專利名稱:用于為通過終端接入的用戶提供鑒權的鑒權裝置的制作方法
技術領域:
本發(fā)明涉及通ifl領i成,并且特別�����;也����,涉及用于為通過纟冬端4妄入 的用戶提供鑒權的鑒權裝置���。
背景技術:
由于IP技術具有互通性等一系列優(yōu)點���,通訊系統(tǒng)正逐步向IP 承載轉(zhuǎn)變,由此引發(fā)的網(wǎng)絡融合導致了新一代網(wǎng)絡通訊標準一IMS 的誕生����。由于IP技術的開放性,通訊網(wǎng)絡的安全性要求達到了前所 未有的高度�����。基于挑戰(zhàn)��,響應的雙向鑒權機制已經(jīng)成為通訊系統(tǒng)中 鑒權終端或網(wǎng)絡的主流方法�����。IETF的RFC3310標準��,將以RFC2617 為代表的傳統(tǒng)IP領域的鑒權機制與以3 GPP 33.102協(xié)議為代表的移 動領域的鑒權機制有機的結合起來���。隨著網(wǎng)絡的融合���,現(xiàn)有和未來 的固定終端引入之后,將大量的采用RFC2617描述的HTTP Digest 鑒權機制�����。
TISPAN等國際組織目前已經(jīng)考慮在網(wǎng)絡中支持多種鑒權方 法�����,以適應兼容多種終端4妾入的需要�,并已經(jīng)開始制定相應的^見范�����, 這其中包括支持HTTP Digest鑒權規(guī)范(RFC2617 )�����。在HTTP Digest 鑒權協(xié)議中�����,鑒權基于網(wǎng)絡和終端分別保有的密鑰(或稱密碼) 才艮據(jù)終端的不同�,該密鑰可能保存于終端中�����,或由用戶輸入����。IP網(wǎng) 絡的開發(fā)性使得鑒權相關的信令很容易被攔截或偽造�����,并且由于不能期望每一個纟冬端用戶都使用足夠強壯的密碼��,采用惡意4欠件非法 破解合法用戶密碼的行為就成為可能,例如常見的字典攻擊���。
為了解決這一安全威脅�����,可以采用類似銀行取款機限制取款的 措施�����,當連續(xù)輸入密碼錯誤超過一定次數(shù)時將賬戶鎖定���,只能由合 法用戶持相關證明進行解鎖。這就有效的防止了非法猜測用戶密碼 的行為����。該方法在通訊網(wǎng)絡中表現(xiàn)為,當客戶端發(fā)起鑒權請求�����,網(wǎng) 絡對其認證失敗���,這一重復過程一旦達到限制的次數(shù)�����,用戶的賬尸 將會被鎖定����。這時需要合法用戶攜帶身份證件到營業(yè)廳進行解鎖,, 在IMS (IP多々某體子系統(tǒng))移動通訊網(wǎng)絡的一種實現(xiàn)為�,用戶發(fā)起
注冊"i青求,HSS累加S-CSCF發(fā)起的對該用戶的獲耳又鑒4又參凄t請求 數(shù)��,如果由于S-CSCF發(fā)現(xiàn)鑒權失敗拒絕接入����,用戶再重新發(fā)起注 冊請求,這一過程重復導致HSS中記錄的鑒權參數(shù)請求數(shù)達到預設 的上限����,HSS將用戶鎖定。如果用戶鑒片又成功���,HSS收到后續(xù)的注 冊通知,則HSS將記錄的鑒權參數(shù)請求數(shù)清零���。
在實際應用中���,通過鑒權請求計數(shù)鎖定賬戶的方法有以下缺 陷惡意用戶通過軟件發(fā)起大量鑒權請求猜測合法用戶密碼的行為 將導致合法用戶賬戶鎖定��,從而影響了合法用戶正常使用業(yè)務�;更 為危險的是��,如果使用軟件發(fā)起大量的惡意鑒權請求�����,將輕易的使 現(xiàn)網(wǎng)大量用戶陷入賬戶鎖定狀態(tài)�,導致嚴重的網(wǎng)絡癱瘓。
發(fā)明內(nèi)容
為了解決鑒權過程中攻擊用戶密鑰的安全威脅問題�,并且解決 的鑒權裝置。
為了實現(xiàn)上述目的���,才艮據(jù)本發(fā)明的第二實施例�,才是供了 一種用
該裝置包括請求才莫塊�����,用于4吏用戶通過終端向系統(tǒng)發(fā)送接八 請求��;發(fā)送模塊,用于使系統(tǒng)側的呼叫會話控制服務器接收接入請 求����,并向歸屬用戶服務器發(fā)送鑒權請求消息;判斷處理模塊����,用亍 使歸屬用戶服務器接收鑒權請求消息,判斷預定時間周期內(nèi)請求鑒 權的次數(shù)是否達到預定的次數(shù)��,將包括判斷結果的消息發(fā)送給呼叫 會話控制服務器��;以及鑒權才莫塊���,用于使呼叫會話控制服務器根據(jù) 消息對用戶進行鑒權�����,其中���,在預定時間周期內(nèi)請求鑒權的次數(shù)達 到預定的次數(shù)的情況下,判斷處理模塊使歸屬用戶服務器將鑒權拒 絕響應信息發(fā)送給呼叫會話控制服務器�����,使呼叫會話控制服務器根 據(jù)拒絕響應信息生成禁止接入消息���,并將其發(fā)送給終端�����。
根據(jù)本發(fā)明�����,在預定時間周期內(nèi)請求鑒權的次數(shù)未達到預定的 次數(shù)的情況下�����,判斷處理模塊使歸屬用戶服務器根據(jù)用戶簽約中密 鑰信息產(chǎn)生鑒權參數(shù)�,將包含鑒權參數(shù)的鑒權信息發(fā)送給呼叫會話 控制服務器����,并累加在預定時間周期內(nèi)請求鑒權的次數(shù)。其中����,鑒 權信息至少包括鑒權才兆戰(zhàn)信息和第 一鑒權響應信息。
另外����,在該裝置的鑒權模塊中進一步包括子發(fā)送裝置����,用于 使呼叫會話控制服務器根據(jù)從歸屬用戶服務器接收到的鑒權挑戰(zhàn) 信息���,向終端發(fā)送鑒權」挑戰(zhàn)指示����;生成才莫塊�����,用于使終端接收鑒權 4兆戰(zhàn)指示���,才艮據(jù)存有的密鑰或才艮據(jù)用戶輸入的密碼生成第二鑒權響 應信息�����,并將第二鑒權響應信息發(fā)送給呼叫會話控制服務器����;比較 模塊����,用于使呼叫會話控制服務器將接收到的第一鑒權響應信息和 第二鑒權響應信息進行比較����;以及處理模塊����,用于4艮據(jù)比較結果�����, 進行相應處理��。
其中�����,如果第一鑒權響應信息與第二鑒坤又響應信息不相同�����,則
處理模塊向終端發(fā)送注冊失敗響應消息�,用戶4妻收到注冊失敗響應 消息,并選4奪重新注冊或力文棄注冊�����。并且,如果第一鑒^又響應信息 與第二鑒權響應信息相同�,處理模塊繼續(xù)注冊處理。
之后�����,在接收到從呼叫會話控制服務器發(fā)送的用戶注冊/注銷請 求的同時�����,歸屬用戶服務器清除用戶的請求鑒權次數(shù)�����。
其中��,請求鑒權次數(shù)(次)與時間周期(分鐘)的比值約為i ,,
通過上述技術方案�,本發(fā)明可以維護合法用戶的權限與安全, 并且具有很好的兼容性�。
此處所i兌明的附圖用來^是供對本發(fā)明的進一步理解,構成本申 請的一部分�,本發(fā)明的示意性實施例及其說明用于解釋本發(fā)明,并
不構成對本發(fā)明的不當限定����。在附圖中
圖1是根據(jù)本發(fā)明第一實施例的通訊系統(tǒng)鑒權方法的流程圖2是才艮據(jù)本發(fā)明第 一 實施例的通訊系統(tǒng)鑒權方法的細節(jié)流程
圖3是示出根據(jù)本發(fā)明第二實施例的通訊系統(tǒng)中的鑒權裝置的 構造的框圖4是應用本發(fā)明的系統(tǒng)構造實例的框圖5是圖4所示系統(tǒng)中用戶正常注冊的流程圖6是圖4所示系統(tǒng)中非法用戶惡意注冊的流程圖�;以及
圖7是在圖3所示的系統(tǒng)中實現(xiàn)本發(fā)明的流程圖��。
具體實施例方式
下面將參考附圖詳細i兌明本發(fā)明�。
第一實施例
首先,將參照圖1和圖2描述本發(fā)明的第一實施例��。圖1是根 據(jù)本發(fā)明第一實施例的通訊系統(tǒng)鑒權方法的流程圖��,圖2是根據(jù)本 發(fā)明第 一 實施例的通訊系統(tǒng)鑒4又方法的細節(jié)流程圖��。
如圖1所示��,根據(jù)本發(fā)明第一實施例的通訊系統(tǒng)鑒權方法包括 以下步驟步驟S102��,用戶通過終端向系統(tǒng)發(fā)送接入請求�;步驟 S104,系統(tǒng)側的呼叫會話控制服務器接收接入請求��,并向歸屬用戶 服務器發(fā)送鑒權請求消息���;步驟S106,歸屬用戶服務器接收鑒權請 求消息���,判斷預定時間周期內(nèi)請求鑒權的次數(shù)是否達到預定的次 數(shù)�,將包括判斷結果的消息發(fā)送給呼叫會話控制服務器��;以及步驟 S108,呼叫會話控制服務器根據(jù)消息對用戶進行鑒權�����。
其中���,在步驟S106中�����,在預定時間周期內(nèi)請求鑒權的次數(shù)達 到預定的次數(shù)的情況下�����,歸屬用戶服務器將鑒權拒絕響應信息發(fā)送 給呼叫會話控制服務器�,呼叫會話控制服務器根據(jù)拒絕響應信息生 成禁止接入消息���,并將其發(fā)送給終端����。
并且��,在步驟S106中,在預定時間周期內(nèi)請求鑒權的次數(shù)未 達到預定的次數(shù)的情況下�����,歸屬用戶服務器4艮據(jù)用戶簽約中密鑰信 息產(chǎn)生鑒權參數(shù)����,將包含鑒權參數(shù)的鑒權信息發(fā)送給呼叫會話控制 服務器,并累加在預定時間周期內(nèi)請求鑒權的次數(shù)��。其中����,鑒權信 息至少包括鑒權4兆戰(zhàn)信息和第 一鑒權響應信息��。
另夕卜���,如圖2所示�,步艱《S108包4舌以下步艱《步-驟S1082, 呼叫會話控制服務器根據(jù)從歸屬用戶服務器接收到的鑒權挑戰(zhàn)信 息�,向終端發(fā)送鑒權*挑戰(zhàn)指示;步驟S1084,終端接收鑒權i4戰(zhàn)指 示��,根據(jù)存有的密鑰或根據(jù)用戶輸入的密碼生成第二鑒權響應信 息���,并將第二鑒權響應信息發(fā)送給呼叫會話控制服務器����;步驟 S1086 ,呼叫會話控制服務器將接收到的第 一鑒權響應信息和第二 鑒權響應信息進行比較���;以及步驟S1088,根據(jù)比較結果�,進行相 應處5里�����。
其中��,步驟S1088包括如果第一鑒權響應信息與第二鑒權響 應信息不相同�����,則向終端發(fā)送注冊失敗響應消息����,用戶4妾收到注冊 失敗響應消息,并選4奪重新注冊或》t棄注冊����。
并且�,步驟S1088包括如果第一鑒權響應信息與第二鑒權響 應信息相同���,繼續(xù)注冊處理����。
其中�����,在4妻收到從呼叫會話控制服務器發(fā)送的用戶注冊/注銷請 求的同時�,歸屬用戶服務器清除用戶的請求鑒權次數(shù)。
其中���,請求鑒權次數(shù)(次)與時間周期(分鐘)的比值約為1
第二實施例
下面將參照圖3描述本發(fā)明的第二實施例�����。圖3是示出才艮據(jù)本 發(fā)明第二實施例的通訊系統(tǒng)中的鑒權裝置300的構造的框圖。
如圖3所示����,根據(jù)本發(fā)明第二實施例的通訊系統(tǒng)中的鑒權裝置 300包括請求模塊302,用于使用戶通過終端向系統(tǒng)發(fā)送接入請 求;發(fā)送模塊304,用于使系統(tǒng)側的呼叫會話控制服務器接收接入 請求,并向歸屬用戶服務器發(fā)送鑒權請求消息���;判斷處理模塊306, 用于使歸屬用戶服務器接收鑒權請求消息�����,判斷預定時間周期內(nèi)請 求鑒權的次數(shù)是否達到預定的次數(shù)����,將包括判斷結果的消息發(fā)送給
呼叫會話控制服務器����;以及鑒權模塊308,用于使呼叫會話控制服 務器才艮據(jù)消息對用戶進行鑒權。
其中�����,在預定時間周期內(nèi)請求鑒4又的次數(shù)達到預定的次數(shù)的情 況下����,判斷處理模塊306使歸屬用戶服務器將鑒權拒絕響應信息發(fā) 送給呼叫會話控制服務器,使呼叫會話控制服務器根據(jù)拒絕響應信 息生成禁止接入消息���,并將其發(fā)送給終端�����。
并且����,在預定時間周期內(nèi)請求鑒權的次數(shù)未達到預定的次數(shù)的 情況下,判斷處理才莫塊306使歸屬用戶服務器才艮據(jù)用戶簽約中密鑰 信息產(chǎn)生鑒權參數(shù)���,將包含鑒權參數(shù)的鑒權信息發(fā)送給呼叫會話控 制服務器�����,并累加在預定時間周期內(nèi)請求鑒權的次數(shù)�����。其中�,鑒權 信息至少包括鑒權挑戰(zhàn)信息和第 一鑒權響應信息�����。
另外��,在該裝置的鑒權模塊308中進一步包括子發(fā)送裝置 310,用于使呼叫會話控制服務器根據(jù)從歸屬用戶服務器接收到的 鑒權挑戰(zhàn)信息��,向終端發(fā)送鑒權挑戰(zhàn)指示�����;生成模塊312��,用于使 終端接收鑒權挑戰(zhàn)指示��,根據(jù)存有的密鑰或根據(jù)用戶輸入的密碼生 成第二鑒權響應信息��,并將第二鑒權響應信息發(fā)送給呼叫會話控制 服務器�;比較模塊314,用于使呼叫會話控制服務器將接收到的第 一鑒權響應信息和第二鑒權響應信息進行比較����;以及處理模塊316, 用于根據(jù)比較結杲,進行相應處理���。
其中�,如果第一鑒權響應信息與第二鑒權響應信息不相同���,則 處理模塊316向終端發(fā)送注冊失敗響應消息���,用戶接收到注冊失敗 響應消息����,并選4奪重新注冊或方丈棄注冊��。并且��,如果第一鑒4又響應 信息與第二鑒權響應信息相同��,處理模塊316繼續(xù)注冊處理���。
之后����,在4妻收到從呼叫會話控制"l務器發(fā)送的用戶注冊/注銷請 求的同時����,歸屬用戶服務器清除用戶的請求鑒權次數(shù)。
其中���,請求鑒權次數(shù)(次)與時間周期(分鐘)的比值約為L
第三實施例
下面將參照圖4�����、圖5���、圖6、和圖7描述本發(fā)明的第三實施例��。 圖4是應用本發(fā)明的系統(tǒng)構造實例的框圖�,圖5是圖4所示系統(tǒng)中 用戶正常注冊的流程圖,圖6是圖4所示系統(tǒng)中非法用戶惡意注冊 的流程圖��,圖7是在圖3所示的系統(tǒng)中實現(xiàn)本發(fā)明的流程圖��。
下面以IMS系統(tǒng)為例描述本發(fā)明的實施例��。
如圖4所示�����,移動或者固定纟冬端UE 11接入IMS( IP Mutimedia Subsystem)網(wǎng)絡���,在注冊登記(Register)過程中被要求鑒權��;
4妾入代理服務器P-CSCF 12實現(xiàn)用戶代理功能����,它將收到的請 求和服務進行處理或轉(zhuǎn)發(fā)��。在本發(fā)明中,接入代理服務器中繼終端 發(fā)送的IMS注冊i青求��;
查詢服務器I-CSCF13充當網(wǎng)絡所有用戶的連接點��,為用戶分 配可用的會話控制月良務器(S-CSCF )�����。在本實施例中�,它和P-CSCF 都僅轉(zhuǎn)發(fā)注冊請求;
呼叫會話控制服務器S-CSCF 14在收到終端發(fā)送的初次注冊請 求時�,將對終端進行鑒權。如果它沒有保存該用戶的有效鑒權參數(shù)����, 它將向歸屬用戶服務器發(fā)起鑒權請求獲得可用的鑒權參數(shù);
歸屬用戶服務器HSS 15接受會話控制服務器發(fā)送的鑒權請求�����, 返回鑒權參凄t供會話控制服務器對用戶進行鑒一又����。在本實施例中,歸屬用戶服務器通過判斷是否鑒權欺詐,可能返回失敗的鑒權響 應����,從而拒絕非法用戶的接入。
圖5示出了該系統(tǒng)中用戶正常注冊的流-呈圖����,如圖5所示����,其
具體步務聚如下
(1 )終端UE通過IP網(wǎng)紹4妄入,向IMS網(wǎng)全各發(fā)起注冊i青求 Register;
(2) 查詢服務器I-CSCF收到終端的接入請求后����,向歸屬用戶 服務器HSS發(fā)送用戶授權請求UAR消息;
(3) HSS返回用戶授權響應UAA,包含服務器分配信息用于 I-CSCF為用戶分配合適的呼叫會話控制服務器S-CSCF;
(4) I-CSCF根據(jù)HSS返回的信息�����,選擇一個S-CSCF為用戶 服務�,然后將注冊請求轉(zhuǎn)發(fā)到所選擇的S-CSCF;
(5 ) S-CSCF收到注冊消息后,決定對用戶鑒權�����,將鑒權請求 消息MAR發(fā)纟會HSS;
系統(tǒng)設定值��。檢查發(fā)現(xiàn)鑒權請求合法,則計算鑒權參數(shù)組����,然后發(fā) 送成功的鑒權響應MAA;同時HSS保存為用戶分配的S-CSCF名;
(7 ) S-CSCF保存MAA響應中的鑒權參數(shù)�����,將鑒權參數(shù)組裝 為鑒權4兆戰(zhàn)請求����,在401未認證消息中下發(fā)給終端;
(8 )終端收到鑒權挑戰(zhàn)請求后�,根據(jù)自己保存的密鑰或者用 戶輸入的密碼,計算鑒權響應值�����,然后在注冊請求中攜帶鑒權響應 <直��,發(fā)送回網(wǎng)纟各�;
(9 )查詢刀良務器I-CSCF收到纟冬端的4妄入i青求后,向歸屬用戶
服務器HSS發(fā)送用戶授權請求UAR消息���;
(10) 由于HSS在步驟206中已經(jīng)記錄了為用戶分配的S-CSCF名����,HSS在UAA響應中直接攜帶S-CSCF名,指示I-CSCF接入到 該S-CSCF;
(11 ): I-CSCF根據(jù)HSS返回的S-CSCF名����,將注冊請求轉(zhuǎn)發(fā) 到該S-CSCF。
(12) S-CSCF比較注冊請求中的鑒權響應值與步驟207中所 保存的網(wǎng)絡側鑒權響應值�����,發(fā)現(xiàn)相同i兌明鑒權通過�����,則向HSS發(fā)起 注冊通知請求SAR��。
(13) HSS修改用戶注冊狀態(tài)�,向S-CSCF返回注冊通知響應 SAA,攜帶用戶所簽約的數(shù)據(jù)����。
(14 ) S-CSCF收到SAA響應,向纟冬端返回注冊成功的通知消 息200OK�,流程結束。
其中,字4殳6勺含義同3GPP 29.228十辦i義中的頭見定��。
在該系統(tǒng)中���,非法用戶的惡意注冊的流程如圖6所示�,其具體 步驟如下
(1 )終端UE通過IP網(wǎng)結4妻入����,向IMS網(wǎng)絡發(fā)起注冊"i青求 Register;
(2)查詢服務器I-CSCF收到終端的接入請求后,向歸屬用戶 服務器HSS發(fā)送用戶授權請求UAR消息���;
(3 ) HSS返回用戶對受4又響應UAA,包含月l務器分配4言息用于
I-CSCF為用戶分配合適的呼叫會話控制服務器S-CSCF;
(4 ) I-CSCF沖艮據(jù)HSS返回的信息��,選才爭一個S-CSCF為用戶 服務��,然后將注冊請求轉(zhuǎn)發(fā)到所選4,的S-CSCF;
(5 ) S-CSCF收到注冊消息后�����,決定對用戶鑒權���,將鑒權請求 消息MAR發(fā)纟合HSS;
系統(tǒng)設定值。��;險查發(fā)現(xiàn)鑒權請求非法,則直接發(fā)送失敗的鑒權響應 MAA給S-CSCF;
(7 ) S-CSCF檢查MAA響應�����,發(fā)現(xiàn)HSS拒絕鑒權����,貝'j將403 禁止纟妄入消息下發(fā)給終端,結束注冊處理����,流程結束。
其中����,字^殳的含義同3GPP29.228十辦"i義中的頭見定��。
圖7是按本發(fā)明的方式在IMS系統(tǒng)歸屬用戶服務器(HSS)中 實現(xiàn)網(wǎng)絡側防鑒權欺詐功能的 一種流程圖��。
首先說明系統(tǒng)預置條件系統(tǒng)設定鑒權間隔時間 AucIntervalTime>0 ; 時間間隔內(nèi)最大允許鑒權次數(shù) MaxAucTimes〉0;
系統(tǒng)初始^f直某用戶當前已鑒權次數(shù)CurAucTimes=0;某用戶 初次鑒4又時凌1] FirstAucTime=系統(tǒng)啟動時刻�����;當前系統(tǒng)時間 CurTime=系鄉(xiāng)充啟動時刻�;
如圖7所示����,在IMS系統(tǒng)中實現(xiàn)根據(jù)本發(fā)明實施例的鑒權方法 的步^驟4口下
(1 ) HSS 4欠到S-CSCF發(fā)送的MAR鑒斗又i青求����,開始鑒4又處理流程。
(2) HSS判斷*)欠到MAR i,求的時刻與該用戶i己錄的上次鑒 權時刻相比�����,是否已經(jīng)超過系統(tǒng)i殳定的鑒4又間隔時間����。如果已經(jīng)超 過,則說明鑒權保護時間已過�����,允許鑒權請求���,所以HSS將當前收 到MAR請求的時刻保存為該用戶記錄的上次鑒權時刻�����,設置用尸 當前已鑒權次數(shù)為1,然后產(chǎn)生鑒權參數(shù)組��,返回MAA鑒權響應 給S-CSCF,流程結束��;如果間隔時間沒有超過系統(tǒng)設定的鑒權間 隔時間��,則繼續(xù)下一步眾《處理��。
(3 ): HSS判斷該用戶當前已鑒權次數(shù)是否已經(jīng)大于等于系統(tǒng) 設定的最大允許鑒權次數(shù)�,如果大于等于最大允許鑒權次數(shù),則返 回鑒權拒絕的MAA鑒權失敗響應給S-CSCF,拒絕該用戶接入���, 流程結束�����;如果小于最大允許鑒權次數(shù)�,則累加用戶當前已鑒權次 數(shù)���,并產(chǎn)生鑒權參數(shù)組,返回MAA鑒權響應給S-CSCF�。流程結 束。
此外�,當收到S-CSCF向HSS發(fā)送的用戶注冊/注銷-清求SAR 時,HSS應當清除用戶當前已鑒權次數(shù)����。這是因為收到成功的注冊 請求表明用戶已經(jīng)通過了鑒權�,那么為了避免對合法用戶的千擾����, 應該允許合法用戶不限制接入,所以將該用戶鑒片又保護數(shù)據(jù)改為初 始狀態(tài)���。
以上所述4又為本發(fā)明的優(yōu)選實施例而已��,并不用于限制本發(fā) 明����,對于本領i或的沖支術人員來"i兌�����,本發(fā)明可以有各種更改和變化,����, 凡在本發(fā)明的精神和原則之內(nèi),所作的任何修改����、等同替換�、改進 等�����,均應包含在本發(fā)明的保護范圍之內(nèi)��。
權利要求
1.一種用于為通過終端接入的用戶提供鑒權的鑒權裝置�����,其特征在于����,所述鑒權裝置包括請求模塊,用于使所述用戶通過所述終端向系統(tǒng)發(fā)送接入請求��;發(fā)送模塊���,用于使所述系統(tǒng)側的呼叫會話控制服務器接收所述接入請求����,并向歸屬用戶服務器發(fā)送鑒權請求消息��;判斷處理模塊�����,用于使所述歸屬用戶服務器接收所述鑒權請求消息���,判斷預定時間周期內(nèi)所述請求鑒權的次數(shù)是否達到預定的次數(shù)�����,將包括判斷結果的消息發(fā)送給所述呼叫會話控制服務器�����;以及鑒權模塊�,用于使所述呼叫會話控制服務器根據(jù)所述消息對所述用戶進行鑒權����。其中,在所述預定時間周期內(nèi)所述請求鑒權的次數(shù)達到所述預定的次數(shù)的情況下��,所述判斷處理模塊使所述歸屬用戶服務器將鑒權拒絕響應信息發(fā)送給所述呼叫會話控制服務器�,使所述呼叫會話控制服務器根據(jù)所述拒絕響應信息生成禁止接入消息,并將其發(fā)送給所述終端�。
2. 根據(jù)權利要求1所述的鑒權裝置,其特征在于,在所述預定時 間周期內(nèi)所述請求鑒權的次數(shù)未達到所述預定的次數(shù)的情況 下�����,所述判斷處理模塊使所述歸屬用戶服務器根據(jù)用戶簽約中 密鑰信息產(chǎn)生鑒權參數(shù)���,將包含所述鑒權參數(shù)的鑒權信息發(fā)送 給所述呼叫會話控制服務器��,并累加在所述預定時間周期內(nèi)所 述請求鑒權的次數(shù)�。
3. 根據(jù)權利要求2所述的鑒權裝置�,其特征在于,所述鑒權信息 至少包括鑒權挑戰(zhàn)信息和第一鑒權響應信息��。
4. 根據(jù)權利要求3所述的鑒權裝置���,其特征在于�����,所述鑒權模塊 包括子發(fā)送裝置�����,用于使所述呼叫會話控制服務器根據(jù)從所 述歸屬用戶服務器接收到的所述鑒權挑戰(zhàn)信息��,向所述終端發(fā) 送鑒權挑戰(zhàn)指示��;生成一模塊�����,用于使所述終端4秦收所述鑒權挑戰(zhàn)指示��,根 據(jù)存有的密鑰或根據(jù)所述用戶輸入的密碼生成第二鑒權響應 信息���,并將所述第二鑒權響應信息發(fā)送給所述呼叫會話控制服務器;比較模塊��,用于使所述呼叫會話控制服務器將接收到的 所述第一鑒權響應信息和所述第二鑒權響應信息進行比較��;以 及處理模塊���,用于根據(jù)比較結果���,進行相應處理。
5. 根據(jù)權利要求4所述的鑒權裝置���,其特征在于����,如果所述第一 鑒權響應信息與所述第二鑒權響應信息不相同,則所述處理模 塊向所述終端發(fā)送注冊失敗響應消息�����,所述用戶接收到所述注 冊失敗響應消息�,并選擇重新注冊或放棄注冊。
6. 根據(jù)權利要求4所述的鑒權裝置��,其特征在于��,如果所述第一 鑒權響應信息與所述第二鑒權響應信息相同�����,所述處理模塊繼 續(xù)注冊處理���。
7. 根據(jù)權利要求6所述的鑒權裝置��,其特征在于����,在接收到從所 述呼叫會話控制月l務器發(fā)送的用戶注冊/注銷請求的同時��,所 述歸屬用戶服務器清除所述用戶的所述請求鑒權次數(shù)。
8. 根據(jù)權利要求任一項所述的鑒權裝置���,其特征在于����,請求鑒權次數(shù)與時間周期的比值約為1����。
全文摘要
本發(fā)明公開了一種用于為通過終端接入的用戶提供鑒權的鑒權裝置�����,該裝置包括請求模塊���,用于使用戶通過終端向系統(tǒng)發(fā)送接入請求�;發(fā)送模塊���,用于使系統(tǒng)側的呼叫會話控制服務器接收接入請求���,并向歸屬用戶服務器發(fā)送鑒權請求消息;判斷處理模塊���,用于使歸屬用戶服務器接收鑒權請求消息���,判斷預定時間周期內(nèi)請求鑒權的次數(shù)是否達到預定的次數(shù)����,將包括判斷結果的消息發(fā)送給呼叫會話控制服務器�����;以及鑒權模塊�,用于使呼叫會話控制服務器根據(jù)消息對用戶進行鑒權。本發(fā)明可以維護合法用戶的權限與安全�,并且具有很好的兼容性。
文檔編號H04L9/32GK101197670SQ200610160880
公開日2008年6月11日 申請日期2006年12月8日 優(yōu)先權日2006年12月8日
發(fā)明者亞 吳 申請人:中興通訊股份有限公司