(cè)�,這種信息傳遞方式因會(huì)引起鑒權(quán)流程,能解決信息傳遞的安全問(wèn)題����,但對(duì)信令資源消耗較大���。
綜上所述,如何在不增加現(xiàn)有通信協(xié)議�、信令資源和運(yùn)營(yíng)成本的基礎(chǔ)上,方便地傳遞信息�����,且保障通信的安全性是一個(gè)值得解決的問(wèn)題����。
發(fā)明內(nèi)容
有鑒于此�����,本發(fā)明要解決技術(shù)問(wèn)題是提供一種鑒權(quán)方法及相應(yīng)的信息傳遞方法�,使得不需要增加現(xiàn)有通信協(xié)議、信令或鑒權(quán)參數(shù)和營(yíng)運(yùn)成本���,即可方便地從終端向網(wǎng)絡(luò)側(cè)傳遞信息且保障終端和網(wǎng)絡(luò)通信的安全性����,也可方便安全地實(shí)現(xiàn)通信模塊之間的鑒權(quán)與信息傳遞��。特別地,在終端與網(wǎng)絡(luò)建立連接之前����,例如在鑒權(quán)的過(guò)程中,向網(wǎng)絡(luò)傳送有效信息�����。
為解決上述問(wèn)題��,本發(fā)明提供了一種信息傳遞方法����,用于3G網(wǎng)絡(luò)中終端向網(wǎng)絡(luò)傳遞信息,所述方法包括以下步驟a.終端用約定的特定值代替SQNMS產(chǎn)生再同步標(biāo)記AUTS����,對(duì)網(wǎng)絡(luò)發(fā)送再同步請(qǐng)求命令且附上所述再同步標(biāo)記AUTS;
b.網(wǎng)絡(luò)側(cè)在接收到所述再同步請(qǐng)求命令并判斷出所述再同步標(biāo)記AUTS中的SQNMS為所述約定的特定值時(shí)�����,執(zhí)行所述約定的特定值對(duì)應(yīng)的操作��。
優(yōu)選地�,所述方法還包括�����,在步驟a之前終端對(duì)網(wǎng)絡(luò)側(cè)發(fā)送可引起鑒權(quán)流程的命令或請(qǐng)求���,網(wǎng)絡(luò)側(cè)接收到所述命令或請(qǐng)求時(shí)對(duì)終端發(fā)起鑒權(quán)請(qǐng)求且附上產(chǎn)生的相應(yīng)的鑒權(quán)參數(shù),相應(yīng)地��,在步驟a中�����,終端接收所述鑒權(quán)參數(shù)并在向網(wǎng)絡(luò)側(cè)發(fā)送再同步請(qǐng)求命令前根據(jù)所述鑒權(quán)參數(shù)對(duì)網(wǎng)絡(luò)進(jìn)行鑒權(quán)���。
優(yōu)選地,所述步驟a之前終端對(duì)網(wǎng)絡(luò)側(cè)發(fā)送可引起鑒權(quán)流程的命令或請(qǐng)求可以是位置更新請(qǐng)求或業(yè)務(wù)請(qǐng)求��。
優(yōu)選地��,所述鑒權(quán)參數(shù)包括隨機(jī)數(shù)RAND和鑒權(quán)標(biāo)記AUTN����,相應(yīng)的,在步驟a中所述對(duì)網(wǎng)絡(luò)進(jìn)行鑒權(quán)是根據(jù)RAND和AUTN對(duì)網(wǎng)絡(luò)鑒權(quán)��。
優(yōu)選地,根據(jù)RAND和AUTN對(duì)網(wǎng)絡(luò)鑒權(quán)是指判斷AUTN是否滿足一致性要求�����,如果不滿足��,則對(duì)網(wǎng)絡(luò)鑒權(quán)失敗����。
優(yōu)選地,判斷出AUTN滿足一致性要求后�����,進(jìn)一步判斷SQNHE是否在可接受的范圍內(nèi)�����,如果是���,則確認(rèn)對(duì)網(wǎng)絡(luò)鑒權(quán)通過(guò)��,用所述約定的特定值代替SQNMS產(chǎn)生再同步標(biāo)記AUTS����,否則,直接根據(jù)SQNMS產(chǎn)生再同步標(biāo)記AUTS����。
優(yōu)選地,步驟b還包括判斷AUTS是否合法����。
優(yōu)選地,所述步驟b中判斷出SQNMS為所述約定的特定值后進(jìn)一步判斷AUTS是否合法���,若合法則執(zhí)行對(duì)應(yīng)的約定內(nèi)容���。
優(yōu)選地,所述步驟b中判斷出AUTS合法后進(jìn)一步判斷SQNMS是否為所述約定的特定值��,若是則執(zhí)行對(duì)應(yīng)的約定內(nèi)容�����,否則��,根據(jù)SQNMS更新SQNHE��。
優(yōu)選地����,所述約定的特定值是指約定某一范圍內(nèi)的值或某個(gè)或多個(gè)具體值。
優(yōu)選地��,所述執(zhí)行約定內(nèi)容可以是執(zhí)行密鑰更新��、執(zhí)行鑒權(quán)算法更新��、執(zhí)行防盜驗(yàn)證��、取消防盜驗(yàn)證�、獲得相關(guān)信息和返回特殊操作執(zhí)行結(jié)果信息中一個(gè)或多個(gè)。
為解決上述問(wèn)題���,本發(fā)明同時(shí)提供了一種鑒權(quán)方法����,用于通信網(wǎng)絡(luò)中終端與網(wǎng)絡(luò)間的鑒權(quán)�,所述方法包括以下步驟a.網(wǎng)絡(luò)側(cè)產(chǎn)生隨機(jī)數(shù),并根據(jù)隨機(jī)數(shù)��、終端的鑒權(quán)密鑰和序列號(hào)生成鑒權(quán)元組����,發(fā)送給終端���;b.終端根據(jù)自身保存的鑒權(quán)密鑰對(duì)所述鑒權(quán)元組進(jìn)行一致性驗(yàn)證,并根據(jù)自身保存的序列號(hào)判斷來(lái)自網(wǎng)絡(luò)的序列號(hào)是否可接受����,判斷出對(duì)所述鑒權(quán)元組的一致性驗(yàn)證通過(guò),且所述來(lái)自網(wǎng)絡(luò)的序列號(hào)可接受時(shí)�����,對(duì)網(wǎng)絡(luò)鑒權(quán)通過(guò)�����,并用約定的特定值代替終端保存的序列號(hào)生成再同步標(biāo)記���,向網(wǎng)絡(luò)發(fā)送再同步請(qǐng)求且附上所述再同步標(biāo)記�;c.網(wǎng)絡(luò)在接收到所述再同步請(qǐng)求����,判斷出所述再同步標(biāo)記中的所述序列號(hào)為所述約定的特定值時(shí)�,執(zhí)行約定的對(duì)應(yīng)操作。
優(yōu)選地,所述方法還包括在步驟a之前����,終端對(duì)網(wǎng)絡(luò)側(cè)發(fā)送可引起鑒權(quán)流程的命令或請(qǐng)求,所述命令或請(qǐng)求可以是位置更新請(qǐng)求或業(yè)務(wù)請(qǐng)求���。
優(yōu)選地���,所述步驟b中還包括,當(dāng)終端判斷出對(duì)來(lái)自網(wǎng)絡(luò)的所述鑒權(quán)元組一致性驗(yàn)證通過(guò)但來(lái)自網(wǎng)絡(luò)的序列號(hào)不屬于可接受的范圍時(shí)�,直接根據(jù)終端保存的序列號(hào)生成再同步標(biāo)記,向網(wǎng)絡(luò)發(fā)送再同步請(qǐng)求且附上所述再同步標(biāo)記�����。
優(yōu)選地����,所述步驟b中還包括,當(dāng)終端判斷出對(duì)來(lái)自網(wǎng)絡(luò)的所述鑒權(quán)元組一致性驗(yàn)證未通過(guò)時(shí)���,則向網(wǎng)絡(luò)發(fā)送鑒權(quán)失敗信息�����。
優(yōu)選地�����,所述步驟b中還包括�,終端判斷出對(duì)所述鑒權(quán)元組的一致性驗(yàn)證通過(guò),且所述來(lái)自網(wǎng)絡(luò)的序列號(hào)可接受時(shí)����,根據(jù)所述來(lái)自網(wǎng)絡(luò)側(cè)的序列號(hào)更新終端側(cè)保存的序列號(hào)。
優(yōu)選地���,所述步驟c中還包括網(wǎng)絡(luò)側(cè)對(duì)所述再同步標(biāo)記進(jìn)行合法性判斷��。
優(yōu)選地��,所述步驟c可以進(jìn)一步是判斷出所述來(lái)自終端的序列號(hào)為所述約定的特定值后進(jìn)一步判斷再同步標(biāo)記是否合法�,若合法則執(zhí)行對(duì)應(yīng)的約定內(nèi)容����;優(yōu)選地,所述步驟c可以進(jìn)一步是判斷出再同步標(biāo)記合法后進(jìn)一步判斷所述來(lái)自終端的序列號(hào)是否為所述約定的特定值�����,若是則執(zhí)行對(duì)應(yīng)的約定內(nèi)容,否則�����,根據(jù)所述來(lái)自終端的序列號(hào)更新網(wǎng)絡(luò)側(cè)保存的序列號(hào)�����。
優(yōu)選地���,所述約定的特定值是指約定某一范圍內(nèi)的值或某個(gè)或多個(gè)具體值。
優(yōu)選地�,所述執(zhí)行約定內(nèi)容可以是執(zhí)行密鑰更新、執(zhí)行鑒權(quán)算法更新����、執(zhí)行防盜驗(yàn)證、取消防盜驗(yàn)證����、獲得相關(guān)信息和返回特殊操作執(zhí)行結(jié)果信息中一個(gè)或多個(gè)。
本發(fā)明還提供了另外一種鑒權(quán)方法��,用于可相互通信的模塊之間的鑒權(quán)���,所述模塊至少包括保存了第一鑒權(quán)密鑰���、第一同步密鑰和第一序列號(hào)的第一模塊�����,以及保存了第二鑒權(quán)密鑰�����、第二同步密鑰和第二序列號(hào)的第二模塊�,其特征在于�����,所述方法至少包括以下步驟a.第二模塊產(chǎn)生隨機(jī)數(shù)����,并根據(jù)隨機(jī)數(shù)、第二鑒權(quán)密鑰和第二序列號(hào)生成消息鑒權(quán)編碼���,將所述隨機(jī)數(shù)�����、第二序列號(hào)和生成的消息鑒權(quán)編碼發(fā)送給第一模塊�;b.第一模塊根據(jù)第一鑒權(quán)密鑰和所述隨機(jī)數(shù)以及第二序列號(hào)對(duì)所述消息鑒權(quán)編碼進(jìn)行一致性驗(yàn)證,并根據(jù)第一序列號(hào)判斷第二序列號(hào)是否可接受���,判斷出對(duì)所述消息鑒權(quán)編碼的一致性驗(yàn)證通過(guò),且第二序列號(hào)可接受時(shí)����,對(duì)第二模塊的鑒權(quán)通過(guò),并用約定的特定值代替第一序列號(hào)和所述隨機(jī)數(shù)以及第一同步密鑰生成再同步鑒權(quán)編碼���,向第二模塊發(fā)送再同步請(qǐng)求且附上所述再同步鑒權(quán)編碼和代替第一序列號(hào)的所述約定的特定值�����;c.第二模塊在接收到所述再同步請(qǐng)求�����,判斷出來(lái)自第一模塊的第一序列號(hào)為所述約定的特定值時(shí)���,執(zhí)行約定的對(duì)應(yīng)操作。
優(yōu)選地�����,所述步驟b中所述用約定的特定值代替第一序列號(hào)和第一同步密鑰生成再同步鑒權(quán)編碼進(jìn)一步是用約定的特定值代替第一序列號(hào)和所述隨機(jī)數(shù)以及第一同步密鑰生成再同步鑒權(quán)編碼。
優(yōu)選地����,所述步驟b中還包括,第一模塊判斷出對(duì)所述消息鑒權(quán)編碼的一致性驗(yàn)證通過(guò)��,且第二序列號(hào)可接受時(shí)�,根據(jù)所述第二序列號(hào)更新第一序列號(hào)。
優(yōu)選地��,當(dāng)?shù)谝荒K判斷出對(duì)所述消息鑒權(quán)編碼的一致性驗(yàn)證通過(guò)但第二序列號(hào)不屬于可接受的范圍時(shí)��,直接根據(jù)終第一序列號(hào)和所述隨機(jī)數(shù)以及第一同步密鑰生成再同步鑒權(quán)編碼���,向網(wǎng)絡(luò)發(fā)送再同步請(qǐng)求且附上所述再同步鑒權(quán)編碼和第一序列號(hào)�。
優(yōu)選地�����,所述步驟b中還包括����,當(dāng)?shù)谝荒K判斷出對(duì)所述消息鑒權(quán)編碼的一致性驗(yàn)證未通過(guò)時(shí)�,則向第二模塊發(fā)送鑒權(quán)失敗信息�。
優(yōu)選地,所述步驟b中��,第一模塊對(duì)所述消息鑒權(quán)編碼進(jìn)行一致性驗(yàn)證進(jìn)一步是第一模塊根據(jù)第一鑒權(quán)密鑰��、所述隨機(jī)數(shù)和第二序列號(hào)采用和第二模塊根據(jù)所述隨機(jī)數(shù)��、第二鑒權(quán)密鑰和第二序列號(hào)產(chǎn)生消息鑒權(quán)編碼一致的方法產(chǎn)生一個(gè)運(yùn)算結(jié)果����,比較自己產(chǎn)生的運(yùn)算結(jié)果和所述消息鑒權(quán)編碼是否一致���,如果一致�����,則對(duì)所述消息鑒權(quán)編碼的一致性驗(yàn)證通過(guò)���,否則,對(duì)所述消息鑒權(quán)編碼的一致性驗(yàn)證不通過(guò)�。
優(yōu)選地,所述步驟b中,第一模塊判斷第二序列號(hào)是否可接受進(jìn)一步是判斷第二序列號(hào)和第一序列號(hào)的差值是否在一定的范圍內(nèi)��,如果是���,則判斷出第二序列號(hào)可接受���,否則,判斷出第二序列號(hào)不可以接受��。
優(yōu)選地����,所述步驟c中還包括第二模塊對(duì)所述再同步鑒權(quán)編碼進(jìn)行合法性判斷。
優(yōu)選地���,所述步驟c可以進(jìn)一步是判斷出所述來(lái)自第一模塊的第一序列號(hào)為所述約定的特定值后進(jìn)一步判斷再同步鑒權(quán)編碼是否合法����,若合法則執(zhí)行對(duì)應(yīng)的約定內(nèi)容����;優(yōu)選地,所述步驟c可以進(jìn)一步是判斷出來(lái)自第一模塊的再同步鑒權(quán)編碼合法后進(jìn)一步判斷所述第一序列號(hào)是否為所述約定的特定值���,若是則執(zhí)行對(duì)應(yīng)的約定內(nèi)容��,否則���,根據(jù)所述第一序列號(hào)更新保存的第二序列號(hào)�。
優(yōu)選地�����,所述步驟c進(jìn)一步包括判斷出來(lái)自第一模塊的再同步鑒權(quán)編碼非法后�����,返回失敗信息����。
優(yōu)選地�,所述步驟c中第二模塊對(duì)所述再同步鑒權(quán)編碼進(jìn)行合法性判斷進(jìn)一步是第二模塊根據(jù)第二同步密鑰、所述隨機(jī)數(shù)和第一序列號(hào)采用和第一模塊根據(jù)所述隨機(jī)數(shù)�����、第一同步密鑰和第一序列號(hào)產(chǎn)生再同步鑒權(quán)編碼一致的方法產(chǎn)生一個(gè)運(yùn)算結(jié)果��,比較自己產(chǎn)生的運(yùn)算結(jié)果和所述再同步鑒權(quán)編碼是否一致,如果一致�����,則判斷出再同步鑒權(quán)編碼合法���,否則�,判斷出再同步鑒權(quán)編碼非法�����。
優(yōu)選地���,所述約定的特定值是指約定某一范圍內(nèi)的值或某個(gè)或多個(gè)具體值�����。
優(yōu)選地��,所述執(zhí)行約定內(nèi)容可以是執(zhí)行密鑰更新���、執(zhí)行鑒權(quán)算法更新、獲得相關(guān)信息和返回特殊操作執(zhí)行結(jié)果信息中一個(gè)或多個(gè)�。
本發(fā)明終端向網(wǎng)絡(luò)傳遞信息的方法不需增加或改變現(xiàn)有的信令資源或鑒權(quán)參數(shù)�����,方便地實(shí)現(xiàn)終端與網(wǎng)絡(luò)側(cè)的鑒權(quán)與信息傳遞且保障網(wǎng)絡(luò)安全性��,也可方便安全地實(shí)現(xiàn)兩個(gè)通信模塊之間鑒權(quán)和信息傳遞���。
圖1是本發(fā)明的具體實(shí)施方式
一的流程圖。
圖2是本發(fā)明的具體實(shí)施方式
一的第一實(shí)施例的流程圖�����。
圖3是本發(fā)明的具體實(shí)施方式
一的第二實(shí)施例的流程圖�。
圖4是本發(fā)明的具體實(shí)施方式
二的第一實(shí)施例中,第一模塊需要向第二模塊傳送特定的信息時(shí)的主流程�。
圖5是本發(fā)明的具體實(shí)施方式
二的第一實(shí)施例中,第一模塊不需要向第二模塊傳送特定的信息時(shí)的主流程�����。
圖6是本發(fā)明的具體實(shí)施方式
二的第一實(shí)施例中���,第二模塊執(zhí)行同步處理的子流程。
圖7是本發(fā)明的具體實(shí)施方式
二的第二實(shí)施例中�����,第二模塊執(zhí)行同步處理的子流程。
具體實(shí)施例方式
本發(fā)明終端向網(wǎng)絡(luò)側(cè)傳遞信息的方法利用3G網(wǎng)絡(luò)鑒權(quán)流程中的已有參數(shù)來(lái)實(shí)現(xiàn)�����,不需增加信令資源��。
為了更好地理解本發(fā)明����,先簡(jiǎn)單介紹一下現(xiàn)有的第三代移動(dòng)通信系統(tǒng)中的鑒權(quán)流程,在移動(dòng)終端中保存國(guó)際移動(dòng)用戶標(biāo)識(shí)IMSI��、鑒權(quán)密鑰KI和序列號(hào)SQNMS���,網(wǎng)絡(luò)側(cè)的HLR/AUC中針對(duì)該移動(dòng)終端對(duì)應(yīng)保存IMSI���、KI和序列號(hào)SQNHE,以用于移動(dòng)終端和網(wǎng)絡(luò)相互鑒權(quán)�����。
3G通信系統(tǒng)的現(xiàn)有鑒權(quán)流程主要為HLR/AUC產(chǎn)生隨機(jī)數(shù)RAND���,根據(jù)隨機(jī)數(shù)RAND和KI產(chǎn)生期望響應(yīng)XRES�、加密密鑰CK、完整性密鑰IK����;根據(jù)隨機(jī)數(shù)RAND、序列號(hào)SQNHE�、鑒權(quán)密鑰KI和鑒權(quán)管理域AMF產(chǎn)生出MAC-A,根據(jù)MAC-A����,SQNHE、AK和AMF得到鑒權(quán)標(biāo)記AUTN(Authentication Token)�����。由RAND和XRES�����、CK�����、IK和AUTN組成鑒權(quán)五元組��,將該五元組發(fā)送給MSC/VLR保存����。當(dāng)然,實(shí)際當(dāng)中��,HLR/AUC是應(yīng)MSC/VLR的請(qǐng)求才將產(chǎn)生的相應(yīng)的一個(gè)或多個(gè)五元組發(fā)送給MSC/VLR的���。鑒權(quán)時(shí)�,MSC/VLR將對(duì)應(yīng)五元組中RAND和AUTN發(fā)送給終端�,終端根據(jù)自己保存的KI驗(yàn)證AUTN的一致性,如果一致性驗(yàn)證不通過(guò)��,則向MSC/VLR返回鑒權(quán)失敗信息��;若一致性驗(yàn)證通過(guò)��,則判斷SQNHE是否屬于可接受的范圍若屬于���,則終端判斷出對(duì)網(wǎng)絡(luò)鑒權(quán)通過(guò)����,終端向MSC/VLR返回終端自己產(chǎn)生的鑒權(quán)響應(yīng)�����,并根據(jù)AUTN中的SQNHE更新SQNMS,MSC/VLR比較終端返回的鑒權(quán)響應(yīng)和對(duì)應(yīng)五元組中的XRES是否一致來(lái)判斷終端的合法性�����;若判斷出SQNHE不屬于可接受范圍�,則根據(jù)SQNMS產(chǎn)生再同步標(biāo)記AUTS(Resynchronisation Token),對(duì)網(wǎng)絡(luò)側(cè)MSC/VLR返回再同步請(qǐng)求或同步失敗(Synchronisation failure)消息���,同時(shí)附上產(chǎn)生的再同步標(biāo)記AUTS��,也即消息中包含AUTS���。網(wǎng)絡(luò)側(cè)MSC/VLR接收到再同步標(biāo)記AUTS時(shí),將AUTS和對(duì)應(yīng)五元組中的RAND發(fā)送給HLR/AUC���,HLR/AUC根據(jù)對(duì)應(yīng)保存的KI和接收到的RAND��,判斷AUTS的合法性����,如果不合法,則HLR/AUC向MSC/VLR返回AUTS不合法信息��;如果判斷出AUTS合法��,則HLR/AUC根據(jù)AUTS中的SQNMS更新SQNHE�����,并產(chǎn)生一個(gè)新的鑒權(quán)五元組發(fā)送給MSC/VLR�,MSC/VLR接收到新的五元組后��,刪除對(duì)應(yīng)的舊的五元組�。關(guān)于鑒權(quán)流程,可以參照3GPP規(guī)范�����。
可見(jiàn)在3G通信系統(tǒng)的現(xiàn)有鑒權(quán)流程中��,SQNMS主要用于判斷AUTN中SQNHE是否是最新的或SQNHE是否在可接受范圍內(nèi)�,以及更新SQNHE時(shí)使用。
本發(fā)明通過(guò)改進(jìn)措施�����,提供一種改進(jìn)的鑒權(quán)方法和信息傳遞方法,使得在終端對(duì)網(wǎng)絡(luò)側(cè)鑒權(quán)通過(guò)即終端根據(jù)自己保存的KI對(duì)AUTN的一致性驗(yàn)證通過(guò)并且AUTN中的SQNHE在可接受范圍內(nèi)的情況下���,也產(chǎn)生再同步標(biāo)記和發(fā)送再同步請(qǐng)求命令�,并利用終端向網(wǎng)絡(luò)側(cè)發(fā)送的再同步請(qǐng)求命令和所附的再同步標(biāo)記AUTS中的SQNMS來(lái)向網(wǎng)絡(luò)側(cè)傳遞信息���。本發(fā)明中終端對(duì)網(wǎng)絡(luò)側(cè)鑒權(quán)通過(guò)后�,用約定的特定值代替SQNMS產(chǎn)生再同步標(biāo)記AUTS���,向網(wǎng)絡(luò)側(cè)發(fā)送同步請(qǐng)求命令并附上該再同步標(biāo)記�,網(wǎng)絡(luò)側(cè)接收到所述同步請(qǐng)求命令時(shí)����,判斷AUTS中SQNMS是否為約定的特定值,若是���,則執(zhí)行約定的內(nèi)容�;否則按正常同步處理流程處理�,即根據(jù)SQNMS更新SQNHE并作后續(xù)處理。網(wǎng)絡(luò)側(cè)在判斷AUTS中SQNMS是否為約定的特定值之前�����,還可以進(jìn)一步執(zhí)行對(duì)終端的鑒權(quán)和對(duì)SQNMS的完整性驗(yàn)證,從而判斷AUTS的合法性��。本發(fā)明的方法既充分利用了現(xiàn)有鑒權(quán)參數(shù)方便地對(duì)網(wǎng)絡(luò)傳遞信息�����,又利用了網(wǎng)絡(luò)側(cè)處理再同步請(qǐng)求命令時(shí)的鑒權(quán)步驟提高了終端對(duì)網(wǎng)絡(luò)傳遞信息的安全性和完整性����。
本發(fā)明提供的鑒權(quán)方法和相應(yīng)的信息傳遞方法并不僅應(yīng)用于終端與網(wǎng)絡(luò)間的鑒權(quán)與信息傳遞�,還可用于任何可相互通信的兩模塊之間的鑒權(quán)及信息傳遞,例如Wimax��,……等無(wú)線通信網(wǎng)絡(luò)間的模塊���,或者是有線通信網(wǎng)絡(luò)間的模塊��。
下面結(jié)合附圖對(duì)本發(fā)明的具體實(shí)施方式
進(jìn)行詳細(xì)的說(shuō)明首先�,通過(guò)具體實(shí)施方式
一對(duì)本發(fā)明提供的方法在移動(dòng)通信中的實(shí)施與應(yīng)用予以說(shuō)明��,請(qǐng)參閱圖1���,圖1為本發(fā)明具體實(shí)施方式
一的流程圖�。
在步驟101中,終端向網(wǎng)絡(luò)側(cè)發(fā)起位置更新請(qǐng)求��。
本步驟也可以是向網(wǎng)絡(luò)側(cè)發(fā)起業(yè)務(wù)請(qǐng)求�。實(shí)際當(dāng)中可以是終端發(fā)送的任何可以引起網(wǎng)絡(luò)側(cè)對(duì)終端進(jìn)行鑒權(quán)的消息。
步驟102����,網(wǎng)絡(luò)側(cè)接收到該位置更新請(qǐng)求后將產(chǎn)生的鑒權(quán)元組中的相應(yīng)鑒權(quán)參數(shù)發(fā)送給終端。本發(fā)明中網(wǎng)絡(luò)側(cè)實(shí)際也可以只產(chǎn)生所述相應(yīng)鑒權(quán)參數(shù)���。
所述鑒權(quán)元組可以包括隨機(jī)數(shù)RAND�、期望響應(yīng)XRES��、加密密鑰CK����、完整性密鑰IK和鑒權(quán)標(biāo)記AUTN(Authentication Token)。
所述相應(yīng)鑒權(quán)參數(shù)包括RAND和AUTN����。
產(chǎn)生鑒權(quán)元組時(shí),HLR/AUC用隨機(jī)數(shù)發(fā)生器產(chǎn)生的RAND和自身保存的鑒權(quán)密鑰KI分別計(jì)算出XRES�、CK、IK����。還根據(jù)RAND���、KI、序列號(hào)SQNHE�����、鑒權(quán)管理域AMF產(chǎn)生AUTN����。
所述鑒權(quán)標(biāo)記AUTN長(zhǎng)16字節(jié)����,包括以下內(nèi)容1)SQNHE^AK,也即用AK加密了的SQNHE����,其中序列號(hào)SQNHE與匿名密鑰AK分別長(zhǎng)6字節(jié),SQNHE指保存在網(wǎng)絡(luò)側(cè)的SQN��,以區(qū)別于保存在終端的SQNMS�����;當(dāng)需要對(duì)SQNHE進(jìn)行加密時(shí),HLR/AUC根據(jù)RAND和KI產(chǎn)生AK�����,使用AK對(duì)SQNHE作異或運(yùn)算��,從而加密SQNHE��;當(dāng)不需要對(duì)SQNHE進(jìn)行加密時(shí)�����,AK=0��;2)鑒權(quán)管理域AMF長(zhǎng)2字節(jié)��。3)消息鑒權(quán)編碼MAC-A長(zhǎng)8字節(jié)�����;MAC-A用于驗(yàn)證RAND���、SQNHE�����、AMF的數(shù)據(jù)完整性����,用于終端對(duì)HLR/AUC進(jìn)行鑒權(quán)。HLR/AUC根據(jù)RAND����、SQNHE、KI和AMF計(jì)算出AUTN中的消息鑒權(quán)編碼MAC-A�����。
這樣�����,由RAND�、AUTN����、XRES、CK�、IK等組成了鑒權(quán)五元組。本發(fā)明中�����,終端在向網(wǎng)絡(luò)側(cè)傳遞信息時(shí),只需用到其中的RAND和AUTN����。
HLR/AUC產(chǎn)生了鑒權(quán)五元組后將相應(yīng)的國(guó)際移動(dòng)用戶識(shí)別碼IMSI和鑒權(quán)五元組RAND、CK��、IK���、XRES和AUTN發(fā)送給MSC/VLR�����。MSC/VLR為電路域設(shè)備��,對(duì)于分組域的網(wǎng)絡(luò)����,對(duì)應(yīng)的設(shè)備可以為SGSN���。鑒權(quán)時(shí)��,網(wǎng)絡(luò)側(cè)的MSC/VLR將接收自HLR/AUC的鑒權(quán)元組中的隨機(jī)數(shù)RAND和鑒權(quán)標(biāo)記AUTN傳送給終端MS�。
步驟103,終端MS接收到網(wǎng)絡(luò)側(cè)發(fā)送的相應(yīng)鑒權(quán)參數(shù)即隨機(jī)數(shù)RAND和鑒權(quán)標(biāo)記AUTN并判斷出對(duì)網(wǎng)絡(luò)側(cè)鑒權(quán)通過(guò)后�,用約定的特定值代替SQNMS產(chǎn)生再同步標(biāo)記AUTS,向網(wǎng)絡(luò)發(fā)起再同步請(qǐng)求命令����,并附上再同步標(biāo)記AUTS。這里�����,向網(wǎng)絡(luò)發(fā)起再同步請(qǐng)求命令�,并附上再同步標(biāo)記AUTS,也即���,向網(wǎng)絡(luò)側(cè)發(fā)送同步失敗消息����,消息中包含了AUTS���。
所述再同步標(biāo)記AUTS包括以下內(nèi)容1)SQNMS^AK,也即用AK加密了的SQNMS��,其中序列號(hào)SQNMS與匿名密鑰AK分別長(zhǎng)6字節(jié)��,SQNMS指保存在終端側(cè)的SQN,以區(qū)別于保存在網(wǎng)絡(luò)側(cè)的SQNHE���;當(dāng)需要對(duì)SQNMS進(jìn)行加密時(shí)���,終端根據(jù)RAND和KI產(chǎn)生AK,使用AK對(duì)SQNMS作異或運(yùn)算�����,從而加密SQNMS����;當(dāng)不需要對(duì)SQNMS進(jìn)行加密時(shí),AK=0�;2)消息鑒權(quán)編碼MAC-S長(zhǎng)8字節(jié);MAC-S用于驗(yàn)證RAND���、SQNMS的數(shù)據(jù)完整性�����,用于HLR/AUC對(duì)終端進(jìn)行鑒權(quán)���,也即��,用于HLR/AUC驗(yàn)證AUTS的合法性�。一般的��,終端根據(jù)自己的SQNMS���、KI和接收到的RAND以及AMF等計(jì)算得到MAC-S�,再根據(jù)SQNMS���、AK和MAC-S產(chǎn)生再同步標(biāo)記AUTS具體地說(shuō)��,終端根據(jù)接收到的RAND與自身保存的鑒權(quán)密鑰KI和接收到的AUTN中的SQNHE以及AMF采用與HLR/AUC計(jì)算AUTN中MAC-A一致的算法計(jì)算出MAC-A�,然后進(jìn)行一致性驗(yàn)證��,即�,比較自己計(jì)算得到的MAC-A與接收到的AUTN中的MAC-A是否一致,例如是否相同��,若不一致���,則向MSC/VLR返回鑒權(quán)失敗信息�;若一致則判斷SQNHE是否屬于可接受的范圍若屬于�����,則終端判斷出對(duì)網(wǎng)絡(luò)側(cè)的鑒權(quán)通過(guò)���;若判斷出SQNHE不屬于可接受范圍����,則根據(jù)SQNMS產(chǎn)生再同步標(biāo)記AUTS�����,即���,根據(jù)SQNMS�、KI和接收到的RAND以及AMF等計(jì)算得到MAC-S���,再根據(jù)SQNMS�、AK和MAC-S產(chǎn)生再同步標(biāo)記AUTS�����,對(duì)網(wǎng)絡(luò)側(cè)MSC/VLR返回再同步請(qǐng)求命令或同步失敗(Synchronisation failure)消息,同時(shí)附上產(chǎn)生的再同步標(biāo)記AUTS�。
終端對(duì)網(wǎng)絡(luò)側(cè)鑒權(quán)通過(guò)后,用約定的特定值代替SQNMS并根據(jù)自己的KI和接收到的RAND以及AMF等計(jì)算得到MAC-S��,再用約定的特定值代替SQNMS并根據(jù)AK和MAC-S產(chǎn)生再同步標(biāo)記AUTS���,向網(wǎng)絡(luò)側(cè)發(fā)送再同步請(qǐng)求命令并附上所述再同步標(biāo)記AUTS�����,或者向網(wǎng)絡(luò)側(cè)發(fā)送同步失敗消息��,并在該消息中包含AUTS�。至于具體產(chǎn)生過(guò)程�����,以及產(chǎn)生時(shí)使用的算法可參照3GPP規(guī)范��。
步驟104���,網(wǎng)絡(luò)側(cè)接收到再同步請(qǐng)求命令后����,判斷出再同步標(biāo)記AUTS中的SQNMS為約定的特定值時(shí),執(zhí)行對(duì)應(yīng)約定的內(nèi)容����,也即執(zhí)行對(duì)應(yīng)操作����。
終端和網(wǎng)絡(luò)側(cè)預(yù)先約定網(wǎng)絡(luò)側(cè)在接收到終端的再同步請(qǐng)求命令后,如果判斷出SQNMS為約定的特定值時(shí)��,則根據(jù)該特定值執(zhí)行對(duì)應(yīng)的約定內(nèi)容�,也即執(zhí)行對(duì)應(yīng)操作。所述執(zhí)行對(duì)應(yīng)約定的內(nèi)容可以是執(zhí)行密鑰更新�����、執(zhí)行鑒權(quán)算法更新���、執(zhí)行防盜驗(yàn)證���、取消防盜驗(yàn)證、獲得相關(guān)信息和返回特殊操作執(zhí)行結(jié)果信息等等操作中的一個(gè)或者多個(gè)�。所述獲得相關(guān)信息可以是根據(jù)SQNMS的值獲得終端是否具備某種能力,例如是否支持GPS定位功能��,是否支持移動(dòng)支付等等,所述特殊操作可以是響應(yīng)鑒權(quán)管理域AMF不同值進(jìn)行相應(yīng)處理的執(zhí)行結(jié)果��,也可以是根據(jù)某種配置進(jìn)行初始化操作執(zhí)行結(jié)果��,也可以是移動(dòng)終端漫游時(shí)�,根據(jù)當(dāng)前位置區(qū)或者運(yùn)營(yíng)商對(duì)移動(dòng)終端進(jìn)行了特殊初始化操作執(zhí)行結(jié)果,等等��。
在步驟104中��,還可以包括判斷AUTS合法性步驟���。
也即���,在判斷再同步標(biāo)記AUTS中的SQNMS是否為約定的特定值之前,可以進(jìn)一步包括判斷AUTS合法性步驟�。具體地說(shuō),網(wǎng)絡(luò)側(cè)的MSC/VLR接收到終端返回的再同步標(biāo)記AUTS時(shí)���,將AUTS和對(duì)應(yīng)五元組中的RAND一并發(fā)送給HLR/AUC�,HLR/AUC先根據(jù)RAND�����、KI、SQMMS和AMF等采用與終端一致的算法計(jì)算得出MAC-S�,再將之與接收到的AUTS中的MAC-S比較,若一致���,判斷出AUTS合法�,否則���,判斷出AUTS非法。HLR/AUC判斷AUTS非法時(shí)��,向MSC/VLR返回AUTS不合法的消息����。HLR/AUC判斷AUTS合法時(shí),進(jìn)一步判斷SQNMS是否為約定的特定值�,若為約定的特定值則執(zhí)行約定的內(nèi)容。否則����,即不為約定的特定值時(shí)按正常同步流程處理,即根據(jù)SQNMS更新SQNHE���,并作后續(xù)處理��。關(guān)于正常同步流程處理可以參照3GPP規(guī)范�����。
或者在判斷再同步標(biāo)記AUTS中的SQNMS為約定的特定值之后�����,并在執(zhí)行對(duì)應(yīng)約定的內(nèi)容之前�����,可以進(jìn)一步包括判斷AUTS合法性步驟�����。
具體地說(shuō)�����,網(wǎng)絡(luò)側(cè)的MSC/VLR接收到終端返回的再同步標(biāo)記AUTS時(shí)����,將AUTS和對(duì)應(yīng)五元組中的RAND一并發(fā)送給HLR/AUC,HLR/AUC判斷出SQNMS為所述約定的特定值后,先根據(jù)RAND�、KI、SQMMS和AMF等采用與終端一致的算法計(jì)算得出MAC-S��,再將之與接收到的AUTS中的MAC-S比較��,若一致�����,判斷出AUTS合法��,否則�,判斷出AUTS非法。HLR/AUC判斷AUTS非法時(shí)��,向MSC/VLR返回AUTS不合法的消息�����。HLR/AUC判斷AUTS合法時(shí)����,執(zhí)行所述約定的內(nèi)容�����。HLR/AUC判斷出SQNMS不是所述約定的特定值時(shí),按正常同步流程處理�,即判斷AUTS合法時(shí),根據(jù)SQNMS更新SQNHE����,并作后續(xù)處理;判斷AUTS非法時(shí)�����,向MSC/VLR返回AUTS不合法的消息���。關(guān)于正常同步流程處理可以參照3GPP規(guī)范��。
在步驟103中�,產(chǎn)生MAC-S時(shí)����,也可根據(jù)RAND、KI�����、SQNMS計(jì)算產(chǎn)生,即��,不再根據(jù)AMF���,對(duì)應(yīng)地在步驟104中����,網(wǎng)絡(luò)側(cè)驗(yàn)證MAC-S合法性時(shí)���,也根據(jù)RAND�����、KI���、SQNMS來(lái)驗(yàn)證,而不再根據(jù)AMF來(lái)進(jìn)行�。
請(qǐng)參閱圖2����,圖2為所示本發(fā)明具體實(shí)施方式
一的第一實(shí)施例,本實(shí)施例中將對(duì)終端使用本發(fā)明的方法通知網(wǎng)絡(luò)側(cè)密鑰更新的過(guò)程予以說(shuō)明�,以便更好地理解本發(fā)明。
在步驟201,終端向網(wǎng)絡(luò)發(fā)起位置更新請(qǐng)求��;本步驟也可以是向網(wǎng)絡(luò)側(cè)發(fā)起業(yè)務(wù)請(qǐng)求����。實(shí)際當(dāng)中可以是終端發(fā)送的任何可以引起網(wǎng)絡(luò)側(cè)對(duì)終端進(jìn)行鑒權(quán)的消息。
在步驟202�,網(wǎng)絡(luò)側(cè)接收到所述請(qǐng)求后,通過(guò)對(duì)終端發(fā)送鑒權(quán)請(qǐng)求�,將產(chǎn)生的對(duì)應(yīng)該終端的鑒權(quán)元組中的相應(yīng)的鑒權(quán)參數(shù)發(fā)送給終端。
具體地說(shuō)��,HLR/AUC根據(jù)隨機(jī)數(shù)發(fā)生器產(chǎn)生隨機(jī)數(shù)RAND��,根據(jù)RAND和鑒權(quán)密鑰KI分別計(jì)算出期望響應(yīng)XRES�����、加密密鑰CK����、完整性密鑰IK。根據(jù)隨機(jī)數(shù)RAND���、序列號(hào)SQNHE��、鑒權(quán)密鑰KI和AMF計(jì)算產(chǎn)生出消息鑒權(quán)編碼MAC-A����,再根據(jù)MAC-A、SQNHE�、匿名密鑰AK及鑒權(quán)管理域AMF產(chǎn)生AUTN�。這里,當(dāng)需要對(duì)SQNHE進(jìn)行加密時(shí)�����,HLR/AUC根據(jù)RAND和KI產(chǎn)生AK,使用AK對(duì)SQNHE作異或運(yùn)算���,從而加密SQNHE�;當(dāng)不需要對(duì)SQNHE進(jìn)行加密時(shí)���,AK=0���;然后HLR/AUC將RAND、AUTN��、XRES�����、CK和IK組成的五元組和對(duì)應(yīng)的IMSI一起發(fā)送給MSC/VLR�����。鑒權(quán)時(shí)����,MSC/VLR向終端發(fā)起鑒權(quán)請(qǐng)求,并同時(shí)將五元組中相應(yīng)的鑒權(quán)參數(shù)RAND和AUTN發(fā)送給終端��。
實(shí)際應(yīng)用中�,不產(chǎn)生期望響應(yīng)XRES、加密密鑰CK及完整性密鑰IK也不影響本發(fā)明的實(shí)現(xiàn)���??梢暈閷?duì)本實(shí)施例的變形����。
步驟203,終端接收到鑒權(quán)請(qǐng)求時(shí)����,先對(duì)網(wǎng)絡(luò)進(jìn)行鑒權(quán)����,判斷鑒權(quán)是否通過(guò)�。
具體地說(shuō),終端接收到來(lái)自網(wǎng)絡(luò)側(cè)的隨機(jī)數(shù)RAND和鑒權(quán)標(biāo)記AUTN時(shí)�,根據(jù)接收到的RAND、自身保存的KI和接收到的AUTN中的SQNHE以及AMF采用與HLR/AUC計(jì)算AUTN中MAC-A一致的算法生成MAC-A���,然后終端將自身生成的MAC-A與網(wǎng)絡(luò)側(cè)生成的MAC-A比較���,若不一致,則認(rèn)為對(duì)網(wǎng)絡(luò)的鑒權(quán)未通過(guò)�����,執(zhí)行步驟204����;若一致,則執(zhí)行步驟205����。
步驟204中,終端向網(wǎng)絡(luò)返回“鑒權(quán)失敗”的信息����,然后結(jié)束本次流程。
步驟205��,終端判斷SQNHE是否在可接受范圍內(nèi)�����,如果是���,則判斷出對(duì)網(wǎng)絡(luò)鑒權(quán)通過(guò)���,并執(zhí)行步驟206,否則���,判斷出同步失敗��,并執(zhí)行步驟207�。
步驟206�����,終端用約定的特定值代替SQNMS產(chǎn)生再同步標(biāo)記AUTS���,對(duì)網(wǎng)絡(luò)發(fā)起再同步請(qǐng)求命令���,并附上再同步標(biāo)記AUTS�����。具體地說(shuō)��,終端用約定的特定值代替SQNMS并根據(jù)自己的KI和接收到的RAND以及AMF等計(jì)算得到MAC-S���,再用約定的特定值代替SQNMS并根據(jù)AK和MAC-S產(chǎn)生再同步標(biāo)記AUTS,向網(wǎng)絡(luò)側(cè)發(fā)送再同步請(qǐng)求命令并附上所述再同步標(biāo)記AUTS����。也即,向MSC/VLR發(fā)送同步失敗消息����,該同步失敗消息中包含了AUTS。該約定的特定值對(duì)應(yīng)的約定內(nèi)容�,也即網(wǎng)絡(luò)側(cè)識(shí)別到該約定的特定值時(shí)執(zhí)行的內(nèi)容為“產(chǎn)生新的鑒權(quán)密鑰”;在本步驟中還包括終端根據(jù)RAND和KI產(chǎn)生新的鑒權(quán)密鑰����。然后執(zhí)行步驟208���。
步驟206,終端可以進(jìn)一步根據(jù)SQNHE更新保存的SQNMS�。
步驟207,終端直接根據(jù)SQNMS產(chǎn)生再同步標(biāo)記AUTS����,對(duì)網(wǎng)絡(luò)發(fā)起再同步請(qǐng)求命令�����,并附上再同步標(biāo)記AUTS��。具體地說(shuō)�����,終端根據(jù)自己的KI���、SQNMS和接收到的RAND以及AMF等計(jì)算得到MAC-S���,再根據(jù)SQNMS、AK和MAC-S產(chǎn)生再同步標(biāo)記AUTS,然后對(duì)網(wǎng)絡(luò)側(cè)發(fā)起再同步請(qǐng)求命令�����,并附上該再同步標(biāo)記AUTS�����。也即�����,向MSC/VLR發(fā)送同步失敗消息�����,該同步失敗消息中包含了AUTS��。然后執(zhí)行步驟208��。
步驟208��,網(wǎng)絡(luò)側(cè)接收到再同步請(qǐng)求命令時(shí)�,根據(jù)對(duì)應(yīng)五元組中的RAND、保存的KI�、接收到的AUTS中的SQNMS和AMF等采用與終端意一致的算法計(jì)算得到MAC-S�����,然后通過(guò)比較自身產(chǎn)生的MAC-S與接收到的AUTS中的MAC-S是否一致來(lái)對(duì)終端鑒權(quán)����,若MAC-S值比較一致則認(rèn)為鑒權(quán)通過(guò)����,即認(rèn)為AUTS合法,然后執(zhí)行步驟209���;否則,認(rèn)為AUTS非法���,執(zhí)行步驟212��;具體地說(shuō)��,網(wǎng)絡(luò)側(cè)的MSC/VLR接收到終端返回的再同步標(biāo)記AUTS時(shí)�����,將AUTS和對(duì)應(yīng)五元組中的RAND一并發(fā)送給HLR/AUC����,HLR/AUC先根據(jù)接收到RAND、AUTS中的SQNMS��、自己保存的KI和AMF等采用與終端一致的算法計(jì)算得出MAC-S�����,再將之與接收到的AUTS中的MAC-S比較�,若一致,判斷出AUTS合法����,否則,判斷出AUTS非法��。需要說(shuō)明的是�����,如果AUTS中SQNMS根據(jù)AK進(jìn)行了加密��,HLR/AUC可以根據(jù)RAND和KI產(chǎn)生AK來(lái)解密SQNMS密文���,得到SQNMS明文��。由于這是3GPP協(xié)議規(guī)范內(nèi)容����,因此,這里不對(duì)其進(jìn)行詳細(xì)敘述�����。
步驟209�,網(wǎng)絡(luò)側(cè)HLR/AUC判斷AUTS中的SQNMS是否為約定的特定值。如果為約定的特定值則執(zhí)行步驟210�;如果不為約定的特定值則執(zhí)行步驟211;步驟210����,網(wǎng)絡(luò)側(cè)執(zhí)行約定的特定值對(duì)應(yīng)的約定內(nèi)容����,即執(zhí)行鑒權(quán)密鑰更新動(dòng)作,也就是HLR/AUC根據(jù)RAND和KI采用與終端一致的算法產(chǎn)生新的鑒權(quán)密鑰��,然后結(jié)束本次信息傳遞流程�����。
步驟211,HLR/AUC根據(jù)SQNMS的值更新SQNHE�,然后結(jié)束本次信息傳遞流程。
步驟212���,網(wǎng)絡(luò)側(cè)返回失敗信息�;然后結(jié)束本次信息傳遞流程��。
對(duì)本發(fā)明而言�����,在步驟206以及207中���,實(shí)際中產(chǎn)生MAC-S時(shí)�����,不使用AMF也不影響本方法的實(shí)現(xiàn)����,即也可僅根據(jù)RAND�、KI、SQNMS計(jì)算產(chǎn)生�,至于具體算法可參照3GPP規(guī)范�。當(dāng)然�����,若終端如此操作時(shí)���,在步驟208中���,網(wǎng)絡(luò)側(cè)也應(yīng)采取與終端一致的參數(shù)和算法來(lái)生成MAC-S對(duì)終端鑒權(quán),這樣的改變應(yīng)視為對(duì)本實(shí)施例的變形����,應(yīng)屬于本發(fā)明的保護(hù)范圍。
本實(shí)施例中�,步驟208和209,及其以后步驟����,網(wǎng)絡(luò)側(cè)接收到再同步請(qǐng)求命令時(shí)���,網(wǎng)絡(luò)側(cè)HLR/AUC可以先判斷AUTS中的SQNMS是否為約定的特定值��,如果不是�����,則按照正常的同步流程處理�����,而不是直接執(zhí)行步驟211�����,否則��,即�,判斷出AUTS中的SQNMS為約定的特定值時(shí),進(jìn)一步判斷AUTS的合法性��,并在判斷出AUTS合法后執(zhí)行步驟210����,在判斷出AUTS非法后執(zhí)行步驟212。
請(qǐng)參閱圖3��,圖3所示為本發(fā)明具體實(shí)施方式
一的第二實(shí)施例�,本實(shí)施例中相對(duì)于上述第一實(shí)施例,網(wǎng)絡(luò)側(cè)接收到再同步請(qǐng)求命令時(shí)����,網(wǎng)絡(luò)側(cè)HLR/AUC可以先判斷AUTS中的SQNMS是否為約定的特定值��,后判斷AUTS的合法性�����,如下在步驟301���,終端向網(wǎng)絡(luò)發(fā)起位置更新請(qǐng)求;在步驟302����,網(wǎng)絡(luò)側(cè)接收到所述請(qǐng)求后,通過(guò)對(duì)終端發(fā)送鑒權(quán)請(qǐng)求����,將產(chǎn)生的對(duì)應(yīng)該終端的鑒權(quán)元組中的相應(yīng)的鑒權(quán)參數(shù)發(fā)送給終端。
具體地說(shuō)�����,HLR/AUC根據(jù)隨機(jī)數(shù)發(fā)生器產(chǎn)生隨機(jī)數(shù)RAND�����,根據(jù)RAND和鑒權(quán)密鑰KI分別計(jì)算出期望響應(yīng)XRES�����、加密密鑰CK�����、完整性密鑰IK�。根據(jù)隨機(jī)數(shù)RAND、序列號(hào)SQNHE��、鑒權(quán)密鑰KI和AMF計(jì)算產(chǎn)生出消息鑒權(quán)編碼MAC-A����,再根據(jù)MAC-A、SQNHE�����、匿名密鑰AK及鑒權(quán)管理域AMF產(chǎn)生AUTN����。這里,當(dāng)需要對(duì)SQNHE進(jìn)行加密時(shí),HLR/AUC根據(jù)RAND和KI產(chǎn)生AK�,使用AK對(duì)SQNHE作異或運(yùn)算,從而加密SQNHE����;當(dāng)不需要對(duì)SQNHE進(jìn)行加密時(shí),AK=0�;然后HLR/AUC將RAND、AUTN���、XRES�����、CK和IK組成的五元組和對(duì)應(yīng)的IMSI一起發(fā)送給MSC/VLR�。鑒權(quán)時(shí)��,MSC/VLR向終端發(fā)起鑒權(quán)請(qǐng)求�,并同時(shí)將五元組中相應(yīng)的鑒權(quán)參數(shù)RAND和AUTN發(fā)送給終端。
實(shí)際應(yīng)用中���,不產(chǎn)生期望響應(yīng)XRES����、加密密鑰CK及完整性密鑰IK也不影響本發(fā)明的實(shí)現(xiàn)??梢暈閷?duì)本實(shí)施例的變形。
步驟303�,終端接收到鑒權(quán)請(qǐng)求時(shí)��,先對(duì)網(wǎng)絡(luò)進(jìn)行鑒權(quán)�����,判斷鑒權(quán)是否通過(guò)����。
具體地說(shuō),終端接收到來(lái)自網(wǎng)絡(luò)側(cè)的隨機(jī)數(shù)RAND和鑒權(quán)標(biāo)記AUTN時(shí)�����,根據(jù)接收到的RAND��、自身保存的KI和接收到的AUTN中的SQNHE以及AMF采用與HLR/AUC計(jì)算AUTN中MAC-A一致的算法生成MAC-A�,然后終端將自身生成的MAC-A與網(wǎng)絡(luò)側(cè)生成的MAC-A比較,若不一致�����,則認(rèn)為對(duì)網(wǎng)絡(luò)的鑒權(quán)未通過(guò),執(zhí)行步驟304�����;若一致�,則執(zhí)行步驟305。
步驟304中�����,終端向網(wǎng)絡(luò)返回“鑒權(quán)失敗”的信息����,然后結(jié)束本次流程。
步驟305���,終端判斷SQNHE是否在可接受范圍內(nèi)�,如果是�����,則判斷出對(duì)網(wǎng)絡(luò)鑒權(quán)通過(guò)��,并執(zhí)行步驟306�,否則����,判斷出同步失敗����,并執(zhí)行步驟307。
步驟306����,終端用約定的特定值代替SQNMS產(chǎn)生再同步標(biāo)記AUTS���,對(duì)網(wǎng)絡(luò)發(fā)起再同步請(qǐng)求命令�����,并附上再同步標(biāo)記AUTS����。具體地說(shuō)�,終端用約定的特定值代替SQNMS并根據(jù)自己的KI和接收到的RAND以及AMF等計(jì)算得到MAC-S,再用約定的特定值代替SQNMS并根據(jù)AK和MAC-S產(chǎn)生再同步標(biāo)記AUTS����,向網(wǎng)絡(luò)側(cè)發(fā)送再同步請(qǐng)求命令并附上所述再同步標(biāo)記AUTS��。也即�����,向MSC/VLR發(fā)送同步失敗消息����,該同步失敗消息中包含了AUTS�����。該約定的特定值對(duì)應(yīng)的約定內(nèi)容��,也即網(wǎng)絡(luò)側(cè)識(shí)別到該約定的特定值時(shí)執(zhí)行的內(nèi)容為“產(chǎn)生新的鑒權(quán)密鑰”���;在本步驟中還包括終端根據(jù)RAND和KI產(chǎn)生新的鑒權(quán)密鑰�。然后執(zhí)行步驟308�����。
步驟306�����,終端可以進(jìn)一步根據(jù)SQNHE更新保存的SQNMS。
步驟307���,終端直接根據(jù)SQNMS產(chǎn)生再同步標(biāo)記AUTS��,對(duì)網(wǎng)絡(luò)發(fā)起再同步請(qǐng)求命令�����,并附上再同步標(biāo)記AUTS�����。具體地說(shuō),終端根據(jù)自己的KI�����、SQNMS和接收到的RAND以及AMF等計(jì)算得到MAC-S���,再根據(jù)SQNMS�����、AK和MAC-S產(chǎn)生再同步標(biāo)記AUTS�,然后對(duì)網(wǎng)絡(luò)側(cè)發(fā)起再同步請(qǐng)求命令,并附上該再同步標(biāo)記AUTS���。也即��,向MSC/VLR發(fā)送同步失敗消息���,該同步失敗消息中包含了AUTS。然后執(zhí)行步驟308�����。
步驟308�,網(wǎng)絡(luò)側(cè)接收到再同步請(qǐng)求命令時(shí),網(wǎng)絡(luò)側(cè)HLR/AUC判斷AUTS中的SQNMS是否為約定的特定值��。如果為約定的特定值則執(zhí)行步驟309���;如果不為約定的特定值則執(zhí)行步驟310��;需要說(shuō)明的是�����,如果AUTS中SQNMS根據(jù)AK進(jìn)行了加密�,HLR/AUC可以根據(jù)RAND和KI產(chǎn)生AK來(lái)解密SQNMS密文,得到SQNMS明文����。由于這是3GPP協(xié)議規(guī)范內(nèi)容,因此�,這里不對(duì)其進(jìn)行詳細(xì)敘述。
步驟309�����,網(wǎng)絡(luò)側(cè)根據(jù)對(duì)應(yīng)五元組中的RAND�、保存的KI、接收到的AUTS中的SQNMS和AMF等采用與終端一致的算法計(jì)算得到MAC-S����,然后通過(guò)比較自身產(chǎn)生的MAC-S與接收到的AUTS中的MAC-S是否一致來(lái)對(duì)終端鑒權(quán)���,若MAC-S值比較一致則認(rèn)為鑒權(quán)通過(guò)��,即認(rèn)為AUTS合法��,然后執(zhí)行步驟311��;否則�,認(rèn)為AUTS非法,執(zhí)行步驟313�;具體地說(shuō),網(wǎng)絡(luò)側(cè)的MSC/VLR接收到終端返回的再同步標(biāo)記AUTS時(shí)���,將AUTS和對(duì)應(yīng)五元組中的RAND一并發(fā)送給HLR/AUC�����,HLR/AUC先根據(jù)接收到RAND�、AUTS中的SQNMS����、自己保存的KI和AMF等采用與終端一致的算法計(jì)算得出MAC-S,再將之與接收到的AUTS中的MAC-S比較����,若一致,判斷出AUTS合法�����,否則����,判斷出AUTS非法����。
步驟311�,網(wǎng)絡(luò)側(cè)執(zhí)行約定的特定值對(duì)應(yīng)的約定內(nèi)容,即執(zhí)行鑒權(quán)密鑰更新動(dòng)作��,也就是HLR/AUC根據(jù)RAND和KI采用與終端一致的算法產(chǎn)生新的鑒權(quán)密鑰�����,然后結(jié)束本次信息傳遞流程����。
步驟310,網(wǎng)絡(luò)側(cè)根據(jù)對(duì)應(yīng)五元組中的RAND����、保存的KI、接收到的AUTS中的SQNMS和AMF等采用與終端意一致的算法計(jì)算得到MAC-S�,然后通過(guò)比較自身產(chǎn)生的MAC-S與接收到的AUTS中的MAC-S是否一致來(lái)對(duì)終端鑒權(quán)�����,若MAC-S值比較一致則認(rèn)為鑒權(quán)通過(guò),即認(rèn)為AUTS合法���,然后執(zhí)行步驟312�����;否則�,認(rèn)為AUTS非法���,執(zhí)行步驟313�����;具體地說(shuō)��,網(wǎng)絡(luò)側(cè)的MSC/VLR接收到終端返回的再同步標(biāo)記AUTS時(shí)�,將AUTS和對(duì)應(yīng)五元組中的RAND一并發(fā)送給HLR/AUC����,HLR/AUC先根據(jù)接收到RAND、AUTS中的SQNMS����、自己保存的KI和AMF等采用與終端一致的算法計(jì)算得出MAC-S���,再將之與接收到的AUTS中的MAC-S比較,若一致���,判斷出AUTS合法��,否則�����,判斷出AUTS非法��。
步驟312�,HLR/AUC根據(jù)SQNMS的值更新SQNHE��,然后結(jié)束本次信息傳遞流程���。
步驟313��,網(wǎng)絡(luò)側(cè)返回失敗信息�����;然后結(jié)束本次信息傳遞流程���。
對(duì)本發(fā)明而言,在步驟306以及307中��,實(shí)際中產(chǎn)生MAC-S時(shí)���,不使用AMF也不影響本方法的實(shí)現(xiàn)��,即也可僅根據(jù)RAND��、KI����、SQNMS計(jì)算產(chǎn)生���,至于具體算法可參照3GPP規(guī)范�。當(dāng)然���,若終端如此操作時(shí)����,在步驟309或310中�����,網(wǎng)絡(luò)側(cè)也應(yīng)采取與終端一致的參數(shù)和算法來(lái)生成MAC-S對(duì)終端鑒權(quán),這樣的改變應(yīng)視為對(duì)本實(shí)施例的變形��,應(yīng)屬于本發(fā)明的保護(hù)范圍����。
上述實(shí)施方式和實(shí)施例中,說(shuō)明了對(duì)于SQNMS是否為約定的特定值的判斷����,以及對(duì)于AUTS的合法性判斷,其順序可以調(diào)換����,一般情況下,調(diào)換判斷順序并不影響到實(shí)施效果�����。但值得注意的是�,在先判斷SQNMS是否為約定的特定值,后判斷AUTS的合法性的情況下�,HLR/AUC在判斷出SQNMS為約定的特定值后,可以根據(jù)SQNMS的特定值來(lái)進(jìn)一步確定判斷AUTS合法性時(shí)使用的判斷處理方式��,比如,使用何種算法或參數(shù)來(lái)執(zhí)行判斷���,等等����。因此��,先判斷SQNMS是否為約定的特定值�,后判斷AUTS的合法性的情況可以使得本方法具有更強(qiáng)的擴(kuò)展性���。
本發(fā)明所述的方法�����,不只可用于向網(wǎng)絡(luò)側(cè)傳送密鑰更新請(qǐng)求信息���,還可以向HLR/AUC傳送更新鑒權(quán)算法的請(qǐng)求信息,還可以向網(wǎng)絡(luò)側(cè)傳送終端是否執(zhí)行防盜驗(yàn)證和取消防盜驗(yàn)證信息���,以及向HLR/AUC傳送終端是否支持變換SQN驗(yàn)證參數(shù)和設(shè)置限制IK和CK的有效時(shí)間的閾值等等�。
對(duì)于HLR/AUC發(fā)起密鑰更新的情況下�����,終端可以利用本發(fā)明方法向HLR/AUC返回密鑰更新是否成功的信息。
實(shí)際當(dāng)中�,可以設(shè)定SQNMS的某些值可以用作約定的特定值,比如�,設(shè)定SQNMS小于256范圍內(nèi)的值作為可以用作約定的特定值,顯然��,這樣SQNMS用于判斷AUTN是否可以接受的初始值應(yīng)該大于等于256���,當(dāng)然���,也可以設(shè)置某一個(gè)值,比如1024為可以用作約定的特定值�����。還可以同時(shí)設(shè)定SQNMS在某一范圍內(nèi)的值和某些特定值作為可以用作約定的特定值���,例如可以同時(shí)設(shè)定SQNMS小于256范圍內(nèi)的值和1024����、2048兩個(gè)特定值作為可以用作約定的特定值。例如�,約定將SQNMS=128表示為終端向HLR/AUC傳送請(qǐng)求更新鑒權(quán)密鑰的信息,將SQNMS=12表示為終端向HLR/AUC傳送終端設(shè)置防盜驗(yàn)證的信息��,將SQNMS=13表示為終端向HLR/AUC傳送終端取消防盜驗(yàn)證的信息��,將SQNMS=1023表示為終端向HLR/AUC傳送密鑰更新成功的信息�����,將SQNMS=1024表示為終端向HLR/AUC傳送密鑰更新失敗的信息�����。
上述MSC/VLR為電路域設(shè)備�����,對(duì)于分組域的網(wǎng)絡(luò)�����,對(duì)應(yīng)的MSC/VLR設(shè)備為SGSN����,因此本發(fā)明可以等同應(yīng)用于分組域。
上述各個(gè)具體實(shí)施方式
或?qū)嵤├?��,終端和HLR/AUC產(chǎn)生新鑒權(quán)密鑰可以是使用成熟的摘要算法����,相應(yīng)摘要算法可以參見(jiàn)《應(yīng)用密碼學(xué)》一書(shū)或相關(guān)的算法論文或報(bào)告����;當(dāng)然,產(chǎn)生新密鑰時(shí)���,也可以使用3GPP協(xié)議中提到的由隨機(jī)數(shù)RAND和鑒權(quán)密鑰KI產(chǎn)生加密密鑰CK或完整性密鑰IK的算法來(lái)進(jìn)行��。
上述各個(gè)具體實(shí)施方式
或?qū)嵤├?�,終端對(duì)于AUTN一致性驗(yàn)證���,對(duì)于SQNHE是否屬于可接受范圍的判斷,HLR/AUC對(duì)于AUTS合法性的驗(yàn)證���,以及HLR/AUC產(chǎn)生鑒權(quán)元組時(shí)�����,對(duì)于SQNHE的更新���;產(chǎn)生鑒權(quán)元組的算法����,以及產(chǎn)生AUTS的算法����,等等,可以參見(jiàn)3GPP相關(guān)協(xié)議�����,由于是公知技術(shù)����,這里不再贅述��。
下面對(duì)本發(fā)明的具體實(shí)施方式
二進(jìn)行介紹��,通過(guò)具體實(shí)施方式
二對(duì)本發(fā)明在兩個(gè)通信模塊間的實(shí)施及應(yīng)用予以說(shuō)明�,所述模塊包括第一模塊和第二模塊,在第一模塊中保存第一鑒權(quán)密鑰AK1和第一同步密鑰SK1���,在第二模塊對(duì)應(yīng)地保存第二鑒權(quán)密鑰AK2和第二同步密鑰SK2�;在第一模塊中保存第一序列號(hào)SQN1,在第二模塊中保存第二序列號(hào)SQN2�。
鑒權(quán)時(shí),第二模塊將產(chǎn)生的鑒權(quán)參數(shù)信息發(fā)送給第一模塊���,所述鑒權(quán)參數(shù)信息包括一個(gè)隨機(jī)數(shù)RAND����,SQN2和一個(gè)消息鑒權(quán)編碼MAC-A�����;實(shí)際當(dāng)中�,第二模塊產(chǎn)生鑒權(quán)參數(shù)信息時(shí),首先產(chǎn)生一個(gè)隨機(jī)數(shù)RAND�����,比如�����,第二模塊設(shè)置一個(gè)隨機(jī)數(shù)發(fā)生器���,通過(guò)隨機(jī)數(shù)發(fā)生器產(chǎn)生該隨機(jī)數(shù)RAND��,然后根據(jù)隨機(jī)數(shù)RAND�����、SQN2和AK2進(jìn)行計(jì)算����,得到消息鑒權(quán)編碼MAC-A;第一模塊對(duì)接收自第二模塊的鑒權(quán)參數(shù)信息進(jìn)行一致性驗(yàn)證�����,也即��,對(duì)MAC-A進(jìn)行一致性驗(yàn)證�,這里是根據(jù)AK1和接收自第二模塊的RAND以及SQN2,按照和第二模塊計(jì)算MAC-A一致的方法進(jìn)行計(jì)算����,得到一個(gè)計(jì)算結(jié)果��,并比較自己計(jì)算得到的結(jié)果和接收自第二模塊的MAC-A是否一致����,如果不一致����,則對(duì)MAC-A的一致性驗(yàn)證不通過(guò)�,判斷出對(duì)第二模塊鑒權(quán)不通過(guò)。如果MAC-A的一致性驗(yàn)證通過(guò)����,則第一模塊根據(jù)自己保存的SQN1驗(yàn)證SQN2是否可以接受,如果可以接受��,則判斷出對(duì)第二模塊鑒權(quán)通過(guò)���,并根據(jù)SQN2更新SQN1�;如果判斷SQN2不可以接受����,則第一模塊根據(jù)RAND、SQN1和SK1進(jìn)行計(jì)算得到一個(gè)再同步鑒權(quán)編碼MAC-S���,向第二模塊發(fā)送再同步消息��,消息中包括SQN1和MAC-S���。第二模塊驗(yàn)證第一模塊的再同步消息的合法性����,也即驗(yàn)證再同步鑒權(quán)編碼MAC-S的合法性��,這里是根據(jù)自己保存的SK2�、RAND和接收自第一模塊的SQN1,按照和第一模塊計(jì)算MAC-S一致的方法進(jìn)行計(jì)算�,得到一個(gè)計(jì)算結(jié)果,并比較自己計(jì)算得到的結(jié)果和接收自第一模塊的MAC-S是否一致��,如果一致����,則判斷出第一模塊的再同步消息合法,并根據(jù)SQN1更新SQN2�����;如果不一致����,則判斷出第一模塊的再同步消息非法���。這里��,第二模塊驗(yàn)證MAC-S一致性時(shí)���,需要用到RAND��,第二模塊可以事先在產(chǎn)生鑒權(quán)參數(shù)之后保存了對(duì)應(yīng)的RAND�����,也可以是由第一模塊將該RAND回送給第二模塊����,需要注意的是��,由第一模塊將該RAND回送給第二模塊的做法降低了本方法的安全性�����,例如���,可能受到消息重放的攻擊����。
上述第一模塊根據(jù)SQN2更新SQN1,可以是將SQN1的值設(shè)置為等于SQN2�。
上述第二模塊根據(jù)SQN1更新SQN2,可以是將SQN2的值設(shè)置為等于SQN1�����,或者根據(jù)SQN1產(chǎn)生一個(gè)新值來(lái)代替SQN2本身的值����;或在將SQN2的值設(shè)置為等于SQN1之后,重新根據(jù)SQN2產(chǎn)生一個(gè)新值來(lái)代替SQN2本身的值��。根據(jù)SQN1或SQN2產(chǎn)生一個(gè)新值可以是對(duì)SQN1或SQN2增加一個(gè)隨機(jī)增量�����,比如增加一個(gè)1到256之間的隨機(jī)數(shù)來(lái)得到所述新值���。實(shí)際當(dāng)中��,可以通過(guò)隨機(jī)數(shù)發(fā)生器來(lái)產(chǎn)生1到256之間的隨機(jī)數(shù)����。
上述第一模塊根據(jù)自己保存的SQN1驗(yàn)證SQN2是否可以接受,可以是判斷SQN1和SQN2的差值是否在一定的范圍內(nèi)���,例如,是否(SQN1-SQN2)大于0���,或者是否(SQN1-SQN2)大于0且小于256�����,等等�����。如果差值在所述范圍內(nèi)����,則判斷出SQN2可以接受���,否則��,判斷SQN2不可以接受�。
上述計(jì)算MAC-A和MAC-S值的計(jì)算可以是已知的摘要計(jì)算��,也可以是使用業(yè)界公知的一些算法來(lái)進(jìn)行。
上述第二模塊更新SQN2以后����,可以重新開(kāi)始上述鑒權(quán)流程,即第二模塊產(chǎn)生一個(gè)隨機(jī)數(shù)RAND����,比如,第二模塊通過(guò)設(shè)置的隨機(jī)數(shù)發(fā)生器產(chǎn)生該隨機(jī)數(shù)RAND����。第二模塊根據(jù)隨機(jī)數(shù)RAND、SQN2和AK2進(jìn)行計(jì)算���,得到一個(gè)消息鑒權(quán)編碼MAC-A���,并將RAND、SQN2和MAC-A發(fā)送給第一模塊����,第一模塊進(jìn)行相應(yīng)處理,等等��。
第一模塊和第二模塊預(yù)先約定第二模塊在接收到第一模塊的再同步消息后���,如果判斷出SQN1為約定的特定值時(shí)�,則根據(jù)該特定值執(zhí)行對(duì)應(yīng)的約定內(nèi)容,也即執(zhí)行對(duì)應(yīng)操作���。
根據(jù)約定�,第一模塊可以向第二模塊傳送特定的信息�����,使第二模塊根據(jù)特定信息執(zhí)行對(duì)應(yīng)的特定操作���。
第一模塊可以和第二模塊預(yù)先約定第二模塊在接收到第一模塊的再同步消息后,如果判斷出SQN1為約定的特定值時(shí)���,則根據(jù)該特定值執(zhí)行對(duì)應(yīng)的約定內(nèi)容��,也即執(zhí)行對(duì)應(yīng)操作���。所述執(zhí)行對(duì)應(yīng)約定的內(nèi)容可以是執(zhí)行密鑰更新、執(zhí)行鑒權(quán)算法更新�����、獲得相關(guān)信息和返回特殊操作執(zhí)行結(jié)果信息等等操作中的一個(gè)或者多個(gè)。所述獲得相關(guān)信息可以是獲得第一模塊是否具備某種能力�,例如,根據(jù)SQN1的值獲得第一模塊是否支持GPS定位功能�����,是否支持移動(dòng)支付等等��,所述特殊操作可以第一模塊執(zhí)行的一些特定操作���,例如根據(jù)某種配置進(jìn)行初始化操作執(zhí)行結(jié)果�,等等�。
請(qǐng)參閱圖4,為本發(fā)明具體實(shí)施方式
二的第一實(shí)施例中��,第一模塊需要向第二模塊傳送特定的信息時(shí)的主流程在步驟402���,鑒權(quán)時(shí)��,第二模塊將產(chǎn)生的鑒權(quán)參數(shù)信息發(fā)送給第一模塊��。
所述鑒權(quán)參數(shù)信息包括一個(gè)隨機(jī)數(shù)RAND����,SQN2和一個(gè)消息鑒權(quán)編碼MAC-A;實(shí)際當(dāng)中�����,第二模塊產(chǎn)生鑒權(quán)參數(shù)時(shí)����,首先產(chǎn)生一個(gè)隨機(jī)數(shù)RAND,比如���,第二模塊通過(guò)設(shè)置的隨機(jī)數(shù)發(fā)生器產(chǎn)生該隨機(jī)數(shù)RAND,然后根據(jù)隨機(jī)數(shù)RAND���、SQN2和AK2進(jìn)行計(jì)算��,得到一個(gè)消息鑒權(quán)編碼MAC-A�,并將RAND���、SQN2和MAC-A作為要發(fā)送給第一模塊的鑒權(quán)參數(shù)��;在步驟403����,第一模塊對(duì)接收自第二模塊的消息進(jìn)行一致性驗(yàn)證,也即��,根據(jù)AK1和接收自第二模塊的RAND以及SQN2�,按照和第二模塊計(jì)算MAC-A一致的方法進(jìn)行計(jì)算,得到一個(gè)計(jì)算結(jié)果���,并比較自己計(jì)算得到的結(jié)果和接收的MAC-A是否一致����,如果不一致�,則判斷出對(duì)第二模塊鑒權(quán)不通過(guò)。如果一致性驗(yàn)證通過(guò)��,則執(zhí)行步驟404����。
在步驟404,第一模塊根據(jù)自己保存的SQN1驗(yàn)證SQN2是否可以接受���,如果可以接受���,則判斷出對(duì)第二模塊鑒權(quán)通過(guò),并根據(jù)SQN2更新SQN1����,執(zhí)行步驟405��;否則�����,如果判斷SQN2不可以接受�����,則執(zhí)行步驟406�����。
在步驟405,第一模塊用約定的特定值代替SQN1并根據(jù)自己的SK1和接收到的RAND等進(jìn)行計(jì)算得到一個(gè)再同步鑒權(quán)編碼MAC-S��,向第二模塊發(fā)送再同步消息��,消息中包括代替SQN1的所述約定的特定值和MAC-S�,第二模塊接收到再同步消息后進(jìn)入執(zhí)行同步處理的子流程。
在步驟406����,第一模塊根據(jù)RAND��、SQN1和SK1進(jìn)行計(jì)算得到一個(gè)消息鑒權(quán)編碼MAC-S�����,第一模塊向第二模塊發(fā)送再同步消息�,消息中包括SQN1和MAC-S���,第二模塊接收到再同步消息后進(jìn)入執(zhí)行同步處理的子流程����。
上述步驟404第一模塊根據(jù)自己保存的SQN1驗(yàn)證SQN2是否可以接受�,可以是判斷SQN1和SQN2的差值是否在一定的范圍內(nèi),例如�����,是否(SQN1-SQN2)大于0�����,或者是否(SQN1-SQN2)大于0且小于256�,等等。如果差值在所述范圍內(nèi),則判斷出SQN2可以接受���,否則�,判斷SQN2不可以接受��。
請(qǐng)參閱圖5�����,為本發(fā)明具體實(shí)施方式
二的第一實(shí)施例中�,第一模塊不需要向第二模塊傳送特定的信息時(shí)的主流程在步驟502,鑒權(quán)時(shí)����,第二模塊將產(chǎn)生的鑒權(quán)參數(shù)信息發(fā)送給第一模塊。
所述鑒權(quán)參數(shù)信息包括一個(gè)隨機(jī)數(shù)RAND����,SQN2和一個(gè)消息鑒權(quán)編碼MAC-A;實(shí)際當(dāng)中�,第二模塊產(chǎn)生鑒權(quán)參數(shù)時(shí)���,首先產(chǎn)生一個(gè)隨機(jī)數(shù)RAND����,比如,第二模塊通過(guò)設(shè)置的隨機(jī)數(shù)發(fā)生器產(chǎn)生該隨機(jī)數(shù)RAND����,第二模塊根據(jù)隨機(jī)數(shù)RAND、SQN2和AK2進(jìn)行計(jì)算�����,得到一個(gè)消息鑒權(quán)編碼MAC-A���,并將RAND���、SQN2和MAC-A作為要發(fā)送給第一模塊的鑒權(quán)參數(shù);在步驟503��,第一模塊對(duì)接收自第二模塊的消息進(jìn)行一致性驗(yàn)證���,也即����,根據(jù)AK1和接收自第二模塊的RAND以及SQN2����,按照和第二模塊計(jì)算MAC-A一致的方法進(jìn)行計(jì)算����,得到一個(gè)計(jì)算結(jié)果�,并比較自己計(jì)算得到的結(jié)果和接收的MAC-A是否一致,如果不一致�,則判斷出對(duì)第二模塊鑒權(quán)不通過(guò)。如果一致性驗(yàn)證通過(guò)�����,則執(zhí)行步驟504����。
在步驟504,第一模塊根據(jù)自己保存的SQN1驗(yàn)證SQN2是否可以接受�,如果可以接受,則判斷出對(duì)第二模塊鑒權(quán)通過(guò)�����,執(zhí)行步驟506����,即根據(jù)SQN2更新SQN1,并結(jié)束流程�����;否則��,如果判斷SQN2不可以接受�,則執(zhí)行步驟505。
在步驟505�,第一模塊根據(jù)RAND、SQN1和SK1進(jìn)行計(jì)算得到一個(gè)消息鑒權(quán)編碼MAC-S�,第一模塊向第二模塊發(fā)送再同步消息,消息中包括SQN1和MAC-S��,第二模塊接收到再同步消息后進(jìn)入執(zhí)行同步處理的子流程��。
上述步驟504第一模塊根據(jù)自己保存的SQN1驗(yàn)證SQN2是否可以接受����,可以是判斷SQN1和SQN2的差值是否在一定的范圍內(nèi),例如��,是否(SQN1-SQN2)大于0�����,或者是否(SQN1-SQN2)大于0且小于256,等等����。如果差值在所述范圍內(nèi),則判斷出SQN2可以接受�,否則,判斷SQN2不可以接受����。
請(qǐng)參閱圖6,為本發(fā)明具體實(shí)施方式
二的第一實(shí)施例中的第二模塊執(zhí)行同步處理的子流程在步驟601���,第二模塊驗(yàn)證第一模塊的再同步消息的合法性�,如果第一模塊的再同步消息合法則執(zhí)行步驟602�,如果第一模塊的再同步消息非法則執(zhí)行步驟603,即返回同步失敗信息�����,結(jié)束流程�����。
在步驟602�����,第二模塊判斷再同步消息中SQN1是否為約定的特定值,如果不是���,則執(zhí)行步驟604;如果是��,則執(zhí)行步驟605��。
在步驟604����,根據(jù)SQN1更新SQN2,結(jié)束流程�。
在步驟605,第二模塊執(zhí)行對(duì)應(yīng)約定的內(nèi)容����,也即執(zhí)行對(duì)應(yīng)操作。實(shí)際當(dāng)中�����,可以預(yù)先約定第二模塊在接收到第一模塊的再同步消息后���,如果判斷出再同步消息中SQN1為約定的特定值時(shí)�����,則根據(jù)該特定值執(zhí)行對(duì)應(yīng)的約定內(nèi)容��,也即執(zhí)行對(duì)應(yīng)操作�。然后,結(jié)束流程����。
請(qǐng)一并參閱本發(fā)明的圖4、圖5及圖7���,為本發(fā)明的具體實(shí)施方式
二的第二實(shí)施例��,與上述第一實(shí)施例的區(qū)別在于第一實(shí)施例中第二模塊執(zhí)行同步處理的子流程時(shí)���,先進(jìn)行再同步消息的合法性判斷,而后進(jìn)行再同步消息中SQN1是否為約定的特定值的判斷���。在本實(shí)施例中���,先判斷再同步消息中SQN1是否為約定的特定值�,而后進(jìn)行再同步消息的合法性判斷�,如圖7所示在步驟701,第二模塊驗(yàn)證第一模塊的再同步消息中SQN1是否為約定的特定值���,如果是�,則執(zhí)行步驟702�,否則���,執(zhí)行步驟703�。
在步驟702���,第二模塊驗(yàn)證第一模塊的再同步消息的合法性����,如果第一模塊的再同步消息合法則執(zhí)行步驟704�,如果第一模塊的再同步消息非法,則執(zhí)行步驟706���。
在步驟703��,第二模塊驗(yàn)證第一模塊的再同步消息的合法性�,如果第一模塊的再同步消息合法則執(zhí)行步驟705,否則����,如果第一模塊的再同步消息非法,則執(zhí)行步驟706�����。
在步驟704�,第二模塊執(zhí)行對(duì)應(yīng)約定的內(nèi)容,也即執(zhí)行對(duì)應(yīng)操作���。實(shí)際當(dāng)中�,可以預(yù)先約定B模塊在接收到A模塊的再同步消息后���,如果判斷出再同步消息中SQN1為約定的特定值時(shí)�����,則根據(jù)該特定值執(zhí)行對(duì)應(yīng)的約定內(nèi)容����,也即執(zhí)行對(duì)應(yīng)操作。然后結(jié)束流程����。
在步驟705,根據(jù)SQN1更新SQN2��,然后結(jié)束流程�。
步驟706,返回同步失敗信息�����,然后結(jié)束流程�。
上述具體實(shí)施方式
二中���,第二模塊執(zhí)行同步處理的子流程時(shí)�,第二模塊驗(yàn)證第一模塊的再同步消息的合法性具體可以是���,第二模塊根據(jù)自己保存的SK2���、RAND和接收自第一模塊的SQN1,按照和第一模塊計(jì)算MAC-S一致的方法進(jìn)行計(jì)算����,得到一個(gè)計(jì)算結(jié)果�����,并比較自己計(jì)算得到的結(jié)果和接收自第一模塊的MAC-S是否一致�,如果一致�����,則判斷出MAC-S合法�����,也即第一模塊的再同步消息合法���;如果不一致����,則判斷出MAC-S非法�����,也即第一模塊的再同步消息非法�。這里,第二模塊驗(yàn)證MAC-S一致性時(shí),需要用到RAND�����,第二模塊可以事先在產(chǎn)生鑒權(quán)參數(shù)之后保存了對(duì)應(yīng)的RAND�,也可以是由第一模塊將該RAND回送給第二模塊,當(dāng)然�����,后者可能會(huì)存在一定的安全隱患���,例如�����,可能受到消息重放的攻擊�����。
上述具體實(shí)施方式
或?qū)嵤├校f(shuō)明了對(duì)于SQN1是否為約定的特定值的判斷�����,以及對(duì)于再同步消息的合法性判斷,其順序可以調(diào)換��,一般情況下�����,調(diào)換判斷順序并不影響到實(shí)施效果�。但值得注意的是,在具體實(shí)施方式
二的第二實(shí)施例中����,即先判斷SQN1是否為約定的特定值,后判斷再同步消息的合法性的情況下��,第二模塊在判斷出SQN1為約定的特定值后���,可以根據(jù)SQN1的特定值來(lái)進(jìn)一步確定判斷再同步消息合法性時(shí)所使用的判斷處理方式���,比如,根據(jù)所述約定的特定值確定使用何種算法或采用哪些參數(shù)來(lái)執(zhí)行所述對(duì)再同步消息的合法性判斷����,等等。因此�����,先判斷SQN1是否為約定的特定值,后判斷再同步消息的合法性的情況可以使得本方法具有更強(qiáng)的擴(kuò)展性���。
上述具體實(shí)施方式
或?qū)嵤├?����,第一模塊再計(jì)算再同步鑒權(quán)編碼時(shí)�����,可以不使用隨機(jī)數(shù)參與運(yùn)算��,相應(yīng)的�����,第二模塊驗(yàn)證第一模塊的再同步消息的合法性時(shí)��,也不使用隨機(jī)數(shù)參與運(yùn)算����。不過(guò)�,這樣會(huì)降低第一同步密鑰的安全性,是針對(duì)本發(fā)明的一種改劣實(shí)現(xiàn)�����,因此�����,這里不再詳細(xì)闡述這種改劣方法的具體實(shí)施步驟�����。
上述具體實(shí)施方式
或?qū)嵤├?�,在第一模塊中�����,第一鑒權(quán)密鑰AK1和第一同步密鑰SK1可以相同����,也即,第一鑒權(quán)密鑰AK1和第一同步密鑰SK1可以是同一個(gè)密鑰�����;相應(yīng)地,在第二模塊中���,第二鑒權(quán)密鑰AK2和第二同步密鑰SK2也可以相同�����,也即���,第二鑒權(quán)密鑰AK2和第二同步密鑰SK2也可以是同一個(gè)密鑰。
上述第二實(shí)施方式及相關(guān)實(shí)施例中���,可以設(shè)定SQN1的某些值用作約定的特定值�,比如��,設(shè)定SQN1小于256范圍內(nèi)的值作為可以用作約定的特定值��,顯然�����,這樣SQN1用于判斷SQN2是否可以接受的初始值應(yīng)該大于等于256����。當(dāng)然,也可以設(shè)置某一個(gè)值����,比如1024為可以用作約定的特定值。還可以同時(shí)設(shè)定SQN1在某一范圍內(nèi)的值和某些特定值作為可以用作約定的特定值���,例如可以同時(shí)設(shè)定SQN1小于256范圍內(nèi)的值和1024����、2048兩個(gè)特定值作為可以用作約定的特定值����。例如,約定將SQN1=128表示為向第二模塊傳送更新鑒權(quán)密鑰的信息��,將SQN1=1023表示為向第二模塊傳送密鑰更新成功的信息���,將SQN1=1024表示為向第二模塊傳送密鑰更新失敗的信息�����。
可以理解����,以上所述僅為本發(fā)明的較佳實(shí)施例,并不用以限制本發(fā)明��,凡在本發(fā)明的精神和原則之內(nèi)所作的任何修改����、等同替換、改進(jìn)等�,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。
權(quán)利要求
1.一種信息傳遞方法���,用于3G網(wǎng)絡(luò)中終端向網(wǎng)絡(luò)傳遞信息���,其特征在于,所述方法包括以下步驟a.終端用約定的特定值代替SQNMS產(chǎn)生再同步標(biāo)記AUTS�,對(duì)網(wǎng)絡(luò)發(fā)送再同步請(qǐng)求命令且附上所述再同步標(biāo)記AUTS;b.網(wǎng)絡(luò)側(cè)在接收到所述再同步請(qǐng)求命令并判斷出所述再同步標(biāo)記AUTS中的SQNMS為所述約定的特定值時(shí)��,執(zhí)行所述約定的特定值對(duì)應(yīng)的操作��。
2.根據(jù)權(quán)利要求1所述的方法����,其特征在于,所述方法還包括,在步驟a之前終端對(duì)網(wǎng)絡(luò)側(cè)發(fā)送可引起鑒權(quán)流程的命令或請(qǐng)求��,網(wǎng)絡(luò)側(cè)接收到所述命令或請(qǐng)求時(shí)對(duì)終端發(fā)起鑒權(quán)請(qǐng)求且附上產(chǎn)生的相應(yīng)的鑒權(quán)參數(shù)�,相應(yīng)地,在步驟a中���,終端接收所述鑒權(quán)參數(shù)并在向網(wǎng)絡(luò)側(cè)發(fā)送再同步請(qǐng)求命令前根據(jù)所述鑒權(quán)參數(shù)對(duì)網(wǎng)絡(luò)進(jìn)行鑒權(quán)。
3.根據(jù)權(quán)利要求2所述的方法��,其特征在于��,所述步驟a之前終端對(duì)網(wǎng)絡(luò)側(cè)發(fā)送可引起鑒權(quán)流程的命令或請(qǐng)求可以是位置更新請(qǐng)求或業(yè)務(wù)請(qǐng)求���。
4.根據(jù)權(quán)利要求2所述的方法��,其特征在于���,所述鑒權(quán)參數(shù)包括隨機(jī)數(shù)RAND和鑒權(quán)標(biāo)記AUTN,相應(yīng)的��,在步驟a中所述對(duì)網(wǎng)絡(luò)進(jìn)行鑒權(quán)是根據(jù)RAND和AUTN對(duì)網(wǎng)絡(luò)鑒權(quán)����。
5.根據(jù)權(quán)利要求4所述的方法,其特征在于,根據(jù)RAND和AUTN對(duì)網(wǎng)絡(luò)鑒權(quán)是指判斷AUTN是否滿足一致性要求�,如果不滿足,則對(duì)網(wǎng)絡(luò)鑒權(quán)失敗��。
6.根據(jù)權(quán)利要求5所述的方法�,其特征在于,判斷出AUTN滿足一致性要求后���,進(jìn)一步判斷SQNHE是否在可接受的范圍內(nèi)�����,如果是��,則確認(rèn)對(duì)網(wǎng)絡(luò)鑒權(quán)通過(guò)����,用所述約定的特定值代替SQNMS產(chǎn)生再同步標(biāo)記AUTS��,否則��,直接根據(jù)SQNMS產(chǎn)生再同步標(biāo)記AUTS���。
7.根據(jù)權(quán)利要求1所述的方法��,其特征在于�,步驟b還包括判斷AUTS是否合法。
8.根據(jù)權(quán)利要求7所述的方法�����,其特征在于��,所述步驟b中判斷出SQNMS為所述約定的特定值后進(jìn)一步判斷AUTS是否合法��,若合法則執(zhí)行對(duì)應(yīng)的約定內(nèi)容���。
9.根據(jù)權(quán)利要求7所述的方法,其特征在于����,所述步驟b中判斷出AUTS合法后進(jìn)一步判斷SQNMS是否為所述約定的特定值,若是則執(zhí)行對(duì)應(yīng)的約定內(nèi)容��,否則���,根據(jù)SQNMS更新SQNHE�。
10.根據(jù)權(quán)利要求1所述的方法�,其特征在于,所述約定的特定值是指約定某一范圍內(nèi)的值或某個(gè)或多個(gè)具體值。
11.根據(jù)權(quán)利要求1所述的方法�,其特征在于,所述執(zhí)行約定內(nèi)容可以是執(zhí)行密鑰更新����、執(zhí)行鑒權(quán)算法更新、執(zhí)行防盜驗(yàn)證�����、取消防盜驗(yàn)證���、獲得相關(guān)信息和返回特殊操作執(zhí)行結(jié)果信息中一個(gè)或多個(gè)�。
12.一種鑒權(quán)方法�����,用于通信網(wǎng)絡(luò)中終端與網(wǎng)絡(luò)間的鑒權(quán)���,所述方法包括以下步驟a.網(wǎng)絡(luò)側(cè)產(chǎn)生隨機(jī)數(shù)�����,并根據(jù)隨機(jī)數(shù)���、終端的鑒權(quán)密鑰和序列號(hào)生成鑒權(quán)元組�,發(fā)送給終端��;b.終端根據(jù)自身保存的鑒權(quán)密鑰對(duì)所述鑒權(quán)元組進(jìn)行一致性驗(yàn)證�����,并根據(jù)自身保存的序列號(hào)判斷來(lái)自網(wǎng)絡(luò)的序列號(hào)是否可接受���,判斷出對(duì)所述鑒權(quán)元組的一致性驗(yàn)證通過(guò)����,且所述來(lái)自網(wǎng)絡(luò)的序列號(hào)可接受時(shí)���,對(duì)網(wǎng)絡(luò)鑒權(quán)通過(guò),并用約定的特定值代替終端保存的序列號(hào)生成再同步標(biāo)記����,向網(wǎng)絡(luò)發(fā)送再同步請(qǐng)求且附上所述再同步標(biāo)記;c.網(wǎng)絡(luò)在接收到所述再同步請(qǐng)求�,判斷出所述再同步標(biāo)記中的所述序列號(hào)為所述約定的特定值時(shí),執(zhí)行約定的對(duì)應(yīng)操作�。
13.根據(jù)權(quán)利要求12所述的方法�,其特征在于����,所述方法還包括在步驟a之前,終端對(duì)網(wǎng)絡(luò)側(cè)發(fā)送可引起鑒權(quán)流程的命令或請(qǐng)求�����,所述命令或請(qǐng)求可以是位置更新請(qǐng)求或業(yè)務(wù)請(qǐng)求���。
14.根據(jù)權(quán)利要求12所述的方法��,其特征在于�,所述步驟b中還包括����,當(dāng)終端判斷出對(duì)來(lái)自網(wǎng)絡(luò)的所述鑒權(quán)元組一致性驗(yàn)證通過(guò)但來(lái)自網(wǎng)絡(luò)的序列號(hào)不屬于可接受的范圍時(shí),直接根據(jù)終端保存的序列號(hào)生成再同步標(biāo)記�����,向網(wǎng)絡(luò)發(fā)送再同步請(qǐng)求且附上所述再同步標(biāo)記��。
15.根據(jù)權(quán)利要求12所述的方法����,其特征在于��,所述步驟b中還包括�����,當(dāng)終端判斷出對(duì)來(lái)自網(wǎng)絡(luò)的所述鑒權(quán)元組一致性驗(yàn)證未通過(guò)時(shí)��,則向網(wǎng)絡(luò)發(fā)送鑒權(quán)失敗信息����。
16.根據(jù)權(quán)利要求12所述的方法��,其特征在于�,所述步驟b中還包括,終端判斷出對(duì)所述鑒權(quán)元組的一致性驗(yàn)證通過(guò)�,且所述來(lái)自網(wǎng)絡(luò)的序列號(hào)可接受時(shí),根據(jù)所述來(lái)自網(wǎng)絡(luò)側(cè)的序列號(hào)更新終端側(cè)保存的序列號(hào)����。
17.根據(jù)權(quán)利要求12所述的方法����,其特征在于����,所述步驟c中還包括網(wǎng)絡(luò)側(cè)對(duì)所述再同步標(biāo)記進(jìn)行合法性判斷�����。
18.根據(jù)權(quán)利要求17所述的方法�����,其特征在于�����,所述步驟c可以進(jìn)一步是判斷出所述來(lái)自終端的序列號(hào)為所述約定的特定值后進(jìn)一步判斷再同步標(biāo)記是否合法�,若合法則執(zhí)行對(duì)應(yīng)的約定內(nèi)容。
19.根據(jù)權(quán)利要求17所述的方法��,其特征在于�,所述步驟c可以進(jìn)一步是判斷出再同步標(biāo)記合法后進(jìn)一步判斷所述來(lái)自終端的序列號(hào)是否為所述約定的特定值,若是則執(zhí)行對(duì)應(yīng)的約定內(nèi)容����,否則,根據(jù)所述來(lái)自終端的序列號(hào)更新網(wǎng)絡(luò)側(cè)保存的序列號(hào)��。
20.根據(jù)權(quán)利要求12到19中任一項(xiàng)所述的方法,其特征在于��,所述約定的特定值是指約定某一范圍內(nèi)的值或某個(gè)或多個(gè)具體值�����。
21.根據(jù)權(quán)利要求12到19中任一項(xiàng)所述的方法����,其特征在于,所述執(zhí)行約定內(nèi)容可以是執(zhí)行密鑰更新���、執(zhí)行鑒權(quán)算法更新���、執(zhí)行防盜驗(yàn)證、取消防盜驗(yàn)證����、獲得相關(guān)信息和返回特殊操作執(zhí)行結(jié)果信息中一個(gè)或多個(gè)。
22.一種鑒權(quán)方法���,用于可相互通信的模塊之間的鑒權(quán),所述模塊至少包括保存了第一鑒權(quán)密鑰��、第一同步密鑰和第一序列號(hào)的第一模塊,以及保存了第二鑒權(quán)密鑰����、第二同步密鑰和第二序列號(hào)的第二模塊,其特征在于�����,所述方法至少包括以下步驟a.第二模塊產(chǎn)生隨機(jī)數(shù)�,并根據(jù)隨機(jī)數(shù)、第二鑒權(quán)密鑰和第二序列號(hào)生成消息鑒權(quán)編碼�,將所述隨機(jī)數(shù)、第二序列號(hào)和生成的消息鑒權(quán)編碼發(fā)送給第一模塊���;b.第一模塊根據(jù)第一鑒權(quán)密鑰和所述隨機(jī)數(shù)以及第二序列號(hào)對(duì)所述消息鑒權(quán)編碼進(jìn)行一致性驗(yàn)證�����,并根據(jù)第一序列號(hào)判斷第二序列號(hào)是否可接受��,判斷出對(duì)所述消息鑒權(quán)編碼的一致性驗(yàn)證通過(guò)�,且第二序列號(hào)可接受時(shí)��,對(duì)第二模塊的鑒權(quán)通過(guò),并用約定的特定值代替第一序列號(hào)和所述隨機(jī)數(shù)以及第一同步密鑰生成再同步鑒權(quán)編碼��,向第二模塊發(fā)送再同步請(qǐng)求且附上所述再同步鑒權(quán)編碼和代替第一序列號(hào)的所述約定的特定值����;c.第二模塊在接收到所述再同步請(qǐng)求,判斷出來(lái)自第一模塊的第一序列號(hào)為所述約定的特定值時(shí)���,執(zhí)行約定的對(duì)應(yīng)操作�。
23.根據(jù)權(quán)利要求22所述的方法�,其特征在于,所述步驟b中所述用約定的特定值代替第一序列號(hào)和第一同步密鑰生成再同步鑒權(quán)編碼進(jìn)一步是用約定的特定值代替第一序列號(hào)和所述隨機(jī)數(shù)以及第一同步密鑰生成再同步鑒權(quán)編碼��。
24.根據(jù)權(quán)利要求23所述的方法���,其特征在于�����,所述步驟b中還包括��,第一模塊判斷出對(duì)所述消息鑒權(quán)編碼的一致性驗(yàn)證通過(guò)�����,且第二序列號(hào)可接受時(shí)��,根據(jù)所述第二序列號(hào)更新第一序列號(hào)�。
25.根據(jù)權(quán)利要求23所述的方法���,其特征在于��,所述步驟b中還包括���,當(dāng)?shù)谝荒K判斷出對(duì)所述消息鑒權(quán)編碼的一致性驗(yàn)證通過(guò)但第二序列號(hào)不屬于可接受的范圍時(shí),直接根據(jù)終第一序列號(hào)和所述隨機(jī)數(shù)以及第一同步密鑰生成再同步鑒權(quán)編碼��,向網(wǎng)絡(luò)發(fā)送再同步請(qǐng)求且附上所述再同步鑒權(quán)編碼和第一序列號(hào)�。
26.根據(jù)權(quán)利要求23所述的方法,其特征在于�����,所述步驟b中還包括�����,當(dāng)?shù)谝荒K判斷出對(duì)所述消息鑒權(quán)編碼的一致性驗(yàn)證未通過(guò)時(shí)����,則向第二模塊發(fā)送鑒權(quán)失敗信息�。
27.根據(jù)權(quán)利要求23所述的方法��,其特征在于��,所述步驟b中��,第一模塊對(duì)所述消息鑒權(quán)編碼進(jìn)行一致性驗(yàn)證進(jìn)一步是第一模塊根據(jù)第一鑒權(quán)密鑰���、所述隨機(jī)數(shù)和第二序列號(hào)采用和第二模塊根據(jù)所述隨機(jī)數(shù)��、第二鑒權(quán)密鑰和第二序列號(hào)產(chǎn)生消息鑒權(quán)編碼一致的方法產(chǎn)生一個(gè)運(yùn)算結(jié)果���,比較自己產(chǎn)生的運(yùn)算結(jié)果和所述消息鑒權(quán)編碼是否一致,如果一致���,則對(duì)所述消息鑒權(quán)編碼的一致性驗(yàn)證通過(guò)�,否則��,對(duì)所述消息鑒權(quán)編碼的一致性驗(yàn)證不通過(guò)���。
28.根據(jù)權(quán)利要求23所述的方法���,其特征在于�����,所述步驟b中�����,第一模塊判斷第二序列號(hào)是否可接受進(jìn)一步是判斷第二序列號(hào)和第一序列號(hào)的差值是否在一定的范圍內(nèi),如果是����,則判斷出第二序列號(hào)可接受,否則�����,判斷出第二序列號(hào)不可以接受�����。
29.根據(jù)權(quán)利要求23所述的方法��,其特征在于����,所述步驟c中還包括第二模塊對(duì)所述再同步鑒權(quán)編碼進(jìn)行合法性判斷��。
30.根據(jù)權(quán)利要求29所述的方法��,其特征在于���,所述步驟c可以進(jìn)一步是判斷出所述來(lái)自第一模塊的第一序列號(hào)為所述約定的特定值后進(jìn)一步判斷再同步鑒權(quán)編碼是否合法,若合法則執(zhí)行對(duì)應(yīng)的約定內(nèi)容�����;
31.根據(jù)權(quán)利要求29所述的方法�,其特征在于,所述步驟c可以進(jìn)一步是判斷出來(lái)自第一模塊的再同步鑒權(quán)編碼合法后進(jìn)一步判斷所述第一序列號(hào)是否為所述約定的特定值��,若是則執(zhí)行對(duì)應(yīng)的約定內(nèi)容�����,否則����,根據(jù)所述第一序列號(hào)更新保存的第二序列號(hào)。
32.根據(jù)權(quán)利要求29所述的方法��,其特征在于,所述步驟c進(jìn)一步包括判斷出來(lái)自第一模塊的再同步鑒權(quán)編碼非法后����,返回失敗信息。
33.根據(jù)權(quán)利要求30到32中任一項(xiàng)所述的方法����,其特征在于,所述步驟c中第二模塊對(duì)所述再同步鑒權(quán)編碼進(jìn)行合法性判斷進(jìn)一步是第二模塊根據(jù)第二同步密鑰���、所述隨機(jī)數(shù)和第一序列號(hào)采用和第一模塊根據(jù)所述隨機(jī)數(shù)、第一同步密鑰和第一序列號(hào)產(chǎn)生再同步鑒權(quán)編碼一致的方法產(chǎn)生一個(gè)運(yùn)算結(jié)果�����,比較自己產(chǎn)生的運(yùn)算結(jié)果和所述再同步鑒權(quán)編碼是否一致�����,如果一致���,則判斷出再同步鑒權(quán)編碼合法����,否則,判斷出再同步鑒權(quán)編碼非法����。
34.根據(jù)權(quán)利要求22中所述的方法,其特征在于��,所述約定的特定值是指約定某一范圍內(nèi)的值或某個(gè)或多個(gè)具體值�。
35.根據(jù)權(quán)利要求22中所述的方法,其特征在于�,所述執(zhí)行約定內(nèi)容可以是執(zhí)行密鑰更新、執(zhí)行鑒權(quán)算法更新���、獲得相關(guān)信息和返回特殊操作執(zhí)行結(jié)果信息中一個(gè)或多個(gè)��。
全文摘要
本發(fā)明公開(kāi)了一種鑒權(quán)方法及相應(yīng)的信息傳遞方法����,該信息傳遞方法包括終端和網(wǎng)絡(luò)側(cè)預(yù)先約定網(wǎng)絡(luò)側(cè)判斷出SQNMS為約定的特定值時(shí)執(zhí)行對(duì)應(yīng)的約定內(nèi)容�,所述方法至少包括以下步驟a.終端用所述特定值代替SQNMS產(chǎn)生再同步標(biāo)記AUTS,對(duì)網(wǎng)絡(luò)發(fā)送再同步請(qǐng)求命令且附上所述再同步標(biāo)記AUTS�����;b.網(wǎng)絡(luò)側(cè)在接收到所述再同步請(qǐng)求命令并判斷出所述再同步標(biāo)記AUTS中的SQNMS為所述約定的特定值時(shí),執(zhí)行所述約定內(nèi)容��。本發(fā)明終端向網(wǎng)絡(luò)傳遞信息的方法不需增加或改變現(xiàn)有的信令資源或鑒權(quán)參數(shù)��,方便地從終端向網(wǎng)絡(luò)側(cè)傳遞信息且保障網(wǎng)絡(luò)安全性�����。
文檔編號(hào)H04W12/00GK1859729SQ200510085888
公開(kāi)日2006年11月8日 申請(qǐng)日期2005年7月7日 優(yōu)先權(quán)日2005年6月4日
發(fā)明者王正偉, 孔杰 申請(qǐng)人:華為技術(shù)有限公司