CN101296225B - 会话管理功能装置及提供业务的系统和方法 - Google Patents
会话管理功能装置及提供业务的系统和方法 Download PDFInfo
- Publication number
- CN101296225B CN101296225B CN2007100988961A CN200710098896A CN101296225B CN 101296225 B CN101296225 B CN 101296225B CN 2007100988961 A CN2007100988961 A CN 2007100988961A CN 200710098896 A CN200710098896 A CN 200710098896A CN 101296225 B CN101296225 B CN 101296225B
- Authority
- CN
- China
- Prior art keywords
- service
- request
- services
- access path
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Abstract
本发明实施例提供了一种会话管理功能装置,包括:服务请求处理模块,用于接收并解析用户设备发送的包含服务信息的第一服务请求,生成包含服务解析信息的解析结果;以及服务资源定位模块,用于查找与所述解析结果相匹配的服务访问路径,并将所述服务访问路径发送给所述用户设备。本发明实施例提供了一种提供业务的系统和方法。本发明实施例向用户设备提供内容服务器的访问路径,使用户设备能够访问与运营商签约的相关信息服务资源。本发明实施例还能够在基于会话初始协议的基础上来提供服务,使得能够方便地扩展新业务。
Description
技术领域
本发明涉及通信领域,尤其是一种会话管理功能装置及提供业务的系统和方法。
背景技术
目前通信系统中,用户可以使用无线应用协议(Wireless ApplicationProtocol,以下简称WAP)网关等方式接入网络资源,从而获得相应的服务。但是目前存在这样一个问题,用户所获得的服务基本上是知道服务路径的情况进行的,而在不知道第三方服务的访问地址的情况下直接获得该服务的访问路径,同第三方服务提供者建立安全的链接并没有很好的解决。例如在对终端进行重配置时,需要下载软件,如果该软件下载服务器由终端不知道的第三方提供,终端就不能直接与第三方服务器建立链接来获得所需要的软件进行下载。针对这类问题目前还没有具体的解决方案。
此外,第三代伙伴计划(Third Generation Partnership Project,以下简称3GPP)定义了一种通用的认证框架称为通用认证体系(GenericAuthentication Architecture,以下简称GAA),该框架确保运营商可以把3G的认证框架扩展到新的服务中。
GAA通常包括两个过程:通用引导体系(Generic BootstrappingArchitecture,以下简称GBA)引导过程、服务接入认证过程。在引导过程中主要执行认证和密钥协商(Authentication and Key Agreement,以下简称AKA),并在用户设备(User’s Equipment,以下简称UE)和引导服务功能(Bootstrapping serve Function,以下简称BSF)之间协商出密钥资料,在 该过程中UE需要知道第三方服务器的地址,即根据特定的网络应用功能(Network Application Function,以下简称NAF)来协商特定的密钥。然后GAA使用这些密钥资料来认证用户或在用户和一些应用服务器之间建立一条安全隧道。通用引导模型如图1,GBA由四个实体构成:UE、NAF、BSF和归属用户服务器(Home Subscriber Server,以下简称HSS),BSF是蜂窝无线网络中的一个新的功能实体。
在UE和BSF之间使用的引导协议是超文本传输协议(Hypertext TransferProtocol,以下简称HTTP)摘要(Digest)AKA。在引导的过程中BSF使用直径(Diameter)协议从HSS获得认证向量(Authenticate Vector,以下简称AV)五元组。NAF使用Diameter协议从BSF功能实体上获得密钥资料。密钥资料将应用在UE和BSF之间使用的应用协议上,而UE和NAF之间可以运行多种协议,例如基于预共享密钥的传输层安全(Transport Layer Security,以下简称TLS)协议或者HTTP摘要协议等。
上述GAA方案的一个前提是UE必须知道NAF的统一资源定位器(UniformResource Locator,以下简称URL),但存在一些情况下的应用,UE需要网络协助才能获得这个URL或者IP地址,例如,终端重配置服务,条形码服务,基于内容的多媒体服务,以及一些新型业务,当UE不知道服务方的URL或者IP地址时,就需要运营商网络的帮助。
对于通信网络来说,能够为客户提供各种业务并实现简单易用的接入是非常重要的一种能力。现在的通信网络可以通过智能网来提供很多种增值业务,并使用户通过简单的拨号或设置来实现增值业务。未来网络的发展,在基于IP多媒体子系统(IP Multimedia Subsystem,以下简称IMS)的核心网中开发新的业务也是越来越重要。但实际应用中存在用户希望接入某类服务却可能不知道相应的服务提供者的URL或IP地址的情况,这就需要一个中介在用户和相关服务资源之间发挥作用,为用户提供相关服务的服务资源定位。
发明内容
本发明所有实施例的目的是在用户和相关服务资源之间提供一个中介,为用户提供相关服务的服务资源定位业务。
为实现上述目的,本发明的一部分实施例提供了一种会话管理功能(Session Management Function,以下简称SMF)装置,包括:
服务请求处理模块,用于接收并解析用户设备发送的包含服务信息的第一服务请求,生成包含服务解析信息的解析结果;
服务资源定位模块,用于查找与所述解析结果相匹配的服务访问路径,并将所述服务访问路径发送给所述UE;
认证与授权模块,用于接收所述服务请求处理模块发出的密钥协商请求,获取认证向量,根据所述认证向量和所述服务访问路径生成密钥资料,并将所述密钥资料返回所述服务请求处理模块。
本发明的又一部分实施例提供了一种提供业务的系统,包括呼叫控制功能(Call Control Function,以下简称CCF)装置和SMF装置,
所述CCF装置,用于接收UE发送的包含服务信息的第一服务请求,并将所述包含服务信息的第一服务请求转发给SMF装置;
所述SMF装置用于解析所述CCF发送的包含服务信息的第一服务请求,生成包含服务解析信息的解析结果,并查找与解析结果相匹配的服务访问路径;
所述系统还包括:归属用户服务器/归属位置寄存器,用于接收所述认证与授权模块发出的密钥协商请求,并为所述认证与授权模块提供认证向量。
本发明的再一部分实施例提供了一种提供业务的方法,包括:
接收UE发送的包含服务信息的第一服务请求;
解析所述第一服务请求,生成包含服务解析信息的解析结果;
查找与所述解析结果相匹配的服务访问路径;
生成服务响应,并向所述UE返回所述服务响应;
所述生成包含服务解析信息的解析结果之后还包括:根据所述解析结果生成密钥协商请求,根据所述密钥协商请求获得认证向量;所述查找与所述解析结果相匹配的服务访问路径之后还包括:根据所述认证向量和所述服务访问路径生成密钥资料;所述生成服务响应具体为,根据所述密钥资料生成服务响应。
本发明的另一目的是使得用户可以在不知道相关服务资源的URL或IP地址时与有关授权装置协商密钥,从而利用密钥安全地访问相关服务资源。
为实现上述目的,本发明的又一部分实施例提供了一种实现密钥协商的方法,包括:
根据密钥协商请求获得AV;
根据所述AV和服务访问路径生成密钥资料,并将所述AV中的随机数(RAND)和所述服务访问路径发送给UE;
UE根据所述RAND和服务访问路径计算出所述密钥资料。
在本发明实施例中,向UE提供内容服务器的访问地址,使UE能够访问与运营商签约的相关信息服务资源。具体地,通过所述SMF装置及所述解析、查找,能够根据用户的服务请求为用户定位匹配的服务资源入口,用户从而能够直接与相关服务资源建立连接;通过所述密钥协商方法,用户能够在不知道相关服务资源的URL或IP地址时与有关装置协商密钥,从而利用密钥安全地访问相关服务资源。另外,由于基于IMS的架构是未来网络发展的一个趋势,本发明能够在基于会话初始协议(Session Initiation Protocol,以下简称SIP)的基础上来提供服务,使得能够方便地扩展新业务。
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
附图说明
图1为现有技术中一种通用引导模型的结构示意图。
图2为本发明实施例所提供的提供业务的系统的结构示意图。
图3为本发明实施例所提供的提供业务的系统基于IMS的结构示意图。
图4为本发明实施例所提供的提供业务的方法的流程图。
图5为本发明实施例所提供的提供业务的方法的部分流程图。
图6为本发明实施例所提供的提供业务的方法的又一部分流程图。
图7为本发明实施例所提供的实现密钥协商的方法的流程图。
具体实施方式
本发明的一实施例提供了一种SMF装置,参见图2,包括:服务请求处理模块,用于接收并解析用户设备发送的包含服务信息的第一服务请求,生成包含服务解析信息的解析结果;以及服务资源定位模块,用于查找与所述解析结果相匹配的服务访问路径,并将所述服务访问路径返回所述UE。其中, 所述第一服务请求基于建立会话的HTTP或SIP等,优选地基于SIP。所述服务信息包括服务标识和服务描述信息,另外所述第一服务请求还包括用户信息。用户信息包括用户标识,可选地还包括终端描述信息。其中,服务标识用于标识服务类型,比如特服号码等,目的是确定相应的SMF装置;服务描述信息包括服务类别、特定服务相关的描述信息,服务类别指在SMF应用服务中表示的具体服务类别,比如重配置服务、物理对象关联的信息服务等,特定服务相关的描述信息指具体服务类别所需要的参数描述,比如重配置服务当中的重配置标识、物理对象关联的信息服务中的条形码值等;用户标识用于标识用户身份,系统能够根据用户标识对用户身份进行认证;终端描述信息是针对具体服务描述的终端信息,比如终端所具有的硬件、软件性能等。对应地,所述解析结果包括对第一服务请求中的服务信息和用户信息进行解析后得到的服务解析信息和用户解析信息。在实际应用中,与解析结果匹配可以是与解析结果中的服务解析信息匹配,也可以是与解析结果中的服务解析信息和用户解析信息同时匹配。
可选地,所述SMF装置还包括认证与授权模块,用于接收所述服务请求处理模块发出的密钥协商请求,获取AV,根据所述AV和所述服务访问路径生成密钥资料,并将所述密钥资料返回所述服务请求处理模块。通过所述认证与授权模块,能够提供对第三方服务的接入认证和相应的安全。
可选地,所述SMF装置还包括存储模块,用于存储查找到的服务访问路径。通过所述存储模块,能够方便地查找到先前用户使用过的服务访问路径,而不需再与内容服务器进行交互来获得所述服务访问路径。实际应用中,所述存储模块中存储有签约内容服务器的服务访问路径。
在实际应用中,所述服务请求处理模块接收CCF装置发送的包含服务信息的第一服务请求,并解析请求内容,可选地从请求中提取出某个特性描述参数,生成解析结果,把解析结果发送给所述服务资源定位模块进行相关处理,接收处理后的结果并通过CCF装置向UE发回服务响应;另外考虑安全时 向所述认证与授权模块发送密钥协商请求。
所述服务资源定位模块收到所述服务请求处理模块的解析结果,根据解析结果从存储模块中查找相应的服务资源与所述解析结果相匹配的服务访问路径,或与匹配所述解析结果的内容服务器交互获得具体的服务访问路径,并把所述服务访问路径返回给所述服务请求处理模块。
所述认证与授权模块接收所述服务请求处理模块发出的密钥协商请求,从HSS/归属位置寄存器(Home Location Register,以下简称HLR)中获取相应的AV,当从所述服务请求处理模块获得所述服务访问路径后,与所述AV一起生成跟所述服务访问路径相关的密钥资料。
本发明的又一实施例提供了一种提供业务的系统,参见图2,包括CCF装置和SMF装置,所述CCF装置,用于接收UE发送的包含服务信息的第一服务请求,并将所述包含服务信息的第一服务请求转发给SMF装置;所述SMF装置用于解析所述CCF发送的包含服务信息的第一服务请求,生成包含服务解析信息的解析结果,并查找与解析结果相匹配的服务访问路径。
在实际应用中,所述SMF装置有多种实现方式,本领域的技术人员能够根据现有技术和本发明实施例实现所述SMF装置。可选地,所述SMF装置具体包括:服务请求处理模块,用于接收并解析CCF装置发送的包含服务信息的第一服务请求,生成包含服务解析信息的解析结果;服务资源定位模块,用于查找与所述解析结果相匹配的服务访问路径,并将所述服务访问路径返回所述UE。具体地,所述SMF装置是一个应用服务器,支持基于SIP的密钥协商方法协议的能力,可以从HSS/HLR中获得AV,具有处理和影响从CCF装置发来的包含服务信息的第一服务请求的能力,对第一服务请求中的服务信息和用户信息进行解析的功能,并根据解析结果,找到合适的提供服务内容的内容服务器。
在实际应用中,所述CCF装置有多种实现方式,本领域的技术人员能够根据现有技术和本发明实施例实现所述CCF装置。可选地,所述CCF装置具 体包括:消息处理模块,用于在所述UE和所述SMF装置之间转发消息;以及接口模块,用于获得与所述第一服务请求匹配的SMF装置的信息。其中,所述与第一服务请求匹配的SMF装置的信息可以存储在HSS/HLR中,也可以在UE开机注册时从HSS/HLR下载并存储到所述CCF装置中。
为了提供对第三方服务的接入认证和相应安全的业务,可选地,所述SMF装置还包括:认证与授权模块,用于接收所述服务请求处理模块发出的密钥协商请求,获取AV,根据所述AV和所述服务访问路径生成密钥资料,并将所述密钥资料返回所述服务请求处理模块;所述系统还包括:HSS/HLR,用于接收所述认证与授权模块发出的密钥协商请求,并为所述认证与授权模块提供AV。在实际应用中,HSS/HLR是所有与用户和服务相关数据的数据存储器,存储的数据主要包括用户身份、注册信息、接入参数、服务触发信息以及安全相关的信息集合。
此外,UE指用户智能设备,优选地支持SIP,可以接收外界的输入,产生向网络申请服务的参数。接收的输入包括环境信息、网络状态信息、位置信息、扫描的条码信息、用户的输入信息等等,收到这些输入的信息后,UE会根据策略或者软件驱动通过用户或者自动的生成基于SIP的第一服务请求,向网络设备发送第一服务请求,并且可以接收网络设备的应答。且UE可以支持多种安全的业务服务。
内容服务器作为服务内容的提供方,和SMF装置之间可以进行安全的通信,通过它们之间的安全通道内容服务器可以从SMF装置获得密钥资料,而这些密钥资料正是在UE和SMF装置之间运行引导过程中产生的。
上述架构,包括UE、CCF装置、SMF装置、HSS/HLR和内容服务器,可以用在不同的系统中,同样也适用于IMS系统。在IMS系统中实现这种功能可以为用户提供统一开放的网络结构并且支持多种业务类型,同时便于开发新业务,保障业务质量。图3描述了这种架构基于IMS的实现,其中CCF装置的功能相当于IMS网络中的服务-会话服务控制功能(Server-Call Server Control Function,以下简称S-CSCF)装置,SMF装置相当于IMS网络中的应用服务器(Application Server,以下简称AS)。UE首先注册到IMS网络中,并在此过程中向定制的AS注册;当UE发出第一服务请求时,S-CSCF装置将第一服务请求路由到注册的AS,生成相应的密钥,并通过AS获得服务访问路径,发送给UE,使UE与内容服务器建立安全的链接,从而获得所请求的服务。各个装置间运行的协议如下:
UE和内容服务器之间可以使用HTTP、文件传输协议(File TransferProtocol,以下简称FTP)、实时传输协议(Real Time Transport Protocol,以下简称RTP)等协议进行数据传输,具体的协议类型根据具体的应用而定。UE通过这些协议可以获得内容服务器的服务,如软件下载。
AS和HSS之间运行的协议为Diameter或Radius协议,允许AS通过Diameter协议获得所需要的认证信息和用户安全集合。
AS和内容服务器之间运行的是Diameter协议,通过该参考点允许内容服务器获得密钥资料,该密钥资料是在UE和AS之间运行引导过程产生的。
S-CSCF装置和AS之间所使用的协议为SIP协议,当S-CSCF装置接收到一个初始的第一服务请求时,S-CSCF装置将分析所述第一服务请求,基于所作的分析,S-CSCF装置会将所述第一服务请求发送给AS做进一步处理,通过AS来进行服务的控制。
本发明的再一实施例提供了一种提供业务的方法,参见图4,包括:
步骤101、CCF装置接收UE发送的包含服务信息的第一服务请求,并将第一服务请求发送给SMF装置;
步骤102、SMF装置解析所述第一服务请求,生成包含服务解析信息的解析结果;
步骤103、SMF装置查找与所述解析结果相匹配的服务访问路径;
步骤104、SMF装置生成服务响应,并向所述UE返回所述服务响应。
通过上述步骤,能够为用户提供服务资源定位业务,根据用户的服务请 求为用户定位匹配的服务资源入口,用户从而能够直接与相关服务资源建立连接。
除服务信息外,所述第一服务请求还包括用户信息。对应地,所述解析结果包括对第一服务请求中的服务信息和用户信息进行解析后得到的服务解析信息和用户解析信息。在实际应用中,与解析结果匹配可以是与解析结果中的服务解析信息匹配,也可以是与服务解析信息和用户解析信息同时匹配。
实际应用中可能存在一个或多个SMF装置,当有多个SMF装置时,所述将第一服务请求发送给SMF装置之前还包括:确定与所述第一服务请求匹配的SMF装置。具体为,通过规则过滤模块,如IMS中的初始过滤规则(InitialFilter Criteria,以下简称IFC)模块或智能网中的业务交换点(ServiceSwitching Point,以下简称SSP),确定与所述第一服务请求匹配的SMF装置,具体地与所述第一服务请求中服务信息匹配的SMF装置。所述将第一服务请求发送给SMF装置之前还包括:根据所述第一服务请求对用户身份进行认证,具体地根据所述服务服务请求中的用户信息对用户身份进行认证,认证通过才执行后续步骤,否则返回失败信息。所述步骤104中生成服务响应具体为,根据所述服务访问路径生成服务响应。
当所述SMF装置已有先前用户使用时存储的相应的服务访问路径时,所述SMF装置只需在本地存储模块查找与所述解析结果相匹配的服务访问路径;反之,所述SMF装置需要通过与匹配的内容服务器交互来获得服务访问路径。
为了提供对第三方服务的接入认证和相应安全的业务,需要在UE和SMF装置之间进行密钥协商。在某些情况下,所述解析结果中的服务解析信息,如服务类别等,表明需要密钥协商,所述步骤102之后还包括:步骤102a、SMF装置根据解析结果中的用户解析信息生成密钥协商请求,所述密钥协商请求中包含用户签约信息,并根据所述密钥协商请求从HSS/HLR获得AV;所述步骤103之后还包括:步骤103a、SMF装置根据所述AV和所述服务访问路径生成密钥资料;所述步骤104中生成服务响应具体为,根据所述密钥资料生 成服务响应。可选地,SMF装置接收到UE发送的密钥协商请求,所述密钥协商请求优选地与第一服务请求一起发送,根据所述密钥协商请求从HSS/HLR获得AV,再根据所述AV和所述服务访问路径生成密钥资料,最后根据所述密钥资料生成服务响应。
通常,AV=RAND||认证令牌(Authentication Token,以下简称AUTN)||期望响应值(Expected Response,以下简称XRES)||加密密钥(Cipher Key,以下简称CK)||完整性密钥(Integrity Key,以下简称IK),可选地,在HSS/HLR中AV的生成可以简化,不需要计算AUTN和XRES,只需生成包含RAND、CK和IK的AV三元组。所述服务响应通常包括事务身份标识(TransactionIdentifier,以下简称TID)、RAND、密钥生存周期和所述服务器访问路径,其中所述密钥生存周期由SMF装置的本地策略决定。UE接收到服务响应后,根据本地生成的IK、CK以及服务响应中的RAND计算出密钥资料。
对应地,当服务器需要接入认证时,所述步骤104之后还包括:SMF装置接收到内容服务器发送的密钥资料请求,查找与所述密钥资料请求匹配的密钥资料,并向所述内容服务器返回所述密钥资料。实际应用中,SMF装置通常根据密钥资料请求中的TID来查找匹配的密钥资料。
应该说明的是,上述步骤的执行主体不一定是CCF装置或SMF装置,也可以是其他具有与所述CCF装置或SMF装置类似功能的装置。
可选地,本实施例还包括UE从所述服务响应中获得所述服务访问路径之后发起对内容服务器的访问,分两种情况,一是在获得所述服务访问路径的过程中考虑了内容服务器的接入认证和相应安全的密钥协商过程,这种情况下UE可以直接使用前一过程中协商好的密钥资料,在请求内容服务器服务时进行接入认证,并根据具体的应用进行相应的安全保护。二是在获得所述服务访问路径的过程中没有考虑内容服务器的接入认证所需要的密钥资料的协商,在这种情况下UE在访问内容服务器时,会根据具体的内容服务器再发起相应的密钥协商过程,同样在进行密钥协商的过程中有因特网协议安全 (Internet Protocol Security,以下简称IPSec)协议的保护,确保UE和SMF装置之间的相互认证和安全问题。
在第一种情况下,若访问内容服务器不考虑密钥协商,参见图5,具体流程包括:
201、UE向内容服务器发送第二服务请求,其中包括服务访问路径、TID和UE认证资料;
202、内容服务器根据所述TID通过安全的通道从SMF装置获得密钥资料,并根据UE认证资料对所述UE进行认证;
203、内容服务器向UE发送服务应答,其中包括内容服务器的认证资料,UE根据收到的认证资料对内容服务器进行认证。
其中,所述UE认证资料包括UE与SMF装置协商好的密钥资料;类似地,所述内容服务器的认证资料包括内容服务器从SMF装置获得的密钥资料。
在第二种情况下,若访问内容服务器考虑密钥协商,参见图6,具体流程包括:
301、UE向内容服务器发送第三服务请求,其中包括服务访问路径;
302、由于内容服务器需要接入认证而所述第三服务请求中没有密钥资料,内容服务器向UE发送执行密钥引导过程的请求;
303、UE和SMF装置之间执行引导过程,协商出密钥资料,具体包括:UE向SMF装置发送密钥协商请求和服务访问路径,SMF装置根据所述密钥协商请求从HSS/HLR获取AV,根据所述AV和服务访问路径生成密钥资料,并将所述密钥资料发送给UE;
304、UE向内容服务器发送第二服务请求,其中包括服务访问路径、TID和UE认证资料;
305、内容服务器根据所述TID通过安全的通道从SMF装置获得密钥资料,并根据UE认证资料对所述UE进行认证;
306、内容服务器向UE发送服务应答,其中包括内容服务器的认证资料, UE根据收到的认证资料对内容服务器进行认证。
本发明的又一实施例提供了一种实现终端重配置服务的方法,终端重配置服务是对终端设备(如UE)的更新活动,比如在不更换终端的情况下从移动通信全球系统(Global System for Mobile Communication,以下简称GSM)网络变更到通用移动通信系统(Universal Mobile TelecommunicationSystem,以下简称UMTS)网络中,这不同于双模或多模终端,双模或多模终端是把固定的配置已嵌入到终端中,这样就不能适应除嵌入其中之外的网络配置改变。而本实施例所提到的重配置服务是单一终端可以根据周围环境的变化和本身的需求在终端中配置任何一种网络协议或相应的设置,这样也使终端更具有灵活性。可以想象,未来的网络将会是多种技术并存的状况,在这种情况下,可重配置的终端就可以根据具体的情况对本身进行配置,不再局限于模式的限制。
而当终端要进行重配置时并不知道具体所要配置的文件在何处,也不可能直接和存放这些配置文件的服务器建立连接,因此需要一种合理的方法来解决这个问题,而本实施例所提供的实现终端重配置服务的方法就可以实现这种在不知道第三方服务地址的情况下获得第三方服务器提供的服务。
当终端把需要进行重配置的参数传送给SMF装置时,该SMF装置会根据解析的第一服务请求信息确定服务的类别,以及所要求的重配置能力,返回与运营商签约的可提供重配置文件的内容服务器存放文件的地址,然后UE可以根据被返回的访问地址直接和内容服务器交互进行重配置。一般来说提供这种服务的内容服务器是不开放的,需要进行接入认证,此外文件的传输和文件的合法性对安全要求也比较高。因此,要使用到本发明上述实施例中密钥协商的过程。
当UE准备从GSM切换到UMTS时,首先会发送第一服务请求,该第一服务请求包括所需要的服务类别为重配置服务、终端的能力情况、所需要重配置文件的大概类型、重配置标记和用户的身份等在重配置过程中所需要的相 关信息。SMF装置通过解析这些信息知道UE的请求,并根据UE的情况和请求的协议根据相应的策略向内容服务器查询匹配的数据库中具体重配置文件的地址。SMF装置在解析出是重配置服务时就会考虑安全性和计费问题,为了保证文件传输不被截获,让内容服务器和UE互相之间确认合法性等相关安全问题,要从HSS中获得AV。然后SMF装置生成服务响应,该服务响应中含有重配置文件的地址、密钥生存期等安全参数。UE会根据从服务响应中获得的重配置文件的地址向内容服务器发起重配置请求,内容服务器根据该重配置请求从SMF装置中获得密钥资料和重配置请求中的密钥资料进行比较,若正确就可以建立安全隧道。然后通过这个安全隧道就可以进行终端重配置。
本实施例所提供的实现终端重配置服务的方法的具体流程包括:
UE发送第一服务请求,通常为“INVITE”服务请求,其中包括相应的重配置服务所需要的信息;CCF装置将收到的“INVITE”服务请求中的信息与用户的最高优先级的IFC进行匹配,若匹配则向SMF装置转发,否则直接返回服务拒绝消息;SMF装置根据所述“INVITE”服务请求中携带的参数和相应的策略找到合适的内容服务器;SMF装置通过和内容服务器交互,获得重配置所需要的具体的重配置文件的位置和服务访问路径,如果SMF装置已记录了相应的文件位置服务访问路径信息就不需要再与内容服务器进行交互查找;如果所述“INVITE”服务请求还包括密钥生成标识,SMF装置需要从HSS/HLR中获得AV和用户安全集合,SMF装置生成TID并保存收到的AV中的IK和CK,然后将IK和CK连接生成一级密钥KS,然后根据一级密钥KS和服务访问路径通过密钥分发函数(Key Distribution Function,以下简称KDF)生成二级密钥KS_S,即KS_S=KDF(KS,RAND,私有用户标识,服务访问路径);SMF装置通过服务响应“200OK”将TID、RAND、密钥生存周期、服务访问路径发送给UE,其中密钥的生存周期由SMF装置的本地策略决定;UE生成IK和CK,将两个生成的密钥连接生成KS,然后根据KS和服务访问路径生成KS_S,KS_S=KDF(KS,RAND,私有用户标识,服务访问路径);UE根据收到的服务响 应,向内容服务器发送第二服务请求,其中包括服务访问路径和TID等;提供重配置文件的内容服务器通过Diameter协议中的“AuthenticationRequest”命令向SMF装置发送密钥资料请求,其中包括TID、服务访问路径和文件名;SMF装置通过Diameter协议中的“Authentication Response”命令返回密钥资料;UE与内容服务器根据二级密钥KS_S进行互相认证,建立TLS安全隧道;内容服务器向UE返回服务应答“HTTP200OK”;UE开始进行重配置。
具体地,所述“INVITE”服务请求包括如下参数:
(1)服务标识:标识服务类型,比如特服号码等,确定相应的SMF装置;
(2)服务描述分为服务类别和重配置标记,服务类别指示为重配置服务,重配置标记指示重配置的动态等级和能力,而重配置标记中的数值可以是重配置请求、协商的类型、下载软件的类型等;
(3)用户标识:标识用户的身份;
(4)终端能力:表示终端所具有的硬件、软件的性能,比如设备型号、硬件版本、软件类型等。
所述“INVITE”服务请求是基于SIP的消息,其中SIP“INVITE”消息的“T0”地址为特殊号码,目的是标识SMF装置。会话描述协议(SessionDescription Protocol,以下简称SDP)需要扩展一些用于SMF装置解析服务描述的字段,包括:
“a=ServiceKey:ReConfig
a=EquipCap:Num
a=ReconfigID:Num”;
其中用户标识为o=“用户标识”;
通过“200OK(INVITE)”应答UE的请求,通过SDP携带内容服务器的地址,扩展为“a=ServiceAdd=:IP address”。
本发明的又一实施例提供了一种实现物理对象关联信息服务的方法,物 理对象关联的信息服务是指当终端(如UE)面对一个物理实体时,需要了解该物理实体相关的信息时,但是无法确定了解这些信息的途径时,可以通过网络的帮助,获得了解该信息的内容服务器的地址,并且通过该地址获得与该识别码标识的物理实体相关的信息的过程。在本实施例中,UE读到一个物理对象的标识,如条码、RFID,将之传递给SMF装置,请求详细了解该物理对象的关联信息,这时,SMF装置就可以基于相应的第一服务请求及物理对象标识,向UE返回提供相应的服务的网站的URL或IP地址,UE再基于该URL或者IP地址直接接入相应的网站,获得相应的服务。物理对象可能是食品、服装、广告等。并且UE与内容服务器之间的安全也得到保证。
本实施例所提供的实现物理对象关联信息服务的方法具体包括:UE发送第一服务请求,通常为“INVITE”服务请求,其中包括用户标识、条形码值;S-CSCF装置将“INVITE”服务请求中的信息与用户的最高优先级的IFC进行匹配,若匹配则向相应的SMF装置转发“INVITE”服务请求;SMF装置根据条形码值确定服务访问路径;如果收到的“INVITE”服务请求包括密钥生成标识,SMF装置需要从HSS中获得AV,SMF装置生成TID,然后保存收到的AV中的IK和CK,将IK和CK连接生成一级密钥KS,然后根据一级密钥KS和服务访问路径生成二级密钥KS_S,KS_S=KDF(KS,RAND,私有用户标识,服务访问路径);SMF装置通过“200OK”响应将TID、RAND、密钥生存周期和服务访问路径发送给UE,其中密钥的生存周期由SMF装置的本地策略决定;UE生成IK和CK,然后将IK和CK连接生成一级密钥KS,然后根据一级密钥KS和服务访问路径生成二级密钥KS_S,KS_S=KDF(KS,RAND,私有用户标识,服务访问路径);UE向内容服务器发送第二服务请求,其中包括服务访问路径、TID和UE的认证资料;内容服务器通过Diameter协议中的“AuthenticationRequest”命令向SMF装置发送密钥资料请求,其中包括TID、服务访问路径和文件名;SMF装置通过Diameter协议中的“Authentication Response”命令返回密钥资料;内容服务器用从SMF装置取回的密钥资料和UE发送的认证 资料比较来验证UE的合法性;内容服务器向UE返回“HTTP200OK”服务应答,并携带服务器的认证资料;UE验证服务器的合法性。
具体地,所述“INVITE”服务请求包括如下参数:
(1)服务标识:标识服务类型,比如特服号码等,确定相应的SMF装置;
(2)服务描述包括服务类别和标识码值,服务类别指示为识别码服务,标识码值为扫描到的标识码的取值;
(3)用户标识:标识用户的身份;
所述“INVITE”服务请求的具体信令描述如下:
SIP“INVITE”消息的“T0”地址为特殊号码,目的是标识SMF服务。SDP需要扩展一些用于SMF装置解析服务描述的字段包括:
“a=ServiceKey:RFID
a=Code-VALUE:Num”;
用户标识为o=“用户标识”;
通过“200OK(INVITE)”命令应答UE的“INVITE”服务请求,通过SDP携带内容服务器的地址,扩展为“a=ServiceAdd=:IP address”。
本发明的又一部分实施例提供了一种实现密钥协商的方法,参见图7,包括:
步骤401、SMF装置根据密钥协商请求获得AV;
步骤402、SMF装置根据所述AV生成密钥资料,并将所述AV中的RAND发送给UE;
步骤403、UE根据所述RAND计算出所述密钥资料。
在实际应用中,用户请求的某些类别的服务需要密钥协商,如终端重配置等。对应地,所述根据密钥协商请求获得AV之前还包括,接收到UE发送的第一服务请求,解析所述第一服务请求,生成解析结果,根据所述解析结果生成密钥协商请求。
用户还可以主动要求密钥协商,所述根据密钥协商请求获得AV之前还包 括,接收到UE发送的密钥协商请求。
这样,可以在用户还不知道服务方的URL或IP地址时,生成密钥资料,从而利用所述密钥资料在用户和服务方之间建立一条安全隧道。
在实际应用中,所述根据密钥协商请求获得AV具体为,根据密钥协商请求中的用户签约信息从HSS/HLR中获得与所述用户签约信息匹配的AV。
可选地,用户在接入内容服务器时由内容服务器引导进行密钥协商,所述根据密钥协商请求获得AV之前还包括,接收到UE发送的密钥协商请求和服务访问路径。
所述根据AV生成密钥资料具体包括:将AV中的IK和CK连接生成一级密钥KS,然后根据一级密钥KS和服务访问路径生成二级密钥KS_S,KS_S=KDF(KS,RAND,私有用户标识,服务访问路径)。所述服务访问路径可以是内容服务器引导UE发送的,也可以是根据UE发送的第一服务请求的解析结果匹配查找出来的。
所述步骤402中将所述AV中的随机数发送给UE之前还包括:与UE进行相互认证,具体地,根据UE注册时建立的安全关联如IPSec协议,与UE进行相互认证,认证通过则将所述随机数发送给UE,不通过则步骤结束。
所述步骤403具体包括:UE根据自身的用户签约信息生成IK和CK,将IK和CK连接生成一级密钥KS,然后根据一级密钥KS、服务访问路径以及接收到的RAND生成二级密钥KS_S,KS_S=KDF(KS,RAND,私有用户标识,服务访问路径)。
所述步骤403之后还包括:接收到内容服务器发送的密钥资料请求,将与所述密钥资料请求匹配的密钥资料发送给所述内容服务器。
应该说明的是,上述步骤的执行主体不一定是SMF装置,还可以是其他能与UE进行密钥协商的装置。通过上述实施例,用户能够在不知道相关服务资源的URL或IP地址时与有关装置协商密钥,从而利用密钥安全地访问相关服务资源,且能够利用已有的安全关联确保密钥协商过程中的相互认证和安 全问题。
最后所应说明的是,以上实施例仅用以说明本发明的技术方案而非限制,尽管参照实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明技术方案的精神和范围。
Claims (12)
1.一种会话管理功能装置,其特征在于,包括:
服务请求处理模块,用于接收并解析用户设备发送的包含服务信息的第一服务请求,生成包含服务解析信息的解析结果;
服务资源定位模块,用于查找与所述解析结果相匹配的服务访问路径,并将所述服务访问路径发送给用户设备;
认证与授权模块,用于接收所述服务请求处理模块发出的密钥协商请求,获取认证向量,根据所述认证向量和所述服务访问路径生成密钥资料,并将所述密钥资料返回所述服务请求处理模块。
2.一种提供业务的系统,其特征在于,包括:呼叫控制功能装置和会话管理功能装置,
所述呼叫控制功能装置用于接收用户设备发送的包含服务信息的第一服务请求,并将所述包含服务信息的第一服务请求发给所述会话管理功能装置,
所述会话管理功能装置用于接收并解析呼叫控制功能装置发送的包含服务信息的第一服务请求,生成包含服务解析信息的解析结果,并查找与所述解析结果相匹配的服务访问路径;
所述会话管理功能装置具体包括:
服务请求处理模块,用于接收并解析呼叫控制功能装置发送的包含服务信息的第一服务请求,生成包含服务解析信息的解析结果;
服务资源定位模块,用于查找与所述解析结果相匹配的服务访问路径,并将所述服务访问路径发送给所述用户设备;
认证与授权模块,用于接收所述服务请求处理模块发出的密钥协商请求,获取认证向量,根据所述认证向量和所述服务访问路径生成密钥资料,并将所述密钥资料返回所述服务请求处理模块;
所述系统还包括:归属用户服务器/归属位置寄存器,用于接收所述认证与授权模块发出的密钥协商请求,并为所述认证与授权模块提供认证向量。
3.根据权利要求2所述的系统,其特征在于,所述呼叫控制功能装置具体包括:
消息处理模块,用于在所述用户设备和所述会话管理功能装置之间转发消息;
接口模块,用于获得与所述第一服务请求匹配的会话管理功能装置的信息。
4.一种提供业务的方法,其特征在于,包括:
接收用户设备发送的包含服务信息的第一服务请求;
解析所述第一服务请求,生成包含服务解析信息的解析结果;
查找与所述解析结果相匹配的服务访问路径;
生成服务响应,并向所述用户设备发送所述服务响应;
所述生成包含服务解析信息的解析结果之后还包括:根据所述解析结果生成密钥协商请求,根据所述密钥协商请求获得认证向量;所述查找与所述解析结果相匹配的服务访问路径之后还包括:根据所述认证向量和所述服务访问路径生成密钥资料;所述生成服务响应具体为,根据所述密钥资料生成服务响应。
5.根据权利要求4所述的方法,其特征在于,所述接收用户设备发送的包含服务信息的第一服务请求具体为:接收用户设备发送的包含服务标识和服务描述信息的第一服务请求。
6.根据权利要求4所述的方法,其特征在于,所述生成服务响应具体为:根据所述服务访问路径生成服务响应。
7.根据权利要求4所述的方法,其特征在于,所述向所述用户设备发送所述服务响应之后还包括:接收到内容服务器发送的密钥资料请求,查找与所述密钥资料请求匹配的密钥资料,并向所述内容服务器发送所述密钥资料。
8.根据权利要求4所述的方法,其特征在于,所述解析所述第一服务请 求之前还包括:根据所述服务信息确定与所述第一服务请求匹配的会话管理功能装置,并将所述第一服务请求发送给所述会话管理功能装置。
9.一种实现密钥协商的方法,其特征在于,包括:
根据密钥协商请求获得认证向量;
根据所述认证向量和服务访问路径生成密钥资料,并将所述认证向量中的随机数和所述服务访问路径发送给用户设备;
用户设备根据所述随机数和服务访问路径计算出所述密钥资料。
10.根据权利要求9所述的方法,其特征在于,所述根据密钥协商请求获得认证向量之前还包括:接收用户设备发送的第一服务请求,解析所述第一服务请求,生成解析结果,根据所述解析结果生成密钥协商请求。
11.根据权利要求9所述的方法,其特征在于,所述根据密钥协商请求获得认证向量之前还包括:接收到用户设备发送的密钥协商请求。
12.根据权利要求9所述的方法,其特征在于,所述将所述认证向量中的随机数发送给用户设备之前还包括:与所述用户设备进行相互认证。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2007100988961A CN101296225B (zh) | 2007-04-29 | 2007-04-29 | 会话管理功能装置及提供业务的系统和方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2007100988961A CN101296225B (zh) | 2007-04-29 | 2007-04-29 | 会话管理功能装置及提供业务的系统和方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101296225A CN101296225A (zh) | 2008-10-29 |
CN101296225B true CN101296225B (zh) | 2012-08-08 |
Family
ID=40066240
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2007100988961A Expired - Fee Related CN101296225B (zh) | 2007-04-29 | 2007-04-29 | 会话管理功能装置及提供业务的系统和方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101296225B (zh) |
Families Citing this family (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102111457B (zh) * | 2009-12-23 | 2014-08-06 | 中国移动通信集团公司 | 一种业务提供系统和方法 |
WO2014100977A1 (zh) * | 2012-12-25 | 2014-07-03 | 华为技术有限公司 | 获取、发送cbc和/或cbe信息的方法及相关设备 |
CN106068637B (zh) * | 2014-03-06 | 2019-08-30 | 三星电子株式会社 | 搜索者装置与广告者装置之间建立服务会话的方法和系统 |
CN104468605A (zh) * | 2014-12-22 | 2015-03-25 | 北京极科极客科技有限公司 | 一种分布式安全认证方法 |
WO2018000867A1 (zh) * | 2016-07-01 | 2018-01-04 | 华为技术有限公司 | 密钥配置及安全策略确定方法、装置 |
CN107566115B (zh) | 2016-07-01 | 2022-01-14 | 华为技术有限公司 | 密钥配置及安全策略确定方法、装置 |
US11228949B2 (en) * | 2017-01-06 | 2022-01-18 | Samsung Electronics Co., Ltd. | Intra-RAT handover for next generation system |
US20200068391A1 (en) * | 2017-05-09 | 2020-02-27 | Intel IP Corporation | Privacy protection and extensible authentication protocol authentication and autorization in cellular networks |
CN116996954A (zh) | 2017-06-01 | 2023-11-03 | 华为技术有限公司 | 一种会话处理方法及相关设备 |
CN109673024B (zh) * | 2017-10-17 | 2023-06-30 | 华为技术有限公司 | 数据传输通道的处理方法、装置和系统 |
CN117544941A (zh) * | 2018-01-12 | 2024-02-09 | 华为技术有限公司 | 会话管理方法、设备及系统 |
CN110248352B (zh) | 2018-01-12 | 2020-08-21 | 华为技术有限公司 | 会话管理方法、设备及计算机可读存储介质 |
CN110035040B (zh) * | 2018-01-12 | 2021-11-16 | 中国移动通信有限公司研究院 | 一种信令寻址的方法和装置 |
CN115250289A (zh) * | 2021-04-13 | 2022-10-28 | 中国移动通信有限公司研究院 | 服务路由方法及设备 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1642301A (zh) * | 2004-01-16 | 2005-07-20 | 华为技术有限公司 | 一种无线局域网中用户终端获取分组数据关口地址的方法 |
-
2007
- 2007-04-29 CN CN2007100988961A patent/CN101296225B/zh not_active Expired - Fee Related
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1642301A (zh) * | 2004-01-16 | 2005-07-20 | 华为技术有限公司 | 一种无线局域网中用户终端获取分组数据关口地址的方法 |
Also Published As
Publication number | Publication date |
---|---|
CN101296225A (zh) | 2008-10-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101296225B (zh) | 会话管理功能装置及提供业务的系统和方法 | |
CN102550001B (zh) | 用于允许自举架构和共享身份服务相互作用的用户身份管理 | |
US8027472B2 (en) | Using a trusted-platform-based shared-secret derivation and WWAN infrastructure-based enrollment to establish a secure local channel | |
CN101156486B (zh) | 无线通信系统中数据优化传输的方法和装置 | |
CN101569217B (zh) | 不同认证基础设施的集成的方法和布置 | |
EP2612486B1 (en) | Downloadable isim | |
US8626708B2 (en) | Management of user data | |
CN102972002B (zh) | 分组网络中的应用层认证方法及装置 | |
US10791106B2 (en) | Digital credential with embedded authentication instructions | |
RU2421931C2 (ru) | Аутентификация в сетях связи | |
US20190289463A1 (en) | Method and system for dual-network authentication of a communication device communicating with a server | |
US8990960B2 (en) | Method for near field communication operation, a device and a system thereto | |
CN101138217A (zh) | 通过比较非网络始发身份来认证用户的方法和设备 | |
CN105340306A (zh) | 使用基于软件的订户身份模块提供无线订阅 | |
CN103004244A (zh) | 结合Web应用和网页的通用引导架构使用 | |
EP2215803B1 (en) | Network access authentication | |
KR20140095523A (ko) | 외부 코드에 대한 보안 메커니즘 | |
CN102065421B (zh) | 一种更新密钥的方法、装置和系统 | |
US20060020791A1 (en) | Entity for use in a generic authentication architecture | |
Chitroub et al. | Securing mobile iot deployment using embedded sim: Concerns and solutions | |
CN108370369B (zh) | 使用重定向促进客户端设备和应用服务器之间安全通信的网关、客户端设备和方法 | |
Laitinen et al. | Extending cellular authentication as a service | |
Santos et al. | Enhancing security of cellular iot with identity federation | |
WO2022006736A1 (en) | Methods and apparatuses for device provisioning | |
Jung et al. | IoTivity Packet Parser for Encrypted Messages in Internet of Things |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120808 Termination date: 20160429 |