专利名称:通信网中的用户鉴权的制作方法
技术领域:
本发明涉及电信网等通信网中的终端鉴权。
在公共交换电话网(PSTN)等提供电话,传真及相关业务的典型网络中,用户专用设备(CPE)通过网络终端设备(NTE)与PSTN相连,并通过构成网络节点的交换机或交换设备进行相互通信。网络上有多级交换机。与用户的NTE最接近,在功能上为所有该用户的来话和去话选路的交换机被称之为本地交换机。
通常的电话业务在本质上都是“先用后交钱”,即电话计费是针对上一个计费日往后算的一段时间的。除基本的安全方面外,需要能够对业务用户终端的使用进行鉴权,以减少未经授权接入网络的可能,否则将与用户产生计费纠纷。例如,如果一非法使用者在一用户在NTE和本地交换机之间的线路上搭线,则向非法使用者提供的任何有偿业务都被记录为该合法用户所用,并相应地计费。
提供鉴权功能的系统有很多。例如,一种基于呼叫卡的系统包括用户通过电话键入一个数字序列来建立用户的标识。另一例是使用电话设备上的一个设置为发送个人识别码的功能键,将允许通过同一本地交换机接入高级别的业务或其它网络。对于更专业的业务这是可接受的。但是,这些系统都需要用户在呼叫建立过程中证实他的身份。
虽然这部分增加的复杂性对于较专业或较少用的业务可能不是个大问题,但仍然是个麻烦,将其从用户建立呼叫的过程中除去更为方便,尤其是在用户频繁地使用一通用的业务时,使用户免除鉴权步骤将使程序大大简化。
本发明提供了一种对通信网上的网络终端鉴权的方法,该方法包括以下步骤向一个与网络相连的安全节点指示该终端的一个用户请求使用网络;在终端计算一个鉴权码,它用与终端相联系的第一关键码和第一算法对一个事务码进行加密运算后得到。
将鉴权码发送给安全节点;
在安全节点根据事务码,第一算法和第一关键码计算期望的事务码;比较期望的鉴权码和收到的鉴权码;及除非期望的鉴权码和收到的鉴权码相符,否则拒绝对网络未经限制的接入。
终端可以是一个NTE的一部分,它与安全节点通信建立或不建立鉴权。另外,终端也可以是通过NTE与网络相连的实际的用户设备的一部分。
安全节点最好为终端计算至少一个第一关键码,每个关键码都是用终端识别码和一个第二关键码用节点中存储的一个安全算法运算的结果。每个第一关键码被下载到终端供以后用第一算法用来鉴权终端。其优点是,第一关键码是经第二关键码用安全算法对终端标识码进行加密运算而得到的。
在一优选实施方案中,事务码是一个在每次鉴权尝试后都改变的可变量。
安全节点根据收到的用户请求使用网络的指示,产生一个事务码(n),作为响应询问终端发送。
如果在预定的时间内期望的鉴权码和收到的鉴权码不符,安全节点可很方便地阻止终端接入网络。
如果在表明用户请求使用网络后没有收到询问或收到无效的询问,终端最好给安全节点送一否定确认信号。
第一关键码可从安全节点远程下载或从临时连到终端的存贮设备本地装载到终端。
其好处是,这个或每个安全节点可通过计算终端标识码来识别各个第一关键码。另外,安全节点也可根据终端标识码通过查询表来识别第一关键码。
安全节点最好能不论鉴权的结果如何都可以向终端送拨号音。此时,即使期望的鉴权码和收到的鉴权码不符,安全节点也能允许接入网络使用可识别的紧急业务或免费的业务。
一个电信网可能包括多个交换机,其中的每一个又为多个终端的来去话选路,至少一个以上的交换机有安全节点与之相连。
本发明也提供了一种对通信网上的终端进行鉴权的系统,包括一个安全节点以及多个通过节点与网络相连的终端,其中至少有一个终端包括含存储器的处理装置,与网络相连并由处理装置控制的终端信令装置,终端信令装置定为在一个可能的用户开始使用网络后向安全节点发一个鉴权码,鉴权码由处理装置用一个第一算法和与该终端相关的第一关键码对一个事务码进行加密运算后得到。安全节点则用事务码和同样也存储在安全节点内的第一算法以及第一关键码对该终端计算出一个期望的鉴权码,除非期望的鉴权码和收到的鉴权码相符,否则将拒绝该终端对网络无限制的接入。
本发明更向通信网提供了一种用户终端,该终端包括一个使用户设备与网络兼容的用户端口,连接终端和网络的网络端口,含存储器的处理装置,该处理装置通过网络端口接收信号,信令装置通过网络端口发送信号,处理装置在用户开始使用网络后用第一算法和与该终端相关的第一关键码对事务码进行加密运算后得到一个鉴权码,并使信令装置通过网络端口发送该鉴权码。
信令装置最好是一调制解调器,例如在网上用于数据传送的FSK调制解调器。当然也可以使用其它的信令装置。例如,基于双音多频(DTMF)的系统也可以采用。
本发明只需要在电话等用户设备和为与NTE相连的本地交换机管理鉴权的安全节点之间连上鉴权设备。鉴权设备同安全节点进行保密通信,向发出呼叫的设备(而不是个别用户)提供自动的鉴权。因此,鉴权过程发生在用户提起话筒或开始接入网络时。用户不必插牌或插卡,或键入一鉴权码。
鉴权设备可由线路或市电供电,还可方便地做进一个远离用户设备的机座,例如用户住处连接电话设备的主插座。另外,鉴权设备也可由电池供电。
虽然本发明被描述用鉴权来防止盗用电话线路,但它也适用于其它需要根据用户鉴权来识别的场合。例如,本发明同样可用于在鉴权的基础上限制进入特定的地理区域。
本发明特别适用于公众交换电话网等电信网。但是,话务通过的安全节点的概念,或在其控制下允许话务从终端流向网络的其它部分的安全节点的概念也适用于其它通信系统。
本发明可用多种方式实施,下面参照附图举例介绍其中的一些,附图包括附
图1是根据本发明的电话网的一部分的简图。
附图2是组成附图1中网络的一部分的网络终端的简图。
附图3是组成附图1中网络的一部分的本地交换机的简图。
附图4是鉴权协议消息序列的简图。
参照上述附图,附图1表示一个包括通过一本地接入线12与一网络用户的NTE 14连接的本地交换机10的PSTN。NTE 14是网络和该用户的CPE 16的接口。NTE 14包括一个用户端口18,如主插座,用户设备通过它与网络相连,还包括一网络端口20,通过它网络同用户住宅相连接。一般CPE 16是电话话筒或同一电话号码上的传真机。
技术人员可能会理解一个典型的电话网包括多个用户,每个用户都有一个相应的NTE 14并连到众多本地交换机10中的一个,这些交换机组成了具有不同级别交换机的互连网络(PSTN)。为明了起见,附图1只画了一个NTE 14,一条本地接入线12和一个本地交换机10。
图中NTE 14被点划线21分为两部分。这是一个概念上的划分,为了表示线21左边的设备根据本发明能参与鉴权,而右边连到本地接入线12的设备则没有。图中未授权的电话19连到本地接入线12,即在点划线21的右边。
附图2说明附图1的NTE 14。在用户端口18和网络端口20之间连有开关22。开关22一般由继电器(或类似的设施)构成,它在适当的时候连通电话。NTE 14内提供了一个具有随机存取存储器(RAM)和只读存储器(ROM)的微处理器24。通过NTE 14到本地交换机10的鉴权连接还包括一个频移键控(FSK)调制解调器26。FSK调制解调器26通过线路28连到本地接入线12以与本地交换机10相连,并通过线路30受微处理器24的控制。微处理器24也通过接口32与本地接入线12相连。
一个综合的电话网一般既包括模拟又包括数字交换。在本实施方案中本地交换机10使用的是GEC Plessey Telecommunications LitmitedSystem X数字交换机。因为实施方案中使用了目前只有System X这样的交换机才安装的电话网本地环路中使用的基于FSK调制解调的信令。它提供了一般的数据传送能力,如1200比特/秒。本发明也可以扩展到其它方式和实现,并且给出了一些选项。
系统X平台包括一个中央数字交换模块(数字交换子系统-DSS),它交换表现为2MBit/S多路复用的64K的数字电路。DSS通过一消息传递子系统(MTS)受中央呼叫处理子系统(CPS)控制。这是一个公共控制软件,运行在专有位片结构处理平台(处理器实用子系统-PUS)。
模拟电话用户通过数字用户交换系统(DSSS)设备,即集中器连到上述结构。该设备提供了模拟交换线路功能,包括馈电,铃流,监视音和经规划改进的FSK信令功能。
仅考虑模拟电话业务,用户摘机后启动呼叫建立过程。DSSS检测到后在一个PCM信令时隙中通过DSS向CPS表示该信号。MTS和DSSS处理程序也运行在PUS上。然后CPS向DSSS发回指令,通过DSSS建立一交换通道,提供拨号音并连到一收号器。
参见附图3,在本地交换机10另有一FSK调制解码器34与NTE14通信。
本地交换机10为那些通过它连接到网络的NTE构成一个安全节点,即它是每个连接的NTE的所有来去话的必经点。因此,使本地交换机(或距NTE最近的节点)处理鉴权意味着所有的话务都将根据鉴权程序的输出被允许或阻止进入网络。
提供鉴权有许多可选项。虽然这里的鉴权设施与NTE14相关,它也可以做在电话里,即CPE 16或NTE和电话之间的某个地方。
鉴权设备用户的双向鉴权过程的协议如下所示1.安全节点计算一个密码Sj=fj(K,TN),其中fj是一安全算法,K是一密码变型码,TN是将鉴权的NTE的电话号码(NTE需要为它的处理器中j的每一取值存储一密码,在此实施方案中j是一个三比特长数字)。
2.在NTE的安装过程中,Sj被安装者用一可携带的编程器或由本地交换机10通过本地接入线12装入NTE。
3.用户摘机。
4.安全节点检测到状态的改变,并和传统网络一样识别出用户的电话号码。
5.安全节点产生一个随机数(事务码)n,并将其(与j一起)发给NTE14作为检测到摘机状态的响应。
6.NTE计算一应答鉴权码R=F(Sj,n),其中F是一公开算法,并送给安全节点。应答R和电话号码TN一起组成了安全节点可以进行鉴权的鉴权消息。
7.安全节点计算期望的应答E=F[fj(K,TN),n],并将该期望的鉴权码和实际的应答R相比较,只有E=R鉴权才算成功。
当在线路上装有鉴权设备,装入了Sj,并连到一提供安全节点的本地环上的电话摘机时,本地交换机10用传统的方法从电话号码中得到电话的标识。当然,为识别NTE14也可采用一单独的识别码。最好是在为一般目的和本发明的系统中使用同一标识。本地交换机10产生随机数n并将它和j作为FSK询问通过本地接入线12一起送给NTE,指示终端使用哪个密码Sj。然后NTE 14作为响应计算鉴权码R,并回送给本地交换机10(也在本地接入线12上),结束以NTE标识符开头的鉴权消息。
本地交换机安全节点比较应答R和期望值E。不论鉴权是否成功,都将通过NET 14向电话回送拨号音,用户可以拨打所要的号码。如果鉴权程序的输出是肯定的,即应答和期望值相符,将允许呼叫按一般的方式进行。相反,如果应答和期望值不符,只有是使用紧急业务或允许不顾鉴权的呼叫的子集的一部分的呼叫才可继续。或者是即使鉴权失败仍允许发出计费呼叫,但它们必须记录并单独识别。
NTE存储j个密码S1...Sj,使得每次鉴权尝试后或因为其它原因可改变密码。
在单向系统中,活动的询问将不存在,安全节点不需产生一个随机数(事务码)n。当NTE 14摘机时,它经安全节点事先同意产生一个数字m。该数字m被用公开算法F和密码Sj加密产生一鉴权码R=F(Sj,m)。然后该鉴权码R和j一起被送往安全节点。安全节点计算期望的应答E=F[fi(K,TN),m]并将期望的鉴权码和实际的应答R比较。对于双向鉴权,只有E=R鉴权才算成功。
不论是在双向系统或单向系统中,用户本地接入线12上的未经适当授权的NTE将不能提供正确的鉴权消息。经过一定次数的尝试后(如3次),安全节点同样将切断与非法设备的联系。
附图4说明鉴权协议的双向实现中信令消息的顺序。应注意到为清晰起见,安全节点与本地交换机10是分开的,但安全节点也可以作为本地交换机的一部分。在单向实施中,“询问”和“响应”将不再发送。摘机状态后自动发送鉴权码,它表示NTE请求接入网络。
鉴权中最敏感的部分是安全算法fj。它只能被在本地交换机运行安全节点的业务提供者所知。公开算法F是加密保护的第一道防线,但由于它存放在每个已安装的鉴权NTE中,所以它更容易被公开分析。因此,鉴权系统的安全性主要在于用存储在安全节点的安全算法进行的加密的复杂度。
公开算法F的加密需求和保密算法fj应包括以下a)F和fj不应相同。
b)从累加的询问/响应/TN三元组中推导出Sj在计算性上是不可行的。
c)从累加的询问/响应/TN三元组中推导出对一给定的新的询问的响应在计算性上是不可行的。
d)从累加的TN/Sj对中推导出K在计算性上是不可行的。
e)从累加的TN/Sj对中推导出对一给定的TN的Sj在计算性上是不可行的。
f)询问值的范围应足够大,使得询问值重复的可能性最低。
g)K和S应足够长,使系统可以经受详尽的搜索。
h)K和S应足够长,使系统可以经受生日饽论,即攻击者不是先选择K(或S)进而试图找到S(或K),相反仅找到K/S对就可增加他成功的机会。
F和fj满足上述考虑的最佳例子有著名的三-DES(数据加密标准)和国际数据加密算法,在“一个关于新的块加密标准的建议”中描述,由Springer-Verlag Lecture Notes in Computer Science出版No.473EUROCRYPT 90,p.389,其中它被称为建议的欧洲加密标准。
如果公开了原始的fj,系统的安全性将打折扣。加入密码变型关键码K意味着系统的安全将依赖于K而不是fj。fj最好是保密,但即使fj被公开,系统的安全性也将不会自动降低。
附图1至3的实施方案利用了位于本地交换机10的处理能力,一起的还有连接到交换机线路接口卡的FSK调制解调器34。经适当编程的交换线路接口卡,和FSK调制解调器一起构成了判断鉴权的安全节点。因为提供鉴权的最主要的顾虑是安全算法的保密性,本发明要求本地交换机10新增设备的数量较少,并能由网络所有者制造。这保证了敏感的保密算法信息不必发布给其它业务设备制造商,或在其它不适当的大范围内公布。
当密码Sj被装入NTE 14的处理器时,业务用户可能呼叫一个号码将NTE与一个初始化设施相连,它自动询问NTE处理器得到NTE号码,装入适当的密码系列,或装满已用的密码,并通知用户任务已经完成。本地装入密码可作为远程装入的替代或补充。在后一种情况下,如果装入程序的安全性受到怀疑,不论是用户方或业务提供者方,则可利用本地加载避免可能的对用本地接入线路12传送的威胁。
鉴权过程提供的安全性的力量要与保持送拨号音的时延最小的需要做妥协。只在网络本身的比特传输机制不提供检错时才提供循环冗余校验(CRC)。一个以上的(即j)的密码存放在NTE处理器,使得不论是轮流的方式或是避免中断或丢失提供给用户的业务而必须放弃一个时每个都能设定。
在NTE 14没有响应或检测到传输差错时,安全节点将用同一随机数n发送至少三次询问。
当然,如果是非法用户,对于询问将没有响应产生。因此,安全节点设置有超时机制。在预定时间结束时,本地交换机10将象一次否定性的鉴权一样向非法使用者送拨号音。
在一些条件下,NTE 14可能由于错误的数据检测到非法的询问,它被编程为或者忽略或者向安全节点回送一个否定确认消息作为响应。
鉴权过程最好在一次呼叫的基础上进行。这将保证网络对每个呼叫加以认证,在允许进行付费呼叫之前允许尽早识别呼叫装置。否则,用户会不认帐,因为计到帐单的呼叫仍可能是未经鉴权的。
电话业务的操作可以用一次呼叫所经历的一系列状态来建模。这些状态,以及这些状态之间的关系形成了所谓的“呼叫模型”。分析呼叫模型表明有很多时机可引进鉴权尝试。
根据本发明,在用户已表示将发出呼叫和收到拨号音之前将进行鉴权尝试。这表示网络识别到“摘机”状态,并每当这种状态出现时就启动鉴权尝试。
或者,鉴权也可以在拨号音后进行。这需要明确定义确定鉴权交换启动的时间和方式的准则。否则,普通的电话业务水平将下将,因为鉴权过程可能对用户太明显或至少是累赘,业务太繁琐使用户不能忍受。
一旦收到拨号音(未经鉴权),有三个机会可引入鉴权序列。首先,可以在拨号音后但在振铃音之前引入鉴权序列。其次,可在同一点通过一个寄存器重拨功能激发一个鉴权序列。第三,也可在呼叫终止时引入鉴权序列。
在拨号音之前的鉴权提供了最可行的网络方案。这是因为它看起来不那么明显,而且提供了更方便的自动化机制。
鉴权过程中要使用鉴权协议是在由NTE 14和本地交换机10的安全节点构成的两个端点之间通过本地接入线12传送安全数据的需要。以这种方式,终端能被网络无歧义地识别。鉴权中的数据量和对鉴权过程时间的限制决定了该过程的主要特性。估计大约有10到20字节的数据需要在本地交换机10和NTE 14之间的两个方向上传输。
安全算法fj和相关的信令机制可能以连在本地交换机10的交换线路接口卡的设备的方式提供。在这种情况下,每个注册用户将不得不需要有与NTE相应的设备。
系统X包括强有力的实时计算机系统,在上面运行所有主要的交换进程。实际上,本地交换机是受存储器的限制而不是处理能力的限制。因此,交换机中有剩余的处理能力运行所选的安全算法。
这表明安全算法的精确细节将提供给制造接口的外部供应商将其安装或编程进去。实际上,整个实现将不得不传播给第三方。考虑到安全算法在维护鉴权过程的完整性中的重要地位,这看起来不是想要的。
高级智能网(AIN)结构给出了上述的另一种选择方案。此时,安全算法可移入一个位于同一处的“相邻”的处理器。它位于交换系统的外部,和交换设备之间需要适当的接口。通过与交换机的处理器直接连接(如通过一个以太网连接)可实现这一点。另外,它也可以用相邻处理器上的专用信令连接和到本地交换系统的PCM流或模拟连接来实现。
如果将相邻的处理器与交换机处理器相连,则需要对所有的本地交换机做专门的修改。这包括硬件上的修改以支持计算机-计算机之间的通信链接,如使用一个以太网端口。
另一种做法是将安全算法移入网络的中央处理器中的一个自包含的单元或安全节点内。到网络其它部分的适当的信令链接和相应的软件修改将提供节点和鉴权用户设备之间的必要通信。这与前一种方案比较的好处是一个安全节点就可以向多个交换机提供服务。因此,用户可以分散到多个交换机,而不必直连。
在对现有或规划中的交换机硬件做大量修改的基础上的鉴权不是一个很好的办法。因此,相邻处理器方案对于电话网来说并不是很适当的。
假如有足够的处理器时间和可用的存储器空间,在本地交换机处理器上安装安全算法需要将安全信息提供给交换机所有者外的其它人。
分离的安全节点方案对单个本地交换机设备所做的修改局限在中央处理器的软件子系统。另外,单个结点可连到多个本地交换机。这样单个安全结点可向很多用户提供服务。这个方案优于其他方案之处在于可正常地向多个交换机的数目虽小但仍很可观的用户提供鉴权业务。
在现有的模拟电话业务中,交换机通过使用拨号音响应始发电话“环回”的线路。“呼叫模型”中这一传统状态将被修改,使网络将它作为产生鉴权询问的触发点。只有上述询问被适当配置的鉴权电话或其他设备正确确认,网络才允许为该呼叫尝试进行正常的电话业务。如果在一预定的时间限制内不能正确响应询问,本地交换机将该呼叫尝试的电话业务限制为正常可用功能的一个预定义的子集,即紧急或接线员业务。
在交换机线路卡装置或单独节点装置中都创建了一个概念上或实际上的安全节点,需要鉴权的呼叫都必须经过该节点。注意在提供鉴权的同时也可以提供基于其他网络的业务。
在这种情况下,意味着信令消息是从安全节点始发的。信令路径延伸到安全节点时该消息是以FSK信令方式。另外,安全信息也可以利用主网络信令发送到本地交换机。
安全节点与本地交换机干线信令系统相连。每次鉴权请求都产生一个到为多个本地交换机服务的安全节点的呼叫。因此该方案的关键耗费部件是安全节点,它应包括以下主要部分合适的信令系统数字传输系统FSK摘机信令系统计算系统数据库安全算法系统管理系统在系统X等数字交换机中,其中央处理器提供基本的呼叫控制和业务逻辑功能,因此显然可作为鉴权系统中建议的安全节点所必需的软件所在地。此时,一旦集中器向中央处理器指明某条线路已摘机,中央呼叫控制功能就产生必需的鉴权询问数据,并通过集中器中的FSK调制解调器34将其传送给NTE 14,而不是立即发出送拨号音的指令进行响应。集中器再将返回的FSK询问确认返回给中央处理器,或返回一个表明在预定的响应时间内未收到FSK数据的指示。然后呼叫处理决定为其余的呼叫设置何种级别的业务,并指示集中器返回相应的拨号音(通过原有的送号码消息)。
由于这种方法只需在集中器的普通电话设施外增加FSK功能,并需对交换机的主要软件进行修改,因此它提供了一个交换机中提供业务的非常灵活的方式。因为中央软件模块是从磁带或其它灵活的介质下载的,而不是保存在固件中,而且是向整个交换机结构提供业务,而不仅仅是与其相连的集中器线路。
另一种在中央处理器中提供主要的鉴权功能的方法是在集中器单元提供所有的主要功能。只有呼叫尝试被检查通过,才通知中央呼叫处理,包括提供何种级别的业务,而不是向中央呼叫处理软件指示摘机状态,集中器将鉴权摘机状态并通知中央呼叫处理该线路已摘机,然后根据呼叫尝试是否通过鉴权请求适当级别的业务。
更进一步的选择是,在一分离的中央处理器/集中器方案中,鉴权算法可集成到中央交换机处理器,但询问确认的分析由集中器完成。一旦检测到摘机状态,集中器将该信号转送到中央处理器并从它接收鉴权询问和期望的确认。这种数据可在处理器的空闲时间段生成,如在夜间可利用剩余的处理器能力为隔天产生多套鉴权数据。在这两种情况下,不论数据是在线或脱线产生的,都由集中器判断NTE的响应与期望的是否相符并向中央处理器指示应提供何种级别的业务。
与分离的中央处理器/集中器的互补的一个方案是集中器/中央处理器方案。此时,判断逻辑是在中央呼叫处理中,而鉴权算法位于集中器。如果线路进入摘机状态,集中器生成询问和期望的确认。然后询问被送给NTE,集中器等待接收NTE的响应。然后中央处理器通过集中器从NTE接收响应,与期望的响应比较,再确定适当级别的业务。
权利要求
1.一种对通信网上的网络终端(14)进行鉴权的方法,该方法包括以下步骤向与网络相连的安全节点(10)指示该终端的一个用户请求使用网络;在终端计算出一个鉴权码(R),该鉴权码是通过一个与终端有关的第一关键码(Sj)和一个第一算法(F)对一个事务码(n)进行加密运算得到的;将鉴权码发送给安全节点;在安全节点根据事务码,第一算法和第一关键码计算出期望的鉴权码(E);比较期望的鉴权码和收到的鉴权码;且除非期望的鉴权码和收到的鉴权码相符,否则拒绝该终端对网络未经限制的接入。
2.根据权利要求1的方法,其中的安全节点为上述终端计算至少一个第一关键码(Sj),这个或每个第一关键码都是由该终端的标识码(TN),一个第二关键码(K)和该节点存储的安全算法(fj)运算得到的,每个第一关键码被下载到终端,供以后和第一算法(F)一起用来鉴权终端。
3.根据权利要求1或权利要求2的方法,其中的第一关键码是用第二关键码(K)和安全算法(fj)对终端标识码(TN)进行加密运算得到的。
4.根据权利要求1至权利要求3中任一条的方法,其中事务码(n)是一个在每次鉴权尝试后改变的可变量。
5.根据权利要求1至4中任一条的方法,其中安全节点(10)根据收到的用户请求使用网络的指示,产生一个事务码(n),作为响应询问终端。
6.根据权利要求1至5中任一条的方法,其中如果在一定时间内期望的鉴权码和收到的鉴权码总是不符,安全节点(10)将阻止终端(14)接入网络。
7.根据权利要求1至6中任一条的方法,其中的终端(14)在用户请求使用网络后如果未收到询问或收到非法的询问,则向安全节点(10)发送一否定确认。
8.根据权利要求2的方法,其中第一关键码(Sj)由安全节点(10)远程下载或从临时接到终端的存储设备本地装载到终端(14)。
9.根据权利要求1至8中任一条的方法,其中安全节点(10)根据对终端标识码(TN)的运算识别各个第一关键码(Sj)。
10.根据权利要求1至8中任一条的方法,其中的安全节点(10)根据终端的标识码用查阅表识别各个第一关键码(Sj)。
11.根据权利要求1至10中任一条的方法,其中安全节点(10)可不论鉴权的结果如何,都向终端(14)送拨号音。
12.根据权利要求11的方法,其中安全节点(10)允许在期望的鉴权码和收到的鉴权码不符的情况下,接入网络使用可识辩的紧急业务和/或免费业务。
13.根据权利要求1至12中任一条的方法,其中电信网包括多个交换机,每个交换机负责多个终端(14)的来去话的路由选择,至少有一个交换机有安全结点(10)与之相连。
14.一个用于对通信网上的终端进行鉴权的系统,包括一个安全节点(10)和多个通过节点与网络相连的终端(14),其中至少一个终端包括含存储器(25)的处理装置(24),和连到网络并由处理装置控制的终端信令装置(26),终端信令装置负责在可能的用户开始使用网络后向安全节点发送一个鉴权码(R),鉴权码是由处理装置用一个第一算法(F)和一个与终端相关的第一关键码(Sj)对一个事务码(n)进行加密运算得到的,安全节点能使用事务码和同样存储在安全节点的第一算法和第一关键码从终端计算出一个期望的鉴权码(E),如果期望的鉴权码和收到的鉴权码不符则拒绝该终端对网络的未经限制的接入。
15.根据权利要求14的系统,其中安全节点(10)包括能够用一个存放在安全节点的安全算法(fj),该终端的终端标识码(TN)和一个第二关键码计算出一个第一关键码(Sj)的装置,并将该第一关键码发给该终端,供以后对该终端进行鉴权时使用。
16.根据权利要求14或15的系统,其中第一关键码是由第二关键码(K)用安全算法(fj)对终端标识码(TN)进行加密运算得到的。
17.根据权利要求14至16中任一条的系统,其中事务码(n)是一可变数,其中的终端包括能用第一算法(F),第一关键码(Sj)和该终端存放的事务码(n)计算出一鉴权码(R)的装置,该终端处理器负责在每次鉴权后改变事务码。
18.根据权利要求14至17中任一条的系统,其中的安全节点(10)进一步包括能产生事务码(n)的装置和用于响应安全节点收到的该终端的使用者请求使用网络的指示发出事务码作为对该终端询问的节点信令装置(34)。
19.根据权利要求14至18中任一条的系统,其中安全节点(10)包括在预定的时间内收到的鉴权码和期望的鉴权码(R和E)不符的情况下阻止该终端的用户接入网络的装置。
20.根据权利要求14至19中任一条的系统,其中的终端包括在用户请求使用网络的指示后未收到询问或收到非法询问的情况下向安全节点发送否定确认的装置。
21.根据权利要求14至19中任一条的系统,其中安全节点(10)包括通过计算终端标识码(TN)识别第一关键码(Sj)的装置。
22.根据权利要求14至18中任一条的系统,其中的安全节点(10)包括一个查询表,通过该表可根据终端标识码(TN)查出关键码(Sj)。
23.根据权利要求14至22中任一条的方法,其中电信网包括多个交换机,每个交换机负责多个终端(14)的来去话的路由选择,至少一个交换机有安全节点(10)与之相连。
24.根据权利要求23的系统,其中安全节点(10)定为可不论鉴权结果都向上述终端(14)送拨号音。
25.根据权利要求24的系统,其中安全节点(10)定为可以在期望的鉴权码和收到的鉴权码(E和R)不符的情况下允许接入网络使用可识别的紧急呼叫和免费呼叫。
26.一种用于通信网的用户终端(14),该终端包括一个用于使用户设备与网络兼容的用户端口(18),一个用于将终端连到网络的网络端口(20),处理装置(24)包括一个存储器(25),处理装置可通过网络端口接收信号,信令装置(26)可通过网络端口发送信号,处理装置可在用户开始使用网络后用一个第一算法(F)和一个与终端相关的第一关键码(Sj)对一个事务码(n)进行加密运算得到一个鉴权码(R),并能使信令装置通过网络端口发送鉴权码。
27.根据权利要求26的终端,其中信令装置是一种FSK调制解调器(26)。
28.根据权利要求26或27的终端,其中处理装置(24)负责响应网络的询问,计算鉴权码(R)并控制信令装置(24)。
29.根据权利要求28的终端,其中处理装置(24)定为可用一个第一算法(F),一个第一关键码(Sj)和作为从网络收到的询问的一部分的事务码运算得到上述鉴权码(R)。
30.根据权利要求28或29的终端,其中处理装置(24)包括对从网络端口(20)接收到的信号进行差错检查的装置,处理装置在从网络收到非法的询问的情况下可使信令装置(26)发送一个否定确认。
全文摘要
公共电话交换网上终端的鉴权系统包括一个与本地交换机相关联的安全节点和一个网络终端(14)。对于单向鉴权,终端通过发送一个包括号码(m)和根据第一算法加密的密码(Sj)的唯一鉴权码来响应呼叫的始发,该密码是终端所专有的。安全节点使用第一算法和作为终端标识码(TN)函数的第二关键码。从号码(m)构造所期望的鉴权码(E),并将期望的码(E)与接收的码(R)比较。对于双向鉴权,安全节点通过给终端(14)发送根据第二算法(fj)加密的事务处理码(n)来响应呼叫的始发。终端(14)作为第一算法(F),密码(Sj)和事务处理码(n)运算的结果产生鉴权码(R)。鉴权码回送给安全节点。用同样的方法比较期望的码(E)和接收的码(R)。无论哪种情况,期望的码(E)和接收的码(R)之间的匹配构成了对终端(14)的鉴权,以允许用户接入网络。
文档编号H04Q3/00GK1167553SQ9519551
公开日1997年12月10日 申请日期1995年8月16日 优先权日1994年8月17日
发明者P·M·哈丁, R·M·希克斯, J·J·金根, M·V·迈尔斯坦, K·E·诺尔迪, J·罗伯逊, J·C·兰杰, D·A·罗伯特, M·J·斯特兰, R·P·斯维尔, R·A·华塞尔, K·P·罗斯维施, M·J·布里尼尔 申请人:英国电讯公司