[发明专利]鉴权向量管理方法及装置

说明书

技术领域

本申请涉及通信技术领域，特别是涉及一种鉴权向量管理方法及装置。

背景技术

随着众多业务的开展，运营商和用户都需要可靠的认证机制来保证合法的业务使用以及正确的计费。在2G、3G以及LTE中，使用基于共享秘密的GBA（Generic Bootstrapping Architecture，通用引导）架构的鉴权方法。用户设备（UE）和网络侧通过运行AKA（Authentication and Key Agreement，认证与密钥协商协议）认证机制，并使用运行结果（加密密钥和完整性密钥）来实现鉴权和安全功能。认证的鉴权向量由HSS（Home Subscriber Server，归属地签约数据服务）计算产生，并将一组或多组鉴权向量（Authentication Vectors）通过鉴权信息应答（Authentication Information Answer）消息下发给接入网控制实体，并由接入网实体以及用户设备，使用鉴权向量推衍出NAS以及AS层的各种加密密钥和完整性保护密钥对信令或者数据进行保护。

例如，在LTE中，鉴权信息（Authentication-Info）中包含多组E-UTRAN向量（E-UTRAN-Vector），由HS S下发给MME（Mobility Management Entity，移动管理实体）。MME保存鉴权向量，并使用鉴权向量发起认证过程，根据鉴权向量推衍出NAS层完整性保护密钥和加密密钥，并推衍出Kenb并发送给eNB（evolved NodeB，演进基站），eNB获得后通过Kenb推衍出KRRCint、KRRCenc以及KUPenc。NAS层以及AS层多个加密以及完整性保护密钥都是通过某个鉴权向量推衍得到的。

目前多使用计数器来记录NAS信令交互次数的方式对鉴权向量进行管理。当计数器达到最大值时，回卷计数器，重新获取新的鉴权向量。因为此种更换是基于NAS信令交互次数，若长时间内没有NAS信令交互，鉴权向量便无法更换，随着使用时间的增加，鉴权向量被破解的可能性也就越高，密钥也更容易被泄露，影响网络通信的安全。

发明内容

本申请提供一种鉴权向量管理方法及装置，能够解决鉴权向量因为长时间使用而被破解和泄露的问题。

为了解决上述问题，本申请公开了一种鉴权向量管理方法，包括以下步骤：

服务节点在鉴权流程成功后，记录当前鉴权向量的使用时间以及NAS信令交互次数；

服务节点比较所述当前鉴权向量的使用时间与预存的当前鉴权向量的生命周期以及NAS信令交互次数与预存的NAS信令交互次数阈值，若当前鉴权向量的使用时间超过其生命周期或NAS信令交互次数超过阈值，则使用新的鉴权向量替换当前鉴权向量。

进一步地，所述方法还包括：

将所述被新的鉴权向量替换的当前鉴权向量置为“已使用”状态。

进一步地，所述记录当前鉴权向量的使用时间采用定时器记录，所述比较所述当前鉴权向量的使用时间与预存的当前鉴权向量的生命周期包括：

在鉴权流程成功后，服务节点启动定时器记录所述当前鉴权向量的使用时间，所述定时器的时长为当前鉴权向量的生命周期，若所述定时器超时，则确定当前鉴权向量的使用时间超过其生命周期。

进一步地，在服务节点在鉴权流程成功后，记录当前鉴权向量的使用时间以及NAS信令交互次数之前，所述方法还包括：

服务节点发送鉴权信息请求消息给归属地签约数据服务；

归属地签约数据服务生成鉴权向量和鉴权向量生命周期，将所述鉴权向量和鉴权向量生命周期返回给服务节点；

服务节点选取一组鉴权向量发起鉴权流程，若鉴权流程成功则进行下一步骤，反之，则重新选取一组鉴权向量再次发起鉴权流程。

进一步地，所述服务节点选取一组鉴权向量发起鉴权流程包括：

使用选取的鉴权向量向用户设备发送鉴权请求消息，并接收用户设备在对网络进行认证成功后回复的鉴权响应消息；

比较鉴权响应消息中的用户响应值和期望的用户响应值是否一致，若是，则鉴权流程成功，反之，则失败。

进一步地，所述服务节点包括移动管理实体或GPRS服务支持节点。

本申请还公开了一种鉴权向量管理装置，置于服务节点中，包括：

信息记录模块，用于在鉴权流程成功后，记录当前鉴权向量的使用时间以及NAS信令交互次数；