CN101102191A - 通用鉴权框架中确定密钥请求业务类型方法 - Google Patents
通用鉴权框架中确定密钥请求业务类型方法 Download PDFInfo
- Publication number
- CN101102191A CN101102191A CNA2006101010491A CN200610101049A CN101102191A CN 101102191 A CN101102191 A CN 101102191A CN A2006101010491 A CNA2006101010491 A CN A2006101010491A CN 200610101049 A CN200610101049 A CN 200610101049A CN 101102191 A CN101102191 A CN 101102191A
- Authority
- CN
- China
- Prior art keywords
- request
- message
- naf
- bsf
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
Abstract
本发明公开了一种通用鉴权框架中确定密钥请求业务类型方法,包括:网络应用功能NAF向自引导鉴权协议服务功能BSF请求推送业务密钥,并指示BSF请求类型信息;BSF收到所述请求消息后,根据该消息中携带的请求类型信息确定NAF请求的密钥应用的业务类型。利用本发明,可以使BSF在收到NAF的密钥请求后能够有效地区分出NAF和用户侧之间的Ua接口业务通信类型,从而对NAF的请求做出正确的响应。
Description
技术领域
本发明涉及网络通信技术领域,具体涉及一种通用鉴权框架中确定密钥请求业务类型方法。
背景技术
在第三代无线通信标准中,多种应用业务实体使用一个用于完成对用户身份进行验证的通用结构,即GAA(通用鉴权框架)。应用通用鉴权框架可实现对应用业务的用户进行检查和验证身份,并为用户访问应用业务提供安全通信的密钥。所述多种应用业务可以是多播或广播业务、用户证书业务、信息即时提供业务等,也可以是代理业务。
图1为GAA的结构示意图:
通用鉴权框架通常由UE(用户)、执行用户身份初始检查验证的实体BSF(Bootstrapping Server Function,自引导鉴权协议服务功能)、HSS(HomeSubscriber Server,用户归属服务器)、定位HSS的位置的实体SLF(SubscriberLocator Function,用户位置功能)和网络业务应用实体NAF(NetworkApplication Function,网络应用功能)组成。BSF用于与UE进行互验证身份,同时生成BSF与用户的共享密钥Ks;HSS中存储用于描述用户信息的描述文件,同时HSS还兼有产生鉴权信息的功能。Dz、Zh、Zn、Ub、Ua为各实体之间的接口。
通常情况下,UE需要使用某种业务时,需要和该业务对应的NAF联系,即UE主动向NAF发起连接请求。如果该NAF使用GAA通用鉴权框架,则UE首先需要和BSF进行互鉴权,以验证身份。鉴权成功后,UE根据与BSF的共享密钥Ks计算出与NAF加密通信的衍生密钥Ks_NAF,同时将包含Ks信息的B-TID(会话事务标识)发送给NAF,NAF根据收到的B-TID从BSF获得共享密钥Ks的衍生密钥Ks_NAF。这样,UE就可以和NAF使用衍生密钥Ks_NAF在Ua口进行安全通信。
在某些应用场景,需要网络侧向UE主动发起通信请求,即推送(push)业务。在NAF向用户发送推送消息前,需要先到BSF请求Ua口通信的Ks衍生密钥。当BSF收到NAF发来的密钥请求时,首先需要知道NAF请求类型,即Ua接口业务通信类型是属于一般的UE主动发起的业务,还是由NAF主动发起的推送业务;如果是推送业务,BSF还需要区分是一般的NAF相关密钥请求,还是Ks密钥重协商请求。然后再根据业务类型做出相应的处理。比如,如果是一般UE发起业务,BSF收到请求后,需要查找本地是否存有与B-TID对应的Ks密钥,如果没有将会向NAF返回一个出错消息;但是如果是推送业务,并且找不到与用户对应的密钥,那么BSF就需要从HSS(用户归属服务器)获得一组鉴权向量,然后计算出一个新的Ks和衍生密钥以及B-TID,并将鉴权向量中的AUTN(认证令牌)与衍生密钥以及B-TID发送给NAF。另外,当NAF已经具备一个和UE进行通信保护的NAF相关密钥,但是由于该密钥到了有效期,或者其他原因,NAF想要更新密钥以及原有的bootstrapping(自引导鉴权协议)会话数据(Ks、B-TID等),那么NAF就需要和BSF进行Ks密钥重协商。在这种情况下,BSF不管已有的Ks是否到了有效期,都将从HSS获得一组鉴权向量,然后计算出一个新的Ks和衍生密钥以及B-TID,并将鉴权向量中的AUTN与衍生密钥以及B-TID发给NAF。
在现有GAA技术中,只提供了UE发起业务这一种类型的通信安全的实现方案。当NAF收到UE的通信请求以后,如果该请求携带B-TID,那么便向BSF发送一个密钥请求BIR(Bootstrapping-Info-Request,自引导鉴权协议信息请求)。BSF查找到与B-TID对应的密钥Ks后,便根据NAF-ID(NAF标识)以及Ks、RAND(随机数)等参数计算出Ks衍生密钥,然后将其通过BIA(Bootstrapping-Info-Answer,自引导鉴权协议信息应答)消息发送给NAF。
由于在现有的GAA规范中并没有涉及GAA推送业务这一类型,因而目前的GAA推送技术中没有提供NAF如何通知BSF其请求类型的有效方案,这将会导致BSF收到NAF的密钥请求以后,不知道对该请求如何做出正确的响应。
发明内容
本发明要解决的技术问题是提供一种通用鉴权框架中确定密钥请求业务类型方法,以使BSF在收到NAF的密钥请求后能够有效地区分出Ua接口业务通信类型,从而对NAF的请求做出正确的响应。
为此,本发明提供如下的技术方案:
一种通用鉴权框架中确定密钥请求业务类型方法,所述方法包括:
A、在网络应用功能实体NAF向自引导鉴权协议服务功能实体BSF发送的请求推送业务密钥消息中绑定请求业务类型信息;
B、BSF根据该请求推送业务密钥消息中携带的请求类型信息确定NAF请求的密钥应用的业务类型。
所述步骤A包括:
A1、对现有自引导鉴权协议信息请求BIR消息进行扩展,使其增加请求类型参数信息;
A2、NAF通过扩展后的BIR消息向BSF请求推送业务密钥,并向BSF指示请求类型信息。
可选地,所述步骤A1具体为:
重用现有BIR消息中的会话事务标识B-TID参数来携带用户标识信息,同时扩展BIR消息中的通用鉴权框架业务标识BSID、或者业务提供商应用标识、或者NAF标识、或者Diameter头中的应用标识的取值来指示BSF请求类型信息。
可选地,所述步骤A1具体为:
在现有BIR消息中增加表示用户标识的属性值对AVP参数参数和/或指示BSF请求类型信息的AVP参数。
所述AVP参数具体为:
在现有BIR消息中增加表示用户私有身份标识的AVP参数User-Name;或者在现有BIR消息中增加表示用户公共身份标识的AVP参数Public-Identify。
可选地,所述步骤A包括:
重新定义一个类似于BIR的Diameter消息类型的自引导鉴权协议信息推送请求消息;
NAF通过该消息向BSFBSF发送的请求推送业务密钥消息中绑定请求业务类型信息。
所述请求类型具体为:
推送业务密钥请求类型或者推送业务密钥重协商请求类型。
可选地,所述方法进一步包括:
BSF记录每个共享密钥有效期内向其请求过该共享密钥的NAF信息;
当在该共享密钥有效期内重新收到向其请求过该共享密钥的NAF信息的推送业务密钥请求时,确定为密钥重协商请求。
所述方法进一步包括:
当NAF需要与BSF进行共享密钥重协商时,NAF向BSF发送密钥重协商请求消息,并指示BSF请求类型信息;
BSF收到所述密钥重协商请求消息后,根据该消息中携带的请求类型信息确定NAF请求的密钥应用的业务类型。
由以上本发明提供的技术方案可以看出,本发明在GAA推送业务中,通过对现有的Zn接口上发送的DIAMETER(新一代认证、授权、记帐协议)消息Bootsrapping(自引导鉴权协议)密钥请求消息BIR进行扩展,重用BIR消息中的B-TID参数传递用户身份标识信息,同时扩展其他参数取值指示请求类型,或者在BIR消息中增加标识用户身份标识的参数,从而使BSF根据BIR消息中携带的B-TID参数或用户身份标识信息即可判断是推送业务密钥请求,对NAF的请求做出正确的响应。或者通过对Zn接口进行扩展,定义一个类似于现有BIR消息的推送业务密钥请求消息,BSF收到该请求消息后从消息类型即可得知Ua接口业务类型,从而为NAF选定可以使用的推送业务密钥。利用本发明,可以为GAA推送业务密钥的选择提供保障,进而保障了推送业务的安全性。
附图说明
图1是现有技术中通用鉴权框架结构示意图;
图2本发明方法的一个优选实施例的实现流程图。
具体实施方式
本发明的核心在于在GAA推送业务中,在NAF向BSF发送钥密请求时,通知BSF其密钥请求类型,使BSF对NAF的请求做出正确的响应。为了使BSF能够识别NAF的密钥请求类型,可以对现有的Zn接口上发送的密钥请求消息BIR的DIAMETER消息进行扩展,重用BIR消息中的B-TID参数传递用户身份标识信息,同时扩展其他参数取值指示请求类型,或者在BIR消息中增加标识用户身份标识的参数。或者对Zn接口进行扩展,定义一个类似于现有BIR消息的推送业务密钥请求消息。
为了使本技术领域的人员更好地理解本发明方案,下面结合附图和实施方式对本发明作进一步的详细说明。
参照图2,图2是本发明系统的一个优选实施例的实现流程图:
步骤201:NAF向BSF发送推送业务密钥请求消息,并在该消息中指示BSF请求类型信息。
由于在正常GAA流程中,当NAF需要使用GBA密钥与UE进行通信时,将会向BSF发送一个BIR的DIAMETER消息,请求Ks_NAF密钥,因此在GAA推送业务中,可以通过修改或者重用现有BIR消息中某些参数来通知BSF NAF所要请求的密钥是要用于推送业务通信的。
现有技术中BIR的结构如下:
<Bootstrapping-Info-Request>::=<Diameter Header:311,REQ,PXY,
16777220>
<Session-Id>
{Vendor-Specific-Application-Id}
{Origin-Host};NAF地址
{Origin-Realm};NAF域名
{Destination-Realm};BSF域名
[Destination-Host];BSF地址
*[GAA-Service-Identifier];业务标识
{Transaction-Identifier};B-TID(Bootstrapping临时身份标识
{NAF-ID};NAF_ID
[GBA_U-Awareness-Indicator];标识NAF具备GBA_U功能
*[AVP]
*[Proxy-Info]
*[Route-Record]
上述Diameter header内容如下表1所示:
表1:
版本号 | 消息长度 |
命令标记 | 命令代码(Command-Code) |
应用标识(Application-ID) |
Hop-by-Hop标识 |
End-to-End标识 |
AVPs... |
现有GAA推送流程中规定:BSF需要知道NAF要向哪个用户推送信息。以便于BSF找到与该用户对应的认证信息,以及判断NAF是否有权向该用户推送信息。
因此,NAF向BSF请求密钥时,需要将用户的身份标识发送给BSF,并指示BSF请求业务类型信息,也就是说通知BSF,NAF所要请求的密钥是要用于推送业务通信的。
在本发明中,可以通过修改或者重用现有BIR消息中某些参数来通知BSFNAF所要请求的密钥是要用于推送业务通信的。下面结合上述现有技术中BIR消息的结构对此分别进行详细说明。
1.重用现有Zn接口上发送的DIAMETER协议消息Bootstrapping密钥请求消息消息。
可以通过以下任何一种方式携带用户标识参数:
(1)重用BIR消息中的B-TID参数传递用户的某种身份标识,比如用户的IMPI(IP多媒体子系统私有用户身份标识)、IMSI(International MobileSubscriber Identifier,国际移动用户标识)或者IMPU(IP多媒体子系统公共用户身份标识)等用于识别用户身份的标识。当BSF收到BIR消息后,就可以从该参数中获得用户身份标识。此时需要扩展其他参数来协助BSF进一步区分是否GBA推送业务。例如,可以通过对BIR消息中的GAA-Service-Identifier参数扩展一个新的取值实现、或者可以通过扩展NAF-Id参数的取值实现、或者可以通过扩展Vendor-Specific-Application-Id取值实现,或者可以通过扩展Diameter header的Application-ID来实现。
这几种方式都不需要增加BIR消息的参数,只是需要扩展某些参数的取值即可。
(2)在BIR消息中增加标识用户身份标识的AVP参数。例如,如果NAF需要将用户私有身份标识通知给BSF,那么可以在BIR消息中增加User-Name的AVP参数。如果NAF需要将用户公共身份标识通知给BSF,那么可以在BIR消息中增加Public-Identity的AVP参数。如果是其他类型的标识,也可作类似处理,例如放到User-Name或者Public-Identity中传递,或者增加类似的AVP参数。此时,BSF完全可以根据NAF发送的密钥请求消息中是否包含新增的用户身份标识参数或者B-TID参数来判断是否为推送业务密钥请求。例如,如果BIR消息中有B-TID参数,那么表示正常UE发起业务的密钥请求。如果BIR消息中有User-Name或者Public-Identity AVP参数或者其他类型的AVP参数,那么表示GBA推送业务的密钥请求。
(3)在BIR消息中增加标识用户身份标识的AVP参数,同时扩展GAA-Service-Identifier或Application-ID参数来向BSF指示请求的类型。
2.重新定义一个Zn接口上的DIAMETER消息类型,扩展Zn口。
如定义一个类似于BIR消息的Bootstrapping-Info-Push-Request(自引导鉴权协议信息推送请求)消息。可以在上述Diameter头中的Command-Code字段中新定义一个值来表示该消息命令,并将GAA推送业务中需要携带的参数全部定义在这个新的消息里。
可以将消息的格式规定为:
Bootstrapping-Info-Push-Request::=<Diameter Header:311,REQ,PXY,
16777220>
<Session-Id>
{Vendor-Specific-Application-Id}
