[发明专利]SIM卡使用UMTS终端和UMTS系统时终端认证网络的系统和方法

说明书

技术领域

本发明涉及全球移动通信系统(以下简称为GSM)的用户身份模块(以下简称SIM卡)使用通用移动通信系统地面无线接入(以下简称UMTS，又称为宽带码分多址，以下简称WCDMA)终端或者GSM与WCDMA双模终端并使用WCDMA系统时，实现终端认证网络的方法和装置。

背景技术

在当前的GSM或者通用分组无线业务(以下简称GPRS)系统中，对于每一用户，分别在归属位置寄存器(以下简称为HLR)或者认证中心(以下简称为AUC)和用户的SIM卡中保存用户的根密钥(以下用Ki来表示)和两个认证加密算法(以下用A3，A8来表示)。GSM/GPRS系统中的认证机制如图1所示，具体过程如下：

101 移动交换机(以下简称为MSC)或者GPRS服务支持节点(以下简称为SGSN)向HLR/AuC发送认证请求；

102 HLR/AuC中有一随机数产生器，产生一个随机数RAND，根据两个输入参数RAND和Ki，使用算法A3，A8生成两个输出参数XRES和Kc。然后，把三元组{RAND，XRES，Kc}通过认证相应消息回送给MSC/SGSN；

103 MSC/SGSN把三元组中的随机数参数RAND发送给终端；

104 终端再把RAND传送给SIM卡，SIM卡中的A3，A8算法根据输入的RAND和Ki计算生成RES和Kc。然后通过认证响应消息把RES发送到MSC/SGSN。MSC/SGSN比较RES和XRES，如果相同，则通过认证，用户可以接入此网络。否则，则不通过认证，网络拒绝此用户的接入。

从以上过程可以看出，在GSM/GPRS系统中，只提供了单向认证的机制，即只有网络认证用户，但用户不认证网络，这样，就存在着被伪造基站攻击的安全漏洞。

在GSM/GPRS进一步演进的WCDMA系统中，就吸取了GSM/GPRS系统的经验教训，增强其安全功能。提供了双向认证的机制。即不仅有网络认证用户的功能，而且也增加了用户认证网络的机制，从而就防止了在GSM/GPRS系统存在的被伪造基站攻击的安全漏洞。WCDMA系统中的具体认证机制请参见图2所示，其认证过程如下：

201 WCDMA系统中的MSC或者SGSN向WCDMA系统中的HLR/AuC发送认证请求；如没有特别说明，如下步骤中所说的MSC/SGSN均指的是WCDMA系统中的MSC/SGSN；

202 HLR/AuC中有一随机数产生器，产生一个随机数RAND，另外，HLR/AuC还有一序列号产生器，产生一个序列号SQN，根据三个输入参数RAND，SQN和认证管理域参数AMF，HLR/AuC中的f1-f5函数生成5个输出参数：

(1)XRES：期望的认证响应；

(2)CK：加密密钥；

(3)IK：完整性密钥；

(4)AK：匿名密钥；

(5)MAC：消息认证码

HLR/AuC向MSC/SGSN把没有被使用过的五元组{RAND，XRES，CK，IK，AUTN}参数通过认证响应消息发送给MSC/SGSN，其中，认证令牌参数AUTN＝SQNAK||AMF||MAC，表达式中的为异或运算，||为串连。

203 MSC/SGSN向终端发送认证请求消息，把五元组中两个参数RAND和AUTN发送给终端；

204终端再把RAND和AUTN传送给用户服务识别模块(USIM：UserService Identity Module，以下简称为USIM卡)，首先，USIM卡利用f1函数验证MAC，然后使用f5函数从AUTN中把SQN解出来，并验证SQN是否为最新的序列号。若是，则网络通过终端的认证，否则，网络则没有通过终端的认证。WCDMA系统中继续沿用了GSM/GPRS中的网络认证终端的机制，即在USIM卡计算生成RES，通过认证响应发送到MSC/SGSN，MSC/SGSN比较RES与XRES，若相同，则终端通过网络的认证，否则，终端则没有通过网络的认证。

从以上WCDMA系统的认证过程可以看出，在WCDMA系统中所提供的是双向认证的机制，即不仅要网络通过终端的认证，而且终端通过网络的认证的情况下，才允许用户接入到系统并继续所申请的业务。从而弥补了在GSM/GPRS系统中潜在的被伪造基站攻击的安全漏洞。