CN101039312A - 防止通用鉴权框架中服务功能实体受攻击的方法及装置 - Google Patents

Abstract

本发明公开了一种防止通用鉴权框架中服务功能实体受攻击的方法，该方法包括：BSF实体接收来自用户终端的鉴权请求，判断当前用户终端是否具有鉴权请求资格，若不具有，则BSF实体拒绝用户终端的鉴权请求，结束本发明流程；若具有，则BSF实体向归属用户服务器HSS请求鉴权信息，并利用HSS返回的鉴权信息与当前用户终端执行互认证，根据互认证结果记录互认证用户相关信息，并向用户终端返回互认证结果。本发明同时还公开了一种防止通用鉴权框架中服务功能实体受攻击的装置，包括请求资格处理模块和BSF中互认证处理模块。本发明方案限制了攻击者采用不断频繁向BSF发送鉴权请求，而引起的BSF承担不必要处理负担的问题，有效地防止了BSF受攻击，从而节约了资源。

Description

防止通用鉴权框架中服务功能实体受攻击的方法及装置

技术领域

本发明涉及通用鉴权框架安全技术，尤指一种防止通用鉴权框架中服务功能(BSF)实体受攻击的方法及装置。

背景技术

在第三代无线通信标准中，通用鉴权框架(GAA)，是多种应用业务实体使用的一个用于完成对用户身份进行验证的通用结构，应用通用鉴权框架可实现对应用业务的用户进行检查和验证身份。上述多种应用业务可以是多播/广播业务、用户证书业务、信息即时提供业务等，也可以是代理业务。

图1为现有技术通用鉴权框架结构示意图，如图1所示，通用鉴权框架通常由用户、执行用户身份初始检查验证的服务功能(BSF)实体、归属用户服务器(HSS)和网络业务应用(NAF)实体组成。下文中将BSF实体简称为BSF，将NAF实体简称为NAF。其中，BSF用于与用户进行互认证，该互认证过程为互相验证身份，同时生成BSF与用户的共享密钥的过程，该互认证过程也称为Bootstrapping过程或GBA过程，称能够与BSF实现GBA过程的用户为具备GBA功能的用户；HSS中存储用于描述用户信息的描述(Profile)文件，同时HSS还兼有产生鉴权信息的功能；NAF可以代表不同的网络业务应用实体，用户要实现某种业务时，必须访问该业务对应的NAF并与该NAF进行通信。各个实体之间的接口如图1所示，BSF与NAF之间通过Zn接口连接；用户通过用户终端(UE)与BSF或NAF连接，UE与BSF之间通过Ub接口连接，UE与NAF之间通过Ua接口连接。

用户需要使用某种业务即访问该业务对应的NAF时，如果用户知道该业务需要到BSF进行互认证，则用户通过UE直接到BSF执行Bootstrapping过程；否则，用户会首先向该业务对应的NAF发起连接请求，如果该NAF使用通用鉴权框架即支持GAA功能，并且发现发起连接请求的用户还未到BSF进行互认证，则通知发起连接请求的用户到BSF执行Bootstrapping过程。

接下来用户通过UE与BSF之间执行Bootstrapping过程进行互认证，UE向BSF发出鉴权请求，鉴权请求消息中携带有用户的私有标识如永久身份标识(IMPI)或由国际移动用户标识(IMSI)转换得到的IMPI，BSF接收到来自用户的鉴权请求后，首先到HSS获取该用户的鉴权信息，BSF向HSS请求鉴权的消息中也包含了用户的永久身份标识，HSS根据用户的永久身份标识查找到该用户的属性信息并且生成鉴权矢量返回给BSF，BSF根据所获取的鉴权信息与用户终端之间执行鉴权和密钥协商。Bootstrapping过程成功完成后，UE和BSF之间互相验证了身份并且生成共享密钥Ks，BSF为该共享密钥Ks定义了一个有效期(Key-lifetime)并分配一个会话事务标识(B-TID)给用户；BSF和UE分别将共享密钥Ks，B-TID以及有效期关联保存。当用户要与NAF通信时，重新向NAF发出连接请求，且请求消息中携带该B-TID，同时用户根据该共享密钥Ks采用预设衍生算法计算出衍生密钥NAF specific key。本文中，将BSF中完成互认证过程的部分称为BSF中的互认证处理模块。

NAF收到连接请求后，如果NAF不能在本地查询到该B-TID，则向BSF发送携带自身标识和该B-TID的请求查询消息进行查询。如果BSF不能在本地查询到该B-TID，则通知NAF没有该用户的信息，此时，NAF将通知用户到BSF进行互认证；如果BSF查询到该B-TID，则使用与用户侧相同的衍生算法计算共享密钥Ks的衍生密钥，然后向NAF发送成功响应消息，该成功响应中携带有所述B-TID，与该B-TID对应的衍生密钥，以及共享密钥Ks的有效期。NAF收到BSF的成功响应消息后，认为该用户是经过BSF认证的合法用户，同时NAF共享了由共享密钥Ks计算得到的衍生密钥，该衍生密钥与用户根据该共享密钥Ks计算出衍生密钥一致。用户在后续访问NAF中利用该衍生密钥保护二者之间的通信。

当用户发现共享密钥Ks即将过期，或NAF要求用户重新到BSF进行互认证时，用户重复上述的互认证步骤重新到BSF进行互认证，以得到新的共享密钥Ks及B-TID。

目前，用户在鉴权请求中携带的IMPI，是采用明文传送方式发送的，这样，用户对应的IMPI很容易被窃听。比如：一个恶意的攻击者窃听到多个用户的IMPI后，如果利用窃听到的多个用户的IMPI向BSF发送重鉴权请求，由于BSF每接收到一次重鉴权请求只向HSS获取一组鉴权向量，这样，该BSF再接收到多个用户的IMPI向BSF发送重鉴权请求后，需要不断向HSS获取鉴权向量。很明显，只要攻击者不断地利用IMPI发送重鉴权请求，那么，BSF会不断地向HSS获取鉴权向量，使得BSF受到恶意攻击，从而增加了BSF不必要的处理负担，造成了资源的浪费。

发明内容

有鉴于此，本发明的主要目的在于提供一种防止通用鉴权框架中服务功能实体受攻击的方法，能够有效防止BSF受攻击，避免BSF承受不必要的负担，从而节约资源。

本发明的另一目的在于提供一种防止通用鉴权框架中服务功能实体受攻击的装置，能够有效防止BSF受攻击，避免BSF承受不必要的负担，从而节约资源。

为达到上述目的，本发明的技术方案具体是这样实现的：

一种防止通用鉴权框架中服务功能BSF实体受攻击的方法，其特征在于，该方法包括以下步骤：

A.BSF实体接收来自用户终端的鉴权请求，判断当前用户终端是否具有鉴权请求资格，若具有，则执行步骤C；否则执行步骤B；

B.BSF实体拒绝当前用户终端的鉴权请求，结束本处理流程；

C.BSF实体向归属用户服务器HSS请求鉴权信息，并利用HSS返回的鉴权信息，与当前用户终端执行互认证，BSF实体根据互认证结果记录互认证用户相关信息，并向用户终端返回互认证结果。

该方法还包括：所述BSF实体为每个用户设置用于记录各用户的鉴权失败次数的鉴权计数器，并设置鉴权失败次数阈值；

步骤A中所述判断当前用户终端是否具有鉴权请求资格的方法为：

所述BSF实体检查所述用户终端的鉴权失败次数是否超过预设鉴权失败次数阈值，若未超过，则判定所述用户终端具有鉴权请求资格；若超过，则判定所述用户终端不具有鉴权请求资格。

该方法还包括：所述BSF实体为每个用户设置一解禁定时器；

步骤B中所述BSF实体拒绝当前用户终端的鉴权请求之后，该方法还包括：所述BSF实体启动所述用户终端对应的解禁定时器，并在解禁定时器达到时限后，将所述鉴权计数器的值置零。

该方法还包括：所述BSF实体为每个用户设置一鉴权请求次数计数器，并设置该鉴权请求次数计数器的初始值为预设鉴权请求次数阈值；

步骤B中所述BSF实体拒绝当前用户终端的鉴权请求之后，该方法还包括：所述BSF实体启动所述用户终端对应的鉴权请求次数计数器，所述BSF实体每接收到来自所述用户终端的一次鉴权请求，所述鉴权请求次数计数器减一，并在鉴权请求次数计数器为零时，将所述鉴权计数器的值置零。

步骤C中所述互认证用户相关信息为鉴权失败次数；

所述记录的方法为：若所述互认证结果显示为失败，则所述BSF实体触发鉴权计数器加一；若所述互认证结果显示为成功，则所述BSF实体将鉴权计数器的值置零。

该方法还包括：所述BSF实体为每个用户设置用于限定各用户发起的两次鉴权请求的时间间隔的限定定时器；

步骤A中所述判断当前用户终端是否具有鉴权请求资格的方法为：

所述BSF实体判断与所述用户终端对应的限定定时器是否达到时限，若所述限定定时器未达到时限，则判定所述用户终端不具有鉴权请求资格；若所述限定定时器达到时限，则判定所述用户终端具有鉴权请求资格，并重新启动该限定定时器。

步骤C中所述互认证用户相关信息为当前鉴权请求的时间。

该方法还包括：所述BSF实体为每个用户设置用于限定各用户每次鉴权失败后，到再次发起鉴权请求的时间间隔的限定定时器；

步骤A中所述判断当前用户终端是否具有鉴权请求资格的方法为：

所述BSF实体判断与所述用户终端对应的限定定时器是否达到时限，若所述限定定时器未达到时限，则判定所述用户终端不具有鉴权请求资格；若所述限定定时器达到时限，则判定所述用户终端具有鉴权请求资格。

步骤C中所述互认证用户相关信息为本次鉴权失败时的当前鉴权失败时间。

一种防止通用鉴权框架中服务功能BSF实体受攻击的装置，该装置包括：

BSF实体中用于完成互认证过程的互认证处理模块，接收来自请求资格处理模块的接受鉴权请求指示，并执行互认证过程；完成互认证过程后，向请求资格处理模块发送互认证结果指示；

用于判断用户是否具有鉴权请求资格的请求资格处理模块，接收来自用户终端的鉴权请求，在用户具有鉴权请求资格时，向所述互认证处理模块发送接受鉴权请求指示；在用户不具有鉴权请求资格时，拒绝用户鉴权请求；接收来自所述互认证处理模块的互认证结果指示，并根据互认证结果指示，记录互认证用户相关信息。

所述请求资格处理模块包括：鉴权计数器和请求资格处理单元，其中，

用于记录用户的鉴权失败次数的鉴权计数器，接收来自请求资格处理单元的增加指示，将自身加一；或接收来自请求资格处理单元的清除指示，将自身清零；

请求资格处理单元，根据从鉴权计数器中读取当前用户的鉴权失败次数，拒绝用户终端请求或向所述互认证处理模块发送接受鉴权请求指示；根据来自所述互认证处理模块的互认证结果指示，向所述鉴权计数器发送清除指示或增加指示。

该装置还包括：

解禁模块，接收来自所述请求资格处理单元的禁止指示，并启动一解禁定时器，在解禁定时器达到时限时，向所述请求资格处理单元发送解禁指示；

所述请求资格处理单元还包括，接收来自所述互认证处理模块的互认证结果指示为失败，向所述解禁模块发送禁止指示；接收来自所述解禁模块的解禁指示，向所述鉴权计数器发送清除指示。

该装置还包括：

鉴权请求次数计数器，接收来自请求资格处理单元的禁止指示，并启动一鉴权请求次数计数器，在鉴权请求次数计数器为零时，向请求资格处理单元发送解禁指示；

所述请求资格处理单元还包括，接收来自所述互认证处理模块的互认证结果指示为失败，向所述鉴权请求次数计数器发送禁止指示；接收来自所述鉴权请求次数计数器的解禁指示，向所述鉴权计数器发送清除指示；每接收到来自该用户终端一次鉴权请求，触发鉴权请求次数计数器减一。

所述请求资格处理模块包括：限定定时器和请求资格处理单元，

用于限定各用户发起的两次鉴权请求的时间间隔或者用于限定各用户每次鉴权失败后，到再次发起鉴权请求的时间间隔的限定定时器，将表示自身是否达到时限的达到时限指示发送给请求资格处理单元；接收到来自请求资格处理单元的启动指示后，自身被启动；

请求资格处理单元，根据来自限定定时器的达到时限指示向限定定时器发送启动指示、向所述互认证处理模块发送接受鉴权请求指示，或拒绝用户鉴权请求；根据来自所述互认证处理模块互认证结果指示，记录本次鉴权请求的时间或本次鉴权失败的时间。

由上述技术方案可见，本发明中，BSF中的请求资格处理模块接收到来自用户终端的鉴权请求后，判断当前用户终端是否具有鉴权请求资格，若具有，则向HSS请求鉴权信息，并利用HSS返回的鉴权信息，与当前用户终端执行互认证，BSF记录互认证用户相关信息如鉴权失败次数、鉴权请求时间、鉴权请求失败时间等，并向用户终端返回互认证结果。其中，判断当前用户终端是否具有鉴权请求的资格的方法可以是通过判断发起鉴权请求的用户的鉴权失败次数是否达到预设鉴权失败次数阈值，从而判定该用户是否具有鉴权请求资格的鉴权失败次数限制法，或者通过对每个用户发起的两次鉴权请求的时间间隔加以限定，来判定该用户是否具有鉴权请求资格的鉴权请求时间间隔限制法等。本发明方案限制了攻击者采用不断频繁向BSF发送鉴权请求，而引起的BSF承担不必要处理负担的问题，有效地防止了BSF受攻击，从而节约了资源。

附图说明

图1是现有技术GAA结构示意图；

图2是本发明防止BSF受攻击的实施例的流程图；

图3是本发明防止BSF受攻击的装置组成示意图。

具体实施方式

本发明的核心思想是：BSF接收来自用户终端的鉴权请求，判断当前用户终端是否具有鉴权请求资格，若不具有，则拒绝用户终端的鉴权请求，之后结束本发明流程；若具有，则向HSS请求鉴权信息，并利用HSS返回的鉴权信息，与当前用户终端执行互认证，根据互认证结果记录互认证用户相关信息，并向用户终端返回互认证结果。

对于GBA_ME过程，上述用户终端指的是移动设备(ME)自身，对于是GBA_U过程，上述用户终端指的是移动设备中的用户识别模块(UICC)。

为使本发明的目的、技术方案及优点更加清楚明白，以下参照附图并举较佳实施例，对本发明进一步详细说明。

图2是本发明防止BSF受攻击的实施例的流程图，以GBA_U为例，该方法包括以下步骤：

步骤200：ME将IMPI携带在鉴权请求中发送给BSF。

步骤201：BSF判断当前用户是否具有鉴权请求资格，若具有，则执行步骤202b；否则，执行步骤202a。

本步骤中，可以通过以下方法来判断当前用户是否具有鉴权请求资格：

方法一：鉴权失败次数限制法。

在BSF中为每个用户设置一个鉴权计数器，分别用于记录各用户的鉴权失败次数，并设置鉴权失败次数阈值。

用户每次向BSF发起鉴权请求时，BSF会检查该用户的鉴权失败次数是否超过预设鉴权失败次数阈值，若未超过，则BSF认为当前用户具有鉴权请求资格；若该用户的鉴权失败次数已超过预设鉴权失败次数阈值，则BSF认为当前用户不具有鉴权请求资格。

方法二：鉴权请求时间间隔限制法。

BSF为每个用户设置一个限定定时器，该限定定时器用于限定各用户发起的两次鉴权请求的时间间隔，假设BSF在接收到某用户的鉴权请求后，已启动该用户的限定定时器，且该用户本次鉴权请求失败。当BSF再次接收到来自该用户的鉴权请求时，首先判断与该用户对应的限定定时器是否达到时限，若该限定定时器未达到时限，则BSF拒绝当前鉴权请求；若该限定定时器达到时限，则BSF接受该用户的当前鉴权请求，并重新启动该用户对应的限定定时器。

方法三：鉴权请求失败时间间隔限制法。

BSF为每个用户设置一个限定定时器，该限定定时器用于限定各用户每次鉴权失败后，到再次发起鉴权请求的时间间隔，假设BSF在接收到某用户的鉴权请求，且该用户本次鉴权请求失败后，启动该用户的限定定时器。当BSF再次接收到来自该用户的鉴权请求时，首先判断与该用户对应的限定定时器是否达到时限，若该限定定时器未达到时限，则BSF拒绝当前鉴权请求；若该限定定时器达到时限，则BSF接受该用户的当前鉴权请求。

以上三种方法限制了攻击者采用不断频繁向BSF发送鉴权请求，而引起的BSF承担不必要处理负担的问题，有效地防止了BSF受攻击，从而节约了资源。

步骤202a：BSF向ME发送拒绝请求，之后结束本发明流程。

需要说明的是，BSF也可以直接结束本发明流程，而不向ME发送拒绝请求。

如果采用方法一判断用户是否具有鉴权请求资格，则用户接收到错误指示后，可以通过其它方式如人工方式等到网络侧要求解禁。用户成功完成一次鉴权，BSF将鉴权计数器的值置零。

或者，在本步骤中，还包括：在BSF中为每个用户预先设置一解禁定时器，当判定用户不具有鉴权请求资格后，启动该用户对应的解禁定时器，在解禁定时器达到时限后，比如两个小时后，BSF将该用户对应的鉴权计数器置零，也就是BSF在预设解禁定时器达到时限之后，自动恢复该用户的鉴权请求资格。

或者，在本步骤中，还包括：BSF为每个用户设置一鉴权请求次数计数器，并设置该鉴权请求次数计数器的初始值为预设鉴权请求次数阈值；

当判定用户不具有鉴权请求资格后，BSF启动该用户终端对应的鉴权请求次数计数器，BSF每接收到来自该用户终端一次鉴权请求，鉴权请求次数计数器减一，并在鉴权请求次数计数器为零时，将所述鉴权计数器的值置零，自动恢复该用户的鉴权请求资格。

步骤202b：BSF将接收到的鉴权请求发送给HSS，以请求鉴权信息如鉴权向量。

步骤203～步骤204：HSS向BSF返回鉴权向量，BSF利用HSS返回的鉴权信息，与用户终端执行互鉴权及协商密钥过程。

步骤202b、步骤203～步骤204的实现属于本领域技术人员公知技术，这里不再赘述。

步骤205～步骤206：BSF根据互认证结果记录互认证用户相关信息，并向用户终端返回互认证结果。

如果在步骤201中，采用方法一判断用户是否具有鉴权请求资格，那么，BSF记录的互认证用户相关信息为该用户的鉴权失败次数。若用户本次发起的鉴权请求最终失败即互认证结果显示为失败，则触发鉴权计数器加一；若用户成功完成一次鉴权过程即互认证结果显示为成功，则BSF将鉴权计数器的值置零。

如果在步骤201中，采用方法二判断用户是否具有鉴权请求资格，那么，BSF记录的互认证用户相关信息为本次请求鉴权的时间。

如果在步骤201中，采用方法三判断用户是否具有鉴权请求资格，那么，BSF记录的互认证用户相关信息为在本次鉴权失败时，记录本次鉴权失败的时间，并重新启动该用户对应的限定定时器；如果本次鉴权成功，则不存在记录本次鉴权失败的时间，也不存在启动限定定时器。

图3是本发明防止BSF受攻击的装置组成示意图，如图3所示，本发明装置至少包括BSF中的互认证处理模块，请求资格处理模块。

其中，用于完成互认证过程的互认证处理模块，接收来自请求资格处理模块的接受鉴权请求指示，并执行互认证过程；完成互认证过程后，向请求资格处理模块发送互认证结果指示。

用于判断用户是否具有鉴权请求资格的请求资格处理模块，接收来自用户终端的鉴权请求，在用户具有鉴权请求资格时，向互认证处理模块发送接受鉴权请求指示；在用户不具有鉴权请求资格时，拒绝用户终端的鉴权请求；接收来自互认证处理模块的互认证结果指示，并根据互认证结果指示，记录互认证用户相关信息。

请求资格处理模块的实现可以是包括请求资格处理单元和鉴权计数器：

用于记录用户的鉴权失败次数的鉴权计数器，接收来自请求资格处理单元的增加或清除指示，将自身加一或清零；

请求资格处理单元，接收来自用户终端的鉴权请求，从鉴权计数器中读取当前用户的鉴权失败次数，若获得的鉴权失败次数超过预设鉴权失败次数阈值，则向用户终端返回拒绝请求；若获得的鉴权失败次数未超过预设鉴权失败次数阈值，则向互认证处理模块发送接受鉴权请求指示；接收来自互认证处理模块的互认证结果指示，在互认证结果指示为成功时，向鉴权计数器发送清除指示，在互认证结果指示为失败时，向鉴权计数器发送增加指示。

或者，请求资格处理模块的实现也可以是包括请求资格处理单元和限定定时器：

用于限定用户发起的两次鉴权请求的时间间隔或者限定用户每次鉴权失败后，到再次发起鉴权请求的时间间隔的限定定时器，将表示自身是否达到时限的达到时限指示发送给请求资格处理单元；接收到来自请求资格处理单元的启动指示后，自身被启动；

请求资格处理单元，接收来自用户终端的鉴权请求，判断来自限定定时器的达到时限指示是否显示为达到时限，在显示为达到时限时，向限定定时器发送启动指示，并向互认证处理模块发送接受鉴权请求指示；在显示为未达到时限时，拒绝用户终端的鉴权请求；接收来自互认证处理模块互认证结果指示，记录本次鉴权请求的时间或者在本次鉴权失败时，记录本次鉴权失败的时间。

进一步地，当请求资格处理模块由请求资格处理单元和鉴权计数器组成时，本发明装置还可以包括解禁模块，接收来自请求资格处理单元的禁止指示，并启动一解禁定时器，解禁定时器定时时长可预先设置，在解禁定时器达到时限时，向请求资格处理单元发送解禁指示；或者鉴权请求次数计数器，接收来自请求资格处理单元的禁止指示，并启动一鉴权请求次数计数器，请求资格处理单元每接收到来自该用户终端一次鉴权请求，触发鉴权请求次数计数器减一，在鉴权请求次数计数器为零时，向请求资格处理单元发送解禁指示；该鉴权请求次数计数器的初始值为预设鉴权请求次数阈值。

请求资格处理单元进一步包括，接收来自互认证处理模块互认证结果指示为失败，向解禁模块发送禁止指示；接收来自解禁模块的解禁指示，向鉴权计数器发送清除指示。

以上所述，仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围，凡在本发明的精神和原则之内所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (14)

1.一种防止通用鉴权框架中服务功能BSF实体受攻击的方法，其特征在于，该方法包括以下步骤：

A.BSF实体接收来自用户终端的鉴权请求，判断当前用户终端是否具有鉴权请求资格，若具有，则执行步骤C；否则执行步骤B；

B.BSF实体拒绝当前用户终端的鉴权请求，结束本处理流程；

C.BSF实体向归属用户服务器HSS请求鉴权信息，并利用HSS返回的鉴权信息，与当前用户终端执行互认证，BSF实体根据互认证结果记录互认证用户相关信息，并向用户终端返回互认证结果。

2.根据权利要求1所述的方法，其特征在于，该方法还包括：所述BSF实体为每个用户设置用于记录各用户的鉴权失败次数的鉴权计数器，并设置鉴权失败次数阈值；

步骤A中所述判断当前用户终端是否具有鉴权请求资格的方法为：

所述BSF实体检查所述用户终端的鉴权失败次数是否超过预设鉴权失败次数阈值，若未超过，则判定所述用户终端具有鉴权请求资格；若超过，则判定所述用户终端不具有鉴权请求资格。

3.根据权利要求2所述的方法，其特征在于，该方法还包括：所述BSF实体为每个用户设置一解禁定时器；

步骤B中所述BSF实体拒绝当前用户终端的鉴权请求之后，该方法还包括：所述BSF实体启动所述用户终端对应的解禁定时器，并在解禁定时器达到时限后，将所述鉴权计数器的值置零。

4.根据权利要求2所述的方法，其特征在于，该方法还包括：所述BSF实体为每个用户设置一鉴权请求次数计数器，并设置该鉴权请求次数计数器的初始值为预设鉴权请求次数阈值；

步骤B中所述BSF实体拒绝当前用户终端的鉴权请求之后，该方法还包括：所述BSF实体启动所述用户终端对应的鉴权请求次数计数器，所述BSF实体每接收到来自所述用户终端的一次鉴权请求，所述鉴权请求次数计数器减一，并在鉴权请求次数计数器为零时，将所述鉴权计数器的值置零。

5.根据权利要求2、3或4所述的方法，其特征在于，步骤C中所述互认证用户相关信息为鉴权失败次数；

所述记录的方法为：若所述互认证结果显示为失败，则所述BSF实体触发鉴权计数器加一；若所述互认证结果显示为成功，则所述BSF实体将鉴权计数器的值置零。

6.根据权利要求1所述的方法，其特征在于，该方法还包括：所述BSF实体为每个用户设置用于限定各用户发起的两次鉴权请求的时间间隔的限定定时器；

步骤A中所述判断当前用户终端是否具有鉴权请求资格的方法为：

所述BSF实体判断与所述用户终端对应的限定定时器是否达到时限，若所述限定定时器未达到时限，则判定所述用户终端不具有鉴权请求资格；若所述限定定时器达到时限，则判定所述用户终端具有鉴权请求资格，并重新启动该限定定时器。

7.根据权利要求6所述的方法，其特征在于，步骤C中所述互认证用户相关信息为当前鉴权请求的时间。

8.根据权利要求1所述的方法，其特征在于，该方法还包括：所述BSF实体为每个用户设置用于限定各用户每次鉴权失败后，到再次发起鉴权请求的时间间隔的限定定时器；

步骤A中所述判断当前用户终端是否具有鉴权请求资格的方法为：

所述BSF实体判断与所述用户终端对应的限定定时器是否达到时限，若所述限定定时器未达到时限，则判定所述用户终端不具有鉴权请求资格；若所述限定定时器达到时限，则判定所述用户终端具有鉴权请求资格。

9.根据权利要求8所述的方法，其特征在于，步骤C中所述互认证用户相关信息为本次鉴权失败时的当前鉴权失败时间。

10.一种防止通用鉴权框架中服务功能BSF实体受攻击的装置，其特征在于，该装置包括：

BSF实体中用于完成互认证过程的互认证处理模块，接收来自请求资格处理模块的接受鉴权请求指示，并执行互认证过程；完成互认证过程后，向请求资格处理模块发送互认证结果指示；

用于判断用户是否具有鉴权请求资格的请求资格处理模块，接收来自用户终端的鉴权请求，在用户具有鉴权请求资格时，向所述互认证处理模块发送接受鉴权请求指示；在用户不具有鉴权请求资格时，拒绝用户鉴权请求；接收来自所述互认证处理模块的互认证结果指示，并根据互认证结果指示，记录互认证用户相关信息。

11.根据权利要求10所述的装置，其特征在于，所述请求资格处理模块包括：鉴权计数器和请求资格处理单元，其中，

用于记录用户的鉴权失败次数的鉴权计数器，接收来自请求资格处理单元的增加指示，将自身加一；或接收来自请求资格处理单元的清除指示，将自身清零；

请求资格处理单元，根据从鉴权计数器中读取当前用户的鉴权失败次数，拒绝用户终端请求或向所述互认证处理模块发送接受鉴权请求指示；根据来自所述互认证处理模块的互认证结果指示，向所述鉴权计数器发送清除指示或增加指示。

12.根据权利要求11所述的装置，其特征在于，该装置还包括：

解禁模块，接收来自所述请求资格处理单元的禁止指示，并启动一解禁定时器，在解禁定时器达到时限时，向所述请求资格处理单元发送解禁指示；

所述请求资格处理单元还包括，接收来自所述互认证处理模块的互认证结果指示为失败，向所述解禁模块发送禁止指示；接收来自所述解禁模块的解禁指示，向所述鉴权计数器发送清除指示。

13.根据权利要求11所述的装置，其特征在于，该装置还包括：

鉴权请求次数计数器，接收来自请求资格处理单元的禁止指示，并启动一鉴权请求次数计数器，在鉴权请求次数计数器为零时，向请求资格处理单元发送解禁指示；

所述请求资格处理单元还包括，接收来自所述互认证处理模块的互认证结果指示为失败，向所述鉴权请求次数计数器发送禁止指示；接收来自所述鉴权请求次数计数器的解禁指示，向所述鉴权计数器发送清除指示；每接收到来自该用户终端一次鉴权请求，触发鉴权请求次数计数器减一。

14.根据权利要求10所述的装置，其特征在于，所述请求资格处理模块包括：限定定时器和请求资格处理单元，

用于限定各用户发起的两次鉴权请求的时间间隔或者用于限定各用户每次鉴权失败后，到再次发起鉴权请求的时间间隔的限定定时器，将表示自身是否达到时限的达到时限指示发送给请求资格处理单元；接收到来自请求资格处理单元的启动指示后，自身被启动；

请求资格处理单元，根据来自限定定时器的达到时限指示向限定定时器发送启动指示、向所述互认证处理模块发送接受鉴权请求指示，或拒绝用户鉴权请求；根据来自所述互认证处理模块互认证结果指示，记录本次鉴权请求的时间或本次鉴权失败的时间。

Images