CN100397942C - 通用鉴权框架中一种接入用户归属网络服务器的方法 - Google Patents
通用鉴权框架中一种接入用户归属网络服务器的方法 Download PDFInfo
- Publication number
- CN100397942C CN100397942C CNB2004100309098A CN200410030909A CN100397942C CN 100397942 C CN100397942 C CN 100397942C CN B2004100309098 A CNB2004100309098 A CN B2004100309098A CN 200410030909 A CN200410030909 A CN 200410030909A CN 100397942 C CN100397942 C CN 100397942C
- Authority
- CN
- China
- Prior art keywords
- user
- impi
- imsi
- bsf
- hss
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了通用鉴权框架中一种接入用户归属网络服务器的方法,其关键是,为通用鉴权框架中的BSF增加一新的功能,即由BSF判断接收到的用户标识信息的种类,如果是IMPI,则BSF通过Cx接口向HSS发送包含IMPI的请求用户描述信息的消息,如果是IMSI,则BSF将IMSI转换为IMPI格式后,通过Cx接口向HSS发送包含转换得到的IMPI的请求用户描述信息的消息,如果是临时标识或再鉴权标识,则向用户返回携带原因值的失败消息。应用本发明,使不支持将IMSI转换成IMPI功能的用户设备也能够使用通用鉴权框架,扩大了通用鉴权框架的使用范围。本发明实现简单,且易于应用。
Description
技术领域
本发明涉及第三代无线通信技术领域,特别是指通用鉴权框架中一种接入用户归属网络服务器(HSS)的方法。
背景技术
在第三代无线通信标准中,通用鉴权框架是多种应用业务实体使用的一个用于完成对用户身份进行验证的通用结构,应用通用鉴权框架可实现对应用业务的用户进行检查和验证身份。上述多种应用业务可以是多播/广播业务、用户证书业务、信息即时提供业务等,也可以是代理业务,例如多个服务和一个代理相连,通用鉴权框架把代理也当作一种业务来处理,组织结构可以很灵活,而且,对于以后新开发的业务也同样可以应用通用鉴权框架对应用业务的用户进行检查和验证身份。
图1所示为通用鉴权框架的结构示意图。通用鉴权框架通常由用户101、执行用户身份初始检查验证的实体(BSF)102、用户归属网络服务器(HSS)103和网络应用实体(NAF)104组成。BSF 102用于与用户101进行互验证身份,同时生成BSF 102与用户101的共享密钥;HSS 103中存储用于描述用户信息的描述(Profile)文件,同时HSS 103还兼有产生鉴权信息的功能。
用户需要使用某种业务时,如果其知道该业务需要到BSF进行互鉴权过程,则直接到BSF进行互鉴权,否则,用户会首先和该业务对应的NAF联系,如果该NAF使用通用鉴权框架,并且发现发出请求的用户还未到BSF进行互认证过程,则通知发出请求的用户到BSF进行身份验证。
用户与BSF之间的互认证过程是:BSF接到来自用户的鉴权请求后,首先到HSS获取该用户的鉴权信息,根据所获取的鉴权信息与用户之间执行鉴权和密钥协商协议(AKA)进行互鉴权。认证成功后,用户和BSF之间互相认证了身份并且同时生成了共享密钥Ks。之后,BSF分配一个会话事务标识(TID)给用户,该TID是与Ks相关联的。
用户收到这个TID后,重新向NAF发出连接请求,且请求消息中携带了该TID。NAF收到请求后,先在本地查询是否有用户携带的该TID,如果NAF不能在本地查询到该TID,则向BSF进行查询。BSF查询到该TID后,将该TID以及该TID对应密钥信息包含在发送给NAF的成功响应消息中。NAF收到来自BSF的成功响应消息后,即认为该用户是经过BSF认证的合法用户,同时NAF和用户也共享了密钥Ks或由Ks衍生的密钥。此时,NAF与该用户在密钥Ks或由Ks衍生的密钥的保护下进行正常的通信。如果BSF不能在本地查询到该TID,则通知NAF没有该用户的信息,此时,NAF将通知用户到BSF进行认证鉴权。
通用鉴权框架所支持的业务范围较广,不仅支持IP多媒体业务,同时还支持其它的业务,例如,多播广播(MBMS)业务,支持用户证书业务等,而HSS索引自身存储的用户的profile文件时,可以根据用户的国际移动用户识别码(IMSI)或IP多媒体私有用户标识(IMPI)来进行。IMSI是比较通用的标识,其格式是一个15位的数字串,IMPI按照网络接入标识(NAI)的格式定制的,其格式通常为“用户私有标识@域名”。IMSI和IMPI都是永久用户标识。
由于BSF和HSS之间的通信接口是重用IP多媒体业务中网络实体和HSS之间的Cx接口,而IMSI在Cx接口是无法被承载和识别的,因此当BSF通用Cx接口向HSS查询profile信息时,必须是按照NAI格式定制的IMPI来标识某个用户。
在现有技术中,当某个用户需要使用通用鉴权框架时,如果该用户支持IP多媒体业务那么该用户就拥有IMPI这个标识,在这用情况下当用户向BSF发送鉴权请求时直接提供自己的IMPI即可。如果该用户不支持IP多媒体业务,那么该用户就只有IMSI而没有IMPI,这时由用户设备端负责将IMSI转换成IMPI,以便能够在鉴权通信中使用。
上述方法的缺陷在于:将IMSI转换为IMPI的工作是在用户设备端完成的,但在实际的应用中,不一定所有的用户设备都具有这个功能。例如较早生产的用户设备,没有将IMSI转换为IMPI的功能,但是它能够支持3G的业务,并且也希望使用通用鉴权框架。在这种情况下,这些用户终端都无法使用通用鉴权框架。可见,在实际应用中,很难保证所有的用户设备端都支持将IMSI转换成为IMPI的功能,因此所有不具备此功能的用户将被排斥在通用鉴权框架之外的,继而无法实现通用鉴权框架的广泛应用。
发明内容
有鉴于此,本发明的目的是在通用鉴权框架中提供一种接入HSS的方法,使不支持将IMSI转换成为IMPI的用户设备也能够使用通用鉴权框架。
为达到上述目的,本发明的技术方案是这样实现的:
通用鉴权框架中一种接入用户归属网络服务器的方法,该方法包括以下步骤:
a、执行用户身份初始检查验证的实体BSF接收到来自用户的鉴权请求信息后,判断该请求信息中的用户标识信息是否为IP多媒体私有用户标识IMPI或国际移动用户识别码IMSI,如果是IMPI,则通过Cx接口向用户归属网络服务器HSS发送包含IMPI的请求用户描述信息的消息,直接接入用户归属网络服务器,如果是IMSI,则将IMSI转换为IMPI后,再通过Cx接口向HSS发送包含IMPI的请求用户描述信息的消息,接入用户归属网络服务器,否则向用户返回携带原因值的失败消息;
b、HSS根据接收到的信息在本地进行索引,并将索引到的用户描述信息返回给BSF。
所述HSS根据接收到的信息在本地进行索引包括:HSS接收到包含网络接入标识的查询信息后,判断该网络接入标识中是否包含IMSI字段,如果有,则将该网络接入标识转换回IMSI后,根据IMSI索引用户描述信息,否则,根据网络接入标识索引用户描述信息。
较佳地,所述原因值为提示用户使用用户永久标识。
较佳地,所述用户永久标识为IMPI或IMSI。
本发明为通用鉴权框架中的BSF增加一新的功能,即由BSF判断接收到的用户标识信息的种类,如果是IMPI,则BSF通过Cx接口向HSS发送包含IMPI的请求用户描述信息的消息,如果是IMSI,则BSF将IMSI转换为IMPI后,通过Cx接口向HSS发送包含转换得到的IMPI的请求用户描述信息的消息,如果是临时标识或再鉴权标识,则向用户返回携带原因值的失败消息。应用本发明,使不支持将IMSI转换成IMPI格式功能的用户设备也能够使用通用鉴权框架,扩大了通用鉴权框架的使用范围。本发明实现简单,且易于应用。
附图说明
图1所示为通用鉴权框架的结构示意图;
图2所示为应用本发明的BSF接入HSS的流程图。
具体实施方式
为使本发明的技术方案更加清楚,下面结合附图再对本发明做进一步地详细说明。
本发明的思路是:BSF接收到来自用户的鉴权请求信息后,判断该请求信息中的用户标识信息是否为IMPI或IMSI,如果是IMPI,则通过Cx接口向HSS发送包含IMPI的请求用户描述信息的消息,直接接入用户归属网络服务器,如果是IMSI,则将IMSI转换为IMPI后,再通过Cx接口向HSS发送包含IMPI的请求用户描述信息的消息,接入用户归属网络服务器,否则向用户返回携带原因值的失败消息。
图2所示为应用本发明的BSF接入HSS的流程图。
步骤201,用户向BSF发送鉴权请求消息,准备使用通用鉴权框架;该鉴权请求消息中包含用户的标识信息;
步骤202,BSF接收包含用户的标识信息的鉴权请求消息;
步骤203,BSF判断接收到的用户标识信息的种类,如果是IMPI,则执行步骤206,如果是IMSI,则执行步骤205,如果是临时标识或再鉴权标识则执行步骤204;
步骤204,BSF给用户返回包括失败原因值的失败消息,该原因值为用户标识信息错误,提示用户重新发送包含永久用户标识的鉴权请求消息,并结束本流程,这是因为临时标识或再鉴权标识是区域性的标识,且该类标识不是由HSS分配的,因此HSS不能够识别临时标识和再鉴权标识;上述永久用户标识可以是IMSI,也可以是IMPI;
步骤205,BSF将IMSI转换为IMPI格式,具体的转换方法与现有技术相同,例如,某个用户的IMSI为:234150999999999,其中,234为移动国家码,15为移动网络码,0999999999为用户自身标识,则转换为IMPI格式后,其形式为234150999999999@15.234.IMSI.3gppnetwork.org,经转换得到的IMPI中都含有IMSI字段;
步骤206,BSF通过Cx接口向HSS发送包含IMPI的请求用户描述信息的消息;
步骤207,HSS根据接收到的信息在本地进行索引,并将索引到的用户描述信息返回给BSF,BSF接收到HSS返回的用户描述信息后,与用户交互,以进行互鉴权的过程。
HSS在本地进行索引的方法是:首先判断收到的标识是否为真正的IMPI标识,即判断接收到的用户标识中是否存在IMSI的字段,如果不存在,则为真正的IMPI标识,否则HSS收到的标识是由IMSI转换而来的IMPI。
如果HSS接收到的是真正的IMPI标识,则直接通过IMPI索引用户的Profile文件,生成鉴权资料,将Profile文件和生成鉴权资料一同返回给BSF,由BSF完成和用户的互鉴权过程,然后用户使用鉴权的结果和相应的业务服务器进行通信。
如果HSS收到的是转换后的IMPI,则HSS对接收到标识进行相反的转换过程,即将IMPI分解得到用户的IMSI,具体的转换过程也与现有技术相同,然后再根据IMSI索引用户的Profile文件,生成鉴权资料,将Profile文件和生成鉴权资料一同返回给BSF,由BSF完成和用户的互鉴权过程,然后用户使用鉴权的结果和相应的业务服务器进行通信。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (4)
1.通用鉴权框架中一种接入用户归属网络服务器的方法,其特征在于,该方法包括以下步骤:
a、执行用户身份初始检查验证的实体BSF接收到来自用户的鉴权请求信息后,判断该请求信息中的用户标识信息是否为IP多媒体私有用户标识IMPI或国际移动用户识别码IMSI,如果是IMPI,则通过Cx接口向用户归属网络服务器HSS发送包含IMPI的请求用户描述信息的消息,直接接入用户归属网络服务器,如果是IMSI,则将IMSI转换为IMPI后,再通过Cx接口向HSS发送包含IMPI的请求用户描述信息的消息,接入用户归属网络服务器,否则向用户返回携带原因值的失败消息;
b、HSS根据接收到的信息在本地进行索引,并将索引到的用户描述信息返回给BSF。
2.根据权利要求1所述的方法,其特征在于,所述HSS根据接收到的信息在本地进行索引包括:HSS接收到包含网络接入标识的查询信息后,判断该网络接入标识中是否包含IMSI字段,如果有,则将该网络接入标识转换回IMSI后,根据IMSI索引用户描述信息,否则,根据网络接入标识索引用户描述信息。
3.根据权利要求1或2所述的方法,其特征在于,所述原因值为提示用户使用用户永久标识。
4.根据权利要求3所述的方法,其特征在于,所述用户永久标识为IMPI或IMSI。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2004100309098A CN100397942C (zh) | 2004-03-26 | 2004-03-26 | 通用鉴权框架中一种接入用户归属网络服务器的方法 |
| PCT/CN2005/000340 WO2005093990A1 (fr) | 2004-03-26 | 2005-03-18 | Procede d'acces a un serveur d'abonne domestique dans une infrastructure d'authentification universelle |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2004100309098A CN100397942C (zh) | 2004-03-26 | 2004-03-26 | 通用鉴权框架中一种接入用户归属网络服务器的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1674708A CN1674708A (zh) | 2005-09-28 |
| CN100397942C true CN100397942C (zh) | 2008-06-25 |
Family
ID=35046912
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2004100309098A Expired - Fee Related CN100397942C (zh) | 2004-03-26 | 2004-03-26 | 通用鉴权框架中一种接入用户归属网络服务器的方法 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN100397942C (zh) |
| WO (1) | WO2005093990A1 (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101022651B (zh) * | 2006-02-13 | 2012-05-02 | 华为技术有限公司 | 一种组合鉴权架构及其实现方法 |
| CN100488314C (zh) * | 2007-01-24 | 2009-05-13 | 中兴通讯股份有限公司 | 一种3g网络中对用户端的接入进行限制的方法 |
| CN101287096B (zh) * | 2007-04-13 | 2010-09-01 | 中国移动通信集团公司 | 实现标识转换的卡及转换方法 |
| CN103095649A (zh) * | 2011-10-31 | 2013-05-08 | 中兴通讯股份有限公司 | 一种ims单点登录的组合鉴权方法及系统 |
| CN102833820A (zh) * | 2012-08-20 | 2012-12-19 | 中国联合网络通信集团有限公司 | Ims接入处理方法、通用用户识别模块和终端设备 |
| CN114125836A (zh) * | 2020-08-10 | 2022-03-01 | 中国移动通信有限公司研究院 | 鉴权方法、装置、设备及存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1220074A (zh) * | 1996-03-29 | 1999-06-16 | 蜂窝无线通讯电信保密有限公司 | 通信系统 |
| US20030046541A1 (en) * | 2001-09-04 | 2003-03-06 | Martin Gerdes | Universal authentication mechanism |
| US20030200431A1 (en) * | 2002-04-18 | 2003-10-23 | Nokia Corporation | Method and apparatus for providing peer authentication for a transport layer session |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002157040A (ja) * | 2000-11-22 | 2002-05-31 | Nippon Telegr & Teleph Corp <Ntt> | 無線タグを用いたユーザ認証方法およびユーザ認証システム |
| FR2842055B1 (fr) * | 2002-07-05 | 2004-12-24 | Nortel Networks Ltd | Procede pour controler l'acces a un systeme cellulaire de radiocommunication a travers un reseau local sans fil, et organe de controle pour la mise en oeuvre du procede |
-
2004
- 2004-03-26 CN CNB2004100309098A patent/CN100397942C/zh not_active Expired - Fee Related
-
2005
- 2005-03-18 WO PCT/CN2005/000340 patent/WO2005093990A1/zh active Application Filing
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1220074A (zh) * | 1996-03-29 | 1999-06-16 | 蜂窝无线通讯电信保密有限公司 | 通信系统 |
| US20030046541A1 (en) * | 2001-09-04 | 2003-03-06 | Martin Gerdes | Universal authentication mechanism |
| US20030200431A1 (en) * | 2002-04-18 | 2003-10-23 | Nokia Corporation | Method and apparatus for providing peer authentication for a transport layer session |
Non-Patent Citations (2)
| Title |
|---|
| Gootstrapping of application security using AKA andSupportfor Subscriber Certificates,SystemDescription(Release 6). 3GPP.3GPP TS ad.cde V0.2.0. 2003 |
| Gootstrapping of application security using AKA andSupportfor Subscriber Certificates,SystemDescription(Release 6). 3GPP.3GPP TS ad.cde V0.2.0. 2003 * |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2005093990A1 (fr) | 2005-10-06 |
| CN1674708A (zh) | 2005-09-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP1860906B1 (en) | A general authentication form and a method for implementing the authentication | |
| CN1943203B (zh) | 用于验证实体的第一标识和第二标识的方法 | |
| CN104184583B (zh) | 用于分配ip地址的方法和系统 | |
| CN1968090B (zh) | 实现数据业务服务中心获得用户终端鉴权信息的方法及系统 | |
| CN101370159B (zh) | 一种识别业务的方法、装置和系统 | |
| WO2016070633A1 (zh) | 上网日志生成方法和装置 | |
| CN100589480C (zh) | 在2g和2.5g gprs移动接入网中的透明接入认证 | |
| CN100397942C (zh) | 通用鉴权框架中一种接入用户归属网络服务器的方法 | |
| CN100479570C (zh) | 连接建立方法、系统、网络应用实体及用户终端 | |
| CN103414732A (zh) | 应用集成装置和应用集成处理方法 | |
| CN100488137C (zh) | 网络附着子系统中的用户相关信息关联方法、系统和装置 | |
| CN101938789B (zh) | 选择具有指定能力的分组网络网关的方法及系统 | |
| CN110324824B (zh) | 副卡添加方法、用户终端和区块链网络系统 | |
| CN100563159C (zh) | 通用鉴权系统及访问该系统中网络业务应用的方法 | |
| CN101345997B (zh) | 一种提供网络服务的方法 | |
| CN100563156C (zh) | 实现用户信息同步及对用户终端鉴权的方法 | |
| CN102857953A (zh) | 一种基站自配置的方法及装置 | |
| CN101925021B (zh) | 消息处理方法/系统、融合业务系统 | |
| CN100358391C (zh) | 通用分组无线业务中访问移动台的方法和域名服务器 | |
| US8402144B2 (en) | Parameterizable selection of a communication system on the basis of name resolution mechanisms | |
| CN111464963B (zh) | 无卡终端的注册方法及身份注册服务器 | |
| CN100359900C (zh) | 实现媒体网关控制协议事务标志分配的系统及方法 | |
| CN102118750A (zh) | Cdma网络中用户流量所属小区基站的识别方法、装置及系统 | |
| JP4579592B2 (ja) | 情報提供サービスシステムおよび方法 | |
| CN114697885A (zh) | Lan群组计费的方法、及相关装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20080625 Termination date: 20200326 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |