專利名稱:利用鑒權(quán)元組進(jìn)行鑒權(quán)的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及移動通信系統(tǒng)的鑒權(quán)技術(shù)���,具體涉及一種移動通信系統(tǒng)利用鑒權(quán)元組進(jìn)行鑒權(quán)的方法、一種移動終端利用鑒權(quán)元組進(jìn)行鑒權(quán)的方法和一種移動通信網(wǎng)絡(luò)利用鑒權(quán)元組進(jìn)行鑒權(quán)的方法�。
背景技術(shù):
第二代移動通信系統(tǒng)中,例如全球移動通信系統(tǒng)(GSM)�����、碼分多址(CDMA)系統(tǒng)�,為了保證運營業(yè)務(wù)的安全性,網(wǎng)絡(luò)都要對接入的終端進(jìn)行鑒權(quán)����,使得非法終端無法得到網(wǎng)絡(luò)提供的服務(wù),保障運營商利益����。第三代移動通信系統(tǒng)中,例如UMTS系統(tǒng)��,為了保障移動終端的安全性�,在第二代移動通信系統(tǒng)鑒權(quán)的基礎(chǔ)上��,加入了終端對網(wǎng)絡(luò)鑒權(quán)功能�����,以驗證移動終端當(dāng)前接入的移動通信網(wǎng)絡(luò)是否是一個合法網(wǎng)絡(luò)�。
在現(xiàn)有的第三代移動通信系統(tǒng)中��,例如UMTS系統(tǒng)中�,網(wǎng)絡(luò)對移動終端的鑒權(quán)和移動終端對網(wǎng)絡(luò)的鑒權(quán)一般包含在一個鑒權(quán)處理中進(jìn)行,并都是采用鑒權(quán)元組來進(jìn)行���。鑒權(quán)元組一般包括五個元素��,因此通常稱為鑒權(quán)五元組�。這五個元素分別是隨機數(shù)(RAND)��、期望響應(yīng)(XRES)���、加密密鑰(CK)����、完整性密鑰(IK)和鑒權(quán)標(biāo)記(AUTN)。其中AUTN進(jìn)一步包括鑒權(quán)序列號(SQN)�����、鑒權(quán)管理域(AMF)和消息鑒權(quán)編碼(MAC)三個部分�����。
圖1示出了現(xiàn)有的鑒權(quán)方法的處理流程����。如圖1所示��,在步驟101�����,拜訪位置寄存器/服務(wù)通用分組無線業(yè)務(wù)(GPRS)支持節(jié)點(VLR/SGSN)首先向歸屬位置寄存器/鑒權(quán)中心(HLR/AUC)請求鑒權(quán)五元組���。
在步驟102�,HLR/AUC一次將所生成的一個或多個鑒權(quán)五元組發(fā)送給VLR/SGSN�。HLR/AUC產(chǎn)生鑒權(quán)五元組時,根據(jù)產(chǎn)生的一個RAND���、預(yù)先保存的鑒權(quán)密鑰KI��、鑒權(quán)鑒權(quán)序列號SQN��、鑒權(quán)管理域AMF等進(jìn)行相應(yīng)的計算得到一個鑒權(quán)五元組。其中����,根據(jù)KI和RAND分別應(yīng)用相應(yīng)的算法進(jìn)行計算得到XRES���、CK、IK�,根據(jù)KI、RAND��、SQN進(jìn)行計算得到MAC,通過組合MAC��、SQN�����、AMF得到AUTN。其中,計算MAC時��,可以進(jìn)一步根據(jù)AMF來計算。
在步驟103���,VLR/SGSN對接收自HLR/AUC的鑒權(quán)五元組進(jìn)行排序�,然后在需要對移動終端進(jìn)行鑒權(quán)時��,根據(jù)排序結(jié)果向移動終端發(fā)送一個鑒權(quán)五元組中的部分參數(shù)����。部分參數(shù)包括RAND和AUTN���,一般包含在VLR/SGSN向移動終端發(fā)送的鑒權(quán)請求(authentication request)消息中發(fā)送。
在步驟104,當(dāng)VLR/SGSN接收到來自移動終端的響應(yīng)�����,也就是用戶鑒權(quán)響應(yīng)(user authentication response)或用戶鑒權(quán)拒絕(user authenticationreject)時��,刪除所發(fā)送的五元組。相反�����,當(dāng)VLR/SGSN沒有接收到來自移動終端的響應(yīng)�����,會重發(fā)該五元組的部分參數(shù)��,直到接收到來自移動終端的響應(yīng)為止����。當(dāng)VLR/SGSN刪除了所保存的所有鑒權(quán)五元組后,向HLR/AUC再次發(fā)起請求鑒權(quán)元組的請求�����,HLR/AUC再次將生成的一個或多個鑒權(quán)五元組并將它們發(fā)送給VLR/SGSN�。
在步驟105��,移動終端在接收到來自VLR/SGSN的鑒權(quán)五元組的RAND和AUTN之后,進(jìn)行一致性驗證���,即,根據(jù)RAND����、AUTN中的SQN和自己保存的信息計算出一個MAC值�����,并比較該MAC值和從接收的AUTN中解析的MAC值是否一致。如果不一致���,執(zhí)行步驟111�����,也就是判定移動終端對網(wǎng)絡(luò)的鑒權(quán)失敗�����;否則執(zhí)行步驟106。這里計算MAC時����,可以進(jìn)一步根據(jù)AUTN中的AMF來進(jìn)行����。
在步驟106�,移動終端比較接收的AUTN中的SQN是否符合要求����,例如在要求SQN按升序生成的情況下�����,所接收的SQN是否大于自己當(dāng)前保存的SQN。如果是��,判定移動終端對網(wǎng)絡(luò)的鑒權(quán)通過����,否則執(zhí)行步驟111��,也就是判定移動終端對網(wǎng)絡(luò)的鑒權(quán)失敗���。當(dāng)然�,在實際情況中���,在判定SQN不符合要求后可以進(jìn)一步發(fā)起同步SQN的處理流程,在經(jīng)過同步SQN處理之后如果接收的SQN仍然不符合要求�����,再判定鑒權(quán)失敗����。
在步驟107,移動終端利用RAND和自己保存的信息計算出一個期望響應(yīng)(XRES)����,然后將該XRES發(fā)送到網(wǎng)絡(luò)側(cè)的移動交換中心(MSC)或SGSN。
在步驟108����,MSC或SGSN比較從移動終端接收的XRES和鑒權(quán)五元組中的XRES是否一致,如果是�����,在步驟109判定網(wǎng)絡(luò)對移動終端的鑒權(quán)通過���,否則在步驟110判定網(wǎng)絡(luò)對移動終端的鑒權(quán)不通過���。
上述鑒權(quán)流程可以參見3GPP有關(guān)鑒權(quán)相關(guān)協(xié)議���。
上述通過一個具體示例說明了現(xiàn)有的鑒權(quán)方法?����?梢钥闯?�,在這種現(xiàn)有的方法中�,VLR/SGSN向MS發(fā)送鑒權(quán)請求并接收到來自MS的響應(yīng)后,就會刪除剛剛使用過的五元組�����,而在所有的鑒權(quán)五元組都使用完后��,需要重新從HLR/AUC獲取五元組���。這樣就會存在一個問題�,例如剛好在VLR/SGSN向HLR/AUC請求五元組時���,由于HLR出現(xiàn)故障或者HLR的訪問量過大等原因使得HLR不能及時響應(yīng)VLR/SGSN請求鑒權(quán)元組的請求�,那么VLR/SGSN就會得不到鑒權(quán)元組。而VLR/SGSN不能從HLR/AUC得到鑒權(quán)元組���,就會導(dǎo)致移動終端登陸網(wǎng)絡(luò)或者發(fā)生位置更新時����,移動終端不能和網(wǎng)絡(luò)相互鑒權(quán)��。這樣����,移動終端也就不能使用移動網(wǎng)絡(luò)提供的服務(wù)�����。在這種情況下����,在一個方面會給移動網(wǎng)絡(luò)的用戶帶來不便,在另一個方面會讓移動網(wǎng)絡(luò)的用戶感到移動網(wǎng)絡(luò)的性能很差�,服務(wù)質(zhì)量不可靠,從而直接影響用戶對移動通信運營商的滿意程度�����,阻礙了移動通信的發(fā)展。
發(fā)明內(nèi)容
有鑒于此���,本發(fā)明的主要目的是提供一種移動通信系統(tǒng)中利用鑒權(quán)元組進(jìn)行鑒權(quán)的方法����,通過該方法可以消除現(xiàn)有技術(shù)中由于VLR/SGSN不能及時從HLR/AUC得到鑒權(quán)元組而使得移動終端和網(wǎng)絡(luò)不能相互鑒權(quán)的情況出現(xiàn)�����。
本發(fā)明的進(jìn)一步目的是提供一種移動終端中利用鑒權(quán)元組進(jìn)行鑒權(quán)的方法�,以及一種移動通信網(wǎng)絡(luò)中利用鑒權(quán)元組進(jìn)行鑒權(quán)的方法,以使得移動終端和網(wǎng)絡(luò)的相互鑒權(quán)不會因為沒有新的鑒權(quán)元組而不能進(jìn)行�。
本發(fā)明的上述目的是通過如下的技術(shù)方案予以實現(xiàn)的一種移動通信系統(tǒng)中利用鑒權(quán)元組進(jìn)行鑒權(quán)的方法,該移動通信系統(tǒng)包括移動終端和網(wǎng)絡(luò)設(shè)備����,該方法包括a.網(wǎng)絡(luò)設(shè)備保留一個或多個鑒權(quán)元組作為可以重用的鑒權(quán)元組;b.網(wǎng)絡(luò)設(shè)備在使用完現(xiàn)有的鑒權(quán)元組并且沒有接收到新的鑒權(quán)元組時�,向移動終端發(fā)送可以重用的鑒權(quán)元組中的參數(shù);c.移動終端在接收到網(wǎng)絡(luò)設(shè)備發(fā)送的鑒權(quán)元組的參數(shù)并判斷該鑒權(quán)元組不是新的鑒權(quán)元組之后�,判斷是否允許重用該鑒權(quán)元組,并在確定允許重用該鑒權(quán)元組時判定對網(wǎng)絡(luò)的鑒權(quán)通過。
該方法進(jìn)一步包括移動終端確定可以重用的鑒權(quán)元組的特征信息的步驟��;步驟c中判斷是否允許重用該鑒權(quán)元組包括判斷所接收的參數(shù)中的鑒權(quán)元組的特征信息是否屬于所確定的可以重用的鑒權(quán)元組的特征信息����。
鑒權(quán)元組可以是鑒權(quán)五元組,包括隨機數(shù)RAND�����、期望響應(yīng)XRES���、加密密鑰CK��、完整性密鑰IK和鑒權(quán)標(biāo)記AUTN,其中AUTN進(jìn)一步包括鑒權(quán)序列號SQN�、鑒權(quán)管理域AMF和消息鑒權(quán)編碼MAC;所述特征信息是SQN�、MAC、RAND和AUTN中的一項或任意組合����。
較佳地,移動終端將最新的鑒權(quán)元組的特征信息確定為可以重用的鑒權(quán)元組的特征信息�����。
該方法進(jìn)一步包括在移動終端中設(shè)置一個用來存儲可以重用的鑒權(quán)元組的特征信息的存儲單元的步驟,所述移動終端將存儲單元中存儲的一個或多個特征信息確定為可以重用的鑒權(quán)元組的特征信息��。
較佳地�����,所述鑒權(quán)元組至少包括SQN信息��,在判斷移動終端對網(wǎng)絡(luò)的鑒權(quán)失敗之后進(jìn)一步包括向網(wǎng)絡(luò)設(shè)備發(fā)起同步鑒權(quán)元組的SQN信息的步驟��。
該方法進(jìn)一步包括在移動終端中設(shè)置已經(jīng)重用次數(shù)和可以重用次數(shù)的步驟�����,步驟c中判斷是否允許重用該鑒權(quán)元組包括判斷已經(jīng)重用次數(shù)是否小于可以重用次數(shù)����。
較佳地,該方法進(jìn)一步包括移動終端在判斷鑒權(quán)元組是新的鑒權(quán)元組后將已經(jīng)重用次數(shù)重新設(shè)置為初始值的步驟�����。
較佳地����,該方法進(jìn)一步包括設(shè)置一個總計可以重用次數(shù)的步驟�����,步驟c中判斷是否允許重用該鑒權(quán)元組進(jìn)一步包括判斷所有已經(jīng)重用次數(shù)的累加值是否小于總計可以重用次數(shù)�����。
在步驟a中保留鑒權(quán)元組時對該鑒權(quán)元組設(shè)置一個表示該鑒權(quán)元組已經(jīng)使用過的陳舊標(biāo)記��。該陳舊標(biāo)記是表示該鑒權(quán)元組使用過的次數(shù)的已使用次數(shù)��。
網(wǎng)絡(luò)設(shè)備可以是VLR/SGSN����,該方法進(jìn)一步包括VLR/SGSN向HLR/AUC請求獲取鑒權(quán)元組的步驟��。
較佳地��,步驟b中進(jìn)一步包括網(wǎng)絡(luò)設(shè)備在接收到新的鑒權(quán)元組時��,刪除所保留的鑒權(quán)元組����。
較佳地,步驟c中判斷該鑒權(quán)元組是否是新的鑒權(quán)元組之前該方法進(jìn)一步包括根據(jù)網(wǎng)絡(luò)設(shè)備發(fā)送的鑒權(quán)元組的參數(shù)進(jìn)行一致性驗證的步驟��,并在一致性驗證通過后執(zhí)行所述判斷該鑒權(quán)元組是否是新的鑒權(quán)元組的步驟�,在一致性驗證失敗后直接判定對網(wǎng)絡(luò)的鑒權(quán)失敗?��;蛘?,步驟c中判定對網(wǎng)絡(luò)的鑒權(quán)通過之前該方法進(jìn)一步包括根據(jù)網(wǎng)絡(luò)設(shè)備發(fā)送的鑒權(quán)元組的參數(shù)進(jìn)行一致性驗證的步驟���,并在一致性驗證通過后再判定對網(wǎng)絡(luò)的鑒權(quán)通過��,在一致性驗證失敗后判定對網(wǎng)絡(luò)的鑒權(quán)失敗�。
這里����,鑒權(quán)元組包括RAND、XRES�、CK、IK和AUTN���,其中AUTN包括SQN�、AMF和MAC��,移動終端接收到的參數(shù)包括AUTN和RAND,所述一致性驗證包括移動終端根據(jù)RAND����、SQN和自己保存的信息計算出一個MAC值,并比較該MAC值和從接收的AUTN中解析出的MAC值是否一致���。
一種移動終端中利用鑒權(quán)元組進(jìn)行鑒權(quán)的方法�����,包括a.移動終端在接收到來自網(wǎng)絡(luò)設(shè)備的鑒權(quán)元組的參數(shù)后���,根據(jù)該參數(shù)判斷鑒權(quán)元組是否是新的鑒權(quán)元組;如果是���,判定移動終端對網(wǎng)絡(luò)的鑒權(quán)通過����;否則執(zhí)行步驟b����;b.移動終端判斷是否允許重用該鑒權(quán)元組����,如果是�,判定移動終端對網(wǎng)絡(luò)的鑒權(quán)通過��,否則判定移動終端對網(wǎng)絡(luò)的鑒權(quán)失敗�����。
該方法進(jìn)一步包括移動終端確定可以重用的鑒權(quán)元組的特征信息的步驟����;步驟b中判斷是否允許重用該鑒權(quán)元組包括判斷所接收的參數(shù)中的鑒權(quán)元組的特征信息是否屬于所確定的可以重用的鑒權(quán)元組的特征信息。
鑒權(quán)元組可以是鑒權(quán)五元組��,包括隨機數(shù)RAND��、期望響應(yīng)XRES����、加密密鑰CK、完整性密鑰IK和鑒權(quán)標(biāo)記AUTN�����,其中AUTN進(jìn)一步包括鑒權(quán)序列號SQN��、鑒權(quán)管理域AMF和消息鑒權(quán)編碼MAC;所述特征信息是SQN���、MAC����、RAND和AUTN中的一項或任意組合�����。
較佳地���,移動終端將最新的鑒權(quán)元組的特征信息確定為可以重用的鑒權(quán)元組的特征信息����。
該方法進(jìn)一步包括在移動終端中設(shè)置一個用來存儲可以重用的鑒權(quán)元組的特征信息的存儲單元的步驟��,所述移動終端將存儲單元中存儲的一個或多個特征信息確定為可以重用的鑒權(quán)元組的特征信息����。
該方法進(jìn)一步包括在移動終端中設(shè)置已經(jīng)重用次數(shù)和可以重用次數(shù)的步驟,步驟c中判斷是否允許重用該鑒權(quán)元組包括判斷已經(jīng)重用次數(shù)是否小于可以重用次數(shù)���。
該方法進(jìn)一步包括移動終端在判斷鑒權(quán)元組是新的鑒權(quán)元組后將已經(jīng)重用次數(shù)重新設(shè)置為初始值的步驟�。
該方法進(jìn)一步包括設(shè)置一個總計可以重用次數(shù)的步驟��,步驟c中判斷是否允許重用該鑒權(quán)元組進(jìn)一步包括判斷所有已經(jīng)重用次數(shù)是否小于總計可以重用次數(shù)��。
較佳地��,移動終端在判斷對網(wǎng)絡(luò)的鑒權(quán)失敗之后進(jìn)一步包括向網(wǎng)絡(luò)設(shè)備發(fā)起同步鑒權(quán)元組的鑒權(quán)序列號信息的步驟����。
判斷該鑒權(quán)元組是否是新的鑒權(quán)元組之前該方法可以進(jìn)一步包括根據(jù)網(wǎng)絡(luò)設(shè)備發(fā)送的鑒權(quán)元組的參數(shù)進(jìn)行一致性驗證的步驟,并在一致性驗證通過后執(zhí)行所述判斷該鑒權(quán)元組是否是新的鑒權(quán)元組的步驟�����,在一致性驗證失敗后判定對網(wǎng)絡(luò)的鑒權(quán)失敗�。或者��,在判定移動終端對網(wǎng)絡(luò)的鑒權(quán)通過之前該方法進(jìn)一步包括根據(jù)網(wǎng)絡(luò)設(shè)備發(fā)送的鑒權(quán)元組的參數(shù)進(jìn)行一致性驗證的步驟�,并在一致性驗證通過后再判定對網(wǎng)絡(luò)的鑒權(quán)通過,在一致性驗證失敗后判定對網(wǎng)絡(luò)的鑒權(quán)失敗���。
這里���,鑒權(quán)元組包括RAND��、XRES�����、CK��、IK和AUTN��,其中AUTN包括SQN�、AMF和MAC��,移動終端接收的參數(shù)包括AUTN和RAND����,所述一致性驗證包括移動終端根據(jù)RAND、SQN和自己保存的信息計算出一個MAC值���,并比較該MAC值和從接收的AUTN中解析出的MAC值是否一致����。
一種移動通信網(wǎng)絡(luò)中利用鑒權(quán)元組進(jìn)行鑒權(quán)的方法�,包括a.網(wǎng)絡(luò)設(shè)備保留一個或多個鑒權(quán)元組作為可以重用的鑒權(quán)元組;b.網(wǎng)絡(luò)設(shè)備在使用完現(xiàn)有的鑒權(quán)元組請求獲取新的鑒權(quán)元組,并在沒有接收到新的鑒權(quán)元組時����,向移動終端發(fā)送可以重用的鑒權(quán)元組中的參數(shù)。
較佳地�����,在步驟a中保留鑒權(quán)元組時對該鑒權(quán)元組設(shè)置一個表示該鑒權(quán)元組已經(jīng)使用過的陳舊標(biāo)記���。所述陳舊標(biāo)記是表示該鑒權(quán)元組使用過的次數(shù)的已使用次數(shù)。
步驟b可以進(jìn)一步包括網(wǎng)絡(luò)設(shè)備在接收到新的鑒權(quán)元組時�,刪除所保留的可以重用的鑒權(quán)元組。
網(wǎng)絡(luò)設(shè)備可以是VLR/SGSN���,步驟b中VLR/SGSN向HLR/AUC請求獲取新的鑒權(quán)元組����。
從本發(fā)明的技術(shù)方案可以看出�,本發(fā)明的網(wǎng)絡(luò)設(shè)備,例如VLR/SGSN在向移動終端發(fā)送鑒權(quán)元組的參數(shù)并收到移動終端的響應(yīng)后�����,并不像現(xiàn)有技術(shù)一樣總是刪除該鑒權(quán)元組,而是保留一個或多個鑒權(quán)元組作為可重用鑒權(quán)元組��。這樣從網(wǎng)絡(luò)側(cè)保證了移動終端和網(wǎng)絡(luò)側(cè)的相互鑒權(quán)可以正常進(jìn)行����,而不會受到HLR故障或者HLR訪問量過大的影響。
移動終端在判斷鑒權(quán)元組不是最新的之后��,并不像現(xiàn)有技術(shù)一樣直接判定對網(wǎng)絡(luò)的鑒權(quán)失敗����,或馬上發(fā)起同步SQN操作流程,而是進(jìn)一步判斷是否可以重用該鑒權(quán)元組����,如果可以重用,那么依然判定對網(wǎng)絡(luò)的鑒權(quán)通過���,只有在不能重用該鑒權(quán)元組的情況下再判斷對網(wǎng)絡(luò)的鑒權(quán)失敗�����。這樣從終端側(cè)保證了移動終端和網(wǎng)絡(luò)側(cè)的相互鑒權(quán)可以正常進(jìn)行�����,而不會受到HLR故障或者HLR訪問量過大的影響���。
由此�����,可以看出����,相比現(xiàn)有技術(shù)而言�����,在因為HLR故障或者HLR的訪問量過大而不能及時響應(yīng)VLR/SGSN的情況下����,VLR/SGSN一樣可以向移動終端發(fā)送鑒權(quán)用參數(shù)��,這意味著移動終端照樣可以和網(wǎng)絡(luò)進(jìn)行相互之間的鑒權(quán)����。因此,可以消除由于無法鑒權(quán)導(dǎo)致移動終端用戶不能使用移動通信服務(wù)而給用戶帶來不便�,同時可以提高用戶對移動網(wǎng)絡(luò)的性能和服務(wù)質(zhì)量的信任度和滿意度�,從而促進(jìn)移動通信運營商的發(fā)展���。
圖1是現(xiàn)有技術(shù)的應(yīng)用在寬帶碼分多址(WCDMA)網(wǎng)絡(luò)中的鑒權(quán)方法的流程圖�。
圖2是本發(fā)明的移動通信系統(tǒng)利用鑒權(quán)元組進(jìn)行鑒權(quán)的方法的總體流程圖�。
圖3是本發(fā)明的應(yīng)用在WCDMA網(wǎng)絡(luò)中的鑒權(quán)方法的流程圖。
具體實施例方式
下面結(jié)合附圖和具體實施例對本發(fā)明進(jìn)行詳細(xì)說明���。
在本發(fā)明中����,為了解決現(xiàn)有技術(shù)的問題而設(shè)置了鑒權(quán)元組的重用規(guī)則����,也就是VLR/SGSN在接收到來自MS的鑒權(quán)響應(yīng)后,并不總是刪除所使用過的鑒權(quán)元組����,而是在接收的所有鑒權(quán)元組中保留一個或多個鑒權(quán)元組不進(jìn)行使用后的刪除處理。同時��,MS在發(fā)現(xiàn)鑒權(quán)元組不是最新的鑒權(quán)元組時���,判斷是否允許重用該鑒權(quán)元組����,如果是,也認(rèn)為鑒權(quán)通過�。
圖2是本發(fā)明的移動通信系統(tǒng)利用鑒權(quán)元組進(jìn)行鑒權(quán)的方法的總體流程圖。如圖2所示����,在步驟201,網(wǎng)絡(luò)設(shè)備���,例如VLR/SGSN�����,在接收到另一個網(wǎng)絡(luò)設(shè)備,例如HLR/AUC��,的一個或多個鑒權(quán)元組后��,將一個鑒權(quán)元組作為當(dāng)前鑒權(quán)元組��,向移動終端發(fā)送該當(dāng)前鑒權(quán)元組中的參數(shù)����。
在步驟202�,網(wǎng)絡(luò)設(shè)備保留可以重用的鑒權(quán)元組����,例如,網(wǎng)絡(luò)設(shè)備在接收到來自移動終端的響應(yīng)后保留所發(fā)送參數(shù)對應(yīng)的鑒權(quán)元組��,而不像現(xiàn)有技術(shù)一樣刪除該鑒權(quán)元組�����。
在步驟203����,網(wǎng)絡(luò)設(shè)備在使用完所有的鑒權(quán)元組但是沒有從另一個網(wǎng)絡(luò)設(shè)備接收到新的鑒權(quán)元組的情況下,向移動終端發(fā)送所保留的鑒權(quán)元組中的一個鑒權(quán)元組中的參數(shù)�。
在步驟204,移動終端在接收到網(wǎng)絡(luò)設(shè)備發(fā)送的鑒權(quán)元組的參數(shù)后���,進(jìn)行一致性驗證���,在一致性驗證不通過時,執(zhí)行步驟208�,并在一致性驗證通過后,進(jìn)一步在步驟205判斷該鑒權(quán)元組是否是新的鑒權(quán)元組�,如果不是新的鑒權(quán)元組�,執(zhí)行步驟206���;如果是新的鑒權(quán)元組����,直接在步驟207判定對網(wǎng)絡(luò)的鑒權(quán)通過�����。
在步驟206�,移動終端進(jìn)一步判斷是否允許重用該鑒權(quán)元組。如果是���,在步驟207判定對網(wǎng)絡(luò)的鑒權(quán)通過��;否則在步驟208判定對網(wǎng)絡(luò)的鑒權(quán)失敗��。
上述流程中的步驟201-203包含了移動終端利用鑒權(quán)元組進(jìn)行鑒權(quán)的方法,204-208包含了移動通信網(wǎng)絡(luò)利用鑒權(quán)元組進(jìn)行鑒權(quán)的方法�����。需要說明的是����,這里的移動通信網(wǎng)絡(luò)指的是網(wǎng)絡(luò)側(cè)���,而不包括移動終端;而移動通信系統(tǒng)則既包括網(wǎng)絡(luò)側(cè)也包括移動終端���。
當(dāng)然���,這里的一致性判斷并不是必須的,在某些情況下可以省略��。而且�����,一致性判斷也可以在判斷是否允許重用鑒權(quán)元組之后再進(jìn)行���。例如在步驟204不進(jìn)行一致性判斷�����,而是在步驟207之前進(jìn)行一致性判斷�����,如果通過一致性判斷�����,在判定對網(wǎng)絡(luò)的鑒權(quán)通過���,如果沒有通過一致性判斷��,則判定對網(wǎng)絡(luò)的鑒權(quán)失敗����。
將如圖2所示的本發(fā)明的總體技術(shù)方案應(yīng)用到如圖1所示的鑒權(quán)流程�����,將形成如圖3所示的本發(fā)明的一個具體應(yīng)用示例����,該示例一般應(yīng)用在WCDMA網(wǎng)絡(luò)中。
如圖3所示����,在步驟301���,VLR/SGSN對接收自HLR/AUC的多個鑒權(quán)元組進(jìn)行排序���,然后在需要對移動終端進(jìn)行鑒權(quán)時��,按照排序結(jié)果向移動終端發(fā)送一個鑒權(quán)五元組中的部分參數(shù)����。部分參數(shù)包括RAND和AUTN��,一般包含在VLR/SGSN向移動終端發(fā)送的鑒權(quán)請求消息中發(fā)送��。
在步驟302����,網(wǎng)絡(luò)設(shè)備保留可以重用的鑒權(quán)元組。例如當(dāng)VLR/SGSN接收到來自移動終端的響應(yīng)��,也就是用戶鑒權(quán)響應(yīng)時�,不刪除對應(yīng)的鑒權(quán)元組,而是保留所發(fā)送參數(shù)對應(yīng)的五元組����。當(dāng)然,如果VLR/SGSN沒有接收到來自移動終端的響應(yīng),會重發(fā)該五元組的部分參數(shù)�,直到接收到來自移動終端的響應(yīng)為止。需要說明的是����,這里的保留可以是選擇性的保留,也就是可以保留某一個或多個鑒權(quán)元組�����,而不要求保留所有的鑒權(quán)元組��,這一點在后面的說明中將會更加清楚����。
在步驟303,當(dāng)VLR/SGSN使用完了接收自HLR/AUC的所有鑒權(quán)五元組后���,向HLR/AUC再次發(fā)起請求鑒權(quán)元組的請求�,并判斷是否接收到來自HLR/AUC的新的鑒權(quán)五元組����。如果是,在步驟304��,VLR/SGSN刪除所保留的五元組,在需要對移動終端鑒權(quán)時����,按照現(xiàn)有技術(shù)從新的鑒權(quán)五元組中選擇一個五元組�����,然后發(fā)送所選擇的五元組的部分參數(shù)����。由于這種情況下的后續(xù)流程和現(xiàn)有技術(shù)相同,這里不再重復(fù)說明�。相反,如果沒有接收到來自HLR/AUC的新的鑒權(quán)五元組����,在步驟305,在需要對移動終端鑒權(quán)時���,VLR/SGSN從所保留的鑒權(quán)五元組中選擇一個五元組��,然后發(fā)送所選擇的五元組的部分參數(shù)�。
在步驟306�,移動終端在接收到來自VLR/SGSN的鑒權(quán)五元組的RAND和AUTN之后�����,進(jìn)行一致性驗證����,即���,根據(jù)RAND��、AUTN中的SQN和自己保存的信息計算出一個MAC值���,并比較該MAC值和從接收的AUTN中解析出的MAC值是否一致。如果不一致����,在步驟310判定移動終端對網(wǎng)絡(luò)的鑒權(quán)失敗,結(jié)束本流程�;否則執(zhí)行步驟307。這里����,移動終端自己保存的信息一般是指鑒權(quán)密鑰(KI)。
在步驟307���,移動終端比較接收的AUTN中的SQN是否符合要求�,以此判斷網(wǎng)絡(luò)側(cè)發(fā)送的鑒權(quán)元組是否是新的。如果是�,在步驟309判定移動終端對網(wǎng)絡(luò)的鑒權(quán)通過,然后執(zhí)行步驟311�,否則執(zhí)行步驟308。
在步驟308���,移動終端進(jìn)一步確定是否可以重用該鑒權(quán)元組,如果是�,在步驟309判斷鑒權(quán)通過,然后執(zhí)行步驟311����;否則在步驟310判定移動終端對網(wǎng)絡(luò)的鑒權(quán)失敗,結(jié)束本流程���。
在步驟311�,移動終端利用RAND和自己保存的信息計算出一個期望響應(yīng)(XRES)�,然后將該XRES發(fā)送到網(wǎng)絡(luò)側(cè)的MSC或SGSN。這里�,移動終端自己保存的信息一般是指KI。需要說明的是����,移動終端計算MAC的同時可以計算XRES��,也就是說���,該步驟可以合并在步驟306中一起實現(xiàn)。
在步驟312�����,MSC或SGSN比較從移動終端接收的XRES和鑒權(quán)五元組中的XRES是否一致����,如果是,在步驟313判定網(wǎng)絡(luò)對移動終端的鑒權(quán)通過�����,否則在步驟314判定鑒權(quán)不通過�。
在本發(fā)明中,移動終端確定可以重用的鑒權(quán)元組的SQN����,然后根據(jù)接收的鑒權(quán)元組中的SQN是否屬于可以重用的鑒權(quán)元組的SQN來判斷是否可以重用鑒權(quán)元組。這里的SQN相當(dāng)于鑒權(quán)元組的特征信息�����,移動終端可以根據(jù)此特征信息來判斷該鑒權(quán)元組是否可以重用。當(dāng)然�,特征信息并不局限于SQN,還可以是MAC�、RAND或者整個AUTN,并且還可以是它們的任意組合�。
在本發(fā)明的第一實施例中,VLR/SGSN保留最后一個鑒權(quán)元組�����,而刪除其他鑒權(quán)元組����,移動終端將最后更新的SQN確定為可以重用的鑒權(quán)元組的SQN�。下面通過一個具體示例來說明本發(fā)明第一實施例的操作。
在此示例中�,在VLR/SGSN中保留上一次從HLR/AUC獲得的鑒權(quán)元組中的最后一個鑒權(quán)元組,將該鑒權(quán)元組作為可重用鑒權(quán)元組��。也就是說����,VLR/SGSN在使用完了前面的所有鑒權(quán)元組后��,一樣地進(jìn)行刪除處理��,只是對于使用的最后一個鑒權(quán)元組不進(jìn)行刪除而是保留在VLR/SGSN中��。
與此相對應(yīng)����,在移動終端中也將最后一次成功鑒權(quán)時更新的SQN作為可以重用的鑒權(quán)元組的SQN��,這樣不需要單獨設(shè)置保存可以重用的鑒權(quán)元組的SQN的存儲單元�����。
更具體地說���,假設(shè)VLR/SGSN上次從HLR/AUC得到三個鑒權(quán)元組��,分別為A��、B和C��。在第一次對移動終端進(jìn)行鑒權(quán)時�����,VLR/SGSN使用A作為當(dāng)前鑒權(quán)元組����,將A中的RAND和AUTN發(fā)送給MS。移動終端在成功地實現(xiàn)和網(wǎng)絡(luò)的相互鑒權(quán)之后�����,將A中的SQN保存為當(dāng)前的SQN��,而VLR/SGSN則在收到來自移動終端的響應(yīng)后刪除A�。
同樣,在第二次鑒權(quán)時�,VLR/SGSN使用B作為當(dāng)前鑒權(quán)元組,將B中的RAND和AUTN發(fā)送給MS���。移動終端在成功地實現(xiàn)和網(wǎng)絡(luò)的相互鑒權(quán)之后,將B中的SQN保存為當(dāng)前的SQN�,而VLR/SGSN則在收到來自移動終端的響應(yīng)后刪除B。
而在第三次鑒權(quán)時��,VLR/SGSN使用C作為當(dāng)前鑒權(quán)元組��,將C中的RAND和AUTN發(fā)送給MS。移動終端在成功地實現(xiàn)和網(wǎng)絡(luò)的相互鑒權(quán)之后�,將C中的SQN保存為當(dāng)前的SQN。和前兩次鑒權(quán)不一樣��,VLR/SGSN在收到來自移動終端的響應(yīng)后并不刪除C����,而是將其保留在VLR/SGSN中并設(shè)置一個表示陳舊的標(biāo)記。
在第三次鑒權(quán)之后��,VLR/SGSN保存的所有鑒權(quán)元組使用完畢���,此時VLR/SGSN從HLR/AUC請求新的鑒權(quán)元組�,如果從HLR/AUC接收到新的鑒權(quán)元組���,VLR/SGSN將刪除C��。而如果因為HLR故障或者HLR不能及時響應(yīng)等原因?qū)е耉LR/SGSN沒有從HLR/AUC接收到新的鑒權(quán)元組�,若此時又正好接收到來自移動終端的登陸網(wǎng)絡(luò)的請求或者位置更新的請求����,VLR/SGSN將會再次將C作為當(dāng)前鑒權(quán)元組,將C中的RAND和AUTN通過鑒權(quán)請求消息發(fā)送給移動終端���。
移動終端在再次接收到C后�����,會判斷出接收的SQN不是最新的。此時移動終端會進(jìn)一步判斷接收的SQN是否和自己保存的當(dāng)前SQN相同,如果是�����,移動終端將判斷出可以重用該鑒權(quán)元組�,因此移動終端仍然會認(rèn)為對網(wǎng)絡(luò)的鑒權(quán)通過。
在上述示例中�����,VLR/SGSN只保留一個鑒權(quán)元組��,實際上VLR/SGSN也可以保留多個鑒權(quán)元組,例如可以保留最后兩個鑒權(quán)元組。這也是本發(fā)明的第二實施例����。在保留多個鑒權(quán)元組的情況下����,移動終端需要將保存的對應(yīng)的鑒權(quán)元組的SQN作為可以重用的鑒權(quán)元組的SQN���。由于現(xiàn)有的移動終端只能保存當(dāng)前的SQN,因此可以設(shè)置一個存儲單元來保存可以重用的多個鑒權(quán)元組的SQN值,當(dāng)然在VLR/SGSN將最后一個鑒權(quán)元組也作為可重用鑒權(quán)元組時��,移動終端可以不在存儲單元中保存該SQN��,因為該SQN可以作為當(dāng)前的SQN得到保存���。
下面同樣通過一個示例來說明本發(fā)明的第二實施例���。
同樣假設(shè)VLR/SGSN上次從HLR/AUC得到三個鑒權(quán)元組,分別為A�、B和C。在第一次對移動終端進(jìn)行鑒權(quán)時����,VLR/SGSN使用A作為當(dāng)前鑒權(quán)元組,將A中的RAND和AUTN發(fā)送給MS���。移動終端在成功地實現(xiàn)和網(wǎng)絡(luò)的相互鑒權(quán)之后���,將A中的SQN保存為當(dāng)前的SQN����,而VLR/SGSN則在收到來自移動終端的響應(yīng)后刪除A。
同樣�����,在第二次鑒權(quán)時�����,VLR/SGSN使用B作為當(dāng)前鑒權(quán)元組,將B中的RAND和AUTN發(fā)送給MS。移動終端在成功地實現(xiàn)和網(wǎng)絡(luò)的相互鑒權(quán)之后����,將當(dāng)前的SQN保存到一個存儲單元中,然后將B中的SQN保存為當(dāng)前的SQN。VLR/SGSN在收到來自移動終端的響應(yīng)后并不刪除B���,而是將其保留在VLR/SGSN中并設(shè)置一個表示陳舊的標(biāo)記。
在第三次鑒權(quán)時,VLR/SGSN使用C作為當(dāng)前鑒權(quán)元組,將C中的RAND和AUTN發(fā)送給MS。移動終端在成功地實現(xiàn)和網(wǎng)絡(luò)的相互鑒權(quán)之后���,將當(dāng)前的SQN保存到存儲單元中�,然后將C中的SQN保存為當(dāng)前的SQN���。VLR/SGSN在收到來自移動終端的響應(yīng)后并不刪除C�,而是將其保留在VLR/SGSN中并設(shè)置一個表示陳舊的標(biāo)記�����。
在第三次鑒權(quán)之后���,VLR/SGSN保存的所有鑒權(quán)元組使用完畢���,此時VLR/SGSN從HLR/AUC請求新的鑒權(quán)元組����,如果從HLR/AUC接收到新的鑒權(quán)元組����,VLR/SGSN將刪除B和C。而如果因為HLR故障或者HLR不能及時響應(yīng)等原因?qū)е耉LR/SGSN沒有從HLR/AUC接收到新的鑒權(quán)元組��,若此時又正好接收到來自移動終端的登陸網(wǎng)絡(luò)的請求或者位置更新的請求����,VLR/SGSN將會再次將所保留的B和C中的一個,例如B�,作為當(dāng)前鑒權(quán)元組,將B中的RAND和AUTN通過鑒權(quán)請求消息發(fā)送給移動終端�。
移動終端在再次接收到B后,在根據(jù)自己保存的當(dāng)前SQN判斷當(dāng)前鑒權(quán)元組是否符合要求時會發(fā)現(xiàn)接收的SQN不符合要求����,因為移動終端中保存的SQN是比B中的SQN更新的SQN,這里是C中的SQN����。接下來�,移動終端判斷該SQN是否屬于可重用的SQN�����,也就是判斷該SQN是否和移動終端當(dāng)前的SQN相同��,或者該SQN是否和存儲單元中保存的某一個SQN相同��。如果這樣�,移動終端仍然會認(rèn)為對網(wǎng)絡(luò)的鑒權(quán)通過����。在成功實現(xiàn)鑒權(quán)后,移動終端可以不更新SQN����,這樣可以保持當(dāng)前SQN一直是最新的SQN。
在第四次鑒權(quán)之后���,如果VLR/SGSN仍然不能從HLR/AUC接收新的鑒權(quán)元組���,在移動終端請求鑒權(quán)時,VLR/SGSN可以將C作為當(dāng)前鑒權(quán)元組,也就是將C中的RAND和AUTN通過鑒權(quán)請求消息發(fā)送給移動終端��。
移動終端在再次接收到C后����,在根據(jù)自己保存的SQN判斷當(dāng)前鑒權(quán)元組是否符合要求時會發(fā)現(xiàn)接收的SQN和自己保存的SQN相同,此時雖然移動終端會判斷當(dāng)前鑒權(quán)元組不符合要求�,但會判斷出該SQN屬于可重用的SQN,因此移動終端仍然會認(rèn)為對網(wǎng)絡(luò)的鑒權(quán)通過����。
如果在第五次鑒權(quán)之后VLR/SGSN依然沒有從HLR/AUC得到新的鑒權(quán)元組,那么可以重新將B或C作為當(dāng)前鑒權(quán)元組而執(zhí)行上述處理�。
當(dāng)然,如果MSC/SGSN上一次從HLR/AUC只得到一個鑒權(quán)元組時��,也可以將上上次從HLR/AUC得到的鑒權(quán)元組中的最后一個鑒權(quán)元組保留為可以重用鑒權(quán)元組����,也即,VLR/SGSN在從HLR/AUC得到新的鑒權(quán)元組時�,判斷得到的新鑒權(quán)元組個數(shù)是否達(dá)到兩個,如果只有一個����,此時���,VLR/SGSN仍然保留上上次獲得的鑒權(quán)元組的最后一個鑒權(quán)元組,從而使得VLR/SGSN可以保留兩個可以重用的鑒權(quán)元組���。
當(dāng)然可以理解�����,重用陳舊元組的次序是可以變化的�,例如第六次可以用C�����,第七次用B等等�。而且���,可以理解�,可以重用陳舊元組的個數(shù)不局限于一個或兩個���,而可以更多�。其處理過程和上述示例類似����,這里不再一一舉例說明���。
除了第一實施例和第二實施例之外,本發(fā)明還可以不在移動終端中保存可重用的SQN�,而是設(shè)置一個已經(jīng)重用次數(shù)和可以重用次數(shù),根據(jù)判斷已經(jīng)重用次數(shù)是否小于可以重用次數(shù)來確定是否允許重用該鑒權(quán)元組���。移動終端每次判斷出SQN不符合要求之后�����,就判斷已經(jīng)重用次數(shù)是否小于可以重用次數(shù)���,如果是,判定對網(wǎng)絡(luò)的鑒權(quán)通過����,并累加已經(jīng)重用次數(shù),例如加1���。這里的最大次數(shù)可以設(shè)置為無限大�,例如�����,設(shè)置為-1,表示允許重用����,且重用次數(shù)可以無限大;也可以設(shè)置為一個具體的數(shù)值�,例如3次。
下面同樣通過一個具體的示例說明第三實施例�。
在此示例中,VLR/SGSN將從HLR/AUC得到的鑒權(quán)元組中的最后兩個作為可重用鑒權(quán)元組���,同時在移動終端側(cè)設(shè)置元組最大可以重用次數(shù)為2��,并將已經(jīng)重用次數(shù)初始化為0�����。
同樣假設(shè)VLR/SGSN上次從HLR/AUC得到三個鑒權(quán)元組,分別為A�、B和C。在第一次對移動終端進(jìn)行鑒權(quán)時���,VLR/SGSN使用A作為當(dāng)前鑒權(quán)元組���,將A中的RAND和AUTN發(fā)送給MS�����。移動終端在成功地實現(xiàn)和網(wǎng)絡(luò)的相互鑒權(quán)之后���,將A中的SQN保存為當(dāng)前的SQN,而VLR/SGSN則在收到來自移動終端的響應(yīng)后刪除A�。
同樣,在第二次鑒權(quán)時��,VLR/SGSN使用B作為當(dāng)前鑒權(quán)元組�,將B中的RAND和AUTN發(fā)送給MS。移動終端在成功地實現(xiàn)和網(wǎng)絡(luò)的相互鑒權(quán)之后���,將B中的SQN保存為當(dāng)前的SQN���。VLR/SGSN在收到來自移動終端的響應(yīng)后并不刪除B,而是將其保留在VLR/SGSN中并設(shè)置一個表示陳舊的標(biāo)記�。
在第三次鑒權(quán)時,VLR/SGSN使用C作為當(dāng)前鑒權(quán)元組����,將C中的RAND和AUTN發(fā)送給MS���。移動終端在成功地實現(xiàn)和網(wǎng)絡(luò)的相互鑒權(quán)之后,將C中的SQN保存為當(dāng)前的SQN�。VLR/SGSN在收到來自移動終端的響應(yīng)后并不刪除C,而是將其保留在VLR/SGSN中并設(shè)置一個表示陳舊的標(biāo)記��。
在第三次鑒權(quán)之后���,VLR/SGSN保存的所有鑒權(quán)元組使用完畢�����,此時VLR/SGSN從HLR/AUC請求新的鑒權(quán)元組��,如果從HLR/AUC接收到新的鑒權(quán)元組�,VLR/SGSN將刪除B和C���。而如果因為HLR故障或者HLR不能及時響應(yīng)等原因?qū)е耉LR/SGSN沒有從HLR/AUC接收到新的鑒權(quán)元組��,若此時又正好接收到來自移動終端的登陸網(wǎng)絡(luò)的請求或者位置更新的請求�����,VLR/SGSN將會再次將所保留的B和C中的一個�����,例如B�,作為當(dāng)前鑒權(quán)元組���,將B中的RAND和AUTN通過鑒權(quán)請求消息發(fā)送給移動終端��。
移動終端在再次接收到B后����,在根據(jù)自己保存的SQN判斷當(dāng)前鑒權(quán)元組是否符合要求時會發(fā)現(xiàn)接收的SQN不符合要求�,因為移動終端中保存的SQN是比B中的SQN更新的SQN。接下來�,移動終端判斷已經(jīng)重用次數(shù)是否小于可以重用次數(shù)。由于已經(jīng)重用次數(shù)為初始值0��,因此可以判斷出此時已經(jīng)重用次數(shù)小于可以重用次數(shù)�����。因而��,移動終端允許重用元組����,并認(rèn)為對網(wǎng)絡(luò)的鑒權(quán)通過��。同時�����,將已經(jīng)重用次數(shù)累加1���。和前述示例相同,這里移動終端不更新SQN�,而是保持SQN為最新的SQN。
在第四次鑒權(quán)之后���,如果VLR/SGSN仍然不能從HLR/AUC接收新的鑒權(quán)元組���,在移動終端請求鑒權(quán)時,VLR/SGSN可以將C作為當(dāng)前鑒權(quán)元組��,也就是將C中的RAND和AUTN通過鑒權(quán)請求消息發(fā)送給移動終端�����。
移動終端在再次接收到C后,在根據(jù)自己保存的SQN判斷當(dāng)前鑒權(quán)元組是否符合要求時會發(fā)現(xiàn)接收的SQN和自己保存的SQN相同����。接下來����,移動終端判斷已經(jīng)重用次數(shù)是否小于可以重用次數(shù)。由于已經(jīng)重用次數(shù)為1�,因此可以判斷出此時已經(jīng)重用次數(shù)小于可以重用次數(shù)。因而�,移動終端允許重用元組,并認(rèn)為對網(wǎng)絡(luò)的鑒權(quán)通過�。同時,將已經(jīng)重用次數(shù)累加1����,并保持原有的SQN為當(dāng)前SQN。
如果在第五次鑒權(quán)之后VLR/SGSN依然沒有從HLR/AUC得到新的鑒權(quán)元組���,那么可能重新將B或C作為當(dāng)前鑒權(quán)元組而執(zhí)行上述處理����。此時移動終端會發(fā)現(xiàn)已經(jīng)重用次數(shù)2已經(jīng)大于等于可以重用次數(shù)2了�����,因此第六次鑒權(quán)時,判斷對網(wǎng)絡(luò)的鑒權(quán)不通過����。
當(dāng)然,如果VLR/SGSN從HLR/AUC處得到了新的鑒權(quán)元組���,那么將使用新的鑒權(quán)元組進(jìn)行鑒權(quán)操作���。移動終端在判斷SQN符合要求之后,將已經(jīng)重用次數(shù)重新設(shè)置為初始值���,如0�。
在第三實施例中���,還可以設(shè)置一個總計可以重用次數(shù)����,并對所有重用次數(shù)進(jìn)行累加���,當(dāng)累加和超過總計可以重用次數(shù)時也禁止鑒權(quán)元組的重用�����。
在第三實施例中���,移動終端對已經(jīng)重用次數(shù)的累加可以是連續(xù)的����,也可以是不連續(xù)的��。不連續(xù)累加指的是��,如果第一次判斷SQN不是新的����,重用鑒權(quán)元組�,將已經(jīng)重用次數(shù)加1,如果第二次判斷SQN是新的���,已經(jīng)重用次數(shù)不回到初始值���,如果第三次判斷SQN不是新的,重用鑒權(quán)元組����,將已經(jīng)重用次數(shù)再加1����。而連續(xù)累加指的是����,如果第一次判斷SQN不是新的,重用鑒權(quán)元組�,將已經(jīng)重用次數(shù)加1,如果第二次判斷SQN是新的��,已經(jīng)重用次數(shù)回到初始值��,如果第三次判斷SQN不是新的��,重用鑒權(quán)元組����,將已經(jīng)重用次數(shù)累加1。
當(dāng)然可以理解��,可以將第一實施例或者第二實施例的操作和第三實施例的操作結(jié)合起來�,也就是移動終端既保存可重用的SQN,同時也設(shè)置可以重用次數(shù)和已經(jīng)重用次數(shù)�。例如����,移動終端每確定一次SQN不符合要求���,判斷已經(jīng)重用次數(shù)是否小于可以重用次數(shù)�。如果否��,判定移動終端對網(wǎng)絡(luò)的鑒權(quán)失敗���,如果是,進(jìn)一步確定所接收的SQN是否屬于所保存的可重用的SQN�,如果是,判斷鑒權(quán)通過����,否則再判定移動終端對網(wǎng)絡(luò)的鑒權(quán)失敗。當(dāng)然可以理解還有別的結(jié)合方式����。
在本發(fā)明的第一實施例和第二實施例中,在判定SQN不屬于所保存的可重用的SQN之后可以進(jìn)一步發(fā)起同步SQN的處理��,在經(jīng)過同步SQN處理之后如果接收的SQN仍然不能通過判斷����,再判定鑒權(quán)失敗����。
或者�����,在所有實施例中����,在判斷移動終端對網(wǎng)絡(luò)的鑒權(quán)不通過之后可以進(jìn)一步發(fā)起同步SQN的步驟,從而重新進(jìn)行鑒權(quán)操作��?�;蛘?����,在判斷移動終端對網(wǎng)絡(luò)的鑒權(quán)不通過之前進(jìn)一步發(fā)起同步SQN的步驟���。
上述陳舊標(biāo)記可以是一個已使用次數(shù)��。在多次重用的情況下�,該標(biāo)記可以表明該鑒權(quán)元組使用了多少次。
本發(fā)明中的一致性驗證步驟也可以在判斷是否可以重用鑒權(quán)元組之后判定對網(wǎng)絡(luò)的鑒權(quán)通過之前進(jìn)行�,也就是在判斷鑒權(quán)元組是新的或者可以重用鑒權(quán)元組之后進(jìn)行一致性判斷,并在一致性驗證通過后再判定對網(wǎng)絡(luò)的鑒權(quán)通過��,在一致性驗證失敗后判定對網(wǎng)絡(luò)的鑒權(quán)失敗����。
當(dāng)然,對于上面例子來說���,如果可以重用鑒權(quán)元組特征信息是MAC�,則移動終端在判斷可以重用后�,可以不進(jìn)行一致性驗證而直接判斷對網(wǎng)絡(luò)的鑒權(quán)通過。
本發(fā)明中的移動終端可以是移動終端程序本身����,也可以是移動終端中包含的用戶識別卡�����,例如SIM卡或者UIM卡等等���。
因此可以理解�����,上述僅僅是對本發(fā)明精神的展示����,而不是限制。
權(quán)利要求
1.一種移動通信系統(tǒng)中利用鑒權(quán)元組進(jìn)行鑒權(quán)的方法�,該移動通信系統(tǒng)包括移動終端和網(wǎng)絡(luò)設(shè)備,該方法包括a.網(wǎng)絡(luò)設(shè)備保留一個或多個鑒權(quán)元組作為可以重用的鑒權(quán)元組����;b.網(wǎng)絡(luò)設(shè)備在使用完現(xiàn)有的鑒權(quán)元組并且沒有接收到新的鑒權(quán)元組時,向移動終端發(fā)送可以重用的鑒權(quán)元組中的參數(shù)��;c.移動終端在接收到網(wǎng)絡(luò)設(shè)備發(fā)送的鑒權(quán)元組的參數(shù)并判斷該鑒權(quán)元組不是新的鑒權(quán)元組之后���,判斷是否允許重用該鑒權(quán)元組��,并在確定允許重用該鑒權(quán)元組時判定對網(wǎng)絡(luò)的鑒權(quán)通過��。
2.根據(jù)權(quán)利要求1所述的方法���,其特征是,該方法進(jìn)一步包括移動終端確定可以重用的鑒權(quán)元組的特征信息的步驟;步驟c中判斷是否允許重用該鑒權(quán)元組包括判斷所接收的參數(shù)中的鑒權(quán)元組的特征信息是否屬于所確定的可以重用的鑒權(quán)元組的特征信息���。
3.根據(jù)權(quán)利要求2所述的方法�,其特征是��,所述鑒權(quán)元組是鑒權(quán)五元組�,包括隨機數(shù)RAND、期望響應(yīng)XRES�����、加密密鑰CK����、完整性密鑰IK和鑒權(quán)標(biāo)記AUTN,其中AUTN進(jìn)一步包括鑒權(quán)序列號SQN����、鑒權(quán)管理域AMF和消息鑒權(quán)編碼MAC;所述特征信息是SQN�����、MAC����、RAND和AUTN中的一項或任意組合。
4.根據(jù)權(quán)利要求2所述的方法�����,其特征是�,移動終端將最新的鑒權(quán)元組的特征信息確定為可以重用的鑒權(quán)元組的特征信息。
5.根據(jù)權(quán)利要求2或4所述的方法���,其特征是�����,該方法進(jìn)一步包括在移動終端中設(shè)置一個用來存儲可以重用的鑒權(quán)元組的特征信息的存儲單元的步驟��,所述移動終端將存儲單元中存儲的一個或多個特征信息確定為可以重用的鑒權(quán)元組的特征信息��。
6.根據(jù)權(quán)利要求2所述的方法��,其特征是��,所述鑒權(quán)元組至少包括SQN信息�����,在判斷移動終端對網(wǎng)絡(luò)的鑒權(quán)失敗之后進(jìn)一步包括向網(wǎng)絡(luò)設(shè)備發(fā)起同步鑒權(quán)元組的SQN信息的步驟�����。
7.根據(jù)權(quán)利要求1所述的方法��,其特征是���,該方法進(jìn)一步包括在移動終端中設(shè)置已經(jīng)重用次數(shù)和可以重用次數(shù)的步驟�,步驟c中判斷是否允許重用該鑒權(quán)元組包括判斷已經(jīng)重用次數(shù)是否小于可以重用次數(shù)�。
8.根據(jù)權(quán)利要求7所述的方法,其特征是�,該方法進(jìn)一步包括移動終端在判斷鑒權(quán)元組是新的鑒權(quán)元組后將已經(jīng)重用次數(shù)重新設(shè)置為初始值的步驟。
9.根據(jù)權(quán)利要求7所述的方法����,其特征是,該方法進(jìn)一步包括設(shè)置一個總計可以重用次數(shù)的步驟����,步驟c中判斷是否允許重用該鑒權(quán)元組進(jìn)一步包括判斷所有已經(jīng)重用次數(shù)的累加值是否小于總計可以重用次數(shù)。
10.根據(jù)權(quán)利要求1所述的方法�,其特征是,在步驟a中保留鑒權(quán)元組時對該鑒權(quán)元組設(shè)置一個表示該鑒權(quán)元組已經(jīng)使用過的陳舊標(biāo)記���。
11.根據(jù)權(quán)利要求10所述的方法�,其特征是�,所述陳舊標(biāo)記是表示該鑒權(quán)元組使用過的次數(shù)的已使用次數(shù)。
12.根據(jù)權(quán)利要求1所述的方法�,其特征是,所述網(wǎng)絡(luò)設(shè)備是拜訪位置寄存器/服務(wù)通用分組無線業(yè)務(wù)支持節(jié)點VLR/SGSN�,該方法進(jìn)一步包括VLR/SGSN向歸屬位置寄存器/鑒權(quán)中心HLR/AUC請求獲取鑒權(quán)元組的步驟。
13.根據(jù)權(quán)利要求1所述的方法�,其特征是,步驟b中進(jìn)一步包括網(wǎng)絡(luò)設(shè)備在接收到新的鑒權(quán)元組時����,刪除所保留的鑒權(quán)元組。
14.根據(jù)權(quán)利要求1所述的方法���,其特征是�����,步驟c中判斷該鑒權(quán)元組是否是新的鑒權(quán)元組之前該方法進(jìn)一步包括根據(jù)網(wǎng)絡(luò)設(shè)備發(fā)送的鑒權(quán)元組的參數(shù)進(jìn)行一致性驗證的步驟����,并在一致性驗證通過后執(zhí)行所述判斷該鑒權(quán)元組是否是新的鑒權(quán)元組的步驟����,在一致性驗證失敗后直接判定對網(wǎng)絡(luò)的鑒權(quán)失敗�。
15.根據(jù)權(quán)利要求1所述的方法��,其特征是�����,步驟c中判定對網(wǎng)絡(luò)的鑒權(quán)通過之前該方法進(jìn)一步包括根據(jù)網(wǎng)絡(luò)設(shè)備發(fā)送的鑒權(quán)元組的參數(shù)進(jìn)行一致性驗證的步驟����,并在一致性驗證通過后再判定對網(wǎng)絡(luò)的鑒權(quán)通過,在一致性驗證失敗后判定對網(wǎng)絡(luò)的鑒權(quán)失敗�����。
16.根據(jù)權(quán)利要求14或15所述的方法���,其特征是���,所述鑒權(quán)元組包括RAND、XRES����、CK���、IK和AUTN,其中AUTN包括SQN��、AMF和MAC�����,移動終端接收的參數(shù)包括AUTN和RAND���,所述一致性驗證包括移動終端根據(jù)RAND、SQN和自己保存的信息計算出一個MAC值���,并比較該MAC值和從接收的AUTN中解析出的MAC值是否一致����。
17.一種移動終端中利用鑒權(quán)元組進(jìn)行鑒權(quán)的方法���,包括a.移動終端在接收到來自網(wǎng)絡(luò)設(shè)備的鑒權(quán)元組的參數(shù)后����,根據(jù)該參數(shù)判斷鑒權(quán)元組是否是新的鑒權(quán)元組�����;如果是,判定移動終端對網(wǎng)絡(luò)的鑒權(quán)通過�;否則執(zhí)行步驟b;b.移動終端判斷是否允許重用該鑒權(quán)元組����,如果是,判定移動終端對網(wǎng)絡(luò)的鑒權(quán)通過�,否則判定移動終端對網(wǎng)絡(luò)的鑒權(quán)失敗。
18.根據(jù)權(quán)利要求17所述的方法��,其特征是��,該方法進(jìn)一步包括移動終端確定可以重用的鑒權(quán)元組的特征信息的步驟����;步驟b中判斷是否允許重用該鑒權(quán)元組包括判斷所接收的參數(shù)中的鑒權(quán)元組的特征信息是否屬于所確定的可以重用的鑒權(quán)元組的特征信息。
19.根據(jù)權(quán)利要求18所述的方法�,其特征是,所述鑒權(quán)元組是鑒權(quán)五元組���,包括隨機數(shù)RAND�、期望響應(yīng)XRES�、加密密鑰CK�����、完整性密鑰IK和鑒權(quán)標(biāo)記AUTN�����,其中AUTN進(jìn)一步包括鑒權(quán)序列號SQN、鑒權(quán)管理域AMF和消息鑒權(quán)編碼MAC�;所述特征信息是SQN、MAC��、RAND和AUTN中的一項或任意組合���。
20.根據(jù)權(quán)利要求18所述的方法����,其特征是���,移動終端將最新的鑒權(quán)元組的特征信息確定為可以重用的鑒權(quán)元組的特征信息�。
21.根據(jù)權(quán)利要求18或20所述的方法����,其特征是���,該方法進(jìn)一步包括在移動終端中設(shè)置一個用來存儲可以重用的鑒權(quán)元組的特征信息的存儲單元的步驟,所述移動終端將存儲單元中存儲的一個或多個特征信息確定為可以重用的鑒權(quán)元組的特征信息����。
22.根據(jù)權(quán)利要求17所述的方法,其特征是����,該方法進(jìn)一步包括在移動終端中設(shè)置已經(jīng)重用次數(shù)和可以重用次數(shù)的步驟,步驟c中判斷是否允許重用該鑒權(quán)元組包括判斷已經(jīng)重用次數(shù)是否小于可以重用次數(shù)����。
23.根據(jù)權(quán)利要求22所述的方法,其特征是����,該方法進(jìn)一步包括移動終端在判斷鑒權(quán)元組是新的鑒權(quán)元組后將已經(jīng)重用次數(shù)重新設(shè)置為初始值的步驟。
24.根據(jù)權(quán)利要求22所述的方法�����,其特征是��,該方法進(jìn)一步包括設(shè)置一個總計可以重用次數(shù)的步驟,步驟c中判斷是否允許重用該鑒權(quán)元組進(jìn)一步包括判斷所有已經(jīng)重用次數(shù)是否小于總計可以重用次數(shù)����。
25.根據(jù)權(quán)利要求17所述的方法,其特征是�,移動終端在判斷對網(wǎng)絡(luò)的鑒權(quán)失敗之后進(jìn)一步包括向網(wǎng)絡(luò)設(shè)備發(fā)起同步鑒權(quán)元組的鑒權(quán)序列號信息的步驟。
26.根據(jù)權(quán)利要求17所述的方法�����,其特征是�����,判斷該鑒權(quán)元組是否是新的鑒權(quán)元組之前該方法進(jìn)一步包括根據(jù)網(wǎng)絡(luò)設(shè)備發(fā)送的鑒權(quán)元組的參數(shù)進(jìn)行一致性驗證的步驟�,并在一致性驗證通過后執(zhí)行所述判斷該鑒權(quán)元組是否是新的鑒權(quán)元組的步驟�,在一致性驗證失敗后判定對網(wǎng)絡(luò)的鑒權(quán)失敗。
27.根據(jù)權(quán)利要求17所述的方法�,其特征是,在判定移動終端對網(wǎng)絡(luò)的鑒權(quán)通過之前該方法進(jìn)一步包括根據(jù)網(wǎng)絡(luò)設(shè)備發(fā)送的鑒權(quán)元組的參數(shù)進(jìn)行一致性驗證的步驟���,并在一致性驗證通過后再判定對網(wǎng)絡(luò)的鑒權(quán)通過�,在一致性驗證失敗后判定對網(wǎng)絡(luò)的鑒權(quán)失敗���。
28.根據(jù)權(quán)利要求26或27所述的方法�����,其特征是���,所述鑒權(quán)元組包括RAND����、XRES��、CK�����、IK和AUTN����,其中AUTN包括SQN、AMF和MAC�����,移動終端接收的參數(shù)包括AUTN和RAND�,所述一致性驗證包括移動終端根據(jù)RAND����、SQN和自己保存的信息計算出一個MAC值�����,并比較該MAC值和從接收的AUTN中解析出的MAC值是否一致���。
29.一種移動通信網(wǎng)絡(luò)中利用鑒權(quán)元組進(jìn)行鑒權(quán)的方法��,包括a.網(wǎng)絡(luò)設(shè)備保留一個或多個鑒權(quán)元組作為可以重用的鑒權(quán)元組����;b.網(wǎng)絡(luò)設(shè)備在使用完現(xiàn)有的鑒權(quán)元組后請求獲取新的鑒權(quán)元組��,在沒有接收到新的鑒權(quán)元組時����,向移動終端發(fā)送可以重用的鑒權(quán)元組中的參數(shù)�����。
30.根據(jù)權(quán)利要求29所述的方法�����,其特征是,在步驟a中保留鑒權(quán)元組時對該鑒權(quán)元組設(shè)置一個表示該鑒權(quán)元組已經(jīng)使用過的陳舊標(biāo)記�����。
31.根據(jù)權(quán)利要求30所述的方法��,其特征是����,所述陳舊標(biāo)記是表示該鑒權(quán)元組使用過的次數(shù)的已使用次數(shù)。
32.根據(jù)權(quán)利要求29所述的方法���,其特征是����,步驟b中進(jìn)一步包括網(wǎng)絡(luò)設(shè)備在接收到新的鑒權(quán)元組時��,刪除所保留的可以重用的鑒權(quán)元組��。
33.根據(jù)權(quán)利要求29所述的方法��,其特征是���,所述網(wǎng)絡(luò)設(shè)備是VLR/SGSN���,步驟b中VLR/SGSN向HLR/AUC請求獲取新的鑒權(quán)元組�����。
全文摘要
本發(fā)明公開了一種移動通信系統(tǒng)中利用鑒權(quán)元組進(jìn)行鑒權(quán)的方法����,該移動通信系統(tǒng)包括移動終端和網(wǎng)絡(luò)設(shè)備��,該方法包括網(wǎng)絡(luò)設(shè)備保留一個或多個鑒權(quán)元組作為可以重用的鑒權(quán)元組����;網(wǎng)絡(luò)設(shè)備在使用完現(xiàn)有的鑒權(quán)元組并且沒有接收到新的鑒權(quán)元組時,向移動終端發(fā)送可以重用的鑒權(quán)元組中的參數(shù)����;移動終端在接收到網(wǎng)絡(luò)設(shè)備發(fā)送的鑒權(quán)元組的參數(shù)并判斷該鑒權(quán)元組不是新的鑒權(quán)元組之后���,判斷是否允許重用該鑒權(quán)元組,并在確定允許重用該鑒權(quán)元組時判定對網(wǎng)絡(luò)的鑒權(quán)通過����。本發(fā)明同時還公開了一種移動通信網(wǎng)絡(luò)側(cè)利用鑒權(quán)元組進(jìn)行鑒權(quán)的方法和一種移動終端側(cè)利用鑒權(quán)元組進(jìn)行鑒權(quán)的方法�����。
文檔編號H04W12/06GK1856156SQ20051006473
公開日2006年11月1日 申請日期2005年4月18日 優(yōu)先權(quán)日2005年4月18日
發(fā)明者王正偉, 周春艷, 孫杰, 吳古政 申請人:華為技術(shù)有限公司