專利名稱:檢測uicc是否在授權(quán)設(shè)備上使用的方法、系統(tǒng)和用戶設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù)領(lǐng)域,具體涉及一種檢測UICC(Universal Integrated Circuit Card,通用集成電路卡)是否在授權(quán)設(shè)備上使用的方法、系統(tǒng)和用戶設(shè)備。
背景技術(shù):
MTC(Machine Type Communication,機器類型通信)是指一種不需要人干涉的兩實體之間的數(shù)據(jù)交互。換而言之,MTC就是一種機器類的通信,是機器與機器之間的對話。MTC系統(tǒng)中,由于不需要人的干涉,MTC設(shè)備經(jīng)常會處于一些比較邊遠的環(huán)境中執(zhí)行任務(wù)。由于MTC設(shè)備經(jīng)常會處于無人監(jiān)督、邊遠地區(qū)等危險環(huán)境中,導(dǎo)致發(fā)生在MTC設(shè)備上的危險行為大大增加,例如MTC設(shè)備上的nCC卡被盜用。此外,攻擊者可以將專用于一些具有特殊計費特征設(shè)備的UICC,插入到其他的智能設(shè)備上,以盜取他人通信費用或進行其他攻擊手段。這一系列的威脅都需要核心網(wǎng)能夠提供設(shè)備認證的方法,保證設(shè)備是合法設(shè)備,并保證插入到該合法設(shè)備上的UICC是授權(quán)在該設(shè)備上使用的。IMSI (International Mobile Subscriber Identity,國際移動用戶識別碼)是存在于 UICC 上用于標識用戶的信息,IMEI (International Mobile Equipment Identity,國際移動設(shè)備識別碼)是存在于設(shè)備上用于標識設(shè)備的信息?,F(xiàn)有技術(shù)中核心網(wǎng)是通過檢測 IMSI/IMEI配對是否被授權(quán),來判斷該nCC是否授權(quán)在該設(shè)備上使用。那么,核心網(wǎng)必須要對設(shè)備上傳的頂SI和MEI進行認證,以保證設(shè)備上傳的MSI和MEI是合法,進而才能夠判斷MSI/MEI配對是否被授權(quán)。標準的AKA過程能夠?qū)SI進行認證,能夠保證MSI 是合法的,但是目前標準中沒有規(guī)范核心網(wǎng)對MEI的認證方式,即設(shè)備認證的方式?,F(xiàn)有技術(shù)中提出了使用增強的AKA過程來對設(shè)備進行認證,即增強現(xiàn)有標準中的 AKA過程,在標準AKA過程中加入設(shè)備認證過程,以便在AKA過程中即對MSI進行認證,又對MEI進行認證。但此方法存在幾個缺點其一,AKA過程執(zhí)行的不僅僅是用戶認證過程和設(shè)備認證過程,同時也執(zhí)行了安全連接建立的過程。在很多情況下都會進行AKA過程,如TAU過程中核心網(wǎng)節(jié)點對TA更新請求消息的完整性檢查失敗的時候,但此時并不需要重新進行設(shè)備認證。所以在增強的AKA 過程中進行設(shè)備認證,會增加通信系統(tǒng)的開銷。其二,增強的AKA過程產(chǎn)生了新的根密鑰。雖然該根密鑰具有和E-UTRAN中的 KASME和UTRAN中的CK、IK相同的功能,但是在目前通信系統(tǒng)中引入該根密鑰,會導(dǎo)致現(xiàn)有的安全架構(gòu)產(chǎn)生一定的變動。
發(fā)明內(nèi)容
本發(fā)明要解決的技術(shù)問題是提供一種檢測是否在授權(quán)設(shè)備上使用的方法、 系統(tǒng)和用戶設(shè)備,減少設(shè)備認證過程的信令開銷,保證特定的ncc只能夠在特定的設(shè)備中使用。為了解決上述問題,本發(fā)明提供了一種檢測是否在授權(quán)設(shè)備上使用的方法,包括核心網(wǎng)節(jié)點接收到用戶設(shè)備的附著請求后,與所述用戶設(shè)備建立安全連接;所述核心網(wǎng)節(jié)點向所述用戶設(shè)備發(fā)送標識請求消息,接收所述用戶設(shè)備返回的國際移動設(shè)備識別碼頂EI和設(shè)備認證數(shù)據(jù),將所述MEI、所述用戶設(shè)備上的通用集成電路卡的國際移動用戶識別碼MSI和所述設(shè)備認證數(shù)據(jù)通過更新位置請求發(fā)送給歸屬用戶服務(wù)器HSS/歸屬位置寄存器HLR ;所述HSS/HLR進行如下檢測檢測所述MEI和MSI是否為授權(quán)的MEI/MSI對, 和/或,根據(jù)所述頂EI對應(yīng)的設(shè)備根密鑰檢測所述設(shè)備認證數(shù)據(jù),判斷所述MEI是否合法。進一步的,上述方法還可具有以下特點,所述方法還包括,所述HSS/HLR將檢測結(jié)果通過更新位置響應(yīng)發(fā)送給所述核心網(wǎng)節(jié)點;所述核心網(wǎng)節(jié)點根據(jù)所述檢測結(jié)果決定接受或者拒絕所述用戶設(shè)備的附著請求。進一步的,上述方法還可具有以下特點,所述方法還包括,所述HSS/HLR本地配置 IMSI的授權(quán)MEI列表,所述HSS/HLR根據(jù)所述本地配置的MSI的授權(quán)MEI列表判斷所述 IMEI和IMSI是否為授權(quán)的IMEI/IMSI對。進一步的,上述方法還可具有以下特點,所述根據(jù)所述MEI對應(yīng)的設(shè)備根密鑰檢測所述設(shè)備認證數(shù)據(jù)包括直接根據(jù)所述MEI對應(yīng)的設(shè)備根密鑰檢測所述設(shè)備認證數(shù)據(jù);或者,根據(jù)所述IMEI對應(yīng)的設(shè)備根密鑰生成下級密鑰,根據(jù)所述下級密鑰檢測所述設(shè)備認證數(shù)據(jù)。進一步的,上述方法還可具有以下特點,所述下級密鑰根據(jù)如下方式生成所述HSS/HLR使用與所述MEI對應(yīng)的設(shè)備根密鑰、計數(shù)器COUNT值、服務(wù)網(wǎng)點標識作為輸入,生成所述下級密鑰;其中,所述COUNT與用戶設(shè)備側(cè)的計數(shù)器同步,所述HSS/HLR每檢測一次設(shè)備認證數(shù)據(jù)后,所述COUNT進行一次計數(shù);所述服務(wù)網(wǎng)點標識為當前為所述用戶設(shè)備服務(wù)的網(wǎng)點的標識。進一步的,上述方法還可具有以下特點,所述HSS/HLR根據(jù)所述下級密鑰檢測所述設(shè)備認證數(shù)據(jù)包括所述HSS/HLR使用所述下級密鑰對所述設(shè)備認證數(shù)據(jù)進行解密,得到設(shè)備響應(yīng) RES和隨機數(shù)RAND ;所述HSS/HLR使用所述RAND,所述COUNT和所述下級密鑰作為設(shè)備響應(yīng)生成函數(shù)的輸入,得到期望設(shè)備響應(yīng)XRES ;所述HSS/HLR比較所述XRES和所述RES,如果二者相同,則所述MEI合法,否則, 所述MEI不合法。進一步的,上述方法還可具有以下特點,所述HSS/HLR直接根據(jù)所述MEI對應(yīng)的設(shè)備根密鑰檢測所述設(shè)備認證數(shù)據(jù)包括所述HSS/HLR使用所述設(shè)備根密鑰對所述設(shè)備認證數(shù)據(jù)進行解密,得到設(shè)備響應(yīng) RES和隨機數(shù)RAND ;所述HSS/HLR使用所述RAND,計數(shù)器COUNT值和所述設(shè)備根密鑰作為設(shè)備響應(yīng)生成函數(shù)的輸入,得到期望設(shè)備響應(yīng)XRES ;所述HSS/HLR比較所述XRES和所述RES,如果二者相同,則所述MEI合法,否則, 所述MEI不合法; 其中,所述COUNT與用戶設(shè)備側(cè)的計數(shù)器同步,所述HSS/HLR每檢測一次設(shè)備認證數(shù)據(jù)后,所述COUNT進行一次計數(shù);所述服務(wù)網(wǎng)點標識為當前為所述用戶設(shè)備服務(wù)的網(wǎng)點的標識。本發(fā)明還提供一種檢測是否在授權(quán)設(shè)備上使用的系統(tǒng),包括核心網(wǎng)節(jié)點, 歸屬用戶服務(wù)器HSS/歸屬位置寄存器HLR,其中所述核心網(wǎng)節(jié)點用于,接收到用戶設(shè)備的附著請求后,與所述用戶設(shè)備建立安全連接;以及,向所述用戶設(shè)備發(fā)送標識請求消息,接收所述用戶設(shè)備返回的國際移動設(shè)備識別碼MEI和設(shè)備認證數(shù)據(jù);將所述MEI、所述用戶設(shè)備上的通用集成電路卡的國際移動用戶識別碼MSI和所述設(shè)備認證數(shù)據(jù)通過更新位置請求發(fā)送給所述HSS/HLR ;所述HSS/HLR用于,接收到所述更新位置請求后,進行如下檢測檢測所述MEI和 IMSI是否為授權(quán)的MEI/IMSI對,和/或,根據(jù)所述MEI對應(yīng)的設(shè)備根密鑰檢測所述設(shè)備認證數(shù)據(jù),判斷所述MEI是否合法。進一步的,上述系統(tǒng)還可具有以下特點,所述HSS/HLR還用于,將檢測結(jié)果通過更新位置響應(yīng)發(fā)送給所述核心網(wǎng)節(jié)點;所述核心網(wǎng)節(jié)點還用于,根據(jù)所述檢測結(jié)果決定接受或者拒絕所述用戶設(shè)備的附
著請求。進一步的,上述系統(tǒng)還可具有以下特點,所述HSS/HLR還用于,本地配置MSI的授權(quán)MEI列表,根據(jù)本地配置的MSI的授權(quán)MEI列表判斷所述MEI和MSI是否為授權(quán)的 IMEI/IMSI 對。進一步的,上述系統(tǒng)還可具有以下特點,所述HSS/HLR根據(jù)所述MEI對應(yīng)的設(shè)備根密鑰檢測所述設(shè)備認證數(shù)據(jù)包括直接根據(jù)所述MEI對應(yīng)的設(shè)備根密鑰檢測所述設(shè)備認證數(shù)據(jù);或者,根據(jù)所述IMEI對應(yīng)的設(shè)備根密鑰生成下級密鑰,根據(jù)所述下級密鑰檢測所述設(shè)備認證數(shù)據(jù)。進一步的,上述系統(tǒng)還可具有以下特點,所述HSS/HLR根據(jù)如下方式生成所述下級密鑰所述HSS/HLR使用與所述MEI對應(yīng)的設(shè)備根密鑰、計數(shù)器COUNT值、服務(wù)網(wǎng)點標識作為輸入,生成所述下級密鑰;其中,所述COUNT與用戶設(shè)備側(cè)的計數(shù)器同步,所述HSS/HLR每檢測一次設(shè)備認證數(shù)據(jù)后,所述COUNT進行一次計數(shù);所述服務(wù)網(wǎng)點標識為當前為所述用戶設(shè)備服務(wù)的網(wǎng)點的標識。進一步的,上述系統(tǒng)還可具有以下特點,所述HSS/HLR根據(jù)所述下級密鑰檢測所述設(shè)備認證數(shù)據(jù)包括所述HSS/HLR使用所述下級密鑰對所述設(shè)備認證數(shù)據(jù)進行解密,得到設(shè)備響應(yīng) RES和隨機數(shù)RAND ;所述HSS/HLR使用所述RAND,所述COUNT和所述下級密鑰作為設(shè)備響應(yīng)生成函數(shù)的輸入,得到期望設(shè)備響應(yīng)XRES ;所述HSS/HLR比較所述XRES和所述RES,如果二者相同,則所述MEI合法,否則, 所述MEI不合法。進一步的,上述系統(tǒng)還可具有以下特點,所述HSS/HLR直接根據(jù)所述MEI對應(yīng)的設(shè)備根密鑰檢測所述設(shè)備認證數(shù)據(jù)包括所述HSS/HLR使用所述設(shè)備根密鑰對所述設(shè)備認證數(shù)據(jù)進行解密,得到設(shè)備響應(yīng) RES和隨機數(shù)RAND ; 所述HSS/HLR使用所述RAND,計數(shù)器COUNT值和所述設(shè)備根密鑰作為設(shè)備響應(yīng)生成函數(shù)的輸入,得到期望設(shè)備響應(yīng)XRES ;所述HSS/HLR比較所述XRES和所述RES,如果二者相同,則所述MEI合法,否則, 所述MEI不合法;其中,所述COUNT與用戶設(shè)備側(cè)的計數(shù)器同步,所述HSS/HLR每檢測一次設(shè)備認證數(shù)據(jù)后,所述COUNT進行一次計數(shù);所述服務(wù)網(wǎng)點標識為當前為所述用戶設(shè)備服務(wù)的網(wǎng)點的標識。本發(fā)明一種檢測是否在授權(quán)設(shè)備上使用的方法,包括用戶設(shè)備向核心網(wǎng)節(jié)點發(fā)送附著請求,與所述核心網(wǎng)節(jié)點建立安全連接;所述用戶設(shè)備接收到所述核心網(wǎng)節(jié)點的標識請求消息后,根據(jù)所述用戶設(shè)備的國際移動設(shè)備識別碼頂EI對應(yīng)的設(shè)備根密鑰生成設(shè)備認證數(shù)據(jù),將所述MEI和所述設(shè)備認證數(shù)據(jù)通過標識響應(yīng)消息發(fā)送給所述核心網(wǎng)節(jié)點。進一步的,上述方法還可具有以下特點,所述用戶設(shè)備根據(jù)所述用戶設(shè)備的MEI 對應(yīng)的設(shè)備根密鑰生成設(shè)備認證數(shù)據(jù)包括所述用戶設(shè)備直接根據(jù)所述MEI對應(yīng)的設(shè)備根密鑰生成所述設(shè)備認證數(shù)據(jù);或者,所述用戶設(shè)備根據(jù)所述MEI對應(yīng)的設(shè)備根密鑰生成下級密鑰,根據(jù)所述下級密鑰生成所述設(shè)備認證數(shù)據(jù)。進一步的,上述方法還可具有以下特點,所述用戶設(shè)備根據(jù)所述設(shè)備根密鑰生成下級密鑰包括所述用戶設(shè)備使用所述設(shè)備根密鑰、計數(shù)器COUNT值、服務(wù)網(wǎng)點標識作為輸入,生成所述下級密鑰;其中,所述COUNT與網(wǎng)絡(luò)側(cè)的計數(shù)器同步,所述用戶設(shè)備每產(chǎn)生一個設(shè)備認證數(shù)據(jù),所述COUNT進行一次計數(shù);所述服務(wù)網(wǎng)點標識為當前為所述用戶設(shè)備服務(wù)的網(wǎng)點的標識。進一步的,上述方法還可具有以下特點,所述用戶設(shè)備根據(jù)所述下級密鑰生成設(shè)備認證數(shù)據(jù)包括所述用戶設(shè)備生成隨機數(shù)RAND ;所述用戶設(shè)備以所述隨機數(shù)RAND、所述COUNT值和所述下級密鑰為設(shè)備響應(yīng)生成函數(shù)的輸入,生成設(shè)備響應(yīng)RES ;所述用戶設(shè)備使用所述下級密鑰對所述RES和RAND進行加密,生成所述設(shè)備認證數(shù)據(jù)。進一步的,上述方法還可具有以下特點,所述用戶設(shè)備直接根據(jù)所述MEI對應(yīng)的設(shè)備根密鑰生成所述設(shè)備認證數(shù)據(jù)包括所述用戶設(shè)備生成隨機數(shù)RAND ;所述用戶設(shè)備以所述隨機數(shù)RAND、計數(shù)器COUNT值和所述設(shè)備根密鑰作為設(shè)備響應(yīng)生成函數(shù)的輸入,生成設(shè)備響應(yīng)RES ;所述用戶設(shè)備使用所述設(shè)備根密鑰對所述RES和RAND進行加密,生成所述設(shè)備認證數(shù)據(jù);所述COUNT與網(wǎng)絡(luò)側(cè)的計數(shù)器同步,所述用戶設(shè)備每產(chǎn)生一個設(shè)備認證數(shù)據(jù),所述COUNT進行一次計數(shù)。進一步的,上述方法還可具有以下特點,所述設(shè)備根密鑰保存在所述用戶設(shè)備的安全組件中,且禁止將所述設(shè)備根密鑰讀出所述安全組件。本發(fā)明還提供一種用戶設(shè)備,包括附著單元,用于向核心網(wǎng)節(jié)點發(fā)送附著請求,與所述核心網(wǎng)節(jié)點建立安全連接;設(shè)備認證數(shù)據(jù)生成單元,用于接收到所述核心網(wǎng)節(jié)點的標識請求消息后,根據(jù)所述用戶設(shè)備的國際移動設(shè)備識別碼頂EI對應(yīng)的設(shè)備根密鑰生成設(shè)備認證數(shù)據(jù);發(fā)送單元,用于將所述MEI和所述設(shè)備認證數(shù)據(jù)通過標識響應(yīng)消息發(fā)送給所述核心網(wǎng)節(jié)點。進一步的,上述用戶設(shè)備還可具有以下特點,所述設(shè)備認證數(shù)據(jù)生成單元根據(jù)所述用戶設(shè)備的MEI對應(yīng)的設(shè)備根密鑰生成設(shè)備認證數(shù)據(jù)包括直接根據(jù)所述MEI對應(yīng)的設(shè)備根密鑰生成所述設(shè)備認證數(shù)據(jù);或者,根據(jù)所述IMEI對應(yīng)的設(shè)備根密鑰生成下級密鑰,根據(jù)所述下級密鑰生成所述設(shè)備認證數(shù)據(jù)。進一步的,上述用戶設(shè)備還可具有以下特點,所述用戶設(shè)備還包括計數(shù)器COUNT, 與網(wǎng)絡(luò)側(cè)的計數(shù)器同步,用于當所述設(shè)備認證數(shù)據(jù)生成單元每產(chǎn)生一個設(shè)備認證數(shù)據(jù),進行一次計數(shù);所述設(shè)備認證數(shù)據(jù)生成單元根據(jù)所述設(shè)備根密鑰生成下級密鑰包括使用所述設(shè)備根密鑰、計數(shù)器COUNT值、服務(wù)網(wǎng)點標識作為輸入,生成所述下級密鑰;所述服務(wù)網(wǎng)點標識為當前為所述用戶設(shè)備服務(wù)的網(wǎng)點的標識。