一种利用第一和第二方信任的第三方鉴权所述第一和第二方之间通信的鉴权方法,包括步骤:由信任的第三利用第一方的参数计算第一鉴权输出值,以及利用第一鉴权输出计算第二鉴权输出值,并发送第二鉴权输出值到第二方;第一方计算第一鉴权输出值,并发送第一鉴权输出值到第二方;以及第二方根据从第一方接收的第一鉴权输出值计算第二鉴权输出,并比较计算的第二鉴权输出值与从信任的第三方接收的第二鉴权输出值,如果这两个第二鉴权输出值相同,则第一方被鉴权。(*该技术在2020年保护过期,可自由使用*)
【技术实现步骤摘要】
本专利技术涉及一种用于但不专门用于例如无线蜂窝通信网络的鉴权方法,本专利技术还涉及一种利用这种方法的系统。
技术介绍
图1示出了一种典型的蜂窝无线网络1。该网络覆盖的区域被划分为多个小区2。每个小区2由一个基站收发信台4服务,基站收发信台4发送信号到位于一个特定基站收发信台4相关的小区内的终端6,并从终端6接收信号。终端6可为移动台,能在小区2之间移动。由于信号在终端6和基站收发信台4之间是通过无线电波传输的,因此,未经授权的第三方可能接收这些信号。因此,在已知的无线蜂窝网络中,应提供鉴权用于识别正确的移动台,而且应使用加密来防止第三方窃听。图2示意的为在GSM(全球移动通信系统)标准中执行的过程。在第一步骤S1,移动台MS通过基站向移动业务交换中心(MSSC)请求呼出。来访位置寄存器(VLR)通过移动业务交换中心被通知该请求。VLR控制鉴权过程。每个移动终端有一个识别号,这种识别号有时在GSM标准中称为IMSI(国际移动用户身份)号。MSSC转发移动终端的IMSI到VLR。IMSI的信息最初由移动台提供。VLR接着在第二步骤S2发送IMSI与VLR的身份到移动台的归属位置寄存器HLR。这就确保任何输入呼叫可送至当前位置的移动台。一旦HLR接收到IMSI,就请求鉴权中心AC提供移动用户的密钥KI。密钥KI同时存在于鉴权中心AC和移动台。在第三步骤S3,鉴权中心使用密钥KI和一个随机数产生一个签名SRES以及一个用于信道编码的密钥Kc。随机数、密钥Kc以及签名SRES构成了只用于单个通信的三个一组(triplet)。由鉴权中心AC计算的每个三个一组被转发到相关的来访位置寄存器VLR以及移动业务交换中心MSSC。在步骤S4,VLR传送密钥Kc值到基站控制器(未示出),以及传送随机数值到移动台。移动台接着根据鉴权中心使用的同一算法计算签名SRES,而且该签名在步骤S5被传输到VLR。移动台是以移动用户密钥KI和从VLR接收的随机数为基础生成签名的。当移动台生成的签名SRES与鉴权中心AC生成的一致时,就认为鉴权过程完成。一完成鉴权过程,发送的数据就利用密钥Kc和由VLR以编码形式提供给移动台的临时移动用户身份(TSMI)加密。
技术实现思路
本专利技术实施例的目的是改进鉴权过程,由此使得通信更为安全。根据本专利技术一方面,提供一种利用第一和第二方信任的第三方鉴权所述第一和第二方之间通信的鉴权方法,该方法包括步骤信任的第三方利用第一方参数计算第一鉴权输出值,以及利用第一鉴权输出计算第二鉴权输出值,并发送第二鉴权输出到第二方;第一方计算第一鉴权输出并发送第一鉴权输出到第二方;以及第二方根据从第一方接收的第一鉴权输出计算第二鉴权输出,并比较其计算的第二鉴权输出与从信任的第三方接收的第二鉴权输出,借此,如果这两个第二鉴权输出相同,则第一方被鉴权。该方法可包括步骤第一方计算第二鉴权输出值,发送由信任的第三方计算的第二鉴权输出值到所述第一方,以及在第一方比较其计算的第二鉴权输出值与第三方连接的第二鉴权输出值,从而第二方被鉴权。信任的第三方计算的第二鉴权输出值最好通过第二站送至第一方。第一和第二鉴权输出中最好至少一个,最好是都为哈希(hash)函数的输出。为提供安全的通信方法使用双哈希函数更佳。第一和第二哈希函数都最好是单向的。这意味着第三方实际上不可能确定至少一个参数的值。至少其中一个哈希函数的值最好长至少160比特。哈希函数值当然也可更长或更短。然而,哈希函数越长,授权方解密的难度就越大。未经授权方能猜测出至少一个所述哈希函数值的可能性最好为至多160数量级。换句话说,如果至少一个参数未知则猜测哈希函数值的可能性微乎其微。这就进一步增强了各方之间通信的安全性。其中一个输出最好包括一个第一和第二方共用的密码(secret)。这个密码最好只为第一和第二方知晓。该密码最好包括一个Diffie-Hellman函数。该共用密码最好被至少一方用于加密第一方和第二方之间的通信。这使得第一方和第二方之间的通信很安全。该共用密码最好为gxymod n,其中Diffie-Hellman函数、x和y为随机数,而n为Diffie-Hellman函数的模。最好有至少一个随机数用于加密第一和第二方之间的通信。这个随机数可作为该共用密码的补充或替代。最好在改变至少一个随机数时重新给加密函数指定一个密钥。至少一个参数的值最好从第一站送至第二站。同样地,至少一个参数的值最好从第二站送至第一站。这使得信息能在各方之间交换,而且例如,使得能计算该共用密码。信任的另一方最好与第二方建立安全连接。至少一方的身份最好仅以编码形式送至另一方。例如,该身份可包含于第一和第二鉴权输出的其中一个内。或者该身份可以独立加密的形式发送。由于一方的身份对保持安全通信很重要,因此未经授权的第三方应无法获得第一或第二方的身份,这一点很重要。该方法最好用于有线或无线的通信网络。第一和第二方中一方可为移动台,而另一方可为基站。根据本专利技术第二方面,提供一种用于鉴权第一和第二方之间通信的鉴权方法,该方法包括步骤利用至少一个参数计算第二哈希函数的第一哈希函数值;从第一方发送计算的第二哈希函数的第一哈希函数值到第二方,所述第二方有利用该至少一个参数独立计算的第二哈希函数的第一哈希函数值;以及比较从第一方接收的第二哈希函数的第一哈希函数值与独立计算的第二哈希函数的第一哈希函数值,借此,如果这两个值相同,则第一方被鉴权。附图说明为更好地理解本专利技术以及如何实现本专利技术,现在通过举例参考附图,其中图1示出了本专利技术的实施例可使用的一种已知蜂窝网络;图2示出了一种已知的鉴权协议;图3示意了一种体现本专利技术的利用签名的密钥交换;图4示意了一种体现本专利技术的利用信任的第三方的密钥交换;图5示意了一种体现本专利技术的不使用移动台识别的密钥交换;图6示意了一种体现本专利技术的不重新鉴权的密钥重置;图7示意了一种体现本专利技术的具有共享秘密鉴权的密钥重置;图8示意了一种体现本专利技术的具有签名鉴权的密钥重置;图9示意了一种体现本专利技术的利用第三方鉴权的密钥重置,以及;图10示出了图1所示的网络分层结构部分。具体实施例方式为帮助理解本专利技术的实施例,现在将所使用的一些缩略语归纳如下U-UMTS(通用移动通信业务)用户识别,有时称为IMUI(国际移动用户身份)。换句话说,U表示移动台的身份。n-Diffie-Hellman密钥交换的模,通常为一个大的素数,换句话说,这表示使用的模算术。模算术为计数的循环形式,这样对于得到的任何结果,结果本身不会使用。而使用被模n除后的余数。g-Diffie-Hellman密钥交换的生成数,g可为大于2小于等于n-1的任何适当整数。x,y-在Diffie-Hellman密钥交换中使用的随机指数。换句话说,g升到x和/或y的幂。R,R’-随机数,也称为临时数(nonces)。通常这些随机数有规则变化。P,P’-安全参数——包括可用密码、哈希函数等信息。SIGA()-采用A的签名密钥的的签名SIG。Ek()-利用密钥k加密的。hash()-利用常参数X参数化的哈希函数。换句话说,哈希函数根据一个给定的参数X变化。该参数值当然可以改变。|X-串接和X(即将两项串接在一起)。,X-串接和X。本专利技术的本文档来自技高网...
【技术保护点】
一种利用第一和第二方信任的第三方鉴权所述第一和第二方之间通信的鉴权方法,包括步骤:由信任的第三方利用第一方的参数计算第一鉴权输出值,以及利用第一鉴权输出值计算第二鉴权输出值,并发送第二鉴权输出到第二方;第一方计算第一鉴权输出值,并发 送第一鉴权输出值到第二方;以及第二方根据从第一方接收的第一鉴权输出值计算第二鉴权输出,并比较计算的第二鉴权输出值与从信任的第三方接收的第二鉴权输出值,借此,如果这两个第二鉴权输出值相同,则第一方被鉴权。
【技术特征摘要】
...
【专利技术属性】
技术研发人员:安蒂休马,
申请(专利权)人:诺基亚公司,
类型:发明
国别省市:FI[芬兰]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。