CN1770686A - 通用鉴权框架及更新bsf中用户安全描述信息的方法 - Google Patents
通用鉴权框架及更新bsf中用户安全描述信息的方法 Download PDFInfo
- Publication number
- CN1770686A CN1770686A CNA2004100885815A CN200410088581A CN1770686A CN 1770686 A CN1770686 A CN 1770686A CN A2004100885815 A CNA2004100885815 A CN A2004100885815A CN 200410088581 A CN200410088581 A CN 200410088581A CN 1770686 A CN1770686 A CN 1770686A
- Authority
- CN
- China
- Prior art keywords
- bsf
- hss
- uss
- user
- guss
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供了一种更新BSF中用户安全描述信息的方法,关键是在HSS收到来自BSF的请求某用户的鉴权矢量信息和用户安全描述信息的请求后,生成鉴权矢量信息,并将BSF所请求的用户安全描述信息标识为已发送后,再将该用户的鉴权矢量信息及BSF所请求的用户安全描述信息返回给BSF;当用户安全描述信息更新后,HSS判断该用户安全描述信息是否已标识为已发送,如是则发送用户安全描述信息更新的消息给BSF,由BSF执行更新操作,否则不做处理。应用本发明保证了BSF中的用户安全描述信息能够及时得到更新,且节省了资源,防止了业务过程可能出现的错误,提高了用户的满意度。本发明还提供了三种通用鉴权框架的架构,给运营商提供了多种选择,方便了运营商的应用。
Description
技术领域
本发明涉及第三代无线通信技术领域,特别是涉及通用鉴权框架及更新执行用户身份初始检查验证实体(BSF)中用户安全描述信息的方法。
背景技术
在第三代无线通信标准中,通用鉴权框架是多种应用业务实体使用的一个用于完成对用户身份进行验证的通用结构,应用通用鉴权框架可实现对应用业务的用户进行检查和验证身份。上述多种应用业务可以是多播/广播业务、用户证书业务、信息即时提供业务等,也可以是代理业务。
图1所示为现有技术的通用鉴权框架的结构示意图。通用鉴权框架通常由用户101、执行用户身份初始检查验证的实体(BSF)102、用户归属网络服务器(HSS)103和网络业务应用实体(NAF)104组成。BSF 102用于与用户101进行互验证身份,同时生成BSF 102与用户101的共享密钥;HSS103中存储用于描述用户信息的描述(Profile)文件,该Profile中包括通用鉴权框架中的核心鉴权部分(GBA),还包括与GBA相关的用户安全相关的描述信息,其中,与通用鉴权框架中某一个业务相关的用户安全描述信息称为USS,与通用鉴权框架中所有业务相关的用户安全描述信息称为GUSS,USS是GUSS中的元素。同时HSS 103还兼有产生鉴权信息的功能。
用户需要使用某种业务时,如果其知道需要首先到BSF进行互鉴权过程,则直接与BSF联系进行互鉴权,否则,用户会首先和该业务对应的NAF联系,如果该NAF使用通用鉴权框架,并且发现发出请求的用户还未到BSF进行互鉴权,则通知发出请求的用户到BSF进行互鉴权以验证身份。
用户与BSF之间的互认证过程是:用户向BSF发出鉴权请求,该鉴权请求消息中包括用户的永久身份标识(IMPI)或由国际移动用户识别码(IMSI)转换得到的IMPI,BSF接到来自用户的鉴权请求后,首先到HSS获取该用户的鉴权信息,BSF向HSS请求鉴权的消息中也包含了用户的永久身份标识,HSS根据用户的永久身份标识查找到该用户的属性信息并且生成鉴权矢量返回给BSF,HSS返回的信息中还包括用户与通用鉴权框架(GAA)安全相关的用户描述信息,即在BSF向HSS请求鉴权信息及用户安全描述信息时,HSS给BSF返回鉴权信息及GUSS。由于每组鉴权矢量只能使用一次,因此HSS可以给BSF返回只够一次使用的鉴权矢量信息,但从节省接口信令资源的角度考虑,HSS通常都会给BSF返回多组鉴权矢量信息以供多次鉴权使用。BSF根据所获取的鉴权信息与用户之间执行鉴权和密钥协商协议(AKA)进行互鉴权。鉴权成功后,用户和BSF之间互相认证了身份并且同时生成了共享密钥Ks,BSF为该密钥Ks定义一个有效期限,以便密钥Ks进行更新。之后,BSF分配一个会话事务标识(B-TID)给用户,该B-TID与Ks相关联,并在本地对该B-TID、用户的永久身份标识、密钥Ks及密钥Ks的有效期限等信息进行关联保存,然后再将该B-TID发送给UE,该消息中同时包含了Ks的有效期限。
共享密钥Ks是作为根密钥来使用的,不会离开用户的UE和BSF,当用户和NAF通信时,将使用由Ks衍生出的密钥。
用户收到这个B-TID后,重新向NAF发出连接请求,该请求消息中携带了该B-TID,同时用户侧根据Ks计算出衍生密钥Ks_NAF。NAF收到请求后,先在本地查询是否有用户携带的该B-TID,如果NAF不能在本地查询到该B-TID,则向BSF进行查询,该请求查询消息中携带了NAF标识和B-TID。如果BSF不能在本地查询到该B-TID,则通知NAF没有该用户的信息,此时,NAF将通知用户到BSF进行认证鉴权。如果BSF查询到该B-TID,则使用与用户侧相同的算法计算密钥Ks的衍生密钥Ks_NAF,然后给NAF发送成功的响应消息,该成功的响应中包括NAF所需的B-TID,与该B-TID对应的衍生密钥Ks_NAF,以及BSF为该密钥设置的有效期限。NAF收到BSF的成功响应消息后,就认为该用户是经过BSF认证的合法用户,同时NAF和用户也共享了由Ks衍生的密钥Ks_NAF。NAF和用户在后面的通信过程中通过Ks_NAF来进行通信保护。
在NAF向BSF查询B-TID的消息中同时,根据用户请求应用的业务类型指示出自身需要的USS,NAF可以同时请求一个或者多个USS。如果BSF查询到该B-TID并处理完毕与该B-TID相关的密钥信息后,则根据本地策略及NAF的请求信息将相关的USS发送给NAF。例如,假设用户请求的是用户证书业务,即NAF执行证书服务器的功能,那么NAF在向BSF查询B-TID的同时,指示自身需要与该用户的用户证书业务相关的USS,BSF根据本地策略,即运营商的策略,认为该NAF有权得到后,在返回的成功消息中携带USS,NAF将接收到的USS信息保存。用户证书业务的USS中包括用户可以申请证书等级等信息,这些信息是用户定购该业务时制定的,NAF则根据这些信息确定是否能够给用户生成并发送该用户请求的证书。
在HSS给BSF返回鉴权矢量及GUSS后,HSS并不负责更新这些已经发送出去的信息,即HSS并不将已更新的USS发送给BSF。而当用户定购的信息发生变化后,BSF是不能够及时知道的,因此,NAF也不可能及时得到更新的USS,这样将导致UE和NAF之间的业务过程出现问题,而使用户的满意度下降。例如,用户原来定购的用户证书业务只是初级证书,不能用于数字签名等高级应用,当用户修改其定购信息,升级到高级证书后,由于HSS并不主动将修改后的USS发送给BSF,则在Ks没有到期或者BSF还有能够使用的鉴权信息而不需要向HSS申请新的鉴权信息情况下,用户保存在BSF的GUSS就会很长时间得不到更新。因而,该用户还只能应用初级证书业务。
对于上述情况,现有的解决方法是:
当BSF向HSS请求某个用户的GUSS时,HSS就维持与BSF之间的针对该用户的会话连接,同时维护该会话相关的状态信息。即在HSS与BSF之间,HSS为每一个用户维持一个会话连接。在会话连接存在的过程中,如果用户的签约信息发生了变化,HSS会主动通知BSF。如果希望终止某个会话连接,则BSF需要发送一条消息给HSS来终止该会话,否则HSS将一直维护该会话连接。
上述方法的缺陷是显而易见的:不但严重加重BSF和HSS的负担,而且对资源极度浪费。因为用户并不是经常更新USS的,所维持的会话中有99%的资源处于空闲状态。而如果用户经常使用通用鉴权框架中的各种业务,则该维持的会话连接基本没有被终止的情况,这样对于BSF和HSS而言都是无法忍受的。
发明内容
有鉴于此,本发明的一个目的是提供一种更新BSF中的用户安全描述信息的方法,保证BSF中的用户安全描述信息能够及时得到更新,且节省资源。
本发明的另一目的是提供三种通用鉴权框架的架构,以给运营商提供多种应用选择。
为达到上述目的,本发明的技术方案是这样实现的:
一种更新执行用户身份初始检查验证实体BSF中的用户安全描述信息的方法,该方法包括以下步骤:
用户归属网络服务器HSS接收到来自BSF的请求某用户的鉴权矢量信息和与通用鉴权框架中所有业务相关的用户安全描述信息GUSS的请求后,生成鉴权矢量信息,并将BSF所请求的GUSS标识为已发送给BSF后,再将该用户的鉴权矢量信息及BSF所请求的GUSS返回给BSF;
当与通用鉴权框架中某个或某几个业务相关的用户安全描述信息USS更新后,HSS判断该USS所属的GUSS是否已被标识为发送给BSF,如果是,则发送用户安全描述信息更新的消息给BSF,由BSF执行更新操作,否则不做处理。
较佳地,该方法进一步包括:
将对用户业务有影响的USS中的元素标识为需要通知的USS;
当USS更新后,HSS首先判断该更新的USS中的更新的元素是否已被标识为需要通知,如果是,则再判断该USS所属的GUSS是否已被标识为发送给BSF,并继续后续处理,否则不做处理。
较佳地,该方法进一步包括:在一段预设的时间内,HSS未收到BSF请求已标识为发送给BSF的GUSS后,将该GUSS标识为未发送给BSF。
较佳地,所述HSS发送的用户安全描述信息更新的消息中包括,已更新的USS的具体内容;所述BSF执行更新操作的过程为:BSF判断本地是否有该USS所属的GUSS,如果有,则删除原有USS信息,保存该更新的USS,否则,忽略掉该消息。
较佳地,所述HSS发送的用户安全描述信息更新的消息中包括,通知BSF更新USS的信息;所述BSF执行更新操作的过程为:BSF判断本地是否有该USS所属的GUSS,如果没有,则忽略掉该消息;如果有,则向HSS请求已更新的USS,HSS重新启动BSF请求的GUSS的已发送给BSF的标识的定时时间后,将该已更新的USS发送给BSF,BSF删除原有USS信息,保存该已更新的USS。
较佳地,该方法进一步包括:BSF将USS发送给NAF时,关联保存该NAF的标识和其请求的USS;BSF更新完毕USS后,发送用户安全描述信息更新的消息给NAF,由NAF执行更新操作。
较佳地,所述BSF发送的用户安全描述信息更新的消息中包括,已更新的USS的具体内容;所述NAF执行更新操作的过程为:NAF删除原有USS信息,保存并启用该更新的USS。
较佳地,所述BSF发送的用户安全描述信息更新的消息中包括,通知NAF更新USS的信息;所述NAF执行更新操作的过程为:NAF向BSF请求已更新的USS,BSF将该已更新的USS发送给NAF后,NAF删除原有USS信息,保存并启用该已更新的USS。
较佳地,该方法进一步包括:
NAF接收到来自用户的USS更新的通知后,主动向BSF请求该用户已更新的USS,且该请求中包含与自身现有版本相关的信息;
BSF接收到上述请求后,判断自身保存的该USS的版本是否比NAF中现有的版本新,如果是,则直接给NAF返回已更新的USS,否则,向HSS请求更新该USS后,再将该更新的USS返回给NAF;
NAF接收到上述返回信息后,删除原有USS信息,保存并启用该已更新的USS。
较佳地,该方法进一步包括:HSS重新启动后,向BSF发送自身重新启动过的通知,由BSF决定自身是否需要执行更新USS的操作。
较佳地,所述用户归属网络服务器HSS是由具有基础鉴权功能的实体HSS-B,和具有与通用鉴权框架有关的用户安全描述信息的实体HSS-G共同构成,且所述HSS-G与BSF和HSS-B分别直接通信;
当HSS-G接收到来自BSF的请求某用户的鉴权矢量信息和GUSS的请求后,向HSS-B请求该用户的鉴权矢量信息,HSS-B将自身生成的鉴权矢量信息发送给HSS-G后,HSS-G将自身保存的该用户的GUSS标识为已发送给BSF后,再将从HSS-B获取的鉴权矢量信息和自身保存的该用户的GUSS返回给BSF;
当某个或某几个USS更新且需要通知BSF时,由HSS-G判断该USS所属的GUSS是否已被标识为发送给BSF,如果是,则给BSF发送用户安全描述信息更新的消息,由BSF执行更新操作,否则不做处理。
较佳地,所述用户归属网络服务器HSS是由具有基础鉴权功能的实体HSS-B,和具有与通用鉴权框架有关的用户安全描述信息的实体HSS-G共同构成,且所述HSS-B与BSF和HSS-G分别直接通信;
当HSS-B接收到来自BSF的请求某用户的鉴权矢量信息和GUSS的请求后,向HSS-G请求该用户的GUSS,HSS-G将自身保存的该用户的GUSS标识为已发送给BSF后,发送给HSS-B,HSS-B将自身生成的鉴权矢量信息和从HSS-G获取的GUSS返回给BSF;
当某个或某几个USS更新且需要通知BSF时,由HSS-G判断该USS所属的GUSS是否已被标识为发送给BSF,如果是,则通过HSS-B给BSF发送用户安全描述信息更新的消息,由BSF执行更新操作,否则不做处理。
较佳地,所述用户归属网络服务器HSS是由具有基础鉴权信息的实体HSS-B,和具有与通用鉴权框架有关的用户安全描述信息的实体HSS-G共同构成,且所述HSS-B和HSS-G分别直接与BSF通信;
当HSS-B接收到来自BSF的请求某用户的鉴权矢量信息的请求后,将自身生成的鉴权矢量信息返回给BSF;
当HSS-G接收到来自BSF的请求某用户的GUSS的请求后,将自身保存的该用户的GUSS标识为已发送给BSF后,再将该GUSS返回给BSF;
当某个或某几个USS更新且需要通知BSF时,由HSS-G判断该USS所属的GUSS是否已被标识为发送给BSF,如果是,则给BSF发送用户安全描述信息更新的消息,由BSF执行更新操作,否则不做处理。
一种通用鉴权框架,包括用户终端(101)、执行用户身份初始检查验证的实体BSF(102)和网络业务应用实体NAF(104),该通用鉴权框架还包括:具有基础鉴权功能的实体HSS-B(103b),和具有与通用鉴权框架有关的用户安全描述信息的实体HSS-G(103a),其中,所述HSS-G(103a)与BSF(102)和HSS-B(103b)分别直接通信。
一种通用鉴权框架,包括用户终端(101)、执行用户身份初始检查验证的实体BSF(102)和网络业务应用实体NAF(104),该通用鉴权框架还包括:具有基础鉴权信息的实体HSS-B(103b),和具有与通用鉴权框架有关的用户安全描述信息的实体HSS-G(103a),其中,所述HSS-B(103b)与BSF(102)和HSS-G(103a)分别直接通信。
一种通用鉴权框架,包括用户终端(101)、执行用户身份初始检查验证的实体BSF(102)和网络业务应用实体NAF(104),该通用鉴权框架还包括:具有基础鉴权信息的实体HSS-B(103b),和具有与通用鉴权框架有关的用户安全描述信息的实体HSS-G(103a),其中,所述HSS-B(103b)和HSS-G(103a)分别直接与BSF(102)通信。
本发明在HSS接收到来自BSF的请求某用户的鉴权矢量信息和用户安全描述信息的请求后,生成鉴权矢量信息,并将BSF所请求的用户安全描述信息标识为已发送给BSF后,再将该用户的鉴权矢量信息及BSF所请求的用户安全描述信息返回给BSF;当用户安全描述信息更新后,HSS判断该用户安全描述信息是否已被标识为发送给BSF,如果是,则发送用户安全描述信息更新的消息给BSF,由BSF执行更新操作,否则不做处理。应用本发明,保证了BSF中的用户安全描述信息能够及时得到更新,且节省了资源,防止了业务过程可能出现的错误,提高了用户的满意度。
本发明还提供了三种通用鉴权框架的架构,给运营商提供了多种选择,方便了运营商的应用。
附图说明
图1所示为现有技术的通用鉴权框架的结构示意图;
图2所示为应用本发明的更新BSF中的用户安全描述信息的流程示意图;
图3所示为应用本发明的实施例一的通用鉴权框架结构示意图;
图4所示为应用本发明的实施例二的通用鉴权框架结构示意图;
图5所示为应用本发明的实施例三的通用鉴权框架结构示意图。
具体实施方式
为使本发明的技术方案更加清楚,下面结合附图对本发明再做进一步详细说明。
图2所示为应用本发明的更新BSF中的用户安全描述信息的流程示意图。
步骤201,用户为了使用某种业务,向BSF发送鉴权请求。
步骤202,BSF接收到上述请求后,向HSS请求该用户的鉴权矢量信息及GUSS。
步骤203,HSS生成鉴权矢量信息,并找到该用户的GUSS后,将该GUSS标识为已发送给BSF,例如将已发送的标识为“是”,将未发送的标识为“否”,为了防止该标志位永远为“是”,在一段预设的时间内,HSS未收到BSF请求该已标识为“是”的GUSS后,将该GUSS的标识变为“否”。
因为用户如果处于经常使用通用鉴权框架业务的活动中,它需要经常进行鉴权,当BSF本地的鉴权资料用光后,就会向HSS进行请求,从而触发请求鉴权及GUSS的过程,所以,如果在一段较长时间内HSS都没有收到BSF为该用户请求信息,可以认为该用户目前处于未活动状态,因而,这时HSS可以自动将“是”变为“否”,以免触发不必要的流程。这个时间长度可以由运营商根据运营的情况来设置。
步骤204,HSS将该用户的鉴权矢量信息及GUSS返回给BSF。
步骤205,BSF和UE执行AKA协议进行互鉴权,鉴权成功后,BSF给用户分配B-TID。
步骤206,用户向NAF发送包含B-TID的业务请求。
步骤207,NAF确定本地没有该B-TID后,向BSF进行查询,该查询信息中包含了用户的B-TID及NAF需要的USS的标识,NAF可能需要一个USS也可能需要多个USS。
步骤208,BSF查找到该B-TID后,产生相关的密钥信息,并且根据本地的策略,即运营商的预先设置,给NAF返回相关的密钥信息及USS,并将请求的NAF的标识和USS关联保存。
步骤209,NAF到BSF确认用户的身份并取得相关信息后与用户进行正常的业务通信。
步骤210,用户的某个或某几个USS进行更新。这时HSS需要确定是否需要通知BSF。因为USS中有些元素的变更对用户业务的影响很大,但有些元素的变更对用户业务没有影响,因而,并不是所有的USS中元素的变更都需要通知BSF。因此,一般会对USS中元素进行标识,凡是元素的变更会对用户业务产生影响的,将该元素后附带需要通知BSF的标识,如“need notification”,这样,当USS更新后,HSS首先判断该更新的元素是否已被标识为“need notification”,如果不是则不做处理,如果是,则再判断该USS所属的GUSS是否已被标识为“是”,如果是,则执行步骤211,否则不做处理。
步骤211,HSS发送用户安全描述信息更新的消息给BSF,由BSF执行更新操作。
上述用户安全描述信息更新的消息中如果包含具体的已更新的USS内容,BSF接收到该消息后,判断本地是否有该USS所属的GUSS,如果有,则执行步骤214,否则,忽略掉该消息。
上述用户安全描述信息更新的消息中如果只包括通知BSF更新USS的信息,BSF接收到该消息后,判断本地是否有该USS所属的GUSS,如果有,则执行步骤212,如果没有,则忽略掉该消息。
这是因为,在某些时候用户可能已经处于非活动状态而BSF也已将其信息删除了,但HSS设置的时间相对比较长,这种情况下,HSS直接携带已更新的USS是没有用的,反而增大了需要携带的信息量。
步骤212,BSF向HSS请求已更新的用户安全描述信息。
步骤213,HSS重新启动BSF请求的GUSS的“是”标识的定时时间后,将该GUSS中的已更新的USS发送给BSF。
步骤214,BSF删除原有USS信息,保存该已更新的USS。
步骤215,BSF更新完毕USS后,发送用户安全描述信息更新的消息给NAF,由NAF执行更新操作。
上述用户安全描述信息更新的消息中如果包括已更新的USS的具体内容,则执行步骤217。
上述用户安全描述信息更新的消息中如果包括通知NAF更新USS的信息,则NAF接收到该消息后,执行步骤216。
步骤216,NAF向BSF请求已更新的用户安全描述信息。
步骤217,NAF接收到包含USS的具体内容的消息后,删除原有USS信息,保存并启用该更新的USS。
至此,保证了BSF中的用户安全描述信息能够及时得到更新,且节省了资源,而且,对于NAF中的用户安全描述信息也实现了及时更新。
对于更新NAF中的用户安全描述信息,还有一种方法,具体如下:
用户知道自己的定购信息已经更新,即自身的USS更新后,在向NAF请求业务,就明确指示NAF更新自身保存的USS,此时,NAF就主动向BSF请求新的USS,该请求中包含与自身现有版本相关的信息;BSF接收到上述请求后,判断自身保存的该USS的版本是否比NAF中现有的版本新,如果是,则给NAF返回已更新的USS,否则,向HSS请求更新该USS后,再将该已更新的USS返回给NAF;NAF接收到上述返回信息后,删除原有信息,保存并启用该已更新的USS。
再有,也可以不主动更新NAF中的用户安全描述信息,而是当NAF再次到BSF来查询用户的B-TID时,再将新的USS发送给NAF。这种方式不需要任何额外的信息和流程,但延迟相对来说比较大。
另外,HSS可能在某些极特殊的情况下重新启动,HSS重新启动后向BSF发送自身重新启动过的通知,由BSF决定自身是否需要执行更新USS的操作。
上述HSS是由一个实体构成,该实体中具有基础鉴权功能和与通用鉴权框架有关的用户安全描述信息。
本发明还提供了几种通用鉴权框架,具体说明如下。
图3所示为应用本发明的实施例一的通用鉴权框架结构示意图。本实施例中的通用鉴权框架中包括用户终端101、BSF 102和NAF 104,其中,该通用鉴权框架中还包括:具有基础鉴权功能的实体(HSS-B)103b,和具有与通用鉴权框架有关的用户安全描述信息的实体(HSS-G)103a,且所述HSS-G103a与BSF 102和HSS-B 103b分别直接进行通信。
图4所示为应用本发明的实施例二的通用鉴权框架结构示意图。本实施例中的通用鉴权框架中包括用户终端101、BSF 102和NAF 104,其中,该通用鉴权框架中还包括:具有基础鉴权功能的实体(HSS-B)103b,和具有与通用鉴权框架有关的用户安全描述信息的实体(HSS-G)103a,且所述HSS-B 103b与BSF 102和HSS-G 103a分别直接进行通信。
图5所示为应用本发明的实施例三的通用鉴权框架结构示意图。本实施例中的通用鉴权框架中包括用户终端101、BSF 102和NAF 104,其中,该通用鉴权框架中还包括:具有基础鉴权功能的实体(HSS-B)103b,和具有与通用鉴权框架有关的用户安全描述信息的实体(HSS-G)103a,且所述HSS-B 103b和HSS-G 103a分别直接与BSF 102进行通信。
针对图3所示通用鉴权框架,图2所述在步骤203相应变为:HSS-G接收到来自BSF的请求某用户的鉴权矢量信息和GUSS的请求后,向HSS-B请求该用户的鉴权矢量信息,HSS-B将自身生成的鉴权矢量信息发送给HSS-G后,HSS-G将自身保存的该用户的GUSS标识为已发送给BSF后,再将从HSS-B获取的鉴权矢量信息和自身保存的该用户的GUSS返回给BSF;图2所述在步骤210相应变为:当某个或某几个USS更新且需要通知BSF时,由HSS-G判断该更新USS所属的GUSS是否已被标识为“是”,如果是,则给BSF发送用户安全描述信息更新的消息,由BSF执行更新操作,否则不做处理。步骤211相应变为:由HSS-G发送用户安全描述信息更新的消息给BSF;步骤213相应变为:HSS-G重新启动GUSS的“是”标识的定时时间后,将GUSS中的已更新的USS直接发送给BSF。
这样,更新USS时,就可以由HSS-G单独完成,而不必对HSS-B产生任何影响;进行鉴权时,则需要HSS-G承担中转功能。
针对图4所示通用鉴权框架,图2所述在步骤203相应变为:当HSS-B接收到来自BSF的请求某用户的鉴权矢量信息和GUSS的请求后,向HSS-G请求该用户的GUSS,HSS-G将自身保存的该用户的GUSS标识为已发送给BSF后,发送给HSS-B,HSS-B将自身生成的鉴权矢量信息和从HSS-G获取的GUSS返回给BSF;步骤211相应变为:当某个或某几个USS更新且需要通知BSF时,由HSS-G判断该更新USS所属的GUSS是否已被标识为发送给BSF,如果是,则通过HSS-B给BSF发送用户安全描述信息更新的消息,由BSF执行更新操作,否则不做处理;步骤213相应变为:HSS-G重新启动GUSS的“是”标识的定时时间后,将GUSS中的已更新的USS通过HSS-B发送给BSF。
这样,更新USS时,需要由HSS-B承担中转功能;进行鉴权时,就可以由HSS-B单独完成,而不必对HSS-G产生任何影响。
针对图5所示通用鉴权框架,图2所述在步骤203相应变为:当HSS-B接收到来自BSF的请求某用户的鉴权矢量信息的请求后,将自身生成的鉴权矢量信息返回给BSF;当HSS-G接收到来自BSF的请求某用户GUSS的请求后,将自身保存的该用户的GUSS标识为已发送给BSF后,再将该GUSS返回给BSF;步骤211相应变为:当某个或某几个USS更新且需要通知BSF时,由HSS-G判断该更新USS所属的GUSS是否已被标识“是”,并继续后续处理;步骤213相应变为:HSS-G重新启动GUSS的“是”标识的定时时间后,将GUSS中的已更新的USS直接发送给BSF。
这样,更新USS时,可以由HSS-G单独完成;进行鉴权时,可以由HSS-B单独完成,两个实体互不影响。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (16)
1、一种更新执行用户身份初始检查验证实体BSF中的用户安全描述信息的方法,其特征在于,该方法包括以下步骤:
用户归属网络服务器HSS接收到来自BSF的请求某用户的鉴权矢量信息和与通用鉴权框架中所有业务相关的用户安全描述信息GUSS的请求后,生成鉴权矢量信息,并将BSF所请求的GUSS标识为已发送给BSF后,再将该用户的鉴权矢量信息及BSF所请求的GUSS返回给BSF;
当与通用鉴权框架中某个或某几个业务相关的用户安全描述信息USS更新后,HSS判断该USS所属的GUSS是否已被标识为发送给BSF,如果是,则发送用户安全描述信息更新的消息给BSF,由BSF执行更新操作,否则不做处理。
2、根据权利要求1所述的方法,其特征在于,该方法进一步包括:
将对用户业务有影响的USS中的元素标识为需要通知;
当USS更新后,HSS首先判断该USS中的更新的元素是否已被标识为需要通知,如果是,则再判断该USS所属的GUSS是否已被标识为发送给BSF,并继续后续处理,否则不做处理。
3、根据权利要求1或2所述的方法,其特征在于,该方法进一步包括:在一段预设的时间内,HSS未收到BSF请求已标识为发送给BSF的GUSS后,将该GUSS标识为未发送给BSF。
4、根据权利要求3所述的方法,其特征在于,
所述HSS发送的用户安全描述信息更新的消息中包括,已更新的USS的具体内容;
所述BSF执行更新操作的过程为:BSF判断本地是否有该USS所属的GUSS,如果有,则删除原有USS信息,保存该更新的USS,否则,忽略掉该消息。
5、根据权利要求3所述的方法,其特征在于,
所述HSS发送的用户安全描述信息更新的消息中包括,通知BSF更新USS的信息;
所述BSF执行更新操作的过程为:BSF判断本地是否有该USS所属的GUSS,如果没有,则忽略掉该消息;如果有,则向HSS请求已更新的USS,HSS重新启动BSF请求的GUSS的已发送给BSF的标识的定时时间后,将该已更新的USS发送给BSF,BSF删除原有USS信息,保存该已更新的USS。
6、根据权利要求3所述的方法,其特征在于,该方法进一步包括:BSF将USS发送给NAF时,关联保存该NAF的标识和其请求的USS;BSF更新完毕USS后,发送用户安全描述信息更新的消息给NAF,由NAF执行更新操作。
7、根据权利要求6所述的方法,其特征在于,
所述BSF发送的用户安全描述信息更新的消息中包括,已更新的USS的具体内容;
所述NAF执行更新操作的过程为:NAF删除原有USS信息,保存并启用该更新的USS。
8、根据权利要求6所述的方法,其特征在于,
所述BSF发送的用户安全描述信息更新的消息中包括,通知NAF更新USS的信息;
所述NAF执行更新操作的过程为:NAF向BSF请求已更新的USS,BSF将该已更新的USS发送给NAF后,NAF删除原有USS信息,保存并启用该已更新的USS。
9、根据权利要求3所述的方法,其特征在于,该方法进一步包括:
NAF接收到来自用户的USS更新的通知后,主动向BSF请求该用户已更新的USS,且该请求中包含与自身现有版本相关的信息;
BSF接收到上述请求后,判断自身保存的该USS的版本是否比NAF中现有的版本新,如果是,则直接给NAF返回已更新的USS,否则,向HSS请求更新该USS后,再将该更新的USS返回给NAF;
NAF接收到上述返回信息后,删除原有USS信息,保存并启用该已更新的USS。
10、根据权利要求3所述的方法,其特征在于,该方法进一步包括:HSS重新启动后,向BSF发送自身重新启动过的通知,由BSF决定自身是否需要执行更新USS的操作。
11、根据权利要求1所述的方法,其特征在于,所述用户归属网络服务器HSS是由具有基础鉴权功能的实体HSS-B,和具有与通用鉴权框架有关的用户安全描述信息的实体HSS-G共同构成,且所述HSS-G与BSF和HSS-B分别直接通信;
当HSS-G接收到来自BSF的请求某用户的鉴权矢量信息和GUSS的请求后,向HSS-B请求该用户的鉴权矢量信息,HSS-B将自身生成的鉴权矢量信息发送给HSS-G后,HSS-G将自身保存的该用户的GUSS标识为已发送给BSF后,再将从HSS-B获取的鉴权矢量信息和自身保存的该用户的GUSS返回给BSF;
当某个或某几个USS更新且需要通知BSF时,由HSS-G判断该USS所属的GUSS是否已被标识为发送给BSF,如果是,则给BSF发送用户安全描述信息更新的消息,由BSF执行更新操作,否则不做处理。
12、根据权利要求1所述的方法,其特征在于,所述用户归属网络服务器HSS是由具有基础鉴权功能的实体HSS-B,和具有与通用鉴权框架有关的用户安全描述信息的实体HSS-G共同构成,且所述HSS-B与BSF和HSS-G分别直接通信;
当HSS-B接收到来自BSF的请求某用户的鉴权矢量信息和GUSS的请求后,向HSS-G请求该用户的GUSS,HSS-G将自身保存的该用户的GUSS标识为已发送给BSF后,发送给HSS-B,HSS-B将自身生成的鉴权矢量信息和从HSS-G获取的GUSS返回给BSF;
当某个或某几个USS更新且需要通知BSF时,由HSS-G判断该USS所属的GUSS是否已被标识为发送给BSF,如果是,则通过HSS-B给BSF发送用户安全描述信息更新的消息,由BSF执行更新操作,否则不做处理。
13、根据权利要求1所述的方法,其特征在于,所述用户归属网络服务器HSS是由具有基础鉴权信息的实体HSS-B,和具有与通用鉴权框架有关的用户安全描述信息的实体HSS-G共同构成,且所述HSS-B和HSS-G分别直接与BSF通信;
当HSS-B接收到来自BSF的请求某用户的鉴权矢量信息的请求后,将自身生成的鉴权矢量信息返回给BSF;
当HSS-G接收到来自BSF的请求某用户的GUSS的请求后,将自身保存的该用户的GUSS标识为已发送给BSF后,再将该GUSS返回给BSF;
当某个或某几个USS更新且需要通知BSF时,由HSS-G判断该USS所属的GUSS是否已被标识为发送给BSF,如果是,则给BSF发送用户安全描述信息更新的消息,由BSF执行更新操作,否则不做处理。
14、一种通用鉴权框架,包括用户终端(101)、执行用户身份初始检查验证的实体BSF(102)和网络业务应用实体NAF(104),其特征在于,该通用鉴权框架还包括:具有基础鉴权功能的实体HSS-B(103b),和具有与通用鉴权框架有关的用户安全描述信息的实体HSS-G(103a),其中,所述HSS-G(103a)与BSF(102)和HSS-B(103b)分别直接通信。
15、一种通用鉴权框架,包括用户终端(101)、执行用户身份初始检查验证的实体BSF(102)和网络业务应用实体NAF(104),其特征在于,该通用鉴权框架还包括:具有基础鉴权信息的实体HSS-B(103b),和具有与通用鉴权框架有关的用户安全描述信息的实体HSS-G(103a),其中,所述HSS-B(103b)与BSF(102)和HSS-G(103a)分别直接通信。
16、一种通用鉴权框架,包括用户终端(101)、执行用户身份初始检查验证的实体BSF(102)和网络业务应用实体NAF(104),其特征在于,该通用鉴权框架还包括:具有基础鉴权信息的实体HSS-B(103b),和具有与通用鉴权框架有关的用户安全描述信息的实体HSS-G(103a),其中,所述HSS-B(103b)和HSS-G(103a)分别直接与BSF(102)通信。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2004100885815A CN100525186C (zh) | 2004-11-05 | 2004-11-05 | 通用鉴权框架及更新bsf中用户安全描述信息的方法 |
| PCT/CN2005/001845 WO2006047956A1 (fr) | 2004-11-05 | 2005-11-04 | Cadre d'authentification general et procede de mise a jour des informations de description de securite utilisateur dans le bsf |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2004100885815A CN100525186C (zh) | 2004-11-05 | 2004-11-05 | 通用鉴权框架及更新bsf中用户安全描述信息的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1770686A true CN1770686A (zh) | 2006-05-10 |
| CN100525186C CN100525186C (zh) | 2009-08-05 |
Family
ID=36318891
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2004100885815A Expired - Fee Related CN100525186C (zh) | 2004-11-05 | 2004-11-05 | 通用鉴权框架及更新bsf中用户安全描述信息的方法 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN100525186C (zh) |
| WO (1) | WO2006047956A1 (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2008006312A1 (en) * | 2006-07-04 | 2008-01-17 | Huawei Technologies Co., Ltd. | A realizing method for push service of gaa and a device |
| WO2009121270A1 (zh) * | 2008-03-31 | 2009-10-08 | 华为技术有限公司 | 防止认证向量被滥用的方法、装置和系统 |
| WO2010075745A1 (zh) * | 2009-01-05 | 2010-07-08 | 华为技术有限公司 | 鉴权处理方法和系统、3gpp认证授权计费服务器及用户设备 |
| CN102378179A (zh) * | 2008-03-31 | 2012-03-14 | 华为技术有限公司 | 防止认证向量被滥用的方法、装置和系统 |
| CN102415116A (zh) * | 2009-05-01 | 2012-04-11 | 诺基亚公司 | 用于促进对漫游移动终端的授权的系统、方法和设备 |
| CN102547700A (zh) * | 2010-12-30 | 2012-07-04 | 中兴通讯股份有限公司 | 认证方法及系统 |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102026150B (zh) * | 2009-09-14 | 2016-01-20 | 中兴通讯股份有限公司 | 一种m2m设备归属网络运营商变更的方法和系统 |
| CN102036222B (zh) * | 2009-09-25 | 2015-05-13 | 中兴通讯股份有限公司 | 一种m2m设备归属网络运营商变更的方法和系统 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| AU2001276494A1 (en) * | 2000-08-04 | 2002-02-18 | De La Rue International Limited | System and methods for monitoring items |
| CN1275405C (zh) * | 2002-06-27 | 2006-09-13 | 中兴通讯股份有限公司 | 一种在通信系统中实现定位业务的方法 |
| CN1479493A (zh) * | 2002-08-31 | 2004-03-03 | 深圳市中兴通讯股份有限公司 | 一种接入系统 |
-
2004
- 2004-11-05 CN CNB2004100885815A patent/CN100525186C/zh not_active Expired - Fee Related
-
2005
- 2005-11-04 WO PCT/CN2005/001845 patent/WO2006047956A1/zh active Application Filing
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8213905B2 (en) | 2006-07-04 | 2012-07-03 | Huawei Technologies Co., Ltd. | Method and device for realizing push service of GAA |
| WO2008006312A1 (en) * | 2006-07-04 | 2008-01-17 | Huawei Technologies Co., Ltd. | A realizing method for push service of gaa and a device |
| CN102378179B (zh) * | 2008-03-31 | 2014-02-19 | 华为技术有限公司 | 防止认证向量被滥用的方法、装置和系统 |
| WO2009121270A1 (zh) * | 2008-03-31 | 2009-10-08 | 华为技术有限公司 | 防止认证向量被滥用的方法、装置和系统 |
| CN102378179A (zh) * | 2008-03-31 | 2012-03-14 | 华为技术有限公司 | 防止认证向量被滥用的方法、装置和系统 |
| US8600054B2 (en) | 2008-03-31 | 2013-12-03 | Huawei Technologies Co., Ltd. | Method, apparatus, and system for preventing abuse of authentication vector |
| WO2010075745A1 (zh) * | 2009-01-05 | 2010-07-08 | 华为技术有限公司 | 鉴权处理方法和系统、3gpp认证授权计费服务器及用户设备 |
| US9137660B2 (en) | 2009-01-05 | 2015-09-15 | Huawei Technologies Co., Ltd. | Method and system for authentication processing, 3GPP AAA server and user equipment |
| US8813171B2 (en) | 2009-05-01 | 2014-08-19 | Nokia Corporation | Systems, methods, and apparatuses for facilitating authorization of a roaming mobile terminal |
| CN102415116B (zh) * | 2009-05-01 | 2015-04-22 | 诺基亚公司 | 用于促进对漫游移动终端的授权的系统、方法和设备 |
| CN102415116A (zh) * | 2009-05-01 | 2012-04-11 | 诺基亚公司 | 用于促进对漫游移动终端的授权的系统、方法和设备 |
| CN102547700A (zh) * | 2010-12-30 | 2012-07-04 | 中兴通讯股份有限公司 | 认证方法及系统 |
| CN102547700B (zh) * | 2010-12-30 | 2015-06-03 | 中兴通讯股份有限公司 | 认证方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN100525186C (zh) | 2009-08-05 |
| WO2006047956A1 (fr) | 2006-05-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1315268C (zh) | 一种验证用户合法性的方法 | |
| US8755797B2 (en) | Methods and apparatus for controlling provisioning of a wireless communication device | |
| CN1874217A (zh) | 一种确定路由的方法 | |
| CN1265676C (zh) | 一种实现漫游用户使用拜访网络内业务的方法 | |
| US8750867B2 (en) | Managing subscriber information | |
| CN1852094A (zh) | 网络业务应用账户的保护方法和系统 | |
| CN1604791A (zh) | 访问控制系统 | |
| CN1638345A (zh) | 使用便携式存储媒质配置瘦客户机设备的网络设置 | |
| EP2210435A1 (en) | Method, apparatus and computer program product for providing key management for a mobile authentication architecture | |
| CN101036174A (zh) | 使用基于核心的节点进行状态传输的增强技术 | |
| CN101043328A (zh) | 通用引导框架中密钥更新方法 | |
| EP2161875B1 (en) | Methods and devices for configuring configuration data of user access network | |
| CN1874233A (zh) | 一种发送广播消息的系统及方法 | |
| CN1929371A (zh) | 用户和外围设备协商共享密钥的方法 | |
| CN101043706A (zh) | 终端进入空闲模式、网络重入的方法 | |
| CN1913701A (zh) | 移动通信系统中为不同用户提供不同安全等级业务的方法 | |
| CN101039312A (zh) | 防止通用鉴权框架中服务功能实体受攻击的方法及装置 | |
| CN1885770A (zh) | 一种认证方法 | |
| CN1878092A (zh) | 域管理系统、建立本地域的方法和获取本地域许可的方法 | |
| CN101052032A (zh) | 一种业务实体认证方法及装置 | |
| CN1941695A (zh) | 初始接入网络过程的密钥生成和分发的方法及系统 | |
| CN1770686A (zh) | 通用鉴权框架及更新bsf中用户安全描述信息的方法 | |
| CN101039181A (zh) | 防止通用鉴权框架中服务功能实体受攻击的方法 | |
| CN1870636A (zh) | 一种客户端重定向的方法和系统 | |
| CN101043440A (zh) | 一种WiMAX网络中支持多业务流操作的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20090805 Termination date: 20191105 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |