专利名称:一种绑定认证的方法、系统和装置的制作方法
技术领域:
本发明实施例涉及通信技术领域,特别涉及一种绑定认证的方法、系统 和装置。
背景技术:
在无线网络通信系统中,随着因特网的发展以及各种无线业务的广泛应 用,用户对于无线网络的带宽、便捷性、成本等方面提出了更高的需求。另 一方面,运营商需要充分地利用现有网络的资源,扩大容量,减少成本,更 好地为用户提供服务。为了充分满足上述需求和网络的发展需求,提出了一种家用基站(Home NodeB)。家用基站是一种家用的微型基站,用户可以在家庭、办公场所等热 点覆盖区域布置这种基站,通过因特网接入到移动通信网络,使用户在室内 获得比室外更大的带宽、更可靠的服务质量、且更经济的无线通信服务。家 用基站的引入,解决了无线数据业务中空口资源的瓶颈问题,使得用户可以 享用到高速率、高带宽的网络服务,但应当对请求接入网络的家用基站进行 有效地控制。对于覆盖面积较大的宏基站, 一般采用以下方式进行网络节点的接入控 制。对于网络节点的布置,大多是由运营商事先规划好,并根据规划好的内 容完成网络布置。因此宏基站接入的时间、地点以及接入时的配置对于当前 的无线网络来说都是已知的,在宏基站请求接入时,只需要根据网络规划的 数据,配置相应的接入参数,便可完成宏基站的接入,无需专门的控制机制。但家用基站一般在用户向运营商申请业务时,运营商将设备发放到用户 手中,自行安装使用。因此当家用基站加电运行,与运营商核心网络建立物 理链接后,运营商需要对家用基站进行接入控制,对家用基站进行接入控制 的首要步骤就是身份认证。现有技术提供的 一种对家用基站的身份进行认证的方法是利用SIM (Subscriber Identity Module,用户标识模块)或USIM ( Universal Mobile Telecommunications System Subscriber Identity Module,通用移动通"f言系统用户 才示i只才莫块)卡,执4亍SIM或AKA (Authentication and Key Agreement, iU正和 密钥协商)iU正,其中SIM卡和USIM卡统称(X) SIM卡。具体为在用户的 (X) SIM卡内和在HLR ( Home Location Register,用户归属位置寄存器)中 的AuC (Authentication Centre,鉴权中心)内有一个一致的Ki,每次用不同 的随机数在网络侧生成XRES (ExpectationResponse,期望响应),在用户 侧生成RES (Response,响应),以便验证双方的Ki是否一致。将保存在(X) SIM卡中的IMSI (International Mobile Subscriber Identity,国际移动用户标识) 发给认证网元。在实现本发明的过程中,发明人发现现有技术至少存在以下缺点现有 技术对家庭基站的认证其实是对设备内所插入的(X) SIM卡身份的认证,而 不是对设备本身的认证。由于(X)SIM卡的可移动性,因此存在这样的问题 合法的卡用在非法的不被运营商信任的设备上,接入运营商核心网,进而盗 取业务或发动攻击。发明内容本发明实施例提供一种绑定认证的方法、系统和装置,以实现对用户侧 网络接入设备和该用户侧网络接入设备中插入的用户标识卡进行绑定认证。 为达到上述目的,本发明实施例一方面提供一种绑定认证的方法,包括备发送的所述用户侧网络接入设备的标识;将所述网络侧设备发送的所述用户侧网络接入设备的标识与所述用户側 网络接入设备发送的所述用户侧网络接入设备的标识进行对比;当所述网络侧设备发送的所述用户侧网络接入设备的标识与所述用户侧 网络接入设备发送的所述用户側网络接入设备的标识一致时,确定所述用户.仗會T顿八的用尸称识卡绑定的合 法设备。另一方面,本发明实施例还才是供一种网络系统,包括 用户侧网络接入设备,用于发送所述用户侧网绍4妄入设备的标识; 网络侧设备,用于发送所述用户侧网络接入设备的标识; 认证网元,用于接收所述用户侧网络接入设备发送的用户侧网络接入设 备的标识和所述网络侧设备发送的用户侧网络接入设备的标识,当所述网络 侧设备发送的所述用户侧网络接入设备的标识与所述用户侧网络接入设备发 送的所述用户侧网络接入设备的标识一致时,确定所述用户侧网络接入设备 是与所述用户侧网络接入设备中插入的用户标识卡绑定的合法设备。 再一方面,本发明实施例还提供一种认证网元,包括 接收模块,用于接收用户侧网络接入设备发送的用户侧网络接入设备的 标识和网络侧设备发送的用户侧网络接入设备的标识;对比模块,用于将所述接收模块接收的所述网络侧设备发送的用户侧网备的标识进行对比;合法性认证模块,用于当所述对比模块确定所述网络侧设备发送的所述络接入设备的标识一致时,确定所述用户侧网络接入设备是与所述用户侧网 络接入设备中插入的用户标识卡绑定的合法设备。再一方面,本发明实施例还提供一种网络设备,包括保存模块,用于保存用户侧网络接入设备的标识和所述用户侧网络接入 设备中插入的用户标识卡的国际移动用户标识IMSI的对应关系列表;标识查找模块,用于根据所述用户标识卡的IMSI在所述保存模块保存的 对应关系列表中查找所述用户侧网络接入设备的标识;发送模块,用于将所述标识查找模块查找到的所述用户侧网络接入设备 的标识发送给认证网元。再一方面,本发明实施例还提供一种网络设备,包括9于获取用户侧网络接入设备的标识; 发送模块,用于向认证网元发送所述获取模块获取的用户侧网络接入设 备的标识。再一方面,本发明实施例还提供一种绑定认证的方法,包括的私钥签名后的IMSI数据,所述IMSI数据包括所述用户侧网络接入设备中 插入的用户标识卡的IMSI和签名后的IMSI;利用所述用户侧网络接入设备数字证书的公钥对所述IMSI数据的签名进 行验证,在验证通过后,确定所述用户侧网络接入设备是与所述用户侧网络 接入设备中插入的用户标识卡绑定的合法设备。与现有技术相比,本发明实施例具有以下优点通过本发明实施例,当 所述网络侧设备发送的所述用户侧网络接入设备的标识与所述用户侧网络接 入设备发送的所述用户侧网络接入设备的标识一致时,认证网元确定该用户 侧网络接入设备是与该用户侧网络接入设备中插入的用户标识卡绑定的合法 设备。本发明实施例不仅可以对用户标识卡的身份进行认证,还可以对用户 标识卡所插入的用户侧网络接入设备的合法性进行认证,实现了对用户侧网 络接入设备和该用户侧网络接入设备中插入的用户标识卡的绑定认证,使得 用户侧网络接入设备中插入的用户标识卡不能被随意更换。
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所 需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发 明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前 提下,还可以才艮据这些附图获得其他的附图。图1为本发明实施例绑定认i正的方法的流程图;图2为本发明绑定认证的方法实施例一的流程图;图3为本发明绑定i人证的方法实施例二的流程图;图4为本发明绑定认证的方法实施例三的流程图;图5为本发明绑定认证的方法实施例四的流程图;图6为本发明绑定认证的方法实施例五的流程图;图7为本发明实施例绑定认证的系统的结构图;图8为本发明实施例i/、i正网元的结构图;图9为本发明实施例网络侧设备的一种结构图;图IO为本发明实施例网络侧设备的另一种结构图;图11为本发明实施例用户侧网络接入设备的一种结构图;图12为本发明实施例用户侧网络接入设备的另一种结构图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行 清楚、完整地描述,显然,所描述的实施例仅仅是本发明的一部分实施例, 而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有 做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。本发明实施例提供一种绑定认证的方法,对用户侧网络接入设备和该用 户侧网络接入设备中插入的用户标识卡进行绑定认证,使得用户侧网络接入 设备中插入的用户标识卡不能被随意更换。本发明实施例中,绑定认证的执 行主体为认证网元,Y旦是本发明实施例并不局限于此,绑定认证的执行主体 还可以为HLR等运营商核心网的网络侧功能实体。如图l所示,为本发明实施例绑定认证的方法的流程图,具体包括网络接入设备发送的所述用户侧网络接入设备的标识。本发明实施例中,网 络侧设备保存用户侧网络接入设备的标识和用户侧网络接入设备中插入的用 户标识卡的IMSI的对应关系列表。在网络侧设备发送用户侧网络接入设备的标识之前,网络侧设备根据用 户侧网络接入设备发送的该用户侧网络接入设备中插入的用户标识卡的IMSI 在网络侧设备保存的对应关系列表中查找用户侧网络接入设备的标识,然后 网络侧设备将用户侧网络接入设备的标识发送给认证网元。在本发明实施例的 一种实现方式中,用户侧网络4妾入设备中的用户标识卡利用永久性共享密钥Ki加密该用户侧网络接入设备的标识,并将加密后的 用户侧网络接入设备的标识和该用户标识卡的IMSI发送给用户侧网络接入设 备,由用户侧网^#入设备将利用永久性共享密钥Ki加密的用户侧网^4矣入 设备的标识发送给认证网元。卡的IMSI,查找永久性共享密钥Ki和所述IMSI对应的用户侧网络4妻入设备 的标识,并利用所述永久性共享密钥加密所述IMSI对应的用户侧网络接入设 备的标识,然后网络侧设备将利用永久性共享密钥Ki加密的用户侧网络接入 设备的标识发送给认证网元。优选地,在用户侧网络接入设备中的用户标识卡利用永久性共享密钥加 密该用户侧网络接入设备的标识之前,用户侧网络接入设备中的用户标识卡 还可以利用公钥对所述用户侧网络接入设备利用私钥签名后的用户侧网络接 入设备的标识进行-睑证,验证通过后,获取该用户侧网络接入设备的标识, 所述7^钥和所述私钥--对应。在本发明实施例的另 一种实现方式中,网络侧设备的鉴权中心利用加密 密钥对用户侧网络接入设备的标识进行加密,然后网络侧设备将所述利用加 密密钥加密的用户侧网络接入设备的标识发送给认证网元,该加密密钥携带 在根据AKA计算的认证向量组中。该认证网元保存所述用加密密钥加密的用 户侧网络接入设备的标识,并向用户侧网络接入设备转发i人证向量组中的随 机数和AUTN (Authentication Token,认证令牌)。由该用户侧网络接入设备 根据认证向量组中的随机数和AUTN计算加密密钥,并利用该加密密钥加密 该用户侧网络接入设备的标识。步骤S102,将网络侧设备发送的用户侧网络接入设备的标识与用户侧网 络接入设备发送的该用户侧网络接入设备的标识进行对比。具体可以为认证网元将网络侧设备发送的利用永久性共享密钥加密的 用户侧网络接入设备的标识与用户侧网络接入设备发送的利用永久性共享密 钥加密的用户侧网络接入设备的标识进行对比;或者,12认证网元将网络侧设备发送的利用加密密钥加密的用户侧网络接入设备 的标识与用户側网络接入设备发送的利用加密密钥加密的用户侧网络接入设 备的标识进〗于y于比。步骤S103,当网络侧设备发送的用户侧网络接入设备的标识与用户侧网 络接入设备发送的该用户侧网络接入设备的标识一致时,确定该用户侧网络 接入设备是与该用户侧网络接入设备中插入的用户标识卡绑定的合法设备。接入设备的EI (Equipment Identity,设备标识码)或该用户侧网络接入设备 的MAC (MediaAccess Control,媒体接入控制)地址,但本发明实施例并不 局限于此,只要用户侧网络接入设备的标识可以唯一标识该用户侧网络接入 设备即可。在本发明实施例中,当网络侧设备发送的用户侧网络接入设备的标识与 用户侧网络接入设备发送的该用户侧网络接入设备的标识一致时,还可以进 一步判断所述用户侧网络接入设备发送的RES和所述网络侧设备发送的认证 向量组中的XRES是否 一致,当所述用户侧网络接入设备发送的RES和所述 网络侧设备发送的认证向量组中的XRES —致时,确定该用户标识卡的身份 合法。该用户侧网络接入设备发送的RES是用户侧网络才妄入设备根据认证网元发送的认证向量组中的随机数和永久性共享密钥计算的。本发明实施例中的用户标识卡可以为SIM卡或USIM卡等移动卡。上述绑定认证的方法,不仅可以对用户标识卡的身份进行认证,还可以对用户标识卡所插入的用户侧网络接入设备的合法性进行认证,实现了对用幼j3c會,"H用尸,j网玄务"j安八Tx:會t顿八曰3用尸孑ti 证,使得用户侧网络接入设备中插入的用户标识卡不能被随意更换。本发明实施例以网络侧设备为HLR,用户侧网络接入设备为家用基站为例进行说明,但本发明实施例并不局限于此,该网络侧设备和用户側网络接入设备还可以为其他设备。本发明实施例将家用基站的EI和(X) SIM卡绑 定,也可以将家用基站的MAC (MediaAccess Control,々某体接入控制)地址等信息与(X) SIM卡绑定。如图2所示,为本发明绑定认证的方法实施例一的流程图,实施例一中, HLR上存储有家用基站的EI与IMSI (International Mobile Subscriber Identity, 国际移动用户识别码)的对应关系,该对应关系可以以列表(或其他数据结 构)的形式体现,该对应关系列表是用户在向运营商注册业务时,运营商将 家用基站和(X) SIM卡发放给用户时生成的。实施例一对家用基站与认证网 元建立物理链路后的认证方法进行介绍,具体包括步骤S201 ,家用基站向认证网元发送家用基站的EI和该家用基站中插入 的(X) SIM卡的IMSI,向认证网元发起绑定认证申请。步骤S202,认证网元将IMSI转发给HLR。步骤S203, HLR根据IMSI计算认证向量组,并根据该IMSI获取该HLR 保存的家用基站的EI,将该家用基站的EI和认证向量组一起发送给认证网元。步骤S204,认证网元对比家用基站发送的该家用基站的EI和HLR发送 的该家用基站的EI是否一致。如果一致,则该家用基站是与(X)SIM卡绑 定的合法设备,但还需对(X) SIM卡的身份继续进行认证,执行步骤S205; 如果从家用基站处接收到的该家用基站的EI和从HLR处接收到的该家用基 站的EI不一致,则该家用基站不是与(X) SIM卡绑定的合法设备,断开与 该家用基站的链接。步骤S205,认证网元将认证向量组中的随机数和AUTN发送给家用基站。步骤S206,家用基站在SIM卡中根据Ki (永久性共享密钥)和接收的 随机数计算RES。步骤S207,家用基站将RES返回给认证网元。步骤S208,认证网元对比HLR发送的认证向量组中的XRES和家用基站 发送的RES是否一致。如果XRES和RES—致,则确定(X) SIM卡是合法 的。上述绑定认证的方法,当HLR发送的家用基站的EI与家用基站发送的 该家用基站的EI —致时,认证网元确定该家用基站是与该家用基站中插入的 (X) SIM卡绑定的合法设备。在进一步确定HLR发送的认证向量组中的14XRES和家用基站发送的RES —致之后,该认证网元确定(X) SIM卡的身份 合法。不仅实现了对(X) SIM卡的身份进行认证,还进一步对(X) SIM卡 所插入的家用基站的合法性进行认证,从而实现了对家用基站和该家用基站 中插入的用户标识卡的绑定认证,使得家用基站中插入的(X)SIM卡不能被 随意更换。
如图3所示,为本发明绑定认证的方法实施例二的流程图。实施例二中, HLR上存储有家用基站的EI与IMSI的对应关系列表,该对应关系列表是用 户在向运营商注册业务时,运营商将家用基站和(X) SIM卡发放给用户时生 成的。实施例二还增加了一个公私钥对,用私钥对家用基站的EI进行签名, 将此签名数据写入家用基站,同时将公钥写入(X) SIM卡,私钥可由运营商 保管。
在家用基站申请认证前,首先与(X) SIM卡进行一次运算,由(X) SIM 卡验证家用基站的EI的签名,然后将明文的EI用Ki加密后输出给家用基站, 进行绑定认证时,家用基站发送这个加密的序列号和明文的IMSI给认证网元。
具体包括
步骤S301,家用基站将用私钥加密后的EI输入到(X) SIM卡。
步骤S302, (X) SIM卡用公钥对加密后的EI进行验证,获取该家用基
站的EI,然后用Ki加密该EI。
步骤S303, (X) SIM卡将加密后的EI和IMSI—起输出给家用基站。 步骤S304,家用基站将Ki加密后的该家用基站的EI和IMSI发送到认证网元。
步骤S305,认证网元将家用基站发送的IMSI转发给HLR。 步骤S306, HLR根据IMSI查找Ki和用户开户时对应的家用基站的EI 的记录,用Ki加密家用基站的EI。
步骤S307, HLR将Ki加密的家用基站的EI和认i正向量组返回给认证网元。
步骤S308,认证网元对比家用基站发送的该家用基站的EI和HLR发送 的家用基站的EI。如果家用基站发送的该家用基站的EI和HLR发送的家用基站的EI—致,则该家用基站是与(X) SIM卡绑定的合法设备,但还需继 续认证(X) SIM卡的身份。如果家用基站发送的该家用基站的EI和HLR发 送的家用基站的EI不一致,则该家用基站不是与(X) SIM卡绑定的合法设 备
步骤S309,认证网元将认证向量组中的随机数和AUTN发送给家用基站。 步骤S310,家用基站在(X) SIM卡中用Ki和随机数计算出RES。 步骤S311, (X) SIM卡将RES返回给认证网元。
步骤S312,认证网元对比RES和HLR发送的认证向量组中的XRES是 否一致。如果RES和XRES—致,则确定(X) SIM卡的身份是合法的。
实施例二中,家用基站的身份难以伪造,即使已经知道一个合法的家用 基站的EI和该家用基站中插入的(X) SIM卡的IMSI,如果没有家用基站利 用私钥对EI的签名,也不能通过对设备身份合法性的认证,只有家用基站和 该家用基站中插入的(X )SIM卡一起才能完成对家用基站身份合法性的认证。 从而实现了对家用基站和该家用基站中插入的用户标识卡的绑定认证,使得 家用基站中插入的(X) SIM卡不能被随意更换。当家用基站的用户需要改变 对应的(X)SIM卡时,可以向运营商请求更改HLR上的记录,并不影响(X) SIM卡或设备的再次使用。
如图4所示,为本发明绑定认证的方法实施例三的流程图。实施例三中, HLR上存储有家用基站的EI与IMSI的对应关系列表,该对应关系列表是用 户在向运营商注册业务时,运营商将家用基站和(X) SIM卡发放给用户时生 成的。实施例三是对现有AKA协议的扩展,利用现有的AKA认证机制,增 加一个字段对AKA协议进行扩展,实现了对(X) SIM卡和家用基站进行绑 定认证。实施例三的核心思想是使用AKA协议协商出的CK( Cryptographic Key,加密密钥)来加密EI。认证网元接收HLR下发的用CK加密的家用基 站的EI,和由家用基站发送的用CK加密的该家用基站的EI,并将两者进行 比较,如果一致则说明是合法的(X) SIM卡用在了合法的家用基站上。实施 例三以(X) SIM卡为USIM卡为例进行说明。
具体包括步骤S401,家用基站启动后,通过插入在该家用基站中的USIM,向认 证网元发送IMSI ,与核心网的HLR上的AuC执行AKA机制。
步骤S402,认证网元将IMSI转发给HLR,请求认证向量组。
步骤S403, HLR上的AuC按照AKA算法产生五元认证向量组,同时用 新产生的CK加密该USIM所绑定的家用基站的EI。该家用基站的EI可以由 AuC从HLR中根据IMSI读取。
步骤S404, HLR将AKA五元认证向量组与核心网产生的用CK加密的 家用基站的EI发给认证网元。
步骤S405,认证网元从AKA五元认证向量组中获得CK和IK (Integrity Key,完整性密钥),并保留用CK加密的家用基站的EI,然后将AKA五元 认证向量组中的随机数和AUTN转发给家用基站。
步骤S406,家用基站执行AKA认证,如果家用基站的AKA认证通过, 再从家用基站中读取家用基站的EI,并用该家用基站推算的CK加密该家用 基站的EI。
步骤S407,家用基站将计算出的RES和该家用基站产生的用CK加密的 家用基站的EI发送给认证网元。
步骤S408,认证网元对比家用基站发送的随机数响应RES和AuC发送 的AKA五元认证向量组中的XRES是否一致,当家用基站发送的随机数响应 RES和AuC发送的AKA五元认证向量组中的XRES—致时,确定该家用基 站是合法的设备。再比较AuC发送的用CK加密的家用基站的EI和家用基站 发送的用CK加密的家用基站的EI,如果AuC发送的用CK加密的家用基站 的EI和家用基站发送的用CK加密的家用基站的EI —致,则表明USIM卡插 在了正确的家用基站上,并且该家用基站是合法的设备,没有被冒用。
