验证用户署名身份模块的改进方法

专利名称：验证用户署名身份模块的改进方法
技术领域：
本发明涉及通信系统中使用的安全方案，更具体地说，涉及对验 证称为用户署名身份模块的移动站的一部分的安全方案的改进。
背景技术：
通过通信系统传送的信息的安全是服务提供商关心的主要内容。 通信系统的用户多次传输和接收计划给特定方的非常敏感并且私密的 信息。服务提供商希望在通信系统的安全能力方面给予他们的用户一 定程度的信心。因此，不同的安全方案已被开发，并用在当前的通信 系统中。特别在第三代无线通信系统中使用的 一种安全方案被称为验 证和密钥一致性(AKA)过程。AKA过程是不仅验证用户并产生安全 密钥，而且还确认接收的用户信息，以便确保在接收这种信息之前， 这种信息不会在通信系统中的某一点被不适当地修改。第三代无线通 信系统使用数字语音和相当高速的数据；这些通信系统通常按照诸如 美国国家标准协会(ANSI)或欧洲电信标准协会之类的标准组织建立 的标准传送信息。
现在参见图1，图1表示了一部分无线通信系统。通信链路102 使标识位置寄存器(HLR) 100与数据库104耦合，所述数据库104 为服务网络(SN)的一部分。SN是通信系统或者是向用户提供服务 的通信系统的一部分。基站104通过无线通信链路106与用户(例如， 移动站108)通信。为了便于说明，只表示了 SN的一个基站，也只表
6示了 一个移动站。HLR 100是为通信系统执行移动性管理的系统设备 (由服务提供商所有并操纵)的一部分。移动性管理是用户通信的正 确处理及与AKA过程相关的各种参数的计算。例如，移动性管理器 检测用户发起的呼叫，了解用户的位置，以及哪个基站正在服务该用 户。随后移动性管理器通知对发出呼叫的用户服务的基站，该呼叫将 ,皮转交给哪个基站。
HLR 100含有包括关于通信系统的所有用户的移动站的认别和验 证信息的用户专用数据记录。除了别的以外，基站104含有传输和接 收通信信号的典型无线电设备及处理用户和系统信息的其它设备。例 如，基站104含有接入者位置寄存器(VLR)(图中未表示)，接入者 位置寄存器(VLR)从HLR接收与安全相关的信息，并得出与安全 相关的辅助信息，所述辅助信息随后被传输给正确的移动站。VLR还 从移动站接收与安全相关的信息，并处理所述信息，以便验证移动站 和基站之间的通信。这里在AKA过程的说明中描述了验证过程。移 动站108代表把系统信息和用户信息传输给基站，并从基站接收系统 信息和用户信息的典型用户通信设备(例如，蜂窝电话，无线膝上型 电脑等)。系统信息是系统设备产生的，用于操作通信系统的信息。
移动站108具有与移动设备的剩余部分接合的用户署名身份模块 (USIM)部分。使USIM和移动站之间的接口标准化，以l更按照接 口标准构成的任意USIM可和同样按照相同的接口标准配置的任意移 动设备一起使用。通常，USIM以含有ID号以及特定用户特有的其它 移动识别数据的存储装置的形式连接在移动站上。这样，HLR中保存 的一部分信息也被存储在USIM中。USIM能够与通常称为外壳或移 动外壳的剩余部分移动设备通信。通过把USIM(也称为"智能卡") 插入公众可使用的移动站(例如出租车蜂窝电话)中，用户可使用许 多这样的移动站。保存在USIM中的信息被传送给移动外壳，从而允 许移动站接入通信系统。USIM和移动外壳之间的另一种安排是把 USIM集成到移动外壳的电路系统中。具有集成的USIM的移动站通 常由单个用户所有，并且通信系统使用移动站的USIM中保存的信息
7识别并确^人移动站已正确地接入SN。
当移动站想要接入通信系统时，它必须首先被看作是通信系统的 许可用户，随后移动站利用系统设备执行AKA过程。AKA过程的结 果是，移动站的USIM产生两个密钥(1)用于计算在移动站和基站 之间交换的信息的数字签名的完整性密钥(IK)。利用IK计算的数字 签名被用于确认信息的完整性。数字签名是当把正确的IK应用于接 收的任意信息时得到的一定模式。IK允许验证在基站和移动站之间交 换的信息；即，IK被应用于接收的信息，结果导致产生表示接收的信 息未被以任意方式修改(有意或无意地)的数字签名；(2)用于对正 通过通信链路106，在基站104和移动站108之间传输的信息加密的 加密密钥(CK)。
IK和CK都是在基站和移动站之间确定的，用于建立有效的安全 关联的安全密钥。有效的安全关联指的是由(与移动站耦合的)USIM 和服务网络独立产生的，用于指示USIM已被许可接入SN,并且移动 站从SN接收的信息来自于许可并且合法的SN的一组相同的数据模式 (例如，IK， CK)。有效的安全关联指的是移动站(即移动站的USIM) 已向SN验证它自身，SN已被移动站(即，移动站的USIM)验证。 当由服务网络和移动站的USIM独立产生的IK和CK不相同时，安 全关联无效。下面讨论如何确定在SN计算的IK和CK是否和在移动 站的USIM计算的IK和CK相同。USIM把IK和CK传送给如上所 述使用IK和CK的移动外壳。网络处的IK和CK实际上是由HLR 计算的。在AKA过程中，HLR把各种信息发送给VLR和移动站， 并且除了别的之外，还产生IK和CK,并且HLR把IK和CK转发 给VLR。
在第三代无线通信系统的当前标准(3GPPTSG33.102)中，已建 立了使用AKA过程的验证安全方案。执行AKA过程所需的信息被保 存在称为验证向量(AV)的一组信息(保存在HLR中)中。AV是含 有几个参数，即RAND, XRES， IK， CK和AUTN的一组信息。除 了 AUTN和RAND参数外，其它各个参数都是通过把非可逆算法函数/"应用于RAND和安全密钥Ki产生的。非可逆算法函数是对信息进
行数学操作和处理，以致不能利用作为结果得到的处理后的消息重新 生成原始信息的一组特殊步骤。实际上存在用于产生AKA过程中使 用的各种参数的一组非可逆算法函数；下面讨论各种参数及它们的相 关函数。Kj是与用户i相关的安全密钥(这里i是等于或大于1的整 数)，并^皮存储在HLR及用户i的USIM中。RAND是每个AV所独 有的随机数,并由HLR选择。XRES是通过对RAND和Kj应用非可 逆算法函数，由移动站的USIM计算得到的预期移动站响应。IK也是 通过对RAND和Ki应用非可逆算法函数，由USIM和HLR计算得到 的。CK也是通过对RAND和Ki应用非可逆算法函数，由USIM和 HLR计算得到的。
AUTN是验证权标，它是HLR发送给VLR的，用于向移动站验 证SN的一组信息。换句话说，AUTN含有各种参数，其中一些参数 由移动站的USIM处理，以便确认该AUTN的确是由SN的合法基站 传输的。AUTN含有下述参数J尺esgiV， AMF和MAC。 AK是用 于隐藏SQN的值的无名密钥，SQN的值是识别AV的独特序列向量。 通过对RAND和Kj应用非可逆算法函数，计算AK。 SQN,即序列号 由USIM和HLR同步地独立产生。AMF是验证管理字段，其具体值 识别从HLR发送给USIM的不同命令。AMF可被看作为带内控制通 道。MAC，即消息验证代码，代表在基站和移动站之间发送的消息的 签名，它表示该消息含有正确的信息；即，MAC用于验证在移动站和
SN之间交换的消息的内容。例如，M4C = / (iL4MD,v4MF,S0V,/:,)，它是通
过利用使用安全密钥Kj并被RAND随机化的非可逆算法函数，计算 得到的SQN和AMF的正确值的签名。
只是为了便于说明，现在将在图1中所示的通信系统部分的环境 中描述AKA过程。图1中所示的系统遵守3GPPTSG33.102标准。最 初，AV从HLR 100被传输给位于基站104的VLR (或者传输给与基 站104耦合的VLR)。根据该标准，VLR从接收的AV中得到XRES。 VLR还从接收的AV中得到AUTN和RAND，并通过通信链路106
9把它们传送给移动站108。移动站108接收AUTN和RAND，并把 RAND和AUTN传送给它的USIM。 USIM如下确认接收的AUTN: USIM使用保存的安全密钥(Kj)和RAND计算AK,随后揭示SQN。 USIM通过对接收的^尺eS0V和AK的计算值进行异或运算，揭示 SQN;结果是揭示的或解密的SQN。随后USIM计算MAC,并将其 与作为AUTN —部分接收的MAC进行比较。如果MAC核对无误(即 接收的MAC-计算的MAC )，则USIM证实该SQN处于有效的可接 受范围(根据标准确定)内，这种情况下，在验证时，USIM把这种 尝试看作是有效的尝试。USIM使用保存的安全密钥(Kj)和RAND 计算RES， CK和IK。随后USIM把IK， CK和RES传送给移动外 壳，并使移动站(通过通信链路106)把RES传输给基站104。 RES 由基站104接收，基站104把RES传送给VLR。 VLR比较RES和 XRES，如果RES和XRES彼此相等，则VLR也从验证向量得到CK 和IK密钥。由于XRES和RES相等，因此移动站计算得到的密钥与 HLR计算，并传输给VLR的密钥相同。
这时，在基站104和移动站108之间存在安全关联。移动站108 和基站104利用密钥CK对通过链路106传送的信息进行加密。移动 站108和基站104使用密钥IK验证通过通信链路106,在移动站108 和基站104之间交换的信息。此外，移动站108和基站104使用IK 验证为移动站108建立的用户/SN链路。通信系统把IK用于验证；即， 通信过程中，来自于移动站的正确IK值意味着移动站已正确地接入 移动站，并且已被通信系统许可使用通信系统(即SN)的资源(即， 包括通信链路的系统设备，可用信道，以及SN提供的服务)。从而， IK净皮用于向SN验证移动站。使用IK向SN验证移动站;陂称为本地验 证。由于基站104和移动站108已具有有效的IK，使用该有效的IK 较为简单，而不必产生一个新的IK，产生一个新的IK需要当建立安 全关联时，通常产生的基站104和HLR100之间的信息交换(即系统 内通信)。换句话说， 一旦用户接入系统，并且用户的移动站已被验证， 则验证过程产生的IK和CK被用于在用户的移动站和基站交换的信息，并被用于验证用户/SN链路，而不必为后续的每个新对话重新计 算IK。 一旦USIM纟皮拆卸，则遵守为AKA过程确定的标准的移动外 壳将删除验证过程确定的IK和CK。但是，存在许多并不遵守为AKA 过程确定的标准的要求的恶意(rogue)移动站(设法接入通信系统的 未授权移动站)。即使当USIM已脱离这些恶意移动站，这些移动站仍 继续使用IK和CK密钥。由于当前确定的AKA过程中使用的本地验 证技术的应用，恶意移动站能够欺诈使用通信系统的资源。
下述情况描述了恶意移动站(例如出租车电话)欺诈利用使用当 前确定的AKA过程的通信系统的一种可能方式。用户把他或她的 USIM卡插入出租车电话发出呼叫。 一旦移动站如上所述被验证，则 用户可发出一个或多个呼叫。当所有呼叫完成时，用户从出租车电话 中取出USIM卡。如果出租车电话遵守为AKA过程确定的标准，该 电话将删除用户的CK和IK。但是，如果出租车电话是恶意电话，则 它不会删除用户的CK和IK密钥。用户还不知道的是，即使当用户 已取出USIM卡，(通过利用基于IK的本地验证)，恶意电话仍是被 证明有效的。从而，随后可在该恶意电话上发出欺诈性呼叫，直到安 全关联被更新为止。取决于服务提供商，安全关联可持续长达24小时。
于是需要对当前建立的AKA过程进行改进，消除恶意电话对用户 的验证密钥的欺诈性使用。

发明内容
本发明提供一种用于改进防止恶意移动站不正确地以及欺诈性地 使用通信系统的资源的AKA过程的方法。根据移动站和其基站之间 安全关联的建立，本发明的方法允许通信系统定期地质询移动站的真 实性。质询可以是向基站服务的所有移动站发出的全局质询，或者质 询可以是向基站服务的特定移动站发出的单一质询。
不考虑基站发出的质询的类型，移动站的USIM能够根据只有移 动站的USIM和基站的VLR才可获得的信息，计算验证响应。移动 站的USIM计算的验证响应被传给移动站外壳(shell),移动站外壳把
ii验证响应传输给基站。接收的验证响应随后被传送给基站的VLR，基 站的VLR把接收的验证响应和VLR独立计算的验证响应进行比较。 当VLR的验证响应和从移动站外壳接收的验证响应相同时，认为移动 站是真实的。如此，可以在对已建立的AKA过程的影响可忽略的情 况下，定期地确认由执行AKA过程产生的安全关联。更重要的是， 安全关联的定期验证防止恶意移动站欺诈性地利用系统资源。本发明 的方法还包括移动站真实性的不定期，持续或者不断的质询。 本发明的方法执行下述步骤
验证向量(AV)由HLR传输给基站的VLR。 AV含有执行AKA 过程中使用的几个参数，包括AK和SQN。而迄今为止，使AK与SQN 进行异或(即，由④表示的运算)，以便当通过基站和移动站之间的公 众可接入的通信链路传送SQN时，保护SQN,现在AK和SQN由 VLR接收，而不必4吏AK和SQN相互异或。另一方面，除了由AK 和SQN的异或运算给出的值之外，AK可被包含在验证向量中。从而， VLR知道AK的值。和现有技术中一样，VLR把与AK异或的隐蔽 SQN，以称为AUTN的AV的一部分的形式传输给移动站，以Y更开始 AKA过程。开始AKA过程所需的，由VLR产生的随才几数(RAND) 也由VLR传输给移动站。AUTN从移动站外壳传送给移动站的USIM。 USIM计算AK,但是并不将其传送给移动站外壳。执行AKA过程， 其结果是在移动站和基站之间建立安全关联。
根据下一接入请求，或者移动站或基站发出的使用系统资源的任 意请求，在基站和移动站之间进行本地验证质询。也可在移动站正在 利用通信系统的资源的对话期内，进行本地验证质询。具体地说，基 站把质询消息传输给移动站，要求移动站向基站证明其自身。质询消 息可以是用于特定移动站的独特消息，也可是请求基站服务的所有移 动站向基站它们自身的全局消息。作为响应，移动站的USIM计算本 地验证响应(AUTHl)。通过对AK, IK和RANDU或RANDg参数 应用非可逆算法函数fn，计算AUTHL。当质询消息用于特定移动站时， 使用RANDU参数(即随机唯一数码)。当质询消息被传输给基站服务的所有移动站时，使用RANDg参数。RANDU或RANDc参数作为质 询消息的一部分由VLR传输。当把质询消息传输给移动站时，基站的 VLR也利用IK， AK和RANDU或RANDG独立地计算AUTHL。
移动站响应质询消息，把AUTHL传输给基站。来自于移动站的 AUTHi^被基站接收，并被传送给基站的VLR,基站的VLR把接收的 AUTHl与VLR独立计算的AUTHL进行比较。如果这两个AUTHL 相等，则认为移动站的USIM是真实的，从而安全关联有效。如果这 两个AUTH^不相等，则认为安全关联无效，本发明的方法阻止移动 站接入通信系统的资源。


图l描绘了无线通信系统的一部分; 图2表示了本发明的方法。
具体实施例方式
参见图2，图2中表示了现在将在图1的环境中描述的本发明方 法的步骤。本发明的方法适用于3GPP TSG 3.102标准定义的AKA方 案，并且适用于使用AKA方案的其它标准。例如，该方法适用于其 体系结构由ANSI-41标准定义的各种通信系统。这种通信系统包括， 但不局限于宽带CDMA系统(W-CDMA)， TDMA(时分多址)系统， UMTS (通用移动通信系统)和ETSI定义的第三代GSM (全球移动 通信系统)。在步骤200，开始AKA过程；当移动站(例如108)想 要接入服务网络，或者当服务网络已收到来自于移动站108的呼叫， 并希望建立移动站和另一方之间的呼叫时，启动该过程。在任何情况 下，在步骤200中，HLR 100通过系统链路102把AV信号传输给基 站104。位于基站104的VLR (图中未表示)通过通信链路102接收 AV,对于通信系统的任何用户来说，该通信链路102是不可接入的。 现在，通常含有包括y^①sew在内的几个参数的AV和确定的AK值一 起被发送。不同于现有技术中，基站接收含有SQN和AK的加密组合(即v^esgw )的AV，通过允许HLR把AK传送给基站(即VLR )， 本发明的方法允许VLR 了解AK的单个值。换句话说，不再如同当前 的AKA过程那样，使AK与SQN进行异或运算。另 一方面，」《 和AK都可从HLR被发送给VLR。从而， 一旦位于基站104的VLR 从HLR100接收AV， VLR保存AK的值。
除了其它参数外，还含有SQN， AK， MAC和AMF的AV由基 站的VLR接收，VLR利用AK掩蔽SQN，从而组合SQN的加密值。 该加密SQN以AUTN信号的一部分的形式，和RAND信号一起由基 站传送给移动站108。具体地说，VLR对SQN加密(即执行^: ^^ ), 从而掩饰AK，完成AUTN的组合，并以AUTN信号的形式，把验证 请求和RAND信号一起传送给移动站108。移动站108把接收的AUTN 和RAND信号一起传送给它的USIM，以便确认并产生确定安全关联 的建立的安全参数。
在步骤202中，如同现有技术中那样，由USIM生成参数IK和 CK。具体地说，USIM根据f2 (RAND， Kj生成RES;注意&也用 于生成XRES。 USIM根据计算f3 (RAND， Kj)生成IK，根据计算 f4 (RAND, K。生成CK，并根据计算f5 (RAND， Kj)生成AK。 易于理解用于计算上述参数的该组非可逆算法函数是按照通信系统遵 守的通信标准选择的。但是，用于描述某些参数的计算的特殊的非可 逆算法函数可能与通信标准的规定一致，也可能不与通信标准的规定 一致。此外，USIM (利用fi函数)计算MAC的预期值，并将其与在 AUTN中接收的值进行比较。如果MAC有效，则USIM对AK和SQN 的单个值解密，并确认SQN值在可接受的范围内。另外，在步骤202 中，VLR从HLR接收IK， CK和XRES，并在VLR中，按照和USIM 相同的方式，计算这些参数。USIM把RES, CK和IK传送给移动站 IO的外壳。移动站108把RES传输给基站104，基站104把RES传 送给其VLR。
在步骤204中，VLR把接收的RES与计算的XRES比较，如果 RES=XRES，则VLR的CK和IK和移动站及USIM的CK和IK相
14同。现在，在一定持续时间的对话期内，对于用户/SN链路(即链路 106)，已建立并确认了有效的安全关联。这样确定的移动站的真实性 意味着通过从SN获得使用SN的资源的正确授权，移动站已正确地获 得对SN的接入。对话期指的是在验证过程，给予用户的接入，及用 户利用资源的过程中过去的时间。例如，对话期可以是在包含按照通 信系统遵守的标准建立电话呼叫所花的时间的电话呼叫过程中过去的 时间，系统允许用户接入通信系统所花的时间，以及在通过使通信(例 如语音呼叫)与另一方接合，利用通信系统的资源方面，用户所花的 时间。
在步骤206，在对话期内的某一时刻，位于基站104的VLR将通 过广播质询消息，质询确定的安全关联的真实性。具体地说，质询是 否移动站108已从系统获得通过通信链路106向基站104传输信息， 以及通过通信链路106从基站104接收信息的授权；即，质询用户/ 服务网络链路(即通过通信链路106交换信息)的授权。在消息被广 播给基站服务的所有移动站的情况下，质询消息可以是全局质询。另 一方面，质询消息可以是用于基站服务的特殊移动站的独特消息。在 对话期内，VLR定期地，不定期地，不断地或者连续地传输质询消息。 还可在已确定安全关联之后，在每个对话期的开始时，传输质询消息。 质询消息是移动站108和SN之间的本地验证的开始。质询消息含有 由位于基站104的VLR产生的随机数(即用于全局质询的RANDg或 用于单一质询的RANDU)。质询消息的特定格式取决于通信系统遵守 的标准中规定的格式。移动站108接收该随机数，并把所述随机数传 送给其USIM。 USIM对IK， AK参数和随机数(即RANDG或RANDU ) 应用非可逆算法函数，计算称为AUTHL的本地验证响应。具体地说， 对于全局质询来说，乂LT/^ =/ (iL4M)G,^Q,K ，对于单一质询来i兌， 」"77^ =/ (iMMX/，^QK 。用于计算AUTHL的非可逆算法函数可以是由 通信系统遵守的通信标准确定的该组函数(fn， n是等于或大于1的整 数)中的任意一个函数。位于基站104的VLR按照相同的方式独立计 算AUTHL。由于只有VLR和USIM知道AK，恶意电话不能计算AUTHl，因为恶意电话不能获得AK;从而，对于只有SN和移动站 的USIM知道的信息(即AK)进行本地验证。USIM计算得到的验 证响应(AUTHj被传送给移动站外壳，移动站外壳把接收的验证响 应(AUTHl)传送给基站104 (例如，通过把该验证响应附于传送给 基站的消息上)。基站104把接收的AUTHt传送给VLR， VLR把接 收的AUTHl和VLR独立计算的AUTHL进行比较。
在本发明的方法的一个备选实施例中，移动站108的USIM把 AUTH^传送给移动站108的外壳。移动站外壳利用IK和AUTHL计 算称为MAC-I的参数。随后移动站外壳把MAC-I传送给基站，基站 把MAC-I传送给VLR。 VLR独立地计算它自己的MAC-I (也通过利 用IK和AUTHL计算MAC-I),并把它独立计算的MAC-I与接收的 MAC-I进行比较。从而，MAC-I既被用于本地验证，又被用于确认 在移动站和SN间交换的信息的内容。通过利用MAC-I，不需要把 AUTHl附于消息上。
在步骤208中，如果两个AUTHL (或者两个MAC-I)相同，即， 当VLR计算得到的AUTHL (或MAC-I)等于从移动站108接收，并 由移动站的USIM计算得到的AUTHl (或MAC-I)时，则证明对话 和移动站(即移动站的USIM)是可靠的。从而VLR确认移动站108 和基站104之间已建立的链路(即建立的SN/用户链路)的真实性， 或者允许建立链路；即，本发明的方法现在回转到步骤204。允许移 动站接入通信系统的资源，或者在已建立链路的情况下，移动站继续 接入通信系统的资源。如果VLR不能证明SN/用户链路的真实性(即 接收的AUTHl或MAC-I不等于VLR计算得到的AUTHl或MAC-I )， 则本发明的方法前进到步骤210,在该步骤，阻止移动站接入SN;即， 撤消链路，SN (即基站104)不再接受与该链路相关的CK和IK。安 全关联不再有效，不允许移动站接入通信系统的资源。于是，不具有 USIM的恶意移动站不能向通信系统证明其自身，从而不能欺诈性地 使用通信系统的资源。
1权利要求
1.一种由与移动壳体可通信地耦合的用户身份模块实现的方法，所述移动壳体具有与接入者位置寄存器已建立的安全关联，所述方法包括从所述移动壳体接收询问查询消息中包含的信息；基于所述询问查询消息中包含的信息、完整性密钥、以及匿名密钥，确定本地鉴权响应，其中所述匿名密钥为所述接入者位置寄存器已知、但不为所述移动壳体所知；向所述接入者位置寄存器提供所述本地鉴权响应，所述接入者位置寄存器被配置成通过比较所提供的本地鉴权响应和由所述接入者位置寄存器确定的所述本地鉴权响应的值，来鉴权所述用户身份模块。
2. 根据权利要求l所述的方法，其中所述从所述移动壳体接收询 问查询消息中包含的信息的步骤还包括响应于所述移动壳体接收由所述接入者位置寄存器所提供的询问 查询消息，接收所述询问查询消息中包含的信息。
3. 根据权利要求2所述的方法，其中所述响应于所述移动壳体接 收询问查询消息，接收所述询问查询消息中包含的信息的步骤还包括响应于唯一询问查询消息或全球询问查询消息，从所述移动壳体 接收所述询问查询消息中包含的信息。
4. 根据权利要求2所述的方法，其中所述接收询问查询消息中包 含的信息的步骤还包括接收由所述接入者位置寄存器所提供的随机数。
5. 根据权利要求4所述的方法，其中所述确定本地鉴权响应的步 骤还包括向所述随机数、完整性密钥、以及为所述接入者位置寄存器已知、 但不为所述移动壳体所知的匿名密钥施加非可逆算法函数。
6. 根据权利要求l所述的方法，其中所述向接入者位置寄存器提 供本地鉴权响应的步骤还包括向所述移动壳体提供所述本地鉴权响应，其中所述移动壳体被配置成向所述接入者位置寄存器至少提供所 述本地鉴权响应。
7. 一种由接入者位置寄存器执行的鉴权方法，所述接入者位置寄 存器具有与移动壳体已建立的安全关联，其中所述移动壳体与用户身份模块可通信地耦合，所述方法包括 向所述移动壳体发送询问查询消息；响应于发送所述询问查询消息，从所述移动壳体接收本地鉴权响应；基于所述本地鉴权响应和所述接入者位置寄存器基于所述询问响 应中包括的信息而计算的所述本地鉴权响应的值、完整性密钥、以及 为所述用户身份模块所知、但不为所述移动壳体所知的匿名密钥，鉴 权所述移动壳体。
8. 根据权利要求7所述的方法，其中所述提供询问查询消息的步 骤还包括提供唯一询问查询消息或全球询问查询消息。
9. 根据权利要求7所述的方法，其中所述提供询问查询消息的步 骤还包括提供随机数。
10. 根据权利要求9所述的方法，其中所述接收本地鉴权响应的 步骤还包括基于所述随机数以及为所述用户身份模块所知、但不为所述移动 壳体所知的匿名密钥，接收由所述用户身份模块所形成的本地鉴权响 应。
11. 根据权利要求7所述的方法，其中所述基于本地鉴权响应以 及为所述用户身份模块所知、但不为所述移动壳体所知的匿名密钥， 鉴权所述移动壳体的步骤还包括基于所述询问查询消息的一部分、完整性密钥、以及为所述用户 身份模块所知、但不为所述移动壳体所知的匿名密钥，确定本地鉴权 响应；比较所述接收的本地鉴权响应和所述确定的本地鉴权响应； 在所述接收的本地鉴权响应与所述确定的本地鉴权响应相同时， 鉴权所述移动壳体。
12. 根据权利要求11所述的方法，其中所述确定本地鉴权响应的 步骤还包括向所述询问查询消息的所述部分、完整性密钥、以及为所述用户 身份模块已知、但不为所述移动壳体所知的匿名密钥施加非可逆算法
13. —种由接入者位置寄存器执行的鉴权方法，所述接入者位置 寄存器具有与移动壳体已建立的安全关联，其中所述移动壳体与用户 身份模块可通信地耦合，所述方法包括向所述移动壳体发送询问查询消息；响应于所述询问查询消息，从所述移动壳体接收消息鉴权代码； 基于所述消息鉴权代码以及基于为所述用户身份模块所知、但不为所述移动壳体所知的匿名密钥而计算的所述消息鉴权代码的值，鉴权所述移动壳体。
14. 根据权利要求13所述的方法，所述接收消息鉴权代码的步骤 还包括利用为所述移动壳体所知的完整性密钥以及由所述用户身份模块 所提供的本地鉴权响应，接收由所述移动壳体所形成的消息鉴权代码。
15. 根据权利要求14所述的方法，其中所述基于所述消息鉴权代 码以及基于为所述用户身份模块所知、但不为所述移动壳体所知的匿 名密钥而计算所述消息鉴权代码的值，鉴权所述移动壳体的步骤还包 括基于所述匿名密钥和完整性密钥，生成消息鉴权代码； 比较所述生成的消息鉴权代码和所述接收的消息鉴权代码； 在所述生成的消息鉴权代码和所述接收的消息鉴权代码相同时， 鉴权所述移动壳体。
全文摘要
本发明涉及验证用户署名身份模块的改进方法。改进建立的验证和密钥一致性过程的方法，该方法防止恶意移动站欺诈性地接入通信系统。通信系统定期地广播质询消息，质询消息要求当前被批准使用通信系统的移动站向通信系统证明它自身。移动站根据只有通信系统和移动站的USIM知道的信息，计算验证响应，并把所述响应传输给通信系统。通信系统也计算验证响应，并把所述响应与从移动站接收的验证响应进行比较。当这两个验证响应相同时，通信系统证明移动站是真实的。否则，不允许移动站接入通信系统。
文档编号H04W12/12GK101541007SQ200910129710
公开日2009年9月23日 申请日期2001年6月8日 优先权日2000年6月13日
发明者西米昂·B·米兹克夫斯基, 迈克尔·马克维斯 申请人:朗迅科技公司