CN111093195B - 一种鉴权策略控制的方法 - Google Patents
一种鉴权策略控制的方法 Download PDFInfo
- Publication number
- CN111093195B CN111093195B CN201911200551.1A CN201911200551A CN111093195B CN 111093195 B CN111093195 B CN 111093195B CN 201911200551 A CN201911200551 A CN 201911200551A CN 111093195 B CN111093195 B CN 111093195B
- Authority
- CN
- China
- Prior art keywords
- authentication
- event
- user
- triggering event
- strategy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开一种鉴权策略控制的方法,包括如下步骤:步骤1,针对各类鉴权触发事件以及用户类别分别设定鉴权策略、鉴权间隔次数及鉴权控制策略配置;步骤2,MME每次收到鉴权触发事件时,判断是否执行鉴权过程;步骤3,移动性管理实体MME判断鉴权的类型;步骤4,在用户相应鉴权触发事件的未鉴权次数未达到预设的鉴权间隔次数,不进行鉴权;步骤5,在用户相应鉴权触发事件的未鉴权次数达到预设的鉴权间隔次数,进行鉴权,相应的鉴权触发事件的不鉴权次数清零。本发明所述鉴权策略控制的方法核心网安全控制鉴权策略的技术,对一些网段的用户进行鉴权策略控制,如不进行鉴权、强制鉴权、根据MME系统进行判断以及按照频次来进行鉴权。
Description
技术领域
本发明属于LTE核心网通信技术领域,涉及一种核心网安全策略灵活控制的方法,具体涉及一种鉴权策略控制的方法。
背景技术
在当前形势下,移动通讯、数据通讯的发展异常迅速,通信业务的需求也在逐步增加,通讯网络的安全问题也越来越获得各方面人员的关注,一个网络的安全性直接关系到用户和网络运营商本身的利益,为了保证合法的用户获取网络服务,保证用户数据的完整、可靠、安全的传输,因此一套完备的安全机制就很重要。
LTE移动通讯网络中,鉴权的核心是HSS和手机USIM卡,在制作USIM卡时,运营商会将用户的IMSI和4G网络安全流程使用的加密算法、密钥K值写入卡内,用户数据和鉴权相关的数据存储实体是HSS,HSS中存储着用户的签约信息,以及相同的安全流程使用的加密算法和密钥K。
4G通讯网络中EPS鉴权向量由RAND、AUTN、XRES和KASME四元组组成,EPS鉴权向量由MME向HSS请求获取,其中RAND是随机数,HSS会针对每个用户的每次鉴权过程生成一个随机数,作为每次鉴权的关键变量,该随机数会传递给终端,AUTN,传递给终端,终端按照自己保存的K和算法计算出一个AUTNue,终端会比较算出的AUTN和从网路接收到AUTN,如果两者一致则说明网络可信,XRES,传到MME,MME收到用户返回的鉴权响应时比较手机带回的RES,一致则MME认为用户鉴权通过,具体过程如下:
1)MME发送AuthenticationDataRequest消息给HSS,消息中需要包含IMSI,网络ID,如MCC+MNC和网络类型,如E-UTRAN;
2)HSS收到MME的请求后,使用AuthenticationDataresponse消息将鉴权向量组发送给MME;
3)MME向UE发送UserAuthenticationRequest消息,对用户进行鉴权,消息中包含RAND和AUTN这两个参数;
4)UE收到MME发来的请求后,先验证AUTN是否可接受,UE首先通过对比自己计算出来的XMAC和来自网络的MAC(包含在AUTN内)以对网络进行认证,如果不一致,则UE认为这是一个非法的网络,如果一致,然后计算RES值,并通过UserAuthentication Response消息发送给MME,MME检查RES和XRES的是否一致,如果一致,则鉴权通过。
为了对用户的身份进行识别,防止非法用户接入网络,通讯网络中采取了严格的鉴权策略,在用户附着、去附着、TA更新、业务请求时均需要进行鉴权,因此,为了确保每次鉴权使用的鉴权向量不重复,在鉴权的时候会使用不同的鉴权向量,MME向HSS请求鉴权向量时最多可返回五组,使用完之后再重新向HSS请求,用户在位置更新时可以获取鉴权向量。
现有系统中仅通过开关来控制是否鉴权,会存在缺陷,比如打开鉴权开关的时候,无法减少频繁取鉴权向量带来的信令负荷,关闭鉴权开关时,鉴权防护功能会失效,而且,由于用户量非常庞大,每个用户的五组鉴权向量很快就会耗尽,所以请求鉴权向量以及鉴权信令会非常频繁,这样会加大HSS和MME,MME和eNodeB、UE之间的信令负荷。
基于现有技术存在的上述技术问题,本发明提出一种鉴权策略控制的方法。
发明内容
本发明提供一种鉴权策略控制的方法,通过核心网安全控制鉴权策略的技术,对一些网段的用户进行鉴权策略控制,如不进行鉴权、强制鉴权、根据MME系统进行判断以及按照频次来进行鉴权。
为达到上述目的,本发明采用以下技术方案:
一种鉴权策略控制的方法,包括如下步骤:
步骤1,针对鉴权触发事件以及用户类别分别设定鉴权策略、鉴权间隔次数及鉴权控制策略配置;
步骤2,移动性管理实体MME分别统计每个用户的鉴权触发事件的未鉴权次数,移动性管理实体MME每次收到鉴权触发事件时,判断是否执行鉴权过程;
步骤3,移动性管理实体MME根据鉴权触发事件、鉴权策略判断鉴权的类型,其中,鉴权类型包括不执行鉴权、执行鉴权、按频次鉴权及系统判断;
步骤4,在用户相应鉴权触发事件的未鉴权次数未达到预设的鉴权间隔次数,不进行鉴权,相应的鉴权触发事件的不鉴权次数加1;
步骤5,在用户相应鉴权触发事件的未鉴权次数达到预设的鉴权间隔次数,进行鉴权,相应的鉴权触发事件的不鉴权次数清零。
进一步地,步骤2中,鉴权触发事件包括附着请求事件、去附着请求事件、TA更新请求事件及业务请求事件。
进一步地,步骤1中,根据鉴权触发事件的类型设定鉴权策略,鉴权策略包括判断附着请求事件的鉴权控制策略、判断去附着请求事件的鉴权控制策略、判断TA请求事件的鉴权控制策略及判断业务请求事件的鉴权控制策略。
进一步地,步骤3中,鉴权的类型包括不执行鉴权、执行鉴权、按频次鉴权及系统判断。
进一步地,步骤3中,移动性管理实体MME判断鉴权的类型为系统判断时,移动性管理实体MME检查是否有安全相关错误发生,如果是则执行鉴权过程,否则不执行鉴权过程。
进一步地,步骤3中,安全相关错误包括由于消息鉴权码MAC检查失败和无安全上下文的安全方面的错误。
进一步地,步骤1中,用户类别为国际移动用户识别码IMSI号段。
与现有技术相比,本发明的优越效果在于:
本发明所述的鉴权策略控制的方法,能够实现策略控制方法可扩展,如运营商可根据用户在线时长来设置是否进行鉴权过程;
本发明所述的鉴权策略控制的方法,能够实现针对每个鉴权触发事件分别进行控制,针对某些用户段分别控制。
附图说明
图1是本发明实施例中鉴权策略控制的方法的流程示意图。
具体实施方式
为了能够更清楚地理解本发明的上述目的、特征和优点,下面结合附图和具体实施方式对本发明进行进一步的详细描述,需要说明的是,在不冲突的情况下,本申请的实施例及实施例中的特征可以相互组合。
实施例1
一种能够自如控制4G网络中鉴权策略的方法,本实施例中核心网安全控制鉴权策略的技术,可以对一些网段的用户进行鉴权策略控制,如不进行鉴权、强制鉴权、根据MME系统进行判断以及按照频次来进行鉴权。
根据MME系统自判断是考虑到,当MME检测到异常如安全上下文不存在,MAC检查失败的情况时,可以及时的进行鉴权认证。
按频次鉴权是假定用户在成功鉴权之后,在一定频次的业务流程后(如附着、去附着、TA更新、业务请求),用户的身份是可以信赖的,也就是说,可以按照控制逻辑,对于4G用户的附着、去附着、TA更新、业务请求过程中的是否鉴权进行控制,来减少对用户的鉴权次数,同时又保留了安全性所必须的鉴权。
基于这种考虑,分析控制逻辑,鉴权触发事件是附着、去附着、TA更新和业务请求事件,从作用的用户来看,用户类型是一个因素,如本地用户、本网国内用户、本网国际用户、他网国内用户、他网国际用户,从鉴权次数考虑,鉴权间隔次数也是策略控制的关键参数。
如图1所示,所述鉴权策略的方法,包括如下具体步骤:
步骤1、针对鉴权触发事件、用户类别分别设定鉴权策略,以及鉴权间隔次数,鉴权控制策略配置如下:
用户类别 | 鉴权事件类型 | 鉴权策略 | 鉴权次数 |
IMSI号段 | 业务请求 | 系统判断 | n |
步骤2、MME分别统计每个用户的鉴权触发事件的未鉴权次数,每次收到鉴权触发事件时,判断是否执行鉴权过程;
步骤3、如果是附着请求事件,则判断附着请求事件的鉴权控制策略,继续执行步骤7;
步骤4、如果是去附着请求事件,则判断去附着请求事件的鉴权控制策略,继续执行步骤7;
步骤5、如果是TA更新请求事件,则判断TA请求事件的鉴权控制策略,继续执行步骤7;
步骤6、如果是业务请求事件则判断业务请求事件的鉴权控制策略,继续执行步骤7;
步骤7、如果是不鉴权则不执行鉴权过程,如果是强制鉴权则执行鉴权,如果是系统判断则进一步判断如果是局内IMSI附着则比如在本地没有安全上下文或者MAC检查失败等安全策略需要更新时进行鉴权过程,如果是按频次判断则查询MME本地存的不鉴权次数,如果不鉴权次数达到预设的鉴权次数,则执行鉴权,否则不鉴权;
步骤8、如果用户相应鉴权触发事件未鉴权次数没有达到预设的鉴权间隔次数,不进行鉴权,相应的鉴权触发事件的不鉴权次数加1;
步骤9、如果用户相应鉴权触发事件未鉴权次数达到预设的鉴权间隔次数,进行鉴权,相应的鉴权触发事件不鉴权次数清零。
在本实施例的步骤1中,鉴权控制策略配置仅为示例性配置。
在本实施例中,鉴权触发事件的数量能够按需增加或减少,用户类别也能够按需增加或减少,鉴权控制类型也能够增加或减少。
在本实施例中,结合网络现状,根据网络中用户类别以及分别发生的TA更新、业务请求、附着及去附着等业务进行分别控制,调整鉴权策略,优化资源。
在本实施例中,MME表示移动性管理实体;MAC表示消息鉴权码;IMSI表示国际移动用户识别码。
本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书界定。
Claims (3)
1.一种鉴权策略控制的方法,其特征在于,包括如下步骤:
步骤1,针对鉴权触发事件以及用户类别分别设定鉴权策略、鉴权间隔次数及鉴权控制策略配置,根据鉴权触发事件的类型设定鉴权策略,鉴权策略包括判断附着请求事件的鉴权控制策略、判断去附着请求事件的鉴权控制策略、判断TA请求事件的鉴权控制策略及判断业务请求事件的鉴权控制策略;
步骤2,移动性管理实体MME分别统计每个用户的鉴权触发事件的未鉴权次数,MME每次收到鉴权触发事件时,判断是否执行鉴权过程,鉴权触发事件包括附着请求事件、去附着请求事件、TA更新请求事件及业务请求事件;
步骤3,移动性管理实体MME判断鉴权的类型,其中,鉴权的类型包括不执行鉴权、执行鉴权、按频次鉴权及系统判断,移动性管理实体MME判断鉴权的类型为系统判断时,移动性管理实体MME检查是否有安全相关错误发生,如果是则执行鉴权过程,否则不执行鉴权过程;
步骤4,在用户相应鉴权触发事件的未鉴权次数未达到预设的鉴权间隔次数,不进行鉴权,相应的鉴权触发事件的不鉴权次数加1;
步骤5,在用户相应鉴权触发事件的未鉴权次数达到预设的鉴权间隔次数,进行鉴权,相应的鉴权触发事件的不鉴权次数清零。
2.根据权利要求1所述的鉴权策略控制的方法,其特征在于,步骤3中,安全相关错误包括由于消息鉴权码MAC检查失败和无安全上下文的安全方面的错误。
3.根据权利要求2所述的鉴权策略控制的方法,其特征在于,步骤1中,用户类别为国际移动用户识别码IMSI号段。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911200551.1A CN111093195B (zh) | 2019-11-29 | 2019-11-29 | 一种鉴权策略控制的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911200551.1A CN111093195B (zh) | 2019-11-29 | 2019-11-29 | 一种鉴权策略控制的方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111093195A CN111093195A (zh) | 2020-05-01 |
CN111093195B true CN111093195B (zh) | 2023-05-26 |
Family
ID=70393349
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201911200551.1A Active CN111093195B (zh) | 2019-11-29 | 2019-11-29 | 一种鉴权策略控制的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111093195B (zh) |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1815955A (zh) * | 2005-02-05 | 2006-08-09 | 华为技术有限公司 | 一种对用户进行鉴权的方法 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1735023A (zh) * | 2004-08-10 | 2006-02-15 | 华为技术有限公司 | 一种进行重鉴权及重鉴权事件和触发事件的处理方法 |
CN100583764C (zh) * | 2006-05-20 | 2010-01-20 | 华为技术有限公司 | 一种灵活鉴权的控制方法 |
CN102883319B (zh) * | 2012-09-07 | 2015-05-20 | 大唐移动通信设备有限公司 | 鉴权向量管理方法及装置 |
CN105337979B (zh) * | 2015-11-17 | 2018-11-02 | 中国联合网络通信集团有限公司 | 确定重鉴权时间间隔的方法和系统、重鉴权的方法和系统 |
-
2019
- 2019-11-29 CN CN201911200551.1A patent/CN111093195B/zh active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1815955A (zh) * | 2005-02-05 | 2006-08-09 | 华为技术有限公司 | 一种对用户进行鉴权的方法 |
Also Published As
Publication number | Publication date |
---|---|
CN111093195A (zh) | 2020-05-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR102450419B1 (ko) | 무선 통신 네트워크에서의 로밍 활동에 대한 안티 스티어링 검출 방법 및 시스템 | |
US11375363B2 (en) | Secure updating of telecommunication terminal configuration | |
CN112566050B (zh) | 附件无线设备的蜂窝服务账户转移 | |
KR102040231B1 (ko) | 이동 통신에서 가입 사업자 변경 제한 정책을 지원하는 정책 적용 방법 및 장치 | |
US8554912B1 (en) | Access management for wireless communication devices failing authentication for a communication network | |
KR102046159B1 (ko) | 이동 통신에서 가입 사업자 재가입 혹은 추가 가입 제한 정책을 지원하는 보안 방안 및 시스템 | |
US8200193B2 (en) | Detection of anomalies in traffic transmitted by a mobile terminal within a radiocommunication network | |
EP3485624B1 (en) | Operation related to user equipment using secret identifier | |
AU2017405089A1 (en) | Enhanced registration procedure in a mobile system supporting network slicing | |
US9622082B2 (en) | Mobile terminal theft detection system | |
US11405788B2 (en) | Wireless network service access control with subscriber identity protection | |
US8185936B1 (en) | Automatic device-profile updates based on authentication failures | |
CN113841429B (zh) | 用于发起切片特定的认证和授权的通信网络组件和方法 | |
CN102457844A (zh) | 一种m2m组认证中组密钥管理方法及系统 | |
US11943624B2 (en) | Electronic subscriber identity module transfer eligibility checking | |
CN107659935B (zh) | 一种认证方法、认证服务器、网管系统及认证系统 | |
KR20110038655A (ko) | 무선 통신 시스템에서 이동성 제한을 위한 시스템 및 방법 | |
CN111093195B (zh) | 一种鉴权策略控制的方法 | |
EP3879862B1 (en) | Controlling connectivity of an electronic device to a mobile network | |
US20220210646A1 (en) | Forcing re-authentication of users for accessing online services | |
EP3488627B1 (en) | Proof-of-presence indicator | |
US10044721B2 (en) | Communication device authentication in small cell network | |
CN106899543B (zh) | 一种内容访问控制方法及相关设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CP02 | Change in the address of a patent holder | ||
CP02 | Change in the address of a patent holder |
Address after: 100176 2701, 27th floor, building 1, yard 22, Ronghua Middle Road, Beijing Economic and Technological Development Zone, Daxing District, Beijing Patentee after: Beijing Changkun Technology Co.,Ltd. Address before: 100176 821-1, unit 2, 10th floor, building 1, No.3, rongjingdong street, Beijing Economic and Technological Development Zone, Daxing District, Beijing Patentee before: Beijing Changkun Technology Co.,Ltd. |