CN104662863B - 触发通信网络中的用户认证 - Google Patents

Abstract

本主题公开了一种用于触发连接到通信网络的通信设备的重新认证的方法。在一个实现中，所述通信设备与所述通信网络之间传送的数据量被测量。进一步地，将测得的数据量与重新认证阈值进行比较。随后，基于所述比较，所述通信设备的重新认证被触发。

Description

触发通信网络中的用户认证

技术领域

本主题涉及通信网络中的认证并且，特别但不排它地，涉及触发通信网络中的用户重新认证。

背景技术

通信设备，如蜂窝电话、智能电话、个人数字助理(PDA)、笔记本电脑和计算机，为用户提供了各种通信服务和网络能力。这些通信设备的最终用户可以访问在通信网络中由网络运营商提供的各种网络服务，最突出的是语音和数据服务。通常情况下，通信网络提供各种通信设备之间的通信链路用于利用所述网络服务。

通信网络通常使用预先定义的标准和协议来提供通信设备之间的通信链路。此外，随着新标准的不断演进和发展，提供给通信设备的最终用户的网络服务在质量方面有所改善，如对最终用户来说更好的上行链路和下行链路速度。通信设备的最终用户可由此利用网络服务并因此使用通信设备在网络上共享大量的数据。在网络上共享的数据可能是保密的，并且在某些情况下可能是私人的，并且是对最终用户很重要的，例如，所述数据可以包括最终用户的银行帐户详细资料。然而，随着所提供的网络服务的增加，对于终端用户来说风险的可能性有所增加，例如，由欺诈用户通过窃取或克隆的方法欺诈地使用最终用户的通信设备。

例如，如果欺诈用户可以访问最终用户的通信设备，该欺诈用户可以使用通信设备上激活的网络服务，如web访问、电话呼叫，以及消息收发。这样的网络服务的使用可能会导致不仅在网络运营商的最终用户的金钱上的损失，还有安全威胁。进一步地，由于欺诈用户可以或者访问最终用户可能已在通信设备上登录的各种在线网站，或者使用该通信设备用于反社会的活动，例如主动呼叫(unsolicited call)，该欺诈用户可能会造成对最终用户的安全威胁。

在防止这类欺诈使用的常规技术中，在预定的时间间隔后重新认证通信设备以校验该通信设备的真实性(authenticity)。重新校验通信设备因此利于防止欺诈用户访问由网络运营商提供的网络服务。然而，使用这种通信设备的周期性重新校验可能无法防止未经授权的访问，因为欺诈用户可以在两次重新认证之间的间隔中很大程度地利用网络服务。例如，在预定的时间间隔大的情况下，欺诈用户可以下载大量数据而不需要任何认证，从而导致对最终用户的巨大风险。

发明内容

本概述被提供以引入与在通信网络中触发重新认证相关的概念。本概述并非旨在标识所要求保护的主题的必要特征，也不是旨在用于确定或限制所要求保护的主题的范围。

在一个实现中，描述了一种用于在通信网络中触发重新认证的方法。所述方法包括：测量通信设备与通信网络之间传送的数据量。进一步地，完成与由网络运营商预先定义的重新认证阈值的比较。基于所述比较，触发通信设备的重新认证。

在另一实现中，描述了用于在通信网络中触发重新认证的无线网络控制器(RNC)。所述RNC包括处理器和耦合至该处理器的数据测量模块。所述数据测量模块被配置以测量通信设备与通信网络之间传送的数据量。所述RNC进一步包括耦合到该处理器的数据比较模块。所述数据比较模块被配置以将被传送的数据量与重新认证阈值相比较。所述比较模块被进一步配置以触发通信设备的重新认证。

根据本主题的另一实现，公开了一种其上具现化有计算机程序的计算机可读介质，所述计算机程序用于执行连接到通信网络的通信设备的重新认证的方法。所述方法包括测量通信设备与通信网络之间传送的数据量。所述方法进一步包括将所测得的量与预先设定的重新认证阈值相比较。此外，所述方法基于所述比较触发通信设备的重新认证。

附图说明

参照附图描述了详细的说明。图中，参考号最左边的数字标识该参考号首次出现于其中的附图。全部附图中相同的数字用于引用类似的特征和组件。根据本主题的实施例，现仅以举例的方式并参照附图描述系统和/或方法的一些实施例，其中：

图1根据本主题的实施例示出了用于触发通信设备的重新认证的示例性网络环境的实现；

图2根据本主题的实施例示出了用于触发通信设备的重新认证的方法；

在本文件中，单词“示例性”在本文中用于表示“用作示例、实例或说明”。本文中描述为“示例性”的本主题的任何实施例或实现不应被解释为优于或胜过其他实施例。

本领域技术人员应理解，本文中的任何方框图表示体现本主题原理的说明性系统的概念图。类似地，应理解，任何流程表、流程图、状态转移图、伪代码等表示各种进程，其可以在计算机可读介质中实质性地表示，并且因此由计算机或处理器执行，无论这样的计算机或处理器是否被明确示出。

具体实施方式

本主题涉及通信网络中的用户重新认证。该方法可以在通过各种网络进行通信的各种通信设备中实现。可以实现所述方法的通信设备包括但不限于蜂窝电话、智能电话、个人数字助理(PDA)、便携式计算机、台式计算机、无线数据卡、服务器等。可在其中实现所述方法的通信网络包括但不限于，实现演进数据优化或演进数据唯一(EVDO)的码分多址(CDMA)、全球移动通信系统(GSM)网络、通用移动电信系统(UMTS)网络、宽带码分多址(W-CDMA)网络等。虽然本文的描述参照了EVDO系统，本领域技术人员将理解，尽管有一些变化，所述方法和系统可以在其他提供数据服务的通信网络中实现。

常规认证技术通常需要通信网络在会话开始时认证通信设备，即，当通信设备初始向通信网络进行登记时，例如在被切换到ON或从离网模式(out-of-network mode)进入网络之后。在通信网络有效地认证该通信设备后，该通信设备的最终用户能够访问由网络运营商在所述通信网络上提供的网络服务。

通信设备的后续重新认证可因此在通信设备由于例如，被关闭或注销网络而注销前一个会话，试图重新建立会话时完成。然而，仅在建立会话时重新认证通信设备可能不能够防止在通信设备被欺诈地使用而不终止先前会话的情况下欺诈的使用网络服务。例如，欺诈用户可以通过盗窃的方式来获得已在会话中的通信设备，并且可以在不终止所述会话的情况下使用该通信设备。

另一常规技术涉及基于周期的触发来在通信网络中重新认证通信设备。通信网络在会话开始时初始认证通信设备，以允许该通信设备利用网络服务。接着，在某个预先确定的时间间隔之后，通信网络发起重新认证机制以检测并阻止任何欺诈用户对网络服务的访问。然而，使用该通信设备的欺诈用户可以通过在该时间间隔内利用网络服务滥用通信网络的资源。进一步地，在预定的时间间隔较大的情况下，最终用户可能会由于欺诈用户长时间未经授权地使用网络服务而遭受损失。例如，由于通信设备的欺诈用户在整个时间间隔内将可以访问网络服务直到下一次周期性重新认证发生，最终用户可能遭受损失。网络运营商可能会向最终用户收取由欺诈用户利用的服务的费用直到对网络服务的所述访问被阻止。由于欺诈用户可以访问最终用户的个人数据，最终用户还可能遭受额外的损失。

例如，通信设备，比如说移动手持机，被盗。该被盗手持机的欺诈用户可以访问各种数据服务，如互联网接入、电子邮件服务、访问网页、短消息传送服务(SMS)、多媒体消息传送服务(MMS)，直到预定的时间间隔后下一次重新认证发生之时。根据被盗手持机不成功的重新认证，网络运营商可以阻止被盗手持机对网络服务的访问，从而拒绝欺诈用户访问网络服务。因此，由于欺诈用户利用网络服务的滥用，实现了本周期性重新认证机制的通信网络可能对最终用户导致损失。

本主题涉及在通信网络中的用户重新认证。在本主题的实施例中描述了用于通信设备的重新认证的方法和系统。用于通信设备的重新认证的本系统和方法涉及基于通信设备访问的数据量来触发重新认证检查。基于数据量来触发重新认证检查防止了欺诈用户大量地使用通信设备，从而减少最终用户和网络运营商遭受的损失。

