CN1661960B - 一种利用cave作为接入认证算法的机卡分离的认证方法以及装置 - Google Patents
一种利用cave作为接入认证算法的机卡分离的认证方法以及装置 Download PDFInfo
- Publication number
- CN1661960B CN1661960B CN2004100075485A CN200410007548A CN1661960B CN 1661960 B CN1661960 B CN 1661960B CN 2004100075485 A CN2004100075485 A CN 2004100075485A CN 200410007548 A CN200410007548 A CN 200410007548A CN 1661960 B CN1661960 B CN 1661960B
- Authority
- CN
- China
- Prior art keywords
- authentication
- cdma2000
- hrpd
- dual
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
- 238000004422 calculation algorithm Methods 0.000 title claims abstract description 36
- 238000000034 method Methods 0.000 title claims description 38
- 238000000926 separation method Methods 0.000 title claims description 15
- 230000004044 response Effects 0.000 claims abstract description 26
- 230000009977 dual effect Effects 0.000 claims abstract description 8
- 230000006870 function Effects 0.000 claims description 14
- 238000012545 processing Methods 0.000 claims description 10
- 230000005540 biological transmission Effects 0.000 claims description 9
- 238000004364 calculation method Methods 0.000 claims description 7
- 230000011664 signaling Effects 0.000 claims description 5
- 238000006243 chemical reaction Methods 0.000 claims description 3
- 230000006854 communication Effects 0.000 claims description 3
- 238000001228 spectrum Methods 0.000 claims description 3
- 238000013475 authorization Methods 0.000 claims description 2
- 230000001413 cellular effect Effects 0.000 claims description 2
- 238000004891 communication Methods 0.000 claims description 2
- 238000013459 approach Methods 0.000 claims 1
- 230000008676 import Effects 0.000 claims 1
- 230000008569 process Effects 0.000 description 21
- 238000012795 verification Methods 0.000 description 7
- 230000008859 change Effects 0.000 description 3
- 239000002699 waste material Substances 0.000 description 3
- 101100398918 Arabidopsis thaliana IPMS2 gene Proteins 0.000 description 1
- 101100018850 Luffa aegyptiaca IMS1 gene Proteins 0.000 description 1
- 238000009795 derivation Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000003780 insertion Methods 0.000 description 1
- 230000037431 insertion Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000011017 operating method Methods 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/22—Arrangements for preventing the taking of data from a data transmission channel without authorisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/065—Encryption by serially and continuously modifying data stream elements, e.g. stream cipher systems, RC4, SEAL or A5/3
