CN1802016A - 对用户终端进行鉴权的方法 - Google Patents
对用户终端进行鉴权的方法 Download PDFInfo
- Publication number
- CN1802016A CN1802016A CNA2005100774766A CN200510077476A CN1802016A CN 1802016 A CN1802016 A CN 1802016A CN A2005100774766 A CNA2005100774766 A CN A2005100774766A CN 200510077476 A CN200510077476 A CN 200510077476A CN 1802016 A CN1802016 A CN 1802016A
- Authority
- CN
- China
- Prior art keywords
- user terminal
- request
- binding information
- authentication
- hss
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/10—Architectures or entities
- H04L65/1016—IP multimedia subsystem [IMS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种对用户终端进行鉴权的方法,关键是,应用业务实体接收到来自2G用户终端的包含用户身份标识的接入请求后,根据接入请求中的用户身份标识,从HSS获取由该2G用户终端的IP地址及其身份标识构成的绑定信息;之后,应用业务实体判断自身保存的该2G用户终端的IP地址及其身份标识的绑定信息与发起接入请求的2G用户终端的IP地址及其身份标识的绑定信息是否相匹配,如果匹配,则该2G用户终端通过鉴权,否则该2G用户终端不能通过鉴权。应用本发明,实现了对直接接入应用业务实体的2G用户终端进行鉴权,既保证了合法的用户能够接入,又保证了网络的安全。特别对于早期应用的基于IMS的业务,能够正常部署和运行。
Description
技术领域
本发明涉及移动通信技术领域,特别是指对直接接入应用业务实体的2G用户终端进行鉴权的方法。
背景技术
随着宽带网络的发展,移动通信不仅仅局限于传统的话音通信,通过与呈现业务(presence)、短消息、网页(WEB)浏览、定位信息、推送业务(PUSH)以及文件共享等数据业务的结合,移动通信能够实现音频、视频、图片和文本等多种媒体类型的业务,以满足用户的多种需求。
第三代移动通信标准化伙伴项目(3GPP)以及第三代移动通信标准化伙伴项目2(3GPP2)等组织都先后推出了基于IP的多媒体子系统(IMS)架构,其目的是在移动网络中使用一种标准化的开放结构来实现多种多样的多媒体应用,以给用户提供更多的选择和更丰富的感受。
IMS架构叠加在分组域网络(PS-Domain)之上,其与鉴权相关的实体包括呼叫状态控制功能(CSCF)实体和归属签约用户服务器(HSS)功能实体。CSCF又可以分成服务CSCF(S-CSCF)、代理CSCF(P-CSCF)和查询CSCF(I-CSCF)三个逻辑实体,该三个逻辑实体可能是不同的物理设备,也可能是同一个物理设备中不同的功能模块。其中,S-CSCF是IMS的业务控制中心,用于执行会话控制,维持会话状态,管理用户信息,产生计费信息等;P-CSCF是终端用户接入IMS的接入点,用于完成用户注册,服务质量(QoS)控制和安全管理等;I-CSCF负责IMS域之间的互通,管理S-CSCF的分配,对外隐藏网络拓扑结构和配置信息,并产生计费数据等。HSS是非常重要的用户数据库,用于支持各个网络实体对呼叫和会话的处理。
IMS在初始推出(R5版本协议)时只考虑在第三代移动通信网络使用。由于IMS上的业务非常丰富,所以出现了运营商在2G的网络上使用IMS的需求。但在2G的网络上是无法支持基于3G网络的IMS的安全相关功能的,例如五元组鉴权/网络认证等,为解决2G用户使用IMS网络面临的用户鉴权问题,3GPP提出了一种过渡鉴权方案,该方案为2G上的IMS业务提供一定的安全功能。当用户支持3G鉴权方案时,再采用完整的基于3G的鉴权方案对接入用户进行鉴权。这样,无论是2G用户还是3G用户,都可以在鉴权通过后应用IMS中的业务。通常,将过渡鉴权方案称为Early IMS的鉴权方式,将完整的基于3G的鉴权方案称为Full 3GPP IMS鉴权方式。
对于任何一个2G或3G的UE,其既可以使用基于IMS的应用服务器(AS)所提供的业务,如使用presence业务,也可以对基于IMS的AS或AS的代理(AP)进行一些简单的管理操作,如管理AS或AP上的一些组列表(group list)信息等。
当一个UE需要使用基于IMS的AS所提供的业务时,其需要首先接入3GPP分组域,然后经过IMS的鉴权后才能使用AS所提供的业务,此时,对于2G的UE,IMS将使用Early IMS的鉴权方式进行鉴权,对于3G的UE,IMS将使用Full 3GPP IMS的鉴权方式进行鉴权。
当一个UE需要对基于IMS的AS或通过AP对AS进行管理操作时,其仍然要首先接入3GPP分组域,然后该UE可通过Ut接口直接接入AS或AP,因而IMS不再对该UE进行鉴权。同时在现有的协议中规定,该直接接入AS或AP的UE采用通用鉴权框架(GAA)的方式鉴权后,才能接入AS或AP。
但是,现有的基于通用鉴权框架(GAA)的鉴权方式是针对3G用户终端的,其不支持对2G用户终端的鉴权,这样,必然会存在这样的情况:2G用户终端不能接入或2G用户终端不需鉴权就可直接接入。
如果不让2G用户终端接入,不但使运营商损失很多业务,还会导致用户对运营商的满意度下降。
如果2G用户终端不需鉴权就可直接接入,显然无法保证AS和整个网络的安全。
发明内容
有鉴于此,本发明的目的在于提供一种对用户终端进行鉴权的方法,以对直接接入应用业务实体的2G用户终端实现鉴权。
为达到上述目的,本发明的技术方案是这样实现:
一种对用户终端进行鉴权的方法,适用于直接接入应用业务实体的2G用户终端,接入3GPP的2G用户终端已获得IP地址,且在用户归属网络服务器HSS中已保存由该2G用户终端的IP地址及其身份标识构成的绑定信息,该方法还包括以下步骤:
a、2G用户终端向应用业务实体发起接入请求,该请求中包含自身的标识;应用业务实体根据接收到的接入请求,从HSS获取由该2G用户终端的IP地址及其身份标识构成的绑定信息;
b、应用业务实体判断自身保存的该2G用户终端的IP地址及其身份标识的绑定信息与发起接入请求的2G用户终端的IP地址及其身份标识的绑定信息是否相匹配,如果匹配,则该2G用户终端通过鉴权,否则该2G用户终端不能通过鉴权。
较佳地,所述2G用户终端发起的接入请求中还包括鉴权方式标识,
所述鉴权方式标识为早期的通用鉴权框架鉴权方式时,所述应用业务实体通过执行用户身份初始检查验证的实体BSF从HSS获取该2G用户终端的IP地址及其身份标识的绑定信息。
较佳地,所述应用业务实体通过BSF从HSS获取该2G用户终端的IP地址及其身份标识的绑定信息的过程包括以下步骤:
应用业务实体向BSF发送请求鉴权信息的消息,该请求消息中包含用户终端的身份标识,BSF接收到该请求后,根据请求中的用户终端的身份标识向HSS请求该2G用户终端的IP地址及其身份标识的绑定信息,并将得到的绑定信息直接返回给应用业务实体,应用业务实体保存接收到的绑定信息;
所述BSF向HSS请求绑定信息的消息中包含鉴权方案字段,该鉴权方案字段指示为early IMS。
较佳地,所述BSF为早期的仅具备查询功能的Early-BSF,或支持完全3G功能且具备Early-BSF功能的BSF。
较佳地,当所述应用业务实体通过BSF向HSS请求绑定信息时,所述应用业务实体与已保存绑定信息的HSS属于相同或不同的归属网络。
较佳地,所述2G用户终端发起的接入请求中还包括鉴权方式标识,
所述鉴权方式标识为直接鉴权方式时,所述应用业务实体直接向HSS发送绑定信息请求消息,接收并保存HSS返回的该2G用户终端的IP地址及其身份标识的绑定信息。
较佳地,所述应用业务实体向HSS发送的请求消息由用户数据请求UDR消息承载,且该消息中的属性信息指明请求绑定信息;HSS给应用业务实体返回的响应消息由用户数据应答UDA消息承载,且该消息中的属性信息指明请求绑定信息。
较佳地,当所述应用业务实体直接向HSS请求绑定信息时,所述应用业务实体与已保存绑定信息的HSS属于相同的归属网络。
较佳地,所述2G用户终端向应用业务实体发起的接入请求由基于HTTP协议的请求消息HTTP GET承载;
所述请求消息中的鉴权方式标识由HTTP GET中的用户代理user agent字段承载。
较佳地,所述接入请求中的身份标识为用户公共身份标识IMPU;
所述应用业务实体从HSS获取的该2G用户终端的IP地址及其身份标识的绑定信息为:接入请求中所包含的IMPU和该2G用户终端的IP地址的对应关系;或发起接入请求的2G用户终端所拥有的所有IMPU和该2G用户终端的IP地址的对应关系。
较佳地,该方法进一步包括:2G用户终端与应用业务实体之间建立传输层安全TUS隧道,然后再执行步骤a。
较佳地,所述应用业务实体为应用服务器AS或应用服务器代理AP。
本发明的关键是:应用业务实体接收到来自2G用户终端的包含用户身份标识的接入请求后,根据接入请求中的用户身份标识,从HSS获取该2G用户终端的IP地址及其身份标识的绑定信息;之后,应用业务实体判断自身保存的该2G用户终端的IP地址及其身份标识的绑定信息与发起接入请求的2G用户终端的IP地址及其身份标识的绑定信息是否相匹配,如果匹配,则该2G用户终端通过鉴权,否则该2G用户终端不能通过鉴权。应用本发明,实现了对直接接入应用业务实体的2G用户终端进行鉴权,既保证了合法的用户能够接入,又保证了网络的安全。特别对于早期应用的基于IMS的业务,能够正常部署和运行。
附图说明
图1所示为应用本发明的实施例一的流程示意图;
图2所示为应用本发明的实施例二的流程示意图。
具体实施方式
下面结合附图及具体实施例对本发明再做进一步地详细说明。
图1所示为应用本发明的实施例一的流程示意图。在本实施例中,2G的UE已接入到3GPP分组域,并获得分组网络的分组网络网关节点(GGSN)为其分配的IP地址,同时GGSN将该UE的用户的电话号码(MSISDN)、分组域的国际移动用户身份标识(IMSI)及IP地址等相关信息发送给HSS,HSS通过用户的MSISDN或IMSI查找到用户在IMS系统中的身份标识IMPI,并将该UE的IMPI、该IMPI所对应的用户的公共身份标识(IMPU)、MSISDN以及该UE的IP地址等信息进行绑定保存。本实施例以2G的UE接入AS为例进行说明。
步骤101,2G的UE向AS发起接入请求,该请求中包含该UE自身的身份标识,如IMPU;该请求消息中还包含自身所支持的鉴权方式标识,在现有基于Http协议的Ut接口,可以利用Http GET消息中的用户代理(user agent)字段来承载该鉴权方式标识,在本实施例中,该2G的UE所支持的鉴权方式为早期应用GAA的Ut接口认证方式,在此,将该鉴权方式的标识记为早期的通用鉴权框架鉴权方式(Early-GAA-Ut),那么该鉴权方式标识Early-GAA-Ut将被添在Http消息中的user agent字段中。
步骤102,AS根据接收到的接入请求,判断出请求消息中的鉴权方式标识为Early-GAA-Ut后,AS向执行用户身份初始检查验证的实体(BSF)发送请求鉴权信息的消息,该消息中包含该AS的用户身份标识,本步骤中的BSF可以为早期的仅具备查询功能的Early-BSF,也可以是支持完全3G功能且具有Earl y-BSF功能的BSF。
由于在3G GAA的执行过程中,AS向BSF请求鉴权信息时,需要携带BSF分配的用户会话标识(B-TID),而在Early-GAA-Ut鉴权方式中是不存在BSF分配的B-TID的,因此对于支持完全3G功能且具备Early-BSF功能的BSF,其接收到来自AS的请求鉴权信息的消息后,可以通过判断该消息中携带的是B-TID还是用户身份标识来区分是正常3G GAA的鉴权方式还是Early-GAA-Ut的鉴权鉴权方式。
步骤103,BSF收到AS的请求鉴权信息的消息,并确定该请求中携带的是用户身份标识后,向HSS请求该UE的IP地址及其身份标识的绑定信息。该请求信息中同样包含UE的身份标识,并且,该向HSS请求绑定信息的消息中包含鉴权方案字段,且该鉴权方案字段中指示为early IMS。
步骤104,HSS根据接收到的请求信息中的用户身份标识,查询BSF所需的绑定信息,并将该绑定信息返回给BSF。
通常UE所发接入请求中的用户身份标识为IMPU,因此,HSS查询绑定信息的过程为:HSS通过收到的IMPU查找与该IMPU所对应的IMPI,以及与该IMPI所对应的IP地址,所述返回的绑定信息是指IMPU与该UE的IP地址的对应关系。
如果发起接入请求的UE所携带的用户身份标识是IMPI或IMSI,则HSS返回的绑定信息是IMPI与IP地址的绑定信息或IMSI与IP地址的绑定信息,或根据其所应用的网络系统的需要返回需要的IMPI和/或IMPU与该用户终端IP地址的绑定的信息。也就是说,HSS所返回的绑定信息是发起请求的UE的身份标识与该UE当前所拥有IP地址的对应信息。
步骤105,BSF收到该绑定信息后,不进行保存而是将该绑定信息直接转发给AS,这样做的好处是当AS再次向BSF请求绑定信息时,BSF需要到HSS去查询,从而保证了BSF返回给AS的信息总是最新的。
步骤106,AS收到绑定信息后保存,之后判断自身保存的该UE的IP地址及其身份标识的绑定信息与该发起接入请求的UE的IP地址及其身份标识的绑定信息是否相匹配,即是否完全相同,如果匹配,则该2G的UE通过鉴权,否则该2G的UE不能通过鉴权。
对于上述实施例,当UE的IP地址改变或注销后,GGSN将通知HSS更新该绑定信息或删除该绑定信息。而当HSS所保存的绑定信息变化后,HSS不需要通知BSF,因为通常在IP地址变化或注销后,基于连接的应用层协议就会断开并在以后重新建立连接,AS在连接断开后将删除保存的绑定信息,当UE重新建立连接时,AS会重新向BSF请求绑定信息。
对于上述实施例,接收到接入请求的AS与已保存绑定信息的HSS可以属于同一归属网络,也可以属于不同的归属网络。
图2所示为应用本发明的实施例二的流程示意图。在本实施例中,UE已接入到3GPP分组域,并获得GGSN为其分配的IP地址,同时GGSN将该UE的MSISDN、IMSI及IP地址等相关信息发送给HSS,HSS通过用户的MSISDN或IMSI查找到用户在IMS系统中的身份标识IMPI,并将该UE的IMPI、该IMPI所对应的用户的公共身份标识(IMPU)、MSISDN以及该UE的IP地址等信息进行绑定保存。本实施例以2G的UE接入AS为例进行说明。
步骤201,2G的UE向AS发起接入请求,该请求中包含该UE自身的身份标识,如IMPU;该请求的消息中还包含自身所支持的鉴权方式标识,在现有基于Http协议的Ut接口,可以利用Http GET消息中的user agent字段来承载该鉴权方式标识,在本实施例中,该2G的UE所支持的鉴权方式为应用AS与HSS之间Sh接口的直接鉴权方式,在此,将该鉴权方式的标识记为直接鉴权方式(Ut-Sh-Authentication),那么该鉴权方式标识Ut-Sh-Authentication将被添在Http消息中的user agent字段中。
步骤202,AS根据接收到的接入请求,判断出请求消息中的鉴权方式标识为Ut-Sh-Authentication后,直接通过Sh接口向HSS发送请求该UE的IP地址及其身份标识绑定信息的消息。该请求消息中同样包含用户身份标识信息。通常,AS通过Sh接口向HSS发送的请求消息由用户数据请求(UDR,User-Data-Request)消息来承载,且通过该请求消息中的属性信息Avp(Attribute-Value Pair)来描述请求用户的何种数据。在本实施例中,通过增加要求绑定地址信息的Avp属性,来实现通过Sh接口请求地址绑定信息。
步骤203,HSS根据接收到的请求信息中的用户身份标识,查询AS所需的绑定信息,并将该绑定信息直接返回给AS。通常,HSS在Sh接口中使用用户数据应答(UDA,User-Data-Answer)消息作为UDR消息的响应消息。在本实施例中,由于是对请求绑定消息的响应,因此该UDA消息中也使用步骤202中增加的Avp属性信息。
通常UE所发接入请求中的用户身份标识为IMPU,因此,HSS查询绑定信息的过程为:HSS通过收到的IMPU查找与该IMPU所对应的IMPI,以及与该IMPI所对应的IP地址,所述返回的绑定信息是指IMPU与该UE的IP地址的对应关系。
如果发起接入请求的UE所携带的用户身份标识是IMPI或IMSI,则HSS返回的绑定信息是IMPI与IP地址的绑定信息或IMSI与IP地址的绑定信息,或根据其所应用的网络系统的需要返回需要的IMPI和/或IMPU与该用户终端IP地址的绑定的信息。也就是说,HSS所返回的绑定信息是发起请求的UE的身份标识与该UE当前所拥有IP地址的对应信息。
步骤204,AS收到绑定信息后保存,之后,判断自身保存的该UE的IP地址及其身份标识的绑定信息与该发起接入请求的UE的IP地址及其身份标识的绑定信息是否相匹配,即是否完全相同,如果匹配,则该2G的UE通过鉴权,否则该2G的UE不能通过鉴权。
对于上述实施例,当UE的IP地址改变或注销后,GGSN将通知HSS更新该绑定信息或删除该绑定信息。而当HSS所保存的绑定信息变化后,HSS不需要通知AS,因为通常在IP地址变化或注销后,基于连接的应用层协议就会断开并在以后重新建立连接,AS在连接断开后将删除保存的绑定信息,当UE重新建立连接时,AS会重新向HSS请求绑定信息。
对于上述实施例,接收到接入请求的AS与已保存绑定信息的HSS必须属于同一归属网络。
以上所述实施例均是以UE接入AS为例进行说明的,当然,上述所有实施例中的AS均可以直接替换为AP,由该AP代理AS完成对接入的UE进行鉴权的操作,且一个AP的后面可以有一个或一个以上的AS。在此,将所有类似AS或AP的实体称为应用业务实体。
再有,众所周知,用户的公共身份标识IMPU与私有标识IMPI对应关系是多对一的关系,因此针对上述两个实施例而言,在HSS返回绑定信息时,也可以返回这个IMPI所关联的所有IMPU与该UE的IP地址的绑定信息。这样做的好处是,UE连接到AS后,其后面消息有可能变化为使用其它的IMPU,因此AS需要保存该UE所有IMPU与该IP地址的对应关系。当上述实施例中的AS被替换为AP时,这样的处理尤为有用,因为AP后面可以有多个AS,且由AP替这些AS完成鉴权功能,则UE向不同的AS发出请求的时候使用的IMPU很可能是不同的,这时,如果AP已经保存了该UE所有IMPU与该UE的IP地址的对应关系,则可以迅速准确的完成其代理的鉴权的操作,而不必向HSS进行多次查询。
在上面两个实施例执行之前,UE和AS可以先建立基于传输层保护的传输层安全(TLS Transport Layer Security)隧道,由于TLS就是一种传输层保护协议,因此在建立这个隧道后,再执行上面两个实施例中描述的基于应用层的认证过程,可以使UE和AS之间的应用层通信得到充分的安全保护。
以上所述实施例均是让网络侧来适应UE,即让网络侧能够对2G的UE进行鉴权。当然,也可以让UE来适应网络侧,即让2G的用户加载一软件模块,从而使得该2G的UE能够完全地支持3G的功能,也就是使2G的UE能够支持3G的鉴权方式。这样,网络侧可以仍然采用标准的3G的鉴权方式对该UE进行鉴权。该软件模块可以从网上下载,也可以从运营商处直接获得。
以上所述实施例中的鉴权方式,既可以在2G的UE直接接入AS时应用,也可以在该接入的UE后续发送的消息中应用。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (12)
1、一种对用户终端进行鉴权的方法,适用于直接接入应用业务实体的2G用户终端,其特征在于,接入3GPP的2G用户终端已获得IP地址,且在用户归属网络服务器HSS中已保存由该2G用户终端的IP地址及其身份标识构成的绑定信息,该方法还包括以下步骤:
a、2G用户终端向应用业务实体发起接入请求,该请求中包含自身的标识;应用业务实体根据接收到的接入请求,从HSS获取由该2G用户终端的IP地址及其身份标识构成的绑定信息;
b、应用业务实体判断自身保存的该2G用户终端的IP地址及其身份标识的绑定信息,与发起接入请求的2G用户终端的IP地址及其身份标识的绑定信息是否相匹配,如果匹配,则该2G用户终端通过鉴权,否则该2G用户终端不能通过鉴权。
2、根据权利要求1所述的方法,其特征在于,所述2G用户终端发起的接入请求中还包括鉴权方式标识,
所述鉴权方式标识为早期的通用鉴权框架鉴权方式时,所述应用业务实体通过执行用户身份初始检查验证的实体BSF从HSS获取该2G用户终端的IP地址及其身份标识的绑定信息。
3、根据权利要求2所述的方法,其特征在于,所述应用业务实体通过BSF从HSS获取该2G用户终端的IP地址及其身份标识的绑定信息的过程包括以下步骤:
应用业务实体向BSF发送请求鉴权信息的消息,该请求消息中包含用户终端的身份标识,BSF接收到该请求后,根据请求中的用户终端的身份标识向HSS请求该2G用户终端的IP地址及其身份标识的绑定信息,并将得到的绑定信息直接返回给应用业务实体,应用业务实体保存接收到的绑定信息;
所述BSF向HSS请求绑定信息的消息中包含鉴权方案字段,该鉴权方案字段指示为early IMS。
4、根据权利要求3所述的方法,其特征在于,所述BSF为早期的仅具备查询功能的Early-BSF,或支持完全3G功能且具备Early-BSF功能的BSF。
5、根据权利要求3所述的方法,其特征在于,所述应用业务实体与已保存绑定信息的HSS属于相同或不同的归属网络。
6、根据权利要求1所述的方法,其特征在于,所述2G用户终端发起的接入请求中还包括鉴权方式标识,
所述鉴权方式标识为直接鉴权方式时,所述应用业务实体直接向HSS发送绑定信息请求消息,接收并保存HSS返回的该2G用户终端的IP地址及其身份标识的绑定信息。
7、根据权利要求6所述的方法,其特征在于,所述应用业务实体向HSS发送的请求消息由用户数据请求UDR消息承载,且该消息中的属性信息指明请求绑定信息;HSS给应用业务实体返回的响应消息由用户数据应答UDA消息承载,且该消息中的属性信息指明请求绑定信息。
8、根据权利要求6所述的方法,其特征在于,所述应用业务实体与已保存绑定信息的HSS属于相同的归属网络。
9、根据权利要求2或6所述的方法,其特征在于,
所述2G用户终端向应用业务实体发起的接入请求由基于HTTP协议的请求消息HTTP GET承载;
所述请求消息中的鉴权方式标识由HTTP GET中的用户代理user agent字段承载。
10、根据权利要求1所述的方法,其特征在于,所述接入请求中的身份标识为用户公共身份标识IMPU;
所述应用业务实体从HSS获取的该2G用户终端的IP地址及其身份标识的绑定信息为:接入请求中所包含的IMPU和该2G用户终端的IP地址的对应关系;或发起接入请求的2G用户终端所拥有的所有IMPU和该2G用户终端的IP地址的对应关系。
11、根据权利要求1所述的方法,其特征在于,该方法进一步包括:2G用户终端与应用业务实体之间建立传输层安全TLS隧道,然后再执行步骤a。
12、根据权利要求1所述的方法,其特征在于,所述应用业务实体为应用服务器AS或应用服务器代理AP。
Priority Applications (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2005100774766A CN100379315C (zh) | 2005-06-21 | 2005-06-21 | 对用户终端进行鉴权的方法 |
| EP06742203A EP1816825A4 (en) | 2005-06-21 | 2006-06-21 | METHOD AND SYSTEM FOR AUTHENTICATING USER TERMINAL |
| PCT/CN2006/001416 WO2006136106A1 (fr) | 2005-06-21 | 2006-06-21 | Procede et systeme d'authentification de terminal d'usager |
| CNA2006800123062A CN101160920A (zh) | 2005-06-21 | 2006-06-21 | 对用户终端进行鉴权的方法及鉴权系统 |
| US11/735,541 US20070249342A1 (en) | 2005-06-21 | 2007-04-16 | Method, system and application service entity for authenticating user equipment |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2005100774766A CN100379315C (zh) | 2005-06-21 | 2005-06-21 | 对用户终端进行鉴权的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1802016A true CN1802016A (zh) | 2006-07-12 |
| CN100379315C CN100379315C (zh) | 2008-04-02 |
Family
ID=36811707
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2005100774766A Expired - Fee Related CN100379315C (zh) | 2005-06-21 | 2005-06-21 | 对用户终端进行鉴权的方法 |
| CNA2006800123062A Pending CN101160920A (zh) | 2005-06-21 | 2006-06-21 | 对用户终端进行鉴权的方法及鉴权系统 |
Family Applications After (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2006800123062A Pending CN101160920A (zh) | 2005-06-21 | 2006-06-21 | 对用户终端进行鉴权的方法及鉴权系统 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20070249342A1 (zh) |
| EP (1) | EP1816825A4 (zh) |
| CN (2) | CN100379315C (zh) |
| WO (1) | WO2006136106A1 (zh) |
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2007098669A1 (fr) * | 2006-03-02 | 2007-09-07 | Huawei Technologies Co., Ltd. | Procédé, système et dispositif d'authentification de terminal d'utilisateur |
| WO2009103188A1 (en) * | 2008-02-21 | 2009-08-27 | Alcatel Shanghai Bell Co., Ltd. | One-pass authentication mechanism and system for heterogeneous networks |
| WO2010037287A1 (zh) * | 2008-09-28 | 2010-04-08 | 华为技术有限公司 | 用户设备活动信息通知方法、系统及网元设备、服务器 |
| WO2010048805A1 (zh) * | 2008-10-27 | 2010-05-06 | 华为技术有限公司 | 应用业务接入鉴权方法及接入鉴权代理服务器 |
| CN102238211A (zh) * | 2010-04-23 | 2011-11-09 | 上海博泰悦臻电子设备制造有限公司 | 车载通信服务提供、获取方法和装置及系统 |
| CN101072326B (zh) * | 2007-06-20 | 2011-12-21 | 华为技术有限公司 | 访问非归属签约iptv业务提供者业务的方法、系统和设备 |
| WO2012062115A1 (zh) * | 2010-11-08 | 2012-05-18 | 中兴通讯股份有限公司 | 一种机器类通信接入控制的方法、系统及装置 |
| CN101715173B (zh) * | 2008-10-06 | 2013-06-05 | 华为技术有限公司 | 用户设备活动信息通知方法、系统及网元设备、服务器 |
| CN104468464A (zh) * | 2013-09-12 | 2015-03-25 | 深圳市腾讯计算机系统有限公司 | 验证方法、装置和系统 |
| CN104753872A (zh) * | 2013-12-30 | 2015-07-01 | 中国移动通信集团公司 | 认证方法、认证平台、业务平台、网元及系统 |
| CN106599622A (zh) * | 2016-12-06 | 2017-04-26 | 福建中金在线信息科技有限公司 | 一种应用软件接口程序过滤的方法及装置 |
| CN103888415B (zh) * | 2012-12-20 | 2017-09-15 | 中国移动通信集团公司 | Ims用户的游牧控制方法及装置 |
| WO2019085803A1 (zh) * | 2017-11-03 | 2019-05-09 | 华为技术有限公司 | 一种物联网通信的方法、装置和系统 |
| CN109962878A (zh) * | 2017-12-14 | 2019-07-02 | 大唐移动通信设备有限公司 | 一种ims用户的注册方法及装置 |
| CN112422479A (zh) * | 2019-08-22 | 2021-02-26 | 北京奇虎科技有限公司 | 一种设备绑定方法及装置、系统 |
| CN114125836A (zh) * | 2020-08-10 | 2022-03-01 | 中国移动通信有限公司研究院 | 鉴权方法、装置、设备及存储介质 |
Families Citing this family (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101102186B (zh) * | 2006-07-04 | 2012-01-04 | 华为技术有限公司 | 通用鉴权框架推送业务实现方法 |
| US8359031B2 (en) * | 2008-09-19 | 2013-01-22 | Clear Channel Management Services, Inc. | Computer based method and system for logging in a user mobile device at a server computer system |
| CN101478755B (zh) * | 2009-01-21 | 2011-05-11 | 中兴通讯股份有限公司 | 一种网络安全的http协商的方法及其相关装置 |
| KR101094577B1 (ko) | 2009-02-27 | 2011-12-19 | 주식회사 케이티 | 인터페이스 서버의 사용자 단말 인증 방법과 그 인터페이스 서버 및 사용자 단말 |
| CN101945102B (zh) * | 2010-07-26 | 2014-07-16 | 中兴通讯股份有限公司 | 基于ims的iptv用户合法性认证的方法、服务器及系统 |
| EP2418817B1 (en) | 2010-08-12 | 2018-12-12 | Deutsche Telekom AG | Application server for managing communications towards a set of user entities |
| EP2418818B1 (en) * | 2010-08-12 | 2018-02-14 | Deutsche Telekom AG | Network entity for managing communications towards a user entity over a communication network |
| EP2418815B1 (en) | 2010-08-12 | 2019-01-02 | Deutsche Telekom AG | Managing Session Initiation Protocol communications towards a user entity in a communication network |
| AP3955A (en) * | 2011-10-31 | 2016-12-22 | Nokia Corp | Security mechanism for external code |
| EP2805450B1 (en) * | 2012-01-19 | 2019-05-15 | Nokia Solutions and Networks Oy | Detection of non-entitlement of a subscriber to a service in communication networks |
| US20130212653A1 (en) * | 2012-02-09 | 2013-08-15 | Indigo Identityware | Systems and methods for password-free authentication |
| US10791496B2 (en) * | 2016-06-30 | 2020-09-29 | T-Mobile Usa, Inc. | Restoration of serving call session control and application server function |
| CN108024248B (zh) * | 2016-10-31 | 2022-11-08 | 中兴通讯股份有限公司 | 一种物联网平台的鉴权方法和装置 |
| EP3528155B1 (en) | 2016-11-08 | 2024-06-12 | Huawei Technologies Co., Ltd. | Authentication method and electronic device |
| US10721621B2 (en) * | 2018-05-23 | 2020-07-21 | Cisco Technology, Inc. | Updating policy for a video flow during transitions |
| US20220408251A1 (en) * | 2019-11-15 | 2022-12-22 | Telefonaktiebolaget Lm Ericsson (Publ) | Method for supporting authentication of a user equipment |
| US11638134B2 (en) * | 2021-07-02 | 2023-04-25 | Oracle International Corporation | Methods, systems, and computer readable media for resource cleanup in communications networks |
| US11709725B1 (en) | 2022-01-19 | 2023-07-25 | Oracle International Corporation | Methods, systems, and computer readable media for health checking involving common application programming interface framework |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE10116547A1 (de) * | 2001-04-03 | 2002-10-10 | Nokia Corp | Registrierung eines Endgeräts in einem Datennetz |
| US20030159067A1 (en) * | 2002-02-21 | 2003-08-21 | Nokia Corporation | Method and apparatus for granting access by a portable phone to multimedia services |
| GB0311006D0 (en) * | 2003-05-13 | 2003-06-18 | Nokia Corp | Registrations in a communication system |
| ES2311821T3 (es) * | 2004-05-12 | 2009-02-16 | Telefonaktiebolaget Lm Ericsson (Publ) | Sistema de autenticacion. |
| GB0414421D0 (en) * | 2004-06-28 | 2004-07-28 | Nokia Corp | Authenticating users |
| US20060020791A1 (en) * | 2004-07-22 | 2006-01-26 | Pekka Laitinen | Entity for use in a generic authentication architecture |
| WO2006084183A1 (en) * | 2005-02-04 | 2006-08-10 | Qualcomm Incorporated | Secure bootstrapping for wireless communications |
| KR20070100932A (ko) * | 2005-02-11 | 2007-10-12 | 노키아 코포레이션 | 통신 네트워크에서 부트스트랩 절차를 제공하기 위한 방법및 장치 |
| GB0504865D0 (en) * | 2005-03-09 | 2005-04-13 | Nokia Corp | User authentication in a communications system |
-
2005
- 2005-06-21 CN CNB2005100774766A patent/CN100379315C/zh not_active Expired - Fee Related
-
2006
- 2006-06-21 CN CNA2006800123062A patent/CN101160920A/zh active Pending
- 2006-06-21 WO PCT/CN2006/001416 patent/WO2006136106A1/zh not_active Application Discontinuation
- 2006-06-21 EP EP06742203A patent/EP1816825A4/en not_active Withdrawn
-
2007
- 2007-04-16 US US11/735,541 patent/US20070249342A1/en not_active Abandoned
Cited By (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2007098669A1 (fr) * | 2006-03-02 | 2007-09-07 | Huawei Technologies Co., Ltd. | Procédé, système et dispositif d'authentification de terminal d'utilisateur |
| CN101072326B (zh) * | 2007-06-20 | 2011-12-21 | 华为技术有限公司 | 访问非归属签约iptv业务提供者业务的方法、系统和设备 |
| CN101946455B (zh) * | 2008-02-21 | 2012-09-05 | 上海贝尔股份有限公司 | 用于异构网络的一次通过认证机制和系统 |
| WO2009103188A1 (en) * | 2008-02-21 | 2009-08-27 | Alcatel Shanghai Bell Co., Ltd. | One-pass authentication mechanism and system for heterogeneous networks |
| WO2010037287A1 (zh) * | 2008-09-28 | 2010-04-08 | 华为技术有限公司 | 用户设备活动信息通知方法、系统及网元设备、服务器 |
| CN101715173B (zh) * | 2008-10-06 | 2013-06-05 | 华为技术有限公司 | 用户设备活动信息通知方法、系统及网元设备、服务器 |
| WO2010048805A1 (zh) * | 2008-10-27 | 2010-05-06 | 华为技术有限公司 | 应用业务接入鉴权方法及接入鉴权代理服务器 |
| CN101729578B (zh) * | 2008-10-27 | 2013-01-23 | 华为技术有限公司 | 应用业务接入鉴权方法及接入鉴权代理 |
| CN102238211A (zh) * | 2010-04-23 | 2011-11-09 | 上海博泰悦臻电子设备制造有限公司 | 车载通信服务提供、获取方法和装置及系统 |
| WO2012062115A1 (zh) * | 2010-11-08 | 2012-05-18 | 中兴通讯股份有限公司 | 一种机器类通信接入控制的方法、系统及装置 |
| CN103888415B (zh) * | 2012-12-20 | 2017-09-15 | 中国移动通信集团公司 | Ims用户的游牧控制方法及装置 |
| CN104468464A (zh) * | 2013-09-12 | 2015-03-25 | 深圳市腾讯计算机系统有限公司 | 验证方法、装置和系统 |
| CN104468464B (zh) * | 2013-09-12 | 2018-07-06 | 深圳市腾讯计算机系统有限公司 | 验证方法、装置和系统 |
| CN104753872A (zh) * | 2013-12-30 | 2015-07-01 | 中国移动通信集团公司 | 认证方法、认证平台、业务平台、网元及系统 |
| CN104753872B (zh) * | 2013-12-30 | 2018-10-12 | 中国移动通信集团公司 | 认证方法、认证平台、业务平台、网元及系统 |
| CN106599622A (zh) * | 2016-12-06 | 2017-04-26 | 福建中金在线信息科技有限公司 | 一种应用软件接口程序过滤的方法及装置 |
| WO2019085803A1 (zh) * | 2017-11-03 | 2019-05-09 | 华为技术有限公司 | 一种物联网通信的方法、装置和系统 |
| CN109756450A (zh) * | 2017-11-03 | 2019-05-14 | 华为技术有限公司 | 一种物联网通信的方法、装置和系统 |
| CN109756450B (zh) * | 2017-11-03 | 2021-06-15 | 华为技术有限公司 | 一种物联网通信的方法、装置、系统和存储介质 |
| US11729615B2 (en) | 2017-11-03 | 2023-08-15 | Huawei Cloud Computing Technologies Co., Ltd. | Internet of things communication method, apparatus, and system |
| CN109962878A (zh) * | 2017-12-14 | 2019-07-02 | 大唐移动通信设备有限公司 | 一种ims用户的注册方法及装置 |
| US11381607B2 (en) | 2017-12-14 | 2022-07-05 | Datang Mobile Communications Equipment Co., Ltd. | IMS user registration method and device |
| CN112422479A (zh) * | 2019-08-22 | 2021-02-26 | 北京奇虎科技有限公司 | 一种设备绑定方法及装置、系统 |
| CN112422479B (zh) * | 2019-08-22 | 2024-05-14 | 北京奇虎科技有限公司 | 一种设备绑定方法及装置、系统 |
| CN114125836A (zh) * | 2020-08-10 | 2022-03-01 | 中国移动通信有限公司研究院 | 鉴权方法、装置、设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN100379315C (zh) | 2008-04-02 |
| WO2006136106A1 (fr) | 2006-12-28 |
| EP1816825A4 (en) | 2008-03-05 |
| US20070249342A1 (en) | 2007-10-25 |
| CN101160920A (zh) | 2008-04-09 |
| EP1816825A1 (en) | 2007-08-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1802016A (zh) | 对用户终端进行鉴权的方法 | |
| US7715370B2 (en) | Method and system for subscribing a user to a service | |
| CN1642083A (zh) | 网络侧选择鉴权方式的方法 | |
| RU2428803C2 (ru) | Способ, система и устройство для осуществления ассоциации пользовательской идентичности | |
| CN101617517B (zh) | 对ip多媒体子系统服务的群组接入 | |
| JP5302330B2 (ja) | 通信ネットワークにおいて使用する方法および装置 | |
| CN1885787A (zh) | 一种在用户注册过程中注册异常的处理方法 | |
| CN1294722C (zh) | 网络侧选择鉴权方式的方法 | |
| CN1299533C (zh) | 一种用户到归属签约用户服务器进行注册的方法 | |
| CN1781331A (zh) | 移动通信系统内用户的多个注册 | |
| US20070055874A1 (en) | Bundled subscriber authentication in next generation communication networks | |
| JP2006522501A5 (zh) | ||
| US8265622B2 (en) | Method and saving entity for setting service | |
| CN1878087A (zh) | 服务呼叫会话控制功能实体备份方法及其系统 | |
| CN101043526A (zh) | 在ims网络中处理消息的方法、装置及系统 | |
| CN1777322A (zh) | 一种网络侧对更新ip地址的用户的处理方法 | |
| US8966091B2 (en) | Method of distinguishing a plurality of UEs sharing one PUID and a device thereof | |
| US9692835B2 (en) | Method and apparatuses for the provision of network services offered through a set of servers in an IMS network | |
| CN101115232B (zh) | 通过sbc接入ip多媒体子系统网络的漫游控制方法及系统 | |
| CN1874279A (zh) | 在用户注册过程中注册异常的处理方法 | |
| CN1812322A (zh) | 一种鉴权系统及处理方法 | |
| CN1716965A (zh) | Ip多媒体系统 | |
| CN101299747A (zh) | 一种媒体控制方法、系统、装置及媒体服务组合设备 | |
| CN1852556A (zh) | 在ip多媒体子系统中实现注册的方法 | |
| CN101136823B (zh) | 一种获取代理呼叫会话控制功能地址的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20080402 Termination date: 20210621 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |