CN100563159C - 通用鉴权系统及访问该系统中网络业务应用的方法 - Google Patents
通用鉴权系统及访问该系统中网络业务应用的方法 Download PDFInfo
- Publication number
- CN100563159C CN100563159C CNB2006100080406A CN200610008040A CN100563159C CN 100563159 C CN100563159 C CN 100563159C CN B2006100080406 A CNB2006100080406 A CN B2006100080406A CN 200610008040 A CN200610008040 A CN 200610008040A CN 100563159 C CN100563159 C CN 100563159C
- Authority
- CN
- China
- Prior art keywords
- roamer
- entity
- bsf
- naf
- card
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
- H04L9/3273—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W74/00—Wireless channel access, e.g. scheduled or random access
Abstract
本发明公开了一种通用鉴权系统,该系统包括漫游用户、位于漫游网络中的通用鉴权实体和网络业务应用。本发明还公开了一种访问所述通用鉴权系统中网络业务应用的方法,对于漫游用户具备GBA功能,该漫游用户所属归属网络不支持通用鉴权框架(GAA),而该漫游用户所处漫游网络支持GAA的情况,该方法实现了漫游用户在漫游网络中完成互认证过程,从而实现了访问漫游网络中的NAF服务。
Description
技术领域
本发明涉及通用鉴权技术,尤指在漫游网络中,一种通用鉴权系统及访问该系统中网络业务应用(NAF)的方法。
背景技术
在第三代无线通信标准中,通用鉴权系统也称为通用鉴权框架(GAA),是多种应用业务实体使用的一个用于完成对用户身份进行验证的通用结构,应用通用鉴权框架可实现对应用业务的用户进行检查和验证身份。上述多种应用业务可以是多播/广播业务、用户证书业务、信息即时提供业务等,也可以是代理业务。
图1为现有技术通用鉴权框架结构示意图,如图1所示,通用鉴权框架通常由用户、执行用户身份初始检查验证的Bootstrapping服务功能(BSF)实体、归属用户服务器(HSS)和网络业务应用(NAF)实体组成。下文中将BSF实体简称为BSF,将NAF实体简称为NAF。其中,BSF用于与用户进行互认证即互相验证身份,同时生成BSF与用户的共享密钥的过程,该过程也称为Bootstrapping过程或GBA过程,称能够与BSF实现GBA过程的用户为具备GBA功能的用户;HSS中存储用于描述用户信息的描述(Profile)文件,同时HSS还兼有产生鉴权信息的功能;NAF可以代表不同的网络业务应用实体,用户要实现某种业务时,必须访问该业务对应的NAF并与该NAF进行通信。各个实体之间的接口如图1所示,BSF与NAF之间通过Zn接口连接;用户通过用户终端(UE)与BSF或NAF连接,UE与BSF之间通过Ub接口连接,UE与NAF之间通过Ua接口连接。
用户需要使用某种业务即访问该业务对应的NAF时,如果用户知道该业务需要到BSF进行互认证,则用户通过UE直接到BSF执行Bootstrapping过程;否则,用户会首先向该业务对应的NAF发起连接请求,如果该NAF使用通用鉴权框架即支持GAA功能,并且发现发起连接请求的用户还未到BSF进行互认证,则通知发起连接请求的用户到BSF执行Bootstrapping过程。
接下来用户通过UE与BSF之间执行Bootstrapping过程进行互认证,该Bootstrapping过程成功完成后,UE和BSF之间互相验证了身份并且生成共享密钥Ks,BSF为该共享密钥Ks定义了一个有效期(Key-lifetime)并分配一个会话事务标识(B-TID)给用户;BSF和UE分别将共享密钥Ks,B-TID以及有效期关联保存。当用户要与NAF通信时,重新向NAF发出连接请求,且请求消息中携带该B-TID,同时用户根据该共享密钥Ks采用预设衍生算法计算出衍生密钥NAF specific key。
NAF收到连接请求后,如果NAF不能在本地查询到该B-TID,则向BSF发送携带自身标识和该B-TID的请求查询消息进行查询。如果BSF不能在本地查询到该B-TID,则通知NAF没有该用户的信息,此时,NAF将通知用户到BSF进行互认证;如果BSF查询到该B-TID,则使用与用户侧相同的衍生算法计算共享密钥Ks的衍生密钥,然后向NAF发送成功响应消息,该成功响应中携带有所述B-TID,与该B-TID对应的衍生密钥,以及共享密钥Ks的有效期。NAF收到BSF的成功响应消息后,认为该用户是经过BSF认证的合法用户,同时NAF共享了由共享密钥Ks计算得到的衍生密钥,该衍生密钥与用户根据该共享密钥Ks计算出衍生密钥一致。用户在后续访问NAF中利用该衍生密钥保护二者之间的通信。
当用户发现共享密钥Ks即将过期,或NAF要求用户重新到BSF进行互认证时,用户重复上述的互认证步骤重新到BSF进行互认证,以得到新的共享密钥Ks及B-TID。
以上描述的在GAA中,用户访问NAF的过程适用于NAF位于用户的归属网络中的情况。对于用户访问位于漫游网络中的NAF的情况,现有技术的处理是:与用户进行互认证的BSF还是归属网络的BSF,而漫游网络的NAF需要通过一个D代理(D-proxy)与归属网络的BSF连接,并且从归属网络的BSF处取得衍生密钥,然后利用该衍生密钥与用户进行通信。这种情况属于归属网络和漫游网络都支持GAA的情况。
但是,如果一个具备GBA功能的UE所在的归属网络不支持GAA,而当该UE漫游到一个支持GAA的漫游网络时,按照目前提供的通用鉴权架构和通过该通用鉴权架构访问NAF的处理方法,由于与用户进行互认证的BSF是归属网络的BSF,而该UE所属归属网络不支持GAA,因此,该UE是不能使用漫游网络提供的NAF业务的。
发明内容
有鉴于此,本发明的主要目的在于提供两种通用鉴权系统,使漫游用户能够访问漫游网络中的NAF业务。
本发明的另一目的在于提供一种访问所述通用鉴权系统中网络业务应用的方法,使漫游用户能够访问漫游网络中的NAF业务。
为达到上述目的,本发明的技术方案具体是这样实现的:
一种通用鉴权系统,该系统包括:该系统包括:漫游用户、漫游网络业务应用V-NAF实体、及用于实现与漫游用户的互认证的通用鉴权实体,其中,
所述漫游用户接收来自所述V-NAF实体的互认证通知,通过已获知的漫游网络的移动国家码和移动网络码获取通用鉴权实体的互认证地址,并根据所述互认证地址向所述通用鉴权实体发起互认证请求;或者,所述漫游用户在发送给所述V-NAF实体的连接请求中携带标识自身是漫游用户的标志,所述V-NAF实体获知当前用户为漫游用户且判定该漫游用户未进行互认证后,将漫游网络中通用鉴权实体的互认证地址携带在GBA指示中返回给所述漫游用户,所述漫游用户根据所述互认证地址向所述通用鉴权实体发起互认证请求;
所述通用鉴权实体接收来自漫游用户的互认证请求,与该漫游用户进行互认证,互认证后该漫游用户访问所述网络业务应用。
该系统具体包括:
所述V-NAF实体,接收来自漫游用户的连接请求,通知该漫游用户进行互认证或者向所述通用鉴权实体查询该漫游用户的衍生密钥;接收来自所述通用鉴权实体的衍生密钥,并利用该衍生密钥与所述漫游用户进行通信;
所述漫游用户,向所述V-NAF实体发送连接请求;接收来自V-NAF实体的互认证通知,向所述通用鉴权实体发送互认证请求,与所述通用鉴权实体实现互认证并生成衍生密钥;利用生成的衍生密钥与所述V-NAF实体进行通信;
所述通用鉴权实体,接收来自所述漫游用户的互认证请求,通过自身与漫游用户所属归属网络的签约数据库的连接,获取所述通用鉴权实体与所述漫游用户进行互认证所需的鉴权信息,并实现与该漫游用户的互认证;接收来自所述V-NAF实体的查询请求,生成衍生密钥并发送给所述V-NAF。
所述通用鉴权实体为:位于所述漫游网络中的执行用户身份初始检查验证的Bootstrapping服务功能V-BSF实体。
所述漫游用户所属归属网络的签约数据库为归属用户服务器HSS,所述V-BSF实体与所述HSS间通过Zh接口采用Diameter协议连接;
或用户所属归属网络的签约数据库为归属位置寄存器HLR,所述V-BSF实体与所述HLR间通过Gr接口连接。
所述通用鉴权实体包括:位于所述漫游网络中的服务GPRS支持节点SGSN,及执行用户身份初始检查验证的Bootstrapping服务功能V-BSF实体。
所述漫游用户所属归属网络的签约数据库为HSS/HLR,所述SGSN与所述HLR/HSS间通过Gr接口连接,所述V-BSF实体与所述SGSN间通过Zx接口连接。
所述V-BSF实体为两个或两个以上,所述通用鉴权实体还包括:用于连接所有V-BSF实体与漫游用户所属归属网络的B代理B-proxy。
所述各V-BSF实体与所述B-proxy间通过Zx接口连接;
所述漫游用户所属归属网络的签约数据库为HSS,所述B-proxy与所述HSS间通过Zh’接口连接;或用户所属归属网络的签约数据库为HLR,所述B-proxy与所述HLR间通过Gr接口连接。
所述B-proxy为独立实体,或为所有V-BSF实体中任一V-BSF实体中的一个功能模块。
所述V-BSF实体为两个或两个以上,所有V-BSF实体中指定一个V-BSF实体为主V-BSF实体;
所述主V-BSF实体包括用于连接V-BSF实体与漫游用户所属归属网络的B代理B-proxy。
所述主V-BSF与所述剩余V-BSF间通过Zx接口连接;
所述用户所属归属网络的签约数据库为HSS,所述B-proxy与所述HSS间通过Zh’接口连接;或用户所属归属网络的签约数据库为HLR,所述B-proxy与所述HLR间通过Gr接口连接。
所述V-BSF实体与所述V-NAF实体通过Zn接口连接,所述漫游用户通过Ub接口与所述V-BSF实体连接、通过Ua接口与所述V-NAF实体连接。
一种访问通用鉴权系统中网络业务应用NAF实体的方法,所述通用鉴权系统包括:漫游用户、漫游网络业务应用V-NAF实体、及用于实现与漫游用户的互认证和向V-NAF实体提供衍生密钥的通用鉴权实体,该方法包括以下步骤:
A.所述漫游用户接收到来自所述V-NAF实体的互认证通知后,向所述通用鉴权实体发起互认证请求;
B.所述通用鉴权实体根据所述互认证请求中携带的用户信息,从该漫游用户所属归属网络的签约数据库获取鉴权信息;
C.所述通用鉴权实体与该漫游用户根据所述鉴权信息进行互认证后,该漫游用户访问所述网络业务应用;
其中,步骤A中所述漫游用户接收到互认证通知之后,向通用鉴权实体发起互认证请求之前,该方法进一步包括:
所述漫游用户通过已获知的所述漫游网络的移动国家码和移动网络码获取通用鉴权实体的互认证地址;
或者所述漫游用户在发送给所述V-NAF实体的连接请求中携带标识自身是漫游用户的标志,所述V-NAF实体获知当前用户为漫游用户且判定该漫游用户未进行互认证后,将漫游网络中通用鉴权实体的互认证地址携带在GBA指示中返回给所述漫游用户。
步骤C具体包括:
C1.所述漫游用户与所述V-BSF实体间互相验证身份并生成共享密钥Ks,所述V-BSF实体为该共享密钥Ks定义有效期并分配B-TID,所述V-BSF实体和所述漫游用户分别将所述共享密钥Ks,B-TID以及有效期关联保存;
C2.所述漫游用户将所述B-TID携带连接请求中并发送给所述V-NAF实体,同时所述漫游用户根据该共享密钥Ks采用预设衍生算法计算出衍生密钥;
C3.所述V-NAF实体根据接收到连接请求,若自身不能在本地查询到所述B-TID,则将自身标识和所述B-TID携带在请求查询消息中并发送给所述V-BSF实体;
C4.若所述V-BSF实体查询到所述B-TID,并使用与用户侧相同的衍生算法计算共享密钥Ks的衍生密钥,并将所述B-TID,及生成的衍生密钥携带在成功响应消息中并发送给所述V-NAF实体,所述漫游用户与所述V-NAF实体间采用所述衍生密钥进行通信。
步骤C4中,若所述V-BSF实体不能在本地查询到所述B-TID,则所述V-BSF实体通知所述V-NAF实体未查询到所述漫游用户的信息;所述V-NAF实体通知所述漫游用户返回重新执行步骤A。
步骤C3中,若所述V-BSF实体为两个或两个以上,则所述V-NAF实体向所有V-BSF实体发送携带自身标识和所述B-TID的请求查询消息进行查询。
所述漫游用户所属归属网络的签约数据库为HSS/HLR。
该方法进一步包括:
所述漫游用户离开所述漫游网络时,所述UE删除分配给该漫游用户的共享密钥Ks、所述衍生密钥及B-TID。
该方法进一步包括:
所述漫游用户移动至另一漫游网络中,若另一漫游网络中的NAF实体向所述漫游网络请求所述漫游用户的安全通信用信息,所述漫游网络中的V-BSF实体拒绝将该漫游用户的衍生密钥返回给另一漫游网络中的NAF实体。
由上述技术方案可见,本发明通用鉴权系统包括漫游用户、位于漫游网络中的用于实现与漫游用户的互认证和向V-NAF提供衍生密钥的通用鉴权实体,以及网络业务应用。本发明访问所述通用鉴权系统中的网络业务应用的方法,对于漫游用户具备GBA功能,而该漫游用户所属归属网络不支持GAA,当该漫游用户处于支持GAA的漫游网络时,该方法实现了漫游用户在漫游网络中完成互认证过程,从而实现了访问漫游网络中的NAF服务。
附图说明
图1是现有技术通用鉴权框架结构示意图;
图2是本发明通用鉴权系统结构示意图;
图3a是本发明通用鉴权实体实施例一的结构示意图;
图3b是本发明通用鉴权实体实施例二的结构示意图;
图4a是本发明漫游网络中存在多个BSF时,通用鉴权实体实施例一的结构示意图;
图4b是本发明漫游网络中存在多个BSF时,通用鉴权实体实施例二的结构示意图;
图5是本发明访问NAF的方法的流程图;
图6是本发明访问NAF的实施例一的流程图;
图7是本发明访问NAF的实施例二的流程图。
具体实施方式
本发明的核心思想是:在由漫游用户、位于漫游网络中的通用鉴权实体和漫游网络业务应用组成的通用鉴权系统中,漫游用户接收到来自网络业务应用的互认证通知后,向所处漫游网络中的通用鉴权实体发起互认证请求;所述通用鉴权实体根据所述互认证请求中携带的用户信息,从该漫游用户所属归属网络的签约数据库获取鉴权信息;所述通用鉴权实体与该用户根据获得的鉴权信息进行互认证并生成衍生密钥,该漫游用户利用该衍生密钥访问所述网络业务应用。
为使本发明的目的、技术方案及优点更加清楚明白,以下参照附图并举较佳实施例,对本发明进一步详细说明。
本发明尤其适用于漫游用户具备GBA功能,该漫游用户所属归属网络不支持GAA,而该漫游用户所处漫游网络支持GAA;且所述漫游网络与归属网络间已签订相应的服务协议,使归属网络对漫游网络开放用于实现互认证过程的相关接口,这样,漫游网络可以通过所述相关接口访问归属网络并从归属网络获得所需的鉴权用数据。
图2是本发明通用鉴权系统结构示意图,如图2所示,本发明的通用鉴权系统包括漫游用户、位于漫游网络中的通用鉴权实体和漫游NAF(V-NAF),各个实体之间的接口如图2所示,通用鉴权实体与NAF之间通过Zn接口连接;通用鉴权实体通过相关接口与漫游用户的归属网络中的签约数据库连接,具体实现可参见图3a、图3b、图4a及图4b的描述;漫游用户通过UE与通用鉴权实体及V-NAF连接,UE与通用鉴权实体之间通过Ub接口连接,UE与V-NAF之间通过Ua接口连接。
其中,V-NAF可以代表不同的网络业务应用实体,用户要实现某种业务时,必须访问该业务对应的NAF并与该NAF进行通信。V-NAF接收来自用户的连接请求,若判定该用户未进行互认证,则通知该用户进行互认证;若判定该用户已进行互认证且为漫游用户,则向通用鉴权实体查询该漫游用户的衍生密钥;接收来自通用鉴权实体的衍生密钥,并利用该衍生密钥与所述漫游用户进行通信,以实现该漫游用户请求的业务;
漫游用户,向V-NAF发送连接请求,以请求实现业务;接收来自V-NAF的互认证通知,向通用鉴权实体发送互认证请求,与通用鉴权实体实现互认证并生成衍生密钥;利用生成的衍生密钥与V-NAF进行通信,以实现该漫游用户请求的业务;
通用鉴权实体,接收来自漫游用户的互认证请求,通过自身与漫游用户所属归属网络的签约数据库的连接,获取通用鉴权实体与漫游用户进行互认证所需的鉴权信息,并实现与该漫游用户的互认证;接收来自V-NAF的查询请求,生成衍生密钥并提供给V-NAF。该通用鉴权实体的功能包括:实现与该漫游用户的互认证和向V-NAF提供衍生密钥。所述鉴权信息包括标识用户签约申请的业务的用户签约数据,及标识用户身份的鉴权向量等。
图3a和图3b是两种通用鉴权实体的实现方式,下面分别进行详细描述。图3a是本发明通用鉴权实体实施例一的结构示意图,如图3a所示,通用鉴权实体包括漫游网络中的BSF即漫游BSF(V-BSF),若漫游用户的鉴权信息存储在归属网络的HSS中,则V-BSF可以通过Zh接口采用Diameter协议从所述HSS中获得该漫游用户的鉴权信息,此时签约数据库就是HSS;若漫游用户的鉴权信息存储在归属网络的归属位置寄存器(HLR)中,则V-BSF可以通过Gr接口从所述HLR获得该漫游用户的鉴权信息,此时签约数据库就是HLR。图3a所示的通用鉴权实体与通用鉴权系统的其它实体之间的接口为:V-BSF与V-NAF通过Zn接口连接,漫游用户通过Ub接口与V-BSF连接、通过Ua接口与V-NAF连接。
图3a所示的通用鉴权实体中,V-BSF接收来自漫游用户的互认证请求,通过自身与漫游用户所属归属网络的签约数据库的连接,获取通用鉴权实体与漫游用户进行互认证所需的鉴权信息,并实现与该漫游用户的互认证;接收来自V-NAF的查询请求,生成衍生密钥并提供给V-NAF。
图3b是本发明通用鉴权实体实施例二的结构示意图,如图3b所示,通用鉴权实体包括位于漫游网络中的服务GPRS支持节点(SGSN)和V-BSF,漫游网络中的SGSN与归属网络的HLR/HSS间通过Gr接口连接,V-BSF与SGSN之间通过Zx接口连接。V-BSF需要获取用户的鉴权信息时,通过SGSN访问归属网络的HLR/HSS,以获取鉴权信息及GPRS签约信息,此时签约数据库就是HLR/HSS。图3b所示的通用鉴权实体与通用鉴权系统的其它实体之间的接口为:通用鉴权实体中的V-BSF与V-NAF通过Zn接口连接,漫游用户通过Ub接口与V-BSF连接、通过Ua接口与V-NAF连接。
