未经许可的移动接入信令的改进的用户认证
专利汇可以提供未经许可的移动接入信令的改进的用户认证专利检索,专利查询,专利分析的服务。并且一种系统,用于当未经 许可 的移动接入系统中的第一用户从移动台向核心网络 请求 服务时,确保防止该第一用户未认证地使用第二用户的身份。该系统包括用于在从移动台发出较高层消息之前,向未经许可的移动接入网络认证该移动台并此后用于向核心网络认证该移动台的认证装置。该系统也包括具有用户识别模 块 的移动台,该用户识别模块包括用于识别该移动台的识别工具。该系统还包括用于将该移动台连接到该核心网络,并用于中继该移动台和该核心网络之间的 信号 的未经许可的移动接入网络。该未经许可的移动接入网络包括用于确保通过该未经许可的移动接入网络到该核心网络的较高层消息来自用该未经许可的移动接入网络认证的移动台的检验装置。该系统也包括用于实现交易控制和用户服务的核心网络。在该移动台和该未经许可的移动接入网络之间认证期间,该未经许可的移动接入网络存储与该移动台相关联的识别工具,并在该移动台和该核心网络之间的认证之后,该未经许可的移动接入网络利用该检验装置检查从该移动台发送到该核心网络的较高层消息,并确保与移动台相关联的识别工具被存储在该较高层消息中。,下面是未经许可的移动接入信令的改进的用户认证专利的具体信息内容。
1.一种未经许可的移动接入网络,用于当未经许可的移动接入 系统中的第一用户从移动台向核心网络请求服务时,确保防止该第一 用户未认证地使用第二用户的身份,该网络包括:
认证装置,用于在将较高层消息从移动台发送到核心网络之前, 向该未经许可的移动接入网络认证该移动台;以及
连接装置,用于将该移动台连接到该核心网络,并用于中继该移 动台和该核心网络之间的信号;
检验装置,用于确保通过该未经许可的移动接入网络从该移动台 到该核心网络的较高层消息来自用该未经许可的移动接入网络认证 的该移动台;
其中,在该移动台和该未经许可的移动接入网络之间认证期间, 该未经许可的移动接入网络存储与该移动台相关联的识别工具,并在 该移动台和该核心网络之间的认证之后,该未经许可的移动接入网络 利用该检验装置检查从该移动台发送到该核心网络的该较高层消息, 并确保与移动台相关联的该识别工具被存储在该较高层消息中。
2.一种未经许可的移动接入网络,用于当未经许可的移动接入 系统中的第一用户从移动台向核心网络请求服务时,确保防止该第一 用户未认证地使用第二用户的身份,该网络包括:
认证装置,用于在将该较高层消息从移动台发送到核心网络之 前,向该未经许可的移动接入网络认证该移动台;
连接装置,用于将该移动台连接到该核心网络,并用于中继该移 动台和该核心网络之间的信号;以及
其中,在该移动台和该核心网络之间认证期间,该未经许可的移 动接入网络包括在从该核心网络到该移动台的命令消息中的认证信 息,并且响应于该命令消息,该移动台包括用该认证信息加密的代码 和在该移动台中计算的密钥。
3.一种未经许可的移动接入网络,用于当未经许可的移动接入 系统中的第一用户从移动台向核心网络请求服务时,确保防止该第一 用户未认证地使用第二用户的身份,该网络包括:
认证装置,用于在将较高层消息从移动台发送到核心网络之前, 向该未经许可的移动接入网络认证该移动台,其中该移动台包括用户 识别模块,该用户识别模块包括用于识别该移动台的识别工具和密 钥;
连接装置,用于将该移动台连接到该核心网络;以及
中继装置,用于中继该移动台和该核心网络之间的信号;
其中,在该移动台和该核心网络之间认证期间,该移动台将该密 钥传送到该未经许可的移动接入网络的IPsec或者TLS层,从而确保 用该密钥或者从该密钥导出的密钥保护从该移动台发送的所有其它 消息。
4.一种与未经许可的移动接入网络进行通信的移动台,用于当 未经许可的移动接入系统中的第一用户从移动台向核心网络请求服 务时,确保防止该第一用户未认证地使用第二用户的身份,该移动台 包括:
认证装置,用于在将较高层消息从移动台发送到核心网络之前, 向该未经许可的移动接入网络认证该移动台;
用户识别模块,包括用于识别该移动台的识别工具和密钥;
连接装置,用于将该移动台连接到该核心网络;以及
中继该移动台和该核心网络之间的信号;
其中,在该移动台和该核心网络之间认证期间,该移动台将该密 钥传送到IPsec或者TLS层,从而确保用该密钥或者从该密钥导出的 密钥保护从该移动台发送的所有其它消息。
5.一种系统,用于当未经许可的移动接入系统中的第一用户从 移动台向核心网络请求服务时,确保防止该第一用户未认证地使用第 二用户的身份,该系统包括:
认证装置,用于在将较高层消息从移动台发送之前,向未经许可 的移动接入网络认证该移动台,并此后,用于向核心网络认证该移动 台;
包括用户识别模块的移动台,该用户识别模块包括用于识别该移 动台的识别工具;
未经许可的移动接入网络,用于将该移动台连接到该核心网络, 并用于中继该移动台和该核心网络之间的信号,该未经许可的移动接 入网络包括检验装置,用于确保通过该未经许可的移动接入网络到该 核心网络的较高层消息来自用该未经许可的移动接入网络认证的该 移动台;以及
该核心网络,用于实现交易控制和用户服务,
其中,在该移动台和该未经许可的移动接入网络之间认证期间, 该未经许可的移动接入网络存储与该移动台相关联的识别工具,并在 该移动台和该核心网络之间的认证之后,该未经许可的移动接入网络 利用该检验装置检查从该移动台发送到该核心网络的较高层消息,并 且确保与移动台相关联的该识别工具被存储在该较高层消息中。
6.根据权利要求5所述的系统,其中该未经许可的移动接入网 络包括:
映射装置,用于映射用于识别该移动台的IMSI,该未经许可的移 动接入网络从在该移动台和该未经许可的移动接入网络之间的认证 过程中获得该IMSI,用该移动台的该IMSI将该较高层消息发送到该 核心网络;以及
存储装置,用于如果已经在该较高层消息中的该IMSI与从该认 证过程中获得的该IMSI不同,则将来自该认证过程的该IMSI存储在 该较高层消息中。
7.根据权利要求6所述的系统,其中该未经许可的移动接入网 络包括取回装置,用于如果该未经许可的移动接入网络在该认证过程 期间没有保存该IMSI,则从用户简档中取回该IMSI。
8.根据权利要求5所述的系统,其中该移动台提供双重模式无 线通信,和接入模式开关,以使该移动台能够在该双重模式无线通信 之间切换。
9.根据权利要求5所述的系统,其中该移动台包括在用户设备 中,该系统还包括:
宽带IP网络,用于连接该用户设备与该未经许可的移动接入网 络;以及
在该用户设备中的接入点,用于给该移动台提供未经许可的无线 链接,并用于通过该宽带IP网络连接到该未经许可的移动接入网络,
其中,该移动台支持使IP网络能够通过该接入点从该未经许可 的移动接入网络扩展到该移动台的IP传输接口,以及
其中,该IP传输网络能够在该未经许可的移动接入网络和该移 动台之间定义单一的接口,Ut。
10.根据权利要求9所述的系统,其中该Ut接口包括中继部件, 用于中继从PLMN核心网络到该移动台的GSM/GPRS信令,其中该Ut 接口使在或高于GSM移动管理等级的协议能够在该移动台和该核心 网络的移动交换中心之间透明地传输,从而允许该移动台如同与GSM BSS进行通信一样导出所有GSM服务。
11.根据权利要求9所述的系统,其中该接入点是标准接入点。
12.根据权利要求9所述的系统,其中该未经许可的移动接入网 络包括映射部件,用于当该核心网络中的移动交换中心不实现某些特 征时,将来自该用户设备的声音映射为PCM声音。
13.根据权利要求9所述的系统,还包括协议装置,用于使传输 和复用协议能够传输与在该移动台和该未经许可的移动接入网络之 间的安全通道上的无线资源协议相关联的消息,其中,该安全通道使 用IP上的SSL/TCP,并且负责管理与该接入点的未经许可的无线链 接,并且其中该移动台使用标准IP技术访问该未经许可的无线链接。
14.根据权利要求5所述的系统,其中该未经许可的移动接入网 络包括通信装置,用于使该未经许可的移动接入网络能够通过标准 GSM A-接口和GPRS Gb-接口与该移动台进行通信。
15.根据权利要求5所述的系统,此外其中该认证装置是用于使 该移动台能够通过密码、授权证书或者SIM卡中的至少一个用该未经 许可的移动接入网络认证。
16.根据权利要求5所述的系统,还包括加密装置,用于加密在 该移动台和该未经许可的移动接入网络之间的信令通信量。
17.一种系统,用于当未经许可的移动接入系统中的第一用户从 移动台向核心网络请求服务时,确保防止该第一用户未认证地使用第 二用户的身份,该系统包括:
认证装置,用于在将较高层消息从移动台发送之前,向未经许可 的移动接入网络认证该移动台,并此后,用于向核心网络认证该移动 台;
包括用户识别模块的移动台,该用户识别模块包括用于识别该移 动台的识别工具和密钥;
未经许可的移动接入网络,用于将该移动台连接到该核心网络, 并用于中继该移动台和该核心网络之间的信号;以及
该核心网络,用于实现交易控制和用户服务,
其中,在该移动台和该核心网络之间认证期间,该未经许可的移 动接入网络包括在从该核心网络到该移动台的命令消息中的认证信 息,并响应于该命令消息,该移动台包括用该认证信息和该密钥加密 的代码。
18.根据权利要求17所述的系统,其中该认证信息至少包括随 机选择的询问。
19.根据权利要求17所述的系统,其中该代码包括与该移动台 相关联的IMSI和该未经许可的移动接入网络的身份,其中该移动台 在该移动台和该未经许可的移动接入网络认证期间,获得该未经许可 的移动接入网络的身份。
20.根据权利要求17所述的系统,其中该代码包括涉及在该移 动台和该未经许可的移动接入网络认证期间,在该移动台和该未经许 可的移动接入网络之间建立的安全通道的消息。
21.一种系统,用于当未经许可的移动接入系统中的第一用户从 移动台向核心网络请求服务时,确保防止该第一用户未认证地使用第 二用户的身份,该系统包括:
认证装置,用于在将较高层消息从移动台发送之前,向未经许可 的移动接入网络认证该移动台,并此后,用于向核心网络认证该移动 台;
包括用户识别模块的移动台,该用户识别模块包括用于识别该移 动台的识别工具和密钥;
未经许可的移动接入网络,用于将该移动台连接到该核心网络, 并用于中继该移动台和该核心网络之间的信号;以及
该核心网络,用于实现交易控制和用户服务,
其中,在该移动台和该核心网络之间认证期间,该移动台将该密 钥传送到IPsec或者TLS层,从而确保用该密钥或者从该密钥Kc导 出的密钥保护从该移动台发送的所有其它消息。
22.一种在未经许可的移动接入网络中的方法,用于当未经许可 的移动接入系统中的第一用户从移动台向核心网络请求服务时,确保 防止该第一用户未认证地使用第二用户的身份,该方法包括下列步 骤:
在将较高层消息从该移动台发送到核心网络之前,在该未经许可 的移动接入网络中认证该移动台;
在该未经许可的移动接入网络中,转发从该移动台到该核心网络 的服务请求,其中该移动台的IMSI包括在该服务请求中;
在该未经许可的移动接入网络中,发送从该核心网络到该移动台 的认证请求;
在该未经许可的移动接入网络中,响应于该认证请求转发认证响 应;以及
通过该未经许可的移动接入网络,检查从该移动台到该核心网络 的较高层消息,以确保与该移动台相关联的识别工具被存储在该较高 层消息中。
23.一种在未经许可的移动接入网络中的方法,用于当未经许可 的移动接入系统中的第一用户从移动台向核心网络请求服务时,确保 防止该第一用户未认证地使用第二用户的身份,该方法包括下列步 骤:
在将较高层消息从该移动台发送到核心网络之前,在该未经许可 的移动接入网络中认证该移动台;
在该未经许可的移动接入网络中,转发从该移动台到该核心网络 的服务请求,其中该移动台的IMSI包括在该服务请求中;
在该未经许可的移动接入网络中,发送从该核心网络到该移动台 的认证请求;
在该未经许可的移动接入网络中,响应于该认证请求转发该认证 响应,其中该移动台响应于该认证请求创建密钥;
在该未经许可的移动接入网络中,将由该核心网络创建的密码模 式命令消息转发到该移动台;
通过该未经许可的移动接入网络,将认证信息包括到从该核心网 络到该移动台的该密码模式命令消息中,并将该修改后的密码模式命 令消息转发到该移动台;和
通过该未经许可的移动接入网络,从该移动台接收用该认证信息 和该密钥加密的代码。
24.一种在实现未经许可的移动接入网络的配置中的方法,用于 当未经许可的移动接入系统中的第一用户从移动台向核心网络请求 服务时,确保防止该第一用户未认证地使用第二用户的身份,该方法 包括下列步骤:
在从该移动台发送较高层消息之前,向该未经许可的移动接入网 络认证该移动台;
由该移动台从该核心网络请求服务,并在该请求消息中包括该移 动台的IMSI;
通过该未经许可的移动接入网络,将该请求消息转发到该核心网 络,而不通过该未经许可的移动接入网络检查该消息;
通过该未经许可的移动接入网络发送从该核心网络到该移动台 的认证请求;
由该移动台响应于该认证请求创建认证响应,并通过该未经许可 的移动接入网络将该认证响应转发到该核心网络;
由该核心网络校验该认证响应,并将密码模式命令消息发送到该 未经许可的移动接入网络;
由该未经许可的移动接入网络将在该密码模式命令消息中的允 许的算法列表转发到该移动台;以及
由该未经许可的移动接入网络检查来自该移动台的较高层消息, 以确保与移动台相关联的识别工具被存储在该较高层消息中。
25.根据权利要求24所述的方法,还包括下列步骤:
由该未经许可的移动接入网络映射用于从该移动台和该未经许 可的移动接入网络之间的认证过程中识别该移动台的IMSI,用该移 动台的IMSI将较高层消息发送到该核心网络;以及
如果已经在该较高层消息中的该IMSI与从该认证过程中获得的 IMSI不同,则将来自该认证过程的该IMSI存储在该较高层消息中。
26.根据权利要求25所述的系统,还包括如果该未经许可的移 动接入网络在该认证过程期间没有保存该IMSI,则从用户简档中取 回该IMSI的步骤。
27.一种在实现未经许可的移动接入网络的配置中的方法,用于 当未经许可的移动接入系统中的第一用户从移动台向核心网络请求 服务时,确保防止该第一用户未认证地使用第二用户的身份,该方法 包括下列步骤:
在从该移动台发送较高层消息之前,向该未经许可的移动接入网 络认证该移动台;
由该移动台从该核心网络请求服务,并在该请求消息中包括该移 动台的IMSI;
通过该未经许可的移动接入网络,将该请求消息转发到该核心网 络,而不通过该未经许可的移动接入网络检查该消息;
通过该未经许可的移动接入网络发送从该核心网络到该移动台 的认证请求;
由该移动台响应于该认证请求创建认证响应,并通过该未经许可 的移动接入网络将该认证响应转发到该核心网络;
由该核心网络校验该认证响应,并将密码模式命令消息发送到该 未经许可的移动接入网络;
在从该核心网络到该移动台的该密码模式命令消息中包括认证 信息,并由该未经许可的移动接入网络,在该密码模式命令消息中转 发到该移动台;以及
响应于该命令消息,由该移动台包括用该认证信息和该密钥加密 的代码,并将该响应转发到该未经许可的移动接入网络。
28.根据权利要求27所述的方法,还包括在该认证信息中至少 存储随机选择的询问的步骤。
29.根据权利要求27所述的方法,还包括在该代码中存储与该 移动台相关联的IMSI和该未经许可的移动接入网络的身份的步骤, 其中该移动台在该移动台和该未经许可的移动接入网络认证期间获 得该未经许可的移动接入网络的该身份。
30.根据权利要求27所述的方法,还包括在该代码中存储,涉 及在该移动台和该未经许可的移动接入网络认证期间,在该移动台和 该未经许可的移动接入网络之间建立的安全通道的消息的步骤。
31.一种在实现未经许可的移动接入网络的配置中的方法,用于 当未经许可的移动接入系统中的第一用户从移动台向核心网络请求 服务时,确保防止该第一用户未认证地使用第二用户的身份,该方法 包括下列步骤:
在从该移动台发送较高层消息之前,向该未经许可的移动接入网 络认证该移动台;
由该移动台从该核心网络请求服务,并在该请求消息中包括该移 动台的IMSI;
通过该未经许可的移动接入网络,将该请求消息转发到该核心网 络,而不通过该未经许可的移动接入网络检查该消息;
通过该未经许可的移动接入网络发送从该核心网络到该移动台 的认证请求;
由该移动台响应于该认证请求创建认证响应,并通过该未经许可 的移动接入网络将该认证响应转发到该核心网络;
由该核心网络校验该认证响应,并将密码模式命令消息发送到该 未经许可的移动接入网络;
由该未经许可的移动接入网络将该密码模式命令消息转发到该 移动台;以及
由该移动台将密钥传送到IPsec或者TLS层,从而确保用该密钥 或者从该密钥导出的密钥保护从该移动台发送的所有其它消息。
32.一种在实现未经许可的移动接入网络的配置中的方法,用于 当未经许可的移动接入系统中的第一用户从移动台向核心网络请求 服务时,确保防止该第一用户未认证地使用第二用户的身份,该方法 包括下列步骤:
在从该移动台发送较高层消息之前,向该未经许可的移动接入网 络认证该移动台;
由该移动台从该核心网络请求服务,并在该请求消息中包括该移 动台的IMSI;
由该移动台响应于来自该核心网络的该认证请求创建认证响应, 并通过该未经许可的移动接入网络将该认证响应转发到该核心网络; 以及
由该移动台将密钥传送到IPsec或者TLS层,从而确保用该密钥 或者从该密钥导出的密钥保护从该移动台发送的所有其它消息。
技术领域
本发明涉及未经许可的移动接入网络中的通信,并特别涉及移动 台和移动网络之间通信期间的用户接入认证。
背景技术
在典型的未经许可的移动接入部署中,该移动台与连接到宽带互 联网连接的WLAN接入点通信。由于在该移动台和该未经许可的移动 接入网络之间的连接中可能使用不可信任的网络,所以必须提供充 分的安全特征。
因此,在该未经许可的移动接入体系结构中,在诸如移动管理的 任何未经许可的无线资源信令和较高层消息可以从该移动台发送到 该未经许可的移动接入网络之前,该未经许可的移动接入网络认证 用户。该未经许可的移动接入网络可以通过使用诸如密码、授权证 书或者SIM卡的既存的认证方法认证移动台上的用户。在该移动台 和该未经许可的移动接入网络之间的信令通信量是加密的并使用例 如IPsec或者传输层安全协议保护其完整性。可选地,用户平面通 信量也可以使用IPsec或者安全实时传输协议保护。
