專利名稱:一種網(wǎng)絡(luò)應(yīng)用實體獲取用戶身份標(biāo)識信息的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及第三代無線通信技術(shù)領(lǐng)域,特別是指一種通用鑒權(quán)框架中的網(wǎng)絡(luò)應(yīng)用實體獲取用戶身份標(biāo)識信息的方法。
背景技術(shù):
在第三代無線通信標(biāo)準(zhǔn)中,通用鑒權(quán)框架是多種應(yīng)用業(yè)務(wù)實體使用的一個用于完成對用戶身份進(jìn)行驗證的通用結(jié)構(gòu),應(yīng)用通用鑒權(quán)框架可實現(xiàn)對應(yīng)用業(yè)務(wù)的用戶進(jìn)行檢查和驗證身份。上述多種應(yīng)用業(yè)務(wù)可以是多播/廣播業(yè)務(wù)、用戶證書業(yè)務(wù)、信息即時提供業(yè)務(wù)等,也可以是代理業(yè)務(wù),例如多個服務(wù)和一個代理相連,這個通用鑒權(quán)框架把代理也當(dāng)作一種業(yè)務(wù)來處理,組織結(jié)構(gòu)可以很靈活,而且,對于以后新開發(fā)的業(yè)務(wù)也同樣可以應(yīng)用通用鑒權(quán)框架對應(yīng)用業(yè)務(wù)的用戶進(jìn)行檢查和驗證身份。
圖1所示為通用鑒權(quán)框架的結(jié)構(gòu)示意圖。通用鑒權(quán)框架通常由用戶101、執(zhí)行用戶身份初始檢查驗證的實體(BSF)102、用戶歸屬網(wǎng)絡(luò)服務(wù)器(HSS)103和網(wǎng)絡(luò)應(yīng)用實體(NAF)104組成。BSF102用于與用戶101進(jìn)行互驗證身份,同時生成BSF102與用戶101的共享密鑰;HSS103中存儲有用于描述用戶信息的描述(Profile)文件,該Profile中包括用戶身份標(biāo)識等所有與用戶有關(guān)的描述信息,同時HSS103還兼有產(chǎn)生鑒權(quán)信息的功能。NAF104可以是一個應(yīng)用服務(wù)器,也可以是應(yīng)用服務(wù)器的代理,當(dāng)NAF104作為應(yīng)用服務(wù)器的代理時,其后將連接應(yīng)用服務(wù)器105和應(yīng)用服務(wù)器106等多個應(yīng)用服務(wù)器。
用戶需要使用某種業(yè)務(wù)時,如果其知道該業(yè)務(wù)需要到BSF進(jìn)行互鑒權(quán)過程,則直接到BSF進(jìn)行互鑒權(quán),否則,用戶會首先和某個業(yè)務(wù)對應(yīng)的NAF聯(lián)系,如果該NAF應(yīng)用通用鑒權(quán)框架需要用戶到BSF進(jìn)行身份驗證,則通知用戶應(yīng)用通用鑒權(quán)框架進(jìn)行身份驗證,否則進(jìn)行其它相應(yīng)處理。
圖2所示為現(xiàn)有技術(shù)的應(yīng)用通用鑒權(quán)框架進(jìn)行用戶身份認(rèn)證的流程圖。
步驟201,用戶向BSF發(fā)送初始鑒權(quán)認(rèn)證請求消息;步驟202,BSF接收到用戶的鑒權(quán)請求消息后,向HSS查詢該用戶的鑒權(quán)信息以及Profile;步驟203,BSF得到HSS發(fā)送的包含其所查信息的響應(yīng)消息后,應(yīng)用所查到的信息與用戶執(zhí)行鑒權(quán)和密鑰協(xié)商協(xié)議(AKA)進(jìn)行互鑒權(quán),當(dāng)BSF與用戶完成AKA互鑒權(quán),即相互認(rèn)證了身份后,BSF與用戶之間就擁有了共享密鑰Ks;步驟204,BSF給用戶分配會話事務(wù)標(biāo)識(TID),該TID對于每個用戶是唯一的,且與共享密鑰Ks相關(guān)聯(lián);步驟205,用戶收到BSF分配的TID后,重新向NAF發(fā)送業(yè)務(wù)應(yīng)用請求消息,該請求消息中包含TID信息;步驟206,NAF接收到用戶發(fā)送的包含TID信息的業(yè)務(wù)應(yīng)用請求消息時,首先在NAF本地進(jìn)行查詢,如查詢到,則直接執(zhí)行步驟208,否則,向BSF發(fā)送查詢TID的消息;步驟207,BSF接收到來自NAF的查詢消息后,如查詢到NAF所需的TID,則向NAF發(fā)送成功的響應(yīng)消息,NAF將該消息中的內(nèi)容保存后,執(zhí)行步驟208,否則BSF向NAF發(fā)送響應(yīng)失敗的查詢消息,通知NAF沒有該用戶的信息,由NAF通知用戶到BSF進(jìn)行鑒權(quán),并結(jié)束本處理流程;該成功的響應(yīng)消息中包括查到的TID以及該TID對應(yīng)用戶應(yīng)用的共享密鑰Ks,或根據(jù)該NAF的安全級別由共享密鑰Ks生成的衍生密鑰,同時NAF和用戶也共享了密鑰Ks或其衍生密鑰;步驟208,NAF與用戶進(jìn)行正常的通信,并應(yīng)用共享密鑰Ks或由該共享密鑰Ks衍生的密鑰對以后的通信進(jìn)行保護。
上述方案的缺陷在于當(dāng)NAF向BSF查詢TID信息時,如果BSF能夠查詢到,則只是返回TID以及該TID對應(yīng)用戶應(yīng)用的共享密鑰Ks,由共享密鑰Ks生成的衍生密鑰。而作為應(yīng)用服務(wù)器或應(yīng)用服務(wù)器代理的NAF,沒有獲取用戶身份標(biāo)識信息的過程,因此,NAF也就不能實現(xiàn)對用戶計費信息的收集和或?qū)I(yè)務(wù)層的訪問進(jìn)行控制。
發(fā)明內(nèi)容
有鑒于此,本發(fā)明的目的在于提供一種網(wǎng)絡(luò)應(yīng)用實體獲取用戶身份標(biāo)識信息的方法,使NAF能夠獲取用戶的身份標(biāo)識信息。
為達(dá)到上述目的,本發(fā)明的技術(shù)方案是這樣實現(xiàn)的一種網(wǎng)絡(luò)應(yīng)用實體獲取用戶身份標(biāo)識信息的方法,該方法包括以下步驟a、BSF預(yù)先保存通過鑒權(quán)用戶的TID,以及用戶所應(yīng)用的TID與該用身份標(biāo)識信息的對應(yīng)關(guān)系;b、當(dāng)BSF接收到來自NAF的查詢TID的消息時,判斷本地是否保存有NAF所查詢的TID,如果有,則根據(jù)步驟a所述的對應(yīng)關(guān)系獲取該TID所對應(yīng)的用戶身份標(biāo)識信息,并向NAF發(fā)送至少包含其所需要的TID和該TID所對應(yīng)用戶身份標(biāo)識信息的成功的響應(yīng)消息,由NAF將所述成功響應(yīng)消息中的TID信息以及該TID所對應(yīng)用戶身份標(biāo)識信息進(jìn)行關(guān)聯(lián)保存,否則BSF向NAF發(fā)送失敗響應(yīng)消息,并結(jié)束本處理流程。
較佳地,該方法進(jìn)一步包括預(yù)先設(shè)定關(guān)聯(lián)保存的時間,當(dāng)用戶與NAF斷開通信連接后,NAF繼續(xù)保存用戶所應(yīng)用的TID與該用戶身份標(biāo)識信息的對應(yīng)關(guān)系,在超出預(yù)先設(shè)定的關(guān)聯(lián)保存時間后,NAF刪除或禁用TID及該TID所對應(yīng)的用戶身份標(biāo)識信息。
較佳地,所述預(yù)先設(shè)定的關(guān)聯(lián)保存時間為TID的有效時間。
較佳地,該方法進(jìn)一步包括NAF根據(jù)用戶的身份標(biāo)識信息,對該用戶進(jìn)行計費和或業(yè)務(wù)應(yīng)用層的訪問控制。
較佳地,所述用戶身份標(biāo)識信息為完整的Profile文件,或與用戶身份標(biāo)識相關(guān)的部分Profile文件,或為用戶身份標(biāo)識。
較佳地,該方法進(jìn)一步包括當(dāng)NAF是應(yīng)用服務(wù)器代理向其它應(yīng)用服務(wù)器轉(zhuǎn)發(fā)消息時,在轉(zhuǎn)發(fā)的消息中插入用戶身份標(biāo)識。
應(yīng)用本發(fā)明,使NAF從BSF上獲取了用戶的身份標(biāo)識信息,進(jìn)而方便了NAF對用戶的管理,如實現(xiàn)對用戶進(jìn)行計費和或訪問控制。當(dāng)NAF作為應(yīng)用服務(wù)器代理時,能夠在轉(zhuǎn)發(fā)的消息中插入用戶身份標(biāo)識信息,方便了接收轉(zhuǎn)發(fā)消息的應(yīng)用服務(wù)器對用戶的識別,另外通過訪問控制相應(yīng)地減少了網(wǎng)絡(luò)負(fù)荷,優(yōu)化了網(wǎng)絡(luò)資源。本發(fā)明實現(xiàn)簡便,且與現(xiàn)有的相關(guān)流程具有很好的兼容性。
圖1所示為通用鑒權(quán)框架的結(jié)構(gòu)示意圖;圖2所示為現(xiàn)有技術(shù)的應(yīng)用通用鑒權(quán)框架進(jìn)行用戶身份認(rèn)證的流程圖;圖3所示為本發(fā)明的應(yīng)用通用鑒權(quán)框架進(jìn)行用戶身份認(rèn)證的流程圖。
具體實施例方式
為使本發(fā)明的技術(shù)方案更加清楚,下面結(jié)合附圖對本發(fā)明再做進(jìn)一步的詳細(xì)說明。
本發(fā)明的思路是BSF預(yù)先保存通過鑒權(quán)用戶的TID,以及用戶所應(yīng)用的TID與該用身份標(biāo)識信息的對應(yīng)關(guān)系;當(dāng)BSF接收到來自NAF的查詢TID的消息時,判斷本地是否保存有NAF所查詢的TID,如果有,則根據(jù)上對應(yīng)關(guān)系獲取該TID所對應(yīng)的用戶身份標(biāo)識信息,并向NAF發(fā)送至少包含其所需要的TID和該TID所對應(yīng)用戶身份標(biāo)識信息的成功的響應(yīng)消息,由NAF將所述成功響應(yīng)消息中的TID信息以及該TID所對應(yīng)用戶身份標(biāo)識信息進(jìn)行關(guān)聯(lián)保存,否則BSF向NAF發(fā)送失敗響應(yīng)消息,并結(jié)束本處理流程。
圖3所示為應(yīng)用本發(fā)明的應(yīng)用通用鑒權(quán)框架進(jìn)行用戶身份認(rèn)證的流程圖。
步驟301,用戶向BSF發(fā)送初始鑒權(quán)認(rèn)證請求消息;步驟302,BSF接收到用戶的鑒權(quán)請求消息后,向HSS查詢該用戶的鑒權(quán)信息以及Profile;步驟303,BSF得到HSS發(fā)送的包含其所查信息的響應(yīng)消息后,應(yīng)用所查到的信息與用戶進(jìn)行AKA互鑒權(quán),當(dāng)BSF與用戶完成AKA互鑒權(quán),即相互認(rèn)證了身份后,BSF與用戶之間就擁有了共享密鑰Ks;步驟304,BSF給用戶分配TID,該TID對于每個用戶是唯一的,且與共享密鑰Ks相關(guān)聯(lián);此時,BSF保存了通過鑒權(quán)用戶所應(yīng)用的TID,以及用戶所應(yīng)用的TID與該用戶身份標(biāo)識信息的對應(yīng)關(guān)系,該用戶身份標(biāo)識信息是用戶完整的profile文件,或與用戶身份標(biāo)識信息有關(guān)的部分profile文件,或僅為用戶身份標(biāo)識;步驟305,用戶收到BSF分配的TID后,重新向NAF發(fā)送業(yè)務(wù)應(yīng)用請求消息,該請求消息中包含TID信息;步驟306,NAF接收到用戶發(fā)送的包含TID信息的業(yè)務(wù)應(yīng)用請求消息時,首先在NAF本地進(jìn)行查詢,如查詢到,則直接執(zhí)行步驟309,否則,向BSF發(fā)送查詢TID的消息,并執(zhí)行步驟307;步驟307,BSF接收到來自NAF的查詢消息后,如查詢到NAF所需的TID,則向NAF發(fā)送成功的響應(yīng)消息,并執(zhí)行步驟308,否則BSF向NAF發(fā)送失敗的響應(yīng)消息,通知NAF沒有該用戶的信息,由NAF通知用戶到BSF上進(jìn)行鑒權(quán),并結(jié)束本處理流程;該成功的響應(yīng)消息中不但包括查到的TID以及該TID對應(yīng)用戶應(yīng)用的共享密鑰Ks,或根據(jù)該NAF的安全級別由共享密鑰Ks生成的衍生密鑰,而且還包括根據(jù)步驟304所述對應(yīng)關(guān)系獲取的該TID所對應(yīng)的用戶身份標(biāo)識信息,同時NAF和用戶也共享了密鑰Ks或其衍生密鑰;
步驟308,NAF將上述成功響應(yīng)消息中的用戶身份標(biāo)識信息與該用戶的TID信息進(jìn)行關(guān)聯(lián)保存;步驟309,NAF與用戶進(jìn)行正常的通信,并應(yīng)用共享密鑰Ks或由該共享密鑰Ks衍生的密鑰對以后的通信進(jìn)行保護,同時,根據(jù)用戶的身份標(biāo)識信息,對該用戶進(jìn)行計費和或業(yè)務(wù)應(yīng)用層的訪問控制。
當(dāng)NAF作為應(yīng)用服務(wù)器代理向其它應(yīng)用服務(wù)器轉(zhuǎn)發(fā)消息時,在其轉(zhuǎn)發(fā)的消息中插入用戶身份標(biāo)識,以便收到轉(zhuǎn)發(fā)消息的應(yīng)用服務(wù)器能夠識別用戶。
另外,當(dāng)用戶要訪問NAF后面的某個應(yīng)用服務(wù)器時,NAF可以根據(jù)自身保存的該用戶的profile信息判斷該用戶是否已經(jīng)定購其待訪問業(yè)務(wù),如果該用戶未定購該業(yè)務(wù),則NAF直接通知用戶無權(quán)使用,而不需要將消息轉(zhuǎn)發(fā)到后面的應(yīng)用服務(wù)器,這樣有效地優(yōu)化了網(wǎng)絡(luò)資源。
當(dāng)用戶和NAF斷開通信連接后,NAF繼續(xù)保存該用戶所應(yīng)用的TID與該用戶身份標(biāo)識的對應(yīng)關(guān)系,保存的時間通常為該TID的有效時間。因為在TID的有效時間內(nèi),用戶可以繼續(xù)使用該TID與NAF進(jìn)行通信。當(dāng)TID超時后,該用戶的身份標(biāo)識隨著與其相對應(yīng)的TID的刪除而刪除,或者,隨著與其相對應(yīng)的TID的禁用而被禁用。
以上所述僅為本發(fā)明的較佳實施例而已,并不用以限制本發(fā)明,凡在本發(fā)明的精神和原則之內(nèi),所作的任何修改、等同替換、改進(jìn)等,均應(yīng)包含在本發(fā)明的保護范圍之內(nèi)。
權(quán)利要求
1.一種網(wǎng)絡(luò)應(yīng)用實體獲取用戶身份標(biāo)識信息的方法,其特征在于,該方法包括以下步驟a、BSF預(yù)先保存通過鑒權(quán)用戶的TID,以及用戶所應(yīng)用的TID與該用身份標(biāo)識信息的對應(yīng)關(guān)系;b、當(dāng)BSF接收到來自NAF的查詢TID的消息時,判斷本地是否保存有NAF所查詢的TID,如果有,則根據(jù)步驟a所述的對應(yīng)關(guān)系獲取該TID所對應(yīng)的用戶身份標(biāo)識信息,并向NAF發(fā)送至少包含其所需要的TID和該TID所對應(yīng)用戶身份標(biāo)識信息的成功的響應(yīng)消息,由NAF將所述成功響應(yīng)消息中的TID信息以及該TID所對應(yīng)用戶身份標(biāo)識信息進(jìn)行關(guān)聯(lián)保存,否則BSF向NAF發(fā)送失敗響應(yīng)消息,并結(jié)束本處理流程。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于,該方法進(jìn)一步包括預(yù)先設(shè)定關(guān)聯(lián)保存的時間,當(dāng)用戶與NAF斷開通信連接后,NAF繼續(xù)保存用戶所應(yīng)用的TID與該用戶身份標(biāo)識信息的對應(yīng)關(guān)系,在超出預(yù)先設(shè)定的關(guān)聯(lián)保存時間后,NAF刪除或禁用TID及該TID所對應(yīng)的用戶身份標(biāo)識信息。
3.根據(jù)權(quán)利要求2所述的方法,其特征在于,所述預(yù)先設(shè)定的關(guān)聯(lián)保存時間為TID的有效時間。
4.根據(jù)權(quán)利要求1所述的方法,其特征在于,該方法進(jìn)一步包括NAF根據(jù)用戶的身份標(biāo)識信息,對該用戶進(jìn)行計費和或業(yè)務(wù)應(yīng)用層的訪問控制。
5.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述用戶身份標(biāo)識信息為完整的Profile文件,或與用戶身份標(biāo)識相關(guān)的部分Profile文件,或為用戶身份標(biāo)識。
6.根據(jù)權(quán)利要求5所述的方法,其特征在于,該方法進(jìn)一步包括當(dāng)NAF是應(yīng)用服務(wù)器代理向其它應(yīng)用服務(wù)器轉(zhuǎn)發(fā)消息時,在轉(zhuǎn)發(fā)的消息中插入用戶身份標(biāo)識。
全文摘要
本發(fā)明提供了一種網(wǎng)絡(luò)應(yīng)用實體獲取用戶身份標(biāo)識信息的方法,應(yīng)用本發(fā)明,使NAF從BSF上獲取了用戶的身份標(biāo)識信息,進(jìn)而方便了NAF對用戶的管理,如實現(xiàn)對用戶進(jìn)行計費和或訪問控制。當(dāng)NAF作為應(yīng)用服務(wù)器代理時,能夠在轉(zhuǎn)發(fā)的消息中插入用戶身份標(biāo)識,使接收轉(zhuǎn)發(fā)消息的應(yīng)用服務(wù)器能夠?qū)τ脩暨M(jìn)行識別。本發(fā)明實現(xiàn)簡便,且與現(xiàn)有的相關(guān)流程具有很好的兼容性。
文檔編號H04L29/06GK1642079SQ200410001029
公開日2005年7月20日 申請日期2004年1月16日 優(yōu)先權(quán)日2004年1月16日
發(fā)明者黃迎新 申請人:華為技術(shù)有限公司