專利名稱:一種通用鑒權(quán)框架及一種實(shí)現(xiàn)鑒權(quán)的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及第三代無(wú)線通信技術(shù)領(lǐng)域,特別是指一種通用鑒權(quán)框架及在通用鑒權(quán)框架中一種實(shí)現(xiàn)鑒權(quán)的方法�����。
背景技術(shù):
在第三代無(wú)線通信標(biāo)準(zhǔn)中�,通用鑒權(quán)框架是多種應(yīng)用業(yè)務(wù)實(shí)體使用的一個(gè)用于完成對(duì)用戶身份進(jìn)行驗(yàn)證的通用結(jié)構(gòu),應(yīng)用通用鑒權(quán)框架可實(shí)現(xiàn)對(duì)應(yīng)用業(yè)務(wù)的用戶進(jìn)行檢查和驗(yàn)證身份�����。上述多種應(yīng)用業(yè)務(wù)可以是多播/廣播業(yè)務(wù)、用戶證書業(yè)務(wù)��、信息即時(shí)提供業(yè)務(wù)等����,也可以是代理業(yè)務(wù)。
圖1所示為現(xiàn)有的通用鑒權(quán)框架的結(jié)構(gòu)示意圖���。通用鑒權(quán)框架通常由用戶終端(UE)101、執(zhí)行初始檢查驗(yàn)證的功能實(shí)體(BSF)102�����、用戶歸屬網(wǎng)絡(luò)服務(wù)器(HSS)103和網(wǎng)絡(luò)應(yīng)用功能實(shí)體(NAF)104組成�����。BSF 102用于與用戶終端101互驗(yàn)證身份��,同時(shí)生成BSF 102與用戶終端101的共享密鑰��;HSS 103中存儲(chǔ)有用于描述用戶信息的描述(Profile)文件����,該P(yáng)rofile中包括用戶身份標(biāo)識(shí)等所有與用戶有關(guān)的描述信息�����,同時(shí)HSS 103還兼有產(chǎn)生鑒權(quán)矢量信息的功能��。
用戶需要使用某種業(yè)務(wù)時(shí)����,如果其知道需要到BSF進(jìn)行互鑒權(quán)����,則直接與BSF交互以進(jìn)行互鑒權(quán),否則�,用戶會(huì)首先和該業(yè)務(wù)對(duì)應(yīng)的NAF聯(lián)系,如果該NAF應(yīng)用通用鑒權(quán)框架且需要用戶到BSF進(jìn)行身份驗(yàn)證�,則通知用戶應(yīng)用通用鑒權(quán)框架進(jìn)行身份驗(yàn)證,否則進(jìn)行其它相應(yīng)處理���。
用戶終端與BSF之間的互認(rèn)證過(guò)程是用戶向BSF發(fā)出鑒權(quán)請(qǐng)求����,該鑒權(quán)請(qǐng)求消息中包括用戶的永久身份標(biāo)識(shí)�,BSF接到來(lái)自用戶的鑒權(quán)請(qǐng)求后���,向HSS請(qǐng)求該用戶的鑒權(quán)信息,該請(qǐng)求消息中也包含了該用戶終端的永久身份標(biāo)識(shí)��,HSS根據(jù)該用戶終端的永久身份標(biāo)識(shí)查找到該用戶的profile文件并且生成鑒權(quán)信息返回給BSF���。BSF根據(jù)所獲取的鑒權(quán)信息與用戶之間執(zhí)行鑒權(quán)和密鑰協(xié)商協(xié)議(AKA)進(jìn)行互鑒權(quán)�。鑒權(quán)成功后���,用戶和BSF之間互相認(rèn)證了身份并且同時(shí)生成了共享密鑰Ks����,BSF為這個(gè)密鑰Ks定義有效期限�����,以便Ks進(jìn)行更新�����。之后����,BSF分配一個(gè)會(huì)話事務(wù)標(biāo)識(shí)(B-TID)給UE,在將B-TID和密鑰Ks發(fā)送給UE的同時(shí)包含了Ks的有效期限�����,該B-TID是與Ks相關(guān)聯(lián)的�。共享密鑰Ks是作為根密鑰來(lái)使用的,不會(huì)離開用戶的UE和BSF����,當(dāng)用戶和NAF通信時(shí),將使用由Ks衍生出的密鑰作為通信保護(hù)���。
當(dāng)用戶發(fā)現(xiàn)Ks即將過(guò)期����,或NAF要求用戶重新到BSF進(jìn)行鑒權(quán)時(shí)��,用戶就會(huì)重復(fù)上述的步驟重新到BSF進(jìn)行鑒權(quán)���,以得到新的Ks及B-TID����。
在現(xiàn)有的鑒權(quán)過(guò)程中�����,UE與BSF之間通過(guò)Http AKA協(xié)議進(jìn)行鑒權(quán),該鑒權(quán)過(guò)程是一種基于3G的鑒權(quán)過(guò)程���,而且�����,UE和BSF之間只有這一種鑒權(quán)方式��。但是�����,隨著技術(shù)的發(fā)展��,將來(lái)在UE和BSF之間很可能通過(guò)其他方式實(shí)現(xiàn)鑒權(quán)���,例如基于公私鑰算法(DH����,Diffie-Hellman)鑒權(quán)方式等。另外�,通用鑒權(quán)框架也有可能為2G的用戶提供服務(wù)�����,而2G用戶的鑒權(quán)方式與3G用戶的鑒權(quán)方式又是不相同的��。在增加了這么許多鑒權(quán)方式后用戶和網(wǎng)絡(luò)側(cè)之間需要能夠協(xié)商它們采用那種鑒權(quán)方法來(lái)完成互鑒權(quán)過(guò)程����,而在現(xiàn)有技術(shù)中根本不存在協(xié)商的過(guò)程����。
再有,在現(xiàn)有的通用鑒權(quán)框架中��,請(qǐng)求業(yè)務(wù)應(yīng)用的只能是最普通的用戶終端����,即使其有能力為其他用戶提供一些簡(jiǎn)單的業(yè)務(wù),比如用戶自己建立了一個(gè)簡(jiǎn)單的網(wǎng)站���,其也不能通過(guò)通用鑒權(quán)框架體系來(lái)提供服務(wù)��,因?yàn)樵诂F(xiàn)有的通用鑒權(quán)框架體系中����,應(yīng)用服務(wù)器(AS)是不能作為一個(gè)用戶來(lái)請(qǐng)求業(yè)務(wù)服務(wù)的,相應(yīng)地�,應(yīng)用功能服務(wù)器只能為用戶提供業(yè)務(wù)服務(wù),而不能請(qǐng)求向其他服務(wù)器請(qǐng)求業(yè)務(wù)服務(wù)����。由此看出,現(xiàn)有的通用鑒權(quán)框架并不能充分利用網(wǎng)絡(luò)中的各種資源���。
發(fā)明內(nèi)容
有鑒于此����,本發(fā)明的一個(gè)目的在于提供一種通用鑒權(quán)框架中實(shí)現(xiàn)鑒權(quán)的方法�,在用戶使用通用鑒權(quán)框架進(jìn)行鑒權(quán)時(shí),能夠和網(wǎng)絡(luò)協(xié)商所使用的鑒權(quán)方式��,應(yīng)用該協(xié)商出的鑒權(quán)方式實(shí)現(xiàn)鑒權(quán)����。本發(fā)明的另一目的是提供一種通用鑒權(quán)網(wǎng)絡(luò)構(gòu)架,使網(wǎng)絡(luò)中的各種資源能夠被充分利用��。
為達(dá)到上述目的�����,本發(fā)明的技術(shù)方案是這樣實(shí)現(xiàn)的一種通用鑒權(quán)框架中實(shí)現(xiàn)鑒權(quán)的方法�����,所述通用鑒權(quán)框架中包括用于與發(fā)起鑒權(quán)請(qǐng)求的實(shí)體進(jìn)行鑒權(quán)操作的實(shí)體認(rèn)證中心���,該方法包括以下步驟實(shí)體認(rèn)證中心接收到來(lái)自發(fā)起鑒權(quán)請(qǐng)求實(shí)體的鑒權(quán)請(qǐng)求后�����,獲取該發(fā)起鑒權(quán)請(qǐng)求實(shí)體所支持鑒權(quán)方式以及當(dāng)前網(wǎng)絡(luò)支持的鑒權(quán)方式�,之后�,從所獲取的鑒權(quán)方式中選擇一種當(dāng)前網(wǎng)絡(luò)和該發(fā)起鑒權(quán)請(qǐng)求實(shí)體都支持的鑒權(quán)方式,并應(yīng)用該鑒權(quán)方式與發(fā)起鑒權(quán)請(qǐng)求實(shí)體實(shí)現(xiàn)鑒權(quán)�。
較佳地,所述實(shí)體認(rèn)證中心獲取發(fā)起鑒權(quán)請(qǐng)求實(shí)體所支持鑒權(quán)方式的方法為實(shí)體認(rèn)證中心接收到來(lái)自發(fā)起鑒權(quán)請(qǐng)求實(shí)體的包含其所支持鑒權(quán)方式的鑒權(quán)請(qǐng)求后�,從該鑒權(quán)請(qǐng)求中獲取發(fā)起鑒權(quán)請(qǐng)求實(shí)體所支持鑒權(quán)方式;或者�,實(shí)體認(rèn)證中心向發(fā)起鑒權(quán)請(qǐng)求實(shí)體發(fā)送提供所支持的鑒權(quán)方式的請(qǐng)求消息,從發(fā)起鑒權(quán)請(qǐng)求實(shí)體返回的響應(yīng)消息中獲取該發(fā)起鑒權(quán)請(qǐng)求實(shí)體所支持的鑒權(quán)方式���。
較佳地�,所述實(shí)體認(rèn)證中心獲取當(dāng)前網(wǎng)絡(luò)支持的鑒權(quán)方式的方法為實(shí)體認(rèn)證中心向?qū)嶓w簽約信息數(shù)據(jù)庫(kù)服務(wù)器發(fā)送包含發(fā)起鑒權(quán)請(qǐng)求實(shí)體身份標(biāo)識(shí)的請(qǐng)求鑒權(quán)信息的消息,實(shí)體簽約信息數(shù)據(jù)庫(kù)服務(wù)器接收到該消息后�,確定當(dāng)前網(wǎng)絡(luò)支持的鑒權(quán)方式后,將所確定的鑒權(quán)方式包含在發(fā)送給實(shí)體認(rèn)證中心的請(qǐng)求鑒權(quán)信息的響應(yīng)消息中���,實(shí)體認(rèn)證中心從實(shí)體簽約信息數(shù)據(jù)庫(kù)服務(wù)器返回的響應(yīng)消息中獲取當(dāng)前網(wǎng)絡(luò)支持的鑒權(quán)方式���;
或者,實(shí)體認(rèn)證中心從自身預(yù)先保存的當(dāng)前網(wǎng)絡(luò)支持的鑒權(quán)方式信息中獲取當(dāng)前網(wǎng)絡(luò)支持的鑒權(quán)方式��。
較佳地���,所述實(shí)體簽約信息數(shù)據(jù)庫(kù)服務(wù)器確定當(dāng)前網(wǎng)絡(luò)支持的鑒權(quán)方式的方法為根據(jù)網(wǎng)絡(luò)側(cè)的預(yù)先配置確定當(dāng)前網(wǎng)絡(luò)支持的所有鑒權(quán)方式��,并將所確定的所有鑒權(quán)方式作為當(dāng)前網(wǎng)絡(luò)支持的鑒權(quán)方式��。
較佳地����,所述實(shí)體簽約信息數(shù)據(jù)庫(kù)服務(wù)器確定當(dāng)前網(wǎng)絡(luò)支持的鑒權(quán)方式的方法為從來(lái)自實(shí)體認(rèn)證中心的鑒權(quán)信息請(qǐng)求消息中獲取發(fā)起鑒權(quán)請(qǐng)求實(shí)體身份標(biāo)識(shí)�,根據(jù)該發(fā)起鑒權(quán)請(qǐng)求實(shí)體身份標(biāo)識(shí)獲取該發(fā)起鑒權(quán)請(qǐng)求實(shí)體的簽約消息,從該簽約信息中獲取該發(fā)起鑒權(quán)請(qǐng)求實(shí)體支持的所有鑒權(quán)方式���,根據(jù)網(wǎng)絡(luò)側(cè)的預(yù)先配置�����,確定當(dāng)前網(wǎng)絡(luò)支持的所有鑒權(quán)方式���,選擇當(dāng)前網(wǎng)絡(luò)和該發(fā)起鑒權(quán)請(qǐng)求的實(shí)體都支持的鑒權(quán)方式,并將所選擇的所有鑒權(quán)方式作為當(dāng)前網(wǎng)絡(luò)支持的鑒權(quán)方式�。
較佳地,所述實(shí)體認(rèn)證中心選擇鑒權(quán)方式的方法為實(shí)體認(rèn)證中心根據(jù)已獲取的當(dāng)前網(wǎng)絡(luò)支持的鑒權(quán)方式和發(fā)起鑒權(quán)請(qǐng)求實(shí)體所支持的鑒權(quán)方式����,確定當(dāng)前網(wǎng)絡(luò)和該發(fā)起鑒權(quán)請(qǐng)求實(shí)體都支持的所有鑒權(quán)方式,從所確定的鑒權(quán)方式中隨機(jī)選擇一種鑒權(quán)方式���。
較佳地���,所述所獲取的當(dāng)前網(wǎng)絡(luò)支持的鑒權(quán)方式具有優(yōu)先級(jí)信息;所述實(shí)體認(rèn)證中心選擇鑒權(quán)方式的方法為實(shí)體認(rèn)證中心根據(jù)已獲取的當(dāng)前網(wǎng)絡(luò)支持的鑒權(quán)方式和發(fā)起鑒權(quán)請(qǐng)求實(shí)體所支持的鑒權(quán)方式����,確定當(dāng)前網(wǎng)絡(luò)和該發(fā)起鑒權(quán)請(qǐng)求實(shí)體都支持的所有鑒權(quán)方式,從所確定的鑒權(quán)方式中選擇優(yōu)先級(jí)最高的鑒權(quán)方式���。
較佳地���,所述實(shí)體認(rèn)證中心確定當(dāng)前網(wǎng)絡(luò)和該發(fā)起鑒權(quán)請(qǐng)求實(shí)體都支持的所有鑒權(quán)方式后����,進(jìn)一步包括判斷自身內(nèi)是否預(yù)先配置有不同鑒權(quán)方式的優(yōu)先級(jí)信息��,如果有�����,則按照自身的優(yōu)先級(jí)信息�����,從所確定的鑒權(quán)方式中選則一種優(yōu)先級(jí)最高的鑒權(quán)方式���,如果沒(méi)有��,則繼續(xù)后續(xù)處理�����。
較佳地��,所述實(shí)體簽約信息數(shù)據(jù)庫(kù)服務(wù)器為用戶歸屬網(wǎng)絡(luò)服務(wù)器HSS�����,所述發(fā)起鑒權(quán)請(qǐng)求的實(shí)體為用戶終端UE或應(yīng)用服務(wù)器AS��。
較佳地�����,所述發(fā)起鑒權(quán)請(qǐng)求的實(shí)體為用戶終端時(shí)�����,所述鑒權(quán)請(qǐng)求中進(jìn)一步包括用戶終端的終端能力信息����;實(shí)體認(rèn)證中心從接收到該鑒權(quán)請(qǐng)求后�����,進(jìn)一步包括獲取并保存用戶終端的終端能力信息�����;鑒權(quán)成功后����,該方法進(jìn)一步包括實(shí)體認(rèn)證中心根據(jù)自身已保存的用戶終端的終端能力信息以及終端能力信息和所使用的鑒權(quán)方式是否一致�����,確定是否需要對(duì)鑒權(quán)成功后產(chǎn)生的密鑰進(jìn)行格式轉(zhuǎn)換���。
一種通用鑒權(quán)框架,包括僅使用服務(wù)的實(shí)體����、僅提供服務(wù)的實(shí)體、實(shí)體認(rèn)證中心和實(shí)體簽約信息數(shù)據(jù)庫(kù)服務(wù)器��,該通用鑒權(quán)框架還包括既使用服務(wù)又提供服務(wù)的實(shí)體�,其中,僅使用服務(wù)的實(shí)體�����,與實(shí)體認(rèn)證中心���、僅提供服務(wù)的實(shí)體和既使用服務(wù)又提供服務(wù)的實(shí)體分別直接相連�����,向?qū)嶓w認(rèn)證中心發(fā)起鑒權(quán)請(qǐng)求����,或者,向僅提供服務(wù)的實(shí)體或既使用服務(wù)又提供服務(wù)的實(shí)體發(fā)起業(yè)務(wù)請(qǐng)求��,實(shí)體認(rèn)證中心���,與實(shí)體簽約信息數(shù)據(jù)庫(kù)服務(wù)器��、僅提供服務(wù)的實(shí)體和既使用服務(wù)又提供服務(wù)的實(shí)體分別直接相連,用于接收來(lái)自僅提供服務(wù)的實(shí)體或既使用服務(wù)又提供服務(wù)的實(shí)體的鑒權(quán)請(qǐng)求���,獲取當(dāng)前網(wǎng)絡(luò)支持的鑒權(quán)方式和發(fā)起鑒權(quán)請(qǐng)求實(shí)體所支持的鑒權(quán)方式�����,從所獲取的鑒權(quán)方式中����,選擇一種當(dāng)前網(wǎng)絡(luò)和該發(fā)起鑒權(quán)請(qǐng)求實(shí)體都支持的鑒權(quán)方式��,應(yīng)用所選定的鑒權(quán)方式與發(fā)起鑒權(quán)請(qǐng)求的實(shí)體進(jìn)行互鑒權(quán)���,或者���,根據(jù)實(shí)體簽約信息數(shù)據(jù)庫(kù)服務(wù)器提供的簽約信息為僅提供服務(wù)的實(shí)體或既使用服務(wù)又提供服務(wù)的實(shí)體提供其所需的鑒權(quán)結(jié)果信息�����,實(shí)體簽約信息數(shù)據(jù)庫(kù)服務(wù)器���,用于存儲(chǔ)僅使用服務(wù)實(shí)體、僅提供服務(wù)實(shí)體和既使用服務(wù)又提供服務(wù)的實(shí)體的簽約信息����,向?qū)嶓w認(rèn)證中心提供僅使用服務(wù)實(shí)體或既使用服務(wù)又提供服務(wù)的實(shí)體的鑒權(quán)信息,或者���,向?qū)嶓w認(rèn)證中心提供僅提供服務(wù)實(shí)體或既使用服務(wù)又提供服務(wù)的實(shí)體的簽約信息����,
僅提供服務(wù)的實(shí)體���,與既使用服務(wù)又提供服務(wù)的實(shí)體直接相連�����,根據(jù)從實(shí)體認(rèn)證中心獲取的鑒權(quán)結(jié)果與僅使用服務(wù)的實(shí)體或既使用服務(wù)又提供服務(wù)的實(shí)體建立連接�,提供業(yè)務(wù)服務(wù),所述既使用服務(wù)又提供服務(wù)的實(shí)體����,用于向?qū)嶓w認(rèn)證中心發(fā)起鑒權(quán)請(qǐng)求,應(yīng)用實(shí)體認(rèn)證中心選定的鑒權(quán)方式�,與實(shí)體認(rèn)證中心進(jìn)行互鑒權(quán),獲取用于業(yè)務(wù)請(qǐng)求的標(biāo)識(shí)和用于認(rèn)證查詢標(biāo)識(shí)�����,或者�,應(yīng)用業(yè)務(wù)請(qǐng)求的標(biāo)識(shí)向僅提供服務(wù)的實(shí)體發(fā)起業(yè)務(wù)請(qǐng)求,與僅提供服務(wù)的實(shí)體建立連接�,使用其所提供的服務(wù)���;或者�,用于接收僅使用服務(wù)實(shí)體的業(yè)務(wù)請(qǐng)求��,應(yīng)用認(rèn)證查詢標(biāo)識(shí)從實(shí)體認(rèn)證中心獲取僅使用服務(wù)實(shí)體的鑒權(quán)結(jié)果���,與僅使用服務(wù)的實(shí)體建立連接���,為其提供業(yè)務(wù)服務(wù)�����。
較佳地���,所述僅使用服務(wù)的實(shí)體為用戶終端UE,所述僅提供服務(wù)的實(shí)體為業(yè)務(wù)應(yīng)用功能實(shí)體NAF或應(yīng)用服務(wù)器(AS����,Application Server),所述實(shí)體認(rèn)證中心為執(zhí)行初始檢查驗(yàn)證的功能實(shí)體BSF��,所述實(shí)體簽約信息數(shù)據(jù)庫(kù)服務(wù)器為用戶歸屬網(wǎng)絡(luò)服務(wù)器HSS��,所述既使用服務(wù)又提供服務(wù)的實(shí)體為應(yīng)用服務(wù)器(AS�����,Application Server)��,或用戶終端UE�。
本發(fā)明提供的實(shí)現(xiàn)鑒權(quán)的方法,關(guān)鍵是實(shí)體認(rèn)證中心根據(jù)發(fā)起鑒權(quán)請(qǐng)求的實(shí)體提供的其所支持的鑒權(quán)方式和當(dāng)前網(wǎng)絡(luò)提供的其所支持的鑒權(quán)方式,確定當(dāng)前網(wǎng)絡(luò)和該發(fā)起鑒權(quán)請(qǐng)求的實(shí)體都支持的所有鑒權(quán)方式����,從所確定的鑒權(quán)方式中選擇一種鑒權(quán)方式,與發(fā)起鑒權(quán)請(qǐng)求的實(shí)體進(jìn)行互鑒權(quán)���。應(yīng)用本發(fā)明提供的方法���,在鑒權(quán)過(guò)程中增加了鑒權(quán)方式的選擇過(guò)程,使通用鑒權(quán)框架應(yīng)用的更為廣泛�����,而且�,由于能夠使多種鑒權(quán)方式共存,為運(yùn)營(yíng)商的網(wǎng)絡(luò)配置和應(yīng)用提供了更多的選擇����。
應(yīng)用本發(fā)明提供的通用鑒權(quán)框架,使網(wǎng)絡(luò)中的應(yīng)用服務(wù)器既能為普通用戶提供業(yè)務(wù)服務(wù)�,還能向其他服務(wù)器請(qǐng)求業(yè)務(wù)服務(wù)����,充分地利用了網(wǎng)絡(luò)中的各種資源,同時(shí)還能提供選擇鑒權(quán)方式的操作,為運(yùn)營(yíng)商的網(wǎng)絡(luò)配置和應(yīng)用提供了更多的選擇�。
圖1所示為現(xiàn)有的通用鑒權(quán)框架的結(jié)構(gòu)示意圖;圖2所示為本發(fā)明的通用鑒權(quán)框架結(jié)構(gòu)示意圖����;圖3所示為應(yīng)用本發(fā)明一實(shí)施例的實(shí)現(xiàn)鑒權(quán)的流程示意圖。
具體實(shí)施例方式
下面結(jié)合附圖����,具體說(shuō)明本發(fā)明的技術(shù)方案。
圖2所示為本發(fā)明的通用鑒權(quán)框架結(jié)構(gòu)示意圖����。在本發(fā)明的通用鑒權(quán)框架中不僅包括僅使用服務(wù)的實(shí)體201、僅提供服務(wù)的實(shí)體204����、實(shí)體認(rèn)證中心(EAC,Entity Authentication Center)202和實(shí)體簽約信息數(shù)據(jù)庫(kù)服務(wù)器(ESD�,Entity Subscription Database)203,還包括既使用服務(wù)又提供服務(wù)的實(shí)體205�。
僅使用服務(wù)的實(shí)體201,與實(shí)體認(rèn)證中心202�、僅提供服務(wù)的實(shí)體204和既使用服務(wù)又提供服務(wù)的實(shí)體205分別直接相連,向?qū)嶓w認(rèn)證中心202發(fā)起鑒權(quán)請(qǐng)求�,或者�,向僅提供服務(wù)的實(shí)體204或既使用服務(wù)又提供服務(wù)的實(shí)體205發(fā)起業(yè)務(wù)請(qǐng)求�����,實(shí)體認(rèn)證中心202�,與實(shí)體簽約信息數(shù)據(jù)庫(kù)服務(wù)器203、僅提供服務(wù)的實(shí)體204和既使用服務(wù)又提供服務(wù)的實(shí)體205分別直接相連�����,用于接收來(lái)自僅提供服務(wù)實(shí)體204或既使用服務(wù)又提供服務(wù)實(shí)體205的鑒權(quán)請(qǐng)求�����,獲取當(dāng)前網(wǎng)絡(luò)支持的鑒權(quán)方式和發(fā)起鑒權(quán)請(qǐng)求實(shí)體所支持的鑒權(quán)方式�,從所獲取的鑒權(quán)方式中,選擇一種當(dāng)前網(wǎng)絡(luò)和該發(fā)起鑒權(quán)請(qǐng)求實(shí)體都支持的鑒權(quán)方式��,應(yīng)用所選定的鑒權(quán)方式與發(fā)起鑒權(quán)請(qǐng)求的實(shí)體進(jìn)行互鑒權(quán)���,或者���,根據(jù)實(shí)體簽約信息數(shù)據(jù)庫(kù)服務(wù)器203提供的簽約信息為僅提供服務(wù)的實(shí)體204或既使用服務(wù)又提供服務(wù)實(shí)體205提供其所需的鑒權(quán)結(jié)果信息,實(shí)體簽約信息數(shù)據(jù)庫(kù)服務(wù)器203���,既包括用于存儲(chǔ)僅使用服務(wù)實(shí)體201和僅提供服務(wù)實(shí)體204的簽約信息���,還包括既使用服務(wù)又提供服務(wù)實(shí)體205的簽約信息,向?qū)嶓w認(rèn)證中心202提供簽約實(shí)體的鑒權(quán)信息���,即向?qū)嶓w認(rèn)證中心202提供僅使用服務(wù)實(shí)體201和既使用服務(wù)又提供服務(wù)實(shí)體205的鑒權(quán)信息����,或者����,向?qū)嶓w認(rèn)證中心202提供僅提供服務(wù)實(shí)體204或既使用服務(wù)又提供服務(wù)實(shí)體205的簽約信息,僅提供服務(wù)的實(shí)體204�����,與既使用服務(wù)又提供服務(wù)的實(shí)體205直接相連����,根據(jù)從實(shí)體認(rèn)證中心202獲取的鑒權(quán)結(jié)果與僅使用服務(wù)的實(shí)體201或既使用服務(wù)又提供服務(wù)的實(shí)體205建立連接,提供業(yè)務(wù)服務(wù)���,既使用服務(wù)又提供服務(wù)的實(shí)體205���,向?qū)嶓w認(rèn)證中心202發(fā)起鑒權(quán)請(qǐng)求����,應(yīng)用實(shí)體認(rèn)證中心202選定的鑒權(quán)方式��,與其進(jìn)行互鑒權(quán)�,獲取用于業(yè)務(wù)請(qǐng)求的標(biāo)識(shí)和用于認(rèn)證查詢標(biāo)識(shí),或者����,應(yīng)用業(yè)務(wù)請(qǐng)求的標(biāo)識(shí)向僅提供服務(wù)的實(shí)體204發(fā)起業(yè)務(wù)請(qǐng)求,與僅提供服務(wù)的實(shí)體204建立連接�,使用其所提供的服務(wù),或者��,用于接收僅使用服務(wù)實(shí)體201的業(yè)務(wù)請(qǐng)求�����,應(yīng)用認(rèn)證查詢標(biāo)識(shí)從實(shí)體認(rèn)證中心202獲取僅使用服務(wù)實(shí)體201的鑒權(quán)結(jié)果����,與僅使用服務(wù)實(shí)體201建立連接,為其提供業(yè)務(wù)服務(wù)���。
上述實(shí)體205之所以能夠既使用服務(wù)又提供服務(wù)�����,是因?yàn)?����,在該?shí)體與實(shí)體認(rèn)證中心202進(jìn)行互鑒權(quán)成功后��,該實(shí)體認(rèn)證中心202已從實(shí)體簽約信息數(shù)據(jù)庫(kù)服務(wù)器203獲取該實(shí)體205的屬性�,即確認(rèn)了該請(qǐng)求鑒權(quán)實(shí)體既簽約了訂購(gòu)服務(wù)又簽約了提供服務(wù)的信息��,之后��,實(shí)體認(rèn)證中心202會(huì)為該實(shí)體205分配一個(gè)用于業(yè)務(wù)請(qǐng)求的標(biāo)識(shí)和一個(gè)用于認(rèn)證查詢標(biāo)識(shí)�。這樣,當(dāng)該實(shí)體205需要應(yīng)用其他服務(wù)器上的業(yè)務(wù)時(shí)����,其會(huì)應(yīng)用業(yè)務(wù)請(qǐng)求的標(biāo)識(shí),當(dāng)實(shí)體205為用戶終端提供業(yè)務(wù)服務(wù)器時(shí)�����,其將應(yīng)用認(rèn)證查詢標(biāo)識(shí),從而使得實(shí)體205既能夠使用服務(wù)又提供服務(wù)�����。
通常���,所述僅使用服務(wù)的實(shí)體201為用戶終端UE��,所述僅提供服務(wù)的實(shí)體205為業(yè)務(wù)應(yīng)用功能實(shí)體NAF或應(yīng)用服務(wù)器(AS��,Application Server)�����,所述實(shí)體認(rèn)證中心202為執(zhí)行初始檢查驗(yàn)證的功能實(shí)體BSF����,所述實(shí)體簽約信息數(shù)據(jù)庫(kù)服務(wù)器203為用戶歸屬網(wǎng)絡(luò)服務(wù)器HSS��,所述既使用服務(wù)又提供服務(wù)實(shí)體205為應(yīng)用服務(wù)器(AS)或用戶終端UE����。既使用服務(wù)又提供服務(wù)實(shí)體205所擁有的用于業(yè)務(wù)請(qǐng)求的標(biāo)識(shí)和用于認(rèn)證查詢標(biāo)識(shí)具體的應(yīng)用過(guò)程分別與現(xiàn)有的B-TID和NAF的標(biāo)識(shí)的應(yīng)用過(guò)程相同,在此不再詳細(xì)描述。當(dāng)然�����,隨著的技術(shù)的發(fā)展�����,圖2中各個(gè)實(shí)體的具體載體的名稱可能會(huì)發(fā)生變化��,在此�����,并不對(duì)各個(gè)具體載體的名稱加以限制��,只要其實(shí)現(xiàn)的功能與圖2所示各個(gè)模塊的功能相同���,即包含在本發(fā)明的范圍之內(nèi)。
在下面的方法流程中具體說(shuō)明上述實(shí)體認(rèn)證中心202獲取當(dāng)前網(wǎng)絡(luò)支持的鑒權(quán)方式和發(fā)起鑒權(quán)請(qǐng)求實(shí)體所支持的鑒權(quán)方式��,從所獲取的鑒權(quán)方式中�����,選擇一種當(dāng)前網(wǎng)絡(luò)和該發(fā)起鑒權(quán)請(qǐng)求實(shí)體都支持的鑒權(quán)方式的方法。
圖3所示為應(yīng)用本發(fā)明一實(shí)施例的實(shí)現(xiàn)鑒權(quán)的流程示意圖��。在本實(shí)施例中發(fā)起鑒權(quán)請(qǐng)求的實(shí)體是用戶終端UE��,實(shí)體認(rèn)證中心為BSF���,由NAF為UE提供服務(wù)��,由HSS作為實(shí)體簽約信息數(shù)據(jù)庫(kù)服務(wù)器����。
步驟301�,UE向BSF發(fā)送鑒權(quán)請(qǐng)求,該請(qǐng)求中包含用戶終端的身份標(biāo)識(shí)����、用戶終端的能力信息和預(yù)設(shè)的鑒權(quán)能力信息列表。
其中����,用戶終端的能力信息用于表示該用戶終端是3G的設(shè)備還是2G的設(shè)備;鑒權(quán)能力信息用于表示該UE能夠支持的鑒權(quán)方式��,在實(shí)際應(yīng)用中可以通過(guò)一個(gè)簡(jiǎn)單的字段來(lái)標(biāo)識(shí)���,例如用一個(gè)4bit的字段來(lái)標(biāo)識(shí)����,并設(shè)置0001表示AKA鑒權(quán),0010表示基于SIM的鑒權(quán)���,0011標(biāo)識(shí)SIM與TLS相結(jié)合的鑒權(quán)�,0100表示基于公私鑰的DH鑒權(quán)���,如果用戶支持AKA鑒權(quán)和DH鑒權(quán)�,那么在鑒權(quán)能力信息列表中就有0001和0100這兩項(xiàng)����。
步驟302�����,BSF接收到該鑒權(quán)請(qǐng)求后���,獲取并保存用戶終端的能力信息以及鑒權(quán)能力信息列表����。
如果UE向BSF發(fā)送的鑒權(quán)請(qǐng)求消息中未包含鑒權(quán)能力信息,BSF可以發(fā)送要求UE提供其所支持的鑒權(quán)方式的請(qǐng)求消息���,并從UE返回的響應(yīng)消息中獲取該UE所支持鑒權(quán)方式�����。
步驟303�,BSF向HSS發(fā)送請(qǐng)求鑒權(quán)信息的消息��,該請(qǐng)求消息中包含用戶終端的身份標(biāo)識(shí)���;步驟304�,HSS獲取當(dāng)前網(wǎng)絡(luò)支持的鑒權(quán)方式��,并根據(jù)所獲取的鑒權(quán)方式以及UE的身份標(biāo)識(shí)產(chǎn)生該UE的鑒權(quán)信息���,之后��,向BSF返回包含訪問(wèn)端鑒權(quán)信息和當(dāng)前網(wǎng)絡(luò)支持的鑒權(quán)方式����;HSS獲取當(dāng)前網(wǎng)絡(luò)支持的鑒權(quán)方式的方法為根據(jù)已獲取的UE身份標(biāo)識(shí)�����,從其簽約信息中獲取該UE能夠支持的所有的鑒權(quán)方式,根據(jù)網(wǎng)絡(luò)側(cè)的預(yù)先配置����,確定當(dāng)前網(wǎng)絡(luò)支持的所有鑒權(quán)方式,選擇當(dāng)前網(wǎng)絡(luò)和該UE都支持的鑒權(quán)方式�����,并將所選擇的鑒權(quán)方式作為當(dāng)前網(wǎng)絡(luò)支持的鑒權(quán)方式�����;或者�����,HSS獲取當(dāng)前網(wǎng)絡(luò)支持的鑒權(quán)方式的方法為根據(jù)網(wǎng)絡(luò)側(cè)的預(yù)先配置確定當(dāng)前網(wǎng)絡(luò)支持的所有鑒權(quán)方式��,并將所確定的鑒權(quán)方式作為當(dāng)前網(wǎng)絡(luò)支持的鑒權(quán)方式�����。
在本實(shí)施例中��,HSS向BSF返回的當(dāng)前網(wǎng)絡(luò)支持的鑒權(quán)方式是已列表的形式存在的��,該列表中每種鑒權(quán)方式后包含該鑒權(quán)方式所需的參數(shù)即鑒權(quán)信息�;同時(shí)該列表中還包含優(yōu)先級(jí)信息,即優(yōu)先級(jí)高的鑒權(quán)方式位于優(yōu)先級(jí)低的鑒權(quán)方式之前���。當(dāng)然��,BSF向HSS返回的當(dāng)前網(wǎng)絡(luò)支持的鑒權(quán)方式也可以以其他的形式存在����,也可以不包含任何優(yōu)先級(jí)信息����。
步驟305,BSF根據(jù)當(dāng)前網(wǎng)絡(luò)支持的鑒權(quán)方式和已保存的UE所支持的鑒權(quán)方式����,選擇一種當(dāng)前網(wǎng)絡(luò)和該發(fā)起鑒權(quán)請(qǐng)求實(shí)體都支持的鑒權(quán)方式。
如果HSS返回的當(dāng)前網(wǎng)絡(luò)支持的鑒權(quán)方式中不包含優(yōu)先級(jí)信息����,則BSF根據(jù)當(dāng)前網(wǎng)絡(luò)支持的鑒權(quán)方式和已保存的UE所支持的鑒權(quán)方式,確定當(dāng)前網(wǎng)絡(luò)和該UE都支持的所有鑒權(quán)方式�,從所確定的鑒權(quán)方式中隨機(jī)選擇一種鑒權(quán)方式�;如果HSS返回的當(dāng)前網(wǎng)絡(luò)支持的鑒權(quán)方式中包含優(yōu)先級(jí)信息��,則BSF根據(jù)當(dāng)前網(wǎng)絡(luò)支持的鑒權(quán)方式和已保存的UE所支持的鑒權(quán)方式�����,確定當(dāng)前網(wǎng)絡(luò)和該UE都支持的所有鑒權(quán)方式���,從所確定的鑒權(quán)方式中選擇最高優(yōu)先級(jí)的鑒權(quán)方式��,即選擇位于當(dāng)前網(wǎng)絡(luò)支持的鑒權(quán)方式列表中最前面的鑒權(quán)方式�����;
如果BSF內(nèi)預(yù)先配置有不同鑒權(quán)方式的優(yōu)先級(jí)信息��,則BSF根據(jù)當(dāng)前網(wǎng)絡(luò)支持的鑒權(quán)方式和已保存的UE所支持的鑒權(quán)方式�,確定當(dāng)前網(wǎng)絡(luò)和該UE都支持的所有鑒權(quán)方式后���,則按照自身的優(yōu)先級(jí)信息��,從所確定的鑒權(quán)方式中選則一種優(yōu)先級(jí)最高的鑒權(quán)方式。如果BSF內(nèi)沒(méi)有預(yù)先配置有不同鑒權(quán)方式的優(yōu)先級(jí)信息��,則BSF再根據(jù)HSS返回的當(dāng)前網(wǎng)絡(luò)支持的鑒權(quán)方式中包含優(yōu)先級(jí)信息確定鑒權(quán)方式,如果HSS返回的當(dāng)前網(wǎng)絡(luò)支持的鑒權(quán)方式中也未包含優(yōu)先級(jí)信息��,BSF再隨機(jī)選擇鑒權(quán)方式�����。
例如���,BSF已確定當(dāng)前網(wǎng)絡(luò)和該UE都支持的所有鑒權(quán)方式是0001和0100�,如果BSF沒(méi)有配置鑒權(quán)方式優(yōu)先級(jí)信息����,且BSF知道HSS提供的鑒權(quán)方式列表中包含優(yōu)先級(jí)信息,那么BSF就按照網(wǎng)絡(luò)提供的鑒權(quán)能力列表中排在前面的鑒權(quán)方式進(jìn)行選擇�����,如果網(wǎng)絡(luò)側(cè)將0001排在了前面���,那么BSF就選則0001作為最后確定的鑒權(quán)方式��,如果BSF已配置鑒權(quán)方式0100為首選的鑒權(quán)方式��,則BSF將選擇0100作為最后選定的鑒權(quán)方式�。
步驟306,UE與BSF應(yīng)用選定的鑒權(quán)方式���,及鑒權(quán)信息與UE實(shí)現(xiàn)鑒權(quán)�����,鑒權(quán)成功后�����,BSF根據(jù)自身已保存的UE的終端能力信息以及終端能力信息和所使用的鑒權(quán)方式是否一致��,確定是否需要對(duì)密鑰的格式進(jìn)行轉(zhuǎn)換�,即BSF具有與用戶終端相同的密鑰轉(zhuǎn)換能力�����。
例如����,如果UE是不同能力的用戶卡手機(jī)的組合,那么BSF需要對(duì)鑒權(quán)后產(chǎn)生的密鑰進(jìn)行格式的轉(zhuǎn)換����。例如用戶卡是2G的用戶卡而手機(jī)是3G的手機(jī)終端�,其采用編號(hào)為0010的鑒權(quán)方式鑒權(quán)后�,產(chǎn)生的密鑰是一個(gè)64bit的密鑰�,那么3G的手機(jī)終端在收到64bit的密鑰后會(huì)將其主動(dòng)的轉(zhuǎn)換為3G需要使用的各自128bit的加密密鑰CK和完整性IK,這時(shí)BSF也需要將鑒權(quán)產(chǎn)生的64bit密鑰轉(zhuǎn)換為128bit密鑰��,這樣才能與UE實(shí)現(xiàn)共享密鑰��。具體的轉(zhuǎn)換方法與3G的手機(jī)終端轉(zhuǎn)換方法相同�����,不再詳細(xì)描述����。
如果BSF與UE執(zhí)行的是0010的鑒權(quán)方式,且BSF根據(jù)該用戶終端的終端能力信息���,確定其用戶設(shè)備即手機(jī)是3G的手機(jī)�����,那么BSF同樣需要執(zhí)行密鑰轉(zhuǎn)換的功能���,將64bits的密鑰轉(zhuǎn)換為128bits密鑰��,即轉(zhuǎn)換為加密密鑰CK和完整性IK的形式�����。
其它方式的用戶卡和手機(jī)終端的組合��,以及手機(jī)終端與鑒權(quán)方式的組合與此類似���。總之���,BSF具有與用戶終端相同的密鑰轉(zhuǎn)換能力�����,也就是說(shuō)����,BSF判斷是否需要轉(zhuǎn)換以及具體的轉(zhuǎn)換方法都與用戶終端相同�。
步驟307,BSF給UE分配B-TID����。
步驟308�����,UE使用B-TID與NAF進(jìn)行通信��。
以上所述僅為一實(shí)施例,在實(shí)際應(yīng)用中發(fā)起鑒權(quán)請(qǐng)求的實(shí)體是也可以是AS�。如果發(fā)起鑒權(quán)請(qǐng)求的實(shí)體是AS,那么在步驟306中�����,就不存在密鑰格式轉(zhuǎn)換的步驟����,在鑒權(quán)成功后,BSF將直接為該AS分配一個(gè)用于業(yè)務(wù)請(qǐng)求的標(biāo)識(shí)和一個(gè)用于認(rèn)證查詢標(biāo)識(shí)��,以便其后續(xù)應(yīng)用�����。用于業(yè)務(wù)請(qǐng)求的標(biāo)識(shí)和用于認(rèn)證查詢標(biāo)識(shí)具體的應(yīng)用過(guò)程分別與B-TID和NAF的標(biāo)識(shí)的應(yīng)用過(guò)程相同���,在此不再詳細(xì)描述�����。
再有�,BSF自身也可以預(yù)先保存的當(dāng)前網(wǎng)絡(luò)支持的鑒權(quán)方式列表,并定期與HSS交互以更新該列表��,這樣��,HSS不需每次提供鑒權(quán)信息時(shí)都提供當(dāng)前網(wǎng)絡(luò)支持的鑒權(quán)方式列表�,BSF可以從自身預(yù)先保存的信息中獲取當(dāng)前網(wǎng)絡(luò)支持的鑒權(quán)方式,從而避免在網(wǎng)絡(luò)中經(jīng)常重復(fù)傳送大量相同的信息��。
總之�,以上所述僅為本發(fā)明的較佳實(shí)施例而已,并非用于限定本發(fā)明的保護(hù)范圍�。
權(quán)利要求
1.一種通用鑒權(quán)框架中實(shí)現(xiàn)鑒權(quán)的方法,所述通用鑒權(quán)框架中包括用于與發(fā)起鑒權(quán)請(qǐng)求的實(shí)體進(jìn)行鑒權(quán)操作的實(shí)體認(rèn)證中心��,其特征在于��,該方法包括以下步驟實(shí)體認(rèn)證中心接收到來(lái)自發(fā)起鑒權(quán)請(qǐng)求實(shí)體的鑒權(quán)請(qǐng)求后��,獲取該發(fā)起鑒權(quán)請(qǐng)求實(shí)體所支持鑒權(quán)方式以及當(dāng)前網(wǎng)絡(luò)支持的鑒權(quán)方式���,之后����,從所獲取的鑒權(quán)方式中選擇一種當(dāng)前網(wǎng)絡(luò)和該發(fā)起鑒權(quán)請(qǐng)求實(shí)體都支持的鑒權(quán)方式,并應(yīng)用該鑒權(quán)方式與發(fā)起鑒權(quán)請(qǐng)求實(shí)體實(shí)現(xiàn)鑒權(quán)�。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于�,所述實(shí)體認(rèn)證中心獲取發(fā)起鑒權(quán)請(qǐng)求實(shí)體所支持鑒權(quán)方式的方法為實(shí)體認(rèn)證中心接收到來(lái)自發(fā)起鑒權(quán)請(qǐng)求實(shí)體的包含其所支持鑒權(quán)方式的鑒權(quán)請(qǐng)求后,從該鑒權(quán)請(qǐng)求中獲取發(fā)起鑒權(quán)請(qǐng)求實(shí)體所支持鑒權(quán)方式����;或者�����,實(shí)體認(rèn)證中心向發(fā)起鑒權(quán)請(qǐng)求實(shí)體發(fā)送提供所支持的鑒權(quán)方式的請(qǐng)求消息��,從發(fā)起鑒權(quán)請(qǐng)求實(shí)體返回的響應(yīng)消息中獲取該發(fā)起鑒權(quán)請(qǐng)求實(shí)體所支持的鑒權(quán)方式���。
3.根據(jù)權(quán)利要求1所述的方法����,其特征在于�����,所述實(shí)體認(rèn)證中心獲取當(dāng)前網(wǎng)絡(luò)支持的鑒權(quán)方式的方法為實(shí)體認(rèn)證中心向?qū)嶓w簽約信息數(shù)據(jù)庫(kù)服務(wù)器發(fā)送包含發(fā)起鑒權(quán)請(qǐng)求實(shí)體身份標(biāo)識(shí)的請(qǐng)求鑒權(quán)信息的消息,實(shí)體簽約信息數(shù)據(jù)庫(kù)服務(wù)器接收到該消息后����,確定當(dāng)前網(wǎng)絡(luò)支持的鑒權(quán)方式后,將所確定的鑒權(quán)方式包含在發(fā)送給實(shí)體認(rèn)證中心的請(qǐng)求鑒權(quán)信息的響應(yīng)消息中���,實(shí)體認(rèn)證中心從實(shí)體簽約信息數(shù)據(jù)庫(kù)服務(wù)器返回的響應(yīng)消息中獲取當(dāng)前網(wǎng)絡(luò)支持的鑒權(quán)方式���;或者,實(shí)體認(rèn)證中心從自身預(yù)先保存的當(dāng)前網(wǎng)絡(luò)支持的鑒權(quán)方式信息中獲取當(dāng)前網(wǎng)絡(luò)支持的鑒權(quán)方式����。
4.根據(jù)權(quán)利要求3所述的方法,其特征在于���,所述實(shí)體簽約信息數(shù)據(jù)庫(kù)服務(wù)器確定當(dāng)前網(wǎng)絡(luò)支持的鑒權(quán)方式的方法為根據(jù)網(wǎng)絡(luò)側(cè)的預(yù)先配置確定當(dāng)前網(wǎng)絡(luò)支持的所有鑒權(quán)方式�,并將所確定的所有鑒權(quán)方式作為當(dāng)前網(wǎng)絡(luò)支持的鑒權(quán)方式���。
5.根據(jù)權(quán)利要求3所述的方法��,其特征在于��,所述實(shí)體簽約信息數(shù)據(jù)庫(kù)服務(wù)器確定當(dāng)前網(wǎng)絡(luò)支持的鑒權(quán)方式的方法為從來(lái)自實(shí)體認(rèn)證中心的鑒權(quán)信息請(qǐng)求消息中獲取發(fā)起鑒權(quán)請(qǐng)求實(shí)體身份標(biāo)識(shí)���,根據(jù)該發(fā)起鑒權(quán)請(qǐng)求實(shí)體身份標(biāo)識(shí)獲取該發(fā)起鑒權(quán)請(qǐng)求實(shí)體的簽約信息����,從該簽約信息中獲取該發(fā)起鑒權(quán)請(qǐng)求實(shí)體支持的所有鑒權(quán)方式����,根據(jù)網(wǎng)絡(luò)側(cè)的預(yù)先配置,確定當(dāng)前網(wǎng)絡(luò)支持的所有鑒權(quán)方式��,選擇當(dāng)前網(wǎng)絡(luò)和該發(fā)起鑒權(quán)請(qǐng)求實(shí)體都支持的鑒權(quán)方式�����,并將所選擇的所有鑒權(quán)方式作為當(dāng)前網(wǎng)絡(luò)支持的鑒權(quán)方式����。
6.根據(jù)權(quán)利要求1所述的方法���,其特征在于����,所述實(shí)體認(rèn)證中心選擇鑒權(quán)方式的方法為實(shí)體認(rèn)證中心根據(jù)已獲取的當(dāng)前網(wǎng)絡(luò)支持的鑒權(quán)方式和發(fā)起鑒權(quán)請(qǐng)求實(shí)體所支持的鑒權(quán)方式,確定當(dāng)前網(wǎng)絡(luò)和該發(fā)起鑒權(quán)請(qǐng)求實(shí)體都支持的所有鑒權(quán)方式��,從所確定的鑒權(quán)方式中隨機(jī)選擇一種鑒權(quán)方式��。
7.根據(jù)權(quán)利要求1所述的方法����,其特征在于,所述實(shí)體認(rèn)證中心所獲取的當(dāng)前網(wǎng)絡(luò)支持的鑒權(quán)方式具有優(yōu)先級(jí)信息����;所述實(shí)體認(rèn)證中心選擇鑒權(quán)方式的方法為實(shí)體認(rèn)證中心根據(jù)已獲取的當(dāng)前網(wǎng)絡(luò)支持的鑒權(quán)方式和發(fā)起鑒權(quán)請(qǐng)求實(shí)體所支持的鑒權(quán)方式,確定當(dāng)前網(wǎng)絡(luò)和該發(fā)起鑒權(quán)請(qǐng)求實(shí)體都支持的所有鑒權(quán)方式��,從所確定的鑒權(quán)方式中選擇優(yōu)先級(jí)最高的鑒權(quán)方式��。
8.根據(jù)權(quán)利要求6或7所述的方法�����,其特征在于���,所述實(shí)體認(rèn)證中心確定當(dāng)前網(wǎng)絡(luò)和該發(fā)起鑒權(quán)請(qǐng)求實(shí)體都支持的所有鑒權(quán)方式后����,進(jìn)一步包括判斷自身是否預(yù)先配置有不同鑒權(quán)方式的優(yōu)先級(jí)信息���,如果有��,則按照自身的優(yōu)先級(jí)信息�,從所確定的鑒權(quán)方式中選則一種優(yōu)先級(jí)最高的鑒權(quán)方式,如果沒(méi)有�����,則繼續(xù)后續(xù)處理�。
9.根據(jù)權(quán)利要求1~7任一所述的方法,其特征在于����,所述實(shí)體簽約信息數(shù)據(jù)庫(kù)服務(wù)器為用戶歸屬網(wǎng)絡(luò)服務(wù)器HSS,所述發(fā)起鑒權(quán)請(qǐng)求的實(shí)體為用戶終端UE或應(yīng)用服務(wù)器(AS��,Application Server)�。
10.根據(jù)權(quán)利要求9所述的方法����,其特征在于,所述發(fā)起鑒權(quán)請(qǐng)求的實(shí)體為用戶終端時(shí),所述鑒權(quán)請(qǐng)求中進(jìn)一步包括用戶終端的終端能力信息�����;實(shí)體認(rèn)證中心從接收到該鑒權(quán)請(qǐng)求后���,進(jìn)一步包括獲取并保存用戶終端的終端能力信息���;鑒權(quán)成功后,該方法進(jìn)一步包括實(shí)體認(rèn)證中心根據(jù)自身已保存的用戶終端的終端能力信息以及終端能力信息和所使用的鑒權(quán)方式是否一致�����,確定是否需要對(duì)鑒權(quán)成功后產(chǎn)生的密鑰進(jìn)行格式轉(zhuǎn)換�。
11.一種通用鑒權(quán)框架,包括僅使用服務(wù)的實(shí)體����、僅提供服務(wù)的實(shí)體、實(shí)體認(rèn)證中心和實(shí)體簽約信息數(shù)據(jù)庫(kù)服務(wù)器����,其特征在于,該通用鑒權(quán)框架還包括既使用服務(wù)又提供服務(wù)的實(shí)體����,其中�����,僅使用服務(wù)的實(shí)體���,與實(shí)體認(rèn)證中心、僅提供服務(wù)的實(shí)體和既使用服務(wù)又提供服務(wù)的實(shí)體分別直接相連�����,向?qū)嶓w認(rèn)證中心發(fā)起鑒權(quán)請(qǐng)求���,或者���,向僅提供服務(wù)的實(shí)體或既使用服務(wù)又提供服務(wù)的實(shí)體發(fā)起業(yè)務(wù)請(qǐng)求,實(shí)體認(rèn)證中心�,與實(shí)體簽約信息數(shù)據(jù)庫(kù)服務(wù)器、僅提供服務(wù)的實(shí)體和既使用服務(wù)又提供服務(wù)的實(shí)體分別直接相連��,用于接收來(lái)自僅提供服務(wù)的實(shí)體或既使用服務(wù)又提供服務(wù)的實(shí)體的鑒權(quán)請(qǐng)求��,獲取當(dāng)前網(wǎng)絡(luò)支持的鑒權(quán)方式和發(fā)起鑒權(quán)請(qǐng)求實(shí)體所支持的鑒權(quán)方式�,從所獲取的鑒權(quán)方式中,選擇一種當(dāng)前網(wǎng)絡(luò)和該發(fā)起鑒權(quán)請(qǐng)求實(shí)體都支持的鑒權(quán)方式�����,應(yīng)用所選定的鑒權(quán)方式與發(fā)起鑒權(quán)請(qǐng)求的實(shí)體進(jìn)行互鑒權(quán)�,或者,根據(jù)實(shí)體簽約信息數(shù)據(jù)庫(kù)服務(wù)器提供的簽約信息為僅提供服務(wù)的實(shí)體或既使用服務(wù)又提供服務(wù)的實(shí)體提供其所需的鑒權(quán)結(jié)果信息����,實(shí)體簽約信息數(shù)據(jù)庫(kù)服務(wù)器,用于存儲(chǔ)僅使用服務(wù)實(shí)體����、僅提供服務(wù)實(shí)體和既使用服務(wù)又提供服務(wù)的實(shí)體的簽約信息,向?qū)嶓w認(rèn)證中心提供僅使用服務(wù)實(shí)體或既使用服務(wù)又提供服務(wù)的實(shí)體的鑒權(quán)信息�����,或者�����,向?qū)嶓w認(rèn)證中心提供僅提供服務(wù)實(shí)體或既使用服務(wù)又提供服務(wù)的實(shí)體的簽約信息����,僅提供服務(wù)的實(shí)體��,與既使用服務(wù)又提供服務(wù)的實(shí)體直接相連����,根據(jù)從實(shí)體認(rèn)證中心獲取的鑒權(quán)結(jié)果與僅使用服務(wù)的實(shí)體或既使用服務(wù)又提供服務(wù)的實(shí)體建立連接��,提供業(yè)務(wù)服務(wù)�,所述既使用服務(wù)又提供服務(wù)的實(shí)體,用于向?qū)嶓w認(rèn)證中心發(fā)起鑒權(quán)請(qǐng)求�,應(yīng)用實(shí)體認(rèn)證中心選定的鑒權(quán)方式,與實(shí)體認(rèn)證中心進(jìn)行互鑒權(quán)���,獲取用于業(yè)務(wù)請(qǐng)求的標(biāo)識(shí)和用于認(rèn)證查詢標(biāo)識(shí)�,或者�,應(yīng)用業(yè)務(wù)請(qǐng)求的標(biāo)識(shí)向僅提供服務(wù)的實(shí)體發(fā)起業(yè)務(wù)請(qǐng)求,與僅提供服務(wù)的實(shí)體建立連接�,使用其所提供的服務(wù);或者����,用于接收僅使用服務(wù)實(shí)體的業(yè)務(wù)請(qǐng)求,應(yīng)用認(rèn)證查詢標(biāo)識(shí)從實(shí)體認(rèn)證中心獲取僅使用服務(wù)實(shí)體的鑒權(quán)結(jié)果����,與僅使用服務(wù)的實(shí)體建立連接����,為其提供業(yè)務(wù)服務(wù)��。
12.根據(jù)權(quán)利要求11所述的通用鑒權(quán)框架���,其特征在于,所述僅使用服務(wù)的實(shí)體為用戶終端UE����,所述僅提供服務(wù)的實(shí)體為業(yè)務(wù)應(yīng)用功能實(shí)體NAF或應(yīng)用服務(wù)器(AS,Application Server)�����,所述實(shí)體認(rèn)證中心為執(zhí)行初始檢查驗(yàn)證的功能實(shí)體BSF�,所述實(shí)體簽約信息數(shù)據(jù)庫(kù)服務(wù)器為用戶歸屬網(wǎng)絡(luò)服務(wù)器HSS,所述既使用服務(wù)又提供服務(wù)的實(shí)體為應(yīng)用服務(wù)器(AS�,Application Server),或用戶終端UE�。
全文摘要
本發(fā)明公開了一種通用鑒權(quán)框架中實(shí)現(xiàn)鑒權(quán)的方法,其關(guān)鍵是實(shí)體認(rèn)證中心根據(jù)發(fā)起鑒權(quán)請(qǐng)求的實(shí)體提供的其所支持的鑒權(quán)方式和當(dāng)前網(wǎng)絡(luò)提供的其所支持的鑒權(quán)方式���,確定當(dāng)前網(wǎng)絡(luò)和該發(fā)起鑒權(quán)請(qǐng)求的實(shí)體都支持的所有鑒權(quán)方式�,從所確定的鑒權(quán)方式中選擇一種鑒權(quán)方式,與發(fā)起鑒權(quán)請(qǐng)求的實(shí)體進(jìn)行互鑒權(quán)�。應(yīng)用本發(fā)明提供的方法,在鑒權(quán)過(guò)程中增加了鑒權(quán)方式的選擇過(guò)程��,使通用鑒權(quán)框架應(yīng)用的更為廣泛���,而且���,由于能夠使多種鑒權(quán)方式共存,為運(yùn)營(yíng)商的網(wǎng)絡(luò)配置和應(yīng)用提供了更多的選擇���。本發(fā)明還公開了一種通用鑒權(quán)框架���,其關(guān)鍵是使網(wǎng)絡(luò)中的應(yīng)用服務(wù)器既能為普通用戶提供業(yè)務(wù)服務(wù),還能向其他服務(wù)器請(qǐng)求業(yè)務(wù)服務(wù)�,充分地利用了網(wǎng)絡(luò)中的各種資源。
文檔編號(hào)H04L9/32GK1835436SQ200510053868
公開日2006年9月20日 申請(qǐng)日期2005年3月14日 優(yōu)先權(quán)日2005年3月14日
發(fā)明者黃迎新 申請(qǐng)人:華為技術(shù)有限公司