专利名称:网络鉴权系统及网络侧接受终端接入的方法
技术领域:
本发明涉及移动通信领域,尤其涉及一种鉴权失败后终端接入网络的方法。
背景技术:
随着移动通信技术的发展和成熟,移动终端的使用规模快速增长,不可避免地出现了非法终端干扰合法终端的使用。例如,在码分多址接入CDMA (Code Division MultipleAccess)网络中,存在着克隆卡。使用克隆卡的终端复制合法终端的国际移动用户识别码IMSI(InternationalMobile Subscriber Identity)禾口电子序列号ESN(ElectronicSerialNumber)。归属位置寄存器HLR(Home Location Register)在用户登记过程中无法识别出克隆卡。网络只能启用鉴权功能将A密钥(A_KEY)错误的克隆卡用户识别出来,拒绝其接入网络。 在实际网络中,鉴权功能并不是针对用户的所有业务流程都开启。针对某些突发业务,考虑到即时性和终端兼容性,通常不开启鉴权功能。克隆卡终端如果进行不开启鉴权的业务,就可能触发登记,并登记成功;此时就会干扰合法终端的使用,给合法用户造成损失。克隆卡终端被拒绝后可能会频繁尝试接入网络,触发交换侧网元间鉴权相关消息的交互,增加网络的信令负荷。
发明内容
本发明的主要目的是提供了一种终端鉴权失败后网络侧接受终端接入的方法及系统。
为实现上述目的,本发明采用如下的技术方案 —种网络鉴权系统,包括拜访位置寄存器VLR、归属位置寄存器HLR ;所述归属位置寄存器HLR通知所述拜访位置寄存器VLR设置针对终端接入的否定周期;在否定周期内,所述拜访位置寄存器VLR限制该终端接入网络针对不同的业务类型选择允许该终端接入、进行鉴权和直接拒绝该终端接入。 在一种实施方式中,上述的网络鉴权系统,还包括计时器,所述否定周期基于时间,所述计时器计算本次接入时间和设置否定周期时间点的时间差值,差值大于否定时间则否定周期过期,差值小于等于否定时间则在否定周期内。 在一种实施方式中,上述的网络鉴权系统,还包括计数器,所述否定周期基于呼叫次数,所述计数器的初始值是否定周期呼叫次数,终端每次接入网络时,该计数器递减,如果本次接入时呼叫次数计数器为零,则否定周期过期,本次接入时呼叫次数大于零则在否定周期内。 同时,本发明提出了一种网络侧接受终端接入的方法,由归属位置寄存器HLR通知拜访位置寄存器VLR设置针对终端接入的否定周期;在否定周期内,由拜访位置寄存器VLR限制该终端接入网络针对不同的业务类型选择允许终端接入、进行鉴权和直接拒绝终端接入。
在一种实施方式中,上述的网络侧接受终端接入的方法,包括以下步骤 网络侧对接入的终端进行鉴权,拜访位置寄存器VLR向归属位置寄存器HLR发送鉴权请求消息; 归属位置寄存器HLR计算鉴权参数,判断鉴权失败,在对拜访位置寄存器VLR的响应消息中指示限制接入; 拜访位置寄存器VLR收到响应消息后,针对该终端设置否定周期; 在否定周期内,拜访位置寄存器VLR限制终端接入网络。 在一种实施方式中,上述的网络侧接受终端接入的方法,包括以下步骤 归属位置寄存器HLR主动发送鉴权指示请求消息给拜访位置寄存器VLR,指示限
制接入; 拜访位置寄存器VLR收到响应消息后,针对该终端设置否定周期;
在否定周期内,拜访位置寄存器VLR限制终端接入网络。 上述的网络侧接受终端接入的方法,如果否定周期过期,网络侧按照设置进行鉴权或者直接允许接入。 在一种实施方式中,上述的网络侧接受终端接入的方法,所述否定周期基于时间,计算本次接入时间和设置否定周期时间点的时间差值,差值大于否定时间则否定周期过期,差值小于等于否定时间则在否定周期内。在一种实施方式中,所述否定周期基于呼叫次数,拜访位置寄存器维护呼叫次数的计数器,计数器的初始值是否定周期呼叫次数,用户每次接入网络时,呼叫次数计数器递减,如果本次接入时呼叫次数计数器为零,则否定周期过期,本次接入时呼叫次数大于零则在否定周期内。 在一种实施方式中,上述的网络侧接受终端接入的方法,在否定周期内,拜访位置
寄存器判断否定周期内业务的接入策略;该接入策略包括直接拒绝用户接入,业务失败;
进行鉴权,拜访位置寄存器进行鉴权计算并和归属位置寄存器进行鉴权消息的交互;允许
用户接入,不判断用户是否合法,一律放行。 与现有技术相比,本发明的有益效果在于 本发明提供的系统和方法,针对鉴权失败的终端设置否定周期,或可由运营商等主动针对某终端设置否定周期,在否定周期内限制该终端接入网络,可以减少网元间鉴权信令的交互,降低网络的负荷和开销。 在具体应用中,本发明提供的系统和方法,可以用于减小克隆卡终端对合法用户的干扰。
图1是本发明第
图2是本发明第
图3是本发明第
图4是本发明第
图5是本发明第
一实施例的网络鉴权系统结构示意图;二实施例设置否定周期的流程二实施例短消息起呼业务判断是否允许接入的流程图;三实施例设置否定周期的流程图;三实施例语音起呼业务判断是否允许接入的流程图。
具体实施例方式
下面对照附图并结合具体实施方式
对本发明进行进一步详细说明。
第一实施例 请参考图1所示,本例的网络鉴权系统,包括拜访位置寄存器VLR、归属位置寄存器HLR和鉴权中心AC ;在本发明的移动通信网络中,虽实际是由鉴权中心这个网元负责鉴权的策略,基于归属位置寄存器和鉴权中心在硬件和软件实现上是合一的,在本例及以下实施例中二者不作区分,仅以归属位置寄存器HLR指称。另外,附图也仅针对鉴权失败的情况进行描述,鉴权成功的情况省略。 拜访位置寄存器VLR对终端设置否定周期,归属位置寄存器HLR指示所述拜访位置寄存器VLR在否定周期内限制该终端接入网络针对不同的业务类型选择允许该终端接入、进行鉴权和直接拒绝该终端接入。 本例的网络鉴权系统,还包括一计时器,当否定周期基于时间时,计时器计算本次接入时间和设置否定周期时间点的时间差值,差值大于否定时间则否定周期过期,差值小于等于否定时间则在否定周期内。 本例的网络鉴权系统,还包括一计数器,当否定周期基于呼叫次数时,所述计数器的初始值是否定周期呼叫次数,终端每次接入网络的时候,该计数器递减,如果本次接入时呼叫次数计数器为零,则否定周期过期,本次接入时呼叫次数大于零则在否定周期内。
第二实施例 请参照图2和图3所示,图2是设置否定周期的流程图;图3是短消息起呼业务判断是否允许接入的流程图。 如图2所示,本例中,在第一实施例的网络鉴权系统中,设置否定周期包括以下步骤 步骤S101,移动终端接入网络携带鉴权参数,这个过程发生在移动终端进行任何
业务的时候,例如开机、周期性位置更新、语音起呼、语音终呼、数据业务起呼等。 步骤S102,拜访位置寄存器接收到移动终端的位置更新请求或者接入请求,进行
鉴权处理。并发送鉴权相关请求消息到归属位置寄存器,等待归属位置寄存器的响应。 在共享保密参数SSD(Shared Secret Data)不共享的情况下,拜访位置寄存器直
接发送鉴权请求请求消息给归属位置寄存器,消息中携带终端的鉴权参数。 在SSD共享的情况下,如果缺少鉴权参数或者随机数不匹配,则拜访位置寄存器
触发独特查询,独特查询失败后发送鉴权失败报告请求消息给归属位置寄存器,报告独特
查询失败。如果统一查询计算出来的鉴权结果不匹配,则直接发送鉴权失败报告请求消息
到归属位置寄存器,报告鉴权结果不匹配。 发送请求消息后,拜访位置寄存器启动定时器,等待归属位置寄存器的响应消息,以决定后续的处理。 步骤S103,归属位置寄存器接收到鉴权相关请求消息之后,结合鉴权结果和鉴权策略,决定限制接入。发送响应消息给拜访位置寄存器。 在步骤S103的处理过程中,归属位置寄存器有可能根据鉴权策略决定需要进行SSD更新,SSD更新失败后,拜访位置寄存器发送鉴权状态报告请求消息给归属位置寄存器,报告SSD更新失败。之后归属位置寄存器在鉴权状态报告响应消息中指示限制接入。
5
步骤S104,拜访位置寄存器接收到鉴权相关的响应消息,为该用户设置否定周期。 否定周期的单位可以是分钟、小时、天、周、呼叫次数、无限期。具体的否定周期数值在拜访 位置寄存器上设置,针对登记在该拜访位置寄存器中的所有用户都有效。拜访位置寄存器 中还记录用户设置否定周期时接入网络的时间,后续用户再次接入网络时计时器结合接入 时间和否定周期进行判断否定周期是否到期。 如图3所示,本例中的短消息起呼业务判断是否允许接入的流程图包括以下步 骤 步骤S201,移动终端发送短消息,短消息起呼业务,携带鉴权参数。 步骤S202,拜访位置寄存器接收到移动终端的接入请求,判断本次用户接入是否
在否定周期内。关于否定周期的设置,可以基于时间,例如分钟、小时、天。也可以基于呼叫
次数,例如每次呼叫、三次呼叫。还可以是无限期的。根据网络情况进行设置。 如果否定周期是基于时间的,则计时器计算本次接入时间和设置否定周期时间点
的时间差值,差值大于否定时间的则否定周期过期,差值小于等于否定时间的则在否定周期内。 如果否定周期是基于呼叫次数的,拜访位置寄存器需要维护呼叫次数的计数器。 计数器的初始值是否定周期呼叫次数,用户每次语音接入或者数据业务接入网络的时候, 计数器的呼叫次数递减。如果本次接入时呼叫次数计数器为零,则否定周期过期,大于零则 在否定周期内。 如果否定周期是无限期,则一定在否定周期内。 在否定周期内,转步骤S203 ;否定周期到期,转步骤S204。 步骤S203,在否定周期内,拜访位置寄存器判断否定周期内短消息起呼业务的接 入策略。考虑到系统处理的兼容性以及尽量减小对合法用户的干扰,接入策略包括直接拒 绝用户接入,转步骤S205 ;进行鉴权,转步骤S206 ;允许用户接入,转步骤S207。该接入策 略在拜访位置寄存器上设置。如果设置为直接拒绝用户,克隆用户鉴权失败后,合法用户再 进行短消息起呼也将被直接拒绝。如果设置为进行鉴权,还可以保证合法用户的短消息起 呼不受影响。 步骤S204,接入网络时否定周期已经到期,拜访位置寄存器判断短消息起呼业务 的接入策略。进行鉴权,转步骤S206 ;允许用户接入,转步骤S207。
步骤S205,直接拒绝用户接入,短消息起呼失败。 步骤S206,进行鉴权,拜访位置寄存器根据SSD共享情况进行鉴权计算并和归属 位置寄存器进行鉴权消息的交互。类似步骤S103的处理。如果鉴权失败,则设置否定周期, 拒绝用户接入。如果鉴权成功,则允许用户接入,新用户还会进行隐含登记。
步骤S207,允许用户接入。不判断用户是否合法,短消息起呼一律放行。
第三实施例 图4是HLR主动指示鉴权拒绝情况下设置否定周期的流程图。图5是语音起呼业 务判断是否允许接入的流程图。 如图4所示,在第一实施例的网络鉴权系统中,HLR主动指示鉴权拒绝情况下设置 否定周期的流程包括以下步骤 步骤S301,归属位置寄存器发送鉴权指示请求消息给拜访位置寄存器,指示限制
6接入。 步骤S302,拜访位置寄存器针对用户设置否定周期。设置否定周期的原则和第二 实施例的步骤S104—致。之后拜访位置寄存器向归属位置寄存器返回响应消息。此后用 户终端再接入网络将受到否定周期的限制。 和第二实施例设置否定周期不同的是,此次设置否定周期是归属位置寄存器主动 发送指示消息后触发的,是网络侧行为,没有用户行为参与。而第一实施例中是用户终端接 入网络后鉴权失败触发的,与用户行为有关。本例中,运营商可以基于用户的投诉,或疑似 该用户终端遭到克隆的现象等,通过人机界面令归属位置寄存器主动发送指示消息。
如图5所示,语音起呼业务判断是否允许接入的流程包括以下步骤
步骤S401,移动终端语音起呼,携带鉴权参数。 步骤S402,拜访位置寄存器判断本次接入是否在否定周期内。具体的判断原则和 步骤S202相同。如果在否定周期内,转步骤S403 ;如果否定周期过期,转步骤S404。
步骤S403,拜访位置寄存器判断语音起呼业务在否定周期内的接入策略,该接入 策略作为拜访位置寄存器的控制参数预先设置。如果直接拒绝接入,转步骤S405 ;如果进 行鉴权,转步骤S406。 步骤S404,拜访位置寄存器判断语音起呼业务在否定周期到期后的接入策略,本
实施例中仅选择进行鉴权,转步骤S406。 步骤S405,直接拒绝接入,语音起呼失败。 步骤S406,针对语音起呼业务进行鉴权。如果鉴权成功,则允许用户接入,新用户 进行隐含登记。如果鉴权失败,则拒绝语音起呼。 以上内容是结合具体的优选实施方式对本发明所作的进一步详细说明,但这只是 为便于理解而举的实例,不应认为本发明的具体实施只局限于这些说明。对于本发明所属 技术领域的普通技术人员来说,在不脱离本发明构思的前提下,可以做出各种可能的等同 改变或替换,这些改变或替换都应属于本发明的保护范围。
权利要求
一种网络鉴权系统,包括拜访位置寄存器VLR、归属位置寄存器HLR;所述归属位置寄存器HLR通知所述拜访位置寄存器VLR设置针对终端接入的否定周期;在否定周期内,所述拜访位置寄存器VLR限制该终端接入网络针对不同的业务类型选择允许该终端接入、进行鉴权和直接拒绝该终端接入。
2. 如权利要求l所述的网络鉴权系统,其特征是还包括计时器,所述否定周期基于时间,所述计时器计算本次接入时间和设置否定周期时间点的时间差值,差值大于否定时间则否定周期过期,差值小于等于否定时间则在否定周期内。
3. 如权利要求1所述的网络鉴权系统,其特征是还包括计数器,所述否定周期基于呼叫次数,所述计数器的初始值是否定周期呼叫次数,终端每次接入网络时,该计数器递减,如果本次接入时呼叫次数计数器为零,则否定周期过期,本次接入时呼叫次数大于零则在否定周期内。
4. 一种网络侧接受终端接入的方法,由归属位置寄存器HLR通知拜访位置寄存器VLR设置针对终端接入的否定周期;在否定周期内,由拜访位置寄存器VLR限制该终端接入网络针对不同的业务类型选择允许终端接入、进行鉴权和直接拒绝终端接入。
5. 如权利要求4所述的网络侧接受终端接入的方法,其特征是包括以下步骤网络侧对接入的终端进行鉴权,拜访位置寄存器VLR向归属位置寄存器HLR发送鉴权请求消息;归属位置寄存器HLR计算鉴权参数,判断鉴权失败,在对拜访位置寄存器VLR的响应消息中指示限制接入;拜访位置寄存器VLR收到响应消息后,针对该终端设置否定周期;在否定周期内,拜访位置寄存器VLR限制终端接入网络。
6. 如权利要求4所述的网络侧接受终端接入的方法,其特征是包括以下步骤归属位置寄存器HLR主动发送鉴权指示请求消息给拜访位置寄存器VLR,指示限制接入;拜访位置寄存器VLR收到响应消息后,设置针对终端接入的否定周期;在否定周期内,拜访位置寄存器VLR限制终端接入网络。
7. 如权利要求5或6所述的网络侧接受终端接入的方法,其特征是如果否定周期过期,网络侧按照设置进行鉴权或者直接允许接入。
8. 如权利要求5或6所述的网络侧接受终端接入的方法,其特征是所述否定周期基于时间,计算本次接入时间和设置否定周期时间点的时间差值,差值大于否定时间则否定周期过期,差值小于等于否定时间则在否定周期内。
9. 如权利要求5或6所述的网络侧接受终端接入的方法,其特征是所述否定周期基于呼叫次数,拜访位置寄存器维护呼叫次数的计数器,计数器的初始值是否定周期呼叫次数,用户每次接入网络时,呼叫次数计数器递减,如果本次接入时呼叫次数计数器为零,则否定周期过期,本次接入时呼叫次数大于零则在否定周期内。
10. 如权利要求5或6所述的网络侧接受终端接入的方法,其特征是在否定周期内,拜访位置寄存器判断否定周期内业务的接入策略;该接入策略包括直接拒绝用户接入,业务失败;进行鉴权,拜访位置寄存器进行鉴权计算并和归属位置寄存器进行鉴权消息的交互;允许用户接入,不判断用户是否合法,一律放行。
全文摘要
本发明公开了一种网络鉴权系统及网络侧接受终端接入的方法,系统包括拜访位置寄存器VLR、归属位置寄存器HLR;所述归属位置寄存器HLR通知所述拜访位置寄存器VLR对终端设置否定周期;在否定周期内,所述拜访位置寄存器VLR限制该终端接入网络针对不同的业务类型选择允许该终端接入、进行鉴权和直接拒绝该终端接入。本发明提供的方法,针对鉴权失败的终端设置否定周期,或可由运营商等主动针对某终端设置否定周期,在否定周期内限制该终端接入网络,与现有技术相比,减少网元间鉴权信令的交互,降低网络的负荷和开销;在一种应用中,可以用于减小克隆卡终端对合法用户的干扰。
文档编号H04W12/06GK101707771SQ200910109738
公开日2010年5月12日 申请日期2009年11月17日 优先权日2009年11月17日
发明者庄宁 申请人:中兴通讯股份有限公司