如果在家用基站的归属环境的策略是发多组的认证向量,由认证网元来 选择其中的一组认证向量,将该认证向量中的随机数和AUTN转发给家用基 站,那么步骤S404中HLR发送IMSI对应的家用基站的EI给认证网元,在 认证网元选定认证向量后,用其中的CK加密家用基站的EI,后面的步骤 S405 步骤S407与上述实施例相同,在步骤S408中认证网元对比认证网元用选定的认证向量中的CK加密后的家用基站的EI和家用基站发送的用该家用 基站推算的CK加密后的该家用基站的EI。
当本发明实施例三用在WLAN ( Wireless Local Area Network,无线局域 网)或其他网络中时,iU正网元应用EAP (Extensible Authentication Protocol, 可扩展认证协议)-AKA认证协议进行身份认证,则认证网元可拆分为接入 网关和AAA ( Authentication Authorization and Accounting,认证、授权和计费) 服务器,AAA服务器与HLR之间釆用Radius接口进行消息交互,交互的消 息用EAP承载。
上述绑定认证的方法,HLR利用CK加密家用基站的EI,并且家用基站 也利用CK对家用基站的EI进行加密,然后认证网元根据HLR发送的用CK 加密的家用基站的EI和家用基站发送的用CK加密的家用基站的EI对该家用 基站的合法性进行认证,实现了对USIM卡插入的家用基站的合法性进行认 证,提供了 一种对家用基站和该家用基站中插入的用户标识卡进行绑定认证 的方法。
本发明实施例除了用在家用基站上,还可以用在手机终端上,实现对手 机终端和(X) SIM卡的绑定认证。
如图5所示,为本发明绑定认证的方法实施例四的流程图。具体包括 步骤S501,家用基站将该家用基站的EI发送到(X) SIM卡。 步骤S502, (X) SIM卡用Ki加密该EI。
步骤S503, (X) SIM卡将加密后的EI和IMSI—起发送给家用基站。 步骤S504,家用基站将Ki加密后的该家用基站的EI和IMSI发送到认证 网元。
步骤S505,认证网元将家用基站发送的IMSI转发给HLR。 步骤S506, HLR根据IMSI查找Ki和用户开户时对应的家用基站的EI 的记录,用Ki加密家用基站的EI。
步骤S507, HLR将Ki加密的家用基站的EI和认证向量组返回给认证网元。
步骤S508,认证网元对比家用基站发送的该家用基站的EI和HLR发送
18的家用基站的EI。如果家用基站发送的该家用基站的EI和HLR发送的家用 基站的EI—致,则该家用基站是与(X) SIM卡绑定的合法设备,但还需继 续认证(X) SIM卡的身份。如果家用基站发送的该家用基站的EI和HLR发 送的家用基站的EI不一致,则该家用基站不是与(X) SIM卡绑定的合法设 备
步骤S509,认证网元将认证向量组中的随机数和AUTN发送给家用基站。 步骤S510,家用基站在(X) SIM卡中用Ki和随机数计算出RES。 步骤S511, (X) SIM卡将RES返回给认证网元。
步骤S512,认证网元对比RES和HLR发送的认证向量组中的XRES是 否一致。如果RES和XRES—致,则确定(X) SIM卡的身份是合法的。
上述绑定认证的方法,家用基站和HLR分别用Ki加密该家用基站的EI, 在认证网元对比家用基站发送的该家用基站的EI和HLR发送的家用基站的 EI —致之后,认证网元确定该家用基站是与(X) SIM卡绑定的合法设备, 从而实现了对(X) SIM卡插入的家用基站的合法性进行认证,提供了一种对 家用基站和该家用基站中插入的用户标识卡进行绑定认证的方法。
如图6所示,为本发明绑定认证的方法实施例五的流程图。实施例五中, 家用基站预先配置数字证书,并且HLR已经保存有IMSI与家用基站数字证 书的公钥的对应关系。家用基站在配置数字证书情况下,用家用基站数字证 书的私钥对IMSI进行签名,并将签名后的IMSI数据发送给认证网元。具体 包括
步骤S601,家用基站向认证网元发送使用该家用基站数字证书的私钥签 名的IMSI数据,发起绑定认证请求,该IMSI数据包括IMSI,和用数字证书 私钥签名后的IMSI。
步骤S602,认证网元将接收到的IMSI数据转发给HLR,请求-验证该IMSI
数据的签名。
步骤S603, HLR根据IMSI检索与该IMSI对应的家用基站数字证书的公 钥,用检索到的公钥验证IMSI数据的签名;
步骤S604, HLR将IMSI数据的签名的验证结果发送给认证网元。其中,对IMSI数据的签名进行验证可以由HLR执行,也可以在HLR检 索到家用基站数字证书的公钥后,将公钥返回给认证网元,由认证网元对IMSI 数据的签名进行验证。具体可以为认证网元将IMSI转发给HLR,向HLR 请求与该IMSI对应的家用基站数字证书的公钥;在HLR根据IMSI检索到家 用基站数字证书的公钥之后,HLR将该家用基站数字证书的公钥发送给认证 网元;认证网元利用接收到的公钥对IMSI数据的签名进行-险证。
上述绑定认证的方法,认证网元接收家用基站发送的利用该家用基站数 字证书的私钥签名后的IMSI数据,利用该家用基站数字证书的公钥对IMSI 数据的签名进行验证,在验证通过后,确定该家用基站是与(X)SIM卡绑定 的合法设备,实现了对(X) SIM卡插入的家用基站的合法性进行认证,提供 了 一种对家用基站和该家用基站中插入的用户标识卡进行绑定认证的方法。 如图7所示,为本发明实施例绑定认证的系统的结构图,包括 用户侧网络接入设备71 ,用于发送用户侧网络接入设备71的标识; 网络侧设备72,用于发送用户侧网络接入设备71的标识; 认证网元73,用于接收用户侧网络接入设备71发送的用户侧网络接入设 备71的标识和网络侧设备72发送的用户侧网^#入设备71的标识,当网络
送的用户侧网络接入设备71的标识一致时,确定用户侧网络接入设备71是 与用户侧网络接入设备71中插入的用户标识卡绑定的合法设备,并且该用户 标识卡的身份合法。
其中,网络侧设备72的类型包括归属位置寄存器HLR,用户侧网络接入 设备71的类型包括家用基站。
上述绑定iU正的系统,i人i正网元73对用户标识卡所插入的用户侧网络才妻 入设备71的合法性进行认证,实现了对用户侧网络接入设备71和该用户侧 网络接入设备71中插入的用户标识卡的绑定认证,使得用户侧网络接入设备 71中插入的用户标识卡不能被随意更换。
如图8所示,为本发明实施例认证网元的结构图,包括
接收模块731,用于接收用户侧网络接入设备71发送的用户侧网络接入设备71的标识和网络侧设备72发送的用户侧网络接入设备71的标识。
对比模块732,用于将接收模块731接收的网络侧设备72发送的用户侧 网络接入设备71的标识与用户侧网络接入设备71发送的用户侧网络接入设 备71的标识进4亍对比。
合法性认证模块733 ,用于当对比模块732确定网络侧设备72发送的用 户侧网^4妄入设备71的标识与用户侧网络接入设备71发送的用户侧网^4妄 入设备71的标识一致时,确定用户侧网络接入设备71是与用户侧网络接入 设备71中插入的用户标识卡绑定的合法设备。
其中,对比模块732具体为加密对比模块,用于将网络侧设备72发送的 利用永久性共享密钥或加密密钥加密的用户侧网络接入设备71的标识与用户 侧网络接入设备71发送的利用永久性共享密钥或加密密钥加密的用户侧网络 接入设备71的标识进4于对比。
上述认证网元,合法性认证模块733根据接收模块731接收的用户侧网 络接入设备71发送的用户侧网络接入设备71的标识和网络侧设备72发送的 用户侧网络接入设备71的标识,对用户标识卡所插入的用户侧网络接入设备 71的合法性进行认证,从而实现了对用户侧网络接入设备71和该用户侧网络 接入设备71中插入的用户标识卡的绑定认证。
如图9所示,为本发明实施例网络侧设备的结构图,包括
保存模块721,用于保存用户侧网络接入设备71的标识和用户侧网络接 入设备71中插入的用户标识卡的IMSI的对应关系列表;
标识查找模块722,用于根据用户标识卡的IMSI在保存模块721保存的 对应关系列表中查找用户侧网络接入设备71的标识;
发送模块723,用于将标识查找模块722查找到的用户侧网络接入设备 71的标识发送给认i正网元73。
在本发明的另一实施例中,如图10所示,该网络侧设备还可以包括
加密模块724,用于利用加密密钥或永久性共享密钥加密所述用户侧网络 才妾入^殳备的标识。
上述网络侧设备,保存模块721保存用户侧网络接入设备71的标识和用
21户侧网^#入设备71中插入的用户标识卡的IMSI的对应关系列表,发送模 块723将标识查找模块722查找到的用户侧网络接入设备71的标识发送给认 证网元73,从而使认证网元73可以对用户侧网络接入设备71和该用户侧网 络接入设备71中插入的用户标识卡进行绑定i^证。
如图ll所示,为本发明实施例用户侧网络接入设备的结构图,包括 标识获^Mt块711,用于获取用户侧网络接入设备71的标识; 发送模块712,用于向认证网元发送标识获取模块711获取的用户侧网络 接入设备的标识。
在本发明的另一实施例中,如图12所示,该用户侧网络接入设备71还 可以包括
标识加密模块713,用于利用加密密钥或永久性共享密钥加密标识获取模 块711获取的用户侧网络接入设备的标识。
验证模块714,用于利用公钥验证用户侧网络接入设备71利用私钥签名 后的用户侧网络接入设备71的标识,所述公钥和所述私钥——对应,在验证 通过后,由标识获取模块711获取用户侧网络接入设备71的标识。
上述用户侧网络接入设备,发送模块712向认证网元73发送标识获取模 块711获取的用户侧网络接入设备71的标识,由认证网元73对用户侧网络 接入设备71和该用户侧网络接入设备71中插入的用户标识卡进行绑定认证, 使得用户侧网^#入设备71中插入的用户标识卡不能被随意更换。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发 明可以通过硬件实现,也可以可借助软件加必要的通用^^更件平台的方式来实 现基于这样的理解,本发明的技术方案可以以软件产品的形式体现出来,该 软件产品可以存储在一个非易失性存储介质(可以是CD-ROM, U盘,移动 硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机, 服务器,或者网络设备等)执行本发明各个实施例所述的方法。
本领域技术人员可以理解附图只是一个优选实施例的示意图,附图中的 模块或流程并不一定是实施本发明所必须的。
本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一
个或多个装置中。上述实施例的模块可以合并为一个模块,也可以进一步拆
分成多个子模块。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。 以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此,
任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
权利要求
1、一种绑定认证的方法,其特征在于,包括接收网络侧设备发送的用户侧网络接入设备的标识和用户侧网络接入设备发送的所述用户侧网络接入设备的标识;将所述网络侧设备发送的所述用户侧网络接入设备的标识与所述用户侧网络接入设备发送的所述用户侧网络接入设备的标识进行对比;当所述网络侧设备发送的所述用户侧网络接入设备的标识与所述用户侧网络接入设备发送的所述用户侧网络接入设备的标识一致时,确定所述用户侧网络接入设备是与所述用户侧网络接入设备中插入的用户标识卡绑定的合法设备。
2、 如权利要求1所述绑定认证的方法,其特征在于,所述网络侧设备保 存所述用户侧网络接入设备的标识和所述用户侧网络接入设备中插入的用户 标识卡的国际移动用户标识IMSI的对应关系列表。
3、 如权利要求2所述绑定认证的方法,其特征在于,在所述网络侧设备 发送用户侧网络接入设备的标识之前,还包括所述网络侧设备根据所述用户侧网络接入设备发送的所述用户侧网络接 入设备中插入的用户标识卡的国际移动用户标识IMSI,在所述对应关系列表 中查找所述用户侧网络接入设备的标识。
4、 如权利要求1所述绑定认证的方法,其特征在于,所述用户侧网络接 入设备发送的所述用户侧网络接入设备的标识具体包括所述用户侧网络接入设备中的用户标识卡利用永久性共享密钥加密所述 用户侧网络接入设备的标识,并将加密后的用户侧网络接入设备的标识和所 述用户标识卡的IMSI发送给所述用户侧网络接入设备。
5、 如权利要求4所述绑定认证的方法,其特征在于,所述网络侧设备发 送的用户侧网络接入设备的标识具体包括所述网络侧设备根据所述用户侧网络接入设备通过认证网元发送的所述 用户标识卡的IMSI,查找永久性共享密钥和所述IMSI对应的用户侧网络才妄 入设备的标识,并利用所述永久性共享密钥加密所述IMSI对应的用户侧网络 接入设备的标识。
6、 如权利要求4或5所述绑定认证的方法,其特征在于,所述将网络侧的所述用户侧网络接入设备的标识进行对比具体包括将所述网络侧设备发送的利用所述永久性共享密钥加密的用户侧网络接 入设备的标识与所述用户侧网络接入设备发送的利用所述永久性共享密钥加 密的用户侧网绍4妄入设备的标识进行对比。
7、 如权利要求4所述绑定认证的方法,其特征在于,在所述用户侧网络 接入设备中的用户标识卡利用永久性共享密钥加密所述用户侧网络接入设备 的标识之前,还包括入设备利用私钥签名后的用户侧网络接入设备的标识进行验证,验证通过后, 获取所述用户侧网络接入设备的标识,所述公钥和所述私钥——对应。
8、 如权利要求1所述绑定认证的方法,其特征在于,所述接收网络侧设 备发送的用户侧网络接入设备的标识具体包括接收所述网络侧设备发送的利用加密密钥加密的用户侧网络接入设备的 标识,所述加密密钥携带在所述网络侧设备根据认证和密钥协商AKA计算的 认证向量组中。
9、 如权利要求8所述绑定认证的方法,其特征在于,在所述接收所述网 络侧设备发送的用加密密钥加密的用户侧网络接入设备的标识和根据AKA 计算的认证向量组之后,还包括保存所述用加密密钥加密的用户侧网络接入设备的标识,并向所述用户 侧网络接入设备转发所述认证向量组中的随机数和认证令牌AUTN。
10、 如权利要求9所述绑定认证的方法,其特征在于,所述用户侧网络 接入设备发送的所述用户侧网络接入设备的标识具体包括所述用户侧网络接入设备根据所述认证向量组中的随机数和AUTN计算 加密密钥,并利用所述加密密钥加密所述用户侧网络接入设备的标识。
11、 如权利要求8或9所述绑定认证的方法,其特征在于,所述将所述 网络侧召备发送的所述用户侧网络接入设备的标识进行对比具体包括将所述网络侧设备发送的利用所述加密密钥加密的用户侧网络接入设备 的标识与所述用户侧网络接入设备发送的利用所述加密密钥加密的用户侧网 络接入设备的标识进行对比。
12、 如权利要求1所述绑定认证的方法,其特征在于,所述用户侧网络 接入设备的标识的类型包括所述用户侧网络接入设备的设备标识码EI,或 所述用户侧网络接入设备的々某体接入控制MAC地址,或所述用户侧网络接入 设备的数字证书;所述用户标识卡的类型包括用户标识^^块SIM卡,或通用移动通信系 统用户标识才莫块USIM卡;所述网络侧设备的类型包括归属位置寄存器HLR,所述用户侧网络接入 设备的类型包括家用基站。
13、 如权利要求1所述绑定认证的方法,其特征在于,还包括 判断所述用户侧网络接入设备发送的响应RES和所述网络侧设备发送的认证向量组中的期望响应XRES是否一致;如果一致,则确定所述用户侧网络接入设备中插入的用户标识卡的身份 合法。
14、 一种网络系统,其特征在于,包括用户侧网络接入设备,用于发送所述用户侧网络接入i殳备的标识; 网络侧设备,用于发送所述用户侧网络接入设备的标识; 认证网元,用于接收所述用户侧网络接入设备发送的用户侧网络接入设 备的标识和所述网络侧设备发送的用户侧网络接入设备的标识,当所述网络 侧设备发送的所述用户侧网络接入设备的标识与所述用户侧网络接入设备发 送的所述用户侧网络接入设备的标识一致时,确定所述用户侧网络接入设备 是与所述用户侧网络接入设备中插入的用户标识卡绑定的合法设备。
15、 如权利要求14所述网络系统,其特征在于,所述网络侧设备的类型 包括归属位置寄存器HLR,所述用户侧网络接入设备的类型包括家用基站。
16、 一种认证网元,其特征在于,包括接收模块,用于接收用户侧网络接入设备发送的用户侧网络接入设备的标识和网络側设备发送的用户侧网络接入设备的标识;对比模块,用于将所述接收模块接收的所述网络侧设备发送的用户侧网 络接入设备的标识与所述用户侧网络接入设备发送的所述用户侧网络接入设 备的标识进行对比;合法性认证模块,用于当所述对比模块确定所述网络侧设备发送的所述络接入设备的标识一致时,确定所述用户侧网络接入设备是与所述用户侧网 络接入设备中插入的用户标识卡绑定的合法设备。
17、 如权利要求16所述认证网元,其特征在于,所述对比冲莫块具体为加 密对比模块,用于将所述网络侧设备发送的利用永久性共享密钥或加密密钥 加密的用户侧网络接入设备的标识与所述用户侧网络接入设备发送的利用永 久性共享密钥或加密密钥加密的用户侧网络接入设备的标识进行对比。
18、 一种网络设备,其特征在于,包括设备中插入的用户标识卡的国际移动用户标识IMSI的对应关系;标识查找模块,用于根据所述用户标识卡的IMSI在所述保存模块保存的对应关系中查找所述用户侧网络接入设备的标识;发送模块,用于将所述标识查找模块查找到的所述用户侧网络接入设备的标识发送给认证网元。
19、 如权利要求18所述网络设备,其特征在于,还包括加密模块,用于利用加密密钥或永久性共享密钥加密所述用户侧网络接 入设备的标识。
20、 一种网络设备,其特征在于,包括 标识获取漠块,用于获取本用户侧网络接入设备的标识;发送模块,用于向认证网元发送所述获取模块获取的用户侧网络接入设 备的标识。
21、 如权利要求20所述网络设备,其特征在于,还包括标识加密模块,用于利用加密密钥或永久性共享密钥加密所述标识获取 模块获取的网络设备的标识。
22、 如权利要求20所述网络设备,其特征在于,还包括验证模块,用于利用公钥验证所述用户侧网络接入设备利用私钥签名后 的用户侧网络接入设备的标识,所述公钥和所述私钥——对应,在验证通过 后,由所述标识获取才莫块获取所述用户侧网络接入设备的标识。
23、 一种绑定认证的方法,其特征在于,包括接收用户侧网络接入设备发送的利用所述用户侧网络接入设备数字证书 的私钥签名后的IMSI数据,所述IMSI数据包括所述用户侧网络接入设备中 插入的用户标识卡的IMSI和签名后的IMSI;利用所述用户侧网络接入设备数字证书的公钥对所述IMSI数据的签名进 行验证,在验证通过后,确定所述用户侧网络接入设备是与所述用户侧网络 接入设备中插入的用户标识卡绑定的合法设备。
24、 如权利要求23所述绑定认证的方法,其特征在于,在所述利用所述 用户侧网络接入设备数字证书的公钥对所述IMSI数据的签名进行验证之前, 还包括根据所述用户侧网络接入设备中插入的用户标识卡的IMSI,获取所述 IMSI对应的用户侧网络接入设备数字证书的公钥。
全文摘要
本发明实施例公开了一种绑定认证的方法、系统和装置,所述绑定认证的方法包括接收网络侧设备发送的用户侧网络接入设备的标识和用户侧网络接入设备发送的所述用户侧网络接入设备的标识;将所述网络侧设备发送的所述用户侧网络接入设备的标识与所述用户侧网络接入设备发送的所述用户侧网络接入设备的标识进行对比;当所述网络侧设备发送的所述用户侧网络接入设备的标识与所述用户侧网络接入设备发送的所述用户侧网络接入设备的标识一致时,确定所述用户侧网络接入设备是与所述用户侧网络接入设备中插入的用户标识卡绑定的合法设备。本发明实施例实现了对用户侧网络接入设备和该用户侧网络接入设备中插入的用户标识卡的绑定认证。
文档编号H04L9/32GK101610241SQ20081011092
公开日2009年12月23日 申请日期2008年6月16日 优先权日2008年6月16日
发明者瀚 尹, 宁 张, 王绍斌, 韩少伟 申请人:华为技术有限公司