[发明专利]认证附着到与诸如IMS的安全核心网通信的毫微微蜂窝上的移动单元的方法

说明书

本申请是申请号为200880110187.3的中国专利申请“认证附着到与诸如IMS的安全核心网通信的毫微微蜂窝上的移动单元的方法”（申请日为2008年9月25日）的分案申请。

相关申请的交叉引用

本申请与2008年1月10日提交的申请号为11/972,262的美国专利申请“认证附着到根据码分多址运行的毫微微蜂窝上的移动单元的方法”有关。

技术领域

本发明一般涉及通信系统，更具体地，涉及无线通信系统。

背景技术

传统的无线通信系统使用基站的网络以向一个或多个移动单元提供无线连通性。在某些情况下，移动单元可发起与网络中的一个或多个基站的无线通信，例如，当移动单元的用户想要发起语音或数据呼叫时。可选择地，网络可发起与移动单元的无线通信链路。例如，在传统的分层无线通信中，服务器向诸如无线网络控制器（RNC）的中心元件传输去往目标移动单元的语音和/或数据。然后，RNC可经由一个或多个基站向目标移动单元传输寻呼消息。响应于从无线通信系统接收寻呼，目标移动单元可建立到一个或多个基站的无线链路。RNC内的无线资源管理功能接收语音和/或数据，并协调该组基站所使用的无线和时间资源，以向目标移动单元传输信息。无线资源管理功能可执行细粒度控制以分配和释放用于在一组基站上的广播传输的资源。

诸如CDMA系统的传统分层系统中的安全通信基于仅仅对于移动单元和网络中的安全实体已知的秘密消息（例如，认证密钥）而建立。HLR/AuC和移动单元可例如使用CAVE算法从认证密钥（AK）中导出共享秘密数据（SSD）。AK认证是仅仅对于移动站和HLR/AuC已知的64比特主密钥。该密钥绝不与漫游合作伙伴共享。认证AK可用于生成SSD，SSD是可使用CAVE算法计算并可与漫游合作伙伴共享的128比特二级密钥。在认证期间，HLR/AuC和移动单元都使用诸如SSD、电子序列号（ESN）、移动识别号码（MIN）和共享随机数（RAND）的共享输入分别独立地计算认证响应。如果独立计算的结果相符，则认证被通过，移动单元被允许向网络注册。

AK或SSD可用于认证在网络中注册的移动单元。例如，基站可周期性地生成随机数（RAND）并广播该RAND。接收所广播的RAND的移动单元使用包括该RAND和AK认证或SSD的输入计算认证算法输出（AUTH）。AUTH和相关的RAND（或RAND的可选择部分）有时被称为“对”。然后，移动单元可向基站传输AUTH/RAND对，然后，基站可通过网络将该信息传递到HLR/AuC。HLR/AuC使用认证算法、所存储的认证AK或SSD的值、其它与每个移动单元对应的数据和RAND以运算AUTH的期望值。如果该值与移动单元所传输的值匹配，则移动单元被认证。基站频繁地改变RAND的值以确保AUTH值是最新的，并减少以前所生成的AUTH/RAND结果可通过监控空中接口捕获并由欺诈移动单元或移动单元模拟器重放的可能性。该技术被认为是相当可靠的，至少部分因为基站通常是受到无线通信提供商控制的安全设备。

唯一查询也可用于查询移动单元。在唯一查询中，鉴权中心生成唯一随机数，该随机数可被传输到移动单元。移动单元使用安全算法以运算唯一查询的唯一响应，然后将指示唯一响应的值的信息传输到鉴权中心。鉴权中心也执行安全算法以生成唯一响应的期望值。如果鉴权中心确定唯一响应的期望值与移动单元所提供的值相同，则移动单元被认证。否则，可能已经发生安全违规。唯一查询通常由不能够例如使用全局查询对系统接入进行认证的系统使用。如果在系统接入上没有发生有效交换，则唯一查询还可用作备用认证过程。

传统分层网络体系结构的一个可选择的方式是分布式体系结构，其包括实现分布式通信网络功能的诸如基站路由器的接入点的网络。例如，每个基站路由器可将RNC和/或PDSN功能结合在管理一个或多个移动单元与诸如因特网的外部网之间的无线链路的单一实体中。与分层网络相比，分布式体系结构有减少部署网络的成本和/或复杂性以及增加额外的无线接入点（例如基站路由器）的成本和/或复杂性的潜力，以扩展现有网络的覆盖范围。分布式网络还可减少（相对于分层网络）用户所体验的延迟，因为在分层网络的RNC和PDSN处的分组排队延迟可被减少或消除。