專利名稱:防止認(rèn)證向量被濫用的方法、裝置和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及移動通信技術(shù)領(lǐng)域,尤其涉及一種防止認(rèn)證向量被濫用的方 法、裝置和系統(tǒng)。
背景技術(shù):
目前,在第三代合作伙伴計劃(3rd Generation Partnership Project, 3GPP ) 對演進(jìn)的分組系統(tǒng)(Evolved Packet System, EPS)的研究中,提出了非3GPP 網(wǎng)絡(luò)(non-3GPP networks)接入EPS的需求。非3GPP系統(tǒng)主要包括可信的 非3GPP網(wǎng)絡(luò)(trusted non-3 GPP networks )和不可信的非3GPP網(wǎng)絡(luò)(untrusted non-3GPP networks )兩種。其中,可信的非3GPP網(wǎng)絡(luò)可以包括Wimax網(wǎng)絡(luò) 和CDMA2000網(wǎng)絡(luò)等,不可信的非3GPP網(wǎng)絡(luò)可以包括WLAN網(wǎng)絡(luò)等。
當(dāng)非3GPP網(wǎng)絡(luò)接入EPS時,可信的非3GPP網(wǎng)絡(luò)和不可信的非3GPP網(wǎng) 絡(luò)分別通過不同的接口與EPS的AAA服務(wù)器連接。AAA服務(wù)器(Authorization, Authentication and Accounting Server,授權(quán)、驗(yàn)證和計費(fèi)服務(wù)器)只通過同一 個接口與HSS (Home Subscriber Server,歸屬用戶服務(wù)器)連接,即非3GPP 網(wǎng)絡(luò)接入EPS時,需要通過AAA服務(wù)器從同 一個接口從HSS獲取認(rèn)證向量 (Authentication Vectors, AV )。這樣,當(dāng)用戶通過非3GPP網(wǎng)絡(luò)接入EPS時, 若非3GPP接入網(wǎng)中的實(shí)體被攻破,或者不可信的非3GPP網(wǎng)絡(luò)所連接的演進(jìn) 分組數(shù)據(jù)網(wǎng)關(guān)(Evolved Packet Data Gate -way, ePDG) #皮-丈破,貝寸AAA月良務(wù) 器下發(fā)的AV有可能會被攻擊者竊取,從而造成攻擊者將此AV應(yīng)用到其它非 3GPP網(wǎng)絡(luò)中,對用戶實(shí)施進(jìn)一步的攻擊。
發(fā)明內(nèi)容
本發(fā)明實(shí)施例的一個目的在于提供一種防止認(rèn)證向量被濫用的方法,使 得用戶通過非3GPP網(wǎng)絡(luò)接入EPS時,即使非3GPP接入網(wǎng)中的實(shí)體被攻破,或者不可信的非3GPP網(wǎng)絡(luò)所連接的演進(jìn)分組數(shù)據(jù)網(wǎng)關(guān)ePDG被攻破,攻擊者 也無法將竊取到的AV應(yīng)用到其它非3GPP網(wǎng)絡(luò)中。
本發(fā)明實(shí)施例所提供的防止認(rèn)證向量被濫用的方法包括
接收AAA服務(wù)器發(fā)送的、用戶所在的非3GPP網(wǎng)絡(luò)的接入網(wǎng)信息;
生成該用戶的認(rèn)證向量與該接入網(wǎng)信息的綁定信息;
將該綁定信息發(fā)送給該AAA服務(wù)器。
本發(fā)明的實(shí)施例還提供了能夠完成上述方法的裝置和系統(tǒng)。
本發(fā)明的實(shí)施例提供的一種歸屬用戶服務(wù)器包括
接收單元用于接收AAA服務(wù)器發(fā)送的、用戶所在的非3GPP網(wǎng)絡(luò)的接 入網(wǎng)信息,并將該接入網(wǎng)信息提供給處理單元;
處理單元用于生成該用戶的認(rèn)證向量與該接入網(wǎng)信息的綁定信息,并 將該綁定信息提供給發(fā)送單元;
發(fā)送單元用于將該處理單元提供的該綁定信息發(fā)送給該AAA服務(wù)器。
本發(fā)明的實(shí)施例提供的一種AAA服務(wù)器包括
發(fā)送單元用于將用戶所在的非3GPP網(wǎng)絡(luò)的接入網(wǎng)信息發(fā)送給歸屬用戶 服務(wù)器;
接收單元用于接收該歸屬用戶服務(wù)器發(fā)送的該用戶的認(rèn)證向量和該接 入網(wǎng)信息的綁定信息。
本發(fā)明的實(shí)施例提供的防止認(rèn)證向量被濫用的系統(tǒng)包括AAA服務(wù)器和 歸屬用戶服務(wù)器,其中,
該AAA服務(wù)器用于將用戶所在的非3GPP網(wǎng)絡(luò)的接入網(wǎng)信息發(fā)送給該歸 屬用戶服務(wù)器,并接收該歸屬用戶服務(wù)器發(fā)送的該用戶的認(rèn)證向量和該接入 網(wǎng)信息的綁定信息;
該歸屬用戶服務(wù)器用于接收該AAA服務(wù)器發(fā)送的、用戶所在的非3GPP 網(wǎng)絡(luò)的接入網(wǎng)信息;生成該用戶的認(rèn)證向量與該接入網(wǎng)信息的綁定信息,并 將該綁定信息發(fā)送給AAA服務(wù)器。
與現(xiàn)有技術(shù)相比,本發(fā)明的實(shí)施例的優(yōu)點(diǎn)包括通過將用戶所在的非 3GPP網(wǎng)絡(luò)的接入網(wǎng)信息與用戶的認(rèn)證向量進(jìn)行綁定,使得用戶通過非3GPP網(wǎng)絡(luò)接入EPS時,即使非3GPP接入網(wǎng)中的實(shí)體被攻破,或者不可信的非3GPP 網(wǎng)絡(luò)所連接的演進(jìn)分組數(shù)據(jù)網(wǎng)關(guān)ePDG被攻破,攻擊者也無法將竊取到的AV 應(yīng)用到其它非3GPP網(wǎng)絡(luò)中。
圖1是本發(fā)明實(shí)施例一中將接入網(wǎng)信息與AV進(jìn)行綁定的流程圖; 圖2是本發(fā)明實(shí)施例二中將接入網(wǎng)信息與AV進(jìn)行綁定的流程圖; 圖3是本發(fā)明實(shí)施例五中歸屬用戶服務(wù)器的結(jié)構(gòu)圖; 圖4是本發(fā)明實(shí)施例六中AAA服務(wù)器的結(jié)構(gòu)圖。
具體實(shí)施例方式
本發(fā)明的實(shí)施例一提供了 一種防止認(rèn)證向量被濫用的方法。這里假設(shè)用 戶通過Wimax網(wǎng)絡(luò)接入EPS,如圖1所示,該方法包括
步驟101:用戶通過Wimax網(wǎng)絡(luò)接入EPS時,通過可信的非3GPP網(wǎng)絡(luò) 同AAA服務(wù)器之間的接口與AAA服務(wù)器連接。AAA服務(wù)器向HSS上報用 戶所接入的非3GPP網(wǎng)絡(luò)的無線接入技術(shù)(Radio Access Technology, RAT )。 本實(shí)施例中,RAT指示所接入的非3GPP網(wǎng)絡(luò)為Wimax網(wǎng)絡(luò)。
本實(shí)施例中,AAA可以使用字母或數(shù)字代表不同的RAT,或使用其他形 式來表示。只要可以表示用戶所接入的非3GPP網(wǎng)絡(luò)的無線接入技術(shù)即可,具 體采用何種形式來表示并沒有限制。
本實(shí)施例中,AAA可以將RAT攜帶在某個Diameter AVP (Attribute Value Pair,屬性值對)中。例如AAA服務(wù)器可以將上報的RAT攜帶在Diameter AVP: [visited-network-identifier]里面發(fā)送給HSS;或者將RAT攜帶在Diameter AVP: [NAS-Port-Type]中,使用其中已經(jīng)定義的數(shù)字表示無線接入技術(shù),或者 重新定義代表無線接入技術(shù)的比特位。將RAT攜帶在哪個Diameter AVP中并 不限于以上所列的兩個例子,只要是可以達(dá)到上凈艮RAT的目的的Diameter AVP都可以用來攜帶RAT。
步驟102: HSS收到AAA服務(wù)器的認(rèn)證請求后,將AAA服務(wù)器上報的RAT和用戶的認(rèn)證向量AV進(jìn)4亍綁定,生成AV和RAT的綁定信息。
其中,認(rèn)證向量AV是根據(jù)現(xiàn)有技術(shù)生成的,本實(shí)施例的發(fā)明點(diǎn)并不涉及 該AV的生成。
本實(shí)施例中,將AAA服務(wù)器上報的RAT和認(rèn)證向量AV進(jìn)行綁定可以通 過計算密鑰來實(shí)現(xiàn),其生成的綁定信息就是計算得到的密鑰。例如HSS計 算密鑰Key=K(CK, IK, Wimax ),其中CK和IK是認(rèn)證向量AV中的兩個參數(shù); Wimax就是AAA服務(wù)器上報的RAT,它可以使用字母、數(shù)字或其他形式表 示;K()是計算密鑰的算法。HSS通過該方法就可以將RAT和AV進(jìn)行綁定, 計算得到的Key就是生成的綁定信息。
本實(shí)施例中,HSS也可以將RAT攜帶在Diameter AVP : [SIP-Auth-Data-Item]中的[SIP隱Authentication-Scheme ]或[Authentication Method]中與AV進(jìn)行綁定。通過這種方式生成的Diameter AVP就是綁定信息。 當(dāng)然,攜帶RAT的Diameter AVP并不限于上面所提到的情況,任何能實(shí)現(xiàn) RAT和AV的綁定的Diameter AVP都可以一皮應(yīng)用。
步驟103: HSS將AV和RAT的綁定信息發(fā)送給AAA服務(wù)器。若通過計 算密鑰的方式綁定RAT和AV,則將該密鑰發(fā)送給AAA服務(wù)器;若通過將
發(fā)送給AAA服務(wù)器。
通過上述方法,就可以把用戶所在的非3GPP網(wǎng)絡(luò)的無線接入技術(shù)RAT 與認(rèn)證向量AV進(jìn)行綁定。綁定之后,即使用戶所在的非3GPP接入網(wǎng)中的實(shí) 體被攻破,或者不可信的非3GPP網(wǎng)絡(luò)所連接的演進(jìn)分組數(shù)據(jù)網(wǎng)關(guān)ePDG被攻 破,攻擊者也無法將竊取到的AV應(yīng)用到其它非3GPP網(wǎng)絡(luò)中。
上述實(shí)施例中的非3GPP網(wǎng)絡(luò)是以Wimax網(wǎng)絡(luò)為例的。實(shí)際上,對于 CDMA2000網(wǎng)絡(luò)也可以應(yīng)用該方案。
此外,用戶所在的非3GPP網(wǎng)絡(luò)也可以是WLAN網(wǎng)絡(luò),盡管在已經(jīng)完成 的關(guān)于WLAN的標(biāo)準(zhǔn)文件中沒有RAT與AV進(jìn)行綁定的相關(guān)內(nèi)容,但為了提 高系統(tǒng)的安全性,我們也可以在WLAN的未來發(fā)展中,要求其接入EPS時綁 定RAT和AV。以下就給出本發(fā)明的實(shí)施例二,用來說明當(dāng)用戶通過WLAN網(wǎng)絡(luò)接入EPS時,如何將RAT與AV進(jìn)行綁定。該方法包括
步驟201:用戶通過WLAN網(wǎng)絡(luò)接入EPS后,通過不可信的非3GPP網(wǎng) 絡(luò)同AAA服務(wù)器之間的接口與AAA服務(wù)器連接。AAA服務(wù)器向HSS上報 用戶所接入的非3GPP網(wǎng)絡(luò)的無線接入技術(shù)RAT。本實(shí)施例中,RAT指示所 接入的非3GPP網(wǎng)絡(luò)為WLAN網(wǎng)絡(luò)。
本實(shí)施例中,AAA可以使用字母或數(shù)字代表不同的RAT,或使用其他形 式來表示。只要可以表示用戶所接入的非3GPP網(wǎng)絡(luò)的無線接入技術(shù)即可,具 體采用何種形式來表示并沒有限制。
本實(shí)施例中,AAA可以將RAT攜帶在某個Diameter AVP中。具體如何 攜帶可以參見實(shí)施例一中的舉例。
步驟202: HSS收到AAA服務(wù)器的認(rèn)證請求后,將AAA服務(wù)器上報的 RAT和用戶的認(rèn)證向量AV進(jìn)行綁定,生成AV和RAT的綁定信息。
本實(shí)施例中,將AAA服務(wù)器上報的RAT和認(rèn)證向量AV進(jìn)行綁定可以通 過計算密鑰來實(shí)現(xiàn),其生成的綁定信息就是計算得到的密鑰。例如HSS計 算密鑰Key=K(CK, IK, WLAN ),其中各參數(shù)的含義可以參見實(shí)施例一中的說 明。HSS通過該方法就可以將RAT和AV進(jìn)行綁定,計算得到的Key就是生 成的綁定信息。
本實(shí)施例中,HSS也可以將RAT攜帶在Diameter AVP : [SIP-Auth-Data-Item]中的[SIP-Authentication隱Scheme ]或[Authentication Method]中與AV進(jìn)行綁定。通過這種方式生成的Diameter AVP就是綁定信息。 當(dāng)然,攜帶RAT的Diameter AVP并不限于上面所提到的情況,任何能實(shí)現(xiàn) RAT和AV的綁定的Diameter AVP都可以^皮應(yīng)用。
步驟203: HSS將AV和RAT的綁定信息發(fā)送給AAA服務(wù)器。若通過計 算密鑰的方式綁定RAT和AV,則將該密鑰發(fā)送給AAA服務(wù)器;若通過將 RAT攜帶在某個Diameter AVP中的方式綁定RAT和AV,則將該Diameter AVP 發(fā)送給AAA服務(wù)器。
可見,將WLAN網(wǎng)絡(luò)的RAT與AV的綁定過程與實(shí)施例一中描述的綁定 過程可以采用統(tǒng)一 的方法。在上述兩實(shí)施例中,無線接入技術(shù)RAT也可以不具體區(qū)分為Wimax、 CDMA2000、WLAN等類型,而只區(qū)分為可信的非3GPP網(wǎng)絡(luò)和不可信的3GPP 網(wǎng)絡(luò)兩種類型。
此外,我們還可以對實(shí)施例一和實(shí)施例二中的方案進(jìn)行擴(kuò)展,使其不僅 僅攜帶無線接入技術(shù)的信息,還包括MNC (Mobile Network Code ,移動網(wǎng)絡(luò) 碼)和MCC (Mobile Country Code,移動國家碼)信息。這樣綁定的信息更 多,安全性也更高。通過將AV、 MNC+MCC和無線"l妻入技術(shù)進(jìn)行綁定,當(dāng) 用戶所在的非3GPP接入網(wǎng)中的實(shí)體被攻破,或者不可信的非3GPP網(wǎng)絡(luò)所連 接的演進(jìn)分組數(shù)據(jù)網(wǎng)關(guān)ePDG被攻破時,攻擊者不但無法將竊取到的AV應(yīng)用 到其它非3GPP網(wǎng)絡(luò),而且只要MCC或MNC不同,即使是在同類型的非3GPP 網(wǎng)絡(luò)也無法應(yīng)用,從而提高了安全性。
以下提供本發(fā)明的實(shí)施例三,用來說明這種安全性更高的綁定方式。為 了方便表述,申請人引入接入網(wǎng)信息這一名稱。在實(shí)施例一和實(shí)施例二中, 接入網(wǎng)信息是指無線接入技術(shù)RAT,在實(shí)施例三中,接入網(wǎng)信息是指 MNC+MCC和RAT的組合,其中MNC+MCC稱為網(wǎng)絡(luò)標(biāo)識。總之,用來與 認(rèn)證向量AV進(jìn)行綁定以實(shí)現(xiàn)本發(fā)明目的的參數(shù)或參數(shù)的組合都可以稱為接 入網(wǎng)信息。
本實(shí)施例三中,接入網(wǎng)信息是指MNC+MCC和無線接入技術(shù)的組合,如 圖2所示,該方法包括
步驟301:用戶通過非3GPP網(wǎng)絡(luò)接入EPS后,通過該非3GPP網(wǎng)絡(luò)同 AAA服務(wù)器之間的接口與AAA服務(wù)器連接。AAA服務(wù)器向HSS上報用戶所 接入的非3GPP網(wǎng)絡(luò)的接入網(wǎng)信息。本實(shí)施例中,接入網(wǎng)信息指示所接入的非 3GPP網(wǎng)絡(luò)是Wimax/CDMA2000/WLAN/trusted non-3GPP networks/untrusted non-3GPPnetworks網(wǎng)絡(luò),且網(wǎng)絡(luò)標(biāo)識為MNC+MCC,其中7"表示或的關(guān)系。
本實(shí)施例中,AAA可以將接入網(wǎng)信息攜帶在某個Diameter AVP( Attribute Value Pair,屬性值對)中。具體如何攜帶可以參見實(shí)施例一中的舉例。
步驟302: HSS收到AAA服務(wù)器的認(rèn)證請求后將AAA服務(wù)器上報的接 入網(wǎng)信息和用戶的認(rèn)證向量AV進(jìn)行綁定,生成AV和接入網(wǎng)信息的綁定信息。本實(shí)施例中,將AAA服務(wù)器上報的接入網(wǎng)信息和認(rèn)證向量AV進(jìn)行綁定 可以通過計算密鑰來實(shí)現(xiàn),其生成的綁定信息就是計算得到的密鑰。例如 HSS計算密鑰Key=K(CK, IK, MNC+MCC, Wimax/CDMA2000/WLAN/trusted non-3GPP networks/untrusted non-3GPP networks ),其中CK和IK是認(rèn)證向量 AV中的兩個參數(shù);MNC+MCC是用戶所在的非3GPP網(wǎng)絡(luò)的網(wǎng)絡(luò)標(biāo)識, MNC+MCC和無線接入技術(shù)的組合就是AAA服務(wù)器上報的接入網(wǎng)信息;K() 是計算密鑰的算法。HSS通過該方法就可以將接入網(wǎng)信息和AV進(jìn)行綁定,計 算得到的Key就是生成的綁定信息。
本實(shí)施例中,HSS也可以將接入網(wǎng)信息攜帶在Diameter AVP : [SIP-Auth-Data-Item]中的[SIP-Authentication-Scheme ]或[Authentication Method]中與AV進(jìn)行綁定。通過這種方式生成的Diameter AVP就是綁定信息。 當(dāng)然,攜帶接入網(wǎng)信息的Diameter AVP并不限于上面所提到的情況,任何能 實(shí)現(xiàn)接入網(wǎng)信息和AV的綁定的Diameter AVP都可以被應(yīng)用。
步驟303: HSS將AV和接入網(wǎng)信息的綁定信息發(fā)送給AAA服務(wù)器。若 通過計算密鑰的方式綁定接入網(wǎng)信息和AV,則將該密鑰發(fā)送給AAA服務(wù)器; 若通過將接入網(wǎng)信息攜帶在某個Diameter AVP中的方式綁定接入網(wǎng)信息和 AV,則將該Diameter AVP發(fā)送給AAA服務(wù)器。
通過實(shí)施例三所述的綁定方法,可以實(shí)現(xiàn)比實(shí)施例一、實(shí)施例二更高的 安全性。即當(dāng)用戶的AV信息被竊取時,攻擊者不但無法將竊取到的AV應(yīng)用 到其它非3GPP網(wǎng)絡(luò),而且只要MCC或MNC不同,即使是在同類型的非3GPP 網(wǎng)纟各也無法應(yīng)用。
本發(fā)明的實(shí)施例四提供了 一種防止認(rèn)證向量被濫用的系統(tǒng),該系統(tǒng)包括 AAA服務(wù)器和歸屬用戶服務(wù)器HSS,其中,
AAA服務(wù)器用于將用戶所在的非3GPP網(wǎng)絡(luò)的接入網(wǎng)信息發(fā)送給HSS, 并接收HSS發(fā)送的認(rèn)證向量AV和接入網(wǎng)信息的綁定信息;
歸屬用戶服務(wù)器HSS用于接收AAA服務(wù)器發(fā)送的、用戶所在的非3GPP 網(wǎng)絡(luò)的接入網(wǎng)信息;生成該用戶的認(rèn)證向量AV與接入網(wǎng)信息的綁定信息,并將該綁定信息發(fā)送給AAA服務(wù)器。
上述系統(tǒng)中的接入網(wǎng)信息可以是無線接入技術(shù),也可以是無線接入技術(shù)
和MNC+MCC的組合。其中,無線接入技術(shù)可以區(qū)分為Wimax網(wǎng)絡(luò)、 CDMA2000網(wǎng)絡(luò)或WLAN網(wǎng)絡(luò)等,也可以按照可信的非3GPP網(wǎng)絡(luò)和不可信 的非3GPP網(wǎng)絡(luò)來區(qū)分。接入網(wǎng)信息可以使用字母或數(shù)字等來表示。
上述系統(tǒng)中,AAA服務(wù)器可以將用戶所在的非3GPP網(wǎng)絡(luò)的接入網(wǎng)信息 攜帶在屬性值對中發(fā)送給HSS 。例如可以將接入網(wǎng)信息攜帶在Diameter AVP: [visited-network-identifier]里面發(fā)送給HSS;或者將接入網(wǎng)信息攜帶在Diameter AVP: [NAS-Port-Type]中。
上述系統(tǒng)中,HSS可以通過計算密鑰來生成AV與接入網(wǎng)信息的綁定信 息。HSS還可以生成攜帶接入網(wǎng)信息的屬性值對作為AV與接入網(wǎng)信息的綁定 信息,例如將接入網(wǎng)信息攜帶在Diameter AVP: [SIP-Auth-Data-Item]中的 [SIP-Authentication匿Scheme ]或[Authentication Method]中與AV進(jìn)行綁定。
本發(fā)明的實(shí)施例五提供了一種歸屬用戶服務(wù)器HSS,如圖3所示,該HSS 包括
接收單元501:用于接收AAA服務(wù)器發(fā)送的、用戶所在的非3GPP網(wǎng)絡(luò) 的接入網(wǎng)信息,并將該接入網(wǎng)信息提供給處理單元502;
處理單元502:用于生成該用戶的AV與接入網(wǎng)信息的綁定信息,并將該 綁定信息提供給發(fā)送單元503;
發(fā)送單元503:用于將處理單元502提供的綁定信息發(fā)送給AAA服務(wù)器。
本發(fā)明的實(shí)施例六提供了一種AAA服務(wù)器,如圖4所示,該AAA服務(wù) 器包括
發(fā)送單元601:用于將用戶所在的非3GPP網(wǎng)絡(luò)的接入網(wǎng)信息發(fā)送給HSS; 接收單元602:用于接收HSS發(fā)送的認(rèn)證向量AV和接入網(wǎng)信息的綁定信
白通過以上的實(shí)施方式的描述,本領(lǐng)域的技術(shù)人員可以清楚地了解到本發(fā) 明可借助軟件加必需的通用硬件平臺的方式來實(shí)現(xiàn),當(dāng)然也可以通過石更件, 但很多情況下前者是更佳的實(shí)施方式?;谶@樣的理解,本發(fā)明的技術(shù)方案 本質(zhì)上或者說對現(xiàn)有技術(shù)做出貢獻(xiàn)的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來, 該軟件產(chǎn)品存儲在一個存儲介質(zhì)中,包括若干指令用以使得網(wǎng)絡(luò)設(shè)備執(zhí)行本 發(fā)明各個實(shí)施例所述的方法。以上公開的僅為本發(fā)明的幾個具體實(shí)施例,但是,本發(fā)明并非局限于此, 任何本領(lǐng)域的技術(shù)人員能思之的變化都應(yīng)落入本發(fā)明的保護(hù)范圍。
權(quán)利要求
1、一種防止認(rèn)證向量被濫用的方法,其特征在于,該方法包括接收AAA服務(wù)器發(fā)送的、用戶所在的非3GPP網(wǎng)絡(luò)的接入網(wǎng)信息;生成所述用戶的認(rèn)證向量與所述接入網(wǎng)信息的綁定信息;將所述綁定信息發(fā)送給所述AAA服務(wù)器。
2、 根據(jù)權(quán)利要求1所述的方法,其特征在于,所述接入網(wǎng)信息為無線接 入技術(shù),或?yàn)闊o線接入技術(shù)和所述非3GPP網(wǎng)絡(luò)的網(wǎng)絡(luò)標(biāo)識的組合。
3、 根據(jù)權(quán)利要求2所述的方法,其特征在于,所述無線接入技術(shù)是Wimax 網(wǎng)絡(luò)、CDMA2000網(wǎng)絡(luò)、WLAN網(wǎng)絡(luò)、可信的非3GPP網(wǎng)絡(luò)或不可信的非3GPP 網(wǎng)絡(luò);所述非3GPP網(wǎng)絡(luò)的網(wǎng)絡(luò)標(biāo)識包括移動網(wǎng)絡(luò)碼和移動國家碼。
4、 根據(jù)權(quán)利要求1所述的方法,其特征在于,所述AAA服務(wù)器發(fā)送的、 用戶所在的非3GPP網(wǎng)絡(luò)的接入網(wǎng)信息攜帶在屬性值對中。
5、 根據(jù)權(quán)利要求1所述的方法,其特征在于,所述生成所述用戶的認(rèn)證 向量與所述接入網(wǎng)信息的綁定信息具體通過以下方法實(shí)現(xiàn)以所述認(rèn)證向量和所述接入網(wǎng)信息為參數(shù)計算密鑰,該密鑰作為所述綁 定信息;或者,生成攜帶接入網(wǎng)信息的屬性值對,該屬性值對作為所述綁定信息。
6、 一種歸屬用戶服務(wù)器,其特征在于,所述歸屬用戶服務(wù)器包括 接收單元用于接收AAA服務(wù)器發(fā)送的、用戶所在的非3GPP網(wǎng)絡(luò)的接入網(wǎng)信息,并將所述接入網(wǎng)信息^是供給處理單元;處理單元用于生成所述用戶的認(rèn)證向量與所述接入網(wǎng)信息的綁定信息, 并將所述綁定信息提供給發(fā)送單元;發(fā)送單元用于將所述處理單元提供的所述綁定信息發(fā)送給所述AAA服 務(wù)器。
7、 一種AAA服務(wù)器,其特征在于,所述AAA服務(wù)器包括 發(fā)送單元用于將用戶所在的非3GPP網(wǎng)絡(luò)的接入網(wǎng)信息發(fā)送給歸屬用戶服務(wù)器;接收單元用于接收所述歸屬用戶服務(wù)器發(fā)送的所述用戶的認(rèn)證向量和 所述接入網(wǎng)信息的綁定信息。
8、 一種防止認(rèn)證向量被濫用的系統(tǒng),該系統(tǒng)包括AAA服務(wù)器和歸屬用 戶服務(wù)器,其特征在于,所述AAA服務(wù)器用于將用戶所在的非3GPP網(wǎng)絡(luò)的接入網(wǎng)信息發(fā)送給所 述歸屬用戶服務(wù)器,并接收所述歸屬用戶服務(wù)器發(fā)送的所述用戶的認(rèn)證向量 和所述接入網(wǎng)信息的綁定信息;所述歸屬用戶服務(wù)器用于接收所述AAA服務(wù)器發(fā)送的、用戶所在的非 3GPP網(wǎng)絡(luò)的接入網(wǎng)信息;生成所述用戶的認(rèn)^t向量與所述接入網(wǎng)信息的綁定 信息,并將所述綁定信息發(fā)送給AAA服務(wù)器。
9、 根據(jù)權(quán)利要求8所述的系統(tǒng),其特征在于,所述接入網(wǎng)信息為無線接 入技術(shù),或?yàn)闊o線接入技術(shù)和所述非3GPP網(wǎng)絡(luò)的網(wǎng)絡(luò)標(biāo)識的組合。
全文摘要
本發(fā)明的實(shí)施例公開了一種防止認(rèn)證向量被濫用的方法,以及能夠?qū)崿F(xiàn)該方法的系統(tǒng)和裝置。本發(fā)明的實(shí)施例中,通過將用戶所在的非3GPP網(wǎng)絡(luò)的接入網(wǎng)信息與用戶的認(rèn)證向量進(jìn)行綁定,使得用戶通過非3GPP網(wǎng)絡(luò)接入EPS時,即使非3GPP接入網(wǎng)中的實(shí)體被攻破,或者不可信的非3GPP網(wǎng)絡(luò)所連接的演進(jìn)分組數(shù)據(jù)網(wǎng)關(guān)ePDG被攻破,攻擊者也無法將竊取到的AV應(yīng)用到其它非3GPP網(wǎng)絡(luò)中。
文檔編號H04W12/06GK101552987SQ200810066439
公開日2009年10月7日 申請日期2008年3月31日 優(yōu)先權(quán)日2008年3月31日
發(fā)明者楊艷梅, 許怡嫻, 璟 陳 申請人:華為技術(shù)有限公司