专利名称:移动通讯系统中加密移动台开机鉴权方法
技术领域:
本发明涉及移动通讯系统,尤其涉及在移动通信系统中加密移动台开机鉴权以及加密等级登记的方法。
背景技术:
随着经济生活的不断发展,人们对于交流和沟通需求的不断增加,通讯系统已经日益成为社会各个领域活动不可或缺的工具。需求推动创新,通讯技术也在日益增长的需求推动下快速发展。在移动通信领域中,用户对于通讯信息的安全一直都非常关注,不仅要求通讯系统具有语音质量高、多功能、可靠性高等特点,而且对通讯系统的保密性也提出越来越高的要求。在涉及金融、国家安全和军队等信息敏感领域,对于加密移动通信的要求则更高。在现有的蜂窝移动通信系统中,移动通信系统一般会要求开机的移动台进行开机鉴权和登记,以便确定移动台接入移动网络具有合法性,以及一些跟移动台有关的位置信息。对于这样的移动台鉴权而言,都是移动通信网络对终端进行合法身份检验,属于单向鉴权,鉴权的算法一般采用协议标准提供或建议的算法。以现有码分多址移动通信系统的鉴权为例,移动台在每次入网前都需要进行必要的鉴权,即鉴别移动台的合法身份,确定该移动台是否有入网资格。移动台将鉴权参数以鉴权请求的方式发送给移动通信系统的基站,基站传输给鉴权中心(AC,Authentication Center),鉴权中心根据鉴权随机数,按照标准算法计算出结果,与移动台中存储的相关信息比较,确定移动台的身份是否合法。这种移动台开机鉴权的方法在公众网等对于信息敏感度低的领域内一般可以接受,但是在涉及国家安全、军队、金融和重要政府机关等领域内,却无法满足这些部门对于安全性的需求。在这样的情况下,加密移动通信系统就成为一种必然,在加密移动通信中,无论终端还是网络侧,都需要在通信过程中相互检验对方的合法性。移动通信系统对移动台鉴权可以防止非法移动台接入,移动台检验基站的合法性则可以防止伪基站的诱导而造成信息泄漏。因此对于加密移动通信系统来说,现有的民用移动台开机鉴权方法无法满足通信安全方面的要求,但是目前又没有一个适当的方式满足该要求。
发明内容
本发明的目的是克服现有移动通信技术中存在的移动台开机时仅能进行单向鉴权和登记,从而导致通信安全性能差的缺点,以提供一种不仅能够检验移动台合法性和安全性,同时检验基站合法性和安全性、以及加密移动台的加密等级登记问题的移动通信系统中加密移动台开机鉴权方法。
为实现上述目的,本发明提出了一种移动通信系统中加密移动台开机鉴权方法,其特征在于,包括以下步骤
第一步加密移动台开机进行普通移动台的开机登记和鉴权过程;第二步普通开机鉴权成功,加密移动台进一步识别其是否带有加密卡,如有加密卡则进入加密鉴权流程,继续下一步;如无则结束开机鉴权程序,进入普通(非加密工作)待机状态;第三步加密移动台发起加密开机鉴权,以业务信道突发数据(业务信道突发数据消息可以携带的数据量比较大,能够满足携带鉴权数据的要求,其他的方法很难满足携带大量数据的要求。)形式请求鉴权,突发数据短消息携带加密卡的标识号等鉴权数据;第四步密钥分发中心(KDC,Key Dispatch Center)根据加密移动台发来的突发数据进行以下相关处理1)根据加密移动台的鉴权参数,KDC以加密移动台的鉴权参数为加密算法的输入进行计算,将得到的结果数据与希望的结果数据比较,如果相同说明加密移动台具有合法性和安全性;2)以加密移动台的鉴权参数为输入,使用KDC的加密算法(加密算法具体细节不宜公开)计算出加密移动台的加密等级;3)KDC产生鉴权数据、加密移动台的鉴权结果、以及加密移动台的加密等级信息送给位置归属中心(HLR,Home LoactionRegister);第五步HLR接受KDC的消息,消息携带数据,并根据数据记录加密移动台的加密等级,同时将加密移动台的鉴权结果和KDC的鉴权数据发送到交换中心(MSC,Mobile Switch Center);第六步MSC发起前向突发数据请求,将KDC的鉴权数据发送给加密移动台;第七步加密移动台通过内部接口将数据送给加密卡,加密卡完成对KDC鉴权;KDC鉴权通过则加密移动台进入加密通信状态,否则死锁加密卡,即如果强行给加密卡上电将使加密卡烧毁。
本发明提出的加密鉴权方法提供了一种在移动通信领域中加密移动台和移动通信系统进行双向鉴权的解决方案,从而能够比较好地解决移动台和移动通信系统之间的合法身份检验问题,该方法还能够兼容公众移动网的开机鉴权过程,使得移动台可以在私有网络和公众网路之间漫游,充分的利用现有资源。
图1是加密移动通信系统设备和链接关系示意图。
图2是本发明所述的移动通信系统中加密移动台开机鉴权方法流程图。
具体实施例方式
下面结合具体实施方式
对本发明所述方法作进一步说明。
本发明所述方法所涉及的装置如图1所示由以下几部分组成A移动台和加密卡,移动台和加密卡通过内部接口链接,加密卡可以嵌入移动台。
B系统部分,交换中心MSC和位置归属寄存器HLR链接,密钥分发中心KDC,通过以太网方式同HLR链接。
C交换中心MSC具有识别鉴权消息是否是加密鉴权消息和消息转发的功能;D位置归属中心HLR具有加密登记记录和消息转发功能。它与MSC和KDC通过以太网线相连。
E密钥分发中心KDC具有加密算法,计算加密等级和生成加密密钥等功能。
下面结合在码分多址移动通信系统中的实际开发为例做详细说明,加密移动台开机鉴权流程如图2所示1)加密移动台开机,利用加密移动台统一识别模块卡(UIM)的数据发起普通开机鉴权和登记,登记成功后,在待机状态下,发现加密卡存在,加密移动台利用加密卡中的信息,如模块标识、鉴权随机数等信息,使用空中突发数据消息向系统发起加密开机鉴权请求,请求KDC完成对加密卡的鉴权。
2)基站系统通过业务信道消息,将加密移动台的加密开机鉴权请求发往MSC。
3)MSC利用同HLR的内部消息,将加密移动台的加密开机鉴权请求发往HLR。
4)HLR通过和KDC之间的消息,将鉴权请求数据和鉴权参数,加密卡ID等信息带到KDC。由KDC完成对加密模块的鉴权,并得到加密模块的加密等级,以及KDC鉴权数据。
5)KDC将鉴权结果和用户使用的加密卡的加密等级通知用户所属的HLR。
6)HLR记录用户加密卡的加密等级,并通知MSC鉴权的结果。
7)MSC发起另一条前向短消息,将加密移动台KDC鉴权数据发给基站系统(BSS)。
8)BSS发送前向突发数据消息,KDC鉴权数据发给加密移动台,KDC鉴权数据送给加密卡。加密卡完成对KDC的鉴权,并根据鉴权结果决定加密移动台进入加密通信状态,或者普通通信状态。
本发明提出的加密鉴权方法能够比较好地解决加密移动台和移动通信系统之间合法身份的相互检验问题,在实际使用中取得了很好的效果。
权利要求
1.一种移动通信系统中加密移动台开机鉴权方法,其特征在于,包括以下步骤第一步加密移动台开机进行普通移动台的开机登记和鉴权过程;第二步普通开机鉴权成功,加密移动台进一步识别其是否带有加密卡,如有加密卡则进入加密鉴权流程,继续下一步;如无则结束开机鉴权程序,进入普通待机状态;第三步加密移动台发起加密开机鉴权请求;第四步密钥分发中心根据加密移动台发来的突发数据进行相关处理;第五步位置归属中心接受密钥分发中心的消息,该消息携带相应数据,并根据数据记录加密移动台的加密等级,同时将加密移动台的鉴权结果和密钥分发中心的鉴权数据发送到交换中心;第六步交换中心发起前向突发数据请求,将密钥分发中心的鉴权数据发送给加密移动台;第七步加密移动台通过内部接口将数据送给加密卡,加密卡完成对密钥分发中心鉴权;密钥分发中心鉴权通过则加密移动台进入加密通信状态,否则死锁加密卡。
2.根据权利要求1所述的移动通信系统中加密移动台开机鉴权方法,其特征在于,所述第三步中请求鉴权的形式为业务信道突发数据短消息。
3.根据权利要求2所述的移动通信系统中加密移动台开机鉴权方法,其特征在于,所述突发数据短消息携带加密卡的标识号鉴权数据。
4.根据权利要求1所述的移动通信系统中加密移动台开机鉴权方法,其特征在于,所述第四步中的相关处理包括以下步骤(1)根据加密移动台的鉴权参数,密钥分发中心以加密移动台的鉴权参数为加密算法的输入进行计算,将得到的结果数据与希望的结果数据比较,如果相同说明加密移动台具有合法性和安全性;(2)以加密移动台的鉴权参数为输入,使用密钥分发中心的加密算法计算出加密移动台的加密等级;(3)密钥分发中心产生鉴权数据、加密移动台的鉴权结果、以及加密移动台的加密等级信息送给位置归属中心。
全文摘要
本发明公开了一种移动通信领域中的移动通信系统中加密移动台开机鉴权方法。首先加密移动台开机进行普通移动台的开机登记和鉴权过程;并识别其是否带有加密卡,如有则加密移动台发起加密开机鉴权,然后密钥分发中心(KDC)根据加密移动台发来的突发数据进行相关处理,再然后HLR将加密移动台鉴权结果和KDC鉴权数据发送到交换中心,并由MSC发起前向突发数据请求,将KDC的鉴权数据发送给加密移动台,加密移动台通过内部接口将数据送给加密卡完成对KDC鉴权。本发明所述方法解决了移动台和移动通信系统之间的合法身份检验问题,还能够兼容公众移动网的开机鉴权过程,使得移动台可以在私有网络和公众网路之间漫游,充分利用现有资源。
文档编号H04M1/725GK1568067SQ0313978
公开日2005年1月19日 申请日期2003年7月8日 优先权日2003年7月8日
发明者刘英男, 唐小岚, 王建红 申请人:深圳市中兴通讯股份有限公司