專利名稱:使用擴展序列號的通信方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及使用擴展序列號的無線通信的方法和系統(tǒng)。
背景技術(shù):
涉及無線通信的安全方法和處理已在近幾年逐步發(fā)展�。具體地,2GCDMA安全發(fā)展到3G CDMA安全����,3G CDMA安全的許多相同特性現(xiàn)在被合并到如下簡要描述的MS系統(tǒng)內(nèi)。
眾所周知����,在本領(lǐng)域,2G CDMA安全涉及蜂窩認(rèn)證和語音加密(CAVE)�����。通常,在2GCDMA安全協(xié)議中���,網(wǎng)絡(luò)的歸屬位置寄存器(HLR)或認(rèn)證中心(AC)發(fā)送包括隨機數(shù)和二級密鑰的查詢(SSD)����。該查詢基于通常稱為A-key的64比特根密鑰����,其存儲在HLR或AC中�。響應(yīng)于該查詢,用戶的移動設(shè)備提供響應(yīng)(AUTHR)����。移動設(shè)備也存儲A-key。因此���,移動設(shè)備對于從查詢中提取的隨機數(shù)和二級密鑰以及A-key���,使用CAVE以準(zhǔn)備AUTHR。被傳輸回HLR的AUTHR允許HLR認(rèn)證移動設(shè)備�����。傳統(tǒng)的2G CDMA安全協(xié)議通常不提供相互認(rèn)證。由于2G CDMA安全協(xié)議在本領(lǐng)域是眾所周知的��,因此�,在此為了簡潔,不進(jìn)行更詳細(xì)的描述�。
傳統(tǒng)的3G CDMA安全協(xié)議基于認(rèn)證與密鑰協(xié)商(AKA),并提供相互認(rèn)證����,即在進(jìn)行通信之前(i)移動設(shè)備認(rèn)證網(wǎng)絡(luò)并且(ii)網(wǎng)絡(luò)認(rèn)證移動設(shè)備。眾所周知的在3G CDMA中使用的AKA安全協(xié)議是基于五元的�����。五元包括隨機數(shù)RAND�、期望響應(yīng)XRES、加密密鑰CK����、完整性密鑰IK和網(wǎng)絡(luò)認(rèn)證令牌AUTN。傳統(tǒng)的網(wǎng)絡(luò)認(rèn)證令牌AUTN基于序列號SQN����、匿名密鑰AK�、認(rèn)證管理域AMF和消息認(rèn)證碼MAC��。應(yīng)當(dāng)注意����,在傳統(tǒng)的3G CDMA安全協(xié)議中,序列號不包括移動設(shè)備的硬件標(biāo)識符�����。 圖1是說明可由網(wǎng)絡(luò)的AC執(zhí)行的創(chuàng)建傳統(tǒng)的網(wǎng)絡(luò)認(rèn)證令牌AUTN和傳統(tǒng)的消息認(rèn)證矢量AV的方法的圖�。 如圖1所示��,消息認(rèn)證碼MAC使用函數(shù)f 1處理密鑰K�、認(rèn)證管理域AMF、序列號SQN和隨機數(shù)RAND來生成�����。圖1還說明了傳統(tǒng)的認(rèn)證矢量AV的剩余分量使用函數(shù)f2-f5處理密鑰K和隨機數(shù)RAND以分別生成期望響應(yīng)XRES��、加密密鑰CK�����、完整性密鑰IK和匿名密鑰AK來創(chuàng)建。本領(lǐng)域普通技術(shù)人員可知道函數(shù)fl-f5可以是本領(lǐng)域眾所周知的各種函數(shù)�����,因此為了簡潔���,這些函數(shù)的細(xì)節(jié)在此省略��。 —旦傳統(tǒng)的認(rèn)證矢量AV由網(wǎng)絡(luò)的AC生成�����,該認(rèn)證矢量AV就被傳輸?shù)较蛴脩舻囊苿釉O(shè)備提供服務(wù)的網(wǎng)絡(luò)的服務(wù)系統(tǒng)�����。服務(wù)系統(tǒng)從認(rèn)證矢量AV中提取網(wǎng)絡(luò)認(rèn)證令牌AUTN和隨機數(shù)RAND�����,并向移動設(shè)備提供網(wǎng)絡(luò)認(rèn)證令牌AUTN和隨機數(shù)RAND���。 如上關(guān)于圖1所提到的���,AUTN包括序列號SQN、認(rèn)證管理域AMF和消息認(rèn)證碼MAC���。移動設(shè)備從網(wǎng)絡(luò)認(rèn)證令牌AUTN中提取序列號SQN和消息認(rèn)證碼MAC��,并基于序列號SQN和消息認(rèn)證碼MAC認(rèn)證網(wǎng)絡(luò)�����。 具體地�,移動設(shè)備基于存儲在移動設(shè)備中的序列號SQN�、存儲在移動設(shè)備中的密鑰K、 AMF和隨機數(shù)RAND生成它自己的消息認(rèn)證碼MAC����。然后���,將在移動設(shè)備生成的消息認(rèn)證碼MAC與從接收自服務(wù)系統(tǒng)的網(wǎng)絡(luò)認(rèn)證令牌AUTN中提取的MAC進(jìn)行比較��。進(jìn)一步地����,移動設(shè)備可確定從網(wǎng)絡(luò)認(rèn)證令牌中提取的序列號SQN是否是可接受值。例如����,移動設(shè)備可確定
4從網(wǎng)絡(luò)認(rèn)證令牌中提取的序列號是否在可接受范圍內(nèi)以驗證序列號SQN。如果移動設(shè)備成功地認(rèn)證了網(wǎng)絡(luò)�,則移動設(shè)備準(zhǔn)備響應(yīng)RES,并將該響應(yīng)RES傳輸回網(wǎng)絡(luò)的服務(wù)系統(tǒng)�����。然后���,網(wǎng)絡(luò)的服務(wù)系統(tǒng)將期望響應(yīng)XRES與該響應(yīng)RES進(jìn)行比較以認(rèn)證移動設(shè)備���,從而根據(jù)傳統(tǒng)的AKA安全協(xié)議完成相互認(rèn)證。 如果移動設(shè)備在認(rèn)證過程期間確定從網(wǎng)絡(luò)認(rèn)證令牌AUTN中提取的消息認(rèn)證碼MAC與在移動設(shè)備中生成的MAC不匹配�,則移動設(shè)備向網(wǎng)絡(luò)的服務(wù)系統(tǒng)傳輸失敗消息。進(jìn)一步地��,如果移動設(shè)備在認(rèn)證過程期間確定從網(wǎng)絡(luò)認(rèn)證令牌AUTN中提取的MAC值與移動設(shè)備所生成的MAC值匹配���,但序列號SQN在允許范圍之外�����,則移動設(shè)備向網(wǎng)絡(luò)傳輸再同步消息����。如在前面提到的,在3G CDMA中使用的AKA安全協(xié)議在本領(lǐng)域是眾所周知的���,因此����,為了簡潔����,在此不提供更多的信息。 傳統(tǒng)的MS安全協(xié)議已在本質(zhì)上合并了以上描述的關(guān)于3G CDMA的基于五元的AKA安全協(xié)議���。