图3b所示的通用鉴权实体中,V-BSF接收来自漫游用户的互认证请求,通过SGSN与漫游用户所属归属网络的签约数据库的连接,并获取通用鉴权实体与漫游用户进行互认证所需的鉴权信息,V-BSF实现与该漫游用户的互认证;V-BSF接收来自V-NAF的查询请求,生成衍生密钥并提供给V-NAF。
需要说明的是,本发明中V-BSF还可以从HLR/HSS获得用户的GUSS数据:如果用户的归属网络寄存器是HLR,那么HLR通过向SGSN输出GPRS签约数据的方式,向BSF输出GUSS。或者GUSS作为GPRS签约数据的一部分,随着HLR向BSF输出的GPRS签约数据一起发送给BSF;如果用户的归属网络寄存器是HSS,那么HSS可以按照现有方式通过Zn接口协议从用户的HSS中获得鉴权和GUSS数据。
在漫游网络中,若存在多个BSF,可能所有BSF都可以对漫游用户进行鉴权,也可能只有其中某个或者几个BSF用于鉴权漫游用户,而剩余的BSF只能鉴权本地用户,鉴权漫游用户的BSF与鉴权本地用户的BSF可以采用不同的域名加以区别,比如,用于鉴权本地用户的BSF的域名可以设置为:BSF
bsf.mnc<MNC>.mcc<MCC>.3gppnetwork.org,用于鉴权漫游用户的BSF的域名可以设置为VBSF bsf.mnc<MNC>.mcc<MCC>.3gppnetwork.org,其中<MNC>中填入的是移动网络码(MNC),<MCC>中填入的是移动国家码(MCC)。如果BSF既可以用于鉴权本地用户又可以用于鉴权漫游用户,那么可以为该BSF设置上述两种域名。
无论是所有BSF都可以对漫游用户进行鉴权,还是只有其中某个或者几个BSF用于鉴权漫游用户,只要漫游网络中存在两个或两个以上用于鉴权漫游用户的BSF,为了使这些BSF能够通过一个统一的接口访问归属网络的签约数据库,本发明通过设置一个用于连接所述V-BSF与漫游用户的归属网络的统一接口的B代理(B-proxy)来实现。该B-proxy可以是用于鉴权漫游用户的BSF中的一个BSF中的一个功能模块,也可以是一独立实体。当然,如果归属网络中的签约数据库支持与多个BSF相连,且每个用于鉴权漫游用户的BSF均单独与归属网络中的签约数据库连接,那么,可以不需要B-proxy。
图4a是本发明漫游网络中存在多个BSF时,通用鉴权实体实施例一的结构示意图,如图4a所示,假设漫游网络中存在n个用于鉴权漫游用户的V-BSF即V-BSF1~V-BSFn,n为大于1的正整数。V-BSF1~V-BSFn分别通过Zn接口与V-NAF相连、分别通过Zx接口与B-proxy相连;B-proxy通过Gr/Zh’接口与归属网络中的签约数据库相连,这样,V-BSF1~V-BSFn通过一个统一的Gr/Zh’接口访问归属网络的签约数据库;每个V-BSF均提供与漫游用户相连接的Ub接口,漫游用户通过Ua接口与V-NAF相连接。
图4b是本发明漫游网络中存在多个BSF时,通用鉴权实体实施例二的结构示意图,如图4b所示,假设漫游网络中存在n个用于鉴权漫游用户的V-BSF即V-BSF1~V-BSFn,n为大于1的正整数。V-BSF1是同时具有B-proxy作用的主V-BSF,主V-BSF具有两个域名,一个是B-proxy的域名,另一个是V-BSF的域名,可以通过预先设置来实现。V-BSF2~V-BSFn分别通过Zn接口与V-NAF相连、分别通过Zx接口与主V-BSF相连;主V-BSF中的B-proxy通过Gr/Zh’接口与归属网络中的签约数据库相连,这样,V-BSF1~V-BSFn通过一个统一的Gr/Zh’接口访问归属网络的签约数据库;每个V-BSF均提供与漫游用户相连接的Ub接口,漫游用户通过Ua接口与V-NAF相连接。
以上对本发明通用鉴权系统的结构组成进行了介绍,下面结合图2和图5,进一步介绍本发明访问该通用鉴权系统中的NAF的方法,图5是本发明访问NAF的方法的流程图,在由漫游用户、位于漫游网络中的通用鉴权实体和网络业务应用组成的通用鉴权系统中,假设漫游用户所属归属网络不支持GAA,而该漫游用户所处漫游网络支持GAA。本发明方法包括以下步骤:
步骤500:漫游用户接收到来自网络业务应用的互认证通知后,由于漫游用户归属网络不支持GAA,则漫游用户通过向所处漫游网络中的通用鉴权系统的通用鉴权实体发起互认证请求。
与现有技术一致,漫游用户通过向V-NAF发送连接请求,以请求实现业务,如果该V-NAF发现发起连接请求的漫游用户未进行互认证,则可以通过向该漫游用户发出GBA指示,通知该漫游用户执行互认证过程即Bootstrapping过程。
本发明中,由于漫游用户的归属网络不支持GAA,按照漫游网络与归属网络间预先签订的服务协议,漫游用户通过漫游网络中通用鉴权系统的通用鉴权实体进行互认证。
当漫游用户移动至漫游网络时,网络的移动国家码和移动网络码是漫游用户所能获知的,具体实现方法为本领域技术人员公知技术,这里不再赘述。本发明中,漫游用户只需根据用于鉴权漫游用户的V-BSF的域名,将漫游网络的MCC码和MNC码加上VBSF前缀和3gppnetwork.org后缀,便得到V-BSF的地址即通用鉴权实体的互认证地址。
另外,漫游用户可以通过在连接请求中携带标识自身是漫游用户的标志,使NAF获知当前用户为漫游用户,这样,NAF在GBA指示中,将漫游网络中通用鉴权系统中通用鉴权实体的互认证地址返回漫游用户。
步骤501:所述通用鉴权实体根据所述互认证请求中携带的用户信息,从该漫游用户所属归属网络的签约数据库获取鉴权信息。
当V-BSF收到漫游用户的认证请求后,根据该认证请求中携带的用户信息如身份标识,若该身份标识不属于本网络,则根据该身份标识确定请求认证的用户的归属网络签约数据库如HSS/HLR的地址,并且通过Zh/Gr接口从所述归属网络签约数据库获取该漫游用户的鉴权信息。
步骤502:所述通用鉴权实体与该用户根据所述鉴权信息进行互认证并生成衍生密钥,该漫游用户利用该衍生密钥访问当前所处漫游网络中的网络业务应用。
漫游用户通过UE与互认证地址对应的V-BSF执行Bootstrapping过程进行互认证,该Bootstrapping过程成功完成后,UE和V-BSF之间互相验证了身份并且生成共享密钥Ks,V-BSF为该共享密钥Ks定义了一个有效期并分配一个B-TID给漫游用户;V-BSF和UE分别将共享密钥Ks,B-TID以及有效期关联保存。当漫游用户要与V-NAF通信时,重新向V-NAF发出连接请求,且请求消息中携带该B-TID,同时漫游用户根据该共享密钥Ks采用预设衍生算法计算出衍生密钥。
另外为了便于区分漫游用户和本地用户,两种用户B-TID的类型也可有所区分,比如向本地用户分配的B-TID可以是类似于base64encode(RAND)@BSF_servers_domain_name,而对漫游用户分配的B-TID则可以通过增加字符串来指示,如base64encode(RAND)-Visited@BSF_servers_domain_name中增加“-Visited”字符串来标识用户为漫游用户。
V-NAF收到连接请求后,如果V-NAF不能在本地查询到该B-TID,则向V-BSF发送携带自身标识和该B-TID的请求查询消息进行查询,需要说明的是,如果漫游网络中存在多个V-BSF可以对漫游用户进行鉴权,那么,V-NAF可以向所有能对漫游用户进行鉴权的V-BSF发送携带自身标识和该B-TID的请求查询消息进行查询。如果V-BSF不能在本地查询到该B-TID,则通知V-NAF没有该漫游用户的信息,此时,V-NAF将通知漫游用户进行互认证,即返回步骤500重新执行本方法流程;如果V-BSF查询到该B-TID,则使用与用户侧相同的衍生算法计算共享密钥Ks的衍生密钥,然后向V-NAF发送成功响应消息,该成功响应中携带有所述B-TID,与该B-TID对应的衍生密钥,以及共享密钥Ks的有效期。V-NAF收到来自V-BSF的成功响应消息后,认为该漫游用户是执行过互认证的合法用户,同时V-NAF共享了由共享密钥Ks计算得到的衍生密钥,该衍生密钥与漫游用户根据该共享密钥Ks计算出衍生密钥一致。用户在后续访问V-NAF中利用该衍生密钥保护二者之间的通信。
当用户发现共享密钥Ks即将过期,或NAF要求用户重新到BSF进行互认证时,用户重复上述的互认证步骤重新到BSF进行互认证,以得到新的共享密钥Ks及B-TID。
除此之外,为了保证用户不会利用在当前所处漫游网络分配的共享密钥Ks、生成的衍生密钥和B-TID等安全通信用信息去访问另一个漫游网络中的NAF,为了描述方便,将当前所处的漫游网络称为第一漫游网络,将另一个漫游网络称为第二漫游网络。本发明方法还可以进一步包括:用户在离开第一漫游网络时,UE删除第一漫游网络中的V-BSF分配给该用户的共享密钥Ks、生成的衍生密钥和B-TID;当然,如果第二漫游网络的NAF向第一漫游网络请求该用户的安全通信用信息时,第一漫游网络的V-BSF也不会将该用户的衍生密钥等安全通信信息返回给该NAF。
下面结合实施例具体描述本发明方法的实现过程,图6是本发明访问NAF的实施例一的流程图,结合图3a,实施例一中通用鉴权实体由V-BSF组成。假设漫游用户通过UE在向V-NAF发出首次连接请求之前,还未进行互认证,本实施例具体包括以下步骤:
步骤600~步骤601:漫游网络中的V-NAF接收到来自漫游用户通过UE发送的连接请求后,V-NAF发现该UE还未进行互认证,则向该UE发出GBA指示,通知该UE执行互认证过程即Bootstrapping过程。
本步骤的具体实现与现有技术完全一致,这里不再赘述。
步骤602~步骤604:UE向漫游网络中的V-BSF发送携带用户信息的认证请求,V-BSF根据用户信息,确定该UE所属归属网络签约数据库地址,并从用户签约数据库中获取该UE的鉴权信息。
本步骤中,假设漫游用户已获知漫游网络的MCC码和MNC码,而且根据用于鉴权漫游用户的V-BSF的域名,将漫游网络的MCC码和MNC码加上VBSF前缀和“3gppnetwork.org”后缀。
步骤605~步骤606:UE与V-BSF之间进行互鉴权和密钥协商过程即互认证过程,UE和V-BSF之间互相验证了身份并且生成共享密钥Ks,V-BSF为该共享密钥Ks定义了一个有效期并分配一个B-TID给漫游用户;V-BSF和UE分别将共享密钥Ks,B-TID以及有效期关联保存;UE根据该共享密钥Ks采用预设衍生算法计算出衍生密钥并保存。
如果需要区分本地用户和漫游用户,那么两种用户B-TID的类型也可有所区分。比如向本地用户分配的B-TID可以是类似于base64encode(RAND)@BSF_servers_domain_name,而对漫游用户分配的B-TID则可以通过增加字符串来指示,如base64encode(RAND)-Visited@BSF_servers_domain_name中增加“-Visited”字符串来标识用户为漫游用户。
步骤607~步骤609:UE将获得的B-TID携带在连接请求中,向V-NAF发起业务请求;V-NAF向V-BSF发送携带自身标识(V-NAF ID)和该B-TID的请求查询消息查询该UE的衍生密钥;V-BSF根据请求查询消息中携带的B-TID,若自身存在与该B-TID关联存储的共享密钥Ks,则根据该共享密钥Ks,采用与用户侧相同的预设衍生算法计算出衍生密钥。
本步骤中,若V-BSF中不存在与该B-TID关联存储的共享密钥Ks,则通知V-NAF没有该UE的认证信息。
另外,本步骤中,假设V-NAF不能在本地查询到该B-TID,则V-NAF向V-BSF发起请求查询消息,否则,可以省略请求查询消息,这点与现有技术一致。
步骤610~步骤611:V-BSF将生成的衍生密钥、所述B-TID及与该B-TID关联存储的有效期携带在请求查询响应消息中返回给V-NAF;V-NAF采用各自已获得的衍生密钥进行安全通信。
图7是本发明访问NAF的实施例二的流程图,结合图3b,实施例二中通用鉴权实体由V-BSF和SGSN组成,与图6所示的实施例一相比,实施例二有两个处理不同,一是UE获取通用鉴权系统中的互认证地址的方法不同;二是通用鉴权系统中通用鉴权实体的组成不同。假设漫游用户通过UE在向V-NAF发出首次连接请求之前,还未进行互认证,本实施例具体包括以下步骤:
步骤700~步骤701:漫游网络中的V-NAF接收到来自漫游用户通过UE发送的连接请求后,V-NAF发现该UE还未进行互认证,则向该UE发出GBA指示,通知该UE执行互认证过程即Bootstrapping过程。
本步骤中,假设UE在连接请求中携带有标识自身是漫游用户的标志,因此,在NAF获知该UE为漫游用户后,将通用鉴权系统中通用鉴权实体的互认证地址携带在GBA指示中返回给UE。
步骤702~步骤704:UE向获得的互认证地址对应的V-BSF发送携带用户信息的认证请求,V-BSF根据用户信息,确定该UE所属归属网络的用户签约数据库地址,并通过SGSN从用户签约数据库中获取该UE的鉴权信息。
步骤705~步骤711的具体实现与实施例一中步骤605~步骤611完全一致,这里不再重述。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围,凡在本发明的精神和原则之内所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (19)
1.一种通用鉴权系统,其特征在于,该系统包括:漫游用户、漫游网络业务应用V-NAF实体、及用于实现与漫游用户的互认证的通用鉴权实体,其中,
所述漫游用户接收来自所述V-NAF实体的互认证通知,通过已获知的漫游网络的移动国家码和移动网络码获取通用鉴权实体的互认证地址,并根据所述互认证地址向所述通用鉴权实体发起互认证请求;或者,所述漫游用户在发送给所述V-NAF实体的连接请求中携带标识自身是漫游用户的标志,所述V-NAF实体获知当前用户为漫游用户且判定该漫游用户未进行互认证后,将漫游网络中通用鉴权实体的互认证地址携带在GBA指示中返回给所述漫游用户,所述漫游用户根据所述互认证地址向所述通用鉴权实体发起互认证请求;
所述通用鉴权实体接收来自漫游用户的互认证请求,与该漫游用户进行互认证,互认证后该漫游用户访问所述网络业务应用。
2.根据权利要求1所述的系统,其特征在于,该系统具体包括:
所述V-NAF实体,接收来自漫游用户的连接请求,通知该漫游用户进行互认证或者向所述通用鉴权实体查询该漫游用户的衍生密钥;接收来自所述通用鉴权实体的衍生密钥,并利用该衍生密钥与所述漫游用户进行通信;
所述漫游用户,向所述V-NAF实体发送连接请求;接收来自V-NAF实体的互认证通知,向所述通用鉴权实体发送互认证请求,与所述通用鉴权实体实现互认证并生成衍生密钥;利用生成的衍生密钥与所述V-NAF实体进行通信;
所述通用鉴权实体,接收来自所述漫游用户的互认证请求,通过自身与漫游用户所属归属网络的签约数据库的连接,获取所述通用鉴权实体与所述漫游用户进行互认证所需的鉴权信息,并实现与该漫游用户的互认证;接收来自所述V-NAF实体的查询请求,生成衍生密钥并发送给所述V-NAF。
3.根据权利要求2所述的系统,其特征在于,所述通用鉴权实体为:位于所述漫游网络中的执行用户身份初始检查验证的Bootstrapping服务功能V-BSF实体。
4.根据权利要求3所述的系统,其特征在于,所述漫游用户所属归属网络的签约数据库为归属用户服务器HSS,所述V-BSF实体与所述HSS间通过Zh接口采用Diameter协议连接;
或用户所属归属网络的签约数据库为归属位置寄存器HLR,所述V-BSF实体与所述HLR间通过Gr接口连接。
5.根据权利要求2所述的系统,其特征在于,所述通用鉴权实体包括:位于所述漫游网络中的服务GPRS支持节点SGSN,及执行用户身份初始检查验证的Bootstrapping服务功能V-BSF实体。
6.根据权利要求5所述的系统,其特征在于,所述漫游用户所属归属网络的签约数据库为HSS/HLR,所述SGSN与所述HLR/HSS间通过Gr接口连接,所述V-BSF实体与所述SGSN间通过Zx接口连接。
7.根据权利要求3所述的系统,其特征在于,所述V-BSF实体为两个或两个以上,所述通用鉴权实体还包括:用于连接所有V-BSF实体与漫游用户所属归属网络的B代理B-proxy。
8.根据权利要求7所述的系统,其特征在于,所述各V-BSF实体与所述B-proxy间通过Zx接口连接;
所述漫游用户所属归属网络的签约数据库为HSS,所述B-proxy与所述HSS间通过Zh’接口连接;或用户所属归属网络的签约数据库为HLR,所述B-proxy与所述HLR间通过Gr接口连接。
9.根据权利要求7所述的系统,其特征在于,所述B-proxy为独立实体,或为所有V-BSF实体中任一V-BSF实体中的一个功能模块。
10.根据权利要求3所述的系统,其特征在于,所述V-BSF实体为两个或两个以上,所有V-BSF实体中指定一个V-BSF实体为主V-BSF实体;
所述主V-BSF实体包括用于连接V-BSF实体与漫游用户所属归属网络的B代理B-proxy。
11.根据权利要求10所述的系统,其特征在于,所述主V-BSF与所述剩余V-BSF间通过Zx接口连接;
所述用户所属归属网络的签约数据库为HSS,所述B-proxy与所述HSS间通过Zh’接口连接;或用户所属归属网络的签约数据库为HLR,所述B-proxy与所述HLR间通过Gr接口连接。
12.根据权利要求4、6、8或11所述的系统,其特征在于,所述V-BSF实体与所述V-NAF实体通过Zn接口连接,所述漫游用户通过Ub接口与所述V-BSF实体连接、通过Ua接口与所述V-NAF实体连接。
13.一种访问通用鉴权系统中网络业务应用NAF实体的方法,所述通用鉴权系统包括:漫游用户、漫游网络业务应用V-NAF实体、及用于实现与漫游用户的互认证和向V-NAF实体提供衍生密钥的通用鉴权实体,其特征在于,该方法包括以下步骤:
A.所述漫游用户接收到来自所述V-NAF实体的互认证通知后,向所述通用鉴权实体发起互认证请求;
B.所述通用鉴权实体根据所述互认证请求中携带的用户信息,从该漫游用户所属归属网络的签约数据库获取鉴权信息;
C.所述通用鉴权实体与该漫游用户根据所述鉴权信息进行互认证后,该漫游用户访问所述网络业务应用;
其中,步骤A中所述漫游用户接收到互认证通知之后,向通用鉴权实体发起互认证请求之前,进一步包括:
所述漫游用户通过已获知的所述漫游网络的移动国家码和移动网络码获取通用鉴权实体的互认证地址;
或者所述漫游用户在发送给所述V-NAF实体的连接请求中携带标识自身是漫游用户的标志,所述V-NAF实体获知当前用户为漫游用户且判定该漫游用户未进行互认证后,将漫游网络中通用鉴权实体的互认证地址携带在GBA指示中返回给所述漫游用户。
14、根据权利要求13所述的方法,其特征在于,步骤C具体包括:
C1.所述漫游用户与所述V-BSF实体间互相验证身份并生成共享密钥Ks,所述V-BSF实体为该共享密钥Ks定义有效期并分配B-TID,所述V-BSF实体和所述漫游用户分别将所述共享密钥Ks,B-TID以及有效期关联保存;
C2.所述漫游用户将所述B-TID携带连接请求中并发送给所述V-NAF实体,同时所述漫游用户根据该共享密钥Ks采用预设衍生算法计算出衍生密钥;
C3.所述V-NAF实体根据接收到连接请求,若自身不能在本地查询到所述B-TID,则将自身标识和所述B-TID携带在请求查询消息中并发送给所述V-BSF实体;
C4.若所述V-BSF实体查询到所述B-TID,并使用与用户侧相同的衍生算法计算共享密钥Ks的衍生密钥,并将所述B-TID,及生成的衍生密钥携带在成功响应消息中并发送给所述V-NAF实体,所述漫游用户与所述V-NAF实体间采用所述衍生密钥进行通信。
15、根据权利要求14所述的方法,其特征在于:步骤C4中,若所述V-BSF实体不能在本地查询到所述B-TID,则所述V-BSF实体通知所述V-NAF实体未查询到所述漫游用户的信息;所述V-NAF实体通知所述漫游用户返回重新执行步骤A。
16、根据权利要求14所述的方法,其特征在于:步骤C3中,若所述V-BSF实体为两个或两个以上,则所述V-NAF实体向所有V-BSF实体发送携带自身标识和所述B-TID的请求查询消息进行查询。
17、根据权利要求13所述的方法,其特征在于,所述漫游用户所属归属网络的签约数据库为HSS/HLR。
18、根据权利要求13所述的方法,其特征在于,该方法进一步包括:
所述漫游用户离开所述漫游网络时,所述UE删除分配给该漫游用户的共享密钥Ks、所述衍生密钥及B-TID。
19、根据权利要求13所述的方法,其特征在于,该方法进一步包括:所述漫游用户移动至另一漫游网络中,若另一漫游网络中的NAF实体向所述漫游网络请求所述漫游用户的安全通信用信息,所述漫游网络中的V-BSF实体拒绝将该漫游用户的衍生密钥返回给另一漫游网络中的NAF实体。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNB2006100080406A CN100563159C (zh) | 2006-02-23 | 2006-02-23 | 通用鉴权系统及访问该系统中网络业务应用的方法 |
PCT/CN2006/003153 WO2007095806A1 (fr) | 2006-02-23 | 2006-11-23 | Système d'authentification générale et procédé d'accès à la fonction d'application de réseau du système |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNB2006100080406A CN100563159C (zh) | 2006-02-23 | 2006-02-23 | 通用鉴权系统及访问该系统中网络业务应用的方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101026453A CN101026453A (zh) | 2007-08-29 |
CN100563159C true CN100563159C (zh) | 2009-11-25 |
Family
ID=38436922
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNB2006100080406A Expired - Fee Related CN100563159C (zh) | 2006-02-23 | 2006-02-23 | 通用鉴权系统及访问该系统中网络业务应用的方法 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN100563159C (zh) |
WO (1) | WO2007095806A1 (zh) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101729998A (zh) * | 2008-10-29 | 2010-06-09 | 华为技术有限公司 | 转发消息、通用引导架构、鉴权方法、系统及装置 |
CN102196438A (zh) | 2010-03-16 | 2011-09-21 | 高通股份有限公司 | 通信终端标识号管理的方法和装置 |
US9112905B2 (en) * | 2010-10-22 | 2015-08-18 | Qualcomm Incorporated | Authentication of access terminal identities in roaming networks |
US9668128B2 (en) | 2011-03-09 | 2017-05-30 | Qualcomm Incorporated | Method for authentication of a remote station using a secure element |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6584310B1 (en) * | 1998-05-07 | 2003-06-24 | Lucent Technologies Inc. | Method and apparatus for performing authentication in communication systems |
EP1618692A4 (en) * | 2003-04-02 | 2008-10-29 | Qualcomm Inc | Ciphering between a CDMA network and a GSM network |
CN1553610B (zh) * | 2003-05-30 | 2010-04-28 | 华为技术有限公司 | 码分多址系统用户漫游到全球移动通信系统的鉴权方法 |
CN1299537C (zh) * | 2004-06-28 | 2007-02-07 | 华为技术有限公司 | 应用通用鉴权框架对接入拜访网络的用户实现管理的方法 |
-
2006
- 2006-02-23 CN CNB2006100080406A patent/CN100563159C/zh not_active Expired - Fee Related
- 2006-11-23 WO PCT/CN2006/003153 patent/WO2007095806A1/zh active Application Filing
Also Published As
Publication number | Publication date |
---|---|
CN101026453A (zh) | 2007-08-29 |
WO2007095806A1 (fr) | 2007-08-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3487196B1 (en) | Privacy managing entity selection in communication system | |
CN101297515B (zh) | 充分利用gsm/sim认证基础架构的移动ip eap/sim认证 | |
US8630420B2 (en) | Method for auto-configuration of a network terminal address | |
CN100547979C (zh) | 用于利用移动ip连接移动结点和虚拟专用网络的方法 | |
US20220345307A1 (en) | Method, Device, and System for Updating Anchor Key in a Communication Network for Encrypted Communication with Service Applications | |
US7894824B2 (en) | Apparatus, and associated method, for providing location service to a roaming mobile station | |
US20080294891A1 (en) | Method for Authenticating a Mobile Node in a Communication Network | |
US8782743B2 (en) | Methods and apparatus for use in a generic bootstrapping architecture | |
US20220368684A1 (en) | Method, Device, and System for Anchor Key Generation and Management in a Communication Network for Encrypted Communication with Service Applications | |
EP2304980B1 (en) | A method and apparatus for a subscriber database | |
CN105472597B (zh) | 应用的注册方法及装置 | |
US20060116122A1 (en) | Mobile terminal identity protection through home location register modification | |
CN100455135C (zh) | 一种移动终端定位方法及系统 | |
US20220337408A1 (en) | Method, Device, and System for Application Key Generation and Management in a Communication Network for Encrypted Communication with Service Applications | |
US8160580B2 (en) | Systems and methods for home carrier determination using a centralized server | |
CN104125554A (zh) | 通信方法与通信系统 | |
US9602463B2 (en) | Method, device and system for obtaining local domain name | |
CN100563159C (zh) | 通用鉴权系统及访问该系统中网络业务应用的方法 | |
CN114450991A (zh) | 用于注册程序的无线通信方法 | |
WO2018030349A1 (ja) | 移動通信システムの制御方法、移動通信システム、およびプロキシサーバ | |
CN101345997B (zh) | 一种提供网络服务的方法 | |
CN100563156C (zh) | 实现用户信息同步及对用户终端鉴权的方法 | |
CN107911813A (zh) | 透明模式的移动用户身份管理方法及系统 | |
CN103607709A (zh) | 用户数据管理的方法及装置 | |
CN101447978B (zh) | 在WiMAX网络中拜访AAA服务器获取正确的HA-RK Context的方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
C17 | Cessation of patent right | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20091125 Termination date: 20140223 |