專利名稱:身份認(rèn)證和密鑰協(xié)商方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信領(lǐng)域�����,并且特別地���,涉及一種身份認(rèn)證和密鑰協(xié)商方法及系統(tǒng)��。
背景技術(shù):
認(rèn)證禾口密鑰協(xié)商(Authentication, and Key Agreement,簡(jiǎn)稱為AKA)或可擴(kuò) 展的認(rèn)證協(xié)議_AKA (Extensible Authentication Protocol-Authentication, and Key Agreement,簡(jiǎn)稱為EAP-AKA)是基于挑戰(zhàn)-應(yīng)答機(jī)制和對(duì)稱密碼機(jī)制�,該機(jī)制運(yùn)行在用戶身 份識(shí)別模塊上�,基于AKA的認(rèn)證與密鑰分發(fā)協(xié)議需要三方參與移動(dòng)站(MobileStation), 拜訪局(VLR)���,歸屬局(HLR) ��。 EAP-AKA協(xié)議由VLR發(fā)起��,VLR首先向MS發(fā)送一個(gè)EAP請(qǐng)求 /身份標(biāo)志消息��,然后就開始了認(rèn)證與密鑰分配過程�。下面對(duì)相關(guān)協(xié)議進(jìn)行描述
(1) MS — VLR : MS I ����, HLR ;
(2) VLR —HLR : MSI ; (3) HLR — VLR :AV = RAND | | XRES | | CK | | IK | | AUTN ;
(4) VLR — MS :RAND | | AUTN ;
(5) MS — VLR : RES 。 認(rèn)證中心AuC產(chǎn)生認(rèn)證向量組的流程如圖1所示���,其中�,國(guó)際移動(dòng)用戶識(shí)別 碼(頂SI)為用戶的永久身份識(shí)別���,AV為認(rèn)證向量�,SQN為序列號(hào)���,AMF認(rèn)證管理域�, 爿(7rA^SgA^^nMMFIIM4C為認(rèn)證令牌���,MAC = flK(SQN����, RAND, AMF)為消息認(rèn)證碼��,用 于認(rèn)證消息的正確性��,XRES = f2K(RAND)為期望的認(rèn)證回答�,CK = f3K(RAND)為加密密 鑰,IK = f4K(RAND)為完整性密鑰����,AK = f5K(RAND)為匿名密鑰,用于隱藏序列號(hào)���,RES = f2K(RAND)為認(rèn)證回答�,XMAC = flK(SQN����, RAND, AMF)為期望的消息認(rèn)證碼�����,fl至f5為單向 陷門函數(shù)。 具體地���,在MS收到RAND | | AUTN后將會(huì)計(jì)算XMAC并和AUTN中的MAC比較����,若兩者 不同����,則向VLR發(fā)送拒絕認(rèn)證消息��,認(rèn)證失?��?���;若兩者相同���,則MS驗(yàn)證SQN是否為新鮮�,如果 不能通過驗(yàn)證�,MS會(huì)向VLR發(fā)送同步接收失敗消息,此時(shí)認(rèn)證失?。蝗绻鲜鰞身?xiàng)都通過驗(yàn) i正,則MS向VLR發(fā)送到RES�, VLR收到RES后,比較XRES和RES���,若不同��,認(rèn)證失敗����,如果相 同則通過認(rèn)證��,認(rèn)證過程結(jié)束��。 在上述流程完成后��,MS用戶與網(wǎng)絡(luò)之間就實(shí)現(xiàn)了雙向認(rèn)證��。并且���,MS與VLR之間 共享了會(huì)話密鑰��,這些密鑰可用于通信中的機(jī)密性和一致性保護(hù)����。 具體地,在圖1中�����,f0是一個(gè)偽隨機(jī)數(shù)生成函數(shù)����,只存放于AuC中,用于生成隨機(jī) 數(shù)RAND����。認(rèn)證向量中有一個(gè)"認(rèn)證令牌"�����,即�����,AUTN�,其中包含了一個(gè)序列號(hào),使得用戶可以 避免受到重傳攻擊�。其中,因?yàn)樾蛄刑?hào)可能會(huì)暴露用戶的身份和位置信息����,所以將AK用于 在AUTN中隱藏序列號(hào)���。 當(dāng)認(rèn)證中心HLR收到VLR的認(rèn)證請(qǐng)求時(shí),會(huì)發(fā)送N個(gè)認(rèn)證向量組給VLR���。在VLR 中����,每個(gè)用戶的N個(gè)認(rèn)證向量組���,按照"先入先出"(FIFO)的規(guī)則發(fā)送給移動(dòng)臺(tái)�����,用于鑒權(quán)認(rèn) 證����。
在發(fā)送向量組的過程中��,VLR會(huì)初始化一個(gè)認(rèn)證過程���,選擇一個(gè)認(rèn)證向量組�����,發(fā)送 其中的RAND和AUTN給用戶�����。用戶收到RANDl |AUTN后���,在用戶端的身份認(rèn)證模塊中進(jìn)行如 圖2所示操作��。在圖2所示的MS所進(jìn)行的操作中����,MS同樣需要根據(jù)與AuC中相同的函數(shù) f0-f5來進(jìn)行驗(yàn)證�����,其處理方式與AuC中的處理過程對(duì)應(yīng)��,這里不再重復(fù)�����。
然而�,在目前采用的鑒權(quán)和密鑰協(xié)商過程中,存在如下兩個(gè)問題���。
( — )明文傳輸IMSI或臨時(shí)移動(dòng)用戶識(shí)別碼(TMSI) 通過上述過程可以看出����,當(dāng)用戶首次注冊(cè)到網(wǎng)絡(luò)�����、或者網(wǎng)絡(luò)無法從TMSI恢復(fù)出 MSI的時(shí)候(比如VLR的數(shù)據(jù)庫(kù)錯(cuò)誤)�����,拜訪地VLR會(huì)向用戶請(qǐng)求IMSI�����,用戶將向網(wǎng)絡(luò)以明 文形式發(fā)送IMSI��,此時(shí)IMSI的傳輸非常不安全�����,很容易導(dǎo)致IMSI被竊聽,遭到中間人的攻擊��。 目前�����,在3G中可選擇使用保密的用戶身份來增強(qiáng)用戶身份的機(jī)密性��。MS/USIM在 收到VLR的身份請(qǐng)求后�,由MS將IMSI加密后嵌入HE-message中,并且用HE-id來向VLR指 明可以解密該HE-message的HE/UIC的地址�。VLR收到HE-message后,根據(jù)HE_id再將該 消息傳送到相應(yīng)的HE/UIC���, HE/UIC解密后將用戶的IMSI傳遞給VLR����。在收到用戶的IMSI 后����,就可以啟動(dòng)TMSI分配過程��,此后將使用TMSI來識(shí)別移動(dòng)用戶身份���。
盡管這種增強(qiáng)型身份加密機(jī)制在一定程度上加強(qiáng)了用戶身份的機(jī)密性��,但該方法 增加了消息在信道中傳輸?shù)倪^程�����,導(dǎo)致傳輸時(shí)延增加�����;另一方面���,該方法只是將原來由無線 接入部分傳送明文頂SI的過程變成在網(wǎng)絡(luò)內(nèi)傳送明文IMSI���,并不能徹底解決IMSI安全性 的問題;并且���,對(duì)于移動(dòng)用戶的臨時(shí)身份TMSI��,如果泄漏了��,就有可能獲得與永久身份標(biāo)識(shí) IMSI之間的映射關(guān)系��,如果進(jìn)而獲得用戶的具體位置信息��,這樣就可能會(huì)發(fā)生針對(duì)特定用 戶的拒絕服務(wù)攻擊�。 ( 二 )在目前采用的鑒權(quán)和密鑰協(xié)商過程中,MS和HLR都沒有對(duì)VLR進(jìn)行認(rèn)證��。
無線網(wǎng)絡(luò)處在比較開放的環(huán)境中�,鑒權(quán)和密鑰協(xié)商協(xié)議實(shí)現(xiàn)了用戶與網(wǎng)絡(luò)之間的 相互認(rèn)證,即MS和HLR之間的雙向認(rèn)證�,以及VLR對(duì)MS的認(rèn)證,但雙方都沒有對(duì)VLR的身 份進(jìn)行認(rèn)證����。因此攻擊者X可在MS與VLR之間發(fā)起中間人攻擊,例如�����,攻擊過程如下
(1)MS —X:MSI;
(2)X — VLR :MSI ;
(3) VLR —HLR : MSI ; (4) HLR — VLR :AV = RAND | | XRES | | CK | | IK | | AUTN ;
(5) VLR — X :RAND | | AUTN ;
(6) X — MS :RAND | | AUTN ;
(7)MS —X:RES;
(8)X — VLR :RES����。 這樣,由于HLR將無線網(wǎng)通信中機(jī)密性和完整性保護(hù)的會(huì)話密鑰直接以明文的形 式發(fā)送給VLR��,攻擊者X就可以假冒該MS入網(wǎng)�,此時(shí)���,由于CK與IK未在無線接口中傳輸���,所 以攻擊者無法獲得這些密鑰而進(jìn)行正常的通信�,但是如果攻擊者X對(duì)VLR與HLR之間的信 息進(jìn)行竊聽����,就可能獲得HLR傳給VLR的認(rèn)證向量AV,進(jìn)而獲得CK與IK���。此后攻擊者X再 假冒該MS入網(wǎng)���,S卩,可實(shí)現(xiàn)正常的保密通信�,而合法用戶傳送的信息也就失去了保密性。另 外����,由于用戶在不同的公共陸地移動(dòng)網(wǎng)絡(luò)(Public Land Mobile Network,簡(jiǎn)稱為PLMN)之間漫游,這些不同的PLMN甚至可以位于不同的國(guó)家���,為了對(duì)用戶進(jìn)行鑒權(quán)認(rèn)證����,HLR (用戶 的本地網(wǎng)絡(luò))會(huì)將用戶的鑒權(quán)五元組發(fā)送到用戶當(dāng)前漫游的網(wǎng)絡(luò)的VLR,在這個(gè)過程中����,用 戶鑒權(quán)向量組將穿過不同的網(wǎng)絡(luò),因此很容易受到攻擊��。 如果攻擊者首先利用某種方式(如DoS攻擊)攻陷VLR����,然后假冒成VLR則可以獲 取無線網(wǎng)的會(huì)話密鑰,這樣就使得無線網(wǎng)的通信失去了保密性����。 針對(duì)相關(guān)技術(shù)中IMSI和密鑰傳輸保密性差的問題,目前尚未提出有效的解決方案���。
發(fā)明內(nèi)容
考慮到上述IMSI和密鑰傳輸保密性差的問題而做出本發(fā)明�,為此�����,本發(fā)明的主要 目的在于提供一種身份認(rèn)證和密鑰協(xié)商方法和系統(tǒng)�����。 根據(jù)本發(fā)明的一個(gè)方面,提供了一種身份認(rèn)證和密鑰協(xié)商方法�����,該方法可應(yīng)用于 包括證書授權(quán)中心即CA��、歸屬局即HLR�、多個(gè)拜訪局即VLR�����、以及隸屬于HLR的移動(dòng)站即MS 的系統(tǒng)�����,其中��,CA用于為HLR�����、多個(gè)VLR����、以及MS頒發(fā)公鑰和私鑰����。 根據(jù)本發(fā)明的身份認(rèn)證和密鑰協(xié)商方法包括MS根據(jù)公鑰廣播協(xié)議從多個(gè)VLR中 選擇一個(gè)VLR��,獲取選擇的VLR的公鑰����,并選擇第一隨機(jī)數(shù);MS將其公鑰�、HLR的標(biāo)識(shí)、第一 隨機(jī)數(shù)��、以及利用選擇的VLR的公鑰加密的MS的國(guó)際移動(dòng)用戶識(shí)別碼即IMSI發(fā)送給選擇 的VLR ;選擇的VLR利用其私鑰解密得到IMSI�����,利用選擇的VLR與HLR的共享密鑰對(duì)解密的 IMSI加密并發(fā)送至HLR�,并且生成第二隨機(jī)數(shù),將第二隨機(jī)數(shù)發(fā)送給MS ;MS利用其私鑰���、第 一隨機(jī)數(shù)���、第二隨機(jī)數(shù)構(gòu)造中間變量,并將中間變量發(fā)送給選擇的VLR���,選擇的VLR通過中 間變量對(duì)MS進(jìn)行認(rèn)證�。 其中,在VLR向MS發(fā)送第二隨機(jī)數(shù)時(shí)����,該方法可進(jìn)一步包括選擇的VLR利用第一 隨機(jī)數(shù)以預(yù)定加密方式對(duì)HLR的身份令牌���、第二隨機(jī)數(shù)����、以及MS的臨時(shí)移動(dòng)用戶識(shí)別碼進(jìn) 行加密并發(fā)送至MS����。優(yōu)選地,預(yù)定加密方式為異或操作���。 之后�����,在HLR接收到IMSI之后�,該方法可進(jìn)一步包括HLR利用共享密鑰解密得到 MSI�����,生成多個(gè)認(rèn)證向量組,并利用共享密鑰對(duì)多個(gè)認(rèn)證向量組加密并發(fā)送至選擇的VLR ; 選擇的VLR利用共享密鑰解密得到認(rèn)證向量組���,并從中選擇一個(gè)認(rèn)證向量組發(fā)送給MS�����。
此外���,在MS首次通過認(rèn)證的情況下,該方法還可以進(jìn)一步包括MS利用其TMSI替 代頂SI����。 其中,在MS通過首次認(rèn)證后��,該方法可進(jìn)一步包括選擇的VLR產(chǎn)生新的TMSI���,用 于在MS進(jìn)行下次認(rèn)證的情況下分配給MS以替代原有的TMSI��。
優(yōu)選地����,CA可根據(jù)以下公式生成MS的公鑰
= (g_s』-麗/ -叫)"mod " 其中,PKB為MS的公鑰�;n為CA的長(zhǎng)度為1024bit以上的模數(shù);g為基元�����,且g為 整數(shù)�;d為CA的簽字私鑰;e為CA的驗(yàn)證公鑰���;SKMS為CA為用戶隨機(jī)選取的私鑰,其長(zhǎng)度為 160bit以上����;IDH為HLR的標(biāo)識(shí);MSI為MS的國(guó)際移動(dòng)用戶識(shí)別碼�。
并且,MS可根據(jù)以下公式得到中間變量
Y = N+NvXSK 其中��,y為中間變量���,NU為第一隨機(jī)數(shù)���,NMS為第二隨機(jī)數(shù)�����,SKMS為MS的私鑰���。
其中,VLR可根據(jù)以下公式對(duì)MS進(jìn)行認(rèn)證
i/[g^(尸《M/ + /MS/ + mod"]=;c 其中�����,在該公式成立的情況下�,確定MS通過認(rèn)證,否則確定MS未通過認(rèn)證����;
g為基元,且g為整數(shù)����;y為中間變量;PKMS為MS的公鑰���;IMSI為MS的國(guó)際移動(dòng)用 戶識(shí)別碼����;IDH為HLR的標(biāo)識(shí);n為CA的長(zhǎng)度為1024bit以上的模數(shù)���;x等于^ = H(gWMS mod"); H為hash運(yùn)算�。 根據(jù)本發(fā)明的另一方面�����,提供了一種身份認(rèn)證和密鑰協(xié)商系統(tǒng)����。 根據(jù)本發(fā)明的身份認(rèn)證和密鑰協(xié)商系統(tǒng)包括證書授權(quán)中心即CA、歸屬局即HLR�、
多個(gè)拜訪局即VLR��、以及隸屬于HLR的移動(dòng)站即MS的系統(tǒng)����,其中,CA用于為HLR����、多個(gè)VLR、
以及MS頒發(fā)公鑰和私鑰。 其中�����,MS用于根據(jù)公鑰廣播協(xié)議從多個(gè)VLR中選擇一個(gè)VLR�,并隨機(jī)選擇第一隨機(jī) 數(shù);利用選擇的VLR的公鑰對(duì)MS的國(guó)際移動(dòng)用戶識(shí)別碼即IMSI進(jìn)行第一加密���,并將MS的 公鑰���、HLR的標(biāo)識(shí)、第一隨機(jī)數(shù)�、以及第一加密的IMSI發(fā)送給選擇的VLR,以及利用MS的私 鑰���、第一隨機(jī)數(shù)�、選擇的VLR返回的第二隨機(jī)數(shù)構(gòu)造中間變量����; 多個(gè)VLR中的每個(gè)VLR,用于在其被MS選擇的情況下�,利用其私鑰對(duì)來自MS的第 一加密后的MSI進(jìn)行解密得到IMSI,利用VLR與HLR的共享密鑰對(duì)解密的IMSI進(jìn)行第二 加密�,將第二加密后的MSI發(fā)送至HLR��,并將生成的第二隨機(jī)數(shù)發(fā)送至MS�,以及根據(jù)MS生 成的中間變量對(duì)MS進(jìn)行認(rèn)證����; HLR用于利用共享密鑰對(duì)加密的IMSI進(jìn)行解密。 優(yōu)選地�,MS可以進(jìn)一步包括選擇模塊,用于根據(jù)公鑰廣播協(xié)議從多個(gè)VLR中選擇 所選的VLR���,并隨機(jī)選擇第一隨機(jī)數(shù)���;獲取模塊,用于獲取選擇的VLR的公鑰�����;第一加密模 塊�,用于利用選擇的VLR的公鑰進(jìn)行第一加密�����;第一發(fā)送模塊�����,用于將MS的公鑰、HLR的標(biāo) 識(shí)�����、第一隨機(jī)數(shù)�����、以及第一加密的IMSI發(fā)送給選擇的VLR ;構(gòu)造模塊��,用于利用MS的私鑰��、 第一隨機(jī)數(shù)��、選擇的VLR返回的第二隨機(jī)數(shù)構(gòu)造中間變量�����。 另外���,VLR可以進(jìn)一步包括第一解密模塊�,用于利用其所在的VLR的私鑰對(duì)第一 加密后的IMSI進(jìn)行解密得到IMSI ;第二加密模塊�����,用于利用其所在的VLR與HLR的共享密 鑰對(duì)解密的MSI進(jìn)行第二加密;第二發(fā)送模塊�����,用于將第二加密模塊加密后的IMSI發(fā)送至 HLR ;生成模塊����,用于生成第二隨機(jī)數(shù),并將第二隨機(jī)數(shù)發(fā)送至MS ;認(rèn)證模塊�,用于根據(jù)MS構(gòu) 造的中間變量對(duì)MS進(jìn)行認(rèn)證。 此外�,上述的VLR可以進(jìn)一步包括第二解密模塊,用于利用共享密鑰對(duì)第二加密 的IMSI進(jìn)行解密����。 借助本發(fā)明的上述技術(shù)方案,通過引入可信的CA來分配公鑰和私鑰�����,實(shí)現(xiàn)了基于 自驗(yàn)證公鑰的密鑰交互方法��,能夠有效解決相關(guān)技術(shù)中IMSI和TMSI明文傳輸所帶來的用 戶身份和位置信息被泄漏的安全隱患�,并且解決了由于缺乏對(duì)VLR的認(rèn)證而導(dǎo)致容易被偽 基站或中間人攻擊的問題,本發(fā)明增加了少量加解密和異或的運(yùn)算量����,有效保證了 IMSI和 TMSI傳輸?shù)陌踩裕⑶夷軌虮WC系統(tǒng)的效率不受影響�。
此處所說明的附圖用來提供對(duì)本發(fā)明的進(jìn)一步理解,構(gòu)成本申請(qǐng)的一部分�,本發(fā)明的示意性實(shí)施例及其說明用于解釋本發(fā)明,并不構(gòu)成對(duì)本發(fā)明的不當(dāng)限定�。在附圖中 圖1是相關(guān)技術(shù)中認(rèn)證中心AuC產(chǎn)生認(rèn)證向量組的示意圖; 圖2是相關(guān)技術(shù)中MS的認(rèn)證模塊中進(jìn)行的操作示意圖����; 圖3是根據(jù)本發(fā)明方法實(shí)施例的身份認(rèn)證和密鑰協(xié)商方法的流程圖; 圖4是根據(jù)本發(fā)明方法實(shí)施例的身份認(rèn)證和密鑰協(xié)商方法的詳細(xì)處理過程的信
令流程圖���; 圖5是根據(jù)本發(fā)明系統(tǒng)實(shí)施例的身份認(rèn)證和密鑰協(xié)商系統(tǒng)的框圖���。
具體實(shí)施方式
功能概述 本發(fā)明考慮到相關(guān)技術(shù)中IMSI和密鑰傳輸保密性差的問題,本發(fā)明采用公鑰廣 播協(xié)議(Public Key Broadcast Protocol-PKBP)��,在網(wǎng)絡(luò)中引入了可信的證書授權(quán)中心 (Certificate Authority, CA)對(duì)VLR和HLR生成私鑰并頒發(fā)公鑰���,借助自驗(yàn)證公鑰的身份 認(rèn)證方案有效提高了 IMSI和密鑰傳輸?shù)谋C苄浴?
方法實(shí)施例 在本實(shí)施例中�,提供了一種身份認(rèn)證和密鑰協(xié)商方法,應(yīng)用于包括CA����、 HLR、多個(gè)
VLR����、以及隸屬于HLR的MS的系統(tǒng),其中�,CA可為HLR、多個(gè)VLR�、以及MS頒發(fā)公鑰和私鑰。 如圖3所示���,根據(jù)本實(shí)施例的身份認(rèn)證和密鑰協(xié)商方法包括 步驟S302����,MS根據(jù)公鑰廣播協(xié)議從多個(gè)VLR中選擇一個(gè)VLR�,獲取該選擇的VLR的
公鑰,并選擇第一隨機(jī)數(shù)��; 步驟S304���, MS將其公鑰��、HLR的標(biāo)識(shí)����、第一隨機(jī)數(shù)�����、以及利用所選的VLR的公鑰加 密的MS的國(guó)際移動(dòng)用戶識(shí)別碼即IMSI發(fā)送給VLR ; 步驟S306����,所選的VLR利用其私鑰解密得到IMSI,利用該所選的VLR與HLR的共 享密鑰對(duì)解密的MSI加密并發(fā)送至HLR��,并且生成第二隨機(jī)數(shù)�,將第二隨機(jī)數(shù)發(fā)送給MS ;
步驟S308, MS利用其私鑰��、第一隨機(jī)數(shù)�、第二隨機(jī)數(shù)構(gòu)造中間變量,并將中間變量 發(fā)送給所選的VLR���,所選的VLR通過中間變量對(duì)MS進(jìn)行認(rèn)證��。 針對(duì)各個(gè)VLR的公鑰的獲取���,系統(tǒng)中相互臨近的VLR利用BCCH(廣播控制信道) 將認(rèn)證參數(shù)(公鑰PKv�����、網(wǎng)絡(luò)標(biāo)識(shí)IDv和模數(shù)nv)以聯(lián)合廣播的方式從BS發(fā)布�。艮卩���,各個(gè)BS 同時(shí)廣播自己及其相鄰基站歸屬的VLR的認(rèn)證參數(shù)���,最終形成一個(gè)無縫的覆蓋。
在實(shí)際情況中���,偽基站的數(shù)目遠(yuǎn)小于真實(shí)基站的數(shù)目�����,即便偽基站以很強(qiáng)的信號(hào) 廣播自己的公鑰參數(shù)�����,但其數(shù)量遠(yuǎn)小于合法BS聯(lián)合廣播的參數(shù)����。MS可在SIM卡中利用一個(gè) 較小的存儲(chǔ)區(qū)對(duì)一段時(shí)間內(nèi)收到的參數(shù)予以緩存,統(tǒng)計(jì)出現(xiàn)次數(shù)較多的參數(shù)��,再在其中選 擇對(duì)應(yīng)信號(hào)最強(qiáng)的BS接入���。如果一個(gè)參數(shù)在緩存中出現(xiàn)的次數(shù)很少��,即便其對(duì)應(yīng)的發(fā)射信 號(hào)強(qiáng)度再大MS也不考慮接入。利用此方法����,MS可抵抗偽基站攻擊,并避免驗(yàn)證VLR公鑰證 書的合法性�����,從而避免驗(yàn)證公鑰證書帶來的網(wǎng)絡(luò)擁塞�����。 并且��,在上述步驟S302之前���,CA可以根據(jù)以下公式(1)為MS產(chǎn)生公鑰PKMS : 尸K泌=—B/57 — /Z^)rf mod "公式(l) 其中��,n是CA長(zhǎng)度為1024bits以上的模數(shù)�����;g為基元���,且g G Z ;d是CA的簽字私 鑰���;e是CA的驗(yàn)證公鑰;SKB為CA對(duì)用戶隨機(jī)選取的長(zhǎng)度為160bit以上的私鑰�;將g、SKMS�����、PKB��、 IDH(歸屬地HLR的網(wǎng)絡(luò)標(biāo)識(shí)號(hào))和MSI寫入用戶的SM卡����。隨后,CA銷毀SKMS����,并在 自己的數(shù)據(jù)庫(kù)中存儲(chǔ)g��,PK���,ID?���?蛇x地,系統(tǒng)中用戶可選用相同的g(選擇相同的g并不 會(huì)影響安全性)����,且所有VLR和HLR都擁有CA的公鑰證書�。
下面將結(jié)合具體的處理實(shí)例描述本發(fā)明的處理過程。 參數(shù)說明下文中出現(xiàn)的|X|表示X的長(zhǎng)度����;A、B����、S為3個(gè)整數(shù),且滿足|B| =32�����,
S| = 160, |A| = |S| + |B|+80�。 如圖4所示,根據(jù)本發(fā)明實(shí)施例的密鑰協(xié)商方法包括以下步驟 步驟401�����, MS根據(jù)公鑰廣播協(xié)議����,選擇出合適的VLR(公鑰PKV、網(wǎng)絡(luò)標(biāo)識(shí)IDV和模
數(shù)riv); 步驟402��,MS隨機(jī)選擇NMS G
(第一隨機(jī)數(shù))���,計(jì)算^ = ^(g^ mod");(步驟
401和步驟402對(duì)應(yīng)于上述步驟S302) 步驟403�, MS發(fā)送IDH��、 PKJ (氾r II從股II "給VLR ;(步驟403對(duì)應(yīng)于上述步驟 S304) 步驟404��, VLR收到MS的消息后�,用SKV解密丑 II仏^ II",獲得頂SI和x,并 產(chǎn)生隨機(jī)數(shù)Nv G
(第二隨機(jī)數(shù))和TMSI ;
步驟405 ���, VLR發(fā)送£^ (/AflS/) , IDV給HLR ; 步驟406����, HLR收到VLR的消息后,根據(jù)IDV�����,找到與VLR之間的共享密鑰KHV����,解密 £^ (/MS7),獲得MSI,根據(jù)mSI確定與MS之間的共享密鑰K��,然后產(chǎn)生m個(gè)認(rèn)證向量組
AV(1�����,2���, . , m) ���, (AV(i) = RAND XRES CK | IK|AUTN); 步驟407�, HLR將加密后的m個(gè)認(rèn)證向量組S^ G^(l,二…,m))發(fā)送給VLR ; 步驟408�����, VLR收到HLR的消息后���,利用共享密鑰K肌解密&冊(cè)G^(1A…����,附))�����,獲得多
個(gè)認(rèn)證向量組����,然后選一認(rèn)證向量組; 步驟409�, VLR將HLR的隨機(jī)數(shù)和HLR的身份令牌RAND | |AUTN以及 Ex, (Nv| I TMSI I I MSI) —起發(fā)送給MS,其中x'為x的低128bit s����,具體的加密方法可以是 異或運(yùn)算(可以減少運(yùn)算量,保證系統(tǒng)效率)�;(步驟404和步驟409對(duì)應(yīng)于上述步驟S306)
步驟410����, MS利用x還原IMSI���, TMSI和Ny�,如果收到的IMSI與自己發(fā)送的一致��, 則保存TMSI以備下次認(rèn)證時(shí)使用�����,隨后MS根據(jù)公式(2)進(jìn)行計(jì)算�����,構(gòu)造中間變量y :
Y = N+NvXSK 公式(2); 此外����,在步驟S410中,還需要判斷SQN是否在正確范圍內(nèi)�,以及判斷MAC的正確 性�; 步驟411,MS向VLR發(fā)送消息^(Avr威)(""/ ||力�,具體的加密方法可以是異或運(yùn) 算��; 步驟412��, VLR利用Nv和TMSI還原y和IMSI�����,若IMSI與消息(1)中包含的MSI 一致���,則判斷下面的公式(3)是否成立 <formula>formula see original document page 10</formula>公式(3) 如公式(3)不成立,則中止處理過程��; 步驟413���,如果公式(3)成立����,MS通過認(rèn)證����,MS計(jì)算CK和IK,這樣MS和VLR就可以用CK和IK作為數(shù)據(jù)加密密鑰和完整性密鑰進(jìn)行通信��。(步驟410至步驟413對(duì)應(yīng)于上 述步驟S308) 并且,在首次認(rèn)證通過后�,MS可利用TMSI替代MSI,以進(jìn)一步提高系統(tǒng)的安全性�; 之后VLR再產(chǎn)生TMSI',該TMSI'可用于對(duì)MS進(jìn)行為下次認(rèn)證�����,在下次MS進(jìn)行認(rèn)證時(shí)�,MS 就可以用TMSI'代替原有的TMSI。 此外�,在步驟404中,MS通過公鑰廣播協(xié)議�����,可獲得合法VLR的參數(shù)信息(公鑰 PV網(wǎng)絡(luò)標(biāo)識(shí)IDv和模數(shù)nv)�,VLR的身份也得到了認(rèn)證,這樣就可以解決偽基站攻擊�。步驟 412中,對(duì)i/[g《尸尺肌e +/MS/ + /D ) mod"]^;c的驗(yàn)證����,實(shí)際上就是通過證書頒
發(fā)中心CA的公鑰e來認(rèn)證MS的合法性。 通過上述處理可以看出��,用戶的身份信息IMSI和TMSI等都是以加密方式傳輸?shù)?(例如在步驟403��、405����、409、411等步驟中)���,增強(qiáng)了用戶身份信息的機(jī)密性���,有效防止了用 戶身份的泄漏和針對(duì)具體用戶的DoS攻擊。并且�,在根據(jù)本發(fā)明的密鑰協(xié)商處理過程中,認(rèn) 證消息傳遞次數(shù)并未增加�,僅僅輕微增加了加解密和異或的運(yùn)算量,并且上述處理中通過 采用共享密鑰加密和異或運(yùn)算來盡可能減少運(yùn)算量�����,從而保證系統(tǒng)的效率不受影響��。
系統(tǒng)實(shí)施例 在本實(shí)施例中�,提供了一種身份認(rèn)證和密鑰協(xié)商系統(tǒng)。如圖5所示��,根據(jù)本實(shí)施例 的身份認(rèn)證和密鑰協(xié)商系統(tǒng)包括CA 10、 HLR20�、多個(gè)VLR 30、以及隸屬于HLR 20的MS 40 的系統(tǒng)��,其中��,CA IO用于為HLR 20����、多個(gè)VLR 30、以及MS 40頒發(fā)公鑰和私鑰�。
具體地,MS 40用于根據(jù)公鑰廣播協(xié)議從多個(gè)VLR 30中選擇一個(gè)VLR 30��,并隨機(jī) 選擇第一隨機(jī)數(shù)�;利用選擇的VLR 30的公鑰對(duì)MS 40的國(guó)際移動(dòng)用戶識(shí)別碼即IMSI進(jìn)行 第一加密,并將MS 40的公鑰����、HLR 20的標(biāo)識(shí)、第一隨機(jī)數(shù)���、以及第一加密的IMSI發(fā)送給選 擇的VLR 30��,以及利用MS 40的私鑰��、第一隨機(jī)數(shù)����、選擇的VLR 30返回的第二隨機(jī)數(shù)構(gòu)造中 間變量����; 多個(gè)VLR 30中的每個(gè)VLR 30,用于在其被MS 40選擇的情況下����,利用其私鑰對(duì)來 自MS 40的第一加密后的IMSI進(jìn)行解密得到IMSI,利用該所在VLR 30與HLR 20的共享密 鑰對(duì)解密的MSI進(jìn)行第二加密�����,將第二加密后的IMSI發(fā)送至HLR 20�����,并將生成的第二隨機(jī) 數(shù)發(fā)送至MS 40�,以及根據(jù)MS 40生成的中間變量對(duì)MS進(jìn)行認(rèn)證;
HLR 20用于利用共享密鑰對(duì)加密的IMSI進(jìn)行解密�。 圖5進(jìn)一步示出了 HLR 20、VLR 30���、MS 40的具體結(jié)構(gòu)��。如圖5所示�����,MS 40包括 選擇模塊42��,用于根據(jù)公鑰廣播協(xié)議從多個(gè)VLR 30中選擇一個(gè)VLR 30�,并隨機(jī)選擇第一隨 機(jī)數(shù);獲取模塊44�����,用于獲取所選的VLR的公鑰���;第一加密模塊46,用于利用選擇的VLR 30 的公鑰對(duì)MSI進(jìn)行第一加密���;第一發(fā)送模塊48���,用于將MS 40的公鑰����、HLR 20的標(biāo)識(shí)�����、第 一隨機(jī)數(shù)、以及第一加密的頂SI發(fā)送給所選的VLR 30 ;構(gòu)造模塊49�,用于利用MS 40的私 鑰、第一隨機(jī)數(shù)�����、選擇的VLR 30返回的第二隨機(jī)數(shù)構(gòu)造中間變量。 VLR 30包括第一解密模塊32����,用于利用其所在的VLR 30的私鑰對(duì)第一加密后的 MSI進(jìn)行解密得到IMSI ;第二加密模塊34,用于利用其所在的VLR 30與HLR 20的共享密 鑰對(duì)解密的IMSI進(jìn)行第二加密����;第二發(fā)送模塊36��,用于將第二加密模塊34加密后的IMSI 發(fā)送至HLR ;生成模塊38���,用于生成第二隨機(jī)數(shù),并將第二隨機(jī)數(shù)發(fā)送至MS 40 (具體地��,可 以發(fā)送至MS的構(gòu)造模塊49);認(rèn)證模塊39�,用于根據(jù)MS 40的構(gòu)造模塊49生成的中間變量對(duì)MS進(jìn)行認(rèn)證�����; HLR 20包括第二解密模塊22�����,用于利用共享密鑰對(duì)來自第二發(fā)送模塊36的加密 的IMSI進(jìn)行解密。 該系統(tǒng)中各個(gè)實(shí)體間的交互過程可以參見圖4����,這里不再重復(fù)���。 綜上所述,借助于本發(fā)明的技術(shù)方案,通過引入可信的CA來對(duì)MS�����、HLR��、VLR分配公
鑰和私鑰,實(shí)現(xiàn)了基于自驗(yàn)證公鑰的密鑰交互方法�����,能夠有效解決相關(guān)技術(shù)中IMSI和TMSI
明文傳輸所帶來的用戶身份和位置信息被泄漏的安全隱患��,并且解決了由于缺乏對(duì)VLR的
認(rèn)證而導(dǎo)致容易被偽基站或中間人攻擊的問題����,本發(fā)明增加了少量加解密和異或的運(yùn)算
量���,有效保證了 IMSI和TMSI傳輸?shù)陌踩裕⑶夷軌虮WC系統(tǒng)的效率不受影響��。 以上所述僅為本發(fā)明的優(yōu)選實(shí)施例而已���,并不用于限制本發(fā)明,對(duì)于本領(lǐng)域的技
術(shù)人員來說��,本發(fā)明可以有各種更改和變化���。凡在本發(fā)明的精神和原則之內(nèi)�,所作的任何修
改、等同替換����、改進(jìn)等��,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)���。
權(quán)利要求
一種身份認(rèn)證和密鑰協(xié)商方法�,應(yīng)用于包括證書授權(quán)中心即CA�、歸屬局即HLR、多個(gè)拜訪局即VLR��、以及隸屬于所述HLR的移動(dòng)站即MS的系統(tǒng)���,其中,所述CA用于為所述HLR���、所述多個(gè)VLR���、以及所述MS頒發(fā)公鑰和私鑰���,其特征在于,所述方法包括所述MS根據(jù)公鑰廣播協(xié)議從所述多個(gè)VLR中選擇一個(gè)VLR��,獲取選擇的所述VLR的公鑰,并選擇第一隨機(jī)數(shù)��;所述MS將其公鑰���、所述HLR的標(biāo)識(shí)、所述第一隨機(jī)數(shù)����、以及利用選擇的所述VLR的公鑰加密的所述MS的國(guó)際移動(dòng)用戶識(shí)別碼即IMSI發(fā)送給選擇的所述VLR�����;選擇的所述VLR利用其私鑰解密得到所述IMSI����,利用選擇的所述VLR與所述HLR的共享密鑰對(duì)解密的所述IMSI加密并發(fā)送至所述HLR�,并且生成第二隨機(jī)數(shù)�����,將所述第二隨機(jī)數(shù)發(fā)送給所述MS;所述MS利用其私鑰��、所述第一隨機(jī)數(shù)�����、所述第二隨機(jī)數(shù)構(gòu)造中間變量��,并將所述中間變量發(fā)送給選擇的所述VLR,選擇的所述VLR通過所述中間變量對(duì)所述MS進(jìn)行認(rèn)證��。
2. 根據(jù)權(quán)利要求1所述的方法�,其特征在于,在所述VLR向所述MS發(fā)送所述第二隨機(jī)數(shù)時(shí)��,進(jìn)一步包括選擇的所述VLR利用所述第一隨機(jī)數(shù)以預(yù)定加密方式對(duì)所述HLR的身份令牌�����、所述第二隨機(jī)數(shù)�����、以及所述MS的臨時(shí)移動(dòng)用戶識(shí)別碼進(jìn)行加密并發(fā)送至所述MS��。
3. 根據(jù)權(quán)利要求2所述的方法�,其特征在于,所述預(yù)定加密方式為異或操作�。
4. 根據(jù)權(quán)利要求1所述的方法��,其特征在于,在所述HLR接收到所述IMSI之后���,進(jìn)一步包括所述HLR利用所述共享密鑰解密得到所述IMSI��,生成多個(gè)認(rèn)證向量組���,并利用所述共享密鑰對(duì)所述多個(gè)認(rèn)證向量組加密并發(fā)送至選擇的所述VLR ;選擇的所述VLR利用所述共享密鑰解密得到所述認(rèn)證向量組,并從中選擇一個(gè)認(rèn)證向量組發(fā)送給所述MS�。
5. 根據(jù)權(quán)利要求1所述的方法,其特征在于����,在所述MS首次通過認(rèn)證的情況下,進(jìn)一步包括所述MS利用其TMSI替代所述IMSI����。
6. 根據(jù)權(quán)利要求5所述的方法,其特征在于���,在MS通過首次認(rèn)證后,進(jìn)一步包括選擇的所述VLR產(chǎn)生新的TMSI��,用于在所述MS進(jìn)行下次認(rèn)證的情況下分配給所述MS以替代原有的TMSI���。
7. 根據(jù)權(quán)利要求1至6中任一項(xiàng)所述的方法����,其特征在于,所述CA根據(jù)以下公式生成所述MS的公鑰<formula>formula see original document page 2</formula>其中���,PK為所述MS的公鑰;n為所述CA的長(zhǎng)度為1024bit以上的模數(shù)���;g為基元�,且g為整數(shù)�;d為所述CA的簽字私鑰�;e為所述CA的驗(yàn)證公鑰�;SK為所述CA為用戶隨機(jī)選取的私鑰��,其長(zhǎng)度為160bit以上�����;H^為所述HLR的標(biāo)識(shí)����;MSI為所述MS的國(guó)際移動(dòng)用戶識(shí)別碼。
8. 根據(jù)權(quán)利要求1至6中任一項(xiàng)所述的方法����,其特征在于���,所述MS根據(jù)以下公式得到所述中間變量<formula>formula see original document page 2</formula>其中,y為所述中間變量��,Nu為所述第一隨機(jī)數(shù)��,N為所述第二隨機(jī)數(shù)����,SKMS為所述MS的私鑰��。
9. 根據(jù)權(quán)利要求8所述的方法,其特征在于����,所述VLR根據(jù)以下公式對(duì)所述MS進(jìn)行認(rèn)證 <formula>formula see original document page 3</formula>其中,在該公式成立的情況下���,確定所述MS通過認(rèn)證,否則確定所述MS未通過認(rèn)證����;g為基元���,且g為整數(shù);y為所述中間變量�����;PKMS為所述MS的公鑰���;IMSI為所述MS的國(guó)際移動(dòng)用戶識(shí)別碼;H^為所述HLR的標(biāo)識(shí)���;n為所述CA的長(zhǎng)度為1024bit以上的模數(shù)�����;x等于; <formula>formula see original document page 3</formula>為hash運(yùn)算。
10. —種身份認(rèn)證和密鑰協(xié)商系統(tǒng),包括證書授權(quán)中心即CA��、歸屬局即HLR����、多個(gè)拜訪局即VLR�、以及隸屬于所述HLR的移動(dòng)站即MS的系統(tǒng)�����,其中�,所述CA用于為所述HLR�����、所述多個(gè)VLR��、以及所述MS頒發(fā)公鑰和私鑰,其特征在于����,所述MS用于根據(jù)公鑰廣播協(xié)議從所述多個(gè)VLR中選擇一個(gè)VLR����,并隨機(jī)選擇第一隨機(jī)數(shù)�����;利用選擇的所述VLR的公鑰對(duì)所述MS的國(guó)際移動(dòng)用戶識(shí)別碼即IMSI進(jìn)行第一加密���,并將所述MS的公鑰、所述HLR的標(biāo)識(shí)�����、所述第一隨機(jī)數(shù)、以及第一加密的所述IMSI發(fā)送給選擇的所述VLR,以及利用所述MS的私鑰�����、所述第一隨機(jī)數(shù)����、選擇的所述VLR返回的第二隨機(jī)數(shù)構(gòu)造中間變量��;所述多個(gè)VLR中的每個(gè)VLR����,用于在其被所述MS選擇的情況下,利用其私鑰對(duì)來自所述MS的第一加密后的IMSI進(jìn)行解密得到所述IMSI�����,利用所述VLR與所述HLR的共享密鑰對(duì)解密的所述頂SI進(jìn)行第二加密,將第二加密后的所述IMSI發(fā)送至所述HLR��,并將生成的所述第二隨機(jī)數(shù)發(fā)送至所述MS�,以及根據(jù)所述MS生成的所述中間變量對(duì)所述MS進(jìn)行認(rèn)證;所述HLR用于利用所述共享密鑰對(duì)加密的所述IMSI進(jìn)行解密�����。
11. 根據(jù)權(quán)利要求10所述的系統(tǒng)���,其特征在于�����,所述MS進(jìn)一步包括選擇模塊���,用于根據(jù)所述公鑰廣播協(xié)議從所述多個(gè)VLR中選擇所選的所述VLR�,并隨機(jī)選擇所述第一隨機(jī)數(shù)�;獲取模塊,用于獲取選擇的所述VLR的公鑰�;第一加密模塊,用于利用選擇的所述VLR的公鑰進(jìn)行所述第一加密����;第一發(fā)送模塊,用于將所述MS的公鑰����、所述HLR的標(biāo)識(shí)�、所述第一隨機(jī)數(shù)���、以及第一加密的所述MSI發(fā)送給選擇的所述VLR ;構(gòu)造模塊����,用于利用所述MS的私鑰�、所述第一隨機(jī)數(shù)、選擇的所述VLR返回的第二隨機(jī)數(shù)構(gòu)造所述中間變量�����。
12. 根據(jù)權(quán)利要求10所述的系統(tǒng)��,其特征在于����,所述VLR包括第一解密模塊�����,用于利用其所在的VLR的私鑰對(duì)第一加密后的所述IMSI進(jìn)行解密得到所述頂SI ;第二加密模塊�,用于利用其所在的VLR與所述HLR的共享密鑰對(duì)解密的所述IMSI進(jìn)行所述第二加密�����;第二發(fā)送模塊��,用于將所述第二加密模塊加密后的所述MSI發(fā)送至所述HLR ;生成模塊�,用于生成所述第二隨機(jī)數(shù)���,并將所述第二隨機(jī)數(shù)發(fā)送至所述MS ;認(rèn)證模塊���,用于根據(jù)所述MS構(gòu)造的所述中間變量對(duì)所述MS進(jìn)行認(rèn)證。
13.根據(jù)權(quán)利要求10所述的系統(tǒng)��,其特征在于�����,所述VLR包括第二解密模塊��,用于利用所述共享密鑰對(duì)第二加密的所述IMSI進(jìn)行解密���。
全文摘要
本發(fā)明公開了一種身份認(rèn)證和密鑰協(xié)商方法及系統(tǒng)�����,其中��,該方法包括MS根據(jù)公鑰廣播協(xié)議從多個(gè)VLR中選擇一個(gè)VLR�����,獲取選擇的VLR的公鑰����,并選擇第一隨機(jī)數(shù);MS將其公鑰�����、HLR的標(biāo)識(shí)���、第一隨機(jī)數(shù)��、以及利用選擇的VLR的公鑰加密的MS的國(guó)際移動(dòng)用戶識(shí)別碼即IMSI發(fā)送給選擇的VLR;選擇的VLR利用其私鑰解密得到IMSI����,利用選擇的VLR與HLR的共享密鑰對(duì)解密的IMSI加密并發(fā)送至HLR,并且生成第二隨機(jī)數(shù)��,將第二隨機(jī)數(shù)發(fā)送給MS;MS利用其私鑰�����、第一隨機(jī)數(shù)��、第二隨機(jī)數(shù)構(gòu)造中間變量�,并將中間變量發(fā)送給選擇的VLR,選擇的VLR通過中間變量對(duì)MS進(jìn)行認(rèn)證���。
文檔編號(hào)H04L9/08GK101741555SQ200810177730
公開日2010年6月16日 申請(qǐng)日期2008年11月12日 優(yōu)先權(quán)日2008年11月12日
發(fā)明者丁添添, 沈曉芹, 禹忠, 許文麗 申請(qǐng)人:中興通訊股份有限公司