专利名称:用户设备动态认证参数的更新方法及装置、aaa的制作方法
技术领域:
本发明涉及一种用户设备(UE,User Equipment)防复制技术,尤其涉及一种用户设备动态认证参数的更新方法及装置、验证、授权和计费服务器(AAA,Authentication, Authorization、Accounting)。
背景技术:
对于机卡分离的用户设备(UE,User Equipment),直接将用户识别卡的相关信息写在卡中,用户识别卡由运营商集中制作,卡与用户号码进行绑定,用户通过运营网点购买卡,将卡插入UE,即可完成开户并使用运营商提供的服务。对于机卡一体化的UE,其营销不受运营商的控制,运营商无法对UE进行集中参数设置。通过引入空中下载技术(OTA,Over the Air "Technology),用户在购买UE后,再购买一个开户卡,利用UE拨打特服中心号码,在语音的提示下,通过自助服务完成开户,使用运营商提供的服务。OTA从发起方来分类,可分为两类,分别为1、空中业务提供(0TASP,0ver the Air Service Provisioning),由用户侧发起, 通过拨打OTA功能码来触发;2、空中参数管理(0TAPA,0ver the Air Parameter Administration)由网络侧发起,完成所需参数的下发。当前,一些不法分子通过各种途径获取UE的用户识别卡的相关参数,并复制到一些UE或用户识别卡中,并利用所复制的UE或用户识别卡盗用被复制用户的业务,这样,合法UE所使用的业务被盗用,给合法UE用户和运营商带来极大的损失。在没有较好的防护机制的当下,通常只能通过UE用户的业务记录,或UE用户的费用异常来确定UE用户是否被盗用,这样,即使确定出UE用户被盗用了相关业务,对UE用户造成的损失也已相当巨大。目前,针对盗号问题,尚无较佳的防护手段。特别是机卡一体化的UE,由于并非通过运营商统一设定用户识别卡的相关参数信息,因此被盗用的可能性更大,也更难控制。
发明内容
有鉴于此,本发明的主要目的在于提供一种用户设备动态认证参数的更新方法及装置、验证、授权和计费服务器,能有效防止对UE用户识别号码的复制。为达到上述目的,本发明的技术方案是这样实现的一种用户设备动态认证参数的更新方法,包括验证、授权和计费服务器AAA对接收到的分组网络发送的用户设备UE的认证参数进行认证,认证通过后确定所述UE的动态认证参数是否满足更新条件,满足时对所述UE的动态认证参数进行更新,并触发空中激活实体OTAF将更新后的动态认证参数更新到所述 UE。
优选地,所述认证参数包括以下参数的至少一种网络接入标识ΝΑΙ、询问握手认证协议密码CHAP密码、CHAP挑战和分组网络接入 IP。优选地,所述动态认证参数包括以下参数的至少一种动态AAANAI和动态密码。优选地,UE的动态认证参数满足更新条件,为所述UE的动态NAI或动态密码为空;或者,所述UE的动态AAA NAI为原始AAA NAI,或所述UE的动态密码为原始密码;或者,所述UE的动态AAANAI或动态PWD达到了设定的使用次数;
或者,所述UE的动态AAANAI或动态PWD达到了使用的设定期限;或者,所述UE处于动态认证参数的更新状态,但未更新成功。优选地,所述动态AAANAI包括用户识别码格式及域名信息;对所述UE的动态认证参数进行更新,为对所述UE的动态NAI的用户识别码格式和/或域名进行更新,和/或,对所述UE 的动态密码进行更新。优选地,所述AAA对接收到的分组网络发送的UE的认证参数,为所述UE通过分组域业务接入所述分组网络,并与接入网络AN进行点对点协议PPP 和链路控制协议LCP协商;所述AN获取所述UE的认证参数,并通过A12接入请求消息将所述UE的认证参数发送给AN AAA。优选地,所述AAA对接收到的分组网络发送的UE的认证参数,为所述UE通过接入网认证后,与分组数据服务节点PDSN进行LCP协商; 所述PDSN获取所述UE认证参数,并通过远程拨号用户认证服务RADIUS接入请求消息将所述UE的认证参数发送给AAA。一种用户设备动态认证参数的更新装置,包括接收单元、认证单元、确定单元和更新单元,其中,接收单元,用于接收分组网络发送的UE的认证参数;认证单元,用于对所述UE的认证参数进行认证;确定单元,用于在认证通过后确定所述UE的动态认证参数是否满足更新条件,满足时触发更新单元;
更新单元,用于对所述UE的动态认证参数进行更新,并触发OTAF将更新后的动态认证参数更新到所述UE。优选地,所述认证参数包括以下参数的至少一种NAI、CHAP密码、CHAP挑战和分组网络接入IP ;所述动态认证参数包括以下参数的至少一种动态AAANAI和动态密码。 优选地,UE的动态认证参数满足更新条件,为所述UE的动态NAI或动态密码为空;或者,所述UE的动态AAA NAI为原始AAA NAI,或所述UE的动态密码为原始密码;
或者,所述UE的动态AAANAI或动态PWD达到了设定的使用次数;或者,所述UE的动态AAANAI或动态PWD达到了使用的设定期限;或者,所述UE处于动态认证参数的更新状态,但未更新成功。优选地,所述动态AAANAI包括用户识别码格式及域名信息;所述更新单元进一步用于,对所述UE的动态NAI的用户识别码格式和/或域名进行更新,和/或,对所述UE的动态密码进行更新。一种验证、授权和计费服务器,包括前述的用户设备动态认证参数的更新装置。本发明中,AAA通过对UE进行认证授权时对UE的动态认证参数进行更新,更新后通过触发OTAF将更新后的动态认证参数下发至UE,从而完成对UE认证参数(ΝΑΙ和密码) 的动态更新。这样即便是UE用户被盗号,由于UE的某些参数会动态变化,被盗号UE由于无法接收动态认证参数而无法通过AAA认证,也不能接入网络,从而最大限度地避免了 UE 用户被盗号的可能,即使被盗号也能最大限度地降低被盗号UE用户的损失。
图1为本发明应用网络结构示意图;图2为本发明实施例一的用户设备动态认证参数的更新方法的流程图;图3为本发明实施例二的用户设备动态认证参数的更新方法的流程图;图4为本发明应用例的用户设备鉴权码的更新方法的流程图;图5为本发明用户设备动态认证参数的更新装置的组成结构示意图。
具体实施例方式本发明的基本思想为-Mk通过对UE进行认证授权时对UE的动态认证参数进行更新,更新后通过触发OTAF将更新后的动态认证参数下发至UE,从而完成对UE认证参数 (ΝΑΙ和密码)的动态更新。图1为本发明应用网络结构示意图,如图1所示,图中示出了码分多址(CDMA,Code Division Multiple Access)系统中UE接入分组数据网的示意图。图中各网元及其组网方式在相关协议中均有明确规定,与本发明技术方案的实现相关性不甚密切的网元,将不再对其功能进行描述。仅将与本发明相关的网元及其功能进行相应描述。本发明的技术方案主要是针对机卡一体化UE通过OTASP完成了用户开通工作, AAA中也已存储有UE用户的认证信息,此时UE用户的基本信息已存储于各相关网元中。 具体的,在OTAF中,存储有UE用户的MIN、ESN、MDN, OTAPffD,以及用户终端的NAM、PRL、 Validation、3GPD 等参数。在归属位置寄存器(HLR,Home Location Register)中,包含 UE 用户的MIN、ESN、MDN、AKey、终端在电路域位置信息等参数。在AN AAA中,包含用户的IMSI, MDN、原始AN-AAA NAI和原始PWD,动态AN-AAA NAI和动态PWD (动态密码),ESN,MEID等参数。在AAA中,包含用户的原始账号NAIUSERNAME,原始PASSWORD,动态账号NAIUSERNAME, 动态密码PASSWORD,IMSI, MDN, CDMA NAI服务标识等参数。本发明中,AN-AAA是指接入网侧的AAA,通常不作计费用,AAA为核心网侧的AAA。本发明中,无论是AN-AAA还是AAA,在本发明中所实现的功能相同,只是,其所属的网络不同。以下实施例中,针对不同的应用场景进行了区分。基于上述网络结构,对本发明的技术方案的实质作进一步阐述。
为使本发明的目的、技术方案和优点更加清楚明白,以下举实施例并参照附图,对本发明进一步详细说明。实施例一图2为本发明实施例一的用户设备动态认证参数的更新方法的流程图,如图2所示,本示例的用户设备动态认证参数的更新方法具体包括以下步骤步骤101,UE用户使用分组域业务(如接入Internet、收发彩信、无线应用协议 (WAP, Wireless Application Protocol)接入)等,使 UE 接入无线网络;UE 与接入网(AN, Access Network)之间建立点对点协议(PPP,Point to Point Protocol)和链路控制协议 (LCP, Link Control Protocol)协商。步骤102,AN在与UE进行PPP交互过程中,获得UE用户的AN AAA网络接入标识(NAI,Network Access Identifier)、询问握手认证协议(CHAP, Challenge Handshake Authentication Protocol)密码(CHAP Pas sword)和 CHAP 挑战(CHAP-Challenge)等接入认证参数。步骤103,AN 向 AN-AAA 发送 A12 接入请求消息,包含 AN-AAA NAI,CHAP Password、 CHAP-Challenge 和 AN-IP 等认证参数。步骤104,AN-AAA根据A12接入请求消息中的认证参数进行鉴权校验,若检验成功,则向AN返回成功并授权相关信息,否则返回接入拒绝,流程终止。步骤105,AN-AAA确定用户的NAI或密码是否达到了更新条件,这些更新条件可以是1)动态AN-AAA NAI和动态密码(PWD)为空;2)动态 AN-AAA NAI =原始 AN-AAA NAI,或动态 PffD =原始 PWD ;3)动态AN-AAA NAI或动态PWD达到了使用次数;4)动态AN-AAA NAI或动态PWD达到了使用的规定期限;5)已经处于更新状态,但是上次没有更新成功,处于认证参数待更新状态。AN-AAA按规则产生新的动态AN-AAA NAI和动态PWD,这些规则依据实际应用来确定,可以是1)对于动态NAI,其包括NAI的身份信息和域信息,这样,可以改变NAI的身份信息,或改变NAI的域信息,或同时改变NAI的身份信息和域信息;2)对于动态密码,可以用相应的密码生成算法算出新的加密的密码,通常用MD5 算法。本领域技术人员应当理解,使用其他的任何的加密算法也能实现。AN-AAA(0TAF, Over the Air Service Provisioning Function) 发送动态AN-AAA NAI和动态PWD更新请求(即发送UpAuthParaReq消息),UpAuthParaReq 消息中携带UE的相关参数,包含国际移动用户识别码(IMSI,International Mobile Subscriber Identification Number)、移动用户号码簿号码(MDN,Mobile Directory Number)、新的AN-AAA ΝΑΙ,新的PWD、老的AN-AAA NAI、老的PWD等,同时将该用户更新标志置为认证参数待更新状态。步骤106,OTAF收到AN-AAA认证参数更新请求,发起OTAPA流程,进行UE认证参数(AN-AAA NAI或PWD)的空中更新。步骤107 =OTAF将更新结果返回给AN-AAA(如通过UpAuthParaAck消息携带更新结果),AN-AAA确定如果本次更新成功,则新的AN-AAA NAI及PWD生效,将该UE用户更新标志置为认证参数本次完成更新。实施例二图3为本发明实施例二的用户设备动态认证参数的更新方法的流程图,如图3所示,本示例的用户设备动态认证参数的更新方法具体包括以下步骤步骤201,UE通过接入网认证后,UE和分组数据服务节点(PDSN,Packet Data Serving Node)之间进行LCP协商;步骤202,PDSN在与UE进行LCP协商过程中获得用户的AAA ΝΑΙ,CHAP Password 和CHAP-Challenge等接入认证参数;步骤203,PDSN 向 AAA 发送 Radius 接入请求消息,包含 AAA ΝΑΙ、CHAP Password、 CHAP-Challenge 和 PDSN-IP 等认证参数;步骤204,AAA根据远程拨号用户认证服务(RADIUS,RemoteAuthentication Dial In User Service)接入请求消息中的认证参数进行鉴权校验,若检验成功,则向PDSN返回成功并授权相关信息,否则返回接入拒绝,流程终止。步骤205,AAA确定用户的NAI或密码是否达到了更新条件,这些更新条件可以是1)动态 AAA NAI 和动态 PWD(Password)为空;2)动态 AAA NAI =原始 AAANAI,或动态 PWD =原始 PWD ;3)动态AAA NAI或动态PWD达到了使用次数;4)动态AAA NAI或动态PWD达到了规定的期限;5)已经处于更新状态,但是上次没有更新成功。AAA按规则产生新的动态AAANAI和动态PWD,这些规则依据实际应用来确定,可以是1)对于NAI,可以改变NAI的身份信息,或改变NAI的域信息,或者同时改变NAI 的身份信息及域信息;2)对于密码,可以用一定的密码算法算出新的加密的密码,通常用MD5算法。AAA向OTAF发送动态AAA NAI和动态PWD更新请求(UpAuthParaReReq消息), UpAuthParaReReq消息中携带的参数包含IMSI,MDN,新的AAANAI,新的PWD,老的AAA NAI, 老的PWD等,同时将该UE用户更新标志置为认证参数待更新状态。步骤206,OTAF收到AAA认证参数更新请求,发起OTAPA流程,进行UE认证参数 (AAA NAI或PWD)的空中更新。步骤207,OTAF将更新结果返回给AAA (通过UpAuthParaAck消息携带更新结果), AAA确定如果本次更新成功,则新的AAA NAI,新的PWD生效,将该UE用户更新标志置为认证参数本次完成更新。以下介绍某类UE通过AN-AAA动态更新NAI的实际使用场景,以进一步阐明本发明技术方案的实质。本应用例的实现的前置条件为机卡一体化UE通过OTASP完成了用户开通工作, 其中该型UE的本机号码参数被设置成IMSI格式,这样该UE的NAI就是由以下组成[IMSI 格式]@域名。用户的基本信息已存储于上述对应的网元中。具体的,在OTAF中,包含用户的移动标识号(MIN,Mobile Identification Number)、电子序列号(ESN,Electronic Serial Number)、MDN、空中密码(OTAPWD,Over the Air PWD),以及UE 的号码分配模块(NAM,Number Assignment Module)、优选漫游列表(PRL,Preferred Roaming List)等参数。在HLR中,包含用户的MIN、ESN、MDN、鉴权码(AKey)、UE在电路域位置信息等参数。在AN-AAA 中,包含用户的 IMSI、MDN、原始 ΑΝ-ΑΑΑ ΝΑΙ、动态 AN_AAANAI、ESN、移动设备标识号(MEID,Mobile Equipment Identifier)等参数。图4为本发明应用例的用户设备鉴权码的更新方法的流程图,如图4所示,本发明应用例的用户设备鉴权码的更新方法具体包括以下步骤步骤301,UE用户使用分组域业务等,UE接入无线网络,和AN之间建立PPP和LCP 协商。步骤302,AN通过与UE进行的PPP交互,获得UE用户的AN-AAA NAI、CHAP Password和CHAP-ChalIenge等接入认证参数。步骤303,AN向AN-AAA发送Al2接入请求消息,Al2接入请求消息中携带有AN-AAA NAI (为[IMSI 格式]@ 域名)、CHAP Password、CHAP-Challenge,以及 AN-IP、ESN 等认证参数。步骤304,AN-AAA根据A12接入请求消息中的认证参数进行鉴权校验,若检验成功,则向AN返回成功并授权相关信息,否则返回接入拒绝,流程终止。步骤305,AN-AAA确定用户的NAI或密码是否达到了更新条件,这些更新条件是1)动态 AN-AAA NAI 为空;2)动态 AN-AAA NAI =原始 AN-AAA NAI ;3)动态AN-AAA NAI达到了使用次数;4)动态AN-AAA NAI达到了使用的规定期限;5)已经达到更新状态,但是上次没有更新成功,处于认证参数待更新状态。AN-AAA按规则产生新的动态AN-AAANAI (动态接入标识符)1)身份信息从动态IMSI池中选一个未使用的,来更新用户的身份信息;2)域名保持不变。这样NAI就变成[新IMSI格式]@域名。AN-AAA向OTAF发送动态AN-AAA NAI更新请求(UpAuthParaReq消息),参数包含 IMSIjMDN,新的AN-AAA NAI,老的PWD,老的AN-AAA NAI,老的PWD,同时将该UE用户更新标志置为认证参数待更新状态。步骤306,OTAF收到AN-AAA认证参数更新请求,发起OTAPA流程,将该UE本机号码参数设置为新的IMSI格式,进行空中更新。步骤307,OTAF将更新结果返回给AN-AAA (通过UpAuthParaAck消息实现), AN-AAA根据更新结果,如果本次更新成功,则新的AN-AAA NAI生效,将该用户更新标志置为认证参数本次完成更新。图5为本发明用户设备动态认证参数的更新装置的组成结构示意图,如图5所示, 本发明用户设备动态认证参数的更新装置包括接收单元50、认证单元51、确定单元52和更新单元53,其中,
接收单元50,用于接收分组网络发送的UE的认证参数;认证单元51,用于对所述UE的认证参数进行认证;确定单元52,用于在认证通过后确定所述UE的动态认证参数是否满足更新条件, 满足时触发更新单元53 ;更新单元53,用于对所述UE的动态认证参数进行更新,并触发OTAF将更新后的动态认证参数更新到所述UE。上述认证参数包括以下参数的至少一种NAI、CHAP密码、CHAP挑战和分组网络接入IP ;所述动态认证参数包括以下参数的至少一种动态AAANAI和动态密码。UE的动态认证参数满足更新条件,为所述UE的动态NAI或动态密码为空;或者,所述UE的动态AAA NAI为原始AAA NAI,或所述UE的动态密码为原始密码;或者,所述UE的动态AAANAI或动态PWD达到了设定的使用次数;或者,所述UE的动态AAANAI或动态PWD达到了使用的设定期限;或者,所述UE处于动态认证参数的更新状态,但未更新成功。上述动态AAA NAI包括用户识别码格式及域名信息;更新单元53进一步用于,对所述UE的动态NAI的用户识别码格式和/或域名进行更新,和/或,对所述UE的动态密码进行更新。本领域技术人员应当理解,本发明的用户设备动态认证参数的更新装置中的上述处理单元的功能可通过相应的硬件电路,或处理器及相应的执行软件的方式而实现。上述各处理单元的相关功能,可参见前述实施例的相关描述而理解。本发明还记载了一种验证、授权和计费服务器,包括图5所示的用户设备动态认证参数的更新装置。以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
权利要求
1.一种用户设备动态认证参数的更新方法,其特征在于,所述方法包括验证、授权和计费服务器AAA对接收到的分组网络发送的用户设备UE的认证参数进行认证,认证通过后确定所述UE的动态认证参数是否满足更新条件,满足时对所述UE的动态认证参数进行更新,并触发空中激活实体OTAF将更新后的动态认证参数更新到所述UE。
2.根据权利要求1所述的方法,其特征在于,所述认证参数包括以下参数的至少一种 网络接入标识ΝΑΙ、询问握手认证协议密码CHAP密码、CHAP挑战和分组网络接入IP。
3.根据权利要求1所述的方法,其特征在于,所述动态认证参数包括以下参数的至少一种动态AAANAI和动态密码。
4.根据权利要求3所述的方法,其特征在于,UE的动态认证参数满足更新条件,为 所述UE的动态NAI或动态密码为空;或者,所述UE的动态AAA NAI为原始AAA NAI,或所述UE的动态密码为原始密码; 或者,所述UE的动态AAANAI或动态PWD达到了设定的使用次数; 或者,所述UE的动态AAANAI或动态PWD达到了使用的设定期限; 或者,所述UE处于动态认证参数的更新状态,但未更新成功。
5.根据权利要求3所述的方法,其特征在于,所述动态AAANAI包括用户识别码格式及域名信息;对所述UE的动态认证参数进行更新,为对所述UE的动态NAI的用户识别码格式和/或域名进行更新,和/或,对所述UE的动态密码进行更新。
6.根据权利要求1所述的方法,其特征在于,所述AAA对接收到的分组网络发送的UE 的认证参数,为所述UE通过分组域业务接入所述分组网络,并与接入网络AN进行点对点协议PPP和链路控制协议LCP协商;所述AN获取所述UE的认证参数,并通过A12接入请求消息将所述UE的认证参数发送给 AN AAA。
7.根据权利要求1所述的方法,其特征在于,所述AAA对接收到的分组网络发送的UE 的认证参数,为所述UE通过接入网认证后,与分组数据服务节点PDSN进行LCP协商; 所述PDSN获取所述UE认证参数,并通过远程拨号用户认证服务RADIUS接入请求消息将所述UE的认证参数发送给AAA。
8.一种用户设备动态认证参数的更新装置,其特征在于,所述装置包括接收单元、认证单元、确定单元和更新单元,其中,接收单元,用于接收分组网络发送的UE的认证参数; 认证单元,用于对所述UE的认证参数进行认证;确定单元,用于在认证通过后确定所述UE的动态认证参数是否满足更新条件,满足时触发更新单元;更新单元,用于对所述UE的动态认证参数进行更新,并触发OTAF将更新后的动态认证参数更新到所述UE。
9.根据权利要求8所述的装置,其特征在于,所述认证参数包括以下参数的至少一种 NAI、CHAP密码、CHAP挑战和分组网络接入IP ;所述动态认证参数包括以下参数的至少一种 动态AAANAI和动态密码。
10.根据权利要求9所述的装置,其特征在于,UE的动态认证参数满足更新条件,为 所述UE的动态NAI或动态密码为空;或者,所述UE的动态AAA NAI为原始AAA NAI,或所述UE的动态密码为原始密码; 或者,所述UE的动态AAANAI或动态PWD达到了设定的使用次数; 或者,所述UE的动态AAANAI或动态PWD达到了使用的设定期限; 或者,所述UE处于动态认证参数的更新状态,但未更新成功。
11.根据权利要求9所述的装置,其特征在于,所述动态AAANAI包括用户识别码格式及域名信息;所述更新单元进一步用于,对所述UE的动态NAI的用户识别码格式和/或域名进行更新,和/或,对所述UE的动态密码进行更新。
12.—种验证、授权和计费服务器,其特征在于,包括权利要求8至11中任一项所述的装置。
全文摘要
本发明公开了一种用户设备动态认证参数的更新方法,包括验证、授权和计费服务器AAA对接收到的分组网络发送的用户设备UE的认证参数进行认证,认证通过后确定所述UE的动态认证参数是否满足更新条件,满足时对所述UE的动态认证参数进行更新,并触发空中激活实体OTAF将更新后的动态认证参数更新到所述UE。本发明同时公开了一种实现上述方法的用户设备动态认证参数的更新装置以及AAA。本发明最大限度地避免了UE用户被盗号的可能,即使被盗号也能最大限度地降低被盗号UE用户的损失。
文档编号H04W12/06GK102202305SQ20111014409
公开日2011年9月28日 申请日期2011年5月31日 优先权日2011年5月31日
发明者詹亚军, 邱永庆 申请人:中兴通讯股份有限公司