專利名稱:驗證向量生成裝置、生成方法���、用戶驗證模塊���、移動通信系統(tǒng)的制作方法
技術領域:
本發(fā)明涉及用于使用戶驗證模塊的功能停止的驗證向量生成裝置、用戶驗證模塊��、移動通信系統(tǒng)以及驗證向量生成方法��。
背景技術:
近年�����,關于個人信息保護的法令的制定等��,關于個人信息的保護的輿論高漲���。另一方面����,移動通信業(yè)務的用戶的數(shù)量達數(shù)千萬之多而深入于日常生活。
在移動通信中使用者使用和管理的用戶驗證模塊和安裝有用戶驗證模塊的便攜電話都是包含大量個人信息的裝置����,但由于是使用者平時攜帶使用的裝置,所以容易遺失或被盜而脫離使用者的管理����。在丟失了用戶驗證模塊或安裝有用戶驗證模塊的便攜電話時,或者被盜時���,在這之后���,僅通過聯(lián)絡移動通信網(wǎng)的用戶簽訂合同的移動通信運營商或用戶驗證模塊發(fā)布者等(以下將由該移動通信運營商或者該用戶驗證模塊發(fā)布者提供服務的移動通信網(wǎng)稱為“本地(home)網(wǎng)”),便能夠迅速應對��,將使用該用戶驗證模塊的通話或者通信停用�����。
然而��,使用該用戶驗證模塊的通信線路的停用,只不過是不執(zhí)行本地網(wǎng)的網(wǎng)絡側(cè)設備的呼叫連接而已���,并不能停止安裝于便攜電話的用戶驗證模塊自身的功能�����。
這里�����,作為使用戶驗證模塊自身的功能停止、即用于使合法使用者以外不能使用的裝置�,具有如下的功能通過對用戶驗證模塊輸入PIN(Personal Identity Number)并核對,來驗證是該用戶驗證模塊的合法使用者����。即,考慮當移動機的電源接通(即����,對用戶驗證模塊的電源供給開始)時,通過用戶輸入PIN�,來使用戶驗證模塊驗證是合法使用者。
該使用PIN的驗證功能中���,只要PIN不被第三者知悉��,則無法成為通過用戶驗證模塊的PIN的核對的狀態(tài)�����。因此����,例如在將用戶驗證模塊轉(zhuǎn)插入其他的便攜電話中,一旦對用戶驗證模塊的供電中斷后再次接通電源的用戶驗證模塊中�,無法對需要PIN核對的內(nèi)部信息進行訪問。
另外��,在下述專利文獻1中�,記載了在被盜或遺失等時,能夠簡便可靠地通過第三者使便攜終端裝置的各種功能停止的功能停止方法��,記載了通過對被盜或遺失的便攜終端裝置發(fā)送電子郵件�����,從而停止該便攜終端裝置的各種功能的方法����。
專利文獻1日本特開2002-209260號公報然而��,關于用戶驗證模塊的PIN核對����,一旦輸入了合法的信息(以下稱為核對通過狀態(tài))���,則此后在關斷用戶驗證模塊的電源或者進行重設置(再起動)之前���,都保持核對通過狀態(tài)。并且�����,通常在安裝有用戶驗證模塊的便攜電話丟失的情況下��,至少在合法使用者管理便攜電話的時間點����,認為用戶驗證模塊的PIN為核對通過��。
因此��,在拾得該便攜電話后��,只要使用適合于該便攜電話的裝置(充電器)而不使供電中斷,則能夠保持該用戶驗證模塊的PIN核對通過狀態(tài)����,此時能夠?qū)Υ鎯τ谟脩趄炞C模塊中的信息進行訪問。
另外����,合法的使用者通過輸入PIN進行設定,從而也能夠預先使對該用戶驗證模塊的PIN核對功能本身無效�。即,對于PIN核對功能被無效化的狀態(tài)的用戶驗證模塊��,通過從拾得的便攜電話中取出用戶驗證模塊并換插入到其他的便攜電話中����,或者將IC卡讀寫器連接到個人計算機上,能夠很容易地進行內(nèi)部的存儲信息的閱讀等��。
另外���,關于上述專利文獻1��,由于需要電子郵件功能�,所以難以適用于所有的便攜終端裝置�。此外�,在移動機處于無法接收電子郵件��、例如沒有電波進入的位置時��,無法執(zhí)行該功能�����,并且即使移動至有電波的位置有時也無法立即接收電子郵件���,從而無法迅速停止便攜終端裝置的功能�����。
發(fā)明內(nèi)容
因此�����,為了解決上述問題,本發(fā)明的目的在于��,提供能夠迅速地使用戶驗證模塊的功能部分或全部停止的驗證向量生成裝置�、用戶驗證模塊、移動通信系統(tǒng)和驗證向量生成方法���。
本發(fā)明的驗證向量生成裝置根據(jù)來自進行用戶驗證模塊的驗證的驗證裝置的請求�����,生成含有RAND字段的驗證向量����,并將所生成的驗證向量發(fā)送至所述驗證裝置,所述驗證向量生成裝置具有設定單元����,其基于應用該驗證向量生成裝置的操作者的設定,進行使安裝于該用戶側(cè)終端設備中的用戶驗證模塊的功能部分或全部停止的功能停止設定����;請求接收單元,其經(jīng)由所述用戶側(cè)終端設備接收用于進行與用戶驗證模塊的驗證的驗證向量的發(fā)布請求���;驗證向量生成單元�����,當通過所述請求接收單元接收了驗證向量的請求時���,該驗證向量生成單元生成安裝于所述用戶側(cè)終端設備中的用戶驗證模塊的驗證用的驗證向量���;附加單元,當通過所述設定單元進行了使所述用戶驗證模塊的功能停止的設定時�,該附加單元在由所述驗證向量生成單元所生成的驗證向量的RAND字段中附加停止信息,該停止信息指示所述用戶驗證模塊的功能部分或全部停止�;以及驗證向量發(fā)送單元,其將由所述附加單元附加了停止信息的驗證向量發(fā)送至所述驗證裝置���。
另外���,本發(fā)明的驗證向量生成方法是驗證向量生成裝置的驗證向量生成方法,該驗證向量生成裝置根據(jù)來自進行用戶驗證模塊的驗證的驗證裝置的請求���,生成包含RAND字段的驗證向量����,并將生成的驗證向量發(fā)送至所述驗證裝置��,該驗證向量生成方法具有設定步驟�����,該步驟中基于應用該驗證向量生成裝置的操作者的設定����,進行使安裝于該用戶側(cè)終端設備中的用戶驗證模塊的功能部分或全部停止的設定;接收步驟����,該步驟中經(jīng)由在所述設定步驟設定的用戶側(cè)終端設備,從用于進行與用戶驗證模塊的驗證的驗證裝置接收驗證向量的發(fā)布請求��;驗證向量生成步驟�����,該步驟中當通過所述接收步驟接收了驗證向量的請求時���,生成所述用戶側(cè)終端設備中的所述用戶驗證模塊的驗證用的驗證向量����;附加步驟�,該步驟中當通過所述設定步驟進行了所述用戶驗證模塊的功能停止的設定時,在由所述驗證向量生成步驟所生成的驗證向量的RAND字段中附加停止信息��,該停止信息指示所述用戶驗證模塊的部分或全部功能停止�����;以及發(fā)送步驟,該步驟中將由所述附加步驟附加了停止信息的驗證向量發(fā)送至所述驗證裝置����。
根據(jù)本發(fā)明,基于來自應用驗證向量生成裝置的操作者或用戶側(cè)終端設備的用戶的設定�,而進行使安裝于用戶側(cè)終端設備中的用戶驗證模塊的功能部分或全部停止的設定,當從由被設定的用戶側(cè)終端設備進行了位置登記的驗證裝置接收到驗證向量的發(fā)布請求時���,生成用戶側(cè)終端設備中的用戶驗證模塊的驗證用的驗證向量��。并且���,在進行了上述用戶驗證模塊的功能停止的設定的情況下,能夠在所生成的驗證向量的RAND字段中附加指示停止用戶驗證模塊中的部分或全部功能的停止信息���,并將附加了停止信息的驗證向量發(fā)送至上述驗證裝置�����。
由此�����,根據(jù)來自移動機等用戶側(cè)終端設備的位置登記請求�����,生成用于功能停止的驗證向量�,所以當用戶側(cè)終端設備處于有電波到達的位置時�����,能夠迅速停止其功能�。另外,由于在驗證向量中在RAND字段中附加用于功能停止的停止信息����,因此即使是通過漫游等經(jīng)由基于GSM(Global System for Mobile Communications)的網(wǎng)和基于IMT(International Mobile Telecommunication)-2000的網(wǎng)進行的通信,在從五位字節(jié)到三位字節(jié)的轉(zhuǎn)換中也無需進行刪除或轉(zhuǎn)換����,能夠可靠地將用于停止的信息傳送至用戶側(cè)設備終端。
本發(fā)明的用戶驗證模塊安裝于用戶側(cè)終端設備中����,該用戶驗證模塊具有停止信息接收單元,其接收停止信息��,該停止信息包含于在移動通信網(wǎng)的所述用戶驗證模塊的驗證中使用的驗證向量的RAND字段中,用于使所述用戶驗證模塊的部分或全部功能停止�;以及停止單元,其基于通過所述停止信息接收單元接收的停止信息����,使所述用戶驗證模塊中的部分或全部功能停止。
根據(jù)本發(fā)明��,接收記錄于驗證向量的RAND字段中�����、用于使用戶驗證模塊的部分或全部功能停止的停止信息����,并基于所接收的停止信息,能夠使所述用戶驗證模塊中的部分或全部功能停止��。
由此���,在用戶側(cè)終端設備中���,如果是能夠執(zhí)行位置登記的請求的狀態(tài)、即處于電波可到達的位置���,則能夠迅速地使驗證向量中所設定的功能停止�。另外,能夠根據(jù)設定于驗證向量的RAND字段中的����、用于功能停止的停止信息來進行功能停止處理,并且即使是通過漫游等而經(jīng)由基于GSM的網(wǎng)和基于IMT-2000的網(wǎng)進行的通信�����,也無需在從五位字節(jié)到三位字節(jié)的轉(zhuǎn)換中刪除或轉(zhuǎn)換該停止信息���,而能夠可靠地取出停止信息并執(zhí)行功能停止。
本發(fā)明的移動通信系統(tǒng)構(gòu)成為包括驗證裝置�����,其進行用戶驗證模塊的驗證����;驗證向量生成裝置,其根據(jù)來自所述驗證裝置的請求����,生成包含RAND字段的驗證向量����,并將生成的驗證向量發(fā)送至所述驗證裝置��;以及安裝于用戶側(cè)終端設備中的所述用戶驗證模塊����,其中,所述驗證向量生成裝置具有設定單元����,其基于應用該驗證向量生成裝置的操作者的設定,進行使安裝于該用戶側(cè)終端設備中的所述用戶驗證模塊的功能部分或全部停止的設定��;請求接收單元�����,其經(jīng)由被所述設定單元設定的所述用戶側(cè)終端設備����,從用于進行與用戶驗證模塊的驗證的驗證裝置接收驗證向量的發(fā)布請求;驗證向量生成單元���,當通過所述請求接收單元接收了驗證向量的請求時��,該驗證向量生成單元生成用于所述用戶側(cè)終端設備中的所述用戶驗證模塊的驗證的驗證向量����;附加單元,當通過所述設定單元進行了使所述用戶驗證模塊的功能停止的設定時�����,該附加單元在由所述驗證向量生成單元所生成的驗證向量的RAND字段中附加停止信息����,該停止信息指示所述用戶驗證模塊中的部分或全部功能停止���;以及驗證向量發(fā)送單元��,其將由所述附加單元附加了停止信息的驗證向量發(fā)送至所述驗證裝置��,所述用戶驗證模塊具有停止信息接收單元����,其接收停止信息�����,該停止信息包含于由所述驗證向量發(fā)送單元發(fā)送的驗證向量的RAND字段中;以及停止單元�����,其基于通過所述停止信息接收單元接收的停止信息����,使所述用戶驗證模塊中的部分或全部功能停止。
由此�����,根據(jù)來自移動機等用戶側(cè)終端設備的位置登記請求��,生成用于功能停止的驗證向量���,所以當用戶側(cè)終端設備處于有電波到達的位置時����,能夠迅速停止其功能����。另外,由于在驗證向量中在RAND字段中附加用于功能停止的停止信息�����,因此即使是通過漫游等而跨越基于GSM的網(wǎng)和基于IMT-2000的網(wǎng)進行的通信,也無需在從五位字節(jié)到三位字節(jié)的轉(zhuǎn)換中進行刪除或轉(zhuǎn)換�,能夠可靠地將用于停止的信息傳送至用戶側(cè)設備終端。
在用戶側(cè)終端設備中�,如果是能夠執(zhí)行位置登記的請求的狀態(tài)、即處于有電波到達的位置���,則能夠迅速地使驗證向量中所設定的功能停止����。另外��,能夠根據(jù)設定于驗證向量的RAND字段中的����、用于功能停止的停止信息來進行功能停止處理�,并且即使是通過漫游等而經(jīng)由基于GSM的網(wǎng)和基于IMT-2000的網(wǎng)進行的通信,也無需在從五位字節(jié)到三位字節(jié)的轉(zhuǎn)換中刪除或轉(zhuǎn)換該停止信息��,而能夠可靠地取出停止信息并執(zhí)行功能停止�。
根據(jù)本發(fā)明,當用戶側(cè)終端設備位于有電波到達的位置時�,能夠迅速地使其功能停止��。并且���,在安裝于用戶側(cè)終端設備中的用戶側(cè)模塊中,能夠基于驗證向量而迅速地停止其功能�����。
圖1是表示本實施方式涉及的移動通信系統(tǒng)的結(jié)構(gòu)的圖�。
圖2是HLR 10的硬件框圖。
圖3是表示五位字節(jié)和三位字節(jié)的構(gòu)成以及從五位字節(jié)到三位字節(jié)的轉(zhuǎn)換的圖����。
圖4是表示在實施方式中移動通信系統(tǒng)所執(zhí)行的處理的順序圖。
具體實施例方式
參照用于例示而示出的附圖并考慮以下詳述�,能夠易于理解本發(fā)明。以下參照附圖對本發(fā)明實施方式進行說明��。在可能的情況下對相同的部分賦予相同標號而省略重復說明�����。
在圖1中示出了本實施方式的構(gòu)成為包含安裝有HLR 10(HomeLocation Resister驗證向量生成裝置)�、VLR 20(Visitor Location Resister驗證裝置)和USIM 40(User Subscriber Identity Module用戶驗證模塊)的移動機30的移動通信系統(tǒng)1的結(jié)構(gòu)。在移動通信系統(tǒng)1中,移動通信網(wǎng)2對應于每個網(wǎng)絡運營商而存在����。在移動通信系統(tǒng)1中,即使移動機30(用戶側(cè)終端設備)不存在于該移動機30的用戶簽訂合同的網(wǎng)絡運營商的移動通信網(wǎng)的通信區(qū)域內(nèi)時���,只要處于其他網(wǎng)絡運營商的移動通信網(wǎng)的通信區(qū)域內(nèi)(例如通過VLR 20驗證的區(qū)域內(nèi))����,則可以經(jīng)由其他網(wǎng)絡進行通信�。即,在移動通信系統(tǒng)1中可以漫游�����。
在本實施方式中���,將移動通信網(wǎng)2a作為移動機30的用戶簽訂合同的網(wǎng)絡運營商的移動通信網(wǎng)(以下將該移動通信網(wǎng)稱為本地網(wǎng)2a)��,將移動通信網(wǎng)2b作為其他網(wǎng)絡運營商的移動通信網(wǎng)(以下將該移動通信網(wǎng)稱為漫游網(wǎng)2b)。另外��,本地網(wǎng)2a是基于IMT-2000的網(wǎng)��,例如是日本國內(nèi)的網(wǎng),漫游網(wǎng)2b是基于GSM的網(wǎng)�����,例如是海外的網(wǎng)�。在以下以移動機30經(jīng)由基于海外的GSM的漫游網(wǎng)2b與本地網(wǎng)2a進行通信為前提,說明移動通信系統(tǒng)1的各構(gòu)成要素�。
HLR 10作為生成用于移動通信網(wǎng)的用戶驗證模塊的驗證的驗證向量(AV)的裝置,存在于各移動通信網(wǎng)2中�。將移動通信網(wǎng)2a的HLR作為HLR 10。如圖1所示���,HLR 10具有驗證向量生成部11(驗證向量生成單元)��;停止信息附加部12(附加單元)�,其指示停止用戶驗證模塊中的部分或全部功能����;驗證向量發(fā)送部13(驗證向量發(fā)送單元);功能停止設定部14(設定單元)�;請求接收部15(請求接收單元)。
HLR 10具體而言優(yōu)選通過構(gòu)成為包含CPU和存儲器等的信息處理裝置來實現(xiàn)�。圖2是該HLR 10的硬件構(gòu)成圖。如圖2所示����,HLR 10在物理上構(gòu)成為計算機系統(tǒng)��,包括CPU 101�����;作為主存儲裝置的RAM 102和ROM 103���;硬盤等輔助存儲裝置105;作為輸入設備的鍵盤和鼠標等輸入裝置106��;顯示器等輸出裝置107����;網(wǎng)卡等作為數(shù)據(jù)收發(fā)設備的通信模塊104等。在圖1中說明的各功能是通過將規(guī)定的計算機軟件讀入圖2所示的CPU 101��、RAM 102等硬件中��,并通過CPU 101的控制而使通信模塊104����、輸入裝置106、輸出裝置107動作�����,并且進行RAM 102和輔助存儲裝置105中的數(shù)據(jù)的讀取和寫入來實現(xiàn)的�。下面基于圖1所示的功能框圖來說明各構(gòu)成要素。
驗證向量生成部11是生成用于用戶驗證模塊的驗證的驗證向量的部分�����。驗證向量的生成是通過生成具有多個字段的電子數(shù)據(jù)來進行的���。例如�����,驗證向量生成部11生成由圖3(a)所示的數(shù)據(jù)串構(gòu)成的驗證向量�。圖3(a)是表示基于IMT-2000的驗證向量的示意圖�。如圖3(a)所示,基于IMT-2000的驗證向量由稱為五位字節(jié)的數(shù)據(jù)串構(gòu)成�����。具體而言�,五位字節(jié)的驗證向量表示為由RAND、XRES����、CK����、IK和AUTN構(gòu)成的數(shù)據(jù)串�。其中,RAND字段是預先記述了用于驗證處理的隨機數(shù)的部分�����,進而在本實施方式中記述了用于使USIM 40功能停止的停止信息����。
這里,對由本地網(wǎng)2a的HLR 10生成的驗證向量��、即為了具有USIM40的用戶驗證模塊的驗證而生成的驗證向量進行說明�。由于本地網(wǎng)2a是基于IMT-2000的移動通信網(wǎng),因此由本地網(wǎng)2a的HLR 10生成的驗證向量��,是具有如圖3(a)所示的RAND����、XRES、CK�����、IK和AUTN這5個字段的五位字節(jié)。
進一步具體說明�����。在XRES字段中包含有用于對在USIM 40中執(zhí)行的運算結(jié)果進行驗證的信息�。該信息優(yōu)選通過僅由HLR 10和驗證對象的USIM 40獲知的秘密信息和算法而求出��。在CK字段中含有用于對無線通信路徑進行隱匿的信息���。在IK字段中含有用于對無線通信內(nèi)容進行核對的信息�����。在AUTN字段中含有在USIM 40中對移動通信網(wǎng)2進行驗證的信息����。五位字節(jié)中用來確定用于驗證的運算的算法的信息包含于在AUTN字段中所包含的AMF字段中���。另外����,存在當通過漫游網(wǎng)2b的VLR20進行驗證時,該五位字節(jié)轉(zhuǎn)換成三位字節(jié)(參照圖3(b))的情況��。關于轉(zhuǎn)換內(nèi)容將在后面敘述����。
停止信息附加部12在進行針對由功能停止設定部14所設定的移動機30的位置登記處理時,讀取由驗證向量生成部11生成的驗證向量�����,并在驗證向量的RAND字段附加USIM 40中的停止信息����。由驗證向量生成部11生成的、經(jīng)停止信息附加部12附加了停止信息的驗證向量被輸出至驗證向量發(fā)送部13����。
驗證向量發(fā)送部13將通過停止信息附加部12附加了停止信息的驗證向量發(fā)送至VLR 20。
功能停止設定部14從與HLR 10連接的稱為控制臺的控制桌(未圖示)接收來自HLR 10的操作者的設定指示而進行設定����。具體而言,功能停止設定部14接收使由USIM 40確定的USIM 40自身的功能部分或全部停止的意旨��,進行該設定。另外���,功能停止設定部14不僅從控制臺接收操作者的指示�,也可以經(jīng)由通信網(wǎng)從移動機30的用戶接收通過遠程操作使由USIM 40確定的USIM 40自身的功能部分或全部停止的設定���,并進行存儲���。
請求接收部15經(jīng)由用戶側(cè)終端設備的通信部31和接口部32從VLR20接收驗證向量的請求�����。當請求接收部15接收了驗證向量的請求時�����,對驗證向量生成部11輸出用于驗證向量生成的指示�。
VLR 20是對移動機30的位置進行管理、并進行存儲的裝置�����,是使用由HLR 10生成的驗證向量�����,對移動機30和USIM 40進行實際的驗證處理的裝置。該VLR 20也存在于各移動通信網(wǎng)2中����,在移動機30通過漫游從漫游網(wǎng)2b連接到本地網(wǎng)2a時,通過漫游網(wǎng)2b的VLR 20進行驗證處理���。關于VLR 20中的具體的驗證處理將在后面敘述�。
移動機30是供移動通信網(wǎng)的用戶使用����、進行移動通信系統(tǒng)1中的通信的裝置。這里的通信例如相當于語音通信�、分組通信等。如圖1所示�����,移動機30具備具有移動通信功能的通信部31以及與USIM 40進行信息收發(fā)的接口部32���。
USIM 40安裝于移動機30中��,是用于進行通過VLR 20執(zhí)行的用戶驗證模塊的驗證所需的運算的裝置��。USIM 40具體而言優(yōu)選通過可安裝于移動機30的IC卡來實現(xiàn)��,并存儲有用戶的電話號碼以及有關所加入的網(wǎng)絡運營商的信息�����。如圖1所示���,USIM 40具有使用戶驗證模塊中的部分或全部功能停止的功能停止部41(停止單元)�;接收部42(停止信息接收單元)���;確定部43��;運算部44;發(fā)送部45���。
功能停止部41是使例如用于從外部參照存儲于該USIM 40內(nèi)部的電話薄信息的功能和參照存儲有其他使用者可個別設定的信息的部分的功能無效�����、即是使來自外部的參照停止的功能部分�����。此外�,為了使得不能進行使用USIM 40的網(wǎng)絡連接,也可以由功能停止部41停止USIM 40具有的全部功能(成為無響應狀態(tài))���;使得無法進行驗證運算����;進行再設定之后使存儲于USIM 40自身中的信息消去而重設置�,以便請求PIN碼的輸入等。
接收部42是從移動機30的接口部32接收用于運算的數(shù)據(jù)或用于功能停止的數(shù)據(jù)的部分�����。在發(fā)送自移動機30的數(shù)據(jù)中至少包含驗證向量的RAND字段的信息�。所接收的數(shù)據(jù)發(fā)送至確定部43。
確定部43是參照在所接收的數(shù)據(jù)的驗證向量的RAND字段中包含的停止信息��,確定功能停止部41中的停止信息的部分�����。當確定部43確定了停止信息時����,將該意旨向功能停止部41輸出而執(zhí)行功能停止�。
運算部44是使用所接收的數(shù)據(jù)進行用于驗證的運算的部分��。運算結(jié)果的信息為了發(fā)送給移動機30而發(fā)送至發(fā)送部45�����。
發(fā)送部45是將經(jīng)過運算的運算結(jié)果信息向移動機30發(fā)送的部分�����。移動機30基于發(fā)送部45所發(fā)送的運算結(jié)果而能夠判斷驗證處理是否完成�。
以下,使用圖4的順序圖���,對通過本實施方式中的移動通信系統(tǒng)1執(zhí)行的處理進行說明�。本處理是對USIM 40進行驗證的處理��,是在移動機30處于漫游網(wǎng)2b的通信區(qū)域內(nèi)(例如在基于GSM的網(wǎng)所構(gòu)成的外國)時�,進行位置登記的情況下所執(zhí)行的處理��。
首先�,從安裝了USIM 40的移動機30進行位置登記請求,對移動機30所處的區(qū)域進行管理的漫游網(wǎng)2b的VLR 20接收該請求����。然后��,VLR 20根據(jù)來自移動機30的位置登記請求��,對本地網(wǎng)2a的HLR 10進行用于對USIM 40進行驗證的驗證向量的支出請求(S01)��。在本實施方式中��,移動機30(USIM 40)的用戶簽訂合同的網(wǎng)絡運營商向由HLR 10管理的區(qū)域提供通信服務����。
在接收了支出請求的HLR 10中�����,驗證向量生成部11基于包含于該支出請求中的用于確定USIM 40的信息��,生成對應于USIM 40的驗證向量(S02)�����。如上所述�����,本地網(wǎng)2a是基于IMT-2000的網(wǎng),因此生成的驗證向量為五位字節(jié)�。
另外,通常所生成的驗證向量的XRES字段的信息是根據(jù)包含于RAND字段的隨機數(shù)信息和HLR 10所預先保存的對應于USIM 40的秘密信息并基于規(guī)定算法而運算得到的���。另外����,所述規(guī)定算法是在USIM 40中驗證用的運算中所使用的算法�����。
然后���,在HLR 10中����,停止信息附加部12在所生成的驗證向量的RAND字段中附加停止信息(S03)���。具體而言�,如圖3所示���,優(yōu)選在RAND字段中預先設置例如用于確定停止信息的字段���、即預定的數(shù)據(jù)長度的停止信息字段,使該停止信息字段中包含用于確定停止信息的字符串���。此時例如將字符串“00h”作為停止信息���,停止信息中不包含除此之外的字符串等,預先使字符串對應起來�����。
另外���,在RAND字段中原本需要包含該字段所應包含的隨機數(shù)的信息�����,因此用于確定算法的字段需為最小限度�。另外��,用于確定該算法的信息可以通過任意方法加密��,也可以是明文(plain text)的狀態(tài)���。
另外��,在本實施方式的說明中��,驗證向量的生成(S02)和停止信息的附加(S03)是分別進行的處理���,但是也可以使驗證向量的生成和算法信息的附加在一個處理中進行���。
所生成的驗證向量由驗證向量發(fā)送部13進行發(fā)送,執(zhí)行驗證向量的支出�����。即����,驗證向量發(fā)送部13向發(fā)出驗證向量支出請求的VLR 20發(fā)送驗證向量(S04)。VLR 20接收所發(fā)送的驗證向量���。該驗證向量為五位字節(jié)�,但是由于漫游網(wǎng)2b為基于GSM的網(wǎng)而使用三位字節(jié)進行驗證���,因此VLR 20將五位字節(jié)轉(zhuǎn)換成三位字節(jié)(S05)����。
該變換具體而言如圖3所示來進行��。如圖3所示�����,RAND字段的數(shù)據(jù)無需轉(zhuǎn)換而成為三位字節(jié)的RAND字段的數(shù)據(jù)�。XRES字段的數(shù)據(jù)通過規(guī)定函數(shù)c2進行轉(zhuǎn)換而成為三位字節(jié)的RES字段的數(shù)據(jù)。CK和IK字段的數(shù)據(jù)經(jīng)規(guī)定函數(shù)c3轉(zhuǎn)換而成為三位字節(jié)的Kc字段的數(shù)據(jù)��。AUTN字段的數(shù)據(jù)在轉(zhuǎn)換為三位字節(jié)時刪除�。用于確定停止信息的信息包含于不經(jīng)函數(shù)等轉(zhuǎn)換的RAND字段中,所以可以直接延用于三位字節(jié)中��。
另外����,上述三位字節(jié)的轉(zhuǎn)換在VLR 20中進行,但是也可以通過移動通信系統(tǒng)�����,在HLR 10中進行了轉(zhuǎn)換后再發(fā)送給VLR 20。
接著����,VLR 20向USIM 40發(fā)送驗證用信息(S06)。在驗證用信息中至少含有RAND字段的信息�。另外,該發(fā)送經(jīng)由基站(未圖示)�����、移動機30的通信部31和接口部32進行�����。
然后��,在USIM 40中�,接收部42接收從移動機30發(fā)送的驗證用信息、即用于驗證的運算中使用的數(shù)據(jù)�����。當接收部42接收到數(shù)據(jù)時�����,由確定部43將該數(shù)據(jù)讀出。確定部43參照RAND字段中所包含的停止信息�,向功能停止部41輸出使功能停止的意旨。接收到該意旨的功能停止部41對USIM自身的功能的部分或全部執(zhí)行功能停止(S07)���。停止信息的確定具體而言可以是將上述停止信息字段的字符串讀出�,使用該字符串和預先保存的字符串的對應信息來進行���。
然后,運算部44基于規(guī)定算法進行用于驗證的運算(S08)�。運算結(jié)果發(fā)送至發(fā)送部45,并由發(fā)送部45發(fā)送給移動機30�����。所發(fā)送的運算結(jié)果經(jīng)由移動機30的通信部31和基站發(fā)送給VLR 20(S09)����。接收了運算結(jié)果的VLR 20使用驗證向量的XRES字段中所包含的驗證用信息來驗證運算結(jié)果是否妥當,進行USIM 40的驗證(S10)����。具體而言,驗證是通過判斷XRES字段中包含的值和運算結(jié)果的值是否相同來進行的�����。
另外,通過進行上述用于驗證的運算處理及該驗證處理����,能夠正常結(jié)束針對位置登記的處理,但是在也包含其后的處理(S08和S08以后的處理)而執(zhí)行了功能停止時�����,USIM 40也可以不執(zhí)行S08和S08以后的處理�。
如上所述,根據(jù)本實施方式��,即使在漫游網(wǎng)2b為基于GSM的網(wǎng)的情況下�,也可以在確定了停止信息之后實施。因此�����,即使處于漫游網(wǎng)屬下也能夠進行USIM 40的功能停止����。
另外,在本實施方式中�,必須針對現(xiàn)有移動通信系統(tǒng)進行變更之處僅在于���,HLR 10的驗證向量的生成處理(圖4中S02、S03)和基于USIM40的停止信息的停止處理(圖4中S07)�����,而不需要對VLR 20進行任何變更�,因此易于實現(xiàn)。
另外�,上述實施方式設定為進行基于IMT-2000的網(wǎng)和基于GSM的網(wǎng)之間的漫游的情況����,但是對于GSM網(wǎng)中的驗證也能夠適用本發(fā)明的技術。即����,在GSM網(wǎng)中,HLR使三位字節(jié)的RAND字段中包含用于確定用戶驗證模塊(GSM的情況下稱為SIM(Subscriber Identity Module))中的停止信息的信息�����。根據(jù)上述處理�����,即使對于在規(guī)格上未曾考慮功能停止的GSM也能夠?qū)崿F(xiàn)功能停止。
為了實現(xiàn)上述功能停止�,需要在USIM 40中進行驗證運算。因此�,優(yōu)選從本地網(wǎng)對USIM 40的用戶信息執(zhí)行例如來電動作等的伴隨驗證運算的功能。
下面����,對本實施方式的移動通信系統(tǒng)的作用效果進行說明。根據(jù)本實施方式的HLR 10���,基于來自應用HLR 10的操作者或者丟失移動機30的用戶的指示�,進行使USIM 40的功能部分或全部停止的設定��。然后��,當由從經(jīng)過設定的移動機30進行了位置登記的VLR 20接收了驗證向量的請求時��,生成用于移動機30中的USIM 40的驗證的驗證向量�,并在所生成的驗證向量的RAND字段中附加停止信息,該停止信息指示使USIM 40中的部分或全部功能停止��,附加了停止信息的驗證向量可以發(fā)送至VLR 20��。
由此�����,根據(jù)來自移動機30等用戶側(cè)終端設備的位置登記請求,生成用于功能停止的驗證向量��,因此能夠在移動機30處于有電波到達的位置時迅速停止其功能。進而,在驗證向量中����,在RAND字段附加用于功能停止的停止信息,因此即使是通過漫游而經(jīng)由基于GSM的網(wǎng)和基于IMT-2000的網(wǎng)進行的通信時���,也無需在從五位字節(jié)向三位字節(jié)轉(zhuǎn)換時進行刪除或轉(zhuǎn)換,能夠可靠地使停止用的信息傳送至移動機30�����。
另外���,本實施方式的USIM 40能夠接收記述于驗證向量的RAND字段中的用于使USIM 40的部分或全部功能停止的停止信息,并基于所接收的驗證向量中包含的停止信息�,使USIM 40中的部分或全部功能或者移動機30中的部分或全部功能停止。
由此����,在移動機30中��,如果是能夠執(zhí)行位置登記請求的狀態(tài)����,即處于有電波到達的位置�,則能夠迅速地使驗證向量中所設定的功能停止。另外�����,能夠根據(jù)設定于驗證向量的RAND字段中的����、用于功能停止的停止信息來進行功能停止處理,并且即使是通過漫游等而跨越基于GSM的網(wǎng)和基于IMT-2000的網(wǎng)進行的通信���,也能夠在從五位字節(jié)到三位字節(jié)轉(zhuǎn)換中無需將該停止信息刪除或轉(zhuǎn)換��,而能夠可靠地取出停止信息并執(zhí)行功能停止�����。
權利要求
1.一種驗證向量生成裝置����,該驗證向量生成裝置根據(jù)來自進行用戶驗證模塊的驗證的驗證裝置的請求,生成含有RAND字段的驗證向量��,并將所生成的驗證向量發(fā)送至所述驗證裝置���,所述驗證向量生成裝置具有設定單元�����,其基于應用該驗證向量生成裝置的操作者的設定�����,進行使安裝于用戶側(cè)終端設備中的用戶驗證模塊的功能部分或全部停止的功能停止設定�����;請求接收單元�,其經(jīng)由所述用戶側(cè)終端設備接收用于進行與用戶驗證模塊的驗證的驗證向量的發(fā)布請求�����;驗證向量生成單元���,當通過所述請求接收單元接收了驗證向量的發(fā)布請求時���,該驗證向量生成單元生成安裝于所述用戶側(cè)終端設備中的用戶驗證模塊的驗證用的驗證向量;附加單元����,當通過所述設定單元進行了使所述用戶驗證模塊的功能停止的設定時,該附加單元在由所述驗證向量生成單元所生成的驗證向量的RAND字段中附加停止信息�����,該停止信息指示所述用戶驗證模塊的功能部分或全部停止��;以及驗證向量發(fā)送單元��,其將由所述附加單元附加了停止信息的驗證向量發(fā)送至所述驗證裝置��。
2.一種用戶驗證模塊����,其安裝于用戶側(cè)終端設備中,其特征在于�,所述用戶驗證模塊具有停止信息接收單元,其接收停止信息���,該停止信息包含于在移動通信網(wǎng)的所述用戶驗證模塊的驗證中使用的驗證向量的RAND字段中����,用于使所述用戶驗證模塊的部分或全部功能停止;以及停止單元�����,其基于通過所述停止信息接收單元接收的停止信息���,使所述用戶驗證模塊中的部分或全部功能停止����。
3.一種移動通信系統(tǒng)��,該移動通信系統(tǒng)構(gòu)成為包括驗證裝置����,其進行用戶驗證模塊的驗證;驗證向量生成裝置���,其根據(jù)來自所述驗證裝置的請求��,生成包含RAND字段的驗證向量,并將生成的驗證向量發(fā)送至所述驗證裝置;以及安裝于用戶側(cè)終端設備中的所述用戶驗證模塊���,其特征在于��,所述驗證向量生成裝置具有設定單元����,其基于應用該驗證向量生成裝置的操作者的設定��,進行使安裝于該用戶側(cè)終端設備中的所述用戶驗證模塊的功能部分或全部停止的設定��;請求接收單元�,其經(jīng)由被所述設定單元設定的所述用戶側(cè)終端設備,從用于進行與用戶驗證模塊的驗證的驗證裝置接收驗證向量的發(fā)布請求���;驗證向量生成單元����,當通過所述請求接收單元接收了驗證向量的發(fā)布請求時���,該驗證向量生成單元生成用于所述用戶側(cè)終端設備中的所述用戶驗證模塊的驗證的驗證向量����;附加單元,當通過所述設定單元進行了使所述用戶驗證模塊的功能停止的設定時�����,該附加單元在由所述驗證向量生成單元所生成的驗證向量的RAND字段中附加停止信息��,該停止信息指示所述用戶驗證模塊中的部分或全部功能停止�����;以及驗證向量發(fā)送單元�����,其將由所述附加單元附加了停止信息的驗證向量發(fā)送至所述驗證裝置����,所述用戶驗證模塊具有停止信息接收單元,其接收停止信息���,該停止信息包含于由所述驗證向量發(fā)送單元發(fā)送的驗證向量的RAND字段中��;以及停止單元�,其基于通過所述停止信息接收單元接收的停止信息����,使所述用戶驗證模塊中的部分或全部功能停止�����。
4.一種驗證向量生成方法,該驗證向量生成方法是驗證向量生成裝置的驗證向量生成方法�����,該驗證向量生成裝置根據(jù)來自進行用戶驗證模塊的驗證的驗證裝置的請求���,生成包含RAND字段的驗證向量���,并將生成的驗證向量發(fā)送至所述驗證裝置,該驗證向量生成方法具有設定步驟���,該步驟中基于應用該驗證向量生成裝置的操作者的設定�����,進行使安裝于該用戶側(cè)終端設備中的用戶驗證模塊的功能部分或全部停止的設定�����;接收步驟�����,該步驟中經(jīng)由在所述設定步驟設定的用戶側(cè)終端設備��,從用于進行與用戶驗證模塊的驗證的驗證裝置接收驗證向量的發(fā)布請求���;驗證向量生成步驟���,該步驟中當通過所述接收步驟接收了驗證向量的請求時,生成所述用戶側(cè)終端設備中的所述用戶驗證模塊的驗證用的驗證向量���;附加步驟��,該步驟中當通過所述設定步驟進行了使所述用戶驗證模塊的功能停止的設定時����,在由所述驗證向量生成步驟所生成的驗證向量的RAND字段中附加停止信息��,該停止信息指示所述用戶驗證模塊的部分或全部功能停止���;以及發(fā)送步驟�����,該步驟中將由所述附加步驟附加了停止信息的驗證向量發(fā)送至所述驗證裝置��。
全文摘要
本發(fā)明提供驗證向量生成裝置�����、用戶驗證模塊�����、移動通信系統(tǒng)��、驗證向量生成方法����。即使漫游網(wǎng)是基于IMT-2000或GSM的網(wǎng)時也能夠進行用戶驗證模塊的功能停止���?����;贗MT-2000的移動通信網(wǎng)(2a)的HLR(10)具有在USIM(40)的驗證用的驗證向量的RAND字段中指示停止用戶驗證模塊中的部分或全部功能的停止信息附加部(12)�����。安裝于移動機(30)的USIM(40)具有執(zhí)行使用戶驗證模塊中的部分或全部功能停止的功能停止部(41)����;參照包含于所接收的數(shù)據(jù)中的用于確定停止信息的信息并向功能停止部傳達的確定部(43);使用該接收的數(shù)據(jù)來進行規(guī)定的運算的運算部(44)�。
文檔編號H04M1/665GK101031156SQ20071008480
公開日2007年9月5日 申請日期2007年2月27日 優(yōu)先權日2006年2月27日
發(fā)明者石川秀俊, 城輝明, 梅野寬 申請人:株式會社Ntt都科摩, 大日本印刷株式會社