專利名稱:一種實現(xiàn)鑒權重同步的方法和網(wǎng)絡設備的制作方法
技術領域:
本發(fā)明涉及通信技術領域���,特別涉及一種實現(xiàn)鑒權重同步的方法和網(wǎng)絡 設備��。
背景技術:
在第三代移動通信(3rd Generation, 3G )進行鑒權時��,包括移動終端側對 網(wǎng)絡的鑒權和網(wǎng)絡側對移動終端的鑒權之分���。在移動終端,如手機側對網(wǎng)絡鑒 權的時候��,首先手機檢查網(wǎng)絡側計算出的消息鑒權碼(Message authentication code �, MAC)和手機自身計算出的MAC是否一致,其次手機檢查網(wǎng)絡側下發(fā) 的序列號(Sequence number, SQN)是否在自己的允許范圍內(nèi)��。如果手機發(fā)現(xiàn) 網(wǎng)絡計算的MAC和自己計算的MAC不一致��,返回鑒權MAC失敗����,網(wǎng)絡接到該失 敗原因后,本次鑒權作為失敗處理。如果手機發(fā)現(xiàn)網(wǎng)絡下發(fā)的SQN不在自己的 允許范圍內(nèi)�,對網(wǎng)絡側返回鑒權同步失敗,并且將自身的SQN和計算出來的重 同步鑒權碼(Resynchronisation Authentication Code , MAC-S)返回給網(wǎng)絡�����。網(wǎng) 絡側接到該錯誤原因后���,會發(fā)起重同步流程����。網(wǎng)絡側首先校驗手機發(fā)送的MAC-S 和網(wǎng)絡側自己計算的MAC-S是否一致����,如果校驗通過���,根據(jù)手機帶上來的SQN 計算出新的鑒權數(shù)據(jù)�����,并且下發(fā)給手機����。如果MAC-S校驗不通過,則本次鑒權 失敗�。
在鑒權重同步的過程中,網(wǎng)絡側需要驗證手機上帶來的MAC-S與網(wǎng)絡側自 身計算的MAC-S是否一致���。如果不一致��,網(wǎng)絡側將會返回重同步失敗����,并且放 棄本次重同步的數(shù)據(jù)?���,F(xiàn)有的MAC-S計算方式為fl*K(SQNMS||RANDl| AMF), 其中隨機數(shù)RAND和SQN都是由手機返回給網(wǎng)絡側的,而手機與網(wǎng)絡側中各自 都保存有鑒權管理區(qū)(Authentication Management Field, AMF ),那么很有可 能出現(xiàn)手機中保存的AMF與網(wǎng)絡側中保存的AMF值不一致��,從而手機計算出的 MAC-S和網(wǎng)絡側中計算出的MAC-S不一致���,導致重同步流程無法成功���,這樣網(wǎng) 絡側就會視為鑒權失敗,那么用戶使用的手機也無法上網(wǎng)����。而運營商也只能采用換卡的方式來解決這個問題�����,會給運營商帶來較大的經(jīng)濟損失��,也給用戶帶 來很大的不便���。
發(fā)明內(nèi)容
為了避免AMF不一致而導致鑒權流程無法通過的問題,本發(fā)明實施例提供 了 一種實現(xiàn)鑒權重同步的方法和網(wǎng)絡設備���。
本發(fā)明實施例提供了一種實現(xiàn)鑒權重同步的方法���,包括 接收鑒權重同步消息;
在驗證鑒權重同步消息中的重同步鑒權碼與網(wǎng)絡側中的重同步鑒權碼不一 致后���,從所述返回的鑒權重同步消息中獲得移動終端的序列號;
根據(jù)所述序列號生成一組鑒權五元組�,并將所述鑒權五元組下發(fā)進行鑒權。 相應的�����,本發(fā)明實施例還提供了一種網(wǎng)絡設備���,包括 接收單元����,用于接收鑒權重同步消息;
驗證單元����,用于驗證接收單元接收的鑒權重同步消息中的重同步鑒權碼與 網(wǎng)絡側中的重同步鑒權碼是否一致;
獲得單元���,用于在驗證單元驗證鑒權重同步消息中的重同步鑒權碼與網(wǎng)絡 側中的重同步鑒權碼不一致后����,從所述接收單元接收的鑒權重同步消息中獲得 移動終端的序列號����;
處理單元,用于根據(jù)所述獲得單元獲得的序列號生成一組鑒權五元組����,并 將所述鑒權五元組下發(fā)進行鑒權。
實施本發(fā)明實施例�����,網(wǎng)絡設備可以根據(jù)移動終端的序列號直接生成一組鑒 權五元組而進行鑒權流程,避免了移動終端中的AMF與網(wǎng)絡側中的AMF不一 致而導致的鑒權重同步的失敗�����,使用戶能夠上網(wǎng)�����,滿足用戶需求度���,減少運營 商換卡的損失���。
為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術中的技術方案,下面將對實施 例或現(xiàn)有技術描述中所需要使用的附圖作簡單地介紹����,顯而易見地,下面描述 中的附圖僅僅是本發(fā)明的一些實施例���,對于本領域普通技術人員來講,在不付 出創(chuàng)造性勞動性的前提下���,還可以根據(jù)這些附圖獲得其他的附圖�。圖1是本發(fā)明實施例中的實現(xiàn)鑒權重同步方法的流程圖2是本發(fā)明實施例中的實現(xiàn)鑒權重同步的另一流程圖3是本發(fā)明實施例中的網(wǎng)絡設備結構示意圖4是本發(fā)明實施例中的網(wǎng)絡設備另一結構示意圖。
具體實施例方式
下面將結合本發(fā)明實施例中的附圖����,對本發(fā)明實施例中的技術方案進行清 楚、完整地描述�,顯然,所描述的實施例僅僅是本發(fā)明一部分實施例��,而不是 全部的實施例��?;诒景l(fā)明中的實施例,本領域普通技術人員在沒有作出創(chuàng)造 性勞動前提下所獲得的所有其他實施例�,都屬于本發(fā)明保護的范圍。
在移動終端進行鑒權重同步時��,如果移動終端所使用的AMF值與網(wǎng)絡側中 的AMF值不一致�,現(xiàn)有的用戶將無法通過移動終端進4亍上網(wǎng)。而本發(fā)明實施例 中提供的方案只需利用移動終端返回的SQN計算出 一組鑒權五元組�����,并利用該 五元組繼續(xù)進行鑒權流程�,從而解決了因AMF值不一致而導致鑒權失敗的問題, 圖l示出了本發(fā)明實施例中的實現(xiàn)鑒權重同步方法的流程圖�����,包括
步驟S101:接收鑒權重同步消息;
該鑒權重同步消息包括了隨機數(shù)����、序列號和移動終端生成的重同步鑒權碼 等等。
步驟S102:驗證重同步鑒權碼是否一致�����;
驗證重同步消息中的重同步鑒權碼與網(wǎng)絡側中的重同步鑒權碼是否一致����, 具體的,獲得所述鑒權重同步消息中的隨機數(shù)��、序列號和移動終端生成的重同 步鑒權碼����;根據(jù)所述隨機數(shù)、序列號生成網(wǎng)絡側的重同步鑒權碼�����;判斷移動終 端生成的重同步鑒權碼與網(wǎng)絡側的重同步鑒權碼是否 一致��。
需要說明的是����,只有在驗證權重同步消息中的重同步鑒權碼與網(wǎng)絡側中的 重同步鑒權碼不一致后才進行步驟S103,在驗證一致的情況下��,與現(xiàn)有技術中 處理過程相同���。
步驟S103:獲得重同步消息中的移動終端的序列號�;
步驟S104:根據(jù)所述序列號生成一組鑒權五元組�����,并將所述鑒權五元組下 發(fā)進行鑒權�����。
該鑒權五元組的生成�,根據(jù)序列號和網(wǎng)絡中存儲的長期密鑰(long-term2008 secret Key, K),通過鑒權算法生成一個鑒權五元組,如第三代移動通信技術 3G鑒權算法��。在本發(fā)明實施例中�,網(wǎng)絡側中不會更新自身存儲的序列號數(shù)據(jù), 只需利用移動終端返回的序列號數(shù)據(jù)來計算鑒權五元組。則網(wǎng)絡系統(tǒng)可以利用 鑒權五元組進行后續(xù)鑒權����。該鑒權五元組包括隨機數(shù)R、加密性鑰匙(Cipher Key, CK)��、完整性鑰匙(Integrtity, IK)����、鑒權令牌(Authentication Token , AUTN)�����、 被期望的響應(Expected Response �, XRES )等。
需要說明的���,在驗證鑒權重同步消息中的重同步鑒權碼與網(wǎng)絡側中的重同 步鑒權碼不一致后�,網(wǎng)絡側還可以生成驗證報告信息��,該驗證報告信息包括了 用戶的用戶識別碼(International Mobile Subscriber Identification Number �, IMSI)、重同步驗證失敗原因或告警原因等�����,該驗證報告通過告警方式或者日 志方式等從網(wǎng)絡側獲得。
該鑒權五元組的生成在判斷出移動終端生成的重同步鑒權碼(MAC-S)與網(wǎng) 絡側的MAC-S不一致之后生成�����。具體的�,網(wǎng)絡側在在移動終端返回鑒權重同步 消息后���,也接收到移動終端返回的隨機數(shù)R��、 SQN和移動終端生成的MAC-S;網(wǎng) 絡側根據(jù)R和SQN和保存的AMF生成網(wǎng)絡側的MAC-S;判斷移動終端生成的 MAC-S與網(wǎng)絡側的MAC-S是否一致�,如果不一致時����,網(wǎng)絡側則需要獲得移動終 端的SQN,并利用該SQN生成一組鑒權五元組。
圖2是以寬帶分碼多工存取(Wideband CDMA, WCDMA )為例進行說明的 鑒權流程圖���,包括
步驟S201:移動交換中心(Mobile Switching Center , MSC ) /拜訪位置寄 存器(visiting location register, VLR)向移動終端(Mobile Station ����, MS)發(fā)起 鑒權流程(Auth)����,該Auth中包含了下發(fā)的隨機數(shù)(Rand, R)和AUTN;
步驟S202: MS在驗證消息鑒權碼之后���,檢測到網(wǎng)絡側下發(fā)的SQN不在自己 的允許范圍內(nèi),則返回鑒權同步失敗響應(Auth Synchronization fail Response) 消息給MSC/VLR ���, MSC/VLR在收到該消息后會發(fā)起重同步流程����,該Auth Synchronization fail Response消息中攜帶有R和重同步鑒權令牌 (Re-synchronisation Authentication Token, AUTS),其中AUTS中攜帶有移動 終端的SQN和移動終端生成的MAC-S;
步驟S203: MSC/VLR向歸屬位置寄存器(Home Location Register, HLR) 發(fā)起鑒權請求(Send Auth R叫uest),該請求主要是獲取相關鑒權信息��,該請求攜帶有R和AUTS;
步驟S204: HLR判斷MAC-S是否一致�����,如果不一致則進行步驟S205;
具體的�,HLR中保存有AMF,利用移動終端返回的SAN和S等信息生成一個 MAC-S,這樣HLR比較自己生成的MAC-S和移動終端生成的MAC-S是否一致, 如果不一致則進行步驟S205�����。
步驟S205:在步驟S204判斷出MAC-S不一致后��,那么HLR根據(jù)移動終端的 SQN生成一個鑒權五元組(S���, CK��, IK, AUTN����, XRES),才艮據(jù)序列號和網(wǎng)絡 中存儲的長期密鑰(long-term secret Key, K),通過鑒權算法生成一個鑒4又五 元組���,如第三代移動通信技術3G鑒權算法,并將該鑒權五元組發(fā)送給MSC/VLR�����, 那么整個網(wǎng)絡側可以利用該鑒權五元組完成后續(xù)的鑒權流程了 �����。
需要說明的是����,這里網(wǎng)絡側主要是臨時利用MS上的SQN來生成五元組完成 鑒權流程,網(wǎng)絡側中不用更新自己存儲的SQN數(shù)據(jù)����,該方案的實現(xiàn)過程中���,還 可以在驗證MAC-S不 一致后,向網(wǎng)絡中報告MAC-S不 一致的情況����,可以通過告 警或者日志的方式報告給運營商,方便運營商了解用戶的卡所存在的問題��。
同樣的���,由于時分同步的碼分多址技術(Time Division-Synchronous Code Division Multiple Access, TD - SCDMA )鑒權重同步流程與WCDMA基本一致�����, 該鑒權重同步流程也同樣適應于TD - SCDMA中�����。
對于IP多媒體子系統(tǒng)(IP Multi-media Subsystem, IMS)中的鑒權和鑰匙協(xié) 議(Authentication and Key Agreement, AKA )也存在鑒權重同步的問題�����,其鑒 權重同步流程與WCDMA相同�,其一般由HSS或HLR負責產(chǎn)生鑒權���。其中���,HSS 可能會替代HLR成為鑒權重同步的網(wǎng)絡實體��。如果是在HSS與HLR共存時�����,HSS 會在HLR和S - CSCF之間充當消息傳遞的橋梁����。
相應的��,圖3示出了本發(fā)明實施例中的網(wǎng)絡設備結構示意圖����,該網(wǎng)絡設備包
括
接收單元301��,用于接收鑒權重同步消息��;
驗證單元302,用于驗證接收單元301接收的鑒權重同步消息中的重同步鑒 權碼與網(wǎng)絡側中的重同步鑒權碼是否 一致����;
獲得單元303,用于在驗證單元302驗證鑒權重同步消息中的重同步鑒權碼 與網(wǎng)絡側中的重同步鑒權碼不一致后����,從所述接收單元301接收的鑒權重同步 消息中獲得移動終端的序列號��;處理單元304,用于根據(jù)所述獲得單元303獲得的序列號生成一組鑒權五元 組�,并將所述鑒權五元組下發(fā)進行鑒權。
這里的鑒權五元組為隨機數(shù)���、CK���、 IK、 AUTN��、 XRES�����。該網(wǎng)絡設備可以是 TD - SCDMA系統(tǒng)和WCAMA系統(tǒng)中的HLR,也可以是IMS系統(tǒng)中的HSS或者 HLR等���。
在該網(wǎng)絡設備知道移動終端鑒權同步失敗后���,即使鑒權重同步校驗不通過, 也可為移動終端分配一個鑒權五元組����,那么整個網(wǎng)絡側利用這個鑒權五元組進 行接下來的鑒權流程��,從而避免了因為AMF不一致而導致的鑒權失敗��。
相應的��,圖4示出了本發(fā)明實施例中的網(wǎng)絡設備另 一結構示意圖�,該網(wǎng)絡設 備包括
接收單元401,用于接收鑒權重同步消息��;
驗證單元402,用于驗證接收單元401接收的鑒權重同步消息中的重同步鑒 權碼與網(wǎng)絡側中的重同步鑒權碼是否一致��;該驗證單元402還包括了獲得子單 元�����,用于獲得所述接收單元401接收的鑒權重同步消息中的隨機數(shù)���、序列號和 移動終端生成的重同步鑒權碼;生成子單元�,用于根據(jù)所述獲得子單元接收的 隨機數(shù)、序列號生成網(wǎng)絡側的重同步鑒權碼����;驗證子單元����,用于判斷所述獲得 子單元接收的移動終端生成的重同步鑒權碼與生成子單元中生成的網(wǎng)絡側的重 同步鑒權碼是否一致�。
獲得單元403,用于在—險證單元402驗證鑒權重同步消息中的重同步鑒權碼 與網(wǎng)絡側中的重同步鑒權碼不一致后,從所述接收單元401接收的鑒權重同步 消息中獲得移動終端的序列號�;
處理單元404,用于根據(jù)所述獲得單元403獲得的序列號生成一組鑒權五元 組,并將所述鑒權五元組下發(fā)進行鑒權��,具體的��,該處理單元403根據(jù)獲得單元 403獲得的序列號和網(wǎng)絡設備中存儲的長期密鑰��,通過鑒權算法生成一個鑒權五 元組���,如第三代移動通信技術3G鑒權算法���;
通知單元405,用于在驗證單元402驗證鑒權重同步消息中的重同步鑒權碼 與網(wǎng)絡側中的重同步鑒權碼不一致后�����,生成驗證報告信息并通知給網(wǎng)絡系統(tǒng)中 的其它設備�����,該驗證包括信息包括用戶的用戶識別碼IMSI、或重同步驗證失敗 原因或告警原因�,該驗證報告一般可以通過告警方式或者日志方式讓用戶獲知。
這里的鑒權五元組為隨機數(shù)�����、CK��、 IK��、 AUTN���、 XRES����。該網(wǎng)絡設備可以是TD - SCDMA系統(tǒng)和WCAMA系統(tǒng)中的HLR�����,也可以是IMS系統(tǒng)中的HSS或者 HLR等����。
在該網(wǎng)絡設備知道移動終端鑒權同步失敗后,即使判斷出重同步鑒權碼不 一致時�,也可為移動終端分配一個鑒權五元組,那么整個網(wǎng)絡側利用這個鑒權 五元組進行接下來的鑒權流程�����,從而避免了因為AMF不一致而導致的鑒權失敗����。
綜上所述,如果網(wǎng)絡側的中計算出的MAC-S和移動終端返回的MAC-S不一 致�����,網(wǎng)絡側不用更新自己存儲的SQN數(shù)據(jù)����,但是網(wǎng)絡側依然根據(jù)移動終端的SQN 計算出新的鑒權五元組下發(fā)給VLR/SGSN繼續(xù)后面的鑒權過程。如果是由于 AMF導致的本次重同步失敗���,網(wǎng)絡側獲得移動終端SQN值后生成鑒權五元組下 發(fā)���,后繼的鑒權流程可以成功。這樣可以解決由于AMF錯誤導致的重同步失敗���, 而導致用戶無法上網(wǎng)的情況�����。減少運營商在這種情況下的損失�����,也避免用戶的 大量投訴�����,提高客戶感知��,從而提高運營商的品牌��。對于有問題的卡���,網(wǎng)絡設 備可以通過告警或者日志的方式通知給網(wǎng)絡系統(tǒng)來系統(tǒng)運營商�����,方便運營商了 解用戶卡所存在的問題�。
以上所揭露的僅為本發(fā)明一種較佳實施例而已��,當然不能以此來限定本發(fā) 明之權利范圍�,因此依本發(fā)明權利要求所作的等同變化,仍屬本發(fā)明所涵蓋的 范圍�����。
通過以上的實施方式的描述����,本領域的技術人員可以清楚地了解到本發(fā)明 可借助軟件加必需的硬件平臺的方式來實現(xiàn),當然也可以全部通過硬件來實施�。 基于這樣的理解,本發(fā)明的技術方案對背景技術做出貢獻的全部或者部分可以 以軟件產(chǎn)品的形式體現(xiàn)出來���,該計算機軟件產(chǎn)品可以存儲在存儲介質中��,如 ROM/RAM�、磁碟�、光盤等,包括若干指令用以使得一臺計算機設備(可以是個 人計算機����,服務器,或者網(wǎng)絡設備等)執(zhí)行本發(fā)明各個實施例或者實施例的某 些部分所述的方法��。
權利要求
1、一種實現(xiàn)鑒權重同步的方法��,其特征在于��,包括接收鑒權重同步消息�����;在驗證所述鑒權重同步消息中的重同步鑒權碼與網(wǎng)絡側中的重同步鑒權碼不一致后��,從所述鑒權重同步消息中獲得移動終端的序列號�����;根據(jù)所述序列號生成一組鑒權五元組��,并將所述鑒權五元組下發(fā)進行鑒權����。
2、 如權利要求l所述的方法����,其特征在于,所迷驗證鑒權重同步消息中的 重同步鑒權碼與網(wǎng)絡側中的重同步鑒權碼不一致步驟具體為獲得所述鑒權重同步消息中的隨機數(shù)�����、序列號和移動終端生成的重同步鑒 權碼;根據(jù)所迷隨機數(shù)�����、序列號生成網(wǎng)絡側的重同步鑒權碼��; 判斷移動終端生成的重同步鑒權碼與網(wǎng)絡側的重同步鑒權碼是否一致���。
3、 如權利要求l所述的方法����,其特征在于,所述根據(jù)所述序列號生成一組 l權五元組步驟具體為根據(jù)所述序列號和長期密鑰�,通過鑒權算法生成一個鑒權五元組。
4�、 如權利要求1至3任一項所述的方法,其特征在于�����,所迷方法還包括 在驗證鑒權重同步消息中的重同步鑒權碼與網(wǎng)絡側中的重同步鑒權碼不 一致 后�����,生成驗證4艮告信息,所述驗證報告信息包括用戶的用戶識別碼IMSI和/或重 同步驗證失敗原因�����。
5���、 如權利要求4所述的方法���,其特征在于,所述驗證報告為告警或者日志��。
6��、 一種網(wǎng)絡設備����,其特征在于,包括 接收單元��,用于接收鑒權重同步消息��;驗證單元,用于驗證接收單元接收的鑒權重同步消息中的重同步鑒權碼與 網(wǎng)絡側中的重同步鑒權碼是否 一致�; 獲得單元,用于在驗證單元驗證鑒權重同步消息中的重同步鑒權碼與網(wǎng)絡 側中的重同步鑒權碼不一致后�����,從所述接收單元接收的鑒權重同步消息中獲得移動終端的序列號���;處理單元��,用于根據(jù)所述獲得單元獲得的序列號生成一組鑒權五元組,并 將所述鑒權五元組下發(fā)進行鑒權��。
7���、 如權利要求6所述的網(wǎng)絡設備���,其特征在于,所述驗證單元包括 獲得子單元���,用于獲得所述接收單元接收的鑒權重同步消息中的隨機數(shù)����、序列號和移動終端生成的重同步鑒權碼��;生成子單元,用于根據(jù)所述獲得子單元接收的隨機數(shù)����、序列號生成網(wǎng)絡側 的重同步鑒權碼;驗證子單元�,用于判斷所述獲得子單元接收的移動終端生成的重同步鑒權 碼與生成子單元中生成的網(wǎng)絡側的重同步鑒權碼是否一致。
8��、 如權利要求6所述的網(wǎng)絡設備�����,其特征在于�,所述處理單元根據(jù)所述獲得單元獲得的序列號和所述網(wǎng)絡設備中存儲的長期密鑰,通過鑒權算法生成一 個鑒權五元組����。
9、 如權利要求6至8任一項所述的網(wǎng)絡設備��,其特征在于����,所述網(wǎng)絡設備 還包括通知單元,用于在驗證單元驗證鑒權重同步消息中的重同步鑒權碼與網(wǎng)絡 側中的重同步鑒權碼不一致后,生成驗證報告信息并通知給網(wǎng)絡系統(tǒng)�����,所述驗 證報告信息包括用戶的用戶識別碼IMSI和/或重同步驗證失敗原因����。
全文摘要
本發(fā)明實施例公開了一種實現(xiàn)鑒權重同步的方法,包括接收鑒權重同步消息����;在驗證鑒權重同步消息中的重同步鑒權碼與網(wǎng)絡側中的重同步鑒權碼不一致后,從所述返回的鑒權重同步消息中獲得移動終端的序列號�;根據(jù)所述序列號生成一組鑒權五元組�����,并將所述鑒權五元組下發(fā)進行鑒權����。相應的,本發(fā)明實施例還公開了一種網(wǎng)絡設備����,通過本發(fā)明實施例所提出的方法和設備,避免了因為AMF不一致時導致的鑒權失敗。
文檔編號H04W12/06GK101448263SQ20081022001
公開日2009年6月3日 申請日期2008年12月16日 優(yōu)先權日2008年12月16日
發(fā)明者健 楊, 程零冪, 陳歷軍 申請人:華為技術有限公司