WO2008034359A1

WO2008034359A1 - Procédé, système de communication et dispositif permettant d'identifier et d'authentifier un dispositif d'authentification

Info

Publication number: WO2008034359A1
Application number: PCT/CN2007/070272
Authority: WO
Inventors: Zhengwei Wang; Minghu Wang; Fangyong Lu; Di Wu
Original assignee: Huawei Technologies Co., Ltd.
Priority date: 2006-09-22
Filing date: 2007-07-11
Publication date: 2008-03-27
Also published as: CN100466835C; CN1929684A

Description

鉴权设备的识别方法和鉴权方法、通信系统以及设备本申请要求于 2006 年 9 月 22 日提交中国专利局、申请号为 200610139739.6、发明名称为"鉴权设备的识别方法和鉴权方法、通信系统以及设备 "的中国专利申请的优先权，其全部内容通过引用结合在本申请中。技术领域

本发明涉及无线通信领域，特别是涉及通信系统在鉴权的同时识别鉴权设备的方法、以及一种鉴权方法、通信系统以及设备。

背景技术

现有的第三代（3G )移动通信系统中，在移动终端（MS ) 中保存有国际移动用户标识（IMSI )、鉴权密钥（KI )和用户卡本地序列号（SQNMS )。网络侧的归属位置寄存器 /鉴权中心（ HLR/AUC, Home Location Register/AUthentication Center ) 中针对该移动终端对应保存有 IMSI、 KI和鉴权序列号 SQNHE, 以用于移动终端和网络相互鉴权。

其中，上述 SQNMS也可以被称为本地鉴权序列号， SQNHE也可以被称为鉴权参数信息中的鉴权序列号。

参阅图 1 , 3G通信系统的现有鉴权技术主要包括以下设置和流程：

101、 HLR/AUC产生随机数（RAND, Random Challenge ), 根据随机数和 KI产生期望响应（XRES, Expected Response ), 加密密钥（ CK, Cipher Key )、完整性密钥（ IK, Integrity Key ); 根据随机数、序列号、鉴权密钥和鉴权管理域（AMF )产生出消息鉴权编码（MAC-A ), 根据 MAC-A, SQNHE, 匿名密钥（ AK )和 AMF得到鉴权标记 AUTN ( Authentication Token )。由 RAND和 XRES、 CK、 IK和 AUTN组成鉴权五元组参数；其中， AUTN中包含 MAC-A、 SQNHE、 AK和 AMF信息；

102、在移动终端移动到 HLR/AUC所在网络并进行连接时，开始鉴权流程； VLR/SGSN请求 HLR/AUC提供鉴权参数，即五元组；

103、 HLR/AUC应 VLR/SGSN的请求将产生的相应的一个或多个五元组发送给 VLR/SGSN保存；

另外，可以在 VLR/SGSN请求 HLR/AUC提供五元组时 HLR/AUC才产生五元组； 104、 VLR/SGSN将对应五元组中 RAND和 AUTN发送给终端；

105、终端根据自己保存的 KI验证 AUTN的一致性，如果一致性验证不通过，则转向步骤 106; 若一致性险证通过，则转向步骤 107;

106、向 VLR/SGSN返回鉴权失败信息，本鉴权流程结束；

107、终端根据 SQNMS判断 SQNHE是否属于可接受的范围：若属于，则转向步骤 108; 若判断出 SQNHE不属于可接受范围，则转向步骤 109;

108、终端判断出对网络鉴权通过，终端向 VLR/SGSN返回终端自己产生的鉴权响应，并根据 AUTN中的 SQNHE更新 SQNMS, VLR/SGSN比较终端返回的鉴权响应和对应五元组中的 XRES是否一致来判断终端的合法性；如果一致性比较通过，则转向步骤 109; 如果不一致，则本鉴权流程结束；

109、根据 SQNMS产生再同步标记 AUTS(Resynchronisation Token)；

110、向网络侧 VLR/SGSN返回再同步请求或同步失败（Synchronisation failure ) 消息，同时附上产生的再同步标记 AUTS, 也即消息中包含 AUTS;

111、网络侧 VLR/SGSN接收到再同步标记 AUTS时，将 AUTS和对应五元组中的 RAND发送给 HLR/AUC；

112、 HLR/AUC根据对应保存的 KI和接收到的 RAND, 判断 AUTS的合法性，如果不合法，则转向步骤 113;如果判断出 AUTS合法，则转向步骤 114;

113、 HLR/AUC向 VLR/SGSN返回 AUTS不合法信息；本鉴权流程结束；

114、 HLR/AUC根据 AUTS中的 SQNMS更新 SQNHE, 并产生一个新的鉴权五元组；

115、将新的五元组发送给 VLR/SGSN, VLR/SGSN接收到新的五元组后，删除对应的旧的五元组，之后可再重新执行步骤 104及后续步骤。

关于上述鉴权流程，可以参照 3GPP规范，如鉴权与密钥协商协议（ AKA )₀ 现有网络中，网络侧拥有互为备份的 HLR/AUC资源池。一般地， HLR/AUC 资源池只有主备两个 HLR/AUC。处于维护的目的或者是某个 HLR/AUC故障，所述主备两个 HLR/AUC会发生 HLR/AUC倒换或切换。例如，主 HLR/AUC 故障，网络切换到备 HLR/AUC, 将备 HLR/AUC作为当前运行 HLR/AUC; 或者反之，由备 HLR/AUC切换到主 HLR/AUC。

由于主、备 HLR/AUC内保存的 SQNHE通常不一样，从上述鉴权与密钥协商协议（AKA ) 可以看出，在鉴权时，终端内的移动用户卡（USIM卡）无法识别出当前鉴权的鉴权元组所对应的 HLR/AUC是互为备份的 HLR/AUC资源池中的哪一个 HLR/AUC。这样，终端不能对网络倒换的事件进行跟踪，以及记录相关的日志。

发明内容

本发明提供可以在鉴权中鉴权设备的识别方法和鉴权方法、通信系统以及设备，以解决在鉴权过程中终端无法识别 HLR/AUC的技术问题。

一种在鉴权中识别 HLR/AUC的方法，包括步骤：

产生鉴权参数信息时，在所述鉴权参数信息中加入归属位置寄存器 /鉴权中心 HLR/AUC标识信息；

终端接收到携带有 HLR/AUC标识信息的鉴权参数信息后，从所述鉴权参数信息中解析出所述 HLR/AUC标识，根据所述标识识别出对应的 HLR/AIL 一种鉴权方法，包括步骤：

HLR/AUC向终端传送携带有 HLR/AUC标识信息的鉴权参数信息；终端取得所述 HLR/AUC标识，并基于所述 HLR/AUC进行鉴权进程。一种通信设备，包括 HLR/AUC, 在收到鉴权参数请求时，用于返回鉴权参数信息，所述通信设备还包括：

鉴权参数信息生成单元，用于生成携带有 HLR/AUC标识信息的鉴权参数信息。

一种通信系统，包括 HLR/AUC和终端，

所述 HLR/AUC, 用于生成携带有 HLR/AUC标识信息的鉴权参数信息，在收到鉴权参数请求时，返回携带有 HLR/AUC标识信息的鉴权参数信息到所述终端；根据接收到的鉴权响应对用户卡进行鉴权，判断所述终端是否合法，实现网络侧和终端的互鉴权；

终端，用于从接收到的所述鉴权参数信息中解析出所述 HLR/AUC标识，根据所述标识识别出对应的 HLR/AU,对所述 HLR/AUC的鉴权参数信息处理鉴权进程。

以上第一技术方案可以看出，由于在发送到终端的鉴权参数信息中加入 HLR/AUC标识信息，可以让终端识别 HLR/AUC并知道它得到的鉴权参数如 AUTN和 RAND是来自哪个 HLR/AUC, 这样，终端在需要时可以统计出主备 HLR/AUC切换次数，以及各个 HLR/AUC使用率，或者使终端能够根据使用自己保存的对应该 HLR/AUC的参数信息对该 HLR/AUC进行鉴权。这样，在发生 HLR/AUC倒换时，可以避免发生大规模的 SQN同步现象，避免给网络造成压力。

以上第二技术方案可以看出，由于在收到鉴权参数请求时，返回携带有 HLR/AUC标识信息的鉴权参数信息到终端，可以让终端识别 HLR/AUC并知道它得到的鉴权参数如 AUTN和 RAND是来自哪个 HLR/AUC, 从而使终端在需要时可以统计出主备 HLR/AUC切换次数，以及各个 HLR/AUC使用率，并且终端可以根据此 HLR/AUC信息进行鉴权进程，由于终端识别 HLR/AUC , 这样，终端在需要时可以统计出主备 HLR/AUC切换次数，以及各个 HLR/AUC 使用率，并且在出现 HLR/AUC资源池中各 HLR/AUC的序列号不一致的情况下又发生 HLR/AUC倒换时，终端可以识别出所述不一致是倒换引起的，可以有助于避免发生大规模的 SQN同步现象，避免给网络造成压力。

以上第三技术方案可以看出，由于本发明通过鉴权参数信息生成单元在鉴权参数中生成 HLR/AUC标识信息，因此 HLR/AUC在收到鉴权参数请求时，可以返回携带有 HLR/AUC标识的鉴权参数信息到终端，可以让终端识别出它得到的鉴权参数是来自哪个 HLR/AUC, 终端可以根据此 HLR/AUC信息进行鉴权进程，由于终端识别 HLR/AUC, 这样，终端在需要时可以统计出主备 HLR/AUC切换次数，以及各个 HLR/AUC使用率，并且在出现 HLR/AUC资源池中各 HLR/AUC的序列号不一致情况下又发生 HLR/AUC倒换时，终端可以识别出所述不一致是倒换引起的，可以有助于避免发生大规模的 SQN同步现象，避免给网络造成压力。

以上第四技术方案可以看出，由于本发明通过鉴权参数信息生成单元在鉴权参数中生成 HLR/AUC标识，因此 HLR/AUC在收到鉴权参数请求时，可以返回携带有 HLR/AUC标识的鉴权参数信息到请求方，请求方知道它得到的鉴权参数是来自哪个 HLR/AUC,因此请求方可以利用该标识进行各种通信处理。附图说明

图 1是现有技术通信系统的鉴权方法时序图；图 2是本发明实施例的通信系统在鉴权时识别 HLR/AUC的主要实现方法时序图；

图 3是本发明实施例的通信系统的鉴权方法时序图；

图 4是本发明实施例的通信系统的原理框图；

图 5是本发明实施例的通信设备的原理框图。

具体实施方式

当每次用户终端与移动网络之间建立连接时，以及所有业务请求、位置更新请求、附着请求、分离请求、以及重新建立连接等等操作，需要进行鉴权操作，以便验证用户身份的合法性时，在网络侧的 HLR/AUC 下发携带有 HLR/AUC 标识信息的鉴权参数信息到用户终端，终端方面则按照预先与 HLR/AUC约定好的 HLR/AUC标识识别方法，得到 HLR/AUC标识，并在后续鉴权流程中基于该标识进行操作。例如，统计得到的该 HLR/AUC鉴权参数次数。统计 HLR/AUC切换频率。

本发明实施例提供一种通信系统在鉴权时识别 HLR/AUC 的基本实现方法，包括步骤：

一、在 HLR/AUC 产生鉴权参数信息时，在所述鉴权参数信息中加入 HLR/AUC标识信息；

二、鉴权时，终端接收 HLR/AUC产生的所述鉴权参数信息，从中解析出所述 HLR/AUC标识。

现有 3GPP规范中， HLR/AUC产生鉴权元组时，首先产生随机数，根据随机数和 KI产生期望响应、加密密钥、完整性密钥；根据随机数、序列号、鉴权密钥和鉴权管理域产生出消息鉴权编码，根据 MAC-A, SQNHE、 AK和 AMF得到鉴权标记 AUTN。由 RAND和 XRES、 CK、 IK和 AUTN组成鉴权五元组参数。 HLR/AUC传送给终端的鉴权参数包括 RAND和 AUTN。

HLR/AUC可以先产生鉴权元组，也可以在接收到 VLR/SGSN的鉴权元组请求消息后才产生鉴权元组。 HLR/AUC在接收到 VLR/SGSN的鉴权元组请求后，将产生的鉴权元组发送给 VLR/SGSN。

所述 HLR/AUC将鉴权参数传送给终端是通过 VLR/SGSN来完成的。鉴权时， VLR/SGSN将取自 HLR/AUC的鉴权元组中参数信息 RAND和 AUTN 发送给终端。

步骤一中，是 HLR/AUC在收到鉴权参数请求时，返回携带有 HLR/AUC 标识的鉴权参数信息到终端，以便让终端知道它得到的鉴权参数如 AUTN和 RAND是来自哪个 HLR/AUC, 从而在步骤二中，终端可以根据此 HLR/AUC 标识进行后续的鉴权进程，例如，在后续鉴权过程中统计哪个 HLR/AUC引起的同步流程最多，哪个 HLR/AUC利用率较高，等等。

以下结合实施方式和附图，对本发明进行详细描述。

本发明实施例提供的一种通信系统在鉴权时识别 HLR/AUC 的主要实现方法，参阅图 2, 包括步骤：

步骤 201、 HLR/AUC产生鉴权参数信息，并在所述鉴权参数信息中加入

HLR/AUC标识信息。

HLR/AUC产生的鉴权参数称为鉴权元组。

步骤 202、 HLR/AUC将产生的鉴权参数信息发送给 VLR/SGSN。

HLR/AUC可以是在接收到 VLR/SGSN的请求鉴权元组的请求后将产生的所述多组鉴权元组中至少一组鉴权元组发送给 VLR/SGSN。

步骤 203、 VLR/SGSN将所述鉴权元组中的相关参数信息发送给终端。鉴权元组中可以包括多个鉴权参数， VLR/SGSN将鉴权元组部分与终端相关的鉴权参数发送给终端。其中，与终端相关的鉴权参数是 RAND和 AUTN。

步骤 204、终端从接收到的所述鉴权参数信息中解析出所述 HLR/AUC标识。

步骤 205、终端在获取 HLR/AUC标识后执行后续的鉴权流程。

所述携带 HLR/AUC标识的鉴权参数信息可以是随机数、序列号、鉴权管理域和消息鉴权编码中至少一种。

现有的 3GPP规范中的鉴权规范规定鉴权元组包括随机数 RAND、期望响应 XRES、加密密钥 CK、完整性 IK和鉴权标记 AUTN, 其中 AUTN由序列号 SQNHE、鉴权管理域 AMF、消息鉴权编码 MAC-A组成，在 SQNHE被要求加密时， SQNHE被由 RAND和 KI产生的密钥 AK所加密。本发明可以应用在 WCDMA系统中，也可以应用到其他通信系统中。

实际当中， HLR/AUC可以使用 RAND、或 AUTN中至少一个所述参数中的至少一个位作为表示 HLR/AUC的 HLR/AUC标识信息；对应地，终端根据接收到的所述鉴权参数信息中对应参数的 HLR/AUC 标识位解析出所述 HLR/AUC标识。例如，使用 AMF中的最高位标识主备 HLR/AUC标识，该位为 0时，标识主 HLR/AUC; 该位为 1时标识备 HLR/AUC。同样，可以使用 RAND 的最低位来标识主备 HLR/AUC。当然，也可以使用 SQNHE 或 MAC-A的某个位来标识主备 HLR/AUC。

当需要标识的 HLR/AUC 多于 2 个时，则需要更多的位来标识不同的 HLR/AUC„

需要说明的是，现有 3GPP规范中， HLR/AUC产生鉴权元组时，首先产生 RAND, 根据 RAND和 KI产生 XRES、 CK、 IK; 根据 RAND、 SQNHE, KI和 AMF产生出 MAC-A, 根据 MAC-A, SQNHE、 AK和 AMF得到 AUTN。由 RAND和 XRES、 CK、 IK和 AUTN组成鉴权五元组参数。因此，如果通过 RAND来标识 HLR/AUC, 那么 , 要求产生 RAND之后 , 并在根据 RAND产生其它参数之前，例如产生 MAC-A之前，就要完成这种标识 HLR/AUC的操作。本发明实施例在实际应用当中，可以按照现有技术产生一个 RAND, 而后将该 RAND的某个 bit位，例如最低位设置为 0或 1来标识主备 HLR/AUC。或者在产生 RAND时，将所述最低位设置为与主备标识一致的值，而对 RAND 的其它位釆用随机方法来产生即可。如果用 AMF来标识 HLR/AUC, 那么，要求设定 AMF值之后，并在根据 AMF产生其它参数，例如产生 MAC-A等之前，就要完成这种标识 HLR/AUC的操作。同样，可以用 SNQHE的一个位来标识主备 HLR/AUC。并且要求在产生 SQNHE后，根据 SQNHE产生其它参数前，例如产生 MAC-A前，就完成所述标识工作。例如，产生 SQNHE时，将某个位的值设置为 0, 标识主 HLR/AUC; 如果将该位设置为 1 , 则标识备 HLR/AUC。在使用 MAC-A来标识主备 HLR/AUC时，要求在产生 MAC-A时，或者产生 MAC-A之后，将该 MAC-A的某个位的值，例如是最高位的值设置为 0或 1来分别标识主备 HLR/AUC。

当然，还可以釆用如下办法来对 HLR/AUC进行标识：

对所述参数 RAND 或 AUTN 中至少一个进行分类，或者说对所述参数 RAND, 或 SQNHE、或 AMF、或 MAC-A进行分类，使用对应参数的类别作为表示 HLR/AUC的 HLR/AUC标识信息；对应地，终端根据接收到的所述鉴权参数信息中对应参数的类别解析出所述 HLR/AUC标识。例如，如果互为备份的 HLR/AUC资源池中有三 HLR/AUC, 标识分别为 1、 2、 3 , 则可以用随机数是被 3除的余数分别标识这三个 HLR/AUC, 余数为 0标识 HLR/AUC标识 1 ,余数为 1标识 HLR/AUC标识 2 ,余数为 2标识 HLR/AUC标识 3。其中，随机数的分类是按照除以 3的余数进行分类的。当然，也可以将随机数的范围进行分段，分成三段，用每一段的值标识不同的 HLR/AUC标识。

本发明实施例以第三代移动通信系统为例具体介绍本发明内容。在第三代移动通信系统的移动终端中保存有 IMSI、KI和 SQNMS。网络侧的 HLR/AUC 中针对该移动终端对应保存有 IMSI、 KI和序列号 SQNHE, 以用于移动终端和网络相互鉴权。

参阅图 3 , 本发明鉴权方法以及在鉴权中识别 HLR/AUC的方法具体实施方式包括以下设置和流程：

设置：

一、在通信系统的 HLR/AUC 中设置有该 HLR/AUC 在互为备份的

HLR/AUC 资源池中的编号，在当互为备份的 HLR/AUC 资源池中只有两个 HLR/AUC时，该编号可以是 "0"和 "1", 当互为备份的 HLR/AUC资源池中有三个 HLR/AUC时，该编号可以是 "0"、 "1 "和" 2", 当互为备份的 HLR/AUC资源池中有四个 HLR/AUC时，该编号可以是 "0"、 "1"、 "2", 和" 3"。本实施方式中，在互为备份的 HLR/AUC资源池中有两个 HLR/AUC, 将主 HLR/AUC 的 HLR/AUC资源池编号设置位" 0", 备用 HLR/AUC的资源池编号为" 1"; 二、终端预先与 HLR/AUC约定好 HLR/AUC标识识别方法，即终端上有解析 HLR/AUC标识的软硬件单元。

流程：

301、 HLR/AUC产生随机数 RAND, 根据 RAND和 KI产生 XRES、 CK、

IK;根据 RAND, SQNHE、 KI和 AMF产生出 MAC-A,根据 MAC-A, SQNHE、 AK和 AMF得到 AUTN。由 RAND和 XRES、 CK、 IK和 AUTN组成鉴权五元组参数。

其中，在所述 AMF中特定的位，被设置表示为此 HLR/AUC的标识。具体是将 AMF 中的某一位或某几位设置为特殊值来标识该 HLR/AUC 的 HLR/AUC资源池编号。在本实施例中更具体地是将 AMF的最高位设置为表示该 HLR/AUC 是主 HLR/AUC 还是备 HLR/AUC。在该 HLR/AUC 是主 HLR/AUC情况下，该 AMF的最高位设置为" 0"。这样，在产生鉴权元组时，首先， AMF的最高位被设置为" 0", 而后釆用现有的流程产生鉴权元组。例如，产生鉴权元组时， HLR/AUC用随机数发生器产生的 RAND和自身保存的鉴权密钥 KI分别计算出 XRES, 根据 RAND、 KI、序列号 SQNHE、鉴权管理域 AMF产生 AUTN, 也可以进一步根据 RAND和自身保存的鉴权密钥 KI分别计算出 CK和 IK。

302、在移动终端移动到 HLR/AUC所在网络并进行连接时，开始鉴权流程； VLR/SGSN请求 HLR/AUC提供鉴权参数，即五元组；

303、 HLR/AUC应 VLR/SGSN的请求将产生的相应的一个或多个五元组发送给 VLR/SGSN保存，保存在所述五元组中 AMF的 HLR/AUC标识也一并发送给 VLR/SGSN, 也即所述五元组中是包含 HLR/AUC标识的；

304、 VLR/SGSN将对应五元组中的 RAND和 AUTN发送给终端，其中

AUTN内的 AMF携带有所述 HLR/AUC标识；

305、终端取得对应特定 HLR/AUC的鉴权参数信息 RAND和 AUTN, 进行鉴权进程。

因为终端预先与 HLR/AUC约定好 HLR/AUC标识识别方法，因而终端上具有解析 HLR/AUC标识的软硬件单元。具体是终端内的 USIM获取 AMF中表示 HLR/AUC编号的特定位值，将该值作为该 HLR/AUC对应的 HLR/AUC 资源池编号。具体是在 USIM判断出 AMF的特定位的值为" 0"时，即得知该鉴权元组对应的 HLR/AUC是主 HLR/AUC; 在 USIM判断出 AMF的特定位的值为 "1 "时，即得知该鉴权元组对应的 HLR/AUC是备 HLR/AUC。

终端随后根据自己保存的 KI验证 AUTN的一致性，如果一致性验证不通过，则转向步骤 306; 若一致性验证通过，则转向步骤 307;

306、向 VLR/SGSN返回鉴权失败信息，结束；

307、判断 AUTN内的 SQNHE是否属于可接受的范围：若属于，则转向步骤 308; 若判断出 SQNHE不属于可接受范围，则转向步骤 309; 308、终端判断出对网络鉴权通过，终端向 VLR/SGSN返回终端自己产生的鉴权响应，并根据 AUTN中的 SQNHE更新 SQNMS, VLR/SGSN比较终端返回的鉴权响应和对应五元组中的 XRES是否一致来判断终端的合法性；如果一致性比较通过，则转向步骤 309; 如果不一致，则本鉴权流程结束；

309、根据 SQNMS产生再同步标记 AUTS(Resynchronisation Token), 所述 AUTS中也加入有 HLR/AUC标识；

310、终端向网络侧 VLR/SGSN 返回再同步请求或同步失败 ( Synchronisation failure ) 消息，同时附上产生的再同步标记 AUTS, 也即消息中包含 AUTS;

311、网络侧 VLR/SGSN接收到再同步标记 AUTS时，将 AUTS和对应五元组中的 RAND发送给 HLR/AUC;

312、 HLR/AUC根据对应保存的 KI和接收到的 RAND, 判断 AUTS的合法性，如果不合法，则转向步骤 313;如果判断出 AUTS合法，则转向步骤 314;

313、 HLR/AUC向 VLR/SGSN返回 AUTS不合法信息，结束；

314、 HLR/AUC根据 AUTS中的 SQNMS更新 SQNHE, 并产生一个新的携带有所述 HLR/AUC标识的鉴权五元组；

315、将新的五元组发送给 VLR/SGSN, VLR/SGSN接收到新的五元组后，删除对应的旧的五元组。

从以上可以看出，由于在设置里对 HLR/AUC资源池的 HLR/AUC进行编号，在步骤 301里釆用 HLR/AUC鉴权参数 AMF特定位作为此 HLR/AUC的标识，因此 HLR/AUC在收到鉴权参数请求时，返回携带有 HLR/AUC标识信息的鉴权参数信息到终端，可以让终端知道它得到的鉴权参数是来自哪个 HLR/AUC„

终端识别出 HLR/AUC的标识，可以进行 HLR/AUC统计，比如统计每个 HLR/AUC的鉴权次数，以作为通信管理用途；还可以根据不同 HLR/AUC标识 /编号使用不同的密钥对网络进行鉴权等。

在本发明其他实施方式中，可以在 VLR/SGSN请求 HLR/AUC提供五元组时 HLR/AUC才产生携带 HLR/AUC标识的五元组。

在步骤 301 中，对于互为备份的 HLR/AUC 资源池中有三个或者四个 HLR/AUC时，可以用两个位来表示资源池编号，例如，分别用两个位的取值 "00"表示编号 0, 用两个位的取值 "01 "表示编号 1 , 用两个位的取值" 10"表示编号 2, 用两个位的取值 "11 "表示编号 3。

在步骤 301中，对于互为备份的 HLR/AUC资源池只有主备两个 HLR/AUC 的这种情况，还可以釆用将 AMF值按照模数来进行分类，例如，用 AMF mod 3 , 余数为 0的为一类，对应资源池编号 0; 余数为 1的为一类，对应资源池编号 1 ; 余数为 2的为一类，对应资源池编号 2。实际当中，可以将 AMF的最低两个位预留下来，并通过调整这两个位来使 AMF的值处于特定的类而又不影响到高 14位的值。当然，如果是通过对 RAND来进行分类并用不同的类标识不同的 HLR/AUC标识时，可以直接通过对按照现有技术产生 RAND进行加 1或减 1或不进行加减任何数等调整手段，使调整后的随机数属于指定类另 |J , 即控制 RAND mod 3值恒等于 0、或恒等于 1、或恒等于 2。

上述实施例流程通过 AMF来携带 HLR/AUC标识信息，下面通过 SQNHE 来携带所述 HLR/AUC的标识信息，包括步骤（以下步骤图未示）：

401、 HLR/AUC产生随机数 RAND, 根据 RAND和 KI产生 XRES、 CK、

其中，在所述 SQNHE中特定的位，被设置表示为此 HLR/AUC的标识。具体是将 SQNHE 中的某一位或某几位设置为特殊值来标识该 HLR/AUC 的 HLR/AUC资源池编号。更具体地是在本实施例中将 SQNHE的最低位设置为表示该 HLR/AUC是主 HLR/AUC还是备 HLR/AUC。在该 HLR/AUC是主 HLR/AUC情况下，该 SQNHE的最低位设置为" 0"。这样，在产生鉴权元组时，首先， SQNHE的最低位被设置为" 0", 而后釆用现有的流程产生鉴权元组。例如，产生鉴权元组时， HLR/AUC用随机数发生器产生的 RAND和自身保存的鉴权密钥 KI分别计算出 XRES , 根据 RAND、 KI、序列号 SQNHE、鉴权管理域 AMF产生 AUTN, 也可以进一步根据 RAND和自身保存的鉴权密钥 KI分别计算出 CK和 IK。

402、在移动终端移动到 HLR/AUC所在网络并进行连接时，开始鉴权流程； VLR/SGSN请求 HLR/AUC提供鉴权参数，即五元组；

403、 HLR/AUC应 VLR/SGSN的请求将产生的相应的一个或多个五元组发送给 VLR/SGSN保存，保存在所述五元组中 SQNHE的 HLR/AUC标识也一并发送给 VLR/SGSN, 也即所述五元组中是包含 HLR/AUC标识的；

404、 VLR/SGSN将对应五元组中的 RAND和 AUTN发送给终端，其中

AUTN内的 SQNHE携带有所述 HLR/AUC标识；

405、终端取得对应特定 HLR/AUC的鉴权参数信息 RAND和 AUTN, 进行鉴权进程。

因为终端预先与 HLR/AUC约定好 HLR/AUC标识识别方法，终端上配置有解析 HLR/AUC标识信息的软硬件单元。具体是终端内的 USIM获取 SQNHE 中表示 HLR/AUC编号的特定位值，将该值作为该 HLR/AUC对应的 HLR/AUC 资源池编号。具体是在 USIM判断出 SQNHE的特定位的值为" 0"时，即得知该鉴权元组对应的 HLR/AUC是主 HLR/AUC; 在 USIM判断出 SQNHE的特定位的值为 "1 "时，即得知该鉴权元组对应的 HLR/AUC是备 HLR/AUC。

终端随后根据自己保存的 KI验证 AUTN的一致性，如果一致性验证不通过，则转向步骤 406; 若一致性验证通过，则转向步骤 407;

406、向 VLR/SGSN返回鉴权失败信息，流程结束；

407、判断 AUTN内的 SQNHE是否属于可接受的范围：若属于，则转向步骤 408; 若判断出 SQNHE不属于可接受范围，则转向步骤 409;

这里，终端在判断 SQNHE 是否属于可以接受范围的操作，可以忽略

SQNHE的最低位的值，而仅仅判断其它位的值是否在可以接受的范围内即可。

408、终端判断出对网络鉴权通过，终端向 VLR/SGSN返回终端自己产生的鉴权响应，并根据 AUTN中的 SQNHE更新 SQNMS, VLR/SGSN比较终端返回的鉴权响应和对应五元组中的 XRES是否一致来判断终端的合法性；如果一致性比较通过，则转向步骤 409; 如果不一致，则本鉴权流程结束；

409、根据 SQNMS产生再同步标记 AUTS(Resynchronisation Token), 所述 AUTS中携带有 HLR/AUC标识；

410、终端向网络侧 VLR/SGSN 返回再同步请求或同步失败 ( Synchronisation failure ) 消息，同时附上产生的再同步标记 AUTS, 也即消息中包含 AUTS;

411、网络侧 VLR/SGSN接收到再同步标记 AUTS时，将 AUTS和对应五元组中的 RAND发送给 HLR/AUC;

412、 HLR/AUC根据对应保存的 KI和接收到的 RAND, 判断 AUTS的合法性，如果不合法，则转向步骤 413;如果判断出 AUTS合法，则转向步骤 414;

413、 HLR/AUC向 VLR/SGSN返回 AUTS不合法信息，结束；

414、 HLR/AUC根据 AUTS中的 SQNMS更新 SQNHE, 并产生一个新的携带有所述 HLR/AUC标识的鉴权五元组；

415、将新的五元组发送给 VLR/SGSN, VLR/SGSN接收到新的五元组后，删除对应的旧的五元组。

上述同样可以用 SQNHE的最高位来表示 HLR/AUC标识信息；当然，也可以用 SQNHE的其它位来表示 HLR/AUC的标识信息。对应地，在步骤 407 中判断 AUTN内的 SQNHE是否属于可接受的范围时，同样可以忽略 SQNHE 的这些用于表示 HLR/AUC标识信息的位的值，而仅仅判断其它位的值是否在可以接受的范围内即可。

根据现有 3GPP规范中关于 WCDMA的鉴权流程规范，在使用 SQNHE 的最高位来表示 HLR/AUC标识信息时，对 SQNHE的所述可接受性判断的操作可以在不考虑该最高位的情况下直接沿用现有判断的比较技术即可。

从以上可以看出，由于在设置里对 HLR/AUC资源池的 HLR/AUC进行编号，在步骤 401里釆用鉴权参数 SQNHE特定位作为此 HLR/AUC的标识，因此 HLR/AUC在收到鉴权参数请求时，返回携带有 HLR/AUC标识信息的鉴权参数信息到终端，可以让终端知道它得到的鉴权参数是来自哪个 HLR/AUC。

在步骤 401 中，对于互为备份的 HLR/AUC 资源池中有三个或者四个 HLR/AUC时，可以用两个位来表示资源池编号，例如，分别用两个位的取值 "00"表示编号 0, 用两个位的取值 "01 "表示编号 1 , 用两个位的取值" 10"表示编号 2, 用两个位的取值 "11 "表示编号 3。

在本发明其他实施方式中，携带 HLR/AUC标识的鉴权参数不限于 AMF 或 SQNHE, 还可以是 RAND或 MAC-A。还可以是将 AMF、 SQNHE、 RAND 或 MAC-A等中的两个或以上组合起来标识 HLR/AUC。

对于釆用 RAND来标识一个 HLR/AUC的 HLR/AUC资源池编号情况，可以是先按现有技术产生随机数，而后调整该随机数的对应位使其能够标识该 HLR/AUC的 HLR/AUC资源池编号。当然，也可以是先用 RAND的特定位标识 HLR/AUC的 HLR/AUC资源池编号，而后用随机方法产生 RAND的其余位即可。

对应地， USIM获取 RAND中对应位的值，将该值作为该 HLR/AUC对应的 HLR/AUC资源池编号。例如， USIM判断出 RAND的特定位的值为" 0"时，即得知该鉴权元组对应的 HLR/AUC是主 HLR/AUC; USIM判断出 RAND的特定位的值为 "1 "时，即得知该鉴权元组对应的 HLR/AUC是备 HLR/AUC。

对于釆用 MAC-A来标识一个 HLR/AUC的 HLR/AUC资源池编号情况，可以是先按现有技术产生 MAC-A, 而后调整该 MAC-A的特定位使其能够标识该 HLR/AUC的 HLR/AUC资源池编号。当然，也可以是先用 MAC-A的特定位标识 HLR/AUC的 HLR/AUC资源池编号，而后产生 MAC-A的其余位即可。

对应地， USIM获取 MAC-A中特定位的值，将该值作为该 HLR/AUC对应的 HLR/AUC资源池编号。例如， USIM判断出 MAC-A的特定位的值为" 0" 时 ,即得知该鉴权元组对应的 HLR/AUC是主 HLR/AUC; USIM判断出 MAC-A 的特定位的值为 "1 "时，即得知该鉴权元组对应的 HLR/AUC是备 HLR/AUC。这种情况下， USIM在对 MAC-A进行一致性验证时，只需要对 MAC-A的其余位进行一致性验证即可。例如， USIM产生了与 MAC-A对应的验证值后，判断 MAC-A中的其余位是否和该验证值中的对应位相同，如果相同，则可以判断出一致性验证通过。

对于釆用 SQNHE来标识一个 HLR/AUC的 HLR/AUC资源池编号情况，可以是先按现有技术产生 SQNHE, 而后调整该 SQNHE的特定位使其能够标识该 HLR/AUC的 HLR/AUC资源池编号。当然，也可以是先用 SQN的特定位标识 HLR/AUC的 HLR/AUC资源池编号，而后产生 SQN的其余位即可。

对应地， USIM获取 SQN中对应位的值，将该值作为该 HLR/AUC对应的 HLR/AUC资源池编号。例如， USIM判断出 SQN的特定位的值为" 0"时，即得知该鉴权元组对应的 HLR/AUC是主 HLR/AUC; USIM判断出 SQN的特定位的值为 "1 "时，即得知该鉴权元组对应的 HLR/AUC是备 HLR/AUC。

HLR/AUC在鉴权五元组加入 HLR/AUC标识信息的方法还可以是：对至少一个所述随机数、序列号、鉴权管理域和消息鉴权编码参数进行分类，使用对应参数的类别作为表示 HLR/AUC的 HLR/AUC标识信息。对应地，所述终端内的解析 HLR/AUC 标识信息的软硬件单元从接收到的所述鉴权参数信息中解析出所述 HLR/AUC标识，具体是根据接收到的所述鉴权参数信息中对应参数的类别解析出所述 HLR/AUC 标识，也即根据鉴权参数与 HLR/AUC对应关系从得到的鉴权参数判断出所述对应的 HLR/AUC。

所述携带 HLR/AUC标识信息的鉴权五元组具体生成方法是：先生成所述鉴权管理域、序列号、随机数或消息鉴权编码，再调整对应参数的类别的方法表示所述 HLR/AUC标识信息，或通过直接生成对应于该 HLR/AUC标识的所述鉴权管理域、序列号、随机数或消息鉴权编码的方法表示所述 HLR/AUC标识信息。

参阅图 4 , 本发明实施例还提供一种通信系统，包括 HLR/AUC 410、 VLR/SGSN 420和终端 430。所述 HLR/AUC 410包括鉴权参数信息生成单元 411 , 用于生成携带有 HLR/AUC标识信息的鉴权参数信息。所述终端 430包括 HLR/AUC标识解析单元 431。

当每次用户终端 430 与移动网络之间建立连接时，所有业务请求以及位置更新请求、附着请求、分离请求、以及重新建立连接等等，在需要进行鉴权操作，以便验证用户身份的合法性时，在网络侧的 HLR/AUC 410下发携带有 HLR/AUC标识信息的鉴权参数信息到 VLR/SGSN 420。

也即， HLR/AUC 410用于生成携带有 HLR/AUC标识信息的鉴权参数信息，在收到鉴权参数请求时，返回携带有 HLR/AUC标识信息的鉴权参数信息到所述终端；根据接收到的鉴权响应对用户卡进行鉴权，判断所述终端是否合法，实现网络侧和终端的互鉴权。终端 430用于从接收到的所述鉴权参数信息中解析出所述 HLR/AUC标识，根据所述标识识别出对应的 HLR/AU, 对所述 HLR/AUC的鉴权参数信息处理鉴权进程。

所述携带有 HLR/AUC标识信息的鉴权参数信息是 AMF、 SQNHE、 RAND 或 MAC-A中至少一种，其中 AMF、 SQNHE、 MAC-A组成鉴权标记 AUTN。所述鉴权参数信息生成单元 411 通过先生成所述 AMF、 SQN、 RAND 或 MAC-A,再调整其中特定位的值的方法，或通过先生成所述 AMF、 SQN、RAND 或 MAC-A的特定位的值的方法表示所述 HLR/AUC标识信息。

VLR/SGSN 420 收到鉴权参数后，转发全部或部分鉴权参数到用户终端 430。终端 430方面则通过 HLR/AUC标识解析单元 431得到 HLR/AUC标识 , 并在后续鉴权流程中与 VLR/SGSN 420或 HLR/AUC 410交互 HLR/AUC。后续鉴权流程比如终端 430进行 AUTN—致性验证，并在判断 SQNHE不属于可接受的范围情况下，产生再同步标记，并将再同步标记发送到 HLR/AUC 410, 所述 HLR/AUC 410根据再同步标记中的 SQNMS更新 SQNHE, 产生新的鉴权参数。

从以上可以看出，由于本发明实施例通过鉴权参数信息生成单元 411 在产生的鉴权参数 AMF、 SQN、 RAND或 MAC-A中包含了 HLR/AUC标识信息，因此 HLR/AUC 410在收到鉴权参数请求时，可以返回携带有 HLR/AUC 标识信息的鉴权参数信息到终端 430, 可以让终端 430 知道它得到的鉴权参数是来自哪个 HLR/AUC, 在终端 430判断出 SQNHE不属于可接受范围时，通过 VLR/SGSN 420将 AUTS和对应五元组中的 RAND发送给所述 HLR/AUC 410。

所述鉴权参数信息生成单元 411还可以釆用对所述鉴权管理域、序列号、随机数或消息鉴权编码中至少一个参数进行分类，将所述 HLR/AUC标识信息对应参数的类别的方法来表示 HLR/AUC标识信息。具体是所述鉴权参数信息生成单元 411通过先生成所述鉴权管理域、序列号、随机数或消息鉴权编码，再调整对应参数的类别的方法表示所述 HLR/AUC标识信息，或通过直接生成对应于该 HLR/AUC标识的所述鉴权管理域、序列号、随机数或消息鉴权编码的方法表示所述 HLR/AUC标识信息。参阅图 5, 本发明又提供一种通信设备，包括 HLR/AUC 410和鉴权参数信息生成单元 411。所述鉴权参数信息生成单元 411 用于生成携带有 HLR/AUC标识信息的鉴权参数信息，在收到鉴权参数请求时，所述 HLR/AUC 410 返回携带有 HLR/AUC 标识信息的鉴权参数信息，以便于终端基于所述 HLR/AUC处理鉴权进程。例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。

Claims

权利要求

1.一种在鉴权中识别 HLR/AUC的方法，其特征在于，包括步骤：产生鉴权参数信息时，在所述鉴权参数信息中加入归属位置寄存器 /鉴权中心 HLR/AUC标识信息；

终端接收到携带有 HLR/AUC标识信息的鉴权参数信息后，从所述鉴权参数信息中解析出所述 HLR/AUC标识，根据所述标识识别出对应的 HLR/AIL

2.根据权利要求 1所述的在鉴权中识别 HLR/AUC的方法，其特征在于，所述携带有 HLR/AUC标识信息鉴权参数信息包括随机数、序列号、鉴权管理域和消息鉴权编码中至少一种。

3.根据权利要求 1所述的在鉴权中识别 HLR/AUC的方法，其特征在于，在所述鉴权参数信息中加入 HLR/AUC标识信息的步骤包括：使用至少一个所述参数中的至少一个位作为表示 HLR/AUC的 HLR/AUC标识信息；

所述终端从接收到的所述鉴权参数信息中解析出所述 HLR/AUC 标识的步骤包括：终端根据接收到的所述鉴权参数信息中对应参数的 HLR/AUC标识位解析出所述 HLR/AUC标识；或者，

在所述鉴权参数信息中加入 HLR/AUC标识信息的步骤包括：对至少一个所述参数进行分类，使用对应参数的类别作为表示 HLR/AUC的 HLR/AUC标识信息；

所述终端从接收到的所述鉴权参数信息中解析出所述 HLR/AUC 标识的步骤包括：终端根据接收到的所述鉴权参数信息中对应参数的类别解析出所述 HLR/AUC标识。

4.一种鉴权方法，其特征在于，包括步骤：

HLR/AUC向终端传送携带有 HLR/AUC标识信息的鉴权参数信息；终端取得所述 HLR/AUC标识，并基于所述 HLR/AUC进行鉴权进程。

5.根据权利要求 4所述的鉴权方法，其特征在于，所述携带有 HLR/AUC 标识信息的鉴权参数信息包括鉴权管理域、序列号、随机数和消息鉴权编码中的至少一种。

6.根据权利要求 5所述的鉴权方法，其特征在于，

所述 HLR/AUC标识信息釆用所述鉴权管理域、序列号、随机数或消息鉴权编码中至少一个参数的特定位表示；或者，

对所述鉴权管理域、序列号、随机数或消息鉴权编码中至少一个参数进行分类，所述 HLR/AUC标识信息釆用对应参数的类别表示。

7.根据权利要求 6所述的鉴权方法，其特征在于，所述 HLR/AUC标识信息的表示方式包括：

通过先生成所述鉴权管理域、序列号、随机数或消息鉴权编码，再调整其中特定位的值的方法表示，或者，

通过先生成所述鉴权管理域、序列号、随机数或消息鉴权编码的特定位的值的方法表示；或者，

通过先生成所述鉴权管理域、序列号、随机数或消息鉴权编码，再调整对应参数的类别的方法表示，或者，

通过直接生成对应于该 HLR/AUC标识的所述鉴权管理域、序列号、随机数或消息鉴权编码的方法表示。

8.根据权利要求 4至 7任一项所述的鉴权方法，其特征在于，所述进行鉴权进程的步骤具体是：进行 AUTN—致性验证，并在判断 SQNHE不属于可接受的范围情况下，产生再同步标记，并将再同步标记发送到 HLR/AUC, 所述 HLR/AUC 根据再同步标记中的 SQNMS 更新 SQNHE , 产生新的包含 HLR/AUC标识的鉴权参数信息。

9.一种通信设备，包括 HLR/AUC, 在收到鉴权参数请求时，用于返回鉴权参数信息，其特征在于，所述通信设备还包括：

10. 根据权利要求 9所述的通信系统的通信设备，其特征在于，所述携带有 HLR/AUC标识信息鉴权参数信息包括随机数、序列号、鉴权管理域和消息鉴权编码中至少一种。

11. 一种通信系统，包括 HLR/AUC和终端，其特征在于，

12. 根据权利要求 11 所述的通信系统，其特征在于，所述携带有 HLR/AUC标识信息鉴权参数信息包括随机数、序列号、鉴权管理域和消息鉴权编码中至少一种。