通信系统的本地认证的制作方法
专利名称:通信系统的本地认证的制作方法
技术领域:
本发明涉及通信系统,尤其涉及通信系统用户的本地认证。 背景
无线通信领域有众多应用,包括譬如无绳电话、寻呼、无线本地环路、个 人数字助理(PDA)、因特网电话和卫星通信系统,尤其重要的应用则是移动用 户的蜂窝电话系统。这里说的"蜂窝"系统包括蜂窝与个人通信服务(PCS)两 种频率。对这类蜂窝电话系统已开发了各种空中接口,包括例如频分多址 (FDMA)、时分多址(TDMA)与码分多址(CDMA)。这方面已建立了各种美国国家和 国际的标准,包括譬如先进移动电话服务(AMPS)、全球移动系统(GSM)和暂定 标准95 (IS-95),尤其是IS-95及其衍生标准IS-95A 、 IS-95B 、 ANSI J-STD-008(这里常统称为IS-95)和提议的高数据率数据系统等,都是由电信工 业协会(TIA)和其它著名的标准团体颁布的。
用IS-95标准配置的蜂窝电话系统,应用CDMA信号处理技术提供高效可 靠的蜂窝电话服务。美国专利No. 5, 103,459和4,901,307描述了基本上用 IS-95标准配置的示例性蜂窝电话系统,这些专利已转让给本发明受让人,通 过引用包括与此。应用CDMA技术的一种示例系统就是TIA颁布的ITU-R无线 电传输技术(RTT)候选提案(这里称cdma 2000), cdma 2000标准以IS-2000草 案提出,已经TIA批准。Cdma 2000以多种方式与IS-95系统兼容。另一个CDMA 标准是W-CDMA标准,以"3rd Generation Partnership Project "3GPP"实 施(第3代合作项目),文件号为3G TS 25.211、 3G TS25. 212、 3G TS25. 213 和3G TS25. 214。
世界上大部分地区普遍增长的电信服务和平民百姓流动性的增大,希望对
外出旅行的用户提供通信服务。能满足这一要求的一种方法是使用识别令牌,
诸如GSM系统中的用户识别模块(SIM),其中向用户分配一张能插入GSM电话 的SIM卡,该卡携带的信息用来识别插卡方的账目信息。下一代SIM卡已更名 为USIM(UTMSSIM)卡。在CDMA系统中,识别令牌称为可移动的用户接口模块 (RUIM),并具有同样作用,这种识别令牌的使用使得用户可能不带其个人的移 动电话外出旅行,该令牌可配置成在访问环境中不使用的频率上工作,可在设 有因建立新的账户而增加费用的条件下使用本地的移动电话。
尽管用这种识别令牌来查询用户账单信息,是很方便的,但也同样是安全。 目前,用这种识别令牌来编程私人信息,诸如用于消息加密的密码密钥或识别 用户的认证密钥,并发送给移动电话。试图窃取账户信息的人,会通过对移动 电话日编程来保留丢失识别标志的私人信息,或者在移动电话的合法使用期间 将私人信息发送到中一存贮单元,从而达到他(她)的目的。下面把被以这种方 式被篡改的移动电话称为"无赖机壳"。因此,目前要求既能保持贮存在识别 令牌上的私人信息的安全,又能便于用所述私人信息进入通信服务。
发明内容
提出一种对外出漫游的用户提供安全认证的新颖方法和装置。在一个方面 中,用户识别令牌配置成对移动单元提供认证支持,其中移动单元向用户识别 令牌传送经密钥交换的信息。
在一个方面中,提出一种在无线通信系统中认证用户所述的装置,其特征 在于,该装置能与工作在该无线通信系统内的移动站通信耦接。该装置包括一 存储器和配置成执行贮存在存储器里的指令组的处理器,指令组可有选择性产 生一个基于移动站所保存私人信息中密钥的主要签名和一个从移动站接收到 的辅助签名。
在另一个方面,提出一种采用用户识别器件来认证用户的方法。该方法包
括步骤产生多个密钥;把其中至少一个密钥发送给与用户识别装置通信耦接 的通信装置并秘密保存至少一个密钥;在通信装置用发送给该装置的至少一个 密钥和传输消息二者一起产生一个签名,其中,产生方法是混列由至少一个密 钥与传输消息形成的串接值;把签名发送给用户识别装置;用户识别装置接收 该签名;由收到的签名产生一主要签名,其中产生方法是混列由至少一个密钥 和接收自通信装置的签名形成的串接值;和把主要签名传给通信系统。
在又一个方面中,提出一种用户识别模块,它包括密钥产生元件和签名发 生器,后者配置成接收来自密钥产生元件的密钥和来自移动单元的信息,还配 置成产生将被发送给移动单元的签名,其中通过把密钥与来自移动单元的信息 串接在一起并将它混列而产生该签名。
图1是一示例的数据通信系统。
图2是无线通信系统中诸元件间的通信交换的框图。
图3是用户识别令牌向移动单元提供加密支持的实施例的框图。
图4是用混列函数产生认证签名的实施例的框图。
图5是混列(hash)消息以产生认证签名的方法的流程图。
实施例的详细描述
如图l所示,无线通信网IO—般包括多个移动站(也称用户单元或用户装 置)12a-12d、多个基站(也称基站收发机(BTS)或节点B)14a-14c、基站控制器 (BSC)(也称无线电网给控制器或数据包控制功能16)、移动交换中心(MSC)或交 换器18、包数据服务节点(数据包服务节点)或网际功能(IWF)20、公共交换电 话网(PSTN)22(通常为电话公司)和因特网协议(IP)网络24(通常为因特网)。为 了简化,示出四个移动站12a-12d、三个基站14a-14c、 一个BSC16、 一个MSC18 和一个数据包服务节点20。本领域的技术人员应理解,可以有任意数量的移 动站12、基站14、 BSC16、 MSC18和数据包服务节点20。
在一实施例中,无线通信网10是一种包数据服务网络。移动站12a-12d 可以是任一不同类的无线通信装置,诸如便携电话、与运行基于IP的Web浏 览器应用程序的膝上计算机相接的蜂窝电话、带相关免提汽配件的蜂窝电话、 运行IP基Web浏览器应用程序的个人数字助理(PDA)、配入便携计算机的无线 通信模块,或者是可在无线本地环路或计表读数系统中可以发现的定点通信模 块。在最常见的实施例中,移动站为任一类通信单元。
移动站12a-12d可配置成执行一种或多种无线包数据协议,诸如 EIA/TIA/IS-707标准。在一特定实施例中,移动站对IP网24产生IP包,并 用点对点协议(PPP)把IP包压縮成帧。
在一实施例中,IP网24耦接数据包服务节点20,数据包服务节点20耦
接MSC18, MSC18耦接BSC16与PSTN22,而BSC16通过电缆耦接基站14a-14c, 按若干已知协议之一,包括El、 Tl、异步传递模式(ATM)、 IP、帧中过(Frame Relay) 、 HDSL、 ADSL或XDSL,传输语音和/或数据包。在另一实施例中,BSC16 直接与数据包服务节点20耦接,而MSC18不耦接数据包服务节点20。在本发 明另一实施例中,移动站12a-12d通过"第三代合作项目2(3" Generation Partnership Project 2) " "3GPP2"所定义的RF接口与基站14a-14c通信(适 用于cdma 2000扩谱系统的物理层标准("Physical Layer Standard for cdma2000 Spread Spectr棚Systems") , 3GPP2文件号C. P0002-A, TIA PN-柳4, 将作为TIA/EIA/IS-2000-2-A版本(草案,编辑版30) (1999. 11. 19),通过引用 包括在与此)。
在无线通信网10典型的操作期间,基站14a-14c接收和解调来自以电话 呼叫,Web浏览或其它数据通信方式接合的各种移动站12a-12d的反向链路信 号组。由一个指定基站14a-14c所接收到的各个反向链路信号在该基站14a-14c 内处理。各基站通过调制正向链路信号组并发送给移动站12a-12d来与多个移 动站通信。如图1所示,基站14a与第一和第二移动站(MS) 12a、 12b同时通 信,而基站14c与第三和第四移动站12c、 12d同时通信。把得到的包转让到 BSC16,后者提供呼叫资源分配与移动管理功能,包括将一特定移动站12a-12d 安排从一基站14a-14d切换到另一基站14a-14d的呼叫软交换。例如,移动站 12c正与两个基站14b、 14c同时通信。最后在移动站12c移离基站之一 14c足 够远时,将把呼叫交换至另一基站14b。
若传输为普通电话呼叫,BSC 16将接收到的数据转发给MSC18,后者作为 与PSTN 22的接口提供附加的路由服务。若传输是包基的传输,如数据呼叫的 目的是IP网24,则MSC18将把数据包转发到数据包服务节点20,后者再把包 送到IP网24,或者,BSC16把包直接传到数据包服务节点20,由后者把包送 到IP网24。
图2示出在无线通信系统中认证使用移动电话用户的方法。在家用系统 (HS)200范围以外旅行的用户使用了被访系统(VS)210中的移动单元220,该用 户通过插入用户识别令牌来使用移动单元220。这种用户识别令牌配置成产生 密码和认证信息,使得用户查询记账服务时无须与被访系统建立新账户。服务 时,移动单元220向VS 210发出请求(未示出),VS210与HS 200接触,确定 提供给该用户的服务(未示出)。
HS 200根据用户识别令牌所保持的私人信息,产生一随机数240和一个所 希望的响应值(XRES)270。随机数240用来询问,其中,目标的接收者可利用 该随机数240和私人信息产生与所希望的响应值270相匹配的确认响应。随机 数240与XRES 270从HS 200发送到VS 210。其它信息也发送,但与本文无关 (未示出)。图1方式有利于HS 200与VS 210间的通信。VS 210向移动单元 220发送随机数240,等待移动单元220传来确认消息260。 VS 210的比较元 件280将确认消息260和XRES270进行比较,若两相匹配,则VS 210就对移 动单元220提供服务。
移动单元220向由用户插入其内的用户识别令牌230发送随机数240,用 户识别令牌230上存贮了安全密钥300。密钥发生器250用安全密钥300与随 机数240来产生确认消息260、密码数字密钥(CK)290和完整性密钥(IK)310。 把CK 290和IK 310传给移动单元220。
在移动单元220,可用CK 290在移动单元220与VS 210之间作加密通信, 故只有预定的消息接收者才能解密该通信。在1998年8月28日提交的题为"适 用于产生加密流密码的方法和装置"("Method and Apparatus for Generating Encryption Stream Ciphers")的共同待批美国专利申i青09/143,441中,描 述了用密码密钥通信的技术。该申请已转让给本发明受让人,通过引用包括与 此。其它加密技术也可应用,这并不影响这里所述实施例的范围。
工K 310能用于产生消息认证码(MAC),其中为了验证特定一方发出的传输 消息帧并验证该消息在传输期间未被更改,该传输消息附有MAC。在1999年8 月9日提交的题为"适用于产生消息认证代码的方法和装置"("Method and Apparatus for Generating a Message Authentication Code")的共同待批 美国专利申请No.09/371,147中,描述了产生MAC的技术,该申请已转让给本 发明受让人,通过引用包括与此。应用其它认证码产生技术并不影响这里所述 实施例的范围。因此,这里使用的"签名"代表能在通信系统中实施的任一认 证方案的输出。
另外,根据分开发送或与传输消息一起发送的特定信息,也可用IK310产 生认证签名340。在题为"适用于提供天线通信系统中的认证安全的方法和装 置,,("Method and Apparatus for Providiug Authenticaiton Security in a Wireless Communication System")的美国专利法5, 943, 615中,描述了产 生认证签名的技术。该专利已转让给本发明受让人,通过引用包括与此。认证 签名340是混列元件330将IK 310与来自移动单元220的消息350组合后的 输出。认证签名340和消息350经空中发射给VS210。
由图2可见,用户识别令牌230把密码密钥290和完整性密钥310发送给 移动单元220,后者产生经空中公开传送的数据帧。该技术虽可防止窃听者通 过广播确定此类密钥值,却不能免受"无赖机壳"的攻击。无赖机壳可编程为 接收CK 290与IK 310,然后存贮这些密钥而不是清除本地存储器里的这些密 钥。另一偷密钥方法是将移动单元220编程为把所接收到的密钥发送到另一地 点,然后用CK290和IK310把未经核准的通信费混记到该用户。在以不安全的 方式使用家用系统200产生的随机数的系统中,如在延长时间内使用同样产生 的密钥时,这种无赖机壳攻击尤其奏效。
一个防止无赖机壳攻击的实施例,应用用户识别令牌里的处理器和存储器 产生设有插入用户识别令牌的移动单元不能再现的电子签名。
图3示出的实施例可在无线通信系统中对用户作本地认证。该例中,用户 识别令牌230编程为根据一不传给移动单元220的密钥而产生认证响应。因此, 若用户使用的移动单元是无赖机壳,就不能重建正确的认证响应。
与图2方法相似,根据接收自用户识别令牌230的IK310和准备送给VS210 的消息,移动单元220产生一签名信号。但在一实施例中,该签名信号不传给 VS,而是传给用户识别令牌230,并与一附加密钥一起用来产生主要签名信号。 该主要签名信号被送到移动单元220,后者再把它发送给VS 210作认证。
根据用户识别令牌230所保持的安全密钥,HS 200产生随机数240和期望 的响应(XERS)270,并把二者发送给VS 210。图1的方式有利于HS 200与VS 210 间的通信。VS 210向移动单元220发送随机数240并等待后者传回确认消息 260。 VS 210在比较元件280上比较确认消息260与XERS270,若二者相符, 就对移动单元220提供服务。
移动单元220把随机数240传给已由用户将其耦接的用户识别令牌230。 安全密钥300贮存在用户识别令牌230上。密钥发生器250利用安全密钥300 和随机数240来产生确认消息260、密码密钥(CK)290、完整性密钥(IK) 310和 UIM认证密钥(UAK) 320。 CK290与IK310传给移动单元220。
在移动单元220,用CK 290加密传输数据帧(图3未示出)。IK310用于产 生签名信号340,而签名信号340就是签名发生器330的输出,该签名发生器 330根据IK 310和来自移动单元220的消息350应用加密操作或单向操作,如
混列函数。签名信号340被发送给用户识别令牌230,后者用签名发生器360 处理签名信号340和UAK 320而产生主要签名信号370。主要签名信号370被 发送到移动单元220和VS210,由验证元件380认证用户身份。验证元件380 通过再生签名信号340和主要签名信号370作验证。另外,验证文件380也能 接收来自移动单元220的签名信号340,只再生主要签名信号370。
在VS 210可用各种技术再生签名信号340和主要签名信号370。在一实施 例中,验证元件380能接收来自家用系统200的UAK 390和完整性密钥。当验 证元件380还接收来自移动单元220的消息350时,就能产生签名信号并用它 产生主要签名信号。
用户识别令牌230里的签名发生器360包括存储器和处理器,其中可将处 理器配置成用各种技术来处理输入。这些技术可以利用加密技术、混列函数或 任何不可逆运算的形式。作为一实例, 一种可以由用户识别令牌实施的技术就 是在1994年5月在联邦信息处理标准(FIPS)PUB186 "数字签名标准"中公布 的安全混列算法(SHA)。另一种可由用户识别令牌实施的技术是1997年1月在 FIPS BUB46中公布的"数据加密标准(DES)"。这里使用的术语"加密"并不 一定表示运算必须是可逆的。本文诸实施例中的运算都是不可逆的。
密钥发生器250也可包括存储器和处理器。实际上,在一实施例中,可将 单个处理器配置成能执行签名发生器360和密钥发生器250的功能。验证元件 380通过计算同样输入的同样结果并比较计算值与发送值来进行验证。
在以上实施例的更详细描述中,可将信号发生器330配置成实施本文称为 服AC-SHA-1的技术。在上例中,可在信号发生器330中用一种混列功能产生签 名信号340。在Bellare等人的论文"适用于信息认证的密钥混列函数"("Keying Hash Functions for Message Authentication ,,) 中 (Advances in Cryptology-Crypto 96 Proceedings, Lecture Notes in Computer Science Vol. 1109, Springer-Verlag, 1996),描述了基于混列的MAC (HMAC)。丽AC是 一种以二步处理的应用SHA-1等密码混列功能的MAC方法。在HMAC-SHA-1方 法中, 一随机密钥对SHA-1功能初始化,然后用它产生消息摘要,接着再用该 密钥对SHA-l初始化,产生第一摘要的摘要,该第二摘要提供了将被附接于每 条消息的MAC。在本文所述该实施例中,可用用户识别令牌230产生的完整性 密钥(IK)310作为对SHA-1初始化的随机密钥。图4的流程图示出了移动站中 用来自用户识别令牌的完整性密钥初始化的丽AC实施法,和在用户识别令牌中用UIM认证密钥初始化的HMAC方法。
图4中,根据用户识别令牌230保持的私人信息,HS 200产生随机数240 和所希望的响应(XRES)270,并把它们发送给VS 210。 HS 200与VS 210以图1 方式通信。VS 210把随机数240发送给移动单元220并等待来自后者的确认消 息260。 VS 210的比较元件280比较确认消息260与XRES270,若二者相符, VS 210就对移动单元220服务。
移动单元220将随机数240传给已被用户与移动单元220电子耦接的用户 识别令牌230。用户识别令牌230存贮了安全钥300。密钥发生器250用安全 钥300与随机数240 二者产生确认消息260、密码钥(CK)290、完整性密钥 (IK)310和UIM认证密钥(UAK)320、 CK 290与IK 310被传给移动单元220。
移动单元220用CK 290加密传输数据帧(图4未示出),签名发生器330 用IK 310产生签名信号340。签名发生器330配置成利用SHA-1产生消息260 的变换。IK 310对SHA-l混列功能初始化。
SHA-1混列功能变换消息260所得出的签名信号340被发送给用户识别令 牌230,后者用签名发生器360处理该签名信号340与UAK 320,产生签名信 号340的变换,即UIM消息认证(UMAC)370。签名发生器360还配置成可实施 SHA-l混列功能,但该功能用UAK 320初始化,而不用IK310。
把UMAC 370发送给移动单元220和VS 210,由验证元件380认证用户身 份,它可以通过再生签名信号340和UMAC 370来验证。另外,验证文件380 也能够接收来自移动单元220的签名信号340,只再生UMAC370。
图5的流程图对该实施例作了综合性描绘。在步骤500,移动单元产生要 求认证的消息。在步骤501,移动单元接收来自用户识别令牌的长度为L的完 整性密钥(IK)。在步骤502,移动单元把完整性密钥IK补填成长度b, b是移 动单元内签名发生器的混列功能块尺寸。在一实施例中,可将该密钥填零到长 度b,在另一实施例中,可将该密钥与长度为b的填充常量相X异或。若IK长 度已为b,可省去这一步。在步骤504,把填充的IK与要求认证的消息串接起 来。然后在步骤505,配置成执行SHA等混列功能的签名发生器混列串接的填 充IK与消息。在一实施例中,XOR操作的输出保存在存贮元件内,若来自用户 识别令牌的IK在通信过程中保持一样,将来还可调用。
若要使用UIM认证UAK),则程序流程转到步骤510;若不准备使用UAK, 程序流程转到步骤520。
在步骤510,把步骤505混列的消息发给用户识别令牌。在步骤511,用 户识别令牌将UAK填充到长度b,除非其长度已为b。把填充的IK存入存储器, 在后续消息要求在通信过程中认证时再使用。在步骤512,填充的IK与混列的 消息串接后输入签名发生器,而后者配置成执行混列功能,如步骤513的SHA-1。 在步骤514,签名发生器的输出从用户识别令牌发给移动单元。
在步骤520,用同一完整性密钥再混列已经混列过的消息。把步骤505混 列的消息发给移动单元里的第二签名发生器,或将其再插入步骤505的签名发 生器。若在两个混列处理中使用一个完整性密钥,则必须更改该完整性密钥, 使各混列发生器用不同的值初始化,如对每个混列步骤,可将该完整性密钥逐 位加到恒定数值Cl或C2, 二者长度均为b。该法只要求用户识别令牌产生一 个完整性密钥。
应注意,更安全的实施例由用户识别令牌用UAK执行第二混列步骤。
图5所描述的过程可用下式以数字方法描述<formula>formula see original document page 14</formula>
式中Fy()代表在位置Y执行的混列函数,X代表原始消息,UAK与IK为密 钥,逗号表示串接。
C羅A或GSM系统所用的用户识别令牌(也分别称为R-UIM或USIM)可以配 置成以上述方式产生主要签名信号或UMAC,即移动单元产生的所有消息都要加 密和认证。但由于在分配这类令牌里的中央处理单元受限制,故希望实施另一 实施例,其中对消息帧指定一重要性权重,只对重要消息作安全加密和认证, 如含账单信息的消息帧比含话音有效负载的消息帧更需要提高安全性。因此, 移动单元可对账单信息消息帧分配更大的重要性权重,而对话音消息帧分配较
小的重要性权重。在用户识别令牌接收这些加权消息产生的签名信号时,CPU 评估各签名信号所附的不同重要性权重,只对权重大的签名信号来确定主要签 名信号。或者,把移动单元编程为向用户识别令牌只传送"重要的"签名信号。 这种选择性主要签名信号产生方法可通过减轻用户识别令牌的处理负荷来提 高了它的效率。
上述诸实施例要求在用户识别令牌与移动单元间作更安全的处理,可防止 未获准使用用户的账户。由于移动单元不知道保密UAK就无法产生主要签名信 号,故编程为充当无赖机壳的移动单元无法滥用用户信息来达到不正当目的。
上述诸实施例通过操作签名信号而不是操作消息,来尽量提高用户识别令
牌的处理能力。通常,签名信号的位长度比消息更短,因而用户识别中的签名 发生器要求很少的时间来操作签名信号而不是传输消息帧。如上所述,用户识 别令牌的处理能力通常比移动单元的处理能力小得多,因而实施该实施例可安 全地认证消息而不牺牲速度。
但应注意,处理器结构的改进几乎呈指数步速出现,包括更快的处理时间 和更小的处理器尺寸,因而可构制另一个作本地认证的实施例,其中由消息直 接产生主要签名信号而不通过短的签名信号来间接产生。移动单元配置成把消 息直接传给有能力迅速产生主要签名信号的用户识别令牌,而不传给移动单元 里的签名发生元件。在另一实施例中,根据消息所需的安全程度,只需将有限
数量65i肖息直接传给用户识别令牌。
应该指出,虽然在无线通信系统范围内描述了各种实施例,但这些实施例 还可用于对使用接在通信网里新奇终端的任一方作可靠的本地认证。
这样,已描述了对通信系统中用户作本地认证的新颖而改进的方法和装 置。本领域的技术人员应理解,结合本文揭示诸实施例描述的各种示例性逻辑 块、模块、电路和算法步骤,都可以电子硬件、软件、固件或它们的组合形式 来实施。各种元件、块、模块、电路和步骤一般按其功能来描述,这类功能实 施为硬件、软件还是固件来实施,这取决于特定的应用场合和对全系统产生的 设计限制。熟练的技术人士都明白硬件、软件和固件在这些场合下的互换性, 知道如何对每种具体场合较佳地实施所述的功能。
实施结合诸实施例所述的各种示例性逻辑块、模块、电路和算法步骤,可
以应用数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA) 或其它可编程逻辑器件、分立门电路或晶体管逻辑电路、分立固件元件。执行 固件指令组的处理器、任何常规可编程软件模块和处理器或它们的任意组合, 都可设计成执行本文所述的功能。处理器以微处理器为佳,但也可以是任何常 规处理器、控制器、微控制器或状态机。软件模块可以留驻于RAM存储器、闪 存存储器、R0M存储器、EPROM存储器、EEPROM存储器、寄存器、硬盘、移动 盘、CD-ROM或本领域中已知的任何其它形式的存贮媒体。将一示例性处理器耦 接存贮媒体,以对其读写信息。在另一形式中,存贮媒体可以留驻于ASIC,而 后者留驻于电话或其它用户终端。或者,处理器与存贮媒体都留驻于电话或其 它用户终端。处理器可以DSP与微处理器的来实现,或与DSP芯构成两个微处 理器。本领域的熟练技术人士都会明白,上述描述可参照的数据、指令、命令、
信息、信号、位、符号与芯片,均可表示为电压、电流、电磁波、磁场或磁粒、 光场或光粒或者它们的任意组合。
已图示和描述了本发明的诸实施例,但很显然,对于本领域的普通技术人 员来说,可以在不背离本发明的精神或范围的情况下,可对本文揭_+示的诸实 施例作出众多更改。
权利要求
1.一种用于在被访问的通信系统中为用户提供本地认证的用户识别令牌,包括存储器;和被配置成执行存储在存储器内的一组指令的处理器,所述一组指令用于响应所接收到的询问产生多个密钥;基于一接收信号和来自所述多个密钥的认证密钥产生一认证信号,其中所述接收信号从通信上耦合至所述用户识别令牌的通信单元发送,所述接收信号由所述通信单元使用来自所述多个密钥的完整性密钥产生,所述完整性密钥从所述用户识别令牌被传送至所述通信单元;以及通过所述通信单元把所述认证信号发送至所述被访问的通信系统,所述认证信号用来认证被访问的通信系统内的用户的身份。
2. 如权利要求1所述的令牌,其特征在于,所述认证信号是由一混列函 .数产生的。
3. 如权利要求2所述的令牌,其特征在于,所述混列函数是安全混列算 法(SHA-1)。
4. 如权利要求1所述的令牌,其特征在于,所述认证信号是由一加密算 法产生的。
5. 如权利要求4所述的令牌,其特征在于,所述加密算法是数据加密标 准(DES)。
6. —种供移动单元内的用户使用的用户识别令牌,所述令牌包括 密钥产生元件,用于产生一认证密钥;以及签名发生器,用于接收来自所述密钥产生元件的所述认证密钥以及来自所 述移动单元的第一签名,还用于将第二签名输出至所述移动单元,其中所述第二签名基于所述认证密钥和所述第一签名而产生,所述第二签名用于认证用户 的身份。
7. 如权利要求6所述的令牌,包括 存储器;以及被配置成执行存储在存储器中的一组指令的处理器,其中所述一组指令对 一输入值执行密码变换以产生多个临时密钥。
8. 如权利要求7所述的令牌,其特征在于,所述密码变换使用一永久密 钥来执行。
9. 如权利要求6所述的令牌,包括 存储器;以及被配置成执行存储在存储器内的一组指令的处理器,其中所述一组指令通 过使用所述认证密钥对来自移动单元的信息执行密码变换,其中所述签名来自 于所述密码变换。
10. —种在移动单元内使用一用户识别令牌来提供用户认证的方法,包括 产生多个密钥;把来自所述多个密钥的至少一个密钥发送至通信上耦合至所述用户识别 令牌的移动单元、并且私人保持所述多个密钥中的至少一个密钥;使用被发送至移动单元的至少一个密钥以及一发送消息在移动单元处产生一签名;把所述签名发送至所述用户识别令牌; 在所述用户识别令牌处接收所述签名;在所述用户识别令牌处从所接收到的签名产生一主要签名;以及 把所述主要签名传送至一被访问的通信系统,用于认证所述被访问的通信 系统内用户的身份。
11. 如权利要求10所述的方法,其特征在于,所述产生签名信号使用一 非可逆操作执行。
12. 如权利要求IO所述的方法,其特征在于,所述产生签名信号使用DES 来执行。
13. 如权利要求10所述的方法,其特征在于,所述产生签名信号使用一 混列函数来执行。
14. 如权利要求13所述的方法,其特征在于,所述混列函数是SHA-1。
15. 如权利要求IO所述的方法,还包括在移动单元处按照发送消息的相对重要性向所述发送消息分配一权重;以及所述发送签名包括-如果分配给发送消息的权重表明所述发送消息不重要、则把所述签名发送 至一通信系统;以及如果分配给发送消息的权重表明所述发送消息重要、则把所述签名发送至 所述用户识别令牌。
16. —种在用户识别令牌中用来提供被访问通信系统中的用户的本地认证 的处理器,所述处理器被配置成控制响应于接收到的询问产生多个密钥;基于一接收信号和来自所述多个密钥的认证密钥产生一认证信号,其中所 述接收信号从通信上耦合至所述用户识别令牌的通信单元发送,所述接收信号 由通信单元使用来自所述多个密钥的完整性密钥产生,所述完整性密钥从所述用户识别令牌被发送至所述通信单元;以及通过所述通信单元把所述认证信号发送至被访问的通信系统,所述认证信 号用于认证被访问通信系统内的用户的身份。
17. —种用于提供被访问通信系统中的用户的本地认证的用户识别令牌, 包括响应于接收到的询问产生多个密钥的装置;基于一接收信号和来自所述多个密钥的认证密钥产生一认证信号的装置,其中所述接收信号从通信上耦合至所述用户识别令牌的通信单元发送,所述接 收信号由通信单元使用来自所述多个密钥的完整性密钥产生,所述完整性密钥从所述用户识别令牌被发送至所述通信单元;以及通过所述通信单元把所述认证信号发送至被访问的通信系统的装置,所述 认证信号用于认证被访问通信系统内的用户的身份。
18. —种具有对一用户识别令牌操作的一个或多个指令的机器可读介质, 所述用户识别令牌用来提供被访问通信系统中的用户的本地认证,所述指令在由处理器执行时、使处理器执行响应于接收到的询问产生多个密钥;基于一接收信号和来自所述多个密钥的认证密钥产生一认证信号,其中所 述接收信号从通信上耦合至所述用户识别令牌的通信单元发送,所述接收信号 由通信单元使用来自所述多个密钥的完整性密钥产生,所述完整性密钥从所述 用户识别令牌被发送至所述通信单元;以及通过所述通信单元把所述认证信号发送至被访问的通信系统,所述认证信 号用于认证被访问通信系统内的用户的身份。
全文摘要
提出了对离开家用系统外出旅行的用户作进行本地认证的方法和装置。用户识别令牌(230)根据由移动单元(220)私人保存的一密钥产生一签名(370),提供了认证支持。可防止在用户丢失了令牌而编程为非法持有用户识别令牌(230)的密钥的移动单元(220)以后访问该用户的账户。
文档编号G09C1/00GK101179854SQ20071016210
公开日2008年5月14日 申请日期2002年5月21日 优先权日2001年5月22日
发明者G·G·罗斯, R·F·小奎克 申请人:高通股份有限公司
技术领域:
本发明涉及通信系统,尤其涉及通信系统用户的本地认证。 背景
无线通信领域有众多应用,包括譬如无绳电话、寻呼、无线本地环路、个 人数字助理(PDA)、因特网电话和卫星通信系统,尤其重要的应用则是移动用 户的蜂窝电话系统。这里说的"蜂窝"系统包括蜂窝与个人通信服务(PCS)两 种频率。对这类蜂窝电话系统已开发了各种空中接口,包括例如频分多址 (FDMA)、时分多址(TDMA)与码分多址(CDMA)。这方面已建立了各种美国国家和 国际的标准,包括譬如先进移动电话服务(AMPS)、全球移动系统(GSM)和暂定 标准95 (IS-95),尤其是IS-95及其衍生标准IS-95A 、 IS-95B 、 ANSI J-STD-008(这里常统称为IS-95)和提议的高数据率数据系统等,都是由电信工 业协会(TIA)和其它著名的标准团体颁布的。
用IS-95标准配置的蜂窝电话系统,应用CDMA信号处理技术提供高效可 靠的蜂窝电话服务。美国专利No. 5, 103,459和4,901,307描述了基本上用 IS-95标准配置的示例性蜂窝电话系统,这些专利已转让给本发明受让人,通 过引用包括与此。应用CDMA技术的一种示例系统就是TIA颁布的ITU-R无线 电传输技术(RTT)候选提案(这里称cdma 2000), cdma 2000标准以IS-2000草 案提出,已经TIA批准。Cdma 2000以多种方式与IS-95系统兼容。另一个CDMA 标准是W-CDMA标准,以"3rd Generation Partnership Project "3GPP"实 施(第3代合作项目),文件号为3G TS 25.211、 3G TS25. 212、 3G TS25. 213 和3G TS25. 214。
世界上大部分地区普遍增长的电信服务和平民百姓流动性的增大,希望对
外出旅行的用户提供通信服务。能满足这一要求的一种方法是使用识别令牌,
诸如GSM系统中的用户识别模块(SIM),其中向用户分配一张能插入GSM电话 的SIM卡,该卡携带的信息用来识别插卡方的账目信息。下一代SIM卡已更名 为USIM(UTMSSIM)卡。在CDMA系统中,识别令牌称为可移动的用户接口模块 (RUIM),并具有同样作用,这种识别令牌的使用使得用户可能不带其个人的移 动电话外出旅行,该令牌可配置成在访问环境中不使用的频率上工作,可在设 有因建立新的账户而增加费用的条件下使用本地的移动电话。
尽管用这种识别令牌来查询用户账单信息,是很方便的,但也同样是安全。 目前,用这种识别令牌来编程私人信息,诸如用于消息加密的密码密钥或识别 用户的认证密钥,并发送给移动电话。试图窃取账户信息的人,会通过对移动 电话日编程来保留丢失识别标志的私人信息,或者在移动电话的合法使用期间 将私人信息发送到中一存贮单元,从而达到他(她)的目的。下面把被以这种方 式被篡改的移动电话称为"无赖机壳"。因此,目前要求既能保持贮存在识别 令牌上的私人信息的安全,又能便于用所述私人信息进入通信服务。
发明内容
提出一种对外出漫游的用户提供安全认证的新颖方法和装置。在一个方面 中,用户识别令牌配置成对移动单元提供认证支持,其中移动单元向用户识别 令牌传送经密钥交换的信息。
在一个方面中,提出一种在无线通信系统中认证用户所述的装置,其特征 在于,该装置能与工作在该无线通信系统内的移动站通信耦接。该装置包括一 存储器和配置成执行贮存在存储器里的指令组的处理器,指令组可有选择性产 生一个基于移动站所保存私人信息中密钥的主要签名和一个从移动站接收到 的辅助签名。
在另一个方面,提出一种采用用户识别器件来认证用户的方法。该方法包
括步骤产生多个密钥;把其中至少一个密钥发送给与用户识别装置通信耦接 的通信装置并秘密保存至少一个密钥;在通信装置用发送给该装置的至少一个 密钥和传输消息二者一起产生一个签名,其中,产生方法是混列由至少一个密 钥与传输消息形成的串接值;把签名发送给用户识别装置;用户识别装置接收 该签名;由收到的签名产生一主要签名,其中产生方法是混列由至少一个密钥 和接收自通信装置的签名形成的串接值;和把主要签名传给通信系统。
在又一个方面中,提出一种用户识别模块,它包括密钥产生元件和签名发 生器,后者配置成接收来自密钥产生元件的密钥和来自移动单元的信息,还配 置成产生将被发送给移动单元的签名,其中通过把密钥与来自移动单元的信息 串接在一起并将它混列而产生该签名。
图1是一示例的数据通信系统。
图2是无线通信系统中诸元件间的通信交换的框图。
图3是用户识别令牌向移动单元提供加密支持的实施例的框图。
图4是用混列函数产生认证签名的实施例的框图。
图5是混列(hash)消息以产生认证签名的方法的流程图。
实施例的详细描述
如图l所示,无线通信网IO—般包括多个移动站(也称用户单元或用户装 置)12a-12d、多个基站(也称基站收发机(BTS)或节点B)14a-14c、基站控制器 (BSC)(也称无线电网给控制器或数据包控制功能16)、移动交换中心(MSC)或交 换器18、包数据服务节点(数据包服务节点)或网际功能(IWF)20、公共交换电 话网(PSTN)22(通常为电话公司)和因特网协议(IP)网络24(通常为因特网)。为 了简化,示出四个移动站12a-12d、三个基站14a-14c、 一个BSC16、 一个MSC18 和一个数据包服务节点20。本领域的技术人员应理解,可以有任意数量的移 动站12、基站14、 BSC16、 MSC18和数据包服务节点20。
在一实施例中,无线通信网10是一种包数据服务网络。移动站12a-12d 可以是任一不同类的无线通信装置,诸如便携电话、与运行基于IP的Web浏 览器应用程序的膝上计算机相接的蜂窝电话、带相关免提汽配件的蜂窝电话、 运行IP基Web浏览器应用程序的个人数字助理(PDA)、配入便携计算机的无线 通信模块,或者是可在无线本地环路或计表读数系统中可以发现的定点通信模 块。在最常见的实施例中,移动站为任一类通信单元。
移动站12a-12d可配置成执行一种或多种无线包数据协议,诸如 EIA/TIA/IS-707标准。在一特定实施例中,移动站对IP网24产生IP包,并 用点对点协议(PPP)把IP包压縮成帧。
在一实施例中,IP网24耦接数据包服务节点20,数据包服务节点20耦
接MSC18, MSC18耦接BSC16与PSTN22,而BSC16通过电缆耦接基站14a-14c, 按若干已知协议之一,包括El、 Tl、异步传递模式(ATM)、 IP、帧中过(Frame Relay) 、 HDSL、 ADSL或XDSL,传输语音和/或数据包。在另一实施例中,BSC16 直接与数据包服务节点20耦接,而MSC18不耦接数据包服务节点20。在本发 明另一实施例中,移动站12a-12d通过"第三代合作项目2(3" Generation Partnership Project 2) " "3GPP2"所定义的RF接口与基站14a-14c通信(适 用于cdma 2000扩谱系统的物理层标准("Physical Layer Standard for cdma2000 Spread Spectr棚Systems") , 3GPP2文件号C. P0002-A, TIA PN-柳4, 将作为TIA/EIA/IS-2000-2-A版本(草案,编辑版30) (1999. 11. 19),通过引用 包括在与此)。
在无线通信网10典型的操作期间,基站14a-14c接收和解调来自以电话 呼叫,Web浏览或其它数据通信方式接合的各种移动站12a-12d的反向链路信 号组。由一个指定基站14a-14c所接收到的各个反向链路信号在该基站14a-14c 内处理。各基站通过调制正向链路信号组并发送给移动站12a-12d来与多个移 动站通信。如图1所示,基站14a与第一和第二移动站(MS) 12a、 12b同时通 信,而基站14c与第三和第四移动站12c、 12d同时通信。把得到的包转让到 BSC16,后者提供呼叫资源分配与移动管理功能,包括将一特定移动站12a-12d 安排从一基站14a-14d切换到另一基站14a-14d的呼叫软交换。例如,移动站 12c正与两个基站14b、 14c同时通信。最后在移动站12c移离基站之一 14c足 够远时,将把呼叫交换至另一基站14b。
若传输为普通电话呼叫,BSC 16将接收到的数据转发给MSC18,后者作为 与PSTN 22的接口提供附加的路由服务。若传输是包基的传输,如数据呼叫的 目的是IP网24,则MSC18将把数据包转发到数据包服务节点20,后者再把包 送到IP网24,或者,BSC16把包直接传到数据包服务节点20,由后者把包送 到IP网24。
图2示出在无线通信系统中认证使用移动电话用户的方法。在家用系统 (HS)200范围以外旅行的用户使用了被访系统(VS)210中的移动单元220,该用 户通过插入用户识别令牌来使用移动单元220。这种用户识别令牌配置成产生 密码和认证信息,使得用户查询记账服务时无须与被访系统建立新账户。服务 时,移动单元220向VS 210发出请求(未示出),VS210与HS 200接触,确定 提供给该用户的服务(未示出)。
HS 200根据用户识别令牌所保持的私人信息,产生一随机数240和一个所 希望的响应值(XRES)270。随机数240用来询问,其中,目标的接收者可利用 该随机数240和私人信息产生与所希望的响应值270相匹配的确认响应。随机 数240与XRES 270从HS 200发送到VS 210。其它信息也发送,但与本文无关 (未示出)。图1方式有利于HS 200与VS 210间的通信。VS 210向移动单元 220发送随机数240,等待移动单元220传来确认消息260。 VS 210的比较元 件280将确认消息260和XRES270进行比较,若两相匹配,则VS 210就对移 动单元220提供服务。
移动单元220向由用户插入其内的用户识别令牌230发送随机数240,用 户识别令牌230上存贮了安全密钥300。密钥发生器250用安全密钥300与随 机数240来产生确认消息260、密码数字密钥(CK)290和完整性密钥(IK)310。 把CK 290和IK 310传给移动单元220。
在移动单元220,可用CK 290在移动单元220与VS 210之间作加密通信, 故只有预定的消息接收者才能解密该通信。在1998年8月28日提交的题为"适 用于产生加密流密码的方法和装置"("Method and Apparatus for Generating Encryption Stream Ciphers")的共同待批美国专利申i青09/143,441中,描 述了用密码密钥通信的技术。该申请已转让给本发明受让人,通过引用包括与 此。其它加密技术也可应用,这并不影响这里所述实施例的范围。
工K 310能用于产生消息认证码(MAC),其中为了验证特定一方发出的传输 消息帧并验证该消息在传输期间未被更改,该传输消息附有MAC。在1999年8 月9日提交的题为"适用于产生消息认证代码的方法和装置"("Method and Apparatus for Generating a Message Authentication Code")的共同待批 美国专利申请No.09/371,147中,描述了产生MAC的技术,该申请已转让给本 发明受让人,通过引用包括与此。应用其它认证码产生技术并不影响这里所述 实施例的范围。因此,这里使用的"签名"代表能在通信系统中实施的任一认 证方案的输出。
另外,根据分开发送或与传输消息一起发送的特定信息,也可用IK310产 生认证签名340。在题为"适用于提供天线通信系统中的认证安全的方法和装 置,,("Method and Apparatus for Providiug Authenticaiton Security in a Wireless Communication System")的美国专利法5, 943, 615中,描述了产 生认证签名的技术。该专利已转让给本发明受让人,通过引用包括与此。认证 签名340是混列元件330将IK 310与来自移动单元220的消息350组合后的 输出。认证签名340和消息350经空中发射给VS210。
由图2可见,用户识别令牌230把密码密钥290和完整性密钥310发送给 移动单元220,后者产生经空中公开传送的数据帧。该技术虽可防止窃听者通 过广播确定此类密钥值,却不能免受"无赖机壳"的攻击。无赖机壳可编程为 接收CK 290与IK 310,然后存贮这些密钥而不是清除本地存储器里的这些密 钥。另一偷密钥方法是将移动单元220编程为把所接收到的密钥发送到另一地 点,然后用CK290和IK310把未经核准的通信费混记到该用户。在以不安全的 方式使用家用系统200产生的随机数的系统中,如在延长时间内使用同样产生 的密钥时,这种无赖机壳攻击尤其奏效。
一个防止无赖机壳攻击的实施例,应用用户识别令牌里的处理器和存储器 产生设有插入用户识别令牌的移动单元不能再现的电子签名。
图3示出的实施例可在无线通信系统中对用户作本地认证。该例中,用户 识别令牌230编程为根据一不传给移动单元220的密钥而产生认证响应。因此, 若用户使用的移动单元是无赖机壳,就不能重建正确的认证响应。
与图2方法相似,根据接收自用户识别令牌230的IK310和准备送给VS210 的消息,移动单元220产生一签名信号。但在一实施例中,该签名信号不传给 VS,而是传给用户识别令牌230,并与一附加密钥一起用来产生主要签名信号。 该主要签名信号被送到移动单元220,后者再把它发送给VS 210作认证。
根据用户识别令牌230所保持的安全密钥,HS 200产生随机数240和期望 的响应(XERS)270,并把二者发送给VS 210。图1的方式有利于HS 200与VS 210 间的通信。VS 210向移动单元220发送随机数240并等待后者传回确认消息 260。 VS 210在比较元件280上比较确认消息260与XERS270,若二者相符, 就对移动单元220提供服务。
移动单元220把随机数240传给已由用户将其耦接的用户识别令牌230。 安全密钥300贮存在用户识别令牌230上。密钥发生器250利用安全密钥300 和随机数240来产生确认消息260、密码密钥(CK)290、完整性密钥(IK) 310和 UIM认证密钥(UAK) 320。 CK290与IK310传给移动单元220。
在移动单元220,用CK 290加密传输数据帧(图3未示出)。IK310用于产 生签名信号340,而签名信号340就是签名发生器330的输出,该签名发生器 330根据IK 310和来自移动单元220的消息350应用加密操作或单向操作,如
混列函数。签名信号340被发送给用户识别令牌230,后者用签名发生器360 处理签名信号340和UAK 320而产生主要签名信号370。主要签名信号370被 发送到移动单元220和VS210,由验证元件380认证用户身份。验证元件380 通过再生签名信号340和主要签名信号370作验证。另外,验证文件380也能 接收来自移动单元220的签名信号340,只再生主要签名信号370。
在VS 210可用各种技术再生签名信号340和主要签名信号370。在一实施 例中,验证元件380能接收来自家用系统200的UAK 390和完整性密钥。当验 证元件380还接收来自移动单元220的消息350时,就能产生签名信号并用它 产生主要签名信号。