{Origin-Host};NAF地址
{Origin-Realm};NAF域名
{Destination-Realm};BSF域名
[Destination-Host];BSF地址
*[GAA-Service-Identifier];业务标识
{user identity};用户标识
{NAF-ID};NAF标识
[GBA_U-Awareness-Indicator];标识NAF具备GBA_U功能
{其它参数};其他参数
*[AVP]
*[Proxy-Info]
*[Route-Record]
其中,通过Diameter Header的值311(或者其他未被使用的值)表示该消息为推送业务密钥请求。
步骤202:BSF收到所述请求消息后,根据该消息中携带的请求类型信息确定NAF请求的密钥应用的业务类型,并为NAF选择可用的推送业务密钥。
可见,本发明通过对现有BIR消息重用或修改,可以使NAF将需要请求的密钥所应用的业务类型简单、有效地通知BSF,从而使BSF根据该通知做出正确的处理,为NAF选择出可用的密钥,保障推送业务通信的安全性。
步骤203:当NAF需要更新推送业务密钥时,向BSF发送推送业务密钥重协商请求消息,并在该消息中携带请求类型信息。
本技术领域人员知道,当NAF已经具备一个和UE进行通信保护的NAF相关密钥,但是由于该密钥到了有效期,或者其他原因,NAF需要更新密钥以及原有的Bootstrapping会话数据(Ks、B-TID等)。此时NAF需要向BSF发送Ks密钥重协商请求,BSF收到后不管已有的Ks是否到了有效期,都将从HSS获得一组新鉴权向量。然后计算出一个新的Ks和衍生密钥以及B-TID,并将鉴权向量中的AUTN与衍生密钥以及B-TID发送给NAF。
在本发明中,可以Ks重协商的请求可以使用与推送业务密钥请求相同的消息。具体可以通过以下两种方式使BSF区分是推送业务密钥请求消息还是Ks重协商请求消息。
(1)Ks重协商请求消息扩展推送业务密钥请求消息,即Ks重协商请求消息与推送业务密钥请求消息采用相同的Diameter Header以及其他共同参数,只是为某些参数设定特殊的值来表示是Ks重协商请求。比如,在请求消息中携带B-TID来表示,或者携带一个特殊的AVP参数值来表示,如增加一个GSID或者application ID或者NAF-ID取值来表示。
(2)由BSF记录在某个Ks有效期内向BSF请求过密钥的所有NAF信息。如对应于一个Ks以一个NAF列表保存所有使用过该Ks的NAF。当在该Ks有效期内,再次收到列表内任何一个NAF的密钥请求时,就认为是Ks重协商请求。
另外,还可以定义一个不同于推送业务密钥请求消息的新消息专门作为Ks重协商的密钥请求消息使用。此时,B-TID和用户永久身份标识都可以标识一个用户,因此该消息可以携带B-TID,也可以携带用户永久标识。该消息的Diameter Header中的Command-Code字段中需要新定义一个值来表示该消息命令,并将GAA推送业务中需要携带的参数全部定义在这个新的消息中。
比如,可以规定如下所示的消息格式:
Bootstrapping-Info-Push-Request::=<Diameter Header:312,REQ,PXY,
16777220>
<Session-Id>
{Vendor-Specific-Application-Id}
{Origin-Host};Address of NAF
{Origin-Realm};Realm of NAF
{Destination-Realm};Realm ot BSF
[Destination-Host];Address of the BSF
*[GAA-Service-Identifier];Service identifiers
{user identity};user identity
{NAF-ID};NAF_ID
[GBA_U-Awareness-Indicator];GBA_U awareness of the NAF
{其它参数};其他参数
*[AVP]
*[Proxy-Info]
*[Route-Record]
步骤204:BSF收到所述请求消息后,根据该消息中携带的请求类型信息为NAF重新选择推送业务密钥。
下面分别举例进一步详细说明本发明中NAF发送的密钥请求及BSF根据该请求确定Ua接口业务通信类型的各种实现过程。
实施例1:
1.当NAF需要向UE发送推送消息,但是本地没有已协商好的GAA推送业务密钥时,向BSF发送GAA推送业务密钥请求消息。在该请求消息中携带用户身份标识信息。
该消息可以采用以下方式发送:
采用DIAMETER协议的BIR消息,并且在现有的消息中B-TID携带用户身份标识信息,同时扩展现有GSID或者Vendor-Specific-Application-Id或者Application ID取值或者NAF-ID,用以告知BSF NAF想要在Ua接口进行推送业务,B-TID的值代表的是用户身份标识。消息的结构与现有BIR消息完全一样,只是扩展了参数GSID或者Vendor-Specific-Application-Id的取值,或者是对NAF-ID或者Application ID增加了新的取值。
2.BSF收到上述请求消息后,根据被扩展的参数GSID或者Vendor-Specific-Application-Id取值或者NAF-ID或者Application ID的取值可以得知,NAF所要请求的是推送业务密钥。然后从B-TID的取值中获得用户身份标识,并按照现有GAA推送的流程进行处理。
实施例2:
1.当NAF需要向UE发送推送消息,但是本地没有已协商好的GAA推送业务密钥时,向BSF发送GAA推送业务密钥请求消息,并在请求消息中携带用户身份标识信息。该消息可能采用以下方式发送:
扩展DIAMETER协议的BIR消息,即在现有的BIR消息中增加某些参数来表示。如果NAF需要将用户私有身份标识通知给BSF,那么可以在BIR消息里增加User-Name的AVP参数。如果NAF需要将用户公共身份标识通知给BSF,那么可以在BIR消息里增加Public-Identity的AVP参数。同样如果是其他类型的标识,就增加相应的AVP参数。
比如,将现有BIR消息扩展为如下:
<Bootstrapping-Info-Request>::=<Diameter Header:311,REQ,PXY,
16777220>
<Session-Id>
{Vendor-Specific-Application-Id}
{Origin-Host};Address of NAF
{Origin-Realm};Realm of NAF
{Destination-Realm};Realm of BSF
[Destination-Host];Address of the BSF
*[GAA-Service-Identifier];Service identifiers
{Transaction-Identifier};B-TID
{NAF-ID};NAF_ID
[user identity];用户的IMPI
[Public-Identity];用户的公共身份标识
[GBA_U-Awareness-Indicator];GBA_U awareness of the NAF
*[AVP]
*[Proxy-Info]
*[Route-Record]
除了上述示例中增加的两种AVP参数([user identity],[public-Identity]),还可以增加其他类型用户的身份标识AVP参数。
2.BSF收到上述请求消息以后,根据NAF所提供的用户身份标识的类型知道NAF所要请求的是GAA推送业务密钥。也就是说,如果BIR中有B-TID,那么表示正常UE发起业务的密钥请求;如果BIR消息中有User-Name或者Public-Identity的AVP参数以及其他类型的AVP参数,则表示NAF发起的推送业务的密钥请求。然后再按照现有的GAA推送流程进行后面的处理。
实施例3:
1.当NAF需要向UE发送推送消息,但是本地没有已协商好的GAA推送业务密钥时,便向BSF发送GAA推送业务密钥请求消息,并在该请求消息中携带用户身份标识信息。该消息可以采用以下方式发送:
重新定义一个新的Zn接口上的DIAMETER消息类型,也就是说要扩展Zn口。比如,定义一个名为Bootstrapping-Info-Push-Request的消息,并给其新定义命令代码(如312),并将GAA推送中需要携带的参数全部定义在这个新的消息里,去掉BIR中已有的但在GAA推送中没有用到的参数,如B-TID。
可以采用以下消息格式:
<Bootstrapping-Info-push-Request>::=<Diameter Header:312,REQ,PXY,
16777220>
<Session-Id>
{Vendor-Specific-Application-Id}
{Origin-Host};Address of NAF
{Origin-Realm};Realm of NAF
{Destination-Realm};Realm of BSF
[Destination-Host];Address of the BSF
*[GAA-Service-Identifier];Service identifiers
{NAF-ID};NAF_ID
[user identity];用户的IMPI
[Public-Identity];用户的公共身份标识
[GBA_U-Awareness-Indicator];GBA_U awareness of the NAF
*[AVP]
*[Proxy-Info]
*[Route-Record]
除了上述示例中增加的两种AVP参数([user identity],[public-Identity]).还可以增加GAA推送中需要携带的AVP参数。
2.BSF收到上述请求消息以后,根据请求消息的类型,便可知道该消息是请求GAA推送业务密钥的,并且可以从各个AVP参数中取得所需信息。然后便可按照已有GAA推送流程,进行后面的处理。
实施例4:
1.当NAF需要向UE发送推送消息,并且本地已有协商好的GAA推送业务密钥,但是该密钥由于某种原因需要更新并且由此需要更新已有的Bootstrapping会话数据。此时,NAF向BSF发送推送业务密钥重协商请求消息,在该请求消息中携带用户身份标识信息,该信息可以是永久身份标识,也可以是B-TID。
推送业务密钥重协商请求消息可以采用以下方式来实现:
(1)重新定义一个新的Zn接口上的DIAMETER消息类型,该消息不同于推送业务密钥请求消息。如定义一个名为Bootstrapping-Info-Push-Request的消息。并给其新定义命令代码(如312),并将GAA推送中需要携带的参数全部定义在这个新的消息中,并去掉BIR中已有的但在GAA推送中没有用到的参数,如B-TID。
比如,可以定义如下所示消息格式:
<Bootstrapping-Info-push-Request>::=<Diameter Header:313,REQ,PXY,
16777220>
<Session-Id>
{Vendor-Specific-Application-Id}
{Origin-Host};NAF地址
{Origin-Realm};NAF域名
{Destination-Realm};域名
[Destination-Host];BSF地址
*[GAA-Service-Identifier];服务标识
{NAF-ID};NAF_ID
[user identity];用户的IMPI
[Public-Identity];用户的公共身份标识
[GBA_U-Awareness-Indicator];标识NAF具备GBA_U功能
*[AVP]
*[Proxy-Info]
*[Route-Record]
除了上述示例中增加的两种AVP参数([user identity],[public-Identity])外,还可以增加GAA推送中需要携带的其他AVP参数。
(2)扩展推送业务密钥请求消息作为推送业务密钥重协商请求消息,即推送业务密钥重协商的请求消息与推送业务密钥请求消息采用相同的Diameter Header以及其他共同参数。只是为某些参数设定特殊的值来表示是Ks重协商请求。如在请求消息中携带B-TID来表示或者携带一个特殊的AVP参数。
(3)推送业务密钥重协商请求消息与一般的推送业务密钥请求采用同一条密钥请求消息,并由BSF记录在某个Ks有效期内向BSF请求过密钥的所有NAF名,如对应于一个Ks以一个NAF列表保存所有使用过该Ks的NAF。当在该Ks有效期内,再次收到列表内任何一个NAF的密钥请求时,就认为是Ks重协商请求。
2.BSF收到上述请求消息以后,根据请求消息的类型,即可知道该消息是请求GAA推送业务密钥的,并且可以从各个AVP参数中取得所需信息。然后便可按照已有的GAA推送流程,进行后面的处理。
虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。
Claims (9)
1、一种通用鉴权框架中确定密钥请求业务类型方法,其特征在于,所述方法包括:
A、在网络应用功能实体NAF向自引导鉴权协议服务功能实体BSF发送的请求推送业务密钥消息中绑定请求业务类型信息;
B、BSF根据该请求推送业务密钥消息中携带的请求类型信息确定NAF请求的密钥应用的业务类型。
2、根据权利要求1所述的方法,其特征在于,所述步骤A包括:
A1、对现有自引导鉴权协议信息请求BIR消息进行扩展,使其增加请求类型参数信息;
A2、NAF通过扩展后的BIR消息向BSF请求推送业务密钥,并向BSF指示请求类型信息。
3、根据权利要求2所述的方法,其特征在于,所述步骤A1具体为:
重用现有BIR消息中的会话事务标识B-TID参数来携带用户标识信息,同时扩展BIR消息中的通用鉴权框架业务标识BSID、或者业务提供商应用标识、或者NAF标识、或者Diameter头中的应用标识的取值来指示BSF请求类型信息。
4、根据权利要求2所述的方法,其特征在于,所述步骤A1具体为:
在现有BIR消息中增加表示用户标识的属性值对AVP参数和/或指示BSF请求类型信息的AVP参数。
5、根据权利要求4所述的方法,其特征在于,所述AVP参数具体为:
在现有BIR消息中增加表示用户私有身份标识的AVP参数User-Name;或者在现有BIR消息中增加表示用户公共身份标识的AVP参数Public-Identify。
6、根据权利要求1所述的方法,其特征在于,所述步骤A包括:
重新定义一个类似于BIR的Diameter消息类型的自引导鉴权协议信息推送请求消息;
NAF通过该消息向BSF发送的请求推送业务密钥消息中绑定请求业务类型信息。
7、根据权利要求1至6任一项所述的方法,其特征在于,所述请求类型具体为:
推送业务密钥请求类型或者推送业务密钥重协商请求类型。
8、根据权利要求1至6任一项所述的方法,其特征在于,所述方法进一步包括:
BSF记录每个共享密钥有效期内向其请求过该共享密钥的NAF信息;
当在该共享密钥有效期内重新收到向其请求过该共享密钥的NAF信息的推送业务密钥请求时,确定为密钥重协商请求。
9、根据权利要求1所述的方法,其特征在于,所述方法进一步包括:
当NAF需要与BSF进行共享密钥重协商时,NAF向BSF发送密钥重协商请求消息,并指示BSF请求类型信息;
BSF收到所述密钥重协商请求消息后,根据该消息中携带的请求类型信息确定NAF请求的密钥应用的业务类型。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2006101010491A CN101102191B (zh) | 2006-07-04 | 2006-07-04 | 通用鉴权框架中确定密钥请求业务类型方法 |
PCT/CN2007/070185 WO2008006309A1 (fr) | 2006-07-04 | 2007-06-26 | Procédé appareil de détermination du type de service d'une demande de clé |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2006101010491A CN101102191B (zh) | 2006-07-04 | 2006-07-04 | 通用鉴权框架中确定密钥请求业务类型方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101102191A true CN101102191A (zh) | 2008-01-09 |
CN101102191B CN101102191B (zh) | 2010-12-08 |
Family
ID=38922939
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2006101010491A Active CN101102191B (zh) | 2006-07-04 | 2006-07-04 | 通用鉴权框架中确定密钥请求业务类型方法 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN101102191B (zh) |
WO (1) | WO2008006309A1 (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103188229A (zh) * | 2011-12-30 | 2013-07-03 | 上海贝尔股份有限公司 | 用于安全内容访问的方法和设备 |
CN105282108A (zh) * | 2014-07-07 | 2016-01-27 | 上海交通大学 | 一种多媒体传输系统中智能引导接入方法 |
CN108933662A (zh) * | 2017-05-26 | 2018-12-04 | 展讯通信(上海)有限公司 | 基于gba的认证方法、装置及终端 |
WO2023227057A1 (zh) * | 2022-05-25 | 2023-11-30 | 中国移动通信有限公司研究院 | 业务授权方法、装置、网络功能及存储介质 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1315348C (zh) * | 2003-09-09 | 2007-05-09 | 华为技术有限公司 | 在通用分组无线业务系统中实现智能业务的方法 |
CN100549941C (zh) * | 2003-10-23 | 2009-10-14 | 华为技术有限公司 | 一种网络推送业务定制方法 |
CN1770913B (zh) * | 2004-11-02 | 2010-05-26 | 北京三星通信技术研究有限公司 | 接收多媒体广播与组播业务的方法 |
-
2006
- 2006-07-04 CN CN2006101010491A patent/CN101102191B/zh active Active
-
2007
- 2007-06-26 WO PCT/CN2007/070185 patent/WO2008006309A1/zh active Application Filing
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103188229A (zh) * | 2011-12-30 | 2013-07-03 | 上海贝尔股份有限公司 | 用于安全内容访问的方法和设备 |
CN105282108A (zh) * | 2014-07-07 | 2016-01-27 | 上海交通大学 | 一种多媒体传输系统中智能引导接入方法 |
CN105282108B (zh) * | 2014-07-07 | 2018-10-23 | 上海交通大学 | 一种多媒体传输系统中智能引导接入方法 |
CN108933662A (zh) * | 2017-05-26 | 2018-12-04 | 展讯通信(上海)有限公司 | 基于gba的认证方法、装置及终端 |
CN108933662B (zh) * | 2017-05-26 | 2021-02-26 | 展讯通信(上海)有限公司 | 基于gba的认证方法、装置及终端 |
WO2023227057A1 (zh) * | 2022-05-25 | 2023-11-30 | 中国移动通信有限公司研究院 | 业务授权方法、装置、网络功能及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN101102191B (zh) | 2010-12-08 |
WO2008006309A1 (fr) | 2008-01-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR100651716B1 (ko) | Diameter 기반 프로토콜에서 모바일 네트워크의부트스트랩핑 방법 및 그 시스템 | |
US8122249B2 (en) | Method and arrangement for providing a wireless mesh network | |
RU2407181C1 (ru) | Аутентификация безопасности и управление ключами в инфраструктурной беспроводной многозвенной сети | |
CN101946455B (zh) | 用于异构网络的一次通过认证机制和系统 | |
US7213144B2 (en) | Efficient security association establishment negotiation technique | |
US8433286B2 (en) | Mobile communication network and method and apparatus for authenticating mobile node in the mobile communication network | |
CN107800664A (zh) | 一种防止信令攻击方法及装置 | |
CN101102600B (zh) | 在不同移动接入系统中切换时的密钥处理方法 | |
CN107683616B (zh) | 蜂窝网络中的安全改进 | |
CN101088265A (zh) | 电信网络中使用接入网鉴权信息承载协议(pana)的域名系统(dns)ip地址分发 | |
EP1705828B1 (en) | A method of obtaining the user identification for the network application entity | |
US20040157585A1 (en) | Mobile communication network system and mobile terminal authentication method | |
CN101374334A (zh) | 传递分组数据网络标识信息的方法和系统 | |
CN101083839A (zh) | 在不同移动接入系统中切换时的密钥处理方法 | |
CN105656901B (zh) | 对双栈操作进行互通授权的方法和装置 | |
CN111147421A (zh) | 一种基于通用引导架构gba的认证方法及相关设备 | |
CN101039181B (zh) | 防止通用鉴权框架中服务功能实体受攻击的方法 | |
CN103517249A (zh) | 一种策略控制的方法、装置和系统 | |
CN110121196A (zh) | 一种安全标识管理方法及装置 | |
CN101102191B (zh) | 通用鉴权框架中确定密钥请求业务类型方法 | |
US20120102146A1 (en) | Method, device and system for obtaining local domain name | |
CN1972225B (zh) | 下一代网络中不同子系统之间交互用户信息的方法 | |
CN102056168A (zh) | 接入方法及装置 | |
WO2006079953A1 (en) | Authentication method and device for use in wireless communication system | |
CN100583756C (zh) | 实现用户设备和网络业务应用实体安全通讯的方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |