專利名稱:一種檢測(cè)uicc和設(shè)備是否配對(duì)的方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù)領(lǐng)域���,具體涉及ー種檢測(cè)UICC (Universal IntegratedCircuit Card,通用集成電路卡)和設(shè)備是否配對(duì)的方法和系統(tǒng)���。
背景技術(shù):
MTC(Machine Type Communication,機(jī)器類型通信)是指ー種不需要人干涉的兩實(shí)體之間的數(shù)據(jù)交互。換而言之���,MTC就是ー種機(jī)器類的通信,是機(jī)器與機(jī)器之間的對(duì)話�����。MTC系統(tǒng)中��,由于不需要人的干渉���,MTC設(shè)備經(jīng)常會(huì)處于ー些比較邊遠(yuǎn)的環(huán)境中執(zhí)行任務(wù)��。由于MTC設(shè)備經(jīng)常會(huì)處于無人監(jiān)瞀��、邊遠(yuǎn)地區(qū)等危險(xiǎn)環(huán)境中����,導(dǎo)致發(fā)生在MTC設(shè)備上的危險(xiǎn)行為大大增加,例如MTC設(shè)備上的UICC(Universal Integrated Circuit Card,通用集成電路卡)被盜用���。此外�,攻擊者可以將專用于ー些具有特殊計(jì)費(fèi)特征設(shè)備的ncc�,插入到其他的智能設(shè)備上,以盜取他人通信費(fèi)用或進(jìn)行其他攻擊手段��。這ー系列的威脅都需要核心網(wǎng)能夠提供設(shè)備認(rèn)證的方法���,保證設(shè)備是合法設(shè)備���,并保證插入到該合法設(shè)備上的 UICC是授權(quán)在該設(shè)備上使用的。IMSI (International Mobile Subscriber Identity,國(guó)際移動(dòng)用戶識(shí)別碼)是存在于 UICC 上用于標(biāo)識(shí)用戶的信息�����,IMEI (International Mobile EquipmentIdentity,國(guó)際移動(dòng)設(shè)備識(shí)別碼)是存在于設(shè)備上用于標(biāo)識(shí)設(shè)備的信息。現(xiàn)有技術(shù)中核心網(wǎng)是通過檢測(cè) IMSI/IMEI配對(duì)是否被授權(quán)�����,來判斷該ncc是否授權(quán)在該設(shè)備上使用��。那么�,核心網(wǎng)必須要對(duì)設(shè)備上傳的頂SI和頂EI進(jìn)行認(rèn)證,以保證設(shè)備上傳的頂SI和頂EI是合法��,進(jìn)而才能夠判斷頂SI/MEI配對(duì)是否被授權(quán)�。標(biāo)準(zhǔn)的AKA過程能夠?qū)擲I進(jìn)行認(rèn)證,能夠保證頂SI 是合法的�,但是目前標(biāo)準(zhǔn)中沒有規(guī)范核心網(wǎng)對(duì)頂EI的認(rèn)證方式,即設(shè)備認(rèn)證的方式?�,F(xiàn)有技術(shù)中提出了使用增強(qiáng)的AKA過程來對(duì)設(shè)備進(jìn)行認(rèn)證���,即增強(qiáng)現(xiàn)有標(biāo)準(zhǔn)中的 AKA過程���,在標(biāo)準(zhǔn)AKA過程中加入設(shè)備認(rèn)證過程����,以便在AKA過程中既對(duì)頂SI進(jìn)行認(rèn)證��,又對(duì)頂EI進(jìn)行認(rèn)證���。但此方法存在幾個(gè)缺點(diǎn)其一,AKA過程執(zhí)行的不僅僅是用戶認(rèn)證過程和設(shè)備認(rèn)證過程�,同時(shí)也執(zhí)行了安全連接建立的過程。在很多情況下都會(huì)進(jìn)行AKA過程�����,如TAU過程中核心網(wǎng)節(jié)點(diǎn)對(duì)TA更新請(qǐng)求消息的完整性檢查失敗的時(shí)候�,但此時(shí)并不需要重新進(jìn)行設(shè)備認(rèn)證。所以在增強(qiáng)的AKA 過程中進(jìn)行設(shè)備認(rèn)證�,會(huì)増加通信系統(tǒng)的開銷。其ニ�����,增強(qiáng)的AKA過程產(chǎn)生了新的根密鑰��。雖然該根密鑰具有和E-UTRAN中的 KASME和UTRAN中的CK����、IK相同的功能,但是在目前通信系統(tǒng)中引入該根密鑰,會(huì)導(dǎo)致現(xiàn)有的安全架構(gòu)產(chǎn)生一定的變動(dòng)��。
發(fā)明內(nèi)容
本發(fā)明要解決的技術(shù)問題是提供一種檢測(cè)ncc和設(shè)備是否配對(duì)的方法和系統(tǒng)�����, 在不改變附著過程流程和現(xiàn)今安全架構(gòu)的基礎(chǔ)上�,實(shí)現(xiàn)核心網(wǎng)對(duì)設(shè)備的認(rèn)證。為了解決上述問題���,本發(fā)明提供了一種檢測(cè)ncc和設(shè)備是否配對(duì)的方法��,包括
核心網(wǎng)節(jié)點(diǎn)接收到用戶設(shè)備的附著請(qǐng)求后����,與所述用戶設(shè)備建立安全連接�;所述核心網(wǎng)節(jié)點(diǎn)向所述用戶設(shè)備發(fā)送標(biāo)識(shí)請(qǐng)求消息,接收所述用戶設(shè)備通過標(biāo)識(shí)響應(yīng)消息返回的國(guó)際移動(dòng)設(shè)備識(shí)別碼頂EI和設(shè)備認(rèn)證數(shù)據(jù)����,將所述MEI和所述用戶設(shè)備上的通用集成電路卡的國(guó)際移動(dòng)用戶識(shí)別碼頂SI通過更新位置請(qǐng)求發(fā)送給歸屬用戶服務(wù)器HSS/歸屬位置寄存器HLR ;所述HSS/HLR檢測(cè)所述頂EI和頂SI是否為授權(quán)的頂EI/MSI對(duì)��,將檢測(cè)結(jié)果���,或者����,將所述檢測(cè)結(jié)果以及設(shè)備認(rèn)證參數(shù)���,通過更新位置響應(yīng)發(fā)送給所述核心網(wǎng)節(jié)點(diǎn)�;所述設(shè)備認(rèn)證參數(shù)中包括根據(jù)所述頂EI對(duì)應(yīng)的設(shè)備根密鑰生成的下級(jí)密鑰����;如果所述核心網(wǎng)節(jié)點(diǎn)接收到所述設(shè)備認(rèn)證參數(shù),則根據(jù)所述設(shè)備認(rèn)證參數(shù)檢測(cè)所述設(shè)備認(rèn)證數(shù)據(jù)�����,判斷所述MEI是否合法�。進(jìn)ー步的,上述方法還可具有以下特點(diǎn)���,所述HSS/HLR本地配置MSI的授權(quán)MEI 列表�,所述HSS/HLR根據(jù)所述本地配置的頂SI的授權(quán)頂EI列表判斷所述頂EI和頂SI是否為授權(quán)的頂EI/MSI對(duì)����。進(jìn)ー步的,上述方法還可具有以下特點(diǎn),所述下級(jí)密鑰根據(jù)如下方式生成所述HSS/HLR使用與所述頂EI對(duì)應(yīng)的設(shè)備根密鑰�����、計(jì)數(shù)器COUNT值���、服務(wù)網(wǎng)點(diǎn)標(biāo)識(shí)作為輸入��,生成所述下級(jí)密鑰��;所述COUNT與用戶設(shè)備側(cè)的計(jì)數(shù)器同步��,所述HSS/HLR每次將所述設(shè)備認(rèn)證參數(shù)發(fā)送給核心網(wǎng)節(jié)點(diǎn)后�����,所述COUNT進(jìn)行一次計(jì)數(shù)���;所述服務(wù)網(wǎng)點(diǎn)標(biāo)識(shí)為當(dāng)前為所述用戶設(shè)備服務(wù)的網(wǎng)點(diǎn)的標(biāo)識(shí)。進(jìn)ー步的���,上述方法還可具有以下特點(diǎn)���,所述核心網(wǎng)節(jié)點(diǎn)根據(jù)所述設(shè)備認(rèn)證參數(shù)檢測(cè)所述設(shè)備認(rèn)證數(shù)據(jù)包括所述核心網(wǎng)節(jié)點(diǎn)使用所述下級(jí)密鑰對(duì)所述設(shè)備認(rèn)證數(shù)據(jù)進(jìn)行解密,得到設(shè)備響應(yīng) RES和隨機(jī)數(shù)RAND �;所述核心網(wǎng)節(jié)點(diǎn)使用所述RAND,COUNT值和所述下級(jí)密鑰作為設(shè)備響應(yīng)生成函數(shù)的輸入���,得到期望設(shè)備響應(yīng)XRES ;所述COUNT值包含在所述設(shè)備認(rèn)證參數(shù)中��;所述核心網(wǎng)節(jié)點(diǎn)比較所述XRES和所述RES���,如果相同,則所述MEI合法�,否則���,所述MEI不合法����。進(jìn)ー步的����,上述方法還可具有以下特點(diǎn),所述方法還包括,如果所述檢測(cè)結(jié)果為所述頂EI和頂SI是授權(quán)的頂EI/MSI對(duì),且�,所述核心網(wǎng)節(jié)點(diǎn)判斷所述頂EI合法時(shí)��,所述核心網(wǎng)節(jié)點(diǎn)接受所述用戶設(shè)備的附著請(qǐng)求�,否則,拒絕所述用戶設(shè)備的附著請(qǐng)求����。本發(fā)明還提供一種檢測(cè)ncc和設(shè)備是否配對(duì)的系統(tǒng),包括核心網(wǎng)節(jié)點(diǎn)��、歸屬用戶服務(wù)器HSS/歸屬位置寄存器HLR,其中所述核心網(wǎng)節(jié)點(diǎn)用于,接收到用戶設(shè)備的附著請(qǐng)求后���,與所述用戶設(shè)備建立安全連接�����;向所述用戶設(shè)備發(fā)送標(biāo)識(shí)請(qǐng)求消息��,接收所述用戶設(shè)備通過標(biāo)識(shí)響應(yīng)消息返回的國(guó)際移動(dòng)設(shè)備識(shí)別碼頂EI和設(shè)備認(rèn)證數(shù)據(jù)��,將所述MEI和所述用戶設(shè)備上的通用集成電路卡的國(guó)際移動(dòng)用戶識(shí)別碼頂SI通過更新位置請(qǐng)求發(fā)送給所述HSS/HLR ;以及��,如果接收到所述HSS/HLR發(fā)送的設(shè)備認(rèn)證參數(shù)����,則根據(jù)所述設(shè)備認(rèn)證參數(shù)檢測(cè)所述設(shè)備認(rèn)證數(shù)據(jù),判斷所述MEI是否合法��;所述HSS/HLR用于���,檢測(cè)所述頂EI和頂SI是否為授權(quán)的頂EI/MSI對(duì)����,將檢測(cè)結(jié)果�,或者,將所述檢測(cè)結(jié)果以及設(shè)備認(rèn)證參數(shù)�,通過更新位置響應(yīng)發(fā)送給所述核心網(wǎng)節(jié)點(diǎn); 所述設(shè)備認(rèn)證參數(shù)中包括根據(jù)所述頂EI對(duì)應(yīng)的設(shè)備根密鑰生成的下級(jí)密鑰�����。進(jìn)ー步的���,上述系統(tǒng)還可具有以下特點(diǎn)�,所述HSS/HLR還用于本地配置頂SI的授權(quán)IMEI列表����;所述HSS/HLR是用于根據(jù)所述本地配置的頂SI的授權(quán)MEI列表判斷所述MEI 和MSI是否為授權(quán)的頂EI/1MSI對(duì)。進(jìn)ー步的�,上述系統(tǒng)還可具有以下特點(diǎn)����,所述HSS/HLR還包括計(jì)數(shù)器COUNT���,與用戶設(shè)備側(cè)的計(jì)數(shù)器同步��,用于����,所述HSS/HLR每次將所述設(shè)備認(rèn)證參數(shù)發(fā)送給核心網(wǎng)節(jié)點(diǎn)后��,進(jìn)行一次計(jì)數(shù)���;所述HSS/HLR根據(jù)如下方式生成所述下級(jí)密鑰所述HSS/HLR使用與所述頂EI對(duì)應(yīng)的設(shè)備根密鑰、計(jì)數(shù)器COUNT值�、服務(wù)網(wǎng)點(diǎn)標(biāo)識(shí)作為輸入,生成所述下級(jí)密鑰����;所述服務(wù)網(wǎng)點(diǎn)標(biāo)識(shí)為當(dāng)前為所述用戶設(shè)備服務(wù)的網(wǎng)點(diǎn)的標(biāo)識(shí)。進(jìn)ー步的���,上述系統(tǒng)還可具有以下特點(diǎn)�����,所述核心網(wǎng)節(jié)點(diǎn)根據(jù)所述設(shè)備認(rèn)證參數(shù)檢測(cè)所述設(shè)備認(rèn)證數(shù)據(jù)包括使用所述下級(jí)密鑰對(duì)所述設(shè)備認(rèn)證數(shù)據(jù)進(jìn)行解密��,得到設(shè)備響應(yīng)RES和隨機(jī)數(shù) RAND �����;使用所述RAND��,COUNT值和所述下級(jí)密鑰作為設(shè)備響應(yīng)生成函數(shù)的輸入�,得到期望設(shè)備響應(yīng)XRES ;所述COUNT值包含在所述設(shè)備認(rèn)證參數(shù)中;比較所述XRES和所述RES��,如果相同���,則所述頂EI合法�����,否則����,所述頂EI不合法。進(jìn)ー步的��,上述系統(tǒng)還可具有以下特點(diǎn)�,所述核心網(wǎng)節(jié)點(diǎn)還用于如果所述檢測(cè)結(jié)果為所述頂EI和IMSI是授權(quán)的頂EI/IMSI對(duì),且��,判斷所述MEI合法時(shí)�,接受所述用戶設(shè)備的附著請(qǐng)求,否則����,拒絕所述用戶設(shè)備的附著請(qǐng)求。本發(fā)明提供了一種檢測(cè)ncc和設(shè)備是否配對(duì)的方法�����,在不改變附著過程流程和現(xiàn)今安全架構(gòu)的基礎(chǔ)上�,讓核心網(wǎng)對(duì)設(shè)備進(jìn)行認(rèn)證,減少了設(shè)備認(rèn)證過程的信令開銷���;并且能夠讓核心網(wǎng)檢測(cè)頂SI/MEI配對(duì)是否被授權(quán),使得核心網(wǎng)能夠保證特定的ncc只能夠在特定的設(shè)備中使用�����。
圖I描述的是ー種進(jìn)行設(shè)備認(rèn)證并且驗(yàn)證頂SI/1MEI對(duì)是否授權(quán)的實(shí)施例;圖2描述的是如何在附著過程中實(shí)施該設(shè)備認(rèn)證和驗(yàn)證頂SI/MEI對(duì)是否授權(quán)的實(shí)施例��。
具體實(shí)施例方式為使本發(fā)明的目的���、技術(shù)方案和優(yōu)點(diǎn)更加清楚明白�����,下文中將結(jié)合附圖對(duì)本發(fā)明的實(shí)施例進(jìn)行詳細(xì)說明����。需要說明的是�����,在不沖突的情況下�,本申請(qǐng)中的實(shí)施例及實(shí)施例中的特征可以相互任意組合。要使核心網(wǎng)能夠執(zhí)行設(shè)備認(rèn)證��,需要ー個(gè)通信雙方都保有的根密鑰device_root_ keyo所述device root key和設(shè)備的IMEI相對(duì)應(yīng)���。在核心網(wǎng)端,該device root key保存在HSS/HLR中�;在UE端���,該device_r00t_key保存在設(shè)備中��。在設(shè)備上��,需要有ー個(gè)安全組件保存該device_root_key,所有與該device_root_key相關(guān)的加解密操作和其他運(yùn)算都要在這個(gè)安全組件中進(jìn)行���。所述device_root_key禁止被讀出該安全組件����。本發(fā)明實(shí)施例提供一種檢測(cè)ncc和設(shè)備是否配對(duì)的方法�,包括核心網(wǎng)節(jié)點(diǎn)接收到用戶設(shè)備的附著請(qǐng)求后,與所述用戶設(shè)備建立安全連接�;所述核心網(wǎng)節(jié)點(diǎn)向所述用戶設(shè)備發(fā)送標(biāo)識(shí)請(qǐng)求消息,接收所述用戶設(shè)備通過標(biāo)識(shí)響應(yīng)消息返回的國(guó)際移動(dòng)設(shè)備識(shí)別碼頂EI和設(shè)備認(rèn)證數(shù)據(jù)�����,將所述MEI和所述用戶設(shè)備上的通用集成電路卡的國(guó)際移動(dòng)用戶識(shí)別碼頂SI通過更新位置請(qǐng)求發(fā)送給歸屬用戶服務(wù)器HSS/歸屬位置寄存器HLR ���;所述HSS/HLR檢測(cè)所述頂EI和頂SI是否為授權(quán)的頂EI/MSI對(duì)���,將檢測(cè)結(jié)果,或者����,將所述檢測(cè)結(jié)果以及設(shè)備認(rèn)證參數(shù),通過更新位置響應(yīng)發(fā)送給所述核心網(wǎng)節(jié)點(diǎn)�;所述設(shè)備認(rèn)證參數(shù)中包括根據(jù)所述頂EI對(duì)應(yīng)的設(shè)備根密鑰生成的下級(jí)密鑰;如果所述核心網(wǎng)節(jié)點(diǎn)接收到所述設(shè)備認(rèn)證參數(shù)��,則根據(jù)所述設(shè)備認(rèn)證參數(shù)檢測(cè)所述設(shè)備認(rèn)證數(shù)據(jù)�����,判斷所述MEI是否合法���。其中�,所述HSS/HLR本地配置頂SI的授權(quán)頂EI列表����,所述HSS/HLR根據(jù)所述本地配置的頂SI的授權(quán)頂EI列表判斷所述頂EI和頂SI是否為授權(quán)的頂EI/MSI對(duì)。其中��,所述下級(jí)密鑰根據(jù)如下方式生成所述HSS/HLR使用與所述頂EI對(duì)應(yīng)的設(shè)備根密鑰���、計(jì)數(shù)器COUNT值����、服務(wù)網(wǎng)點(diǎn)標(biāo)識(shí)作為輸入,生成所述下級(jí)密鑰�;所述COUNT與用戶設(shè)備側(cè)的計(jì)數(shù)器同歩,所述HSS/HLR每次將所述設(shè)備認(rèn)證參數(shù)發(fā)送給核心網(wǎng)節(jié)點(diǎn)后�����,所述COUNT進(jìn)行一次計(jì)數(shù)��;所述服務(wù)網(wǎng)點(diǎn)標(biāo)識(shí)為當(dāng)前為所述用戶設(shè)備服務(wù)的網(wǎng)點(diǎn)的標(biāo)識(shí)�。上述生成下級(jí)密鑰的方式僅為示例,可以使用其他方式生成下級(jí)密鑰��,比如���,將生成的下級(jí)密鑰再次作為密鑰生成函數(shù)的輸入�����,將新生成的密鑰作為下級(jí)密鑰�,等等����,本發(fā)明對(duì)此不作限定。其中�����,所述核心網(wǎng)節(jié)點(diǎn)根據(jù)所述設(shè)備認(rèn)證參數(shù)檢測(cè)所述設(shè)備認(rèn)證數(shù)據(jù)包括所述核心網(wǎng)節(jié)點(diǎn)使用所述下級(jí)密鑰對(duì)所述設(shè)備認(rèn)證數(shù)據(jù)進(jìn)行解密��,得到設(shè)備響應(yīng) RES和隨機(jī)數(shù)RAND �����;所述核心網(wǎng)節(jié)點(diǎn)使用所述RAND�,COUNT值和所述下級(jí)密鑰作為設(shè)備響應(yīng)生成函數(shù)的輸入,得到期望設(shè)備響應(yīng)XRES ;所述COUNT值包含在所述設(shè)備認(rèn)證參數(shù)中���;所述核心網(wǎng)節(jié)點(diǎn)比較所述XRES和所述RES����,如果相同�,則所述MEI合法,否則���,所述MEI不合法����。其中�,所述方法還包括�,如果所述檢測(cè)結(jié)果為所述MEI和頂SI是授權(quán)的MEI/ IMSI對(duì)����,且,所述核心網(wǎng)節(jié)點(diǎn)判斷所述MEI合法時(shí)��,所述核心網(wǎng)節(jié)點(diǎn)接受所述用戶設(shè)備的附著請(qǐng)求���,否則����,拒絕所述用戶設(shè)備的附著請(qǐng)求���。下述實(shí)施例中將下一級(jí)密鑰作為下級(jí)密鑰對(duì)本發(fā)明進(jìn)行說明����。本發(fā)明實(shí)施例提供的設(shè)備認(rèn)證的方法包括步驟1�,HSS/HLR中預(yù)先為每個(gè)頂SI配置了一組授權(quán)的頂EI列表。步驟2, UE在向核心網(wǎng)節(jié)點(diǎn)(Core Network Node,簡(jiǎn)稱CNN)發(fā)送了附著請(qǐng)求后��,與核心網(wǎng)進(jìn)行標(biāo)準(zhǔn)的AKA過程�。CNN可以是UTRAN/GERAN中的SGSN,或E-UTRAN中的MME���。 在標(biāo)準(zhǔn)的AKA過程之后�,UE和核心網(wǎng)節(jié)點(diǎn)之間的安全連接已建立,以下UE和CNN之間的所有信令交互都由當(dāng)前安全上下文所保護(hù)�。CNN向UE發(fā)送標(biāo)識(shí)請(qǐng)求消息,請(qǐng)求UE的設(shè)備標(biāo)識(shí)��,并請(qǐng)求設(shè)備認(rèn)證數(shù)據(jù)�����。步驟3, UE在接收到CNN發(fā)來的標(biāo)識(shí)請(qǐng)求消息后���,使用根密鑰device_root_key 推導(dǎo)出下一級(jí)密鑰next_key,并使用下一級(jí)密鑰next_key產(chǎn)生設(shè)備認(rèn)證數(shù)據(jù)(Device_ authentication_data),并將設(shè)備認(rèn)證數(shù)據(jù)和IMEI —同在標(biāo)識(shí)響應(yīng)消息中發(fā)送給CNN。所述設(shè)備認(rèn)證數(shù)據(jù)由設(shè)備產(chǎn)生���,而不是由ncc產(chǎn)生�����。步驟4�����,CNN在更新位置請(qǐng)求中將頂SI/MEI對(duì)轉(zhuǎn)發(fā)給HSS/HLR���,請(qǐng)求HSS/HLR驗(yàn)證所述頂SI/MEI對(duì)是否授權(quán)�,并向HSS/HLR請(qǐng)求設(shè)備認(rèn)證參數(shù)�����。所述設(shè)備認(rèn)證參數(shù)為CNN 驗(yàn)證所述設(shè)備認(rèn)證數(shù)據(jù)所需的參數(shù)���。步驟5��,HSS/HLR檢測(cè)頂SI/MEI對(duì)是否為授權(quán)的頂SI/MEI對(duì)���。步驟6,如果HSS/HLR檢測(cè)到所述頂SI/MEI對(duì)是授權(quán)的頂SI/MEI對(duì)��,則HSS/HLR 使用與IMEI對(duì)應(yīng)的device_root_key推導(dǎo)出下一級(jí)密鑰next_key,并將next_key和其他設(shè)備認(rèn)證參數(shù)一起在更新位置響應(yīng)中發(fā)送給CNN�,并告知CNN所述頂SI/MEI對(duì)為授權(quán)的 IMSI/IMEI對(duì)。如果HSS/HLR檢測(cè)到所述頂SI/MEI對(duì)為未授權(quán)的頂SI/MEI對(duì)��,則HSS/ HLR在更新位置響應(yīng)中告知CNN拒絕所述UE的附著請(qǐng)求���,拒絕原因?yàn)轫擲I/MEI對(duì)未授權(quán)���。步驟7���,如果HSS/HLR告知CNN所述頂SI/MEI對(duì)為授權(quán)的頂SI/MEI對(duì),CNN將使用neXt_key和其他設(shè)備認(rèn)證參數(shù)來檢測(cè)所述設(shè)備認(rèn)證數(shù)據(jù)����,以便確定MEI是否合法。步驟8�,如果HSS/HLR在步驟6中告知CNN所述頂SI/MEI對(duì)為未授權(quán)的頂SI/ IMEI對(duì),或者CNN在步驟7中檢測(cè)到所述頂EI不合法���,即設(shè)備認(rèn)證失敗,那么CNN將拒絕所述UE的附著請(qǐng)求����;否則,CNN將接受所述UE的附著請(qǐng)求��。以上步驟3和步驟6中所述的UE和HSS/HLR通過device_root_key推導(dǎo)出下一級(jí)密鑰next_key的目的在于��,device_root_key不能夠離開HSS/HLR和設(shè)備,不能夠從HSS/ HLR或設(shè)備中傳遞到其他實(shí)體��。UE端使用下一級(jí)密鑰next_key和其他設(shè)備認(rèn)證參數(shù)產(chǎn)生設(shè)備認(rèn)證數(shù)據(jù)�����;CNN端使用下一級(jí)密鑰next_key和其他設(shè)備認(rèn)證參數(shù)驗(yàn)證設(shè)備認(rèn)證數(shù)據(jù)。UE端產(chǎn)生下一級(jí)密鑰neXt_key的方式可以是如下方式UE使用device_root_key�、COUNT、SN id(服務(wù)網(wǎng)點(diǎn)標(biāo)識(shí))作為輸入,生成下ー級(jí)密鑰neXt_key���。生成下一級(jí)密鑰的方法和EPS AKA過程中UE使用根密鑰K生成下ー級(jí)密鑰Kasme的方式相同���,只是輸入?yún)?shù)有所不同。next_key = KDF (device_root_key, COUNT, SN id)����。COUNT為UE和HSS/HLR都保有的計(jì)數(shù)器,在UE和HSS/HLR之間保持同步���,用于防止重放攻擊�。UE每產(chǎn)生ー個(gè)設(shè)備認(rèn)證數(shù)據(jù)��,UE端的COUNT便會(huì)加I ;HSS/HLR每驗(yàn)證一次設(shè)備認(rèn)證數(shù)據(jù)�,HSS/HLR端的COUNT便會(huì)加I。SN id是當(dāng)前正在為所述UE服務(wù)的網(wǎng)點(diǎn)標(biāo)識(shí)���。所述SN id是UE端和HSS/HLR端都已知的信息����。HSS/HLR端生成下一級(jí)密鑰next_key的方式可以是如下方式HSS/HLR 使用 device_root_key、COUNT��、SN id 作為輸入��,生成下一級(jí)密鑰 next_ key���。
COUNT是在UE端和HSS/HLR端保持同步的數(shù)據(jù)����。SN id是UE端和HSS/HLR端都已知的數(shù)據(jù)�。生成下一級(jí)密鑰的方法和EPS AKA過程中HSS/HLR使用根密鑰K生成下ー級(jí)密鑰Kasme的方式相同,只是輸入?yún)?shù)有所不同���。next_key = KDF (device_root_key, COUNT, SN id)。以上所述步驟3中的UE生成設(shè)備認(rèn)證數(shù)據(jù)和步驟7中的CNN對(duì)設(shè)備認(rèn)證數(shù)據(jù)進(jìn)行驗(yàn)證���,其主要目的是UE通過某種方式向核心網(wǎng)表明自己是持有與所述MEI對(duì)應(yīng)的device_ root_key的UE���。CNN判斷設(shè)備是否合法的辦法,就是通過某種方式判斷該設(shè)備是否持有與其 IMEI 對(duì)應(yīng)的 device_root_key�。UE由設(shè)備和ncc組成。設(shè)備認(rèn)證數(shù)據(jù)是由設(shè)備生成,而不是由ncc生成�����。設(shè)備生成設(shè)備認(rèn)證數(shù)據(jù)的方式可以是以下方式��,但不限定于以下方式步驟3A���,UE產(chǎn)生ー個(gè)隨機(jī)數(shù)RAND�����。步驟3B�����,UE以RAND����、COUNT和next_key作為設(shè)備響應(yīng)生成函數(shù)的輸入��,產(chǎn)生設(shè)備響應(yīng)RES���。RES =設(shè)備響應(yīng)生成函數(shù)(RAND��,COUNT, next_key)���。設(shè)備響應(yīng)生成函數(shù)為單向函數(shù)���,所述設(shè)備響應(yīng)生成函數(shù)要能夠保證不可逆推,即讓攻擊者即便知道了 RES���、RAND���、COUNT三個(gè)數(shù)據(jù),也不能夠推導(dǎo)出next_key���。步驟3C, UE 產(chǎn)生設(shè)備認(rèn)證數(shù)據(jù)Device_authentication_data = Enext_ key (RES | | RAND)���。即設(shè)備認(rèn)證數(shù)據(jù)為RES | | RAND被neXt_key進(jìn)行加密后的數(shù)據(jù)。CNN驗(yàn)證設(shè)備認(rèn)證數(shù)據(jù)的ー種方式如下��,但不限定于以下方式步驟7A�,CNN使用next_key將設(shè)備認(rèn)證數(shù)據(jù)解密����,得到RES | | RAND��。步驟7B��,CNN使用解密得到的RAND�,并使用COUNT和next_key作為設(shè)備響應(yīng)生成函數(shù)的輸入����,得到期望設(shè)備響應(yīng)XRES。XRES =設(shè)備響應(yīng)生成函數(shù)(RAND���,COUNT, next_key)���。其中COUNT為HSS/HLR發(fā)送給CNN的其他設(shè)備認(rèn)證參數(shù)。步驟7C����,CNN將接收到的RES和自己生成的XRES進(jìn)行比較。如果相同�,則說明所述MEI合法;如果不同��,則說明所述MEI不合法�。如圖I所述,本發(fā)明描述了ー種進(jìn)行設(shè)備認(rèn)證并且驗(yàn)證頂SI/MEI對(duì)是否授權(quán)的實(shí)施例�。步驟101�,HSS/HLR中為每ー個(gè)頂SI都預(yù)先定義了ー組授權(quán)的頂EI列表�。頂SI 為保存在ncc里面的全球唯一的簽約用戶標(biāo)識(shí),IMEI為保存在設(shè)備中的全球唯一的設(shè)備標(biāo)識(shí)�。HSS/HLR通過查詢所述MEI是否存在于所述頂SI的授權(quán)MEI列表中,便可知道所述頂SI/MEI對(duì)是否為授權(quán)的頂SI/MEI對(duì)��,從而判斷與所述頂SI所對(duì)應(yīng)的nCC是否授權(quán)在與所述IMEI所對(duì)應(yīng)的設(shè)備中使用����。步驟102,UE向CNN發(fā)起附著請(qǐng)求��,請(qǐng)求與網(wǎng)絡(luò)建立連接��。然后UE和網(wǎng)絡(luò)會(huì)進(jìn)行標(biāo)準(zhǔn)的AKA過程����,進(jìn)行相互的認(rèn)證,并且建立起安全連接���,安全連接建立后����,所有的CNN和UE 之間的信令交互都會(huì)被當(dāng)前安全上下文所保護(hù)。安全連接建立以后���,CNN向UE請(qǐng)求設(shè)備標(biāo)識(shí)MEI和設(shè)備認(rèn)證數(shù)據(jù)。步驟103, UE在接收到CNN發(fā)來的“標(biāo)識(shí)請(qǐng)求”消息后�,使用根密鑰device_root_ key推導(dǎo)出下一級(jí)密鑰next_key,并使用下一級(jí)密鑰next_key產(chǎn)生設(shè)備認(rèn)證數(shù)據(jù)(Device_authent i cat i on_data)。UE使用根密鑰device_root_key推導(dǎo)出下一級(jí)密鑰next_key的方法為UE使用device_root_key����、COUNT、SN id(服務(wù)網(wǎng)點(diǎn)id)作為輸入�����,生成下一級(jí)密鑰neXt_key�����。生成下一級(jí)密鑰的方法和EPS AKA過程中UE使用根密鑰K生成下一級(jí)密鑰 Kasme的方式相同�,只是輸入?yún)?shù)有所不同。next_key = KDF (device_root_key, COUNT, SN id)��。COUNT為UE和HSS/HLR都保有的計(jì)數(shù)器����,在UE和HSS/HLR之間保持同步,用于防止重放攻擊����。UE每產(chǎn)生一個(gè)設(shè)備認(rèn)證數(shù)據(jù)�����,UE端的COUNT便會(huì)加I ;HSS/HLR每驗(yàn)證一次設(shè)備認(rèn)證數(shù)據(jù)���,HSS/HLR端的COUNT便會(huì)加I�。SN id是當(dāng)前正在為所述UE服務(wù)的網(wǎng)點(diǎn)標(biāo)識(shí)����。所述SN id是UE端和HSS/HLR端都已知的信息����。UE由設(shè)備和HCC組成��。設(shè)備認(rèn)證數(shù)據(jù)是由設(shè)備生成�����,而不是由ncc生成。設(shè)備生成設(shè)備認(rèn)證數(shù)據(jù)的方式為A��、UE產(chǎn)生一個(gè)隨機(jī)數(shù)RAND�����。B�����、UE以RAND�����、COUNT和next_key作為設(shè)備響應(yīng)生成函數(shù)的輸入���,產(chǎn)生設(shè)備響應(yīng) RES0RES =設(shè)備響應(yīng)生成函數(shù)(RAND�,COUNT, next_key)�����。設(shè)備響應(yīng)生成函數(shù)為單向函數(shù)���,所述設(shè)備響應(yīng)生成函數(shù)要能夠保證不可逆推��,即讓攻擊者即便知道了 RES、RAND、COUNT三個(gè)數(shù)據(jù)����,也不能夠推導(dǎo)出next_key���。C����、UE 產(chǎn)生設(shè)備認(rèn)證數(shù)據(jù)Device_authentication_data = Enext_ key (RES | | RAND)。即設(shè)備認(rèn)證數(shù)據(jù)為RES | | RAND被neXt_key進(jìn)行加密后的數(shù)據(jù)。UE將生成的設(shè)備認(rèn)證數(shù)據(jù)和MEI —起發(fā)送給CNN���。步驟104��,CNN在接收到UE發(fā)過來的MEI和設(shè)備認(rèn)證數(shù)據(jù)后�,將MSI/MEI對(duì)轉(zhuǎn)發(fā)給HSS/HLR�����,要求HSS/HLR驗(yàn)證MSI/MEI對(duì)是否被授權(quán)�����,并且向HSS/HLR請(qǐng)求其他設(shè)備認(rèn)證參數(shù)����。步驟105,HSS/HLR在接收到MSI/MEI對(duì)后��,首先驗(yàn)證MSI/MEI對(duì)是否被授權(quán)���, HSS/HLR通過查詢所述MEI是否存在于所述MSI的授權(quán)MEI列表中�,便可知道所述MSI/ IMEI對(duì)是否為授權(quán)的MSI/MEI對(duì)。步驟106A�����,如果HSS/HLR檢測(cè)到所述MSI/MEI對(duì)是授權(quán)的MSI/MEI對(duì)����,則HSS/ HLR使用與IMEI對(duì)應(yīng)的device_root_key推導(dǎo)出下一級(jí)密鑰next_key。HSS/HLR端生成下一級(jí)密鑰next_key的方式可以是如下方式HSS/HLR 使用 device_root_key�、COUNT、SN id 作為輸入����,生成下一級(jí)密鑰 next_ key。COUNT是在UE端和HSS/HLR端保持同步的數(shù)據(jù)�。SN id是UE端和HSS/HLR端都已知的數(shù)據(jù)�。生成下一級(jí)密鑰的方法和EPS AKA過程中HSS/HLR使用根密鑰K生成下一級(jí)密鑰Kasme的方式相同,只是輸入?yún)?shù)有所不同��。next_key = KDF (device_root_key, COUNT, SN id)��。HSS/HLR將next_key和其他設(shè)備認(rèn)證參數(shù)發(fā)送給CNN���,并告知CNN所述MSI/MEI 對(duì)為授權(quán)的MSI/MEI對(duì)��。
步驟106B���,如果HSS/HLR檢測(cè)到所述MSI/MEI對(duì)為未授權(quán)的MSI/MEI對(duì)���,則 HSS/HLR告知CNN拒絕所述UE的附著請(qǐng)求,拒絕原因?yàn)镸SI/MEI對(duì)未授權(quán)��。步驟107�,如果執(zhí)行了步驟106A,即HSS/HLR將next_key和其他設(shè)備認(rèn)證參數(shù)發(fā)送給CNN�����,并告知CNN所述MSI/MEI對(duì)為授權(quán)的MSI/MEI對(duì)���,則CNN將使用next_key和其他設(shè)備認(rèn)證參數(shù)來檢測(cè)所述設(shè)備認(rèn)證數(shù)據(jù)��,以便確定頂EI是否合法�����。CNN驗(yàn)證設(shè)備認(rèn)證數(shù)據(jù)的方式為A���、CNN使用next_key將設(shè)備認(rèn)證數(shù)據(jù)解密���,得到RES | | RAND。B����、CNN使用接收到的RAND,并使用COUNT和next_key作為設(shè)備響應(yīng)生成函數(shù)的輸入�,得到期望設(shè)備響應(yīng)XRES。XRES =設(shè)備響應(yīng)生成函數(shù)(RAND��,COUNT, next_key)�����。其中COUNT為HSS/HLR發(fā)送給CNN的其他設(shè)備認(rèn)證參數(shù)����。 C、CNN將接收到的RES和自己生成的XRES進(jìn)行比較���。如果相同,則說明所述MEI 合法;如果不同�,則說明所述IMEI不合法。步驟108����,如果HSS/HLR在步驟6中告知CNN所述MSI/MEI對(duì)為未授權(quán)的MSI/ IMEI對(duì),那么CNN將拒絕所述UE的附著請(qǐng)求�����,并且指示拒絕附著的原因?yàn)镸SI/MEI對(duì)未被授權(quán)��;如果CNN在步驟7中檢測(cè)到所述MEI不合法���,即設(shè)備認(rèn)證失敗�����,那么CNN也將拒絕所述UE的附著請(qǐng)求��,并且指示拒絕附著的原因?yàn)镸EI非法�,即設(shè)備認(rèn)證失?。蝗绻鸋SS/ HLR檢測(cè)到MSI/MEI對(duì)為授權(quán)的MSI/MEI對(duì)�����,并且CNN檢測(cè)到MEI為合法MEI,即設(shè)備認(rèn)證成功�,CNN將接受所述UE的附著請(qǐng)求。圖2描述的是如何在附著過程中實(shí)施該設(shè)備認(rèn)證和驗(yàn)證MSI/MEI對(duì)是否授權(quán)的實(shí)施例�。步驟201,HSS/HLR中為每一個(gè)MSI都預(yù)先定義了一組授權(quán)的MEI列表�����。MSI 為保存在ncc里面的全球唯一的簽約用戶標(biāo)識(shí)�����,IMEI為保存在設(shè)備中的全球唯一的設(shè)備標(biāo)識(shí)���。HSS/HLR通過查詢所述MEI是否存在于所述MSI的授權(quán)MEI列表中�,便可知道所述MSI/MEI對(duì)是否為授權(quán)的MSI/MEI對(duì)�����,從而判斷與所述MSI所對(duì)應(yīng)的WCC是否授權(quán)在與所述IMEI所對(duì)應(yīng)的設(shè)備中使用��。步驟202���,UE向CNN發(fā)送附著請(qǐng)求消息�����,發(fā)起網(wǎng)絡(luò)附著過程����,消息中包含MSI或臨時(shí)用戶身份標(biāo)志等信息��。步驟203�����,如果UE向CNN發(fā)送的是臨時(shí)用戶身份標(biāo)志����,CNN要通過此臨時(shí)用戶身份標(biāo)志查詢或請(qǐng)求到該用戶的MSI。如果網(wǎng)絡(luò)中沒有保存UE的上下文����,或者如果附著請(qǐng)求沒有得到完整性保護(hù),或者完整性檢查失敗�,則CNN使用該MSI向HSS/HLR請(qǐng)求鑒權(quán)向量。步驟204�����,如果CNN向HSS/HLR請(qǐng)求了鑒權(quán)向量,HSS/HLR則根據(jù)MSI查詢到與該 IMSI對(duì)應(yīng)的根密鑰�,并產(chǎn)生鑒權(quán)向量,并向CNN響應(yīng)鑒權(quán)向量����。步驟205,如步驟203中所述��,如果網(wǎng)絡(luò)中沒有保存UE的上下文�����,或者如果附著請(qǐng)求沒有得到完整性保護(hù)���,或者完整性檢查失敗�����,UE和CNN則要進(jìn)行標(biāo)準(zhǔn)的AKA過程�����,并且建立起安全連接�����。安全連接建立以后����,以下所有的信令都要被當(dāng)前安全上下文所保護(hù)�����。步驟206����,CNN向UE發(fā)送“標(biāo)識(shí)請(qǐng)求”,請(qǐng)求該UE的設(shè)備標(biāo)識(shí)�,并在該消息中請(qǐng)求 UE發(fā)送設(shè)備認(rèn)證數(shù)據(jù)。
步驟207, UE在收到來自于CNN的標(biāo)識(shí)請(qǐng)求消息后,將使用根密鑰device_root_ key推導(dǎo)出下一級(jí)密鑰next_key,并使用下一級(jí)密鑰next_key產(chǎn)生設(shè)備認(rèn)證數(shù)據(jù)(Device_ authent i cat i on_data)�����。UE使用根密鑰device_root_key推導(dǎo)出下一級(jí)密鑰next_key的方法為UE使用device_root_key����、COUNT、SN id(服務(wù)網(wǎng)點(diǎn)id)作為輸入��,生成下一級(jí)密鑰neXt_key。生成下一級(jí)密鑰的方法和EPS AKA過程中UE使用根密鑰K生成下一級(jí)密鑰 Kasme的方式相同�����,只是輸入?yún)?shù)有所不同�����。next_key = KDF (device_root_key, COUNT, SN id)����。COUNT為UE和HSS/HLR都保有的計(jì)數(shù)器,在UE和HSS/HLR之間保持同步����,用于防止重放攻擊。UE每產(chǎn)生一個(gè)設(shè)備認(rèn)證數(shù)據(jù)����,UE端的COUNT便會(huì)加I ;HSS/HLR每驗(yàn)證一次設(shè)備認(rèn)證數(shù)據(jù),HSS/HLR端的COUNT便會(huì)加I��。SN id是當(dāng)前正在為所述UE服務(wù)的網(wǎng)點(diǎn)標(biāo)識(shí)�。所述SN id是UE端和HSS/HLR端都已知的信息。UE由設(shè)備和組成���。設(shè)備認(rèn)證數(shù)據(jù)是由設(shè)備生成�����,而不是由生成�。設(shè)備生成設(shè)備認(rèn)證數(shù)據(jù)的方式為A、UE產(chǎn)生一個(gè)隨機(jī)數(shù)RAND�����。B�����、UE以RAND�����、COUNT和next_key作為設(shè)備響應(yīng)生成函數(shù)的輸入���,產(chǎn)生設(shè)備響應(yīng) RES0RES =設(shè)備響應(yīng)生成函數(shù)(RAND,COUNT, next_key)��。設(shè)備響應(yīng)生成函數(shù)為單向函數(shù)��,所述設(shè)備響應(yīng)生成函數(shù)要能夠保證不可逆推,即讓攻擊者即便知道了 RES�、RAND、COUNT三個(gè)數(shù)據(jù)����,也不能夠推導(dǎo)出next_key。C��、UE 產(chǎn)生設(shè)備認(rèn)證數(shù)據(jù)Device_authentication_data = Enext_ key (RES | | RAND)���。即設(shè)備認(rèn)證數(shù)據(jù)為RES | | RAND被neXt_key進(jìn)行加密后的數(shù)據(jù)����。步驟208��,UE給CNN發(fā)送“標(biāo)識(shí)響應(yīng)”消息���,消息中附帶所述設(shè)備的MEI�����,并附帶產(chǎn)生的設(shè)備認(rèn)證數(shù)據(jù)�����。步驟209�����,CNN在“更新位置請(qǐng)求”消息中�,將所述MSI/MEI對(duì)轉(zhuǎn)發(fā)給HSS/HLR,要求HSS/HLR驗(yàn)證MSI/MEI對(duì)是否被授權(quán)�����,并且向HSS/HLR請(qǐng)求其他設(shè)備認(rèn)證參數(shù)�����。步驟210��,HSS/HLR在接收到MSI/MEI對(duì)后�����,首先驗(yàn)證MSI/MEI對(duì)是否被授權(quán)��, HSS/HLR通過查詢所述MEI是否存在于所述MSI的授權(quán)MEI列表中���,便可知道所述MSI/ IMEI對(duì)是否為授權(quán)的MSI/MEI對(duì)�。步驟211�,如果肥5/!11^檢測(cè)到所述MSI/MEI對(duì)是授權(quán)的MSI/MEI對(duì),則HSS/ HLR使用與IMEI對(duì)應(yīng)的device_root_key推導(dǎo)出下一級(jí)密鑰next_key����。HSS/HLR端生成下一級(jí)密鑰next_key的方式可以是如下方式HSS/HLR 使用 device_root_key、COUNT��、SN id 作為輸入��,生成下一級(jí)密鑰 next_ key�����。COUNT是在UE端和HSS/HLR端保持同步的數(shù)據(jù)����。SN id是UE端和HSS/HLR端都已知的數(shù)據(jù)。生成下一級(jí)密鑰的方法和EPS AKA過程中HSS/HLR使用根密鑰K生成下一級(jí)密鑰Kasme的方式相同�,只是輸入?yún)?shù)有所不同。next_key = KDF (device_root_key, COUNT, SN id)����。
步驟212�,HSS/HLR給CNN發(fā)送“更新位置響應(yīng)”消息�����。如果HSS/HLR檢測(cè)到所述 IMSI/IMEI對(duì)是授權(quán)的MSI/MEI對(duì)�����,HSS/HLR將在“更新位置響應(yīng)”消息中把next_key和其他設(shè)備認(rèn)證參數(shù)發(fā)送給CNN��,并告知CNN所述IMSI/MEI對(duì)為授權(quán)的IMSI/MEI對(duì)�����;如果 HSS/HLR檢測(cè)到所述MSI/MEI對(duì)為未授權(quán)的MSI/MEI對(duì)��,則HSS/HLR將在“更新位置響應(yīng)”消息中告知CNN拒絕所述UE的附著請(qǐng)求�����,拒絕原因?yàn)镮MSI/MEI對(duì)未授權(quán)����。步驟213��,如果HSS/HLR將next_key和其他設(shè)備認(rèn)證參數(shù)發(fā)送給CNN,并告知CNN 所述MSI/MEI對(duì)為授權(quán)的MSI/MEI對(duì)�����,則CNN將使用next_key和其他設(shè)備認(rèn)證參數(shù)來檢測(cè)所述設(shè)備認(rèn)證數(shù)據(jù)���,以便確定頂EI是否合法��。CNN驗(yàn)證設(shè)備認(rèn)證數(shù)據(jù)的方式為A��、CNN使用next_key將設(shè)備認(rèn)證數(shù)據(jù)解密��,得到RES | | RAND�。B�、CNN使用接收到的RAND,并使用COUNT和next_key作為設(shè)備響應(yīng)生成函數(shù)的輸入��,得到期望設(shè)備響應(yīng)XRES����。XRES =設(shè)備響應(yīng)生成函數(shù)(RAND,COUNT, next_key)����。其中COUNT為HSS/HLR發(fā)送給CNN的其他設(shè)備認(rèn)證參數(shù)���。CXNN將接收到的RES和自己生成的XRES進(jìn)行比較。如果相同�,則說明所述MEI 合法;如果不同��,則說明所述IMEI不合法�。步驟214,如果HSS/HLR告知CNN所述MSI/MEI對(duì)為未授權(quán)的MSI/MEI對(duì)��,那么CNN將拒絕所述UE的附著請(qǐng)求���,并且指示拒絕附著的原因?yàn)镮MSI/MEI對(duì)未被授權(quán)�;如果CNN檢測(cè)到所述MEI不合法���,即設(shè)備認(rèn)證失敗����,那么CNN也將拒絕所述UE的附著請(qǐng)求��, 并且指示拒絕附著的原因?yàn)镸EI非法��,即設(shè)備認(rèn)證失?�?;如果HSS/HLR檢測(cè)到MSI/MEI 對(duì)為授權(quán)的MSI/MEI對(duì),并且CNN檢測(cè)到MEI為合法MEI�����,即設(shè)備認(rèn)證成功�,CNN將接受所述UE的附著請(qǐng)求。本發(fā)明實(shí)施例還提供一種檢測(cè)和設(shè)備是否配對(duì)的系統(tǒng)��,包括核心網(wǎng)節(jié)點(diǎn)����、 歸屬用戶服務(wù)器HSS/歸屬位置寄存器HLR,其中所述核心網(wǎng)節(jié)點(diǎn)用于�����,接收到用戶設(shè)備的附著請(qǐng)求后���,與所述用戶設(shè)備建立安全連接����;向所述用戶設(shè)備發(fā)送標(biāo)識(shí)請(qǐng)求消息��,接收所述用戶設(shè)備通過標(biāo)識(shí)響應(yīng)消息返回的國(guó)際移動(dòng)設(shè)備識(shí)別碼頂EI和設(shè)備認(rèn)證數(shù)據(jù),將所述MEI和所述用戶設(shè)備上的通用集成電路卡的國(guó)際移動(dòng)用戶識(shí)別碼MSI通過更新位置請(qǐng)求發(fā)送給所述HSS/HLR ;以及����,如果接收到所述HSS/HLR發(fā)送的設(shè)備認(rèn)證參數(shù),則根據(jù)所述設(shè)備認(rèn)證參數(shù)檢測(cè)所述設(shè)備認(rèn)證數(shù)據(jù)��,判斷所述MEI是否合法�;所述HSS/HLR用于,檢測(cè)所述MEI和MSI是否為授權(quán)的MEI/MSI對(duì)�����,將檢測(cè)結(jié)果��,或者����,將所述檢測(cè)結(jié)果以及設(shè)備認(rèn)證參數(shù),通過更新位置響應(yīng)發(fā)送給所述核心網(wǎng)節(jié)點(diǎn)�; 所述設(shè)備認(rèn)證參數(shù)中包括根據(jù)所述MEI對(duì)應(yīng)的設(shè)備根密鑰生成的下級(jí)密鑰。所述核心網(wǎng)節(jié)點(diǎn)����、HSS/HLR產(chǎn)生設(shè)備認(rèn)證參數(shù),檢測(cè)設(shè)備認(rèn)證數(shù)據(jù)的方法參見方法實(shí)施例。本領(lǐng)域普通技術(shù)人員可以理解上述方法中的全部或部分步驟可通過程序來指令相關(guān)硬件完成���,所述程序可以存儲(chǔ)于計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)中���,如只讀存儲(chǔ)器����、磁盤或光盤等??蛇x地,上述實(shí)施例的全部或部分步驟也可以使用一個(gè)或多個(gè)集成電路來實(shí)現(xiàn)�����。相應(yīng)地����,上述實(shí)施例中的各模塊/單元可以采用硬件的形式實(shí)現(xiàn),也可以采用軟件功能模塊的形式實(shí)現(xiàn)���。本發(fā)明不限制于任何特定形式的硬件和軟件的結(jié)合�。
權(quán)利要求
1.一種檢測(cè)ncc和設(shè)備是否配對(duì)的方法���,其特征在于��,包括核心網(wǎng)節(jié)點(diǎn)接收到用戶設(shè)備的附著請(qǐng)求后��,與所述用戶設(shè)備建立安全連接����;所述核心網(wǎng)節(jié)點(diǎn)向所述用戶設(shè)備發(fā)送標(biāo)識(shí)請(qǐng)求消息,接收所述用戶設(shè)備通過標(biāo)識(shí)響應(yīng)消息返回的國(guó)際移動(dòng)設(shè)備識(shí)別碼頂EI和設(shè)備認(rèn)證數(shù)據(jù)��,將所述MEI和所述用戶設(shè)備上的通用集成電路卡的國(guó)際移動(dòng)用戶識(shí)別碼MSI通過更新位置請(qǐng)求發(fā)送給歸屬用戶服務(wù)器 HSS/歸屬位置寄存器HLR ��;所述HSS/HLR檢測(cè)所述MEI和MSI是否為授權(quán)的MEI/MSI對(duì)�����,將檢測(cè)結(jié)果�,或者, 將所述檢測(cè)結(jié)果以及設(shè)備認(rèn)證參數(shù)����,通過更新位置響應(yīng)發(fā)送給所述核心網(wǎng)節(jié)點(diǎn);所述設(shè)備認(rèn)證參數(shù)中包括根據(jù)所述MEI對(duì)應(yīng)的設(shè)備根密鑰生成的下級(jí)密鑰��;如果所述核心網(wǎng)節(jié)點(diǎn)接收到所述設(shè)備認(rèn)證參數(shù)����,則根據(jù)所述設(shè)備認(rèn)證參數(shù)檢測(cè)所述設(shè)備認(rèn)證數(shù)據(jù)�,判斷所述MEI是否合法�����。
2.如權(quán)利要求I所述的方法�����,其特征在于����,所述HSS/HLR本地配置MSI的授權(quán)MEI列表�,所述HSS/HLR根據(jù)所述本地配置的MSI的授權(quán)MEI列表判斷所述MEI和MSI是否為授權(quán)的MEI/MSI對(duì)。
3.如權(quán)利要求I所述的方法���,其特征在于���,所述下級(jí)密鑰根據(jù)如下方式生成所述HSS/HLR使用與所述MEI對(duì)應(yīng)的設(shè)備根密鑰、計(jì)數(shù)器COUNT值�����、服務(wù)網(wǎng)點(diǎn)標(biāo)識(shí)作為輸入,生成所述下級(jí)密鑰���;所述COUNT與用戶設(shè)備側(cè)的計(jì)數(shù)器同步�����,所述HSS/HLR每次將所述設(shè)備認(rèn)證參數(shù)發(fā)送給核心網(wǎng)節(jié)點(diǎn)后��,所述COUNT進(jìn)行一次計(jì)數(shù)�;所述服務(wù)網(wǎng)點(diǎn)標(biāo)識(shí)為當(dāng)前為所述用戶設(shè)備服務(wù)的網(wǎng)點(diǎn)的標(biāo)識(shí)�。
4.如權(quán)利要求3所述的方法,其特征在于���,所述核心網(wǎng)節(jié)點(diǎn)根據(jù)所述設(shè)備認(rèn)證參數(shù)檢測(cè)所述設(shè)備認(rèn)證數(shù)據(jù)包括所述核心網(wǎng)節(jié)點(diǎn)使用所述下級(jí)密鑰對(duì)所述設(shè)備認(rèn)證數(shù)據(jù)進(jìn)行解密�,得到設(shè)備響應(yīng)RES 和隨機(jī)數(shù)RAND �����;所述核心網(wǎng)節(jié)點(diǎn)使用所述RAND����,COUNT值和所述下級(jí)密鑰作為設(shè)備響應(yīng)生成函數(shù)的輸入,得到期望設(shè)備響應(yīng)XRES ;所述COUNT值包含在所述設(shè)備認(rèn)證參數(shù)中�����;所述核心網(wǎng)節(jié)點(diǎn)比較所述XRES和所述RES,如果相同����,則所述MEI合法,否則���,所述 IMEI不合法��。
5.如權(quán)利要求I至4任一所述的方法�����,其特征在于,所述方法還包括����,如果所述檢測(cè)結(jié)果為所述頂EI和MSI是授權(quán)的MEI/MSI對(duì),且�,所述核心網(wǎng)節(jié)點(diǎn)判斷所述MEI合法時(shí), 所述核心網(wǎng)節(jié)點(diǎn)接受所述用戶設(shè)備的附著請(qǐng)求��,否則����,拒絕所述用戶設(shè)備的附著請(qǐng)求���。
6.一種檢測(cè)nCC和設(shè)備是否配對(duì)的系統(tǒng),其特征在于��,包括核心網(wǎng)節(jié)點(diǎn)�、歸屬用戶服務(wù)器HSS/歸屬位置寄存器HLR,其中所述核心網(wǎng)節(jié)點(diǎn)用于����,接收到用戶設(shè)備的附著請(qǐng)求后,與所述用戶設(shè)備建立安全連接���; 向所述用戶設(shè)備發(fā)送標(biāo)識(shí)請(qǐng)求消息�,接收所述用戶設(shè)備通過標(biāo)識(shí)響應(yīng)消息返回的國(guó)際移動(dòng)設(shè)備識(shí)別碼頂EI和設(shè)備認(rèn)證數(shù)據(jù)����,將所述MEI和所述用戶設(shè)備上的通用集成電路卡的國(guó)際移動(dòng)用戶識(shí)別碼MSI通過更新位置請(qǐng)求發(fā)送給所述HSS/HLR ;以及,如果接收到所述 HSS/HLR發(fā)送的設(shè)備認(rèn)證參數(shù)���,則根據(jù)所述設(shè)備認(rèn)證參數(shù)檢測(cè)所述設(shè)備認(rèn)證數(shù)據(jù)��,判斷所述 IMEI是否合法�;所述HSS/HLR用于,檢測(cè)所述MEI和MSI是否為授權(quán)的MEI/MSI對(duì)��,將檢測(cè)結(jié)果�, 或者,將所述檢測(cè)結(jié)果以及設(shè)備認(rèn)證參數(shù)�,通過更新位置響應(yīng)發(fā)送給所述核心網(wǎng)節(jié)點(diǎn);所述設(shè)備認(rèn)證參數(shù)中包括根據(jù)所述MEI對(duì)應(yīng)的設(shè)備根密鑰生成的下級(jí)密鑰���。
7.如權(quán)利要求6所述的系統(tǒng)�,其特征在于����,所述HSS/HLR還用于本地配置MSI的授權(quán)IMEI列表;所述HSS/HLR是用于根據(jù)所述本地配置的MSI的授權(quán)MEI列表判斷所述MEI和MSI 是否為授權(quán)的MEI/MSI對(duì)����。
8.如權(quán)利要求6所述的系統(tǒng)����,其特征在于,所述HSS/HLR還包括計(jì)數(shù)器COUNT���,與用戶設(shè)備側(cè)的計(jì)數(shù)器同步�����,用于���,所述HSS/HLR每次將所述設(shè)備認(rèn)證參數(shù)發(fā)送給核心網(wǎng)節(jié)點(diǎn)后����, 進(jìn)行一次計(jì)數(shù)�����;所述HSS/HLR根據(jù)如下方式生成所述下級(jí)密鑰所述HSS/HLR使用與所述MEI對(duì)應(yīng)的設(shè)備根密鑰�����、計(jì)數(shù)器COUNT值�、服務(wù)網(wǎng)點(diǎn)標(biāo)識(shí)作為輸入,生成所述下級(jí)密鑰����;所述服務(wù)網(wǎng)點(diǎn)標(biāo)識(shí)為當(dāng)前為所述用戶設(shè)備服務(wù)的網(wǎng)點(diǎn)的標(biāo)識(shí)。
9.如權(quán)利要求8所述的系統(tǒng)����,其特征在于�����,所述核心網(wǎng)節(jié)點(diǎn)根據(jù)所述設(shè)備認(rèn)證參數(shù)檢測(cè)所述設(shè)備認(rèn)證數(shù)據(jù)包括使用所述下級(jí)密鑰對(duì)所述設(shè)備認(rèn)證數(shù)據(jù)進(jìn)行解密����,得到設(shè)備響應(yīng)RES和隨機(jī)數(shù)RAND �����;使用所述RAND���,COUNT值和所述下級(jí)密鑰作為設(shè)備響應(yīng)生成函數(shù)的輸入�����,得到期望設(shè)備響應(yīng)XRES ;所述COUNT值包含在所述設(shè)備認(rèn)證參數(shù)中�;比較所述XRES和所述RES���,如果相同,則所述MEI合法����,否則����,所述MEI不合法�����。
10.如權(quán)利要求6至9任一所述的系統(tǒng)���,其特征在于�,所述核心網(wǎng)節(jié)點(diǎn)還用于如果所述檢測(cè)結(jié)果為所述頂EI和IMSI是授權(quán)的MEI/IMSI對(duì)�,且,判斷所述MEI合法時(shí)���,接受所述用戶設(shè)備的附著請(qǐng)求���,否則,拒絕所述用戶設(shè)備的附著請(qǐng)求�����。
全文摘要
一種檢測(cè)UICC和設(shè)備是否配對(duì)的方法�,包括核心網(wǎng)節(jié)點(diǎn)接收到用戶設(shè)備的附著請(qǐng)求后,與其建立安全連接,向其發(fā)送標(biāo)識(shí)請(qǐng)求消息��,接收其返回的IMEI和設(shè)備認(rèn)證數(shù)據(jù)�����,將IMEI和用戶設(shè)備上的通用集成電路卡的國(guó)際移動(dòng)用戶識(shí)別碼IMSI發(fā)送給HSS/HLR����;HSS/HLR檢測(cè)IMEI和IMSI是否為授權(quán)的IMEI/IMSI對(duì),將檢測(cè)結(jié)果��,或者��,將檢測(cè)結(jié)果以及設(shè)備認(rèn)證參數(shù)發(fā)送給核心網(wǎng)節(jié)點(diǎn)��;設(shè)備認(rèn)證參數(shù)中包括根據(jù)IMEI對(duì)應(yīng)的設(shè)備根密鑰生成的下級(jí)密鑰���;如果核心網(wǎng)節(jié)點(diǎn)接收到設(shè)備認(rèn)證參數(shù)����,則根據(jù)設(shè)備認(rèn)證參數(shù)檢測(cè)設(shè)備認(rèn)證數(shù)據(jù)�����,判斷IMEI是否合法��。本發(fā)明還提供一種檢測(cè)UICC和設(shè)備是否配對(duì)的系統(tǒng)���。
文檔編號(hào)H04W12/06GK102595401SQ201210072979
公開日2012年7月18日 申請(qǐng)日期2012年3月19日 優(yōu)先權(quán)日2012年3月19日
發(fā)明者余萬濤, 曹嵐健 申請(qǐng)人:中興通訊股份有限公司