專利名稱:通用鑒權(quán)系統(tǒng)及訪問該系統(tǒng)中網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通用鑒權(quán)技術(shù),尤指在漫游網(wǎng)絡(luò)中�����,一種通用鑒權(quán)系統(tǒng)及訪問該系統(tǒng)中網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用(NAF)的方法�。
背景技術(shù):
在第三代無線通信標準中���,通用鑒權(quán)系統(tǒng)也稱為通用鑒權(quán)框架(GAA),是多種應(yīng)用業(yè)務(wù)實體使用的一個用于完成對用戶身份進行驗證的通用結(jié)構(gòu)����,應(yīng)用通用鑒權(quán)框架可實現(xiàn)對應(yīng)用業(yè)務(wù)的用戶進行檢查和驗證身份。上述多種應(yīng)用業(yè)務(wù)可以是多播/廣播業(yè)務(wù)�、用戶證書業(yè)務(wù)����、信息即時提供業(yè)務(wù)等,也可以是代理業(yè)務(wù)�����。
圖1為現(xiàn)有技術(shù)通用鑒權(quán)框架結(jié)構(gòu)示意圖���,如圖1所示����,通用鑒權(quán)框架通常由用戶����、執(zhí)行用戶身份初始檢查驗證的Bootstrapping服務(wù)功能(BSF)實體、歸屬用戶服務(wù)器(HSS)和網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用(NAF)實體組成。下文中將BSF實體簡稱為BSF���,將NAF實體簡稱為NAF���。其中,BSF用于與用戶進行互認證即互相驗證身份����,同時生成BSF與用戶的共享密鑰的過程,該過程也稱為Bootstrapping過程或GBA過程����,稱能夠與BSF實現(xiàn)GBA過程的用戶為具備GBA功能的用戶;HSS中存儲用于描述用戶信息的描述(Profile)文件�����,同時HSS還兼有產(chǎn)生鑒權(quán)信息的功能�����;NAF可以代表不同的網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用實體�,用戶要實現(xiàn)某種業(yè)務(wù)時,必須訪問該業(yè)務(wù)對應(yīng)的NAF并與該NAF進行通信��。各個實體之間的接口如圖1所示,BSF與NAF之間通過Zn接口連接�;用戶通過用戶終端(UE)與BSF或NAF連接,UE與BSF之間通過Ub接口連接�����,UE與NAF之間通過Ua接口連接���。
用戶需要使用某種業(yè)務(wù)即訪問該業(yè)務(wù)對應(yīng)的NAF時���,如果用戶知道該業(yè)務(wù)需要到BSF進行互認證����,則用戶通過UE直接到BSF執(zhí)行Bootstrapping過程;否則����,用戶會首先向該業(yè)務(wù)對應(yīng)的NAF發(fā)起連接請求,如果該NAF使用通用鑒權(quán)框架即支持GAA功能��,并且發(fā)現(xiàn)發(fā)起連接請求的用戶還未到BSF進行互認證�����,則通知發(fā)起連接請求的用戶到BSF執(zhí)行Bootstrapping過程。
接下來用戶通過UE與BSF之間執(zhí)行Bootstrapping過程進行互認證�,該Bootstrapping過程成功完成后,UE和BSF之間互相驗證了身份并且生成共享密鑰Ks����,BSF為該共享密鑰Ks定義了一個有效期(Key-lifetime)并分配一個會話事務(wù)標識(B-TID)給用戶;BSF和UE分別將共享密鑰Ks�,B-TID以及有效期關(guān)聯(lián)保存。當(dāng)用戶要與NAF通信時���,重新向NAF發(fā)出連接請求��,且請求消息中攜帶該B-TID��,同時用戶根據(jù)該共享密鑰Ks采用預(yù)設(shè)衍生算法計算出衍生密鑰NAF specific key�����。
NAF收到連接請求后��,如果NAF不能在本地查詢到該B-TID�,則向BSF發(fā)送攜帶自身標識和該B-TID的請求查詢消息進行查詢���。如果BSF不能在本地查詢到該B-TID�,則通知NAF沒有該用戶的信息,此時����,NAF將通知用戶到BSF進行互認證;如果BSF查詢到該B-TID��,則使用與用戶側(cè)相同的衍生算法計算共享密鑰Ks的衍生密鑰�����,然后向NAF發(fā)送成功響應(yīng)消息�����,該成功響應(yīng)中攜帶有所述B-TID�,與該B-TID對應(yīng)的衍生密鑰���,以及共享密鑰Ks的有效期��。NAF收到BSF的成功響應(yīng)消息后���,認為該用戶是經(jīng)過BSF認證的合法用戶,同時NAF共享了由共享密鑰Ks計算得到的衍生密鑰�,該衍生密鑰與用戶根據(jù)該共享密鑰Ks計算出衍生密鑰一致�����。用戶在后續(xù)訪問NAF中利用該衍生密鑰保護二者之間的通信��。
當(dāng)用戶發(fā)現(xiàn)共享密鑰Ks即將過期���,或NAF要求用戶重新到BSF進行互認證時,用戶重復(fù)上述的互認證步驟重新到BSF進行互認證��,以得到新的共享密鑰Ks及B-TID���。
以上描述的在GAA中����,用戶訪問NAF的過程適用于NAF位于用戶的歸屬網(wǎng)絡(luò)中的情況���。對于用戶訪問位于漫游網(wǎng)絡(luò)中的NAF的情況�����,現(xiàn)有技術(shù)的處理是與用戶進行互認證的BSF還是歸屬網(wǎng)絡(luò)的BSF�����,而漫游網(wǎng)絡(luò)的NAF需要通過一個D代理(D-proxy)與歸屬網(wǎng)絡(luò)的BSF連接�����,并且從歸屬網(wǎng)絡(luò)的BSF處取得衍生密鑰��,然后利用該衍生密鑰與用戶進行通信�。這種情況屬于歸屬網(wǎng)絡(luò)和漫游網(wǎng)絡(luò)都支持GAA的情況。
但是�����,如果一個具備GBA功能的UE所在的歸屬網(wǎng)絡(luò)不支持GAA���,而當(dāng)該UE漫游到一個支持GAA的漫游網(wǎng)絡(luò)時�,按照目前提供的通用鑒權(quán)架構(gòu)和通過該通用鑒權(quán)架構(gòu)訪問NAF的處理方法���,由于與用戶進行互認證的BSF是歸屬網(wǎng)絡(luò)的BSF,而該UE所屬歸屬網(wǎng)絡(luò)不支持GAA����,因此,該UE是不能使用漫游網(wǎng)絡(luò)提供的NAF業(yè)務(wù)的���。
發(fā)明內(nèi)容
有鑒于此�����,本發(fā)明的主要目的在于提供一種通用鑒權(quán)系統(tǒng)����,使漫游用戶能夠訪問漫游網(wǎng)絡(luò)中的NAF業(yè)務(wù)。
本發(fā)明的另一目的在于提供一種訪問所述通用鑒權(quán)系統(tǒng)中網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用的方法����,使漫游用戶能夠訪問漫游網(wǎng)絡(luò)中的NAF業(yè)務(wù)。
為達到上述目的�,本發(fā)明的技術(shù)方案具體是這樣實現(xiàn)的一種通用鑒權(quán)系統(tǒng),該系統(tǒng)包括該系統(tǒng)包括漫游用戶���、漫游網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用V-NAF實體�、及用于實現(xiàn)與漫游用戶的互認證的通用鑒權(quán)實體����,其中,所述漫游用戶接收來自所述V-NAF實體的互認證通知�,向所述通用鑒權(quán)實體發(fā)起互認證請求;所述通用鑒權(quán)實體接收來自漫游用戶的互認證請求,與該漫游用戶進行互認證����,互認證后該漫游用戶訪問所述網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用。
該系統(tǒng)具體包括所述V-NAF實體�����,接收來自漫游用戶的連接請求����,通知該漫游用戶進行互認證或者向所述通用鑒權(quán)實體查詢該漫游用戶的衍生密鑰;接收來自所述通用鑒權(quán)實體的衍生密鑰����,并利用該衍生密鑰與所述漫游用戶進行通信;所述漫游用戶���,向所述V-NAF實體發(fā)送連接請求����;接收來自V-NAF實體的互認證通知��,向所述通用鑒權(quán)實體發(fā)送互認證請求��,與所述通用鑒權(quán)實體實現(xiàn)互認證并生成衍生密鑰�����;利用生成的衍生密鑰與所述V-NAF實體進行通信���;所述通用鑒權(quán)實體���,接收來自所述漫游用戶的互認證請求,通過自身與漫游用戶所屬歸屬網(wǎng)絡(luò)的簽約數(shù)據(jù)庫的連接�,獲取所述通用鑒權(quán)實體與所述漫游用戶進行互認證所需的鑒權(quán)信息,并實現(xiàn)與該漫游用戶的互認證�����;接收來自所述V-NAF實體的查詢請求��,生成衍生密鑰并發(fā)送給所述V-NAF����。
所述通用鑒權(quán)實體為位于所述漫游網(wǎng)絡(luò)中的執(zhí)行用戶身份初始檢查驗證的Bootstrapping服務(wù)功能V-BSF實體。
所述漫游用戶所屬歸屬網(wǎng)絡(luò)的簽約數(shù)據(jù)庫為歸屬用戶服務(wù)器HSS�,所述V-BSF實體與所述HSS間通過Zh接口采用Diameter協(xié)議連接;或用戶所屬歸屬網(wǎng)絡(luò)的簽約數(shù)據(jù)庫為歸屬位置寄存器HLR��,所述V-BSF實體與所述HLR間通過Gr接口連接。
所述通用鑒權(quán)實體包括位于所述漫游網(wǎng)絡(luò)中的服務(wù)GPRS支持節(jié)點SGSN��,及執(zhí)行用戶身份初始檢查驗證的Bootstrapping服務(wù)功能V-BSF實體��。
所述漫游用戶所屬歸屬網(wǎng)絡(luò)的簽約數(shù)據(jù)庫為HSS/HLR�,所述SGSN與所述HLR/HSS間通過Gr接口連接,所述V-BSF實體與所述SGSN間通過Zx接口連接����。
所述V-BSF實體為兩個或兩個以上,所述通用鑒權(quán)實體還包括用于連接所有V-BSF實體與漫游用戶所屬歸屬網(wǎng)絡(luò)的B代理B-proxy��。
所述各V-BSF實體與所述B-proxy間通過Zx接口連接�;所述漫游用戶所屬歸屬網(wǎng)絡(luò)的簽約數(shù)據(jù)庫為HSS,所述B-proxy與所述HSS間通過Zh’接口連接����;或用戶所屬歸屬網(wǎng)絡(luò)的簽約數(shù)據(jù)庫為HLR,所述B-proxy與所述HLR間通過Gr接口連接�����。
所述B-proxy為獨立實體����,或為所有V-BSF實體中任一V-BSF實體中的一個功能模塊��。
所述V-BSF實體為兩個或兩個以上����,所有V-BSF實體中指定一個V-BSF實體為主V-BSF實體��;
所述主V-BSF實體包括用于連接V-BSF實體與漫游用戶所屬歸屬網(wǎng)絡(luò)的B代理B-proxy�。
所述主V-BSF與所述剩余V-BSF間通過Zx接口連接�;所述用戶所屬歸屬網(wǎng)絡(luò)的簽約數(shù)據(jù)庫為HSS,所述B-proxy與所述HSS間通過Zh’接口連接���;或用戶所屬歸屬網(wǎng)絡(luò)的簽約數(shù)據(jù)庫為HLR����,所述B-proxy與所述HLR間通過Gr接口連接���。
所述V-BSF實體與所述V-NAF實體通過Zn接口連接�,所述漫游用戶通過Ub接口與所述V-BSF實體連接�����、通過Ua接口與所述V-NAF實體連接����。
一種訪問通用鑒權(quán)系統(tǒng)中網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用NAF實體的方法�����,所述通用鑒權(quán)系統(tǒng)包括漫游用戶�����、漫游網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用V-NAF實體���、及用于實現(xiàn)與漫游用戶的互認證和向V-NAF實體提供衍生密鑰的通用鑒權(quán)實體,該方法包括以下步驟A.所述漫游用戶接收到來自所述V-NAF實體的互認證通知后�,向所述通用鑒權(quán)實體發(fā)起互認證請求;B.所述通用鑒權(quán)實體根據(jù)所述互認證請求中攜帶的用戶信息�����,從該漫游用戶所屬歸屬網(wǎng)絡(luò)的簽約數(shù)據(jù)庫獲取鑒權(quán)信息���;C.所述通用鑒權(quán)實體與該漫游用戶根據(jù)所述鑒權(quán)信息進行互認證后���,該漫游用戶訪問所述網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用。
步驟A中所述漫游用戶接收到互認證通知之后�,向通用鑒權(quán)實體發(fā)起互認證請求之前��,該方法進一步包括所述漫游用戶通過已獲知的所述漫游網(wǎng)絡(luò)的移動國家碼和移動網(wǎng)絡(luò)碼獲取通用鑒權(quán)實體的互認證地址�����;或者所述漫游用戶在發(fā)送給所述V-NAF實體的連接請求中攜帶標識自身是漫游用戶的標志����,所述V-NAF實體獲知當(dāng)前用戶為漫游用戶且判定該漫游用戶未進行互認證后��,將漫游網(wǎng)絡(luò)中通用鑒權(quán)實體的互認證地址攜帶在GBA指示中返回給所述漫游用戶�����。
步驟C具體包括C1.所述漫游用戶與所述V-BSF實體間互相驗證身份并生成共享密鑰Ks�����,所述V-BSF實體為該共享密鑰Ks定義有效期并分配B-TID�,所述V-BSF實體和所述漫游用戶分別將所述共享密鑰Ks�����,B-TID以及有效期關(guān)聯(lián)保存�;C2.所述漫游用戶將所述B-TID攜帶連接請求中并發(fā)送給所述V-NAF實體��,同時所述漫游用戶根據(jù)該共享密鑰Ks采用預(yù)設(shè)衍生算法計算出衍生密鑰�;C3.所述V-NAF實體根據(jù)接收到連接請求�����,若自身不能在本地查詢到所述B-TID���,則將自身標識和所述B-TID攜帶在請求查詢消息中并發(fā)送給所述V-BSF實體��;C4.若所述V-BSF實體查詢到所述B-TID�,并使用與用戶側(cè)相同的衍生算法計算共享密鑰Ks的衍生密鑰���,并將所述B-TID�����,及生成的衍生密鑰攜帶在成功響應(yīng)消息中并發(fā)送給所述V-NAF實體�,所述漫游用戶與所述V-NAF實體間采用所述衍生密鑰進行通信�。
步驟C4中,若所述V-BSF實體不能在本地查詢到所述B-TID��,則所述V-BSF實體通知所述V-NAF實體未查詢到所述漫游用戶的信息;所述V-NAF實體通知所述漫游用戶返回重新執(zhí)行步驟A�����。
步驟C3中����,若所述V-BSF實體為兩個或兩個以上,則所述V-NAF實體向所有V-BSF實體發(fā)送攜帶自身標識和所述B-TID的請求查詢消息進行查詢���。
所述漫游用戶所屬歸屬網(wǎng)絡(luò)的簽約數(shù)據(jù)庫為HSS/HLR����。
該方法進一步包括所述漫游用戶離開所述漫游網(wǎng)絡(luò)時���,所述UE刪除分配給該漫游用戶的共享密鑰Ks、所述衍生密鑰及B-TID����。
該方法進一步包括所述漫游用戶移動至另一漫游網(wǎng)絡(luò)中,若另一漫游網(wǎng)絡(luò)中的NAF實體向所述漫游網(wǎng)絡(luò)請求所述漫游用戶的安全通信用信息�,所述漫游網(wǎng)絡(luò)中的V-BSF實體拒絕將該漫游用戶的衍生密鑰返回給另一漫游網(wǎng)絡(luò)中的NAF實體。
由上述技術(shù)方案可見�,本發(fā)明通用鑒權(quán)系統(tǒng)包括漫游用戶、位于漫游網(wǎng)絡(luò)中的用于實現(xiàn)與漫游用戶的互認證和向V-NAF提供衍生密鑰的通用鑒權(quán)實體�����,以及網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用。本發(fā)明訪問所述通用鑒權(quán)系統(tǒng)中的網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用的方法��,對于漫游用戶具備GBA功能����,而該漫游用戶所屬歸屬網(wǎng)絡(luò)不支持GAA,當(dāng)該漫游用戶處于支持GAA的漫游網(wǎng)絡(luò)時�����,該方法實現(xiàn)了漫游用戶在漫游網(wǎng)絡(luò)中完成互認證過程�,從而實現(xiàn)了訪問漫游網(wǎng)絡(luò)中的NAF服務(wù)。
圖1是現(xiàn)有技術(shù)通用鑒權(quán)框架結(jié)構(gòu)示意圖��;圖2是本發(fā)明通用鑒權(quán)系統(tǒng)結(jié)構(gòu)示意圖�����;圖3a是本發(fā)明通用鑒權(quán)實體實施例一的結(jié)構(gòu)示意圖�;圖3b是本發(fā)明通用鑒權(quán)實體實施例二的結(jié)構(gòu)示意圖;圖4a是本發(fā)明漫游網(wǎng)絡(luò)中存在多個BSF時�����,通用鑒權(quán)實體實施例一的結(jié)構(gòu)示意圖;圖4b是本發(fā)明漫游網(wǎng)絡(luò)中存在多個BSF時�����,通用鑒權(quán)實體實施例二的結(jié)構(gòu)示意圖�����;圖5是本發(fā)明訪問NAF的方法的流程圖���;圖6是本發(fā)明訪問NAF的實施例一的流程圖�;圖7是本發(fā)明訪問NAF的實施例二的流程圖�����。
具體實施例方式
本發(fā)明的核心思想是在由漫游用戶�、位于漫游網(wǎng)絡(luò)中的通用鑒權(quán)實體和漫游網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用組成的通用鑒權(quán)系統(tǒng)中��,漫游用戶接收到來自網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用的互認證通知后���,向所處漫游網(wǎng)絡(luò)中的通用鑒權(quán)實體發(fā)起互認證請求����;所述通用鑒權(quán)實體根據(jù)所述互認證請求中攜帶的用戶信息,從該漫游用戶所屬歸屬網(wǎng)絡(luò)的簽約數(shù)據(jù)庫獲取鑒權(quán)信息�;所述通用鑒權(quán)實體與該用戶根據(jù)獲得的鑒權(quán)信息進行互認證并生成衍生密鑰,該漫游用戶利用該衍生密鑰訪問所述網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用����。
為使本發(fā)明的目的、技術(shù)方案及優(yōu)點更加清楚明白���,以下參照附圖并舉較佳實施例��,對本發(fā)明進一步詳細說明��。
本發(fā)明尤其適用于漫游用戶具備GBA功能��,該漫游用戶所屬歸屬網(wǎng)絡(luò)不支持GAA���,而該漫游用戶所處漫游網(wǎng)絡(luò)支持GAA;且所述漫游網(wǎng)絡(luò)與歸屬網(wǎng)絡(luò)間已簽訂相應(yīng)的服務(wù)協(xié)議�,使歸屬網(wǎng)絡(luò)對漫游網(wǎng)絡(luò)開放用于實現(xiàn)互認證過程的相關(guān)接口,這樣���,漫游網(wǎng)絡(luò)可以通過所述相關(guān)接口訪問歸屬網(wǎng)絡(luò)并從歸屬網(wǎng)絡(luò)獲得所需的鑒權(quán)用數(shù)據(jù)����。
圖2是本發(fā)明通用鑒權(quán)系統(tǒng)結(jié)構(gòu)示意圖,如圖2所示�,本發(fā)明的通用鑒權(quán)系統(tǒng)包括漫游用戶、位于漫游網(wǎng)絡(luò)中的通用鑒權(quán)實體和漫游NAF(V-NAF)���,各個實體之間的接口如圖2所示�����,通用鑒權(quán)實體與NAF之間通過Zn接口連接��;通用鑒權(quán)實體通過相關(guān)接口與漫游用戶的歸屬網(wǎng)絡(luò)中的簽約數(shù)據(jù)庫連接�����,具體實現(xiàn)可參見圖3a���、圖3b、圖4a及圖4b的描述�;漫游用戶通過UE與通用鑒權(quán)實體及V-NAF連接���,UE與通用鑒權(quán)實體之間通過Ub接口連接����,UE與V-NAF之間通過Ua接口連接。
其中���,V-NAF可以代表不同的網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用實體����,用戶要實現(xiàn)某種業(yè)務(wù)時�,必須訪問該業(yè)務(wù)對應(yīng)的NAF并與該NAF進行通信。V-NAF接收來自用戶的連接請求�,若判定該用戶未進行互認證,則通知該用戶進行互認證�����;若判定該用戶已進行互認證且為漫游用戶����,則向通用鑒權(quán)實體查詢該漫游用戶的衍生密鑰;接收來自通用鑒權(quán)實體的衍生密鑰�����,并利用該衍生密鑰與所述漫游用戶進行通信�����,以實現(xiàn)該漫游用戶請求的業(yè)務(wù);漫游用戶���,向V-NAF發(fā)送連接請求���,以請求實現(xiàn)業(yè)務(wù);接收來自V-NAF的互認證通知����,向通用鑒權(quán)實體發(fā)送互認證請求,與通用鑒權(quán)實體實現(xiàn)互認證并生成衍生密鑰��;利用生成的衍生密鑰與V-NAF進行通信�,以實現(xiàn)該漫游用戶請求的業(yè)務(wù);通用鑒權(quán)實體�,接收來自漫游用戶的互認證請求,通過自身與漫游用戶所屬歸屬網(wǎng)絡(luò)的簽約數(shù)據(jù)庫的連接�����,獲取通用鑒權(quán)實體與漫游用戶進行互認證所需的鑒權(quán)信息�,并實現(xiàn)與該漫游用戶的互認證;接收來自V-NAF的查詢請求�,生成衍生密鑰并提供給V-NAF����。該通用鑒權(quán)實體的功能包括實現(xiàn)與該漫游用戶的互認證和向V-NAF提供衍生密鑰����。所述鑒權(quán)信息包括標識用戶簽約申請的業(yè)務(wù)的用戶簽約數(shù)據(jù)���,及標識用戶身份的鑒權(quán)向量等���。
圖3a和圖3b是兩種通用鑒權(quán)實體的實現(xiàn)方式,下面分別進行詳細描述��。圖3a是本發(fā)明通用鑒權(quán)實體實施例一的結(jié)構(gòu)示意圖�����,如圖3a所示�����,通用鑒權(quán)實體包括漫游網(wǎng)絡(luò)中的BSF即漫游BSF(V-BSF)���,若漫游用戶的鑒權(quán)信息存儲在歸屬網(wǎng)絡(luò)的HSS中����,則V-BSF可以通過Zh接口采用Diameter協(xié)議從所述HSS中獲得該漫游用戶的鑒權(quán)信息,此時簽約數(shù)據(jù)庫就是HSS��;若漫游用戶的鑒權(quán)信息存儲在歸屬網(wǎng)絡(luò)的歸屬位置寄存器(HLR)中�,則V-BSF可以通過Gr接口從所述HLR獲得該漫游用戶的鑒權(quán)信息,此時簽約數(shù)據(jù)庫就是HLR���。圖3a所示的通用鑒權(quán)實體與通用鑒權(quán)系統(tǒng)的其它實體之間的接口為V-BSF與V-NAF通過Zn接口連接�����,漫游用戶通過Ub接口與V-BSF連接�����、通過Ua接口與V-NAF連接�����。
圖3a所示的通用鑒權(quán)實體中���,V-BSF接收來自漫游用戶的互認證請求,通過自身與漫游用戶所屬歸屬網(wǎng)絡(luò)的簽約數(shù)據(jù)庫的連接,獲取通用鑒權(quán)實體與漫游用戶進行互認證所需的鑒權(quán)信息����,并實現(xiàn)與該漫游用戶的互認證;接收來自V-NAF的查詢請求�,生成衍生密鑰并提供給V-NAF���。
圖3b是本發(fā)明通用鑒權(quán)實體實施例二的結(jié)構(gòu)示意圖����,如圖3b所示��,通用鑒權(quán)實體包括位于漫游網(wǎng)絡(luò)中的服務(wù)GPRS支持節(jié)點(SGSN)和V-BSF���,漫游網(wǎng)絡(luò)中的SGSN與歸屬網(wǎng)絡(luò)的HLR/HSS間通過Gr接口連接����,V-BSF與SGSN之間通過Zx接口連接��。V-BSF需要獲取用戶的鑒權(quán)信息時����,通過SGSN訪問歸屬網(wǎng)絡(luò)的HLR/HSS,以獲取鑒權(quán)信息及GPRS簽約信息,此時簽約數(shù)據(jù)庫就是HLR/HSS��。圖3b所示的通用鑒權(quán)實體與通用鑒權(quán)系統(tǒng)的其它實體之間的接口為通用鑒權(quán)實體中的V-BSF與V-NAF通過Zn接口連接���,漫游用戶通過Ub接口與V-BSF連接����、通過Ua接口與V-NAF連接���。
圖3b所示的通用鑒權(quán)實體中�����,V-BSF接收來自漫游用戶的互認證請求�,通過SGSN與漫游用戶所屬歸屬網(wǎng)絡(luò)的簽約數(shù)據(jù)庫的連接����,并獲取通用鑒權(quán)實體與漫游用戶進行互認證所需的鑒權(quán)信息,V-BSF實現(xiàn)與該漫游用戶的互認證����;V-BSF接收來自V-NAF的查詢請求,生成衍生密鑰并提供給V-NAF����。
需要說明的是�����,本發(fā)明中V-BSF還可以從HLR/HSS獲得用戶的GUSS數(shù)據(jù)如果用戶的歸屬網(wǎng)絡(luò)寄存器是HLR���,那么HLR通過向SGSN輸出GPRS簽約數(shù)據(jù)的方式,向BSF輸出GUSS��?����;蛘逩USS作為GPRS簽約數(shù)據(jù)的一部分�����,隨著HLR向BSF輸出的GPRS簽約數(shù)據(jù)一起發(fā)送給BSF�����;如果用戶的歸屬網(wǎng)絡(luò)寄存器是HSS���,那么HSS可以按照現(xiàn)有方式通過Zn接口協(xié)議從用戶的HSS中獲得鑒權(quán)和GUSS數(shù)據(jù)。
在漫游網(wǎng)絡(luò)中,若存在多個BSF��,可能所有BSF都可以對漫游用戶進行鑒權(quán)�����,也可能只有其中某個或者幾個BSF用于鑒權(quán)漫游用戶����,而剩余的BSF只能鑒權(quán)本地用戶,鑒權(quán)漫游用戶的BSF與鑒權(quán)本地用戶的BSF可以采用不同的域名加以區(qū)別���,比如�����,用于鑒權(quán)本地用戶的BSF的域名可以設(shè)置為BSFbsf.mnc<MNC>.mcc<MCC>.3gppnetwork.org��,用于鑒權(quán)漫游用戶的BSF的域名可以設(shè)置為VBSF bsf.mnc<MNC>.mcc<MCC>.3gppnetwork.org�,其中<MNC>中填入的是移動網(wǎng)絡(luò)碼(MNC)�,<MCC>中填入的是移動國家碼(MCC)。如果BSF既可以用于鑒權(quán)本地用戶又可以用于鑒權(quán)漫游用戶��,那么可以為該BSF設(shè)置上述兩種域名�����。
無論是所有BSF都可以對漫游用戶進行鑒權(quán),還是只有其中某個或者幾個BSF用于鑒權(quán)漫游用戶��,只要漫游網(wǎng)絡(luò)中存在兩個或兩個以上用于鑒權(quán)漫游用戶的BSF��,為了使這些BSF能夠通過一個統(tǒng)一的接口訪問歸屬網(wǎng)絡(luò)的簽約數(shù)據(jù)庫��,本發(fā)明通過設(shè)置一個用于連接所述V-BSF與漫游用戶的歸屬網(wǎng)絡(luò)的統(tǒng)一接口的B代理(B-proxy)來實現(xiàn)�。該B-proxy可以是用于鑒權(quán)漫游用戶的BSF中的一個BSF中的一個功能模塊,也可以是一獨立實體���。當(dāng)然�����,如果歸屬網(wǎng)絡(luò)中的簽約數(shù)據(jù)庫支持與多個BSF相連,且每個用于鑒權(quán)漫游用戶的BSF均單獨與歸屬網(wǎng)絡(luò)中的簽約數(shù)據(jù)庫連接�,那么,可以不需要B-proxy�。
圖4a是本發(fā)明漫游網(wǎng)絡(luò)中存在多個BSF時,通用鑒權(quán)實體實施例一的結(jié)構(gòu)示意圖�����,如圖4a所示,假設(shè)漫游網(wǎng)絡(luò)中存在n個用于鑒權(quán)漫游用戶的V-BSF即V-BSF1~V-BSFn��,n為大于1的正整數(shù)����。V-BSF1~V-BSFn分別通過Zn接口與V-NAF相連、分別通過Zx接口與B-proxy相連����;B-proxy通過Gr/Zh’接口與歸屬網(wǎng)絡(luò)中的簽約數(shù)據(jù)庫相連,這樣�����,V-BSF1~V-BSFn通過一個統(tǒng)一的Gr/Zh’接口訪問歸屬網(wǎng)絡(luò)的簽約數(shù)據(jù)庫���;每個V-BSF均提供與漫游用戶相連接的Ub接口�����,漫游用戶通過Ua接口與V-NAF相連接��。
圖4b是本發(fā)明漫游網(wǎng)絡(luò)中存在多個BSF時����,通用鑒權(quán)實體實施例二的結(jié)構(gòu)示意圖,如圖4b所示����,假設(shè)漫游網(wǎng)絡(luò)中存在n個用于鑒權(quán)漫游用戶的V-BSF即V-BSF1~V-BSFn,n為大于1的正整數(shù)�����。V-BSF1是同時具有B-proxy作用的主V-BSF��,主V-BSF具有兩個域名��,一個是B-proxy的域名��,另一個是V-BSF的域名��,可以通過預(yù)先設(shè)置來實現(xiàn)���。V-BSF2~V-BSFn分別通過Zn接口與V-NAF相連、分別通過Zx接口與主V-BSF相連�����;主V-BSF中的B-proxy通過Gr/Zh’接口與歸屬網(wǎng)絡(luò)中的簽約數(shù)據(jù)庫相連����,這樣����,V-BSF1~V-BSFn通過一個統(tǒng)一的Gr/Zh’接口訪問歸屬網(wǎng)絡(luò)的簽約數(shù)據(jù)庫���;每個V-BSF均提供與漫游用戶相連接的Ub接口�,漫游用戶通過Ua接口與V-NAF相連接���。
以上對本發(fā)明通用鑒權(quán)系統(tǒng)的結(jié)構(gòu)組成進行了介紹���,下面結(jié)合圖2和圖5,進一步介紹本發(fā)明訪問該通用鑒權(quán)系統(tǒng)中的NAF的方法�,圖5是本發(fā)明訪問NAF的方法的流程圖,在由漫游用戶���、位于漫游網(wǎng)絡(luò)中的通用鑒權(quán)實體和網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用組成的通用鑒權(quán)系統(tǒng)中����,假設(shè)漫游用戶所屬歸屬網(wǎng)絡(luò)不支持GAA��,而該漫游用戶所處漫游網(wǎng)絡(luò)支持GAA����。本發(fā)明方法包括以下步驟步驟500漫游用戶接收到來自網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用的互認證通知后��,由于漫游用戶歸屬網(wǎng)絡(luò)不支持GAA��,則漫游用戶通過向所處漫游網(wǎng)絡(luò)中的通用鑒權(quán)系統(tǒng)的通用鑒權(quán)實體發(fā)起互認證請求����。
與現(xiàn)有技術(shù)一致����,漫游用戶通過向V-NAF發(fā)送連接請求,以請求實現(xiàn)業(yè)務(wù)����,如果該V-NAF發(fā)現(xiàn)發(fā)起連接請求的漫游用戶未進行互認證,則可以通過向該漫游用戶發(fā)出GBA指示���,通知該漫游用戶執(zhí)行互認證過程即Bootstrapping過程�。
本發(fā)明中����,由于漫游用戶的歸屬網(wǎng)絡(luò)不支持GAA��,按照漫游網(wǎng)絡(luò)與歸屬網(wǎng)絡(luò)間預(yù)先簽訂的服務(wù)協(xié)議,漫游用戶通過漫游網(wǎng)絡(luò)中通用鑒權(quán)系統(tǒng)的通用鑒權(quán)實體進行互認證��。
當(dāng)漫游用戶移動至漫游網(wǎng)絡(luò)時���,網(wǎng)絡(luò)的移動國家碼和移動網(wǎng)絡(luò)碼是漫游用戶所能獲知的��,具體實現(xiàn)方法為本領(lǐng)域技術(shù)人員公知技術(shù)����,這里不再贅述�。本發(fā)明中,漫游用戶只需根據(jù)用于鑒權(quán)漫游用戶的V-BSF的域名��,將漫游網(wǎng)絡(luò)的MCC碼和MNC碼加上VBSF前綴和3gppnetwork.org后綴���,便得到V-BSF的地址即通用鑒權(quán)實體的互認證地址�。
另外����,漫游用戶可以通過在連接請求中攜帶標識自身是漫游用戶的標志,使NAF獲知當(dāng)前用戶為漫游用戶���,這樣����,NAF在GBA指示中,將漫游網(wǎng)絡(luò)中通用鑒權(quán)系統(tǒng)中通用鑒權(quán)實體的互認證地址返回漫游用戶����。
步驟501所述通用鑒權(quán)實體根據(jù)所述互認證請求中攜帶的用戶信息,從該漫游用戶所屬歸屬網(wǎng)絡(luò)的簽約數(shù)據(jù)庫獲取鑒權(quán)信息�。
當(dāng)V-BSF收到漫游用戶的認證請求后,根據(jù)該認證請求中攜帶的用戶信息如身份標識����,若該身份標識不屬于本網(wǎng)絡(luò),則根據(jù)該身份標識確定請求認證的用戶的歸屬網(wǎng)絡(luò)簽約數(shù)據(jù)庫如HSS/HLR的地址����,并且通過Zh/Gr接口從所述歸屬網(wǎng)絡(luò)簽約數(shù)據(jù)庫獲取該漫游用戶的鑒權(quán)信息。
步驟502所述通用鑒權(quán)實體與該用戶根據(jù)所述鑒權(quán)信息進行互認證并生成衍生密鑰�����,該漫游用戶利用該衍生密鑰訪問當(dāng)前所處漫游網(wǎng)絡(luò)中的網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用�����。
漫游用戶通過UE與互認證地址對應(yīng)的V-BSF執(zhí)行Bootstrapping過程進行互認證,該Bootstrapping過程成功完成后�,UE和V-BSF之間互相驗證了身份并且生成共享密鑰Ks,V-BSF為該共享密鑰Ks定義了一個有效期并分配一個B-TID給漫游用戶�;V-BSF和UE分別將共享密鑰Ks�,B-TID以及有效期關(guān)聯(lián)保存。當(dāng)漫游用戶要與V-NAF通信時�����,重新向V-NAF發(fā)出連接請求����,且請求消息中攜帶該B-TID,同時漫游用戶根據(jù)該共享密鑰Ks采用預(yù)設(shè)衍生算法計算出衍生密鑰��。
另外為了便于區(qū)分漫游用戶和本地用戶����,兩種用戶B-TID的類型也可有所區(qū)分,比如向本地用戶分配的B-TID可以是類似于base64encode(RAND)@BSF_servers_domain_name����,而對漫游用戶分配的B-TID則可以通過增加字符串來指示,如base64encode(RAND)-Visited@BSF_servers_domain_name中增加“-Visited”字符串來標識用戶為漫游用戶�。
V-NAF收到連接請求后�����,如果V-NAF不能在本地查詢到該B-TID��,則向V-BSF發(fā)送攜帶自身標識和該B-TID的請求查詢消息進行查詢����,需要說明的是�,如果漫游網(wǎng)絡(luò)中存在多個V-BSF可以對漫游用戶進行鑒權(quán),那么����,V-NAF可以向所有能對漫游用戶進行鑒權(quán)的V-BSF發(fā)送攜帶自身標識和該B-TID的請求查詢消息進行查詢。如果V-BSF不能在本地查詢到該B-TID�����,則通知V-NAF沒有該漫游用戶的信息����,此時,V-NAF將通知漫游用戶進行互認證�����,即返回步驟500重新執(zhí)行本方法流程;如果V-BSF查詢到該B-TID��,則使用與用戶側(cè)相同的衍生算法計算共享密鑰Ks的衍生密鑰���,然后向V-NAF發(fā)送成功響應(yīng)消息����,該成功響應(yīng)中攜帶有所述B-TID��,與該B-TID對應(yīng)的衍生密鑰�,以及共享密鑰Ks的有效期����。V-NAF收到來自V-BSF的成功響應(yīng)消息后,認為該漫游用戶是執(zhí)行過互認證的合法用戶����,同時V-NAF共享了由共享密鑰Ks計算得到的衍生密鑰,該衍生密鑰與漫游用戶根據(jù)該共享密鑰Ks計算出衍生密鑰一致�����。用戶在后續(xù)訪問V-NAF中利用該衍生密鑰保護二者之間的通信�����。
當(dāng)用戶發(fā)現(xiàn)共享密鑰Ks即將過期,或NAF要求用戶重新到BSF進行互認證時����,用戶重復(fù)上述的互認證步驟重新到BSF進行互認證,以得到新的共享密鑰Ks及B-TID�。
除此之外,為了保證用戶不會利用在當(dāng)前所處漫游網(wǎng)絡(luò)分配的共享密鑰Ks��、生成的衍生密鑰和B-TID等安全通信用信息去訪問另一個漫游網(wǎng)絡(luò)中的NAF��,為了描述方便�,將當(dāng)前所處的漫游網(wǎng)絡(luò)稱為第一漫游網(wǎng)絡(luò),將另一個漫游網(wǎng)絡(luò)稱為第二漫游網(wǎng)絡(luò)����。本發(fā)明方法還可以進一步包括用戶在離開第一漫游網(wǎng)絡(luò)時,UE刪除第一漫游網(wǎng)絡(luò)中的V-BSF分配給該用戶的共享密鑰Ks�、生成的衍生密鑰和B-TID;當(dāng)然��,如果第二漫游網(wǎng)絡(luò)的NAF向第一漫游網(wǎng)絡(luò)請求該用戶的安全通信用信息時����,第一漫游網(wǎng)絡(luò)的V-BSF也不會將該用戶的衍生密鑰等安全通信信息返回給該NAF���。
下面結(jié)合實施例具體描述本發(fā)明方法的實現(xiàn)過程,圖6是本發(fā)明訪問NAF的實施例一的流程圖��,結(jié)合圖3a�����,實施例一中通用鑒權(quán)實體由V-BSF組成����。假設(shè)漫游用戶通過UE在向V-NAF發(fā)出首次連接請求之前�,還未進行互認證,本實施例具體包括以下步驟步驟600~步驟601漫游網(wǎng)絡(luò)中的V-NAF接收到來自漫游用戶通過UE發(fā)送的連接請求后��,V-NAF發(fā)現(xiàn)該UE還未進行互認證����,則向該UE發(fā)出GBA指示,通知該UE執(zhí)行互認證過程即Bootstrapping過程����。
本步驟的具體實現(xiàn)與現(xiàn)有技術(shù)完全一致,這里不再贅述���。
步驟602~步驟604UE向漫游網(wǎng)絡(luò)中的V-BSF發(fā)送攜帶用戶信息的認證請求�����,V-BSF根據(jù)用戶信息�����,確定該UE所屬歸屬網(wǎng)絡(luò)簽約數(shù)據(jù)庫地址����,并從用戶簽約數(shù)據(jù)庫中獲取該UE的鑒權(quán)信息。
本步驟中�,假設(shè)漫游用戶已獲知漫游網(wǎng)絡(luò)的MCC碼和MNC碼,而且根據(jù)用于鑒權(quán)漫游用戶的V-BSF的域名�,將漫游網(wǎng)絡(luò)的MCC碼和MNC碼加上VBSF前綴和“3gppnetwork.org”后綴。
步驟605~步驟606UE與V-BSF之間進行互鑒權(quán)和密鑰協(xié)商過程即互認證過程�����,UE和V-BSF之間互相驗證了身份并且生成共享密鑰Ks��,V-BSF為該共享密鑰Ks定義了一個有效期并分配一個B-TID給漫游用戶����;V-BSF和UE分別將共享密鑰Ks����,B-TID以及有效期關(guān)聯(lián)保存����;UE根據(jù)該共享密鑰Ks采用預(yù)設(shè)衍生算法計算出衍生密鑰并保存。
如果需要區(qū)分本地用戶和漫游用戶��,那么兩種用戶B-TID的類型也可有所區(qū)分����。比如向本地用戶分配的B-TID可以是類似于base64encode(RAND)@BSF_servers_domain_name,而對漫游用戶分配的B-TID則可以通過增加字符串來指示�����,如base64encode(RAND)-Visited@BSF_servers_domain_name中增加“-Visited”字符串來標識用戶為漫游用戶��。
步驟607~步驟609UE將獲得的B-TID攜帶在連接請求中����,向V-NAF發(fā)起業(yè)務(wù)請求�;V-NAF向V-BSF發(fā)送攜帶自身標識(V-NAF ID)和該B-TID的請求查詢消息查詢該UE的衍生密鑰;V-BSF根據(jù)請求查詢消息中攜帶的B-TID�,若自身存在與該B-TID關(guān)聯(lián)存儲的共享密鑰Ks��,則根據(jù)該共享密鑰Ks����,采用與用戶側(cè)相同的預(yù)設(shè)衍生算法計算出衍生密鑰�。
本步驟中�����,若V-BSF中不存在與該B-TID關(guān)聯(lián)存儲的共享密鑰Ks��,則通知V-NAF沒有該UE的認證信息���。
另外��,本步驟中,假設(shè)V-NAF不能在本地查詢到該B-TID�����,則V-NAF向V-BSF發(fā)起請求查詢消息�,否則�,可以省略請求查詢消息���,這點與現(xiàn)有技術(shù)一致。
步驟610~步驟611V-BSF將生成的衍生密鑰�����、所述B-TID及與該B-TID關(guān)聯(lián)存儲的有效期攜帶在請求查詢響應(yīng)消息中返回給V-NAF���;V-NAF采用各自已獲得的衍生密鑰進行安全通信��。
圖7是本發(fā)明訪問NAF的實施例二的流程圖����,結(jié)合圖3b,實施例二中通用鑒權(quán)實體由V-BSF和SGSN組成����,與圖6所示的實施例一相比,實施例二有兩個處理不同����,一是UE獲取通用鑒權(quán)系統(tǒng)中的互認證地址的方法不同��;二是通用鑒權(quán)系統(tǒng)中通用鑒權(quán)實體的組成不同。假設(shè)漫游用戶通過UE在向V-NAF發(fā)出首次連接請求之前�����,還未進行互認證�����,本實施例具體包括以下步驟步驟700~步驟701漫游網(wǎng)絡(luò)中的V-NAF接收到來自漫游用戶通過UE發(fā)送的連接請求后,V-NAF發(fā)現(xiàn)該UE還未進行互認證��,則向該UE發(fā)出GBA指示�,通知該UE執(zhí)行互認證過程即Bootstrapping過程���。
本步驟中,假設(shè)UE在連接請求中攜帶有標識自身是漫游用戶的標志����,因此���,在NAF獲知該UE為漫游用戶后,將通用鑒權(quán)系統(tǒng)中通用鑒權(quán)實體的互認證地址攜帶在GBA指示中返回給UE��。
步驟702~步驟704UE向獲得的互認證地址對應(yīng)的V-BSF發(fā)送攜帶用戶信息的認證請求,V-BSF根據(jù)用戶信息��,確定該UE所屬歸屬網(wǎng)絡(luò)的用戶簽約數(shù)據(jù)庫地址�����,并通過SGSN從用戶簽約數(shù)據(jù)庫中獲取該UE的鑒權(quán)信息�����。
步驟705~步驟711的具體實現(xiàn)與實施例一中步驟605~步驟611完全一致����,這里不再重述�����。
以上所述,僅為本發(fā)明的較佳實施例而已��,并非用于限定本發(fā)明的保護范圍���,凡在本發(fā)明的精神和原則之內(nèi)所做的任何修改�、等同替換��、改進等���,均應(yīng)包含在本發(fā)明的保護范圍之內(nèi)���。
權(quán)利要求
1.一種通用鑒權(quán)系統(tǒng),其特征在于����,該系統(tǒng)包括漫游用戶��、漫游網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用V-NAF實體�����、及用于實現(xiàn)與漫游用戶的互認證的通用鑒權(quán)實體����,其中�,所述漫游用戶接收來自所述V-NAF實體的互認證通知,向所述通用鑒權(quán)實體發(fā)起互認證請求����;所述通用鑒權(quán)實體接收來自漫游用戶的互認證請求,與該漫游用戶進行互認證�,互認證后該漫游用戶訪問所述網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用。
2.根據(jù)權(quán)利要求1所述的系統(tǒng)���,其特征在于�����,該系統(tǒng)具體包括所述V-NAF實體�,接收來自漫游用戶的連接請求��,通知該漫游用戶進行互認證或者向所述通用鑒權(quán)實體查詢該漫游用戶的衍生密鑰��;接收來自所述通用鑒權(quán)實體的衍生密鑰���,并利用該衍生密鑰與所述漫游用戶進行通信��;所述漫游用戶,向所述V-NAF實體發(fā)送連接請求����;接收來自V-NAF實體的互認證通知,向所述通用鑒權(quán)實體發(fā)送互認證請求���,與所述通用鑒權(quán)實體實現(xiàn)互認證并生成衍生密鑰�;利用生成的衍生密鑰與所述V-NAF實體進行通信;所述通用鑒權(quán)實體��,接收來自所述漫游用戶的互認證請求,通過自身與漫游用戶所屬歸屬網(wǎng)絡(luò)的簽約數(shù)據(jù)庫的連接�����,獲取所述通用鑒權(quán)實體與所述漫游用戶進行互認證所需的鑒權(quán)信息,并實現(xiàn)與該漫游用戶的互認證�;接收來自所述V-NAF實體的查詢請求����,生成衍生密鑰并發(fā)送給所述V-NAF����。
3.根據(jù)權(quán)利要求2所述的系統(tǒng),其特征在于�,所述通用鑒權(quán)實體為位于所述漫游網(wǎng)絡(luò)中的執(zhí)行用戶身份初始檢查驗證的Bootstrapping服務(wù)功能V-BSF實體�。
4.根據(jù)權(quán)利要求3所述的系統(tǒng)����,其特征在于����,所述漫游用戶所屬歸屬網(wǎng)絡(luò)的簽約數(shù)據(jù)庫為歸屬用戶服務(wù)器HSS,所述V-BSF實體與所述HSS間通過Zh接口采用Diameter協(xié)議連接����;或用戶所屬歸屬網(wǎng)絡(luò)的簽約數(shù)據(jù)庫為歸屬位置寄存器HLR�,所述V-BSF實體與所述HLR間通過Gr接口連接����。
5.根據(jù)權(quán)利要求2所述的系統(tǒng)����,其特征在于��,所述通用鑒權(quán)實體包括位于所述漫游網(wǎng)絡(luò)中的服務(wù)GPRS支持節(jié)點SGSN����,及執(zhí)行用戶身份初始檢查驗證的Bootstrapping服務(wù)功能V-BSF實體�����。
6.根據(jù)權(quán)利要求5所述的系統(tǒng),其特征在于��,所述漫游用戶所屬歸屬網(wǎng)絡(luò)的簽約數(shù)據(jù)庫為HSS/HLR���,所述SGSN與所述HLR/HSS間通過Gr接口連接�,所述V-BSF實體與所述SGSN間通過Zx接口連接�。
7.根據(jù)權(quán)利要求3所述的系統(tǒng)��,其特征在于��,所述V-BSF實體為兩個或兩個以上��,所述通用鑒權(quán)實體還包括用于連接所有V-BSF實體與漫游用戶所屬歸屬網(wǎng)絡(luò)的B代理B-proxy��。
8.根據(jù)權(quán)利要求7所述的系統(tǒng)���,其特征在于��,所述各V-BSF實體與所述B-proxy間通過Zx接口連接;所述漫游用戶所屬歸屬網(wǎng)絡(luò)的簽約數(shù)據(jù)庫為HSS��,所述B-proxy與所述HSS間通過Zh’接口連接;或用戶所屬歸屬網(wǎng)絡(luò)的簽約數(shù)據(jù)庫為HLR���,所述B-proxy與所述HLR間通過Gr接口連接。
9.根據(jù)權(quán)利要求7所述的系統(tǒng)��,其特征在于��,所述B-proxy為獨立實體,或為所有V-BSF實體中任一V-BSF實體中的一個功能模塊�����。
10.根據(jù)權(quán)利要求3所述的系統(tǒng)�����,其特征在于�����,所述V-BSF實體為兩個或兩個以上���,所有V-BSF實體中指定一個V-BSF實體為主V-BSF實體�����;所述主V-BSF實體包括用于連接V-BSF實體與漫游用戶所屬歸屬網(wǎng)絡(luò)的B代理B-proxy���。
11.根據(jù)權(quán)利要求10所述的系統(tǒng),其特征在于��,所述主V-BSF與所述剩余V-BSF間通過Zx接口連接�����;所述用戶所屬歸屬網(wǎng)絡(luò)的簽約數(shù)據(jù)庫為HSS,所述B-proxy與所述HSS間通過Zh’接口連接��;或用戶所屬歸屬網(wǎng)絡(luò)的簽約數(shù)據(jù)庫為HLR���,所述B-proxy與所述HLR間通過Gr接口連接�����。
12.根據(jù)權(quán)利要求4����、6�����、8或11所述的系統(tǒng)�����,其特征在于�,所述V-BSF實體與所述V-NAF實體通過Zn接口連接�,所述漫游用戶通過Ub接口與所述V-BSF實體連接�、通過Ua接口與所述V-NAF實體連接�����。
13.一種訪問通用鑒權(quán)系統(tǒng)中網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用NAF實體的方法���,所述通用鑒權(quán)系統(tǒng)包括漫游用戶���、漫游網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用V-NAF實體、及用于實現(xiàn)與漫游用戶的互認證和向V-NAF實體提供衍生密鑰的通用鑒權(quán)實體���,其特征在于�,該方法包括以下步驟A.所述漫游用戶接收到來自所述V-NAF實體的互認證通知后�����,向所述通用鑒權(quán)實體發(fā)起互認證請求�;B.所述通用鑒權(quán)實體根據(jù)所述互認證請求中攜帶的用戶信息,從該漫游用戶所屬歸屬網(wǎng)絡(luò)的簽約數(shù)據(jù)庫獲取鑒權(quán)信息�����;C.所述通用鑒權(quán)實體與該漫游用戶根據(jù)所述鑒權(quán)信息進行互認證后�,該漫游用戶訪問所述網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用����。
14.根據(jù)權(quán)利要求13所述的方法��,其特征在于���,步驟A中所述漫游用戶接收到互認證通知之后����,向通用鑒權(quán)實體發(fā)起互認證請求之前�,該方法進一步包括所述漫游用戶通過已獲知的所述漫游網(wǎng)絡(luò)的移動國家碼和移動網(wǎng)絡(luò)碼獲取通用鑒權(quán)實體的互認證地址;或者所述漫游用戶在發(fā)送給所述V-NAF實體的連接請求中攜帶標識自身是漫游用戶的標志���,所述V-NAF實體獲知當(dāng)前用戶為漫游用戶且判定該漫游用戶未進行互認證后�,將漫游網(wǎng)絡(luò)中通用鑒權(quán)實體的互認證地址攜帶在GBA指示中返回給所述漫游用戶����。
15.根據(jù)權(quán)利要求13所述的方法,其特征在于��,步驟C具體包括C1.所述漫游用戶與所述V-BSF實體間互相驗證身份并生成共享密鑰Ks��,所述V-BSF實體為該共享密鑰Ks定義有效期并分配B-TID�,所述V-BSF實體和所述漫游用戶分別將所述共享密鑰Ks,B-TID以及有效期關(guān)聯(lián)保存�;C2.所述漫游用戶將所述B-TID攜帶連接請求中并發(fā)送給所述V-NAF實體,同時所述漫游用戶根據(jù)該共享密鑰Ks采用預(yù)設(shè)衍生算法計算出衍生密鑰���;C3.所述V-NAF實體根據(jù)接收到連接請求����,若自身不能在本地查詢到所述B-TID���,則將自身標識和所述B-TID攜帶在請求查詢消息中并發(fā)送給所述V-BSF實體�����;C4.若所述V-BSF實體查詢到所述B-TID�����,并使用與用戶側(cè)相同的衍生算法計算共享密鑰Ks的衍生密鑰����,并將所述B-TID�,及生成的衍生密鑰攜帶在成功響應(yīng)消息中并發(fā)送給所述V-NAF實體,所述漫游用戶與所述V-NAF實體間采用所述衍生密鑰進行通信�。
16.根據(jù)權(quán)利要求15所述的方法����,其特征在于步驟C4中�,若所述V-BSF實體不能在本地查詢到所述B-TID,則所述V-BSF實體通知所述V-NAF實體未查詢到所述漫游用戶的信息����;所述V-NAF實體通知所述漫游用戶返回重新執(zhí)行步驟A。
17.根據(jù)權(quán)利要求15所述的方法��,其特征在于步驟C3中�,若所述V-BSF實體為兩個或兩個以上,則所述V-NAF實體向所有V-BSF實體發(fā)送攜帶自身標識和所述B-TID的請求查詢消息進行查詢�。
18.根據(jù)權(quán)利要求13所述的方法,其特征在于��,所述漫游用戶所屬歸屬網(wǎng)絡(luò)的簽約數(shù)據(jù)庫為HSS/HLR�。
19.根據(jù)權(quán)利要求13所述的方法,其特征在于�,該方法進一步包括所述漫游用戶離開所述漫游網(wǎng)絡(luò)時,所述UE刪除分配給該漫游用戶的共享密鑰Ks�����、所述衍生密鑰及B-TID。
20.根據(jù)權(quán)利要求13所述的方法�,其特征在于���,該方法進一步包括所述漫游用戶移動至另一漫游網(wǎng)絡(luò)中�,若另一漫游網(wǎng)絡(luò)中的NAF實體向所述漫游網(wǎng)絡(luò)請求所述漫游用戶的安全通信用信息�,所述漫游網(wǎng)絡(luò)中的V-BSF實體拒絕將該漫游用戶的衍生密鑰返回給另一漫游網(wǎng)絡(luò)中的NAF實體。
全文摘要
本發(fā)明公開了一種通用鑒權(quán)系統(tǒng)����,該系統(tǒng)包括漫游用戶、位于漫游網(wǎng)絡(luò)中的通用鑒權(quán)實體和網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用����。本發(fā)明還公開了一種訪問所述通用鑒權(quán)系統(tǒng)中網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用的方法,對于漫游用戶具備GBA功能�,該漫游用戶所屬歸屬網(wǎng)絡(luò)不支持通用鑒權(quán)框架(GAA),而該漫游用戶所處漫游網(wǎng)絡(luò)支持GAA的情況��,該方法實現(xiàn)了漫游用戶在漫游網(wǎng)絡(luò)中完成互認證過程���,從而實現(xiàn)了訪問漫游網(wǎng)絡(luò)中的NAF服務(wù)���。
文檔編號H04L9/32GK101026453SQ200610008040
公開日2007年8月29日 申請日期2006年2月23日 優(yōu)先權(quán)日2006年2月23日
發(fā)明者楊艷梅 申請人:華為技術(shù)有限公司