專利名稱:一種對用戶進行鑒權(quán)的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及移動通信網(wǎng)絡(luò)系統(tǒng)中的鑒權(quán)技術(shù),特別涉及一種對用戶進行鑒權(quán)的方法����。
背景技術(shù):
鑒權(quán)是現(xiàn)有移動通信網(wǎng)絡(luò)系統(tǒng)中應用非常廣泛的一種技術(shù)。利用該技術(shù)����,系統(tǒng)一般可以判斷分組交換(Packet Switched,PS)域內(nèi)的用戶是否為合法用戶���,防止非法用戶利用克隆卡盜打電話����。另外�,系統(tǒng)還可以利用該技術(shù)來判斷PS域內(nèi)的用戶是否能夠?qū)崿F(xiàn)系統(tǒng)提供的某些業(yè)務功能。
目前����,在現(xiàn)有的移動通信網(wǎng)絡(luò)系統(tǒng)中,運營商通過控制在操作維護臺配置的鑒權(quán)開關(guān)��,決定是否對PS域內(nèi)的用戶進行鑒權(quán)��。在這種對用戶進行鑒權(quán)的方式中��,如果打開鑒權(quán)開關(guān)����,系統(tǒng)將對PS域內(nèi)的所有用戶進行鑒權(quán);如果關(guān)閉鑒權(quán)開關(guān)�,系統(tǒng)將對PS域內(nèi)的所有用戶都不進行鑒權(quán)。
但是����,隨著移動通信技術(shù)的迅速發(fā)展,運營商并不一定每次都需要系統(tǒng)對PS域內(nèi)的所有用戶進行鑒權(quán),在某些情況下運行商可能僅需要系統(tǒng)對PS域內(nèi)的部分用戶進行鑒權(quán)�。
例如,有些WCDMA網(wǎng)絡(luò)既可作為商業(yè)網(wǎng)使用��,同時又可作為試驗網(wǎng)使用�。在作為商業(yè)網(wǎng)使用時并不需要系統(tǒng)對網(wǎng)絡(luò)進行鑒權(quán),在作為試驗網(wǎng)使用時由于需要對其鑒權(quán)功能進行測試����,所以又需要系統(tǒng)對網(wǎng)絡(luò)進行鑒權(quán)。當系統(tǒng)對網(wǎng)絡(luò)進行鑒權(quán)時���,就需要打開鑒權(quán)開關(guān)�����,這樣勢必影響商業(yè)網(wǎng)絡(luò)的運行����。另外�,運營商在具體運營中,有時可能僅需要對PS域內(nèi)的高端用戶進行鑒權(quán)�,而并不需要對PS域內(nèi)的普通用戶進行鑒權(quán)。
在上述情況下�,由于運營商是通過控制鑒權(quán)開關(guān)來決定是否對用戶進行鑒權(quán)的��,在打開鑒權(quán)開關(guān)以后�����,系統(tǒng)將對PS域內(nèi)的所有用戶進行鑒權(quán)��;在關(guān)閉鑒權(quán)開關(guān)以后,系統(tǒng)將對PS域內(nèi)的所有用戶都不進行鑒權(quán)�。所以,現(xiàn)有技術(shù)中系統(tǒng)對用戶進行鑒權(quán)的方式極不靈活�,利用這種鑒權(quán)方式運營商不能根據(jù)自己的需要,實現(xiàn)對特定用戶進行鑒權(quán)的功能�����。
發(fā)明內(nèi)容
有鑒于此��,本發(fā)明的主要目的在于�����,提供一種對用戶進行鑒權(quán)的方法�����,以實現(xiàn)對特定用戶進行鑒權(quán)的功能。
