專利名稱:一種分配會(huì)話事務(wù)標(biāo)識(shí)的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及第三代無(wú)線通信技術(shù)領(lǐng)域,特別是指一種分配會(huì)話事務(wù)標(biāo)識(shí)(TID)的方法�。
背景技術(shù):
在第三代無(wú)線通信標(biāo)準(zhǔn)中,通用鑒權(quán)框架是多種應(yīng)用業(yè)務(wù)實(shí)體使用的一個(gè)用于完成對(duì)用戶身份進(jìn)行驗(yàn)證的通用結(jié)構(gòu)�����,應(yīng)用通用鑒權(quán)框架可實(shí)現(xiàn)對(duì)應(yīng)用業(yè)務(wù)的用戶進(jìn)行檢查和驗(yàn)證身份���。上述多種應(yīng)用業(yè)務(wù)可以是多播/廣播業(yè)務(wù)����、用戶證書業(yè)務(wù)���、信息即時(shí)提供業(yè)務(wù)等�,也可以是代理業(yè)務(wù)����,例如多個(gè)服務(wù)和一個(gè)代理相連,這個(gè)通用鑒權(quán)框架把代理也當(dāng)作一種業(yè)務(wù)來(lái)處理�,組織結(jié)構(gòu)可以很靈活,而且�����,對(duì)于以后新開發(fā)的業(yè)務(wù)也同樣可以應(yīng)用通用鑒權(quán)結(jié)構(gòu)框架對(duì)應(yīng)用業(yè)務(wù)的用戶進(jìn)行檢查和驗(yàn)證身份��。
圖1所示為通用鑒權(quán)框架的結(jié)構(gòu)示意圖��。通用鑒權(quán)框架通常由用戶101����、執(zhí)行用戶身份初始檢查驗(yàn)證的實(shí)體(BSF)102、用戶歸屬網(wǎng)絡(luò)服務(wù)器(HSS)103和網(wǎng)絡(luò)應(yīng)用實(shí)體(NAF)104組成。BSF 102用于與用戶101進(jìn)行互驗(yàn)證身份���,同時(shí)生成BSF 102與用戶101的共享密鑰���;HSS 103中存儲(chǔ)有用于描述用戶信息的描述(Profile)信息文件,同時(shí)HSS 103還兼有產(chǎn)生鑒權(quán)信息的功能����。
用戶需要使用某種業(yè)務(wù)時(shí),如果其知道該業(yè)務(wù)需要到BSF進(jìn)行互鑒權(quán)過(guò)程��,則直接到BSF進(jìn)行互鑒權(quán)�,否則,用戶會(huì)首先和某個(gè)業(yè)務(wù)對(duì)應(yīng)的NAF聯(lián)系��,如果該NAF應(yīng)用通用鑒權(quán)框架需要用戶到BSF進(jìn)行身份驗(yàn)證���,則通知用戶應(yīng)用通用鑒權(quán)框架進(jìn)行身份驗(yàn)證�,否則進(jìn)行其它相應(yīng)處理�����。
圖2所示為應(yīng)用通用鑒權(quán)框架進(jìn)行用戶身份認(rèn)證的流程圖����。
步驟201����,用戶向NAF發(fā)送業(yè)務(wù)應(yīng)用請(qǐng)求消息��;步驟202�����,NAF收到該消息后��,如果發(fā)現(xiàn)該用戶還未到BSF進(jìn)行互認(rèn)證����,通知該用戶首先到BSF進(jìn)行初始鑒權(quán)認(rèn)證�;步驟203,用戶向BSF發(fā)送初始鑒權(quán)認(rèn)證請(qǐng)求消息�����;步驟204��,BSF接收到用戶的鑒權(quán)請(qǐng)求消息后�,向HSS查詢?cè)撚脩舻蔫b權(quán)信息以及Profile信息�����;步驟205�,BSF得到HSS發(fā)送的包含其所查信息的響應(yīng)消息后�����,應(yīng)用所查到的信息與用戶執(zhí)行鑒權(quán)和密鑰協(xié)商協(xié)議(AKA)進(jìn)行互鑒權(quán)��,當(dāng)BSF與用戶完成AKA互鑒權(quán)�����,即相互認(rèn)證了身份后����,BSF與用戶之間就擁有了共享密鑰Ks;步驟206�,BSF給用戶分配只包括標(biāo)識(shí)號(hào)的會(huì)話事務(wù)標(biāo)識(shí)(TID),且該TID針對(duì)一個(gè)以上的NAF同時(shí)有效�,并將已分配的TID發(fā)送給用戶;步驟207�,用戶收到BSF分配的TID后,重新向NAF發(fā)送業(yè)務(wù)應(yīng)用請(qǐng)求消息����,該請(qǐng)求消息中包含BSF分配的TID信息�����;步驟208�����,NAF接收到用戶發(fā)送的包含TID信息的業(yè)務(wù)應(yīng)用請(qǐng)求消息時(shí),首先在NAF本地進(jìn)行查詢���,如查詢到��,則直接執(zhí)行步驟210����,否則���,向BSF發(fā)送包含NAF本地標(biāo)識(shí)的查詢TID的消息�;步驟209����,BSF接收到來(lái)自NAF的查詢消息�����,在本地進(jìn)行查詢���,如查詢到,則向NAF發(fā)送響應(yīng)成功的查詢消息���,該消息中包括查到的TID以及該TID對(duì)應(yīng)用戶應(yīng)用的共享密鑰Ks����,這時(shí)NAF和用戶也共享了密鑰Ks,并執(zhí)行步驟210,否則BSF向NAF發(fā)送響應(yīng)失敗的查詢消息�����,通知NAF沒(méi)有該用戶的信息,由NAF通知用戶到BSF上進(jìn)行鑒權(quán)����,并結(jié)束該處理流程;步驟210�,NAF與用戶進(jìn)行正常的通信,并應(yīng)用共享密鑰Ks或由該共享密鑰Ks衍生的密鑰對(duì)以后的通信進(jìn)行保護(hù)����。
當(dāng)用戶和某個(gè)NAF的首次通信過(guò)程結(jié)束后�����,在以后的通信中都使用該已經(jīng)過(guò)鑒權(quán)的TID和NAF進(jìn)行通信���,由于TID是可以重復(fù)使用的,任何一個(gè)NAF如果在本地不能找到相應(yīng)的TID時(shí)���,都將向BSF進(jìn)行查詢�,因此�����,只要用戶取得一個(gè)合法的TID后����,就可以應(yīng)用該TID與任何NAF進(jìn)行通信��。
現(xiàn)有技術(shù)的缺陷在于BSF分配給用戶的TID是與業(yè)務(wù)對(duì)應(yīng)的實(shí)體NAF沒(méi)有聯(lián)系的�。同一用戶向不同NAF請(qǐng)求應(yīng)用業(yè)務(wù)時(shí),使用的都是同一個(gè)TID���,即多個(gè)NAF和同一用戶共享了相同的密鑰Ks�����,因此���,必然使得密鑰Ks的安全性降低���。而且,一旦某個(gè)NAF被攻擊者攻破����,即泄露了Ks,則攻擊者可以冒充該用戶應(yīng)用多個(gè)NAF上的業(yè)務(wù)���,也就是說(shuō)���,如果某個(gè)NAF被攻擊者攻破,則與其共享相同密鑰的NAF都相當(dāng)于被攻破����,即該用戶的所有應(yīng)用業(yè)務(wù)都受到同樣的威脅。
發(fā)明內(nèi)容
有鑒于此,本發(fā)明的目的在于提供一種分配會(huì)話事務(wù)標(biāo)識(shí)的方法�,使一個(gè)TID只針對(duì)一個(gè)NAF有效,從而解決一個(gè)NAF被攻破����,而使與其共享密鑰的NAF全部受攻的問(wèn)題。
為到達(dá)上述目的�,本發(fā)明的技術(shù)方案是這樣實(shí)現(xiàn)的一種分配會(huì)話事務(wù)標(biāo)識(shí)的方法,適用于應(yīng)用通用鑒權(quán)框架對(duì)用戶進(jìn)行身份驗(yàn)證的第三代無(wú)線通信領(lǐng)域中�����,該方法包括以下步驟a�����、用戶向執(zhí)行用戶身份初始檢查驗(yàn)證的實(shí)體BSF發(fā)送包含待申請(qǐng)應(yīng)用的網(wǎng)絡(luò)應(yīng)用實(shí)體NAF標(biāo)識(shí)信息的認(rèn)證請(qǐng)求消息�����;b�、BSF接收到步驟a所述消息后��,按照預(yù)先設(shè)定的分配原則�����,將已分配的只針對(duì)該用戶所申請(qǐng)應(yīng)用的NAF有效的會(huì)話事務(wù)標(biāo)識(shí)TID發(fā)送給用戶。
較佳地�����,步驟b所述預(yù)先設(shè)定的分配原則為BSF根據(jù)用戶攜帶的NAF標(biāo)識(shí)信息以及該用戶的描述profile信息�����,使所分配TID中標(biāo)記NAF的標(biāo)識(shí)與待申請(qǐng)應(yīng)用的NAF的標(biāo)識(shí)相同�。
較佳地,步驟b所述預(yù)先設(shè)定的分配原則為BSF根據(jù)用戶攜帶的NAF標(biāo)識(shí)信息以及該用戶的描述profile信息��,使所分配TID的標(biāo)識(shí)號(hào)在待申請(qǐng)應(yīng)用的NAF的號(hào)段范圍之內(nèi)�。
較佳地,步驟b所述預(yù)先設(shè)定的分配原則為BSF根據(jù)用戶攜帶的NAF標(biāo)識(shí)信息首先向?qū)?yīng)的NAF進(jìn)行查詢�,由該對(duì)應(yīng)的NAF將自身標(biāo)識(shí)號(hào)段內(nèi)的空閑標(biāo)識(shí)信息發(fā)送給BSF,BSF根據(jù)NAF給出的自身標(biāo)識(shí)號(hào)段內(nèi)的空閑標(biāo)識(shí)信息給用戶分配TID�。
較佳地,所述NAF給出的自身標(biāo)識(shí)號(hào)段內(nèi)的空閑標(biāo)識(shí)信息是一個(gè)或一個(gè)以上的空閑標(biāo)識(shí)���。
較佳地����,步驟b所述BSF接收到步驟a所述消息后,進(jìn)一步包括BSF首先根據(jù)該用戶的描述profile信息判斷該用戶是否有權(quán)與其待申請(qǐng)應(yīng)用的NAF進(jìn)行通信�,如果是,再執(zhí)行后續(xù)步驟���,否則BSF提示用戶訂購(gòu)該NAF的業(yè)務(wù)���。
較佳地,該方法進(jìn)一步包括用戶接收到BSF發(fā)來(lái)的TID后�����,向NAF發(fā)送帶有該TID信息的業(yè)務(wù)應(yīng)用請(qǐng)求消息��;NAF接收到該消息后�����,首先判斷該TID是否對(duì)本NAF有效��,如果無(wú)效�����,則NAF給用戶提示錯(cuò)誤信息��,如果有效����,則NAF再判斷本地是否有該TID信息,如果有�����,則與該用戶進(jìn)行正常通信�,否則向BSF進(jìn)行查詢。
較佳地�����,所述判斷該TID是否對(duì)本NAF有效的方法為判斷TID中標(biāo)記NAF的標(biāo)識(shí)是否與本地NAF的標(biāo)識(shí)相同�����,如果相同�,則該TID對(duì)本NAF有效,否則�����,該TID對(duì)本NAF無(wú)效�����。
較佳地,所述判斷該TID是否對(duì)本NAF有效的方法為判斷該TID的標(biāo)識(shí)號(hào)段是否在本NAF的標(biāo)識(shí)號(hào)段的范圍內(nèi)�����,如果是�,則該TID對(duì)本NAF有效,否則����,該TID對(duì)本NAF無(wú)效。
較佳地����,該方法進(jìn)一步包括在NAF受到非法攻擊時(shí),提示用戶到BSF進(jìn)行重認(rèn)證更新TID及對(duì)應(yīng)的密鑰��。
較佳地����,所述用戶攜帶的NAF標(biāo)識(shí)信息為NAF的名稱、代號(hào)或地址�。
本發(fā)明由BSF根據(jù)用戶攜帶的待申請(qǐng)應(yīng)用的NAF的標(biāo)識(shí)信息以及該用戶自身的profile信息,為用戶分配只針對(duì)其待申請(qǐng)應(yīng)用的NAF有效的TID�����,使得一個(gè)TID只針對(duì)一個(gè)NAF有效��,即不同的NAF與同一用戶的共享密鑰是不同的����,從而避免了一個(gè)NAF被攻破,而使與其共享密鑰的NAF全部受攻的問(wèn)題�,增加了系統(tǒng)的安全性。而且���,當(dāng)NAF認(rèn)為該用戶使用的TID已不安全時(shí)���,如NAF受到非法攻擊時(shí),將提示用戶更新TID��。
圖1所示為通用鑒權(quán)框架的結(jié)構(gòu)示意圖�����;圖2所示為應(yīng)用通用鑒權(quán)框架進(jìn)行用戶身份認(rèn)證的流程圖����;圖3所示為應(yīng)用本發(fā)明一實(shí)施例的流程圖���。
具體實(shí)施例方式
為使本發(fā)明的技術(shù)方案更加清楚,下面結(jié)合附圖及具體實(shí)施例對(duì)本發(fā)明再做進(jìn)一步的詳細(xì)說(shuō)明�。
本發(fā)明的思路是當(dāng)用戶向BSF發(fā)送包含待申請(qǐng)應(yīng)用NAF標(biāo)識(shí)信息的認(rèn)證請(qǐng)求消息時(shí),BSF按照預(yù)先設(shè)定的分配原則��,將已分配的只針對(duì)該用戶所申請(qǐng)應(yīng)用的NAF有效的TID發(fā)送給用戶��。
圖3所示為應(yīng)用本發(fā)明一實(shí)施例的流程圖�����。
步驟301�����,用戶向NAF發(fā)送業(yè)務(wù)應(yīng)用請(qǐng)求消息���;步驟302����,NAF收到該消息后����,如果發(fā)現(xiàn)該用戶還未到BSF進(jìn)行互認(rèn)證�,通知該用戶首先到BSF進(jìn)行初始鑒權(quán)認(rèn)證�;步驟303,用戶向BSF發(fā)送包含待申請(qǐng)應(yīng)用NAF的名稱��、代號(hào)或地址的初始鑒權(quán)認(rèn)證請(qǐng)求消息���;步驟304,BSF接收到用戶的鑒權(quán)請(qǐng)求消息后��,向HSS查詢?cè)撚脩舻蔫b權(quán)信息以及Profile信息���;步驟305����,BSF得到HSS發(fā)送的包含其所查信息的響應(yīng)消息后�����,應(yīng)用所查到的信息與用戶進(jìn)行AKA互鑒權(quán)����,當(dāng)BSF與用戶完成AKA互鑒權(quán),即相互認(rèn)證了身份后��,BSF與用戶之間就擁有了共享密鑰Ks;步驟306����,BSF根據(jù)該用戶的Profile信息判斷該用戶是否有權(quán)與其待申請(qǐng)應(yīng)用的NAF進(jìn)行通信,如果該用戶有權(quán)與其待申請(qǐng)應(yīng)用的NAF進(jìn)行通信���,則按照預(yù)先設(shè)定的分配原則����,將已分配的只針對(duì)該用戶所申請(qǐng)應(yīng)用的NAF有效的TID發(fā)送給用戶���,如果該用戶無(wú)權(quán)與其待申請(qǐng)應(yīng)用的NAF進(jìn)行通信����,則提示用戶訂購(gòu)該業(yè)務(wù)���;BSF可遵循以下任一原則給用戶分配TID1)根據(jù)用戶攜帶的NAF名稱��、代號(hào)或地址以及該用戶的profile信息�����,今所分配TID中標(biāo)記NAF的標(biāo)識(shí)與待申請(qǐng)應(yīng)用的NAF的標(biāo)識(shí)相同��。例如�����,假設(shè)TID標(biāo)識(shí)共有12位XXX XXX XXX XXX�,且前3位用于標(biāo)記不同的NAF,即代表不同的NAF�����,后9位用于代表不同的用戶��,則BSF為用戶分配的TID的前3位的標(biāo)識(shí)與該用戶待申請(qǐng)應(yīng)用的NAF的標(biāo)識(shí)相同�����;2)根據(jù)用戶攜帶的NAF名稱���、代號(hào)或地址以及該用戶的profile信息,今所分配TID的標(biāo)識(shí)號(hào)在待申請(qǐng)應(yīng)用的NAF的號(hào)段范圍之內(nèi)����。例如,假設(shè)TID標(biāo)識(shí)共有6位XXX XXX,且NAF1的號(hào)段范圍為100 000~199 999��,NAF2的號(hào)段范圍為200 000~299 999�����;如果用戶是申請(qǐng)與NAF1進(jìn)行業(yè)務(wù)通信�����,則BSF為其分配的號(hào)段必須在100 000~199 999范圍之內(nèi)�����,如果用戶是申請(qǐng)與NAF2進(jìn)行業(yè)務(wù)通信�����,則BSF為其分配的號(hào)段必須在200 000~299 999范圍之內(nèi)��;3)BSF根據(jù)NAF給出的空閑標(biāo)識(shí)信息給用戶分配TID�。例如,當(dāng)BSF不知在哪個(gè)范圍內(nèi)給用戶分配TID時(shí)���,首先根據(jù)用戶攜帶的NAF標(biāo)識(shí)信息向?qū)?yīng)的NAF查詢�,NAF將自身標(biāo)識(shí)號(hào)段內(nèi)的所有空閑的標(biāo)識(shí)發(fā)送給BSF,由BSF在所有的空閑標(biāo)識(shí)內(nèi)指定一標(biāo)識(shí)作為TID分配給用戶����,同時(shí)將該TID和BSF與用戶互認(rèn)證過(guò)程中生成的共享密鑰對(duì)應(yīng)起來(lái),并保存��,以便NAF查詢��;或者���,如果考慮BSF負(fù)擔(dān)過(guò)重���,NAF首先從自身標(biāo)識(shí)號(hào)段內(nèi)的所有空閑標(biāo)識(shí)中選出一個(gè)標(biāo)識(shí)發(fā)送給BSF,然后由BSF將該NAF指定的標(biāo)識(shí)作為TID分配給用戶����,同時(shí)將該TID和BSF與用戶互認(rèn)證過(guò)程中生成的共享密鑰對(duì)應(yīng)起來(lái)���,并保存��,以便NAF查詢��;
步驟307�����,用戶收到BSF分配的TID后����,重新向NAF發(fā)送業(yè)務(wù)應(yīng)用請(qǐng)求消息,該請(qǐng)求消息中包含BSF分配的TID信息���;步驟308���,NAF接收到用戶發(fā)送的包含TID信息的業(yè)務(wù)應(yīng)用請(qǐng)求消息后,首先判斷該TID對(duì)本NAF是否有效���,如果無(wú)效�����,則NAF給用戶提示錯(cuò)誤信息��,如果有效��,再判斷NAF本地是否有該TID信息�����,如果有�����,則執(zhí)行步驟311����,否則執(zhí)行步驟309;NAF判斷接收到的TID對(duì)本NAF是否有效的方法為根據(jù)TID中標(biāo)記NAF的標(biāo)識(shí)是否與本地NAF的標(biāo)識(shí)相同來(lái)判斷該TID對(duì)本NAF是否有效��,或者����,根據(jù)該TID的標(biāo)識(shí)號(hào)段是否在本NAF的標(biāo)識(shí)號(hào)段的范圍內(nèi),來(lái)判斷該TID對(duì)本NAF是否有效�����;步驟309���,NAF向BSF發(fā)送包括本地NAF標(biāo)識(shí)的查詢TID的消息,如果BSF查詢到�,則執(zhí)行步驟310,否則BSF向NAF發(fā)送響應(yīng)失敗的查詢消息�����,通知NAF沒(méi)有該用戶的信息,由NAF通知用戶到BSF上進(jìn)行鑒權(quán)�,并結(jié)束該處理流程;步驟310�,BSF向NAF發(fā)送響應(yīng)成功的查詢消息,該消息中包括查到的TID以及該TID對(duì)應(yīng)用戶應(yīng)用的共享密鑰Ks或由該共享密鑰Ks衍生的密鑰�,這時(shí)NAF和用戶也共享了密鑰Ks或其衍生密鑰,并執(zhí)行步驟311�;步驟311,NAF與用戶進(jìn)行正常的通信�,并應(yīng)用共享密鑰Ks或由該共享密鑰Ks衍生的密鑰對(duì)以后的通信進(jìn)行保護(hù)。
