CN1649435A - 一种实现漫游用户使用拜访网络内业务的方法 - Google Patents

一种实现漫游用户使用拜访网络内业务的方法 Download PDF

Info

Publication number
CN1649435A
CN1649435A CNA2004100305171A CN200410030517A CN1649435A CN 1649435 A CN1649435 A CN 1649435A CN A2004100305171 A CNA2004100305171 A CN A2004100305171A CN 200410030517 A CN200410030517 A CN 200410030517A CN 1649435 A CN1649435 A CN 1649435A
Authority
CN
China
Prior art keywords
user
roamer
visited network
tid
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CNA2004100305171A
Other languages
English (en)
Other versions
CN1265676C (zh
Inventor
黄迎新
张文林
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nokia Technologies Oy
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CNB2004100305171A priority Critical patent/CN1265676C/zh
Priority to AT05738199T priority patent/ATE456268T1/de
Priority to PCT/CN2005/000376 priority patent/WO2005096644A1/zh
Priority to EP05738199A priority patent/EP1713289B1/en
Priority to US10/591,065 priority patent/US8275355B2/en
Priority to DE602005019028T priority patent/DE602005019028D1/de
Publication of CN1649435A publication Critical patent/CN1649435A/zh
Application granted granted Critical
Publication of CN1265676C publication Critical patent/CN1265676C/zh
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/06Selective distribution of broadcast services, e.g. multimedia broadcast multicast service [MBMS]; Services to user groups; One-way selective calling services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/18Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
    • H04W8/20Transfer of user or subscriber data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/04Large scale networks; Deep hierarchical networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明提供了一种实现漫游用户使用拜访网络内业务的方法,当拜访网络中的业务服务器接收到来自漫游用户的业务请求后,通过本网络的BSF,或本网络的通用鉴权框架代理,或本网络内的AAA服务器以及该漫游用户所属归属网络内的AAA服务器,利用归属网络的通用鉴权框架的鉴权结果,建立拜访网络业务服务器和漫游用户之间的信任关系;从而实现了漫游用户经过归属网络内的通用鉴权框架鉴权后使用其所在拜访网络内的业务。

