專利名稱：應用通用鑒權(quán)框架對接入拜訪網(wǎng)絡的用戶實現(xiàn)管理的方法
技術(shù)領域：
本發(fā)明涉及第三代無線通信技術(shù)領域，特別是指一種應用通用鑒權(quán)框架對接入拜訪網(wǎng)絡的用戶實現(xiàn)管理的方法。
背景技術(shù)：
在第三代無線通信標準中，通用鑒權(quán)框架是多種應用業(yè)務實體使用的一個用于完成對用戶身份進行驗證的通用結(jié)構(gòu)，應用通用鑒權(quán)框架可實現(xiàn)對應用業(yè)務的用戶進行檢查和驗證身份。上述多種應用業(yè)務可以是多播/廣播業(yè)務、用戶證書業(yè)務、信息即時提供業(yè)務等，也可以是代理業(yè)務。
圖1所示為通用鑒權(quán)框架的結(jié)構(gòu)示意圖。通用鑒權(quán)框架通常由用戶101、執(zhí)行用戶身份初始檢查驗證的實體(BSF)102、用戶歸屬網(wǎng)絡服務器(HSS)103和網(wǎng)絡業(yè)務應用實體(NAF)104組成。BSF 102用于與用戶101進行互驗證身份，同時生成BSF 102與用戶101的共享密鑰；HSS 103中存儲用于描述用戶信息的描述(Profile)文件，同時HSS 103還兼有產(chǎn)生鑒權(quán)信息的功能。
用戶需要使用某種業(yè)務時，如果其知道該業(yè)務需要到BSF進行互鑒權(quán)過程，則直接到BSF進行互鑒權(quán)，否則，用戶會首先和該業(yè)務對應的NAF聯(lián)系，如果該NAF使用通用鑒權(quán)框架，并且發(fā)現(xiàn)發(fā)出請求的用戶還未到BSF進行互認證過程，則通知發(fā)出請求的用戶到BSF進行身份驗證。
用戶與BSF之間的互認證過程是BSF接到來自用戶的鑒權(quán)請求后，首先到HSS獲取該用戶的鑒權(quán)信息，根據(jù)所獲取的鑒權(quán)信息與用戶之間執(zhí)行鑒權(quán)和密鑰協(xié)商協(xié)議(AKA)進行互鑒權(quán)。認證成功后，用戶和BSF之間互相認證了身份并且同時生成了共享密鑰Ks。之后，BSF分配一個會話事務標識(TID)給用戶，該TID是與Ks相關聯(lián)的。
用戶收到這個TID后，重新向NAF發(fā)出連接請求，且請求消息中攜帶了該TID，同時用戶側(cè)根據(jù)Ks計算出衍生密鑰Ks_NAF。NAF收到請求后，先在本地查詢是否有用戶攜帶的該TID，如果NAF不能在本地查詢到該TID，則向BSF進行查詢，該請求查詢消息中攜帶了NAF標識和TID。如果BSF不能在本地查詢到該TID，則通知NAF沒有該用戶的信息，此時，NAF將通知用戶到BSF進行認證鑒權(quán)。BSF查詢到該TID后，使用與用戶側(cè)相同的算法計算密鑰Ks的衍生密鑰Ks_NAF，然后給NAF發(fā)送成功的響應消息，該成功的響應中包括NAF所需的TID，與該TID對應的衍生密鑰Ks_NAF，以及BSF為該密鑰設置的有效期限。NAF收到BSF的成功響應消息后，就認為該用戶是經(jīng)過BSF認證的合法用戶，同時NAF和用戶也共享了由Ks衍生的密鑰Ks_NAF。NAF和用戶在后面的通信過程中通過Ks_NAF來進行通信保護。
圖2所述為用戶使用拜訪網(wǎng)絡業(yè)務時通用鑒權(quán)框架結(jié)構(gòu)示意圖。該通用鑒權(quán)框架的結(jié)構(gòu)與圖1所示結(jié)構(gòu)很相似，其區(qū)別在于增設了一個鑒權(quán)代理邏輯實體(D-Proxy)105，該D-Proxy 105可以是拜訪網(wǎng)絡的BSF也可以是拜訪網(wǎng)絡內(nèi)專設的一個代理服務器，拜訪網(wǎng)絡內(nèi)的NAF都與D-Proxy相連，而不是直接與歸屬網(wǎng)絡的BSF相連。歸屬網(wǎng)絡與拜訪網(wǎng)絡之間通過網(wǎng)絡相連。用戶在使用拜訪網(wǎng)絡本地的業(yè)務時仍然要到歸屬網(wǎng)絡內(nèi)的BSF進行鑒權(quán)。其鑒權(quán)過程與在用戶在歸屬網(wǎng)絡時的鑒權(quán)過程相同。
用戶與其所屬歸屬網(wǎng)絡內(nèi)的BSF完成互鑒權(quán)，并且取得了TID及相關的密鑰信息后，該用戶就可以向拜訪網(wǎng)絡內(nèi)的NAF發(fā)出包含TID的業(yè)務請求，拜訪網(wǎng)絡內(nèi)的NAF接收到該請求后向D-proxy發(fā)送包含該TID標識的請求查詢消息，D-Proxy對發(fā)出請求的NAF的身份認證成功后，根據(jù)用戶的TID標識獲取該用戶所屬的歸屬網(wǎng)絡的信息，將該查詢請求轉(zhuǎn)發(fā)至歸屬網(wǎng)絡的BSF，該轉(zhuǎn)發(fā)的消息中包含TID信息，以便用于BSF計算Ks_NAF，同時該轉(zhuǎn)發(fā)的消息還需聲明該NAF是經(jīng)過認證的可信的NAF。歸屬網(wǎng)絡內(nèi)的BSF接到請求信息，并查找到TID后，向D-Proxy返回成功的響應消息，該成功的響應消息中包含TID以及與該TID對應的密鑰Ks_NAF等信息。D-Proxy將接收到信息轉(zhuǎn)發(fā)給發(fā)出請求的NAF。用戶與NAF之間在密鑰Ks_NAF的保護下進行安全的業(yè)務通信。
對于傳統(tǒng)業(yè)務而言，拜訪網(wǎng)絡和歸屬網(wǎng)絡之間存在網(wǎng)間協(xié)議，只要用戶使用拜訪網(wǎng)絡內(nèi)的業(yè)務，都由歸屬網(wǎng)絡向拜訪網(wǎng)絡的運營者提供網(wǎng)間的結(jié)算費用。
對于使用通用鑒權(quán)框架的用戶而言，現(xiàn)有只規(guī)定了用戶如何使用通用鑒權(quán)框架，而沒有規(guī)定通用鑒權(quán)框架如何對接入并使用拜訪網(wǎng)絡業(yè)務的用戶實現(xiàn)管理的方法，即現(xiàn)有的歸屬網(wǎng)絡不能實現(xiàn)對用戶使用拜訪網(wǎng)絡業(yè)務情況的控制。

發(fā)明內(nèi)容
有鑒于此，本發(fā)明的目的在于提供一種應用通用鑒權(quán)框架對接入拜訪網(wǎng)絡的用戶實現(xiàn)管理的方法，以實現(xiàn)歸屬網(wǎng)絡對用戶使用拜訪網(wǎng)絡業(yè)務情況的控制。
為達到上述目的，本發(fā)明的技術(shù)方案是這樣實現(xiàn)的一種應用通用鑒權(quán)框架對接入拜訪網(wǎng)絡的用戶實現(xiàn)管理的方法，該方法包括以下步驟a、拜訪網(wǎng)絡內(nèi)的業(yè)務應用實體NAF接收到來自某歸屬網(wǎng)絡內(nèi)的用戶發(fā)出的包含會話事務標識TID的業(yè)務請求后，向本網(wǎng)絡內(nèi)的鑒權(quán)代理邏輯實體D-Proxy發(fā)送查詢TID請求，D-Proxy將該請求消息中插入本拜訪網(wǎng)絡標識，并轉(zhuǎn)發(fā)該查詢請求消息至能夠提供查詢信息的網(wǎng)絡實體；b、能夠提供查詢信息的網(wǎng)絡實體接收到步驟a所述查詢請求后，判斷該用戶是否有權(quán)使用拜訪網(wǎng)絡中的業(yè)務，如果是，則給D-Proxy返回包含其所需信息的成功的查詢響應消息，由D-Proxy將該成功的查詢響應消息轉(zhuǎn)發(fā)給NAF，該NAF與用戶之間實現(xiàn)通信，否則，給D-Proxy返回失敗的查詢響應消息，由D-Proxy通知NAF拒絕該用戶接入。
較佳地，步驟b所述判斷用戶是否有權(quán)使用拜訪網(wǎng)絡中的業(yè)務的依據(jù)為，判斷該用戶所屬歸屬網(wǎng)絡與本拜訪網(wǎng)絡間是否有網(wǎng)絡間的業(yè)務協(xié)議，且該業(yè)務協(xié)議中是否包括該用戶申請應用的拜訪網(wǎng)絡的業(yè)務，同時還需判斷該用戶是否有權(quán)限使用該業(yè)務，如果上述條件都為是，則該用戶有權(quán)使用拜訪網(wǎng)絡中的業(yè)務，否則，該用戶無權(quán)使用拜訪網(wǎng)絡中的業(yè)務。
較佳地，步驟a所述D-Proxy轉(zhuǎn)發(fā)該查詢請求消之前，進一步包括，D-Proxy判斷該用戶是否能夠使用本網(wǎng)絡中的業(yè)務，如果是，則D-Proxy再轉(zhuǎn)發(fā)該消息至能夠提供查詢信息的網(wǎng)絡實體，否則D-Proxy直接給NAF回復拒絕該用戶接入的消息。
較佳地，所述D-Proxy直接給NAF回復的拒絕該用戶接入的消息中包括拒絕的原因值。
較佳地，D-Proxy判斷該用戶是否能夠使用本網(wǎng)絡中的業(yè)務的依據(jù)為，D-Proxy判斷本網(wǎng)絡與用戶所屬歸屬網(wǎng)絡之間是否有網(wǎng)絡間的業(yè)務協(xié)議，如果是，則該用戶能夠使用本網(wǎng)絡中的業(yè)務，否則，該用戶不能使用本網(wǎng)絡中的業(yè)務。
較佳地，D-Proxy判斷出本網(wǎng)絡與用戶所屬歸屬網(wǎng)絡之間有網(wǎng)絡間的業(yè)務協(xié)議后，進一步包括判斷用戶當前所請求的NAF當前是否能夠為該用戶提供服務，如果是，則該用戶能夠使用本網(wǎng)絡中的業(yè)務，否則，該用戶不能使用本網(wǎng)絡中的業(yè)務。
較佳地，步驟b所述能夠提供查詢信息的網(wǎng)絡實體給D-Proxy返回失敗的查詢響應消息中包含失敗原因值。
較佳地，步驟a所述能夠提供查詢信息的網(wǎng)絡實體為用戶所屬歸屬網(wǎng)絡內(nèi)的執(zhí)行用戶身份初始檢查驗證的實體BSF，或用戶所屬歸屬網(wǎng)絡內(nèi)的BSF與連接于歸屬網(wǎng)絡和拜訪網(wǎng)絡之間的網(wǎng)關實體構(gòu)成的邏輯實體。
本發(fā)明關鍵是由能夠提供查詢信息的網(wǎng)絡實體接收到來自D-Proxy查詢請求后，判斷請求接入的用戶是否有權(quán)使用拜訪網(wǎng)絡中的業(yè)務，如果是，則給D-Proxy返回包含其所需信息的成功的查詢響應消息，由D-Proxy將該成功的查詢響應消息轉(zhuǎn)發(fā)給NAF，該NAF與用戶之間實現(xiàn)通信，否則，給D-Proxy返回失敗的查詢響應消息，由D-Proxy通知NAF拒絕該用戶接入。
應用本發(fā)明，實現(xiàn)了應用通用鑒權(quán)框架對接入拜訪網(wǎng)絡的用戶的管理，使歸屬網(wǎng)絡對用戶使用拜訪網(wǎng)絡業(yè)務的情況實現(xiàn)了控制，避免了無權(quán)用戶或在沒有網(wǎng)間業(yè)務協(xié)議的情況下用戶使用拜訪網(wǎng)絡業(yè)務的情況。同時，由于在返回的失敗消息中攜帶了失敗原因值，因而在用戶接收到失敗通知后，根據(jù)失敗原因值就知道該采取何種操作，避免了各種無用的嘗試而浪費網(wǎng)絡資源。另外，應用本發(fā)明，拜訪網(wǎng)絡也能夠檢查是否允許該用戶使用該網(wǎng)絡的業(yè)務，使拜訪網(wǎng)絡能夠?qū)ψ约旱臉I(yè)務進行更好的控制和管理。


圖1所示為通用鑒權(quán)框架的結(jié)構(gòu)示意圖；圖2所述為用戶使用拜訪網(wǎng)絡業(yè)務時通用鑒權(quán)框架結(jié)構(gòu)示意圖；圖3所示為應用本發(fā)明一實施例的流程示意圖。
具體實施例方式
為使本發(fā)明的技術(shù)方案更加清楚，下面結(jié)合附圖再對本發(fā)明做進一步地詳細說明。
本發(fā)明的思路是由能夠提供查詢信息的網(wǎng)絡實體判斷發(fā)起業(yè)務請求的用戶所屬歸屬網(wǎng)絡與該拜訪網(wǎng)絡間是否有權(quán)使用拜訪網(wǎng)絡中的業(yè)務，如果是，則該能夠提供查詢信息的網(wǎng)絡實體為向其進行查詢的D-Proxy提供其所需的信息，否則拒絕為其提供所需的信息。D-Proxy將獲得的查詢成功或失敗的信息轉(zhuǎn)發(fā)給NAF，如果NAF得到成功的信息，則與該用戶實現(xiàn)通信，否則拒絕與該用戶實現(xiàn)通信。從而對應用通用鑒權(quán)框架對接入拜訪網(wǎng)絡的用戶實現(xiàn)管理。
圖3所示為應用本發(fā)明一實施例的流程示意圖。圖中BSFh表示歸屬網(wǎng)絡內(nèi)的BSF，NAFv表示是拜訪網(wǎng)絡內(nèi)的網(wǎng)絡業(yè)務應用實體。
步驟301～步驟303，當漫游用戶希望使用某拜訪網(wǎng)絡的內(nèi)的某種業(yè)務時，該用戶首先向其歸屬網(wǎng)絡的BSF發(fā)起鑒權(quán)請求；BSF收到用戶鑒權(quán)請求后，向HSS請求該用戶的鑒權(quán)矢量及相關描述信息；BSF與用戶之間進行互鑒權(quán)成功后，共享了密鑰Ks，同時用戶得到了BSF分配的TID。
步驟304～步驟305，用戶向拜訪網(wǎng)絡內(nèi)的NAF發(fā)送包含TID的業(yè)務請求；拜訪網(wǎng)絡內(nèi)的NAF接收到該用戶的請求后，向本網(wǎng)絡內(nèi)的D-Proxy發(fā)出查詢請求，該請求信息中包括了自身的標識及TID標識。
步驟306，D-Proxy對發(fā)出請求的NAF的身份認證成功后，首先進行是否允許該用戶接入的檢查，以確定是否將該查詢請求轉(zhuǎn)發(fā)給用戶所屬歸屬網(wǎng)絡內(nèi)BSF。
上述檢查包括以下內(nèi)容檢查該用戶所屬歸屬網(wǎng)絡與本網(wǎng)絡之間是否有網(wǎng)絡間的業(yè)務協(xié)議，上述檢查還可包括，檢查用戶所請求的NAF當前是否能夠為該用戶提供服務，例如，該業(yè)務比較特殊，只提供給本網(wǎng)絡內(nèi)的用戶，或者，該NAF當前較忙，只優(yōu)先提供本網(wǎng)絡內(nèi)的用戶使用時，則用戶所請求的NAF當前不能為其提供服務。
如果通過上述檢查，則D-Proxy轉(zhuǎn)發(fā)該消息至用戶所屬歸屬網(wǎng)絡內(nèi)的BSF，該轉(zhuǎn)發(fā)的消息中包含了本拜訪網(wǎng)絡的標識；如果不能通過上述檢查，則D-Proxy不轉(zhuǎn)發(fā)該消息而直接給NAF回復查詢失敗的響應消息。該查詢失敗的響應消息中包含失敗原因值。
步驟307～步驟308，BSF接收到來自D-Proxy的查詢消息后，從該消息中提取出待查詢的TID，拜訪網(wǎng)絡標識及應用業(yè)務的NAF標識，之后，BSF檢查本網(wǎng)絡是否與該拜訪網(wǎng)絡間有業(yè)務協(xié)議，且該業(yè)務協(xié)議中是否包括了該用戶申請應用的拜訪網(wǎng)絡的業(yè)務，并且還需檢查該用戶的描述信息，以確認該用戶是否有權(quán)使用該拜訪網(wǎng)絡的業(yè)務，只有上述檢查都成功后，BSF才根據(jù)查詢到的TID，以及密鑰Ks等信息計算出衍生密鑰Ks-NAF，然后再給D-Proxy回復查詢成功的響應消息，該查詢成功的響應消息中包含查詢到的TID以及與該TID對應的密鑰Ks-NAF。如果上述檢查有一項不成功，則BSF都會向D-Proxy返回包括原因值的失敗消息。其失敗的原因可以是本網(wǎng)絡與該拜訪網(wǎng)絡間沒有相關業(yè)務協(xié)議；或本網(wǎng)絡與該拜訪網(wǎng)絡間有業(yè)務協(xié)議但不包括用戶申請的業(yè)務；或本網(wǎng)絡與該拜訪網(wǎng)絡間有業(yè)務協(xié)議，但用戶無權(quán)使用該業(yè)務；或該用戶的TID無效等，或上述失敗原因的組合。用戶接收到失敗通知后，根據(jù)失敗原因值就知道該采取何種操作，避免了各種無用的嘗試而浪費網(wǎng)絡資源。
上述本網(wǎng)絡和拜訪網(wǎng)絡間的協(xié)議可以預先配置在BSF內(nèi)，也可以由BSF到HSS進行下載。
步驟309～步驟310，D-Proxy將接收到的消息轉(zhuǎn)發(fā)給發(fā)起查詢請求的NAF，如果NAF接收到失敗的響應消息，則通知用戶不能使用該業(yè)務，且該失敗的響應消息值攜帶了失敗原因。如果是成功的響應消息，則用戶和NAF在密鑰Ks_NAF保護下進行業(yè)務通信。
在上述實施例中，BSF是能夠提供查詢信息的網(wǎng)絡實體，當然該能夠提供查詢信息的網(wǎng)絡實體也可以是由用戶歸屬網(wǎng)絡內(nèi)的BSF與網(wǎng)關實體構(gòu)成的邏輯實體，其中，網(wǎng)關實體連接于歸屬網(wǎng)絡與拜訪網(wǎng)絡之間，該網(wǎng)關實體可以是現(xiàn)有實體，也可以是單獨的代理實體。
如果能夠提供查詢信息的網(wǎng)絡實體是由用戶歸屬網(wǎng)絡內(nèi)的BSF與網(wǎng)關實體構(gòu)成的邏輯實體，則在網(wǎng)關實體接收接到來自D-Proxy的查詢消息后，首先檢查用戶所屬歸屬網(wǎng)絡與該拜訪網(wǎng)絡之間是否有網(wǎng)間協(xié)議，然后D-Proxy進一步檢查該用戶是否有權(quán)使用這些業(yè)務等等。在所有檢查通過后D-Proxy將相關的消息轉(zhuǎn)發(fā)給BSF，BSF仍按原有的功能來工作，例如查找TID，產(chǎn)生密鑰資料等。如果在網(wǎng)關實體的檢查沒有通過那么可以直接返回失敗消息給D-Proxy，失敗消息中也同樣包括的原因值。如果需要網(wǎng)關實體實現(xiàn)對用戶的檢查功能，則要預先為該網(wǎng)關實體配置相關信息，如TID和用戶標識等信息，以便網(wǎng)關實體能夠知道用戶的真實身份以便檢索用戶的描述文件信息。應用網(wǎng)關實體來完成檢查功能的好處是，可以適當減輕BSF的負擔。
以上所述僅為本發(fā)明的較佳實施例而已，并不用以限制本發(fā)明，凡在本發(fā)明的精神和原則之內(nèi)，所作的任何修改、等同替換、改進等，均應包含在本發(fā)明的保護范圍之內(nèi)。
權(quán)利要求
1.一種應用通用鑒權(quán)框架對接入拜訪網(wǎng)絡的用戶實現(xiàn)管理的方法，其特征在于，該方法包括以下步驟a、拜訪網(wǎng)絡內(nèi)的業(yè)務應用實體NAF接收到來自某歸屬網(wǎng)絡內(nèi)的用戶發(fā)出的包含會話事務標識TID的業(yè)務請求后，向本網(wǎng)絡內(nèi)的鑒權(quán)代理邏輯實體D-Proxy發(fā)送查詢TID請求，D-Proxy將該請求消息中插入本拜訪網(wǎng)絡標識，并轉(zhuǎn)發(fā)該查詢請求消息至能夠提供查詢信息的網(wǎng)絡實體；b、能夠提供查詢信息的網(wǎng)絡實體接收到步驟a所述查詢請求后，判斷該用戶是否有權(quán)使用拜訪網(wǎng)絡中的業(yè)務，如果是，則給D-Proxy返回包含其所需信息的成功的查詢響應消息，由D-Proxy將該成功的查詢響應消息轉(zhuǎn)發(fā)給NAF，該NAF與用戶之間實現(xiàn)通信，否則，給D-Proxy返回失敗的查詢響應消息，由D-Proxy通知NAF拒絕該用戶接入。
2.根據(jù)權(quán)利要求1所述的方法，其特征在于，步驟b所述判斷用戶是否有權(quán)使用拜訪網(wǎng)絡中的業(yè)務的依據(jù)為，判斷該用戶所屬歸屬網(wǎng)絡與本拜訪網(wǎng)絡間是否有網(wǎng)絡間的業(yè)務協(xié)議，且該業(yè)務協(xié)議中是否包括該用戶申請應用的拜訪網(wǎng)絡的業(yè)務，同時還需判斷該用戶是否有權(quán)限使用該業(yè)務，如果上述條件都為是，則該用戶有權(quán)使用拜訪網(wǎng)絡中的業(yè)務，否則，該用戶無權(quán)使用拜訪網(wǎng)絡中的業(yè)務。
3.根據(jù)權(quán)利要求1所述的方法，其特征在于，步驟a所述D-Proxy轉(zhuǎn)發(fā)該查詢請求消之前，進一步包括，D-Proxy判斷該用戶是否能夠使用本網(wǎng)絡中的業(yè)務，如果是，則D-Proxy再轉(zhuǎn)發(fā)該消息至能夠提供查詢信息的網(wǎng)絡實體，否則D-Proxy直接給NAF回復拒絕該用戶接入的消息。
4根據(jù)權(quán)利要求3所述的方法，其特征在于，所述D-Proxy直接給NAF回復的拒絕該用戶接入的消息中包括拒絕的原因值。
5.根據(jù)權(quán)利要求3所述的方法，其特征在于，D-Proxy判斷該用戶是否能夠使用本網(wǎng)絡中的業(yè)務的依據(jù)為，D-Proxy判斷本網(wǎng)絡與用戶所屬歸屬網(wǎng)絡之間是否有網(wǎng)絡間的業(yè)務協(xié)議，如果是，則該用戶能夠使用本網(wǎng)絡中的業(yè)務，否則，該用戶不能使用本網(wǎng)絡中的業(yè)務。
6.根據(jù)權(quán)利要求5所述的方法，其特征在于，D-Proxy判斷出本網(wǎng)絡與用戶所屬歸屬網(wǎng)絡之間有網(wǎng)絡間的業(yè)務協(xié)議后，進一步包括判斷用戶當前所請求的NAF當前是否能夠為該用戶提供服務，如果是，則該用戶能夠使用本網(wǎng)絡中的業(yè)務，否則，該用戶不能使用本網(wǎng)絡中的業(yè)務。
7.根據(jù)權(quán)利要求1所述的方法，其特征在于，步驟b所述能夠提供查詢信息的網(wǎng)絡實體給D-Proxy返回失敗的查詢響應消息中包含失敗原因值。
8.根據(jù)權(quán)利要求1所述的方法，其特征在于，步驟a所述能夠提供查詢信息的網(wǎng)絡實體為用戶所屬歸屬網(wǎng)絡內(nèi)的執(zhí)行用戶身份初始檢查驗證的實體BSF，或用戶所屬歸屬網(wǎng)絡內(nèi)的BSF與連接于歸屬網(wǎng)絡和拜訪網(wǎng)絡之間的網(wǎng)關實體構(gòu)成的邏輯實體。
全文摘要
本發(fā)明提供了一種應用通用鑒權(quán)框架對接入拜訪網(wǎng)絡的用戶實現(xiàn)管理的方法，其關鍵是，由能夠提供查詢信息的網(wǎng)絡實體接收到來自D－Proxy查詢請求后，判斷請求接入的用戶是否有權(quán)使用拜訪網(wǎng)絡中的業(yè)務，如果是，則給D－Proxy返回包含其所需信息的成功的查詢響應消息，由D－Proxy將該成功的查詢響應消息轉(zhuǎn)發(fā)給NAF，該NAF與用戶之間實現(xiàn)通信，否則，給D－Proxy返回失敗的查詢響應消息，由D－Proxy通知NAF拒絕該用戶接入。應用本發(fā)明，實現(xiàn)了應用通用鑒權(quán)框架對接入拜訪網(wǎng)絡的用戶的管理，使歸屬網(wǎng)絡對用戶使用拜訪網(wǎng)絡業(yè)務的情況實現(xiàn)了控制，避免了無權(quán)用戶或在沒有網(wǎng)間業(yè)務協(xié)議的情況下用戶使用拜訪網(wǎng)絡業(yè)務的情況。
文檔編號H04W12/06GK1717096SQ200410060128
公開日2006年1月4日 申請日期2004年6月28日 優(yōu)先權(quán)日2004年6月28日
發(fā)明者黃迎新 申請人:華為技術(shù)有限公司