CN101193424B - 一种鉴权方法以及设备 - Google Patents
一种鉴权方法以及设备 Download PDFInfo
- Publication number
- CN101193424B CN101193424B CN2006101450237A CN200610145023A CN101193424B CN 101193424 B CN101193424 B CN 101193424B CN 2006101450237 A CN2006101450237 A CN 2006101450237A CN 200610145023 A CN200610145023 A CN 200610145023A CN 101193424 B CN101193424 B CN 101193424B
- Authority
- CN
- China
- Prior art keywords
- hlr
- auc
- identification information
- authentication
- authentication parameter
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Abstract
本发明公开一种鉴权方法以及设备。所述鉴权方法包括步骤:在鉴权参数中加入HLR/AUC标识信息,发送携带有所述HLR/AUC标识信息的鉴权参数;HLR/AUC接收所述携带有HLR/AUC标识信息的鉴权参数,HLR/AUC所接收的鉴权参数为RAND或AUTS,根据所述RAND或AUTS所携带的HLR/AUC标识信息确定HLR/AUC,判断所述确定的HLR/AUC是否为自身,如果是,则进行合法性验证;如果否,则产生新的鉴权元组。本发明可以在鉴权的过程中识别产生鉴权参数的HLR/AUC,进而可以使用相应的鉴权参数进行操作,从而可以避免产生鉴权错误。
Description
技术领域
本发明涉及无线通信领域,特别是涉及通信系统中一种鉴权方法以及设备。
背景技术
现有的第三代(3G)移动通信系统中,在移动终端(MS)中保存有国际移动用户标识信息(IMSI)、鉴权密钥(KI)和序列号(SQNMS)。网络侧的归属位置寄存器/鉴权中心(HLR/AUC)中针对该移动终端对应保存有IMSI、KI和序列号SQNHE,以用于移动终端和网络相互鉴权。
参阅图1,3G通信系统的现有鉴权技术主要包括以下设置和流程:
101、HLR/AUC产生随机数(RAND,Random Challenge),根据RAND和KI产生期望响应(XRES,Expected Response)、加密密钥(CK,Cipher Key)、完整性密钥(IK,Integrity Key);根据RAND、SQNHE、KI和鉴权管理域(AMF)产生出消息鉴权编码(MAC-A),根据MAC-A、SQNHE、AK和AMF得到鉴权标记AUTN(Authentication Token);由RAND、XRES、CK、IK和AUTN组成鉴权五元组;
以上所述的RAND、KI、SQNMS、SQNHE、XRES、CK、IK、AMF、MAC-A、AUTN还有后面将要提到的再同步标记(AUTS)可以统称为鉴权参数;
102、开始鉴权流程后,移动交换中心/拜访位置寄存器(MSC/VLR)请求HLR/AUC提供鉴权参数,即鉴权五元组;
103、HLR/AUC应MSC/VLR的请求将产生的相应的一个或多个鉴权五元组发送给MSC/VLR保存;
另外,可以在MSC/VLR请求HLR/AUC提供鉴权五元组时HLR/AUC才产生鉴权五元组;
104、MSC/VLR将对应鉴权五元组中RAND和AUTN发送给MS;
105、MS根据自己保存的KI验证AUTN的一致性,如果一致性验证不通过,则转向步骤106;若一致性验证通过,则转向步骤107;
106、MS向MSC/VLR返回鉴权失败信息;
107、MS判断SQNHE是否属于可接受的范围:若属于,则转向步骤108;若不属于,则转向步骤109;
108、MS判断出对网络鉴权通过,MS向MSC/VLR返回MS自己产生的鉴权响应,并根据AUTN中的SQNHE更新SQNMS,MSC/VLR比较MS返回的鉴权响应和对应五元组中的XRES是否一致来判断终端的合法性;
109、MS根据SQNMS产生再同步标记(AUTS);
110、MS向网络侧MSC/VLR返回再同步请求或同步失败(Synchronisationfailure)消息,同时附上产生的AUTS,也即消息中包含AUTS;
111、网络侧MSC/VLR接收到AUTS时,将AUTS和对应鉴权五元组中的RAND发送给HLR/AUC;
112、HLR/AUC根据对应保存的KI和接收到的RAND,判断AUTS的合法性,如果不合法,则转向步骤113;如果判断出AUTS合法,则转向步骤114;
113、HLR/AUC向MSC/VLR返回AUTS不合法信息;
114、HLR/AUC根据AUTS中的SQNMS更新SQNHE;
115、HLR/AUC产生一个新的鉴权五元组并将新的五元组发送给MSC/VLR,MSC/VLR接收到新的五元组后,删除对应的旧的五元组。
关于上述鉴权流程,可以参照3GPP规范。
现有网络中,网络侧拥有互为备份的HLR/AUC资源池。一般地,HLR/AUC资源池只有主备两个HLR/AUC。出于维护的目的或者是由于某个HLR/AUC故障,所述主备两个HLR/AUC会发生倒换或切换。例如,主HLR/AUC故障,网络切换到备HLR/AUC,将备HLR/AUC作为当前运行HLR/AUC;或者反之,由备HLR/AUC切换到主HLR/AUC。
为了增强KI的安全性,运营商通常对KI进行动态更新。在动态更新KI的情况下,HLR/AUC和MS中保存的KI不再固定不变,而是根据要求不断地引进新的随机因素,使KI不断改变,从而增强KI的安全性。
但是,在主备HLR/AUC的组网方式下,主备HLR/AUC中的KI可能会因为动态更新而导致不一致。在主备HLR/AUC发生倒换之后,由于主备HLR/AUC的KI不一致,而且鉴权进程中现有技术无法识别产生鉴权参数的HLR/AUC,所以在鉴权进程中将会使用不相一致的KI与鉴权参数进行相互验证,这将会出现错误的鉴权结果。具体来说,由于以上原因会导致在鉴权进程中的两个步骤出现错误的鉴权结果,以下分别说明:
一、鉴权进程开始后,当前HLR/AUC根据自身的KI产生AUTN,而MS保存的KI是与上次HLR/AUC相对应的,所以当进行到一致性验证时,由于KI与AUTN不一致,所以无论是否应当通过一致性验证,都会产生一致性验证不通过的结果;
二、当对AUTS的合法性进行验证时,如果将AUTS发送到了与AUTS本身不一致的HLR/AUC上时,由于KI与AUTS不一致,所以无论是否应当通过合法性验证,都会产生合法性验证不通过的结果。
由于主备HLR/AUC发生倒换,也可能出现由于主备HLR/AUC的SQNHE序列不同而在进行可接受性判断时出现判断错误。具体来说,发生主备HLR/AUC倒换后,当鉴权进程进行到可接受性判断时,终端会根据其对应于倒换前HLR/AUC的SQNMS来判断当前的HLR/AUC的SQNHE的可接受性,所以此时只能判断出SQNHE不能被接受的结果。
综上所述,主备HLR/AUC发生倒换后,在随后的鉴权进程中,由于现有技术在鉴权进程中无法识别产生鉴权参数的HLR/AUC,所以将会产生错误的鉴权结果。
发明内容
本发明目的是通过在鉴权参数中加入HLR/AUC标识信息,解决由于在鉴权进程中无法识别产生鉴权参数的HLR/AUC,进而发生鉴权错误的问题,为了达到所述目的:
本发明提供了一种鉴权方法,包括:
在鉴权参数中加入HLR/AUC标识信息,发送携带有所述HLR/AUC标识信息的鉴权参数;
HLR/AUC接收所述携带有HLR/AUC标识信息的鉴权参数,HLR/AUC所接收的鉴权参数为RAND或AUTS,根据所述RAND或AUTS所携带的HLR/AUC标识信息确定HLR/AUC,判断所述确定的HLR/AUC是否为自身,如果是,则进行合法性验证;如果否,则产生新的鉴权元组。
优选地,所述HLR/AUC标识信息采用在鉴权参数的特定位表示。
优选地,所述在鉴权参数中加入HLR/AUC标识信息包括先生成鉴权参数,再调整其特定位的值;或先生成鉴权参数的特定位的值,再生成该鉴权参数的其他位。
本发明提供了另一种鉴权方法,包括:
在鉴权参数中加入HLR/AUC标识信息,发送携带有所述HLR/AUC标识信息的鉴权参数;
终端接收所述携带有HLR/AUC标识信息的鉴权参数,根据所携带的HLR/AUC标识信息确定HLR/AUC,使用预先保存的对应于所述HLR/AUC的鉴权密钥对鉴权标记进行一致性验证;
当一致性验证通过后,终端使用预先保存的对应于所述HLR/AUC的SQNMS对SQNHE进行可接受性验证;
进行合法性判断前,HLR/AUC接收所述携带有HLR/AUC标识信息的鉴权参数,HLR/AUC所接收的鉴权参数为RAND或AUTS,根据所述RAND或AUTS所携带的HLR/AUC标识信息确定HLR/AUC,判断所述确定的HLR/AUC是否为自身,如果是,则进行合法性验证;如果否,则产生新的鉴权元组。
本发明还提供一种通信设备,包括发送单元,还包括鉴权参数生成单元,所述鉴权参数生成单元用于生成携带有HLR/AUC标识信息的鉴权参数;所述发送单元用于发送所述携带有HLR/AUC标识信息的鉴权参数;
所述鉴权参数生成单元包括基本参数生成单元与标识位生成单元;
所述基本参数生成单元用于生成所述鉴权参数,所述标识位生成单元用于调整所述鉴权参数中的特定位的值;
或所述基本参数生成单元用于生成所述鉴权参数除特定位以外的所有位,所述标识位生成单元用于生成所述特定位的值。
由于在发送到终端的鉴权参数中加入HLR/AUC标识信息,可以在鉴权的过程中识别产生鉴权参数的HLR/AUC,进而可以使用相应的操作,从而可以避免产生鉴权错误。
本发明给出了不止一种的在鉴权参数中加入HLR/AUC标识信息的方法,有利于用户进行选择。
本发明在进行一致性验证时,通过识别产生鉴权参数的HLR/AUC,终端使用相应的鉴权密钥验证HLR/AUC的鉴权标记,避免了使用不一致的鉴权密钥和鉴权标记进行验证而出现的鉴权错误。
本发明在进行合法性验证前,通过识别产生鉴权参数的HLR/AUC,HLR/AUC根据鉴权参数的生成者是否为自身而进行相应的操作,避免了在进行合法性验证时由于进行验证的参数不一致而出现的鉴权错误。
本发明在进行可接受性验证时,通过识别产生鉴权参数的HLR/AUC,终端使用相应的SQNMS验证SQNHE的可接受性,避免了使用不一致的SQNMS对SQNHE进行可接受性验证而出现的鉴权错误。
本发明还给出了同时解决在一致性验证、合法性验证、可接受性验证出现鉴权错误的方案。
由于本发明通过鉴权参数生成单元在鉴权参数中生成HLR/AUC标识信息,鉴权时标识信息解析单元得到HLR/AUC标识信息,相关设备通过所述HLR/AUC标识信息识别产生鉴权参数的HLR/AUC,进而可以使用相应的操作,从而可以避免产生鉴权错误。
附图说明
图1是现有技术的鉴权方法时序图;
图2是本发明为解决现有技术在进行一致性验证时出现问题而提出的方法实施例的流程图;
图3是本发明为解决现有技术在进行合法性验证时出现问题而提出的方法实施例的流程图;
图4是本发明为解决现有技术在进行可接受性验证时出现问题而提出的方法实施例的流程图;
图5是本发明一种鉴权方法的第一实施例的时序图;
图6是本发明一种鉴权方法的第二实施例的时序图;
图7是本发明一种鉴权方法的第三实施例的时序图;
图8是本发明一种鉴权方法的第四实施例的时序图;
图9是本发明通信系统实施例的原理框图;
图10是本发明通信设备一实施例的原理框图;
图11是本发明通信设备二实施例的原理框图。
具体实施方式
本发明实施例主要是:在鉴权参数中加入HLR/AUC标识信息,发送携带有所述HLR/AUC标识信息的鉴权参数;接收所述鉴权参数,根据所携带的HLR/AUC标识信息确定HLR/AUC,基于所述HLR/AUC及所述鉴权参数进行鉴权进程。
以第三代移动通信系统为例,如前所述,由于无法区分主备HLR/AUC而产生鉴权错误,原因如下:
一、进行一致性验证与合法性验证时,由于HLR/AUC发生倒换,进行鉴权的KI不一致而产生的;
二、进行可接受性验证时,由于HLR/AUC发生倒换,进行鉴权的SQNHE与SQNMS不一致而产生的。
一致性验证即就是终端使用自身保存的KI对HLR/AUC产生的AUTN进行验证的过程,现有技术中由于终端不对AUTN的产生者进行区分,发生HLR/AUC倒换后会使用不相一致的KI与AUTN进行验证,这将会产生错误的鉴权结果。本发明实施例提出的解决方案如下,如图2所示,包括步骤:
201、HLR/AUC产生鉴权参数,并在鉴权参数中加入HLR/AUC标识信息;
202、HLR/AUC将产生的鉴权参数发送给VLR;
203、VLR将所述的鉴权参数发送给终端;
204、终端解析得到所述的HLR/AUC标识信息;
205、终端根据所述的HLR/AUC标识信息,取出预先保存的与该HLR/AUC相应的KI验证AUTN的一致性。
进行鉴权的KI不一致还会导致在进行合法性验证时出现鉴权错误。合法性验证即就是在同步过程中,HLR/AUC根据自身保存的KI与接收到的RAND判断终端产生的AUTS是否合法。例如,在现有技术中,当发生主备HLR/AUC倒换后,可能会发生终端产生的AUTS是根据与主HLR相关的SQNMS产生的,而将该AUTS发送到备HLR/AUC进行合法性验证,这将会产生错误的鉴权结果。本发明实施例提出的解决方案如下,如图3所示,包括步骤:
301、HLR/AUC产生鉴权参数,并在其中的RAND中加入HLR/AUC标识信息;
302、HLR/AUC将产生的鉴权参数发送给VLR;
303、VLR将所述的鉴权参数发送给终端;
304、终端对AUTN进行一致性验证,并验证通过;
305、终端对SQNHE进行可接受性验证,并验证不通过;
306、终端产生AUTS,并通过VLR发送AUTS和RAND到HLR/AUC;
307、HLR/AUC解析RAND得到所述的HLR/AUC标识信息;
308、HLR/AUC根据RAND中的HLR/AUC标识信息判断该HLR/AUC是否为自身,如果是则HLR/AUC根据自身保存的KI与接收到的RAND判断终端产生的AUTS是否合法;如果不一致则产生新的包含HLR/AUC标识信息的鉴权参数向VLR发送;
