CN100450283C - 访问端和业务应用实体建立信任关系的方法 - Google Patents
访问端和业务应用实体建立信任关系的方法 Download PDFInfo
- Publication number
- CN100450283C CN100450283C CNB2005100693947A CN200510069394A CN100450283C CN 100450283 C CN100450283 C CN 100450283C CN B2005100693947 A CNB2005100693947 A CN B2005100693947A CN 200510069394 A CN200510069394 A CN 200510069394A CN 100450283 C CN100450283 C CN 100450283C
- Authority
- CN
- China
- Prior art keywords
- authentication mode
- access end
- authentication
- naf
- mode
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种访问端和业务应用实体建立信任关系的方法,关键是,访问端向业务应用实体NAF发送包含会话事务标识B-TID的业务请求;所述NAF接收到所述业务请求后,查询预先配置的认证方式信息,选定当前的认证方式,并应用该选定的认证方式对所述访问端进行认证,认证成功后建立起与该访问端的信任关系。应用本发明,NAF能够灵活地选择并应用不同的认证对访问端进行认证,从而最大限度地满足了市场需求。另外,由于访问端向NAF所发的业务请求中都包含了B-TID信息,因而避免了访问端与NAF之间不必要的信令交互,节省了交互过程,减轻了网络负荷,节约了网络资源。
Description
技术领域
本发明涉及第三代无线通信技术领域,特别是指访问端和业务应用实体建立信任关系的方法。
背景技术
在第三代无线通信标准中,通用鉴权框架是多种应用业务实体使用的一个用于完成对用户身份进行验证的通用结构,应用通用鉴权框架可实现对应用业务的用户终端进行检查和身份验证。上述多种应用业务可以是多播/广播业务、用户证书业务、信息即时提供业务等,也可以是代理业务。当然,对于以后新开发的业务也可以应用通用鉴权框架对应用业务的UE进行检查和身份验证。
图1所示为通用鉴权框架的结构示意图。通用鉴权框架通常由用户终端101、执行用户身份初始检查验证的实体(BSF)102、用户归属网络服务器(HSS)103和网络应用实体(NAF)104组成。BSF 102用于与用户终端(UE)101进行身份互验证,同时生成BSF 102与用户终端101的共享密钥;HSS103中存储有用于描述用户信息的描述(Profile)文件,同时HSS 103还兼有产生鉴权信息的功能。
UE需要使用某种业务时,如果其通过该业务的使用说明或是其他渠道知道需要与BSF进行互鉴权,则直接与BSF联系以进行互鉴权,否则,UE会首先和该业务对应的NAF联系,如果该NAF应用通用鉴权框架且需要UE与BSF进行身份验证,则通知UE应用通用鉴权框架进行身份验证,否则进行其它相应处理。
UE与BSF之间的互认证过程是:BSF接到来自UE的鉴权请求后,首先从HSS获取该UE的鉴权信息,然后与UE执行鉴权和密钥协商协议(AKA)以进行互鉴权。认证成功后,UE和BSF之间互相认证了身份并且同时生成了共享密钥Ks。之后,BSF分配一个会话事务标识(B-TID)给UE,该B-TID是与Ks相关联的。
UE收到这个B-TID后,重新向NAF发出连接请求,且请求消息中携带了该B-TID。NAF收到请求后,先在本地查询是否有UE携带的该B-TID,如果NAF不能在本地查询到该B-TID,则向BSF进行查询,该请求查询消息中携带了NAF标识和B-TID。如果BSF不能在本地查询到该B-TID,则通知NAF没有该UE的信息,此时,NAF将通知UE到BSF进行认证鉴权。如果BSF查询到该B-TID后,则给NAF发送成功的响应消息,该成功的响应中包括NAF所需的B-TID,与该B-TID对应的密钥,以及BSF为该密钥设置的有效期限。NAF收到BSF的成功响应消息后,就认为该UE是经过BSF认证的合法的UE,此时NAF和UE也共享了密钥,与此同时,NAF和UE之间建立起了信任关系。NAF和UE在密钥的保护下进行正常的业务通信。
当UE发现Ks即将过期,或NAF要求UE重新到BSF进行鉴权时,UE就会重复上述的步骤重新到BSF进行鉴权,以得到新的密钥Ks及B-TID。
上述是以UE作为一访问端进行说明的,当然,另一NAF也可以作为访问端,其处理过程与UE的处理方式相同,在此不再重复说明。也就是说,访问端可以是用户终端(UE),也可以是另外一个NAF。
从上述处理过程可以看出,只要NAF能够查询到业务请求中所携带的B-TID,就认为该访问端是合法的,同时也就和该访问端建立了信任关系。但是,从另一个角度看,NAF只能通过查询B-TID的方式来确认访问端是否合法,即NAF只能通过查询B-TID的方式对访问端进行认证,这对于现有的能够提供多种服务的NAF而言,其对访问端的认证方式非常不灵活。当由第三方提供应用服务时,这种局限尤为明显,其根本不能满足市场的需求。
另外,在3G新增的绝大多数业务都会使用通用鉴权框架,这时如果每个访问端在每次使用一个新的业务时都要和相应的NAF进行联系,以确认是否需要通用鉴权框架的鉴权,其过程是相当繁琐的,而且也增加了网络的负荷。
发明内容
有鉴于此,本发明的目的在于提供一种访问端和业务应用实体建立信任关系的方法,使NAF能够灵活地选择对访问端的认证方式。
为达到上述目的,本发明的技术方案是这样实现的:
一种访问端和业务应用实体建立信任关系的方法,该方法包括以下步骤:
访问端向业务应用实体NAF发送包含会话事务标识B-TID的业务请求;
所述业务应用实体NAF接收到所述业务请求后,查询预先配置的认证方式信息,选定当前的认证方式,并应用该选定的认证方式对所述访问端进行认证,认证成功后建立起与该访问端的信任关系。
较佳地,访问端向NAF发送所述包含B-TID的业务请求之前,该方法进一步包括:访问端判断自身是否已获取所述B-TID,如果是,则向NAF发送包含所述B-TID的业务请求,否则,访问端向执行用户身份初始检查验证实体BSF发送鉴权请求,鉴权成功后从所述BSF获取B-TID,并向NAF发送包含B-TID的业务请求。
较佳地,所述NAF接收到的业务请求中包含访问端的安全级别信息,或访问端期望的安全级别信息;
所述认证方式信息中包含是否对所有的访问端均使用相同认证方式的标识,与该标识对应的认证方式代码,以及访问端的安全级别与认证方式代码的对应关系;
所述NAF查询预先配置的认证方式信息,选定当前认证方式的过程为:查询认证方式信息中是否标识对所有的访问端均使用相同的认证方式,如果是,则根据认证方式信息中与该标识对应的认证方式代码,选定该代码所对应的认证方式为当前的认证方式,否则,根据访问端的安全级别信息,查询认证方式信息中与访问端的安全级别所对应认证方式的代码,选定该代码所对应的认证方式为当前的认证方式。
较佳地,所述认证方式为:利用通用鉴权框架的鉴权结果通过查询B-TID的方式对访问端进行认证,或利用预设的认证方式对访问端进行认证,或分别利用上述两种方式对访问端进行认证。
较佳地,所述预设的认证方式包括公私钥证书的认证方式或密码摘要的认证方式。
较佳地,所述认证方式信息以列表的形式存在。
较佳地,所述认证方式信息中包含NAF所支持的每种认证方式的优先级信息;
所述NAF查询预先配置的认证方式信息,选定当前认证方式的过程为:NAF根据自身已设置的优先级信息,选择与自身当前优先级相对应的且自身支持的认证方式作为当前选定的认证方式。
较佳地,所述认证方式为:利用通用鉴权框架的鉴权结果通过查询B-TID的方式对访问端进行认证,或利用预设的认证方式对访问端进行认证,或分别利用上述两种方式对访问端进行认证。
较佳地,该方法进一步包括:根据用户需要通过操作维护台更改预先配置的认证方式信息。
较佳地,所述访问端为用户终端UE或NAF。
应用本发明,NAF能够灵活地选择并应用不同的认证对访问端进行认证,从而最大限度地满足了市场需求。另外,由于访问端向NAF所发的业务请求中都包含了B-TID信息,因而避免了访问端与NAF之间不必要的信令交互,节省了交互过程,减轻了网络负荷,节约了网络资源。
附图说明
图1所示为通用鉴权框架的结构示意图;
图2所示为应用本发明一实施例的流程示意图。
具体实施方式
下面结合具体实施例及附图再对本发明做进一步地详细说明。
图2所示为应用本发明一实施例的流程示意图。在本实施例中访问端为UE。
步骤201,UE使用某种业务前,判断自身是否已保存有有效的B-TID,如果是,则直接执行步骤204,否则,UE向BSF发送鉴权请求,然后执行步骤202。
步骤202~203,BSF从HSS中获取鉴权信息,利用鉴权信息对发起鉴权请求的UE进行鉴权,鉴权成功后,BSF为UE分配B-TID。
步骤204,UE向NAF发送包含B-TID的业务请求,该业务请求中包含访问端的安全级别信息,或UE期望的安全级别信息。当然,如果是UE期望的安全级别信息,NAF要能够判断决定是否同意UE所期望的安全级别信息,因为如果UE期望的安全级别非常的低,那么有可能该UE是一个恶意用户,伺机攻击网络,比较合理的情况是UE要求高于自身安全级别的认证方式来进行认证。
步骤205,NAF接收到来自UE的业务请求后,查询预先配置的用于对UE进行身份认证的认证方式信息,选定当前的认证方式,如果认证方式为利用通用鉴权框架的鉴权结果通过查询B-TID的方式对UE进行认证,则执行步骤206,如果认证方式为利用预设的认证方式对UE进行认证,则执行步骤207。
在本实施例中,认证方式信息以列表的形式存在,且该认证方式信息中包含是否对所有访问端均使用相同认证方式的标识,与该标识对应的认证方式代码,以及不同访问端的安全级别与认证方式代码的对应关系。
所述查询预先配置的用于对UE进行身份认证的认证方式信息,选定当前认证方式的方法为:查询认证方式信息中是否标识对所有的访问端均使用相同的认证方式,如果是,则根据认证方式信息中与该标识对应的认证方式代码,选定该代码所对应的认证方式为当前的认证方式,否则,根据UE的安全级别信息,查询认证方式信息中的与该UE的安全级别所对应的认证方式代码,选定该代码所对应的认证方式为当前的认证方式。例如,安全级别高的UE对应预设的能保证高安全性的认证方式的代码,安全级别一般的访问端对应利用通用鉴权框架的鉴权结果通过查询B-TID方式进行认证的代码。
上述认证方式信息包括但不限于以列表的形式存在。而且,上述预先配置的认证方式信息,即表示所有访问端均使用相同认证方式的标识,与该标识对应的认证方式代码,以及UE的安全级别信息和该安全级别所对应的认证方式代码,可以根据需要随时通过操作维护台或其他方式更改。
步骤206,NAF向BSF查询B-TID,如果BSF返回查询成功的响应消息,则NAF对UE认证成功,同时NAF与UE也建立起了信任关系,执行步骤208,如果BSF返回查询失败的响应消息,则NAF对UE认证失败,NAF通知UE重新到BSF鉴权,结束。
步骤207,NAF利用预设的认证方式对访问端进行认证,该预设的认证方式是与通用鉴权框架的鉴权方式没有任何关系的认证方式,如包括但不限于公私钥证书的认证方式,简单地密码摘要的认证方式等,如果认证成功,则NAF同时与UE也建立起了信任关系,执行步骤208,如果认证失败,NAF通知UE认证失败后结束。
步骤208,NAF与UE进行正常的业务通信。
在上述实施例的步骤205中,NAF所选定的认证方式是:或者使用查询B-TID的认证方式,或者使用预设的认证方式。在实际应用中,NAF所选的认证方式还可以是,先采用查询B-TID的方式进行认证,认证成功后,再采用预设的认证方式进行认证,当然,也可以是先采用预设的认证方式进行认证,认证成功后,再采用查询B-TID的方式进行认证。这样,步骤206和207在一次认证过程中均会被执行,具体的执行顺序是根据所选的认证方式决定的。
上述实施例中仅提供了一种NAF基于列表的方式查询并选择认证方式的方法,当然NAF也可以采用其他的方式查询并选定认证方式。比如,在NAF所保存的认证方式信息中包含NAF所支持的每种认证方式的优先级信息;而执行不同认证方式的肯定是不同的认证模块,因此NAF可以通过检查这些认证模块是否安装来确认自己支持的认证方式信息(不同认证模块的安装可以通过该软件模块是否加载或该硬件模块是否插入相应端口来判断),这样,NAF查询预先配置的认证方式信息,选定当前认证方式的过程为:NAF根据自身已设置的优先级信息,选择与自身当前优先级相对应的且自身支持的认证方式作为当前选定的认证方式。同样地,所选定的认证方式可以是使用查询B-TID的方式,也可以是使用预设的认证方式,还可以是分别利用上述两种方式对访问端进行认证,即先采用查询B-TID的方式进行认证,认证成功后,再采用预设的认证方式进行认证,或是先采用预设的认证方式进行认证,认证成功后,再采用查询B-TID的方式进行认证。所述认证方式信息,即优先级信息,可以根据需要随时通过操作维护台或其他方式更改。
由于NAF所代表的各种服务随着业务的发展愈来愈丰富,例如运营商与外部的服务提供商SP合作,那么NAF就可能是SP的应用服务器,SP与运营商是有协议存在信任关系的,因此SP可以选择使用运营商提供的利用通用鉴权框架结果查询B-TID的方式来完成认证过程,如果该应用服务器的服务能力比较强大,且其安全要求特别高,那么SP也可以配置该NAF选择使用自己预设的认证方式而不使用运营商提供的利用通用鉴权框架结果查询B-TID的认证方式。再有,随着业务的发展移动用户自己也可以建一个服务点为自己的好友或俱乐部提供服务,那么这个移动用户自己也可以做NAF,此时该移动用户可以选择使用通用鉴权框架或自己预设的鉴权方式。
以上所述仅以访问端为UE为例进行说明,当然访问端也可以是另一个NAF,此时与上述处理方式完全一致,在此不再重复说明。
以上仅举了简单几个例子来说明NAF查询预先配置的认证方式信息,选定当前认证方式的过程。在实际应用中,NAF肯定有多种配置认证方式信息的方式,而且也肯定有多种查询预先配置的认证方式信息选定当前认证方式的实现方式,在此不可能一一列举,即本发明对具体的配置认证方式信息的方式,以及实现选定当前认证方式的实现方式不做限定,只要能够根据预先配置的认证方式信息选定当前的认证方式即可。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换和改进,均应包含在本发明的保护范围之内。
Claims (10)
1、一种访问端和业务应用实体建立信任关系的方法,其特征在于,该方法包括以下步骤:
访问端向业务应用实体NAF发送包含会话事务标识B-TID的业务请求;
所述业务应用实体NAF接收到所述业务请求后,查询预先配置的认证方式信息,选定当前的认证方式,并应用该选定的认证方式对所述访问端进行认证,认证成功后建立起与该访问端的信任关系。
2、根据权利要求1所述的方法,其特征在于,访问端向NAF发送所述包含B-TID的业务请求之前,该方法进一步包括:访问端判断自身是否已获取所述B-TID;
如果是,则向所述NAF发送所述包含B-TID的业务请求,否则,向执行用户身份初始检查验证实体BSF发送鉴权请求,鉴权成功后从所述BSF获取所述B-TID,并向所述NAF发送所述包含B-TID的业务请求。
3、根据权利要求1或2所述的方法,其特征在于,
所述NAF接收到的业务请求中包含访问端的安全级别信息,或访问端期望的安全级别信息;
所述认证方式信息中包含是否对所有的访问端均使用相同认证方式的标识,与该标识对应的认证方式代码,以及访问端的安全级别与认证方式代码的对应关系;
所述NAF查询预先配置的认证方式信息,选定当前认证方式的过程为:
查询认证方式信息中是否标识对所有的访问端均使用相同的认证方式,如果是,则根据认证方式信息中与该标识对应的认证方式代码,选定该代码所对应的认证方式为当前的认证方式,否则,根据访问端的安全级别信息,查询认证方式信息中与访问端的安全级别所对应认证方式的代码,选定该代码所对应的认证方式为当前的认证方式。
4、根据权利要求3所述的方法,其特征在于,所述认证方式为:利用通用鉴权框架的鉴权结果通过查询B-TID的方式对访问端进行认证,或利用预设的认证方式对访问端进行认证,或分别利用上述两种方式对访问端进行认证。
5、根据权利要求4所述的方法,其特征在于,所述预设的认证方式包括:公私钥证书的认证方式或密码摘要的认证方式。
6、根据权利要求3所述的方法,其特征在于,所述认证方式信息以列表的形式存在。
7、根据权利要求1或2所述的方法,其特征在于,
所述认证方式信息中包含NAF所支持的每种认证方式的优先级信息;
所述NAF查询预先配置的认证方式信息,选定当前认证方式的过程为:
NAF根据自身已设置的优先级信息,选择与自身当前优先级相对应的且自身支持的认证方式作为当前选定的认证方式。
8、根据权利要求7所述的方法,其特征在于,所述认证方式为:利用通用鉴权框架的鉴权结果通过查询B-TID的方式对访问端进行认证,或利用预设的认证方式对访问端进行认证,或分别利用上述两种方式对访问端进行认证。
9、根据权利要求1或2所述的方法,其特征在于,该方法进一步包括:根据用户需要通过操作维护台更改预先配置的认证方式信息。
10、根据权利要求1或2所述的方法,其特征在于,所述访问端为用户终端UE或NAF。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2005100693947A CN100450283C (zh) | 2005-05-18 | 2005-05-18 | 访问端和业务应用实体建立信任关系的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2005100693947A CN100450283C (zh) | 2005-05-18 | 2005-05-18 | 访问端和业务应用实体建立信任关系的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1867158A CN1867158A (zh) | 2006-11-22 |
| CN100450283C true CN100450283C (zh) | 2009-01-07 |
Family
ID=37426006
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2005100693947A Active CN100450283C (zh) | 2005-05-18 | 2005-05-18 | 访问端和业务应用实体建立信任关系的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100450283C (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101404576B (zh) * | 2008-09-27 | 2010-09-22 | 深圳市迅雷网络技术有限公司 | 一种网络资源查询方法和系统 |
| CN101867475B (zh) * | 2010-05-27 | 2013-04-24 | 华为终端有限公司 | 远程控制终端业务的接入认证方法和相关设备及通信系统 |
| CN103995674B (zh) * | 2014-04-17 | 2017-08-25 | 华为技术有限公司 | 访问请求处理方法、装置和设备 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1501656A (zh) * | 2002-11-19 | 2004-06-02 | 华为技术有限公司 | 一种选择802.1x认证方式的方法 |
| CN1614923A (zh) * | 2003-11-07 | 2005-05-11 | 华为技术有限公司 | 一种分配会话事务标识的方法 |
| CN1614903A (zh) * | 2003-11-07 | 2005-05-11 | 华为技术有限公司 | 一种验证用户合法性的方法 |
| US20050102501A1 (en) * | 2003-11-11 | 2005-05-12 | Nokia Corporation | Shared secret usage for bootstrapping |
-
2005
- 2005-05-18 CN CNB2005100693947A patent/CN100450283C/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1501656A (zh) * | 2002-11-19 | 2004-06-02 | 华为技术有限公司 | 一种选择802.1x认证方式的方法 |
| CN1614923A (zh) * | 2003-11-07 | 2005-05-11 | 华为技术有限公司 | 一种分配会话事务标识的方法 |
| CN1614903A (zh) * | 2003-11-07 | 2005-05-11 | 华为技术有限公司 | 一种验证用户合法性的方法 |
| US20050102501A1 (en) * | 2003-11-11 | 2005-05-12 | Nokia Corporation | Shared secret usage for bootstrapping |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1867158A (zh) | 2006-11-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110999356B (zh) | 网络安全管理的方法及装置 | |
| EP1552646B1 (en) | Method and apparatus enabling reauthentication in a cellular communication system | |
| US8176327B2 (en) | Authentication protocol | |
| JP5199405B2 (ja) | 通信システムにおける認証 | |
| EP1891791B1 (en) | Protection for wireless devices against false access-point attacks | |
| CN101616410B (zh) | 一种蜂窝移动通信网络的接入方法和系统 | |
| EP1430640B1 (en) | A method for authenticating a user in a terminal, an authentication system, a terminal, and an authorization device | |
| CN1835436B (zh) | 一种通用鉴权网络及一种实现鉴权的方法 | |
| CN100591013C (zh) | 实现认证的方法和认证系统 | |
| US8091122B2 (en) | Computer program product, apparatus and method for secure HTTP digest response verification and integrity protection in a mobile terminal | |
| US8611859B2 (en) | System and method for providing secure network access in fixed mobile converged telecommunications networks | |
| CN100469196C (zh) | 一种多模终端在异质接入技术网络之间漫游的认证方法 | |
| WO2006135217A1 (en) | System and method for otimizing tunnel authentication procedure over a 3g-wlan interworking system | |
| CN101662768A (zh) | 基于个人手持电话系统的用户标识模块的认证方法和设备 | |
| US20080126455A1 (en) | Methods of protecting management frames exchanged between two wireless equipments, and of receiving and transmitting such frames, computer programs, and data media containing said computer programs | |
| CN100450283C (zh) | 访问端和业务应用实体建立信任关系的方法 | |
| US9485654B2 (en) | Method and apparatus for supporting single sign-on in a mobile communication system | |
| US8316426B2 (en) | Apparatus, computer program product and method for secure authentication response in a mobile terminal | |
| KR100527632B1 (ko) | Ad-hoc 네트워크의 게이트웨이에서 사용자 인증시스템 및 그 방법 | |
| Latze et al. | Strong mutual authentication in a user-friendly way in eap-tls | |
| CN101022450A (zh) | 重认证过程中确定安全信息的实现方法及装置 | |
| CN100364259C (zh) | 一种对用户设备进行认证的方法 | |
| WO2007008052A1 (en) | Methods of protecting management frames exchanged between two wireless equipments, and of receiving and transmitting such frames, computer programs, and data media containing said computer programs |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |