WO2006047956A1

WO2006047956A1 - Cadre d'authentification general et procede de mise a jour des informations de description de securite utilisateur dans le bsf

Info

Publication number: WO2006047956A1
Application number: PCT/CN2005/001845
Authority: WO
Inventors: Yingxin Huang; Xiaoqin Duan; Wenlin Zhang
Original assignee: Huawei Technologies Co., Ltd.
Priority date: 2004-11-05
Filing date: 2005-11-04
Publication date: 2006-05-11
Also published as: CN100525186C; CN1770686A

Description

通用鉴权框架及更新 BSF中用户安全描述信息的方法技术领域

本发明涉及第三代无线通信技术领域，特别是涉及通用鉴权框架及更新 BSF中用户安全描述信息的方法。发明背景

在第三代无线通信标准中，通用鉴权框架是多种应用业务实体使用的一个用于完成对用户身份进行验证的通用结构，应用通用鉴权框架可实现对应用业务的用户进行检查和验证身份。上述多种应用业务可以是多播 /广播业务、用户证书业务、信息即时提供业务等，也可以是代理业务。

图 1所示为通用鉴权框架的结构示意图。通用鉴权框架通常由用户终端（UE ) 101、执行用户身份初始检查验证的实体（BSF ) 102、用户归属网络服务器（HSS ) 103和网络应用实体（NAF ) 104组成。 BSF 102 用于与用户终端 101进行身份互验证，同时生成 BSF 102与 UE 101的共享密钥； HSS 103中存储有用于描述用户信息的描述（Profile )文件，该 Profile中包括通用鉴权框架中的核心鉴权部分（ GBA )，还包括与 GBA 相关的用户安全相关的描述信息，其中，与通用鉴权框架中某一个业务相关的用户安全描述信息称为 USS ( User Security Setting ), 与通用鉴权框架中所有业务相关的用户安全描述信息称为 GUSS( GBA User Security Settings ), USS是 GUSS中的元素。同时 HSS 103还兼有产生鉴权矢量信息的功能。

用户需要使用某种业务时 ,如果其知道需要首先到 BSF进行互鉴权，则直接与 BSF联系进行互鉴权，否则，用户会首先和该业务对应的 NAF 联系，如果该 NAF使用通用鉴权框架，并且发现发出请求的用户还未到 BSF进行互鉴权，则通知发出请求的用户到 BSF进行互鉴权以验证身份。

用户到 BSF验证身份的过程是： UE向 BSF发出鉴权请求，该鉴权请求消息中包括用户的永久身份标识， BSF接到来自用户的鉴权请求后，向 HSS请求该用户的鉴权矢量信息及用户安全描述信息，该请求消息中也包含了该用户终端的永久身份标识 , HSS根据该用户终端的用户身份标识查找到该用户的 profile文件并且生成鉴权矢量，之后 HSS给 BSF 返回鉴权矢量及 GUSS。由于每组鉴权矢量只能使用一次，因此 HSS可以给 BSF返回只够一次使用的鉴权矢量信息，但从节省接口信令资源的角度考虑， HSS通常都会给 BSF返回多组鉴权矢量信息以供多次鉴权使用。 BSF根据所获取的鉴权矢量信息与 UE之间执行鉴权和密钥协商协议 ( AKA )进行互鉴权。鉴权成功后， UE和 BSF之间互相认证了身份并且同时生成了共享密钥 Ks, BSF为该密钥 Ks定义一个有效期限，以便密钥 Ks进行更新。之后， BSF分配一个会话事务标识（B-TID )给 UE, 该 B-TID与 Ks相关联，并在本地对该 B-TID、用户的永久身份标识、密钥 Ks及密钥 Ks的有效期限等信息进行关联保存，然后再将该 B-TID发送给 UE, 该消息中同时包含了 Ks的有效期限。

共享密钥 Ks是作为根密钥来使用的，不会离开用户的 UE和 BSF, 当用户和 NAF通信时，将使用由 Ks衍生出的密钥。

UE收到这个 B-TID后，重新向 NAF发出连接请求，该请求消息中携带了该 B-TID, 同时用户侧根据 Ks计算出衍生密钥 Ks—NAF。 NAF 收到请求后，先在本地查询是否有用户携带的该 B-TID,如果 NAF不能在本地查询到该 B-TID, 则向 BSF进行查询，该清求查询消息中携带了 NAF标识和 B-TID。如果 NAF接收到来自 BSF的未查询到的信息，则通知用户到 BSF进行认证鉴权。如果 NAF收到来自 BSF的成功响应消息后，就认为该 UE是经过 BSF认证的合法用户，同时 NAF和 UE也共享了由 Ks衍生的密钥 Ks— NAF。 NAF和 UE在后面的通信过程中通过 Ks— NAF进行通信保护。上述成功的响应中包括 NAF所需的 B-TID, 与该 B-TID对应的衍生密钥 Ks— NAF，以及 BSF为该密钥设置的有效期限。

在 NAF向 BSF查询 B-TID的消息中同时，根据用户请求应用的业务类型指示出自身需要的 USS, NAF可以同时请求一个或者多个 USS。如果 BSF查询到该 B-TID并处理完毕与该 B-TID相关的密钥信息后，则根据本地策略及 NAF的请求信息将相关的 USS发送给 NAF。

例如，假设用户请求的是用户证书业务，即 NAF执行证书服务器的功能，那么 NAF在向 BSF查询 B-TID的同时，指示自身需要与该用户的用户证书业务相关的 USS, BSF根据本地策略，即运营商的策略，认为该 NAF有权得到后，在返回的成功消息中携带 USS, NAF将接收到的 USS信息保存。用户证书业务的 USS中包括用户可以申请证书等级等信息，这些信息是用户定购该业务时制定的， NAF则根据这些信息确定是否能够给用户生成并发送该用户请求的证书。

在 HSS给 BSF返回鉴权矢量信息及 USS后， HSS并不负责更新这些已经发送出去的信息，即 HSS并不将已更新的 USS发送给 BSF。因而当用户定购的信息发生变化后， BSF是不能够及时知道的，因此， NAF 也不可能及时得到更新的 USS,这样将导致 UE和 NAF之间的业务过程出现问题，而使用户的满意度下降。例如，用户原来定购的用户证书业务只是初级证书，不能用于数字签名等高级应用，当用户修改其定购信息升级到高级证书后，由于 HSS并不主动将修改后的 USS或 GUSS发送给 BSF, 则在 Ks没有到期或者 BSF还有能够使用的鉴权矢量信息而不需要向 HSS申请新鉴权矢量信息的情况下，用户保存在 BSF内的 USS 或 GUSS就会很长时间得不到更新。因而，该用户还只能应用初级证书业务。

对于上述情况，现有的解决方法是： .

当 BSF向 HSS请求某个用户的 USS或 GUSS时， HSS就维持与 BSF 之间的针对该用户的会话连接，同时维护该会话相关的状态信息。即在 HSS与 BSF之间 , HSS为每一个用户维持一个会话连接。在会话连接存在的过程中，如果用户的签约信息发生了变化， HSS会主动通知 BSF。如果希望终止某个会话连接，则 BSF需要发送一条消息给 HSS来终止该会话，否则 HSS将一直维护该会话连接。

上述方法的缺陷是显而易见的：要保证 HSS将用户的签约变化信息及时通知给 BSF, 就必须在 HSS与 BSF之间维持针对该用户的会话连接，这样，不但严重加重 BSF和 HSS的负担，而且对资源极度浪费。因为用户并不是经常更新 USS或 GUSS的，所以所维持的会话中有 99 %的资源处于空闲状态。而如果用户经常使用通用鉴权框架中的各种业务，则该维持的会话连接基本没有被终止的情况，这样对于 BSF和 HSS 而言都是无法忍受的。发明内容

有鉴于此，本发明的一个主要目的是提供一种更新 BSF中的用户安全描述信息的方法，保证 BSF 中的用户安全描述信息能够及时得到更新，且节省资源。

本发明的另一主要目的是提供三种通用鉴权框架的架构，便于更新 BSF中的用户安全描述信息，同时给运营商提供多种应用选择。

为达到上述目的，本发明的技术方案是这样实现的：

一种更新执行用户身份初始检查验证实体 BSF中的用户安全描述信息的方法，该方法包括以下步骤：

用户归属网络服务器 HSS接收到来自 BSF的请求某用户的鉴权矢量信息和与通用鉴权框架中所有业务相关的用户安全描述信息 GUSS的请求后，生成鉴权矢量信息，并将 BSF所请求的 GUSS标识为已发送给 BSF后，再将该用户的鉴权矢量信息及 BSF所请求的 GUSS返回给 BSF; 当与通用鉴权框架中某个或某几个业务相关的用户安全描述信息 USS更新后， HSS判断该 USS所属的 GUSS是否已被标识为发送给 BSF, 如果是，则发送用户安全描述信息更新的消息给 BSF, 由 BSF执行更新操作，否则不做处理。

较佳地，该方法进一步包括：

将对用户业务有影响的 USS中的元素标识为需要通知；

当 USS更新后， HSS首先判断该 USS中的更新的元素是否已被标识为需要通知，如果是，则再判断该 USS所属的 GUSS是否已被标识为发送给 BSF, 并继续后续处理，否则不做处理。

较佳地，该方法进一步包括：预设定时时间，当 HSS将 BSF所请求的 GUSS标识为已发送给 BSF后，开始计时，若在所述定时时间到达后， HSS仍未收到 BSF请求已标识为发送给 BSF的 GUSS的信息，则将该 GUSS的标识变为未发送给 BSF。

较佳地，所述 HSS发送的用户安全描述信息更新的消息中包括，已更新的 USS的具体内容；

所述 BSF执行更新操作的过程为： BSF判断本地是否有该 USS所属的 GUSS, 如果有，则删除原有 USS信息，保存该更新的 USS，否则，忽略掉该消息。

较佳地，所述 HSS发送的用户安全描述信息更新的消息中包括，通知 BSF更新 USS的信息；所述 BSF执行更新操作的过程为： BSF判断本地是否有该 USS所属的 GUSS, 如果没有，则忽略掉该消息；如果有，则向 HSS请求已更新的 USS, HSS重新启动 BSF请求的 GUSS的已发送给 BSF的标识的定时时间后，将该已更新的 USS发送给 BSF, BSF删除原有 USS信息，保存该已更新的 USS。

较佳地，所述 HSS发送的用户安全描述信息更新的消息中包括，一个以上更新了的用户的身份标识和更新的 USS的信息；

所述 BSF执行更新操作的过程为： BSF判断本地是否有更新的 USS 所属的 GUSS,如果有，则或者删除原有 USS信息，保存该更新的 USS, 否则，忽略掉该消息，或者不做处理。

较佳地，所述 HSS发送的用户安全描述信息更新的消息中包括，一个以上更新了的用户身份标识；

所述 BSF执行更新操作的过程为： BSF判断本地是否有这些标识所对应的 USS所属的 GUSS, 如果没有，则忽略掉该消息；如果有，则或者向 HSS请求已更新的 USS, HSS重新启动 BSF请求的 GUSS的已发送给 BSF的标识的定时时间后，将 BSF请求的且已更新的 USS发送给 BSF, BSF删除原有 USS信息，保存该已更新的 USS, 或者不做处理。

较佳地，该方法进一步包括： BSF将 USS发送给 NAF时，关联保存该 NAF的标识和其请求的 USS; BSF更新完毕 USS后，发送用户安全描述信息更新的消息给 NAF, 由 NAF执行更新操作。

较佳地，所述 BSF发送的用户安全描述信息更新的消息中包括，已更新的 USS的具体内容；

所述 NAF执行更新操作的过程为： NAF删除原有 USS信息，保存并启用该更新的 USS。

较佳地，所述 BSF发送的用户安全描述信息更新的消息中包括，通知 NAF更新 USS的信息；

所述 NAF执行更新操作的过程为： NAF向 BSF请求已更新的 USS, BSF将该已更新的 USS发送给 NAF后， NAF删除原有 USS信息，保存并启用该已更新的 uss。

较佳地，该方法进一步包括：

NAF接收到来自用户的 USS更新的通知后，主动向 BSF请求该用户已更新的 USS, 且该请求中包含与自身现有版本相关的信息；

BSF接收到上述请求后，判断自身保存的该 USS的版本是否比 NAF 中现有的版本新，如果是，则直接给 NAF返回已更新的 USS, 否则，向 HSS请求更新该 USS后，再将该更新的 USS返回给 NAF;

NAF接收到上述返回信息后，删除原有 USS信息，保存并启用该已更新的 USS。

较佳地，该方法进一步包括： HSS重新启动后，向 BSF发送自身重新启动过的通知，由 BSF决定自身是否需要执行更新 USS的操作。

较佳地，所述用户归属网络服务器 HSS由一个实体构成，该实体具有用于完成基础鉴权功能和用于提供与通用鉴权框架有关的用户安全描述信息的功能。

较佳地，所述用户归属网络月艮务器 HSS是由具有基础鉴权功能的实体 HSS-B , 和具有与通用鉴权框架有关的用户安全描述信息的实体 HSS-G共同构成，且所述 HSS-G与 BSF和 HSS-B分别直接通信；

当 HSS-G接收到来自 BSF的请求某用户的鉴权矢量信息和 GUSS 的请求后，向 HSS-B请求该用户的鉴权矢量信息， HSS-B将自身生成的鉴权矢量信息发送给 HSS-G后， HSS-G将自身保存的该用户的 GUSS 标识为已发送给 BSF后，再将从 HSS-B获取的鉴权矢量信息和自身保存的该用户的 GUSS返回给 BSF; 当某个或某几个 USS更新且需要通知 BSF时，由 HSS-G判断该 USS 所属的 GUSS是否已被标识为发送给 BSF，如果是，则给 BSF发送用户安全描述信息更新的消息，由 BSF执行更新操作，否则不做处理。

较佳地，所述用户归属网络服务器 HSS是由具有基础鉴权功能的实体 HSS-B , 和具有与通用鉴权框架有关的用户安全描述信息的实体 HSS-G共同构成，且所述 HSS-B与 BSF和 HSS-G分别直接通信；

当 HSS-B接收到来自 BSF的请求某用户的鉴权矢量信息和 GUSS 的请求后，向 HSS-G请求该用户的 GUSS, HSS-G将自身保存的该用户的 GUSS标识为已发送给 BSF后，发送给 HSS-B， HSS-B将自身生成的鉴权矢量信息和从 HSS-G获取的 GUSS返回给 BSF;

当某个或某几个 USS更新且需要通知 BSF时，由 HSS-G判断该 USS 所属的 GUSS是否已被标识为发送给 BSF, 如果是，则通过 HSS-B给 BSF发送用户安全描述信息更新的消息，由 BSF执行更新操作，否则不做处理。

较佳地，所述用户归属网络服务器 HSS是由具有基础鉴权信息的实体 HSS-B , 和具有与通用鉴权框架有关的用户安全描述信息的实体 HSS-G共同构成，且所述 HSS-B和 HSS-G分别直接与 BSF通信；

当 HSS-B接收到来自 BSF的请求某用户的鉴权矢量信息的请求后，将自身生成的鉴权矢量信息返回给 BSF;

当 HSS-G接收到来自 BSF的请求某用户的 GUSS的请求后，将自身保存的该用户的 GUSS标识为已发送给 BSF后，再将该 GUSS返回给 BSF;

当某个或某几个 USS更新且需要通知 BSF时，由 HSS-G判断该 USS 所属的 GUSS是否已被标识为发送给 BSF,如果是，则给 BSF发送用户安全描述信息更新的消息，由 BSF执行更新操作，否则不做处理。一种通用鉴权框架，包括用户终端 101、执行用户身份初始检查验证的实体 BSF 102和网络业务应用实体 NAF 104, 该通用鉴权框架还包括：具有基础鉴权功能的实体 HSS-B 103b, 和具有与通用鉴权框架有关的用户安全描述信息的实体 HSS-G 103a, 其中，

所述 HSS-G 103a,用于直接接收来自 BSF 102的请求某用户的鉴权矢量信息和 GUSS的请求；或者，用于将自身保存的该用户的 GUSS标识为已发送给 BSF; 或者，将从 HSS-B获取的鉴权矢量信息和自身保存的、且已标识为发送给 BSF的 GUSS返回给 BSF; 或者，用于判断某个或某几个 USS的更新是否需要通知 BSF, 并在判断出需要通知后，直接给 BSF发送用户安全描述信息更新的消息；

所述 HSS-B 103b, 用于接收来自 HSS-G 103a请求某个用户的鉴权矢量信息，生成鉴权矢量信息，并将所生成鉴权矢量信息返回给 HSS-G 103a。

一种通用鉴权框架, 包括用户终端 101、执行用户身份初始检查验证的实体 BSF 102和网絡业务应用实体 NAF 104, 该通用鉴权框架还包括：具有基础鉴权信息的实体 HSS-B 103b，和具有与通用鉴权框架有关的用户安全描述信息的实体 HSS-G 103a, 其中，

所述 HSS-B 103b,用于直接接收来自 BSF 102的请求某用户的鉴权矢量信息和 GUSS的请求；或者，将从 HSS-G 103a获取的 GUSS、和自身生成的鉴权矢量信息发送给 BSF；

所述 HSS-G 103a,用于接收来自 HSS-B 103b请求某个用户的 GUSS 的请求，将自身保存的该用户的 GUSS标识为已发送给 BSF后，再将该 GUSS发送给 HSS-B 103b; 或者，用于判断某个或某几个 USS的更新是否需要通知 BSF, 并在判断出需要通知后，通过 HSS-B 103b给 BSF 发送用户安全描述信息更新的消息。一种通用鉴权框架，包括用户终端 101、执行用户身份初始检查验证的实体 BSF 102和网络业务应用实体 NAF 104, 该通用鉴权框架还包括：具有基鉴权信息的实体 HSS-B 103b，和具有与通用鉴权框架有关的用户安全描述信息的实体 HSS-G 103a, 其中，

所述 HSS-B 103b,用于直接接收来自 BSF 102的请求某用户的鉴权矢量信息，将自身生成的鉴权矢量信息发送给 BSF;

所述 HSS-G 103a, 用于直接接收来自 BSF 102的请求某用户 GUSS 的请求，将自身保存的该用户的 GUSS标识为已发送给 BSF后 , 将已标识为发送给 BSF的 GUSS返回给 BSF; 或者，用于判断某个或某几个 USS 的更新是否需要通知 BSF, 并在判断出需要通知后，直接给 BSF 发送用户安全描述信息更新的消息。

本发明在 HSS接收到来自 BSF的请求某用户的鉴权矢量信息和用户安全描述信息的请求后，生成鉴权矢量信息，并将 BSF所请求的用户安全描述信息标识为已发送给 BSF后，再将该用户的鉴权矢量信息及 BSF所请求的用户安全描述信息返回给 BSF;当某个或某几个 USS更新后， HSS判断该更新的 USS所属的 GUSS是否已被标识为发送给 BSF, 如果是，则发送用户安全描述信息更新的消息给 BSF, 由 BSF执行更新操作，否则不做处理。应用本发明，保证了 BSF中的用户安全描述信息能够及时得到更新，且节省了资源，防止了业务过程可能出现的错误，提高了用户的满意度。

同时，本发明还提供了三种通用鉴权框架的架构，不仅便于更新 BSF 中的用户安全描述信息，而且给运营商提供了多种选择，方便了运营商的应用。附图简要说明

图 1所示为现有技术的通用鉴权框架的结构示意图；

图 2所示为应用本发明的更新 BSF中的用户安全描述信息的流程示意图；

图 3所示为应用本发明的实施例一的通用鉴权框架结构示意图；图 4所示为应用本发明的实施例二的通用鉴权框架结构示意图；图 5所示为应用本发明的实施例三的通用鉴权框架结构示意图。实施本发明的方式

为使本发明的技术方案更加清楚，下面结合附图对本发明再做进一步伴细说明。

图 2所示为应用本发明的更新 BSF中的用户安全描述信息的流程示意图。

步骤 201 , 为了使用某种业务， UE向 BSF发送鉴权请求。

步骤 202, BSF接收到上述请求后，向 HSS请求该用户的鉴权矢量信息及 GUSS。

步驟 203, HSS生成鉴权矢量信息，并找到该用户的 GUSS后，将该 GUSS标识为已发送给 BSF，例如将已发送的标识为 "是"，将未发送的标识为 "否"。

而且，为了防止该标志位永远为 "是"，如果在一段预设的时间内， HSS一直未收到 BSF请求该已标识为 "是" 的 GUSS的信息, 则将该 GUSS的标识重新标识为 "否"。之所以可以这样做是因为，如果用户处于经常使用通用鉴权框架业务的活动中，那么他必然需要经常进行鉴权，当 BSF本地的鉴权资料用光后, 就会向 HSS进行请求，从而触发请求鉴权矢量信息及 GUSS的过程，所以，如果在一段较长时间内 HSS 都没有收到 BSF为该用户请求鉴权矢量信息，可以认为该用户目前处于未活动状态，因而，这时 HSS可以自动将 "是" 变为 "否"，以免触发不必要的流程。这个时间长度可以由运营商根据运营的情况来设置。

步骤 204, HSS将该用户的鉴权矢量信息及 GUSS返回给 BSF。步骤 205 , BSF和 UE执行 AKA协议进行互鉴权，鉴权成功后， BSF 给用户分配 B-TID。

步骤 206, UE向 NAF发送包含 B-TID的业务请求。

步骤 207, NAF确定本地没有该 B-TID后，向 BSF进行查询，该查询信息中包含了用户的 B-TID及 NAF需要的 USS的标识， NAF可能需要一个 USS也可能需要多个 USS。

步骤 208, BSF查找到该 B-TID后，产生相关的密钥信息，并且才艮据本地的策略，即运营商的预先设置，给 NAF返回相关的密钥信息及 USS, 并将请求的 NAF的标识和 USS关联保存。

步骤 209， NAF到 BSF确认用户的身份并取得相关信息后与用户进行正常的业务通信。

步骤 210, 用户的某个或某几个 USS进行更新。

这时 HSS需要确定是否需要通知 BSF。因为 USS中有些元素的变更对用户业务的影响很大，但有些元素的变更对用户业务没有影响，因而，通常并不是 USS中的所有元素的变更都需要通知 BSF。因此，一般会对 USS 中的元素进行标识，凡是元素的变更会对用户业务产生影响的，将该元素后附带需要通知 BSF的标识，如 "need notification" , 这样，当 USS更新后， HSS首先判断该更新的元素是否已被标识为 "need notification" , 如果不是则不做处理，如果是，则再判断该 USS 所属的 GUSS是否已被标识为 "是"，如果是，则执行步骤 211 , 否则不做处理。

步骤 211 , HSS发送用户安全描述信息更新的消息给 BSF, 由 BSF 执行更新操作。

上述用户安全描述信息更新的消息中如果包含具体的已更新的 USS 内容，则 BSF接收到该消息后，判断本地是否有该 USS所属的 GUSS, 如果有，则执行步骤 214，否则，忽略掉该消息。

上述用户安全描述信息更新的消息中如果只包括通知 BSF更新 USS 的信息，则 BSF接收到该消息后，判断本地是否有该 USS所属的 GUSS , 如果有，则执行步骤 212, 如果没有，则忽略掉该消息。

这是因为，在某些时候用户可能已经处于非活动状态而 BSF也已将其信息删除了，但 HSS设置的时间相对比较长，这种情况下， HSS直接携带已更新的 USS是没有用的，反而增大了需要携带的信息量。

步骤 212, BSF向 HSS请求已更新的用户安全描述信息。

步骤 213 , HSS重新启动 BSF请求的 GUSS的 "是" 标识的定时时间，之后将该 GUSS中的已更新的 USS发送给 BSF。

步骤 214, BSF删除原有 USS信息，保存该已更新的 USS。

步骤 215, BSF更新完毕 USS后，发送用户安全描述信息更新的消息给 NAF, 如果该更新消息中包含已更新的 USS的具体内容，则 NAF 接收到的具体内容删除原有 USS信息，保存并启用该更新的 USS，结束；如果该更新消息中仅包括通知 NAF更新 USS的信息，则 NAF接收到该消息后，执行步骤 216。

步骤 216, NAF向 BSF请求已更新的用户安全描述信息。

步骤 217, NAF接收到包含 USS 的具体内容的消息后，删除原有

USS信息，保存并启用该更新的 uss。

至此，保证了 BSF中的用户安全描述信息能够及时得到更新，且节省了资源，而且，对于 NAF中的用户安全描述信息也实现了及时更新。

对于步骤 211 , 还可以进行批处理操作，即当 HSS中有多个用户信息都更新后，可以在该条消息中携带所有更新了的用户的身份标识和更新了的 USS, 或者仅携带所有更新了的用户身份标识， BSF在收到这些标识后，根据自身情况，或者请求其需要的用户的 USS进行更新，或者不做处理。

对于更新 NAF中的用户安全描述信息，还有一种方法，具体如下：用户知道自己的定购信息已经更新，即自身的 USS 更新后，在向 NAF请求业务时，就明确指示 NAF更新自身保存的 USS，此时， NAF 就主动向 BSF请求新的 USS, 该请求中包含与自身现有版本相关的信息； BSF接收到上述请求后，判断自身保存的该 USS的版本是否比 NAF 中现有的版本新，如果是，则给 NAF返回已更新的 USS, 否则，向 HSS 请求更新该 USS后，再将该已更新的 USS返回给 NAF; NAF接收到上述返回信息后，删除原有信息，保存并启用该已更新的 USS。

再有，也可以不主动更新 NAF中的用户安全描述信息，而是当 NAF 再次到 BSF来查询用户的 B-TID时，再将新的 USS发送给 NAF。这种方式不需要任何额外的信息和流程，但延迟相对比较大。

另外， HSS可能在某些极特殊的情况下重新启动， HSS重新启动后向 BSF发送自身重新启动过的通知，由 BSF决定自身是否需要执行更新 USS的操作。

本发明还提供了几种通用鉴权框架，具体说明如下。

图 3所示为应用本发明的实施例一的通用鉴权框架结构示意图。本实施例宁的通用鉴权框架中包括用户终端 101、 BSF 10²和 NAF 104, 其中，该通用鉴权框架中还包括：具有基础鉴权功能的实体（HSS-B ) 103b ,和具有与通用鉴权框架有关的用户安全描述信息的实体（ HSS-G ) 103a,且所述 HSS-G103a与 BSF 102和 HSS-B 103b分别直接进行通信。具体通信过程为：所述 HSS-G 103a,用于直接接收来自 BSF 102的请求某用户的鉴权矢量信息和 GUSS的请求；或者，用于将自身保存的该用户的 GUSS标识为已发送给 BSF; 或者，将从 HSS-B获取的鉴权矢量信息和自身保存的、且已标识为发送给 BSF的 GUSS返回给 BSF; 或者，用于判断某个或某几个 USS 的更新是否需要通知 BSF, 并在判断出需要通知后，给 BSF发送用户安全描述信息更新的消息；

图 4所示为应用本发明的实施例二的通用鉴权框架结构示意图。本实施例中的通用鉴权框架中包括用户终端 101、 BSF 102和 NAF 104, 其中，该通用鉴权框架中还包括：具有基础鉴权功能的实体（HSS-B ) 103b ,和具有与通用鉴权框架有关的用户安全描述信息的实体（ HSS-G ) 103a,且所述 HSS-B 103b与 BSF 102和 HSS-G 103a分别直接进行通信。具体过程为：

所述 HSS-B 103b,用于直接接收来自 BSF 102的请求某用户的鉴权矢量信息和 GUSS的请求；或者，将从 HSS-G 103a获取的 GUSS、和自身生成的鉴权矢量信息发送给 BSF;

所述 HSS-G 103a,用于接收来自 HSS-B 103b请求某个用户的 GUSS 的请求，将自身保存的该用户的 GUSS标识为已发送给 BSF后 ,再将该 GUSS发送给 HSS-B 103b; 或者，用于判断某个或某几个 USS的更新是否需要通知 BSF, 并在判断出需要通知后，通过 HSS-B 103b给 BSF 发送用户安全描述信息更新的消息。

图 5所示为应用本发明的实施例三的通用鉴权框架结构示意图。本实施例中的通用鉴权框架中包括用户终端 101、 BSF 102和 NAF 104, 其中，该通用鉴权框架中还包括：具有基础鉴权功能的实体（HSS-B ) 103b,和具有与通用鉴权框架有关的用户安全描述信息的实体（ HSS-G ) 103a，且所述 HSS-B 103b和 HSS-G 103a分别直接与 BSF 102进行通信。具体过程为：

所述 HSS-G 103a, 用于直接接收来自 BSF 102的请求某用户 GUSS 的请求，将自身保存的该用户的 GUSS标识为已发送给 BSF后，将已标识为发送给 BSF的 GUSS返回给 BSF; 或者，用于判断某个或某几个 USS 的更新是否需要通知 BSF, 并在判断出需要通知后，直接给 BSF 发送用户安全描述信息更新的消息。

当然，对于图 3、 4、 5所示通用鉴权框架，如果对于已标识为发送给 BSF的 GUSS存在定时时间，则 HSS-G 103a将已标识为发送给 BSF 的 GUSS发送给 BSF后，重新启动该定时时间，或者，判断出某个或某几个 USS的更新需要通知 BSF后，重新启动该某个或某几个 USS所属 GUSS的定时时间。

由此可见， HSS既可以由图 1所示的一个实体构成，也可以由图 3、

4、 5所示的多个实体构成，即用于完成基础鉴权功能和用于提供与通用鉴权框架有关的用户安全描述信息的功能可以在同一实体上也可以在不同的实体上。

图 2所述更新 BSF中的用户安全描述信息的方法不但适用于图 1所示通用鉴权框架，同样适用于图 3、 4、 5所示的通用鉴权框架。

针对图 3所示通用鉴权框架，图 2所述步骤 203相应变为： HSS-G 接收到来自 BSF的请求某用户的鉴权矢量信息和 GUSS的请求后，向 HSS-B请求该用户的鉴权矢量信息， HSS-B将自身生成的鉴权矢量信息发送给 HSS-G后， HSS-G将自身保存的该用户的 GUSS标识为已发送给 BSF后 , 再将从 HSS-B获取的鉴权矢量信息和自身保存的该用户的 GUSS返回给 BSF; 步骤 210相应变为：当某个或某几个 USS更新且需要通知 BSF时，由 HSS-G判断该更新 USS所属的 GUSS是否已被标识为 "是"，如果是，则给 BSF发送用户安全描述信息更新的消息，由 BSF 执行更新操作，否则不做处理；步骤 211相应变为：由 HSS-G发送用户安全描述信息更新的消息给 BSF; 步骤 213相应变为： HSS-G重新启动 GUSS的 "是"标识的定时时间后，将 GUSS中的已更新的 USS直接发送给 BSF。

这样，更新 USS时，就可以由 HSS-G单独完成，而不必对 HSS-B 产生任何影响；进行鉴权时，则需要 HSS-G承担中转功能。

针对图 4所示通用鉴权框架，图 2所述步骤 203相应变为：当 HSS-B 接收到来自 BSF的请求某用户的鉴权矢量信息和 GUSS的请求后，向 HSS-G请求该用户的 GUSS, HSS-G将自身保存的该用户的 GUSS标识为已发送给 BSF后，发送给 HSS-B, HSS-B将自身生成的鉴权矢量信息和从 HSS-G获取的 GUSS返回给 BSF; 步骤 211相应变为：当某个或某几个 USS更新且需要通知 BSF时，由 HSS-G判断该更新 USS所属的 GUSS是否已被标识为发送给 BSF，如果是，则通过 HSS-B给 BSF发送用户安全描述信息更新的消息，由 BSF执行更新操作，否则不做处理；步骤 213相应变为： HSS-G重新启动 GUSS的 "是"标识的定时时间后，将 GUSS中的已更新的 USS通过 HSS-B发送给 BSF。

这样，更新 USS时，需要由 HSS-B承担中转功能；进行鉴权时，就可以由 HSS-B单独完成，而不必对 HSS-G产生任何影响。

针对图 5所示通用鉴权框架，图 2所述步骤 203相应变为：当 HSS-B 接收到来自 BSF的请求某用户的鉴权矢量信息的请求后，将自身生成的鉴权矢量信息返回给 BSF; 当 HSS-G接收到来自 BSF 的请求某用户 GUSS的请求后，将自身保存的该用户的 GUSS标识为已发送给 BSF后，再将该 GUSS返回给 BSF;. 步骤 211相应变为：当某个或某几个 USS 更新且需要通知 BSF时，由 HSS-G判断该更新 USS所属的 GUSS是否已被标识 "是"，并继续后续处理；步驟 213相应变为： HSS-G重新启动 GUSS的 "是"标识的定时时间后，将 GUSS中的已更新的 USS直接发送给 BSF。

这样，更新 USS时，可以由 HSS-G单独完成；进行鉴权时，可以由 HSS-B单独完成，两个实体互不影响。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

权利要求书

1、一种更新执行用户身份初始检查验证实体 BSF中的用户安全描述信息的方法，其特征在于，该方法包括以下步骤：

用户归属网络服务器 HSS接收到来自 BSF的请求某用户的鉴权矢量信息和与通用鉴权框架中所有业务相关的用户安全描述信息 GUSS的' 请求后，生成鉴权矢量信息，并将 BSF所请求的 GUSS标识为已发送给 BSF后，再将该用户的鉴权矢量信息及 BSF所请求的 GUSS返回给 BSF; 当与通用鉴权框架中某个或某几个业务相关的用户安全描述信息 USS更新后， HSS判断该 USS所属的 GUSS是否已被标识为发送给 BSF, —如果是则发送用户安全描述信息更新的消—息给—BSF, 由 BSF执行更新操作，否则不做处理。

2、根据权利要求 1所述的方法, 其特征在于，该方法进一步包括: 将对用户业务有影响的 USS中的元素标识为需要通知；

3、根据权利要求 1或 2所述的方法，其特征在于，该方法进一步包括：预设定时时间 ,当 HSS将 BSF所请求的 GUSS标识为已发送给 BSF 后，开始计时，若在所述定时时间到达后， HSS仍未收到 BSF请求已标识为发送给 BSF的 GUSS的信息，则将该 GUSS的标识变为未发送给 BSF。

4、根据权利要求 3所述的方法，其特征在于，

所述 HSS发送的用户安全描述信息更新的消息中包括，已更新的 USS的具体内容；所述 BSF执行更新操作的过程为： BSF判断本地是否有该 USS所属的 GUSS，如果有，则删除原有 USS信息，保存该更新的 USS, 否贝¹ J , 忽略掉该消息。

5、根据权利要求 3所述的方法，其特征在于，

所述 HSS发送的用户安全描述信息更新的消息中包括，通知 BSF 更新 USS的信息；

所述 BSF执行更新操作的过程为： BSF判断本地是否有该 USS所属的 GUSS, 如果没有，则忽略掉该消息；如果有，则向 HSS请求已更新的 USS, HSS重新启动 BSF请求的 GUSS的已发送给 BSF的标识的定时时间后，将该已更新的 USS发送给 BSF, BSF删除原有 USS信息，保存该已更新的 USS。

6、 t权利要求 3所述的方法，其特征在于，所述 HSS发送的用户安全描述信息更新的消息中包括，一个以上更新了的用户的身份标识和更新的 USS的信息；

7、据权利要求 3所述的方法，其特征在于，所述 HSS发送的用户安全描述信息更新的消息中包括，一个以上更新了的用户身份标识；所述 BSF执行更新操作的过程为： BSF判断本地是否有这些标识所对应的 USS所属的 GUSS, 如果没有，则忽略掉该消息；如果有，则或者向 HSS请求已更新的 USS, HSS重新启动 BSF请求的 GUSS的已发送给 BSF的标识的定时时间后，将 BSF请求的且已更新的 USS发送给 BSF, BSF删除原有 USS信息，保存该已更新的 USS, 或者不做处理。

8、居权利要求 3所述的方法，其特征在于，该方法进一步包括： BSF将 USS发送给 NAF时，关联保存该 NAF的标识和其请求的 USS; BSF更新完毕 USS后，发送用户安全描述信息更新的消息给 NAF, 由 NAF执行更新操作。

9、根据权利要求 8所述的方法，其特征在于，

所述 BSF发送的用户安全描述信息更新的消息中包括，已更新的 USS的具体内容；

10、根据权利要求 8所述的方法，其特征在于，

所述 BSF发送的用户安全描述信息更新的消息中包括，通知 NAF 更新 USS的信息；

所述 NAF执行更新操作的过程为： NAF向 BSF请求已更新的 USS， BSF将该已更新的 USS发送给 NAF后， NAF删除原有 USS信息，保存并启用该已更新的 USS。

11、才艮据权利要求 3所述的方法，其特征在于，该方法进一步包括： NAF接收到来自用户的 USS更新的通知后，主动向 BSF请求该用户已更新的 USS, 且该请求中包含与自身现有版本相关的信息；

12、根据权利要求 3所述的方法，其特征在于，该方法进一步包括： HSS重新启动后，向 BSF发送自身重新启动过的通知，由 BSF决定自身是否需要执行更新 USS的操作。

13、根据权利要求 1所述的方法，其特征在于，所述用户归属网络服务器 HSS由一个实体构成，该实体具有用于完成基鉴权功能和用于提供与通用鉴权框架有关的用户安全描述信息的功能。

14、根据权利要求 1所述的方法，其特征在于，所述用户归属网络服务器 HSS是由具有基础鉴权功能的实体 HSS-B,和具有与通用鉴权框架有关的用户安全描述信息的实体 HSS-G共同构成，且所述 HSS-G与 BSF和 HSS-B分别直接通信；

当 HSS-G接收到来自 BSF的请求某用户的鉴权矢量信息和 GUSS 的请求后，向 HSS-B请求该用户的鉴权矢量信息， HSS-B将自身生成的鉴权矢量信息发送给 HSS-G后， HSS-G将自身保存的该用户的 GUSS 标识为已发送给 BSF后，再将从 HSS-B获取的鉴权矢量信息和自身保存的该用户的 GUSS返回给 BSF;

当某个或某几个 USS更新且需要通知 BSF时，由 HSS-G判断该 USS 所属的 GUSS是否已被标识为发送给 BSF，如果是，则给 BSF发送用户安全描述信息更新的消息，由 BSF执行更新操作，否则不做处理。

15、根据权利要求 1所述的方法，其特征在于，所述用户归属网络服务器 HSS是由具有基础鉴权功能的实体 HSS-B,和具有与通用鉴权框架有关的用户安全描述信息的实体 HSS-G共同构成，且所述 HSS-B与 BSF和 HSS-G分别直接通信；

当 HSS-B接收到来自 BSF的请求某用户的鉴权矢量信息和 GUSS 的请求后，向 HSS-G请求该用户的 GUSS, HSS-G将自身保存的该用户的 GUSS标识为已发送给 BSF后，发送给 HSS-B, HSS-B将自身生成的鉴权矢量信息和从 HSS-G获取的 GUSS返回给 BSF;

16、根据权利要求 1所述的方法，其特征在于，所述用户归属网络服务器 HSS是由具有基础鉴权信息的实体 HSS-B,和具有与通用鉴权框架有关的用户安全描述信息的实体 HSS-G共同构成，且所述 HSS-B和 HSS-G分别直接与 BSF通信；

当 HSS-G接收到来自 BSF的请求某用户的 GUSS的请求后，将自身保存的该用户的 GUSS标识为已发送给 BSF后 ,再将该 GUSS返回给 BSF;

当某个或某几个 USS更新且需要通知 BSF时，由 HSS-G判断该 USS 所属的 GUSS是否已被标识为发送给 BSF,如果是，则给 BSF发送用户安全描述信息更新的消息，由 BSF执行更新操作，否则不做处理。

17、一种通用鉴权框架，包括用户终端（101 )、执行用户身份初始检查验证的实体 BSF ( 102 )和网络业务应用实体 NAF ( 104 )，其特征在于，该通用鉴权框架还包括：具有基 ^鉴权功能的实体 HSS-B( 103b ), 和具有与通用鉴权框架有关的用户安全描述信息的实体 HSS-G ( 103a ), 其中，

所述 HSS-G ( 103a ), 用于直接接收来自 BSF ( 102 ) 的请求某用户的鉴权矢量信息和 GUSS 的请求；或者，用于将自身保存的该用户的 GUSS标识为已发送给 BSF; 或者，将从 HSS-B获取的鉴权矢量信息和自身保存的、且已标识为发送给 BSF的 GUSS返回给 BSF; 或者，用于判断某个或某几个 USS的更新是否需要通知 BSF,并在判断出需要通知后，直接给 BSF发送用户安全描述信息更新的消息；所述 HSS-B (103b), 用于接收来自 HSS-G ( 103a)请求某个用户的鉴权矢量信息，生成鉴权矢量信息，并将所生成鉴权矢量信息返回给 HSS-G ( 103a

18、一种通用鉴权框架，包括用户终端（101)、执行用户身份初始检查睑证的实体 BSF ( 102 )和网络业务应用实体 NAF ( 104 ), 其特征在于，该通用鉴权框架还包括：具有基础鉴权信息的实体 HSS-B( 103b), 和具有与通用鉴权框架有关的用户安全描述信息的实体 HSS-G ( 103a), 其中，

所述 HSS-B ( 103b), 用于直接接收来自 BSF ( 102) 的请求某用户的鉴权矢量信息和 GUSS 的请求；或者，将从 HSS-G ( 103a)获取的 GUSS, 和自身生成的鉴权矢量信息发送给 BSF;

所述 HSS-G ( 103a), 用于接收来自 HSS-B ( 103b)请求某个用户的 GUSS的请求，将自身保存的该用户的 GUSS标识为已发送给 BSF 后，再将该 GUSS发送给 HSS-B (103b); 或者，用于判断某个或某几个 USS的更新是否需要通知 BSF，并在判断出需要通知后，通过 HSS-B ( 103b)给 BSF发送用户安全描述信息更新的消息。

19、一种通用鉴权框架，包括用户终端（101)、执行用户身份初始检查验证的实体 BSF ( 102)和网络业务应用实体 NAF ( 104), 其特征在于，该通用鉴权框架还包括：具有基础鉴权信息的实体 HSS-B( 103b), 和具有与通用鉴权框架有关的用户安全描述信息的实体 HSS-G ( 103a), 其中，

所述 HSS-B ( 103b), 用于直接接收来自 BSF (102) 的请求某用户的鉴权矢量信息，将自身生成的鉴权矢量信息发送给 BSF;

所述 HSS-G (103a), 用于直接接收来自 BSF ( 102) 的请求某用户 GUSS的请求，将自身保存的该用户的 GUSS标识为已发送给 BSF后，将已标识为发送给 BSF的 GUSS返回给 BSF; 或者，用于判断某个或某几个 USS 的更新是否需要通知 BSF, 并在判断出需要通知后，直接给. BSF发送用户安全描述信息更新的消息。