专利名称:利用cave作为接入认证算法的机卡不分离的认证方法及装置的制作方法
技术领域:
本发明涉及码分多址2000(以下简称cdma2000)与高速分组数据(以下简称HRPD)双模终端,特别涉及一种利用无线认证与语音加密算法(以下简称CAVE)作为接入认证算法的机卡不分离的认证方法以及装置。
背景技术:
cdma2000网络已在全球范围内广泛商用,在该网络中采用了基于CAVE算法的质询握手认证协议(以下简称CHAP)对接入终端合法性进行判别。在这套认证体系中,有比较完备的防止非法攻击的方法。手机(简称MS)的密码(A-key)和CAVE算法分别存储在手机和cdma2000网的认证中心中(以下简称AuC)。认证过程主要包括共享保密数据(以下简称SSD)的更新和认证执行过程两部分。共享保密数据的A部分(SSD_A)用于接入认证。由网络根据特定条件分别向手机和认证中心发送携带有一段随机数的消息来进行SSD_A的更新,手机和认证中心收到这个消息后,将消息中的随机数、A-key和其他参数一起输入SSD生成程序(SSD_GENERATION PROCEDULE),经计算后产生SSD_A,经过确认正确后新产生的SSD_A替换掉旧的SSD_A,将作为密钥用于接入认证。当需要对用户终端进行认证时,网络向手机和认证中心发送要求认证的消息,在该消息中携带有一段随机数。手机和认证中心收到该消息后,利用该消息中的随机数、SSD_A以及其他参数输入CAVE算法,计算出认证结果。手机将认证结果发送到认证中心,通过比较认证结果的异同来决定认证是否通过。在cdma2000网络实际使用中,A-key的存放地点有两种方式。一种是存储在手机上,相应CAVE算法也在手机上执行,称为机卡不分离的手机;另一种则是将A-key存放在用户识别模块(以下称UIM卡)上,相应CAVE算法也在UIM卡上执行,UIM可以与手机分离,称为机卡分离手机。目前中国以外的其他国家的cdma2000运营商大多采用机卡不分离的手机。高速分组数据(以下简称HRPD)网晚于cdma2000网络出现,其在数据通信方面相对于cdma2000网络更有优势,常和cdma2000网络配合使用。在目前已商用的HRPD网络中,其终端(类似于cdma2000网络中的手机)为机卡不分离的终端。第三代伙伴计划2(以下简称3GPP2)相应规范规定,如果HRPD网采用接入认证,认证方式也应该是CHAP认证,具体的加密算法没有明确要求,可由运营商指定。HRPD网络与cdma2000网络是两个相互独立的网络,除了可以共用分组数据核心网外,没有任何的信息交互。目前的机卡不分离的cdma2000/HRPD双模终端在接入cdma2000网络时使用CAVE鉴权算法,而在接入HRPD网络则采用MD5鉴权算法。在下文中,如无特殊说明,双模终端指cdma2000/HRPD双模终端。
cdma2000终端执行的鉴权相关操作主要有管理SSD、执行认证计算等。
SSD用于所有鉴权响应计算和后续的密钥生成。SSD由存储在cdma2000终端中的“A-key”导出。当网络向手机发出含有RANDSSD参数的SSD更新(UPDATE SSD)命令时,SSD开始更新过程。用户的归属网络是唯一可以更新用户SSD的实体。当网络对某个用户发起一个SSD更新时,用户的手机首先存储RANDSSD参数,然后产生一个随机数RANDSeed,开始基站查询操作,手机根据RANDSeed产生RANDBS参数并发给网络。
接下来,手机执行更新SSD过程,该过程需要使用RANDSSD参数。然后手机算出一个SSD值和一个用于验证基站查询结果的AUTHBS。
在网络侧,RANDSSD参数用于产生一个新的SSD值。网络从手机收到RANDBS参数后,与新的SSD一起算出AUTHBS,然后网络将AUTHBS发给手机。手机将收到的AUTHBS用于确认SSD,手机比较收到的AUTHBS和它自己算出的AUTHBS值,如果两个值相同,则SSD更新过程成功,该SSD将用于后面所有的鉴权计算。如果两个AUTHBS值不同,手机就放弃新的SSD值仍保留当前的值。
认证过程是网络对终端合法性的鉴别过程,其基本操作过程如图3所示(手机和AuC之间的交互信息是通过无线网络来传递的,为表述方便,本图中略去了无线网络部分)AuC向手机发送认证命令消息,消息中包含32bits的随机数RAND,手机将RAND和SSD_A作为CAVE算法的输入,计算出18bits的认证参数1,手机将认证参数1通过认证响应消息送往认证中心,认证中心将手机计算出的认证参数1与自己按同样方法计算出的认证参数2比较,如果相同,认证通过,如果不同则拒绝手机的接入。
