專利名稱:向可移除用戶身份模塊提供多媒體系統(tǒng)安全的制作方法
向可移除用戶身^^提供多^系統(tǒng)^db狄領(lǐng)域本發(fā)明""^涉;sit信系統(tǒng)����,并jx其涉;sjL^t信系統(tǒng)��。 背景絲近年i^r窩網(wǎng)絡(luò)的安全已^i^t^來(lái)�,大部分歸因于用戶對(duì)無(wú)線業(yè)務(wù)需求的增長(zhǎng),例:io^i信��、數(shù)^t信^IN^電話的多旨業(yè)務(wù)�。密g 字i^iit可以在例如第二代(2G)無(wú)Mit信系統(tǒng)的數(shù)字通信系統(tǒng)中實(shí)現(xiàn),以#業(yè)務(wù)提^"免于對(duì)wn網(wǎng)絡(luò)的盜用并向用戶提鄉(xiāng)密�。例如,美國(guó)電信工業(yè)協(xié)會(huì)(TIA)����、美國(guó)電子工業(yè)i^(EIA)和其它已經(jīng)開(kāi)發(fā)的64位^^方案,稱為 ANSITIA/EIA"41����。 TIA/EIA41安^^方案在歸4^汪中心(例如��,歸#置寄 存器/fet中心�,HLR/AuC)和用戶身^* (UIM)之間提供相互綠,該 用戶身份^^例如是可移除身皿塊(R-UIM),典型Ak^—張可以插入到移動(dòng) 殼體中的卡片�,或^UIM。在1TA/EIA41安全方案中�,械密鑰,例如被稱為A-KEY的64位隨機(jī) 密鑰�,預(yù)^^^HLR/AuC和R-UIM中的受,數(shù)據(jù)庫(kù)�����。^"密鑰可以用于 確保HLR/AuC和R-UIM之間的無(wú)線敏^����。例如,M密鑰可以用于產(chǎn)生臨時(shí) 的第二密銅(稱為共用加密數(shù)據(jù)��,SSD�,密鑰).那么該系統(tǒng)可以通過(guò)向R-UIM 提供隨她(RAND)啟動(dòng)全局詢問(wèn)棘,R-UIM計(jì)算一4^的數(shù)字簽名 AUTHR=/(RAND�, SSD一A, ESN���, AUTH一DATA), 其中/ ()是稱為CAVE的標(biāo)碓化函數(shù)�,SSD—A是SSD密鑰的^^*, ESN是與R-UIM有關(guān)的電子序列號(hào)��,而AUTH一DATA基于移動(dòng)單元的移動(dòng)驗(yàn) 證號(hào)(MIN)生成。R-UlM向系統(tǒng)(例如HLR/AuC)提供AUTHR數(shù)字簽名�, 該系統(tǒng)可以基^AUTHR數(shù)字簽名^iitR-UIM. R-UIM和HLR/AuC 5£可 以計(jì)算另外的密鑰,例如64位信令消息密鑰(SMEKEY)和520位^^t 1^碼(VPM)����,其可用作種子來(lái)產(chǎn)生^M^^碼(PLCM),與可以由移動(dòng)i殳 備的〃^p電子序列號(hào)(ESN)產(chǎn)生的公共"J^^刷目l第二代無(wú)線通信系統(tǒng)和網(wǎng)絡(luò)正在被依據(jù)第三代(3G)無(wú)線通信標(biāo)準(zhǔn)�,例如由第三代移動(dòng)通信合作計(jì)劃(3GPP)定義的用于UMTS的無(wú)線通信標(biāo)準(zhǔn)和由第三代移動(dòng)通信合作計(jì)劃2(3GPP)定義的用于CDMA的無(wú)線通信標(biāo)準(zhǔn)運(yùn)行的無(wú)線通信系統(tǒng)和網(wǎng)絡(luò)所取代。例如�,(3GPP)33.203和(3GPP)SR0086規(guī)范定義了互聯(lián)網(wǎng)協(xié)議(IP)多媒體子系統(tǒng)(IMS),其定義了使用稱會(huì)話發(fā)起協(xié)議(SIP)的信令協(xié)議的標(biāo)準(zhǔn)��。該SIP可用于支持通過(guò)空中接口提供給移動(dòng)單位的各種多媒體業(yè)務(wù)��。示例性的IMS業(yè)務(wù)包括互聯(lián)網(wǎng)會(huì)議���?;ヂ?lián)網(wǎng)電話����,視頻電話,時(shí)間通知��,即時(shí)信息等等�����。 第三代無(wú)線通信標(biāo)準(zhǔn)需要相互驗(yàn)證的鑒權(quán)與密鑰符合 (AKA) 安全協(xié)議�。例如,3GPP 33.203和3GPP2 S.R0086標(biāo)準(zhǔn)定義了AKA安全協(xié)議在 IP多媒體用戶實(shí)體(UE)和IMS網(wǎng)絡(luò)的第一入口節(jié)點(diǎn)�����,例如代理呼叫控制功能實(shí)體(P-CSCF)之間建立安全關(guān)聯(lián)的IMS安全協(xié)議��。那么該網(wǎng)絡(luò)和UE可以使用存儲(chǔ)在和/或由歸屬用戶服務(wù)器(HSS )�、認(rèn)證,鑒權(quán)和計(jì)費(fèi)服務(wù)器(AAA) 和/或服務(wù)器呼叫會(huì)話控制實(shí)體 (MSCF)產(chǎn)生的信息進(jìn)行相互驗(yàn)證����。使用第二代R-UIM卡的用戶可能想要直接或4全部由第三代技術(shù)提供的額外業(yè)務(wù)。例如�,用戶可以購(gòu)買(mǎi)支持依據(jù)IMS協(xié)議提供的多媒體業(yè)務(wù)的移動(dòng)單元、然而 第二代 R-UIM卡不支持AKA安全協(xié)議���,而第三代網(wǎng)絡(luò)不能與第二代R-UIM相互驗(yàn)證���。結(jié)果,即使包含第二代R-UIM卡的移動(dòng)單元可能支持 IMS功能���,用戶也將不能使用由IMS 協(xié)議定義的業(yè)務(wù)���。用戶還可能不愿意丟棄他們的R-UIM卡并以與3G兼容的卡替換它們����,其可能緩解被第三代技術(shù)允許的多媒體業(yè)務(wù)的采用和執(zhí)行����。
發(fā)明內(nèi)容
本發(fā)明致力于解決上述提出的一個(gè)或多個(gè)問(wèn)題的影響。下面提出本發(fā)明的簡(jiǎn)要概述以提供對(duì)本發(fā)明的某些方面的基本理解���。這個(gè)概述不是 本發(fā)明的詳盡總括����,該概述不試圖識(shí)別本發(fā)明的主要或決定性的部件����,或界定本發(fā)明的范圍。唯一的目的是以簡(jiǎn)化形勢(shì)提出某些概念作為稍后討論的更加詳細(xì)的說(shuō)明的前奏�����。 在本發(fā)明的一個(gè)實(shí)施例中�,提供一種用于驗(yàn)證至少一個(gè)用戶身份模塊和無(wú)線通信系統(tǒng)的一個(gè)入口節(jié)點(diǎn)的方法�。該方法可以包括從入口節(jié)點(diǎn)接受依據(jù)至少第一^^H^議形成的至少第一詢問(wèn)���,Wi據(jù)不同于該第一^HH義的至少一第 ^^#議,基于該第一詢問(wèn)形成至少一個(gè)第二詢問(wèn)��。該方法還可以包括向用 戶身^^^提供該第二詢問(wèn)�。^M^發(fā)明的另一個(gè)實(shí)施例中,提^"種用于B與至少一個(gè)移動(dòng)單元有關(guān)的至少一個(gè)用戶身�����,夾的方法��。該方法可以包^J該移動(dòng)單; y^^l據(jù)至少 一個(gè)第一^H^議形成的至少一個(gè)第一詢問(wèn)����,并接 ^于由該用戶身份^^提 供給該移動(dòng)單元的至少一個(gè)第二響應(yīng)形成的至少一個(gè)第一響應(yīng)。該第二響應(yīng)可以依據(jù)不同于該第一^H^議的至少一第^^H義���,基于第一詢問(wèn)形成����。該方法還可以包括基于該第一響應(yīng)jmi該用戶身#^夾�?�?梢詤⒖枷耝合附圖的描i^f本發(fā)明�����,其中相同的標(biāo)號(hào)表示相同的元件����,且其中圖lfe舍l^示出依據(jù)本發(fā)明的無(wú)^t信系統(tǒng)的一^N^例性的實(shí)施例��;圖2相L舍1^示出依據(jù)本發(fā)明的一封在用戶身⑩央(UIM)和第一入口 節(jié)點(diǎn)之間進(jìn)粉目5JmE的方法的示例性實(shí)施例的第"^P分�,以及圖3相L倉(cāng)^^示出依據(jù)^明的一種在用戶身,夾(UIM)和第一入口 節(jié)點(diǎn)^J司進(jìn)粉目5JiHt的方法的示例性實(shí)施例的第二部分���。雖然本發(fā)明允許有不同的修姊可選賴形式��,但是其中的特定實(shí)施例已 ^附圖中示僻ti^示并^b詳細(xì)描^0然而應(yīng)當(dāng)衝醉�,jtb^J"特定實(shí)施例 的描^是^#械明限制^^的特定形式中���,W目反����,期^il所有落 入由所附;M,溪求書(shū)定義的^L明的,和范圍內(nèi)的修改�����、等Wb和可替換形 式�����。牀實(shí)財(cái)式下面將描id^發(fā)明的示意性實(shí)施例���,為了清楚,本說(shuō)朋書(shū)中沒(méi)有描述實(shí)際實(shí)財(cái)式中的所有特征.當(dāng)然應(yīng)當(dāng)清楚在^r贈(zèng)實(shí)際實(shí)施例的開(kāi)發(fā)中��,應(yīng)當(dāng)做出許多特定實(shí)財(cái)式的^^完成開(kāi)iCA員的特定目標(biāo)��,例械守相關(guān)系統(tǒng)絲關(guān)事務(wù)的約束��,該約絲不同實(shí)財(cái)式中不同��。而且�����,##楚這種開(kāi)發(fā)努 力可食l^l雜又費(fèi)時(shí)的�����,但狄于得益于本發(fā)明所^^的內(nèi)容的賴域"fit技術(shù)人員來(lái)說(shuō)不過(guò)是日常的任務(wù)。根據(jù)軟件或在計(jì)算機(jī)存儲(chǔ)器中對(duì)數(shù)據(jù)比特進(jìn)行操作的算法和符號(hào)表示呈現(xiàn) 本發(fā)明的一部分和相應(yīng)的詳細(xì)描述�。那些本領(lǐng)域普通技術(shù)人員通過(guò)這些描述和陳述可以有效地將他傘兵工作的裨傳達(dá)給其它的本領(lǐng)域普通技術(shù)人員。算法�����,作為在此使用的術(shù)語(yǔ)�,如其通常使用的那樣,是指達(dá)到一個(gè)期望結(jié)果的各步驟 的自身一致的順序�����。這些步驟需要對(duì)物理量進(jìn)行物理操作�����。通常但是非必要�����, 這些量采用光���、電����、磁信號(hào)的形式,可以進(jìn)行存儲(chǔ)�����、傳送�、組合、比較和其它操作���。已經(jīng)證明�,有時(shí)主要因?yàn)橥ǔ5挠猛?��,把這些信號(hào)表示為比特、值��、元件����、符號(hào)、特性�����、條件、數(shù)字等等是方便的����。然而頭腦中應(yīng)當(dāng)當(dāng)想到,所有這些和類似的術(shù)語(yǔ)都與適當(dāng)?shù)奈锢砹坑嘘P(guān)����,并且僅僅是就用于這些量的方便標(biāo)識(shí)。除非另夕卜特別聲明�����,或者從討論中明確得出���,諸如'處理"或"用計(jì)算機(jī)計(jì)算"或"計(jì)算"或"確定"或"顯示"等等的術(shù)語(yǔ)��,涉及對(duì)計(jì)算機(jī)系統(tǒng)或類似電子計(jì)算設(shè)備的動(dòng)作和處理����,其處理并將在計(jì)脅系統(tǒng) 的寄存器和�,器內(nèi)表示為物理的、電子的量的數(shù)據(jù)轉(zhuǎn)換為表示為在計(jì)臬機(jī)系統(tǒng)存儲(chǔ)器或寄存器或其它這樣的信息儲(chǔ)存����、傳送或顯示設(shè)備中的物理量的其它 相似的數(shù)據(jù)����。還應(yīng)當(dāng)注意�����,本發(fā)明的軟件實(shí)現(xiàn)方面典型地是以某種程序存儲(chǔ)媒質(zhì)的形式編碼或在某種類型的傳皿質(zhì)上實(shí)現(xiàn).程序存儲(chǔ)媒質(zhì)可以是磁的(例如軟盤(pán)或硬盤(pán))或光學(xué)的(例如光盤(pán)只讀存儲(chǔ)器����,或"CDROM"),也可以AX讀或隨機(jī) 存取的��,類似地��,傳皿質(zhì)可以是^線���、同軸電纜、光纖�、或某些本領(lǐng)哉公知的其它合適的傳輸媒質(zhì)。本發(fā)明不受任何給出的實(shí)現(xiàn)方式的這些方面的限制?����,F(xiàn)將參考附圖對(duì)本發(fā)明進(jìn)行介紹����,僅為了解釋的目的在附圖中示性地對(duì)各種結(jié)構(gòu)���、系統(tǒng)和設(shè)備進(jìn)描述,并不使用本領(lǐng)域技術(shù)人員公知的細(xì)節(jié)來(lái)模糊本發(fā)明���。然而��,附圖用于描述并解釋械明的示例性舉例�����。此處使用的詞和 短語(yǔ)應(yīng)當(dāng)被理解和解釋為與相關(guān)領(lǐng)哉技術(shù)人員對(duì)那些詞和短語(yǔ)的理解—致�。沒(méi) 有對(duì)術(shù)語(yǔ)或短語(yǔ)的特殊定義���,也就是說(shuō)�����,與本領(lǐng)域技術(shù)人員理解的通常和習(xí)慣 的意思不同的定義����,則意味在比沿用該術(shù)語(yǔ)或短語(yǔ)的慣用用法��。就希望術(shù)語(yǔ) 或短語(yǔ)提供特定意思來(lái)說(shuō),也就是說(shuō)�����,與本領(lǐng)域技術(shù)人員的意思不同的意 思�,這樣的定義將在說(shuō)明書(shū)中以直接明了地為術(shù)語(yǔ)或短語(yǔ)提供特殊定義的確定 的方式提出。
圖1概念,示出無(wú)線通信系統(tǒng)100的一個(gè)示例性的實(shí)施例����。在該示例'性 的實(shí)施例中,無(wú)^it信系統(tǒng)100可以^l第三^X^it信協(xié)議��,例如在ANSI TIA/EIA/IS"2000標(biāo)準(zhǔn)中^U^^多址(CDMA)協(xié)議提供無(wú)^i^接�。然而, ;M^域才i^A員應(yīng)當(dāng)清^^發(fā)明不限于依據(jù)CDMA ijHXi^f亍的無(wú)^ii信系統(tǒng) 100���。在可替換的實(shí)施例中�,可以^^Hi^r無(wú)^it信協(xié)議提供無(wú)^i^接����。jft^卜�����, 在某些實(shí)施例中,無(wú)線通信系統(tǒng)100可以包括(或連接到) 一個(gè)或多個(gè)有^it 信系統(tǒng)�����。圖1所示的無(wú)線通信系統(tǒng)100可以向一個(gè)或多^動(dòng)單元105 (1-3 )提供 無(wú)^i^接����。為了清楚,jH^在"^l^移動(dòng)單元105時(shí)標(biāo)號(hào)(1-3 ) ^!'略�����。然 而���,在單W^移動(dòng)單元105或移動(dòng)單元105的子集時(shí)可以^^l標(biāo)號(hào)(1-3)����。 關(guān)于在共享同一附圖樹(shù)己的各部件之間進(jìn)行區(qū)分時(shí)的其它標(biāo)號(hào)可以使用同樣的方式���。移動(dòng)單元105可以是"1^r類型的移動(dòng)單元�����,^4t^限于���,蜂窩電話105 (1)��、個(gè)A^:據(jù)助理105 (2)和臺(tái)式電腦105 (3)��。然而����,得益于本發(fā)明的本 領(lǐng)域"fit技^A員應(yīng)當(dāng)清楚本發(fā)明不限于這些移動(dòng)單元105的特殊示例���,在可 替換的實(shí)施例中可以^^)其它類型的移動(dòng)單元105�。4^域"fii!M^員還應(yīng)當(dāng) 清楚可以使用其它術(shù)語(yǔ)彬'J該移動(dòng)單元105�,例如移動(dòng)殼體、用戶設(shè)備�、用戶終 端、接A^f端等等.用戶可以提供用戶身^j^ 110 (1-3 )���,包括表絲用戶的信息和可用于向 該無(wú)^ii信系統(tǒng)100校^i亥用戶身洲信息����。在示例性的實(shí)施例中��,該用戶身 > ^110是可移1^用戶身>^^ (R-UIM) 110, ^f^第^r^線電信標(biāo) 準(zhǔn)如TIA/EIA-41標(biāo)# ANSI TIA/EIA/IS"2000標(biāo)0#^行��。用戶身^^ 110 可以包括用于與無(wú)^it信系統(tǒng)100 t^i接的一個(gè)或多個(gè)密鑰�����。例如��,用 戶身份110可以^-個(gè)都^^y^的稱為A-KEY的64位PdDML因此�����, 用戶身^^塊110可以支持在ANSITIA/EIA/I^2000和ANSITIA/EIA"41中定 義的2G棘內(nèi)容���,^feA-KEY、由A-KEY引申出的例如SSD"A和SSD-B�����、 加密錄CAVE���、和處理2G^ii請(qǐng)求的能力����,像全局詢問(wèn)、唯4問(wèn)�、以及 例如產(chǎn)生例如SMEKEY^f^^碼(PLCM)的M密鑰。移動(dòng)單元105可以通過(guò)空中接口 115 (1-3)與^il信系統(tǒng)100 lti—個(gè) 或多個(gè)無(wú)^it信^���?�?罩薪涌?115可以鄉(xiāng)動(dòng)單元105和無(wú)^t信系統(tǒng)的笫 一入口節(jié)點(diǎn)120相連接���。在示例性的實(shí)施例中,第一入口節(jié)點(diǎn)是^3S呼叫M控制功能實(shí)似P-CSCF )120��,其通信^M^到詢問(wèn)CSCF(I-CSCF )125���。I-CSCF 125可以通信;hk^^到服務(wù)器CSCF (S^CSCF) 130和歸屬訂戶月艮務(wù)器(HSS) 135��,歸屬訂戶月艮務(wù)器(HSS) 135可以通信iik^^到歸^i置寄存器(HLR) 和/^^L中心(AuC)140���。 P國(guó)CSCF120、 I-CSCF125����、 S^CSCF130、 HSS 135 和HLR/AuC140都;U^^/^p的����,為了清楚�,jth^lf(5L^it些辦與本發(fā)明 相關(guān)的辦方面進(jìn)^i一步的描述���。而且,受益于本發(fā)明的輛域"fit^^A 員應(yīng)當(dāng)清楚��,在可替換的實(shí)施例中�����,第一入口節(jié)點(diǎn)120可以^^到更多����、更少 和/或無(wú)^ii信網(wǎng)絡(luò)100的不同部件。無(wú)^it信網(wǎng)絡(luò)100提#"-個(gè)或多個(gè)^#議����,可用于相5Jmi無(wú)^it信網(wǎng) 絡(luò)100和通信^^到該無(wú)^ii信網(wǎng)絡(luò)100上的設(shè)備。在示例性的實(shí)施例中�, P-CSCF120為無(wú)線通信網(wǎng)絡(luò)100騶iE用戶設(shè)備。例如���,P-CSCF 120可以4^ ^K^密鑰符合(AKA)^H^議提供相X^在一個(gè)實(shí)施例中�,P-CSCF120系統(tǒng)(IMS)妙,上蹄準(zhǔn)規(guī)定了女^T對(duì)用戶設(shè)備和第一入口節(jié)點(diǎn)之間的SIP然而����,用戶身^^:ll(HM的^^議可能與無(wú)^i信系統(tǒng)100,特別是 P-CSCF120lW^^H^議不同��。從而��,移動(dòng)單元105能夠?qū)^it信系統(tǒng) 100 M到的鑒權(quán)信息游換為用戶身皿塊110可以用iMt無(wú)^t信系統(tǒng)100 進(jìn)行離的形式����。移動(dòng)單元105還能夠?qū)①噾羯韃^110^^的^^信4#^^^1信系統(tǒng)100可以用樹(shù)用戶身#^110進(jìn)行棘的形式。在一個(gè)實(shí)施例中��,移動(dòng)單元105可以將從P"CSCF120^:的基于IP的SIP信令 中的^*1詢問(wèn)內(nèi)^#^可以提#^用戶身^^110的2G^K請(qǐng)求��。移動(dòng)單 元105還可以將^戶身^MI^ 110 ^t的響應(yīng)重新打^ SIP信^HHt過(guò) FCSCF 120 EVES網(wǎng)絡(luò)�。移動(dòng)單元105還可以^^I從用戶身,塊110"^t的^密鑰產(chǎn)生額外的^密鑰用于IMSHSS135可以訪問(wèn)與用戶身>(^塊110有關(guān)的a信息����,并#^信息用于向 無(wú)^t信系統(tǒng)100a^該用戶身^^:110。在一個(gè)實(shí)施例中��,HSS135訪問(wèn)與 ^!t在HLR140中的用戶身^^l塊110有關(guān)的^^信息.例如��,HSS135可以 實(shí)^fe^于SS7的IS"41接口 ,支持IS"41事務(wù)�,如^ K請(qǐng)求(AUTHREQ )事 務(wù),其可以連接到HLR/AuC 140�。該HLR/AuC 140可以將HSS135看作IS^41140可以看成VLR。 HSS135還可以依據(jù)EMS ^hh義使用由HLR/AuC 140狄的絲密鑰來(lái)產(chǎn)生絲密鑰�。在一個(gè)實(shí)施例中,用戶的IMS標(biāo)識(shí)可以與預(yù)訂的標(biāo)3只綁定以防止攻擊者加 入一^Ht常的CDMA業(yè)^NH吏用受害者的EMS標(biāo)iPJi行SIP注冊(cè)�����,從而可以 為EMS業(yè)務(wù)對(duì)受害者的預(yù)訂收費(fèi)���。例如,用戶的IP多W^餘〖只(EVDPI)因此游動(dòng)單元105可以由如3GPP TS 23.003中的13J和13.4中描述的IMSI lti IMPI和IMPU�����。移動(dòng)單元105可以把EMPI和IMPU發(fā)i^U'J S"CSCF 130 和HSS135�。 HSS135可以由歴PI和IMPU得到IMSI。這個(gè)得到的BMSI可 以包括在AUTHEREQ中并由HLR/AuC 140 ����。如果試圖替^feJbt, AUTHR的^M^^JL在某些實(shí)施例中����,無(wú)^ii信系統(tǒng)100可以以HTTP M的形式提供^^詢 問(wèn)���,如下所t然后移動(dòng)單元110可以提^(^i密鑰(如SMEKEY)產(chǎn)生的 HTTP^J^應(yīng)作為口令。這個(gè)方法可以有助于防止攻擊者通過(guò)^^^JL^it 信系統(tǒng)100M的RAND的值^ti^止置換攻擊����,向受害者移動(dòng)單元110發(fā)j^i 尋呼消息,并M^多動(dòng)單元110 # ^尋呼響應(yīng)中需要的AUTHR�。將I2LjL攻絲 收^^^受害者的IMS4^^入需要的所有信息,因?yàn)楣粽邔⒉痪哂衼?lái)自全 局詢問(wèn)^L的衍生物���,如SMEKEY密碼���,因?yàn)檫@種信息不通過(guò)空中傳輸。因4某些實(shí)施例中����,移動(dòng)單元105可以^Lg&置為依據(jù)3GPPTS23.003或 勤gUt程由EVSI生成IMPI和IMPU。移動(dòng)單元105可以使用HTTP ^J^詢 問(wèn)的32 LSB作為全局RAND將CDMA2000全局詢問(wèn)鑒權(quán)請(qǐng)^C麟用戶身 110��。移動(dòng)單元105可以將HTTP "^^或"cnonce����,"的值iSj:為^^靠 近的/Mi^^iEii^(24H^)財(cái)6個(gè)0的AUTHR����, ^8頓>^戶身^^: 110 #^的SMEKEY作為HTTP M密碼iMt過(guò)^1為HTTP ^!HHS(X^ 的MD5或SHA-l算^i十算HTTP^I^)應(yīng)��,在一個(gè)實(shí)施例中��,移動(dòng)單元105 可以根椐由用戶身���,塊110 M的SMEKEY和PLCM計(jì)算密碼密鑰(CK) 和/或完塾性密鑰(IK),這些密#完整性密鑰可以進(jìn)一步用于獄移動(dòng)單元 和P-CSCF之間的后續(xù)SIP信令���。無(wú)線通信系統(tǒng)100還可以支持HTTP^功能。在一個(gè)實(shí)施例中����,S^CSCF 135可以將多^MH^請(qǐng)求(MAR)命賴SIP-Au也-Data-Item AVP 在Cx:Diameter接口�����,該接口^f HTTP^^或" nonce"的32 ^(i^f^"效位的 ^i值和HTTP摘要"cnonce"的值����,其表示上述定義的R-UEM鑒權(quán)響應(yīng) AUTHR。 HSS 135能夠依據(jù)3GPP TS 33.003或剿k灘序從EMPI和IMPU得 到IMSI���。 HSS 135還能夠通過(guò)4^I作為RAND的32位MSB和使用作為 AUTHR的剩余的24比特的18位MSB對(duì)SIP-Auth-Data-Item AVP進(jìn)行分 解�����。HSS 135可以使用HTTP絲詢問(wèn)的32位LSB作為全局RAND�����,從IMPI 和IMPU得到的IMSI和>^^多動(dòng)單元105 ^S'〗的AUTHR���,將SS7 IS^41 <^ 請(qǐng)求AUTHREQ傳遞到與IMSI有關(guān)的HLR/AuC 140��。 HSS 135可以將從 HLR/AuC 140 M的SMEKEY ilf^ IS^41 authreq (^5L請(qǐng)^il回結(jié)果)消 息中的SMEKEY設(shè)置為HTTP M密碼并將它在Cx: Diameter接口上以多 :^fM^K-回答(MAA)命械回給S《SCF135,在一個(gè)實(shí)施例中��,HSS 135 可以根據(jù)從HLR/AuC 140 ^J)t的SMEKEY和PLCM計(jì)算CK和IK�����,并在 MAA命令中將它返回到S"CSCF 135����。圖2概念性示出—在用戶身維塊(UIM)和第一入口節(jié)點(diǎn)之間進(jìn)粉目 XiHt的方法的示例性實(shí)施例的第一部分200��。在示意性的實(shí)施例中�����,第一入口 節(jié),吝oiP"CSCF,例如Jiii的P-CSCF 120��。用戶設(shè)備(UE)通過(guò)向P《SCF 發(fā)送注冊(cè)消息狄EMS業(yè)務(wù)注冊(cè)�����,如箭頭205所指���。該注冊(cè)消息4^C轉(zhuǎn)發(fā)到 I-CSCF�, M頭210所指�。然后I-CSCF接AJ!] HSS以請(qǐng)擬旨^當(dāng)S-CSCF 的位置的信息,HSS敝樣岜炎條I"CSCF,如雙箭頭215所指�。I-CSCF 將注賄綠條S^CSCF,錄頭220所指�����。S"CSOM^由P《SCF提供的信息形^K詢問(wèn)(在225)����。在一個(gè)替換 的實(shí)施例中����,提^S"CSCF的消息中可以^"也可以不^/^表示與用戶身份 模塊(UIM )有關(guān)的EMPI和/或EMPU的信息�����,如果W:的消息中不包舍表示 IMPI的信息��,S"CSCF可以^�����! CHALLENGE形成HTTP摘要(在225)�。如果M的消息中包含表示IMPI的信息�,S"CSCF可以訪問(wèn)存儲(chǔ)在HSS 中的鑒權(quán)信息,然后^)隨:Wt CHALLENGE和從HSS找回的信息形成 HTTP摘要(在225)�。在一個(gè)實(shí)施例中,S-CSCF還可以對(duì)包含在狄的消息的安4H^議��。例如�,S^CSCF可以確定UIM支持基于CAVE的g而不iU^全 EMS狄然而,得益于械明的棉域"fit^^A員應(yīng)當(dāng)清^^L明不限于 在S《SCF完^Jiii步驟�����,在替換的實(shí)施例中,可以在無(wú)^it信系統(tǒng)的其它位 置脅一個(gè)或多個(gè)Jii^任務(wù)�。包含CHALLENGE值的HTTP摘要請(qǐng)求可以合并到經(jīng)過(guò)I-CSCF和 P-CSCF提HJE的一個(gè)或多個(gè)消息中,肖頭230��, 235���, 240所指�。然后 UE依據(jù)不同的安4H^議將M到的詢問(wèn)轉(zhuǎn)換為新的詢問(wèn)(在245)�。例如,UE 可以從HTTP摘要請(qǐng)求^ CHALLENGE值��,CHALLENGE的32 ^^f絲效位作為可以依據(jù)T1A/EIA41安^HH^作詢問(wèn)的全局RAND���。將 該全局RAND作為用于^^尋呼響應(yīng)的全局詢問(wèn)發(fā)ilU'J UEM���,如箭頭250 所指。然后UIM可以基于從UE M到的詢問(wèn)計(jì)算一個(gè)或多個(gè)^密鑰(在 255 )���。在一個(gè)實(shí)施例中�,UIM計(jì)算數(shù)字簽名AUTHR, PLCM和SMEKEY (在 255 )����。 UIM ^f捐包括始密鑰的計(jì)算的參數(shù)形成響應(yīng)(在255 ),并將該響應(yīng)返 回給UE�����,如箭頭260所指�����。UE基于從UIM M的響應(yīng)形成^JHl應(yīng)(在265 )��。 例如����,UE可以使用SMEKEY、 IMPI和全HTTP M CHALLENGE形成 HTTP ^^J應(yīng)(在265 )���。在一個(gè)實(shí)施例中�����,如果需要UE"to-P-CSCF的妙�����, UE還可以計(jì)^^密鑰���,CK=K SMEKEY�, PLCM��, "CK"沐IK=f( S鹿KEY�, PLCM, "IK"),處"r表示^^T^it的偽脅函數(shù)�����,例如HMAC���, EHMAC 等等��。圖3概念l^示出-"^在用戶身�����,塊(UIM)和第一入口節(jié)點(diǎn)之間進(jìn)行 相5J3^iit的方法的示例性實(shí)施例的第二部分300,在示意性的實(shí)施例中�����,UE向 P"CSCF提^Nj應(yīng)于從UIM^^的信息而形成的(在圖2的265)響應(yīng)��,* 頭305所指����,例如�,UE可以提供HTTP^I^應(yīng),和其它# RAM) ^#字 簽名AUTHR的信息(在305),然后P~CSCF向I-CSCF進(jìn)而向S^CSCF (如 Ji^斤述����,使用由HSS提供的信息)提供&^由UE提供的信息的一個(gè)或多個(gè)消 息,如箭頭310, 315�����, 320所指�。例如,UE可以向P《SCF發(fā)送包含HTTP 4ly^I應(yīng)的SM7消息(在305)���, P-CSCF^Ht信息在消息SM8和SM9中轉(zhuǎn)發(fā) 給S-CSCF (在310���, 315, 320)��。^1t^來(lái)自UE的信息�,S^CSCF形成^^^K信息的消息,例如由UE提 供的"3^K信息或其它可以^^由UE提供的^5L信息形成的信息�����。例如,S-CSCF可以使用CHALLENGE的32位LSB或nonce RAND的值���,使用cnonce "l^l數(shù)字簽名AUTHR的值���,連接RAND和AUTHR,并在Cx:多^fM^K -請(qǐng)求(MAR)消息中i組適當(dāng)?shù)挠?��。然后S"CSCr可以向HSS提供^(5L信息�, 如箭頭325所指�����。例如���,S-CSCF可以向HSS提供MAR消息(在325)�。在一 個(gè)實(shí)施例中�����,與UE有關(guān)的IMPI和IMPU^MAR消息中發(fā)送���。HSS <^由S^CSCF提供的信息產(chǎn)生可以用U1M的額夕Ht息��。在示 例性的實(shí)施例中��,HSS從提供的IMPI和IMPU^lllMSI^H^1 IMSI���,RAND ^L字簽名AUTHR產(chǎn)生授權(quán)請(qǐng)求,例如IS"41 AUTHREQ��。 HSS向HLR/AuC 提供可以用于^UIM的信息��,錄頭330所指�����。那么HLR/AuC可以確認(rèn)由 HSS提供的該信息(在335),例如HLR/AuC可以確認(rèn)數(shù)字簽名AUTHR (在 335 )�。如果該HLR/AuC成功確認(rèn)由HSS提供的該信息(在335),該HLR/AuC 使用由HSS提供的信息計(jì)算一個(gè)或多^K^密鑰,例如SMEKEY和PLCM�����, 并彬亥絲密鑰提條HSS,錄頭340所指��。HSS向&CSCF提供由HLR/AuC M的部分或4^P信息�����,M頭345所 指。在示例性實(shí)施例中��,HSS向S"CSCF返回一個(gè)或多個(gè)密鑰���,例如SMEKEY 和PLCM (在345 )���,其可以4^1 一個(gè)或多個(gè)密鑰作為用于HTTP摘要的密碼。 ^ S"CSCF可以確認(rèn)由UE提供的資格(在350 )����。例如,&CSCF可以4M SMEKEY作為M密,認(rèn)該HTTP^J^I應(yīng)(在350).如果S-CSCF成功 確認(rèn)該���,(在350 )���,那么S-CSCF向UE提供消息4旨示鑒k已M功,從而 Wt無(wú)^ii信網(wǎng)絡(luò)中的UIM���,崎頭355�����, 360�����, 365�, 370所指。例如�,S^CSCF 可以在消息SM10和SMU中向P-CSCF發(fā)送^K消息(2xxAirth一OK)。然后 P"CSCF可以在SM12中將Au也一OK消4#發(fā)到UE��。在一個(gè)實(shí)施例中��,&CSCF 計(jì)算一個(gè)或多^l"密鑰��,例如密碼密鑰(CK)�、完整性密鑰(IK)辨��,例 如���,可用4M SMEKEY和PLCM形成CK和IK,該^密鑰還可以使用消 息355���, 360, 3654l:^UE,Jiii/iHp的絲實(shí)施傘Hsbi示意性的���,因?yàn)?^于jH^:導(dǎo)的;Mi5域^A 員清楚可以翻不同但等偶方iC^械明進(jìn)^f務(wù)錄實(shí)踐��。而且�����,不希望限 制在jH^t公開(kāi)的及下iy5U�����,J^求書(shū)中描述的結(jié)構(gòu)或設(shè)計(jì)的細(xì)節(jié)中��。所以顯然上 ii/JHf"的^^實(shí);^例可以ii^^^l或修改���,而所有這些^都^^發(fā)明的范 圍^NNt中���。從而jH^t要求的獄如下i^,J^求書(shū)中所指出.
權(quán)利要求
1����、一種在至少一個(gè)用戶身份模塊和無(wú)線通信系統(tǒng)的一個(gè)入口節(jié)點(diǎn)進(jìn)行驗(yàn)證的方法,包括��;從所述入口節(jié)點(diǎn)接收依據(jù)至少第一安全協(xié)議形成的至少第一詢問(wèn);依據(jù)不同于所述第一安全協(xié)議的至少第二安全協(xié)議形成基于所述第一詢問(wèn)的至少第二詢問(wèn)����;以及向所述用戶身份模塊提供所述第二詢問(wèn)。
2�����、 擬'J^求1的方法��,其中^^依據(jù)第一^HH義形成的第一詢問(wèn)&^���,詢問(wèn)�,并且其中基于笫一詢問(wèn)形^二詢問(wèn)包^l據(jù)TTA/EIA-41安^tH義^^J 所i^4問(wèn)的32 ^ft^4^"效位的nonce���。
3、 ^U����,JJNU的方法,包拾響應(yīng)于所鄉(xiāng)二詢問(wèn)�,A^斤述用戶身份^:^l^一響應(yīng),其中# 1^斤述 第一響應(yīng)^^t數(shù)字簽名�、信令消息密鑰M用"j^^碼中的至少一個(gè); 基于所述信令消息密鑰W^"^^碼中的至少一^成至少一個(gè)密鑰;以及基于所^一詢問(wèn)���、信令消息密鑰�����、M標(biāo)識(shí)�����、第二詢問(wèn)^lt字簽名中的 至少一�,成第二響應(yīng)��,其中形成所ii^二響應(yīng)包括基于所^一詢問(wèn)�、信令 消息密鑰^H^標(biāo)識(shí)中的至少一個(gè)形成HTTP *^)應(yīng)。
4����、 ;J5U'J^"求3的方法�����,^t^所^口節(jié)點(diǎn)提供所i^二響應(yīng)����。
5���、 ;M'漆求4的方法,^i^I應(yīng)于提供所i^二響應(yīng)y^斤i^口節(jié)點(diǎn)狄 第三響應(yīng)并基于所ii^三響應(yīng)向所^口節(jié)點(diǎn)Jm^斤述用戶身皿夾���。
6���、 一種Wt與至少一^^動(dòng)單元有關(guān)的用戶身^^的方法, 向所i^動(dòng)單it^^l據(jù)至少第一^H3W^成的至少第^問(wèn)���; "^^于由所述用戶身份^^提^^所^動(dòng)單元的至少第二響應(yīng)形成的至少笫一響應(yīng)�����,所^二響應(yīng)依提不同于所i^一^H^議的第^^HH^ 于所鄉(xiāng)一詢問(wèn)形成�;以及基于所i^一響應(yīng)IH^斤i^J戶身>( ^�����。
7����、 ?M'J^求6的方法��,包^i據(jù)所i^一^HH義形^一詢問(wèn)�����,其中形成所絲一詢問(wèn)包^l據(jù)HTTP^"協(xié)議形成HTTP摘要詢問(wèn)���,并且其中形成 所it^一詢問(wèn)包括確狄否已經(jīng)^t一^N^標(biāo)識(shí)并響應(yīng)于確定已經(jīng)接Jl^斤述 械#^尸^歸屬訂戶服務(wù)器獲^^信息�����。
8����、 ����;M,J^求6的方法����,其中^^一響應(yīng)包括至少之一 接峰于由所述用戶身份^^據(jù)TTA/EIA41安^H^議形成的第二響應(yīng)而形成的所ii^一響應(yīng);接》|^4示第一詢問(wèn)��、信令消息加密密鑰、M標(biāo)識(shí)���、基于所i^一詢問(wèn)形 成的第二詢問(wèn)和A^斤述用戶身份^^接收的數(shù)字簽名中的至少一個(gè)的信息��;以及^^t&于所^一詢問(wèn)���、信令消息加密密鑰Jfp^"標(biāo)識(shí)中的至少一個(gè)而形 成的HTTP^^J應(yīng)。
9��、 ^Uf'溪求6的方法���,其中m^斤i^戶身^^包躺歸絲置寄存器 和鑒權(quán)中心中的至少一個(gè)提^!HiE請(qǐng)求���,其中提供所i^ii請(qǐng)求包^l^fM 用戶標(biāo)識(shí)、基于所絲-^問(wèn)形成的第二詢問(wèn)和>^斤^戶身^^接收的數(shù) 字簽名中的至少一個(gè)而形成的IHiE請(qǐng)求���。
10����、 ����;M'J^求9的方法,包^^JiHt請(qǐng)求響應(yīng)�����,其中^^斤i^HE請(qǐng)求響應(yīng)包:^收包括指示信令消息加密密鑰^r^^碼中至少之一的信息的mst請(qǐng)求響應(yīng)�,并且其中IH^斤述用戶身^^j^包^^^所述信令消息加密密鑰m^斤述用戶身,塊����,還包括基于信令消息加密密鑰^r^^碼中至少之一產(chǎn)生至少一個(gè)密鑰,并響應(yīng)于5H^斤述用戶身^^而提^-個(gè)消息以指出所述用戶身>{ 夾已^£�����。
全文摘要
本發(fā)明提供一種向無(wú)線通信系統(tǒng)的一個(gè)入口節(jié)點(diǎn)驗(yàn)證用戶身份模塊的方法��。該方法可以包括從該入口節(jié)點(diǎn)接收依據(jù)第一安全協(xié)議形成的第一詢問(wèn)���,并依據(jù)不同于該第一安全協(xié)議的第二安全協(xié)議形成基于該第一詢問(wèn)的第二詢問(wèn)����。該方法還可以包括向該用戶身份模塊提供該第二詢問(wèn)��。
文檔編號(hào)H04L29/06GK101248643SQ200680023483
公開(kāi)日2008年8月20日 申請(qǐng)日期2006年8月4日 優(yōu)先權(quán)日2005年8月19日
發(fā)明者S·B·米茲克烏斯基, 王志必 申請(qǐng)人:朗迅科技公司