Description

一种实现漫游用户使用拜访网络内业务的方法
技术领域
本发明涉及第三代无线通信技术领域,特别是指一种实现漫游用户使用拜访网络内业务的方法。
背景技术
在第三代无线通信标准中,通用鉴权框架是多种应用业务实体使用的一个用于完成对用户身份进行验证的通用结构,应用通用鉴权框架可实现对应用业务的用户进行检查和验证身份。上述多种应用业务可以是多播/广播业务、用户证书业务、信息即时提供业务等,也可以是代理业务,例如多个服务和一个代理相连,通用鉴权框架把代理也当作一种业务来处理,组织结构可以很灵活,而且,对于以后新开发的业务也同样可以应用通用鉴权框架对应用业务的用户进行检查和验证身份。
图1所示为通用鉴权框架的结构示意图。通用鉴权框架通常由用户101、执行用户身份初始检查验证的实体(BSF)102、用户归属网络服务器(HSS)103和网络应用实体(NAF)104组成。BSF 102用于与用户101进行互验证身份,同时生成BSF 102与用户101的共享密钥;HSS 103中存储用于描述用户信息的描述(Profile)文件,同时HSS 103还兼有产生鉴权信息的功能。
用户需要使用某种业务时,如果其知道该业务需要到BSF进行互鉴权过程,则直接到BSF进行互鉴权,否则,用户会首先和该业务对应的NAF联系,如果该NAF使用通用鉴权框架,并且发现发出请求的用户还未到BSF进行互认证过程,则通知发出请求的用户到BSF进行身份验证。
用户与BSF之间的互认证过程是:BSF接到来自用户的鉴权请求后,首先到HSS获取该用户的鉴权信息,根据所获取的鉴权信息与用户之间执行鉴权和密钥协商协议(AKA)进行互鉴权。认证成功后,用户和BSF之间互相认证了身份并且同时生成了共享密钥Ks。之后,BSF分配一个会话事务标识(TID)给用户,该TID是与Ks相关联的。
用户收到这个TID后,重新向NAF发出连接请求,且请求消息中携带了该TID。NAF收到请求后,先在本地查询是否有用户携带的该TID,如果NAF不能在本地查询到该TID,则向BSF进行查询。BSF查询到该TID后,将该TID以及该TID对应密钥信息包含在发送给NAF的成功响应消息中。NAF收到来自BSF的成功响应消息后,即认为该用户是经过BSF认证的合法用户,同时NAF和用户也共享了密钥Ks或由Ks衍生的密钥。此时,NAF与该用户在密钥Ks或由Ks衍生的密钥的保护下进行正常的通信。如果BSF不能在本地查询到该TID,则通知NAF没有该用户的信息,此时,NAF将通知用户到BSF进行认证鉴权。
下面以多播/广播业务(MBMS)为例,具体说明通用鉴权框架的用法。在无线通信领域中,多播业务是一种一点到多点的单向承载业务,数据是由一个源实体,传送到多个接收实体。在某一区域内的已订阅多播业务的用户,能够接收多播业务的服务。在多播业务中需要防止没有订阅或未付费的用户享受多播业务,因此在多播业务的群组中,针对某个具体业务都设置一个多播服务密钥(MSK)密钥,MSK只有群组内的用户和提供多播的业务的服务器知道,而群组外的用户无权知道这个密钥。多播业务服务器使用多播业务密钥(MTK)对业务数据信息进行加密,群组内的用户收到业务数据信息后使用相同的共享多播业务密钥MTK解密,从而获得业务数据信息的内容,而群组外用户因为没有这个共享密钥,所以不能获取多播信息内容。共享的MSK并不直接加密该MBMS业务的数据,它用来做接入控制,产生MTK或对MTK进行加密。
用户应用MBMS时,首先要经过通用鉴权框架的鉴权,即应用通用鉴权框架中的BSF代替MBMS的服务器对用户进行鉴权,而MBMS中的多播/广播服务器(BM-SC)则相当于通用鉴权框架中的NAF。BSF对用户进行鉴权后,BSF与用户了共享密钥Ks,并且BSF给该用户分配了TID,然后用户使用TID向BM-SC发出业务请求,BM-SC收到用户包含TID的请求后,向BSF进行查询,BSF查到该用户的信息后,返回密钥Ks或Ks衍生的密钥。这样BM-SC与用户也就共享了密钥Ks或由Ks衍生的密钥,该密钥为MBMS业务中的多播用户密钥(MUK),用来保护BM-SC到用户之间点到点的群组共享密钥MSK。也就是说,此时,用户与BM-SC之间建立了信任关系(security association),即用户相信它所连接的服务器是真实而且合法的服务器,而不是由其它设备假冒的服务器,同时业务服务器也相信请求业务的用户是一个合法用户,而不是一个攻击者。
在现有技术中,通用鉴权框架只考虑了在本网络中的使用问题,没有考虑如何使处于漫游状态的用户使用其归属网络中的通用鉴权框架。
在实际应用中,应用通用鉴权框架进行鉴权的用户处于漫游状态时,通常需要使用拜访网络的某些业务,例如漫游用户需要了解当地新闻、天气、交通等信息。由于现有技术没有考虑在拜访网络中如何使用归属网络的通用鉴权框架,因此将导致漫游的通用鉴权框架用户不能应用通用鉴权框架与拜访网络的业务服务器建立信任关系,从而使得漫游的通用鉴权框架用户不能使用拜访网络中的业务。
发明内容
有鉴于此,本发明的目的在于提供一种实现漫游用户使用拜访网络内业务的方法,使漫游用户和拜访网络的业务服务器能够通过该用户所属归属网络内的通用鉴权框架建立信任关系,从而能够正常使用拜访网络提供的业务。
为达到上述目的,本发明的技术方案是这样实现的:
一种实现漫游用户使用拜访网络内业务的方法,该方法包括以下步骤:
拜访网络内的业务服务器接收到来自漫游用户的包含TID信息的业务请求消息后,根据该漫游用户所属归属网络的通用鉴权框架鉴权结果,建立拜访网络内业务服务器和漫游用户之间的信任关系,实现漫游用户使用拜访网络内业务。
较佳地,所述根据该漫游用户所属归属网络的通用鉴权框架的鉴权结果,建立拜访网络业务内服务器和漫游用户之间的信任关系进一步包括以下步骤:
a、拜访网络内的业务服务器直接向本网络内的BSF或通用鉴权框架代理发送查询该TID所对应的用户是否合法的消息;
b、接收到步骤a所述查询消息的BSF或通用鉴权框架代理,直接向归属网络内的BSF发送查询与该TID所对应的用户是否合法的消息;
c、归属网络内的BSF在本地检测到与该TID对应的用户信息后,给拜访网络内的BSF或通用鉴权框架代理返回与该TID对应的用户信息;
d、拜访网络内的业务服务器接收到本网络内的BSF或通用鉴权框架代理返回的与该TID对应的用户信息后,建立与该漫游用户之间的信任关系。
较佳地,所述通用鉴权框架代理是一个独立的服务器,或与本网络内的AAA服务器合设的服务器,或与本网络内的业务服务器合设的服务器。
较佳地,所述根据该漫游用户所属归属网络的通用鉴权框架的鉴权结果,建立拜访网络内业务服务器和漫游用户之间的信任关系进一步包括以下步骤:
a、拜访网络内的业务服务器直接向本网络内AAA服务器发送查询该TID所对应的用户是否合法的消息,
b、接收到步骤a所述查询消息的AAA服务器根据该消息中的TID确认该用户所属归属网络后,直接向该漫游用户所属归属网络内的AAA服务器发送查询该TID所对应的用户是否合法的消息;
c、归属网络内的AAA服务器直接向本网络中的BSF进行查询,BSF在本地检测到与该TID对应的用户信息后,通过本网络中的AAA服务器和拜访网络中的AAA服务器给拜访网络中的业务服务器返回与该TID对应的用户信息;
d、拜访网络内的业务服务器接收到来自本网络的AAA服务器的与该TID对应的用户信息后,建立与该漫游用户之间的信任关系。
较佳地,所述与该TID对应的用户信息至少包括密钥信息和用户的身份标识。
较佳地,所述与该TID对应的用户信息还包括与安全相关的profile信息。
较佳地,所述根据该漫游用户所属归属网络的通用鉴权框架的鉴权结果,建立拜访网络业务内服务器和漫游用户之间的信任关系进一步包括以下步骤:
a、拜访网络内的业务服务器通知漫游用户该标识非法,并提示用户使用永久身份标识;
b、拜访网络内的业务服务器再次接收到来自漫游用户的包含永久身份标识的业务请求信息后,向本网络内的AAA服务器发出鉴权请求;拜访网络内的AAA服务器根据用户的永久身份标识确认出该用户所属的归属网络后,直接向该漫游用户所属归属网络内的AAA服务器发送对该用户进行鉴权的请求;
c、归属网络内的AAA服务器接收到来自拜访网络AAA服务器的鉴权请求后,请求本网络内的BSF对该用户进行鉴权;
d、归属网络内的BSF,经本网络内的AAA服务器、拜访网络内的AAA服务器以及拜访网络内的BM-SC,与用户进行AKA鉴权,鉴权成功后,直接给拜访网络内的BM-SC返回鉴权成功消息,且该消息中包含对该用户的授权信息;
e、拜访网络内的业务服务器接收到归属网络内的AAA服务器和本网络内的AAA服务器转发的用户授权信息,建立与该漫游用户之间的信任关系。
较佳地,所述用户的授权信息中至少包括:密钥信息和和用户的身份标识。
较佳地,所述用户的身份标识的类型根据网络运营商的策略而定。
较佳地,该方法进一步包括:漫游用户与所属归属网络内的BSF进行了成功的AKA鉴权,向拜访网络内的业务服务器发送包含TID标识的业务请求消息,然后再执行后续步骤。
应用本发明,当拜访网络内的业务服务器接收到来自漫游用户的包含TID信息的业务请求消息后,根据该漫游用户所属归属网络的通用鉴权框架鉴权结果,建立拜访网络业务服务器和漫游用户之间的信任关系,从而实现了漫游用户通过该用户所属归属网络内的通用鉴权框架使用拜访网络内的业务。由于本发明使得漫游用户在使用拜访网络业务时,仍然可以使用本网通用鉴权框架的鉴权结果,因而充分利用了现有网络结构,节省了资源。本发明增加了一种用户使用拜访网络业务的途径,使得拜访网络能够最大限度的为用户提供业务。另外,即使拜访网络内的业务服务器完全不认识TID标识,漫游用户也可以应用其所属网络的通用鉴权框架完成鉴权过程,从而减少了由AAA服务器进行鉴权时因序列号(SQN)失步造成的鉴权失败的情况。
附图说明
图1所示为通用鉴权框架的结构示意图;
图2所示为应用本发明实施例一的示意图;
图3所示为应用本发明实施例二的示意图;
图4所示为应用本发明实施例三的示意图。
具体实施方式
为使本发明的技术方案更加清楚,下面结合附图及具体实施例再对本发明做进一步地详细说明。
本发明的思路是:拜访网络中的业务服务器接收到来自漫游用户的业务请求后,通过本网络的BSF,或本网络的通用鉴权框架代理,或本网络内的AAA服务器以及该漫游用户所属归属网络内的AAA服务器,利用归属网络的通用鉴权框架的鉴权结果,建立拜访网络业务服务器和漫游用户之间的信任关系;从而实现了漫游用户经过归属网络内的通用鉴权框架鉴权后使用其所在拜访网络内的业务。
为了更好地说明漫游用户如何使用归属网络中的通用鉴权框架,下面首先说明几种可能存在的情况。
对于漫游用户而言,其可能需要使用归属网络中的业务,也可能需要使用拜访网络中的业务。
当漫游用户使用归属网络中的业务时,由于网络间都是IP连接,因而漫游用户可通过应用层直接与归属网络中的业务服务器进行通信,并可以直接使用归属网络中的通用鉴权框架。这与现有技术使用方法完全相同。
下面具体说明漫游用户使用拜访网络内业务的情况。
对于漫游用户所在的拜访网络而言,其可能存在以下四种情况:
1)该用户所在的拜访网络支持通用鉴权框架。
2)该用户所在的拜访网络不支持通用鉴权框架,但支持通用鉴权框架代理。在这种情况下,拜访网络内可能存在一个单独的支持通用鉴权框架代理的服务器,但在实际应用中,通常将该服务器与其它实体合设,例如将支持通用鉴权框架代理的服务器与AAA合设,由AAA实现支持通用鉴权框架代理的功能,即由AAA实现对TID分析和路由功能;拜访网络内也可能不存在支持通用鉴权框架代理的单独的服务器,而是拜访网络中的各个服务器均支持通用鉴权框架代理功能,即由每个实际的业务服务器实现对TID分析和路由功能(由于1)和2)的处理方法很类似,在下面以一个实施例加以说明)。
3)该用户所在的拜访网络不支持通用鉴权框架,也不支持通用鉴权框架代理,且拜访网络中的业务服务器不对TID进行鉴别,也不对TID进行处理,仅把TID标识看作是一种用户身份标识,并将该标识直接传递给本网络中的AAA服务器,请求AAA服务器进行鉴权。
4)该用户所在的拜访网络不支持通用鉴权框架,也不支持通用鉴权框架代理,且拜访网络中的业务服务器对自身接收到的标识进行鉴别,但由于在拜访网络中根本没有通用鉴权框架的概念,所以业务服务器不认识TID标识,因此它要求用户使用自己的永久身份标识,如国际移动用户识别码(IMSI)等。
下面以漫游用户应用其所在拜访网络中的MBMS业务为例,具体说明其实现应用拜访网络内业务的方法,其中BM-SC为MBMS业务的业务服务器。
图2所示为应用本发明实施例一的示意图。业务服务器通过直接查询该漫游用户在所属归属网络的通用鉴权框架鉴权结果,与漫游用户之间建立信任关系的步骤如下:
步骤201,漫游用户与归属网络内通用鉴权框架中的BSF执行AKA互鉴权,鉴权通过后,得到了BSF分配的TID,且此时漫游用户与归属网络内的BSF共享了密钥Ks;
步骤202,漫游用户向拜访网络的BM-SC发送包含TID信息的业务请求消息;
步骤203,如果拜访网络支持通用鉴权框架,则BM-SC向本网络内的BSF发送查询与该TID相对应的用户信息,以判断该用户是否通过鉴权,即判断该用户是否合法;
如果拜访网络仅支持通用鉴权框架代理功能,且支持通用鉴权框架代理功能由一个单独的服务器实现,该则BM-SC向本网络内实现通用鉴权框架代理的服务器发送查询与该TID对应的用户信息;
如果拜访网络仅支持通用鉴权框架代理,且是每个业务服务器自己支持通用鉴权框架代理的功能,则BM-SC同样查询与该TID对应的用户信息,只是该查询是在该业务服务器的内部接口中实现;
步骤204,拜访网络内的BSF或通用鉴权框架代理,根据接收到的TID标识判断该漫游用户所属的归属网络;
步骤205,拜访网络内的BSF或通用鉴权框架代理向漫游用户所属归属网络内的BSF查询与该TID对应的用户信息,即查询该用户是否合法;
步骤206,归属网络的BSF检索到与该TID对应的用户信息后,根据本地运营商的策略进行处理,该处理可以是直接发送与TID对应的密钥Ks给请求者,或对密钥Ks进行密钥衍生,将衍生的密钥发送给请求者,同时设定所发送密钥的有效期限;
步骤207,归属网络的BSF返回与与该TID对应的用户信息给拜访网络的BSF或通用鉴权框架代理;上述与该TID对应的用户信息包括密钥信息、用户的身份标识,和与安全相关的profile信息,其中,密钥信息和用户的身份标识是必选项,密钥信息用于保证用户与BM-SC之间进行正常的通信,用户的身份标识用于计费,如果拜访网络不能确定用户的真实身份,在其与归属网络进行网间结算时将出现问题;与安全相关的profile信息是可选项;
步骤208,拜访网络的BSF或通用鉴权框架代理将TID的相关信息返回给BM-SC,BM-SC收到与该TID对应的用户信息后,即建立了与漫游用户之间的信任关系,也就是认为该请求用户合法,同时,BM-SC也和UE共享了Ks或由Ks衍生的密钥,该密钥作为MBMS业务的MUK,用于保护群组共享密钥MSK的点到点保密传送;
步骤209,BM-SC发确认消息给该用户,并和该用户进行MBMS业务内部密钥分发,业务发送等相关的业务过程。
至此,漫游用户实现了使用归属网络中的通用鉴权框架应用拜访网络中的业务。上述方法适用于漫游用户所在拜访网络支持通用鉴权框架,或支持通用鉴权框架代理的情况。
图3所示为应用本发明实施例二的示意图。业务服务器通过直接查询该漫游用户在所属归属网络的通用鉴权框架鉴权结果,与漫游用户之间建立信任关系的步骤如下:
步骤301,漫游用户与归属网络内通用鉴权框架中的BSF执行AKA互鉴权,鉴权通过后,得到了BSF分配的TID,且此时漫游用户与归属网络内的BSF共享了密钥Ks;
步骤302,漫游用户向拜访网络的BM-SC发送包含TID信息的业务请求消息;
步骤303,拜访网络的BM-SC不检查该用户的身份是否合法,而是直接将该TID作为用户身份标识,向本网络内的AAA服务器发出查询请求,即请求本网络的AAA对该用户进行鉴权,即判断该用户是否合法;
步骤304,拜访网络的AAA服务器根据TID标识的格式(TID的标识格式为用户标识@域名),判断出用户所属的归属网络;
步骤305,拜访网络的AAA服务器向该漫游用户所属归属网络内的AAA服务器发出查询TID的请求,即请求归属网络内的AAA服务器对该用户进行鉴权;
步骤306,归属网络内的AAA服务器收到查询TID的消息后,由于其知道TID标识是由本网的通用鉴权框架中的BSF分配的,因此其向BSF进行查询;BSF和AAA服务器在某些执行功能上是类似的,所以BSF也可能是由网络中的某个AAA服务器来兼任,在这种情况下,BSF和AAA服务器之间的消息是内部接口消息;
步骤307,归属网络的BSF检索到与该TID对应的用户信息后,根据本地运营商的策略进行处理,该处理可以是直接发送与TID对应的密钥Ks给请求者,或对密钥Ks进行密钥衍生,将衍生的密钥发送给请求者,同时设定所发送密钥的有效期限;
步骤308,归属网络的BSF返回与与该TID对应的用户信息给本网络的AAA服务器;上述与该TID对应的用户信息包括密钥信息、用户的身份标识,和与安全相关的profile信息,其中,密钥信息和用户的身份标识是必选项,密钥信息用于保证用户与BM-SC之间进行正常的通信,用户的身份标识用于计费,如果拜访网络不能确定用户的真实身份,在其与归属网络进行网间结算时将出现问题;安全相关的profile信息是可选项;
步骤309,归属网络的AAA服务器返回与与该TID对应的用户信息给拜访网络内的AAA服务器;拜访网络内的AAA服务器接收到归属网络的AAA服务器返回的消息后,即认为归属网络已经对用户进行了鉴权,该查询返回消息相当于授权消息;
步骤310,拜访网络的AAA服务器将与该TID对应的用户信息返回给BM-SC,BM-SC收到TID相关信息后,即建立了与漫游用户之间的信任关系,也就是认为该请求用户合法,同时,BM-SC也和UE共享了Ks或由Ks衍生的密钥,该密钥作为MBMS业务的MUK,用于保护群组共享密钥MSK的点到点保密传送;
步骤311,BM-SC发确认消息给该用户,并和该用户进行MBMS业务内部密钥分发,业务发送等相关的业务过程。
至此,漫游用户实现了使用归属网络中的通用鉴权框架应用拜访网络中的业务。上述方法适用于漫游用户所在拜访网络不支持通用鉴权框架,也不支持通用鉴权框架代理,且拜访网络中的业务服务器不鉴别TID标识,只是将其作为一种用户身份标识,传递给本网络中的AAA服务器,请求AAA服务器对该用户进行鉴权的情况。
图4所示为应用本发明实施例三的示意图。业务服务器通过与该漫游用户所属归属网络的通用鉴权框架实施鉴权过程,获取鉴权结果,根据该鉴权结果与漫游用户之间建立信任关系的步骤如下:
步骤401,漫游用户与归属网络内通用鉴权框架中的BSF执行AKA互鉴权,鉴权通过后,得到了BSF分配的TID,且此时漫游用户与归属网络内的BSF共享了密钥Ks;
步骤402,漫游用户向拜访网络的BM-SC发送包含TID信息的业务请求消息;
步骤403,由于BM-SC不能识别TID标识,因此BM-SC通知漫游用户该标识非法,并提示用户使用永久身份标识,如IMSI等;
步骤404,漫游用户向BM-SC发送包含永久身份标识的业务请求;
步骤405,拜访网络的BM-SC向本网络内的AAA服务器发出鉴权请求;
步骤406,拜访网络的AAA服务器根据用户的身份标识判断出用户的归属网络,然后向该漫游用户所属归属网络内的AAA服务器发出鉴权请求;
步骤407,归属网络内的AAA服务器请求本网络内的通用鉴权框架中的BSF进行鉴权,这是因为:虽然AAA服务器本身具有鉴权计费功能,且在地位上是与BSF相同的,但在实际应用中,不同的AAA服务器在对用户进行鉴权时,容易出现因序列号(SQN)失步而导致鉴权失败的情况,出现的具体原因在现有已公布的文章中有描述,所以对通用鉴权框架支持的业务采用通用鉴权框架对用户进行鉴权,以保证鉴权的成功率;
步骤408,归属网络内BSF与用户完成AKA的鉴权过程,该鉴权过程中的消息在逻辑上是经过拜访网络的BM-SC,拜访网络的AAA,归属网络的AAA转发的;
步骤409,鉴权成功后,归属网络内的BSF给拜访网络的BM-SC返回鉴权成功消息,因为归属网络内的BSF已经知道鉴权请求是来自哪个具体的业务服务器,因此,归属网络内的BSF直接将用户的密钥资料等信息包含在鉴权成功和授权的消息中,如果归属网络内的BSF在鉴权的同时给用户分配了TID,则该TID也可以包括在授权消息中通知给BM-SC服务器;
步骤410,归属网络内的AAA服务器向拜访网络内的AAA服务器转发该鉴权成功的消息;
步骤411,拜访网络的AAA服务器转发鉴权成功和授权消息给BM-SC,即BM-SC建立了与漫游用户之间的信任关系;虽然BM-SC不能够识别TID标识,但它仍然可以在后面的通信中使用TID,这时TID将作为一种临时身份标识使用,其使用的方法与现有临时身份标识的使用方法相同;
步骤412,BM-SC收到鉴权成功和授权消息后,发确认消息给该用户,并和该用户进行MBMS业务内部密钥分发,业务发送等相关的业务过程。至于BM-SC和用户在后续的通信过程中使用哪种用户身份标识,根据拜访网络运营商的策略而定。
至此,漫游用户实现了使用归属网络中的通用鉴权框架应用拜访网络中的业务。上述方法适用于该用户所在的拜访网络不支持通用鉴权框架,也不支持通用鉴权框架代理,且拜访网络中的业务服务器对用户请求消息中的标识进行鉴别,但因为在拜访网络中根本没有通用鉴权框架的概念,所以业务服务器不能识别TID标识,因此业务服务器要求用户使用自己的永久身份标识的情况。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (10)

1、一种实现漫游用户使用拜访网络内业务的方法,其特征在于,该方法包括以下步骤:
拜访网络内的业务服务器接收到来自漫游用户的包含TID信息的业务请求消息后,根据该漫游用户所属归属网络的通用鉴权框架鉴权结果,建立拜访网络内业务服务器和漫游用户之间的信任关系,实现漫游用户使用拜访网络内业务。
2、根据权利要求1所述的方法,其特征在于,所述根据该漫游用户所属归属网络的通用鉴权框架的鉴权结果,建立拜访网络业务内服务器和漫游用户之间的信任关系进一步包括以下步骤:
a、拜访网络内的业务服务器直接向本网络内的BSF或通用鉴权框架代理发送查询该TID所对应的用户是否合法的消息;
b、接收到步骤a所述查询消息的BSF或通用鉴权框架代理,直接向归属网络内的BSF发送查询与该TID所对应的用户是否合法的消息;
c、归属网络内的BSF在本地检测到与该TID对应的用户信息后,给拜访网络内的BSF或通用鉴权框架代理返回与该TID对应的用户信息;
d、拜访网络内的业务服务器接收到本网络内的BSF或通用鉴权框架代理返回的与该TID对应的用户信息后,建立与该漫游用户之间的信任关系。
3、根据权利要求2所述的方法,其特征在于,所述通用鉴权框架代理是一个独立的服务器,或与本网络内的AAA服务器合设的服务器,或与本网络内的业务服务器合设的服务器。
4、根据权利要求1所述的方法,其特征在于,所述根据该漫游用户所属归属网络的通用鉴权框架的鉴权结果,建立拜访网络内业务服务器和漫游用户之间的信任关系进一步包括以下步骤:
a、拜访网络内的业务服务器直接向本网络内AAA服务器发送查询该TID所对应的用户是否合法的消息,
b、接收到步骤a所述查询消息的AAA服务器根据该消息中的TID确认该用户所属归属网络后,直接向该漫游用户所属归属网络内的AAA服务器发送查询该TID所对应的用户是否合法的消息;
c、归属网络内的AAA服务器直接向本网络中的BSF进行查询,BSF在本地检测到与该TID对应的用户信息后,通过本网络中的AAA服务器和拜访网络中的AAA服务器给拜访网络中的业务服务器返回与该TID对应的用户信息;
d、拜访网络内的业务服务器接收到来自本网络的AAA服务器的与该TID对应的用户信息后,建立与该漫游用户之间的信任关系。
5、根据权利要求2或4所述的方法,其特征在于,所述与该TID对应的用户信息至少包括密钥信息和用户的身份标识。
6、根据权利要求5所述的方法,其特征在于,所述与该TID对应的用户信息还包括与安全相关的profile信息。
7、根据权利要求1所述的方法,其特征在于,所述根据该漫游用户所属归属网络的通用鉴权框架的鉴权结果,建立拜访网络业务内服务器和漫游用户之间的信任关系进一步包括以下步骤:
a、拜访网络内的业务服务器通知漫游用户该标识非法,并提示用户使用永久身份标识;
b、拜访网络内的业务服务器再次接收到来自漫游用户的包含永久身份标识的业务请求信息后,向本网络内的AAA服务器发出鉴权请求;拜访网络内的AAA服务器根据用户的永久身份标识确认出该用户所属的归属网络后,直接向该漫游用户所属归属网络内的AAA服务器发送对该用户进行鉴权的请求;
c、归属网络内的AAA服务器接收到来自拜访网络AAA服务器的鉴权请求后,请求本网络内的BSF对该用户进行鉴权;
d、归属网络内的BSF,经本网络内的AAA服务器、拜访网络内的AAA服务器以及拜访网络内的BM-SC,与用户进行AKA鉴权,鉴权成功后,直接给拜访网络内的BM-SC返回鉴权成功消息,且该消息中包含对该用户的授权信息;
e、拜访网络内的业务服务器接收到归属网络内的AAA服务器和本网络内的AAA服务器转发的用户授权信息,建立与该漫游用户之间的信任关系。
8、根据权利要求7所述的方法,其特征在于,所述用户的授权信息中至少包括:密钥信息和和用户的身份标识。
9、根据权利要求8所述的方法,其特征在于,所述用户的身份标识的类型根据网络运营商的策略而定。
10、根据权利要求1所述的方法,其特征在于,该方法进一步包括:漫游用户与所属归属网络内的BSF进行了成功的AKA鉴权,向拜访网络内的业务服务器发送包含TID标识的业务请求消息,然后再执行后续步骤。
CNB2004100305171A 2004-04-02 2004-04-02 一种实现漫游用户使用拜访网络内业务的方法 Expired - Lifetime CN1265676C (zh)

Priority Applications (6)

Application Number Priority Date Filing Date Title
CNB2004100305171A CN1265676C (zh) 2004-04-02 2004-04-02 一种实现漫游用户使用拜访网络内业务的方法
AT05738199T ATE456268T1 (de) 2004-04-02 2005-03-24 Verfahren zum aufbauen einer sicherheitsbeziehung zwischen einem roaming-teilnehmer und dem server des festnetzes
PCT/CN2005/000376 WO2005096644A1 (fr) 2004-04-02 2005-03-24 Procede d'etablissement d'une association de securite entre l'abonne itinerant et le serveur du reseau visite
EP05738199A EP1713289B1 (en) 2004-04-02 2005-03-24 A method for establishing security association between the roaming subscriber and the server of the visited network
US10/591,065 US8275355B2 (en) 2004-04-02 2005-03-24 Method for roaming user to establish security association with visited network application server
DE602005019028T DE602005019028D1 (de) 2004-04-02 2005-03-24 Verfahren zum aufbauen einer Sicherheitsbeziehung zwischen einem Roaming-Teilnehmer und dem Server des Festnetzes

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CNB2004100305171A CN1265676C (zh) 2004-04-02 2004-04-02 一种实现漫游用户使用拜访网络内业务的方法

Publications (2)

Publication Number Publication Date
CN1649435A true CN1649435A (zh) 2005-08-03
CN1265676C CN1265676C (zh) 2006-07-19

Family

ID=34868495

Family Applications (1)

Application Number Title Priority Date Filing Date
CNB2004100305171A Expired - Lifetime CN1265676C (zh) 2004-04-02 2004-04-02 一种实现漫游用户使用拜访网络内业务的方法

Country Status (6)

Country Link
US (1) US8275355B2 (zh)
EP (1) EP1713289B1 (zh)
CN (1) CN1265676C (zh)
AT (1) ATE456268T1 (zh)
DE (1) DE602005019028D1 (zh)
WO (1) WO2005096644A1 (zh)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101043264B (zh) * 2007-04-17 2010-05-26 华为技术有限公司 建立移动网络隧道的方法、移动网络及中继节点
CN101616407B (zh) * 2008-06-25 2011-04-27 华为技术有限公司 预认证的方法和认证系统
CN101094439B (zh) * 2006-06-23 2011-05-04 华为技术有限公司 无线通信系统中为广播业务动态分配资源的方法及装置
CN101312592B (zh) * 2007-05-25 2012-02-08 中兴通讯股份有限公司 私有基站的接入控制方法
CN106211085A (zh) * 2015-04-30 2016-12-07 中国移动通信集团公司 一种业务管理方法、终端设备、网络设备及系统
WO2022001964A1 (zh) * 2020-06-30 2022-01-06 华为技术有限公司 一种通信方法、终端设备和无线接入网设备
CN113923659A (zh) * 2016-09-12 2022-01-11 中兴通讯股份有限公司 入网认证方法及装置

Families Citing this family (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2005004456A1 (en) * 2003-06-18 2005-01-13 Telefonaktiebolaget Lm Ericsson (Publ) Online charging in mobile networks
US8526914B2 (en) * 2004-06-04 2013-09-03 Alcatel Lucent Self-synchronizing authentication and key agreement protocol
US8046824B2 (en) 2005-04-11 2011-10-25 Nokia Corporation Generic key-decision mechanism for GAA
US7831237B2 (en) 2006-02-03 2010-11-09 Broadcom Corporation Authenticating mobile network provider equipment
US8818360B2 (en) * 2006-03-15 2014-08-26 Tekelec Global, Inc. Methods, systems and computer program products for integrating roaming control in a signaling message routing node
US8522025B2 (en) * 2006-03-28 2013-08-27 Nokia Corporation Authenticating an application
DE102006054091B4 (de) * 2006-11-16 2008-09-11 Siemens Ag Bootstrapping-Verfahren
CN101675677B (zh) * 2007-05-15 2013-02-20 诺基亚公司 用于密钥更新的方法、装置、系统
US8613058B2 (en) * 2007-05-31 2013-12-17 At&T Intellectual Property I, L.P. Systems, methods and computer program products for providing additional authentication beyond user equipment authentication in an IMS network
FI122163B (fi) * 2007-11-27 2011-09-15 Teliasonera Ab Verkkopääsyautentikointi
US8819765B2 (en) 2008-01-22 2014-08-26 Telefonaktiebolaget L M Ericsson (Publ) Security policy distribution to communication terminals
CN101605353B (zh) 2008-06-13 2012-08-29 上海华为技术有限公司 一种数据通讯方法及通讯系统以及相关装置
US20100197272A1 (en) 2009-02-03 2010-08-05 Jeyhan Karaoguz Multiple Network, Shared Access Security Architecture Supporting Simultaneous Use Of Single SIM Multi-Radio Device And/Or Phone
EP2425644B1 (en) 2009-05-01 2017-11-22 Nokia Technologies Oy Systems, methods, and apparatuses for facilitating authorization of a roaming mobile terminal
FR2973637A1 (fr) * 2011-03-31 2012-10-05 France Telecom Mise en place d'une association de securite de type gba pour un terminal dans un reseau de telecommunications mobiles
IN2014DN09106A (zh) * 2012-05-03 2015-05-22 Ericsson Telefon Ab L M
FR2992811A1 (fr) * 2012-07-02 2014-01-03 France Telecom Mise en place d'une association de securite lors de l'attachement d'un terminal a un reseau d'acces
US9686280B2 (en) * 2013-07-01 2017-06-20 Telefonaktiebolaget Lm Ericsson (Publ) User consent for generic bootstrapping architecture
US9167410B1 (en) * 2013-12-20 2015-10-20 Sprint Communications Company L.P. Policy-based roaming control for wireless communication devices
WO2016165737A1 (en) * 2015-04-13 2016-10-20 Telefonaktiebolaget Lm Ericsson (Publ) Wireless communications
CN108604280B (zh) * 2016-03-30 2021-05-04 华为技术有限公司 交易方法、交易信息处理方法、交易终端及服务器
CN107820234B (zh) * 2016-09-14 2021-02-23 华为技术有限公司 一种网络漫游保护方法、相关设备及系统
JP7262390B2 (ja) 2017-02-07 2023-04-21 ウォロッケット ソリューションズ リミテッド ライアビリティ カンパニー 信頼できないネットワークを用いたインタワーキング機能

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100363944B1 (ko) * 1999-08-16 2002-12-11 한국전자통신연구원 상이한 규격의 이동통신 시스템간의 글로벌 로밍을 위한 인증 시스템 및 그 인증 방법
US6526033B1 (en) * 1999-09-17 2003-02-25 Lucent Technologies Inc. Delivering calls to GSM subscribers roaming to CDMA networks via IP tunnels
NO313980B1 (no) 2001-02-08 2003-01-06 Ericsson Telefon Ab L M Fremgangsmåte og modul for mobil e-handel
US6879690B2 (en) * 2001-02-21 2005-04-12 Nokia Corporation Method and system for delegation of security procedures to a visited domain
KR100383552B1 (ko) * 2001-05-12 2003-05-12 에스케이 텔레콤주식회사 복수개의 착신 인식자를 가진 차세대 이동 통신망 가입단말기의 착신 방법
US7231521B2 (en) * 2001-07-05 2007-06-12 Lucent Technologies Inc. Scheme for authentication and dynamic key exchange
US7213144B2 (en) 2001-08-08 2007-05-01 Nokia Corporation Efficient security association establishment negotiation technique
KR20030025751A (ko) * 2001-09-24 2003-03-29 주식회사 머큐리 이동 가입자의 로밍 서비스 지원 시스템 및 그 방법
AU2002356669A1 (en) * 2001-12-21 2003-07-09 Motorola Inc A terminal-based service identification mechanism
US20040205212A1 (en) * 2003-03-31 2004-10-14 Nokia Corporation Method and system for forwarding a service-related information to a network user
GB0326265D0 (en) * 2003-11-11 2003-12-17 Nokia Corp Shared secret usage for bootstrapping

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101094439B (zh) * 2006-06-23 2011-05-04 华为技术有限公司 无线通信系统中为广播业务动态分配资源的方法及装置
CN101043264B (zh) * 2007-04-17 2010-05-26 华为技术有限公司 建立移动网络隧道的方法、移动网络及中继节点
CN101312592B (zh) * 2007-05-25 2012-02-08 中兴通讯股份有限公司 私有基站的接入控制方法
CN101616407B (zh) * 2008-06-25 2011-04-27 华为技术有限公司 预认证的方法和认证系统
US8407474B2 (en) 2008-06-25 2013-03-26 Huawei Technologies Co., Ltd. Pre-authentication method, authentication system and authentication apparatus
CN106211085A (zh) * 2015-04-30 2016-12-07 中国移动通信集团公司 一种业务管理方法、终端设备、网络设备及系统
CN113923659A (zh) * 2016-09-12 2022-01-11 中兴通讯股份有限公司 入网认证方法及装置
US11778458B2 (en) 2016-09-12 2023-10-03 Zte Corporation Network access authentication method and device
US12096207B2 (en) 2016-09-12 2024-09-17 Zte Corporation Network access authentication method and device
WO2022001964A1 (zh) * 2020-06-30 2022-01-06 华为技术有限公司 一种通信方法、终端设备和无线接入网设备

Also Published As

Publication number Publication date
US8275355B2 (en) 2012-09-25
EP1713289B1 (en) 2010-01-20
EP1713289A4 (en) 2007-04-11
ATE456268T1 (de) 2010-02-15
CN1265676C (zh) 2006-07-19
US20080160959A1 (en) 2008-07-03
DE602005019028D1 (de) 2010-03-11
WO2005096644A1 (fr) 2005-10-13
EP1713289A1 (en) 2006-10-18

Similar Documents

Publication Publication Date Title
CN1265676C (zh) 一种实现漫游用户使用拜访网络内业务的方法
CN1203689C (zh) 处理有关经蜂窝网连接到分组数据网的终端的位置信息的方法
CN1186906C (zh) 无线局域网安全接入控制方法
US7461248B2 (en) Authentication and authorization in heterogeneous networks
EP1705828B1 (en) A method of obtaining the user identification for the network application entity
CN1315268C (zh) 一种验证用户合法性的方法
CN1977514A (zh) 用户鉴权
CN1636378A (zh) 移动因特网协议中的寻址机制
CN1659922A (zh) 用于询问-应答用户鉴权的方法和系统
CN1689369A (zh) 用于经由接入网建立连接的方法和系统
CN1764107A (zh) 在建立对等安全上下文时验证移动网络节点的方法
CN1914848A (zh) 用于网络元件的密钥管理
CN1921682B (zh) 增强通用鉴权框架中的密钥协商方法
EP2415231A2 (en) Security key management in ims-based multimedia broadcast and multicast services (mbms)
CN1929371A (zh) 用户和外围设备协商共享密钥的方法
CN1835436A (zh) 一种通用鉴权框架及一种实现鉴权的方法
CN1610319A (zh) 无线局域网中选定业务的解析接入处理方法
CN1809072A (zh) 一种向后兼容的认证、授权、计费系统网络结构和实现方法
CN1941695A (zh) 初始接入网络过程的密钥生成和分发的方法及系统
CN101039181A (zh) 防止通用鉴权框架中服务功能实体受攻击的方法
CN101047505A (zh) 一种网络应用push业务中建立安全连接的方法及系统
CN1795656A (zh) 移动通信系统中的安全通信改向
US20090196424A1 (en) Method for security handling in a wireless access system supporting multicast broadcast services
CN1905734A (zh) 一种目标基站获取鉴权密钥的方法及系统
CN101079786A (zh) 互连系统、互连系统中的认证方法和终端

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
EE01 Entry into force of recordation of patent licensing contract

Application publication date: 20050803

Assignee: APPLE Inc.

Assignor: HUAWEI TECHNOLOGIES Co.,Ltd.

Contract record no.: 2015990000755

Denomination of invention: Method for realizing roaming user to visit network inner service

Granted publication date: 20060719

License type: Common License

Record date: 20150827

LICC Enforcement, change and cancellation of record of contracts on the licence for exploitation of a patent or utility model
CP01 Change in the name or title of a patent holder

Address after: Espoo, Finland

Patentee after: NOKIA TECHNOLOGIES OY

Address before: Espoo, Finland

Patentee before: Nokia Technologies

CP01 Change in the name or title of a patent holder
TR01 Transfer of patent right

Effective date of registration: 20190319

Address after: Espoo, Finland

Patentee after: Nokia Technologies

Address before: 518129 Bantian HUAWEI headquarters office building, Longgang District, Guangdong, Shenzhen

Patentee before: HUAWEI TECHNOLOGIES Co.,Ltd.

TR01 Transfer of patent right
CX01 Expiry of patent term

Granted publication date: 20060719

CX01 Expiry of patent term