[发明专利]双向认证的方法、系统及装置

说明书

技术领域

本发明涉及通信技术领域，特别涉及一种双向认证的方法、系统及装置。

背景技术

在2G(第二代)通信时代，在中国乃至全球所广泛使用的GSM(GlobalSystem for Mobile Communications，全球移动通讯系统)标准和技术只能实现单向认证的功能，即只能实现网络认证手机，而手机不能认证网络，通俗地说，就是说只能是网络来判断手机用户是否为合法用户，而用户是无法判断网络是否是合法的网络，这样就存在被假基站攻击的危险。基于此，3GPP(3^rd Generation Partnership Project，第三代伙伴组织计划)在制定3G(包括WCDMA，TD-SCDMA)安全标准的时候，就吸取了上述不足，由3元组增强到了5元组，并增加了用户认证网络的机制从而实现了双向认证。但是其前提是3G的手机用户(3G的USIM(Universal SubscriberIdentity Module，全球用户身份模块)卡)使用3G的网络。但是在中国，特别是在3G商用初期或者很长的一段时间，由于各种原因，将会出现大量的2G用户使用3G网络的情况。这将把GSM的安全漏洞带入到TD-SCDMA网络中，也就是说尽管TD-SCDMA网络和ME(Mobile Equipment，移动设备)能提供双向认证的功能，但是由于仍然使用2G的SIM，而2G的SIM上只有基于三元组的密码算法，是没有TD-SCDMA中基于五元组的算法的，所以在这种情况下，只能使用GSM中基于三元组的认证机制，即只能实现网络认证手机，不能实现手机认证网络。同样，对于中国电信所商用的WCDMA网络，广大的2G用户所使用的话，也同样存在问题。

以前广泛使用的都是宏基站，成本一般都很高，想要做假基站代价很大，然而随着基站的进一步的小型化，成本越来越低，如家庭基站等，成本就非常低，这就为假基站的制造提供了很大的可能；另外，目前市面上可以的买到的“手机屏蔽器”稍微修改也容易做成假基站。这样通过假基站等的“中间人攻击”，就可以监听或者截获合法用户的通信，一旦假基站泛滥的话，将会对网络的安全及其用户的隐私造成很大的侵犯。

为了解决以上问题，现有技术中提出了两种方式解决上述问题：

方式一，

如图1所示，为现有技术中SIM卡使用WCDMA的ME或者GSM/WCDMA双模ME时实现ME认证网络的过程。具体实施过程如下：

步骤601，在某一个具体流程中，如WCDMAME或者GSM/WCDMA并接入WCDMA网络时的呼叫建立流程，位置区/路由区更新等，若运营商需要认证过程，则WCDMA系统中MSC/SGSN向此SIM卡用户的HLR(Home Location Register，归属位置寄存器)或者AuC(Authenticationcenter，认证中心)发送认证请求，这里的HLR/AuC可以为GSM系统的HLR/AuC，也可以是GSM与WCDMA共用的HLR/AuC。

步骤602，与GSM/GPRS系统中一样，HLR/AuC中有一随机数产生器，产生一个随机数RAND，根据两个输入参数RAND和Ki，使用算法A3，A8生成两个输出参数XRES和Kc。然后，把三元组{RAND，XRES，Kc}通过认证相应消息回送给WCDMA系统中拜访地的MSC/SGSN。

步骤603，对于SIM卡用户，WCDMA系统中拜访地的MSC/SGSN除了根据Kc生成WCDMA的空中接口所使用的完整性保护密钥IK和加密密钥CK之外，对参数AUTN不做处理。由于AUTN在现有的3GPP标准接口中已有定义，只不过为一可选参数。为易于实施与使用，该发明本着尽量不增加现有3GPP标准接口消息和参数的原则，而是充分利用AUTN参数来实现。从HLR/AuC所发送过来的三元组中取出Kc交给鉴权单元进行处理，鉴权单元中的单向函数根据一个64位输入参数Kc(或者根据Kc衍生的其他输入参数)和其他输入参数(实施者自行设定，也可以没有其他参数)通过计算生成一个128位的输出参数，用此参数代替现有3GPP标准中的AUTN进行传送和处理。当然，实施者可以自行设定除AUTN之外的其他输出参数，也可以没有其他输出参数。

步骤604，WCDMA系统中的MSC/SGSN把从HLR/AuC处得到的随机数RAND和步骤603中所计算得到的AUTN参数通过现有的3GPP标准消息发送给WCDMA的ME或者GSM/WCDMA双模ME；

步骤605，WCDMA的ME或者GSM/WCDMA双模ME收到后，把其中的随机数参数RAND发送给所使用的SIM卡；