CN100388850C - 数字蜂窝移动通信***用户切换时的双向鉴别方法 - Google Patents
数字蜂窝移动通信***用户切换时的双向鉴别方法 Download PDFInfo
- Publication number
- CN100388850C CN100388850C CNB2003101040493A CN200310104049A CN100388850C CN 100388850 C CN100388850 C CN 100388850C CN B2003101040493 A CNB2003101040493 A CN B2003101040493A CN 200310104049 A CN200310104049 A CN 200310104049A CN 100388850 C CN100388850 C CN 100388850C
- Authority
- CN
- China
- Prior art keywords
- base station
- mobile subscriber
- user
- new
- resh
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Abstract
本发明公开了一种数字蜂窝移动通信***用户切换时的双向鉴别方法,包括移动用户在同一基站不同扇区间正常切换的完整双向鉴别方法及紧急切换的简单双向鉴别方法,同一动态域内不同基站间正常切换的完整双向鉴别方法及紧急切换时的简单双向鉴别方法,优点是通过用户在切换时网络与移动用户之间的双向鉴别,实现了用户切换时的安全通信,有效地保证了用户与网络运营商双方的利益。
Description
技术领域
本发明涉及在数字蜂窝移动通信***中,使用的一种在用户移动切换时自动对用户和基站身份进行双向鉴别的方法。
背景技术
在第二代和第三代数字蜂窝移动通信***中,注册时采用的鉴别机制一般都是单向的,即只支持网络***对用户的鉴别,不支持用户对网络***的鉴别,这样用户可能会受到假冒基站的攻击。而且,目前的数字蜂窝移动通信***在用户切换时,均未提供切换鉴别机制。因此,在切换时无论对用户还是对网络都存在着较大的安全漏洞,使双方利益未得到有效地保护。
发明内容
本发明的目的在于:解决数字蜂窝移动通信***在用户入网注册及基站间切换时,用户和网络之间的双向鉴别问题,提供一种用户切换时能确保用户与网络安全通信的双向鉴别方法。
本发明的目的是通过建立下述切换条件及实施下述鉴别方法来实现的:
实施切换的条件是:用户与基站间通过基站控制的扇区建立无线链路,基站之间通过AAA服务器建立有线链路;通信鉴别所用的会话密钥SK,切换鉴权算法NT-A3、TN-A3已存于用户端和基站端,NT-A3代表网络对移动终端的鉴权算法,TN-A3代表移动终端对网络的鉴权算法。
数字蜂窝移动通信***用户切换的双向鉴别方法,包括有:(A)移动用户在同一基站管辖内不同扇区间移动时发生正常切换的完整双向鉴别方法;及(B)紧急切换的简单双向鉴别方法;(C)移动用户发生在同一动态域内不同基站间移动时发生正常切换的完整双向鉴别方法;及(D)紧急切换的简单双向鉴别方法;其中:
(A)移动用户在同一基站管辖内的不同扇区间移动时,发生正常切换的完整双向鉴别方法,按如下步骤进行:
用户通过旧扇区向基站发送进入新扇区的双向鉴别切换请求,请求报文是加密的,同时用户产生一个鉴别随机数RANDH’,将其连同报文一同发送至基站;
基站通过旧扇区向移动用户发送双向鉴别切换响应报文,并将利用用户鉴别随机数RANDH,会话密钥SK,网络对移动终端的鉴权算法NT-A3计算出的用户鉴别应答RESH,连同网络产生的网络鉴别随机数RANDH’一起发向移动用户,移动用户将收到的用户鉴别应答RESH,与自己通过用户鉴别随机数RANDH,会话密钥SK,网络对移动终端的鉴权算法NT-A3计算出的用户期望鉴别应答XRESH进行比较,完成对新扇区的鉴别,若一致则该扇区为真,否则为假;
移动用户将用网络鉴别随机数RANDH’,SK,NT-A3计算出的网络鉴别应答RESH’连同切换成功报告,通过新扇区发向基站,基站收到后将其与自己计算出的网络期望鉴别应答XRESH’进行比较,完成对移动用户的鉴别,若一致则该用户为真,可以开通移动用户通过新扇区的合法通信。
(B)移动用户在同一基站内不同扇区间移动时,发生紧急切换的简单双向鉴别方法,按下述步骤进行:
移动用户通过新扇区直接向基站发出紧急切换报告,同时连同将自己保存的注册时由基站算出的用户鉴别应答RESH发至基站,基站收到后,将RESH与自己保存的注册时用户算出的用户期望鉴别应答XRESH进行比较;
(C)移动用户在同一动态域内不同基站间移动时,发生正常切换的完整双向鉴别方法,按下述步骤进行:
移动用户通过旧扇区向旧基站发起基站间切换请求,同时将用户鉴别随机数RANDH一同发至旧基站;
新基站通过新扇区向移动用户发送正常切换响应,同时将利用用户鉴别随机数RANDH、SK及NT-A3算出的用户鉴别应答RESH,以及本基站产生的随机数RANDH’一起发至移动用户:
移动用户将收到的用户鉴别应答RESH与自己用RANDH、SK及NT-A3算出的用户期望鉴别应答RESH进行比较,结果如果一致则完成对新扇区的鉴别,移动用户将正常切换完成报告,及用RANDH’、SK、TN-A3算出的网络鉴别应答RESH’通过新扇区发至新基站,新基站收到后将其与自己计算出的网络期望鉴别应答XRESH’进行比较,完成对移动用户的鉴别,若一致则该用户为真,可以开通移动用户通过新扇区的合法通信。
(D)移动用户在同一动态域内不同基站间移动时,发生紧急切换的简单双向鉴别方法,按下述步骤进行:
新基站将加密参数传给新扇区;
本发明的优点在于:由于解决了数字蜂窝移动通信***中,用户在切换时网络与用户之间的双向鉴别和授权问题,实现了用户切换时的安全通信,有效地保证了用户与网络营运商双方的利益。
附图说明
图1为正常切换时同一基站内的双向鉴别过程示意图
图2为紧急切换时同一基站内的双向鉴别过程示意图
图3为正常切换时同一动态域内不同基站间的完整双向鉴别过程示意图
图4为紧急切换时同一动态域内不同基站间的简单双向鉴别过程示意图
图5为移动通信***网络图
具体实施方式
数字蜂窝移动通信***用户切换时的双向鉴别方法,是通过鉴别软件的执行来实现的,该鉴别软件分别存储于通信双方的两端,具体的物理存储位置是:移动用户如手机存于SIM卡内,基站端的鉴别软件存于基站控制器内。双方中任意一方都可以发起双向鉴别请求,切换时的双向鉴别过程在手机与基站控制器和AAA服务器之间快速自动完成。
如果用户携手机从同一基站的一个工作扇区移至另一扇区时,手机SIM卡中的本发明切换双向鉴别软件与基站控制器中的本发明双向鉴别软件就会快速执行本发明的切换鉴别程序,自动完成切换鉴别过程而不影响正常通信。
下面结合图1、图2说明用户携手机从同一基站的一个工作扇区移至另一扇区时,在移动用户手机与基站间切换的双向鉴别安全通信过程。
图1给出了正常切换时在同一个基站内,移动手机用户从一个工作扇区移至另一扇区时,所携手机与基站间发生的双向鉴别安全通信过程:
图1中标记表示:基站通过旧扇区向移动用户手机发送双向鉴别切换响应报文,并将利用用户鉴别随机数RANDH,会话密钥SK,网络对移动终端的鉴权算法NT-A3计算出的用户鉴别应答RESH,连同网络产生的网络鉴别随机数RANDH’一起发向移动用户手机,移动用户手机将收到的用户鉴别应答RESH,与自己通过用户鉴别随机数RANDH,会话密钥SK,网络对移动终端的鉴权算法NT-A3计算出的用户期望鉴别应答XRESH进行比较,完成对新扇区的鉴别,若比较结果一致则该扇区为真,否则为假;
图1中标记表示:移动用户手机将用网络鉴别随机数RANDH’,SK,NT-A3计算出的网络鉴别应答RESH’连同切换成功报告,通过新扇区发向基站,基站收到后将其与自己计算出的网络期望鉴别应答XRESH’进行比较,完成对移动用户手机的鉴别,若比较结果一致则该用户为真,可以开通移动用户通过新扇区的合法通信。
图2给出了紧急切换时在同一基站内,移动手机用户从一个工作扇区移至另一扇区时,所携手机与基站间发生的简单双向鉴别安全通信过程:
图2中标记表示:移动用户手机通过新扇区直接向基站发出紧急切换报告,同时连同将自己保存的注册时由基站算出的用户鉴别应答RESH发至基站,基站收到后,将RESH与自己保存的注册时用户算出的用户期望鉴别应答XRESH进行比较;
图2中标记表示:如果RESH与XRESH比较结果一致,则基站将移动用户手机的空中数据工作密钥WK及加密算法等加密参数下传给新扇区,并同时将保存的注册时用户算出的网络鉴别应答RESH’发送给移动用户手机;
图3给出了移动用户在同一动态域内不同基站间移动时,移动用户手机与基站间发生正常切换的双向鉴别安全通信过程:
图3中标记表示:旧基站将收到的随机数RANDH发至新基站,新基站向移动用户手机的注册基站发起身份认证,注册基站在归宿服务器AAA处进行身份认证,认证成功则注册基站将WK、SK、加密算法等加密参数下发到新基站;
图3中标记表示:新基站通过新扇区向移动用户手机发送正常切换响应,同时将利用用户鉴别随机数RANDH、SK及NT-A3算出的用户鉴别应答RESH,以及本基站产生的随机数RANDH’一起发至移动用户手机;
图3中标记表示:移动用户手机将收到的用户鉴别应答RESH与自己用RANDH、SK及NT-A3算出的用户期望鉴别应答RESH进行比较,结果如果一致则完成对新扇区的鉴别,移动用户手机将正常切换完成报告,及用RANDH’、SK、TN-A3算出的网络鉴别应答RESH’通过新扇区发至新基站,新基站收到后将其与自己计算出的网络期望鉴别应答XRESH’进行比较,完成对移动用户手机的鉴别,若比较结果一致则该用户为真,可以开通移动用户通过新扇区的合法通信。
图4给出了移动用户在同一动态域内不同基站间移动时,移动用户手机与基站间发生紧急切换的双向鉴别安全通信过程:
图4中标记表示:移动用户手机通过新基站向注册基站发送紧急切换请求,同时连同自己保存的注册时对方鉴别应答RESH也发至注册基站;
图4中标记表示:注册基站收到后,将RESH与自己保存的注册时用户期望鉴别应答XRESH进行比较,结果如果一致,则将旧基站包括WK、SK、加密算法的加密参数,及注册随机数RANDH,RANDH’传给新基站;
图4中标记表示:新基站通过新扇区向移动用户手机发送紧急切换应答,同时也将保存的注册时用户网络鉴别应答RESH’传给移动用户手机;
图5给出了移动通信***网络图,该图中标示出了***具有三个基站的情况,并标示出移动用户手机在同一个基站内不同扇区间移动,以及在不同基站间移动情况下的通信示意图。
Claims (1)
1.数字蜂窝移动通信***用户切换时的双向鉴别方法,包括有:移动用户在同一基站管辖内不同扇区间移动时发生正常切换的完整双向鉴别方法及紧急切换的简单双向鉴别方法,移动用户发生在同一动态域内不同基站间移动时发生正常切换的完整双向鉴别方法和紧急切换的简单双向鉴别方法;其中:
(A)移动用户在同一基站管辖内的不同扇区间移动时发生正常切换的完整双向鉴别方法,按如下步骤进行:
基站通过原扇区向移动用户发送双向鉴别切换响应报文,并将利用用户鉴别随机数RANDH,会话密钥SK,网络对移动终端的鉴权算法NT-A3计算出的用户鉴别应答RESH,连同网络产生的网络鉴别随机数RANDH’一起发向移动用户,移动用户将收到的用户鉴别应答RESH,与自己通过用户鉴别随机数RANDH,会话密钥SK,网络对移动终端的鉴权算法NT-A3计算出的用户期望鉴别应答XRESH进行比较,可完成对新扇区的鉴别,若一致则该扇区为真,否则为假;
移动用户将用网络鉴别随机数RANDH’,SK,NT-A3计算出的网络鉴别应答RESH’连同切换成功报告,通过新扇区发向基站,基站收到后将其与自己计算出的网络期望鉴别应答XRESH’进行比较,可完成对移动用户的鉴别,若一致则该用户为真,可以开通移动用户通过新扇区的合法通信;
(B)移动用户在同一基站内不同扇区间移动时,发生紧急切换的简单双向鉴别方法,按下述步骤进行:
移动用户通过新扇区直接向基站发出紧急切换报告,同时连同将自己保存的注册时由基站算出的用户鉴别应答RESH发至基站,基站收到后,将RESH与自己保存的注册时用户算出的用户期望鉴别应答XRESH进行比较;
移动用户收到后将网络鉴别应答RESH’与自己保存的注册时基站算出的网络期望鉴别应答XRESH’进行比较,如果一致认为基站为合法基站,可以开通移动用户通过新扇区的合法通信;
(C)移动用户在同一动态域内不同基站间移动时发生正常切换的完整双向鉴别方法,按下述步骤进行:
移动用户将收到的用户鉴别应答RESH与自己用RANDH、SK及NT-A3算出的用户期望鉴别应答RESH进行比较,如一致则完成对新扇区的鉴别,移动用户将正常切换完成报告,及用网络鉴别随机数RANDH’、会话密钥SK、移动终端对网络的鉴权算法TN-A3算出的网络鉴别应答RESH’通过新扇区发至新基站,新基站收到后将其与自己计算出的网络期望鉴别应答XRESH’进行比较,可完成对移动用户的鉴别,若一致则该用户为真,可以开通移动用户通过新扇区的合法通信;
(D)移动用户在同一动态域内不同基站间移动时,发生紧急切换的简单双向鉴别方法,按下述步骤进行:
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNB2003101040493A CN100388850C (zh) | 2003-12-18 | 2003-12-18 | 数字蜂窝移动通信***用户切换时的双向鉴别方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNB2003101040493A CN100388850C (zh) | 2003-12-18 | 2003-12-18 | 数字蜂窝移动通信***用户切换时的双向鉴别方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN1630405A CN1630405A (zh) | 2005-06-22 |
CN100388850C true CN100388850C (zh) | 2008-05-14 |
Family
ID=34842929
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNB2003101040493A Expired - Fee Related CN100388850C (zh) | 2003-12-18 | 2003-12-18 | 数字蜂窝移动通信***用户切换时的双向鉴别方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN100388850C (zh) |
Families Citing this family (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2007033548A1 (fr) * | 2005-09-19 | 2007-03-29 | Huawei Technologies Co., Ltd. | Procede et dispositif pour obtenir les informations d'association de securite pendant la procedure de transfert du terminal mobile |
CN102355468B (zh) * | 2006-02-28 | 2014-08-13 | 华为技术有限公司 | 安全通信方法 |
CN101031141B (zh) * | 2006-02-28 | 2011-11-09 | 华为技术有限公司 | 安全通信方法 |
KR101048560B1 (ko) * | 2006-10-20 | 2011-07-11 | 노키아 코포레이션 | 차세대 이동 네트워크에서의 보호용 키를 생성하는 방법, 네트워크 디바이스, 사용자 장비 및 컴퓨터 판독가능 매체 |
CN101286844B (zh) * | 2008-05-29 | 2010-05-12 | 西安西电捷通无线网络通信有限公司 | 一种支持快速切换的实体双向鉴别方法 |
US8131296B2 (en) | 2008-08-21 | 2012-03-06 | Industrial Technology Research Institute | Method and system for handover authentication |
CN103312670A (zh) | 2012-03-12 | 2013-09-18 | 西安西电捷通无线网络通信股份有限公司 | 一种认证方法及*** |
CN103312499B (zh) | 2012-03-12 | 2018-07-03 | 西安西电捷通无线网络通信股份有限公司 | 一种身份认证方法及*** |
CN106131841A (zh) * | 2015-05-15 | 2016-11-16 | 中兴通讯股份有限公司 | 一种接入认证方法、设备及*** |
CN106304061B (zh) * | 2015-05-26 | 2020-01-10 | 成都鼎桥通信技术有限公司 | 一种故障弱化状态下的用户鉴权方法 |
CN108293183B (zh) | 2015-11-18 | 2021-06-01 | 上海诺基亚贝尔股份有限公司 | E-utran与wlan之间的切换 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1193449A (zh) * | 1995-06-29 | 1998-09-16 | 艾利森公司 | 用于无线个人通信的鉴权及切换的方法和*** |
CN1321049A (zh) * | 2000-02-09 | 2001-11-07 | 朗迅科技公司 | 无线通信中越区切换的强化安全性 |
WO2002030132A2 (en) * | 2000-09-29 | 2002-04-11 | Nokia Corporation | Method and system for security mobility between different cellular systems |
US20020197979A1 (en) * | 2001-05-22 | 2002-12-26 | Vanderveen Michaela Catalina | Authentication system for mobile entities |
-
2003
- 2003-12-18 CN CNB2003101040493A patent/CN100388850C/zh not_active Expired - Fee Related
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1193449A (zh) * | 1995-06-29 | 1998-09-16 | 艾利森公司 | 用于无线个人通信的鉴权及切换的方法和*** |
CN1321049A (zh) * | 2000-02-09 | 2001-11-07 | 朗迅科技公司 | 无线通信中越区切换的强化安全性 |
WO2002030132A2 (en) * | 2000-09-29 | 2002-04-11 | Nokia Corporation | Method and system for security mobility between different cellular systems |
US20020197979A1 (en) * | 2001-05-22 | 2002-12-26 | Vanderveen Michaela Catalina | Authentication system for mobile entities |
Also Published As
Publication number | Publication date |
---|---|
CN1630405A (zh) | 2005-06-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP1757139B1 (en) | Method of preventing or limiting the number of simultaneous sessions in wireless local area network (wlan) | |
US20220278973A1 (en) | Network device proximity-based authentication | |
AU684434B2 (en) | Method and apparatus for authentication in a communication system | |
US8112065B2 (en) | Mobile authentication through strengthened mutual authentication and handover security | |
CN100388850C (zh) | 数字蜂窝移动通信***用户切换时的双向鉴别方法 | |
CN104219244B (zh) | 一种iBeacon防位置欺骗的方法和认证服务器、基站 | |
CN104604272A (zh) | 建立设备到设备通信会话 | |
CN102958048A (zh) | 一种在WiFi网络与TD-SCDMA网络间优选的方法 | |
JP2005110112A (ja) | 通信システムにおける無線通信装置の認証方法及び無線通信装置及び基地局及び認証装置。 | |
EP1103137A1 (en) | Arranging authentication and ciphering in mobile communication system | |
CN105792194B (zh) | 基站合法性的认证方法、认证装置、网络设备、认证*** | |
JP2003061129A (ja) | 移動通信システム及び通信制御方法並びにこれに用いる移動端末及びその制御方法 | |
CN101222760A (zh) | 建立会话密钥协定的方法 | |
CN101228766A (zh) | 密钥材料的交换 | |
WO2005083910A1 (en) | Method and apparatus for access authentication in wireless mobile communication system | |
KR20160143333A (ko) | 이중 채널을 이용한 이중 인증 방법 | |
CN108924838B (zh) | 跨运营商的网络切换方法、装置、运营商设备及终端 | |
JP2005109823A (ja) | レイヤ2スイッチ装置、無線基地局、ネットワークシステム、および無線通信方法 | |
JP2020501440A (ja) | 緊急番号設定方法、取得方法および装置 | |
CN102970680A (zh) | 网络切换方法及装置 | |
CN109495894B (zh) | 一种伪基站的防范方法及*** | |
CN101026866A (zh) | 一种无线通信***中ak上下文缓存的方法 | |
JP2007282129A (ja) | 無線情報伝送システム、無線通信端末及びアクセスポイント | |
EP2530962B1 (en) | Authentication | |
CN101193427A (zh) | 支持快速切换的预认证方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
C17 | Cessation of patent right | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20080514 Termination date: 20111218 |