WO2009152749A1

WO2009152749A1 - 一种绑定认证的方法、系统和装置

Info

Publication number: WO2009152749A1
Application number: PCT/CN2009/072259
Authority: WO
Inventors: 张宁; 韩少伟; 尹瀚; 王绍斌
Original assignee: 华为技术有限公司
Priority date: 2008-06-16
Filing date: 2009-06-12
Publication date: 2009-12-23
Also published as: CN101610241B; CN101610241A

Description

一种绑定认证的方法、系统和装置

本申请要求了 2008年 6月 16日提交的，申请号为 200810110927.5，发明名称为 "一种绑定认证的方法、系统和装置" 的中国申请优先权，其全部内容通过引用结合在本申请中。技术领域

本发明实施例涉及通信技术领域，特别涉及一种绑定认证的方法、系统和装置。背景技术

在无线网络通信系统中，随着因特网的发展以及各种无线业务的广泛应用，用户对于无线网络的带宽、便捷性、成本等方面提出了更高的需求。另一方面，运营商需要充分地利用现有网络的资源，扩大容量，减少成本，更好地为用户提供服务。

为了充分满足上述需求和网络的发展需求，提出了一种家用基站

(Home NodeB ) 。家用基站是一种家用的微型基站，用户可以在家庭、办公场所等热点覆盖区域布置这种基站，通过因特网接入到移动通信网络，使用户在室内获得比室外更大的带宽、更可靠的服务质量、且更经济的无线通信服务。家用基站的引入，解决了无线数据业务中空口资源的瓶颈问题，使得用户可以享用到高速率、高带宽的网络服务，但应当对请求接入网络的家用基站进行有效地控制。

对于覆盖面积较大的宏基站，一般采用以下方式进行网络节点的接入控制。对于网络节点的布置，大多是由运营商事先规划好，并根据规划好的内容完成网络布置。因此宏基站接入的时间、地点以及接入时的配置对于当前的无线网络来说都是已知的，在宏基站请求接入时，只需要根据网络规划的数据，配置相应的接入参数，便可完成宏基站的接入，无需专门的控制机制。但家用基站一般在用户向运营商申请业务时，运营商将设备发放到用户手中，自行安装使用。因此当家用基站加电运行，与运营商核心网络建立物理链接后，运营商需要对家用基站进行接入控制，对家用基站进行接入控制的首要步骤就是身份认证。

现有技术提供的一种对家用基站的身份进行认证的方法是利用 SIM

( Subscriber Identity Module , 用户标识模块）或 USIM ( Universal Mobile Telecommunications System Subscriber Identity Module, 通用禾多动通信系统用户标识模块）卡，执行 SIM或 AKA (Authentication and Key Agreement, 认证和密钥协商）认证，其中 SIM卡和 USIM卡统称（X) SIM卡。具体为：在用户的（X) SIM卡内和在 HLR (Home Location Register, 用户归属位置寄存器）中的 AuC ( Authentication Centre , 鉴权中心）内有一个一致的 Ki，每次用不同的随机数在网络侧生成 XRES (Expectation Response, 期望响应），在用户侧生成 RES (Response, 响应），以便验证双方的 Ki是否一致。将保存在 ( X ) SIM卡中的 IMSI ( International Mobile Subscriber Identity, 国际移动用户标识）发给认证网元。

在实现本发明的过程中，发明人发现现有技术至少存在以下缺点：现有技术对家庭基站的认证其实是对设备内所插入的（X) SIM卡身份的认证，而不是对设备本身的认证。由于（X ) SIM卡的可移动性，因此存在这样的问题：合法的卡用在非法的不被运营商信任的设备上，接入运营商核心网，进而盗取业务或发动攻击。发明内容

本发明实施例提供一种绑定认证的方法、系统和装置，以实现对用户侧网络接入设备和该用户侧网络接入设备中插入的用户标识模块进行绑定认证。

本发明实施例一方面提供一种绑定认证的方法，包括：从网络侧设备获取的用户侧网络接入设备的标识和从用户侧网络接入设备获取所述用户侧网络接入设备的标识；

将从所述网络侧设备获取的所述用户侧网络接入设备的标识与从所述用户侧网络接入设备获取的所述用户侧网络接入设备的标识进行对比；

当从所述网络侧设备获取的所述用户侧网络接入设备的标识与从所述用户侧网络接入设备获取的所述用户侧网络接入设备的标识一致时，确定所述用户侧网络接入设备是与所述用户侧网络接入设备中插入的用户标识模块绑定的合法设备。

另一方面，本发明实施例还提供一种网络系统，包括：

用户侧网络接入设备，用于发送所述用户侧网络接入设备的标识；网络侧设备，用于发送所述用户侧网络接入设备的标识；

认证网元，用于获取来自所述用户侧网络接入设备的用户侧网络接入设备的标识和来自所述网络侧设备的用户侧网络接入设备的标识，当所述来自网络侧设备的所述用户侧网络接入设备的标识与所述来自用户侧网络接入设备的所述用户侧网络接入设备的标识一致时，确定所述用户侧网络接入设备是与所述用户侧网络接入设备中插入的用户标识模块绑定的合法设备。

再一方面，本发明实施例还提供一种认证网元，包括：

接收模块，用于获取来自用户侧网络接入设备的用户侧网络接入设备的标识和来自网络侧设备的用户侧网络接入设备的标识；

对比模块，用于将所述接收模块获取的来自所述网络侧设备的用户侧网络接入设备的标识与来自所述用户侧网络接入设备的所述用户侧网络接入设备的标识进行对比；

合法性认证模块，用于当所述对比模块确定来自所述网络侧设备的所述用户侧网络接入设备的标识与来自所述用户侧网络接入设备的所述用户侧网络接入设备的标识一致时，确定所述用户侧网络接入设备是与所述用户侧网络接入设备中插入的用户标识模块绑定的合法设备。

再一方面，本发明实施例还提供一种网络设备，包括：保存模块，用于保存用户侧网络接入设备的标识和所述用户侧网络接入设备中插入的用户标识模块的国际移动用户标识 IMSI的对应关系列表；标识查找模块，用于根据所述用户标识模块的 IMSI在所述保存模块保存的对应关系列表中查找所述用户侧网络接入设备的标识；

发送模块，用于将所述标识查找模块查找到的所述用户侧网络接入设备的标识发送给认证网元。

再一方面，本发明实施例还提供一种网络设备，包括：

标识获取模块，用于获取用户侧网络接入设备的标识；

发送模块，用于向认证网元发送所述获取模块获取的用户侧网络接入设备的标识。

再一方面，本发明实施例还提供一种绑定认证的方法，包括：获取来自用户侧网络接入设备发送的利用所述用户侧网络接入设备数字证书的私钥签名后的 IMSI数据，所述 IMSI数据包括所述用户侧网络接入设备中插入的用户标识模块的 IMSI和签名后的 IMSI;

利用所述用户侧网络接入设备数字证书的公钥对所述 IMSI数据的签名进行验证，在验证通过后，确定所述用户侧网络接入设备是与所述用户侧网络接入设备中插入的用户标识模块绑定的合法设备。

通过本发明实施例，当所述网络侧设备发送的所述用户侧网络接入设备的标识与所述用户侧网络接入设备发送的所述用户侧网络接入设备的标识一致时，认证网元确定该用户侧网络接入设备是与该用户侧网络接入设备中插入的用户标识模块绑定的合法设备。本发明实施例不仅可以对用户标识模块的身份进行认证，还可以对用户标识模块所插入的用户侧网络接入设备的合法性进行认证，实现了对用户侧网络接入设备和该用户侧网络接入设备中插入的用户标识模块的绑定认证，使得用户侧网络接入设备中插入的用户标识模块不能被随意更换。附图说明为了更清楚地说明本发明实施例的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图 1为本发明实施例绑定认证的方法的流程图；

图 2为本发明绑定认证的方法实施例一的流程图；

图 3为本发明绑定认证的方法实施例二的流程图；

图 4为本发明绑定认证的方法实施例三的流程图；

图 5为本发明绑定认证的方法实施例四的流程图；

图 6为本发明绑定认证的方法实施例五的流程图；

图 7为本发明实施例绑定认证的系统的结构图；

图 8为本发明实施例认证网元的结构图；

图 9为本发明实施例网络侧设备的一种结构图；

图 10为本发明实施例网络侧设备的另一种结构图；

图 11为本发明实施例用户侧网络接入设备的一种结构图；

图 12为本发明实施例用户侧网络接入设备的另一种结构图。具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明的一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明实施例提供一种绑定认证的方法，对用户侧网络接入设备和该用户侧网络接入设备中插入的用户标识模块进行绑定认证，使得用户侧网络接入设备中插入的用户标识模块不能被随意更换。本发明实施例中，绑定认证的执行主体为认证网元，但是本发明实施例并不局限于此，绑定认证的执行主体还可以为 HLR等运营商核心网的网络侧功能实体。如图 1所示，为本发明实施例绑定认证的方法的流程图，具体包括：步骤 S101 , 从网络侧设备获取用户侧网络接入设备的标识和从用户侧网络接入设备获取所述用户侧网络接入设备的标识。本发明实施例中，网络侧设备保存用户侧网络接入设备的标识和用户侧网络接入设备中插入的用户标识模块的 IMSI的对应关系列表。

在网络侧设备发送用户侧网络接入设备的标识之前，网络侧设备根据用户侧网络接入设备发送的该用户侧网络接入设备中插入的用户标识模块的 IMSI在网络侧设备保存的对应关系列表中查找用户侧网络接入设备的标识，然后网络侧设备将用户侧网络接入设备的标识发送给认证网元。

在本发明实施例的一种实现方式中，用户侧网络接入设备中的用户标识模块利用永久性共享密钥 Ki加密该用户侧网络接入设备的标识，并将加密后的用户侧网络接入设备的标识和该用户标识模块的 IMSI发送给用户侧网络接入设备，由用户侧网络接入设备将利用永久性共享密钥 Ki加密的用户侧网络接入设备的标识发送给认证网元。

网络侧设备根据所述用户侧网络接入设备通过认证网元发送的用户标识模块的 IMSI, 查找永久性共享密钥 Ki和所述 IMSI对应的用户侧网络接入设备的标识，并利用所述永久性共享密钥加密所述 IMSI对应的用户侧网络接入设备的标识，然后网络侧设备将利用永久性共享密钥 Ki加密的用户侧网络接入设备的标识发送给认证网元。

优选地，在用户侧网络接入设备中的用户标识模块利用永久性共享密钥加密该用户侧网络接入设备的标识之前，用户侧网络接入设备中的用户标识模块还可以利用公钥对所述用户侧网络接入设备利用私钥签名后的用户侧网络接入设备的标识进行验证，验证通过后，获取该用户侧网络接入设备的标识，所述公钥和所述私钥一一对应。

在本发明实施例的另一种实现方式中，网络侧设备的鉴权中心利用加密密钥对用户侧网络接入设备的标识进行加密，然后网络侧设备将所述利用加密密钥加密的用户侧网络接入设备的标识发送给认证网元，该加密密钥携带在根据 AKA计算的认证向量组中。该认证网元保存所述用加密密钥加密的用户侧网络接入设备的标识，并向用户侧网络接入设备转发认证向量组中的随机数和 AUTN (Authentication Token, 认证令牌）。由该用户侧网络接入设备根据认证向量组中的随机数和 AUTN计算加密密钥，并利用该加密密钥加密该用户侧网络接入设备的标识。

步骤 S102, 将从网络侧设备获取送的用户侧网络接入设备的标识与从用户侧网络接入设备获取的该用户侧网络接入设备的标识进行对比。

具体可以为：认证网元将网络侧设备发送的利用永久性共享密钥加密的用户侧网络接入设备的标识与用户侧网络接入设备发送的利用永久性共享密钥加密的用户侧网络接入设备的标识进行对比；或者，

认证网元将网络侧设备发送的利用加密密钥加密的用户侧网络接入设备的标识与用户侧网络接入设备发送的利用加密密钥加密的用户侧网络接入设备的标识进行对比。

步骤 S103 , 当从网络侧设备获取的用户侧网络接入设备的标识与从用户侧网络接入设备获取的该用户侧网络接入设备的标识一致时，确定该用户侧网络接入设备是与该用户侧网络接入设备中插入的用户标识模块绑定的合法设备。

其中，本发明实施例中的用户侧网络接入设备的标识可以为用户侧网络接入设备的 EI (Equipment Identity, 设备标识码）、或该用户侧网络接入设备的 MAC (Media Access Control, 媒体接入控制）地址、或用户侧网络接入设备的数字证书，但本发明实施例并不局限于此，只要用户侧网络接入设备的标识可以唯一标识该用户侧网络接入设备即可。

在本发明实施例中，当网络侧设备发送的用户侧网络接入设备的标识与用户侧网络接入设备发送的该用户侧网络接入设备的标识一致时，还可以进一步判断所述用户侧网络接入设备发送的 RES和所述网络侧设备发送的认证向量组中的 XRES是否一致，当所述用户侧网络接入设备发送的 RES和所述网络侧设备发送的认证向量组中的 XRES—致时，确定该用户标识模块的身份合法。

该用户侧网络接入设备发送的 RES是用户侧网络接入设备根据认证网元发送的认证向量组中的随机数和永久性共享密钥计算的。

本发明实施例中的用户标识模块可以是插入家庭基站内的可移动的模块，内有能够认证家庭基站持有者的信任状，其类型可以为 SIM卡或 USIM 卡等移动卡。

上述绑定认证的方法，不仅可以对用户标识模块的身份进行认证，还可以对用户标识模块所插入的用户侧网络接入设备的合法性进行认证，实现了对用户侧网络接入设备和该用户侧网络接入设备中插入的用户标识模块的绑定认证，使得用户侧网络接入设备中插入的用户标识模块不能被随意更换。

本发明实施例以网络侧设备为 HLR, 用户侧网络接入设备为家用基站为例进行说明，但本发明实施例并不局限于此，该网络侧设备和用户侧网络接入设备还可以为其他设备。本发明实施例将家用基站的 EI和（X) SIM 卡绑定，也可以将家用基站的 MAC (Media Access Control, 媒体接入控制）地址等信息与（X) SIM卡绑定。

如图 2所示，为本发明绑定认证的方法实施例一的流程图，实施例一中， HLR上存储有家用基站的 EI与 IMSI (International Mobile Subscriber Identity, 国际移动用户识别码）的对应关系，该对应关系可以以列表（或其他数据结构）的形式体现，该对应关系列表是用户在向运营商注册业务时，运营商将家用基站和（X) SIM卡发放给用户时生成的。实施例一对家用基站与认证网元建立物理链路后的认证方法进行介绍，具体包括：

步骤 S201 , 家用基站向认证网元发送家用基站的 EI和该家用基站中插入的（X) SIM卡的 IMSI, 向认证网元发起绑定认证申请。

步骤 S202, 认证网元将 IMSI转发给 HLR。步骤 S203 , HLR根据 IMSI计算认证向量组，并根据该 IMSI获取该

HLR保存的家用基站的 EI, 将该家用基站的 EI和认证向量组一起发送给认证网元。

步骤 S204, 认证网元对比家用基站发送的该家用基站的 EI和 HLR发送的该家用基站的 EI是否一致。如果一致，则该家用基站是与（X) SIM 卡绑定的合法设备，但还需对（X) SIM卡的身份继续进行认证，执行步骤 S205; 如果从家用基站处接收到的该家用基站的 EI和从 HLR处接收到的该家用基站的 EI不一致，则该家用基站不是与（X ) SIM卡绑定的合法设备，断开与该家用基站的链接。

