专利名称:一种共享加密数据更新实现方法和系统的制作方法
技术领域:
本发明涉及CDMA (Code Division Multiple Access,码分多址)技术领域,尤其涉及一种SSDGhared Secret Data,共享加密数据)更新实现方法和系统。
背景技术:
随着3G(3rd-Generati0n,第三代)移动通信技术的发展,CDMA2000的标准体系也取得了很大的进步,为了满足CDMA 2GOnd-Generati0n,第二代)(例如,仅支持CAVE鉴权的UIM卡)用户对3G(EV-D0)业务的使用需求,各运营商和标准化组织,提出了一系列的接入鉴权实现方案。其中通过EV-DO(Evolution-Data Only,演进数据)的核心认证设备 (AN-AAA (Access Network-Authentication, Accounting, Authorization,
权与计帐)服务器)和归属位寄存器(Home Location Register,HLR)/AC(Authentication Center,认证中心)的打通,能够实现CDMA 2G用户接入EV-DO网络的鉴权,但这些方案没有解决此类用户接EV-DO网络后,当终端侧与网络侧SSD不同步时的接入鉴权问题。
发明内容
本发明要解决的一个技术问题是提供一种共享加密数据更新实现方法,能够解决终端侧与网络侧SSD不同步时的接入鉴权问题。本发明提供一种共享加密数据SSD更新实现方法,应用于支持CAVE (Cellular Authentication, Voice Privacy and Encryption Algorithm,) 鉴权的MS用户接入3G网络,包括AN-AAA接收到接入请求消息;当预定条件触发时,AN-AAA向HLR/AC发送鉴权请求激活消息;HLR/AC收到鉴权请求激活消息后,执行CAVE-based鉴权;HLR/AC向AN-AAA发送鉴权请求返回结果消息,其中包括SSD参数。进一步,预定条件包括在AN-AAA上未保存HLR/AC共享保存的SSD ;或在AN-AAA 上对用户鉴权失败;或在AN-AAA上用户的SSD同步计数器达到门限。进一步,如果HLR/AC执行CAVE-based (基于CAVE)鉴权通过,鉴权请求激活消息中包括由HLR/AC分配的SSD参数;在HLR/AC向AN-AAA发送鉴权请求返回结果消息后,方法还包括=AN-AAA存储由HLR/AC分配的SSD参数;AN-AAA向WAG发送接入接受消息。进一步,如果HLR/AC执行CAVE-based鉴权失败,则鉴权请求返回结果消息中携带RANDSSD和用RANDSSD计算出来的新SSD参数;在HLR/AC向所述AN-AAA发送鉴权请求返回结果消息后,该方法还包括=AN-AAA保存新的SSD ;AN-AAA向MS发送RANDSSD以触发 AN-AAA和MS完成新的SSD的同步。进一步,AN-AAA向MS发送RADDSSD以触发AN-AAA和MS完成新的SSD的同步的步骤包括AN-AAA 向 MS 发送 RANDSSD ;
MS的UIM卡根据RANDSSD计算新的SSD和期望网络侧返回的AUTHBS ;AN-AAA接收MS发送来的根据RANDSSD生成的RANDBS ;AN-AAA收到RANDBS后,根据新SSD计算AUTHBS,发送给MS ;MS的UIM比较网络侧发来的AUTHBS和本地计算出的AUTHBS,如果两者相等,则使新的SSD生效。本发明提供的共享加密数据更新实现方法,AN-AAA接收到接入请求消息,当预定条件触发时,由AN-AAA向HLR/AC发送鉴权请求激活消息,获得HLR/AC返回的SSD参数,实现终端侧和网络侧SSD不同步的问题。本发明要解决的另一个技术问题是提供一种共享加密数据更新实现系统,能够解决终端侧与网络侧SSD不同步时的接入鉴权问题。本发明提供一种SSD更新实现系统,应用于支持CAVE鉴权的UIM卡用户接入3G 网络,包括AN-AAA,用于接收到接入请求消息,当预定条件触发时,发送鉴权请求激活消息; 接收鉴权请求返回结果消息,保存鉴权请求返回结果消息中的SSD参数;HLR/AC,用于接收来自AN-AAA的鉴权请求激活消息,进行CAVE鉴权,向AN-AAA发送鉴权请求返回结果消息,其中包括SSD参数。进一步,预定条件包括在AN-AAA上未保存HLR/AC共享保存的SSD ;或在AN-AAA上对用户鉴权失败;或在AN-AAA上用户的SSD同步计数器达到门限。进一步,鉴权请求激活消息包括MSID、ESN、RAND和AUTHU ;HLR/AC还用于当CAVE-based鉴权通过时,在鉴权请求返回结果消息中包括SSD参数;当CAVE-based鉴权失败时,在鉴权请求返回结果消息中包括RANDSSD和用RANDSSD计算出来的新SSD参数。进一步,如果CAVE-based鉴权通过,AN-AAA收到鉴权请求返回结果消息后, AN-AAA存储由HLR/AC分配的SSD参数,向WAG发送接入接受消息。进一步,如果HLR/AC执行CAVE-based鉴权失败,AN-AAA收到鉴权请求返回结果消息后,存储由HLR/AC分配的新的SSD参数,向MS发送RANDSSD以触发AN-AAA和MS完成新的SSD的同步。本发明提供的共享加密数据更新实现系统,当预定条件触发时由AN-AAA向HLR/ AC发送鉴权请求激活消息,获得HLR/AC返回的SSD参数,实现终端侧和网络侧SSD不同步的问题。
图1示出本发明的SSD更新实现方法的一个实施例的流程图;图2示出在SSD已共享条件下的2G用户正常接入3G网络接入鉴权成功的流程示意图;图3示出本发明用户接入鉴权过程中AN-AAA主动发起的SSD更新和鉴权成功的一个实施例的流程图4示出本发明的SSD更新实现方法的另一个实施例的流程图;图5示出本发明HLR/AC处鉴权失败时触发的SSD同步更新成功的一个实施例的流程图。
具体实施例方式下面参照附图对本发明进行更全面的描述,其中说明本发明的示例性实施例。图1示出本发明的SSD更新实现方法的一个实施例的流程图。如图1所示,在步骤102,在用户接入鉴权过程中,AN-AAA接收到接入请求消息。在步骤104,当预定条件触发时,AN-AAA向HLR/AC发送鉴权请求激活 (Authentication Request INVOKE)消息。例如,如果AN-AAA上未保存HLR/AC共享保存的 SSD,或者在AN-AAA上对用户鉴权失败,或者在AN-AAA上用户的SSD同步计数器达到门限, 则AN-AAA向HLR/AC发送鉴权请求激活消息,消息中携带MSID、ESN、RAND和AUTHU等参数。在步骤106,HLR/AC收到所述鉴权请求激活消息后,执行CAVE-based鉴权。在步骤108,HLR/AC 向 AN-AAA 发送鉴权请求返回结果(Authentication Request Return Result)消息,其中包括SSD参数。HLR/AC收到鉴权请求激活消息后,执行 CAVE-based鉴权,如果CAVE-based鉴权通过,则在鉴权请求返回结果消息中包括SSD参数, 如果CAVE-based鉴权失败,则在鉴权请求返回结果消息中包括RANDSSD和用RANDSSD计算出来的新SSD参数。AN-AAA保存收到的SSD参数,实现与HLR/AC的SSD同步。图2示出在SSD已共享条件下的2G用户(支持CAVE鉴权)正常接入3G网络接入鉴权成功的流程示意图。如图2所示,步骤202,在SSD共享过程中,AN-AAA已保存了由HLR/AC共享的SSD。步骤204,MS发送注册(Register)消息,注册消息中包含X-CT-UE和 X-CT-Security参数,请求接入认证。步骤206,WAG收到注册消息后,发起一个Random Challenge的随机数(RANDU, 24bits)(参见附录E要求),通过401Unauthorized消息发送给MS。步骤208,MS 收到 401Unauthorized 消息后,执行 CAVE-based 鉴权。步骤210,MS根据RANDU计算AUTHU,并将AUTHU和RANDU通过注册消息发送到 WAG。步骤212,WAG 向 AN-AAA 发送接入请求(Access Request)消息。步骤214,AN-AAA利用共享的SSD和其它必要参数执行CAVE鉴权,鉴权成功,SSD 同步计数器加1。如AN-AAA未保存HLR/AU共享的SSD、AN-AAA处鉴权失败或SSD计数器达到门限,则触发的鉴权流程参见图3。步骤214,鉴权通过,AN-AAA向WAG发送接入接受(Access Accept)消息。步骤216,WAG向MS返回2000K消息。2G(支持CAVE鉴权能力的UIM卡)用户接入3G网络发起注册鉴权时,如果在 AN-AAA上未保存HLR/AC共享保存的SSD,或在AN-AAA上对用户鉴权失败,或用户的SSD同步计数器达到门限时,AN-AAA需要到HLR/AC鉴权,并保存HLR/AC返回的Authentication Request Return Result消息中携带的SSD,复位SSD同步计数器。图3示出本发明用户接入鉴权过程中网AN-AAA主动发起的SSD更新和鉴权成功的一个实施例的流程图。步骤302,MS发送注册(Register)消息,注册消息中包含X-CT-UE和 X-CT-Security参数,请求接入认证。步骤304,WAG收到注册消息后,发起一个Random Challenge的随机数(RANDU, Mbits),通过401Unauthorized(未授权)消息发送给MS。步骤306,MS 收到 401Unauthorized 消息后,执行 CAVE_based 鉴权,根据 RANDU 计算 AUTHU。步骤308,MS将AUTHU和RANDU通过注册消息发送到WAG。步骤310,WAG向AN-AAA发送接入请求(Access Request)消息,其中包括AUTHU 参数。步骤312,如果在AN-AAA上未保存HLR/AC共享保存的SSD,或在AN-AAA上对用户鉴权失败,或用户的SSD同步计数器达到门限时,AN-AAA需要到HLR/AC鉴权。AN-AAA根据接入请求消息内容构造Authentication Request INVOKE消息,携带MSID、ESN、RAND和 AUTHU等参数,并发送给HLR/AC。 步骤314,HLR/AC执行CAVE-based鉴权。如果鉴权通过,HLR/AC将向AN-AAA发 3 Authentication Request Return Result 夕肖;|、,SSD步骤316,AN-AAA存储由HLR/AC分配的SSD,并复位SSD同步计数器。步骤318,AN-AAA 向 WAG 发送接入接受(Access Accept)消息。步骤320,WAG向MS返回2000K消息。图4示出本发明的SSD更新实现方法的另一个实施例的流程图。如图4所示,在步骤402,当预定条件触发时,AN-AAA向HLR/AC发送鉴权请求激活消息,鉴权请求激活消息包括MSID、ESN、RAND和AUTHU。步骤404,HLR/AC收到鉴权请求激活消息后执行CAVE-based鉴权。在步骤406,当HLR/AC执行CAVE-based鉴权失败时,HLR/AC向AN-AAA发送鉴权请求返回结果消息,鉴权请求返回结果消息中携带RANDSSD和用RANDSSD计算出来的新SSD 参数。步骤408,AN-AAA 保存新的 SSD ;步骤410,AN-AAA 向 MS 发送 RANDSSD ;步骤412,MS的UIM卡根据RANDSSD计算新的SSD和期望网络侧返回的AUTHBS ;步骤414,AN-AAA接收MS发送来的根据RANDSSD生成的RANDBS ;步骤416,AN-AAA收到RANDBS后,根据新SSD计算AUTHBS发送给MS ;步骤418,MS的UIM比较网络侧发来的AUTHBS和本地计算出的AUTHBS,如果两者相等,则使新的SSD生效。图5示出本发明HLR/AC处鉴权失败时触发的SSD同步更新成功的一个实施例的流程图。如图5所示,步骤502,MS注册(Regi ster)消息,注册消息中包含X-CT-UE和 X-CT-Security参数,请求接入认证。步骤504,WAG收到注册消息后,发起一个Random Challenge的随机数(RANDU, 24bits),通过401 Unauthorized (未授权)消息发送给MS。
步骤506,MS 收到 401Unauthorized 消息后,执行 CAVE-based 鉴权。步骤508-510,MS根据RANDU计算AUTHU,并将AUTHU和RANDU通过注册消息发送至Ij WAG。步骤512,WAG向AN-AAA发送接入请求(Access Request)消息。请求中至少包含 NAI、Chap-Password、Chap-Challenge 属性,其中 Chap-Password 属性携带 AUTHU, Chap-Challenge 属性携带 RAND。步骤514,AN-AAA执行CAVE鉴权过程失败或SSD同步计数器达到门限值,根据接入请求消息内容构造鉴权请求激活(Authentication Request INVOKE)消息,其中参数 SYSACCTYPE设为page response,参数SYSCAP设为09H,表示系统支持CAVE-based鉴权和 SSD共享,参数TERMTYPE设为1,参数COUNT设为0,并发送给HLR/AC。步骤516,HLR/AC执行CAVE鉴权过程仍失败,向AN-AAA发送鉴权请求返回结果 (Authentication Request Return Result)消息,其中携带 RANDSSD 和用 RANDSSD 计算出来的新SSD参数。步骤518,AN-AAA 更新 SSD。步骤520,AN-AAA 向 WAG 发送 Access Challenge 消息,其中用 iTel-RANDSSD 属性携带RANDSSD参数。步骤522,WAG向MS发出503指示,并携带RANDSSD。步骤524,向UIM卡发送基站查询命令,参数为RANDked 手机类型终端收到RANDSSD后,终端向UIM卡发送基站查询命令,参数为 RANDSeed ;数据卡类型终端+PC侧客户端收到RANDSSD后,客户端向数据卡发送RANDSSD, 数据卡接收RANDSSD后保存,并向UIM卡发送基站查询命令,参数为RANDked。步骤526,UIM卡基站查询命令的发送手机类型终端UIM卡响应基站查询命令,返回RANDBS给终端。数据卡类型终端+PC侧客户端UIM卡响应基站查询命令,返回RANDBS给数据卡。步骤528 530,发送RANDBS给WAG,向UIM卡发送更新SSD命令。手机类型终端终端通过注册请求转发RANDBS给WAG ;之后向UIM卡发送更新SSD 命令,参数中包含RANDSSD。数据卡类型终端+PC侧客户端数据卡向UIM卡发送更新SSD命令,参数中包含 RANDSSD,数据卡返回RANDBS给客户端,客户端通过注册请求转发RANDBS给WAG。步骤532,UIM卡收到更新SSD命令后,计算新的SSD和期望网络侧返回的AUTHBS。步骤534,WAG收到RANDBS后,发送接入请求给AN-AAA,在消息中包含属性 Chap-Challenge 以携带 RANDBS,和步骤 520 中 AN-AAA 在 Access Challenge 消息中发送给它的Mate属性。步骤536,AN-AAA收到RANDBS后,用步骤518中得到的新SSD,计算AUTHBS。步骤538,AN-AAA发送接入接受(Access-Accept)给WAG,消息中携带 Tel-WAG-AUTHBS。步骤MO,AN-AAA 向 HLR/AC 发送 Authentication Status Report INVOKE 消息, 报告SSD更新状态,状态值设为“SSD Update successful”。
i^if 542, HLR/AC^i^ Authentication Status Report Return Result应。步骤544,WAG 收到 Tel-WAG-AUTHBS 后,通过 SIP Response (2000K)传递给终端。步骤M6,终端向UIM卡发送确认SSD命令,参数中携带得到的网络侧传来的 AUTHBS.步骤M8,UIM比较网络侧发来的AUTHBS和步骤432中,本地计算出的AUTHBS。如果两者相等,则使新的SSD生效。之后,如果终端重新发起新的注册流程,具体步骤可以参见图2中的流程。需要注意,SSD同步过程中,MS内终端软件和UIM之间的接口交互,可以参考 3GPP2C. S0023-B 规范。通过上述实施例可以看出,在本发明中SSD的同步更新可由AN-AAA或HLR/AC发起。AN-AAA发起的SSD更新流程可以完成AN-AAA保存的共享SSD与HLR/AC上保存的用户 SSD 一致;HLR/AC发起的SSD更新可以完成HLR/AC、AN-AAA和MS上SSD的同步。本发明的描述是为了示例和描述起见而给出的,而并不是无遗漏的或者将本发明限于所公开的形式。很多修改和变化对于本领域的普通技术人员而言是显然的。选择和描述实施例是为了更好说明本发明的原理和实际应用,并且使本领域的普通技术人员能够理解本发明从而设计适于特定用途的带有各种修改的各种实施例。
权利要求
1.一种共享加密数据SSD更新实现方法,应用于支持CAVE鉴权的MS用户接入3G网络,其特征在于,包括接入网鉴权、授权与计帐服务器AN-AAA接收到接入请求消息; 当预定条件触发时,所述AN-AAA向归属位置寄存器/鉴权中心HLR/AC发送鉴权请求激活消息;所述HLR/AC收到所述鉴权请求激活消息后,执行基于CAVE的鉴权; 所述HLR/AC向所述AN-AAA发送鉴权请求返回结果消息,其中包括SSD参数。
2.根据权利要求1所述的SSD更新实现方法,其特征在于,所述预定条件包括 在所述AN-AAA上未保存所述HLR/AC共享保存的SSD ;或在所述AN-AAA上对用户鉴权失败; 或在所述AN-AAA上用户的SSD同步计数器达到门限。
3.根据权利要求1所述的SSD更新实现方法,其特征在于,如果所述HLR/AC执行 CAVE-based鉴权通过,所述鉴权请求激活消息中包括由所述HLR/AC分配的SSD参数;在所述HLR/AC向所述AN-AAA发送鉴权请求返回结果消息后,所述方法还包括所述AN-AAA存储由所述HLR/AC分配的SSD参数; 所述AN-AAA向WAG发送接入接受消息。
4.根据权利要求1所述的SSD更新实现方法,其特征在于,如果所述HLR/AC执行 CAVE-based鉴权失败,则所述鉴权请求返回结果消息中携带RANDSSD和用RANDSSD计算出来的新SSD参数;在所述HLR/AC向所述AN-AAA发送鉴权请求返回结果消息后,所述方法还包括 所述AN-AAA保存新的SSD ;所述AN-AAA向MS发送RANDSSD以触发所述AN-AAA和所述MS完成所述新的SSD的同止少ο
5.根据权利要求4所述的SSD更新实现方法,其特征在于,所述AN-AAA向MS发送 RANDSSD以触发所述AN-AAA和所述MS完成所述新的SSD的同步的步骤包括所述AN-AAA向所述MS发送RANDSSD ;所述MS的UIM卡根据所述RANDSSD计算新的SSD和期望网络侧返回的AUTHBS ; 所述AN-AAA接收所述MS发送来的根据所述RANDSSD生成的RANDBS ; 所述AN-AAA收到所述RANDBS后,根据所述新SSD计算AUTHBS,发送给所述MS ; 所述MS的UIM比较网络侧发来的AUTHBS和本地计算出的AUTHBS,如果两者相等,则使新的SSD生效。
6.一种共享加密数据SSD更新实现系统,应用于支持CAVE鉴权的MS用户接入3G网络,其特征在于,包括AN-AAA,用于接收到接入请求消息,当预定条件触发时,发送鉴权请求激活消息;接收鉴权请求返回结果消息,保存所述鉴权请求返回结果消息中的SSD参数;HLR/AC,用于接收来自所述AN-AAA的鉴权请求激活消息,进行CAVE鉴权,向所述 AN-AAA发送鉴权请求返回结果消息,其中包括SSD参数。
7.根据权利要求6所述的SSD更新实现系统,其特征在于,所述预定条件包括在所述AN-AAA上未保存所述HLR/AC共享保存的SSD ;或在所述AN-AAA上对用户鉴权失败;或在所述AN-AAA上用户的SSD同步计数器达到门限。
8.根据权利要求6所述的SSD更新实现系统,其特征在于,所述鉴权请求激活消息包括 MSID、ESN、RAND 禾口 AUTHU ;所述HLR/AC还用于当所述CAVE-based鉴权通过时,在所述鉴权请求返回结果消息中包括SSD参数;当所述CAVE-based鉴权失败时,在所述鉴权请求返回结果消息中包括 RANDSSD和用RANDSSD计算出来的新SSD参数。
9.根据权利要求8所述的SSD更新实现系统,其特征在于,如果所述CAVE-based鉴权通过,所述AN-AAA收到所述鉴权请求返回结果消息后,所述AN-AAA存储由所述HLR/AC分配的SSD参数,向WAG发送接入接受消息。
10.根据权利要求8所述的SSD更新实现系统,其特征在于,如果所述HLR/AC执行 CAVE-based鉴权失败,所述AN-AAA收到所述鉴权请求返回结果消息后,存储由所述HLR/AC 分配的新的SSD参数,向MS发送RANDSSD以触发所述AN-AAA和所述MS完成所述新的SSD 的同步。
全文摘要
本发明公开一种SSD更新实现方法和系统。该方法包括AN-AAA接收到接入请求消息;当预定条件触发时,AN-AAA向归属位置寄存器/鉴权中心HLR/AC发送鉴权请求激活消息;HLR/AC收到鉴权请求激活消息后,执行基于CAVE的鉴权;HLR/AC向AN-AAA发送鉴权请求返回结果消息,其中包括SSD参数。在本发明实施例中,SSD的同步更新可由AN-AAA或HLR/AC发起。AN-AAA发起的SSD更新流程可以完成AN-AAA保存的共享SSD与HLR/AC上保存的用户SSD一致;HLR/AC发起的SSD更新可以完成HLR/AC、AN-AAA和MS上SSD的同步。
文档编号H04W12/06GK102404734SQ201010282928
公开日2012年4月4日 申请日期2010年9月13日 优先权日2010年9月13日
发明者徐龙杰, 林睿, 罗楠, 赵凌云, 郭宁 申请人:中国电信股份有限公司