[发明专利]一种通信系统的鉴权方法和装置

说明书

本申请公开了一种通信系统的鉴权方法和装置。本申请的鉴权方法，包括：在SIM卡接入鉴权时，根据SIM卡所绑定终端的IMEI判断SIM卡侧存储的KI值是否需要更新；若KI值需要更新，根据SIM卡曾经绑定终端的IMEI更新KI值，得到待验证KI值；根据从网络侧接收到的鉴权参数对待验证KI值进行验证；根据验证结果确定SIM卡状态，根据SIM卡状态完成最终鉴权。本申请的技术方案通过更新KI值可以完善SIM卡的接入鉴权，避免非法SIM卡的非法入网。

技术领域

本申请涉及通信安全技术领域，尤其涉及一种通信系统的鉴权方法和装置。

背景技术

随着移动系统的覆盖范围越来越大，用户接入系统的数目越来越多，服务提供商提供的服务多元化发展，使得网络的负载程度不断提高，如何保证网络和业务信息的安全是一个当前迫切需要解决的问题。

在移动通信系统中，为了保证运营业务的安全性，网络侧需要对接入的用户设备(User Equipment，UE)进行鉴权处理，使得非法UE无法得到网络侧提供的服务，保障运营商的利益；同时，UE也需要验证网络侧发送的鉴权信息是否有效，即UE对网络侧进行鉴权处理，防止非法网络侧利用合法网络侧已经使用过的鉴权信息对UE进行重放攻击，使UE相信该非法网络侧合法。

现有长期演进(Long Term Evolved，LTE)网络系统中，UE和演进的基站(E-UTRANNode B，eNB)之间的空口链路是单跳的，采用演进的分组系统(Evoled Packet System，EPS)认证和秘钥协商(Authentication and Key Agreement，AKA)协议来完成用户和网络侧的鉴权过程，即包括身份认证和秘钥协商的处理，其实现的基础是用户和网络侧预共享一个永久性对称秘钥。整个鉴权过程包含在一个鉴权处理中进行，并且采用鉴权元组的方式来进行认证。鉴权元组包括：随机数(RAND)、期望响应(Expected user Response，XRES)、加密秘钥(Cipher Key，CK)、完整性秘钥(Integrity Key，IK)和鉴权令牌(Authenticationtoken，AUTN)，其中XRES、CK和IK是由用户永久标识(SUbscription PermanentIdentifier，SUPI)对应的鉴权秘钥(Key Identifier，KI)派生的，AUTN进一步包括鉴权序列号(Sequence Number，SQN)、鉴权管理域(Authentication Management Field，AMF)和消息鉴权编码(Message Authentication Code，MAC)三个部分。

在SIM卡接入网络侧的鉴权处理流程中，相关技术需要使用KI值完成SIM与网络侧的双向鉴权。但在制造商制作SIM卡时，会把包括KI、运营商可变算法配置域(OperatorVariant Algorithm Configuration Field，OP)、国际移动用户标识(IMSI)等鉴权信息分别写入网络侧与SIM卡中，写入后的这些鉴权信息不会更新。那么，SIM卡一旦被非法克隆，就可能被破解出KI值，克隆卡就可以完成接入鉴权，从而对用户个人隐私和财产造成侵害，并影响到运营商的服务质量。

发明内容

本申请的目的旨在至少能解决上述的技术缺陷之一，特提出以下技术方案，通过更新KI值完善SIM卡的接入鉴权，避免非法SIM卡非法入网。

本申请实施例采用下述技术方案：

本申请的一方面，提供一种通信系统的鉴权方法，应用于SIM卡侧，该鉴权方法包括：在SIM卡接入鉴权时，根据SIM卡所绑定终端的IMEI判断SIM卡侧存储的KI值是否需要更新；若KI值需要更新，根据SIM卡曾经绑定终端的IMEI更新KI值，得到待验证KI值；根据从网络侧接收到的鉴权参数对待验证KI值进行验证；根据验证结果确定SIM卡状态，根据SIM卡状态完成最终鉴权。