CN1815955A - 一种对用户进行鉴权的方法 - Google Patents

一种对用户进行鉴权的方法 Download PDF

Info

Publication number
CN1815955A
CN1815955A CN 200510007518 CN200510007518A CN1815955A CN 1815955 A CN1815955 A CN 1815955A CN 200510007518 CN200510007518 CN 200510007518 CN 200510007518 A CN200510007518 A CN 200510007518A CN 1815955 A CN1815955 A CN 1815955A
Authority
CN
China
Prior art keywords
authentication
user
supporting node
grouping wireless
business supporting
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN 200510007518
Other languages
English (en)
Other versions
CN1815955B (zh
Inventor
王广伟
罗鹏
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN 200510007518 priority Critical patent/CN1815955B/zh
Publication of CN1815955A publication Critical patent/CN1815955A/zh
Application granted granted Critical
Publication of CN1815955B publication Critical patent/CN1815955B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Mobile Radio Communication Systems (AREA)

Abstract

本发明公开了一种对用户进行鉴权的方法,至少包括以下步骤:A、在服务通用分组无线业务支持节点上配置需鉴权的用户号码;B、服务通用分组无线业务支持节点收到用户发送的业务激活请求后,判断用户号码是否包含在所述的需鉴权的用户号码内:如果是,则对用户进行鉴权;否则,结束本流程。利用本发明提供的这种对用户进行鉴权的方法,系统对用户进行鉴权的方式非常灵活,运营商可以根据自己的需要,实现对特定用户进行鉴权的功能。

Description

一种对用户进行鉴权的方法
技术领域
本发明涉及移动通信网络系统中的鉴权技术,特别涉及一种对用户进行鉴权的方法。
背景技术
鉴权是现有移动通信网络系统中应用非常广泛的一种技术。利用该技术,系统一般可以判断分组交换(Packet Switched,PS)域内的用户是否为合法用户,防止非法用户利用克隆卡盗打电话。另外,系统还可以利用该技术来判断PS域内的用户是否能够实现系统提供的某些业务功能。
目前,在现有的移动通信网络系统中,运营商通过控制在操作维护台配置的鉴权开关,决定是否对PS域内的用户进行鉴权。在这种对用户进行鉴权的方式中,如果打开鉴权开关,系统将对PS域内的所有用户进行鉴权;如果关闭鉴权开关,系统将对PS域内的所有用户都不进行鉴权。
但是,随着移动通信技术的迅速发展,运营商并不一定每次都需要系统对PS域内的所有用户进行鉴权,在某些情况下运行商可能仅需要系统对PS域内的部分用户进行鉴权。
例如,有些WCDMA网络既可作为商业网使用,同时又可作为试验网使用。在作为商业网使用时并不需要系统对网络进行鉴权,在作为试验网使用时由于需要对其鉴权功能进行测试,所以又需要系统对网络进行鉴权。当系统对网络进行鉴权时,就需要打开鉴权开关,这样势必影响商业网络的运行。另外,运营商在具体运营中,有时可能仅需要对PS域内的高端用户进行鉴权,而并不需要对PS域内的普通用户进行鉴权。
在上述情况下,由于运营商是通过控制鉴权开关来决定是否对用户进行鉴权的,在打开鉴权开关以后,系统将对PS域内的所有用户进行鉴权;在关闭鉴权开关以后,系统将对PS域内的所有用户都不进行鉴权。所以,现有技术中系统对用户进行鉴权的方式极不灵活,利用这种鉴权方式运营商不能根据自己的需要,实现对特定用户进行鉴权的功能。
发明内容
有鉴于此,本发明的主要目的在于,提供一种对用户进行鉴权的方法,以实现对特定用户进行鉴权的功能。
为达到上述目的,本发明提供了一种对用户进行鉴权的方法,关键在于,至少包括以下步骤:
A、在服务通用分组无线业务支持节点上配置需鉴权的用户号码;
B、服务通用分组无线业务支持节点收到用户发送的业务激活请求后,判断用户号码是否包含在所述的需鉴权的用户号码内:如果是,则对用户进行鉴权;否则,结束本流程。
上述方案中,步骤A中所述的在服务通用分组无线业务支持节点上配置需鉴权的用户号码包括:在服务通用分组无线业务支持节点上,根据用户的国际移动用户标识码或移动用户综合业务数字网号码,配置需鉴权的用户号码。
上述方案中,步骤B中所述的对用户进行鉴权包括:服务通用分组无线业务支持节点将随机数参数发送给用户移动台,用户移动台根据收到的随机数参数计算得到符号响应,并将计算得到的符号响应返回给服务通用分组无线业务支持节点,服务通用分组无线业务支持节点判断用户移动台返回的符号响应与自身保存的符号响应是否一致:如果一致,则鉴权成功;否则,鉴权失败。
上述方案中,所述的服务通用分组无线业务支持节点将随机数参数发送给用户移动台包括:服务通用分组无线业务支持节点判断自身是否至少保存有一组鉴权集:如果是,则选择一组鉴权集,并将该组鉴权集中所包含的随机数参数携带在鉴权加密请求消息中发送给用户移动台;否则,向归属位置寄存器请求鉴权集,在收到归属位置寄存器返回的鉴权集以后,再选择一组鉴权集,并将该组鉴权集中所包含的随机数参数携带在鉴权加密请求消息中发送给用户移动台。
上述方案中,所述的服务通用分组无线业务支持节点将随机数参数携带在鉴权加密请求消息中发送给用户移动台以后进一步包括:服务通用分组无线业务支持节点保存该组鉴权集中的符号响应。
因此,本发明提供的这种对用户进行鉴权的方法,通过在服务通用分组无线业务支持节点(SGSN)上配置需鉴权的用户号码,使SGSN在收到用户执行业务时发送的激活请求以后,能够根据该用户号码和配置的需鉴权的用户号码,判断是否需要对该用户进行鉴权,并对需要进行鉴权的用户进行鉴权。利用本发明提供的这种对用户进行鉴权的方法,系统对用户进行鉴权的方式非常灵活,运营商可以根据自己的需要,实现对特定用户进行鉴权的功能。
附图说明
图1为本发明对用户进行鉴权总体技术方案的方法流程图;
图2为依照本发明实施例对用户进行鉴权的方法流程图;
图3为GPRS通信系统中的加密协商流程图;
图4为WCDMA通信系统中的加密协商流程图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,以下举实施例,并参照附图,对本发明进一步详细说明。
本发明的核心内容是:通过在SGSN上配置需鉴权的用户号码,使SGSN在收到用户执行业务时发送的激活请求以后,能够根据该用户号码和配置的需鉴权的用户号码,判断是否需要对该用户进行鉴权,并对需要进行鉴权的用户进行鉴权。
如图1所示,图1为本发明对用户进行鉴权总体技术方案的方法流程图,该方法至少包括以下步骤:
步骤101:在SGSN上配置需鉴权的用户号码;
步骤102:SGSN收到用户发送的业务激活请求后,判断用户号码是否包含在所述的需鉴权的用户号码内:如果是,则对用户进行鉴权;否则,结束本流程。
在SGSN上配置需鉴权的用户号码时,运营商可以根据用户的国际移动用户标识码(IMSI)进行配置,也可以根据用户的移动用户综合业务数字网号码(MSISDN)进行配置。
IMSI由移动国家码(MCC)、移动网络码(MNC)和移动台识别码(MSIN)组成的,其中MCC用于区分不同的国家,MNC用于区分国家内的不同移动运营商,MSIN用于区分不同的移动台(MS)。所以,IMSI可用于区分不同的用户。而MSISDN与IMSI是一一对应的,每一个SIM卡既有一个IMSI,又有一个MSISDN。所以,MSISDN也可用于区分不同的用户。
在具体配置需鉴权的用户号码时,运营商可以根据自己的需要,在SGSN上将某一号段内的所有号码配置为需鉴权的用户号码,或者在SGSN上将某些个别的用户号码配置为需鉴权的用户号码。在一般情况下,由于属性相同的用户号码都是集中在一个号码段内的,所以运营商通常是在SGSN上将某一号段内的所有号码配置为需鉴权的用户号码的。
在配置了需鉴权的用户号码以后,运营商就可以根据自己的需要,实现对特定用户进行鉴权的功能。如图2所示,图2为依照本发明实施例对用户进行鉴权的方法流程图,在本实施例中运营商是在SGSN上将某一号段内的所有号码配置为需鉴权的用户号码的,该方法包括以下步骤:
步骤201:用户MS向SGSN发送业务激活请求(Activate PDP ContextRequest)。
步骤202:SGSN收到用户MS发送的Activate PDP Context Request后,根据该用户号码和配置的需鉴权的用户号码段,判断该用户号码是否包含在配置的需鉴权的用户号码段内:如果是,则执行步骤203;否则,结束本流程。
步骤203:SGSN判断自身是否至少保存有一组鉴权集:如果是,则执行步骤205;否则,执行步骤204;
SGSN中一般保存有3至5组鉴权集,每次鉴权都要使用一组鉴权集,鉴权集是不能重复使用的,使用完以后SGSN将删除该组鉴权集;当SGSN中保存的鉴权集用完以后,SGSN将向归属位置寄存器(HLR)请求新的鉴权集;
在GPRS通信系统中,每组鉴权集中都包含有随机数参数、加密密钥序号、加密算法和符号响应(SRES),使用随机数参数、加密密钥序号和SRES三元组实现鉴权;
在WCDMA通信系统中,每组鉴权集中都包含有随机数参数、鉴权序号、加密密钥序号、完整性密钥和SRES,使用随机数参数、鉴权序号、加密密钥序号、完整性密钥和SRES五元组实现鉴权。
步骤204:SGSN向HLR请求鉴权集,HLR收到SGSN的请求以后,向SGSN返回3至5组鉴权集。
步骤205:SGSN任意选择一组鉴权集,将该组鉴权集中所包含的随机数参数携带在鉴权加密请求消息中发送给用户MS,并保存该组鉴权集中的SRES;
在GPRS通信系统中,SGSN向用户MS发送的鉴权加密请求中包含至少有随机数参数、加密密钥序号和加密算法;在WCDMA通信系统中,SGSN向用户MS发送的鉴权加密请求中包含至少有随机数参数、鉴权序号和加密密钥序号。
步骤206:用户MS收到鉴权加密请求后,根据收到的随机数参数计算得到SRES,并将计算得到的SRES返回给SGSN。
步骤207:SGSN判断用户MS返回的SRES与自身保存的SRES是否一致:如果一致,则鉴权成功;否则,鉴权失败。
在SGSN对用户的鉴权流程完成以后,SGSN与用户MS之间或者无线网络控制器(RNC)与用户MS之间还要进行加密协商。
其中,在GPRS通信系统中,加密协商是在SGSN与用户MS之间进行的。
协议规定可以使用的加密算法包括GEA1、GEA2、GEA3、GEA4、GEA5、GEA6、GEA7、GEA8。在启动加密协商时,SGSN与用户MS直接协商加密算法,以保证SGSN与用户MS使用相同的加密算法和密钥。具体的加密协商流程如图3所示,图3为GPRS通信系统中的加密协商流程图,该方法包括以下步骤:
步骤301:SGSN发起加密协商,向用户MS发送鉴权和加密请求(Authentication and Ciphering Request)消息,该消息中携带随机数参数、加密密钥序号和加密算法;
步骤302:用户MS根据收到的随机数参数计算出鉴权响应参数和加密密钥,并通过鉴权和加密响应(Authentication and Ciphering Response)消息将鉴权响应参数和加密密钥返回给SGSN。
上述加密协商流程完成以后,SGSN与用户MS使用的加密算法和加密密钥将保持一致。在一般情况下,SGSN向用户MS下发的鉴权和加密请求消息只携带有指示用户MS使用的加密算法。只有当用户MS是第一次加密或者当用户MS与SGSN使用的加密密钥可能不一致时,SGSN向用户MS下发的鉴权和加密请求消息才携带有鉴权随机数参数,以便于用户MS能够根据此参数计算出将要使用的加密密钥,保证SGSN与用户MS使用相同的加密密钥。
在WCDMA通信系统中,加密协商是在SGSN与RNC之间进行的。目前的协议规定,在WCDMA通信系统中进行加密协商时可以使用的加密算法只有UEA1一种。在启动加密协商时,需要SGSN指令RNC与用户MS协商加密算法,以保证RNC与用户MS使用相同的加密算法。具体的加密协商流程如图4所示,图4为WCDMA通信系统中的加密协商流程图,该方法包括以下步骤:
步骤401:SGSN发起加密协商,向用户MS发送Authentication and CipheringRequest消息,该消息中携带随机数参数、鉴权序号和密钥组序号。
步骤402:用户MS根据收到的随机数参数计算出鉴权响应参数和加密密钥,并通过Authentication and Ciphering Response消息将鉴权响应参数和加密密钥返回给SGSN。
步骤403:SGSN向RNC发送安全模式命令(Secury Mode Command)消息,该消息中携带有允许系统使用的加密算法和加密密钥,并指令RNC发起与用户MS之间的加密协商。
步骤404:RNC下发安全模式命令(RRC Security Mode Command)消息给用户MS,消息携带允许使用的加密算法。
步骤405:用户MS向RNC发送安全模式完成响应(RRC Security ModeComplete)消息给RNC,确认接受RNC指派的加密算法。
步骤406:RNC收到用户MS确认后,以安全模式完成(Security ModeComplete)消息应答SGSN,携带最后协商成功的加密算法。
在本发明所举的这个实施例中,在配置需鉴权的用户号码时,运营商是在SGSN上将某一号段内的所有号码配置为需鉴权的用户号码的。在实际应用中,运营商也可以在SGSN上将某些个别的用户号码配置为需鉴权的用户号码,这样在SGSN判断是否需要对用户号码进行鉴权时,就应判断配置的需鉴权的用户号码中有无该用户号码:如果有,则需要对该用户进行鉴权;否则,结束本流程。这样的技术方案与本发明的技术思路完全相同,与本发明的技术方案是完全一致的。
从上面的实施例可以看出,本发明提供的这种对用户进行鉴权的方法,通过在SGSN上配置需鉴权的用户号码,使SGSN在收到用户执行业务时发送的激活请求以后,能够根据该用户号码和配置的需鉴权的用户号码,判断是否需要对该用户进行鉴权,并对需要进行鉴权的用户进行鉴权。利用本发明提供的这种对用户进行鉴权的方法,系统对用户进行鉴权的方式非常灵活,运营商可以根据自己的需要,实现对特定用户进行鉴权的功能。
以上所述的具体实施例,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施例而已,并不用于限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (5)

1、一种对用户进行鉴权的方法,其特征在于,至少包括以下步骤:
A、在服务通用分组无线业务支持节点上配置需鉴权的用户号码;
B、服务通用分组无线业务支持节点收到用户发送的业务激活请求后,判断用户号码是否包含在所述的需鉴权的用户号码内:如果是,则对用户进行鉴权;否则,结束本流程。
2、根据权利要求1所述的方法,其特征在于,步骤A中所述的在服务通用分组无线业务支持节点上配置需鉴权的用户号码包括:
在服务通用分组无线业务支持节点上,根据用户的国际移动用户标识码或移动用户综合业务数字网号码,配置需鉴权的用户号码。
3、根据权利要求1所述的方法,其特征在于,步骤B中所述的对用户进行鉴权包括:
服务通用分组无线业务支持节点将随机数参数发送给用户移动台,用户移动台根据收到的随机数参数计算得到符号响应,并将计算得到的符号响应返回给服务通用分组无线业务支持节点,服务通用分组无线业务支持节点判断用户移动台返回的符号响应与自身保存的符号响应是否一致:如果一致,则鉴权成功;否则,鉴权失败。
4、根据权利要求3所述的方法,其特征在于,所述的服务通用分组无线业务支持节点将随机数参数发送给用户移动台包括:
服务通用分组无线业务支持节点判断自身是否至少保存有一组鉴权集:如果是,则选择一组鉴权集,并将该组鉴权集中所包含的随机数参数携带在鉴权加密请求消息中发送给用户移动台;否则,向归属位置寄存器请求鉴权集,在收到归属位置寄存器返回的鉴权集以后,再选择一组鉴权集,并将该组鉴权集中所包含的随机数参数携带在鉴权加密请求消息中发送给用户移动台。
5、根据权利要求4所述的方法,其特征在于,所述的服务通用分组无线业务支持节点将随机数参数携带在鉴权加密请求消息中发送给用户移动台以后进一步包括:服务通用分组无线业务支持节点保存该组鉴权集中的符号响应。
CN 200510007518 2005-02-05 2005-02-05 一种对用户进行鉴权的方法 Expired - Fee Related CN1815955B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN 200510007518 CN1815955B (zh) 2005-02-05 2005-02-05 一种对用户进行鉴权的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN 200510007518 CN1815955B (zh) 2005-02-05 2005-02-05 一种对用户进行鉴权的方法

Publications (2)

Publication Number Publication Date
CN1815955A true CN1815955A (zh) 2006-08-09
CN1815955B CN1815955B (zh) 2012-03-21

Family

ID=36907938

Family Applications (1)

Application Number Title Priority Date Filing Date
CN 200510007518 Expired - Fee Related CN1815955B (zh) 2005-02-05 2005-02-05 一种对用户进行鉴权的方法

Country Status (1)

Country Link
CN (1) CN1815955B (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2008025210A1 (fr) * 2006-08-28 2008-03-06 Zte Corporation Procédé et appareil pour authentifier le terminal d'utilisateur dans le système cdma
CN102395130A (zh) * 2011-11-01 2012-03-28 重庆邮电大学 一种lte中鉴权的方法
CN111093195A (zh) * 2019-11-29 2020-05-01 北京长焜科技有限公司 一种鉴权策略控制的方法

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1187921A (zh) * 1995-05-12 1998-07-15 施蓝姆伯格工业公司 非用户电话机、关联的控制模块、和包括所述电话机和所述安全模块的受保护电话设施
CN1225864C (zh) * 2002-11-01 2005-11-02 华为技术有限公司 一种网络综合接入设备的安全管理方法
CN100337451C (zh) * 2003-05-26 2007-09-12 华为技术有限公司 一种无线分组域网络侧激活的鉴权方法

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2008025210A1 (fr) * 2006-08-28 2008-03-06 Zte Corporation Procédé et appareil pour authentifier le terminal d'utilisateur dans le système cdma
CN101094067B (zh) * 2006-08-28 2010-05-12 中兴通讯股份有限公司 一种cdma系统中对用户终端进行鉴权的方法及其装置
CN102395130A (zh) * 2011-11-01 2012-03-28 重庆邮电大学 一种lte中鉴权的方法
CN102395130B (zh) * 2011-11-01 2014-06-04 重庆邮电大学 一种lte中鉴权的方法
CN111093195A (zh) * 2019-11-29 2020-05-01 北京长焜科技有限公司 一种鉴权策略控制的方法
CN111093195B (zh) * 2019-11-29 2023-05-26 北京长焜科技有限公司 一种鉴权策略控制的方法

Also Published As

Publication number Publication date
CN1815955B (zh) 2012-03-21

Similar Documents

Publication Publication Date Title
Jover et al. Security and protocol exploit analysis of the 5G specifications
CN100341290C (zh) 无线局域网中用于快速切换的验证方法
CN1185903C (zh) 确保切换之后的加密通信的系统
CN1157982C (zh) 通用移动电话业务的安全进程
US7990930B2 (en) HRPD network access authentication method based on cave algorithm
CN1193641C (zh) 尤其用于无线电帧的计数器初始化
CN1186906C (zh) 无线局域网安全接入控制方法
CN1184833C (zh) 一种基于移动国家码确定保密通信中加密算法的方法
CN1172469C (zh) 一种自主选择加密算法实现保密通信的方法
CN1697373A (zh) 一种用户与应用服务器协商共享密钥的方法
CN102238484B (zh) 机器对机器的通信系统中基于组的认证方法及系统
CN1857024A (zh) 在移动通信系统中用于密码学的增强型安全性设计
CN1521981A (zh) 无线通信系统上储存安全开始值的方法
CN1132479C (zh) 用于蜂窝通信系统的鉴权方法
CN1795656A (zh) 移动通信系统中的安全通信改向
CN1852595A (zh) 一种无线通信终端接入鉴权方法
CN1430857A (zh) 在终端设备与运营的移动无线网之间建立连接的方法,及用于该方法的移动无线网和终端设备
US11792633B2 (en) Device authentication verification for device registration
CN1815955A (zh) 一种对用户进行鉴权的方法
CN101990207B (zh) 接入控制方法、家用基站及家用基站授权服务器
CN100346668C (zh) 一种密钥更新协商方法
CN1697370A (zh) 一种无线局域网移动终端申请证书的方法
CN1764108A (zh) 控制是否启动加密过程的方法
CN1941990A (zh) 无线通信系统中在用户终端设备和网络之间进行认证的方法
CN1867158A (zh) 访问端和业务应用实体建立信任关系的方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20120321