專利名稱:在便攜式互聯(lián)網(wǎng)系統(tǒng)中檢測便攜式用戶站的復(fù)制的設(shè)備和方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種用于在《更攜式互耳關(guān)網(wǎng)系統(tǒng)中才全測便攜式用戶
站的復(fù)制(duplication)的i殳備和方法,更具體i也���,涉及一種用于 在便攜式互聯(lián)網(wǎng)系統(tǒng)中檢測便攜式用戶站的復(fù)制的設(shè)備和方法��,其 中�����,即使在原始便攜式用戶站(PSS)的媒體接入控制(MAC)地 址����、主密鑰����、以及呼叫歷史計數(shù)被復(fù)制到非法復(fù)制的PSS時,仍能 檢測出PSS的非法復(fù)制����。
背景技術(shù):
由于美國在二十世紀(jì)70年代后期開發(fā)了使用蜂窩方法的移動 電信系統(tǒng)�����,所以作為第一^移動電信系統(tǒng)的高級移動電話業(yè)務(wù)
(AMPS)開始提供語音呼叫業(yè)務(wù)���。在二十世紀(jì)90年代中期,第二 代移動電信系統(tǒng)被商業(yè)化���,以及作為被開發(fā)來提供無線多媒體和高 速凄t據(jù)業(yè)務(wù)的第三 移動電信系統(tǒng)的國際移動電信-2000
(IMT-2000)在二十世纟己90年^后期一皮部分商業(yè)化并且目前正凈皮 使用��。
移動電信:技術(shù)目前正處于乂人第三^移動電信系統(tǒng)邁向第四4戈 移動電信系統(tǒng)的過渡時期�,并且正在積極執(zhí)行對可以提供比第三代 移動電信系統(tǒng)更高速的數(shù)據(jù)傳輸業(yè)務(wù)的便攜式互聯(lián)網(wǎng)技術(shù)的研究�����。便攜式互聯(lián)網(wǎng)系統(tǒng)滿足了用戶想要隨時隨地都能使用便攜式 移動站以被提供高速互聯(lián)網(wǎng)業(yè)務(wù)的需求����,并且由于便攜式互聯(lián)網(wǎng)系 統(tǒng)對整個電信業(yè)的普遍影響非常明顯��,所以期望^f更攜式互耳關(guān)網(wǎng)系統(tǒng) 未來成為具有遠大前途的產(chǎn)業(yè)���。因此�����,關(guān)于^更攜式互聯(lián)網(wǎng)系統(tǒng)的國
際標(biāo)準(zhǔn)化的發(fā)展集中于IEEE 802.16�。
在包括便攜式互聯(lián)網(wǎng)系統(tǒng)的移動電信系統(tǒng)中,便攜式用戶站 (PSS)和移動電信網(wǎng)絡(luò)兩者都持有相同的私密密鑰�����,以防止除合 法用戶/裝置之外的第三方的非法使用���,如圖l所示����,并且對便攜式 用戶站(PSS)進行認證����,以使移動電信網(wǎng)絡(luò)在提供業(yè)務(wù)時使用私
密密鑰來確認該PSS是否是原始PSS。下面將參照圖l詳細描述基 于矛A密的i人i正方法��。
圖1是用于描述根據(jù)傳統(tǒng)技術(shù)的用于檢測PSS的復(fù)制的方法的 示圖��。在圖1中�,移動電信網(wǎng)絡(luò)12包括無線接入站(RAS)、接入 控制^各由器(ACR)、和iU正月l務(wù)器��。
如圖l所示���,PSS 11和移動電信網(wǎng)絡(luò)12在扭i行認證程序之前 共享并存儲彼此一致的認證密鑰(A-key) 13和A-key'14�,并通過 SSD的更新程序來存々者;波此一致的共享秘���、密數(shù)據(jù)(SSD ) 15和SSD' 16��。
然后�,當(dāng)PSS 11嘗試接入移動電信網(wǎng)絡(luò)12時���,其使用隨機數(shù) (RAND) 17 (乂人移動電信網(wǎng)絡(luò)12發(fā)出)��、SSD和其他參凄t來產(chǎn)生 認證響應(yīng)(AUTHR ) 18���,并將AUTHR 18傳輸至移動電信網(wǎng)絡(luò)12。
移動電信網(wǎng)絡(luò)12使用存儲于其中的關(guān)于用戶端的信息��、通過 同一 AUTHR產(chǎn)生程序來計算認證響應(yīng)AUTHR�,并將計算得到的 AUTHR與從PSS 11發(fā)出的AUTHR 18進行比4交����,以檢查它們是否 ;f皮此一致���。此時,移動電信網(wǎng)絡(luò)12還將從PSS 11發(fā)出的呼叫歷史計數(shù) COUNT與存儲在移動電信網(wǎng)絡(luò)12中的呼叫歷史計數(shù)進行比較����,以 檢查它們是否彼此一致。
如果/人PSS 11發(fā)出的AUTHR和COUNT與移動電信網(wǎng)絡(luò)12 的AUTHR和COUNT —致��,貝'J PSS 11 一皮i人i正為合法��。
即���,如果PSS ll在認證過程中成功�,則允許其訪問電信業(yè)務(wù)���, 但是如果其失敗�����,則執(zhí)行由網(wǎng)絡(luò)操作員設(shè)置的管理程序來分析認證 失敗的原因并將認證失敗的原因傳送至PSS 11����。
然而,用于使用AUTHR和COUNT來4全測PSS的復(fù)制的方法 存在的問題在于��,由于在移動電信網(wǎng)絡(luò)中分別比專交AUTHR和 COUNT,所以增加了在PSS和移動電信網(wǎng)絡(luò)之間的話務(wù)(traffic) 負載���。
為了解決上述問題����,韓國專利第281,566號公開了一種用于使 用呼叫歷史計數(shù)COUNT計算AUTHR來減小移動電信系統(tǒng)中的認 i正負載的方法���。
然而���,韓國專利第281,566號的方法具有以下問題,由于只4吏 用呼叫歷史計數(shù)COUNT來檢測PSS的復(fù)制�����,因此難以原樣應(yīng)用于 l更攜式互耳關(guān)網(wǎng)系統(tǒng)��。
首先�,便攜式互聯(lián)網(wǎng)系統(tǒng)允許多個用戶使用一個PSS,但是由 于只才丸4亍對PSS的i人i正,所以排除了對用戶的iU正��。因此��,當(dāng)A-key 和呼叫歷史計數(shù)COUNT被復(fù)制到復(fù)制的PSS時,難以確認PSS是
否被非法復(fù)制���。其次,當(dāng)原始PSS被非法復(fù)制時�����,難以找出該復(fù)制是由用戶自
愿4丸行的還是由惡意的第三方4丸行的��。
發(fā)明內(nèi)容
技術(shù)問題
本發(fā)明旨在提供一種用于在便攜式互聯(lián)網(wǎng)系統(tǒng)中檢測PSS的 非法復(fù)制的設(shè)備和方法���,其中�����,無論何時成功地執(zhí)行了對PSS的認 證����,都同時更新PSS的主密鑰以及認證授權(quán)和計費(AAA)服務(wù)器 的主密鑰����,從而,即使當(dāng)原始PSS的媒體接入控制(MAC)地址�、 主密鑰和呼叫歷史計翁^皮復(fù)制到復(fù)制的PSS時�����,仍可以才企測出PSS 的非法復(fù)制��。
本發(fā)明還旨在提供一種用于在便攜式互聯(lián)網(wǎng)系統(tǒng)中檢測PSS 的非法復(fù)制的設(shè)備和方法���,其中,執(zhí)行請求可能被非法復(fù)制的PSS 的用戶輸入口令的認證程序���,從而能夠找出復(fù)制是由用戶自愿執(zhí)行 的還是由惡意的第三方執(zhí)行的����。
才支術(shù)方案
才艮據(jù)本發(fā)明的一個方面����, 一種用于在^更攜式互耳關(guān)網(wǎng)系統(tǒng)(包括 執(zhí)行對PSS的認證的認證授權(quán)和計費(AAA )服務(wù)器以及無線連接 PSS和AAA月良務(wù)器的無線4妄入站(RAS))中4企測1更攜式用戶站 (PSS)的復(fù)制的方法包括以下步驟(a)在AAA服務(wù)器,使用所 連接的PSS的主密鑰執(zhí)行第一i人證�����;(b)當(dāng)成功執(zhí)行第一i人證時�����, 更新所連接的PSS的主密鑰,而當(dāng)?shù)谝徽J證失敗時�����,使用提供給原 始PSS的固有信息執(zhí)行第二認證��;以及(c)當(dāng)成功執(zhí)行第二認證 時�,檢查復(fù)制可能性位值��,當(dāng)不存在復(fù)制可能性位值時��,將所連接 的PSS認證為合法的��,并在分配復(fù)制可能性位值后更新所連4妻的PSS的主密鑰���,而當(dāng)存在復(fù)制可能性位值或第二認證失敗時����,將所 連接的PSS確定為被復(fù)制的��。
根據(jù)本發(fā)明的另一個方面�, 一種用于在便攜式互聯(lián)網(wǎng)系統(tǒng)(包
括執(zhí)行認證的AAA服務(wù)器)中檢測便攜式用戶站(PSS )(該PSS 包括原始PSS以及存儲有包括原始PSS的MAC地址、主密鑰��、和 呼叫計數(shù)的信息的復(fù)制的PSS)的復(fù)制的方法包括以下步驟(a) 在AAA服務(wù)器,使用所連接的PSS的主密鑰執(zhí)行第一認證��;(b ) 當(dāng)成功執(zhí)行第一認證時����,更新所連接的PSS的主密鑰并允許所連接 的PSS接入網(wǎng)絡(luò),而當(dāng)?shù)谝徽J證失敗時��,使用提供給原始PSS的固 有信息執(zhí)行第二認證��;以及(c)當(dāng)成功執(zhí)行第二認證時�,更新所 連接的PSS的主密鑰并允許所連接的PSS接入網(wǎng)絡(luò),而當(dāng)?shù)诙J證 失敗時��,將所連接的PSS確定為被復(fù)制的并拒絕所連接的PSS接入 網(wǎng)絡(luò)����。
根據(jù)本發(fā)明的又一個方面, 一種用于在便攜式互聯(lián)網(wǎng)系統(tǒng)中檢 測便攜式用戶站(PSS)的復(fù)制的設(shè)備包括存儲器�,包括認證表 格,用于存儲用于每個PSS的主密鑰和復(fù)制可能性位值�����;PSS復(fù)制 確定裝置,用于將通過無線4妾入站(RAS)所連4妄的PSS的主密鑰 與存儲在認證表格中的主密鑰進行比較����,以確定所連接的PSS是否 合法,并使用存儲在認證表格中的復(fù)制可能性位值來確定所連接的 PSS是否是被復(fù)制的��;主密鑰更新裝置�����,用于當(dāng)所連接的PSS被確 定為合法的時�����,同樣更新所連接的PSS的主密鑰和認證表格中的主 密鑰����;以及認證控制器���,用于執(zhí)行與所連接的PSS的認證和復(fù)制確 定有關(guān)的全部操作��。
有益效果
如上所述�,才艮據(jù)本發(fā)明的PSS復(fù)制4企測i殳備和方法具有以下優(yōu)點����。首先����,可以防止復(fù)制的PSS使用便攜式互聯(lián)網(wǎng)中的便攜式互聯(lián) 網(wǎng)業(yè)務(wù)���,并且即^吏當(dāng)原始PSS的MAC地址�����、主密鑰����、和呼叫歷史 計凄t:帔復(fù)制到復(fù)制的PSS時����,仍可以4企測PSS的非法復(fù)制。
此外�,如果原始PSS是非法復(fù)制的,則找出復(fù)制是否是用戶自 愿的還是由惡意第三方非法進行的����。
此外,對原始PSS快速執(zhí)行不需要輸入口令的認證方法�,而對 復(fù)制的PSS扭J于需要輸入口令的i人i正方法,/人而可以有歲文i也^U亍"i人 證。
此外��,由于復(fù)制確認值是通過哈希函數(shù)計算出來的��,而復(fù)制是 通過-瞼證復(fù)制確認值來4企測的���,所以不需要使用其他裝置或改變協(xié) "i義;就可以實J見�。
圖1是用于描述根據(jù)傳統(tǒng)技術(shù)的用于檢測便攜式用戶站(PSS ) 的復(fù)制的方法的示圖2是示出了根據(jù)本發(fā)明的示例性實施例的便攜式互聯(lián)網(wǎng)系統(tǒng) 的示意圖3示出了圖2的便攜式互聯(lián)網(wǎng)系統(tǒng)的層結(jié)構(gòu)����;
圖4至圖9是示出了根據(jù)本發(fā)明的示例性實施例的用于檢測 PSS的復(fù)制的方法的基本構(gòu)思的示圖10是示出了根據(jù)本發(fā)明的用于PSS復(fù)制檢測方法的媒體接 入控制(MAC)消息的流禾呈的流禾呈圖;圖11示出了根據(jù)本發(fā)明的新定以的以檢測PSS的復(fù)制的MAC
計算CCV—PSS的方法��;
圖13示出了圖IO所示的EAP-AKA和EAP-MD5;
圖14是示出了根據(jù)本發(fā)明的示例性實施例的便攜式互聯(lián)網(wǎng)系
統(tǒng)中的PSS的話務(wù)連4妾建立的流程圖15是示出了圖14的PSS復(fù)制才全測步驟P的詳細流程聯(lián)網(wǎng)系統(tǒng)中檢測PSS的非法復(fù)制的設(shè)備的框圖���;以及
圖17示出了根據(jù)本發(fā)明的示例性實施例的存儲器的認證表格。
以上附圖中的主要符號的描述
200: PSS
210: RAS
220: ACR
230: AAA月良務(wù)器
240: HA
300: PSS復(fù)制4企測設(shè)備310:消息*接收裝置 320: i人i正4空制器 330:存儲器 331:認證表 340: PSS復(fù)制確定裝置 350: iU正方法選纟奪裝置 360:主密鑰更新裝置 370: PSS復(fù)制通知裝置 380:消息傳輸裝置
具體實施例方式
下文中�,將詳細描述本發(fā)明的示例性實施例。然而�,本發(fā)明并 不限于下面公開的示例性實施例,而是可以以各種形式實現(xiàn)�。因此, 提供本示例性實施例用于充分公開本發(fā)明以及^f吏本領(lǐng)域的技術(shù)人 員充分了解本發(fā)明的范圍����。
圖2是示出才艮據(jù)本發(fā)明的示例性實施例的1"更攜式互聯(lián)網(wǎng)系統(tǒng)的 示意圖�����,以及圖3示出了圖2的便攜式互聯(lián)網(wǎng)系統(tǒng)的層結(jié)構(gòu)��。
如圖2所示���,便攜式互聯(lián)網(wǎng)系統(tǒng)包括便攜式用戶站(PSS) 200;無纟戔4妻入》占(RAS) 210,用于執(zhí)4亍與PSS 200的4妄入和多種 服務(wù)有關(guān)的所有控制功能;接入控制路由器(ACR) 220��,用于控 制RAS 210;認證4受4又和計費(AAA )月良務(wù)器230,連接至IP網(wǎng)絡(luò)以才丸4亍iU正���、4受片又和計費功能����;以及本i也代理(HA ) 240,用于通 過IP網(wǎng)絡(luò)提供IP移動性��。
為了使高速數(shù)據(jù)業(yè)務(wù)在PSS 200移動時也可用�,PSS 200和RAS 210以下面所述的正交頻分多址(OFDMA)方法進行通信。
OFDMA方法是結(jié)合了頻分多路復(fù)用(FDM)方法和時分多^各 復(fù)用(TDM)方法的多i 各復(fù)用方法���。OFDMA在多徑衰減方面具有 魯棒性��,并且具有高數(shù)據(jù)率�,因而在高速數(shù)據(jù)傳輸過程中具有最優(yōu) 的傳輸效率。由于上述原因���,OFDMA當(dāng)前被重點作為可以在便攜 式互聯(lián)網(wǎng)系統(tǒng)中為PSS200提供移動性的技術(shù)����。
參照圖3���,根據(jù)IEEE 802.16的便攜式互聯(lián)網(wǎng)系統(tǒng)的層結(jié)構(gòu)包 括物理層(L10 )和々某體接入控制(MAC )層(L21�����、 L22和L23 )�����。
物理層L10負責(zé)在典型的物理層中^L行的無線通信功能���,例 如����,調(diào)制/解調(diào)和編碼��。
便攜式互聯(lián)網(wǎng)系統(tǒng)在一個MAC層中執(zhí)行各種功能��,這不同于 具有在功能上^皮細分成多個層的有線互寫關(guān)網(wǎng)系統(tǒng)�。
MAC層包括保密子層L21�����、 MACV^共部分子層L22�����、以及業(yè) 務(wù)特定匯聚子層L23���。
保密子層L21執(zhí)行裝置認證和私密密鑰交換功能以及加密功 能���。保密子層L21僅執(zhí)行裝置認證,而用戶認證是由MAC的上層 (未示出)執(zhí)行的��。
MAC公共部分子層L22是MAC層的核心����,并且執(zhí)行系統(tǒng)訪 問功能、帶寬分配功能�����、話務(wù)連接建立和維護功能、以及QoS管理 功能��。業(yè)務(wù)特定匯聚子層L23在連續(xù)數(shù)據(jù)通信中執(zhí)行有效載荷報頭 壓縮功能和QoS映射功能�。
即,便攜式互聯(lián)網(wǎng)系統(tǒng)接收并傳輸各種消息���,以使用具有圖3 層結(jié)構(gòu)的MAC消息來執(zhí)行關(guān)于各種操作的請求(REQ)功能����、響 應(yīng)(RES)功能����、和確^人(ACK)功能。
在圖2的〗更攜式互4關(guān)網(wǎng)系統(tǒng)中��,如果包括存4諸在原始PSS中的 A-key的所有信息都被復(fù)制到被復(fù)制的PSS中,則僅使用呼叫歷史 計數(shù)執(zhí)行對PSS認證的方法存在以下問題,不能找出復(fù)制是由用戶 自愿進行的還是由惡意的第三方進行的�。
為了找出復(fù)制是由用戶自愿進行的還是由惡意的第三方進行 的����,每當(dāng)成功才丸4亍對PSS 200的i人i正時,就更新在PSS 200和AAA 服務(wù)器230中的主密鑰��。下文中�,詳細描述根據(jù)本發(fā)明的示例性實 施例的用于檢測PSS的非法復(fù)制的設(shè)備和方法。
圖4至圖9是示出了根據(jù)本發(fā)明的示例性實施例的用于檢測 PSS的復(fù)制的方法的基本構(gòu)思的示圖�����。
(1 )原�����、:if臺PSS的i人i正
^口圖4戶斤示�,通過RAS 210進入網(wǎng)絡(luò)的原J臺PSS 200 4丸4亍由 AAA月良務(wù)器230 i人i正的iU正程序,以4吏原始PSS 200a與AAA月良 務(wù)器230共享主密鑰1�。
此時,假設(shè)原始PSS200a未被復(fù)制�。
優(yōu)選地,原始PSS 200和AAA月良務(wù)器230 ^Vf亍i人i正考呈序而無 需請求輸入口令以進行快速認證�。(2)原j臺PSS的復(fù)命J
^口圖5所示,發(fā)生了原始PSS 200a的復(fù)制����。原始PSS 200a的 復(fù)制的PSS 200b可以由用戶自愿非法作出的或由惡意的第三方非 法作出的。
在這種情況下��,存儲在原始PSS 200a中的包4舌MAC地址�����、主 密鑰和呼叫歷史計數(shù)的所有信息都被復(fù)制到復(fù)制的PSS 200b。
(3 )原J會PSS或復(fù)制的PSS的i人i正
^口圖6戶斤示��,原J臺PSS 200a在復(fù)制的PSS 200b之前通過RAS 210進入網(wǎng)絡(luò)以才丸4亍iU正程序并凈皮成功iU正���,A人而AAA月l務(wù)器230 產(chǎn)生用于^皮成功iU正的原始PSS 200a的新主密鑰2���,并將新主密鑰 2 4專車lr至^^4臺PSS 200a。因it匕�����,^J會PSS 200a牙口 AAA月良務(wù)器230 共享主密鑰2���,而復(fù)制的PSS 200b〗呆留主密鑰1�����。
才目反���,3口圖7戶斤示,復(fù)制的PSS200b在原始PSS200a之前通 過RAS 210進入網(wǎng)絡(luò)以沖丸4亍i人i正禾呈序,并且復(fù)制的PSS 200b由于 其保留有主密鑰1而被成功認證����。AAA服務(wù)器230產(chǎn)生用于被成 功認證的復(fù)制的PSS 200b的新主密鑰2��,并將新主密鑰2傳輸至復(fù) 制白勺PSS200b��。因it匕���,復(fù)制的PSS200b和AAA月艮務(wù)器230共享主 密鑰2,而原始PSS200a保留主密鑰1�。
(4 )根據(jù)原始PSS/復(fù)制的PSS的"i人證成功/失敗確定復(fù)制類型
首先����,圖8示出了原始PSS 200a在原始PSS200a^f呆留主密鑰 2而復(fù)制的PSS200b保留主密鑰1的狀態(tài)下試圖進行認證的情況。 在這種情況下�,由于原始PSS200a與AAA服務(wù)器230共享主密鑰2,因此成功執(zhí)行認證,并且AAA服務(wù)器230產(chǎn)生新主密鑰3并將 其傳輸至原始PSS 200a以共享���。
接下來���,示出了復(fù)制的PSS 200b在原始PSS 200a保留主密鑰 2而復(fù)制的PSS200b保留主密鑰1的狀態(tài)下試圖進行認證的情況。 在這種情況下���,由于復(fù)制的PSS 200b具有與AAA月良務(wù)器230的主 密鑰不同的主密鑰�,所以AAA服務(wù)器230引導(dǎo)(induce)復(fù)制的 PSS 200b的用戶執(zhí)行不同的認證程序。例如�����,作為不同的認i正程序���, AAA月良務(wù)器230可以引導(dǎo)復(fù)制的PSS 200b的用戶車#入口令�。
在由第三方作出復(fù)制的PSS 200b的情況下��,復(fù)制的PSS 200b 的用戶發(fā)現(xiàn)難以知道口令��,并因此認證失敗����。在這種情況下,AAA 服務(wù)器230將復(fù)制的PSS 200b確定為由惡意的第三方非法復(fù)制的 并因此拒絕進行認證��。因此��,不為復(fù)制的PSS 200b更新主密鑰���。
然而�����,在由用戶自愿4乍出原始PSS 200a的復(fù)制的PSS 200b的 情況下�����,復(fù)制的PSS 200b的用戶可以知道口令�。因此,為了防止 復(fù)制的PSS 200b被使用�,當(dāng)口令認證通過時���,AAA服務(wù)器230才企 查對應(yīng)的PSS在認證表格中的"復(fù)制可能性����,���,位值��,并在其為"0" 的情況下將其設(shè)為"1",以表示存在復(fù)制可能性��。AAA服務(wù)器230 產(chǎn)生新的主密鑰3并將其傳輸至復(fù)制的PSS 200b以共享����。
如果"復(fù)制可能性"位值為"1"并且復(fù)制的PSS 200b之前已 通過口令認證,則由于只有PSS用戶知道口令��,所以AAA服務(wù)器 230確定復(fù)制的PSS 200b是由用戶自愿非法作出的�。AAA服務(wù)器 230才巨纟色復(fù)制的PSS 200b的i人i正,并因jt匕不再為復(fù)制的PSS 200b 更新主密鑰���。
如圖9所示�����,復(fù)制的PSS 200b在復(fù)制的PSS 2001W呆留主密鑰 2而原始PSS 200a保留主密鑰1的狀態(tài)下試圖進行認證(見圖7)��。在這種情況下�����,由于復(fù)制的PSS 200b和AAA月良務(wù)器230共享相同 的主密鑰2�����,因此成功執(zhí)行認證���,并且AAA服務(wù)器230產(chǎn)生新主 密鑰3并將其傳輸至復(fù)制的PSS 200b以共享。
接下來�����,描述原始PSS 200a在復(fù)制的PSS 200b 4呆留主密鑰2 而原始PSS 200a保留主密鑰1的狀態(tài)下試圖進行認證的情況。在 這種情況下�,由于原始PSS 200a具有與AAA月l務(wù)器230的主密鑰 不同的主密鑰,因此AAA服務(wù)器230 I導(dǎo)原始PSS 200a的用戶執(zhí) 行不同認證程序���。例如�����,作為不同的認證程序���,AAA服務(wù)器230 可以引導(dǎo)原始PSS 200a的用戶輸入口令�。
在這種情況下,原始PSS 200a的用戶可以知道口令并因此通 過口令認證�����。AAA服務(wù)器230才企查對應(yīng)的PSS在i人證表格中的"復(fù) 制可能性"位值���,并且在其為"0"的情況下將其i殳置為"1"�����,以 表示存在復(fù)制可能性���。AAA服務(wù)器230產(chǎn)生新的主密鑰3并將其 4專舉lr至原始PSS 200a以共享��。
如果"復(fù)制可能性"位值為"1"并且原始PSS 200a之前通過 了 口令認證��,則由于只有PSS用戶知道口令�,所以AAA服務(wù)器230 確定原始PSS 200a是由用戶自愿非法復(fù)制的���。AAA服務(wù)器230拒 纟色原始PSS 200a的認證�����,因此���,不再為原始PSS 200a更新主密鑰。
如上所述�,由于每當(dāng)PSS在PSS的網(wǎng)絡(luò)iU正中成功,就更新 PSS的主密鑰和AAA服務(wù)器230的主密鑰����,所以可以通過比較PSS 的主密鑰和AAA服務(wù)器230的主密鑰來發(fā)現(xiàn)PSS是否是被復(fù)制的 PSS。
即����,即使復(fù)制的PSS存儲了包括原始PSS的MAC地址��、主密 鑰����、和A-key的全部信息��,^f旦是如果原始PSS和復(fù)制的PSS中的一 個成功地進行了認證�����,那么AAA服務(wù)器230的主密鑰就被更新�。此后,當(dāng)其他接入請求使用之前的主密鑰進行認證時�,AAA服務(wù) 器230識別主密鑰之間的差別,并懷lt對應(yīng)的MAC地址的PSS是
#皮復(fù)制的�����。
此時�����,對于被懷疑的PSS�, AAA服務(wù)器230執(zhí)行口令認證程序, 從而要求用戶輸入口令�。如果口令認證失敗,貝'J AAA服務(wù)器230 確定該PSS是由第三方惡意復(fù)制的����。
如果被懷疑的成功進行了 PSS 口令認證,則AAA服務(wù)器230 確定該PSS是由用戶自愿非法復(fù)制的�����,這是因為只有用戶知道口 令��。
下文中��,將參照圖10至圖15更詳細地描述根據(jù)本發(fā)明的PSS 復(fù)制4企測方法���。
圖10是示出了根據(jù)本發(fā)明的用于PSS復(fù)制檢測方法的MAC 消息的流禾呈的流程圖�����。
為了易于描述��,我們將在RAS 210中產(chǎn)生的隨枳4t 1標(biāo)示為 RAND_RAS���,將在PSS 200中產(chǎn)生的隨才幾tt 2標(biāo)示為RAND—PSS ����, 將保留在PSS 200中的主密鑰標(biāo)示為Ml��,將在PSS 200中計算得 到的復(fù)制確認值1標(biāo)示為CCV—PSS,將保留在AAA服務(wù)器230中 的主密鑰標(biāo)示為Ml'���,以及將在AAA力良務(wù)器230中計算得到的復(fù) 制確"i人^直2標(biāo)示為CCV—AAA�����。
^口圖10戶斤示�,在PSS 200 ,口 RAS 210的觀'^巨(ranging )考呈序 之后��,執(zhí)行根據(jù)本發(fā)明的PSS復(fù)制才企測方法�。
首先,當(dāng)完成了測距程序后���,RAS210隨機產(chǎn)生用于確定PSS 200的復(fù)制的RAND RAS�����,并將其插入到PSS偽保護(PCP )-質(zhì)詢(PSS counterfeiting protection (PCP)畫challenge )消息中并3夸其4專 輸至PSS 200。
PCP-質(zhì)詢消息����、以及稍后將描述的PCP-REQ消息�、 PCP-REQ-AA消息和PCP-RSP消息是在本說明書中新定義以檢測 PSS的復(fù)制的MAC消息�。以下將參照圖11描述這些MAC消息。
圖11示出了根據(jù)本發(fā)明的被新定義以檢測PSS的復(fù)制的MAC 消息����。
參照圖11 ,在才艮據(jù)IEEE 802.16的這些MAC消息中��,定義了 10個類型來作為常失見的PKM消息�,其^R/馬為3至12。
即�,在本發(fā)明的示例性實施例中,作為代碼13至16的用于枱r 測PSS的復(fù)制的新PKM消息被添加到才艮據(jù)IEEE 802.16的常規(guī) PKM消息中���。
此處���,代碼為13的PKM消息是作為PSS偽保護請求消息的 "PCP-Challenge" , 碼為14和15的PKM消息是4乍為CCV_PSS -驗"i正"i青求消息的"PCP-REQ"和"PCP-REQ-AA",而代^馬為16的 PKM消息是作為CCV_PSS響應(yīng)消息的"PCP-RSP"�����。
上述的用于檢測PSS的復(fù)制的這些類型的PKM消息被定義用 于本發(fā)明的示例性實施例的描述,并且它們并不用于限定含義或限 制本發(fā)明的范圍�。因而,可以才艮據(jù)網(wǎng)絡(luò)才喿作員的策略來適當(dāng)改變術(shù) i吾����、^;馬〗直和消息類型。
再次參照圖10, PSS 200 S尋包含在乂人RAS 210 4妄》]欠到的 PCP-Challenge消息中的RAND_RAS����、在該PSS中隨才幾產(chǎn)生的 RAND—PSS、存儲在該PSS中的主密鑰Ml�、和MAC地址輸入哈希函數(shù)來計算CCV—PSS,并將RAND—PSS、 MAC地址和CCV—PSS 插入到PCP-REQ消息中���,然后將其傳llT至RAS 210��。下面將參照 圖12詳細描述使用哈希函數(shù)計算CCV PSS的方法����。
圖12示
CCV—PSS的方法���。如以下等式1所示����,4吏用^合希函凄之計算出 CCV_PSS。在RAS 210中隨機產(chǎn)生的RAND—RAS�����、在PSS 200中 隨機產(chǎn)生的RAND—PSS�、存儲在PSS 200中的主密鑰Ml ���、和PSS 200
的MAC地址被用作哈希函數(shù)的輸入值�����。
CCV—PSS=SHA1 {Ml I RAND—RAS I RAND—PSS I MAC address};
其中����,SHAl是用于將長度很長的數(shù)據(jù)減小成預(yù)定長度的數(shù)據(jù) 的哈希函數(shù)�����,并用于增加數(shù)字簽名的效率以及檢查重要信息的完整 性����。SHAl是通常用作表示互聯(lián)網(wǎng)安全協(xié)i義的IPSec、作為安全電子 郵件安全標(biāo)準(zhǔn)的SMIME��、用于提供端對端安全性的TSL、以及在 基于認證的安全協(xié)議中的加密函數(shù)的函數(shù)�����。
再次參照圖10, RAS 210將在其中所產(chǎn)生的RAND—RAS連同 RAND_PSS�����、 MAC地址和CCV_PSS插入到PCP-REQ-AA消息中 并將其傳輸至AAA力l務(wù)器230���。
即�����,PCP-REQ-AA消息包含RAND_RAS �����、 RAND_PSS �����、 MAC 地址���、和CCV—PSS�����。
然后�,AAA月良務(wù)器230將RAND—RAS���、 RAND—PSS、保留在 其中的主密鑰Ml'���、以及PSS 200的MAC地址輸入哈希函數(shù)以計 算用于確定PSS 200是否^皮復(fù)制的CCV_AAA����。參照等式1可以容 易理解用于計算CCV AAA的方法�,乂人而省略對其的描述。AAA服務(wù)器230將在PSS 200中計算得到的CCV_PSS與其中 計算得到的CCV—AAA進4亍比專交���。
即���,如果PSS 200和AAA服務(wù)器230具有相同的主密鑰,則 在PSS 200中計算得到的CCV—PSS與在AAA服務(wù)器230中計算得 到的CCV—PSS相同���,從而�,AAA服務(wù)器230可以使用保留在其中 的主密鑰Ml驗證CCV—PSS以檢查PSS 200是原始PSS還是非法 復(fù)制的PSS。
如果PSS 200的CCV—PSS與AAA月良務(wù)器230的CCV—AAA 相同��,即��,確定PSS 200的主密鑰與AAA月良務(wù)器230的主密鑰相 同����,貝'j AAA服務(wù)器230將用于請求無需輸入口令的EAP-AKA認 證方法的PCP-RSP (EAP)消息傳輸至RAS210。
然而���,如果PSS 200的CCV_PSS與AAA月良務(wù)器230的 CCV-AAA不同�����,即�����,確定PSS 200的主密鑰不同于AAA服務(wù)器 230的主密鑰��,貝'J AAA服務(wù)器230確定PSS200是非法復(fù)制的���,從 而將用于"i青求需要l敘入口令的EAP-MD5 iU正方法的PCP-RSP (雙 層EAP, double )傳輸至RAS 210���。
EAP-AKA和EAP-MD5是可以用于i"更攜式互聯(lián)網(wǎng)系統(tǒng)中的認 證方法��,并且為了易于理解�����,下面將參照圖13來描述EAP-AKA和 EAP-MD5�。
圖13示出了圖10所示的EAP-AKA和EAP-MD5。
參照圖13,便攜式互聯(lián)網(wǎng)系統(tǒng)支持可擴展認證協(xié)議(EAP)認 i正方法�,該方法可以適應(yīng)用于在不同類型網(wǎng)纟各之間^是供漫游業(yè)務(wù)的 各種認證協(xié)議�����。在EAP中�,由于將要實際應(yīng)用的認證算法由類型(Type )域確定,所以RAS和和ACR只傳輸EAP有效載荷而不考 慮認證算法�,從而增強了安全性和擴展性。
方法的協(xié)議���,例如��,消息摘要號5(MD5)����、傳輸層安全性(TLS)、 安全遠程口令(SRP )�����、和隧道TLS ( TTLS )��。
除了 EAP-MD5����、 EAP-TLS、 EAP-SRP���、和EAP國TTLS夕卜�����,還 開發(fā)了基于USIM卡的EAP-AKA認證方法以應(yīng)用公共漫游互工作 功能�?���;?USIM 卡的 EAP-AKA i人i正方法是通過 EAP-R叫uest/AKA-identity消息_清求用戶的身^f分的iU正方法,并且 PSS的USIM卡通過EAP-Request/AKA-identity消息傳專#其身4分���。 PSS的USIM卡驗證包含在從AAA服務(wù)器230傳輸?shù)南⒅械南?息認證碼(MAC)值��,并在-驗證結(jié)果成功的情況下確認合成值����。 AAA服務(wù)器230將接收到的合成值與保留在其中的合成值進行比 專交,并且在兩個合成值相同的情況下允許接入網(wǎng)絡(luò)���。
EAP-MD5是這樣的一種認證方法���,其中,AAA服務(wù)器230傳 輸用于通知PSS EAP-MD5開始的通知消息來要求用戶直接輸入用 戶ID和口令��,PSS使用MD5對用戶ID和口令進行p合希運算并將 MD5哈希值傳輸至AAA服務(wù)器230�,然后AAA服務(wù)器230將之 前存儲在其中的哈希值與MD5哈希值進行比較�����,并且在這兩個哈 希值相同的情況下���,傳輸允許PSS接入網(wǎng)絡(luò)的消息��。
即�,如果PSS 200被確定為原始PSS�,貝'J AAA服務(wù)器230將 用于請求無需輸入口令的EAP-AKA認證方法的PCP-RSP (EAP) 消息傳輸至RAS210�, 乂人而當(dāng)在用戶站基本能力(SBC)協(xié)商程序 (將詳細描述)期間選才奪認i正方法時���,能夠選4奪EAP-AKA認證方 法����,從而可以對原始PSS進行快速認證而無需請求輸入口令���。然而����,如果PSS 20(M皮確定為非法復(fù)制的PSS�,貝'JAAA服務(wù) 器230將用于請求EAP-AKA認證方法和需要輸入口令的EAP-MD5 認證方法的PCP-RSP (雙層EAP )傳輸至RAS 210,從而當(dāng)在SBC 協(xié)商程序期間選擇認證方法時,能夠選擇需要輸入口令的雙層EAP 認證方法��。因此��,可以發(fā)現(xiàn)PSS200是由用戶還是惡意的第三方通 過口令認i正程序非法復(fù)制的�。
包含在PCP-RSP ( EAP )消息或PCP-RSP (雙層EAP )消息中 的認證方法信息被暫時存儲在RAS 210中,然后用于在SBC協(xié)商 禾呈序期間選沖奪"i人i正方法��。
再次參照圖10���,當(dāng)選擇認證方法時���,執(zhí)行包括認證才莫式協(xié)商程 序的SBC十辦商禾呈序以進4亍PSS 200的i人i正�����。
首先���,PSS 200將SBC-Request消息傳輸至RAS 210以進行基 本能力協(xié)商,即���,用于選擇認證模式的協(xié)商����。
此時���,與可支持的認證模式有關(guān)的參數(shù)包含在用于認證模式選 擇的SBC-R叫uest消息中。這些參凄t包括用于物理層帶寬能力的協(xié) 商的帶寬分配支持參數(shù)和用于認證沖莫式協(xié)商的授權(quán)策略支持參數(shù)��。
已乂人PSS 200 4妄收到SBC畫Request消息的RAS 210神丸4亍之前在 IEEE 802.16的保密標(biāo)準(zhǔn)中定義的基本能力協(xié)商以對PSS 200進行 認證�,并使用包含在SBC-R叫uest消息中的認證才莫式協(xié)商參數(shù)來選 才奪一種可支持的"i人"i正才莫式。此時��,作為EAP-AKA iU正方法,當(dāng)乂人 AAA月良務(wù)器230接收到PCP畫RSP ( EAP )消息時����,RAS 210選才奪授 權(quán)策略支持參數(shù),并且作為雙層EAP認證方法�����,當(dāng)從AAA服務(wù)器 230 4妾收到PCP-RSP (雙層EAP )消息時��,RAS 210選4奪4受4又策略 支持參凄t����,其中,扭J亍要求用戶$命入口令的EAP-MD5 i人i正方法以 及EAP-AKA iU正方法�。RAS 210通過SBC-Reply消息將包括認證才莫式的基本能力協(xié)商 結(jié)果傳輸至PSS 200。
當(dāng)如上所述完成了對包括認證模式的各種基本能力的協(xié)商時����, PSS 200和RAS 210根據(jù)通過上述方法(即,由AAA服務(wù)器230
i青,jt的i人i正方》去)戶斤選擇的i人"i正方'法來4丸^S人^正��。
如果通過基本能力協(xié)商程序選才,了 EAP-AKA認證方法�����,則 PSS 200和RAS 210執(zhí)行對應(yīng)于圖10的部分"A"的EAP-AKA認 證程序。在IEEE 802.16的保密標(biāo)準(zhǔn)中/>開了 EAP-AKA認證程序���, /人而省略對其的描述��。
當(dāng)PSS 200凈皮EAP-AKA i人i正程序成功i人i正時���,AAA月l務(wù)器 230石角定PSS 200是原j會PSS,更#斤只于應(yīng)的PSS 200的主密4月并通 過RAS 210將該主密鑰傳4lT至只于應(yīng)的RAS 210��。
當(dāng)完成上述iU正一呈序和主密鑰更新程序時��,允許PSS 200 4妻入網(wǎng)絡(luò)����。
同時,如果通過基本能力協(xié)商程序選擇了雙層EAP認證方法���, 則PSS 200和RAS 210批j亍對應(yīng)于圖10的部分B的雙層EAP iU正程序��。
即��,在EAP-AKA iU正^呈序之后���,PSS 200和RAS 210寺丸4亍要 求用戶輸入口令的EAP-MD5的iU正程序。在IEEE 802.16的保密 標(biāo)準(zhǔn)中公開了雙層EAP認證程序����,從而省略了對其的描述。
當(dāng)執(zhí)行EAP-MD5認證程序時�,用戶可能會在輸入口令時出錯, 因而優(yōu)選地�,允許用戶重新輸入口令達預(yù)定次數(shù)(例如,三次)��。如果被懷疑為被非法復(fù)制的PSS 200才艮據(jù)雙層EAP認證程序成 功進4亍口令iU正����,貝'J AAA月良務(wù)器230確定iU正表才各中的對應(yīng)PSS 200的復(fù)制可能性位值是否為"1",以檢查對應(yīng)的PSS 200之前是 否已成功進行口令認證�����。
此處����,復(fù)制可能性位值檢查PSS的復(fù)制可能性,并且當(dāng)不存在 對應(yīng)的PSS被確定為被復(fù)制的情況(即�,不存在復(fù)制可能性)時, 將其設(shè)為"0"���,而當(dāng)被懷疑為非法復(fù)制的PSS成功進行口令認證時����, 將其設(shè)為T。
如果復(fù)制可能性位值為"0"���,即��,不存在對應(yīng)的PSS被確定為 非法復(fù)制的情況���,則AAA服務(wù)器230將對應(yīng)PSS的復(fù)制可能性位 值設(shè)為"1"以表示存在對應(yīng)的PSS可^皮復(fù)制的可能性,更新用于 對應(yīng)的PSS的主密鑰��,并通過RAS210將其傳輸至對應(yīng)的PSS��。
如果復(fù)制可能性位值為"1",即�����,對應(yīng)的PSS之前已成功進行 口令i人i正����,則由于知道口令的只有用戶,所以AAA月良務(wù)器230確 定對應(yīng)的PSS 200是由用戶自愿非法復(fù)制的�����,從而拒絕對應(yīng)的PSS 接入網(wǎng)絡(luò)并向網(wǎng)絡(luò)操作員報告對應(yīng)的PSS是復(fù)制的�����。
如果被懷疑為非法復(fù)制的PSS 200沒有通過口令認證��,則AAA 服務(wù)器230確定對應(yīng)的PSS200是由第三方惡意復(fù)制的���,并拒絕對 應(yīng)的PSS 200接入網(wǎng)絡(luò)����,同時向網(wǎng)絡(luò)操作員報告�����,使得復(fù)制的PSS 的主密鑰不能被更新��。
如上所述��,才艮據(jù)本發(fā)明的PSS復(fù)制4全測方法�����,由于每當(dāng)PSS 200 成功進行認證,就同時更新PSS 200和AAA服務(wù)器230的主密鑰���, 從而通過將PSS 200的主密鑰與AAA服務(wù)器230的主密鑰進行比 較可以容易地執(zhí)行檢查對應(yīng)的PSS是否是復(fù)制的PSS����。此外�,根據(jù)本發(fā)明的PSS復(fù)制檢測方法,由于另外執(zhí)行了要求 被懷疑為復(fù)制的PSS的用戶輸入口令的認證程序���,因此可以4企查 PSS是由用戶還是由惡意的第三方非法復(fù)制的�。
下文中�,將參照附圖更加詳細地描述PSS復(fù)制一全測方法。
圖14是示出了才艮據(jù)本發(fā)明的示例性實施例的《更攜式互聯(lián)網(wǎng)系 統(tǒng)中的PSS的話務(wù)連4妄i殳置的流考呈圖�。
參照圖14,當(dāng)PSS 200進入RAS 210的區(qū)i或時(S902)���,PSS 200 設(shè)置與RAS 210的下行鏈路同步��,并獲得上行鏈路參數(shù)(S904)�。 例如�,根據(jù)物理層的特性,參數(shù)可以包括信道描述符消息(例如, 信噪比(SNR))�。
纟《后,PSS 200牙口RAS 210 4丸4亍觀^巨考呈序(S906 )�����。 jt匕處�����,#1 4亍"測距��,����,以才交正在將要匹配的PSS 200和RAS 210之間的定時��、 功率和頻率信息����,并且在初始階,炎4jM于初始測距程序,然后^M亍4吏
用CDMA碼的周期性測距程序�����。
當(dāng)完成測距程序時,確定PSS200是否是復(fù)制的PSS (S908)��。 此時���,如圖14所示�����,還執(zhí)行根據(jù)SBC協(xié)商和PSS復(fù)制確定結(jié)果的 iU正方法選擇禾呈序��。
根據(jù)在PSS復(fù)制確定步驟S908中選擇的"i人證方法來執(zhí)行對 PSS 200的認證(S910 ),并且根據(jù)認證的成功或失敗來確定復(fù)制類 型(S912)����。
為了易于描述����,將PSS復(fù)制確定步驟S908、PSS認i正步驟S910�����、 和PSS復(fù)制類型確定步艱《S912稱為PSS復(fù)制4企測步-驟P�����。下面3尋 參照圖14來更加詳細地描述PSS復(fù)制4企測步驟P。圖15是示出了圖14的PSS復(fù)制4企測步驟P的詳細流程圖���。
首先�����,AAA服務(wù)器230通過從RAS 210傳輸?shù)腜CP-REQ-AA 消息來4妄J]丈PSS 200的CCV—PSS( S102 )�。除了 PSS 200的CCV—PSS 夕卜�,PCP-REQ-AA消息還包含RAND—RAS、 RAND—PSS和PSS 200 的MAC地址����。
AAA服務(wù)器230將RAND—RAS���、 RAND—PSS��、主密鑰Ml'��、 和PSS 200的MAC地址中的至少一個輸入p合希函凄t來計算 CCV_AAA�,以確定PSS200是否是^皮復(fù)制的(S104)���。使用等式l 來計算CCV—AAA�,并省略對其的描述。
即�,由于如果PSS200與AAA服務(wù)器230具有相同的主密鑰, 則在PSS 200中計算得到的CVV—PSS與在AAA服務(wù)器230中計算 得到的CCV—AAA相同�����,所以AAA服務(wù)器230使用保留在其中的 主密鑰Ml'和相同的p合希函數(shù)輸入值來計算CCV_AAA以驗證PSS 200的CCV一PSS�����。
然后����,確定PSS 200的CCV—PSS是否與AAA服務(wù)器230的 CCV—AAA相同,即�����,PSS 200的主密鑰Ml是否與AAA服務(wù)器 230的主密鑰M1相同(S106)�。
^口果PSS 200的CCV—PSS與AAA月艮務(wù)器230的CCV—AAA 相同,即��,PSS 200的主密鑰Ml與AAA服務(wù)器230的主密鑰Ml' 相同�����,貝'J AAA服務(wù)器230確定對應(yīng)的PSS 200為原始PSS,并在 SBC協(xié)商程序期間選擇不需要輸入口令的認證方法(S108 )����。因此, 對對應(yīng)的PSS 200執(zhí)行不需要輸入口令的認證方法(例如�����,基于 USIM的EAP-AKA i人i正方法)(S110 )���。當(dāng)對應(yīng)的PSS 200成功進行認證時���,AAA服務(wù)器230更新保留 在其中的主密鑰并將更新后的主密鑰傳輸至PSS (S112至S114)。
因此����,當(dāng)完成認證程序和主密鑰更新程序時��,允許該PSS接入 網(wǎng)絡(luò)(S116)���。
如果PSS 200的CCV—PSS與AAA服務(wù)器230的CCV—AAA 不相同�����,即����,PSS 200的主密鑰Ml與AAA服務(wù)器230的主密鑰 Ml'不相同,則AAA服務(wù)器230確定對應(yīng)的PSS 200是非法復(fù)制的 PSS����,并在SBC協(xié)商程序期間選擇需要輸入口令的認證方法(例如, EAP-MD5) (S118)���。因此����,對對應(yīng)的PSS200執(zhí)行需要輸入口令的 認證方法(S120)�。
接下來,確定被懷疑為復(fù)制的PSS200之前是否成功進行口令 認證(S1221)�。當(dāng)PSS 200之前已成功進4亍口令認證時,AAA月艮務(wù) 器230確定復(fù)制可能性位值是否為"1"�,以確認對應(yīng)的PSS200之 前是否成功進行口令認證(S124)。
此處�,復(fù)制可能性位值檢查PSS的復(fù)制可能性,并且當(dāng)不存在 對應(yīng)的PSS被確定為復(fù)制的情況(不存在復(fù)制可能性)時�����,將其設(shè) 為"0",而當(dāng)被懷疑為非法復(fù)制的PSS成功進行口令認證時��,將其 設(shè)為T����。
即,在用戶自愿復(fù)制PSS的情況下��,如果PSS200成功進行口 令認證��,則PSS200可以接入網(wǎng)絡(luò)�。然而,如果復(fù)制的PSS連續(xù)試 圖接入網(wǎng)絡(luò)�����,檢查復(fù)制可能性位值�,并且將其復(fù)制可能性位值設(shè)置 為'T,���,則確定存在該PSS為非法復(fù)制的高可能性。因此����,即使對 應(yīng)的PSS成功進行口令認證����,該PSS的接入仍會4皮拒絕����。如果復(fù)制可能性位值為"0",即,不存在對應(yīng)的PSS之前被確 定為非法復(fù)制的情況�����,則AAA服務(wù)器230將復(fù)制可能性位值設(shè)為 "1"以表示存在對應(yīng)的PSS為復(fù)制的可能性(S126),并且更新對 應(yīng)的PSS的主密鑰��,并通過RAS21(M夸其傳lt至PSS200����。
如果復(fù)制可能性位值為"1",即���,確定對應(yīng)的PSS之前已成功 進行口令認證���,那么由于知道口令的只有用戶,所以AAA月l務(wù)器
230確定對應(yīng)的PSS 200是非法復(fù)制的(S128),并且拒絕對應(yīng)的 PSS200接入網(wǎng)絡(luò)�,同時將其報告給網(wǎng)絡(luò)操作員(S130)。
同時��,如果纟皮懷疑為非法復(fù)制的PSS 200未通過口令認證,則 AAA月l務(wù)器230確定對應(yīng)的PSS 200是由第三方惡意復(fù)制的 (S132)����,并且拒絕對應(yīng)的PSS 200接入網(wǎng)絡(luò),同時將其報告給網(wǎng) 絡(luò)操作員(S130)����。
如上所述,根據(jù)PSS復(fù)制檢測步驟P�����,即使復(fù)制的PSS存儲了 包括原始PSS的MAC地址�、主密鑰、A-key�、和呼叫歷史計tt的 所有信息,但如果原始PSS或復(fù)制的PSS之一成功進行認證�,則 AAA服務(wù)器230更新主密鑰,而如果其他人請求4吏用之前的主密 鑰進行認證�����,則AAA服務(wù)器230識別主密鑰之間的差別�,并懷疑 對應(yīng)MAC地址的PSS是非法復(fù)制的。
另夕卜�,由于用戶被要求輸入被懷疑為復(fù)制的PSS的口令,因此�, 可以發(fā)現(xiàn)PSS 200是由用戶自愿還是由惡意的第三方非法復(fù)制的。
再次參照圖14���,如果確定了 PSS20(M皮確定為合法的并因而允 許PS S 200接入網(wǎng)絡(luò)����,則產(chǎn)生用于加密話務(wù)數(shù)據(jù)的話務(wù)加密密鑰并 將其分發(fā)給PSS 200 ( S914 )��。當(dāng)用于產(chǎn)生和分發(fā)話務(wù)加密密鑰的程序完成時���,RAS210協(xié)商 與PSS的MAC層有關(guān)的功能以注冊PSS200的裝置地址(S916)��。
接下來���,RAS 210通過DHCP服務(wù)器或MIP服務(wù)器來為PSS 200 分配IP地址,以建立IP連接(S918 )�。
為分配有IP地址的PSS 200建立話務(wù)連接,從而可以向PSS 200 提供話務(wù)服務(wù)(S920 )���。
下面將描述才艮據(jù)本發(fā)明的示例性實施例的用于在便攜式互聯(lián) 網(wǎng)系統(tǒng)中才企測PSS的非法復(fù)制的i殳備的一個實例�����。
圖16是示出了根據(jù)本發(fā)明的示例性實施例的用于檢測便攜式 互聯(lián)網(wǎng)系統(tǒng)中的PSS的非法復(fù)制的設(shè)備的框圖����。
如圖16所示,PSS復(fù)制檢測設(shè)備300包括消息接收裝置310, 用于接收來自RAS 210或ACR 220的消息�;認證控制器,用于分 析包含在由消息接收裝置310接收到的消息中的信息�,以控制與 PSS 200的認證和復(fù)制確定有關(guān)的全部操作;存儲器330��,具有用 于存儲PSS 200的認證和復(fù)制確定所需的各種信息的認證表格331; PSS復(fù)制確定裝置340����,用于基于記錄在存儲器330的認證表格331 中的信息來確定PSS 200是否是^皮復(fù)制的;認證方法選沖奪裝置350��, 用于根據(jù)關(guān)于PSS 200是否是被復(fù)制的確定結(jié)果來為PSS選擇認證 方法���;主密鑰更新裝置360�����,用于每當(dāng)PSS 200成功進行認證����,就 更新主密鑰;PSS復(fù)制通知裝置370,用于根據(jù)PSS復(fù)制確定裝置 340的復(fù)制確定結(jié)果�,通知PSS 200是纟皮復(fù)制的事實�����;以及消息傳 輸裝置380��,用于將消息傳輸至RAS 210和ACR 220�。
PSS復(fù)制檢測設(shè)備300優(yōu)選地被設(shè)置在圖2所示的遵循IEEE 802.16標(biāo)準(zhǔn)的AAA服務(wù)器230中。如果PSS復(fù)制沖全測設(shè)備300被設(shè)置在AAA服務(wù)器230中��,則可以省略執(zhí)行相同功能的部件以簡 化其結(jié)構(gòu)�����。
消息接收和傳輸裝置310和380從/向RAS 210和ACR 220接
收/傳輸消息�,并且在結(jié)構(gòu)上與典型的便攜式互聯(lián)網(wǎng)系統(tǒng)中所使用 的那些裝置相同,,人而省略只于其的描述���。
認證控制器320分析包含在由消息接收裝置310接收到的消息 中的信息�����,以控制與PSS 200的認證和復(fù)制確定有關(guān)的全部才喿作���。
存儲器330具有其中存儲有PSS 200的認證和復(fù)制確定所需的 信息的認證表格331����。
圖17示出了根據(jù)本發(fā)明的示例性實施例的存儲器的認證表格���。
如圖17所示���,認證表才各存儲了 RAND_RAS、 RAND—PSS���、 PSS 的MAC地址����、CCV—PSS�����、 AAA服務(wù)器的主密鑰���、口令����、復(fù)制可 能性位值、CCV一AAA���、認證密鑰的序列號���、以及認證密鑰的終止 信息中的至少一個����。以上已參照圖IO對復(fù)制可能性位值的功能進 行了描述,從而省略對其的描述��。
再次參照圖16�, PSS復(fù)制確定裝置340基于記錄在存儲器330 的認證表格331中的信息來確定PSS是否是被復(fù)制的,隨后將詳 細描述PSS復(fù)制確定裝置340的4喿作�����。
認證方法選擇裝置350根據(jù)PSS復(fù)制確定裝置340的確定結(jié)果 來為PSS選擇認證方法�����。如果對應(yīng)的PSS 200被確定為合法�����,則 該認證方法選擇裝置在SBC協(xié)商程序期間選擇不需要輸入口令的 認i正方法,而如果對應(yīng)的PSS200被確定為纟皮非法復(fù)制�,則在SBC 協(xié)商程序期間選擇需要輸入口令的認證方法。當(dāng)PSS 200才艮據(jù)由iU正方法選擇裝置350選擇的iU正方法成功 進行認證時�,主密鑰更新裝置360更新記錄在存儲器330的認證 表格331中的主密鑰,并通過消息傳輸裝置380將更新后的主密 鑰傳lt至PSS 200�。
PSS復(fù)制通^口裝置370 S夸PSS 200 #LPSS復(fù)制石角定裝置340確 認為復(fù)制的事實通知網(wǎng)絡(luò)才喿作員。此時�,還通知網(wǎng)絡(luò)操作員復(fù)制 是由用戶自愿進行的還是由惡意的第三方進行的。
下文中�����,將詳細描述當(dāng)被設(shè)置在AAA服務(wù)器230中時的PSS 復(fù)制檢測設(shè)備300的操作����。
首先,消息接收裝置310從RAS 210接收PCP-REQ-AA消息����, 然后認證控制器320分析PCP-REQ-AA消息以將包含在 PCP-REQ-AA消息中的RAND—RAS、 RAND—PSS�、 PSS 200的 MAC地址、和PSS 200的CCV_PSS存儲到存儲器330的認證表 格331中�。
PSS復(fù)制確定裝置340將記錄在存儲器330的認證表格331中 的RAND—RAS�、 RAND—PSS���、主密鑰Ml���、和PSS 200的MAC
地址輸入p合希函凄t以計算AAA月良務(wù)器230的CCV—AAA。以上已 描述了4吏用等式1的CCV一AAA計算方法����,因此省略對其的描述。
PSS復(fù)制確定裝置340將PSS 200的CCV—PSS與AAA服務(wù)器 230的CCV—AAA進行比較以找出CCV—PSS是否與CCV—AAA相同���。
即,PSS復(fù)制確定裝置340確定PSS 200的主密鑰M1是否與 AAA服務(wù)器230的主密鑰Ml'相同��。如果PSS 200的CCV—PSS與AAA服務(wù)器230的CCV—AAA 相同��,即��,PSS 200的主密鑰Ml與AAA月良務(wù)器230的主密鑰Ml' 相同���,貝'J PSS復(fù)制確定裝置340確定只于應(yīng)的PSS 200為原始PSS���。
然而����,如果PSS 200的CCV—PSS與AAA月良務(wù)器230的 CCV—AAA不相同��,即�����,PSS 200的主密鑰Ml與AAA服務(wù)器230 的主密鑰Ml'不相同�����,貝�,j PSS復(fù)制確定裝置340確定對應(yīng)的PSS 200為非法復(fù)制的。
如果對應(yīng)的PSS 200被確定為合法����,則i人證方法選4奪裝置350 在SBC協(xié)商程序期間選擇不需要輸入口令的認證方法。
如果認證控制器320執(zhí)行不需要輸入口令的認證方法并且PSS 200成功進行認證����,則主密鑰更新裝置360更新認證表格331的主 密鑰。
更新后的主密鑰通過消息傳輸裝置380被傳輸至PSS 200����,從 而PSS 200的主密4月也-皮更豸斤���。
然而,如果對應(yīng)的PSS 200 #皮確定為非法復(fù)制的�����,則i人i正方法 選擇裝置350在SBC協(xié)商程序期間選擇需要輸入口令的認證方法��。 認證控制器執(zhí)行需要輸入口令的認證方法.
如果復(fù)制的PSS成功進行口令認證��,貝'J PSS復(fù)制確定裝置340 檢查認證表格331中的復(fù)制可能性位值是否為"l",以檢查對應(yīng)的 PSS之前是否成功進行了 口令i人i正��。
如果復(fù)制可能性位值為"0",即�����,不存在對應(yīng)的PSS被確定為 非法復(fù)制的情況��,則PSS復(fù)制確定裝置340將對應(yīng)的PSS的復(fù)制 可能性位值設(shè)為"1"��,以表示存在對應(yīng)的PSS可能被復(fù)制的可能 性����,并將其記錄到認證表格331中��。主密鑰更新裝置360更新對應(yīng)的PSS的主密鑰,并通過消息傳 輸裝置380將其傳輸至對應(yīng)的PSS,從而可以更新PSS 200的主密 鑰����。
如果復(fù)制可能性位值為'T,�����,即�,確定對應(yīng)的PSS之前成功進 行了口令認證,則由于知道口令的人只有用戶��,所以PSS復(fù)制確 定裝置340確定對應(yīng)的PSS200是由用戶自愿非法復(fù)制的�����,因此����,
拒絕對應(yīng)的PSS接入網(wǎng)絡(luò)并將對應(yīng)的PSS是復(fù)制的事實報告給網(wǎng) 絡(luò)操作員。
如果被懷疑為非法復(fù)制的PSS 200未通過口令認證����,貝'J PSS復(fù) 制確定裝置340確定對應(yīng)的PSS 200是由第三方惡意復(fù)制的,并 拒絕對應(yīng)的PSS 200接入網(wǎng)絡(luò),同時將其報告給網(wǎng)絡(luò)操作員�。
如上所述,根據(jù)本發(fā)明的PSS復(fù)制才企測設(shè)備��,由于每當(dāng)PSS 200 成功進行認證����,PSS 200和AAA服務(wù)器230的主密鑰就被同時更 新,所以可以通過將PSS200的主密鑰和AAA服務(wù)器230的主密 鑰進行比較來檢查對應(yīng)的PSS是否是復(fù)制的PSS�。
此外,根據(jù)本發(fā)明的PSS復(fù)制檢測設(shè)備��,由于額外執(zhí)行了要求 被懷疑為復(fù)制的PSS的用戶輸入口令的認證程序���,所以可以檢查 PSS是由用戶還是由惡意的第三方非法復(fù)制的�。
本發(fā)明的示例性實施例可以由計算機可執(zhí)行的程序來實現(xiàn)���,并 且還可以由使用計算機可讀記錄介質(zhì)運行程序的通用數(shù)字計算機 來實現(xiàn)���。
盡管已參照本發(fā)明的 一些示例性實施例示出并描述了本發(fā)明, 但本領(lǐng)域技術(shù)人員應(yīng)理解�,在不背離由所附權(quán)利要求限定的本發(fā) 明的精神和范圍的條件下��,可以在形式和細節(jié)上對本發(fā)明進行各 種改變。
權(quán)利要求
1. 一種用于在便攜式互聯(lián)網(wǎng)系統(tǒng)中檢測便攜式用戶站(PSS)的復(fù)制的方法��,所述便攜式互聯(lián)網(wǎng)系統(tǒng)包括執(zhí)行對所述PSS的認證的認證授權(quán)和計費(AAA)服務(wù)器以及無線連接所述PSS和所述AAA服務(wù)器的無線接入站(RAS)�,所述方法包括以下步驟(a)在所述AAA服務(wù)器,使用所連接的PSS的主密鑰執(zhí)行第一認證���;(b)當(dāng)成功執(zhí)行所述第一認證時���,更新所連接的PSS的所述主密鑰,而當(dāng)所述第一認證失敗時����,使用提供給原始PSS的固有信息執(zhí)行第二認證;以及(c)當(dāng)成功執(zhí)行所述第二認證時����,檢查復(fù)制可能性位值,當(dāng)不存在復(fù)制可能性位值時��,將所連接的PSS認證為合法的�,并在分配復(fù)制可能性位值后更新所連接的PSS的所述主密鑰,而當(dāng)存在復(fù)制可能性位值或所述第二認證失敗時�,將所連接的PSS確定為被復(fù)制的。
2. 根據(jù)權(quán)利要求1所述的方法���,其中���,在所述步驟(a)中����,通 過比較使用所連接的PSS的所述主密鑰計算得到的第一復(fù)制 確認值與使用保留在所述AAA服務(wù)器中的主密鑰計算得到的 第二復(fù)制確認值����,執(zhí)行所述第一認證。
3. 根據(jù)權(quán)利要求2所述的方法����,其中,所述第一復(fù)制確認值是使 用所連接的PSS的所述主密鑰以及在所述RAS中產(chǎn)生的隨枳』 數(shù)�����、在所連接的PSS中產(chǎn)生的隨機數(shù)和所連接的PSS的MAC 地址中的至少一個計算得到的��,而所述第二復(fù)制確認值是使用 所述AAA月良務(wù)器的所述主密鑰和在所述RAS中產(chǎn)生的所述隨機數(shù)�、在所連接的PSS中產(chǎn)生的所述隨機數(shù)和所連接的PSS 的所述MAC i也址中的至少 一個計算4尋到的。
4. 根據(jù)權(quán)利要求1所述的方法����,其中����,在所述步驟(a)中���,所 述主密鑰是更新后的主密鑰或由所述AAA服務(wù)器分配的第一 主密鑰。
5. 根據(jù)權(quán)利要求4所述的方法��,其中�,所述第一主密鑰是在第一 次執(zhí)行對所述原始PSS的認證時由所述AAA服務(wù)器分配的主 密鑰,而所述更新后的主密鑰是每當(dāng)成功執(zhí)行所述第一認證或 所述第二認證由所述AAA服務(wù)器分配的主密鑰�����。
6. 根據(jù)權(quán)利要求1所述的方法�,其中,在所述步驟(a)中���,使 用基于USIM卡的EAP-AKA認證方法來執(zhí)行所述第一認證�����。
7. 根據(jù)權(quán)利要求1所述的方法����,其中,在所述步驟(a)中�,連 接至所述AAA服務(wù)器的所述PSS是原始PSS、或存儲有所述 原始PSS的MAC地址���、主密鑰����、和呼叫計凄t中的至少一個的 復(fù)制的PSS��。
8. 根據(jù)權(quán)利要求1所述的方法���,其中��,在所述步驟(b)中����,使 用EAP-MD5 i人i正方法來^l^亍所述第二i人i正�����。
9. 根據(jù)權(quán)利要求1所述的方法����,在所述步驟(c)之后���,還包括 以下步-驟(d)當(dāng)所連接的PSS被確定為被復(fù)制的時,拒絕所連接 的PSS接入網(wǎng)絡(luò)��,并向網(wǎng)絡(luò)操作員才艮告所連接的PSS為復(fù)制 的PSS�。
10. 根據(jù)權(quán)利要求9所述的方法�����,其中��,在所述步驟(d)中��,當(dāng) 存在所述復(fù)制可能性位值時���,向所述網(wǎng)絡(luò)操作員報告復(fù)制類 型��,以確定所連接的PSS是由用戶自愿復(fù)制的����,而當(dāng)所述第 二iU正失敗時�����,確定所連4妄的PSS是由第三方復(fù)制的。
11. 根據(jù)權(quán)利要求1所述的方法��,其中��,在所述步驟(b)和(c) 中���,更新所述主密鑰���,以使所述AAA服務(wù)器產(chǎn)生新的主密鑰, 并將所述新的主密鑰傳^T至所連^妄的PSS, 乂人而所連^妻的PSS 的主密鑰與所述AAA服務(wù)器的主密鑰相同���。
12. —種用于在便攜式互聯(lián)網(wǎng)系統(tǒng)中檢測便攜式用戶站(PSS)的 復(fù)制的方法�����,所述便攜式互聯(lián)網(wǎng)系統(tǒng)包括執(zhí)行認證的AAA服 務(wù)器�����,所述PSS包括原始PSS和存儲有包括所述原始PSS的 MAC地址�����、主密鑰����、和呼叫計tt的信息的復(fù)制的PSS,所述 方法包4舌以下步-銀(a )在所述AAA服務(wù)器�����,使用所連接的PSS執(zhí)行第一認證�;(b) 當(dāng)成功執(zhí)行所述第一認證時,更新所連接的PSS的 所述主密鑰并允i午所連4妄的PSS "l妄入網(wǎng)全備�����,而當(dāng)所述第一i人 證失敗時�����,使用提供給原始PSS的固有信息來執(zhí)行第二認證�����; 以及(c) 當(dāng)成功4丸行所述第二認證時���,更新所連接的PSS的 所述主密鑰并允許所連4妄的PSS 4妄入所述網(wǎng)絡(luò),而當(dāng)所述第 二認證失敗時,將所連接的PSS確定為,皮復(fù)制的并拒絕所連 接的PSS接入所述網(wǎng)絡(luò)��。
13. 根據(jù)權(quán)利要求12所述的方法��,其中��,在所述步驟(c)中�����,當(dāng) 成功執(zhí)行所述第二認證時�,檢查復(fù)制可能性位值,當(dāng)不存在復(fù) 制可能性位值時����,分配所述復(fù)制可能性位值,并且更新所連接的PSS的所述主密鑰���,從而允許所連接的PSS接入所述網(wǎng)絡(luò)����; 以及即4吏成功進4亍第二認i正��,^旦當(dāng)存在所述復(fù)制可能性位值 時�,仍將所連接的PSS確定為一皮復(fù)制的,從而拒絕將所連接 PSS接入所述網(wǎng)絡(luò)。
14. 一種用于在〗更攜式互耳關(guān)網(wǎng)系統(tǒng)中4企測1更攜式用戶站(PSS)的 復(fù)制的設(shè)備���,包括存儲器�����,包括認證表格�����,用于存儲用于每個PSS的主密 鑰和復(fù)制可能性位值���;PSS復(fù)制確定裝置,用于將通過無線接入站(RAS )連接 的所述PSS的主密鑰與存儲在所述認證表格中的主密鑰進行 比較�����,以確定所連接的PSS是否是原始PSS�����,并且使用存儲 在所述認證表格中的復(fù)制可能性位值來確定所連接的PSS是 否是被復(fù)制的��;主密鑰更新裝置����,用于當(dāng)確定所連4妄的PSS為合法的時, 同才羊更新所連4妄的PSS的所述主密鑰和所述i人i正表才各中的主 密鑰���;以及認證控制器�����,用于執(zhí)行與所連接的PSS的認證和復(fù)制確 定有關(guān)的全部"f喿作�。
15. 根據(jù)權(quán)利要求14所述的設(shè)備�,其中,所述認證表格包括所述 PSS的主密鑰����、用于所述PSS的復(fù)制可能性位值、以及提供 纟合原始PSS的〗言息��。
16. 根據(jù)權(quán)利要求14所述的設(shè)備���,其中�����,所述認證表格包括在所 述RAS中產(chǎn)生的隨枳4t�、所連接的PSS的MAC地址、在所 連接的PSS中產(chǎn)生的隨機數(shù)�、在所述PSS復(fù)制確定裝置中計 算得到的復(fù)制確認值、認證密鑰的序列號����、和所述認證密鑰的 鄉(xiāng)冬止4言息中的至少 一個。
17. 根據(jù)權(quán)利要求14所述的設(shè)備����,還包括認證方法選擇裝置, 用于才艮據(jù)所述PSS復(fù)制確定裝置的確定結(jié)果來選4奪所連接的 PSS的認證方法���。
18. 根據(jù)權(quán)利要求17所述的設(shè)備�����,其中�,當(dāng)所連接的PSS被所述PSS復(fù)制確定裝置確定為合法的時��,所述"y^正方法選才奪裝置選4奪用于所連^妄的pss的iu正的第一iU正方法���,以及當(dāng)所連接的PSS ^皮所述PSS復(fù)制確定裝置確定為被復(fù)制 的時,所述認證方法選擇裝置選擇用于所連接的PSS的認證 的使用了提供給所述原始PSS的固有信息的第二認證方法����。
19. 根據(jù)權(quán)利要求14所述的設(shè)備����,其中�,所述PSS復(fù)制確定裝置當(dāng)所連接的PSS的復(fù)制確認值與所述認證表格中的復(fù)制 確iU直相同時,通過確定所連4妄的PSS的主密鑰與所述確i人 表格中的主密鑰相同���,將所連接的PSS確定為合法的���;以及當(dāng)所連接的PSS的復(fù)制確認值與所述認證表格中的復(fù)制 確i^"直不相同時,通過確定所連"f矣的PSS的主密鑰與所述確 認表格中的主密鑰不相同��,將所連接的PSS確定為被復(fù)制的��。
20. 根據(jù)權(quán)利要求19所述的設(shè)備���,其中��,所連接的PSS的復(fù)制確 認值是通過哈希函數(shù)計算得到的����,其中��,除了所連接的PSS 的主密鑰外,所述哈希函數(shù)還接收在所述RAS中產(chǎn)生的隨機 數(shù)��、在所連接的PSS中產(chǎn)生的隨機數(shù)��、和所連接的PSS的MAC 地址中的至少 一個作為輸入值����,而所述認證表格中的復(fù)制確認 值是通過哈希函數(shù)計算得到的,其中�����,除了所述認證表格中的 主密鑰外�����,所述哈希函數(shù)還接收在所述RAS中產(chǎn)生的所述隨 機數(shù)�����、在所連接的PSS中產(chǎn)生的所述隨機數(shù)�����、所連接的PSS 的所述MAC地址中的至少 一個作為Hr入l直�����。
21. 根據(jù)權(quán)利要求14所述的設(shè)備����,其中,當(dāng)所連接的PSS被確認 為合法的時���,所述認證控制器執(zhí)行所述第一認證�,而當(dāng)所連接 的PSS被確定為被復(fù)制的時���,所述認證控制器執(zhí)行使用提供 給原始PSS的固有信息的所述第二認證����。
22. 根據(jù)權(quán)利要求18所述的設(shè)備���,其中����,所述第一認證方法是基 于USIM卡的EAP-AKA iU正方法����,以及所述第二iU正方法是 EAP-MD5 iU正方法����。
23. 根據(jù)權(quán)利要求21所述的設(shè)備�,其中,當(dāng)成功執(zhí)行所述第二認 證時�����,所述PSS復(fù)制確定裝置沖企查存4諸在所述i人證表才各中的 所連接的PSS的復(fù)制可能性位值����,當(dāng)不存在所述復(fù)制可能性 位值時將所連接的PSS確定為合法的,分配所述復(fù)制可能性 位值�,并將所分配的復(fù)制可能性位值存儲到所述認證表4各中。
24. 根據(jù)權(quán)利要求21所述的設(shè)備�,其中,當(dāng)成功執(zhí)行所述第二認 證時��,所述PSS復(fù)制確定裝置檢查存儲在所述認證表格中的 所連接的PSS的復(fù)制可能性位值��,并且當(dāng)所述復(fù)制可能性位 值存在或所述第二認證失敗時����,所述PSS復(fù)制確定裝置將所 連4妄的PSS確定為纟皮復(fù)制的。
25. 根據(jù)權(quán)利要求21所述的設(shè)備,其中�,當(dāng)成功執(zhí)行對所連接的 PSS的所述第二"i人證時,所述PSS復(fù)制確定裝置在所述i人i正 表格中的復(fù)制可能性位值存在時將所連接的PSS確定為由用 戶自愿復(fù)制的�����,而當(dāng)對所連4妄的PSS的所述第二i人i正失敗時�, 所述PSS復(fù)制確定裝置將所連4妄的PSS確定為由第三方復(fù)制 的���。
26. 根據(jù)權(quán)利要求14所述的設(shè)備����,進一步包括PSS復(fù)制通知裝 置����,用于根據(jù)所述PSS復(fù)制確定裝置的確定結(jié)果來通知所連 接的PSS是一皮復(fù)制的。
全文摘要
本發(fā)明提供了用于在便攜式互聯(lián)網(wǎng)系統(tǒng)中檢測便攜式用戶站(PSS)的復(fù)制的設(shè)備和方法��。每當(dāng)PSS成功進行認證�,就同樣更新PSS的主密鑰和AAA服務(wù)器的主密鑰??梢酝ㄟ^在認證程序期間將PSS的主密鑰與AAA服務(wù)器的主密鑰進行比較來確定PSS是否是被復(fù)制的。此外���,可以通過對被懷疑為被復(fù)制的PSS額外執(zhí)行要求輸入口令的認證程序來找出對應(yīng)的PSS的復(fù)制是由用戶自愿還是由第三方作出的���。
文檔編號H04W12/12GK101416543SQ200780009090
公開日2009年4月22日 申請日期2007年3月14日 優(yōu)先權(quán)日2006年3月15日
發(fā)明者劉盛浩 申請人:Posdata株式會社