CN107005842B - 一种无线通信网络中的鉴权方法、相关装置及系统 - Google Patents
一种无线通信网络中的鉴权方法、相关装置及系统 Download PDFInfo
- Publication number
- CN107005842B CN107005842B CN201480083832.2A CN201480083832A CN107005842B CN 107005842 B CN107005842 B CN 107005842B CN 201480083832 A CN201480083832 A CN 201480083832A CN 107005842 B CN107005842 B CN 107005842B
- Authority
- CN
- China
- Prior art keywords
- authentication
- network
- user equipment
- request message
- core network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明实施例提供了一种无线通信网络中的鉴权方法、相关装置及系统,为用户设备保存有未使用的鉴权向量的核心网设备可以向鉴权设备发送第一鉴权数据请求消息,所述第一鉴权数据请求消息用于请求所述鉴权设备为所述用户设备生成鉴权向量,接收所述鉴权设备第一鉴权数据响应消息,所述第一鉴权数据响应消息携带所述鉴权设备为所述用户设备生成的第一鉴权向量,利用所述第一鉴权向量向所述用户设备发起鉴权流程,保证了每次进行CS域/PS域鉴权时,鉴权向量中包含的SEQ都是鉴权设备新生成的,即使在CS域鉴权之前插入了PS域鉴权或者在PS域鉴权之前插入了CS域鉴权,都能够保证同步成功,解决了现有技术中出现的因同步失败而导致的鉴权失败的问题。
Description
技术领域
本发明涉及通信技术领域,具体涉及一种无线通信网络中的鉴权方法、相关装置及系统。
背景技术
鉴权是移动网络安全性管理的一部分,用来实现移动网络的保密性、数据完整性。在当前的移动通信网络中,只有有效的用户设备(User Equipment,UE)才有权得到服务,而验证UE是否有效,需要通过鉴权过程来完成。UE在向网络发起注册请求、业务请求或切换请求等都会触发鉴权流程。在第二代(Second Generation,2G)网络系统中,鉴权是个单向过程,网络需要对UE合法性进行验证;而在第三代(Third Generation,3G)网络或长期演进(Long Term Evolution,LTE)网络中,除了网络需验证UE的合法性外,UE也需要对网络的合法性进行验证,即进行网络鉴权。
需要注意的是,鉴权流程是分域进行的,即分组交换(Packet Switched,PS)域和电路交换(Circuit Switched,CS)域分别进行鉴权流程,PS域鉴权由移动性管理实体(Mobility Management Entity,MME)或者通用分组无线系统(General Packet RadioService,GPRS)业务支持节点(Serving GPRSSupport Node,SGSN)发起,CS域鉴权由移动交换中心(Mobile Switching Center,MSC)发起,UE需要分别对PS域和CS域进行网络鉴权。以3G的鉴权过程为例,MSC/SGSN从归属位置寄存器(home location register,HLR)或者鉴权中心(authentication center,AUC)获取鉴权向量后,向UE发送携带鉴权向量的鉴权请求消息。UE根据鉴权请求消息,首先判断网络的合法性,若网络合法,再验证自身与网络是否同步,如果同步,则说明UE对网络验证成功,UE向网络回复响应消息,MSC/SGSN再根据UE发来的响应消息验证UE的合法性;若不同步即同步失败,则UE会向MSC/SGSN回复携带原因值的鉴权失败消息,MSC/SGSN将再次向UE发送鉴权请求消息。
在现有技术中,MSC/SGSN/MME向HLR/AUC获取鉴权向量时,一般都会索取多个鉴权向量,以节省网络开支减轻HLR/AUC的负担。并且,由于大多数UE的通用移动通信系统用户标识模块(Universal Mobile Telecommunications System Subscriber IdentityModule,USIM)不支持分域同步检测,从而UE对PS域和CS域网络的同步检测并没有完全分开。一旦在CS域鉴权之前插入了一次PS域鉴权,且发起该CS域鉴权流程的MSC中保存有未使用的鉴权向量,可能导致UE对该CS域进行的网络鉴权失败;或者在PS域鉴权之前插入了一次CS域鉴权,且发起该PS域鉴权流程的MME/SGSN中保存有未使用的鉴权向量,可能导致UE对该CS域进行的网络鉴权失败。
此外,如果MSC/SGSN/MME连续两次收到UE发送的鉴权失败消息,则终止鉴权过程,并向UE发送鉴权拒绝消息。UE一旦受到鉴权拒绝消息,将无法正常发起业务直至重新启动,给用户带来了严重的影响。
发明内容
针对现有技术的上述问题,本发明实施例提供了一种无线通信网络中的鉴权方法、相关装置及系统,能够解决现有技术中鉴权失败的问题。
第一方面,本发明实施例提供了一种无线通信网络中的鉴权方法,该方法包括:
为用户设备保存有未使用的鉴权向量的核心网设备向鉴权设备发送第一鉴权数据请求消息,所述第一鉴权数据请求消息用于请求所述鉴权设备为所述用户设备生成鉴权向量;
所述核心网设备接收所述鉴权设备根据所述第一鉴权数据请求消息返回的第一鉴权数据响应消息,所述第一鉴权数据响应消息携带第一鉴权向量;
所述核心网设备向所述用户设备发送第一鉴权请求消息,所述第一鉴权请求消息包含所述第一鉴权向量中的随机数和鉴权令牌;其中,为用户设备保存有未使用的鉴权向量表明该未使用的鉴权向量与所述用户设备关联或者该未使用的鉴权向量是为所述用户设备生成的。
结合第一方面,在第一种可能的实现方式中,所述为用户设备保存有未使用的鉴权向量的核心网设备向鉴权设备发送第一鉴权数据请求消息之前,所述方法还包括:所述用户设备接入所述核心网设备所位于的第一网络之后,所述核心网设备确定所述用户设备是从第二网络接入到所述第一网络的用户设备;其中,所述第一网络的网络制式与所述第二网络的网络制式不同。
结合第一方面的第一种可能的实现方式,在第二种可能的实现方式中,所述第一网络为3G网络,所述第二网络为LTE网络、2G网络、5G网络或者4.5G网络;或者,所述第一网络为LTE网络,所述第二网络为5G网络或者4.5G网络。
结合第一方面,或者第一方面的第一种或者第二种可能的实现方式,在第三种可能的实现方式中,所述为用户设备保存有未使用的鉴权向量的核心网设备向鉴权设备发送第一鉴权数据请求消息之前,所述方法还包括:
所述核心网设备向所述鉴权设备发送第二鉴权数据请求消息,所述第二鉴权数据请求消息用于请求所述鉴权设备为所述用户设备生成鉴权向量;所述核心网设备接收所述鉴权设备根据所述第二鉴权数据请求消息返回的第二鉴权数据响应消息,所述第二鉴权数据响应消息携带第二鉴权向量和所述未使用的鉴权向量;所述核心网设备向所述用户设备发送第二鉴权请求消息,所述第二鉴权请求消息包含所述第二鉴权向量中的随机数和鉴权令牌。
第二方面,本发明实施例提供了一种无线通信网络中的鉴权方法,所述方法包括:
鉴权设备接收为用户设备保存有未使用的鉴权向量的核心网设备发送的第一鉴权数据请求消息,所述第一鉴权数据请求消息用于请求所述鉴权设备为所述用户设备生成鉴权向量;所述鉴权设备根据所述第一鉴权数据请求消息,生成第一鉴权数据响应消息,所述第一鉴权数据响应消息包含所述鉴权设备为所述用户设备生成的第一鉴权向量;所述鉴权设备向所述核心网设备返回所述第一鉴权数据响应消息。
结合第二方面,在第一种可能的实现方式中,在所述鉴权设备接收为用户设备保存有未使用的鉴权向量的核心网设备发送的第一鉴权数据请求消息之前,所述方法还包括:
所述鉴权设备接收所述核心网设备发送的第二鉴权数据请求消息,所述第二鉴权数据请求消息用于请求所述鉴权设备为所述用户设备生成鉴权向量;所述鉴权设备根据所述第二鉴权数据请求消息,生成第二鉴权数据响应消息,所述鉴权数据响应消息包含所述鉴权设备为所述用户设备生成的第二鉴权向量和所述未使用的鉴权向量;所述鉴权设备向所述核心网设备返回所述第二鉴权数据响应消息。
第三方面,本发明实施例提供了一种核心网设备,该核心网设备包括:
存储单元,用于为用户设备保存未使用的鉴权向量;
获取单元,用于在所述存储单元为所述用户设备保存有所述未使用的鉴权向量的情况下,向所述鉴权设备发送第一鉴权数据请求消息,所述第一鉴权数据请求消息用于请求所述鉴权设备为所述用户设备生成鉴权向量,接收所述鉴权设备根据所述鉴权数据请求消息返回的第一鉴权数据响应消息,所述第一鉴权数据响应消息包含第一鉴权向量;
发送单元,用于向所述用户设备发送第一鉴权请求消息,所述第一鉴权请求消息包含所述第一鉴权向量中的随机数和鉴权令牌。
结合第三方面,在第一种可能的实现方式中,该核心网设备还包括:
确定单元,用于在所述用户设备接入所述核心网设备所位于的第一网络之后,确定所述用户设备是从第二网络接入到所述第一网络的用户设备;其中,所述第一网络的网络制式与所述第二网络的网络制式不同;则所述获取单元具体用于在所述确定单元确定所述用户设备是从第二网络接入到所述第一网络的用户设备之后,向所述鉴权设备发送所述第一鉴权数据请求消息。
结合第三方面和第三方面的第一种可能的实现方式,在第二种可能的实现方式中,所述第一网络为3G网络,所述第二网络为LTE网络、2G网络、5G网络或者4.5G网络;或者,所述第一网络为LTE网络,所述第二网络为5G网络或者4.5G网络。
结合第三方面和第三方面的第一种或者第二种可能的实现方式,在第三种可能的实现方式中,所述获取单元还用于在向鉴权设备发送第一鉴权数据请求消息之前,向所述鉴权设备发送第二鉴权数据请求消息,所述第二鉴权数据请求消息用于请求所述鉴权设备为所述用户设备生成鉴权向量,接收所述鉴权设备根据所述第二鉴权数据请求消息返回的第二鉴权数据响应消息,所述第二鉴权数据响应消息携带第二鉴权向量和所述未使用的鉴权向量;所述发送单元还用于在所述获取单元向鉴权设备发送第一鉴权数据请求消息之前,向所述用户设备发送第二鉴权请求消息,所述第二鉴权请求消息包含所述第二鉴权向量中的随机数和鉴权令牌。
第四方面,本发明实施例还提供了一种鉴权设备,该鉴权设备包括接收单元,用于接收为用户设备保存有未使用的鉴权向量的核心网设备发送的第一鉴权数据请求消息,所述第一鉴权数据请求消息用于请求所述鉴权设备为所述用户设备生成鉴权向量;处理单元,用于根据所述第一鉴权数据请求消息,生成第一鉴权数据响应消息,所述第一鉴权数据响应消息包含为所述用户设备生成的第一鉴权向量;发送单元,用于向所述核心网设备返回所述第一鉴权数据响应消息。
结合第四方面,在第一种可能的实现方式中,所述接收单元还用于在接收所述第一鉴权数据请求消息之前,接收所述核心网设备发送的第二鉴权数据请求消息;所述处理单元还用于根据所述第二鉴权数据请求消息,所述第二鉴权数据请求消息用于请求所述鉴权设备为所述用户设备生成鉴权向量,生成第二鉴权数据响应消息,所述鉴权数据响应消息包含为所述用户设备生成的第二鉴权向量和所述未使用的鉴权向量;所述发送单元还用于向所述核心网设备返回所述第二鉴权数据响应消息。
第五方面,本发明实施例还提供了一种鉴权系统,包括第三方面或者第三方面任一种可能的实现方式所述的核心网设备和第四方面或者第四方面任一种可能的实现方式所述的鉴权网设备。
第六方面,本发明实施例还提供了一种无线通信网络中的鉴权方法,该方法包括:在用户设备从3G网络接入到长期演进LTE网络之后,所述LTE网络的移动管理实体MME获取所述3G网络的通用分组无线系统GPRS业务支撑节点SGSN为所述用户设备保存的未使用的鉴权向量;
所述MME删除或丢弃所述未使用的鉴权向量,以便在所述用户设备从所述LTE网络重新接入到所述3G网络之后,所述MME无法将所述未使用的鉴权向量发送给所述SGSN。
结合第六方面,在第一种可能的实现方式中,所述LTE网络的移动管理实体MME获取所述3G网络的通用分组无线系统GPRS业务支持节点SGSN为所述用户设备保存的未使用的鉴权向量包括:
所述LTE网络的移动管理实体MME向所述3G网络的SGSN发送的上下文请求消息,接收所述SGSN返回的第一上下文响应消息,所述第一上下文响应消息包含所述未使用的鉴权向量;或者,
所述LTE网络的移动管理实体MME接收所述3G网络的第一SGSN发送第一前转重定位请求消息,所述第一前转重定位请求消息包含所述未使用的鉴权向量。
结合第六方面,或者第六方面的第一种可能的实现方式,在第二种可能的实现方式中,在所述MME删除或丢弃所述未使用的鉴权向量之后,所述方法还包括:
在所述用户设备从所述LTE网络重新接入到所述3G网络之后,所述MME接收所述SGSN发送第二上下文请求消息,并向所述SGSN返回第二上下文响应消息,所述第二上下文响应消息不包含所述未使用的鉴权向量;
或者,在所述用户设备从所述LTE网络重新接入到所述3G网络之后,所述MME向所述SGSN发送第二前转重定位请求消息,所述第二前转重定位请求消息不包含所述未使用的鉴权向量。
第七方面,本发明实施例提供了一种移动性管理实体MME,包括:
获取单元,用于在UE从3G网络接入到LTE网络之后,获取所述3G网络的SGSN为所述UE保存的未使用的鉴权向量。具体地,所述获取单元可以向所述3G网络的SGSN发送的上下文请求消息,接收所述SGSN返回的第一上下文响应消息,所述第一上下文响应消息包含所述未使用的鉴权向量;或者,所述获取单元可以接收所述3G网络的第一SGSN发送第一前转重定位请求消息,所述第一前转重定位请求消息包含所述未使用的鉴权向量;
处理单元,用于删除或丢弃所述未使用的鉴权向量,以便在所述UE从所述LTE网络重新接入到所述3G网络之后,所述MME无法将所述未使用的鉴权向量发送给所述SGSN。
结合第七方面,在第一种可能的实现方式中,所述获取单元还用于在所述用户设备从所述LTE网络重新接入到所述3G网络之后,接收所述SGSN发送第二上下文请求消息,并向所述SGSN返回第二上下文响应消息,所述第二上下文响应消息不包含所述未使用的鉴权向量;或者,在所述用户设备从所述LTE网络重新接入到所述3G网络之后,向所述SGSN发送第二前转重定位请求消息,所述第二前转重定位请求消息不包含所述未使用的鉴权向量。
第八方面,本发明实施例提供了一种核心网设备,包括处理器、存储器、总线和通信接口;
所述存储器用于存储计算机执行指令,所述处理器与所述存储器通过所述总线连接,当所述核心网设备运行时,所述处理器执行所述存储器存储的所述计算机执行指令,以使所述核心网设备执行第一方面或者第一方面任一种可能的实现方式所述的无线通信网络中的鉴权方法。
第九方面,本发明实施例提供了一种鉴权设备,其特征在于,所述包括处理器、存储器、总线和通信接口;
所述存储器用于存储计算机执行指令,所述处理器与所述存储器通过所述总线连接,当所述鉴权设备运行时,所述处理器执行所述存储器存储的所述计算机执行指令,以使所述鉴权设备执行第二方面或者第二方面任一种可能的实现方式所述的无线通信网络中的鉴权方法。
本发明实施例提供了一种无线通信网络中的鉴权方法,核心网设备在向UE发送鉴权请求消息之前,即使所述核心网设备中为所述UE保存有未使用的鉴权向量,也向鉴权设备获取第一鉴权向量,并利用所述第一鉴权向量中的随机数和鉴权令牌给所述UE发送鉴权请求消息,以启动所述UE与所述核心网设备之间的网络鉴权流程。上述方法保证了每次进行CS域/PS域网络鉴权时,都是会去鉴权设备获取第一鉴权向量进行鉴权,而非利用所述核心网设备保存的未使用的鉴权向量进行鉴权,即使在CS域网络鉴权之前插入了PS域网络鉴权或者在PS域网络鉴权之前插入了CS域网络鉴权,都能够保证同步验证成功,解决了现有技术中出现的因同步失败而导致的鉴权失败的问题。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的一种无线通信网络中的鉴权方法;
图2是本发明实施例提供的又一种无线通信网络中的鉴权方法;
图3是本发明实施例提供的又一种无线通信网络中的鉴权方法;
图4是本发明实施例提供的又一种无线通信网络中的鉴权方法;
图5是本发明实施例提供的又一种无线通信网络中的鉴权方法;
图6是本发明实施例提供的一种核心网设备的示意图;
图7是本发明实施例提供的一种鉴权设备的示意图;
图8是本发明实施例提供的一种鉴权系统的示意图;
图9是本发明实施例提供的一种无线通信网络中的鉴权设备的结构组成示意图。
具体实施方式
本发明实施例提供一种无线通信网络中的鉴权的方法、相关装置和系统,能够解决现有技术中因同步失败而导致的鉴权失败的问题。
为更清楚地描述本发明的实施例,首先对本发明实施例相关的知识做一些介绍。
通常情况下,网络鉴权流程中UE需要验证自身与网络是否同步,如果不同步,则鉴权流程失败。为检测自身与网络是否同步,UE需要从核心网设备(MME/MSC/SGSN)发送的鉴权向量中获取序列号(sequence number,SQN),并检测该序列号是否满足一系列检测条件,其中包括验证序列号中包含的序列(sequence,SEQ)是否满足SEQMS-SEQ<L,其中,L通常由运营商进行设置,L可以为32,SEQMS是UE当前自身存储的最大序列号的序列。若该SQN满足全部的检测条件,则同步验证成功,并且当SEQ>SEQMS时UE中存储的SEQMS将被更新为SEQ。上述从鉴权向量中获取的SQN实际上是由鉴权设备(HLR/AUC)生成并包含在鉴权向量中的。
鉴权设备产生的SQN通常以二进制表示,由SEQ和IND这两部分组成。在基于时间生成SQN的机制中,鉴权设备在自身的数据库中,为每个用户设备保存了一个差(difference,DIF)值,每个用户设备的DIF值不同,该用户设备的DIF值表示为该用户设备生成的SEQ值与全局计数器(Golbal Counter)GLC的值的差值,因而为同一UE生成的SEQ只与全局计数器GLC的值有关。一般情况下,鉴权设备收到鉴权数据请求消息之后,如果鉴权数据请求消息指不携带同步失败指示,将从自身的数据库中查询该UE的DIF值并获取当前的全局计数器GLC的值,而后可生成SEQ,此时SEQ=GLC+DIF,也即鉴权设备为同一UE生成的两次SEQ的差值只与全局计数器GLC的值有关,而全局计数器GLC的值通常取自时间点(时间戳),例如全局计数器GLC的值可以为每0.1秒加1,则5秒内针对同一UE生成的SEQ差值为1*(5s/0.1s)=50。
发明人分析发现,现有技术中由于UE对PS域和CS域的同步检测没有完全分开,一旦在CS域鉴权之前插入了一次PS域鉴权,且发起该CS域鉴权流程的MSC中保存有未使用的鉴权向量,可能导致UE对该CS域进行的网络鉴权失败;或者在PS域鉴权之前插入了一次CS域鉴权,且发起该PS域鉴权流程的MME/SGSN中保存有未使用的鉴权向量,可能导致UE对该PS域进行的网络鉴权失败。例如,针对UE在两次CS域网络鉴权之间插入了一次PS域网络鉴权的场景,若在核心网设备发起第一次CS域鉴权之前,MSC可能向鉴权设备获取了多个鉴权向量AVC11和AVC12,则在进行第一次CS域鉴权之后,MSC中仍然保存有未使用的鉴权向量AVC12;而后,由于UE的无线接入类型改变等原因,可能需要对UE发起PS域鉴权和第二次CS域鉴权,且PS域鉴权可能在第二次CS域鉴权之前,如果PS域鉴权成功,则UE中存储的最大序列号的序列SEQMS可能被更新为从PS域鉴权的鉴权向量AVP中获得的SEQP;在进行第二次CS域鉴权时,MSC将利用自身保存的未使用的鉴权向量AVC12发起鉴权流程,此时UE获取的SEQ等于从AVC12获得的SEQC12,则SEQMS-SEQ=SEQP-SEQC12,即SEQMS-SEQ的值与生成AVP(SEQP)和AVC12(SEQC12)的时间差有关。但是,由于在进行第二次CS域鉴权时,核心网设备利用的是自身保存的第一次CS域网络鉴权时获取的未使用的鉴权向量AVC12,若鉴权设备生成AVP和AVC12的时间相差很大,使得SEQMS-SEQ不小于L,则无法满足检测条件,导致同步失败,从而引起鉴权失败。
