建立会话密钥协定的方法

摘要

在建立会话密钥的方法中，一个网络和一部移动台互相之间传送代码。移动台和网络根据这些代码进行互认证。除进行这一互认证外，移动台和网络还根据这些代码建立会话密钥。在一个实施例里，组成打算进行的会话的一部分的消息随代码一起发送，并构成一个基础，在此基础上导出了认证的代码。

说明书

本申请是于1999年8月26日提交的、发明名称为“建立会话密钥协定的方法”、申请号为99118100.X的发明专利申请的分案申请。

技术领域

本发明涉及无线电通信系统内建立会话密钥的一种方法。

背景技术

美国目前使用三种主要的无线电通信系统，标准各不相同。第一种系统是时分多址联接系统(TDMA)，采用IS-136标准，第二种是码分多址联接(CDMA)系统，采用IS-95标准，第三种是AdvancedMobile Phone System(AMPS)(高级移动台系统)。所有三种系统的系统间通话都使用IS-41标准，此标准规定了呼叫开始期的认证程序、秘密共享数据的修改、等等。

图1画出一种无线电通信系统，它包括一个认证中心(AC)和一个归属位置寄存器(HLR)10、一个访问位置寄存器(VLR)15、和一部移动台(mobile)20。虽然一个AC可以与多于一个HLR联接，但目前是一一对应。因此，图1把HLR和AC画成一体，尽管它们是分开的。还有，为简单起见，后面论及HLR和AC的说明都合起来称为AC/HLR。再有，VLR把信息发送至与之关联的多个移动交换中心(MSC)之一，每一个MSC又把消息发送至多个基站(BS)之一，以便发送至移动台。为简单起见，此VLR、各个MSC和BS将被称为并表示为一个VLR。为一个网络供应公司工作的各个AC、HLR、VLR、MSC和BS，合起来称为一个网络。

一个根密钥，常被称为A-密钥，仅仅存储在AC/HLR 10和移动台20上。在移动台漫游时(即移动台在它的归属覆盖区域以外时)，还有一个被称为共享秘密数据SSD的辅助密钥，被发送至VLR 15。此SSD是用一种密码算法或密码函数，由A-密钥和一个随机种子RANDSSD产生。一个密码函数是一个函数，它根据可能输入的范围产生具有预定位数的一个输出。一个密钥密码函数(KCF)是一类密码函数，它根据某个密钥来运算；例如，一个密码函数对两个或多个变元(即输入)进行运算，其中一个变元是密钥。除非密钥已知，否则不能从所用的KCF的输出和知识，确定输入。加密/解密算法是密码函数的一些类型。单向函数像伪随机函数(PRF)和消息认证码(MAC)都属密码函数。符号KCF_SK(RN′)表示用会话密钥SK作密钥的随机数R_N′的KCF。会话密钥是维持一段会话的密钥，而一段会话是指一段时间段，诸如一个呼叫的长度。

在IS-41协议中，使用的密码函数是CAVE(CellularAuthentication and Voice Encryption)(蜂窝认证和声音加密)。当移动台20漫游时，在该区域的VLR 15发送一个认证请求到AC/HLR10。如果工作在非共享模式，AC/HLR 10会把VLR 15当作一个通信管道，利用与移动台20关联的SSD，对移动台20加以认证。但是，在共享模式时，AC/HLR 10则通过发送此移动台的SSD至VLR 15，来响应认证请求。一旦VLR 15有了SSD，便能够离开AC/HLR 10，独立地认证移动台20。为了安全，SSD定期地更新。

SSD的长度是128位。头64位作为第一SSD，称为SSDA，第二64位作为第二SSD，称为SSDB。在协议中，SSDA被用来更新SSD，移动台20和网络用SSDB来产生会话密钥。在更新SSD时，IS-41在更新过程中，用执行互认证(即移动台和网络互相认证)来提供安全措施。但是，在产生会话密钥时，IS-41不提供互认证。

发明内容

在建立会话密钥的方法中，一个网络和一部移动台互相传送代码。移动台使用这些代码来认证网络，网络使用这些代码来认证移动台。除去执行这一相互认证外，移动台和网络还用这些代码来建立会话密钥。在一个实施例中，由于用这些代码发送消息，且构成部分打算进行的会话，从而提高了通信效率。还有，进行相互认证的代码是根据此消息导出的。

根据本发明的一个方面，提供了一种用于在移动台上建立会话密钥的方法，该移动台已经漫游进入了该移动台的归属覆盖区域之外的网络的覆盖区域，该方法包括：

a)从所述网络接收第一随机数RN；

b)产生第二随机数RM和第一密钥密码函数；

b1)产生第二密钥密码函数；

c)把所述第二随机数和所述第一密钥密码函数发送至所述网络；

d)从所述网络接收所述第二密钥密码函数；

e)如果从所述网络接收的所述第二密钥密码函数与所述移动台产生的所述第二密钥密码函数匹配，则认证所述网络；和

f)如果所述网络被认证，则根据所述第一随机数和所述第二随机数，建立所述会话密钥SK。

根据本发明的另一个方面，提供了一种在网络上建立会话密钥的方法，该网络具有在漫游移动台的归属覆盖区域之外的覆盖区域，所述方法包括：

a)向所述移动台发送第一随机数RN；

b)从所述漫游移动台接收第二随机数RM和第一密钥密码函数；

b1)产生第一密钥密码函数；

c)根据所述第一随机数RN和所述第二随机数RM，建立会话密钥SK；

d)如果从所述移动台接收的所述第一密钥密码函数与所述网络产生的所述第一密钥密码函数匹配，则认证所述漫游移动台。

附图说明

从下面详细的说明和附图，可以更完整地了解本发明，附图只为示例而给出，在各图中，用相同的参考数字标记相应的部分，其中：

图1是一个功能块图，画出一个无线电通信系统的基本组成部分；

图2按照本发明的第一实施例，说明在呼叫终止期，网络与移动台之间建立会话密钥的通信；

图3按照本发明的第一实施例，说明在呼叫开始期，网络与移动台之间建立会话密钥的通信；

图4按照本发明的第二实施例，说明在呼叫终止期，网络与移动台之间建立会话密钥的通信；

图5按照本发明的第二实施例，说明在呼叫开始期，网络与移动台之间建立会话密钥的通信；

图6按照本发明的第三实施例，说明在呼叫终止期，网络与移动台之间建立会话密钥的通信；和

图7按照本发明的第三实施例，说明在呼叫开始期，网络与移动台之间建立会话密钥的通信。

具体实施方式

下面将说明，按照本发明建立会话密钥的方法，被图1所示无线电通信系统采用时的情形。仅为讨论的目的，只说明共享方式下的运行，但同业人士明白，此系统也可以在非共享方式下运行。此外，仅为示例的目的，在存在多段会话时，只就呼叫开始期和呼叫终止期建立会话密钥方面说明本发明的方法。还应指出，为了简单明了，熟知信息，诸如移动台的标识信息(如移动台的标识编号、电子序号、等等)，在移动台与网络之间的传送，也没作说明。

图2按照本发明的第一实施例，说明在呼叫终止期，网络与移动台之间建立会话密钥的通信。如图所示，VLR 15用随机数发生器产生一个随机数R_N，并把随机数R_N发送至移动台20，作为随同呼叫终止期请求的一个询问。

作为响应，移动台20产生一个计数值C_M，并对随机数R_N、计数值C_M、Type(类型)数据、和id(标识)数据0，用SSDA作为密钥，完成一次KCF计算。这一计算以KCF_SSDA(Type，0，C_M，R_N)表示。最好此KCF是一个如HMAC的密钥消息认证代码，但也可以是一个PRF，如根据NIST(National Institute of Standard)的Data Encryption Standard-Cipher Block Chaining(DES-CBC)(数据加密标准-密码分组链接)。移动台包括一个产生计数值C_M的计数器，同时对来自网络的每一次询问，在产生询问响应(即KCF_SSDA(Type，0，C_M，R_N))之前，递增计数值C_M。

Type(类型)数据代表被执行的协议的类型。协议类型包括，举例说，有呼叫终止期、呼叫开始期、移动台登记等等。id(标识)数据0表明通信发自一部移动台，而id数据1表明通信发自网络。

移动台20把计数值C_M和KCF_SSDA(Type，0，C_M，R_N)发送至网络。因为VLR 15已启动了当前的呼叫终止期协议，包括按照本发明的建立会话密钥的协议，VLR 15现在知道此Type数据。同样，因为来自移动台的通信包括相同的id数据，VLR 15也知道这个值。因此，VLR 15根据收到的计数值C_M计算KCF_SSDA(Type，0，C_M，R_N)，并确定这个计算值是否符合从移动台20收到的内容。如果发现符合，VLR 15便认证了此移动台20。

一旦移动台20被认证，VLR 15计算KCF_SSDA(Type，1，C_M)，并把计算结果发送至移动台20。同时移动台20也计算KCF_SSDA(Type，1，C_M)。然后移动台20要验证，计算的KCF_SSDA(Type，1，C_M)内容是否符合从VLR 15收到的内容。如果发现符合，移动台20便认证了此网络。

移动台20和VLR 15两者都产生如PRF_A-Key(C_M，R_N)的会话密钥SK；其中的PRF最好是DES-CBC算法。

移动台20把计数值C_M存储在半永久存储器，即使断电，计数值C_M也不用重新初始化。这样，避免了一个计数值的重复；而重复的计数值让一个攻击者在他的攻击中得手。在一个优选实施例中，计数值用一个随机数初始化，并用巨大的位计数器，例如64位或75位计数器来产生。这样，即使移动台发生严重事故并丢失存储的计数值，也能提供安全保障。即使一个攻击者能够随意地使某个移动台发生事故，并假定启动一次会话要用至少一秒，那么举例说，当用一个75位计数器时，在攻击者设法让该移动台重复一个计数值之前，要等待一年的时间。

作为一种变化，代替产生并发送一个唯一的随机数R_N到每一部移动台，VLR 15产生一个全局的随机数R_N；即，对所有移动台都是一个相同的随机数。在这个变化的实施例里，网络把呼叫终止期请求作为一页在控制信道上发送。

然而，由网络监测的移动台20的预期响应时间与发送一个唯一的随机数的时间大致保持相同时，适用这个变化的实施例。换而言之，当这个全局的随机数的有效时间能保持相对地短时，适用这个变化的实施例。如果全局的随机数需要一个较长的有效时间，那么最好是，在一个全局随机数的持续时间内，VLR 15存储计数值C_M，并确定收到的计数值C_M是否超过先前存储的计数值。如果收到的计数值C_M确实超过先前存储的计数值，那么VLR 15再进一步认证该移动台20。如果收到的计数值C_M没有超过先前存储的计数值，就不认证该移动台20。当VLR 15发送一个新的全局随机数时，每一部移动台存储的计数值被擦除，存储计数值和比较计数值的过程又再次开始。

图3按照本发明的第一实施例，说明在呼叫开始期，网络与移动台20之间建立会话密钥的通信。如图示，移动台20向VLR 15发送一个呼叫开始期请求。作为响应，VLR 15用随机数发生器产生随机数R_N，并把随机数R_N发送至移动台20。

作为响应，移动台20产生计数值C_M，并用SSDA作为密钥，对随机数R_N、拨号数字DD、计数值C_M、Type数据、和id数据0，完成一次KCF计算。这一计算以KCF_SSDA(Type，0，C_M，R_N，DD)表示。拨号数字DD是移动台用户需要呼叫的对方电话号码。

移动台20把拨号数字DD、计数值C_M、和KCF_SSDA(Type，0，C_M，R_N，DD)发送至网络。因为VLR 15收到了呼叫开始期请求，所以VLR 15知道Type数据。因此，VLR 15根据收到的拨号数字和计数值C_M，计算KCF_SSDA(Type，0，C_M，R_N，DD)，并确定这个计算是否与从移动台20收到的内容符合。如果发现符合，VLR 15认证这个移动台20。

移动台20一旦被认证，VLR 15便计算KCF_SSDA(Type，1，C_M)，并把计算结果发送至移动台20。同时，移动台20也计算KCF_SSDA(Type，1，C_M)。然后，移动台20验证计算的KCF_SSDA(Type，1，C_M)内容是否与从VLR 15收到的内容符合。如果发现符合，移动台20便认证了网络。

移动台20和VLR 15两者都产生如PRF_A-Key(C_M，R_N)的会话密钥SK；其中PRF最好是DES-CBC算法。

按照上面的讨论，移动台20把计数值存储在半永久存储器内，且此计数值用一个随机数初始化，并用巨大的位计数器，例如64位或75位计数器来产生。

作为一种变化，代替产生并发送一个唯一的随机数R_N到每一部移动台，VLR 15产生一个全局的随机数R_N；即，对所有移动台都是一个相同的随机数。

然而，由网络监测的移动台20的预期响应时间与发送一个唯一的随机数的时间大致保持相同时，适用这个变化的实施例。换而言之，当这个全局的随机数的有效时间能保持相对地短时，适用这个变化的实施例。如果全局的随机数需要一个较长的有效时间，那么最好是，在一个全局随机数的持续时间内，VLR 15存储计数值C_M，并确定收到的计数值C_M是否超过先前存储的计数值。如果收到的计数值C_M确实超过先前存储的计数值，那么VLR 15再进一步认证该移动台20。如果收到的计数值C_M没有超过先前存储的计数值，就不认证该移动台20。当VLR 15发送一个新的全局随机数时，为每一部移动台存储的计数值被擦除，存储计数值和比较计数值的过程又再次开始。

图4按照本发明的第二实施例，说明在呼叫终止期，网络与移动台20之间建立会话密钥的通信。如图所示，VLR 15利用一个随机数发生器产生一个随机数R_N，并发送此随机数R_N作为全局询问。当为呼叫终止期与移动台20建立会话密钥时，VLR 15把呼叫终止期请求作为一页在控制信道上发送至移动台20。

作为响应，移动台20利用一个随机数发生器，产生一个随机数R_M  ，并用SSDA作为密钥，用随机数R_N、随机数R_M、Type数据、和id数据0，完成一次KCF计算。这一计算以KCF_SSDA(Type，0，R_M，R_N)表示。KCF最好是一个密钥消息认证码，如HMAC，但也可以是一个PRF，如根据NIST(National Institute of Standard)的Data Encryption Standard-Cipher Block Chaining(DES-CBC)(数据加密标准-密码分组链接)。

移动台把随机数R_M和KCF_SSDA(Type，0，R_M，R_N)发送至网络。VLR 15根据收到的随机数R_M计算KCF_SSDA(Type，0，R_M，R_N)，并确定这一计算值是否与从移动台20收到的内容符合。如果发现符合，VLR 15便认证了该移动台20。

移动台20一旦被认证，VLR 15便计算KCF_SSDA(Type，1，R_M)，并把计算结果发送至移动台20。同时，移动台20也计算KCF_SSDA(Type，1，R_M)。然后，移动台20验证计算的KCF_SSDA(Type，1，R_M)内容是否与从VLR 15收到的内容符合。如果发现符合，移动台20便认证了网络。

移动台20和VLR 15两者都产生如PRF_A-Key(R_M，R_N)的会话密钥SK；其中PRF最好是DES-CBC算法。

再有，由网络监测的移动台20的预期响应时间与发送一个唯一的随机数R_N的时间大致保持相同时，适用图4的实施例。换而言之，当这个全局的随机数的有效时间能保持相对地短时，适用这个实施例。如果全局的随机数需要一个较长的有效时间，那么最好是，移动台20除产生随机数R_M外，还产生一个计数值CT。

具体说，当收到一个新的全局随机数R_N时，移动台20把其内置的一个计数器初始化。每一次移动台20产生一个随机数R_M和一个询问响应，移动台20递增其计数器以获得计数值CT。还有，移动台20产生的询问响应是KCF_SSDA(Type，0，R_M，R_N，CT)，同时，移动台20把计数值CT、随机数R_M、和这个询问响应发送至网络。VLR 15在一个全局随机数R_N的持续时间内，把从每一部移动台收到的计数值存储起来，并确定从某一部移动台收到的计数值CT是否超过先前对该移动台存储的计数值。如果收到的计数值CT确实超过先前存储的计数值，那么VLR 15便再进一步认证此移动台20。如果收到的计数值CT没有超过先前存储的计数值，那么此移动台20便不被认证。

如果VLR 15要再进一步认证此移动台20，VLR 15便产生并发送一个询问响应KCF_SSDA(Type，1，R_M，CT)。此外，在产生会话密钥时，移动台20和VLR 15都计算如PRF_A-Key(R_M，R_N，CT)的会话密钥。

图5按照本发明的第二实施例，说明在呼叫开始期，网络与移动台20之间建立会话密钥的通信。如图所示，移动台20把一个呼叫开始期请求发送至VLR。作为响应，VLR 15利用一个随机数发生器产生一个随机数R_N，并把此随机数R_N作为一个全局询问发送。

当移动台用户拨号呼叫时，移动台20用随机数发生器产生一个随机数R_M，并用SSDA作为密钥，用随机数R_N、拨号数字DD、随机数R_M、Type数据、和id数据0，完成一次KCF计算。这一计算以KCF_SSDA(Type，0，R_M，R_N，DD)表示。

移动台20把拨号数字DD、随机数R_M、和KCF_SSDA(Type，0，R_M，R_N，DD)发送至网络。VLR 15根据收到的拨号数字和随机数R_M，计算KCF_SSDA(Type，0，R_M，R_N，DD)，并确定此计算值是否与从移动台20收到内容符合。如果发现符合，VLR 15便认证了此移动台20。

移动台20一旦被认证，VLR 15便计算KCF_SSDA(Type，1，R_M)，并把计算结果发送至移动台20。同时，移动台20也计算KCF_SSDA(Type，1，R_M)。然后，移动台20验证计算的KCF_SSDA(Type，1，R_M)内容是否与从VLR 15收到的内容符合。如果发现符合，移动台20便认证了网络。

移动台20和VLR 15两者都产生如PRF_A-Key(R_M，R_N)的会话密钥SK；其中PRF最好是DES-CBC算法。

再有，由网络监测的移动台20的预期响应时间与发送一个唯一的随机数R_N的时间大致保持相同时，适用图5的实施例。换而言之，当这个全局的随机数的有效时间能保持相对地短时，适用这个实施例。如果全局的随机数需要一个较长的有效时间，那么最好是，移动台20除产生随机数R_M外，还产生一个计数值CT。

具体说，当收到一个新的全局随机数R_N时，移动台20把其内置的一个计数器初始化。每一次移动台20产生一个随机数R_M和一个询问响应，移动台20递增其计数器以获得计数值CT。还有，移动台20产生的询问响应是KCF_SSDA(Type，0，R_M，R_N，DD，CT)，同时，移动台20把呼叫开始期请求、拨号数字DD、计数值CT、随机数R_M、和这个询问响应发送至网络。VLR 15在一个全局随机数R_N的持续时间内，把从每一部移动台收到的计数值存储起来，并确定从某一部移动台收到的计数值CT是否超过先前对该移动台存储的计数值。如果收到的计数值CT确实超过先前存储的计数值，那么VLR15便再进一步认证此移动台20。如果收到的计数值CT没有超过先前存储的计数值，那么此移动台20便不被认证。

如果VLR 15要再进一步认证此移动台20，VLR 15便产生并发送一个询问响应KCF_SSDA(Type，1，R_M，CT)。因此，当使用一个全局随机数R_N时，建立会话密钥只需要两个来回的通信。此外，在产生会话密钥时，移动台20和VLR 15都计算如PRF_A-Key(R_M，R_N，CT)的会话密钥。

下面说明本发明的第三实施例。通常的无线电通信系统，在建立会话密钥之后，消息才在移动台20与网络之间传送。本发明的第三实施例则把消息传送的开头与建立会话密钥通信合并，作为其中的一部分，以此提高通信的效率。

图6按照本发明的第一实施例，说明在呼叫终止期，网络与移动台20之间建立会话密钥的通信。如图所示，VLR 15用随机数发生器产生一个随机数R_N，并把随机数R_N随同呼叫终止期请求发送至移动台20。

作为响应，移动台20产生一个随机数RM，并计算如PRF_A-key(R_M，R_N)的会话密钥SK。移动台20还以典型的熟知的方式，产生一个消息X_M和与此相关的一部移动台消息计数值CTM。至于消息和消息计数值的产生方法，同业人士众所周知，不再详述。

移动台20利用会话密钥SK作为密钥，用消息X_M、计数值CTM、和移动台的id数据0，计算KCF，以产生一个认证标记。这一计算表示为KCF_SK(0，CTM，X_M)。此KCF最好是一个密钥消息认证代码，例如HMAC，但也可以是一个PRF，如根据NIST(National Institute of Standard)的Data Encryption Standard-Cipher Block Chaining(DES-CBC)(数据加密标准-密码分组链接)。

移动台20把消息计数值CTM、随机数R_M、消息X_M、和认证标记KCF_SK(0，CTM，X_M)发送至网络。VLR 15根据收到的随机数R_M，用与移动台20相同的方法计算会话密钥SK。VLR 15还根据收到的消息X_M和计数值CTM，计算KCF_SK(0，CTM，X_M)，并确定这一计算值是否与从移动台20收到的内容符合。如果发现符合，VLR 15便认证了此移动台20。

如果VLR 15认证了移动台20，VLR 15便按典型的熟知的方式处理消息X_M和消息计数值CTM，然后按典型的熟知的方式产生一个网络消息X_N和网络消息计数值CTN。由于这些处理方法，同业人士众所周知，不再详述。

VLR 15还要计算认证标记KCF_SK(1，CTN，X_N)，这里1是id数据，并把此认证标记随同消息X_N和消息计数值CTN发送至移动台20。移动台20根据收到的消息X_N和计数值CTN，计算KCF_SK(1，CTN，X_N)。之后，移动台20验证计算的KCF_SK(1，CTN，X_N)内容是否与从VLR 15收到内容符合。如果发现符合，移动台20便认证了网络；从而认证了会话密钥SK。

作为一种变化，代替产生并发送一个唯一的随机数R_N到每一部移动台，VLR 15产生一个全局的随机数R_N；即，对所有移动台都是一个相同的随机数。在这个变化的实施例里，网络把呼叫终止期请求作为一页在控制信道上发送。

此外，由网络监测的移动台20的预期响应时间与发送一个唯一的随机数的时间大致保持相同时，适用这个变化的实施例。换而言之，当这个全局的随机数R_N的有效时间能保持相对地短时，适用这个变化的实施例。如果全局的随机数需要一个较长的有效时间，那么最好是，移动台20除产生随机数R_M外，还产生一个计数值CT。

具体说，当收到一个新的全局随机数R_N时，移动台20把其内置的一个计数器初始化。每一次移动台20产生一个随机数R_M和一个认证标记，移动台20递增其计数器以获得计数值CT。还有，移动台20把计数值CT，随同消息计数值CTM、随机数R_M、消息X_M、和认证标记一起发送。VLR 15在一个全局随机数R_N的持续时间内，把从每一部移动台收到的计数值存储起来，并确定从某一部移动台收到的计数值CT是否超过先前对该移动台存储的计数值。如果收到的计数值CT确实超过先前存储的计数值，那么VLR 15便再进一步认证此移动台20。如果收到的计数值CT没有超过先前存储的计数值，那么此移动台20便不被认证。此外，在产生会话密钥时，移动台20和VLR 15都计算如PRF_A-Key(R_M，R_N，CT)的会话密钥。

图7说明按照本发明的第三实施例，在呼叫开始期，网络与移动台20之间建立会话密钥的通信。一旦从某一移动台用户收到拨号数字DD，移动台20用随机数发生器产生一个随机数R_M。如图所示，移动台20把一个呼叫开始期请求、随机数R_M、和拨号数字DD发送至VLR 15。

作为响应，VLR 15产生一个随机数R_M  ，并计算如PRF_A-key(R_M，R_N)的会话密钥SK。VLR 15还以典型的熟知的方式，产生一个消息X_N和与此相关的一个移动台消息计数值CTN。至于消息和消息计数值的产生方法，同业人士众所周知，不再详述。

然后，VLR 15利用会话密钥SK作为密钥，用消息X_N、计数值CTN、和网络的id数据1，计算KCF，以产生一个认证标记。这一计算表示为KCF_SK(1，CTN，X_N)。

VLR 15把消息计数值CTN、随机数R_N、消息X_N、和认证标记KCF_SK(1，CTN，X_N)发送至移动台20。移动台20根据收到的随机数R_N，按与VLR 15相同的方式计算会话密钥SK。移动台20还根据收到的消息X_N和计数值CTN计算KCF_SK(1，CTN，X_N)，并确定这个计算值是否与从VLR 15收到的内容符合。如果发现符合，移动台20便认证了VLR 15。

如果移动台20认证了VLR 15，那么移动台20便以典型的熟知的方法，处理消息X_N和消息计数值CTN，并以典型的熟知的方法，产生一个网络消息X_M和网络消息计数值CTM。由于这些处理方法在同业人士中众所周知，不再详述。

移动台20还要计算认证标记KCF_SK(0，CTM，X_M)，这里0是移动台的id数据，并把此认证标记随同消息X_M和消息计数值CTM发送至VLR 15。VLR 15根据收到的消息XM和计数值CTM，计算KCF_SK(0，CTM，X_M)。然后，VLR 15验证计算的KCF_SK(0，CTM，X_M)内容是否与从移动台20收到的内容符合。如果发现符合，VLR 15便认证移动台20；从而认证会话密钥SK。

作为一种变化，代替产生并发送一个唯一的随机数R_N到每一部移动台，VLR 15产生一个全局的随机数R_N；即，对所有移动台都是一个相同的随机数。

此外，由网络监测的移动台20的预期响应时间与发送一个唯一的随机数的时间大致保持相同时，适用这个变化的实施例。换而言之，当这个全局的随机数R_N的有效时间能保持相对地短时，适用这个变化的实施例。如果全局的随机数需要一个较长的有效时间，那么最好是，移动台20除产生随机数R_M外，还产生一个计数值CT。

具体说，当收到一个新的全局随机数R_N时，移动台20把其内置的一个计数器初始化。每一次移动台20产生一个随机数R_M和一个认证标记，移动台20便递增其计数器以获得计数值CT。还有，移动台20把计数值CT随同呼叫开始期请求一起发送。VLR 15在一个全局随机数R_N的持续时间内，把从每一部移动台收到的计数值存储起来，并确定从某一部移动台收到的计数值CT是否超过先前对该移动台存储的计数值。如果收到的计数值CT确实超过先前存储的计数值，那么VLR 15便再进一步认证此移动台20。如果收到的计数值CT没有超过先前存储的计数值，那么此移动台20便不被认证。此外，在产生会话密钥时，移动台20和VLR 15都计算如PRF_A-Key(R_M，R_N，CT)的会话密钥。

与通常建立会话密钥的方法不同，按照本发明的方法，通过互认证提供一种附加的安全措施。

对本发明的说明已如上述，显然，如上说明的本发明还可以有许多变化。这类变化不应被认为偏离本发明的精神实质和涵盖范围，所有这类改变将包括在下面权利要求书的范围内。