訪問端和業務應用實體建立信任關係的方法
2023-09-22 01:06:15 2
專利名稱:訪問端和業務應用實體建立信任關係的方法
技術領域:
本發明涉及第三代無線通信技術領域,特別是指訪問端和業務應用實體建立信任關係的方法。
背景技術:
在第三代無線通信標準中,通用鑑權框架是多種應用業務實體使用的一個用於完成對用戶身份進行驗證的通用結構,應用通用鑑權框架可實現對應用業務的用戶終端進行檢查和身份驗證。上述多種應用業務可以是多播/廣播業務、用戶證書業務、信息即時提供業務等,也可以是代理業務。當然,對於以後新開發的業務也可以應用通用鑑權框架對應用業務的UE進行檢查和身份驗證。
圖1所示為通用鑑權框架的結構示意圖。通用鑑權框架通常由用戶終端101、執行用戶身份初始檢查驗證的實體(BSF)102、用戶歸屬網絡伺服器(HSS)103和網絡應用實體(NAF)104組成。BSF 102用於與用戶終端(UE)101進行身份互驗證,同時生成BSF 102與用戶終端101的共享密鑰;HSS103中存儲有用於描述用戶信息的描述(Profile)文件,同時HSS 103還兼有產生鑑權信息的功能。
UE需要使用某種業務時,如果其通過該業務的使用說明或是其他渠道知道需要與BSF進行互鑑權,則直接與BSF聯繫以進行互鑑權,否則,UE會首先和該業務對應的NAF聯繫,如果該NAF應用通用鑑權框架且需要UE與BSF進行身份驗證,則通知UE應用通用鑑權框架進行身份驗證,否則進行其它相應處理。
UE與BSF之間的互認證過程是BSF接到來自UE的鑑權請求後,首先從HSS獲取該UE的鑑權信息,然後與UE執行鑑權和密鑰協商協議(AKA)以進行互鑑權。認證成功後,UE和BSF之間互相認證了身份並且同時生成了共享密鑰Ks。之後,BSF分配一個會話事務標識(B-TID)給UE,該B-TID是與Ks相關聯的。
UE收到這個B-TID後,重新向NAF發出連接請求,且請求消息中攜帶了該B-TID。NAF收到請求後,先在本地查詢是否有UE攜帶的該B-TID,如果NAF不能在本地查詢到該B-TID,則向BSF進行查詢,該請求查詢消息中攜帶了NAF標識和B-TID。如果BSF不能在本地查詢到該B-TID,則通知NAF沒有該UE的信息,此時,NAF將通知UE到BSF進行認證鑑權。如果BSF查詢到該B-TID後,則給NAF發送成功的響應消息,該成功的響應中包括NAF所需的B-TID,與該B-TID對應的密鑰,以及BSF為該密鑰設置的有效期限。NAF收到BSF的成功響應消息後,就認為該UE是經過BSF認證的合法的UE,此時NAF和UE也共享了密鑰,與此同時,NAF和UE之間建立起了信任關係。NAF和UE在密鑰的保護下進行正常的業務通信。
當UE發現Ks即將過期,或NAF要求UE重新到BSF進行鑑權時,UE就會重複上述的步驟重新到BSF進行鑑權,以得到新的密鑰Ks及B-TID。
上述是以UE作為一訪問端進行說明的,當然,另一NAF也可以作為訪問端,其處理過程與UE的處理方式相同,在此不再重複說明。也就是說,訪問端可以是用戶終端(UE),也可以是另外一個NAF。
從上述處理過程可以看出,只要NAF能夠查詢到業務請求中所攜帶的B-TID,就認為該訪問端是合法的,同時也就和該訪問端建立了信任關係。但是,從另一個角度看,NAF只能通過查詢B-TID的方式來確認訪問端是否合法,即NAF只能通過查詢B-TID的方式對訪問端進行認證,這對於現有的能夠提供多種服務的NAF而言,其對訪問端的認證方式非常不靈活。當由第三方提供應用服務時,這種局限尤為明顯,其根本不能滿足市場的需求。
另外,在3G新增的絕大多數業務都會使用通用鑑權框架,這時如果每個訪問端在每次使用一個新的業務時都要和相應的NAF進行聯繫,以確認是否需要通用鑑權框架的鑑權,其過程是相當繁瑣的,而且也增加了網絡的負荷。
發明內容
有鑑於此,本發明的目的在於提供一種訪問端和業務應用實體建立信任關係的方法,使NAF能夠靈活地選擇對訪問端的認證方式。
為達到上述目的,本發明的技術方案是這樣實現的一種訪問端和業務應用實體建立信任關係的方法,該方法包括以下步驟業務應用實體NAF接收到來自訪問端的業務請求後,查詢預先配置的認證方式信息,選定當前的認證方式,並應用該選定的認證方式對訪問端進行認證,認證成功後建立起與該訪問端的信任關係。
較佳地,訪問端向NAF發送業務請求之前,該方法進一步包括訪問端判斷自身是否已獲取會話事務標識B-TID,如果是,則直接向NAF發送包含B-TID的業務請求,否則,訪問端向執行用戶身份初始檢查驗證實體BSF發送鑑權請求,鑑權成功後從BSF獲取B-TID,然後再向NAF發送包含B-TID的業務請求。
較佳地,所述NAF接收到的業務請求中包含訪問端的安全級別信息,或訪問端期望的安全級別信息;所述認證方式信息中包含是否對所有的訪問端均使用相同認證方式的標識,與該標識對應的認證方式代碼,以及訪問端的安全級別與認證方式代碼的對應關係;所述NAF查詢預先配置的認證方式信息,選定當前認證方式的過程為查詢認證方式信息中是否標識對所有的訪問端均使用相同的認證方式,如果是,則根據認證方式信息中與該標識對應的認證方式代碼,選定該代碼所對應的認證方式為當前的認證方式,否則,根據訪問端的安全級別信息,查詢認證方式信息中與訪問端的安全級別所對應認證方式的代碼,選定該代碼所對應的認證方式為當前的認證方式。
較佳地,所述認證方式為利用通用鑑權框架的鑑權結果通過查詢B-TID的方式對訪問端進行認證,或利用預設的認證方式對訪問端進行認證,或分別利用上述兩種方式對訪問端進行認證。
較佳地,所述預設的認證方式包括但不限於公私鑰證書的認證方式,密碼摘要的認證方式。
較佳地,所述認證方式信息包括但不限於以列表的形式存在。
較佳地,所述認證方式信息中包含NAF所支持的每種認證方式的優先級信息;所述NAF查詢預先配置的認證方式信息,選定當前認證方式的過程為NAF根據自身已設置的優先級信息,選擇與自身當前優先級相對應的且自身支持的認證方式作為當前選定的認證方式。
較佳地,所述認證方式為利用通用鑑權框架的鑑權結果通過查詢B-TID的方式對訪問端進行認證,或利用預設的認證方式對訪問端進行認證,或分別利用上述兩種方式對訪問端進行認證。
較佳地,該方法進一步包括根據用戶需要通過操作維護臺更改預先配置的認證方式信息。
較佳地,所述訪問端為用戶終端UE或NAF。
應用本發明,NAF能夠靈活地選擇並應用不同的認證對訪問端進行認證,從而最大限度地滿足了市場需求。另外,由於訪問端向NAF所發的業務請求中都包含了B-TID信息,因而避免了訪問端與NAF之間不必要的信令交互,節省了交互過程,減輕了網絡負荷,節約了網絡資源。
圖1所示為通用鑑權框架的結構示意圖;
圖2所示為應用本發明一實施例的流程示意圖。
具體實施例方式
下面結合具體實施例及附圖再對本發明做進一步地詳細說明。
圖2所示為應用本發明一實施例的流程示意圖。在本實施例中訪問端為UE。
步驟201,UE使用某種業務前,判斷自身是否已保存有有效的B-TID,如果是,則直接執行步驟204,否則,UE向BSF發送鑑權請求,然後執行步驟202。
步驟202~203,BSF從HSS中獲取鑑權信息,利用鑑權信息對發起鑑權請求的UE進行鑑權,鑑權成功後,BSF為UE分配B-TID。
步驟204,UE向NAF發送包含B-TID的業務請求,該業務請求中包含訪問端的安全級別信息,或UE期望的安全級別信息。當然,如果是UE期望的安全級別信息,NAF要能夠判斷決定是否同意UE所期望的安全級別信息,因為如果UE期望的安全級別非常的低,那麼有可能該UE是一個惡意用戶,伺機攻擊網絡,比較合理的情況是UE要求高於自身安全級別的認證方式來進行認證。
步驟205,NAF接收到來自UE的業務請求後,查詢預先配置的用於對UE進行身份認證的認證方式信息,選定當前的認證方式,如果認證方式為利用通用鑑權框架的鑑權結果通過查詢B-TID的方式對UE進行認證,則執行步驟206,如果認證方式為利用預設的認證方式對UE進行認證,則執行步驟207。
在本實施例中,認證方式信息以列表的形式存在,且該認證方式信息中包含是否對所有訪問端均使用相同認證方式的標識,與該標識對應的認證方式代碼,以及不同訪問端的安全級別與認證方式代碼的對應關係。
所述查詢預先配置的用於對UE進行身份認證的認證方式信息,選定當前認證方式的方法為查詢認證方式信息中是否標識對所有的訪問端均使用相同的認證方式,如果是,則根據認證方式信息中與該標識對應的認證方式代碼,選定該代碼所對應的認證方式為當前的認證方式,否則,根據UE的安全級別信息,查詢認證方式信息中的與該UE的安全級別所對應的認證方式代碼,選定該代碼所對應的認證方式為當前的認證方式。例如,安全級別高的UE對應預設的能保證高安全性的認證方式的代碼,安全級別一般的訪問端對應利用通用鑑權框架的鑑權結果通過查詢B-TID方式進行認證的代碼。
上述認證方式信息包括但不限於以列表的形式存在。而且,上述預先配置的認證方式信息,即表示所有訪問端均使用相同認證方式的標識,與該標識對應的認證方式代碼,以及UE的安全級別信息和該安全級別所對應的認證方式代碼,可以根據需要隨時通過操作維護臺或其他方式更改。
步驟206,NAF向BSF查詢B-TID,如果BSF返回查詢成功的響應消息,則NAF對UE認證成功,同時NAF與UE也建立起了信任關係,執行步驟208,如果BSF返回查詢失敗的響應消息,則NAF對UE認證失敗,NAF通知UE重新到BSF鑑權,結束。
步驟207,NAF利用預設的認證方式對訪問端進行認證,該預設的認證方式是與通用鑑權框架的鑑權方式沒有任何關係的認證方式,如包括但不限於公私鑰證書的認證方式,簡單地密碼摘要的認證方式等,如果認證成功,則NAF同時與UE也建立起了信任關係,執行步驟208,如果認證失敗,NAF通知UE認證失敗後結束。
步驟208,NAF與UE進行正常的業務通信。
在上述實施例的步驟205中,NAF所選定的認證方式是或者使用查詢B-TID的認證方式,或者使用預設的認證方式。在實際應用中,NAF所選的認證方式還可以是,先採用查詢B-TID的方式進行認證,認證成功後,再採用預設的認證方式進行認證,當然,也可以是先採用預設的認證方式進行認證,認證成功後,再採用查詢B-TID的方式進行認證。這樣,步驟206和207在一次認證過程中均會被執行,具體的執行順序是根據所選的認證方式決定的。
上述實施例中僅提供了一種NAF基於列表的方式查詢並選擇認證方式的方法,當然NAF也可以採用其他的方式查詢並選定認證方式。比如,在NAF所保存的認證方式信息中包含NAF所支持的每種認證方式的優先級信息;而執行不同認證方式的肯定是不同的認證模塊,因此NAF可以通過檢查這些認證模塊是否安裝來確認自己支持的認證方式信息(不同認證模塊的安裝可以通過該軟體模塊是否加載或該硬體模塊是否插入相應埠來判斷),這樣,NAF查詢預先配置的認證方式信息,選定當前認證方式的過程為NAF根據自身已設置的優先級信息,選擇與自身當前優先級相對應的且自身支持的認證方式作為當前選定的認證方式。同樣地,所選定的認證方式可以是使用查詢B-TID的方式,也可以是使用預設的認證方式,還可以是分別利用上述兩種方式對訪問端進行認證,即先採用查詢B-TID的方式進行認證,認證成功後,再採用預設的認證方式進行認證,或是先採用預設的認證方式進行認證,認證成功後,再採用查詢B-TID的方式進行認證。所述認證方式信息,即優先級信息,可以根據需要隨時通過操作維護臺或其他方式更改。
由於NAF所代表的各種服務隨著業務的發展愈來愈豐富,例如運營商與外部的服務提供商SP合作,那麼NAF就可能是SP的應用伺服器,SP與運營商是有協議存在信任關係的,因此SP可以選擇使用運營商提供的利用通用鑑權框架結果查詢B-TID的方式來完成認證過程,如果該應用伺服器的服務能力比較強大,且其安全要求特別高,那麼SP也可以配置該NAF選擇使用自己預設的認證方式而不使用運營商提供的利用通用鑑權框架結果查詢B-TID的認證方式。再有,隨著業務的發展移動用戶自己也可以建一個服務點為自己的好友或俱樂部提供服務,那麼這個移動用戶自己也可以做NAF,此時該移動用戶可以選擇使用通用鑑權框架或自己預設的鑑權方式。
以上所述僅以訪問端為UE為例進行說明,當然訪問端也可以是另一個NAF,此時與上述處理方式完全一致,在此不再重複說明。
以上僅舉了簡單幾個例子來說明NAF查詢預先配置的認證方式信息,選定當前認證方式的過程。在實際應用中,NAF肯定有多種配置認證方式信息的方式,而且也肯定有多種查詢預先配置的認證方式信息選定當前認證方式的實現方式,在此不可能一一列舉,即本發明對具體的配置認證方式信息的方式,以及實現選定當前認證方式的實現方式不做限定,只要能夠根據預先配置的認證方式信息選定當前的認證方式即可。
以上所述僅為本發明的較佳實施例而已,並不用以限制本發明,凡在本發明的精神和原則之內,所做的任何修改、等同替換和改進,均應包含在本發明的保護範圍之內。
權利要求
1.一種訪問端和業務應用實體建立信任關係的方法,其特徵在於,該方法包括以下步驟業務應用實體NAF接收到來自訪問端的業務請求後,查詢預先配置的認證方式信息,選定當前的認證方式,並應用該選定的認證方式對訪問端進行認證,認證成功後建立起與該訪問端的信任關係。
2.根據權利要求1所述的方法,其特徵在於,訪問端向NAF發送業務請求之前,該方法進一步包括訪問端判斷自身是否已獲取會話事務標識B-TID,如果是,則直接向NAF發送包含B-TID的業務請求,否則,訪問端向執行用戶身份初始檢查驗證實體BSF發送鑑權請求,鑑權成功後從BSF獲取B-TID,然後再向NAF發送包含B-TID的業務請求。
3.根據權利要求1或2所述的方法,其特徵在於,所述NAF接收到的業務請求中包含訪問端的安全級別信息,或訪問端期望的安全級別信息;所述認證方式信息中包含是否對所有的訪問端均使用相同認證方式的標識,與該標識對應的認證方式代碼,以及訪問端的安全級別與認證方式代碼的對應關係;所述NAF查詢預先配置的認證方式信息,選定當前認證方式的過程為查詢認證方式信息中是否標識對所有的訪問端均使用相同的認證方式,如果是,則根據認證方式信息中與該標識對應的認證方式代碼,選定該代碼所對應的認證方式為當前的認證方式,否則,根據訪問端的安全級別信息,查詢認證方式信息中與訪問端的安全級別所對應認證方式的代碼,選定該代碼所對應的認證方式為當前的認證方式。
4.根據權利要求3所述的方法,其特徵在於,所述認證方式為利用通用鑑權框架的鑑權結果通過查詢B-TID的方式對訪問端進行認證,或利用預設的認證方式對訪問端進行認證,或分別利用上述兩種方式對訪問端進行認證。
5.根據權利要求4所述的方法,其特徵在於,所述預設的認證方式包括但不限於公私鑰證書的認證方式,密碼摘要的認證方式。
6.根據權利要求3所述的方法,其特徵在於,所述認證方式信息包括但不限於以列表的形式存在。
7.根據權利要求1或2所述的方法,其特徵在於,所述認證方式信息中包含NAF所支持的每種認證方式的優先級信息;所述NAF查詢預先配置的認證方式信息,選定當前認證方式的過程為NAF根據自身已設置的優先級信息,選擇與自身當前優先級相對應的且自身支持的認證方式作為當前選定的認證方式。
8.根據權利要求7所述的方法,其特徵在於,所述認證方式為利用通用鑑權框架的鑑權結果通過查詢B-TID的方式對訪問端進行認證,或利用預設的認證方式對訪問端進行認證,或分別利用上述兩種方式對訪問端進行認證。
9.根據權利要求1或2所述的方法,其特徵在於,該方法進一步包括根據用戶需要通過操作維護臺更改預先配置的認證方式信息。
10.根據權利要求1或2所述的方法,其特徵在於,所述訪問端為用戶終端UE或NAF。
全文摘要
本發明公開了一種訪問端和業務應用實體建立信任關係的方法,關鍵是,NAF接收到來自訪問端的業務請求後,查詢預先配置的認證方式信息,選定當前的認證方式,並應用該選定的認證方式對訪問端進行認證,認證成功後建立起與該訪問端的信任關係。應用本發明,NAF能夠靈活地選擇並應用不同的認證對訪問端進行認證,從而最大限度地滿足了市場需求。另外,由於訪問端向NAF所發的業務請求中都包含了B-TID信息,因而避免了訪問端與NAF之間不必要的信令交互,節省了交互過程,減輕了網絡負荷,節約了網絡資源。
文檔編號H04W12/06GK1867158SQ20051006939
公開日2006年11月22日 申請日期2005年5月18日 優先權日2005年5月18日
發明者鄭志彬, 黃迎新 申請人:華為技術有限公司