進一步的,上述用戶設(shè)備還可具有以下特點,所述設(shè)備認證數(shù)據(jù)生成單元根據(jù)所述下級密鑰生成設(shè)備認證數(shù)據(jù)包括生成隨機數(shù)RAND ;以所述隨機數(shù)RAND、所述COUNT值和所述下級密鑰為設(shè)備響應(yīng)生成函數(shù)的輸入, 生成設(shè)備響應(yīng)RES ;使用所述下級密鑰對所述RES和RAND進行加密,生成所述設(shè)備認證數(shù)據(jù)。進一步的,上述用戶設(shè)備還可具有以下特點,所述用戶設(shè)備還包括計數(shù)器COUNT, 與網(wǎng)絡(luò)側(cè)的計數(shù)器同步,用于所述設(shè)備認證數(shù)據(jù)生成單元每產(chǎn)生一個設(shè)備認證數(shù)據(jù),進行一次計數(shù);所述設(shè)備認證數(shù)據(jù)生成單元直接根據(jù)所述MEI對應(yīng)的設(shè)備根密鑰生成所述設(shè)備認證數(shù)據(jù)包括
生成隨機數(shù)RAND ;以所述隨機數(shù)RAND、計數(shù)器COUNT值和所述設(shè)備根密鑰作為設(shè)備響應(yīng)生成函數(shù)的輸入,生成設(shè)備響應(yīng)RES ;使用所述設(shè)備根密鑰對所述RES和RAND進行加密,生成所述設(shè)備認證數(shù)據(jù)。進一步的,上述用戶設(shè)備還可具有以下特點,所述用戶設(shè)備還包括安全組件,用于存儲所述設(shè)備根密鑰,且禁止將所述設(shè)備根密鑰讀出所述安全組件。本發(fā)明提供了一種檢測是否在授權(quán)設(shè)備上使用的方法、系統(tǒng)和用戶設(shè)備,在不改變附著過程流程和現(xiàn)今安全架構(gòu)的基礎(chǔ)上,讓核心網(wǎng)對設(shè)備進行認證,減少了設(shè)備認證過程的信令開銷;并且能夠讓核心網(wǎng)檢測MSI/MEI配對是否被授權(quán),使得核心網(wǎng)能夠保證特定的ncc只能夠在特定的設(shè)備中使用。
圖I描述的是一種進行設(shè)備認證并且驗證MSI/MEI對是否授權(quán)的實施例;圖2描述的是如何在附著過程中實施該設(shè)備認證和驗證MSI/MEI對是否授權(quán)的實施例;圖3是本發(fā)明實施例用戶設(shè)備框圖。
具體實施例方式為使本發(fā)明的目的、技術(shù)方案和優(yōu)點更加清楚明白,下文中將結(jié)合附圖對本發(fā)明的實施例進行詳細說明。需要說明的是,在不沖突的情況下,本申請中的實施例及實施例中的特征可以相互任意組合。要使核心網(wǎng)能夠執(zhí)行設(shè)備認證,需要一個通信雙方都保有的根密鑰device_root_ key ο所述device_root_key和設(shè)備的IMEI相對應(yīng)。在核心網(wǎng)端,該device_root_key保存在HSS/HLR中;在服端,該device_r00t_key保存在設(shè)備中。在設(shè)備上,需要有一個安全組件保存該device_root_key,所有與該device_root_key相關(guān)的加解密操作和其他運算都要在這個安全組件中進行。所述device_root_key禁止被讀出該安全組件。本發(fā)明實施例提供的一種檢測ncc是否在授權(quán)設(shè)備上使用的方法,包括核心網(wǎng)節(jié)點接收到用戶設(shè)備的附著請求后,與所述用戶設(shè)備建立安全連接;所述核心網(wǎng)節(jié)點向所述用戶設(shè)備發(fā)送標識請求消息,接收所述用戶設(shè)備返回的國際移動設(shè)備識別碼頂EI和設(shè)備認證數(shù)據(jù),將所述MEI、所述用戶設(shè)備上的通用集成電路卡的國際移動用戶識別碼MSI和所述設(shè)備認證數(shù)據(jù)通過更新位置請求發(fā)送給歸屬用戶服務(wù)器HSS/歸屬位置寄存器HLR ;所述HSS/HLR進行如下檢測檢測所述MEI和MSI是否為授權(quán)的MEI/MSI對, 和/或,根據(jù)所述頂EI對應(yīng)的設(shè)備根密鑰檢測所述設(shè)備認證數(shù)據(jù),判斷所述MEI是否合法。其中,所述方法還包括,所述HSS/HLR將檢測結(jié)果通過更新位置響應(yīng)發(fā)送給所述核心網(wǎng)節(jié)點;所述核心網(wǎng)節(jié)點根據(jù)所述檢測結(jié)果決定接受或者拒絕所述用戶設(shè)備的附著請求。其中,所述方法還包括,所述HSS/HLR本地配置MSI的授權(quán)MEI列表,所述HSS/HLR根據(jù)所述本地配置的MSI的授權(quán)MEI列表判斷所述MEI和MSI是否為授權(quán)的MEI/ IMSI 對。其中,所述根據(jù)所述MEI對應(yīng)的設(shè)備根密鑰檢測所述設(shè)備認證數(shù)據(jù)包括直接根據(jù)所述MEI對應(yīng)的設(shè)備根密鑰檢測所述設(shè)備認證數(shù)據(jù);或者,或者,根據(jù)所述MEI對應(yīng)的設(shè)備根密鑰生成下級密鑰,根據(jù)所述下級密鑰檢測所述設(shè)備認證數(shù)據(jù)。其中,所述下級密鑰根據(jù)如下方式生成所述HSS/HLR使用與所述MEI對應(yīng)的設(shè)備根密鑰、計數(shù)器COUNT值、服務(wù)網(wǎng)點標識作為輸入,生成所述下級密鑰;其中,所述COUNT與用戶設(shè)備側(cè)的計數(shù)器同步,所述HSS/HLR每檢測一次設(shè)備認證數(shù)據(jù)后,所述COUNT進行一次計數(shù);所述服務(wù)網(wǎng)點標識為當前為所述用戶設(shè)備服務(wù)的網(wǎng)點的標識。上述生成下級密鑰的方法僅為示例,可以使用其他方式生成下級密鑰,比如,將生成的下級密鑰再次作為密鑰生成函數(shù)的輸入,將新生成的密鑰作為下級密鑰,等等,本發(fā)明對此不作限定。其中,所述HSS/HLR根據(jù)所述下級密鑰檢測所述設(shè)備認證數(shù)據(jù)包括所述HSS/HLR使用所述下級密鑰對所述設(shè)備認證數(shù)據(jù)進行解密,得到設(shè)備響應(yīng) RES和隨機數(shù)RAND ;所述HSS/HLR使用所述RAND,所述COUNT和所述下級密鑰作為設(shè)備響應(yīng)生成函數(shù)的輸入,得到期望設(shè)備響應(yīng)XRES ;所述HSS/HLR比較所述XRES和所述RES,如果二者相同,則所述MEI合法,否則, 所述MEI不合法。其中,所述HSS/HLR直接根據(jù)所述MEI對應(yīng)的設(shè)備根密鑰檢測所述設(shè)備認證數(shù)據(jù)包括所述HSS/HLR使用所述設(shè)備根密鑰對所述設(shè)備認證數(shù)據(jù)進行解密,得到設(shè)備響應(yīng) RES和隨機數(shù)RAND ;所述HSS/HLR使用所述RAND,計數(shù)器COUNT值和所述設(shè)備根密鑰作為設(shè)備響應(yīng)生成函數(shù)的輸入,得到期望設(shè)備響應(yīng)XRES ;所述HSS/HLR比較所述XRES和所述RES,如果二者相同,則所述MEI合法,否則, 所述MEI不合法。本發(fā)明實施例還提供一種檢測是否在授權(quán)設(shè)備上使用的方法,包括用戶設(shè)備向核心網(wǎng)節(jié)點發(fā)送附著請求,與所述核心網(wǎng)節(jié)點建立安全連接;所述用戶設(shè)備接收到所述核心網(wǎng)節(jié)點的標識請求消息后,根據(jù)所述用戶設(shè)備的國際移動設(shè)備識別碼頂EI對應(yīng)的設(shè)備根密鑰生成設(shè)備認證數(shù)據(jù),將所述MEI和所述設(shè)備認證數(shù)據(jù)通過標識響應(yīng)消息發(fā)送給所述核心網(wǎng)節(jié)點。其中,所述用戶設(shè)備根據(jù)所述用戶設(shè)備的MEI對應(yīng)的設(shè)備根密鑰生成設(shè)備認證數(shù)據(jù)包括所述用戶設(shè)備直接根據(jù)所述MEI對應(yīng)的設(shè)備根密鑰生成所述設(shè)備認證數(shù)據(jù);或者,所述用戶設(shè)備根據(jù)所述MEI對應(yīng)的設(shè)備根密鑰生成下級密鑰,根據(jù)所述下級密鑰生成所述設(shè)備認證數(shù)據(jù)。其中,所述用戶設(shè)備根據(jù)所述設(shè)備根密鑰生成下級密鑰包括所述用戶設(shè)備使用所述設(shè)備根密鑰、計數(shù)器COUNT值、服務(wù)網(wǎng)點標識作為輸入,生成所述下級密鑰;其中,所述COUNT與網(wǎng)絡(luò)側(cè)的計數(shù)器同步,所述用戶設(shè)備每產(chǎn)生一個設(shè)備認證數(shù)據(jù),所述COUNT進行一次計數(shù);所述服務(wù)網(wǎng)點標識為當前為所述用戶設(shè)備服務(wù)的網(wǎng)點的標識。其中,所述用戶設(shè)備根據(jù)所述下級密鑰生成設(shè)備認證數(shù)據(jù)包括所述用戶設(shè)備生成隨機數(shù)RAND ;所述用戶設(shè)備以所述隨機數(shù)RAND、所述COUNT值和所述下級密鑰為設(shè)備響應(yīng)生成函數(shù)的輸入,生成設(shè)備響應(yīng)RES ;所述用戶設(shè)備使用所述下級密鑰對所述RES和RAND進行加密,生成所述設(shè)備認證數(shù)據(jù)。其中,所述用戶設(shè)備直接根據(jù)所述MEI對應(yīng)的設(shè)備根密鑰生成所述設(shè)備認證數(shù)據(jù)包括所述用戶設(shè)備生成隨機數(shù)RAND ;所述用戶設(shè)備以所述隨機數(shù)RAND、計數(shù)器COUNT值和所述設(shè)備根密鑰作為設(shè)備響應(yīng)生成函數(shù)的輸入,生成設(shè)備響應(yīng)RES ;所述用戶設(shè)備使用所述設(shè)備根密鑰對所述RES和RAND進行加密,生成所述設(shè)備認證數(shù)據(jù);所述COUNT與網(wǎng)絡(luò)側(cè)的計數(shù)器同步,所述用戶設(shè)備每產(chǎn)生一個設(shè)備認證數(shù)據(jù),所述COUNT進行一次計數(shù)。其中,所述設(shè)備根密鑰保存在所述用戶設(shè)備的安全組件中,且禁止將所述設(shè)備根密鑰讀出所述安全組件。下述實施例中將下一級密鑰作為下級密鑰對本發(fā)明進行說明。本發(fā)明實施例提供的檢測是否在授權(quán)設(shè)備上使用的方法包括步驟1,HSS/HLR中預(yù)先為每個MSI配置了一組授權(quán)的MEI列表。步驟2, UE在向核心網(wǎng)節(jié)點CNN(Core Network Node)發(fā)送了附著請求后,與核心網(wǎng)進行標準的AKA過程。CNN為核心網(wǎng)節(jié)點,例如UTRAN/GERAN中的SGSN,或E-UTRAN中的 MME。在標準的AKA過程之后,UE和核心網(wǎng)節(jié)點之間的安全連接已建立,以下UE和CNN之間的所有信令交互都由當前安全上下文所保護。CNN向UE發(fā)送“標識請求”,請求UE的設(shè)備標識,并請求設(shè)備認證數(shù)據(jù)。步驟3,UE在接收到CNN發(fā)來的“標識請求”消息后,將產(chǎn)生設(shè)備認證數(shù)據(jù)(Device authentication data),并將設(shè)備認證數(shù)據(jù)和IMEI —同在“標識響應(yīng)”消息中發(fā)送給CNN。 所述設(shè)備認證數(shù)據(jù)由設(shè)備產(chǎn)生,而不是由ncc產(chǎn)生。步驟4,0剛在“更新位置請求”中將頂31/^^1對和設(shè)備認證數(shù)據(jù)轉(zhuǎn)發(fā)給肥3/!11^。步驟5,HSS/HLR對該設(shè)備認證數(shù)據(jù)進行檢測,以此判斷UE發(fā)送過來的MEI是否合法,即HSS/HLR進行設(shè)備認證。步驟6,如果HSS/HLR檢測到所述MEI是合法的,HSS進一步檢測MSI/MEI對是否為授權(quán)的MSI/MEI對。步驟7,HSS/HLR在“更新位置響應(yīng)”中將步驟4和步驟5中的檢測結(jié)果告知CNN。步驟8,CNN根據(jù)HSS/HLR告知的檢測結(jié)果,決定是接受UE的附著請求或者拒絕UE 的附著請求。以上步驟5和步驟6所述的HSS/HLR的檢測順序可以對調(diào),即HSS/HLR可以先檢測MSI/MEI對是否為授權(quán)的MSI/MEI對,再檢測所述MEI是否合法。所述的這兩個步驟中,只要其中一個步驟檢測不通過,HSS/HLR則告知CNN拒絕所述UE的附著請求。以上所述步驟3中的UE生成設(shè)備認證數(shù)據(jù)和步驟5中的HSS/HLR對設(shè)備認證數(shù)據(jù)進行檢測,其主要目的是UE通過某種方式向HSS/HLR表明自己是持有與所述MEI對應(yīng)的device_r00t_key的UE。HSS/HLR判斷設(shè)備是否合法的方式,就是判斷該設(shè)備是否持有與其 IMEI 對應(yīng)的 device_root_key。UE由設(shè)備和組成。設(shè)備認證數(shù)據(jù)是由設(shè)備生成,而不是由生成。設(shè)備生成設(shè)備認證數(shù)據(jù)的方式可以是以下方式,但不限定于以下方式步驟3A,UE產(chǎn)生一個隨機數(shù)RAND。步驟3B,UE使用device_root_key、COUNT、SN id(服務(wù)網(wǎng)點id)作為輸入,生成下一級密鑰next_key。生成下一級密鑰的方法和EPS AKA過程中UE使用根密鑰K生成下一級密鑰KASME的方式相同,只是輸入?yún)?shù)有所不同。當然,next_key也可以直接使用device_ root_key 替換。next_key = KDF (device_root_key, COUNT, SN id)。COUNT為UE和HSS/HLR都保有的計數(shù)器,在UE和HSS/HLR之間保持同步,用于防止重放攻擊。UE每產(chǎn)生一個設(shè)備認證數(shù)據(jù),UE端的COUNT便會進行一次計數(shù),每次計數(shù)可以加1,也可以加一指定值;HSS/HLR每驗證一次設(shè)備認證數(shù)據(jù),HSS/HLR端的COUNT便會進行一次計數(shù),比如,加I。SN id是當前正在為所述UE服務(wù)的網(wǎng)點標識。所述SN id是UE端和HSS/HLR端都已知的信息。步驟3C,UE以RAND、COUNT和next_key作為設(shè)備響應(yīng)生成函數(shù)的輸入,產(chǎn)生設(shè)備響應(yīng)RES。RES =設(shè)備響應(yīng)生成函數(shù)(RAND,COUNT, next_key)。設(shè)備響應(yīng)生成函數(shù)為單向函數(shù),所述設(shè)備響應(yīng)生成函數(shù)要能夠保證不可逆推,即讓攻擊者即便知道了 RES、RAND、COUNT三個數(shù)據(jù),也不能夠推導(dǎo)出next_key。步驟3D, UE 產(chǎn)生設(shè)備認證數(shù)據(jù)Device_authentication_data = Enext_ key (RES | | RAND)。即設(shè)備認證數(shù)據(jù)為RES | | RAND被neXt_key進行加密后的數(shù)據(jù)。其中,HSS/HLR檢測設(shè)備認證數(shù)據(jù)的方法和終端側(cè)產(chǎn)生設(shè)備認證數(shù)據(jù)的方法相對應(yīng),HSS/HLR檢測設(shè)備認證數(shù)據(jù)的一種方式如下,但不限定于以下方式步驟5A, HSS/HLR根據(jù)所述IMEI,查詢到該設(shè)備的device_root_key。步驟5B,HSS/HLR 使用 device_root_key、COUNT、SN id (服務(wù)網(wǎng)點 id)作為輸入, 生成下一級密鑰next_key。COUNT是在UE端和HSS/HLR端保持同步的數(shù)據(jù)。SN id是UE端和HSS/HLR端都已知的數(shù)據(jù)。生成下一級密鑰的方法和EPS AKA過程中HSS/HLR使用根密鑰K生成下一級密鑰KASME的方式相同,只是輸入?yún)?shù)有所不同。next_key = KDF (device_root_key, COUNT, SN id)。步驟5C,HSS/HLR使用next_key將設(shè)備認證數(shù)據(jù)解密,得到RES | | RAND。步驟HSS/HLR使用接收到的RAND,并使用COUNT和next_key作為設(shè)備響應(yīng)生成函數(shù)的輸入,得到期望設(shè)備響應(yīng)XRES。XRES =設(shè)備響應(yīng)生成函數(shù)(RAND,COUNT, next_key)。步驟5E,HSS/HLR將接收到的RES和自己生成的XRES進行比較。如果相同,則說明所述頂EI合法;如果不同,則說明所述MEI不合法。如圖I所述,本發(fā)明描述了一種進行設(shè)備認證并且驗證MSI/MEI對是否授權(quán)的實施例。步驟101,HSS/HLR中為每一個MSI都預(yù)先定義了一組授權(quán)的MEI列表。MSI 為保存在ncc里面的全球唯一的簽約用戶標識,IMEI為保存在設(shè)備中的全球唯一的設(shè)備標識。HSS/HLR通過查詢所述MEI是否存在于所述MSI的授權(quán)MEI列表中,便可知道所述MSI/MEI對是否為授權(quán)的MSI/MEI對,從而判斷與所述MSI所對應(yīng)的WCC是否授權(quán)在與所述IMEI所對應(yīng)的設(shè)備中使用。步驟102,UE向CNN發(fā)起附著請求,請求與網(wǎng)絡(luò)建立連接。然后UE和網(wǎng)絡(luò)會進行標準的AKA過程,進行相互的認證,并且建立起安全連接,安全連接建立后,所有的CNN和UE 之間的信令交互都會被當前安全上下文所保護。安全連接建立以后,CNN向UE請求設(shè)備標識MEI和設(shè)備認證數(shù)據(jù)。步驟103,UE在接收到CNN發(fā)出的請求設(shè)備標識和設(shè)備認證數(shù)據(jù)的消息后,將產(chǎn)生設(shè)備認證數(shù)據(jù)。產(chǎn)生設(shè)備認證數(shù)據(jù)的過程如下A、UE產(chǎn)生一個隨機數(shù)RAND。B、UE使用device_root_key、COUNT、SN id(服務(wù)網(wǎng)點id)作為輸入,生成下一級密鑰neXt_key。生成下一級密鑰的方法和EPS AKA過程中UE使用根密鑰K生成下一級密鑰KASME的方式相同,只是輸入?yún)?shù)有所不同。next_key = KDF (device_root_key, COUNT, SN id)。COUNT為UE和HSS/HLR都保有的計數(shù)器,在UE和HSS/HLR之間保持同步,用于防止重放攻擊。UE每產(chǎn)生一個設(shè)備認證數(shù)據(jù),UE端的COUNT便會加I ;HSS/HLR每驗證一次設(shè)備認證數(shù)據(jù),HSS/HLR端的COUNT便會加I。SN id是當前正在為所述UE服務(wù)的網(wǎng)點標識。所述SN id是UE端和HSS/HLR端都已知的信息。C、UE以RAND、COUNT和next_key作為設(shè)備響應(yīng)生成函數(shù)的輸入,產(chǎn)生設(shè)備響應(yīng) RES0RES =設(shè)備響應(yīng)生成函數(shù)(RAND,COUNT, next_key)。設(shè)備響應(yīng)生成函數(shù)為單向函數(shù),所述設(shè)備響應(yīng)生成函數(shù)要能夠保證不可逆推,即讓攻擊者即便知道了 RES、RAND、COUNT三個數(shù)據(jù),也不能夠推導(dǎo)出next_key。D、UE 產(chǎn)生設(shè)備認證數(shù)據(jù)Device_authentication_data = Enext_ key (RES | | RAND)。即設(shè)備認證數(shù)據(jù)為RES | | RAND被neXt_key進行加密后的數(shù)據(jù)。UE在產(chǎn)生了設(shè)備認證數(shù)據(jù)后,將設(shè)備認證數(shù)據(jù)和設(shè)備標識MEI —同發(fā)送給CNN。
步驟104,CNN在接收到UE發(fā)過來的MEI和設(shè)備認證數(shù)據(jù)后,將MSI/MEI對和設(shè)備認證數(shù)據(jù)轉(zhuǎn)發(fā)給HSS/HLR,要求HSS/HLR驗證MEI是否合法,并且驗證MSI/MEI對是否被授權(quán)。步驟105,HSS/HLR在接收到設(shè)備認證數(shù)據(jù)和MSI/MEI對后,首先驗證MEI是否合法。驗證MEI是否合法的方式是驗證設(shè)備認證數(shù)據(jù),其驗證方法如下所述A、HSS/HLR 根據(jù)所述 IMEI,查詢到該設(shè)備的 device_root_key。B、HSS/HLR 使用 device_root_key、COUNT、SN id(服務(wù)網(wǎng)點 id)作為輸入,生成下一級密鑰 next_key。COUNT是在UE端和HSS/HLR端保持同步的數(shù)據(jù)。SN id是UE端和HSS/HLR端都已知的數(shù)據(jù)。生成下一級密鑰的方法和EPS AKA過程中HSS/HLR使用根密鑰K生成下一級密鑰KASME的方式相同,只是輸入?yún)?shù)有所不同。next_key = KDF (device_root_key, COUNT, SN id)。C、HSS/HLR使用next_key將設(shè)備認證數(shù)據(jù)解密,得到RES | | RAND。D、HSS/HLR使用接收到的RAND,并使用COUNT和next_key作為設(shè)備響應(yīng)生成函數(shù)的輸入,得到期望設(shè)備響應(yīng)XRES。XRES =設(shè)備響應(yīng)生成函數(shù)(RAND,COUNT, next_key)。E,HSS/HLR將接收到的RES和自己生成的XRES進行比較。如果相同,則說明所述 IMEI合法;如果不同,則說明所述MEI不合法。步驟106,如果步驟105驗證得出所述MEI是合法的,則進行此步。HSS/HLR將進一步驗證MSI/MEI對是否被授權(quán)。HSS/HLR通過查詢所述MEI是否存在于所述MSI的授權(quán)MEI列表中,便可知道所述MSI/MEI對是否為授權(quán)的MSI/MEI對。步驟107,HSS/HLR將步驟105和步驟106的檢測結(jié)果告知CNN。步驟108,CNN根據(jù)HSS/HLR告知的檢測結(jié)果決定接受附著請求或拒絕附著請求。 如果驗證MEI是非法的,CNN則拒絕附著請求,并告知拒絕附著請求的原因是設(shè)備認證不合格;如果頂EI合法但是IMSI/MEI對未被授權(quán),CNN同樣拒絕附著請求,并告知拒絕附著請求的原因是MSI/MEI對未被授權(quán);如果MEI合法并且MSI/MEI對是被授權(quán)的MSI/ IMEI對,CNN則接受附著請求。圖2描述的是如何在附著過程中實施該設(shè)備認證和驗證MSI/MEI對是否授權(quán)的實施例。步驟201,HSS/HLR中為每一個MSI都預(yù)先定義了一組授權(quán)的MEI列表。MSI 為保存在ncc里面的全球唯一的簽約用戶標識,IMEI為保存在設(shè)備中的全球唯一的設(shè)備標識。HSS/HLR通過查詢所述MEI是否存在于所述MSI的授權(quán)MEI列表中,便可知道所述MSI/MEI對是否為授權(quán)的MSI/MEI對,從而判斷與所述MSI所對應(yīng)的WCC是否授權(quán)在與所述IMEI所對應(yīng)的設(shè)備中使用。步驟202,UE向CNN發(fā)送附著請求消息,發(fā)起網(wǎng)絡(luò)附著過程,消息中包含MSI或臨時用戶身份標志等信息。步驟203,如果UE向CNN發(fā)送的是臨時用戶身份標志,CNN要通過此臨時用戶身份標志查詢或請求到該用戶的MSI。如果網(wǎng)絡(luò)中沒有保存UE的上下文,或者如果附著請求沒有得到完整性保護,或者完整性檢查失敗,則CNN使用該MSI向HSS/HLR請求鑒權(quán)向量。步驟204,如果CNN向HSS/HLR請求了鑒權(quán)向量,HSS/HLR則根據(jù)MSI查詢到與該 IMSI對應(yīng)的根密鑰,并產(chǎn)生鑒權(quán)向量,并向CNN響應(yīng)鑒權(quán)向量。步驟205,如步驟203中所述,如果網(wǎng)絡(luò)中沒有保存UE的上下文,或者如果附著請求沒有得到完整性保護,或者完整性檢查失敗,UE和CNN則要進行標準的AKA過程,并且建立起安全連接。安全連接建立以后,以下所有的信令都要被當前安全上下文所保護。步驟206, CNN向UE發(fā)送標識請求,請求該UE的設(shè)備標識,并在該消息中請求UE 發(fā)送設(shè)備認證數(shù)據(jù)。UE在收到來自于CNN的標識請求消息后,將生成設(shè)備認證數(shù)據(jù)。產(chǎn)生設(shè)備認證數(shù)據(jù)的過程如下A、UE產(chǎn)生一個隨機數(shù)RAND。B、UE使用device_root_key、COUNT、SN id(服務(wù)網(wǎng)點id)作為輸入,生成下一級密鑰neXt_key。生成下一級密鑰的方法和EPS AKA過程中UE使用根密鑰K生成下一級密鑰KASME的方式相同,只是輸入?yún)?shù)有所不同。next_key = KDF (device_root_key, COUNT, SN id)。COUNT為UE和HSS/HLR都保有的計數(shù)器,在UE和HSS/HLR之間保持同步,用于防止重放攻擊。UE每產(chǎn)生一個設(shè)備認證數(shù)據(jù),UE端的COUNT便會加I ;HSS/HLR每驗證一次設(shè)備認證數(shù)據(jù),HSS/HLR端的COUNT便會加I。SN id是當前正在為所述UE服務(wù)的網(wǎng)點標識。所述SN id是UE端和HSS/HLR端都已知的信息。C、UE以RAND、COUNT和next_key作為設(shè)備響應(yīng)生成函數(shù)的輸入,產(chǎn)生設(shè)備響應(yīng) RES0RES =設(shè)備響應(yīng)生成函數(shù)(RAND, COUNT, next_key)。設(shè)備響應(yīng)生成函數(shù)為單向函數(shù),所述設(shè)備響應(yīng)生成函數(shù)要能夠保證不可逆推,即讓攻擊者即便知道了 RES、RAND、COUNT三個數(shù)據(jù),也不能夠推導(dǎo)出next_key。D、UE 產(chǎn)生設(shè)備認證數(shù)據(jù)Device_authentication_data = Enext_ key (RES | | RAND)。即設(shè)備認證數(shù)據(jù)為RES | | RAND被neXt_key進行加密后的數(shù)據(jù)。步驟207,UE給CNN發(fā)送標識響應(yīng)消息,消息中附帶所述設(shè)備的MEI,并附帶產(chǎn)生的設(shè)備認證數(shù)據(jù)。步驟208,CNN在更新位置請求消息中,將所述MSI/MEI對和所述設(shè)備認證數(shù)據(jù)轉(zhuǎn)發(fā)給HSS/HLR。步驟209,HSS/HLR在接收到設(shè)備認證數(shù)據(jù)和MSI/MEI對后,首先驗證MEI是否合法。驗證MEI是否合法的方式是驗證設(shè)備認證數(shù)據(jù),其驗證方法如下所述A、HSS/HLR 根據(jù)所述 IMEI,查詢到該設(shè)備的 device_root_key。B、HSS/HLR 使用 device_root_key、C0UNT、SN id(服務(wù)網(wǎng)點 id)作為輸入,生成下一級密鑰 next_key。COUNT是在UE端和HSS/HLR端保持同步的數(shù)據(jù)。SN id是UE端和HSS/HLR端都已知的數(shù)據(jù)。生成下一級密鑰的方法和EPS AKA過程中HSS/HLR使用根密鑰K生成下一級密鑰KASME的方式相同,只是輸入?yún)?shù)有所不同。
next_key = KDF (device_root_key, COUNT, SN id)。C、HSS/HLR使用next_key將設(shè)備認證數(shù)據(jù)解密,得到RES | | RAND。D,HSS/HLR使用接收到的RAND,并使用COUNT和next_key作為設(shè)備響應(yīng)生成函數(shù)的輸入,得到期望設(shè)備響應(yīng)XRES。XRES =設(shè)備響應(yīng)生成函數(shù)(RAND,COUNT, next_key)。E,HSS/HLR將接收到的RES和自己生成的XRES進行比較。如果相同,則說明所述 IMEI合法;如果不同,則說明所述MEI不合法。步驟210,如果步驟209驗證得出所述MEI是合法的,則進行此步。HSS/HLR將進一步驗證MSI/MEI對是否被授權(quán)。HSS/HLR通過查詢所述MEI是否存在于所述MSI的授權(quán)MEI列表中,便可知道所述MSI/MEI對是否為授權(quán)的MSI/MEI對。步驟211,HSS/HLR在更新位置響應(yīng)中將步驟209和步驟210的檢測結(jié)果告知CNN。步驟212,CNN根據(jù)HSS/HLR告知的檢測結(jié)果決定接受附著請求或拒絕附著請求。 如果驗證MEI是非法的,CNN則拒絕附著請求,并告知拒絕附著請求的原因是設(shè)備認證不合格;如果頂EI合法但是IMSI/MEI對未被授權(quán),CNN同樣拒絕附著請求,并告知拒絕附著請求的原因是MSI/MEI對未被授權(quán);如果MEI合法并且MSI/MEI對是被授權(quán)的MSI/ IMEI對,CNN則接受附著請求。本發(fā)明實施例還提供一種檢測是否在授權(quán)設(shè)備上使用的系統(tǒng),包括核心網(wǎng)節(jié)點,歸屬用戶服務(wù)器HSS/歸屬位置寄存器HLR,其中所述核心網(wǎng)節(jié)點用于,接收到用戶設(shè)備的附著請求后,與所述用戶設(shè)備建立安全連接;以及,向所述用戶設(shè)備發(fā)送標識請求消息,接收所述用戶設(shè)備返回的國際移動設(shè)備識別碼MEI和設(shè)備認證數(shù)據(jù);將所述MEI、所述用戶設(shè)備上的通用集成電路卡的國際移動用戶識別碼MSI和所述設(shè)備認證數(shù)據(jù)通過更新位置請求發(fā)送給所述HSS/HLR ;所述HSS/HLR用于,接收到所述更新位置請求后,進行如下檢測檢測所述MEI和 IMSI是否為授權(quán)的MEI/IMSI對,和/或,根據(jù)所述MEI對應(yīng)的設(shè)備根密鑰檢測所述設(shè)備認證數(shù)據(jù),判斷所述MEI是否合法。核心網(wǎng)節(jié)點和HSS/HLR的具體功能參見方法實施例。本發(fā)明實施例還提供一種用戶設(shè)備,如圖3所示,包括附著單元,用于向核心網(wǎng)節(jié)點發(fā)送附著請求,與所述核心網(wǎng)節(jié)點建立安全連接;設(shè)備認證數(shù)據(jù)生成單元,用于接收到所述核心網(wǎng)節(jié)點的標識請求消息后,根據(jù)所述用戶設(shè)備的國際移動設(shè)備識別碼頂EI對應(yīng)的設(shè)備根密鑰生成設(shè)備認證數(shù)據(jù);發(fā)送單元,用于將所述MEI和所述設(shè)備認證數(shù)據(jù)通過標識響應(yīng)消息發(fā)送給所述核心網(wǎng)節(jié)點。其中,所述設(shè)備認證數(shù)據(jù)生成單元根據(jù)所述用戶設(shè)備的MEI對應(yīng)的設(shè)備根密鑰生成設(shè)備認證數(shù)據(jù)包括直接根據(jù)所述MEI對應(yīng)的設(shè)備根密鑰生成所述設(shè)備認證數(shù)據(jù);或者,根據(jù)所述MEI對應(yīng)的設(shè)備根密鑰生成下級密鑰,根據(jù)所述下級密鑰生成所述設(shè)備認證數(shù)據(jù)。其中,所述用戶設(shè)備還包括計數(shù)器COUNT,與網(wǎng)絡(luò)側(cè)的計數(shù)器同步,用于當所述設(shè)備認證數(shù)據(jù)生成單元每產(chǎn)生一個設(shè)備認證數(shù)據(jù),進行一次計數(shù);
所述設(shè)備認證數(shù)據(jù)生成單元根據(jù)所述設(shè)備根密鑰生成下級密鑰包括使用所述設(shè)備根密鑰、計數(shù)器COUNT值、服務(wù)網(wǎng)點標識作為輸入,生成所述下級密鑰;所述服務(wù)網(wǎng)點標識為當前為所述用戶設(shè)備服務(wù)的網(wǎng)點的標識。其中,所述設(shè)備認證數(shù)據(jù)生成單元根據(jù)所述下級密鑰生成設(shè)備認證數(shù)據(jù)包括生成隨機數(shù)RAND ;以所述隨機數(shù)RAND、所述COUNT值和所述下級密鑰為設(shè)備響應(yīng)生成函數(shù)的輸入, 生成設(shè)備響應(yīng)RES ;使用所述下級密鑰對所述RES和RAND進行加密,生成所述設(shè)備認證數(shù)據(jù)。其中,所述設(shè)備認證數(shù)據(jù)生成單元直接根據(jù)所述MEI對應(yīng)的設(shè)備根密鑰生成所述設(shè)備認證數(shù)據(jù)包括生成隨機數(shù)RAND ;以所述隨機數(shù)RAND、計數(shù)器COUNT值和所述設(shè)備根密鑰作為設(shè)備響應(yīng)生成函數(shù)的輸入,生成設(shè)備響應(yīng)RES ;使用所述設(shè)備根密鑰對所述RES和RAND進行加密,生成所述設(shè)備認證數(shù)據(jù)。其中,所述用戶設(shè)備還包括安全組件,用于存儲所述設(shè)備根密鑰,且禁止將所述設(shè)備根密鑰讀出所述安全組件。本領(lǐng)域普通技術(shù)人員可以理解上述方法中的全部或部分步驟可通過程序來指令相關(guān)硬件完成,所述程序可以存儲于計算機可讀存儲介質(zhì)中,如只讀存儲器、磁盤或光盤等。可選地,上述實施例的全部或部分步驟也可以使用一個或多個集成電路來實現(xiàn)。相應(yīng)地,上述實施例中的各模塊/單元可以采用硬件的形式實現(xiàn),也可以采用軟件功能模塊的形式實現(xiàn)。本發(fā)明不限制于任何特定形式的硬件和軟件的結(jié)合。
權(quán)利要求
1.一種檢測ncc是否在授權(quán)設(shè)備上使用的方法,其特征在于,包括核心網(wǎng)節(jié)點接收到用戶設(shè)備的附著請求后,與所述用戶設(shè)備建立安全連接;所述核心網(wǎng)節(jié)點向所述用戶設(shè)備發(fā)送標識請求消息,接收所述用戶設(shè)備返回的國際移動設(shè)備識別碼頂EI和設(shè)備認證數(shù)據(jù),將所述MEI、所述用戶設(shè)備上的通用集成電路卡的國際移動用戶識別碼MSI和所述設(shè)備認證數(shù)據(jù)通過更新位置請求發(fā)送給歸屬用戶服務(wù)器 HSS/歸屬位置寄存器HLR;所述HSS/HLR進行如下檢測檢測所述MEI和MSI是否為授權(quán)的MEI/MSI對,和/ 或,根據(jù)所述頂EI對應(yīng)的設(shè)備根密鑰檢測所述設(shè)備認證數(shù)據(jù),判斷所述MEI是否合法。
2.如權(quán)利要求I所述的方法,其特征在于,所述方法還包括,所述HSS/HLR將檢測結(jié)果通過更新位置響應(yīng)發(fā)送給所述核心網(wǎng)節(jié)點;所述核心網(wǎng)節(jié)點根據(jù)所述檢測結(jié)果決定接受或者拒絕所述用戶設(shè)備的附著請求。
3.如權(quán)利要求I所述的方法,其特征在于,所述方法還包括,所述HSS/HLR本地配置 IMSI的授權(quán)MEI列表,所述HSS/HLR根據(jù)所述本地配置的MSI的授權(quán)MEI列表判斷所述 IMEI和IMSI是否為授權(quán)的IMEI/IMSI對。
4.如權(quán)利要求I所述的方法,其特征在于,所述根據(jù)所述IMEI對應(yīng)的設(shè)備根密鑰檢測所述設(shè)備認證數(shù)據(jù)包括直接根據(jù)所述頂EI對應(yīng)的設(shè)備根密鑰檢測所述設(shè)備認證數(shù)據(jù);或者,根據(jù)所述IMEI對應(yīng)的設(shè)備根密鑰生成下級密鑰,根據(jù)所述下級密鑰檢測所述設(shè)備認證數(shù)據(jù)。
5.如權(quán)利要去4所述的方法,其特征在于,所述下級密鑰根據(jù)如下方式生成所述HSS/HLR使用與所述MEI對應(yīng)的設(shè)備根密鑰、計數(shù)器COUNT值、服務(wù)網(wǎng)點標識作為輸入,生成所述下級密鑰;其中,所述COUNT與用戶設(shè)備側(cè)的計數(shù)器同步,所述HSS/HLR每檢測一次設(shè)備認證數(shù)據(jù)后,所述COUNT進行一次計數(shù);所述服務(wù)網(wǎng)點標識為當前為所述用戶設(shè)備服務(wù)的網(wǎng)點的標識。
6.如權(quán)利要求5所述的方法,其特征在于,所述HSS/HLR根據(jù)所述下級密鑰檢測所述設(shè)備認證數(shù)據(jù)包括所述HSS/HLR使用所述下級密鑰對所述設(shè)備認證數(shù)據(jù)進行解密,得到設(shè)備響應(yīng)RES和隨機數(shù)RAND ;所述HSS/HLR使用所述RAND,所述COUNT和所述下級密鑰作為設(shè)備響應(yīng)生成函數(shù)的輸入,得到期望設(shè)備響應(yīng)XRES ;所述HSS/HLR比較所述XRES和所述RES,如果二者相同,則所述MEI合法,否則,所述 IMEI不合法。
7.如權(quán)利要求4所述的方法,其特征在于,所述HSS/HLR直接根據(jù)所述IMEI對應(yīng)的設(shè)備根密鑰檢測所述設(shè)備認證數(shù)據(jù)包括所述HSS/HLR使用所述設(shè)備根密鑰對所述設(shè)備認證數(shù)據(jù)進行解密,得到設(shè)備響應(yīng)RES 和隨機數(shù)RAND ;所述HSS/HLR使用所述RAND,計數(shù)器COUNT值和所述設(shè)備根密鑰作為設(shè)備響應(yīng)生成函數(shù)的輸入,得到期望設(shè)備響應(yīng)XRES ;所述HSS/HLR比較所述XRES和所述RES,如果二者相同,則所述MEI合法,否則,所述 IMEI不合法;其中,所述COUNT與用戶設(shè)備側(cè)的計數(shù)器同步,所述HSS/HLR每檢測一次設(shè)備認證數(shù)據(jù)后,所述COUNT進行一次計數(shù);所述服務(wù)網(wǎng)點標識為當前為所述用戶設(shè)備服務(wù)的網(wǎng)點的標識。
8.—種檢測ncc是否在授權(quán)設(shè)備上使用的系統(tǒng),其特征在于,包括核心網(wǎng)節(jié)點,歸屬用戶服務(wù)器HSS/歸屬位置寄存器HLR,其中所述核心網(wǎng)節(jié)點用于,接收到用戶設(shè)備的附著請求后,與所述用戶設(shè)備建立安全連接; 以及,向所述用戶設(shè)備發(fā)送標識請求消息,接收所述用戶設(shè)備返回的國際移動設(shè)備識別碼 IMEI和設(shè)備認證數(shù)據(jù);將所述MEI、所述用戶設(shè)備上的通用集成電路卡的國際移動用戶識別碼MSI和所述設(shè)備認證數(shù)據(jù)通過更新位置請求發(fā)送給所述HSS/HLR ;所述HSS/HLR用于,接收到所述更新位置請求后,進行如下檢測檢測所述MEI和 IMSI是否為授權(quán)的MEI/IMSI對,和/或,根據(jù)所述MEI對應(yīng)的設(shè)備根密鑰檢測所述設(shè)備認證數(shù)據(jù),判斷所述MEI是否合法。
9.如權(quán)利要求8所述的系統(tǒng),其特征在于,所述HSS/HLR還用于,將檢測結(jié)果通過更新位置響應(yīng)發(fā)送給所述核心網(wǎng)節(jié)點;所述核心網(wǎng)節(jié)點還用于,根據(jù)所述檢測結(jié)果決定接受或者拒絕所述用戶設(shè)備的附著請求。
10.如權(quán)利要求8所述的系統(tǒng),其特征在于,所述HSS/HLR還用于,本地配置MSI的授權(quán)MEI列表,根據(jù)本地配置的MSI的授權(quán)MEI列表判斷所述MEI和MSI是否為授權(quán)的 IMEI/IMSI 對。
11.如權(quán)利要求8所述的系統(tǒng),其特征在于,所述HSS/HLR根據(jù)所述IMEI對應(yīng)的設(shè)備根密鑰檢測所述設(shè)備認證數(shù)據(jù)包括直接根據(jù)所述頂EI對應(yīng)的設(shè)備根密鑰檢測所述設(shè)備認證數(shù)據(jù);或者,根據(jù)所述IMEI對應(yīng)的設(shè)備根密鑰生成下級密鑰,根據(jù)所述下級密鑰檢測所述設(shè)備認證數(shù)據(jù)。
12.如權(quán)利要去11所述的系統(tǒng),其特征在于,所述HSS/HLR根據(jù)如下方式生成所述下級密鑰所述HSS/HLR使用與所述MEI對應(yīng)的設(shè)備根密鑰、計數(shù)器COUNT值、服務(wù)網(wǎng)點標識作為輸入,生成所述下級密鑰;其中,所述COUNT與用戶設(shè)備側(cè)的計數(shù)器同步,所述HSS/HLR每檢測一次設(shè)備認證數(shù)據(jù)后,所述COUNT進行一次計數(shù);所述服務(wù)網(wǎng)點標識為當前為所述用戶設(shè)備服務(wù)的網(wǎng)點的標識。
13.如權(quán)利要求12所述的系統(tǒng),其特征在于,所述HSS/HLR根據(jù)所述下級密鑰檢測所述設(shè)備認證數(shù)據(jù)包括所述HSS/HLR使用所述下級密鑰對所述設(shè)備認證數(shù)據(jù)進行解密,得到設(shè)備響應(yīng)RES和隨機數(shù)RAND ;所述HSS/HLR使用所述RAND,所述COUNT和所述下級密鑰作為設(shè)備響應(yīng)生成函數(shù)的輸入,得到期望設(shè)備響應(yīng)XRES ;所述HSS/HLR比較所述XRES和所述RES,如果二者相同,則所述MEI合法,否則,所述 IMEI不合法。
14.如權(quán)利要求11所述的系統(tǒng),其特征在于,所述HSS/HLR直接根據(jù)所述IMEI對應(yīng)的設(shè)備根密鑰檢測所述設(shè)備認證數(shù)據(jù)包括所述HSS/HLR使用所述設(shè)備根密鑰對所述設(shè)備認證數(shù)據(jù)進行解密,得到設(shè)備響應(yīng)RES 和隨機數(shù)RAND ;所述HSS/HLR使用所述RAND,計數(shù)器COUNT值和所述設(shè)備根密鑰作為設(shè)備響應(yīng)生成函數(shù)的輸入,得到期望設(shè)備響應(yīng)XRES ;所述HSS/HLR比較所述XRES和所述RES,如果二者相同,則所述MEI合法,否則,所述 IMEI不合法;其中,所述COUNT與用戶設(shè)備側(cè)的計數(shù)器同步,所述HSS/HLR每檢測一次設(shè)備認證數(shù)據(jù)后,所述COUNT進行一次計數(shù);所述服務(wù)網(wǎng)點標識為當前為所述用戶設(shè)備服務(wù)的網(wǎng)點的標識。
15.一種檢測ncc是否在授權(quán)設(shè)備上使用的方法,其特征在于,包括用戶設(shè)備向核心網(wǎng)節(jié)點發(fā)送附著請求,與所述核心網(wǎng)節(jié)點建立安全連接;所述用戶設(shè)備接收到所述核心網(wǎng)節(jié)點的標識請求消息后,根據(jù)所述用戶設(shè)備的國際移動設(shè)備識別碼頂EI對應(yīng)的設(shè)備根密鑰生成設(shè)備認證數(shù)據(jù),將所述MEI和所述設(shè)備認證數(shù)據(jù)通過標識響應(yīng)消息發(fā)送給所述核心網(wǎng)節(jié)點。
16.如權(quán)利要求15所述的方法,其特征在于,所述用戶設(shè)備根據(jù)所述用戶設(shè)備的IMEI 對應(yīng)的設(shè)備根密鑰生成設(shè)備認證數(shù)據(jù)包括所述用戶設(shè)備直接根據(jù)所述頂EI對應(yīng)的設(shè)備根密鑰生成所述設(shè)備認證數(shù)據(jù);或者,所述用戶設(shè)備根據(jù)所述MEI對應(yīng)的設(shè)備根密鑰生成下級密鑰,根據(jù)所述下級密鑰生成所述設(shè)備認證數(shù)據(jù)。
17.如權(quán)利要求16所述的方法,其特征在于,所述用戶設(shè)備根據(jù)所述設(shè)備根密鑰生成下級密鑰包括所述用戶設(shè)備使用所述設(shè)備根密鑰、計數(shù)器COUNT值、服務(wù)網(wǎng)點標識作為輸入,生成所述下級密鑰;其中,所述COUNT與網(wǎng)絡(luò)側(cè)的計數(shù)器同步,所述用戶設(shè)備每產(chǎn)生一個設(shè)備認證數(shù)據(jù),所述COUNT進行一次計數(shù);所述服務(wù)網(wǎng)點標識為當前為所述用戶設(shè)備服務(wù)的網(wǎng)點的標識。
18.如權(quán)利要求17所述的方法,其特征在于,所述用戶設(shè)備根據(jù)所述下級密鑰生成設(shè)備認證數(shù)據(jù)包括所述用戶設(shè)備生成隨機數(shù)RAND ;所述用戶設(shè)備以所述隨機數(shù)RAND、所述COUNT值和所述下級密鑰為設(shè)備響應(yīng)生成函數(shù)的輸入,生成設(shè)備響應(yīng)RES ;所述用戶設(shè)備使用所述下級密鑰對所述RES和RAND進行加密,生成所述設(shè)備認證數(shù)據(jù)。
19.如權(quán)利要求16所述的方法,其特征在于,所述用戶設(shè)備直接根據(jù)所述IMEI對應(yīng)的設(shè)備根密鑰生成所述設(shè)備認證數(shù)據(jù)包括所述用戶設(shè)備生成隨機數(shù)RAND ;所述用戶設(shè)備以所述隨機數(shù)RAND、計數(shù)器COUNT值和所述設(shè)備根密鑰作為設(shè)備響應(yīng)生成函數(shù)的輸入,生成設(shè)備響應(yīng)RES ;所述用戶設(shè)備使用所述設(shè)備根密鑰對所述RES和RAND進行加密,生成所述設(shè)備認證數(shù)據(jù);所述COUNT與網(wǎng)絡(luò)側(cè)的計數(shù)器同步,所述用戶設(shè)備每產(chǎn)生一個設(shè)備認證數(shù)據(jù),所述 COUNT進行一次計數(shù)。
20.如權(quán)利要求15至19任一所述的方法,其特征在于,所述設(shè)備根密鑰保存在所述用戶設(shè)備的安全組件中,且禁止將所述設(shè)備根密鑰讀出所述安全組件。
21.一種用戶設(shè)備,其特征在于,包括附著單元,用于向核心網(wǎng)節(jié)點發(fā)送附著請求,與所述核心網(wǎng)節(jié)點建立安全連接;設(shè)備認證數(shù)據(jù)生成單元,用于接收到所述核心網(wǎng)節(jié)點的標識請求消息后,根據(jù)所述用戶設(shè)備的國際移動設(shè)備識別碼頂EI對應(yīng)的設(shè)備根密鑰生成設(shè)備認證數(shù)據(jù);發(fā)送單元,用于將所述MEI和所述設(shè)備認證數(shù)據(jù)通過標識響應(yīng)消息發(fā)送給所述核心網(wǎng)節(jié)點。
22.如權(quán)利要求21所述的用戶設(shè)備,其特征在于,所述設(shè)備認證數(shù)據(jù)生成單元根據(jù)所述用戶設(shè)備的MEI對應(yīng)的設(shè)備根密鑰生成設(shè)備認證數(shù)據(jù)包括直接根據(jù)所述頂EI對應(yīng)的設(shè)備根密鑰生成所述設(shè)備認證數(shù)據(jù);或者,根據(jù)所述頂EI對應(yīng)的設(shè)備根密鑰生成下級密鑰,根據(jù)所述下級密鑰生成所述設(shè)備認證數(shù)據(jù)。
23.如權(quán)利要求22所述的用戶設(shè)備,其特征在于,所述用戶設(shè)備還包括計數(shù)器COUNT, 與網(wǎng)絡(luò)側(cè)的計數(shù)器同步,用于當所述設(shè)備認證數(shù)據(jù)生成單元每產(chǎn)生一個設(shè)備認證數(shù)據(jù),進行一次計數(shù);所述設(shè)備認證數(shù)據(jù)生成單元根據(jù)所述設(shè)備根密鑰生成下級密鑰包括使用所述設(shè)備根密鑰、計數(shù)器COUNT值、服務(wù)網(wǎng)點標識作為輸入,生成所述下級密鑰; 所述服務(wù)網(wǎng)點標識為當前為所述用戶設(shè)備服務(wù)的網(wǎng)點的標識。
24.如權(quán)利要求23所述的用戶設(shè)備,其特征在于,所述設(shè)備認證數(shù)據(jù)生成單元根據(jù)所述下級密鑰生成設(shè)備認證數(shù)據(jù)包括生成隨機數(shù)RAND ;以所述隨機數(shù)RAND、所述COUNT值和所述下級密鑰為設(shè)備響應(yīng)生成函數(shù)的輸入,生成設(shè)備響應(yīng)RES ;使用所述下級密鑰對所述RES和RAND進行加密,生成所述設(shè)備認證數(shù)據(jù)。
25.如權(quán)利要求22所述的用戶設(shè)備,其特征在于,所述用戶設(shè)備還包括計數(shù)器COUNT,與網(wǎng)絡(luò)側(cè)的計數(shù)器同步,用于所述設(shè)備認證數(shù)據(jù)生成單元每產(chǎn)生一個設(shè)備認證數(shù)據(jù),進行一次計數(shù);所述設(shè)備認證數(shù)據(jù)生成單元直接根據(jù)所述MEI對應(yīng)的設(shè)備根密鑰生成所述設(shè)備認證數(shù)據(jù)包括生成隨機數(shù)RAND ;以所述隨機數(shù)RAND、計數(shù)器COUNT值和所述設(shè)備根密鑰作為設(shè)備響應(yīng)生成函數(shù)的輸入,生成設(shè)備響應(yīng)RES ;使用所述設(shè)備根密鑰對所述RES和RAND進行加密,生成所述設(shè)備認證數(shù)據(jù)。
26.如權(quán)利要求21至25任一所述的用戶設(shè)備,其特征在于,所述用戶設(shè)備還包括安全組件,用于存儲所述設(shè)備根密鑰,且禁止將所述設(shè)備根密鑰讀出所述安全組件。
全文摘要
本發(fā)明還提供一種檢測UICC是否在授權(quán)設(shè)備上使用的方法,包括核心網(wǎng)節(jié)點接收到用戶設(shè)備的附著請求后,與其建立安全連接,向用戶設(shè)備發(fā)送標識請求消息,接收所述用戶設(shè)備返回的國際移動設(shè)備識別碼IMEI和設(shè)備認證數(shù)據(jù),將所述IMEI、所述用戶設(shè)備上的通用集成電路卡的國際移動用戶識別碼IMSI和所述設(shè)備認證數(shù)據(jù)通過更新位置請求發(fā)送給HSS/HLR;HSS/HLR進行如下檢測檢測所述IMEI和IMSI是否為授權(quán)的IMEI/IMSI對,和/或,根據(jù)IMEI對應(yīng)的設(shè)備根密鑰檢測所述設(shè)備認證數(shù)據(jù),判斷IMEI是否合法。本發(fā)明還提供一種檢測UICC是否在授權(quán)設(shè)備上使用的系統(tǒng)和一種用戶設(shè)備。
文檔編號H04W12/04GK102595400SQ201210072649
公開日2012年7月18日 申請日期2012年3月19日 優(yōu)先權(quán)日2012年3月19日
發(fā)明者余萬濤, 曹嵐健 申請人:中興通訊股份有限公司