技術(shù)領(lǐng)域

本發(fā)明涉及移動(dòng)通信領(lǐng)域，特別涉及用戶設(shè)備的接入技術(shù)。

背景技術(shù)

隨著移動(dòng)通信之業(yè)務(wù)不斷豐富，移動(dòng)通信系統(tǒng)將走向愈加開放的趨勢， 因此對數(shù)據(jù)安全的要求就更高，主要體現(xiàn)在身份認(rèn)證、授權(quán)、數(shù)據(jù)保密、健 壯性等幾個(gè)方面。

在保護(hù)信息安全的手段中，密碼技術(shù)是主要手段之一，不僅可以保證信 息的機(jī)密性，而且可以保證信息的完整性和確定性，防止信息被篡改、偽造 和假冒。一個(gè)密碼體制由明文信源、密文、密鑰與加密運(yùn)算這四個(gè)基本要素 構(gòu)成。直觀地講，明文信源就是明文字母表或者明文字母，密文就是指加密 后的信息；而密鑰是用來從密碼體制的一組加密運(yùn)算中選擇一個(gè)加密運(yùn)算， 密鑰允許你按照以前制定的規(guī)則改變加密，加密方法的組合復(fù)雜度取決于在 此方法下密鑰的數(shù)量。密碼體制有對稱密鑰密碼技術(shù)和非對稱密鑰密碼技術(shù)， 對稱密鑰密碼技術(shù)要求加密解密雙方擁有相同的密鑰。而非對稱密鑰密碼技 術(shù)是加密解密雙方擁有不相同的密鑰，加密密鑰和解密密鑰是不能相互算出 的。

在專利號為5,864,667的美國專利中，也公開了一種將公私鑰體制應(yīng) 用在安全通信中的方法，通過分發(fā)包括公鑰和私鑰在內(nèi)的密鑰來建立安全鏈 接。

由于目前在2G/3G移動(dòng)通信網(wǎng)絡(luò)中，在終端開機(jī)attach(附著)網(wǎng)絡(luò)及 網(wǎng)絡(luò)發(fā)起identity?request(身份驗(yàn)證請求)的時(shí)候，由于標(biāo)識(shí)終端身份的國際 移動(dòng)臺(tái)識(shí)別號碼(International?Mobile?Station?Identity，簡稱“IMSI”)在空 中明文傳輸，因此存在終端身份暴露的漏洞，從而可能會(huì)導(dǎo)致被跟蹤、竊聽、 信息截取或被DOS攻擊，甚至偽造終端攻擊網(wǎng)絡(luò)的情況。另外，由于終端在 開機(jī)或掉網(wǎng)而發(fā)起找網(wǎng)時(shí)，由于沒有鑒權(quán)網(wǎng)絡(luò)的機(jī)制，因此存在終端被欺騙 接入偽網(wǎng)絡(luò)的漏洞。

發(fā)明內(nèi)容

本發(fā)明的目的在于提供一種用戶設(shè)備接入網(wǎng)絡(luò)時(shí)的認(rèn)證方法、用戶設(shè)備 及基站，解決終端被欺騙而接入偽網(wǎng)絡(luò)的安全隱患的問題。

為解決上述技術(shù)問題，本發(fā)明的實(shí)施方式提供了一種用戶設(shè)備接入網(wǎng)絡(luò) 時(shí)的認(rèn)證方法，包括以下步驟：

用戶設(shè)備從基站廣播中接收基站標(biāo)識(shí)信息及證書，該證書由認(rèn)證中心使 用其私鑰將包括基站標(biāo)識(shí)信息在內(nèi)的信息加密而成；

以用戶設(shè)備中預(yù)先設(shè)置的認(rèn)證中心的公鑰對證書進(jìn)行解密，并以基站標(biāo) 識(shí)信息對該證書的解密結(jié)果進(jìn)行驗(yàn)證；

如驗(yàn)證通過則認(rèn)定基站合法。

本發(fā)明的實(shí)施方式還提供了一種用戶設(shè)備，包括：

接收單元，用于從基站廣播中接收基站標(biāo)識(shí)信息及證書，該證書由認(rèn)證 中心用其私鑰對包括基站標(biāo)識(shí)信息在內(nèi)的信息加密而成；

存貯單元，用于保存認(rèn)證中心的公鑰；

解密單元，用于以存貯單元所保存的認(rèn)證中心的公鑰對接收單元接收到 的證書進(jìn)行解密；

驗(yàn)證單元，用于以接收單元接收到的基站標(biāo)識(shí)信息對解密單元的解密結(jié) 果進(jìn)行驗(yàn)證，如驗(yàn)證通過則認(rèn)定基站合法。

本發(fā)明的實(shí)施方式還提供了一種基站，包括：

存貯單元，用于保存證書，該證書由認(rèn)證中心使用其私鑰對包括基站標(biāo) 識(shí)信息在內(nèi)的信息加密而成；

發(fā)送單元，用于廣播基站的基站標(biāo)識(shí)信息和存貯單元中所保存的證書。

本發(fā)明實(shí)施方式與現(xiàn)有技術(shù)相比，主要區(qū)別及其效果在于：

基站廣播基站標(biāo)識(shí)信息及證書，該證書由CA用其私鑰對基站標(biāo)識(shí)信息 等信息加密而成，UE通過對證書的驗(yàn)證認(rèn)定基站的合法性，因?yàn)閭位緹o 法獲得CA的證書，所以可以鑒別網(wǎng)絡(luò)的真?zhèn)巍?

進(jìn)一步地，基站還廣播基站的公鑰，UE收到該公鑰后以該公鑰加密 IMSI，并在接入時(shí)向基站發(fā)送經(jīng)該公鑰加密的IMSI，從而使終端身份IMSI 在空中以密文傳送，保護(hù)了終端身份。

更進(jìn)一步地，可以先對基站標(biāo)識(shí)信息和基站的公鑰進(jìn)行運(yùn)算操作，再用 CA的私鑰對運(yùn)算結(jié)果進(jìn)行加密得到證書。因?yàn)樽C書中包含了基站標(biāo)識(shí)信息 和基站的公鑰兩方面的信息，所以UE通過對證書的驗(yàn)證，可以核實(shí)基站標(biāo) 識(shí)信息和基站的公鑰兩個(gè)信息的正確性。如果攻擊者只是復(fù)制了基站的廣播 信息再播放出來，則因?yàn)閁E發(fā)送的IMS是用基站的公鑰進(jìn)行加密的，所以 攻擊者依然無法得到UE的IMSI，無法進(jìn)一步地與UE正常交互。