CN102595400A - 检测uicc是否在授权设备上使用的方法、系统和用户设备 - Google Patents
检测uicc是否在授权设备上使用的方法、系统和用户设备 Download PDFInfo
- Publication number
- CN102595400A CN102595400A CN2012100726495A CN201210072649A CN102595400A CN 102595400 A CN102595400 A CN 102595400A CN 2012100726495 A CN2012100726495 A CN 2012100726495A CN 201210072649 A CN201210072649 A CN 201210072649A CN 102595400 A CN102595400 A CN 102595400A
- Authority
- CN
- China
- Prior art keywords
- imei
- authentication data
- equipment
- key
- hss
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/71—Hardware identity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/02—Terminal devices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明还提供一种检测UICC是否在授权设备上使用的方法,包括:核心网节点接收到用户设备的附着请求后,与其建立安全连接,向用户设备发送标识请求消息,接收所述用户设备返回的国际移动设备识别码IMEI和设备认证数据,将所述IMEI、所述用户设备上的通用集成电路卡的国际移动用户识别码IMSI和所述设备认证数据通过更新位置请求发送给HSS/HLR;HSS/HLR进行如下检测:检测所述IMEI和IMSI是否为授权的IMEI/IMSI对,和/或,根据IMEI对应的设备根密钥检测所述设备认证数据,判断IMEI是否合法。本发明还提供一种检测UICC是否在授权设备上使用的系统和一种用户设备。
Description
技术领域
本发明涉及通信技术领域,具体涉及一种检测UICC(Universal IntegratedCircuit Card,通用集成电路卡)是否在授权设备上使用的方法、系统和用户设备。
背景技术
MTC(Machine Type Communication,机器类型通信)是指一种不需要人干涉的两实体之间的数据交互。换而言之,MTC就是一种机器类的通信,是机器与机器之间的对话。
MTC系统中,由于不需要人的干涉,MTC设备经常会处于一些比较边远的环境中执行任务。由于MTC设备经常会处于无人监督、边远地区等危险环境中,导致发生在MTC设备上的危险行为大大增加,例如MTC设备上的UICC卡被盗用。此外,攻击者可以将专用于一些具有特殊计费特征设备的UICC,插入到其他的智能设备上,以盗取他人通信费用或进行其他攻击手段。这一系列的威胁都需要核心网能够提供设备认证的方法,保证设备是合法设备,并保证插入到该合法设备上的UICC是授权在该设备上使用的。
IMSI(International Mobile Subscriber Identity,国际移动用户识别码)是存在于UICC上用于标识用户的信息,IMEI(International Mobile EquipmentIdentity,国际移动设备识别码)是存在于设备上用于标识设备的信息。现有技术中核心网是通过检测IMSI/IMEI配对是否被授权,来判断该UICC是否授权在该设备上使用。那么,核心网必须要对设备上传的IMSI和IMEI进行认证,以保证设备上传的IMSI和IMEI是合法,进而才能够判断IMSI/IMEI配对是否被授权。标准的AKA过程能够对IMSI进行认证,能够保证IMSI是合法的,但是目前标准中没有规范核心网对IMEI的认证方式,即设备认证的方式。
现有技术中提出了使用增强的AKA过程来对设备进行认证,即增强现有标准中的AKA过程,在标准AKA过程中加入设备认证过程,以便在AKA过程中即对IMSI进行认证,又对IMEI进行认证。但此方法存在几个缺点:
其一,AKA过程执行的不仅仅是用户认证过程和设备认证过程,同时也执行了安全连接建立的过程。在很多情况下都会进行AKA过程,如TAU过程中核心网节点对TA更新请求消息的完整性检查失败的时候,但此时并不需要重新进行设备认证。所以在增强的AKA过程中进行设备认证,会增加通信系统的开销。
其二,增强的AKA过程产生了新的根密钥。虽然该根密钥具有和E-UTRAN中的KASME和UTRAN中的CK、IK相同的功能,但是在目前通信系统中引入该根密钥,会导致现有的安全架构产生一定的变动。
发明内容
本发明要解决的技术问题是提供一种检测UICC是否在授权设备上使用的方法、系统和用户设备,减少设备认证过程的信令开销,保证特定的UICC只能够在特定的设备中使用。
为了解决上述问题,本发明提供了一种检测UICC是否在授权设备上使用的方法,包括:
核心网节点接收到用户设备的附着请求后,与所述用户设备建立安全连接;
所述核心网节点向所述用户设备发送标识请求消息,接收所述用户设备返回的国际移动设备识别码IMEI和设备认证数据,将所述IMEI、所述用户设备上的通用集成电路卡的国际移动用户识别码IMSI和所述设备认证数据通过更新位置请求发送给归属用户服务器HSS/归属位置寄存器HLR;
所述HSS/HLR进行如下检测:检测所述IMEI和IMSI是否为授权的IMEI/IMSI对,和/或,根据所述IMEI对应的设备根密钥检测所述设备认证数据,判断所述IMEI是否合法。
进一步的,上述方法还可具有以下特点,所述方法还包括,
所述HSS/HLR将检测结果通过更新位置响应发送给所述核心网节点;
所述核心网节点根据所述检测结果决定接受或者拒绝所述用户设备的附着请求。
进一步的,上述方法还可具有以下特点,所述方法还包括,所述HSS/HLR本地配置IMSI的授权IMEI列表,所述HSS/HLR根据所述本地配置的IMSI的授权IMEI列表判断所述IMEI和IMSI是否为授权的IMEI/IMSI对。
进一步的,上述方法还可具有以下特点,所述根据所述IMEI对应的设备根密钥检测所述设备认证数据包括:
直接根据所述IMEI对应的设备根密钥检测所述设备认证数据;
或者,根据所述IMEI对应的设备根密钥生成下级密钥,根据所述下级密钥检测所述设备认证数据。
进一步的,上述方法还可具有以下特点,所述下级密钥根据如下方式生成:
所述HSS/HLR使用与所述IMEI对应的设备根密钥、计数器COUNT值、服务网点标识作为输入,生成所述下级密钥;
其中,所述COUNT与用户设备侧的计数器同步,所述HSS/HLR每检测一次设备认证数据后,所述COUNT进行一次计数;所述服务网点标识为当前为所述用户设备服务的网点的标识。
进一步的,上述方法还可具有以下特点,所述HSS/HLR根据所述下级密钥检测所述设备认证数据包括:
所述HSS/HLR使用所述下级密钥对所述设备认证数据进行解密,得到设备响应RES和随机数RAND;
所述HSS/HLR使用所述RAND,所述COUNT和所述下级密钥作为设备响应生成函数的输入,得到期望设备响应XRES;
所述HSS/HLR比较所述XRES和所述RES,如果二者相同,则所述IMEI合法,否则,所述IMEI不合法。
进一步的,上述方法还可具有以下特点,所述HSS/HLR直接根据所述IMEI对应的设备根密钥检测所述设备认证数据包括:
所述HSS/HLR使用所述设备根密钥对所述设备认证数据进行解密,得到设备响应RES和随机数RAND;
所述HSS/HLR使用所述RAND,计数器COUNT值和所述设备根密钥作为设备响应生成函数的输入,得到期望设备响应XRES;
所述HSS/HLR比较所述XRES和所述RES,如果二者相同,则所述IMEI合法,否则,所述IMEI不合法;
其中,所述COUNT与用户设备侧的计数器同步,所述HSS/HLR每检测一次设备认证数据后,所述COUNT进行一次计数;所述服务网点标识为当前为所述用户设备服务的网点的标识。
本发明还提供一种检测UICC是否在授权设备上使用的系统,包括:核心网节点,归属用户服务器HSS/归属位置寄存器HLR,其中:
所述核心网节点用于,接收到用户设备的附着请求后,与所述用户设备建立安全连接;以及,向所述用户设备发送标识请求消息,接收所述用户设备返回的国际移动设备识别码IMEI和设备认证数据;将所述IMEI、所述用户设备上的通用集成电路卡的国际移动用户识别码IMSI和所述设备认证数据通过更新位置请求发送给所述HSS/HLR;
所述HSS/HLR用于,接收到所述更新位置请求后,进行如下检测:检测所述IMEI和IMSI是否为授权的IMEI/IMSI对,和/或,根据所述IMEI对应的设备根密钥检测所述设备认证数据,判断所述IMEI是否合法。
进一步的,上述系统还可具有以下特点,所述HSS/HLR还用于,将检测结果通过更新位置响应发送给所述核心网节点;
所述核心网节点还用于,根据所述检测结果决定接受或者拒绝所述用户设备的附着请求。
进一步的,上述系统还可具有以下特点,所述HSS/HLR还用于,本地配置IMSI的授权IMEI列表,根据本地配置的IMSI的授权IMEI列表判断所述IMEI和IMSI是否为授权的IMEI/IMSI对。
进一步的,上述系统还可具有以下特点,所述HSS/HLR根据所述IMEI对应的设备根密钥检测所述设备认证数据包括:
直接根据所述IMEI对应的设备根密钥检测所述设备认证数据;
或者,根据所述IMEI对应的设备根密钥生成下级密钥,根据所述下级密钥检测所述设备认证数据。
进一步的,上述系统还可具有以下特点,所述HSS/HLR根据如下方式生成所述下级密钥:
所述HSS/HLR使用与所述IMEI对应的设备根密钥、计数器COUNT值、服务网点标识作为输入,生成所述下级密钥;
其中,所述COUNT与用户设备侧的计数器同步,所述HSS/HLR每检测一次设备认证数据后,所述COUNT进行一次计数;
所述服务网点标识为当前为所述用户设备服务的网点的标识。
进一步的,上述系统还可具有以下特点,所述HSS/HLR根据所述下级密钥检测所述设备认证数据包括:
所述HSS/HLR使用所述下级密钥对所述设备认证数据进行解密,得到设备响应RES和随机数RAND;
所述HSS/HLR使用所述RAND,所述COUNT和所述下级密钥作为设备响应生成函数的输入,得到期望设备响应XRES;
所述HSS/HLR比较所述XRES和所述RES,如果二者相同,则所述IMEI合法,否则,所述IMEI不合法。
进一步的,上述系统还可具有以下特点,所述HSS/HLR直接根据所述IMEI对应的设备根密钥检测所述设备认证数据包括:
所述HSS/HLR使用所述设备根密钥对所述设备认证数据进行解密,得到设备响应RES和随机数RAND;
所述HSS/HLR使用所述RAND,计数器COUNT值和所述设备根密钥作为设备响应生成函数的输入,得到期望设备响应XRES;
所述HSS/HLR比较所述XRES和所述RES,如果二者相同,则所述IMEI合法,否则,所述IMEI不合法;
其中,所述COUNT与用户设备侧的计数器同步,所述HSS/HLR每检测一次设备认证数据后,所述COUNT进行一次计数;所述服务网点标识为当前为所述用户设备服务的网点的标识。
本发明一种检测UICC是否在授权设备上使用的方法,包括:
用户设备向核心网节点发送附着请求,与所述核心网节点建立安全连接;
所述用户设备接收到所述核心网节点的标识请求消息后,根据所述用户设备的国际移动设备识别码IMEI对应的设备根密钥生成设备认证数据,将所述IMEI和所述设备认证数据通过标识响应消息发送给所述核心网节点。
进一步的,上述方法还可具有以下特点,所述用户设备根据所述用户设备的IMEI对应的设备根密钥生成设备认证数据包括:
所述用户设备直接根据所述IMEI对应的设备根密钥生成所述设备认证数据;
或者,所述用户设备根据所述IMEI对应的设备根密钥生成下级密钥,根据所述下级密钥生成所述设备认证数据。
进一步的,上述方法还可具有以下特点,所述用户设备根据所述设备根密钥生成下级密钥包括:
所述用户设备使用所述设备根密钥、计数器COUNT值、服务网点标识作为输入,生成所述下级密钥;
其中,所述COUNT与网络侧的计数器同步,所述用户设备每产生一个设备认证数据,所述COUNT进行一次计数;所述服务网点标识为当前为所述用户设备服务的网点的标识。
进一步的,上述方法还可具有以下特点,所述用户设备根据所述下级密钥生成设备认证数据包括:
所述用户设备生成随机数RAND;
所述用户设备以所述随机数RAND、所述COUNT值和所述下级密钥为设备响应生成函数的输入,生成设备响应RES;
所述用户设备使用所述下级密钥对所述RES和RAND进行加密,生成所述设备认证数据。
进一步的,上述方法还可具有以下特点,所述用户设备直接根据所述IMEI对应的设备根密钥生成所述设备认证数据包括:
所述用户设备生成随机数RAND;
所述用户设备以所述随机数RAND、计数器COUNT值和所述设备根密钥作为设备响应生成函数的输入,生成设备响应RES;
所述用户设备使用所述设备根密钥对所述RES和RAND进行加密,生成所述设备认证数据;
所述COUNT与网络侧的计数器同步,所述用户设备每产生一个设备认证数据,所述COUNT进行一次计数。
进一步的,上述方法还可具有以下特点,所述设备根密钥保存在所述用户设备的安全组件中,且禁止将所述设备根密钥读出所述安全组件。
本发明还提供一种用户设备,包括:
附着单元,用于向核心网节点发送附着请求,与所述核心网节点建立安全连接;
设备认证数据生成单元,用于接收到所述核心网节点的标识请求消息后,根据所述用户设备的国际移动设备识别码IMEI对应的设备根密钥生成设备认证数据;
发送单元,用于将所述IMEI和所述设备认证数据通过标识响应消息发送给所述核心网节点。
进一步的,上述用户设备还可具有以下特点,所述设备认证数据生成单元根据所述用户设备的IMEI对应的设备根密钥生成设备认证数据包括:
直接根据所述IMEI对应的设备根密钥生成所述设备认证数据;
或者,根据所述IMEI对应的设备根密钥生成下级密钥,根据所述下级密钥生成所述设备认证数据。
进一步的,上述用户设备还可具有以下特点,所述用户设备还包括计数器COUNT,与网络侧的计数器同步,用于:当所述设备认证数据生成单元每产生一个设备认证数据,进行一次计数;
所述设备认证数据生成单元根据所述设备根密钥生成下级密钥包括:
使用所述设备根密钥、计数器COUNT值、服务网点标识作为输入,生成所述下级密钥;
所述服务网点标识为当前为所述用户设备服务的网点的标识。
进一步的,上述用户设备还可具有以下特点,所述设备认证数据生成单元根据所述下级密钥生成设备认证数据包括:
生成随机数RAND;
以所述随机数RAND、所述COUNT值和所述下级密钥为设备响应生成函数的输入,生成设备响应RES;
使用所述下级密钥对所述RES和RAND进行加密,生成所述设备认证数据。
进一步的,上述用户设备还可具有以下特点,所述用户设备还包括计数器COUNT,与网络侧的计数器同步,用于所述设备认证数据生成单元每产生一个设备认证数据,进行一次计数;
所述设备认证数据生成单元直接根据所述IMEI对应的设备根密钥生成所述设备认证数据包括:
生成随机数RAND;
以所述随机数RAND、计数器COUNT值和所述设备根密钥作为设备响应生成函数的输入,生成设备响应RES;
使用所述设备根密钥对所述RES和RAND进行加密,生成所述设备认证数据。
进一步的,上述用户设备还可具有以下特点,所述用户设备还包括安全组件,用于存储所述设备根密钥,且禁止将所述设备根密钥读出所述安全组件。
本发明提供了一种检测UICC是否在授权设备上使用的方法、系统和用户设备,在不改变附着过程流程和现今安全架构的基础上,让核心网对设备进行认证,减少了设备认证过程的信令开销;并且能够让核心网检测IMSI/IMEI配对是否被授权,使得核心网能够保证特定的UICC只能够在特定的设备中使用。
附图说明
图1描述的是一种进行设备认证并且验证IMSI/IMEI对是否授权的实施例;
图2描述的是如何在附着过程中实施该设备认证和验证IMSI/IMEI对是否授权的实施例;
图3是本发明实施例用户设备框图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下文中将结合附图对本发明的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
要使核心网能够执行设备认证,需要一个通信双方都保有的根密钥device_root_key。所述device_root_key和设备的IMEI相对应。在核心网端,该device_root_key保存在HSS/HLR中;在UE端,该device_root_key保存在设备中。在设备上,需要有一个安全组件保存该device_root_key,所有与该device_root_key相关的加解密操作和其他运算都要在这个安全组件中进行。所述device_root_key禁止被读出该安全组件。
本发明实施例提供的一种检测UICC是否在授权设备上使用的方法,包括:
核心网节点接收到用户设备的附着请求后,与所述用户设备建立安全连接;
所述核心网节点向所述用户设备发送标识请求消息,接收所述用户设备返回的国际移动设备识别码IMEI和设备认证数据,将所述IMEI、所述用户设备上的通用集成电路卡的国际移动用户识别码IMSI和所述设备认证数据通过更新位置请求发送给归属用户服务器HSS/归属位置寄存器HLR;
所述HSS/HLR进行如下检测:检测所述IMEI和IMSI是否为授权的IMEI/IMSI对,和/或,根据所述IMEI对应的设备根密钥检测所述设备认证数据,判断所述IMEI是否合法。
其中,所述方法还包括,
所述HSS/HLR将检测结果通过更新位置响应发送给所述核心网节点;
所述核心网节点根据所述检测结果决定接受或者拒绝所述用户设备的附着请求。
其中,所述方法还包括,所述HSS/HLR本地配置IMSI的授权IMEI列表,所述HSS/HLR根据所述本地配置的IMSI的授权IMEI列表判断所述IMEI和IMSI是否为授权的IMEI/IMSI对。
其中,所述根据所述IMEI对应的设备根密钥检测所述设备认证数据包括:
直接根据所述IMEI对应的设备根密钥检测所述设备认证数据;或者,
或者,根据所述IMEI对应的设备根密钥生成下级密钥,根据所述下级密钥检测所述设备认证数据。
其中,所述下级密钥根据如下方式生成:
所述HSS/HLR使用与所述IMEI对应的设备根密钥、计数器COUNT值、服务网点标识作为输入,生成所述下级密钥;
其中,所述COUNT与用户设备侧的计数器同步,所述HSS/HLR每检测一次设备认证数据后,所述COUNT进行一次计数;所述服务网点标识为当前为所述用户设备服务的网点的标识。
上述生成下级密钥的方法仅为示例,可以使用其他方式生成下级密钥,比如,将生成的下级密钥再次作为密钥生成函数的输入,将新生成的密钥作为下级密钥,等等,本发明对此不作限定。
其中,所述HSS/HLR根据所述下级密钥检测所述设备认证数据包括:
所述HSS/HLR使用所述下级密钥对所述设备认证数据进行解密,得到设备响应RES和随机数RAND;
所述HSS/HLR使用所述RAND,所述COUNT和所述下级密钥作为设备响应生成函数的输入,得到期望设备响应XRES;
所述HSS/HLR比较所述XRES和所述RES,如果二者相同,则所述IMEI合法,否则,所述IMEI不合法。
其中,所述HSS/HLR直接根据所述IMEI对应的设备根密钥检测所述设备认证数据包括:
所述HSS/HLR使用所述设备根密钥对所述设备认证数据进行解密,得到设备响应RES和随机数RAND;
所述HSS/HLR使用所述RAND,计数器COUNT值和所述设备根密钥作为设备响应生成函数的输入,得到期望设备响应XRES;
所述HSS/HLR比较所述XRES和所述RES,如果二者相同,则所述IMEI合法,否则,所述IMEI不合法。
本发明实施例还提供一种检测UICC是否在授权设备上使用的方法,包括:
用户设备向核心网节点发送附着请求,与所述核心网节点建立安全连接;
所述用户设备接收到所述核心网节点的标识请求消息后,根据所述用户设备的国际移动设备识别码IMEI对应的设备根密钥生成设备认证数据,将所述IMEI和所述设备认证数据通过标识响应消息发送给所述核心网节点。
其中,所述用户设备根据所述用户设备的IMEI对应的设备根密钥生成设备认证数据包括:
所述用户设备直接根据所述IMEI对应的设备根密钥生成所述设备认证数据;
或者,所述用户设备根据所述IMEI对应的设备根密钥生成下级密钥,根据所述下级密钥生成所述设备认证数据。
其中,所述用户设备根据所述设备根密钥生成下级密钥包括:
所述用户设备使用所述设备根密钥、计数器COUNT值、服务网点标识作为输入,生成所述下级密钥;
其中,所述COUNT与网络侧的计数器同步,所述用户设备每产生一个设备认证数据,所述COUNT进行一次计数;所述服务网点标识为当前为所述用户设备服务的网点的标识。
其中,所述用户设备根据所述下级密钥生成设备认证数据包括:
所述用户设备生成随机数RAND;
所述用户设备以所述随机数RAND、所述COUNT值和所述下级密钥为设备响应生成函数的输入,生成设备响应RES;
所述用户设备使用所述下级密钥对所述RES和RAND进行加密,生成所述设备认证数据。
其中,所述用户设备直接根据所述IMEI对应的设备根密钥生成所述设备认证数据包括:
所述用户设备生成随机数RAND;
所述用户设备以所述随机数RAND、计数器COUNT值和所述设备根密钥作为设备响应生成函数的输入,生成设备响应RES;
所述用户设备使用所述设备根密钥对所述RES和RAND进行加密,生成所述设备认证数据;
所述COUNT与网络侧的计数器同步,所述用户设备每产生一个设备认证数据,所述COUNT进行一次计数。
其中,所述设备根密钥保存在所述用户设备的安全组件中,且禁止将所述设备根密钥读出所述安全组件。
下述实施例中将下一级密钥作为下级密钥对本发明进行说明。
本发明实施例提供的检测UICC是否在授权设备上使用的方法包括:
步骤1,HSS/HLR中预先为每个IMSI配置了一组授权的IMEI列表。
步骤2,UE在向核心网节点CNN(Core Network Node)发送了附着请求后,与核心网进行标准的AKA过程。CNN为核心网节点,例如UTRAN/GERAN中的SGSN,或E-UTRAN中的MME。在标准的AKA过程之后,UE和核心网节点之间的安全连接已建立,以下UE和CNN之间的所有信令交互都由当前安全上下文所保护。CNN向UE发送“标识请求”,请求UE的设备标识,并请求设备认证数据。
步骤3,UE在接收到CNN发来的“标识请求”消息后,将产生设备认证数据(Device authentication data),并将设备认证数据和IMEI一同在“标识响应”消息中发送给CNN。所述设备认证数据由设备产生,而不是由UICC产生。
步骤4,CNN在“更新位置请求”中将IMSI/IMEI对和设备认证数据转发给HSS/HLR。
步骤5,HSS/HLR对该设备认证数据进行检测,以此判断UE发送过来的IMEI是否合法,即HSS/HLR进行设备认证。
步骤6,如果HSS/HLR检测到所述IMEI是合法的,HSS进一步检测IMSI/IMEI对是否为授权的IMSI/IMEI对。
步骤7,HSS/HLR在“更新位置响应”中将步骤4和步骤5中的检测结果告知CNN。
步骤8,CNN根据HSS/HLR告知的检测结果,决定是接受UE的附着请求或者拒绝UE的附着请求。
以上步骤5和步骤6所述的HSS/HLR的检测顺序可以对调,即HSS/HLR可以先检测IMSI/IMEI对是否为授权的IMSI/IMEI对,再检测所述IMEI是否合法。所述的这两个步骤中,只要其中一个步骤检测不通过,HSS/HLR则告知CNN拒绝所述UE的附着请求。
以上所述步骤3中的UE生成设备认证数据和步骤5中的HSS/HLR对设备认证数据进行检测,其主要目的是UE通过某种方式向HSS/HLR表明自己是持有与所述IMEI对应的device_root_key的UE。HSS/HLR判断设备是否合法的方式,就是判断该设备是否持有与其IMEI对应的device_root_key。
UE由设备和UICC组成。设备认证数据是由设备生成,而不是由UICC生成。设备生成设备认证数据的方式可以是以下方式,但不限定于以下方式:
步骤3A,UE产生一个随机数RAND。
步骤3B,UE使用device_root_key、COUNT、SN id(服务网点id)作为输入,生成下一级密钥next_key。生成下一级密钥的方法和EPS AKA过程中UE使用根密钥K生成下一级密钥KASME的方式相同,只是输入参数有所不同。当然,next_key也可以直接使用device_root_key替换。
next_key=KDF(device_root_key,COUNT,SN id)。
COUNT为UE和HSS/HLR都保有的计数器,在UE和HSS/HLR之间保持同步,用于防止重放攻击。UE每产生一个设备认证数据,UE端的COUNT便会进行一次计数,每次计数可以加1,也可以加一指定值;HSS/HLR每验证一次设备认证数据,HSS/HLR端的COUNT便会进行一次计数,比如,加1。
SN id是当前正在为所述UE服务的网点标识。所述SN id是UE端和HSS/HLR端都已知的信息。
步骤3C,UE以RAND、COUNT和next_key作为设备响应生成函数的输入,产生设备响应RES。
RES=设备响应生成函数(RAND,COUNT,next_key)。
设备响应生成函数为单向函数,所述设备响应生成函数要能够保证不可逆推,即让攻击者即便知道了RES、RAND、COUNT三个数据,也不能够推导出next_key。
步骤3D,UE产生设备认证数据:Device_authentication_data=Enext_key(RES||RAND)。即设备认证数据为RES||RAND被next_key进行加密后的数据。
其中,HSS/HLR检测设备认证数据的方法和终端侧产生设备认证数据的方法相对应,HSS/HLR检测设备认证数据的一种方式如下,但不限定于以下方式:
步骤5A,HSS/HLR根据所述IMEI,查询到该设备的device_root_key。
步骤5B,HSS/HLR使用device_root_key、COUNT、SN id(服务网点id)作为输入,生成下一级密钥next_key。
COUNT是在UE端和HSS/HLR端保持同步的数据。SN id是UE端和HSS/HLR端都已知的数据。生成下一级密钥的方法和EPS AKA过程中HSS/HLR使用根密钥K生成下一级密钥KASME的方式相同,只是输入参数有所不同。
next_key=KDF(device_root_key,COUNT,SN id)。
步骤5C,HSS/HLR使用next_key将设备认证数据解密,得到RES||RAND。
步骤5D,HSS/HLR使用接收到的RAND,并使用COUNT和next_key作为设备响应生成函数的输入,得到期望设备响应XRES。
XRES=设备响应生成函数(RAND,COUNT,next_key)。
步骤5E,HSS/HLR将接收到的RES和自己生成的XRES进行比较。如果相同,则说明所述IMEI合法;如果不同,则说明所述IMEI不合法。
如图1所述,本发明描述了一种进行设备认证并且验证IMSI/IMEI对是否授权的实施例。
步骤101,HSS/HLR中为每一个IMSI都预先定义了一组授权的IMEI列表。IMSI为保存在UICC里面的全球唯一的签约用户标识,IMEI为保存在设备中的全球唯一的设备标识。HSS/HLR通过查询所述IMEI是否存在于所述IMSI的授权IMEI列表中,便可知道所述IMSI/IMEI对是否为授权的IMSI/IMEI对,从而判断与所述IMSI所对应的UICC是否授权在与所述IMEI所对应的设备中使用。
步骤102,UE向CNN发起附着请求,请求与网络建立连接。然后UE和网络会进行标准的AKA过程,进行相互的认证,并且建立起安全连接,安全连接建立后,所有的CNN和UE之间的信令交互都会被当前安全上下文所保护。安全连接建立以后,CNN向UE请求设备标识IMEI和设备认证数据。
步骤103,UE在接收到CNN发出的请求设备标识和设备认证数据的消息后,将产生设备认证数据。产生设备认证数据的过程如下:
A、UE产生一个随机数RAND。
B、UE使用device_root_key、COUNT、SN id(服务网点id)作为输入,生成下一级密钥next_key。生成下一级密钥的方法和EPS AKA过程中UE使用根密钥K生成下一级密钥KASME的方式相同,只是输入参数有所不同。
next_key=KDF(device_root_key,COUNT,SN id)。
COUNT为UE和HSS/HLR都保有的计数器,在UE和HSS/HLR之间保持同步,用于防止重放攻击。UE每产生一个设备认证数据,UE端的COUNT便会加1;HSS/HLR每验证一次设备认证数据,HSS/HLR端的COUNT便会加1。
SN id是当前正在为所述UE服务的网点标识。所述SN id是UE端和HSS/HLR端都已知的信息。
C、UE以RAND、COUNT和next_key作为设备响应生成函数的输入,产生设备响应RES。
RES=设备响应生成函数(RAND,COUNT,next_key)。
设备响应生成函数为单向函数,所述设备响应生成函数要能够保证不可逆推,即让攻击者即便知道了RES、RAND、COUNT三个数据,也不能够推导出next_key。
D、UE产生设备认证数据:Device_authentication_data=Enext_key(RES||RAND)。即设备认证数据为RES||RAND被next_key进行加密后的数据。
UE在产生了设备认证数据后,将设备认证数据和设备标识IMEI一同发送给CNN。
步骤104,CNN在接收到UE发过来的IMEI和设备认证数据后,将IMSI/IMEI对和设备认证数据转发给HSS/HLR,要求HSS/HLR验证IMEI是否合法,并且验证IMSI/IMEI对是否被授权。
步骤105,HSS/HLR在接收到设备认证数据和IMSI/IMEI对后,首先验证IMEI是否合法。验证IMEI是否合法的方式是验证设备认证数据,其验证方法如下所述:
A、HSS/HLR根据所述IMEI,查询到该设备的device_root_key。
B、HSS/HLR使用device_root_key、COUNT、SN id(服务网点id)作为输入,生成下一级密钥next_key。
COUNT是在UE端和HSS/HLR端保持同步的数据。SN id是UE端和HSS/HLR端都已知的数据。生成下一级密钥的方法和EPS AKA过程中HSS/HLR使用根密钥K生成下一级密钥KASME的方式相同,只是输入参数有所不同。
next_key=KDF(device_root_key,COUNT,SN id)。
C、HSS/HLR使用next_key将设备认证数据解密,得到RES||RAND。
D、HSS/HLR使用接收到的RAND,并使用COUNT和next_key作为设备响应生成函数的输入,得到期望设备响应XRES。
XRES=设备响应生成函数(RAND,COUNT,next_key)。
E、HSS/HLR将接收到的RES和自己生成的XRES进行比较。如果相同,则说明所述IMEI合法;如果不同,则说明所述IMEI不合法。
步骤106,如果步骤105验证得出所述IMEI是合法的,则进行此步。HSS/HLR将进一步验证IMSI/IMEI对是否被授权。HSS/HLR通过查询所述IMEI是否存在于所述IMSI的授权IMEI列表中,便可知道所述IMSI/IMEI对是否为授权的IMSI/IMEI对。
步骤107,HSS/HLR将步骤105和步骤106的检测结果告知CNN。
步骤108,CNN根据HSS/HLR告知的检测结果决定接受附着请求或拒绝附着请求。如果验证IMEI是非法的,CNN则拒绝附着请求,并告知拒绝附着请求的原因是设备认证不合格;如果IMEI合法但是IMSI/IMEI对未被授权,CNN同样拒绝附着请求,并告知拒绝附着请求的原因是IMSI/IMEI对未被授权;如果IMEI合法并且IMSI/IMEI对是被授权的IMSI/IMEI对,CNN则接受附着请求。
图2描述的是如何在附着过程中实施该设备认证和验证IMSI/IMEI对是否授权的实施例。
步骤201,HSS/HLR中为每一个IMSI都预先定义了一组授权的IMEI列表。IMSI为保存在UICC里面的全球唯一的签约用户标识,IMEI为保存在设备中的全球唯一的设备标识。HSS/HLR通过查询所述IMEI是否存在于所述IMSI的授权IMEI列表中,便可知道所述IMSI/IMEI对是否为授权的IMSI/IMEI对,从而判断与所述IMSI所对应的UICC是否授权在与所述IMEI所对应的设备中使用。
步骤202,UE向CNN发送附着请求消息,发起网络附着过程,消息中包含IMSI或临时用户身份标志等信息。
步骤203,如果UE向CNN发送的是临时用户身份标志,CNN要通过此临时用户身份标志查询或请求到该用户的IMSI。
如果网络中没有保存UE的上下文,或者如果附着请求没有得到完整性保护,或者完整性检查失败,则CNN使用该IMSI向HSS/HLR请求鉴权向量。
步骤204,如果CNN向HSS/HLR请求了鉴权向量,HSS/HLR则根据IMSI查询到与该IMSI对应的根密钥,并产生鉴权向量,并向CNN响应鉴权向量。
步骤205,如步骤203中所述,如果网络中没有保存UE的上下文,或者如果附着请求没有得到完整性保护,或者完整性检查失败,UE和CNN则要进行标准的AKA过程,并且建立起安全连接。安全连接建立以后,以下所有的信令都要被当前安全上下文所保护。
步骤206,CNN向UE发送标识请求,请求该UE的设备标识,并在该消息中请求UE发送设备认证数据。
UE在收到来自于CNN的标识请求消息后,将生成设备认证数据。产生设备认证数据的过程如下:
A、UE产生一个随机数RAND。
B、UE使用device_root_key、COUNT、SN id(服务网点id)作为输入,生成下一级密钥next_key。生成下一级密钥的方法和EPS AKA过程中UE使用根密钥K生成下一级密钥KASME的方式相同,只是输入参数有所不同。
next_key=KDF(device_root_key,COUNT,SN id)。
COUNT为UE和HSS/HLR都保有的计数器,在UE和HSS/HLR之间保持同步,用于防止重放攻击。UE每产生一个设备认证数据,UE端的COUNT便会加1;HSS/HLR每验证一次设备认证数据,HSS/HLR端的COUNT便会加1。
SN id是当前正在为所述UE服务的网点标识。所述SN id是UE端和HSS/HLR端都已知的信息。
C、UE以RAND、COUNT和next_key作为设备响应生成函数的输入,产生设备响应RES。
RES=设备响应生成函数(RAND,COUNT,next_key)。
设备响应生成函数为单向函数,所述设备响应生成函数要能够保证不可逆推,即让攻击者即便知道了RES、RAND、COUNT三个数据,也不能够推导出next_key。
D、UE产生设备认证数据:Device_authentication_data=Enext_key(RES||RAND)。即设备认证数据为RES||RAND被next_key进行加密后的数据。
步骤207,UE给CNN发送标识响应消息,消息中附带所述设备的IMEI,并附带产生的设备认证数据。
步骤208,CNN在更新位置请求消息中,将所述IMSI/IMEI对和所述设备认证数据转发给HSS/HLR。
步骤209,HSS/HLR在接收到设备认证数据和IMSI/IMEI对后,首先验证IMEI是否合法。验证IMEI是否合法的方式是验证设备认证数据,其验证方法如下所述:
A、HSS/HLR根据所述IMEI,查询到该设备的device_root_key。
B、HSS/HLR使用device_root_key、COUNT、SN id(服务网点id)作为输入,生成下一级密钥next_key。
COUNT是在UE端和HSS/HLR端保持同步的数据。SN id是UE端和HSS/HLR端都已知的数据。生成下一级密钥的方法和EPS AKA过程中HSS/HLR使用根密钥K生成下一级密钥KASME的方式相同,只是输入参数有所不同。
next_key=KDF(device_root_key,COUNT,SN id)。
C、HSS/HLR使用next_key将设备认证数据解密,得到RES||RAND。
D、HSS/HLR使用接收到的RAND,并使用COUNT和next_key作为设备响应生成函数的输入,得到期望设备响应XRES。
XRES=设备响应生成函数(RAND,COUNT,next_key)。
E、HSS/HLR将接收到的RES和自己生成的XRES进行比较。如果相同,则说明所述IMEI合法;如果不同,则说明所述IMEI不合法。
步骤210,如果步骤209验证得出所述IMEI是合法的,则进行此步。HSS/HLR将进一步验证IMSI/IMEI对是否被授权。HSS/HLR通过查询所述IMEI是否存在于所述IMSI的授权IMEI列表中,便可知道所述IMSI/IMEI对是否为授权的IMSI/IMEI对。
步骤211,HSS/HLR在更新位置响应中将步骤209和步骤210的检测结果告知CNN。
步骤212,CNN根据HSS/HLR告知的检测结果决定接受附着请求或拒绝附着请求。如果验证IMEI是非法的,CNN则拒绝附着请求,并告知拒绝附着请求的原因是设备认证不合格;如果IMEI合法但是IMSI/IMEI对未被授权,CNN同样拒绝附着请求,并告知拒绝附着请求的原因是IMSI/IMEI对未被授权;如果IMEI合法并且IMSI/IMEI对是被授权的IMSI/IMEI对,CNN则接受附着请求。
本发明实施例还提供一种检测UICC是否在授权设备上使用的系统,包括:核心网节点,归属用户服务器HSS/归属位置寄存器HLR,其中:
所述核心网节点用于,接收到用户设备的附着请求后,与所述用户设备建立安全连接;以及,向所述用户设备发送标识请求消息,接收所述用户设备返回的国际移动设备识别码IMEI和设备认证数据;将所述IMEI、所述用户设备上的通用集成电路卡的国际移动用户识别码IMSI和所述设备认证数据通过更新位置请求发送给所述HSS/HLR;
所述HSS/HLR用于,接收到所述更新位置请求后,进行如下检测:检测所述IMEI和IMSI是否为授权的IMEI/IMSI对,和/或,根据所述IMEI对应的设备根密钥检测所述设备认证数据,判断所述IMEI是否合法。
核心网节点和HSS/HLR的具体功能参见方法实施例。
本发明实施例还提供一种用户设备,如图3所示,包括:
附着单元,用于向核心网节点发送附着请求,与所述核心网节点建立安全连接;
设备认证数据生成单元,用于接收到所述核心网节点的标识请求消息后,根据所述用户设备的国际移动设备识别码IMEI对应的设备根密钥生成设备认证数据;
发送单元,用于将所述IMEI和所述设备认证数据通过标识响应消息发送给所述核心网节点。
其中,所述设备认证数据生成单元根据所述用户设备的IMEI对应的设备根密钥生成设备认证数据包括:
直接根据所述IMEI对应的设备根密钥生成所述设备认证数据;
或者,根据所述IMEI对应的设备根密钥生成下级密钥,根据所述下级密钥生成所述设备认证数据。
其中,所述用户设备还包括计数器COUNT,与网络侧的计数器同步,用于:当所述设备认证数据生成单元每产生一个设备认证数据,进行一次计数;
所述设备认证数据生成单元根据所述设备根密钥生成下级密钥包括:
使用所述设备根密钥、计数器COUNT值、服务网点标识作为输入,生成所述下级密钥;
所述服务网点标识为当前为所述用户设备服务的网点的标识。
其中,所述设备认证数据生成单元根据所述下级密钥生成设备认证数据包括:
生成随机数RAND;
以所述随机数RAND、所述COUNT值和所述下级密钥为设备响应生成函数的输入,生成设备响应RES;
使用所述下级密钥对所述RES和RAND进行加密,生成所述设备认证数据。
其中,所述设备认证数据生成单元直接根据所述IMEI对应的设备根密钥生成所述设备认证数据包括:
生成随机数RAND;
以所述随机数RAND、计数器COUNT值和所述设备根密钥作为设备响应生成函数的输入,生成设备响应RES;
使用所述设备根密钥对所述RES和RAND进行加密,生成所述设备认证数据。
其中,所述用户设备还包括安全组件,用于存储所述设备根密钥,且禁止将所述设备根密钥读出所述安全组件。
本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成,所述程序可以存储于计算机可读存储介质中,如只读存储器、磁盘或光盘等。可选地,上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现。相应地,上述实施例中的各模块/单元可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。本发明不限制于任何特定形式的硬件和软件的结合。
Claims (26)
1.一种检测UICC是否在授权设备上使用的方法,其特征在于,包括:
核心网节点接收到用户设备的附着请求后,与所述用户设备建立安全连接;
所述核心网节点向所述用户设备发送标识请求消息,接收所述用户设备返回的国际移动设备识别码IMEI和设备认证数据,将所述IMEI、所述用户设备上的通用集成电路卡的国际移动用户识别码IMSI和所述设备认证数据通过更新位置请求发送给归属用户服务器HSS/归属位置寄存器HLR;
所述HSS/HLR进行如下检测:检测所述IMEI和IMSI是否为授权的IMEI/IMSI对,和/或,根据所述IMEI对应的设备根密钥检测所述设备认证数据,判断所述IMEI是否合法。
2.如权利要求1所述的方法,其特征在于,所述方法还包括,
所述HSS/HLR将检测结果通过更新位置响应发送给所述核心网节点;
所述核心网节点根据所述检测结果决定接受或者拒绝所述用户设备的附着请求。
3.如权利要求1所述的方法,其特征在于,所述方法还包括,所述HSS/HLR本地配置IMSI的授权IMEI列表,所述HSS/HLR根据所述本地配置的IMSI的授权IMEI列表判断所述IMEI和IMSI是否为授权的IMEI/IMSI对。
4.如权利要求1所述的方法,其特征在于,所述根据所述IMEI对应的设备根密钥检测所述设备认证数据包括:
直接根据所述IMEI对应的设备根密钥检测所述设备认证数据;
或者,根据所述IMEI对应的设备根密钥生成下级密钥,根据所述下级密钥检测所述设备认证数据。
5.如权利要去4所述的方法,其特征在于,所述下级密钥根据如下方式生成:
所述HSS/HLR使用与所述IMEI对应的设备根密钥、计数器COUNT值、服务网点标识作为输入,生成所述下级密钥;
其中,所述COUNT与用户设备侧的计数器同步,所述HSS/HLR每检测一次设备认证数据后,所述COUNT进行一次计数;所述服务网点标识为当前为所述用户设备服务的网点的标识。
6.如权利要求5所述的方法,其特征在于,所述HSS/HLR根据所述下级密钥检测所述设备认证数据包括:
所述HSS/HLR使用所述下级密钥对所述设备认证数据进行解密,得到设备响应RES和随机数RAND;
所述HSS/HLR使用所述RAND,所述COUNT和所述下级密钥作为设备响应生成函数的输入,得到期望设备响应XRES;
所述HSS/HLR比较所述XRES和所述RES,如果二者相同,则所述IMEI合法,否则,所述IMEI不合法。
7.如权利要求4所述的方法,其特征在于,所述HSS/HLR直接根据所述IMEI对应的设备根密钥检测所述设备认证数据包括:
所述HSS/HLR使用所述设备根密钥对所述设备认证数据进行解密,得到设备响应RES和随机数RAND;
所述HSS/HLR使用所述RAND,计数器COUNT值和所述设备根密钥作为设备响应生成函数的输入,得到期望设备响应XRES;
所述HSS/HLR比较所述XRES和所述RES,如果二者相同,则所述IMEI合法,否则,所述IMEI不合法;
其中,所述COUNT与用户设备侧的计数器同步,所述HSS/HLR每检测一次设备认证数据后,所述COUNT进行一次计数;所述服务网点标识为当前为所述用户设备服务的网点的标识。
8.一种检测UICC是否在授权设备上使用的系统,其特征在于,包括:核心网节点,归属用户服务器HSS/归属位置寄存器HLR,其中:
所述核心网节点用于,接收到用户设备的附着请求后,与所述用户设备建立安全连接;以及,向所述用户设备发送标识请求消息,接收所述用户设备返回的国际移动设备识别码IMEI和设备认证数据;将所述IMEI、所述用户设备上的通用集成电路卡的国际移动用户识别码IMSI和所述设备认证数据通过更新位置请求发送给所述HSS/HLR;
所述HSS/HLR用于,接收到所述更新位置请求后,进行如下检测:检测所述IMEI和IMSI是否为授权的IMEI/IMSI对,和/或,根据所述IMEI对应的设备根密钥检测所述设备认证数据,判断所述IMEI是否合法。
9.如权利要求8所述的系统,其特征在于,
所述HSS/HLR还用于,将检测结果通过更新位置响应发送给所述核心网节点;
所述核心网节点还用于,根据所述检测结果决定接受或者拒绝所述用户设备的附着请求。
10.如权利要求8所述的系统,其特征在于,所述HSS/HLR还用于,本地配置IMSI的授权IMEI列表,根据本地配置的IMSI的授权IMEI列表判断所述IMEI和IMSI是否为授权的IMEI/IMSI对。
11.如权利要求8所述的系统,其特征在于,所述HSS/HLR根据所述IMEI对应的设备根密钥检测所述设备认证数据包括:
直接根据所述IMEI对应的设备根密钥检测所述设备认证数据;
或者,根据所述IMEI对应的设备根密钥生成下级密钥,根据所述下级密钥检测所述设备认证数据。
12.如权利要去11所述的系统,其特征在于,所述HSS/HLR根据如下方式生成所述下级密钥:
所述HSS/HLR使用与所述IMEI对应的设备根密钥、计数器COUNT值、服务网点标识作为输入,生成所述下级密钥;
其中,所述COUNT与用户设备侧的计数器同步,所述HSS/HLR每检测一次设备认证数据后,所述COUNT进行一次计数;
所述服务网点标识为当前为所述用户设备服务的网点的标识。
13.如权利要求12所述的系统,其特征在于,所述HSS/HLR根据所述下级密钥检测所述设备认证数据包括:
所述HSS/HLR使用所述下级密钥对所述设备认证数据进行解密,得到设备响应RES和随机数RAND;
所述HSS/HLR使用所述RAND,所述COUNT和所述下级密钥作为设备响应生成函数的输入,得到期望设备响应XRES;
所述HSS/HLR比较所述XRES和所述RES,如果二者相同,则所述IMEI合法,否则,所述IMEI不合法。
14.如权利要求11所述的系统,其特征在于,所述HSS/HLR直接根据所述IMEI对应的设备根密钥检测所述设备认证数据包括:
所述HSS/HLR使用所述设备根密钥对所述设备认证数据进行解密,得到设备响应RES和随机数RAND;
所述HSS/HLR使用所述RAND,计数器COUNT值和所述设备根密钥作为设备响应生成函数的输入,得到期望设备响应XRES;
所述HSS/HLR比较所述XRES和所述RES,如果二者相同,则所述IMEI合法,否则,所述IMEI不合法;
其中,所述COUNT与用户设备侧的计数器同步,所述HSS/HLR每检测一次设备认证数据后,所述COUNT进行一次计数;所述服务网点标识为当前为所述用户设备服务的网点的标识。
15.一种检测UICC是否在授权设备上使用的方法,其特征在于,包括:
用户设备向核心网节点发送附着请求,与所述核心网节点建立安全连接;
所述用户设备接收到所述核心网节点的标识请求消息后,根据所述用户设备的国际移动设备识别码IMEI对应的设备根密钥生成设备认证数据,将所述IMEI和所述设备认证数据通过标识响应消息发送给所述核心网节点。
16.如权利要求15所述的方法,其特征在于,所述用户设备根据所述用户设备的IMEI对应的设备根密钥生成设备认证数据包括:
所述用户设备直接根据所述IMEI对应的设备根密钥生成所述设备认证数据;
或者,所述用户设备根据所述IMEI对应的设备根密钥生成下级密钥,根据所述下级密钥生成所述设备认证数据。
17.如权利要求16所述的方法,其特征在于,所述用户设备根据所述设备根密钥生成下级密钥包括:
所述用户设备使用所述设备根密钥、计数器COUNT值、服务网点标识作为输入,生成所述下级密钥;
其中,所述COUNT与网络侧的计数器同步,所述用户设备每产生一个设备认证数据,所述COUNT进行一次计数;所述服务网点标识为当前为所述用户设备服务的网点的标识。
18.如权利要求17所述的方法,其特征在于,所述用户设备根据所述下级密钥生成设备认证数据包括:
所述用户设备生成随机数RAND;
所述用户设备以所述随机数RAND、所述COUNT值和所述下级密钥为设备响应生成函数的输入,生成设备响应RES;
所述用户设备使用所述下级密钥对所述RES和RAND进行加密,生成所述设备认证数据。
19.如权利要求16所述的方法,其特征在于,所述用户设备直接根据所述IMEI对应的设备根密钥生成所述设备认证数据包括:
所述用户设备生成随机数RAND;
所述用户设备以所述随机数RAND、计数器COUNT值和所述设备根密钥作为设备响应生成函数的输入,生成设备响应RES;
所述用户设备使用所述设备根密钥对所述RES和RAND进行加密,生成所述设备认证数据;
所述COUNT与网络侧的计数器同步,所述用户设备每产生一个设备认证数据,所述COUNT进行一次计数。
20.如权利要求15至19任一所述的方法,其特征在于,所述设备根密钥保存在所述用户设备的安全组件中,且禁止将所述设备根密钥读出所述安全组件。
21.一种用户设备,其特征在于,包括:
附着单元,用于向核心网节点发送附着请求,与所述核心网节点建立安全连接;
设备认证数据生成单元,用于接收到所述核心网节点的标识请求消息后,根据所述用户设备的国际移动设备识别码IMEI对应的设备根密钥生成设备认证数据;
发送单元,用于将所述IMEI和所述设备认证数据通过标识响应消息发送给所述核心网节点。
22.如权利要求21所述的用户设备,其特征在于,所述设备认证数据生成单元根据所述用户设备的IMEI对应的设备根密钥生成设备认证数据包括:
直接根据所述IMEI对应的设备根密钥生成所述设备认证数据;
或者,根据所述IMEI对应的设备根密钥生成下级密钥,根据所述下级密钥生成所述设备认证数据。
23.如权利要求22所述的用户设备,其特征在于,所述用户设备还包括计数器COUNT,与网络侧的计数器同步,用于:当所述设备认证数据生成单元每产生一个设备认证数据,进行一次计数;
所述设备认证数据生成单元根据所述设备根密钥生成下级密钥包括:
使用所述设备根密钥、计数器COUNT值、服务网点标识作为输入,生成所述下级密钥;
所述服务网点标识为当前为所述用户设备服务的网点的标识。
24.如权利要求23所述的用户设备,其特征在于,所述设备认证数据生成单元根据所述下级密钥生成设备认证数据包括:
生成随机数RAND;
以所述随机数RAND、所述COUNT值和所述下级密钥为设备响应生成函数的输入,生成设备响应RES;
使用所述下级密钥对所述RES和RAND进行加密,生成所述设备认证数据。
25.如权利要求22所述的用户设备,其特征在于,
所述用户设备还包括计数器COUNT,与网络侧的计数器同步,用于所述设备认证数据生成单元每产生一个设备认证数据,进行一次计数;
所述设备认证数据生成单元直接根据所述IMEI对应的设备根密钥生成所述设备认证数据包括:
生成随机数RAND;
以所述随机数RAND、计数器COUNT值和所述设备根密钥作为设备响应生成函数的输入,生成设备响应RES;
使用所述设备根密钥对所述RES和RAND进行加密,生成所述设备认证数据。
26.如权利要求21至25任一所述的用户设备,其特征在于,所述用户设备还包括安全组件,用于存储所述设备根密钥,且禁止将所述设备根密钥读出所述安全组件。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210072649.5A CN102595400B (zh) | 2012-03-19 | 2012-03-19 | 检测uicc是否在授权设备上使用的方法、系统和用户设备 |
| PCT/CN2012/075294 WO2013139071A1 (zh) | 2012-03-19 | 2012-05-10 | 检测uicc是否在授权设备上使用的方法、系统和用户设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210072649.5A CN102595400B (zh) | 2012-03-19 | 2012-03-19 | 检测uicc是否在授权设备上使用的方法、系统和用户设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102595400A true CN102595400A (zh) | 2012-07-18 |
| CN102595400B CN102595400B (zh) | 2018-08-03 |
Family
ID=46483511
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210072649.5A Expired - Fee Related CN102595400B (zh) | 2012-03-19 | 2012-03-19 | 检测uicc是否在授权设备上使用的方法、系统和用户设备 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN102595400B (zh) |
| WO (1) | WO2013139071A1 (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103974250A (zh) * | 2013-01-30 | 2014-08-06 | 华为终端有限公司 | 配置方法和设备 |
| CN107046687A (zh) * | 2016-01-26 | 2017-08-15 | 谷歌公司 | 低功率设备的安全连接 |
| CN107113531A (zh) * | 2015-10-09 | 2017-08-29 | 微软技术许可有限责任公司 | 移动设备的sim置备 |
| WO2018171486A1 (zh) * | 2017-03-21 | 2018-09-27 | 中兴通讯股份有限公司 | 移动终端位置更新的方法及装置 |
| CN109714493A (zh) * | 2017-10-26 | 2019-05-03 | 中国电信股份有限公司 | 实现机卡池绑定的方法、装置和系统 |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB2556906A (en) | 2016-11-24 | 2018-06-13 | Trustonic Ltd | Handset identifier verification |
| WO2020182285A1 (en) * | 2019-03-11 | 2020-09-17 | Telefonaktiebolaget Lm Ericsson (Publ) | Wireless device and network node for verification of a device as well as corresponding methods in a wireless communication system |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101951590A (zh) * | 2010-09-03 | 2011-01-19 | 中兴通讯股份有限公司 | 认证方法、装置及系统 |
| CN102026180A (zh) * | 2009-09-15 | 2011-04-20 | 中国移动通信集团公司 | M2m传输控制方法、装置及系统 |
| CN102137397A (zh) * | 2011-03-10 | 2011-07-27 | 西安电子科技大学 | 机器类型通信中基于共享群密钥的认证方法 |
| CN102196436A (zh) * | 2010-03-11 | 2011-09-21 | 华为技术有限公司 | 安全认证方法、装置及系统 |
| WO2011159952A1 (en) * | 2010-06-16 | 2011-12-22 | Qualcomm Incorporated | Method and apparatus for binding subscriber authentication and device authentication in communication systems |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102595401B (zh) * | 2012-03-19 | 2018-05-04 | 中兴通讯股份有限公司 | 一种检测uicc和设备是否配对的方法和系统 |
-
2012
- 2012-03-19 CN CN201210072649.5A patent/CN102595400B/zh not_active Expired - Fee Related
- 2012-05-10 WO PCT/CN2012/075294 patent/WO2013139071A1/zh active Application Filing
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102026180A (zh) * | 2009-09-15 | 2011-04-20 | 中国移动通信集团公司 | M2m传输控制方法、装置及系统 |
| CN102196436A (zh) * | 2010-03-11 | 2011-09-21 | 华为技术有限公司 | 安全认证方法、装置及系统 |
| WO2011159952A1 (en) * | 2010-06-16 | 2011-12-22 | Qualcomm Incorporated | Method and apparatus for binding subscriber authentication and device authentication in communication systems |
| CN101951590A (zh) * | 2010-09-03 | 2011-01-19 | 中兴通讯股份有限公司 | 认证方法、装置及系统 |
| CN102137397A (zh) * | 2011-03-10 | 2011-07-27 | 西安电子科技大学 | 机器类型通信中基于共享群密钥的认证方法 |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103974250A (zh) * | 2013-01-30 | 2014-08-06 | 华为终端有限公司 | 配置方法和设备 |
| CN103974250B (zh) * | 2013-01-30 | 2017-11-17 | 华为终端有限公司 | 配置方法和设备 |
| CN107113531A (zh) * | 2015-10-09 | 2017-08-29 | 微软技术许可有限责任公司 | 移动设备的sim置备 |
| US10785740B2 (en) | 2015-10-09 | 2020-09-22 | Microsoft Technology Licensing, Llc | SIM provisioning of a mobile device |
| CN113115273A (zh) * | 2015-10-09 | 2021-07-13 | 微软技术许可有限责任公司 | 移动设备的sim置备 |
| CN107046687A (zh) * | 2016-01-26 | 2017-08-15 | 谷歌公司 | 低功率设备的安全连接 |
| WO2018171486A1 (zh) * | 2017-03-21 | 2018-09-27 | 中兴通讯股份有限公司 | 移动终端位置更新的方法及装置 |
| CN109714493A (zh) * | 2017-10-26 | 2019-05-03 | 中国电信股份有限公司 | 实现机卡池绑定的方法、装置和系统 |
| CN109714493B (zh) * | 2017-10-26 | 2021-06-18 | 中国电信股份有限公司 | 实现机卡池绑定的方法、装置和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102595400B (zh) | 2018-08-03 |
| WO2013139071A1 (zh) | 2013-09-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102595400A (zh) | 检测uicc是否在授权设备上使用的方法、系统和用户设备 | |
| CN101720539B (zh) | 密钥刷新sae/lte系统 | |
| EP2549785B1 (en) | Method and network side entity for authenticating communication devices | |
| US10003965B2 (en) | Subscriber profile transfer method, subscriber profile transfer system, and user equipment | |
| US8713320B2 (en) | Security authentication method, apparatus, and system | |
| US9332575B2 (en) | Method and apparatus for enabling connectivity in a communication network | |
| EP2347613B1 (en) | Authentication in a communication network | |
| US10271208B2 (en) | Security support method and system for discovering service and group communication in mobile communication system | |
| US11159940B2 (en) | Method for mutual authentication between user equipment and a communication network | |
| US11336445B2 (en) | Method for updating a one-time secret key | |
| CN102595401A (zh) | 一种检测uicc和设备是否配对的方法和系统 | |
| CN105830476A (zh) | 用于从无线电接入网络提供安全的方法和系统 | |
| CN102318386A (zh) | 向网络的基于服务的认证 | |
| KR101835076B1 (ko) | 보안강화 eps-aka 프로토콜을 이용한 이동통신 가입자 인증 방법 | |
| WO2013185709A1 (zh) | 一种呼叫认证方法、设备和系统 | |
| CN101616407B (zh) | 预认证的方法和认证系统 | |
| JP5773074B2 (ja) | M2mにおけるプライバシー問題 | |
| CN101198148B (zh) | 一种对移动终端进行信息分发的方法 | |
| KR101431214B1 (ko) | 머신 타입 통신에서의 네트워크와의 상호 인증 방법 및 시스템, 키 분배 방법 및 시스템, 및 uicc와 디바이스 쌍 인증 방법 및 시스템 | |
| CN102833733B (zh) | 一种监控低移动性终端位置移动的方法及系统 | |
| CN103582078A (zh) | 一种机器类通信的接入控制方法及装置 | |
| CN103249030B (zh) | 业务签约信息处理方法及装置 | |
| CN102469459B (zh) | 一种中继节点的设备完整性检测方法、系统和装置 | |
| CN117240486A (zh) | 一种认证方法和通信装置 | |
| CN102868996B (zh) | 一种建立安全通道的方法及相应终端和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20180803 Termination date: 20210319 |