专利名称:用户设备鉴权码的更新方法及系统、用户设备的制作方法
技术领域:
本发明涉及一种基于空中下载技术^TA,Over the Air Technology)的用户识别卡的鉴权码(Akey)更新技术,尤其涉及一种用户设备鉴权码的更新方法及系统、用户设备。
背景技术:
目前,移动通信市场中存在较多的用户识别卡复制现象,给用户和运营商带来了一定的损失。特别是,当不法分子获取复制卡后,能对被复制卡用户的通话进行监听,进行恶意盗打等。针对复制卡问题,一般的预防措施基本上属于被动预防,即在接收到举报等时通过为用户更换用户识别卡来杜绝复制卡的接入网络;或者,通过共享密码数据(SSD, Shared Secret Data)定期更新等技术来保证当前用户识别卡仅能接入一个UE,但是,当卡复制者获取了用户识别卡的鉴权码(Akey)信息后,更新SSD方式将不能限制复制卡的通信功能,特别地,目前的通信网络通过相关手段获取Akey信息是相对容易的,因此,目前亟需更安全有效的手段来杜绝用户识别卡复制。
发明内容
有鉴于此,本发明的主要目的在于提供一种用户设备鉴权码的更新方法及系统、 用户设备,能有效防止对用户设备(UE,her Equipment)的用户识别卡复制。为达到上述目的,本发明的技术方案是这样实现的一种用户设备鉴权码的更新方法,包括满足UE的Akey更新条件时,网络侧发起与所述UE之间的Akey相关参数的交换;所述网络侧及所述UE基于Akey相关参数各自生成新Akey。优选地,满足UE的Akey更新条件,为接收到UE的Akey更新请求,确定所述UE具有更新Akey的权限;或者,接收到UE的Akey更新请求,所述UE通过身份认证;或者,接收到UE的Akey更新请求,确定所述UE具有更新Akey的权限,且所述UE 通过身份认证。优选地,满足UE的Akey更新条件,为在所述UE注册到所述网络侧时,所述UE具有更新Akey的权限,且所述UE上次 Akey更新至当前的时长超过设定的时长;或者,在所述UE注册到所述网络侧时,所述UE具有更新Akey的权限,且所述UE 上次Akey更新至当前的时长超过设定的时长,所述UE通过身份认证。优选地,所述UE注册到所述网络侧,为所述UE发起到所述网络侧的位置更新。优选地,所述发起与所述UE之间的Akey相关参数的交换,为所述网络侧与所述UE之间进行生成Akey的公钥信息的交换。
优选地,所述网络侧及所述UE基于Akey相关参数各自生成新Akey,为所述网络侧及所述UE各自生成用于生成Akey的私钥,利用所述生成Akey的公钥、基于Diffie-HelIman算法各自生成新Akey。优选地,所述UE基于Akey相关参数各自生成新Akey,为所述UE为机卡分离模式时,所述UE在用户识别卡中生成新Akey ;所述UE为机卡一体模式时,在所述UE中生成新Akey。一种用户设备鉴权码的更新系统,包括网络侧和UE,其中网络侧,用于在满足UE的Akey更新条件时,发起与所述UE之间的Akey相关参数的交换;以及,基于Akey相关参数生成新Akey ;UE,用于基于Akey相关参数生成新Akey。优选地,满足UE的Akey更新条件,为接收到UE的Akey更新请求,确定所述UE具有更新Akey的权限;或者,接收到UE的Akey更新请求,所述UE通过身份认证;或者,接收到UE的Akey更新请求,确定所述UE具有更新Akey的权限,且所述UE 通过身份认证。 优选地,满足UE的Akey更新条件,为在所述UE注册到所述网络侧时,所述UE具有更新Akey的权限,且所述UE上次 Akey更新至当前的时长超过设定的时长;或者,在所述UE注册到所述网络侧时,所述UE具有更新Akey的权限,且所述UE 上次Akey更新至当前的时长超过设定的时长,所述UE通过身份认证。优选地,所述网络侧与所述UE之间进行生成Akey的公钥信息的交换;所述网络侧及所述UE各自生成用于生成Akey的私钥,利用所述生成Akey的公钥、基于Diffie-HelIman算法各自生成新Akey。一种用户设备,包括发送单元、接收单元及生成单元,其中发送单元,用于向网络侧发送Akey更新请求;接收单元,用于接收所述用户设备与所述网络侧之间交换的Akey相关参数;生成单元,用于基于Akey相关参数生成新Akey。一种用户设备,包括发送单元、接收单元及生成单元,其中发送单元,用于向网络侧发送注册请求;接收单元,用于接收所述用户设备与所述网络侧之间交换的Akey相关参数;生成单元,用于基于Akey相关参数生成新Akey。本发明中,为UE设置更新Akey的功能,这样,UE用户通过UE发起Akey的更新请求,从而可使UE的Akey不断更新,这样,利用UE的Akey进行UE的用户识别卡复制的难度相当大,即使复制成功,通过UE的Akey不断更新,也能使复制卡无效,从而有效保护了 UE 用户及运营商的合法权益。本发明仅通过对UE及有限的网络侧网元进行相应升级即可实现,实现成本较低。
图1为本发明实施例一的用户设备鉴权码的更新方法的流程图2为本发明实施例二的用户设备鉴权码的更新方法的流程图;图3为本发明实施例三的用户设备鉴权码的更新方法的流程图;图4为本发明实施例四的用户设备鉴权码的更新方法的流程图;图5为本发明一种用户设备的组成结构示意图;图6为本发明另一种用户设备的组成结构示意图。
具体实施例方式本发明的基本思想为用户在通过UE不断发起Akey的更新,使UE的Akey不断更新,提升了对UE的用户识别卡进行复制的难度,用户识别卡即使被人复制,也能通过Akey 的更新使其无效,从而能最大程度地保证Akey的安全性。本发明中,当网络侧确定满足UE的Akey更新条件时,发起与所述UE之间的Akey 相关参数的交换;网络侧及UE基于Akey相关参数各自生成新Akey。这里,满足UE的Akey更新条件,是指满足UE的Akey更新条件,是指接收到UE 的Akey更新请求,确定UE具有更新Akey的权限;该条件需对发起Akey更新请求的UE进行权限认证,如果是复制卡,则很有可能不具备相应权限而被拒绝进行Akey更新,安全性相对较高。或者,满足UE的Akey更新条件,是指接收到UE的Akey更新请求,UE通过身份认证;该条件需对发起Akey更新请求的UE进行身份认证,如果是复制卡,则很有可能不具备相应密码而被拒绝进行Akey更新,安全性相对较高。或者,满足UE的Akey更新条件,是指接收到UE的Akey更新请求,确定所述UE 具有更新Akey的权限,且所述UE通过身份认证。该条件具有相当高的安全性,即需要对发起Akey更新请求的UE进行身份认证及权限认证,只有认证通过的UE才会允许其进行Akey 更新,而且,UE上次更新至当前更新的时长超出了设定时长。当然,网络侧也可以主动发起对UE的Akey更新,此时,满足UE的Akey更新条件, 是指在UE注册到所述网络侧时,UE具有更新Akey的权限,且UE上次Akey更新至当前的时长超过设定的时长。这里,UE注册到所述网络侧是指UE发起到网络侧的位置更新等UE 向网络侧注册的事件。此时,网络侧首先确定UE是否具有Akey更新的权限,通过权限认证后再确定UE上次更新Akey距当前的时长是否超出设定阈值时长,即网络侧考虑到网络侧资源有限,不会为UE频繁地进行Akey更新。或者,满足UE的Akey更新条件,是指在UE注册到所述网络侧时,UE具有更新 Akey的权限,且UE上次Akey更新至当前的时长超过设定的时长,UE通过身份认证。该条件具有更高的安全性,即需要对发起Akey更新请求的UE进行身份认证及权限认证,只有认证通过的UE才会允许其进行Akey更新,UE上次更新至当前更新的时长超出了设定时长同时,而且,UE通过身份认证,才允许其进行Akey更新。本发明中,MSCe及MSC均指移动交换中心,HLRe及HLR均指归属位置寄存器。为使本发明的目的、技术方案和优点更加清楚明白,以下举实施例并参照附图,对本发明进一步详细说明。实施例一
本示例中,用户通过补充业务发起Akey更新。图1为本发明实施例一的用户设备鉴权码的更新方法的流程图,如图1所示,本示例用户设备鉴权码的更新方法具体包括以下步骤步骤101,通过UE的补充业务操作,发起Akey更新流程。本发明中,所谓的补充业务操作,即为UE新增的专门用于发起Akey更新请求的业务;该业务可以作为用户的签约数据,或作为运营商提供的增值业务而提供。本领域技术人员应当理解,使UE发起某业务请求是容易实现的。本发明中,UE将Akey更新请求发送至移动交换中心(MSC,MobileSwitching Center)而发起Akey更新。步骤102,接收到UE的Akey更新请求后,MSCe向HLRe发起FEATREQ,携带用户的移动识别号码(MIN,Mobile Identification Number)、电子序列号(ESN,Electronic Serial Number)、补充业务码等参数。步骤103,HLRe确定UE用户是否具有更新Akey的权限,指示MSCe发起RUIDIR操作。这里,如HLRe通过UE用户的签约数据来确定用户是否签约了更新Akey业务,从而确定UE用户是否具有更新Akey的权限,若签约数据中包含更新Akey业务则具有更新 Akey的权限,否则不具有权限。或者,HLRe确定UE用户是否开通了 Akey更新业务来确定其是否具有更新Akey的权限,开通时则具有更新Akey的权限,否则不具有权限。步骤104,MSCe发起RUIWR操作,指示用户输入业务操作密码。步骤105,MSCe收集业务操作密码后,通过RUIWR消息送给HLRe。步骤106,HLRe确定密码是否正确,如果用户具备更新Akey的权限且密码正确, HLRe给MSCe回确认消息。MSCe给用户放音,提示用户保持开机状态,Akey将会被更新。步骤107,HLRe/0TAF(0ver the Air Service Provisioning Function)发起空中参数管理(0ΤΑΡΑ,Over the Air Technology Parameter Administration)参数下载操作。步骤108 步骤109,HLRe使用D-H(Diffie-Hellman)算法,通过空口与UE交换参数,同时在HLRe和UE生成Akey。具体的,HLRe与UE之间通过D-H算法实现Akey的生成。首先,HLRe与UE之间进行生成Akey的公钥信息的交换,二者之间先交换用于Akey生成的公钥信息;然后,HLRe及 UE各自生成用于生成Akey的私钥,利用公钥及各自生成的私钥生成新的Akey。步骤110 步骤111,Akey生成完毕后,HLRe触发一次SSD更新。步骤112,SSD更新成功后,HLRe自动提交Akey,即在其数据库中自动保存本次更新的Akey。步骤113 步骤114,HLRe构造点对点短消息投递(SMDPP,Short MessageDeliver Point to Point)短消息,通知用户Akey更新成功。这样,在UE侧及网络侧均生成了相同的Akey,保证用户利用UE通信的同时,也避免了对UE用户识别卡的复制。实施例一中,假设UE是机卡一体的结构,这样,UE侧生成的 Akey存储于UE中。本领域技术人员应当理解,对用户识别卡的复制,实质上是对UE用户身份的复制,即对为用户分配的号码的复制。本发明中,相同的步骤具有相同的处理方式,下述实施例中与实施例一相同的步骤,不再进行赘述其详细处理过程。实施例二本示例中,运营商定期更新Akey。图2为本发明实施例二的用户设备鉴权码的更新方法的流程图,如图2所示,本示例用户设备鉴权码的更新方法具体包括以下步骤步骤201,用户发起位置更新。步骤202,MSCe触发登记消息到HLRe。步骤203,HLRe确定用户是否具有更新Akey的权限,并确定是否达到了运营商设置的更新时间门限。如果已经达到需要更新Akey的时间门限,HLRe指示MSCe发起RUIWR 操作。步骤204,MSCe发起RUIWR操作,指示用户输入业务操作密码。步骤205,MSCe收集业务操作密码后,通过RUIWR消息送给HLRe。步骤206,HLRe确定密码正确,如果UE用户具备更新Akey的权限且密码正确, HLRe/OTAF 发起 OTAPA 操作。步骤207 步骤208,HLRe使用D-H算法,通过空口和UE交换参数,同时在HLRe 和UE生成Akey。步骤209 步骤210,Akey生成完毕后,HLRe触发一次SSD更新。步骤211,SSD更新成功后,HLRe自动提交Akey,在其数据库中自动保存本次更新的Akey参数。步骤212,HLRe给MSCe回登记成功响应。步骤213 步骤214,HLRe构造SMDPP短消息,通知用户Akey在本次位置更新时更新成功。实施例三本示例中,用户通过补充业务发起UIM卡Akey更新。图3为本发明实施例三的用户设备鉴权码的更新方法的流程图,如图3所示,本示例用户设备鉴权码的更新方法具体包括以下步骤步骤301,用户通过补充业务操作,发起Akey更新流程。步骤302,MSCe向HLRe发起FEATREQ,携带用户的MIN、ESN、补充业务码等参数。步骤303,HLRe确定用户是否具有更新Akey的权限,指示MSCe发起RUIWR操作。步骤304,MSCe发起RUIWR操作,指示用户输入业务操作密码。步骤305,MSCe收集业务操作密码后,通过RUIWR消息送给HLRe。步骤306,HLRe确定密码正确,如果用户具备更新Akey的权限且密码正确,HLRe 给MSCe回确认消息。MSCe给用户放音,提示用户保持开机状态,Akey将会被更新。步骤307,HLRe/0TAF 构造下发给 UE 的用户识别模块(UIM,User IdentityModel) 卡的SMDPP短消息,指示UE的UIM卡开始OTAPA操作。 步骤308 步骤311,HLRe使用D-H算法,通过空口与UE的UIM卡交换参数,同时在HLRe及UE的UIM卡生成Akey。步骤312 步骤314,Akey生成完毕后,HLRe触发一次SSD更新。步骤315,SSD更新成功后,HLRe自动提交Akey,在其数据库中自动保存本次更新的Akey参数。
步骤316 步骤317,HLRe构造SMDPP短消息,通知用户Akey更新成功。实施例四本示例中,运营商定期更新UIM卡的Akey。图4为本发明实施例四的用户设备鉴权码的更新方法的流程图,如图4所示,本示例用户设备鉴权码的更新方法具体包括以下步骤的具体步骤如下步骤401,用户发起位置更新。步骤402,MSCe触发登记消息到HLRe。步骤403,HLRe确定用户是否具有更新Akey的权限,并确定是否达到了运营商设置的更新时间门限。如果已经到了需要更新Akey的时间门限,HLRe指示MSCe发起RUIWR 操作。步骤404,MSCe发起RUIWR操作,指示用户输入业务操作密码。步骤405,MSCe收集业务操作密码后,通过RUIWR消息送给HLRe。步骤406,HLRe确定密码正确,如果用户具备更新Akey的权限且密码正确,HLRe/ OTAF构造下发给UIM卡的SMDPP短消息,指示UIM卡开始OTAPA操作。步骤407 步骤410,HLRe使用D-H算法,通过空口与UE的UIM卡交换参数,同时在HLRe及UE的UIM卡生成Akey。步骤411 步骤413,Akey生成完毕后,HLRe触发一次SSD更新。步骤414,SSD更新成功后,HLRe自动提交Akey,在其数据库中自动保存本次更新的Akey参数。步骤415,HLRe给MSCe回登记成功响应。步骤416 步骤417,HLRe构造SMDPP短消息,通知用户Akey在本次位置更新时更新成功。本发明还记载了一种用户设备鉴权码的更新系统,包括网络侧和UE,其中网络侧,用于在满足UE的Akey更新条件时,发起与所述UE之间的Akey相关参数的交换;以及,基于Akey相关参数生成新Akey ;UE,用于基于Akey相关参数生成新Akey。需要说明的是,本发明对网络侧的网络结构并无更改,仅是对其中的相关网元的功能进行了升级等,如对其中的MSC、归属位置寄存器(HLR,H0meL0Cati0n Register) ,OTAF 等网元进行升级,使其支持UE的Akey更新的功能。本发明中,UE也需支持Akey更新的功能,即具有发起Akey更新请求、与网络侧进行Akey相关参数的交互及生成Akey的能力。 或者,在由网络侧发起Akey更新时,UE需具有与网络侧进行Akey相关参数的交互及生成 Akey的能力。上述满足UE的Akey更新条件,为接收到UE的Akey更新请求,确定所述UE具有更新Akey的权限;或者,接收到UE的Akey更新请求,所述UE通过身份认证;或者,接收到UE的Akey更新请求,确定所述UE具有更新Akey的权限,且所述UE 通过身份认证。上述满足UE的Akey更新条件,为在所述UE注册到所述网络侧时,所述UE具有更新Akey的权限,且所述UE上次Akey更新至当前的时长超过设定的时长;或者,在所述UE注册到所述网络侧时,所述UE具有更新Akey的权限,且所述UE 上次Akey更新至当前的时长超过设定的时长,所述UE通过身份认证。所述网络侧与所述UE之间进行生成Akey的公钥信息的交换;所述网络侧及所述UE各自生成用于生成Akey的私钥,利用所述生成Akey的公钥、基于Diffie-Hel Iman算法各自生成新Akey。本发明用户设备鉴权码的更新系统中的网络侧,具体是指前述实施例一至实施例四中涉及的相关网元。UE所具备的功能,也可参照前述实施例的相关描述理解。本领域技术人员应当理解,对上述网元及UE进行升级是容易实现的。图5为本发明一种用户设备的组成结构示意图,如图5所示,本发明用户设备,包括发送单元50、接收单元51及生成单元52,其中发送单元50,用于向网络侧发送Akey更新请求;接收单元51,用于接收所述用户设备与所述网络侧之间交换的Akey相关参数;生成单元52,用于基于Akey相关参数生成新Akey。本示例的UE是具备主动发送Akey更新请求能力的UE。图6为本发明另一种用户设备的组成结构示意图,如图6所示,本发明用户设备, 包括发送单元60、接收单元61及生成单元62,其中发送单元60,用于向网络侧发送注册请求;接收单元61,用于接收所述用户设备与所述网络侧之间交换的Akey相关参数;生成单元62,用于基于Akey相关参数生成新Akey。本领域技术人员应当理解,本发明的UE中的上述处理单元的功能可通过相应的硬件电路,或处理器及相应的执行软件的方式而实现。上述各处理单元的相关功能,可参见前述实施例的相关描述而理解。以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
权利要求
1/2页
1.一种用户设备鉴权码的更新方法,其特征在于,所述方法包括满足UE的鉴权码Akey更新条件时,网络侧发起与所述UE之间的Akey相关参数的交换;所述网络侧及所述UE基于Akey相关参数各自生成新Akey。
2.根据权利要求1所述的方法,其特征在于,满足UE的Akey更新条件,为 接收到UE的Akey更新请求,确定所述UE具有更新Akey的权限;或者,接收到UE的Akey更新请求,所述UE通过身份认证;或者,接收到UE的Akey更新请求,确定所述UE具有更新Akey的权限,且所述UE通过身份认证。
3.根据权利要求1所述的方法,其特征在于,满足UE的Akey更新条件,为 在所述UE注册到所述网络侧时,所述UE具有更新Akey的权限,且所述UE上次Akey更新至当前的时长超过设定的时长;或者,在所述UE注册到所述网络侧时,所述UE具有更新Akey的权限,且所述UE上次 Akey更新至当前的时长超过设定的时长,所述UE通过身份认证。
4.根据权利要求3所述的方法,其特征在于,所述UE注册到所述网络侧,为 所述UE发起到所述网络侧的位置更新。
5.根据权利要求1至4任一项所述的方法,其特征在于,所述发起与所述UE之间的 Akey相关参数的交换,为所述网络侧与所述UE之间进行生成Akey的公钥信息的交换。
6.根据权利要求5所述的方法,其特征在于,所述网络侧及所述UE基于Akey相关参数各自生成新Akey,为所述网络侧及所述UE各自生成用于生成Akey的私钥,利用所述生成Akey的公钥、基于Diffie-Hellman算法各自生成新Akey。
7.根据权利要求5所述的方法,其特征在于,所述UE基于Akey相关参数各自生成新 Akey,为所述UE为机卡分离模式时,所述UE在用户识别卡中生成新Akey ; 所述UE为机卡一体模式时,在所述UE中生成新Akey。
8.一种用户设备鉴权码的更新系统,包括网络侧和UE,其特征在于网络侧,用于在满足UE的Akey更新条件时,发起与所述UE之间的Akey相关参数的交换;以及,基于Akey相关参数生成新Akey ; UE,用于基于Akey相关参数生成新Akey。
9.根据权利要求8所述的系统,其特征在于,满足UE的Akey更新条件,为 接收到UE的Akey更新请求,确定所述UE具有更新Akey的权限;或者,接收到UE的Akey更新请求,所述UE通过身份认证;或者,接收到UE的Akey更新请求,确定所述UE具有更新Akey的权限,且所述UE通过身份认证。
10.根据权利要求8所述的系统,其特征在于,满足UE的Akey更新条件,为 在所述UE注册到所述网络侧时,所述UE具有更新Akey的权限,且所述UE上次Akey更新至当前的时长超过设定的时长;或者,在所述UE注册到所述网络侧时,所述UE具有更新Akey的权限,且所述UE上次 Akey更新至当前的时长超过设定的时长,所述UE通过身份认证。
11.根据权利要求8所述的系统,其特征在于,所述网络侧与所述UE之间进行生成 Akey的公钥信息的交换;所述网络侧及所述UE各自生成用于生成Akey的私钥,利用所述生成Akey的公钥、基于Diffie-Hellman算法各自生成新Akey。
12.—种用户设备,其特征在于,所述用户设备包括发送单元、接收单元及生成单元,其中发送单元,用于向网络侧发送Akey更新请求;接收单元,用于接收所述用户设备与所述网络侧之间交换的Akey相关参数; 生成单元,用于基于Akey相关参数生成新Akey。
13.一种用户设备,其特征在于,所述用户设备包括发送单元、接收单元及生成单元,其中发送单元,用于向网络侧发送注册请求;接收单元,用于接收所述用户设备与所述网络侧之间交换的Akey相关参数; 生成单元,用于基于Akey相关参数生成新Akey。
全文摘要
本发明公开了一种用户设备鉴权码的更新方法,包括满足UE的鉴权码Akey更新条件时,网络侧发起与所述UE之间的Akey相关参数的交换;所述网络侧及所述UE基于Akey相关参数各自生成新Akey。本发明同时公开了一种实现上述方法的用户设备鉴权码的更新系统以及用户设备。本发明可使UE的Akey不断更新,这样,利用UE的Akey进行UE的用户识别卡复制的难度相当大,即使复制成功,通过UE的Akey不断更新,也能使复制卡无效,从而有效保护了UE用户及运营商的合法权益。本发明仅通过对UE及有限的网络侧网元进行相应升级即可实现,实现成本较低。
文档编号H04W12/06GK102202290SQ20111014297
公开日2011年9月28日 申请日期2011年5月30日 优先权日2011年5月30日
发明者仝黎, 李俊 申请人:中兴通讯股份有限公司