CN101729998A - 转发消息、通用引导架构、鉴权方法、系统及装置 - Google Patents
转发消息、通用引导架构、鉴权方法、系统及装置 Download PDFInfo
- Publication number
- CN101729998A CN101729998A CN200810173031A CN200810173031A CN101729998A CN 101729998 A CN101729998 A CN 101729998A CN 200810173031 A CN200810173031 A CN 200810173031A CN 200810173031 A CN200810173031 A CN 200810173031A CN 101729998 A CN101729998 A CN 101729998A
- Authority
- CN
- China
- Prior art keywords
- guide service
- service function
- message
- authentication
- subscriber equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明实施例公开了一种转发消息的方法包括:为多个区域中的每一个区域部署一个引导服务功能;为属一个或多个运营商的所述引导服务功能分配同一个引导服务功能逻辑域名;在用户设备通过所述引导服务功能逻辑域名访问引导服务功能时,由所述用户设备接入地的域名服务器对所述引导服务功能逻辑域名进行解析,将所述用户设备接入到一个最近的引导服务功能。及相应实施通用引导架构的方法、鉴权方法、系统及装置。应用本发明为每一个区域部署一个BSF,满足了用户的需求,并提供了相应的解决方案。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种转发消息的方法、实施通用引导架构的方法、鉴权方法、系统及装置。
背景技术
在第三代合作伙伴计划(3GPP,3rd Generation Partnership Project)规范中定义了一种通用引导架构(GBA,Generic Bootstrapping Architecture)过程,用于为网络应用服务器和终端用户建立共享的密钥,在GBA过程中引导服务功能(BSF,Bootstrapping Server Function)用于对用户鉴权。
应用GBA过程的包括:
鉴权中心(AuC,Authentication Centre)、引导服务功能、用户设备(UE,User Equipment)、Zn接口代理服务器(Zn-Proxy)、网络应用服务器(NAF,Network Application Function)。
进行GBA过程时,UE从用户的标识中推导出归属网络中的BSF的域名,向归属网络BSF发起初始请求;归属网络中的BSF向用户的鉴权中心请求鉴权数据;BSF根据返回的鉴权向量开始对UE的鉴权过程,向UE返回未被授权(401Unauthorized)响应消息,未被授权响应消息中包含AuC返回的用于鉴权的参数;UE根据用于鉴权的参数对未被授权响应消息进行鉴权,并计算鉴权信息,包含在新的请求消息中,重新发送给BSF;BSF验证UE的鉴权信息,并向UE返回响应消息;GBA过程结束。
在对现有技术的研究和实践过程中,发明人发现现有技术存在以下问题:
而在很多时候,一个运营商的覆盖面积可能非常大,需花划分为多个不同区域,例如中国的运营商就可能需要为每一个城市划分出一个区域,而在现有技术中,一个运营商只能使用一个BSF,当运营商的覆盖面积非常大时,BSF的运行负担将会非常重,其运行效率也会降低,影响用户体验。
发明内容
本发明实施例要解决的技术问题是提供一种转发消息的方法、实施通用引导架构的方法、鉴权方法、系统及装置,以解决运营商的覆盖面积非常大时,BSF运行负担过重重,影响系统效率的问题。
为解决上述技术问题,本发明实施例一方面,提供了一种转发消息的方法,包括:
接收用户设备要求访问引导服务功能的消息,所述要求访问引导服务功能的消息携带有统一的引导服务功能逻辑地址;
解析所述引导服务功能逻辑地址;
根据解析的结果,从两个或两个以上引导服务功能中选择出一个引导服务功能,将所述要求访问引导服务功能的消息转发到所述引导服务功能。
另一方面,提供了一种实施通用引导架构的方法,所述方法包括:
发送携带统一的引导服务功能逻辑地址的初始化消息,以使拜访地域名服务器可以解析所述统一的引导服务功能逻辑地址;根据解析的结果,从两个或两个以上的引导服务功能中选择出一个拜访地引导服务功能;将所述初始化消息转发到拜访地引导服务功能,触发通用引导架构过程。
另一方面,提供了一种实施通用引导架构的方法,所述方法包括:
接收拜访地域名服务器转发的初始化消息,触发通用引导架构过程,所述初始化消息由用户设备发送,携带有统一的引导服务功能逻辑地址的初始化消息。
另一方面,提供了一种鉴权方法,包括:
接收拜访地网络应用服务器要求鉴权的消息;
向所述拜访地网络应用服务器发送应用请求,所述应用请求携带引导服务功能为所述用户设备分配的引导事务标识符、及所述引导服务功能的实际地址;以使所述拜访地网络应用服务器根据所述引导事务标识符、及所述引导服务功能的地址向所述引导服务功能请求共享密钥,对所述用户设备进行验证。
另一方面,提供了一种鉴权方法,包括:
向需要进行鉴权的用户设备发送要求鉴权的消息;
接收所述用户设备发起的应用请求,所述应用请求携带引导服务功能为所述用户设备分配的引导事务标识符、及所述引导服务功能的实际地址;
根据所述引导事务标识符、所述引导服务功能的实际地址向所述引导服务功能获取共享密钥;
使用所述共享密钥对所述用户设备进行验证。
另一方面,提供了一种鉴权方法,包括:
接收携带为用户设备分配的引导事务标识符的鉴权请求;
根据所述引导事务标识符查找密钥相关数据;使用查找到的密钥相关数据生成共享密钥;
返回所述共享密钥,以使网络应用服务器根据所述共享密钥对所述用户设备进行鉴权。
另一方面,提供了一种通信系统,包括:两个或两个以上引导服务功能、至少一个域名服务器;
其中,每个引导服务功能分属不同区域,使用统一的引导服务功能逻辑地址;
域名服务器,用于接收用户设备要求访问引导服务功能的消息,所述要求访问引导服务功能的消息携带有所述统一的引导服务功能逻辑地址;解析所述引导服务功能逻辑地址;从不同区域的引导服务功能中选择出离所述用户设备最近的一个引导服务功能,将所述要求访问引导服务功能的消息转发到所述最近的一个引导服务功能。
另一方面,提供了一种域名服务器,包括:
第一接收单元,用于接收所属区域接入的用户设备发送的访问引导服务功能的消息,所述访问引导服务功能消息中携带有统一的引导服务功能逻辑地址;
域名解析单元,用于解析所述第一接收单元接收到的引导服务功能逻辑地址;
接入单元,用于根据所述域名解析单元的解析结果,从不同区域的引导服务功能中选择出一个引导服务功能,将所述要求访问引导服务功能的消息转发到所述引导服务功能。
另一方面,提供了一种实施通用引导架构的系统,包括:
拜访地域名服务器,用于接收所属区域接入的用户设备发送的访问引导服务功能的消息,所述访问引导服务功能消息中携带有统一的引导服务功能逻辑地址;解析所述统一的引导服务功能逻辑地址;根据解析的结果,从两个或两个以上的引导服务功能中选择出一个拜访地引导服务功能;将所述用户设备发送的初始化消息转发到所述拜访地引导服务功能;
拜访地引导服务功能,用于接收所述拜访地域名服务器转发的初始化消息,触发通用引导架构过程。
另一方面,提供了一种用户设备,包括:
域名获取单元,用于获取统一的引导服务功能逻辑地址;
