CN1265676C - 一种实现漫游用户使用拜访网络内业务的方法 - Google Patents
一种实现漫游用户使用拜访网络内业务的方法 Download PDFInfo
- Publication number
- CN1265676C CN1265676C CNB2004100305171A CN200410030517A CN1265676C CN 1265676 C CN1265676 C CN 1265676C CN B2004100305171 A CNB2004100305171 A CN B2004100305171A CN 200410030517 A CN200410030517 A CN 200410030517A CN 1265676 C CN1265676 C CN 1265676C
- Authority
- CN
- China
- Prior art keywords
- tid
- user
- roamer
- visited network
- bsf
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
- 238000000034 method Methods 0.000 title claims abstract description 35
- 238000007689 inspection Methods 0.000 claims description 3
- 230000000875 corresponding effect Effects 0.000 description 23
- 238000010586 diagram Methods 0.000 description 6
- 230000005540 biological transmission Effects 0.000 description 5
- 230000006854 communication Effects 0.000 description 5
- 238000013475 authorization Methods 0.000 description 4
- 238000004891 communication Methods 0.000 description 4
- 230000002596 correlated effect Effects 0.000 description 3
- 238000012795 verification Methods 0.000 description 3
- 238000005266 casting Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 125000006239 protecting group Chemical group 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000003672 processing method Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/06—Selective distribution of broadcast services, e.g. multimedia broadcast multicast service [MBMS]; Services to user groups; One-way selective calling services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/18—Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
- H04W8/20—Transfer of user or subscriber data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/04—Large scale networks; Deep hierarchical networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供了一种实现漫游用户使用拜访网络内业务的方法,当拜访网络中的业务服务器接收到来自漫游用户的业务请求后,通过本网络的BSF,或本网络的通用鉴权框架代理,或本网络内的AAA服务器以及该漫游用户所属归属网络内的AAA服务器,利用归属网络的通用鉴权框架的鉴权结果,建立拜访网络业务服务器和漫游用户之间的信任关系;从而实现了漫游用户经过归属网络内的通用鉴权框架鉴权后使用其所在拜访网络内的业务。
Description
技术领域
本发明涉及第三代无线通信技术领域,特别是指一种实现漫游用户使用拜访网络内业务的方法。
背景技术
在第三代无线通信标准中,通用鉴权框架是多种应用业务实体使用的一个用于完成对用户身份进行验证的通用结构,应用通用鉴权框架可实现对应用业务的用户进行检查和验证身份。上述多种应用业务可以是多播/广播业务、用户证书业务、信息即时提供业务等,也可以是代理业务,例如多个服务和一个代理相连,通用鉴权框架把代理也当作一种业务来处理,组织结构可以很灵活,而且,对于以后新开发的业务也同样可以应用通用鉴权框架对应用业务的用户进行检查和验证身份。
图1所示为通用鉴权框架的结构示意图。通用鉴权框架通常由用户101、执行用户身份初始检查验证的实体(BSF)102、用户归属网络服务器(HSS)103和网络应用实体(NAF)104组成。BSF 102用于与用户101进行互验证身份,同时生成BSF 102与用户101的共享密钥;HSS 103中存储用于描述用户信息的描述(Profile)文件,同时HSS 103还兼有产生鉴权信息的功能。
用户需要使用某种业务时,如果其知道该业务需要到BSF进行互鉴权过程,则直接到BSF进行互鉴权,否则,用户会首先和该业务对应的NAF联系,如果该NAF使用通用鉴权框架,并且发现发出请求的用户还未到BSF进行互认证过程,则通知发出请求的用户到BSF进行身份验证。
用户与BSF之间的互认证过程是:BSF接到来自用户的鉴权请求后,首先到HSS获取该用户的鉴权信息,根据所获取的鉴权信息与用户之间执行鉴权和密钥协商协议(AKA)进行互鉴权。认证成功后,用户和BSF之间互相认证了身份并且同时生成了共享密钥Ks。之后,BSF分配一个会话事务标识(TID)给用户,该TID是与Ks相关联的。
用户收到这个TID后,重新向NAF发出连接请求,且请求消息中携带了该TID。NAF收到请求后,先在本地查询是否有用户携带的该TID,如果NAF不能在本地查询到该TID,则向BSF进行查询。BSF查询到该TID后,将该TID以及该TID对应密钥信息包含在发送给NAF的成功响应消息中。NAF收到来自BSF的成功响应消息后,即认为该用户是经过BSF认证的合法用户,同时NAF和用户也共享了密钥Ks或由Ks衍生的密钥。此时,NAF与该用户在密钥Ks或由Ks衍生的密钥的保护下进行正常的通信。如果BSF不能在本地查询到该TID,则通知NAF没有该用户的信息,此时,NAF将通知用户到BSF进行认证鉴权。
下面以多播/广播业务(MBMS)为例,具体说明通用鉴权框架的用法。在无线通信领域中,多播业务是一种一点到多点的单向承载业务,数据是由一个源实体,传送到多个接收实体。在某一区域内的已订阅多播业务的用户,能够接收多播业务的服务。在多播业务中需要防止没有订阅或未付费的用户享受多播业务,因此在多播业务的群组中,针对某个具体业务都设置一个多播服务密钥(MSK)密钥,MSK只有群组内的用户和提供多播的业务的服务器知道,而群组外的用户无权知道这个密钥。多播业务服务器使用多播业务密钥(MTK)对业务数据信息进行加密,群组内的用户收到业务数据信息后使用相同的共享多播业务密钥MTK解密,从而获得业务数据信息的内容,而群组外用户因为没有这个共享密钥,所以不能获取多播信息内容。共享的MSK并不直接加密该MBMS业务的数据,它用来做接入控制,产生MTK或对MTK进行加密。
用户应用MBMS时,首先要经过通用鉴权框架的鉴权,即应用通用鉴权框架中的BSF代替MBMS的服务器对用户进行鉴权,而MBMS中的多播/广播服务器(BM-SC)则相当于通用鉴权框架中的NAF。BSF对用户进行鉴权后,BSF与用户了共享密钥Ks,并且BSF给该用户分配了TID,然后用户使用TID向BM-SC发出业务请求,BM-SC收到用户包含TID的请求后,向BSF进行查询,BSF查到该用户的信息后,返回密钥Ks或Ks衍生的密钥。这样BM-SC与用户也就共享了密钥Ks或由Ks衍生的密钥,该密钥为MBMS业务中的多播用户密钥(MUK),用来保护BM-SC到用户之间点到点的群组共享密钥MSK。也就是说,此时,用户与BM-SC之间建立了信任关系(security association),即用户相信它所连接的服务器是真实而且合法的服务器,而不是由其它设备假冒的服务器,同时业务服务器也相信请求业务的用户是一个合法用户,而不是一个攻击者。
在现有技术中,通用鉴权框架只考虑了在本网络中的使用问题,没有考虑如何使处于漫游状态的用户使用其归属网络中的通用鉴权框架。
在实际应用中,应用通用鉴权框架进行鉴权的用户处于漫游状态时,通常需要使用拜访网络的某些业务,例如漫游用户需要了解当地新闻、天气、交通等信息。由于现有技术没有考虑在拜访网络中如何使用归属网络的通用鉴权框架,因此将导致漫游的通用鉴权框架用户不能应用通用鉴权框架与拜访网络的业务服务器建立信任关系,从而使得漫游的通用鉴权框架用户不能使用拜访网络中的业务。
发明内容
有鉴于此,本发明的目的在于提供一种实现漫游用户使用拜访网络内业务的方法,使漫游用户和拜访网络的业务服务器能够通过该用户所属归属网络内的通用鉴权框架建立信任关系,从而能够正常使用拜访网络提供的业务。
为达到上述目的,本发明的技术方案是这样实现的:
一种实现漫游用户使用拜访网络内业务的方法,漫游用户与其所属归属网络内的通用鉴权框架中的执行用户身份初始检查验证实体BSF完成互鉴权,获得BSF为其分配的会话事务标识TID,该方法还包括以下步骤:
拜访网络内的业务服务器接收到来自漫游用户的包含TID的业务请求消息后,根据所述TID获取该漫游用户的用户信息,建立起拜访网络内业务服务器和漫游用户之间的信任关系,实现漫游用户使用拜访网络内业务。
较佳地,根据所述TID获取该漫游用户的用户信息,建立起拜访网络业务内服务器和漫游用户之间的信任关系的过程包括以下步骤:
a、拜访网络内的业务服务器直接向本网络内的BSF或通用鉴权框架代理发送查询该TID所对应的用户是否合法的消息;
b、接收到步骤a所述查询消息的BSF或通用鉴权框架代理,直接向归属网络内的BSF发送查询与该TID所对应的用户是否合法的消息;
c、归属网络内的BSF在本地检测到与该TID对应的用户信息后,给拜访网络内的BSF或通用鉴权框架代理返回与该TID对应的用户信息;
d、拜访网络内的业务服务器接收到本网络内的BSF或通用鉴权框架代理返回的与该TID对应的用户信息后,建立起与该漫游用户之间的信任关系。
较佳地,所述通用鉴权框架代理是一个独立的服务器,或与本网络内的AAA服务器合设的服务器,或与本网络内的业务服务器合设的服务器。
较佳地,根据所述TID获取该漫游用户的用户信息,建立起拜访网络内业务服务器和漫游用户之间的信任关系的过程包括以下步骤:
a、拜访网络内的业务服务器直接向本网络内AAA服务器发送查询该TID所对应的用户是否合法的消息,
b、接收到步骤a所述查询消息的AAA服务器根据该消息中的TID确认该用户所属归属网络后,直接向该漫游用户所属归属网络内的AAA服务器发送查询该TID所对应的用户是否合法的消息;
c、归属网络内的AAA服务器直接向本网络中的BSF进行查询,BSF在本地检测到与该TID对应的用户信息后,通过本网络中的AAA服务器和拜访网络中的AAA服务器给拜访网络中的业务服务器返回与该TID对应的用户信息;
d、拜访网络内的业务服务器接收到来自本网络的AAA服务器的与该TID对应的用户信息后,建立起与该漫游用户之间的信任关系。
较佳地,所述与该TID对应的用户信息至少包括密钥信息和用户的身份标识。
较佳地,所述与该TID对应的用户信息还包括与安全相关的profile信息。