當(dāng)用戶再次使用已應(yīng)用過(guò)的NAF上的業(yè)務(wù)時(shí)��,仍然可以使用已分配的的TID向NAF發(fā)出請(qǐng)求���,只有當(dāng)NAF認(rèn)為該用戶使用的TID已經(jīng)不安全時(shí)����,如NAF受到非法攻擊并且認(rèn)為用戶的TID及該TID對(duì)應(yīng)的密鑰有可能已經(jīng)被盜時(shí)��,將提示用戶更新TID�����。例如,NAF本身安裝了一個(gè)用于檢測(cè)自身是否安全的入侵檢測(cè)系統(tǒng)�����,當(dāng)這個(gè)系統(tǒng)報(bào)告NAF遭到了黑客的攻擊時(shí)���,NAF處理完自身的安全問(wèn)題后將通知用戶更新TID及該TID對(duì)應(yīng)的密鑰���。
NAF可以是一個(gè)應(yīng)用服務(wù)器,也可以是多個(gè)應(yīng)用服務(wù)器的代理�����。當(dāng)NAF是應(yīng)用服務(wù)器代理時(shí)���,NAF后面可以連接多個(gè)應(yīng)用服務(wù)器���,即一個(gè)NAF代表多個(gè)應(yīng)用,這時(shí)NAF雖然代表多個(gè)應(yīng)用服務(wù)器��,但NAF自身仍是一個(gè)實(shí)體����。
以上所述僅為本發(fā)明的較佳實(shí)施例而已,并不用以限制本發(fā)明����,凡在本發(fā)明的精神和原則之內(nèi),所作的任何修改���、等同替換�����、改進(jìn)等�,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)����。
權(quán)利要求
1.一種分配會(huì)話事務(wù)標(biāo)識(shí)的方法,適用于應(yīng)用通用鑒權(quán)框架對(duì)用戶進(jìn)行身份驗(yàn)證的第三代無(wú)線通信領(lǐng)域中�����,其特征在于�,該方法包括以下步驟a、用戶向執(zhí)行用戶身份初始檢查驗(yàn)證的實(shí)體BSF發(fā)送包含待申請(qǐng)應(yīng)用的網(wǎng)絡(luò)應(yīng)用實(shí)體NAF標(biāo)識(shí)信息的認(rèn)證請(qǐng)求消息�����;b、BSF接收到步驟a所述消息后�,按照預(yù)先設(shè)定的分配原則,將已分配的只針對(duì)該用戶所申請(qǐng)應(yīng)用的NAF有效的會(huì)話事務(wù)標(biāo)識(shí)TID發(fā)送給用戶����。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于�����,步驟b所述預(yù)先設(shè)定的分配原則為BSF根據(jù)用戶攜帶的NAF標(biāo)識(shí)信息以及該用戶的描述profile信息���,使所分配TID中標(biāo)記NAF的標(biāo)識(shí)與待申請(qǐng)應(yīng)用的NAF的標(biāo)識(shí)相同��。
3.根據(jù)權(quán)利要求1所述的方法����,其特征在于�,步驟b所述預(yù)先設(shè)定的分配原則為BSF根據(jù)用戶攜帶的NAF標(biāo)識(shí)信息以及該用戶的描述profile信息,使所分配TID的標(biāo)識(shí)號(hào)在待申請(qǐng)應(yīng)用的NAF的號(hào)段范圍之內(nèi)����。
4.根據(jù)權(quán)利要求1所述的方法,其特征在于,步驟b所述預(yù)先設(shè)定的分配原則為BSF根據(jù)用戶攜帶的NAF標(biāo)識(shí)信息首先向?qū)?yīng)的NAF進(jìn)行查詢����,由該對(duì)應(yīng)的NAF將自身標(biāo)識(shí)號(hào)段內(nèi)的空閑標(biāo)識(shí)信息發(fā)送給BSF,BSF根據(jù)NAF給出的自身標(biāo)識(shí)號(hào)段內(nèi)的空閑標(biāo)識(shí)信息給用戶分配TID���。
5.根據(jù)權(quán)利要求4所述的方法,其特征在于��,所述NAF給出的自身標(biāo)識(shí)號(hào)段內(nèi)的空閑標(biāo)識(shí)信息是一個(gè)或一個(gè)以上的空閑標(biāo)識(shí)�。
6.根據(jù)權(quán)利要求1所述的方法,其特征在于���,步驟b所述BSF接收到步驟a所述消息后�����,進(jìn)一步包括BSF首先根據(jù)該用戶的描述profile信息判斷該用戶是否有權(quán)與其待申請(qǐng)應(yīng)用的NAF進(jìn)行通信����,如果是����,再執(zhí)行后續(xù)步驟,否則BSF提示用戶訂購(gòu)該NAF的業(yè)務(wù)。
7.根據(jù)權(quán)利要求1或6所述的方法�����,其特征在于��,該方法進(jìn)一步包括用戶接收到BSF發(fā)來(lái)的TID后���,向NAF發(fā)送帶有該TID信息的業(yè)務(wù)應(yīng)用請(qǐng)求消息�;NAF接收到該消息后���,首先判斷該TID是否對(duì)本NAF有效��,如果無(wú)效�����,則NAF給用戶提示錯(cuò)誤信息��,如果有效�,則NAF再判斷本地是否有該TID信息�,如果有,則與該用戶進(jìn)行正常通信��,否則向BSF進(jìn)行查詢。
8.根據(jù)權(quán)利要求7所述的方法���,其特征在于��,所述判斷該TID是否對(duì)本NAF有效的方法為判斷TID中標(biāo)記NAF的標(biāo)識(shí)是否與本地NAF的標(biāo)識(shí)相同���,如果相同,則該TID對(duì)本NAF有效�,否則�,該TID對(duì)本NAF無(wú)效。
9.根據(jù)權(quán)利要求7所述的方法�,其特征在于,所述判斷該TID是否對(duì)本NAF有效的方法為判斷該TID的標(biāo)識(shí)號(hào)段是否在本NAF的標(biāo)識(shí)號(hào)段的范圍內(nèi)���,如果是�,則該TID對(duì)本NAF有效�����,否則���,該TID對(duì)本NAF無(wú)效��。
10.根據(jù)權(quán)利要求7所述的方法�,其特征在于,該方法進(jìn)一步包括在NAF受到非法攻擊時(shí)���,提示用戶到BSF進(jìn)行重認(rèn)證更新TID及對(duì)應(yīng)的密鑰�����。
11.根據(jù)權(quán)利要求2~4所述的方法��,其特征在于��,所述用戶攜帶的NAF標(biāo)識(shí)信息為NAF的名稱�����、代號(hào)或地址�。
全文摘要
本發(fā)明提供了一種分配會(huì)話事務(wù)標(biāo)識(shí)的方法���,適用于應(yīng)用通用鑒權(quán)框架對(duì)用戶進(jìn)行身份驗(yàn)證的第三代無(wú)線通信領(lǐng)域中��,該方法包括以下步驟a.用戶向BSF發(fā)送包含待申請(qǐng)應(yīng)用的NAF標(biāo)識(shí)信息的認(rèn)證請(qǐng)求消息�����;b.BSF接收到步驟a所述消息后�����,按照預(yù)先設(shè)定的分配原則�����,將已分配的只針對(duì)該用戶所申請(qǐng)應(yīng)用的NAF有效的會(huì)話事務(wù)標(biāo)識(shí)TID發(fā)送給用戶�。應(yīng)用本發(fā)明,使得一個(gè)TID只針對(duì)一個(gè)NAF有效���,即不同的NAF與同一用戶的共享密鑰是不同的,從而避免了一個(gè)NAF被攻破�,而使與其共享密鑰的NAF全部受攻的問(wèn)題,增加了系統(tǒng)的安全性�����。而且���,當(dāng)NAF認(rèn)為該用戶使用的TID已不安全時(shí)���,將提示用戶更新TID���。
文檔編號(hào)H04L9/32GK1614923SQ20031011323
公開日2005年5月11日 申請(qǐng)日期2003年11月7日 優(yōu)先權(quán)日2003年11月7日
發(fā)明者黃迎新 申請(qǐng)人:華為技術(shù)有限公司