專利名稱:用戶設(shè)備接入網(wǎng)絡(luò)時(shí)的認(rèn)證方法、用戶設(shè)備及基站的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及移動(dòng)通信領(lǐng)域�,特別涉及用戶設(shè)備的接入技術(shù)�����。
背景技術(shù):
隨著移動(dòng)通信之業(yè)務(wù)不斷豐富�����,移動(dòng)通信系統(tǒng)將走向愈加開放的趨勢(shì)�, 因此對(duì)數(shù)據(jù)安全的要求就更高�����,主要體現(xiàn)在身份認(rèn)證����、授權(quán)�、數(shù)據(jù)保密、健 壯性等幾個(gè)方面���。
在保護(hù)信息安全的手段中�����,密碼技術(shù)是主要手段之一��,不僅可以保證信 息的機(jī)密性����,而且可以保證信息的完整性和確定性����,防止信息被篡改、偽造 和假冒。 一個(gè)密碼體制由明文信源���、密文�、密鑰與加密運(yùn)算這四個(gè)基本要素 構(gòu)成����。直觀地講,明文信源就是明文字母表或者明文字母����,密文就是指加密
后的信息;而密鑰是用來從密碼體制的一組加密運(yùn)算中選擇一個(gè)加密運(yùn)算���, 密鑰允許你按照以前制定的規(guī)則改變加密���,加密方法的組合復(fù)雜度取決于在 此方法下密鑰的數(shù)量。密碼體制有對(duì)稱密鑰密碼技術(shù)和非對(duì)稱密鑰密碼技術(shù)����, 對(duì)稱密鑰密碼技術(shù)要求加密解密雙方擁有相同的密鑰�。而非對(duì)稱密鑰密碼技 術(shù)是加密解密雙方擁有不相同的密鑰,加密密鑰和解密密鑰是不能相互算出 的�。
在專利號(hào)為5, 864, 667的美國(guó)專利中,也公開了 一種將公私鑰體制應(yīng) 用在安全通信中的方法�����,通過分發(fā)包括公鑰和私鑰在內(nèi)的密鑰來建立安全鏈 接�����。
由于目前在2G/3G移動(dòng)通信網(wǎng)絡(luò)中�����,在終端開機(jī)attach (附著)網(wǎng)絡(luò)及 網(wǎng)絡(luò)發(fā)起identity request (身份驗(yàn)證請(qǐng)求)的時(shí)候�,由于標(biāo)識(shí)終端身份的國(guó)際移動(dòng)臺(tái)識(shí)另'J號(hào)碼(International Mobile Station Identity,簡(jiǎn)稱"IMSI")在空 中明文傳輸,因此存在終端身份暴露的漏洞�,從而可能會(huì)導(dǎo)致被跟蹤、竊聽�、 信息截取或被DOS攻擊,甚至偽造終端攻擊網(wǎng)絡(luò)的情況�。另外,由于終端在 開機(jī)或掉網(wǎng)而發(fā)起找網(wǎng)時(shí)�����,由于沒有鑒權(quán)網(wǎng)絡(luò)的機(jī)制�����,因此存在終端被欺騙 接入偽網(wǎng)絡(luò)的漏洞。
發(fā)明內(nèi)容
本發(fā)明的目的在于提供一種用戶設(shè)備接入網(wǎng)絡(luò)時(shí)的認(rèn)證方法���、用戶設(shè)備 及基站����,解決終端被欺騙而接入偽網(wǎng)絡(luò)的安全隱患的問題��。
為解決上述技術(shù)問題��,本發(fā)明的實(shí)施方式提供了 一種用戶設(shè)備接入網(wǎng)絡(luò) 時(shí)的認(rèn)證方法���,包括以下步驟
用戶設(shè)備從基站廣播中接收基站標(biāo)識(shí)信息及證書�����,該證書由認(rèn)證中心使 用其私鑰將包括基站標(biāo)識(shí)信息在內(nèi)的信息加密而成�;
以用戶設(shè)備中預(yù)先設(shè)置的認(rèn)證中心的公鑰對(duì)證書進(jìn)行解密��,并以基站標(biāo) 識(shí)信息對(duì)該證書的解密結(jié)果進(jìn)行驗(yàn)證����;
如馬全證通過則認(rèn)定基站合法。 本發(fā)明的實(shí)施方式還提供了一種用戶設(shè)備�,包括
接收單元,用于從基站廣播中接收基站標(biāo)識(shí)信息及證書��,該證書由認(rèn)證 中心用其私鑰對(duì)包括基站標(biāo)識(shí)信息在內(nèi)的信息加密而成�;
存貯單元,用于保存認(rèn)證中心的公鑰�;
解密單元,用于以存貯單元所保存的認(rèn)證中心的公鑰對(duì)接收單元接收到 的證書進(jìn)行解密��;
驗(yàn)證單元��,用于以接收單元接收到的基站標(biāo)識(shí)信息對(duì)解密單元的解密結(jié) 果進(jìn)行驗(yàn)證�����,如驗(yàn)證通過則認(rèn)定基站合法�����。提供了一種基站����,包括
存貯單元,用于保存證書����,該證書由認(rèn)證中心使用其私鑰對(duì)包括基站標(biāo)
識(shí)信息在內(nèi)的信息加密而成���;
發(fā)送單元,用于廣播基站的基站標(biāo)識(shí)信息和存貯單元中所保存的證書�����。
本發(fā)明實(shí)施方式與現(xiàn)有技術(shù)相比�,主要區(qū)別及其效果在于
基站廣播基站標(biāo)識(shí)信息及證書,該證書由CA用其私鑰對(duì)基站標(biāo)識(shí)信息 等信息加密而成��,UE通過對(duì)證書的驗(yàn)證認(rèn)定基站的合法性�����,因?yàn)閭位緹o 法獲得CA的證書����,所以可以鑒別網(wǎng)絡(luò)的真?zhèn)巍?br>
進(jìn)一步地,基站還廣播基站的公鑰���,UE收到該公鑰后以該公鑰加密 IMSI����,并在接入時(shí)向基站發(fā)送經(jīng)該公鑰加密的IMSI,從而使終端身份IMSI 在空中以密文傳送��,保護(hù)了終端身份���。
更進(jìn)一步地,可以先對(duì)基站標(biāo)識(shí)信息和基站的公鑰進(jìn)行運(yùn)算操作���,再用 CA的私鑰對(duì)運(yùn)算結(jié)果進(jìn)行加密得到證書���。因?yàn)樽C書中包含了基站標(biāo)識(shí)信息 和基站的公鑰兩方面的信息,所以UE通過對(duì)證書的馬全證����,可以核實(shí)基站標(biāo) 識(shí)信息和基站的公鑰兩個(gè)信息的正確性。如果攻擊者只是復(fù)制了基站的廣播 信息再播放出來�����,則因?yàn)閁E發(fā)送的IMS是用基站的公鑰進(jìn)行加密的���,所以 攻擊者依然無法得到UE的IMSI�,無法進(jìn)一步地與UE正常交互�����。
運(yùn)算操作可以是按位異或,相對(duì)于只用基站標(biāo)識(shí)信息生成證書的方式��, 在沒有增加需要廣播的數(shù)據(jù)量的前提下增加了破解的難度��。運(yùn)算操作還可以 是連接操作����,即將基站標(biāo)識(shí)信息和基站的公鑰連接起來,這樣所生成的證書 較長(zhǎng)��,不易被破解�����,安全性更好����。
可以將CA的公鑰保存在UE中,這樣在UE漫游到使用另 一個(gè)CA的網(wǎng) 絡(luò)后��,只要修改CA的公鑰就可以正常接入網(wǎng)絡(luò)了���,漫游比較方便�。
圖1是根據(jù)本發(fā)明第一實(shí)施方式的UE接入網(wǎng)絡(luò)時(shí)的認(rèn)證方法流程圖; 圖2是根據(jù)本發(fā)明第二實(shí)施方式的UE接入網(wǎng)絡(luò)時(shí)的認(rèn)證方法流程圖����; 圖3是根據(jù)本發(fā)明第三實(shí)施方式的UE接入網(wǎng)絡(luò)時(shí)的認(rèn)證方法流程圖; 圖4是根據(jù)本發(fā)明第四實(shí)施方式的UE接入網(wǎng)絡(luò)時(shí)的認(rèn)證系統(tǒng)結(jié)構(gòu)圖��。
具體實(shí)施例方式
為使本發(fā)明的目的��、技術(shù)方案和優(yōu)點(diǎn)更加清楚����,下面將結(jié)合附圖對(duì)本發(fā) 明的實(shí)施方式作進(jìn)一步地詳細(xì)描述�����。
在本發(fā)明的實(shí)施方式中�����,由認(rèn)證中心(Certificate Authority ���,簡(jiǎn)稱"CA") 為用戶設(shè)備(User Equipment,簡(jiǎn)稱"UE")和基站分配一對(duì)公鑰(Public Key, 簡(jiǎn)稱"PK")私鑰(Secure Key,簡(jiǎn)稱"SK")��。由于該對(duì)公鑰私鑰是由 CA分配的���,因此在下文中將其簡(jiǎn)稱為(PKca�, SKca)���。在UE接入網(wǎng)絡(luò)時(shí)����,通 過(PKca���, SKca)對(duì)基站的合法性進(jìn)4亍認(rèn)證��。
本發(fā)明的第一實(shí)施方式涉及一種UE接入網(wǎng)絡(luò)時(shí)的認(rèn)證方法�����,在本實(shí)施 方式中����,PKca預(yù)置在UE的用戶服務(wù)識(shí)別模塊(User Service Identify Module, 簡(jiǎn)稱"USIM")中����。當(dāng)然,PKca也可以不保存在USIM中,而是保存在UE 的其它模塊中����。如果將CA的公鑰保存在UE中,在UE漫游到使用另一個(gè) CA的網(wǎng)絡(luò)后�����,只要修改CA的公鑰就可以正常接入網(wǎng)絡(luò)了��,漫游比較方便�。
基站預(yù)先從CA中獲取證書,該證書由CA通過利用SKca對(duì)基站標(biāo)識(shí)信 息進(jìn)行加密而成��,該基站通過廣纟番信道廣〗番該證書以及該基站標(biāo)識(shí)信息�,基 站標(biāo)識(shí)信息可以是基站標(biāo)識(shí)���、基站的色碼或信標(biāo)信道����,或者是其他能夠唯一 標(biāo)識(shí)該基站的信息�����。由于該證書是由SKca對(duì)基站標(biāo)識(shí)信息進(jìn)行加密而成的, 因此�,在本實(shí)施方式中以SKca (基站標(biāo)識(shí)信息)來表示該證書。UE接入網(wǎng)絡(luò)時(shí)的認(rèn)證流程如圖1所示���。在步驟110中�,當(dāng)UE因開機(jī)或
掉網(wǎng)而發(fā)起找網(wǎng)時(shí)�,接收基站的廣播,從該基站廣播中得到基站標(biāo)識(shí)信息及
SKca (基站標(biāo)識(shí)信息)����。
接著,在步驟120中�����,UE驗(yàn)證該基站是否合法���。具體地說��,UE在獲取 到該基站的標(biāo)識(shí)信息及SKca (基站標(biāo)識(shí)信息)后��,利用預(yù)先設(shè)置在本UE的 USIM中的PKca,對(duì)SKca (基站標(biāo)識(shí)信息)進(jìn)行解密�����,得到基站標(biāo)識(shí)信息��。 然后���,比較解密后得到的基站標(biāo)識(shí)信息與從基站廣播中得到的基站標(biāo)識(shí)信息 是否一致����。由于偽基站無法獲得CA的證書��,即無法得到正確的SKca (基站 標(biāo)識(shí)信息)�����,因此UE可通過這種方式可以鑒別網(wǎng)絡(luò)的真?zhèn)?���。如果比較結(jié)果 一致�,則說明該基站合法,進(jìn)入步驟130;如果不一致�,則說明該基站不合 法,是偽基站��,結(jié)束流程���。
在步驟130中�,該UE向基站發(fā)起附著請(qǐng)求,在該附著請(qǐng)求中攜帶UE 標(biāo)識(shí)����,如該UE的IMSI。
不難發(fā)現(xiàn)��,由于在本實(shí)施方式中����,UE可通過對(duì)i正書的驗(yàn)i正i人定基站的 合法性,因此可解決因被欺騙而接入偽網(wǎng)絡(luò)的安全隱患的問題�。
本發(fā)明的第二實(shí)施方式涉及一種UE接入網(wǎng)絡(luò)時(shí)的認(rèn)證方法,本實(shí)施方 式在第一實(shí)施方式的基礎(chǔ)上����,作了進(jìn)一步改進(jìn),不僅解決了 UE因被欺騙而 接入偽網(wǎng)絡(luò)的安全隱患的問題�,還解決了 UE身份暴露的安全隱患的問題。 在本實(shí)施方式中����,在基站內(nèi)保存有一對(duì)公鑰私鑰,即(PKnb�����, SKnb),基 站在廣播時(shí)�,不僅廣播從CA中獲取的證書、基站標(biāo)識(shí)信息����,還廣播基站的 公鑰,即PKnb�����。UE在驗(yàn)證了基站的合法性后�����,利用從基站廣播中收到的PKnb 對(duì)本UE的IMSI進(jìn)行加密��,將加密后的IMSI攜帶在附著請(qǐng)求中,發(fā)送給基 站���。
UE接入網(wǎng)絡(luò)時(shí)的認(rèn)證流程如圖2所示����。在步驟210中,當(dāng)UE因開機(jī)或 掉網(wǎng)而發(fā)起找網(wǎng)時(shí)���,接收基站的廣播�����,從該基站廣播中得到基站標(biāo)識(shí)信息�、SKca(基站標(biāo)識(shí)信息)��、以及PKnb。
接著�����,在步驟220中��,UE驗(yàn)證該基站是否合法。本步驟與步驟120類 似���,在此不再贅述。
接著��,在步驟230中�����,該UE向基站發(fā)起附著請(qǐng)求,在該附著請(qǐng)求中攜 帶加密后的IMSI���。也就是說����,該UE在確定基站為合法基站后�,需要向該基 站發(fā)送附著請(qǐng)求時(shí)�,利用從基站廣播中接收到的PKnb對(duì)本UE的IMSI進(jìn)行 加密��,并將加密后的IMSI,即PKnb(IMSI),攜帶在附著請(qǐng)求中發(fā)送給基 站����。
在步驟240中�����,基站利用自身保存的SKnb,對(duì)收到的附著請(qǐng)求中的PKnb (IMSI)進(jìn)行解密����,得到UE的IMSI��。
由于標(biāo)識(shí)UE身份的IMSI在空中并非是以明文的方式進(jìn)行傳輸���,而是以 密文進(jìn)行傳送���,因此保護(hù)了 UE的身份,解決了 UE身份暴露的安全隱患的 問題��。
本發(fā)明的第三實(shí)施方式涉及一種UE接入網(wǎng)絡(luò)時(shí)的認(rèn)證方法��,本實(shí)施方 式與第二實(shí)施方式大致相同,其區(qū)別在于���,在第二實(shí)施方式中�,基站從CA 中獲取的證書是由SKca對(duì)基站標(biāo)識(shí)信息進(jìn)行加密而成的�����,而在本實(shí)施方式 中�,基站從CA中獲取的證書是由SKca對(duì)基站標(biāo)識(shí)信息和PKnb的運(yùn)算結(jié)果 進(jìn)行加密而成的�,因此����,在本實(shí)施方式中以SKca (PKnb II基站標(biāo)識(shí)信息) 來表示該證書����。其中�,"II "表示連接運(yùn)算�����,也就是將PKnb與基站標(biāo)識(shí)信 息直接連接在一起。連接運(yùn)算使所生成的證書較長(zhǎng)�����,不易被破解���,安全性更 好�。
除了連接運(yùn)算之外���,還可以對(duì)PKnb與基站標(biāo)識(shí)信息進(jìn)行按位異或操作���, 按位與操作等運(yùn)算。如果使用按位異或操作���,則相對(duì)于只用基站標(biāo)識(shí)信息生 成證書的方式�����,在沒有增加需要廣播的數(shù)據(jù)量的前提下增加了破解的難度����。
UE接入網(wǎng)絡(luò)時(shí)的認(rèn)證流程如圖3所示。在步驟310中���,當(dāng)UE因開機(jī)或掉網(wǎng)而發(fā)起找網(wǎng)時(shí)�,接收基站的廣播��,從該基站廣播中得到基站標(biāo)識(shí)信息���、
SKca ( PKnb II基站標(biāo)識(shí)信息)����、以及PKnb��。
接著��,在步驟320中�����,UE驗(yàn)證該基站是否合法。具體地說�,UE在獲取 到該基站的標(biāo)識(shí)信息、SKca (PKnb II基站標(biāo)識(shí)信息)���、以及PKnb后�����,利用 預(yù)先設(shè)置在本UE的USIM中的PKca����,對(duì)SKca ( PKnb II基站標(biāo)識(shí)信息)進(jìn) 行解密����,得到PKnb II基站標(biāo)識(shí)信息��。然后����,比較解密后得到的PKnb II基站 標(biāo)識(shí)信息,與根據(jù)基站廣播得到的PKnb II基站標(biāo)識(shí)信息是否一致���。如果比較 結(jié)果一致�,則說明該基站合法,進(jìn)入步驟330;如果不一致��,則說明該基站 不合法����,是偽基站,結(jié)束流程��。
由于偽基站無法獲得CA的證書����,即無法得到正確的SKca (PKnb II基 站標(biāo)識(shí)信息),因此UE可通過這種方式可以鑒別網(wǎng)絡(luò)的真?zhèn)危?人而避免因 被欺騙而接入偽網(wǎng)絡(luò)的情況��。
接著�����,在步驟330中����,該UE向基站發(fā)起附著請(qǐng)求,在該附著請(qǐng)求中攜 帶加密后的IMSI�。本步驟與步驟230類似,在此不再贅述���。
在步驟340中�,基站利用自身保存的SKnb,對(duì)收到的附著請(qǐng)求中的PKnb (IMSI)進(jìn)行解密,得到UE的IMSI�����。
因?yàn)樽C書中包含了基站標(biāo)識(shí)信息和基站的公鑰兩方面的信息�����,所以UE 通過對(duì)證書的驗(yàn)證�,可以核實(shí)基站標(biāo)識(shí)信息和基站的公鑰兩個(gè)信息的正確性。 如果攻擊者只是復(fù)制了基站的廣播信息再播放出來����,則因?yàn)閁E發(fā)送的IMS 是用基站的公鑰進(jìn)行加密的���,所以攻擊者依然無法得到UE的IMSI�����,無法進(jìn) 一步地與UE正常交互����。
需要說明的是,本發(fā)明的方法實(shí)施方式可以以軟件���、硬件���、固件等等方
式實(shí)現(xiàn)。不管本發(fā)明是以軟件�����、硬件�����、還是固件方式實(shí)現(xiàn)�����,指令代碼都可以
存儲(chǔ)在任何類型的計(jì)算機(jī)可訪問的存儲(chǔ)器中(例如永久的或者可修改的�,易
失性的或者非易失性的,固態(tài)的或者非固態(tài)的����,固定的或者可是換的介質(zhì)等等)。同樣�����,存儲(chǔ)器可以例如是可編程陣列邏輯(Programmable Array Logic , 簡(jiǎn)稱"PAL")�����、隨機(jī)存取存儲(chǔ)器(Random Access Memory,簡(jiǎn)稱"RAM")��、 可編程只讀存卞者器(Programmable Read Only Memory,簡(jiǎn)稱"PROM")����、 只讀存儲(chǔ)器(Read-Only Memory,簡(jiǎn)稱"ROM")、電可擦除可編程只讀 存儲(chǔ)器(Electrically Erasable Programmable ROM,簡(jiǎn)稱"EEPROM�,,)�����、 磁盤����、光盤��、數(shù)字通用光盤(Digital Versatile Disc,簡(jiǎn)稱"DVD")等等����。