第一发送单元,用于发送携带所述统一的引导服务功能逻辑地址的初始化消息,以使拜访地域名服务器可以解析所述统一的引导服务功能逻辑地址;根据解析的结果,从两个或两个以上的引导服务功能中选择出一个拜访地引导服务功能;将所述初始化消息转发到拜访地引导服务功能,触发通用引导架构过程。
另一方面,提供了一种引导服务功能装置,包括:
第三接收单元,用于接收拜访地域名服务器转发的初始化消息,所述初始化消息由用户设备发送,携带有统一的引导服务功能逻辑地址的初始化消息;
触发单元,用于在所述第三接收单元收到所述初始化消息时,触发通用引导架构过程。
另一方面,提供了一种鉴权系统,包括:
拜访地网络应用服务器,用于向用户设备发送要求鉴权的消息;接收用户设备发起的应用请求,所述应用请求携带引导服务功能为所述用户设备分配的引导事务标识符、及所述引导服务功能的实际地址;根据所述引导服务功能的实际地址发送携带所述引导事务标识符的鉴权请求,向引导服务功能获取共享密钥;使用所述共享密钥对所述用户设备进行验证;
引导服务功能,用于接收所述鉴权请求;根据所述引导事务标识符查找密钥相关数据;使用查找到的密钥相关数据生成共享密钥;向所述拜访地网络应用服务器返回所述共享密钥。
另一方面,提供了一种用户设备,包括:
第五接收单元,用于接收拜访地网络应用服务器要求鉴权的消息;
第三发送单元,用于在所述第五接收单元收到网络应用服务器要求鉴权的消息时,向所述拜访地网络应用服务器发送应用请求,所述应用请求携带引导服务功能为所述用户设备分配的引导事务标识符、及所述引导服务功能的实际地址;以使所述拜访地网络应用服务器根据所述引导事务标识符、及所述引导服务功能的地址向所述引导服务功能请求共享密钥,对所述用户设备进行验证。
另一方面,提供了一种网络应用服务器,包括:
第四发送单元,用于向需要进行鉴权的用户设备发送要求鉴权的消息;
第七接收单元,用于接收所述用户设备返回的应用请求,所述应用请求携带引导服务功能为所述用户设备分配的引导事务标识符、及所述引导服务功能的实际地址;
查找单元,用于根据所述引导事务标识符、所述引导服务功能的实际地址向所述引导服务功能获取共享密钥;
验证单元,用于使用所述共享密钥对所述用户设备进行验证。
另一方面,提供了一种引导服务功能装置,包括:
第八接收单元,用于接收携带为用户设备分配的引导事务标识符的鉴权请求;
第三查找单元,用于根据所述引导事务标识符查找密钥相关数据;使用查找到的密钥相关数据生成共享密钥;
第六发送单元,用于返回所述共享密钥,以使网络应用服务器根据所述共享密钥对所述用户设备进行鉴权。
由以上技术方案可以看出,由于可以为一个运营商提供多个BSF,可以为不同区域分配不同BSF,解决了运营商由于覆盖面积非常大,一个BSF无法满足需要的问题,进一步,还给出了相应的实施通用引导架构的方法、鉴权方法,为一个或多个运营商的BSF分配同一个引导服务功能逻辑域名,使UE在不同区域间漫游,需要进行通用引导架构过程时,可通过统一的BSF逻辑域名接入拜访地BSF,无须接入归属地BSF即可完成通用引导架构过程,提高了进行通用引导架构过程的效率。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的转发消息的方法流程图;
图2为本发明实施例提供系统结构图;
图3为本发明提供的实施通用引导架构的方法实施例信令流程图;
图4为本发明提供的鉴权方法实施例一信令流程图;
图5为本发明提供的鉴权方法实施例二信令流程图;
图6为本发明提供的通信系统实施例结构图;
图7为本发明提供的域名服务器实施例结构图;
图8为本发明提供的实施通用引导架构的系统实施例结构图;
图9为本发明提供的用户设备实施例一结构图;
图10为本发明提供的引导服务功能实施例一结构图;
图11为本发明实施例提供的鉴权系统结构图;
图12为本发明提供的用户设备实施例二结构图;
图13为本发明提供的网络应用服务器实施例结构图;
图14为本发明提供的引导服务功能实施例二结构图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例提供了一种转发消息的方法、实施通用引导架构的方法、鉴权方法、系统及装置,为同一个运营商需要划分多个不同区域时,BSF部署方式、进行GBA过程和鉴权过程提供了解决方案。
本发明实施例提供的转发消息的方法,可以为每一个区域部署一个引导服务功能;为一个或多个运营商的引导服务功能分配同一个引导服务功能逻辑地址;在用户设备通过引导服务功能逻辑域名访问引导服务功能时,由用户设备接入地的域名服务器对引导服务功能逻辑地址进行解析,将用户设备接入到一个最近的引导服务功能。
从接入地域名服务器的角度对本发明实施例提供的转发消息的方法进行描述,本发明实施例提供的转发消息的方法流程如图1所示:
101、接收用户设备要求访问引导服务功能的消息,要求访问引导服务功能的消息携带有统一的引导服务功能逻辑地址;
要求访问引导服务功能的消息可以是初始化消息、获取消息、初始化应用请求等消息。
102、解析引导服务功能逻辑地址;
103、根据解析的结果,从两个或两个以上引导服务功能中选择出一个引导服务功能,将要求访问引导服务功能的消息转发到引导服务功能。
进一步,接入地域名服务器可以从两个或两个以上的引导服务功能中选择出离用户设备最近的一个引导服务功能;比较的方法,可以是参考引导服务功能与用户设备接入地的物理距离。
引导服务功能逻辑地址可以是引导服务功能逻辑域名,或引导服务功能逻辑网际协议(IP,Internet Protocol)地址。
应用本发明实施例提供的转发消息的方法,在同一个运营商需要划分多个不同区域时,提供了BSF部署方式,满足了用户的需求,且用户在不同区域漫游时,无需接入归属地BSF。
进一步,现有技术中,UE是通过运营商编码推导出BSF逻辑域名的,但是在有时候一个运营商可能会对应多个编码,此时根据编码推导出的BSF逻辑域名将不唯一,可能会有多个,系统将无法分辨哪一个才是正确的BSF逻辑域名,为了防止这种情况的出现,本发明实施例提供的转发消息的方法,将BSF逻辑域名预置在UE中,或者UE在接入网络时获取BSF逻辑域名。
本发明实施例提供的实施通用引导架构的方法中,为每一个区域部署一个引导服务功能;可以为每个区域定义一个BSF逻辑域名;也可以整个运营商的网络使用一个域名;也可以多个运营商共享一个BSF逻辑域名,多个运营商统一由一个BSF系统提供GBA服务;
从UE的角度进行描述时,本发明实施例提供的实施通用引导架构的方法包括:
UE在进行漫游需要进行GBA过程时,发送携带统一的引导服务功能逻辑域名的初始化消息,以使拜访地域名服务器可以解析统一的引导服务功能逻辑地址;根据解析的结果,从两个或两个以上的引导服务功能中选择出一个拜访地引导服务功能;将初始化消息转发到拜访地引导服务功能,触发通用引导架构过程。
此时,GBA过程已被触发,进一步,本发明实施例还提供了后续进行GBA过程的流程;
UE接收拜访地引导服务功能返回的响应消息,根据响应消息进行鉴权检查,在鉴权检查成功后,生成鉴权数据并向拜访地引导服务功能发送,以使拜访地引导服务功能根据鉴权数据进行鉴权,生成密钥相关数据。
UE在拜访地引导服务功能鉴权成功时,接收拜访地引导服务功能返回的成功响应消息,成功响应消息携带有密钥相关数据中的引导事务标识符、及拜访地引导服务功能的实际地址。
从BSF的角度进行描述时,本发明实施例提供的实施通用引导架构的方法包括:
接收拜访地域名服务器转发的初始化消息,触发通用引导架构过程,初始化消息由用户设备发送,携带有统一的引导服务功能逻辑域名的初始化消息。
此时,GBA过程已被触发,进一步,本发明实施例还提供了后续进行GBA过程的流程;
BSF向用户设备的归属地鉴权中心检索鉴权向量;根据鉴权向量生成响应消息向用户设备发送;
接收用户设备返回的携带鉴权数据的消息;
根据鉴权数据进行鉴权,生成密钥相关数据;
在鉴权成功后,向用户设备返回成功响应消息,成功响应消息携带有密钥相关数据中的引导事务标识符、及拜访地引导服务功能的实际域名。
引导服务功能实际地址可以是引导服务功能实际域名,或引导服务功能实际IP地址。
此时的系统结构示意图如图2所示:
其中鉴权中心201、网络应用服务器201、Zn接口代理服务器(Zn-Proxy)203属于用户设备206的归属地网络(Home network),引导服务功能204、网络应用服务器205属于用户设备206的拜访地网络(Visited network);其中归属地网络和拜访地网络可以是一个运营商的不同区域的网络,也可以是归属不同运营商的网络;为拜访地网络和拜访地网络提供GBA服务的BSF服务器使用统一的域名。
UE漫游时,访问拜访地应用服务器,如果拜访地应用服务器需要对用户进行鉴权或需要和UE建立共享密钥时,则在响应中通知UE开始执行GBA过程,要求UE通过BSF协商与应用户服务器的共享密钥数据,在这种场景下,本发明提供的实施通用引导架构的方法实施例信令流程如图3所示:
301、UE向拜访地BSF发送初始化消息,该初始化消息可以是初始获取(initial GET)消息;
UE在进行步骤301之前已经获得了BSF的域名,获得的方法可以是预置在UE中,或在接入网络时通过网络获取。
UE发送携带统一的BSF逻辑域名的初始化消息要求访问BSF,UE拜访地网络的域名服务器收到初始化消息后,对BSF逻辑域名进行解析,将UE接入到一个最近的拜访地BSF服务器。
302、拜访地BSF向UE归属地鉴权中心检索鉴权向量(AuthenticationVector);
UE向Visitor BSF发起的初始化消息中包含BSF可识别的用户的标识信息。其中授权(Authorization)头中领域(realm)参数指明了BSF的全域名(FQDN,Fully Qualified Domain Name)。BSF根据请求消息中的用户的标识,从拜访地BSF直接向用户归属的AuC检索鉴权向量。采用的方法可以是拜访地BSF接入到SS7信令网中的信令转接点(STP,Signaling Transfer Point),通过STP将移动应用部分(MAP,Mobile Application Part)信令路由给归属地鉴权中心,或者采用信令传送(SIGTRAN,Signalling Transport)协议连接归属地鉴权中心。
303、拜访地BSF获取鉴权向量后,选择鉴权向量;
BSF从获取的鉴权向量中选择一个鉴权向量用于GBA的鉴权过程。
304、拜访地BSF向UE发送响应消息,该响应消息可以是未授权(401Unauthorized)响应消息;
拜访地BSF在给UE的401Unauthorized响应消息中包含鉴权向量中的相关数据。
305、UE接收到响应消息后,对BSF的响应消息进行鉴权检查,鉴权检查成功后,生成鉴权数据,例如响应和协商密钥,加入到授权消息头中;
UE接收到响应消息后,根据客户识别模块(SIM,Subscriber IdentityModel)卡中存储的数据对BSF响应消息中的鉴权向量中的相关数据进行鉴权检查,鉴权检查成功后,计算生成授权头中的数据,例如响应和协商密钥。因为UE和SIM配合执行的的是对401Unauthorized消息返回的消息头中包含的WWW-Authenticate头进行验证,并计算重新发起的请求消息的Authorization消息头
306、UE向拜访地BSF发送获取消息,
UE重新发起到BSF的请求,向拜访地BSF发送获取消息,获取消息中包含授权消息头,授权消息头中包含响应和协商密钥。
307、拜访地BSF收到获取消息后,对UE进行鉴权并生成本次通用引导架构过程的密钥相关数据;
拜访地BSF收到获取消息后,根据获取消息授权消息头中携带的响应和协商密钥对UE进行鉴权,在BSF对UE鉴权成功后,记录用户的标识,生成并存储本次GBA过程的密钥相关数据,包括引导事务标识符(B-TID,bootstrapping transaction identifier)、网际协议多媒体私有标识(IMPI,IPMultimedia Private Identity)、及其他相关数据。
308、拜访地BSF返回成功响应消息给UE,该成功响应消息可以是HTTP200OK消息;
拜访地BSF发送成功消息响应给UE,指示GBA过程鉴权成功,成功响应消息中携带有引导事务标识符、该拜访地BSF的实际域名。
309、UE产生引导密钥主要信息(bootstrapping key material)。
通用引导架构过程结束。
本发明实施例提供的实施通用引导架构的方法,为同一运营商在不同区域使用不同BSF提供了进行通用引导架过程的方案,且UE在不同区域间漫游,需要进行通用引导架构过程时,可通过统一的BSF逻辑域名接入拜访地BSF,无须接入归属地BSF即可完成通用引导架构过程,提高了进行通用引导架构过程的效率;
进一步,将统一的BSF逻辑域名预置在UE中,或者UE在接入网络时获取统一的BSF逻辑域名,避免了现有技术通过运营商编码推导出BSF逻辑域名,可能导致的BSF逻辑域名不唯一,系统无法分辨的问题。
在使用本发明实施例提供的转发消息的方法、实施通用引导架构的方法的基础上,UE与应用服务之间的共享密钥和相关数据已经由UE与BSF之间执行的GBA过程协商完成,本发明实施例提供的鉴权方法如下所述:
UE在收到拜访地网络应用服务器要求鉴权的消息时,向拜访地网络应用服务器发送应用请求,应用请求携带引导服务功能使用如权利要求2的方法为用户设备分配的引导事务标识符、及引导服务功能的实际域名;以使拜访地网络应用服务器根据引导事务标识符、及引导服务功能的域名向引导服务功能请求共享密钥,对用户设备进行验证;
发送消息后等待拜访地网络应用服务器进行验证;
验证完成,UE接收到拜访地网络应用服务器返回的响应消息,鉴权结束。
在NAF需要对访问的UE进行鉴权时,NAF向需要进行鉴权的用户设备发送要求鉴权的消息;
接收用户设备返回的应用请求,应用请求携带引导服务功能为用户设备分配的引导事务标识符、及引导服务功能的实际域名;
根据引导事务标识符、引导服务功能的实际域名向引导服务功能获取共享密钥;
使用共享密钥对用户设备进行验证。
在验证通过后,向用户设备发送响应消息。
为UE执行GBA过程的BSF在收到携带接收携带为用户设备分配的引导事务标识符的鉴权请求后;根据引导事务标识符查找密钥相关数据;使用查找到的密钥相关数据生成共享密钥;返回共享密钥,以使网络应用服务器根据共享密钥对用户设备进行鉴权。
为UE执行GBA过程的BSF可以被称为拜访BSF,由于拜访BSF的所属区域,和发起鉴权过程NAF的所属区域可能不是同一个区域,在NAF提供的业务需要对UE发起的请求消息进行鉴权和完整性检查时,若拜访BSF与NAF位于同一区域,本发明提供的鉴权方法实施例一信令流程如图4所示:
401、UE向拜访地NAF发起初始超文本传输协议(HTTP,HypertextTransfer Protocol)应用请求,该应用请求可以是超文本传输协议应用请求(HTTP Requst)消息;
UE向NAF发起初始HTTP应用请求,访问NAF提供的服务。
402、如果拜访地NAF需要对UE进行鉴权,则向UE返回要求鉴权的消息,该要求鉴权的消息可以是超文本传输协议401未授权(HTTP 401Unauthorized)消息;
如果NAF需要对UE进行鉴权,则返回HTTP 401Unauthorized消息,消息中包含万维网鉴别(WWW-Authenticate)头,指示UE需要进行鉴权过程。
403、UE重新向拜访地NAF发起HTTP应用请求,消息头中包含授权(Authorization)头,该HTTP应用请求可以是HTTP Requst消息;
UE重新发起HTTP应用请求,消息头中包含Authorization头,该HTTP应用请求消息的示例如下所示:
GET/HTTP/1.1
Host:naf.home 1.net:1234
User-Agent:NAF1 Application Agent;Release-63gpp-gba
Date:Thu,08 Jan 2004 10:50:35GMT
Accept:*/*
Referer:http://naf1.home1.net:1234/service
Authorization: Digest username=″(B-TID)″,
realm=″3GPP-bootstrapping@bsf.home1.net″,nonce=″a6332ffd2d234==″,uri=″/″,
qop=auth-int,nc=00000001,cnonce=″6629fae49393a05397450978507c4ef1″,
response=″6629fae49393a05397450978507c4ef1″,algorithm=MD5
其中,Authorization头中定义了服务器验证该消息的必要参数,用户名称(username)参数指示GBA过程由BSF分配的引导事务标识符;领域(realm)参数分为两部分,以@符号分隔,后半部分指明鉴权该消息的BSF服务器的实际域名,其他参数与3GPP TS 24.109版本协议规定相同。
404、拜访地NAF收到UE的HTTP应用请求消息后,根据UE的HTTP应用请求消息中的Authorization头中的参数,向拜访BSF发起鉴权请求,该鉴权请求可以是引导信息请求(Bootstrapping-Info Request)消息;
根据UE的HTTP应用请求消息中的Authorization头中的参数,可以获得GBA过程由BSF分配的引导事务标识符和鉴权该消息的BSF服务器的实际域名,拜访地NAF收到UE的HTTP应用请求消息后,通过Zn参考点将该鉴权请求发送至拜访BSF,向拜访BSF发起Bootstrapping-Info请求。
405、拜访BSF接收到请求消息后,根据请求消息中的引导事务标识符检索存储的相关数据,根据检索到的GBA过程协商的密钥相关数据生成共享密钥,将生成的共享密钥携带在响应消息中返回给拜访地NAF,该响应消息可以是引导信息响应(Bootstrapping-Info Answer)消息。
406、拜访地NAF根据返回的共享密钥对UE的HTTP应用请求消息进行验证;
407、验证通过后,拜访地NAF计算Authentication-Info头,加入到响应消息中,返回给UE,该响应消息可以是HTTP 200OK消息。
鉴权结束。
若拜访BSF与需要对UE进行鉴权的NAF位于不同区域,需要应用所在漫游区域的区域Zn-Proxy,将区域内的NAF的GBA相关密钥数据的请求转发给为拜访BSF,在区域Zn-Proxy与拜访BSF之间应采用安全的信息传送方式,如承载在传输层安全(TLS,Transport Layer Security)协议上,本发明提供的鉴权方法实施例一信令流程如图5所示:
501、UE向拜访地NAF发起HTTP应用请求,该HTTP应用请求可以是HTTP Requst消息;
UE向NAF发起初始HTTP应用请求,访问NAF提供的服务。
502、如果拜访地NAF需要对UE进行鉴权,则向UE返回未授权消息,该未授权消息可以是HTTP 401Unauthorized消息;
如果NAF需要对UE进行鉴权,则返回HTTP 401Unauthorized消息,消息中包含WWW-Authenticate头,指示UE需要进行鉴权过程。
503、UE重新向拜访地NAF发起HTTP应用请求,消息头中包含授权头,该HTTP应用请求可以是HTTP Requst消息;
UE重新发起HTTP应用请求,消息头中包含Authorization头,该HTTP应用请求消息的示例如下所示:
GET/HTTP/1.1
Host:naf.home 1.net:1234
User-Agent:NAF1 Application Agent;Release-63gpp-gba
Date:Thu,08 Jan 2004 10:50:35GMT
Accept:*/*
Referer:http://naf1.home1.net:1234/service
Authorization:Digest username=″(引导事务标识符)″,
realm=″3GPP-bootstrapping@bsf.home1.net″,nonce=″a6332ffd2d234==″,uri=″/″,
qop=auth-int,nc=00000001,cnonce=″6629fae49393a05397450978507c4ef1″,
response=″6629fae49393a05397450978507c4ef1″,algorithm=MD5
其中,Authorization头中定义了服务器验证该消息的必要参数,用户名称(username)参数指示GBA过程由BSF分配的引导事务标识符;领域(realm)参数分为两部分,以@符号分隔,后半部分指明鉴权该消息的BSF服务器的实际域名,其他参数与3GPP TS 24.109版本协议规定相同。
504、拜访地NAF收到UE的HTTP应用请求消息后,从UE的HTTP应用请求消息中的Authorization头中获取拜访BSF服务器的实际域名,向Zn-Proxy发起鉴权请求,该鉴权请求可以是Bootstrapping-Info Request消息,其中携带拜访BSF服务器的实际域名;
505、Zn-Proxy收到鉴权请求后,根据鉴权请求中携带的拜访BSF服务器的实际域名,将该鉴权请求转发给该UE的拜访BSF;
506、该UE的拜访BSF接收到请求消息后,根据请求消息中的引导事务标识符检索存储的相关数据,将检索到的GBA过程协商的Ks数据携带在响应消息中返回给Zn-Proxy,该响应消息可以是Bootstrapping-Info Answer消息;
拜访BSF接收到请求消息后,根据请求消息中的根据引导事务标识符检索存储的相关数据,并返回GBA过程协商的Ks数据。
507、Zn-Proxy将响应消息转发给拜访地NAF。
508、拜访地NAF根据Ks数据对UE的HTTP应用请求消息进行验证;
509、验证通过后,拜访地NAF计算Authentication-Info头,加入到响应消息中,返回给UE,该响应消息可以是HTTP 200OK消息。
鉴权结束。
应用本发明实施例提供的鉴权方法,为同一运营商在不同区域使用不同BSF提供了进行鉴权的方法。
本发明实施例提供的通信系统,包括:两个或两个以上引导服务功能、至少一个域名服务器;其中,每个引导服务功能分属不同区域,使用相同的引导服务功能逻辑地址。
以包括两个引导服务功能为例,本发明提供的通信系统实施例结构如图6所示,包括:引导服务功能601、引导服务功能602、域名服务器603、用户设备604;引导服务功能601、引导服务功能602分属不同区域,但使用统一的引导服务功能逻辑地址;
域名服务器603,用于接收用户设备604要求访问引导服务功能的消息,要求访问引导服务功能的消息携带有统一的引导服务功能逻辑地址;解析引导服务功能逻辑地址;从不同区域的引导服务功能中选择出离用户设备最近的一个引导服务功能602,将要求访问引导服务功能的消息转发到最近的一个引导服务功能602。
域名服务器的内部详细结构可参考对本发明提供的域名服务器实施例的描述。
本发明提供的域名服务器实施例结构如图7所示,包括:
第一接收单元701,用于接收所属区域接入的用户设备发送的访问引导服务功能的消息,访问引导服务功能消息中携带有统一的引导服务功能逻辑地址;
域名解析单元702,用于解析第一接收单元702接收到的引导服务功能逻辑地址;
接入单元703,用于根据域名解析单元702的解析结果,从不同区域的引导服务功能中选择出一个引导服务功能,将要求访问引导服务功能的消息转发到引导服务功能。
本发明实施例提供的通信系统、及域名服务器的详细操作方法可参考上文对本发明实施例提供的转发消息的方法的描述,在此不再重复。
本发明提供的实施通用引导架构的系统实施例结构如图8所示,包括:
拜访地域名服务器801,用于接收所属区域接入的用户设备发送的访问引导服务功能的消息,访问引导服务功能消息中携带有统一的引导服务功能逻辑地址;解析统一的引导服务功能逻辑地址;根据解析的结果,从两个或两个以上的引导服务功能中选择出一个拜访地引导服务功能;,将用户设备发送的初始化消息转发到拜访地引导服务功能802;
拜访地引导服务功能802,用于接收拜访地域名服务器801转发的初始化消息,触发通用引导架构过程;
进一步,拜访地引导服务功能802还可以向用户设备的归属地鉴权中心803检索鉴权向量;根据鉴权向量生成响应消息向用户设备发送;接收用户设备返回的携带鉴权数据的消息;根据鉴权数据进行鉴权,生成密钥相关数据;在鉴权成功后,向用户设备返回成功响应消息;
鉴权中心803,用于接受拜访地引导服务功能802的检索,向拜访地引导服务功能802提供鉴权向量。
其中,引导服务功能802的内部详细结构可参考对本发明提供的引导服务功能实施例一的描述。
本发明提供的用户设备实施例一结构如图9所示,包括:
域名获取单元901,用于获取统一的引导服务功能逻辑地址;
第一发送单元902,用于发送携带统一的引导服务功能逻辑地址的初始化消息,以使拜访地域名服务器可以解析统一的引导服务功能逻辑地址;根据解析的结果,从两个或两个以上的引导服务功能中选择出一个拜访地引导服务功能;将初始化消息转发到拜访地引导服务功能,触发通用引导架构过程。
进一步,用户设备还可以包括:
鉴权检查单元903,用于接收拜访地引导服务功能返回的响应消息,根据响应消息进行鉴权检查;
第二发送单元904,用于在鉴权检查单元903进行鉴权检查成功后,生成鉴权数据并向拜访地引导服务功能发送,以使拜访地引导服务功能根据鉴权数据进行鉴权,生成密钥相关数据。
第二接收单元,用于接收拜访地引导服务功能鉴权成功后返回的成功响应消息,成功响应消息携带有密钥相关数据中的引导事务标识符、及拜访地引导服务功能的实际地址。
其中,域名获取单元901包括:
第一域名获取单元,用于在用户设备中预置统一的引导服务功能逻辑地址;
或,第二域名获取单元,用于在接入网络时获取统一的引导服务功能逻辑地址。
本发明提供的引导服务功能实施例一结构如图10所示,包括:
第三接收单元1001,用于接收拜访地域名服务器转发的初始化消息,初始化消息由用户设备发送,携带有统一的引导服务功能逻辑域名的初始化消息;
触发单元1002,用于在所述第三接收单元1001收到所述初始化消息时,触发通用引导架构过程。
进一步,所述引导服务功能装置还可以包括:
检索单元,用于在第三接收单元收到请求消息后,向用户设备的归属地鉴权中心检索鉴权向量;
生成单元,用于根据检索单元检索到的鉴权向量生成响应消息中向用户设备发送;
第四接收单元,用于接收用户设备返回的携带鉴权数据的消息;
鉴权单元,用于根据第四接收单元接收到的鉴权数据进行鉴权,生成密钥相关数据。
成功响应单元,用于在鉴权单元鉴权成功后,向用户设备返回成功响应消息,成功响应消息携带有密钥相关数据中的引导事务标识符、及拜访地引导服务功能的实际地址。
其中,检索单元包括:
第一检索单元,用于在第三接收单元收到请求消息后,接入信令网中的信令转接点,通过信令转接点将移动应用部分信令路由给归属地鉴权中心,检索鉴权向量;
或,第二检索单元,用于在第三接收单元收到请求消息后,通过信令传送协议连接归属地鉴权中心,检索鉴权向量。
本发明提供的实施通用引导架构的系统实施例、用户设备实施例一、引导服务功能实施例一的详细操作方法可参考上文对本发明实施例提供的实施通用引导架构的方法的描述,在此不再重复。
本发明实施例提供的鉴权系统结构如图11所示,包括:拜访地网络应用服务器1101、引导服务功能1102;
拜访地网络应用服务器1101,用于向用户设备发送要求鉴权的消息;接收用户设备返回的应用请求,应用请求携带引导服务功能1102为用户设备分配的引导事务标识符、及引导服务功能1102的实际地址;根据引导服务功能1102的实际域名发送携带引导事务标识符的鉴权请求,向引导服务功能获取共享密钥;使用共享密钥对用户设备进行验证;
引导服务功能1102,用于接收鉴权请求;根据引导事务标识符查找密钥相关数据;使用查找到的密钥相关数据生成共享密钥;向拜访地网络应用服务器1101返回共享密钥。
网络应用服务器1102、引导服务功能1103的内部详细结构可参考对本发明提供的网络应用服务器实施例、引导服务功能实施例二的描述。
本发明提供的用户设备实施例二结构如图12所示,包括:
第五接收单元1201,用于接收拜访地网络应用服务器要求鉴权的消息;
第三发送单元1202,用于在第五接收单元1201收到网络应用服务器要求鉴权的消息时,向拜访地网络应用服务器发送应用请求,应用请求携带引导服务功能为用户设备分配的引导事务标识符、及引导服务功能的实际域名;以使拜访地网络应用服务器根据引导事务标识符、及引导服务功能的域名向引导服务功能请求共享密钥,对用户设备进行验证。
进一步,还包括:
第六接收单元,用于接收拜访地网络应用服务器在验证通过后,返回的响应消息。
本发明提供的网络应用服务器实施例结构如图13所示,包括:
第四发送单元1301,用于向需要进行鉴权的用户设备发送要求鉴权的消息;
第七接收单元1302,用于接收用户设备返回的应用请求,应用请求携带引导服务功能为用户设备分配的引导事务标识符、及引导服务功能的实际域名;
查找单元1303,用于根据引导事务标识符、引导服务功能的实际域名向引导服务功能获取共享密钥;
验证单元1304,用于使用共享密钥对用户设备进行验证。
进一步,还包括:
第五发送单元,用于在验证通过后,向用户设备发送响应消息。
其中,查找单元包括:
第一查找单元,用于根据引导服务功能的实际域名向引导服务功能发送携带引导事务标识符的鉴权请求;接收引导服务功能返回的共享密钥,共享密钥为引导服务功能根据引导事务标识符查找到的密钥相关数据生成;
或,第二查找单元,用于根据引导服务功能的实际域名通过Zn接口代理服务器向引导服务功能发送携带引导事务标识符的鉴权请求;接收Zn接口代理服务器返回的共享密钥,共享密钥为引导服务功能根据引导事务标识符查找到的密钥相关数据生成,并发送给Zn接口代理服务器。
本发明提供的引导服务功能实施例二结构如图14所示,包括:
第八接收单元1401,用于接收携带为用户设备分配的引导事务标识符的鉴权请求;
第三查找单元1402,用于根据引导事务标识符查找密钥相关数据;使用查找到的密钥相关数据生成共享密钥;
第六发送单元1403,用于返回共享密钥,以使网络应用服务器根据共享密钥对用户设备进行鉴权。
本发明提供的鉴权系统实施例、用户设备实施例二、网络应用服务器实施例、引导服务功能实施例二的详细操作方法可参考上文对本发明实施例提供的鉴权方法的描述,在此不再重复。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,该程序在执行时,包括如下步骤:
一种转发消息的方法,包括:
接收用户设备要求访问引导服务功能的消息,所述要求访问引导服务功能的消息携带有统一的引导服务功能逻辑地址;
解析所述引导服务功能逻辑地址;
根据解析的结果,从两个或两个以上引导服务功能中选择出一个引导服务功能,将所述要求访问引导服务功能的消息转发到所述引导服务功能。
一种实施通用引导架构的方法,所述方法包括:
发送携带统一的引导服务功能逻辑地址的初始化消息,以使拜访地域名服务器可以解析所述统一的引导服务功能逻辑地址;根据解析的结果,从两个或两个以上的引导服务功能中选择出一个拜访地引导服务功能;将所述初始化消息转发到拜访地引导服务功能,触发通用引导架构过程。
一种实施通用引导架构的方法,所述方法包括:
接收拜访地域名服务器转发的初始化消息,触发通用引导架构过程,所述初始化消息由用户设备发送,携带有统一的引导服务功能逻辑地址的初始化消息。
一种鉴权方法,包括:
接收拜访地网络应用服务器要求鉴权的消息;
向所述拜访地网络应用服务器发送应用请求,所述应用请求携带引导服务功能为所述用户设备分配的引导事务标识符、及所述引导服务功能的实际地址;以使所述拜访地网络应用服务器根据所述引导事务标识符、及所述引导服务功能的地址向所述引导服务功能请求共享密钥,对所述用户设备进行验证。
一种鉴权方法,包括:
向需要进行鉴权的用户设备发送要求鉴权的消息;
接收所述用户设备发起的应用请求,所述应用请求携带引导服务功能为所述用户设备分配的引导事务标识符、及所述引导服务功能的实际地址;
根据所述引导事务标识符、所述引导服务功能的实际地址向所述引导服务功能获取共享密钥;
使用所述共享密钥对所述用户设备进行验证。
一种鉴权方法,包括:
接收携带为用户设备分配的引导事务标识符的鉴权请求;
根据所述引导事务标识符查找密钥相关数据;使用查找到的密钥相关数据生成共享密钥;
返回所述共享密钥,以使网络应用服务器根据所述共享密钥对所述用户设备进行鉴权。
上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上对本发明所提供的一种转发消息的方法、实施通用引导架构的方法、鉴权方法、系统及装置进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (32)
1.一种转发消息的方法,其特征在于,所述方法包括:
接收用户设备要求访问引导服务功能的消息,所述要求访问引导服务功能的消息携带有统一的引导服务功能逻辑地址;
解析所述引导服务功能逻辑地址;
根据解析的结果,从两个或两个以上引导服务功能中选择出一个引导服务功能,将所述要求访问引导服务功能的消息转发到所述引导服务功能。
2.如权利要求1所述的转发消息的方法,其特征在于,所述从两个或两个以上的引导服务功能中选择出一个引导服务功能包括:
从两个或两个以上的引导服务功能中选择出离所述用户设备最近的一个引导服务功能。
3.一种实施通用引导架构的方法,其特征在于,所述方法包括:
发送携带统一的引导服务功能逻辑地址的初始化消息,以使拜访地域名服务器可以解析所述统一的引导服务功能逻辑地址;根据解析的结果,从两个或两个以上的引导服务功能中选择出一个拜访地引导服务功能;将所述初始化消息转发到拜访地引导服务功能,触发通用引导架构过程。
4.如权利要求3所述的实施通用引导架构的方法,其特征在于,在所述方法之后还包括:
接收所述拜访地引导服务功能返回的响应消息,根据所述响应消息进行鉴权检查,在所述鉴权检查成功后,生成鉴权数据并向所述拜访地引导服务功能发送,以使所述拜访地引导服务功能根据所述鉴权数据进行鉴权,生成密钥相关数据;
接收所述拜访地引导服务功能鉴权成功后返回的成功响应消息,所述成功响应消息携带有所述密钥相关数据中的引导事务标识符、及所述拜访地引导服务功能的实际地址。
5.如权利要求3或4所述的实施通用引导架构的方法,其特征在于,在所述方法之前还包括:
在用户设备中预置所述统一的引导服务功能逻辑地址;
或,在接入网络时获取所述统一的引导服务功能逻辑地址。
6.一种实施通用引导架构的方法,其特征在于,所述方法包括:
接收拜访地域名服务器转发的初始化消息,触发通用引导架构过程,所述初始化消息由用户设备发送,携带有统一的引导服务功能逻辑地址的初始化消息。
7.如权利要求3所述的实施通用引导架构的方法,其特征在于,在所述方法之后还包括:
向所述用户设备的归属地鉴权中心检索鉴权向量;
根据所述鉴权向量生成响应消息向所述用户设备发送;
接收所述用户设备返回的携带鉴权数据的消息;
根据所述鉴权数据进行鉴权,生成密钥相关数据;
在所述鉴权成功后,向所述用户设备返回成功响应消息,所述成功响应消息携带有所述密钥相关数据中的引导事务标识符、及所述拜访地引导服务功能的实际地址。
8.如权利要求7所述的通用引导架构的方法,其特征在于,向所述用户设备的归属地鉴权中心检索鉴权向量包括:
接入信令网中的信令转接点,通过所述信令转接点将移动应用部分移动应用部分信令路由给所述归属地鉴权中心,检索鉴权向量;
或,通过信令传送协议连接所述归属地鉴权中心,检索鉴权向量。
9.一种鉴权方法,其特征在于,包括:
接收拜访地网络应用服务器要求鉴权的消息;
向所述拜访地网络应用服务器发送应用请求,所述应用请求携带引导服务功能为所述用户设备分配的引导事务标识符、及所述引导服务功能的实际地址;以使所述拜访地网络应用服务器根据所述引导事务标识符、及所述引导服务功能的地址向所述引导服务功能请求共享密钥,对所述用户设备进行验证。
10.如权利要求9所述的鉴权方法,其特征在于,还包括:
接收所述拜访地网络应用服务器在所述验证通过后,返回的响应消息。
11.一种鉴权方法,其特征在于,包括:
向需要进行鉴权的用户设备发送要求鉴权的消息;
接收所述用户设备发起的应用请求,所述应用请求携带引导服务功能为所述用户设备分配的引导事务标识符、及所述引导服务功能的实际地址;
根据所述引导事务标识符、所述引导服务功能的实际地址向所述引导服务功能获取共享密钥;
使用所述共享密钥对所述用户设备进行验证。
12.如权利要求11所述的鉴权方法,其特征在于,还包括:
在所述验证通过后,向所述用户设备发送响应消息。
13.如权利要求11或12所述的鉴权方法,其特征在于,所根据所述引导事务标识符、所述引导服务功能的实际地址向所述引导服务功能获取共享密钥包括:
根据所述引导服务功能的实际地址向所述引导服务功能发送携带所述引导事务标识符的鉴权请求;接收所述引导服务功能返回的共享密钥,所述共享密钥为所述引导服务功能根据所述引导事务标识符查找到的密钥相关数据生成;
或,根据所述引导服务功能的实际地址通过接口代理服务器向所述引导服务功能发送携带所述引导事务标识符的鉴权请求;接收所述接口代理服务器返回的所述共享密钥,所述共享密钥为所述引导服务功能根据所述引导事务标识符查找到的密钥相关数据生成,并发送给所述接口代理服务器。
14.一种鉴权方法,其特征在于,包括:
接收携带为用户设备分配的引导事务标识符的鉴权请求;
根据所述引导事务标识符查找密钥相关数据;使用查找到的密钥相关数据生成共享密钥;
返回所述共享密钥,以使网络应用服务器根据所述共享密钥对所述用户设备进行鉴权。
15.如权利要求14所述的鉴权方法,其特征在于,所述接收携带为用户设备分配的引导事务标识符的鉴权请求包括:
接收网络应用服务器发送的携带为用户设备分配的引导事务标识符的鉴权请求;
发送所述共享密钥包括:
向所述网络应用服务器发送所述共享密钥。
16.如权利要求14或15所述的鉴权方法,其特征在于,所述接收携带为用户设备分配的引导事务标识符的鉴权请求包括:
接收接口代理服务器转发的携带为用户设备分配的引导事务标识符的鉴权请求;
发送所述共享密钥包括:
通过所述接口代理服务器向所述网络应用服务器发送所述共享密钥。
17.一种通信系统,其特征在于,包括:两个或两个以上引导服务功能、至少一个域名服务器;
其中,每个引导服务功能分属不同区域,使用统一的引导服务功能逻辑地址;
域名服务器,用于接收用户设备要求访问引导服务功能的消息,所述要求访问引导服务功能的消息携带有所述统一的引导服务功能逻辑地址;解析所述引导服务功能逻辑地址;从不同区域的引导服务功能中选择出离所述用户设备最近的一个引导服务功能,将所述要求访问引导服务功能的消息转发到所述最近的一个引导服务功能。
18.一种域名服务器,其特征在于,包括:
第一接收单元,用于接收所属区域接入的用户设备发送的访问引导服务功能的消息,所述访问引导服务功能消息中携带有统一的引导服务功能逻辑地址;
域名解析单元,用于解析所述第一接收单元接收到的引导服务功能逻辑地址;
接入单元,用于根据所述域名解析单元的解析结果,从不同区域的引导服务功能中选择出一个引导服务功能,将所述要求访问引导服务功能的消息转发到所述引导服务功能。
19.一种实施通用引导架构的系统,其特征在于,包括:
拜访地域名服务器,用于接收所属区域接入的用户设备发送的访问引导服务功能的消息,所述访问引导服务功能消息中携带有统一的引导服务功能逻辑地址;解析所述统一的引导服务功能逻辑地址;根据解析的结果,从两个或两个以上的引导服务功能中选择出一个拜访地引导服务功能;将所述用户设备发送的初始化消息转发到所述拜访地引导服务功能;
拜访地引导服务功能,用于接收所述拜访地域名服务器转发的初始化消息,触发通用引导架构过程。
20.一种用户设备,其特征在于,包括:
域名获取单元,用于获取统一的引导服务功能逻辑地址;
第一发送单元,用于发送携带所述统一的引导服务功能逻辑地址的初始化消息,以使拜访地域名服务器可以解析所述统一的引导服务功能逻辑地址;根据解析的结果,从两个或两个以上的引导服务功能中选择出一个拜访地引导服务功能;将所述初始化消息转发到拜访地引导服务功能,触发通用引导架构过程。
21.如权利要求20所述的用户设备,其特征在于,所述用户设备还包括:
鉴权检查单元,用于接收所述拜访地引导服务功能返回的响应消息,根据所述响应消息进行鉴权检查;
第二发送单元,用于在所述鉴权检查单元进行鉴权检查成功后,生成鉴权数据并向所述拜访地引导服务功能发送,以使所述拜访地引导服务功能根据所述鉴权数据进行鉴权,生成密钥相关数据;
第二接收单元,用于接收所述拜访地引导服务功能鉴权成功后返回的成功响应消息,所述成功响应消息携带有所述密钥相关数据中的引导事务标识符、及所述拜访地引导服务功能的实际地址。
22.如权利要求20或21所述的用户设备,其特征在于,所述域名获取单元包括:
第一域名获取单元,用于在所述用户设备中预置所述统一的引导服务功能逻辑地址;
或,第二域名获取单元,用于在接入网络时获取所述统一的引导服务功能逻辑地址。
23.一种引导服务功能装置,其特征在于,包括:
第三接收单元,用于接收拜访地域名服务器转发的初始化消息,所述初始化消息由用户设备发送,携带有统一的引导服务功能逻辑地址的初始化消息;
触发单元,用于在所述第三接收单元收到所述初始化消息时,触发通用引导架构过程。
24.如权利要求23所述的引导服务功能装置,其特征在于,所述引导服务功能装置还包括:
检索单元,用于在所述第三接收单元收到所述初始化消息后,向所述用户设备的归属地鉴权中心检索鉴权向量;
生成单元,用于根据所述检索单元检索到的鉴权向量生成响应消息中向所述用户设备发送;
第四接收单元,用于接收所述用户设备返回的携带鉴权数据的消息;
鉴权单元,用于根据所述第四接收单元接收到的鉴权数据进行鉴权,生成密钥相关数据;
成功响应单元,用于在所述鉴权单元鉴权成功后,向所述用户设备返回成功响应消息,所述成功响应消息携带有所述密钥相关数据中的引导事务标识符、及所述拜访地引导服务功能的实际地址。
25.如权利要求24所述的引导服务功能,其特征在于,所述检索单元包括:
第一检索单元,用于在所述第三接收单元收到所述初始化消息后,接入信令网中的信令转接点,通过所述信令转接点将移动应用部分信令路由给所述归属地鉴权中心,检索鉴权向量;
或,第二检索单元,用于在所述第三接收单元收到所述初始化消息后,通过信令传送协议连接所述归属地鉴权中心,检索鉴权向量。
26.一种鉴权系统,其特征在于,包括:
拜访地网络应用服务器,用于向用户设备发送要求鉴权的消息;接收用户设备发起的应用请求,所述应用请求携带引导服务功能为所述用户设备分配的引导事务标识符、及所述引导服务功能的实际地址;根据所述引导服务功能的实际地址发送携带所述引导事务标识符的鉴权请求,向引导服务功能获取共享密钥;使用所述共享密钥对所述用户设备进行验证;
引导服务功能,用于接收所述鉴权请求;根据所述引导事务标识符查找密钥相关数据;使用查找到的密钥相关数据生成共享密钥;向所述拜访地网络应用服务器返回所述共享密钥。
27.一种用户设备,其特征在于,包括:
第五接收单元,用于接收拜访地网络应用服务器要求鉴权的消息;
第三发送单元,用于在所述第五接收单元收到网络应用服务器要求鉴权的消息时,向所述拜访地网络应用服务器发送应用请求,所述应用请求携带引导服务功能为所述用户设备分配的引导事务标识符、及所述引导服务功能的实际地址;以使所述拜访地网络应用服务器根据所述引导事务标识符、及所述引导服务功能的地址向所述引导服务功能请求共享密钥,对所述用户设备进行验证。
28.如权利要求27所述的用户设备,其特征在于,还包括:
第六接收单元,用于接收所述拜访地网络应用服务器在所述验证通过后,返回的响应消息。
29.一种网络应用服务器,其特征在于,包括:
第四发送单元,用于向需要进行鉴权的用户设备发送要求鉴权的消息;
第七接收单元,用于接收所述用户设备返回的应用请求,所述应用请求携带引导服务功能为所述用户设备分配的引导事务标识符、及所述引导服务功能的实际地址;
查找单元,用于根据所述引导事务标识符、所述引导服务功能的实际地址向所述引导服务功能获取共享密钥;
验证单元,用于使用所述共享密钥对所述用户设备进行验证。
30.如权利要求29所述的网络应用服务器,其特征在于,还包括:
第五发送单元,用于在所述验证通过后,向所述用户设备发送响应消息。
31.如权利要求29或30所述的网络应用服务器,其特征在于,所述查找单元包括:
第一查找单元,用于根据所述引导服务功能的实际地址向所述引导服务功能发送携带所述引导事务标识符的鉴权请求;接收所述引导服务功能返回的共享密钥,所述共享密钥为所述引导服务功能根据所述引导事务标识符查找到的密钥相关数据生成;
或,第二查找单元,用于根据所述引导服务功能的实际地址通过接口代理服务器向所述引导服务功能发送携带所述引导事务标识符的鉴权请求;接收所述接口代理服务器返回的所述共享密钥,所述共享密钥为所述引导服务功能根据所述引导事务标识符查找到的密钥相关数据生成,并发送给所述接口代理服务器。
32.一种引导服务功能装置,其特征在于,包括:
第八接收单元,用于接收携带为用户设备分配的引导事务标识符的鉴权请求;
第三查找单元,用于根据所述引导事务标识符查找密钥相关数据;使用查找到的密钥相关数据生成共享密钥;
第六发送单元,用于返回所述共享密钥,以使网络应用服务器根据所述共享密钥对所述用户设备进行鉴权。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200810173031A CN101729998A (zh) | 2008-10-29 | 2008-10-29 | 转发消息、通用引导架构、鉴权方法、系统及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200810173031A CN101729998A (zh) | 2008-10-29 | 2008-10-29 | 转发消息、通用引导架构、鉴权方法、系统及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN101729998A true CN101729998A (zh) | 2010-06-09 |
Family
ID=42450038
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN200810173031A Pending CN101729998A (zh) | 2008-10-29 | 2008-10-29 | 转发消息、通用引导架构、鉴权方法、系统及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101729998A (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104709274A (zh) * | 2013-12-16 | 2015-06-17 | 比亚迪股份有限公司 | 混合动力汽车及其发动机启动系统和启动控制方法 |
CN104838616A (zh) * | 2012-12-12 | 2015-08-12 | 诺基亚技术有限公司 | 云中心应用信任验证 |
CN109151095A (zh) * | 2018-11-01 | 2019-01-04 | 联想(北京)有限公司 | 用于网络通信的方法和装置 |
CN113518349A (zh) * | 2020-10-23 | 2021-10-19 | 中国移动通信有限公司研究院 | 业务管理方法、装置、系统及存储介质 |
CN113596830A (zh) * | 2021-07-27 | 2021-11-02 | 中国联合网络通信集团有限公司 | 通信方法、装置、电子设备、存储介质及程序产品 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101026453A (zh) * | 2006-02-23 | 2007-08-29 | 华为技术有限公司 | 通用鉴权系统及访问该系统中网络业务应用的方法 |
-
2008
- 2008-10-29 CN CN200810173031A patent/CN101729998A/zh active Pending
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101026453A (zh) * | 2006-02-23 | 2007-08-29 | 华为技术有限公司 | 通用鉴权系统及访问该系统中网络业务应用的方法 |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104838616A (zh) * | 2012-12-12 | 2015-08-12 | 诺基亚技术有限公司 | 云中心应用信任验证 |
CN104838616B (zh) * | 2012-12-12 | 2018-12-14 | 诺基亚技术有限公司 | 云中心应用信任验证 |
CN104709274A (zh) * | 2013-12-16 | 2015-06-17 | 比亚迪股份有限公司 | 混合动力汽车及其发动机启动系统和启动控制方法 |
CN104709274B (zh) * | 2013-12-16 | 2018-08-14 | 比亚迪股份有限公司 | 混合动力汽车及其发动机启动系统和启动控制方法 |
CN109151095A (zh) * | 2018-11-01 | 2019-01-04 | 联想(北京)有限公司 | 用于网络通信的方法和装置 |
CN113518349A (zh) * | 2020-10-23 | 2021-10-19 | 中国移动通信有限公司研究院 | 业务管理方法、装置、系统及存储介质 |
CN113596830A (zh) * | 2021-07-27 | 2021-11-02 | 中国联合网络通信集团有限公司 | 通信方法、装置、电子设备、存储介质及程序产品 |
CN113596830B (zh) * | 2021-07-27 | 2023-03-24 | 中国联合网络通信集团有限公司 | 通信方法、装置、电子设备、存储介质及程序产品 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8559633B2 (en) | Method and device for generating local interface key | |
EP3338472B1 (en) | Method and apparatus for direct communication key establishment | |
KR101881844B1 (ko) | 액세스 네트워크 지원형 부트스트랩핑 | |
US8275355B2 (en) | Method for roaming user to establish security association with visited network application server | |
EP2098038B1 (en) | Method and arrangement for integration of different authentication infrastructures | |
US9986431B2 (en) | Method and apparatus for direct communication key establishment | |
US10372775B2 (en) | Anonymous identity in identity oriented networks and protocols | |
KR101123346B1 (ko) | 통신 네트워크들 내에서의 인증 | |
US10511435B2 (en) | Methods and apparatus for direct communication key establishment | |
CN101471964B (zh) | 一种网络地址的分配方法、网络系统及网络节点 | |
CN112243235B (zh) | 适用于天地一体化的群组接入认证和切换认证方法及应用 | |
CN101014958A (zh) | 管理用户认证和服务授权以获得单次登录来接入多个网络接口的系统和方法 | |
US10582380B2 (en) | Methods and apparatus for direct communication key establishment | |
CN102055816A (zh) | 一种通信方法、业务服务器、中间设备、终端及通信系统 | |
CN101729998A (zh) | 转发消息、通用引导架构、鉴权方法、系统及装置 | |
KR102088848B1 (ko) | 이동 통신에서 ProSe그룹 통신 또는 공공 안전을 지원하기 위한 보안 방안 및 시스템 | |
CN116546491A (zh) | 在通信网络中用于与服务应用的加密通信的锚密钥生成和管理的方法、设备和系统 | |
CN100479570C (zh) | 连接建立方法、系统、网络应用实体及用户终端 | |
JP2022501879A (ja) | アクセス認証 | |
CN114070597A (zh) | 一种专网跨网认证方法及装置 | |
CN101031133B (zh) | 一种确定移动节点归属的家乡代理的方法及装置 | |
CN116546493A (zh) | 一种基于云辅助的车联网认证密钥协商方法 | |
EP4356633A1 (en) | Methods and entites for end-to-end security in communication sessions | |
CN111465013A (zh) | 一种网关的通信方法和网关 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20100609 |