专利名称:一种灵活鉴权的控制方法
技术领域:
本发明属于通信领域,特别涉及一种鉴权的控制方法。
背景技术:
在移动通信网中,为了防止无权用户接入系统和防止无线接口中数据被窃,需要通过鉴权(AUTHENTICATE)来对用户的身份进行识别,防止非法的接入。
移动通信网络中与用户数据和签权数据相关的存储实体是HLR/AUC。归属用户位置寄存器(HLR)是一个静态数据库,也存储部分漫游移动用户所在MSC区域的有关动态数据。鉴权中心(AUC)存储着鉴权信息和加密密钥,防止无权用户接入系统和防止无线接口中数据被窃。在实际网络架构中,HLR和AUC通常合一设置。
表明用户身份的SIM卡的内容和鉴权中心(AUC)存储着用户鉴权相关的数据。SIM卡中存储的内容固化数据,IMSI,Ki安全算法;临时的网络数据TMSI,LAI,KC,被禁止的PLMN。AUC存储的内容用于生成随机数(RAND)的随机数发生器、鉴权键Ki、各种安全算法。
移动通信网络采取如下安全措施进行签权AUC的基本功能是产生三元组(RAND、SRES、Kc),其中RAND由随机数发生器产生,SRES由RAND和Ki经A3算法得出;Kc由RAND和Ki用A8算出。三参数组存于HLR中。对于某一已登记的MS,由其服务区的MSC/VLR从HLR中装载至少一套三参数组为此MS服务。Ki是用户的签权Key,在用户开户时分配,存储在HLR/AUC中。
当用户要建立呼叫,进行位置更新等操作时,先需对其鉴权,其过程如下(1)MSC、VLR传送RAND至MS;(2)MS用RAND和Ki算出SRES并返至MSC/VLR;(3)MSL/VLR把收到的SRES与存贮其中的SRES比较,决定其真实性。
每个用户在开户的时候,可以在HLR/AUC中分配5个签权三元组,用户的签权三元组简称鉴权集。
为了确保每次鉴权使用的鉴权集不重复,MSC/VLR在鉴权的时候会使用不同的鉴权集。MSC/VLR可以通过以下几种方式获取鉴权集。
用户在VLR间位置更新的时候,可以通过MAP-SEND-IDENTIFICATION(MAP发送认证)请求从前一个VLR获取鉴权集合。
当MSC/VLR中用户的鉴权集使用完后,MSC必须向HLR发起MAP-SEND-AUTHENTICATION-INFO(MAP发送认证)请求,获取用户的鉴权集。
MSC/VLR通过MAP-SEND-AUTHENTICATION-INFO操作从HLR/AUC获取签权集合。
MS在不同VLR间位置更新时候,可以通过MAP_SEND_IDENTIFICATION操作从前一个MSC/VLR(Pre MSC/VLR)获取鉴权集为了对用户的身份进行识别,防止非法的用户接入系统。移动通信网络中采取了严格的鉴权方式。在位置更新、CM业务接入过程中都需要进行鉴权。
对于拥有庞大用户数的MSC/VLR来说,每个用户的5个鉴权集在频繁的鉴权过程中很快会耗尽,MSC/VLR与HLR之间的MAP-SEND-AUTHENTICATION-INFO请求/相应消息会非常频繁,这样会加大MSC/VLR与HLR之间的信令链路负荷。
现有技术仅仅通过开关控制位置更新过程、CM业务接入过程是否鉴权,这种鉴权方法存在如下缺陷1、控制开关关闭的时候,签权功能对于网络安全防护失效。
2、控制开关打开的时候,无法减小频繁取鉴权集对于网络的信令负荷。
发明内容
本发明所要解决的技术问题是提供一种灵活鉴权的控制方法,本方法既保证了对用户身份识别所必须的鉴权,又适度减少MSC/VLR与HLR之间的信令符合,在鉴权的安全性和网络信令链路符合之间实现一种最佳协调方案。
本发明灵活鉴权的控制方法,是基于这样一种假设在某一次鉴权成功后,在一定频度次数的位置更新、CM业务请求范围内,用户的身份是可以信赖的。也就是说,我们可以按照某种控制逻辑,对于位置更新、CM业务请求过程中的鉴权与否进行控制,来减少对于用户的鉴权次数,又保留安全性所必须的鉴权。
基于这种考虑,需要分析所采用的控制逻辑。从鉴权过程的触发来看,是位置更新、CM业务请求事件来触发的;从作用的用户来看,用户的类别是一个需要考虑的因素。为了达到减小鉴权次数的目的,鉴权间隔次数,是控制的关键参数。
结合上述分析,本发明提供一种灵活鉴权的控制方法,包括如下步骤步骤A针对各类鉴权触发事件、用户类别分别设定对应的鉴权间隔次数;步骤B分别统计每个用户针对各类鉴权触发事件的未鉴权次数;步骤C当未鉴权次数达到预设的鉴权间隔次数时,对用户鉴权,否则不鉴权。
进一步,所述鉴权触发事件是指位置更新请求、CM业务请求。
所述的用户类别包括本地用户、本网国内用户、本网国际用户、他网国内用户、他网国际用户。
优选地,所述的步骤A还包括将鉴权触发事件、用户类别作为输入参量,鉴权间隔次数作为输出参量,建立一个二维对照的灵活鉴权控制表。
优选地,所述的步骤B还包括为每个用户设置针对于各类鉴权触发事件的未鉴权次数计量表。
进一步地,在步骤A与步骤B之间还包括如下步骤如果是位置更新事件,则判断位置更新事件鉴权控制开关是否关闭,如关闭,则不进行鉴权操作,如果鉴权控制打开,则接着判断灵活鉴权开关是否打开;如果是CM业务接入事件,则判断CM业务接入鉴权控制开关鉴权是否关闭,如关闭,则不进行鉴权操作,如果鉴权控制开关打开,则接着判断灵活鉴权开关是否打开;判断灵活鉴权开关是否打开,如果灵活鉴权开关关闭,则每次都进行鉴权。
进一步地,所述的步骤B、C具体包括如下步骤如果灵活鉴权开关打开,则使用对应的鉴权触发事件、用户类别作为输入条件,查询灵活鉴权控制表,获取对应的鉴权间隔次数;并且从VLR内部的未鉴权次数计量表中获取该用户对应鉴权触发事件的累计未鉴权次数;MSC判断用户相应鉴权触发事件未鉴权次数是否超过灵活鉴权控制表设置的门限;如果用户相应鉴权触发事件的未鉴权次数没有达到灵活鉴权控制表设定的鉴权间隔次数,不进行鉴权,相应鉴权触发事件的未鉴权次数加1。
如果用户相应鉴权触发事件的未鉴权次数达到灵活鉴权控制表设定的鉴权间隔次数,则进行鉴权,相应鉴权触发事件的未鉴权次数清除为零。
进一步地,MSC/VLR从HLR获取鉴权集或者HLR删除用户鉴权集时候,VLR中用户所有鉴权事件的未鉴权次数需要清零。
本发明可以灵活控制MSC/VLR的鉴权策略,带来的好处包括1、将位置更新、CM业务接入过程中的鉴权,精细划分为特定的鉴权事件,结合用户的类别,对于特定鉴权事件、特定用户类别的鉴权与否可以灵活控制。
2、控制方法灵活可伸缩。特定鉴权事件、特定用户类别的设置鉴权间隔次数为0的时候,可以实现每次都鉴权;鉴权间隔次数足够大时候,可以实现每次都不鉴权。
3、结合网络的现状,根据网络中发生的位置更新、CM业务接入、用户类别的统计模型,调整鉴权策略,优化资源使用。例如对于位置更新、CM业务接入这两类事件,可以结合用户类别设定灵活的鉴权策略对于本地用户的位置更新鉴权间隔的次数可以间隔大一些,由于大多数的用户都是本地用户,可以减小频繁鉴权造成的负荷;对于本网国内用户的位置更新鉴权间隔的次数可以间隔小一些,这部分用户相对本地用户少,可以达到对于在非归属网络漫游用户的合法认证,又不置于对网络造成较大负荷。
图1是本发明的灵活鉴权控制方法有一个具体实施例的流程图。
图2是MSC/VLR从HLR获取鉴权集或者HLR删除用户鉴权集时候,VLR中用户所有鉴定权事件未鉴权次数清零的示意图。
具体实施例方式
本发明提供一种灵活鉴权的控制方法,包括如下步骤步骤A针对各类鉴权触发事件、用户类别分别设定对应的鉴权间隔次数;步骤B分别统计每个用户针对各类鉴权触发事件的未鉴权次数;步骤C当未鉴权次数达到预设的鉴权间隔次数时,对用户鉴权,否则不鉴权。
为了更好地理解本发明,下面结合图1所示对本发明的方法做进一步的详述本具体实施例中,本发明的方法具体包括如下步骤步骤1、针对各类鉴权触发事件、用户类别分别设定对应的鉴权间隔次数,并建立一个二维对照的灵活鉴权控制表将鉴权触发事件、用户类别作为控制点的输入参量,鉴权间隔次数(即鉴权成功后,后续的几次不再鉴权)作为控制点的输出参量,在MSC中建立一个二维对照的灵活鉴权控制表;所述的鉴权触发事件包括位置更新事件、CM业务接入事件;用户类别包括本地用户、本网国内用户、本网国际用户、他网国内用户、他网国际用户。
所述灵活鉴权控制表设置如下表所示(本地用户发生短消息始发业务时,鉴权间隔次数为20)
步骤2、分别统计每个用户针对各类鉴权触发事件的未鉴权次数,并在VLR内部为每个用户设置针对于各类鉴权触发事件的未鉴权次数计量表;步骤3、如果是位置更新事件,则判断位置更新事件鉴权控制开关是否关闭,如关闭,则不进行鉴权操作,如果鉴权控制打开,则继续执行步骤5。
步骤4、如果是CM业务接入事件,则判断CM业务接入鉴权控制开关鉴权是否关闭,如关闭,则不进行鉴权操作,如果鉴权控制开关打开,则继续执行步骤5。
步骤5、判断灵活鉴权开关是否打开,如果灵活鉴权开关关闭,则每次都进行鉴权。
步骤6、如果灵活鉴权开关打开,则MSC查询灵活鉴权控制表使用对应的鉴权触发事件、用户类别作为输入条件,查询灵活鉴权控制表,获取对应的鉴权间隔次数(例如,一个本地用户发生了正常位置更新事件,使用鉴权事件为‘正常位置更新’,用户类别为‘本地用户’去查询灵活鉴权控制表,获取对应的鉴权间隔次数);并且从VLR内部的未鉴权次数计量表中中获取该用户对应鉴权触发事件的累计未鉴权次数。
步骤7、MSC判断用户相应鉴权触发事件未鉴权次数是否超过灵活鉴权控制表设置的门限;步骤8、如果用户相应鉴权触发事件的未鉴权次数没有达到灵活鉴权控制表设定的鉴权间隔次数,不进行鉴权,相应鉴权触发事件的未鉴权次数加1。
步骤9、如果用户相应鉴权触发事件的未鉴权次数达到灵活鉴权控制表设定的鉴权间隔次数,则进行鉴权,相应鉴权触发事件的未鉴权次数清除为零。
进一步地,按照协议的描述,位置更新请求的类型(Location updating type)有以下几类
按照协议的描述,CM业务接入请求的类型(CM service type)有以下几类
依据协议,分别对于位置更新、CM业务接入中的事件进行了细化,分为以下类
用户分为以下几种类别
如图2所示在灵活鉴权过程中,MSC/VLR从HLR获取灵活鉴权控制表、HLR删除灵活鉴权控制表时,VLR中用户所有鉴权事件的未鉴权次数需要清零。
鉴权触发事件数量可以由现在的9种增多或减少,用户类别数量也可以由现在的5种增多或减少,鉴权控制输入要素也可以增多或减少。
本发明还可以应用于其它需要鉴权的场合,例如在UMTS网络中,用户在业务接入、位置更新过程中,会存在网络对于终端的鉴权,频繁的鉴权会降低接入速度,造成网络不必要的信令负荷,可以参考本发明描述的鉴权事件、用户类别组合控制的原理灵活控制鉴权。另外,本发明不仅可应用于无线网络还可应用于有限网络等任何需要降低鉴权频度的场合。
权利要求
1.一种灵活鉴权的控制方法,其特征于包括如下步骤步骤A针对各类鉴权触发事件、用户类别分别设定对应的鉴权间隔次数;步骤B分别统计每个用户针对各类鉴权触发事件的未鉴权次数;步骤C当未鉴权次数达到预设的鉴权间隔次数时,对用户鉴权,否则不鉴权。
2.根据权利要求1所述的灵活鉴权的控制方法,其特征在于,所述鉴权触发事件是指位置更新请求、CM业务请求。
3.根据权利要求1所述的灵活鉴权的控制方法,其特征在于,所述的用户类别包括本地用户、本网国内用户、本网国际用户、他网国内用户、他网国际用户。
4.根据权利要求1所述的灵活鉴权的控制方法,其特征在于,所述的步骤A还包括将鉴权触发事件、用户类别作为输入参量,鉴权间隔次数作为输出参量,建立一个二维对照的灵活鉴权控制表。
5.根据权利要求4所述的灵活鉴权的控制方法,其特征在于,所述的灵活鉴权控制表设置在MSC中。
6.根据权利要求5所述的灵活鉴权的控制方法,其特征在于,所述的步骤B包括为每个用户设置针对于各类鉴权触发事件的未鉴权次数计量表。
7.根据权利要求6所述的灵活鉴权的控制方法,其特征在于,所述的未鉴权次数计量表设置在VLR内部。
8.根据权利要求7所述的灵活鉴权的控制方法,其特征在于,在步骤A与步骤B之间还包括如下步骤如果是位置更新事件,则判断位置更新事件鉴权控制开关是否关闭,如关闭,则不进行鉴权操作,如果鉴权控制打开,则接着判断灵活鉴权开关是否打开;如果是CM业务接入事件,则判断CM业务接入鉴权控制开关鉴权是否关闭,如关闭,则不进行鉴权操作,如果鉴权控制开关打开,则接着判断灵活鉴权开关是否打开;判断灵活鉴权开关是否打开,如果灵活鉴权开关关闭,则每次都进行鉴权。
9.根据权利要求8所述的灵活鉴权的控制方法,其特征在于,所述的步骤B、C具体包括如下步骤如果灵活鉴权开关打开,则使用对应的鉴权触发事件、用户类别作为输入条件,查询灵活鉴权控制表,获取对应的鉴权间隔次数;并且从VLR内部的未鉴权次数计量表中获取该用户对应鉴权触发事件的累计未鉴权次数;MSC判断用户相应鉴权触发事件未鉴权次数是否超过灵活鉴权控制表设置的门限;如果用户相应鉴权触发事件的未鉴权次数没有达到灵活鉴权控制表设定的鉴权间隔次数,不进行鉴权,相应鉴权触发事件的未鉴权次数加1;如果用户相应鉴权触发事件的未鉴权次数达到灵活鉴权控制表设定的鉴权间隔次数,则进行鉴权,相应鉴权触发事件的未鉴权次数清除为零。
10.根据权利要求9所述的灵活鉴权的控制方法,其特征在于,MSC/VLR从HLR获取鉴权集或者HLR删除用户鉴权集时候,VLR中用户所有鉴权事件的未鉴权次数需要清零。
全文摘要
本发明提供一种灵活鉴权的控制方法,包括如下步骤步骤A针对各类鉴权触发事件、用户类别分别设定对应的鉴权间隔次数;步骤B分别统计每个用户针对各类鉴权触发事件的未鉴权次数;步骤C当未鉴权次数达到预设的鉴权间隔次数时,对用户鉴权,否则不鉴权。本发明的控制方法灵活可伸缩,对于特定鉴权事件、特定用户类别的设置鉴权间隔次数为0的时候,可以实现每次都鉴权;鉴权间隔次数足够大时,可以实现每次都不鉴权。同时可结合网络的现状,根据网络中发生的特定鉴权事件(如位置更新、CM业务接入)、用户类别的统计模型,调整鉴权策略,优化资源使用。
文档编号H04L12/24GK1983928SQ20061006082
公开日2007年6月20日 申请日期2006年5月20日 优先权日2006年5月20日
发明者杨建洲 申请人:华为技术有限公司