CN105792194A - 基站合法性的认证方法、认证装置、网络设备、认证系统 - Google Patents
基站合法性的认证方法、认证装置、网络设备、认证系统 Download PDFInfo
- Publication number
- CN105792194A CN105792194A CN201610262056.3A CN201610262056A CN105792194A CN 105792194 A CN105792194 A CN 105792194A CN 201610262056 A CN201610262056 A CN 201610262056A CN 105792194 A CN105792194 A CN 105792194A
- Authority
- CN
- China
- Prior art keywords
- base station
- terminal
- result
- decrypted
- random code
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
Abstract
本发明提供一种基站合法性的认证方法、认证装置、网络设备、认证系统,属于通信技术领域,其可解决现有的终端在接入某一移动网络时无法保证实际接入的网络的身份是否真实的问题。本发明的基站合法性的认证方法,包括:接收终端发送的位置更新请求,所述位置更新请求包括所述终端生成的第一随机码;对所述第一随机码进行加密处理,生成第一加密结果;将所述第一加密结果发送至终端,以供所述终端对所述第一加密结果进行解密得出第一解密结果,并根据第一解密结果对第一基站进行认证。
Description
技术领域
本发明属于通信技术领域,具体涉及一种基站合法性的认证方法、认证装置、网络设备、认证系统。
背景技术
“伪基站”即假基站,设备一般由主机和笔记本电脑组成,通过短信群发器、短信发信机等相关设备能够搜取以其为中心、一定半径范围内的终端卡信息,通过伪装成运营商的基站,冒用他人终端号码强行向用户终端发送诈骗、广告推销等短信息。
目前,伪基站现象普遍存在,对广大终端用户造成了极大的负面影响。出现这种问题的根本原因是终端在接入移动网络(例如GSM网络)时不对网络的合法性进行验证,即只要有网络覆盖,终端就默认选择信号最强的基站并尝试接入动作。在这种情况下,除非网络侧拒绝,否则终端即可直接接入网络,但这种做法不能保证终端实际接入的网络的身份是否真实。
发明内容
本发明针对现有的终端在接入某一移动网络时无法保证实际接入的网络的身份是否真实的问题,提供一种终端在接入某一移动网络时,对网络的合法性进行验证,从而避免终端接入伪基站而带来的不良后果的基站合法性的认证方法、装置、系统。
解决本发明技术问题所采用的技术方案是一种基站合法性的认证方法,包括:
接收终端发送的位置更新请求,所述位置更新请求包括所述终端生成的第一随机码;
对所述第一随机码进行加密处理,生成第一加密结果;
将所述第一加密结果发送至终端,以供所述终端对所述第一加密结果进行解密得出第一解密结果,并根据第一解密结果对第一基站进行认证。
其中,所述对所述第一随机码进行加密处理,生成第一加密结果包括:
提取所述位置更新请求中的第一随机码;
利用证书私钥对所述第一随机码进行数字签名,生成第一加密结果。
其中,所述终端对所述第一加密结果进行解密得出第一解密结果,并根据第一解密结果对第一基站进行认证包括:
所述终端通过预先存储的证书公钥对所述第一加密结果进行解密,生成第一解密结果,所述第一解密结果包括解密后的第一随机码;
所述终端比较所述位置更新请求中的第一随机码和所述解密后的第一随机码是否相同;
若所述位置更新请求中的第一随机码与所述解密后的第一随机码相同,所述终端确认所述第一基站为合法基站;若所述位置更新请求中的第一随机码与所述解密后的第一随机码不同,所述终端确认所述第一基站为非法基站。
其中,在所述将所述第一加密结果发送至终端,以供所述终端对所述第一加密结果进行解密得出第一解密结果,并根据第一解密结果对第一基站进行认证之后,还包括:
生成随机对称密钥,并通过预先存储的终端鉴权密钥对所述随机对称密钥进行加密,生成第二加密结果;
所述终端通过预先存储的终端鉴权密钥对所述第二加密结果进行解密,生成第二解密结果,所述第二解密结果包括所述随机对称密钥;
所述第一基站利用接收的所述随机对称密钥对所述第一基站发现所述终端即将进入第二基站的覆盖范围时生成的第二随机码进行加密,生成第三加密结果,并将所述第三加密结果发送至所述终端,以使所述终端利用第二解密结果中的所述随机对称密钥对所述第三加密结果进行解密,生成第三解密结果,所述第三解密结果包括所述第二随机码;
所述第一基站将所述第二随机码、所述随机对称密钥和预先存储的国际移动用户识别码发送至第二基站;
在所述终端进入所述第二基站的覆盖范围之后,所述终端向所述第二基站发送连接请求,所述连接请求包括所述终端的国际移动用户识别码;
所述第二基站根据所述终端发送的连接请求中的国际移动用户识别码,查询与所述国际移动用户识别码对应的所述第二随机码和所述随机对称密钥;
所述第二基站利用所述随机对称密钥对所述第一基站的身份信息和所述第二随机码进行加密,生成第四加密结果,并将所述第四加密结果发送至所述终端,以使所述终端对所述第四加密结果进行解密,得出第四解密结果,并根据第四解密结果对第二基站进行认证。
所述终端对所述第四加密结果进行解密,得出第四解密结果,并根据第四解密结果对第二基站进行认证包括:
所述终端利用所述随机对称密钥对所述第四加密结果进行解密,生成第四解密结果;
所述终端检测第四解密结果是否包括第一基站的身份信息和第二随机码;
若所述第四解密结果包括所述第一基站的身份信息和所述第二随机码,认证所述第二基站为合法基站;若所述第四解密结果不包括所述第一基站的身份信息或所述第二随机码,认证所述第二基站为非法基站。
作为另一技术方案,本发明还提供一种基站合法性的认证装置,包括:
接收模块,用于接收终端发送的位置更新请求,所述位置更新请求包括所述终端生成的第一随机码;
处理模块,用于对所述第一随机码进行加密处理,生成第一加密结果;
发送模块,用于将所述第一加密结果发送至终端,以供所述终端对所述第一加密结果进行解密得出第一解密结果,并根据第一解密结果对第一基站进行认证。
其中,所述处理模块包括:
提取模块,用于提取所述位置更新请求中的第一随机码;
加密模块,利用证书私钥对所述第一随机码进行数字签名,生成第一加密结果。
其中,所述基站合法性的认证装置还包括生成模块;
所述生成模块,用于生成随机对称密钥;
所述加密模块,还用于通过预先存储的终端鉴权密钥对所述随机对称密钥进行加密,生成第二加密结果。
作为另一技术方案,本发明还提供一种网络设备,包括上述任意一项所述的基站合法性的认证装置。
作为另一技术方案,本发明还提供一种基站合法性的认证系统,包括:网络设备、终端和第一基站;
所述网络设备为上述的网络设备;
所述终端,用于所述终端通过预先存储的证书公钥对所述第一加密结果进行解密,生成第一解密结果,所述第一解密结果包括解密后的第一随机码;比较所述位置更新请求中的第一随机码和所述解密后的第一随机码是否相同;若所述位置更新请求中的第一随机码与所述解密后的第一随机码相同,确认所述第一基站为合法基站;若所述位置更新请求中的第一随机码与所述解密后的第一随机码不同,确认所述第一基站为非法基站。
其中,所述基站合法性的认证系统还包括第二基站;
所述第一基站,用于利用接收的所述随机对称密钥对所述第一基站发现所述终端即将进入第二基站的覆盖范围时生成的第二随机码进行加密,生成第三加密结果,并将所述第三加密结果发送至所述终端,以使所述终端利用第二解密结果中的所述随机对称密钥对所述第三加密结果进行解密,生成第三解密结果,所述第三解密结果包括所述第二随机码;将所述第二随机码、所述随机对称密钥和预先存储的国际移动用户识别码发送至第二基站;
所述终端,还用于通过预先存储的终端鉴权密钥对所述第二加密结果进行解密,生成第二解密结果,所述第二解密结果包括所述随机对称密钥;在所述终端进入所述第二基站的覆盖范围之后,向所述第二基站发送连接请求,所述连接请求包括所述终端的国际移动用户识别码;利用所述随机对称密钥对所述第四加密结果进行解密,生成第四解密结果;检测第四解密结果是否包括第一基站的身份信息和第二随机码;若所述第四解密结果包括所述第一基站的身份信息和所述第二随机码,认证所述第二基站为合法基站;若所述第四解密结果不包括所述第一基站的身份信息或所述第二随机码,认证所述第二基站为非法基站;
所述第二基站,用于根据所述终端发送的连接请求中的国际移动用户识别码,查询与所述国际移动用户识别码对应的所述第二随机码和所述随机对称密钥;利用所述随机对称密钥对所述第一基站的身份信息和所述第二随机码进行加密,生成第四加密结果,并将所述第四加密结果发送至所述终端,以使所述终端对所述第四加密结果进行解密,得出第四解密结果,并根据第四解密结果对第二基站进行认证。
本发明的基站合法性的认证方法、装置、系统中,该基站合法性的认证方法,包括:接收终端发送的位置更新请求,位置更新请求包括终端生成的第一随机码,对第一随机码进行加密处理,生成第一加密结果,将第一加密结果发送至终端,以供终端对第一加密结果进行解密得出第一解密结果,并根据第一解密结果对第一基站进行认证。本方法通过在终端发送的位置更新请求中添加第一随机码,对该第一随机码进行加密处理后返回至终端,只有在终端解密后得到的解密后的第一随机码与位置更新请求中的第一随机码一致时,才认证终端所要接入的基站网络是合法的,从而避免了终端在接入某一移动网络时无法保证实际接入的网络的身份是否真实的问题,同时也避免了因终端接入伪基站而带来的不良后果。
附图说明
图1为本发明的实施例1的基站合法性的认证方法的流程示意图;
图2为本发明的实施例2的基站合法性的认证方法的流程示意图;
图3为本发明的实施例3的基站合法性的认证装置的结构示意图;
图4为本发明的实施例5的基站合法性的认证系统的结构示意图;
其中,附图标记为:1、接收模块;2、处理模块;21、提取模块;22、加密模块;3、发送模块;4、生成模块;10、网络设备;20、终端;30、第一基站;40、第二基站。
具体实施方式
为使本领域技术人员更好地理解本发明的技术方案,下面结合附图和具体实施方式对本发明作进一步详细描述。
实施例1:
请参照图1,本实施例提供一种基站合法性的认证方法,包括:
步骤101,网络设备接收终端发送的位置更新请求,位置更新请求包括终端生成的第一随机码。
其中,网络设备是指归属位置寄存器/鉴权中心(HLR/AUC)。需要说明的是,该位置更新请求由终端通过第一基站发送,其中,第一基站对该位置更新请求进行存储。
该第一随机码由终端生成,具体地,可以在终端中设置一应用程序(或软件),通过设置随机函数以及随机数种子的方式生成第一随机码,第一随机码生成后放入协议站中,通过占用2G/3G网络采用的MAP信令或4G网络采用的Diameter信令里的位置更新请求中的扩展字段,被终端发送出去。
在收到位置更新请求之后,有两种选择,第一种是首先执行现有的用户身份鉴权流程,待用户身份鉴权通过后,再对第一随机码进行处理(若用户身份鉴权失败,则忽略第一随机码);第二种是先处理第一随机码,后执行用户身份鉴权流程。在本实施例中,以第二种方式为例进行说明。
步骤102,网络设备对第一随机码进行加密处理,生成第一加密结果。具体地,
步骤1021,网络设备提取位置更新请求中的第一随机码。
步骤1022,网络设备利用证书私钥对第一随机码进行数字签名,生成第一加密结果。
可以理解的是,进行数字签名的过程实际上就是一次加密过程,即利用证书私钥对第一随机码进行加密,生成第一加密结果。
步骤103,网络设备将第一加密结果发送至终端,以供终端对第一加密结果进行解密得出第一解密结果,并根据第一解密结果对第一基站进行认证。具体地,
步骤1031,终端通过预先存储的证书公钥对第一加密结果进行解密,生成第一解密结果,第一解密结果包括解密后的第一随机码。
需要说明的是,该预先存储的证书公钥是运营商预先存储在SIM卡中的,因此,每个预先存储的证书公钥都是唯一的。由于运营商对每个SIM卡中的预先存储的证书公钥都有记录,因此,在利用证书私钥对第一随机码进行数字签名时,该证书私钥与发送位置更新请求的终端的SIM卡中预先存储的证书公钥是配对的,以使该终端能够对第一加密结果进行解密。
步骤1032,终端比较位置更新请求中的第一随机码和解密后的第一随机码是否相同。
步骤1033,若位置更新请求中的第一随机码与解密后的第一随机码相同,确认第一基站为合法基站;若位置更新请求中的第一随机码与解密后的第一随机码不同,确认第一基站为非法基站。
即,将位置更新请求中的第一随机码和第一次解密后的第一随机码进行比较,若第一次解密得到的第一随机码与终端发出的位置更新请求中的第一随机码一致,则说明终端的确连接到了该终端的归属位置寄存器(HLR),并且由于基站-移动交换机-HLR之间采用的是固定线路连接方式,由此,可以确认该终端当前已连接的第一基站必定是合法的,允许与该第一基站连接;反之,若第一次解密得到的第一随机码与终端发出的位置更新请求中的第一随机码不一致,则确认第一基站为非法基站,拒绝与第一基站连接,重新进行基站选择,即执行步骤101,在此不再赘述。
此时,在确认第一基站为合法基站后,执行用户身份鉴权流程,在完成与终端的验证操作完成后即可进行正常通信,此步骤与现有技术相同,在此不再赘述。需要说明的是,若采用第一种方法对第一基站的合法性进行认证,在步骤1033时即已完成了终端与网络的双向认证,可以进行正常通信。
可以理解的是,对于某一伪基站(简称第三基站),第三基站采用了侦听方式,预先录制了大量的二元组,该二元组包括由终端发送给网络侧的第一随机码明文和从网络返回的第一随机码密文,当终端进入第三基站的覆盖范围内的时候,终端向网络发起位置更新,不论第三基站是否知道终端对应的号码,由于此时终端会产生一个新的随机码,所以,第三基站之前录制的二元组必然无效,终端不会接入第三基站。
本实施例的基站合法性的认证方法,包括:接收终端发送的位置更新请求,位置更新请求包括终端生成的第一随机码,对第一随机码进行加密处理,生成第一加密结果,将第一加密结果发送至终端,以供终端对第一加密结果进行解密得出第一解密结果,并根据第一解密结果对第一基站进行认证。本方法通过在终端发送的位置更新请求中添加第一随机码,对该第一随机码进行加密处理后返回至终端,只有在终端解密后得到的解密后的第一随机码与位置更新请求中的第一随机码一致时,才认证终端所要接入的基站网络是合法的,从而避免了终端在接入某一移动网络时无法保证实际接入的网络的身份是否真实的问题,同时也避免了因终端接入伪基站而带来的不良后果。
实施例2:
请参照图2,本实施例提供一种基站合法性的认证方法,其具有与实施例1相似的流程,其与实施例1的区别在于,还包括通过已认证的合法的第一基站认证第二基站是否合法的步骤。具体地,
在将第一加密结果发送至终端,以供终端对第一加密结果进行解密得出第一解密结果,并根据第一解密结果对第一基站进行认证(即步骤103)之后,还包括:
步骤201,网络设备生成随机对称密钥,并通过预先存储的终端鉴权密钥(Ki)对随机对称密钥进行加密,生成第二加密结果。
需要说明的是,该预先存储的Ki是运营商预先存储在SIM卡中的,因此,每个预先存储的Ki都是唯一的。由于运营商对每个SIM卡中的预先存储的Ki都有记录,因此,可以用预先存储的Ki对随机对称密钥进行加密,以使终端可以用其SIM卡中的Ki进行解密。
步骤202,网络设备将第二加密结果发送至终端,以使终端通过预先存储的Ki对第二加密结果进行解密,生成第二解密结果,第二解密结果包括随机对称密钥。
由于第二加密结果是利用Ki生成的,因此,终端必然也可以利用预先存储在SIM卡中的Ki对第二加密结果进行解密,即加密和解密的密码是一致的。
步骤203,网络设备将随机对称密钥发送至第一基站。
需要说明的是,与终端不同的是,第一基站接收到的随机对称密钥并不是加密后的结果,而是未经过加密的随机对称密钥的明文。
步骤204,第一基站发现终端即将进入第二基站的覆盖范围,生成第二随机码。
由于每个基站其覆盖的范围有限,因此,终端不可能一直在一个基站覆盖的范围内活动,为了认证该终端即将接入的第二基站是否为合法基站,当第一基站发现终端即将离开第一基站覆盖的范围时,会生成第二随机码。
步骤205,第一基站利用接收的随机对称密钥对第二随机码进行加密,生成第三加密结果,并将第三加密结果发送至终端,以使终端利用第二解密结果中的随机对称密钥对第三加密结果进行解密,生成第三解密结果,第三解密结果包括第二随机码。
终端在对第三加密结果进行解密得到第二随机码后,会对第二随机码进行存储。
步骤206,第一基站将第二随机码、随机对称密钥和预先存储的国际移动用户识别码(IMSI)发送至第二基站。
需要说明的是,这里所指的第二随机码、随机对称密钥都是明文,无需加密,IMSI是运营商预先存储在终端的SIM卡中的,即第二基站根据IMSI即可找到对应的终端。
步骤207,在终端进入第二基站的覆盖范围之后,终端向第二基站发送连接请求,连接请求包括终端的IMSI。
步骤208,第二基站根据终端发送的连接请求中的IMSI,查询与IMSI对应的第二随机码和随机对称密钥。
由于在步骤206中,IMSI和第二随机码、随机对称密钥是由第一基站一起发送的,因此,第二基站在得知IMSI的基础上,可以查询到与该IMSI一起发送来的第二随机码、随机对称密钥。
步骤209,第二基站利用随机对称密钥对第一基站的身份信息和第二随机码进行加密,生成第四加密结果,并将第四加密结果发送至终端。
步骤210,终端利用随机对称密钥对第四加密结果进行解密,生成第四解密结果,检测第四解密结果是否包括第一基站的身份信息和第二随机码;若第四解密结果包括第一基站的身份信息和第二随机码,认证第二基站为合法基站;若第四解密结果不包括第一基站的身份信息或第二随机码,认证第二基站为非法基站。具体地,
步骤2101,终端利用随机对称密钥对第四加密结果进行解密,生成第四解密结果。
步骤2102,终端检测第四解密结果是否包括第一基站的身份信息和第二随机码。
步骤2103,若第四解密结果包括第一基站的身份信息和第二随机码,认证第二基站为合法基站;若第四解密结果不包括第一基站的身份信息或第二随机码,认证第二基站为非法基站。
即,终端检测第四解密结果是否包括第一基站的身份信息和第二随机码,若该第四解密结果中的第一基站的身份信息和第二随机码,认证第二基站为合法基站,允许接入第二基站;若第四解密结果不包括第一基站的身份信息或第二随机码,认证第二基站为非法基站,拒绝接入第二基站。
可以理解的是,对于某一伪基站(简称第三基站),当终端进入第三基站的覆盖范围内的时候,终端进行基站间的切换,由于第三基站和第一基站之间不会有连接关系,因此,第三基站不会从合法的第一基站得到随机对称密钥和第一基站生成的第二随机码,即使第三基站侦听到第一基站发给终端的第二随机数密文(第三加密结果),由于第二基站发送给终端的是第一基站的身份识别信息与第二随机码拼接后使用随机对称密钥加密的密文(第四加密结果),而第三基站在没有随机对称密钥的情况下无法自行产生这一密文,因此,无法与终端连接。
本实施例的基站合法性的认证方法,利用已认证为合法基站的第一基站对第二基站的合法性进行认证,利用随机生成的密钥,通过基站之间直接交换用户数据和基站与终端之间交换加密数据,能够避免伪基站事先录制大量伪造密钥以及对加密数据进行侦听或拦截的方式获取基站认证数据,从而避免了终端在接入某一移动网络时无法保证实际接入的网络的身份是否真实的问题,同时也避免了因终端接入伪基站而带来的不良后果。
实施例3:
请参照图3,本实施例提供一种基站合法性的认证装置,包括:接收模块1、处理模块2、发送模块3和生成模块4。
接收模块1用于接收终端发送的位置更新请求,位置更新请求包括终端生成的第一随机码。
处理模块2用于对第一随机码进行加密处理,生成第一加密结果。
其中,处理模块2包括:提取模块21和加密模块22。
提取模块21用于提取位置更新请求中的第一随机码。
加密模块22利用证书私钥对第一随机码进行数字签名,生成第一加密结果。
加密模块22还用于通过预先存储的Ki对随机对称密钥进行加密,生成第二加密结果。
发送模块3用于将第一加密结果发送至终端,以供终端对第一加密结果进行解密得出第一解密结果,并根据第一解密结果对第一基站进行认证。
生成模块4用于生成随机对称密钥。
本实施例的基站合法性的认证装置,用于实现实施例1或实施例2的基站合法性的认证方法,详细描述请参照实施例1或实施例2的基站合法性的认证方法,在此不再赘述。
本实施例的基站合法性的认证装置,能够避免终端在接入某一移动网络时无法保证实际接入的网络的身份是否真实的问题,同时也避免了因终端接入伪基站而带来的不良后果。
实施例4:
本实施例提供了一种网络设备,包括实施例3所述的基站合法性的认证装置。
本实施例的网络设备,包括实施例3的基站合法性的认证装置,详细描述请参考实施例3的基站合法性的认证装置,在此不再赘述。
本实施例的网络设备,包括实施例3的基站合法性的认证装置,能够避免终端在接入某一移动网络时无法保证实际接入的网络的身份是否真实的问题,同时也避免了因终端接入伪基站而带来的不良后果。
实施例5:
请参照图4,本实施例提供了一种基站合法性的认证系统,包括:网络设备10、终端20、第一基站30和第二基站40;
网络设备10为实施例4的网络设备。
终端20用于通过预先存储的证书公钥对第一加密结果进行解密,生成第一解密结果,第一解密结果包括解密后的第一随机码;比较位置更新请求中的第一随机码和解密后的第一随机码是否相同;若位置更新请求中的第一随机码与解密后的第一随机码相同,确认第一基站30为合法基站;若位置更新请求中的第一随机码与解密后的第一随机码不同,确认第一基站30为非法基站。
第一基站30用于利用接收的随机对称密钥对第一基站发现终端20即将进入第二基站40的覆盖范围时生成的第二随机码进行加密,生成第三加密结果,并将第三加密结果发送至终端,以使终端利用第二解密结果中的随机对称密钥对第三加密结果进行解密,生成第三解密结果,第三解密结果包括第二随机码;将第二随机码、随机对称密钥和预先存储的IMSI发送至第二基站40。
终端20还用于通过预先存储的Ki对第二加密结果进行解密,生成第二解密结果,第二解密结果包括随机对称密钥;在终端20进入第二基站之后,向第二基站40发送连接请求,连接请求包括终端的IMSI;利用随机对称密钥对第四加密结果进行解密,生成第四解密结果;检测第四解密结果是否包括第一基站的身份信息和第二随机码;若第四解密结果包括第一基站30的身份信息和第二随机码,认证第二基站40为合法基站;若第四解密结果不包括第一基站30的身份信息或第二随机码,认证第二基站40为非法基站。
第二基站40用于根据终端20发送的连接请求中的IMSI,查询与IMSI对应的第二随机码和随机对称密钥;利用随机对称密钥对第一基站30的身份信息和第二随机码进行加密,生成第四加密结果,并将第四加密结果发送至终端20,以使终端20对第四加密结果进行解密,得出第四解密结果,并根据第四解密结果对第二基站40进行认证。
本实施例的基站合法性的认证系统,包括实施例4的网络设备,详细描述请参考实施例4的网络设备,在此不再赘述。
本实施例的基站合法性的认证系统,能够避免终端在接入某一移动网络时无法保证实际接入的网络的身份是否真实的问题,同时也避免了因终端接入伪基站而带来的不良后果。
可以理解的是,以上实施方式仅仅是为了说明本发明的原理而采用的示例性实施方式,然而本发明并不局限于此。对于本领域内的普通技术人员而言,在不脱离本发明的精神和实质的情况下,可以做出各种变型和改进,这些变型和改进也视为本发明的保护范围。
Claims (11)
1.一种基站合法性的认证方法,其特征在于,包括:
接收终端发送的位置更新请求,所述位置更新请求包括所述终端生成的第一随机码;
对所述第一随机码进行加密处理,生成第一加密结果;
将所述第一加密结果发送至终端,以供所述终端对所述第一加密结果进行解密得出第一解密结果,并根据第一解密结果对第一基站进行认证。
2.根据权利要求1所述的认证方法,其特征在于,所述对所述第一随机码进行加密处理,生成第一加密结果包括:
提取所述位置更新请求中的第一随机码;
利用证书私钥对所述第一随机码进行数字签名,生成第一加密结果。
3.根据权利要求2所述的认证方法,其特征在于,所述终端对所述第一加密结果进行解密得出第一解密结果,并根据第一解密结果对第一基站进行认证包括:
所述终端通过预先存储的证书公钥对所述第一加密结果进行解密,生成第一解密结果,所述第一解密结果包括解密后的第一随机码;
所述终端比较所述位置更新请求中的第一随机码和所述解密后的第一随机码是否相同;
若所述位置更新请求中的第一随机码与所述解密后的第一随机码相同,所述终端确认所述第一基站为合法基站;若所述位置更新请求中的第一随机码与所述解密后的第一随机码不同,所述终端确认所述第一基站为非法基站。
4.根据权利要求1所述的认证方法,其特征在于,在所述将所述第一加密结果发送至终端,以供所述终端对所述第一加密结果进行解密得出第一解密结果,并根据第一解密结果对第一基站进行认证之后,还包括:
生成随机对称密钥,并通过预先存储的终端鉴权密钥对所述随机对称密钥进行加密,生成第二加密结果;所述终端通过预先存储的终端鉴权密钥对所述第二加密结果进行解密,生成第二解密结果,所述第二解密结果包括所述随机对称密钥;
所述第一基站利用接收的所述随机对称密钥对所述第一基站发现所述终端即将进入第二基站的覆盖范围时生成的第二随机码进行加密,生成第三加密结果,并将所述第三加密结果发送至所述终端,以使所述终端利用第二解密结果中的所述随机对称密钥对所述第三加密结果进行解密,生成第三解密结果,所述第三解密结果包括所述第二随机码;
所述第一基站将所述第二随机码、所述随机对称密钥和预先存储的国际移动用户识别码发送至第二基站;
在所述终端进入所述第二基站的覆盖范围之后,所述终端向所述第二基站发送连接请求,所述连接请求包括所述终端的国际移动用户识别码;
所述第二基站根据所述终端发送的连接请求中的国际移动用户识别码,查询与所述国际移动用户识别码对应的所述第二随机码和所述随机对称密钥;
所述第二基站利用所述随机对称密钥对所述第一基站的身份信息和所述第二随机码进行加密,生成第四加密结果,并将所述第四加密结果发送至所述终端,以使所述终端对所述第四加密结果进行解密,得出第四解密结果,并根据第四解密结果对第二基站进行认证。
5.根据权利要求4所述的认证方法,其特征在于,所述终端对所述第四加密结果进行解密,得出第四解密结果,并根据第四解密结果对第二基站进行认证包括:
所述终端利用所述随机对称密钥对所述第四加密结果进行解密,生成第四解密结果;
所述终端检测第四解密结果是否包括第一基站的身份信息和第二随机码;
若所述第四解密结果包括所述第一基站的身份信息和所述第二随机码,认证所述第二基站为合法基站;若所述第四解密结果不包括所述第一基站的身份信息或所述第二随机码,认证所述第二基站为非法基站。
6.一种基站合法性的认证装置,其特征在于,包括:
接收模块,用于接收终端发送的位置更新请求,所述位置更新请求包括所述终端生成的第一随机码;
处理模块,用于对所述第一随机码进行加密处理,生成第一加密结果;
发送模块,用于将所述第一加密结果发送至终端,以供所述终端对所述第一加密结果进行解密得出第一解密结果,并根据第一解密结果对第一基站进行认证。
7.根据权利要求6所述的认证装置,其特征在于,所述处理模块包括:
提取模块,用于提取所述位置更新请求中的第一随机码;
加密模块,利用证书私钥对所述第一随机码进行数字签名,生成第一加密结果。
8.根据权利要求7所述的认证装置,其特征在于,还包括生成模块;
所述生成模块,用于生成随机对称密钥;
所述加密模块,还用于通过预先存储的终端鉴权密钥对所述随机对称密钥进行加密,生成第二加密结果。
9.一种网络设备,其特征在于,包括权利要求6至8任意一项所述的基站合法性的认证装置。
10.一种基站合法性的认证系统,其特征在于,包括:网络设备、终端和第一基站;
所述网络设备为权利要求9所述的网络设备;
所述终端,用于所述终端通过预先存储的证书公钥对所述第一加密结果进行解密,生成第一解密结果,所述第一解密结果包括解密后的第一随机码;比较所述位置更新请求中的第一随机码和所述解密后的第一随机码是否相同;若所述位置更新请求中的第一随机码与所述解密后的第一随机码相同,确认所述第一基站为合法基站;若所述位置更新请求中的第一随机码与所述解密后的第一随机码不同,确认所述第一基站为非法基站。
11.根据权利要求10所述的基站合法性的认证系统,其特征在于,还包括第二基站;
所述第一基站,用于利用接收的所述随机对称密钥对所述第一基站发现所述终端即将进入第二基站的覆盖范围时生成的第二随机码进行加密,生成第三加密结果,并将所述第三加密结果发送至所述终端,以使所述终端利用第二解密结果中的所述随机对称密钥对所述第三加密结果进行解密,生成第三解密结果,所述第三解密结果包括所述第二随机码;将所述第二随机码、所述随机对称密钥和预先存储的国际移动用户识别码发送至第二基站;
所述终端,还用于通过预先存储的终端鉴权密钥对所述第二加密结果进行解密,生成第二解密结果,所述第二解密结果包括所述随机对称密钥;在所述终端进入所述第二基站的覆盖范围之后,向所述第二基站发送连接请求,所述连接请求包括所述终端的国际移动用户识别码;利用所述随机对称密钥对所述第四加密结果进行解密,生成第四解密结果;检测第四解密结果是否包括第一基站的身份信息和第二随机码;若所述第四解密结果包括所述第一基站的身份信息和所述第二随机码,认证所述第二基站为合法基站;若所述第四解密结果不包括所述第一基站的身份信息或所述第二随机码,认证所述第二基站为非法基站;
所述第二基站,用于根据所述终端发送的连接请求中的国际移动用户识别码,查询与所述国际移动用户识别码对应的所述第二随机码和所述随机对称密钥;利用所述随机对称密钥对所述第一基站的身份信息和所述第二随机码进行加密,生成第四加密结果,并将所述第四加密结果发送至所述终端,以使所述终端对所述第四加密结果进行解密,得出第四解密结果,并根据第四解密结果对第二基站进行认证。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610262056.3A CN105792194B (zh) | 2016-04-25 | 2016-04-25 | 基站合法性的认证方法、认证装置、网络设备、认证系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610262056.3A CN105792194B (zh) | 2016-04-25 | 2016-04-25 | 基站合法性的认证方法、认证装置、网络设备、认证系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105792194A true CN105792194A (zh) | 2016-07-20 |
| CN105792194B CN105792194B (zh) | 2019-06-28 |
Family
ID=56398681
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610262056.3A Active CN105792194B (zh) | 2016-04-25 | 2016-04-25 | 基站合法性的认证方法、认证装置、网络设备、认证系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105792194B (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106454842A (zh) * | 2016-10-28 | 2017-02-22 | 努比亚技术有限公司 | 一种防止伪基站骚扰的方法及终端 |
| CN106937286A (zh) * | 2017-03-02 | 2017-07-07 | 北京邮电大学 | 一种用户接入认证方法及装置 |
| CN107872793A (zh) * | 2016-09-26 | 2018-04-03 | 中国移动通信有限公司研究院 | 一种基站识别方法、终端和服务器 |
| CN109068320A (zh) * | 2018-07-18 | 2018-12-21 | 深圳市科迈爱康科技有限公司 | 基于5g的基站物联网验证方法、系统、计算机及存储介质 |
| CN109691017A (zh) * | 2017-01-25 | 2019-04-26 | 华为技术有限公司 | 消息保护方法、用户设备和核心网设备 |
| CN109769250A (zh) * | 2017-11-09 | 2019-05-17 | 中国电信股份有限公司 | 用于识别伪基站的方法、终端和系统 |
| WO2019241999A1 (en) * | 2018-06-22 | 2019-12-26 | Apple Inc. | Enhanced security for access stratum transmission |
| WO2020093860A1 (zh) * | 2018-11-09 | 2020-05-14 | 华为技术有限公司 | 伪网络设备识别方法及通信装置 |
| CN113315632A (zh) * | 2021-07-29 | 2021-08-27 | 北京紫光青藤微系统有限公司 | 用于确定密钥生成器的方法及系统、装置、通信设备 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1812620A (zh) * | 2005-01-28 | 2006-08-02 | 华为技术有限公司 | 一种码分多址网络中实现终端对网络鉴权的方法 |
| CN101083843A (zh) * | 2007-07-17 | 2007-12-05 | 中兴通讯股份有限公司 | 一种移动终端通讯中对端身份确认的方法及系统 |
| US20130178191A1 (en) * | 2012-01-06 | 2013-07-11 | National Cheng Kung University | Roaming authentication method for a gsm system |
| CN105101200A (zh) * | 2014-05-23 | 2015-11-25 | 中国移动通信集团公司 | 一种伪基站识别方法、装置及终端设备 |
-
2016
- 2016-04-25 CN CN201610262056.3A patent/CN105792194B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1812620A (zh) * | 2005-01-28 | 2006-08-02 | 华为技术有限公司 | 一种码分多址网络中实现终端对网络鉴权的方法 |
| CN101083843A (zh) * | 2007-07-17 | 2007-12-05 | 中兴通讯股份有限公司 | 一种移动终端通讯中对端身份确认的方法及系统 |
| US20130178191A1 (en) * | 2012-01-06 | 2013-07-11 | National Cheng Kung University | Roaming authentication method for a gsm system |
| CN105101200A (zh) * | 2014-05-23 | 2015-11-25 | 中国移动通信集团公司 | 一种伪基站识别方法、装置及终端设备 |
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107872793A (zh) * | 2016-09-26 | 2018-04-03 | 中国移动通信有限公司研究院 | 一种基站识别方法、终端和服务器 |
| CN106454842A (zh) * | 2016-10-28 | 2017-02-22 | 努比亚技术有限公司 | 一种防止伪基站骚扰的方法及终端 |
| CN109691017B (zh) * | 2017-01-25 | 2022-02-01 | 华为技术有限公司 | 消息保护方法、用户设备和核心网设备 |
| CN109691017A (zh) * | 2017-01-25 | 2019-04-26 | 华为技术有限公司 | 消息保护方法、用户设备和核心网设备 |
| CN106937286A (zh) * | 2017-03-02 | 2017-07-07 | 北京邮电大学 | 一种用户接入认证方法及装置 |
| CN106937286B (zh) * | 2017-03-02 | 2019-09-17 | 北京邮电大学 | 一种用户接入认证方法及装置 |
| CN109769250A (zh) * | 2017-11-09 | 2019-05-17 | 中国电信股份有限公司 | 用于识别伪基站的方法、终端和系统 |
| CN109769250B (zh) * | 2017-11-09 | 2022-03-29 | 中国电信股份有限公司 | 用于识别伪基站的方法、终端和系统 |
| WO2019241999A1 (en) * | 2018-06-22 | 2019-12-26 | Apple Inc. | Enhanced security for access stratum transmission |
| US11895495B2 (en) | 2018-06-22 | 2024-02-06 | Apple Inc. | Enhanced security for access stratum transmission |
| CN109068320A (zh) * | 2018-07-18 | 2018-12-21 | 深圳市科迈爱康科技有限公司 | 基于5g的基站物联网验证方法、系统、计算机及存储介质 |
| EP3869846A4 (en) * | 2018-11-09 | 2021-12-08 | Huawei Technologies Co., Ltd. | METHOD OF IDENTIFICATION OF MAKE NETWORK EQUIPMENT AND COMMUNICATION DEVICE |
| WO2020093860A1 (zh) * | 2018-11-09 | 2020-05-14 | 华为技术有限公司 | 伪网络设备识别方法及通信装置 |
| CN113315632B (zh) * | 2021-07-29 | 2021-11-02 | 北京紫光青藤微系统有限公司 | 用于确定密钥生成器的方法及系统、装置、通信设备 |
| CN113315632A (zh) * | 2021-07-29 | 2021-08-27 | 北京紫光青藤微系统有限公司 | 用于确定密钥生成器的方法及系统、装置、通信设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105792194B (zh) | 2019-06-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105792194A (zh) | 基站合法性的认证方法、认证装置、网络设备、认证系统 | |
| CN106559783B (zh) | 一种对wifi网络的认证方法、装置和系统 | |
| CN104967595A (zh) | 将设备在物联网平台进行注册的方法和装置 | |
| CN103828414A (zh) | 安全网关通信 | |
| CN103297403A (zh) | 一种实现动态密码认证的方法和系统 | |
| US10869195B2 (en) | Network assisted validation of secure connection to cellular infrastructure | |
| CN107026823B (zh) | 应用于无线局域网wlan中的接入认证方法和终端 | |
| CN111601280B (zh) | 一种接入验证方法及装置 | |
| CN106102062A (zh) | 一种公共无线网络接入方法及装置 | |
| CN111065101A (zh) | 基于区块链的5g通信信息加解密方法、设备及存储介质 | |
| CN108156604B (zh) | 集群系统的组呼加密传输方法及装置、集群终端和系统 | |
| CN105007163A (zh) | 预共享密钥的发送、获取方法及发送、获取装置 | |
| CN110073681B (zh) | 用于物联网设备的方法、装置和计算机可读介质 | |
| CN105024813A (zh) | 一种服务器、用户设备以及用户设备与服务器的交互方法 | |
| CN101534236A (zh) | 中继站通信时的加密方法及装置 | |
| CN102158863A (zh) | 基于java的移动终端鉴权系统和方法、服务器及终端 | |
| CN110278084B (zh) | eID建立方法、相关设备及系统 | |
| CN105873059A (zh) | 配电通信无线专网的联合身份认证方法和系统 | |
| CN101877852B (zh) | 用户接入控制方法和系统 | |
| CN104796891A (zh) | 一种利用运营商网络实现安全认证系统及相应的方法 | |
| CN102045670B (zh) | 传输短消息的方法、服务器及智能卡 | |
| CN111107550A (zh) | 5g终端设备双通道接入注册方法、设备及存储介质 | |
| CN111148098A (zh) | 5g终端设备注册方法、设备及存储介质 | |
| CN105873034A (zh) | 一种安全的热点信息处理方法 | |
| CN105873035A (zh) | 一种安全的ap信息处理方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |