CN102440018A - 通用鉴权架构下的用户设备鉴权方法和鉴权装置 - Google Patents
通用鉴权架构下的用户设备鉴权方法和鉴权装置 Download PDFInfo
- Publication number
- CN102440018A CN102440018A CN2011800011072A CN201180001107A CN102440018A CN 102440018 A CN102440018 A CN 102440018A CN 2011800011072 A CN2011800011072 A CN 2011800011072A CN 201180001107 A CN201180001107 A CN 201180001107A CN 102440018 A CN102440018 A CN 102440018A
- Authority
- CN
- China
- Prior art keywords
- authentication
- request
- parameter
- abstract
- subscriber equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明实施例提供一种通用鉴权架构下的用户设备鉴权方法和鉴权装置。该方法包括:接收用户设备发送的应用请求或鉴权请求;根据应用请求或鉴权请求,向归属用户服务器HSS请求摘要鉴权的鉴权参数;接收HSS发送的摘要鉴权的鉴权参数,根据鉴权参数对用户设备进行摘要鉴权。本发明实施例在确定对用户设备采用摘要鉴权时,从HSS请求相应的鉴权参数,并使用请求得到的鉴权参数对用户设备进行摘要鉴权,从而使得GAA架构能够支持摘要鉴权方法,实现用户设备的有效鉴权。
Description
技术领域
本发明实施例涉及通信技术领域,并且更具体地,涉及通用鉴权架构(GAA,General Authentication Architecture)下的用户设备鉴权方法和鉴权装置。
背景技术
目前业界的通信技术普遍为2G/3G移动通信技术,正向LTE(Long TermEvolution,长期演进)/SAE(System Architecture Evolution,系统架构演进)移动通信技术发展。随着通信技术的不断发展,用户能享受到的业务也日渐丰富,因此也逐步出现了用户设备(UE,User Equipment)管理自身业务的需求。用户设备能享受到的业务是由网络侧的应用服务器AS(ApplicationServer)或NAF(Network Application Functionality)提供的,所以3GPP(3rdGeneration Partnership Project,第三代伙伴关系项目)定义了用户设备与应用服务器之间的Ut接口以满足此需求。
用户设备在使用Ut接口管理自身业务数据时,应用服务器需要检查用户设备的合法性,并且采用加密等方法保证传输的安全。GSMA(GSMAssociation,GSM联盟)推荐采用3GPP定义的通用鉴权架构GAA实现这些要求。
然而,GAA架构只支持HTTP(Hypertext Transfer Protocol,超文本传输协议)AKA(Authentication and Key Agreement,认证和密钥协商)鉴权方法,这对用户设备类型形成了限制。因为HTTP AKA鉴权方法的基础是USIM(UMTS Subscriber Identity Module,UMTS用户标识模块)/ISIM(IPMultimedia Services Identity Module,IMS用户标识模块)卡。而某些用户设备可能不支持AKA鉴权方法,这些用户设备在目前的GAA架构下无法进行有效鉴权。
发明内容
本发明实施例提供一种通用鉴权架构下的用户设备鉴权方法和鉴权装置,能够实现用户设备的有效鉴权。
一方面,提供了一种通用鉴权架构下的用户设备鉴权方法,包括:接收用户设备发送的应用请求或鉴权请求;根据应用请求或鉴权请求,向归属用户服务器HSS请求摘要鉴权的鉴权参数;接收HSS发送的摘要鉴权的鉴权参数,根据鉴权参数对用户设备进行摘要鉴权。
另一方面,提供了一种通用鉴权架构下的用户设备鉴权方法,包括:接收鉴权装置对摘要鉴权的鉴权参数的请求;根据所接收的请求确定对用户设备采用摘要鉴权,并向鉴权装置发送摘要鉴权的鉴权参数,以便鉴权装置根据鉴权参数对用户设备进行摘要鉴权。
另一方面,提供了一种通用鉴权架构下的鉴权装置,包括:接收单元,用于接收用户设备发送的应用请求或鉴权请求;请求单元,用于根据接收单元接收的应用请求或鉴权请求,向归属用户服务器HSS请求摘要鉴权的鉴权参数;鉴权单元,用于接收HSS发送的摘要鉴权的鉴权参数,根据鉴权参数对用户设备进行摘要鉴权。
另一方面,提供了一种归属用户服务器,包括:接收单元,用于接收鉴权装置对摘要鉴权的鉴权参数的请求;发送单元,用于根据接收单元接收的请求确定对用户设备采用摘要鉴权,并向鉴权装置发送摘要鉴权的鉴权参数,以便鉴权装置根据鉴权参数对用户设备进行摘要鉴权。
本发明实施例在确定对用户设备采用摘要鉴权时,从HSS请求相应的鉴权参数,并使用请求得到的鉴权参数对用户设备进行摘要鉴权,从而使得GAA架构能够支持摘要鉴权方法,实现用户设备的有效鉴权。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是3GPP规定的GAA架构的示意框图。
图2是根据本发明一个实施例的GAA架构下的用户设备鉴权方法。
图3是根据本发明另一实施例的通用鉴权架构下的用户设备鉴权方法。
图4是本发明一个实施例的鉴权过程的示意流程图。
图5是本发明另一实施例的鉴权过程的示意流程图。
图6是本发明另一实施例的鉴权过程的示意流程图。
图7是根据本发明一个实施例的鉴权装置的框图。
图8是根据本发明一个实施例的归属用户服务器的框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1是3GPP规定的GAA架构的示意框图。本发明实施例可应用于图1所示的GAA架构。
如图1所示,BSF(Bootstrapping Server Functionality,引导服务器功能实体)与UE之间通过Ub接口相连,BSF与HSS(Home Subscriber Server,归属用户服务器)之间通过Zh接口相连。BSF、UE与HSS配合完成网络侧对UE的GBA(General Bootstrapping Authentication,通用引导鉴权)鉴权过程。
GBA鉴权是采用AKA方法的鉴权过程。在GBA鉴权过程中,UE向BSF发起鉴权请求,然后BSF向HSS取鉴权向量,同时下载用户权限信息。BSF处理HSS返回的信息,并根据鉴权向量,向UE返回401消息,携带AKA相关鉴权参数。UE根据鉴权参数与USIM/ISIM卡中存放的Key(密钥)完成对网络的鉴权,然后计算出鉴权结果。
然后UE向BSF再次发起鉴权请求,将鉴权结果带给BSF。BSF比较UE返回鉴权结果与自身计算的鉴权结果,符合则完成鉴权。之后BSF生成Bootstrapping Key(引导密钥)。
然后BSF向UE返回200OK消息,表示对用户设备的鉴权成功。消息中携带B-TID(Bootstrapping Transaction Identifier,引导会话标识)作为后续Zn接口操作的索引。UE根据200OK消息生成Bootstrapping Key(引导密钥)。
NAF是UE的应用服务器AS(Application Server)。在一个网络中,NAF可能不止一个。AP(Authentication Proxy,鉴权代理)作为某些NAF的代理。下文中,在没有必要将AP、AS区分开描述时,用NAF统一指代AP和AS。
在现有的GAA鉴权架构中,UE尝试向AS发起业务请求,AP作为AS的HTTP代理,接收到此请求。然后,AP向UE返回401消息,要求UE进行GBA鉴权。UE可按照上面所述的过程进行GBA鉴权,生成相应的Bootstrapping Key与B-TID等参数,然后UE再次向AS发起业务请求。
AP根据Bootstrapping Key与B-TID等处理鉴权与授权。其中NAF(AP)向BSF发起请求GBA鉴权结果及用户权限信息的请求,此请求以UE传送至NAF(AP)的B-TID为索引。BSF检查合法性,并返回请求的信息,主要包括Key值与相关的用户权限信息。
AP对UE鉴权通过后,检查用户权限,并向AS转发业务请求。然后AP处理AS的返回结果,并将AS的返回结果发给UE,以便由UE处理AS的返回结果,完成GAA架构的鉴权过程。
由上述过程可以看到,上述GAA架构及相关流程的基础是GBA鉴权过程。而GBA鉴权过程定义为HTTPAKA鉴权方法,这要求用户设备一定要有USIM卡或ISIM卡,对用户设备的类型形成了限制。
本发明实施例在现有GAA架构的基础上,扩展Digest(摘要)鉴权功能,实现对不支持AKA鉴权方法的用户设备的鉴权。图2是根据本发明一个实施例的GAA架构下的用户设备鉴权方法。图2的方法由GAA架构下的鉴权装置执行,例如BSF或AP。
201,接收用户设备发送的应用请求或鉴权请求。
在鉴权装置为BSF的情况下,BSF在GBA鉴权过程中从用户设备接收鉴权请求。在鉴权装置为AP的情况下,AP接收UE尝试访问NAF时发送的应用请求(Application Request)。
202,根据应用请求或鉴权请求,向HSS请求摘要鉴权的鉴权参数。
例如,在一个实施例中,当鉴权装置从用户设备的应用请求或鉴权请求中发现用户设备不支持AKA鉴权时,可以确定对用户设备采用Digest鉴权。在鉴权装置不能明确用户设备是否支持AKA鉴权时,可以指示HSS根据其他因素(例如,用户设备的签约数据)确定采用哪种鉴权方式。或者,如果用户设备同时支持AKA鉴权和Digest鉴权,鉴权装置也可以根据需要,确定对用户设备采用哪种鉴权方式。
鉴权装置向HSS请求鉴权参数,包括鉴权装置直接向HSS请求鉴权参数(如果鉴权装置与HSS之间有接口),或者通过其他一个或多个网元间接地向HSS请求鉴权参数,本发明对请求鉴权参数的方式不作限制。例如,在鉴权装置为AP时,可扩展AP和HSS之间的接口,使得AP能够直接向HSS请求鉴权参数,该扩展的接口可模拟Zh接口实现;或者,AP通过BSF向HSS请求鉴权参数,例如AP可先通过Zn接口向BSF发出请求,使得BSF通过Zh接口向HSS请求鉴权参数。
另外,鉴权装置向HSS发送的Digest鉴权参数的请求可以是显式的请求,在请求消息中明确指示采用Digest鉴权方法;也可以是隐式的请求,不指示具体鉴权方法,例如将请求消息中的鉴权方法参数设置为未知“Unknown”,由HSS根据用户设备的签约数据选择Digest鉴权方法。本发明实施例对请求消息的具体形式不作限制。
本发明实施例对请求摘要鉴权的鉴权参数的请求消息的形式不作限制。例如,该请求消息可以是Diameter(直径)协议下的MAR(Multimedia-Auth-Request,多媒体鉴权请求)消息或SOAP(Simple ObjectAccess Protocol,简单对象访问协议)协议下的requestBootstrappingInfo(请求引导信息)消息。在下面的实施例中,以MAR消息作为请求消息的例子,但本发明实施例同样可以采用其他合适的消息。
在鉴权装置为BSF的情况下,BSF根据鉴权请求向HSS发送请求摘要鉴权的鉴权参数的请求消息,其中在从鉴权请求中判断出用户设备不支持认证和密钥协商AKA鉴权时,在请求消息中将鉴权方法参数设置为指示摘要鉴权;或者,
在不能从鉴权请求中判断出用户设备是否支持AKA鉴权时,在请求消息中将鉴权方法参数设置为未知,以便HSS根据用户签约数据确定采用摘要鉴权。
在鉴权装置为AP的情况下,AP根据应用请求确定对用户设备采用摘要鉴权,并向HSS发送请求摘要鉴权的鉴权参数的请求消息或者通过引导服务器功能实体BSF向HSS发送请求摘要鉴权的鉴权参数的请求消息,在请求消息中将鉴权方法参数设置为指示摘要鉴权。
203,从HSS接收摘要鉴权的鉴权参数,根据鉴权参数对用户设备进行摘要鉴权。
鉴权装置可直接从HSS接收摘要鉴权的鉴权参数,也可以通过其他一个或多个网元间接地从HSS接收摘要鉴权的鉴权参数,本发明实施例对此不作限制。例如,在202中AP通过BSF向HSS请求鉴权参数时,BSF可将HSS发送的鉴权参数转发给AP。如果鉴权装置和HSS之间有接口,HSS可通过该接口直接将鉴权参数发送给鉴权装置。
可选地,在一个实施例中,鉴权装置在利用鉴权参数进行摘要鉴权时,将鉴权参数转发给用户设备,接收用户设备根据该鉴权参数得到的第一响应。另一方面,鉴权装置自身还根据该鉴权参数得到第二响应。然后鉴权装置比较第一响应与第二响应,完成对用户设备的摘要鉴权。例如,当两个响应一致时,认为用户设备的摘要鉴权成功。
本发明实施例在确定对用户设备采用摘要鉴权时,从HSS请求相应的鉴权参数,并使用请求得到的鉴权参数对用户设备进行摘要鉴权,从而使得GAA架构能够支持摘要鉴权方法,实现用户设备的有效鉴权。
图3是根据本发明另一实施例的通用鉴权架构下的用户设备鉴权方法。图3的方法由HSS执行,并且与图2的方法相对应,因此适当省略部分详细描述。
301,接收鉴权装置对摘要鉴权的鉴权参数的请求。
类似于图2的202中所述,HSS可直接从鉴权装置接收对摘要鉴权的鉴权参数的请求(如果鉴权装置与HSS之间有接口),或者接收鉴权装置通过其他一个或多个网元间接地发送的请求,本发明实施例对此不作限制。
302,根据所接收的请求确定对用户设备采用摘要鉴权,并向鉴权装置发送摘要鉴权的鉴权参数,以便鉴权装置根据鉴权参数对用户设备进行摘要鉴权。
类似于图2的202中所述,HSS可根据所接收的请求,显式或隐式地确定对用户设备采用Digest鉴权,本发明实施例对此不作限制。
另外,HSS可直接或间接地向鉴权装置发送摘要鉴权的鉴权参数,本发明实施例对此不作限制。
本发明实施例在确定对用户设备采用摘要鉴权时,HSS向鉴权装置发送相应的鉴权参数,以便鉴权装置使用该鉴权参数对用户设备进行摘要鉴权,从而使得GAA架构能够支持摘要鉴权方法,实现用户设备的有效鉴权。
下面结合具体例子,更加详细地描述本发明的实施例。图4是本发明一个实施例的鉴权过程的示意流程图。在图4的实施例中,对用户设备进行摘要鉴权的鉴权装置为BSF,通过扩展Zh接口和GBA流程,使得GAA架构支持Digest鉴权。
411、UE向NAF发送应用请求,尝试访问NAF。该应用请求中携带GBA支持能力。
412、NAF返回HTTP 401消息,要求UE进行GBA鉴权。
413、UE向BSF发起鉴权请求。鉴权请求可以是一个HTTP消息。
414、BSF根据UE的鉴权请求,向HSS发送MAR消息以请求鉴权数据。MAR消息中同时可携带Digest算法需要的其他参数。
在一个实施例中,如果BSF从UE发过来的HTTP消息中,明确知道了UE仅支持Digest鉴权,不支持AKA鉴权时,可以在该MAR消息中明确指示采用Digest鉴权方法,例如将MAR消息中的鉴权方法参数设置为指示Digest鉴权。
在另一实施例中,如果BSF不能从UE的鉴权请求中明确判断用户是否支持AKA鉴权,BSF可以将MAR消息中的鉴权方法参数值设置为“Unknown”(未知),让HSS根据用户的签约数据选择鉴权方法。在HSS中,对每个用户设备的鉴权方式有签约,即采用哪种鉴权方式。如果HSS不能从BSF的MAR消息中明确得到鉴权方式,就会以签约的鉴权方式为准,从而根据此鉴权方式返回必要的参数。
415、HSS根据MAR消息或用户签约数据,决定采用Digest鉴权,于是计算出相关鉴权参数并在MAA(Multimedia-Auth-Answer,多媒体鉴权应答)消息中返回。
416、BSF在HTTP 401消息中将在415中接收到的相关鉴权参数发送给UE。
417、UE根据416中接收到的鉴权参数,计算出第一响应Response并返回给BSF。Response是Digest算法中用于比对的最终计算结果。
418、BSF计算出第二响应Response并与UE发回的第一响应Response比较、如果两者相同,则鉴权成功,并向UE通知UE鉴权成功。
419、UE再次向NAF发起应用请求,携带B-TID。
420、NAF通过Zn接口向BSF发送鉴权请求(Authentication Request),请求GBA鉴权结果及用户权限信息。
421、BSF通过鉴权应答(Authentication Answer)将用户权限信息返回给NAF。
422、NAF通过应用应答(Application Answer)将返回操作结果给UE。
本实施例通过扩展Zh接口和GBA流程,使得GAA架构支持Digest鉴权,即使用户设备不支持AKA鉴权,也可以对用户设备进行有效鉴权。
图5是本发明另一实施例的鉴权过程的示意流程图。在图5的实施例中,对用户设备进行摘要鉴权的鉴权装置为AP,通过扩展Zn/Zh接口,使得GAA架构支持Digest鉴权。
501、UE尝试访问NAF,应用请求发给了AP。
502、AP从应用请求中发现用户设备不支持GBA鉴权,向BSF发送鉴权请求,以请求Digest鉴权的鉴权参数。该鉴权请求中明确指示采用Digest鉴权方法,同时应携带Digest算法需要的其他参数。
本发明实施例对502中发送的鉴权请求的承载形式不作限制。例如,如果使用Diameter协议,则承载该鉴权请求的消息可以是BIR(BootStrapping-Info-Request;引导信息请求)消息;如果采用SOAP协议,则承载该鉴权请求的消息可以是requestBootstrappingInfo消息。在图5中以BIR消息为例,但是本发明不限于此,也可以采用其他合适的消息来承载该鉴权请求。
503、BSF向HSS发送MAR请求,向HSS请求鉴权参数。该MAR消息中明确指示采用Digest鉴权方法,同时携带Digest算法需要的其他参数。
504、HSS根据MAR消息,决定采用Digest鉴权,于是计算出相关鉴权参数并在MAA消息中返回给BSF。
505、BSF根据HSS返回的MAA消息,将鉴权参数发送给AP。
本发明实施例对505中发送的鉴权参数的承载形式不作限制。例如,如果使用Diameter协议,则承载该鉴权请求的消息可以是BIA(BootStrapping-Info-Answer;引导信息应答)消息;如果采用SOAP协议,则承载该鉴权请求的消息可以是requestBootstrappingInfoResponse(请求引导信息响应)消息。在图5中以BIA消息为例,但是本发明不限于此,也可以采用其他合适的消息来承载该鉴权参数。
506、AP在401消息中将相关鉴权参数发送给UE。
507、UE根据506中接收的鉴权参数计算出第一响应Response,并在再次发送的应用请求中将第一响应Response返回给AP。
508、AP根据鉴权参数计算出第二响应Response并与UE发回的第一响应Response比较。如果两者相同,则鉴权成功。AP通过鉴权后,检查用户权限,再将应用请求转发至NAF。
509、NAF向AP返回业务操作结果。
510、AP将业务操作结果返回给UE。
本实施例通过扩展Zn/Zh接口,使得GAA架构支持Digest鉴权,即使用户设备不支持AKA鉴权,也可以对用户设备进行有效鉴权。
图6是本发明另一实施例的鉴权过程的示意流程图。在图6的实施例中,对用户设备进行摘要鉴权的鉴权装置为AP,通过扩展AP与HSS之间的接口,使得GAA架构支持Digest鉴权。扩展的接口可模拟Zh接口实现。
601、UE尝试访问NAF,应用请求发给了AP。
602、AP从应用请求中发现用户不支持GBA鉴权,通过AP与HSS之间扩展的接口,向HSS发送MAR消息,以请求Digest鉴权参数。MAR消息中明确指示采用Digest鉴权方法,同时携带Digest算法需要的其他参数。
603、HSS根据MAR消息,决定采用Digest鉴权,于是计算出相关鉴权参数并在MAA消息中返回给AP。
604-608分别类似于图5的506-510,因此不再赘述。
本实施例通过扩展AP与HSS之间的接口,使得GAA架构支持Digest鉴权,即使用户设备不支持AKA鉴权,也可以对用户设备进行有效鉴权。
因此,本发明实施例的鉴权方法在GAA架构下扩展了Digest鉴权方法,对于无卡用户设备或者有卡但不支持AKA鉴权的用户设备,也能进行有效鉴权。
图7是根据本发明一个实施例的鉴权装置的框图。图7的鉴权装置70的非限制性例子是图4所示的BSF、或图5和图6所示的AP,包括接收单元71、请求单元72和鉴权单元73。
接收单元71接收用户设备发送的应用请求或鉴权请求。请求单元,用于根据接收单元71接收的应用请求或鉴权请求,向HSS请求摘要鉴权的鉴权参数。鉴权单元73接收HSS发送的摘要鉴权的鉴权参数,根据鉴权参数对用户设备进行摘要鉴权。
本发明实施例在确定对用户设备采用摘要鉴权时,从HSS请求相应的鉴权参数,并使用请求得到的鉴权参数对用户设备进行摘要鉴权,从而使得GAA架构能够支持摘要鉴权方法,实现用户设备的有效鉴权。
可选地,在一个实施例中,鉴权单元73将鉴权参数转发给用户设备,接收用户设备根据鉴权参数得到的第一响应。鉴权单元73自身也根据鉴权参数得到第二响应,然后比较第一响应与第二响应,完成对用户设备的摘要鉴权。
如果鉴权装置70为BSF,则请求单元72可根据鉴权请求,通过Zh接口向HSS发送请求摘要鉴权的鉴权参数的请求消息(参见图4),其中在从鉴权请求中判断出用户设备不支持AKA鉴权时,请求单元72可以在请求消息中将鉴权方法参数设置为指示摘要鉴权;或者,在不能从鉴权请求中判断出用户设备是否支持AKA鉴权时,请求单元72可以在请求消息中将鉴权方法参数设置为未知,以便HSS根据用户签约数据确定采用摘要鉴权。
如果鉴权装置70为AP,则请求单元72可根据应用请求向HSS发送请求摘要鉴权的鉴权参数的请求消息(参见图6)或者通过BSF向HSS发送请求摘要鉴权的鉴权参数的请求消息(参见图5)。可以在请求消息中将鉴权方法参数设置为指示摘要鉴权。
因此,本发明实施例的鉴权装置在GAA架构下扩展了Digest鉴权方法,对于无卡用户设备或者有卡但不支持AKA鉴权的用户设备,也能进行有效鉴权。
图8是根据本发明一个实施例的归属用户服务器的框图。图8的归属用户服务器80的非限制性例子是图4-图6所示的HSS,包括接收单元81和发送单元82。
接收单元81接收鉴权装置对摘要鉴权的鉴权参数的请求。发送单元82根据接收单元81接收的请求确定对用户设备采用摘要鉴权,并向鉴权装置发送摘要鉴权的鉴权参数,以便鉴权装置根据鉴权参数对用户设备进行摘要鉴权。
本发明实施例在确定对用户设备采用摘要鉴权时,HSS向鉴权装置发送相应的鉴权参数,以便鉴权装置使用该鉴权参数对用户设备进行摘要鉴权,从而使得GAA架构能够支持摘要鉴权方法,实现用户设备的有效鉴权。
在鉴权装置为BSF的情况下,接收单元81所接收的请求可以是通过Zh接口直接从BSF接收的请求消息,发送单元82可以在请求消息中将鉴权方法参数设置为指示摘要鉴权时,确定对用户设备采用摘要鉴权;或者,发送单元在请求消息中将鉴权方法参数设置为未知时,根据用户签约数据确定采用摘要鉴权。
在鉴权装置为AP的情况下,接收单元接收AP发送的对摘要鉴权的鉴权参数的请求消息,或者,接收AP通过BSF发送的对摘要Digest鉴权的鉴权参数的请求消息,在请求消息中将鉴权方法参数设置为指示摘要鉴权。
在接收单元接收AP通过BSF发送的请求消息的情况下,发送单元82向BSF发送鉴权参数,以便BSF将鉴权参数转发给AP。
因此,本发明实施例在GAA架构下扩展了Digest鉴权方法,对于无卡用户设备或者有卡但不支持AKA鉴权的用户设备,也能进行有效鉴权。
根据本发明实施例的通信系统可包括上述鉴权装置70和/或归属用户服务器80。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
Claims (16)
1.一种通用鉴权架构GAA下的用户设备鉴权方法,其特征在于,包括:
接收用户设备发送的应用请求或鉴权请求;
根据所述应用请求或鉴权请求,向归属用户服务器HSS请求摘要Digest鉴权的鉴权参数;
接收所述HSS发送的摘要鉴权的鉴权参数,根据所述鉴权参数对所述用户设备进行摘要鉴权。
2.如权利要求1所述的方法,其特征在于,所述方法由引导服务器功能实体BSF执行,所述根据所述应用请求或鉴权请求,向HSS请求摘要鉴权的鉴权参数,包括:
根据所述鉴权请求向所述HSS发送请求摘要鉴权的鉴权参数的请求消息,
其中在从所述鉴权请求中判断出所述用户设备不支持认证和密钥协商AKA鉴权时,所述请求消息中将鉴权方法参数设置为指示摘要鉴权;或者,
在不能从所述鉴权请求中判断出所述用户设备是否支持AKA鉴权时,所述请求消息中将鉴权方法参数设置为未知,以便所述HSS根据用户签约数据确定采用摘要鉴权。
3.如权利要求1所述的方法,其特征在于,所述方法由鉴权代理AP执行,所述根据所述应用请求或鉴权请求,向HSS请求摘要鉴权的鉴权参数,包括:
根据所述应用请求确定对所述用户设备采用摘要鉴权,并向所述HSS发送请求摘要鉴权的鉴权参数的请求消息或者通过引导服务器功能实体BSF向所述HSS发送请求摘要鉴权的鉴权参数的请求消息,所述请求消息中将鉴权方法参数设置为指示摘要鉴权。
4.如权利要求1至3任一所述的方法,其特征在于,所述根据所述鉴权参数对所述用户设备进行摘要鉴权,包括:
将所述鉴权参数转发给所述用户设备;
接收所述用户设备根据所述鉴权参数得到的第一响应;
根据所述鉴权参数得到第二响应;
比较所述第一响应与所述第二响应,完成对所述用户设备的摘要鉴权。
5.一种通用鉴权架构GAA下的用户设备鉴权方法,其特征在于,包括:
接收鉴权装置对摘要Digest鉴权的鉴权参数的请求;
根据所接收的请求确定对所述用户设备采用摘要鉴权,并向所述鉴权装置发送摘要鉴权的鉴权参数,以便所述鉴权装置根据所述鉴权参数对所述用户设备进行摘要鉴权。
6.如权利要求5所述的方法,其特征在于,在所述鉴权装置为引导服务器功能实体BSF的情况下,
所述接收鉴权装置对摘要Digest鉴权的鉴权参数的请求,包括:接收所述BSF发送的请求消息,
所述根据所接收的请求确定对所述用户设备采用摘要鉴权,包括:
在所述请求消息中将鉴权方法参数设置为指示摘要鉴权时,确定对所述用户设备采用摘要鉴权;或者,
在所述请求消息中将鉴权方法参数设置为未知时,根据用户签约数据确定采用摘要鉴权。
7.如权利要求5所述的方法,其特征在于,在所述鉴权装置为鉴权代理AP的情况下,所述接收鉴权装置对摘要鉴权的鉴权参数的请求,包括:
接收所述AP发送的请求摘要鉴权的鉴权参数的请求消息,或者,接收所述AP通过引导服务器功能实体BSF发送的请求摘要鉴权的鉴权参数的请求消息,所述请求消息中将鉴权方法参数设置为指示摘要鉴权。
8.如权利要求7所述的方法,其特征在于,在接收所述AP通过BSF发送的请求摘要鉴权的鉴权参数的请求消息的情况下,所述向所述鉴权装置发送摘要鉴权的鉴权参数,包括:
向所述BSF发送所述鉴权参数,以便所述BSF将所述鉴权参数转发给所述AP。
9.一种通用鉴权架构GAA下的鉴权装置,其特征在于,包括:
接收单元,用于接收用户设备发送的应用请求或鉴权请求;
请求单元,用于根据所述接收单元接收的应用请求或鉴权请求,向归属用户服务器HSS请求摘要Digest鉴权的鉴权参数;
鉴权单元,用于接收所述HSS发送的摘要鉴权的鉴权参数,根据所述鉴权参数对所述用户设备进行摘要鉴权。
10.如权利要求9所述的鉴权装置,其特征在于,所述鉴权装置为引导服务器功能实体BSF,所述请求单元用于根据所述鉴权请求向所述HSS发送请求摘要鉴权的鉴权参数的请求消息,
其中在从所述鉴权请求中判断出所述用户设备不支持AKA鉴权时,所述请求单元在所述请求消息中将鉴权方法参数设置为指示摘要鉴权;或者,
在不能从所述鉴权请求中判断出所述用户设备是否支持AKA鉴权时,所述请求单元在所述请求消息中将鉴权方法参数设置为未知,以便所述HSS根据用户签约数据确定采用摘要鉴权。
11.如权利要求9所述的鉴权装置,其特征在于,所述鉴权装置为鉴权代理AP,所述请求单元用于根据所述应用请求确定对所述用户设备采用摘要鉴权,并向所述HSS发送请求摘要鉴权的鉴权参数的请求消息或者通过引导服务器功能实体BSF向所述HSS发送请求摘要鉴权的鉴权参数的请求消息,所述请求消息中将鉴权方法参数设置为指示摘要鉴权。
12.如权利要求9至11任一所述的鉴权装置,其特征在于,所述鉴权单元用于将所述鉴权参数转发给所述用户设备,接收所述用户设备根据所述鉴权参数得到的第一响应,根据所述鉴权参数得到第二响应,比较所述第一响应与所述第二响应,完成对所述用户设备的摘要鉴权。
13.一种归属用户服务器,其特征在于,包括:
接收单元,用于接收鉴权装置对摘要Digest鉴权的鉴权参数的请求;
发送单元,用于根据所述接收单元接收的请求确定对所述用户设备采用摘要鉴权,并向所述鉴权装置发送摘要鉴权的鉴权参数,以便所述鉴权装置根据所述鉴权参数对所述用户设备进行摘要鉴权。
14.如权利要求13所述的归属用户服务器,其特征在于,在所述鉴权装置为引导服务器功能实体BSF的情况下,
所述接收单元用于接收所述BSF发送的请求摘要鉴权的鉴权参数的请求消息,
所述发送单元用于在所述接收单元接收的请求消息中将鉴权方法参数设置为指示摘要鉴权时,确定对所述用户设备采用摘要鉴权;或者,
所述发送单元用于在所述接收单元接收的请求消息中将鉴权方法参数设置为未知时,根据用户签约数据确定采用摘要鉴权。
15.如权利要求13所述的归属用户服务器,其特征在于,在所述鉴权装置为鉴权代理AP的情况下,
所述接收单元用于接收所述AP发送的请求摘要鉴权的鉴权参数的请求消息,或者,接收所述AP通过引导服务器功能实体BSF发送的请求摘要鉴权的鉴权参数的请求消息,所述请求消息中将鉴权方法参数设置为指示摘要鉴权。
16.如权利要求15所述的归属用户服务器,其特征在于,在所述接收单元接收所述AP通过BSF发送的请求摘要鉴权的鉴权参数的请求消息的情况下,所述发送单元向所述BSF发送所述鉴权参数,以便所述BSF将所述鉴权参数转发给所述AP。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/CN2011/076717 WO2012103735A1 (zh) | 2011-06-30 | 2011-06-30 | 通用鉴权架构下的用户设备鉴权方法和鉴权装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102440018A true CN102440018A (zh) | 2012-05-02 |
Family
ID=45986292
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2011800011072A Pending CN102440018A (zh) | 2011-06-30 | 2011-06-30 | 通用鉴权架构下的用户设备鉴权方法和鉴权装置 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN102440018A (zh) |
| WO (1) | WO2012103735A1 (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114125836A (zh) * | 2020-08-10 | 2022-03-01 | 中国移动通信有限公司研究院 | 鉴权方法、装置、设备及存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1693995A1 (en) * | 2004-06-24 | 2006-08-23 | Huawei Technologies Co., Ltd. | A method for implementing access authentication of wlan user |
| CN101645901A (zh) * | 2009-09-03 | 2010-02-10 | 烽火通信科技股份有限公司 | Ims网络根据终端能力决策用户鉴权方式的方法 |
| CN101668016A (zh) * | 2009-09-30 | 2010-03-10 | 华为技术有限公司 | 鉴权方法及装置 |
-
2011
- 2011-06-30 WO PCT/CN2011/076717 patent/WO2012103735A1/zh active Application Filing
- 2011-06-30 CN CN2011800011072A patent/CN102440018A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1693995A1 (en) * | 2004-06-24 | 2006-08-23 | Huawei Technologies Co., Ltd. | A method for implementing access authentication of wlan user |
| CN101645901A (zh) * | 2009-09-03 | 2010-02-10 | 烽火通信科技股份有限公司 | Ims网络根据终端能力决策用户鉴权方式的方法 |
| CN101668016A (zh) * | 2009-09-30 | 2010-03-10 | 华为技术有限公司 | 鉴权方法及装置 |
Non-Patent Citations (1)
| Title |
|---|
| 3GPP: "《3GPP TR 33.914 v1.0.0》", 16 May 2011 * |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2012103735A1 (zh) | 2012-08-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8706085B2 (en) | Method and apparatus for authenticating communication device | |
| KR100995423B1 (ko) | 통신 시스템에서 사용자 인증 및 권한 부여 | |
| CN101163010B (zh) | 对请求消息的鉴权方法和相关设备 | |
| CN102710640B (zh) | 请求授权的方法、装置和系统 | |
| CN104145465B (zh) | 机器类型通信中基于群组的自举的方法和装置 | |
| CN101084694B (zh) | 用于生成认证信息的方法 | |
| CN102638468B (zh) | 保护信息传输安全的方法、发送端、接收端及系统 | |
| JP5468623B2 (ja) | ネットワークにおけるブートストラップ・メッセージを保護するための装置と方法 | |
| EP3248352B1 (en) | Methods and apparatus for direct communication key establishment | |
| CN105049442A (zh) | 一种网络切换方法及终端 | |
| EP3248353B1 (en) | Methods and apparatus for direct communication key establishment | |
| CN104935435A (zh) | 登录方法、终端及应用服务器 | |
| CN103200159A (zh) | 一种网络访问方法和设备 | |
| CN103166998A (zh) | 用户信息关联方法、系统及服务器 | |
| CN103905194A (zh) | 身份溯源认证方法及系统 | |
| CN100479570C (zh) | 连接建立方法、系统、网络应用实体及用户终端 | |
| CN103379490A (zh) | 用户设备的认证方法、装置及系统 | |
| CN104580781A (zh) | 消息处理方法、系统、代理呼叫会话控制功能装置及服务器 | |
| CN102694779B (zh) | 组合认证系统及认证方法 | |
| CN102065421A (zh) | 一种更新密钥的方法、装置和系统 | |
| CN102883319B (zh) | 鉴权向量管理方法及装置 | |
| CN102440018A (zh) | 通用鉴权架构下的用户设备鉴权方法和鉴权装置 | |
| WO2018153173A1 (zh) | 一种终端标识的处理方法、装置及相关设备 | |
| CN102970678A (zh) | 加密算法协商方法、网元及移动台 | |
| CN105635059A (zh) | 一种wlan接入认证方法、相关设备及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20120502 |