- H04L9/0656—Pseudorandom key sequence combined element-for-element with data sequence, e.g. one-time-pad [OTP] or Vernam's cipher
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/02—Terminal devices
- H04W88/06—Terminal devices adapted for operation in multiple networks or having at least two operational modes, e.g. multi-mode terminals
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
一种利用CAVE作为接入认证算法的机卡分离的认证方法以及装置,其硬件结构应该包括:天线、无线模块、cdma2000/HRPD双模主芯片、支持CAVE算法的用户识别模块(UIM)、存储器、液晶显示器、键盘、电源模块。双模终端使用IMSI预先存储在双模终端里的域名构造NAI;双模终端利用认证命令消息中的Random text产生出计算认证参数1所需的随机数RAND;双模终端命令UIM卡利用上述的随机数RAND和UIM卡上已有的SSD A通过CAVE运算得出认证参数1;双模终端通过Chap Response消息中的Result域承载认证参数1。本发明适用于解决在当前技术条件下机卡分离cdma2000/HRPD双模终端缺乏的问题,同时也解决UIM卡在cdma2000网络升级为cdma2000网络加HRPD网络后的继续使用问题。
Description
技术领域
本发明涉及码分多址2000(Code Division Multiple Access 2000,以下简称cdma2000)与高速分组数据(High Rate Packet Data,以下简称HRPD)双模终端,特别涉及一种利用无线认证与语音加密算法(CellularAuthentication and Voice Encryption,以下简称CAVE)作为接入认证算法的机卡分离的认证方法以及装置。
背景技术
cdma2000网络已在全球范围内广泛商用,在该网络中采用了基于CAVE算法的质询握手认证协议(Challenge Handshake AuthenticationProtocol,以下简称CHAP)对接入终端合法性进行判别。在这套认证体系中,有比较完备的防止非法攻击的方法。手机(Mobile Station,简称MS)的密码(A-key)和CAVE算法分别存储在手机和cdma2000网的认证中心中(Authentication Centre,以下简称AuC)。认证过程主要包括共享保密数据(Shared Secret Data,以下简称SSD)的更新和认证执行过程两部分。共享保密数据的A部分(SSD_A)用于接入认证。由网络根据特定条件分别向手机和认证中心发送携带有一段随机数的消息来进行SSD_A的更新,手机和认证中心收到这个消息后,将消息中的随机数、A-key和其他参数一起输入SSD生成程序(SSD_GENERATION PROCEDULE),经计算后产生SSD_A,经过确认正确后新产生的SSD_A替换掉旧的SSD_A,将作为密钥用于接入认证。当需要对用户终端进行认证时,网络向手机和认证中心发送要求认证的消息,在该消息中携带有一段随机数。手机和认证中心收到该消息后,利用该消息中的随机数、SSD_A以及其他参数输入CAVE算法,计算出认证结果。手机将认证结果发送到认证中心,通过比较认证结果的异同来决定认证是否通过。在cdma2000网络实际使用中,A-key的存放地点有两种方式。一种是存储在手机上,相应CAVE算法也在手机上执行,称为机卡不分离的手机;另一种则是将A-key存放在用户识别模块(UserIdentity Module,以下称UIM卡)上,相应CAVE算法也在UIM卡上执行,UIM可以与手机分离,称为机卡分离手机。目前中国采用机卡分离的手机,国外大多采用机卡不分离的手机。高速分组数据(High Rate Packet Data,以下简称HRPD)网是cdma2000网络的升级网络,已逐步在世界范围内开始商用。在已商用的HRPD网络中,其终端为机卡不分离的终端。第三代伙伴计划2(the Third Generation Partnership Project 2,以下简称3GPP2)相应规范规定,如果HRPD网采用接入认证,认证方式也应该是CHAP认证,具体的加密算法没有明确要求,可由运营商指定。HRPD网络与cdma2000网络是两个相互独立的网络,除了可以共用分组数据核心网外,没有任何的信息交互。由于HRPD网主要提供数据业务,用户可以通过能够同时支持cdma2000网络和HRPD网络的双模终端享受服务,并且此类用户是HRPD网的主要用户群。在下文中,如无特殊说明,双模终端指cdma2000/HRPD双模终端。
当前的UIM卡执行的主要操作有管理SSD、执行认证计算等。
SSD用于所有鉴权响应计算和后续的密钥生成。SSD由存储在UIM中的“A-key”导出。当网络向手机发出含有RANDSSD参数的SSD更新(UPDATESSD)命令时,SSD开始更新过程。用户的归属网络是唯一可以更新用户SSD的实体。见图3。当网络对某个用户发起一个SSD更新时,用户的手机首先存储RANDSSD参数,然后产生一个随机数RANDSeed。手机向UIM卡传递RANDSeed参数,开始基站查询操作(Base Station Challengefunction)。随后,UIM卡产生RANDBS参数。RANDBS与RANDSeed的关系由UIM卡的发放者规定。例如,UIM卡可以设置RANDBS等于RANDSeed;RANDBS参数可以通过对RANDSeed参数进行伪随机处理导出或忽略RANDSeed而独立产生RANDBS。基站查询操作命令使UIM卡将RANDBS参数传递给手机再发给网络。
接下来,手机通过向UIM卡发送命令执行更新SSD过程,该命令含有RANDSSD参数。见图4。然后UIM算出一个SSD值和一个响应RANDBS的值AUTHBS。在UIM卡***终端时根据相应指示预先确定了在这些计算中使用的ESN和IMSI(International Mobile Station Identity)的选择。
在网络侧,RANDSSD参数用于为选定的UIM卡产生一个新的SSD值。网络从手机收到RANDBS参数后,与新的SSD一起算出AUTHBS,然后网络将AUTHBS发给手机。手机将收到的AUTHBS作为SSD确认命令(Confirm SSD)命令的参数发给UIM卡。UIM卡比较收到的AUTHBS和它自己算出的AUTHBS值,如果两个值相同,则SSD更新过程成功,SSD存入UIM卡的半永久内存并用于后面所有的鉴权计算。如果两个AUTHBS值不同,UIM就放弃新的SSD值仍保留当前的值,见图5。
认证过程是网络对终端合法性的鉴别过程,其基本操作过程如图6所示:
AuC向手机发送认证命令消息,消息中包含32bit的随机数RAND,手机将RAND和SSD_A作为CAVE算法的输入,计算出18bit的认证参数1,手机将认证参数1通过认证响应消息(Authentication Challenge ResponseMessage)送往认证中心,认证中心将手机计算出的认证参数1与自己按同样方法计算出的认证参数2比较,如果相同,认证通过,如果不同则拒绝手机的接入。
(2)现有HRPD网络中接入认证时的消息流
HRPD接入认证包含以下消息流(如图7所示):
接入网络(AN)向接入终端发送认证命令(Chap Challenge)消息,该消息中包含有随机数Random text;701
终端收到认证命令消息后,利用随机数计算出认证参数1。图中以MD5加密算法为例;702
终端向AN发送认证响应消息(Chap Response),该消息中包含有终端的网络接入识别号(NAI),随机数text,认证参数1等信息;703
AN收到终端发来的认证响应消息后,向AN-AAA送出远程认证请求消息(Radius Access Request),该消息中包含有认证响应消息中的三个参数;704
AN-AAA利用随机数和本地存储的Password(AN-AAA Password与终端中的Password是同一值)作为输入,由MD5算法计算出认证参数2;705
AN-AAA比较认证参数1和认证参数2;706
如果相同则向AN发送远程认证请求接收(Radius Access Accept)消息表明认证通过,此消息中还包含有与该终端的NAI相对应的IMSI,IMSI将被AN用于以后的流程中;707
如果认证参数1和认证参数2不同则向AN发送远程认证请求拒绝(Radius Access Reject)消息,拒绝终端接入;708
AN收到远程认证请求接收消息后向终端发送CHAP认证成功(ChapSuccess)消息表明认证过程成功;709
AN收到远程认证请求拒绝消息后向终端发送CHAP认证失败(Chap Failure)消息表明认证过程失败。710
在实际应用中,多为借助cdma2000网络提供话音业务,借助HRPD网络提供数据业务。因而,既支持cdma2000网络,又支持HRPD网络的双模终端将占相当大的比重。由于一般是先建设cdma2000网络,再建设HRPD网络,HRPD网络的部分用户是由cdma2000网络用户升级而来的。
由于现有的UIM卡仅支持CAVE算法,如果cdma2000/HRPD双模终端采用机卡分离的方式,需要有能够支持CAVE和MD5认证算法的多模UIM卡,限于技术原因,现在市场上尚没有多模UIM卡,另外,在机卡分离手机中,UIM卡是用户身份合法性的唯一标识。如果在升级到HRPD网络后用户的UIM卡不能继续使用,将会造成很大的浪费。并且,到运营商营业厅更换UIM卡也会对用户带来不便。
因此,在cdma2000网络已投入运营,拥有大量用户的前提下,在建设HRPD网络时,如何实现一种能够重用现有UIM卡的cdma2000/HRPD双模终端,来完成HRPD网的接入认证是一个难题。
发明内容
本发明的目的是提供一种机卡分离的cdma2000/HRPD双模终端,该终端可以重用cdma2000现有的UIM卡,即能够使用CAVE算法进行HRPD网接入认证。
为实现上述目的,一种利用CAVE作为接入认证算法的cdma2000/HRPD双模终端,包括步骤:
cdma2000/HRPD双模终端接收到接入网发来的认证命令消息后,利用认证命令消息中的随机文本产生出计算认证参数1所需的随机数;
双模终端命令UIM卡利用上述的随机数和UIM卡上已有的共享保密数据A部分SSD_A通过CAVE运算得出认证参数1;
双模终端通过认证响应消息中的结果Result域承载认证参数1;
双模终端按以下格式构成网络接入标识NAI值:IMSI@域名,其中IMSI储存在UIM卡中,域名预先存储在双模终端的存储器中;
双模终端利用NAI以及认证参数1构造认证响应消息;
如果接入网鉴权授权和计费中心AN-AAA没有得到SSD_A,双模终端截取cdma2000网络发来的随机共享保密数据RANDSSD,并通过认证响应消息中的Result域与认证参数1一起携带到接入网。
本发明适用于解决目前没有cdma2000/HRPD双模终端以及已有的UIM卡在cdma2000网络升级为cdma2000网络加HRPD网络后不能继续使用的问题。本发明可以让用户继续享受到机卡分离终端带来的便利,避免UIM更换带来的浪费。
附图说明
图1是利用CAVE作为接入认证算法的cdma2000/HRPD双模终端的硬件结构;
图2是基于本发明实现的双模终端在HRPD网中的认证流程图;
图3是基站查询操作;
图4是更新SSD操作、AuthBS计算;
图5是SSD确认操作;
图6是CAVE认证过程
图7是3GPP2定义的HRPD网络接入认证消息流
图8是基于本发明实现的双模终端在HRPD网中的认证过程执行情况
本发明的主要目的是实现cdma2000/HRPD双模终端,特点是机卡分离,并且可以继续使用已在现网上大量使用的cdma2000手机的UIM卡,不需要改变HRPD网络认证流程。概括地说,实施本方案以很小的代价实现了显著收益。
本发明基于以下事实:目前市场上急需要机卡分离的cdma2000/HRPD双模终端,但却没有能够支持两网鉴权的双模UIM卡。即便将来出现了能够支持两网鉴权的双模UIM卡,cdma2000现网上大量使用的UIM卡的更换也会带来巨大的浪费。
本发明主要思想是通过对HRPD网络中消息流中携带参数的处理,并借助cdma2000网络中SSD更新的成果,使得双模终端在支持两网接入认证的前提下,能够实现机卡分离,且可以继续使用当前的UIM卡。从而解决了上述问题。
为了能够支持机卡分离、重用当前UIM卡、支持两网接入认证,双模终端的各部分应该完成以下基本功能:
天线101
用来接收和发送无线信号。
无线模块102
负责基带数字信号和射频模拟信号的转换、射频模拟信号的发送与接收等。
cdma2000主芯片103
这是终端中的主处理单元,其功能包括cdma2000业务数据的编码与解码,物理信道的扩频与解扩、调制与解调。该双模芯片还将为终端中的应用层软件提供运行平台,承载应用软件模块,完成空中接口信令的发送、接收与处理,呼叫过程的控制等,以及对终端内各个相关模块进行控制,使之能够配合工作。
HRPD主芯片104
在实现中通常与cdma2000主芯片是物理一个实体。但执行的是HRPD网的数据、信令的处理功能,其上承载的软件模块与HRPD网对应。在某一时刻cdma2000主芯片与HRPD主芯片只能有一个处于工作状态。本专利申请中所涉及到的cdma2000/HRPD双模芯片的功能,除业务数据的编解码和物理信道的调制解调之外,其余功能均指该芯片承载的软件功能。
接口模块
接口模块是连接cdma2000/HRPD双模芯片模块和用户识别模块的.本接口模块可以内嵌在双模芯片里,也可以设计在双模芯片外可以与芯片连动的方式构成.在本发明图示中省略.
支持CAVE算法的用户识别模块105
存储用户身份信息及其他网络参数等。支持CAVE算法的认证功能,符合编号为YD/T1168-2001的中国通信行业标准——《800MHzCDMA数字蜂窝移动通信网用户识别模块(UIM)技术要求》或3GPP2 C.S0023-1《Removable User Identity Module(R-UIM)for cdma2000 SpreadSpectrum Systems Addenduml》规范。
存储器106
终端中的数据存储模块,存储终端正常工作必需的数据。
液晶显示器107
信息显示单元。
键盘108
用于输入信息,与液晶显示器共同完成用户与终端的界面功能。
电源模块109
为各模块提供电源。
另外还应有话筒与听筒等。
在一个正常的话音呼叫过程中,用户通过键盘(108)和液晶显示器(107)构成的人机界面向cdma2000主芯片(103)或HRPD主芯片(104)发送命令,开始一个呼叫。主芯片在收到用户的指令之后,在支持CAVE算法的用户识别模块(105)和存储器模块(106)的配合下,构造信令消息,与网络共同完成呼叫的建立,并通过(107)通知用户。之后,用户即可开始通话过程,用户语音通过话筒送至主芯片,由主芯片完成编码调制,发送至网络。同时,主芯片也将对接收到的无线信道帧,进行解调与解码,并送至听筒。在这一过程中,无线模块(102)、存储器模块(106)和电源模块(109)作为***支持模块将为其提供必要的支持。
对于基于CAVE算法的鉴权过程,涉及到的主要模块为cdma2000/HRPD双模芯片(103、104)和支持CAVE算法的用户识别模块(105),其中主芯片中涉及部分为该芯片承载的软件模块。主芯片将对接收到的鉴权消息进行解码,将必要参数送交(105)处理。(105)在接收到主芯片提交的鉴权参数后,利用本身存贮的鉴权信息,执行CAVE算法的计算,并将最终计算结果返回主芯片。主芯片在接收到(105)的计算结果之后,根据该结果,构造相应的消息,并发送给无线网络。这一过程中,同样需要无线模块(102)、存储器模块(106)和电源模块(109)为其提供必要的支持。
为支持HRPD网络认证,双模终端的还应该完成以下增加功能(如图8所示):
1认证命令消息的利用
认证命令消息由AN发往双模终端,其中携带随机数Random text。该随机数经过处理后,可作为CAVE算法中需要的随机数。Random text是以八位组表示的一串字符,且其长度大于CAVE认证所需的随机数,需要将八位组转换为二进制形式,然后从中产生出CAVE认证所需的随机数,对于CAVE认证所需的随机数,双模终端需与AN-AAA保持一致。产生CAVE认证所需的随机数的操作在主芯片中进行。在实现中,终端天线接收网络发来的信号,传递到无线模块,无线模块进行信号处理,如完成基带数字信号和射频模拟信号的转换等,传递到主处理芯片。主处理芯片完成认证命令消息的识别和处理。图中未给出天线部分和无线模块部分功能示意。
2.命令UIM执行认证运算
主芯片将上述步骤中得到的CAVE认证所需的随机数输入UIM,主芯片使用Run CAVE命令要求UIM执行认证运算。
3.UIM执行认证计算
UIM利用主芯片送来的随机数,还有UIM卡上存储的UIM识别号(UIMID)、IMS1_S1(IMS1的一部分)、SSD_A作为输入参数执行认证计算。产生结果认证参数1。
4.UIM卡输出认证结果
主芯片利用Get RESPONSE命令使UIM卡输出认证参数1。
5.NAI值的构造
NAI值是HRPD网中使用的用户名,当前的UIM卡不支持NAI值的存储。为提供符合HRPD网需要的NAI值,双模终端需要按以下方式提供NAI值:
a在存储模块中存储域名信息
b主处理模块从UIM卡中读出IMSI,从存储模块中读出域名信息
c主处理模块按以下格式构成NAI值:IMSI@域名。并将NAI值应用到相应处理中。
6.认证响应消息的生成
认证响应消息是双模终端对AN发来的认证命令消息的响应。主芯片利用按上述方式提供的NAI以及认证参数1(写入Result域)构造认证响应消息。认证响应消息中的其他参数按IETF RFC1994,PPP ChallengeHandshake Authentication Protocol(CHAP),Aug 1996中的要求填写。
如果AN-AAA需要双模终端需要自己产生SSD_A,双模终端还需要增加以下功能:
当双模终端收到cdma2000网络发来的SSD更新消息后,将按照上述的标准流程对SSD_A进行更新。每次SSD_A成功更新后,双模终端需要将来自于cdma2000网络中的RANDSSD保存下来以便带给HRPD网。双模终端要将RANDSSD与通过CAVE算法计算出的认证参数1一起写入该域。具体格式应与AN-AAA约定好,以便AN-AAA区分。
7.认证响应消息的发送
主芯片将认证响应消息通过无线模块和天线部分发送给网络。图中未给出天线部分和无线模块部分功能示意。
图2是基于本发明实现的双模终端在HRPD网中的认证流程图,下面详细说明各个操作步骤。
接入网向接入终端发送认证命令消息,即挑战性握手认证协议质询(随机数)消息,该消息中包含随机数Random text;201
接入终端从Random text中获取32bit作为认证过程的随机数RAND送入UIM卡;202
UIM卡使用SSD_A,RAND及其他参数,利用CAVE算法计算出认证结果认证参数1,送给接入终端;203
接入终端从UIM卡中读出IMSI,并与预存的域名一起构成NAI值;204
接入终端将NAI写入认证应答消息,即挑战性握手认证协议应答(ChapResponse)消息中的相应区域,将认证参数1写入该消息的结果(Result)域,然后将该认证应答消息发向接入网;204
如果认证成功,接入网将向接入终端发送认证成功消息;205
如果认证成功,接入网将向接入终端发送认证失败消息;206
Claims (23)
1.一种利用CAVE作为接入认证算法的认证方法,包括步骤:
cdma2000/HRPD双模终端接收到接入网发来的认证命令消息后,利用认证命令消息中的随机文本产生出计算认证参数1所需的随机数;
双模终端命令UIM卡利用上述的随机数和UIM卡上已有的共享保密数据A部分SSD_A通过CAVE运算得出认证参数1;
双模终端通过认证响应消息中的结果Result域承载认证参数1;
双模终端按以下格式构成网络接入标识NAI值:IMSI@域名,其中IMSI储存在UIM卡中,域名预先存储在双模终端的存储器中;
双模终端利用NAI以及认证参数1构造认证响应消息;
如果接入网鉴权授权和计费中心AN-AAA没有得到SSD_A,双模终端截取cdma2000网络发来的随机共享保密数据RANDSSD,并通过认证响应消息中的Result域与认证参数1一起携带到接入网。
2.按权利要求1所述的方法,其特征在于所述认证命令消息来自HRPD网络。
3.按权利要求1所述的方法,其特征在于所述UIM卡与所述双模终端分离,所述分离为机卡分离。
4.按权利要求1所述的方法,其特征在于所述UIM卡中CAVE算法所需的SSD_A来自于cdma2000网络。
5.按权利要求1所述的方法,其特征在于如果AN-AAA没有得到SSD_A的途径,双模终端还可以通过认证响应消息中的Result域向AN-AAA传送RANDSSD。
6.按权利要求1所述的方法,其特征在于AN-AAA利用RANDSSD通过计算得到与cdma2000网络相同的SSD_A。
7.按权利要求1或5所述的方法,其特征在于所述RANDSSD是由双模终端在cdma2000网中最近一次SSD成功更新时得到的。
8.一种实现权利要求1所述方法的cdma2000/HRPD双模终端装置,包括天线、无线模块、cdma2000主芯片、HRPD主芯片、支持CAVE算法的UIM卡、存储器、液晶显示器、键盘和电源模块,其中,
天线接收网络发来的认证命令消息,将认证命令消息传递到无线模块;
无线模块进行信号处理,将处理后的信号传递到cdma2000/HRPD主芯片;
cdma2000/HRPD主芯片完成认证命令消息的识别和处理,利用认证命令消息中的随机文本产生出计算认证参数1所需的随机数,并将CAVE认证所需的随机数传送给UIM卡;
UIM卡利用所述的随机数和UIM卡上已有的共享保密数据A部分通过CAVE运算得出认证参数1,然后,UIM卡将计算的认证参数1返回cdma2000/HRPD主芯片,cdma2000/HRPD主芯片从所述UIM卡中读出IMSI,从所述存储器中读出域名信息,并按以下格式构成NAI值:IMSI@域名,cdma2000/HRPD主芯片利用NAI以及认证参数1构造认证响应消息,并发送给无线网络。
9.按权利要求8所述的装置,其特征在于所述UIM卡为仅能支持CAVE认证算法的单模卡。
10.按权利要求8所述的装置,其特征在于所述UIM卡与双模终端其它部分分离,所述分离为机卡分离。
11.按权利要求8所述的装置,其特征在于所述天线用来接收和发送无线信号。
12.按权利要求8所述的装置,其特征在于所述无线模块负责基带数字信号和射频模拟信号的转换、射频模拟信号的发送与接收。
13.按权利要求8所述的装置,其特征在于所述cdma2000主芯片是终端中的主处理单元,其功能包括cdma2000业务数据的编码与解码,物理信道的扩频与解扩、调制与解调,cdma2000主芯片还将为终端中的应用层软件提供运行平台,承载应用软件模块,完成空中接口信令的发送、接收与处理,呼叫过程的控制,以及对终端内各个相关模块进行控制,使之能够配合工作。
14.按权利要求8所述的装置,其特征在于所述HRPD主芯片与cdma2000主芯片物理上是一个实体,但执行的是HRPD网的数据、信令的处理功能,其上承载的软件模块与HRPD网对应,其中,在某一时刻cdma2000主芯片与HRPD主芯片只能有一个处于工作状态。
15.按权利要求8所述的装置,其特征在于所述支持CAVE算法的UIM卡存储用户身份信息及其他网络参数,支持CAVE算法的认证功能,符合编号为YD/T1168-2001的中国通信行业标准——《800MHzCDMA数字蜂窝移动通信网用户识别模块(UIM)技术要求》或3GPP2C.S0023-1《RemovableUserIdentity Module(R-UIM)for cdma2000Spread Spectrum SystemsAddenduml》规范。
16.按权利要求8所述的装置,其特征在于所述存储器是双模终端中的数据存储模块,用于存储终端正常工作必需的数据。
17.按权利要求8所述的装置,其特征在于所述液晶显示器是信息显示单元。
18.按权利要求8所述的装置,其特征在于所述键盘用于输入信息,与液晶显示器共同完成用户与终端的界面功能。
19.按权利要求8所述的装置,其特征在于所述电源模块为各模块提供电源。
20.按权利要求8所述的装置,其特征在于cdma2000/HRPD主芯片将CAVE认证所需的随机数输入所述UIM卡,并要求所述UIM卡执行CAVE运算操作。
21.按权利要求8所述的装置,其特征在于所述UIM卡利用cdma2000/HRPD主芯片送来的随机数,还有UIM卡上存储的UIM识别号UIMID、IMSI_S1、共享保密数据A部分SSD_A作为输入参数执行认证计算,产生结果认证参数1。
22.按权利要求8所述的装置,其特征在于cdma2000/HRPD主芯片利用获取响应命令使所述UIM卡输出认证参数1。
23.按权利要求8所述的装置,其特征在于所述cdma2000/HRPD主芯片按IETF RFC1994,PPP Challenge Handshake Authentication Protocol中的要求填写认证响应消息中除NAI以及认证参数1之外的其它参数。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2004100075485A CN1661960B (zh) | 2004-02-27 | 2004-02-27 | 一种利用cave作为接入认证算法的机卡分离的认证方法以及装置 |
| KR1020067020078A KR101085608B1 (ko) | 2004-02-27 | 2005-02-28 | 케이브 알고리즘을 이용하여 이용자 식별 모듈을 구비한단말기를 인증하기 위한 방법 및 장치 |
| PCT/KR2005/000556 WO2005083911A1 (en) | 2004-02-27 | 2005-02-28 | Method and device for authenticating ms that has an r-uim by using cave algorithm |
| US11/068,186 US7649995B2 (en) | 2004-02-27 | 2005-02-28 | Method and device for authenticating MS that has an R-UIM by using CAVE algorithm |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2004100075485A CN1661960B (zh) | 2004-02-27 | 2004-02-27 | 一种利用cave作为接入认证算法的机卡分离的认证方法以及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1661960A CN1661960A (zh) | 2005-08-31 |
| CN1661960B true CN1661960B (zh) | 2010-04-07 |
Family
ID=34892095
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2004100075485A Expired - Lifetime CN1661960B (zh) | 2004-02-27 | 2004-02-27 | 一种利用cave作为接入认证算法的机卡分离的认证方法以及装置 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US7649995B2 (zh) |
| KR (1) | KR101085608B1 (zh) |
| CN (1) | CN1661960B (zh) |
| WO (1) | WO2005083911A1 (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100735221B1 (ko) * | 2005-08-12 | 2007-07-03 | 삼성전자주식회사 | 컨텐츠를 다수의 단말기에서 재생할 수 있도록 하는 컨텐츠재생 방법 및 이를 이용한 시스템과 단말 장치 |
| KR100766313B1 (ko) * | 2006-05-30 | 2007-10-11 | 삼성전자주식회사 | 이동통신단말기에서 보안 키의 암호화 장치 및 방법 |
| TW200945865A (en) * | 2008-04-23 | 2009-11-01 | Mediatek Inc | Method for handling the equipment identity requests and communication apparatus utilizing the same |
| US8903367B2 (en) | 2010-05-20 | 2014-12-02 | Qualcomm Incorporated | Methods and apparatus for enabling backward compatibility in open market handsets |
| DE102012018540A1 (de) * | 2012-09-19 | 2014-03-20 | Giesecke & Devrient Gmbh | Teilnehmeridentitätsmodul zum Authentisieren eines Teilnehmers an einem Kommunikationsnetzwerk |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1311608A (zh) * | 2000-03-01 | 2001-09-05 | 于强敏 | 在cdma移动通信网实现机卡分离的方法 |
| CN2692926Y (zh) * | 2004-02-27 | 2005-04-13 | 北京三星通信技术研究有限公司 | 利用cave作为接入认证算法的机卡分离的认证方法以及装置 |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6198823B1 (en) * | 1998-03-24 | 2001-03-06 | Dsc Telecom, L.P. | Method for improved authentication for cellular phone transmissions |
| US6201871B1 (en) * | 1998-08-19 | 2001-03-13 | Qualcomm Incorporated | Secure processing for authentication of a wireless communications device |
| KR100398991B1 (ko) | 2001-03-26 | 2003-09-19 | 주식회사 케이티프리텔 | 지에스엠 서비스 가입자에 대한 씨디엠에이 서비스 지역에서의 로밍 서비스가 가능한 씨디엠에이 단말기 및 그 cdma 단말기에서의 로밍 서비스 방법 |
| US20060050680A1 (en) | 2002-04-15 | 2006-03-09 | Spatial Communications Technologies, Inc. | Method and system for providing authentication of a mobile terminal in a hybrid network for data and voice services |
| US20030236980A1 (en) | 2002-06-20 | 2003-12-25 | Hsu Raymond T. | Authentication in a communication system |
| CN1601958B (zh) * | 2003-09-26 | 2010-05-12 | 北京三星通信技术研究有限公司 | 基于cave算法的hrpd网络接入认证方法 |
| US7546459B2 (en) * | 2004-03-10 | 2009-06-09 | Telefonaktiebolaget L M Ericsson (Publ) | GSM-like and UMTS-like authentication in a CDMA2000 network environment |
| US7904715B2 (en) * | 2004-04-09 | 2011-03-08 | Alcatel-Lucent Usa Inc. | Method for authenticating dual-mode access terminals |
-
2004
- 2004-02-27 CN CN2004100075485A patent/CN1661960B/zh not_active Expired - Lifetime
-
2005
- 2005-02-28 KR KR1020067020078A patent/KR101085608B1/ko active IP Right Grant
- 2005-02-28 US US11/068,186 patent/US7649995B2/en active Active
- 2005-02-28 WO PCT/KR2005/000556 patent/WO2005083911A1/en active Application Filing
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1311608A (zh) * | 2000-03-01 | 2001-09-05 | 于强敏 | 在cdma移动通信网实现机卡分离的方法 |
| CN2692926Y (zh) * | 2004-02-27 | 2005-04-13 | 北京三星通信技术研究有限公司 | 利用cave作为接入认证算法的机卡分离的认证方法以及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1661960A (zh) | 2005-08-31 |
| KR20060135004A (ko) | 2006-12-28 |
| US20050221801A1 (en) | 2005-10-06 |
| KR101085608B1 (ko) | 2011-11-22 |
| US7649995B2 (en) | 2010-01-19 |
| WO2005083911A1 (en) | 2005-09-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101926151B (zh) | 建立安全关联的方法和通信网络*** | |
| CN108259164B (zh) | 一种物联网设备的身份认证方法及设备 | |
| EP2343852B1 (en) | Key distribution method and system | |
| CN101500230B (zh) | 建立安全关联的方法和通信网络 | |
| KR20060046243A (ko) | Sim 카드로부터의 정보를 적어도 하나의 통신 객체로안전 복제하기 위한 방법 및 시스템 | |
| CN100493247C (zh) | 高速分组数据网中接入认证方法 | |
| US8600356B2 (en) | Authentication in a roaming environment | |
| CN1601958B (zh) | 基于cave算法的hrpd网络接入认证方法 | |
| CN103688563A (zh) | 执行组认证和密钥协商过程 | |
| EP3675541B1 (en) | Authentication method and device | |
| CN102869014A (zh) | 终端和数据通信方法 | |
| CN101248644A (zh) | 用户数据的管理 | |
| CN104580235A (zh) | 用于设备连接的认证方法和认证*** | |
| CN102970680A (zh) | 网络切换方法及装置 | |
| CN101895538B (zh) | 建立数据交互通道的方法和***、智能卡、服务器 | |
| US8681989B2 (en) | WCDMA 3G voice communication protection method and terminal using the same | |
| CN104507072A (zh) | 一种通信网络切换的方法 | |
| WO2017101211A1 (zh) | 无线通信***接入方法、装置及终端 | |
| US7649995B2 (en) | Method and device for authenticating MS that has an R-UIM by using CAVE algorithm | |
| CN109195139B (zh) | M2M管理平台与eSIM卡的数据传输方法、装置、平台及介质 | |
| CN1753362B (zh) | 利用cave作为接入认证算法的机卡不分离的认证方法及装置 | |
| CN110677843A (zh) | 一种基于区块链的虚拟sim卡的应用方法及装置 | |
| CN111404944B (zh) | 一种实现主认证增强的安全udm/hss设计方法及*** | |
| CN110311928B (zh) | 云终端***的网络认证方法以及认证设备 | |
| CN111866829A (zh) | 一种通过nfc授权5gd2d业务直连通信方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C41 | Transfer of patent application or patent right or utility model | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20070921 Address after: 100081, Chaoyang District International Building, No. 16, Wangjing North Road, Beijing, 3 Applicant after: Samsung Electronics Co.,Ltd. Co-applicant after: SAMSUNG ELECTRONICS Co.,Ltd. Co-applicant after: China United Telecommunications Corp.,Ltd. Address before: 100081, Beijing, Zhongguancun 9 Avenue, Haidian District science and technology building, 4 floor Applicant before: Samsung Electronics Co.,Ltd. Co-applicant before: Samsung Electronics Co.,Ltd. |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20081219 Address after: Zip code 3, middle timber International Building, 16 Wangjing North Road, Chaoyang District, Beijing, zip code: 100081 Applicant after: Samsung Electronics Co.,Ltd. Co-applicant after: SAMSUNG ELECTRONICS Co.,Ltd. Co-applicant after: China Telecommunication Group Corp. Address before: Zip code 3, middle timber International Building, 16 Wangjing North Road, Chaoyang District, Beijing, zip code: 100081 Applicant before: Samsung Electronics Co.,Ltd. Co-applicant before: SAMSUNG ELECTRONICS Co.,Ltd. Co-applicant before: China United Telecommunications Corp.,Ltd. |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| ASS | Succession or assignment of patent right |
Owner name: SAMSUNG ELECTRONICS CO., LTD. CHINA TELECOMMUNICAT Free format text: FORMER OWNER: SAMSUNG ELECTRONICS CO., LTD. CHINA TELECOMMUNICATION GROUP CORP. Effective date: 20130114 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20130114 Address after: 100081, Chaoyang District International Building, No. 16, Wangjing North Road, Beijing, 3 Patentee after: SAMSUNG ELECTRONICS Co.,Ltd. Patentee after: CHINA TELECOM Corp.,Ltd. Address before: 100081, Chaoyang District International Building, No. 16, Wangjing North Road, Beijing, 3 Patentee before: SAMSUNG ELECTRONICS Co.,Ltd. Patentee before: China Telecommunication Group Corp. |
|
| CX01 | Expiry of patent term |
Granted publication date: 20100407 |
|
| CX01 | Expiry of patent term |