專利名稱:一種驗證用戶合法性的方法
技術(shù)領域:
本發(fā)明涉及第三代無線通信技術(shù)領域,特別是指一種驗證用戶合法性的方法��。
背景技術(shù):
在第三代無線通信標準中��,通用鑒權(quán)框架是多種應用業(yè)務實體使用的一個用于完成對用戶身份進行驗證的通用結(jié)構(gòu)�����,應用通用鑒權(quán)框架可實現(xiàn)對應用業(yè)務的用戶進行檢查和驗證身份。上述多種應用業(yè)務可以是多播/廣播業(yè)務���、用戶證書業(yè)務��、信息即時提供業(yè)務等���,也可以是代理業(yè)務,例如多個服務和一個代理相連���,這個通用鑒權(quán)框架把代理也當作一種業(yè)務來處理�,組織結(jié)構(gòu)可以很靈活����,而且,對于以后新開發(fā)的業(yè)務也同樣可以應用通用鑒權(quán)框架對應用業(yè)務的用戶進行檢查和驗證身份��。
圖1所示為通用鑒權(quán)框架的結(jié)構(gòu)示意圖�����。通用鑒權(quán)框架通常由用戶101、執(zhí)行用戶身份初始檢查驗證的實體(BSF)102���、用戶歸屬網(wǎng)絡服務器(HSS)103和網(wǎng)絡應用實體(NAF)104組成�。BSF 102用于與用戶101進行互驗證身份��,同時生成BSF 102與用戶101的共享密鑰��;HSS 103中存儲有用于描述用戶信息的描述(Profile)文件���,同時HSS 103還兼有產(chǎn)生鑒權(quán)信息的功能����。
用戶需要使用某種業(yè)務時���,如果其知道該業(yè)務需要到BSF進行互鑒權(quán)過程��,則直接到BSF進行互鑒權(quán)��,否則��,用戶會首先和某個業(yè)務對應的NAF聯(lián)系,如果該NAF應用通用鑒權(quán)框架需要用戶到BSF進行身份驗證��,則通知用戶應用通用鑒權(quán)框架進行身份驗證�,否則進行其它相應處理�����。
圖2所示為應用通用鑒權(quán)框架進行用戶身份認證的流程圖����。
步驟201�����,用戶向NAF發(fā)送業(yè)務應用請求消息�����;步驟202��,NAF收到該消息后�����,如果發(fā)現(xiàn)該用戶還未到BSF進行互認證�,則通知該用戶首先到BSF進行初始鑒權(quán)認證;步驟203�,用戶向BSF發(fā)送初始鑒權(quán)認證請求消息;步驟204,BSF接收到用戶的鑒權(quán)請求消息后�����,向HSS查詢該用戶的鑒權(quán)信息以及Profile��;步驟205����,BSF得到HSS發(fā)送的包含其所查信息的響應消息后,應用所查到的信息與用戶執(zhí)行鑒權(quán)和密鑰協(xié)商協(xié)議(AKA)進行互鑒權(quán)�,當BSF與用戶完成AKA互鑒權(quán),即相互認證了身份后����,BSF與用戶之間就擁有了共享密鑰Ks;步驟206�����,BSF給用戶分配針對一個以上NAF有效的且只包括標識號的會話事務標識(TID)��,該TID與共享密鑰Ks是相關聯(lián)的�;步驟207,用戶收到BSF分配的TID后���,重新向NAF發(fā)送業(yè)務應用請求消息�����,該請求消息中包含TID信息���;步驟208,NAF接收到用戶發(fā)送的包含TID信息的業(yè)務應用請求消息時�,首先在NAF本地進行查詢,如查詢到��,則直接執(zhí)行步驟210�����,否則�,向BSF發(fā)送包含NAF本地標識的查詢TID的消息;步驟209����,BSF接收到來自NAF的查詢消息后,如查詢到NAF所需的TID����,則向NAF發(fā)送成功的響應消息��,NAF將該消息中的內(nèi)容保存后�,執(zhí)行步驟210��,否則BSF向NAF發(fā)送響應失敗的查詢消息��,通知NAF沒有該用戶的信息�����,由NAF通知用戶到BSF上進行鑒權(quán)�,并結(jié)束該處理流程;該成功的響應消息中包括查到的TID以及該TID對應用戶應用的共享密鑰Ks���,或根據(jù)該NAF的安全級別由共享密鑰Ks生成的衍生密鑰�����,只要NAF收到BSF的成功響應消息����,就認為該用戶是經(jīng)過BSF認證的合法用戶��,同時NAF和用戶也共享了密鑰Ks或其衍生密鑰��;步驟210,NAF與用戶進行正常的通信���,并應用共享密鑰Ks或由該共享密鑰Ks衍生的密鑰對以后的通信進行保護。
當用戶和某個NAF的首次通信過程結(jié)束后��,在以后的通信中都使用該已經(jīng)過鑒權(quán)的TID和NAF進行通信�。由于TID是可以重復使用的,且任何一個NAF如果在本地不能找到相應的TID時�,都將向BSF進行查詢到,因此��,只要用戶取得一個合法的TID后�,就可以無限期的應用該TID與NAF進行通信。
現(xiàn)有技術(shù)方案的缺陷在于BSF分配給用戶的TID僅僅是作為NAF和用戶建立信任關系的橋梁�����,而沒有規(guī)定TID如何組成��,應該和那些信息相關聯(lián)等��,同時��,NAF也無法對TID進行管理�。而且�,用戶只要取得一次合法的TID后���,就可以無限期的使用該TID與NAF進行通信���,降低了系統(tǒng)的安全性,同時也增加了用戶密鑰被盜的可能性���。
發(fā)明內(nèi)容
有鑒于此�,本發(fā)明的目的在于提供一種驗證用戶合法性的方法���,通過NAF驗證用戶的TID是否有效��,來進一步驗證該用戶是否合法��。
為達到上述目的���,本發(fā)明的技術(shù)方案是這樣實現(xiàn)的一種驗證用戶合法性的方法,適用于網(wǎng)絡應用實體NAF應用通用鑒權(quán)框架對用戶進行身份驗證的第三代無線通信領域中���,該方法包括以下步驟a��、NAF接收到來自用戶的帶有會話事務標識TID信息的業(yè)務應用請求消息時�,判斷NAF本地是否有該TID信息,如果有���,則執(zhí)行步驟b��,否則執(zhí)行步驟c����;b�、通過判斷用戶應用的TID是否處于預先設定的有效時限內(nèi)��,來判斷該用戶是否合法���,如果該用戶合法�����,則NAF與用戶進行正常通信����,否則���,NAF提示用戶重新到執(zhí)行用戶身份初始檢查驗證實體BSF進行初始鑒權(quán)認證�;c、NAF向BSF發(fā)送包括本NAF標識的查詢TID的消息���,如果BSF查詢到NAF需要的TID�����,則向NAF返回包含查詢到的TID及該TID有效期限信息的成功響應消息�����,NAF先保存來自BSF的響應消息中的內(nèi)容����,然后與用戶進行正常通信����,如果BSF未查詢到NAF需要的TID,則給NAF返回失敗的響應消息�����,并由NAF提示用戶到BSF進行初始鑒權(quán)認證�。
較佳地,所述步驟a執(zhí)行前,該方法進一步包括用戶與BSF通過互鑒權(quán)����,產(chǎn)生用戶與BSF的共享密鑰Ks后,BSF給用戶分配對NAF有效的且只包括標識號的TID��,用戶接收到BSF分配的TID后���,向NAF發(fā)送包含該TID信息的業(yè)務應用請求消息�,然后執(zhí)行步驟a�����;步驟c所述BSF查詢到NAF需要的TID時�,進一步包括BSF首先為所查詢的TID分配有效期限�,然后再給NAF返回包含TID及該TID有效期限信息的成功響應消息;步驟c所述BSF返回的成功響應消息中包括NAF所查詢的TID��、該TID對應的有效期限以及與該TID對應的密鑰信息���。
較佳地�����,所述步驟a執(zhí)行前�,該方法進一步包括預先設定BSF與NAF的共享密鑰Knb;用戶與BSF通過互鑒權(quán)���,產(chǎn)生共享密鑰Ks后�����,BSF給用戶分配只針對某個NAF有效的標識號�����,以及應用該標識號的有效期限�����,應用其與NAF的共享密鑰Knb為所分配的標識號以及該標識號的有效期限進行加密�����,將加密后的信息作為TID發(fā)送給用戶��;用戶接收到BSF分配的TID后���,向NAF發(fā)送包含該TID信息的業(yè)務應用請求消息���,然后執(zhí)行步驟a;所述步驟b執(zhí)行前��,進一步包括NAF首先應用其與BSF的共享密鑰Knb,對接收到的TID進行解密,然后再執(zhí)行步驟b����;所述步驟c執(zhí)行前�����,進一步包括NAF首先應用其與BSF的共享密鑰Knb���,對接收到的TID進行解密,然后判斷該TID是否對本NAF有效��,如果是����,再執(zhí)行步驟c�����,否則,NAF給用戶提示錯誤信息���;步驟c所述BSF返回的成功響應消息中包括NAF所查詢的TID以及與該TID對應的密鑰信息�����。
較佳地�����,所述步驟a執(zhí)行前��,該方法進一步包括
用戶與BSF通過互鑒權(quán)���,產(chǎn)生共享密鑰Ks后,BSF給用戶分配針對某個NAF有效的只包括標識號的TID和該TID所對應的有效期限����,并保存,然后將所分配的TID發(fā)送給用戶����;NAF接收到來自用戶的帶有TID信息的業(yè)務應用請求消息時,首先判斷該TID是否對本NAF有效����,如果是���,再執(zhí)行步驟a,否則�,NAF給用戶提示錯誤信息;步驟c所述BSF返回的成功響應消息中包括NAF所查詢的TID���、該TID所對應的有效期限以及與該TID對應的密鑰信息��。
較佳地���,所述步驟a執(zhí)行前,該方法進一步包括用戶與BSF通過互鑒權(quán)���,產(chǎn)生共享密鑰Ks后����,BSF給用戶分配針對某個NAF有效的只包括標識號的TID���,并將所分配的TID發(fā)送給用戶;NAF接收到來自用戶的帶有TID信息的業(yè)務應用請求消息時�����,首先判斷該TID是否對本NAF有效,如果是���,再執(zhí)行步驟a�����,否則�����,NAF給用戶提示錯誤信息��;步驟c所述BSF查詢到NAF需要的TID后�,進一步包括BSF首先為所查詢的TID分配有效期限�,然后再給NAF返回包含TID及該TID有效期限信息的成功響應消息;步驟c所述BSF返回的成功響應消息中包括NAF所查詢的TID��、該TID所對應的有效期限以及與該TID對應的密鑰信息�。
較佳地,該方法進一步包括用戶重新到BSF進行初始鑒權(quán)認證成功后�����,將收到BSF為其分配的新TID,同時生成與該新TID相對應的密鑰Ks’����;當NAF收到來自用戶的包含新TID和舊TID的業(yè)務應用請求消息時,將向BSF進行查詢�,得到BSF的成功響應消息后,NAF將在本地保存該用戶的新TID以及與該新TID向?qū)拿荑€信息�,并刪除或禁用NAF上已保存的原有TID及與該TID相對應的密鑰信息。
較佳地����,所述與TID相對應的密鑰信息包括與TID相對應的根密鑰和由該根密鑰衍生的密鑰。
較佳地����,所述有效期限是BSF根據(jù)NAF的標識或名稱以及用戶的描述profile確定的。
較佳地����,所述有效期限是BSF根據(jù)查詢TID信息的NAF的安全級別以及用戶的profile信息確定的。
較佳地����,該方法進一步包括NAF或BSF按照TID的有效期限信息進行計費。
本發(fā)明充分利用TID作為NAF和用戶之間建立信任關系橋梁這一特點,由BSF給TID分配有效期限��,增加了TID的功能�,使NAF能夠?qū)τ脩羲鶓肨ID的有效期限進行檢驗�,進而達到了進一步驗證用戶合法性的目的。應用本發(fā)明�,避免了一個TID針對NAF永久有效的情況,增加了系統(tǒng)的安全性��,減少了用戶TID及該TID對應的密鑰被盜的可能����,而且同時實現(xiàn)了NAF對TID的管理。另外�,將本發(fā)明與計費系統(tǒng)結(jié)合在一起,能夠很容易地對用戶實現(xiàn)計費功能���。
圖1所示為通用鑒權(quán)框架的結(jié)構(gòu)示意圖���;圖2所示為應用通用鑒權(quán)框架進行用戶身份認證的流程圖;圖3所示為應用本發(fā)明的實施例一的驗證用戶合法性的流程圖�;圖4所示為應用本發(fā)明的實施例二的驗證用戶合法性的流程圖;圖5所示為應用本發(fā)明的實施例三的驗證用戶合法性的流程圖��。
具體實施例方式
為使本發(fā)明的技術(shù)方案更加清楚���,下面結(jié)合附圖及具體實施例對本發(fā)明再做進一步的詳細說明�。