根据本主题的实施例，通信设备与通信网络之间在上行链路和下行链路信道中传送的数据量每隔几秒钟测量一次。在一个实施例中，从先前的认证点测量所述被传送的数据量，即，从最后一次重新认证的发生开始，以防止重新认证的任何误触发，因为真正的用户可能在长的时间上使用大量的数据，而欺诈用户可能甚至在较小的时间段内使用大量的数据。因此，测量的数据量随后被分析以确定是否需要触发重新认证。

在一个实现中，通过将所述数据量与下文称之为重新认证阈值的用于触发重新认证的预先设定的阈值相比较来执行分析。为此，所述重新认证阈值，例如D千字节，最初由网络运营商确定来触发重新认证。一旦通信设备与通信网络之间传送的数据量达到D千字节的重新认证阈值——无论是在上行链路还是下行链路信道中——由通信网络触发通信设备的重新认证，例如，通过发送重新认证触发。

一旦接收到重新认证触发，通信网络可以请求通信设备提供具有对应于该通信设备的身份凭证的认证数据。通信网络随后使用该通信设备的所述认证数据来认证该通信设备。在一个实现中，所述重新认证涉及基于诸如通信网络中提供的认证、授权和计费(AAA)模块之类的装备凭证数据库来验证通信设备的真实性。所述装备凭证数据库通常包括装备身份凭证的列表和对应于注册到通信网络的网络运营商的每个通信设备的最终用户详细资料。通信网络因此将所述通信设备的认证数据与装备身份凭证相比较以识别欺诈用户。如果通信设备成功地被认证，则用户被授权访问网络服务。如果通信设备在通信网络数据库中被列入黑名单或被阻止，那么重新认证流程失败，其对网络服务的访问被阻止。

在重新认证被触发后，用于在上行链路信道和下行链路信道两者上测量传送的数据传输量的计数器被复位。通信设备与通信网络之间传送的数据量被再次测量以便于基于传送的数据量进行重新认证。

通过测量通信设备与通信网络之间传送的数据量，本主题因此能够进行通信设备的重新认证。另外，实现本主题有利于减少损失，因为与基于周期性定时器的系统相比较，可以更早地阻止欺诈用户。

所述方法可以在硬件、固件、软件，或其组合中实现。对于硬件实现，这些处理单元可以在一个或多个专用集成电路(ASIC)、数字信号处理器(DSP)、数字信号处理设备(DSPD)、可编程逻辑器件(PLD)、现场可编程门阵列(FPGA)、处理器、控制器、微控制器、微处理器、电子器件，设计以实现本文中描述的功能的其他电子单元，或其组合中实现。本文所用的术语“系统”包括由软件、硬件、固件，或其组合实现的逻辑。

对于固件和/或软件实现，所述方法可使用执行本文所描述的功能的模块(例如，流程，函数等等)来实现。有形地体现指令的任何机器可读介质可以在实现本文所描述的方法中使用。例如，软件代码和程序可被存储在存储器中并且由处理单元执行。存储器可以在处理单元内或在处理单元外部实现。本文所使用的术语“存储器”是指任何类型的长期、短期、易失性、非易失性，或其他存储设备，并且不限于任何特定的存储器类型或存储器数目，或存储器存储于其上的介质的类型。

在另一固件和/或软件实现中，所述功能可被存储为计算机可读介质上的一个或多个指令或代码。示例包括用数据结构编码的计算机可读介质，以及用计算机程序编码的计算机可读介质。所述计算机可读介质可以采取制成品的形式。所述计算机可读介质包括物理计算机存储介质。存储介质可以是能够被计算机访问的任何可用介质。例如，且不限于，这样的计算机可读介质可以包括RAM、ROM、EEPROM、CD-ROM或其它光盘存储、磁盘存储或其它磁存储设备，或任何其它可用于以指令或数据结构的形式存储所需的程序代码并且可被计算机访问的介质；本文中所用的磁盘和光盘，包括压缩光盘(CD)、激光光盘、光学光盘、数字多功能光盘(DVD)、软盘和蓝光光盘，其中磁盘通常磁性地再现数据，而光盘用激光来光学地再现数据。上述的组合也应包括在计算机可读介质的范围之内。

除了在计算机可读介质上存储，指令和/或数据可被提供为通信装置中包括的传输介质上的信号。例如，通信装置可包括具有指示指令和数据的信号的收发机。所述指令和数据被配置以使得一个或多个处理器实现权利要求中所概述的功能。也就是说，系统包括具有指示信息的信号的传输介质以执行所公开的功能。在第一次，包括在通信装置中的传输介质可以包括信息的第一部分以执行所公开的功能，而在第二次，包括在通信设备中的传输介质可以包括信息的第二部分以执行所公开功能。

应注意，描述和附图仅示出本主题的原理。因此将理解，本领域技术人员将能够设计各种布置，尽管本文没有明确地描述或示出，但体现本主题的原理并包括在其精神和范围之内。另外，本文陈述的所有实施例主要旨在明确地仅用于教学的目的以帮助读者理解本主题的原理和发明人提供的概念以促进本领域的发展，并且应当被解释为不受限于此类具体叙述的示例和条件。此外，所有在此叙述的原则、方面和本主题的实施例，以及其具体示例，意在包括其等同物。

本领域技术人员还应理解，本文所用的词语“期间”、“同时”和“当”并非意为根据初始动作而立即发生一个动作的精确的术语，其可能有一些小的但是合理的延迟，例如初始动作与由初始动作引发的反应之间的传播延迟。此外，单词“连接”和“耦合”始终用于清楚地进行描述，并且其可以包括直接连接或间接连接中的任一个。

实现通信网络中触发重新认证的系统和方法的方式参照图1和图2进行了详细的说明。虽然所描述的用于在通信网络中触发重新认证的系统和方法的方面可以以任何数量的不同的计算系统、传输环境和/或配置实现，所述实施例在下面的示例性系统的上下文中进行描述。

图1根据本主题的实施例，示出了用于便利连接到通信网络104的一个或多个通信设备102-1，102-2，...，和102-N的重新认证的网络环境100，所述一个或多个通信设备102-1，102-2，...，和102-N被统称为通信设备102并在下文中单独地被称为通信设备102。

通信设备102可以被定义为用户用来相互通信的用户设备(UE)。通信设备102的示例可以包括，但不限于，移动电话、固定电话、台式计算机、手持设备、笔记本电脑或其他便携式计算机、网络计算机等等。每个通信设备102在由通信设备102被耦合到的通信网络定义的通信协议上工作。

通信网络104可以是无线网络，或有线和无线网络的组合。通信网络104可以是单独的网络的集合，其彼此互连并作为一个单个的大的网络(例如，因特网或内联网)。这样的单独的网络的示例包括，但不限于，第三代合作伙伴计划(3GPP)、长期演进(LTE)等。虽然本文的描述参照实现演进数据优化或演进数据唯一(EVDO)标准的码分多址(CDMA)而进行，如将由本领域技术人员所理解的，所述方法和系统——尽管有一些变化——可以在其他涉及调度上行链路传输的通信网络中实现。进一步地，根据所述技术，通信网络104包括各种网络实体，诸如网关、路由器；然而，为便于理解，此类细节已省略。

此外，通信设备102被配置以使用网络路由的通信链路106-1，106-2，106-3，...，106-N在通信网络104上彼此交互，所述通信链路106-1，106-2，106-3，...，106-N在下文被统称为网络路由的通信链路106。网络路由的通信链路106可以被理解为常规通信中使用的通信链路，通信设备102通过网络资源彼此交互或与通信网络104交互。

通信网络104还包括认证、授权、和计费(AAA)服务器108和无线网络控制器(RNC)110。AAA服务器108被配置以授权与通信网络104的网络运营商关联的通信设备102。在一个实现中，AAA服务器108充当装备凭证数据库并且包括通信设备102的装备身份凭证列表，用于连接到通信网络104的通信设备102的认证。另外，AAA服务器108包含订户的详细资料，即，与通信设备102相对应的最终用户的详细资料，所述最终用户在通信网络104上订阅由网络运营商提供的服务。

RNC110被配置以触发连接到通信网络104的通信设备102的重新认证。在一个实现中，RNC110被配置以基于由通信设备102使用的数据量来触发AAA服务器108执行通信设备102的认证和重新认证。为此，RNC110包括一个或多个处理器112、I/O接口114，和耦合到处理器112的存储器116。处理器112(多个)可以被实现为一个或多个微处理器、微型计算机、微控制器、数字信号处理器、中央处理单元、状态机、逻辑电路系统，和/或基于操作指令操纵信号的任何设备。除其他能力外，所述处理器112被配置以取得并执行存储在存储器116中的的计算机可读指令。

图中展示的各种单元的功能，包括标记为“处理器”的任何功能块，可以通过使用专用硬件以及能够执行软件的硬件及适当的软件来提供。当由处理器提供时，所述功能可由单个专用处理器、由单个共享处理器、或由其中一些可以是共享的多个单独的处理器来提供。此外，术语“处理器”的明确使用不应当被解释为专指能够执行软件的硬件，并且可以隐含地包括，但不限于，数字信号处理器(DSP)硬件、网络处理器、专用集成电路(ASIC)、现场可编程门阵列(FPGA)、用于存储软件的只读存储器(ROM)、随机存取存储器(RAM)，和非易失性存储装置。其他的硬件——常规和/或定制的，也可以被包括在内。

I/O接口114可以包括多种软件和硬件接口，例如，用于外围设备的接口，如被称为I/O设备的数据输入输出设备、存储设备、网络设备等。I/O设备可以包括通用串行总线(USB)端口、以太网端口、主机总线适配器等，以及它们对应的设备驱动。I/O接口114有助于无线网络控制器110与例如通信网络104的多种网络和例如通信设备102的多种通信和计算设备的通信。

存储器116可包括本领域已知的任何计算机可读介质，包括例如易失性存储器，例如静态随机存取存储器(SRAM)和动态随机存取存储器(DRAM)，和/或非易失性存储器，如只读存储器(ROM)、可擦除可编程ROM、闪存、硬盘、光盘，以及磁带。

RNC110还可以包括多种模块118。在模块118中，除其他外，包括例程、程序、对象、组件、数据结构等，其执行特定的任务或实现特定的抽象数据类型。模块118还可以被实现为，信号处理器、状态机、逻辑电路和/或任何其它基于操作指令操纵信号的设备或组件。

此外，可在硬件、由处理单元执行的指令，或其组合中实现模块118。所述处理单元可以包括计算机、诸如处理器112的处理器、状态机、逻辑阵列或任何其他能够处理指令的合适的设备。所述处理单元可以是执行指令以使通用处理器执行所需的任务的通用处理器，或者，所述处理单元可以专门用于执行所需的功能。

在本主题的另一方面中，模块118可以是机器可读指令(软件)，当由处理器/处理单元执行所述机器可读指令(软件)时，其执行所描述的任何功能。所述机器可读指令可被存储在电子存储设备、硬盘、光盘或其他机器可读的存储介质或非临时性介质上。在一个实现中，机器可读指令还可以经由网络连接被下载到存储介质。

模块118进一步包括数据测量模块120、数据比较模块122、交互模块124，以及其它模块126。所述其它模块126可以包括程序或编码的指令，其补充RNC110的应用和功能。

RNC110还可以包括数据128，除其他外，其作为仓库(repository)用于存储被一个或多个模块118所处理、接收、关联和生成的数据。所述数据128包括，例如，测量数据130、比较数据132、交互数据134，和其它数据136。所述其他数据136包括作为其它模块126中的一个或多个模块的执行结果而生成的数据。

如前所述，RNC 110被配置以基于通信设备102与通信网络104之间传送的数据量来触发连接到通信网络104的通信设备102的重新认证。基于数据量来触发重新认证有利于防止欺诈用户使用通信设备102上订阅的网络运营商的服务。例如，当通信设备丢失或被盗时，通信设备的最终用户通常可以向网络运营商投诉，请求网络运营商阻止到所述通信设备的服务。根据对终端用户的投诉的接收，网络运营商更新装备凭证数据库以阻止所述通信设备或将所述通信设备列入黑名单。在装备凭证数据库中将所述通信设备列入黑名单确保了每当由通信网络执行所述通信设备的重新认证时，至所述通信设备的服务可被阻止。例如，当通信设备102-1被盗时，通信设备102-1的最终用户可向网络运营商投诉。基于该投诉，网络运营商可以更新AAA服务器108以阻止通信设备102-1或将通信设备102-1列入黑名单。AAA服务器108因此可以根据重新认证的失败阻止提供给通信设备102-1的服务。

在一个实现中，RNC 110可以被配置以基于通信设备102与通信网络104之间传送的数据量来触发通信设备102的重新认证。为此，数据测量模块120被配置以测量通信设备102与通信网络104之间传送的数据量。在一个实现中，数据测量模块120可以被配置以测量上行链路信道中的数据量。在另一实现中，数据测量模块120可以被配置以测量下行链路信道中的数据量。此外，在另一实现中，数据测量模块120可以被配置以测量上行链路信道和下行链路信道二者中的数据量。在一个实现中，数据测量模块120可以被配置以每隔几秒后测量数据量。例如，数据测量模块120可以被配置以每隔2秒测量上行链路信道和下行链路信道二者中至少一个的数据量。每隔几秒测量数据量有助于避免在持续监控数据量的情况下可能对通信网络104的访问造成的性能限制。在另一实现中，数据测量模块120可以被配置以持续地测量数据量，例如，在高安全警报的情况下，以避免未经授权地使用网络服务。

此外，由于从通信设备102第一次向通信网络104注册开始测量数据量可能导致重新认证的误触发，数据测量模块120可以被配置以从之前的认证点开始测量数据，即，从重新认证的最后一次发生开始。测得的数据量可以进一步被数据测量模块120存储在测量数据130中。

测得的数据量可以进一步由数据比较模块122进行访问，以确定是否需要触发通信设备102-1的重新认证。在一个实现中，比较模块122被配置以将所述数据量与下文称为重新认证阈值的预先设定的用于触发重新认证的阈值的值相比较。为此，比较模块122可以获取存储在比较数据132中的重新认证阈值。在一个实现中，重新认证阈值可以由通信网络104的网络运营商预先定义。网络运营商可以基于通信网络104所需的安全级别预先定义重新认证阈值。设定低的重新认证阈值可能会导致通信设备102的频繁的重新认证，而高的重新认证阈值可延长两个连续的重新认证之间的时间周期。例如，网络运营商可以确定用于触发重新认证的D Mb的重新认证阈值。数据比较模块122从而可将数据量与D Mb的重新认证阈值相比较以确定通信设备102与通信网络104之间传送的数据量是否已达到重新认证阈值。在一个实现中，数据比较模块122可比较在上行链路信道和下行链路信道中的至少一个上传送的数据以确定在这些信道中的任一个信道上传送的数据量是否达到D Mb的重新认证阈值。在另一实现中，数据比较模块122可比较在上行链路信道和下行链路信道中传送的数据的结合以确定在这些信道中的至少一个信道上传送的数据总量是否达到D Mb的重新认证阈值。

如果数据比较模块122确定数据量已达到重新认证阈值，所述数据比较模块122可生成重新认证触发。否则，数据比较模块122可以指示数据测量模块120保持测量数据量。例如，当通信设备102-1被盗时，通信设备102-1的欺诈用户可以使用在通信设备102-1上激活的服务，例如互联网访问、消息收发、以及语音通话，直至其最大的使用，从而增加了通信设备102-1与通信网络104之间传送的数据量。在这种情况下，数据比较模块122可以比较与通信设备102-1对应的数据量，以确定其已经达到重新认证阈值，并且因此需要重新认证以确认通信设备102是否被欺诈用户所使用。

例如，如果网络运营商预先定义阈值比如50Mb，并且在上行链路信道或下行链路信道中的任何一个上传送的数据量小于50Mb，则将不会需要重新认证。然而，如果在上行链路信道或下行链路信道中的任何一个上传送的数据量大于或等于50Mb，那么需要重新认证。数据比较模块122因此可以生成重新认证触发。在一个实现中，重新认证触发可以是消息，其要求交互模块124发起认证过程。在另一实现中，重新认证触发可以是重新认证警报，其指示交互模块124发起认证过程。

一旦接收到重新认证触发，交互模块124可请求通信设备102提供具有对应于通信设备102的身份凭证的认证数据。根据对认证数据的请求的接收，通信设备102向交互模块124提供认证数据。在一个实现中，交互模块124可使用质询握手认证协议(CHAP)质询消息来请求认证数据。作为响应，通信设备102发送CHAP响应返回至交互模块124。一旦接收到CHAP响应消息，交互模块124将该CHAP响应消息保存在交互数据134中。交互模块124进一步发送接入-请求(access-request)消息至AAA服务器108以要求AAA服务器108认证通信设备102。AAA服务器108随后将通信设备102的认证数据与存储在AAA服务器108中的装备身份凭证相比较。如果通信设备102在AAA服务器108中被列入黑名单或被阻止，那么其重新认证过程失败，并且对网络服务的访问被阻止。在这种情况下，AAA服务器108可以发送访问拒绝消息到RNC 110来向通信设备102指示其服务已被阻止。如果通信设备102通过认证，AAA服务器108发送访问接受消息到RNC 110。

此外，数据测量模块120复位数据测量计数器至初始值，例如在已触发重新认证之后为零，所述测量计数器用于测量通信设备102与通信网络104之间传送的数据量。数据测量模块120可随后为所有已通过重新认证的通信设备102从头开始测量数据。

本主题因此能够使得基于通信设备102与通信网络104之间传送的数据量触发通信设备102的重新认证，从而减少了由于欺诈使用通信设备102而引起的金钱损失。举例来说，基于传送的数据认证运用网络服务的欺诈用户，并且该欺诈用户对网络服务的访问将被阻止和拒绝。

图2根据本主题的实施例示出了用于触发通信设备——如通信设备102——的重新认证的方法200。在此，一些实施例还意在覆盖程序存储设备，例如，机器或计算机可读并且编码机器可执行或计算机可执行的指令的程序的数字数据存储介质，其中，所述指令执行所述方法的一些或全部步骤。进一步地，所述计算机可执行程序可被加载到数据处理单元。所述程序存储设备可以是，例如，数字存储器、磁存储介质，如磁盘和磁带、硬盘驱动器，或光学可读数字数据存储介质。

所述方法被描述的顺序并非意在被解释为限制，并且任何数量的所述方法块都可以按任何顺序被组合以实现所述方法或备选方法。此外，可以从所述方法中删除单独的块而不背离本文所描述的主题的精神和范围。此外，本方法可用任何适当的硬件、软件、固件或其组合来实现。

在块202，通信设备与通信网络之间传送的数据量被测量。在一个实现中，在通信设备与通信网络之间的上行链路信道和下行链路信道上传送的数据量每隔几秒后被测量一次。数据测量模块，例如，数据测量模块120可以被配置以测量通信设备102与通信网络104之间传送的数据量。

在块204，测得的数据量与由网络运营商预先定义的重新认证阈值之间进行比较。在一个实现中，将数据量与重新认证阈值相比较以确认所述测得的数据量是否等于或大于所述重新认证阈值。数据比较模块，例如，数据比较模块122可以被配置以比较测得的数据量与阈值。如果测得的数据量小于阈值，其为从块204开始的“NO”路径，所述方法进行到块202。如果测得的数据量等于或大于阈值，其为从块204开始的“YES”路径，所述方法进行到块206。

在块206，基于所述比较，通信设备的重新认证被触发。在一个实现中，如果数据量达到重新认证阈值，则可以生成重新认证触发。基于所述重新认证触发，通信设备可以被要求提供具有对应于该通信设备的身份凭证的认证数据。该通信设备的认证数据可随后用于认证该通信设备。在一个实现中，所述重新认证涉及基于通信网络中提供的设备凭证数据库验证通信设备的真实性。所述设备凭证数据库通常包括装备身份凭证的列表和对应于每个注册到通信网络的网络运营商的通信设备的最终用户详细资料。通信设备的认证数据因此可以与装备身份凭证相比较以识别欺诈用户。

如果该通信设备在通信网络数据库中被列入黑名单或被阻止，该通信设备的重新认证流程失败并且该通信设备的对网络服务的访问可被阻止。一旦通过了重新认证，该通信设备的对网络服务的访问可继续。在一个实现中，数据比较模块，例如，数据比较模块122生成用于发起通信设备102的重新认证的重新认证触发。

在块208，在重新认证已被触发之后，数据测量计数器复位到零。例如，在通信设备102的重新认证已被触发之后，数据测量模块120可复位数据测量计数器到零，以使得重新认证的下一周期从0Mb开始，从而避免任何误触发。

尽管用于在通信网络中触发用户重新认证的方法和系统的实施例已经以特定于结构特征和/或方法的语言进行了描述，但是应当理解的是，本发明不必限于所述具体特征或方法。相反，这些具体特征和方法被作为示例性实施例公开以用于在通信网络中触发用户认证。

Claims (12)

1.一种用于连接到通信网络的通信设备的重新认证的方法，所述方法包括：

存储用于所述通信设备的重新认证阈值，其中，所述重新认证阈值是用于数据的预先设定的阈值；

从最后一次重新认证开始，每隔几秒测量所述通信设备与所述通信网络之间在上行链路信道和下行链路信道中传送的数据量；

将所述数据量与所述重新认证阈值相比较；以及

基于所述比较，触发所述通信设备的重新认证。

2.如权利要求1所述的方法，其中，所述方法进一步包括：获得由所述通信网络的网络运营商确定的重新认证阈值。

3.如权利要求1所述的方法，其中，所述测量进一步包括：每隔2秒确定所述通信设备与所述通信网络之间在所述上行链路信道和所述下行链路信道中的至少一个上传送的数据量。

4.如权利要求1至3中任意一项所述的方法，其中，所述方法进一步包括：

向所述通信设备请求认证数据，其中，所述认证数据包括对应于所述通信设备的身份凭证；

从所述通信设备接收所述认证数据；以及

向所述通信网络的认证、授权和计费(AAA)服务器提供所述认证数据。

5.如权利要求1至3中任意一项所述的方法，其中，所述方法进一步包括：

基于对应于所述通信设备的身份凭证，分析在所述通信网络的认证、授权和计费(AAA)服务器中保存的对应于所述通信设备的装备身份凭证；

基于所述分析，确定所述通信设备是否被列入黑名单；以及

基于所述确定，阻止所述通信设备访问由所述通信网络的运营商提供的服务。

6.一种无线网络控制器(110)，包括：

处理器(112)；

数据(128)，所述数据(128)被配置以存储用于通信设备的重新认证阈值，其中，所述重新认证阈值是用于数据的预先设定的阈值；

耦合到所述处理器(112)的数据测量模块(120)，所述数据测量模块(120)被配置以从最后一次重新认证开始，每隔几秒测量通信设备(102)与通信网络(104)之间在上行链路信道和下行链路信道中传送的数据量；以及

耦合到所述处理器(112)的数据比较模块(122)，所述数据比较模块(122)被配置以：

将所述数据量与所述重新认证阈值相比较；以及

基于所述比较，触发所述通信设备(102)的重新认证。

7.如权利要求6所述的无线网络控制器(110)，其中，所述数据测量模块(120)被进一步配置以：每隔2秒测量所述通信设备(102)与所述通信网络(104)之间在所述上行链路信道和所述下行链路信道中的至少一个上传送的数据量。

8.如权利要求6或7所述的无线网络控制器(110)，进一步包括耦合到所述处理器(112)的交互模块(124)，所述交互模块(124)被配置以：

从所述通信设备(102)接收认证数据；以及

向耦合到所述无线网络控制器(110)的认证、授权和计费(AAA)服务器(108)发送所述认证数据以用于重新认证。

9.如权利要求8所述的无线网络控制器(110)，其中，所述交互模块(124)被配置以：

从所述AAA服务器(108)接收访问拒绝消息，其中，所述访问拒绝消息指示所述通信设备(102)被列入黑名单；以及

基于所述访问拒绝消息，阻止对所述通信设备(102)的服务。

10.如权利要求6所述的无线网络控制器(110)，其中，所述数据比较模块(122)被进一步配置以基于所述比较生成重新认证触发。

11.如权利要求6所述的无线网络控制器(110)，其中，所述数据测量模块(120)被进一步配置以根据所述重新认证的触发，将数据测量计数器复位至零。

12.一种在其上具有计算机程序的计算机可读介质，其中，所述计算机程序在由处理器执行时使得所述处理器执行连接到通信网络的通信设备的重新认证的方法，所述方法包括：

存储用于所述通信设备的重新认证阈值，其中，所述重新认证阈值是用于数据的预先设定的阈值；

从最后一次重新认证开始，每隔几秒测量所述通信设备与所述通信网络之间在上行链路信道和下行链路信道中传送的数据量；

将所述数据量与所述重新认证阈值相比较；以及

基于所述比较，触发所述通信设备的重新认证。