CN101998395A - 鉴权矢量获取方法、归属服务器和网络*** - Google Patents
鉴权矢量获取方法、归属服务器和网络*** Download PDFInfo
- Publication number
- CN101998395A CN101998395A CN2009100905718A CN200910090571A CN101998395A CN 101998395 A CN101998395 A CN 101998395A CN 2009100905718 A CN2009100905718 A CN 2009100905718A CN 200910090571 A CN200910090571 A CN 200910090571A CN 101998395 A CN101998395 A CN 101998395A
- Authority
- CN
- China
- Prior art keywords
- network
- authentication vector
- authentication
- home server
- functional entity
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明实施例提供一种鉴权矢量获取方法、归属服务器和网络***。该方法包括在接收到第一网络功能实体为请求获取对终端进行鉴权所需的鉴权矢量而发送的第一获取请求后,向第二网络归属服务器发送用于请求获取鉴权矢量的第二获取请求;接收第二网络归属服务器返回的、根据第二网络归属服务器产生的SQN而获得的第一鉴权矢量,根据第一鉴权矢量获得SQN,并根据第一网络功能实体所在的第一网络的网络类别,更新第一鉴权矢量中的AMF;根据SQN以及经过更新的AMF,获得第二鉴权矢量,并发送给第一网络功能实体。本发明实施例中,SQN由一个网络功能实体来维护,使终端上的SQN和从网络层收到的SQN一致,解决可能存在的鉴权重同步的问题。
Description
技术领域
本发明实施例涉及无线通信技术领域,尤其涉及一种鉴权矢量获取方法、归属服务器和网络***。
背景技术
随着无线通信技术的不断发展,在分组交换域(Packet SwitchedDomain;以下简称:PS)向***架构演进(system architecture evolution;以下简称:SAE)的过程中,用户的签约数据保存在归属用户服务器(Home SubscriberServer;以下简称:HSS),其中包括了2G/3G签约数据和演进的分组网络(Evolved Packet System;以下简称:EPS)签约数据,这些数据中包括了鉴权数据,也就说该HSS实际上是包括了归属位置寄存器(Home LocationRegister;以下简称:HLR)的能力。当用户通过2G/3G接入注册到GnGp-服务GPRS支持节点(Serving GPRS Support Node;以下简称:SGSN)上时,用户的鉴权流程包括SGSN向HLR请求鉴权矢量,HLR通过预定算法计算出多组鉴权矢量返回给SGSN;SGSN从中选择一组鉴权矢量用于对终端进行鉴权;终端鉴权通过后,返回鉴权响应,SGSN进行双向鉴权过程。当用户通过4G接入注册到移动管理实体(Mobility Management Entity;以下简称:MME)上时,对终端的鉴权过程与从2G/3G网接入时的流程类似,不同之处仅在于通过MME实现SGSN的功能。由此可知,用户在2G/3G和4G中的用户鉴权信息统一保存在HSS/HLR上,而且当用户在2G/3G和4G之间切换时,用户的鉴权矢量在SGSN和MME之间并不进行传递。
对于使用同一个用户身份模本文(Universal Subscriber Identity Module;以下简称:USIM)卡的终端,通过2G/3G接入和通过4G接入进行鉴权时可以使用同一个序列号(Sequence number;以下简称:SQN),也可以通过SQN中的索引值(index;以下简称:IND)进行区分。当用户从2G/3G接入到SGSN时,HSS/HLR根据预置的算法计算的SQN计算其所需的鉴权矢量给SGSN,对终端进行鉴权,当终端从2G/3G切换到4G接入到MME,HSS/HLR可以在计算2G/3G所用SQN的基础上根据预置的算法计算出的SQN来计算4G所需的鉴权矢量。对于终端而言,无论是从2G/3G接入还是从4G接入,其检查的SQN也是在上次所用的SQN基础产生的SQN,在计算SQN的计算参数设计合理的情况下不会出同步失败的问题。
在实现本发明过程中,发明人发现现有技术中至少存在如下问题:在实际组网的过程中,由于现有网络中已经存在比较多的HLR,HSS和HLR可能是两个不同的物理实体,也就是说HLR和HSS各自独立,用户的2G/3G的签约数据保存在HLR上,EPS签约数据保存在HSS上,并且HLR和HSS上各有一个鉴权中心(Authentication Center以下简称:AUC)。终端从2G/3G接入到SGSN和从4G接入到MME时,在鉴权过程中收到的SQN值是来自不同的AUC从而造成同步失败,终端需要发鉴权重同步的消息给网络,增加了终端和网络的消息量,延迟了终端注册时间,降低了业务服务质量。
发明内容
本发明实施例提供一种鉴权矢量获取方法、归属服务器和网络***,用以解决现有技术中,因终端与SGSN或MME维护的SQN不一致而导致同步失败的缺陷,以提高同步过程的成功率。
本发明实施例提供一种鉴权矢量获取方法,包括:
在接收到第一网络功能实体为请求获取对终端进行鉴权所需的鉴权矢量而发送的第一获取请求后,向第二网络归属服务器发送用于请求获取鉴权矢量的第二获取请求;
接收所述第二网络归属服务器返回的、根据所述第二网络归属服务器产生的序列号而获得的第一鉴权矢量,根据所述第一鉴权矢量获得所述序列号,并根据所述第一网络功能实体所在的第一网络的网络类别,更新所述第一鉴权矢量中的鉴权管理域;
根据所述序列号以及经过更新的所述鉴权管理域,获得第二鉴权矢量,并发送给所述第一网络功能实体。
本发明实施例提供一种归属服务器,位于第一网络中,包括:
请求模块,用于在接收到第一网络功能实体为请求获取对终端进行鉴权所需的鉴权矢量而发送的第一获取请求后,向第二网络归属服务器发送用于请求获取鉴权矢量的第二获取请求;
处理模块,用于接收所述第二网络归属服务器返回的、根据所述第二网络归属服务器产生的序列号而获得的第一鉴权矢量,根据所述第一鉴权矢量获得所述序列号,并根据所述第一网络功能实体所在的第一网络的网络类别,更新所述第一鉴权矢量中的鉴权管理域;
发送模块,用于根据所述序列号以及经过更新的所述鉴权管理域,获得第二鉴权矢量,并发送给所述第一网络功能实体。
本发明实施例提供一种网络***,包括位于第一网络中的第一网络归属服务器,以及位于第二网络中的第二网络归属服务器;
所述第一网络归属服务器用于在接收到于所述第一网络中的第一网络功能实体为请求获取对终端进行鉴权所需的鉴权矢量而发送的第一获取请求后,向所述第二网络归属服务器发送用于请求获取鉴权矢量的第二获取请求;
所述第二网络归属服务器用于根据自身产生的序列号获得第一鉴权矢量,并返回给所述第一网络归属服务器;
所述第一网络归属服务器还用于在接收到所述第二网络归属服务器返回的所述第一鉴权矢量后,根据所述第一鉴权矢量获得所述序列号,并在根据所述第一网络功能实体所在的第一网络的网络类别,更新所述第一鉴权矢量中的鉴权管理域后,根据所述序列号以及经过更新的所述鉴权管理域,获得第二鉴权矢量,并发送给所述第一网络功能实体。
本发明实施例提供的鉴权矢量获取方法、归属服务器和网络***中,用于产生鉴权矢量用的SQN统一由一个网络功能实体例如HLR或HSS来维护,使终端上的SQN和从网络层收到的SQN一致,解决可能存在的鉴权重同步的问题,保证鉴权同步流程的成功率,降低终端和网络的消息量,缩短终端注册时间,提高业务服务质量。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为应用本发明鉴权矢量获取方法实施例的组网示意图;
图2为本发明鉴权矢量获取方法实施例流程图;
图3为本发明实施例终端从4G附着到MME时的鉴权流程信令图;
图4为本发明鉴权矢量获取方法中计算鉴权矢量实施例示意图;
图5为本发明鉴权矢量获取方法中反算SQN实施例示意图;
图6为本发明本发明鉴权矢量获取方法中终端计算AUTN实施例示意图;
图7为本发明实施例终端从4G接入TAU的过程时的鉴权流程信令图;
图8为本发明归属服务器实施例一结构示意图;
图9为本发明归属服务器实施例二结构示意图;
图10为本发明网络***实施例组成示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明各实施例针对现有的HLR和HSS各自独立,用户的非4G(本发明各实施例以2G/3G为例)的签约数据保存在HLR上,EPS签约数据保存在HSS上的组网方式,为了解决因终端维护的SQN和网络(例如SGSN和MME)收到的SQN不一致,而造成用户在2G/3G和4G之间切换时可能存在的鉴权重同步问题,所引发的终端和网络的消息量增加,终端注册时间延迟,业务服务质量低等缺陷,提供一种解决方案,图1为应用本发明鉴权矢量获取方法实施例的组网示意图,如图1所示,当用户从2G/3G接入时,终端收到的SQN是HLR产生的,当终端从2G/3G切换到4G接入到MME时,MME收到的鉴权矢量是由HSS产生的,在用户终端从2G/3G网与4G网之间进行切换的过程中,当目标网络中的功能实体(例如4G网中的MME,或者2G/3G网中的SGSN等)向目标网络中的归属服务器(例如4G网中的HSS,或者2G/3G网中的HLR等)请求用于对终端进行鉴权所需的鉴权矢量时,为了避免终端与网络维护的SQN不一致,目标网络中的归属服务器不使用自身计算的SQN生成鉴权矢量,而是向原网络的归属服务器请求鉴权矢量,并在接收到原网络的归属服务器发送的、根据自身SQN生成的鉴权矢量后,进行反算获得原网络的归属服务器所应用的SQN,并根据获得的该SQN以及对鉴权矢量中相关参数的更新以获得新的鉴权矢量发送给目标网络中的功能实体用于对该终端进行鉴权。
本发明各实施例以终端从2G/3G网漫游到4G的情况为例进行说明,图2为本发明鉴权矢量获取方法实施例流程图,其中所述的第一网络为4G网,第二网络为2G/3G网,第一网络功能实体可以为MME,第一网络归属服务器可以为HSS,第二网络功能实体可以为SGSN,第二网络归属服务器可以为HLR,如图2所示,该流程包括:
步骤100,在接收到第一网络功能实体为请求获取对终端进行鉴权所需的鉴权矢量而发送的第一获取请求后,向第二网络归属服务器发送用于请求获取鉴权矢量的第二获取请求;
当终端从2G/3G网漫游到4G网时,4G网内的MME要对该终端进行鉴权,因此MME要向本网络中的HSS发送第一获取请求,用以请求获取对终端进行鉴权所需的鉴权矢量。HSS在接收到第一获取请求后,为了避免因终端和网络的SQN不一致而导致同步失败,HSS不应用自己维护的SQN生成鉴权矢量返回给MME,而是向该终端原先接入的网络即2G/3G网内的HLR发送第二获取请求,用以请求获取对该终端进行鉴权用的鉴权矢量。
步骤101,接收所述第二网络归属服务器返回的、根据所述第二网络归属服务器产生的SQN而获得的第一鉴权矢量,根据所述第一鉴权矢量获得所述SQN,并根据所述第一网络功能实体所在的第一网络的网络类别,更新所述第一鉴权矢量中的AMF;
2G/3G网内的HLR在接收到HSS发送的第二获取请求后,根据自身计算产生的SQN生成鉴权矢量并将该鉴权矢量返回给HSS。HSS接收HLR发送的鉴权矢量后,要对该鉴权矢量进行反算以获取到其中的HLR生成该鉴权矢量而用的SQN,当然生成鉴权矢量的具体算法,HSS和HLR预先均获知,因此HSS可以直接进行反算来获得其中的SQN。HSS获得所需要的SQN后,要根据该SQN生成新的鉴权矢量,为了与终端的接入网即4G网络的网络类别相匹配,HSS还要将通过反算鉴权矢量而获得的其中的相关参数进行匹配更新,例如更新鉴权矢量中的参数例如鉴权管理域(Authenticationmanagement field;以下简称:AMF),具体可以是将AMF中的“separation bit”设置为“1”。
步骤102,根据所述SQN以及经过更新的所述AMF,获得第二鉴权矢量,并发送给所述第一网络功能实体。
HSS在反算获得SQN,并根据MME所在的4G网络更新AMF后,根据该SQN和AMF,以及其他的从鉴权矢量反算获得的相关参数等生成第一网络实体所需第二鉴权矢量,并发送给MME,供MME对该终端进行鉴权,以保证同步流程顺利进行。
本发明实施例提供的鉴权矢量获取方法中,用于产生鉴权矢量用的SQN统一由HLR来维护,使终端的USIM卡上的SQN和从网络侧收到的SQN一致,解决可能存在的鉴权重同步的问题,保证鉴权同步流程的成功率,降低终端和网络的消息量,缩短终端注册时间,提高业务服务质量。
上述实施例是终端从非4G网切换到4G网的情况,当然当终端从4G网切换到非4G网时,SGSN要向HLR请求鉴权矢量,类似地,HLR不用自身产生的SQN生成鉴权矢量,而是转向终端原网络即4G网中的HSS请求鉴权矢量。HSS根据自身计算产生的SQN生成鉴权矢量后,返回给HLR;HLR同样要通过反算获取其中的SQN,并根据非4G网络例如2G/3G网的网络类别,更新AMF具体为将AMF中的“separation bit”设置为“0”;随后,HLR应用该SQN和经过更新的AMF生成新的鉴权矢量,并发送给SGSN用于进行对终端的鉴权。
综合上述实施例可知,本发明实施例中为了避免终端在网络切换后,终端和目标网络维护的SQN不一致而产生的鉴权同步失败的问题,本发明实施例中终端从原网络切换到目标网络后,目标网络从原网络获取SQN用于生成鉴权矢量,这样终端在切换前后接收到的SQN均来至同一网络的功能实体,从而解决可能存在的鉴权同步失败的问题。
图3为本发明实施例终端从4G附着到MME时的鉴权流程信令图,如图3所示,该流程包括:
步骤1a,终端发起附着请求到新MME;
步骤2a,新MME到HSS中请求鉴权矢量;
步骤3a,HSS发一个请求消息到HLR中请求鉴权矢量;
步骤4a,HLR进行鉴权矢量响应,即根据自己计算产生的SQN计算出鉴权矢量,并发给HSS;
图4为本发明鉴权矢量获取方法中计算鉴权矢量实施例示意图,如图4所示,HLR计算鉴权矢量的过程具体为,HLR根据自身计算产生的SQN计算获得的
再根据其它算法计算出所需五元组鉴权矢量AV=RAND||XRES||CK||IK||AUTN,发送给HSS。
步骤5a,HSS反算SQN;
图5为本发明鉴权矢量获取方法中反算SQN实施例示意图,如图5所示,HSS反算SQN的过程具体为,HSS收到五元组鉴权矢量后,根据f5的算法通过接收到的RAND,算出AK,同时从AUTN中计算出SQN。
步骤6a,HSS计算鉴权矢量;
HSS根据反算出来的SQN,以及RAND,把AMF的“separation bit”设置为1,再根据如图4所示的计算方法计算五元组鉴权矢量;然后,再根据网络标识(PLMN ID)和CK以及IK进行KASME的计算,完成了四元组鉴权矢量AV=RAND||XRES||KASME||AUTN的计算。
步骤7a,HSS将获取到的鉴权矢量发送给新MME;
步骤8a,新MME发送鉴权请求对终端进行鉴权,主要携带的参数是RAND和AUTN;
步骤9a,终端收到鉴权矢量后对AUTN进行检查,并返回包括RES的鉴权响应;
终端根据如图5所示的计算方法进行检查,具体包括终端根据f5的算法通过接收到的RAND,算出AK,同时从AUTN中计算出SQN、MAC、AMF;根据f1算法XMAC=f1K(SQN||RAND||AMF)计算出XMAC,并就该XMAC与从AUTN中算出的MAC进行对比,如果不一致,则返回失败消息。如果一致,则接着检查收到的SQN和终端产生的SQN是否一致,具体检查条件有三种,只要符合下面三种条件的一种,终端就会发同步失败消息。三种条件分别包括:(1)终端保存的SEQMS(i)大于等于从网络侧收到的SEQHE;(2)SEQMS-SEQHE的时间超期;(3)从网络侧收到的SEQHE大于终端保存的SEQMS超过一定的范围。终端的USIM卡上维护着多组SEQ,每个SEQ对应的索引是IND。SQN=SEQ||IND,终端从网络收到的SQN中解析出IND,与USIM卡上IND对应的SEQ进行对比。若符合三个条件之一,就返回一个同步失败消息给MME,同时携带一个终端计算获得的AUTN,该
其计算方法如图6所示,图6为本发明本发明鉴权矢量获取方法中终端计算AUTN实施例示意图,其中SQNMS是终端自身产生的、RAND是从MME收到的。如果SQN在一定的范围内,则终端根据公式RES=f2K(RAND)继续计算RES,并返回给MME。
步骤10a,新MME收到RES后和从HLR中收到的XRES进行对比,并选择对应的CK IK,同时终端也进行CK IK的计算;
后续,终端与HSS之间进行位置更新流程。
本发明实施例提供的鉴权矢量获取方法中,当MME向HSS请求鉴权矢量时,HSS可以通过例如MAP消息到2G/3G网中的HLR中请求五元组鉴权矢量;HSS根据该HLR产生的AUTN和RAND反算出HLR中的SQN,并利用这个SQN进行四元组鉴权矢量的计算,下发给终端,使终端接收到的SQN都是由HLR来维护的SQN,从而解决可能存在的鉴权重同步的问题。
图7为本发明实施例终端从4G接入跟踪区更新(Tracking Area Update;以下简称:TAU)的过程时的鉴权流程信令图,如图7所示,该流程包括:
步骤1b,终端发起TAU请求到新MME;
步骤2b,新MME到HSS中请求鉴权矢量;
步骤3b,HSS发一个请求消息到HLR中请求鉴权矢量;
步骤4b,HLR进行鉴权矢量响应,即根据自己计算的SQN计算出鉴权矢量,并发给HSS;
如图4所示,HLR计算鉴权矢量的过程具体为,HLR根据自身产生的SQN计算获得的从而获得五元组鉴权矢量AV=RAND||XRES||CK||IK||AUTN,发送给HSS。
步骤5b,HSS反算SQN;
如图5所示,HSS反算SQN的过程具体为,HSS收到五元组鉴权矢量后,根据f5的算法通过接收到的RAND,算出AK,同时从AUTN中计算出SQN。
步骤6b,HSS计算鉴权矢量;
HSS根据反算出来的SQN,以及RAND,把AMF的“separation bit”设置为1,再根据如图4所示的计算方法计算五元组鉴权矢量;然后,再根据网络标识(PLMN ID)和CK以及IK进行KASME的计算,完成了四元组鉴权矢量AV=RAND||XRES||KASME||AUTN的计算。
步骤7b,HSS将获取到的鉴权矢量发送给新MME;
步骤8b,新MME发送鉴权请求对终端进行鉴权,主要携带的参数是RAND和AUTN;
步骤9b,终端收到鉴权矢量后对AUTN进行检查,并返回包括RES的鉴权响应;
终端根据如图5所示的计算方法进行检查,具体包括终端根据f5的算法通过接收到的RAND,算出AK,同时从AUTN中计算出SQN、MAC、AMF;根据f1算法XMAC=f1K(SQN||RAND||AMF)计算出XMAC,并就该XMAC与从AUTN中算出的MAC进行对比,如果不一致,则返回失败消息。如果一致,则接着检查收到的SQN和终端产生的SQN是否一致,具体检查条件有三种,只要符合下面三种条件的一种,终端就会发同步失败消息。三种条件分别包括:(1)终端保存的SEQMS(i)大于等于从网络侧收到的SEQHE;(2)SEQMS-SEQHE的时间超期;(3)从网络侧收到的SEQHE大于终端保存的SEQMS超过一定的范围。终端的USIM卡上维护着多组SEQ,每个SEQ对应的索引是IND。SQN=SEQ||IND,终端从网络收到的SQN中解析出IND,与USIM卡上IND对应的SEQ进行对比。若符合三个条件之一,就返回一个同步失败消息给MME,同时携带一个终端计算获得的AUTN,该
其计算方法如图6所示,其中SQNMS是终端自身产生的、RAND是从MME收到的。如果SQN在一定的范围内,则终端根据公式RES=f2K(RAND)继续计算RES,并返回给MME。
步骤10b,新MME收到RES后和从HLR中收到的XRES进行对比,并选择对应的CK IK,同时终端也进行CK IK的计算;
后续,终端与HSS之间进行位置更新流程。
本发明实施例提供的鉴权矢量获取方法中,用于产生鉴权矢量用的SQN统一由HLR来维护,当然也可以由HSS统一维护,使终端的USIM卡上的SQN和从网络层收到的SQN一致,解决可能存在的鉴权重同步的问题,保证鉴权同步流程的成功率,降低终端和网络的消息量,缩短终端注册时间,提高业务服务质量。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
图8为本发明归属服务器实施例一结构示意图,如图8所示,该归属服务器包括请求模块11、处理模块12和发送模块13,其中,请求模块11用于在接收到第一网络功能实体为请求获取对终端进行鉴权所需的鉴权矢量而发送的第一获取请求后,向第二网络归属服务器发送用于请求获取鉴权矢量的第二获取请求;处理模块12用于接收所述第二网络归属服务器返回的、根据所述第二网络归属服务器产生的SQN而获得的第一鉴权矢量,根据所述第一鉴权矢量获得所述SQN,并根据所述第一网络功能实体所在的第一网络的网络类别,更新所述第一鉴权矢量中的AMF;发送模块13用于根据所述SQN以及经过更新的所述AMF,获得第二鉴权矢量,并发送给所述第一网络功能实体。
本实施例提供的归属服务器设置在第一网络中,若所述第一网络为2G/3G网,则本实施例提供的归属服务器为HLR,第一网络功能实体为SGSN,对应的,第二网络为4G网,第二网络归属服务器为HSS;若所述第一网络为4G网,则本实施例提供的归属服务器为HSS,第一网络功能实体为SGSN,对应的,第二网络为2G/3G网,第二网络归属服务器为HLR。本实施例以终端从2G/3G网切换到4G网,即归属服务器为HSS为例进行说明。
当终端从2G/3G网切换到4G网时,4G网内的MME要对该终端进行鉴权,因此MME要向本网络中的HSS发送第一获取请求,用以请求获取对终端进行鉴权所需的鉴权矢量。HSS在接收到第一获取请求后,为了避免因终端和网络的SQN不一致而导致同步失败,HSS不应用自己维护的SQN生成鉴权矢量返回给MME,而是通过其中的请求模块11向该终端原先接入的网络即2G/3G网内的HLR发送第二获取请求,用以请求获取对该终端进行鉴权用的鉴权矢量。2G/3G网内的HLR在接收到HSS发送的第二获取请求后,根据自身计算产生的SQN生成鉴权矢量并将该鉴权矢量返回给HSS。HSS接收HLR发送的鉴权矢量后,通过处理模块12对该鉴权矢量进行反算以获取到其中的HLR生成该鉴权矢量而用的SQN。处理模块12获得所需要的SQN后,要根据该SQN生成新的鉴权矢量,为了与终端接入网即4G网络的网络类别相匹配,处理模块12还要将通过反算鉴权矢量而获得的其中的相关参数进行匹配更新,例如更新鉴权矢量中的参数AMF。处理模块12在反算获得SQN,并根据MME所在的4G网络更新AMF后,通过发送模块13应用该SQN和AMF,以及其他的从鉴权矢量反算获得的相关参数等生成MME所需的第二鉴权矢量,并发送给MME,供MME对该终端进行鉴权,以保证同步流程顺利进行。
本发明实施例提供的归属服务器中,用于产生鉴权矢量用的SQN统一由另一网络功能实体来维护,使终端上的SQN和从网络层收到的SQN一致,解决可能存在的鉴权重同步的问题,保证鉴权同步流程的成功率,降低终端和网络的消息量,缩短终端注册时间,提高业务服务质量。
图9为本发明归属服务器实施例二结构示意图,如图9所示,基于上述归属服务器实施例一,该归属服务器包括请求模块11、处理模块12和发送模块13,其中处理模块12包括反算单元121和更新单元122,具体地,反算单元121用于在接收HLR返回的、根据该HLR产生的SQN获得的第一鉴权矢量后,根据该第一鉴权矢量反算获取其中的SQN;反算单元121获得SQN后,通过更新单元122根据MME所在的4G网络的网络类别,更新第一鉴权矢量中的AMF,具体可以是将AMF中的“separation bit”设置为“1”。
本发明实施例提供的归属服务器,能够保证鉴权同步流程的成功率,降低终端和网络的消息量,缩短终端注册时间,提高业务服务质量。
图10为本发明网络***实施例组成示意图,该网络***包括位于第一网络中的第一网络归属服务器1,以及位于第二网络中的第二网络归属服务器2,所述第一网络归属服务器1用于在接收到于所述第一网络中的第一网络功能实体为请求获取对终端进行鉴权所需的鉴权矢量而发送的第一获取请求后,向所述第二网络归属服务器2发送用于请求获取鉴权矢量的第二获取请求;第二网络归属服务器用于根据自身产生的SQN获得第一鉴权矢量,并返回给第一网络归属服务器1;第一网络归属服务器1还用于在接收到第二网络归属服务器2返回的所述第一鉴权矢量后,根据所述第一鉴权矢量获得所述SQN,并在根据所述第一网络功能实体所在的第一网络的网络类别,更新所述第一鉴权矢量中的AMF后,根据所述SQN以及经过更新的所述AMF,获得第二鉴权矢量,并发送给所述第一网络功能实体。
上述的,若第一网络为4G网,第二网络为2G/3G网,则第一网络功能实体可以为MME,第一网络归属服务器可以为HSS,第二网络功能实体可以为SGSN,第二网络归属服务可以为HLR。若第一网络为2G/3G网,第二网络为4G网,则第一网络功能实体可以为SGSN,第一网络归属服务器可以为HLR,第二网络功能实体可以为MME,第二网络归属服务可以为HSS。
本发明实施例提供的网络***中,用于产生鉴权矢量用的SQN统一由同一网络功能实体例如HLR或HSS来维护,使终端上的SQN和从网络侧收到的SQN一致,解决可能存在的鉴权重同步的问题,保证鉴权同步流程的成功率,降低终端和网络的消息量,缩短终端注册时间,提高业务服务质量。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (6)
1.一种鉴权矢量获取方法,其特征在于,包括:
在接收到第一网络功能实体为请求获取对终端进行鉴权所需的鉴权矢量而发送的第一获取请求后,向第二网络归属服务器发送用于请求获取鉴权矢量的第二获取请求;
接收所述第二网络归属服务器返回的、根据所述第二网络归属服务器产生的序列号而获得的第一鉴权矢量,根据所述第一鉴权矢量获得所述序列号,并根据所述第一网络功能实体所在的第一网络的网络类别,更新所述第一鉴权矢量中的鉴权管理域;
根据所述序列号以及经过更新的所述鉴权管理域,获得第二鉴权矢量,并发送给所述第一网络功能实体。
2.根据权利要求1所述的鉴权矢量获取方法,其特征在于,所述根据所述第一网络功能实体所在的第一网络的网络类别,更新所述第一鉴权矢量中的鉴权管理域包括:
若所述第一网络功能实体所在的第一网络为4G网络,则将所述鉴权管理域中的分隔比特位设置成1;
若所述第一网络功能实体所在的第一网络为非4G网络,则将所述鉴权管理域中的分隔比特位设置成0。
3.根据权利要求1或2所述的鉴权矢量获取方法,其特征在于,当所述第一网络功能实体为移动性管理实体时,所述第二网络归属服务器为非4G网络中的归属位置寄存器;当所述第一网络功能实体为服务GPRS支持节点时,所述第二网络归属服务器为4G网络中的归属用户服务器。
4.一种归属服务器,其特征在于,位于第一网络中,包括:
请求模块,用于在接收到第一网络功能实体为请求获取对终端进行鉴权所需的鉴权矢量而发送的第一获取请求后,向第二网络归属服务器发送用于请求获取鉴权矢量的第二获取请求;
处理模块,用于接收所述第二网络归属服务器返回的、根据所述第二网络归属服务器产生的序列号而获得的第一鉴权矢量,根据所述第一鉴权矢量获得所述序列号,并根据所述第一网络功能实体所在的第一网络的网络类别,更新所述第一鉴权矢量中的鉴权管理域;
发送模块,用于根据所述序列号以及经过更新的所述鉴权管理域,获得第二鉴权矢量,并发送给所述第一网络功能实体。
5.根据权利要求4所述的归属服务器,其特征在于,所述处理模块包括:
反算单元,用于在接收所述第二网络归属服务器返回的、根据所述第二网络归属服务器产生的序列号而获得的第一鉴权矢量后,根据所述第一鉴权矢量反算获取所述序列号;
更新单元,用于根据所述第一网络功能实体所在的所述第一网络,更新所述第一鉴权矢量中的鉴权管理域。
6.一种网络***,包括位于第一网络中的第一网络归属服务器,以及位于第二网络中的第二网络归属服务器,其特征在于:
所述第一网络归属服务器用于在接收到于所述第一网络中的第一网络功能实体为请求获取对终端进行鉴权所需的鉴权矢量而发送的第一获取请求后,向所述第二网络归属服务器发送用于请求获取鉴权矢量的第二获取请求;
所述第二网络归属服务器用于根据自身产生的序列号获得第一鉴权矢量,并返回给所述第一网络归属服务器;
所述第一网络归属服务器还用于在接收到所述第二网络归属服务器返回的所述第一鉴权矢量后,根据所述第一鉴权矢量获得所述序列号,并在根据所述第一网络功能实体所在的第一网络的网络类别,更新所述第一鉴权矢量中的鉴权管理域后,根据所述序列号以及经过更新的所述鉴权管理域,获得第二鉴权矢量,并发送给所述第一网络功能实体。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009100905718A CN101998395B (zh) | 2009-08-27 | 2009-08-27 | 鉴权矢量获取方法、归属服务器和网络*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009100905718A CN101998395B (zh) | 2009-08-27 | 2009-08-27 | 鉴权矢量获取方法、归属服务器和网络*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101998395A true CN101998395A (zh) | 2011-03-30 |
| CN101998395B CN101998395B (zh) | 2013-12-04 |
Family
ID=43787773
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009100905718A Active CN101998395B (zh) | 2009-08-27 | 2009-08-27 | 鉴权矢量获取方法、归属服务器和网络*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101998395B (zh) |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102905267A (zh) * | 2012-10-11 | 2013-01-30 | 大唐移动通信设备有限公司 | Me标识鉴权、安全模式控制方法及装置 |
| CN104303533A (zh) * | 2013-01-22 | 2015-01-21 | 华为技术有限公司 | 移动通信***的安全认证的方法和网络设备 |
| WO2016086356A1 (zh) * | 2014-12-02 | 2016-06-09 | 华为技术有限公司 | 一种无线通信网络中的鉴权方法、相关装置及*** |
| CN105793845A (zh) * | 2013-10-07 | 2016-07-20 | 脸谱公司 | 基于集群映射和路由的***和方法 |
| CN107071773A (zh) * | 2016-11-24 | 2017-08-18 | 奇酷互联网络科技(深圳)有限公司 | 一种网络连接建立方法及装置 |
| CN108737381A (zh) * | 2018-04-23 | 2018-11-02 | 厦门盛华电子科技有限公司 | 一种物联网***的扩展认证方法 |
| CN109803261A (zh) * | 2017-11-17 | 2019-05-24 | 华为技术有限公司 | 鉴权方法、设备及*** |
| CN110839239A (zh) * | 2018-08-17 | 2020-02-25 | 中国电信股份有限公司 | 鉴权方法、设备和*** |
| CN111182543A (zh) * | 2018-11-12 | 2020-05-19 | 华为技术有限公司 | 切换网络的方法和装置 |
| CN111565388A (zh) * | 2020-04-02 | 2020-08-21 | 维沃移动通信有限公司 | 一种网络注册方法及电子设备 |
| WO2020200175A1 (zh) * | 2019-03-30 | 2020-10-08 | 华为技术有限公司 | 通信方法和通信设备 |
| CN111770492A (zh) * | 2019-03-30 | 2020-10-13 | 华为技术有限公司 | 通信方法和通信设备 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1282321A2 (en) * | 2001-08-02 | 2003-02-05 | TELEFONAKTIEBOLAGET LM ERICSSON (publ) | System and method for load sharing within a core network |
| CN1795656A (zh) * | 2003-05-23 | 2006-06-28 | 艾利森电话股份有限公司 | 移动通信***中的安全通信改向 |
| CN101399767A (zh) * | 2007-09-29 | 2009-04-01 | 华为技术有限公司 | 终端移动时安全能力协商的方法、***及装置 |
-
2009
- 2009-08-27 CN CN2009100905718A patent/CN101998395B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1282321A2 (en) * | 2001-08-02 | 2003-02-05 | TELEFONAKTIEBOLAGET LM ERICSSON (publ) | System and method for load sharing within a core network |
| CN1795656A (zh) * | 2003-05-23 | 2006-06-28 | 艾利森电话股份有限公司 | 移动通信***中的安全通信改向 |
| CN101399767A (zh) * | 2007-09-29 | 2009-04-01 | 华为技术有限公司 | 终端移动时安全能力协商的方法、***及装置 |
Cited By (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102905267B (zh) * | 2012-10-11 | 2015-09-23 | 大唐移动通信设备有限公司 | Me标识鉴权、安全模式控制方法及装置 |
| CN102905267A (zh) * | 2012-10-11 | 2013-01-30 | 大唐移动通信设备有限公司 | Me标识鉴权、安全模式控制方法及装置 |
| CN104303533B (zh) * | 2013-01-22 | 2019-01-08 | 华为技术有限公司 | 移动通信***的安全认证的方法和网络设备 |
| CN104303533A (zh) * | 2013-01-22 | 2015-01-21 | 华为技术有限公司 | 移动通信***的安全认证的方法和网络设备 |
| CN105793845A (zh) * | 2013-10-07 | 2016-07-20 | 脸谱公司 | 基于集群映射和路由的***和方法 |
| CN105793845B (zh) * | 2013-10-07 | 2019-10-25 | 脸谱公司 | 基于集群映射和路由的***和方法 |
| WO2016086356A1 (zh) * | 2014-12-02 | 2016-06-09 | 华为技术有限公司 | 一种无线通信网络中的鉴权方法、相关装置及*** |
| CN107113610A (zh) * | 2014-12-02 | 2017-08-29 | 华为技术有限公司 | 一种无线通信网络中的鉴权方法、相关装置及*** |
| CN107071773A (zh) * | 2016-11-24 | 2017-08-18 | 奇酷互联网络科技(深圳)有限公司 | 一种网络连接建立方法及装置 |
| CN107071773B (zh) * | 2016-11-24 | 2021-01-08 | 奇酷互联网络科技(深圳)有限公司 | 一种网络连接建立方法及装置 |
| US11595817B2 (en) | 2017-11-17 | 2023-02-28 | Huawei Technologies Co., Ltd. | Authentication method, device, and system |
| CN109803261A (zh) * | 2017-11-17 | 2019-05-24 | 华为技术有限公司 | 鉴权方法、设备及*** |
| CN109803261B (zh) * | 2017-11-17 | 2021-06-22 | 华为技术有限公司 | 鉴权方法、设备及*** |
| CN108737381A (zh) * | 2018-04-23 | 2018-11-02 | 厦门盛华电子科技有限公司 | 一种物联网***的扩展认证方法 |
| CN110839239A (zh) * | 2018-08-17 | 2020-02-25 | 中国电信股份有限公司 | 鉴权方法、设备和*** |
| CN111182543B (zh) * | 2018-11-12 | 2021-10-19 | 华为技术有限公司 | 切换网络的方法和装置 |
| CN111182543A (zh) * | 2018-11-12 | 2020-05-19 | 华为技术有限公司 | 切换网络的方法和装置 |
| CN111770492A (zh) * | 2019-03-30 | 2020-10-13 | 华为技术有限公司 | 通信方法和通信设备 |
| WO2020200175A1 (zh) * | 2019-03-30 | 2020-10-08 | 华为技术有限公司 | 通信方法和通信设备 |
| CN115038081A (zh) * | 2019-03-30 | 2022-09-09 | 华为技术有限公司 | 通信方法和通信设备 |
| CN115038081B (zh) * | 2019-03-30 | 2023-04-28 | 华为技术有限公司 | 通信方法和通信设备 |
| CN111565388A (zh) * | 2020-04-02 | 2020-08-21 | 维沃移动通信有限公司 | 一种网络注册方法及电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101998395B (zh) | 2013-12-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101998395A (zh) | 鉴权矢量获取方法、归属服务器和网络*** | |
| CN109756896B (zh) | 一种信息处理方法、网络设备及计算机可读存储介质 | |
| CN101399767B (zh) | 终端移动时安全能力协商的方法、***及装置 | |
| US7502607B2 (en) | Method for producing authentication information | |
| CN112219415A (zh) | 在第一网络中使用用于第二旧网络的订户标识模块的用户认证 | |
| US8934914B2 (en) | Key separation method and device | |
| CN110278556B (zh) | 一种安全认证策略确定方法、设备和计算机可读存储介质 | |
| CN101183958A (zh) | 一种计费控制方法及计费中心以及相关设备 | |
| CN101494845A (zh) | 一种用户隐式分离后的上下文恢复方法、网元和*** | |
| CN101938742A (zh) | 一种用户标识模块反克隆的方法、装置及*** | |
| CN103004284A (zh) | 用于增强性能的服务网关管理 | |
| US20150072678A1 (en) | Method, apparatus, and system for processing network sharing | |
| CN101616407A (zh) | 预认证的方法和认证*** | |
| CN102780991A (zh) | 漫游用户数据迁移方法及装置 | |
| CN101505470B (zh) | 策略控制方法和设备 | |
| CN109068313B (zh) | 一种多模制式的网络切换方法与*** | |
| CN101483904B (zh) | 网络选择方法、网元设备和网络*** | |
| CN100563159C (zh) | 通用鉴权***及访问该***中网络业务应用的方法 | |
| CN103607709A (zh) | 用户数据管理的方法及装置 | |
| CN102625271A (zh) | 一种共设mtc设备的信令优化方法和*** | |
| CN101605324A (zh) | 算法协商的方法、装置及*** | |
| CN101547432A (zh) | 信息更新方法和服务器 | |
| CN102056203A (zh) | 用户面分析的方法、装置及*** | |
| US20190303386A1 (en) | Data replication | |
| CN101247630A (zh) | 实现多媒体广播业务密钥协商的***及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |