(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111562276.5 (22)申请日 2021.12.20 (71)申请人 武汉华莘教育科技有限公司 地址 430000 湖北省武汉市东湖新 技术开 发区高新二路129号湖北第二师范学 院创业中心1楼10 09室 (72)发明人 夏超　赵生翼　 (74)专利代理 机构 南京纵横知识产权代理有限 公司 32224 代理人 祝蓉蓉 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/32(2006.01) (54)发明名称 一种基于USIM卡的EAP-AKA 认证方法 (57)摘要 本发明公开了一种基于USIM卡的EAP ‑AKA认 证方法， 用于在家庭基站与安全网关之间建立 IPsec隧道， 所述家庭基站中集成有USIM卡、 USIM 卡操作接口程序、 IPsec程序以及内核协议栈； 家 庭基站提供USIM卡插槽， 移动运营商提供USIM 卡； 所述USIM卡操作接口程序用于读取IMSI， 调 用USIM卡完成认证并返回认证结果； 所述IPsec 程序用于实现IKEv2协议， 调用USIM卡操作接口 程序获取IMSI， 以及调用USIM卡进行认证， 与安 全网关协商建立IPsec 隧道， 还用于与内核协议 栈交互， 管理IPsec隧道； 所述内核协议栈用于实 现IPsec协议。 本发明有效的解决了家庭基站与 核心网之间的双向认证， 以及数据传输安全问 题， 并可实现机卡分离 。 权利要求书2页 说明书7页 附图2页 CN 114244614 A 2022.03.25 CN 114244614 A 1.一种基于USIM卡的EAP ‑AKA认证方法， 用于在家庭基站与 安全网关之间建立IP sec隧 道， 其特征在于， 所述家庭基站中集 成有USIM卡、 USIM卡操作接口程序、 IPsec程序以及内核 协议栈； 所述认证方法包括以下步骤： S1， 安全网关获取USIM卡的IMSI， 并向AAA服务器发送封装有IMSI的Radius请求访问消 息； S2， AAA服务器提取IMSI后， 从HSS服务器获取认证向量； 并向安全网关发送封装有认证 向量的Radius挑战访问消息； S3， 安全网关接收到Radius挑战访问消息后， 向家庭基站发送封装有认证向量的IKE_ AUTH消息； S4， 家庭基站收到IKE_AUTH消息后， 将认证向量作为输入参数， 调用USIM卡操作接口程 序进行认证， 获取认证结果， 并向安全网关发送封装有认证结果的IKE_AU TH消息； S5， 安全网关接收到IKE_AUTH消息后， 向AAA服务器发送封装有认证结果的Radius请求 访问消息； S6， AAA服务器接收到Radius请求访问消息后， 将认证结果中的RES与认证向量中的 XRES进行比较， 相同则认证通过； 不同则进入步骤S7； S7， AAA服务器向HSS服务器发送同步失败消息， 从HSS服务器获取新认证向量， 并向安 全网关发送封装有新认证向量的Radius挑战访问消息， 并返回步骤S3 。 2.根据权利要求1所述的一种基于USIM卡的EAP ‑AKA认证方法， 其特征在于， 步骤S1中， 安全网关获取IMSI的方法具体包括以下步骤： S11， 家庭基站向安全网关发送IKE_SA_I NIT请求消息； S12， 安全网关回复家 庭基站IKE_SA_I NIT响应消息； S13， 家庭基站向安全网关发送IKE_AU TH请求消息； S14， 安全网关收到IKE_AUTH请求消息后， 向AAA服务器发送封装有EAP响应消息的 RADIUS请求访问消息； S15， AAA服务器收到RADIUS请求访问消息后， 向安全网关发送封装有EAP请求IMSI的 Radius挑战访问消息； S16， 安全网关收到Radius挑战访问消息后， 向家庭基站发送封装有EAP请求IMSI的 IKE_AUTH请求消息； S17， 家庭基站收到IKE_AUTH请求消息后， 调用USIM卡操作接口程序， 获取IMSI， 并向安 全网关发送封装有IMSI的IKE_AU TH消息。 3.根据权利要求2所述的一种基于USIM卡的EAP ‑AKA认证方法， 其特征在于， 步骤S17 中， 所述USIM卡操作接口程序调用USIM卡硬件驱动接口， 封装APDU命令， 实现读取存储在 USIM卡中的IMSI。 4.根据权利要求1所述的一种基于USIM卡的EAP ‑AKA认证方法， 其特征在于， 步骤S2中， 所述认证向量包括RAND、 AU TN和XRES。 5.根据权利要求1所述的一种基于USIM卡的EAP ‑AKA认证方法， 其特征在于， 步骤S4 中， 所述认证结果包括RES、 IK和CK。 6.一种在家庭基站与安全网关之间建立IPsec隧道的方法， 其特征在于， 所述方法为： IPsec程序通过IKEv2协议与安全网关进行协商， 建立IPsec隧道； 协商过程中， 采用如权利权　利　要　求　书 1/2 页 2 CN 114244614 A 2要求1所述的EAP ‑AKA认证方法进行认证。 7.一种家庭基站， 其特征在于， 包括： USIM卡、 USIM卡操作接口程序、 IPsec程序以及内 核协议栈； 所述USIM卡操作接口程序用于读取IMSI， 调用USIM卡完成认证并返回认证结果； 所述IPsec程序用于实现IKEv2协议， 调用USIM卡操作接口程序获取IMSI， 以及调用 USIM卡进行认证， 与安全网关协商建立IPsec隧道， 还用于与内核协议栈交互， 管 理IPsec隧 道； 所述内核协议栈用于实现IPsec协议。权　利　要　求　书 2/2 页 3 CN 114244614 A 3