專利名稱:移動通訊系統(tǒng)中加密移動臺開機鑒權(quán)方法
技術(shù)領(lǐng)域:
本發(fā)明涉及移動通訊系統(tǒng),尤其涉及在移動通信系統(tǒng)中加密移動臺開機鑒權(quán)以及加密等級登記的方法。
背景技術(shù):
隨著經(jīng)濟生活的不斷發(fā)展,人們對于交流和溝通需求的不斷增加,通訊系統(tǒng)已經(jīng)日益成為社會各個領(lǐng)域活動不可或缺的工具。需求推動創(chuàng)新,通訊技術(shù)也在日益增長的需求推動下快速發(fā)展。在移動通信領(lǐng)域中,用戶對于通訊信息的安全一直都非常關(guān)注,不僅要求通訊系統(tǒng)具有語音質(zhì)量高、多功能、可靠性高等特點,而且對通訊系統(tǒng)的保密性也提出越來越高的要求。在涉及金融、國家安全和軍隊等信息敏感領(lǐng)域,對于加密移動通信的要求則更高。在現(xiàn)有的蜂窩移動通信系統(tǒng)中,移動通信系統(tǒng)一般會要求開機的移動臺進行開機鑒權(quán)和登記,以便確定移動臺接入移動網(wǎng)絡具有合法性,以及一些跟移動臺有關(guān)的位置信息。對于這樣的移動臺鑒權(quán)而言,都是移動通信網(wǎng)絡對終端進行合法身份檢驗,屬于單向鑒權(quán),鑒權(quán)的算法一般采用協(xié)議標準提供或建議的算法。以現(xiàn)有碼分多址移動通信系統(tǒng)的鑒權(quán)為例,移動臺在每次入網(wǎng)前都需要進行必要的鑒權(quán),即鑒別移動臺的合法身份,確定該移動臺是否有入網(wǎng)資格。移動臺將鑒權(quán)參數(shù)以鑒權(quán)請求的方式發(fā)送給移動通信系統(tǒng)的基站,基站傳輸給鑒權(quán)中心(AC,Authentication Center),鑒權(quán)中心根據(jù)鑒權(quán)隨機數(shù),按照標準算法計算出結(jié)果,與移動臺中存儲的相關(guān)信息比較,確定移動臺的身份是否合法。這種移動臺開機鑒權(quán)的方法在公眾網(wǎng)等對于信息敏感度低的領(lǐng)域內(nèi)一般可以接受,但是在涉及國家安全、軍隊、金融和重要政府機關(guān)等領(lǐng)域內(nèi),卻無法滿足這些部門對于安全性的需求。在這樣的情況下,加密移動通信系統(tǒng)就成為一種必然,在加密移動通信中,無論終端還是網(wǎng)絡側(cè),都需要在通信過程中相互檢驗對方的合法性。移動通信系統(tǒng)對移動臺鑒權(quán)可以防止非法移動臺接入,移動臺檢驗基站的合法性則可以防止偽基站的誘導而造成信息泄漏。因此對于加密移動通信系統(tǒng)來說,現(xiàn)有的民用移動臺開機鑒權(quán)方法無法滿足通信安全方面的要求,但是目前又沒有一個適當?shù)姆绞綕M足該要求。
發(fā)明內(nèi)容
本發(fā)明的目的是克服現(xiàn)有移動通信技術(shù)中存在的移動臺開機時僅能進行單向鑒權(quán)和登記,從而導致通信安全性能差的缺點,以提供一種不僅能夠檢驗移動臺合法性和安全性,同時檢驗基站合法性和安全性、以及加密移動臺的加密等級登記問題的移動通信系統(tǒng)中加密移動臺開機鑒權(quán)方法。
為實現(xiàn)上述目的,本發(fā)明提出了一種移動通信系統(tǒng)中加密移動臺開機鑒權(quán)方法,其特征在于,包括以下步驟
第一步加密移動臺開機進行普通移動臺的開機登記和鑒權(quán)過程;第二步普通開機鑒權(quán)成功,加密移動臺進一步識別其是否帶有加密卡,如有加密卡則進入加密鑒權(quán)流程,繼續(xù)下一步;如無則結(jié)束開機鑒權(quán)程序,進入普通(非加密工作)待機狀態(tài);第三步加密移動臺發(fā)起加密開機鑒權(quán),以業(yè)務信道突發(fā)數(shù)據(jù)(業(yè)務信道突發(fā)數(shù)據(jù)消息可以攜帶的數(shù)據(jù)量比較大,能夠滿足攜帶鑒權(quán)數(shù)據(jù)的要求,其他的方法很難滿足攜帶大量數(shù)據(jù)的要求。)形式請求鑒權(quán),突發(fā)數(shù)據(jù)短消息攜帶加密卡的標識號等鑒權(quán)數(shù)據(jù);第四步密鑰分發(fā)中心(KDC,Key Dispatch Center)根據(jù)加密移動臺發(fā)來的突發(fā)數(shù)據(jù)進行以下相關(guān)處理1)根據(jù)加密移動臺的鑒權(quán)參數(shù),KDC以加密移動臺的鑒權(quán)參數(shù)為加密算法的輸入進行計算,將得到的結(jié)果數(shù)據(jù)與希望的結(jié)果數(shù)據(jù)比較,如果相同說明加密移動臺具有合法性和安全性;2)以加密移動臺的鑒權(quán)參數(shù)為輸入,使用KDC的加密算法(加密算法具體細節(jié)不宜公開)計算出加密移動臺的加密等級;3)KDC產(chǎn)生鑒權(quán)數(shù)據(jù)、加密移動臺的鑒權(quán)結(jié)果、以及加密移動臺的加密等級信息送給位置歸屬中心(HLR,Home LoactionRegister);第五步HLR接受KDC的消息,消息攜帶數(shù)據(jù),并根據(jù)數(shù)據(jù)記錄加密移動臺的加密等級,同時將加密移動臺的鑒權(quán)結(jié)果和KDC的鑒權(quán)數(shù)據(jù)發(fā)送到交換中心(MSC,Mobile Switch Center);第六步MSC發(fā)起前向突發(fā)數(shù)據(jù)請求,將KDC的鑒權(quán)數(shù)據(jù)發(fā)送給加密移動臺;第七步加密移動臺通過內(nèi)部接口將數(shù)據(jù)送給加密卡,加密卡完成對KDC鑒權(quán);KDC鑒權(quán)通過則加密移動臺進入加密通信狀態(tài),否則死鎖加密卡,即如果強行給加密卡上電將使加密卡燒毀。
本發(fā)明提出的加密鑒權(quán)方法提供了一種在移動通信領(lǐng)域中加密移動臺和移動通信系統(tǒng)進行雙向鑒權(quán)的解決方案,從而能夠比較好地解決移動臺和移動通信系統(tǒng)之間的合法身份檢驗問題,該方法還能夠兼容公眾移動網(wǎng)的開機鑒權(quán)過程,使得移動臺可以在私有網(wǎng)絡和公眾網(wǎng)路之間漫游,充分的利用現(xiàn)有資源。
圖1是加密移動通信系統(tǒng)設備和鏈接關(guān)系示意圖。
圖2是本發(fā)明所述的移動通信系統(tǒng)中加密移動臺開機鑒權(quán)方法流程圖。
具體實施例方式
下面結(jié)合具體實施方式
對本發(fā)明所述方法作進一步說明。
本發(fā)明所述方法所涉及的裝置如圖1所示由以下幾部分組成A移動臺和加密卡,移動臺和加密卡通過內(nèi)部接口鏈接,加密卡可以嵌入移動臺。
B系統(tǒng)部分,交換中心MSC和位置歸屬寄存器HLR鏈接,密鑰分發(fā)中心KDC,通過以太網(wǎng)方式同HLR鏈接。
C交換中心MSC具有識別鑒權(quán)消息是否是加密鑒權(quán)消息和消息轉(zhuǎn)發(fā)的功能;D位置歸屬中心HLR具有加密登記記錄和消息轉(zhuǎn)發(fā)功能。它與MSC和KDC通過以太網(wǎng)線相連。
E密鑰分發(fā)中心KDC具有加密算法,計算加密等級和生成加密密鑰等功能。
下面結(jié)合在碼分多址移動通信系統(tǒng)中的實際開發(fā)為例做詳細說明,加密移動臺開機鑒權(quán)流程如圖2所示1)加密移動臺開機,利用加密移動臺統(tǒng)一識別模塊卡(UIM)的數(shù)據(jù)發(fā)起普通開機鑒權(quán)和登記,登記成功后,在待機狀態(tài)下,發(fā)現(xiàn)加密卡存在,加密移動臺利用加密卡中的信息,如模塊標識、鑒權(quán)隨機數(shù)等信息,使用空中突發(fā)數(shù)據(jù)消息向系統(tǒng)發(fā)起加密開機鑒權(quán)請求,請求KDC完成對加密卡的鑒權(quán)。
2)基站系統(tǒng)通過業(yè)務信道消息,將加密移動臺的加密開機鑒權(quán)請求發(fā)往MSC。
3)MSC利用同HLR的內(nèi)部消息,將加密移動臺的加密開機鑒權(quán)請求發(fā)往HLR。
4)HLR通過和KDC之間的消息,將鑒權(quán)請求數(shù)據(jù)和鑒權(quán)參數(shù),加密卡ID等信息帶到KDC。由KDC完成對加密模塊的鑒權(quán),并得到加密模塊的加密等級,以及KDC鑒權(quán)數(shù)據(jù)。
5)KDC將鑒權(quán)結(jié)果和用戶使用的加密卡的加密等級通知用戶所屬的HLR。
6)HLR記錄用戶加密卡的加密等級,并通知MSC鑒權(quán)的結(jié)果。
7)MSC發(fā)起另一條前向短消息,將加密移動臺KDC鑒權(quán)數(shù)據(jù)發(fā)給基站系統(tǒng)(BSS)。
8)BSS發(fā)送前向突發(fā)數(shù)據(jù)消息,KDC鑒權(quán)數(shù)據(jù)發(fā)給加密移動臺,KDC鑒權(quán)數(shù)據(jù)送給加密卡。加密卡完成對KDC的鑒權(quán),并根據(jù)鑒權(quán)結(jié)果決定加密移動臺進入加密通信狀態(tài),或者普通通信狀態(tài)。
本發(fā)明提出的加密鑒權(quán)方法能夠比較好地解決加密移動臺和移動通信系統(tǒng)之間合法身份的相互檢驗問題,在實際使用中取得了很好的效果。
權(quán)利要求
1.一種移動通信系統(tǒng)中加密移動臺開機鑒權(quán)方法,其特征在于,包括以下步驟第一步加密移動臺開機進行普通移動臺的開機登記和鑒權(quán)過程;第二步普通開機鑒權(quán)成功,加密移動臺進一步識別其是否帶有加密卡,如有加密卡則進入加密鑒權(quán)流程,繼續(xù)下一步;如無則結(jié)束開機鑒權(quán)程序,進入普通待機狀態(tài);第三步加密移動臺發(fā)起加密開機鑒權(quán)請求;第四步密鑰分發(fā)中心根據(jù)加密移動臺發(fā)來的突發(fā)數(shù)據(jù)進行相關(guān)處理;第五步位置歸屬中心接受密鑰分發(fā)中心的消息,該消息攜帶相應數(shù)據(jù),并根據(jù)數(shù)據(jù)記錄加密移動臺的加密等級,同時將加密移動臺的鑒權(quán)結(jié)果和密鑰分發(fā)中心的鑒權(quán)數(shù)據(jù)發(fā)送到交換中心;第六步交換中心發(fā)起前向突發(fā)數(shù)據(jù)請求,將密鑰分發(fā)中心的鑒權(quán)數(shù)據(jù)發(fā)送給加密移動臺;第七步加密移動臺通過內(nèi)部接口將數(shù)據(jù)送給加密卡,加密卡完成對密鑰分發(fā)中心鑒權(quán);密鑰分發(fā)中心鑒權(quán)通過則加密移動臺進入加密通信狀態(tài),否則死鎖加密卡。
2.根據(jù)權(quán)利要求1所述的移動通信系統(tǒng)中加密移動臺開機鑒權(quán)方法,其特征在于,所述第三步中請求鑒權(quán)的形式為業(yè)務信道突發(fā)數(shù)據(jù)短消息。
3.根據(jù)權(quán)利要求2所述的移動通信系統(tǒng)中加密移動臺開機鑒權(quán)方法,其特征在于,所述突發(fā)數(shù)據(jù)短消息攜帶加密卡的標識號鑒權(quán)數(shù)據(jù)。
4.根據(jù)權(quán)利要求1所述的移動通信系統(tǒng)中加密移動臺開機鑒權(quán)方法,其特征在于,所述第四步中的相關(guān)處理包括以下步驟(1)根據(jù)加密移動臺的鑒權(quán)參數(shù),密鑰分發(fā)中心以加密移動臺的鑒權(quán)參數(shù)為加密算法的輸入進行計算,將得到的結(jié)果數(shù)據(jù)與希望的結(jié)果數(shù)據(jù)比較,如果相同說明加密移動臺具有合法性和安全性;(2)以加密移動臺的鑒權(quán)參數(shù)為輸入,使用密鑰分發(fā)中心的加密算法計算出加密移動臺的加密等級;(3)密鑰分發(fā)中心產(chǎn)生鑒權(quán)數(shù)據(jù)、加密移動臺的鑒權(quán)結(jié)果、以及加密移動臺的加密等級信息送給位置歸屬中心。
全文摘要
本發(fā)明公開了一種移動通信領(lǐng)域中的移動通信系統(tǒng)中加密移動臺開機鑒權(quán)方法。首先加密移動臺開機進行普通移動臺的開機登記和鑒權(quán)過程;并識別其是否帶有加密卡,如有則加密移動臺發(fā)起加密開機鑒權(quán),然后密鑰分發(fā)中心(KDC)根據(jù)加密移動臺發(fā)來的突發(fā)數(shù)據(jù)進行相關(guān)處理,再然后HLR將加密移動臺鑒權(quán)結(jié)果和KDC鑒權(quán)數(shù)據(jù)發(fā)送到交換中心,并由MSC發(fā)起前向突發(fā)數(shù)據(jù)請求,將KDC的鑒權(quán)數(shù)據(jù)發(fā)送給加密移動臺,加密移動臺通過內(nèi)部接口將數(shù)據(jù)送給加密卡完成對KDC鑒權(quán)。本發(fā)明所述方法解決了移動臺和移動通信系統(tǒng)之間的合法身份檢驗問題,還能夠兼容公眾移動網(wǎng)的開機鑒權(quán)過程,使得移動臺可以在私有網(wǎng)絡和公眾網(wǎng)路之間漫游,充分利用現(xiàn)有資源。
文檔編號H04M1/725GK1568067SQ0313978
公開日2005年1月19日 申請日期2003年7月8日 優(yōu)先權(quán)日2003年7月8日
發(fā)明者劉英男, 唐小嵐, 王建紅 申請人:深圳市中興通訊股份有限公司