專(zhuān)利名稱(chēng):鑒權(quán)向量管理方法及裝置的制作方法
技術(shù)領(lǐng)域:
本申請(qǐng)涉及通信技術(shù)領(lǐng)域,特別是涉及一種鑒權(quán)向量管理方法及裝置��。
背景技術(shù):
隨著眾多業(yè)務(wù)的開(kāi)展,運(yùn)營(yíng)商和用戶(hù)都需要可靠的認(rèn)證機(jī)制來(lái)保證合法的業(yè)務(wù)使用以及正確的計(jì)費(fèi)����。在2G、3G以及LTE中�����,使用基于共享秘密的GBA (GenericBootstrapping Architecture,通用引導(dǎo))架構(gòu)的鑒權(quán)方法�����。用戶(hù)設(shè)備(UE)和網(wǎng)絡(luò)側(cè)通過(guò)運(yùn)行AKA (Authentication and Key Agreement,認(rèn)證與密鑰協(xié)商協(xié)議)認(rèn)證機(jī)制�����,并使用運(yùn)行結(jié)果(加密密鑰和完整性密鑰)來(lái)實(shí)現(xiàn)鑒權(quán)和安全功能����。認(rèn)證的鑒權(quán)向量由HSS(Home Subscriber Server,歸屬地簽約數(shù)據(jù)服務(wù))計(jì)算產(chǎn)生,并將一組或多組鑒權(quán)向量(Authentication Vectors)通過(guò)鑒權(quán)信息應(yīng)答(Authentication Information Answer)消 息下發(fā)給接入網(wǎng)控制實(shí)體����,并由接入網(wǎng)實(shí)體以及用戶(hù)設(shè)備,使用鑒權(quán)向量推衍出NAS以及AS層的各種加密密鑰和完整性保護(hù)密鑰對(duì)信令或者數(shù)據(jù)進(jìn)行保護(hù)。例如�����,在LTE中����,鑒權(quán)信息(Authentication-Info)中包含多組E-UTRAN向量(E-UTRAN-Vector),由 HS S 下發(fā)給 MME (Mobility Management Entity,移動(dòng)管理實(shí)體)��。MME保存鑒權(quán)向量���,并使用鑒權(quán)向量發(fā)起認(rèn)證過(guò)程�����,根據(jù)鑒權(quán)向量推衍出NAS層完整性保護(hù)密鑰和加密密鑰����,并推衍出Kenb并發(fā)送給eNB (evolved NodeB�,演進(jìn)基站),eNB獲得后通過(guò)Kenb推衍出KRRCint�、KRRCenc以及KUPenc。NAS層以及AS層多個(gè)加密以及完整性保護(hù)密鑰都是通過(guò)某個(gè)鑒權(quán)向量推衍得到的�����。目前多使用計(jì)數(shù)器來(lái)記錄NAS信令交互次數(shù)的方式對(duì)鑒權(quán)向量進(jìn)行管理。當(dāng)計(jì)數(shù)器達(dá)到最大值時(shí)�����,回卷計(jì)數(shù)器�,重新獲取新的鑒權(quán)向量。因?yàn)榇朔N更換是基于NAS信令交互次數(shù)�����,若長(zhǎng)時(shí)間內(nèi)沒(méi)有NAS信令交互���,鑒權(quán)向量便無(wú)法更換�����,隨著使用時(shí)間的增加���,鑒權(quán)向量被破解的可能性也就越高,密鑰也更容易被泄露��,影響網(wǎng)絡(luò)通信的安全�。
發(fā)明內(nèi)容
本申請(qǐng)?zhí)峁┮环N鑒權(quán)向量管理方法及裝置���,能夠解決鑒權(quán)向量因?yàn)殚L(zhǎng)時(shí)間使用而被破解和泄露的問(wèn)題。為了解決上述問(wèn)題��,本申請(qǐng)公開(kāi)了一種鑒權(quán)向量管理方法���,包括以下步驟服務(wù)節(jié)點(diǎn)在鑒權(quán)流程成功后���,記錄當(dāng)前鑒權(quán)向量的使用時(shí)間以及NAS信令交互次數(shù)�;服務(wù)節(jié)點(diǎn)比較所述當(dāng)前鑒權(quán)向量的使用時(shí)間與預(yù)存的當(dāng)前鑒權(quán)向量的生命周期以及NAS信令交互次數(shù)與預(yù)存的NAS信令交互次數(shù)閾值,若當(dāng)前鑒權(quán)向量的使用時(shí)間超過(guò)其生命周期或NAS信令交互次數(shù)超過(guò)閾值��,則使用新的鑒權(quán)向量替換當(dāng)前鑒權(quán)向量�。進(jìn)一步地,所述方法還包括將所述被新的鑒權(quán)向量替換的當(dāng)前鑒權(quán)向量置為“已使用”狀態(tài)。進(jìn)一步地�,所述記錄當(dāng)前鑒權(quán)向量的使用時(shí)間采用定時(shí)器記錄,所述比較所述當(dāng)前鑒權(quán)向量的使用時(shí)間與預(yù)存的當(dāng)前鑒權(quán)向量的生命周期包括在鑒權(quán)流程成功后�,服務(wù)節(jié)點(diǎn)啟動(dòng)定時(shí)器記錄所述當(dāng)前鑒權(quán)向量的使用時(shí)間,所述定時(shí)器的時(shí)長(zhǎng)為當(dāng)前鑒權(quán)向量的生命周期���,若所述定時(shí)器超時(shí)��,則確定當(dāng)前鑒權(quán)向量的使用時(shí)間超過(guò)其生命周期��。進(jìn)一步地���,在服務(wù)節(jié)點(diǎn)在鑒權(quán)流程成功后����,記錄當(dāng)前鑒權(quán)向量的使用時(shí)間以及NAS信令交互次數(shù)之前�����,所述方法還包括服務(wù)節(jié)點(diǎn)發(fā)送鑒權(quán)信息請(qǐng)求消息給歸屬地簽約數(shù)據(jù)服務(wù)����;歸屬地簽約數(shù)據(jù)服務(wù)生成鑒權(quán)向量和鑒權(quán)向量生命周期,將所述鑒權(quán)向量和鑒權(quán)向量生命周期返回給服務(wù)節(jié)點(diǎn)���;服務(wù)節(jié)點(diǎn)選取一組鑒權(quán)向量發(fā)起鑒權(quán)流程��,若鑒權(quán)流程成功則進(jìn)行下一步驟��,反之�����,則重新選取一組鑒權(quán)向量再次發(fā)起鑒權(quán)流程���。 進(jìn)一步地����,所述服務(wù)節(jié)點(diǎn)選取一組鑒權(quán)向量發(fā)起鑒權(quán)流程包括使用選取的鑒權(quán)向量向用戶(hù)設(shè)備發(fā)送鑒權(quán)請(qǐng)求消息����,并接收用戶(hù)設(shè)備在對(duì)網(wǎng)絡(luò)進(jìn)行認(rèn)證成功后回復(fù)的鑒權(quán)響應(yīng)消息;比較鑒權(quán)響應(yīng)消息中的用戶(hù)響應(yīng)值和期望的用戶(hù)響應(yīng)值是否一致���,若是�����,則鑒權(quán)流程成功,反之��,則失敗�。進(jìn)一步地,所述服務(wù)節(jié)點(diǎn)包括移動(dòng)管理實(shí)體或GPRS服務(wù)支持節(jié)點(diǎn)�。本申請(qǐng)還公開(kāi)了一種鑒權(quán)向量管理裝置,置于服務(wù)節(jié)點(diǎn)中����,包括信息記錄模塊�����,用于在鑒權(quán)流程成功后����,記錄當(dāng)前鑒權(quán)向量的使用時(shí)間以及NAS信令交互次數(shù)����;比較模塊,用于比較所述當(dāng)前鑒權(quán)向量的使用時(shí)間與預(yù)存的當(dāng)前鑒權(quán)向量的生命周期以及NAS信令交互次數(shù)與預(yù)存的NAS信令交互次數(shù)閾值�����,若當(dāng)前鑒權(quán)向量的使用時(shí)間超過(guò)其生命周期或NAS信令交互次數(shù)超過(guò)閾值��,則使用新的鑒權(quán)向量替換當(dāng)前鑒權(quán)向量���。進(jìn)一步地�����,所述裝置還包括狀態(tài)記錄更改模塊���,用于將所述被新的鑒權(quán)向量替換的當(dāng)前鑒權(quán)向量置為“已使用”狀態(tài)�。進(jìn)一步地����,所述信息記錄模塊包括定時(shí)器,用于記錄當(dāng)前鑒權(quán)向量的使用時(shí)間���,所述定時(shí)器的時(shí)長(zhǎng)為當(dāng)前鑒權(quán)向量的生命周期���,若定時(shí)器超時(shí),則比較模塊判定當(dāng)前鑒權(quán)向量的使用時(shí)間超過(guò)其生命周期����。進(jìn)一步地,所述裝置還包括信息發(fā)送模塊���,用于發(fā)送鑒權(quán)信息請(qǐng)求消息給歸屬地簽約數(shù)據(jù)服務(wù);信息接收模塊����,用于接收歸屬地簽約數(shù)據(jù)服務(wù)生成的鑒權(quán)向量和鑒權(quán)向量生命周期;鑒權(quán)模塊����,用于選取一組鑒權(quán)向量發(fā)起鑒權(quán)流程�����,若鑒權(quán)流程成功則觸發(fā)信息記錄模塊���,反之,則重新選取一組鑒權(quán)向量再次發(fā)起鑒權(quán)流程���。進(jìn)一步地�,所述服務(wù)節(jié)點(diǎn)為移動(dòng)管理實(shí)體或GPRS服務(wù)支持節(jié)點(diǎn)���。與現(xiàn)有技術(shù)相比���,本申請(qǐng)包括以下優(yōu)點(diǎn)本申請(qǐng)的鑒權(quán)向量管理方法通過(guò)增加鑒權(quán)向量生命周期,與NAS交互次數(shù)相結(jié)合的方式來(lái)對(duì)鑒權(quán)向量的使用時(shí)效進(jìn)行管理�,只要二者任一一個(gè)達(dá)到預(yù)設(shè)值,則用新的鑒權(quán)向量替換當(dāng)前的鑒權(quán)向量���。此種方式可以避免鑒權(quán)向量被長(zhǎng)時(shí)間使用���,特別是在NAS信令交互次數(shù)較少的情況下,從而降低了鑒權(quán)向量被破解的風(fēng)險(xiǎn)�����,保證網(wǎng)絡(luò)通信的安全性。其次��,通過(guò)對(duì)鑒權(quán)向量狀態(tài)的更改��,便于服務(wù)節(jié)點(diǎn)在后續(xù)使用鑒權(quán)向量時(shí)準(zhǔn)確區(qū)分鑒權(quán)向量是否被使用過(guò)�����,從而可以保證新的鑒權(quán)向量未被使用過(guò)��,保證數(shù)據(jù)的有效性����。當(dāng)然,實(shí)施本申請(qǐng)的任一產(chǎn)品不一定需要同時(shí)達(dá)到 以上所述的所有優(yōu)點(diǎn)�。
為了更清楚地說(shuō)明本申請(qǐng)實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對(duì)實(shí)施例中所需要使用的附圖作簡(jiǎn)單地介紹���,顯而易見(jiàn)地,下面描述中的附圖僅僅是本申請(qǐng)的一些實(shí)施例����,對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講����,在不付出創(chuàng)造性勞動(dòng)的前提下���,還可以根據(jù)這些附圖獲得其他的附圖�。圖I是本申請(qǐng)的鑒權(quán)向量管理方法實(shí)施例一的流程圖�;圖2是本申請(qǐng)的鑒權(quán)向量管理方法實(shí)施例二的流程圖;圖3是本申請(qǐng)的鑒權(quán)向量管理方法實(shí)施例二的流程圖��;圖4是本申請(qǐng)的鑒權(quán)向量管理裝置實(shí)施例一的結(jié)構(gòu)示意圖��;圖5是本申請(qǐng)的鑒權(quán)向量管理裝置實(shí)施例二的結(jié)構(gòu)示意圖�;圖6是本申請(qǐng)的鑒權(quán)向量管理裝置實(shí)施例三的結(jié)構(gòu)示意圖;圖7是本申請(qǐng)的鑒權(quán)向量管理裝置的系統(tǒng)架構(gòu)圖���。
具體實(shí)施例方式下面將結(jié)合本申請(qǐng)實(shí)施例中的附圖,對(duì)本申請(qǐng)實(shí)施例中的技術(shù)方案進(jìn)行清楚���、完整地描述,顯然�����,所描述的實(shí)施例僅僅是本申請(qǐng)一部分實(shí)施例,而不是全部的實(shí)施例�。基于本申請(qǐng)中的實(shí)施例����,本領(lǐng)域普通技術(shù)人員所獲得的所有其他實(shí)施例,都屬于本申請(qǐng)保護(hù)的范圍���。參照?qǐng)D1�����,示出本申請(qǐng)的一種鑒權(quán)向量管理方法實(shí)施例一�,包括以下步驟步驟101��,服務(wù)節(jié)點(diǎn)在鑒權(quán)流程成功后�����,記錄當(dāng)前鑒權(quán)向量的使用時(shí)間以及NAS信令交互次數(shù)���。服務(wù)節(jié)點(diǎn)包括移動(dòng)管理實(shí)體(MME)或GPRS服務(wù)支持節(jié)點(diǎn)(SGSN��,Serving GPRSSUPPORT NODE)等可以提供網(wǎng)絡(luò)服務(wù)的節(jié)點(diǎn)�����。記錄當(dāng)前鑒權(quán)向量的使用時(shí)間可以采用定時(shí)器的方式實(shí)現(xiàn)����,即在鑒權(quán)流程成功后�����,服務(wù)節(jié)點(diǎn)啟動(dòng)一個(gè)定時(shí)器來(lái)記錄當(dāng)前鑒權(quán)向量的使用時(shí)間�����。