專利名稱:一種用戶身份驗(yàn)證的方法、系統(tǒng)及裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及移動(dòng)通信技術(shù)����,尤其涉及一種用戶身份驗(yàn)證的方法、系統(tǒng)及 裝置��。
背景技術(shù):
在移動(dòng)通信網(wǎng)絡(luò)中�,為了實(shí)現(xiàn)用戶的身份保密,通常不直接使用用戶的國(guó)際移動(dòng)用戶識(shí)別碼(IMSI��, International Mobile Subscriber Identity ),而 采用分配臨時(shí)身份標(biāo)識(shí)的方法標(biāo)識(shí)用戶身份����。例如在全球移動(dòng)通信系統(tǒng)(GSM)中���,為實(shí)現(xiàn)用戶的身份保密�,GSM 系統(tǒng)為用戶設(shè)備分配了臨時(shí)身份標(biāo)識(shí)號(hào)(TMSI, Temporary Mobile Subscriber Identity)�。具體實(shí)現(xiàn)時(shí)����,拜訪位置寄存器(VLR��, Visitor Location Register ) 對(duì)進(jìn)入其訪問(wèn)區(qū)的每個(gè)用戶����,都會(huì)分配一個(gè)TMSI, TMSI存儲(chǔ)于VLR的數(shù) 據(jù)庫(kù)中��,用戶設(shè)備只要使用TMSI和位置區(qū)域標(biāo)識(shí)即可標(biāo)識(shí)自己的身份�����。同樣�,在通用移動(dòng)通信系統(tǒng)(UMTS)中,為了實(shí)現(xiàn)用戶的身份保密��, UMTS為電路域的用戶分配了 TMSI,為分組域的用戶分配了分組域臨時(shí)身 份標(biāo)識(shí)號(hào)(P-TMSI)���,分別與位置區(qū)域標(biāo)識(shí)和路由區(qū)域標(biāo)識(shí)一起使用來(lái)標(biāo) 識(shí)用戶設(shè)備的身份�。此外�,在無(wú)線演進(jìn)網(wǎng)絡(luò)中,為了實(shí)現(xiàn)對(duì)于現(xiàn)有網(wǎng)絡(luò)的后 向兼容性�����,演進(jìn)中的網(wǎng)絡(luò)結(jié)構(gòu)也同樣采用了分配P-TMSI的方法來(lái)實(shí)現(xiàn)用戶 的身份保密??梢?jiàn),在移動(dòng)通信網(wǎng)絡(luò)中�,為了避免使用IMSI,提供用戶使用已經(jīng)分 配的TMSI或P-TMSI來(lái)標(biāo)識(shí)自己的身份����。同時(shí)為了防止DoS等的攻擊,使 用TMSI或P-TMSI的簽名來(lái)保證TMSI或P-TMSI的真實(shí)性��。下面以UMTS分組域的情況為例�����,對(duì)利用P-TMSI的簽名來(lái)保證TMSI真實(shí)性的流程進(jìn)行詳細(xì)描述�。如圖1所示,圖1為現(xiàn)有技術(shù)中進(jìn)行身份標(biāo)識(shí)及驗(yàn)證的流程圖��。該流程包括如下步驟步驟IOI,用戶設(shè)備向當(dāng)前希望交互的新服務(wù)GPRS支持節(jié)點(diǎn)(SGSN, Service GPRS Supporting node)發(fā)送"i青求���,該i青求中包含P-TMSI, P-TMSI 簽名(Signature),老路由區(qū)標(biāo)識(shí)(RAI, Routing Area Identity)。步驟102����,新SGSN根據(jù)P-TMSI和老RAI可找到原先分配P-TMSI的 老SGSN�,并向老SGSN發(fā)出用戶設(shè)備的身份請(qǐng)求�����,該身份請(qǐng)求中包括 P-TMSI, P-TMSI簽名���。步驟103�����,老SGSN根據(jù)P-TMSI及P-TMSI簽名確認(rèn)用戶身份后��,將 存有的用戶設(shè)備的原始信息�,如IMSI,認(rèn)證向量組等�,發(fā)給新SGSN。步驟104�����,新SGSN收到老SGSN發(fā)送的信息���,取出其中一個(gè)認(rèn)證向量 組�,并連同一對(duì)隨機(jī)數(shù)發(fā)送給用戶設(shè)備。步驟105,用戶設(shè)備收到隨機(jī)數(shù)和認(rèn)證向量后�����,使用自己的密鑰計(jì)算認(rèn) 證向量���,如果正確���,則計(jì)算出認(rèn)證響應(yīng)發(fā)回給新SGSN。至此完成了用戶設(shè)備與當(dāng)前希望交互的新SGSN之間的認(rèn)證過(guò)程����。從上 述流程可見(jiàn),如果沒(méi)有合法的P-TMSI簽名��,則惡意用戶設(shè)備可以附帶上從 網(wǎng)絡(luò)上竊聽(tīng)到的或者按照生成規(guī)則偽造的P-TMSI以及老RAI發(fā)送偽造的請(qǐng) 求�����,導(dǎo)致核心網(wǎng)絡(luò)資源一直被占用�,直到步驟105,惡意用戶設(shè)備無(wú)法計(jì)算 出合法的認(rèn)證響應(yīng)為止?���,F(xiàn)有技術(shù)中,P-TMSI簽名在一次明文傳送后����,會(huì) 被重分配,并且加密傳輸給用戶設(shè)備����,因此惡意用戶設(shè)備在無(wú)法得到合法 P-TMSI簽名的情況下,核心網(wǎng)絡(luò)可以在步驟102后識(shí)別出偽造的請(qǐng)求��。但實(shí)際應(yīng)用中����,在用戶去附著和周期性路由更新時(shí),P-TMSI和P-TMSI 簽名被明文傳送后���,并不進(jìn)行重分配�����。此時(shí)���,惡意用戶在竊聽(tīng)用戶設(shè)備的請(qǐng) 求后,就得到了合法的P-TMSI和P-TMSI簽名,并據(jù)此可發(fā)起拒絕服務(wù) (DoS, Denial of Service )攻擊,該DoS攻擊一直到步驟105才會(huì)被識(shí)別出 來(lái)�����。如果圖1所示流程中的認(rèn)證過(guò)程可選�,則該攻擊會(huì)在更后面的本地認(rèn)證 過(guò)程中才被識(shí)別出來(lái),導(dǎo)致核心網(wǎng)絡(luò)資源被長(zhǎng)時(shí)間占用����,加大DoS攻擊的危害性。 發(fā)明內(nèi)容有鑒于此����,本發(fā)明實(shí)施例中一方面提供一種用戶身份驗(yàn)證的方法;另一 方面提供一種用戶身份驗(yàn)證的系統(tǒng)及裝置�����,以增強(qiáng)通信安全性�����。 本發(fā)明實(shí)施例中所提供的用戶身份驗(yàn)證的方法�,包括A、 用戶設(shè)備在請(qǐng)求中�����,利用包含單向變換信元的用戶信息標(biāo)識(shí)用戶設(shè)備 身份,將所述請(qǐng)求發(fā)送出去��,其中�,所述單向變換信元是由用戶設(shè)備與前次交 互的核心網(wǎng)網(wǎng)元的共享信息變換得到的����;B、 前次交互的核心網(wǎng)網(wǎng)元根據(jù)所述請(qǐng)求中的所述單向變換信元����,對(duì)用 戶設(shè)備的身份進(jìn)行合法性驗(yàn)證。本發(fā)明實(shí)施例中所提供的用戶身份驗(yàn)證的系統(tǒng)�����,包括用戶設(shè)備和老核 心網(wǎng)網(wǎng)元����,其中,用戶設(shè)備�,用于發(fā)起請(qǐng)求時(shí),在請(qǐng)求中利用包含單向變換信元的用戶信息 標(biāo)識(shí)用戶設(shè)備身份��,將所述請(qǐng)求發(fā)送出去,其中���,所述單向變換信元是由用戶 設(shè)備與前次交互的核心網(wǎng)網(wǎng)元的共享信息變換得到的�����;老核心網(wǎng)網(wǎng)元�����,用于根據(jù)自身與用戶設(shè)備的共享信息�����,及請(qǐng)求中的所述 單向變換信元對(duì)用戶設(shè)備的身份進(jìn)行合法性驗(yàn)證��。本發(fā)明實(shí)施例中所提供的用戶設(shè)備���,包括第一共享信息單向變換模塊和請(qǐng)求發(fā)送模塊,其中���,第 一共享信息單向變換模塊����,用于根據(jù)所在用戶設(shè)備與核心網(wǎng)網(wǎng)元的共享信息,得到所述共享信息的單向變換信元���,將所述共享信息的單向變換信元提供給請(qǐng)求發(fā)送模塊���;請(qǐng)求發(fā)送模塊,用于發(fā)起請(qǐng)求時(shí)����,在請(qǐng)求中利用包含第一共享信息單向 變換模塊提供的所述共享信息的單向變換信元的用戶信息標(biāo)識(shí)用戶設(shè)備身 份����,將所述請(qǐng)求發(fā)送出去。本發(fā)明實(shí)施例中所提供的核心網(wǎng)網(wǎng)元��,包括第二共享信息單向變換模塊和驗(yàn)證模塊����,其中,第二共享信息單向變換模塊���,用于根據(jù)所在核心網(wǎng)網(wǎng)元與用戶設(shè)備的共享 信息����,得到所述共享信息的單向變換信元,將所述共享信息的單向變換信元提供給驗(yàn)證模塊����;驗(yàn)證模塊,用于根據(jù)第二共享信息單向變換模塊提供的所述共享信息的 單向變換信元��,及請(qǐng)求中的所述共享信息的單向變換信元對(duì)用戶設(shè)備的身份 進(jìn)行合法性驗(yàn)證�����。上述方案中���,用戶設(shè)備在請(qǐng)求中�,利用包含用戶設(shè)備與前次交互的核心 網(wǎng)網(wǎng)元的共享信息的單向變換信元的用戶信息標(biāo)識(shí)用戶設(shè)備身份��,將所述請(qǐng) 求發(fā)送出去���;核心網(wǎng)網(wǎng)元根據(jù)所述請(qǐng)求中的所述共享信息的單向變換信元�����, 對(duì)用戶設(shè)備的身份進(jìn)行合法性驗(yàn)證��?��?梢?jiàn)���,本發(fā)明實(shí)施例利用單向變換信元 的單向變換性,使惡意用戶無(wú)法得到下一個(gè)發(fā)送的合法值�,從而防止了惡意 用戶對(duì)核心網(wǎng)絡(luò)進(jìn)行的DoS攻擊等,增強(qiáng)了通信的安全性���。
圖1為現(xiàn)有技術(shù)中進(jìn)行身份標(biāo)識(shí)及驗(yàn)證的流程圖����;圖2為本發(fā)明實(shí)施例中用戶身份驗(yàn)證的方法的示例性流程圖�;圖3為現(xiàn)有技術(shù)中單向哈希鏈的示意圖�����;圖4為本發(fā)明實(shí)施例中用戶身份驗(yàn)證的系統(tǒng)的示例性結(jié)構(gòu)圖����;圖5為圖4所示系統(tǒng)中用戶設(shè)備的一種結(jié)構(gòu)示意圖;圖6為圖4所示系統(tǒng)中核心網(wǎng)網(wǎng)元的一種結(jié)構(gòu)示意圖��;圖7為本發(fā)明應(yīng)用實(shí)施例一中用戶身份驗(yàn)證的流程圖�����;圖8為本發(fā)明應(yīng)用實(shí)施例二中用戶身份驗(yàn)證的流程圖;圖9為本發(fā)明應(yīng)用實(shí)施例三中用戶身份驗(yàn)證的流程圖����;圖IO為本發(fā)明應(yīng)用實(shí)施例四中用戶身份驗(yàn)證的流程圖;圖11為本發(fā)明應(yīng)用實(shí)施例五中用戶身份驗(yàn)證的流程圖�。
具體實(shí)施方式
參見(jiàn)圖2 ,圖2為本發(fā)明實(shí)施例中用戶身份驗(yàn)證的方法的示例性流程圖��。 如圖2所示����,該流程包括如下步驟步驟201,用戶設(shè)備在請(qǐng)求中����,利用包含用戶設(shè)備與前次交互的核心網(wǎng) 網(wǎng)元的共享信息的單向變換信元的用戶信息標(biāo)識(shí)用戶設(shè)備身份,將上述請(qǐng)求 發(fā)送出去��。本步驟中���,用戶設(shè)備可以向當(dāng)前希望交互的新核心網(wǎng)網(wǎng)元發(fā)送請(qǐng)求�����,也 可以向前次交互的核心網(wǎng)網(wǎng)元發(fā)送請(qǐng)求���。當(dāng)用戶設(shè)備向當(dāng)前希望交互的新核 心網(wǎng)網(wǎng)元發(fā)送請(qǐng)求時(shí)�,步驟201中的前次交互的核心網(wǎng)網(wǎng)元為老核心網(wǎng)網(wǎng) 元�����;當(dāng)用戶設(shè)備向前次交互的核心網(wǎng)網(wǎng)元�,即老核心網(wǎng)網(wǎng)元發(fā)送請(qǐng)求時(shí),步 驟201中的前次交互的核心網(wǎng)網(wǎng)元為該老核心網(wǎng)網(wǎng)元�。其中,用戶設(shè)備與前次交互的核心網(wǎng)網(wǎng)元的共享信息的單向變換信元����, 即為由用戶設(shè)備與前次交互的核心網(wǎng)網(wǎng)元的共享信息變換得到的單向變換 信元�����。用戶信息中除了包含該單向變換信元以外�����,還可以包含用戶設(shè)備的臨 時(shí)身份標(biāo)識(shí)、區(qū)域標(biāo)識(shí)等���,且根據(jù)應(yīng)用場(chǎng)景��,臨時(shí)身份標(biāo)識(shí)和區(qū)域標(biāo)識(shí)可以 為TMSI和位置區(qū)域標(biāo)識(shí)��;也可以為P-TMSI和路由區(qū)域標(biāo)識(shí)���。且區(qū)域標(biāo) 識(shí)為前次交互的核心網(wǎng)網(wǎng)元的區(qū)域標(biāo)識(shí)。步驟202,前次交互的核心網(wǎng)網(wǎng)元根據(jù)上述請(qǐng)求中的共享信息的單向變 換信元�,對(duì)用戶設(shè)備的身份進(jìn)行合法性驗(yàn)證。當(dāng)用戶設(shè)備向當(dāng)前希望交互的新核心網(wǎng)網(wǎng)元發(fā)送請(qǐng)求時(shí)�,本步驟之前進(jìn) 一步包括新核心網(wǎng)網(wǎng)元根據(jù)請(qǐng)求中的用戶信息,如臨時(shí)身份標(biāo)識(shí)和區(qū)域標(biāo) 識(shí)����,找到老核心網(wǎng)網(wǎng)元,將包含所述用戶設(shè)備與老核心網(wǎng)網(wǎng)元的共享信息的 單向變換信元的用戶認(rèn)證信息發(fā)送給老核心網(wǎng)網(wǎng)元���,如將臨時(shí)身份標(biāo)識(shí)和用 戶設(shè)備與老核心網(wǎng)網(wǎng)元的共享信息的單向變換信元發(fā)送給老核心網(wǎng)網(wǎng)元���。本 步驟中,老核心網(wǎng)網(wǎng)元根據(jù)自身與用戶設(shè)備的共享信息��,及接收的所述共孚 信息的單向變換信元對(duì)用戶設(shè)備的身份進(jìn)行合法性驗(yàn)證。進(jìn)一步地���,老核心網(wǎng)網(wǎng)元對(duì)用戶設(shè)備的身份驗(yàn)證通過(guò)時(shí)���,可將包括用戶設(shè)備國(guó)際移動(dòng)用戶識(shí)別碼IMSI、用戶設(shè)備與老核心網(wǎng)網(wǎng)元的共享信息在內(nèi)的原始信息發(fā)送給新核心網(wǎng)網(wǎng)元�����。用戶設(shè)備向前次交互的核心網(wǎng)網(wǎng)元發(fā)送請(qǐng)求時(shí)����,本步驟具體為該前次 交互的核心網(wǎng)網(wǎng)元根據(jù)自身與用戶設(shè)備的共享信息,及請(qǐng)求中的所述共享信 息的單向變換信元對(duì)用戶設(shè)備的身份進(jìn)行合法性驗(yàn)證����。其中,用戶設(shè)備與核心網(wǎng)網(wǎng)元的共享信息可以有不限定的多種��,比如 共享信息可以是各移動(dòng)通信網(wǎng)絡(luò)中分配的臨時(shí)身份標(biāo)識(shí)簽名����,并且臨時(shí)身份 標(biāo)識(shí)簽名通過(guò)加密發(fā)送給用戶設(shè)備�。或者,共享信息也可以是用戶設(shè)備與核 心網(wǎng)網(wǎng)元共享的加密密鑰��,或者完整性密鑰等�����。其中�,對(duì)共享信息的單向變換也可以有不限定的多種,比如單向哈希鏈變換����,加密變換等。如圖3所示��,圖3為現(xiàn)有技術(shù)中單向哈希鏈的示意圖����。圖3中,單向哈希鏈S0����、 Sl、 S2........ St-l�、 St,是按圖中所示從St逐個(gè)反向利用單向哈希函數(shù)而生成的��,但使用時(shí),從SO開始正向使用���。由于單向哈希函數(shù)的特性�����,從S0不能推出Sl��、 S2.......St��,同理���,從S1不能推出S2、 S3.......St等��,因此惡意用戶不能猜測(cè)下一個(gè)發(fā)送的合法值�����,只有擁有St的用戶才 能生成下一個(gè)發(fā)送的合法項(xiàng)��。進(jìn)行加密變換時(shí)�����,可以使用密鑰(key)對(duì)共享信息和加密序列號(hào)進(jìn)行 加密���。其中�,力��。密序列號(hào)可以是同步序列標(biāo)識(shí)(SYN ����, Syncronize s叫uence number),如[共享信息ISYN]key,�, []key表示對(duì)括號(hào)內(nèi)的值使用key進(jìn)行加密, 其中SYN為當(dāng)前所用的加密序列號(hào)�,每次加密所用的序列號(hào)都是不同的, 并且用戶設(shè)備每次都將序列號(hào)發(fā)送給核心網(wǎng)網(wǎng)元�����,以便核心網(wǎng)能夠認(rèn)證加密 值是否正確�����。此外�,加密序列號(hào)還可以是其它的值。另外����,加密變換現(xiàn)有技 術(shù)中也可以有其它的變換方法�,此處不再贅述���。上述方法流程可應(yīng)用于GSM網(wǎng)絡(luò)中�����;也可應(yīng)用于UMTS網(wǎng)絡(luò)中�,包括 UMTS網(wǎng)絡(luò)的電路域以及分組域中����;還可應(yīng)用于無(wú)線演變網(wǎng)絡(luò)中;此外�����,還可應(yīng)用于所有采用類似原理的網(wǎng)絡(luò)中�。以上對(duì)本發(fā)明實(shí)施例中用戶身份驗(yàn)證的方法進(jìn)行了詳細(xì)描述,下面再對(duì) 本發(fā)明實(shí)施例中用戶身份驗(yàn)證的系統(tǒng)進(jìn)行詳細(xì)描述�。參見(jiàn)圖4,圖4為本發(fā)明實(shí)施例中用戶身份驗(yàn)證的系統(tǒng)的示例性結(jié)構(gòu)圖。 如圖4中實(shí)線部分所示�,該系統(tǒng)包括用戶設(shè)備和老核心網(wǎng)網(wǎng)元。其中,用戶設(shè)備�����,用于發(fā)起請(qǐng)求時(shí)�����,在請(qǐng)求中利用包含用戶設(shè)備與老核 心網(wǎng)網(wǎng)元的共享信息的單向變換信元的用戶信息標(biāo)識(shí)用戶設(shè)備身份��,將所述 請(qǐng)求發(fā)送出去�。其中��,用戶設(shè)備與老核心網(wǎng)網(wǎng)元的共享信息的單向變換信元����, 即為由用戶設(shè)備與前次交互的核心網(wǎng)網(wǎng)元的共享信息變換得到的單向變換 信元。該變換可以為單向哈希鏈變換�,也可以為加密變換等。其中�����,用戶信息中除了包含用戶設(shè)備與前次交互的核心網(wǎng)網(wǎng)元的共享信 息的單向變換信元以外��,還可以包含用戶設(shè)備的臨時(shí)身份標(biāo)識(shí)����、區(qū)域標(biāo)識(shí)等�����, 且根據(jù)應(yīng)用場(chǎng)景��,臨時(shí)身份標(biāo)識(shí)和區(qū)域標(biāo)識(shí)可以為TMSI和位置區(qū)域標(biāo)識(shí)���; 也可以為P-TMSI和路由區(qū)域標(biāo)識(shí)。且區(qū)域《標(biāo)識(shí)為前次交互的核心網(wǎng)網(wǎng)元 的區(qū)i或標(biāo)識(shí)��。老核心網(wǎng)網(wǎng)元����,用于根據(jù)自身與用戶設(shè)備的共享信息,及請(qǐng)求中的所述 共享信息的單向變換信元對(duì)用戶設(shè)備的身份進(jìn)行合法性驗(yàn)證�。此外,如圖4中虛線部分所示��,該系統(tǒng)還可以進(jìn)一步包括新核心網(wǎng)網(wǎng) 元�����,用于根據(jù)來(lái)自用戶設(shè)備的請(qǐng)求中的用戶信息,如臨時(shí)身份標(biāo)識(shí)和區(qū)域標(biāo) 識(shí)���,找到老核心網(wǎng)網(wǎng)元���,將包含所述用戶設(shè)備與老核心網(wǎng)網(wǎng)元的共享信息的 單向變換信元的用戶認(rèn)證信息發(fā)送給老核心網(wǎng)網(wǎng)元,如將臨時(shí)身份標(biāo)識(shí)和用 戶設(shè)備與老核心網(wǎng)網(wǎng)元的共享信息的單向變換信元發(fā)送給老核心網(wǎng)網(wǎng)元���。其中,該系統(tǒng)可以為GSM網(wǎng)絡(luò)中的系統(tǒng)�;也可以為UMTS網(wǎng)絡(luò)電 路域中的系統(tǒng),或者分組域中的系統(tǒng)�����;還可以為無(wú)線演進(jìn)網(wǎng)絡(luò)中的系統(tǒng)以 及具有類似原理的網(wǎng)絡(luò)中的系統(tǒng)等����。具體實(shí)現(xiàn)時(shí),用戶設(shè)備可以有多種實(shí)現(xiàn)形式�����,下面僅列舉一種進(jìn)行詳細(xì)說(shuō)明����。如圖5所示��,圖5為用戶設(shè)備的一種結(jié)構(gòu)示意圖���。包括第一共享信息單向變換模塊和請(qǐng)求發(fā)送模塊。其中�����,第一共享信息單向變換模塊���,用于根據(jù)所在用戶設(shè)備與核心網(wǎng)網(wǎng) 元的共享信息��,得到所述共享信息的單向變換信元����,將所述共享信息的單向 變換信元提供給請(qǐng)求發(fā)送模塊���。請(qǐng)求發(fā)送模塊��,用于發(fā)起請(qǐng)求時(shí)��,在請(qǐng)求中利用包含第一共享信息單向 變換模塊提供的所述共享信息的單向變換信元的用戶信息標(biāo)識(shí)用戶設(shè)備身 份���,將所述請(qǐng)求發(fā)送出去����。其中����,用戶信息中除了包含用戶設(shè)備與前次交互的核心網(wǎng)網(wǎng)元的共享信 息的單向變換信元以外,還可以包含用戶設(shè)備的臨時(shí)身份標(biāo)識(shí)�、區(qū)域標(biāo)識(shí)等,且根據(jù)應(yīng)用場(chǎng)景����,臨時(shí)身份標(biāo)識(shí)和區(qū)域標(biāo)識(shí)可以為TMSI和位置區(qū)域標(biāo)識(shí)�����; 也可以為P-TMSI和路由區(qū)i或標(biāo)識(shí)����。且區(qū)&戈標(biāo)識(shí)為前次交互的核心網(wǎng)網(wǎng)元 的區(qū)域標(biāo)識(shí)。具體實(shí)現(xiàn)時(shí)����,核心網(wǎng)網(wǎng)元也可以有多種實(shí)現(xiàn)形式����,下面同樣僅列舉一種 進(jìn)行詳細(xì)說(shuō)明�����。如圖6所示��,圖6為核心網(wǎng)網(wǎng)元的一種結(jié)構(gòu)示意圖�。包括 第二共享信息單向變換模塊和驗(yàn)證模塊。其中����,第二共享信息單向變換模塊,用于根據(jù)所在核心網(wǎng)網(wǎng)元與用戶設(shè) 備的共享信息��,得到所述共享信息的單向變換信元��,將所迷共享信息的單向 變換信元提供給驗(yàn)證模塊��。驗(yàn)證模塊���,用于根據(jù)第二共享信息單向變換模塊提供的所述共享信息的 單向變換信元�����,及請(qǐng)求中的所述共享信息的單向變換信元對(duì)用戶設(shè)備的身份 進(jìn)行合法性驗(yàn)證�����。為使本發(fā)明實(shí)施例的目的��、技術(shù)方案和優(yōu)點(diǎn)更加清楚明白�,下面結(jié)合具 體應(yīng)用實(shí)施例和附圖,對(duì)本發(fā)明實(shí)施例中的方法及系統(tǒng)進(jìn)一步詳細(xì)說(shuō)明��。為 描述簡(jiǎn)便�,以下應(yīng)用實(shí)施例中均以用戶信息包括用戶設(shè)備的臨時(shí)身份標(biāo)識(shí)、 區(qū)城標(biāo)識(shí)和用戶設(shè)備與前次交互的核心網(wǎng)網(wǎng)元的共享佶息的單向變換信元 的情況為例�,并且均以用戶認(rèn)證信息包括用戶設(shè)備的臨時(shí)身份標(biāo)識(shí)和用戶 設(shè)備與前次交互的核心網(wǎng)網(wǎng)元的共享信息的單向變換信元的情況為例。應(yīng)用實(shí)施例一本應(yīng)用實(shí)施例中���,以UMTS分組域?yàn)槔M(jìn)行說(shuō)明�����,且用戶設(shè)備發(fā)起服 務(wù)請(qǐng)求的是UMTS分組域的服務(wù)GPRS支持節(jié)點(diǎn)(SGSN),即核心網(wǎng)網(wǎng)元 為SGSN。假設(shè)該實(shí)施例中的系統(tǒng)包括用戶設(shè)備(UE)�、新SGSN和老 SGSN,并假設(shè)UE與老SGSN交互后,向一個(gè)新SGSN發(fā)起請(qǐng)求���。參見(jiàn)圖7,圖7為本發(fā)明應(yīng)用實(shí)施例一中用戶身份驗(yàn)證的流程圖�����。如圖 7所示�����,該流程包括如下步驟步驟701,用戶設(shè)備向當(dāng)前希望交互的新SGSN發(fā)送請(qǐng)求����,該請(qǐng)求中包 含P-TMSI, A,����,老RAI。其中A��,是用戶設(shè)備與老SGSN共享的信息A單向 變換后的信元�。其中,A可以為臨時(shí)身份標(biāo)識(shí)簽名�,或加密密鑰,或完整密鑰���。其中�, 臨時(shí)身份標(biāo)識(shí)簽名可以為TMSI,也可以為P-TMSI等。步驟702����,新SGSN根據(jù)P-TMSI和老RAI能找到原先共享有信息A的 老SGSN,并向該老SGSN發(fā)出用戶設(shè)備的身份請(qǐng)求,該身份請(qǐng)求中包括 P-TMSI和A����,。步驟703,老SGSN因?yàn)榇嬗泄蚕淼男畔�����,因此能驗(yàn)證A��,的合法性����, 從而可以認(rèn)證該用戶設(shè)備是否是真實(shí)的。若驗(yàn)證通過(guò)����,則老的SGSN可將用 戶設(shè)備原先的信息���,如IMSI�,認(rèn)證向量組以及用戶設(shè)備與老SGSN共享的 信息A等,發(fā)給新SGSN��?�?梢?jiàn)����,以上過(guò)程通過(guò)步驟701至步驟703三個(gè)步驟,便可完成對(duì)用戶設(shè) 備的iU正過(guò)程�。上述流程中,如果新SGSN不重新分配P-TMSI,也不更改用戶設(shè)備與 老SGSN共享的信息A,則下次用戶設(shè)備再向該新SGSN發(fā)送請(qǐng)求時(shí)�����,將使 用共享信息A再次變換后的信元A��,���,來(lái)認(rèn)證自己�,依次類推�����。如果用戶設(shè)備 使用A"來(lái)認(rèn)證自己后,又再次向另一新SGSN發(fā)送請(qǐng)求����,則此時(shí),用盧設(shè)備同樣會(huì)再使用進(jìn)一步單向變換后的A����,"來(lái)認(rèn)證自己。因?yàn)檫@些變換都是單 向變換�,所以惡意用戶既不能從A,推出A�����,也不能從A����,推出A"等,因此這種機(jī)制不但能保證對(duì)用戶設(shè)備的認(rèn)證��,同時(shí)也防止了惡意終端對(duì)核心網(wǎng)絡(luò)進(jìn)行的DoS攻擊�����。 應(yīng)用實(shí)施例二本應(yīng)用實(shí)施例中�����,仍以UMTS分組域?yàn)槔M(jìn)行說(shuō)明�,且UMTS分組域 中的核心網(wǎng)網(wǎng)元為SGSN。假設(shè)該實(shí)施例中的系統(tǒng)包括UE和老SGSN�,并 假設(shè)單向變換采用的是單向哈希鏈,UE和老SGSN共享的信息為P-TMSI 簽名�,即圖3中的St為P-TMSI簽名。參見(jiàn)圖8�,圖8為本發(fā)明應(yīng)用實(shí)施例二中用戶身份驗(yàn)證的流程圖。如圖 8所示���,該流程包括如下步驟步驟801,用戶設(shè)備向當(dāng)前希望交互的老SGSN發(fā)送請(qǐng)求��,該請(qǐng)求中包 含P-TMSI����, [P-TMSI簽名]m��,m和老RAI���。其中數(shù)值m表明[P-TMSI簽名]m 是P-TMSI簽名構(gòu)成的單向哈希鏈的第m + 1項(xiàng)���。步驟802,由于老SGSN有P-TMSI簽名,因此能驗(yàn)證[P-TMSI簽名]m 的合法性�����,從而可以認(rèn)證該用戶設(shè)備是否是真實(shí)的��。之后��,如果P-TMSI不重新分配�����,下次用戶設(shè)備使用的是[P-TMSI簽 名]m+p即P-TMSI簽名構(gòu)成的單向哈希鏈的第m+2項(xiàng)�����,根據(jù)單向哈希函數(shù) 鏈的特性����,只有知道P-TMSI簽名的用戶才能得到[P-TMSI簽名]m+,,因此這 種機(jī)制能保證對(duì)用戶設(shè)備的認(rèn)證����,同時(shí)因?yàn)閺腫P-TMSI簽名]m推不出 [P-TMSI簽名]m+1,所以惡意終端對(duì)核心網(wǎng)絡(luò)進(jìn)行的DoS攻擊可以在步驟802 中就被識(shí)破。應(yīng)用實(shí)施例三本應(yīng)用實(shí)施例中����,以無(wú)線演進(jìn)網(wǎng)絡(luò)為例進(jìn)行說(shuō)明�,且用戶設(shè)備發(fā)起服務(wù) 請(qǐng)求的是無(wú)線演進(jìn)網(wǎng)絡(luò)的移動(dòng)性管理實(shí)體(MME)�����,假設(shè)該實(shí)施例中的系 統(tǒng)包括UE ���、老MME和新MME ,并假設(shè)UE和老SGSN共享的信息為P-TMSI 簽名���,對(duì)P-TMSI簽名的單向變換采用單向哈希鏈��,即圖3中的St為P-TMSI 簽名�����。其中MME是無(wú)線演進(jìn)網(wǎng)絡(luò)的一個(gè)邏輯功能實(shí)體���,負(fù)責(zé)控制面的移動(dòng)性管理,包括用戶上下文和移動(dòng)狀態(tài)管理�����,分配用戶臨時(shí)身份標(biāo)識(shí)、安全功能等�����。本實(shí)施例中�����,假設(shè)UE與老MME交互后���,向一個(gè)新MME發(fā)起請(qǐng)求�。 參見(jiàn)圖9,圖9為本發(fā)明應(yīng)用實(shí)施例三中用戶身份驗(yàn)證的流程圖���。如圖9所示��,該流程包括如下步驟步驟901,用戶設(shè)備向當(dāng)前希望交互的新MME發(fā)送請(qǐng)求��,該請(qǐng)求中包含P-TMSI��, [P-TMSI簽名]o,O����,老RAI�。其中數(shù)值0表明[P-TMSI Signature]o是P-TMSI簽名生成的單向哈希鏈的第一項(xiàng)�����。步驟902�,新MME根據(jù)P-TMSI和老RAI能找到原先分配P-TMSI和P-TMSI簽名的老MME�,并向老MME發(fā)出用戶設(shè)備的身份請(qǐng)求,該身份請(qǐng)求中包括P-TMSI和[P-TMSI簽名]0�����,0����。步驟903,老MME因?yàn)榇嬗蠵-TMSI簽名���,因此能驗(yàn)證[P-TMSI簽名]0 的合法性�,從而可以認(rèn)證該用戶設(shè)備是否是真實(shí)的�����。若驗(yàn)證通過(guò)�����,則老MME 可將用戶設(shè)備原先的信息,如IMSI,認(rèn)證向量組��,P-TMSI簽名等���,發(fā)給新 MME���。上述流程中,如果新MME不重新分配P-TMSI���,也不更改用戶設(shè)備與 老MME共享的信息P-TMSI簽名����,則下次用戶設(shè)備再向該新MME發(fā)送請(qǐng) 求時(shí)����,將使用共享信息再次變換后的信元[P-TMSI簽名h,l來(lái)認(rèn)證自己,依 次類推�����。如果用戶設(shè)備使用[P-TMSI簽名]i��,l來(lái)認(rèn)證自己后����,又再次向另一 新MME發(fā)送請(qǐng)求�,則此時(shí)�,用戶設(shè)備同樣會(huì)再使用進(jìn)一步單向變換后的 [P-TMSI簽名]2,2來(lái)認(rèn)證自己����。應(yīng)用實(shí)施例二和應(yīng)用實(shí)施例三中的系統(tǒng)中的用戶設(shè)備在具體實(shí)現(xiàn)時(shí),可 與圖5所示用戶設(shè)備的組成�����、連接關(guān)系及功能的描述一致�����。另外上述兩個(gè)應(yīng) 用實(shí)施例中的用戶設(shè)備中的第 一共享信息單向變換模塊可具體為第 一單向 哈希鏈變換模塊��,用于對(duì)用戶設(shè)備與核心網(wǎng)網(wǎng)元的共享信息進(jìn)行單向哈希鏈 變換���,得到該共享信息的單向變換信元,將所得到的單向變換信元提供給請(qǐng) 求發(fā)送模塊���。老核心網(wǎng)網(wǎng)元在具體實(shí)現(xiàn)時(shí)�,可與圖6所示老核心網(wǎng)網(wǎng)元的組成、連接 關(guān)系及功能的描述一致����。另外上述兩個(gè)應(yīng)用實(shí)施例中的老核心網(wǎng)網(wǎng)元中的第二共享信息單向變換模塊可具體為第二單向哈希鏈變換模塊,用于對(duì)核心 網(wǎng)網(wǎng)元與用戶設(shè)備的共享信息進(jìn)行單向哈希鏈變換��,得到該共享信息的單向 變換信元�,將所得到的單向變換信元提供給驗(yàn)證模塊。 應(yīng)用實(shí)施例四本應(yīng)用實(shí)施例中���,仍以無(wú)線演進(jìn)網(wǎng)絡(luò)為例進(jìn)行說(shuō)明����,且核心網(wǎng)網(wǎng)元為 MME��,假設(shè)該實(shí)施例中的系統(tǒng)包括UE���、老MME�、新MME和歸屬地用戶 服務(wù)器(HSS),并假設(shè)UE和老MME共享的信息為P-TMSI簽名���,對(duì)P-TMSI 簽名的單向變換采用對(duì)P-TMSI簽名及當(dāng)前加密序列號(hào)SYN加密來(lái)完成����, 其加密密鑰為UE與HSS之間共享的密鑰A,或密鑰A的變換值。其中�, 每次加密時(shí),SYN的取值均不同�����,并且UE每次都將SYN的取值發(fā)送給 MME����。其中A的變換值可以是A經(jīng)過(guò)變換之后的值。參見(jiàn)圖10,圖IO為本發(fā)明應(yīng)用實(shí)施例四中用戶身份驗(yàn)證的流程圖��。如 圖IO所示��,該流程包括如下步驟步驟IOOI����,用戶設(shè)備向當(dāng)前希望交互的新MME發(fā)送請(qǐng)求,該請(qǐng)求中包 含P-TMSI�����, [P-TMSI簽名ISYN]a�����,l,老RAI��。其中數(shù)值1表明序列號(hào)為1, [P-TMSI簽名ISYN]a是P-TMSI簽名使用A進(jìn)行加密變換的第 一項(xiàng)�����。步驟1002���,新MME根據(jù)P-TMSI和老RAI能找到原先分配P-TMSI和 P-TMSI簽名的老MME,并向老MME發(fā)出用戶設(shè)備的身份請(qǐng)求����,該身份請(qǐng) 求中包括P-TMSI和[P-TMSI簽名ISYN]a��。步驟1003,老MME不能解開[P-TMSI簽名ISYN]a�����,因?yàn)锳是UE與 HSS之間的共享密鑰���,所以老MME發(fā)[P-TMSI簽名ISYN]a給HSS�。 HSS因 為存有密鑰A,因此能解密并驗(yàn)證[P-TMSI簽名ISYN]a的合法性����,從而可以 認(rèn)證該用戶設(shè)備是否是真實(shí)的���。步驟1004, HSS發(fā)信息給老MME,告知該用戶設(shè)備是真實(shí)的。則驗(yàn)證通過(guò)���,老的MME可將用戶原先的信息�����,如IMSI�����,認(rèn)證向量組以及用戶設(shè) 備與老MME共享的信息P-TMSI簽名等���,發(fā)給新MME。 應(yīng)用實(shí)施例五本應(yīng)用實(shí)施例中��,仍以無(wú)線演進(jìn)網(wǎng)絡(luò)為例進(jìn)4亍-沈明��,且核心網(wǎng)網(wǎng)元為 MME, 4艮設(shè)該實(shí)施例中的系統(tǒng)包括UE,老MME���、新MME,并假設(shè)UE 和老MME共享的信息為P-TMSI簽名,對(duì)P-TMSI簽名的單向變換采用對(duì) P-TMSI簽名及當(dāng)前加密序列號(hào)Xi加密來(lái)完成�。其加密密鑰為上一次與老 MME交互的加密密鑰或完整性密鑰A。其中�,每次加密時(shí),Xi的取值均不 同��,并且UE每次都將Xi的取值發(fā)送給MME���。參見(jiàn)圖11�����,圖11為本發(fā)明應(yīng)用實(shí)施例五中用戶身份驗(yàn)證的流程圖���。如 圖ll所示,該流程包括如下步驟步驟IIOI,用戶設(shè)備向當(dāng)前希望交互的新MME發(fā)送請(qǐng)求�,該請(qǐng)求中包 含P-TMSI, [P-TMSI簽名IXi]A,l,老RAI。其中數(shù)值1表明序列號(hào)為1, [P-TMSI簽名|Xi]A是P-TMSI簽名使用A進(jìn)行加密變換的第 一項(xiàng)�����。步驟1102,新MME根據(jù)P-TMSI和老RAI能找到原先分配P-TMSI和 P-TMSI簽名的老MME�,并向老MME發(fā)出用戶設(shè)備的身^f分請(qǐng)求,該身份請(qǐng) 求中包括P-TMSI和[P-TMSI簽名|Xi]A��。步驟1103,老MME可以解開[P-TMSI簽名IXi]A,并驗(yàn)證用戶設(shè)備是否 是真實(shí)的����,因?yàn)锳是UE上一次與老MME交互的加密密鑰或完整性密鑰。 驗(yàn)證通過(guò)后�����,老的MME可將用戶原先的信息���,如IMSI,認(rèn)證向量組以及 用戶設(shè)備與老MME共享的信息P-TMSI簽名等����,發(fā)給新MME�����。應(yīng)用實(shí)施例四和應(yīng)用實(shí)施例五中的系統(tǒng)中的用戶設(shè)備在具體實(shí)現(xiàn)時(shí)���,可 與圖5所示用戶設(shè)備的組成��、連接關(guān)系及功能的描述一致�。另外上述兩個(gè)應(yīng) 用實(shí)施例中的用戶設(shè)備中的第 一共享信息單向變換模塊可具體為第一單向 加密變換模塊�,用于對(duì)用戶設(shè)備與核心網(wǎng)網(wǎng)元的共享信息進(jìn)行單向加密變 換��,得到該共享信息的單向變換信元�����,將所得到的單向變換信元提供給請(qǐng)求發(fā)送模塊。老核心網(wǎng)網(wǎng)元在具體實(shí)現(xiàn)時(shí)����,可與圖6所示老核心網(wǎng)網(wǎng)元的組成、連接 關(guān)系及功能的描述一致���。另外上述兩個(gè)應(yīng)用實(shí)施例中的老核心網(wǎng)網(wǎng)元中的第 二共享信息單向變換模塊可具體為第二單向加密變換模塊����,用于對(duì)核心網(wǎng) 網(wǎng)元與用戶設(shè)備的共享信息進(jìn)行單向加密變換���,得到該共享信息的單向變換 信元���,將所得到的單向變換信元提供給驗(yàn)證模塊。上述應(yīng)用實(shí)施例二至應(yīng)用實(shí)施例五中��,為描述簡(jiǎn)便���,均以UE和老SGSN 共享的信息為P-TMSI簽名�����,即圖3中的St為P-TMSI簽名的情況為例進(jìn)行 的描述�,對(duì)于UE和老SGSN共享的信息為加密密鑰,或完整密鑰����,即圖3 中的St為加密密鑰,或完整密鑰的情況�����,上述四個(gè)應(yīng)用實(shí)施例同樣適用��,只 需在上述四個(gè)應(yīng)用實(shí)施例中將P-TMSI簽名相應(yīng)地改為加密密鑰�����,或完整密 鑰即可���。從上述各實(shí)施例中可見(jiàn)�,通過(guò)利用單向變換信元的單向變換性����,使惡意 用戶無(wú)法獲取共享信息單向變換信元的變換規(guī)律��,因此不能從竊取的當(dāng)前單 向變換信元推知下一個(gè)單向變換信元及共享信息本身�,即無(wú)法得到下一個(gè)發(fā) 送的合法值�����,從而防止了惡意用戶對(duì)核心網(wǎng)絡(luò)進(jìn)行的DoS攻擊等����,增強(qiáng)了 通信的安全性���。以上所述的具體實(shí)施例��,對(duì)本發(fā)明的目的��、技術(shù)方案和有益效果進(jìn)行了 進(jìn)一步詳細(xì)說(shuō)明�����,所應(yīng)理解的是��,以上所述僅為本發(fā)明的較佳實(shí)施例而已�, 并非用于限定本發(fā)明的保護(hù)范圍,凡在本發(fā)明的精神和原則之內(nèi)�����,所作的任 何修改���、等同替換����、改進(jìn)等���,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)���。
權(quán)利要求
1. 一種用戶身份驗(yàn)證的方法,其特征在于�����,該方法包括A���、用戶設(shè)備在請(qǐng)求中���,利用包含單向變換信元的用戶信息標(biāo)識(shí)用戶設(shè)備身份���,將所述請(qǐng)求發(fā)送出去,其中�����,所述單向變換信元是由用戶設(shè)備與前次交互的核心網(wǎng)網(wǎng)元的共享信息變換得到的����;B、前次交互的核心網(wǎng)網(wǎng)元根據(jù)所述請(qǐng)求中的所述單向變換信元��,對(duì)用戶設(shè)備的身份進(jìn)行合法性驗(yàn)證���。
2、 如權(quán)利要求1所述的方法����,其特征在于,步驟A中所述請(qǐng)求為用戶 設(shè)備向當(dāng)前希望交互的新核心網(wǎng)網(wǎng)元發(fā)送的請(qǐng)求����;所述前次交互的核心網(wǎng)網(wǎng)元 為老核心網(wǎng)網(wǎng)元;所述步驟B之前進(jìn)一步包括新核心網(wǎng)網(wǎng)元根據(jù)所述請(qǐng)求中的所述用戶信 息找到老核心網(wǎng)網(wǎng)元,將包含所述用戶設(shè)備與老核心網(wǎng)網(wǎng)元的共享信息的單向 變換信元的用戶認(rèn)證信息發(fā)送給老核心網(wǎng)網(wǎng)元��。
3��、 如權(quán)利要求1所述的方法��,其特征在于�����,步驟A中所述請(qǐng)求為用戶 設(shè)備向前次交互的核心網(wǎng)網(wǎng)元發(fā)送的請(qǐng)求����;所述步驟B具體為該前次交互的核心網(wǎng)網(wǎng)元根據(jù)自身與用戶設(shè)備的共享 信息,及請(qǐng)求中的所述共享信息的單向變換信元對(duì)用戶設(shè)備的身份進(jìn)行合法性 驗(yàn)證�。
4、 如權(quán)利要求1至3中任一項(xiàng)所述的方法�����,其特征在于�,所述核心網(wǎng)網(wǎng)元 為服務(wù)GPRS支持節(jié)點(diǎn)SGSN;或者移動(dòng)管理實(shí)體MME。
5��、 如權(quán)利要求1至3中任一項(xiàng)所述的方法����,其特征在于�����,所述用戶信息還 包括臨時(shí)身份標(biāo)識(shí)號(hào)TMSI和位置區(qū)域標(biāo)識(shí)��;或者還包括分組域臨時(shí)身份標(biāo)識(shí)號(hào)P-TMSI和路由區(qū)域標(biāo)識(shí)�����。
6����、 如權(quán)利要求1至3中任一項(xiàng)所述的方法���,其特征在于,所述用戶設(shè)備與 前次交互的核心網(wǎng)網(wǎng)元的共享信息為臨時(shí)身份標(biāo)識(shí)簽名�,或加密密鑰,或完 整密鑰���。
7����、 如權(quán)利要求1至3中任一項(xiàng)所述的方法,其特征在于��,所述變換為單 向哈希鏈變換�;或者為加密變換。
8�、 如權(quán)利要求7所述的方法,其特征在于���,若所述變換為加密變換����,則所 述加密變換具體為利用密鑰Key對(duì)所述共享信元和加密序列號(hào)進(jìn)行加密���。
9���、 如權(quán)利要求8所述的方法,其特征在于��,所述Key為用戶設(shè)備與前次 交互的核心網(wǎng)網(wǎng)元交互的加密密鑰或完整性密鑰�����;或者為核心網(wǎng)網(wǎng)元從歸屬地用戶服務(wù)器HSS獲取的用戶設(shè)備與HSS共享 的密鑰或密鑰的變換值�����。
10、 一種用戶身份驗(yàn)證的系統(tǒng)��,其特征在于����,該系統(tǒng)包括用戶設(shè)備和老 核心網(wǎng)網(wǎng)元,其中�,用戶設(shè)備,用于發(fā)起請(qǐng)求時(shí)�,在請(qǐng)求中利用包含單向變換信元的用戶信息 標(biāo)識(shí)用戶設(shè)備身份,將所述請(qǐng)求發(fā)送出去��,其中�����,所述單向變換信元是由用戶 設(shè)備與前次交互的核心網(wǎng)網(wǎng)元的共享信息變換得到的�;老核心網(wǎng)網(wǎng)元,用于根據(jù)自身與用戶設(shè)備的共享信息�����,及所述請(qǐng)求中的所 述單向變換信元對(duì)用戶設(shè)備的身份進(jìn)行合法性驗(yàn)證��。
11�����、 如權(quán)利要求IO所述的系統(tǒng)����,其特征在于,該系統(tǒng)進(jìn)一步包括新核心 網(wǎng)網(wǎng)元��,用于根據(jù)來(lái)自用戶設(shè)備的請(qǐng)求中的所述用戶信息找到老核心網(wǎng)網(wǎng)元����, 將包含所述用戶設(shè)備與老核心網(wǎng)網(wǎng)元的共享信息的單向變換信元的用戶認(rèn)證信 息發(fā)送給老核心網(wǎng)網(wǎng)元。
12��、 如權(quán)利要求10或11所述的系統(tǒng)���,其特征在于�,所述系統(tǒng)為GSM網(wǎng) 絡(luò)中的系統(tǒng)�����;或者為UMTS網(wǎng)絡(luò)電路域中的系統(tǒng)�����;或者為UMTS網(wǎng)絡(luò)分組 域中的系統(tǒng);或者為無(wú)線演進(jìn)網(wǎng)絡(luò)中的系統(tǒng)����。
13、 一種用戶設(shè)備���,其特征在于����,該用戶設(shè)備包括第一共享信息單向變 換模塊和請(qǐng)求發(fā)送模塊����,其中,第 一共享信息單向變換模塊��,用于根據(jù)所在用盧設(shè)備與核心網(wǎng)網(wǎng)元的共享信息�,得到所述共享信息的單向變換信元,將所述共享信息的單向變換信元提 供給請(qǐng)求發(fā)送模塊����;請(qǐng)求發(fā)送模塊,用于發(fā)起請(qǐng)求時(shí),在請(qǐng)求中利用包含第一共享信息單向變 換模塊提供的所述共享信息的單向變換信元的用戶信息標(biāo)識(shí)用戶設(shè)備身份���,將 所述請(qǐng)求發(fā)送出去。
14��、 如權(quán)利要求13所述的用戶設(shè)備�����,其特征在于�����,所述第一共享信息單向 變換模塊為第一單向哈希鏈變換模塊���,用于對(duì)用戶設(shè)備與核心網(wǎng)網(wǎng)元的共享 信息進(jìn)行單向哈希鏈變換��,得到該共享信息的單向變換信元��,將所得到的單向 變換信元提供給請(qǐng)求發(fā)送模塊��;或者為第一單向加密變換模塊���,用于對(duì)核心網(wǎng)網(wǎng)元與用戶設(shè)備的共享信 息進(jìn)行單向加密變換,得到該共享信息的單向變換信元�,將所得到的單向變換信元提供給請(qǐng)求發(fā)送模塊��。
15�����、 一種核心網(wǎng)網(wǎng)元�����,其特征在于�����,該核心網(wǎng)網(wǎng)元包括第二共享信息單 向變換模塊和驗(yàn)證模塊�,其中�,第二共享信息單向變換模塊,用于根據(jù)所在核心網(wǎng)網(wǎng)元與用戶設(shè)備的共享 信息��,得到所述共享信息的單向變換信元��,將所述共享信息的單向變換信元提 供給驗(yàn)證模塊�����;驗(yàn)證模塊,用于根據(jù)第二共享信息單向變換模塊提供的所述共享信息的單 向變換信元��,及請(qǐng)求中的所述共享信息的單向變換信元對(duì)用戶設(shè)備的身份進(jìn)行 合法性驗(yàn)證���。
16、 如權(quán)利要求15所述的核心網(wǎng)網(wǎng)元����,其特征在于,所述第二共享信息單 向變換模塊為第二單向哈希鏈變換模塊����,用于對(duì)用戶設(shè)備與核心網(wǎng)網(wǎng)元的共 享信息進(jìn)行單向哈希鏈變換,得到該共享信息的單向變換信元�����,將所得到的單 向變換信元提供給驗(yàn)證模塊�����;或者為第二單向加密變換模塊�����,用于對(duì)核心網(wǎng)網(wǎng)元與用戶設(shè)備的共享信 息進(jìn)行單向加密變換,得到該共享信息的單向變換信元���,將所得到的單向變換信元提供給驗(yàn)證模塊��。
17�����、 如權(quán)利要求15或16所述的核心網(wǎng)網(wǎng)元��,其特征在于��,該核心網(wǎng)網(wǎng)元 為SGSN,或?yàn)镸ME��。
全文摘要
本發(fā)明公開了一種用戶身份驗(yàn)證的方法����,包括A����、用戶設(shè)備在請(qǐng)求中,利用包含單向變換信元的用戶信息標(biāo)識(shí)用戶設(shè)備身份�����,將所述請(qǐng)求發(fā)送出去,其中�,所述單向變換信元是由用戶設(shè)備與前次交互的核心網(wǎng)網(wǎng)元的共享信息變換得到的;B�����、前次交互的核心網(wǎng)網(wǎng)元根據(jù)所述請(qǐng)求中的所述單向變換信元���,對(duì)用戶設(shè)備的身份進(jìn)行合法性驗(yàn)證。此外�����,本發(fā)明還公開了一種用戶身份驗(yàn)證的系統(tǒng)及裝置�。利用單向變換特性,使惡意用戶無(wú)法獲取共享信息單向變換信元的變換規(guī)律����,因此不能從竊取的當(dāng)前單向變換信元推知下一個(gè)發(fā)送的合法值,從而防止了惡意用戶對(duì)核心網(wǎng)絡(luò)進(jìn)行的DoS攻擊等��,增強(qiáng)了通信的安全性����。
文檔編號(hào)H04Q7/38GK101267663SQ200710088210
公開日2008年9月17日 申請(qǐng)日期2007年3月15日 優(yōu)先權(quán)日2007年3月15日
發(fā)明者王曉蕓, 璟 陳 申請(qǐng)人:華為技術(shù)有限公司