一种鉴权方法、设备和系统

暂无

技术领域\n本发明涉及一种用于但不专门用于例如无线蜂窝通信网络的鉴权方 法，本发明还涉及一种利用这种方法的系统。\n背景技术\n图1示出了一种典型的蜂窝无线网络1。该网络覆盖的区域被划分为 多个小区2。每个小区2由一个基站收发信台4服务，基站收发信台4发 送信号到位于一个特定基站收发信台4相关的小区内的终端6，并从终端6 接收信号。终端6可为移动台，能在小区2之间移动。由于信号在终端6 和基站收发信台4之间是通过无线电波传输的，因此，未经授权的第三方 可能接收这些信号。\n因此，在已知的无线蜂窝网络中，应提供鉴权用于识别正确的移动台， 而且应使用加密来防止第三方窃听。图2示意的为在GSM(全球移动通信 系统)标准中执行的过程。在第一步骤S1，移动台MS通过基站向移动业 务交换中心(MSSC)请求呼出。来访位置寄存器(VLR)通过移动业务 交换中心被通知该请求。VLR控制鉴权过程。\n每个移动终端有一个识别号，这种识别号有时在GSM标准中称为 IMSI(国际移动用户身份)号。MSSC转发移动终端的IMSI到VLR。IMSI 的信息最初由移动台提供。VLR接着在第二步骤S2发送IMSI与VLR的 身份到移动台的归属位置寄存器HLR。这就确保任何输入呼叫可送至当前 位置的移动台。一旦HLR接收到IMSI，就请求鉴权中心AC提供移动用 户的密钥KI。密钥KI同时存在于鉴权中心AC和移动台。\n在第三步骤S3，鉴权中心使用密钥KI和一个随机数产生一个签名 SRES以及一个用于信道编码的密钥Kc。随机数、密钥Kc以及签名SRES 构成了只用于单个通信的三个一组(triplet)。由鉴权中心AC计算的每 个三个一组被转发到相关的来访位置寄存器VLR以及移动业务交换中心 MSSC。\n在步骤S4，VLR传送密钥Kc值到基站控制器(未示出)，以及传送 随机数值到移动台。\n移动台接着根据鉴权中心使用的同一算法计算签名SRES，而且该签 名在步骤S5被传输到VLR。移动台是以移动用户密钥KI和从VLR接收 的随机数为基础生成签名的。当移动台生成的签名SRES与鉴权中心AC 生成的一致时，就认为鉴权过程完成。一完成鉴权过程，发送的数据就利 用密钥Kc和由VLR以编码形式提供给移动台的临时移动用户身份 (TSMI)加密。\n发明内客\n本发明的目的是改进鉴权过程，由此使得通信更为安全。\n根据本发明一方面，提供了一种利用第一和第二方所信任的第三方来 鉴权所述第一和第二方之间通信的鉴权方法，包括步骤：\n由所信任的第三方利用所述第一方的参数来计算第一鉴权输出值，以 及利用所述第一鉴权输出值来计算第二鉴权输出值，并发送所述第二鉴权 输出值到所述第二方；\n所述第一方计算第一鉴权输出值，并发送所述第一方所计算的第一鉴 权输出值到所述第二方；以及\n所述第二方根据从所述第一方接收的所述第一鉴权输出值，计算第二 鉴权输出值，并比较所计算的第二鉴权输出值与从信任的第三方接收的第 二鉴权输出值，从而如果这两个第二鉴权输出值相同，则所述第一方被鉴 权。\n该方法可包括步骤：第一方计算第二鉴权输出值，发送由信任的第三 方计算的第二鉴权输出值到所述第一方，以及在第一方比较其计算的第二 鉴权输出值和从第三方接收的第二鉴权输出值，从而如果这两个第二鉴权 输出值相同，则第二方被鉴权。\n信任的第三方计算的第二鉴权输出值最好通过第二站送至第一方。\n第一和第二鉴权输出中最好至少一个，最好是都为哈希(hash)函数 的输出。为提供安全的通信方法使用双散列函数更佳。\n第一和第二散列函数都最好是单向的。这意味着第三方实际上不可能 确定至少一个参数的值。至少其中一个散列函数的值最好长至少160比特。 散列函数值当然也可更长或更短。然而，散列函数越长，授权方解密的难 度就越大。\n未经授权方能猜测出至少一个所述散列函数值的可能性最好为至多 1/2160数量级。换句话说，如果至少一个参数未知则猜测散列函数值的可能 性微乎其微。这就进一步增强了各方之间通信的安全性。\n其中一个输出最好包括一个第一和第二方共用的密码(secret)。这个 密码最好只为第一和第二方知晓。该密码最好是通过Diffie-Hellman密钥 交换建立的。\n该共用密码最好被至少一方用于加密第一方和第二方之间的通信。这 使得第一方和第二方之间的通信很安全。\n该共用密码最好为gxymod n，其中g为Diffie-Hellman密钥交换的生 成数、x和y为随机数，而n为Diffie-Hellman函数的模。\n最好有至少一个随机数用于加密第一和第二方之间的通信。这个随机 数可作为该共用密码的补充或替代。最好在改变至少一个随机数时重新给 加密函数指定一个密钥.\n至少一个参数的值最好从第一站送至第二站。同样地，至少一个参数 的值最好从第二站送至第一站。这使得信息能在各方之间交换，而且例如， 使得能计算该共用密码。\n信任的另一方最好与第二方建立安全连接。\n至少一方的身份最好仅以编码形式送至另一方。例如，该身份可包含 于第一和第二鉴权输出的其中一个内。或者该身份可以独立加密的形式发 送。由于一方的身份对保持安全通信很重要，因此未经授权的第三方应无 法获得第一或第二方的身份，这一点很重要。\n该方法最好用于有线或无线的通信网络。第一和第二方中一方可为移 动台，而另一方可为基站。\n根据本发明第二方面，提供一种用于鉴权第一和第二方之间通信的鉴 权方法，该方法包括步骤：利用至少一个参数计算第二散列函数的第一散 列函数值；从第一方发送计算的第二散列函数的第一散列函数值到第二方， 所述第二方有利用该至少一个参数独立计算的第二散列函数的第一散列函 数值；以及比较从第一方接收的第二散列函数的第一散列函数值与独立计 算的第二散列函数的第一散列函数值，借此，如果这两个值相同，则第一 方被鉴权。\n根据本发明的再一个方面，提供了一种利用第一设备和第二设备信任 的第三设备与所述第二设备通信的第一设备，所述第一设备包括：\n接收装置，用于从所述第二设备接收由所述第二设备计算的第一鉴权 输出值以及从所述信任的第三设备接收第二鉴权输出值，其中所述第二鉴 权输出值是由所述信任的第三设备利用由所述信任的第三设备使用所述第 二设备的第一参数所计算出的第一鉴权输出值来计算的；\n计算装置，用于根据从所述第二设备接收的第一鉴权输出值计算第二 鉴权输出值；以及\n比较装置，用于比较所计算的第二鉴权偷出值与从信任的第三设备接 收的第二鉴权输出值，从而如果这两个第二鉴权输出值相同，则所述第二 设备被鉴权。\n根据本发明的再一个方面，提供了一种无线通信系统，包括如上所述 的第一设备和第二设备，其中所述第二设备用于计算第一鉴权输出值，并 发送第一鉴权输出值到所述第一设备。\n附图说明\n为更好地理解本发明以及如何实现本发明，现在通过举例参考附图， 其中：\n图1示出了本发明的实施例可使用的一种已知蜂窝网络；\n图2示出了一种已知的鉴权协议；\n图3示意了一种体现本发明的利用签名的密钥交换；\n图4示意了一种体现本发明的利用信任的第三方的密钥交换；\n图5示意了一种体现本发明的不使用移动台识别的密钥交换；\n图6示意了一种体现本发明的不重新鉴权的密钥重置；\n图7示意了一种体现本发明的具有共享秘密鉴权的密钥重置；\n图8示意了一种体现本发明的具有签名鉴权的密钥重置；\n图9示意了一种体现本发明的利用第三方鉴权的密钥重置，以及；\n图10示出了图1所示的网络分层结构部分。\n具体实施方式\n为帮助理解本发明的实施例，现在将所使用的一些缩略语归纳如下：\nU-UMTS(通用移动通信业务)用户识别，有时称为IMUI(国 际移动用户身份)。换句话说，U表示移动台的身份。\nn-Diffie-Hellman密钥交换的模，通常为一个大的素数，换句 话说，这表示使用的模算术。模算术为计数的循环形式，这 样对于得到的任何结果，结果本身不会使用。而使用被模n 除后的余数。\ng-Diffie-Hellman密钥交换的生成数，g可为大于2小于等于 n-1的任何适当整数。\nx，y-在Diffie-Hellman密钥交换中使用的随机指数。换句话说，g 升到x和/或y的幂。\nR，R’-随机数，也称为临时数(nonces)。通常这些随机数有规则 变化。\nP，P’-安全参数——包括可用密码、散列函数等信息。\n-采用A的签名密钥的的签名SIG。\n-利用密钥k加密的\n-利用常参数X参数化的散列函数。换句话说，散列函数 根据一个给定的参数X变化。该参数值当然可以改变。\n-串接和X(即将两项串接在一起)。\n-串接和X。\n本发明的实施例使用具有下述特征的签名函数SIG。只应 由A和仅由A授权的各方计算，假定已预先选择而且没有预先签名。 为使预先选择的签名函数能有效地防止未经授权人伪造，遭 遇未经授权人的难度应为2160或更大。另外，该签名应可由拥有相应验 证函数的所有各方验证。该验证函数有时称为验证密钥。\n如果X是一个适用于下面要描述的协议中使用的参数化散列函数的 参数，那么散列函数将提供下述特征：散列函数的返回值长度应至少为 160比特以防止birthday攻击。换句话说，哈希X等于哈希Y的可能性 很低，所以第三方通过尝试某些可能值获准接入的可能性很小。该函数 应为单向密钥加密函数。散列函数应有较大的域，即可能值集合，集合 大小为2l，l至少为160。如果z已知，则从hash[X](y)＝z计算y值所 需的工作量复杂度应为2l数量级，l为散列函数输出的比特长度，而且l 至少为160。知道z值与不知道z值相比，应使攻击者确定hash[X](i) 时处于更为不利位置。如果对于属于集合1，2，...k的i，散列函数hash[X] (S|yi)的值已知，而且yi已知，但只知道S只是一个可能值，那么对于 某些X能猜测出hash[X](S|x)值的可能性应为l/O(min(2l，|Q|))， 其中O表示“数量级”，而Q为从中选出在用密钥加密的散列函数中使用 的密码S的特定值的集合。例如，如果在加密散列函数中使用的密码S 为一个40比特的随机数，那么Q为所有40比特随机数的集合。|Q|表示 该集合的大小。“min”选择2l和|Q|的最小值。\nX确定散列函数，而且由于X仅确定所使用的函数，因此它不需要保 密。事实上，在一个较长的时期内，参数X可公开并固定。\n下面将描述的协议用于执行密钥交换，密钥重交换以及互鉴权。总之， 移动台MS和网络或基站收发信台BTS执行一个初始密钥交换协议，以 便获得作为Diffie-Hellman密钥交换结果的共用密码S。这个共用密码S 为gxymod n。协议各方还交换一对随机数R，R’。共用密码S串接这两 个随机数提供作为密钥源。利用不同参数化散列函数从密钥源中取出不 同密钥。通过交换一对新的随机数可执行密钥重置。\n利用下述公式也可产生加密进一步通信的密钥：k＝hash[T](gxymod n|R|R’)，其中T为一个唯一的参数。T可公开或固定，而且可使用一 次或多次。\n在初始密钥交换协议期间，交换安全参数P。这些安全参数用于通知 另一方可用密码、散列函数等。\nDiffie-Hellman密钥交换是一种在两方之间建立共用密码的方式。当 利用模算术时，在只知gx时很难计算出x值。通常从gx计算x，意味着 计算gx的对数，这很容易实现。然而在模算术中情况发生了很大变化； 不知道如何从gx计算x。\n因此，在Diffie-Hellman密钥交换中，双方以下述方式建立共用密码： 第一方发送“gx”，第二方发送“gy”。在此，只有第一方知道x，且只有第 二方知道y。然而，gx和gy值是公开的。现在共用密码为gxy。为计算gxy， 需知道值x和y中的至少一个。例如，如果知道x，可计算gxy为(gy)x。 计算离散对数，即从gx计算x很难。因此即使gx和gy值公开，其他任何 人无法计算出gxy。\n下面参考图3，图3示意了利用签名进行密钥交换的原理。这种密钥 交换的目的是建立共用密码S＝gxymod n，以交换随机数和鉴权双方。\n在首次通信时，移动台MS将随机数R与公开的Diffie-Hellman密钥 交换参数n和g以及公开密钥gxmod n一道发送到基站收发信台。移动 台还发送安全参数P到基站。这个从移动台MS到基站收发信台的第一 消息启动密钥交换，并在图3的步骤A1中示意。\n第二消息从基站收发信台BTS发送到移动台MS，并构成图3示意的 第二步骤A2。基站收发信台发送随机数R’与另一公开的Diffie-Hellman 密钥gymod n以及安全参数P’到移动台MS。网络接着标记(sign)该密 钥交换和随机数，以便移动台能确保交换顺利进行，不受攻击。这种特 定方法防止了称为man in the middle attacks的攻击。这就是，第三方截 收移动台发送的信息，在发送到基站之前用其他信息替代来自移动台的 通信，以及同样截收从基站接收的移动台通信。该共用密码S＝gxymod n 必须包含在签名中，这样移动台就能确信基站收发信台知道该共用密码。\n第二消息中由基站收发信台提供的签名SIGB如下：\nSIGB(hash[SIG1](n|g|gx|gy|gxy|P|P’|R|R’|B))\nB为基站收发信台的识别。\n临时密钥k从该共用密码和随机数中计算。随机数包含在临时密钥中， 以便利用同一共用密码可进行密钥重置。密钥重置发生在产生一个新的 临时密钥时。下面将详细描述通过提供新的随机数R和R’可实现密钥重 置。临时密钥k等于hash[TKEY](gxymod n|R|R’)。\n移动台执行关于签名SIGB的验证函数。验证函数和签名函数有关， 以便给定签名函数值，验证函数提供一个接受或拒绝值。接受意味着签 名被接受，而拒绝意味着签名无效。换句话说，移动台验证它接收的签 名。\n在步骤A3，从移动台MS发送到基站收发信台的消息利用临时密钥 加密。在加密的消息中包含移动用户U的身份。因此，用户U的身份仅 以加密形式发送。加密的身份由Ek(U)表示。除加密的识别外，移动 台还发送签名SIGU，其类似于在步骤A2从基站收发信台发送到移动台 的签名。然而，该签名被加密。加密的签名表示如下：\nEk(SIGU(hash[SIG2](n|g|gx|gy|gxy|P|P’|R|R’|B|U)))\n从中可看出，移动用户的身份包含在签名中。尽管移动用户的身份 被加密，但是签名不是必须加密，而且加密签名更为方便。应理解的是， 签名SIGB和SIGU分别包含签名人的身份，即B和U，而且使用签名中 的这些身份的目的是，防止第三方窃听签名的哈希值，以及利用不同密 钥再次签名。换句话说，包含身份B和U使得这些函数对基站和移动台 都是唯一的。\n基站收发信台验证从移动台接收的签名，目的是以移动台验证基站的 相同方式鉴权移动用户。这可能要求连接移动用户的业务提供商。\n下面参考图4，图4示意了利用信任的第三方的密钥交换。如同利用 签名的密钥交换一样，这种密钥交换的目的是交换随机数和鉴权双方。\n这个协议以与移动台在步骤B1发送n、g值，随机数R、gxmod n以 及参数P到基站收发信台开始。基站收发信台接着发送随机数R’、gymod n以及参数P’到移动台。临时密钥k从hash[TKEY](gxymod n|R|R’) 计算。不同于利用签名的密钥交换，这种密钥交换在加密前不鉴权。在 第三步骤B3，用户身份U以加密形式Ek(U)从移动台发送到基站收发 信台。\n在第四步骤B4，基站收发信台利用一个假定为安全且被鉴权的连接， 接触信任的第三方TTP，例如用户的业务提供商。基站收发信台BTS因 此发送给信任的第三方TTP共用密码的散列函数，Diffie-Hellman公开 密钥参数，随机数，通信方的身份以及安全参数。