CN1302633C - 一种保证通用鉴权框架系统安全的方法 - Google Patents
一种保证通用鉴权框架系统安全的方法 Download PDFInfo
- Publication number
- CN1302633C CN1302633C CNB2004100061001A CN200410006100A CN1302633C CN 1302633 C CN1302633 C CN 1302633C CN B2004100061001 A CNB2004100061001 A CN B2004100061001A CN 200410006100 A CN200410006100 A CN 200410006100A CN 1302633 C CN1302633 C CN 1302633C
- Authority
- CN
- China
- Prior art keywords
- naf
- user
- tid
- bsf
- key information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
- 238000000034 method Methods 0.000 title claims abstract description 16
- 238000004891 communication Methods 0.000 claims abstract description 21
- 238000007689 inspection Methods 0.000 claims description 8
- 238000012795 verification Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 2
- 239000000463 material Substances 0.000 description 2
- 230000002950 deficient Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 239000008187 granular material Substances 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供了一种保证通用鉴权框架系统安全的方法,应用本发明,NAF能够根据自身的需要,设置更严格的验证与TID对应的密钥信息是否有效的检查条件,进一步提高了通用鉴权框架系统安全性,增加了NAF应用的灵活性。同时,也方便了运营商对TID及密钥资料的管理。另外,当NAF认为自身保存的TID及密钥信息已经泄漏时,可以在收到用户携带TID的请求后,不受有效期限的限制直接通知用户到BSF重新进行认证及密钥更新,然后中断与该用户的通信,从而更加保证了通用鉴权框架系统的安全性。
Description
技术领域
本发明涉及第三代无线通信技术领域,特别是指一种保证通用鉴权框架系统安全的方法。
背景技术
在第三代无线通信标准中,通用鉴权框架是多种应用业务实体使用的一个用于完成对用户身份进行验证的通用结构,应用通用鉴权框架可实现对应用业务的用户进行检查和验证身份。上述多种应用业务可以是多播/广播业务、用户证书业务、信息即时提供业务等,也可以是代理业务,例如多个服务和一个代理相连,这个通用鉴权框架把代理也当作一种业务来处理,组织结构可以很灵活,而且,对于以后新开发的业务也同样可以应用通用鉴权框架对应用业务的用户进行检查和验证身份。
图1所示为通用鉴权框架的结构示意图。通用鉴权框架通常由用户101、执行用户身份初始检查验证的实体(BSF)102、用户归属网络服务器(HSS)103和网络应用实体(NAF)104组成。BSF 102用于与用户101进行互验证身份,同时生成BSF 102与用户101的共享密钥;HSS 103中存储有用于描述用户信息的描述(Profile)文件,同时HSS 103还兼有产生鉴权信息的功能。
用户需要使用某种业务时,如果其知道该业务需要到BSF进行互鉴权过程,则直接到BSF进行互鉴权,否则,用户会首先和某个业务对应的NAF联系,如果该NAF应用通用鉴权框架需要用户到BSF进行身份验证,则通知用户应用通用鉴权框架进行身份验证,否则进行其它相应处理。
用户与BSF之间的互认证过程是:BSF接到来自用户的鉴权请求后,首先到HSS获取该用户的鉴权信息,然后与用户之间执行鉴权和密钥协商协议(AKA)进行互鉴权。认证成功后,用户和BSF之间互相认证了身份并且同时生成了共享密钥Ks。之后,BSF分配一个会话事务标识(TID)给用户,该TID是与Ks相关联的。
用户收到这个TID后,重新向NAF发出连接请求,且请求消息中携带了该TID。NAF收到请求后,先在查询本地是否有用户携带的该TID,如果NAF不能在本地查询到该TID,则向BSF进行查询。BSF查询到该TID后,首先给该TID对应的密钥信息设置有效时间,然后将该TID、该TID对应密钥信息以及已设置的密钥信息的有效期限包含在发送给NAF的成功响应消息中。NAF收到来自BSF的成功响应消息后,即认为该用户是经过BSF认证的合法用户,同时NAF和用户也共享了密钥Ks或由Ks衍生的密钥。此时,NAF与该用户进行正常的通信。如果BSF不能在本地查询到该TID,则通知NAF没有该用户的信息,此时,NAF将通知用户到BSF进行认证鉴权。
如果NAF在本地查询到了该TID,则再判断该TID所对应的密钥Ks或由Ks衍生的密钥是否处于BSF所设定的有效时间内,如果是则与该用户进行正常的通信,否则发出该用户到BSF重新进行认证更新密钥的通知后,中断与该用户的通信。
上述方法的缺陷在于:上述与TID相对应的密钥信息的有效时间是由BSF来设置的,是一种粗颗粒度的有效条件限制,在实际应用中,真正判断密钥信息有效性的主体是NAF,而该由BSF所设置的有效期限对于NAF而言不一定适合,但NAF只能根据BSF指定的有效时间来判断用户所用的TID是否有效,不能根据本地情况及自身需要来设定TID信息的有效性,降低了NAF应用的灵活性,同时NAF不能够根据应用的情况使密钥保持一定的新鲜程度从而也降低了通用鉴权框架系统的安全性。
发明内容
有鉴于此,本发明的目的在于提供一种保证通用鉴权框架系统安全的方法。
为达到上述目的,本发明的技术方案是这样实现的:
一种保证通用鉴权框架系统安全的方法,该方法包括以下步骤:
a、网络业务应用实体NAF接收到来自用户的包含用户会话标识TID的请求消息后,判断本地是否保存有该TID信息,如果是,则执行步骤b,否则执行步骤c;
b、判断接收到的TID所对应的密钥信息是否同时满足本地设置的有效条件和BSF设置的有效条件,如果是,则NAF继续与该用户进行正常通信,否则,NAF通知该用户重新执行认证操作后,中断与该用户通信;
c、NAF向执行用户身份初始检查的实体BSF进行查询,如果查询到,则根据自身的安全级别给该TID所对应的密钥信息设置有效条件,然后再与该用户进行正常通信,否则通知该用户重新执行认证操作后,结束与该用户通信。
较佳地,BSF和NAF设置的有效条件均为有效时间,则所述步骤b进一步包括:
b1、NAF首先判断NAF设置的有效时间是否短于BSF设置的有效时间,如果是,则执行步骤b2,否则执行步骤b3;
b2、NAF再判断与该接收到的TID所对应的密钥信息是否在NAF设置的有效时间内,如果是,则与该用户进行正常通信,否则,NAF通知该用户重新执行认证操作后,结束与该用户通信;
b3、NAF再判断与该接收到的TID所对应的密钥信息是否在BSF设置的有效时间内,如果是,则与该用户进行正常通信,否则,NAF通知该用户重新执行认证操作后,结束与该用户通信。
较佳地,BSF设置的有效条件为有效时间,NAF设置的有效条件为有效次数,则所述步骤b为:NAF判断该接收到的TID是否在NAF设置的有效次数内,并判断该接收到的TID所对应的密钥信息是否在BSF设置的有效时间内,如果均是,则与该用户进行正常通信,否则,NAF通知该用户重新执行认证操作后,结束与该用户通信。
较佳地,当NAF认为自身不安全,所述步骤a进一步包括:NAF接收到的TID及密钥信息是本地已保存的TID及密钥信息时,直接通知该用户重新执行认证操作,并中断与该用户通信。
应用本发明,NAF能够根据自身的需要,设置更严格的验证与TID对应的密钥信息是否有效的检查条件,进一步提高了通用鉴权框架系统安全性,增加了NAF应用的灵活性。同时,也方便了运营商对TID及密钥资料的管理。另外,当NAF认为自身保存的TID及密钥信息已经泄漏时,可以在收到用户携带TID的请求后,不受有效期限的限制直接通知用户到BSF重新进行认证及密钥更新,然后中断与该用户的通信,从而更加保证了通用鉴权框架系统的安全性。
附图说明
图1所示为通用鉴权框架的结构示意图;
图2所示为应用本发明的用户与NAF间进行通信的流程图。
具体实施方式
为使本发明的技术方案更加清楚,下面结合附图再对本发明做进一步地详细说明。
本发明的思路是:NAF根据自身的需要,设置更严格的验证与TID对应的密钥信息是否有效的检查条件,进一步提高通用鉴权框架系统安全性,增加NAF应用的灵活性。另外,当NAF认为自身保存的TID及密钥信息已经泄漏时,可以在收到用户携带TID的请求后,不受已设置的有效条件的限制,直接通知用户到BSF重新进行认证及密钥更新,然后中断与该用户的通信,从而更加保证了通用鉴权框架系统的安全性。
图2所示为应用本发明的用户与NAF间进行通信的流程图。
步骤201,用户向NAF发送业务应用请求消息;
步骤202,NAF收到该消息后,通知用户到BSF进行初始鉴权;
步骤203,用户向BSF发送鉴权请求消息;
步骤204,BSF接收到用户的鉴权请求消息后,从HSS中获取该用户的鉴权信息以及Profile;
步骤205,BSF应用所查到的信息与用户进行AKA互鉴权,当BSF与用户完成AKA互鉴权,即相互认证了身份后,BSF与用户就拥有了共享密钥Ks;
步骤206,BSF给用户分配TID;
步骤207,用户接收到BSF分配的TID后,向NAF发送包含该TID信息的业务应用请求消息;
步骤208,NAF接收到来自用户的带有TID信息的业务应用请求消息时,首先判断NAF本地是否有该TID信息,如果有,则执行步骤212,否则执行步骤209;
步骤209,NAF向BSF发送查询TID的信息;
步骤210,BSF接收到来自NAF的查询消息后,如查询到NAF所需的TID,则向NAF发送成功的响应消息,该成功的响应消息中包括所查询的TID、该TID对应的密钥信息以及已设置的密钥的有效期限信息,然后执行步骤211,否则BSF向NAF发送失败的响应消息,通知NAF没有该用户的信息,由NAF通知用户到BSF上进行鉴权,并结束本处理流程;
步骤211,NAF接收到BSF返回的成功的响应消息后,根据自身的安全级别的需求,再次设置接收到的TID所对应密钥信息的有效条件,然后执行步骤214;该有效条件可以是一段有效时间,也可以是有效次数;
步骤212,NAF判断该TID所对应的密钥信息的有效期限是否同时满足本地和BSF设置的有效条件,如果是,则执行步骤214,否则执行步骤213;
步骤213,通知用户重新到BSF进行鉴权,并中断与该用户的通信;
步骤214,NAF与用户进行正常的业务通信,直到业务结束。
如果NAF设置的有效条件是一段有效时间,那么该有效时间既可以短于BSF设置的有效时间,也可以长于BSF设置的有效时间。在NAF接收到来自用户的业务请求检查与该TID所对应的密钥信息的有效期限时,将取本地和BSF设置的有效时间中比较短的一个作为检查与该TID所对应的密钥信息是否有效的检查条件。
例如,NAF自身应用服务的安全级别要求较高时,则其设置的有效时间通常短于BSF设置的有效时间,在这种情况下,NAF接收到来自用户的业务请求检查与该TID所对应的密钥信息的有效条件时,将取NAF本地设置的有效时间作为检查条件;在NAF自身应用服务的安全级别要求不高时,NAF本地设置的有效时间可能长于BSF设置的有效时间,在这种情况下,NAF接收到来自用户的业务请求检查与该TID所对应的密钥信息的有效期限时,将取BSF设置的有效时间作为检查条件。
如果NAF设置的有效条件是有效次数,那么NAF本地所设置的有效次数和BSF设置的有效时间是一个双重约束的关系。即如果该TID的使用次数不够频繁,那么在BSF设置的有效时间内,与该TID所对应的密钥信息将一直有效。如果该TID使用的过于频繁,即使BSF规定的有效时间还未到期,而已经达到NAF本地规定的有效使用次数,则NAF将通知该用户到BSF进行重认证和密钥更新,并中止与用户的通信。这样能够避免不安全因素的出现,如由于密钥多次使用所带来的密钥本身被攻击的危险。
另外,当NAF认为自身保存的TID及密钥信息已经泄漏时,可以在收到用户携带TID的请求后,不受已设置的有效条件的限制,直接通知用户到BSF重新进行认证及密钥更新,然后中断与该用户的通信。例如,NAF自身安装了入侵检测系统,当检测到自身受到了攻击后,NAF可能就会认为自己保存的密钥资料已经泄露,当排除了攻击后,接收到来自用户的不新鲜的TID,即接收到的TID及密钥信息是本地已保存的TID及密钥信息时,NAF不受有效条件的限制,直接通知该用户到BSF进行重认证和密钥更新,并中断与该用户的通信。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (4)
1、一种保证通用鉴权框架系统安全的方法,其特征在于,该方法包括以下步骤:
a、网络业务应用实体NAF接收到来自用户的包含用户会话标识TID的请求消息后,判断本地是否保存有该TID信息,如果是,则执行步骤b,否则执行步骤c;
b、判断接收到的TID所对应的密钥信息是否同时满足本地设置的有效条件和BSF设置的有效条件,如果是,则NAF继续与该用户进行正常通信,否则,NAF通知该用户重新执行认证操作后,中断与该用户通信;
c、NAF向执行用户身份初始检查的实体BSF进行查询,如果查询到,则根据自身的安全级别给该TID所对应的密钥信息设置有效条件,然后再与该用户进行正常通信,否则通知该用户重新执行认证操作后,结束与该用户通信。
2、根据权利要求1所述的方法,其特征在于,BSF和NAF设置的有效条件均为有效时间,则所述步骤b进一步包括:
b1、NAF首先判断NAF设置的有效时间是否短于BSF设置的有效时间,如果是,则执行步骤b2,否则执行步骤b3;
b2、NAF再判断与该接收到的TID所对应的密钥信息是否在NAF设置的有效时间内,如果是,则与该用户进行正常通信,否则,NAF通知该用户重新执行认证操作后,结束与该用户通信;
b3、NAF再判断与该接收到的TID所对应的密钥信息是否在BSF设置的有效时间内,如果是,则与该用户进行正常通信,否则,NAF通知该用户重新执行认证操作后,结束与该用户通信。
3、根据权利要求1所述的方法,其特征在于,BSF设置的有效条件为有效时间,NAF设置的有效条件为有效次数,则所述步骤b为:NAF判断该接收到的TID是否在NAF设置的有效次数内,并判断该接收到的TID所对应的密钥信息是否在BSF设置的有效时间内,如果均是,则与该用户进行正常通信,否则,NAF通知该用户重新执行认证操作后,结束与该用户通信。
4、根据权利要求1所述的方法,其特征在于,当NAF认为自身不安全,所述步骤a进一步包括:NAF接收到的TID及密钥信息是本地已保存的TID及密钥信息时,直接通知该用户重新执行认证操作,并中断与该用户通信。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2004100061001A CN1302633C (zh) | 2004-02-27 | 2004-02-27 | 一种保证通用鉴权框架系统安全的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2004100061001A CN1302633C (zh) | 2004-02-27 | 2004-02-27 | 一种保证通用鉴权框架系统安全的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1661955A CN1661955A (zh) | 2005-08-31 |
| CN1302633C true CN1302633C (zh) | 2007-02-28 |
Family
ID=35011053
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2004100061001A Expired - Lifetime CN1302633C (zh) | 2004-02-27 | 2004-02-27 | 一种保证通用鉴权框架系统安全的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1302633C (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1929377B (zh) * | 2006-01-04 | 2012-05-02 | 华为技术有限公司 | 一种通信认证查询方法和系统 |
| CN1859097B (zh) * | 2006-01-19 | 2010-08-04 | 华为技术有限公司 | 一种基于通用鉴权框架的认证方法及系统 |
| CN101136747B (zh) * | 2006-08-30 | 2010-05-12 | 中兴通讯股份有限公司 | 一种信息验证的系统及方法 |
| CN100461974C (zh) * | 2007-05-09 | 2009-02-11 | 中兴通讯股份有限公司 | 密钥更新触发方法及装置 |
| CN101964778B (zh) * | 2009-07-24 | 2014-07-30 | 华为技术有限公司 | 一种主机标识标签的安全保障方法及安全管理服务器 |
| CN102571874B (zh) * | 2010-12-31 | 2014-08-13 | 上海可鲁系统软件有限公司 | 一种分布式系统中的在线审计方法及装置 |
| CN108933662B (zh) * | 2017-05-26 | 2021-02-26 | 展讯通信(上海)有限公司 | 基于gba的认证方法、装置及终端 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6314521B1 (en) * | 1997-11-26 | 2001-11-06 | International Business Machines Corporation | Secure configuration of a digital certificate for a printer or other network device |
| JP2003318889A (ja) * | 2002-04-26 | 2003-11-07 | Nippon Telegr & Teleph Corp <Ntt> | ユーザ認証方法、通信システム、認証サーバ装置、サーバ装置及びユーザ端末装置 |
-
2004
- 2004-02-27 CN CNB2004100061001A patent/CN1302633C/zh not_active Expired - Lifetime
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6314521B1 (en) * | 1997-11-26 | 2001-11-06 | International Business Machines Corporation | Secure configuration of a digital certificate for a printer or other network device |
| JP2003318889A (ja) * | 2002-04-26 | 2003-11-07 | Nippon Telegr & Teleph Corp <Ntt> | ユーザ認証方法、通信システム、認証サーバ装置、サーバ装置及びユーザ端末装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1661955A (zh) | 2005-08-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8607315B2 (en) | Dynamic authentication in secured wireless networks | |
| CN1315268C (zh) | 一种验证用户合法性的方法 | |
| CN1265676C (zh) | 一种实现漫游用户使用拜访网络内业务的方法 | |
| US20070162958A1 (en) | Method and system for secure authentication in a wireless network | |
| CN106453361B (zh) | 一种网络信息的安全保护方法及系统 | |
| CN1697373A (zh) | 一种用户与应用服务器协商共享密钥的方法 | |
| CN105897782A (zh) | 一种针对接口的调用请求的处理方法及装置 | |
| CN1881879A (zh) | 用于验证用户的公钥框架和方法 | |
| CN110190971B (zh) | 一种基于区块链的jwt令牌认证方法 | |
| CN1838594A (zh) | 用于适应认证的系统和方法 | |
| CN1921682A (zh) | 增强通用鉴权框架中的密钥协商方法 | |
| CN1794626A (zh) | 一种防止重放攻击的方法 | |
| CN102868702B (zh) | 系统登录装置和系统登录方法 | |
| CN1620005A (zh) | 一种安全发送传输密钥的方法 | |
| CN1302633C (zh) | 一种保证通用鉴权框架系统安全的方法 | |
| CN1300976C (zh) | 一种网络应用实体获取用户身份标识信息的方法 | |
| CN100456671C (zh) | 一种分配会话事务标识的方法 | |
| CN1599314A (zh) | 一种基于s/key系统双向认证的一次性口令验证方法 | |
| CN101022330A (zh) | 提高密钥管理授权消息安全性的方法和模块 | |
| CN100450283C (zh) | 访问端和业务应用实体建立信任关系的方法 | |
| CN1688124A (zh) | 基于端口技术和认证协议的无线网络接入控制方法 | |
| CN1764116A (zh) | 用于提供远程帮助的方法和服务器 | |
| CN100466515C (zh) | 一种建立会话事务标识和网络应用实体之间关联的方法 | |
| CN100512137C (zh) | 一种删除会话事务标识及其对应信息的方法 | |
| CN1770761A (zh) | 一种基于网络密钥交换协议的地址更新方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CX01 | Expiry of patent term |
Granted publication date: 20070228 |
|
| CX01 | Expiry of patent term |