专利名称:数据连接的安全性的制作方法
技术领域:
本发明涉及确保与电话网尤其与移动电信网连接的数据网中的数据连接的安全。
一种用于将移动电信网用户连接到数据业务的配置如
图1中所示。图中,用户将其计算机PC(个人计算机)连接到其GSM移动台MS。该MS建立了到GSM网的基站收发信机BTS的连接。BTS将MS发送的信息转发到基站控制器BSC,基站控制器又将该信息转发到移动交换中心MSC。该MSC利用LAN接入单元连接到运营者的专用数据网。在专用网中,智能数据代理IDA提供诸如计费等所用的智能并提供数据连接的使用和维护。专用网连接到其他网,如ATM(异步传输方式)、X.21、帧中继FR和因特网。
用户在利用另一种专用网中的服务器所提供的业务时所用的一种配置如图2中所示。参照该图,第二专用网通过一个仲裁网或多个仲裁网连接到运营者网。当该专用网是例如某公司的专用网时,必须提高用户到服务器的数据连接的安全性。在移动用户MS与移动交换中心MSC之间,GSM系统提供了认证和安全数据传输。
在GSM中,认证过程基于查询响应过程,据此,网络向配置在移动台中的用户身份模块SIM发送一个随机查询。用户台根据基于该随机查询以及一个只有网络的认证中心和SIM所知的保密密钥的计算结果作出响应。随机查询和保密密钥的响应还可以在认证中心进行计算。如果SIM和认证中心所得出的响应一致,那么认证过程便证实了移动用户的真实性。
基站与移动台之间的数据传输用一种根据随机查询和保密密钥推算出的保密的加密密钥来加密。保密密钥加密法将在后面详述,这种方法也称为对称加密法。
尽管可以假定GSM连接是安全的,然而,如果仲裁网中不进行认证和加密,那么用户和服务器之间的连接也是不安全的。
现有技术中有多种用于确保两个网络单元之间的连接的安全的方法。附图中的图3和4示出了两种可用来保护传输的已知加密算法的框图对称和非对称算法。
图3说明了一种基于双方共用的保密密钥的对称加密过程。在A方端,用这一共用的保密密钥来加密要发送到B方的消息。该消息以加密形式通过传输路由来发送。接收方B用同样的保密密钥K将加密消息解密以恢复原始消息。窃听传输的电子窃贼需要得知保密密钥才能读出和理解所发送的加密消息。另一种方法是找出算法本身的弱点。因此,最好采用公用解析算法,如DES(数据加密标准)算法。对称过程的加密和解密可用以下公式来表述C=EK(M)和M=DK(C),其中,C是加密消息,M是明文消息,EK是用密钥K进行的加密,而DK是用密钥K进行的解密。
图4说明了非对称法的公用密钥加密过程。这种算法基于两种密钥公用密钥和专用密钥。这两种密钥的关系是这样的用公用密钥加密的消息只能用相应的专用密钥来解密,反之亦然。利用相应的专用密钥可以很容易地推算出公用密钥。然而,根据相应的公用密钥却难以推算出专用密钥。图4中,在A方端用预定接收端即B方的公用密钥将消息加密。加密消息通过传输线路被发送到B方端,在B方端,用相应的B方的专用密钥将加密消息解密并恢复原始消息。此外,最好采用公用解析算法,如RSA(River-Shamir-Adleman)算法。
非对称算法的加密和解密还可用以下公式来表述C=EB+(M)和M=DB-(C),
其中,C是加密消息,M是明文消息,EB+是用接收端的公用密钥KB+进行的加密,而DB-是用接收端的专用密钥KB-进行的解密。由于加密功能E的特性,因此,如果不知道专用密钥,则难以利用接收方的公用密钥将所加密的消息解密。
由于非对称密钥通常比对称密钥长得多,因而非对称算法需要多得多的处理容量。因此,非对称算法不适合于对大量的数据进行加密,这是因为对需要很高传输速率的网络而言公用密钥过程可能太慢。
混合密码术是以上两种算法同时采用。例如,只有会话密钥利用公用密钥算法来交换,而通信中的其余部分采用对称法加密。
在公用密钥算法中,利用了消息发送端的专用密钥的消息的加密起到了数字签名作用,这是因为任何人都能用发送端的已知公用密钥将消息解密。这种特征可用来提供连接中消息的完整性和认证。数字签名的使用情况如图5和6中所示。
数字签名的生成过程如图5中所示。发送端根据消息利用密码很强的单向散列函数得出消息摘要。该消息摘要有点类似于电信中广泛使用的差错检验码。但与差错检验码相反,显然计算上难以用另一消息来取代某个消息以得到同一消息摘要。
利用发送端的专用密钥来加密消息摘要,并将加密后的消息摘要作为数字签名。然后将数字签名与消息一起发送到接收端。
接收方验证数字签名的过程如图6所示。接收端接收到消息和数字签名后,利用消息摘要算法得出该消息的消息摘要。如果消息中没有出现变化,则得到的消息摘要与发送端所得出的消息摘要一致。另一方面,由于算法的特性,因而对电子窃贼而言,计算上可能难以用能得到同一消息摘要的另一消息来取代该消息。
所接收的数字签名是利用发送端的专用密钥加密的消息摘要。因此,可以利用发送端的公用密钥将数字签名解密来恢复该消息摘要,该公用密钥是接收端已知的。如果解密是利用与假定发送端的公用密钥相应的专用密钥进行的,那么所恢复的消息摘要将与发送端所得出的消息摘要一致。只有当消息中没有出现变化时,这一消息摘要才与接收端所得出的消息摘要一致。因此,如果比较表明根据接收消息得出的消息摘要与对数字签名进行解密得出的消息摘要一致,那么可以推断出该消息没有变化并且该消息是由所规定的发送端所发送的。
在保密密钥加密法中,可利用类似于数字签名的消息认证码MAC来进行消息认证。例如,MAC可利用单向散列算法以下式来计算MAC=H(K,M,K),其中,K是密钥,M是消息,而H是散列函数。输入不可能根据输出推断出。当MAC附属于某个消息时,该消息不可能恶化或被假冒。接收方利用接收消息以及与发射方相同的散列函数和密钥计算出MAC,然后将这一计算出的MAC与附属于该消息的MAC比较以便对它进行验证。
在本申请中,术语“认证码”被作为所有为消息提供真实性和完整性的码(即无论是数字签名还是消息认证码)的通用名称。
现有技术提供了一种装置,用于从用户到GSM网以及从运营者的专用网到另一个诸如公司网的专用网的安全数据连接,如图7所示。不过,运营者网可为多个用户所用,这些用户中并非所有用户都有权使用公司网的业务。在现有技术中,必须利用基于用户与公司网之间的认证过程的口令来拒绝它们接入公司网。这太麻烦,因为每当建立连接时都必须传送该口令。
本发明的目的在于解决上述问题。利用独立权利要求书中所阐述的方法和装置可以达到这一目的。
本发明的基本思想是将电话系统的认证转交到专用网之间的支路中。根据本发明,与电话系统连接的委托运营者网包括一个认证服务器。此外,在此被称为公司网的第二专用网包括一个类似的认证服务器。
当用户请求公司网中服务器所提供的业务时,便启动认证过程。在这一过程中,运营者网的认证服务器AS_O采用数字计算的方法利用其自身的专用密钥来标记用户的认证标识,并构成一个包括标识和签名的消息。适用于识别用户的标识的一个例子是用户的MSISDN(移动用户综合业务数字网)号码。该签名对消息的真实性进行证实。另外,消息最好用公司网的认证服务器AS_C的公用密钥加密。这种加密可防止窃听者识别出请求业务的用户。所标记和加密的消息通过仲裁网被发送到公司网的认证服务器。
公司网的认证服务器接收消息并验证签名,以便证实消息的真实性。如果已采用了加密,则利用AS_C的专用密钥将消息解密。认证服务器校验用户对该数据业务的使用权,如果用户有权使用该业务,则生成连接中所要使用的会话密钥。含有会话密钥的消息最好用AS_O的公用密钥加密并且最好用AS_C的专用密钥标记后再被传送到运营者网。另外,会话密钥还被传送到该服务器。
AS_O接收加密和标记后的会话密钥,利用其自身的专用密钥将该密钥解密,并利用AS_C的公用密钥验证该密钥的真实性。如果认证过程通过,那么会话密钥被传送到对数据业务进行加密的网络单元中,于是该数据业务便开始。
下面参照附图来详述本发明,其中图1示出了与数据网连接的移动电信系统;图2示出了两个通过仲裁网连接的专用数据网;图3示出了对称加密过程;图4示出了基于公用密钥的加密过程;图5示出了数字签名的生成;图6示出了数字签名的验证;图7示出了认证方法;图8示出了两个通过仲裁网连接的专用数据网;图9示出了认证过程;
图10示出了加密过程;图11示出了转交的认证;图12示出了安全数据传送;图13示出了运营者网的认证服务器;和图14示出了公司网的认证服务器。
图8示出了两个网络一个运营者网和一个公司网,这两个网络通过一个仲裁网相互连接。运营者网通过电话系统如GSM系统与用户连接。无论在运营者网还是在公司网中,都配置了认证服务器。这些服务器称为AS_O(运营者网的认证服务器)和AS_C(公司网的认证服务器)。另外,认证服务器还与密钥数据库连接。与运营者网的认证服务器AS_O连接的密钥数据库包括以下信息认证服务器(比如运营者网能连接到的公司网的AS_C)的公用密钥,和·AS_O的公用和专用密钥。
与公司网的认证服务器AS_C连接的密钥数据库包括以下信息·AS_O的公用密钥。
·AS_C的公用和专用密钥。
这确保了机密信息如专用密钥无需通过不安全的仲裁网传送。正如本申请中的前文所述,公用密钥可以被公开而没有任何风险。
下面来考查根据本发明的认证和加密过程的一些例子。认证过程如图9中所示。这一过程由呼入数据呼叫的请求所启动。主叫用户的MSISDN号码被转发到IDA。通过MSISDN号码的变换,IDA证实用户请求接入其业务的服务器的身份以及该服务器所在的公司网的认证服务器AS_C的身份。然后,在步骤11将这一信息转发到认证服务器AS_O。
在接收到主叫用户的MSISDN号码和认证服务器OA_C的身份后,AS_O。
1.利用其自身的专用密钥生成基于MSISDN号码的数字签名(步骤O01),2.采用一种公用密钥法和利用存储在密钥数据库中的AS_C的公用密钥将该MSISDN号码和数字签名加密(步骤O02),和3.将加密后的MSISDN号码和签名发送到AS_C(步骤O03)。
适用于本发明的公用密钥加密法一个例子是众所周知的RSA算法。
应当注意,如果该数字签名仅根据MSISDN号码得出,那么所有包括同一MSISDN号码的消息是一致的。这使得可以跟踪用户的业务。为了解决这一问题,数字签名最好不仅仅根据MSISDN号码得出,而是与一个随机数一起来标记该MSISDN号码。因此识别同一用户的消息便不一致,从而使得不可能进行用户的跟踪或者至少很难以跟踪。
在步骤C01,AS_C接收标记和加密后的消息。在步骤C02,它利用存储在其密钥数据库中的其自身的专用密钥将消息解密。此时,将消息和数字签名恢复为明文后,AS_C在步骤P03利用AS_O的公用密钥对数字签名进行验证,以便证实该消息的真实性。
此时AS_C识别请求数据业务的用户并已证实这一请求是从某个委托网即运营者网接收到的。在步骤C04,AS_C查阅其数据库并校验该用户即该MSISDN号码的接入许可。
如果用户有权使用该业务,则在步骤C05为这一特定会话生成一个会话密钥。该密钥被发送到服务器,服务器在步骤S1接收该密钥。为了使会话密钥通过仲裁网安全传输到运营者网的认证服务器AS_O,要将公用密钥算法与数字签名结合起来使用。在步骤P06,利用AS_C的专用密钥来生成数字签名。为了使电子窃贼更难以得知会话密钥,最好与一个随机数一起来标记该会话密钥。接着,在步骤P07,利用AS_O的公用密钥将该消息和数字签名加密。然后,在步骤P08,通过仲裁网将标记和加密后的消息发送到AS_O。
在步骤O11,AS_O接收标记和加密后的含有会话密钥的消息。在步骤O12,它利用其自身的专用密钥将消息解密。此时,将会话密钥恢复为明文并恢复数字签名后,AS_O在步骤O13利用AS_C的公用密钥对签名进行验证。这一验证证实该消息的真实性。如果验证表明该会话密钥是由所规定的发送端即AS_C所发送的,则AS_O在步骤O13将该会话密钥转发到IDA。在步骤12,IDA接收这一密钥。
应当注意,采用数字计算的方法标记消息和将消息加密的次序可以变动。同样要注意,标记过程可以用其他过程如利用消息认证码来取代。
此时,无论提供所请求数据业务的服务器还是IDA都保存了会话密钥。于是可以进行实际数据传输。数据以加密形式通过仲裁网传送。加密过程如图10中所示。
在数据连接中,首先利用GSM业务及其数据安全功能,将数据从用户的移动台发送到移动交换中心MSC。MSC将移动台发送的数据DATA1转发到IDA。IDA接收该数据并采用对称加密法和利用从AS_O接收到的会话密钥KEY将该数据加密。所适用的对称加密算法的一个例子是众所周知的DES算法。加密后的消息E1通过仲裁网被发送到服务器。
服务器接收加密消息,并利用图9的步骤S1中认证过程中从AS_C接收到的会话密钥KEY将加密消息E1解密来恢复所发送的数据DATA1。所恢复的数据被转发到服务器应用中。
当服务器应用将数据DATA2发送到用户时,服务器中运行的加密算法利用会话密钥KEY将数据加密。然后,将加密后的数据消息发送到运营者网中的IDA。
运营者网的IDA接收该消息并利用会话密钥将其解密。得到明文消息后,IDA通过移动交换中心将其发送给用户。
所转交的认证的过程如图11所示。移动用户MS与移动交换中心MSC之间的支路通过GSM认证过程来认证。利用这一过程,移动交换中心可以证实移动用户所提供的标识信息是正确的即确实是自身的MSISDN号码。AS_O通过运营者的委托专用数据网与MSC连接。因此,AS_O可以确定该用户确实真正标识了它自己。
为了建立到服务器的连接,AS_O通过仲裁网以加密和标记形式将MSISD号码发送给AS_C。这一加密确保了只有预定接收方(即公司网的委托网络单元AS_C)才能读该消息。签名确定了AS_O到AS_C。因而,当消息的签名验证通过时,AS_C便证实该消息来自委托网络单元AS_O。因此,请求业务的用户的身份也是信得过的。于是,确定移动用户是到AS_C。AS_C和服务器都在同一公司网中,而公司网中的网络单元相互信任。因此,服务器还可以确信该用户在显示它的真实身份。
本发明的这一优选实施方式提供了公司网的AS_C到运营者网的AS_O的认证。在将含有用户身份信息的消息从AS_O发送到AS_C时,利用公用密钥加密法来实现这一实施方式。另外(或者作为另一种方法),还可以利用从AS_C发送到AS_O的含有会话密钥的消息的数字签名来验证真实性。如果确定运营者网是到MS,那么还将AS_C的真实性转发给用户。这就是说,公司网可以确信用户的身份而用户也可以确信公司网的身份。
数据传送的安全性的基本原理可参照图12来说明。在移动台MS与基站BTS之间的支路中,采用了根据GSM技术要求的加密法。从BTS到IDA,委托了传输路径。在从IDA通过仲裁网到服务器的支路中,采用了对称加密法。在从MS到服务器和从服务器到MS这两个传输方向上,加密通路是相似的。因此,移动台与服务器之间的端对端连接是安全的。
认证服务器中所要求的功能性如图13和14中所示。图13示出了运营者网中的认证中心AS_O的功能性。该服务器具有*接收装置,用于接收来自电信网的用户身份,*响应接收装置的确定装置,用于根据用户的身份确定第二认证服务器的身份,
*响应接收装置的标记装置,用于生成数字签名,和*响应接收装置、确定装置和标记装置的发送装置,该装置具有将身份和签名发送到公司网的认证服务器的功能性。
变换装置和标记装置需要有关用户的业务和服务器的专用密钥的信息,该信息可以从数据库DB中得到。
为了根据优选实施方式将用户身份加密后再将其通过仲裁网发送出去,还需要响应标记装置的加密装置。应当注意,标记和加密的次序可以变动。加密装置需要公司网的认证服务器的公用密钥,因此它也与数据库DB连接。
为了能接收到来自另一认证服务器的会话密钥,该认证服务器还具有第二接收装置,用于接收来自公司网的认证服务器的加密会话密钥,和响应第二接收装置的解密装置,用于将加密会话密钥解密。如果公司网的认证服务器根据优选实施方式标记会话密钥,那么运营者网的认证服务器还必须具有响应第二接收装置的验证装置,用于验证根据会话密钥得出的数字签名。
公司网的认证服务器中所需的装置如图14所示。该认证服务器具有*接收装置,用于接收用户身份和根据用户身份以及用户所请求的来自运营者网的认证服务器的业务标识得出的数字签名,*响应接收装置的验证装置,用于验证数字签名,*响应接收装置的校验装置,用于校验用户是否有权使用所请求的业务,*响应校验装置的生成装置,用于生成会话密钥,*响应生成装置的加密装置,用于将会话密钥加密,和*响应加密装置的发送装置,用于将加密消息发送到另一认证服务器。
如果用户身份被加密后再被发送到公司网,那么该认证服务器还要具有响应接收装置的装置,用于利用认证服务器的专用密钥将用户身份解密。如果公司网的认证服务器要将会话密钥标记后再将其发送到运营者网的认证服务器,那么该认证服务器还必须具有响应生成装置的标记装置,用于利用认证服务器的专用密钥来标记会话密钥。
应当注意,本发明的范围并不局限于上述举例的实施方式。例如,在同公司网联系时,可以采用并非MSISDN号码的标识。为了简明起见,只使用了“公司网”这个字眼,因为它可以是任何专用网,而未必是公司的闭路数据网。它还可以是例如网络运营者所运营的请求用户认证的专用网。这可以根据用户的MSISDN号码通过确定公司网中所用的标识来实现。变换可以在例如AS_O中完成。签名生成和加密的次序还可以与例子中所采用的次序不同。换言之,消息可以先加密后标记。
在本申请的这些例子中,认证服务器、IDA和LAN接入单元被描述成独立的网络单元。不过,这对本发明而言无关紧要,多个这些功能性可以在单个网络单元中实现。另外,一种功能性也可以分配到多个网络单元中。同样,签名可以明文发送。在这种实施方式中,消息被加密而签名附属于加密消息中而未加密。
还应当理解,本发明的应用并不局限于本申请的例子中所用的GSM系统,而可以将本发明应用于其中要对用户进行安全认证并与专用网连接的任何电信系统中。这种电话系统的一个例子是固定电话系统。移动电话系统的另一个例子是GPRS(通用分组无线系统)。
权利要求
1.在一种配置中提供数据连接的安全的方法,这种配置包括一个包括一些用户的电信网,一个与电信网连接的第一专用数据网,一个包括提供数据业务的服务器的第二专用数据网,在这种方法中,利用电信网的认证方法,为第一专用数据网认证用户,其特征在于在第一专用数据网中将用户的标识加到认证码中,并将含有用户身份和认证码的消息发送到第二专用数据网中,此外,在第二专用数据网中,在接收到该消息后验证该认证码,校验所标识的用户对所请求业务的使用权,和如果用户有权使用所请求业务,则产生应答并将应答发送到第一专用数据网。
2.如权利要求1所述的方法,其特征在于,该电信网是移动电信网。
3.如权利要求1所述的方法,其特征在于,用户标识是电话号码,如用户的MSISDN号码。
4.如权利要求1所述的方法,其特征在于,认证码是消息认证码MAC。
5.如权利要求1所述的方法,其特征在于,认证码是数字签名。
6.如权利要求5所述的方法,其特征在于,在配置在第一专用数据网中的认证服务器中,数字地标记用户的标识。
7.如权利要求6所述的方法,其特征在于,利用认证服务器的专用密钥数字地标记该标识。
8.如权利要求7所述的方法,其特征在于,该密钥存储在与认证服务器连接的密钥数据库中。
9.如权利要求1所述的方法,其特征还在于,在采用公用密钥加密法将用户身份加密后再将其从第一专用数据网发送到第二专用数据网。
10.如权利要求9所述的方法,其特征在于,在配置在第一专用数据网中的认证服务器中将该用户身份加密。
11.如权利要求10所述的方法,其特征在于,在第二专用数据网中配置了一个认证服务器,并且利用第二专用数据网的认证服务器的公用密钥来加密该标识。
12.如权利要求11所述的方法,其特征在于,该密钥存储在与第一专用网的认证服务器连接的密钥数据库中。
13.如权利要求1所述的方法,其特征在于,在第二专用数据网中配置了一个认证服务器,并且验证该认证码,校验用户对所请求业务的使用权,再在该认证服务器中产生一个应答。
14.如权利要求13所述的方法,其特征在于,在第一专用数据网中配置了一个认证服务器,并利用第一专用数据网的认证服务器的公用密钥来验证该认证码。
15.如权利要求14所述的方法,其特征在于,第一专用数据网的认证服务器的公用密钥存储在与第二专用数据网的认证服务器连接的密钥数据库中。
16.如权利要求1所述的方法,其特征在于,应答包括会话密钥,用来在用户与服务器之间所要建立的连接中对第一与第二专用数据网之间的支路上的数据业务进行加密。
17.如权利要求16所述的方法,其特征在于,在第二专用数据网中,数字地标记含有会话密钥的应答。
18.如权利要求17所述的方法,其特征在于,在第二专用数据网中配置了一个认证服务器,并利用该认证服务器的专用密钥来标记含有会话密钥的应答。
19.如权利要求16所述的方法,其特征在于,在第一专用数据网中配置了一个认证服务器,并利用第一专用数据网的认证服务器的公用密钥来加密含有会话密钥的应答。
20.如权利要求19所述的方法,其特征在于,在第二专用数据网中配置了一个认证服务器,并在第二专用数据网的认证中心中将含有会话密钥的应答加密。
21.与电信网连接的数据网的一种认证服务器,其特征在于,该认证服务器具有接收装置,用于接收来自电信网的用户身份,响应接收装置的确定装置,用于根据用户的身份确定第二认证服务器的身份,响应接收装置的标记装置,用于生成数字签名,响应接收装置、确定装置和标记装置的发送装置,该装置具有将身份和签名发送到第二认证服务器的功能性。
22.如权利要求21所述的认证服务器,其特征在于,该认证服务器还具有响应接收装置和变换装置的加密装置,用于利用第二认证服务器的公用密钥将该身份加密。
23.如权利要求21所述的认证服务器,其特征在于,该认证服务器还具有第二接收装置,用于接收来自第二认证服务器的加密会话密钥,和响应第二接收装置的解密装置,用于将加密会话密钥解密。
24.如权利要求23所述的认证服务器,其特征在于,该认证服务器还具有响应第二接收装置的验证装置,用于验证根据会话密钥得出的数字签名。
25.数据网的一种认证服务器,其特征在于,该认证服务器具有接收装置,用于接收用户身份和根据用户身份以及用户所请求的业务标识所得出的数字签名,响应接收装置的验证装置,用于验证数字签名,响应接收装置的校验装置,用于校验用户对所请求业务的使用权,响应校验装置的生成装置,用于生成会话密钥,响应生成装置的加密装置,用于将会话密钥加密,和响应加密装置的发送装置,用于将加密消息发送到另一认证服务器。
26.如权利要求25所述的认证服务器,其特征在于,该认证服务器还具有响应接收装置的装置,用于利用认证服务器的专用密钥将用户身份解密。
27.如权利要求25所述的认证服务器,其特征在于,该认证服务器还具有响应生成装置的标记装置,用于利用认证服务器的专用密钥来标记会话密钥。
全文摘要
本发明涉及电话用户的数据连接的安全。本发明的基本思想是将电话系统的认证转交到通过仲裁网连接的两个专用数据网之间的支路中。在建立连接时,与电话系统连接的专用网将所认证的用户身份转发到另一专用网。为了提供真实转发的身份,含有这一身份的消息被标记。为了对用户身份进行加密,采用公用密钥法将消息加密。为此,第二专用网生成连接中所要使用的会话密钥。这一密钥采用公用密钥法来标记和加密并被发送到第一专用网中。在连接期间,采用具有会话密钥的对称加密法。
文档编号H04M3/00GK1280727SQ98811612
公开日2001年1月17日 申请日期1998年11月26日 优先权日1997年11月26日
发明者尤西皮卡·雷沃 申请人:诺基亚网络有限公司