步骤 S205, 认证网元将认证向量组中的随机数和 AUTN发送给家用基站。

步骤 S206, 家用基站在 SIM卡中根据 Ki (永久性共享密钥）和接收的随机数计算 RES。

步骤 S207, 家用基站将 RES返回给认证网元。

步骤 S208, 认证网元对比 HLR发送的认证向量组中的 XRES和家用基站发送的 RES是否一致。如果 XRES和 RES—致，则确定（X) SIM卡是合法的。

上述绑定认证的方法，当 HLR发送的家用基站的 EI与家用基站发送的该家用基站的 EI—致时，认证网元确定该家用基站是与该家用基站中插入的（X) SIM卡绑定的合法设备。在进一步确定 HLR发送的认证向量组中的 XRES和家用基站发送的 RES—致之后，该认证网元确定（X) SIM卡的身份合法。不仅实现了对（X) SIM卡的身份进行认证，还进一步对（X) SIM卡所插入的家用基站的合法性进行认证，从而实现了对家用基站和该家用基站中插入的用户标识模块的绑定认证，使得家用基站中插入的（X) SIM卡不能被随意更换。

如图 3所示，为本发明绑定认证的方法实施例二的流程图。实施例二中， HLR上存储有家用基站的 EI与 IMSI的对应关系列表，该对应关系列表是用户在向运营商注册业务时，运营商将家用基站和（X) SIM卡发放给用户时生成的。实施例二还增加了一个公私钥对，用私钥对家用基站的 EI 进行签名，将此签名数据写入家用基站，同时将公钥写入（X) SIM卡，私钥可由运营商保管。

在家用基站申请认证前，首先与（X) SIM卡进行一次运算，由（X)

SIM卡验证家用基站的 EI的签名，然后将明文的 EI用 Ki加密后输出给家用基站，进行绑定认证时，家用基站发送这个加密的序列号和明文的 IMSI 给认证网元。

具体包括：

步骤 S301 , 家用基站将用私钥加密后的 EI输入到（X) SIM卡。

步骤 S302, (X) SIM卡用公钥对加密后的 EI进行验证，获取该家用基站的 EI, 然后用 Ki加密该 EI。

步骤 S303, (X) SIM卡将加密后的 EI和 IMSI—起输出给家用基站。步骤 S304, 家用基站将 Ki加密后的该家用基站的 EI和 IMSI发送到认证网元。

步骤 S305, 认证网元将家用基站发送的 IMSI转发给 HLR。

步骤 S306, HLR根据 IMSI查找 Ki和用户开户时对应的家用基站的 EI 的记录，用 Ki加密家用基站的 EI。

步骤 S307, HLR将 Ki加密的家用基站的 EI和认证向量组返回给认证网元。

步骤 S308, 认证网元对比家用基站发送的该家用基站的 EI和 HLR发送的家用基站的 EI。如果家用基站发送的该家用基站的 EI和 HLR发送的家用基站的 EI—致，则该家用基站是与（X) SIM卡绑定的合法设备，但还需继续认证（X) SIM卡的身份。如果家用基站发送的该家用基站的 EI 和 HLR发送的家用基站的 EI不一致，则该家用基站不是与（X) SIM卡绑定的合法设备。步骤 S309, 认证网元将认证向量组中的随机数和 AUTN发送给家用基站。

步骤 S310, 家用基站在（X) SIM卡中用 Ki和随机数计算出 RES。步骤 S311, (X) SIM卡将 RES返回给认证网元。

步骤 S312, 认证网元对比 RES和 HLR发送的认证向量组中的 XRES 是否一致。如果 RES和 XRES—致，则确定（X) SIM卡的身份是合法的。

实施例二中，家用基站的身份难以伪造，即使已经知道一个合法的家用基站的 EI和该家用基站中插入的 (X) SIM卡的 IMSI, 如果没有家用基站利用私钥对 EI的签名，也不能通过对设备身份合法性的认证，只有家用基站和该家用基站中插入的 (X) SIM卡一起才能完成对家用基站身份合法性的认证。从而实现了对家用基站和该家用基站中插入的用户标识模块的绑定认证，使得家用基站中插入的（X) SIM卡不能被随意更换。当家用基站的用户需要改变对应的（X) SIM卡时，可以向运营商请求更改 HLR上的记录，并不影响（X) SIM卡或设备的再次使用。

如图 4所示，为本发明绑定认证的方法实施例三的流程图。实施例三中， HLR上存储有家用基站的 EI与 IMSI的对应关系列表，该对应关系列表是用户在向运营商注册业务时，运营商将家用基站和（X) SIM卡发放给用户时生成的。实施例三是对现有 AKA协议的扩展，利用现有的 AKA认证机制，增加一个字段对 AKA协议进行扩展，实现了对（X) SIM卡和家用基站进行绑定认证。实施例三的核心思想是：使用 AKA协议协商出的 CK (Cryptographic Key, 加密密钥）来加密 EI。认证网元接收 HLR下发的用 CK加密的家用基站的 EI, 和由家用基站发送的用 CK加密的该家用基站的 EI, 并将两者进行比较，如果一致则说明是合法的 (X) SIM卡用在了合法的家用基站上。实施例三以（X) SIM卡为 USIM卡为例进行说明。

具体包括：

步骤 S401, 家用基站启动后，通过插入在该家用基站中的 USIM, 向认证网元发送 IMSI, 与核心网的 HLR上的 AuC执行 AKA机制。步骤 S402, 认证网元将 IMSI转发给 HLR，请求认证向量组。

步骤 S403 , HLR上的 AuC按照 AKA算法产生五元认证向量组，同时用新产生的 CK加密该 USIM所绑定的家用基站的 EI。该家用基站的 EI可以由 AuC从 HLR中根据 IMSI读取。

步骤 S404, HLR将 AKA五元认证向量组与核心网产生的用 CK加密的家用基站的 EI发给认证网元。

步骤 S405 , 认证网元从 AKA 五元认证向量组中获得 CK和 IK (Integrity Key, 完整性密钥），并保留用 CK加密的家用基站的 EI, 然后将 AKA五元认证向量组中的随机数和 AUTN转发给家用基站。

步骤 S406, 家用基站执行 AKA认证，如果家用基站的 AKA认证通过，再从家用基站中读取家用基站的 EI, 并用该家用基站推算的 CK加密该家用基站的 EI。

步骤 S407, 家用基站将计算出的 RES和该家用基站产生的用 CK加密的家用基站的 EI发送给认证网元。

步骤 S408, 认证网元对比家用基站发送的随机数响应 RES和 AuC发送的 AKA五元认证向量组中的 XRES是否一致，当家用基站发送的随机数响应 RES和 AuC发送的 AKA五元认证向量组中的 XRES—致时，确定该家用基站是合法的设备。再比较 AuC发送的用 CK加密的家用基站的 EI和家用基站发送的用 CK加密的家用基站的 EI, 如果 AuC发送的用 CK加密的家用基站的 EI和家用基站发送的用 CK加密的家用基站的 EI—致，则表明 USIM卡插在了正确的家用基站上，并且该家用基站是合法的设备，没有被冒用。

如果在家用基站的归属环境的策略是发多组的认证向量，由认证网元来选择其中的一组认证向量，将该认证向量中的随机数和 AUTN转发给家用基站，那么步骤 S404中 HLR发送 IMSI对应的家用基站的 EI给认证网元，在认证网元选定认证向量后，用其中的 CK加密家用基站的 EI, 后面的步骤 S405~步骤 S407与上述实施例相同，在步骤 S408中认证网元对比认证网元用选定的认证向量中的 CK加密后的家用基站的 EI和家用基站发送的用该家用基站推算的 CK加密后的该家用基站的 EI。

当本发明实施例三用在 WLAN (Wireless Local Area Network, 无线局域网）或其他网络中时，认证网元应用 EAP ( Extensible Authentication Protocol, 可扩展认证协议）一 AKA认证协议进行身份认证，则认证网元可拆分为接入网关禾卩 AAA ( Authentication Authorization and Accounting , 认证、授权和计费）服务器， AAA服务器与 HLR之间采用 Radius接口进行消息交互，交互的消息用 EAP承载。

上述绑定认证的方法， HLR利用 CK加密家用基站的 EI, 并且家用基站也利用 CK对家用基站的 EI进行加密，然后认证网元根据 HLR发送的用 CK加密的家用基站的 EI和家用基站发送的用 CK加密的家用基站的 EI对该家用基站的合法性进行认证，实现了对 USIM卡插入的家用基站的合法性进行认证，提供了一种对家用基站和该家用基站中插入的用户标识模块进行绑定认证的方法。

本发明实施例除了用在家用基站上，还可以用在手机终端上，实现对手机终端和（X) SIM卡的绑定认证。

如图 5所示，为本发明绑定认证的方法实施例四的流程图。具体包括：步骤 S501 , 家用基站将该家用基站的 EI发送到（X) SIM卡。

步骤 S502, (X) SIM卡用 Ki加密该 EI。

步骤 S503, (X) SIM卡将加密后的 EI和 IMSI—起发送给家用基站。步骤 S504, 家用基站将 Ki加密后的该家用基站的 EI和 IMSI发送到认证网元。

步骤 S505, 认证网元将家用基站发送的 IMSI转发给 HLR。

步骤 S506, HLR根据 IMSI查找 Ki和用户开户时对应的家用基站的 EI 的记录，用 Ki加密家用基站的 EI。

步骤 S507, HLR将 Ki加密的家用基站的 EI和认证向量组返回给认证网元。步骤 S508, 认证网元对比家用基站发送的该家用基站的 EI和 HLR发送的家用基站的 EI。如果家用基站发送的该家用基站的 EI和 HLR发送的家用基站的 EI—致，则该家用基站是与（X) SIM卡绑定的合法设备，但还需继续认证（X) SIM卡的身份。如果家用基站发送的该家用基站的 EI 和 HLR发送的家用基站的 EI不一致，则该家用基站不是与（X) SIM卡绑定的合法设备。

步骤 S509, 认证网元将认证向量组中的随机数和 AUTN发送给家用基站。

步骤 S510, 家用基站在（X) SIM卡中用 Ki和随机数计算出 RES。步骤 S511 , (X) SIM卡将 RES返回给认证网元。

步骤 S512, 认证网元对比 RES和 HLR发送的认证向量组中的 XRES 是否一致。如果 RES和 XRES—致，则确定（X) SIM卡的身份是合法的。

上述绑定认证的方法，家用基站和 HLR分别用 Ki加密该家用基站的 EI, 在认证网元对比家用基站发送的该家用基站的 EI和 HLR发送的家用基站的 EI—致之后，认证网元确定该家用基站是与（X) SIM卡绑定的合法设备，从而实现了对（X) SIM卡插入的家用基站的合法性进行认证，提供了一种对家用基站和该家用基站中插入的用户标识模块进行绑定认证的方法。

如图 6所示，为本发明绑定认证的方法实施例五的流程图。实施例五中，家用基站预先配置数字证书，并且 HLR 已经保存有 IMSI与家用基站数字证书的公钥的对应关系。家用基站在配置数字证书情况下，用家用基站数字证书的私钥对 IMSI进行签名，并将签名后的 IMSI数据发送给认证网元。具体包括：

步骤 S601 , 家用基站向认证网元发送使用该家用基站数字证书的私钥签名的 IMSI数据，发起绑定认证请求，该 IMSI数据包括 IMSI, 和用数字证书私钥签名后的 IMSI。步骤 S602 , 认证网元将接收到的 IMSI数据转发给 HLR, 请求验证该 IMSI数据的签名。

步骤 S603 , HLR根据 IMSI检索与该 IMSI对应的家用基站数字证书的公钥，用检索到的公钥验证 IMSI数据的签名。

步骤 S604, HLR将 IMSI数据的签名的验证结果发送给认证网元。

其中，对 IMSI数据的签名进行验证可以由 HLR执行，也可以在 HLR 检索到家用基站数字证书的公钥后，将公钥返回给认证网元，由认证网元对 IMSI数据的签名进行验证。具体可以为：认证网元将 IMSI转发给 HLR, 向 HLR请求与该 IMSI对应的家用基站数字证书的公钥；在 HLR根据 IMSI 检索到家用基站数字证书的公钥之后， HLR将该家用基站数字证书的公钥发送给认证网元；认证网元利用接收到的公钥对 IMSI数据的签名进行验证。

上述绑定认证的方法，认证网元接收家用基站发送的利用该家用基站数字证书的私钥签名后的 IMSI数据，利用该家用基站数字证书的公钥对 IMSI 数据的签名进行验证，在验证通过后，确定该家用基站是与 (X) SIM卡绑定的合法设备，实现了对（X) SIM卡插入的家用基站的合法性进行认证，提供了一种对家用基站和该家用基站中插入的用户标识模块进行绑定认证的方法。

如图 7所示，为本发明实施例绑定认证的系统的结构图，包括：用户侧网络接入设备 71，用于发送用户侧网络接入设备 71的标识；网络侧设备 72，用于发送用户侧网络接入设备 71的标识；

认证网元 73，用于获取来自用户侧网络接入设备 71的用户侧网络接入设备 71的标识和来自网络侧设备 72的用户侧网络接入设备 71的标识，当来自网络侧设备 72的用户侧网络接入设备 71的标识与来自用户侧网络接入设备 71的用户侧网络接入设备 71的标识一致时，确定用户侧网络接入设备 71是与用户侧网络接入设备 71中插入的用户标识模块绑定的合法设备，并且该用户标识模块的身份合法。其中，网络侧设备 72的类型包括归属位置寄存器 HLR，用户侧网络接入设备 71的类型包括家用基站。

上述绑定认证的系统，认证网元 73对用户标识模块所插入的用户侧网络接入设备 71的合法性进行认证，实现了对用户侧网络接入设备 71和该用户侧网络接入设备 71 中插入的用户标识模块的绑定认证，使得用户侧网络接入设备 71中插入的用户标识模块不能被随意更换。

如图 8所示，为本发明实施例认证网元的结构图，包括：

接收模块 731，用于获取来自用户侧网络接入设备 71 的用户侧网络接入设备 71的标识和来自网络侧设备 72的用户侧网络接入设备 71的标识。

对比模块 732，用于将接收模块 731获取的来自网络侧设备 72的用户侧网络接入设备 71的标识与来自用户侧网络接入设备 71的用户侧网络接入设备 71的标识进行对比。

合法性认证模块 733，用于当对比模块 732确定来自网络侧设备 72的用户侧网络接入设备 71的标识与来自用户侧网络接入设备 71的用户侧网络接入设备 71的标识一致时，确定用户侧网络接入设备 71是与用户侧网络接入设备 71中插入的用户标识模块绑定的合法设备。

其中，对比模块 732具体为加密对比模块，用于将网络侧设备 72发送的利用永久性共享密钥或加密密钥加密的用户侧网络接入设备 71 的标识与用户侧网络接入设备 71发送的利用永久性共享密钥或加密密钥加密的用户侧网络接入设备 71的标识进行对比。

上述认证网元，合法性认证模块 733根据接收模块 731接收的用户侧网络接入设备 71发送的用户侧网络接入设备 71的标识和网络侧设备 72发送的用户侧网络接入设备 71 的标识，对用户标识模块所插入的用户侧网络接入设备 71的合法性进行认证，从而实现了对用户侧网络接入设备 71和该用户侧网络接入设备 71中插入的用户标识模块的绑定认证。

如图 9所示，为本发明实施例网络侧设备的结构图，包括：保存模块 721，用于保存用户侧网络接入设备 71 的标识和用户侧网络接入设备 71中插入的用户标识模块的 IMSI的对应关系列表；

标识查找模块 722，用于根据用户标识模块的 IMSI在保存模块 721保存的对应关系列表中查找用户侧网络接入设备 71的标识；

发送模块 723，用于将标识查找模块 722查找到的用户侧网络接入设备

71的标识发送给认证网元 73。

在本发明的另一实施例中，如图 10所示，该网络侧设备还可以包括：加密模块 724，用于利用加密密钥或永久性共享密钥加密所述用户侧网络接入设备的标识。

上述网络侧设备，保存模块 721保存用户侧网络接入设备 71的标识和用户侧网络接入设备 71 中插入的用户标识模块的 IMSI的对应关系列表，发送模块 723将标识查找模块 722查找到的用户侧网络接入设备 71的标识发送给认证网元 73，从而使认证网元 73可以对用户侧网络接入设备 71和该用户侧网络接入设备 71中插入的用户标识模块进行绑定认证。

如图 11所示，为本发明实施例用户侧网络接入设备的结构图，包括：标识获取模块 711，用于获取用户侧网络接入设备 71的标识；发送模块 712，用于向认证网元发送标识获取模块 711获取的用户侧网络接入设备的标识。

在本发明的另一实施例中，如图 12所示，该用户侧网络接入设备 71还可以包括：

标识加密模块 713，用于利用加密密钥或永久性共享密钥加密标识获取模块 711获取的用户侧网络接入设备的标识。

验证模块 714，用于利用公钥验证用户侧网络接入设备 71利用私钥签名后的用户侧网络接入设备 71 的标识，所述公钥和所述私钥一一对应，在验证通过后，由标识获取模块 711获取用户侧网络接入设备 71的标识。

上述用户侧网络接入设备，发送模块 712向认证网元 73发送标识获取模块 711获取的用户侧网络接入设备 71的标识，由认证网元 73对用户侧网络接入设备 71和该用户侧网络接入设备 71中插入的用户标识模块进行绑定认证，使得用户侧网络接入设备 71 中插入的用户标识模块不能被随意更换。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到本发明可以通过硬件实现，也可以可借助软件加必要的通用硬件平台的方式来实现基于这样的理解，本发明的技术方案可以以软件产品的形式体现出来，该软件产品可以存储在一个非易失性存储介质（可以是 CD-ROM, U盘，移动硬盘等）中，包括若干指令用以使得一台计算机设备（可以是个人计算机，服务器，或者网络设备等）执行本发明各个实施例所述的方法。

本领域技术人员可以理解附图只是一个优选实施例的示意图，附图中的模块或流程并不一定是实施本发明所必须的。

本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分布于实施例的装置中，也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块，也可以进一步拆分成多个子模块。

上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。

以上公开的仅为本发明的几个具体实施例，但是，本发明并非局限于此，任何本领域的技术人员能思之的变化都应落入本发明的保护范围。

Claims

权利要求书

1、一种绑定认证的方法，其特征在于，包括：

从网络侧设备获取用户侧网络接入设备的标识；从用户侧网络接入设备获取所述用户侧网络接入设备的标识；

将所述从网络侧设备获取的所述用户侧网络接入设备的标识与从所述用户侧网络接入设备获取的所述用户侧网络接入设备的标识进行对比；

当所述从网络侧设备获取的所述用户侧网络接入设备的标识与所述从用户侧网络接入设备获取的所述用户侧网络接入设备的标识一致时，确定所述用户侧网络接入设备是与所述用户侧网络接入设备中插入的用户标识模块绑定的合法设备。

2、如权利要求 1所述绑定认证的方法，其特征在于，所述网络侧设备保存所述用户侧网络接入设备的标识和所述用户侧网络接入设备中插入的用户标识模块的国际移动用户标识 IMSI的对应关系列表。

3、如权利要求 2所述绑定认证的方法，其特征在于，在所述从网络侧设备获取用户侧网络接入设备的标识之前，还包括：

所述网络侧设备根据来自所述用户侧网络接入设备的所述用户侧网络接入设备中插入的用户标识模块的国际移动用户标识 IMSI, 在所述对应关系列表中查找所述用户侧网络接入设备的标识。

4、如权利要求 1所述绑定认证的方法，其特征在于，所述从用户侧网络接入设备获取所述用户侧网络接入设备的标识包括：

所述用户侧网络接入设备中的用户标识模块利用永久性共享密钥加密所述用户侧网络接入设备的标识，将加密后的用户侧网络接入设备的标识和所述用户标识模块的 IMSI发送给所述网络侧设备。

5、如权利要求 4所述绑定认证的方法，其特征在于，所述从网络侧设备获取用户侧网络接入设备的标识包括：

所述网络侧设备根据所述用户侧网络接入设备通过认证网元发送的所述用户标识模块的 IMSI, 查找永久性共享密钥和所述 IMSI对应的用户侧网络接入设备的标识，利用所述永久性共享密钥加密所述 IMSI对应的用户侧网络接入设备的标识。

6、如权利要求 4或 5所述绑定认证的方法，其特征在于，所述将网络侧设备发送的所述用户侧网络接入设备的标识与所述用户侧网络接入设备发送的所述用户侧网络接入设备的标识进行对比包括：

将所述从网络侧设备获取的利用所述永久性共享密钥加密的用户侧网络接入设备的标识，与所述从用户侧网络接入设备获取的利用所述永久性共享密钥加密的用户侧网络接入设备的标识进行对比。

7、如权利要求 4所述绑定认证的方法，其特征在于，在所述用户侧网络接入设备中的用户标识模块利用永久性共享密钥加密所述用户侧网络接入设备的标识之前，还包括：

所述用户侧网络接入设备中的用户标识模块利用公钥对所述用户侧网络接入设备利用私钥签名后的用户侧网络接入设备的标识进行验证，验证通过后，获取所述用户侧网络接入设备的标识；所述公钥和所述私钥一一对应。

8、如权利要求 1所述绑定认证的方法，其特征在于，所述从网络侧设备获取用户侧网络接入设备的标识包括：

获取所述网络侧设备利用加密密钥加密的用户侧网络接入设备的标识，所述加密密钥携带在所述网络侧设备根据认证和密钥协商 AKA计算的认证向量组中。

9、如权利要求 8所述绑定认证的方法，其特征在于，在所述获取网络侧设备利用加密密钥加密的用户侧网络接入设备的标识和根据 AKA计算的认证向量组之后，还包括：

保存所述用加密密钥加密的用户侧网络接入设备的标识，并向所述用户侧网络接入设备转发所述认证向量组中的随机数和认证令牌 AUTN。

10、如权利要求 9所述绑定认证的方法，其特征在于，所述从用户侧网络接入设备获取所述用户侧网络接入设备的标识包括：所述用户侧网络接入设备根据所述认证向量组中的随机数和 AUTN计算加密密钥，利用所述加密密钥加密所述用户侧网络接入设备的标识。

11、如权利要求 8或 9所述绑定认证的方法，其特征在于，所述从网络侧设备获取的所述用户侧网络接入设备的标识与从所述用户侧网络接入设备获取的所述用户侧网络接入设备的标识进行对比包括：

将所述从网络侧设备获取的利用所述加密密钥加密的用户侧网络接入设备的标识，与所述从用户侧网络接入设备获取的利用所述加密密钥加密的用户侧网络接入设备的标识进行对比。

12、如权利要求 1所述绑定认证的方法，其特征在于，所述用户侧网络接入设备的标识的类型包括：所述用户侧网络接入设备的设备标识码 EI, 或所述用户侧网络接入设备的媒体接入控制 MAC地址，或所述用户侧网络接入设备的数字证书；

所述用户标识模块的类型包括：用户标识模块 SIM卡，或通用移动通信系统用户标识模块 USIM卡；

所述网络侧设备的类型包括归属位置寄存器 HLR, 所述用户侧网络接入设备的类型包括家用基站。

13、如权利要求 1所述绑定认证的方法，其特征在于，还包括：判断所述用户侧网络接入设备发送的响应 RES和所述网络侧设备发送的认证向量组中的期望响应 XRES是否一致；

如果一致，则确定所述用户侧网络接入设备中插入的用户标识模块的身份合法。

14、一种网络系统，其特征在于，包括：

认证网元，用于获取来自所述用户侧网络接入设备的用户侧网络接入设备的标识和来自所述网络侧设备的用户侧网络接入设备的标识，当所述来自网络侧设备的所述用户侧网络接入设备的标识与来自所述用户侧网络接入设备的所述用户侧网络接入设备的标识一致时，确定所述用户侧网络接入设备是与所述用户侧网络接入设备中插入的用户标识模块绑定的合法设备。

15、如权利要求 14所述网络系统，其特征在于，所述网络侧设备的类型包括归属位置寄存器 HLR, 所述用户侧网络接入设备的类型包括家用基站。

16、一种认证网元，其特征在于，包括：

17、如权利要求 16所述认证网元，其特征在于，所述对比模块具体为加密对比模块，用于将来自所述网络侧设备的利用永久性共享密钥或加密密钥加密的用户侧网络接入设备的标识与来自所述用户侧网络接入设备的利用永久性共享密钥或加密密钥加密的用户侧网络接入设备的标识进行对比。

18、一种网络设备，其特征在于，包括：

保存模块，用于保存用户侧网络接入设备的标识和所述用户侧网络接入设备中插入的用户标识模块的国际移动用户标识 IMSI的对应关系；

标识查找模块，用于根据所述用户标识模块的 IMSI在所述保存模块保存的对应关系中查找所述用户侧网络接入设备的标识；

19、如权利要求 18所述网络设备，其特征在于，还包括：加密模块，用于利用加密密钥或永久性共享密钥加密所述用户侧网络接入设备的标识。

20、一种网络设备，其特征在于，包括：

标识获取模块，用于获取本用户侧网络接入设备的标识；

21、如权利要求 20所述网络设备，其特征在于，还包括：

标识加密模块，用于利用加密密钥或永久性共享密钥加密所述标识获取模块获取的网络设备的标识。

22、如权利要求 20所述网络设备，其特征在于，还包括：

验证模块，用于利用公钥验证所述用户侧网络接入设备利用私钥签名后的用户侧网络接入设备的标识，所述公钥和所述私钥一一对应，在验证通过后，由所述标识获取模块获取所述用户侧网络接入设备的标识。

23、一种绑定认证的方法，其特征在于，包括：

获取来自用户侧网络接入设备的利用所述用户侧网络接入设备数字证书的私钥签名后的 IMSI数据，所述 IMSI数据包括所述用户侧网络接入设备中插入的用户标识模块的 IMSI和签名后的 IMSI;

24、如权利要求 23所述绑定认证的方法，其特征在于，在所述利用所述用户侧网络接入设备数字证书的公钥对所述 IMSI数据的签名进行验证之前，还包括 Γ

根据所述用户侧网络接入设备中插入的用户标识模块的 IMSI, 获取所述 IMSI对应的用户侧网络接入设备数字证书的公钥。