為達到上述目的��,本發(fā)明提供了一種對用戶進行鑒權(quán)的方法���,關(guān)鍵在于��,至少包括以下步驟A�、在服務通用分組無線業(yè)務支持節(jié)點上配置需鑒權(quán)的用戶號碼���;B����、服務通用分組無線業(yè)務支持節(jié)點收到用戶發(fā)送的業(yè)務激活請求后����,判斷用戶號碼是否包含在所述的需鑒權(quán)的用戶號碼內(nèi)如果是,則對用戶進行鑒權(quán)�����;否則����,結(jié)束本流程���。
上述方案中,步驟A中所述的在服務通用分組無線業(yè)務支持節(jié)點上配置需鑒權(quán)的用戶號碼包括在服務通用分組無線業(yè)務支持節(jié)點上����,根據(jù)用戶的國際移動用戶標識碼或移動用戶綜合業(yè)務數(shù)字網(wǎng)號碼,配置需鑒權(quán)的用戶號碼�。
上述方案中,步驟B中所述的對用戶進行鑒權(quán)包括服務通用分組無線業(yè)務支持節(jié)點將隨機數(shù)參數(shù)發(fā)送給用戶移動臺���,用戶移動臺根據(jù)收到的隨機數(shù)參數(shù)計算得到符號響應,并將計算得到的符號響應返回給服務通用分組無線業(yè)務支持節(jié)點�����,服務通用分組無線業(yè)務支持節(jié)點判斷用戶移動臺返回的符號響應與自身保存的符號響應是否一致如果一致�,則鑒權(quán)成功;否則�����,鑒權(quán)失敗�。
上述方案中,所述的服務通用分組無線業(yè)務支持節(jié)點將隨機數(shù)參數(shù)發(fā)送給用戶移動臺包括服務通用分組無線業(yè)務支持節(jié)點判斷自身是否至少保存有一組鑒權(quán)集如果是���,則選擇一組鑒權(quán)集�����,并將該組鑒權(quán)集中所包含的隨機數(shù)參數(shù)攜帶在鑒權(quán)加密請求消息中發(fā)送給用戶移動臺����;否則,向歸屬位置寄存器請求鑒權(quán)集�����,在收到歸屬位置寄存器返回的鑒權(quán)集以后�����,再選擇一組鑒權(quán)集�����,并將該組鑒權(quán)集中所包含的隨機數(shù)參數(shù)攜帶在鑒權(quán)加密請求消息中發(fā)送給用戶移動臺���。
上述方案中���,所述的服務通用分組無線業(yè)務支持節(jié)點將隨機數(shù)參數(shù)攜帶在鑒權(quán)加密請求消息中發(fā)送給用戶移動臺以后進一步包括服務通用分組無線業(yè)務支持節(jié)點保存該組鑒權(quán)集中的符號響應���。
因此,本發(fā)明提供的這種對用戶進行鑒權(quán)的方法���,通過在服務通用分組無線業(yè)務支持節(jié)點(SGSN)上配置需鑒權(quán)的用戶號碼���,使SGSN在收到用戶執(zhí)行業(yè)務時發(fā)送的激活請求以后,能夠根據(jù)該用戶號碼和配置的需鑒權(quán)的用戶號碼���,判斷是否需要對該用戶進行鑒權(quán)�����,并對需要進行鑒權(quán)的用戶進行鑒權(quán)。利用本發(fā)明提供的這種對用戶進行鑒權(quán)的方法��,系統(tǒng)對用戶進行鑒權(quán)的方式非常靈活�,運營商可以根據(jù)自己的需要,實現(xiàn)對特定用戶進行鑒權(quán)的功能�。
圖1為本發(fā)明對用戶進行鑒權(quán)總體技術(shù)方案的方法流程圖;圖2為依照本發(fā)明實施例對用戶進行鑒權(quán)的方法流程圖��;圖3為GPRS通信系統(tǒng)中的加密協(xié)商流程圖�����;圖4為WCDMA通信系統(tǒng)中的加密協(xié)商流程圖。
具體實施例方式
為使本發(fā)明的目的����、技術(shù)方案和優(yōu)點更加清楚明白,以下舉實施例����,并參照附圖,對本發(fā)明進一步詳細說明�。
本發(fā)明的核心內(nèi)容是通過在SGSN上配置需鑒權(quán)的用戶號碼,使SGSN在收到用戶執(zhí)行業(yè)務時發(fā)送的激活請求以后�����,能夠根據(jù)該用戶號碼和配置的需鑒權(quán)的用戶號碼���,判斷是否需要對該用戶進行鑒權(quán)���,并對需要進行鑒權(quán)的用戶進行鑒權(quán)。
如圖1所示����,圖1為本發(fā)明對用戶進行鑒權(quán)總體技術(shù)方案的方法流程圖�,該方法至少包括以下步驟
步驟101在SGSN上配置需鑒權(quán)的用戶號碼����;步驟102SGSN收到用戶發(fā)送的業(yè)務激活請求后,判斷用戶號碼是否包含在所述的需鑒權(quán)的用戶號碼內(nèi)如果是��,則對用戶進行鑒權(quán)�����;否則����,結(jié)束本流程。
在SGSN上配置需鑒權(quán)的用戶號碼時���,運營商可以根據(jù)用戶的國際移動用戶標識碼(IMSI)進行配置�����,也可以根據(jù)用戶的移動用戶綜合業(yè)務數(shù)字網(wǎng)號碼(MSISDN)進行配置。
IMSI由移動國家碼(MCC)�、移動網(wǎng)絡(luò)碼(MNC)和移動臺識別碼(MSIN)組成的,其中MCC用于區(qū)分不同的國家,MNC用于區(qū)分國家內(nèi)的不同移動運營商��,MSIN用于區(qū)分不同的移動臺(MS)�。所以,IMSI可用于區(qū)分不同的用戶�。而MSISDN與IMSI是一一對應的,每一個SIM卡既有一個IMSI��,又有一個MSISDN���。所以�,MSISDN也可用于區(qū)分不同的用戶��。
在具體配置需鑒權(quán)的用戶號碼時����,運營商可以根據(jù)自己的需要,在SGSN上將某一號段內(nèi)的所有號碼配置為需鑒權(quán)的用戶號碼�����,或者在SGSN上將某些個別的用戶號碼配置為需鑒權(quán)的用戶號碼��。在一般情況下�����,由于屬性相同的用戶號碼都是集中在一個號碼段內(nèi)的,所以運營商通常是在SGSN上將某一號段內(nèi)的所有號碼配置為需鑒權(quán)的用戶號碼的����。
在配置了需鑒權(quán)的用戶號碼以后,運營商就可以根據(jù)自己的需要�,實現(xiàn)對特定用戶進行鑒權(quán)的功能。如圖2所示���,圖2為依照本發(fā)明實施例對用戶進行鑒權(quán)的方法流程圖����,在本實施例中運營商是在SGSN上將某一號段內(nèi)的所有號碼配置為需鑒權(quán)的用戶號碼的�,該方法包括以下步驟步驟201用戶MS向SGSN發(fā)送業(yè)務激活請求(Activate PDP ContextRequest)。
步驟202SGSN收到用戶MS發(fā)送的Activate PDP Context Request后�����,根據(jù)該用戶號碼和配置的需鑒權(quán)的用戶號碼段���,判斷該用戶號碼是否包含在配置的需鑒權(quán)的用戶號碼段內(nèi)如果是�����,則執(zhí)行步驟203�;否則�����,結(jié)束本流程�。
步驟203SGSN判斷自身是否至少保存有一組鑒權(quán)集如果是,則執(zhí)行步驟205���;否則�,執(zhí)行步驟204����;SGSN中一般保存有3至5組鑒權(quán)集,每次鑒權(quán)都要使用一組鑒權(quán)集�,鑒權(quán)集是不能重復使用的,使用完以后SGSN將刪除該組鑒權(quán)集��;當SGSN中保存的鑒權(quán)集用完以后��,SGSN將向歸屬位置寄存器(HLR)請求新的鑒權(quán)集���;在GPRS通信系統(tǒng)中����,每組鑒權(quán)集中都包含有隨機數(shù)參數(shù)、加密密鑰序號�����、加密算法和符號響應(SRES)��,使用隨機數(shù)參數(shù)����、加密密鑰序號和SRES三元組實現(xiàn)鑒權(quán);在WCDMA通信系統(tǒng)中����,每組鑒權(quán)集中都包含有隨機數(shù)參數(shù)、鑒權(quán)序號���、加密密鑰序號�����、完整性密鑰和SRES��,使用隨機數(shù)參數(shù)�����、鑒權(quán)序號����、加密密鑰序號���、完整性密鑰和SRES五元組實現(xiàn)鑒權(quán)���。
步驟204SGSN向HLR請求鑒權(quán)集,HLR收到SGSN的請求以后��,向SGSN返回3至5組鑒權(quán)集�。
步驟205SGSN任意選擇一組鑒權(quán)集,將該組鑒權(quán)集中所包含的隨機數(shù)參數(shù)攜帶在鑒權(quán)加密請求消息中發(fā)送給用戶MS���,并保存該組鑒權(quán)集中的SRES��;在GPRS通信系統(tǒng)中��,SGSN向用戶MS發(fā)送的鑒權(quán)加密請求中包含至少有隨機數(shù)參數(shù)����、加密密鑰序號和加密算法;在WCDMA通信系統(tǒng)中���,SGSN向用戶MS發(fā)送的鑒權(quán)加密請求中包含至少有隨機數(shù)參數(shù)��、鑒權(quán)序號和加密密鑰序號�。
步驟206用戶MS收到鑒權(quán)加密請求后��,根據(jù)收到的隨機數(shù)參數(shù)計算得到SRES�����,并將計算得到的SRES返回給SGSN���。
步驟207SGSN判斷用戶MS返回的SRES與自身保存的SRES是否一致如果一致���,則鑒權(quán)成功;否則��,鑒權(quán)失敗����。
在SGSN對用戶的鑒權(quán)流程完成以后,SGSN與用戶MS之間或者無線網(wǎng)絡(luò)控制器(RNC)與用戶MS之間還要進行加密協(xié)商。
其中��,在GPRS通信系統(tǒng)中�����,加密協(xié)商是在SGSN與用戶MS之間進行的���。
協(xié)議規(guī)定可以使用的加密算法包括GEA1��、GEA2、GEA3��、GEA4��、GEA5����、GEA6、GEA7�、GEA8。在啟動加密協(xié)商時���,SGSN與用戶MS直接協(xié)商加密算法�����,以保證SGSN與用戶MS使用相同的加密算法和密鑰����。具體的加密協(xié)商流程如圖3所示,圖3為GPRS通信系統(tǒng)中的加密協(xié)商流程圖�,該方法包括以下步驟步驟301SGSN發(fā)起加密協(xié)商,向用戶MS發(fā)送鑒權(quán)和加密請求(Authentication and Ciphering Request)消息�����,該消息中攜帶隨機數(shù)參數(shù)�����、加密密鑰序號和加密算法���;步驟302用戶MS根據(jù)收到的隨機數(shù)參數(shù)計算出鑒權(quán)響應參數(shù)和加密密鑰��,并通過鑒權(quán)和加密響應(Authentication and Ciphering Response)消息將鑒權(quán)響應參數(shù)和加密密鑰返回給SGSN���。
上述加密協(xié)商流程完成以后,SGSN與用戶MS使用的加密算法和加密密鑰將保持一致����。在一般情況下�����,SGSN向用戶MS下發(fā)的鑒權(quán)和加密請求消息只攜帶有指示用戶MS使用的加密算法���。只有當用戶MS是第一次加密或者當用戶MS與SGSN使用的加密密鑰可能不一致時,SGSN向用戶MS下發(fā)的鑒權(quán)和加密請求消息才攜帶有鑒權(quán)隨機數(shù)參數(shù)��,以便于用戶MS能夠根據(jù)此參數(shù)計算出將要使用的加密密鑰�,保證SGSN與用戶MS使用相同的加密密鑰。
在WCDMA通信系統(tǒng)中���,加密協(xié)商是在SGSN與RNC之間進行的。目前的協(xié)議規(guī)定���,在WCDMA通信系統(tǒng)中進行加密協(xié)商時可以使用的加密算法只有UEA1一種�。在啟動加密協(xié)商時���,需要SGSN指令RNC與用戶MS協(xié)商加密算法���,以保證RNC與用戶MS使用相同的加密算法。具體的加密協(xié)商流程如圖4所示,圖4為WCDMA通信系統(tǒng)中的加密協(xié)商流程圖�����,該方法包括以下步驟步驟401SGSN發(fā)起加密協(xié)商����,向用戶MS發(fā)送Authentication and CipheringRequest消息,該消息中攜帶隨機數(shù)參數(shù)�、鑒權(quán)序號和密鑰組序號。
步驟402用戶MS根據(jù)收到的隨機數(shù)參數(shù)計算出鑒權(quán)響應參數(shù)和加密密鑰����,并通過Authentication and Ciphering Response消息將鑒權(quán)響應參數(shù)和加密密鑰返回給SGSN。
步驟403SGSN向RNC發(fā)送安全模式命令(Secury Mode Command)消息�,該消息中攜帶有允許系統(tǒng)使用的加密算法和加密密鑰,并指令RNC發(fā)起與用戶MS之間的加密協(xié)商��。
步驟404RNC下發(fā)安全模式命令(RRC Security Mode Command)消息給用戶MS��,消息攜帶允許使用的加密算法��。
步驟405用戶MS向RNC發(fā)送安全模式完成響應(RRC Security ModeComplete)消息給RNC�����,確認接受RNC指派的加密算法。
步驟406RNC收到用戶MS確認后�,以安全模式完成(Security ModeComplete)消息應答SGSN,攜帶最后協(xié)商成功的加密算法���。
在本發(fā)明所舉的這個實施例中����,在配置需鑒權(quán)的用戶號碼時�,運營商是在SGSN上將某一號段內(nèi)的所有號碼配置為需鑒權(quán)的用戶號碼的。在實際應用中�����,運營商也可以在SGSN上將某些個別的用戶號碼配置為需鑒權(quán)的用戶號碼�����,這樣在SGSN判斷是否需要對用戶號碼進行鑒權(quán)時�����,就應判斷配置的需鑒權(quán)的用戶號碼中有無該用戶號碼如果有�,則需要對該用戶進行鑒權(quán)�����;否則,結(jié)束本流程�����。這樣的技術(shù)方案與本發(fā)明的技術(shù)思路完全相同���,與本發(fā)明的技術(shù)方案是完全一致的�。
從上面的實施例可以看出���,本發(fā)明提供的這種對用戶進行鑒權(quán)的方法����,通過在SGSN上配置需鑒權(quán)的用戶號碼��,使SGSN在收到用戶執(zhí)行業(yè)務時發(fā)送的激活請求以后�����,能夠根據(jù)該用戶號碼和配置的需鑒權(quán)的用戶號碼����,判斷是否需要對該用戶進行鑒權(quán)�,并對需要進行鑒權(quán)的用戶進行鑒權(quán)��。利用本發(fā)明提供的這種對用戶進行鑒權(quán)的方法���,系統(tǒng)對用戶進行鑒權(quán)的方式非常靈活����,運營商可以根據(jù)自己的需要�����,實現(xiàn)對特定用戶進行鑒權(quán)的功能����。
以上所述的具體實施例,對本發(fā)明的目的�、技術(shù)方案和有益效果進行了進一步詳細說明,所應理解的是�����,以上所述僅為本發(fā)明的具體實施例而已�����,并不用于限制本發(fā)明���,凡在本發(fā)明的精神和原則之內(nèi)�����,所做的任何修改�、等同替換��、改進等��,均應包含在本發(fā)明的保護范圍之內(nèi)���。
權(quán)利要求
1.一種對用戶進行鑒權(quán)的方法���,其特征在于,至少包括以下步驟A����、在服務通用分組無線業(yè)務支持節(jié)點上配置需鑒權(quán)的用戶號碼;B�、服務通用分組無線業(yè)務支持節(jié)點收到用戶發(fā)送的業(yè)務激活請求后,判斷用戶號碼是否包含在所述的需鑒權(quán)的用戶號碼內(nèi)如果是�����,則對用戶進行鑒權(quán);否則�,結(jié)束本流程。
2.根據(jù)權(quán)利要求1所述的方法�,其特征在于,步驟A中所述的在服務通用分組無線業(yè)務支持節(jié)點上配置需鑒權(quán)的用戶號碼包括在服務通用分組無線業(yè)務支持節(jié)點上���,根據(jù)用戶的國際移動用戶標識碼或移動用戶綜合業(yè)務數(shù)字網(wǎng)號碼����,配置需鑒權(quán)的用戶號碼��。
3.根據(jù)權(quán)利要求1所述的方法��,其特征在于�����,步驟B中所述的對用戶進行鑒權(quán)包括服務通用分組無線業(yè)務支持節(jié)點將隨機數(shù)參數(shù)發(fā)送給用戶移動臺���,用戶移動臺根據(jù)收到的隨機數(shù)參數(shù)計算得到符號響應����,并將計算得到的符號響應返回給服務通用分組無線業(yè)務支持節(jié)點�����,服務通用分組無線業(yè)務支持節(jié)點判斷用戶移動臺返回的符號響應與自身保存的符號響應是否一致如果一致�,則鑒權(quán)成功;否則��,鑒權(quán)失敗����。
4.根據(jù)權(quán)利要求3所述的方法,其特征在于�����,所述的服務通用分組無線業(yè)務支持節(jié)點將隨機數(shù)參數(shù)發(fā)送給用戶移動臺包括服務通用分組無線業(yè)務支持節(jié)點判斷自身是否至少保存有一組鑒權(quán)集如果是�����,則選擇一組鑒權(quán)集���,并將該組鑒權(quán)集中所包含的隨機數(shù)參數(shù)攜帶在鑒權(quán)加密請求消息中發(fā)送給用戶移動臺����;否則,向歸屬位置寄存器請求鑒權(quán)集���,在收到歸屬位置寄存器返回的鑒權(quán)集以后����,再選擇一組鑒權(quán)集��,并將該組鑒權(quán)集中所包含的隨機數(shù)參數(shù)攜帶在鑒權(quán)加密請求消息中發(fā)送給用戶移動臺���。
5.根據(jù)權(quán)利要求4所述的方法���,其特征在于,所述的服務通用分組無線業(yè)務支持節(jié)點將隨機數(shù)參數(shù)攜帶在鑒權(quán)加密請求消息中發(fā)送給用戶移動臺以后進一步包括服務通用分組無線業(yè)務支持節(jié)點保存該組鑒權(quán)集中的符號響應����。
全文摘要
本發(fā)明公開了一種對用戶進行鑒權(quán)的方法,至少包括以下步驟A�、在服務通用分組無線業(yè)務支持節(jié)點上配置需鑒權(quán)的用戶號碼;B�����、服務通用分組無線業(yè)務支持節(jié)點收到用戶發(fā)送的業(yè)務激活請求后,判斷用戶號碼是否包含在所述的需鑒權(quán)的用戶號碼內(nèi)如果是���,則對用戶進行鑒權(quán)���;否則�����,結(jié)束本流程����。利用本發(fā)明提供的這種對用戶進行鑒權(quán)的方法,系統(tǒng)對用戶進行鑒權(quán)的方式非常靈活�����,運營商可以根據(jù)自己的需要���,實現(xiàn)對特定用戶進行鑒權(quán)的功能�����。
文檔編號H04L9/32GK1815955SQ200510007518
公開日2006年8月9日 申請日期2005年2月5日 優(yōu)先權(quán)日2005年2月5日
發(fā)明者王廣偉, 羅鵬 申請人:華為技術(shù)有限公司