TWI451783B - Gsm漫遊認證方法 - Google Patents

Gsm漫遊認證方法 Download PDF

Info

Publication number
TWI451783B
TWI451783B TW101100670A TW101100670A TWI451783B TW I451783 B TWI451783 B TW I451783B TW 101100670 A TW101100670 A TW 101100670A TW 101100670 A TW101100670 A TW 101100670A TW I451783 B TWI451783 B TW I451783B
Authority
TW
Taiwan
Prior art keywords
code
access terminal
authentication
new access
key
Prior art date
Application number
TW101100670A
Other languages
English (en)
Other versions
TW201330663A (zh
Inventor
Tzone Lih Hwang
Original Assignee
Univ Nat Cheng Kung
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Univ Nat Cheng Kung filed Critical Univ Nat Cheng Kung
Priority to TW101100670A priority Critical patent/TWI451783B/zh
Priority to US13/734,235 priority patent/US8855604B2/en
Publication of TW201330663A publication Critical patent/TW201330663A/zh
Application granted granted Critical
Publication of TWI451783B publication Critical patent/TWI451783B/zh

Links

Landscapes

  • Mobile Radio Communication Systems (AREA)

Description

GSM漫遊認證方法
本發明係關於一種GSM通訊認證方法,尤其是一種用於開放式通道之GSM漫遊認證方法。
由於全球行動通訊系統(Global System for Mobile Communication,GSM)採用數位調變、身分認證及訊息加密等機制,相較於採用類比調變的通訊系統,具有保密性高、系統服務容量增加、可傳輸數據資料等優點,因此,已廣泛地使用在歐洲及其他全球各地。
請參閱第1圖所示,其係習知GSM架構之系統示意圖,其中,習知GSM通訊系統9包含一使用端(Mobile Station)91、一新訪問端(New Visitor Location Register,New VLR)92a、一舊訪問端(Old Visitor Location Register,Old VLR)92b及一歸屬端(Home Location Register,HLR)93,該新訪問端92a耦接該使用端91及該舊訪問端92b,該歸屬端93耦接該舊訪問端92b,其中,假設該新訪問端92a與該舊訪問端92b之間的傳輸通道為安全通道(secure channel)SC,且該舊訪問端92b與該歸屬端93之間的傳輸通道為安全通道SC,且該新訪問端92a與該舊訪問端92b互為信賴方。
當該使用端91由該舊訪問端92b的通訊範圍移動至該新訪問端92a的通訊範圍時,該使用端91將改向該訪問端92a請求提供漫遊(roaming)服務時,須進行習知GSM漫遊認證方法,先由該使用端91向該新訪問端92a請求提供服務,該新訪問端92a須向該舊訪問端92b取得一鑑別資料(即n組{RAND,SRES,Kc}),並由該鑑別資料中選取一亂數碼RAND傳送至該使用端91,待該使用端91以該亂數碼RAND產生一認證簽署碼SRES’後,將該認證簽署碼SRES’傳送至該新訪問端92a進行確認。藉此,該新訪問端92a可以認證(authenticate)該使用端91之身份是否合法,並提供合法之使用端91所需的漫遊服務。
惟,由於該新訪問端92a及該舊訪問端92b之間需滿足互為信賴方及安全通道等假設,且該新訪問端92a與該舊訪問端92b之間的資料(例如:該鑑別資料等)係以明文方式傳輸,當該使用端91、該新訪問端92a及該舊訪問端92b之間的資料經由開放式通道(或稱公眾通道)傳遞時,並無法滿足上述互為信賴方及安全通道等假設,因此,習知GSM漫遊認證方法並無法用於開放式通道,而且,所傳輸的資料可能面臨來自其他通訊系統的威脅,例如:干擾、攔截、竊聽或欺騙等。
再者,習知GSM漫遊認證方法須滿足互為信賴方及安全通道等假設,上述假設並無法相容於異質性通訊系統(例如:不同通訊系統);且通訊距離增加將提高資料面臨上述威脅之風險,因此,該新訪問端92a對該使用端91進行認證時,僅適用於同質性通訊系統(例如:同為GSM通訊系統)及短距離通訊,因此,無法於異質性通訊系統及長距離通訊,使習知GSM漫遊認證方法之適用範圍受限。
另,由於該使用端91的運算能力有限,因此,針對習知GSM漫遊認證方法進行改良時,必須降低該使用端91的運算量,同時,必須與習知GSM通訊協定之漫遊認證方法相容。
綜上所述,習知GSM漫遊認證方法不僅需要滿足互為信賴方及安全通道等假設,在實際使用時更衍生諸多限制與缺點,確有不便之處,亟需進一步改良,提升其實用性。
本發明的目的乃改良上述之缺點,以提供一種GSM漫遊認證方法,藉由新訪問端及舊訪問端共同擁有一共享金鑰,作為雙方資料鑑別之依據,而適用於開放式通道傳輸資料者。
本發明之次一目的,係提供一種GSM漫遊認證方法,藉由新訪問端及舊訪問端共同擁有一共享金鑰,作為雙方資料鑑別之依據,而適用於異質性通訊系統者。
本發明之另一目的,係提供一種GSM漫遊認證方法,藉由新訪問端及舊訪問端共同擁有一共享金鑰,作為雙方資料鑑別之依據,而適用於長距離通訊者。
一種GSM漫遊認證方法,係包含:一請求程序,係由一使用端將一暫時身分碼傳送至一新訪問端,用以向該新訪問端請求提供漫遊服務;一詢問程序,係由該新訪問端產生一挑戰碼,並將該挑戰碼及該暫時身分碼傳送至一舊訪問端;一回應程序,係由該舊訪問端確認該暫時身分碼,再以該挑戰碼、一鑑別資料、一國際身分碼及一共享金鑰產生一回應碼,並將該回應碼傳送至該新訪問端;一通知程序,係由該新訪問端以該共享金鑰確認該回應碼,並將該亂數碼序列之一亂數碼傳送至該使用端;及一認證程序,係由該使用端以一加密金鑰及該亂數碼產生一認證簽署碼,並將該認證簽署碼傳送至該新訪問端,由該新訪問端確認該認證簽署碼,以作為提供漫遊服務之依據。
其中,該挑戰碼為隨機產生之亂數、隨時間產生之時戳或依序產生之序號。
其中,該通知程序係由該新訪問端確認該回應碼中的挑戰碼與該新訪問端所傳送之挑戰碼是否相對應。
其中,該通知程序係由該新訪問端確認該挑戰碼無誤後,儲存該鑑別資料及該國際身分碼。
一種GSM漫遊認證方法,係包含:一請求程序,係由一使用端產生一第一挑戰碼,再將該第一挑戰碼及一暫時身分碼傳送至一新訪問端,用以向該新訪問端請求提供漫遊服務;一詢問程序,係由該新訪問端產生一第二挑戰碼,再將該第一挑戰碼、該第二挑戰碼及該暫時身分碼傳送至一舊訪問端;一回應程序,係由該舊訪問端確認該暫時身分碼,再以該第二挑戰碼、一鑑別資料、一國際身分碼、一認證金鑰及一共享金鑰產生一回應碼,再將該回應碼傳送至該新訪問端;一通知程序,係由該新訪問端以該共享金鑰確認該回應碼,再以該第一挑戰碼及該認證金鑰產生一認證碼,再將該認證碼及該亂數碼序列之一亂數碼傳送至該使用端;及一認證程序,係由該使用端產生該認證金鑰,並以該認證金鑰確認該認證碼,再以該加密金鑰及該亂數碼產生一認證簽署碼,並將該認證簽署碼傳送至該新訪問端,由該新訪問端確認該認證簽署碼,以作為提供漫遊服務之依據。
其中,該第一挑戰碼為隨機產生之亂數、隨時間產生之時戳或依序產生之序號。
其中,該第二挑戰碼為隨機產生之亂數、隨時間產生之時戳或依序產生之序號。
其中,該通知程序係由該新訪問端確認該回應碼中的第二挑戰碼與該新訪問端所傳送之第二挑戰碼是否相對應。
其中,該使用端係以該第一挑戰碼及該加密金鑰產生該認證金鑰。
其中,該使用端係將該第一挑戰碼及該加密金鑰依據一雜湊函數進行運算,而產生該認證金鑰。
其中,該新訪問端確認該第二挑戰碼無誤後,儲存該鑑別資料、該國際身分碼及該認證金鑰。
其中,該舊訪問端儲存該鑑別資料、該國際身分碼及該認證金鑰。
其中,該使用端係將該亂數碼及該加密金鑰依據一雜湊函數進行運算,而產生該認證簽署碼。
其中,該通知步驟係由該亂數碼序列之中選取一個未使用過的亂數碼。
為讓本發明之上述及其他目的、特徵及優點能更明顯易懂,下文特舉本發明之較佳實施例,並配合所附圖式,作詳細說明如下:本發明全文所述之「使用端」(Mobile Station,MS),係指GSM通訊系統中,可以供使用者隨身攜帶之行動收發訊號裝置(即手機,Mobile Phone),係本發明所屬技術領域中具有通常知識者可以理解。
本發明全文所述之「新訪問端」(New Visitor Location Register,New VLR),係指GSM通訊系統中,提供使用端新的漫遊相關服務內容之訪問者位置暫存系統或網路,係本發明所屬技術領域中具有通常知識者可以理解。
本發明全文所述之「舊訪問端」(Old Visitor Location Register,Old VLR),係指GSM通訊系統中,提供使用端原有漫遊相關服務內容之訪問者位置暫存系統或網路,係本發明所屬技術領域中具有通常知識者可以理解。
本發明全文所述之「歸屬端」(Home Location Register,HLR),係指GSM通訊系統中,可以提供使用端註冊或登錄相關服務內容之歸屬者位置暫存系統或網路,係本發明所屬技術領域中具有通常知識者可以理解。
本發明全文所述之「耦接」(coupling),係指二裝置之間藉由有線實體、無線媒介或其組合等方式,而使該二裝置之資料可以相互傳遞,係本發明所屬技術領域中具有通常知識者可以理解。
本發明全文所述之「國際身分碼」(International Mobile Subscriber Identity,IMSI),係指使用端申請註冊時,由歸屬端指定之數碼,供歸屬端辨識使用端之身分,係本發明所屬技術領域中具有通常知識者可以理解。
本發明全文所述之「暫時身分碼」(Temporary Mobile Subscriber Identity,TMSI),係指使用端完成身分認證後,由舊訪問端指定之數碼,供舊訪問端辨識使用端之身分,係本發明所屬技術領域中具有通常知識者可以理解。
本發明全文所述之「加密金鑰」(ciphering key),係指使用端與歸屬端共有之金鑰,用以進行資料加/解密,係本發明所屬技術領域中具有通常知識者可以理解。
本發明全文所述之「共享金鑰」(sharing key),係指新訪問端與舊訪問端共有之金鑰,用以進行資料加/解密,係本發明所屬技術領域中具有通常知識者可以理解。
本發明全文所述之「認證金鑰」(authenticating key),係指使用端及歸屬端皆可自行產生之金鑰,用以認證使用端之身分,係本發明所屬技術領域中具有通常知識者可以理解。
請參閱第2圖所示,其係本發明GSM漫遊認證方法之系統示意圖,包含一使用端(Mobile Station)1、一新訪問端(New Visitor Location Register,New VLR)2a及一舊訪問端(Old Visitor Location Register,Old VLR)2b,該新訪問端2a耦接該使用端1及該舊訪問端2b,該舊訪問端2b另耦接一歸屬端(Home Location Register,HLR)3,該使用端1、該新訪問端2a、該舊訪問端2b及該歸屬端3之構造係本發明所屬領域具有通常知識者可以理解,在此容不贅述。
請一併參閱第3及4圖所示,其係本發明GSM漫遊認證方法之流程圖及第一實施例的步驟示意圖,包含一請求程序S1、一詢問程序S2、一回應程序S3、一通知程序S4及一認證程序S5。其中:
該請求程序S1,係由該使用端1將一暫時身分碼(TMSI)傳送至一新訪問端2a,用以向該新訪問端2a請求提供漫遊服務,之後,進行該詢問程序S2。詳言之,由於該使用端1位於該舊訪問端2b之通訊範圍內時,該舊訪問端2b已事先指定該暫時身分碼給該使用端1,因此,當該使用端1移動至該新訪問端2a之通訊範圍內時,該使用端1可改向該新訪問端2a請求提供漫遊服務,此時,由於該新訪問端2a不具備用以認證該使用端1之資料,因此,該新訪問端2a無法確認該使用端1之身分是否合法,而須向該舊訪問端2b取得有關該使用端1之資料,用以認證該使用端1之身分,待確認該使用端1為合法身分後,該新訪問端2a才能提供該使用端1所需之漫遊服務內容。
該詢問程序S2,係由該新訪問端2a產生一挑戰碼,並將該挑戰碼及該暫時身分碼傳送至該舊訪問端2b,之後,進行該回應程序S3。其中,該詢問程序S2係由該新訪問端2a依序進行一步驟S21及一步驟S22。
該步驟S21係由該新訪問端2a接收該暫時身分碼及產生該挑戰碼。詳言之,當該新訪問端2a接收該暫時身分碼後,即得知該使用端1請求該新訪問端2a提供漫遊服務,此時,該新訪問端2a將會儲存該暫時身分碼,並向該舊訪問端2b取得有關認證該使用端1之資料,因此,為確保由該舊訪問端2b所取得資料的有效性,該新訪問端2a將會產生該挑戰碼,並加以儲存,該挑戰碼係為隨機產生、不可重複及單次使用之數值,例如:隨機產生之亂數、隨時間產生之時戳或依序產生之序號等。
該步驟S22係由該新訪問端2a傳送該挑戰碼及該暫時身分碼至該舊訪問端2b。詳言之,由於該使用端1及該舊訪問端2b同時存有該暫時身分碼,因此,可憑藉該暫時身分碼,由該舊訪問端2b取得有關認證該使用端1之資料,並憑藉該挑戰碼或該挑戰碼之對應數值是否由該舊訪問端2b正確傳回,來確保該使用端1之資料的有效性。
該回應程序S3,係由該舊訪問端2b確認該暫時身分碼,再以該挑戰碼、一鑑別資料、一國際身分碼(IMSI)及一共享金鑰產生一回應碼,並將該回應碼傳送至該新訪問端2a。之後,進行該通知程序S4。其中,該回應程序S3係由該舊訪問端2b依序進行一步驟S31、一步驟S32及一步驟S33。
該步驟S31係由該舊訪問端2b接收該暫時身分碼,並確認該暫時身分碼是否無誤。詳言之,由於該舊訪問端2b及該使用端1共同擁有同一暫時身分碼,因此,該舊訪問端2b可以將已儲存之暫時身分碼與接收自該新訪問端2a的暫時身分碼相比對,若比對結果無誤(即兩者相同),則繼續進行該步驟S32,否則,停止進行後續步驟。
該步驟S32係由該舊訪問端2b以該挑戰碼、該鑑別資料、該國際身分碼及該共享金鑰產生該回應碼,其中,該鑑別資料及該國際身分碼係預先儲存於該舊訪問端,該鑑別資料包含一亂數碼序列、一簽署碼序列及一通訊金鑰序列,該亂數碼序列包含數個亂數碼(例如:r1 ,...,rm 等m個亂數碼),該簽署碼序列包含數個簽署碼(例如:s1 ,...,sm 等m個簽署碼),該通訊金鑰序列包含數個通訊金鑰(例如:k1 ,...,km 等m個亂數碼)。詳言之,藉由該共享金鑰對資料進行加解密,可以確保資料的安全性,當該舊訪問端2b傳輸資料至該新訪問端2a時,可以防止來自其他通訊系統的威脅,例如:干擾、攔截、竊聽或欺騙等。再者,該舊訪問端2b可以選擇將該挑戰碼傳回該新訪問端2a,或由該挑戰碼產生一對應數值,例如:該對應數值為該挑戰碼的二進位補數等,再將該對應數值傳回該新訪問端2a,作為該新訪問端2a識別該舊訪問端2b之機制。在此實施例中,係以該舊訪問端2b將該挑戰碼傳回該新訪問端2a作為實施態樣。接著,該舊訪問端2b將該挑戰碼、該鑑別資料及該國際身分碼藉由該共享金鑰進行加密,而產生該回應碼,其中,該回應碼之產生方式為習知可以藉由金鑰進行資料加密之方式,如下式(1)所示:
其中,C為該回應碼:E為加密函數,例如:DES或3DES等對稱式加密演算法:K2a2b 為該新訪問端2a及該舊訪問端2b共有的共享金鑰;N為該挑戰碼或由該挑戰碼所產生之對應數值;B為該鑑別資料;IMSI為該國際身分碼。
該步驟S33係由該舊訪問端2b將該回應碼傳送至該新訪問端2a。詳言之,該回應碼係由該舊訪問端2b經由開放式通道傳送至該新訪問端2a。
該通知程序S4,係由該新訪問端2a以該共享金鑰確認該回應碼,並將該亂數碼序列之一亂數碼傳送至該使用端1。之後,進行該認證程序S5。其中,該通知程序S4係由該新訪問端2a依序進行一步驟S41及一步驟S42。
該步驟S41係由該新訪問端2a接收該回應碼,並以該共享金鑰確認該回應碼。詳言之,由於該新訪問端2a與該舊訪問端2b共同擁有該共享金鑰,因此,該新訪問端2a可由該共享金鑰對該回應碼進行解密,其解密方式為該舊訪問端2b加密方式之對應解密方式,在此容不贅述,該新訪問端2a可由該回應碼解密後的資料(例如:該挑戰碼、該鑑別資料及該國際身分碼),確認該回應碼是否包含該新訪問端2a所傳送之挑戰碼或該挑戰碼之對應數值,即確認該回應碼中的挑戰碼與該新訪問端2a所傳送之挑戰碼是否相對應,若確認結果為「是」,該新訪問端2a儲存該鑑別資料及該國際身分碼,否則,停止進行後續步驟,藉此確認該回應碼是否由合法的舊訪問端2b傳回。
該步驟S42係由該新訪問端2a將該鑑別資料之亂數碼序列的一亂數碼傳送至該使用端1。詳言之,該新訪問端2a係由該亂數碼序列之中選擇一個未使用過的亂數碼,例如:首次認證時選擇該亂數碼序列的第一個亂數碼(r1 ),後續進行認證時,依序選擇第二、三、...亂數碼(r2,3,... ),待將所選擇之亂數碼紀錄後,傳送至該使用端1,用以由該使用端1是否正確傳回該亂數碼對應之簽署碼,作為認證該使用端1之依據。
該認證程序S5,係由該使用端1以該加密金鑰及該亂數碼產生一認證簽署碼,並將該認證簽署碼傳送至該新訪問端2a,由該新訪問端2a確認該認證簽署碼,以作為提供漫遊服務之依據。其中,該認證程序S5係由該使用端1進行一步驟S51及一步驟S52,再由該新訪問端2a進行一步驟S53。
該步驟S51係由該使用端1接收該新訪問端2a所傳送之亂數碼,並以該亂數碼及該加密金鑰依據一雜湊函數(例如:A3單向雜湊函數)進行運算,而產生該認證簽署碼。詳言之,由於該使用端1與該歸屬端3共同擁有該加密金鑰,且該使用端1具有產生該簽署碼之能力,例如:利用A3單向雜湊函數等方式運算,因此,該使用端1可以由該亂數碼及該加密金鑰進行運算,而產生該認證簽署碼。
該步驟S52係由該使用端1將該認證簽署碼傳送至該新訪問端2a。詳言之,由於該認證簽署碼係由該使用端1以相同於該歸屬端3之簽署碼的運算方式所產生,因此,該認證簽署碼可供該新訪問端2a作為認證該使用端1的資料。
該步驟S53係由該新訪問端2a確認該認證簽署碼。詳言之,由於該新訪問端2a已預先儲存該鑑別資料,且該新訪問端2a已將傳送至該使用端1的亂數碼加以紀錄,因此,可由該鑑別資料中找出與所傳送的亂數碼(例如:r1 )具有相同順序的簽署碼(例如:s1 ),作為確認該認證簽署碼之依據,若該認證簽署碼與所傳送的亂數碼對應之簽署碼相符,則該新訪問端2a認證該使用端1之身分為合法身分,並提供該使用端1所需之漫遊服務內容。
綜上所述,本發明GSM漫遊認證方法之第一實施例可以提供一種單向認證方法,藉由該新訪問端2a及該舊訪問端2b共同擁有該共享金鑰,作為雙方資料鑑別之依據,因此,可以在開放式通道、異質性通訊系統及長距離通訊等情形下傳輸資料,並可確保資料的安全性,避免資料受到干擾、攔截、竊聽或欺騙。
請參閱第3及5圖所示,其係本發明GSM漫遊認證方法之流程圖及第二實施例的步驟示意圖,本發明之第二實施例係提供一種雙向認證方法,包含一請求程序S1’、一詢問程序S2’、一回應程序S3’、一通知程序S4’及一認證程序S5’。其中:
該請求程序S1’,係包含一步驟S11’及一步驟S12’,由該使用端1產生一第一挑戰碼,再將該第一挑戰碼及一暫時身分碼傳送至該新訪問端2a,用以向該新訪問端2a請求提供漫遊服務,其中,該第一挑戰碼的功用為驗證該新訪問端2a的身分;該第一挑戰碼與該第一實施例之挑戰碼的產生方式大致相同,在此容不贅述。
該詢問程序S2’,係包含一步驟S21’及一步驟S22’。由該新訪問端2a接收並儲存該第一挑戰碼及該國際身分碼,且產生一第二挑戰碼,再將該第一挑戰碼、該第二挑戰碼及該暫時身分碼傳送至一舊訪問端2b,其中,該第二挑戰碼與該第一實施例之挑戰碼的功用及產生方式大致相同,在此容不贅述。
該回應程序S3’包含一步驟S31’、一步驟S32’及一步驟S33’,由該舊訪問端2b確認該暫時身分碼,再以該第二挑戰碼、一鑑別資料、一國際身分碼、一認證金鑰及一共享金鑰產生一回應碼,再將該回應碼傳送至該新訪問端2a。其中,該認證金鑰係先前由該歸屬端3產生且傳送至舊訪問端2b,待該使用端1之身分通過該舊訪問端2b之認證後,該認證金鑰則儲存於該舊訪問端2b。此外,該暫時身分碼之確認方式、該鑑別資料之組成方式、該回應碼之傳送方式與該第一實施例大致相同,在此容不贅述。其中,該回應碼之產生方式係如下式(2)所示:
其中,C為該回應碼;E為加密函數,例如:DES或3DES等對稱式加密演算法;K2a2b 為該新訪問端2a及該舊訪問端2b共有的共享金鑰;N2 為該第二挑戰碼或由該第二挑戰碼所產生之對應數值;B為該鑑別資料;IMSI為該國際身分碼;Kauth 為預先儲存於該舊訪問端2b之認證金鑰。
該通知程序S4’,包含一步驟S41’、一步驟S42’及一步驟S43’,由該新訪問端2a接收該回應碼,並以該共享金鑰解密該回應碼所包含之資料(例如:該第二挑戰碼或由該第二挑戰碼所產生之對應數值、該鑑別資料、該國際身分碼、該認證金鑰),以確認該回應碼所包含之資料與該新訪問端2a所傳送之第二挑戰碼是否相對應,例如:確認該回應碼中的第二挑戰碼與該新訪問端2a所傳送之第二挑戰碼是否相同,若確認無誤,則該新訪問端2a儲存該鑑別資料、該國際身分碼及該認證金鑰,接著,以該第一挑戰碼及該認證金鑰產生一認證碼,其中,該認證碼之產生方式為習知可以藉由金鑰進行資料加密之方式,如下式(3)所示:
其中,D為該認證碼;E為加密函數,例如:DES或3DES等對稱式加密演算法:Kauth 為該回應碼所包含之認證金鑰:N1 為該第一挑戰碼。之後,再由該新訪問端2a將該認證碼及該亂數碼序列之一亂數碼(例如:r1 )傳送至該使用端I。
該認證程序S5’,包含一步驟S51’、一步驟S52’、一步驟S53’、一步驟S54’及一步驟S55’,由該使用端1將該第一挑戰碼及該加密金鑰依據一雜湊函數(例如:A8單向雜湊函數等)產生該認證金鑰,並以該認證金鑰產生該認證碼,以確認該新訪問端2a所傳送的認證碼是否正確,並確認該第一挑戰碼與該使用端1所傳送之該第一挑戰碼相同,以此作為該使用端1認證該新訪問端2a之機制,接著,再由該使用端1以該加密金鑰及該亂數碼(例如:r1 )產生一認證簽署碼,並將該認證簽署碼傳送至該新訪問端2a,由該新訪問端2a確認該認證簽署碼,以作為提供漫遊服務之依據,其中,該認證簽署碼之產生及確認方式與該第一實施例大致相同,在此容不贅述。
綜上所述,本發明GSM漫遊認證方法之第二實施例可以提供一種雙向認證方法,藉由該新訪問端2a及該舊訪問端2b共同擁有該共享金鑰,作為雙方資料鑑別之依據,因此,可以在開放式通道、異質性通訊系統及長距離通訊等情形下傳輸資料,並可確保資料的安全性,避免資料受到干擾、攔截、竊聽或欺騙。
藉由前揭之技術手段,本發明所揭示之GSM漫遊認證方法方法的主要特點列舉如下:藉由該使用端1及該歸屬端3共同擁有該加密金鑰,該新訪問端2a及該舊訪問端2b共同擁有該共享金鑰,該使用端1及該舊訪問端2b共同擁有該認證金鑰,作為資料鑑別之依據,其中,該認證金鑰係由該歸屬端3產生且傳送至舊訪問端2b,待該使用端1之身分認證通過後,該認證金鑰則儲存於該舊訪問端2b。因此,可以在開放式通道、異質性通訊系統及長距離通訊等情形下傳輸資料,並可確保資料的安全性,避免資料受到干擾、攔截、竊聽或欺騙。
雖然本發明已利用上述較佳實施例揭示,然其並非用以限定本發明,任何熟習此技藝者在不脫離本發明之精神和範圍之內,相對上述實施例進行各種更動與修改仍屬本發明所保護之技術範疇,因此本發明之保護範圍當視後附之申請專利範圍所界定者為準。
 [本發明]
1...使用端
2a...新訪問端
2b...舊訪問端
3...歸屬端
S1,S1’...請求程序
S2,S2’...詢問程序
S3,S3’...回應程序
S4,S4’...通知程序
S5,S5’...認證程序
[習知]
9...習知GSM通訊系統
91...使用端
92a...新訪問端
92b...舊訪問端
93...歸屬端
SC...安全通道
第1圖:習知GSM架構之系統示意圖。
第2圖:本發明GSM漫遊認證方法之系統示意圖。
第3圖:本發明GSM漫遊認證方法之流程圖。
第4圖:本發明GSM漫遊認證方法之第一實施例的步驟示意圖。
第5圖:本發明GSM漫遊認證方法之第二實施例的步驟示意圖。
1...使用端
2a...新訪問端
2b...舊訪問端
3...歸屬端
S1,S1’...請求程序
S2,S2’...詢問程序
S3,S3’...回應程序
S4,S4’...通知程序
S5,S5’...認證程序

Claims (11)

  1. 一種GSM漫遊認證方法,係包含:一請求程序,係由一使用端將一暫時身分碼傳送至一新訪問端,用以向該新訪問端請求提供漫遊服務;一詢問程序,係由該新訪問端產生一挑戰碼,並將該挑戰碼及該暫時身分碼傳送至一舊訪問端,該挑戰碼為隨時間產生之時戳;一回應程序,係由該舊訪問端確認該暫時身分碼,再以該挑戰碼、一鑑別資料、一國際身分碼及一共享金鑰產生一回應碼,並將該回應碼傳送至該新訪問端;一通知程序,係由該新訪問端以該共享金鑰確認該回應碼,並將一亂數碼序列之一亂數碼傳送至該使用端;及一認證程序,係由該使用端以一加密金鑰及該亂數碼產生一認證簽署碼,並將該認證簽署碼傳送至該新訪問端,由該新訪問端確認該認證簽署碼,以作為提供漫遊服務之依據。
  2. 如申請專利範圍第1項所述之GSM漫遊認證方法,其中該通知程序係由該新訪問端確認該回應碼中的挑戰碼與該新訪問端所傳送之挑戰碼是否相對應。
  3. 如申請專利範圍第1項所述之GSM漫遊認證方法,其中該通知程序係由該新訪問端確認該挑戰碼無誤後,儲存該鑑別資料及該國際身分碼。
  4. 一種GSM漫遊認證方法,係包含:一請求程序,係由一使用端產生一第一挑戰碼,再將該 第一挑戰碼及一暫時身分碼傳送至一新訪問端,用以向該新訪問端請求提供漫遊服務,該第一挑戰碼為隨時間產生之時戳;一詢問程序,係由該新訪問端產生一第二挑戰碼,再將該第一挑戰碼、該第二挑戰碼及該暫時身分碼傳送至一舊訪問端,該第二挑戰碼為隨時間產生之時戳;一回應程序,係由該舊訪問端確認該暫時身分碼,再以該第二挑戰碼、一鑑別資料、一國際身分碼、一認證金鑰及一共享金鑰產生一回應碼,再將該回應碼傳送至該新訪問端;一通知程序,係由該新訪問端以該共享金鑰確認該回應碼,再以該第一挑戰碼及該認證金鑰產生一認證碼,再將該認證碼及一亂數碼序列之一亂數碼傳送至該使用端;及一認證程序,係由該使用端產生該認證金鑰,並以該認證金鑰確認該認證碼,再以一加密金鑰及該亂數碼產生一認證簽署碼,並將該認證簽署碼傳送至該新訪問端,由該新訪問端確認該認證簽署碼,以作為提供漫遊服務之依據。
  5. 如申請專利範圍第4項所述之GSM漫遊認證方法,其中該通知程序係由該新訪問端確認該回應碼中的第二挑戰碼與該新訪問端所傳送之第二挑戰碼是否相對應。
  6. 如申請專利範圍第4項所述之GSM漫遊認證方法,其中該使用端係以該第一挑戰碼及該加密金鑰產生該認證金鑰。
  7. 如申請專利範圍第4項所述之GSM漫遊認證方法,其中該使用端係將該第一挑戰碼及該加密金鑰依據一雜湊函數進行運算,而產生該認證金鑰。
  8. 如申請專利範圍第4項所述之GSM漫遊認證方法,其中該新訪問端確認該第二挑戰碼無誤後,儲存該鑑別資料、該國際身分碼及該認證金鑰。
  9. 如申請專利範圍第1或4項所述之GSM漫遊認證方法,其中該舊訪問端儲存該鑑別資料、該國際身分碼及該認證金鑰。
  10. 如申請專利範圍第1或4項所述之GSM漫遊認證方法,其中該使用端係將該亂數碼及該加密金鑰依據一雜湊函數進行運算,而產生該認證簽署碼。
  11. 如申請專利範圍第1或4項所述之GSM漫遊認證方法,其中該通知步驟係由該亂數碼序列之中選取一個未使用過的亂數碼。
TW101100670A 2012-01-06 2012-01-06 Gsm漫遊認證方法 TWI451783B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
TW101100670A TWI451783B (zh) 2012-01-06 2012-01-06 Gsm漫遊認證方法
US13/734,235 US8855604B2 (en) 2012-01-06 2013-01-04 Roaming authentication method for a GSM system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
TW101100670A TWI451783B (zh) 2012-01-06 2012-01-06 Gsm漫遊認證方法

Publications (2)

Publication Number Publication Date
TW201330663A TW201330663A (zh) 2013-07-16
TWI451783B true TWI451783B (zh) 2014-09-01

Family

ID=49225925

Family Applications (1)

Application Number Title Priority Date Filing Date
TW101100670A TWI451783B (zh) 2012-01-06 2012-01-06 Gsm漫遊認證方法

Country Status (1)

Country Link
TW (1) TWI451783B (zh)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TW200910897A (en) * 2007-08-24 2009-03-01 Ind Tech Res Inst Group authentication method

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TW200910897A (en) * 2007-08-24 2009-03-01 Ind Tech Res Inst Group authentication method

Also Published As

Publication number Publication date
TW201330663A (zh) 2013-07-16

Similar Documents

Publication Publication Date Title
US10638321B2 (en) Wireless network connection method and apparatus, and storage medium
CN101116284B (zh) 无线电通信网络中的防克隆相互鉴权的方法、身份模块、服务器以及***
CN102037707B (zh) 安全会话密钥生成
JP4546240B2 (ja) チャレンジ/レスポンス方式によるユーザー認証方法及びシステム
CN101969638B (zh) 一种移动通信中对imsi进行保护的方法
KR101038096B1 (ko) 바이너리 cdma에서 키 인증 방법
US20110078443A1 (en) Method and system for secure communications on a managed network
CN1929371B (zh) 用户和***设备协商共享密钥的方法
CN108880813B (zh) 一种附着流程的实现方法及装置
US20100211790A1 (en) Authentication
EP2879421B1 (en) Terminal identity verification and service authentication method, system, and terminal
CN1964258A (zh) 用于安全装置发现及引入的方法
CN110087240B (zh) 基于wpa2-psk模式的无线网络安全数据传输方法及***
WO2018076564A1 (zh) 车辆通信中的隐私保护方法及隐私保护装置
CN101895881B (zh) 一种实现gba密钥的方法及终端可插拔设备
CN109075973A (zh) 一种使用基于id的密码术进行网络和服务统一认证的方法
US20120142315A1 (en) Method for authentication and key establishment in a mobile communication system and method of operating a mobile station and a visitor location register
KR100957044B1 (ko) 커버로스를 이용한 상호 인증 방법 및 그 시스템
US8855604B2 (en) Roaming authentication method for a GSM system
CN106992866A (zh) 一种基于nfc无证书认证的无线网络接入方法
Juang et al. Efficient 3GPP authentication and key agreement with robust user privacy protection
TWI455622B (zh) Gsm漫遊認證方法
TWI451783B (zh) Gsm漫遊認證方法
TWI434588B (zh) Gsm漫遊認證方法
Li et al. A novel universal authentication protocol based on combined public key in heterogeneous networks

Legal Events

Date Code Title Description
MM4A Annulment or lapse of patent due to non-payment of fees