分组数据网中的验证的制作方法

专利名称：分组数据网中的验证的制作方法
技术领域：
本发明涉及移动分组网；本发明具体但非必要地涉及连接到移动IP(因特网协议)网的移动节点的验证。
在移动IP网络中，诸如膝上型计算机的终端通过外地代理连接到其本地代理，其中所述终端上连接了无线局域网(WLAN)适配器。在功能方面，所述终端作为网络中的移动节点使用。术语移动节点、本地代理和外地代理在出版物Request For Comments(请求注释，RFC)2002中进行了解释，如下移动节点(MT)主机或路由器，它将其附着点从一个网络或子网改变到另一网络或子网。移动节点可以在不改变其IP地址的情况下改变它的位置；假定具有到某附着点的链路层的连通性，则它可以继续利用其(固定)IP地址在任何位置与其它因特网节点进行通信。
本地代理(HA)移动节点属于其本地代理所属的归属网络。HA是移动节点的归属网络上的路由器，当移动节点不在本地时，它通过隧道将数据报传送到移动节点，并保持移动节点的当前位置信息。
外地代理网络上由移动节点访问的路由器，它在被登记了的情况下提供到移动节点的路由业务。外地代理去掉隧道并将移动节点的本地代理通过隧道传来的数据报传递给移动节点。对于移动节点发送的数据报，外地代理可作为向其登记了的移动节点的缺省路由器。
移动性代理本地代理或外地代理。
在出版物RFC2002中，还进一步解释了在移动节点的本地网络中为移动节点提供一个长期IP地址或本地地址。对这个本地地址的管理方式与提供给固定主机的“永久”IP地址的管理方式相同。当远离其本地网络时，通过本地代理将“转交地址”与移动节点相关，并表示移动节点的当前附着点。移动节点可利用其本地地址作为它发送IP数据报的源地址。
常常需要在移动节点连接到IP网络时对它进行验证。IP网络识别移动节点的一种方式是通过利用IP网络和移动节点都知道的一个公用密钥。公用机密将被用作密钥。公用机密可以首先让IP网络知道，然后，如果IP网管得到到移动节点的安全访问，则将该公用密钥储存在移动节点中。在安全性方面，公用密钥不应该通过容易窃听的网络发送。所以，移动节点应被提供给IP网管。将来，很可能有许多不同的IP网络。根据本发明的配置，移动节点将需要配置一个密钥数据库，从而为它可能连接的不同IP网络中的每一个提供一个密钥。
WO00/02406公开了用于电信网络，特别是用于IP网络的验证方法。包含验证码的第一消息和数据单元从网络中的终端发送到网络，包含信息的数据单元涉及到验证-码形成的方式。为进行网络中的验证，包含在第一消息中的数据单元被用于确定校验值，该校验值与所述验证码进行比较。为了使终端不必在附着到网络时执行任何复杂而又繁重的消息交换，同时仍能获得应用所需的安全特征，终端中使用了一种识别单元，它接收查询作为输入，根据该查询，可以确定响应和密钥，确定方式基本上与已知的通信系统中用户身份模块中的方式相同，网络中生成一组验证模块，每个验证模块包含一个查询、一个响应和一个密钥，由此用与所述移动通信系统中相同的方式执行所述生成，验证模块包含的查询中的至少一些被发送到终端选择查询之一在终端中使用，并且，根据该查询，在终端的识别单元的帮助下确定要用的响应和密钥，在所述第一消息中，在所述数据单元的帮助下通知网络选择了哪个密钥对应于哪个查询，并且在所选密钥的帮助下确定第一消息的验证码和所述校验值。
WO00/02407涉及到在电信网络，特别在IP网络中要进行的验证。为在幅员广阔的地区实现IP网络用户的简单而顺利的验证，IP网络的终端(TE1)利用用户身份模块(SIM)，就像用作单独的移动通信系统(MN)中，由此可根据作为输入提供给身份模块的查询确定响应。IP网络还包括专用安全服务器(SS)，在用户连接到IP网络时，将有关新用户的消息发送到该专用安全服务器(SS)。从所述移动通信系统将包括至少一个查询和响应的用户验证信息传递给IP网络，同时根据从所述移动通信系统得到的验证信息执行验证，验证是通过IP网络将所述查询发送给终端；通过在终端的身份模块中根据该查询产生响应、以及通过将该响应与从移动通信系统收到的响应进行比较来执行的。这种数据库(DB)还可用于系统中，其中特定用户的验证信息被预先储存，这样在用户连接到网络时就不需要再从移动通信系统提取所述信息了。
该文件公开了发送一组查询，以防某些查询与预留的安全参数索引(SPI)值相冲突，这会浪费数据传输带宽并且是一种安全隐患，因为它提供了更多移动通信系统的可形成特定用户的验证信息的机密的数据。
在WO00/02406和WO00/02407中，终端需要发送响应，并丝毫不保证查询是新的并且是从真正的网络收到的。所以，终端不能确定查询是否是重放攻击的部分。
根据本发明的第一方面，提供一种用于向分组数据网验证移动节点的验证方法，所述方法包括以下步骤为移动节点提供移动节点身份和公用机密，所述公用机密是移动节点身份所特有的并可由电信网络使用；为移动节点提供保护码；
从移动节点将移动节点身份和保护码发送到分组数据网；为分组数据网提供可由电信网络使用的验证信息，所述验证信息包括查询和会话机密，所述会话机密对应于移动节点身份并可利用所述查询和公用机密导出；利用至少保护码和会话机密形成加密信息；从分组数据网将查询和加密信息发送到移动节点；在移动节点利用查询和公用机密检查加密信息的有效性；在移动节点根据公用机密生成对应于所述查询的会话机密和第一响应；将第一响应发送到分组数据网；以及检查第一响应以验证移动节点。
本方法最好还包括以下步骤为移动节点提供用于电信网络的用户身份；以及根据用户身份形成网络接入标识符，作为移动节点的移动节点身份。
最好，本方法还包括以下步骤直接根据移动节点身份在分组数据网识别电信网络。
最好，本方法还包括以下步骤至少根据一个会话机密，为分组数据网提供公用会话密钥。
最好，本方法还包括以下步骤在分组数据网和移动节点之间提供通信链路，用于它们之间所述查询的通信，所述通信链路不是电信网络的链路。
最好，本方法还包括以下步骤利用用户身份模块为移动节点提供移动节点身份。最好，用户身份模块被用于根据移动节点身份特有的公共机密产生会话机密。
最好，本方法还包括以下步骤通过电信网络得到第二响应；以及将第二响应用于检查第一响应。
本发明最好还包括以下步骤从电信网络经分组数据网将查询发送到移动节点。
保护码最好基于时间。
查询最好基于电信网络的至少两个验证三元组的RAND码。
最好利用至少n个RAND码加密地形成查询。
本发明最好还包括以下步骤根据对应于查询的n个RAND码的n个会话密钥Kc，为分组数据网提供公用会话。
本发明最好还包括以下步骤根据公用机密、保护码以及移动节点和分组数据网知道的算法产生验证密钥。这样，有可能验证移动节点和分组数据网之间的通信。所用的会话密钥Kc的数量愈多，公用会话密钥K变得愈强。
分组数据网优选地是IP网络。最好，分组数据网是移动IP网络。
在备选实施例中，本方法还包括以下步骤为因特网密钥交换产生公用会话密钥，其中所述公用会话密钥是根据至少一个会话机密和至少一个查询的。
在备选实施例中，为移动节点提供移动节点身份以及移动节点身份所特有的公用机密的步骤还包括以下步骤在移动节点和移动台之间形成本地连接，由此，移动台具有移动节点身份和移动节点身份所特有的公用机密；在移动节点和具有移动节点身份和移动节点身份特有的公用机密的移动台之间形成本地连接；以及从移动台向移动节点取回移动节点身份和公用机密。
最好，为移动节点提供移动节点身份以及移动节点身份特有的公用机密的步骤还包括以下步骤在移动节点和具有移动节点身份和移动节点身份特有的公用机密的用户身份模块之间形成本地连接；以及移动节点从用户身份模块取回移动节点身份和移动节点身份特有的公用机密。
根据本发明的第二方面，提供一种移动节点中的验证方法，用于向分组数据网验证移动节点，所述方法包括以下步骤为移动节点提供移动节点身份和公用机密，所述公用机密是移动节点身份所特有的并可由电信网络使用；为移动节点提供保护码；向分组数据网发送移动节点身份和保护码；从分组数据网接收查询和加密信息；利用查询和公用机密检查加密信息的有效性；根据公用机密生成会话机密和对应于所述查询的第一响应；以及将第一响应发送到分组数据网；根据本发明的第三方面，提供一种分组数据网中的验证方法，用于向分组数据网验证移动节点，所述方法包括以下步骤从移动节点接收移动节点身份和公用机密，所述移动节点身份对应于公用机密；得到可由电信网络使用的验证信息，所述验证信息包括查询和会话机密，所述会话机密对应于移动节点身份并可利用所述查询和公用机密导出；利用至少保护码和会话机密形成加密信息；将查询和加密信息发送到移动节点；从移动节点接收第一响应；以及利用会话机密检验第一响应。
根据本发明的第四方面，提供一种在分组数据网和移动节点之间进行通信的方法，所述移动节点能够访问移动电信网络的用户身份，所述方法包括以下步骤为移动节点提供用于电信网络的用户身份；以及移动节点由用户身份形成网络接入标识符，作为分组数据网使用的移动节点身份。
根据本发明的第五方面，提供一种网关中的验证方法，所述网关作为分组数据网和能够访问验证服务器的电信网络之间的接口，所述方法包括以下步骤从分组数据网接收网络接入标识符；从网络接入标识符形成适合用于电信网络中的用户身份；向电信网络提供用户身份；从验证服务器接收查询和会话机密，所述会话机密对应于所述查询和用户身份；以及为分组数据网提供所述查询。
根据本发明的第六方面，提供一种网关，作为连接分组数据网和能够访问验证服务器的电信网络之间的接口，所述网关包括用于从分组数据网接收移动节点身份和保护码的输入端；用于为验证服务器提供移动节点身份的输出端；用于从验证服务器接收查询和对应于移动节点身份的会话机密的输入端；第一处理器，用于利用至少保护码和会话机密形成加密信息；用于为分组数据网提供查询和加密信息，以进一步传输到移动节点的输出端；用于根据用户身份所特有并且是移动节点和电信网络知道的公用机密，经分组数据网从移动节点接收对应于查询的第一响应的输入端；以及第二处理器，用于检验所述第一响应，以验证移动节点。
根据第七方面，提供一种网关，作为连接分组数据网和能够访问验证服务器的电信网络之间的接口，所述网关包括第一输入端，用于从分组数据网接收网络接入标识符；处理器，用于从网络接入标识符形成适合用在电信网络中的用户身份；第一输出端，用于为电信网络提供用户身份；
第一输入端，用于从验证服务器接收查询和对应于查询和用户身份的会话机密；以及第二输出端，用于向分组数据网提供查询。
根据第八方面，提供一种通信系统，所述系统包括电信网络；分组数据网；移动节点；所述移动节点包括用于形成保护码的第一处理器；网关，用作分组数据网和电信网络之间的接口；用户身份模块，可由移动节点访问，其中包括用户身份和公用机密；验证服务器，用于电信网络，其中包括映射到用户身份的公用机密；验证服务器能够接收用户身份，并响应于用户身份而返回查询；所述网关包括第二处理器，用于根据保护码形成加密信息；所述移动节点能够从网关接收查询和加密信息；并能够为用户身份模块提供查询，以响应性地根据查询和公用机密接收第一响应；所述第一处理器还能够检验保护码，以验证到移动节点的网关；以及第三处理器，可由网关访问，用于检验第一响应，以验证移动节点。
根据第九方面，提供一种通信系统，所述系统包括电信网络；分组数据网；具有移动节点身份的移动节点；网关，用作分组数据网和电信网络之间的接口；用户身份模块，可由移动节点访问，其中包括用户身份和公用机密；
验证服务器，用于电信网络，其中包括映射到用户身份的公用机密；第一处理器，可由网关访问，用于形成用于电信系统的移动节点身份的用户身份；验证服务器，能够接收用户身份，并响应于此而返回查询；用户身份模块，能够接收查询，并响应于此而根据查询和公用机密形成第一响应；以及第二处理器，可由网关访问，用于检验第一响应，以验证移动节点。
根据第十方面，提供一种移动节点，所述移动节点包括用户身份模块，它具有用于向电信网标识用户的用户身份和该用户身份模块所特有且为电信网络可访问的验证服务器所知的公用机密；处理器，用于根据用户身份形成移动节点身份；以及通信模块，用于与分组数据网进行通信，能够向分组数据网发送移动节点身份，并能够从分组数据网接收作为响应的查询；其中用户身份模块能够根据公用机密形成对应于查询的第一响应。
根据第十一方面，提供一种计算机程序产品，它控制移动节点向分组数据网验证其本身，它包括计算机可执行代码，使移动节点能够得到移动节点身份和移动节点身份特有并可由电信网络使用的公用机密；计算机可执行代码，使移动节点能够得到保护码；计算机可执行代码，使移动节点能够向分组数据网发送移动节点身份和保护码；计算机可执行代码，使移动节点能够从分组数据网接收查询和加密信息；计算机可执行代码，使移动节点能够利用查询和公用机密检查加密信息的有效性；计算机可执行代码，使移动节点能够根据公用机密产生会话机密和对应于查询的第一响应；以及计算机可执行代码，使移动节点能够向分组数据网发送第一响应。
根据第十二方面，提供一种用于计算机程序产品，它控制分组数据网向其本身验证移动节点，它包括计算机可执行代码，使分组数据网能够从移动节点接收移动节点身份和保护码，所述移动节点身份对应于公用机密；计算机可执行代码，使分组数据网能够得到可由电信网络使用的验证信息，所述验证信息包括查询和会话机密，所述会话机密对应于移动节点身份并可利用查询和公用机密导出；计算机可执行代码，使分组数据网能够至少利用保护码和会话机密形成加密信息；计算机可执行代码，使分组数据网能够向移动节点发送查询和加密信息；计算机可执行代码，使分组数据网能够从移动节点接收第一响应；以及计算机可执行代码，使分组数据网能够利用所述会话机密检验第一响应。
根据第十三方面，提供一种计算机程序产品，用于控制移动节点和分组数据网的通信，所述移动节点能够访问可由电信网络使用的用户身份，所述计算机程序产品包括计算机可执行代码，使移动节点能够为移动节点提供用户身份；以及计算机可执行代码，使移动节点能够用用户身份形成网络接入标识符，作为由分组数据网使用的移动节点身份。
根据第十四方面，提供一种计算机程序产品，用于控制作为分组数据网和能够访问验证服务器的电信网络之间接口的网关，所述计算机程序产品包括计算机可执行代码，使网关能够从分组数据网接收网络接入标识符；计算机可执行代码，使网关能够由网络接入标识符形成适合在电信网中使用的用户身份；计算机可执行代码，使网关能够为电信网络提供用户身份；计算机可执行代码，使网关能够从验证服务器接收查询和会话机密，所述会话机密对应于查询和用户身份；以及计算机可执行代码，使网关能够为分组数据网提供查询。
根据第十五方面，提供一种存储媒体，所述存储媒体包括根据上述任一方面的计算机程序产品。
在备选实施例中，本方法包括以下步骤在验证到分组数据网的移动节点之前，用初级验证方法对到分组数据网的移动节点进行验证。
有利的是，通过利用电信网络和移动节点之间共享的机密，用户身份模块可以被用作强相互验证。它提供了直接可信赖的验证过程，其中可以利用电信网络的现有验证数据。
一个方面的实施例适用于本发明的各个其它方面。为简洁起见，实施例没有在本发明的每个方面进行重复。技术读者应该理解，各个方面的优点基于本发明的第一方面的优点。
现在参考附图开始例示性的对本发明进行描述，其中

图1表示包括IP网络的一个系统，它具有根据本发明的最佳实施例的兼容于IP连网的移动台；图2表示图1的系统的公用会话密钥交换过程；图3表示根据图1的系统的验证扩展；图4表示图1的系统的新公用会话密钥请求扩展的格式；图5表示图1的系统的新公用会话密钥应答扩展的格式；
图6表示图1的系统的签字响应(SRES)扩展；图7表示根据本发明的另一实施例的移动通信系统的基础结构；图8表示图7的系统的重要功能模块；图9表示图7的系统的主要信令事件；图10表示图7的系统的验证操作的详细信令图；图11a和11b一起形成表示图7的系统的验证期间，公共接入控制器的功能的流程图；图12a到12d一起形成表示图7的系统的验证期间，全球移动通信系统/通用分组无线电业务的验证和计费网关的功能性的流程图；图13表示图7的系统中控制将移动节点从网络断开的主要信令；图14表示根据本发明的另一实施例，当移动节点是因特网密钥交换协商的发起方时因特网密钥交换的过程；图15表示当公共接入控制器而不是移动节点作为因特网密钥交换协商的发起方时，对图14过程的修改；以及图16说明根据本发明的实施例的验证系统中的过程。
下面，将对本发明的最佳实施例在全球移动通信系统(GSM)电信网络中的应用进行描述。对于到分组数据网的移动节点的验证，使用一般在GSM网络中验证GSM用户的用户身份模块(SIM)卡。在验证过程期间，SIM和GSM电信网络通过分组数据网而不是GSM电信网进行通信。
实际的电信网络类型是不相关的。GSM被用作例示，但网络类型也可以是通用移动电信系统(UMTS)或具有通用分组无线电业务(GPRS)的GSM。实际上，在GPRS利用GSM无线电接入网络来工作以及GSM验证方法方面，GPRS可以被理解为GSM的延伸而不是一个独立网络。
本发明将利用三个例示来描述。例示1涉及移动IP实现，其中利用了现有移动IP扩展。例示2涉及无线LAN环境中从一个子网漫游到另一子网。例示3涉及为因特网节点生成IKE密钥。
例示1移动IP在本发明的最佳实施例中，移动节点用国际移动用户身份(IMSI)以数字串的形式标识。IMSI被定义为唯一用户标识符，其中包括国家移动用户身份和移动国家码。例如，在GSM中，表示IMSI所用的字节数比IMSI中的数字数少。
IMSI作为网络接入标识符(NAI)在移动IP消息中进行传送。NAI的形式为imsi@sonera.fi(例如“1234567@sonera.fi”)或imsi@gsm.org(例如1234567@gsm.org”)。因此，NAI携带移动电信网络的身份(例如作为文字或作为标识符数字)以及移动节点的域的识别，其中移动节点是移动电信网络的用户。它允许直接从NAI识别电信网络。
两个NAI例示中的后一个，gsm.org域是上级域的例示，它能够寻找与相关GSM电信网络运营商有关的适当域。
从IMSI形成NAI允许分组数据网稍后仅根据NAI确定相关GSM电信网络运营商。这样就不必在分组数据网中维护任何将不同电信网络运营商及其用户映射到一起的本地数据库。
一般来说，用NAI识别移动节点对移动IP领域的普通技术人员是已知的。NAI扩展可以被包括在稍后进行说明的登记请求或登记应答中。
现在对SIM卡在GSM电信网络中的操作进行解释。在GSM中，有已知的验证算法，称作A3和A8。这些算法在SIM上和GSM电信网络中工作。SIM和GSM电信网络运营商知道这些算法和GSM公用密钥Ki，GSM电信网络运营商一般将它们储存在移动业务交换中心的(MSC)的HLR(归属位置寄存器)中。
在验证中，GSM电信网络运营商产生查询RAND、相应的64比特GSM会话密钥Kc和用于检验对查询的响应的32比特签字响应SRES，其中RAND是128比特随机码，用作查询。A8算法用A8(Ki，RAND)产生64比特的会话GSM会话密钥Kc，同时由A3(Ki，RAND)产生32比特长的SRES。RAND、SRES和Kc的组合一般称作GSM三元组。GSM电信网络运营商将RAND发送到它的用户(GSM电话)，用户接收RAND，并将之转给SIM，SIM再现出SRES和Kc。接着，SIM发送SRES作为对查询的响应。运营商接收SRES并能够确定SIM的身份。GSM电信网络运营商也可能验证它与SIM共享Kc。然后，Kc可以被用于对GSM无线电信道上传递的数据进行加密。这种查询-响应机制的优点在于Kc一直不必通过GSM无线电信道进行发送，从而它不能够被窃听。
图1表示包括移动IP网络MIP的通信系统10，它具有根据本发明的最佳实施例兼容于IP连网的移动节点MT。移动节点MT一般是具有用于连网的无线网络适配器和软件的膝上型计算机。多个移动节点可以连接到MIP。移动节点MT包括键盘KB；用户身份模块SIM_B；第一无线电模块RF1(PCMCIA无线LAN适配器)，用于经WLAN无线电信道与无线电接入点进行通信；(可选)第二无线电模块RF2(PCMCIA GSM适配器)，用于与GSM网络GSM_B进行通信；主处理单元MPU(例如数字信号处理器的微处理器)，用于控制前述模块；以及存储器MEM1，它包含用于操作MPU的第一软件SW1。
MIP包括多个接入点AP，用于为MT提供无线连接；公共接入控制器PAC，用于控制AP；以及外地验证、授权和结算服务器FAAA。
GSM网络GSM_B是SIM_B的归属GSM网络。GSM_B包括归属验证、授权和核算服务器HAAA，它具有用户数据数据库，该数据库包括GSM_B的用户的结算和授权数据。这些数据包括各个用户的IMSI和GSM公用机密Ki。
MIP通过GSM验证网关GAGW连接到GSM_B。GAGW是服务器，它具有存储器MEM2，用于储存第二软件SW2；以及中央处理器CPU，用于通过执行第二软件SW2控制服务器的操作。GAGW将GSM_B中的服务器和MIP中的服务器连接在一起。这些服务器被指定为本地AAA服务器HAAA(AAA指的是验证、授权和核算)和外地AAA服务器FAAA。PAC还能够用作移动代理MA。如果MIP是MT的归属网络，则PAC也是MT的本地代理HA。否则PAC属于外地网络，则PAC可被称为外地代理FA。HAAA位于GSM_B中，FAAA位于MIP中。两个AAA服务器之间的通信通过适当的AAA协议进行。这里没有描述AAA协议。
现在将对整个验证过程进行简要描述。为了为分组数据网验证移动节点，在MT和FAAA服务器中产生公用会话密钥K。利用GSM_B及其SIM、SIM_B执行验证。这种情况下，验证过程将类似于上面针对基本GSM网络描述的过程。验证利用SIM_B和GSM_B中出现的Ki。SIM_B通过为MT(例如具有无线局域网适配器的膝上型计算机)提供SIM读卡机来访问GSM_B。或者，MIP不直接访问GSM_B的Ki，但接收与SIM_B有关的RAND。这个RAND被发送到MT，并将RESP对照电信网络产生的RESP进行检验。验证可以通过利用多个RAND来进一步改进，从而产生比只有一个Kc更安全的验证密钥。
图2表示图1的系统的公用会话密钥交换过程。下面，对过程进行简短地综述，然后进行更详细地描述。
1.MT向FAAA发送由MT产生的网络接入标识符NAI和保护码MT_RAND(在移动IP术语中也被称为现时值(nonce))。MT_RAND在验证会话期间保持不变，它阻止重放攻击。MT_RAND一般是随机数并且基于时间(某种分辨率的时间标记)。
2.FAAA向HAAA发送包含MT的IMSI或NAI的初始识别消息以及MT_RAND。
3.HAAA取回n个GSM三元组，其中的每一个包括RAND、Kc以及SRES。接着，HAAA为MT计算K＝H(n*Kc，MT_RAND)。这里n是大于或等于1的整数，*表示参数的数量(n*Kc表示n个不同的Kc，同时H()表示单向散列函数。HAAA还计算根据MAC(k，n*RAND，MT_RAND)算得的值SIGNrand，其中MAC表示消息验证码。SIGNrand是加密校验和，以检验n个RAND确实从访问了Ki的实体发起(因为K是从那里得到的)。校验和还表示n个RAND是否的确在同一验证会话期间产生，因为MT_RAND随一个验证会话到另一验证会话而变化。
4.HAAA向FAAA发送n个RAND、SIGNrand以及可选地发送IMSI。如果在此过程的步骤1已经发送了具有IMSI的另一会话标识符，则不必再用ISMI本身。在这种情况下，将利用这个会话标识符而不是IMSI。
5.FAAA向MT发送至少一个RAND和SIGNrand。
6.利用储存在SIM_B上的i，MT计算K。利用K、n个RAND和MT_RAND，MT接着测试SIGNrand。如果SIGNrand是正确的，MT产生n个SRES的副本(一个RAND一个)。MT计算K和SRES的加密校验和SIGNsres＝HASH2(k，n*SRES)。
7.MT向FAAA发送SIGNsres。在MT中，K的计算与HAAA中K的计算相同。
8.FAAA向HAAA发送SIGNsres。
9.HAAA通过将MT收到的值用到等式SIGNsres＝HASH2(k，n*SRES)中进行检查，以检验SIGNsres有效。HAAA将结果(SIGNsres是否有效)发送到FAAA。如果SIGNsres有效，则HAAA也将K发送到FAAA。
10.验证完成，FAAA和MT共享K。
FAAA在功能上连接到若干HAAA，并且FAAA根据用户的NAI的域部分，例如“sonera.fi”选择正确的HAAA。HAAA利用HAAA-HAAA协议向正确的HAAA或诸如移动交换中心(MSC)发送初始识别消息。根据备选实施例，FAAA被配置为与单个HAAA进行通信，并总是在步骤1发送消息到那个AAA。
现在将描述图2的过程。它从包含新会话密钥请求扩展的消息登记请求开始，该扩展和下述扩展将在稍后参考图3到6进行解释。IMSI可以在网络接入标识符扩展中进行传输。新会话密钥请求扩展包括最长密钥使用期和MT选择的随机MT_RAND。当MA接收具有新会话密钥请求扩展的请求时，它向HAAA发送NAI(包括IMSI)和MT_RAND。如果MA由GSM电信网络运营商操作的是本地代理，则本地代理一般能够直接访问GSM三元组。在本发明的实施例在，预先取回若干三元组，以便加速登记。一旦HAAA无论用哪种方式得到n个MT的GSM三元组，则它计算新的K以及验证码SIGNsres，如上所述。
MA接着向MT发送新会话密钥请求扩展的登记应答。登记应答包括MT_RAND和SIGNsres，这样MT就能够检验RAND是当前的，并且它们是由GSM基础设施所产生的。登记应答也包括剩下的密钥使用期，该使用期等于或小于MT提议的密钥使用期。
如果MT和MA没有共享安全环境，则第一登记请求和登记应答的验证将失败。登记应答中的应答码是“移动节点验证失败”或者“标识不匹配”。在移动IP中使用验证扩展。验证扩展在安全参数索引(SPI)字段具有特殊值，表示“新会话密钥交换”。MT的SPI和IP地址被用作管理有关不同移动节点的验证过程的索引。验证扩展还具有验证码字段，该字段一般是MAC码。验证码可以为空。因此，如果MA不支持根据本发明的验证，它将仅仅用应答码“移动节点验证失败”进行应答。如果MA是外地代理，MT应一起省略验证扩展。
在收到带新会话密钥请求扩展的登记应答后，MT能够检验SIGNsres的有效性。如果SIGNsres有效，MT产生密钥K和SIGNsres，并为MA创建新的安全环境，或者如果这种安全环境已经存在，则用新的K更新该环境。这个密钥将被用作后续登记消息中的移动IP验证密钥。
MT在它发送到MA的下一登记请求中的SRES扩展中包括SIGNsres。MA向HAAA发送SIGNsres，HAAA对SIGNsres进行检验并将指示发送给MA。如果SIGNsres有效，HAAA还向MA发送K。现在MA可以创建/更新MT的安全环境。
如果MA是FA，则现在可以将K分配给访问域中的所有外地代理。
由于MA可能需要快速地得到SRES扩展，有利的做法是MT在收到RAND之后，紧接着就发送具有SRES扩展的登记请求。
上述通过K交换机制建立的安全环境具有一个SPI。这里，另一熟知的SPI被用于SIM生成的安全环境。为“SIM生成的安全环境”SPI和“新会话密钥交换”SPI预留某个值。
根据最佳实施例，移动IP验证中的缺省算法是前缀+后缀模式中的密钥式MD5。在这种模式下，通过在以下字节流上执行MD5来计算消息的验证摘要第一出现的K以及来自登记请求的保护字段以及第二出现的K。
验证摘要在验证扩展中进行发送，如图3所示。图3将例示比特映射表示为比特表，其中每行有4个八位字节。有三种验证扩展MT和本地代理之间所用的强制移动-本地验证扩展；MT和外地代理之间所有的可选移动-外地验证扩展；以及FA和HA之间所用的可选外地-本地验证扩展。所有这些扩展具有相同的格式。SPI是隐式标识符(opaque identifier)。验证扩展的验证码(它检验消息的接收方)将SPI和对等的IP地址映射到移动安全联盟数据库中的安全环境。安全环境包括密钥、算法和其它安全参数。验证码字段包括消息摘要。
根据最佳实施例，在移动IP验证中，通过利用SIM_B来产生安全环境(包括K)。因为RAND是通过GSM_B、例如通过HAAA产生的，因此MT首先需要将其IMSI发送到它正登记的MA。这样，MA能够利用FAAA-HAAA协议，以便得到MT的GSM验证信息(如上所述)并且MT利用该信息产生K。在产生了K之后，MT能够利用/通过MA进行登记。
K可以被用于几个后续的登记。但是，这个K具有使用期，在使用期期满之前，可以通过相似的过程产生新的K。
MT和MA之间的K交换消息作为扩展发送到登记请求和登记应答。需要MT和MA之间登记消息的三种新扩展，以便对K达成一致。这些扩展是新会话密钥请求扩展、新会话密钥应答扩展和SRES扩展。
一般，MT知道它的HA支持根据本发明的验证。但是，MT可能不知道FA支持那个/那些验证方法。为了测试FA是否支持根据本发明的验证方法，MT在第一登记应答中包括用于外地代理的新会话密钥请求扩展，并省略了移动-外地验证扩展。新会话密钥请求扩展是可选的。如果FA不支持它，则FA应该忽略该扩展并在将该请求转发给HA之间将之去掉。当MT接收登记请求时，它执行以下逻辑-如果登记请求包括新会话密钥请求扩展，并且来自FA的应答码是错误码“移动节点验证失败”，则FA支持根据本发明的验证。如果新会话密钥请求扩展有效，则MT为FA创建安全环境并在下一登记请求中包括FA的SRES扩展。
-如果FA没有将应答码设置为错误码，并且登记请求不包括新会话密钥请求扩展，同时来自FA的应答码没有被设置，则FA不支持验证，而是允许登记，不需要移动-外地验证。MT能够执行向FA的后续登记，并不需要任何验证扩展。
-如果登记应答不包括新会话密钥请求扩展，并且来自外地代理的应答码是错误码“移动节点验证失败”，则FA不支持根据本发明的验证并且需要不同类型的验证。在这种情况下，如果MT只有根据本发明的验证功能，则它不能向FA登记。
当FAAA从没有与它共享安全环境的移动节点接收登记请求，FA具有以下选择
-如果在登记请求中存在无效移动-外地验证扩展，则FA用错误码“移动节点验证失败”进行应答。这是标准移动IP行为。
-如果登记请求不包括移动-外地验证扩展，并且如果本地政策不需要移动-外地验证，则FA将登记请求转发给HA。即使在登记请求中存在新会话密钥请求扩展，FA在登记应答中也不包括新会话密钥应答扩展。这是标准移动IP行为。这种配置能够在例如企业访问区中有用。
-如果FA中的本地政策需要移动-外地验证，并且在登记请求中既没有移动-外地验证扩展，也没有新会话密钥请求扩展，则FA用错误码“移动节点验证失败”进行应答。这是标准移动IP行为。
-如果FA中的本地政策需要移动-外地验证，并且登记请求包括新会话密钥请求扩展，没有移动-外地验证扩展，则FA不向本地代理转发登记请求，而是用错误码“移动节点验证失败”进行应答，并在登记应答中包括新会话密钥应答扩展。如果MT接着发送另一具有有效SRES和有效移动-外地验证扩展的登记请求，则FA将请求转发给HA。
只有某些GSM用户有权通过特定MA登记。可以在以下实体之一进行用户授权-GSM基础设施。GSM电信网络(MSC/HLR)可能只对某些用户支持根据本发明的验证。
-HAAA。HAAA可配置授权IMSI的清单。HAAA可具有各个它所连接的访问控制器的单独清单。这使HAAA能够决定哪些用户是某个MA的授权用户。如果由GSM电信网络运营商对HA进行操作，则HAAA可方便地储存这类授权信息。
-FAAA。如果企业例如为它的员工运作FAAA，则企业可能希望控制哪些GSM用户被允许向FAAA登记。在这种情况下，MA需要维护授权GSM用户的清单。MA还需要得到明文的IMSI。如果在MS和HAAA之间使用公共密钥加密，以保护IMSI，则HAAA可能需要向MA发送明文IMSI，以便使MA能够检查MT是否被授权向FAAA登记。
新会话密钥交换扩展是普通(非关键)扩展，最好储存在MT-AAA验证扩展中。或者，可以使用特定厂家会话扩展。如果登记请求的接收方不识别该扩展，则该扩展被忽略。
MT和FA之间的会话密钥交换独立于MT和HA之间的K交换。因此，登记请求包括下述扩展中的任何一个-FA的新会话密钥请求扩展，-HA的新会话密钥请求扩展，-FA和HA的新会话密钥请求扩展，-FA的SRES扩展，-HA的SRES扩展，-FA和HA的SRES扩展，-FA的新会话密钥请求扩展和HA的SRES扩展，-FA的SRES扩展和HA的新会话密钥请求扩展。
登记应答一般包括下述扩展中的任何一个-来自FA的新会话密钥应答扩展，-来自HA的新会话密钥应答扩展，以及-来自FA和HA的新会话密钥应答扩展。
图4表示新会话密钥请求扩展的格式。MT可将具有子类型1(MT-FA)的新会话密钥请求扩展放置在移动-本地验证扩展之后，移动-外地验证扩展(如果出现)之前。FA必须在将该请求转发给HA之前从该请求中去掉这个扩展。
MT可将具有子类型2(MT-HA)的新会话密钥请求扩展放置在移动-本地验证扩展之前。
从图4可以看出，新会话密钥请求扩展的格式如下类型值134(可省略)长度该扩展的长度以字节计算，其中不包括类型和长度字段。对于新会话密钥请求扩展，其长度为26字节。
预留 留作将来使用。可设置为0。
厂家/组织ID 高位的八位字节是0，同时低位的3个八位字节是网络字节顺序的移动网络业务厂家的SMI网络管理企业专用码。
厂家类型 NEW_SESSION_KEY_REQUEST_VENDOR_TYPE(新会话密钥请求厂家类型)。这个值表示这个扩展的特定类型是新会话密钥请求扩展。由厂家进行厂家类型的管理。
子类型1MT-FA新会话密钥请求扩展2MT-HA新会话密钥请求扩展密钥使用期最长密钥使用期以秒计算，两个字节长。
MT_RAND MT产生的随机数(16字节或8字节)这是使用特定厂家扩展的例示。或者，可以使用另一类型的移动IP指定扩展。
图5表示新会话密钥请求扩展的格式。FA可将具有子类型1(MT-FA)的新会话密钥应答扩展插入到登记请求中，其位置在移动-本地验证扩展(如果出现)之后，移动-外地验证扩展(如果出现)之前。HA可能在移动-本地验证扩展之前在登记请求中插入具有子类型2(MT-HA)的新会话密钥应答。
从图5可以看出，新会话密钥应答扩展的格式如下类型 值134(可省略)长度 该扩展的长度以字节计算，其中不包括类型和长度字段。对于新会话密钥应答扩展，其长度为42比特加上RAND的长度。
预留 留作将来使用。可设置为0。
厂家/组织ID值例如为94(Nokia)。高位的八位字节是0，
同时低位的3个八位字节是网络字节顺序的厂家的SMI网络管理企业专用码。
厂家类型 这个值表示这个扩展的特定类型是新会话密钥应答扩展。由厂家进行厂家类型的管理。
子类型 1FA-MT新会话密钥应答扩展2HA-MT新会话密钥应答扩展密钥使用期 剩下的密钥使用期，以秒计算。
SIGNrand n个RNAD的验证码，16字节n*RAND n个GSM RAND(长度n个16字节)图6表示SRES扩展的格式。MT可将具有子类型1(MT-FA)的SRES扩展放置在登记请求中，其位置在移动-本地验证扩展之后，移动-外地验证扩展(如果出现)之前。FA必须在将该登记请求转发给HA之前去掉这个扩展。
MT可在移动-本地验证扩展之前在登记请求中插入具有子类型2(MT-HA)的SRES应答。
从图6可以看出，SRES扩展的格式如下类型 134(可省略)长度 该扩展的长度以字节计算，其中不包括类型和长度字段。对于新的SRES扩展，其长度为23字节。
预留 留作将来使用。可设置为0。
厂家/组织ID高位的八位字节是0，同时低位的3个八位字节是网络字节顺序的厂家的SMI网络管理企业专用码，如在指定编号RFC[指定编号]中所定义的。
厂家类型 这个值表示这个扩展的特定类型是SRES扩展。
由厂家进行厂家类型的管理。
子类型 1MT-FASRES扩展
2MI-HASRES扩展SIGNsresMT计算的响应，16字节在本发明的另一实施例中，MT和FA之间的公用会话密钥交换消息通过将代理发现消息扩展为包括IMSI和RAND来进行传输。
在另一备选实施例中，在验证扩展中使用隐式验证码。该扩展的开始被用于发送RAND、密钥使用期和其它共享会话密钥交换参数。密钥交换参数包括在验证码的计算中。
如果在验证扩展之前以单独的扩展发送参数，则密钥交换的数据将自动地包括在验证扩展的计算中。此外，利用单独的扩展使系统更容易实现。验证码是MAC函数的结果，例如根据步骤2计算的SIGNrand。
在另一实施例中，没有为SIM生成安全环境使用熟知的SPI，而是在新共享会话密钥交换消息中传递SPI。例示2无线LAN图7表示根据本发明的另一实施例的移动通信系统的结构。系统包括移动节点MT，它是数据终端；两个公共无线IP接入网(WISP)WISP1和WISP2；因特网INET；第一GSM电信网络GSM_A和连接到GSM核心GSMCORE的第二GSM电信网络GSM_B。
公共无线IP接入网(WISP1，WISP2)提供无线宽带IP业务，以允许MT在公共热点中漫游，比如位于例如酒店和机场的热点。各个WISP可以由GSM电信网络运营商或由具有与GSM电信网络运营商的漫游协议的专用ISP运营。漫游协议对SIM验证是关键的。
MT作为移动节点。它可以连接到WISP。MT还可以利用已知技术从一个网络漫游到另一网络。在WLAN中，从一个WLAN热点到另一热点的漫游被称为WLAN漫游业务。WISP能够访问因特网INET。
MT具有设备部分ME和SIM_B，其中提供的SIM_B与第二GSM电信网络GSM_B一起使用。MT可能不是兼容GSM的移动台。在这种情况下，MT的用户可以通过为GSM移动台提供SIM_B来访问第二GSM电信网络GSM_B。事实上，在本例示中，MT是具有可利用SIM_B的WLAN适配器卡(未示出)和智能读卡机(未示出)的膝上型计算机。或者，MT是具有GSM移动台部分和WLAN终端部分的装置，所述移动台部分用于与GSM电信网络进行通信，所述WLAN终端部分用于与WLAN进行通信。
GSM电信网络GSM_A和GSM_B分别包括移动交换中心MSC1和MSC2。GSM核心将这些MSC连接在一起。此外，第一GSM电信网络具有将其连接到因特网INET的GSM/GPRS验证和计费网关(GAGW)。GAGW是GSM电信网络运营商的实体，它向WISP提供GSM验证业务并收集计费信息。
GSM_B连接到GSMCORE，并进一步通过GSMCORE和GAGW连接到WISP1(MT连接到WISP1)和MT，目的为验证和计费，这一点在稍后进行更详细的描述。
基于GSM/GPRS-SIM的用户移动性管理功能(用户验证和计费)可被用作公共WLAN接入区验证和计费功能。基于SIM的验证为使用计费提供了相对可信赖的用户身份(验证)的检验。GSM核心GSMCORE提供漫游业务，使GSM移动台在各种运营商网络之间漫游。有利的是，利用现有SIM卡和GSM基础结构实现漫游业务。因此，WISP漫游不需要来自MT的任何额外的安全密钥。此外，所有从它们的本地运营商得到WLAN漫游业务的GSM用户具有必需的MT、SIM和所需的漫游软件，以能够访问公共网络。本地运营商为漫游MT提供SIM_B，用于验证。GSM_B是备选的GSM电信网络支持GPRS。
现在开始描述图7的系统的操作。用户具有与作为用户的本地网络运营商的GSM_B的运营商的GSM协议。网络运营商B签署了与GSM_A的运营商A的漫游协议。GSM电信网络运营商A与WISP1和WISP2的运营商具有伙伴配置，分别被称为运营商C和D。利用SIM_B的漫游用户可从WISP1漫游到WISP2。两个WISP都向GSM_A的运营商发送验证请求消息。GSM核心网络漫游功能被用于将验证消息中继给用户的本地运营商(GSM_B的运营商)。该结构允许任一GSM电信网络的用户利用它们的MT在WISP之间进行漫游，尽管WISP只是直接连接到运营商A网络GSM_A。
漫游用户无需与WISP具有预先建立的客户关系。相反，漫游用户可依赖于他与他本地GSM电信网络的客户关系，从而在WLAN中提供验证和计费。WISP接入通过GSM电信网络运营商的验证网络计费到漫游用户的GSM帐单。
这里，这些漫游业务被用于允许利用SIM对MT进行验证和计费，其中SIM被用于访问GSM核心以及公共IP接入网。GSM电信网络运营商向用户收取验证/漫游业务的费用以及利用公共IP接入网的费用。这样，GSM电信网络运营商补偿其运营商对公共IP接入网的使用。
在本发明的备选实施例中，GSM电信网络运营商可为用户提供WISP漫游SIM，该SIM不允许使用GSM无线电业务。这种专用SIM可以被用于对WLAN提供的业务进行验证和记帐。
从GSM已经知道，本地GSM网络储存诸如验证码和用户身份的客户信息。一般，这个信息被储存在MSC的GSM归属位置寄存器(HLR)中。GSM电信网络运营商为一个或若干WISP运营商提供基于IP的验证和收费接口，可能也是或只是用于企业接入方案。
GAGW支持各种GSM电信网络运营商之间的无缝漫游。WISP向GAGW发送所有的验证和计费信息。GAGW利用从GSM知道的GSM核心信令，向相应的本地GSM电信网络运营商传送验证和计费信息。不同GSM电信网络之间计费信息的信令可以被配置为与移动电话在外地GSM电信网络中的传统漫游的方式类似。这样，外地GSM电信网络对本地GSM电信网络收取其在配置电话呼叫方面的服务的费用。
在图7的系统中，本地运营商储存收费记录，并将帐单发送给用户。WISP产生描述记帐服务的计费记录。计费可以根据任何已知的原理或它们的组合进行，例如根据包价收费制、使用时间、分组数量或接入带宽。GSM网络(GAGW)将WISP发起的记录发送到现有GSM计费系统。
MT通过利用SIM卡支持验证。在备选实施例中，MT支持一个或多个其它验证机制，例如用于企业网络接入的智能卡验证。这种MT包括验证软件和智能卡，但不需要任何用于公共接入或其它任何安全联系的密钥。
图8表示图7的系统的重要功能模块。图8只表示了单一WISP，但是应该理解，可以有多于一个的WISP和多于一个的GSM电信网络。图8表示系统的三个重要功能部件MT、公共接入控制器PAC和GPRS/GSM验证和计费网关GAGW。GAGW是GSM电信网络连接GSM/GPRS网络和IP网络(例如因特网或广域IP网)的专用实体。GAGW还提供必需的WLAN蜂窝漫游功能，特别是那些与验证和计费业务有关的功能。
PAC是WISP的网络实体，它控制从无线电接入网到因特网业务的访问。在本例示中，PAC向MT分配IP地址并在建立到因特网的连接之前验证MT。PAC中继MT和GAGW之间的验证消息，收集计费记录并将之发送到GAGW。PAC还中继MT和因特网之间的用户数据业务。
SIM验证是PAC的补充业务，PAC另外还支持诸如基于口令的验证的其它验证机制。
现在对系统的接口进行描述。
MT-PAC接口是基于IP的具有验证功能的接口。验证经过设计，使其能够被嵌入在熟知的标准IP协议中或被实现为对现有协议的扩展。利用这个接口中MT和PAC的IP地址对它们进行识别。
PAC-GAGW接口是基于IP的接口，它利用适当的验证协议。一般，单GAGW同时支持若干PAC。GAGW通过利用PAC的IP地址识别这些PAC。在这个接口中，MT识别基于储存在SIM_B上的IMSI码。
GAGW-HLR接口是特定实现和厂家的。GAGW将PAC的蜂窝基础结构隐藏起来。所以，PAC-GAGW接口总是一样的，虽然下层的蜂窝网可以是不同类型的(GSM、GPRS)或由不同厂家提供的。
图9表示图7和8的系统的主要信令步骤。向PAC验证MT的过程一般在MT尝试连接到公共接入网络时被触发。这时，MT经动态主机配置协议(DHCP)服务器(未示出)获得IP地址。DHCP协议和适当的服务器是本领域中众所周知的。验证必须在PAC以外的网络能够被访问之前完成。MT通过漫游软件触发验证。在备选实施例中，验证在MT尝试利用SIM访问网络以及漫游应用正在运行时自动触发。
接下来，通过参考在验证过程期间使用的消息对整个验证进行解释301.MT与PAC进行通信，以连接到WISP1并从DHCP服务器得到IP地址。
302.PAC发送有关所支持的验证机制的信息，比如SIM验证、公共密钥基础结构(PKI)或预先共享密钥。
303.MT检测SIM验证是被支持的。ME从SIM_B请求IMSI。
304.SIM_B通过向ME发送IMSI来响应IMSI请求303。
305.MT形成网络接入标识符，它是网络接入标识符(NAI)格式的IMSI，就如在例示1的开始描述中所解释的那样。MT建立与PAC的动态安全联系，例如利用Diffie-Hellman，并在临时安全信道上发送加密的NAI。在备选实施例中，NAI作为没有加密的明文发送。
306.PAC对NAI进行解码，并在数据分组中通过安全PAC-GAGW接口将再次加密的NAI转发给GAGW。GAGW的IP地址在PAC中静态地进行配置。在PAC和GAGW之间利用它们之前配置的公共机密形成安全信道。
307.GAGW检验数据分组来自有效PAC，对该分组进行解码，检查NAI，提取IMSI并将IMSI同验证请求一起发送到最近的MSC。接着，MSC分析IMSI，以发现由IMSI表示的用户的本地HLR。然后，MSC将验证请求转发给本地HLR。
308.本地HLR形成一个或多个GSM验证三元组(RAND、SRES、Kc)组成的组并将该组发送到始发方MSC，始发方MSC将该组转发给GAGW。
309.GAGW形成包括RAND和RAND的加密校验和的分组，该分组是至少利用Kc产生的。GAGW保留SRES在后续步骤314中继续使用。
310.PAC对分组进行解码并将RAND和加密校验和中继给MT。
311.MT向SIM_B输入RAND，它计算相应的Kc和SRES值。
312.MT检查Kc与PAC给出的加密校验和一致。如果它们匹配，则MT知道PAC具有到HLR的连接，因此PAC可以被信赖。
313.MT通过Kc为SRES产生加密校验和，并将该校验和发送到PAC。
314.PAC将SRES的校验和中继给GAGW。GAGW检查该校验和是否与它在步骤308从MSC收到的SRES相一致。如果它匹配，GAGW将确认消息ACK发送给PAC。如果它不匹配，GAGW则将否定确认NACK发送给PAC。
315.如果PAC接收确认成功验证的肯定确认消息ACK，它通过打开到因特网的通道来完成验证。如果PAC接收否定确认消息NACK，它拒绝打开到因特网的通道。
在备选实施例中，在上述步骤中使用IMSI代替NAI。
下列表格列出了在系统的单元之间传递的参数
表1MT和GAGW之间传送的主要参数
表2 MT和PAC之间传送的主要参数
表3PAC和GAGW之间传送的主要参数
有利的是，可选User_class参数被用于定义业务质量，例如特定用户的最大带宽。
图10表示图7和8的系统的验证的详细信令图。该信令图表示以下步骤(步骤401)MT发送MT始发验证开始请求MT_PAC_AUTHSTART_REQ，其中包括具有IMSI的NAI。该请求一般还包括保护码MT_RAND(也被称为移动IP环境中的现时值)。
(步骤402)PAC从MT接收MT_PAC_AUTHSTART_REQ，并通过向GAGW发送消息PAC_GAGW_AUTHSTART_REQ来请求GSM三元组，所述消息中也包括NAI和MT_RAND。
(步骤403)GAGW从本地GSM电信网络得到GSM三元组。一个三元组是足够的，但是GSM电信网络可能返回多个三元组，这种情况下，删除一些三元组或者将一些三元组储存以作将来之用，或者更有利的做法是使用所有这些三元组来产生更可靠的密钥。利用NAI识别本地GSM电信网络。
(步骤404)GAGW利用加密算法至少产生GSM会话密钥Kc中的K。有利的是，MT_RAND也被用于加密中。GAGW对GSM三元组进行加密，根据RAND和K计算加密校验和或消息验证码MAC，并准备验证开始响应消息GAGW_PAC_AUTHSTART_RESP。GAGW和PAC之间的加密基于它们自己的公用机密。
(步骤411)GAGW向PAC发送验证开始响应消息GAGW_PAC_AUTHSTART_RESP，其中包括RAND、MAC、MT_RAND、计费信息码以及为计费信息码计算的计费信息MAC。一般，验证开始响应消息另外还包括会话超时参数的字段，用于确定要产生的新K的有效时段；以及用于会话状态的字段。
(步骤412)PAC向MT转发验证开始响应消息GAGW_PAC_AUTHSTART_RESP，作为PAC_MT_AUTHSTART_RESP消息。
(步骤413)MT用SIGNrand测试GAGW_PAC_AUTHSTART_RESP和PAC_MT_AUTHSTART_RESP承载的参数确实是从GSM电信网络发起的。
(步骤414)MT处理它从GAGW收到的计费信息。一般，它向用户提供有关用户请求的业务的价格的信息。通常，这个价格是基于以下所述中的至少一个包价收费额、基于时间的计费、发送到MT或来自MT的数据分组数量以及业务质量QoS。MT接着询问用户是否应该利用给出的价格得到业务。MT从用户接收回答。
(步骤415)MT产生用于响应GAGW的SRES的MAC。
(步骤416)MT接着利用至少Kc产生访问机密Kpac_MT。
(步骤421)MT产生MT_PAC_AUTHANSWER_REQ消息并将该消息发送给PAC。消息在状态字段中包括用户表示用户是否接受业务的计费的回答、SRES的MAC、计费码的MAC以及MT_RAND(因为在验证会话期间发送了所有消息)。
(步骤422)PAC产生PAC_GAGW_AUTHANSWER_REQ，其中包括MT_PAC_AUTHANSWER_REQ消息的数据，并且另外还包括NAI以及PAC的IP地址。
(步骤423)GAGW测试SRES的MAC，以检验MT发送的PAC_GAGW_AUTHANSWER_REQ承载的数据没有被窜改。
(步骤424)如果GAGW对上一步骤的测试得到肯定回答，则它以与步骤416中MT所用的类似方式产生接入密钥Kpac_MT，然后进行到步骤431。
(步骤431)GAGW向PAC发送消息GAGW_PAC_AUTHANSWER_RESP_OK。该消息包括MT_RAND以及编码filter_id、Kpac_MT以及SIGNresult。filter_id码是可选的，并且表示用户的用户类别。该编码可被用于定义QoS，例如对付费更多的商业用户提供高质量连接。SIGNresult是消息中数据的MAC，用于最终向MT验证来自GAGW的应答没有在到MT的路上被改变。
(步骤441)PAC通过请求GAGW开始计费的PAC_GAGW_STARTBILLING_REQ消息响应GAGW。消息包括NAI和会话ID(MT_RAND)。
(步骤442)GAGW检查来自MT的回答，以检验MT已同意计费。
(步骤451)如果MT已同意计费，则GAGW向PAC发送消息GAGW_PAC_STARTBILLING_RESP_OK，已表示计费开始。
(步骤452)PAC向MT发送包括SIGNresult的PAC_MT_AUTHANSWER_RESP_OK消息。
(步骤453)MT接收PAC_MT_AUTHANSWER_RESP_OK消息并检查它包括的SIGNresult。如果SIGNresult正确，则MT能够通知用户计费开始。
至少利用Kc计算计费码的MAC，从而PAC无法窜改计费码。
在消息PAC_MT_AUTHANSWER_RESP_OK中，通知MT验证期限。MT在验证期限期满之前重新对其本身进行验证。如果它没有重新验证，则到PAC的MT连接被释放，同时MT能够再次验证它自己。
有利的是，MT接收计费信息并决定如何处理它。有利的是，MT的用户可以确定计费信息处理政策。可以使用该政策来定义例如在重新验证或正常验证的情况下，不向用户提供计费信息。计费信息的处理不影响不同实体(MT、PaC、GAGW、MSC和HLR)之间的消息传送协议。
图11a和11b一起形成表示验证期间PAC的功能的流程图。在此图中，所有框中除了那些标记了“MT”或“GAGW”的框，其余的都涉及到PAC。将按照各框的参考标号参考各框来对附图进行描述。
操作从框501开始。MT通过向PAC发送包含MT_RAND和NAI的MT_PAC_AUTHSTART_REQ消息从PAC请求验证，从而触发验证过程(框511)。PAC为MT映射(框512)IP地址MT_IP。PAC首先检查它是否已经具有为那个NAI映射的IP地址。如果它有，则它从数据库记录(框513)取回映射。否则它获取IP地址并将之和NAI一起储存在数据库中，以备将来之用。
在将IMSI与一个IP地址映射(框512)后，PAC在PAC_GAGW_AUTHSTART_REQ消息中将NAI中继(框514)到GAGW(框541)。GAGW通过GAGW_PAC_AUTHSTART_RESP消息进行响应(框542)，其中该消息包括将用作查询的随机数RAND。在框515中，PAC接收查询并将会话ID码SESSION_ID映射到MT_IP。接着，PAC通过将SESSION_ID和MT_IP以及IMSI一起储存来更新数据库记录(框516)。之后，PAC在PAC_MT_AUTHSTART_RESP消息中向MT发送(框517)查询RAND。MT接收(框502)该消息，产生并用MT_PAC_AUTHANSWER_REQ消息进行响应，该消息中包括对应于查询的加密校验和SIGN_SRES和查询本身。PAC接收SIGN_SRES并将之中继(框518)到GAGW，GAGW检查(框543)它是否是正确的。GAGW向PAC返回(框544)GAGW_PAC_AUTHANSWER_RESP消息，以通知PAC_SIGN_SRES是否正确。或者，GAGW可计算正确的SIGN_SRES并将之返回到PAC，使得PAC本身检验MT产生的SIGN_SRES是否正确。在任一情况下，PAC检验(框519)来自GAGW的响应并根据该响应决定(框520)下一动作。如果响应是肯定的，即成功的验证，则PAC进行到框523以开始计费。否则，执行进行到框521。在这里，NACK作为PAC_MT_AUTH_ANSWER_RESP_ERR发送给MT，以表示验证中的错误，并且从储存SESSION_ID的记录中将SESSION_ID去掉。
下面对涉及计费的步骤进行解释。在框523中，将消息PAC_GAGW_STARTBILLING_REQ发送到GAGW。消息通知GAGW将记到MT用户账号的费用添加到GSM发票中的可能性。GAGW接收(框547)该消息并用作为确认的消息GAGW_PAC_STARTBILLING_RESP作为回答。用PAC检验该消息，并且在否定而不是确定的情况下，PAC返回到框521。否则，(框526)向MT发送确认消息PAC_MT_AUTHSTART_OK，以确定可能计费的开始并且启动计时器。
在下一阶段，PAC保持为空闲并提供周期性计费更新。这些更新由记帐事件，比如数据分组的传输或接收进行触发。PAC可组合收费，并且只在某一时段之后或者在达到某个触发收费量之后，执行对应于所收集的总额的计费更新。当对事件计费时，PAC发送PAC_GAGW_UPDATEBILLING_REQ，以通知GAGW有关计费更新。GAGW接收(框547)该消息并通过收条消息GAGW_PAC_UPDATEBILLING_RESP来响应。PAC接收(框548)该收条并检查(框529)它是否是肯定的。如果收条是否定的，PAC阻止(框532)MT与WISP之间的数据分组传送，向GAGW发送计费停止，并向MT发送(框533)发送验证请求用于它的重新验证。另一方面，如果框529中的收条是肯定的，则PAC检查(框530)计时器，以检测会话超时。如果检测到超时，PAC继续阻止(框532)并如上所述进行。如果没有检测到超时，PAC操作返回到框527。
图12a到12d一起形成一个流程图，它表示在图7的系统中的验证期间GSM/GPRS验证和计费网关(GAGW)的功能。图11a和11b中示意的流程图说明了PAC的功能，这里将从GAGW的角度考虑相同的过程。过程从框601开始。PAC向GAGW发送包含IMSI和MT的域名(由SIM_B定义)的PAC_GAGW_AUTHSTART_REQ消息。GAGW检查(框611)是否已经对MT进行了验证。如果是，则停止(框613)验证有效计时器(稍后描述)并使用(框615)现有用户信息。否则，为IMSI识别的MT分配临时用户ID并且将用户的数据(IMSI和对应的用户ID)储存(框619)在数据库的记录中。
接着，开始(框621)MT验证。GAGW通过向最近的MSC681发送GAGW_MSC_DATA_REQ消息来从用户的归属GSM电信网络请求(框623)GSM三元组。MSC通过MSC_GAGW_DATA_RESP消息进行响应，该消息包括一个或多个GSM三元组以及有关MSC是否允许对用户使用PAC进行计费的附加信息。GAGW检验(框627)该响应。如果用户未被授权计费业务，或者，如果应答计时器终止(框625)，则GAGW向PAC(框602)发送(框629)验证错误消息GAGW_PAC_AUTHSTART_RESP_ERROR。相反，计时器没有终止并且对响应的检验是肯定的，则过程从框633继续。GAGW从数据库取回MT_RAND和至少一个与被验证的用户有关的GSM三元组。然后GAGW利用散列函数和所用的(各个)GSM三元组的Kc和RAND计算SIGNrand。某种数量的Kc用n*Kc表示。这里，星号并不表示乘法，它指的是不同值的参数Kc的数量。所有其它出现的星号都是如此。用点“.”而不是星号表示乘法。由于MSC一般提供一个到四个不同的GSM三元组来响应一个请求，因此在验证中可以使用一个或多个三元组。通过利用两个或多个三元组而不是一个得到增强的安全性，因为密钥更长并且重复使用相同密钥的循环周期提高了。它还使得形成的验证密钥的有效期限提高了。
在框637中，GAGW在GAGW_PAC_AUTHSTART_RESP消息中向PAC(框603)发送查询和它的SIGNrand。PAC用PAC_GAGW_AUTHANSWER_REQ消息进行响应，以表示用户是否愿意接受计费。GAGW检查(框641)该消息，并且如果它表示用户不接受计费，则GAGW将该响应储存(框643)，用于统计目的(框639)并向PAC发送GAGW_PAC_AUTHANSWER_RESP消息，以向PAC确认验证异常中断。统计目的包括收集有关多少用户已接受以及多少用户不接受计费的信息。该信息可以被用于优化连接的价格，以使WISP运营商和GSM电信网络运营商的利益最大化。
如果消息PAC_GAGW_AUTHANSWER_REQ表示用户愿意接受计费，则GAGW测试(框645)SIGNsres。这个测试通过利用MT知道的散列函数并利用相同的输入数据(MT_RAND，各个GSM三元组所有的Kc和RNAD)计算SIGNsres来执行，为了进行该测试，GAGW从数据库取回(框647)输入数据。下一步(框649)，GAGW测试SIGNsres是否确实正确。
如果SIGNsres是不正确的，则GAGW向PAC(框606)发送(框653)拒绝消息GAGW_PAC_AUTHANSWER_RESP_ERR。
如果SIGNsres正确，则GAGW准予MT接入并产生(框651)Kpac_MT。接着，GAGW向PAC(框607)发送(框655)消息GAGW_PAC_AUTHANSWER_RESP_OK表示接受接入。此外，GAGW产生(框657)特定PAC验证标签并将之储存(框663)。然后，GAGW更新(框659)数据库中的用户信息并储存包括Kpac_MT的用户数据。最后，GAGW启动(框661)验证有效计时器(也参考框613提及过)并开始(框667)记帐过程。验证有效计时器最好通过向数据库储存验证的流逝时间来实现。这样允许针对多个不同用户使用公共硬件(时钟)并通过比较当前时间和流逝时间可以容易地检测验证终止。
MT到WISP的接入费用被计入用户的GSM账号。当MT经验证连到WISP时，PAC开始收集计费信息。PAC维护连接时间和发送数据量的数据库。当MT断开连接时，PAC将此信息中继到GAGW。GAGW接着产生GSM呼叫详细记录(CDR)凭单并将之中继到从GSM得知的计费系统。
图13表示MT从网络受控地断开连接的主要信令步骤。断开连接的过程从MT选择(框711)它要断开连接开始。MT向PAC发送(框713)MT_PAC_DISCONNECT_REQ消息。PAC发送(框721)PAC_GAGW_STOPBILLING_REQ消息，请求GAGW停止计费。GAGW通过向PAC发送(框731)PAC_GAGW_STOPBILLING_RESP进行响应。最后，PAC发送PAC_MT_DISCONNECT_RESP消息来确认MT成功地断开连接。
在例示2中，负责验证终端的验证码实体的功能性位于网络层路由器中。或者，功能性是链路层部件，比如WLAN接入点，在这种情况下，MT和WLAN接入点之间的接口是基于链路层协议而不是IP的。
例示3
本发明的功能结构可以利用若干适当的协议来实现。但是，在此例中，MT和PAC之间的通信中采用了增强型式的因特网密钥交换(IKE，RFC2409)协议。远程认证拨号用户业务(RADIUS，RFC2138，RFC2139)协议被用于PAC和GAGW之间的通信。应注意，如果需要，PAC功能性可以集成在接入点服务器中。但是，通过将PAC功能性与接入点服务器分开，切换更容易实现，因此这种分开适合于包括多个接入点的装置。图14表示当MT和PAC之间使用被称为IKE+的增强IKE协议时，MT、PAC和GAGW之间的主要信令。
HDR是因特网安全联系和密钥管理协议(ISAKMP，RFC2409)信头，它的交换类型定义了净荷的排序。当写成HIDR*时，它表示净荷加密。SA是具有一个或多个提议和变换净荷的SA协商净荷。KE是密钥交换净荷。IDmt是MT的身份净荷。
现在将详细描述IKE+协议。
IKE+协议利用增强IKE机制。这种验证模式是RFC2409中定义的模式的扩展并涉及到Litvin M.，Shamir R.，Zegman T.在“IKE的混合验证模式”(draft-ietf-ipsec-isakmp-hybrid-auth-03.txt，December1999)中提议的模式。协议被设计为MT和PAC之间的双向验证，并在阶段1中利用GSM验证。交换不是对称的，不像RFC2409中的那些那样。相反，双方IKE协商者必须知道它们在哪里执行，因为它们与不同部件进行通信在一个链中，MT利用它所连接的SIM_B用于验证相关的功能，而PAC依赖于GSM电信网络中的验证服务器(GAGW)SIM_B<--->MT<------------>PAC<--------->GAGWMT和PAC之间的IKE协商利用标准ISAKMP净荷语法。其它消息没有相同的语法，并且是依赖于实现的。由于这种交换比RFC2409中定义的复杂得多，因此它只在IKE主模式中进行定义。以下参数被用于交换。它们包括在标准ISAKMP净荷中，如稍后所解释的。
IMSI从SIM卡读取IMSIMT_RAND MT产生的随机数RANDGAGW给出的随机数SIGNrand由GAGW用HMAC(Kc*n，RAND*n|MT_RAND|billinginfo)计算得到，其中HMAC是RFC2104中描述的HMAC模式中应用的RFC1321的MD5算法，而Kc是来自SIM卡的加密密钥。
SIGNsres由MT和GAGW用HMAC(Kc*n，SRES*n|IMSI|MT_RAND)计算得到，其中SRES是来自SIM卡的验证码。
Kpac_MT 由GAGW和MT用HMAC(Kc*n，RAND*n|IMSI|MT_RAND)计算得到。
这里，竖线“|”表示串连接，其中将两组数字连接在一起，例如123|4567＝1234567。
如下所示，因为验证的不对称性，交换容易受到MT和PAC之间的中间人的攻击而损坏。但是，如果在诸如无线LAN的媒体上应用交换，则这种主动攻击是困难的。GAGW只与它在安全信道上知道的PAC进行通信的事实进一步降低了这种攻击成功的可能性。
交换的安全性可以通过公共密钥技术增强，虽然它并没有去掉中间人攻击的威胁，但却保护了用户的IMSIMT可从PAC请求GAGW的证书，并利用其中的公共密钥对在Idmt净荷中发送的IMSI指进行加密。这样，只有MT和GAGW知道IMSI值，并且还可以用于验证到MT的PAC，这一点将在下面进行解释。
当ID净荷被用于承载MT的IMSI时，ISAKMP类属净荷信头中的ID类型字段被设置为ID_USER_FQDN。
以下值识别IKE对等方应该承担的角色。从RFC2409中定义的专用范围得到这些值，用于验证方法属性，并应该被用在相互允许的各方之中。类型 值解释----------------------------------------------------------GSMAuthInitMT 65100 MT发起的IKE协商GSMAuthInitPAC65101 PAC发起的IKE协商图14表示当MT是IKE协商的发起方时交换如何工作。
与正常IKE实践最值得注意的不同之处在于，只有前两个消息影响协商的IKE SA，最后的SA使用期将被设为由GAGW选择的会话超时值。开始的使用期被假定的长度足够使协商完成以及设置最后的值。
MT和PAC之间的接入密钥Kpac_MT通过SKEYID＝prf(g^xy，CKY-1|CKY-R)来产生。SKEYID_{a，d，e}的值根据SKEYID以通常方式进行计算。
如果GAGW能够识别IMSI，则它计算SIGNrand。为了将RAND和SINGrand发送给MT，PAC分别利用MT_RNND和散列净荷(HASH(1))。如果需要在单一消息中发送多于一个的RAND，它们可以在同一MT_RNND净荷中进行连接，或者可以发送多个MT_RNND。接收方可以容易地确定发送方的选择，因为GSM RAND的大小没有频繁地变化。如果IMSI检验失败，则PAC通过利用通知净荷将这种失败告知MT，通知净荷中的通知类型设置为INVALID-ID-IFORMATION(无效ID信息)。另一方面，取决于实现，可以在通知净荷中另外传递错误码。
GAGW还传递计费信息，PAC在通知净荷(NOTIFY)中将该计费信息转发给MT。通知净荷的状态码为BILLING_INFO，并使用来自专用范围的值32768。必须询问使用MT的人她是否接受提供的资费。如果她接受，或者如果预定计时器终止，则交换继续到消息7。否则MT向PAC发送通知类型ATTRIBUTES-NOT-SUPPORTED(属性不支持)的通知消息。MT应利用相对短的有效计时器，使得PAC中的协议机制将不会过分延迟。
MT计算SIGNsres，并将之在HASH(2)中发送给PAC，PAC又将之转发给GAGW进行检验。如果检验成功，则GAGW的响应消息包括MT和PAC之间稍后使用的接入密钥(Kpac_MT)以及用于MT与GAGW的会话的超时值。GAGW选择的超时值更新之前在IKE协商中达成一致的值。因此，PAC必须向MT发送更新了的IKESA。PAC不向MT发送Kpac_MT值，相反利用它对更新了的SA净荷进行加密。这被表示为<SA_b>Kpac_MT。来自GAGW的SIGNresult值被包装在HASH(3)中进行IKE传输。如果GAGW无法检验MT的身份，则PAC通过利用通知类型设置为AUTHENTICATION-FAILED(验证失败)的通知净荷将这种失败告知MT。
图15表示当PAC是发起方时对图14的过程的小修改。需要一个额外的消息，用于证书传递。PAC可在第一消息中包括GAGW的证书，但这时MT可以决定它是否需要证书。图15省去了GAGW以及没有变化的部分。
图16说明根据本发明的实施例的验证系统中的过程。验证使用可扩展验证协议(EAP)，该协议可从RFC 2284 “PPP可扩展验证协议(EAP)”(L.Blunk and J.Vollbrecht，March 1998)的得知。图16的实施例也可以与任何上述实施例进行组合。
EAP最初是点到点协议(PPP)验证结构，它使PPP客户能够用它的AAA服务器进行验证，接入点不需要知道验证方法的详细情况。
在此实施例中，PAC在MT和GAGW之间转发EAP分组，直到它从GAGW得到成功或失败的指示。
通过利用EAP，MT和HAAA需要知道验证方法的细节，但任何诸如PAC的中间验证方都不必知道。这样，EAP协议实际上是客户-AAA服务器协议，其中验证方是转发EAP分组的中继器，并不在意它们包括什么。PAC只对验证的结果感兴趣(成功或失败)。另外，产生会话密钥，作为验证过程的一部分，并且这个密钥可以被分配给PAC。
图16表示在成功SIM验证中传输的EAP分组。EAP验证以便从PAC向MT发出类型1(身份)的EAP请求开始。MT用EAP响应/身份应答，其中包括MT的身份。在漫游环境中，身份是网络接入标识符(NAI)。
在MT的EAP响应/身份分组之后，终端从HAAA接收类型GSMSIM的EAP请求，并发送相应的EAP响应。类型为GSMSIM的EAP分组还具有子类型字段。第一GSMSIM类型EAP请求是子类型开始。该分组包括HAAA支持的最小和最大的GSM SIM协议版本号。MT的响应(EAP请求/GSMSIM/开始)包括MT的版本号(它必须在EAAP支持的最小和最大版本之间)、MT的密钥使用期提议以及MT形成的随机数MT_RAND。所有后续EAP请求和响应分组包括与MT的EAP响应/GSMSIM/开始分组相同的版本。在接收了EAP响应/GSMSIM/开始之后，验证服务器从GSM网络得到n个GSM三元组并产生公用会话密钥K。
验证服务器发送的下一EAP请求是类型GSMSIM和子类型查询。它包括RAND查询、HAAA决定的密钥使用期以及查询和使用期的验证码。收到该消息后，MT在SIM卡上运行GSM验证算法并计算MAC_RAND验证码的副本。MT接着检验它算得的MAC_RAND等于收到的MAC_RAND。如果MAC_RAND不一致，则MT取消SIM验证。
如果所有都合格，MT用包含MT的响应MAC_SRES的EAP响应/GSMSIM/查询进行响应。HAAA验证MAC_SRES是正确的并发送EAP成功分组，表示验证成功。HAAA在它发送给PAC的消息中包括得到的会话密钥。
如果PAC是拨号服务器，可以通过PPP协议在MT和PAC之间传递EAP分组。也可以使用其它协议。例如，如果PAC是局域网(LAN)上验证方入口接入实体(PAE)，则还可以使用2000年11月29目的IEEE草案P802.1X/D9提议的LAN协议EAP封装(EAPOL)。
已经描述了本发明的特定实现和实施例。本领域的技术人员应该清楚，本发明不限于上述实施例的细节，它可以利用等效方法以其它实施例来实现，并不背离本发明的特征。例如，在一个实施例中，MT在物理上是独立于移动台具有SIM_B的单元。这样，MT形成到移动台的永久链路或临时链路，例如诸如蓝牙链路的低功率射频链路。在这种情况下，电信网络甚至不需要使用任何可分离的SIM进行验证。SIM功能可以用不可分离的方式集成到移动台中，例如，Ki或其等效参数可以被储存在移动台的非易失性存储器中。自然，移动决定可以与移动台相结合，从而移动台的验证功能可以由终端部分访问，不论移动台是否被设计为使用SIM。在另一实施例中，分组数据网是固定的分组数据网，例如LAN或广域网。在又一个实施例中，所发明的验证被用于验证到例如WWW入口或因特网银行业务等业务的移动节点。因此，本发明的范围只由所附的专利权利要求书进行限制。
缩写词/标号AAA 验证、授权和记帐FAAA 外地代理FAAA 外地验证、授权和记帐GAGW GSM验证网关GSM 全球移动通信系统GSM triplet RAND、Kc和SRESHA本地代理HAAA 本地验证、授权和记帐HDR 因特网安全联系和密钥管理协议(ISAKMP)信头，
它的交换类型定义净荷排序HLR 归属位置寄存器(GSM电信网络单元)IMSI国际移动用户是否，用于GSM中Ipsec 因特网协议安全协议ISAKMP 因特网安全联系和密钥管理协议Kc SIM产生的64比特长密钥Ki用户验证密钥，它被用于GSM中并储存在GSM电信网络(例如HLR)和SIM上MD5 消息摘要5MT 移动节点(移动IP客户)MSC 移动交换中心(GSM电信网络单元)MT 移动节点NAI 网络接入标识符，例如user@nokia.com或imsi@gsm.orgRAND在GSM验证中作为查询使用的128比特随机数MT_RAND MT产生的用于保护使不受重放攻击的随机密钥SIM 用户是否模块SPI 安全参数索引SRES签名响应，GSM验证中的32比特响应
权利要求
1.向分组数据网验证移动节点(MT)的验证方法，所述方法包括以下步骤为所述移动节点(MT)提供移动节点身份(IMSI)和公用机密(Ki)，所述公用机密(Ki)为所述移动节点身份所特有并可由电信网络使用；为所述移动节点提供保护码(MT_RAND)；从所述移动节点将所述移动节点身份(IMSI)和所述保护码(MT_RAND)发送到所述分组数据网；为所述分组数据网提供可由所述电信网络使用的验证信息(Kc，SRES，RAND)，所述验证信息包括查询(RAND)和会话机密(Kc，SRES)，所述会话机密对应于所述移动节点身份并可利用所述查询和所述公用机密(Ki)导出；至少利用所述保护码(MT_RAND)和所述会话机密(Kc，SRES)形成加密信息(SIGNrand)；从所述分组数据网将所述查询(RAND)和所述加密信息(SIGNrand)发送到所述移动节点(MT)；在所述移动节点利用所述查询(RAND)和所述公用机密(Ki)检查所述加密信息(SIGNrand)的有效性；在所述移动节点根据所述公用机密(Ki)生成对应于所述查询(RAND)的所述会话机密(Kc)和第一响应(SIGNsres)；将所述第一响应(SIGNsres)发送到所述分组数据网；以及检查所述第一响应(SIGNsres)来验证所述移动节点。
2.如权利要求1所述的方法，其特征在于还包括以下步骤为所述移动节点提供用于所述电信网络的用户身份(IMSI)；以及根据所述用户身份形成网络接入标识符(NAI)，作为所述移动节点的所述移动节点身份。
3.如权利要求1或2所述的方法，其特征在于还包括以下步骤直接根据所述移动节点身份(IMSI)在所述分组数据网识别所述电信网络。
4.如上述权利要求中的任何一项所述的方法，其特征在于还包括以下步骤至少根据所述一个会话机密(Kc，SRES)，为所述分组数据网提供公用会话密钥(K，Kpac_MT)。
5.如上述权利要求中的任何一项所述的方法，其特征在于还包括以下步骤在所述分组数据网和所述移动节点之间提供通信链路，用于它们之间所述查询的通信，所述通信链路不是所述电信网络的链路。
6.如上述权利要求中的任何一项所述的方法，其特征在于还包括以下步骤利用用户身份模块(SIM_B)为所述移动节点(MT)提供移动节点身份(IMSI)以及根据所述移动节点身份特有的公用机密(Ki)产生所述会话机密(Kc，SRES)。
7.如权利要求6所述的方法，其特征在于为所述移动节点(MT)提供所述移动节点身份(IMSI)以及所述移动节点身份特有的所述公用机密(Ki)的步骤还包括以下步骤在所述移动节点(MT)和用户身份模块(SIM_B)之间形成本地连接；以及所述移动节点从所述用户身份模块接收所述移动节点身份(IMSI)和所述移动节点身份特有的会话机密(Kc，SRES)。
8.如上述权利要求中的任何一项所述的方法，其特征在于还包括以下步骤通过所述电信网络得到第二响应(SRES)；以及在检查所述第一响应(SIGNsres)时利用所述第二响应。
9.如上述权利要求中的任何一项所述的方法，其特征在于还包括以下步骤从所述电信网络经所述分组数据网将所述查询(RAND)发送到所述移动节点(MT)。
10.如上述权利要求中的任何一项所述的方法，其特征在于所述保护码(MT_RAND)基于时间。
11.如上述权利要求中的任何一项所述的方法，其特征在于所述查询(RAND)基于所述电信网络的至少两个验证三元组的RAND码。
12.如上述权利要求中的任何一项所述的方法，其特征在于还包括为因特网密钥交换产生公用会话密钥(K)的步骤，其中所述公用会话密钥根据所述至少一个会话机密(Kc，SRES)和所述至少一个查询(RAND)。
13.移动节点中向分组数据网验证移动节点(MT)的验证方法，所述方法包括以下步骤为所述移动节点(MT)提供移动节点身份(IMSI)和公用机密(Ki)，所述公用机密(Ki)是所述移动节点身份所特有的并可由电信网络使用；为移动节点提供保护码(MT_RAND)；向所述分组数据网发送所述移动节点身份(IMSI)和所述保护码(MT_RAND)；从所述分组数据网接收查询(RAND)和加密信息(SIGNrand)；利用所述查询(RAND)和所述公用机密(Ki)检查所述加密信息(SIGNrand)的有效性；根据所述公用机密(Ki)生成会话机密(Kc，SRES)和对应于所述查询的第一响应(SIGNsres)；以及将所述第一响应(SIGNsres)发送到所述分组数据网。
14.用于在分组数据网和移动节点之间进行通信的方法，所述移动节点能够访问移动电信网络的用户身份，所述方法包括以下步骤为移动节点提供用于所述电信网络的用户身份；以及所述移动节点用所述用户身份形成网络接入标识符(NAI)，作为所述分组数据网使用的移动节点身份。
15.网关(GAGW)，所述网关作为连接分组数据网和能够访问验证服务器(HAAA)的电信网络之间的接口，所述网关包括输入端，用于从所述分组数据网接收移动节点身份(IMSI)和保护码(MT_RAND)；输出端，用于为验证服务器(HAAA)提供移动节点身份(IMSI)；输入端，用于从所述验证服务器(HAAA)接收对应于所述移动节点身份的查询(RAND)和会话机密(Kc，SRES)；第一处理器(CPU)，用于利用至少所述保护码(MT_RAND)和所述会话机密(Kc，SRES)形成加密信息(SIGNrand)；输出端，用于为所述分组数据网提供所述查询(RAND)和所述加密信息(SIGNrand)，以进一步传输到移动节点；输入端，用于根据所述用户身份(IMSI)特有的并且是所述移动节点和所述电信网络所知的公用机密(Ki)，经所述分组数据网从所述移动节点接收对应于所述查询的第一响应(SIGNsres)；以及第二处理器，用于检验所述第一响应(SIGNsres)，以验证所述移动节点。
16.网关(GAGW)，作为在分组数据网和能够访问验证服务器(HAAA)的电信网络之间的接口，所述网关包括第一输入端，用于从所述分组数据网接收网络接入标识符(NAI)；处理器，用于从所述网络接入标识符(NAI)形成适合用在所述电信网络中的用户身份(IMSI)；第一输出端，用于为所述电信网络提供所述用户身份(IMSI)；第一输入端，用于从所述验证服务器(HAAA)接收查询(RAND)和对应于所述查询(RAND)和所述用户身份(IMSI)的会话机密(Kc，SRES)；以及第二输出端，用于向所述分组数据网提供所述查询(RAND)。
17.通信系统，所述通信系统包括电信网络；分组数据网，它包括；移动节点(MT)；包括用于形成保护码(MT_RAND)的第一处理器；网关(GAGW)，用作所述分组数据网和所述电信网络之间的接口；用户身份模块(SIM_B)，可由所述移动节点(MT)访问，包括用户身份(IMSI)和公用机密(Ki)；验证服务器(HAAA)，用于所述电信网络，包括映射到所述用户身份(IMSI)的公用机密(Ki)；所述验证服务器(HAAA)能够接收所述用户身份(IMSI)，并响应于所述用户身份而返回查询(RAND)；所述网关(GAGW)包括第二处理器，用于根据所述保护码(MT_RAND)形成所述加密信息(SIGNrand)；所述移动节点(MT)能够从所述网关(GAGW)接收所述查询(RAND)和所述加密信息(SIGNrand)；并能够根据所述查询(RAND)和所述公用机密(Ki)为所述用户身份模块(SIM_B)提供所述查询(RAND)，以响应地接收第一响应(SIGNsres)；所述第一处理器还能够检验所述保护码，以向所述移动节点(MT)验证所述网关(GAGW)；以及第三处理器(CPU)，可由所述网关(GAGW)访问，用于检验所述第一响应(SIGNsres)，以验证所述移动节点(MT)。
18.通信系统，所述系统包括电信网络；分组数据网；具有移动节点身份(NAI)的移动节点IMT)；网关(GAGW)，用作所述分组数据网和所述电信网络之间的接口；用户身份模块(SIM_B)，可由所述移动节点(MT)访问，包括用户身份(IMSI)和公用机密(Ki)；验证服务器(HAAA)，用于所述电信网络，包括映射到所述用户身份(IMSI)的所述公用机密(Ki)；第一处理器(CPU)，可由所述网关访问，用于形成用于所述电信系统的所述移动节点身份(NAI)的所述用户身份(IMSI)；所述验证服务器(HAAA)能够接收所述用户身份(IMSI)，并响应于此而返回查询；所述用户身份模块(SIM_B)能够接收所述查询(RAND)，并响应于此而根据所述查询(RAND)和所述公用机密(Ki)形成第一响应(SIGNsres)；以及第二处理器(CPU)，可由所述网关(GAGW)访问，用于检验所述第一响应(SIGNsres)，以验证所述移动节点。
19.移动节点(MT)，它包括用户身份模块(SIM_B)，它具有用于向电信网络标识所述用户的用户身份(IMSI)和公用机密(Ki)，所述公用机密(Ki)是所述用户身份模块(SIM_B)所特有并且是可由所述电信网络访问的验证服务器(HAAA)所知道的；处理器(MPU)，用于根据所述用户身份形成移动节点身份(NAI)；以及通信模块(RF1)，用于与分组数据网进行通信，能够向所述分组数据网发送所述移动节点身份(NAI)，并能够从所述分组数据网接收作为响应的查询(SIGNrand)；其中所述用户身份模块能够根据所述公用机密(Ki)形成对应于所述查询(SIGNrand)的第一响应(SIGNsres)。
20.计算机程序产品，用于控制移动节点向分组数据网验证所述移动节点，它包括计算机可执行代码，使所述移动节点能够得到移动节点身份(IMSI)和所述移动节点身份所特有并可由电信网络使用的公用机密(Ki)；计算机可执行代码，使所述移动节点能够得到保护码(MT_RAND)；计算机可执行代码，使所述移动节点能够向所述分组数据网发送所述移动节点身份(IMSI)和所述保护码(MT_RAND)；计算机可执行代码，使所述移动节点能够从所述分组数据网接收查询(RAND)和加密信息(SIGNrand)；计算机可执行代码，使所述移动节点能够利用所述查询(RAND)和所述公用机密(Ki)检查所述加密信息(SIGNrand)的有效性；计算机可执行代码，使所述移动节点能够根据所述公用机密(Ki)产生会话机密(Kc，SRES)和对应于所述查询(RAND)的第一响应(SIGNsres)；以及计算机可执行代码，使移动节点能够向所述分组数据网发送所述第一响应(SIGNsres)。
21.用于控制移动节点与分组数据网通信的计算机程序产品，移动节点能够访问可由电信网络使用的用户身份，所述计算机程序产品包括计算机可执行代码，使所述移动节点能够为移动节点提供所述用户身份(IMSI)；以及计算机可执行代码，使所述移动节点能够用所述用户身份形成网络接入标识符(NAI)，作为由所述分组数据网使用的移动节点身份。
22.存储媒体，它包括根据权利要求20或21的计算机程序产品。
全文摘要
用于向分组数据网验证移动节点的验证方法，其中通过利用移动节点和电信网络验证中心的公用机密来配置移动节点和分组数据网的公用机密。在此方法中，移动节点将其用户身份以及重放攻击保护码发送给分组数据网。分组数据网获得验证三元码，利用它们形成会话密钥并将利用该会话密钥得到的查询和加密验证符发送回移动节点。移动节点接着可以利用查询形成其余的验证三元码并接着形成会话密钥。利用该会话密钥，移动节点可以检查加密验证符的有效性。如果验证符正确，移动节点发送利用会话密钥形成的加密响应到分组数据码，用于向分组数据网验证其本身。
文档编号H04L29/06GK1430835SQ01810146
公开日2003年7月16日 申请日期2001年1月8日 优先权日2000年3月31日
发明者H·哈维里宁, J·－P·洪卡宁, A·奎卡, N·阿索坎, P·弗利克特, J·阿拉-劳里拉, J·林内马尔, T·塔卡梅基, R·沃纳拉, J·－E·埃克贝里, T·米科宁, P·阿尔托, S·洪卡宁 申请人:诺基亚有限公司