該定時(shí)器的時(shí)長(zhǎng)為鑒權(quán)向量的生命周期��,當(dāng)定時(shí)器超時(shí)時(shí)�����,服務(wù)節(jié)點(diǎn)便可以確定當(dāng)前鑒權(quán)向量的使用時(shí)間超過(guò)其生命周期���。記錄當(dāng)前鑒權(quán)向量的NAS (Network Attached Storage,網(wǎng)絡(luò)附屬存儲(chǔ))信令交互次數(shù)可以采用計(jì)數(shù)器的方式實(shí)現(xiàn)�,其中��,計(jì)數(shù)器的最大值為NAS信令交互次數(shù)閾值,在鑒權(quán)流程成功后���,服務(wù)節(jié)點(diǎn)觸發(fā)該計(jì)數(shù)器計(jì)數(shù)���,計(jì)數(shù)器的初始值為0,每進(jìn)行一次NAS信令交互���,則觸發(fā)計(jì)數(shù)器的數(shù)值加I����。步驟102�,服務(wù)節(jié)點(diǎn)基于比較所述當(dāng)前鑒權(quán)向量的使用時(shí)間與預(yù)存的當(dāng)前鑒權(quán)向量的生命周期以及NAS信令交互次數(shù)與預(yù)存的NAS信令交互次數(shù)閾值,若當(dāng)前鑒權(quán)向量的使用時(shí)間超過(guò)其生命周期或NAS信令交互次數(shù)超過(guò)閾值����,則使用新的鑒權(quán)向量替換當(dāng)前鑒權(quán)向量。鑒權(quán)向量生命周期即為鑒權(quán)向量的有效使用時(shí)間�����,本申請(qǐng)的鑒權(quán)向量管理方法通過(guò)增加鑒權(quán)向量生命周期�,與NAS信令交互次數(shù)相結(jié)合的方式來(lái)對(duì)鑒權(quán)向量的使用時(shí)效進(jìn)行管理,只要二者任一一個(gè)達(dá)到預(yù)設(shè)值��,則用新的鑒權(quán)向量替換當(dāng)前的鑒權(quán)向量。其中��,鑒權(quán)向量的生命周期與NAS信令交互次數(shù)閾值可以根據(jù)實(shí)際情況確定���,例如,鑒權(quán)向量的生命周期可以由鑒權(quán)向量生成方基于鑒權(quán)向量生成的相關(guān)參數(shù)來(lái)確定�,或者基于經(jīng)驗(yàn)值確定,NAS信令交互次數(shù)閾值可以基于實(shí)際的NAS信令交互頻率來(lái)確定�����,本申請(qǐng)對(duì)此并不限制�����。鑒權(quán)向量的生命周期與NAS信令交互次數(shù)閾值在確定后�,預(yù)先存儲(chǔ)在服務(wù)節(jié)點(diǎn)中,服務(wù)節(jié)點(diǎn)將實(shí)時(shí)記錄的當(dāng)前鑒權(quán)向量的使用時(shí)間及NAS信令交互次數(shù)分別與預(yù)存的生命周期及閾值比較�����,從而確定使用時(shí)間是否超過(guò)生命周期��,以及NAS信令交互次數(shù)是否超過(guò)閾值��。此種方式可以避免鑒權(quán)向量被長(zhǎng)時(shí)間使用,特別是在NAS信令交互次數(shù)較少的情況下����,從而降低了鑒權(quán)向量被破解的風(fēng)險(xiǎn),保證網(wǎng)絡(luò)通信的安全性�。
參照?qǐng)D2,示出本申請(qǐng)的鑒權(quán)向量管理方法實(shí)施例二��,在實(shí)施例一的步驟102之后還包括以下步驟步驟201��,將所述被新的鑒權(quán)向量替換的當(dāng)前鑒權(quán)向量置為“已使用”狀態(tài)��。通過(guò)對(duì)鑒權(quán)向量狀態(tài)的更改�����,從而便于服務(wù)節(jié)點(diǎn)在后續(xù)使用鑒權(quán)向量時(shí)準(zhǔn)確區(qū)分鑒權(quán)向量是否被使用過(guò)��,從而可以保證新的鑒權(quán)向量未被使用過(guò)�����,保證數(shù)據(jù)的有效性�。參照?qǐng)D3,示出本申請(qǐng)的鑒權(quán)向量管理方法實(shí)施例三��,在實(shí)例一或二的步驟101之前還包括以下步驟步驟301,服務(wù)節(jié)點(diǎn)發(fā)送鑒權(quán)信息請(qǐng)求消息給歸屬地簽約數(shù)據(jù)服務(wù)�����。同前所述�����,服務(wù)節(jié)點(diǎn)包括移動(dòng)管理實(shí)體(MME)或GPRS服務(wù)支持節(jié)點(diǎn)(SGSN�����,Serving GPRS SUPPORT NODE)等可以提供網(wǎng)絡(luò)服務(wù)的節(jié)點(diǎn)�����。步驟302�,歸屬地簽約數(shù)據(jù)服務(wù)生成鑒權(quán)向量和鑒權(quán)向量生命周期��,將所述鑒權(quán)向量和鑒權(quán)向量生命周期返回給服務(wù)節(jié)點(diǎn)���。其中�����,歸屬地簽約數(shù)據(jù)服務(wù)(HSS)會(huì)同時(shí)生成多組鑒權(quán)向量�����,具體的可以包括E-UTRAN 向量(E-UTRAN-Vector)����、UTRAN 向量(UTRAN-Vector)、GERAN 向量(GERAN-Vector)等等�。歸屬地簽約數(shù)據(jù)服務(wù)在生成鑒權(quán)向量的同時(shí)會(huì)生成每組鑒權(quán)向量的生命周期。其中���,各組鑒權(quán)向量生命周期通過(guò)預(yù)先設(shè)置的參數(shù)來(lái)確定��。步驟303���,服務(wù)節(jié)點(diǎn)選取一組鑒權(quán)向量發(fā)起鑒權(quán)流程,若鑒權(quán)流程成功則進(jìn)行下一步驟�,反之,則重新選取一組鑒權(quán)向量再次發(fā)起鑒權(quán)流程����。服務(wù)節(jié)點(diǎn)發(fā)起鑒權(quán)流程的具體包括使用選取的鑒權(quán)向量向用戶(hù)設(shè)備發(fā)送鑒權(quán)請(qǐng)求消息(Authentication Request),并接收用戶(hù)設(shè)備在對(duì)網(wǎng)絡(luò)進(jìn)行認(rèn)證成功后回復(fù)的鑒權(quán)響應(yīng)消息(AuthenticationResponse);比較鑒權(quán)響應(yīng)消息中的用戶(hù)響應(yīng)值(RES,User Response)和期望的用戶(hù)響應(yīng)值(XRES, Expected User Response)是否一致,若是,則鑒權(quán)流程成功�,反之,則失敗?����?梢岳斫?�,在鑒權(quán)流程成功后���,服務(wù)節(jié)點(diǎn)以及用戶(hù)設(shè)備將根據(jù)該組鑒權(quán)向量��,通過(guò)NAS層安全模式控制(Security mode control)過(guò)程以及AS層安全模式控制過(guò)程,生成NAS層完整性保護(hù)密鑰���、NAS加密密鑰��、RRC層完整性保護(hù)密鑰��、RRC層加密密鑰����、UP層加密密鑰等一系列密鑰。與此同時(shí)����,服務(wù)節(jié)點(diǎn)則需要對(duì)鑒權(quán)向量生命周期以及與用戶(hù)設(shè)備的NAS信令交互次數(shù)進(jìn)行監(jiān)控����,即進(jìn)行前述步驟101�����。另外����,對(duì)于前述各實(shí)施例的步驟102中的使用新的鑒權(quán)向量替換當(dāng)前鑒權(quán)向量的過(guò)程為服務(wù)節(jié)點(diǎn)重新選取一組鑒權(quán)向量并發(fā)起鑒權(quán)流程,若成功��,則該組鑒權(quán)向量為新的鑒權(quán)向量�,若失敗,則服務(wù)器節(jié)點(diǎn)需要再次選取一組鑒權(quán)向量����,直到鑒權(quán)流程成功,則將該組鑒權(quán)向量作為新的鑒權(quán)向量來(lái)替換當(dāng)前鑒權(quán)向量�����。參照?qǐng)D4����,示出本申請(qǐng)的鑒權(quán)向量管理裝置實(shí)施例一��,其置于服務(wù)節(jié)點(diǎn)中�,包括信息記錄模塊10和比較模塊20���。信息記錄模塊10�����,用于在鑒權(quán)流程成功后��,記錄當(dāng)前鑒權(quán)向量的使用時(shí)間以及NAS信令交互次數(shù)���。優(yōu)選地,信息記錄模塊10包括定時(shí)器和計(jì)數(shù)器�����,其中��,當(dāng)前鑒權(quán)向量的使用時(shí)間通過(guò)定時(shí)器記錄��,定時(shí)器的時(shí)長(zhǎng)為當(dāng)前鑒權(quán)向量的生命周期����,當(dāng)鑒權(quán)流程成功后,服務(wù)節(jié)點(diǎn)則啟動(dòng)定時(shí)器開(kāi)始計(jì)時(shí)�����,到定時(shí)器超時(shí)時(shí)����,則說(shuō)明當(dāng)前鑒權(quán)向量的使用時(shí)間超過(guò)生命周期。NAS信令交互次數(shù)由計(jì)數(shù)器記錄����,計(jì)數(shù)器的最大值為當(dāng)前鑒權(quán)向量的NAS信令交 互次數(shù)閾值。比較模塊20���,用于比較所述當(dāng)前鑒權(quán)向量的使用時(shí)間與預(yù)存的當(dāng)前鑒權(quán)向量的生命周期以及NAS信令交互次數(shù)與預(yù)存的NAS信令交互次數(shù)閾值����,若當(dāng)前鑒權(quán)向量的使用時(shí)間超過(guò)其生命周期或NAS信令交互次數(shù)超過(guò)閾值����,則使用新的鑒權(quán)向量替換當(dāng)前鑒權(quán)向量。參照?qǐng)D5����,示出本申請(qǐng)的鑒權(quán)向量管理裝置實(shí)施例二�,該裝置還包括狀態(tài)記錄更改模塊50��,用于將所述被新的鑒權(quán)向量替換的當(dāng)前鑒權(quán)向量置為“已使用”狀態(tài)��。參照?qǐng)D6�����,示出本申請(qǐng)的鑒權(quán)向量管理裝置實(shí)施例三�,該裝置還包括信息發(fā)送模塊61、信息接收模塊63和鑒權(quán)模塊65���。信息發(fā)送模塊61���,用于發(fā)送鑒權(quán)信息請(qǐng)求消息給歸屬地簽約數(shù)據(jù)服務(wù)。信息接收模塊63����,用于接收歸屬地簽約數(shù)據(jù)服務(wù)生成的鑒權(quán)向量和鑒權(quán)向量生命周期。鑒權(quán)模塊65����,用于選取一組鑒權(quán)向量發(fā)起鑒權(quán)流程,若鑒權(quán)流程成功則觸發(fā)信息記錄模塊��,反之����,則重新選取一組鑒權(quán)向量再次發(fā)起鑒權(quán)流程?����?梢岳斫?����,前述服務(wù)節(jié)點(diǎn)可以是移動(dòng)管理實(shí)體或GPRS服務(wù)支持節(jié)點(diǎn)或者其他能夠提供網(wǎng)絡(luò)服務(wù)的節(jié)點(diǎn)�����。參照?qǐng)D7�,示出本申請(qǐng)的鑒權(quán)向量管理裝置與歸屬地簽約數(shù)據(jù)服務(wù)以及用戶(hù)設(shè)備之間信息交互的具體實(shí)例圖。通過(guò)以上的實(shí)施方式的描述可知�����,本領(lǐng)域的技術(shù)人員可以清楚地了解到本申請(qǐng)可借助軟件加必需的通用硬件平臺(tái)的方式來(lái)實(shí)現(xiàn)���?;谶@樣的理解,本申請(qǐng)的技術(shù)方案本質(zhì)上或者說(shuō)對(duì)現(xiàn)有技術(shù)做出貢獻(xiàn)的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來(lái)��,該計(jì)算機(jī)軟件產(chǎn)品可以存儲(chǔ)在存儲(chǔ)介質(zhì)中���,如R0M/RAM�����、磁碟���、光盤(pán)等,包括若干指令用以使得一臺(tái)計(jì)算機(jī)設(shè)備(可以是個(gè)人計(jì)算機(jī)���,服務(wù)器�����,或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本申請(qǐng)各個(gè)實(shí)施例或者實(shí)施例的某些部分所述的方法����。本說(shuō)明書(shū)中的各個(gè)實(shí)施例均采用遞進(jìn)的方式描述�,各個(gè)實(shí)施例之間相同相似的部分互相參見(jiàn)即可��,每個(gè)實(shí)施例重點(diǎn)說(shuō)明的都是與其他實(shí)施例的不同之處。尤其��,對(duì)于裝置或系統(tǒng)實(shí)施例而言�����,由于其基本相似于方法實(shí)施例�����,所以描述得比較簡(jiǎn)單����,相關(guān)之處參見(jiàn)方法實(shí)施例的部分說(shuō)明即可。以上所描述的裝置及系統(tǒng)實(shí)施例僅僅是示意性的�,其中所述作為分離部件說(shuō)明的單元可以是或者也可以不是物理上分開(kāi)的,作為單元顯示的部件可以是或者也可以不是物理單元����,即可以位于一個(gè)地方,或者也可以分布到多個(gè)網(wǎng)絡(luò)單元上�。可以根據(jù)實(shí)際的需要選擇其中的部分或者全部模塊來(lái)實(shí)現(xiàn)本實(shí)施例方案的目的�����。本領(lǐng)域普通技術(shù)人員在不付出創(chuàng)造性勞動(dòng)的情況下,即可以理解并實(shí)施��。 以上對(duì)本申請(qǐng)所提供的鑒權(quán)向量管理方法及裝置進(jìn)行了詳細(xì)介紹�,本文中應(yīng)用了具體個(gè)例對(duì)本申請(qǐng)的原理及實(shí)施方式進(jìn)行了闡述,以上實(shí)施例的說(shuō)明只是用于幫助理解本申請(qǐng)的方法及其核心思想�����;同時(shí)�,對(duì)于本領(lǐng)域的一般技術(shù)人員,依據(jù)本申請(qǐng)的思想��,在具體實(shí)施方式
及應(yīng)用范圍上均會(huì)有改變之處����,綜上所述,本說(shuō)明書(shū)內(nèi)容不應(yīng)理解為對(duì)本申請(qǐng)的限制����。
權(quán)利要求
1.一種鑒權(quán)向量管理方法,其特征在于����,包括以下步驟 服務(wù)節(jié)點(diǎn)在鑒權(quán)流程成功后����,記錄當(dāng)前鑒權(quán)向量的使用時(shí)間以及NAS信令交互次數(shù)�; 服務(wù)節(jié)點(diǎn)比較所述當(dāng)前鑒權(quán)向量的使用時(shí)間與預(yù)存的當(dāng)前鑒權(quán)向量的生命周期以及NAS信令交互次數(shù)與預(yù)存的NAS信令交互次數(shù)閾值,若當(dāng)前鑒權(quán)向量的使用時(shí)間超過(guò)其生命周期或NAS信令交互次數(shù)超過(guò)閾值�����,則使用新的鑒權(quán)向量替換當(dāng)前鑒權(quán)向量�����。
2.如權(quán)利要求I所述的鑒權(quán)向量管理方法���,其特征在于,所述方法還包括 將所述被新的鑒權(quán)向量替換的當(dāng)前鑒權(quán)向量置為“已使用”狀態(tài)��。
3.如權(quán)利要求I所述的鑒權(quán)向量管理方法����,其特征在于,所述記錄當(dāng)前鑒權(quán)向量的使用時(shí)間采用定時(shí)器記錄����,所述比較所述當(dāng)前鑒權(quán)向量的使用時(shí)間與預(yù)存的當(dāng)前鑒權(quán)向量的生命周期包括 在鑒權(quán)流程成功后����,服務(wù)節(jié)點(diǎn)啟動(dòng)定時(shí)器記錄所述當(dāng)前鑒權(quán)向量的使用時(shí)間�,所述定時(shí)器的時(shí)長(zhǎng)為當(dāng)前鑒權(quán)向量的生命周期,若所述定時(shí)器超時(shí)����,則確定當(dāng)前鑒權(quán)向量的使用時(shí)間超過(guò)其生命周期。
4.如權(quán)利要求I所述的鑒權(quán)向量管理方法���,其特征在于���,在服務(wù)節(jié)點(diǎn)在鑒權(quán)流程成功后,記錄當(dāng)前鑒權(quán)向量的使用時(shí)間以及NAS信令交互次數(shù)之前,所述方法還包括 服務(wù)節(jié)點(diǎn)發(fā)送鑒權(quán)信息請(qǐng)求消息給歸屬地簽約數(shù)據(jù)服務(wù)��; 歸屬地簽約數(shù)據(jù)服務(wù)生成鑒權(quán)向量和鑒權(quán)向量生命周期��,將所述鑒權(quán)向量和鑒權(quán)向量生命周期返回給服務(wù)節(jié)點(diǎn)�; 服務(wù)節(jié)點(diǎn)選取一組鑒權(quán)向量發(fā)起鑒權(quán)流程,若鑒權(quán)流程成功則進(jìn)行下一步驟����,反之��,則重新選取一組鑒權(quán)向量再次發(fā)起鑒權(quán)流程����。
5.如權(quán)利要求4所述的鑒權(quán)向量管理方法����,其特征在于,所述服務(wù)節(jié)點(diǎn)選取一組鑒權(quán)向量發(fā)起鑒權(quán)流程包括 使用選取的鑒權(quán)向量向用戶(hù)設(shè)備發(fā)送鑒權(quán)請(qǐng)求消息�,并接收用戶(hù)設(shè)備在對(duì)網(wǎng)絡(luò)進(jìn)行認(rèn)證成功后回復(fù)的鑒權(quán)響應(yīng)消息; 比較鑒權(quán)響應(yīng)消息中的用戶(hù)響應(yīng)值和期望的用戶(hù)響應(yīng)值是否一致�,若是���,則鑒權(quán)流程成功,反之,則失敗��。
6.如權(quán)利要求I至5任一項(xiàng)所述的鑒權(quán)向量管理方法�����,其特征在于���,所述服務(wù)節(jié)點(diǎn)包括移動(dòng)管理實(shí)體或GPRS服務(wù)支持節(jié)點(diǎn)。
7.—種鑒權(quán)向量管理裝置����,置于服務(wù)節(jié)點(diǎn)中�,其特征在于�����,包括 信息記錄模塊��,用于在鑒權(quán)流程成功后����,記錄當(dāng)前鑒權(quán)向量的使用時(shí)間以及NAS信令交互次數(shù); 比較模塊��,用于比較所述當(dāng)前鑒權(quán)向量的使用時(shí)間與預(yù)存的當(dāng)前鑒權(quán)向量的生命周期以及NAS信令交互次數(shù)與預(yù)存的NAS信令交互次數(shù)閾值���,若當(dāng)前鑒權(quán)向量的使用時(shí)間超過(guò)其生命周期或NAS信令交互次數(shù)超過(guò)閾值�����,則使用新的鑒權(quán)向量替換當(dāng)前鑒權(quán)向量��。
8.如權(quán)利要求7所述的鑒權(quán)向量管理裝置�����,其特征在于����,所述裝置還包括 狀態(tài)記錄更改模塊,用于將所述被新的鑒權(quán)向量替換的當(dāng)前鑒權(quán)向量置為“已使用”狀態(tài)����。
9.如權(quán)利要求7所述的鑒權(quán)向量管理裝置,其特征在于����,所述信息記錄模塊包括 定時(shí)器,用于記錄當(dāng)前鑒權(quán)向量的使用時(shí)間����,所述定時(shí)器的時(shí)長(zhǎng)為當(dāng)前鑒權(quán)向量的生命周期��,若定時(shí)器超時(shí)���,則比較模塊判定當(dāng)前鑒權(quán)向量的使用時(shí)間超過(guò)其生命周期���。
10.如權(quán)利要求7所述的鑒權(quán)向量管理裝置,其特征在于���,所述裝置還包括 信息發(fā)送模塊�,用于發(fā)送鑒權(quán)信息請(qǐng)求消息給歸屬地簽約數(shù)據(jù)服務(wù); 信息接收模塊���,用于接收歸屬地簽約數(shù)據(jù)服務(wù)生成的鑒權(quán)向量和鑒權(quán)向量生命周期���;鑒權(quán)模塊,用于選取一組鑒權(quán)向量發(fā)起鑒權(quán)流程�,若鑒權(quán)流程成功則觸發(fā)信息記錄模塊,反之����,則重新選取一組鑒權(quán)向量再次發(fā)起鑒權(quán)流程。
11.如權(quán)利要求7至10任一項(xiàng)所述的鑒權(quán)向量管理裝置����,其特征在于,所述服務(wù)節(jié)點(diǎn)為移動(dòng)管理實(shí)體或GPRS服務(wù)支持節(jié)點(diǎn)�。
全文摘要
本申請(qǐng)?zhí)峁┝艘环N鑒權(quán)向量管理方法,包括以下步驟服務(wù)節(jié)點(diǎn)在鑒權(quán)流程成功后��,記錄當(dāng)前鑒權(quán)向量的使用時(shí)間以及NAS信令交互次數(shù)�;服務(wù)節(jié)點(diǎn)比較所述當(dāng)前鑒權(quán)向量的使用時(shí)間與預(yù)存的當(dāng)前鑒權(quán)向量的生命周期以及NAS信令交互次數(shù)與預(yù)存的NAS信令交互次數(shù)閾值,若當(dāng)前鑒權(quán)向量的使用時(shí)間超過(guò)其生命周期或NAS信令交互次數(shù)超過(guò)閾值��,則使用新的鑒權(quán)向量替換當(dāng)前鑒權(quán)向量。本申請(qǐng)還提供了一種實(shí)現(xiàn)前述方法的鑒權(quán)向量管理裝置���。本申請(qǐng)的鑒權(quán)向量管理方法及裝置��,能夠避免鑒權(quán)向量被長(zhǎng)時(shí)間使用����,特別是在NAS信令交互次數(shù)較少的情況下�����,從而降低鑒權(quán)向量被破解的風(fēng)險(xiǎn)�����,保證網(wǎng)絡(luò)通信的安全性�。
文檔編號(hào)H04W12/06GK102883319SQ20121033154
公開(kāi)日2013年1月16日 申請(qǐng)日期2012年9月7日 優(yōu)先權(quán)日2012年9月7日
發(fā)明者吳鵬程 申請(qǐng)人:大唐移動(dòng)通信設(shè)備有限公司