因此，基站收发信台 BTS发送下述鉴权散列函数到信任的第三方TTP：\nhash[AUTH](n|g|gx|gy|gxy|P|P’|R|R’|B|U)\n移动用户U的身份已被信任的第三方知晓。这可通过任何适当的方式 实现。\n在本发明的实施例中，最好发送gxy的散列函数而不是加密密钥k。由 于加密密钥k可能短于gxy，因此很容易攻击。首先，共用的加密数据 gxymod n假定被基站和移动台共用，但不被它人共用。在基站和移动电 话之间有一个脱机分配的第二、长期的共用密码。这个长期密码可能位 于移动电话或类似电话的SIM卡内。用于得到会话密钥的第一密码 gxymod n和第二密码被使用，以便移动电话能鉴权基站。\n在第五步骤B5，信任的第三方从基站收发信台发送的共用加密数据串 接hash[AUTH]计算该密码的散列函数。由信任的第三方计算的哈希值的 散列函数再次被信任的第三方计算。信任的第三方接着发送这个最后计 算的哈希值到记录该值的基站收发信台。由信任的第三方发送到基站收 发信台的值如下：\nhash[RESP](hash[SEC](S|hash[AUTH] (n|g|gx|gy|gxy|P|P’|R|R’|B|U)))\n接着在第六步骤B6，从基站收发信台转发同一值到移动台。移动台能 直接计算hash[SEC]值。移动台接着从hash[SEC]计算hash[RESP]，并 比较其计算的hash[RESP](hash[SEC])值与从信任的第三方通过基站 收发信台接收的值。如果这两个hash[RESP](hash[SEC])值相同，那 么移动台知道归属位置寄存器已鉴权基站收发信台和Diffie-Hellman密 钥交换。如果这两个hash[RESP](hash[SEC])值不相同，这指示存在 鉴权问题或某人正在攻击系统。\n最后在第七步骤B7，移动台发送hash[SEC]值，而不进一步做散列函 数到基站。基站收发信机检测hash[SEC]的哈希是否为基站已接收的同 一哈希值，即来自信任的第三方的hash[RESP]hash[SEC]。如果从信任 的第三方接收的hash[RESP]hash[SEC]值与基站收发信台计算的值相 同，那么基站收发信台就能确定移动台能计算正确的hash[SEC]函数， 由此移动用户被鉴权。同时Diffie-Hellman密钥交换也被鉴权。\n利用图3和图4描述的两种密钥交换，如果Diffie-Hellman公开参数 n和g已知，例如为常数，那么它们可不出现在第一消息中。\n现在参考图5，图5示意了一种不要求移动用户身份的密钥交换。这 种过程的目的是在移动台和基站收发信台之间分配共用密码和随机数， 以及鉴权网络。然而，移动用户未被鉴权，而且实际上仍为匿名状态。\n在第一步骤C1，移动台发送在图3和图4所示的利用签名的密钥交 换以及利用信任的第三方的密钥交换的第一步骤中发送的相同信息到基 站收发信台。\n基站接着在步骤C2发送在利用签名的密钥交换(图3)中发送的相 同信息到移动台，并且还签名该信息。利用这个密钥交换，基站无法确 认与之通信的移动台的身份。然而，基站收发信台的签名能确保密钥交 换顺利。换句话说，未识别的移动台能检测出是否有人在攻击，并在需 要时断开连接。基站无法检测攻击的人，但它也不需要这么做。尤其是 基站肯定不会发送保密的关键信息到未识别的一方。这可用于接入诸如 因特网的公众网络，在此情况下不要求移动台的身份识别。\n现在参考图6，图6示出了一种不要求新鉴权的简单密钥重置过程。 这个协议的目的是分配新随机数用于执行密钥重置。\n密钥重置意味着可产生一个用于加密目的的新临时密钥k。为避免在 移动台和基站之间消息被未经授权地解密，应频繁地重置密钥。\n在第一步骤D1，移动台发送该新随机数Rnew到基站收发信台。在第 二步骤D2，基站收发信台发送第二新随机数Rnew′到移动台。利用这个特 定协议，随机数不必保密。然而，应保护随机数的完整。换句话说，随 机数在移动台和基站收发信台之间传输时不应修改。这是为了保证质量， 而不是出于安全目的。D1和D2两个步骤的顺序当然可以颠倒。\n新临时密钥k可从等式hash[T](gxymod n|R|R’)中推导出来。因此， 原始的共用密码可用于确定新密钥。这种可能性是因为原始共用密码gxy mod n本身从未被用作密钥。因此，即使利用老随机数组合共用密码的 老密钥已被泄露，新密钥还是很安全。还应理解的是，即使新随机数的 身份已公开，这种协议还是很安全。这是因为利用散列函数，即使知道 了随机数的识别，还是无法推导出共用密码或密钥。\n下面参考图7，图7示出了鉴权各方的密钥重置过程。在第一步骤E1， 移动台发送新随机数Rnew到基站收发信台。在第二步骤E2，基站收发信 台发送第二新随机数Rnew′到移动台MS。在第三步骤E3，移动台发送一 个具有下述形式的hash签名到基站收发信台：hash[SIG1] (n|g|gx|gy|gxy|P|P’|Rnew|R’new|B|U)\n基站将计算hash[SIG1]值，并将其与从移动台接收的hash[SIG1]相比 较。如果这两个值相同，那么新随机数和移动台都被鉴权。\n在第四步骤E4，基站收发信台提供下述形式的哈希值到移动台： hash[SIG2](n|g|gx|gy|gxy|P|P’|Rnew|R’new|B)。这些值使得随机数通过被 捆绑到当前共用密码被鉴权。移动台将验证hash[SIG2]值。如果 hash[SIG2]被验证，那么新随机数和基站被再次鉴权。\n现在参考图8，图8示出了利用签名鉴权的密钥重置协议。在这个过 程中，双方都被重新鉴权。\n在第一步骤F1，移动台发送新随机数Rnew到基站收发信台。在第二 步骤F2，基站收发信台发送第二新随机数Rnew′到移动台，并签名下述的 签名散列函数：\nSIGB(hash[SIG1](n|g|gx|gy|gxy|P|P’|Rnew|R’new|B))\n移动台能利用前面概述的这些新随机数计算一个新加密密钥。移动台 还能利用一个验证函数鉴权基站。\n这个新加密密钥k因此为hash[TKEY](gxy mod n|Rnew|R’new)。 在第三步骤F3，移动台发送具有下述形式的散列函数hash[SIG]加密的 签名到基站收发信台：Ek(SIGu(hash[SIG2](n|g|gx|gy|gxy|P|P’|Rnew|R’ new|B|U))。移动台发送的签名被加密。这个过程不是必要的，但对于 需要加密的其它信息来说更为方便。该加密使用新加密密钥k。基站通过 验证签名能鉴权移动台。如果该验证函数被接受，那么移动台被鉴权。\n下面参考图9，图9示出了利用第三方鉴权的密钥重置。在第一步骤 G1，移动台发送新随机数Rnew的识别到基站。在第二步骤G2，基站收 发信台发送鉴权散列函数hash[AUTH](n|g|gx|gy|gxy|P|P’|Rnew|R’new|B|U) 与移动台身份U到信任的第三方。鉴权散列函数包含第二新随机数R′new。 由于基站和信任的第三方之间的连接是安全的，因此无需加密移动台的 身份U。信任的第三方在第三步骤G3计算哈希共用密码S的 hash[RESP]，它包含鉴权散列函数和共用密码，并发送这个值到基站。 该鉴权散列函数与从基站接收的相同。\n在第四步骤G4，基站发送其从信任的第三方接收的相同值与第二新 随机数Rnew值到移动台。移动台利用新随机数值计算hash[SEC]值，并 由此计算hash[RESP]值。移动台检查从基站收发信台得到的值是否等于 其计算的值。如同前面参考图4描述的利用信任的第三方的密钥交换， 如果这两个值相同，则移动台知道归属位置寄存器已鉴权了基站收发信 台和密钥交换。\n移动台接着在步骤G5发送hash[SEC]值，而不再做散列函数到基站 收发信台。基站收发信台接着检查从移动台接收的hash[SEC]的哈希值 是否等于基站收发信台从信任的第三方接收的值。如果确实等于，那么 基站收发信台知道移动台能计算hash[SEC]函数，由此用户被鉴权。\n在上面描述的所有密钥重置过程中，随机数无需保密。\n由此可见，在这些协议中使用了15种不同消息。这些消息归纳如下：\n1.n，g\n2.R\n3.R’\n4.P\n5.P’\n6.gxmod n\n7.gymod n\n8.n|g|gx|gy|gxy|P|P’|R|R’|B\n9.n|g|gx|gy|gxy|P|P’|R|R’|B|U\n10.SIGB(hash[SIG1]n|g|gx|gy|gxy|P|P’|R|R’|B)\n11.Ek(SIGu(hash[SIG2](n|g|gx|gy|gxy|P|P’|R|R’|B|U))\n12.Ek(U)\n13.hash[AUTH](n|g|gxymod n|R|R’|B|U)，U\n14.hash[RESP](hash[SEC]S|hash[AUTH](n|g|gxymod n|R|R’|B|U))\n15.hash[SEC](S|hash[AUTH](n|g|gxymod n|R|R’|B|U))\n由此看出，其中一些消息共用一种通用结构，即消息2和3、消息4 和5以及消息6和7。这使得总共有12种不同类型的消息。这种协议族 的优点在于，仅利用少量的不同消息就能实现相对大量的不同协议。\n因此，前面陈述的各种不同方法可定义一个由有限数量的消息构成的 方法族。因此，在本发明的实施例中，能选择其中一种方法。在确定使 用何种方法时，可使用各种不同标准。例如，可随机选择不同方法。只 要预先选择了一种密钥交换方法就总是能选择一种密钥重置方法。这种 方法可根据第一和/或第二方(或提供的信任的第三方)的处理能力选择。 由于使用了最后一种方法，这种方法的选择可与时间量无关。或者，这 种方法可根据特定方法提供的功能选择，例如，是否使用了信任的第三 方、是否要求鉴权，以及如果要求鉴权应使用何种鉴权类型。\n在前面描述的装置中，移动台被描述为与基站收发信台通信。应理解 的是，尽管通信将通过基站收发信台，但实际上可与任何适当的网络单 元进行通信。换句话说，在优选实施例中描述为发生在基站收发信台的 某些计算可发生在网络的其它部分，但将传送到正确的基站收发信台。 移动台可由任何其它适当的固定或移动终端替代。\n本发明的实施例可用于任何适当的无线蜂窝通信网络。现在参考图 10，图10示出了网络分层结构。基站BTS 1-4与相应的移动台MS1-6 通信。尤其是第一基站BTS1与第一和第二移动台MS 1和2通信。第二 基站BTS 2与第三和第四移动台通信，第三基站BTS 3与第五移动台 MS 5通信，而第四基站BTS 4与第六移动台MS 6通信。第一和第二基 站BTS 1和2连接第一基站控制器BSC 1，而第三和第四基站BTS 3和 4连接第二基站控制器BSC 2。第一和第二基站控制器BSC 1和2连接 一个移动业务交换中心MSSC。\n实际上可提供多个移动业务交换中心，每个移动业务交换中心连接多 个基站控制器。通常有两个以上的基站控制器连接一个移动业务交换中 心。两个以上的基站可连接到每个基站控制器。当然，许多远不止两个 移动台将与一个基站通信。\n可在图10所示的任何一个或多个网络单元确定使用何种方法。例如， 可在移动台、基站收发信台、鉴权中心、移动业务交换中心等进行确定。 或者，可由任何其它适当的单元进行判定。也可提供专用于确定使用方 法的单元。信任的第三方可为基站控制器、移动业务交换中心或其它单 元。\n本发明的实施例也可用于要求鉴权的其它情况，如其它形式的无线通 信，或使用固定有线连接的通信。本发明的实施例不仅适用于通信网络， 而且适用于有线或无线的点到点连接。