CN117729539A - 业务处理方法、装置、网络设备和存储介质 - Google Patents
业务处理方法、装置、网络设备和存储介质 Download PDFInfo
- Publication number
- CN117729539A CN117729539A CN202211093563.0A CN202211093563A CN117729539A CN 117729539 A CN117729539 A CN 117729539A CN 202211093563 A CN202211093563 A CN 202211093563A CN 117729539 A CN117729539 A CN 117729539A
- Authority
- CN
- China
- Prior art keywords
- message
- information
- http request
- request
- stage
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000003672 processing method Methods 0.000 title claims abstract description 37
- 238000012545 processing Methods 0.000 claims abstract description 87
- 238000000034 method Methods 0.000 claims abstract description 62
- 230000004044 response Effects 0.000 claims description 11
- 238000004590 computer program Methods 0.000 claims description 5
- 230000008569 process Effects 0.000 abstract description 13
- 230000002159 abnormal effect Effects 0.000 abstract description 9
- 230000001149 cognitive effect Effects 0.000 abstract description 2
- 230000006870 function Effects 0.000 description 12
- 230000007246 mechanism Effects 0.000 description 10
- 238000010586 diagram Methods 0.000 description 8
- 230000000694 effects Effects 0.000 description 7
- 238000013475 authorization Methods 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 210000001072 colon Anatomy 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供一种业务处理方法、装置、网络设备和存储介质,属于网络安全技术领域。本发明提供的业务处理方法通过接收第一设备发送的第一消息;根据所述第一消息确定当前的处理阶段,或根据所述第一消息执行第一操作;能够实现对处理阶段的确定,或者是执行第一次操作,以此避免处理过程中因处理阶段认知错误导致的异常情况或安全问题。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种业务处理方法、装置、网络设备和存储介质。
背景技术
GBA(Generic Bootstrapping Architecture,通用引导架构)是3GPP(The 3rdGeneration Partnership Project,第三代合作伙伴计划)标准组织定义的一种基于4G/5G网络根密钥的通用认证架构。利用标准AKA协议(Authentication and Key Agreement,认证与密钥协商协议)的机制,GBA可在UE(User Equipment,用户设备)与网络之间实现双向身份认证及密钥共享。
基于3GPP GBA规范,GSMA定义了一种增强型的GBA系统及安全通信机制,使得运营商能够向终端及应用服务方提供开放的网络安全能力。其中,增强型GBA系统以终端USIM(Universal Subscriber Identity Module,通用用户标识模块)卡与4G/5G网络间的共享密钥为信任根,无需预置任何其他安全凭证即可实现终端与应用服务器(Server)之间的相互认证,并协商、共享会话密钥,保障业务应用端到端通信安全。在增强型GBA流程中,NAF/AP网元部署在运营商网络侧,需要根据当前GBA流程所在的阶段,做出正确的处理。例如,在第三阶段,NAF/AP需要对接收到HTTP消息做出直接响应;而在第四阶段,NAF/AP需要将HTTP消息转发给Server进行处理。
但是,NAF/AP向Server转发的HTTP消息会导致Server将其作为异常情况来处理,返回HTTP 404错误响应,最终导致增强型GBA业务流程在第三阶段就被终止;二是造成增强型GBA机制在第四阶段的业务授权操作被绕过,带来安全问题。
同样,在3GPP AKMA认证机制中也存在类似问题,AKMA的核心处理网元(如AAP、AF、AAnF等)无法根据当前AKMA认证流程所在的阶段做出正确的处理,导致AKMA认证机制出现异常情况。
发明内容
本发明提出了一种业务处理方法、装置、网络设备和存储介质,以解决现有技术中业务处理中的异常情况或安全问题。
为了解决上述技术问题,本发明是这样实现的:
第一方面,本发明实施例提供了一种业务处理方法,所述方法包括:
接收第一设备发送的第一消息;
根据所述第一消息确定当前的处理阶段,或根据所述第一消息执行第一操作。
可选的,所述第一消息包含指示当前的处理阶段的第一信息。
可选的,所述第一消息是HTTP请求消息,所述第一信息携带在所述HTTP请求消息的请求行、请求头以及消息体中的至少一处。
可选的,所述根据所述第一消息确定当前的处理阶段,或根据所述第一消息执行第一操作,包括:
根据第一消息中所述第一信息的取值确定当前的处理阶段,或,根据第一消息中所述第一信息的取值执行第一操作。
可选的,所述根据所述第一消息确定当前的处理阶段,或根据所述第一消息执行第一操作,包括:
根据所述第一消息中包括第二信息或不包括第二信息,确定当前的处理阶段;
或,根据所述第一消息中包括第二信息或不包括第二信息,执行第一操作。
可选的,所述第一消息为HTTP请求消息,所述第二信息为HTTP请求消息的消息体。
可选的,所述第一消息为HTTP请求消息,所述第二信息为至少一个特定字段,所述至少一个特定字段位于所述HTTP请求消息的请求行、请求头以及消息体中的至少一处。
可选的,所述根据所述第一消息确定当前的处理阶段,包括:
根据所述第一消息确定当前的GBA处理阶段。
可选的,所述第一操作包括:
发送第二消息;
或发送第三消息;
或忽略所述第一消息不做处理。
可选的,所述发送第二消息包括:发送用于响应所述第一消息的第二消息。
可选的,所述发送第三消息包括:向第二设备发送第三消息;
其中,所述第三消息包括以下情形中的至少一种:
第三消息为所述第一消息;
第三消息包括所述第一消息的部分或全部内容;
第三消息包括所述第一消息的部分或全部内容,还包括所述第二设备对应的第三信息。
第二方面,本发明实施例提供了一种业务处理方法,所述方法包括:
发送第一消息,以供第三设备根据所述第一消息确定当前的处理阶段,或根据所述第一消息执行第一操作。
可选的,所述第一消息包含指示当前的处理阶段的第一信息。
可选的,所述第一消息是HTTP请求消息,所述第一信息携带在所述HTTP请求消息的请求行、请求头以及消息体中的至少一处。
可选的,所述第一消息中包括第二信息或不包括第二信息。
可选的,所述第一消息为HTTP请求消息,所述第二信息为HTTP请求消息的消息体。
可选的,所述第一消息为HTTP请求消息,所述第二信息为至少一个特定字段,所述至少一个特定字段位于所述HTTP请求消息的请求行、请求头以及消息体中的至少一处。
第三方面,本发明实施例提供了一种业务处理装置,所述装置包括:
接收模块,用于接收第一设备发送的第一消息;
第一处理模块,用于根据所述第一消息确定当前的处理阶段,或根据所述第一消息执行第一操作。
第四方面,本发明实施例提供了一种用户设备,包括:
发送模块,用于发送第一消息,所述第一消息以供第三设备根据所述第一消息确定当前的处理阶段,或根据所述第一消息执行第一操作。
第五方面,本发明实施例提供了一种网络设备,包括:处理器、存储器及存储在所述存储器上并可在所述处理器上运行的程序,所述程序被所述处理器执行时实现上述第一方面或第二方面的业务处理方法的步骤。
第六方面,本发明实施例提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现上述第一方面或第二方面的业务处理方法的步骤。
本发明实施例提供的技术方案带来的有益效果至少包括:通过接收第一设备发送的第一消息;根据所述第一消息确定当前的处理阶段,或根据所述第一消息执行第一操作;能够实现对处理阶段的确定,或者是执行第一次操作,以此避免处理过程中因处理阶段认知错误导致的异常情况或安全问题。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1为本发明实施例提供的一种业务处理方法流程图;
图2为本发明实施例提供的一种GBA认证流程示意图;
图3为本发明实施例提供的一种AKMA认证流程示意图;
图4为本发明实施例提供的一种HTTP请求报文格式的示意图;
图5为本发明实施例提供的另一种业务处理方法流程图;
图6为本发明实施例提供的一种业务处理装置的结构示意图;
图7为本发明实施例提供的一种用户设备的结构示意图;
图8为本发明实施例提供的一种网络设备的结构示意图;
图9为本发明实施例提供的一种GBA认证流程阶段判定示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为了方便理解本发明的技术方案,首先对实施例中出现的英文缩写专业术语进行介绍:
UE,User Equipment,用户设备;
Server,服务器;
HTTP,Hypertext Transfer Protocol,超文本传输协议;
BSF,Bootstrapping Server Function,通用服务功能;
HSS,Home Subscriber Server,归属签约用户服务器;
NAF,Network Application Function,网络应用功能;
AP,Authentication Proxy,认证代理;
GBA,Generic Bootstrapping Architecture,通用引导架构;
AKA,Authentication and Key Agreement,认证与密钥协商协议;
AKMA,Authentication and Key Management for Applications,应用层认证和密钥管理;
AF,Application Function,应用功能;
AAP,AKMA Application Function Proxy,AKMA应用功能代理;
AAnF,AKMA Anchor Function,AKMA锚点功能;
A-KID,AKMA Key Identifier,AKMA密钥标识;
AF_ID,Application Function Identifier,应用功能标识。
请参考图1,图1示出了本发明实施例提供的一种业务处理方法流程图,所述方法包括:
步骤11,接收第一设备发送的第一消息;
步骤12,根据所述第一消息确定当前的处理阶段,或根据所述第一消息执行第一操作。
具体的,这里的处理阶段在不同的实施场景下可能对应不同的概念。
例如,图2示意了GBA认证流程中包括:第一阶段初始化、第二阶段引导、第三阶段引导安全关联使用、第四阶段应用安全关联使用。(Step I:Initiation ofBootstrapping;Step II:Bootstrapping;Step III:Bootstrapped SecurityAssociation Usage;Step IV:Application Security Association Usage)本发明实施例提供的方法可以根据第一消息确定当前处于第三阶段或第四阶段。
再例如,图3示意了AKMA认证流程中包括:安全关联使用阶段(也可以被称为AKMA安全关联使用阶段,对应图3里的步骤1-5)、应用安全关联使用阶段(对应图3里的步骤6及步骤6的后续步骤)。这里的阶段的名字仅为示例,在实际应用中,本领域技术人员可根据不同情况对各个阶段有不同的称呼。本发明实施例提供的方法可以根据第一消息确定当前处于安全关联使用阶段或应用安全关联使用阶段。或者在实际应用中,本领域技术人员也可以不做阶段的划分,而是可以根据第一消息确定执行第一操作。
示例性的,AKMA认证在前提条件阶段,UE和AUSF、AAnF进行主认证并建立KAKMA。
在AKMA认证步骤6之后的后续步骤包括:
1、UE发送应用层会话建立请求,在应用会话建立请求消息中包括导出的A-KID。
2、如果AAP没有与A-KID相关联的活动上下文,则AAP选择AAnF,并将密钥请求消息发送给AAnF,请求消息中包括A-KID和AF_ID。
3、AAnF从KAKMA中推导出密钥KAF。
4、AAnF向AAP发送密钥响应消息,消息中包含密钥KAF、A-KID和AF_ID。
5、AAP向UE发送应用层会话建立响应消息。
6、UE发送应用层会话建立请求,在应用会话建立请求消息中包括导出的A-KID。
7、AAP根据密钥获取方式与AF交互,支持两种密钥获取方式:第一种是由AAP向AF主动推送密钥,第二种是由AF主动向AAP申请获取密钥。
8、AAP与AF交互密钥后,向UE发送应用层会话建立响应消息。
9、UE和AF之间进行后续业务数据的安全交互。
这里的阶段,也可以被称为是步骤、过程、流程等。
在一些实施例中,所述第一消息包含指示当前的处理阶段的第一信息。
具体的,第一信息也即为第一标识;可以通过第一标识确定当前的处理阶段、或根据第一表示执行第一操作,第一标识可以根据流程的不同,以及第一消息的种类,根据具体情况进行设置。
在一些实施例中,所述第一消息是HTTP请求消息,所述第一信息携带在所述HTTP请求消息的请求行、请求头以及消息体中的至少一处。具体的,这里的HTTP请求消息的请求行也可以被称为request line等;
这里的HTTP请求消息的请求头也可以被称为header、message header等;
这里的消息体也可以被称为是请求体、请求数据、body、Entity body等。
这里的第一信息可以携带在请求行、请求头以及请求体某一部分中。第一信息可以分为多个部分,可以分散在请求行、请求头以及请求体中某一部分或某几个部分中;也可以分散在请求行、请求头以及请求体中某一处的不连续的位置中。
示例性的,在增强型GBA系统中,在UE侧,通过在UE发送的HTTP请求消息中携带第一标识的方法使,参考图2中的“网络应用功能/认证代理,NAF/AP”知晓当前GBA流程所处的阶段,进而执行正确操作。
示例性的,参考图4示出了HTTP请求报文的格式,HTTP请求报文主要由请求行、请求头和请求体(即消息体)组成。其中,HTTP请求头中包含若干个头部字段,由关键字/值对组成,每行一对,关键字和值用英文冒号“:”分隔。典型的头部字段包括User-Agent、Accept、Host等。在HTTP消息的请求体中,会存放业务数据。
在一些实施例中,所述根据所述第一消息确定当前的处理阶段,或根据所述第一消息执行第一操作,包括:
根据第一消息中所述第一信息的取值确定当前的处理阶段,或,根据第一消息中所述第一信息的取值执行第一操作。
示例性的,如在使用HTTP请求消息中的请求行、或者请求头作为第一标识,用于指示流程的不同阶段时,以GBA认证流程为例,在符合取值规范要求的前提下,可选择请求行、或者请求头中的现有元素作为指示标识,指示方式包括:
使用显式的数字来指示不同的阶段,如3表示第三阶段,4表示第四阶段;
使用显式的字符来指示不同的阶段,如stage3表示第三阶段,stage4表示第四阶段。
在一些实施例中,所述根据所述第一消息确定当前的处理阶段,或根据所述第一消息执行第一操作,包括:
根据所述第一消息中包括第二信息或不包括第二信息,确定当前的处理阶段;
或,根据所述第一消息中包括第二信息或不包括第二信息,执行第一操作。
示例性的,如在使用HTTP请求消息中的请求行、或者请求头作为第一标识,用于指示流程的不同阶段时,以GBA认证流程为例:
使用显式的标识(数字或字符)来指示第三阶段,使用隐式的标识(不带有指示标识)来指示第四阶段;使用显式的标识(数字或字符)来指示第四阶段,使用隐式的标识(不带有指示标识)来指示第三阶段。
示例性的,如在使用HTTP请求消息中的请求体指示流程的不同阶段时,以GBA认证流程为例,可通过是否携带消息体进行指示。
通过是否携带消息体进行指示,具体的,在HTTP请求消息的消息体中,会存放业务数据。结合图2示意的GBA认证流程,当UE发送的HTTP请求消息中带有应用层业务数据时,说明该消息需要Server来收发处理,此时NAF/AP应将消息转发给Server。当UE发送的HTTP请求消息中不带有应用层业务数据时,说明该消息不需要Server来处理,则NAF/AP不应将消息转发给Server。
根据上述原则,UE在发送HTTP请求消息时,可根据不同的阶段决定是否携带消息体。例如,在第三阶段,UE发送的HTTP请求消息中不应带有消息体;在第四阶段,UE发送的HTTP请求消息中应带有消息体。由此NAF/AP可根据UE发送的HTTP请求消息中是否携带消息体来判断当前GBA认证流程所处的阶段。NAF/AP在收到UE发送的HTTP请求消息后,先使用GBA会话密钥对消息进行HTTP Digest鉴权。鉴权通过后,NAF/AP增加判断机制,如果UE发送的HTTP请求消息中不带有消息体,表明当前处于第三阶段,NAF/AP应向UE回复HTTP 200OK,同时不会将该消息转发给Server;如果UE发送的HTTP请求消息中带有消息体,当前处于第四阶段,NAF/AP应根据预先设置的Ks_NAF*密钥获取方式进行处理。
在一些实施例中,所述第一消息为HTTP请求消息,所述第二信息为HTTP请求消息的消息体。
需要说明的是,目前的GBA认证流程中第三阶段和第四阶段的HTTP请求消息中都包含有消息体,导致NAF/AP无法区分当前所处的处理阶段,出现背景技术中提到的问题。本发明实施例提供的方法中:在GBA认证流程的第三阶段,由于该阶段无需传输业务数据,因此终端发送的HTTP请求消息不携带消息体;在GBA认证流程的第四阶段,由于需要传输业务数据,终端发送的HTTP请求消息携带消息体。通过是否携带有消息体,接收端即可简单的判断出当前所处的GBA认证流程。且这种方式对于终端来说,仅仅是选择是否携带消息体,实现简单,改造成本低;对于网络侧设备来说易于判断,具有较好的兼容性,易于大规模部署。
在一些实施例中,所述第一消息为HTTP请求消息,所述第二信息为至少一个特定字段,所述至少一个特定字段位于所述HTTP请求消息的请求行、请求头以及消息体中的至少一处。
示例性的,所述第二信息为一个字段,可以位于请求行、请求头以及消息体中的某一处;
或,第二信息为多个字段,可以位于请求行、请求头以及消息体中的某一处连续或不连续的位置;也可以分散在请求行、请求头以及消息体中的多处。
示例性的,可以使用请求行中的URL,通过增加新的指示值作为指示标识,当URL为“URI;stage3”时,表示当前处于第三阶段;当URL为“URI;stage4”时,表示当前处于第四阶段。NAF/AP在收到UE发送的HTTP请求消息后,先使用GBA会话密钥对消息进行HTTP Digest鉴权。鉴权通过后,NAF/AP增加判断机制,根据消息中URL来判断当前所处的GBA认证流程阶段。如果判断当前处于第三阶段,NAF/AP应向UE回复HTTP 200OK,不将该消息转发给Server;如果判断当前处于第四阶段,NAF/AP应根据预先设置的Ks_NAF*密钥获取方式进行处理。
示例性的,通过请求头中的现有字段进行指示,如使用HTTP请求消息中的现有字段作为指示标识,用于指示GBA认证流程的不同阶段。例如,可以使用请求头中的Host字段,在字段值的后面增加新的指示值作为指示标识,当Host字段值为“ServerFQDN;stage3”时,表示当前处于第三阶段;当Host字段值为“ServerFQDN;stage4”时,表示当前处于第四阶段。
示例性的,通过请求头中的新增字段进行指示,在HTTP请求消息的请求头中新增头部字段作为指示标识,用于指示GBA认证流程的不同阶段。例如,在请求头中新增名为“gba-stage”的头部字段,当字段值为“stage3”时,表示当前处于第三阶段;当字段值为“stage4”时,表示当前处于第四阶段。
如通过以下字段实现:
“GET/HTTP/1.1
Host:xxxxxx
Accept:*/*
User-Agent:3gpp-gba
Xxxxxx
......
gba-stage:stage3/stage4”。
示例性的,还可以通过另一种方式使用HTTP请求消息中的请求体来指示流程阶段,如UE在发送HTTP请求消息时,在第三阶段和第四阶段均可携带消息体,通过在消息体中新增字段作为指示标识,来指示当前GBA认证流程所处的阶段,实现方式以及处理流程与前述的其他实施方式相同。
在一些实施例中,所述根据所述第一消息确定当前的处理阶段,包括:
根据所述第一消息确定当前的GBA处理阶段。
在一些实施例中,所述第一操作包括:
发送第二消息;
或发送第三消息;
或忽略所述第一消息不做处理。
具体的,发送第二消息,如参考图2示出的GBA认证流程,发送第二消息对应于图2中第三阶段中的发送HTTP 200K;参考图3示出的AKAM认证流程,对应于图3中示出的步骤5“应用层会话建立响应”。
具体的,发送第三消息,如参考图2示出的GBA认证流程,发送第三消息对应于图2中第四阶段中示出的步骤可选方式1或者可选方式2中的HTTP请求消息;参考图3示出的AKAM认证流程,对应于图3中示出的步骤可选方式1或者可选方式2中的HTTP请求消息。
以GBA认证流程为例,对于UE侧,UE发送HTTP请求消息时,由应用软件或Modem对作为指示标识的值进行填充。对于NAF/AP侧,新增判断机制,根据HTTP消息中的指示标识来判断当前的GBA认证流程阶段,然后采取相应的处理方式。
此外,在第四阶段NAF/AP向Server转发UE的HTTP请求消息时,可以选择如下处理方式:
保留消息中的指示标识;
消息中的指示标识删除后再转发给Server,避免在现有元素中增加的指示标识可能影响正常业务。
在一些实施例中,所述发送第二消息包括:发送用于响应所述第一消息的第二消息。
在一些实施例中,所述发送第三消息包括:向第二设备发送第三消息;
其中,所述第三消息包括以下情形中的至少一种:
第三消息为所述第一消息;
第三消息包括所述第一消息的部分或全部内容;
第三消息包括所述第一消息的部分或全部内容,还包括所述第二设备对应的第三信息。值得注意的是,这里的第三信息可以有多种情况。当本发明实施例应用于GBA流程中,所述第三信息为GBA应用层会话密钥。当本发明实施例应用于AKMA流程中,所述第三信息可以是为对应的Server(也即第二设备)提供的密钥。需要说明的是,以上两种仅为示例,在实际情况中,第三信息不仅限于密钥,还可以是供第二设备所用的其他信息。当然这里的第三消息还可以包括密钥生存期等其他信息。
综上所述,本发明实施例提供的业务处理方法,能够实现以下技术效果:
能够在针对业务处理的各阶段,对通过第一消息明确流程的阶段,或者是执行第一操作,从而防止绕过流程阶段,提高业务系统的安全性,并且能够提高业务处理系统的兼容性,避免一些异常情况的发生。
具体的,在GBA认证流程中,能够通过UE指示的方法,使得NAF/AP能够明确区分了增强型GBA认证流程的第三阶段和第四阶段,防止在第四阶段的业务授权操作被绕过,提高增强型GBA系统的安全性;消除Server对异常情况处理返回的HTTP 404错误响应,避免增强型GBA业务流程被异常终止;降低对现有标准GBA处理机制的影响,避免终端Modem芯片改造,提高增强型GBA机制的兼容性和可实现性。
其次,在AKAM认证流程中,能够根据第一消息确定当前处于安全关联使用阶段或应用安全关联使用阶段,避免异常情况的发生,从而提高业务流程的安全性和兼容性。
参考图9为本发明实施例提供的一种GBA认证流程阶段判断示意图,结合图9以及图2、图3对本发明实施例提供的业务处理方法做进一步说明:
图9中示意了GBA认证流程中在NAF/AP收到UE发送的HTTP请求消息时,如何进行阶段判定,并进行对应的消息处理流程。图9中示意的阶段判定对应于图2中在第三或者第四阶段中的HTTP Digest验证后的阶段判定步骤,具体步骤如下:
步骤901,NAF/AP收到UE发送的HTTP请求消息;
步骤902,NAF/AP使用GBA会话密钥对收到的HTTP请求消息进行HTTP Digest鉴权;
步骤903,鉴权通过后,NAF/AP检查HTTP请求消息中的指示标识(请求行、请求头、消息体)所指示的阶段;
步骤904,当判定结果为HTTP请求处于第三阶段时,NAF/AP向UE回复HTTP 200OK,不会将UE发送的HTTP请求消息转发给Server;
步骤905,当判定结果为HTTP请求处于第四阶段时,NAF/AP根据设置的密钥获取方式,采取相应的处理方式(处理方式包括:Server主动向NAF/AP申请,或者,NAF/AP主动向Server推送);
步骤906,进行后续处理流程。
在上述步骤901-906中,在GBA认证流程中加入了“阶段判定”步骤,参考图2,在GBA认证流程的第三或者第四阶段中的HTTP Digest验证后的阶段判定步骤,通过该“阶段判定”步骤实现对业务阶段的判断。
值得注意的是,参考图3中,在AKMA认证流程中的步骤“4.密钥响应消息”和“6.应用层会话建立请求(A-KID)”之后,都有新增的“阶段判定”步骤,新增的“阶段判定”步骤对应于本发明对业务流程处理中加入的阶段判定步骤,通过该“阶段判定”步骤实现对业务阶段的判断。
图5示出了本发明实施例提供的另一种业务处理方法,所述方法包括:
步骤51,发送第一消息,以供第三设备根据所述第一消息确定当前的处理阶段,或根据所述第一消息执行第一操作。
具体的,图5中示出的业务处理方法应用于用户设备UE,用户设备UE能够通过该方法向其他设备发送消息或者请求。可选的,所述第一消息包含指示当前的处理阶段的第一信息。
可选的,所述第一消息是HTTP请求消息,所述第一信息携带在所述HTTP请求消息的请求行、请求头以及消息体中的至少一处。
可选的,所述第一消息中包括第二信息或不包括第二信息。
可选的,所述第一消息为HTTP请求消息,所述第二信息为HTTP请求消息的消息体。
可选的,所述第一消息为HTTP请求消息,所述第二信息为至少一个特定字段,所述至少一个特定字段位于所述HTTP请求消息的请求行、请求头以及消息体中的至少一处。
综上所述,本发明实施例提供的业务处理方法,能够与本发明第一方面提供的业务处理方法互相对应,以应用于业务处理方法对应的用户设备端,能够实现本申请第一方面提供的业务处理方法的全部技术效果,此处不再赘述。
参考图6,本发明实施例提供了一种业务处理装置60,所述装置60包括:
接收模块61,用于接收第一设备发送的第一消息;
处理模块62,用于根据所述第一消息确定当前的处理阶段,或根据所述第一消息执行第一操作。
可选的,所述第一消息包含指示当前的处理阶段的第一信息。
可选的,所述第一消息是HTTP请求消息,所述第一信息携带在所述HTTP请求消息的请求行、请求头以及消息体中的至少一处。
可选的,所述处理模块62还用于:
根据第一消息中所述第一信息的取值确定当前的处理阶段,或,根据第一消息中所述第一信息的取值执行第一操作。
可选的,所述处理模块62还用于:
根据所述第一消息中包括第二信息或不包括第二信息,确定当前的处理阶段;
或,根据所述第一消息中包括第二信息或不包括第二信息,执行第一操作。
可选的,所述第一消息为HTTP请求消息,所述第二信息为HTTP请求消息的消息体。
可选的,所述第一消息为HTTP请求消息,所述第二信息为至少一个特定字段,所述至少一个特定字段位于所述HTTP请求消息的请求行、请求头以及消息体中的至少一处。
可选的,所述处理模块62还用于:
根据所述第一消息确定当前的GBA处理阶段。
可选的,所述第一操作包括:
发送第二消息;
或发送第三消息;
或忽略所述第一消息不做处理。
可选的,所述处理模块62还用于发送第二消息包括:发送用于响应所述第一消息的第二消息。
可选的,所述处理模块62还用于发送第三消息包括:向第二设备发送第三消息;
其中,所述第三消息包括以下情形中的至少一种:
第三消息为所述第一消息;
第三消息包括所述第一消息的部分或全部内容;
第三消息包括所述第一消息的部分或全部内容,还包括所述第二设备对应的第三信息。
本发明实施例提供了一种业务处理装置60,能够实现本发明实施例提供的一种业务处理方法,且能达到相同的技术效果,为避免重复,这里不再赘述。
第四方面,本发明实施例提供了一种用户设备70,所述用户设备包括:
发送模块71,用于发送第一消息,所述第一消息以供第三设备根据所述第一消息确定当前的处理阶段,
处理模块72,根据所述第一消息执行第一操作。
可选的,所述第一消息包含指示当前的处理阶段的第一信息。
可选的,所述第一消息是HTTP请求消息,所述第一信息携带在所述HTTP请求消息的请求行、请求头以及消息体中的至少一处。
可选的,所述第一消息中包括第二信息或不包括第二信息。
可选的,所述第一消息为HTTP请求消息,所述第二信息为HTTP请求消息的消息体。
可选的,所述第一消息为HTTP请求消息,所述第二信息为至少一个特定字段,所述至少一个特定字段位于所述HTTP请求消息的请求行、请求头以及消息体中的至少一处。
本发明实施例提供了一种用户设备70,能够实现本发明实施例提供的另一种业务处理方法,且能达到相同的技术效果,为避免重复,这里不再赘述。
请参考图8,本发明实施例还提供一种网络设备80,包括处理器81,存储器82,存储在存储器82上并可在所述处理器81上运行的计算机程序,该计算机程序被处理器81执行时实现上述业务处理方法实施例的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。
本发明实施例还提供一种计算机可读存储介质,所述计算机可读存储介质上存储计算机程序,所述计算机程序被处理器执行时实现上述业务处理方法实施例的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。其中,所述的计算机可读存储介质,如只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
上面结合附图对本发明的实施例进行了描述,但是本发明并不局限于上述的具体实施方式,上述的具体实施方式仅仅是示意性的,而不是限制性的,本领域的普通技术人员在本发明的启示下,在不脱离本发明宗旨和权利要求所保护的范围情况下,还可做出很多形式,均属于本发明的保护之内。
Claims (21)
1.一种业务处理方法,其特征在于,所述方法包括:
接收第一设备发送的第一消息;
根据所述第一消息确定当前的处理阶段,或根据所述第一消息执行第一操作。
2.根据权利要求1所述的业务处理方法,其特征在于,所述第一消息包含指示当前的处理阶段的第一信息。
3.根据权利要求2所述的业务处理方法,其特征在于,所述第一消息是HTTP请求消息,所述第一信息携带在所述HTTP请求消息的请求行、请求头以及消息体中的至少一处。
4.根据权利要求1所述的业务处理方法,其特征在于,所述根据所述第一消息确定当前的处理阶段,或根据所述第一消息执行第一操作,包括:
根据第一消息中所述第一信息的取值确定当前的处理阶段,或,根据第一消息中所述第一信息的取值执行第一操作。
5.根据权利要求1所述的业务处理方法,其特征在于,所述根据所述第一消息确定当前的处理阶段,或根据所述第一消息执行第一操作,包括:
根据所述第一消息中包括第二信息或不包括第二信息,确定当前的处理阶段;
或,根据所述第一消息中包括第二信息或不包括第二信息,执行第一操作。
6.根据权利要求5所述的业务处理方法,其特征在于,所述第一消息为HTTP请求消息,所述第二信息为HTTP请求消息的消息体。
7.根据权利要求5所述的业务处理方法,其特征在于,所述第一消息为HTTP请求消息,所述第二信息为至少一个特定字段,所述至少一个特定字段位于所述HTTP请求消息的请求行、请求头以及消息体中的至少一处。
8.根据权利要求1所述的业务处理方法,其特征在于,所述根据所述第一消息确定当前的处理阶段,包括:
根据所述第一消息确定当前的GBA处理阶段。
9.根据权利要求1所述的业务处理方法,其特征在于,所述第一操作包括:
发送第二消息;
或发送第三消息;
或忽略所述第一消息不做处理。
10.根据权利要求9所述的方法,其特征在于,所述发送第二消息包括:发送用于响应所述第一消息的第二消息。
11.根据权利要求9所述的方法,其特征在于,所述发送第三消息包括:向第二设备发送第三消息;
其中,所述第三消息包括以下情形中的至少一种:
第三消息为所述第一消息;
第三消息包括所述第一消息的部分或全部内容;
第三消息包括所述第一消息的部分或全部内容,还包括所述第二设备对应的第三信息。
12.一种业务处理方法,其特征在于,所述方法包括:
发送第一消息,以供第三设备根据所述第一消息确定当前的处理阶段,或根据所述第一消息执行第一操作。
13.根据权利要求12所述的方法,其特征在于,所述第一消息包含指示当前的处理阶段的第一信息。
14.根据权利要求13所述的方法,其特征在于,所述第一消息是HTTP请求消息,所述第一信息携带在所述HTTP请求消息的请求行、请求头以及消息体中的至少一处。
15.根据权利要求12所述的方法,其特征在于,所述第一消息中包括第二信息或不包括第二信息。
16.根据权利要求15所述的方法,其特征在于,所述第一消息为HTTP请求消息,所述第二信息为HTTP请求消息的消息体。
17.根据权利要求15所述的方法,其特征在于,所述第一消息为HTTP请求消息,所述第二信息为至少一个特定字段,所述至少一个特定字段位于所述HTTP请求消息的请求行、请求头以及消息体中的至少一处。
18.一种业务处理装置,其特征在于,所述装置包括:
接收模块,用于接收第一设备发送的第一消息;
第一处理模块,用于根据所述第一消息确定当前的处理阶段,或根据所述第一消息执行第一操作。
19.一种用户设备,其特征在于,所述用户设备包括:
发送模块,用于发送第一消息,所述第一消息以供第三设备根据所述第一消息确定当前的处理阶段,或根据所述第一消息执行第一操作。
20.一种网络设备,其特征在于,包括:处理器、存储器及存储在所述存储器上并可在所述处理器上运行的程序,所述程序被所述处理器执行时实现如权利要求1至11、或者12至17中任一项所述的业务处理方法的步骤。
21.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至11、或者12至17中任一项所述的业务处理方法的步骤。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211093563.0A CN117729539A (zh) | 2022-09-08 | 2022-09-08 | 业务处理方法、装置、网络设备和存储介质 |
PCT/CN2023/117255 WO2024051742A1 (zh) | 2022-09-08 | 2023-09-06 | 业务处理方法、装置、网络设备和存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211093563.0A CN117729539A (zh) | 2022-09-08 | 2022-09-08 | 业务处理方法、装置、网络设备和存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117729539A true CN117729539A (zh) | 2024-03-19 |
Family
ID=90192039
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211093563.0A Pending CN117729539A (zh) | 2022-09-08 | 2022-09-08 | 业务处理方法、装置、网络设备和存储介质 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN117729539A (zh) |
WO (1) | WO2024051742A1 (zh) |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101087260B (zh) * | 2006-06-05 | 2011-05-04 | 华为技术有限公司 | 基于通用引导构架实现推送功能的方法和设备 |
WO2011160683A1 (en) * | 2010-06-22 | 2011-12-29 | Telefonaktiebolaget Lm Ericsson (Publ) | Privacy preserving authorisation in pervasive environments |
CN103051594A (zh) * | 2011-10-13 | 2013-04-17 | 中兴通讯股份有限公司 | 一种标识网端到端安全建立的方法、网络侧设备及系统 |
CN113518348B (zh) * | 2020-06-30 | 2023-05-09 | 中国移动通信有限公司研究院 | 业务处理方法、装置、系统及存储介质 |
-
2022
- 2022-09-08 CN CN202211093563.0A patent/CN117729539A/zh active Pending
-
2023
- 2023-09-06 WO PCT/CN2023/117255 patent/WO2024051742A1/zh unknown
Also Published As
Publication number | Publication date |
---|---|
WO2024051742A1 (zh) | 2024-03-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20210297942A1 (en) | Service authorization for indirect communication in a communication system | |
US8555345B2 (en) | User authentication and authorisation in a communications system | |
JP4555224B2 (ja) | マルチメディアサービスにアクセスするときのユーザを認証する装置及び方法 | |
CN102379114B (zh) | 基于ims的多媒体广播和多播服务(mbms)中的安全密钥管理 | |
EP2098038B1 (en) | Method and arrangement for integration of different authentication infrastructures | |
EP1414212B1 (en) | Method and system for authenticating users in a telecommunication system | |
US20110300828A1 (en) | Un-ciphered network operation solution | |
US7630712B2 (en) | Method for reconnecting a mobile terminal in a wireless network | |
EP2293611A1 (en) | A method, apparatus, system and server for network authentication | |
JP2004517517A (ja) | テレコミュニケーションネットワークにおける加入者初期登録中の完全性保護 | |
US20070192838A1 (en) | Management of user data | |
JP2015065677A (ja) | デュアルスタック・オペレーションの認可を織り込むための方法および装置 | |
EP3284232B1 (en) | Wireless communications | |
US20060020791A1 (en) | Entity for use in a generic authentication architecture | |
CN117729539A (zh) | 业务处理方法、装置、网络设备和存储介质 | |
US20100217980A1 (en) | Communication Control System, Mobile Communication Terminal and Computer Program | |
US10581979B2 (en) | Information transmission method and apparatus | |
US9560526B2 (en) | Method and apparatus for single sign-on in a mobile communication system | |
RU2337504C2 (ru) | Устройство и способ для аутентификации пользователя при доступе к мультимедийным службам | |
US20070028092A1 (en) | Method and system for enabling chap authentication over PANA without using EAP | |
KR101998414B1 (ko) | M2m 시스템에서 선택적으로 보안성 있는 시간 동기화를 위한 방법 및 장치 | |
KR101465838B1 (ko) | 부트스트랩된 어플리케이션 인증을 제공하는 장치 및 방법 | |
EP2830357A1 (en) | Method and apparatus for single-radio-voice-call continuity | |
EP3591928B1 (en) | Method for improved communication between a software client application - being loaded to or installed on a client computing device - and an application network backend, client computing device and system for improved communication between a software client application and an application network backend, program and computer-readable medium | |
WO2024062375A1 (en) | Decentralized identity authentication and authorization |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |