专利名称:向可移除用户身份模块提供多媒体系统安全的制作方法
向可移除用户身^^提供多^系统^db狄领域本发明""^涉;sit信系统,并jx其涉;sjL^t信系统。 背景絲近年i^r窝网络的安全已^i^t^来,大部分归因于用户对无线业务需求的增长,例:io^i信、数^t信^IN^电话的多旨业务。密g 字i^iit可以在例如第二代(2G)无Mit信系统的数字通信系统中实现,以#业务提^"免于对wn网络的盗用并向用户提鄉密。例如,美国电信工业协会(TIA)、美国电子工业i^(EIA)和其它已经开发的64位^^方案,称为 ANSITIA/EIA"41。 TIA/EIA41安^^方案在归4^汪中心(例如,归#置寄 存器/fet中心,HLR/AuC)和用户身^* (UIM)之间提供相互綠,该 用户身份^^例如是可移除身皿块(R-UIM),典型Ak^—张可以插入到移动 壳体中的卡片,或^UIM。在1TA/EIA41安全方案中,械密钥,例如被称为A-KEY的64位随机 密钥,预^^^HLR/AuC和R-UIM中的受,数据库。^"密钥可以用于 确保HLR/AuC和R-UIM之间的无线敏^。例如,M密钥可以用于产生临时 的第二密铜(称为共用加密数据,SSD,密钥).那么该系统可以通过向R-UIM 提供随她(RAND)启动全局询问棘,R-UIM计算一4^的数字签名 AUTHR=/(RAND, SSD一A, ESN, AUTH一DATA), 其中/ ()是称为CAVE的标碓化函数,SSD—A是SSD密钥的^^*, ESN是与R-UIM有关的电子序列号,而AUTH一DATA基于移动单元的移动验 证号(MIN)生成。R-UlM向系统(例如HLR/AuC)提供AUTHR数字签名, 该系统可以基^AUTHR数字签名^iitR-UIM. R-UIM和HLR/AuC 5£可 以计算另外的密钥,例如64位信令消息密钥(SMEKEY)和520位^^t 1^码(VPM),其可用作种子来产生^M^^码(PLCM),与可以由移动i殳 备的〃^p电子序列号(ESN)产生的公共"J^^刷目l第二代无线通信系统和网络正在被依据第三代(3G)无线通信标准,例如由第三代移动通信合作计划(3GPP)定义的用于UMTS的无线通信标准和由第三代移动通信合作计划2(3GPP)定义的用于CDMA的无线通信标准运行的无线通信系统和网络所取代。例如,(3GPP)33.203和(3GPP)SR0086规范定义了互联网协议(IP)多媒体子系统(IMS),其定义了使用称会话发起协议(SIP)的信令协议的标准。该SIP可用于支持通过空中接口提供给移动单位的各种多媒体业务。示例性的IMS业务包括互联网会议。互联网电话,视频电话,时间通知,即时信息等等。 第三代无线通信标准需要相互验证的鉴权与密钥符合 (AKA) 安全协议。例如,3GPP 33.203和3GPP2 S.R0086标准定义了AKA安全协议在 IP多媒体用户实体(UE)和IMS网络的第一入口节点,例如代理呼叫控制功能实体(P-CSCF)之间建立安全关联的IMS安全协议。那么该网络和UE可以使用存储在和/或由归属用户服务器(HSS )、认证,鉴权和计费服务器(AAA) 和/或服务器呼叫会话控制实体 (MSCF)产生的信息进行相互验证。使用第二代R-UIM卡的用户可能想要直接或4全部由第三代技术提供的额外业务。例如,用户可以购买支持依据IMS协议提供的多媒体业务的移动单元、然而 第二代 R-UIM卡不支持AKA安全协议,而第三代网络不能与第二代R-UIM相互验证。结果,即使包含第二代R-UIM卡的移动单元可能支持 IMS功能,用户也将不能使用由IMS 协议定义的业务。用户还可能不愿意丟弃他们的R-UIM卡并以与3G兼容的卡替换它们,其可能缓解被第三代技术允许的多媒体业务的采用和执行。
发明内容
本发明致力于解决上述提出的一个或多个问题的影响。下面提出本发明的简要概述以提供对本发明的某些方面的基本理解。这个概述不是 本发明的详尽总括,该概述不试图识别本发明的主要或决定性的部件,或界定本发明的范围。唯一的目的是以简化形势提出某些概念作为稍后讨论的更加详细的说明的前奏。 在本发明的一个实施例中,提供一种用于验证至少一个用户身份模块和无线通信系统的一个入口节点的方法。该方法可以包括从入口节点接受依据至少第一^^H^议形成的至少第一询问,Wi据不同于该第一^HH义的至少一第 ^^#议,基于该第一询问形成至少一个第二询问。该方法还可以包括向用 户身^^^提供该第二询问。^M^发明的另一个实施例中,提^"种用于B与至少一个移动单元有关的至少一个用户身,夹的方法。该方法可以包^J该移动单; y^^l据至少 一个第一^H^议形成的至少一个第一询问,并接 ^于由该用户身份^^提 供给该移动单元的至少一个第二响应形成的至少一个第一响应。该第二响应可以依据不同于该第一^H^议的至少一第^^H义,基于第一询问形成。该方法还可以包括基于该第一响应jmi该用户身#^夹。可以参考下^合附图的描i^f本发明,其中相同的标号表示相同的元件,且其中图lfe舍l^示出依据本发明的无^t信系统的一^N^例性的实施例;图2相L舍1^示出依据本发明的一封在用户身⑩央(UIM)和第一入口 节点之间进粉目5JmE的方法的示例性实施例的第"^P分,以及图3相L仓^^示出依据^明的一种在用户身,夹(UIM)和第一入口 节点^J司进粉目5JiHt的方法的示例性实施例的第二部分。虽然本发明允许有不同的修姊可选賴形式,但是其中的特定实施例已 ^附图中示僻ti^示并^b详细描^0然而应当衝醉,jtb^J"特定实施例 的描^是^#械明限制^^的特定形式中,W目反,期^il所有落 入由所附;M,溪求书定义的^L明的,和范围内的修改、等Wb和可替换形 式。牀实财式下面将描id^发明的示意性实施例,为了清楚,本说朋书中没有描述实际实财式中的所有特征.当然应当清楚在^r赠实际实施例的开发中,应当做出许多特定实财式的^^完成开iCA员的特定目标,例械守相关系统絲关事务的约束,该约絲不同实财式中不同。而且,##楚这种开发努 力可食l^l杂又费时的,但狄于得益于本发明所^^的内容的賴域"fit技术人员来说不过是日常的任务。根据软件或在计算机存储器中对数据比特进行操作的算法和符号表示呈现 本发明的一部分和相应的详细描述。那些本领域普通技术人员通过这些描述和陈述可以有效地将他伞兵工作的裨传达给其它的本领域普通技术人员。算法,作为在此使用的术语,如其通常使用的那样,是指达到一个期望结果的各步骤 的自身一致的顺序。这些步骤需要对物理量进行物理操作。通常但是非必要, 这些量采用光、电、磁信号的形式,可以进行存储、传送、组合、比较和其它操作。已经证明,有时主要因为通常的用途,把这些信号表示为比特、值、元件、符号、特性、条件、数字等等是方便的。然而头脑中应当当想到,所有这些和类似的术语都与适当的物理量有关,并且仅仅是就用于这些量的方便标识。除非另夕卜特别声明,或者从讨论中明确得出,诸如'处理"或"用计算机计算"或"计算"或"确定"或"显示"等等的术语,涉及对计算机系统或类似电子计算设备的动作和处理,其处理并将在计胁系统 的寄存器和,器内表示为物理的、电子的量的数据转换为表示为在计臬机系统存储器或寄存器或其它这样的信息储存、传送或显示设备中的物理量的其它 相似的数据。还应当注意,本发明的软件实现方面典型地是以某种程序存储媒质的形式编码或在某种类型的传皿质上实现.程序存储媒质可以是磁的(例如软盘或硬盘)或光学的(例如光盘只读存储器,或"CDROM"),也可以AX读或随机 存取的,类似地,传皿质可以是^线、同轴电缆、光纤、或某些本领哉公知的其它合适的传输媒质。本发明不受任何给出的实现方式的这些方面的限制。现将参考附图对本发明进行介绍,仅为了解释的目的在附图中示性地对各种结构、系统和设备进描述,并不使用本领域技术人员公知的细节来模糊本发明。然而,附图用于描述并解释械明的示例性举例。此处使用的词和 短语应当被理解和解释为与相关领哉技术人员对那些词和短语的理解—致。没 有对术语或短语的特殊定义,也就是说,与本领域技术人员理解的通常和习惯 的意思不同的定义,则意味在比沿用该术语或短语的惯用用法。就希望术语 或短语提供特定意思来说,也就是说,与本领域技术人员的意思不同的意 思,这样的定义将在说明书中以直接明了地为术语或短语提供特殊定义的确定 的方式提出。
图1概念,示出无线通信系统100的一个示例性的实施例。在该示例'性 的实施例中,无^it信系统100可以^l第三^X^it信协议,例如在ANSI TIA/EIA/IS"2000标准中^U^^多址(CDMA)协议提供无^i^接。然而, ;M^域才i^A员应当清^^发明不限于依据CDMA ijHXi^f亍的无^ii信系统 100。在可替换的实施例中,可以^^Hi^r无^it信协议提供无^i^接。jft^卜, 在某些实施例中,无线通信系统100可以包括(或连接到) 一个或多个有^it 信系统。图1所示的无线通信系统100可以向一个或多^动单元105 (1-3 )提供 无^i^接。为了清楚,jH^在"^l^移动单元105时标号(1-3 ) ^!'略。然 而,在单W^移动单元105或移动单元105的子集时可以^^l标号(1-3)。 关于在共享同一附图樹己的各部件之间进行区分时的其它标号可以使用同样的方式。移动单元105可以是"1^r类型的移动单元,^4t^限于,蜂窝电话105 (1)、个A^:据助理105 (2)和台式电脑105 (3)。然而,得益于本发明的本 领域"fit技^A员应当清楚本发明不限于这些移动单元105的特殊示例,在可 替换的实施例中可以^^)其它类型的移动单元105。4^域"fii!M^员还应当 清楚可以使用其它术语彬'J该移动单元105,例如移动壳体、用户设备、用户终 端、接A^f端等等.用户可以提供用户身^j^ 110 (1-3 ),包括表絲用户的信息和可用于向 该无^ii信系统100校^i亥用户身洲信息。在示例性的实施例中,该用户身 > ^110是可移1^用户身>^^ (R-UIM) 110, ^f^第^r^线电信标 准如TIA/EIA-41标# ANSI TIA/EIA/IS"2000标0#^行。用户身^^ 110 可以包括用于与无^it信系统100 t^i接的一个或多个密钥。例如,用 户身份110可以^-个都^^y^的称为A-KEY的64位PdDML因此, 用户身^^块110可以支持在ANSITIA/EIA/I^2000和ANSITIA/EIA"41中定 义的2G棘内容,^feA-KEY、由A-KEY引申出的例如SSD"A和SSD-B、 加密錄CAVE、和处理2G^ii请求的能力,像全局询问、唯4问、以及 例如产生例如SMEKEY^f^^码(PLCM)的M密钥。移动单元105可以通过空中接口 115 (1-3)与^il信系统100 lti—个 或多个无^it信^。空中接口 115可以鄉动单元105和无^t信系统的笫 一入口节点120相连接。在示例性的实施例中,第一入口节点是^3S呼叫M控制功能实似P-CSCF )120,其通信^M^到询问CSCF(I-CSCF )125。I-CSCF 125可以通信;hk^^到服务器CSCF (S^CSCF) 130和归属订户月艮务器(HSS) 135,归属订户月艮务器(HSS) 135可以通信iik^^到归^i置寄存器(HLR) 和/^^L中心(AuC)140。 P國CSCF120、 I-CSCF125、 S^CSCF130、 HSS 135 和HLR/AuC140都;U^^/^p的,为了清楚,jth^lf(5L^it些辦与本发明 相关的辦方面进^i一步的描述。而且,受益于本发明的辆域"fit^^A 员应当清楚,在可替换的实施例中,第一入口节点120可以^^到更多、更少 和/或无^ii信网络100的不同部件。无^it信网络100提#"-个或多个^#议,可用于相5Jmi无^it信网 络100和通信^^到该无^ii信网络100上的设备。在示例性的实施例中, P-CSCF120为无线通信网络100驺iE用户设备。例如,P-CSCF 120可以4^ ^K^密钥符合(AKA)^H^议提供相X^在一个实施例中,P-CSCF120系统(IMS)妙,上蹄准规定了女^T对用户设备和第一入口节点之间的SIP然而,用户身^^:ll(HM的^^议可能与无^i信系统100,特别是 P-CSCF120lW^^H^议不同。从而,移动单元105能够将M^it信系统 100 M到的鉴权信息游换为用户身皿块110可以用iMt无^t信系统100 进行離的形式。移动单元105还能够将賴户身^^110^^的^^信4#^^^1信系统100可以用树用户身#^110进行棘的形式。在一个实施例中,移动单元105可以将从P"CSCF120^:的基于IP的SIP信令 中的^*1询问内^#^可以提#^用户身^^110的2G^K请求。移动单 元105还可以将^户身^MI^ 110 ^t的响应重新打^ SIP信^HHt过 FCSCF 120 EVES网络。移动单元105还可以^^I从用户身,块110"^t的^密钥产生额外的^密钥用于IMSHSS135可以访问与用户身>(^块110有关的a信息,并#^信息用于向 无^t信系统100a^该用户身^^:110。在一个实施例中,HSS135访问与 ^!t在HLR140中的用户身^^l块110有关的^^信息.例如,HSS135可以 实^fe^于SS7的IS"41接口 ,支持IS"41事务,如^ K请求(AUTHREQ )事 务,其可以连接到HLR/AuC 140。该HLR/AuC 140可以将HSS135看作IS^41140可以看成VLR。 HSS135还可以依据EMS ^hh义使用由HLR/AuC 140狄的絲密钥来产生絲密钥。在一个实施例中,用户的IMS标识可以与预订的标3只绑定以防止攻击者加 入一^Ht常的CDMA业^NH吏用受害者的EMS标iPJi行SIP注册,从而可以 为EMS业务对受害者的预订收费。例如,用户的IP多W^餘〖只(EVDPI)因此游动单元105可以由如3GPP TS 23.003中的13J和13.4中描述的IMSI lti IMPI和IMPU。移动单元105可以把EMPI和IMPU发i^U'J S"CSCF 130 和HSS135。 HSS135可以由歴PI和IMPU得到IMSI。这个得到的BMSI可 以包括在AUTHEREQ中并由HLR/AuC 140 。如果试图替^feJbt, AUTHR的^M^^JL在某些实施例中,无^ii信系统100可以以HTTP M的形式提供^^询 问,如下所t然后移动单元110可以提^(^i密钥(如SMEKEY)产生的 HTTP^J^应作为口令。这个方法可以有助于防止攻击者通过^^^JL^it 信系统100M的RAND的值^ti^止置换攻击,向受害者移动单元110发j^i 寻呼消息,并M^多动单元110 # ^寻呼响应中需要的AUTHR。将I2LjL攻絲 收^^^受害者的IMS4^^入需要的所有信息,因为攻击者将不具有来自全 局询问^L的衍生物,如SMEKEY密码,因为这种信息不通过空中传输。因4某些实施例中,移动单元105可以^Lg&置为依据3GPPTS23.003或 勤gUt程由EVSI生成IMPI和IMPU。移动单元105可以使用HTTP ^J^询 问的32 LSB作为全局RAND将CDMA2000全局询问鉴权请^C麟用户身 110。移动单元105可以将HTTP "^^或"cnonce,"的值iSj:为^^靠 近的/Mi^^iEii^(24H^)財6个0的AUTHR, ^8頓>^户身^^: 110 #^的SMEKEY作为HTTP M密码iMt过^1为HTTP ^!HHS(X^ 的MD5或SHA-l算^i十算HTTP^I^)应,在一个实施例中,移动单元105 可以根椐由用户身,块110 M的SMEKEY和PLCM计算密码密钥(CK) 和/或完塾性密钥(IK),这些密#完整性密钥可以进一步用于狱移动单元 和P-CSCF之间的后续SIP信令。无线通信系统100还可以支持HTTP^功能。在一个实施例中,S^CSCF 135可以将多^MH^请求(MAR)命賴SIP-Au也-Data-Item AVP 在Cx:Diameter接口,该接口^f HTTP^^或" nonce"的32 ^(i^f^"效位的 ^i值和HTTP摘要"cnonce"的值,其表示上述定义的R-UEM鉴权响应 AUTHR。 HSS 135能够依据3GPP TS 33.003或剿k滩序从EMPI和IMPU得 到IMSI。 HSS 135还能够通过4^I作为RAND的32位MSB和使用作为 AUTHR的剩余的24比特的18位MSB对SIP-Auth-Data-Item AVP进行分 解。HSS 135可以使用HTTP絲询问的32位LSB作为全局RAND,从IMPI 和IMPU得到的IMSI和>^^多动单元105 ^S'〗的AUTHR,将SS7 IS^41 <^ 请求AUTHREQ传递到与IMSI有关的HLR/AuC 140。 HSS 135可以将从 HLR/AuC 140 M的SMEKEY ilf^ IS^41 authreq (^5L请^il回结果)消 息中的SMEKEY设置为HTTP M密码并将它在Cx: Diameter接口上以多 :^fM^K-回答(MAA)命械回给S《SCF135,在一个实施例中,HSS 135 可以根据从HLR/AuC 140 ^J)t的SMEKEY和PLCM计算CK和IK,并在 MAA命令中将它返回到S"CSCF 135。图2概念性示出—在用户身維块(UIM)和第一入口节点之间进粉目 XiHt的方法的示例性实施例的第一部分200。在示意性的实施例中,第一入口 节,吝oiP"CSCF,例如Jiii的P-CSCF 120。用户设备(UE)通过向P《SCF 发送注册消息狄EMS业务注册,如箭头205所指。该注册消息4^C转发到 I-CSCF, M头210所指。然后I-CSCF接AJ!] HSS以请拟旨^当S-CSCF 的位置的信息,HSS敝樣岜炎條I"CSCF,如双箭头215所指。I-CSCF 将注贿綠條S^CSCF,錄头220所指。S"CSOM^由P《SCF提供的信息形^K询问(在225)。在一个替换 的实施例中,提^S"CSCF的消息中可以^"也可以不^/^表示与用户身份 模块(UIM )有关的EMPI和/或EMPU的信息,如果W:的消息中不包舍表示 IMPI的信息,S"CSCF可以^! CHALLENGE形成HTTP摘要(在225)。如果M的消息中包含表示IMPI的信息,S"CSCF可以访问存储在HSS 中的鉴权信息,然后^)随:Wt CHALLENGE和从HSS找回的信息形成 HTTP摘要(在225)。在一个实施例中,S-CSCF还可以对包含在狄的消息的安4H^议。例如,S^CSCF可以确定UIM支持基于CAVE的g而不iU^全 EMS狄然而,得益于械明的棉域"fit^^A员应当清^^L明不限于 在S《SCF完^Jiii步骤,在替换的实施例中,可以在无^it信系统的其它位 置胁一个或多个Jii^任务。包含CHALLENGE值的HTTP摘要请求可以合并到经过I-CSCF和 P-CSCF提HJE的一个或多个消息中,肖头230, 235, 240所指。然后 UE依据不同的安4H^议将M到的询问转换为新的询问(在245)。例如,UE 可以从HTTP摘要请求^ CHALLENGE值,CHALLENGE的32 ^^f絲效位作为可以依据T1A/EIA41安^HH^作询问的全局RAND。将 该全局RAND作为用于^^寻呼响应的全局询问发ilU'J UEM,如箭头250 所指。然后UIM可以基于从UE M到的询问计算一个或多个^密钥(在 255 )。在一个实施例中,UIM计算数字签名AUTHR, PLCM和SMEKEY (在 255 )。 UIM ^f捐包括始密钥的计算的参数形成响应(在255 ),并将该响应返 回给UE,如箭头260所指。UE基于从UIM M的响应形成^JHl应(在265 )。 例如,UE可以使用SMEKEY、 IMPI和全HTTP M CHALLENGE形成 HTTP ^^J应(在265 )。在一个实施例中,如果需要UE"to-P-CSCF的妙, UE还可以计^^密钥,CK=K SMEKEY, PLCM, "CK"沐IK=f( S鹿KEY, PLCM, "IK"),处"r表示^^T^it的伪胁函数,例如HMAC, EHMAC 等等。图3概念l^示出-"^在用户身,块(UIM)和第一入口节点之间进行 相5J3^iit的方法的示例性实施例的第二部分300,在示意性的实施例中,UE向 P"CSCF提^Nj应于从UIM^^的信息而形成的(在图2的265)响应,* 头305所指,例如,UE可以提供HTTP^I^应,和其它# RAM) ^#字 签名AUTHR的信息(在305),然后P~CSCF向I-CSCF进而向S^CSCF (如 Ji^斤述,使用由HSS提供的信息)提供&^由UE提供的信息的一个或多个消 息,如箭头310, 315, 320所指。例如,UE可以向P《SCF发送包含HTTP 4ly^I应的SM7消息(在305), P-CSCF^Ht信息在消息SM8和SM9中转发 给S-CSCF (在310, 315, 320)。^1t^来自UE的信息,S^CSCF形成^^^K信息的消息,例如由UE提 供的"3^K信息或其它可以^^由UE提供的^5L信息形成的信息。例如,S-CSCF可以使用CHALLENGE的32位LSB或nonce RAND的值,使用cnonce "l^l数字签名AUTHR的值,连接RAND和AUTHR,并在Cx:多^fM^K -请求(MAR)消息中i组适当的域。然后S"CSCr可以向HSS提供^(5L信息, 如箭头325所指。例如,S-CSCF可以向HSS提供MAR消息(在325)。在一 个实施例中,与UE有关的IMPI和IMPU^MAR消息中发送。HSS <^由S^CSCF提供的信息产生可以用U1M的额夕Ht息。在示 例性的实施例中,HSS从提供的IMPI和IMPU^lllMSI^H^1 IMSI,RAND ^L字签名AUTHR产生授权请求,例如IS"41 AUTHREQ。 HSS向HLR/AuC 提供可以用于^UIM的信息,錄头330所指。那么HLR/AuC可以确认由 HSS提供的该信息(在335),例如HLR/AuC可以确认数字签名AUTHR (在 335 )。如果该HLR/AuC成功确认由HSS提供的该信息(在335),该HLR/AuC 使用由HSS提供的信息计算一个或多^K^密钥,例如SMEKEY和PLCM, 并彬亥絲密钥提條HSS,錄头340所指。HSS向&CSCF提供由HLR/AuC M的部分或4^P信息,M头345所 指。在示例性实施例中,HSS向S"CSCF返回一个或多个密钥,例如SMEKEY 和PLCM (在345 ),其可以4^1 一个或多个密钥作为用于HTTP摘要的密码。 ^ S"CSCF可以确认由UE提供的资格(在350 )。例如,&CSCF可以4M SMEKEY作为M密,认该HTTP^J^I应(在350).如果S-CSCF成功 确认该,(在350 ),那么S-CSCF向UE提供消息4旨示鉴k已M功,从而 Wt无^ii信网络中的UIM,崎头355, 360, 365, 370所指。例如,S^CSCF 可以在消息SM10和SMU中向P-CSCF发送^K消息(2xxAirth一OK)。然后 P"CSCF可以在SM12中将Au也一OK消4#发到UE。在一个实施例中,&CSCF 计算一个或多^l"密钥,例如密码密钥(CK)、完整性密钥(IK)辨,例 如,可用4M SMEKEY和PLCM形成CK和IK,该^密钥还可以使用消 息355, 360, 3654l:^UE,Jiii/iHp的絲实施伞Hsbi示意性的,因为:^于jH^:导的;Mi5域^A 员清楚可以翻不同但等偶方iC^械明进^f务錄实践。而且,不希望限 制在jH^t公开的及下iy5U,J^求书中描述的结构或设计的细节中。所以显然上 ii/JHf"的^^实;^例可以ii^^^l或修改,而所有这些^都^^发明的范 围^NNt中。从而jH^t要求的狱如下i^,J^求书中所指出.
权利要求
1、一种在至少一个用户身份模块和无线通信系统的一个入口节点进行验证的方法,包括;从所述入口节点接收依据至少第一安全协议形成的至少第一询问;依据不同于所述第一安全协议的至少第二安全协议形成基于所述第一询问的至少第二询问;以及向所述用户身份模块提供所述第二询问。
2、 拟'J^求1的方法,其中^^依据第一^HH义形成的第一询问&^,询问,并且其中基于笫一询问形^二询问包^l据TTA/EIA-41安^tH义^^J 所i^4问的32 ^ft^4^"效位的nonce。
3、 ^U,JJNU的方法,包拾响应于所鄉二询问,A^斤述用户身份^:^l^一响应,其中# 1^斤述 第一响应^^t数字签名、信令消息密钥M用"j^^码中的至少一个; 基于所述信令消息密钥W^"^^码中的至少一^成至少一个密钥;以及基于所^一询问、信令消息密钥、M标识、第二询问^lt字签名中的 至少一,成第二响应,其中形成所ii^二响应包括基于所^一询问、信令 消息密钥^H^标识中的至少一个形成HTTP *^)应。
4、 ;J5U'J^"求3的方法,^t^所^口节点提供所i^二响应。
5、 ;M'漆求4的方法,^i^I应于提供所i^二响应y^斤i^口节点狄 第三响应并基于所ii^三响应向所^口节点Jm^斤述用户身皿夹。
6、 一种Wt与至少一^^动单元有关的用户身^^的方法, 向所i^动单it^^l据至少第一^H3W^成的至少第^问; "^^于由所述用户身份^^提^^所^动单元的至少第二响应形成的至少笫一响应,所^二响应依提不同于所i^一^H^议的第^^HH^ 于所鄉一询问形成;以及基于所i^一响应IH^斤i^J户身>( ^。
7、 ?M'J^求6的方法,包^i据所i^一^HH义形^一询问,其中形成所絲一询问包^l据HTTP^"协议形成HTTP摘要询问,并且其中形成 所it^一询问包括确狄否已经^t一^N^标识并响应于确定已经接Jl^斤述 械#^尸^归属订户服务器获^^信息。
8、 ;M,J^求6的方法,其中^^一响应包括至少之一 接峰于由所述用户身份^^据TTA/EIA41安^H^议形成的第二响应而形成的所ii^一响应;接》|^4示第一询问、信令消息加密密钥、M标识、基于所i^一询问形 成的第二询问和A^斤述用户身份^^接收的数字签名中的至少一个的信息;以及^^t&于所^一询问、信令消息加密密钥Jfp^"标识中的至少一个而形 成的HTTP^^J应。
9、 ^Uf'溪求6的方法,其中m^斤i^户身^^包躺归絲置寄存器 和鉴权中心中的至少一个提^!HiE请求,其中提供所i^ii请求包^l^fM 用户标识、基于所絲-^问形成的第二询问和>^斤^户身^^接收的数 字签名中的至少一个而形成的IHiE请求。
10、 ;M'J^求9的方法,包^^JiHt请求响应,其中^^斤i^HE请求响应包:^收包括指示信令消息加密密钥^r^^码中至少之一的信息的mst请求响应,并且其中IH^斤述用户身^^j^包^^^所述信令消息加密密钥m^斤述用户身,块,还包括基于信令消息加密密钥^r^^码中至少之一产生至少一个密钥,并响应于5H^斤述用户身^^而提^-个消息以指出所述用户身>{ 夹已^£。
全文摘要
本发明提供一种向无线通信系统的一个入口节点验证用户身份模块的方法。该方法可以包括从该入口节点接收依据第一安全协议形成的第一询问,并依据不同于该第一安全协议的第二安全协议形成基于该第一询问的第二询问。该方法还可以包括向该用户身份模块提供该第二询问。
文档编号H04L29/06GK101248643SQ200680023483
公开日2008年8月20日 申请日期2006年8月4日 优先权日2005年8月19日
发明者S·B·米兹克乌斯基, 王志必 申请人:朗迅科技公司