此外,在现有技术中,当因同步失败导致鉴权失败时,核心网设备通常会收到UE发送的携带原因值的鉴权失败消息,该原因值为同步失败,核心网设备通过将携带同步失败指示的数据鉴权请求消息发送给鉴权设备来触发重同步流程,其中该携带同步失败指示的数据鉴权请求消息还包含同步失败时UE中存储的最大序列号的序列SEQMS1的信息。不同于收到未携带同步失败指示的数据鉴权请求消息时鉴权设备根据UE的身份标识获取的UE的DIF值来生成序列SEQ的流程,在重同步流程中鉴权设备首先需要获取SEQMS1,将UE的DIF值重置为SEQMS1-GLC1,再根据重置的DIF值和当前的全局计数器GLC的值生成重同步序列SEQsy,此时重同步序列SEQsy=SEQMS1-GLC1+GLC2,其中GLC1为接到SEQMS1的时间,GLC2为生成重同步序列的时间;然后根据预设算法将重同步序列SEQsy的信息包含在鉴权向量中发送给核心网设备以进行再次鉴权。然而,由于GLC1与GLC2通常相差很小,导致重同步序列SEQsy几乎等于SEQMS1。此时,如果在核心网设备用包含该重同步序列SEQsy的鉴权向量再次发起CS域鉴权之前,插入了一次PS域鉴权,则UE在对CS域再次进行网络鉴权时,UE中存储的最大序号的同步参数SEQMS2可能已经被更新为从PS域鉴权的鉴权向量AVP2中获得的SEQP2,而此时的SEQ等于重同步序列SEQsy,则SEQMS2-SEQ=SEQP2-SEQsy≈SEQP2-SEQMS1,而往往SEQP2与SEQMS1可能相差很大,且SEQP2大于SEQMS1,使得SEQMS2-SEQsy<L无法成立,导致再次鉴权失败。同理,如果在核心网设备利用包含重同步序列的鉴权向量再次发起PS域鉴权之前,插入了一次CS域鉴权,按照现有技术的方法,也可能导致再次鉴权失败,使得鉴权过程的中止,导致UE无法正常发起业务直至重新启动。
为了解决上述问题,本发明实施例提出了一种无线通信网络中的鉴权方法,能够使得核心网设备(MSC/SGSN/MME)在向UE发起鉴权请求之前,都从鉴权设备获取新的鉴权向量(authorization vector,AV),即使核心网设备保存有未使用的鉴权向量,也利用获取的新的鉴权向量进行鉴权,保证了每次进行CS域/PS域网络鉴权时,鉴权向量中包含的SEQ都是鉴权设备新生成的,即使在CS域网络鉴权之前插入了PS域网络鉴权或者在PS域网络鉴权之前插入了CS域网络鉴权,都能够保证同步成功,解决了现有技术中出现的因同步失败而导致的鉴权失败的问题,避免了鉴权失败而可能引起的UE脱网。
本发明实施例还提出了一种无线通信网络中的鉴权方法,能够使得鉴权设备在核心网设备因为同步失败而触发重同步流程时,不是利用UE中存储的最大序列号的序列SEQMS生成重同步序列SEQsy,而是像收到未携带同步失败指示的鉴权数据请求消息一样,直接根据UE的身份标识获取UE的DIF值,根据UE的DIF值和当前全局计数器GLC的值(即生成重同步SEQ的时间)来生成重同步序列SEQsy,使得重同步序列SEQsy不是等于(或者约等于)SEQMS1,保证了核心网设备在利用包含该重同步序列SEQsy的鉴权向量进行鉴权时的鉴权成功,从而避免再次鉴权失败后导致的UE无法正常发起业务直至重新启动的问题。
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。需要注意的是,本发明各实施例中,核心网设备可以是MSC、SGSN或者MME,鉴权设备可以是HLR、归属用户服务器(Home Subscriber Server,HSS)、AUC或者归属环境(HomeEnvironment,HE)。
如图1所示,本发明实施例提供了一种无线通信网络中的鉴权方法,该方法包括:
S101:为UE保存有未使用的鉴权向量的核心网设备向鉴权设备发送第一鉴权数据请求消息(authentication data request),所述第一鉴权数据请求消息用于请求所述鉴权设备为所述UE生成鉴权向量。
当UE发生无线接入类型(Radio Access Type,RAT)改变,从一种网络接入到另一种网络时,目标网络的核心网设备会对UE发起鉴权流程,该鉴权流程可以是PS域的网络鉴权流程,也可以是CS域的网络鉴权流程。例如,当处于LTE网络的UE因为电路交换回落(Circuit Switched Fallback,CSFB)或者网络重选等原因切换到2G或3G网络时,所述2G或3G网络的核心网设备可能对该UE发送鉴权请求消息,以发起CS域或PS域的网络鉴权流程。
在发起CS域或PS域的网络鉴权流程之前,所述核心网设备可以向所述鉴权设备发送第一鉴权数据请求消息,以请求获取鉴权向量。在本发明实施例中,核心网设备在向UE发送第一鉴权请求消息之前,无论自身是否为该UE保存有未使用的鉴权向量,都可以请求鉴权设备为所述UE生成鉴权向量,并利用所述生成的鉴权向量发起CS域或PS域的网络鉴权,避免现有技术中核心网设备利用自身保存的未使用的鉴权向量发起网络鉴权时,可能引起的同步失败而导致的鉴权失败的问题,尽可能的保障了网络鉴权的成功。
相应地,所述鉴权设备可以接收为所述UE保存有未使用的鉴权向量的所述核心网设备发送的第一鉴权数据请求消息,根据所述第一鉴权数据请求消息,生成第一鉴权数据响应消息,所述第一鉴权数据响应消息包含所述鉴权设备为所述UE生成的第一鉴权向量,向所述核心网设备返回所述第一鉴权数据响应消息。
需要注意的是,本发明各实施例中,为UE保存有未使用的鉴权向量,即所述未使用的鉴权向量是为所述UE生成的,或者所述未使用的鉴权向量与所述UE相关。S102:所述核心网设备接收所述鉴权设备根据所述第一鉴权数据请求消息返回的第一鉴权数据响应消息(authentication data response),所述第一鉴权数据响应消息携带第一鉴权向量。
S103:所述核心网设备向UE发送第一鉴权请求消息(authentication request),所述第一鉴权请求消息包含所述第一鉴权向量中的随机数和鉴权令牌。
所述第一鉴权向量可能包含随机数(random number,RAND)、鉴权令牌(authentication token,AUTN)、期望响应(expected response,XRES)、完整性密钥(integrity key,IK)和加密密钥(cipher key,CK)。在获取到所述第一鉴权向量之后,所述核心网设备可以利用所述第一鉴权向量中的随机数和鉴权令牌发送第一鉴权请求消息,以启动所述UE与所述核心网设备之间的鉴权流程。所述UE可以根据所述随机数和所述鉴权令牌确定SQN,也即确定SEQ(SQN中包含SEQ),从而利用SQN(SEQ)可以完成所述UE与网络之间的同步检测或其他鉴权过程。
此外,所述核心网设备向鉴权设备获取的第一鉴权向量可以为一个或者多个,当所述第一鉴权向量为多个时,所述多个第一鉴权向量构成了鉴权向量组(authorizationvectors),则所述第一鉴权请求消息可以包含所述多个第一鉴权向量中的一个鉴权向量中的鉴权令牌和随机数。
可选地,由于核心网设备如果在每次发起鉴权流程之前都去鉴权设备获取鉴权向量,可能给鉴权设备带来较大负担。在实际应用中,因为同步失败而引起的鉴权失败问题基本上都是发生在UE从LTE网络切换到3G网络之后而进行的鉴权过程中,或者发生在UE从2G网络切换到3G网络之后而进行的鉴权过程中,因此可以只针对上述场景而使用本发明的方法,则步骤101具体可以是:在UE接入3G网络之后,所述3G网络的核心网设备向鉴权设备发送第一鉴权数据请求消息,此时,所述核心网设备中为所述UE保存有未使用的鉴权向量。相应地,步骤102和103中的核心网设备均是指该3G网络的核心网设备。
可选地,也可以只针对UE从第二网络切换到第一网络之后进行网络鉴权的场景,则在步骤S101之前,所述方法还可以包括步骤S100:
S100:UE接入所述核心网设备所位于的第一网络之后,所述核心网设备确定所述UE是从第二网络接入到所述第一网络的UE。
相应地,步骤S101至步骤S103中的核心网设备均是指位于所述第一网络的核心网设备。在本发明实施例中,所述第一网络的网络制式与所述第二网络的网络制式不同,所述第一网络可以是3G网络,所述第二网络可以是LTE网络或者2G网络;或者所述第一网络可以是LTE网络,所述第二网络可以是5G/4.5G网络。
例如,当所述第一网络为3G网络,所述第二网络为LTE网络时,S100为:在UE接入3G网络之后,所述3G网络的核心网设备确定所述UE为从LTE网络接入到所述3G网络的UE,即确定所述UE为来自LTE网络的UE。该方法保证了只有在UE是从LTE网络接入到3G网络而引起鉴权过程时,即使核心网设备保存有未使用的鉴权向量,核心网设备也向鉴权设备去获取第一鉴权向量,利用第一鉴权向量来发起网络鉴权流程。
所述核心网设备在确定所述UE为从LTE网络接入到所述3G网络的UE时,也可以有多种方式。所述核心网设备可以根据所述UE发送的CS域非接入层(CS domain Non-AccessStratum,CS domain NAS)消息或者所述UE在被叫场景下的寻呼响应消息判断所述UE是否为CSFB用户,如果确定是CSFB用户,即确定所述UE为从LTE网络接入到所述3G网络的UE,所述CS domain NAS消息可以是接续管理业务请求消息或位置更新请求消息等,此时所述核心网设备可以为MSC;或者,
所述核心网设备可以根据所述UE发送的PS非接入层(PS domain Non-AccessStratum,PS domain NAS)消息,判断所述UE是否为从LTE网络接入到所述3G网络的UE,例如可以根据路由更新(RoutingArea Update,RAU)请求消息,确定所述UE是从LTE网络接入到所述3G网络的UE,此时所述核心网设备可以为SGSN;或者,
还可以对基站进行功能增强,使得基站可以通过解析所述UE发送的无线资源控制(Radio Resource Control,RRC)连接请求消息中是否包含CSFB指示信息,判断所述UE是否为CSFB用户,在确定所述UE为CSFB用户时,向所述核心网设备发送通知消息,则所述核心网设备可以根据所述通知消息,确定所述UE为从LTE网络接入到所述3G网络的UE,此时所述核心网设备可以为MSC或SGSN;或者,
针对某UE,所述核心网设备可以通过判断自身与MME之间是否存在SGS接口关联,来判断所述UE是从LTE网络接入到所述3G网络的UE,若存在SGS接口关联,则确定所述UE是从LTE网络接入到所述3G网络的UE,此时所述核心网设备可以为MSC。
在上述实施例中,所述核心网设备中保存的所述未使用的鉴权向量可能是所述核心网设备发起上一次鉴权流程之前获取的,如图2所示,则在步骤S101之前,所述方法还可以包括:
S201:所述核心网设备向所述鉴权设备发送第二鉴权数据请求消息,所述第二鉴权数据请求消息用于请求所述鉴权设备为所述UE生成鉴权向量。
相应地,所述鉴权设备可以接收所述核心网设备发送的第二鉴权数据请求消息,根据所述第二鉴权数据请求消息,生成第二鉴权数据响应消息,所述鉴权数据响应消息包含第二鉴权向量和所述未使用的鉴权向量,并向所述核心网设备返回所述第二鉴权数据响应消息。
S202:所述核心网设备接收所述鉴权设备根据所述第二鉴权数据请求消息返回的第二鉴权数据响应消息,所述第二鉴权数据响应消息包含所述鉴权设备为所述UE生成的第二鉴权向量和所述未使用的鉴权向量。
S203:所述核心网设备向所述UE发送第二鉴权请求消息,所述第二鉴权请求消息包含所述第二鉴权向量中的随机数和鉴权令牌。
在本发明实施例中,所述核心网设备发送第二鉴权请求消息之前,从鉴权设备获取了为所述UE生成的第二鉴权向量和所述未使用的鉴权向量,在向所述UE发送第二鉴权请求消息时,使用了所述第二鉴权向量,则所述核心网设备中还保存了所述未使用的鉴权向量。后续所述核心网设备需要发送第一鉴权请求消息时,不是使用所述未使用的鉴权向量,而是使用重新去鉴权设备获取为所述UE生成的第一鉴权向量,避免现有技术中核心网设备利用自身保存的未使用的鉴权向量发起网络鉴权时,可能引起的同步失败而导致的鉴权失败的问题,尽可能的保障了网络鉴权的成功。
如图3所示,本发明实施例提供了一种网络鉴权方法,可以应用于两次CS域鉴权之间插入一次PS域鉴权的场景。该场景具体可以为,位于LTE网络的UE发起联合附着流程,注册于所述LTE网络的MME和3G网络的MSC上。在联合注册过程中/后,所述MSC会对所述UE发起鉴权流程,即发起第一次CS域鉴权流程。完成联合附着流程之后,所述UE驻留于所述LTE网络。后续所述UE因为CSFB等原因可能从所述LTE网络接入到3G网络,并可能由原注册的所述MSC提供CS域业务,则所述3G网络中的SGSN和所述MSC可能分别对所述UE发起PS域鉴权流程和第二次CS域鉴权流程,所述方法可以保证以上鉴权过程中鉴权成功,所述方法具体可以包括:
S301:位于LTE网络的UE发起联合附着流程,注册于所述LTE网络的MME和3G网络的MSC上。
在上述附着流程中,所述MME和所述MSC之间将对应所述UE建立SGs接口关联。具体地,所述UE向所述MME发送附着请求消息,所述附着请求消息中包含附着类型信元,所述附着类型信元用于告知所述MME所述UE请求联合演进分组系统(evolved packet system,EPS)附着或者国际移动用户识别码(International Mobile SubscriberIdentity,IMSI)附着。所述MME收到所述附着请求消息后,执行EPS附着流程,而后所述MME根据配置信息和/或预算算法选择一个MSC,并向所述MSC发送位置更新请求消息,以使所述UE注册于所述MSC上。当完成所述UE在所述MSC的IMSI附着之后,所述MME和所述MSC之间的SGs口进入关联状态,也即两者之间建立对应所述UE的SGs接口关联。
S302:在联合附着过程中,所述MSC向鉴权设备发送第二鉴权数据请求消息,所述第二鉴权数据请求消息包含UE的身份标识,所述第二鉴权数据请求消息用于请求所述鉴权设备为所述UE生成鉴权向量。
联合附着过程中,可能触发MSC或MME发起鉴权流程。所述MSC在发起鉴权流程之前,可以通过第二鉴权数据请求消息来获取鉴权向量。
其中,所述UE的身份标识可以是IMSI。通常,在向所述鉴权设备发送鉴权数据请求消息时,可以指定请求获取的鉴权向量的数量。为节省网络资源开支,每次可能获取多个鉴权向量,也即预留了后续鉴权需要的鉴权向量。例如,所述第二鉴权数据请求消息中可以包含指示信息,所述指示信息用于指示请求获取的鉴权向量的数量为3。
S303:所述鉴权设备向所述MSC返回第二鉴权数据响应消息,所述第二鉴权数据响应消息包含为所述UE生成的鉴权向量AV21、AV22和AV23。
所述鉴权设备返回的所述鉴权向量中,每个鉴权向量都可以包含随机数RAND、鉴权令牌AUTN、期望响应XRES、完整性密钥IK和加密密钥CK。在生成鉴权向量时,所述鉴权设备可以将SQN和利用随机数RAND获得的匿名密钥(anonymity key,AK)包含在鉴权令牌AUTN中,其中,SQN可以包含SEQ和IND两部分(如SQN=SEQ||IND)。例如鉴权向量AV21、AV22和AV23包含的SQN中所包含的SEQ可以分别为:SEQ21=756EA3,SEQ22=756EA4,SEQ23=756EA5。
后续UE如果需要从鉴权令牌AUTN中获取SQN,可以首先从随机数RAND中获取匿名密钥AK,利用匿名密钥AK和相关算法,从鉴权令牌AUTN中获取SQN进行同步检测,也即验证SQN是否在正确范围内。
S304:所述MSC向所述UE发送第二鉴权请求消息,所述第二鉴权请求消息包含鉴权向量AV21中的RAND21和AUTN21。
S305:所述UE根据所述第二鉴权请求消息,对所述3G网络进行CS域鉴权,鉴权成功之后,向所述MSC返回第二鉴权响应消息(authentication response)。
所述UE可以首先利用RAND21和AUTN21对网络的合法性进行验证,若网络合法,再利用从RAND21中获取的AK21和相关算法,从AUTN21中获取同步序列号SQN21,其中SQN21包含参数SEQ21。UE可以比较SEQ21与自身存储的最大序号的同步参数SEQMS,若满足SEQMS-SEQ21<L(L=32),且满足其他检测条件(如:SEQ21-SEQMS≤Δ和SEQ21>SEQMS(i),其中Δ可以设为一个很大的数如228,i与IND值相同),则UE确定SQN在正确范围内,本次同步验证成功。
在所述UE对网络的合法性和同步验证成功之后,即鉴权成功之后,所述UE向所述MSC返回第二鉴权响应消息,并且若SEQ21>SEQMS,所述UE会将其自身存储的SEQMS更新为SEQ21,即SEQMS=756EA3。
S306:所述UE从所述LTE网络接入到所述3G网络。
由于某种原因,所述UE可能从所述LTE网络接入3G网络,并且可能由原注册的MSC为其提供CS域业务。例如,可能由于所述LTE网络不支持语音业务,当所述UE需要进行语音通话时经CSFB回落到所述3G网络发起CS语音业务;又例如,可能由于所述LTE网络发生异常,所述UE经切换或者网络重选的方式而接入所述3G网络。
S307:所述UE向所述3G网络的SGSN发送RAU请求消息。
因改变了无线接入类型RAT,所述UE可能向所述3G网络的SGSN发送RAU请求消息,用于请求注册到所述3G网络的PS域,以便能够进行PS域业务。
S308:所述SGSN向所述鉴权设备发送第三鉴权数据请求消息,所述第三鉴权数据请求消息包含所述UE的身份标识,所述第三鉴权数据请求消息用于请求所述鉴权设备为所述UE生成鉴权向量。
在接收到所述UE发送的RAU请求消息之后,所述SGSN可能需要发起鉴权流程,即PS域鉴权,因而在鉴权之前,可能通过第三鉴权数据请求消息,获取鉴权向量。
S309:所述鉴权设备向所述SGSN返回第三鉴权数据响应消息,所述第三鉴权数据响应消息包含为所述UE生成的鉴权向量AV31、AV32和AV33。
例如,假设所述第三鉴权数据请求消息是在所述第二鉴权数据请求消息发送5s之后发送的,则所述鉴权设备生成AV31/AV32/AV33与生成AV21/AV22/AV23的时间差为5s,则鉴权向量AV31、AV32和AV33包含的SQN中所包含的SEQ可以分别为:SEQ31=756ED5,SEQ32=756ED6,SEQ33=756ED7。
S310:所述SGSN向所述UE发送第三鉴权请求消息,所述第三鉴权请求消息包含鉴权向量AV31中的RAND31和AUTN32。
S311:所述UE根据所述第三鉴权请求消息,对所述3G网络进行PS域鉴权,鉴权成功之后,向所述SGSN返回第三鉴权响应消息。
所述UE在对网络的合法性进行验证成功之后,可以利用RAND31和AUTN31获取SQN31(其中包含SEQ31=756ED4),进而利用SQN31进行同步验证,即验证SQN31是否在正确范围内。假设所述UE对网络的合法性和同步验证成功,即鉴权成功,则所述UE会将其自身存储的SEQMS从SEQ21更新为SEQ31,即SEQMS=756ED5。
可选地,步骤S306-步骤S311中,所述SGSN获取鉴权向量并针对PS域发起鉴权流程的过程也可以是由MME执行,则在该情况下,所述UE仍然位于LTE网络,由MME获取鉴权向量并针对PS域发起鉴权流程,在该鉴权流程结束之后,所述UE可能从LTE网络切换到3G网络,由3G网络的MSC执行以下步骤中的获取鉴权向量和发起CS域鉴权流程。
S312:所述UE向所述MSC发送接入请求消息或者业务请求消息,以便获取所述3G网络的CS域服务。
所述UE从LTE网络迁移至3G网络后,可以向所述MSC发送接入请求消息或者业务请求消息,如位置更新请求消息和接续管理业务请求消息等,以便获取所述3G网络的CS域服务。
S313:所述MSC根据所述接入请求消息或者业务请求消息,判断所述UE是否为从LTE网络接入到所述3G网络的UE。
S314:在确定所述UE为从LTE网络接入到3G网络的UE之后,所述MSC向所述鉴权设备发送第一鉴权数据请求消息,所述第一鉴权数据请求消息包含UE的身份标识,所述第第一鉴权数据请求消息用于请求所述鉴权设备为所述UE生成鉴权向量。
本发明中,虽然所述MSC中保存有未使用过的鉴权向量AV22和AV23,但是所述MSC仍然会去所述鉴权设备获取新生成的鉴权向量AV11,以确保鉴权成功。否则按照现在技术的流程,所述MSC将会利用AV22/AV23发送鉴权请求消息,如果所述UE利用AV22/AV23进行鉴权,由于UE中保存的SEQMS=756ED5比SEQ22=756EA4/SEQ23=756EA5大,且大于32,不满足检测规则中的SEQMS-SEQ<L,将引起同步检测失败而导致鉴权失败。
S315:所述鉴权设备向所述MSC返回第一鉴权数据响应消息,所述第一鉴权数据响应消息包含为所述UE生成的鉴权向量AV11。
假设所述第一鉴权数据请求消息是在所述第三鉴权数据请求消息发送0.5s之后发送的,则所述鉴权设备生成AV31/AV32/AV33与生成AV11的时间差约为0.5s,则鉴权向量AV11中包含的SEQ的信息可以为:SEQ31=756EDA。
可选地,所述MSC也可以向鉴权设备获取多个鉴权向量,则所述第一鉴权数据响应消息中也可以包括多个鉴权向量。
S316:所述MSC向所述UE发送第一鉴权请求消息,所述第一鉴权请求消息包含鉴权向量AV11中的RAND11和AUTN11。
S317:所述UE根据所述第一鉴权请求消息,对所述3G网络进行CS域鉴权,鉴权成功之后,向所述MSC返回第一鉴权响应消息。
所述UE利用AV11中的RAND11和AUTN11对网络进行合法性验证,并利用从AUTN中获取的SQN11进行同步检测。由于UE中保存的SEQMS=756ED5比SQN31中的SEQ31=756EDA小,所以满足SEQMS-SEQ<0<L,使得同步检测成功,避免了利用现有技术进行鉴权时导致的鉴权失败的问题,避免了UE脱网。
由于在现有技术中,当UE从3G网络接入到LTE网络之后,所述3G网络的SGSN可能会将鉴权向量传给所述LTE网络的MME,当所述UE从所述LTE网络再次重新接入到所述3G网络之后,所述MME可能又会将鉴权向量发送给所述3G网络的所述SGSN,使得在鉴权过程中,所述SGSN可能使用该鉴权向量发送鉴权请求消息,而不去获取鉴权设备新生成的鉴权向量,导致鉴权失败。
有鉴于此,本发明实施例提供了一种无线通信网络中的鉴权方法,在UE从3G网络接入到LTE网络之后,所述3G网络的第一SGSN不将自身为所述UE保存的未使用的鉴权向量发送给所述LTE网络的MME,从而当所述UE从所述LTE网络再次重新接入到所述3G网络之后,所述MME无法将所述保存的鉴权向量发送给所述3G网络的第二SGSN,所述第一SGSN可以相同也可以不同,通过本发明实施例提供的方法,可以避免在SGSN中保存未使用的鉴权向量,从而保证SGSN在每次发起鉴权流程之前都去鉴权设备获取鉴权向量,解决了现有技术的问题。具体地,如图4所述,所述方法可以包括:
S400:在UE从3G网络接入到LTE网络之后,所述3G网络的第一SGSN接收所述LTE网络的MME发送的上下文请求消息(context request)。
所述上下文请求消息用于请求获取所述UE的信息。
S401:保存有未使用的鉴权向量的所述第一SGSN向所述MME发送第一上下文响应消息(context response),所述第一上下文响应消息不包含所述未使用的鉴权向量。
所述未使用的鉴权向量可以为3G鉴权向量(3G AV)。
不同于现有技术,在本发明中,即使所述第一SGSN中保存有未使用的鉴权向量,也不将所述未使用的鉴权向量发送给所述MME,使得后续当所述UE从所述LTE网络重新接入到3G网络之后,所述MME也无法将所述未使用的鉴权向量发送给3G网络的中的SGSN,避免在SGSN中保存未使用的鉴权向量,从而保证SGSN在每次发起鉴权流程之前都获取新的鉴权向量,解决了现有技术中的鉴权失败的问题。
可选地,若UE是由于执行PS域切换而从3G网络接入LTE网络的,则步骤S400-S401可以替换为:
S401’:在UE从3G网络接入到LTE网络之后,所述3G网络的第一SGSN发送第一前转重定位请求消息(forward relocation request)给所述LTE网络的MME;其中所述第一SGSN发送所述第一前传重定位请求消息时,为所述UE保存有未使用的鉴权向量,所述第一前转重定位请求消息不包含所述未使用的鉴权向量。
其中,所述第一前转重定位请求消息用于将所述UE的信息,如UE的身份标识和上下文等,告知所述MME。所述前转重定位请求消息并不包含所述未使用的3G鉴权向量。
可选地,所述方法还可以包括:
S402:在所述UE从所述LTE网络重新接入到所述3G网络之后,所述3G网络的第二SGSN向所述MME发送第二上下文请求消息。
所述第一SGSN与所述第二SGSN可能相同,也可能不同。通过步骤S400-S401或者步骤S401’,使得所述MME中并没有所述未使用的鉴权向量。
S403:所述第二SGSN接收所述MME返回的第二上下文响应消息,所述第二上下文响应消息不包含所述未使用的鉴权向量。
若所述UE是由于执行PS域切换从所述LTE网络重新接入所述3G网络的,则步骤S402-S403可以替换为:
S403’:在所述UE从所述LTE网络重新接入到所述3G网络之后,所述3G网络的第二SGSN接收所述MME发送的第二前转重定位请求消息,所述第二前转重定位请求消息不包含所述未使用的鉴权向量。
所述第二前转重定位请求消息用于将UE的信息,如UE的身份标识和上下文等,告知所述第二SGSN。
S404:所述第二SGSN向鉴权设备发送鉴权数据请求消息。
在所述UE从所述LTE网络重新接入到3G网络之后,所述第二SGSN可能会发起鉴权流程,由于所述第二SGSN中未保存未使用的鉴权向量,则在发起鉴权流程之前,所述第二SGSN将向所述鉴权设备请求获取鉴权向量。
S405:所述第二SGSN接收所述鉴权设备返回的鉴权数据响应消息,所述鉴权数据响应消息包含鉴权向量。
所述鉴权向量包含随机数和鉴权令牌,或者还可以包含期望响应、完整性密钥和加密密钥。
S406:所述第二SGSN向所述UE发送鉴权请求消息,所述鉴权请求消息包含所述鉴权数据响应消息包含的所述鉴权向量中的随机数和鉴权令牌。
在本发明实施例中,在UE从3G网络接入到LTE网络之后,所述3G网络的第一SGSN不将自身保存的未使用的鉴权向量发送给所述LTE网络的MME,从而所述UE从所述LTE网络重新接入到3G网络之后,所述MME也无法将所述未使用的鉴权向量发送给3G网络的中的第二SGSN,避免在第二SGSN中保存所述未使用的鉴权向量,从而所述第二SGSN在向所述UE发送鉴权请求消息之前,需要从鉴权设备获取新生成的鉴权向量,解决了现有技术中的鉴权失败的问题。
本发明实施例提供了一种无线通信网络中的鉴权方法,在UE从3G网络接入到LTE网络之后,所述LTE网络的移动管理实体MME获取所述3G网络的SGSN为所述UE保存的未使用的鉴权向量,所述MME删除或丢弃所述未使用的鉴权向量,以便在所述UE从所述LTE网络重新接入到所述3G网络之后,所述MME无法将所述未使用的鉴权向量发送给所述SGSN。通过本发明实施例提供的方法,可以避免在SGSN中保存未使用的鉴权向量,从而保证SGSN在每次发起鉴权流程之前都获取新的鉴权向量,解决了现有技术的问题。具体地,如图5所述,所述方法可以包括:
S500:在UE从3G网络接入到LTE网络之后,所述LTE网络的MME向所述3G网络的第一SGSN发送的上下文请求消息。
S501:所述MME接收所述第一SGSN返回的第一上下文响应消息,所述第一上下文响应消息包含所述第一SGSN为所述UE保存的未使用的鉴权向量。
所述未使用的鉴权向量可以为3G鉴权向量。
可选地,若UE是由于执行PS域切换而从3G网络接入LTE网络的,则步骤S500-S501可以替换为:
S501’:在UE从3G网络接入到LTE网络之后,所述LTE网络的MME接收所述3G网络的第一SGSN发送的第一前转重定位请求消息(forward relocation request),所述第一SGSN发送所述前传重定位请求消息时为所述UE保存有未使用的鉴权向量,则所述第一前转重定位请求消息包含所述第一SGSN保存的未使用的鉴权向量。步骤S501’的具体实现方式可以参考步骤S401’。
S502:在所述UE从所述LTE网络重新接入到所述3G网络之后,所述MME接收所述第二SGSN发送的第二上下文请求消息。
S503:所述MME向所述第二SGSN返回的第二上下文响应消息,所述第二上下文响应消息不包含所述未使用的鉴权向量。
由于步骤S500-S501,使得所述MME中保存有所述未使用的鉴权向量,不同于现有技术,保存有所述未使用的鉴权向量的MME发送的第二上下文响应消息中,不包含所述未使用的鉴权向量。
不同于现有技术,在本发明中,在所述UE从所述LTE网络重新接入到3G网络之后,即使所述MME中保存有未使用的鉴权向量,也不将所述未使用的鉴权向量发送给所述3G网络的第二SGSN,避免在所述第二SGSN中保存所述未使用的鉴权向量,从而保证所示第二SGSN在每次发起鉴权流程之前都去鉴权设备获取鉴权向量,解决了现有技术中的鉴权失败的问题。
若所述UE是由于执行PS域切换从所述LTE网络重新接入所述3G网络的,则步骤S502-S503可以替换为:
S503’:在所述UE从所述LTE网络重新接入到所述3G网络之后,所述MME向所述3G网络的第二SGSN发送第二前转重定位请求消息,所述第二前转重定位请求消息不包含所述未使用的鉴权向量。
由于步骤S501’,使得所述MME中保存有所述未使用的鉴权向量,不同于现有技术,保存有所述未使用的鉴权向量的MME发送的第二前转重定位请求消息中,不包含所述未使用的鉴权向量。
需要注意的是,所述MME在接收到所述第一SGSN发送的所述未使用的鉴权向量之后,可以删除或丢弃所述未使用的鉴权向量,从而在发送给所述第二SGSN发送的所述第二前转重定位请求消息或者所述第二上下文响应消息中不包含所述未使用的鉴权向量。或者,所述MME也可以不删除所述未使用的鉴权向量,而仅仅不将所述未使用的鉴权向量发送给所述第二SGSN。
可选地,所述方法还可以包括:
S504:所述第二SGSN向鉴权设备发送鉴权数据请求消息。
在所述UE从所述LTE网络重新接入到3G网络之后,所述第二SGSN可能会发起鉴权流程,由于所述第二SGSN中未保存有未使用的鉴权向量,则在发起鉴权流程之前,所述第二SGSN可以向所述鉴权设备请求获取新生成的鉴权向量。
S505:所述第二SGSN接收鉴权设备返回的鉴权数据响应消息,所述鉴权数据响应消息包含鉴权向量。
S506:所述第二SGSN向所述UE发送鉴权请求消息,所述鉴权请求消息包含所述鉴权数据响应消息包含的所述鉴权向量中的随机数和鉴权令牌。
在本发明实施例中,在所述UE从所述LTE网络重新接入到3G网络之后,即使所述LTE网络的MME中保存有未使用的鉴权向量,也不将所述未使用的鉴权向量发送给所述3G网络的第二SGSN,避免在所述第二SGSN中保存所述未使用的鉴权向量,从而所述第二SGSN在向所述UE发送鉴权请求消息之前,需要从鉴权设备获取新生成的鉴权向量,解决了现有技术中的鉴权失败的问题。
对应于上述方法实施例,本发明实施例提供了一种核心网设备60,如图6所示,所述核心网设备可以为移动交换中心MSC或者SGSN或者5G网络的核心网设备,所述核心网设备可以包括存储单元601、获取单元602和发送单元603;
所述存储单元601,用于为UE保存未使用的鉴权向量。
所述获取单元602,用于向所述鉴权设备发送第一鉴权数据请求消息,,所述第一鉴权数据请求消息用于请求所述鉴权设备为所述UE生成鉴权向量,接收所述鉴权设备根据所述鉴权数据请求消息返回的第一鉴权数据响应消息,所述第一鉴权数据响应消息包含所述鉴权设备为所述UE生成的第一鉴权向量。例如,所述获取单元602可以在所述发送单元603向UE发送第一鉴权请求消息之前,所述存储单元601为所述UE保存有所述未使用的鉴权向量的情况下,向所述鉴权设备发送所述第一鉴权数据请求消息,所述第一鉴权数据请求消息还可以包含所述UE的身份标识,以便所述核心网设备根据所述UE的身份标识,为所述UE生成第一鉴权向量。
所述发送单元603,用于向所述UEUE发送第一鉴权请求消息,所述第一鉴权请求消息包含所述第一鉴权向量中的随机数和鉴权令牌。
由于核心网设备如果在每次发起鉴权流程之前都去鉴权设备获取鉴权向量,可能给鉴权设备带来较大负担。在实际应用中,可以指针对某些场景进行保护。则所述核心网设备还可以包括:
确定单元604,用于在所述UE接入所述核心网设备所位于的第一网络之后,确定所述UE是从第二网络接入到所述第一网络的UE;则所述获取单元602可以在所述确定单元604确定所述UE是从第二网络接入到所述第一网络的UE之后,才向所述鉴权设备发送所述第一鉴权数据请求消息。
例如,所述第一网络可以为3G网络,所述第二网络可以为长期演进LTE网络,则所述确定单元604具体用于确定所述UE是从LTE网络接入到3G网络的UE。该方法保证了只有在UE是从LTE网络接入到3G网络而引起鉴权过程时,即使核心网设备保存有未使用的鉴权向量,核心网设备也向鉴权设备去获取第一鉴权向量,利用第一鉴权向量来发起网络鉴权流程。
具体地,所述确定单元604在确定所述UE为从LTE网络接入到所述3G网络的UE时,也可以有多种方式。所述确定单元604可以根据所述UE发送的CS domain NAS消息或者所述UE在被叫场景下的寻呼响应消息判断所述UE是否为CSFB用户,如果确定是CSFB用户,即确定所述UE为从LTE网络接入到所述3G网络的UE,所述CS domain NAS消息可以是接续管理业务请求消息或位置更新请求消息等,此时所述核心网设备可以为MSC;或者,所述确定单元604可以根据所述UE发送的PS domain NAS消息,判断所述UE是否为从LTE网络接入到所述3G网络的UE,例如可以根据RAU请求消息,确定所述UE是从LTE网络接入到所述3G网络的UE,此时所述核心网设备可以为SGSN;或者,所述确定单元604可以根据基站发送的通知消息,确定所述UE是从LTE网络接入到3G网络的UE,所述通知消息为所述基站在确定所述UE为电路交换回落CSFB用户之后向所述核心网设备发送的消息,此时所述核心网设备可以为MSC或SGSN;或者,针对某UE,所述确定单元604可以通过判断所述核心网设备与MME之间是否存在SGS接口关联,来判断所述UE是从LTE网络接入到所述3G网络的UE,若存在SGS接口关联,则确定所述UE是从LTE网络接入到所述3G网络的UE,此时所述核心网设备可以为MSC。
可选地,所述存储单元601中保存的所述未使用的鉴权向量可能是所述核心网设备发起上一次鉴权流程之前获取的,则:所述获取单元602还用于在向鉴权设备发送第一鉴权数据请求消息之前,向所述鉴权设备发送第二鉴权数据请求消息,所述第二鉴权数据请求消息用于请求所述鉴权设备为所述UE生成鉴权向量,接收所述鉴权设备根据所述第二鉴权数据请求消息返回的第二鉴权数据响应消息,所述第二鉴权数据响应消息携带所述鉴权设备为所述UE生成的第二鉴权向量和所述未使用的鉴权向量;所述发送单元603还用于在所述获取单元602向鉴权设备发送第一鉴权数据请求消息之前,向所述UE发送第二鉴权请求消息,所述第二鉴权请求消息包含所述第二鉴权向量中的随机数和鉴权令牌。
在本发明实施例中,所述获取单元602可以在所述存储单元601为UE保存有未使用的鉴权向量的情况下,向所述鉴权设备发送所述第一鉴权数据请求消息,接收所述鉴权设备根据所述鉴权数据请求消息返回的第一鉴权数据响应消息,所述第一鉴权数据响应消息包含所述鉴权设备为所述UE生成的第一鉴权向量,所述发送单元603可以向所述UE发送第一鉴权请求消息,所述第一鉴权请求消息包含所述第一鉴权向量中的随机数和鉴权令牌,使得核心网设备即使保存有未使用的鉴权向量,也利用所述第一鉴权向量进行鉴权,避免现有技术中核心网设备利用自身保存的未使用的鉴权向量发起网络鉴权时,可能引起的同步失败而导致的鉴权失败的问题,尽可能的保障了网络鉴权的成功。
对应于上述方法实施例,本发明实施例还提供了一种鉴权设备,如图7所示,所述鉴权设备可以为归属环境HE、归属位置寄存器HLR、归属用户服务器HSS或者鉴权中心AUC,所述鉴权设备包括接收单元701、处理单元702和发送单元703;
所述接收单元701,用于接收保存有未使用的鉴权向量的核心网设备发送的第一鉴权数据请求消息,所述第一鉴权数据请求消息用于请求所述鉴权设备为所述UE生成鉴权向量;
所述处理单元702,用于根据所述第一鉴权数据请求消息,生成第一鉴权数据响应消息,所述第一鉴权数据响应消息包含为所述UE生成的第一鉴权向量;
所述发送单元703,用于向所述核心网设备返回所述第一鉴权数据响应消息。
可选地,所述接收单元701还用于在接收所述第一鉴权数据请求消息之前,接收所述核心网设备发送的第二鉴权数据请求消息,所述第二鉴权数据请求消息用于请求所述鉴权设备为所述UE生成鉴权向量;所述处理单元702还用于根据所述第二鉴权数据请求消息,生成第二鉴权数据响应消息,所述第二鉴权数据响应消息包含为所述UE生成的第二鉴权向量和所述未使用的鉴权向量;所述发送单元703还用于向所述核心网设备返回所述第二鉴权数据响应消息。
在本发明实施例中,鉴权设备可以接收为UE保存有未使用的鉴权向量的核心网设备发送的第一鉴权数据请求消息,并为所述保存有未使用的鉴权向量的核心网设备返回第一鉴权数据响应消息,所述第一鉴权数据响应消息包含为所述UE生成的第一鉴权向量,使得核心网设备即使保存有未使用的鉴权向量,也利用所述第一鉴权向量进行鉴权,避免现有技术中核心网设备利用自身保存的未使用的鉴权向量发起网络鉴权时,可能引起的同步失败而导致的鉴权失败的问题,尽可能的保障了网络鉴权的成功。
如图8所示,本发明实施例还提供了一种鉴权系统80,包括核心网设备60和鉴权设备70。核心网设备60和鉴权设备70各自执行的动作以及它们之间的交互,可以参见图1至图3对应的方法实施例的描述,也可以参考图6和图7对应的装置实施例的描述,此处不再赘述。
可选地,所述鉴权系统还可以包括用户设备801;
例如,所述核心网设备可以用于,在为所述用户设备保存有未使用的鉴权向量的情况下向鉴权设备发送第一鉴权数据请求消息,所述第一鉴权数据请求消息用于请求所述鉴权设备为所述用户设备生成鉴权向量;
所述鉴权设备可以用于接收所述第一鉴权数据请求消息,根据所述第一鉴权数据请求消息,生成第一鉴权数据响应消息,所述第一鉴权数据响应消息包含所述鉴权设备为所述用户设备生成的第一鉴权向量,并向所述核心网设备返回所述第一鉴权数据响应消息。
所述核心网设备还可以用于接收所述第一鉴权数据响应消息,向用户设备发送第一鉴权请求消息,所述第一鉴权请求消息包含所述第一鉴权向量中的随机数和鉴权令牌;
所述用户设备可以接收所述第一鉴权请求消息,利用所述第一鉴权请求消息包含的所述第一鉴权向量中的随机数和鉴权令牌进行鉴权。
如图9所示,本发明实施例还提供了一种无线通信系统中的鉴权装置,所述鉴权装置可以包括:
处理器901、存储器902、总线904和通信接口905。处理器901、存储器902和通信接口905之间通过总线904连接并完成相互间的通信。
处理器901可能为单核或多核中央处理单元,或者为特定集成电路,或者为被配置成实施本发明实施例的一个或多个集成电路。
存储器902可以为高速RAM存储器,也可以为非易失性存储器(non-volatilememory),例如至少一个磁盘存储器。
存储器902用于计算机执行指令903。具体的,计算机执行指令903中可以包括程序代码。
当所述鉴权装置运行时,处理器901运行计算机执行指令903,可以执行图1至图3任意之一对应的方法实施例所述的无线通信系统中的鉴权方法的方法流程或者图4至图5任意之一对应的方法实施例所述的无线通信系统中的鉴权方法的方法流程。所述鉴权装置可以为核心网设备或者鉴权设备。
本发明实施例还提供了一种计算机可读介质,包括计算机执行指令,以供计算机的处理器执行所述计算机执行指令时,所述计算机执行图1至图3任意之一对应的方法实施例所述的无线通信系统中的鉴权方法的方法流程或者图4至图5任意之一对应的方法实施例所述的无线通信系统中的鉴权方法的方法流程。
本发明中所提到的LTE网络,包括LTE A网络、以及后续可能出现LTE版本。本发明实施例中的第一、第二、第三、第四、第五等仅用于区分不同的指示信息、消息或其他对象,不代表顺序关系。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口、装置或单元的间接耦合或通信连接,也可以是电的,机械的或其它的形式连接。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本发明实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以是两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分,或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (29)
1.一种无线通信网络中的鉴权方法,其特征在于,所述方法包括:
为用户设备保存有未使用的鉴权向量的核心网设备向鉴权设备发送第一鉴权数据请求消息,所述第一鉴权数据请求消息用于请求所述鉴权设备为所述用户设备生成鉴权向量;
所述核心网设备接收所述鉴权设备根据所述第一鉴权数据请求消息返回的第一鉴权数据响应消息,所述第一鉴权数据响应消息携带第一鉴权向量;
所述核心网设备向所述用户设备发送第一鉴权请求消息,所述第一鉴权请求消息包含所述第一鉴权向量中的随机数和鉴权令牌。
2.根据权利要求1所述的方法,其特征在于,所述为用户设备保存有未使用的鉴权向量的核心网设备向鉴权设备发送第一鉴权数据请求消息之前,所述方法还包括:
所述用户设备接入所述核心网设备所位于的第一网络之后,所述核心网设备确定所述用户设备是从第二网络接入到所述第一网络的用户设备;其中,所述第一网络的网络制式与所述第二网络的网络制式不同。
3.根据权利要求2所述的方法,其特征在于,所述第一网络为3G网络,所述第二网络为长期演进LTE网络;
则所述核心网设备确定所述用户设备是从第二网络接入到所述第一网络的用户设备包括:所述核心网设备确定所述用户设备是从LTE网络接入到3G网络的用户设备。
4.根据权利要求3所述的方法,其特征在于,所述3G网络的所述核心网设备确定所述用户设备是从LTE网络接入到3G网络的用户设备包括:
所述核心网设备根据所述用户设备发送的分组交换域非接入层消息,确定所述用户设备为从LTE网络接入到3G网络的用户设备;或者
所述核心网设备根据所述用户设备发送的寻呼响应消息或者电路交换域非接入层消息,确定所述用户设备是从LTE网络接入到3G网络的用户设备;或者,
所述核心网设备通过确定自身与移动管理实体MME之间对应所述用户设备存在SGS接口关联,确定所述用户设备是从LTE网络接入到3G网络的用户设备;或者,
所述核心网设备根据基站发送的通知消息,确定所述用户设备是从LTE网络接入到3G网络的用户设备,所述通知消息为所述基站在确定所述用户设备为电路交换回落CSFB用户之后向所述核心网设备发送的消息。
5.根据权利要求1-4任一项所述的方法,其特征在于,所述为用户设备保存有未使用的鉴权向量的核心网设备向鉴权设备发送第一鉴权数据请求消息之前,所述方法还包括:
所述核心网设备向所述鉴权设备发送第二鉴权数据请求消息,所述第二鉴权数据请求消息用于请求所述鉴权设备为所述用户设备生成鉴权向量;
所述核心网设备接收所述鉴权设备根据所述第二鉴权数据请求消息返回的第二鉴权数据响应消息,所述第二鉴权数据响应消息携带第二鉴权向量和所述未使用的鉴权向量;
所述核心网设备向所述用户设备发送第二鉴权请求消息,所述第二鉴权请求消息包含所述第二鉴权向量中的随机数和鉴权令牌。
6.根据权利要求1-4任一项所述的方法,其特征在于,所述核心网设备为移动交换中心MSC或者通用分组无线系统GPRS业务支持节点SGSN。
7.根据权利要求5所述的方法,其特征在于,所述核心网设备为移动交换中心MSC或者通用分组无线系统GPRS业务支持节点SGSN。
8.一种无线通信网络中的鉴权方法,其特征在于,所述方法包括:
鉴权设备接收为用户设备保存有未使用的鉴权向量的核心网设备发送的第一鉴权数据请求消息,所述第一鉴权数据请求消息用于请求所述鉴权设备为所述用户设备生成鉴权向量;
所述鉴权设备根据所述第一鉴权数据请求消息,生成第一鉴权数据响应消息,所述第一鉴权数据响应消息包含所述鉴权设备为所述用户设备生成的第一鉴权向量;
所述鉴权设备向所述核心网设备返回所述第一鉴权数据响应消息。
9.根据权利要求8所述的方法,其特征在于,在所述鉴权设备接收为用户设备保存有未使用的鉴权向量的核心网设备发送的第一鉴权数据请求消息之前,所述方法还包括:
所述鉴权设备接收所述核心网设备发送的第二鉴权数据请求消息,所述第二鉴权数据请求消息用于请求所述鉴权设备为所述用户设备生成鉴权向量;
所述鉴权设备根据所述第二鉴权数据请求消息,生成第二鉴权数据响应消息,所述鉴权数据响应消息包含所述鉴权设备为所述用户设备生成的第二鉴权向量和所述未使用的鉴权向量;
所述鉴权设备向所述核心网设备返回所述第二鉴权数据响应消息。
10.根据权利要求9或8所述的方法,其特征在于,所述鉴权设备为归属环境HE、归属位置寄存器HLR、归属用户服务器HSS或者鉴权中心AUC。
11.一种核心网设备,其特征在于,包括:
存储单元,用于为用户设备保存未使用的鉴权向量;
获取单元,用于在所述存储单元为所述用户设备保存有所述未使用的鉴权向量的情况下,向所述鉴权设备发送第一鉴权数据请求消息,所述第一鉴权数据请求消息用于请求所述鉴权设备为所述用户设备生成鉴权向量,接收所述鉴权设备根据所述鉴权数据请求消息返回的第一鉴权数据响应消息,所述第一鉴权数据响应消息包含第一鉴权向量;
发送单元,用于向所述用户设备发送第一鉴权请求消息,所述第一鉴权请求消息包含所述第一鉴权向量中的随机数和鉴权令牌。
12.根据权利要求11所述的核心网设备,其特征在于,所述核心网设备还包括:
确定单元,用于在所述用户设备接入所述核心网设备所位于的第一网络之后,确定所述用户设备是从第二网络接入到所述第一网络的用户设备;其中,所述第一网络的网络制式与所述第二网络的网络制式不同;
则所述获取单元具体用于在所述确定单元确定所述用户设备是从第二网络接入到所述第一网络的用户设备之后,向所述鉴权设备发送所述第一鉴权数据请求消息。
13.根据权利要求12所述的核心网设备,其特征在于,所述第一网络为3G网络,所述第二网络为长期演进LTE网络;
则所述确定单元具体用于确定所述用户设备是从LTE网络接入到3G网络的用户设备。
14.根据权利要求13所述的核心网设备,其特征在于,所述确定单元具体用于根据所述用户设备发送的分组交换域非接入层消息,确定所述用户设备为从LTE网络接入到3G网络的用户设备;或者
根据所述用户设备发送的寻呼响应消息或者电路交换域非接入层消息,确定所述用户设备是从LTE网络接入到3G网络的用户设备;或者,
通过确定自身与移动管理实体MME之间对应所述用户设备存在SGS接口关联,确定所述用户设备是从LTE网络接入到3G网络的用户设备;或者,
根据基站发送的通知消息,确定所述用户设备是从LTE网络接入到3G网络的用户设备,所述通知消息为所述基站在确定所述用户设备为电路交换回落CSFB用户之后向所述核心网设备发送的消息。
15.根据权利要求11-14任一项所述的核心网设备,其特征在于,所述获取单元还用于在向鉴权设备发送第一鉴权数据请求消息之前,向所述鉴权设备发送第二鉴权数据请求消息,所述第二鉴权数据请求消息用于请求所述鉴权设备为所述用户设备生成鉴权向量,接收所述鉴权设备根据所述第二鉴权数据请求消息返回的第二鉴权数据响应消息,所述第二鉴权数据响应消息携带第二鉴权向量和所述未使用的鉴权向量;
所述发送单元还用于在所述获取单元向鉴权设备发送第一鉴权数据请求消息之前,向所述用户设备发送第二鉴权请求消息,所述第二鉴权请求消息包含所述第二鉴权向量中的随机数和鉴权令牌。
16.根据权利要求11-14任一项所述的核心网设备,其特征在于,所述核心网设备为移动交换中心MSC或者通用分组无线系统GPRS业务支持节点SGSN。
17.根据权利要求15所述的核心网设备,其特征在于,所述核心网设备为移动交换中心MSC或者通用分组无线系统GPRS业务支持节点SGSN。
18.一种鉴权设备,其特征在于,包括:
接收单元,用于接收为用户设备保存有未使用的鉴权向量的核心网设备发送的第一鉴权数据请求消息,所述第一鉴权数据请求消息用于请求所述鉴权设备为所述用户设备生成鉴权向量;
处理单元,用于根据所述第一鉴权数据请求消息,生成第一鉴权数据响应消息,所述第一鉴权数据响应消息包含为所述用户设备生成的第一鉴权向量;
发送单元,用于向所述核心网设备返回所述第一鉴权数据响应消息。
19.根据权利要求18所述的鉴权设备,其特征在于,所述接收单元还用于在接收所述第一鉴权数据请求消息之前,接收所述核心网设备发送的第二鉴权数据请求消息;
所述处理单元还用于根据所述第二鉴权数据请求消息,所述第二鉴权数据请求消息用于请求所述鉴权设备为所述用户设备生成鉴权向量,生成第二鉴权数据响应消息,所述鉴权数据响应消息包含为所述用户设备生成的第二鉴权向量和所述未使用的鉴权向量;
所述发送单元还用于向所述核心网设备返回所述第二鉴权数据响应消息。
20.根据权利要求18或19所述的鉴权设备,其特征在于,所述鉴权设备为归属环境HE、归属位置寄存器HLR、归属用户服务器HSS或者鉴权中心AUC。
21.一种鉴权系统,其特征在于,包括如权利要求11-17任一项所述的核心网设备和如权利要求18-20任一项所述的鉴权设备。
22.根据权利要求21所述的系统,其特征在于,还包括用户设备;
所述用户设备用于接收所述核心网设备发送的第一鉴权请求消息,利用所述第一鉴权请求消息包含的第一鉴权向量中的随机数和鉴权令牌进行鉴权。
23.一种无线通信网络中的鉴权方法,其特征在于,所述方法包括
在用户设备从3G网络接入到长期演进LTE网络之后,所述LTE网络的移动管理实体MME获取所述3G网络的通用分组无线系统GPRS业务支撑节点SGSN为所述用户设备保存的未使用的鉴权向量;
所述MME删除或丢弃所述未使用的鉴权向量,以便在所述用户设备从所述LTE网络重新接入到所述3G网络之后,所述MME无法将所述未使用的鉴权向量发送给所述SGSN。
24.根据权利要求23所述的方法,其特征在于,所述LTE网络的移动管理实体MME获取所述3G网络的通用分组无线系统GPRS业务支持节点SGSN为所述用户设备保存的未使用的鉴权向量包括:
所述LTE网络的移动管理实体MME向所述3G网络的SGSN发送的上下文请求消息,接收所述SGSN返回的第一上下文响应消息,所述第一上下文响应消息包含所述未使用的鉴权向量;或者,
所述LTE网络的移动管理实体MME接收所述3G网络的第一SGSN发送第一前转重定位请求消息,所述第一前转重定位请求消息包含所述未使用的鉴权向量。
25.根据权利要求23或24所述的方法,其特征在于,在所述MME删除或丢弃所述未使用的鉴权向量之后,所述方法还包括:
在所述用户设备从所述LTE网络重新接入到所述3G网络之后,所述MME接收所述SGSN发送第二上下文请求消息,并向所述SGSN返回第二上下文响应消息,所述第二上下文响应消息不包含所述未使用的鉴权向量;
或者,在所述用户设备从所述LTE网络重新接入到所述3G网络之后,所述MME向所述SGSN发送第二前转重定位请求消息,所述第二前转重定位请求消息不包含所述未使用的鉴权向量。
26.一种核心网设备,其特征在于,包括处理器、存储器、总线和通信接口;
所述存储器用于存储计算机执行指令,所述处理器与所述存储器通过所述总线连接,当所述核心网设备运行时,所述处理器执行所述存储器存储的所述计算机执行指令,以使所述核心网设备执行如权利要求1-7中任一项所述的无线通信网络中的鉴权方法。
27.一种鉴权设备,其特征在于,所述包括处理器、存储器、总线和通信接口;
所述存储器用于存储计算机执行指令,所述处理器与所述存储器通过所述总线连接,当所述鉴权设备运行时,所述处理器执行所述存储器存储的所述计算机执行指令,以使所述鉴权设备执行如权利要求8-10中任一项所述的无线通信网络中的鉴权方法。
28.一种计算机可读介质,其特征在于,包括计算机执行指令,以供计算机的处理器执行所述计算机执行指令时,所述计算机执行如权利要求1-7中任一项所述的无线通信网络中的鉴权方法。
29.一种计算机可读介质,其特征在于,包括计算机执行指令,以供计算机的处理器执行所述计算机执行指令时,所述计算机执行如权利要求8-10中任一项所述的无线通信网络中的鉴权方法。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/CN2014/092787 WO2016086355A1 (zh) | 2014-12-02 | 2014-12-02 | 一种无线通信网络中的鉴权方法、相关装置及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107005842A CN107005842A (zh) | 2017-08-01 |
CN107005842B true CN107005842B (zh) | 2019-12-24 |
Family
ID=56090804
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201480083832.2A Active CN107005842B (zh) | 2014-12-02 | 2014-12-02 | 一种无线通信网络中的鉴权方法、相关装置及系统 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN107005842B (zh) |
WO (1) | WO2016086355A1 (zh) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107820245B (zh) * | 2016-09-12 | 2021-10-15 | 中兴通讯股份有限公司 | 注册方法 |
CN109803261B (zh) * | 2017-11-17 | 2021-06-22 | 华为技术有限公司 | 鉴权方法、设备及系统 |
CN112469043B (zh) * | 2019-09-09 | 2022-10-28 | 华为技术有限公司 | 一种鉴权的方法及装置 |
CN112867001B (zh) * | 2019-11-26 | 2022-07-15 | 维沃移动通信有限公司 | 鉴权方法、终端设备和网络设备 |
CN113676901B (zh) * | 2020-04-30 | 2022-11-18 | 华为技术有限公司 | 密钥管理方法、设备及系统 |
CN114338073A (zh) * | 2021-11-09 | 2022-04-12 | 江铃汽车股份有限公司 | 车载网络的防护方法、系统、存储介质及设备 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1756428A (zh) * | 2004-09-30 | 2006-04-05 | 华为技术有限公司 | Ip多媒体子系统中对终端用户标识模块进行鉴权的方法 |
CN1852553A (zh) * | 2005-05-31 | 2006-10-25 | 华为技术有限公司 | 一种对终端用户标识模块进行ip多媒体域鉴权的方法 |
CN101043744A (zh) * | 2006-03-21 | 2007-09-26 | 华为技术有限公司 | 一种ims网络中用户终端接入鉴权的方法 |
CN103906051A (zh) * | 2012-12-25 | 2014-07-02 | 中国移动通信集团北京有限公司 | 一种接入lte网络的方法、系统和装置 |
CN104038934A (zh) * | 2014-06-30 | 2014-09-10 | 武汉虹信技术服务有限责任公司 | Lte核心网实时信令监测的非接入层解密方法 |
EP2787753A1 (en) * | 2011-11-29 | 2014-10-08 | ZTE Corporation | Method and device for processing srvcc switch, and terminal therefor |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7574599B1 (en) * | 2002-10-11 | 2009-08-11 | Verizon Laboratories Inc. | Robust authentication and key agreement protocol for next-generation wireless networks |
CN103905400B (zh) * | 2012-12-27 | 2017-06-23 | 中国移动通信集团公司 | 一种业务认证方法、装置及系统 |
CN103281693A (zh) * | 2013-05-10 | 2013-09-04 | 北京凯华网联技术有限公司 | 无线通信认证方法、网络转换设备及终端 |
-
2014
- 2014-12-02 WO PCT/CN2014/092787 patent/WO2016086355A1/zh active Application Filing
- 2014-12-02 CN CN201480083832.2A patent/CN107005842B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1756428A (zh) * | 2004-09-30 | 2006-04-05 | 华为技术有限公司 | Ip多媒体子系统中对终端用户标识模块进行鉴权的方法 |
CN1852553A (zh) * | 2005-05-31 | 2006-10-25 | 华为技术有限公司 | 一种对终端用户标识模块进行ip多媒体域鉴权的方法 |
CN101043744A (zh) * | 2006-03-21 | 2007-09-26 | 华为技术有限公司 | 一种ims网络中用户终端接入鉴权的方法 |
EP2787753A1 (en) * | 2011-11-29 | 2014-10-08 | ZTE Corporation | Method and device for processing srvcc switch, and terminal therefor |
CN103906051A (zh) * | 2012-12-25 | 2014-07-02 | 中国移动通信集团北京有限公司 | 一种接入lte网络的方法、系统和装置 |
CN104038934A (zh) * | 2014-06-30 | 2014-09-10 | 武汉虹信技术服务有限责任公司 | Lte核心网实时信令监测的非接入层解密方法 |
Also Published As
Publication number | Publication date |
---|---|
WO2016086355A1 (zh) | 2016-06-09 |
CN107005842A (zh) | 2017-08-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10681545B2 (en) | Mutual authentication between user equipment and an evolved packet core | |
US11863982B2 (en) | Subscriber identity privacy protection against fake base stations | |
KR102264718B1 (ko) | 보안 구현 방법, 및 관련된 장치 및 시스템 | |
CN109587688B (zh) | 系统间移动性中的安全性 | |
CN107005842B (zh) | 一种无线通信网络中的鉴权方法、相关装置及系统 | |
CN106028331B (zh) | 一种识别伪基站的方法及设备 | |
CN112566112B (zh) | 用于无线通信的装置、方法和存储介质 | |
US8208928B2 (en) | Mobile communication method and mobile station | |
CN102318386B (zh) | 向网络的基于服务的认证 | |
CN109922474B (zh) | 触发网络鉴权的方法及相关设备 | |
EP2503754A1 (en) | Authentication in a communications system | |
EP2603024B1 (en) | Key separation method and device | |
WO2009152759A1 (zh) | 防止网络安全失步的方法和装置 | |
US11070376B2 (en) | Systems and methods for user-based authentication | |
US20190274039A1 (en) | Communication system, network apparatus, authentication method, communication terminal, and security apparatus | |
JP2022529837A (ja) | パラメータ送信方法及び装置 | |
US9161221B2 (en) | Method, apparatus and computer program for operating a user equipment | |
CN113498057A (zh) | 通信系统、方法及装置 | |
JP2015517750A (ja) | モバイル端末のハンドオーバを実行する方法及びシステム、並びに無線セルラ通信ネットワークにおいて用いるように意図されたモバイル端末 | |
EP3228108B1 (en) | Method, computer program and network node for ensuring security of service requests | |
WO2016086356A1 (zh) | 一种无线通信网络中的鉴权方法、相关装置及系统 | |
CN104333864B (zh) | 一种鉴权重同步方法及装置 | |
CN116939734A (zh) | 通信方法及装置 | |
WO2014169568A1 (zh) | 安全上下文处理方法及装置 | |
CN102056132A (zh) | 对不同网络间漫游的用户卡进行认证的方法、系统及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |