專利名稱:一種實現(xiàn)漫游用戶使用拜訪網(wǎng)絡(luò)內(nèi)業(yè)務(wù)的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及第三代無線通信技術(shù)領(lǐng)域,特別是指一種實現(xiàn)漫游用戶使用拜訪網(wǎng)絡(luò)內(nèi)業(yè)務(wù)的方法。
背景技術(shù):
在第三代無線通信標(biāo)準(zhǔn)中,通用鑒權(quán)框架是多種應(yīng)用業(yè)務(wù)實體使用的一個用于完成對用戶身份進行驗證的通用結(jié)構(gòu),應(yīng)用通用鑒權(quán)框架可實現(xiàn)對應(yīng)用業(yè)務(wù)的用戶進行檢查和驗證身份。上述多種應(yīng)用業(yè)務(wù)可以是多播/廣播業(yè)務(wù)、用戶證書業(yè)務(wù)、信息即時提供業(yè)務(wù)等,也可以是代理業(yè)務(wù),例如多個服務(wù)和一個代理相連,通用鑒權(quán)框架把代理也當(dāng)作一種業(yè)務(wù)來處理,組織結(jié)構(gòu)可以很靈活,而且,對于以后新開發(fā)的業(yè)務(wù)也同樣可以應(yīng)用通用鑒權(quán)框架對應(yīng)用業(yè)務(wù)的用戶進行檢查和驗證身份。
圖1所示為通用鑒權(quán)框架的結(jié)構(gòu)示意圖。通用鑒權(quán)框架通常由用戶101、執(zhí)行用戶身份初始檢查驗證的實體(BSF)102、用戶歸屬網(wǎng)絡(luò)服務(wù)器(HSS)103和網(wǎng)絡(luò)應(yīng)用實體(NAF)104組成。BSF 102用于與用戶101進行互驗證身份,同時生成BSF 102與用戶101的共享密鑰;HSS 103中存儲用于描述用戶信息的描述(Profile)文件,同時HSS 103還兼有產(chǎn)生鑒權(quán)信息的功能。
用戶需要使用某種業(yè)務(wù)時,如果其知道該業(yè)務(wù)需要到BSF進行互鑒權(quán)過程,則直接到BSF進行互鑒權(quán),否則,用戶會首先和該業(yè)務(wù)對應(yīng)的NAF聯(lián)系,如果該NAF使用通用鑒權(quán)框架,并且發(fā)現(xiàn)發(fā)出請求的用戶還未到BSF進行互認(rèn)證過程,則通知發(fā)出請求的用戶到BSF進行身份驗證。
用戶與BSF之間的互認(rèn)證過程是BSF接到來自用戶的鑒權(quán)請求后,首先到HSS獲取該用戶的鑒權(quán)信息,根據(jù)所獲取的鑒權(quán)信息與用戶之間執(zhí)行鑒權(quán)和密鑰協(xié)商協(xié)議(AKA)進行互鑒權(quán)。認(rèn)證成功后,用戶和BSF之間互相認(rèn)證了身份并且同時生成了共享密鑰Ks。之后,BSF分配一個會話事務(wù)標(biāo)識(TID)給用戶,該TID是與Ks相關(guān)聯(lián)的。
用戶收到這個TID后,重新向NAF發(fā)出連接請求,且請求消息中攜帶了該TID。NAF收到請求后,先在本地查詢是否有用戶攜帶的該TID,如果NAF不能在本地查詢到該TID,則向BSF進行查詢。BSF查詢到該TID后,將該TID以及該TID對應(yīng)密鑰信息包含在發(fā)送給NAF的成功響應(yīng)消息中。NAF收到來自BSF的成功響應(yīng)消息后,即認(rèn)為該用戶是經(jīng)過BSF認(rèn)證的合法用戶,同時NAF和用戶也共享了密鑰Ks或由Ks衍生的密鑰。此時,NAF與該用戶在密鑰Ks或由Ks衍生的密鑰的保護下進行正常的通信。如果BSF不能在本地查詢到該TID,則通知NAF沒有該用戶的信息,此時,NAF將通知用戶到BSF進行認(rèn)證鑒權(quán)。
下面以多播/廣播業(yè)務(wù)(MBMS)為例,具體說明通用鑒權(quán)框架的用法。在無線通信領(lǐng)域中,多播業(yè)務(wù)是一種一點到多點的單向承載業(yè)務(wù),數(shù)據(jù)是由一個源實體,傳送到多個接收實體。在某一區(qū)域內(nèi)的已訂閱多播業(yè)務(wù)的用戶,能夠接收多播業(yè)務(wù)的服務(wù)。在多播業(yè)務(wù)中需要防止沒有訂閱或未付費的用戶享受多播業(yè)務(wù),因此在多播業(yè)務(wù)的群組中,針對某個具體業(yè)務(wù)都設(shè)置一個多播服務(wù)密鑰(MSK)密鑰,MSK只有群組內(nèi)的用戶和提供多播的業(yè)務(wù)的服務(wù)器知道,而群組外的用戶無權(quán)知道這個密鑰。多播業(yè)務(wù)服務(wù)器使用多播業(yè)務(wù)密鑰(MTK)對業(yè)務(wù)數(shù)據(jù)信息進行加密,群組內(nèi)的用戶收到業(yè)務(wù)數(shù)據(jù)信息后使用相同的共享多播業(yè)務(wù)密鑰MTK解密,從而獲得業(yè)務(wù)數(shù)據(jù)信息的內(nèi)容,而群組外用戶因為沒有這個共享密鑰,所以不能獲取多播信息內(nèi)容。共享的MSK并不直接加密該MBMS業(yè)務(wù)的數(shù)據(jù),它用來做接入控制,產(chǎn)生MTK或?qū)TK進行加密。
用戶應(yīng)用MBMS時,首先要經(jīng)過通用鑒權(quán)框架的鑒權(quán),即應(yīng)用通用鑒權(quán)框架中的BSF代替MBMS的服務(wù)器對用戶進行鑒權(quán),而MBMS中的多播/廣播服務(wù)器(BM-SC)則相當(dāng)于通用鑒權(quán)框架中的NAF。BSF對用戶進行鑒權(quán)后,BSF與用戶了共享密鑰Ks,并且BSF給該用戶分配了TID,然后用戶使用TID向BM-SC發(fā)出業(yè)務(wù)請求,BM-SC收到用戶包含TID的請求后,向BSF進行查詢,BSF查到該用戶的信息后,返回密鑰Ks或Ks衍生的密鑰。這樣BM-SC與用戶也就共享了密鑰Ks或由Ks衍生的密鑰,該密鑰為MBMS業(yè)務(wù)中的多播用戶密鑰(MUK),用來保護BM-SC到用戶之間點到點的群組共享密鑰MSK。也就是說,此時,用戶與BM-SC之間建立了信任關(guān)系(security association),即用戶相信它所連接的服務(wù)器是真實而且合法的服務(wù)器,而不是由其它設(shè)備假冒的服務(wù)器,同時業(yè)務(wù)服務(wù)器也相信請求業(yè)務(wù)的用戶是一個合法用戶,而不是一個攻擊者。
在現(xiàn)有技術(shù)中,通用鑒權(quán)框架只考慮了在本網(wǎng)絡(luò)中的使用問題,沒有考慮如何使處于漫游狀態(tài)的用戶使用其歸屬網(wǎng)絡(luò)中的通用鑒權(quán)框架。
在實際應(yīng)用中,應(yīng)用通用鑒權(quán)框架進行鑒權(quán)的用戶處于漫游狀態(tài)時,通常需要使用拜訪網(wǎng)絡(luò)的某些業(yè)務(wù),例如漫游用戶需要了解當(dāng)?shù)匦侣劇⑻鞖?、交通等信息。由于現(xiàn)有技術(shù)沒有考慮在拜訪網(wǎng)絡(luò)中如何使用歸屬網(wǎng)絡(luò)的通用鑒權(quán)框架,因此將導(dǎo)致漫游的通用鑒權(quán)框架用戶不能應(yīng)用通用鑒權(quán)框架與拜訪網(wǎng)絡(luò)的業(yè)務(wù)服務(wù)器建立信任關(guān)系,從而使得漫游的通用鑒權(quán)框架用戶不能使用拜訪網(wǎng)絡(luò)中的業(yè)務(wù)。
發(fā)明內(nèi)容
有鑒于此,本發(fā)明的目的在于提供一種實現(xiàn)漫游用戶使用拜訪網(wǎng)絡(luò)內(nèi)業(yè)務(wù)的方法,使漫游用戶和拜訪網(wǎng)絡(luò)的業(yè)務(wù)服務(wù)器能夠通過該用戶所屬歸屬網(wǎng)絡(luò)內(nèi)的通用鑒權(quán)框架建立信任關(guān)系,從而能夠正常使用拜訪網(wǎng)絡(luò)提供的業(yè)務(wù)。
為達到上述目的,本發(fā)明的技術(shù)方案是這樣實現(xiàn)的一種實現(xiàn)漫游用戶使用拜訪網(wǎng)絡(luò)內(nèi)業(yè)務(wù)的方法,該方法包括以下步驟
拜訪網(wǎng)絡(luò)內(nèi)的業(yè)務(wù)服務(wù)器接收到來自漫游用戶的包含TID信息的業(yè)務(wù)請求消息后,根據(jù)該漫游用戶所屬歸屬網(wǎng)絡(luò)的通用鑒權(quán)框架鑒權(quán)結(jié)果,建立拜訪網(wǎng)絡(luò)內(nèi)業(yè)務(wù)服務(wù)器和漫游用戶之間的信任關(guān)系,實現(xiàn)漫游用戶使用拜訪網(wǎng)絡(luò)內(nèi)業(yè)務(wù)。
較佳地,所述根據(jù)該漫游用戶所屬歸屬網(wǎng)絡(luò)的通用鑒權(quán)框架的鑒權(quán)結(jié)果,建立拜訪網(wǎng)絡(luò)業(yè)務(wù)內(nèi)服務(wù)器和漫游用戶之間的信任關(guān)系進一步包括以下步驟a、拜訪網(wǎng)絡(luò)內(nèi)的業(yè)務(wù)服務(wù)器直接向本網(wǎng)絡(luò)內(nèi)的BSF或通用鑒權(quán)框架代理發(fā)送查詢該TID所對應(yīng)的用戶是否合法的消息;b、接收到步驟a所述查詢消息的BSF或通用鑒權(quán)框架代理,直接向歸屬網(wǎng)絡(luò)內(nèi)的BSF發(fā)送查詢與該TID所對應(yīng)的用戶是否合法的消息;c、歸屬網(wǎng)絡(luò)內(nèi)的BSF在本地檢測到與該TID對應(yīng)的用戶信息后,給拜訪網(wǎng)絡(luò)內(nèi)的BSF或通用鑒權(quán)框架代理返回與該TID對應(yīng)的用戶信息;d、拜訪網(wǎng)絡(luò)內(nèi)的業(yè)務(wù)服務(wù)器接收到本網(wǎng)絡(luò)內(nèi)的BSF或通用鑒權(quán)框架代理返回的與該TID對應(yīng)的用戶信息后,建立與該漫游用戶之間的信任關(guān)系。
較佳地,所述通用鑒權(quán)框架代理是一個獨立的服務(wù)器,或與本網(wǎng)絡(luò)內(nèi)的AAA服務(wù)器合設(shè)的服務(wù)器,或與本網(wǎng)絡(luò)內(nèi)的業(yè)務(wù)服務(wù)器合設(shè)的服務(wù)器。
較佳地,所述根據(jù)該漫游用戶所屬歸屬網(wǎng)絡(luò)的通用鑒權(quán)框架的鑒權(quán)結(jié)果,建立拜訪網(wǎng)絡(luò)內(nèi)業(yè)務(wù)服務(wù)器和漫游用戶之間的信任關(guān)系進一步包括以下步驟a、拜訪網(wǎng)絡(luò)內(nèi)的業(yè)務(wù)服務(wù)器直接向本網(wǎng)絡(luò)內(nèi)AAA服務(wù)器發(fā)送查詢該TID所對應(yīng)的用戶是否合法的消息,b、接收到步驟a所述查詢消息的AAA服務(wù)器根據(jù)該消息中的TID確認(rèn)該用戶所屬歸屬網(wǎng)絡(luò)后,直接向該漫游用戶所屬歸屬網(wǎng)絡(luò)內(nèi)的AAA服務(wù)器發(fā)送查詢該TID所對應(yīng)的用戶是否合法的消息;c、歸屬網(wǎng)絡(luò)內(nèi)的AAA服務(wù)器直接向本網(wǎng)絡(luò)中的BSF進行查詢,BSF在本地檢測到與該TID對應(yīng)的用戶信息后,通過本網(wǎng)絡(luò)中的AAA服務(wù)器和拜訪網(wǎng)絡(luò)中的AAA服務(wù)器給拜訪網(wǎng)絡(luò)中的業(yè)務(wù)服務(wù)器返回與該TID對應(yīng)的用戶信息;
d、拜訪網(wǎng)絡(luò)內(nèi)的業(yè)務(wù)服務(wù)器接收到來自本網(wǎng)絡(luò)的AAA服務(wù)器的與該TID對應(yīng)的用戶信息后,建立與該漫游用戶之間的信任關(guān)系。
較佳地,所述與該TID對應(yīng)的用戶信息至少包括密鑰信息和用戶的身份標(biāo)識。
較佳地,所述與該TID對應(yīng)的用戶信息還包括與安全相關(guān)的profile信息。
較佳地,所述根據(jù)該漫游用戶所屬歸屬網(wǎng)絡(luò)的通用鑒權(quán)框架的鑒權(quán)結(jié)果,建立拜訪網(wǎng)絡(luò)業(yè)務(wù)內(nèi)服務(wù)器和漫游用戶之間的信任關(guān)系進一步包括以下步驟a、拜訪網(wǎng)絡(luò)內(nèi)的業(yè)務(wù)服務(wù)器通知漫游用戶該標(biāo)識非法,并提示用戶使用永久身份標(biāo)識;b、拜訪網(wǎng)絡(luò)內(nèi)的業(yè)務(wù)服務(wù)器再次接收到來自漫游用戶的包含永久身份標(biāo)識的業(yè)務(wù)請求信息后,向本網(wǎng)絡(luò)內(nèi)的AAA服務(wù)器發(fā)出鑒權(quán)請求;拜訪網(wǎng)絡(luò)內(nèi)的AAA服務(wù)器根據(jù)用戶的永久身份標(biāo)識確認(rèn)出該用戶所屬的歸屬網(wǎng)絡(luò)后,直接向該漫游用戶所屬歸屬網(wǎng)絡(luò)內(nèi)的AAA服務(wù)器發(fā)送對該用戶進行鑒權(quán)的請求;c、歸屬網(wǎng)絡(luò)內(nèi)的AAA服務(wù)器接收到來自拜訪網(wǎng)絡(luò)AAA服務(wù)器的鑒權(quán)請求后,請求本網(wǎng)絡(luò)內(nèi)的BSF對該用戶進行鑒權(quán);d、歸屬網(wǎng)絡(luò)內(nèi)的BSF,經(jīng)本網(wǎng)絡(luò)內(nèi)的AAA服務(wù)器、拜訪網(wǎng)絡(luò)內(nèi)的AAA服務(wù)器以及拜訪網(wǎng)絡(luò)內(nèi)的BM-SC,與用戶進行AKA鑒權(quán),鑒權(quán)成功后,直接給拜訪網(wǎng)絡(luò)內(nèi)的BM-SC返回鑒權(quán)成功消息,且該消息中包含對該用戶的授權(quán)信息;e、拜訪網(wǎng)絡(luò)內(nèi)的業(yè)務(wù)服務(wù)器接收到歸屬網(wǎng)絡(luò)內(nèi)的AAA服務(wù)器和本網(wǎng)絡(luò)內(nèi)的AAA服務(wù)器轉(zhuǎn)發(fā)的用戶授權(quán)信息,建立與該漫游用戶之間的信任關(guān)系。
較佳地,所述用戶的授權(quán)信息中至少包括密鑰信息和和用戶的身份標(biāo)識。
較佳地,所述用戶的身份標(biāo)識的類型根據(jù)網(wǎng)絡(luò)運營商的策略而定。
較佳地,該方法進一步包括漫游用戶與所屬歸屬網(wǎng)絡(luò)內(nèi)的BSF進行了成功的AKA鑒權(quán),向拜訪網(wǎng)絡(luò)內(nèi)的業(yè)務(wù)服務(wù)器發(fā)送包含TID標(biāo)識的業(yè)務(wù)請求消息,然后再執(zhí)行后續(xù)步驟。
應(yīng)用本發(fā)明,當(dāng)拜訪網(wǎng)絡(luò)內(nèi)的業(yè)務(wù)服務(wù)器接收到來自漫游用戶的包含TID信息的業(yè)務(wù)請求消息后,根據(jù)該漫游用戶所屬歸屬網(wǎng)絡(luò)的通用鑒權(quán)框架鑒權(quán)結(jié)果,建立拜訪網(wǎng)絡(luò)業(yè)務(wù)服務(wù)器和漫游用戶之間的信任關(guān)系,從而實現(xiàn)了漫游用戶通過該用戶所屬歸屬網(wǎng)絡(luò)內(nèi)的通用鑒權(quán)框架使用拜訪網(wǎng)絡(luò)內(nèi)的業(yè)務(wù)。由于本發(fā)明使得漫游用戶在使用拜訪網(wǎng)絡(luò)業(yè)務(wù)時,仍然可以使用本網(wǎng)通用鑒權(quán)框架的鑒權(quán)結(jié)果,因而充分利用了現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu),節(jié)省了資源。本發(fā)明增加了一種用戶使用拜訪網(wǎng)絡(luò)業(yè)務(wù)的途徑,使得拜訪網(wǎng)絡(luò)能夠最大限度的為用戶提供業(yè)務(wù)。另外,即使拜訪網(wǎng)絡(luò)內(nèi)的業(yè)務(wù)服務(wù)器完全不認(rèn)識TID標(biāo)識,漫游用戶也可以應(yīng)用其所屬網(wǎng)絡(luò)的通用鑒權(quán)框架完成鑒權(quán)過程,從而減少了由AAA服務(wù)器進行鑒權(quán)時因序列號(SQN)失步造成的鑒權(quán)失敗的情況。
圖1所示為通用鑒權(quán)框架的結(jié)構(gòu)示意圖;圖2所示為應(yīng)用本發(fā)明實施例一的示意圖;圖3所示為應(yīng)用本發(fā)明實施例二的示意圖;圖4所示為應(yīng)用本發(fā)明實施例三的示意圖。
具體實施例方式
為使本發(fā)明的技術(shù)方案更加清楚,下面結(jié)合附圖及具體實施例再對本發(fā)明做進一步地詳細(xì)說明。
本發(fā)明的思路是拜訪網(wǎng)絡(luò)中的業(yè)務(wù)服務(wù)器接收到來自漫游用戶的業(yè)務(wù)請求后,通過本網(wǎng)絡(luò)的BSF,或本網(wǎng)絡(luò)的通用鑒權(quán)框架代理,或本網(wǎng)絡(luò)內(nèi)的AAA服務(wù)器以及該漫游用戶所屬歸屬網(wǎng)絡(luò)內(nèi)的AAA服務(wù)器,利用歸屬網(wǎng)絡(luò)的通用鑒權(quán)框架的鑒權(quán)結(jié)果,建立拜訪網(wǎng)絡(luò)業(yè)務(wù)服務(wù)器和漫游用戶之間的信任關(guān)系;從而實現(xiàn)了漫游用戶經(jīng)過歸屬網(wǎng)絡(luò)內(nèi)的通用鑒權(quán)框架鑒權(quán)后使用其所在拜訪網(wǎng)絡(luò)內(nèi)的業(yè)務(wù)。
為了更好地說明漫游用戶如何使用歸屬網(wǎng)絡(luò)中的通用鑒權(quán)框架,下面首先說明幾種可能存在的情況。
對于漫游用戶而言,其可能需要使用歸屬網(wǎng)絡(luò)中的業(yè)務(wù),也可能需要使用拜訪網(wǎng)絡(luò)中的業(yè)務(wù)。
當(dāng)漫游用戶使用歸屬網(wǎng)絡(luò)中的業(yè)務(wù)時,由于網(wǎng)絡(luò)間都是IP連接,因而漫游用戶可通過應(yīng)用層直接與歸屬網(wǎng)絡(luò)中的業(yè)務(wù)服務(wù)器進行通信,并可以直接使用歸屬網(wǎng)絡(luò)中的通用鑒權(quán)框架。這與現(xiàn)有技術(shù)使用方法完全相同。
下面具體說明漫游用戶使用拜訪網(wǎng)絡(luò)內(nèi)業(yè)務(wù)的情況。
對于漫游用戶所在的拜訪網(wǎng)絡(luò)而言,其可能存在以下四種情況1)該用戶所在的拜訪網(wǎng)絡(luò)支持通用鑒權(quán)框架。
2)該用戶所在的拜訪網(wǎng)絡(luò)不支持通用鑒權(quán)框架,但支持通用鑒權(quán)框架代理。在這種情況下,拜訪網(wǎng)絡(luò)內(nèi)可能存在一個單獨的支持通用鑒權(quán)框架代理的服務(wù)器,但在實際應(yīng)用中,通常將該服務(wù)器與其它實體合設(shè),例如將支持通用鑒權(quán)框架代理的服務(wù)器與AAA合設(shè),由AAA實現(xiàn)支持通用鑒權(quán)框架代理的功能,即由AAA實現(xiàn)對TID分析和路由功能;拜訪網(wǎng)絡(luò)內(nèi)也可能不存在支持通用鑒權(quán)框架代理的單獨的服務(wù)器,而是拜訪網(wǎng)絡(luò)中的各個服務(wù)器均支持通用鑒權(quán)框架代理功能,即由每個實際的業(yè)務(wù)服務(wù)器實現(xiàn)對TID分析和路由功能(由于1)和2)的處理方法很類似,在下面以一個實施例加以說明)。
3)該用戶所在的拜訪網(wǎng)絡(luò)不支持通用鑒權(quán)框架,也不支持通用鑒權(quán)框架代理,且拜訪網(wǎng)絡(luò)中的業(yè)務(wù)服務(wù)器不對TID進行鑒別,也不對TID進行處理,僅把TID標(biāo)識看作是一種用戶身份標(biāo)識,并將該標(biāo)識直接傳遞給本網(wǎng)絡(luò)中的AAA服務(wù)器,請求AAA服務(wù)器進行鑒權(quán)。
4)該用戶所在的拜訪網(wǎng)絡(luò)不支持通用鑒權(quán)框架,也不支持通用鑒權(quán)框架代理,且拜訪網(wǎng)絡(luò)中的業(yè)務(wù)服務(wù)器對自身接收到的標(biāo)識進行鑒別,但由于在拜訪網(wǎng)絡(luò)中根本沒有通用鑒權(quán)框架的概念,所以業(yè)務(wù)服務(wù)器不認(rèn)識TID標(biāo)識,因此它要求用戶使用自己的永久身份標(biāo)識,如國際移動用戶識別碼(IMSI)等。
下面以漫游用戶應(yīng)用其所在拜訪網(wǎng)絡(luò)中的MBMS業(yè)務(wù)為例,具體說明其實現(xiàn)應(yīng)用拜訪網(wǎng)絡(luò)內(nèi)業(yè)務(wù)的方法,其中BM-SC為MBMS業(yè)務(wù)的業(yè)務(wù)服務(wù)器。
圖2所示為應(yīng)用本發(fā)明實施例一的示意圖。業(yè)務(wù)服務(wù)器通過直接查詢該漫游用戶在所屬歸屬網(wǎng)絡(luò)的通用鑒權(quán)框架鑒權(quán)結(jié)果,與漫游用戶之間建立信任關(guān)系的步驟如下步驟201,漫游用戶與歸屬網(wǎng)絡(luò)內(nèi)通用鑒權(quán)框架中的BSF執(zhí)行AKA互鑒權(quán),鑒權(quán)通過后,得到了BSF分配的TID,且此時漫游用戶與歸屬網(wǎng)絡(luò)內(nèi)的BSF共享了密鑰Ks;步驟202,漫游用戶向拜訪網(wǎng)絡(luò)的BM-SC發(fā)送包含TID信息的業(yè)務(wù)請求消息;步驟203,如果拜訪網(wǎng)絡(luò)支持通用鑒權(quán)框架,則BM-SC向本網(wǎng)絡(luò)內(nèi)的BSF發(fā)送查詢與該TID相對應(yīng)的用戶信息,以判斷該用戶是否通過鑒權(quán),即判斷該用戶是否合法;如果拜訪網(wǎng)絡(luò)僅支持通用鑒權(quán)框架代理功能,且支持通用鑒權(quán)框架代理功能由一個單獨的服務(wù)器實現(xiàn),該則BM-SC向本網(wǎng)絡(luò)內(nèi)實現(xiàn)通用鑒權(quán)框架代理的服務(wù)器發(fā)送查詢與該TID對應(yīng)的用戶信息;如果拜訪網(wǎng)絡(luò)僅支持通用鑒權(quán)框架代理,且是每個業(yè)務(wù)服務(wù)器自己支持通用鑒權(quán)框架代理的功能,則BM-SC同樣查詢與該TID對應(yīng)的用戶信息,只是該查詢是在該業(yè)務(wù)服務(wù)器的內(nèi)部接口中實現(xiàn);步驟204,拜訪網(wǎng)絡(luò)內(nèi)的BSF或通用鑒權(quán)框架代理,根據(jù)接收到的TID標(biāo)識判斷該漫游用戶所屬的歸屬網(wǎng)絡(luò);步驟205,拜訪網(wǎng)絡(luò)內(nèi)的BSF或通用鑒權(quán)框架代理向漫游用戶所屬歸屬網(wǎng)絡(luò)內(nèi)的BSF查詢與該TID對應(yīng)的用戶信息,即查詢該用戶是否合法;
步驟206,歸屬網(wǎng)絡(luò)的BSF檢索到與該TID對應(yīng)的用戶信息后,根據(jù)本地運營商的策略進行處理,該處理可以是直接發(fā)送與TID對應(yīng)的密鑰Ks給請求者,或?qū)γ荑€Ks進行密鑰衍生,將衍生的密鑰發(fā)送給請求者,同時設(shè)定所發(fā)送密鑰的有效期限;步驟207,歸屬網(wǎng)絡(luò)的BSF返回與與該TID對應(yīng)的用戶信息給拜訪網(wǎng)絡(luò)的BSF或通用鑒權(quán)框架代理;上述與該TID對應(yīng)的用戶信息包括密鑰信息、用戶的身份標(biāo)識,和與安全相關(guān)的profile信息,其中,密鑰信息和用戶的身份標(biāo)識是必選項,密鑰信息用于保證用戶與BM-SC之間進行正常的通信,用戶的身份標(biāo)識用于計費,如果拜訪網(wǎng)絡(luò)不能確定用戶的真實身份,在其與歸屬網(wǎng)絡(luò)進行網(wǎng)間結(jié)算時將出現(xiàn)問題;與安全相關(guān)的profile信息是可選項;步驟208,拜訪網(wǎng)絡(luò)的BSF或通用鑒權(quán)框架代理將TID的相關(guān)信息返回給BM-SC,BM-SC收到與該TID對應(yīng)的用戶信息后,即建立了與漫游用戶之間的信任關(guān)系,也就是認(rèn)為該請求用戶合法,同時,BM-SC也和UE共享了Ks或由Ks衍生的密鑰,該密鑰作為MBMS業(yè)務(wù)的MUK,用于保護群組共享密鑰MSK的點到點保密傳送;步驟209,BM-SC發(fā)確認(rèn)消息給該用戶,并和該用戶進行MBMS業(yè)務(wù)內(nèi)部密鑰分發(fā),業(yè)務(wù)發(fā)送等相關(guān)的業(yè)務(wù)過程。
至此,漫游用戶實現(xiàn)了使用歸屬網(wǎng)絡(luò)中的通用鑒權(quán)框架應(yīng)用拜訪網(wǎng)絡(luò)中的業(yè)務(wù)。上述方法適用于漫游用戶所在拜訪網(wǎng)絡(luò)支持通用鑒權(quán)框架,或支持通用鑒權(quán)框架代理的情況。
圖3所示為應(yīng)用本發(fā)明實施例二的示意圖。業(yè)務(wù)服務(wù)器通過直接查詢該漫游用戶在所屬歸屬網(wǎng)絡(luò)的通用鑒權(quán)框架鑒權(quán)結(jié)果,與漫游用戶之間建立信任關(guān)系的步驟如下步驟301,漫游用戶與歸屬網(wǎng)絡(luò)內(nèi)通用鑒權(quán)框架中的BSF執(zhí)行AKA互鑒權(quán),鑒權(quán)通過后,得到了BSF分配的TID,且此時漫游用戶與歸屬網(wǎng)絡(luò)內(nèi)的BSF共享了密鑰Ks;
步驟302,漫游用戶向拜訪網(wǎng)絡(luò)的BM-SC發(fā)送包含TID信息的業(yè)務(wù)請求消息;步驟303,拜訪網(wǎng)絡(luò)的BM-SC不檢查該用戶的身份是否合法,而是直接將該TID作為用戶身份標(biāo)識,向本網(wǎng)絡(luò)內(nèi)的AAA服務(wù)器發(fā)出查詢請求,即請求本網(wǎng)絡(luò)的AAA對該用戶進行鑒權(quán),即判斷該用戶是否合法;步驟304,拜訪網(wǎng)絡(luò)的AAA服務(wù)器根據(jù)TID標(biāo)識的格式(TID的標(biāo)識格式為用戶標(biāo)識@域名),判斷出用戶所屬的歸屬網(wǎng)絡(luò);步驟305,拜訪網(wǎng)絡(luò)的AAA服務(wù)器向該漫游用戶所屬歸屬網(wǎng)絡(luò)內(nèi)的AAA服務(wù)器發(fā)出查詢TID的請求,即請求歸屬網(wǎng)絡(luò)內(nèi)的AAA服務(wù)器對該用戶進行鑒權(quán);步驟306,歸屬網(wǎng)絡(luò)內(nèi)的AAA服務(wù)器收到查詢TID的消息后,由于其知道TID標(biāo)識是由本網(wǎng)的通用鑒權(quán)框架中的BSF分配的,因此其向BSF進行查詢;BSF和AAA服務(wù)器在某些執(zhí)行功能上是類似的,所以BSF也可能是由網(wǎng)絡(luò)中的某個AAA服務(wù)器來兼任,在這種情況下,BSF和AAA服務(wù)器之間的消息是內(nèi)部接口消息;步驟307,歸屬網(wǎng)絡(luò)的BSF檢索到與該TID對應(yīng)的用戶信息后,根據(jù)本地運營商的策略進行處理,該處理可以是直接發(fā)送與TID對應(yīng)的密鑰Ks給請求者,或?qū)γ荑€Ks進行密鑰衍生,將衍生的密鑰發(fā)送給請求者,同時設(shè)定所發(fā)送密鑰的有效期限;步驟308,歸屬網(wǎng)絡(luò)的BSF返回與與該TID對應(yīng)的用戶信息給本網(wǎng)絡(luò)的AAA服務(wù)器;上述與該TID對應(yīng)的用戶信息包括密鑰信息、用戶的身份標(biāo)識,和與安全相關(guān)的profile信息,其中,密鑰信息和用戶的身份標(biāo)識是必選項,密鑰信息用于保證用戶與BM-SC之間進行正常的通信,用戶的身份標(biāo)識用于計費,如果拜訪網(wǎng)絡(luò)不能確定用戶的真實身份,在其與歸屬網(wǎng)絡(luò)進行網(wǎng)間結(jié)算時將出現(xiàn)問題;安全相關(guān)的profile信息是可選項;步驟309,歸屬網(wǎng)絡(luò)的AAA服務(wù)器返回與與該TID對應(yīng)的用戶信息給拜訪網(wǎng)絡(luò)內(nèi)的AAA服務(wù)器;拜訪網(wǎng)絡(luò)內(nèi)的AAA服務(wù)器接收到歸屬網(wǎng)絡(luò)的AAA服務(wù)器返回的消息后,即認(rèn)為歸屬網(wǎng)絡(luò)已經(jīng)對用戶進行了鑒權(quán),該查詢返回消息相當(dāng)于授權(quán)消息;步驟310,拜訪網(wǎng)絡(luò)的AAA服務(wù)器將與該TID對應(yīng)的用戶信息返回給BM-SC,BM-SC收到TID相關(guān)信息后,即建立了與漫游用戶之間的信任關(guān)系,也就是認(rèn)為該請求用戶合法,同時,BM-SC也和UE共享了Ks或由Ks衍生的密鑰,該密鑰作為MBMS業(yè)務(wù)的MUK,用于保護群組共享密鑰MSK的點到點保密傳送;步驟311,BM-SC發(fā)確認(rèn)消息給該用戶,并和該用戶進行MBMS業(yè)務(wù)內(nèi)部密鑰分發(fā),業(yè)務(wù)發(fā)送等相關(guān)的業(yè)務(wù)過程。
至此,漫游用戶實現(xiàn)了使用歸屬網(wǎng)絡(luò)中的通用鑒權(quán)框架應(yīng)用拜訪網(wǎng)絡(luò)中的業(yè)務(wù)。上述方法適用于漫游用戶所在拜訪網(wǎng)絡(luò)不支持通用鑒權(quán)框架,也不支持通用鑒權(quán)框架代理,且拜訪網(wǎng)絡(luò)中的業(yè)務(wù)服務(wù)器不鑒別TID標(biāo)識,只是將其作為一種用戶身份標(biāo)識,傳遞給本網(wǎng)絡(luò)中的AAA服務(wù)器,請求AAA服務(wù)器對該用戶進行鑒權(quán)的情況。
圖4所示為應(yīng)用本發(fā)明實施例三的示意圖。業(yè)務(wù)服務(wù)器通過與該漫游用戶所屬歸屬網(wǎng)絡(luò)的通用鑒權(quán)框架實施鑒權(quán)過程,獲取鑒權(quán)結(jié)果,根據(jù)該鑒權(quán)結(jié)果與漫游用戶之間建立信任關(guān)系的步驟如下步驟401,漫游用戶與歸屬網(wǎng)絡(luò)內(nèi)通用鑒權(quán)框架中的BSF執(zhí)行AKA互鑒權(quán),鑒權(quán)通過后,得到了BSF分配的TID,且此時漫游用戶與歸屬網(wǎng)絡(luò)內(nèi)的BSF共享了密鑰Ks;步驟402,漫游用戶向拜訪網(wǎng)絡(luò)的BM-SC發(fā)送包含TID信息的業(yè)務(wù)請求消息;步驟403,由于BM-SC不能識別TID標(biāo)識,因此BM-SC通知漫游用戶該標(biāo)識非法,并提示用戶使用永久身份標(biāo)識,如IMSI等;步驟404,漫游用戶向BM-SC發(fā)送包含永久身份標(biāo)識的業(yè)務(wù)請求;
步驟405,拜訪網(wǎng)絡(luò)的BM-SC向本網(wǎng)絡(luò)內(nèi)的AAA服務(wù)器發(fā)出鑒權(quán)請求;步驟406,拜訪網(wǎng)絡(luò)的AAA服務(wù)器根據(jù)用戶的身份標(biāo)識判斷出用戶的歸屬網(wǎng)絡(luò),然后向該漫游用戶所屬歸屬網(wǎng)絡(luò)內(nèi)的AAA服務(wù)器發(fā)出鑒權(quán)請求;步驟407,歸屬網(wǎng)絡(luò)內(nèi)的AAA服務(wù)器請求本網(wǎng)絡(luò)內(nèi)的通用鑒權(quán)框架中的BSF進行鑒權(quán),這是因為雖然AAA服務(wù)器本身具有鑒權(quán)計費功能,且在地位上是與BSF相同的,但在實際應(yīng)用中,不同的AAA服務(wù)器在對用戶進行鑒權(quán)時,容易出現(xiàn)因序列號(SQN)失步而導(dǎo)致鑒權(quán)失敗的情況,出現(xiàn)的具體原因在現(xiàn)有已公布的文章中有描述,所以對通用鑒權(quán)框架支持的業(yè)務(wù)采用通用鑒權(quán)框架對用戶進行鑒權(quán),以保證鑒權(quán)的成功率;步驟408,歸屬網(wǎng)絡(luò)內(nèi)BSF與用戶完成AKA的鑒權(quán)過程,該鑒權(quán)過程中的消息在邏輯上是經(jīng)過拜訪網(wǎng)絡(luò)的BM-SC,拜訪網(wǎng)絡(luò)的AAA,歸屬網(wǎng)絡(luò)的AAA轉(zhuǎn)發(fā)的;步驟409,鑒權(quán)成功后,歸屬網(wǎng)絡(luò)內(nèi)的BSF給拜訪網(wǎng)絡(luò)的BM-SC返回鑒權(quán)成功消息,因為歸屬網(wǎng)絡(luò)內(nèi)的BSF已經(jīng)知道鑒權(quán)請求是來自哪個具體的業(yè)務(wù)服務(wù)器,因此,歸屬網(wǎng)絡(luò)內(nèi)的BSF直接將用戶的密鑰資料等信息包含在鑒權(quán)成功和授權(quán)的消息中,如果歸屬網(wǎng)絡(luò)內(nèi)的BSF在鑒權(quán)的同時給用戶分配了TID,則該TID也可以包括在授權(quán)消息中通知給BM-SC服務(wù)器;步驟410,歸屬網(wǎng)絡(luò)內(nèi)的AAA服務(wù)器向拜訪網(wǎng)絡(luò)內(nèi)的AAA服務(wù)器轉(zhuǎn)發(fā)該鑒權(quán)成功的消息;步驟411,拜訪網(wǎng)絡(luò)的AAA服務(wù)器轉(zhuǎn)發(fā)鑒權(quán)成功和授權(quán)消息給BM-SC,即BM-SC建立了與漫游用戶之間的信任關(guān)系;雖然BM-SC不能夠識別TID標(biāo)識,但它仍然可以在后面的通信中使用TID,這時TID將作為一種臨時身份標(biāo)識使用,其使用的方法與現(xiàn)有臨時身份標(biāo)識的使用方法相同;步驟412,BM-SC收到鑒權(quán)成功和授權(quán)消息后,發(fā)確認(rèn)消息給該用戶,并和該用戶進行MBMS業(yè)務(wù)內(nèi)部密鑰分發(fā),業(yè)務(wù)發(fā)送等相關(guān)的業(yè)務(wù)過程。至于BM-SC和用戶在后續(xù)的通信過程中使用哪種用戶身份標(biāo)識,根據(jù)拜訪網(wǎng)絡(luò)運營商的策略而定。
至此,漫游用戶實現(xiàn)了使用歸屬網(wǎng)絡(luò)中的通用鑒權(quán)框架應(yīng)用拜訪網(wǎng)絡(luò)中的業(yè)務(wù)。上述方法適用于該用戶所在的拜訪網(wǎng)絡(luò)不支持通用鑒權(quán)框架,也不支持通用鑒權(quán)框架代理,且拜訪網(wǎng)絡(luò)中的業(yè)務(wù)服務(wù)器對用戶請求消息中的標(biāo)識進行鑒別,但因為在拜訪網(wǎng)絡(luò)中根本沒有通用鑒權(quán)框架的概念,所以業(yè)務(wù)服務(wù)器不能識別TID標(biāo)識,因此業(yè)務(wù)服務(wù)器要求用戶使用自己的永久身份標(biāo)識的情況。
以上所述僅為本發(fā)明的較佳實施例而已,并不用以限制本發(fā)明,凡在本發(fā)明的精神和原則之內(nèi),所作的任何修改、等同替換、改進等,均應(yīng)包含在本發(fā)明的保護范圍之內(nèi)。
權(quán)利要求
1.一種實現(xiàn)漫游用戶使用拜訪網(wǎng)絡(luò)內(nèi)業(yè)務(wù)的方法,其特征在于,該方法包括以下步驟拜訪網(wǎng)絡(luò)內(nèi)的業(yè)務(wù)服務(wù)器接收到來自漫游用戶的包含TID信息的業(yè)務(wù)請求消息后,根據(jù)該漫游用戶所屬歸屬網(wǎng)絡(luò)的通用鑒權(quán)框架鑒權(quán)結(jié)果,建立拜訪網(wǎng)絡(luò)內(nèi)業(yè)務(wù)服務(wù)器和漫游用戶之間的信任關(guān)系,實現(xiàn)漫游用戶使用拜訪網(wǎng)絡(luò)內(nèi)業(yè)務(wù)。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述根據(jù)該漫游用戶所屬歸屬網(wǎng)絡(luò)的通用鑒權(quán)框架的鑒權(quán)結(jié)果,建立拜訪網(wǎng)絡(luò)業(yè)務(wù)內(nèi)服務(wù)器和漫游用戶之間的信任關(guān)系進一步包括以下步驟a、拜訪網(wǎng)絡(luò)內(nèi)的業(yè)務(wù)服務(wù)器直接向本網(wǎng)絡(luò)內(nèi)的BSF或通用鑒權(quán)框架代理發(fā)送查詢該TID所對應(yīng)的用戶是否合法的消息;b、接收到步驟a所述查詢消息的BSF或通用鑒權(quán)框架代理,直接向歸屬網(wǎng)絡(luò)內(nèi)的BSF發(fā)送查詢與該TID所對應(yīng)的用戶是否合法的消息;c、歸屬網(wǎng)絡(luò)內(nèi)的BSF在本地檢測到與該TID對應(yīng)的用戶信息后,給拜訪網(wǎng)絡(luò)內(nèi)的BSF或通用鑒權(quán)框架代理返回與該TID對應(yīng)的用戶信息;d、拜訪網(wǎng)絡(luò)內(nèi)的業(yè)務(wù)服務(wù)器接收到本網(wǎng)絡(luò)內(nèi)的BSF或通用鑒權(quán)框架代理返回的與該TID對應(yīng)的用戶信息后,建立與該漫游用戶之間的信任關(guān)系。
3.根據(jù)權(quán)利要求2所述的方法,其特征在于,所述通用鑒權(quán)框架代理是一個獨立的服務(wù)器,或與本網(wǎng)絡(luò)內(nèi)的AAA服務(wù)器合設(shè)的服務(wù)器,或與本網(wǎng)絡(luò)內(nèi)的業(yè)務(wù)服務(wù)器合設(shè)的服務(wù)器。
4.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述根據(jù)該漫游用戶所屬歸屬網(wǎng)絡(luò)的通用鑒權(quán)框架的鑒權(quán)結(jié)果,建立拜訪網(wǎng)絡(luò)內(nèi)業(yè)務(wù)服務(wù)器和漫游用戶之間的信任關(guān)系進一步包括以下步驟a、拜訪網(wǎng)絡(luò)內(nèi)的業(yè)務(wù)服務(wù)器直接向本網(wǎng)絡(luò)內(nèi)AAA服務(wù)器發(fā)送查詢該TID所對應(yīng)的用戶是否合法的消息,b、接收到步驟a所述查詢消息的AAA服務(wù)器根據(jù)該消息中的TID確認(rèn)該用戶所屬歸屬網(wǎng)絡(luò)后,直接向該漫游用戶所屬歸屬網(wǎng)絡(luò)內(nèi)的AAA服務(wù)器發(fā)送查詢該TID所對應(yīng)的用戶是否合法的消息;c、歸屬網(wǎng)絡(luò)內(nèi)的AAA服務(wù)器直接向本網(wǎng)絡(luò)中的BSF進行查詢,BSF在本地檢測到與該TID對應(yīng)的用戶信息后,通過本網(wǎng)絡(luò)中的AAA服務(wù)器和拜訪網(wǎng)絡(luò)中的AAA服務(wù)器給拜訪網(wǎng)絡(luò)中的業(yè)務(wù)服務(wù)器返回與該TID對應(yīng)的用戶信息;d、拜訪網(wǎng)絡(luò)內(nèi)的業(yè)務(wù)服務(wù)器接收到來自本網(wǎng)絡(luò)的AAA服務(wù)器的與該TID對應(yīng)的用戶信息后,建立與該漫游用戶之間的信任關(guān)系。
5.根據(jù)權(quán)利要求2或4所述的方法,其特征在于,所述與該TID對應(yīng)的用戶信息至少包括密鑰信息和用戶的身份標(biāo)識。
6.根據(jù)權(quán)利要求5所述的方法,其特征在于,所述與該TID對應(yīng)的用戶信息還包括與安全相關(guān)的profile信息。
7.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述根據(jù)該漫游用戶所屬歸屬網(wǎng)絡(luò)的通用鑒權(quán)框架的鑒權(quán)結(jié)果,建立拜訪網(wǎng)絡(luò)業(yè)務(wù)內(nèi)服務(wù)器和漫游用戶之間的信任關(guān)系進一步包括以下步驟a、拜訪網(wǎng)絡(luò)內(nèi)的業(yè)務(wù)服務(wù)器通知漫游用戶該標(biāo)識非法,并提示用戶使用永久身份標(biāo)識;b、拜訪網(wǎng)絡(luò)內(nèi)的業(yè)務(wù)服務(wù)器再次接收到來自漫游用戶的包含永久身份標(biāo)識的業(yè)務(wù)請求信息后,向本網(wǎng)絡(luò)內(nèi)的AAA服務(wù)器發(fā)出鑒權(quán)請求;拜訪網(wǎng)絡(luò)內(nèi)的AAA服務(wù)器根據(jù)用戶的永久身份標(biāo)識確認(rèn)出該用戶所屬的歸屬網(wǎng)絡(luò)后,直接向該漫游用戶所屬歸屬網(wǎng)絡(luò)內(nèi)的AAA服務(wù)器發(fā)送對該用戶進行鑒權(quán)的請求;c、歸屬網(wǎng)絡(luò)內(nèi)的AAA服務(wù)器接收到來自拜訪網(wǎng)絡(luò)AAA服務(wù)器的鑒權(quán)請求后,請求本網(wǎng)絡(luò)內(nèi)的BSF對該用戶進行鑒權(quán);d、歸屬網(wǎng)絡(luò)內(nèi)的BSF,經(jīng)本網(wǎng)絡(luò)內(nèi)的AAA服務(wù)器、拜訪網(wǎng)絡(luò)內(nèi)的AAA服務(wù)器以及拜訪網(wǎng)絡(luò)內(nèi)的BM-SC,與用戶進行AKA鑒權(quán),鑒權(quán)成功后,直接給拜訪網(wǎng)絡(luò)內(nèi)的BM-SC返回鑒權(quán)成功消息,且該消息中包含對該用戶的授權(quán)信息;e、拜訪網(wǎng)絡(luò)內(nèi)的業(yè)務(wù)服務(wù)器接收到歸屬網(wǎng)絡(luò)內(nèi)的AAA服務(wù)器和本網(wǎng)絡(luò)內(nèi)的AAA服務(wù)器轉(zhuǎn)發(fā)的用戶授權(quán)信息,建立與該漫游用戶之間的信任關(guān)系。
8.根據(jù)權(quán)利要求7所述的方法,其特征在于,所述用戶的授權(quán)信息中至少包括密鑰信息和和用戶的身份標(biāo)識。
9.根據(jù)權(quán)利要求8所述的方法,其特征在于,所述用戶的身份標(biāo)識的類型根據(jù)網(wǎng)絡(luò)運營商的策略而定。
10.根據(jù)權(quán)利要求1所述的方法,其特征在于,該方法進一步包括漫游用戶與所屬歸屬網(wǎng)絡(luò)內(nèi)的BSF進行了成功的AKA鑒權(quán),向拜訪網(wǎng)絡(luò)內(nèi)的業(yè)務(wù)服務(wù)器發(fā)送包含TID標(biāo)識的業(yè)務(wù)請求消息,然后再執(zhí)行后續(xù)步驟。
全文摘要
本發(fā)明提供了一種實現(xiàn)漫游用戶使用拜訪網(wǎng)絡(luò)內(nèi)業(yè)務(wù)的方法,當(dāng)拜訪網(wǎng)絡(luò)中的業(yè)務(wù)服務(wù)器接收到來自漫游用戶的業(yè)務(wù)請求后,通過本網(wǎng)絡(luò)的BSF,或本網(wǎng)絡(luò)的通用鑒權(quán)框架代理,或本網(wǎng)絡(luò)內(nèi)的AAA服務(wù)器以及該漫游用戶所屬歸屬網(wǎng)絡(luò)內(nèi)的AAA服務(wù)器,利用歸屬網(wǎng)絡(luò)的通用鑒權(quán)框架的鑒權(quán)結(jié)果,建立拜訪網(wǎng)絡(luò)業(yè)務(wù)服務(wù)器和漫游用戶之間的信任關(guān)系;從而實現(xiàn)了漫游用戶經(jīng)過歸屬網(wǎng)絡(luò)內(nèi)的通用鑒權(quán)框架鑒權(quán)后使用其所在拜訪網(wǎng)絡(luò)內(nèi)的業(yè)務(wù)。
文檔編號H04W4/06GK1649435SQ20041003051
公開日2005年8月3日 申請日期2004年4月2日 優(yōu)先權(quán)日2004年4月2日
發(fā)明者黃迎新, 張文林 申請人:華為技術(shù)有限公司