CN1770685A - 一种保证用户身份标识私密性的方法 - Google Patents
一种保证用户身份标识私密性的方法 Download PDFInfo
- Publication number
- CN1770685A CN1770685A CN 200410088580 CN200410088580A CN1770685A CN 1770685 A CN1770685 A CN 1770685A CN 200410088580 CN200410088580 CN 200410088580 CN 200410088580 A CN200410088580 A CN 200410088580A CN 1770685 A CN1770685 A CN 1770685A
- Authority
- CN
- China
- Prior art keywords
- user
- tid
- user identity
- bsf
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供了一种保证用户身份标识私密性的方法,其关键是,BSF接收到来自用户终端的鉴权请求后,判断该请求中是包含B-TID还是用户身份标识,如是用户身份标识,则按照现有的处理方式继续后续处理;如是B-TID,则进一步判断本地是否存在该B-TID,如存在,则提取该B-TID对应的用户身份标识,并根据该用户身份标识从用户归属网络服务器HSS中获取鉴权信息,然后按照现有的处理方式继续后续处理,否则,BSF要求用户发送包含用户身份标识的鉴权请求,然后按照现有的处理方式继续后续处理。本发明减少了用户身份标识的使用次数,避免了用户身份标识被追踪的可能,提高了用户身份标识在空中接口的安全性,从而保证了用户身份标识的私密性。
Description
技术领域
本发明涉及第三代无线通信技术领域,特别是指在应用通用鉴权框架过程中,一种保证用户身份标识私密性的方法。
背景技术
在第三代无线通信标准中,通用鉴权框架是多种应用业务实体使用的一个用于完成对用户身份进行验证的通用结构,应用通用鉴权框架可实现对应用业务的用户进行检查和验证身份。上述多种应用业务可以是多播/广播业务、用户证书业务、信息即时提供业务等,也可以是代理业务。
图1所示为通用鉴权框架的结构示意图。通用鉴权框架通常由用户101、执行用户身份初始检查验证的实体(BSF)102、用户归属网络服务器(HSS)103和网络业务应用实体(NAF)104组成。BSF 102用于与用户101进行互验证身份,同时生成BSF 102与用户101的共享密钥;HSS 103中存储用于描述用户信息的描述(Profile)文件,同时HSS 103还兼有产生鉴权信息的功能。
用户需要使用某种业务时,如果其知道需要首先到BSF进行互鉴权过程,则直接与BSF联系进行互鉴权,否则,用户会首先和该业务对应的NAF联系,如果该NAF使用通用鉴权框架,并且发现发出请求的用户还未到BSF进行互鉴权,则通知发出请求的用户到BSF进行互鉴权以验证身份。
用户与BSF之间的互认证过程是:用户向BSF发出鉴权请求,该鉴权请求消息中包括用户的永久身份标识(IMPI)或由国际移动用户识别码(IMSI)转换得到的IMPI,BSF接到来自用户的鉴权请求后,首先到HSS获取该用户的鉴权信息,BSF向HSS请求鉴权的消息中也包含了用户的永久身份标识,HSS根据用户的永久身份标识查找到该用户的属性信息并且生成鉴权矢量返回给BSF,BSF根据所获取的鉴权信息与用户之间执行鉴权和密钥协商协议(AKA)进行互鉴权。鉴权成功后,用户和BSF之间互相认证了身份并且同时生成了共享密钥Ks,BSF为这个密钥Ks定义了一个有效期限,以便密钥Ks进行更新。之后,BSF分配一个会话事务标识(B-TID)给用户,该B-TID与Ks相关联,并在本地对该B-TID、用户的永久身份标识、密钥Ks及密钥Ks的有效期限等信息进行关联保存,然后再将该B-TID发送给UE,该消息中同时包含了Ks的有效期限。共享密钥Ks是作为根密钥来使用的,不会离开用户的UE和BSF,当用户和NAF通信时,将使用由Ks衍生出的密钥。
用户收到这个B-TID后,重新向NAF发出连接请求,该请求消息中携带了该B-TID,同时用户侧根据Ks计算出衍生密钥Ks_NAF。接收到请求的NAF确认该用户合法且获得了衍生密钥Ks_NAF后,与该用户进行正常的通信,且在后面的通信过程中通过衍生密钥Ks_NAF进行通信保护。
当用户发现密钥Ks即将过期,或NAF要求用户重新到BSF进行鉴权时,用户就会重复上述的步骤重新到BSF进行鉴权,以得到新的Ks及B-TID。
在用户向BSF请求鉴权的过程中,不论是用户首次请求鉴权还是用户为了更新密钥Ks及B-TID进行鉴权,在用户发送的请求鉴权的消息中都包含了自己永久身份标识。用户和BSF之间的连接是通过空中接口的无线连接来完成的,而无线连接的特点就是安全性很差极容易被攻击。因此用户的永久身份标识在空中接口被频繁的使用是很危险的,极容易被攻击者跟踪、窃取,用户的永久身份标识很难保证私密性。
发明内容
有鉴于此,本发明的目的在于提供一种保证用户身份标识私密性的方法,避免用户身份标识被追踪的威胁,提高用户身份标识的私密性。
为达到上述目的,本发明的技术方案是这样实现的:
一种保证用户身份标识私密性的方法,适用于用户终端应用通用鉴权框架进行鉴权的过程,该方法包括以下步骤:
a、执行用户身份初始检查验证的实体BSF接收到来自用户终端的鉴权请求后,判断该请求中是包含会话事务标识B-TID还是用户身份标识,如果是B-TID,则执行步骤b,如果是用户身份标识,则按照现有的处理方式继续后续处理。
b、判断本地是否存在该B-TID,如果存在,则提取该B-TID对应的用户身份标识,并根据该用户身份标识从用户归属网络服务器HSS中获取鉴权信息,然后按照现有的处理方式继续后续处理,否则,BSF要求用户发送包含用户身份标识的鉴权请求,然后按照现有的处理方式继续后续处理。
较佳地,该方法进一步包括:
01)用户终端判断本地是否存在B-TID,如果是,则执行步骤02),否则执行步骤03);
02)向BSF发送包含B-TID的鉴权请求,然后执行步骤a;
03)向BSF发送包含用户身份标识的鉴权请求,然后执行步骤a。
较佳地,用户终端判断出本地存在B-TID后,进一步包括:判断该B-TID是否处于有效期之内,如果是,再执行步骤02),否则,执行步骤03)。
较佳地,步骤a所述判断是根据标识的域名进行识别的。
较佳地,所述用户身份标识是用户的永久身份标识或由国际移动用户识别码转换得到的用户永久身份标识。
应用本发明,BSF接收到来自用户终端的鉴权请求后,判断该请求中是包含B-TID还是用户身份标识,如果是用户身份标识,则按照现有的处理方式继续后续处理;如果是B-TID,则进一步判断本地是否存在该B-TID,如果存在,则提取该B-TID对应的用户身份标识,并根据该用户身份标识从用户归属网络服务器HSS中获取鉴权信息,然后按照现有的处理方式继续后续处理,否则,BSF要求用户发送包含用户身份标识的鉴权请求,然后按照现有的处理方式继续后续处理。本发明减少了用户身份标识的使用次数,避免了用户身份标识被追踪的可能,提高了用户身份标识在空中接口的安全性,从而保证了用户身份标识的私密性。
附图说明
图1所示为通用鉴权框架的结构示意图;
图2所示为应用本发明的使用通用鉴权框架进行鉴权的流程示意图。
具体实施方式
为使本发明的技术方案更加清楚,下面结合附图对发明做进一步地详细说明。
本发明的思路是:BSF接收到来自用户终端的鉴权请求后,判断该请求中是包含B-TID还是用户身份标识,如果是用户身份标识,则按照现有的处理方式继续后续处理;如果是B-TID,则进一步判断本地是否存在该B-TID,如果存在,则提取该B-TID对应的用户身份标识,并根据该用户身份标识从用户归属网络服务器HSS中获取鉴权信息,然后按照现有的处理方式继续后续处理,否则,BSF要求用户发送包含用户身份标识的鉴权请求,然后按照现有的处理方式继续后续处理。
图2所示为应用本发明的使用通用鉴权框架进行鉴权的流程示意图。
步骤201,当用户终端(UE)需要到BSF进行鉴权前,首先检查本地是否已经存在一个B-TID,如果不存在,则给BSF发送包含用户身份标识的鉴权请求消息,并按照现有流程继续后续处理;如果存在则进一步检查该B-TID相关联的Ks是否到期,即该B-TID是否有效,如果有效,则给BSF发送包含B-TID的鉴权请求消息,否则,仍旧给BSF发送包含用户身份标识的鉴权请求消息,并按照现有流程继续后续处理。
在BSF和用户完成鉴权,并给用户分配了B-TID,同时设置了与该B-TID相关联的密钥Ks的有效期限后,在该有效期限达到之前BSF都会保存该B-TID,但当有效期限到达后,BSF将删除该B-TID及相关信息,因此,如果用户终端检测出本地保存的B-TID已失效,仍要给BSF发送包含用户身份标识的鉴权请求消息。
上述用户身份标识是用户的永久身份标识IMPI或由IMSI转换得到的用户永久身份标识IMPI。
步骤202,BSF接收到来自用户终端的鉴权请求后,判断该请求中是包含会话事务标识B-TID还是用户身份标识,如果是用户身份标识,则按照现有的处理方式继续后续处理;如果是B-TID,则判断本地是否存在该B-TID,如果存在,则执行步骤205,否则,执行步骤203。
由于B-TID与用户身份标识的域名不同,所以BSF在收到用户发送的标识后就能够知道该标识B-TID还是IMPI。通常,B-TID和IMPI的标识的格式如下:
B-TID:base64encode(RAND)@BSF_servers_domain_name
IMPI:用户@@MNC.MCC.IMSI.3gppnetwork.org或者用户@MNC.MCC.3gppnetwork.org
步骤203,BSF要求用户发送包含IMPI的鉴权请求。
步骤204,用户终端给BSF发送包含IMPI的鉴权请求消息。
步骤205,BSF提取该B-TID对应的用户身份标识,并向HSS发送包含IMPI的鉴权请求信息。
步骤206,HSS给BSF返回鉴权信息。
步骤207,BSF应用从HSS获取的鉴权信息与发起鉴权请求的用户终端进行互鉴权,鉴权成功后,用户和BSF之间互相认证了身份并且同时生成了共享密钥Ks,BSF为这个密钥Ks定义了一个有效期限,以便密钥Ks进行更新。
步骤208,BSF分配一个B-TID给用户,该B-TID与Ks相关联,并在本地对该B-TID、用户的IMPI、密钥Ks及密钥Ks的有效期限等信息进行关联保存,之后,将该B-TID发送给UE,该消息中同时包含了Ks的有效期限。共享密钥Ks是作为根密钥来使用的,不会离开用户的UE和BSF,当用户和NAF通信时,将使用由Ks衍生出的密钥。
步骤209,用户收到这个B-TID后,重新向NAF发出连接请求,该请求消息中携带了该B-TID,同时用户侧根据Ks计算出衍生密钥Ks_NAF。
步骤210,接收到请求的NAF确认该用户合法且获得了衍生密钥Ks_NAF后,与该用户进行正常的通信,且在后面的通信过程中通过衍生密钥Ks_NAF进行通信保护。
为了不影响用户正常使用业务,用户终端会在Ks的有效期到达之前再次发起鉴权过程,以便得到新的B-TID及Ks。如果用户因为关机或不在服务区而没有在本地B-TID的有效期内及时进行重鉴权,则在再次鉴权过程中,只能向BSF发送包含IMPI的鉴权请求,因为,BSF很可能已经将到期的B-TID删除。
如果NAF出于安全的原因通知用户进行重鉴权,此时,如果该用户终端内的B-TID仍在有效期内,则该用户终端仍然可以向BSF发送包含B-TID的鉴权请求。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (5)
1、一种保证用户身份标识私密性的方法,适用于用户终端应用通用鉴权框架进行鉴权的过程,其特征在于,该方法包括以下步骤:
a、执行用户身份初始检查验证的实体BSF接收到来自用户终端的鉴权请求后,判断该请求中是包含会话事务标识B-TID还是用户身份标识,如果是B-TID,则执行步骤b,如果是用户身份标识,则按照现有的处理方式继续后续处理。
b、判断本地是否存在该B-TID,如果存在,则提取该B-TID对应的用户身份标识,并根据该用户身份标识从用户归属网络服务器HSS中获取鉴权信息,然后按照现有的处理方式继续后续处理,否则,BSF要求用户发送包含用户身份标识的鉴权请求,然后按照现有的处理方式继续后续处理。
2、根据权利要求1所述的方法,其特征在于,该方法进一步包括:
01)用户终端判断本地是否存在B-TID,如果是,则执行步骤02),否则执行步骤03);
02)向BSF发送包含B-TID的鉴权请求,然后执行步骤a;
03)向BSF发送包含用户身份标识的鉴权请求,然后执行步骤a。
3、根据权利要求2所述的方法,其特征在于,用户终端判断出本地存在B-TID后,进一步包括:判断该B-TID是否处于有效期之内,如果是,再执行步骤02),否则,执行步骤03)。
4、根据权利要求1所述的方法,其特征在于,步骤a所述判断是根据标识的域名进行识别的。
5、根据权利要求1所述的方法,其特征在于,所述用户身份标识是用户的永久身份标识或由国际移动用户识别码转换得到的用户永久身份标识。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN 200410088580 CN100563154C (zh) | 2004-11-05 | 2004-11-05 | 一种保证用户身份标识私密性的方法 |
PCT/CN2005/001862 WO2006047960A1 (fr) | 2004-11-05 | 2005-11-07 | Procede et systeme de garantie de la confidentialite de l'identification d'utilisateur |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN 200410088580 CN100563154C (zh) | 2004-11-05 | 2004-11-05 | 一种保证用户身份标识私密性的方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN1770685A true CN1770685A (zh) | 2006-05-10 |
CN100563154C CN100563154C (zh) | 2009-11-25 |
Family
ID=36318895
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN 200410088580 Active CN100563154C (zh) | 2004-11-05 | 2004-11-05 | 一种保证用户身份标识私密性的方法 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN100563154C (zh) |
WO (1) | WO2006047960A1 (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8849248B2 (en) | 2010-02-02 | 2014-09-30 | Zte Corporation | Method and system for accessing completion of call to busy subscriber service based on identity |
CN112654013A (zh) * | 2019-09-25 | 2021-04-13 | 华为技术有限公司 | 证书发放方法和装置 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7143437B2 (en) * | 2001-01-12 | 2006-11-28 | Siemens Medical Solutions Health Services Corporation | System and user interface for managing user access to network compatible applications |
CN1315268C (zh) * | 2003-11-07 | 2007-05-09 | 华为技术有限公司 | 一种验证用户合法性的方法 |
CN100466515C (zh) * | 2003-11-11 | 2009-03-04 | 华为技术有限公司 | 一种建立会话事务标识和网络应用实体之间关联的方法 |
-
2004
- 2004-11-05 CN CN 200410088580 patent/CN100563154C/zh active Active
-
2005
- 2005-11-07 WO PCT/CN2005/001862 patent/WO2006047960A1/zh active Application Filing
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8849248B2 (en) | 2010-02-02 | 2014-09-30 | Zte Corporation | Method and system for accessing completion of call to busy subscriber service based on identity |
CN102143460B (zh) * | 2010-02-02 | 2017-07-14 | 中兴通讯股份有限公司 | 基于身份识别的遇忙回叫业务接入方法及系统 |
CN112654013A (zh) * | 2019-09-25 | 2021-04-13 | 华为技术有限公司 | 证书发放方法和装置 |
Also Published As
Publication number | Publication date |
---|---|
WO2006047960A1 (fr) | 2006-05-11 |
CN100563154C (zh) | 2009-11-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9419999B2 (en) | Method and device for preventing domain name system spoofing | |
US7961883B2 (en) | System and method for securing a personalized indicium assigned to a mobile communications device | |
US20040153667A1 (en) | Method for registering a communication terminal | |
EP2552049A1 (en) | Authentication method, apparatus and system | |
US20080072043A1 (en) | Device management system and method of controlling the same | |
CA2557143C (en) | Trust inheritance in network authentication | |
CN101030908A (zh) | 无线局域网wapi安全机制中证书的申请方法 | |
CN1299537C (zh) | 应用通用鉴权框架对接入拜访网络的用户实现管理的方法 | |
CN1794626A (zh) | 一种防止重放攻击的方法 | |
CN1921682A (zh) | 增强通用鉴权框架中的密钥协商方法 | |
CN101252770A (zh) | Ims的终端接入认证的方法、通信系统及相关设备 | |
CN1845600A (zh) | 移动广播电视业务中实现用户密钥协商的方法及系统 | |
US10075428B2 (en) | Time check method and base station | |
CN1300976C (zh) | 一种网络应用实体获取用户身份标识信息的方法 | |
CA2532083A1 (en) | Transparent access authentication in 2g and 2.5g mobile access networks | |
CN1802018A (zh) | 一种消息认证方法 | |
CN1770685A (zh) | 一种保证用户身份标识私密性的方法 | |
WO2006079953A1 (en) | Authentication method and device for use in wireless communication system | |
CN1302633C (zh) | 一种保证通用鉴权框架系统安全的方法 | |
CN117278988A (zh) | 一种5g高安全专网应用可信身份双重认证接入方法、网元和系统 | |
CN1642076A (zh) | 一种无线局域网中分组数据关口获取用户身份标识的方法 | |
CN112423299A (zh) | 一种基于身份认证进行无线接入的方法及系统 | |
US20020042820A1 (en) | Method of establishing access from a terminal to a server | |
CN1614923A (zh) | 一种分配会话事务标识的方法 | |
WO2005060150A1 (en) | Method and apparatus for authenticating subscriber and network in wireless internet system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |