(19)中华人民共和国国家知识产权局*CN102724665A*(12)发明专利申请(10)申请公布号CN102724665A(43)申请公布日2012.10.10(21)申请号201110079701.5(22)申请日2011.03.31(71)申请人中国联合网络通信集团有限公司地址100033北京市西城区金融大街21号(72)发明人王彬(74)专利代理机构北京同立钧成知识产权代理有限公司11205代理人王申(51)Int.Cl.H04W12/06(2009.01)权利要求书权利要求书2页2页说明书说明书66页页附图附图55页(54)发明名称飞蜂窝型基站的安全认证方法及飞蜂窝型无线通信系统(57)摘要本发明提供一种飞蜂窝型基站的安全认证方法及飞蜂窝型无线通信系统，其中方法包括：认证机构向SG下发该SG的私钥，并向SIM卡下发证书，该证书中包含与所述私钥对应的公钥；所述SIM卡生成第一随机数对所述飞蜂窝型基站进行基站认证；所述基站认证通过后，所述SIM卡生成第二随机数并基于所述私钥和公钥对所述SG进行网关认证；所述网关认证通过后，由所述SG在所述飞蜂窝型基站与所述SG之间建立IPsec通道。本发明无需将证书在固化于飞蜂窝型基站的内部，因此在需要更换证书时，仅需通过离线非实时更新SG内的私钥以及内置有新证书的SIM卡即可，从而解决了更换证书的问题，实现了证书更换的便捷性。CN1027465ACN102724665A权利要求书1/2页1.一种飞蜂窝型基站的安全认证方法，其特征在于，包括：认证机构向SG下发该SG的私钥，并向SIM卡下发证书，该证书中包含与所述私钥对应的公钥；所述SIM卡生成第一随机数对所述飞蜂窝型基站进行基站认证；所述基站认证通过后，所述SIM卡生成第二随机数并基于所述私钥和公钥对所述SG进行网关认证；所述网关认证通过后，由所述SG在所述飞蜂窝型基站与所述SG之间建立IPsec通道。2.根据权利要求1所述的方法，其特征在于所述SIM卡生成第一随机数对所述飞蜂窝型基站进行基站认证包括：所述SIM卡向所述飞蜂窝型基站发送所述第一随机数；所述飞蜂窝型基站根据预设加密算法及所述第一随机数生成第一密文数据，并将该飞蜂窝型基站的加密索引信息及所述第一密文数据发送给所述SIM卡；所述SIM卡根据所述预设加密算法、所述加密索引信息及所述第一随机数生成第二密文数据，比较所述第一密文数据和所述第二密文数据，如果相等，则所述基站认证通过。3.根据权利要求2所述的方法，其特征在于所述飞蜂窝型基站根据预设加密算法及所述第一随机数生成第一密文数据包括：所述飞蜂窝型基站根据所述第一随机数的前N个字节，从预存的主密钥中选择第一会话密钥，用该第一会话密钥对所述第一随机数的剩余M个字节进行加密，得到所述第一密文数据，其中，M、N均为自然数，M+N＝所述第一随机数的长度。4.根据权利要求3所述的方法，其特征在于所述SIM卡根据所述预设加密算法、所述加密索引信息及所述第一随机数生成第二密文数据包括：所述SIM卡根据所述加密索引信息确定备选的主密钥，根据所述第一随机数的前N个字节从所述备选的主密钥中选择第二会话密钥，用该第二会话密钥对所述第一随机数的剩余M个字节进行加密，得到所述第二密文数据。5.根据权利要求4所述的方法，其特征在于所述SIM卡根据所述加密索引信息确定备选的主密钥包括：所述SIM卡根据所述飞蜂窝型基站的设备厂商代码及主密钥版本号确定所述备选的主密钥。6.根据权利要求1所述的方法，其特征在于所述SIM卡生成第二随机数并基于所述私钥和公钥对所述SG进行网关认证包括：所述SIM卡经所述飞蜂窝型基站的转发向所述SG发送所述第二随机数；所述SG用所述私钥对所述第二随机数进行签名得到签名数据，并回复给所述SIM卡；所述SIM卡利用所述证书中的公钥认证所述签名数据。7.根据权利要求6所述的方法，其特征在于所述SIM卡利用所述证书中的公钥认证所述签名数据包括：所述SIM卡利用所述证书中的公钥对所述签名数据进行解密得到解密数据；比较所述解密数据与所述第二随机数，如果相等，则所述网关认证通过。8.一种飞蜂窝型无线通信系统，其特征在于包括飞蜂窝型基站、SG以及设置于所述飞蜂窝型基站内的SIM卡，其中：所述SIM卡包括：2CN102724665A权利要求书2/2页证书接收模块，用于接收由认证机构下发的证书，该证书中包含与所述SG的私钥对应的公钥；第一认证模块，用于生成第一随机数对所述飞蜂窝型基站进行基站认证；第二认证模块，用于当所述基站认证通过后，生成第二随机数并基于所述SG的私钥和所述公钥对所述SG进行网关认证；所述SG包括：私钥接收模块，用于接收由所述认证机构下发的该SG的私钥；通道建立模块，用于当所述网关认证通过后，在所述飞蜂窝型基站与所述SG之间建立IPs