一个移动通信中禁止滥用一个复制的用户识别码.pdf

一个移动通信中禁止滥用一个复制的用户识别码
    本发明涉及在一个移动通信中禁止滥用一个复制的用户识别码的方法和系统。

    在所有通信网络中，用户和网络的操作员均不得不防止来自第三方的、所不希望的入侵。这样，网络就需要各种安全措施。网络安全性的最重要的特征是1)保护被该网络所中继的信息，和2)对网络的用户进行身份认证和进行访问控制。在可以预见的将来，最重要地保护机制是某种加密技术。身份认证是一个确保信息是来自一个被指定的源的措施。典型地，它是基于密码和密钥的。访问权利是指可以经过一个交换信道进行发送和/或者接收的能力。另外，访问机制是基于某种密码或者密钥的。

    因为到移动用户的数据传输是建立在一个无线连接上，所以公众陆地移动网络(PLMN)特别容易受到偷听在该无线路径上的信息的非授权用户的攻击，从而使该非授权用户能够滥用它们的资源。这是因为无线信号可以被从任何地方接收并且从任何地方发送，而不需要访问用户或者网络操作员设备。很明显，与传统电信网络相比，PLMN网络更需要改善其安全性能。

    图1显示了泛欧数字蜂窝无线系统GSM(全球移动通信系统)的基本结构。该GSM网络的结构包含两个部分：一个基站子系统(BSS)和一个网络子系统(NSS)。该BSS和移动台MS通过无线连接来进行相互之间的通信。一个基站收发器台(BTS)为在该基站子系统BSS中的每一个小区提供服务。一组基站BTS连接到一个用于控制由该基站BTS所使用的该无线频率和信道的基站控制器(BSC)。多个基站控制器BSC连接到一个移动交换中心(MSC)。一个移动交换中心的作用是对包含至少一个移动台MS的呼叫进行交换。一些移动交换中心MSC连接到其他电信网络，例如一个公众综合业务网络(PISN)，并且包括处理到这些网络和来自这些网络的呼叫的交换过程。这种移动交换中心称作网关MSC(GMSC)。

    呼叫的路由涉及两类数据库。关于所有用户的用户数据被永久地或者半永久地保存在一个归属位置寄存器HLR中，该用户数据包括关于该用户能够获取的业务的信息和关于该用户的目前位置的信息。另一类寄存器是一个访问位置寄存器VLR。该VLR通常与一个移动交换中心MSC相关，但是可能会为几个中心提供服务。该服务位置寄存器VLR通常被集成到该移动交换中心MSC中。这样一种集成的网络元素被称作一个访问移动交换中心(VMSC)。当一个MS处于激活时(它已经在该网络中进行登录并且能够发送和接收一个呼叫)，在其归属位置寄存器HLR中、关于该移动台MS的用户数据的大部分被载入(复制)到该MS正在其中漫游的该移动交换中心MSC的访问位置寄存器VLR。

    该GSM系统包含了一个非常安全的身份认证系统。这对GSM系统的发展产物也成立，例如对基于众所周知的竞争和响应原理的DCS也成立。当一个用户合同被签订时，该用户被分配了一个秘密的用户身份认证钥匙(Ki)和一个国际移动用户识别号码(IMSI)。Ki被保存在一个用于此目的的并且被称作用户身份认证中心(AUC)的、与该用户归属位置寄存器(HLR)相关或者相连的GSM网络元素中。该用户身份认证中心AUC还包含一个称作A8的加密算法，和一个称作A3的身份认证算法和一个随机数RAND发生器。一个加密钥匙Kc由该算法A8根据Ki和RAND来产生。类似地，由该算法A3根据Ki和RAND来产生一个被签名的响应(SRES)。这三个参数，RAND,Kc，和SRES形成了一个用户专用的三个一组的组，并且在以后的身份认证和加密的过程中要被采用。

    参考图2，该身份认证中心AUC包括一个用于保存每一个GSM网络用户的身份认证钥匙Ki的数据库20。可以使用该移动用户识别号码IMSI作为索引，来从该数据库20中检索该用户Ki。

    为了总是当需要该三个一组的组时，不必计算和发送它，该AUC/HLR预先为每一个用户计算几个三个一组的组，并且根据请求将它们发送到保存它们的访问位置寄存器(VLR)和发送到该移动交换中心(MSC)。该AUC/HLR在它的用于每一个访问用户的配置中，总是有一个没有使用的三个一组的组。高质量的安全性假定，该三个一组的组仅被一个连接使用一次，并且在随后就被破坏。

    图4显示了一些用户专用的三个一组的组。一个安全性参数文件40包含n个三个一组的组，1到n作为每一个用户识别号码IMSI。当一个用户第一次在一个访问中心MSC和一个访问位置寄存器VLR进行登录时，就在该安全性参数文件40中形成这个预定。与该插入用户数据消息一起，它是从归属位置寄存器HLR中下载的用户数据的一部分。

    参考图5，当一个用户已经使用了其配置的所有三个一组的组时，该AUC/HLR被请求计算和发送回一个新序列。这个三个一组的组的完成过程包含两个消息：发送参数和一个对其的响应，该响应称作发送参数结果。前一个包含该移动用户的IMSI，如图2所示，使用该移动用户的IMSI来检索用于计算该三个一组的组的Ki。被计算的该三个一组的组在该发送参数结果消息中，被发送到该MSC/VLR中，并且被保存在该访问位置寄存器VLR中。

    还参考图4，一个移动台MS将一个访问请求发送到该MSC/VLR。后一个使用该IMSI作为索引，从该安全参数文件40中检索一个为该移动用户预留的三个一组的组。在一个方面，该MSC/VLR将值Kc前转到该基站控制器BSC的该信道设备，以使该值被用于业务信道的编码，在另一方面，它在一个身份认证请求消息中，将值RAND前转到该移动台。这由图4的框41所描述。根据该RAND，该移动台MS计算该三个一组的组的其他值(SRES和Kc)。

    现在参考图3，该移动用户身份认证钥匙Ki的一个复制，和加密算法A8和身份认证算法A3被保存在该移动台中。在接收到了一个身份认证请求消息以后，该移动台MS将RAND与该消息隔离起来，并且将它和该被保存的Ki馈送到算法A3和A8，并且分别用于计算该被签名的响应SRES和加密钥匙Kc。该被计算的SRES在该身份认证请求消息中，被前转到该MSC/VLR，目的是完成身份认证，如图4和5所示。

    参考图4，该MSC/VLR将该SRES值与该身份认证请求消息(框42)隔离开来，并且从该文件40中检索该被保存的值SRES(框43)。以后，为了一个特定的连接并且在任何其他处理以前，该MSC/VLR通过检验在该AUC/HLR中被计算的SRES与在该移动台中所计算的SRES(框44)是否一致来认证该移动用户的身份。如果这两个值是一致的，就允许进行访问(框45)。否则，就不允许进行访问(框46)。

    作为一个示例，在该GSM系统中，对一个移动用户的身份认证要经过一个用户专用身份认证单元。这样，该实际的终端没有与一个专用用户连接在一起。该用户身份认证单元，例如一个SIM卡，是一个要被插入到该移动台的处理器卡或者一个智能卡，该用户身份认证单元包含用户身份认证和无线业务加密所需要的数据，例如身份认证钥匙Ki。在这个应用中，该用户身份认证单元，例如一个SIM卡，指与一个移动台相关的、并且可以与其分开的一个处理器卡，通过该用户身份认证单元，一个用户可以使用一个使用卡来工作的移动台。

    这样，如果使用了一个用户身份认证单元，例如一个SIM卡(用户识别模块)，该用户不必要拥有一个移动台，但是由一个移动通信系统操作员发放的、一个用户身份认证单元，例如一个类似于电话卡的SIM卡，可以足够地被用户来发送呼叫并且从该系统的任何移动台接收呼叫。在一个方面，一个SIM卡的目的是将被安全保护的用户身份认证数据放置在该移动台的位置处，在另一方面，是向该移动台提供服务。这些服务包括例如，维护该识别号码(输入和改变等等)，维护该数据保护钥匙，即身份认证钥匙Ki，和当该卡因为多次输入了一个错误的PIN(个人识别号码)被阻塞时，对该SIM卡进行解阻塞。对一个被阻塞的SIM卡进行解阻塞可以通过例如PUK码(个人解阻塞钥匙)来执行。

    作为一个实现该身份认证单元的替代方法，一个称作插入式SIM的一部分被使用来将一个SIM卡插入移动电话中，这个部分包含信用卡大小的SIM卡电子装置并且其尺寸是一个硬币大小。该插入式SIM被插入到该电话中，以使该用户不能轻易地交换它。该电话甚至可能包括一个固定的插入式SIM和附加的一个卡读取器。如果一个卡被插入到该卡读取器，该电话是根据该外部卡被识别，而不是根据该固定的插入式SIM卡来识别。

    这样，从这个应用的角度而言，一个移动台(MS)包括两个部分，即一个移动设备(ME)和一个用户识别号码模块(SIM)。该GSM建议02.17定义了该SIM卡。建议11.11通过定义，例如SIM和ME之间的协议，SIM数据字段的精确内容和长度来详细规范被02.17所限制的问题，并且详细规范与该电子和机械连接相关的问题。包括在一个SIM卡中的一个数据字段的一个示例是标识一个移动用户的IMSI(国际移动用户识别号码)。类似地，从这个应用的角度而言，概念SIM一般指一个用户身份认证单元，例如一个SIM卡，一个小的插入式SIM卡，一个信用卡大小的SIM智能卡，和一个紧紧地固定在该移动台上、并且包括该用户识别号码和身份认证钥匙Ki的一个用户身份认证单元，除非上下文隐含其他的内容。

    根据该GSM建议02.17和11.11，使用了三个算法A3，A5和A8。算法A3是用于身份认证，算法A8是用于产生一个加密钥匙，算法A5是用于进行加密的。算法A3和A8均被安装在SIM卡上和身份认证中心AUC中。算法A5被安装到该移动设备ME和基站BTS上。其他被保存在该身份认证中心AUC的数据包括：用户标识号码IMSI，身份认证钥匙Ki，和关于所使用的算法的版本信息。该相同数据还被保存在该移动用户的SIM卡中。

    当一个SIM卡或者包含在其中的数据到了一个非授权的个人手中时，根据上述技术所实现的该移动通信系统就产生了一个问题。当该电话被丢失了，或者被偷了，或者仅SIM卡被从该电话中偷了时，就出现这样的情形。在这种情形下，该系统包括两个具有一致数据的SIM卡；原始的和一个复制的。不管滥用是很大的还是轻微的，对拥有该原始卡的该移动用户来说，使用一个被复制的卡是有害的。大量的滥用会使用户在下一个电话帐单中注意到这个问题时，其话费已经很昂贵了。但是，如果滥用是轻微的，可能很长时间以内不会发现这个问题。在本申请的范围中，一个复制SIM卡的使用指任何欺骗性地使用另一移动用户的SIM卡数据的技术。

    这样，本发明的一个目的是提供一个实现该方法的方法和一个设备，以使上述与该滥用一个SIM卡或者其中所包含的数据的问题得到解决。使用其特征是在独立的权利要求中所公开的方法和系统来实现本发明的这个目的。这个独立的权利要求公开了本发明的优选实施方式。

    本发明是基于这样一个想法：该GSM系统和其发展的系统是一种“理想情形的移动性”，其中仅被包括在一个SIM卡中的信息是需要来支持用户的移动性的。大部分移动台用户将通过牺牲移动性，来获取安全性的增加。本发明是基于这样一个想法：移动用户能够将他的/她的用户识别号码限制在仅能在一个或者少数几个终端上使用。例如，可以这样来实现本发明，以使一个表示所述用户识别号码的使用是否被限制在特定终端的数据元素被加到一个网络寄存器中。使用是否要被限制到特定终端，所述用户识别号码可以使用的终端的一个列表也被保存在该寄存器中。以后，当更新位置时，向该寄存器发送一个请求，来看该用户识别号码的使用是否被限制到特定的终端。在使用被限制的情形下，需要进行检验来看进行该位置更新的该终端的识别号码是否被保存在该允许终端的列表中。如果所述终端的识别号码没有被保存在该允许终端的列表中，就拒绝该位置更新。

    在GSM系统和其发展系统中，根据本发明的附加数据被保存在其中的该寄存器是归属位置寄存器。在这种情形下，该用户识别号码是IMSI和终端识别号码是IMEI(国际移动设备识别号码)。但是，该识别号码IMSI和IMEI仅用于说明本发明的工作，IMSI和IMEI识别号码并不将其限制到GSM系统。

    对滥用来说，本发明改善了一个移动通信系统的安全性。需要进行改变来实现本发明的部分被限制在一个明显可定义的小区域，主要是改变控制该归属位置寄存器的软件。无论如何，实现本发明不干扰没有加根据本发明的操作的网络元件的操作。

    下面将参考附图和优选实施方式来详细描述本发明。

    图1说明了涉及本发明的一个移动通信网络的部分；

    图2到5图示说明了现有技术GSM系统中的用户身份认证；和

    图6是图示说明根据本发明的用户身份认证的一个流程图；

    图7显示了在用户身份认证中所使用的一个数据库；和

    图8是图示说明根据本发明的用户身份认证的一个信令图。

    参考图6到8，当根据本发明的操作产生作用时，一个用于保存对所述用户识别号码(IMSI，列61)是可允许的终端识别号码(IMEI，列62—64)的表60与该归属位置寄存器HLR一起被产生。替代地，一个已有的表，文件或者数据库可以被扩展到包括表60的数据。在作为一个示例所使用的GSM系统中，该用户识别号码是IMSI，终端识别号码是IMEI。图6显示了一个情形，其中两个在列62和63的识别号码的值分别是IMEI-1a和IMEI-1b的允许终端已经被定义为对用户识别号码IMSI-1是可允许的。(标号64表示允许的IMEI识别号码的数目不限制在两个)。仅一个识别号码是IMEI-2a的允许终端被定义为对用户识别号码IMSI-2是可允许的。在图6中，表60还包括一单个数据元素69，该单个数据元素69表示被保存在列61中的该用户识别号码(例如IMSI)的使用是否被限制到一个或者一些其识别号码分别被保存在列62到64中的终端。在本发明的后面，缩写IIV(IMSI-IMEI证实)用于这样一种限制。

    图6中的表60的形式并不限制本发明。不需要一单个数据元素69也是可行的，但是在某种程度上，该IIV信息是隐含的。实际上，这可能表示，例如，部分预留给一个操作员的用户号码空间被预留给一些用户，对这些用户来说，已经激活了一个根据本发明的IMSI-IMEI的耦合。替代地，该IIV信息可以从该用户识别号码(列61)实际上已经被输入到表60这样一个事实中推导出来。如果与该用户识别号码相应的该行被从表60中删除了，就表示该IMSI-IMEI耦合还没有被激活，并且该用户识别号码可以在任何终端上使用。

    图7图示说明了根据本发明的用户身份认证。在步骤71，该中心MSC/VLR接收来自一个移动台的一个用户识别号码IMSI和一个移动识别号码IMEIMS，以及位置更新。在该IMEI中的下标MS或者HLR表示该IMEI是从一个移动台MS接收到的，还是从一个归属位置寄存器HLR接收到的。该符号MSC/VLR指由该中心和该访问位置寄存器所形成的实体。在一些网络结构中，这些元件是独立的，在其他网络结构中，这些元件被集成到一单个网络元件中。

    在步骤72，通过使用一接收的IMSI，一个查询被发送到该归属位置寄存器HLR。在步骤73，该MSC/VLR从该归属位置寄存器接收与该IMSI相应的一个IMEI码列表IMEIHLR。在步骤74，执行一个检验，来看是否使用了IIV，如果没有使用IIV，在步骤75就接受该MS的位置更新。如果使用了IIV，在步骤76就执行一个检验，来看由该移动台所发送的IMEIMS是否被包括在由该归属位置寄存器HLR所发送的IMEIHLR列表中，即它是否与由该归属位置寄存器HLR所发送的IMEIHLR识别号码中的一个相应。如果它与其中一个识别号码相应，在步骤75就接受该MS的位置更新。否则，在步骤77就拒绝其位置更新并且禁止使用该移动台。

    图8从网络元件之间的信号的角度而言，是图示说明了用户身份认证的一个信令图。当一个移动台MS向该中心MSC/VLR发送一个位置更新请求81时，后者向该归属位置寄存器HLR发送一个请求82，对该请求82作出响应，该归属位置寄存器HLR发送包含关于为所述用户定义的IMEI识别号码的信息的一个列表83。由标号84所表示的步骤与图7的步骤74和76中所执行的检验相应。如果没有使用IIV，该MSC/VLR向该移动台发送一个接受该位置更新的确认85。如果由该移动台发送的IMIEMS与由归属位置寄存器HLR所发送的IMEIHLR识别号码中的一个相应，也发送一个正的确认85。如果所述用户使用了IIV并且由该移动台发送的IMIEMS不与由归属位置寄存器HLR所发送的IMEIHLR识别号码中的任何一个相应，就发送一个负的确认85。

    根据上面所描述的示例，该领域的技术人员可以进行许多修改和改变。在传统GSM系统和根据本发明的技术之间的一个折衷可能是，例如，该用户识别号码(GSM系统中的IMSI)不与该设备识别号码(IMEI)发生耦合，但是与由该用户选择的、并且由用户在特定的情形下，例如当在电话上进行交换或者与位置更新一起，所馈送来的一个任意识别号码发生耦合。这个替代方法的一个优点是：该用户可以使用任何一个终端。其不利的方面是：一个非授权用户能够从与包括在该SIM卡中的数据相同的源中找到该任意识别号码，例如他/她成功地解开了该操作员的信息系统时。另外，一个任意识别号码的密钥与位置更新请求一起将使正常的电话使用复杂化。

    这样，本发明和其实施方式不限制在上述示例中，但是可以在权利要求书的范围内进行变化。