CN1728635A - 一种在码分多址***中开展数字集群业务时的鉴权方法 - Google Patents

一种在码分多址***中开展数字集群业务时的鉴权方法 Download PDF

Info

Publication number
CN1728635A
CN1728635A CNA2004100702227A CN200410070222A CN1728635A CN 1728635 A CN1728635 A CN 1728635A CN A2004100702227 A CNA2004100702227 A CN A2004100702227A CN 200410070222 A CN200410070222 A CN 200410070222A CN 1728635 A CN1728635 A CN 1728635A
Authority
CN
China
Prior art keywords
authentication
entity
authenticating result
travelling carriage
parameter
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CNA2004100702227A
Other languages
English (en)
Other versions
CN100550729C (zh
Inventor
吴勇锋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
XFusion Digital Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CNB2004100702227A priority Critical patent/CN100550729C/zh
Priority to PCT/CN2005/001171 priority patent/WO2006010343A1/zh
Publication of CN1728635A publication Critical patent/CN1728635A/zh
Application granted granted Critical
Publication of CN100550729C publication Critical patent/CN100550729C/zh
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)

Abstract

本发明公开了一种在码分多址***中开展数字集群业务时的鉴权方法,设置核心网实体和鉴权实体,建立核心网实体与基站子***和鉴权实体的连接,该方法还包括:移动台由获得的***侧鉴权参数、保存的鉴权算法和密钥计算出鉴权结果M1,将M1发送至鉴权实体;鉴权实体由***侧鉴权参数、保存的鉴权算法和密钥计算出鉴权结果M2,判断M2与M1是否相同,如果不同,结束本流程,否则,鉴权实体由获得的终端侧鉴权参数、保存的鉴权算法和密钥计算出鉴权结果N1,将N1发送至移动台;移动台由终端侧鉴权参数、保存的鉴权算法和密钥计算出鉴权结果N2,判断N2与N1是否相同,如果是,则鉴权成功,否则鉴权失败。本发明提供了双向鉴权过程,极大地满足了数字集群业务对安全性的要求。

Description

一种在码分多址***中开展数字集群业务时的鉴权方法
技术领域
本发明涉及码分多址***中的鉴权技术,特别是涉及一种在码分多址***中开展数字集群业务时的鉴权方法。
背景技术
目前,数字集群业务正逐渐成为码分多址(CDMA,Code DivisionMultiple Access)***中一项日益普及的业务。数字集群业务对实时性和安全性要求很高,但是,现有的协议中却没有定义任何对CDMA***中数字集群业务进行鉴权的方法。
CDMA***中现有的鉴权方式是针对公众移动通信业务进行的鉴权。由于公众移动通信业务对用户信息及通话内容的保密性没有特殊要求,所以CDMA现有鉴权方式是一种由***验证终端合法性的单向鉴权过程,且鉴权过程可能包括无线侧鉴权和分组域鉴权。
为了实现鉴权,CDMA***中的终端设备即移动台(MS)和***侧进行鉴权的实体归属位置寄存器(HLR)或鉴权中心(AC),在内部保存有相同的鉴权算法和共享加密数据(SSD)。
当终端即MS进行普通语音业务时,CDMA***只对终端进行无线侧的鉴权。CDMA无线侧鉴权的前提条件是***要求广播鉴权,由基站在前向寻呼信道广播的总体消息中将Access Parameters Message中的AUTH字段置为‘01’(标准鉴权模式)来声明。涉及鉴权的流程有:移动台登记的鉴权、移动台始呼的鉴权、移动台终呼的鉴权、移动台数据突发的鉴权、独特查询响应程序和SSD更新消息流程。
图1是在现有技术中CDMA***进行无线侧鉴权时的信号流向示意图。参见图1,现有技术在CDMA***中进行无线侧鉴权时,由MS通过基站子***(BSS)、移动交换中心(MSC)和拜访位置寄存器(VLR)将业务请求发送至HLR/AC,HLR/AC再将对MS的鉴权结果通过VLR、MSC和BSS发送至MS。图2是在现有技术中CDMA***进行无线侧鉴权的流程图。参见图1和图2,在现有技术中,当***进行广播鉴权声明后,在CDMA***中进行无线侧鉴权的具体过程包括以下步骤:
步骤201:MS与BSS建立业务信道,然后MS根据自身保存的鉴权算法和SSD计算出鉴权结果,在反向接入信道上通过BSS向MSC发送携带该鉴权结果字段的业务请求。
步骤202:MSC将接收到的携带鉴权结果字段的业务请求发送给VLR。
步骤203:VLR将接收到的携带鉴权结果字段的业务请求发送给HLR/AC。
步骤204:HLR/AC接收到携带鉴权结果字段的业务请求,根据自身保存的鉴权算法和SSD计算出鉴权结果,并判断自身计算的鉴权结果与接收到的业务请求中携带的鉴权结果是否相同,如果相同,则执行步骤205,否则,执行步骤206。
步骤205:HLR/AC通过VLR和MSC向MS返回接入成功消息,指示MS可以接入,结束本流程。
步骤206:HLR/AC通过VLR和MSC向MS返回接入失败消息,拒绝MS接入。
当MS进行分组数据业务时,CDMA***首先对MS进行上述无线侧的鉴权,在无线侧鉴权成功后,进行分组域鉴权。图3是在现有技术中CDMA***进行分组域鉴权时的信号流向示意图。参见图3,现有技术在CDMA***中进行分组域鉴权时,MS通过BSS、分组控制功能实体(PCF)和分组数据服务节点(PDSN)将身份验证请求发送至认证授权计费实体(AAA),AAA再将身份验证结果通过PDSN、PCF和BSS发送至MS。
由此可见,在CDMA***中现有技术没有实现对数字集群业务的鉴权,如果采用CDMA***现有鉴权方式对集群业务进行鉴权,则又存在以下缺点:
1、由于数字集群业务对安全性的要求很高,而CDMA***现有的鉴权方式是单向鉴权方式,仅仅由***验证终端的合法性,而没有终端验证***合法性的过程。这种单向鉴权方式虽然可以满足CDMA***中对安全性要求不高的公众移动通信业务,但是却无法满足对安全性要求很高的数字集群业务。
2、在CDMA***中实现分组数据业务时,必须进行无线侧鉴权和分组域鉴权两次鉴权过程,不仅需要CDMA***中的多个网络实体参与鉴权,耗费了***的资源,而且增加了MS接入网络的时间,从而无法满足数字集群业务实时性的要求。
因此,在CDMA***中,如何针对数字集群业务进行鉴权,满足其实时性和安全性的要求,已经成为一个亟待解决的问题。
发明内容
有鉴于此,本发明的主要目的在于提供一种在码分多址***中开展数字集群业务时的鉴权方法,使其满足CDMA***对数字集群业务进行鉴权的安全性和实时性要求。
为了达到上述目的,本发明的技术方案是这样实现的:
一种在码分多址***中开展数字集群业务时的鉴权方法,设置核心网实体和鉴权实体,并分别建立核心网实体与基站子***和鉴权实体的连接,在移动台和所设置的鉴权实体内部存储鉴权算法和密钥,该方法还包括以下步骤:
A、移动台获得***侧鉴权参数,根据该***侧鉴权参数和自身保存的鉴权算法和密钥计算出鉴权结果M1,并将该鉴权结果M1通过基站子***和核心网实体发送至鉴权实体;
B、鉴权实体根据***侧鉴权参数和自身保存的鉴权算法和密钥计算出鉴权结果M2,判断该鉴权结果M2与移动台发来的鉴权结果M1是否相同,如果相同,则执行步骤C,否则结束当前鉴权流程;
C、鉴权实体获得终端侧鉴权参数,根据该终端侧鉴权参数和自身保存的鉴权算法和密钥计算出鉴权结果N1,并将该鉴权结果N1通过核心网实体和基站子***发送至移动台;
D、移动台根据终端侧鉴权参数和自身保存的鉴权算法和密钥计算出鉴权结果N2,判断该鉴权结果N2与鉴权实体发来的鉴权结果N1是否相同,如果相同,则鉴权成功,否则鉴权失败。
所述设置核心网实体和鉴权实体的步骤包括:
当核心网采用电路模式时,将移动交换中心MSC和拜访位置寄存器VLR作为核心网实体,将归属位置寄存器HLR或鉴权中心AC进行分组域鉴权功能扩充,并将功能扩充后的HLR或AC作为鉴权实体;
当核心网采用分组模式时,将分组控制功能实体PCF和分组数据服务节点PDSN作为核心网实体,将认证授权计费实体AAA进行无线侧鉴权功能扩充,并将功能扩充后的AAA作为鉴权实体;
其中,所述核心网实体与鉴权实体通过连接功能扩充后的接口进行连接。
所述鉴权实体和移动台内部存储的鉴权算法和密钥包括:***对终端的鉴权算法和密钥以及终端对***的鉴权算法和密钥。
步骤A中,移动台根据***侧鉴权参数和自身存储的***对终端的鉴权算法和密钥计算出所述鉴权结果M1;步骤B中,鉴权实体根据***侧鉴权参数和自身存储的***对终端的鉴权算法和密钥计算出所述鉴权结果M2;步骤C中,鉴权实体根据终端侧鉴权参数和自身存储的终端对***的鉴权算法和密钥计算出所述鉴权结果N1;步骤D中,移动台根据终端侧鉴权参数和自身存储的终端对***的鉴权算法和密钥计算出所述鉴权结果N2。
在步骤A中,所述移动台获得***侧鉴权参数的步骤包括:
A11、移动台在反向信道上通过基站子***和核心网实体向鉴权实体发送业务请求消息;
A12、鉴权实体接收到业务请求消息后,随机生成***侧鉴权参数,然后通过核心网实体和基站子***将携带***侧鉴权参数的业务响应消息发送至移动台。
在步骤A中,所述移动台获得***侧鉴权参数的步骤为:移动台接收基站子***发送的广播消息,并从所接收到的广播消息中获得***侧鉴权参数。
步骤C中,所述鉴权实体获得终端侧鉴权参数的步骤包括:
C11、鉴权实体将鉴权成功消息通过核心网实体和基站子***发送给移动台;
C12、移动台接收到鉴权成功消息后随机产生终端侧鉴权参数,然后通过基站子***和核心网实体将该终端侧鉴权参数发送至鉴权实体。
在步骤A中,移动台在获得***侧鉴权参数时随机产生终端侧鉴权参数,通过基站子***和核心网实体将计算出的鉴权结果M1和该终端侧鉴权参数一起发送至鉴权实体,由鉴权实体保存该终端侧鉴权参数;
步骤C中,鉴权实体由自身获得所述终端侧鉴权参数。
所述鉴权结果M1和鉴权结果N1是携带在新定义的消息中进行传输的,或是以Data Burst Message封装发送的消息进行传输的,或是携带在前向控制信道或者业务接入信道上的任一消息中进行传输的。
所述鉴权结果M1是携带在申请登记请求中进行传输的。
可见,本发明提出的方法,具有以下优点:
1)本发明提出了一种针对CDMA数字集群业务进行鉴权的方法,不仅实现了现有技术中***对移动台的鉴权过程,而且,还增加了移动台对***进行鉴权的过程。由于在***和移动台中均保存有两套鉴权算法和密钥,即***对移动台进行鉴权时使用的鉴权算法和密钥,以及移动台对***进行鉴权时使用的鉴权算法和密钥,所以在实现移动台对***进行鉴权时,***和移动台可分别根据自身保存的移动台对***进行鉴权时使用的鉴权算法和密钥计算出鉴权结果,如果移动台计算出的鉴权结果与***计算出的鉴权结果相同,则移动台认定***合法,否则,认定***非法。因此,本发明所提出的方法是一种双向鉴权过程,能够满足CDMA***中数字集群业务对安全性的要求。
2、在本发明中,使用统一的网络结构对包括语音和分组数据业务在内的数字集群业务进行统一鉴权流程,因此,对分组数据业务也只需通过较少的网络实体进行一次鉴权过程即可,不再区分现有技术中的无线侧鉴权网络结构和鉴权流程,以及分组域鉴权网络结构和鉴权流程的两次鉴权过程,从而大大降低了鉴权流程造成的时延,满足了数字集群业务对实时性的要求。
3、本发明所提出的简化鉴权流程,只需移动台与***进行一次信令交互过程,即鉴权实体接收到移动台发来的业务请求后,根据对移动台的鉴权结采,向移动台返回鉴权成功消息或鉴权失败消息。该简化鉴权流程减少了***处理信令的负荷,减少了移动台接入网络的时延。
4、在本发明的鉴权流程中,所使用的相关消息,比如业务响应消息和鉴权成功消息等,均可通过将现有业务中已有消息的字段进行扩展而得到,从而使得本发明易于实现,且减少了流程处理及消息交互时间,提高了鉴权处理速度,加快了数字集群业务的建立时间。
附图说明
图1是在现有技术中CDMA***进行无线侧鉴权时的信号流向示意图。
图2是在现有技术中CDMA***进行无线侧鉴权的流程图。
图3是在现有技术中CDMA***进行分组域鉴权时的信号流向示意图。
图4是在本发明中实现CDMA数字集群业务的网络结构示意图。
图5是在本发明中CDMA***不要求广播鉴权时对数字集群业务进行鉴权的流程图。
图6在本发明中CDMA***要求广播鉴权时对数字集群业务进行鉴权的流程图。
图7是在本发明中CDMA***要求广播鉴权时对数字集群业务进行鉴权的简化流程图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面结合附图及具体实施例对本发明作进一步地详细描述。
图4是在本发明中实现CDMA数字集群业务的网络结构示意图。参见图4,针对CDMA***中的数字集群业务进行鉴权,本发明所使用的网络实体为BSS、核心网实体和鉴权实体(Auth Entity),并且核心网实体与鉴权实体之间通过Auth接口相连。这里,本发明根据实现集群业务所采用的不同承载模式即电路模式或分组模式,来设置对CDMA***中数字集群业务进行鉴权的网络实体。当采用电路模式实现集群业务时,核心网实体主要包括MSC和VLR,鉴权实体则是通过在HLR/AC上进行相应功能扩充,使其能够进行集群业务鉴权,并且,将VLR与现有HLR/AC之间的消息接口进行相应功能扩充,使其具有连接VLR与功能扩充后的HLR/AC的功能,称之为Auth接口。当采用分组模式实现集群业务时,核心网实体主要包括PCF和PDSN,鉴权实体则是通过在AAA上进行相应功能扩充,使其能够进行集群业务鉴权,并且,将PDSN与现有AAA之间的消息接口进行相应功能扩充,使其具有连接PDSN与功能扩充后的AAA的功能,称之为Auth接口。
本发明预先在鉴权实体和MS内部存储***对MS进行鉴权时使用的鉴权算法AuthMSFunction和密钥Ksn,且密钥Ksn只存储在鉴权实体和MS内部不易被读取的位置,而不会在空中传输。同时,在鉴权实体和MS内部存储MS对***进行鉴权时使用的鉴权算法AuthNetFunction和密钥Ksm,且密钥Ksm只存储在鉴权实体和MS内部不易被读取的位置,而不会在空中传输。
上述***对MS鉴权的算法AuthMSFunction和MS对***鉴权的算法AuthNetFunction可以相同或不同,密钥Ksn和Ksm可以相同或不同。
图5是在本发明中CDMA***不要求广播鉴权时对数字集群业务进行鉴权的流程图。参见图4和图5,如果CDMA***不要求广播鉴权,则本发明实现对数字集群业务进行双向鉴权的具体过程包括以下步骤:
步骤501:MS在反向信道上通过BSS和核心网实体向鉴权实体发送业务请求。
这里,MS通过公共信道或业务信道发送业务请求。
步骤502:鉴权实体接收到业务请求后,随机生成***对终端进行鉴权的***侧鉴权参数RAND_NET,并保存,然后通过核心网实体和BSS将携带该***侧鉴权参数RAND_NET的业务响应消息发送给MS。
步骤503:MS接收到携带有***侧鉴权参数RAND_NET的业务响应消息,利用自身保存的鉴权算法AuthMSFunction和密钥Ksn,以及业务响应消息中的***侧鉴权参数RAND_NET,计算出自身鉴权结果MS_RESULT,然后将鉴权结果MS_RESULT携带在终端鉴权响应消息中通过BSS和核心网实体发送给鉴权实体。
这里,MS在计算鉴权结果时,也可以利用自身与鉴权实体事先所共同确定的其它参数。
步骤504:鉴权实体接收到携带有MS_RESULT的终端鉴权响应消息,根据自身保存的***侧鉴权参数RAND_NET以及对MS鉴权的算法AuthMSFunction和密钥Ksn,计算出鉴权结果,然后判断自身计算出的鉴权结果与终端鉴权响应消息中的鉴权结果MS_RESULT是否相同,如果相同,则执行步骤506,否则,执行步骤505。
这里,如果在步骤503中,MS计算鉴权结果时使用了与鉴权实体事先所共同确定的参数,则在步骤504中,鉴权实体计算鉴权结果时同样使用与MS事先所共同确定的该参数。
步骤505:鉴权实体通过核心网实体和BSS将鉴权失败消息发送至MS,拒绝MS接入网络,并结束本流程。
步骤506:鉴权实体通过核心网实体和BSS将鉴权成功消息发送至MS,允许MS接入网络。
步骤507:MS接收到鉴权成功消息,随机产生终端对***进行鉴权的终端侧鉴权参数RAND_MS,并保存,然后通过BSS和核心网实体将携带该终端侧鉴权参数RAND_MS的鉴权请求消息发送给鉴权实体。
步骤508:鉴权实体接收到携带终端侧鉴权参数RAND_MS的鉴权请求消息后,根据该消息中的终端侧鉴权参数RAND_MS和自身保存的鉴权算法AuthNetFunction和密钥Ksm,计算出自身的鉴权结果NET_RESULT,然后通过核心网实体和BSS将携带有鉴权结果NET_RESULT的***鉴权响应消息发送给MS。
这里,鉴权实体在计算鉴权结果时,也可以利用自身与MS事先所共同确定的其它参数。
步骤509:MS接收到携带有NET_RESULT的***鉴权响应消息后,根据自身保存的终端侧鉴权参数RAND_MS以及对***进行鉴权的算法AuthNetFunction和密钥Ksm,计算出鉴权结果,然后判断自身计算出的鉴权结果与***鉴权响应消息中携带的鉴权结果NET_RESULT是否相同,如果相同,则执行步骤511,否则,执行步骤510。
这里,如果在步骤508中,鉴权实体计算鉴权结果时使用了与MS事先所共同确定的参数,则在步骤509中,MS算鉴权结果时同样使用与鉴权实体事先所共同确定的该参数。
步骤510:MS通过BSS和核心网实体向鉴权实体返回鉴权失败消息,并向用户显示对网络鉴权失败信息,结束本流程。
步骤511:MS通过BSS和核心r网实体向鉴权实体返回鉴权成功消息,并向用户显示对网络鉴权成功信息,提示用户可以进行数字集群业务。
至此,本发明完成了***对终端鉴权和终端对***鉴权的双向鉴权过程。
图6是在本发明中CDMA***要求广播鉴权时对数字集群业务进行鉴权的流程图。参见图4和图6,如果CDMA数字集群***要求广播鉴权,即CDMA***发送广播消息,并且在广播消息中携带***对终端进行鉴权的***侧鉴权参数RAND_NET,主动要求MS在发送反向接入消息时进行鉴权,那么本发明实现对数字集群业务进行双向鉴权的具体过程包括以下步骤:
步骤601:MS接收CDMA***中BSS发来的广播消息,根据广播消息中携带的***侧鉴权参数RAND_NET和自身保存的鉴权算法AuthMSFunction和密钥Ksn,计算出自身鉴权结果MS_RESULT,然后将鉴权结果MS_RESULT携带在业务请求中通过BSS和核心网实体发送给鉴权实体。
步骤602:鉴权实体接收到携带有MS_RESULT的业务请求,根据广播消息中的***侧鉴权参数RAND_NET以及对MS鉴权的算法AuthMSFunction和密钥Ksn,计算出鉴权结果,然后判断自身计算出的鉴权结果与业务请求中的鉴权结果MS_RESULT是否相同,如果相同,则执行步骤604,否则,执行步骤603。
步骤603~步骤609的所有描述与步骤505~步骤511的所有描述完全相同。
图7是在本发明中CDMA***要求广播鉴权时对数字集群业务进行鉴权的简化流程图。参见图4和图7,如果CDMA数字集群***要求广播鉴权,并且在广播消息中携带***对终端进行鉴权的***侧鉴权参数RAND_NET时,本发明也可采用一种简化的流程对数字集群业务进行双向鉴权,包括以下步骤:
步骤701:MS接收CDMA***中BSS发来的广播消息,根据广播消息中携带的***侧鉴权参数RAND_NET和自身保存的鉴权算法AuthMSFunction和密钥Ksn,计算出自身鉴权结果MS_RESULT,并随机产生并保存终端侧鉴权参数RAND_MS,然后将鉴权结果MS_RESULT和终端侧鉴权参数RAND_MS携带在业务请求中通过BSS和核心网实体发送给鉴权实体。
步骤702:鉴权实体接收到携带有鉴权结果MS_RESULT和终端侧鉴权参数RAND_MS的业务请求后,根据广播消息中携带的***侧鉴权参数RAND_NET和自身保存的鉴权算法AuthMSFunction和密钥Ksn,计算出鉴权结果,然后判断自身计算的鉴权结果与业务请求中携带的鉴权结果MS_RESULT是否相同,如果相同,则执行步骤704,否则,执行步骤703。
这里,鉴权实体可通过核心网实体从BSS处获得广播消息。
步骤703:鉴权实体通过核心网实体和BSS向MS返回鉴权失败消息,拒绝MS接入网络,结束本流程。
步骤704:鉴权实体根据业务请求中携带的终端侧鉴权参数RAND_MS和自身保存的鉴权算法AuthNetFunction和密钥Ksm,计算出自身的鉴权结果NET_RESULT,通过核心网实体和BSS向MS返回携带该鉴权结果NET_RESULT的鉴权成功消息。
步骤705:MS接收到携带有鉴权结果NET_RESULT的鉴权成功消息,根据自身保存的终端侧鉴权参数RAND_MS和鉴权算法AuthNetFunction和密钥Ksm,计算出鉴权结果,然后判断自身计算出的鉴权结果与鉴权成功消息中的鉴权结果NET_RESULT是否相同,如果相同,则执行步骤707,否则,执行步骤706。
步骤706:MS向用户显示对***鉴权失败信息,结束本流程。
步骤707:MS向用户显示对***鉴权成功信息,提示用户可以进行数字集群业务。
在上述图5、图6和图7所示鉴权过程中所传输的部分消息,包括业务响应消息、MS鉴权响应消息、鉴权成功消息、鉴权失败消息、鉴权请求消息和***鉴权响应消息,可以是新定义的消息;也可以是以Data BurstMessage封装发送的消息,即使用Data Burst承载模式但内容为所述鉴权内容的消息;还可以是将前向控制信道或者业务接入信道上的某一消息进行相应扩展后的消息,比如,上述携带有鉴权结果NET_RESULT的***鉴权响应消息,可以是将前向控制信道上发送的消息Authentication ChallengeMessage的某一字段进行扩展,使其携带参数NET_RESULT后得到的。
为了进一步简化鉴权所涉及的流程,本发明也可只在MS发送的业务请求为申请登记请求时才进行上述的双向鉴权过程,在MS发起其它业务请求,比如始呼、终呼、紧急呼叫及其它业务类型请求时,不进行上述的双向鉴权过程。
由上可见,本发明是针对现有技术中对语音业务和分组数据业务进行鉴权时,必须通过CDMA***中不同的网络实体且进行不同鉴权处理流程所造成的鉴权过程耗时,浪费***资源的缺点,在CDMA***中采用一种较为简单的鉴权网络结构,在对终端的语音业务和分组数据业务进行鉴权时均采用该鉴权网络结构,进行统一的鉴权流程,从而节约网络资源。同时,本发明针对现有技术仅完成***对终端单向鉴权过程,无法满足数字集群业务对安全性要求的缺点,采用本发明中的鉴权网络结构,完成***对终端和终端对***的双向鉴权过程。
总之,以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (10)

1、一种在码分多址***中开展数字集群业务时的鉴权方法,其特征在于,设置核心网实体和鉴权实体,并分别建立核心网实体与基站子***和鉴权实体的连接,在移动台和所设置的鉴权实体内部存储鉴权算法和密钥,该方法还包括以下步骤:
A、移动台获得***侧鉴权参数,根据该***侧鉴权参数和自身保存的鉴权算法和密钥计算出鉴权结果M1,并将该鉴权结果M1通过基站子***和核心网实体发送至鉴权实体;
B、鉴权实体根据***侧鉴权参数和自身保存的鉴权算法和密钥计算出鉴权结果M2,判断该鉴权结果M2与移动台发来的鉴权结果M1是否相同,如果相同,则执行步骤C,否则结束当前鉴权流程;
C、鉴权实体获得终端侧鉴权参数,根据该终端侧鉴权参数和自身保存的鉴权算法和密钥计算出鉴权结果N1,并将该鉴权结果N1通过核心网实体和基站子***发送至移动台;
D、移动台根据终端侧鉴权参数和自身保存的鉴权算法和密钥计算出鉴权结果N2,判断该鉴权结果N2与鉴权实体发来的鉴权结果N1是否相同,如果相同,则鉴权成功,否则鉴权失败。
2、根据权利要求1所述的方法,其特征在于,所述设置核心网实体和鉴权实体的步骤包括:
当核心网采用电路模式时,将移动交换中心MSC和拜访位置寄存器VLR作为核心网实体,将归属位置寄存器HLR或鉴权中心AC进行分组域鉴权功能扩充,并将功能扩充后的HLR或AC作为鉴权实体;
当核心网采用分组模式时,将分组控制功能实体PCF和分组数据服务节点PDSN作为核心网实体,将认证授权计费实体AAA进行无线侧鉴权功能扩充,并将功能扩充后的AAA作为鉴权实体;
其中,所述核心网实体与鉴权实体通过连接功能扩充后的接口进行连接。
3、根据权利要求1所述的方法,其特征在于,所述鉴权实体和移动台内部存储的鉴权算法和密钥包括:***对终端的鉴权算法和密钥以及终端对***的鉴权算法和密钥。
4、根据权利要求3所述的方法,其特征在于,步骤A中,移动台根据***侧鉴权参数和自身存储的***对终端的鉴权算法和密钥计算出所述鉴权结果M1;步骤B中,鉴权实体根据***侧鉴权参数和自身存储的***对终端的鉴权算法和密钥计算出所述鉴权结果M2;步骤C中,鉴权实体根据终端侧鉴权参数和自身存储的终端对***的鉴权算法和密钥计算出所述鉴权结果N1;步骤D中,移动台根据终端侧鉴权参数和自身存储的终端对***的鉴权算法和密钥计算出所述鉴权结果N2。
5、根据权利要求1所述的方法,其特征在于,在步骤A中,所述移动台获得***侧鉴权参数的步骤包括:
A11、移动台在反向信道上通过基站子***和核心网实体向鉴权实体发送业务请求消息;
A12、鉴权实体接收到业务请求消息后,随机生成***侧鉴权参数,然后通过核心网实体和基站子***将携带***侧鉴权参数的业务响应消息发送至移动台。
6、根据权利要求1所述的方法,其特征在于,在步骤A中,所述移动台获得***侧鉴权参数的步骤为:移动台接收基站子***发送的广播消息,并从所接收到的广播消息中获得***侧鉴权参数。
7、根据权利要求1所述的方法,其特征在于,步骤C中,所述鉴权实体获得终端侧鉴权参数的步骤包括:
C11、鉴权实体将鉴权成功消息通过核心网实体和基站子***发送给移动台;
C12、移动台接收到鉴权成功消息后随机产生终端侧鉴权参数,然后通过基站子***和核心网实体将该终端侧鉴权参数发送至鉴权实体。
8、根据权利要求1所述的方法,其特征在于,在步骤A中,移动台在获得***侧鉴权参数时随机产生终端侧鉴权参数,通过基站子***和核心网实体将计算出的鉴权结果M1和该终端侧鉴权参数一起发送至鉴权实体,由鉴权实体保存该终端侧鉴权参数;
步骤C中,鉴权实体由自身获得所述终端侧鉴权参数。
9、根据权利要求1所述的方法,其特征在于,所述鉴权结果M1和鉴权结果N1是携带在新定义的消息中进行传输的,或是以Data Burst Message封装发送的消息进行传输,或是携带在前向控制信道或者业务接入信道上的任一消息中进行传输的。
10、根据权利要求9所述的方法,其特征在于,所述鉴权结果M1是携带在申请登记请求中进行传输的。
CNB2004100702227A 2004-07-30 2004-07-30 一种在码分多址***中开展数字集群业务时的鉴权方法 Expired - Lifetime CN100550729C (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CNB2004100702227A CN100550729C (zh) 2004-07-30 2004-07-30 一种在码分多址***中开展数字集群业务时的鉴权方法
PCT/CN2005/001171 WO2006010343A1 (fr) 2004-07-30 2005-08-01 Procede et systeme d'identification pour service a grappes numeriques

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CNB2004100702227A CN100550729C (zh) 2004-07-30 2004-07-30 一种在码分多址***中开展数字集群业务时的鉴权方法

Publications (2)

Publication Number Publication Date
CN1728635A true CN1728635A (zh) 2006-02-01
CN100550729C CN100550729C (zh) 2009-10-14

Family

ID=35785914

Family Applications (1)

Application Number Title Priority Date Filing Date
CNB2004100702227A Expired - Lifetime CN100550729C (zh) 2004-07-30 2004-07-30 一种在码分多址***中开展数字集群业务时的鉴权方法

Country Status (2)

Country Link
CN (1) CN100550729C (zh)
WO (1) WO2006010343A1 (zh)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN100433861C (zh) * 2006-09-30 2008-11-12 华为技术有限公司 对集群用户进行处理的方法和集群用户处理***
CN101141711B (zh) * 2007-10-12 2010-11-10 中兴通讯股份有限公司 一种集群***资源建立的并行处理方法
CN103096317A (zh) * 2011-11-08 2013-05-08 中国电信股份有限公司 一种基于共享加密数据的双向鉴权方法及***
CN103108291A (zh) * 2011-11-15 2013-05-15 中国电信股份有限公司 短信发送方法、移动交换中心和移动通信***
CN104253806A (zh) * 2013-06-29 2014-12-31 华为终端有限公司 鉴权方法、客户端及服务器
CN112565285A (zh) * 2020-12-16 2021-03-26 卡斯柯信号(成都)有限公司 一种适用于轨道交通的通信加密方法
WO2021208027A1 (zh) * 2020-04-15 2021-10-21 青岛交互物联科技有限公司 一种入网双向鉴权的方法及装置

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112910652B (zh) * 2021-01-18 2022-11-08 湖南海格力士智能科技有限公司 遥控器识别方法及遥控器识别装置

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FI106605B (fi) * 1997-04-16 2001-02-28 Nokia Networks Oy Autentikointimenetelmä
KR100506076B1 (ko) * 2000-03-23 2005-08-04 삼성전자주식회사 패스워드를 기반으로 한 상호 인증 및 키 교환방법과 그장치
CN1467943A (zh) * 2002-07-10 2004-01-14 ����ͨѶ�ɷ����޹�˾ 实现双向鉴权的码分多址***和方法

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN100433861C (zh) * 2006-09-30 2008-11-12 华为技术有限公司 对集群用户进行处理的方法和集群用户处理***
CN101141711B (zh) * 2007-10-12 2010-11-10 中兴通讯股份有限公司 一种集群***资源建立的并行处理方法
CN103096317A (zh) * 2011-11-08 2013-05-08 中国电信股份有限公司 一种基于共享加密数据的双向鉴权方法及***
CN103096317B (zh) * 2011-11-08 2016-04-20 中国电信股份有限公司 一种基于共享加密数据的双向鉴权方法及***
CN103108291A (zh) * 2011-11-15 2013-05-15 中国电信股份有限公司 短信发送方法、移动交换中心和移动通信***
CN104253806A (zh) * 2013-06-29 2014-12-31 华为终端有限公司 鉴权方法、客户端及服务器
CN104253806B (zh) * 2013-06-29 2017-11-17 华为终端有限公司 鉴权方法、客户端及服务器
WO2021208027A1 (zh) * 2020-04-15 2021-10-21 青岛交互物联科技有限公司 一种入网双向鉴权的方法及装置
CN112565285A (zh) * 2020-12-16 2021-03-26 卡斯柯信号(成都)有限公司 一种适用于轨道交通的通信加密方法
CN112565285B (zh) * 2020-12-16 2023-03-24 卡斯柯信号(成都)有限公司 一种适用于轨道交通的通信加密方法

Also Published As

Publication number Publication date
WO2006010343A1 (fr) 2006-02-02
CN100550729C (zh) 2009-10-14

Similar Documents

Publication Publication Date Title
US11805566B2 (en) Connection reactivation method, access and mobility management function entity, and system
CN1968534A (zh) 用于在移动通信***中连接重建的方法
CN1722694A (zh) 控制不同网络间转换的方法、介质和装置
CN1922908A (zh) 点对多点数据通信
CN1910839A (zh) 用于建立移动终端的无线承载的装置和方法
CN1835436A (zh) 一种通用鉴权框架及一种实现鉴权的方法
US7945053B2 (en) Methods and apparatus for a keying mechanism for end-to-end service control protection
WO2019192445A1 (zh) 一种组播组创建、组播组加入方法及装置
CN1596556A (zh) 用于选择无线服务节点的***和方法
CN1656744A (zh) 使用本地链路对无线通信设备的仿真
CN1819698A (zh) 一种目标基站获取鉴权密钥上下文信息的方法
EP2020101B1 (en) Method and apparatus for a protected paging indication mechanism within wireless networks including multiple access points
CN1941695A (zh) 初始接入网络过程的密钥生成和分发的方法及***
CN1549619A (zh) 通知用户设备业务结束的方法
CN1921379A (zh) 一种目标鉴权者/密钥提供者获取密钥的方法
CN1625851A (zh) 混合通信网络中的切换
CN1728635A (zh) 一种在码分多址***中开展数字集群业务时的鉴权方法
CN1905734A (zh) 一种目标基站获取鉴权密钥的方法及***
CN1301034C (zh) 一种用户设备发起位置信息请求的处理方法
CN1925671A (zh) 一种加密模式下***切换的实现方法
CN1794873A (zh) 一种位置更新控制方法
CN101039457A (zh) 撷取一点对多点多媒体广播及群播服务信息的方法及装置
CN1619993A (zh) 基于网络控制的终端间直接通信的方法
CN1794878A (zh) 对移动终端状态转换过程中的非接入层信令的处理方法
CN1852474A (zh) 一种实现小区多媒体广播业务的方法及***

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
TR01 Transfer of patent right

Effective date of registration: 20220118

Address after: 450046 Floor 9, building 1, Zhengshang Boya Plaza, Longzihu wisdom Island, Zhengdong New Area, Zhengzhou City, Henan Province

Patentee after: xFusion Digital Technologies Co., Ltd.

Address before: 518129 Bantian HUAWEI headquarters office building, Longgang District, Guangdong, Shenzhen

Patentee before: HUAWEI TECHNOLOGIES Co.,Ltd.

TR01 Transfer of patent right