CN100456671C - 一种分配会话事务标识的方法 - Google Patents
一种分配会话事务标识的方法 Download PDFInfo
- Publication number
- CN100456671C CN100456671C CNB2003101132334A CN200310113233A CN100456671C CN 100456671 C CN100456671 C CN 100456671C CN B2003101132334 A CNB2003101132334 A CN B2003101132334A CN 200310113233 A CN200310113233 A CN 200310113233A CN 100456671 C CN100456671 C CN 100456671C
- Authority
- CN
- China
- Prior art keywords
- naf
- user
- tid
- bsf
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供了一种分配会话事务标识的方法,适用于应用通用鉴权框架对用户进行身份验证的第三代无线通信领域中,该方法包括以下步骤:a.用户向BSF发送包含待申请应用的NAF标识信息的认证请求消息;b.BSF接收到步骤a所述消息后,按照预先设定的分配原则,将已分配的只针对该用户所申请应用的NAF有效的会话事务标识TID发送给用户。应用本发明,使得一个TID只针对一个NAF有效,即不同的NAF与同一用户的共享密钥是不同的,从而避免了一个NAF被攻破,而使与其共享密钥的NAF全部受攻的问题,增加了系统的安全性。而且,当NAF认为该用户使用的TID已不安全时,将提示用户更新TID。
Description
技术领域
本发明涉及第三代无线通信技术领域,特别是指一种分配会话事务标识(TID)的方法。
背景技术
在第三代无线通信标准中,通用鉴权框架是多种应用业务实体使用的一个用于完成对用户身份进行验证的通用结构,应用通用鉴权框架可实现对应用业务的用户进行检查和验证身份。上述多种应用业务可以是多播/广播业务、用户证书业务、信息即时提供业务等,也可以是代理业务,例如多个服务和一个代理相连,这个通用鉴权框架把代理也当作一种业务来处理,组织结构可以很灵活,而且,对于以后新开发的业务也同样可以应用通用鉴权结构框架对应用业务的用户进行检查和验证身份。
图1所示为通用鉴权框架的结构示意图。通用鉴权框架通常由用户101、执行用户身份初始检查验证的实体(BSF)102、用户归属网络服务器(HSS)103和网络应用实体(NAF)104组成。BSF 102用于与用户101进行互验证身份,同时生成BSF 102与用户101的共享密钥;HSS 103中存储有用于描述用户信息的描述(Profile)信息文件,同时HSS 103还兼有产生鉴权信息的功能。
用户需要使用某种业务时,如果其知道该业务需要到BSF进行互鉴权过程,则直接到BSF进行互鉴权,否则,用户会首先和某个业务对应的NAF联系,如果该NAF应用通用鉴权框架需要用户到BSF进行身份验证,则通知用户应用通用鉴权框架进行身份验证,否则进行其它相应处理。
图2所示为应用通用鉴权框架进行用户身份认证的流程图。
步骤201,用户向NAF发送业务应用请求消息;
步骤202,NAF收到该消息后,如果发现该用户还未到BSF进行互认证,通知该用户首先到BSF进行初始鉴权认证;
步骤203,用户向BSF发送初始鉴权认证请求消息;
步骤204,BSF接收到用户的鉴权请求消息后,向HSS查询该用户的鉴权信息以及Profile信息;
步骤205,BSF得到HSS发送的包含其所查信息的响应消息后,应用所查到的信息与用户执行鉴权和密钥协商协议(AKA)进行互鉴权,当BSF与用户完成AKA互鉴权,即相互认证了身份后,BSF与用户之间就拥有了共享密钥Ks;
步骤206,BSF给用户分配只包括标识号的会话事务标识(TID),且该TID针对一个以上的NAF同时有效,并将已分配的TID发送给用户;
步骤207,用户收到BSF分配的TID后,重新向NAF发送业务应用请求消息,该请求消息中包含BSF分配的TID信息;
步骤208,NAF接收到用户发送的包含TID信息的业务应用请求消息时,首先在NAF本地进行查询,如查询到,则直接执行步骤210,否则,向BSF发送包含NAF本地标识的查询TID的消息;
步骤209,BSF接收到来自NAF的查询消息,在本地进行查询,如查询到,则向NAF发送响应成功的查询消息,该消息中包括查到的TID以及该TID对应用户应用的共享密钥Ks,这时NAF和用户也共享了密钥Ks,并执行步骤210,否则BSF向NAF发送响应失败的查询消息,通知NAF没有该用户的信息,由NAF通知用户到BSF上进行鉴权,并结束该处理流程;
步骤210,NAF与用户进行正常的通信,并应用共享密钥Ks或由该共享密钥Ks衍生的密钥对以后的通信进行保护。
当用户和某个NAF的首次通信过程结束后,在以后的通信中都使用该已经过鉴权的TID和NAF进行通信,由于TID是可以重复使用的,任何一个NAF如果在本地不能找到相应的TID时,都将向BSF进行查询,因此,只要用户取得一个合法的TID后,就可以应用该TID与任何NAF进行通信。
现有技术的缺陷在于:BSF分配给用户的TID是与业务对应的实体NAF没有联系的。同一用户向不同NAF请求应用业务时,使用的都是同一个TID,即多个NAF和同一用户共享了相同的密钥Ks,因此,必然使得密钥Ks的安全性降低。而且,一旦某个NAF被攻击者攻破,即泄露了Ks,则攻击者可以冒充该用户应用多个NAF上的业务,也就是说,如果某个NAF被攻击者攻破,则与其共享相同密钥的NAF都相当于被攻破,即该用户的所有应用业务都受到同样的威胁。
发明内容
有鉴于此,本发明的目的在于提供一种分配会话事务标识的方法,使一个TID只针对一个NAF有效,从而解决一个NAF被攻破,而使与其共享密钥的NAF全部受攻的问题。
为到达上述目的,本发明的技术方案是这样实现的:
一种分配会话事务标识的方法,适用于应用通用鉴权框架对用户进行身份验证的第三代无线通信领域中,该方法包括以下步骤:
a、用户向执行用户身份初始检查验证的实体BSF发送包含待申请应用的网络应用实体NAF标识信息的认证请求消息;
b、BSF接收到步骤a所述消息后,按照预先设定的分配原则,将已分配的只针对该用户所申请应用的NAF有效的会话事务标识TID发送给用户。
较佳地,步骤b所述预先设定的分配原则为:BSF根据用户携带的NAF标识信息以及该用户的描述profile信息,使所分配TID中标记NAF的标识与待申请应用的NAF的标识相同。
较佳地,步骤b所述预先设定的分配原则为:BSF根据用户携带的NAF标识信息以及该用户的描述profile信息,使所分配TID的标识号在待申请应用的NAF的号段范围之内。
较佳地,步骤b所述预先设定的分配原则为:BSF根据用户携带的NAF标识信息首先向对应的NAF进行查询,由该对应的NAF将自身标识号段内的空闲标识信息发送给BSF,BSF根据NAF给出的自身标识号段内的空闲标识信息给用户分配TID。
较佳地,所述NAF给出的自身标识号段内的空闲标识信息是一个以上的空闲标识。
较佳地,步骤b所述BSF接收到步骤a所述消息后,进一步包括:BSF首先根据该用户的描述profile信息判断该用户是否有权与其待申请应用的NAF进行通信,如果是,再执行后续步骤,否则BSF提示用户订购该NAF的业务。
较佳地,该方法进一步包括:用户接收到BSF发来的TID后,向NAF发送带有该TID信息的业务应用请求消息;NAF接收到该消息后,首先判断该TID是否对本NAF有效,如果无效,则NAF给用户提示错误信息,如果有效,则NAF再判断本地是否有该TID信息,如果有,则与该用户进行正常通信,否则向BSF进行查询。
较佳地,所述判断该TID是否对本NAF有效的方法为:判断TID中标记NAF的标识是否与本地NAF的标识相同,如果相同,则该TID对本NAF有效,否则,该TID对本NAF无效。
较佳地,所述判断该TID是否对本NAF有效的方法为:判断该TID的标识号段是否在本NAF的标识号段的范围内,如果是,则该TID对本NAF有效,否则,该TID对本NAF无效。
较佳地,该方法进一步包括:在NAF受到非法攻击时,提示用户到BSF进行重认证更新TID及对应的密钥。
较佳地,所述用户携带的NAF标识信息为NAF的名称、代号或地址。
本发明由BSF根据用户携带的待申请应用的NAF的标识信息以及该用户自身的profile信息,为用户分配只针对其待申请应用的NAF有效的TID,使得一个TID只针对一个NAF有效,即不同的NAF与同一用户的共享密钥是不同的,从而避免了一个NAF被攻破,而使与其共享密钥的NAF全部受攻的问题,增加了系统的安全性。而且,当NAF认为该用户使用的TID已不安全时,如NAF受到非法攻击时,将提示用户更新TID。
附图说明
图1所示为通用鉴权框架的结构示意图;
图2所示为应用通用鉴权框架进行用户身份认证的流程图;
图3所示为应用本发明一实施例的流程图。
具体实施方式
为使本发明的技术方案更加清楚,下面结合附图及具体实施例对本发明再做进一步的详细说明。
本发明的思路是:当用户向BSF发送包含待申请应用NAF标识信息的认证请求消息时,BSF按照预先设定的分配原则,将已分配的只针对该用户所申请应用的NAF有效的TID发送给用户。
图3所示为应用本发明一实施例的流程图。
步骤301,用户向NAF发送业务应用请求消息;
步骤302,NAF收到该消息后,如果发现该用户还未到BSF进行互认证,通知该用户首先到BSF进行初始鉴权认证;
步骤303,用户向BSF发送包含待申请应用NAF的名称、代号或地址的初始鉴权认证请求消息;
步骤304,BSF接收到用户的鉴权请求消息后,向HSS查询该用户的鉴权信息以及Profile信息;
步骤305,BSF得到HSS发送的包含其所查信息的响应消息后,应用所查到的信息与用户进行AKA互鉴权,当BSF与用户完成AKA互鉴权,即相互认证了身份后,BSF与用户之间就拥有了共享密钥Ks;
步骤306,BSF根据该用户的Profile信息判断该用户是否有权与其待申请应用的NAF进行通信,如果该用户有权与其待申请应用的NAF进行通信,则按照预先设定的分配原则,将已分配的只针对该用户所申请应用的NAF有效的TID发送给用户,如果该用户无权与其待申请应用的NAF进行通信,则提示用户订购该业务;
BSF可遵循以下任一原则给用户分配TID:
1)根据用户携带的NAF名称、代号或地址以及该用户的profile信息,令所分配TID中标记NAF的标识与待申请应用的NAF的标识相同。例如,假设TID标识共有12位XXX XXX XXX XXX,且前3位用于标记不同的NAF,即代表不同的NAF,后9位用于代表不同的用户,则BSF为用户分配的TID的前3位的标识与该用户待申请应用的NAF的标识相同;
2)根据用户携带的NAF名称、代号或地址以及该用户的profile信息,令所分配TID的标识号在待申请应用的NAF的号段范围之内。例如,假设TID标识共有6位XXX XXX,且NAF1的号段范围为100 000~199 999,NAF2的号段范围为200 000~299 999;如果用户是申请与NAF1进行业务通信,则BSF为其分配的号段必须在100 000~199 999范围之内,如果用户是申请与NAF2进行业务通信,则BSF为其分配的号段必须在200 000~299 999范围之内;
3)BSF根据NAF给出的空闲标识信息给用户分配TID。例如,当BSF不知在哪个范围内给用户分配TID时,首先根据用户携带的NAF标识信息向对应的NAF查询,NAF将自身标识号段内的所有空闲的标识发送给BSF,由BSF在所有的空闲标识内指定一标识作为TID分配给用户,同时将该TID和BSF与用户互认证过程中生成的共享密钥对应起来,并保存,以便NAF查询;或者,如果考虑BSF负担过重,NAF首先从自身标识号段内的所有空闲标识中选出一个标识发送给BSF,然后由BSF将该NAF指定的标识作为TID分配给用户,同时将该TID和BSF与用户互认证过程中生成的共享密钥对应起来,并保存,以便NAF查询;
步骤307,用户收到BSF分配的TID后,重新向NAF发送业务应用请求消息,该请求消息中包含BSF分配的TID信息;
步骤308,NAF接收到用户发送的包含TID信息的业务应用请求消息后,首先判断该TID对本NAF是否有效,如果无效,则NAF给用户提示错误信息,如果有效,再判断NAF本地是否有该TID信息,如果有,则执行步骤311,否则执行步骤309;
NAF判断接收到的TID对本NAF是否有效的方法为:根据TID中标记NAF的标识是否与本地NAF的标识相同来判断该TID对本NAF是否有效,或者,根据该TID的标识号段是否在本NAF的标识号段的范围内,来判断该TID对本NAF是否有效;
步骤309,NAF向BSF发送包括本地NAF标识的查询TID的消息,如果BSF查询到,则执行步骤310,否则BSF向NAF发送响应失败的查询消息,通知NAF没有该用户的信息,由NAF通知用户到BSF上进行鉴权,并结束该处理流程;
步骤310,BSF向NAF发送响应成功的查询消息,该消息中包括查到的TID以及该TID对应用户应用的共享密钥Ks或由该共享密钥Ks衍生的密钥,这时NAF和用户也共享了密钥Ks或其衍生密钥,并执行步骤311;
步骤311,NAF与用户进行正常的通信,并应用共享密钥Ks或由该共享密钥Ks衍生的密钥对以后的通信进行保护。
当用户再次使用已应用过的NAF上的业务时,仍然可以使用已分配的的TID向NAF发出请求,只有当NAF认为该用户使用的TID已经不安全时,如NAF受到非法攻击并且认为用户的TID及该TID对应的密钥有可能已经被盗时,将提示用户更新TID。例如,NAF本身安装了一个用于检测自身是否安全的入侵检测系统,当这个系统报告NAF遭到了黑客的攻击时,NAF处理完自身的安全问题后将通知用户更新TID及该TID对应的密钥。
NAF可以是一个应用服务器,也可以是多个应用服务器的代理。当NAF是应用服务器代理时,NAF后面可以连接多个应用服务器,即一个NAF代表多个应用,这时NAF虽然代表多个应用服务器,但NAF自身仍是一个实体。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (11)
1、一种分配会话事务标识的方法,适用于应用通用鉴权框架对用户进行身份验证的第三代无线通信领域中,其特征在于,该方法包括以下步骤:
a、用户向执行用户身份初始检查验证的实体BSF发送包含待申请应用的网络应用实体NAF标识信息的认证请求消息;
b、BSF接收到步骤a所述消息后,按照预先设定的分配原则,将已分配的只针对该用户所申请应用的NAF有效的会话事务标识TID发送给用户。
2、根据权利要求1所述的方法,其特征在于,步骤b所述预先设定的分配原则为:BSF根据用户携带的NAF标识信息以及该用户的描述profile信息,使所分配TID中标记NAF的标识与待申请应用的NAF的标识相同。
3、根据权利要求1所述的方法,其特征在于,步骤b所述预先设定的分配原则为:BSF根据用户携带的NAF标识信息以及该用户的描述profile信息,使所分配TID的标识号在待申请应用的NAF的号段范围之内。
4、根据权利要求1所述的方法,其特征在于,步骤b所述预先设定的分配原则为:BSF根据用户携带的NAF标识信息首先向对应的NAF进行查询,由该对应的NAF将自身标识号段内的空闲标识信息发送给BSF,BSF根据NAF给出的自身标识号段内的空闲标识信息给用户分配TID。
5、根据权利要求4所述的方法,其特征在于,所述NAF给出的自身标识号段内的空闲标识信息是一个以上的空闲标识。
6、根据权利要求1所述的方法,其特征在于,步骤b所述BSF接收到步骤a所述消息后,进一步包括:BSF首先根据该用户的描述profile信息判断该用户是否有权与其待申请应用的NAF进行通信,如果是,再执行后续步骤,否则BSF提示用户订购该NAF的业务。
7、根据权利要求1或6所述的方法,其特征在于,该方法进一步包括:用户接收到BSF发来的TID后,向NAF发送带有该TID信息的业务应用请求消息;NAF接收到该消息后,首先判断该TID是否对本NAF有效,如果无效,则NAF给用户提示错误信息,如果有效,则NAF再判断本地是否有该TID信息,如果有,则与该用户进行正常通信,否则向BSF进行查询。
8、根据权利要求7所述的方法,其特征在于,所述判断该T1D是否对本NAF有效的方法为:判断TID中标记NAF的标识是否与本地NAF的标识相同,如果相同,则该TID对本NAF有效,否则,该TID对本NAF无效。
9、根据权利要求7所述的方法,其特征在于,所述判断该TID是否对本NAF有效的方法为:判断该TID的标识号段是否在本NAF的标识号段的范围内,如果是,则该TID对本NAF有效,否则,该TID对本NAF无效。
10、根据权利要求7所述的方法,其特征在于,该方法进一步包括:在NAF受到非法攻击时,提示用户到BSF进行重认证更新TID及对应的密钥。
11、根据权利要求2~4中任一所述的方法,其特征在于,所述用户携带的NAF标识信息为NAF的名称、代号或地址。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNB2003101132334A CN100456671C (zh) | 2003-11-07 | 2003-11-07 | 一种分配会话事务标识的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNB2003101132334A CN100456671C (zh) | 2003-11-07 | 2003-11-07 | 一种分配会话事务标识的方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN1614923A CN1614923A (zh) | 2005-05-11 |
CN100456671C true CN100456671C (zh) | 2009-01-28 |
Family
ID=34759857
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNB2003101132334A Expired - Fee Related CN100456671C (zh) | 2003-11-07 | 2003-11-07 | 一种分配会话事务标识的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN100456671C (zh) |
Families Citing this family (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1315268C (zh) | 2003-11-07 | 2007-05-09 | 华为技术有限公司 | 一种验证用户合法性的方法 |
CN100450283C (zh) * | 2005-05-18 | 2009-01-07 | 华为技术有限公司 | 访问端和业务应用实体建立信任关系的方法 |
DE102005026982A1 (de) * | 2005-06-10 | 2006-12-14 | Siemens Ag | Verfahren zur Vereinbarung eines Sicherheitsschlüssels zwischen mindestens einem ersten und einem zweiten Kommunikationsteilnehmer zur Sicherung einer Kommunikationsverbindung |
CN1921682B (zh) * | 2005-08-26 | 2010-04-21 | 华为技术有限公司 | 增强通用鉴权框架中的密钥协商方法 |
US7490755B2 (en) * | 2006-01-13 | 2009-02-17 | International Business Machines Corporation | Method and program for establishing peer-to-peer karma and trust |
CN101401465B (zh) * | 2006-01-24 | 2010-11-03 | 英国电讯有限公司 | 用于在移动网络中进行递归认证的方法和系统 |
CN101155030B (zh) * | 2006-09-29 | 2010-10-06 | 维豪信息技术有限公司 | 基于注册鉴权的网络资源整合访问方法 |
CN101267663B (zh) * | 2007-03-15 | 2012-02-22 | 华为技术有限公司 | 一种用户身份验证的方法、系统及装置 |
CN102137384B (zh) * | 2010-01-22 | 2013-08-28 | 华为技术有限公司 | 网络实体标识的处理方法、装置和通信系统 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2001037517A2 (en) * | 1999-11-03 | 2001-05-25 | Wayport, Inc. | Distributed network communication system which enables multiple network providers to use a common distributed network infrastructure |
CN1346561A (zh) * | 1999-04-08 | 2002-04-24 | 艾利森电话股份有限公司 | 移动互联网接入 |
CN1377560A (zh) * | 1999-10-01 | 2002-10-30 | 艾利森电话股份有限公司 | 具有人机接口的一种便携式通信装置及其工作方法 |
US20020186845A1 (en) * | 2001-06-11 | 2002-12-12 | Santanu Dutta | Method and apparatus for remotely disabling and enabling access to secure transaction functions of a mobile terminal |
WO2003088578A1 (en) * | 2002-04-18 | 2003-10-23 | Nokia Corporation | Method, system and device for service selection via a wireless local area network |
-
2003
- 2003-11-07 CN CNB2003101132334A patent/CN100456671C/zh not_active Expired - Fee Related
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1346561A (zh) * | 1999-04-08 | 2002-04-24 | 艾利森电话股份有限公司 | 移动互联网接入 |
CN1377560A (zh) * | 1999-10-01 | 2002-10-30 | 艾利森电话股份有限公司 | 具有人机接口的一种便携式通信装置及其工作方法 |
WO2001037517A2 (en) * | 1999-11-03 | 2001-05-25 | Wayport, Inc. | Distributed network communication system which enables multiple network providers to use a common distributed network infrastructure |
US20020186845A1 (en) * | 2001-06-11 | 2002-12-12 | Santanu Dutta | Method and apparatus for remotely disabling and enabling access to secure transaction functions of a mobile terminal |
WO2003088578A1 (en) * | 2002-04-18 | 2003-10-23 | Nokia Corporation | Method, system and device for service selection via a wireless local area network |
Also Published As
Publication number | Publication date |
---|---|
CN1614923A (zh) | 2005-05-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110800331B (zh) | 网络验证方法、相关设备及系统 | |
US8275355B2 (en) | Method for roaming user to establish security association with visited network application server | |
US7849314B2 (en) | Method and system for secure authentication in a wireless network | |
CN101631113B (zh) | 一种有线局域网的安全访问控制方法及其系统 | |
EP1641210A1 (en) | Configuration information distribution apparatus and configuration information reception program | |
US7496949B2 (en) | Network system, proxy server, session management method, and program | |
CN101355557B (zh) | 在mpls/vpn网络中实现网络接入控制的方法及系统 | |
CN1921682B (zh) | 增强通用鉴权框架中的密钥协商方法 | |
WO2005046118A1 (fr) | Procede pour verifier la validite d'un abonne | |
CN110022279B (zh) | 一种微服务系统中认证鉴权的方法和系统 | |
CN108667601A (zh) | 一种传输数据的方法、装置和设备 | |
WO2005074188A1 (fr) | Procede d'obtention d'une identification utilisateur pour entite d'application du reseau | |
CN100456671C (zh) | 一种分配会话事务标识的方法 | |
CN103685192A (zh) | 一种对第三方应用发起的调用进行限制的方法及装置 | |
CN106209727A (zh) | 一种会话访问方法和装置 | |
CN114338242A (zh) | 一种基于区块链技术的跨域单点登录访问方法及系统 | |
CN114390524B (zh) | 一键登录业务的实现方法和装置 | |
CN102315996A (zh) | 网络准入控制方法及系统 | |
CN102208980A (zh) | 一种通信方法及系统 | |
CN101998405B (zh) | 基于wlan接入认证的业务访问方法 | |
CN1302633C (zh) | 一种保证通用鉴权框架系统安全的方法 | |
CN100466515C (zh) | 一种建立会话事务标识和网络应用实体之间关联的方法 | |
CN100512137C (zh) | 一种删除会话事务标识及其对应信息的方法 | |
CN101697542B (zh) | 认证方法、软交换机和终端 | |
CN100450283C (zh) | 访问端和业务应用实体建立信任关系的方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20090128 Termination date: 20141107 |
|
EXPY | Termination of patent right or utility model |