鉴定移动站的方法、通信系统与移动站

1.一种用于在移动网络中鉴定移动站的方法，包括：
利用用户对用户数据交换来鉴定移动站；
当在呼叫期间出现对附加安全通信的需要时，在呼叫期间通过用户对 用户信令来交换鉴定数据，
其中在两个移动站之间协商加密密钥，并且
移动站基于公用密钥密码术来执行相互的鉴定和密钥协商协议，
其中通过以下方式来鉴定第二移动站(B)：
第一移动站(A)构成并向第二移动站(B)发送第一消息(M1)，
第二移动站(B)接收第一消息(M1)，构成并向第一移动站(A)发送 第二消息(M2)，
第一移动站(A)接收第二消息(M2)，检查第二消息(M2)中信息的 有效性，如果该信息被检验是有效的，则第一移动站(A)接受与第二移 动站(B)共享共用的加密密钥K，
第一移动站(A)构成并向第二移动站(B)发送第三消息(M3)，
第二移动站(B)接收第三消息(M3)并检验信息的有效性，如果该信 息是有效的，则第二移动站(B)接受与第一移动站(A)共享共用的加密 密钥K。
2.根据权利要求1的方法，其特征在于，通过以下方式来鉴定第二 移动站(B)：第一移动站(A)选择素数p、当p≥a≥2时整数模p的乘法组 的生成元a以及当p-2≥x≥1时的随机秘密x，构成并向第二移动站(B)发 送包含以下内容的第一消息(M1)
a，p，ax mod p
第二移动站(B)接收第一消息(M1)，并且然后当p-2≥y≥1时产生 秘密y，并计算第二共用密钥K2＝(ax)y mod p，标记一系列指数{ay，ax}， 并利用第二共用密钥加密结果SB{ay，ax}，得到EK(SB{ay，ax})，构成并向第 一移动站(A)发送包含以下内容的第二消息(M2)
ay mod p，certB，EK(SB{ay，ax})
第二消息(M2)中的证明certB包含第二移动站(B)的签名检验密钥， 该证明的精确内容至少具有下面最小值：
certB＝(B，pB，a，p，ST{B，pB，a，p})
pB为移动站B的公用签名检验密钥，而ST是在第一和第二移动站(A， B)中知道其公用签名检验密钥的受托当局T的签名转换，
第一移动站(A)接收第二消息(M2)，并然后计算第一共用的加密密 钥(ay)x mod p＝(ax)y mod p＝K1，检查证明certB的有效性，当该证明certB 是有效的时，解密第二消息(M2)的加密部分EK(SB{ay，ax})，以接收签名 SB{ay，ax}，并利用第二移动站(B)的公用签名检验密钥pB来检验该签名 SB{ay，ax}，如果该签名SB{ay，ax}被检验是有效的，则第一移动站(A)接受 与第二移动站(B)共享共用的加密密钥K1，
第一移动站(A)标记一系列指数{ax，ay}，并利用第一共用密钥K1加 密结果SA{ax，ay}，得到EK(SA{ax，ay})，
第一移动站(A)构成并向第二移动站(B)发送包含以下内容的第三 消息(M3)
certA，EK(SA{ax，ay})，
certA包含与第一移动站(A)的certB对应的信息，该证明certA的精 确内容至少具有下面最小值：
certA＝(B，pA，a，p，ST{B，pA，a，p})
pA是第一用户(A)的公用签名检验密钥，而ST是第一和第二移动站 (A，B)知道其公用签名检验密钥的受托当局T的签名转换，
第二移动站(B)接收第三消息(M3)，并检验certA的有效性，解密 EA(SA{ax，ay})并检验SA{ax，ay}的签名的有效性，如果所有的签名都是有效 的，则第二移动站(B)接受与移动站A共享第二共用的加密密钥K2。
3.根据权利要求1或2的方法，其特征在于，通过用户对用户信令 来交换数据。
4.一种蜂窝通信系统，其中第一和第二移动站(A，B)是通过基站 而被无线连接的，其特征在于，该蜂窝通信系统包括：
第一移动站(A，9)，其中在呼叫建立期间或呼叫期间利用用户对用 户数据交换来鉴定所述第一移动站(A，9)，所述第一移动站(A，9)构 成和发送第一消息(M1)，接收并检验第二消息(M2)的有效性，并且当信 息被检验为有效的时，接受共享共用的加密密钥K，构成和发送第三消息 (M3)，
第二移动站(B，12)，接收第一消息(M1)，并构成和发送第二消息(M2)， 接收并检验第三消息(M3)的有效性，以及当信息是有效的时，接受与第 一移动站(A)共享共用的加密密钥K，和
至少一个移动交换中心(10，11)。
5.根据权利要求4的通信系统，其特征在于，它包括与ISDN网络连 接在一起的两个移动交换中心(10，11)。
6.一种移动站，其特征在于，它包括：
处理器(13)，用于执行如权利要求1或2所述的方法中的与第一、 第二和第三消息(M1，M2，M3)相关的操作，以实现在呼叫建立期间或呼叫 期间利用用户对用户数据交换来鉴定移动站，和密钥协商程序，
存储器(14)，其中程序和消息与参数和变量一起被存储，
输出装置，在其上将关于附加安全通信的开始的信息提供给移动站的 用户，
输入装置，起动附加安全通信的检验，
发射机/接收机(17)和天线(18)，用于将信息从数字信号转换为无 线电波，并且反之亦然。
7.根据权利要求6的移动站，其特征在于，输出装置包括显示器(15)。
8.根据权利要求6的移动站，其特征在于，输入装置包括键盘(16)。
9.根据权利要求6的移动站，其特征在于，该移动站是根据GSM标 准而设计的。
10.根据权利要求6的移动站，其特征在于，该移动站是根据UTMS 标准而设计的。

技术领域\n本发明涉及一种用于在移动网络中鉴定移动站的方法、一种通信 系统，其中第一和第二移动站(A，B)是通过基站而被无线连接的以 及一种移动站。\n背景技术\n已知的鉴定和密钥协商协议(authentication和key agreement protocol)是基于对称的或公用密钥密码术和被委托的第三方。在GSM 中，该鉴定和加密密钥协商是基于对称密钥和被委托的第三方。该使 用对称密钥的方法需要在通信方之间，或与作为第三方的服务器有协 商的秘密。在GSM中，该用户的移动站与受委托的鉴定中心AC一起共 享秘密的用户鉴定密钥Ki。该移动站的鉴定是基于一个单向函数A3的 使用，并且在移动站和该鉴定中心从共享的Ki获得加密密钥Kc。\n图1表示现有技术的GSM移动网的鉴定协议，其中有鉴定中心AC 1、归属位置寄存器HLR 2、访问者位置寄存器VLR 3、基本发射机站 BTS 4和移动设备ME 5，其中标号6是用户身份模块SIM。\n通过协议的该方法操作如下：鉴定中心1形成随机数RAND，与用 户鉴定密钥K1一起用于形成鉴定三元组(triplet)7。该鉴定三元组 7包括从上述的RAND直接得来的随机数RAND，用从该用户鉴定密钥Ki 得来的单向函数A3 1a构成带符号的响应SRES和用从上述的RAND得 来的单向函数A8 1b构成的加密密钥Kc。将该鉴定三元组7发送到归 属位置寄存器HLR 2，然后发送到访问者位置寄存器VLR 3。将该鉴定 三元组7的RAND从VLR 3发送到在移动设备ME 5中的用户身份模块 SIM 6，以形成与在同一鉴别三元组7中的加密密钥Kc对应的密钥。上 述的密钥由在SIM 6中的单向函数A8 6b构成，并由在ME 5中的单向 函数A5 8进行更多的处理，以便与由该基本发射机站4中的单向函数 A5 8处理的该鉴定三元组7的密钥Kc交换。也将SIM 6的用户鉴定密 钥Ki用于形成与在VLR 3中的上述鉴定三元组7里的SRES对应的带符 号的响应。将这个带符号的响应直接发送到VLR 3，以便将它与SRES 比较来完成鉴定。\n以前也知道对于综合业务数字网(ISDN)定义的和为GSM网正在 定义的用户对用户信令(UUS)。将该UUS定义用于在ETSI(欧洲电 信标准学会)规范数字蜂窝电信系统(phase 2+)中的GSM；用户对 用户信令(UUS)；业务描述，阶段(stage)1(GSM 02.87)。\n该UUS补充业务允许接受服务的用户向另一用户发送有限数量的 信息或从另一用户接收有限数量的信息。这个信息是由该用户产生 的，并将透明地通过该网络，词“透明”是指对其内容不做任何修 改。通常该网络并不解释这个信息。\n根据用户使用什么业务，在该呼叫的不同阶段该接受服务的用户 能够发送和接收用户对用户信息(UUI)。可能的业务是：\n业务1：利用嵌入呼叫控制消息中的UUI，在呼叫的始发和终接期 间可发送和接收UUI。当建立一个呼叫或用一个适当的程序直接付款 (explicit)时，通过插入UUI能够暗示起动业务1。\n业务2：在接受服务的用户已收到在该连接建立之前将该呼叫通知 远程方的指示以后，可发送和接收UUI。可以将在接收远程方的呼叫接 受之前由接受服务的用户发送的UUI作为一种网络选择在该呼叫建立 以后传送给该远程方。应直接付款地起动业务2。\n业务3：只有当该连接建立时才发送和接收UUI。起动业务3须直 接付款。\n业务1-3应允许用每个消息128个字节的最大长度来传输UUI。 在诸如ISDN等的一些网络中，该最大长度只有32个字节。在GSM移 动站与移动交换中心(MSC)之间的用户信息消息可具有用户数据中的 128个字节，而用于呼叫建立和释放的消息可具有用户数据中的32个 字节。呼叫建立和释放的消息包括f.ex.SETUP，PROGRESS，ALERT， CONNECT，DISCONNECT，RELEASE，RELEASE COMPLETE。\n在移动网的已知装置中的问题是：只有在机密性的建立中所需的 保密参数才在空中接口中交换。在空中接口上的根据完整性的其它信 息保密特征的参数并没有被协商。\n在共享密钥鉴定和密钥协商程序中的问题是：该协商的秘密和在 一些情况下在该协议的执行中需要到受委托的第三方的连接。\n发明内容\n本发明的目的是通过为移动通信系统带来新的鉴定和密钥协议协 商来避免现有方案的缺点，以实现端对端安全传输。\n具体的，本发明提供一种用于在移动网络中鉴定移动站的方法， 包括：利用用户对用户数据交换来鉴定移动站；和当在呼叫期间出现 对附加安全通信的需要时，在呼叫期间通过用户对用户信令来交换鉴 定数据。\n本发明还提供一种蜂窝通信系统，其中通过基站将第一和第二移 动站进行无线连接，其特征在于，该蜂窝通信系统包括：\n-第一移动站，构成和发送第一消息，接收并检验第二消息的有 效性，并且当信息被检验为有效的时，接受共享共用的加密密钥K，构 成和发送第三消息，\n-第二移动站，接收第一消息，并构成和发送第二消息，接收并 检验第三消息的有效性，以及当信息是有效的时，接受与第一移动站 共享共用的加密密钥，和\n-至少一个移动交换中心。\n本发明又提供一种移动站，其特征在于，它包括：\n-处理器，用于执行构成和检验消息所需的操作，以实现鉴定和 密钥协商程序，\n-存储器，其中与必要的参数和变量一起存储程序和消息，\n-输出装置，在其上将附加安全通信的开始提供给移动站的用 户，\n-输入装置，起动附加安全通信的检验，\n-发射机/接收机和天线，用于将信息从数字信号转换为无线电 波，并且反之亦然。\n本发明涉及一种在移动网络中鉴定移动站的方法。根据本发明使 用用户对用户的数据交换来鉴定移动站。这可在呼叫建立或呼叫期间 进行。\n在本方法的一个实施例中，在移动站之间还协商加密密钥。\n本发明还涉及一种蜂窝通信系统，其中通过基站将第一和第二移 动站(A，B)进行无线连接。根据本发明，该蜂窝通信系统包括：第 一移动站(A)，构成并发送第一消息(M1)，接收和检验第二消息 (M2)的有效性，以及当检验信息为有效的时接受共享共用的加密密钥 K，构成和发送第三消息(M3)；第二移动站(B)，接收第一消息(M1)并 构成和发送第二消息(M2)，接收并检验第三消息(M3)的有效性，以 及当信息为有效的时接受与第一移动站(A)共享共用的加密密钥K， 和至少一个移动交换中心。\n本发明还涉及一种移动站。根据本发明，该移动站包括：处理器， 用于执行构成和检验消息(M1，M2，M3)所需的操作，以实现鉴定和密 钥协商程序；存储器，其中与必要的参数和变量一起存储程序和消息； 输出装置，在其上对移动站的用户提供附加安全通信的开始；输入装 置，用于起动附加安全通信的检验；发射机/接收机和天线，用于将信 息从数字信号转换成无线电波，并且反之亦然。\n本发明的优点在于，利用基于公用密钥的鉴定和密钥协商机制自 主地保护在通信的移动站之间的业务量。\n附图说明\n下面通过参考附图详细地描述本发明，其中：\n图1以流程图的形式提供了现有技术装置，\n图2利用信令图表示了本发明的方法，\n图3表示鉴定和密钥协商协议的信令图，\n图4表示本发明的通信系统，和\n图5以方框图的形式表示本发明的移动站的主要部分。\n具体实施方式\n在本文的现有技术部分描述了图1。\n图2表示一种鉴定和密钥协商协议。当给出输入以触发附加安全 传输时该协议开始。在消息的名称之后的括号包括含有被运送的信息 的消息部分的名称和该信息的名称。首先，主叫的移动站(MS)9发送 SETUP(UUS(业务码))消息给第一移动交换中心(MSC)10。该SETUP 消息在用户对用户信息(UUI)单元中包括指示由该主叫移动站9编码 的加密密钥管理业务的业务码。利用该用户对用户信令(UUS)传输该 UUI单元。该第一MSC 10，通过在初始地址消息(IAM)中的综合业务 数字网(ISDN)用户部分(ISUP)信令，发送用户对用户信息(UUS (业务码))给被叫移动站12连接的第二MSC 11。只有当将两个移 动站9，12连接到不同的MSC 10，11时才需要两个MSC 10，11之间 的这个信令。该第一MSC 10利用呼叫处理消息响应主叫移动站9，该 第二MSC 11发送由来自该第一SETUP消息的数据构成的SETUP(UUS (业务码))消息给被叫的移动站12。现在该移动站通知该用户关于 附加的安全呼叫。该被叫和移动站12利用确认的呼叫和其意是该终端 设备正在告警该预订用户的ALERT(UUS(业务acc))消息来响应该 第二MSC 11。在该ALERT中传送该被叫的移动站12是否接受该附加 安全通信的信息。将该ALERT消息引导到该主叫移动站9，通知该告警 和可能的接受。如果在两个MSC 11，10之间需要，在ISUP回答消息 (ANM)中传送该信息。在不加上该附加安全通信的情况下，最好继续 正常的呼叫建立，或中断该呼叫建立。通过用户的判定，或移动站9 的逻辑判定，或MSC 10的逻辑判定，可将此开始。\n如果该附加安全通信被接受，则在该两个移动站9，12之间，以 GSM和ISUP的该USER INFOrmation消息的形式交换与该业务，该鉴 定和该密钥协商协议有关的信息。首先将USER INFO(UUS(M1))消 息从主叫的移动站9通过MSCs 10，11传送到被叫的移动站12。然后， 将该USER INFO(UUS(M2))消息从被叫方传送到主叫者，并将该USER INFO(UUS(M3))消息从该主叫者传送到被叫方。如果这些消息M1， M2，M3的一个或多个比在一个USER INFO消息载波中的空间长，则将 几个USER INFO消息用于输送。\n最后，在该呼叫建立期间，该被叫的移动站12发送CONNECT(UUS (数据))消息给与其连接的该MSC 11。而该MSC 11利用CONNECT ACKnowledgement消息响应该被叫的移动站12。然后，如果需要该MSC 11发送AMN(UUS(数据))消息给另一MSC 10。与该主要移动站9 连接的该MSC 10发送CONNECT(UUS(数据))消息给该主叫移动站9， 并接收CONNECT ACKnowledgement消息。如果在这一阶段的普通 (plain)CONNECT上不需要用户对用户信令数据UUS(数据)，则采 用AMN消息或具有空UUS(数据)字段的消息。在该呼叫被连接后，可 以传输更多的用户对用户信息。可将该加密算法应用到这个信息。\n另外，在呼叫建立后在该呼叫期间可交换安全性参数。在这个选 择中可以正常地建立该呼叫。当用户在对话期间想要开始附加的安全 通信或要进行数据交换，则该用户起动该安全通信，例如通过按下该 键盘的一些键，使用用户对用户信令交换该安全性参数。\n图3表示可在本发明方法中使用的一个鉴定和密钥协商协议的信 令图。示出了消息M1，M2，M3，并未参考该传输所依据的用户对用户信 令(UUS)。标号A和B表示在这种站对站协议中的移动站。标号1-6 表示在进程中所执行的步骤。用户A和B需要用于附加安全连接的密 钥的协商。该协议按照以下进行工作：\n在步骤1，用户A起动该协议并选择素数p，在p≥a≥2时整数 模p的乘法组的生成元(generator)a，以及在p-2≥x≥1时的随 机秘密x。然后A构成包含a，p，axmod(模)p的M1消息并发送到B。\n在步骤2，用户B接收消息M1，并然后当p-2≥y≥1时产生一 个秘密y，并计算共用密钥K＝(ax)ymod p。然后B标记一系列指数 {ay，ax}，并用共用密钥加密结果SB{ay，ax}，得到EK(SB{ay，ax})。\n在步骤3，B构成并发送含有ay mod p，CertB，EK(SB{ay，ax})的 消息M2给A。\n在该消息M2中的证明(Certificate)CertB包含用户B的签名检 验密钥。该证明的精确内容可与下面的最小内容不同：\nCertB＝(B，pB，a，p，ST{B，pB，a，p})\n其中pB是用户B的公用签名检验密钥，而ST是受托当局T的签名变换， A和B知道该受托当局的签名检验密钥。\n在步骤4，用户A接收消息M2，并且然后计算出共用加密密钥(ay)x mod p＝(ax)ymod p＝K。由用户A检验该证明CertB的有效性。当 该证明CertB有效时，将该消息M2的加密部分EK(SB{ay，ax})解密，以 接收SB{ay，ax}，并用该用户B的公共签名检验密钥pB来验证该签名 SB{ay，ax}。如果该签名被确认为有效，则A接受与B共享该共用加密 密钥K。如果该签名被确认为无效，由A来取消该协议的执行。\n在步骤5，用户A标记一系列指数{ax，ay}，并用该共用密钥加密 该结果SA{ax，ay}，得到(SA{ax，ay})。在步骤5A构成并发送包含CertA， EK(SA{ax，ay})的消息M3给B，\n其中CertA包括与用户A的CertB相应的信息。证明CertA的精确内容 可以与下面最少的不同：\nCertA＝(B，pA，a，p，ST{B，pA，a，p})\n其中pA是用户A的公共签名检验密钥，而ST是受托当局T的签名转换， A和B知道该受托当局T的公共签名检验密钥。\n在步骤6，用户B接收消息M3，并检验该CertA的有效性，解密 EA(SA{ax，ay})并检验该SA{ax，ay}的签名的有效性。如果所有的签名是 有效的，则B接受与A共享K。如果任何的签名都是无效的，则B取消 该协议的执行。\n除了上面给出的站对站协议还可以使用基于其它公用密钥的鉴定 和密钥协商协议。\n在图4中示出了根据本发明的通信系统。用户A的移动站9被无 线地连接到基本发射机站BTS，将该基本发射机站BTS有线连接到基站 控制器BSC和移动交换中心MSC 10。将MSC 10，11与ISDN网络连接 在一起。将MSC 11和BTS有线连接，将BTS无线连接到用户B的移动 站12。这里只示出了MSC 10，11来表示本发明的逻辑。实际上还提 供有BTS和BSC。\n在图5中，描述了实现本发明的移动站所需的主要硬件的框图。 处理器13执行为实现该鉴定所需的操作和来自存储器14的密钥协商 程序，其中这些程序是以必要的参数和变量存储在该存储器中的。在 显示器15上将附加安全通信的起始提供给该移动站的用户。通过按压 该键盘16上的一些键或通过处理器13进行该业务的批准。发射机/接 收机17和天线18用于将信息从数字信号转换为被发射的无线电波， 反之亦然。\n提供下面的例子详细地说明本发明当有与ISDN网络连在一起的两 个不同移动交换中心的情况。将用户对用户信令用于传送上述的站对 站鉴定和密钥协商协议的消息。首先，主叫移动站9对向该SETUP消 息的用户对用户信息单元指示加密密钥管理业务的业务码进行编码， 且该移动站9发送该消息给移动交换中心(MSC)10。然后，利用该ISDN 用户部分(ISUP)信令将该用户对用户信息(UUI)传输到MSC 11， 如果将用户连接到不同的MSC 11则将该被叫用户12的移动站连接到 该MSC 11。在SETUP消息中将该UUI传输到该被叫用户的移动站12。 如果在移动站12认可了在该UUI中定义的该附加安全通信业务，则最 好利用声音和电文或该业务的符号方式告警该被叫的用户。该用户必 须允许或拒绝所涉及的该业务。在ALERT消息中将该业务的允许或拒 绝信息从移动站12传送到移动交换中心11。最好在该MSC之间的ISUP 应答消息(ANM)中和在GSM连接的该ALERT消息中将该UUI传送到该 主叫用户的移动站9。将允许或拒绝该附加安全通信业务通知给该主叫 用户。如果该被叫用户允许使用该业务，则利用GSM和ISDN的该USER INFO消息在该两个移动站之间交换与该鉴定和密钥协商协议有关的信 息。如果该业务被拒绝，则将不带该附加安全特征正常地建立该呼叫， 或通过用户输入不再建立而将该呼叫终结。然后，如上面图2和3的 详细描述中所描述的交换该消息M1，M2，M3。当该呼叫被建立后可在移 动站之间传送附加的UUI信息。\n至少可从下面的三种方式来起动该附加安全通信：1.在拨打电话 前用户按一个键或给出一个话音命令，或给出一个起动码，2.做到一 个列表上的用户的呼叫，和3.用户从菜单中选择该特征，以便接通或 断开较长的时间。当进行该呼叫时，检验该被叫移动站执行所需程序 的能力。\n上述的例子是基于站对站协议的使用。可将该UUS信令机制用于 传输与任何其它公共密钥鉴定和密钥协商机制有关的消息。还可采用 该UUS信令机制来传输基于共用密钥技术的密钥协商机制的消息。\n还能将本发明的方法用于在终端设备之间具有信令机制的其它网 络中。