其中,步骤301、306、308还可以为:
301`、HLR/AUC产生鉴权参数,并在其中的AUTN中加入HLR/AUC标识信息;
306`、终端根据AUTN中的HLR/AUC标识信息产生带有HLR/AUC标识信息的AUTS,并通过VLR发送该AUTS和RAND到HLR/AUC;
308`、HLR/AUC根据AUTS中的HLR/AUC标识信息判断该HLR/AUC是否与自身一致,如果一致则进行合法性判断;如果不一致则产生新的包含HLR/AUC标识信息的鉴权参数向VLR发送。
以上方案解决了由于KI不一致而产生鉴权错误的问题,下面说明针对在进行可接受性验证时出现鉴权错误的问题的解决方法。
可接收性验证即就是当一致性验证通过后,终端用自身保存的SQNMS判断SQNHE是否可接受,现有技术中由于终端不对SQNHE的产生者进行区分,发生HLR/AUC倒换后会使用不相一致的SQNMS对SQNHE进行验证,这将会产生错误的鉴权结果。本发明实施例提出的解决方法如下,如图4所示,包括步骤:
401、HLR/AUC产生鉴权参数,并在鉴权参数中加入HLR/AUC标识信息;
402、HLR/AUC将产生的鉴权参数发送给VLR;
403、VLR将所述的鉴权参数发送给终端;
404、终端解析得到所述的HLR/AUC标识信息;
405、终端根据所述的HLR/AUC标识信息,取出预先保存的与该HLR/AUC相应的SQNMS验证SQNHE的可接受性。
对于以上这些方法,其中向鉴权参数中加入HLR/AUC标识信息是通过以下方法实现的:
对欲加入标识信息的鉴权参数,将该参数的某一位或几位设置为特殊值来标识HLR/AUC。例如,可以把某参数的最后一位设置用作标识HLR/AUC,设定其为“0”时代表主HLR/AUC,设定其为“1”时代表备HLR/AUC。当系统中的HLR/AUC多于两个时,则需要更多的位来标识不同的HLR/AUC。设置时,可以先按现有技术产生参数,而后调整参数的特定位使其能够标识该HLR/AUC的HLR/AUC资源池编号;也可以先用特定位标识HLR/AUC的HLR/AUC资源池编号,而后产生该参数的其他位。
以下结合附图对本发明进行详细说明。
如图5所示为本发明一种鉴权方法的第一实施例的时序图,该实施例给出了一个解决现有技术在进行一致性验证时产生鉴权错误的问题的具体方案,其具体包括以下设置和流程:
设置:
一、在通信系统的HLR/AUC中设置有该HLR/AUC在互为备份的HLR/AUC资源池中的编号,在当互为备份的HLR/AUC资源池中只有两个HLR/AUC时,该编号可以是“0”和“1”,当互为备份的HLR/AUC资源池中有三个HLR/AUC时,该编号可以是“0”、“1”和“2”,当互为备份的HLR/AUC资源池中有四个HLR/AUC时,该编号可以是“0”、“1”、“2”,和“3”。本实施方式中,在互为备份的HLR/AUC资源池中有两个HLR/AUC,将主HLR/AUC的HLR/AUC资源池编号设置位“0”,备用HLR/AUC的资源池编号为“1”;
二、终端预先与HLR/AUC约定好HLR/AUC标识信息识别方法,即终端上有解析HLR/AUC标识信息的软硬件单元;
三、终端分别保存与不同HLR/AUC相一致的KI。
流程:
501、HLR/AUC产生随机数RAND,根据RAND和KI产生XRES、CK、IK;根据RAND、SQNHE、KI和AMF产生出MAC-A,根据MAC-A,SQNHE、AK和AMF得到AUTN。由RAND和XRES、CK、IK和AUTN组成鉴权五元组参数;
其中,在所述AMF中特定的位,加入HLR/AUC的标识信息。具体是将AMF中的某一位或某几位设置为特殊值来标识该HLR/AUC的HLR/AUC资源池编号。在本实施例中更具体地是将AMF的最高位设置为表示该HLR/AUC是主HLR/AUC还是备HLR/AUC。在该HLR/AUC是主HLR/AUC情况下,该AMF的最高位设置为“0”;在该HLR/AUC是备HLR/AUC情况下,该AMF的最高位设置为“1”。在产生鉴权元组时,可以先按现有技术产生AMF,而后调整该AMF的最高位使其能够标识该HLR/AUC的HLR/AUC资源池编号;也可以先用最高位标识HLR/AUC的HLR/AUC资源池编号,而后产生该AMF的其他位;
502、开始鉴权流程后,VLR/SGSN请求HLR/AUC提供鉴权参数,即五元组;
503、HLR/AUC应VLR/SGSN的请求将产生的相应的一个或多个五元组发送给VLR/SGSN保存,保存在所述五元组中AMF的HLR/AUC标识信息也一并发送给VLR/SGSN;
504、VLR/SGSN将对应五元组中的RAND和AUTN发送给终端,其中AUTN内的AMF携带有所述HLR/AUC标识信息;
505、终端取得对应特定HLR/AUC的鉴权参数RAND和AUTN,进行鉴权进程;
因为终端预先与HLR/AUC约定好HLR/AUC标识信息识别方法,终端上的解析HLR/AUC标识信息的软硬件单元解析HLR/AUC标识信息。具体是通用移动通信系统用户身份模块(USIM)获取AMF中表示HLR/AUC编号的特定位值,将该值作为该HLR/AUC对应的HLR/AUC资源池编号:USIM判断出AMF的特定位的值为“0”时,即得知该鉴权元组对应的HLR/AUC是主HLR/AUC;在USIM判断出AMF的特定位的值为“1”时,即得知该鉴权元组对应的HLR/AUC是备HLR/AUC;
终端由HLR/AUC标识信息得知鉴权参数的产生者之后,取出自身预先保存的对应于该HLR/AUC的KI验证AUTN的一致性,如果一致性验证不通过,则转向步骤506;若一致性验证通过,则转向步骤507;
506、向VLR/SGSN返回鉴权失败信息;
507、判断AUTN内的SQNHE是否属于可接受的范围:若属于,则转向步骤508;若判断出SQNHE不属于可接受范围,则转向步骤509;
508、终端判断出对网络鉴权通过,终端向VLR/SGSN返回终端自己产生的鉴权响应,并根据AUTN中的SQNHE更新SQNMS,VLR/SGSN比较终端返回的鉴权响应和对应五元组中的XRES是否一致来判断终端的合法性;
509、根据SQNMS产生再同步标记AUTS;
510、向网络侧VLR/SGSN返回再同步请求或同步失败消息,同时附上产生的AUTS,也即消息中包含AUTS;
511、网络侧VLR/SGSN接收到AUTS时,将AUTS和对应五元组中的RAND发送给HLR/AUC;
512、HLR/AUC根据保存的KI和接收到的RAND,判断AUTS的合法性,如果不合法,则转向步骤513;如果判断出AUTS合法,则转向步骤514;
513、HLR/AUC向VLR/SGSN返回AUTS不合法信息;
514、HLR/AUC根据AUTS中的SQNMS更新SQNHE;
515、HLR/AUC产生一个新的携带有所述HLR/AUC标识信息的鉴权五元组,将新的五元组发送给VLR/SGSN,VLR/SGSN接收到新的五元组后,删除对应的旧的五元组。
从以上可以看出,由于在设置里对HLR/AUC资源池的HLR/AUC进行编号,在步骤501里采用HLR/AUC鉴权参数AMF特定位作为此HLR/AUC的标识信息,因此HLR/AUC在收到鉴权参数请求时,返回携带有HLR/AUC标识信息的鉴权参数到终端,可以让终端知道它得到的鉴权参数是来自哪个HLR/AUC。
在本发明实施方式中,可以在VLR/SGSN请求HLR/AUC提供五元组时HLR/AUC才产生携带HLR/AUC标识信息的五元组。
在步骤501中,对于互为备份的HLR/AUC资源池中有三个或者四个HLR/AUC时,可以用两个位来表示资源池编号,例如,分别用两个位的取值“00”表示编号0,用两个位的取值“01”表示编号1,用两个位的取值“10”表示编号2,用两个位的取值“11”表示编号3。依此类推,当有更多的HLR/AUC资源池时,使用更多的位进行标识信息。
上述实施例流程通过AMF来携带HLR/AUC标识信息,实际上,在本发明的其他实施方式中,也可以通过RAND、MAC-A、SQNHE等鉴权参数来携带HLR/AUC标识信息。当进行到终端使用保存的KI对HLR/AUC产生的AUTN进行一致性验证时,终端首先根据AUTN中的上述参数中保存的HLR/AUC标识信息确定AUTN的产生者,然后选择与该HLR/AUC相一致的KI对AUTN进行一致性验证。
本发明第一实施例解决了由于进行鉴权的KI不一致引起的在进行一致性验证时出现的鉴权错误,由于进行鉴权的KI不一致还会引起在合法性验证时出现鉴权错误,以下结合图6说明本发明的第二实施例,该实施例解决了由于进行鉴权的KI不一致引起的在进行合法性验证时出现鉴权错误的问题。
如图6所示为本发明一种鉴权方法的第二实施例的时序图,该实施例给出了一个解决现有技术在进行合法性验证时产生鉴权错误的问题的具体方案,其具体包括以下设置和流程:
设置:
一、在通信系统的HLR/AUC中设置有该HLR/AUC在互为备份的HLR/AUC资源池中的编号,在当互为备份的HLR/AUC资源池中只有两个HLR/AUC时,该编号可以是“0”和“1”,当互为备份的HLR/AUC资源池中有三个HLR/AUC时,该编号可以是“0”、“1”和“2”,当互为备份的HLR/AUC资源池中有四个HLR/AUC时,该编号可以是“0”、“1”、“2”,和“3”。本实施方式中,在互为备份的HLR/AUC资源池中有两个HLR/AUC,将主HLR/AUC的HLR/AUC资源池编号设置位“0”,备用HLR/AUC的资源池编号为“1”;
二、HLR/AUC预先保存HLR/AUC标识信息识别方法,即HLR/AUC上有解析HLR/AUC标识信息的软硬件单元;
流程:
601、HLR/AUC产生随机数RAND,根据RAND和KI产生XRES、CK、IK;根据RAND、SQNHE、KI和AMF产生出MAC-A,根据MAC-A,SQNHE、AK和AMF得到AUTN。由RAND和XRES、CK、IK和AUTN组成鉴权五元组参数;
其中,在所述RAND中特定的位,加入HLR/AUC的标识信息。具体是将RAND中的某一位或某几位设置为特殊值来标识该HLR/AUC的HLR/AUC资源池编号。在本实施例中更具体地是将RAND的最高位设置为表示该HLR/AUC是主HLR/AUC还是备HLR/AUC。在该HLR/AUC是主HLR/AUC情况下,该RAND的最高位设置为“0”;在该HLR/AUC是备HLR/AUC情况下,该RAND的最高位设置为“1”。在产生鉴权元组时,可以先按现有技术产生RAND,而后调整该RAND的最高位使其能够标识该HLR/AUC的HLR/AUC资源池编号;也可以先用最高位标识HLR/AUC的HLR/AUC资源池编号,而后产生该RAND的其他位;
602、开始鉴权流程后,VLR/SGSN请求HLR/AUC提供鉴权参数,即五元组;
603、HLR/AUC应VLR/SGSN的请求将产生的相应的一个或多个五元组发送给VLR/SGSN保存,保存在所述五元组中RAND的HLR/AUC标识信息也一并发送给VLR/SGSN;
604、VLR/SGSN将对应五元组中的RAND和AUTN发送给终端,其中RAND携带有所述HLR/AUC标识信息;
605、终端取得对应特定HLR/AUC的鉴权参数RAND和AUTN,终端取出保存的KI验证AUTN的一致性,如果一致性验证不通过,则转向步骤606;若一致性验证通过,则转向步骤607;
606、向VLR/SGSN返回鉴权失败信息;
607、判断AUTN内的SQNHE是否属于可接受的范围:若属于,则转向步骤608;若判断出SQNHE不属于可接受范围,则转向步骤609;
608、终端判断出对网络鉴权通过,终端向VLR/SGSN返回终端自己产生的鉴权响应,并根据AUTN中的SQNHE更新SQNMS,VLR/SGSN比较终端返回的鉴权响应和对应五元组中的XRES是否一致来判断终端的合法性;
609、根据SQNMS产生再同步标记AUTS;
610、向网络侧VLR/SGSN返回再同步请求或同步失败消息,同时附上产生的再同步标记AUTS,也即消息中包含AUTS;
611、网络侧VLR/SGSN接收到再同步标记AUTS时,将AUTS和对应五元组中的RAND发送给HLR/AUC;
612、HLR/AUC判断接收到的RAND的生成者是否是自身,如果是,则转向步骤613;如果不是,则转向步骤616;
HLR/AUC保存有HLR/AUC标识信息识别方法,HLR/AUC上的解析HLR/AUC标识信息的软硬件单元解析HLR/AUC标识信息。具体是HLR/AUC获取RAND中表示HLR/AUC编号的特定位值,将该值作为该HLR/AUC对应的HLR/AUC资源池编号:在HLR/AUC判断出RAND的特定位的值为“0”时,即得知该鉴权元组对应的HLR/AUC是主HLR/AUC;在HLR/AUC判断出RAND的特定位的值为“1”时,即得知该鉴权元组对应的HLR/AUC是备HLR/AUC;
613、HLR/AUC根据保存的KI和接收到的RAND,判断AUTS的合法性,如果不合法,则转向步骤614;如果判断出AUTS合法,则转向步骤615;
614、HLR/AUC向VLR/SGSN返回AUTS不合法信息;
615、HLR/AUC根据AUTS中的SQNMS更新SQNHE;
616、产生一个新的携带有所述HLR/AUC标识信息的鉴权五元组;将新的五元组发送给VLR/SGSN,VLR/SGSN接收到新的五元组后,删除对应的旧的五元组。
从以上可以看出,由于在设置里对HLR/AUC资源池的HLR/AUC进行编号,在步骤601里采用HLR/AUC鉴权参数RAND特定位作为此HLR/AUC的标识信息,在进行合法性判断之前,HLR/AUC首先根据收到的RAND判断收到的参数是否与自身相关,根据是否相关再进行相应的操作。
在本发明实施方式中,可以在VLR/SGSN请求HLR/AUC提供五元组时HLR/AUC才产生携带HLR/AUC标识信息的五元组。
在步骤601中,对于互为备份的HLR/AUC资源池中有三个或者四个HLR/AUC时,可以用两个位来表示资源池编号,例如,分别用两个位的取值“00”表示编号0,用两个位的取值“01”表示编号1,用两个位的取值“10”表示编号2,用两个位的取值“11”表示编号3。依此类推,当有更多的HLR/AUC资源池时,使用更多的位进行标识。
上述实施例流程通过RAND来携带HLR/AUC标识信息,实际上,在本发明的实施方式中,也可以通过终端产生的AUTS来携带HLR/AUC标识信息。在进行合法性判断之前,HLR/AUC首先根据收到的AUTS判断收到的参数是否与自身相关,根据是否相关再进行相应的操作。
本发明第二实施例是采用在合法性判断之前由HLR/AUC根据鉴权参数携带的HLR/AUC标识信息判断AUTS是否与自身一致,然后进行合法性判断或者产生新参数进行重新鉴权的,实际上,还可以有另外两种方式防止在进行合法性判断时出现鉴权错误:
方式一、终端在产生AUTS时,可以不加任何HLR/AUC标记,HLR/AUC直接判断AUTS的合法性,并在合法性通过后根据SQNMS更新SQNHE;如果合法性验证不通过,则不根据SQNMS更新SQNHE。不论合法性验证通过与否,都产生一组鉴权元组发送给VLR。合法性验证不通过,说明同步消息可能是另外一个HLR/AUC的鉴权元组引起的,或者是攻击者窜改了消息参数内容引起,不存在攻击者利用以前收集到的RAND、AUTN和用户返回的RES构造的攻击,因为这种消息会被VLR过滤掉;
方式二、VLR根据配置HLR/AUC的局数据判断引起同步流程的鉴权元组是否是当前HLR/AUC产生,如果是,则将所述鉴权元组传送给所述HLR/AUC,否则,从HLR/AUC获取新鉴权元组,并对终端重新鉴权。
以上几个实施例解决了由于进行鉴权的KI不一致引起鉴权错误的问题,由于进行鉴权的SQNMS不一致也会引起鉴权错误,所以以下结合附图详细说明本发明解决该问题的方法的实施例。
如图7所示为本发明一种鉴权方法的第三实施例的时序图,该实施例给出了一个解决现有技术在进行可接受性验证时产生鉴权错误的问题的具体方案,其具体包括以下设置和流程:
设置:
一、在通信系统的HLR/AUC中设置有该HLR/AUC在互为备份的HLR/AUC资源池中的编号,在当互为备份的HLR/AUC资源池中只有两个HLR/AUC时,该编号可以是“0”和“1”,当互为备份的HLR/AUC资源池中有三个HLR/AUC时,该编号可以是“0”、“1”和“2”,当互为备份的HLR/AUC资源池中有四个HLR/AUC时,该编号可以是“0”、“1”、“2”,和“3”。本实施方式中,在互为备份的HLR/AUC资源池中有两个HLR/AUC,将主HLR/AUC的HLR/AUC资源池编号设置位“0”,备用HLR/AUC的资源池编号为“1”;
二、终端预先与HLR/AUC约定好HLR/AUC标识信息识别方法,即终端上有解析HLR/AUC标识信息的软硬件单元;
三、终端分别保存与不同HLR/AUC相一致的SQNMS。
流程:
701、HLR/AUC产生随机数RAND,根据RAND和KI产生XRES、CK、IK;根据RAND、SQNHE、KI和AMF产生出MAC-A,根据MAC-A,SQNHE、AK和AMF得到AUTN。由RAND和XRES、CK、IK和AUTN组成鉴权五元组参数;
其中,在所述AMF中特定的位,加入HLR/AUC的标识信息。具体是将AMF中的某一位或某几位设置为特殊值来标识该HLR/AUC的HLR/AUC资源池编号。在本实施例中更具体地是将AMF的最高位设置为表示该HLR/AUC是主HLR/AUC还是备HLR/AUC。在该HLR/AUC是主HLR/AUC情况下,该AMF的最高位设置为“0”;在该HLR/AUC是备HLR/AUC情况下,该AMF的最高位设置为“1”。在产生鉴权元组时,可以先按现有技术产生AMF,而后调整该AMF的最高位使其能够标识该HLR/AUC的HLR/AUC资源池编号;也可以先用最高位标识HLR/AUC的HLR/AUC资源池编号,而后产生该AMF的其他位;
702、开始鉴权流程后,VLR/SGSN请求HLR/AUC提供鉴权参数,即五元组;
703、HLR/AUC应VLR/SGSN的请求将产生的相应的一个或多个五元组发送给VLR/SGSN保存,保存在所述五元组中AMF的HLR/AUC标识信息也一并发送给VLR/SGSN;
704、VLR/SGSN将对应五元组中的RAND和AUTN发送给终端,其中AUTN内的AMF携带有所述HLR/AUC标识信息;
705、终端取得对应特定HLR/AUC的鉴权参数RAND和AUTN,终端取出保存的KI验证AUTN的一致性,如果一致性验证不通过,则转向步骤706;若一致性验证通过,则转向步骤707;
706、向VLR/SGSN返回鉴权失败信息;
707、终端根据AMF中携带的HLR/AUC标识信息选择对应于该HLR/AUC的SQNMS对SQNHE进行可接受性验证,如果可接受性验证通过,则转向步骤708;若可接受性验证不通过,则转向步骤709;
因为终端预先与HLR/AUC约定好HLR/AUC标识信息识别方法,终端上的解析HLR/AUC标识信息的软硬件单元解析HLR/AUC标识信息。具体是USIM获取AMF中表示HLR/AUC编号的特定位值,将该值作为该HLR/AUC对应的HLR/AUC资源池编号。具体是在USIM判断出AMF的特定位的值为“0”时,即得知该鉴权元组对应的HLR/AUC是主HLR/AUC;在USIM判断出AMF的特定位的值为“1”时,即得知该鉴权元组对应的HLR/AUC是备HLR/AUC;
708、终端判断出对网络鉴权通过,终端向VLR/SGSN返回终端自己产生的鉴权响应,并根据AUTN中的SQNHE更新SQNMS,VLR/SGSN比较终端返回的鉴权响应和对应五元组中的XRES是否一致来判断终端的合法性;
709、根据SQNMS产生再同步标记AUTS;
710、向网络侧VLR/SGSN返回再同步请求或同步失败消息,同时附上产生的AUTS,也即消息中包含AUTS;
711、网络侧VLR/SGSN接收到AUTS时,将AUTS和对应五元组中的RAND发送给HLR/AUC;
712、HLR/AUC根据保存的KI和接收到的RAND,判断AUTS的合法性,如果不合法,则转向步骤713;如果判断出AUTS合法,则转向步骤714;
713、HLR/AUC向VLR/SGSN返回AUTS不合法信息;
714、HLRR/AUC根据AUTS中的SQNMS更新SQNHE;
715、HLR/AUC产生一个新的携带有所述HLR/AUC标识信息的鉴权五元组,将新的五元组发送给VLR/SGSN,VLR/SGSN接收到新的五元组后,删除对应的旧的五元组。
从以上可以看出,由于在设置里对HLR/AUC资源池的HLR/AUC进行编号,在步骤701里采用HLR/AUC鉴权参数AMF特定位作为此HLR/AUC的标识信息,因此HLR/AUC在收到鉴权参数请求时,返回携带有HLR/AUC标识信息的鉴权参数到终端,可以让终端知道它得到的鉴权参数是来自哪个HLR/AUC。
在本发明实施方式中,可以在VLR/SGSN请求HLR/AUC提供五元组时HLR/AUC才产生携带HLR/AUC标识信息的五元组。
在步骤701中,对于互为备份的HLR/AUC资源池中有三个或者四个HLR/AUC时,可以用两个位来表示资源池编号,例如,分别用两个位的取值“00”表示编号0,用两个位的取值“01”表示编号1,用两个位的取值“10”表示编号2,用两个位的取值“11”表示编号3。依此类推,当有更多的HLR/AUC资源池时,使用更多的位进行标识。
上述实施例流程通过AMF来携带HLR/AUC标识信息,实际上,在本发明的实施方式中,也可以通过RAND、MAC-A、SQNHE等鉴权参数来携带HLR/AUC标识信息。当进行到终端使用保存的SQNMS对HLR/AUC产生的SQNHE进行可接受性验证时,终端首先根据上述参数中保存的HLR/AUC标识信息确定SQNHE的产生者,然后选择与该HLR/AUC相一致的SQNMS对该SQNHE进行一致性验证。
以上对发生HLR/AUC倒换后,针对在鉴权进程中的一致性验证、合法性验证、可接受性验证步骤中的每个步骤发生鉴权错误的解决方案的实施例,实际上,这些方案相互独立,可以根据实际需要而在同一个系统中应用以上方案的任意组合,如可以在同一个系统中同时解决一致性验证、合法性验证、可接受性验证步骤中发生鉴权错误的问题,如图8所示为本发明的第四实施例的时序图,该实施例同时解决了上述的问题。
如图8所示为本发明一种鉴权方法的第四实施例的时序图,其具体包括以下设置和流程:
设置:
一、在通信系统的HLR/AUC中设置有该HLR/AUC在互为备份的HLR/AUC资源池中的编号,在当互为备份的HLR/AUC资源池中只有两个HLR/AUC时,该编号可以是“0”和“1”,当互为备份的HLR/AUC资源池中有三个HLR/AUC时,该编号可以是“0”、“1”和“2”,当互为备份的HLR/AUC资源池中有四个HLR/AUC时,该编号可以是“0”、“1”、“2”,和“3”。本实施方式中,在互为备份的HLR/AUC资源池中有两个HLR/AUC,将主HLR/AUC的HLR/AUC资源池编号设置位“0”,备用HLR/AUC的资源池编号为“1”;
二、终端预先与HLR/AUC约定好HLR/AUC标识信息识别方法,即终端上有解析HLR/AUC标识信息的软硬件单元;HLR/AUC预先保存了HLR/AUC标识信息识别方法,即HLR/AUC上也有解析HLR/AUC标识信息的软硬件单元;
三、终端分别保存与不同HLR/AUC相一致的KI与SQNMS。
流程:
801、HLR/AUC产生随机数RAND,根据RAND和KI产生XRES、CK、IK;根据RAND、SQNHE、KI和AMF产生出MAC-A,根据MAC-A,SQNHE、AK和AMF得到AUTN。由RAND和XRES、CK、IK和AUTN组成鉴权五元组参数;
其中,在所述AMF中特定的位,加入HLR/AUC的标识信息。具体是将AMF中的某一位或某几位设置为特殊值来标识该HLR/AUC的HLR/AUC资源池编号。在本实施例中更具体地是将AMF的最高位设置为表示该HLR/AUC是主HLR/AUC还是备HLR/AUC。在该HLR/AUC是主HLR/AUC情况下,该AMF的最高位设置为“0”;在该HLR/AUC是备HLR/AUC情况下,该AMF的最高位设置为“1”。在产生鉴权元组时,可以先按现有技术产生AMF,而后调整该AMF的最高位使其能够标识该HLR/AUC的HLR/AUC资源池编号;也可以先用最高位标识HLR/AUC的HLR/AUC资源池编号,而后产生该AMF的其他位;
802、开始鉴权流程后,VLR/SGSN请求HLR/AUC提供鉴权参数,即五元组;
803、HLR/AUC应VLR/SGSN的请求将产生的相应的一个或多个五元组发送给VLR/SGSN保存,保存在所述五元组中AMF的HLR/AUC标识信息也一并发送给VLR/SGSN;
804、VLR/SGSN将对应五元组中的RAND和AUTN发送给终端,其中AUTN内的AMF携带有所述HLR/AUC标识信息;
805、终端取得对应特定HLR/AUC的鉴权参数RAND和AUTN,进行鉴权进程;
因为终端预先与HLR/AUC约定好HLR/AUC标识信息识别方法,终端上的解析HLR/AUC标识信息的软硬件单元解析HLR/AUC标识信息。具体是USIM获取AMF中表示HLR/AUC编号的特定位值,将该值作为该HLR/AUC对应的HLR/AUC资源池编号。具体是在USIM判断出AMF的特定位的值为“0”时,即得知该鉴权元组对应的HLR/AUC是主HLR/AUC;在USIM判断出AMF的特定位的值为“1”时,即得知该鉴权元组对应的HLR/AUC是备HLR/AUC;
终端由HLR/AUC标识信息得知鉴权参数的产生者之后,取出自身预先保存的对应于该HLR/AUC的KI验证AUTN的一致性,如果一致性验证不通过,则转向步骤806;若一致性验证通过,则转向步骤807;
806、向VLR/SGSN返回鉴权失败信息;
807、终端根据AMF中携带的HLR/AUC标识信息选择对应于该HLR/AUC的SQNMS验证SQNHE的可接受性,如果可接受性验证通过,则转向步骤808;若可接受性验证不通过,则转向步骤809;
808、终端判断出对网络鉴权通过,终端向VLR/SGSN返回终端自己产生的鉴权响应,并根据AUTN中的SQNHE更新SQNMS,VLR/SGSN比较终端返回的鉴权响应和对应五元组中的XRES是否一致来判断终端的合法性;
809、根据SQNMS产生再同步标记AUTS,并在AUTS中特定的位加入HLR/AUC的标识信息。具体是将AUTS中的某一位或某几位设置为特殊值来标识该HLR/AUC的HLR/AUC资源池编号。在本实施例中更具体地是将AUTS的最高位设置为表示该HLR/AUC是主HLR/AUC还是备HLR/AUC。在该HLR/AUC是主HLR/AUC情况下,该AUTS的最高位设置为“0”;在该HLR/AUC是备HLR/AUC情况下,该AUTS的最高位设置为“1”。在产生鉴权元组时,可以先按现有技术产生AUTS,而后调整该AUTS的最高位使其能够标识该HLR/AUC的HLR/AUC资源池编号;也可以先用最高位标识HLR/AUC的HLR/AUC资源池编号,而后产生该AUTS的其他位;
810、向网络侧VLR/SGSN返回再同步请求或同步失败消息,同时附上产生的AUTS,也即消息中包含AUTS;
811、网络侧VLR/SGSN接收到AUTS时,将AUTS和对应五元组中的RAND发送给HLR/AUC;
812、HLR/AUC判断接收到的AUTS的生成者是否是自身,如果是,则转向步骤813;如果不是,则转向步骤816;
HLR/AUC保存有HLR/AUC标识信息识别方法,HLR/AUC上的解析HLR/AUC标识信息的软硬件单元解析HLR/AUC标识信息。具体是HLR/AUC获取AUTS中表示HLR/AUC编号的特定位值,将该值作为该HLR/AUC对应的HLR/AUC资源池编号。具体是在HLR/AUC判断出AUTS的特定位的值为“0”时,即得知该鉴权元组对应的HLR/AUC是主HLR/AUC;在HLR/AUC判断出AUTS的特定位的值为“1”时,即得知该鉴权元组对应的HLR/AUC是备HLR/AUC;
813、HLR/AUC根据保存的KI和接收到的RAND,判断AUTS的合法性,如果不合法,则转向步骤814;如果判断出AUTS合法,则转向步骤815;
814、HLR/AUC向VLR/SGSN返回AUTS不合法信息;
815、HLR/AUC根据AUTS中的SQNMS更新SQNHE;
816、产生一个新的携带有所述HLR/AUC标识信息的鉴权五元组;将新的五元组发送给VLR/SGSN,VLR/SGSN接收到新的五元组后,删除对应的旧的五元组。
从以上可以看出,由于在设置里对HLR/AUC资源池的HLR/AUC进行编号,在步骤801里采用HLR/AUC鉴权参数AMF特定位作为此HLR/AUC的标识信息,因此HLR/AUC在收到鉴权参数请求时,返回携带有HLR/AUC标识信息的鉴权参数到终端,可以让终端知道它得到的鉴权参数是来自哪个HLR/AUC;在步骤809里采用HLR/AUC鉴权参数AUTS特定位作为此HLR/AUC的标识信息,在进行合法性判断之前,HLR/AUC首先根据收到的AUTS判断收到的参数是否与自身相关,根据是否相关再进行相应的操作。
在本发明实施方式中,可以在VLR/SGSN请求HLR/AUC提供五元组时HLR/AUC才产生携带HLR/AUC标识信息的五元组。
在步骤801及809中,对于互为备份的HLR/AUC资源池中有三个或者四个HLR/AUC时,可以用两个位来表示资源池编号,例如,分别用两个位的取值“00”表示编号0,用两个位的取值“01”表示编号1,用两个位的取值“10”表示编号2,用两个位的取值“11”表示编号3。依此类推,当有更多的HLR/AUC资源池时,使用更多的位进行标识。
上述实施例流程通过AMF及AUTS来携带HLR/AUC标识信息,实际上,在本发明的实施方式中,AMF也可以换作RAND、MAC-A、SQNHE等鉴权参数来携带HLR/AUC标识信息;当使用RAND替代AMF时,AUTS也可以不用携带HLR/AUC标识信息。
以上举实例说明了本发明的几种基本方案可以任意组合,对于其他方案由于易于得出,此处不再一一举例。
本发明实施例还提出了一种通信系统,参阅图9,其包括HLR/AUC 910、VLR/SGSN 920和终端930,HLR/AUC910与终端930之间通过VLR/SGSN 920进行信息交互。所述HLR/AUC 910和/或终端930包括鉴权参数生成单元911,用于生成携带有HLR/AUC标识信息的鉴权参数。所述终端930和/或HLR/AUC910包括HLR/AUC标识信息解析单元931,用于由携带标识信息的鉴权参数得到HLR/AUC标识信息。
在需要进行鉴权操作,以便验证用户身份的合法性时,HLR/AUC 910和通过鉴权参数生成单元911生成并下发携带有HLR/AUC标识信息的鉴权参数;和/或鉴权进程中,终端930通过鉴权参数生成单元911生成并下发携带有HLR/AUC标识信息的鉴权参数。
所述携带有HLR/AUC标识信息的鉴权参数是AMF、SQNHE、RAND、MAC-A或AUTS中的至少一个。所述鉴权参数生成单元911通过先生成所述AMF、SQN、RAND、MAC-A或AUTS,再调整其中特定位的值的方法,或通过先生成所述AMF、SQN、RAND、MAC-A或AUTS的特定位的值再生成其他位的方法表示所述HLR/AUC标识信息。
产生带有HLR/AUC标识信息的鉴权参数后,进行的鉴权进程如下:
终端930使用标识信息解析单元931由携带有HLR/AUC标识信息的鉴权参数取得HLR/AUC标识信息,根据所述的HLR/AUC标识信息使用预先保存的对应于该HLR/AUC的鉴权密钥对鉴权标记进行一致性验证;
和/或当一致性验证通过,判断SQNHE的可接受性时,终端930使用标识信息解析单元931由携带有HLR/AUC标识信息的鉴权参数取得HLR/AUC标识信息,根据所述的HLR/AUC标识信息使用预先保存的对应于该HLR/AUC的SQNMS对SQNHE进行可接受性验证;
和/或当进行合法性判断前,HLR/AUC910使用标识信息解析单元931由携带有HLR/AUC标识信息的鉴权参数取得HLR/AUC标识信息,根据所述的标识信息得到与该携带标识信息的鉴权参数相一致的HLR/AUC,HLR/AUC判断该HLR/AUC是否为自身,如果是,则进行合法性验证;如果否,则产生新的鉴权元组发送到920。
参阅图10,本发明实施例又提供一种通信设备一,包括发送单元1010与鉴权参数生成单元1020,所述鉴权参数生成单元1020用于生成携带有HLR/AUC标识信息的鉴权参数;所述发送单元1010用于发送所述携带有HLR/AUC标识信息的鉴权参数。所述通信设备一可以是HLR/AUC,也可以是终端。
参阅图10,所述鉴权参数生成单元1020包括基本参数生成单元1021与标识位生成单元1022,所述基本参数生成单元1021用于生成所述的鉴权参数,所述标识位生成单元1022用于调整所述的鉴权参数中的特定位的值以生成所述的携带有HLR/AUC标识信息的鉴权参数;或所述基本参数生成单元1021用于生成所述的鉴权参数除特定位以外的所有位,所述标识位生成单元1022用于生成所述的特定位的值以生成所述的携带有HLR/AUC标识信息的鉴权参数。
参阅图11,本发明实施例又提供一种通信设备二,包括接收单元1110、标识信息解析单元1120和鉴权单元1130,所述接收单元1110用于接收携带HLR/AUC标识信息的鉴权参数;所述标识信息解析单元1120用于根据所述携带HLR/AUC标识信息的鉴权参数中的特定位来解析出HLR/AUC标识信息;所述鉴权单元1130用于根据所述HLR/AUC标识信息确定HLR/AUC,并基于所述HLR/AUC及所述鉴权参数进行鉴权进程。所述通信设备二可以是HLR/AUC,也可以是终端。
本文中应用了具体个例对本发明实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (5)
1.一种鉴权方法,其特征在于,包括:
在鉴权参数中加入HLR/AUC标识信息,发送携带有所述HLR/AUC标识信息的鉴权参数;
HLR/AUC接收所述携带有HLR/AUC标识信息的鉴权参数,HLR/AUC所接收的鉴权参数为RAND或AUTS,根据所述RAND或AUTS所携带的HLR/AUC标识信息确定HLR/AUC,判断所述确定的HLR/AUC是否为自身,如果是,则进行合法性验证;如果否,则产生新的鉴权元组。
2.如权利要求1所述的鉴权方法,其特征在于,所述HLR/AUC标识信息采用在所述RAND或AUTS的特定位表示。
3.如权利要求2所述的鉴权方法,其特征在于,所述HLR/AUC标识信息采用在RAND或AUTS的特定位表示包括,先生成RAND或AUTS,再调整其特定位的值;或先生成RAND或AUTS的特定位的值,再生成RAND或AUTS的其他位。
4.一种鉴权方法,其特征在于,包括:
在鉴权参数中加入HLR/AUC标识信息,发送携带有所述HLR/AUC标识信息的鉴权参数;
终端接收所述携带有HLR/AUC标识信息的鉴权参数,根据所携带的HLR/AUC标识信息确定HLR/AUC,使用预先保存的对应于所述HLR/AUC的鉴权密钥对鉴权标记进行一致性验证;
当一致性验证通过后,终端使用预先保存的对应于所述HLR/AUC的SQNMS对SQNHE进行可接受性验证;
进行合法性判断前,HLR/AUC接收所述携带有HLR/AUC标识信息的鉴权参数,HLR/AUC所接收的鉴权参数为RAND或AUTS,根据所述RAND或AUTS所携带的HLR/AUC标识信息确定HLR/AUC,判断所述确定的HLR/AUC是否为自身,如果是,则进行合法性验证;如果否,则产生新的鉴权元组。
5.一种通信设备,包括发送单元,其特征在于,还包括鉴权参数生成单元,所述鉴权参数生成单元用于生成携带有HLR/AUC标识信息的鉴权参数;所述发送单元用于发送所述携带有HLR/AUC标识信息的鉴权参数;
所述鉴权参数生成单元包括基本参数生成单元与标识位生成单元;
所述基本参数生成单元用于生成所述鉴权参数,所述标识位生成单元用于调整所述鉴权参数中的特定位的值;
或所述基本参数生成单元用于生成所述鉴权参数除特定位以外的所有位,所述标识位生成单元用于生成所述特定位的值。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2006101450237A CN101193424B (zh) | 2006-11-28 | 2006-11-28 | 一种鉴权方法以及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2006101450237A CN101193424B (zh) | 2006-11-28 | 2006-11-28 | 一种鉴权方法以及设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101193424A CN101193424A (zh) | 2008-06-04 |
| CN101193424B true CN101193424B (zh) | 2010-10-13 |
Family
ID=39488102
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2006101450237A Active CN101193424B (zh) | 2006-11-28 | 2006-11-28 | 一种鉴权方法以及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101193424B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111615837B (zh) * | 2017-07-21 | 2023-10-13 | 华为国际有限公司 | 数据传输方法、相关设备以及系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1802029A (zh) * | 2006-01-09 | 2006-07-12 | 中国科学院软件研究所 | 利用sim卡实现终端与网络双向鉴权的方法和装置 |
| CN1815954A (zh) * | 2005-02-05 | 2006-08-09 | 华为技术有限公司 | 实现用户信息同步及对用户终端鉴权的方法 |
| CN1929684A (zh) * | 2006-09-22 | 2007-03-14 | 华为技术有限公司 | 鉴权设备的识别方法和鉴权方法、通信系统以及设备 |
-
2006
- 2006-11-28 CN CN2006101450237A patent/CN101193424B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1815954A (zh) * | 2005-02-05 | 2006-08-09 | 华为技术有限公司 | 实现用户信息同步及对用户终端鉴权的方法 |
| CN1802029A (zh) * | 2006-01-09 | 2006-07-12 | 中国科学院软件研究所 | 利用sim卡实现终端与网络双向鉴权的方法和装置 |
| CN1929684A (zh) * | 2006-09-22 | 2007-03-14 | 华为技术有限公司 | 鉴权设备的识别方法和鉴权方法、通信系统以及设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101193424A (zh) | 2008-06-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100488280C (zh) | 一种鉴权方法及相应的信息传递方法 | |
| CN102638794B (zh) | 鉴权和密钥协商方法、认证方法、系统及设备 | |
| RU2663972C1 (ru) | Обеспечение безопасности при связи между устройством связи и сетевым устройством | |
| KR101898934B1 (ko) | 통신 시스템에서 인증 방법 및 장치 | |
| US20050130627A1 (en) | Authentication between a cellular phone and an access point of a short-range network | |
| EP1879325A1 (en) | Method and system for updating a secret key | |
| US20060101270A1 (en) | Determining a key derivation function | |
| CN105187450A (zh) | 一种基于认证设备进行认证的方法和设备 | |
| CN109962878B (zh) | 一种ims用户的注册方法及装置 | |
| CN107086979B (zh) | 一种用户终端验证登录方法及装置 | |
| CN108024243B (zh) | 一种eSIM卡入网通信方法及其系统 | |
| CN102318386A (zh) | 向网络的基于服务的认证 | |
| CN103220673B (zh) | Wlan用户认证方法、认证服务器及用户设备 | |
| CN100461938C (zh) | 一种受控的密钥更新方法 | |
| CN105450593B (zh) | 一种用于注册的方法和装置 | |
| CN101227474A (zh) | 软交换网络中的会话初始化协议用户鉴权方法 | |
| CN101399603A (zh) | 重同步方法、认证方法及设备 | |
| CN1777102B (zh) | 软件终端接入ip多媒体子系统的装置及方法 | |
| CN100550902C (zh) | 一种改进的ip多媒体子系统认证和密钥协商的方法 | |
| CN101160784B (zh) | 一种密钥更新协商方法及装置 | |
| WO2020147856A1 (zh) | 认证处理方法、装置、存储介质及电子装置 | |
| CN101198148B (zh) | 一种对移动终端进行信息分发的方法 | |
| CN101193424B (zh) | 一种鉴权方法以及设备 | |
| WO2016086356A1 (zh) | 一种无线通信网络中的鉴权方法、相关装置及系统 | |
| CN100525503C (zh) | 鉴权方法、验证鉴权序列号的方法、通信系统及用户卡 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |