[发明专利]鉴权通信线路的方法和系统

说明书

本发明涉及电信网等通信网中的终端鉴权。

在公共交换电话网(PSTN)等提供电话，传真及相关业务的典型网络中，用户专用设备(CPE)通过网络终端设备(NTE)与PSTN相连，并通过构成网络节点的交换机或交换设备进行相互通信。网络上有多级交换机。与用户的NTE最接近，在功能上为所有该用户的来话和去话选路的交换机被称之为本地交换机。

通常的电话业务在本质上都是“先用后交钱”，即电话计费是针对上一个计费日往后算的一段时间的。除基本的安全方面外，需要能够对业务用户终端的使用进行鉴权，以减少未经授权接入网络的可能，否则将与用户产生计费纠纷。例如，如果一非法使用者在一用户在NTE和本地交换机之间的线路上搭线，则向非法使用者提供的任何有偿业务都被记录为该合法用户所用，并相应地计费。

提供鉴权功能的系统有很多。例如，一种基于呼叫卡的系统包括用户通过电话键入一个数字序列来建立用户的标识。另一例是使用电话设备上的一个设置为发送个人识别码的功能键，将允许通过同一本地交换机接入高级别的业务或其它网络。对于更专业的业务这是可接受的。但是，这些系统都需要用户在呼叫建立过程中证实他的身份。

虽然这部分增加的复杂性对于较专业或较少用的业务可能不是个大问题，但仍然是个麻烦，将其从用户建立呼叫的过程中除去更为方便，尤其是在用户频繁地使用一通用的业务时，使用户免除鉴权步骤将使程序大大简化。

本发明提供了一种对通信网上的网络终端鉴权的方法，该方法包括以下步骤：

向一个与网络相连的安全节点指示该终端的一个用户请求使用网络；

在终端计算一个鉴权码，它用与终端相联系的第一关键码和第一算法对一个事务码进行加密运算后得到。

将鉴权码发送给安全节点；

在安全节点根据事务码，第一算法和第一关键码计算期望的事务码；

比较期望的鉴权码和收到的鉴权码；及

除非期望的鉴权码和收到的鉴权码相符，否则拒绝对网络未经限制的接入。

终端可以是一个NTE的一部分，它与安全节点通信建立或不建立鉴权。另外，终端也可以是通过NTE与网络相连的实际的用户设备的一部分。

安全节点最好为终端计算至少一个第一关键码，每个关键码都是用终端识别码和一个第二关键码用节点中存储的一个安全算法运算的结果。每个第一关键码被下载到终端供以后用第一算法用来鉴权终端。其优点是，第一关键码是经第二关键码用安全算法对终端标识码进行加密运算而得到的。

在一优选实施方案中，事务码是一个在每次鉴权尝试后都改变的可变量。

安全节点根据收到的用户请求使用网络的指示，产生一个事务码(n)，作为响应询问终端发送。

如果在预定的时间内期望的鉴权码和收到的鉴权码不符，安全节点可很方便地阻止终端接入网络。

如果在表明用户请求使用网络后没有收到询问或收到无效的询问，终端最好给安全节点送一否定确认信号。

第一关键码可从安全节点远程下载或从临时连到终端的存贮设备本地装载到终端。

其好处是，这个或每个安全节点可通过计算终端标识码来识别各个第一关键码。另外，安全节点也可根据终端标识码通过查询表来识别第一关键码。

安全节点最好能不论鉴权的结果如何都可以向终端送拨号音。此时，即使期望的鉴权码和收到的鉴权码不符，安全节点也能允许接入网络使用可识别的紧急业务或免费的业务。

一个电信网可能包括多个交换机，其中的每一个又为多个终端的来去话选路，至少一个以上的交换机有安全节点与之相连。

本发明也提供了一种对通信网上的终端进行鉴权的系统，包括一个安全节点以及多个通过节点与网络相连的终端，其中至少有一个终端包括含存储器的处理装置，与网络相连并由处理装置控制的终端信令装置，终端信令装置定为在一个可能的用户开始使用网络后向安全节点发一个鉴权码，鉴权码由处理装置用一个第一算法和与该终端相关的第一关键码对一个事务码进行加密运算后得到。安全节点则用事务码和同样也存储在安全节点内的第一算法以及第一关键码对该终端计算出一个期望的鉴权码，除非期望的鉴权码和收到的鉴权码相符，否则将拒绝该终端对网络无限制的接入。

本发明更向通信网提供了一种用户终端，该终端包括一个使用户设备与网络兼容的用户端口，连接终端和网络的网络端口，含存储器的处理装置，该处理装置通过网络端口接收信号，信令装置通过网络端口发送信号，处理装置在用户开始使用网络后用第一算法和与该终端相关的第一关键码对事务码进行加密运算后得到一个鉴权码，并使信令装置通过网络端口发送该鉴权码。