专利名称:在无线电话网络中的鉴权的制作方法
技术领域:
本发明涉及到在数字小区无线电话网络中在移动无线电话终端和路由子系统(通常称之为固定网络)之间的鉴权的方法。更确切地说,本发明改进了能够从终端中移除的微处理器卡或模块(被称为SIM(用户身份模块)芯片卡)与无线电话网络的鉴权中心之间通过无线接口进行的鉴权。
正如附
图1中示意性地表明的那样,一个属于GSM类型的数字蜂窝无线电话网络RR(下文将以范例的形式来引用它),原理上包含了若干移动无线电话终端MS和一个固定的网络,正常情况下在后者中主要流动着信令、控制、数据和语音消息。
在附图1所示的网络RR中,主要描绘了一些主要的让数据流经的实体,这些数据是要传送给在某个瞬间处于某个位置区域的移动终端MS的。这些实体是连接到一个以上的、附带内置的在电话交换网RTC中的路由功能的电话交换机CAA的移动服务交换机MSC,这些CAA为来访移动终端的通信提供管理功能,其中包括终端MS——在给定时刻它正位于由该交换机MSC来提供服务的相应的位置区域内。访问者位置记录器VLR连接到了交换机MSC,并包含处于其位置区域内的移动终端(也就是其中的SIM卡)的一些特征信息,譬如身份码和注册简档。连接到交换机MSC的基站控制器BSC主要管理着移动终端的信道分配、基站功率、以及移动终端在小区间的切换。连接到控制器BSC的基站BTS对于给定时刻终端MS所处在的无线小区进行覆盖。
无线电话网络RR中还包含标称的位置记录器HLR,后者与鉴权中心AUC相合作,并通过无线电话网络RR的信令网连接到移动服务的交换机群。
记录器HLR基本上就是一个如同记录器VLR一样的数据库,它为每个终端MS保存了其SIM卡的(也即拥有该SIM卡的用户的)国际身份码IMSI(国际移动用户身份码)、电话号码、该用户的注册简档,以及移动终端所连接到的记录器VLR的号码,当在位置区域之间转移时该VLR被更新。
鉴权中心AUC对用户进行鉴权,并参与对通过终端MS及其在给定时刻所连结的基站BTS之间的无线接口IR进行传输的数据的加解密。在与终端MS进行的所有通信之前、或者当终端开机或在越区切换的时刻,它管理用于确定密码键值的符合GSM标准的鉴权算法A3和算法A8(有时合并成单个的算法A38),在移动终端MS的SIM卡中也有冗余的一份算法。特别地,当用户获得注册时,鉴权中心AUC将保存一个鉴权键值Ki,该键值是对应于保存在标称的位置记录器HLR中的用户的身份码IMSI而专门分配给该用户的。
在所有事情中,对移动无线电话终端进行鉴权以便能够识别该用户是很重要的。为了保证最大限度的灵活性,鉴权中心不对移动终端MS本身进行鉴权,而是对其所包含的芯片卡SIM进行鉴权。这个卡包含着分配给该用户的键值Ki,并通过其所已知的鉴权算法A3而在不泄漏原键值的条件下来验证键值。固定网络向该卡发送一个随机数RAND(质询),要求这个卡把该随机数和键值输入到鉴权算法中去执行一次密码运算,并以GSM标准的署名响应SRES(签名响应)的形式返回结果。对于一个恶意地希望以SIM卡拥有者的帐号记帐而建立无线电话连接的第三方“攻击者”而言,预测该随机数是非常困难的。在不知道密钥的情况下,攻击者不能伪造出响应。随机数的位数的规模防止了攻击者把所有签署随机数/响应对的数值保存在一个字典中。这样,在无线电话网中的鉴权过程就鉴别了包含键值的该SIM卡。
简要地说,此鉴权过程包含如下步骤首先,当移动电话服务的注一旦刚被建立,以及此后每次记录器HLR用尽了其储备的三元组(随机数,署名响应,加密键值)的时候,根据用户的SIM卡的身份码IMSI,由鉴权中心AUC选择一些随机数RAND,并且一方面应用鉴权算法A3,以所选择的数值RAND和分配给用户的键值Ki的函数的方式来对应地确定一些署名响应,另一方面应用鉴权算法A8,以所选择的数值RAND和键值Ki的函数的方式来对应地确定一些加密键值,以便把该三元组提供给位置记录器HLR;每当被SIM卡刚刚连接的访问者位置记录器VLR请求对该卡进行鉴权,记录器HLR就选择至少一个三元组并将其提供给记录器VLR,以便把所选择的三元组的随机数通过固定网络和移动终端MS发送到SIM卡;SIM卡执行密码运算,把传输来的随机数值和键值Ki提供给鉴权算法A3以便产生署名响应SRES,并把它返回给记录器VLR;记录器VLR将署名响应SRES和所选择的三元组中的那个数相比较,而当出现相等情形时,该卡就被鉴定是真的了。
尽管这样的鉴权过程能够允许固定网络对卡进行鉴权,但另一方面它并不能允许SIM卡来对固定网络进行鉴权。并没有提供任何相互的鉴权。
除这一缺点之外还有一点就是容许无限次地选择任意数值发送给SIM卡。
这两个缺点使得SIM卡对于通过辅助信道的攻击(诸如电流攻击)或者通过逻辑手段(譬如涉及密码分析学的)的攻击变得脆弱。
在密码学的领域,有几种攻击类型是众所周知的,它们被用来获得作用于某种加密运算的键值。
这些攻击中的第一种,也是最简单的一种,就是获得一个随机数以及由这个数值产生的鉴权算法的结果,并把所有可能的键值和这一随机数输入到算法中直到得出前面所得到的结果。在GSM网络的鉴权场合中,这种所谓的蛮力攻击平均需要2127次(也就是1后面跟着38个零所构成的数)的加密运算才能获得该键值。尽管这种攻击并不需要用到卡(因为该计算可以在微计算机上完成),但所需要花费的时间将过于漫长了采用每秒可以完成10000次运算的计算机,这种攻击将需要耗费5×1026年。
第二种攻击用到了密码算法中的设计缺陷。对于这种攻击,经常需要把挑选出来的消息输入到算法中并对结果进行分析。据报道一种称为COMP128的算法已受到了攻击,该算法被用于根据GSM标准的鉴权和确定A3A8加密键值的算法。它平均需要选择160,000个随机数并获得相应的结果。在当前的GSM环境中,这种攻击是能够被运用的,因为SIM卡能够以攻击者所需要的任意多次数来对任意随机数执行密码运算,这足以破解SIM卡。
最后,第三种攻击使用了“边信道”。这些边信道传递着秘密数据的信息,一般是实施密码函数时的物理量。边信道一个典型的例子就是芯片卡所消耗的功率。一种采用这种信道的攻击就是DPA(差分功率分析),目前它需要用已知但不必是挑选出来的随机数执行数千次密码算法。这种攻击是完全可实现的,只要该攻击者拥有这个SIM卡。
本发明的目标就是补救上述所评论的鉴权过程的缺陷,特别是使得后面两种类型的攻击变得相当困难,并且不需要改动无线电话网络的硬件,而基本上只需要修改与鉴权有关的少数软件。
至此,提出一种在电信网络中的第一实体和第二实体之间的包含如下步骤的鉴权方法把第一和第二实体中分别存储的第一个键值、和由第二实体所产生并从第二实体传送给第一实体的一个随机数分别提供给存储在第一和第二实体中的第一种相同的算法,并在第二实体中,对第一实体中所存储的第一种算法所产生并传送给第二实体的结果、与第二实体中存储的第一种算法所产生的结果进行比较。其特征在于预先执行的以下步骤把第一和第二实体中分别存储的第二个键值和由第二实体所产生并从第二实体传送给第一实体的那个随机数分别提供给存储在第二和第一实体中的第二种相同的算法,并在第一实体中,对第二实体中的第二种算法所产生并连同随机数传送给第一实体的签名与第一实体中的第二种算法所产生的签名结果进行比较;而仅当传输来的签名和该签名结果相同时,才在第一实体中把第一个键值和该随机数提送给第一种算法。
根据优选的实施方案,第一实体和第二实体分别是无线电话网络中的无线电话终端和固定网络。在固定网络对终端进行鉴权(包含应用第一种算法并对响应与响应结果进行比较的步骤)之前,所述应用第二种算法并对签名与签名结果进行比较的这些步骤构成了终端对固定网络的鉴权。由此,本发明的方法增加了一次鉴权并把它和对终端的鉴权相结合,允许终端仅在对固定网络完成鉴权之后才执行对它的鉴权,这使得终端对于上述的后两种类型的攻击变得不脆弱得多。
在终端中,该随机数首先用于鉴别网络而不是终端。接着该随机数又用于网络设备对终端的鉴权。对于这第二种鉴权,优选的是在第二实体中将签名连同所产生的随机数一起提供给第一种算法,而在第一实体中把传送来签名和随机数值一起提供给第一种算法。该随机数和签名可以分别具有Q比特和(P-Q)比特,而P是一个整数常数。
本发明使得上述的攻击变得非常困难、或者实际上是不可能的。攻击者必需侦听在网络上激活的SIM卡才能获得有效的随机数,并且为了能够发起攻击必需搜集足够数量的随机数值。
这远远不是容易的事情攻击者并不能控制无线电话网络中的鉴权过程的频率。考虑到GSM网络中对SIM卡的鉴权次数是变动的并依赖于网络的,这种攻击将耗费大量的时间。
本发明的第一个优点就是由两次连续的鉴权组成,这使得在SIM卡被激活和被网络识别之前,对于该SIM不可能验证所需要获得的随机数值。这将阻止在销售点发起攻击,而目前的技术发展状态下,在卡被激活(即售出)开始使用之前,销售商可以攻击其存货中的卡并制造复制品。
本发明使得大多数的密码分析攻击成为不可能,特别是那些需要选定随机数的攻击。这是因为为了使卡执行密码运算,只有使用被验明了的随机数值,而这些数值并不具有攻击者所需要的格式。
本发明使得采用边信道的攻击方式特别难以奏效,因为这需要大量的硬件和大量的时间来获得有效的随机数值。从花费和时间上讲,这种攻击的代价使得其本身远远难以是有利可图的,并易于使众多的盗打电话者气馁。
由此,本发明相当程度地改进了无线电话网络中的鉴权过程的安全性。它只需要对SIM卡、第一实体、第二实体内所包含的标称的记录器和鉴权中心的软件作一些修改,而对网络的基础结构没有任何影响。这样的改动可以是逐步完成的而不必中断固定网络。
本发明可以包括这样的步骤每当传送来的签名和签名结果不一样的时候并且只要某个变量小于一个预定数值(优选情形下的该数值是可编程的)的时候,可以在第一实体(譬如终端)中对这个变量进行递增并断开实体间的连接,并且当该变量至少等于某个预定数值的时候,第一实体拒绝建立第一实体对第二实体(譬如固定设备)的任何接入。拒绝建立任何接入的步骤可以伴随着使得对第一实体的使用仅仅限于内部的,或者禁止任何对第一实体的使用。
特别是在无线电话网络的环境中,在终端内应用第二个键值之前,在固定网络中用于鉴权和记录终端身份号的装置需要确定一些三元组,其每个三元组都包含一个随机数、以及对应于该随机数的一个签名和一个响应结果。在鉴权之前(也就是在应用这些步骤之前),在包含鉴权中心的固定网中,要根据该随机数、签名、以及第一个和第二个键值中的至少一个来确定一个加密键值。在鉴权之后,仅当该响应与用来进行比较的响应结果相同的时候,在终端才执行确定一个作为随机数值、签名、和第一个和第二个键值中的至少一个键值的函数的加密键值的步骤。
根据其他能进一步提高第一实体和第二实体之间的数据交换的安全性的变型方案,在第二实体中的第二个键值是第二个密钥,而在第一实体中的第二个键值是不同于第二个密钥的公钥。在类似的情形下,第一实体中第一个键值是第一个密钥,而第二实体中的第一个键值是不同于第一个密钥的公钥。
本发明也涉及到身份码模块,譬如第一实体(譬如移动无线终端)中的用户身份卡,其特征在于它包含至少能存储第二种算法和至少第二个键值的装置,以及至少能根据本发明来执行应用第一种鉴权并比较签名和签名结果的步骤的装置。
随着参考相应的附图来阅读下面对几种优选实施方案的描述,本发明的其他特征和优点将变得更清晰附图1是一个数字蜂窝无线电话网络的示意性模块图;附图2给出根据本发明的鉴权方法的步骤。
在下文中,本发明的方法是在GSM类型的无线电话网络RR的环境中来加以描述的,该环境已经参考附图1表述过了,而本发明的方法基本上只需要对鉴权中心AUC和移动终端的SIM卡中的软件进行修改和补充。
在下文的描述中,固定网络被想象成连接到考察中的移动无线电话终端MS的从无线接口IR开始的一串实体,其中包含了基站BTS、基站控制器BSC、带有访问者位置记录器VLR的交换机MSC,以及HLR-AUC组合。
需要声明的是,用户的移动无线电话终端MS包含一个可拆卸的称为SIM芯片卡的微处理器模块,它被连接到终端带有微处理器的数字电路总线上,而该总线伺服于移动终端的键盘、显示屏,以及外围插座。正如附图中所示,SIM芯片卡在原理上包括一个微处理器、存储了卡的操作系统和特定的应用算法的ROM、存储了与用户有关的所有特征(譬如身份码IMSI、注册简档、被叫方电话号码和姓名列表、诸如键值和密码等保密性数据,等等)的EEPROM非易失性存储器,以及用于对将要从终端的数字电路接收的数据和将要发送给终端的数字电路的数据进行处理的RAM存储器。特别地,鉴权与确定加密键值的算法和这些键值以及其他涉及这些算法的参数将在ROM和EEPROM中进行保存和管理。
参看附图2,从无线电话终端MS的SIM卡被投入到与子网络BTS、BSC、MSC以及被包含于无线电话网络RR之中并暂时性地连接着无线电话终端MS的VLR的通信开始起,根据本发明的鉴权方法接下来开始运行,并先行提出对密码键值进行确认。
附图2中所示的方法主要包含步骤E0到E14。在附图2中,虚线中的模块涉及到步骤E0、E2、E9’、E90、E20、E11和E110,它们基本上是在固定网络中执行的,独立于任何鉴权请求的并且根据所展示的实施方案,至少是在步骤E3对鉴权请求进行考虑之前执行的。
一开始,在步骤E0,可以认为移动终端把下列内容存储到其SIM卡的ROM和EEPROM存储器中即,SIM卡的身份码IMSI(也就是拥有该SIM卡的用户的身份码)、(在可以实现时)由主控交换中心MSC分配的该卡的临时身份码TMSI、使得网络能够对终端进行鉴权的第一个鉴权键值Ki与第一种鉴权算法AA、确认加密键值的算法AC、加密/解密算法、基于本发明借助于SIM卡使得能够对网络进行鉴权的第二个鉴权键值Kj与第二种鉴权算法AJ,以及初始时等于0的整数变量m及其整数上界值M。在步骤E0,除了整数m和M外,这些初始数据以及算法也被存入固定网络。各个用户的键值Ki和Kj被存入与用户身份码IMSI相对应的鉴权中心AUC,而临时的身份码仅由访问者位置记录器VLR来进行分配,该VLR被连接到与移动终端MS相连接的移动服务MSC的交换机的。两种算法AA和AJ以及确认加密键值的算法AC都存入鉴权中心AUC,而加密/解密算法被安装在基站BTS中。如同接下来会看到的那样,鉴权中心AUC向标称的位置记录器HLR提供一些三元组((NA,SG),RSRES,Kc)。
当终端提出对移动服务的接入请求时(譬如在移动终端开机之后,或者需要更新终端的位置时,或者在电话通信之前,或者在记录器VLR的要求下为了对SIM卡进行鉴别而周期性地发出),终端MS与附属的子寄存器交换信令以便为终端MS提供一条通信信道,并由终端MS通过把SIM卡的身份码IMSI传送给访问者位置记录器VLR来向子网络申明终端的身份码,或者(当可以实现时)把临时身份码TMSI连同涉及最近一次建立的连接的位置区域的LAI一起进行传输。在附图2中,以一种简化了的方式通过步骤E1来描述了为终端MS提供一条信道而进行了这些信令交换。
接下来的步骤E2到E8涉及到由本发明增添的由SIM卡对网络进行的鉴权的过程,实际上,该过程部分地位于鉴权中心AUC和记录器VLR,部分地位于SIM卡的ROM和EEPROM存储器中。
首先在鉴权中心AUC中,伪随机发生器提供了一些Q比特字长的随机数值NA。在步骤E2,不同于键值Ki的键值Kj被存入鉴权中心AUC,而Q比特字长的每一个随机数NA都被提供给鉴权中心内的网络鉴权算法AJ的输入端。作为一个变量而言,键值Kj和Ki可以是一样的。举例来说,算法AJ是DES(数据加密标准)类的,并产生长度为(P-Q)比特的随机数值签名。在步骤E20,随机数NA与相应的签名SG被写入与SIM卡的身份码IMSI相关联的HLR,而记录器HLR所挑选的(NA,SG)组合中至少有一个被传送给终端所连接的记录器VLR。
根据本发明,当访问者位置记录器VLR决定借助SIM卡来对固定网络进行鉴权的时候,在步骤E3处把所选择的这一对(NA,SG)被相继引入鉴权请求消息中,并分别由交换机MSC、控制器BSC和最后由基站BTS通过无线空中接口IR传送给移动终端MS。而选择整数P(P>Q)使得不必修改符合在无线电话网络RR中实施的标准的鉴权消息的长度(在这种情形下也就是包含数值RAND时的消息的长度)。整数P通常等于128,也就是说,(NA,SG)组合的尺寸是16个八位字节。表示随机数NA的比特数的整数Q可以大于或小于P/2;然而,整数P和Q可以满足等式P/2=Q。
在步骤E4,作为对相连接的基站BTS所发送来的鉴权请求消息的响应,在移动终端MS的SIM卡中把随机数值NA和签名SG写入SIM卡的RAM存储器。在后续的步骤E5,类似步骤E2在鉴权中心AUC中启用算法AJ的方式一样,立即把随机数NA和键值Kj提供给SIM卡的ROM和EEPROM中所包含的算法AJ。在步骤E6,将算法AJ产生的结果RSG和鉴权中心AUC传来的签名SG进行比较并读取。
在步骤E6,如果RSG和SG相异,则在步骤E7将变量m和预设的整数M(通常近似等于10)进行比较。每当SG和RSG不相同时,只要m<M,则在一个计数器中把变量m递增1,而SIM卡不执行后续的步骤E9(在步骤E9中,会随鉴权请求消息之后产生一个签名响应SRES),并接着释放专用的信令信道,这导致无线资源被释放,而终端所请求的对移动服务的连接将不能被建立起来,正如步骤E71和E72所指示的那样。该计数器是包含在SIM卡内部的,而整数M是可编程的,所以提供该SIM卡的运营商可以对整数M进行选择。
在步骤E7,当变量m到达上界限M时,如上一样不能被建立起对移动服务的接入,此外如同步骤E73所表示的任何新的鉴权都按惯例被拒决。这意味着SIM卡很可能正处于冒用用户帐号(由网络分配给用户帐号的)的恶意的第三方的攻击之下。这种情形下本发明推荐两种变型方案。
对于第一种变型方案,SIM卡允许用户只能将无线电话终端MS用于对终端而言是内部的本地命令。举例来说,本地命令用于通过键盘或者终端的语音识别装置来查阅呼叫电话号码列表,而不允许任何的电话通信得以建立。
对于第二种变型,SIM卡将阻止用户通过键盘和/或语音识别装置而进行的任何操作,并让终端关机,或者说,SIM卡变得“沉默”了;SIM卡不再接受任何命令,而终端MS将不能使用。
回到步骤E6,当所述结果RSG和签名SG相等时,将在步骤E8读取所收到的随机数NA和签名SG以及鉴权键值Ki,以便在步骤E9将它们提供给公知的鉴权算法AA。在这一阶段,鉴权过程将基本上如同一个公知的SIM卡一样继续下去了。算法AA将给出一个署名响应SRES(签了名的响应),后者被包含在一个发送给相连接的基站BTS的消息中,而BTS将通过控制器BSC和交换机MSC重新把消息传送给记录器VLR。
首先,在鉴权请求E3之前(因此也就是在SIM卡中执行步骤E3到E9之前),记录器VLR和HLR已经为该用户保存了数值NA和签名SG,而鉴权中心AUC在步骤E20之后对于所说的随机数NA中的每一个,都在步骤E9’把该随机数NA、相应的签名SG和第一个键值Ki提供给算法AA。算法AA对于每一个(NA,SG)组合都产生一个署名响应结果RSRES。随同步骤E20一起,所述结果RSRES在步骤E90被写入记录器HLR,而记录器所挑选的(NA,SG)组合连同相应的结果RSRES一起被传送给记录器VLR,后者将保存它们。
在步骤E9后,一旦接收到由移动终端MS传送来的署名响应SRES,记录器VLR将在步骤E91读取署名响应结果RSRES,并在步骤E10把它与接收到的响应SRES相比较。如果这两个结果不一致,则记录器VLR指示主控交换中心MSC在步骤E101切断该终端与固定网的连接,从而阻止了终端寻求接入移动服务的请求。
在相反的情形下,在步骤E10鉴权中心AUC验证了对SIM卡的鉴权(这是跟随在SIM卡根据本发明对网络RR的鉴权(步骤E5)之后),从而启动对后续的、在移动终端MS和子网BTS-BSC-MSC之间交换的消息的加密和解密。
首先在步骤E11,鉴权中心AUC将对应于所说的若干个随机数NC和键值的(NA,SG)组合提供给确定加密键值的算法AC,以便产生加密键值Kc,后者将在伴随着步骤E20和E90同步的步骤E110中被存入记录器VLR。由此,若干个三元组((NA,SG),RSRES,Kc)首先被存储在标称的位置记录器HRL中,而这些被选出来的三元组中至少有一个将被写入与SIM卡的身份码IMSI/TMSI相关连的记录器VLR中。
紧随步骤E10之后,交换机MSC将决定切换成加密模式,传送一个带有键值Kc的激活加密消息,后者被实体BSC和BTS接力传送给移动终端MS,同时基站BTS也获得了键值Kc。
此外,在步骤E9执行了鉴权操作之后,SIM卡在步骤E12读取随机数NA和SG以及鉴权键值Ki,以便把它们提供给加密算法AC,从而在步骤E13确定加密键值Kc。
最后,在步骤E14和E14’,终端MS和用户线子网(特别是包含了与SIM卡中的内容一致的加密解密算法和存储了给定的键值Kc的用户线路中的BTS)可以利用键值Kc来交换经过了加密和解密的消息。
在变型方案中,作为E13和E11的第一键值Ki的替换,读取第二键值Kj(或者第一和第二键值Ki和Kj)并把它们分别提供给算法AC。
根据别的变型方案,在鉴权中心分配给SIM卡的键值Kj是一个秘密的私钥Kjs,而在SIM卡中所包含的Kj是一个不同于Kjs的公钥,它与私钥Kjs间具有复杂的联系。网络鉴权算法AJ是不对称的,这使得尽管SIM卡不知道(并由此任何恶意人员不知道)私钥Kjs,仍然可以在步骤E6通过与结果RSG比较来验证签名SG。
以类似的方式,SIM卡中的键值Ki可以用秘密的私钥Kis来代替,而鉴权中心AUC的键值Ki是一个公钥,于是卡的鉴权算法AA就是不对称的了。
尽管对本发明的描述是遵循优选的实施方案的并参照了无线电话网络中的移动无线电话和固定网络之间的无线电话网,本发明的鉴权方法可以被应用到涉及任意两个分别需要去鉴定对方的实体的电信网络中去,而每个实体都可以是一组具有预定好的相互链接的实体。
权利要求
1.在电信网络(RR)中的第一实体(MS)和第二实体(VLR,HLR,AUC)之间的一种鉴权方法,包含这样的步骤(E9,E9’)把第一和第二实体中分别存储的第一个键值(ki)和由第二实体所产生并从第二实体传送给第一实体的一个随机数(NA)分别提供给存储在第一和第二实体中的第一种相同的算法(AA),并在第二实体(VLR,HLR,AUC)中,对第一实体中所存储的第一种算法所产生并传送给第二实体的响应(SRES)和第二实体中的第一种算法所产生的响应结果(RSRES)进行比较(E10),其特征在于预先执行的以下步骤把第一和第二实体中分别存储的第二个键值(Kj)和由第二实体所产生并从第二实体传送给第一实体的那个随机数(NA)分别提供(E2,E5)给存储在第二实体(VLR,HLR,AUC)和第一实体(MS)中的第二种算法(AJ),并在第一实体(MS)中,对第二实体中的第二种算法所产生并连同随机数(NA)传送给第一实体的签名(SG)与第一实体中的第二种算法所产生的签名结果(RSG)进行比较;而仅当传输来的签名(SG)和签名结果(RSG)相同时,才在第一实体(MS)中把第一个键值(Ki)和该随机数(NA)提供给第一种算法(AA)。
2.根据权利要求1的的方法,在第二实体(VLR,HLR,AUC)中连同所产生的随机数(NA)一起把签名(SG)提供(E9’)给第一种算法(AA),并且,在第一实体(MS)中也把连同随机数(NA)一起传输的签名(SG)提供(E9)给第一种算法(AA)。
3.根据权利要求1或2的方法,随机数(NA)和签名(SG)分别具有Q比特和(P-Q)比特,而P是一个整数常数。
4.根据权利要求1到3中任意一个的方法,包含这样的步骤在第一实体(MS)中每次传输来的签名(SG)和签名结果(RSG)不一样并且只要一个变量(m)小于一个优选地是可编程的预定数值(M)的时候,就对这个变量进行递增(E71)并断开(E72)实体间的连接的步骤,并且当该变量(m)至少等于某个预定数值(M)的时候,第一实体拒绝(E73)建立任何对第二实体(VLR,HLR,AUC)的接入。
5.根据权利要求4的方法,所述拒绝(E73)建立任何接入的步骤可以伴随着授权使得对第一实体(MS)的使用仅仅限于内部。
6.根据权利要求5的方法,所述拒绝(E73)建立任何接入的步骤可以伴随着禁止对第一实体(MS)的任何使用。
7.根据权利要求1到6中任意一个的方法,第一实体和第二实体分别是无线电话网络(RR)中的无线电话终端(MS)和固定网络(VLR,HlR,AUG)。
8.根据权利要求7的方法,在终端(MS)里提供第二个键值(Kj)的步骤(E5)之前,固定网络中的鉴权和记录终端身份的装置(VLR,HLR,AUC)确定若干三元组,每个三元组包含一个随机数(NA)、以及对应于该随机数的一个签名(SG)和一个响应结果(RSRES)。
9.根据权利要求7或8的方法,包含这样的步骤在提供的步骤(E2,E5,E9,E9’)之前,在固定网络(VLR,HLR,AUC)中要作为该随机数值(NA)、签名(SG)、和第一个和第二个键值(Ki,Kj)中的至少一个的函数来确定(E11)一个加密键值(Kc)。
10.根据权利要求7到9中任意一个的方法,包含这样的步骤仅当相比较的响应(SRES)和响应结果(RSRES)是一样的时候,才作为该随机数值(NA)、签名(SG)、和第一个和第二个键值(Ki,Kj)中的至少一个的函数来确定(E13)一个加密键值(Kc)。
11.根据权利要求1到10中任意一个的方法,在第二实体(VLR,HLR,AUG)中的第二个键值(Kjs)是第二个密钥,而在第一实体(MS)中的第二个键值是不同于第二个密钥的公钥(Kj)。
12.根据权利要求1到11中任意一个的方法,在第一实体(MS)中的第一个键值(Kis)是第一个密钥,而在第二实体(VLR,HLR,AUC)中的第一个键值是不同于第一个密钥的公钥(Ki)。
13.位于第一实体(MS)中的身份码模块(SIM),其特征在于它包含存储了至少第二种算法(AJ)和至少第二个键值(Kj)的装置(ROM,EEPR0M)、用于至少执行根据权利要求1至11之一的向第二种算法(AA)进行提供的步骤(E5)以及将签名(SG)和签名结果(RSG)进行比较的步骤(E6)的装置(ROM,EEPROM,RAM)。
全文摘要
本发明涉及到电信网络中在两个单元之间提高鉴权操作中的安全性的方法,这特别是指在移动终端(MS)和固定网络(具体地说,就是蜂窝无线电话网络中的访问者位置寄存器,原籍位置寄存器(VLR,HLR)和鉴权中心(AUC))之间。在固定网络对终端(更确切地说,是其中的SIM卡)进行第一种鉴权操作(E9,E94,E10)之前,采用了基于算法(AJ)的第二种鉴权操作(E2-E6),其中输入由固定网络产生并进行传送的一个随机数(NA)以及与第一种鉴权操作的键值(Ki)不同的键值(Kj)。由固定网络和终端分别产生一个进行传输的签名(SG)和一个签名结果(RSG),并在终端中进行比较,以便在二者相等的情形下允许进行第一种鉴权操作(E2-E6)。
文档编号H04L9/32GK1341338SQ00804160
公开日2002年3月20日 申请日期2000年2月15日 优先权日1999年2月22日
发明者J·L·吉劳德, N·布勒特 申请人:格姆普拉斯公司