通用鑑權架構下的用戶設備鑑權方法和鑑權裝置的製作方法

2023-06-05 05:34:06 2

專利名稱：通用鑑權架構下的用戶設備鑑權方法和鑑權裝置的製作方法
技術領域：
本發明實施例涉及通信技術領域，並且更具體地，涉及通用鑑權架構(GAA， General Authentication Architecture)下的用戶設備鑑權方法和鑑權裝置。
背景技術：
目前業界的通信技術普遍為2G/3G移動通信技術，正向LTE(Long Term Evolution，長期演進)/SAE (System Architecture Evolution，系統架構演進)移動通信技術發展。隨著通信技術的不斷發展，用戶能享受到的業務也日漸豐富，因此也逐步出現了用戶設備(UE，User Equipment)管理自身業務的需求。用戶設備能享受到的業務是由網絡側的應用月艮務器 AS (Application Server)或 NAF (Network Application Functionality)提供的，所以3GPP(3rd Generation Partnership ftx)ject，第三代夥伴關係項目)定義了用戶設備與應用伺服器之間的Ut接口以滿足此需求。用戶設備在使用Ut接口管理自身業務數據時，應用伺服器需要檢查用戶設備的合法性，並且採用加密等方法保證傳輸的安全。GSMA(GSM Association，GSM聯盟)推薦採用3GPP定義的通用鑑權架構GAA實現這些要求。然而，GAA架構只支持HTTP (Hypertext Transfer Protocol，超文本傳輸協議) AKA (Authentication and Key Agreement，認證和密鑰協商)鑑權方法，這對用戶設備類型形成了限制。因為 HTTP AKA 鑑權方法的基礎是USIM(UMTS Subscriber Identity Module, UMTS 用戶標識模塊)/ISIM(IP Multimedia Services Identity Module, IMS 用戶標識模塊)卡。而某些用戶設備可能不支持AKA鑑權方法，這些用戶設備在目前的GAA架構下無法進行有效鑑權。

發明內容
本發明實施例提供一種通用鑑權架構下的用戶設備鑑權方法和鑑權裝置，能夠實現用戶設備的有效鑑權。一方面，提供了一種通用鑑權架構下的用戶設備鑑權方法，包括接收用戶設備發送的應用請求或鑑權請求；根據應用請求或鑑權請求，向歸屬用戶伺服器HSS請求摘要鑑權的鑑權參數；接收HSS發送的摘要鑑權的鑑權參數，根據鑑權參數對用戶設備進行摘要鑑權。另一方面，提供了一種通用鑑權架構下的用戶設備鑑權方法，包括接收鑑權裝置對摘要鑑權的鑑權參數的請求；根據所接收的請求確定對用戶設備採用摘要鑑權，並向鑑權裝置發送摘要鑑權的鑑權參數，以便鑑權裝置根據鑑權參數對用戶設備進行摘要鑑權。另一方面，提供了一種通用鑑權架構下的鑑權裝置，包括接收單元，用於接收用戶設備發送的應用請求或鑑權請求；請求單元，用於根據接收單元接收的應用請求或鑑權請求，向歸屬用戶伺服器HSS請求摘要鑑權的鑑權參數；鑑權單元，用於接收HSS發送的摘要鑑權的鑑權參數，根據鑑權參數對用戶設備進行摘要鑑權。
5
另一方面，提供了一種歸屬用戶伺服器，包括接收單元，用於接收鑑權裝置對摘要鑑權的鑑權參數的請求；發送單元，用於根據接收單元接收的請求確定對用戶設備採用摘要鑑權，並向鑑權裝置發送摘要鑑權的鑑權參數，以便鑑權裝置根據鑑權參數對用戶設備進行摘要鑑權。本發明實施例在確定對用戶設備採用摘要鑑權時，從HSS請求相應的鑑權參數， 並使用請求得到的鑑權參數對用戶設備進行摘要鑑權，從而使得GAA架構能夠支持摘要鑑權方法，實現用戶設備的有效鑑權。


為了更清楚地說明本發明實施例的技術方案，下面將對實施例或現有技術描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發明的一些實施例，對於本領域普通技術人員來講，在不付出創造性勞動的前提下，還可以根據這些附圖獲得其他的附圖。圖1是3GPP規定的GAA架構的示意框圖。圖2是根據本發明一個實施例的GAA架構下的用戶設備鑑權方法。圖3是根據本發明另一實施例的通用鑑權架構下的用戶設備鑑權方法。圖4是本發明一個實施例的鑑權過程的示意流程圖。圖5是本發明另一實施例的鑑權過程的示意流程圖。圖6是本發明另一實施例的鑑權過程的示意流程圖。圖7是根據本發明一個實施例的鑑權裝置的框圖。圖8是根據本發明一個實施例的歸屬用戶伺服器的框圖。
具體實施例方式下面將結合本發明實施例中的附圖，對本發明實施例中的技術方案進行清楚、完整地描述，顯然，所描述的實施例是本發明一部分實施例，而不是全部的實施例。基於本發明中的實施例，本領域普通技術人員在沒有作出創造性勞動前提下所獲得的所有其他實施例，都屬於本發明保護的範圍。 圖1是3GPP規定的GAA架構的示意框圖。本發明實施例可應用於圖1所示的GAA 架構。如圖1 所示，BSF(Bootstrapping Server Functionality，引導伺服器功能實體) 與UE之間通過Ub接口相連，BSF與HSS (Home Subscriber Server，歸屬用戶伺服器)之間通過Zh接口相連。BSF、UE與HSS配合完成網絡側對UE的GBA(General Bootstrapping Authentication，通用引導鑑權)鑑權過程。GBA鑑權是採用AKA方法的鑑權過程。在GBA鑑權過程中，UE向BSF發起鑑權請求，然後BSF向HSS取鑑權向量，同時下載用戶權限信息。BSF處理HSS返回的信息，並根據鑑權向量，向UE返回401消息，攜帶AKA相關鑑權參數。UE根據鑑權參數與USIM/ISIM卡中存放的Key (密鑰)完成對網絡的鑑權，然後計算出鑑權結果。然後UE向BSF再次發起鑑權請求，將鑑權結果帶給BSF。BSF比較UE返回鑑權結果與自身計算的鑑權結果，符合則完成鑑權。之後BSF生成Bootstrapping Key(引導密鑰)。然後BSF向UE返回2000K消息，表示對用戶設備的鑑權成功。消息中攜帶 B-TID (Bootstrapping Transaction Identifier，引導會話標識)作為後續 Si 接口操作的索引。UE根據2000K消息生成Bootstrapping Key (引導密鑰)。NAF是UE的應用伺服器AS (Application Server)。在一個網絡中，NAF可能不止一個。AP(Authentication ftOxy，鑑權代理)作為某些NAF的代理。下文中，在沒有必要將AP、AS區分開描述時，用NAF統一指代AP和AS。在現有的GAA鑑權架構中，UE嘗試向AS發起業務請求，AP作為AS的HTTP代理， 接收到此請求。然後，AP向UE返回401消息，要求UE進行GBA鑑權。UE可按照上面所述的過程進行GBA鑑權，生成相應的Bootstrapping Key與B-TID等參數，然後UE再次向AS 發起業務請求。AP根據Bootstrapping Key與B-TID等處理鑑權與授權。其中NAF(AP)向BSF發起請求GBA鑑權結果及用戶權限信息的請求，此請求以UE傳送至NAF (AP)的B-TID為索引。 BSF檢查合法性，並返回請求的信息，主要包括Key值與相關的用戶權限信息。AP對UE鑑權通過後，檢查用戶權限，並向AS轉發業務請求。然後AP處理AS的返回結果，並將AS的返回結果發給UE,以便由UE處理AS的返回結果，完成GAA架構的鑑權過程。由上述過程可以看到，上述GAA架構及相關流程的基礎是GBA鑑權過程。而GBA 鑑權過程定義為HTTPAKA鑑權方法，這要求用戶設備一定要有USIM卡或ISIM卡，對用戶設備的類型形成了限制。本發明實施例在現有GAA架構的基礎上，擴展Digest (摘要)鑑權功能，實現對不支持AKA鑑權方法的用戶設備的鑑權。圖2是根據本發明一個實施例的GAA架構下的用戶設備鑑權方法。圖2的方法由GAA架構下的鑑權裝置執行，例如BSF或AP。201，接收用戶設備發送的應用請求或鑑權請求。在鑑權裝置為BSF的情況下，BSF在GBA鑑權過程中從用戶設備接收鑑權請求。 在鑑權裝置為AP的情況下，AP接收UE嘗試訪問NAF時發送的應用請求(Application Request)。202，根據應用請求或鑑權請求，向HSS請求摘要鑑權的鑑權參數。例如，在一個實施例中，當鑑權裝置從用戶設備的應用請求或鑑權請求中發現用戶設備不支持AKA鑑權時，可以確定對用戶設備採用Digest鑑權。在鑑權裝置不能明確用戶設備是否支持AKA鑑權時，可以指示HSS根據其他因素(例如，用戶設備的籤約數據)確定採用哪種鑑權方式。或者，如果用戶設備同時支持AKA鑑權和Digest鑑權，鑑權裝置也可以根據需要，確定對用戶設備採用哪種鑑權方式。鑑權裝置向HSS請求鑑權參數，包括鑑權裝置直接向HSS請求鑑權參數(如果鑑權裝置與HSS之間有接口)，或者通過其他一個或多個網元間接地向HSS請求鑑權參數，本發明對請求鑑權參數的方式不作限制。例如，在鑑權裝置為AP時，可擴展AP和HSS之間的接口，使得AP能夠直接向HSS請求鑑權參數，該擴展的接口可模擬跑接口實現；或者，AP 通過BSF向HSS請求鑑權參數，例如AP可先通過Si接口向BSF發出請求，使得BSF通過跑接口向HSS請求鑑權參數。
另外，鑑權裝置向HSS發送的Digest鑑權參數的請求可以是顯式的請求，在請求消息中明確指示採用Digest鑑權方法；也可以是隱式的請求，不指示具體鑑權方法，例如將請求消息中的鑑權方法參數設置為未知「Unknown」，由HSS根據用戶設備的籤約數據選擇Digest鑑權方法。本發明實施例對請求消息的具體形式不作限制。本發明實施例對請求摘要鑑權的鑑權參數的請求消息的形式不作限制。例如， 該請求消息可以是Diameter (直徑)協議下的MAR(Multimedia-Auth-Request，多媒體鑑權請求)消息或SOAP (Simple Object Access Protocol，簡單對象訪問協議)協議下的 requestBootstrappinghfW請求引導信息)消息。在下面的實施例中，以MAR消息作為請求消息的例子，但本發明實施例同樣可以採用其他合適的消息。在鑑權裝置為BSF的情況下，BSF根據鑑權請求向HSS發送請求摘要鑑權的鑑權參數的請求消息，其中在從鑑權請求中判斷出用戶設備不支持認證和密鑰協商AKA鑑權時， 在請求消息中將鑑權方法參數設置為指示摘要鑑權；或者，在不能從鑑權請求中判斷出用戶設備是否支持AKA鑑權時，在請求消息中將鑑權方法參數設置為未知，以便HSS根據用戶籤約數據確定採用摘要鑑權。在鑑權裝置為AP的情況下，AP根據應用請求確定對用戶設備採用摘要鑑權，並向 HSS發送請求摘要鑑權的鑑權參數的請求消息或者通過引導伺服器功能實體BSF向HSS發送請求摘要鑑權的鑑權參數的請求消息，在請求消息中將鑑權方法參數設置為指示摘要鑑權。203，從HSS接收摘要鑑權的鑑權參數，根據鑑權參數對用戶設備進行摘要鑑權。鑑權裝置可直接從HSS接收摘要鑑權的鑑權參數，也可以通過其他一個或多個網元間接地從HSS接收摘要鑑權的鑑權參數，本發明實施例對此不作限制。例如，在202中AP 通過BSF向HSS請求鑑權參數時，BSF可將HSS發送的鑑權參數轉發給AP。如果鑑權裝置和HSS之間有接口，HSS可通過該接口直接將鑑權參數發送給鑑權裝置。可選地，在一個實施例中，鑑權裝置在利用鑑權參數進行摘要鑑權時，將鑑權參數轉發給用戶設備，接收用戶設備根據該鑑權參數得到的第一響應。另一方面，鑑權裝置自身還根據該鑑權參數得到第二響應。然後鑑權裝置比較第一響應與第二響應，完成對用戶設備的摘要鑑權。例如，當兩個響應一致時，認為用戶設備的摘要鑑權成功。本發明實施例在確定對用戶設備採用摘要鑑權時，從HSS請求相應的鑑權參數， 並使用請求得到的鑑權參數對用戶設備進行摘要鑑權，從而使得GAA架構能夠支持摘要鑑權方法，實現用戶設備的有效鑑權。圖3是根據本發明另一實施例的通用鑑權架構下的用戶設備鑑權方法。圖3的方法由HSS執行，並且與圖2的方法相對應，因此適當省略部分詳細描述。301，接收鑑權裝置對摘要鑑權的鑑權參數的請求。類似於圖2的202中所述，HSS可直接從鑑權裝置接收對摘要鑑權的鑑權參數的請求(如果鑑權裝置與HSS之間有接口)，或者接收鑑權裝置通過其他一個或多個網元間接地發送的請求，本發明實施例對此不作限制。302，根據所接收的請求確定對用戶設備採用摘要鑑權，並向鑑權裝置發送摘要鑑權的鑑權參數，以便鑑權裝置根據鑑權參數對用戶設備進行摘要鑑權。類似於圖2的202中所述，HSS可根據所接收的請求，顯式或隱式地確定對用戶設備採用Digest鑑權，本發明實施例對此不作限制。另外，HSS可直接或間接地向鑑權裝置發送摘要鑑權的鑑權參數，本發明實施例對此不作限制。本發明實施例在確定對用戶設備採用摘要鑑權時，HSS向鑑權裝置發送相應的鑑權參數，以便鑑權裝置使用該鑑權參數對用戶設備進行摘要鑑權，從而使得GAA架構能夠支持摘要鑑權方法，實現用戶設備的有效鑑權。下面結合具體例子，更加詳細地描述本發明的實施例。圖4是本發明一個實施例的鑑權過程的示意流程圖。在圖4的實施例中，對用戶設備進行摘要鑑權的鑑權裝置為 BSF,通過擴展選接口和GBA流程，使得GAA架構支持Digest鑑權。411、UE向NAF發送應用請求，嘗試訪問NAF。該應用請求中攜帶GBA支持能力。412、NAF返回HTTP 401消息，要求UE進行GBA鑑權。413、UE向BSF發起鑑權請求。鑑權請求可以是一個HTTP消息。414、BSF根據UE的鑑權請求，向HSS發送MAR消息以請求鑑權數據。MAR消息中同時可攜帶Digest算法需要的其他參數。在一個實施例中，如果BSF從UE發過來的HTTP消息中，明確知道了 UE僅支持 Digest鑑權，不支持AKA鑑權時，可以在該MAR消息中明確指示採用Digest鑑權方法，例如將MAR消息中的鑑權方法參數設置為指示Digest鑑權。在另一實施例中，如果BSF不能從UE的鑑權請求中明確判斷用戶是否支持AKA鑑權，BSF可以將MAR消息中的鑑權方法參數值設置為「Unknown」(未知)，讓HSS根據用戶的籤約數據選擇鑑權方法。在HSS中，對每個用戶設備的鑑權方式有籤約，即採用哪種鑑權方式。如果HSS不能從BSF的MAR消息中明確得到鑑權方式，就會以籤約的鑑權方式為準， 從而根據此鑑權方式返回必要的參數。415、HSS根據MAR消息或用戶籤約數據，決定採用Digest鑑權，於是計算出相關鑑權參數並在MAA(Multimedia-Auth-Answer，多媒體鑑權應答)消息中返回。416、BSF在HTTP 401消息中將在415中接收到的相關鑑權參數發送給UE。417、UE根據416中接收到的鑑權參數，計算出第一響應Response並返回給BSF。 Response是Digest算法中用於比對的最終計算結果。418,BSF計算出第二響應Response並與UE發回的第一響應Response比較、如果兩者相同，則鑑權成功，並向UE通知UE鑑權成功。419、UE再次向NAF發起應用請求，攜帶B-TID。420,NAF 通過 Zn 接口向 BSF 發送鑑權請求(Authentication Request)，請求 GBA 鑑權結果及用戶權限信息。421、BSF通過鑑權應答(Authentication Answer)將用戶權限信息返回給NAF。422、NAF通過應用應答(Application Answer)將返回操作結果給UE。本實施例通過擴展跑接口和GBA流程，使得GAA架構支持Digest鑑權，即使用戶設備不支持AKA鑑權，也可以對用戶設備進行有效鑑權。圖5是本發明另一實施例的鑑權過程的示意流程圖。在圖5的實施例中，對用戶設備進行摘要鑑權的鑑權裝置為AP，通過擴展τ條接口，使得GAA架構支持Digest鑑權。501、UE嘗試訪問NAF，應用請求發給了 AP。
502、AP從應用請求中發現用戶設備不支持GBA鑑權，向BSF發送鑑權請求，以請求 Digest鑑權的鑑權參數。該鑑權請求中明確指示採用Digest鑑權方法，同時應攜帶Digest 算法需要的其他參數。本發明實施例對502中發送的鑑權請求的承載形式不作限制。例如，如果使用Diameter協議，則承載該鑑權請求的消息可以是BIR(BootStrapping-Info-Request ； 引導信息請求)消息；如果採用SOAP協議，則承載該鑑權請求的消息可以是 requestBootstrappinghfo消息。在圖5中以WR消息為例，但是本發明不限於此，也可以採用其他合適的消息來承載該鑑權請求。503、BSF向HSS發送MAR請求，向HSS請求鑑權參數。該MAR消息中明確指示採用Digest鑑權方法，同時攜帶Digest算法需要的其他參數。504,HSS根據MAR消息，決定採用Digest鑑權，於是計算出相關鑑權參數並在MAA 消息中返回給BSF。505、BSF根據HSS返回的MAA消息，將鑑權參數發送給AP。本發明實施例對505中發送的鑑權參數的承載形式不作限制。例如，如果使用 Diameter協議，則承載該鑑權請求的消息可以是BIA(BootStrapping-Info-Answer ；引導信息應答)消息；如果採用SOAP協議，則承載該鑑權請求的消息可以是requestBootstrap pinghfoResponse (請求引導信息響應)消息。在圖5中以BIA消息為例，但是本發明不限於此，也可以採用其他合適的消息來承載該鑑權參數。506、AP在401消息中將相關鑑權參數發送給UE。507,UE根據506中接收的鑑權參數計算出第一響應Response，並在再次發送的應用請求中將第一響應Response返回給AP。508、AP根據鑑權參數計算出第二響應Response並與UE發回的第一響應 Response比較。如果兩者相同，則鑑權成功。AP通過鑑權後，檢查用戶權限，再將應用請求轉發至NAF。509、NAF向AP返回業務操作結果。510、AP將業務操作結果返回給UE。本實施例通過擴展τ條接口，使得GAA架構支持Digest鑑權，即使用戶設備不支持AKA鑑權，也可以對用戶設備進行有效鑑權。圖6是本發明另一實施例的鑑權過程的示意流程圖。在圖6的實施例中，對用戶設備進行摘要鑑權的鑑權裝置為AP，通過擴展AP與HSS之間的接口，使得GAA架構支持 Digest鑑權。擴展的接口可模擬跑接口實現。601、UE嘗試訪問NAF，應用請求發給了 AP。602、AP從應用請求中發現用戶不支持GBA鑑權，通過AP與HSS之間擴展的接口， 向HSS發送MAR消息，以請求Digest鑑權參數。MAR消息中明確指示採用Digest鑑權方法，同時攜帶Digest算法需要的其他參數。603,HSS根據MAR消息，決定採用Digest鑑權，於是計算出相關鑑權參數並在MAA 消息中返回給AP。604-608分別類似於圖5的506-510，因此不再贅述。本實施例通過擴展AP與HSS之間的接口，使得GAA架構支持Digest鑑權，即使用戶設備不支持AKA鑑權，也可以對用戶設備進行有效鑑權。因此，本發明實施例的鑑權方法在GAA架構下擴展了 Digest鑑權方法，對於無卡用戶設備或者有卡但不支持AKA鑑權的用戶設備，也能進行有效鑑權。圖7是根據本發明一個實施例的鑑權裝置的框圖。圖7的鑑權裝置70的非限制性例子是圖4所示的BSF、或圖5和圖6所示的AP，包括接收單元71、請求單元72和鑑權單元73。接收單元71接收用戶設備發送的應用請求或鑑權請求。請求單元，用於根據接收單元71接收的應用請求或鑑權請求，向HSS請求摘要鑑權的鑑權參數。鑑權單元73接收 HSS發送的摘要鑑權的鑑權參數，根據鑑權參數對用戶設備進行摘要鑑權。本發明實施例在確定對用戶設備採用摘要鑑權時，從HSS請求相應的鑑權參數， 並使用請求得到的鑑權參數對用戶設備進行摘要鑑權，從而使得GAA架構能夠支持摘要鑑權方法，實現用戶設備的有效鑑權。可選地，在一個實施例中，鑑權單元73將鑑權參數轉發給用戶設備，接收用戶設備根據鑑權參數得到的第一響應。鑑權單元73自身也根據鑑權參數得到第二響應，然後比較第一響應與第二響應，完成對用戶設備的摘要鑑權。如果鑑權裝置70為BSF，則請求單元72可根據鑑權請求，通過Zh接口向HSS發送請求摘要鑑權的鑑權參數的請求消息(參見圖4)，其中在從鑑權請求中判斷出用戶設備不支持AKA鑑權時，請求單元72可以在請求消息中將鑑權方法參數設置為指示摘要鑑權；或者，在不能從鑑權請求中判斷出用戶設備是否支持AKA鑑權時，請求單元72可以在請求消息中將鑑權方法參數設置為未知，以便HSS根據用戶籤約數據確定採用摘要鑑權。如果鑑權裝置70為AP，則請求單元72可根據應用請求向HSS發送請求摘要鑑權的鑑權參數的請求消息(參見圖6)或者通過BSF向HSS發送請求摘要鑑權的鑑權參數的請求消息(參見圖5)。可以在請求消息中將鑑權方法參數設置為指示摘要鑑權。因此，本發明實施例的鑑權裝置在GAA架構下擴展了 Digest鑑權方法，對於無卡用戶設備或者有卡但不支持AKA鑑權的用戶設備，也能進行有效鑑權。圖8是根據本發明一個實施例的歸屬用戶伺服器的框圖。圖8的歸屬用戶伺服器 80的非限制性例子是圖4-圖6所示的HSS，包括接收單元81和發送單元82。接收單元81接收鑑權裝置對摘要鑑權的鑑權參數的請求。發送單元82根據接收單元81接收的請求確定對用戶設備採用摘要鑑權，並向鑑權裝置發送摘要鑑權的鑑權參數，以便鑑權裝置根據鑑權參數對用戶設備進行摘要鑑權。本發明實施例在確定對用戶設備採用摘要鑑權時，HSS向鑑權裝置發送相應的鑑權參數，以便鑑權裝置使用該鑑權參數對用戶設備進行摘要鑑權，從而使得GAA架構能夠支持摘要鑑權方法，實現用戶設備的有效鑑權。在鑑權裝置為BSF的情況下，接收單元81所接收的請求可以是通過跑接口直接從BSF接收的請求消息，發送單元82可以在請求消息中將鑑權方法參數設置為指示摘要鑑權時，確定對用戶設備採用摘要鑑權；或者，發送單元在請求消息中將鑑權方法參數設置為未知時，根據用戶籤約數據確定採用摘要鑑權。在鑑權裝置為AP的情況下，接收單元接收AP發送的對摘要鑑權的鑑權參數的請求消息，或者，接收AP通過BSF發送的對摘要Digest鑑權的鑑權參數的請求消息，在請求消息中將鑑權方法參數設置為指示摘要鑑權。在接收單元接收AP通過BSF發送的請求消息的情況下，發送單元82向BSF發送鑑權參數，以便BSF將鑑權參數轉發給AP。因此，本發明實施例在GAA架構下擴展了 Digest鑑權方法，對於無卡用戶設備或者有卡但不支持AKA鑑權的用戶設備，也能進行有效鑑權。根據本發明實施例的通信系統可包括上述鑑權裝置70和/或歸屬用戶伺服器80。本領域普通技術人員可以意識到，結合本文中所公開的實施例描述的各示例的單元及算法步驟，能夠以電子硬體、計算機軟體或者二者的結合來實現，為了清楚地說明硬體和軟體的可互換性，在上述說明中已經按照功能一般性地描述了各示例的組成及步驟。這些功能究竟以硬體還是軟體方式來執行，取決於技術方案的特定應用和設計約束條件。專業技術人員可以對每個特定的應用來使用不同方法來實現所描述的功能，但是這種實現不應認為超出本發明的範圍。所屬領域的技術人員可以清楚地了解到，為描述的方便和簡潔，上述描述的系統、 裝置和單元的具體工作過程，可以參考前述方法實施例中的對應過程，在此不再贅述。在本申請所提供的幾個實施例中，應該理解到，所揭露的系統、裝置和方法，可以通過其它的方式實現。例如，以上所描述的裝置實施例僅僅是示意性的，例如，所述單元的劃分，僅僅為一種邏輯功能劃分，實際實現時可以有另外的劃分方式，例如多個單元或組件可以結合或者可以集成到另一個系統，或一些特徵可以忽略，或不執行。另一點，所顯示或討論的相互之間的耦合或直接耦合或通信連接可以是通過一些接口，裝置或單元的間接耦合或通信連接，可以是電性，機械或其它的形式。所述作為分離部件說明的單元可以是或者也可以不是物理上分開的，作為單元顯示的部件可以是或者也可以不是物理單元，即可以位於一個地方，或者也可以分布到多個網絡單元上。可以根據實際的需要選擇其中的部分或者全部單元來實現本實施例方案的目的。另外，在本發明各個實施例中的各功能單元可以集成在一個處理單元中，也可以是各個單元單獨物理存在，也可以兩個或兩個以上單元集成在一個單元中。上述集成的單元既可以採用硬體的形式實現，也可以採用軟體功能單元的形式實現。所述集成的單元如果以軟體功能單元的形式實現並作為獨立的產品銷售或使用時，可以存儲在一個計算機可讀取存儲介質中。基於這樣的理解，本發明的技術方案本質上或者說對現有技術做出貢獻的部分或者該技術方案的全部或部分可以以軟體產品的形式體現出來，該計算機軟體產品存儲在一個存儲介質中，包括若干指令用以使得一臺計算機設備(可以是個人計算機，伺服器，或者網絡設備等)執行本發明各個實施例所述方法的全部或部分步驟。而前述的存儲介質包括U盤、移動硬碟、只讀存儲器(ROM，Read-only Memory)、隨機存取存儲器(RAM，Random Access Memory)、磁碟或者光碟等各種可以存儲程序代碼的介質。以上所述，僅為本發明的具體實施方式
，但本發明的保護範圍並不局限於此，任何熟悉本技術領域的技術人員在本發明揭露的技術範圍內，可輕易想到變化或替換，都應涵蓋在本發明的保護範圍之內。因此，本發明的保護範圍應所述以權利要求的保護範圍為準。
1權利要求
1.一種通用鑑權架構GAA下的用戶設備鑑權方法，其特徵在於，包括 接收用戶設備發送的應用請求或鑑權請求；根據所述應用請求或鑑權請求，向歸屬用戶伺服器HSS請求摘要Digest鑑權的鑑權參數；接收所述HSS發送的摘要鑑權的鑑權參數，根據所述鑑權參數對所述用戶設備進行摘要鑑權。
2.如權利要求1所述的方法，其特徵在於，所述方法由引導伺服器功能實體BSF執行， 所述根據所述應用請求或鑑權請求，向HSS請求摘要鑑權的鑑權參數，包括根據所述鑑權請求向所述HSS發送請求摘要鑑權的鑑權參數的請求消息， 其中在從所述鑑權請求中判斷出所述用戶設備不支持認證和密鑰協商AKA鑑權時，所述請求消息中將鑑權方法參數設置為指示摘要鑑權；或者，在不能從所述鑑權請求中判斷出所述用戶設備是否支持AKA鑑權時，所述請求消息中將鑑權方法參數設置為未知，以便所述HSS根據用戶籤約數據確定採用摘要鑑權。
3.如權利要求1所述的方法，其特徵在於，所述方法由鑑權代理AP執行，所述根據所述應用請求或鑑權請求，向HSS請求摘要鑑權的鑑權參數，包括根據所述應用請求確定對所述用戶設備採用摘要鑑權，並向所述HSS發送請求摘要鑑權的鑑權參數的請求消息或者通過引導伺服器功能實體BSF向所述HSS發送請求摘要鑑權的鑑權參數的請求消息，所述請求消息中將鑑權方法參數設置為指示摘要鑑權。
4.如權利要求1至3任一所述的方法，其特徵在於，所述根據所述鑑權參數對所述用戶設備進行摘要鑑權，包括將所述鑑權參數轉發給所述用戶設備；接收所述用戶設備根據所述鑑權參數得到的第一響應；根據所述鑑權參數得到第二響應；比較所述第一響應與所述第二響應，完成對所述用戶設備的摘要鑑權。
5.一種通用鑑權架構GAA下的用戶設備鑑權方法，其特徵在於，包括 接收鑑權裝置對摘要Digest鑑權的鑑權參數的請求；根據所接收的請求確定對所述用戶設備採用摘要鑑權，並向所述鑑權裝置發送摘要鑑權的鑑權參數，以便所述鑑權裝置根據所述鑑權參數對所述用戶設備進行摘要鑑權。
6.如權利要求5所述的方法，其特徵在於，在所述鑑權裝置為引導伺服器功能實體BSF 的情況下，所述接收鑑權裝置對摘要Digest鑑權的鑑權參數的請求，包括接收所述BSF發送的請求消息，所述根據所接收的請求確定對所述用戶設備採用摘要鑑權，包括 在所述請求消息中將鑑權方法參數設置為指示摘要鑑權時，確定對所述用戶設備採用摘要鑑權；或者，在所述請求消息中將鑑權方法參數設置為未知時，根據用戶籤約數據確定採用摘要鑑權。
7.如權利要求5所述的方法，其特徵在於，在所述鑑權裝置為鑑權代理AP的情況下，所述接收鑑權裝置對摘要鑑權的鑑權參數的請求，包括接收所述AP發送的請求摘要鑑權的鑑權參數的請求消息，或者，接收所述AP通過引導伺服器功能實體BSF發送的請求摘要鑑權的鑑權參數的請求消息，所述請求消息中將鑑權方法參數設置為指示摘要鑑權。
8.如權利要求7所述的方法，其特徵在於，在接收所述AP通過BSF發送的請求摘要鑑權的鑑權參數的請求消息的情況下，所述向所述鑑權裝置發送摘要鑑權的鑑權參數，包括向所述BSF發送所述鑑權參數，以便所述BSF將所述鑑權參數轉發給所述AP。
9.一種通用鑑權架構GAA下的鑑權裝置，其特徵在於，包括接收單元，用於接收用戶設備發送的應用請求或鑑權請求；請求單元，用於根據所述接收單元接收的應用請求或鑑權請求，向歸屬用戶伺服器HSS 請求摘要Digest鑑權的鑑權參數；鑑權單元，用於接收所述HSS發送的摘要鑑權的鑑權參數，根據所述鑑權參數對所述用戶設備進行摘要鑑權。
10.如權利要求9所述的鑑權裝置，其特徵在於，所述鑑權裝置為引導伺服器功能實體 BSF，所述請求單元用於根據所述鑑權請求向所述HSS發送請求摘要鑑權的鑑權參數的請求消息，其中在從所述鑑權請求中判斷出所述用戶設備不支持AKA鑑權時，所述請求單元在所述請求消息中將鑑權方法參數設置為指示摘要鑑權；或者，在不能從所述鑑權請求中判斷出所述用戶設備是否支持AKA鑑權時，所述請求單元在所述請求消息中將鑑權方法參數設置為未知，以便所述HSS根據用戶籤約數據確定採用摘要鑑權。
11.如權利要求9所述的鑑權裝置，其特徵在於，所述鑑權裝置為鑑權代理AP，所述請求單元用於根據所述應用請求確定對所述用戶設備採用摘要鑑權，並向所述HSS發送請求摘要鑑權的鑑權參數的請求消息或者通過引導伺服器功能實體BSF向所述HSS發送請求摘要鑑權的鑑權參數的請求消息，所述請求消息中將鑑權方法參數設置為指示摘要鑑權。
12.如權利要求9至11任一所述的鑑權裝置，其特徵在於，所述鑑權單元用於將所述鑑權參數轉發給所述用戶設備，接收所述用戶設備根據所述鑑權參數得到的第一響應，根據所述鑑權參數得到第二響應，比較所述第一響應與所述第二響應，完成對所述用戶設備的摘要鑑權。
13.—種歸屬用戶伺服器，其特徵在於，包括接收單元，用於接收鑑權裝置對摘要Digest鑑權的鑑權參數的請求；發送單元，用於根據所述接收單元接收的請求確定對所述用戶設備採用摘要鑑權，並向所述鑑權裝置發送摘要鑑權的鑑權參數，以便所述鑑權裝置根據所述鑑權參數對所述用戶設備進行摘要鑑權。
14.如權利要求13所述的歸屬用戶伺服器，其特徵在於，在所述鑑權裝置為引導伺服器功能實體BSF的情況下，所述接收單元用於接收所述BSF發送的請求摘要鑑權的鑑權參數的請求消息，所述發送單元用於在所述接收單元接收的請求消息中將鑑權方法參數設置為指示摘要鑑權時，確定對所述用戶設備採用摘要鑑權；或者，所述發送單元用於在所述接收單元接收的請求消息中將鑑權方法參數設置為未知時， 根據用戶籤約數據確定採用摘要鑑權。
15.如權利要求13所述的歸屬用戶伺服器，其特徵在於，在所述鑑權裝置為鑑權代理 AP的情況下，所述接收單元用於接收所述AP發送的請求摘要鑑權的鑑權參數的請求消息，或者，接收所述AP通過引導伺服器功能實體BSF發送的請求摘要鑑權的鑑權參數的請求消息，所述請求消息中將鑑權方法參數設置為指示摘要鑑權。
16.如權利要求15所述的歸屬用戶伺服器，其特徵在於，在所述接收單元接收所述AP 通過BSF發送的請求摘要鑑權的鑑權參數的請求消息的情況下，所述發送單元向所述BSF 發送所述鑑權參數，以便所述BSF將所述鑑權參數轉發給所述AP。
全文摘要
本發明實施例提供一種通用鑑權架構下的用戶設備鑑權方法和鑑權裝置。該方法包括接收用戶設備發送的應用請求或鑑權請求；根據應用請求或鑑權請求，向歸屬用戶伺服器HSS請求摘要鑑權的鑑權參數；接收HSS發送的摘要鑑權的鑑權參數，根據鑑權參數對用戶設備進行摘要鑑權。本發明實施例在確定對用戶設備採用摘要鑑權時，從HSS請求相應的鑑權參數，並使用請求得到的鑑權參數對用戶設備進行摘要鑑權，從而使得GAA架構能夠支持摘要鑑權方法，實現用戶設備的有效鑑權。
文檔編號H04W12/06GK102440018SQ201180001107
公開日2012年5月2日 申請日期2011年6月30日 優先權日2011年6月30日
發明者何承東, 吳靈均, 楊俊鋮 申請人:華為技術有限公司