專利名稱:通用鑒權(quán)系統(tǒng)及訪問(wèn)該系統(tǒng)中網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通用鑒權(quán)技術(shù),尤指在漫游網(wǎng)絡(luò)中,一種通用鑒權(quán)系統(tǒng)及訪問(wèn)該系統(tǒng)中網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用(NAF)的方法。
背景技術(shù):
在第三代無(wú)線通信標(biāo)準(zhǔn)中,通用鑒權(quán)系統(tǒng)也稱為通用鑒權(quán)框架(GAA),是多種應(yīng)用業(yè)務(wù)實(shí)體使用的一個(gè)用于完成對(duì)用戶身份進(jìn)行驗(yàn)證的通用結(jié)構(gòu),應(yīng)用通用鑒權(quán)框架可實(shí)現(xiàn)對(duì)應(yīng)用業(yè)務(wù)的用戶進(jìn)行檢查和驗(yàn)證身份。上述多種應(yīng)用業(yè)務(wù)可以是多播/廣播業(yè)務(wù)、用戶證書業(yè)務(wù)、信息即時(shí)提供業(yè)務(wù)等,也可以是代理業(yè)務(wù)。
圖1為現(xiàn)有技術(shù)通用鑒權(quán)框架結(jié)構(gòu)示意圖,如圖1所示,通用鑒權(quán)框架通常由用戶、執(zhí)行用戶身份初始檢查驗(yàn)證的Bootstrapping服務(wù)功能(BSF)實(shí)體、歸屬用戶服務(wù)器(HSS)和網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用(NAF)實(shí)體組成。下文中將BSF實(shí)體簡(jiǎn)稱為BSF,將NAF實(shí)體簡(jiǎn)稱為NAF。其中,BSF用于與用戶進(jìn)行互認(rèn)證即互相驗(yàn)證身份,同時(shí)生成BSF與用戶的共享密鑰的過(guò)程,該過(guò)程也稱為Bootstrapping過(guò)程或GBA過(guò)程,稱能夠與BSF實(shí)現(xiàn)GBA過(guò)程的用戶為具備GBA功能的用戶;HSS中存儲(chǔ)用于描述用戶信息的描述(Profile)文件,同時(shí)HSS還兼有產(chǎn)生鑒權(quán)信息的功能;NAF可以代表不同的網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用實(shí)體,用戶要實(shí)現(xiàn)某種業(yè)務(wù)時(shí),必須訪問(wèn)該業(yè)務(wù)對(duì)應(yīng)的NAF并與該NAF進(jìn)行通信。各個(gè)實(shí)體之間的接口如圖1所示,BSF與NAF之間通過(guò)Zn接口連接;用戶通過(guò)用戶終端(UE)與BSF或NAF連接,UE與BSF之間通過(guò)Ub接口連接,UE與NAF之間通過(guò)Ua接口連接。
用戶需要使用某種業(yè)務(wù)即訪問(wèn)該業(yè)務(wù)對(duì)應(yīng)的NAF時(shí),如果用戶知道該業(yè)務(wù)需要到BSF進(jìn)行互認(rèn)證,則用戶通過(guò)UE直接到BSF執(zhí)行Bootstrapping過(guò)程;否則,用戶會(huì)首先向該業(yè)務(wù)對(duì)應(yīng)的NAF發(fā)起連接請(qǐng)求,如果該NAF使用通用鑒權(quán)框架即支持GAA功能,并且發(fā)現(xiàn)發(fā)起連接請(qǐng)求的用戶還未到BSF進(jìn)行互認(rèn)證,則通知發(fā)起連接請(qǐng)求的用戶到BSF執(zhí)行Bootstrapping過(guò)程。
接下來(lái)用戶通過(guò)UE與BSF之間執(zhí)行Bootstrapping過(guò)程進(jìn)行互認(rèn)證,該Bootstrapping過(guò)程成功完成后,UE和BSF之間互相驗(yàn)證了身份并且生成共享密鑰Ks,BSF為該共享密鑰Ks定義了一個(gè)有效期(Key-lifetime)并分配一個(gè)會(huì)話事務(wù)標(biāo)識(shí)(B-TID)給用戶;BSF和UE分別將共享密鑰Ks,B-TID以及有效期關(guān)聯(lián)保存。當(dāng)用戶要與NAF通信時(shí),重新向NAF發(fā)出連接請(qǐng)求,且請(qǐng)求消息中攜帶該B-TID,同時(shí)用戶根據(jù)該共享密鑰Ks采用預(yù)設(shè)衍生算法計(jì)算出衍生密鑰NAF specific key。
NAF收到連接請(qǐng)求后,如果NAF不能在本地查詢到該B-TID,則向BSF發(fā)送攜帶自身標(biāo)識(shí)和該B-TID的請(qǐng)求查詢消息進(jìn)行查詢。如果BSF不能在本地查詢到該B-TID,則通知NAF沒(méi)有該用戶的信息,此時(shí),NAF將通知用戶到BSF進(jìn)行互認(rèn)證;如果BSF查詢到該B-TID,則使用與用戶側(cè)相同的衍生算法計(jì)算共享密鑰Ks的衍生密鑰,然后向NAF發(fā)送成功響應(yīng)消息,該成功響應(yīng)中攜帶有所述B-TID,與該B-TID對(duì)應(yīng)的衍生密鑰,以及共享密鑰Ks的有效期。NAF收到BSF的成功響應(yīng)消息后,認(rèn)為該用戶是經(jīng)過(guò)BSF認(rèn)證的合法用戶,同時(shí)NAF共享了由共享密鑰Ks計(jì)算得到的衍生密鑰,該衍生密鑰與用戶根據(jù)該共享密鑰Ks計(jì)算出衍生密鑰一致。用戶在后續(xù)訪問(wèn)NAF中利用該衍生密鑰保護(hù)二者之間的通信。
當(dāng)用戶發(fā)現(xiàn)共享密鑰Ks即將過(guò)期,或NAF要求用戶重新到BSF進(jìn)行互認(rèn)證時(shí),用戶重復(fù)上述的互認(rèn)證步驟重新到BSF進(jìn)行互認(rèn)證,以得到新的共享密鑰Ks及B-TID。
以上描述的在GAA中,用戶訪問(wèn)NAF的過(guò)程適用于NAF位于用戶的歸屬網(wǎng)絡(luò)中的情況。對(duì)于用戶訪問(wèn)位于漫游網(wǎng)絡(luò)中的NAF的情況,現(xiàn)有技術(shù)的處理是與用戶進(jìn)行互認(rèn)證的BSF還是歸屬網(wǎng)絡(luò)的BSF,而漫游網(wǎng)絡(luò)的NAF需要通過(guò)一個(gè)D代理(D-proxy)與歸屬網(wǎng)絡(luò)的BSF連接,并且從歸屬網(wǎng)絡(luò)的BSF處取得衍生密鑰,然后利用該衍生密鑰與用戶進(jìn)行通信。這種情況屬于歸屬網(wǎng)絡(luò)和漫游網(wǎng)絡(luò)都支持GAA的情況。
但是,如果一個(gè)具備GBA功能的UE所在的歸屬網(wǎng)絡(luò)不支持GAA,而當(dāng)該UE漫游到一個(gè)支持GAA的漫游網(wǎng)絡(luò)時(shí),按照目前提供的通用鑒權(quán)架構(gòu)和通過(guò)該通用鑒權(quán)架構(gòu)訪問(wèn)NAF的處理方法,由于與用戶進(jìn)行互認(rèn)證的BSF是歸屬網(wǎng)絡(luò)的BSF,而該UE所屬歸屬網(wǎng)絡(luò)不支持GAA,因此,該UE是不能使用漫游網(wǎng)絡(luò)提供的NAF業(yè)務(wù)的。
發(fā)明內(nèi)容
有鑒于此,本發(fā)明的主要目的在于提供一種通用鑒權(quán)系統(tǒng),使漫游用戶能夠訪問(wèn)漫游網(wǎng)絡(luò)中的NAF業(yè)務(wù)。
本發(fā)明的另一目的在于提供一種訪問(wèn)所述通用鑒權(quán)系統(tǒng)中網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用的方法,使漫游用戶能夠訪問(wèn)漫游網(wǎng)絡(luò)中的NAF業(yè)務(wù)。
為達(dá)到上述目的,本發(fā)明的技術(shù)方案具體是這樣實(shí)現(xiàn)的一種通用鑒權(quán)系統(tǒng),該系統(tǒng)包括該系統(tǒng)包括漫游用戶、漫游網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用V-NAF實(shí)體、及用于實(shí)現(xiàn)與漫游用戶的互認(rèn)證的通用鑒權(quán)實(shí)體,其中,所述漫游用戶接收來(lái)自所述V-NAF實(shí)體的互認(rèn)證通知,向所述通用鑒權(quán)實(shí)體發(fā)起互認(rèn)證請(qǐng)求;所述通用鑒權(quán)實(shí)體接收來(lái)自漫游用戶的互認(rèn)證請(qǐng)求,與該漫游用戶進(jìn)行互認(rèn)證,互認(rèn)證后該漫游用戶訪問(wèn)所述網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用。
該系統(tǒng)具體包括所述V-NAF實(shí)體,接收來(lái)自漫游用戶的連接請(qǐng)求,通知該漫游用戶進(jìn)行互認(rèn)證或者向所述通用鑒權(quán)實(shí)體查詢?cè)撀斡脩舻难苌荑€;接收來(lái)自所述通用鑒權(quán)實(shí)體的衍生密鑰,并利用該衍生密鑰與所述漫游用戶進(jìn)行通信;所述漫游用戶,向所述V-NAF實(shí)體發(fā)送連接請(qǐng)求;接收來(lái)自V-NAF實(shí)體的互認(rèn)證通知,向所述通用鑒權(quán)實(shí)體發(fā)送互認(rèn)證請(qǐng)求,與所述通用鑒權(quán)實(shí)體實(shí)現(xiàn)互認(rèn)證并生成衍生密鑰;利用生成的衍生密鑰與所述V-NAF實(shí)體進(jìn)行通信;所述通用鑒權(quán)實(shí)體,接收來(lái)自所述漫游用戶的互認(rèn)證請(qǐng)求,通過(guò)自身與漫游用戶所屬歸屬網(wǎng)絡(luò)的簽約數(shù)據(jù)庫(kù)的連接,獲取所述通用鑒權(quán)實(shí)體與所述漫游用戶進(jìn)行互認(rèn)證所需的鑒權(quán)信息,并實(shí)現(xiàn)與該漫游用戶的互認(rèn)證;接收來(lái)自所述V-NAF實(shí)體的查詢請(qǐng)求,生成衍生密鑰并發(fā)送給所述V-NAF。
所述通用鑒權(quán)實(shí)體為位于所述漫游網(wǎng)絡(luò)中的執(zhí)行用戶身份初始檢查驗(yàn)證的Bootstrapping服務(wù)功能V-BSF實(shí)體。
所述漫游用戶所屬歸屬網(wǎng)絡(luò)的簽約數(shù)據(jù)庫(kù)為歸屬用戶服務(wù)器HSS,所述V-BSF實(shí)體與所述HSS間通過(guò)Zh接口采用Diameter協(xié)議連接;或用戶所屬歸屬網(wǎng)絡(luò)的簽約數(shù)據(jù)庫(kù)為歸屬位置寄存器HLR,所述V-BSF實(shí)體與所述HLR間通過(guò)Gr接口連接。
所述通用鑒權(quán)實(shí)體包括位于所述漫游網(wǎng)絡(luò)中的服務(wù)GPRS支持節(jié)點(diǎn)SGSN,及執(zhí)行用戶身份初始檢查驗(yàn)證的Bootstrapping服務(wù)功能V-BSF實(shí)體。
所述漫游用戶所屬歸屬網(wǎng)絡(luò)的簽約數(shù)據(jù)庫(kù)為HSS/HLR,所述SGSN與所述HLR/HSS間通過(guò)Gr接口連接,所述V-BSF實(shí)體與所述SGSN間通過(guò)Zx接口連接。
所述V-BSF實(shí)體為兩個(gè)或兩個(gè)以上,所述通用鑒權(quán)實(shí)體還包括用于連接所有V-BSF實(shí)體與漫游用戶所屬歸屬網(wǎng)絡(luò)的B代理B-proxy。
所述各V-BSF實(shí)體與所述B-proxy間通過(guò)Zx接口連接;所述漫游用戶所屬歸屬網(wǎng)絡(luò)的簽約數(shù)據(jù)庫(kù)為HSS,所述B-proxy與所述HSS間通過(guò)Zh’接口連接;或用戶所屬歸屬網(wǎng)絡(luò)的簽約數(shù)據(jù)庫(kù)為HLR,所述B-proxy與所述HLR間通過(guò)Gr接口連接。
所述B-proxy為獨(dú)立實(shí)體,或?yàn)樗蠽-BSF實(shí)體中任一V-BSF實(shí)體中的一個(gè)功能模塊。
所述V-BSF實(shí)體為兩個(gè)或兩個(gè)以上,所有V-BSF實(shí)體中指定一個(gè)V-BSF實(shí)體為主V-BSF實(shí)體;
所述主V-BSF實(shí)體包括用于連接V-BSF實(shí)體與漫游用戶所屬歸屬網(wǎng)絡(luò)的B代理B-proxy。
所述主V-BSF與所述剩余V-BSF間通過(guò)Zx接口連接;所述用戶所屬歸屬網(wǎng)絡(luò)的簽約數(shù)據(jù)庫(kù)為HSS,所述B-proxy與所述HSS間通過(guò)Zh’接口連接;或用戶所屬歸屬網(wǎng)絡(luò)的簽約數(shù)據(jù)庫(kù)為HLR,所述B-proxy與所述HLR間通過(guò)Gr接口連接。
所述V-BSF實(shí)體與所述V-NAF實(shí)體通過(guò)Zn接口連接,所述漫游用戶通過(guò)Ub接口與所述V-BSF實(shí)體連接、通過(guò)Ua接口與所述V-NAF實(shí)體連接。
一種訪問(wèn)通用鑒權(quán)系統(tǒng)中網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用NAF實(shí)體的方法,所述通用鑒權(quán)系統(tǒng)包括漫游用戶、漫游網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用V-NAF實(shí)體、及用于實(shí)現(xiàn)與漫游用戶的互認(rèn)證和向V-NAF實(shí)體提供衍生密鑰的通用鑒權(quán)實(shí)體,該方法包括以下步驟A.所述漫游用戶接收到來(lái)自所述V-NAF實(shí)體的互認(rèn)證通知后,向所述通用鑒權(quán)實(shí)體發(fā)起互認(rèn)證請(qǐng)求;B.所述通用鑒權(quán)實(shí)體根據(jù)所述互認(rèn)證請(qǐng)求中攜帶的用戶信息,從該漫游用戶所屬歸屬網(wǎng)絡(luò)的簽約數(shù)據(jù)庫(kù)獲取鑒權(quán)信息;C.所述通用鑒權(quán)實(shí)體與該漫游用戶根據(jù)所述鑒權(quán)信息進(jìn)行互認(rèn)證后,該漫游用戶訪問(wèn)所述網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用。
步驟A中所述漫游用戶接收到互認(rèn)證通知之后,向通用鑒權(quán)實(shí)體發(fā)起互認(rèn)證請(qǐng)求之前,該方法進(jìn)一步包括所述漫游用戶通過(guò)已獲知的所述漫游網(wǎng)絡(luò)的移動(dòng)國(guó)家碼和移動(dòng)網(wǎng)絡(luò)碼獲取通用鑒權(quán)實(shí)體的互認(rèn)證地址;或者所述漫游用戶在發(fā)送給所述V-NAF實(shí)體的連接請(qǐng)求中攜帶標(biāo)識(shí)自身是漫游用戶的標(biāo)志,所述V-NAF實(shí)體獲知當(dāng)前用戶為漫游用戶且判定該漫游用戶未進(jìn)行互認(rèn)證后,將漫游網(wǎng)絡(luò)中通用鑒權(quán)實(shí)體的互認(rèn)證地址攜帶在GBA指示中返回給所述漫游用戶。
步驟C具體包括C1.所述漫游用戶與所述V-BSF實(shí)體間互相驗(yàn)證身份并生成共享密鑰Ks,所述V-BSF實(shí)體為該共享密鑰Ks定義有效期并分配B-TID,所述V-BSF實(shí)體和所述漫游用戶分別將所述共享密鑰Ks,B-TID以及有效期關(guān)聯(lián)保存;C2.所述漫游用戶將所述B-TID攜帶連接請(qǐng)求中并發(fā)送給所述V-NAF實(shí)體,同時(shí)所述漫游用戶根據(jù)該共享密鑰Ks采用預(yù)設(shè)衍生算法計(jì)算出衍生密鑰;C3.所述V-NAF實(shí)體根據(jù)接收到連接請(qǐng)求,若自身不能在本地查詢到所述B-TID,則將自身標(biāo)識(shí)和所述B-TID攜帶在請(qǐng)求查詢消息中并發(fā)送給所述V-BSF實(shí)體;C4.若所述V-BSF實(shí)體查詢到所述B-TID,并使用與用戶側(cè)相同的衍生算法計(jì)算共享密鑰Ks的衍生密鑰,并將所述B-TID,及生成的衍生密鑰攜帶在成功響應(yīng)消息中并發(fā)送給所述V-NAF實(shí)體,所述漫游用戶與所述V-NAF實(shí)體間采用所述衍生密鑰進(jìn)行通信。
步驟C4中,若所述V-BSF實(shí)體不能在本地查詢到所述B-TID,則所述V-BSF實(shí)體通知所述V-NAF實(shí)體未查詢到所述漫游用戶的信息;所述V-NAF實(shí)體通知所述漫游用戶返回重新執(zhí)行步驟A。
步驟C3中,若所述V-BSF實(shí)體為兩個(gè)或兩個(gè)以上,則所述V-NAF實(shí)體向所有V-BSF實(shí)體發(fā)送攜帶自身標(biāo)識(shí)和所述B-TID的請(qǐng)求查詢消息進(jìn)行查詢。
所述漫游用戶所屬歸屬網(wǎng)絡(luò)的簽約數(shù)據(jù)庫(kù)為HSS/HLR。
該方法進(jìn)一步包括所述漫游用戶離開(kāi)所述漫游網(wǎng)絡(luò)時(shí),所述UE刪除分配給該漫游用戶的共享密鑰Ks、所述衍生密鑰及B-TID。
該方法進(jìn)一步包括所述漫游用戶移動(dòng)至另一漫游網(wǎng)絡(luò)中,若另一漫游網(wǎng)絡(luò)中的NAF實(shí)體向所述漫游網(wǎng)絡(luò)請(qǐng)求所述漫游用戶的安全通信用信息,所述漫游網(wǎng)絡(luò)中的V-BSF實(shí)體拒絕將該漫游用戶的衍生密鑰返回給另一漫游網(wǎng)絡(luò)中的NAF實(shí)體。
由上述技術(shù)方案可見(jiàn),本發(fā)明通用鑒權(quán)系統(tǒng)包括漫游用戶、位于漫游網(wǎng)絡(luò)中的用于實(shí)現(xiàn)與漫游用戶的互認(rèn)證和向V-NAF提供衍生密鑰的通用鑒權(quán)實(shí)體,以及網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用。本發(fā)明訪問(wèn)所述通用鑒權(quán)系統(tǒng)中的網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用的方法,對(duì)于漫游用戶具備GBA功能,而該漫游用戶所屬歸屬網(wǎng)絡(luò)不支持GAA,當(dāng)該漫游用戶處于支持GAA的漫游網(wǎng)絡(luò)時(shí),該方法實(shí)現(xiàn)了漫游用戶在漫游網(wǎng)絡(luò)中完成互認(rèn)證過(guò)程,從而實(shí)現(xiàn)了訪問(wèn)漫游網(wǎng)絡(luò)中的NAF服務(wù)。
圖1是現(xiàn)有技術(shù)通用鑒權(quán)框架結(jié)構(gòu)示意圖;圖2是本發(fā)明通用鑒權(quán)系統(tǒng)結(jié)構(gòu)示意圖;圖3a是本發(fā)明通用鑒權(quán)實(shí)體實(shí)施例一的結(jié)構(gòu)示意圖;圖3b是本發(fā)明通用鑒權(quán)實(shí)體實(shí)施例二的結(jié)構(gòu)示意圖;圖4a是本發(fā)明漫游網(wǎng)絡(luò)中存在多個(gè)BSF時(shí),通用鑒權(quán)實(shí)體實(shí)施例一的結(jié)構(gòu)示意圖;圖4b是本發(fā)明漫游網(wǎng)絡(luò)中存在多個(gè)BSF時(shí),通用鑒權(quán)實(shí)體實(shí)施例二的結(jié)構(gòu)示意圖;圖5是本發(fā)明訪問(wèn)NAF的方法的流程圖;圖6是本發(fā)明訪問(wèn)NAF的實(shí)施例一的流程圖;圖7是本發(fā)明訪問(wèn)NAF的實(shí)施例二的流程圖。
具體實(shí)施例方式
本發(fā)明的核心思想是在由漫游用戶、位于漫游網(wǎng)絡(luò)中的通用鑒權(quán)實(shí)體和漫游網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用組成的通用鑒權(quán)系統(tǒng)中,漫游用戶接收到來(lái)自網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用的互認(rèn)證通知后,向所處漫游網(wǎng)絡(luò)中的通用鑒權(quán)實(shí)體發(fā)起互認(rèn)證請(qǐng)求;所述通用鑒權(quán)實(shí)體根據(jù)所述互認(rèn)證請(qǐng)求中攜帶的用戶信息,從該漫游用戶所屬歸屬網(wǎng)絡(luò)的簽約數(shù)據(jù)庫(kù)獲取鑒權(quán)信息;所述通用鑒權(quán)實(shí)體與該用戶根據(jù)獲得的鑒權(quán)信息進(jìn)行互認(rèn)證并生成衍生密鑰,該漫游用戶利用該衍生密鑰訪問(wèn)所述網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用。
為使本發(fā)明的目的、技術(shù)方案及優(yōu)點(diǎn)更加清楚明白,以下參照附圖并舉較佳實(shí)施例,對(duì)本發(fā)明進(jìn)一步詳細(xì)說(shuō)明。
本發(fā)明尤其適用于漫游用戶具備GBA功能,該漫游用戶所屬歸屬網(wǎng)絡(luò)不支持GAA,而該漫游用戶所處漫游網(wǎng)絡(luò)支持GAA;且所述漫游網(wǎng)絡(luò)與歸屬網(wǎng)絡(luò)間已簽訂相應(yīng)的服務(wù)協(xié)議,使歸屬網(wǎng)絡(luò)對(duì)漫游網(wǎng)絡(luò)開(kāi)放用于實(shí)現(xiàn)互認(rèn)證過(guò)程的相關(guān)接口,這樣,漫游網(wǎng)絡(luò)可以通過(guò)所述相關(guān)接口訪問(wèn)歸屬網(wǎng)絡(luò)并從歸屬網(wǎng)絡(luò)獲得所需的鑒權(quán)用數(shù)據(jù)。
圖2是本發(fā)明通用鑒權(quán)系統(tǒng)結(jié)構(gòu)示意圖,如圖2所示,本發(fā)明的通用鑒權(quán)系統(tǒng)包括漫游用戶、位于漫游網(wǎng)絡(luò)中的通用鑒權(quán)實(shí)體和漫游NAF(V-NAF),各個(gè)實(shí)體之間的接口如圖2所示,通用鑒權(quán)實(shí)體與NAF之間通過(guò)Zn接口連接;通用鑒權(quán)實(shí)體通過(guò)相關(guān)接口與漫游用戶的歸屬網(wǎng)絡(luò)中的簽約數(shù)據(jù)庫(kù)連接,具體實(shí)現(xiàn)可參見(jiàn)圖3a、圖3b、圖4a及圖4b的描述;漫游用戶通過(guò)UE與通用鑒權(quán)實(shí)體及V-NAF連接,UE與通用鑒權(quán)實(shí)體之間通過(guò)Ub接口連接,UE與V-NAF之間通過(guò)Ua接口連接。
其中,V-NAF可以代表不同的網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用實(shí)體,用戶要實(shí)現(xiàn)某種業(yè)務(wù)時(shí),必須訪問(wèn)該業(yè)務(wù)對(duì)應(yīng)的NAF并與該NAF進(jìn)行通信。V-NAF接收來(lái)自用戶的連接請(qǐng)求,若判定該用戶未進(jìn)行互認(rèn)證,則通知該用戶進(jìn)行互認(rèn)證;若判定該用戶已進(jìn)行互認(rèn)證且為漫游用戶,則向通用鑒權(quán)實(shí)體查詢?cè)撀斡脩舻难苌荑€;接收來(lái)自通用鑒權(quán)實(shí)體的衍生密鑰,并利用該衍生密鑰與所述漫游用戶進(jìn)行通信,以實(shí)現(xiàn)該漫游用戶請(qǐng)求的業(yè)務(wù);漫游用戶,向V-NAF發(fā)送連接請(qǐng)求,以請(qǐng)求實(shí)現(xiàn)業(yè)務(wù);接收來(lái)自V-NAF的互認(rèn)證通知,向通用鑒權(quán)實(shí)體發(fā)送互認(rèn)證請(qǐng)求,與通用鑒權(quán)實(shí)體實(shí)現(xiàn)互認(rèn)證并生成衍生密鑰;利用生成的衍生密鑰與V-NAF進(jìn)行通信,以實(shí)現(xiàn)該漫游用戶請(qǐng)求的業(yè)務(wù);通用鑒權(quán)實(shí)體,接收來(lái)自漫游用戶的互認(rèn)證請(qǐng)求,通過(guò)自身與漫游用戶所屬歸屬網(wǎng)絡(luò)的簽約數(shù)據(jù)庫(kù)的連接,獲取通用鑒權(quán)實(shí)體與漫游用戶進(jìn)行互認(rèn)證所需的鑒權(quán)信息,并實(shí)現(xiàn)與該漫游用戶的互認(rèn)證;接收來(lái)自V-NAF的查詢請(qǐng)求,生成衍生密鑰并提供給V-NAF。該通用鑒權(quán)實(shí)體的功能包括實(shí)現(xiàn)與該漫游用戶的互認(rèn)證和向V-NAF提供衍生密鑰。所述鑒權(quán)信息包括標(biāo)識(shí)用戶簽約申請(qǐng)的業(yè)務(wù)的用戶簽約數(shù)據(jù),及標(biāo)識(shí)用戶身份的鑒權(quán)向量等。
圖3a和圖3b是兩種通用鑒權(quán)實(shí)體的實(shí)現(xiàn)方式,下面分別進(jìn)行詳細(xì)描述。圖3a是本發(fā)明通用鑒權(quán)實(shí)體實(shí)施例一的結(jié)構(gòu)示意圖,如圖3a所示,通用鑒權(quán)實(shí)體包括漫游網(wǎng)絡(luò)中的BSF即漫游BSF(V-BSF),若漫游用戶的鑒權(quán)信息存儲(chǔ)在歸屬網(wǎng)絡(luò)的HSS中,則V-BSF可以通過(guò)Zh接口采用Diameter協(xié)議從所述HSS中獲得該漫游用戶的鑒權(quán)信息,此時(shí)簽約數(shù)據(jù)庫(kù)就是HSS;若漫游用戶的鑒權(quán)信息存儲(chǔ)在歸屬網(wǎng)絡(luò)的歸屬位置寄存器(HLR)中,則V-BSF可以通過(guò)Gr接口從所述HLR獲得該漫游用戶的鑒權(quán)信息,此時(shí)簽約數(shù)據(jù)庫(kù)就是HLR。圖3a所示的通用鑒權(quán)實(shí)體與通用鑒權(quán)系統(tǒng)的其它實(shí)體之間的接口為V-BSF與V-NAF通過(guò)Zn接口連接,漫游用戶通過(guò)Ub接口與V-BSF連接、通過(guò)Ua接口與V-NAF連接。
圖3a所示的通用鑒權(quán)實(shí)體中,V-BSF接收來(lái)自漫游用戶的互認(rèn)證請(qǐng)求,通過(guò)自身與漫游用戶所屬歸屬網(wǎng)絡(luò)的簽約數(shù)據(jù)庫(kù)的連接,獲取通用鑒權(quán)實(shí)體與漫游用戶進(jìn)行互認(rèn)證所需的鑒權(quán)信息,并實(shí)現(xiàn)與該漫游用戶的互認(rèn)證;接收來(lái)自V-NAF的查詢請(qǐng)求,生成衍生密鑰并提供給V-NAF。
圖3b是本發(fā)明通用鑒權(quán)實(shí)體實(shí)施例二的結(jié)構(gòu)示意圖,如圖3b所示,通用鑒權(quán)實(shí)體包括位于漫游網(wǎng)絡(luò)中的服務(wù)GPRS支持節(jié)點(diǎn)(SGSN)和V-BSF,漫游網(wǎng)絡(luò)中的SGSN與歸屬網(wǎng)絡(luò)的HLR/HSS間通過(guò)Gr接口連接,V-BSF與SGSN之間通過(guò)Zx接口連接。V-BSF需要獲取用戶的鑒權(quán)信息時(shí),通過(guò)SGSN訪問(wèn)歸屬網(wǎng)絡(luò)的HLR/HSS,以獲取鑒權(quán)信息及GPRS簽約信息,此時(shí)簽約數(shù)據(jù)庫(kù)就是HLR/HSS。圖3b所示的通用鑒權(quán)實(shí)體與通用鑒權(quán)系統(tǒng)的其它實(shí)體之間的接口為通用鑒權(quán)實(shí)體中的V-BSF與V-NAF通過(guò)Zn接口連接,漫游用戶通過(guò)Ub接口與V-BSF連接、通過(guò)Ua接口與V-NAF連接。
圖3b所示的通用鑒權(quán)實(shí)體中,V-BSF接收來(lái)自漫游用戶的互認(rèn)證請(qǐng)求,通過(guò)SGSN與漫游用戶所屬歸屬網(wǎng)絡(luò)的簽約數(shù)據(jù)庫(kù)的連接,并獲取通用鑒權(quán)實(shí)體與漫游用戶進(jìn)行互認(rèn)證所需的鑒權(quán)信息,V-BSF實(shí)現(xiàn)與該漫游用戶的互認(rèn)證;V-BSF接收來(lái)自V-NAF的查詢請(qǐng)求,生成衍生密鑰并提供給V-NAF。
需要說(shuō)明的是,本發(fā)明中V-BSF還可以從HLR/HSS獲得用戶的GUSS數(shù)據(jù)如果用戶的歸屬網(wǎng)絡(luò)寄存器是HLR,那么HLR通過(guò)向SGSN輸出GPRS簽約數(shù)據(jù)的方式,向BSF輸出GUSS。或者GUSS作為GPRS簽約數(shù)據(jù)的一部分,隨著HLR向BSF輸出的GPRS簽約數(shù)據(jù)一起發(fā)送給BSF;如果用戶的歸屬網(wǎng)絡(luò)寄存器是HSS,那么HSS可以按照現(xiàn)有方式通過(guò)Zn接口協(xié)議從用戶的HSS中獲得鑒權(quán)和GUSS數(shù)據(jù)。
在漫游網(wǎng)絡(luò)中,若存在多個(gè)BSF,可能所有BSF都可以對(duì)漫游用戶進(jìn)行鑒權(quán),也可能只有其中某個(gè)或者幾個(gè)BSF用于鑒權(quán)漫游用戶,而剩余的BSF只能鑒權(quán)本地用戶,鑒權(quán)漫游用戶的BSF與鑒權(quán)本地用戶的BSF可以采用不同的域名加以區(qū)別,比如,用于鑒權(quán)本地用戶的BSF的域名可以設(shè)置為BSFbsf.mnc<MNC>.mcc<MCC>.3gppnetwork.org,用于鑒權(quán)漫游用戶的BSF的域名可以設(shè)置為VBSF bsf.mnc<MNC>.mcc<MCC>.3gppnetwork.org,其中<MNC>中填入的是移動(dòng)網(wǎng)絡(luò)碼(MNC),<MCC>中填入的是移動(dòng)國(guó)家碼(MCC)。如果BSF既可以用于鑒權(quán)本地用戶又可以用于鑒權(quán)漫游用戶,那么可以為該BSF設(shè)置上述兩種域名。
無(wú)論是所有BSF都可以對(duì)漫游用戶進(jìn)行鑒權(quán),還是只有其中某個(gè)或者幾個(gè)BSF用于鑒權(quán)漫游用戶,只要漫游網(wǎng)絡(luò)中存在兩個(gè)或兩個(gè)以上用于鑒權(quán)漫游用戶的BSF,為了使這些BSF能夠通過(guò)一個(gè)統(tǒng)一的接口訪問(wèn)歸屬網(wǎng)絡(luò)的簽約數(shù)據(jù)庫(kù),本發(fā)明通過(guò)設(shè)置一個(gè)用于連接所述V-BSF與漫游用戶的歸屬網(wǎng)絡(luò)的統(tǒng)一接口的B代理(B-proxy)來(lái)實(shí)現(xiàn)。該B-proxy可以是用于鑒權(quán)漫游用戶的BSF中的一個(gè)BSF中的一個(gè)功能模塊,也可以是一獨(dú)立實(shí)體。當(dāng)然,如果歸屬網(wǎng)絡(luò)中的簽約數(shù)據(jù)庫(kù)支持與多個(gè)BSF相連,且每個(gè)用于鑒權(quán)漫游用戶的BSF均單獨(dú)與歸屬網(wǎng)絡(luò)中的簽約數(shù)據(jù)庫(kù)連接,那么,可以不需要B-proxy。
圖4a是本發(fā)明漫游網(wǎng)絡(luò)中存在多個(gè)BSF時(shí),通用鑒權(quán)實(shí)體實(shí)施例一的結(jié)構(gòu)示意圖,如圖4a所示,假設(shè)漫游網(wǎng)絡(luò)中存在n個(gè)用于鑒權(quán)漫游用戶的V-BSF即V-BSF1~V-BSFn,n為大于1的正整數(shù)。V-BSF1~V-BSFn分別通過(guò)Zn接口與V-NAF相連、分別通過(guò)Zx接口與B-proxy相連;B-proxy通過(guò)Gr/Zh’接口與歸屬網(wǎng)絡(luò)中的簽約數(shù)據(jù)庫(kù)相連,這樣,V-BSF1~V-BSFn通過(guò)一個(gè)統(tǒng)一的Gr/Zh’接口訪問(wèn)歸屬網(wǎng)絡(luò)的簽約數(shù)據(jù)庫(kù);每個(gè)V-BSF均提供與漫游用戶相連接的Ub接口,漫游用戶通過(guò)Ua接口與V-NAF相連接。
圖4b是本發(fā)明漫游網(wǎng)絡(luò)中存在多個(gè)BSF時(shí),通用鑒權(quán)實(shí)體實(shí)施例二的結(jié)構(gòu)示意圖,如圖4b所示,假設(shè)漫游網(wǎng)絡(luò)中存在n個(gè)用于鑒權(quán)漫游用戶的V-BSF即V-BSF1~V-BSFn,n為大于1的正整數(shù)。V-BSF1是同時(shí)具有B-proxy作用的主V-BSF,主V-BSF具有兩個(gè)域名,一個(gè)是B-proxy的域名,另一個(gè)是V-BSF的域名,可以通過(guò)預(yù)先設(shè)置來(lái)實(shí)現(xiàn)。V-BSF2~V-BSFn分別通過(guò)Zn接口與V-NAF相連、分別通過(guò)Zx接口與主V-BSF相連;主V-BSF中的B-proxy通過(guò)Gr/Zh’接口與歸屬網(wǎng)絡(luò)中的簽約數(shù)據(jù)庫(kù)相連,這樣,V-BSF1~V-BSFn通過(guò)一個(gè)統(tǒng)一的Gr/Zh’接口訪問(wèn)歸屬網(wǎng)絡(luò)的簽約數(shù)據(jù)庫(kù);每個(gè)V-BSF均提供與漫游用戶相連接的Ub接口,漫游用戶通過(guò)Ua接口與V-NAF相連接。
以上對(duì)本發(fā)明通用鑒權(quán)系統(tǒng)的結(jié)構(gòu)組成進(jìn)行了介紹,下面結(jié)合圖2和圖5,進(jìn)一步介紹本發(fā)明訪問(wèn)該通用鑒權(quán)系統(tǒng)中的NAF的方法,圖5是本發(fā)明訪問(wèn)NAF的方法的流程圖,在由漫游用戶、位于漫游網(wǎng)絡(luò)中的通用鑒權(quán)實(shí)體和網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用組成的通用鑒權(quán)系統(tǒng)中,假設(shè)漫游用戶所屬歸屬網(wǎng)絡(luò)不支持GAA,而該漫游用戶所處漫游網(wǎng)絡(luò)支持GAA。本發(fā)明方法包括以下步驟步驟500漫游用戶接收到來(lái)自網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用的互認(rèn)證通知后,由于漫游用戶歸屬網(wǎng)絡(luò)不支持GAA,則漫游用戶通過(guò)向所處漫游網(wǎng)絡(luò)中的通用鑒權(quán)系統(tǒng)的通用鑒權(quán)實(shí)體發(fā)起互認(rèn)證請(qǐng)求。
與現(xiàn)有技術(shù)一致,漫游用戶通過(guò)向V-NAF發(fā)送連接請(qǐng)求,以請(qǐng)求實(shí)現(xiàn)業(yè)務(wù),如果該V-NAF發(fā)現(xiàn)發(fā)起連接請(qǐng)求的漫游用戶未進(jìn)行互認(rèn)證,則可以通過(guò)向該漫游用戶發(fā)出GBA指示,通知該漫游用戶執(zhí)行互認(rèn)證過(guò)程即Bootstrapping過(guò)程。
本發(fā)明中,由于漫游用戶的歸屬網(wǎng)絡(luò)不支持GAA,按照漫游網(wǎng)絡(luò)與歸屬網(wǎng)絡(luò)間預(yù)先簽訂的服務(wù)協(xié)議,漫游用戶通過(guò)漫游網(wǎng)絡(luò)中通用鑒權(quán)系統(tǒng)的通用鑒權(quán)實(shí)體進(jìn)行互認(rèn)證。
當(dāng)漫游用戶移動(dòng)至漫游網(wǎng)絡(luò)時(shí),網(wǎng)絡(luò)的移動(dòng)國(guó)家碼和移動(dòng)網(wǎng)絡(luò)碼是漫游用戶所能獲知的,具體實(shí)現(xiàn)方法為本領(lǐng)域技術(shù)人員公知技術(shù),這里不再贅述。本發(fā)明中,漫游用戶只需根據(jù)用于鑒權(quán)漫游用戶的V-BSF的域名,將漫游網(wǎng)絡(luò)的MCC碼和MNC碼加上VBSF前綴和3gppnetwork.org后綴,便得到V-BSF的地址即通用鑒權(quán)實(shí)體的互認(rèn)證地址。
另外,漫游用戶可以通過(guò)在連接請(qǐng)求中攜帶標(biāo)識(shí)自身是漫游用戶的標(biāo)志,使NAF獲知當(dāng)前用戶為漫游用戶,這樣,NAF在GBA指示中,將漫游網(wǎng)絡(luò)中通用鑒權(quán)系統(tǒng)中通用鑒權(quán)實(shí)體的互認(rèn)證地址返回漫游用戶。
步驟501所述通用鑒權(quán)實(shí)體根據(jù)所述互認(rèn)證請(qǐng)求中攜帶的用戶信息,從該漫游用戶所屬歸屬網(wǎng)絡(luò)的簽約數(shù)據(jù)庫(kù)獲取鑒權(quán)信息。
當(dāng)V-BSF收到漫游用戶的認(rèn)證請(qǐng)求后,根據(jù)該認(rèn)證請(qǐng)求中攜帶的用戶信息如身份標(biāo)識(shí),若該身份標(biāo)識(shí)不屬于本網(wǎng)絡(luò),則根據(jù)該身份標(biāo)識(shí)確定請(qǐng)求認(rèn)證的用戶的歸屬網(wǎng)絡(luò)簽約數(shù)據(jù)庫(kù)如HSS/HLR的地址,并且通過(guò)Zh/Gr接口從所述歸屬網(wǎng)絡(luò)簽約數(shù)據(jù)庫(kù)獲取該漫游用戶的鑒權(quán)信息。
步驟502所述通用鑒權(quán)實(shí)體與該用戶根據(jù)所述鑒權(quán)信息進(jìn)行互認(rèn)證并生成衍生密鑰,該漫游用戶利用該衍生密鑰訪問(wèn)當(dāng)前所處漫游網(wǎng)絡(luò)中的網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用。
漫游用戶通過(guò)UE與互認(rèn)證地址對(duì)應(yīng)的V-BSF執(zhí)行Bootstrapping過(guò)程進(jìn)行互認(rèn)證,該Bootstrapping過(guò)程成功完成后,UE和V-BSF之間互相驗(yàn)證了身份并且生成共享密鑰Ks,V-BSF為該共享密鑰Ks定義了一個(gè)有效期并分配一個(gè)B-TID給漫游用戶;V-BSF和UE分別將共享密鑰Ks,B-TID以及有效期關(guān)聯(lián)保存。當(dāng)漫游用戶要與V-NAF通信時(shí),重新向V-NAF發(fā)出連接請(qǐng)求,且請(qǐng)求消息中攜帶該B-TID,同時(shí)漫游用戶根據(jù)該共享密鑰Ks采用預(yù)設(shè)衍生算法計(jì)算出衍生密鑰。
另外為了便于區(qū)分漫游用戶和本地用戶,兩種用戶B-TID的類型也可有所區(qū)分,比如向本地用戶分配的B-TID可以是類似于base64encode(RAND)@BSF_servers_domain_name,而對(duì)漫游用戶分配的B-TID則可以通過(guò)增加字符串來(lái)指示,如base64encode(RAND)-Visited@BSF_servers_domain_name中增加“-Visited”字符串來(lái)標(biāo)識(shí)用戶為漫游用戶。
V-NAF收到連接請(qǐng)求后,如果V-NAF不能在本地查詢到該B-TID,則向V-BSF發(fā)送攜帶自身標(biāo)識(shí)和該B-TID的請(qǐng)求查詢消息進(jìn)行查詢,需要說(shuō)明的是,如果漫游網(wǎng)絡(luò)中存在多個(gè)V-BSF可以對(duì)漫游用戶進(jìn)行鑒權(quán),那么,V-NAF可以向所有能對(duì)漫游用戶進(jìn)行鑒權(quán)的V-BSF發(fā)送攜帶自身標(biāo)識(shí)和該B-TID的請(qǐng)求查詢消息進(jìn)行查詢。如果V-BSF不能在本地查詢到該B-TID,則通知V-NAF沒(méi)有該漫游用戶的信息,此時(shí),V-NAF將通知漫游用戶進(jìn)行互認(rèn)證,即返回步驟500重新執(zhí)行本方法流程;如果V-BSF查詢到該B-TID,則使用與用戶側(cè)相同的衍生算法計(jì)算共享密鑰Ks的衍生密鑰,然后向V-NAF發(fā)送成功響應(yīng)消息,該成功響應(yīng)中攜帶有所述B-TID,與該B-TID對(duì)應(yīng)的衍生密鑰,以及共享密鑰Ks的有效期。V-NAF收到來(lái)自V-BSF的成功響應(yīng)消息后,認(rèn)為該漫游用戶是執(zhí)行過(guò)互認(rèn)證的合法用戶,同時(shí)V-NAF共享了由共享密鑰Ks計(jì)算得到的衍生密鑰,該衍生密鑰與漫游用戶根據(jù)該共享密鑰Ks計(jì)算出衍生密鑰一致。用戶在后續(xù)訪問(wèn)V-NAF中利用該衍生密鑰保護(hù)二者之間的通信。
當(dāng)用戶發(fā)現(xiàn)共享密鑰Ks即將過(guò)期,或NAF要求用戶重新到BSF進(jìn)行互認(rèn)證時(shí),用戶重復(fù)上述的互認(rèn)證步驟重新到BSF進(jìn)行互認(rèn)證,以得到新的共享密鑰Ks及B-TID。
除此之外,為了保證用戶不會(huì)利用在當(dāng)前所處漫游網(wǎng)絡(luò)分配的共享密鑰Ks、生成的衍生密鑰和B-TID等安全通信用信息去訪問(wèn)另一個(gè)漫游網(wǎng)絡(luò)中的NAF,為了描述方便,將當(dāng)前所處的漫游網(wǎng)絡(luò)稱為第一漫游網(wǎng)絡(luò),將另一個(gè)漫游網(wǎng)絡(luò)稱為第二漫游網(wǎng)絡(luò)。本發(fā)明方法還可以進(jìn)一步包括用戶在離開(kāi)第一漫游網(wǎng)絡(luò)時(shí),UE刪除第一漫游網(wǎng)絡(luò)中的V-BSF分配給該用戶的共享密鑰Ks、生成的衍生密鑰和B-TID;當(dāng)然,如果第二漫游網(wǎng)絡(luò)的NAF向第一漫游網(wǎng)絡(luò)請(qǐng)求該用戶的安全通信用信息時(shí),第一漫游網(wǎng)絡(luò)的V-BSF也不會(huì)將該用戶的衍生密鑰等安全通信信息返回給該NAF。
下面結(jié)合實(shí)施例具體描述本發(fā)明方法的實(shí)現(xiàn)過(guò)程,圖6是本發(fā)明訪問(wèn)NAF的實(shí)施例一的流程圖,結(jié)合圖3a,實(shí)施例一中通用鑒權(quán)實(shí)體由V-BSF組成。假設(shè)漫游用戶通過(guò)UE在向V-NAF發(fā)出首次連接請(qǐng)求之前,還未進(jìn)行互認(rèn)證,本實(shí)施例具體包括以下步驟步驟600~步驟601漫游網(wǎng)絡(luò)中的V-NAF接收到來(lái)自漫游用戶通過(guò)UE發(fā)送的連接請(qǐng)求后,V-NAF發(fā)現(xiàn)該UE還未進(jìn)行互認(rèn)證,則向該UE發(fā)出GBA指示,通知該UE執(zhí)行互認(rèn)證過(guò)程即Bootstrapping過(guò)程。
本步驟的具體實(shí)現(xiàn)與現(xiàn)有技術(shù)完全一致,這里不再贅述。
步驟602~步驟604UE向漫游網(wǎng)絡(luò)中的V-BSF發(fā)送攜帶用戶信息的認(rèn)證請(qǐng)求,V-BSF根據(jù)用戶信息,確定該UE所屬歸屬網(wǎng)絡(luò)簽約數(shù)據(jù)庫(kù)地址,并從用戶簽約數(shù)據(jù)庫(kù)中獲取該UE的鑒權(quán)信息。
本步驟中,假設(shè)漫游用戶已獲知漫游網(wǎng)絡(luò)的MCC碼和MNC碼,而且根據(jù)用于鑒權(quán)漫游用戶的V-BSF的域名,將漫游網(wǎng)絡(luò)的MCC碼和MNC碼加上VBSF前綴和“3gppnetwork.org”后綴。
步驟605~步驟606UE與V-BSF之間進(jìn)行互鑒權(quán)和密鑰協(xié)商過(guò)程即互認(rèn)證過(guò)程,UE和V-BSF之間互相驗(yàn)證了身份并且生成共享密鑰Ks,V-BSF為該共享密鑰Ks定義了一個(gè)有效期并分配一個(gè)B-TID給漫游用戶;V-BSF和UE分別將共享密鑰Ks,B-TID以及有效期關(guān)聯(lián)保存;UE根據(jù)該共享密鑰Ks采用預(yù)設(shè)衍生算法計(jì)算出衍生密鑰并保存。
如果需要區(qū)分本地用戶和漫游用戶,那么兩種用戶B-TID的類型也可有所區(qū)分。比如向本地用戶分配的B-TID可以是類似于base64encode(RAND)@BSF_servers_domain_name,而對(duì)漫游用戶分配的B-TID則可以通過(guò)增加字符串來(lái)指示,如base64encode(RAND)-Visited@BSF_servers_domain_name中增加“-Visited”字符串來(lái)標(biāo)識(shí)用戶為漫游用戶。
步驟607~步驟609UE將獲得的B-TID攜帶在連接請(qǐng)求中,向V-NAF發(fā)起業(yè)務(wù)請(qǐng)求;V-NAF向V-BSF發(fā)送攜帶自身標(biāo)識(shí)(V-NAF ID)和該B-TID的請(qǐng)求查詢消息查詢?cè)揢E的衍生密鑰;V-BSF根據(jù)請(qǐng)求查詢消息中攜帶的B-TID,若自身存在與該B-TID關(guān)聯(lián)存儲(chǔ)的共享密鑰Ks,則根據(jù)該共享密鑰Ks,采用與用戶側(cè)相同的預(yù)設(shè)衍生算法計(jì)算出衍生密鑰。
本步驟中,若V-BSF中不存在與該B-TID關(guān)聯(lián)存儲(chǔ)的共享密鑰Ks,則通知V-NAF沒(méi)有該UE的認(rèn)證信息。
另外,本步驟中,假設(shè)V-NAF不能在本地查詢到該B-TID,則V-NAF向V-BSF發(fā)起請(qǐng)求查詢消息,否則,可以省略請(qǐng)求查詢消息,這點(diǎn)與現(xiàn)有技術(shù)一致。
步驟610~步驟611V-BSF將生成的衍生密鑰、所述B-TID及與該B-TID關(guān)聯(lián)存儲(chǔ)的有效期攜帶在請(qǐng)求查詢響應(yīng)消息中返回給V-NAF;V-NAF采用各自已獲得的衍生密鑰進(jìn)行安全通信。
圖7是本發(fā)明訪問(wèn)NAF的實(shí)施例二的流程圖,結(jié)合圖3b,實(shí)施例二中通用鑒權(quán)實(shí)體由V-BSF和SGSN組成,與圖6所示的實(shí)施例一相比,實(shí)施例二有兩個(gè)處理不同,一是UE獲取通用鑒權(quán)系統(tǒng)中的互認(rèn)證地址的方法不同;二是通用鑒權(quán)系統(tǒng)中通用鑒權(quán)實(shí)體的組成不同。假設(shè)漫游用戶通過(guò)UE在向V-NAF發(fā)出首次連接請(qǐng)求之前,還未進(jìn)行互認(rèn)證,本實(shí)施例具體包括以下步驟步驟700~步驟701漫游網(wǎng)絡(luò)中的V-NAF接收到來(lái)自漫游用戶通過(guò)UE發(fā)送的連接請(qǐng)求后,V-NAF發(fā)現(xiàn)該UE還未進(jìn)行互認(rèn)證,則向該UE發(fā)出GBA指示,通知該UE執(zhí)行互認(rèn)證過(guò)程即Bootstrapping過(guò)程。
本步驟中,假設(shè)UE在連接請(qǐng)求中攜帶有標(biāo)識(shí)自身是漫游用戶的標(biāo)志,因此,在NAF獲知該UE為漫游用戶后,將通用鑒權(quán)系統(tǒng)中通用鑒權(quán)實(shí)體的互認(rèn)證地址攜帶在GBA指示中返回給UE。
步驟702~步驟704UE向獲得的互認(rèn)證地址對(duì)應(yīng)的V-BSF發(fā)送攜帶用戶信息的認(rèn)證請(qǐng)求,V-BSF根據(jù)用戶信息,確定該UE所屬歸屬網(wǎng)絡(luò)的用戶簽約數(shù)據(jù)庫(kù)地址,并通過(guò)SGSN從用戶簽約數(shù)據(jù)庫(kù)中獲取該UE的鑒權(quán)信息。
步驟705~步驟711的具體實(shí)現(xiàn)與實(shí)施例一中步驟605~步驟611完全一致,這里不再重述。
以上所述,僅為本發(fā)明的較佳實(shí)施例而已,并非用于限定本發(fā)明的保護(hù)范圍,凡在本發(fā)明的精神和原則之內(nèi)所做的任何修改、等同替換、改進(jìn)等,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。
權(quán)利要求
1.一種通用鑒權(quán)系統(tǒng),其特征在于,該系統(tǒng)包括漫游用戶、漫游網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用V-NAF實(shí)體、及用于實(shí)現(xiàn)與漫游用戶的互認(rèn)證的通用鑒權(quán)實(shí)體,其中,所述漫游用戶接收來(lái)自所述V-NAF實(shí)體的互認(rèn)證通知,向所述通用鑒權(quán)實(shí)體發(fā)起互認(rèn)證請(qǐng)求;所述通用鑒權(quán)實(shí)體接收來(lái)自漫游用戶的互認(rèn)證請(qǐng)求,與該漫游用戶進(jìn)行互認(rèn)證,互認(rèn)證后該漫游用戶訪問(wèn)所述網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用。
2.根據(jù)權(quán)利要求1所述的系統(tǒng),其特征在于,該系統(tǒng)具體包括所述V-NAF實(shí)體,接收來(lái)自漫游用戶的連接請(qǐng)求,通知該漫游用戶進(jìn)行互認(rèn)證或者向所述通用鑒權(quán)實(shí)體查詢?cè)撀斡脩舻难苌荑€;接收來(lái)自所述通用鑒權(quán)實(shí)體的衍生密鑰,并利用該衍生密鑰與所述漫游用戶進(jìn)行通信;所述漫游用戶,向所述V-NAF實(shí)體發(fā)送連接請(qǐng)求;接收來(lái)自V-NAF實(shí)體的互認(rèn)證通知,向所述通用鑒權(quán)實(shí)體發(fā)送互認(rèn)證請(qǐng)求,與所述通用鑒權(quán)實(shí)體實(shí)現(xiàn)互認(rèn)證并生成衍生密鑰;利用生成的衍生密鑰與所述V-NAF實(shí)體進(jìn)行通信;所述通用鑒權(quán)實(shí)體,接收來(lái)自所述漫游用戶的互認(rèn)證請(qǐng)求,通過(guò)自身與漫游用戶所屬歸屬網(wǎng)絡(luò)的簽約數(shù)據(jù)庫(kù)的連接,獲取所述通用鑒權(quán)實(shí)體與所述漫游用戶進(jìn)行互認(rèn)證所需的鑒權(quán)信息,并實(shí)現(xiàn)與該漫游用戶的互認(rèn)證;接收來(lái)自所述V-NAF實(shí)體的查詢請(qǐng)求,生成衍生密鑰并發(fā)送給所述V-NAF。
3.根據(jù)權(quán)利要求2所述的系統(tǒng),其特征在于,所述通用鑒權(quán)實(shí)體為位于所述漫游網(wǎng)絡(luò)中的執(zhí)行用戶身份初始檢查驗(yàn)證的Bootstrapping服務(wù)功能V-BSF實(shí)體。
4.根據(jù)權(quán)利要求3所述的系統(tǒng),其特征在于,所述漫游用戶所屬歸屬網(wǎng)絡(luò)的簽約數(shù)據(jù)庫(kù)為歸屬用戶服務(wù)器HSS,所述V-BSF實(shí)體與所述HSS間通過(guò)Zh接口采用Diameter協(xié)議連接;或用戶所屬歸屬網(wǎng)絡(luò)的簽約數(shù)據(jù)庫(kù)為歸屬位置寄存器HLR,所述V-BSF實(shí)體與所述HLR間通過(guò)Gr接口連接。
5.根據(jù)權(quán)利要求2所述的系統(tǒng),其特征在于,所述通用鑒權(quán)實(shí)體包括位于所述漫游網(wǎng)絡(luò)中的服務(wù)GPRS支持節(jié)點(diǎn)SGSN,及執(zhí)行用戶身份初始檢查驗(yàn)證的Bootstrapping服務(wù)功能V-BSF實(shí)體。
6.根據(jù)權(quán)利要求5所述的系統(tǒng),其特征在于,所述漫游用戶所屬歸屬網(wǎng)絡(luò)的簽約數(shù)據(jù)庫(kù)為HSS/HLR,所述SGSN與所述HLR/HSS間通過(guò)Gr接口連接,所述V-BSF實(shí)體與所述SGSN間通過(guò)Zx接口連接。
7.根據(jù)權(quán)利要求3所述的系統(tǒng),其特征在于,所述V-BSF實(shí)體為兩個(gè)或兩個(gè)以上,所述通用鑒權(quán)實(shí)體還包括用于連接所有V-BSF實(shí)體與漫游用戶所屬歸屬網(wǎng)絡(luò)的B代理B-proxy。
8.根據(jù)權(quán)利要求7所述的系統(tǒng),其特征在于,所述各V-BSF實(shí)體與所述B-proxy間通過(guò)Zx接口連接;所述漫游用戶所屬歸屬網(wǎng)絡(luò)的簽約數(shù)據(jù)庫(kù)為HSS,所述B-proxy與所述HSS間通過(guò)Zh’接口連接;或用戶所屬歸屬網(wǎng)絡(luò)的簽約數(shù)據(jù)庫(kù)為HLR,所述B-proxy與所述HLR間通過(guò)Gr接口連接。
9.根據(jù)權(quán)利要求7所述的系統(tǒng),其特征在于,所述B-proxy為獨(dú)立實(shí)體,或?yàn)樗蠽-BSF實(shí)體中任一V-BSF實(shí)體中的一個(gè)功能模塊。
10.根據(jù)權(quán)利要求3所述的系統(tǒng),其特征在于,所述V-BSF實(shí)體為兩個(gè)或兩個(gè)以上,所有V-BSF實(shí)體中指定一個(gè)V-BSF實(shí)體為主V-BSF實(shí)體;所述主V-BSF實(shí)體包括用于連接V-BSF實(shí)體與漫游用戶所屬歸屬網(wǎng)絡(luò)的B代理B-proxy。
11.根據(jù)權(quán)利要求10所述的系統(tǒng),其特征在于,所述主V-BSF與所述剩余V-BSF間通過(guò)Zx接口連接;所述用戶所屬歸屬網(wǎng)絡(luò)的簽約數(shù)據(jù)庫(kù)為HSS,所述B-proxy與所述HSS間通過(guò)Zh’接口連接;或用戶所屬歸屬網(wǎng)絡(luò)的簽約數(shù)據(jù)庫(kù)為HLR,所述B-proxy與所述HLR間通過(guò)Gr接口連接。
12.根據(jù)權(quán)利要求4、6、8或11所述的系統(tǒng),其特征在于,所述V-BSF實(shí)體與所述V-NAF實(shí)體通過(guò)Zn接口連接,所述漫游用戶通過(guò)Ub接口與所述V-BSF實(shí)體連接、通過(guò)Ua接口與所述V-NAF實(shí)體連接。
13.一種訪問(wèn)通用鑒權(quán)系統(tǒng)中網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用NAF實(shí)體的方法,所述通用鑒權(quán)系統(tǒng)包括漫游用戶、漫游網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用V-NAF實(shí)體、及用于實(shí)現(xiàn)與漫游用戶的互認(rèn)證和向V-NAF實(shí)體提供衍生密鑰的通用鑒權(quán)實(shí)體,其特征在于,該方法包括以下步驟A.所述漫游用戶接收到來(lái)自所述V-NAF實(shí)體的互認(rèn)證通知后,向所述通用鑒權(quán)實(shí)體發(fā)起互認(rèn)證請(qǐng)求;B.所述通用鑒權(quán)實(shí)體根據(jù)所述互認(rèn)證請(qǐng)求中攜帶的用戶信息,從該漫游用戶所屬歸屬網(wǎng)絡(luò)的簽約數(shù)據(jù)庫(kù)獲取鑒權(quán)信息;C.所述通用鑒權(quán)實(shí)體與該漫游用戶根據(jù)所述鑒權(quán)信息進(jìn)行互認(rèn)證后,該漫游用戶訪問(wèn)所述網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用。
14.根據(jù)權(quán)利要求13所述的方法,其特征在于,步驟A中所述漫游用戶接收到互認(rèn)證通知之后,向通用鑒權(quán)實(shí)體發(fā)起互認(rèn)證請(qǐng)求之前,該方法進(jìn)一步包括所述漫游用戶通過(guò)已獲知的所述漫游網(wǎng)絡(luò)的移動(dòng)國(guó)家碼和移動(dòng)網(wǎng)絡(luò)碼獲取通用鑒權(quán)實(shí)體的互認(rèn)證地址;或者所述漫游用戶在發(fā)送給所述V-NAF實(shí)體的連接請(qǐng)求中攜帶標(biāo)識(shí)自身是漫游用戶的標(biāo)志,所述V-NAF實(shí)體獲知當(dāng)前用戶為漫游用戶且判定該漫游用戶未進(jìn)行互認(rèn)證后,將漫游網(wǎng)絡(luò)中通用鑒權(quán)實(shí)體的互認(rèn)證地址攜帶在GBA指示中返回給所述漫游用戶。
15.根據(jù)權(quán)利要求13所述的方法,其特征在于,步驟C具體包括C1.所述漫游用戶與所述V-BSF實(shí)體間互相驗(yàn)證身份并生成共享密鑰Ks,所述V-BSF實(shí)體為該共享密鑰Ks定義有效期并分配B-TID,所述V-BSF實(shí)體和所述漫游用戶分別將所述共享密鑰Ks,B-TID以及有效期關(guān)聯(lián)保存;C2.所述漫游用戶將所述B-TID攜帶連接請(qǐng)求中并發(fā)送給所述V-NAF實(shí)體,同時(shí)所述漫游用戶根據(jù)該共享密鑰Ks采用預(yù)設(shè)衍生算法計(jì)算出衍生密鑰;C3.所述V-NAF實(shí)體根據(jù)接收到連接請(qǐng)求,若自身不能在本地查詢到所述B-TID,則將自身標(biāo)識(shí)和所述B-TID攜帶在請(qǐng)求查詢消息中并發(fā)送給所述V-BSF實(shí)體;C4.若所述V-BSF實(shí)體查詢到所述B-TID,并使用與用戶側(cè)相同的衍生算法計(jì)算共享密鑰Ks的衍生密鑰,并將所述B-TID,及生成的衍生密鑰攜帶在成功響應(yīng)消息中并發(fā)送給所述V-NAF實(shí)體,所述漫游用戶與所述V-NAF實(shí)體間采用所述衍生密鑰進(jìn)行通信。
16.根據(jù)權(quán)利要求15所述的方法,其特征在于步驟C4中,若所述V-BSF實(shí)體不能在本地查詢到所述B-TID,則所述V-BSF實(shí)體通知所述V-NAF實(shí)體未查詢到所述漫游用戶的信息;所述V-NAF實(shí)體通知所述漫游用戶返回重新執(zhí)行步驟A。
17.根據(jù)權(quán)利要求15所述的方法,其特征在于步驟C3中,若所述V-BSF實(shí)體為兩個(gè)或兩個(gè)以上,則所述V-NAF實(shí)體向所有V-BSF實(shí)體發(fā)送攜帶自身標(biāo)識(shí)和所述B-TID的請(qǐng)求查詢消息進(jìn)行查詢。
18.根據(jù)權(quán)利要求13所述的方法,其特征在于,所述漫游用戶所屬歸屬網(wǎng)絡(luò)的簽約數(shù)據(jù)庫(kù)為HSS/HLR。
19.根據(jù)權(quán)利要求13所述的方法,其特征在于,該方法進(jìn)一步包括所述漫游用戶離開(kāi)所述漫游網(wǎng)絡(luò)時(shí),所述UE刪除分配給該漫游用戶的共享密鑰Ks、所述衍生密鑰及B-TID。
20.根據(jù)權(quán)利要求13所述的方法,其特征在于,該方法進(jìn)一步包括所述漫游用戶移動(dòng)至另一漫游網(wǎng)絡(luò)中,若另一漫游網(wǎng)絡(luò)中的NAF實(shí)體向所述漫游網(wǎng)絡(luò)請(qǐng)求所述漫游用戶的安全通信用信息,所述漫游網(wǎng)絡(luò)中的V-BSF實(shí)體拒絕將該漫游用戶的衍生密鑰返回給另一漫游網(wǎng)絡(luò)中的NAF實(shí)體。
全文摘要
本發(fā)明公開(kāi)了一種通用鑒權(quán)系統(tǒng),該系統(tǒng)包括漫游用戶、位于漫游網(wǎng)絡(luò)中的通用鑒權(quán)實(shí)體和網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用。本發(fā)明還公開(kāi)了一種訪問(wèn)所述通用鑒權(quán)系統(tǒng)中網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用的方法,對(duì)于漫游用戶具備GBA功能,該漫游用戶所屬歸屬網(wǎng)絡(luò)不支持通用鑒權(quán)框架(GAA),而該漫游用戶所處漫游網(wǎng)絡(luò)支持GAA的情況,該方法實(shí)現(xiàn)了漫游用戶在漫游網(wǎng)絡(luò)中完成互認(rèn)證過(guò)程,從而實(shí)現(xiàn)了訪問(wèn)漫游網(wǎng)絡(luò)中的NAF服務(wù)。
文檔編號(hào)H04L9/32GK101026453SQ200610008040
公開(kāi)日2007年8月29日 申請(qǐng)日期2006年2月23日 優(yōu)先權(quán)日2006年2月23日
發(fā)明者楊艷梅 申請(qǐng)人:華為技術(shù)有限公司