專利名稱:通訊系統(tǒng)中的鑒權(quán)裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信領(lǐng)i或,并且特別地,涉及通信系統(tǒng)中的鑒斥又裝置。
背景技術(shù):
由于IP沖支術(shù)具有互通性等一系列優(yōu)點,通信系統(tǒng)正逐步向IP 承載轉(zhuǎn)變,由此引發(fā)的網(wǎng)絡(luò)融合導致了新一代網(wǎng)絡(luò)通信標準一IMS 的誕生。由于IP技術(shù)的開放性,通信網(wǎng)絡(luò)的安全性要求達到了前所 未有的高度?;?4戰(zhàn),響應(yīng)的雙向鑒權(quán)機制已經(jīng)成為通信系統(tǒng)中 鑒權(quán)終端或網(wǎng)絡(luò)的主流方法。IETF的RFC3310標準,將以RFC2617 為代表的傳統(tǒng)IP領(lǐng)域的鑒權(quán)機制與以3 GPP 3 3.102協(xié)議為代表的移 動領(lǐng)域的鑒權(quán)^L制有才幾的結(jié)合起來。隨著網(wǎng)絡(luò)的融合,現(xiàn)有和未來 的固定終端引入之后,將大量的采用RFC2617描述的HTTP Digest 鑒權(quán)機制。
TISPAN等國際組織目前已經(jīng)考慮在網(wǎng)^各中支持多種鑒—又方 法,以適應(yīng)兼容多種終端接入的需要,并已經(jīng)開始制定相應(yīng)的規(guī)范, 這其中包括支持HTTP Digest鑒柏j見范(RFC2617 )。在HTTP Digest 鑒權(quán)協(xié)議中,鑒權(quán)基于網(wǎng)絡(luò)和終端分別保有的密鑰(或稱密碼)。 根據(jù)終端的不同,該密鑰可能保存于終端中,或由用戶輸入。IP網(wǎng) 絡(luò)的開發(fā)性使得鑒權(quán)相關(guān)的信令很容易被攔截或偽造,并且由于不 能期望每一個終端用戶都使用足夠強壯的密碼,采用惡意軟件非法 石皮解合法用戶密碼的4亍為就成為可能,例如常見的字典攻擊。
為了解決這一安全威脅,可以采用類似4艮4亍取凍欠才幾限制耳又款的 措施,當連續(xù)輸入密碼錯誤超過一定次數(shù)時將賬戶鎖定,只能由合 法用戶持相關(guān)證明進行解鎖。這就有效的防止了非法猜測用戶密碼 的行為。該方法在通信網(wǎng)絡(luò)中表現(xiàn)為,當客戶端發(fā)起鑒權(quán)請求,網(wǎng) 絡(luò)對其認證失敗,這一重復過程一旦達到限制的次數(shù),用戶的賬戶 將會被鎖定。這時需要合法用戶攜帶身份證件到營業(yè)廳進行解鎖。
在IMS (IP多媒體子系統(tǒng))移動通信網(wǎng)絡(luò)的一種實現(xiàn)為,用戶發(fā)起 注冊請求,HSS累加S-CSCF發(fā)起的對該用戶的獲取鑒權(quán)參數(shù)請求 數(shù),如果由于S-CSCF發(fā)現(xiàn)鑒權(quán)失敗拒絕接入,用戶再重新發(fā)起注 冊請求,這一過程重復導致HSS中記錄的鑒權(quán)參數(shù)請求數(shù)達到預設(shè) 的上限,HSS將用戶鎖定。如果用戶鑒斥又成功,HSS收到后續(xù)的注 冊通知,則HSS將記錄的鑒權(quán)參數(shù)請求數(shù)清零。
在實際應(yīng)用中,通過鑒相J青求計^:鎖定賬戶的方法有以下缺 陷惡意用戶通過軟件發(fā)起大量鑒權(quán)請求猜測合法用戶密碼的行為 將導致合法用戶賬戶鎖定,從而影響了合法用戶正常4吏用業(yè)務(wù);更 為危險的是,如果使用軟件發(fā)起大量的惡意鑒權(quán)請求,將輕易的使 現(xiàn)網(wǎng)大量用戶陷入賬戶鎖定狀態(tài),導致嚴重的網(wǎng)絡(luò)癱瘓。
發(fā)明內(nèi)容
為了解決鑒權(quán)過程中攻擊用戶密鑰的安全威脅問題,并且解決
明的主要目的在于提供一種通信系統(tǒng)的鑒權(quán)裝置。
為了實現(xiàn)上述目的,根據(jù)本發(fā)明的第二實施例,提供了一種通 信系統(tǒng)中的鑒權(quán)裝置。
該裝置包括請求模塊,用于使用戶通過終端向系統(tǒng)發(fā)送接入
請求;發(fā)送模塊,用于使系統(tǒng)側(cè)的呼叫會話控制服務(wù)器接收接入請
求,并向歸屬用戶服務(wù)器發(fā)送鑒權(quán)請求消息;判斷處理模塊,用于 使歸屬用戶服務(wù)器接收鑒權(quán)請求消息,判斷預定時間周期內(nèi)請求鑒 權(quán)的次數(shù)是否達到預定的次數(shù),將包括判斷結(jié)果的消息發(fā)送給呼叫
會話控制服務(wù)器;以及鑒權(quán)模塊,用于使呼叫會話控制服務(wù)器根據(jù) 消息對用戶進行鑒權(quán)。
其中,在預定時間周期內(nèi)請求鑒權(quán)的次數(shù)達到預定的次數(shù)的情 況下,判斷處理模塊使歸屬用戶服務(wù)器將鑒權(quán)拒絕響應(yīng)信息發(fā)送給 呼叫會話控制服務(wù)器,使呼叫會話控制服務(wù)器根據(jù)拒絕響應(yīng)信息生 成禁止4妻入消息,并將其發(fā)送纟會終端。
并且,在預定時間周期內(nèi)請求鑒權(quán)的次K未達到預定的次數(shù)的 情況下,判斷處理模塊使歸屬用戶服務(wù)器根據(jù)用戶簽約中密鑰信息 產(chǎn)生鑒權(quán)參數(shù),將包含鑒權(quán)參數(shù)的鑒權(quán)信息發(fā)送給呼叫會話控制服 務(wù)器,并累加在預定時間周期內(nèi)請求鑒權(quán)的次數(shù)。其中,鑒權(quán)信息 至少包括鑒權(quán)挑戰(zhàn)信息和第一鑒權(quán)響應(yīng)信息。
另外,在該裝置的鑒權(quán)模塊中進一步包括子發(fā)送裝置,用于 使呼叫會話控制服務(wù)器根據(jù)從歸屬用戶服務(wù)器接收到的鑒權(quán)挑戰(zhàn) 信息,向終端發(fā)送鑒權(quán)挑戰(zhàn)指示;生成模塊,用于使終端接收鑒權(quán) 挑戰(zhàn)指示,根據(jù)存有的密鑰或根據(jù)用戶輸入的密碼生成第二鑒權(quán)響 應(yīng)信息,并將第二鑒4又響應(yīng)信息發(fā)送給呼叫會話控制服務(wù)器;比較 模塊,用于使呼叫會話控制服務(wù)器將接收到的第一鑒權(quán)響應(yīng)信息和 第二鑒權(quán)響應(yīng)信息進行比較;以及處理模塊,用于根據(jù)比較結(jié)果, 進4亍相應(yīng)處理。
其中,如果第一鑒權(quán)響應(yīng)信息與第二鑒權(quán)響應(yīng)信息不相同,則 處理才莫塊向纟冬端發(fā)送注冊失敗響應(yīng)消息,用戶4妻收到注冊失敗響應(yīng) 消息,并選擇重新注冊或放棄注冊。并且,如果第一鑒權(quán)響應(yīng)信息 與第二鑒^K響應(yīng)信息相同,處理;漠塊繼續(xù)注冊處理。
之后,在^妾收到乂人呼叫會"i舌4空制月良務(wù)器發(fā)送的用戶注冊/注銷請 求的同時,歸屬用戶服務(wù)器清除用戶的請求鑒權(quán)次數(shù)。
其中,請求鑒權(quán)次數(shù)(次)與時間周期(分鐘)的比值約為1。
通過上述4支術(shù)方案,本發(fā)明可以維護合法用戶的權(quán)限與安全, 并且具有^艮好的兼容性。
此處所i兌明的附圖用來4是供對本發(fā)明的進一步理解,構(gòu)成本申 請的一部分,本發(fā)明的示意性實施例及其說明用于解釋本發(fā)明,并
不構(gòu)成對本發(fā)明的不當限定。在附圖中
圖l是根據(jù)本發(fā)明第一實施例的通信系統(tǒng)鑒權(quán)方法的流程圖2是根據(jù)本發(fā)明第 一實施例的通信系統(tǒng)鑒權(quán)方法的細節(jié)流程
圖3是示出根據(jù)本發(fā)明第二實施例的通信系統(tǒng)中的鑒權(quán)裝置的 構(gòu)造的沖匡圖4是應(yīng)用本發(fā)明的系統(tǒng)構(gòu)造實例的框圖5是圖4所示系統(tǒng)中用戶正常注冊的流程圖6是圖4所示系統(tǒng)中非法用戶惡意注冊的流程圖;以及
圖7是在圖3所示的系統(tǒng)中實現(xiàn)本發(fā)明的流程圖。
具體實施例方式
下面將參考附圖詳細i^L明本發(fā)明。
第一實施例
首先,將參照圖1和圖2描述本發(fā)明的第一實施例。圖1是根 據(jù)本發(fā)明第一實施例的通信系統(tǒng)鑒權(quán)方法的流程圖,圖2是根據(jù)本 發(fā)明第 一 實施例的通信系統(tǒng)鑒4又方法的細節(jié)流程圖。
如圖1所示,根據(jù)本發(fā)明第一實施例的通信系統(tǒng)鑒權(quán)方法包括 以下步4f:步-驟S102,用戶通過纟冬端向系統(tǒng)發(fā)送4妾入"i青求;步驟 S104,系統(tǒng)側(cè)的呼叫會話控制服務(wù)器接收接入請求,并向歸屬用戶 服務(wù)器發(fā)送鑒權(quán)請求消息;步驟S106,歸屬用戶服務(wù)器接收鑒權(quán)請 求消息,判斷預定時間周期內(nèi)請求鑒權(quán)的次數(shù)是否達到預定的次 數(shù),將包括判斷結(jié)果的消息發(fā)送給呼叫會話控制服務(wù)器;以及步驟 S108 ,呼叫會話控制服務(wù)器根據(jù)消息對用戶進行鑒權(quán)。
其中,在步驟S106中,在預定時間周期內(nèi)請求鑒權(quán)的次數(shù)達 到預定的次數(shù)的情況下,歸屬用戶服務(wù)器將鑒權(quán)拒絕響應(yīng)信息發(fā)送 給呼叫會話控制服務(wù)器,呼叫會話控制服務(wù)器根據(jù)拒絕響應(yīng)信息生 成禁止接入消息,并將其發(fā)送給終端。
并且,在步-驟S106中,在預定時間周期內(nèi)i青求鑒4又的次數(shù)未 達到預定的次數(shù)的情況下,歸屬用戶服務(wù)器根據(jù)用戶簽約中密鑰信 息產(chǎn)生鑒權(quán)參數(shù),將包含鑒權(quán)參數(shù)的鑒權(quán)信息發(fā)送給呼叫會話控制 服務(wù)器,并累加在預定時間周期內(nèi)請求鑒權(quán)的次數(shù)。其中,鑒權(quán)信 息至少包括鑒權(quán)4兆戰(zhàn)信息和第 一鑒權(quán)響應(yīng)信息。
另外,如圖2所示,步-驟S108包4舌以下步驟步驟S1082, 呼叫會話控制服務(wù)器根據(jù)從歸屬用戶服務(wù)器接收到的鑒權(quán)挑戰(zhàn)信
息,向纟冬端發(fā)送鑒沖又4兆戰(zhàn)指示;步承《S1084,終端4妄收鑒斗又4兆戰(zhàn)指
示,根據(jù)存有的密鑰或根據(jù)用戶輸入的密碼生成第二鑒權(quán)響應(yīng)信
息,并將第二鑒權(quán)響應(yīng)信息發(fā)送給呼叫會話控制服務(wù)器;步驟 S1086,呼叫會話控制服務(wù)器將接收到的第 一鑒權(quán)響應(yīng)信息和第二 鑒權(quán)響應(yīng)信息進行比較;以及步驟S1088, 4艮據(jù)比較結(jié)果,進行相 應(yīng)處理。
其中,步驟S1088包括如果第一鑒權(quán)響應(yīng)信息與第二鑒權(quán)響 應(yīng)信息不相同,則向終端發(fā)送注冊失敗響應(yīng)消息,用戶4妻收到注冊 失敗響應(yīng)消息,并選4奪重新注冊或》文棄注冊。
并且,步驟S1088包括如果第一鑒權(quán)響應(yīng)信息與第二鑒權(quán)響 應(yīng)信息相同,繼續(xù)注冊處理。
其中,在接收到從呼叫會話控制服務(wù)器發(fā)送的用戶注冊/注銷請 求的同時,歸屬用戶服務(wù)器清除用戶的請求鑒權(quán)次數(shù)。
其中,請求鑒權(quán)次數(shù)(次)與時間周期(分鐘)的比值約為S。
第二實施例
下面將參照圖3描述本發(fā)明的第二實施例。圖3是示出根據(jù)本 發(fā)明第二實施例的通信系統(tǒng)中的鑒權(quán)裝置300的構(gòu)造的框圖。
如圖3所示,根據(jù)本發(fā)明第二實施例的通信系統(tǒng)中的鑒權(quán)裝置 300包括請求模塊302,用于使用戶通過終端向系統(tǒng)發(fā)送接入請 求;發(fā)送模塊304,用于使系統(tǒng)側(cè)的呼叫會話控制服務(wù)器接收接入 請求,并向歸屬用戶服務(wù)器發(fā)送鑒權(quán)請求消息;判斷處理模塊306, 用于使歸屬用戶服務(wù)器接收鑒權(quán)請求消息,判斷預定時間周期內(nèi)請 求鑒權(quán)的次數(shù)是否達到預定的次數(shù),將包括判斷結(jié)果的消息發(fā)送給
呼叫會話控制服務(wù)器;以及鑒權(quán)才莫塊308,用于使呼叫會話控制服 務(wù)器根據(jù)消息對用戶進行鑒權(quán)。
其中,在預定時間周期內(nèi)請求鑒權(quán)的次數(shù)達到預定的次數(shù)的情 況下,判斷處理模塊306使歸屬用戶服務(wù)器將鑒權(quán)拒絕響應(yīng)信息發(fā) 送給呼叫會話控制服務(wù)器,使呼叫會話控制服務(wù)器根據(jù)拒絕響應(yīng)信 息生成禁止接入消息,并將其發(fā)送給終端。
并且,在預定時間周期內(nèi)請求鑒權(quán)的次數(shù)未達到預定的次數(shù)的 情況下,判斷處理模塊306使歸屬用戶服務(wù)器根據(jù)用戶簽約中密鑰 信息產(chǎn)生鑒權(quán)參數(shù),將包含鑒權(quán)參數(shù)的鑒權(quán)信息發(fā)送給呼叫會話控 制服務(wù)器,并累加在預定時間周期內(nèi)請求鑒權(quán)的次數(shù)。其中,鑒權(quán) 信息至少包括鑒權(quán)挑戰(zhàn)信息和第 一鑒權(quán)響應(yīng)信息。
另外,在該裝置的鑒權(quán)模塊308中進一步包括子發(fā)送裝置 310,用于使呼叫會話控制服務(wù)器根據(jù)從歸屬用戶服務(wù)器接收到的 鑒權(quán)挑戰(zhàn)信息,向終端發(fā)送鑒權(quán)挑戰(zhàn)指示;生成模塊312,用于使 終端接收鑒權(quán)挑戰(zhàn)指示,根據(jù)存有的密鑰或根據(jù)用戶輸入的密碼生 成第二鑒權(quán)響應(yīng)信息,并將第二鑒權(quán)響應(yīng)信息發(fā)送給呼叫會話控制
服務(wù)器;比較模塊314,用于使呼叫會話控制服務(wù)器將接收到的第 一鑒權(quán)響應(yīng)信息和第二鑒權(quán)響應(yīng)信息進行比較;以及處理模塊316, 用于根據(jù)比較結(jié)果,進行相應(yīng)處理。
其中,如果第一鑒權(quán)響應(yīng)信息與第二鑒權(quán)響應(yīng)信息不相同,則 處理4莫塊316向纟冬端發(fā)送注冊失敗響應(yīng)消息,用戶4妄收到注冊失敗 響應(yīng)消息,并選4奪重新注冊或方t棄注冊。并且,如果第一鑒斥又響應(yīng) 信息與第二鑒權(quán)響應(yīng)信息相同,處理模塊316繼續(xù)注冊處理。
之后,在接收到從呼叫會話控制服務(wù)器發(fā)送的用戶注冊/注銷請 求的同時,歸屬用戶服務(wù)器清除用戶的請求鑒權(quán)次數(shù)。
其中,-清求鑒一又次凄t (次)與時間周期(分鐘)的比值約為1
第三實施例
下面將參照圖4、圖5、圖6、和圖7描述本發(fā)明的第三實施例。 圖4是應(yīng)用本發(fā)明的系統(tǒng)構(gòu)造實例的框圖,圖5是圖4所示系統(tǒng)中 用戶正常注冊的流程圖,圖6是圖4所示系統(tǒng)中非法用戶惡意注冊 的流程圖,圖7是在圖3所示的系統(tǒng)中實現(xiàn)本發(fā)明的流程圖。
下面以IMS系統(tǒng)為例描述本發(fā)明的實施例。
^口圖4所示,移動或者固定會冬端UE 11接入IMS(IPMutimedia Subsystem)網(wǎng)絡(luò),在注冊登記(Register)過程中被要求鑒權(quán);
接入代理服務(wù)器P-CSCF 12實現(xiàn)用戶代理功能,它將收到的請 求和服務(wù)進行處理或轉(zhuǎn)發(fā)。在本發(fā)明中,接入代理服務(wù)器中繼終端 發(fā)送的IMS注冊i青求;
查詢服務(wù)器I-CSCF13充當網(wǎng)絡(luò)所有用戶的連接點,為用戶分 配可用的會話控制服務(wù)器(S-CSCF )。在本實施例中,它和P-CSCF 都4又轉(zhuǎn)發(fā)注冊"i青求;
呼叫會話控制服務(wù)器S-CSCF 14在收到終端發(fā)送的初次注冊請 求時,將對終端進行鑒權(quán)。如果它沒有保存該用戶的有效鑒權(quán)參數(shù), 它將向歸屬用戶服務(wù)器發(fā)起鑒權(quán)請求獲得可用的鑒權(quán)參數(shù);
歸屬用戶服務(wù)器HSS 15接受會話控制服務(wù)器發(fā)送的鑒權(quán)請求, 返回鑒權(quán)參數(shù)供會話控制服務(wù)器對用戶進行鑒權(quán)。在本實施例中, 歸屬用戶服務(wù)器通過判斷是否鑒權(quán)欺詐,可能返回失敗的鑒權(quán)響 應(yīng),A人而4巨絕非法用戶的4妾入。
圖5示出了該系統(tǒng)中用戶正常注冊的流辟呈圖,如圖5所示,其
具體步驟如下
(1 )終端UE通過IP網(wǎng)紹4妄入,向IMS網(wǎng)絡(luò)發(fā)起注冊請求 Register;
(2 )查詢服務(wù)器I-CSCF收到終端的接入請求后,向歸屬用戶 服務(wù)器HSS發(fā)送用戶授權(quán)請求UAR消息;
(3 ) HSS返回用戶授權(quán)響應(yīng)UAA,包含服務(wù)器分配信息用亍 I-CSCF為用戶分配合適的呼叫會話控制服務(wù)器S-CSCF;
(4 ) I-CSCF根據(jù)HSS返回的信息,選擇一個S-CSCF為用戶 服務(wù),然后將注冊請求轉(zhuǎn)發(fā)到所選一奪的S-CSCF;
(5 ) S-CSCF收到注冊消息后,決定對用戶鑒權(quán),將鑒權(quán)請求 消息MAR發(fā)給HSS;
系統(tǒng)設(shè)定值。檢查發(fā)現(xiàn)鑒權(quán)請求合法,則計算鑒權(quán)參數(shù)組,然后發(fā) 送成功的鑒權(quán)響應(yīng)MAA;同時HSS保存為用戶分配的S-CSCF名;
(7 ) S-CSCF保存MAA響應(yīng)中的鑒權(quán)參數(shù),將鑒權(quán)參數(shù)組裝 為鑒權(quán)44戰(zhàn)請求,在401未認證消息中下發(fā)給終端;
(8 )終端收到鑒權(quán)挑戰(zhàn)請求后,根據(jù)自己保存的密鑰或者用 戶輸入的密碼,計算鑒權(quán)響應(yīng)值,然后在注冊請求中攜帶鑒權(quán)響應(yīng) 1直,發(fā)送回網(wǎng)纟各;
(9)查詢服務(wù)器I-CSCF收到終端的接入請求后,向歸屬用戶 服務(wù)器HSS發(fā)送用戶授權(quán)請求UAR消息;
(10 )由于HSS在步頭聚206中已經(jīng)i己錄了為用戶分西己的S-CSCF 名,HSS在UAA響應(yīng)中直接攜帶S-CSCF名,指示I-CSCF接入到 該S-CSCF;
(11 ): I-CSCF根據(jù)HSS返回的S-CSCF名,將注冊請求轉(zhuǎn)發(fā) 到該S-CSCF。
(12) S-CSCF比較注冊請求中的鑒權(quán)響應(yīng)值與步驟207中所 保存的網(wǎng)絡(luò)側(cè)鑒權(quán)響應(yīng)值,發(fā)現(xiàn)相同說明鑒權(quán)通過,則向HSS發(fā)起 注冊通知請求SAR。
(13 ) HSS》務(wù)改用戶注冊狀態(tài),向S-CSCF返回注冊通知響應(yīng) SAA,攜帶用戶所簽約的數(shù)據(jù)。
(14) S-CSCF收到SAA響應(yīng),向終端返回注冊成功的通知消 息200OK,法i4l結(jié)束。
其中,字段的含義同3GPP 29.228協(xié)議中的規(guī)定。
在該系統(tǒng)中,非法用戶的惡意注冊的流程如圖6所示,其具體 步-驟如下
(1 )終端UE通過IP網(wǎng)絡(luò)接入,向IMS網(wǎng)絡(luò)發(fā)起注冊請求 Register;
(2) 查詢服務(wù)器I-CSCF收到終端的接入請求后,向歸屬用戶 服務(wù)器HSS發(fā)送用戶授權(quán)請求UAR消息;
(3) HSS返回用戶授權(quán)響應(yīng)UAA,包含服務(wù)器分配信息用于 I-CSCF為用戶分配合適的呼叫會話控制服務(wù)器S-CSCF;
(4 ) I-CSCF才艮才居HSS返回的4言息,選沖奪一個S-CSCF為用戶 服務(wù),然后將注冊請求轉(zhuǎn)發(fā)到所選擇的S-CSCF;
(5 ) S-CSCF 4欠到注冊消息后,決定只于用戶鑒4又,—爭鑒才又i青求 消息MAR發(fā)纟會HSS;
(6) HSS判斷用戶在設(shè)定的時間周期內(nèi)是否鑒權(quán)數(shù)已經(jīng)超過 系統(tǒng)設(shè)定值。 一全查發(fā)現(xiàn)鑒權(quán)請求非法,則直接發(fā)送失敗的鑒權(quán)響應(yīng) MAA給S-CSCF;
(7 ) S-CSCF才全查MAA響應(yīng),發(fā)J見HSS 4巨鄉(xiāng)色鑒斗又,貝'M尋403 禁止接入消息下發(fā)給終端,結(jié)束注冊處理,流程結(jié)束。
其中,字4殳的含義同3GPP29.228十辦i義中的^L定。
圖7是按本發(fā)明的方式在IMS系統(tǒng)歸屬用戶服務(wù)器(HSS)中 實現(xiàn)網(wǎng)絡(luò)側(cè)防鑒權(quán)欺詐功能的一種流程圖。
首先說明系統(tǒng)預置條件系統(tǒng)設(shè)定鑒權(quán)間隔時間 AucIntervalTime〉0 ; 時間間隔內(nèi)最大允許鑒權(quán)次數(shù) MaxAucTimes>0;
系統(tǒng)初始值某用戶當前已鑒權(quán)次凄t CurAucTimes=0;某用戶 初次鑒權(quán)時刻FirstAucTime=系統(tǒng)啟動時刻;當前系統(tǒng)時間 CurTime=系統(tǒng)啟動時刻;
如圖7所示,在IMS系統(tǒng)中實現(xiàn)根據(jù)本發(fā)明實施例的鑒權(quán)方法 的步驟如下
(1 ) HSS收到S-CSCF發(fā)送的MAR鑒權(quán)請求,開始鑒權(quán)處理流程。
(2) HSS判斷^]丈到MAR "i青求的時刻與該用戶i己錄的上次鑒 權(quán)時刻相比,是否已經(jīng)超過系統(tǒng)設(shè)定的鑒權(quán)間隔時間。如果已經(jīng)超 過,則說明鑒權(quán)保護時間已過,允許鑒權(quán)請求,所以HSS將當前收 到MAR請求的時刻保存為該用戶記錄的上次鑒權(quán)時刻,設(shè)置用盧 當前已鑒權(quán)次數(shù)為1,然后產(chǎn)生鑒權(quán)參數(shù)組,返回MAA鑒權(quán)響應(yīng) 給S-CSCF,流程結(jié)束;如果間隔時間沒有超過系統(tǒng)設(shè)定的鑒權(quán)間 隔時間,則繼續(xù)下一步驟處理。
(3 ): HSS判斷該用戶當前已鑒^又次凄t是否已經(jīng)大于等于系統(tǒng) 設(shè)定的最大允許鑒權(quán)次數(shù),如果大于等于最大允許鑒權(quán)次數(shù),則返 回鑒一又拒絕的MAA鑒4又失敗響應(yīng)鄉(xiāng)合S-CSCF,拒絕該用戶4妻入, 流程結(jié)束;如果小于最大允許鑒權(quán)次數(shù),則累加用戶當前已鑒權(quán)次 數(shù),并產(chǎn)生鑒權(quán)參數(shù)組,返回MAA鑒權(quán)響應(yīng)給S-CSCF。流程結(jié) 束。
此外,當收到S-CSCF向HSS發(fā)送的用戶注冊/注銷請求SAR 時,HSS應(yīng)當清除用戶當前已鑒一又次凄t。這是因為收到成功的注冊 請求表明用戶已經(jīng)通過了鑒權(quán),那么為了避免對合法用戶的干擾, 應(yīng)該允許合法用戶不限制接入,所以將該用戶鑒權(quán)保護數(shù)據(jù)改為初 始狀態(tài)。
以上所述^f又為本發(fā)明的〗尤選實施例而已,并不用于限制本發(fā) 明,對于本領(lǐng)域的技術(shù)人員來說,本發(fā)明可以有各種更改和變化, 凡在本發(fā)明的精神和原則之內(nèi),所作的任何修改、等同替換、改進 等,均應(yīng)包含在本發(fā)明的保護范圍之內(nèi)。
權(quán)利要求
1.一種通信系統(tǒng)中的鑒權(quán)裝置,用于為通過終端接入的用戶提供鑒權(quán),其特征在于,所述鑒權(quán)裝置包括請求模塊,用于使所述用戶通過所述終端向系統(tǒng)發(fā)送接入請求;發(fā)送模塊,用于使所述系統(tǒng)側(cè)的呼叫會話控制服務(wù)器接收所述接入請求,并向歸屬用戶服務(wù)器發(fā)送鑒權(quán)請求消息;判斷處理模塊,用于使所述歸屬用戶服務(wù)器接收所述鑒權(quán)請求消息,判斷預定時間周期內(nèi)所述請求鑒權(quán)的次數(shù)是否達到預定的次數(shù),將包括判斷結(jié)果的消息發(fā)送給所述呼叫會話控制服務(wù)器;以及鑒權(quán)模塊,用于使所述呼叫會話控制服務(wù)器根據(jù)所述消息對所述用戶進行鑒權(quán)。
2. 根據(jù)權(quán)利要求1所述的鑒權(quán)裝置,其特征在于,在所述預定時 間周期內(nèi)所述請求鑒權(quán)的次數(shù)達到所述預定的次數(shù)的情況下, 所述判斷處理模塊使所述歸屬用戶服務(wù)器將鑒權(quán)拒絕響應(yīng)信 息發(fā)送給所述呼叫會話控制服務(wù)器,使所述呼叫會話控制服務(wù) 器根據(jù)所述拒絕響應(yīng)信息生成禁止接入消息,并將其發(fā)送給所 述終端。
3. 根據(jù)權(quán)利要求2所述的鑒權(quán)裝置,其特征在于,在所述預定時 間周期內(nèi)所述請求鑒權(quán)的次數(shù)未達到所述預定的次數(shù)的情況 下,所述判斷處理模塊使所述歸屬用戶服務(wù)器根據(jù)用戶簽約中 密鑰信息產(chǎn)生鑒權(quán)參數(shù),將包含所述鑒權(quán)參數(shù)的鑒權(quán)信息發(fā)送給所述呼叫會話控制服務(wù)器,并累加在所述預定時間周期內(nèi)所 述請求鑒權(quán)的次數(shù)。
4. 根據(jù)權(quán)利要求3所述的鑒權(quán)裝置,其特征在于,所述鑒權(quán)信息至少包括鑒權(quán)挑戰(zhàn)信息和第一鑒權(quán)響應(yīng)信息,
5. 根據(jù)權(quán)利要求4所述的鑒權(quán)裝置,其特征在于,所述鑒權(quán)模塊 包括子發(fā)送裝置,用于使所述呼叫會話控制服務(wù)器根據(jù)從所 述歸屬用戶服務(wù)器接收到的所述鑒權(quán)挑戰(zhàn)信息,向所述終端發(fā) 送鑒權(quán)挑戰(zhàn)指示;生成模塊,用于使所述終端接收所述鑒權(quán)挑戰(zhàn)指示,根 據(jù)存有的密鑰或根據(jù)所述用戶輸入的密碼生成第二鑒權(quán)響應(yīng) 信息,并將所述第二鑒權(quán)響應(yīng)信息發(fā)送給所述呼叫會話控制服 務(wù)器;比較模塊,用于使所述呼叫會話控制服務(wù)器將接收到的所述第一鑒權(quán)響應(yīng)信息和所述第二鑒權(quán)響應(yīng)信息進行比較;以 及處理模塊,用于根據(jù)比較結(jié)果,進行相應(yīng)處理。
6. 根據(jù)權(quán)利要求5所述的鑒權(quán)裝置,其特征在于,如果所述第一 鑒—又響應(yīng)信息與所述第二鑒權(quán)響應(yīng)信息不相同,則所述處理模塊向所述終端發(fā)送注冊失敗響應(yīng)消息,所;主用戶接收到所述注 冊失敗響應(yīng)消息,并選擇重新注冊或放棄注冊。
7. 根據(jù)權(quán)利要求5所述的鑒權(quán)裝置,其特征在于,如果所述第一 鑒權(quán)響應(yīng)信息與所述第二鑒—又響應(yīng)信息相同,所述處理才莫塊繼 續(xù)注冊處理。
8. 根據(jù)權(quán)利要求7所述的鑒權(quán)裝置,其特征在于,在4妄收到/人所 述呼叫會話控制服務(wù)器發(fā)送的用戶注冊/注銷請求的同時,所 述歸屬用戶服務(wù)器清除所述用戶的所述請求鑒權(quán)次數(shù)。
9. 根據(jù)權(quán)利要求任一項所述的鑒權(quán)裝置,其特征在于,請求鑒權(quán)次數(shù)與時間周期的比值約為1。
全文摘要
本發(fā)明公開了一種通訊系統(tǒng)的鑒權(quán)裝置,該裝置包括請求模塊,用于使用戶通過終端向系統(tǒng)發(fā)送接入請求;發(fā)送模塊,用于使系統(tǒng)側(cè)的呼叫會話控制服務(wù)器接收接入請求,并向歸屬用戶服務(wù)器發(fā)送鑒權(quán)請求消息;判斷處理模塊,用于使歸屬用戶服務(wù)器接收鑒權(quán)請求消息,判斷預定時間周期內(nèi)請求鑒權(quán)的次數(shù)是否達到預定的次數(shù),將包括判斷結(jié)果的消息發(fā)送給呼叫會話控制服務(wù)器;以及鑒權(quán)模塊,用于使呼叫會話控制服務(wù)器根據(jù)消息對用戶進行鑒權(quán)。本發(fā)明可以維護合法用戶的權(quán)限與安全,并且具有很好的兼容性。
文檔編號H04L9/32GK101197672SQ20061016088
公開日2008年6月11日 申請日期2006年12月8日 優(yōu)先權(quán)日2006年12月8日
發(fā)明者亞 吳 申請人:中興通訊股份有限公司