一個或多個網(wǎng)絡(luò)接口用于為來自用戶設(shè)備的輸入連接進行服務(wù)的情況下,本發(fā)明的實施例是適用的。這是公共(或者外部)網(wǎng)絡(luò)接口,而且經(jīng)由Ua接口。一個網(wǎng)絡(luò)接口用于連接到比如BSF這樣的運營商服務(wù),也就是經(jīng)由NAF 29與BSF 28之間的Zn接口的內(nèi)部網(wǎng)絡(luò)接口。
[0029]由NAF在DIAMETER消息中將在Zn接口中內(nèi)部網(wǎng)絡(luò)接口的地址添加到例如“源主機”字段。本發(fā)明的實施例將NAF的外部網(wǎng)絡(luò)接口地址,也就是公共地址從NAF傳達到BSF。這可以通過使用AVP (屬性值對)將該信息從NAF 29傳送到BSF來實現(xiàn)。如前所述,由于BSF從用戶設(shè)備所用的NAF的完全限定域名(FQDN)(也就是NAF的公共地址)導(dǎo)出NAF專用密鑰(Ks_NAF),所以外部地址或者公共地址由BSF使用。BSF檢驗由Zn接口中使用的內(nèi)部地址(NAF_id_Zn)所標(biāo)識的NAF被授權(quán)使用在Ua接口中使用的外部地址(NAF_id_Ua)。
[0030]在本發(fā)明的實施例中,NAF在第一消息中發(fā)送NAF_Id_Ua,并且接收作為響應(yīng)的確認(rèn)(或者錯誤)消息。可以同時傳送WD,也可以不這樣。對應(yīng)的響應(yīng)因此可以僅涉及公共NAF標(biāo)識符和內(nèi)部NAF標(biāo)識符的映射。在本發(fā)明的實施例中,將公共NAF標(biāo)識符和內(nèi)部NAF標(biāo)識符發(fā)送到BSF,BSF檢驗它們之間的映射,而且使用公共NAF標(biāo)識符導(dǎo)出NAF專用密鑰。
[0031]現(xiàn)在將參照圖2,該圖示出了在本發(fā)明的一個實施例中的第一信號流。圖2示出了經(jīng)由Zn接口在NAF 29與BSF 28之間的消息接發(fā)細節(jié)。在發(fā)生Zn接口消息接發(fā)之前,用戶設(shè)備已經(jīng)通過Ua接口向NAF請求服務(wù)。利用這一請求,用戶設(shè)備已經(jīng)給出TID (事務(wù)標(biāo)識符)以及可能還有用戶標(biāo)識符WD。用戶標(biāo)識符可以在隨后的消息中從用戶設(shè)備傳送到NAF。圖2描述了在同一消息中將TID和UID從用戶設(shè)備發(fā)送到NAF的情況。
[0032]在步驟Ia 中,NAF 29 將 TID、NAF_id_UA 和 UID 發(fā)送到 BSF28。BSF 驗證 TID 到 UID的映射以及NAF_id_Zn到NAF_id_Ua的映射。NAF_id_Ua可以例如從源主機AVP獲得。換句話說,BSF檢驗由內(nèi)部地址標(biāo)識的NAF被授權(quán)使用外部地址。如果這些驗證成功,則BSF使用 NAF_id_UA 導(dǎo)出 Ks_NAF。
[0033]在步驟2a中,BSF將Ks_NAF和NAF專用用戶安全設(shè)置“USS”發(fā)送到NAF 29。在本發(fā)明的一些實施例中,NAF可以沒有USS,因此USS AVP是可選的。在接收Ks_NAF之后,NAF可以完成驗證過程,并且假設(shè)WD是正確的。如果沒有找到TID而且TID到UID或者NAF_id_UA驗證失敗,則BSF應(yīng)當(dāng)將錯誤消息返回給NAF。
[0034]在NAF被授權(quán)驗證多個TID到HD的映射情況下,它可以在步驟3a中將包含TID和另一 UID的附加請求發(fā)送到BSF。在接收TID和UID時,BSF 28應(yīng)當(dāng)驗證TID到UID的映射,并且將結(jié)果返回到NAF 29。這在步驟4a中發(fā)生。在NAF被授權(quán)驗證多個TID到WD的映射時,BSF應(yīng)當(dāng)僅執(zhí)行該操作。在這一情況下,NAF可以多次重復(fù)步驟3a和步驟4a。
[0035]現(xiàn)在將參照圖3,該圖示出了在不同消息中接收TID和WD的情況。例如,TID發(fā)送到針對WD的NAF。
[0036]在步驟Ib 中,NAF 29 將 TID 和 NAF_ID_Ua 發(fā)送到 BSF。BSF 應(yīng)當(dāng)驗證 NAF_id_Zn到NAF_id_Ua的映射。如果這一驗證成功,則BSF使用NAF_id_Ua導(dǎo)出Ks_NAF。
[0037]在步驟2b中,BSF將Ks_NAF和NAF專用USS發(fā)送到NAF。同樣,NAF可以沒有USS,因此USS AVP是可選的。在接收Ks_NAF之后,NAF 29可以完成認(rèn)證過程。如果沒有找到TID或者NAF_id_Ua驗證失敗,則BSF 28將錯誤消息返回給NAF。
[0038]在步驟3b之前,NAF已經(jīng)從用戶設(shè)備接收了 WD。在步驟3b中,NAF發(fā)送TID和UID以用于驗證。BSF在步驟4b中提供這一驗證的結(jié)果。該過程與圖2的消息3a和4a中相同。在這一情況下,允許NAF在單獨的消息中驗證TID到UID的映射。在步驟Ib和2b中不驗證WD。在NAF被授權(quán)驗證多個TID到WD的映射情況下,它可以在步驟5b中將另一請求發(fā)送到BSF,并且在步驟6b中獲得驗證結(jié)果。這些步驟對應(yīng)于圖2的步驟4a和步驟4b。步驟5b和步驟6b可以重復(fù)多次。如果在BSF數(shù)據(jù)庫中沒有找到TID,如果無法驗證NAF_id_Ua和NAF_id_Zn的映射,或者如果無法驗證TID和UID的映射,則將錯誤消息從BSF發(fā)送到NAF。
[0039]因此,本發(fā)明的實施例允許NAF通過UA接口將用戶設(shè)備所使用的NAF標(biāo)識符發(fā)送到BSF,使得BSF能夠?qū)С鯧s_NAF。
【主權(quán)項】
1.一種用于驗證網(wǎng)絡(luò)應(yīng)用功能實體的第一標(biāo)識和第二標(biāo)識的設(shè)備,包括: 用于在所述設(shè)備處接收所述網(wǎng)絡(luò)應(yīng)用功能實體的第一標(biāo)識的信息的裝置; 用于在所述設(shè)備處從所述網(wǎng)絡(luò)應(yīng)用功能實體接收所述網(wǎng)絡(luò)應(yīng)用功能實體的第二標(biāo)識的信息的裝置; 用于驗證所述第一標(biāo)識和所述第二標(biāo)識之間的映射,以驗證所述第一標(biāo)識與所述第二標(biāo)識是否均屬于所述網(wǎng)絡(luò)應(yīng)用功能實體的裝置;以及 用于響應(yīng)于驗證成功而使用包括公共標(biāo)識的、所述第一標(biāo)識的信息和所述第二標(biāo)識的信息之一來生成密鑰的裝置,其中所述設(shè)備包括自舉功能實體。2.如權(quán)利要求1所述的設(shè)備,其中生成所述密鑰的所述裝置包括用于從所述第二標(biāo)識生成所述密鑰的裝置。3.如權(quán)利要求1所述的設(shè)備,其中所述第一標(biāo)識包括公共標(biāo)識并且所述第二包括私有標(biāo)識。4.如權(quán)利要求1所述的設(shè)備,其中所述第一標(biāo)識包括私有標(biāo)識并且所述第二標(biāo)識包括公共標(biāo)識。5.如權(quán)利要求1所述的設(shè)備,其中接收所述第一標(biāo)識信息的所述裝置包括用于從用戶設(shè)備接收所述第一標(biāo)識的裝置。6.如權(quán)利要求1至5的任一權(quán)利要求所述的設(shè)備,進一步包括用于在與用于接收所述第一標(biāo)識的消息相同的消息中接收事務(wù)標(biāo)識符的裝置。7.如權(quán)利要求1至5的任一權(quán)利要求所述的設(shè)備,進一步包括用于在與用于接收所述第一標(biāo)識的消息不同的消息中接收事務(wù)標(biāo)識符的裝置。8.如權(quán)利要求1至5的任一權(quán)利要求所述的設(shè)備,其中所述密鑰包括認(rèn)證密鑰。9.如權(quán)利要求1至5的任一權(quán)利要求所述的設(shè)備,進一步包括用于將所述密鑰發(fā)送到所述網(wǎng)絡(luò)應(yīng)用功能實體的裝置。10.如權(quán)利要求1至5的任一權(quán)利要求所述的設(shè)備,進一步包括用于如果所述驗證不成功則執(zhí)行將錯誤消息發(fā)送到所述網(wǎng)絡(luò)應(yīng)用功能實體的裝置。11.如權(quán)利要求1至5的任一權(quán)利要求所述的設(shè)備,進一步包括用于驗證事務(wù)標(biāo)識符到用戶標(biāo)識符的映射的裝置。12.如權(quán)利要求11所述的設(shè)備,其中多個事務(wù)標(biāo)識符被映射到用戶標(biāo)識符,并且所述驗證針對每個事務(wù)標(biāo)識符到用戶標(biāo)識符的映射依次被執(zhí)行。13.如權(quán)利要求3所述的設(shè)備,其中所述公共標(biāo)識為所述網(wǎng)絡(luò)應(yīng)用功能實體的外部接口地址。14.如權(quán)利要求4所述的設(shè)備,其中所述私有標(biāo)識為所述網(wǎng)絡(luò)應(yīng)用功能實體的內(nèi)部接口地址。
【專利摘要】用于驗證實體的第一標(biāo)識和第二標(biāo)識的設(shè)備和方法,該設(shè)備包括:用于在所述設(shè)備處接收網(wǎng)絡(luò)應(yīng)用功能實體的第一標(biāo)識的信息的裝置;用于在所述設(shè)備處從網(wǎng)絡(luò)應(yīng)用功能實體接收該網(wǎng)絡(luò)應(yīng)用功能實體的第二標(biāo)識的信息的裝置;用于驗證第一標(biāo)識和第二標(biāo)識之間的映射,以驗證第一標(biāo)識與第二標(biāo)識是否均屬于網(wǎng)絡(luò)應(yīng)用功能實體的裝置;以及用于響應(yīng)于驗證成功而使用包括公共標(biāo)識的、第一標(biāo)識信息和第二標(biāo)識信息之一來生成密鑰的裝置,其中所述設(shè)備包括自舉功能實體。
【IPC分類】H04L29/06, H04L12/56, H04L9/32
【公開號】CN104954391
【申請?zhí)枴緾N201510428996
【發(fā)明人】珀克卡·萊蒂南
【申請人】諾基亞公司
【公開日】2015年9月30日
【申請日】2005年4月28日
【公告號】CN1943203A, CN1943203B, EP1741268A1, US8107623, US20050246548, WO2005107214A1