專利名稱:保證數(shù)據(jù)終端與數(shù)據(jù)處理局域網(wǎng)之間鏈路安全的方法及實現(xiàn)該方法的數(shù)據(jù)終端的制作方法
技術領域:
本發(fā)明涉及一種保證數(shù)據(jù)終端與數(shù)據(jù)處理局域網(wǎng)之間的鏈路安全�����,特別是無線鏈路安全的方法��,以及涉及一種用于實現(xiàn)該方法的數(shù)據(jù)終端�����。
背景技術:
通過與移動電話網(wǎng)連接的移動電話終端�,可以在第一移動數(shù)據(jù)終端與遠程的第二數(shù)據(jù)終端之間交換數(shù)據(jù)。例如數(shù)據(jù)終端通過電纜與移動電話終端連接�。然而,以移動電話網(wǎng)的現(xiàn)狀��,數(shù)據(jù)比特率較低��。另一種現(xiàn)有技術中已知的提供較高比特率的方法就是將數(shù)據(jù)終端連接到數(shù)據(jù)處理局域網(wǎng)��,特別是符合IEEE802.11b標準的無線局域網(wǎng)����。無線局域網(wǎng)建設在賓館、機場等地方����。例如,便攜式計算機可以通過在該計算機端口插入符合IEEE802.11b標準的無線鏈路卡連接到這種網(wǎng)絡�����。這種網(wǎng)絡提供較高的數(shù)據(jù)比特率�����,但必須采用保證鏈路安全的方法�����,即用于認證用戶的身份以及保護數(shù)據(jù)免遭截取���,其安全水平至少要與移動電話網(wǎng)提供的一樣��。
圖1示出了一種現(xiàn)有技術中已知的保證數(shù)據(jù)終端(例如個人數(shù)據(jù)助理PDA1)與數(shù)據(jù)處理無線局域網(wǎng)WLAN1之間鏈路安全的方法���。網(wǎng)絡WLAN1包括無線接入點AP1和接入路由器AR1���。WLAN1通過互通鏈路IL1連接到移動電話網(wǎng)PLMN1,如GSM網(wǎng)絡�。網(wǎng)絡WLAN1還通過接入路由器AR1連接到互聯(lián)網(wǎng)。
網(wǎng)絡PLMN1包括通過基站控制器BSC1連接到移動業(yè)務交換中心MSC1的基站BS1�。移動業(yè)務交換中心MSC1還連接到公共交換電話網(wǎng)PSTN、歸屬位置寄存器HLR1和拜訪位置寄存器VLR1�����。歸屬位置寄存器HLR1連接到鑒權中心AU1����。互通鏈路IL1通過互通單元IWU1將接入路由器AR1與移動業(yè)務交換中心MSC1連接��,其中互通單元IWU1實現(xiàn)接口電路的功能��,使得來自無線局域網(wǎng)WLAN1的安全參數(shù)被移動業(yè)務交換中心MSC1理解為是來自基站控制器BSC1的安全參數(shù)���。
首先�����,考慮傳統(tǒng)的用于保證例如移動電話終端T1與GSM移動電話網(wǎng)PLMN1之間無線鏈路L2的安全的過程��;對于UMTS有類似但增強的過程���。與任何GSM移動電話終端一樣,終端T1裝有用戶識別模塊卡SIM1���。該SIM1卡特別含有特定的專用加密密鑰Ki����。鑒權中心AU1含有加密密鑰Ki的副本����。
響應來自HLR1的安全參數(shù)的請求,鑒權單元AU1選擇一個隨機數(shù)RAND1���,并使用終端T1特定的密鑰Ki與SIM1卡也已知的第一算法來計算簽名SRES1���,再使用SIM1卡也已知的第二算法計算加密密鑰Kc。值RAND1�、Ki、SRES1構(gòu)成的“三位字節(jié)”被發(fā)送到拜訪位置寄存器VLR1�。對于同一個終端T1�,可有多個“三位字節(jié)”發(fā)送并存儲到拜訪位置寄存器VLR1�。
每個“三位字節(jié)”RAND、Ki��、SRES被拜訪位置寄存器VLR1用來認證呼叫請求����,并在建立呼叫后對傳送的信息加/解密,雙向傳送的信息使用密鑰Kc加密��。
當移動電話終端T1請求與移動電話網(wǎng)PLMN1建立呼叫時�,向服務其所在區(qū)域的拜訪位置寄存器VLR1發(fā)送自己的國際移動用戶識別碼IMSI1或臨時移動用戶識別碼TMSI1。拜訪位置寄存器VLR1根據(jù)該識別碼IMSI1或TMSI1確定終端T1的歸屬位置寄存器HLR1��;拜訪位置寄存器VLR1可以從其存儲器中重新獲取關于該終端的“三位字節(jié)”����,但如果存儲器不含有所述終端的“三位字節(jié)”,則拜訪位置寄存器VLR1呼叫歸屬位置寄存器HLR1���,并將終端T1的識別碼IMSI1和自己的識別碼發(fā)送給歸屬位置寄存器HLR1�����。然后歸屬位置寄存器HLR1從鑒權中心AU1得到需要的“三位字節(jié)”�����,并將其發(fā)給拜訪位置寄存器VLR1��。
現(xiàn)有技術中保證數(shù)據(jù)終端PDA1與接入點AP1之間鏈路安全的方法包括與上述過程類似的過程��,除了信息交換不是由與網(wǎng)絡PLMN1連接的GSM無線鏈路支持���,而是代之以與無線局域網(wǎng)WLAN1連接的無線鏈路L1和互通鏈路IL1。
數(shù)據(jù)終端PDA1包括識別卡讀卡器��,其內(nèi)插有一個與用戶識別模塊卡SIM1類似的識別卡SIM2����。數(shù)據(jù)終端PDA1包括用于執(zhí)行與上述過程相似的過程的軟件。于是����,網(wǎng)絡WLAN1與PLMN1之間的互通鏈路IL1使得無線局域網(wǎng)WLAN1能夠使用鑒權中心AU1提供的認證服務。
不過�,現(xiàn)有技術的方法有兩個缺點。終端PDA1必須包括識別卡讀卡器���。移動電話終端T1和數(shù)據(jù)終端PDA1的用戶必須要么有兩個識別卡SIM1和SIM2�,這樣有兩個簽約信息,要么將單一的SIM卡從一個終端移到另一個終端����,這是不切合實際的。而且����,這樣排除了在無線局域網(wǎng)中起呼而在移動電話網(wǎng)中繼續(xù)而不中斷呼叫的情形,反之亦然�����。再有����,在數(shù)據(jù)終端PDA1中存儲的數(shù)據(jù)和在移動電話終端T1中存儲的數(shù)據(jù)之間,例如地址簿數(shù)據(jù)���,不能進行同步�。
發(fā)明內(nèi)容
本發(fā)明目的在于克服上述的缺點���。
本發(fā)明在于提出一種保證數(shù)據(jù)終端與連接到包括鑒權中心的移動電話網(wǎng)的數(shù)據(jù)處理局域網(wǎng)之間鏈路安全的方法���,所述方法的特征在于�����,包括-將數(shù)據(jù)終端鏈接到移動電話終端�����,其中移動電話終端包括用于執(zhí)行保證所述移動電話終端與移動電話網(wǎng)之間無線鏈路安全的過程的裝置��,所述過程特別包括與移動電話網(wǎng)交換安全信息,所述安全信息的交換通常由移動電話終端與移動電話網(wǎng)之間的無線鏈路支持���;-在移動電話終端中執(zhí)行相同的過程�,但安全信息的交換由數(shù)據(jù)終端與數(shù)據(jù)處理局域網(wǎng)之間的鏈路以及連接數(shù)據(jù)處理無線局域網(wǎng)和移動電話網(wǎng)的互通鏈路支持����;-將所述過程的結(jié)果從移動電話終端傳輸?shù)綌?shù)據(jù)終端。
上述方法使得移動電話網(wǎng)的鑒權中心能夠保證數(shù)據(jù)終端與數(shù)據(jù)處理局域網(wǎng)之間無線鏈路的安全���,具有與標準的移動電話網(wǎng)的無線鏈路相同的安全水平�,這是因為它本質(zhì)上采用了相同的過程�。然而,所述方法并不必須要求在數(shù)據(jù)終端中有數(shù)據(jù)終端識別卡或讀卡器���,因為它使用與數(shù)據(jù)終端互通的移動電話終端�,使得鑒權中心理解在鏈路的另一端只是一個實體。
本發(fā)明還提出一種數(shù)據(jù)終端���,包括用于建立與數(shù)據(jù)處理局域網(wǎng)之間的鏈路的裝置和用于建立與移動電話終端之間的鏈路的裝置���,所述移動電話終端包括用于執(zhí)行保證所述移動電話終端與包括鑒權中心的移動電話網(wǎng)之間無線鏈路安全的過程的裝置,所述過程特別包括與移動電話網(wǎng)交換安全信息�,所述安全信息的交換通常由移動電話終端與移動電話網(wǎng)之間的無線鏈路支持;所述終端的特征在于�,為實現(xiàn)上述方法,包括-用于指揮在所述移動電話終端中執(zhí)行所述過程的裝置���,其中所述安全信息的交換由數(shù)據(jù)終端與數(shù)據(jù)處理局域網(wǎng)之間的鏈路以及連接數(shù)據(jù)處理局域網(wǎng)和移動電話網(wǎng)的互通鏈路支持���;以及-用于將所述過程的結(jié)果從移動電話終端傳輸?shù)綌?shù)據(jù)終端并使用所述結(jié)果對后來通過所述數(shù)據(jù)終端與數(shù)據(jù)處理局域網(wǎng)之間的鏈路交換的數(shù)據(jù)進行加密和解密的裝置。
根據(jù)下面的描述并結(jié)合附圖����,將會更好地理解本發(fā)明,并且本發(fā)明的其他特征會變得明顯���,其中圖1示出了現(xiàn)有技術的一種方法����;圖2示出了本發(fā)明方法用于保證數(shù)據(jù)終端PDA2與無線局域網(wǎng)WLAN2之間的無線鏈路L4安全的實現(xiàn)。
具體實施例方式
圖1示出了現(xiàn)有技術的方法����,已經(jīng)在前面描述過。
圖2示出了本發(fā)明方法用于保證數(shù)據(jù)終端PDA2與無線局域網(wǎng)WLAN2之間的無線鏈路L4安全的實現(xiàn)�����。
終端PDA2除了裝有適合于實現(xiàn)本發(fā)明方法的互通軟件S2以外�����,是傳統(tǒng)的個人數(shù)字助理����。該終端PDA2不需要包括讀卡器��。它通過通常用于交換數(shù)據(jù)的鏈路L3連接到標準的GSM或UMTS移動電話終端����。鏈路L3可以是電纜鏈路、紅外線鏈路或藍牙無線鏈路。終端T2包括可插入識別卡SIM3的識別卡讀卡器�����,該識別卡SIM3通常用于保證終端T2與其簽約的GSM移動電話網(wǎng)PLMN2之間無線鏈路的安全����。
網(wǎng)絡WLAN2包括無線接入點AP2和接入路由器AR2。其通過互通鏈路與移動電話網(wǎng)PLMN2連接�。網(wǎng)絡WLAN2還通過接入路由器AR2與互聯(lián)網(wǎng)連接。
網(wǎng)絡PLMN2包括通過基站控制器BSC2連接到移動業(yè)務交換中心MSC2的基站BS2��。移動業(yè)務交換中心MSC2還連接到公共交換電話網(wǎng)PSTN����、歸屬位置寄存器HLR2和拜訪位置寄存器VLR2。歸屬位置寄存器HLR2連接到鑒權中心AU2����。互通鏈路IL2通過互通單元IWU2將接入路由器AR2與移動業(yè)務交換中心MSC2連接�,該互通單元IWU2具有接口的功能,使得來自無線局域網(wǎng)WLAN2的安全參數(shù)被移動業(yè)務交換中心MSC2理解為是來自基站控制器BSC2的安全參數(shù)����。
互通軟件S2與SIM3卡合作以使用為移動電話終端識別卡應用提供的標準功能來執(zhí)行保證鏈路L4安全的過程����。與PLMN2之間的安全信息交換是由無線鏈路L4����、無線接入點AP2、接入路由器AR2����、互通鏈路IL2、互通單元IWU2和移動業(yè)務交換中心MSC2支持�����。
當數(shù)據(jù)終端PDA2請求與網(wǎng)絡PLMN2建立無線鏈路L4時���,互通軟件S2通過指揮SIM3卡中必需的操作來執(zhí)行認證及加密過程����。終端T2與終端PDA2的組合被移動電話網(wǎng)PLMN2理解為單一的整體���,并且由與移動業(yè)務交換中心MSC2相連的拜訪位置寄存器VLR2提供服務,而移動業(yè)務交換中心MSC2與互通鏈路IL2連接��。
終端T2將其國際移動用戶識別碼IMSI2發(fā)送給拜訪位置寄存器VLR2。拜訪位置寄存器VLR2根據(jù)其識別碼IMSI2確定管理終端T2的歸屬位置寄存器HLR2�;拜訪位置寄存器VLR2能從其存儲器中重新獲取有關終端T2的“三位字節(jié)”,但如果存儲器中沒有該終端的“三位字節(jié)”����,則拜訪位置寄存器VLR2呼叫歸屬位置寄存器HLR2,并將終端T2的識別碼IMSI2和自己的識別碼發(fā)送給歸屬位置寄存器HLR2����。然后歸屬位置寄存器HLR2從鑒權單元AU2得到需要的“三位字節(jié)”,并將其發(fā)給拜訪位置寄存器VLR2��。
響應來自歸屬位置寄存器HLR2的請求���,鑒權中心AU2選擇一個隨機數(shù)RAND2�����,并使用終端T2特定的密鑰Ki與SIM2卡也已知的第一算法來計算簽名SRES2���,再使用SIM2卡也已知的第二算法計算加密密鑰Kc。三個值RAND2����、Ki����、SRES2的集合構(gòu)成這里所稱的“三位字節(jié)”����,發(fā)送到拜訪位置寄存器VLR2。對于同一個終端T2�����,可有多個“三位字節(jié)”發(fā)送并存儲到VLR2中��。
拜訪位置寄存器VLR2利用“三位字節(jié)”RAND2���、Ki���、SRES2通過驗證T2-PDA2組合發(fā)送的值SRES2來認證T2-PDA2組合發(fā)送的呼叫請求。
SIM3卡根據(jù)隨機數(shù)RAND2采用第二算法計算加密密鑰Kc�����。數(shù)據(jù)終端PDA2指揮密鑰Kc傳送到數(shù)據(jù)終端PDA2用于后續(xù)的使用以對經(jīng)過與無線局域網(wǎng)WLAN2連接的無線鏈路L4交換的數(shù)據(jù)進行加密/解密���,同時拜訪位置寄存器VLR2將同一密鑰Kc傳輸?shù)綗o線鏈路L4另一端的無線接入點AP2�����。因此����,可保護終端PDA2與無線局域網(wǎng)WLAN2之間的無線鏈路L4免遭數(shù)據(jù)的截取���,具有與移動電話網(wǎng)PLMN2的安全水平相同的安全水平����。
無線鏈路L4可以是現(xiàn)有技術中已知的任何一種(如IEEE803.11a���,802.11b�����,藍牙等)或者是將來發(fā)展的技術���。
本發(fā)明所述方法的實現(xiàn)可應用于數(shù)據(jù)終端中,該數(shù)據(jù)終端不是通過無線鏈路與數(shù)據(jù)處理局域網(wǎng)連接���,而代之以通過紅外線鏈路或者僅僅通過電纜��,就象在標準的數(shù)據(jù)處理局域網(wǎng)中一樣�����。
要注意的是���,數(shù)據(jù)終端PDA2和電話終端T2之間的鏈路L3保留其所有常用的功能���,例如同步兩個終端的數(shù)據(jù)。同樣要注意的是�,移動電話終端T2也保留了其所有常用的功能,因此���,例如當數(shù)據(jù)終端PDA2通過鏈路L4與局域網(wǎng)WLAN2通信時��,提供GPRS鏈路以與移動電話網(wǎng)PLMN2交換數(shù)據(jù)包�����。
本發(fā)明的范圍并不限于GSM移動電話網(wǎng)及終端��,本發(fā)明可以相似的方式適合于采用類似或源于GSM過程的認證和加密過程的移動電話網(wǎng)及終端�。
權利要求
1.一種保證數(shù)據(jù)終端(PDA2)與數(shù)據(jù)處理局域網(wǎng)(WLAN2)之間鏈路(L4)安全的方法,其中所述數(shù)據(jù)處理局域網(wǎng)(WLAN2)與包括鑒權中心(AU2)的移動電話網(wǎng)(PLMN2)連接��,其特征在于����,所述方法包括-鏈接(L3)數(shù)據(jù)終端(PDA2)到移動電話終端(T2)�����,其中移動電話終端(T2)包括用于執(zhí)行保證所述移動電話終端(T2)和移動電話網(wǎng)(PLMN2)之間無線鏈路安全的過程的裝置(SIM3)��,所述過程特別包括與移動電話網(wǎng)(PLMN2)交換安全信息���,所述安全信息的交換通常由移動電話終端(T2)與移動電話網(wǎng)絡(PLMN2)之間的無線鏈路支持�����;-在移動電話終端(T2)中執(zhí)行相同的過程����,但安全信息的交換由數(shù)據(jù)終端(PDA2)與數(shù)據(jù)處理無線局域網(wǎng)(WLAN2)之間的鏈路(L4)以及連接數(shù)據(jù)處理無線局域網(wǎng)(WLAN2)和移動電話網(wǎng)(PLMN2)的互通鏈路(IL2����,IWU2)支持;-將所述過程的結(jié)果從移動電話終端(T2)傳輸?shù)綌?shù)據(jù)終端(PDA2)。
2.根據(jù)權利要求1所述的方法�����,其特征在于����,所述過程的結(jié)果是產(chǎn)生一個加密密鑰,其從移動電話終端(T2)傳輸?shù)綌?shù)據(jù)終端(PDA2)���,并從移動電話網(wǎng)(PLMN2)傳輸?shù)綌?shù)據(jù)處理局域網(wǎng)(WLAN2)的接入點(AP2)��;其中所述密鑰用于對后來經(jīng)過所述數(shù)據(jù)終端(PDA2)與數(shù)據(jù)處理局域網(wǎng)(WLAN2)之間的鏈路(L4)交換的數(shù)據(jù)進行加密/解密����。
3.根據(jù)權利要求1所述的方法�,其特征在于,所述數(shù)據(jù)處理局域網(wǎng)(WLAN2)是符合IEEE802.11標準的無線網(wǎng)絡���。
4.根據(jù)權利要求1所述的方法�����,其特征在于�����,所述數(shù)據(jù)處理局域網(wǎng)(WLAN2)是符合藍牙標準的無線網(wǎng)絡����。
5.根據(jù)權利要求1所述的方法,其特征在于�,所述數(shù)據(jù)處理局域網(wǎng)(WLAN2)是紅外線鏈路的無線網(wǎng)絡����。
6.根據(jù)權利要求1所述的方法,其特征在于����,所述數(shù)據(jù)處理局域網(wǎng)(WLAN2)是電纜網(wǎng)絡。
7.一種數(shù)據(jù)終端(PDA2)�����,包括用于建立與數(shù)據(jù)處理局域網(wǎng)(WLAN2)之間的鏈路(L4)的裝置和用于建立與移動電話終端(T2)之間的鏈路(L3)的裝置��,所述移動電話終端(T2)包括用于執(zhí)行保證所述移動電話終端(T2)與包括鑒權中心(AU2)的移動電話網(wǎng)(PLMN2)之間無線鏈路安全的過程的裝置(SIM3)�,所述過程特別包括與移動電話網(wǎng)(PLMN2)交換安全信息,所述安全信息的交換通常由移動電話終端(T2)與移動電話網(wǎng)(PLMN2)之間的無線鏈路支持��;所述終端的特征在于,為實現(xiàn)根據(jù)權利要求1所述的方法����,包括-用于指揮在所述移動電話終端(T2)中執(zhí)行所述過程的裝置(S2),其中所述安全信息的交換由數(shù)據(jù)終端(PDA2)與數(shù)據(jù)處理局域網(wǎng)(WLAN2)之間的鏈路(L4)以及連接數(shù)據(jù)處理局域網(wǎng)(WLAN2)和移動電話網(wǎng)(PLMN2)的互通鏈路(IL2����,IWU2)支持;以及-用于將所述過程的結(jié)果從移動電話終端(T2)傳輸?shù)綌?shù)據(jù)終端(PDA2)并使用所述結(jié)果對后來通過所述數(shù)據(jù)終端(PDA2)與數(shù)據(jù)處理局域網(wǎng)(WLAN2)之間的鏈路(L4)交換的數(shù)據(jù)進行加密和解密的裝置(S2)����。
8.根據(jù)權利要求7所述的數(shù)據(jù)終端,其特征在于所述與數(shù)據(jù)處理局域網(wǎng)(WLAN2)之間的鏈路(L4)是符合IEEE802.11標準的無線鏈路����。
9.根據(jù)權利要求7所述的數(shù)據(jù)終端,其特征在于所述與數(shù)據(jù)處理局域網(wǎng)(WLAN2)之間的鏈路(L4)是符合藍牙標準的無線鏈路��。
10.根據(jù)權利要求7所述的數(shù)據(jù)終端�,其特征在于所述與數(shù)據(jù)處理局域網(wǎng)(WLAN2)之間的鏈路(L4)是紅外線鏈路。
11.根據(jù)權利要求7所述的數(shù)據(jù)終端�����,其特征在于所述與數(shù)據(jù)處理局域網(wǎng)(WLAN2)之間的鏈路(L4)是電纜鏈路�。
全文摘要
本方法保證數(shù)據(jù)終端與連接到包括鑒權中心的移動電話網(wǎng)的數(shù)據(jù)處理局域網(wǎng)之間的鏈路的安全�,例如無線鏈路的安全��,其包括鏈接數(shù)據(jù)終端到移動電話終端���,其中移動電話終端包括用于執(zhí)行保證所述移動電話終端和移動電話網(wǎng)之間無線鏈路安全的過程的裝置����,所述過程特別包括與移動電話網(wǎng)交換信息����,所述信息的交換通常由移動電話終端和移動電話網(wǎng)之間的無線鏈路支持��;在移動電話終端中執(zhí)行相同的過程�����,但信息的交換由數(shù)據(jù)終端與數(shù)據(jù)處理局域網(wǎng)之間的鏈路以及連接數(shù)據(jù)處理無線局域網(wǎng)和移動電話網(wǎng)的互通鏈路支持����;以及將所述過程的結(jié)果從移動電話終端傳輸?shù)綌?shù)據(jù)終端。
文檔編號H04L12/28GK1650580SQ03810037
公開日2005年8月3日 申請日期2003年4月11日 優(yōu)先權日2002年4月11日
發(fā)明者E·伊森曼, P·普瓦羅 申請人:阿爾卡特公司