[发明专利]防止认证向量被滥用的方法、装置和系统

说明书

技术领域

本发明涉及移动通信技术领域，尤其涉及一种防止认证向量被滥用的方 法、装置和系统。

背景技术

目前，在第三代合作伙伴计划(3rd Generation Partnership Project，3GPP) 对演进的分组系统(Evolved Packet System，EPS)的研究中，提出了非3GPP 网络(non-3GPP networks)接入EPS的需求。非3GPP系统主要包括可信的 非3GPP网络(trusted non-3GPP networks)和不可信的非3GPP网络(untrusted non-3GPP networks)两种。其中，可信的非3GPP网络可以包括Wimax网络 和CDMA2000网络等，不可信的非3GPP网络可以包括WLAN网络等。

当非3GPP网络接入EPS时，可信的非3GPP网络和不可信的非3GPP网 络分别通过不同的接口与EPS的AAA服务器连接。AAA服务器(Authorization， Authentication and Accounting Server，授权、验证和计费服务器)只通过同一 个接口与HSS(Home Subscriber Server，归属用户服务器)连接，即非3GPP 网络接入EPS时，需要通过AAA服务器从同一个接口从HSS获取认证向量 (Authentication Vectors，AV)。这样，当用户通过非3GPP网络接入EPS时， 若非3GPP接入网中的实体被攻破，或者不可信的非3GPP网络所连接的演进 分组数据网关(Evolved Packet Data Gate-way，ePDG)被攻破，则AAA服务 器下发的AV有可能会被攻击者窃取，从而造成攻击者将此AV应用到其它非 3GPP网络中，对用户实施进一步的攻击。

发明内容

本发明实施例的一个目的在于提供一种防止认证向量被滥用的方法，使 得用户通过非3GPP网络接入EPS时，即使非3GPP接入网中的实体被攻破， 或者不可信的非3GPP网络所连接的演进分组数据网关ePDG被攻破，攻击者 也无法将窃取到的AV应用到其它非3GPP网络中。

本发明实施例所提供的防止认证向量被滥用的方法包括：

接收AAA服务器发送的、用户所在的非3GPP网络的接入网信息；

生成该用户的认证向量与该接入网信息的绑定信息；

将该绑定信息发送给该AAA服务器。

本发明的实施例还提供了能够完成上述方法的装置和系统。

本发明的实施例提供的一种归属用户服务器包括：

接收单元：用于接收AAA服务器发送的、用户所在的非3GPP网络的接 入网信息，并将该接入网信息提供给处理单元；

处理单元：用于生成该用户的认证向量与该接入网信息的绑定信息，并 将该绑定信息提供给发送单元；

发送单元：用于将该处理单元提供的该绑定信息发送给该AAA服务器。

本发明的实施例提供的一种AAA服务器包括：

发送单元：用于将用户所在的非3GPP网络的接入网信息发送给归属用户 服务器；

接收单元：用于接收该归属用户服务器发送的该用户的认证向量和该接 入网信息的绑定信息。

本发明的实施例提供的防止认证向量被滥用的系统包括AAA服务器和 归属用户服务器，其中，

该AAA服务器用于将用户所在的非3GPP网络的接入网信息发送给该归 属用户服务器，并接收该归属用户服务器发送的该用户的认证向量和该接入 网信息的绑定信息；

该归属用户服务器用于接收该AAA服务器发送的、用户所在的非3GPP 网络的接入网信息；生成该用户的认证向量与该接入网信息的绑定信息，并 将该绑定信息发送给AAA服务器。

与现有技术相比，本发明的实施例的优点包括：通过将用户所在的非 3GPP网络的接入网信息与用户的认证向量进行绑定，使得用户通过非3GPP 网络接入EPS时，即使非3GPP接入网中的实体被攻破，或者不可信的非3GPP 网络所连接的演进分组数据网关ePDG被攻破，攻击者也无法将窃取到的AV 应用到其它非3GPP网络中。

附图说明

图1是本发明实施例一中将接入网信息与AV进行绑定的流程图；

图2是本发明实施例二中将接入网信息与AV进行绑定的流程图；