在用该未经许可的移动接入网络认证了用户之后,接着将该用户 认证到该未经许可的移动接入体系结构中的核心网络。为了确保核 心网络认证正确的用户,该核心网络将询问(RAND)发送到移动台。 该移动台使用用户识别模块(SIM)卡计算响应(SRES)和密钥(Kc)。 该移动台将该响应发送到该核心网络,并且如果该响应正确,则核 心网络通过给该未经许可的移动接入网络发送“BSSMAP密码模式命 令”消息来启动加密。该密码模式命令消息包括许可的算法列表和 该密钥。与GSM配置中BSS从密码模式命令消息选择适当的算法并 通过给移动台发送所选算法命令该移动台启动加密不同,在未经许 可的移动接入体系结构中,移动台与未经许可的移动接入网络之间 的连接已经加密,而且在BSSMAP密码模式命令消息中包含的算法不 适合移动台和未经许可的移动接入网络之间使用的IPsec或者TLS 加密。因此,未经许可的移动接入网络既不使用来自该BSSMAP密码 模式命令消息的算法,也不使用其中的密钥。然而,该未经许可的 移动接入网络向移动台转发密码模式命令中的算法列表,并且该移 动台存储参数和密钥,用于稍后在执行到GSM网络的移交时使用。
在未经许可的移动接入体系结构中使用的认证程序不确保认证 到该未经许可的移动接入网络的身份与认证到核心网络的身份相 同。这允许了“中间人”攻击,其中拥有有效订制的攻击者可以, 例如,进行使其它用户付费的呼叫。
图1说明了拥有有效订制的用户如何能够执行中间人攻击。在步 骤1010中,用户连接到该未经许可的移动接入网络,而该未经许可 的移动接入网络认证该用户并建立安全通道。在步骤1020中,在移 动台和该未经许可的移动接入网络之间建立未经许可的无线资源信 令。在步骤1030中,该用户用包含向核心网络识别该用户的国际移 动用户身份(IMSI)或者临时移动用户身份(TMSI)的消息请求服 务。然而,在这个步骤中,执行中间人攻击的用户包含另外的未被 怀疑的用户的IMSI或TMSI。在步骤1040中,该未经许可的移动接 入网络将该请求消息转发到核心网络,而不检查该请求消息的内容。 在步骤1050中,响应于该请求消息,核心网络将认证请求发送到该 移动台。在步骤1060中,当该用户接收到该请求消息时,不利用该 用户的SIM或USIM计算该认证请求的响应,而该用户伪装为GSM网 络中的BSS,并将该认证请求转发给其它未被怀疑的用户。其它未被 怀疑的用户使用其SIM卡计算对该认证请求的响应并将该响应发送 给伪装为BSS的该用户。如果使用UMTS协议,则附加的“AUTN”参 数由核心网络发送并由其它未被怀疑的用户校验。然而,该AUTN参 数不能防止中间人攻击。在步骤1070中,在接收来自其它未被怀疑 的用户的响应时,执行中间人攻击的用户用其它用户的SIM将该响 应转发给该未经许可的移动接入网络。在步骤1080中,该未经许可 的移动接入网络将该响应转发给核心网络,而不检查该响应的内容。 在步骤1090中,核心网络校验该响应,因为其它未被怀疑的用户是 有效用户所以它是正确的,并将BSSMAP密码模式命令消息发送到该 未经许可的移动接入网络。由于该未经许可的移动接入网络不使用 由核心网络在密码模式命令消息中提供的算法或密钥,该未经许可 的移动接入网络简单地将允许的算法列表转发给该用户。在步骤 1100中,在该移动台和该未经许可的移动接入网络之间完成了URR 计算模式。在步骤1010中,在该未经许可的移动接入网络和核心网 络之间完成了BSSMAP密码模式命令。
在用其它用户的信息完成了密码模式设置之后,该用户随后能够 在建立呼叫时执行正常的移动管理和呼叫控制信令。这导致了核心 网络使用其它用户的IMSI或TMSI用于计费的目的。
发明内容
根据本发明的另一个方面,提供了一种未经许可的移动接入网 络,用于当未经许可的移动接入系统中的第一用户从移动台向核心 网络请求服务时,确保防止该第一用户未认证地使用第二用户的身 份。该网络包括用于在较高层消息从移动台发送到核心网络之前, 向该未经许可的移动接入网络认证该移动台的认证装置。该网络还 包括用于将该移动台连接到该核心网络并用于中继该移动台和该核 心网络之间的信号的连接装置。在该移动台和该核心网络之间的认 证期间,该未经许可的移动接入网络包括从该核心网络到该移动台 的命令消息中的认证信息并响应于该命令消息,该移动台包括用该 认证信息加密的代码和在该移动台中计算的密钥。
根据本发明的另一个方面,提供了一种未经许可的移动接入网 络,用于当未经许可的移动接入系统中的第一用户从移动台向核心 网络请求服务时,确保防止该第一用户未认证地使用第二用户的身 份。该网络包括用于在将较高层消息从移动台发送到核心网络之前, 向该未经许可的移动接入网络认证该移动台的认证装置,其中该移 动台包括用户识别模块,该用户识别模块包括用于识别该移动台的 识别工具和密钥。该网络还包括用于将该移动台连接到该核心网络 的连接装置以及用于中继该移动台和该核心网络之间的信号的中继 装置。在该移动台和该核心网络之间认证期间,该移动台将该密钥 传送到该未经许可的移动接入网络的IPsec或者TLS层,从而确保 用该密钥或者从该密钥导出的密钥保护从该移动台发送的所有其它 消息。
在本发明的另一个方面中,提供了一种与未经许可的移动接入网 络进行通信的移动台,用于当未经许可的移动接入系统中的第一用 户从移动台向核心网络请求服务时,确保防止该第一用户未认证地 使用第二用户的身份。该移动台包括用于在较高层消息从移动台发 送到核心网络之前,向该未经许可的移动接入网络认证该移动台的 认证装置。该移动台还包括用户识别模块,该用户识别模块包括用 于识别该移动台的识别工具和密钥。该移动台还包括用于将该移动 台连接到该核心网络,并中继该移动台和该核心网络之间的信号的 连接装置。在该移动台和该核心网络之间认证期间,该移动台将该 密钥传送到IPsec或者TLS层,从而确保用该密钥或者从该密钥导 出的密钥保护从该移动台发送的所有其它消息。