本發(fā)明的主要思路是在NAF接受到來自用戶的帶有TID信息的業(yè)務應用請求消息時,判斷NAF本地是否有該TID信息�����,如果有���,則通過判斷用戶應用的TID是否處于預先設定的有效時限內(nèi)��,來判斷該用戶是否合法�,如果該用戶合法����,則NAF與用戶進行正常通信,否則����,NAF提示用戶重新到BSF進行初始鑒權(quán)認證;如果本地沒有該TID信息��,則NAF向BSF發(fā)送包括本NAF標識的查詢TID的消息�����,如果BSF查詢到NAF需要的TID,則向NAF返回包含查詢到的TID及該TID有效期限信息的成功響應消息����,NAF先保存來自BSF的響應消息中的內(nèi)容��,然后與用戶進行正常通信����,如果BSF未查詢到NAF需要的TID,則給NAF返回失敗的響應消息����,并由NAF提示用戶到BSF進行初始鑒權(quán)認證。
下面通過具體實施例對本發(fā)明做進一步詳細說明��。
實施例一BSF為用戶分配對一個以上的NAF同時有效的TID�,且不對該TID加密。
圖3所示為應用本發(fā)明的實施例一的驗證用戶合法性的流程圖��。
步驟301�����,用戶向NAF發(fā)送業(yè)務應用請求消息;步驟302��,NAF收到該消息后�����,通知用戶到BSF進行初始鑒權(quán)���;步驟303�,用戶向BSF發(fā)送鑒權(quán)請求消息���;步驟304����,BSF接收到用戶的鑒權(quán)請求消息后��,向HSS查詢該用戶的鑒權(quán)信息以及Profile�;步驟305,BSF得到HSS發(fā)送的包含其所查信息的響應消息后�����,應用所查到的信息與用戶進行AKA互鑒權(quán)�,當BSF與用戶完成AKA互鑒權(quán)��,即相互認證了身份后���,BSF與用戶就擁有了共享密鑰Ks;步驟306��,BSF給用戶分配只包括標識號的TID�����,且該TID對一個以上的NAF同時有效����;步驟307���,用戶接收到BSF分配的TID后�����,再次向NAF發(fā)送包含該TID信息的業(yè)務應用請求消息�����;步驟308��,NAF接收到來自用戶的帶有TID信息的業(yè)務應用請求消息時�,首先判斷NAF本地是否有該TID信息,如果NAF本地有該TID信息��,則驗證該TID中的有效時間或有效次數(shù)是否過期����,如果是,則執(zhí)行步驟309�����,否則���,執(zhí)行步驟310��;如果NAF本地沒有該TID信息�����,則NAF向BSF發(fā)送包括本NAF標識的查詢TID的消息�,如果BSF查詢到����,則BSF首先根據(jù)查詢TID信息的NAF的安全級別以及用戶的profile信息����,為所查詢的TID分配有效期限����,該有效期限為一段連續(xù)的有效時間段和/或有限的次數(shù),且該有效期限只針對該進行查詢的NAF有效�,然后BSF再給NAF返回成功的響應消息,NAF將來自BSF的成功響應消息中的內(nèi)容保存后����,執(zhí)行步驟310,如果BSF未查詢到���,則向NAF發(fā)送失敗的響應消息,并執(zhí)行步驟309�;上述成功的響應消息中包括NAF所查詢的TID、該TID所對應的有效期限以及用戶與BSF的共享密鑰Ks���,或根據(jù)該NAF的安全級別由共享密鑰Ks生成的衍生密鑰���;當NAF收到BSF的成功響應消息時,同時和用戶也共享了密鑰Ks或其衍生密鑰�;步驟309�����,由NAF通知用戶到BSF進行鑒權(quán)���,并結(jié)束該處理流程;步驟310�����,NAF與用戶進行正常的通信���,并應用共享密鑰Ks或由該共享密鑰Ks衍生的密鑰對以后的通信進行保護�����。
雖然某個用戶所應用的TID能夠同時對一個以上的NAF有效���,但針對不同的NAF,BSF為其分配的有效期限是不相同的��,也就是說�,同一個TID所對應的不同NAF的有效期限是不同的。
當用戶所應用的TID針對某個NAF到期時��,其將到BSF重新進行互認證,認證成功后�,BSF將為其分配一個新的TID和與該新TID相對應的新共享密鑰Ks’。該用戶無論向哪個NAF再次發(fā)起業(yè)務應用請求時�����,該請求信息中都將同時包含新TID和原有舊TID的信息�����。
當某個NAF收到一個新TID后�����,都會到BSF進行查詢�����,如BSF查詢成功���,則BSF給NAF返回成功的響應消息,該成功的響應消息中同樣包括NAF所查詢的TID�����、該TID所對應的有效期限以及用戶與BSF的共享密鑰Ks’,或根據(jù)該NAF的安全級別由共享密鑰Ks’生成的衍生密鑰����。在NAF收到BSF的成功響應消息時,將保存該成功響應消息中的新TID以及與該TID相關的密鑰信息��,同時NAF將本地保存的舊TID以及與舊TID相關的密鑰信息標為禁用��,或刪除����。
由于用戶所應用的舊TID同時對多個NAF有效,因此�,當該TID所對應的某個NAF到期時,很可能其對于其它的NAF并未到期���。但由于每個收到新TID的NAF都將到BSF進行查詢��,出于對系統(tǒng)安全的考慮���,每個收到新TID的NAF都將用該用戶的新TID以及與該新TID相關的信息替換該用戶原有的舊TID及其相關信息。這樣不但減少了TID管理的復雜性���,同時增強了TID及其對應密鑰的安全性���。
實施例二BSF為用戶分配只針對某個NAF有效的TID�,且該TID是經(jīng)過加密的����。為用戶分配與只針對某個NAF有效的TID的方法已在本申請人同一日遞交的發(fā)明名稱為“一種分配會話事務標識的方法”的發(fā)明專利中,給出詳細描述�����;圖4所示為應用本發(fā)明的實施例二的驗證用戶合法性的流程圖�。
步驟401,用戶向NAF發(fā)送業(yè)務應用請求消息���;步驟402����,NAF收到該消息后����,通知用戶到BSF進行初始鑒權(quán);步驟403,用戶向BSF發(fā)送鑒權(quán)請求消息���;步驟404��,BSF接收到用戶的鑒權(quán)請求消息后��,向HSS查詢該用戶的鑒權(quán)信息以及Profile�����;步驟405�����,BSF得到HSS發(fā)送的包含其所查信息的響應消息后��,應用所查到的信息與用戶進行AKA互鑒權(quán)��,當BSF與用戶完成AKA互鑒權(quán)��,即相互認證了身份后�,BSF與用戶就擁有了共享密鑰Ks;步驟406����,BSF給用戶分配只針對某個NAF有效的標識號���,然后根據(jù)該NAF的標識或名稱以及該用戶的profile信息�����,給該用戶的這個標識分配有效期限,該有效期限為一段連續(xù)的有效時間段和/或有限的次數(shù)�����,應用預先設置的BSF和NAF的共享密鑰Knb���,為針對某個NAF有效的標識號和針對該標識號的有效期限進行加密�����,并將加密后的信息作為TID�����,發(fā)送給用戶����;由于用戶沒有BSF與NAF的共享密鑰Knb�����,因此,用戶不能對TID中的有效期限進行改動�����;步驟407���,用戶收到BSF分配的TID后�,重新向NAF發(fā)送業(yè)務應用請求消息�,該請求消息中包含經(jīng)過加密的TID信息;步驟408����,NAF接收到用戶發(fā)送的包含TID信息的業(yè)務應用請求消息時,首先判斷NAF本地是否有該TID信息�,如果NAF本地有該TID信息,則NAF應用其與BSF的共享密鑰Knb對該TID進行解密�����,并驗證該TID中的有效時間或有效次數(shù)是否過期�����,如果是,則執(zhí)行步驟409�,否則,執(zhí)行步驟410�;如果NAF本地沒有該TID信息,則NAF首先應用其與BSF的共享密鑰Knb對該TID進行解密����,然后判斷該TID對本NAF是否有效���,具體的判斷方法已在本申請人同一日遞交的發(fā)明名稱為“一種分配會話事務標識的方法”的發(fā)明專利中給出詳細描述��,如果是���,則NAF向BSF發(fā)送包括本地NAF標識的查詢TID的消息,否則�����,NAF給用戶提示錯誤信息�����;如果BSF查詢到��,則給NAF返回成功的響應消息,該成功的響應消息中包括NAF所查詢的TID以及該TID所對應用戶與BSF的共享密鑰Ks�����,或由該共享密鑰Ks生成的衍生密鑰�,在NAF收到BSF的成功響應消息時。其也和用戶也共享了密鑰Ks或其衍生密鑰��;NAF將來自BSF的成功響應消息中的內(nèi)容保存后����,執(zhí)行步驟410,如果BSF未查詢到����,則向NAF發(fā)送失敗的響應消息,并執(zhí)行步驟409�����;步驟409��,由NAF通知用戶到BSF進行鑒權(quán)�����,并結(jié)束該處理流程;步驟410��,NAF與用戶進行正常的通信���,并應用共享密鑰Ks或由該共享密鑰Ks衍生的密鑰對以后的通信進行保護���。
當用戶所應用的TID針對某個NAF到期時,其將到BSF重新進行互認證���,認證成功后,BSF將為其分配一個新的TID和與該新TID相對應的新共享密鑰Ks’���。該用戶再次向NAF發(fā)起業(yè)務應用請求時����,該請求信息中都將同時包含新TID和原有舊TID的信息��。
當某個NAF收到一個新TID后��,都會到BSF進行查詢�����,如BSF查詢成功,則給NAF返回成功的響應消息����,該成功的響應消息中同樣包括NAF所查詢的TID、以及該TID所對應的用戶與BSF的共享密鑰Ks’�,或由共享密鑰Ks’生成的衍生密鑰。在NAF收到BSF的成功響應消息時����,也就和用戶共享了密鑰Ks’或其衍生密鑰,此時����,NAF將保存該新的TID以及與該TID相關的密鑰信息,同時將本地保存的舊TID以及與舊TID相關的密鑰信息標為禁用�,或刪除。
實施例三BSF為用戶分配只針對某個NAF有效的TID���,且不對該TID加密��。
圖5所示為應用本發(fā)明的實施例三的驗證用戶合法性的流程圖����。
步驟501,用戶向NAF發(fā)送業(yè)務應用請求消息��;步驟502�����,NAF收到該消息后��,通知用戶到BSF進行初始鑒權(quán)��;步驟503����,用戶向BSF發(fā)送鑒權(quán)請求消息;步驟504�����,BSF接收到用戶的鑒權(quán)請求消息后����,向HSS查詢該用戶的鑒權(quán)信息以及Profile�;步驟505,BSF得到HSS發(fā)送的包含其所查信息的響應消息后���,應用所查到的信息與用戶進行AKA互鑒權(quán)���,當BSF與用戶完成AKA互鑒權(quán)��,即相互認證了身份后�,BSF與用戶就擁有了共享密鑰Ks�����;步驟506��,BSF給用戶分配只針對某個NAF有效的標識號��,并將該標識號作為TID����,然后根據(jù)該NAF的標識或名稱以及該用戶的profile信息,給該用戶的TID分配有效期限���,并保存�,該有效期限為一段連續(xù)的有效時間段和/或有限的次數(shù)�,已分配的TID發(fā)送給用戶;步驟507��,用戶接收到BSF分配的TID后,再次向NAF發(fā)送包含該TID信息的業(yè)務應用請求消息�����;步驟508��,NAF接受到來自用戶的帶有TID信息的業(yè)務應用請求消息時�����,首先判斷該TID對本NAF是否有效��,如果無效��,則NAF給用戶提示錯誤信息����,如果有效,則NAF再判斷本地是否有該TID信息��,如果NAF本地有該TID信息���,則驗證該TID中的有效時間或有效次數(shù)是否過期,如果是��,則執(zhí)行步驟509,否則����,執(zhí)行步驟510;如果NAF本地沒有該TID信息�����,則NAF向BSF發(fā)送包括本地NAF標識的查詢TID的消息��,如果BSF查詢到����,則給NAF返回成功的響應消息,該成功的響應消息中包括NAF所查詢的TID�����、該TID所對應的有效期限以及該TID所對應的用戶與BSF的共享密鑰Ks�,或由該共享密鑰Ks生成的衍生密鑰,在NAF接收到來自BSF的成功響應消息時����,也就和用戶也共享了密鑰Ks或其衍生密鑰;NAF將來自BSF的成功響應消息中的內(nèi)容保存后�����,執(zhí)行步驟510,如果BSF未查詢到��,則向NAF發(fā)送失敗的響應消息�,通知NAF沒有該用戶的信息,并執(zhí)行步驟509���;步驟509�����,由NAF通知用戶到BSF進行鑒權(quán)��,并結(jié)束該處理流程�����;步驟510�����,NAF與用戶進行正常的通信���,并應用共享密鑰Ks或由該共享密鑰Ks衍生的密鑰對以后的通信進行保護。
當用戶所應用的TID針對某個NAF到期時���,其將到BSF重新進行互認證�����,認證成功后�����,BSF將為其分配一個新的TID和與該新TID相對應的新共享密鑰Ks’��。該用戶再次向NAF發(fā)起業(yè)務應用請求時��,該請求信息中都將同時包含新TID和原有舊TID的信息���。
當某個NAF收到一個新TID后,都會到BSF進行查詢����,如BSF查詢成功,則BSF給NAF返回成功的響應消息����,該成功的響應消息中同樣包括NAF所查詢的TID���、該TID所對應的有效期限以及用戶與BSF的共享密鑰Ks’,或由共享密鑰Ks’生成的衍生密鑰�����。在NAF收到BSF的成功響應消息時��,也就和用戶共享了密鑰Ks’或其衍生密鑰���,此時�����,NAF將保存該新的TID以及與該TID相關的密鑰信息�����,同時將本地保存的舊TID以及與舊TID相關的密鑰信息標為禁用����,或刪除��。
在第三個較佳實施例中�����,當BSF為用戶分配TID時,可以先不分配該TID所對應的有效期限���,在NAF向其查詢TID時,根據(jù)NAF的標識及用戶的profile信息��,再給該TID分配有效期限�����。
TID的有效使期限可以和計費結(jié)合在一起��。如果計費單元以天來計算�,則一個TID可以是一個計費單元,每分配一個新的TID就可以計一天的費����。如果按使用次數(shù)計費,那么給TID分配了多少使用次數(shù)就可以給該TID計多少費�����。該計費功能可以在BSF分配TID時實現(xiàn)���,也可以在NAF使用TID時實現(xiàn)�����。
以上所述僅為本發(fā)明的較佳實施例而已�����,并不用以限制本發(fā)明��,凡在本發(fā)明的精神和原則之內(nèi)�����,所作的任何修改�、等同替換、改進等���,均應包含在本發(fā)明的保護范圍之內(nèi)��。
權(quán)利要求
1.一種驗證用戶合法性的方法��,適用于網(wǎng)絡應用實體NAF應用通用鑒權(quán)框架對用戶進行身份驗證的第三代無線通信領域中����,其特征在于,該方法包括以下步驟a��、NAF接收到來自用戶的帶有會話事務標識TID信息的業(yè)務應用請求消息時�,判斷NAF本地是否有該TID信息,如果有�����,則執(zhí)行步驟b���,否則執(zhí)行步驟c;b���、通過判斷用戶應用的TID是否處于預先設定的有效時限內(nèi)�����,來判斷該用戶是否合法����,如果該用戶合法�����,則NAF與用戶進行正常通信,否則���,NAF提示用戶重新到執(zhí)行用戶身份初始檢查驗證實體BSF進行初始鑒權(quán)認證���;c、NAF向BSF發(fā)送包括本NAF標識的查詢TID的消息�,如果BSF查詢到NAF需要的TID,則向NAF返回包含查詢到的TID及該TID有效期限信息的成功響應消息�,NAF先保存來自BSF的響應消息中的內(nèi)容,然后與用戶進行正常通信����,如果BSF未查詢到NAF需要的TID,則給NAF返回失敗的響應消息�,并由NAF提示用戶到BSF進行初始鑒權(quán)認證。
2.根據(jù)權(quán)利要求1所述的方法����,其特征在于,所述步驟a執(zhí)行前����,該方法進一步包括用戶與BSF通過互鑒權(quán)�����,產(chǎn)生用戶與BSF的共享密鑰Ks后�����,BSF給用戶分配對NAF有效的且只包括標識號的TID�,用戶接收到BSF分配的TID后����,向NAF發(fā)送包含該TID信息的業(yè)務應用請求消息,然后執(zhí)行步驟a�;步驟c所述BSF查詢到NAF需要的TID時���,進一步包括BSF首先為所查詢的TID分配有效期限�����,然后再給NAF返回包含TID及該TID有效期限信息的成功響應消息�;步驟c所述BSF返回的成功響應消息中包括NAF所查詢的TID����、該TID對應的有效期限以及與該TID對應的密鑰信息。
3.根據(jù)權(quán)利要求1所述的方法,其特征在于��,所述步驟a執(zhí)行前��,該方法進一步包括預先設定BSF與NAF的共享密鑰Knb�;用戶與BSF通過互鑒權(quán),產(chǎn)生共享密鑰Ks后����,BSF給用戶分配只針對某個NAF有效的標識號,以及應用該標識號的有效期限�,應用其與NAF的共享密鑰Knb為所分配的標識號以及該標識號的有效期限進行加密,將加密后的信息作為TID發(fā)送給用戶�;用戶接收到BSF分配的TID后,向NAF發(fā)送包含該TID信息的業(yè)務應用請求消息�,然后執(zhí)行步驟a;所述步驟b執(zhí)行前�����,進一步包括NAF首先應用其與BSF的共享密鑰Knb�,對接收到的TID進行解密,然后再執(zhí)行步驟b��;所述步驟c執(zhí)行前�����,進一步包括NAF首先應用其與BSF的共享密鑰Knb,對接收到的TID進行解密�����,然后判斷該TID是否對本NAF有效��,如果是�����,再執(zhí)行步驟c���,否則����,NAF給用戶提示錯誤信息��;步驟c所述BSF返回的成功響應消息中包括NAF所查詢的TID以及與該TID對應的密鑰信息�。
4.根據(jù)權(quán)利要求1所述的方法��,其特征在于��,所述步驟a執(zhí)行前,該方法進一步包括用戶與BSF通過互鑒權(quán)���,產(chǎn)生共享密鑰Ks后��,BSF給用戶分配針對某個NAF有效的只包括標識號的TID和該TID所對應的有效期限��,并保存���,然后將所分配的TID發(fā)送給用戶;NAF接收到來自用戶的帶有TID信息的業(yè)務應用請求消息時���,首先判斷該TID是否對本NAF有效����,如果是�,再執(zhí)行步驟a,否則����,NAF給用戶提示錯誤信息;步驟c所述BSF返回的成功響應消息中包括NAF所查詢的TID�����、該TID所對應的有效期限以及與該TID對應的密鑰信息。
5.根據(jù)權(quán)利要求1所述的方法��,其特征在于���,所述步驟a執(zhí)行前����,該方法進一步包括用戶與BSF通過互鑒權(quán)�����,產(chǎn)生共享密鑰Ks后��,BSF給用戶分配針對某個NAF有效的只包括標識號的TID��,并將所分配的TID發(fā)送給用戶���;NAF接收到來自用戶的帶有TID信息的業(yè)務應用請求消息時��,首先判斷該TID是否對本NAF有效��,如果是,再執(zhí)行步驟a��,否則,NAF給用戶提示錯誤信息��;步驟c所述BSF查詢到NAF需要的TID后���,進一步包括BSF首先為所查詢的TID分配有效期限��,然后再給NAF返回包含TID及該TID有效期限信息的成功響應消息���;步驟c所述BSF返回的成功響應消息中包括NAF所查詢的TID、該TID所對應的有效期限以及與該TID對應的密鑰信息���。
6.根據(jù)權(quán)利要求1~5所述的方法���,其特征在于,該方法進一步包括用戶重新到BSF進行初始鑒權(quán)認證成功后����,將收到BSF為其分配的新TID,同時生成與該新TID相對應的密鑰Ks’���;當NAF收到來自用戶的包含新TID和舊TID的業(yè)務應用請求消息時�����,將向BSF進行查詢��,得到BSF的成功響應消息后���,NAF將在本地保存該用戶的新TID以及與該新TID向?qū)拿荑€信息���,并刪除或禁用NAF上已保存的原有TID及與該TID相對應的密鑰信息。
7.根據(jù)權(quán)利要求6所述的方法��,其特征在于����,所述與TID相對應的密鑰信息包括與TID相對應的根密鑰和由該根密鑰衍生的密鑰。
8.根據(jù)權(quán)利要求3或4所述的方法�����,其特征在于��,所述有效期限是BSF根據(jù)NAF的標識或名稱以及用戶的描述profile確定的���。
9.根據(jù)權(quán)利要求2或5所述的方法����,其特征在于���,所述有效期限是BSF根據(jù)查詢TID信息的NAF的安全級別以及用戶的profile信息確定的����。
10.根據(jù)權(quán)利要求1所述的方法�����,其特征在于���,該方法進一步包括NAF或BSF按照TID的有效期限信息進行計費�����。
全文摘要
本發(fā)明提供了一種驗證用戶合法性的方法�����,充分利用TID作為NAF和用戶之間建立信任關系橋梁這一特點�,由BSF給TID分配有效期限����,增加了TID的功能����,使NAF能夠?qū)τ脩羲鶓肨ID的有效期限進行檢驗���,進而達到了進一步驗證用戶合法性的目的�。應用本發(fā)明��,避免了一個TID針對NAF永久有效的情況�,增加了系統(tǒng)的安全性,減少了因用戶TID及相應密鑰被盜帶來的危險��,而且同時實現(xiàn)了NAF對TID的管理�。另外,將本發(fā)明與計費系統(tǒng)結(jié)合在一起��,能夠很容易地對用戶實現(xiàn)計費功能����。
文檔編號H04L29/06GK1614903SQ200310113230
公開日2005年5月11日 申請日期2003年11月7日 優(yōu)先權(quán)日2003年11月7日
發(fā)明者黃迎新 申請人:華為技術(shù)有限公司