一种绑定认证的方法、系统和装置.pdf

本发明实施例公开了一种绑定认证的方法、系统和装置，所述绑定认证的方法包括：接收网络侧设备发送的用户侧网络接入设备的标识和用户侧网络接入设备发送的所述用户侧网络接入设备的标识；将所述网络侧设备发送的所述用户侧网络接入设备的标识与所述用户侧网络接入设备发送的所述用户侧网络接入设备的标识进行对比；当所述网络侧设备发送的所述用户侧网络接入设备的标识与所述用户侧网络接入设备发送的所述用户侧网络接入设备的标识一致时，确定所述用户侧网络接入设备是与所述用户侧网络接入设备中插入的用户标识卡绑定的合法设备。本发明实施例实现了对用户侧网络接入设备和该用户侧网络接入设备中插入的用户标识卡的绑定认证。

1、  一种绑定认证的方法，其特征在于，包括：
接收网络侧设备发送的用户侧网络接入设备的标识和用户侧网络接入设备发送的所述用户侧网络接入设备的标识；
将所述网络侧设备发送的所述用户侧网络接入设备的标识与所述用户侧网络接入设备发送的所述用户侧网络接入设备的标识进行对比；
当所述网络侧设备发送的所述用户侧网络接入设备的标识与所述用户侧网络接入设备发送的所述用户侧网络接入设备的标识一致时，确定所述用户侧网络接入设备是与所述用户侧网络接入设备中插入的用户标识卡绑定的合法设备。

2、  如权利要求1所述绑定认证的方法，其特征在于，所述网络侧设备保存所述用户侧网络接入设备的标识和所述用户侧网络接入设备中插入的用户标识卡的国际移动用户标识IMSI的对应关系列表。

3、  如权利要求2所述绑定认证的方法，其特征在于，在所述网络侧设备发送用户侧网络接入设备的标识之前，还包括：
所述网络侧设备根据所述用户侧网络接入设备发送的所述用户侧网络接入设备中插入的用户标识卡的国际移动用户标识IMSI，在所述对应关系列表中查找所述用户侧网络接入设备的标识。

4、  如权利要求1所述绑定认证的方法，其特征在于，所述用户侧网络接入设备发送的所述用户侧网络接入设备的标识具体包括：
所述用户侧网络接入设备中的用户标识卡利用永久性共享密钥加密所述用户侧网络接入设备的标识，并将加密后的用户侧网络接入设备的标识和所述用户标识卡的IMSI发送给所述用户侧网络接入设备。

5、  如权利要求4所述绑定认证的方法，其特征在于，所述网络侧设备发送的用户侧网络接入设备的标识具体包括：
所述网络侧设备根据所述用户侧网络接入设备通过认证网元发送的所述用户标识卡的IMSI，查找永久性共享密钥和所述IMSI对应的用户侧网络接入设备的标识，并利用所述永久性共享密钥加密所述IMSI对应的用户侧网络接入设备的标识。

6、  如权利要求4或5所述绑定认证的方法，其特征在于，所述将网络侧设备发送的所述用户侧网络接入设备的标识与所述用户侧网络接入设备发送的所述用户侧网络接入设备的标识进行对比具体包括：
将所述网络侧设备发送的利用所述永久性共享密钥加密的用户侧网络接入设备的标识与所述用户侧网络接入设备发送的利用所述永久性共享密钥加密的用户侧网络接入设备的标识进行对比。

7、  如权利要求4所述绑定认证的方法，其特征在于，在所述用户侧网络接入设备中的用户标识卡利用永久性共享密钥加密所述用户侧网络接入设备的标识之前，还包括：
所述用户侧网络接入设备中的用户标识卡利用公钥对所述用户侧网络接入设备利用私钥签名后的用户侧网络接入设备的标识进行验证，验证通过后，获取所述用户侧网络接入设备的标识，所述公钥和所述私钥一一对应。

8、  如权利要求1所述绑定认证的方法，其特征在于，所述接收网络侧设备发送的用户侧网络接入设备的标识具体包括：
接收所述网络侧设备发送的利用加密密钥加密的用户侧网络接入设备的标识，所述加密密钥携带在所述网络侧设备根据认证和密钥协商AKA计算的认证向量组中。

9、  如权利要求8所述绑定认证的方法，其特征在于，在所述接收所述网络侧设备发送的用加密密钥加密的用户侧网络接入设备的标识和根据AKA计算的认证向量组之后，还包括：
保存所述用加密密钥加密的用户侧网络接入设备的标识，并向所述用户侧网络接入设备转发所述认证向量组中的随机数和认证令牌AUTN。

10、  如权利要求9所述绑定认证的方法，其特征在于，所述用户侧网络接入设备发送的所述用户侧网络接入设备的标识具体包括：
所述用户侧网络接入设备根据所述认证向量组中的随机数和AUTN计算加密密钥，并利用所述加密密钥加密所述用户侧网络接入设备的标识。

11、  如权利要求8或9所述绑定认证的方法，其特征在于，所述将所述网络侧设备发送的所述用户侧网络接入设备的标识与所述用户侧网络接入设备发送的所述用户侧网络接入设备的标识进行对比具体包括：
将所述网络侧设备发送的利用所述加密密钥加密的用户侧网络接入设备的标识与所述用户侧网络接入设备发送的利用所述加密密钥加密的用户侧网络接入设备的标识进行对比。

12、  如权利要求1所述绑定认证的方法，其特征在于，所述用户侧网络接入设备的标识的类型包括：所述用户侧网络接入设备的设备标识码EI，或所述用户侧网络接入设备的媒体接入控制MAC地址，或所述用户侧网络接入设备的数字证书；
所述用户标识卡的类型包括：用户标识模块SIM卡，或通用移动通信系统用户标识模块USIM卡；
所述网络侧设备的类型包括归属位置寄存器HLR，所述用户侧网络接入设备的类型包括家用基站。

13、  如权利要求1所述绑定认证的方法，其特征在于，还包括：
判断所述用户侧网络接入设备发送的响应RES和所述网络侧设备发送的认证向量组中的期望响应XRES是否一致；
如果一致，则确定所述用户侧网络接入设备中插入的用户标识卡的身份合法。

14、  一种网络系统，其特征在于，包括：
用户侧网络接入设备，用于发送所述用户侧网络接入设备的标识；
网络侧设备，用于发送所述用户侧网络接入设备的标识；
认证网元，用于接收所述用户侧网络接入设备发送的用户侧网络接入设备的标识和所述网络侧设备发送的用户侧网络接入设备的标识，当所述网络侧设备发送的所述用户侧网络接入设备的标识与所述用户侧网络接入设备发送的所述用户侧网络接入设备的标识一致时，确定所述用户侧网络接入设备是与所述用户侧网络接入设备中插入的用户标识卡绑定的合法设备。

15、  如权利要求14所述网络系统，其特征在于，所述网络侧设备的类型包括归属位置寄存器HLR，所述用户侧网络接入设备的类型包括家用基站。

16、  一种认证网元，其特征在于，包括：
接收模块，用于接收用户侧网络接入设备发送的用户侧网络接入设备的标识和网络侧设备发送的用户侧网络接入设备的标识；
对比模块，用于将所述接收模块接收的所述网络侧设备发送的用户侧网络接入设备的标识与所述用户侧网络接入设备发送的所述用户侧网络接入设备的标识进行对比；
合法性认证模块，用于当所述对比模块确定所述网络侧设备发送的所述用户侧网络接入设备的标识与所述用户侧网络接入设备发送的所述用户侧网络接入设备的标识一致时，确定所述用户侧网络接入设备是与所述用户侧网络接入设备中插入的用户标识卡绑定的合法设备。

17、  如权利要求16所述认证网元，其特征在于，所述对比模块具体为加密对比模块，用于将所述网络侧设备发送的利用永久性共享密钥或加密密钥加密的用户侧网络接入设备的标识与所述用户侧网络接入设备发送的利用永久性共享密钥或加密密钥加密的用户侧网络接入设备的标识进行对比。

18、  一种网络设备，其特征在于，包括：
保存模块，用于保存用户侧网络接入设备的标识和所述用户侧网络接入设备中插入的用户标识卡的国际移动用户标识IMSI的对应关系；
标识查找模块，用于根据所述用户标识卡的IMSI在所述保存模块保存的对应关系中查找所述用户侧网络接入设备的标识；
发送模块，用于将所述标识查找模块查找到的所述用户侧网络接入设备的标识发送给认证网元。

19、  如权利要求18所述网络设备，其特征在于，还包括：
加密模块，用于利用加密密钥或永久性共享密钥加密所述用户侧网络接入设备的标识。

20、  一种网络设备，其特征在于，包括：
标识获取模块，用于获取本用户侧网络接入设备的标识；
发送模块，用于向认证网元发送所述获取模块获取的用户侧网络接入设备的标识。

21、  如权利要求20所述网络设备，其特征在于，还包括：
标识加密模块，用于利用加密密钥或永久性共享密钥加密所述标识获取模块获取的网络设备的标识。

22、  如权利要求20所述网络设备，其特征在于，还包括：
验证模块，用于利用公钥验证所述用户侧网络接入设备利用私钥签名后的用户侧网络接入设备的标识，所述公钥和所述私钥一一对应，在验证通过后，由所述标识获取模块获取所述用户侧网络接入设备的标识。

23、  一种绑定认证的方法，其特征在于，包括：
接收用户侧网络接入设备发送的利用所述用户侧网络接入设备数字证书的私钥签名后的IMSI数据，所述IMSI数据包括所述用户侧网络接入设备中插入的用户标识卡的IMSI和签名后的IMSI；
利用所述用户侧网络接入设备数字证书的公钥对所述IMSI数据的签名进行验证，在验证通过后，确定所述用户侧网络接入设备是与所述用户侧网络接入设备中插入的用户标识卡绑定的合法设备。

24、  如权利要求23所述绑定认证的方法，其特征在于，在所述利用所述用户侧网络接入设备数字证书的公钥对所述IMSI数据的签名进行验证之前，还包括：
根据所述用户侧网络接入设备中插入的用户标识卡的IMSI，获取所述IMSI对应的用户侧网络接入设备数字证书的公钥。

一种绑定认证的方法、系统和装置
技术领域
本发明实施例涉及通信技术领域，特别涉及一种绑定认证的方法、系统和装置。
背景技术
在无线网络通信系统中，随着因特网的发展以及各种无线业务的广泛应用，用户对于无线网络的带宽、便捷性、成本等方面提出了更高的需求。另一方面，运营商需要充分地利用现有网络的资源，扩大容量，减少成本，更好地为用户提供服务。
为了充分满足上述需求和网络的发展需求，提出了一种家用基站(HomeNodeB)。家用基站是一种家用的微型基站，用户可以在家庭、办公场所等热点覆盖区域布置这种基站，通过因特网接入到移动通信网络，使用户在室内获得比室外更大的带宽、更可靠的服务质量、且更经济的无线通信服务。家用基站的引入，解决了无线数据业务中空口资源的瓶颈问题，使得用户可以享用到高速率、高带宽的网络服务，但应当对请求接入网络的家用基站进行有效地控制。
对于覆盖面积较大的宏基站，一般采用以下方式进行网络节点的接入控制。对于网络节点的布置，大多是由运营商事先规划好，并根据规划好的内容完成网络布置。因此宏基站接入的时间、地点以及接入时的配置对于当前的无线网络来说都是已知的，在宏基站请求接入时，只需要根据网络规划的数据，配置相应的接入参数，便可完成宏基站的接入，无需专门的控制机制。
但家用基站一般在用户向运营商申请业务时，运营商将设备发放到用户手中，自行安装使用。因此当家用基站加电运行，与运营商核心网络建立物理链接后，运营商需要对家用基站进行接入控制，对家用基站进行接入控制的首要步骤就是身份认证。
现有技术提供的一种对家用基站的身份进行认证的方法是利用SIM(Subscriber Identity Module，用户标识模块)或USIM(Universal MobileTelecommunications System Subscriber Identity Module，通用移动通信系统用户标识模块)卡，执行SIM或AKA(Authentication and Key Agreement，认证和密钥协商)认证，其中SIM卡和USIM卡统称(X)SIM卡。具体为：在用户的(X)SIM卡内和在HLR(Home Location Register，用户归属位置寄存器)中的AuC(Authentication Centre，鉴权中心)内有一个一致的Ki，每次用不同的随机数在网络侧生成XRES(Expectation Response，期望响应)，在用户侧生成RES(Response，响应)，以便验证双方的Ki是否一致。将保存在(X)SIM卡中的IMSI(International Mobile Subscriber Identity，国际移动用户标识)发给认证网元。
在实现本发明的过程中，发明人发现现有技术至少存在以下缺点：现有技术对家庭基站的认证其实是对设备内所插入的(X)SIM卡身份的认证，而不是对设备本身的认证。由于(X)SIM卡的可移动性，因此存在这样的问题：合法的卡用在非法的不被运营商信任的设备上，接入运营商核心网，进而盗取业务或发动攻击。
发明内容
本发明实施例提供一种绑定认证的方法、系统和装置，以实现对用户侧网络接入设备和该用户侧网络接入设备中插入的用户标识卡进行绑定认证。
为达到上述目的，本发明实施例一方面提供一种绑定认证的方法，包括：
接收网络侧设备发送的用户侧网络接入设备的标识和用户侧网络接入设备发送的所述用户侧网络接入设备的标识；
将所述网络侧设备发送的所述用户侧网络接入设备的标识与所述用户侧网络接入设备发送的所述用户侧网络接入设备的标识进行对比；
当所述网络侧设备发送的所述用户侧网络接入设备的标识与所述用户侧网络接入设备发送的所述用户侧网络接入设备的标识一致时，确定所述用户侧网络接入设备是与所述用户侧网络接入设备中插入的用户标识卡绑定的合法设备。
另一方面，本发明实施例还提供一种网络系统，包括：
用户侧网络接入设备，用于发送所述用户侧网络接入设备的标识；
网络侧设备，用于发送所述用户侧网络接入设备的标识；
认证网元，用于接收所述用户侧网络接入设备发送的用户侧网络接入设备的标识和所述网络侧设备发送的用户侧网络接入设备的标识，当所述网络侧设备发送的所述用户侧网络接入设备的标识与所述用户侧网络接入设备发送的所述用户侧网络接入设备的标识一致时，确定所述用户侧网络接入设备是与所述用户侧网络接入设备中插入的用户标识卡绑定的合法设备。
再一方面，本发明实施例还提供一种认证网元，包括：
接收模块，用于接收用户侧网络接入设备发送的用户侧网络接入设备的标识和网络侧设备发送的用户侧网络接入设备的标识；
对比模块，用于将所述接收模块接收的所述网络侧设备发送的用户侧网络接入设备的标识与所述用户侧网络接入设备发送的所述用户侧网络接入设备的标识进行对比；
合法性认证模块，用于当所述对比模块确定所述网络侧设备发送的所述用户侧网络接入设备的标识与所述用户侧网络接入设备发送的所述用户侧网络接入设备的标识一致时，确定所述用户侧网络接入设备是与所述用户侧网络接入设备中插入的用户标识卡绑定的合法设备。
再一方面，本发明实施例还提供一种网络设备，包括：
保存模块，用于保存用户侧网络接入设备的标识和所述用户侧网络接入设备中插入的用户标识卡的国际移动用户标识IMSI的对应关系列表；
标识查找模块，用于根据所述用户标识卡的IMSI在所述保存模块保存的对应关系列表中查找所述用户侧网络接入设备的标识；
发送模块，用于将所述标识查找模块查找到的所述用户侧网络接入设备的标识发送给认证网元。
再一方面，本发明实施例还提供一种网络设备，包括：
标识获取模块，用于获取用户侧网络接入设备的标识；
发送模块，用于向认证网元发送所述获取模块获取的用户侧网络接入设备的标识。
再一方面，本发明实施例还提供一种绑定认证的方法，包括：
接收用户侧网络接入设备发送的利用所述用户侧网络接入设备数字证书的私钥签名后的IMSI数据，所述IMSI数据包括所述用户侧网络接入设备中插入的用户标识卡的IMSI和签名后的IMSI；
利用所述用户侧网络接入设备数字证书的公钥对所述IMSI数据的签名进行验证，在验证通过后，确定所述用户侧网络接入设备是与所述用户侧网络接入设备中插入的用户标识卡绑定的合法设备。
与现有技术相比，本发明实施例具有以下优点：通过本发明实施例，当所述网络侧设备发送的所述用户侧网络接入设备的标识与所述用户侧网络接入设备发送的所述用户侧网络接入设备的标识一致时，认证网元确定该用户侧网络接入设备是与该用户侧网络接入设备中插入的用户标识卡绑定的合法设备。本发明实施例不仅可以对用户标识卡的身份进行认证，还可以对用户标识卡所插入的用户侧网络接入设备的合法性进行认证，实现了对用户侧网络接入设备和该用户侧网络接入设备中插入的用户标识卡的绑定认证，使得用户侧网络接入设备中插入的用户标识卡不能被随意更换。
附图说明
为了更清楚地说明本发明实施例的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
图1为本发明实施例绑定认证的方法的流程图；
图2为本发明绑定认证的方法实施例一的流程图；
图3为本发明绑定认证的方法实施例二的流程图；
图4为本发明绑定认证的方法实施例三的流程图；
图5为本发明绑定认证的方法实施例四的流程图；
图6为本发明绑定认证的方法实施例五的流程图；
图7为本发明实施例绑定认证的系统的结构图；
图8为本发明实施例认证网元的结构图；
图9为本发明实施例网络侧设备的一种结构图；
图10为本发明实施例网络侧设备的另一种结构图；
图11为本发明实施例用户侧网络接入设备的一种结构图；
图12为本发明实施例用户侧网络接入设备的另一种结构图。
具体实施方式
下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明的一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
本发明实施例提供一种绑定认证的方法，对用户侧网络接入设备和该用户侧网络接入设备中插入的用户标识卡进行绑定认证，使得用户侧网络接入设备中插入的用户标识卡不能被随意更换。本发明实施例中，绑定认证的执行主体为认证网元，但是本发明实施例并不局限于此，绑定认证的执行主体还可以为HLR等运营商核心网的网络侧功能实体。
如图1所示，为本发明实施例绑定认证的方法的流程图，具体包括：
步骤S101，接收网络侧设备发送的用户侧网络接入设备的标识和用户侧网络接入设备发送的所述用户侧网络接入设备的标识。本发明实施例中，网络侧设备保存用户侧网络接入设备的标识和用户侧网络接入设备中插入的用户标识卡的IMSI的对应关系列表。
在网络侧设备发送用户侧网络接入设备的标识之前，网络侧设备根据用户侧网络接入设备发送的该用户侧网络接入设备中插入的用户标识卡的IMSI在网络侧设备保存的对应关系列表中查找用户侧网络接入设备的标识，然后网络侧设备将用户侧网络接入设备的标识发送给认证网元。
在本发明实施例的一种实现方式中，用户侧网络接入设备中的用户标识卡利用永久性共享密钥K_i加密该用户侧网络接入设备的标识，并将加密后的用户侧网络接入设备的标识和该用户标识卡的IMSI发送给用户侧网络接入设备，由用户侧网络接入设备将利用永久性共享密钥K_i加密的用户侧网络接入设备的标识发送给认证网元。
网络侧设备根据所述用户侧网络接入设备通过认证网元发送的用户标识卡的IMSI，查找永久性共享密钥K_i和所述IMSI对应的用户侧网络接入设备的标识，并利用所述永久性共享密钥加密所述IMSI对应的用户侧网络接入设备的标识，然后网络侧设备将利用永久性共享密钥K_i加密的用户侧网络接入设备的标识发送给认证网元。
优选地，在用户侧网络接入设备中的用户标识卡利用永久性共享密钥加密该用户侧网络接入设备的标识之前，用户侧网络接入设备中的用户标识卡还可以利用公钥对所述用户侧网络接入设备利用私钥签名后的用户侧网络接入设备的标识进行验证，验证通过后，获取该用户侧网络接入设备的标识，所述公钥和所述私钥一一对应。
在本发明实施例的另一种实现方式中，网络侧设备的鉴权中心利用加密密钥对用户侧网络接入设备的标识进行加密，然后网络侧设备将所述利用加密密钥加密的用户侧网络接入设备的标识发送给认证网元，该加密密钥携带在根据AKA计算的认证向量组中。该认证网元保存所述用加密密钥加密的用户侧网络接入设备的标识，并向用户侧网络接入设备转发认证向量组中的随机数和AUTN(Authentication Token，认证令牌)。由该用户侧网络接入设备根据认证向量组中的随机数和AUTN计算加密密钥，并利用该加密密钥加密该用户侧网络接入设备的标识。
步骤S102，将网络侧设备发送的用户侧网络接入设备的标识与用户侧网络接入设备发送的该用户侧网络接入设备的标识进行对比。
具体可以为：认证网元将网络侧设备发送的利用永久性共享密钥加密的用户侧网络接入设备的标识与用户侧网络接入设备发送的利用永久性共享密钥加密的用户侧网络接入设备的标识进行对比；或者，
认证网元将网络侧设备发送的利用加密密钥加密的用户侧网络接入设备的标识与用户侧网络接入设备发送的利用加密密钥加密的用户侧网络接入设备的标识进行对比。
步骤S103，当网络侧设备发送的用户侧网络接入设备的标识与用户侧网络接入设备发送的该用户侧网络接入设备的标识一致时，确定该用户侧网络接入设备是与该用户侧网络接入设备中插入的用户标识卡绑定的合法设备。
其中，本发明实施例中的用户侧网络接入设备的标识可以为用户侧网络接入设备的EI(Equipment Identity，设备标识码)或该用户侧网络接入设备的MAC(MediaAccess Control，媒体接入控制)地址，但本发明实施例并不局限于此，只要用户侧网络接入设备的标识可以唯一标识该用户侧网络接入设备即可。
在本发明实施例中，当网络侧设备发送的用户侧网络接入设备的标识与用户侧网络接入设备发送的该用户侧网络接入设备的标识一致时，还可以进一步判断所述用户侧网络接入设备发送的RES和所述网络侧设备发送的认证向量组中的XRES是否一致，当所述用户侧网络接入设备发送的RES和所述网络侧设备发送的认证向量组中的XRES一致时，确定该用户标识卡的身份合法。
该用户侧网络接入设备发送的RES是用户侧网络接入设备根据认证网元发送的认证向量组中的随机数和永久性共享密钥计算的。
本发明实施例中的用户标识卡可以为SIM卡或USIM卡等移动卡。
上述绑定认证的方法，不仅可以对用户标识卡的身份进行认证，还可以对用户标识卡所插入的用户侧网络接入设备的合法性进行认证，实现了对用户侧网络接入设备和该用户侧网络接入设备中插入的用户标识卡的绑定认证，使得用户侧网络接入设备中插入的用户标识卡不能被随意更换。
本发明实施例以网络侧设备为HLR，用户侧网络接入设备为家用基站为例进行说明，但本发明实施例并不局限于此，该网络侧设备和用户侧网络接入设备还可以为其他设备。本发明实施例将家用基站的EI和(X)SIM卡绑定，也可以将家用基站的MAC(MediaAccess Control，媒体接入控制)地址等信息与(X)SIM卡绑定。
如图2所示，为本发明绑定认证的方法实施例一的流程图，实施例一中，HLR上存储有家用基站的EI与IMSI(International Mobile Subscriber Identity，国际移动用户识别码)的对应关系，该对应关系可以以列表(或其他数据结构)的形式体现，该对应关系列表是用户在向运营商注册业务时，运营商将家用基站和(X)SIM卡发放给用户时生成的。实施例一对家用基站与认证网元建立物理链路后的认证方法进行介绍，具体包括：
步骤S201，家用基站向认证网元发送家用基站的EI和该家用基站中插入的(X)SIM卡的IMSI，向认证网元发起绑定认证申请。
步骤S202，认证网元将IMSI转发给HLR。
步骤S203，HLR根据IMSI计算认证向量组，并根据该IMSI获取该HLR保存的家用基站的EI，将该家用基站的EI和认证向量组一起发送给认证网元。
步骤S204，认证网元对比家用基站发送的该家用基站的EI和HLR发送的该家用基站的EI是否一致。如果一致，则该家用基站是与(X)SIM卡绑定的合法设备，但还需对(X)SIM卡的身份继续进行认证，执行步骤S205；如果从家用基站处接收到的该家用基站的EI和从HLR处接收到的该家用基站的EI不一致，则该家用基站不是与(X)SIM卡绑定的合法设备，断开与该家用基站的链接。
步骤S205，认证网元将认证向量组中的随机数和AUTN发送给家用基站。
步骤S206，家用基站在SIM卡中根据Ki(永久性共享密钥)和接收的随机数计算RES。
步骤S207，家用基站将RES返回给认证网元。
步骤S208，认证网元对比HLR发送的认证向量组中的XRES和家用基站发送的RES是否一致。如果XRES和RES一致，则确定(X)SIM卡是合法的。
上述绑定认证的方法，当HLR发送的家用基站的EI与家用基站发送的该家用基站的EI一致时，认证网元确定该家用基站是与该家用基站中插入的(X)SIM卡绑定的合法设备。在进一步确定HLR发送的认证向量组中的XRES和家用基站发送的RES一致之后，该认证网元确定(X)SIM卡的身份合法。不仅实现了对(X)SIM卡的身份进行认证，还进一步对(X)SIM卡所插入的家用基站的合法性进行认证，从而实现了对家用基站和该家用基站中插入的用户标识卡的绑定认证，使得家用基站中插入的(X)SIM卡不能被随意更换。
如图3所示，为本发明绑定认证的方法实施例二的流程图。实施例二中，HLR上存储有家用基站的EI与IMSI的对应关系列表，该对应关系列表是用户在向运营商注册业务时，运营商将家用基站和(X)SIM卡发放给用户时生成的。实施例二还增加了一个公私钥对，用私钥对家用基站的EI进行签名，将此签名数据写入家用基站，同时将公钥写入(X)SIM卡，私钥可由运营商保管。
在家用基站申请认证前，首先与(X)SIM卡进行一次运算，由(X)SIM卡验证家用基站的EI的签名，然后将明文的EI用Ki加密后输出给家用基站，进行绑定认证时，家用基站发送这个加密的序列号和明文的IMSI给认证网元。
具体包括：
步骤S301，家用基站将用私钥加密后的EI输入到(X)SIM卡。
步骤S302，(X)SIM卡用公钥对加密后的EI进行验证，获取该家用基站的EI，然后用Ki加密该EI。
步骤S303，(X)SIM卡将加密后的EI和IMSI一起输出给家用基站。
步骤S304，家用基站将Ki加密后的该家用基站的EI和IMSI发送到认证网元。
步骤S305，认证网元将家用基站发送的IMSI转发给HLR。
步骤S306，HLR根据IMSI查找Ki和用户开户时对应的家用基站的EI的记录，用Ki加密家用基站的EI。
步骤S307，HLR将Ki加密的家用基站的EI和认证向量组返回给认证网元。
步骤S308，认证网元对比家用基站发送的该家用基站的EI和HLR发送的家用基站的EI。如果家用基站发送的该家用基站的EI和HLR发送的家用基站的EI一致，则该家用基站是与(X)SIM卡绑定的合法设备，但还需继续认证(X)SIM卡的身份。如果家用基站发送的该家用基站的EI和HLR发送的家用基站的EI不一致，则该家用基站不是与(X)SIM卡绑定的合法设备
步骤S309，认证网元将认证向量组中的随机数和AUTN发送给家用基站。
步骤S310，家用基站在(X)SIM卡中用Ki和随机数计算出RES。
步骤S311，(X)SIM卡将RES返回给认证网元。
步骤S312，认证网元对比RES和HLR发送的认证向量组中的XRES是否一致。如果RES和XRES一致，则确定(X)SIM卡的身份是合法的。
实施例二中，家用基站的身份难以伪造，即使已经知道一个合法的家用基站的EI和该家用基站中插入的(X)SIM卡的IMSI，如果没有家用基站利用私钥对EI的签名，也不能通过对设备身份合法性的认证，只有家用基站和该家用基站中插入的(X)SIM卡一起才能完成对家用基站身份合法性的认证。从而实现了对家用基站和该家用基站中插入的用户标识卡的绑定认证，使得家用基站中插入的(X)SIM卡不能被随意更换。当家用基站的用户需要改变对应的(X)SIM卡时，可以向运营商请求更改HLR上的记录，并不影响(X)SIM卡或设备的再次使用。
如图4所示，为本发明绑定认证的方法实施例三的流程图。实施例三中，HLR上存储有家用基站的EI与IMSI的对应关系列表，该对应关系列表是用户在向运营商注册业务时，运营商将家用基站和(X)SIM卡发放给用户时生成的。实施例三是对现有AKA协议的扩展，利用现有的AKA认证机制，增加一个字段对AKA协议进行扩展，实现了对(X)SIM卡和家用基站进行绑定认证。实施例三的核心思想是：使用AKA协议协商出的CK(CryptographicKey，加密密钥)来加密EI。认证网元接收HLR下发的用CK加密的家用基站的EI，和由家用基站发送的用CK加密的该家用基站的EI，并将两者进行比较，如果一致则说明是合法的(X)SIM卡用在了合法的家用基站上。实施例三以(X)SIM卡为USIM卡为例进行说明。
具体包括：
步骤S401，家用基站启动后，通过插入在该家用基站中的USIM，向认证网元发送IMSI，与核心网的HLR上的AuC执行AKA机制。
步骤S402，认证网元将IMSI转发给HLR，请求认证向量组。
步骤S403，HLR上的AuC按照AKA算法产生五元认证向量组，同时用新产生的CK加密该USIM所绑定的家用基站的EI。该家用基站的EI可以由AuC从HLR中根据IMSI读取。
步骤S404，HLR将AKA五元认证向量组与核心网产生的用CK加密的家用基站的EI发给认证网元。
步骤S405，认证网元从AKA五元认证向量组中获得CK和IK(IntegrityKey，完整性密钥)，并保留用CK加密的家用基站的EI，然后将AKA五元认证向量组中的随机数和AUTN转发给家用基站。
步骤S406，家用基站执行AKA认证，如果家用基站的AKA认证通过，再从家用基站中读取家用基站的EI，并用该家用基站推算的CK加密该家用基站的EI。
步骤S407，家用基站将计算出的RES和该家用基站产生的用CK加密的家用基站的EI发送给认证网元。
步骤S408，认证网元对比家用基站发送的随机数响应RES和AuC发送的AKA五元认证向量组中的XRES是否一致，当家用基站发送的随机数响应RES和AuC发送的AKA五元认证向量组中的XRES一致时，确定该家用基站是合法的设备。再比较AuC发送的用CK加密的家用基站的EI和家用基站发送的用CK加密的家用基站的EI，如果AuC发送的用CK加密的家用基站的EI和家用基站发送的用CK加密的家用基站的EI一致，则表明USIM卡插在了正确的家用基站上，并且该家用基站是合法的设备，没有被冒用。
如果在家用基站的归属环境的策略是发多组的认证向量，由认证网元来选择其中的一组认证向量，将该认证向量中的随机数和AUTN转发给家用基站，那么步骤S404中HLR发送IMSI对应的家用基站的EI给认证网元，在认证网元选定认证向量后，用其中的CK加密家用基站的EI，后面的步骤S405～步骤S407与上述实施例相同，在步骤S408中认证网元对比认证网元用选定的认证向量中的CK加密后的家用基站的EI和家用基站发送的用该家用基站推算的CK加密后的该家用基站的EI。
当本发明实施例三用在WLAN(Wireless Local Area Network，无线局域网)或其他网络中时，认证网元应用EAP(Extensible Authentication Protocol，可扩展认证协议)-AKA认证协议进行身份认证，则认证网元可拆分为接入网关和AAA(Authentication Authorization and Accounting，认证、授权和计费)服务器，AAA服务器与HLR之间采用Radius接口进行消息交互，交互的消息用EAP承载。
上述绑定认证的方法，HLR利用CK加密家用基站的EI，并且家用基站也利用CK对家用基站的EI进行加密，然后认证网元根据HLR发送的用CK加密的家用基站的EI和家用基站发送的用CK加密的家用基站的EI对该家用基站的合法性进行认证，实现了对USIM卡插入的家用基站的合法性进行认证，提供了一种对家用基站和该家用基站中插入的用户标识卡进行绑定认证的方法。
本发明实施例除了用在家用基站上，还可以用在手机终端上，实现对手机终端和(X)SIM卡的绑定认证。
如图5所示，为本发明绑定认证的方法实施例四的流程图。具体包括：
步骤S501，家用基站将该家用基站的EI发送到(X)SIM卡。
步骤S502，(X)SIM卡用Ki加密该EI。
步骤S503，(X)SIM卡将加密后的EI和IMSI一起发送给家用基站。
步骤S504，家用基站将Ki加密后的该家用基站的EI和IMSI发送到认证网元。
步骤S505，认证网元将家用基站发送的IMSI转发给HLR。
步骤S506，HLR根据IMSI查找Ki和用户开户时对应的家用基站的EI的记录，用Ki加密家用基站的EI。
步骤S507，HLR将Ki加密的家用基站的EI和认证向量组返回给认证网元。
步骤S508，认证网元对比家用基站发送的该家用基站的EI和HLR发送的家用基站的EI。如果家用基站发送的该家用基站的EI和HLR发送的家用基站的EI一致，则该家用基站是与(X)SIM卡绑定的合法设备，但还需继续认证(X)SIM卡的身份。如果家用基站发送的该家用基站的EI和HLR发送的家用基站的EI不一致，则该家用基站不是与(X)SIM卡绑定的合法设备
步骤S509，认证网元将认证向量组中的随机数和AUTN发送给家用基站。
步骤S510，家用基站在(X)SIM卡中用Ki和随机数计算出RES。
步骤S511，(X)SIM卡将RES返回给认证网元。
步骤S512，认证网元对比RES和HLR发送的认证向量组中的XRES是否一致。如果RES和XRES一致，则确定(X)SIM卡的身份是合法的。
上述绑定认证的方法，家用基站和HLR分别用K_i加密该家用基站的EI，在认证网元对比家用基站发送的该家用基站的EI和HLR发送的家用基站的EI一致之后，认证网元确定该家用基站是与(X)SIM卡绑定的合法设备，从而实现了对(X)SIM卡插入的家用基站的合法性进行认证，提供了一种对家用基站和该家用基站中插入的用户标识卡进行绑定认证的方法。
如图6所示，为本发明绑定认证的方法实施例五的流程图。实施例五中，家用基站预先配置数字证书，并且HLR已经保存有IMSI与家用基站数字证书的公钥的对应关系。家用基站在配置数字证书情况下，用家用基站数字证书的私钥对IMSI进行签名，并将签名后的IMSI数据发送给认证网元。具体包括：
步骤S601，家用基站向认证网元发送使用该家用基站数字证书的私钥签名的IMSI数据，发起绑定认证请求，该IMSI数据包括IMSI，和用数字证书私钥签名后的IMSI。
步骤S602，认证网元将接收到的IMSI数据转发给HLR，请求验证该IMSI数据的签名。
步骤S603，HLR根据IMSI检索与该IMSI对应的家用基站数字证书的公钥，用检索到的公钥验证IMSI数据的签名；
步骤S604，HLR将IMSI数据的签名的验证结果发送给认证网元。
其中，对IMSI数据的签名进行验证可以由HLR执行，也可以在HLR检索到家用基站数字证书的公钥后，将公钥返回给认证网元，由认证网元对IMSI数据的签名进行验证。具体可以为：认证网元将IMSI转发给HLR，向HLR请求与该IMSI对应的家用基站数字证书的公钥；在HLR根据IMSI检索到家用基站数字证书的公钥之后，HLR将该家用基站数字证书的公钥发送给认证网元；认证网元利用接收到的公钥对IMSI数据的签名进行验证。
上述绑定认证的方法，认证网元接收家用基站发送的利用该家用基站数字证书的私钥签名后的IMSI数据，利用该家用基站数字证书的公钥对IMSI数据的签名进行验证，在验证通过后，确定该家用基站是与(X)SIM卡绑定的合法设备，实现了对(X)SIM卡插入的家用基站的合法性进行认证，提供了一种对家用基站和该家用基站中插入的用户标识卡进行绑定认证的方法。
如图7所示，为本发明实施例绑定认证的系统的结构图，包括：
用户侧网络接入设备71，用于发送用户侧网络接入设备71的标识；
网络侧设备72，用于发送用户侧网络接入设备71的标识；
认证网元73，用于接收用户侧网络接入设备71发送的用户侧网络接入设备71的标识和网络侧设备72发送的用户侧网络接入设备71的标识，当网络侧设备72发送的用户侧网络接入设备71的标识与用户侧网络接入设备71发送的用户侧网络接入设备71的标识一致时，确定用户侧网络接入设备71是与用户侧网络接入设备71中插入的用户标识卡绑定的合法设备，并且该用户标识卡的身份合法。
其中，网络侧设备72的类型包括归属位置寄存器HLR，用户侧网络接入设备71的类型包括家用基站。
上述绑定认证的系统，认证网元73对用户标识卡所插入的用户侧网络接入设备71的合法性进行认证，实现了对用户侧网络接入设备71和该用户侧网络接入设备71中插入的用户标识卡的绑定认证，使得用户侧网络接入设备71中插入的用户标识卡不能被随意更换。
如图8所示，为本发明实施例认证网元的结构图，包括：
接收模块731，用于接收用户侧网络接入设备71发送的用户侧网络接入设备71的标识和网络侧设备72发送的用户侧网络接入设备71的标识。
对比模块732，用于将接收模块731接收的网络侧设备72发送的用户侧网络接入设备71的标识与用户侧网络接入设备71发送的用户侧网络接入设备71的标识进行对比。
合法性认证模块733，用于当对比模块732确定网络侧设备72发送的用户侧网络接入设备71的标识与用户侧网络接入设备71发送的用户侧网络接入设备71的标识一致时，确定用户侧网络接入设备71是与用户侧网络接入设备71中插入的用户标识卡绑定的合法设备。
其中，对比模块732具体为加密对比模块，用于将网络侧设备72发送的利用永久性共享密钥或加密密钥加密的用户侧网络接入设备71的标识与用户侧网络接入设备71发送的利用永久性共享密钥或加密密钥加密的用户侧网络接入设备71的标识进行对比。
上述认证网元，合法性认证模块733根据接收模块731接收的用户侧网络接入设备71发送的用户侧网络接入设备71的标识和网络侧设备72发送的用户侧网络接入设备71的标识，对用户标识卡所插入的用户侧网络接入设备71的合法性进行认证，从而实现了对用户侧网络接入设备71和该用户侧网络接入设备71中插入的用户标识卡的绑定认证。
如图9所示，为本发明实施例网络侧设备的结构图，包括：
保存模块721，用于保存用户侧网络接入设备71的标识和用户侧网络接入设备71中插入的用户标识卡的IMSI的对应关系列表；
标识查找模块722，用于根据用户标识卡的IMSI在保存模块721保存的对应关系列表中查找用户侧网络接入设备71的标识；
发送模块723，用于将标识查找模块722查找到的用户侧网络接入设备71的标识发送给认证网元73。
在本发明的另一实施例中，如图10所示，该网络侧设备还可以包括：
加密模块724，用于利用加密密钥或永久性共享密钥加密所述用户侧网络接入设备的标识。
上述网络侧设备，保存模块721保存用户侧网络接入设备71的标识和用户侧网络接入设备71中插入的用户标识卡的IMSI的对应关系列表，发送模块723将标识查找模块722查找到的用户侧网络接入设备71的标识发送给认证网元73，从而使认证网元73可以对用户侧网络接入设备71和该用户侧网络接入设备71中插入的用户标识卡进行绑定认证。
如图11所示，为本发明实施例用户侧网络接入设备的结构图，包括：
标识获取模块711，用于获取用户侧网络接入设备71的标识；
发送模块712，用于向认证网元发送标识获取模块711获取的用户侧网络接入设备的标识。
在本发明的另一实施例中，如图12所示，该用户侧网络接入设备71还可以包括：
标识加密模块713，用于利用加密密钥或永久性共享密钥加密标识获取模块711获取的用户侧网络接入设备的标识。
验证模块714，用于利用公钥验证用户侧网络接入设备71利用私钥签名后的用户侧网络接入设备71的标识，所述公钥和所述私钥一一对应，在验证通过后，由标识获取模块711获取用户侧网络接入设备71的标识。
上述用户侧网络接入设备，发送模块712向认证网元73发送标识获取模块711获取的用户侧网络接入设备71的标识，由认证网元73对用户侧网络接入设备71和该用户侧网络接入设备71中插入的用户标识卡进行绑定认证，使得用户侧网络接入设备71中插入的用户标识卡不能被随意更换。
通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到本发明可以通过硬件实现，也可以可借助软件加必要的通用硬件平台的方式来实现基于这样的理解，本发明的技术方案可以以软件产品的形式体现出来，该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM，U盘，移动硬盘等)中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述的方法。
本领域技术人员可以理解附图只是一个优选实施例的示意图，附图中的模块或流程并不一定是实施本发明所必须的。
本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分布于实施例的装置中，也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块，也可以进一步拆分成多个子模块。
上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。
以上公开的仅为本发明的几个具体实施例，但是，本发明并非局限于此，任何本领域的技术人员能思之的变化都应落入本发明的保护范围。