用户识别令牌230里的签名发生器360包括存储器和处理器,其中可将处 理器配置成用各种技术来处理输入。这些技术可以利用加密技术、混列函数或 任何不可逆运算的形式。作为一实例, 一种可以由用户识别令牌实施的技术就 是在1994年5月在联邦信息处理标准(FIPS)PUB186 "数字签名标准"中公布 的安全混列算法(SHA)。另一种可由用户识别令牌实施的技术是1997年1月在 FIPS BUB46中公布的"数据加密标准(DES)"。这里使用的术语"加密"并不 一定表示运算必须是可逆的。本文诸实施例中的运算都是不可逆的。
密钥发生器250也可包括存储器和处理器。实际上,在一实施例中,可将 单个处理器配置成能执行签名发生器360和密钥发生器250的功能。验证元件 380通过计算同样输入的同样结果并比较计算值与发送值来进行验证。
在以上实施例的更详细描述中,可将信号发生器330配置成实施本文称为 服AC-SHA-1的技术。在上例中,可在信号发生器330中用一种混列功能产生签 名信号340。在Bellare等人的论文"适用于信息认证的密钥混列函数"("Keying Hash Functions for Message Authentication ,,) 中 (Advances in Cryptology-Crypto 96 Proceedings, Lecture Notes in Computer Science Vol. 1109, Springer-Verlag, 1996),描述了基于混列的MAC (HMAC)。丽AC是 一种以二步处理的应用SHA-1等密码混列功能的MAC方法。在HMAC-SHA-1方 法中, 一随机密钥对SHA-1功能初始化,然后用它产生消息摘要,接着再用该 密钥对SHA-l初始化,产生第一摘要的摘要,该第二摘要提供了将被附接于每 条消息的MAC。在本文所述该实施例中,可用用户识别令牌230产生的完整性 密钥(IK)310作为对SHA-1初始化的随机密钥。图4的流程图示出了移动站中 用来自用户识别令牌的完整性密钥初始化的丽AC实施法,和在用户识别令牌中用UIM认证密钥初始化的HMAC方法。
图4中,根据用户识别令牌230保持的私人信息,HS 200产生随机数240 和所希望的响应(XRES)270,并把它们发送给VS 210。 HS 200与VS 210以图1 方式通信。VS 210把随机数240发送给移动单元220并等待来自后者的确认消 息260。 VS 210的比较元件280比较确认消息260与XRES270,若二者相符, VS 210就对移动单元220服务。
移动单元220将随机数240传给已被用户与移动单元220电子耦接的用户 识别令牌230。用户识别令牌230存贮了安全钥300。密钥发生器250用安全 钥300与随机数240 二者产生确认消息260、密码钥(CK)290、完整性密钥 (IK)310和UIM认证密钥(UAK)320、 CK 290与IK 310被传给移动单元220。
移动单元220用CK 290加密传输数据帧(图4未示出),签名发生器330 用IK 310产生签名信号340。签名发生器330配置成利用SHA-1产生消息260 的变换。IK 310对SHA-l混列功能初始化。
SHA-1混列功能变换消息260所得出的签名信号340被发送给用户识别令 牌230,后者用签名发生器360处理该签名信号340与UAK 320,产生签名信 号340的变换,即UIM消息认证(UMAC)370。签名发生器360还配置成可实施 SHA-l混列功能,但该功能用UAK 320初始化,而不用IK310。
把UMAC 370发送给移动单元220和VS 210,由验证元件380认证用户身 份,它可以通过再生签名信号340和UMAC 370来验证。另外,验证文件380 也能够接收来自移动单元220的签名信号340,只再生UMAC370。
图5的流程图对该实施例作了综合性描绘。在步骤500,移动单元产生要 求认证的消息。在步骤501,移动单元接收来自用户识别令牌的长度为L的完 整性密钥(IK)。在步骤502,移动单元把完整性密钥IK补填成长度b, b是移 动单元内签名发生器的混列功能块尺寸。在一实施例中,可将该密钥填零到长 度b,在另一实施例中,可将该密钥与长度为b的填充常量相X异或。若IK长 度已为b,可省去这一步。在步骤504,把填充的IK与要求认证的消息串接起 来。然后在步骤505,配置成执行SHA等混列功能的签名发生器混列串接的填 充IK与消息。在一实施例中,XOR操作的输出保存在存贮元件内,若来自用户 识别令牌的IK在通信过程中保持一样,将来还可调用。
若要使用UIM认证UAK),则程序流程转到步骤510;若不准备使用UAK, 程序流程转到步骤520。
在步骤510,把步骤505混列的消息发给用户识别令牌。在步骤511,用 户识别令牌将UAK填充到长度b,除非其长度已为b。把填充的IK存入存储器, 在后续消息要求在通信过程中认证时再使用。在步骤512,填充的IK与混列的 消息串接后输入签名发生器,而后者配置成执行混列功能,如步骤513的SHA-1。 在步骤514,签名发生器的输出从用户识别令牌发给移动单元。
在步骤520,用同一完整性密钥再混列已经混列过的消息。把步骤505混 列的消息发给移动单元里的第二签名发生器,或将其再插入步骤505的签名发 生器。若在两个混列处理中使用一个完整性密钥,则必须更改该完整性密钥, 使各混列发生器用不同的值初始化,如对每个混列步骤,可将该完整性密钥逐 位加到恒定数值Cl或C2, 二者长度均为b。该法只要求用户识别令牌产生一 个完整性密钥。
应注意,更安全的实施例由用户识别令牌用UAK执行第二混列步骤。
图5所描述的过程可用下式以数字方法描述<formula>formula see original document page 14</formula>
式中Fy()代表在位置Y执行的混列函数,X代表原始消息,UAK与IK为密 钥,逗号表示串接。
C羅A或GSM系统所用的用户识别令牌(也分别称为R-UIM或USIM)可以配 置成以上述方式产生主要签名信号或UMAC,即移动单元产生的所有消息都要加 密和认证。但由于在分配这类令牌里的中央处理单元受限制,故希望实施另一 实施例,其中对消息帧指定一重要性权重,只对重要消息作安全加密和认证, 如含账单信息的消息帧比含话音有效负载的消息帧更需要提高安全性。因此, 移动单元可对账单信息消息帧分配更大的重要性权重,而对话音消息帧分配较
小的重要性权重。在用户识别令牌接收这些加权消息产生的签名信号时,CPU 评估各签名信号所附的不同重要性权重,只对权重大的签名信号来确定主要签 名信号。或者,把移动单元编程为向用户识别令牌只传送"重要的"签名信号。 这种选择性主要签名信号产生方法可通过减轻用户识别令牌的处理负荷来提 高了它的效率。
上述诸实施例要求在用户识别令牌与移动单元间作更安全的处理,可防止 未获准使用用户的账户。由于移动单元不知道保密UAK就无法产生主要签名信 号,故编程为充当无赖机壳的移动单元无法滥用用户信息来达到不正当目的。
上述诸实施例通过操作签名信号而不是操作消息,来尽量提高用户识别令
牌的处理能力。通常,签名信号的位长度比消息更短,因而用户识别中的签名 发生器要求很少的时间来操作签名信号而不是传输消息帧。如上所述,用户识 别令牌的处理能力通常比移动单元的处理能力小得多,因而实施该实施例可安 全地认证消息而不牺牲速度。
但应注意,处理器结构的改进几乎呈指数步速出现,包括更快的处理时间 和更小的处理器尺寸,因而可构制另一个作本地认证的实施例,其中由消息直 接产生主要签名信号而不通过短的签名信号来间接产生。移动单元配置成把消 息直接传给有能力迅速产生主要签名信号的用户识别令牌,而不传给移动单元 里的签名发生元件。在另一实施例中,根据消息所需的安全程度,只需将有限
数量65i肖息直接传给用户识别令牌。
应该指出,虽然在无线通信系统范围内描述了各种实施例,但这些实施例 还可用于对使用接在通信网里新奇终端的任一方作可靠的本地认证。
这样,已描述了对通信系统中用户作本地认证的新颖而改进的方法和装 置。本领域的技术人员应理解,结合本文揭示诸实施例描述的各种示例性逻辑 块、模块、电路和算法步骤,都可以电子硬件、软件、固件或它们的组合形式 来实施。各种元件、块、模块、电路和步骤一般按其功能来描述,这类功能实 施为硬件、软件还是固件来实施,这取决于特定的应用场合和对全系统产生的 设计限制。熟练的技术人士都明白硬件、软件和固件在这些场合下的互换性, 知道如何对每种具体场合较佳地实施所述的功能。
实施结合诸实施例所述的各种示例性逻辑块、模块、电路和算法步骤,可
以应用数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA) 或其它可编程逻辑器件、分立门电路或晶体管逻辑电路、分立固件元件。执行 固件指令组的处理器、任何常规可编程软件模块和处理器或它们的任意组合, 都可设计成执行本文所述的功能。处理器以微处理器为佳,但也可以是任何常 规处理器、控制器、微控制器或状态机。软件模块可以留驻于RAM存储器、闪 存存储器、R0M存储器、EPROM存储器、EEPROM存储器、寄存器、硬盘、移动 盘、CD-ROM或本领域中已知的任何其它形式的存贮媒体。将一示例性处理器耦 接存贮媒体,以对其读写信息。在另一形式中,存贮媒体可以留驻于ASIC,而 后者留驻于电话或其它用户终端。或者,处理器与存贮媒体都留驻于电话或其 它用户终端。处理器可以DSP与微处理器的来实现,或与DSP芯构成两个微处 理器。本领域的熟练技术人士都会明白,上述描述可参照的数据、指令、命令、
信息、信号、位、符号与芯片,均可表示为电压、电流、电磁波、磁场或磁粒、 光场或光粒或者它们的任意组合。
已图示和描述了本发明的诸实施例,但很显然,对于本领域的普通技术人 员来说,可以在不背离本发明的精神或范围的情况下,可对本文揭_+示的诸实 施例作出众多更改。
权利要求
1.一种用于在被访问的通信系统中为用户提供本地认证的用户识别令牌,包括存储器;和被配置成执行存储在存储器内的一组指令的处理器,所述一组指令用于响应所接收到的询问产生多个密钥;基于一接收信号和来自所述多个密钥的认证密钥产生一认证信号,其中所述接收信号从通信上耦合至所述用户识别令牌的通信单元发送,所述接收信号由所述通信单元使用来自所述多个密钥的完整性密钥产生,所述完整性密钥从所述用户识别令牌被传送至所述通信单元;以及通过所述通信单元把所述认证信号发送至所述被访问的通信系统,所述认证信号用来认证被访问的通信系统内的用户的身份。
2. 如权利要求1所述的令牌,其特征在于,所述认证信号是由一混列函 .数产生的。
3. 如权利要求2所述的令牌,其特征在于,所述混列函数是安全混列算 法(SHA-1)。
4. 如权利要求1所述的令牌,其特征在于,所述认证信号是由一加密算 法产生的。
5. 如权利要求4所述的令牌,其特征在于,所述加密算法是数据加密标 准(DES)。
6. —种供移动单元内的用户使用的用户识别令牌,所述令牌包括 密钥产生元件,用于产生一认证密钥;以及签名发生器,用于接收来自所述密钥产生元件的所述认证密钥以及来自所 述移动单元的第一签名,还用于将第二签名输出至所述移动单元,其中所述第二签名基于所述认证密钥和所述第一签名而产生,所述第二签名用于认证用户 的身份。
7. 如权利要求6所述的令牌,包括 存储器;以及被配置成执行存储在存储器中的一组指令的处理器,其中所述一组指令对 一输入值执行密码变换以产生多个临时密钥。
8. 如权利要求7所述的令牌,其特征在于,所述密码变换使用一永久密 钥来执行。
9. 如权利要求6所述的令牌,包括 存储器;以及被配置成执行存储在存储器内的一组指令的处理器,其中所述一组指令通 过使用所述认证密钥对来自移动单元的信息执行密码变换,其中所述签名来自 于所述密码变换。
10. —种在移动单元内使用一用户识别令牌来提供用户认证的方法,包括 产生多个密钥;把来自所述多个密钥的至少一个密钥发送至通信上耦合至所述用户识别 令牌的移动单元、并且私人保持所述多个密钥中的至少一个密钥;使用被发送至移动单元的至少一个密钥以及一发送消息在移动单元处产生一签名;把所述签名发送至所述用户识别令牌; 在所述用户识别令牌处接收所述签名;在所述用户识别令牌处从所接收到的签名产生一主要签名;以及 把所述主要签名传送至一被访问的通信系统,用于认证所述被访问的通信 系统内用户的身份。
11. 如权利要求10所述的方法,其特征在于,所述产生签名信号使用一 非可逆操作执行。
12. 如权利要求IO所述的方法,其特征在于,所述产生签名信号使用DES 来执行。
13. 如权利要求10所述的方法,其特征在于,所述产生签名信号使用一 混列函数来执行。
14. 如权利要求13所述的方法,其特征在于,所述混列函数是SHA-1。
15. 如权利要求IO所述的方法,还包括在移动单元处按照发送消息的相对重要性向所述发送消息分配一权重;以及所述发送签名包括-如果分配给发送消息的权重表明所述发送消息不重要、则把所述签名发送 至一通信系统;以及如果分配给发送消息的权重表明所述发送消息重要、则把所述签名发送至 所述用户识别令牌。
16. —种在用户识别令牌中用来提供被访问通信系统中的用户的本地认证 的处理器,所述处理器被配置成控制响应于接收到的询问产生多个密钥;基于一接收信号和来自所述多个密钥的认证密钥产生一认证信号,其中所 述接收信号从通信上耦合至所述用户识别令牌的通信单元发送,所述接收信号 由通信单元使用来自所述多个密钥的完整性密钥产生,所述完整性密钥从所述用户识别令牌被发送至所述通信单元;以及通过所述通信单元把所述认证信号发送至被访问的通信系统,所述认证信 号用于认证被访问通信系统内的用户的身份。
17. —种用于提供被访问通信系统中的用户的本地认证的用户识别令牌, 包括响应于接收到的询问产生多个密钥的装置;基于一接收信号和来自所述多个密钥的认证密钥产生一认证信号的装置,其中所述接收信号从通信上耦合至所述用户识别令牌的通信单元发送,所述接 收信号由通信单元使用来自所述多个密钥的完整性密钥产生,所述完整性密钥从所述用户识别令牌被发送至所述通信单元;以及通过所述通信单元把所述认证信号发送至被访问的通信系统的装置,所述 认证信号用于认证被访问通信系统内的用户的身份。
18. —种具有对一用户识别令牌操作的一个或多个指令的机器可读介质, 所述用户识别令牌用来提供被访问通信系统中的用户的本地认证,所述指令在由处理器执行时、使处理器执行响应于接收到的询问产生多个密钥;基于一接收信号和来自所述多个密钥的认证密钥产生一认证信号,其中所 述接收信号从通信上耦合至所述用户识别令牌的通信单元发送,所述接收信号 由通信单元使用来自所述多个密钥的完整性密钥产生,所述完整性密钥从所述 用户识别令牌被发送至所述通信单元;以及通过所述通信单元把所述认证信号发送至被访问的通信系统,所述认证信 号用于认证被访问通信系统内的用户的身份。
全文摘要
提出了对离开家用系统外出旅行的用户作进行本地认证的方法和装置。用户识别令牌(230)根据由移动单元(220)私人保存的一密钥产生一签名(370),提供了认证支持。可防止在用户丢失了令牌而编程为非法持有用户识别令牌(230)的密钥的移动单元(220)以后访问该用户的账户。
文档编号G09C1/00GK101179854SQ20071016210
公开日2008年5月14日 申请日期2002年5月21日 优先权日2001年5月22日
发明者G·G·罗斯, R·F·小奎克 申请人:高通股份有限公司
最新回复(0)