在本发明的另一个方面中,提供了一种系统,用于当未经许可的 移动接入系统中的第一用户从移动台向核心网络请求服务时,确保 防止该第一用户未认证地使用第二用户的身份。该系统包括用于在 从移动台发送较高层消息之前,向未经许可的移动接入网络认证该 移动台,并此后,用于向核心网络认证该移动台的认证装置。该系 统也包括具有用户识别模块的移动台,该用户识别模块包括用于识 别该移动台的识别工具。该系统还包括用于将该移动台连接到该核 心网络,并用于中继该移动台和该核心网络之间的信号的未经许可 的移动接入网络。该未经许可的移动接入网络包括用于确保通过该 未经许可的移动接入网络到该核心网络的较高层消息来自用该未经 许可的移动接入网络认证的移动台的检验装置。该系统也包括用于 实现交易控制和用户服务的核心网络。在该移动台和该未经许可的 移动接入网络之间认证期间,该未经许可的移动接入网络存储与该 移动台相关联的识别工具,并在该移动台和该核心网络之间的认证 之后,该未经许可的移动接入网络利用该检验装置检查从该移动台 发送到该核心网络的较高层消息,并且确保与移动台相关联的识别 工具被存储在该较高层消息中。
根据本发明的另一个方面,提供了一种系统,用于当未经许可的 移动接入系统中的第一用户从移动台向核心网络请求服务时,确保 防止该第一用户未认证地使用第二用户的身份。该系统包括用于在 将较高层消息从移动台发送之前,向未经许可的移动接入网络认证 该移动台,并此后用于向核心网络认证该移动台的认证装置。该系 统也包括具有用户识别模块的移动台,该用户识别模块包括用于识 别该移动台的识别工具和密钥。该系统还包括用于将该移动台连接 到该核心网络,并用于中继该移动台和该核心网络之间的信号以实 现交易控制和用户服务的未经许可的移动接入网络。在该移动台和 该核心网络之间认证期间,该未经许可的移动接入网络包括从该核 心网络到该移动台的命令消息中的认证信息并响应于该命令消息, 该移动台包括用该认证信息和该密钥加密的代码。
根据本发明的另一个方面,提供了一种系统,用于当未经许可的 移动接入系统中的第一用户从移动台向核心网络请求服务时,确保 防止该第一用户未认证地使用第二用户的身份。该系统包括用于在 从移动台发送较高层消息之前,向未经许可的移动接入网络认证该 移动台,并此后用于向核心网络认证该移动台的认证装置。该系统 还包括具有用户识别模块的移动台,该用户识别模块包括用于识别 该移动台的识别工具和密钥。该系统还包括用于将该移动台连接到 该核心网络,并用于中继该移动台和该核心网络之间的信号以实现 交易控制和用户服务的未经许可的移动接入网络。在该移动台和该 核心网络之间认证期间,该移动台将该密钥传送到IPsec或者TLS 层,从而确保用该密钥或者从该密钥导出的密钥保护从该移动台发 送的所有其它消息。
在本发明的另一个方面中,提供了一种在未经许可的移动接入网 络中的方法,用于当未经许可的移动接入系统中的第一用户从移动 台向核心网络请求服务时,确保防止该第一用户未认证地使用第二 用户的身份。该方法包括下列步骤:在将较高层消息从移动台发送 到核心网络之前,在该未经许可的移动接入网络中认证该移动台; 和在该未经许可的移动接入网络中,转发从该移动台到该核心网络 的服务请求,其中该移动台的IMSI包括在该服务请求中。该方法还 包括下列步骤:在该未经许可的移动接入网络中,发送从该核心网 络到该移动台的认证请求;在该未经许可的移动接入网络中,响应 于该认证请求转发认证响应;和通过该未经许可的移动接入网络, 检查从该移动台到该核心网络的较高层消息,以确保与该移动台相 关联的识别工具被存储在该较高层消息中。
在本发明的另一个方面中,提供了一种在未经许可的移动接入网 络中的方法,用于当未经许可的移动接入系统中的第一用户从移动 台向核心网络请求服务时,确保防止该第一用户未认证地使用第二 用户的身份。该方法包括下列步骤:在较高层消息从移动台发送到 核心网络之前,在该未经许可的移动接入网络中认证该移动台;和 在该未经许可的移动接入网络中,转发从该移动台到该核心网络的 服务请求,其中该移动台的IMSI包括在该服务请求中。该方法还包 括下列步骤:在该未经许可的移动接入网络中,发送从该核心网络 到该移动台的认证请求;在该未经许可的移动接入网络中,响应于 该认证请求转发认证响应,其中该移动台响应于该认证请求创建密 钥。该方法还包括下列步骤:在该未经许可的移动接入网络中,将 由该核心网络创建的密码模式命令消息转发到该移动台;由该未经 许可的移动接入网络将认证信息包括在从该核心网络到该移动台的 密码模式命令消息中并将修改后的密码模式命令消息转发给该移动 台;并由该未经许可的移动接入网络从该移动台接收用该认证信息 和密钥加密的代码。
根据本发明的另一个方面,提供了一种方法,用于当未经许可的 移动接入系统中的第一用户从移动台向核心网络请求服务时,确保 防止该第一用户未认证地使用第二用户的身份。该方法包括下列步 骤:在从移动台发送较高层消息之前,向该未经许可的移动接入网 络认证该移动台;由该移动台从该核心网络请求服务,并在该请求 消息中包括该移动台的IMSI;并且由该未经许可的移动接入网络将 该请求消息转发到该核心网络,而不由该未经许可的移动接入网络 检查该消息。该方法还包括下列步骤:通过该未经许可的移动接入 网络,从该核心网络发送到该移动台的认证请求;响应该认证请求 由该移动台创建认证响应并通过该未经许可的移动接入网络将该认 证响应转发到该核心网络。该方法还包括下列步骤:由该核心网络 校验该认证响应;并将密码模式命令消息发送到该未经许可的移动 接入网络。该方法还包括下列步骤:由该未经许可的移动接入网络 将在该密码模式命令消息中的允许的算法列表转发到该移动台;并 由该未经许可的移动接入网络检查来自该移动台的较高层消息,以 确保与移动台相关联的识别工具被存储在该较高层消息中。
根据本发明的另一个方面,提供了一种方法,用于当未经许可的 移动接入系统中的第一用户从移动台向核心网络请求服务时,确保 防止该第一用户未认证地使用第二用户的身份。该方法包括下列步 骤:在从移动台发送较高层消息之前,向该未经许可的移动接入网 络认证该移动台;由该移动台从该核心网络请求服务,并在该请求 消息中包括该移动台的IMSI;并且由该未经许可的移动接入网络将 该请求消息转发到该核心网络,而不由该未经许可的移动接入网络 检查该消息。该方法还包括下列步骤:通过该未经许可的移动接入 网络,将认证请求从该核心网络发送到该移动台;响应于该认证请 求由该移动台创建认证响应并通过该未经许可的移动接入网络将该 认证响应转发到该核心网络;由该核心网络校验该认证响应;并将 密码模式命令消息发送到该未经许可的移动接入网络。该方法还包 括下列步骤:在从该核心网络到该移动台的密码模式命令消息中包 括认证信息,并由该未经许可的移动接入网络,在该密码模式命令 消息中转发到该移动台;并响应于该命令消息,由该移动台包括用 该认证信息和密钥加密的代码,并将该响应转发到该未经许可的移 动接入网络。
在本发明的另一个方面中,提供了一种方法,用于当未经许可的 移动接入系统中的第一用户从移动台向核心网络请求服务时,确保 防止该第一用户未认证地使用第二用户的身份。该方法包括下列步 骤:在从移动台发送较高层消息之前,向未经许可的移动接入网络 认证该移动台;由该移动台从该核心网络请求服务,并在该请求消 息中包括该移动台的IMSI;并且通过该未经许可的移动接入网络, 将该请求消息转发到该核心网络,而不通过该未经许可的移动接入 网络检查该消息。该方法还包括下列步骤:通过该未经许可的移动 接入网络,将认证请求从该核心网络发送到移动台;响应于该认证 请求由该移动台创建认证响应并通过该未经许可的移动接入网络将 该认证响应转发到该核心网络;由该核心网络校验该认证响应,并 将密码模式命令消息发送到该未经许可的移动接入网络;由该未经 许可的移动接入网络将该密码模式命令消息转发到该移动台;并由 该移动台将密钥传送到IPsec或者TLS层,从而确保用该密钥或者 从该密钥导出的密钥保护从该移动台发送的所有其它消息。
在本发明的另一个方面中,提供了一种在实现未经许可的移动接 入网络的配置中的方法,用于当未经许可的移动接入系统中的第一 用户从移动台向核心网络请求服务时,确保防止该第一用户未认证 地使用第二用户的身份。该方法包括下列步骤:在从移动台发送较 高层消息之前,向未经许可的移动接入网络认证该移动台;由该移 动台从该核心网络请求服务,并在该请求消息中包括该移动台的 IMSI。该方法还包括下列步骤:响应于来自该核心网络的认证请求, 由该移动台创建认证响应,并通过该未经许可的移动接入网络,将 该认证响应转发到该核心网络;并由该移动台将密钥传送到IPsec 或者TLS层,从而确保用该密钥或者从该密钥导出的密钥保护从该 移动台发送的所有其它消息。
附图说明
附图与用于解释本发明之原理的说明书一同说明了本发明的实 施方式,附图提供了本发明的进一步理解,并被结合在说明书中且 组成了本说明书的一部分。
在附图中:
图1说明了具有有效订制的用户如何能够执行中间人攻击;
图2说明了实现在其中实现了本发明的未经许可的移动接入体 系结构的系统200的部件;
图3说明了在本发明的实施方式中实现的防止由有效用户进行 中间人攻击的步骤;
图4说明了在另一个实施方式中实现的用于防止未经许可的移 动接入配置中的中间人攻击的步骤;
图5说明了在又一个实施方式中实现的用于防止未经许可的移 动接入配置中的中间人攻击的步骤。
具体实施方式
本发明涉及在实现未经许可的移动接入体系结构的系统中的移 动台的认证,从而防止“中间人”攻击。该未经许可的移动接入配 置,通过为某些全球移动通信系统/通用分组无线业务(GSM/GPRS) 协议建立从在宽带互联网协议(IP)上的核心网络到用户设备的通 道,并通过随后将它们在用户设备内部的未经许可的无线链接上进 行中继,扩展了GSM/GPRS移动服务。未经许可的移动接入被设计为 对传统GSM/GPRS无线覆盖的补充,并用于增强用户设备覆盖,增加 网络容量并潜在地降低成本。未经许可的移动接入配置中的未经许 可的移动接入网络被设计为与GSM/GPRS无线接入网络共存,并通过 标准GSM基站子系统(GSM BSS)使用的相同的接口,使GSM核心网 络与移动台互相连接。因此,该未经许可的移动接入网络对GSM/GPRS 核心网络看来象一个GSM BSS,并且也象GSM BSS这样管理及运行。 应该注意到,未经许可的移动接入可以取代GSM协议以UMTS协议方 式使用。在这种情况下,该未经许可的移动接入网络对核心网络看 来是无线接入网络。
图2说明了实现在其中实现了本发明的未经许可的移动接入体 系结构的系统200的部件。系统200包括三个主要部件:移动台202、 未经许可的移动接入网络204和核心网络206。对本领域的技术人员 来说很明显,移动台202可以包括电话、膝上型电脑、PDA或者任何 由未经许可的移动接入配置中的用户使用的其它设备。移动台202 存在于用户设备201上,而且移动台202包括移动终端208和用户 识别模块(SIM)210。未经许可的移动接入网络204提供等同于 GSM/GPRS基站控制器的功能,其中未经许可的移动接入网络204将 移动台202连接到核心网络206,并通过用于电路和交换语音服务的 标准GSM A-接口和用于分组数据服务的标准GPRS Gb-接口与移动台 202通信。核心网络206实现交易控制和用户服务的原理要素。宽带 IP网络205提供用户设备201与未经许可的移动接入网络204之间 的连接性,而接入点203提供到移动台202的未经许可的无线链接。 通过在用户设备201中的接入点203,IP传输网络从未经许可的移动 接入网络204扩展到移动台202,从而能够在未经许可的移动接入网 络204和移动台202之间定义单一的接口,Ut。
特别地,在移动台202中,SIM 210是提供个人移动性的智能卡, 以致用户可以在SIM 210插入任何终端时接入订制的服务。因此, 当SIM 210插入终端时,该用户能够在该终端接收呼叫,从该终端 进行呼叫和接收其它订制的服务。国际移动设备身份(IMEI)唯一 地识别移动台202,以及在其它信息之中,SIM 210还包括了用于向 系统识别用户的国际移动用户身份(IMSI),和用于认证的密钥Kc。 IMEI和IMSI是互相独立的,从而允许个人移动性。如本领域的普通 技术人员所熟知的,SIM 210可以通过密码或者个人身份号码保护免 除未认证的使用。
在该未经许可的移动接入体系结构中,移动台202提供了双重模 式,即许可的和未经许可的无线通信,以及在它们之间切换的能力。 提供了接入模式开关以在GSM模式和未经许可的移动接入模式之间 进行切换。移动台202支持到接入点203的IP接口,从支持IP网 络从未经许可的移动接入网络204扩展到移动台202。接入点203 最好不提供任何未经许可的移动接入专用网关功能。因此,可以将 任何标准接入点用于通过宽带IP网络205使移动台202连接到未经 许可的移动接入网络204。接入点203提供对于移动台202的未经许 可的无线链接,而且它通过宽带IP网络205连接到未经许可的移动 接入网络204。
如上所示,未经许可的移动接入网络204提供等同于GSM/GRPS 基站控制器的功能。它通过IP传输网络连接到用户设备201,并通 过按入点203连接到移动台202。未经许可的移动接入网络204与移 动台203保持端到端通信,并向核心网络206中继GSM/GPRS信号。 特别地,当核心网络206中的移动交换中心不使用某些特征时,它 将来自用户设备201的声音映射为PCM声音。
核心网络206包括移动交换中心(MSC)212、归属用户位置寄存 器(HLR)214、访问用户位置寄存器(VLR)216、设备身份寄存器 (EIR)218和认证中心220。MSC 212起到如同PSTN或ISDN的常规 交换节点的作用,并提供处理移动用户的所有功能,比如注册、认 证、位置更新、移交和呼叫路由到漫游用户。MSC 212还提供到比如 PSTN或ISDN的固定网络的连接。HLR 214与MSC 212和VLR 216共 同工作,以提供GSM的呼叫路由和漫游能力。HLR 214包括在相应 GSM网络和基站202的当前位置中注册的每个用户的所有管理信息。 VLR 216包括从HLR 214中选择的管理信息,这是呼叫控制和为当前 位于受VLR 216控制的地理区域中的每个移动台提供订制的服务所 必需的。EIR 218是包括网络上所有有效移动设备列表的数据库,其 中每个移动台由其IMEI识别。认证中心220是受保护的数据库,其 存储了在每个用户的SIM 210卡中存储的密钥的拷贝,其中该密钥 用于无线信道上的认证和加密。
未经许可的移动接入网络204和移动台202之间的Ut接口在IP 传输网络上运行,并中继从公共陆地移动网络(PLMN)核心网络206 到移动台202的GSM/GPRS信令。该Ut接口使GSM移动管理协议和 核心网络206中的在该等级之上的协议能够透明地在移动台202和 MSC 212之间传送。这允许移动台202导出所有GSM服务,就好像它 在GSM BSS中一样。在该未经许可的移动接入体系结构中,由于未 经许可的无线链接表现出与许可的无线链接不同的特性,未经许可 的移动接入无线资源(UMA-RR)协议取代了传统的GSM-RR协议。定 义了传输和复用未经许可的移动接入传输协议(UMA-TP),以在移 动台202和未经许可的移动接入网络204之间的安全通道上传送该 UMA-RR消息。该未经许可的移动接入安全通道使用IP上的SSL/TCP, 并且负责建立该安全通道。该未经许可的移动接入安全通道还负责 管理与标准接入点203的未经许可的无线链接。在该未经许可的移 动接入体系结构中,标准IP技术用于移动台202中,以访问该未经 许可的无线链接。
在接收来自该移动台的任何未经许可的无线资源信令或较高层 消息之前,未经许可的移动接入网络204通过利用诸如密码、授权 证书或SIM卡的既存认证方法,认证移动台202上的用户。移动台 204和未经许可的移动接入网络206之间的信令通信量是加密的并 使用例如IPsec或者传输层安全协议保护其完整性。在用未经许可 的移动接入网络204认证了该用户之后,该用户随后可以被认证到 核心网络206。
图3说明了在本发明的实施方式中实现的防止有效用户的中间 人攻击的步骤。在步骤3010中,该用户连接到未经许可的移动接入 网络204,而未经许可的移动接入网络204认证该用户并建立安全信 道。在步骤3020中,在未经许可的移动接入网络204和移动台202 之间建立了未经许可的无线资源信令。在步骤3030中,该用户用包 括向核心网络206识别该用户的、国际移动用户身份(IMSI)或者 临时移动用户身份(TMSI)的消息,从核心网络206请求服务。在 步骤3040中,未经许可的移动接入网络204将该请求消息转发到核 心网络206,而不检查该请求消息的内容。在步骤3050中,响应于 该请求消息,核心网络206将认证请求发送到移动台202。在步骤 3060中,该用户利用移动台202中的SIM 210创建响应消息。在步 骤3070中,移动台202将该响应消息发送到未经许可的移动接入网 络204,以及未经许可的移动接入网络204将该响应消息转发到核心 网络206,而不检查该响应消息的内容。在步骤3080中,核心网络 206校验该响应,并将BSSMAP密码模式命令消息发送到未经许可的 移动接入网络204。由于未经许可的移动接入网络204不使用由密码 模式命令消息中的核心网络206提供的算法或密钥,未经许可的移 动接入网络204简单地将允许的算法列表转发到该用户。在步骤 3090中,在完成了该密码模式设置之后,未经许可的移动接入网络 204检查从移动台202发送到核心网络206的移动管理消息。该移动 管理消息包括CM服务请求、CM重建请求、身份响应、IMSI分离指 示、位置更新请求和附属请求消息。在步骤3100中,未经许可的移 动接入网络204,利用发送移动管理消息的移动台202的IMSI,从 移动台202和未经许可的移动接入网络204之间的先前的认证步骤, 映射移动台202的身份。如果在移动台202和未经许可的移动接入 网络204之间的认证步骤期间不使用该IMSI,则未经许可的移动接 入网络204可以从HLR取回该用户的简档并从该HLR获得该IMSI。 在步骤3010中,如果该移动管理消息包括移动身份字段,并且如果 该移动身份字段不包括先前用未经许可的移动接入网络204认证的 移动台202的IMSI,则未经许可的移动接入网络204将来自认证过 程的移动台202的IMSI复制到该移动身份字段中。这确保了用户不 能够使用从移动台202发送到核心网络204的较高级消息中的第二 个未被怀疑的用户的IMSI或TMSI。
图4说明了在另一个实施方式中实现的用于防止未经许可的移 动接入配置中的中间人攻击的步骤。在步骤4010中,该用户连接到 未经许可的移动接入网络204,而未经许可的移动接入网络204认证 该用户并建立安全信道。在步骤4020中,未经许可的移动接入网络 204和移动台202建立未经许可的无线资源信令。在步骤4030中, 该用户用包括向核心网络206识别该用户的国际移动用户身份 (IMSI)或者临时移动用户身份(TMSI)的消息,从核心网络206 请求服务。在步骤4040中,未经许可的移动接入网络202将该请求 消息转发到核心网络206,而不检查该请求消息的内容。在步骤4050 中,响应于该请求消息,核心网络206将询问发送到移动台202。在 步骤4060中,移动台202计算加密密钥并利用SIM 210创建响应消 息。在步骤4070中,移动台202将该响应消息发送到未经许可的移 动接入网络204。在步骤4080中,未经许可的移动接入网络204将 该响应消息转发到核心网络206,而不检查该响应消息的内容。在步 骤4090中,核心网络206校验该响应并将BSSMAP密码模式命令消 息发送到未经许可的移动接入网络204。在步骤4100中,未经许可 的移动接入网络204在将该密码模式命令消息转发到该用户之前, 在该密码模式命令消息中包括随机选择的询问,以及可能的附加信 息。在步骤4110中,响应于在步骤4100中来自未经许可的移动接 入网络204的询问,移动台202包括利用该加密密钥询问而计算的 消息认证代码(MAC),以及来自未经许可的移动接入网络204的消 息中的可能的附加信息。由于该加密密钥不是通过无线链接发送的, 本实施方式通过确保每个用户必须知道与核心网络206的询问相关 联的加密密钥,防止中间人攻击。在选择性的实施方式中,该MAC 可以包括移动台的身份,即与该移动台相关联的IMSI,和来自步骤 4010中在移动台202和未经许可的移动接入网络204之间的认证的 未经许可的移动接入网络204的身份。在另一个选择性的实施方式 中,该MAC可以包括涉及在移动台202和未经许可的移动接入网络 204之间建立的安全通道(IPsec或TLS)的消息。
图5说明了在另一个实施方式中实现的用于防止未经许可的移 动接入配置中的中间人攻击的步骤。在步骤5010中,该用户连接到 未经许可的移动接入网络204,而未经许可的移动接入网络204认证 该用户并建立安全信道。在步骤5020中,在移动台202和未经许可 的移动接入网络204之间建立未经许可的无线资源信令。在步骤 5030中,该用户用包括向核心网络206识别该用户的国际移动用户 身份(IMSI)或者临时移动用户身份(TMSI)的消息请求服务。在 步骤5040中,未经许可的移动接入网络202将该请求消息转发到核 心网络206,而不检查该请求消息的内容。在步骤5050中,响应于 该请求消息,核心网络206将认证请求发送到该移动台。在步骤5060 中,该用户利用移动台202中的SIM 210和密钥Kc创建响应消息。 在步骤5070中,移动台202将该响应消息发送到未经许可的移动接 入网络204。在步骤5080中,未经许可的移动接入网络204将该响 应消息转发到核心网络206,而不检查该响应消息的内容。在步骤 5090中,核心网络206校验该响应并将BSSMAP密码模式命令消息发 送到未经许可的移动接入网络204。在步骤5100中,未经许可的移 动接入网络204将该密码模式命令消息转发到该用户。在步骤5110 中,移动台202将该密钥Kc传送到IPsec或者TLS层。通过将密钥 传送到IPsec或者TLS层,本实施方式确保了用该密钥Kc或者从密 钥Kc导出的密钥保护所有其它消息,并由于一个用户不能够通过伪 装为BSS而获得另一个用户的密钥,防止了中间人攻击。
先前的说明专注于本发明特定的实施方式。然而,很明显,可以 对所描述的实施方式进行其它的达到其部分或全部优势的变形和修 改。因此,所附权利要求书的目标是将所有这些变形和修改覆盖在 本发明的真正的精神和范围内。
| 标题 | 发布/更新时间 | 阅读量 |
|---|---|---|
| 一种多授权中心基于属性的可搜索加密方法 | 2020-05-11 | 161 |
| 可信授权方法、系统、可信安全管理中心和服务器 | 2020-05-13 | 674 |
| 生成公钥证书的方法、证书授权中心和介质 | 2020-05-11 | 168 |
| 一种多授权中心的加密方法 | 2020-05-11 | 546 |
| 一种基于属性保护的多授权中心加密方法 | 2020-05-12 | 42 |
| 连接的对象的去中心化的授权的创建和管理的系统和方法 | 2020-05-12 | 472 |
| 呼叫中心线下业务确认及授权的方法 | 2020-05-11 | 809 |
| 一种多授权中心的加密方法 | 2020-05-11 | 40 |
| 向授权中心系统注册设备的技术 | 2020-05-11 | 362 |
| 远程授权方法及系统 | 2020-05-14 | 951 |
高效检索全球专利专利汇是专利免费检索,专利查询,专利分析-国家发明专利查询检索分析平台,是提供专利分析,专利查询,专利检索等数据服务功能的知识产权数据服务商。
我们的产品包含105个国家的1.26亿组数据,免费查、免费专利分析。
专利汇分析报告产品可以对行业情报数据进行梳理分析,涉及维度包括行业专利基本状况分析、地域分析、技术分析、发明人分析、申请人分析、专利权人分析、失效分析、核心专利分析、法律分析、研发重点分析、企业专利处境分析、技术处境分析、专利寿命分析、企业定位分析、引证分析等超过60个分析角度,系统通过AI智能系统对图表进行解读,只需1分钟,一键生成行业专利分析报告。