本發(fā)明的第四實(shí)施方式涉及一種UE接入網(wǎng)絡(luò)時(shí)的認(rèn)證系統(tǒng)��,如圖4所 示�����,包含UE和基站���。
其中,基站包括存貯單元�,用于保存證書,該證書由CA用其私鑰(SKca ) 對(duì)包括基站標(biāo)識(shí)信息在內(nèi)的信息加密而成��;發(fā)送單元����,用于廣播基站的基站 標(biāo)識(shí)信息和存貯單元中所保存的證書。
UE包括接收單元�����,用于從基站廣播中接收基站標(biāo)識(shí)信息及證書�,該 證書由SKca對(duì)包括基站標(biāo)識(shí)信息在內(nèi)的信息加密而成;存貯單元,用于保 存CA分配的公鑰(PKca);解密單元�,用于以存貯單元所保存的PKca對(duì) 接收單元接收到的證書進(jìn)行解密;驗(yàn)證單元���,用于以接收單元接收到的基站 標(biāo)識(shí)信息對(duì)解密單元的解密結(jié)果進(jìn)行驗(yàn)證��,如驗(yàn)證通過則認(rèn)定該基站合法���。 由于偽基站無法獲得CA的證書,因此UE可通過對(duì)證書的驗(yàn)證認(rèn)定基站的 合法性����,從而解決因被欺騙而接入偽網(wǎng)絡(luò)的安全隱患的問題。 值得一提的是�,基站內(nèi)的存貯單元還可用于保存基站的公鑰和私鑰,即 (PKnb���, SKnb)�����,基站內(nèi)的發(fā)送單元還用于廣播存貯單元所保存的PKnb���, UE的接收單元還用于從基站的廣播中接收該P(yáng)Knb�����。
此時(shí),UE還包括加密單元�����,用于以接收單元收到的PKnb對(duì)UE的標(biāo) 識(shí)(如UE的IMSI)進(jìn)行加密�����;發(fā)送單元����,用于將加密單元加密后的UE標(biāo) 識(shí)發(fā)送給基站。
該基站還包括接收單元����,用于接收來自UE的經(jīng)PKnb加密的UE標(biāo)識(shí)(如UE的IMSI);解密單元,用于以存貯單元所保存的SKnb對(duì)接收單元 收到的經(jīng)加密的UE標(biāo)識(shí)進(jìn)行解密�。由于標(biāo)識(shí)UE身份的IMSI在空中并非是 以明文的方式進(jìn)行傳輸,而是以密文進(jìn)行傳送�����,因此保護(hù)了UE的身份,解 決了 UE身份暴露的安全隱患的問題�����。
如果基站的發(fā)送單元還用于廣播存貯單元所保存的PKnb,則該發(fā)送單 元所廣播的證書可由SKca對(duì)基站標(biāo)識(shí)信息和PKnb的運(yùn)算結(jié)果加密而成��; UE的驗(yàn)證單元通過以下方式進(jìn)行驗(yàn)證對(duì)接收單元收到的基站標(biāo)識(shí)信息和 基站的公鑰進(jìn)行運(yùn)算操作�;將解密單元的解密結(jié)果與運(yùn)算操作的運(yùn)算結(jié)果相 比較,如果兩者相同則驗(yàn)證通過���,認(rèn)定基站合法��。上述運(yùn)算可以是按位異或 操作或連接操作等���。如果采用的運(yùn)算是按位異或操作,則相對(duì)于只用基站標(biāo) 識(shí)信息生成證書的方式���,在沒有增加需要廣播的數(shù)據(jù)量的前提下增加了破解 的難度����。如果采用的運(yùn)算是表示的是連接操作�,即將基站標(biāo)識(shí)信息和基站的 公鑰連接起來,則所生成的證書較長(zhǎng)�����,不易被破解,安全性更好���。
需要說明的是,本實(shí)施方式中提到的各單元都是邏輯單元����,在物理上, 一個(gè)邏輯單元可以是一個(gè)物理單元����,也可以是一個(gè)物理單元的一部分,還可 以以多個(gè)物理單元的組合實(shí)現(xiàn)�,這些邏輯單元本身的物理實(shí)現(xiàn)方式并不是最 重要的,這些邏輯單元所實(shí)現(xiàn)的功能的組合是才解決本發(fā)明所提出的技術(shù)問 題的關(guān)鍵�����。并且�����,為了突出本發(fā)明的創(chuàng)新部分�����,本實(shí)施方式并沒有將與解決 本發(fā)明所提出的技術(shù)問題關(guān)系不太密切的單元引入,這并不表明上述設(shè)備實(shí) 施方式并不存在其它的單元����。例如,基站還可以有基帶處理單元�����、天線等等�����; UE還可以有顯示屏�、麥克風(fēng)、耳機(jī)���、鍵盤等等����。
另外�,本實(shí)施方式所涉及的設(shè)備(如UE和基站)可以用于完成第l-3 實(shí)施方式中提到的方法流程。因此在第1-3實(shí)施方式中提到的所有技術(shù)細(xì)節(jié) 在本實(shí)施方式中依然有效����,為了減少重復(fù)����,這里不再贅述��。
雖然通過參照本發(fā)明的某些優(yōu)選實(shí)施方式�,已經(jīng)對(duì)本發(fā)明進(jìn)行了圖示和描述�����,但本領(lǐng)域的普通技術(shù)人員應(yīng)該明白�,可以在形式上和細(xì)節(jié)上對(duì)其作各 種改變,而不偏離本發(fā)明的精神和范圍�。
權(quán)利要求
1.一種用戶設(shè)備接入網(wǎng)絡(luò)時(shí)的認(rèn)證方法,其特征在于��,包括以下步驟用戶設(shè)備從基站廣播中接收基站標(biāo)識(shí)信息及證書���,該證書由認(rèn)證中心使用其私鑰將包括所述基站標(biāo)識(shí)信息在內(nèi)的信息加密而成��;以所述用戶設(shè)備中預(yù)先設(shè)置的所述認(rèn)證中心的公鑰對(duì)所述證書進(jìn)行解密�����,并以所述基站標(biāo)識(shí)信息對(duì)該證書的解密結(jié)果進(jìn)行驗(yàn)證�����;如所述驗(yàn)證通過則認(rèn)定所述基站合法�����。
2. 根據(jù)權(quán)利要求1所述的用戶設(shè)備接入網(wǎng)絡(luò)時(shí)的認(rèn)證方法�,其特征在 于,還包括以下步驟所述基站還廣播該基站的公鑰��;所述用戶設(shè)備從所述基站的廣播中接收該基站的公鑰���,并用該基站的公 鑰對(duì)該用戶設(shè)備的標(biāo)識(shí)進(jìn)行加密��,將加密后的用戶設(shè)備標(biāo)識(shí)發(fā)送給所述基站�����;所述基站以該基站的私鑰對(duì)所述加密后的用戶設(shè)備標(biāo)識(shí)進(jìn)行解密��,得到 所述用戶設(shè)備標(biāo)識(shí)�����。
3. 根據(jù)權(quán)利要求2所述的用戶設(shè)備接入網(wǎng)絡(luò)時(shí)的認(rèn)證方法�,其特征在 于,所述證書由認(rèn)證中心使用其私鑰對(duì)所述基站標(biāo)識(shí)信息和所述基站的公鑰 的運(yùn)算結(jié)果加密而成�。
4. 根據(jù)權(quán)利要求3所述的用戶設(shè)備接入網(wǎng)絡(luò)時(shí)的認(rèn)證方法,其特征在 于��,對(duì)所述基站標(biāo)識(shí)信息和所述基站的公鑰的運(yùn)算包括以下之一按位異或操作���、連接操作��。
5. 根據(jù)權(quán)利要求1至4中任一項(xiàng)所述的用戶設(shè)備接入網(wǎng)絡(luò)時(shí)的認(rèn)證方 法,其特征在于�����,所述認(rèn)證中心的公鑰預(yù)先設(shè)置在所述用戶設(shè)備的用戶服務(wù)識(shí)別模塊或用戶設(shè)備中���;所述用戶設(shè)備標(biāo)識(shí)可以是國(guó)際移動(dòng)臺(tái)識(shí)別號(hào)碼���。
6. —種用戶設(shè)備,其特征在于�����,包括接收單元,用于從基站廣播中接收基站標(biāo)識(shí)信息及證書����,該證書由認(rèn)證 中心用其私鑰對(duì)包括所述基站標(biāo)識(shí)信息在內(nèi)的信息加密而成;存貯單元�,用于保存所述認(rèn)證中心的公鑰;解密單元����,用于以所述存貯單元所保存的所述認(rèn)證中心的公鑰對(duì)所述接 收單元接收到的證書進(jìn)行解密;驗(yàn)證單元���,用于以所述接收單元接收到的所述基站標(biāo)識(shí)信息對(duì)所述解密 單元的解密結(jié)果進(jìn)行驗(yàn)證����,如驗(yàn)證通過則認(rèn)定所述基站合法�����。
7. 根據(jù)權(quán)利要求6所述的用戶設(shè)備���,其特征在于�����,所述接收單元還用 于從所述基站的廣播中接收該基站的公鑰�;所述用戶設(shè)備還包括加密單元,用于以所述接收單元收到的所述基站的公鑰對(duì)所述用戶設(shè)備 的標(biāo)識(shí)進(jìn)行加密�����;發(fā)送單元���,用于將所述加密單元加密后的用戶設(shè)備標(biāo)識(shí)發(fā)送給所述基站����。
8. 根據(jù)權(quán)利要求7所述的用戶設(shè)備���,其特征在于,所述證書由認(rèn)證中 心使用其私鑰對(duì)所述基站標(biāo)識(shí)信息和所述基站的公鑰的運(yùn)算結(jié)果加密而成���;所述驗(yàn)證單元通過以下方式進(jìn)行驗(yàn)證對(duì)所述接收單元收到的所述基站標(biāo)識(shí)信息和所述基站的公鑰進(jìn)行運(yùn)算 操作�;將所述解密單元的解密結(jié)果與所述運(yùn)算操作的運(yùn)算結(jié)果相比較����,如果兩者相同則驗(yàn)證通過,認(rèn)定所述基站合法;所述運(yùn)算操作包括以下之一 按位異或操作�、連接操作。
9. 一種基站�����,其特征在于���,包括存貯單元�,用于保存證書���,該證書由認(rèn)證中心使用其私鑰對(duì)包括所述基 站標(biāo)識(shí)信息在內(nèi)的信息加密而成�;發(fā)送單元��,用于廣播所述基站的基站標(biāo)識(shí)信息和所述存貯單元中所保存 的證書�。
10. 根據(jù)權(quán)利要求9所述的基站,其特征在于���,所述存貯單元還用于保 存所述基站的公鑰和私鑰����;所述證書由認(rèn)證中心使用其私鑰對(duì)所述基站標(biāo)識(shí)信息和所述基站的公 鑰的運(yùn)算結(jié)果加密而成���;所述發(fā)送單元還用于廣播所述存貯單元所保存的所述基站的公鑰�����;所述基站還包括接收單元�����,用于接收來自用戶設(shè)備的經(jīng)所述基站的公鑰加密的用戶設(shè)備 標(biāo)識(shí)�����;
全文摘要
本發(fā)明涉及移動(dòng)通信領(lǐng)域�,公開了一種用戶設(shè)備接入網(wǎng)絡(luò)時(shí)的認(rèn)證方法、用戶設(shè)備及基站���。本發(fā)明中����,基站廣播基站標(biāo)識(shí)信息及證書�,該證書由CA用其私鑰對(duì)基站標(biāo)識(shí)信息等信息加密而成���,UE通過對(duì)證書的驗(yàn)證認(rèn)定基站的合法性�����?���;具€廣播基站的公鑰,UE收到該公鑰后以該公鑰加密IMSI����,并在接入時(shí)向基站發(fā)送經(jīng)該公鑰加密的IMSI,從而使終端身份IMSI在空中以密文傳送�,保護(hù)了終端身份。
文檔編號(hào)H04L9/32GK101552668SQ20081004320
公開日2009年10月7日 申請(qǐng)日期2008年3月31日 優(yōu)先權(quán)日2008年3月31日
發(fā)明者顧祥新 申請(qǐng)人:展訊通信(上海)有限公司