通信系统的本地认证的制作方法
专利名称:通信系统的本地认证的制作方法
技术领域:
本发明涉及通信系统,尤其涉及通信系统用户的本地认证。
背景无线通信领域有众多应用,包括譬如无绳电话、寻呼、无线本地环路、个人数字助理(PDA)、因特网电话和卫星通信系统,尤其重要的应用则是移动用户的蜂窝电话系统。这里说的“蜂窝”系统包括蜂窝与个人通信服务(PCS)两种频率。对这类蜂窝电话系统已开发了各种空中接口,包括例如频分多址(FDMA)、时分多址(TDMA)与码分多址(CDMA)。这方面已建立了各种美国国家和国际的标准,包括譬如先进移动电话服务(AMPS)、全球移动系统(GSM)和暂定标准95(IS-95),尤其是IS-95及其衍生标准IS-95A、IS-95B、ANSI J-STD-008(这里常统称为IS-95)和提议的高数据率数据系统等,都是由电信工业协会(TIA)和其它著名的标准团体颁布的。
用IS-95标准配置的蜂窝电话系统,应用CDMA信号处理技术提供高效可靠的蜂窝电话服务。美国专利No.5,103,459和4,901,307描述了基本上用IS-95标准配置的示例性蜂窝电话系统,这些专利已转让给本发明受让人,通过引用包括与此。应用CDMA技术的一种示例系统就是TIA颁布的ITU-R无线电传输技术(RTT)候选提案(这里称cdma 2000),cdma 2000标准以IS-2000草案提出,已经TIA批准。Cdma2000以多种方式与IS-95系统兼容。另一个CDMA标准是W-CDMA标准,以“3rdGeneration Partnership Project“3GPP”实施(第3代合作项目),文件号为3G TS 25.211、3G TS25.212、3G TS25.213和3GTS25.214。
世界上大部分地区普遍增长的电信服务和平民百姓流动性的增大,希望对外出旅行的用户提供通信服务。能满足这一要求的一种方法是使用识别令牌,诸如GSM系统中的用户识别模块(SIM),其中向用户分配一张能插入GSM电话的SIM卡,该卡携带的信息用来识别插卡方的账目信息。下一代SIM卡已更名为USIM(UTMSSIM)卡。在CDMA系统中,识别令牌称为可移动的用户接口模块(RUIM),并具有同样作用,这种识别令牌的使用使得用户可能不带其个人的移动电话外出旅行,该令牌可配置成在访问环境中不使用的频率上工作,可在设有因建立新的账户而增加费用的条件下使用本地的移动电话。
尽管用这种识别令牌来查询用户账单信息,是很方便的,但也同样是安全。目前,用这种识别令牌来编程私人信息,诸如用于消息加密的密码密钥或识别用户的认证密钥,并发送给移动电话。试图窃取账户信息的人,会通过对移动电话日编程来保留丢失识别标志的私人信息,或者在移动电话的合法使用期间将私人信息发送到中一存贮单元,从而达到他(她)的目的。下面把被以这种方式被篡改的移动电话称为“无赖机壳”。因此,目前要求既能保持贮存在识别令牌上的私人信息的安全,又能便于用所述私人信息进入通信服务。
发明内容
提出一种对外出漫游的用户提供安全认证的新颖方法和装置。在一个方面中,用户识别令牌配置成对移动单元提供认证支持,其中移动单元向用户识别令牌传送经密钥交换的信息。
在一个方面中,提出一种在无线通信系统中认证用户所述的装置,其签名在于,该装置能与工作在该无线通信系统内的移动站通信耦接。该装置包括一存储器和配置成执行贮存在存储器里的指令组的处理器,指令组可有选择性产生一个基于移动站所保存私人信息中密钥的主要签名和一个从移动站接收到的辅助签名。
在另一个方面,提出一种采用用户识别器件来认证用户的方法。该方法包括步骤产生多个密钥;把其中至少一个密钥发送给与用户识别装置通信耦接的通信装置并秘密保存至少一个密钥;在通信装置用发送给该装置的至少一个密钥和传输消息二者一起产生一个签名,其中,产生方法是搞乱由至少一个密钥与传输消息形成的串接值;把签名发送给用户识别装置;用户识别装置接收该签名;由收到的签名产生一基本签名,其中产生方法是搞乱由至少一个密钥和接收自通信装置的签名形成的串接值;和把基本签名传给通信系统。
在又一个方面中,提出一种用户识别模块,它包括密钥产生元件和签名发生器,后者配置成接收来自密钥产生元件的密钥和来自移动单元的信息,还配置成产生将被发送给移动单元的签名,其中通过把密钥与来自移动单元的信息串接在一起并将它搞乱而产生该签名。
图1是一示例的数据通信系统。
图2是无线通信系统中诸元件间的通信交换的框图。
图3是用户识别令牌向移动单元提供加密支持的实施例的框图。
图4是用混列函数产生认证签名的实施例的框图。
图5是搞乱(hash)消息以产生认证签名的方法的流程图。
实施例的详细描述如图1所示,无线通信网10一般包括多个移动站(也称用户单元或用户装置)12a-12d、多个基站(也称基站收发机(BTS)或节点B)14a-14c、基站控制器(BSC)(也称无线电网给控制器或数据包控制功能16)、移动交换中心(MSC)或交换器18、包数据服务节点(数据包服务节点)或网际功能(IWF)20、公共交换电话网(PSTN)22(通常为电话公司)和因特网协议(IP)网络24(通常为因特网)。为了简化,示出四个移动站12a-12d、三个基站14a-14c、一个BSC16、一个MSC18和一个数据包服务节点20。本领域的技术人员应理解,可以有任意数量的移动站12、基站14、BSC16、MSC18和数据包服务节点20。
在一实施例中,无线通信网10是一种包数据服务网络。移动站12a-12d可以是任一不同类的无线通信装置,诸如便携电话、与运行基于IP的Web浏览器应用程序的膝上计算机相接的蜂窝电话、带相关免提汽配件的蜂窝电话、运行IP基Web浏览器应用程序的个人数字助理(PDA)、配入便携计算机的无线通信模块,或者是可在无线本地环路或计表读数系统中可以发现的定点通信模块。在最常见的实施例中,移动站为任一类通信单元。
移动站12a-12d可配置成执行一种或多种无线包数据协议,诸如EIA/TIA/IS-707标准。在一特定实施例中,移动站对IP网24产生IP包,并用点对点协议(PPP)把IP包压缩成帧。
在一实施例中,IP网24耦接数据包服务节点20,数据包服务节点20耦接MSC18,MSC18耦接BSC16与PSTN 22,而BSC16通过电缆耦接基站14a-14c,按若干已知协议之一,包括E1、T1、异步传递模式(ATM)、IP、帧中过(FrameRelay)、HDSL、ADSL或XDSL,传输语音和/或数据包。在另一实施例中,BSC16直接与数据包服务节点20耦接,而MSC18不耦接数据包服务节点20。在本发明另一实施例中,移动站12a-12d通过“第三代合作项目2(3rdGenerationPartnership Project 2)”“3GPP2”所定义的RF接口与基站14a-14c通信(适用于cdma 2000扩谱系统的物理层标准(“Physical Layer Standard forcdma2000 Spread Spectrwm Systems”),3GPP2文件号C.P0002-A,TIA PN-4694,将作为TIA/EIA/IS-2000-2-A版本(草案,编辑版30)(1999.11.19),通过引用包括在与此)。
在无线通信网10典型的操作期间,基站14a-14c接收和解调来自以电话呼叫,Web浏览或其它数据通信方式接合的各种移动站12a-12d的反向链路信号组。由一个指定基站14a-14c所接收到的各个反向链路信号在该基站14a-14c内处理。各基站通过调制正向链路信号组并发送给移动站12a-12d来与多个移动站通信。如图1所示,基站14a与第一和第二移动站(MS)12a、12b同时通信,而基站14c与第三和第四移动站12c、12d同时通信。把得到的包转让到BSC16,后者提供呼叫资源分配与移动管理功能,包括将一特定移动站12a-12d安排从一基站14a-14d切换到另一基站14a-14d的呼叫软交换。例如,移动站12c正与两个基站14b、14c同时通信。最后在移动站12c移离基站之一14c足够远时,将把呼叫交换至另一基站14b。
若传输为普通电话呼叫,BSC 16将接收到的数据转发给MSC18,后者作为与PSTN 22的接口提供附加的路由服务。若传输是包基的传输,如数据呼叫的目的是IP网24,则MSC18将把数据包转发到数据包服务节点20,后者再把包送到IP网24,或者,BSC16把包直接传到数据包服务节点20,由后者把包送到IP网24。
图2示出在无线通信系统中认证使用移动电话用户的方法。在家用系统(HS)200范围以外旅行的用户使用了被访系统(VS)210中的移动单元220,该用户通过插入用户识别令牌来使用移动单元220。这种用户识别令牌配置成产生密码和认证信息,使得用户查询记账服务时无须与被访系统建立新账户。服务时,移动单元220向VS 210发出请求(未示出),VS 210与HS 200接触,确定提供给该用户的服务(未示出)。
HS 200根据用户识别令牌所保持的私人信息,产生一随机数240和一个所希望的响应值(XRES)270。随机数240用来询问,其中,目标的接收者可利用该随机数240和私人信息产生与所希望的响应值270相匹配的确认响应。随机数240与XRES 270从HS 200发送到VS 210。其它信息也发送,但与本文无关(未示出)。图1方式有利于HS 200与VS 210间的通信。VS 210向移动单元220发送随机数240,等待移动单元220传来确认消息260。VS 210的比较元件280将确认消息260和XRES270进行比较,若两相匹配,则VS 210就对移动单元220提供服务。
移动单元220向由用户插入其内的用户识别令牌230发送随机数240,用户识别令牌230上存贮了安全密钥300。密钥发生器250用安全密钥300与随机数240来产生确认消息260、密码数字密钥(CK)290和完整性密钥(IK)310。把CK 290和IK 310传给移动单元220。
在移动单元220,可用CK 290在移动单元220与VS 210之间作加密通信,故只有预定的消息接收者才能解密该通信。在1998年8月28日提交的题为“适用于产生加密流密码的方法和装置”(“Method and Apparatus for GeneratingEncryption Stream Ciphers”)的共同待批美国专利申请09/143,441中,描述了用密码密钥通信的技术。该申请已转让给本发明受让人,通过引用包括与此。其它加密技术也可应用,这并不影响这里所述实施例的范围。
IK 310能用于产生消息认证码(MAC),其中为了验证特定一方发出的传输消息帧并验证该消息在传输期间未被更改,该传输消息附有MAC。在1999年8月9日提交的题为“适用于产生消息认证代码的方法和装置”(“Method andApparatus for Generating a Message Authentication Code”)的共同待批美国专利申请No.09/371,147中,描述了产生MAC的技术,该申请已转让给本发明受让人,通过引用包括与此。应用其它认证码产生技术并不影响这里所述实施例的范围。因此,这里使用的“签名”代表能在通信系统中实施的任一认证方案的输出。
另外,根据分开发送或与传输消息一起发送的特定信息,也可用IK310产生认证签名340。在题为“适用于提供天线通信系统中的认证安全的方法和装置”(“Method and Apparatus for Providiug Authenticaiton Security ina Wireless Communication System”)的美国专利法5,943,615中,描述了产生认证签名的技术。该专利已转让给本发明受让人,通过引用包括与此。认证签名340是混列元件330将IK 310与来自移动单元220的消息350组合后的输出。认证签名340和消息350经空中发射给VS210。
由图2可见,用户识别令牌230把密码密钥290和完整性密钥310发送给移动单元220,后者产生经空中公开传送的数据帧。该技术虽可防止窃听者通过广播确定此类密钥值,却不能免受“无赖机壳”的攻击。无赖机壳可编程为接收CK 290与IK 310,然后存贮这些密钥而不是清除本地存储器里的这些密钥。另一偷密钥方法是将移动单元220编程为把所接收到的密钥发送到另一地点,然后用CK 290和IK 310把未经核准的通信费混记到该用户。在以不安全的方式使用家用系统200产生的随机数的系统中,如在延长时间内使用同样产生的密钥时,这种无赖机壳攻击尤其奏效。
一个防止无赖机壳攻击的实施例,应用用户识别令牌里的处理器和存储器产生设有插入用户识别令牌的移动单元不能再现的电子签名。
图3示出的实施例可在无线通信系统中对用户作本地认证。该例中,用户识别令牌230编程为根据一不传给移动单元220的密钥而产生认证响应。因此,若用户使用的移动单元是无赖机壳,就不能重建正确的认证响应。
与图2方法相似,根据接收自用户识别令牌230的IK 310和准备送给VS 210的消息,移动单元220产生一签名信号。但在一实施例中,该签名信号不传给VS,而是传给用户识别令牌230,并与一附加密钥一起用来产生主要签名信号。该主要签名信号被送到移动单元220,后者再把它发送给VS 210作认证。
根据用户识别令牌230所保持的安全密钥,HS 200产生随机数240和期望的响应(XERS)270,并把二者发送给VS 210。图1的方式有利于HS 200与VS 210间的通信。VS 210向移动单元220发送随机数240并等待后者传回确认消息260。VS 210在比较元件280上比较确认消息260与XERS270,若二者相符,就对移动单元220提供服务。
移动单元220把随机数240传给已由用户将其耦接的用户识别令牌230。安全密钥300贮存在用户识别令牌230上。密钥发生器250利用安全密钥300和随机数240来产生确认消息260、密码密钥(CK)290、完整性密钥(IK)310和UIM认证密钥(UAK)320。CK290与IK 310传给移动单元220。
在移动单元220,用CK 290加密传输数据帧(图3未示出)。IK 310用于产生签名信号340,而签名信号340就是签名发生器330的输出,该签名发生器330根据IK 310和来自移动单元220的消息350应用加密操作或单向操作,如混列函数。签名信号340被发送给用户识别令牌230,后者用签名发生器360处理签名信号340和UAK 320而产生主要签名信号370。主要签名信号370被发送到移动单元220和VS 210,由验证元件380认证用户身份。验证元件380通过再生签名信号340和主要签名信号370作验证。另外,验证文件380也能接收来自移动单元220的签名信号340,只再生主要签名信号370。
在VS 210可用各种技术再生签名信号340和主要签名信号370。在一实施例中,验证元件380能接收来自家用系统200的UAK 390和完整性密钥。当验证元件380还接收来自移动单元220的消息350时,就能产生签名信号并用它产生主要签名信号。
用户识别令牌230里的签名发生器360包括存储器和处理器,其中可将处理器配置成用各种技术来处理输入。这些技术可以利用加密技术、混列函数或任何不可逆运算的形式。作为一实例,一种可以由用户识别令牌实施的技术就是在1994年5月在联邦信息处理标准(FIPS)PUB186“数字签名标准”中公布的安全混列算法(SHA)。另一种可由用户识别令牌实施的技术是1997年1月在FIPS BUB46中公布的“数据加密标准(DES)”。这里使用的术语“加密”并不一定表示运算必须是可逆的。本文诸实施例中的运算都是不可逆的。
密钥发生器250也可包括存储器和处理器。实际上,在一实施例中,可将单个处理器配置成能执行签名发生器360和密钥发生器250的功能。验证元件380通过计算同样输入的同样结果并比较计算值与发送值来进行验证。
在以上实施例的更详细描述中,可将信号发生器330配置成实施本文称为HMAC-SHA-1的技术。在上例中,可在信号发生器330中用一种混列功能产生签名信号340。在Bellare等人的论文“适用于信息认证的密钥混列函数”(“KeyingHash Functions for Message Authentication”)中(Advances inCryptology-Crypto 96 Proceedings,Lecture Notes in Computer ScienceVol.1109,Springer-Verlag,1996),描述了基于混列的MAC(HMAC)。HMAC是一种以二步处理的应用SHA-1等密码混列功能的MAC方法。在HMAC-SHA-1方法中,一随机密钥对SHA-1功能初始化,然后用它产生消息摘要,接着再用该密钥对SHA-1初始化,产生第一摘要的摘要,该第二摘要提供了将被附接于每条消息的MAC。在本文所述该实施例中,可用用户识别令牌230产生的完整性密钥(IK)310作为对SHA-1初始化的随机密钥。图4的流程图示出了移动站中用来自用户识别令牌的完整性密钥初始化的HMAC实施法,和在用户识别令牌中用UIM认证密钥初始化的HMAC方法。
图4中,根据用户识别令牌230保持的私人信息,HS 200产生随机数240和所希望的响应(XRES)270,并把它们发送给VS 210。HS 200与VS 210以图1方式通信。VS 210把随机数240发送给移动单元220并等待来自后者的确认消息260。VS 210的比较元件280比较确认消息260与XRES270,若二者相符,VS 210就对移动单元220服务。
移动单元220将随机数240传给已被用户与移动单元220电子耦接的用户识别令牌230。用户识别令牌230存贮了安全钥300。密钥发生器250用安全钥300与随机数240二者产生确认消息260、密码钥(CK)290、完整性密钥(IK)310和UIM认证密钥(UAK)320、CK 290与IK 310被传给移动单元220。
移动单元220用CK 290加密传输数据帧(图4未示出),签名发生器330用IK 310产生签名信号340。签名发生器330配置成利用SHA-1产生消息260的变换。IK 310对SHA-1混列功能初始化。
SHA-1混列功能变换消息260所得出的签名信号340被发送给用户识别令牌230,后者用签名发生器360处理该签名信号340与UAK 320,产生签名信号340的变换,即UIM消息认证(UMAC)370。签名发生器360还配置成可实施SHA-1混列功能,但该功能用UAK 320初始化,而不用IK 310。
把UMAC 370发送给移动单元220和VS 210,由验证元件380认证用户身份,它可以通过再生签名信号340和UMAC 370来验证。另外,验证文件380也能够接收来自移动单元220的签名信号340,只再生UMAC370。
图5的流程图对该实施例作了综合性描绘。在步骤500,移动单元产生要求认证的消息。在步骤501,移动单元接收来自用户识别令牌的长度为L的完整性密钥(IK)。在步骤502,移动单元把完整性密钥IK补填成长度b,b是移动单元内签名发生器的混列功能块尺寸。在一实施例中,可将该密钥填零到长度b,在另一实施例中,可将该密钥与长度为b的填充常量相X异或。若IK长度已为b,可省去这一步。在步骤504,把填充的IK与要求认证的消息串接起来。然后在步骤505,配置成执行SHA等混列功能的签名发生器混列串接的填充IK与消息。在一实施例中,XOR操作的输出保存在存贮元件内,若来自用户识别令牌的IK在通信过程中保持一样,将来还可调用。
若要使用UIM认证UAK),则程序流程转到步骤510;若不准备使用UAK,程序流程转到步骤520。
在步骤510,把步骤505混列的消息发给用户识别令牌。在步骤511,用户识别令牌将UAK填充到长度b,除非其长度已为b。把填充的IK存入存储器,在后续消息要求在通信过程中认证时再使用。在步骤512,填充的IK与混列的消息串接后输入签名发生器,而后者配置成执行混列功能,如步骤513的SHA-1。在步骤514,签名发生器的输出从用户识别令牌发给移动单元。
在步骤520,用同一完整性密钥再混列已经混列过的消息。把步骤505混列的消息发给移动单元里的第二签名发生器,或将其再插入步骤505的签名发生器。若在两个混列处理中使用一个完整性密钥,则必须更改该完整性密钥,使各混列发生器用不同的值初始化,如对每个混列步骤,可将该完整性密钥逐位加到恒定数值C1或C2,二者长度均为b。该法只要求用户识别令牌产生一个完整性密钥。
应注意,更安全的实施例由用户识别令牌用UAK执行第二混步骤。
图5所描述的过程可用下式以数字方法描述HMAC(x)=Ftoken(UAK,Fmobile(IK,x))式中FY()代表在位置Y执行的混列函数,X代表原始消息,UAK与IK为密钥,逗号表示串接。
CDMA或GSM系统所用的用户识别令牌(也分别称为R-UIM或USIM)可以配置成以上述方式产生主要签名信号或UMAC,即移动单元产生的所有消息都要加密和认证。但由于在分配这类令牌里的中央处理单元受限制,故希望实施另一实施例,其中对消息帧指定一重要性权重,只对重要消息作安全加密和认证,如含账单信息的消息帧比含话音有效负载的消息帧更需要提高安全性。因此,移动单元可对账单信息消息帧分配更大的重要性权重,而对话音消息帧分配较小的重要性权重。在用户识别令牌接收这些加权消息产生的签名信号时,CPU评估各签名信号所附的不同重要性权重,只对权重大的签名信号来确定主要签名信号。或者,把移动单元编程为向用户识别令牌只传送“重要的”签名信号。这种选择性主要签名信号产生方法可通过减轻用户识别令牌的处理负荷来提高了它的效率。
上述诸实施例要求在用户识别令牌与移动单元间作更安全的处理,可防止未获准使用用户的账户。由于移动单元不知道保密UAK就无法产生主要签名信号,故编程为充当无赖机壳的移动单元无法滥用用户信息来达到不正当目的。
上述诸实施例通过操作签名信号而不是操作消息,来尽量提高用户识别令牌的处理能力。通常,签名信号的位长度比消息更短,因而用户识别中的签名发生器要求很少的时间来操作签名信号而不是传输消息帧。如上所述,用户识别令牌的处理能力通常比移动单元的处理能力小得多,因而实施该实施例可安全地认证消息而不牺牲速度。
但应注意,处理器结构的改进几乎呈指数步速出现,包括更快的处理时间和更小的处理器尺寸,因而可构制另一个作本地认证的实施例,其中由消息直接产生主要签名信号而不通过短的签名信号来间接产生。移动单元配置成把消息直接传给有能力迅速产生主要签名信号的用户识别令牌,而不传给移动单元里的签名发生元件。在另一实施例中,根据消息所需的安全程度,只需将有限数量的消息直接传给用户识别令牌。
应该指出,虽然在无线通信系统范围内描述了各种实施例,但这些实施例还可用于对使用接在通信网里新奇终端的任一方作可靠的本地认证。
这样,已描述了对通信系统中用户作本地认证的新颖而改进的方法和装置。本领域的技术人员应理解,结合本文揭示诸实施例描述的各种示例性逻辑块、模块、电路和算法步骤,都可以电子硬件、软件、固件或它们的组合形式来实施。各种元件、块、模块、电路和步骤一般按其功能来描述,这类功能实施为硬件、软件还是固件来实施,这取决于特定的应用场合和对全系统产生的设计限制。熟练的技术人士都明白硬件、软件和固件在这些场合下的互换性,知道如何对每种具体场合较佳地实施所述的功能。
实施结合诸实施例所述的各种示例性逻辑块、模块、电路和算法步骤,可以应用数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或其它可编程逻辑器件、分立门电路或晶体管逻辑电路、分立固件元件。执行固件指令组的处理器、任何常规可编程软件模块和处理器或它们的任意组合,都可设计成执行本文所述的功能。处理器以微处理器为佳,但也可以是任何常规处理器、控制器、微控制器或状态机。软件模块可以留驻于RAM存储器、闪存存储器、ROM存储器、EPROM存储器、EEPROM存储器、寄存器、硬盘、移动盘、CD-ROM或本领域中已知的任何其它形式的存贮媒体。将一示例性处理器耦接存贮媒体,以对其读写信息。在另一形式中,存贮媒体可以留驻于ASIC,而后者留驻于电话或其它用户终端。或者,处理器与存贮媒体都留驻于电话或其它用户终端。处理器可以DSP与微处理器的来实现,或与DSP芯构成两个微处理器。本领域的熟练技术人士都会明白,上述描述可参照的数据、指令、命令、信息、信号、位、符号与芯片,均可表示为电压、电流、电磁波、磁场或磁粒、光场或光粒或者它们的任意组合。
已图示和描述了本发明的诸实施例,但很显然,对于本领域的普通技术人员来说,可以在不背离本发明的精神或范围的情况下,可对本文揭-+示的诸实施例作出众多更改。
权利要求
1.一种在通信系统中对用户作本地认证的用户识别模块,其特征在于,它包括存储器;和配置成执行一组贮存在存储器里的指令的处理器,所述指令组用于响应所接收到的询问产生多个密钥;基于多个密钥中的第一密钥产生初始值;把初始值与接收到的信号串接成输入值,其中,接收到的信号由通信耦接至用户识别模块的通信单元发送,而且该接收到的信号由该通信单元使用多个密钥中第二密钥产生,第二密钥由用户识别模块传给通信单元;把输入值混列成认证信号;和通过通信单元把认证信号发送给通信系统。
2.如权利要求1所述的装置,其特征在于,按安全混列算法(SHA-U)混列输入值。
3.如权利要求1所述的装置,其特征在于,产生初始值包括填充第一密钥。
4.如权利要求3所述的装置,其特征在于,产生初始值还包括对填充的第一密钥逐位填加一恒值。
5.如权利要求1所述的装置,其特征在于,接收的信号在通信单元通过以下步骤产生接收来自用户识别模块的第二密钥;根据第二密钥产生本地初始值;把本地初始值与一消息串接成本地输入值;把本地输入值混列成接收到的信号;和把接收到的信号发送给用户识别模块。
6.如权利要求5所述的装置,其特征在于,产生本地初始值包括填充第二密钥。
7.如权利要求6所述的装置,其特征在于,产生本地初始值还包括对填充的第二密钥逐位填加一个第二恒值。
8.一种用户识别模块,其特征在于,包括密钥产生元件;和配置成从密钥产生元件接收加密密钥并从移动单元接收信息,还被配置成产生将被发送给移动单元的签名的特征发生器,其中通过将密钥与来自移动单元的信息串接在一起并混列该串接的密钥与信息而产生所述签名。
9.如权利要求8所述的用户识别模块,其特征在于,密钥产生元件包括存储器;和配置成执行一组贮存在存储器里的指令的处理器,其中指令组对输入值作密码变换而产生多个临时密钥。
10.如权利要求9所述的用户识别模块,其特征在于,用一永久密钥作密码变换。
11.一种在通信系统中对用户作安全本地认证的装置,其特征在于,包括一配置成与通信单元互作用所述的用户识别模块,其中,用户识别模块包括根据接收到的值和保密值产生多个密钥的密钥发生器,其中把多个密钥中至少一个通信密钥提供给通信单元,而多个密钥中至少一个密钥不提供给通信单元;和通过把至少一个密钥型式与认证消息混列在一起而产生认证信号的签名发生器,其中认证消息由通信单元应用至少一个通信密钥型式来产生。
12.如权利要求11所述的装置,其特征在于,用户识别模块配置成将插入通信单元。
13.如权利要求11所述的装置,其特征在于,至少一个通信密钥包括一完整性密钥。
14.如权利要求11所述的装置,其特征在于,按SHA-1执行混列。
15.一种用用户识别器件对用户认证的方法,其特征在于,该方法包括产生多个密钥;把多个密钥中至少一个密钥发送给通信耦接用户识别装置的通信器件,并私人保持多个密钥中至少一个密钥;在通信器件中利用发送给通信器件的至少一个密钥和传输消息一起产生一签名,其中,产生方法是混列至少一个密钥与传输消息形成的串接值;向用户识别装置发送所述签名;在用户识别装置接收所述特征;由接收到的签名产生主要签名,其中,产生方法是混列至少一个密钥与接收自通信器件的签名所形成的串接值;和向通信系统传送所述主要签名。
16.如权利要求15所述的方法,其特征在于,按SHA-1执行混列。
17.一种在无线通信系统中用于认证用户的装置,其中,所述装置可与工作于无线通信系统内的移动站通信耦接,其特征在于,该装置包括存储器;和配置成执行一组贮存在存储器里的指令的处理器,根据移动站私人所保持的一密钥和接收自移动站的辅助签名,所述指令组有选择地产生一主要签名。
全文摘要
提出了对离开家用系统外出旅行的用户作进行本地认证的方法和装置。用户识别令牌(230)根据由移动单元(220)私人保存的一密钥产生一签名(370),提供了认证支持。可防止在用户丢失了令牌而编程为非法持有用户识别令牌(230)的密钥的移动单元(220)以后访问该用户的账户。
文档编号G09C1/00GK1528102SQ02814049
公开日2004年9月8日 申请日期2002年5月21日 优先权日2001年5月22日
发明者R·F·小奎克, R F 小奎克, G·G·罗斯, 罗斯 申请人:高通股份有限公司
