专利名称:一种实现鉴权重同步的方法和网络设备的制作方法
技术领域:
本发明涉及通信技术领域,特别涉及一种实现鉴权重同步的方法和网络 设备。
背景技术:
在第三代移动通信(3rd Generation, 3G )进行鉴权时,包括移动终端侧对 网络的鉴权和网络侧对移动终端的鉴权之分。在移动终端,如手机侧对网络鉴 权的时候,首先手机检查网络侧计算出的消息鉴权码(Message authentication code , MAC)和手机自身计算出的MAC是否一致,其次手机检查网络侧下发 的序列号(Sequence number, SQN)是否在自己的允许范围内。如果手机发现 网络计算的MAC和自己计算的MAC不一致,返回鉴权MAC失败,网络接到该失 败原因后,本次鉴权作为失败处理。如果手机发现网络下发的SQN不在自己的 允许范围内,对网络侧返回鉴权同步失败,并且将自身的SQN和计算出来的重 同步鉴权码(Resynchronisation Authentication Code , MAC-S)返回给网络。网 络侧接到该错误原因后,会发起重同步流程。网络侧首先校验手机发送的MAC-S 和网络侧自己计算的MAC-S是否一致,如果校验通过,根据手机带上来的SQN 计算出新的鉴权数据,并且下发给手机。如果MAC-S校验不通过,则本次鉴权 失败。
在鉴权重同步的过程中,网络侧需要验证手机上带来的MAC-S与网络侧自 身计算的MAC-S是否一致。如果不一致,网络侧将会返回重同步失败,并且放 弃本次重同步的数据。现有的MAC-S计算方式为fl*K(SQNMS||RANDl| AMF), 其中随机数RAND和SQN都是由手机返回给网络侧的,而手机与网络侧中各自 都保存有鉴权管理区(Authentication Management Field, AMF ),那么很有可 能出现手机中保存的AMF与网络侧中保存的AMF值不一致,从而手机计算出的 MAC-S和网络侧中计算出的MAC-S不一致,导致重同步流程无法成功,这样网 络侧就会视为鉴权失败,那么用户使用的手机也无法上网。而运营商也只能采用换卡的方式来解决这个问题,会给运营商带来较大的经济损失,也给用户带 来很大的不便。
发明内容
为了避免AMF不一致而导致鉴权流程无法通过的问题,本发明实施例提供 了 一种实现鉴权重同步的方法和网络设备。
本发明实施例提供了一种实现鉴权重同步的方法,包括 接收鉴权重同步消息;
在验证鉴权重同步消息中的重同步鉴权码与网络侧中的重同步鉴权码不一 致后,从所述返回的鉴权重同步消息中获得移动终端的序列号;
根据所述序列号生成一组鉴权五元组,并将所述鉴权五元组下发进行鉴权。 相应的,本发明实施例还提供了一种网络设备,包括 接收单元,用于接收鉴权重同步消息;
验证单元,用于验证接收单元接收的鉴权重同步消息中的重同步鉴权码与 网络侧中的重同步鉴权码是否一致;
获得单元,用于在验证单元验证鉴权重同步消息中的重同步鉴权码与网络 侧中的重同步鉴权码不一致后,从所述接收单元接收的鉴权重同步消息中获得 移动终端的序列号;
处理单元,用于根据所述获得单元获得的序列号生成一组鉴权五元组,并 将所述鉴权五元组下发进行鉴权。
实施本发明实施例,网络设备可以根据移动终端的序列号直接生成一组鉴 权五元组而进行鉴权流程,避免了移动终端中的AMF与网络侧中的AMF不一 致而导致的鉴权重同步的失败,使用户能够上网,满足用户需求度,减少运营 商换卡的损失。
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施 例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述 中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付 出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。图1是本发明实施例中的实现鉴权重同步方法的流程图2是本发明实施例中的实现鉴权重同步的另一流程图3是本发明实施例中的网络设备结构示意图4是本发明实施例中的网络设备另一结构示意图。
具体实施例方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清 楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是 全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造 性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在移动终端进行鉴权重同步时,如果移动终端所使用的AMF值与网络侧中 的AMF值不一致,现有的用户将无法通过移动终端进4亍上网。而本发明实施例 中提供的方案只需利用移动终端返回的SQN计算出 一组鉴权五元组,并利用该 五元组继续进行鉴权流程,从而解决了因AMF值不一致而导致鉴权失败的问题, 图l示出了本发明实施例中的实现鉴权重同步方法的流程图,包括
步骤S101:接收鉴权重同步消息;
该鉴权重同步消息包括了随机数、序列号和移动终端生成的重同步鉴权码 等等。
步骤S102:验证重同步鉴权码是否一致;
验证重同步消息中的重同步鉴权码与网络侧中的重同步鉴权码是否一致, 具体的,获得所述鉴权重同步消息中的随机数、序列号和移动终端生成的重同 步鉴权码;根据所述随机数、序列号生成网络侧的重同步鉴权码;判断移动终 端生成的重同步鉴权码与网络侧的重同步鉴权码是否 一致。
需要说明的是,只有在验证权重同步消息中的重同步鉴权码与网络侧中的 重同步鉴权码不一致后才进行步骤S103,在验证一致的情况下,与现有技术中 处理过程相同。
步骤S103:获得重同步消息中的移动终端的序列号;
步骤S104:根据所述序列号生成一组鉴权五元组,并将所述鉴权五元组下 发进行鉴权。
该鉴权五元组的生成,根据序列号和网络中存储的长期密钥(long-term2008 secret Key, K),通过鉴权算法生成一个鉴权五元组,如第三代移动通信技术 3G鉴权算法。在本发明实施例中,网络侧中不会更新自身存储的序列号数据, 只需利用移动终端返回的序列号数据来计算鉴权五元组。则网络系统可以利用 鉴权五元组进行后续鉴权。该鉴权五元组包括随机数R、加密性钥匙(Cipher Key, CK)、完整性钥匙(Integrtity, IK)、鉴权令牌(Authentication Token , AUTN)、 被期望的响应(Expected Response , XRES )等。
需要说明的,在验证鉴权重同步消息中的重同步鉴权码与网络侧中的重同 步鉴权码不一致后,网络侧还可以生成验证报告信息,该验证报告信息包括了 用户的用户识别码(International Mobile Subscriber Identification Number , IMSI)、重同步验证失败原因或告警原因等,该验证报告通过告警方式或者日 志方式等从网络侧获得。
该鉴权五元组的生成在判断出移动终端生成的重同步鉴权码(MAC-S)与网 络侧的MAC-S不一致之后生成。具体的,网络侧在在移动终端返回鉴权重同步 消息后,也接收到移动终端返回的随机数R、 SQN和移动终端生成的MAC-S;网 络侧根据R和SQN和保存的AMF生成网络侧的MAC-S;判断移动终端生成的 MAC-S与网络侧的MAC-S是否一致,如果不一致时,网络侧则需要获得移动终 端的SQN,并利用该SQN生成一组鉴权五元组。
图2是以宽带分码多工存取(Wideband CDMA, WCDMA )为例进行说明的 鉴权流程图,包括
步骤S201:移动交换中心(Mobile Switching Center , MSC ) /拜访位置寄 存器(visiting location register, VLR)向移动终端(Mobile Station , MS)发起 鉴权流程(Auth),该Auth中包含了下发的随机数(Rand, R)和AUTN;
步骤S202: MS在验证消息鉴权码之后,检测到网络侧下发的SQN不在自己 的允许范围内,则返回鉴权同步失败响应(Auth Synchronization fail Response) 消息给MSC/VLR , MSC/VLR在收到该消息后会发起重同步流程,该Auth Synchronization fail Response消息中携带有R和重同步鉴权令牌 (Re-synchronisation Authentication Token, AUTS),其中AUTS中携带有移动 终端的SQN和移动终端生成的MAC-S;
步骤S203: MSC/VLR向归属位置寄存器(Home Location Register, HLR) 发起鉴权请求(Send Auth R叫uest),该请求主要是获取相关鉴权信息,该请求携带有R和AUTS;
步骤S204: HLR判断MAC-S是否一致,如果不一致则进行步骤S205;
具体的,HLR中保存有AMF,利用移动终端返回的SAN和S等信息生成一个 MAC-S,这样HLR比较自己生成的MAC-S和移动终端生成的MAC-S是否一致, 如果不一致则进行步骤S205。
步骤S205:在步骤S204判断出MAC-S不一致后,那么HLR根据移动终端的 SQN生成一个鉴权五元组(S, CK, IK, AUTN, XRES),才艮据序列号和网络 中存储的长期密钥(long-term secret Key, K),通过鉴权算法生成一个鉴4又五 元组,如第三代移动通信技术3G鉴权算法,并将该鉴权五元组发送给MSC/VLR, 那么整个网络侧可以利用该鉴权五元组完成后续的鉴权流程了 。
需要说明的是,这里网络侧主要是临时利用MS上的SQN来生成五元组完成 鉴权流程,网络侧中不用更新自己存储的SQN数据,该方案的实现过程中,还 可以在验证MAC-S不 一致后,向网络中报告MAC-S不 一致的情况,可以通过告 警或者日志的方式报告给运营商,方便运营商了解用户的卡所存在的问题。
同样的,由于时分同步的码分多址技术(Time Division-Synchronous Code Division Multiple Access, TD - SCDMA )鉴权重同步流程与WCDMA基本一致, 该鉴权重同步流程也同样适应于TD - SCDMA中。
对于IP多媒体子系统(IP Multi-media Subsystem, IMS)中的鉴权和钥匙协 议(Authentication and Key Agreement, AKA )也存在鉴权重同步的问题,其鉴 权重同步流程与WCDMA相同,其一般由HSS或HLR负责产生鉴权。其中,HSS 可能会替代HLR成为鉴权重同步的网络实体。如果是在HSS与HLR共存时,HSS 会在HLR和S - CSCF之间充当消息传递的桥梁。
相应的,图3示出了本发明实施例中的网络设备结构示意图,该网络设备包
括
接收单元301,用于接收鉴权重同步消息;
验证单元302,用于验证接收单元301接收的鉴权重同步消息中的重同步鉴 权码与网络侧中的重同步鉴权码是否 一致;
获得单元303,用于在验证单元302验证鉴权重同步消息中的重同步鉴权码 与网络侧中的重同步鉴权码不一致后,从所述接收单元301接收的鉴权重同步 消息中获得移动终端的序列号;处理单元304,用于根据所述获得单元303获得的序列号生成一组鉴权五元 组,并将所述鉴权五元组下发进行鉴权。
这里的鉴权五元组为随机数、CK、 IK、 AUTN、 XRES。该网络设备可以是 TD - SCDMA系统和WCAMA系统中的HLR,也可以是IMS系统中的HSS或者 HLR等。
在该网络设备知道移动终端鉴权同步失败后,即使鉴权重同步校验不通过, 也可为移动终端分配一个鉴权五元组,那么整个网络侧利用这个鉴权五元组进 行接下来的鉴权流程,从而避免了因为AMF不一致而导致的鉴权失败。
相应的,图4示出了本发明实施例中的网络设备另 一结构示意图,该网络设 备包括
接收单元401,用于接收鉴权重同步消息;
验证单元402,用于验证接收单元401接收的鉴权重同步消息中的重同步鉴 权码与网络侧中的重同步鉴权码是否一致;该验证单元402还包括了获得子单 元,用于获得所述接收单元401接收的鉴权重同步消息中的随机数、序列号和 移动终端生成的重同步鉴权码;生成子单元,用于根据所述获得子单元接收的 随机数、序列号生成网络侧的重同步鉴权码;验证子单元,用于判断所述获得 子单元接收的移动终端生成的重同步鉴权码与生成子单元中生成的网络侧的重 同步鉴权码是否一致。
获得单元403,用于在—险证单元402验证鉴权重同步消息中的重同步鉴权码 与网络侧中的重同步鉴权码不一致后,从所述接收单元401接收的鉴权重同步 消息中获得移动终端的序列号;
处理单元404,用于根据所述获得单元403获得的序列号生成一组鉴权五元 组,并将所述鉴权五元组下发进行鉴权,具体的,该处理单元403根据获得单元 403获得的序列号和网络设备中存储的长期密钥,通过鉴权算法生成一个鉴权五 元组,如第三代移动通信技术3G鉴权算法;
通知单元405,用于在验证单元402验证鉴权重同步消息中的重同步鉴权码 与网络侧中的重同步鉴权码不一致后,生成验证报告信息并通知给网络系统中 的其它设备,该验证包括信息包括用户的用户识别码IMSI、或重同步验证失败 原因或告警原因,该验证报告一般可以通过告警方式或者日志方式让用户获知。
这里的鉴权五元组为随机数、CK、 IK、 AUTN、 XRES。该网络设备可以是TD - SCDMA系统和WCAMA系统中的HLR,也可以是IMS系统中的HSS或者 HLR等。
在该网络设备知道移动终端鉴权同步失败后,即使判断出重同步鉴权码不 一致时,也可为移动终端分配一个鉴权五元组,那么整个网络侧利用这个鉴权 五元组进行接下来的鉴权流程,从而避免了因为AMF不一致而导致的鉴权失败。
综上所述,如果网络侧的中计算出的MAC-S和移动终端返回的MAC-S不一 致,网络侧不用更新自己存储的SQN数据,但是网络侧依然根据移动终端的SQN 计算出新的鉴权五元组下发给VLR/SGSN继续后面的鉴权过程。如果是由于 AMF导致的本次重同步失败,网络侧获得移动终端SQN值后生成鉴权五元组下 发,后继的鉴权流程可以成功。这样可以解决由于AMF错误导致的重同步失败, 而导致用户无法上网的情况。减少运营商在这种情况下的损失,也避免用户的 大量投诉,提高客户感知,从而提高运营商的品牌。对于有问题的卡,网络设 备可以通过告警或者日志的方式通知给网络系统来系统运营商,方便运营商了 解用户卡所存在的问题。
以上所揭露的仅为本发明一种较佳实施例而已,当然不能以此来限定本发 明之权利范围,因此依本发明权利要求所作的等同变化,仍属本发明所涵盖的 范围。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明 可借助软件加必需的硬件平台的方式来实现,当然也可以全部通过硬件来实施。 基于这样的理解,本发明的技术方案对背景技术做出贡献的全部或者部分可以 以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如 ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个 人计算机,服务器,或者网络设备等)执行本发明各个实施例或者实施例的某 些部分所述的方法。
权利要求
1、一种实现鉴权重同步的方法,其特征在于,包括接收鉴权重同步消息;在验证所述鉴权重同步消息中的重同步鉴权码与网络侧中的重同步鉴权码不一致后,从所述鉴权重同步消息中获得移动终端的序列号;根据所述序列号生成一组鉴权五元组,并将所述鉴权五元组下发进行鉴权。
2、 如权利要求l所述的方法,其特征在于,所迷验证鉴权重同步消息中的 重同步鉴权码与网络侧中的重同步鉴权码不一致步骤具体为获得所述鉴权重同步消息中的随机数、序列号和移动终端生成的重同步鉴 权码;根据所迷随机数、序列号生成网络侧的重同步鉴权码; 判断移动终端生成的重同步鉴权码与网络侧的重同步鉴权码是否一致。
3、 如权利要求l所述的方法,其特征在于,所述根据所述序列号生成一组 l权五元组步骤具体为根据所述序列号和长期密钥,通过鉴权算法生成一个鉴权五元组。
4、 如权利要求1至3任一项所述的方法,其特征在于,所迷方法还包括 在验证鉴权重同步消息中的重同步鉴权码与网络侧中的重同步鉴权码不 一致 后,生成验证4艮告信息,所述验证报告信息包括用户的用户识别码IMSI和/或重 同步验证失败原因。
5、 如权利要求4所述的方法,其特征在于,所述验证报告为告警或者日志。
6、 一种网络设备,其特征在于,包括 接收单元,用于接收鉴权重同步消息;验证单元,用于验证接收单元接收的鉴权重同步消息中的重同步鉴权码与 网络侧中的重同步鉴权码是否 一致; 获得单元,用于在验证单元验证鉴权重同步消息中的重同步鉴权码与网络 侧中的重同步鉴权码不一致后,从所述接收单元接收的鉴权重同步消息中获得移动终端的序列号;处理单元,用于根据所述获得单元获得的序列号生成一组鉴权五元组,并 将所述鉴权五元组下发进行鉴权。
7、 如权利要求6所述的网络设备,其特征在于,所述验证单元包括 获得子单元,用于获得所述接收单元接收的鉴权重同步消息中的随机数、序列号和移动终端生成的重同步鉴权码;生成子单元,用于根据所述获得子单元接收的随机数、序列号生成网络侧 的重同步鉴权码;验证子单元,用于判断所述获得子单元接收的移动终端生成的重同步鉴权 码与生成子单元中生成的网络侧的重同步鉴权码是否一致。
8、 如权利要求6所述的网络设备,其特征在于,所述处理单元根据所述获得单元获得的序列号和所述网络设备中存储的长期密钥,通过鉴权算法生成一 个鉴权五元组。
9、 如权利要求6至8任一项所述的网络设备,其特征在于,所述网络设备 还包括通知单元,用于在验证单元验证鉴权重同步消息中的重同步鉴权码与网络 侧中的重同步鉴权码不一致后,生成验证报告信息并通知给网络系统,所述验 证报告信息包括用户的用户识别码IMSI和/或重同步验证失败原因。
全文摘要
本发明实施例公开了一种实现鉴权重同步的方法,包括接收鉴权重同步消息;在验证鉴权重同步消息中的重同步鉴权码与网络侧中的重同步鉴权码不一致后,从所述返回的鉴权重同步消息中获得移动终端的序列号;根据所述序列号生成一组鉴权五元组,并将所述鉴权五元组下发进行鉴权。相应的,本发明实施例还公开了一种网络设备,通过本发明实施例所提出的方法和设备,避免了因为AMF不一致时导致的鉴权失败。
文档编号H04W12/06GK101448263SQ20081022001
公开日2009年6月3日 申请日期2008年12月16日 优先权日2008年12月16日
发明者健 杨, 程零幂, 陈历军 申请人:华为技术有限公司