(2)现有HRPD网络中接入认证时的消息流HRPD接入认证包含以下消息流(如图4所示)在HRPD网络中,接入认证过程由接入网络发起(AN)。接入网络向接入终端发送认证命令(Chap Challenge)消息,该消息中包含有随机数Random text;401终端收到认证命令消息后,利用随机数计算出认证参数1。因目前其他国家已商用的HRPD网络中多采用MD5加密算法,图中以MD5加密算法为例。本发明中采用了CAVE算法,但接入认证时的消息流程与此相同;402终端向AN发送认证响应消息(Chap Response),该消息中包含有终端的网络接入识别号(NAI),随机数text,认证参数1等信息;403AN收到终端发来的认证响应消息后,向接入网鉴权认证计费服务器(AN-AAA,类似于cdma2000网络中的AuC)送出远程认证请求消息(Radius Access Request),该消息中包含有认证响应所需的的三个参数;404AN-AAA利用随机数和本地存储的密码(AN-AAA密码与终端中的密码是同一值)作为输入,由MD5算法计算出认证参数2;405AN-AAA比较认证参数1和认证参数2;406如果相同则向AN发送远程认证请求接收(Radius Access Accept)消息表明认证通过;407如果认证参数1和认证参数2不同则向AN发送远程认证请求拒绝(Radius Access Reject)消息,拒绝终端接入;408AN收到远程认证请求接收消息后向终端发送CHAP认证成功(ChapSuccess)消息表明认证过程成功;409AN收到远程认证请求拒绝消息后向终端发送CHAP认证失败(ChapFailure)消息表明认证过程失败。410在实际应用中,多为借助cdma2000网络提供话音业务,借助HRPD网络提供数据业务。因而,既支持cdma2000网络,又支持HRPD网络的双模终端将占相当大的比重。由于一般是先建设cdma2000网络,再建设HRPD网络,HRPD网络的部分用户是由cdma2000网络用户升级而来的。
然而,由于cdma2000网络和HRPD网络分别采用不同的接入认证算法,运营商需要同时管理两套密码和其他相关用户信息,终端也需要支持两套鉴权算法和存储两套用户密码,不仅给运营商的运营带来不便,同时也增加了终端复杂性。
因此,在cdma2000网络已投入运营,拥有大量用户的前提下,在建设HRPD网络时,如何在HRPD网络中重用cdma2000网络中的CAVE鉴权算法来完成HRPD网的接入认证,以降低终端实现复杂度和便于网络运营是一个难题。
发明内容
本发明的目的是提供一种机卡不分离的cdma2000/HRPD双模终端,该终端可以重用cdma2000中的CAVE鉴权算法,进行HRPD网接入认证。
按照本发明的一方面,一种利用CAVE作为接入认证算法的机卡不分离的认证方法,用于处理CDMA 2000的接入认证,其特征在于还处理HRPD网的接入认证,包括步骤接收到HRPD网发来的接入认证命令消息后,鉴权模块利用认证命令消息中的Random text产生出计算认证参数1所需的随机数RAND;鉴权模块利用上述的随机数RAND和已有的部分IMS1_S1、SSD_A等参数通过CAVE运算得出认证参数1;主芯片通过认证应答消息中的Result域承载认证参数1。
按照本发明的另一方面,一种利用CAVE作为接入认证算法的机卡不分离的认证装置,包括天线、无线模块、存储器、液晶显示器、键盘、电源模块,其特征在于还包括
主芯片,所述主芯片包括cdma 2000主芯片和HRPD主芯片,用于分别对接收到的鉴权消息进行解码;支持CAVE算法的鉴权模块,使用从主芯片接收到的鉴权参数和本身存储的鉴权消息执行CAVE算法的计算,并将计算结果返回到主芯片。
本发明适用于解决目前没有支持同一鉴权算法的cdma2000/HRPD机卡不分离的双模终端。解决了cdma2000网络和HRPD网络分别采用不同鉴权算法的问题,将两网的接入鉴权算法统一为CAVE算法,为同时运营cdma2000网络和HRPD网络的运营商带来运营上的便利,同时降低终端的开发成本。
图1是利用CAVE作为接入认证算法的cdma2000/HRPD机卡不分离的双模终端的硬件结构;图2是基于本发明实现的双模终端在HRPD网中的认证流程图;图3是CAVE认证过程;图4是3GPP2定义的HRPD网络接入认证消息流;图5是基于本发明实现的双模终端在HRPD网中的认证过程执行情况。
具体实施例方式
本发明的主要目的是实现cdma2000/HRPD机卡不分离双模终端,特点是可以在接入cdma2000网络时和接入HRPD网络时均采用CAVE算法来进行接入鉴权,并且不需要改变HRPD网络认证流程。概括地说,实施本方案以很小的代价实现了显著收益。
本发明基于以下事实目前市场上尚无支持同一套鉴权算法的机卡不分离的cdma2000/HRPD双模终端,但运营商却需要这种终端以带来网络运营的便利性和降低终端成本。
本发明主要思想是通过对HRPD网络中消息流中携带参数的处理,并借助cdma2000网络中SSD更新的成果,使得双模终端在采用同一种鉴权算法的前提下,支持两网接入认证。从而解决了上述问题。
为了能够采用同一种鉴权算法支持两网接入认证,机卡不分离双模终端的各部分应该完成以下基本功能天线101用来接收和发送无线信号。
无线模块102负责基带数字信号和射频模拟信号的转换、射频模拟信号的发送与接收等。
cdma2000主芯片103这是终端中的主处理单元,其功能包括cdma2000业务数据的编码与解码,物理信道的扩频与解扩、调制与解调。该双模芯片还将为终端中的应用层软件提供运行平台,承载应用软件模块,完成空中接口信令的发送、接收与处理,呼叫过程的控制等,以及对终端内各个相关模块进行控制,使之能够配合工作。
HRPD主芯片104在实现中通常与cdma2000主芯片是物理一个实体。但执行的是HRPD网的数据、信令的处理功能,其上承载的软件模块与HRPD网对应。本专利申请中所涉及到的cdma2000/HRPD双模芯片的功能,除业务数据的编解码和物理信道的调制解调之外,其余功能均指该芯片承载的软件功能。
支持CAVE算法的鉴权模块105存储用户身份信息及其他网络参数等。支持CAVE算法的认证功能。鉴权模块在物理上可和cdma2000/HRPD主芯片为同一实体。
存储器106终端中的数据存储模块,存储终端正常工作必需的数据。
液晶显示器107信息显示单元。
键盘108
用于输入信息,与液晶显示器共同完成用户与终端的界面功能。
电源模块109为各模块提供电源。
另外还应有话筒与听筒等。
在一个正常的话音呼叫过程中,用户通过键盘(108)和液晶显示器(107)构成的人机界面向cdma2000主芯片(103)或HRPD主芯片(104)发送命令,开始一个呼叫。主芯片在收到用户的指令之后,在支持CAVE算法的鉴权模块(105)和存储器模块(106)的配合下,构造信令消息,与网络共同完成呼叫的建立,并通过(107)通知用户。之后,用户即可开始通话过程,用户语音通过话筒送至主芯片,由主芯片完成编码调制,发送至网络。同时,主芯片也将对接收到的无线信道帧,进行解调与解码,并送至听筒。在这一过程中,无线模块(102)、存储器模块(106)和电源模块(109)作为外围支持模块将为其提供必要的支持。
对于基于CAVE算法的鉴权过程,涉及到的主要模块为cdma2000/HRPD双模芯片(103、104)和支持CAVE算法的鉴权模块(105),其中主芯片中涉及部分为该芯片承载的软件模块。主芯片将对接收到的鉴权消息进行解码,将必要参数送交(105)处理。(105)在接收到主芯片提交的鉴权参数后,利用本身存贮的鉴权信息,执行CAVE算法的计算,并将最终计算结果返回主芯片。主芯片在接收到(105)的计算结果之后,根据该结果,构造相应的消息,并发送给无线网络。这一过程中,同样需要无线模块(102)、存储器模块(106)和电源模块(109)为其提供必要的支持。
为支持HRPD网络认证,双模终端还应该完成以下增加功能1认证命令消息的利用认证命令消息由AN发往双模终端,其中携带随机数Random text。该随机数经过处理后,可作为CAVE算法中需要的随机数。Random text是以八位组表示的一串字符,且其长度大于CAVE认证所需的随机数,需要将八位组转换为二进制形式,然后从中产生出CAVE认证所需的随机数,对于CAVE认证所需的随机数,双模终端需与AN-AAA保持一致。产生CAVE认证所需的随机数的操作在鉴权模块中进行。在实现中,终端天线接收网络发来的信号,传递到无线模块,无线模块进行信号处理,如完成基带数字信号和射频模拟信号的转换等,传递到主处理芯片。主处理芯片完成认证命令消息的识别和处理。图中未给出天线部分和无线模块部分功能示意。
2.鉴权模块执行认证计算鉴权模块利用处理后的随机数,还有IMS1_S1(IMS1的一部分)、SSD_A等其他参数作为输入参数执行认证计算。产生结果认证参数1。
3.NAI值的存储NAI值是HRPD网中使用的用户名,应提前存储在存储模块中。
4.认证响应消息的生成认证响应消息是双模终端对AN发来的认证命令消息的响应。主芯片利用存储的NAI以及认证参数1(写入Result域)构造认证响应消息。认证响应消息中的其他参数按IETF RFC1994,PPP Challenge HandshakeAuthentication Protocol(CHAP),Aug 1996中的要求填写。
5.认证响应消息的发送主芯片将认证响应消息通过无线模块和天线部分发送给网络。图中未给出天线部分和无线模块部分功能示意。
图2是基于本发明实现的双模终端在HRPD网中的认证流程图,一般而言,接入终端是用户所使用的移动终端,接入网络主要由无线接入设备等构成,下面详细说明各个操作步骤。
接入网向接入终端发送认证命令消息,即挑战性握手认证协议质询(随机数)消息,该消息中包含随机数Random text;201接入终端的鉴权模块从Random text中获取32bit作为认证过程的随机数RAND;202鉴权模块使用SSD_A,RAND及其他参数,利用CAVE算法计算出认证结果认证参数1;203接入终端从存储模块中读出NAI值;204
接入终端将NAI写入认证应答消息,即挑战性握手认证协议应答(Chap Response)消息中的相应区域,将认证参数1写入该消息的结果(Result)域,然后将该认证应答消息发向接入网。通常情况下,接入网将该消息转发到AN-AAA,由AN-AAA完成认证并返回结果,本图中略去了AN与AN-AAA之间的消息流程;205如果认证成功,接入网将向接入终端发送认证成功消息;206如果认证失败,接入网将向接入终端发送认证失败消息;20权利要求
1.一种利用CAVE作为接入认证算法的机卡不分离的认证方法,用于处理CDMA 2000的接入认证,其特征在于还处理HRPD网的接入认证,包括步骤接收到HRPD网发来的接入认证命令消息后,鉴权模块利用认证命令消息中的Random text产生出计算认证参数1所需的随机数RAND;鉴权模块利用上述的随机数RAND和已有的部分IMS1_S1、SSD_A等参数通过CAVE运算得出认证参数1;主芯片通过认证应答消息中的Result域承载认证参数1。
2.按权利要求1所述的方法,其特征在于所述鉴权模块中CAVE算法所需的SSD_A来自于cdma2000网络。
3.按权利要求1所述的方法,其特征在于主芯片从存储模块中读出NAI,并利用NAI以及认证参数1构造认证响应消息。
4.一种利用CAVE作为接入认证算法的机卡不分离的认证装置,包括天线、无线模块、存储器、液晶显示器、键盘、电源模块,其特征在于还包括主芯片,所述主芯片包括cdma 2000主芯片和HRPD主芯片,用于分别对接收到的鉴权消息进行解码;支持CAVE算法的鉴权模块,使用从主芯片接收到的鉴权参数和本身存储的鉴权消息执行CAVE算法的计算,并将计算结果返回到主芯片。
5.按权利要求4所述的装置,其特征在于所述主芯片为cdma2000/HRPD双模芯片。
6.按权利要求4所述的装置,其特征在于所述鉴权模块为能支持CAVE认证算法的鉴权模块,且当cdma2000/HRPD两网接入鉴权时均使用CAVE算法。
7.按权利要求4所述的装置,其特征在于所述鉴权模块与终端的其它部分在物理上为一个不可分离的整体。
8.按权利要求4所述的装置,其特征在于所述无线模块负责基带数字信号和射频模拟信号的转换、射频模拟信号的发送与接收。
9.按权利要求4所述的装置,其特征在于所述cdma2000主芯片用于cdma2000业务数据的编码与解码,物理信道的扩频与解扩、调制与解调以及信令的发送、接收与处理,呼叫过程的控制等。
10.按权利要求4所述的装置,其特征在于所述HRPD主芯片执行HRPD网的数据、信令的处理功能,其上承载的软件模块与HRPD网对应。
全文摘要
一种利用CAVE作为接入认证算法的机卡不分离的认证装置,包括天线、无线模块、存储器、液晶显示器、键盘、电源模块,其特征在于还包括主芯片,所述主芯片包括cdma2000主芯片和HRPD主芯片,用于分别对接收到的鉴权消息进行解码;支持CAVE算法的鉴权模块,使用从主芯片接收到的鉴权参数和本身存储的鉴权消息执行CAVE算法的计算,并将计算结果返回到主芯片。本发明适用于解决目前没有支持同一鉴权算法的cdma2000/HRPD机卡不分离的双模终端。解决了cdma2000网络和HRPD网络分别采用不同鉴权算法的问题,将两网的接入鉴权算法统一为CAVE算法,为同时运营cdma2000网络和HRPD网络的运营商带来运营上的便利,同时降低终端的开发成本。
文档编号H04L9/28GK1753362SQ200410078240
公开日2006年3月29日 申请日期2004年9月21日 优先权日2004年9月21日
发明者刘卫民, 李崑 申请人:北京三星通信技术研究有限公司, 三星电子株式会社