技术领域:
本发明涉及通信系统,尤其涉及通信系统用户的本地认证。
背景无线通信领域有众多应用,包括譬如无绳电话、寻呼、无线本地环路、个人数字助理(PDA)、因特网电话和卫星通信系统,尤其重要的应用则是移动用户的蜂窝电话系统。这里说的“蜂窝”系统包括蜂窝与个人通信服务(PCS)两种频率。对这类蜂窝电话系统已开发了各种空中接口,包括例如频分多址(FDMA)、时分多址(TDMA)与码分多址(CDMA)。这方面已建立了各种美国国家和国际的标准,包括譬如先进移动电话服务(AMPS)、全球移动系统(GSM)和暂定标准95(IS-95),尤其是IS-95及其衍生标准IS-95A、IS-95B、ANSI J-STD-008(这里常统称为IS-95)和提议的高数据率数据系统等,都是由电信工业协会(TIA)和其它著名的标准团体颁布的。
用IS-95标准配置的蜂窝电话系统,应用CDMA信号处理技术提供高效可靠的蜂窝电话服务。美国专利No.5,103,459和4,901,307描述了基本上用IS-95标准配置的示例性蜂窝电话系统,这些专利已转让给本发明受让人,通过引用包括与此。应用CDMA技术的一种示例系统就是TIA颁布的ITU-R无线电传输技术(RTT)候选提案(这里称cdma 2000),cdma 2000标准以IS-2000草案提出,已经TIA批准。Cdma2000以多种方式与IS-95系统兼容。另一个CDMA标准是W-CDMA标准,以“3rdGeneration Partnership Project“3GPP”实施(第3代合作项目),文件号为3G TS 25.211、3G TS25.212、3G TS25.213和3GTS25.214。
世界上大部分地区普遍增长的电信服务和平民百姓流动性的增大,希望对外出旅行的用户提供通信服务。能满足这一要求的一种方法是使用识别令牌,诸如GSM系统中的用户识别模块(SIM),其中向用户分配一张能插入GSM电话的SIM卡,该卡携带的信息用来识别插卡方的账目信息。下一代SIM卡已更名为USIM(UTMSSIM)卡。在CDMA系统中,识别令牌称为可移动的用户接口模块(RUIM),并具有同样作用,这种识别令牌的使用使得用户可能不带其个人的移动电话外出旅行,该令牌可配置成在访问环境中不使用的频率上工作,可在设有因建立新的账户而增加费用的条件下使用本地的移动电话。
尽管用这种识别令牌来查询用户账单信息,是很方便的,但也同样是安全。目前,用这种识别令牌来编程私人信息,诸如用于消息加密的密码密钥或识别用户的认证密钥,并发送给移动电话。试图窃取账户信息的人,会通过对移动电话日编程来保留丢失识别标志的私人信息,或者在移动电话的合法使用期间将私人信息发送到中一存贮单元,从而达到他(她)的目的。下面把被以这种方式被篡改的移动电话称为“无赖机壳”。因此,目前要求既能保持贮存在识别令牌上的私人信息的安全,又能便于用所述私人信息进入通信服务。
发明内容
提出一种对外出漫游的用户提供安全认证的新颖方法和装置。在一个方面中,用户识别令牌配置成对移动单元提供认证支持,其中移动单元向用户识别令牌传送经密钥交换的信息。
在一个方面中,提出一种在无线通信系统中认证用户所述的装置,其签名在于,该装置能与工作在该无线通信系统内的移动站通信耦接。该装置包括一存储器和配置成执行贮存在存储器里的指令组的处理器,指令组可有选择性产生一个基于移动站所保存私人信息中密钥的主要签名和一个从移动站接收到的辅助签名。
在另一个方面,提出一种采用用户识别器件来认证用户的方法。该方法包括步骤产生多个密钥;把其中至少一个密钥发送给与用户识别装置通信耦接的通信装置并秘密保存至少一个密钥;在通信装置用发送给该装置的至少一个密钥和传输消息二者一起产生一个签名,其中,产生方法是搞乱由至少一个密钥与传输消息形成的串接值;把签名发送给用户识别装置;用户识别装置接收该签名;由收到的签名产生一基本签名,其中产生方法是搞乱由至少一个密钥和接收自通信装置的签名形成的串接值;和把基本签名传给通信系统。
在又一个方面中,提出一种用户识别模块,它包括密钥产生元件和签名发生器,后者配置成接收来自密钥产生元件的密钥和来自移动单元的信息,还配置成产生将被发送给移动单元的签名,其中通过把密钥与来自移动单元的信息串接在一起并将它搞乱而产生该签名。
图1是一示例的数据通信系统。
图2是无线通信系统中诸元件间的通信交换的框图。
图3是用户识别令牌向移动单元提供加密支持的实施例的框图。
图4是用混列函数产生认证签名的实施例的框图。
图5是搞乱(hash)消息以产生认证签名的方法的流程图。
实施例的详细描述如图1所示,无线通信网10一般包括多个移动站(也称用户单元或用户装置)12a-12d、多个基站(也称基站收发机(BTS)或节点B)14a-14c、基站控制器(BSC)(也称无线电网给控制器或数据包控制功能16)、移动交换中心(MSC)或交换器18、包数据服务节点(数据包服务节点)或网际功能(IWF)20、公共交换电话网(PSTN)22(通常为电话公司)和因特网协议(IP)网络24(通常为因特网)。为了简化,示出四个移动站12a-12d、三个基站14a-14c、一个BSC16、一个MSC18和一个数据包服务节点20。本领域的技术人员应理解,可以有任意数量的移动站12、基站14、BSC16、MSC18和数据包服务节点20。
在一实施例中,无线通信网10是一种包数据服务网络。移动站12a-12d可以是任一不同类的无线通信装置,诸如便携电话、与运行基于IP的Web浏览器应用程序的膝上计算机相接的蜂窝电话、带相关免提汽配件的蜂窝电话、运行IP基Web浏览器应用程序的个人数字助理(PDA)、配入便携计算机的无线通信模块,或者是可在无线本地环路或计表读数系统中可以发现的定点通信模块。在最常见的实施例中,移动站为任一类通信单元。
移动站12a-12d可配置成执行一种或多种无线包数据协议,诸如EIA/TIA/IS-707标准。在一特定实施例中,移动站对IP网24产生IP包,并用点对点协议(PPP)把IP包压缩成帧。
在一实施例中,IP网24耦接数据包服务节点20,数据包服务节点20耦接MSC18,MSC18耦接BSC16与PSTN 22,而BSC16通过电缆耦接基站14a-14c,按若干已知协议之一,包括E1、T1、异步传递模式(ATM)、IP、帧中过(FrameRelay)、HDSL、ADSL或XDSL,传输语音和/或数据包。在另一实施例中,BSC16直接与数据包服务节点20耦接,而MSC18不耦接数据包服务节点20。在本发明另一实施例中,移动站12a-12d通过“第三代合作项目2(3rdGenerationPartnership Project 2)”“3GPP2”所定义的RF接口与基站14a-14c通信(适用于cdma 2000扩谱系统的物理层标准(“Physical Layer Standard forcdma2000 Spread Spectrwm Systems”),3GPP2文件号C.P0002-A,TIA PN-4694,将作为TIA/EIA/IS-2000-2-A版本(草案,编辑版30)(1999.11.19),通过引用包括在与此)。
在无线通信网10典型的操作期间,基站14a-14c接收和解调来自以电话呼叫,Web浏览或其它数据通信方式接合的各种移动站12a-12d的反向链路信号组。由一个指定基站14a-14c所接收到的各个反向链路信号在该基站14a-14c内处理。各基站通过调制正向链路信号组并发送给移动站12a-12d来与多个移动站通信。如图1所示,基站14a与第一和第二移动站(MS)12a、12b同时通信,而基站14c与第三和第四移动站12c、12d同时通信。把得到的包转让到BSC16,后者提供呼叫资源分配与移动管理功能,包括将一特定移动站12a-12d安排从一基站14a-14d切换到另一基站14a-14d的呼叫软交换。例如,移动站12c正与两个基站14b、14c同时通信。最后在移动站12c移离基站之一14c足够远时,将把呼叫交换至另一基站14b。
若传输为普通电话呼叫,BSC 16将接收到的数据转发给MSC18,后者作为与PSTN 22的接口提供附加的路由服务。若传输是包基的传输,如数据呼叫的目的是IP网24,则MSC18将把数据包转发到数据包服务节点20,后者再把包送到IP网24,或者,BSC16把包直接传到数据包服务节点20,由后者把包送到IP网24。
图2示出在无线通信系统中认证使用移动电话用户的方法。在家用系统(HS)200范围以外旅行的用户使用了被访系统(VS)210中的移动单元220,该用户通过插入用户识别令牌来使用移动单元220。这种用户识别令牌配置成产生密码和认证信息,使得用户查询记账服务时无须与被访系统建立新账户。服务时,移动单元220向VS 210发出请求(未示出),VS 210与HS 200接触,确定提供给该用户的服务(未示出)。
HS 200根据用户识别令牌所保持的私人信息,产生一随机数240和一个所希望的响应值(XRES)270。随机数240用来询问,其中,目标的接收者可利用该随机数240和私人信息产生与所希望的响应值270相匹配的确认响应。随机数240与XRES 270从HS 200发送到VS 210。其它信息也发送,但与本文无关(未示出)。图1方式有利于HS 200与VS 210间的通信。VS 210向移动单元220发送随机数240,等待移动单元220传来确认消息260。VS 210的比较元件280将确认消息260和XRES270进行比较,若两相匹配,则VS 210就对移动单元220提供服务。
移动单元220向由用户插入其内的用户识别令牌230发送随机数240,用户识别令牌230上存贮了安全密钥300。密钥发生器250用安全密钥300与随机数240来产生确认消息260、密码数字密钥(CK)290和完整性密钥(IK)310。把CK 290和IK 310传给移动单元220。
在移动单元220,可用CK 290在移动单元220与VS 210之间作加密通信,故只有预定的消息接收者才能解密该通信。在1998年8月28日提交的题为“适用于产生加密流密码的方法和装置”(“Method and Apparatus for GeneratingEncryption Stream Ciphers”)的共同待批美国专利申请09/143,441中,描述了用密码密钥通信的技术。该申请已转让给本发明受让人,通过引用包括与此。其它加密技术也可应用,这并不影响这里所述实施例的范围。
IK 310能用于产生消息认证码(MAC),其中为了验证特定一方发出的传输消息帧并验证该消息在传输期间未被更改,该传输消息附有MAC。在1999年8月9日提交的题为“适用于产生消息认证代码的方法和装置”(“Method andApparatus for Generating a Message Authentication Code”)的共同待批美国专利申请No.09/371,147中,描述了产生MAC的技术,该申请已转让给本发明受让人,通过引用包括与此。应用其它认证码产生技术并不影响这里所述实施例的范围。因此,这里使用的“签名”代表能在通信系统中实施的任一认证方案的输出。
另外,根据分开发送或与传输消息一起发送的特定信息,也可用IK310产生认证签名340。在题为“适用于提供天线通信系统中的认证安全的方法和装置”(“Method and Apparatus for Providiug Authenticaiton Security ina Wireless Communication System”)的美国专利法5,943,615中,描述了产生认证签名的技术。该专利已转让给本发明受让人,通过引用包括与此。认证签名340是混列元件330将IK 310与来自移动单元220的消息350组合后的输出。认证签名340和消息350经空中发射给VS210。
由图2可见,用户识别令牌230把密码密钥290和完整性密钥310发送给移动单元220,后者产生经空中公开传送的数据帧。该技术虽可防止窃听者通过广播确定此类密钥值,却不能免受“无赖机壳”的攻击。无赖机壳可编程为接收CK 290与IK 310,然后存贮这些密钥而不是清除本地存储器里的这些密钥。另一偷密钥方法是将移动单元220编程为把所接收到的密钥发送到另一地点,然后用CK 290和IK 310把未经核准的通信费混记到该用户。在以不安全的方式使用家用系统200产生的随机数的系统中,如在延长时间内使用同样产生的密钥时,这种无赖机壳攻击尤其奏效。
一个防止无赖机壳攻击的实施例,应用用户识别令牌里的处理器和存储器产生设有插入用户识别令牌的移动单元不能再现的电子签名。
图3示出的实施例可在无线通信系统中对用户作本地认证。该例中,用户识别令牌230编程为根据一不传给移动单元220的密钥而产生认证响应。因此,若用户使用的移动单元是无赖机壳,就不能重建正确的认证响应。
与图2方法相似,根据接收自用户识别令牌230的IK 310和准备送给VS 210的消息,移动单元220产生一签名信号。但在一实施例中,该签名信号不传给VS,而是传给用户识别令牌230,并与一附加密钥一起用来产生主要签名信号。该主要签名信号被送到移动单元220,后者再把它发送给VS 210作认证。
根据用户识别令牌230所保持的安全密钥,HS 200产生随机数240和期望的响应(XERS)270,并把二者发送给VS 210。图1的方式有利于HS 200与VS 210间的通信。VS 210向移动单元220发送随机数240并等待后者传回确认消息260。VS 210在比较元件280上比较确认消息260与XERS270,若二者相符,就对移动单元220提供服务。
移动单元220把随机数240传给已由用户将其耦接的用户识别令牌230。安全密钥300贮存在用户识别令牌230上。密钥发生器250利用安全密钥300和随机数240来产生确认消息260、密码密钥(CK)290、完整性密钥(IK)310和UIM认证密钥(UAK)320。CK290与IK 310传给移动单元220。
在移动单元220,用CK 290加密传输数据帧(图3未示出)。IK 310用于产生签名信号340,而签名信号340就是签名发生器330的输出,该签名发生器330根据IK 310和来自移动单元220的消息350应用加密操作或单向操作,如混列函数。签名信号340被发送给用户识别令牌230,后者用签名发生器360处理签名信号340和UAK 320而产生主要签名信号370。主要签名信号370被发送到移动单元220和VS 210,由验证元件380认证用户身份。验证元件380通过再生签名信号340和主要签名信号370作验证。另外,验证文件380也能接收来自移动单元220的签名信号340,只再生主要签名信号370。
在VS 210可用各种技术再生签名信号340和主要签名信号370。在一实施例中,验证元件380能接收来自家用系统200的UAK 390和完整性密钥。当验证元件380还接收来自移动单元220的消息350时,就能产生签名信号并用它产生主要签名信号。
用户识别令牌230里的签名发生器360包括存储器和处理器,其中可将处理器配置成用各种技术来处理输入。这些技术可以利用加密技术、混列函数或任何不可逆运算的形式。作为一实例,一种可以由用户识别令牌实施的技术就是在1994年5月在联邦信息处理标准(FIPS)PUB186“数字签名标准”中公布的安全混列算法(SHA)。另一种可由用户识别令牌实施的技术是1997年1月在FIPS BUB46中公布的“数据加密标准(DES)”。这里使用的术语“加密”并不一定表示运算必须是可逆的。本文诸实施例中的运算都是不可逆的。
密钥发生器250也可包括存储器和处理器。实际上,在一实施例中,可将单个处理器配置成能执行签名发生器360和密钥发生器250的功能。验证元件380通过计算同样输入的同样结果并比较计算值与发送值来进行验证。
在以上实施例的更详细描述中,可将信号发生器330配置成实施本文称为HMAC-SHA-1的技术。在上例中,可在信号发生器330中用一种混列功能产生签名信号340。在Bellare等人的论文“适用于信息认证的密钥混列函数”(“KeyingHash Functions for Message Authentication”)中(Advances inCryptology-Crypto 96 Proceedings,Lecture Notes in Computer ScienceVol.1109,Springer-Verlag,1996),描述了基于混列的MAC(HMAC)。HMAC是一种以二步处理的应用SHA-1等密码混列功能的MAC方法。在HMAC-SHA-1方法中,一随机密钥对SHA-1功能初始化,然后用它产生消息摘要,接着再用该密钥对SHA-1初始化,产生第一摘要的摘要,该第二摘要提供了将被附接于每条消息的MAC。在本文所述该实施例中,可用用户识别令牌230产生的完整性密钥(IK)310作为对SHA-1初始化的随机密钥。图4的流程图示出了移动站中用来自用户识别令牌的完整性密钥初始化的HMAC实施法,和在用户识别令牌中用UIM认证密钥初始化的HMAC方法。
图4中,根据用户识别令牌230保持的私人信息,HS 200产生随机数240和所希望的响应(XRES)270,并把它们发送给VS 210。HS 200与VS 210以图1方式通信。VS 210把随机数240发送给移动单元220并等待来自后者的确认消息260。VS 210的比较元件280比较确认消息260与XRES270,若二者相符,VS 210就对移动单元220服务。
移动单元220将随机数240传给已被用户与移动单元220电子耦接的用户识别令牌230。用户识别令牌230存贮了安全钥300。密钥发生器250用安全钥300与随机数240二者产生确认消息260、密码钥(CK)290、完整性密钥(IK)310和UIM认证密钥(UAK)320、CK 290与IK 310被传给移动单元220。
移动单元220用CK 290加密传输数据帧(图4未示出),签名发生器330用IK 310产生签名信号340。签名发生器330配置成利用SHA-1产生消息260的变换。IK 310对SHA-1混列功能初始化。
SHA-1混列功能变换消息260所得出的签名信号340被发送给用户识别令牌230,后者用签名发生器360处理该签名信号340与UAK 320,产生签名信号340的变换,即UIM消息认证(UMAC)370。签名发生器360还配置成可实施SHA-1混列功能,但该功能用UAK 320初始化,而不用IK 310。
把UMAC 370发送给移动单元220和VS 210,由验证元件380认证用户身份,它可以通过再生签名信号340和UMAC 370来验证。另外,验证文件380也能够接收来自移动单元220的签名信号340,只再生UMAC370。
图5的流程图对该实施例作了综合性描绘。在步骤500,移动单元产生要求认证的消息。在步骤501,移动单元接收来自用户识别令牌的长度为L的完整性密钥(IK)。在步骤502,移动单元把完整性密钥IK补填成长度b,b是移动单元内签名发生器的混列功能块尺寸。在一实施例中,可将该密钥填零到长度b,在另一实施例中,可将该密钥与长度为b的填充常量相X异或。若IK长度已为b,可省去这一步。在步骤504,把填充的IK与要求认证的消息串接起来。然后在步骤505,配置成执行SHA等混列功能的签名发生器混列串接的填充IK与消息。在一实施例中,XOR操作的输出保存在存贮元件内,若来自用户识别令牌的IK在通信过程中保持一样,将来还可调用。
若要使用UIM认证UAK),则程序流程转到步骤510;若不准备使用UAK,程序流程转到步骤520。
在步骤510,把步骤505混列的消息发给用户识别令牌。在步骤511,用户识别令牌将UAK填充到长度b,除非其长度已为b。把填充的IK存入存储器,在后续消息要求在通信过程中认证时再使用。在步骤512,填充的IK与混列的消息串接后输入签名发生器,而后者配置成执行混列功能,如步骤513的SHA-1。在步骤514,签名发生器的输出从用户识别令牌发给移动单元。
在步骤520,用同一完整性密钥再混列已经混列过的消息。把步骤505混列的消息发给移动单元里的第二签名发生器,或将其再插入步骤505的签名发生器。若在两个混列处理中使用一个完整性密钥,则必须更改该完整性密钥,使各混列发生器用不同的值初始化,如对每个混列步骤,可将该完整性密钥逐位加到恒定数值C1或C2,二者长度均为b。该法只要求用户识别令牌产生一个完整性密钥。
应注意,更安全的实施例由用户识别令牌用UAK执行第二混步骤。
图5所描述的过程可用下式以数字方法描述HMAC(x)=Ftoken(UAK,Fmobile(IK,x))式中FY()代表在位置Y执行的混列函数,X代表原始消息,UAK与IK为密钥,逗号表示串接。
CDMA或GSM系统所用的用户识别令牌(也分别称为R-UIM或USIM)可以配置成以上述方式产生主要签名信号或UMAC,即移动单元产生的所有消息都要加密和认证。但由于在分配这类令牌里的中央处理单元受限制,故希望实施另一实施例,其中对消息帧指定一重要性权重,只对重要消息作安全加密和认证,如含账单信息的消息帧比含话音有效负载的消息帧更需要提高安全性。因此,移动单元可对账单信息消息帧分配更大的重要性权重,而对话音消息帧分配较小的重要性权重。在用户识别令牌接收这些加权消息产生的签名信号时,CPU评估各签名信号所附的不同重要性权重,只对权重大的签名信号来确定主要签名信号。或者,把移动单元编程为向用户识别令牌只传送“重要的”签名信号。这种选择性主要签名信号产生方法可通过减轻用户识别令牌的处理负荷来提高了它的效率。
上述诸实施例要求在用户识别令牌与移动单元间作更安全的处理,可防止未获准使用用户的账户。由于移动单元不知道保密UAK就无法产生主要签名信号,故编程为充当无赖机壳的移动单元无法滥用用户信息来达到不正当目的。
上述诸实施例通过操作签名信号而不是操作消息,来尽量提高用户识别令牌的处理能力。通常,签名信号的位长度比消息更短,因而用户识别中的签名发生器要求很少的时间来操作签名信号而不是传输消息帧。如上所述,用户识别令牌的处理能力通常比移动单元的处理能力小得多,因而实施该实施例可安全地认证消息而不牺牲速度。
但应注意,处理器结构的改进几乎呈指数步速出现,包括更快的处理时间和更小的处理器尺寸,因而可构制另一个作本地认证的实施例,其中由消息直接产生主要签名信号而不通过短的签名信号来间接产生。移动单元配置成把消息直接传给有能力迅速产生主要签名信号的用户识别令牌,而不传给移动单元里的签名发生元件。在另一实施例中,根据消息所需的安全程度,只需将有限数量的消息直接传给用户识别令牌。
应该指出,虽然在无线通信系统范围内描述了各种实施例,但这些实施例还可用于对使用接在通信网里新奇终端的任一方作可靠的本地认证。
这样,已描述了对通信系统中用户作本地认证的新颖而改进的方法和装置。本领域的技术人员应理解,结合本文揭示诸实施例描述的各种示例性逻辑块、模块、电路和算法步骤,都可以电子硬件、软件、固件或它们的组合形式来实施。各种元件、块、模块、电路和步骤一般按其功能来描述,这类功能实施为硬件、软件还是固件来实施,这取决于特定的应用场合和对全系统产生的设计限制。熟练的技术人士都明白硬件、软件和固件在这些场合下的互换性,知道如何对每种具体场合较佳地实施所述的功能。
实施结合诸实施例所述的各种示例性逻辑块、模块、电路和算法步骤,可以应用数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或其它可编程逻辑器件、分立门电路或晶体管逻辑电路、分立固件元件。执行固件指令组的处理器、任何常规可编程软件模块和处理器或它们的任意组合,都可设计成执行本文所述的功能。处理器以微处理器为佳,但也可以是任何常规处理器、控制器、微控制器或状态机。软件模块可以留驻于RAM存储器、闪存存储器、ROM存储器、EPROM存储器、EEPROM存储器、寄存器、硬盘、移动盘、CD-ROM或本领域中已知的任何其它形式的存贮媒体。将一示例性处理器耦接存贮媒体,以对其读写信息。在另一形式中,存贮媒体可以留驻于ASIC,而后者留驻于电话或其它用户终端。或者,处理器与存贮媒体都留驻于电话或其它用户终端。处理器可以DSP与微处理器的来实现,或与DSP芯构成两个微处理器。本领域的熟练技术人士都会明白,上述描述可参照的数据、指令、命令、信息、信号、位、符号与芯片,均可表示为电压、电流、电磁波、磁场或磁粒、光场或光粒或者它们的任意组合。
已图示和描述了本发明的诸实施例,但很显然,对于本领域的普通技术人员来说,可以在不背离本发明的精神或范围的情况下,可对本文揭-+示的诸实施例作出众多更改。
权利要求
1.一种在通信系统中对用户作本地认证的用户识别模块,其特征在于,它包括存储器;和配置成执行一组贮存在存储器里的指令的处理器,所述指令组用于响应所接收到的询问产生多个密钥;基于多个密钥中的第一密钥产生初始值;把初始值与接收到的信号串接成输入值,其中,接收到的信号由通信耦接至用户识别模块的通信单元发送,而且该接收到的信号由该通信单元使用多个密钥中第二密钥产生,第二密钥由用户识别模块传给通信单元;把输入值混列成认证信号;和通过通信单元把认证信号发送给通信系统。
2.如权利要求1所述的装置,其特征在于,按安全混列算法(SHA-U)混列输入值。
3.如权利要求1所述的装置,其特征在于,产生初始值包括填充第一密钥。
4.如权利要求3所述的装置,其特征在于,产生初始值还包括对填充的第一密钥逐位填加一恒值。
5.如权利要求1所述的装置,其特征在于,接收的信号在通信单元通过以下步骤产生接收来自用户识别模块的第二密钥;根据第二密钥产生本地初始值;把本地初始值与一消息串接成本地输入值;把本地输入值混列成接收到的信号;和把接收到的信号发送给用户识别模块。
6.如权利要求5所述的装置,其特征在于,产生本地初始值包括填充第二密钥。
7.如权利要求6所述的装置,其特征在于,产生本地初始值还包括对填充的第二密钥逐位填加一个第二恒值。
8.一种用户识别模块,其特征在于,包括密钥产生元件;和配置成从密钥产生元件接收加密密钥并从移动单元接收信息,还被配置成产生将被发送给移动单元的签名的特征发生器,其中通过将密钥与来自移动单元的信息串接在一起并混列该串接的密钥与信息而产生所述签名。
9.如权利要求8所述的用户识别模块,其特征在于,密钥产生元件包括存储器;和配置成执行一组贮存在存储器里的指令的处理器,其中指令组对输入值作密码变换而产生多个临时密钥。
10.如权利要求9所述的用户识别模块,其特征在于,用一永久密钥作密码变换。
11.一种在通信系统中对用户作安全本地认证的装置,其特征在于,包括一配置成与通信单元互作用所述的用户识别模块,其中,用户识别模块包括根据接收到的值和保密值产生多个密钥的密钥发生器,其中把多个密钥中至少一个通信密钥提供给通信单元,而多个密钥中至少一个密钥不提供给通信单元;和通过把至少一个密钥型式与认证消息混列在一起而产生认证信号的签名发生器,其中认证消息由通信单元应用至少一个通信密钥型式来产生。
12.如权利要求11所述的装置,其特征在于,用户识别模块配置成将插入通信单元。
13.如权利要求11所述的装置,其特征在于,至少一个通信密钥包括一完整性密钥。
14.如权利要求11所述的装置,其特征在于,按SHA-1执行混列。
15.一种用用户识别器件对用户认证的方法,其特征在于,该方法包括产生多个密钥;把多个密钥中至少一个密钥发送给通信耦接用户识别装置的通信器件,并私人保持多个密钥中至少一个密钥;在通信器件中利用发送给通信器件的至少一个密钥和传输消息一起产生一签名,其中,产生方法是混列至少一个密钥与传输消息形成的串接值;向用户识别装置发送所述签名;在用户识别装置接收所述特征;由接收到的签名产生主要签名,其中,产生方法是混列至少一个密钥与接收自通信器件的签名所形成的串接值;和向通信系统传送所述主要签名。
16.如权利要求15所述的方法,其特征在于,按SHA-1执行混列。
17.一种在无线通信系统中用于认证用户的装置,其中,所述装置可与工作于无线通信系统内的移动站通信耦接,其特征在于,该装置包括存储器;和配置成执行一组贮存在存储器里的指令的处理器,根据移动站私人所保持的一密钥和接收自移动站的辅助签名,所述指令组有选择地产生一主要签名。
全文摘要
提出了对离开家用系统外出旅行的用户作进行本地认证的方法和装置。用户识别令牌(230)根据由移动单元(220)私人保存的一密钥产生一签名(370),提供了认证支持。可防止在用户丢失了令牌而编程为非法持有用户识别令牌(230)的密钥的移动单元(220)以后访问该用户的账户。
文档编号G09C1/00GK1528102SQ02814049
公开日2004年9月8日 申请日期2002年5月21日 优先权日2001年5月22日
发明者R·F·小奎克, R F 小奎克, G·G·罗斯, 罗斯 申请人:高通股份有限公司
最新回复(0)