然而��,在IMS安全機制中���,HTTP AKA摘要位于AC和移動設(shè)備之間的中間網(wǎng)絡(luò)組件中。例如�,HTTP AKA摘要可被包括在IMS網(wǎng)絡(luò)的S-CSCF中�。HTTP AKA摘要重新配置傳統(tǒng)的認(rèn)證矢量AV以采用合適的格式來由IMS網(wǎng)絡(luò)的各種其它組件處理�����。在IMS網(wǎng)絡(luò)中普遍使用的HTTP AKA摘要和AKA安全協(xié)議的細(xì)節(jié)的更多詳情可在2006年12月出版的3GPP TS 33. 203VT.4.0標(biāo)準(zhǔn)中找到��。同樣��,為了簡潔�,傳統(tǒng)的IMS安全協(xié)議的更多詳情在此省略�。 盡管安全協(xié)議已通過從2G CDMA安全協(xié)議向3G CDMA安全協(xié)議過渡而發(fā)展,這也在傳統(tǒng)的IMS安全協(xié)議中實現(xiàn)��,但是一些用于無線通信的硬件設(shè)備還沒有被更新和/或能夠處理更高度發(fā)展的協(xié)議。例如,一些可能在用于處理2G CDMA安全協(xié)議的硬件上投資了大量時間��、研究和金錢的公司由于各種費用相關(guān)的原因已選擇不更新硬件��。例如�,一些無線設(shè)備�����,諸如移動電話��、PDA等�,只能夠從查詢中提取隨機數(shù)RAND和序列號SQN�����,如以上關(guān)于2GCDMA安全協(xié)議所討論的�����,并只能夠提供符合2G CDMA安全協(xié)議的響應(yīng)AUTHR�����。因此���, 一些傳統(tǒng)的2G CDMA硬件設(shè)備目前不能夠向MS網(wǎng)絡(luò)提供相互認(rèn)證的通信信道。
發(fā)明內(nèi)容
實施例提供了關(guān)于使用擴展序列號在移動設(shè)備和網(wǎng)絡(luò)之間建立通信的方法和裝置�����。根據(jù)實施例�����,擴展序列號包括移動設(shè)備的硬件標(biāo)識符的至少一部分�����。 —個實施例提供了由移動設(shè)備執(zhí)行的與網(wǎng)絡(luò)通信的方法���。該方法包括接收具有第一消息認(rèn)證碼和包括第一硬件標(biāo)識符和第一序列號的第一擴展序列號的網(wǎng)絡(luò)認(rèn)證令牌�;以及基于第一消息認(rèn)證碼和第一序列號��,認(rèn)證網(wǎng)絡(luò)����。由移動設(shè)備執(zhí)行的方法進(jìn)一步可包括從網(wǎng)絡(luò)認(rèn)證令牌中提取第一消息認(rèn)證碼和第一擴展序列號;基于隨機數(shù)���、第一擴展序列號和存儲在移動設(shè)備中的密鑰����,計算第二消息認(rèn)證碼�;以及分離第一擴展序列號以獲取第一硬件標(biāo)識符和第一序列號。 根據(jù)一個實施例���,認(rèn)證步驟包括比較第一消息認(rèn)證碼和第二消息認(rèn)證碼�、第一硬件標(biāo)識符和存儲在移動設(shè)備中的第二硬件標(biāo)識符����、以及第一序列號和存儲在移動設(shè)備中的第二序列號���;如果第一消息認(rèn)證碼與第二消息認(rèn)證碼匹配、第一硬件標(biāo)識符與第二硬件標(biāo)識符匹配且第一序列號大于第二序列號����,則認(rèn)證網(wǎng)絡(luò)。 根據(jù)一個實施例�����,第一硬件標(biāo)識符涉及與網(wǎng)絡(luò)的用戶相關(guān)聯(lián)的移動設(shè)備�����,第二硬
5件標(biāo)識符標(biāo)識接收網(wǎng)絡(luò)認(rèn)證令牌和隨機數(shù)的移動設(shè)備�。 根據(jù)一個實施例,由移動設(shè)備執(zhí)行的方法進(jìn)一步包括如果第一消息認(rèn)證碼與第二消息認(rèn)證碼不匹配�����、第一硬件標(biāo)識符與第二硬件標(biāo)識符不匹配���、第一序列號小于第二序列號中的至少一個成立�,則生成再同步對;以及向網(wǎng)絡(luò)傳輸再同步對����。 根據(jù)一個實施例,由移動設(shè)備執(zhí)行的方法進(jìn)一步包括重新分配第一協(xié)議再同步對的比特�,第一協(xié)議再同步對具有分配給第一協(xié)議再同步消息和第一協(xié)議序列號的每一個的預(yù)置個數(shù)的比特����;傳輸具有與第一協(xié)議再同步對相同個數(shù)的比特的第二再同步對。在重新分配步驟中被重新分配的比特被用作具有比第一協(xié)議序列號多的個數(shù)的比特的第二擴展序列號的比特��。 另一個實施例提供由網(wǎng)絡(luò)執(zhí)行的與移動設(shè)備通信的方法����。該方法包括傳輸隨機數(shù)和具有第一擴展序列號的認(rèn)證令牌,所述第一擴展序列號包括與用戶相關(guān)聯(lián)的移動設(shè)備的硬件標(biāo)識符�����;以及接收來自傳輸步驟的響應(yīng)����,該響應(yīng)是隨機數(shù)的加密轉(zhuǎn)換以及包括第二擴展序列號和再同步消息的再同步對中的至少一個。
根據(jù)一個實施例��,由網(wǎng)絡(luò)執(zhí)行的方法進(jìn)一步包括生成包括網(wǎng)絡(luò)認(rèn)證令牌的第一
認(rèn)證矢量。第一認(rèn)證矢量是隨機數(shù)����、期望響應(yīng)、加密密鑰�����、完整性密鑰和認(rèn)證令牌的級聯(lián)����。
根據(jù)一個實施例,由網(wǎng)絡(luò)執(zhí)行的方法進(jìn)一步包括將來自傳輸步驟的響應(yīng)與期望
響應(yīng)進(jìn)行比較��;如果來自傳輸步驟的響應(yīng)與期望響應(yīng)匹配���,則認(rèn)證移動設(shè)備�����。
根據(jù)一個實施例���,由網(wǎng)絡(luò)執(zhí)行的方法進(jìn)一步包括比較來自傳輸步驟的響應(yīng)與期
望響應(yīng);如果來自傳輸步驟的響應(yīng)與期望響應(yīng)不匹配�,則生成第二認(rèn)證矢量�����,其包括具有第
二擴展序列號的第二網(wǎng)絡(luò)認(rèn)證令牌�����;以及向移動設(shè)備傳輸?shù)诙J(rèn)證令牌���。
根據(jù)一個實施例,由網(wǎng)絡(luò)執(zhí)行的方法進(jìn)一步包括檢測在來自傳輸步驟的響應(yīng)中
包括的指示符��;如果指示符指示該響應(yīng)是隨機數(shù)的加密轉(zhuǎn)換并且該隨機數(shù)的密碼轉(zhuǎn)換與期
望響應(yīng)匹配���,則認(rèn)證移動設(shè)備;如果指示符指示該響應(yīng)是再同步對��,則生成第二認(rèn)證矢量�����,
其包括具有第二擴展序列號的第二網(wǎng)絡(luò)認(rèn)證令牌�����;以及向移動設(shè)備傳輸?shù)诙J(rèn)證令牌。
根據(jù)一個實施例���,由網(wǎng)絡(luò)執(zhí)行的方法進(jìn)一步包括重新分配第一協(xié)議網(wǎng)絡(luò)認(rèn)證令
牌的比特��,所述第一協(xié)議網(wǎng)絡(luò)認(rèn)證令牌具有分配給第一協(xié)議序列號和消息認(rèn)證碼的每一個
的預(yù)置個數(shù)的比特�����;以及生成包括第二協(xié)議網(wǎng)絡(luò)認(rèn)證令牌的認(rèn)證矢量�。第二協(xié)議網(wǎng)絡(luò)認(rèn)證
令牌具有與第一協(xié)議網(wǎng)絡(luò)認(rèn)證令牌相同個數(shù)的比特����,被重新分配的比特用作具有比第一協(xié)
議序列號多的個數(shù)的比特的第一擴展序列號的比特。 再一個實施例提供了在移動設(shè)備和網(wǎng)絡(luò)之間建立相互認(rèn)證的通信信道的方法�。該方法包括(a)由網(wǎng)絡(luò)生成期望響應(yīng)、隨機數(shù)以及包括第一消息認(rèn)證碼和具有與移動設(shè)備相關(guān)聯(lián)的第一硬件標(biāo)識符的第一擴展序列號的網(wǎng)絡(luò)認(rèn)證令牌����;(b)將隨機數(shù)和網(wǎng)絡(luò)認(rèn)證令牌從網(wǎng)絡(luò)傳輸?shù)揭苿釉O(shè)備;(c)在移動設(shè)備接收隨機數(shù)和網(wǎng)絡(luò)認(rèn)證令牌�;(d)基于網(wǎng)絡(luò)認(rèn)證令牌認(rèn)證網(wǎng)絡(luò);(e)將隨機數(shù)的加密轉(zhuǎn)換從移動設(shè)備傳輸?shù)骄W(wǎng)絡(luò)���;(f)如果隨機數(shù)的加密轉(zhuǎn)換與期望響應(yīng)匹配�����,則認(rèn)證移動設(shè)備��;以及(g)在移動設(shè)備和網(wǎng)絡(luò)之間建立相互認(rèn)證的信道��。 根據(jù)一個實施例��,所述網(wǎng)絡(luò)認(rèn)證步驟(d)包括從認(rèn)證令牌中提取第一消息認(rèn)證碼和第一擴展序列號����;基于隨機數(shù)、第一擴展序列號和存儲在移動設(shè)備中的密鑰���,計算第二消息認(rèn)證碼;分離第一擴展序列號以獲取第一硬件標(biāo)識符和第一序列號�;比較第一消息認(rèn)證碼和第二消息認(rèn)證碼、第一硬件標(biāo)識符和存儲在移動設(shè)備中的第二硬件標(biāo)識符�����、以及第一序列號與存儲在移動設(shè)備中的第二序列號��;如果第一消息認(rèn)證碼與第二消息認(rèn)證碼匹配�����、第一硬件標(biāo)識符與第二硬件標(biāo)識符匹配且第一序列號大于第二序列號,則認(rèn)證網(wǎng)絡(luò)��。
根據(jù)一個實施例��,建立相互認(rèn)證的信道的方法進(jìn)一步包括如果第一消息認(rèn)證碼與第二消息認(rèn)證碼不匹配�����、第一硬件標(biāo)識符與第二硬件標(biāo)識符不匹配���、第一序列號小于第二序列號中的至少一個成立��,則對移動設(shè)備和網(wǎng)絡(luò)進(jìn)行再同步���。 根據(jù)一個實施例,所述再同步步驟包括將第二硬件標(biāo)識符和第二序列號級聯(lián)以創(chuàng)建第二擴展序列號��;基于隨機數(shù)��、第二擴展序列號和存儲在移動設(shè)備中的密鑰����,計算再同步消息����;將第二擴展序列號與再同步消息組合以形成再同步對���;傳輸再同步對����;使用第二擴展序列號生成第二網(wǎng)絡(luò)認(rèn)證令牌����;重復(fù)上述步驟(b)-(f),同時用第二網(wǎng)絡(luò)認(rèn)證令牌替換網(wǎng)絡(luò)認(rèn)證令牌����。 另一個實施例提供了由移動設(shè)備執(zhí)行的與網(wǎng)絡(luò)通信的方法。該方法包括接收具有第一消息認(rèn)證碼和第一擴展序列號的網(wǎng)絡(luò)認(rèn)證令牌�,所述第一擴展序列號包括第一硬件標(biāo)識符的哈希值和第一序列號;以及基于第一消息認(rèn)證碼�����、第一硬件標(biāo)識符的哈希值和第一序列號���,認(rèn)證網(wǎng)絡(luò)��。 另一個實施例提供了一種由網(wǎng)絡(luò)執(zhí)行的與移動設(shè)備通信的方法��。該方法包括傳輸隨機數(shù)和具有第一擴展序列號的認(rèn)證令牌���,所述第一擴展序列號包括與用戶相關(guān)聯(lián)的移動設(shè)備的第一硬件標(biāo)識符的哈希值;以及接收來自所述傳輸步驟的響應(yīng)�����。該響應(yīng)是隨機數(shù)的加密轉(zhuǎn)換以及包括第二擴展序列號和再同步消息的再同步對中的至少一個��。
在此通過以下給出的詳細(xì)描述和附圖����,本發(fā)明將被更充分地理解,在附圖中��,相同的單元用相同的標(biāo)記表示�,其僅作為說明而給出,因此并不限制本發(fā)明���,其中
圖1示出可在各種傳統(tǒng)的安全協(xié)議中使用的提供傳統(tǒng)的認(rèn)證矢量和傳統(tǒng)的網(wǎng)絡(luò)認(rèn)證令牌的方法���; 圖2示出根據(jù)一個實施例的通信系統(tǒng)��;
圖3示出根據(jù)一個實施例的移動設(shè)備�; 圖4示出根據(jù)一個實施例的生成網(wǎng)絡(luò)認(rèn)證令牌和認(rèn)證矢量的方法��;
圖5示出信號流程圖的實施例����; 圖6A和6B是說明由移動設(shè)備執(zhí)行的認(rèn)證網(wǎng)絡(luò)的方法的實施例的流程 圖7是說明由網(wǎng)絡(luò)執(zhí)行的認(rèn)證移動設(shè)備的方法的實施例的流程圖。
具體實施例方式
圖2示出了包括至少一個移動站100和網(wǎng)絡(luò)20的通信系統(tǒng)10�。本領(lǐng)域的普通技術(shù)人員可知道網(wǎng)絡(luò)20不應(yīng)被限制于在圖2的實施例中示出的IP多媒體子系統(tǒng)(IMS)的縮寫部分。在圖2中�����,MS網(wǎng)絡(luò)20包括MS歸屬系統(tǒng)300����、MS訪問系統(tǒng)400和中間MS組件200。盡管中間IMS組件200在網(wǎng)絡(luò)20中僅僅示為一個模塊���,但本領(lǐng)域的普通技術(shù)人員知道中間IMS組件200可包括例如在移動設(shè)備100和IMS歸屬系統(tǒng)300和IMS訪問系統(tǒng)400之間設(shè)置的P-CSCF�、I-CSCF���、HSS和S-CSCF��。 IMS歸屬系統(tǒng)300和IMS訪問系統(tǒng)400可以彼此直接通信或者經(jīng)由中間頂S組件200通信�,以向移動設(shè)備100提供服務(wù)����。移動設(shè)備的位 置、移動設(shè)備所請求的服務(wù)的類型等可確定頂S歸屬系統(tǒng)300或者IMS訪問系統(tǒng)400是否 向移動設(shè)備100提供所請求的服務(wù)�����。 根據(jù)關(guān)于圖2描述的實施例��,MS歸屬系統(tǒng)300包括認(rèn)證中心310��。在圖2中示出 的認(rèn)證中心310的簡化版本包括存儲器312�、處理器314和收發(fā)機316。顯然����,本領(lǐng)域的普 通技術(shù)人員可知道認(rèn)證中心310比圖2所示的簡化版本更復(fù)雜,可包含一個或多個計算機 系統(tǒng)���。 圖3說明移動設(shè)備100的實施例��。如圖3所示�����,移動設(shè)備IOO包括可移動用戶識別 模塊RUIM���、存儲器120���、處理器130和收發(fā)機140。在移動設(shè)備100中包括的可移動用戶識 別模塊RUIM是傳統(tǒng)的可移動用戶識別模塊RIUM�。例如,可移動用戶識別模塊RUIM可以是 根據(jù)2G CDMA安全協(xié)議開發(fā)為功能的模塊�。同樣,可移動用戶識別模塊RUIM可存儲本領(lǐng)域 眾所周知的MIN/IMSI/TMSI�,在此為了簡潔將不進(jìn)一步討論。移動設(shè)備100的存儲器120和 處理器130可用于執(zhí)行以下關(guān)于圖5的信號流程圖和圖6的流程圖描述的方法的實施例�。
在描述根據(jù)本發(fā)明的認(rèn)證的方法的實施例之前,參考圖4說明在本方法中使用的 擴展序列號�����。 根據(jù)實施例����,移動設(shè)備100和認(rèn)證中心310提供附加的功能以解決在移動設(shè)備中 包括的傳統(tǒng)的可移動單元識別模塊RUIM IIO的不足���。移動設(shè)備100的實施例和認(rèn)證中心 310的實施例使用擴展序列號ESQN來實現(xiàn)此功能。根據(jù)一個實施例的擴展序列號ESQN是 用于所有移動設(shè)備的全球非重復(fù)序列號����。根據(jù)一個實施例���,擴展序列號ESQN包括用戶的移 動設(shè)備100的硬件標(biāo)識符和序列號SQN'的實施例����。具體地���,擴展序列號ESQN是級聯(lián)了序 列號SQN'的移動設(shè)備100的硬件標(biāo)識符����。 由于ESQN包括用戶的移動設(shè)備100的硬件標(biāo)識符����,并且每個移動設(shè)備100都具有 不同的硬件標(biāo)識符,因此�����,ESQN對于每個移動設(shè)備100是不同的。此外��,由于ESQN包括序 列號SQN'�,因此,ESQN對于每個系統(tǒng)接入可被增量��,這與序列號SQN如何在傳統(tǒng)的AKA安 全協(xié)議中被增量類似�����。不同地�,ESQN在移動設(shè)備100內(nèi)不重復(fù),并且對于可移動用戶識別 模塊RUIM被插入的每個不同的移動設(shè)備都不同�����。根據(jù)一個例子�����,ESQN包括104比特���,其中 56比特被分配給硬件標(biāo)識符��,48比特被分配給序列號SQN'的實施例��。
根據(jù)一個實施例�����,在擴展序列號ESQN中包括的序列號SQN'可例如基于由移動設(shè) 備100確定的時間或者基于計數(shù)器值���。基于時間的序列號SQN'基于例如可以是O. l秒的 時鐘值確定��,以致兩個批請求不會同時到達(dá)��?�;跁r間的序列號SQN'的一個實例包括47 比特��,其中47比特中的5比特用于排列管理����。這個序列號SQN'的例子可支持大約65年的 運行?��;谟嫈?shù)器的序列號SQN'的一個例子包括34比特�,其中假定1AKA/秒是最差情況 的速率�����、移動設(shè)備100的壽命是大約15年、使用允許交織來自不同的IMS訪問系統(tǒng)400的 請求的機制需要34比特中的5比特�����。正如這兩個例子所指出的����,序列號SQN'的比特個數(shù) 可根據(jù)MS網(wǎng)絡(luò)20和/或移動設(shè)備100的特性而變化。 圖4是說明如何在認(rèn)證中心310中使用擴展序列號ESQN以生成認(rèn)證矢量AV'的 實施例的圖��。認(rèn)證中心310的存儲器312可存儲諸如密鑰K的各種值和由認(rèn)證中心310的 處理器314使用的用f6-flO表示的各種函數(shù)以生成認(rèn)證矢量AV'�。本領(lǐng)域的普通技術(shù)人 員可知道函數(shù)f6-fl0可以是本領(lǐng)域眾所周知的各種函數(shù),因此�,為了簡潔,這些函數(shù)的細(xì)
8節(jié)在此省略�。 如圖4所示,處理器312通過用密鑰K�����、認(rèn)證消息域AMF�、擴展序列號ESQN和隨機 數(shù)RAND執(zhí)行過程f6來生成消息認(rèn)證碼MAC'值。此外��,處理器314使用過程f7基于密鑰 K和隨機數(shù)RAND生成期望響應(yīng)XRES ;利用過程f8基于密鑰K和隨機數(shù)RAND生成加密密 鑰CK ;使用過程f9基于密鑰K和隨機數(shù)RAND生成完整性密鑰IK ;使用過程f10基于密鑰 K和隨機密碼RAND生成匿名密鑰AK'。然后�����,處理器314可使用以下所示的等式(1)生成 認(rèn)證令牌AUTN'的實施例�。 AUTN' := ESQN AK' | |AMF| |直' (1) 因此,根據(jù)一個實施例的認(rèn)證矢量AV'是基于擴展序列號ESQN�����、匿名密鑰AK'�����、 認(rèn)證消息域AMF和消息認(rèn)證碼MAC'的���。 另外,處理器314基于以下所示的等式(2)計算認(rèn)證矢量AV'的實施例����。
AV' := RANDl XRES CK IK AUTN' (2) 如等式2所說明的,認(rèn)證矢量AV'的實施例可以是隨機數(shù)RAND����、期望響應(yīng)��、加密密 鑰CK�����、完整性密鑰IK和網(wǎng)絡(luò)認(rèn)證令牌AUTN'的級聯(lián)����。 圖5是說明根據(jù)一個實施例的在移動設(shè)備100����、中間MS組件200a和MS歸屬系 統(tǒng)300之間通信的信號流程圖。應(yīng)當(dāng)指出����,中間MS組件200a與在圖2中所示的中間IMS 組件200稍有不同,其在于中間IMS組件200a被認(rèn)為包括IMS訪問系統(tǒng)400��,而IMS訪問 系統(tǒng)400被認(rèn)為是以下關(guān)于圖5描述的實施例中的服務(wù)系統(tǒng)����。除了 IMS訪問系統(tǒng)400���,中間 MS組件200a還可包括例如P-CSCF�����、 I-CSCF���、 HSS和S-CSCF��。 圖5說明了移動設(shè)備100向MS歸屬系統(tǒng)300發(fā)送請求服務(wù)的服務(wù)請求(1)�����。響 應(yīng)于服務(wù)請求���,MS歸屬系統(tǒng)300生成認(rèn)證矢量AV'的實施例,正如前面關(guān)于圖4所描述 的���。 —旦MS歸屬系統(tǒng)300生成認(rèn)證矢量AV' , MS歸屬系統(tǒng)300就向中間MS組件 200a提供認(rèn)證矢量AV' (2)����。然后,中間MS組件200a處理該認(rèn)證矢量AV'以從認(rèn)證矢 量AV'中提取隨機數(shù)RAND�����、期望響應(yīng)XRES、加密密鑰CK����、完整性密鑰IK和網(wǎng)絡(luò)認(rèn)證令牌 AUTN'。中間MS組件200a從網(wǎng)絡(luò)認(rèn)證令牌AUTN'中確定擴展序列號ESQN和第一消息認(rèn) 證碼MAC'����,并存儲期望響應(yīng)XRES、加密密鑰CK和完整性密鑰IK���,用于處理從移動設(shè)備100 接收的下一個響應(yīng)���。 中間IMS組件200a向移動設(shè)備100提供網(wǎng)絡(luò)認(rèn)證令牌AUTN'和隨機數(shù)RAND (3)。 移動設(shè)備100接收并處理網(wǎng)絡(luò)認(rèn)證矢量AUTN'和隨機數(shù)RAND以認(rèn)證IMS網(wǎng)絡(luò)20����。
圖6A-6B所示的流程圖說明了由移動設(shè)備100執(zhí)行的認(rèn)證IMS網(wǎng)絡(luò)20的方法的實 施例。在圖6的步驟S100中�,移動設(shè)備100中的收發(fā)機140從中間IMS組件200a接收網(wǎng) 絡(luò)認(rèn)證令牌AUTN'和隨機數(shù)RANDN。收發(fā)機140可向處理器130提供網(wǎng)絡(luò)認(rèn)證令牌AUTN' 和隨機數(shù)RANDN����,并且/或者在存儲器120中存儲網(wǎng)絡(luò)認(rèn)證令牌AUTN'和隨機數(shù)RANDN�����,該 存儲器120可被處理器130訪問���。 在步驟S105中,移動設(shè)備100從網(wǎng)絡(luò)認(rèn)證令牌AUTN'中提取第一消息認(rèn)證碼 MAC' w��、第一擴展序列號ESQNN和認(rèn)證消息域AMF�。具體地,處理器130從網(wǎng)絡(luò)認(rèn)證令牌 AUTN'中提取第一消息認(rèn)證碼MAC' w�����、第一擴展序列號ESDNw和認(rèn)證消息域AMF��,并在移動 設(shè)備100的存儲器120中存儲第一消息認(rèn)證碼MAC',��、第一擴展序列號ESDNN和認(rèn)證消息域AMF��。 在圖6的步驟S110中���,移動設(shè)備100計算第二消息認(rèn)證碼MAC' ME。第二消息認(rèn) 證碼MAC',使用存儲在可移動單元識別模塊RUIM中的密鑰K���、從網(wǎng)絡(luò)20接收的隨機數(shù) RANDN以及在步驟S105中從網(wǎng)絡(luò)認(rèn)證令牌AUTN'中提取的第一擴展序列號ESQNN和認(rèn)證消 息域AMF進(jìn)行計算���。例如�,處理器130使用函數(shù)f6結(jié)合密鑰K�、第一擴展序列號ESQNw、隨 機數(shù)RANDN和認(rèn)證消息域AMF以生成第二消息認(rèn)證碼MAC' ME�,函數(shù)f6先前在圖4的描述 中提到。 在步驟S115中�,移動設(shè)備100確定第一消息認(rèn)證碼MAC' N是否與第二消息認(rèn)證 碼MAC' ME匹配。移動設(shè)備100的處理器130可進(jìn)行該確定��?�;谝苿釉O(shè)備100的處理器 130的確定����,處理器130可執(zhí)行步驟S120或步驟S155。具體地�,如果處理器130確定第一消 息認(rèn)證碼MAC' N與第二消息認(rèn)證碼MAC' ME匹配,則處理器130執(zhí)行步驟S120��,反之�����,如果 處理器130確定第一消息認(rèn)證碼MAC' N與第二消息認(rèn)證碼MAC' ME不匹配,則處理器執(zhí)行 步驟S155��。由于步驟S155在以下參照圖6b進(jìn)行詳細(xì)地描述��,因此���,該實施例的描述將在假 定第一消息認(rèn)證碼MAC',與第二消息認(rèn)證碼MAC' ME匹配的情況下繼續(xù)�。應(yīng)當(dāng)指出�����,根據(jù) 另一個實施例��,如果移動設(shè)備IOO確定第一消息認(rèn)證碼MAC',與第二消息認(rèn)證碼MAC' ME 不匹配�����,則失敗信號被傳輸?shù)骄W(wǎng)絡(luò)20���。此外����,由于用于計算第一消息認(rèn)證碼MAC',和第二 消息認(rèn)證碼MAC' M"勺變量除了各自的密鑰VI^和函數(shù)之外��,其它所有變量都相同�,因此, 網(wǎng)絡(luò)20和/或移動設(shè)備100的一個或多個組件已發(fā)生故障并進(jìn)而不能再同步的可能性增 加��。 在步驟S120中����,移動設(shè)備100處理從網(wǎng)絡(luò)認(rèn)證令牌AUTN'中提取的第一擴展序列 號ESQN『例如,處理器130將第一擴展序列號ESQN,分離成第一序列號SQN',和第一硬件 標(biāo)識符ID『第一硬件標(biāo)識符ID,是與IMS服務(wù)的用戶相關(guān)聯(lián)的網(wǎng)絡(luò)20的硬件標(biāo)識符���。例 如��,當(dāng)用戶注冊服務(wù)時�,用戶可向MS歸屬系統(tǒng)300的認(rèn)證中心310提供用戶的移動設(shè)備的 硬件標(biāo)識符�����,認(rèn)證中心可將該信息存儲在例如存儲于存儲器314中的用戶檔案中����。
在步驟S125中,移動設(shè)備100比較第一硬件標(biāo)識符IDN和第二硬件標(biāo)識符IDME��。 第二硬件標(biāo)識符IDME是用戶所使用的可移動單元識別模塊RUIM所插入的移動設(shè)備100的 硬件標(biāo)識符��。處理器130可從存儲器120中獲取第二硬件標(biāo)識符ID^并比較所獲取的第 二硬件標(biāo)識符ID皿和第一硬件標(biāo)識符IDN。 在步驟S130中�����,移動設(shè)備比較從第一擴展序列號ESQN,中獲取的第一序列號 SQN' w和第二序列號SQN' ME��。處理器130可從存儲器140中獲取第二序列號SQN' ME�,并 比較所獲取的第二序列號SQN'皿和第一序列號SQN' N。 在步驟S135中�,移動設(shè)備IOO確定第一硬件標(biāo)識符IDw是否與第二硬件標(biāo)識符 ID,匹配。處理器130可通過獲取在存儲器140中存儲的值來確定第一硬件標(biāo)識符IDN是 否與第二硬件標(biāo)識符ID,匹配��。例如��,如果步驟S135指示第一硬件標(biāo)識符IDN與第二硬件 標(biāo)識符IDME匹配�,則1可被存儲在存儲器120中,如果第一硬件標(biāo)識符IDN與第二硬件標(biāo)識 符IDME不匹配�����,則0可被存儲在存儲器140中��。如果處理器130確定第一硬件標(biāo)識符IDN與 第二硬件標(biāo)識符IDME匹配���,則處理器130執(zhí)行步驟S140��,而如果處理器130確定第一硬件 標(biāo)識符IDN與第二硬件標(biāo)識符IDME不匹配����,則處理器執(zhí)行步驟S155�����。該實施例的描述將在 假定第一硬件標(biāo)識符IDN與第二硬件標(biāo)識符IDME匹配的情況下繼續(xù)�����。
10
在圖6B的步驟S140中�����,移動設(shè)備100確定從第一擴展序列號ESQNN中獲取的第一 序列號SQN',是否大于第二序列號SQN'『第二序列號SQN',被存儲在移動設(shè)備100 的存儲器120中�����,并如前面討論的��,可以基于時間或者計數(shù)器值�。如果第一序列號SQN',大 于存儲在存儲器120中的第二序列號SQN' me,則處理器130確定第一序列號SQN',是有效 的序列號����。此外����,如果第一序列號SQN',小于存儲在存儲器120中的第二序列號SQN' ME���, 則處理器130確定第一序列號SQN' w是無效的序列號����。如果第一序列號SQN',被確定為 是有效的序列號�����,則第一序列號SQN',可被處理器130存儲在存儲器120中���,并在下一次 網(wǎng)絡(luò)認(rèn)證令牌AUTN'和隨機數(shù)RANDN從中間MS組件200a接收到時在過程中用作第二序 列號SQN' me����。 如圖6B所示�����,如果移動設(shè)備100確定第一序列號SQN' N是有效的序列號,則移動 設(shè)備100執(zhí)行步驟S145����。在步驟S145中,移動設(shè)備100生成響應(yīng)消息RES�。例如,處理器 130通過使用函數(shù)f7結(jié)合從中間MS組件200a接收的隨機數(shù)RANDN和存儲在可移動單元 識別模塊RUIM中的密鑰KME來生成響應(yīng)消息RES�����。函數(shù)f7先前參照圖4被提到�����。
在步驟S150中���,移動設(shè)備100向IMS網(wǎng)絡(luò)20傳輸響應(yīng)消息RES。例如�����,收發(fā)機140 向IMS網(wǎng)絡(luò)20的中間MS組件200a傳輸響應(yīng)消息RES��。 如圖6A和6B所示�����,如果移動設(shè)備100確定(i)第一消息認(rèn)證碼MAC' N與第二 消息認(rèn)證碼MAC',不匹配;(ii)第一硬件標(biāo)識符IDN與第二硬件標(biāo)識符ID,不匹配�����;和 (iii)第一序列號SQN',不大于第二序列號SQN' ME中的至少一個成立����,則移動設(shè)備100 執(zhí)行步驟SI55。 例如��,當(dāng)可移動單元識別模塊RIUM從第一移動設(shè)備中移除并放入與第一移動設(shè) 備不同的第二移動設(shè)備中時�����,條件(ii)被滿足��。由于第一移動設(shè)備和第二移動設(shè)備的硬件 標(biāo)識符不同��,因此����,網(wǎng)絡(luò)20會使用第一移動設(shè)備的硬件標(biāo)識符ID,,第一移動設(shè)備可能是用 戶首次注冊IMS服務(wù)時所使用的移動設(shè)備�����,而第二移動設(shè)備所使用的硬件標(biāo)識符IDme是包 括可移動單元識別模塊RUIM的第二移動設(shè)備的硬件標(biāo)識符。 仍然參照圖6B���,在步驟S155中����,移動設(shè)備100生成包括再同步消息MACS和第二擴 展序列號ESQN肥的再同步對(MACS, ESQNME)�。再同步消息MACS以與第二消息認(rèn)證碼MAC' ME 相同的方式計算。然而�����,再同步消息MACS包括第二擴展序列號ESQN^而不是從網(wǎng)絡(luò)認(rèn)證 令牌AUTN'中獲取的第一擴展序列號ESQN『為了生成再同步消息MACS,移動設(shè)備100的 處理器130使用與用于計算第一消息認(rèn)證碼MAC' N和第二消息認(rèn)證碼MAC',的函數(shù)f6 不同的函數(shù)f6*結(jié)合第二擴展序列號ESQNME和隨機數(shù)RANDN以及認(rèn)證管理域AMF���。
在圖6B的步驟S160中,移動設(shè)備100向IMS網(wǎng)絡(luò)20傳輸所生成的再同步對 (MACS, ESQN,)�。例如,移動設(shè)備100的收發(fā)機140向IMS網(wǎng)絡(luò)20的中間IMS組件200a傳 輸包括再同步消息MACS和第二擴展序列號ESQN,的再同步對(MACS, ESQNME)�����。
返回參照圖5�����,響應(yīng)從移動設(shè)備100傳輸?shù)絀MS網(wǎng)絡(luò)20的中間IMS組件200a(4)。 根據(jù)一個實施例���,響應(yīng)或者是在圖6B的步驟S145生成的響應(yīng)消息RES���,或者是在圖6B的步 驟S155中生成的再同步對(MACS, ESQNJ 。 圖7是說明由IMS網(wǎng)絡(luò)20執(zhí)行的方法的實施例的流程圖�����。在圖7的步驟S200中�����, IMS網(wǎng)絡(luò)20接收移動設(shè)備100所傳輸?shù)捻憫?yīng)����。例如,中間MS組件200接收移動設(shè)備100 的收發(fā)機140所傳輸?shù)捻憫?yīng)����。
在圖7的步驟S210中,MS網(wǎng)絡(luò)20比較所接收的響應(yīng)和先前從認(rèn)證矢量AV'中 獲取的期望響應(yīng)XRES�����。例如,中間MS組件200a將所接收的響應(yīng)RES與先前從MS歸屬系 統(tǒng)300所提供的認(rèn)證矢量AV'中提取的期望響應(yīng)XRES進(jìn)行比較��。應(yīng)當(dāng)指出�����,雖然步驟S210 說明了實際比較所接收的響應(yīng)和期望響應(yīng)XRES�����,但可選的實施例檢測在所接收的響應(yīng)中 包括的指示符����,并根據(jù)該指示符確定所接收的響應(yīng)是響應(yīng)消息RES還是再同步對(MACS, ESQN肥)。 假定MS網(wǎng)絡(luò)20執(zhí)行圖7說明的步驟S220��,所接收的響應(yīng)與期望響應(yīng)XRES匹配��。 如果所接收的響應(yīng)是響應(yīng)消息RES���,則所接收的響應(yīng)可與期望響應(yīng)XRES匹配。在步驟S220 中��,中間MS組件200a在移動設(shè)備100和IMS服務(wù)系統(tǒng)所提供的各種服務(wù)可被提供的網(wǎng)絡(luò) 20之間建立相互認(rèn)證的通信信道。MS服務(wù)系統(tǒng)可以是MS歸屬系統(tǒng)300或MS訪問系統(tǒng) 400�����。然而����,如前面所提到的,本實施例中的服務(wù)系統(tǒng)被認(rèn)為是在中間IMS組件200a中包括 的MS訪問系統(tǒng)400����。在圖5中用(5a)表示相互認(rèn)證的通信信道的建立。在相互認(rèn)證的通 信信道上提供安全通信��,至少一部分是由于移動設(shè)備100和網(wǎng)絡(luò)20都擁有加密密鑰CK和 完整性密鑰IK����。 可選地,當(dāng)所接收的響應(yīng)與期望響應(yīng)XRES不匹配時����,MS網(wǎng)絡(luò)20執(zhí)行步驟S230。 例如���,如果所接收的響應(yīng)是再同步對(MACS, ESQNJ �����,則MS網(wǎng)絡(luò)20的中間MS組件200a 將確定所接收的響應(yīng)與期望響應(yīng)XRES不匹配�����。 在步驟230中�����,IMS網(wǎng)絡(luò)20基于在再同步對(MACS, ESQNME)中包括的第二擴展序 列號ESQNME�,計算另一個認(rèn)證矢量AV"。例如����,返回參照圖5,中間MS組件200a向MS歸 屬系統(tǒng)300傳輸再同步對(MACS, ESQD以及認(rèn)證管理域AMF和隨機數(shù)RANDN(5b) �。 MS歸 屬系統(tǒng)300從再同步對(MACS,ESQNME)中提取第二擴展序列號ESQN^并使用隨機數(shù)RANDN�����、 認(rèn)證管理域AMF和密鑰K,以生成認(rèn)證矢量AV〃 ����,正如先前關(guān)于圖4所描述的。那么����,前面 在圖5的信號圖和圖6A、圖6B和圖7的流程圖中說明的步驟在需要時被重復(fù)���。
如上所述����,這些實施例使用擴展序列號ESQN以在MS歸屬系統(tǒng)300和/或訪問 MS系統(tǒng)400之間建立相互認(rèn)證的信道�。另夕卜,擴展序列號ESQN可以是與序列號SQN級聯(lián) 的硬件標(biāo)識符���。因此���,如果硬件標(biāo)識符是56比特,則擴展序列號ESQN比傳統(tǒng)的序列號長56 比特����。 因此,以下描述的補充實施例針對補償ESQN的增加的長度���。 返回參照圖5����,信號(3)表明中間MS組件200a向移動設(shè)備100傳輸認(rèn)證令牌 AUTN'和隨機數(shù)RAND。在以下的實施例中���,假定中間MS組件200a具有有限個數(shù)的比特���, 這些比特可被傳輸?shù)揭苿釉O(shè)備100。有限個數(shù)的比特對應(yīng)于在傳統(tǒng)方法中使用的傳輸隨機 數(shù)RAND和認(rèn)證令牌AUTN所需要的個數(shù)的比特����,傳統(tǒng)方法諸如在本說明書的背景部分中描 述的MS安全協(xié)議。例如�,假定有限個數(shù)的比特是200比特,其中的80比特被分配給隨機 數(shù)RAND��,而剩余的120比特被分配給認(rèn)證令牌AUTN�����。在該例中�,認(rèn)證令牌的120比特如下 分配48比特被分配給傳統(tǒng)的序列號SQN(或用匿名密鑰AK進(jìn)行掩碼的序列號SQN) , 16比 特被分配給AMF�����, 56比特被分配給消息認(rèn)證碼MAC����。 基于以上的假定,為了使中間MS組件200a根據(jù)參考圖5��、圖6A�����、圖6B和圖7描 述的實施例執(zhí)行�����,移動設(shè)備100和認(rèn)證中心310重新分配有限個數(shù)的比特����,以致硬件標(biāo)識符 的比特可被包括在傳輸中。此外����,假設(shè)硬件標(biāo)識符是56比特,因此���,200比特中的56比特����,即有限個數(shù)的比特,必須被重新分配��。 在重新分配比特的例子中�����,認(rèn)證中心只包括認(rèn)證矢量AV'的實施例中的34比特 序列號SQN' N����,而不是初始分配給序列號SQN的48比特,從而對硬件標(biāo)識符IDN重新分配 了 14比特��。此外�,認(rèn)證中心310可只包括認(rèn)證矢量AV'的實施例中的38比特隨機數(shù)RAND, 而不是初始分配給序列號SQN的80比特���,從而對硬件標(biāo)識符IDN重新分配42比特�。因此��, 通過減少序列號SQN的比特14比特并減少隨機數(shù)的比特42比特����,56比特被認(rèn)證中心310 重新分配給硬件標(biāo)識符IDN����。 在重新分配比特的另一個例子中�,移動設(shè)備IOO可重新分配被分配給在傳統(tǒng)的 IMS安全協(xié)議中使用的傳統(tǒng)的再同步消息的比特����,以調(diào)節(jié)在包括在本發(fā)明的實施例的再同 步對(MACS, ESQNJ中的第二擴展序列號ESQN,中包括的硬件標(biāo)識符IDME的比特。
在再一個實施例中�,假定中間IMS組件200a具有可被傳輸?shù)揭苿釉O(shè)備100的有限 個數(shù)的比特,包括在網(wǎng)絡(luò)認(rèn)證矢量AV'中的第一擴展序列號ESQN,包括第一硬件標(biāo)識符的 哈希值��。返回參照圖6A的步驟S120��,移動設(shè)備100處理從網(wǎng)絡(luò)認(rèn)證令牌AUTN'中提取的 第一擴展序列號ESQNN�。如果第一擴展序列號ESQNN包括第一硬件標(biāo)識符IDN的哈希值而不 是第一硬件標(biāo)識符ID,,則處理器130將第一擴展序列號ESQN,分離成第一序列號SQN',和 第一硬件標(biāo)識符IDN的哈希值��。然后��,處理器從移動設(shè)備100的存儲器120中獲取第二硬 件標(biāo)識符IDME���,使用網(wǎng)絡(luò)20所使用的相同的哈希函數(shù)處理第二硬件標(biāo)識符IDME��,以對第一硬 件標(biāo)識符IDN進(jìn)行哈希處理����,并比較移動設(shè)備100所生成的第二標(biāo)識符IDME的哈希值和由 網(wǎng)絡(luò)20提供的第一硬件標(biāo)識符IDN的哈希值。 因此�����,顯然����,上述的發(fā)明可以以很多方式進(jìn)行變化。這些變形不應(yīng)被認(rèn)為超出本發(fā) 明的精神和范圍�,正如對于本領(lǐng)域的普通技術(shù)人員是顯而易見的,所有這些修正將包含在 本發(fā)明的范圍之中����。
權(quán)利要求
一種由移動設(shè)備執(zhí)行的與網(wǎng)絡(luò)通信的方法,包括接收網(wǎng)絡(luò)認(rèn)證令牌和隨機數(shù)�����,所述網(wǎng)絡(luò)認(rèn)證令牌包括第一消息認(rèn)證碼以及包含第一硬件標(biāo)識符和第一序列號的第一擴展序列號�;以及基于所述第一消息認(rèn)證碼、所述第一硬件標(biāo)識符和所述第一序列號�����,認(rèn)證所述網(wǎng)絡(luò)。
2. 如權(quán)利要求1所述的方法���,進(jìn)一步包括從所述網(wǎng)絡(luò)認(rèn)證令牌中提取所述第一消息認(rèn)證碼和所述第一擴展序列號��; 基于所述隨機數(shù)�、所述第一擴展序列號和存儲在所述移動設(shè)備中的密鑰�����,計算第二消 息認(rèn)證碼����;以及處理所述第一擴展序列號以獲取所述第一硬件標(biāo)識符和第一序列號����。
3. 如權(quán)利要求2所述的方法,所述認(rèn)證步驟包括比較所述第一消息認(rèn)證碼和所述第二消息認(rèn)證碼�、所述第一硬件標(biāo)識符和存儲在所述 移動設(shè)備中的第二硬件標(biāo)識符、以及所述第一序列號和存儲在所述移動設(shè)備中的第二序列 號��;以及如果所述第一消息認(rèn)證碼與所述第二消息認(rèn)證碼匹配��、所述第一硬件標(biāo)識符與所述第 二硬件標(biāo)識符匹配且所述第一序列號大于所述第二序列號,則認(rèn)證所述網(wǎng)絡(luò)�����。
4. 如權(quán)利要求3所述的方法�����,其中��,所述第一硬件標(biāo)識符涉及與所述網(wǎng)絡(luò)的用戶相關(guān) 聯(lián)的移動設(shè)備��,所述第二硬件標(biāo)識符標(biāo)識接收所述網(wǎng)絡(luò)認(rèn)證令牌和隨機數(shù)的移動設(shè)備��。
5. 如權(quán)利要求1所述的方法���,進(jìn)一步包括獲取存儲在插入所述移動設(shè)備內(nèi)的可移動單元識別模塊中的密鑰�; 使用所獲取的密鑰執(zhí)行所述隨機數(shù)的加密轉(zhuǎn)換��;以及如果所述認(rèn)證步驟認(rèn)證所述網(wǎng)絡(luò)���,則傳輸所述隨機數(shù)的加密轉(zhuǎn)換作為響應(yīng)�。
6. 如權(quán)利要求3所述的方法�����,進(jìn)一步包括如果所述第一消息認(rèn)證碼與所述第二消息認(rèn)證碼不匹配、所述第一硬件標(biāo)識符和所述 第二硬件標(biāo)識符不匹配�、以及所述第一序列號小于所述第二序列號中的至少一個成立,則 生成再同步對�����;以及向所述網(wǎng)絡(luò)傳輸所述再同步對���。
7. 如權(quán)利要求6所述的方法���,進(jìn)一步包括重新分配第一協(xié)議再同步對的比特,所述第一協(xié)議再同步對具有分配給第一協(xié)議再同 步消息和第一協(xié)議序列號的每一個的預(yù)置個數(shù)的比特��;傳輸具有與所述第一協(xié)議再同步對相同個數(shù)的比特的第二再同步對����,在所述重新分配 步驟中被重新分配的比特用作具有比所述第一協(xié)議序列號多的個數(shù)的比特的第二擴展序 列號的比特����。
8. —種由網(wǎng)絡(luò)執(zhí)行的與移動設(shè)備通信的方法,包括生成包括網(wǎng)絡(luò)認(rèn)證令牌的第一認(rèn)證矢量����,所述第一認(rèn)證矢量是隨機數(shù)��、期望響應(yīng)���、加密 密鑰、完整性密鑰和認(rèn)證令牌的級聯(lián)��;向所述移動設(shè)備傳輸隨機數(shù)和認(rèn)證令牌��,所述認(rèn)證令牌包括第一擴展序列號��,所述第 一擴展序列號包括與用戶相關(guān)聯(lián)的移動設(shè)備的硬件標(biāo)識符��;接收來自所述傳輸步驟的響應(yīng)��,所述響應(yīng)是所述隨機數(shù)的加密轉(zhuǎn)換以及包括第二擴展 序列號和再同步消息的再同步對中的至少一個���;將來自所述傳輸步驟的響應(yīng)與所述期望響應(yīng)進(jìn)行比較��;以及如果來自所述傳輸步驟的響應(yīng)與所述期望響應(yīng)匹配�����,則認(rèn)證所述移動設(shè)備��。
9. 如權(quán)利要求8所述的方法��,進(jìn)一步包括如果來自所述傳輸步驟的響應(yīng)與所述期望響應(yīng)不匹配��,則生成第二認(rèn)證矢量�,所述第 二認(rèn)證矢量包括具有所述第二擴展序列號的第二網(wǎng)絡(luò)認(rèn)證令牌;以及 向所述移動設(shè)備傳輸所述第二認(rèn)證令牌��。
10. 如權(quán)利要求8所述的方法�,進(jìn)一步包括重新分配第一協(xié)議網(wǎng)絡(luò)認(rèn)證令牌的比特,所述第一協(xié)議網(wǎng)絡(luò)認(rèn)證令牌具有分配給第一 協(xié)議序列號����、認(rèn)證消息域和消息認(rèn)證碼的每一個的預(yù)置個數(shù)的比特;生成包括第二協(xié)議網(wǎng)絡(luò)認(rèn)證令牌的認(rèn)證矢量����,所述第二協(xié)議網(wǎng)絡(luò)認(rèn)證令牌具有與所述 第一協(xié)議網(wǎng)絡(luò)認(rèn)證令牌相同個數(shù)的比特,被重新分配的比特用作具有比所述第一協(xié)議序列 號多的個數(shù)的比特的第一擴展序列號的比特��;以及所述傳輸步驟將所述第二協(xié)議網(wǎng)絡(luò)認(rèn)證令牌作為所述網(wǎng)絡(luò)認(rèn)證令牌傳輸��。
全文摘要
描述了一種移動設(shè)備(100)與網(wǎng)絡(luò)(20)通信的方法��。所述方法包括接收具有第一消息認(rèn)證碼(MAC)���、認(rèn)證消息域(AMF)以及包括第一硬件標(biāo)識符和第一序列號的第一擴展序列號(ESQN)的網(wǎng)絡(luò)認(rèn)證令牌(AUTN)�����;以及基于第一消息認(rèn)證碼���、第一硬件標(biāo)識符和第一序列號認(rèn)證網(wǎng)絡(luò)。
文檔編號H04W12/06GK101785277SQ200880104372
公開日2010年7月21日 申請日期2008年8月13日 優(yōu)先權(quán)日2007年8月27日
發(fā)明者S·帕特爾, 王志必 申請人:朗訊科技公司