专利名称:移动鉴权网关技术的制作方法
技术领域:
本发明涉及一种将数字移动通信中用户入网登记时所采用的用户鉴权技术 扩展到通信服务以外,对其他商品、服务、个人身份进行鉴权认证的技术。利用 该技术可以实现鉴别商品的真伪,防止服务被非法使用,动植物和个人身份的识 别等目的.背景技术目前移动数字通信网络已经具备了相当可靠的用户鉴权(或用户身份认证)机制。每个用户有一个独一无二的IMSI号,鉴权数据存在HLR/AUC及SIM卡中,加 上严密的鉴权流程和加密算法,这一技术可以有效地防止盗用移动通信资源和 业务的行为。然而,这一可靠的用户鉴权技术目前只应用于为移动通信服务,尚未扩展到 移动通信以外的领域。发明内容为了将移动通信中的用户鉴权技术应用于移动通信服务以外为其4也商品、服务、个人身份等提供鉴权认证服务,本发明提供了一种移动鉴权网关技术将 SIM卡中的IMSI和需要鉴权的对象(商品、服务、动植物和个人身份等)关联起 来,使移动用户鉴权技术成为整个鉴权过程的一部分,将安全、可靠的移动鉴 权作为整个鉴权过程的第 一步,使整体鉴权系统从一开始就具有很高的认证强 度。该技术还可以使原始厂家等鉴权实施方使用移动信令信道,语音信道和数据 信道等多种渠道传递认证信息,增加安全性和保密性,并可以根据需要实施多 次(或多级)鉴权认证。应用移动鉴权网关技术的鉴权过程由以下四方参与1. 移动鉴权运营商提供鉴权SIM卡,拥有移动鉴权平台,含有鉴权数据, 提供和鉴权服务实施方及移动系统的接口 ,参与并主导鉴权过程。2. 用户将一张同需要鉴权的对象(商品,服务,动植物和个人身份等)关 联起来的SIM卡(内含IMSI)安装到普通手机中,重新启动手才几。3. 移动运营商拥有移动网络,传递鉴权数据,参与部分移动鉴4又过程4. 原始厂家/品牌所有者拥有需要鉴权的对象(商品,服务,动植物和个人 身份等)的编码,序列号并和SIM卡(内含IMSI)相关联.因此,本发明要解决以下技术问题1.将SIM卡中的IMSI和需要鉴权的对象(商品,服务,动植物和个人身份等)关联起来。2. 对移动信令流程做一些变化,使移动用户鉴权过程用于其他领i或的鉴权 过程。3. 为原始厂家或其他鉴权用户提供接口实现移动通信以外如对商品,服务,动植物和个人身份等进行鉴权或认证。4. 循环使用移动通信系统紧缺的号码等通信资源。5. 循环使用专业移动通信的核心系统(如HLR)中昂贵的用户许可证。本发明解决其技术问题所采用的技术方案是采用移动鉴权网关技术。移动鉴 权网关技术由以下几部分组成(参见附
图1):1. 移动信令及信息处理系统该系统位于VLR和HLR之间,其作用是对VLR来说它是HLR,对HLR来说, 它是VLR .2. 鉴权数据部分该系统同移动信令及信息处理系统相连,包括以下内容 l)鉴权数据库 (Authentication Database) 存储鉴权专用IMSI号(简称IMSI-A),对应的鉴权三元组 (RAND, Kc, SRES)(简称Triple-Gro叩-A),内容如下 簡I-A, Triple-G簡p-A (RAND, Kc, SRES);2) 动'态匹酉己数才居库(Dynamic Matching Database): 存储鉴权发生时由HLR提供的临时使用的IMSI (IMSI-HLR),电话号码(MSISDN-HLR),当前小区位置(MSC/VLR-ID)等信息和用于鉴权 IMSI(IMSI-A)的对应关系IMSI-A《—IMSI-HLR,MSISDN-HLR, MSC/VLR-ID…3) HLR数据库(HLR Database)运营商HLR中可供鉴权专用的IMSI号段(IMSI Range)和MSISDN号段 (MSISDN Range)的相关信息,如IMSI-HLR1, MSISDN-HLR1;3.接口部分与移动通信系统的接口是信令(如MAP信令),与鉴权用户的接口是TCP/IP 工作原理如下 1.准备工作1) HLR上专为移动鉴权网关使用的数据运营商为移动鉴权网关准备好供鉴权专用的用户数据(如10 0 0个),并 存放在HLR中,并按配好用户通信服务参数,如国际漫游,短信等,HLR内的信息如下IMSI-HLR1, MSISDN-HLR1, Triple-Group-HLR1;......IMSI-HLR2, MSISDN-HLR2, Triple-Group-HLR2;…… IMSI-HLR3, MSISDN-HLR3, Triple-Group-HLR3;......每个IMSI可能有多个三元组Triple-Group-HLR (RAND, Kc, SRES) 这些数据为移动鉴权网关使用,不是用来产生供鉴权使用的SIM卡.2)鉴权SIM卡(例用于产品鉴权时,SIM卡放在产品的包装内,产品有唯一的产品序号 等特征.)按标准SIM卡生产流程,在生产SIM时,每个SIM卡会含有a. IMSI和b. 对应的Ki(128bits)c. 以及标准的A3算法.每个IMSI号15位全球唯一,且与运营商对应.如 中国移动 H1H2H3 网号 编码 460 00 311 8 61####460 00 311 9 70####为解决IMSI资源问题,可以将已过期的IMSI号,配上与以前不同的 Ki,生成新的SIM卡即可重复利用。3)移动鉴权网关平台上的数据a.鉴权数据库(Authentication Database)将以上SIM卡的IMSI (IMSI-A)数据(如1, 000, 000个)存放在移动数码鉴 权平台中鉴权数据库中,内容如下(每个IMSI可能有多个三元组 Triple-Group(RAND,Kc,SRES)):腿-Al,Triple-Gro叩-Al...;IMSI-A2, Triple-G簡p-A2…;歸-A3, Triple-Group-A3…;IMSI-An, Triple-Group-An.,.; b. HLR数据库(HLR Database)存有可供鉴权专用的IMSI号段(IMSI Range)和MSISDN号段(MSISDN Range)的相关信 息IMSI-HLRl,MSISDN-HLRl; IMSI-HLR2,MSISDN-HLR2;IMSI-HLRn, MSISDN-HLRn; c.动'态匹酉己数才居库(Dynamic Matching Database):初始值为空.4)原始厂家/品牌所有者用户数据库(User Database)IMSI-Al,Contentl;(如"该IMS1对应的产品序列号是XXXXXXX,生产日 期是MM/DD/YY")腦I-A2,Content2; IMSI-A3, Content3;5)网络数据移动网络(MSC和VLR)配置参数,将鉴权用IMSI-A号^殳的鉴4又目的地指向 移动鉴权网关,将移动鉴权网关"当作"这些IMSI的HLR.2.工作流程如下(如附图2):1) 插有鉴权SIM卡的移动终端向MSC/VLR发起请求,这时頂SI为IMSI-A (如IMSI-A1)2) MSC/VLR发现该IMSI-A1为新入网,于是移动网络才艮据事先的参数配 置,以IMSI-A1身份向鉴权网关发MAP—Send—Authentication—Info消息.3)鉴权网关查询鉴权数据库返回的对应的 Triple-Group—Al (RAND, SRES, Kc).用MAP—Send—Authentication_Info消息 发回给MSC/VLR.4) MSC/VLR存储Triple-Group-Al(RAND,SRES,Kc)并将其中的RAND发给 MS (移动终端).5) 移动终端根据收到的Triple-Gro叩-Al中的RAND,结合SIM卡上含有 的IMSI-Al, Ki,根据A3算法,产生上行SRES (简称Upl ink-SRES [IMSI-A1]), 发回给MSC/VLR6) MSC/VLR将Upl ink-SRES [IMSI-A1]和存储的 Triple-Gro叩-Al (RAND, SRES, Kc)的RAND相比较,如不相同,入网过程终止. 如相同则鉴权通过,以IMSI-A向鉴权网关发Location—Update消息。7) 鉴权网关收到Location Update消息后,查询临时数据库用IMSI-HLR1 代替IMSI-Al,向HLR发Location—Update消息.8) HLR向鉴权网关发回MAP—Inser t—Subscr iber—Da ta消息,这个消息中 含有IMSI-HLR1,MSISDN-HLR1等用户通信参数.同时HLR在中保留MSC-ID和 VLR-ID等位置信息.鉴权网关在动态匹配数据库(Dynamic Matching Database)中记录下 IMSI-Al和IMSI-HLR1,MSISDN-HLR1, MSC/VLR-ID1的对应关系 IMSI-Al IMSI-HLRl,MSISDN-HLRl, MSC/VLR-ID9) 鉴权网关查询动态匹配数据库(Dynamic Matching Database)用IMSI-Al代替IMSI-HLRl将MAP—Insert—Subscriber—Data消息发给MSC/VLR. .10) MSC/VLR回复MAP—Insert — Subscriber—Data消息给鉴外又网关11) 鉴4又网关查询动态匹配凄史据库(Dynamic Matching Database)用 IMSI-HLR1替换MAP-Insert-Subscriber—Data消息中的IMSI-Al后发回给HLR12) HLR向鉴权网关返回Location—Update成功消息,消息中含有 IMSI-HLRl13) 鉴权网关收到Location—Updat后,查询动态匹配凄史据库(Dynamic Ma t ch i ng Da t a ba s e)用IMS I -A 1代替IMS I -HLR 1 ,将Loca ti on _ Upda t e消息发 给MSC/VLR14) MSC/VLR发入网鉴权确认消息给移动终端.入网成功.鉴权消息转发过程(以短信为例)15) 入网成功后,鉴权网关向原始厂家/品牌所有者通报IMSI-Al已成功 入网并鉴权成功.16) 原始厂家/品牌所有者根据IMSI-Al,取出和IMSI-Al相对应的鉴权内容(Contentl)如"谢谢你使用我公司产品,产品序列号为......,为第N次验证"发会给认证平台.17) 鉴权网关根据IMSI-A1查询动态匹配数据库查出对应IMSI-HLRl及 MSISDN-HLR1,并以MSISDN-HLR1向HLR发送MAP—SRI—For—SM消息.18) HLR回复消息,消息中含有鉴权终端当前所在的MSC/VLR-ID,这样鉴权网关就知道该鉴4又终端当前所在的MSC/VLR-ID.19) 鉴权网关将IMSI-A1及验证内容"谢谢你使用我公司产品,产品序列号为......,为第N次验证"放进MAP—MT—Forward-SM消息中短信消息体中,并发给MSC/VLR-ID .20) MSC/VLR将消息发给移动终端.通过以上步骤可以看到a. 将SIM卡中的IMSI和需要鉴权的对象(商品,服务,动植物和个人身份 等)关联爽来。b. 鉴权实施方通过鉴权网关成功对产品实施了鉴权认证c. 移动鉴权过程是整个鉴权过程的一部分d. 移动鉴权作为整个鉴权过程的第一步e. 循环使用移动通信系统紧缺的号码等通信资源。f. 循环使用专业移动通信的核心系统(如HLR)中昂贵的用户许可证。需要指出的是移动鉴权网关技术的适用场合不仅是GSM网络,同时还适用 于CDMA, WCDMA, CDMA2000, TD-SCDMA等支持智能卡来识别用户的网络.本发明的有益效果是1. 提供同外部系统对接的接口和相关机制,将安全、有效、廉价并已广泛普 及的移动通信系统内在的鉴权功能扩展到移动通信系统以外.2. 由于号码等通信资源自动循环并隐形使用,解决通信资源紧缺的问题3. 占用的HLR容量很小,HLR的许可证费大大降低4. 在鉴权过程参与的四个主体,用户、运营商、移动鉴权服务商、原始厂家/ 品牌所有者各自只掌握部分的与鉴权相关的信息,保证了鉴权数据和鉴权过程 的安全性.1) .用户拥有含有IMSI的SIM卡,移动鉴权服务商可以知道并控制鉴权次数.2) .移动鉴权运营商只有IMSI号(或对应的号码),不知这个IMSI号所对应 的产品(或服务等)详细情况.3) .原始厂家/品牌所有者有IMSI号(或对应信息)及相^的产品情况,但 不知用户的当前位置(MSC/VLR-ID)和临时分配的MSISDN等信息因此无从单独 下发信息.4) .运营商的核心系统(如短信中心)中没有记录下鉴权数据和日志,用仪 器检测进行检测,不仅代价很大而且检测并记录下的鉴权信息是历史的,时效性已过。5.使用方法非常筒单,只要将附带的SIM卡放进手机中,开机,只要有无线 信号,就可收到鉴权信息.无需其他动作.最后所应说明的是以上实施例仅用于说明而非限制本发明的技术方案,尽管参照上述实施例对本发明做了详细说明,本领域的普通技术人员应当理解 依然可以对本发明进行修改或者等同替换,而不脱离本发明的精神和范围的任 何修改或局部替换,其均应涵盖在本发明的权利要求范围当中。
权利要求
1.将SIM卡中的IMSI和需要鉴权的对象(商品,服务,动植物和个人身份等)关联起来。
2. 移动用户鉴权技术用于通信以外领域的鉴权,并将其作为整个鉴权过程 的第一步。
3. 循环使用号码,HLR等通信资源,解决通信资源紧缺和通信系统许可证费用 高昂问题
4. 在鉴权过程中参与的四个主体,用户、移动网络运营商、移动鉴^又服务商、 原始厂家/品牌所有者各自只掌握部分的与鉴权相关的信息,保证了鉴权数据和 鉴权过程的安全性.
5. 将已过期的IMSI号,配上与以前不同的Ki,生成新的SIM卡,重复利 用IMSI资源。
全文摘要
本发明涉及一种将数字移动通信中用户入网登记时所采用的用户鉴权技术扩展到通信服务以外,为商品,服务,个人身份等提供鉴权认证服务的技术,利用该技术可以实现鉴别商品的真伪,防止服务被非法使用,动植物和个人身份的识别等目的。
文档编号H04Q7/38GK101304596SQ200710027898
公开日2008年11月12日 申请日期2007年5月9日 优先权日2007年5月9日
发明者李奕清, 高新华 申请人:杨一兵