專(zhuān)利名稱(chēng):自同步認(rèn)證和密鑰一致協(xié)議的制作方法
技術(shù)領(lǐng)域:
本發(fā)明主要涉及通信系統(tǒng)��,尤其涉及無(wú)線(xiàn)通信系統(tǒng)�。
背景技術(shù):
無(wú)線(xiàn)通信系統(tǒng),諸如蜂窩電話(huà)系統(tǒng)�����,如今能夠建立和維持具有分布在大范圍����、不斷增加的、地球表面區(qū)域的分區(qū)的上百萬(wàn)移動(dòng)單元的并發(fā)無(wú)線(xiàn)通信鏈路�����。此外�,用戶(hù)可以攜帶僅僅一個(gè)移動(dòng)單元到國(guó)家內(nèi)甚至在一些情況下到全世界的許多位置,并體驗(yàn)著不間斷的無(wú)線(xiàn)通信業(yè)務(wù)�����。例如��,登記到位于新澤西州的服務(wù)提供商的移動(dòng)單元在休斯頓同樣可以工作。為了向在很大地理區(qū)域內(nèi)自由移動(dòng)的移動(dòng)單元提供近乎透明的服務(wù)�����,無(wú)線(xiàn)通信系統(tǒng)典型地將該地理區(qū)域分割為通過(guò)無(wú)線(xiàn)通信網(wǎng)絡(luò)連接的較小區(qū)域����,諸如小區(qū)。
圖1概念地圖示了傳統(tǒng)無(wú)線(xiàn)通信網(wǎng)絡(luò)100�����,其可以利用位于多個(gè)小區(qū)中的一個(gè)或多個(gè)小區(qū)110(1-2)的一個(gè)或多個(gè)移動(dòng)單元105(1-2)建立一個(gè)或多個(gè)無(wú)線(xiàn)通信鏈路���。每個(gè)小區(qū)110(1-2)包括基站115(1-2)��,其與位于小區(qū)110(1-2)內(nèi)的一個(gè)或多個(gè)移動(dòng)單元105(1-2)建立和維持并發(fā)的無(wú)線(xiàn)通信鏈路�。每個(gè)基站115(1-2)通信地耦合到移動(dòng)交換中心125(1-2)�。典型地,每個(gè)移動(dòng)交換中心125(1-2)與向特定理區(qū)域提供服務(wù)的至少一個(gè)小區(qū)110(1-2)相關(guān)聯(lián)���。例如�,移動(dòng)交換中心125(1)可以與小區(qū)110(1)相關(guān)聯(lián)�����,該小區(qū)可以覆蓋特定大城市區(qū)域。移動(dòng)交換中心125(1-2)經(jīng)由網(wǎng)絡(luò)130通信地耦合�,該網(wǎng)絡(luò)130例如是公共交換電話(huà)網(wǎng)(PSTN)��、傳統(tǒng)電話(huà)系統(tǒng)(POTS)��、綜合服務(wù)數(shù)字網(wǎng)(ISDN)��、蜂窩網(wǎng)絡(luò)����、衛(wèi)星網(wǎng)絡(luò)等等。
訪(fǎng)問(wèn)位置寄存器(VLR)140(1-2)與每個(gè)移動(dòng)交換中心125(1-2)相關(guān)聯(lián)�。訪(fǎng)問(wèn)位置寄存器140(1-2)典型地包括標(biāo)識(shí)目前存在于相關(guān)聯(lián)小區(qū)110(1-2)內(nèi)的每個(gè)移動(dòng)單元105(1-2)的信息。例如��,訪(fǎng)問(wèn)位置寄存器140(1)可以包括存在于小區(qū)110(1)中的“歸屬”和/或“訪(fǎng)問(wèn)”移動(dòng)單元105(1)的列表�。訪(fǎng)問(wèn)位置寄存器140(1-2)典型地實(shí)現(xiàn)于服務(wù)器節(jié)點(diǎn)中,諸如服務(wù)GPRS支持節(jié)點(diǎn)(SGSN���,ServingGPRS Support Node)�����。然而�,為了清楚起見(jiàn),這里將包括訪(fǎng)問(wèn)位置寄存器140(1-2)的服務(wù)器節(jié)點(diǎn)統(tǒng)稱(chēng)為訪(fǎng)問(wèn)位置寄存器140(1-2)�����。
歸屬位置寄存器(HLR)135(1-2)也與每個(gè)移動(dòng)交換中心125(1-2)相關(guān)聯(lián)����。該歸屬位置寄存器135(1-2)典型地包括標(biāo)識(shí)與移動(dòng)交換中心125(1-2)相關(guān)聯(lián)的移動(dòng)單元105(1-2)的信息。歸屬位置寄存器135(1-2)和訪(fǎng)問(wèn)位置寄存器140(1-2)在圖1中表示為單獨(dú)的功能塊��。然而����,本領(lǐng)域的普通技術(shù)人員應(yīng)該理解歸屬位置寄存器135(1-2)和/或訪(fǎng)問(wèn)位置寄存器140(1-2)可以替換地并入移動(dòng)交換中心125(1-2)中。此外���,在一些實(shí)施例中�����,歸屬位置寄存器135(1-2)和訪(fǎng)問(wèn)位置寄存器140(1-2)的部分可以合并為單個(gè)寄存器��。
在操作過(guò)程中�����,當(dāng)其中一個(gè)移動(dòng)單元105(1)發(fā)送訪(fǎng)問(wèn)請(qǐng)求到其中一個(gè)基站115(1)時(shí)�,無(wú)線(xiàn)通信鏈路被啟動(dòng)。該訪(fǎng)問(wèn)請(qǐng)求典型地包括諸如與移動(dòng)單元105(1)相關(guān)聯(lián)的標(biāo)識(shí)號(hào)碼的信息�、指示移動(dòng)單元105(1)的一個(gè)或多個(gè)能力的信號(hào)、指示移動(dòng)單元105(1)遵守的一個(gè)或多個(gè)協(xié)議的信號(hào)等等����。然后基站115(1)提供接入請(qǐng)求到相關(guān)聯(lián)的移動(dòng)交換中心125(1)����,該移動(dòng)交換中心在訪(fǎng)問(wèn)位置寄存器135(1)中存儲(chǔ)指示移動(dòng)單元105(1)的信息。
移動(dòng)交換中心125(1)還訪(fǎng)問(wèn)歸屬位置寄存器140(1)以確定移動(dòng)交換中心125(1)是否是移動(dòng)單元105(1)的歸屬移動(dòng)交換中心�。如果移動(dòng)交換中心125(1)不是移動(dòng)單元105(1)的歸屬移動(dòng)交換中心,那么移動(dòng)交換中心125(1)廣播一個(gè)消息到網(wǎng)絡(luò)130���。該消息可以用來(lái)確定移動(dòng)單元105(1)與另一個(gè)移動(dòng)交換中心相關(guān)聯(lián)��,例如通過(guò)訪(fǎng)問(wèn)與移動(dòng)交換中心125(2)相關(guān)聯(lián)的歸屬位置寄存器135(2)確定與移動(dòng)交換中心125(2)相關(guān)聯(lián)�����。一旦移動(dòng)單元105(1)已經(jīng)與合適的歸屬移動(dòng)交換中心125(1-2)相關(guān)聯(lián)����,那么就可以建立無(wú)線(xiàn)通信鏈路。
移動(dòng)交換中心125(1-2)還包括認(rèn)證中心(AuC)145(1-2)�����,其向移動(dòng)單元105(1-2)提供安全業(yè)務(wù)�����。認(rèn)證中心145(1-2)典型地根據(jù)認(rèn)證和密鑰一致(AKA�����,Authentication and Key Agreement)協(xié)議操作���。例如�,認(rèn)證中心145(1-2)可以根據(jù)認(rèn)證和密鑰一致(AKA)協(xié)議進(jìn)行操作�,其中詢(xún)問(wèn)響應(yīng)機(jī)制使用由第3代合作伙伴計(jì)劃(3GPP和3GPP2)定義的對(duì)稱(chēng)密碼來(lái)確保用戶(hù)身份保密性、用戶(hù)位置保密性和用戶(hù)不可跟蹤性�����。該認(rèn)證中心145(1-2)在圖1中顯示為單獨(dú)的功能塊����。然而����,本領(lǐng)域的普通技術(shù)人員應(yīng)該理解認(rèn)證中心145(1-2)可以替換地結(jié)合到移動(dòng)交換中心125(1-2)中���。此外����,在一些實(shí)施例中�����,歸屬位置寄存器135(1-2)和訪(fǎng)問(wèn)位置寄存器140(1-2)的部分可以被包含在認(rèn)證中心145(1-2)中�。
認(rèn)證中心145(1-2)包括與移動(dòng)單元105(1-2)相關(guān)聯(lián)的安全記錄的數(shù)據(jù)庫(kù)����。例如,數(shù)據(jù)庫(kù)中的每個(gè)條目可以包括秘密預(yù)設(shè)的根密鑰(root key)��,一個(gè)或多個(gè)加密算法���、一個(gè)或多個(gè)序列號(hào)和與每個(gè)移動(dòng)單元105(1-2)相關(guān)聯(lián)的其他信息��。移動(dòng)單元105(1-2)還包括安全信息�,其與認(rèn)證中心145(1-2)中的安全記錄所包含的信息相對(duì)應(yīng)。例如��,移動(dòng)單元105(1-2)中的用戶(hù)標(biāo)識(shí)模塊(圖1中未示出)可以包括秘密預(yù)設(shè)的根密鑰�����,一個(gè)或多個(gè)加密算法���、一個(gè)或多個(gè)序列號(hào)和與每個(gè)移動(dòng)單元105(1-2)相關(guān)聯(lián)的其他信息��。用戶(hù)標(biāo)識(shí)模塊有時(shí)被稱(chēng)為用戶(hù)服務(wù)標(biāo)識(shí)模塊(USIM)�����。
在操作中�����,移動(dòng)單元105(1)通過(guò)向訪(fǎng)問(wèn)位置寄存器140(1)提出訪(fǎng)問(wèn)請(qǐng)求來(lái)啟動(dòng)無(wú)線(xiàn)通信鏈路��,然后訪(fǎng)問(wèn)位置寄存器140(1)向認(rèn)證中心145(1)提出認(rèn)證數(shù)據(jù)請(qǐng)求�。認(rèn)證中心145(1)產(chǎn)生認(rèn)證中心序列號(hào)和隨機(jī)數(shù)���。然后使用一個(gè)或多個(gè)不可逆算法函數(shù)基于預(yù)設(shè)的根密鑰����、認(rèn)證管理域、認(rèn)證中心序列號(hào)和隨機(jī)數(shù)來(lái)產(chǎn)生一些數(shù)值��,諸如消息認(rèn)證碼����、預(yù)期結(jié)果、加密密鑰(cipher key)����、完整性密鑰、匿名密鑰等等�����。然后認(rèn)證中心145(1)使用位置寄存器序列號(hào)�、匿名密鑰�����、認(rèn)證管理域和消息認(rèn)證碼來(lái)形成認(rèn)證令牌(AUTN)�����。
認(rèn)證中心145(1)還基于隨機(jī)數(shù)、預(yù)期結(jié)果�、加密密鑰、完整性密鑰和認(rèn)證令牌形成一個(gè)或多個(gè)認(rèn)證向量���。認(rèn)證中心145(1)提供包括認(rèn)證向量的認(rèn)證數(shù)據(jù)響應(yīng)到訪(fǎng)問(wèn)位置寄存器140(1)���,其存儲(chǔ)認(rèn)證向量。訪(fǎng)問(wèn)位置寄存器140(1)選擇一個(gè)認(rèn)證向量并在用戶(hù)認(rèn)證請(qǐng)求中將其提供給移動(dòng)單元105(1)��。移動(dòng)單元105(1)通過(guò)校驗(yàn)認(rèn)證令牌來(lái)驗(yàn)證網(wǎng)絡(luò)�,然后計(jì)算結(jié)果,并在用戶(hù)認(rèn)證響應(yīng)中將計(jì)算結(jié)果提供給訪(fǎng)問(wèn)位置寄存器140(1)�����。訪(fǎng)問(wèn)位置寄存器140(1)將該結(jié)果與預(yù)期結(jié)果相比較����,并且如果該結(jié)果等于預(yù)期結(jié)果就認(rèn)證移動(dòng)單元105(1)。
認(rèn)證和密鑰一致協(xié)議包括重放保護(hù)機(jī)制以保證所述認(rèn)證向量是最新的并且不會(huì)被非法網(wǎng)絡(luò)(rogue network)重復(fù)����。該機(jī)制需要在移動(dòng)單元105(1)中維護(hù)一個(gè)或多個(gè)序列號(hào)�,該序列號(hào)能夠與存儲(chǔ)在相應(yīng)認(rèn)證中心145(1)的一個(gè)或多個(gè)序列號(hào)相比較。移動(dòng)單元105(1)只接收包括預(yù)定范圍內(nèi)的序列號(hào)的認(rèn)證令牌。例如�,如果移動(dòng)單元序列號(hào)等于300,那么移動(dòng)單元105(1)只接受包括在301到310范圍內(nèi)的認(rèn)證中心序列號(hào)的認(rèn)證令牌。
如果在移動(dòng)通信鏈路建立之后,移動(dòng)單元105(1)接收具有不可接受的認(rèn)證中心序列號(hào)的認(rèn)證向量,移動(dòng)單元105(1)就假設(shè)無(wú)線(xiàn)通信網(wǎng)絡(luò)100不再同步�,并啟動(dòng)再同步過(guò)程�。在該再同步過(guò)程中,移動(dòng)單元序列號(hào)的目前值在認(rèn)證同步器(AUTS)參數(shù)中被提供到訪(fǎng)問(wèn)位置寄存器140(1)����,該認(rèn)證同步器(AUTS)參數(shù)包括由移動(dòng)單元105(1)計(jì)算的完整性保護(hù)消息認(rèn)證碼并被掩碼以防止被竊聽(tīng)。訪(fǎng)問(wèn)位置寄存器140(1)提供AUTS參數(shù)到認(rèn)證中心145(1)�����,該認(rèn)證中心校驗(yàn)該消息認(rèn)證碼是否是有效的�。如果該消息認(rèn)證碼是有效的,那么認(rèn)證中心145(1)將認(rèn)證中心序列號(hào)重置為有效序列號(hào)�����。例如����,如果移動(dòng)單元序列號(hào)等于300,那么認(rèn)證中心145(1)可以將認(rèn)證序列號(hào)重置為從301到310范圍內(nèi)隨機(jī)選擇的號(hào)碼�����。
當(dāng)移動(dòng)單元105(1)從與訪(fǎng)問(wèn)位置寄存器140(1)相關(guān)聯(lián)的小區(qū)110(1)漫游到與訪(fǎng)問(wèn)位置寄存器140(2)相關(guān)聯(lián)的小區(qū)110(2)時(shí)���,在已經(jīng)建立的無(wú)線(xiàn)通信鏈路上會(huì)發(fā)生失同步����,該失同步會(huì)觸發(fā)上述再同步過(guò)程�����。例如���,移動(dòng)單元105(1)可以提供訪(fǎng)問(wèn)請(qǐng)求到訪(fǎng)問(wèn)位置寄存器140(1)����,其然后將從認(rèn)證中心145(1)請(qǐng)求一個(gè)或多個(gè)認(rèn)證向量�。訪(fǎng)問(wèn)位置寄存器140(1)然后會(huì)存儲(chǔ)所請(qǐng)求的認(rèn)證向量。所請(qǐng)求的認(rèn)證向量可以包括在一個(gè)范圍內(nèi)(諸如301到310)的認(rèn)證中心序列號(hào)�����。如果移動(dòng)單元105(1)然后漫游到小區(qū)110(2),那么訪(fǎng)問(wèn)位置寄存器140(2)將從與移動(dòng)單元105(1)的歸屬位置寄存器135(1)相關(guān)聯(lián)的認(rèn)證中心145(1)請(qǐng)求新的一組認(rèn)證向量��。該新請(qǐng)求的認(rèn)證向量可以包括在一個(gè)新范圍內(nèi)(諸如311到320)的認(rèn)證中心序列號(hào)��。
當(dāng)漫游中的移動(dòng)單元105(1)接收該新認(rèn)證向量時(shí)��,移動(dòng)單元105(1)使移動(dòng)單元序列號(hào)浮動(dòng)到與新認(rèn)證向量的認(rèn)證中心序列號(hào)(諸如311)相一致�。然而,如果移動(dòng)單元105(1)后來(lái)返回到小區(qū)110(1)�,那么訪(fǎng)問(wèn)位置寄存器140(1)會(huì)提供具有不可接受的序列號(hào)(諸如在301到310范圍內(nèi)的序列號(hào))的舊認(rèn)證向量,這會(huì)導(dǎo)致移動(dòng)單元105(1)和認(rèn)證中心145(1)的失同步�����。因?yàn)榇罅康穆我苿?dòng)單元105(1-2)典型地由每個(gè)認(rèn)證中心145(1-2)服務(wù)�����,失同步可能在根據(jù)認(rèn)證和密鑰一致協(xié)議操作的無(wú)線(xiàn)通信網(wǎng)絡(luò)中是普遍的����,并且再同步過(guò)程將是相對(duì)頻繁的。許多的再同步程序會(huì)大量占用網(wǎng)絡(luò)資源并且不期望地延長(zhǎng)認(rèn)證周期��。
本發(fā)明用于解決上述的一個(gè)或多個(gè)問(wèn)題的影響�����。
發(fā)明內(nèi)容
在本發(fā)明的一個(gè)實(shí)施例中�����,提供一種與至少一個(gè)移動(dòng)單元和至少一個(gè)認(rèn)證中心進(jìn)行無(wú)線(xiàn)通信的方法�。該方法包括基于至少一個(gè)與所述移動(dòng)單元相關(guān)聯(lián)的第一序列號(hào)產(chǎn)生至少一個(gè)訪(fǎng)問(wèn)請(qǐng)求,并接收基于所述訪(fǎng)問(wèn)請(qǐng)求形成的至少一個(gè)消息����,所述消息包括至少一個(gè)與所述認(rèn)證中心相關(guān)聯(lián)的第二序列號(hào),所述第二序列號(hào)被選擇來(lái)對(duì)于所述移動(dòng)單元是可接受的��。
在本發(fā)明的另一個(gè)實(shí)施例中�,提供一種與無(wú)線(xiàn)通信網(wǎng)絡(luò)中的至少一個(gè)移動(dòng)單元和至少一個(gè)認(rèn)證中心進(jìn)行無(wú)線(xiàn)通信的方法。該方法包括接收至少一個(gè)基于至少一個(gè)與所述移動(dòng)單元相關(guān)聯(lián)的第一序列號(hào)形成的訪(fǎng)問(wèn)請(qǐng)求�,并提供至少一個(gè)基于所述訪(fǎng)問(wèn)請(qǐng)求的消息,所述消息包括一個(gè)與所述認(rèn)證中心相關(guān)聯(lián)的第二序列號(hào)�,所述第二序列號(hào)被選擇來(lái)對(duì)于所述移動(dòng)單元是可接受的。
在本發(fā)明的另一個(gè)實(shí)施例中�����,提供一種與無(wú)線(xiàn)通信網(wǎng)絡(luò)中的至少一個(gè)移動(dòng)單元和至少一個(gè)認(rèn)證中心進(jìn)行無(wú)線(xiàn)通信的方法。該方法包括接收至少一個(gè)基于至少一個(gè)與所述移動(dòng)單元相關(guān)聯(lián)的第一序列號(hào)形成的訪(fǎng)問(wèn)請(qǐng)求�,并提供至少一個(gè)基于所述訪(fǎng)問(wèn)請(qǐng)求形成的第一消息。該方法還包括響應(yīng)于提供所述第一消息�����,接收至少一個(gè)第二消息�,該第二消息包括至少一個(gè)與所述認(rèn)證中心相關(guān)聯(lián)的第二序列號(hào),所述第二序列號(hào)被選擇來(lái)對(duì)于所述移動(dòng)單元是可接受的���。
本發(fā)明可以通過(guò)參考下述說(shuō)明和附圖來(lái)理解���,附圖中相同的附圖標(biāo)記代表相同元件,其中圖1概念地示出了傳統(tǒng)無(wú)線(xiàn)通信網(wǎng)絡(luò)����,其可以利用位于多個(gè)小區(qū)的一個(gè)或多個(gè)小區(qū)中的一個(gè)或多個(gè)移動(dòng)單元建立一個(gè)或多個(gè)無(wú)線(xiàn)通信鏈路;圖2概念地示出了根據(jù)本發(fā)明的無(wú)線(xiàn)通信網(wǎng)絡(luò)的一部分的示例性雖然本發(fā)明可以有各種修改和替換形式�,其具體實(shí)施例已經(jīng)通過(guò)附圖的示例被示出并在這里被詳細(xì)描述。但是��,應(yīng)當(dāng)理解�����,這里具體實(shí)施例的描述并不是為了把本發(fā)明限制為所公開(kāi)的具體形式,而正相反����,本發(fā)明覆蓋所有落入由權(quán)利要求所定義的本發(fā)明的精神和范圍內(nèi)的修改��、等效方案和替換��。
具體實(shí)施例方式
下面描述本發(fā)明的示例性實(shí)施例����。為了清楚起見(jiàn),在該說(shuō)明書(shū)中并沒(méi)有描述實(shí)際實(shí)施的所有特征��。當(dāng)然能理解���,在任何這樣的實(shí)際實(shí)施例的開(kāi)發(fā)中�����,應(yīng)當(dāng)作出許多實(shí)施相關(guān)的決定以實(shí)現(xiàn)開(kāi)發(fā)者的特殊目的�����,諸如遵守系統(tǒng)相關(guān)和商業(yè)有關(guān)的約束���,其將隨著實(shí)施例的不同而不同�����。此外��,將理解這樣的開(kāi)發(fā)會(huì)是復(fù)雜的和費(fèi)時(shí)的����,但是對(duì)于那些從本公開(kāi)中受益的本領(lǐng)域的普通技術(shù)人員來(lái)說(shuō)這仍然是常規(guī)措施�����。
圖2概念地示出了無(wú)線(xiàn)通信網(wǎng)絡(luò)200一部分的示例性實(shí)施例�。在該示出的實(shí)施例中,移動(dòng)交換中心205使用至少一個(gè)相關(guān)聯(lián)基站215向至少一個(gè)小區(qū)210提供無(wú)線(xiàn)通信服務(wù)��。為了清楚起見(jiàn)��,只有一個(gè)移動(dòng)交換中心205����、一個(gè)小區(qū)210和一個(gè)相關(guān)聯(lián)基站215被顯示在圖2中。然而����,本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解本發(fā)明并不限制于此����。在替換實(shí)施例中�����,無(wú)線(xiàn)通信網(wǎng)絡(luò)200可以包括使用任何期望數(shù)量的相關(guān)聯(lián)基站215服務(wù)于任何期望數(shù)量的小區(qū)210的任何期望數(shù)量的移動(dòng)交換中心205��。此外����,雖然無(wú)線(xiàn)通信網(wǎng)絡(luò)200的各種元件被顯示為單獨(dú)的功能塊����,本發(fā)明的普通技術(shù)人員仍然理解這些功能塊的部分可以按照期望的那樣組合在一起。
無(wú)線(xiàn)通信網(wǎng)絡(luò)200包括至少一個(gè)移動(dòng)單元220�。該移動(dòng)單元220維護(hù)相關(guān)聯(lián)的序列號(hào)(以下稱(chēng)為移動(dòng)單元序列號(hào))。在一個(gè)實(shí)施例中����,移動(dòng)單元220包括一個(gè)計(jì)數(shù)器(未示出),該計(jì)數(shù)器存儲(chǔ)移動(dòng)單元序列號(hào)的當(dāng)前值并響應(yīng)于某些事件而遞增所述移動(dòng)單元序列號(hào)�����。例如,每次移動(dòng)單元220建立新的無(wú)線(xiàn)通信鏈路時(shí)�,該計(jì)數(shù)器會(huì)遞增所述移動(dòng)單元序列號(hào)。在一個(gè)實(shí)施例中���,移動(dòng)單元序列號(hào)和計(jì)數(shù)器(如果有的話(huà))可以駐留在用戶(hù)服務(wù)標(biāo)識(shí)模塊(USIM)中�,其還可以被稱(chēng)為用戶(hù)標(biāo)識(shí)模塊(SIM)��。
移動(dòng)單元220能夠使用移動(dòng)單元序列號(hào)形成訪(fǎng)問(wèn)請(qǐng)求��。正如這里所使用的���,術(shù)語(yǔ)“訪(fǎng)問(wèn)請(qǐng)求”應(yīng)被理解為是指由至少一個(gè)移動(dòng)單元220提供的消息�,該消息包含可以被基站215使用以建立移動(dòng)單元220和基站215之間的無(wú)線(xiàn)通信鏈路的信息����。在一個(gè)實(shí)施例中,訪(fǎng)問(wèn)請(qǐng)求可以被發(fā)送以啟動(dòng)一次呼叫���。例如�,訪(fǎng)問(wèn)請(qǐng)求可以由移動(dòng)單元220發(fā)送以從小區(qū)210發(fā)起呼叫。在另一個(gè)實(shí)施例中�����,訪(fǎng)問(wèn)請(qǐng)求可以在呼叫中被發(fā)送����。例如,當(dāng)移動(dòng)單元220在呼叫時(shí)從另一個(gè)小區(qū)漫游到小區(qū)210時(shí)���,移動(dòng)單元220可以發(fā)送訪(fǎng)問(wèn)請(qǐng)求以建立與基站215的無(wú)線(xiàn)通信鏈路��。
訪(fǎng)問(wèn)請(qǐng)求包括可以用來(lái)建立安全無(wú)線(xiàn)通信鏈路的信息����。在一個(gè)實(shí)施例中����,移動(dòng)單元220被配置來(lái)使用預(yù)設(shè)的根密鑰����,隨機(jī)數(shù)和認(rèn)證管理域來(lái)形成消息認(rèn)證碼和匿名密鑰。例如��,移動(dòng)單元220可以使用一個(gè)或更多不可逆的算法函數(shù)形成消息認(rèn)證碼和匿名密鑰。移動(dòng)單元220還可以配置成使用匿名密鑰來(lái)對(duì)移動(dòng)單元序列號(hào)進(jìn)行掩碼����。例如,移動(dòng)單元220可以用來(lái)對(duì)移動(dòng)單元序列號(hào)和匿名密鑰進(jìn)行異或運(yùn)算����。然而,在替換實(shí)施例中��,移動(dòng)單元220可以不被配置來(lái)對(duì)移動(dòng)單元序列號(hào)進(jìn)行掩碼��。
移動(dòng)單元220還配置來(lái)使用移動(dòng)單元序列號(hào)(或被掩碼的移動(dòng)單元序列號(hào))和消息認(rèn)證碼來(lái)產(chǎn)生AUTS參數(shù)�。在一個(gè)實(shí)施例中,移動(dòng)單元220通過(guò)連接移動(dòng)單元序列號(hào)(或被掩碼的移動(dòng)單元序列號(hào))和消息認(rèn)證碼來(lái)產(chǎn)生AUTS參數(shù)����。然而,在替換實(shí)施例中��,移動(dòng)單元序列號(hào)(或被掩碼的移動(dòng)單元序列號(hào))和消息認(rèn)證碼可以以任何方式被結(jié)合以產(chǎn)生AUTS參數(shù)�����。然后移動(dòng)單元220可以使用AUTS參數(shù)來(lái)產(chǎn)生訪(fǎng)問(wèn)請(qǐng)求���。例如���,移動(dòng)單元可以將AUTS參數(shù)和隨機(jī)數(shù)結(jié)合來(lái)形成訪(fǎng)問(wèn)請(qǐng)求��。
此外�����,如上所述����,訪(fǎng)問(wèn)請(qǐng)求可以包括附加信息����,例如與移動(dòng)單元220相關(guān)聯(lián)的標(biāo)識(shí)號(hào)碼、指示移動(dòng)單元220的一個(gè)或多個(gè)能力的信號(hào)�、指示移動(dòng)單元220遵守的一個(gè)或多個(gè)協(xié)議的信號(hào)等等�����。然而����,本領(lǐng)域的普通技術(shù)人員將理解本發(fā)明不限于包括與移動(dòng)單元220相關(guān)聯(lián)的標(biāo)識(shí)號(hào)碼、指示移動(dòng)單元220的一個(gè)或多個(gè)能力的信號(hào)、指示移動(dòng)單元220遵守的一個(gè)或多個(gè)協(xié)議的信號(hào)的訪(fǎng)問(wèn)請(qǐng)求����。在一個(gè)替換實(shí)施例中,在訪(fǎng)問(wèn)請(qǐng)求中并不提供所有這些信息�����,或者可以提供另外的信息�����。
移動(dòng)交換中心205通信地耦合到歸屬位置寄存器225����。如上所述,歸屬位置寄存器225包括標(biāo)識(shí)移動(dòng)單元的信息�,該移動(dòng)單元和與歸屬位置寄存器225相關(guān)聯(lián)的移動(dòng)交換中心相關(guān)聯(lián)。然而�����,當(dāng)歸屬位置寄存器225被假設(shè)包括標(biāo)識(shí)移動(dòng)單元220的信息時(shí)����,并不假定該歸屬位置寄存器225與圖2所示的移動(dòng)交換中心205相關(guān)聯(lián)�。因此�,移動(dòng)交換中心205可以將移動(dòng)單元220看成是小區(qū)210中的“歸屬移動(dòng)單元”或者“訪(fǎng)問(wèn)移動(dòng)單元”。在一個(gè)替換實(shí)施例中�����,移動(dòng)交換中心205可以直接耦合到歸屬位置寄存器225(例如當(dāng)移動(dòng)單元220是歸屬移動(dòng)單元時(shí))或者可以通過(guò)耦合到另一個(gè)移動(dòng)交換中心的網(wǎng)絡(luò)耦合到歸屬位置寄存器225(例如當(dāng)移動(dòng)單元220是訪(fǎng)問(wèn)移動(dòng)單元時(shí))��。
移動(dòng)交換中心205還通信地耦合到訪(fǎng)問(wèn)位置寄存器230��。同樣如上所述��,訪(fǎng)問(wèn)位置寄存器230包括標(biāo)識(shí)目前存在于小區(qū)210中的每個(gè)移動(dòng)單元220的信息�,例如目前存在于小區(qū)210中的歸屬和/或訪(fǎng)問(wèn)移動(dòng)單元的列表。例如�,如果移動(dòng)單元220是歸屬移動(dòng)單元,那么訪(fǎng)問(wèn)位置寄存器230包括將移動(dòng)單元220標(biāo)識(shí)為歸屬移動(dòng)單元的信息�����。再如�����,如果移動(dòng)單元220是訪(fǎng)問(wèn)移動(dòng)單元�,那么訪(fǎng)問(wèn)位置寄存器230包括將移動(dòng)單元220標(biāo)識(shí)為訪(fǎng)問(wèn)移動(dòng)單元的信息和指示與移動(dòng)單元220相關(guān)聯(lián)的歸屬位置寄存器225的位置的信息。
無(wú)線(xiàn)通信網(wǎng)絡(luò)200包括至少一個(gè)認(rèn)證中心235���。在示出的實(shí)施例中��,認(rèn)證中心235根據(jù)由第3代合作伙伴計(jì)劃(3GPP和/或3GPP2)定義的認(rèn)證和密鑰一致(AKA)協(xié)議操作以提供用戶(hù)身份保密����、用戶(hù)位置保密和用戶(hù)不可追蹤性��。然而��,本領(lǐng)域的普通技術(shù)人員將理解本發(fā)明并不限于由第3代合作伙伴計(jì)劃定義的認(rèn)證和密鑰一致(AKA)協(xié)議���。在替換實(shí)施例中���,任何令人滿(mǎn)意的詢(xún)問(wèn)響應(yīng)協(xié)議都可以被使用。
如下所述��,基于包括在訪(fǎng)問(wèn)請(qǐng)求中的移動(dòng)單元序列號(hào)�����,認(rèn)證中心235能夠選擇移動(dòng)單元220可接受的序列號(hào)���。例如����,如果移動(dòng)單元序列號(hào)是300,那么認(rèn)證中心235可以選擇序列號(hào)是301�����。在替換實(shí)施例中�����,認(rèn)證中心235可以選擇移動(dòng)單元220可接受的一個(gè)范圍內(nèi)的序列號(hào)��。例如�����,如果移動(dòng)單元序列號(hào)是300�����,那么認(rèn)證中心235可以選擇從301到310順序范圍內(nèi)的多個(gè)序列號(hào)��。
圖3概念地顯示了同步移動(dòng)單元和無(wú)線(xiàn)通信網(wǎng)的方法300的示例性實(shí)施例。使用移動(dòng)單元序列號(hào)產(chǎn)生訪(fǎng)問(wèn)請(qǐng)求(在305)�,然后訪(fǎng)問(wèn)請(qǐng)求被提供(在310)到訪(fǎng)問(wèn)位置寄存器��,例如圖2所示的訪(fǎng)問(wèn)位置寄存器230�。訪(fǎng)問(wèn)位置寄存器基于訪(fǎng)問(wèn)請(qǐng)求產(chǎn)生(在315)第一消息。例如��,訪(fǎng)問(wèn)位置寄存器可以產(chǎn)生(在315)包括由移動(dòng)單元提供的RAND參數(shù)和AUTS參數(shù)的授權(quán)數(shù)據(jù)請(qǐng)求(Authorization datarequest)��。該AUTS參數(shù)包括指示該移動(dòng)單元序列號(hào)的信息�����,并且在各種替換實(shí)施例中�����,該RAND可以包括指示隨機(jī)數(shù)�、移動(dòng)單元維護(hù)的不斷增加的計(jì)數(shù)器、系統(tǒng)時(shí)間(其可以用來(lái)通過(guò)檢查系統(tǒng)時(shí)間的過(guò)程有效性(course validity)來(lái)阻止路上移動(dòng)單元(road mobile)的潛在重復(fù)攻擊)��,訪(fǎng)問(wèn)請(qǐng)求消息的一部分的散列(其可以通過(guò)減少提交給認(rèn)證中心驗(yàn)證的參數(shù)的大小來(lái)增加RAND參數(shù)的熵)等等的信息���。
第一消息然后被提供(在320)到認(rèn)證中心�����,例如圖2所示的認(rèn)證中心235��。在一個(gè)實(shí)施例中��,訪(fǎng)問(wèn)位置寄存器提供(在320)上述的授權(quán)數(shù)據(jù)請(qǐng)求到移動(dòng)交換中心�,例如圖2所示的移動(dòng)交換中心205,該移動(dòng)交換中心然后提供(在320)該授權(quán)數(shù)據(jù)請(qǐng)求到認(rèn)證中心���。
該認(rèn)證中心基于所述第一消息產(chǎn)生(在325)第二消息��。如上所述����,該第二消息包括表示對(duì)于所述移動(dòng)單元可接受的認(rèn)證中心序列號(hào)的信息���。在一個(gè)實(shí)施例中�,該第二消息是認(rèn)證中心基于包括在授權(quán)數(shù)據(jù)請(qǐng)求的信息形成的認(rèn)證向量���。例如�����,該認(rèn)證中心可以使用可接受的認(rèn)證中心序列號(hào)��、產(chǎn)生的RAND參數(shù)���、認(rèn)證管理函數(shù)�,和預(yù)設(shè)的根密鑰���,來(lái)形成消息認(rèn)證碼、預(yù)期結(jié)果����、加密密鑰、完整性密鑰和匿名密鑰��。認(rèn)證中心然后通過(guò)連接RAND參數(shù)�、預(yù)期結(jié)果、加密密鑰����、完整性密鑰和使用認(rèn)證中心序列號(hào)、匿名密鑰���、認(rèn)證管理函數(shù)和消息認(rèn)證碼形成的認(rèn)證令牌���,產(chǎn)生(在325)認(rèn)證向量�����。
在替換實(shí)施例中���,認(rèn)證中心可以產(chǎn)生(在325)多個(gè)第二消息,該第二消息包括移動(dòng)單元可接受的認(rèn)證中心序列號(hào)����。例如,認(rèn)證中心可以產(chǎn)生(在325)具有相應(yīng)的多個(gè)認(rèn)證中心序列號(hào)的多個(gè)認(rèn)證向量���。所述多個(gè)認(rèn)證中心序列號(hào)可以從可接受的序列號(hào)范圍內(nèi)隨機(jī)地選擇���,或者替換地,它們可以是從可接受的序列號(hào)范圍內(nèi)選擇的連續(xù)的一組序列號(hào)��。
認(rèn)證中心提供(步驟330)一個(gè)或多個(gè)第二消息到訪(fǎng)問(wèn)位置寄存器�����。在一個(gè)實(shí)施例中�����,認(rèn)證中心提供(步驟330)認(rèn)證數(shù)據(jù)響應(yīng),該認(rèn)證數(shù)據(jù)響應(yīng)包括具有可接受認(rèn)證中心序列號(hào)的多個(gè)認(rèn)證向量�����。訪(fǎng)問(wèn)位置寄存器然后使用至少一個(gè)由認(rèn)證中心提供(在330)的第二消息形成(在335)第三消息����。在一個(gè)實(shí)施例中,訪(fǎng)問(wèn)位置寄存器還可以存儲(chǔ)至少一個(gè)第二消息�����。例如��,訪(fǎng)問(wèn)位置寄存器可以存儲(chǔ)一個(gè)或多個(gè)認(rèn)證向量以備后用�。第三消息然后被提供(在340)到移動(dòng)單元�。例如,訪(fǎng)問(wèn)位置寄存器可以提供(在340)用戶(hù)認(rèn)證請(qǐng)求���,該用戶(hù)認(rèn)證請(qǐng)求包括由認(rèn)證中心產(chǎn)生的RAND消息�,以及包括指示認(rèn)證中心序列號(hào)的信息的認(rèn)證令牌����。
移動(dòng)單元基于第三消息來(lái)認(rèn)證(在345)網(wǎng)絡(luò)�。在一個(gè)實(shí)施例中�����,該移動(dòng)單元驗(yàn)證由移動(dòng)中心提供的認(rèn)證令牌����,如果該認(rèn)證令牌被驗(yàn)證,那么移動(dòng)單元使該網(wǎng)絡(luò)通過(guò)認(rèn)證(在345)��。移動(dòng)單元然后可以計(jì)算一個(gè)結(jié)果并在諸如用戶(hù)認(rèn)證響應(yīng)中提供該計(jì)算的結(jié)果到訪(fǎng)問(wèn)位置寄存器���。訪(fǎng)問(wèn)位置寄存器然后可以基于計(jì)算的結(jié)果認(rèn)證(在350)該移動(dòng)單元�����。例如�����,訪(fǎng)問(wèn)位置寄存器可以將該計(jì)算的結(jié)果與由認(rèn)證中心確定的預(yù)期結(jié)果比較�,如果它們預(yù)期結(jié)果等于計(jì)算的結(jié)果就使該移動(dòng)單元通過(guò)認(rèn)證(在350)�。
通過(guò)在訪(fǎng)問(wèn)請(qǐng)求中提供移動(dòng)單元序列號(hào)���,如上所述,本發(fā)明可以減少需要傳統(tǒng)同步過(guò)程的概率���,這是因?yàn)樵撘苿?dòng)單元將適當(dāng)?shù)赝ㄖ摼W(wǎng)絡(luò)關(guān)于將在進(jìn)入的認(rèn)證向量中被接收序列號(hào)的可接受值����。因此�,本發(fā)明可以減少對(duì)網(wǎng)絡(luò)資源的大量再同步請(qǐng)求,并減少認(rèn)證周期��。
上述公開(kāi)的具體實(shí)施例僅僅是示例的目的����,可以使用從本公開(kāi)中受益的本領(lǐng)域技術(shù)人員清楚的不同但等效的方式修改和實(shí)現(xiàn)本發(fā)明����。此外,除了權(quán)利要求中所描述的�,對(duì)這里所示的結(jié)構(gòu)和設(shè)計(jì)的細(xì)節(jié)沒(méi)有限制。因此上述公開(kāi)的具體實(shí)施例顯然可以被替換和修改��,所有這樣的變化被認(rèn)為是在本發(fā)明的范圍和精神內(nèi)��。因此,在權(quán)利要求中提出要保護(hù)的對(duì)象�����。
權(quán)利要求
1.一種與至少一個(gè)移動(dòng)單元和至少一個(gè)認(rèn)證中心進(jìn)行無(wú)線(xiàn)通信的方法����,該方法包括基于至少一個(gè)與所述移動(dòng)單元相關(guān)聯(lián)的第一序列號(hào)產(chǎn)生至少一個(gè)訪(fǎng)問(wèn)請(qǐng)求;并接收基于所述訪(fǎng)問(wèn)請(qǐng)求的至少一個(gè)消息�����,所述消息包括至少一個(gè)與所述認(rèn)證中心相關(guān)聯(lián)的第二序列號(hào)���,所述第二序列號(hào)被選擇來(lái)對(duì)于所述移動(dòng)單元是可接受的���。
2.如權(quán)利要求1所述的方法,其中基于所述第一序列號(hào)產(chǎn)生所述訪(fǎng)問(wèn)請(qǐng)求的步驟包括通過(guò)執(zhí)行對(duì)所述第一序列號(hào)和匿名密鑰的異或運(yùn)算來(lái)對(duì)所述第一序列號(hào)進(jìn)行掩碼���;基于預(yù)設(shè)的根密鑰���、認(rèn)證管理域和隨機(jī)數(shù)、移動(dòng)單元維護(hù)的不斷增長(zhǎng)的計(jì)數(shù)器�����、系統(tǒng)時(shí)間和訪(fǎng)問(wèn)請(qǐng)求消息的一部分的散列的至少一個(gè)來(lái)產(chǎn)生消息認(rèn)證碼;以及連接所述消息認(rèn)證碼和所述被掩碼的第一序列號(hào)�����。
3.如權(quán)利要求1所述的方法�,其中接收包括所述第二序列號(hào)的所述消息的步驟包括接收基于所述第二序列號(hào)形成的認(rèn)證向量,并且其中接收所述認(rèn)證向量包括接收基于所述第二序列號(hào)形成的認(rèn)證令牌����。
4.如權(quán)利要求1所述的方法,其中接收具有對(duì)于所述移動(dòng)單元可接受的所述第二序列號(hào)的所述消息的步驟包括接收具有大于所述第一序列號(hào)的第二序列號(hào)的消息的步驟以及接收具有在序列號(hào)可接受范圍內(nèi)的第二序列號(hào)的消息的步驟的至少一個(gè)步驟��。
5.如權(quán)利要求1所述的方法�����,包括基于所述第二消息計(jì)算一個(gè)結(jié)果��;以及提供所述結(jié)果到所述認(rèn)證中心�。
6.一種與至少一個(gè)移動(dòng)單元和至少一個(gè)認(rèn)證中心進(jìn)行無(wú)線(xiàn)通信的方法��,該方法包括接收至少一個(gè)基于至少一個(gè)與所述移動(dòng)單元相關(guān)聯(lián)的第一序列號(hào)形成的訪(fǎng)問(wèn)請(qǐng)求���;以及提供至少一個(gè)基于所述訪(fǎng)問(wèn)請(qǐng)求的消息��,所述消息包括至少一個(gè)與所述認(rèn)證中心相關(guān)聯(lián)的第二序列號(hào)�,所述第二序列號(hào)被選擇來(lái)對(duì)于所述移動(dòng)單元是可接受的。
7.一種與至少一個(gè)移動(dòng)單元和至少一個(gè)認(rèn)證中心進(jìn)行無(wú)線(xiàn)通信的方法�����,該方法包括接收至少一個(gè)基于至少一個(gè)與所述移動(dòng)單元相關(guān)聯(lián)的第一序列號(hào)的訪(fǎng)問(wèn)請(qǐng)求�����;提供至少一個(gè)基于所述訪(fǎng)問(wèn)請(qǐng)求的第一消息�����;以及響應(yīng)于提供所述第一消息�,接收至少一個(gè)第二消息,該第二消息包括至少一個(gè)與所述認(rèn)證中心相關(guān)聯(lián)的第二序列號(hào)��,所述第二序列號(hào)被選擇來(lái)對(duì)于所述移動(dòng)單元是可接受的�。
8.如權(quán)利要求7所述的方法,其中提供所述第一消息的步驟包括提供認(rèn)證數(shù)據(jù)請(qǐng)求到所述認(rèn)證中心�����,并且其中接收所述第二消息的步驟包括接收至少一個(gè)認(rèn)證向量,并且其中提供第三消息的步驟包括提供用戶(hù)認(rèn)證請(qǐng)求到所述移動(dòng)單元����。
9.如權(quán)利要求7所述的方法,包括基于所述第二消息確定預(yù)期結(jié)果�;接收包括基于所述第二消息形成的結(jié)果的第三消息;比較所述結(jié)果和所述預(yù)期結(jié)果����;以及如果所述結(jié)果等于所述預(yù)期結(jié)果,就使所述移動(dòng)單元和所述認(rèn)證中心通過(guò)認(rèn)證�。
全文摘要
本發(fā)明涉及自同步認(rèn)證和密鑰一致協(xié)議。本發(fā)明提供一種與無(wú)線(xiàn)通信網(wǎng)絡(luò)中的至少一個(gè)移動(dòng)單元和至少一個(gè)認(rèn)證中心進(jìn)行無(wú)線(xiàn)通信的方法��。該方法包括基于至少一個(gè)與所述移動(dòng)單元相關(guān)聯(lián)的第一序列號(hào)產(chǎn)生至少一個(gè)訪(fǎng)問(wèn)請(qǐng)求��,并接收基于所述訪(fǎng)問(wèn)請(qǐng)求形成的至少一個(gè)消息�����,所述消息包括至少一個(gè)與所述認(rèn)證中心相關(guān)聯(lián)的第二序列號(hào)����,所述第二序列號(hào)被選擇來(lái)對(duì)于所述移動(dòng)單元是可接受的��。
文檔編號(hào)G09C1/00GK1708178SQ20051007555
公開(kāi)日2005年12月14日 申請(qǐng)日期2005年6月3日 優(yōu)先權(quán)日2004年6月4日
發(fā)明者邁克爾·馬柯維奇, 塞米昂·B.·米茲庫(kù)維斯基 申請(qǐng)人:朗迅科技公司