应用本发明,当拜访网络内的业务服务器接收到来自漫游用户的包含TID信息的业务请求消息后,根据该漫游用户所属归属网络的通用鉴权框架鉴权结果,建立拜访网络业务服务器和漫游用户之间的信任关系,从而实现了漫游用户通过该用户所属归属网络内的通用鉴权框架使用拜访网络内的业务。由于本发明使得漫游用户在使用拜访网络业务时,仍然可以使用本网通用鉴权框架的鉴权结果,因而充分利用了现有网络结构,节省了资源。本发明增加了一种用户使用拜访网络业务的途径,使得拜访网络能够最大限度的为用户提供业务。另外,即使拜访网络内的业务服务器完全不认识TID标识,漫游用户也可以应用其所属网络的通用鉴权框架完成鉴权过程,从而减少了由AAA服务器进行鉴权时因序列号(SQN)失步造成的鉴权失败的情况。
附图说明
图1所示为通用鉴权框架的结构示意图;
图2所示为应用本发明实施例一的示意图;
图3所示为应用本发明实施例二的示意图;
图4所示为应用本发明实施例三的示意图。
具体实施方式
为使本发明的技术方案更加清楚,下面结合附图及具体实施例再对本发明做进一步地详细说明。
本发明的思路是:拜访网络中的业务服务器接收到来自漫游用户的业务请求后,通过本网络的BSF,或本网络的通用鉴权框架代理,或本网络内的AAA服务器以及该漫游用户所属归属网络内的AAA服务器,利用归属网络的通用鉴权框架的鉴权结果,建立拜访网络业务服务器和漫游用户之间的信任关系;从而实现了漫游用户经过归属网络内的通用鉴权框架鉴权后使用其所在拜访网络内的业务。
为了更好地说明漫游用户如何使用归属网络中的通用鉴权框架,下面首先说明几种可能存在的情况。
对于漫游用户而言,其可能需要使用归属网络中的业务,也可能需要使用拜访网络中的业务。
当漫游用户使用归属网络中的业务时,由于网络间都是IP连接,因而漫游用户可通过应用层直接与归属网络中的业务服务器进行通信,并可以直接使用归属网络中的通用鉴权框架。这与现有技术使用方法完全相同。
下面具体说明漫游用户使用拜访网络内业务的情况。
对于漫游用户所在的拜访网络而言,其可能存在以下四种情况:
1)该用户所在的拜访网络支持通用鉴权框架。
2)该用户所在的拜访网络不支持通用鉴权框架,但支持通用鉴权框架代理。在这种情况下,拜访网络内可能存在一个单独的支持通用鉴权框架代理的服务器,但在实际应用中,通常将该服务器与其它实体合设,例如将支持通用鉴权框架代理的服务器与AAA合设,由AAA实现支持通用鉴权框架代理的功能,即由AAA实现对TID分析和路由功能;拜访网络内也可能不存在支持通用鉴权框架代理的单独的服务器,而是拜访网络中的各个服务器均支持通用鉴权框架代理功能,即由每个实际的业务服务器实现对TID分析和路由功能(由于1)和2)的处理方法很类似,在下面以一个实施例加以说明)。
3)该用户所在的拜访网络不支持通用鉴权框架,也不支持通用鉴权框架代理,且拜访网络中的业务服务器不对TID进行鉴别,也不对TID进行处理,仅把TID标识看作是一种用户身份标识,并将该标识直接传递给本网络中的AAA服务器,请求AAA服务器进行鉴权。
4)该用户所在的拜访网络不支持通用鉴权框架,也不支持通用鉴权框架代理,且拜访网络中的业务服务器对自身接收到的标识进行鉴别,但由于在拜访网络中根本没有通用鉴权框架的概念,所以业务服务器不认识TID标识,因此它要求用户使用自己的永久身份标识,如国际移动用户识别码(IMSI)等。
下面以漫游用户应用其所在拜访网络中的MBMS业务为例,具体说明其实现应用拜访网络内业务的方法,其中BM-SC为MBMS业务的业务服务器。
图2所示为应用本发明实施例一的示意图。业务服务器通过直接查询该漫游用户在所属归属网络的通用鉴权框架鉴权结果,与漫游用户之间建立信任关系的步骤如下:
步骤201,漫游用户与归属网络内通用鉴权框架中的BSF执行AKA互鉴权,鉴权通过后,得到了BSF分配的TID,且此时漫游用户与归属网络内的BSF共享了密钥Ks;
步骤202,漫游用户向拜访网络的BM-SC发送包含TID信息的业务请求消息;
步骤203,如果拜访网络支持通用鉴权框架,则BM-SC向本网络内的BSF发送查询与该TID相对应的用户信息,以判断该用户是否通过鉴权,即判断该用户是否合法;
如果拜访网络仅支持通用鉴权框架代理功能,且支持通用鉴权框架代理功能由一个单独的服务器实现,该则BM-SC向本网络内实现通用鉴权框架代理的服务器发送查询与该TID对应的用户信息;
如果拜访网络仅支持通用鉴权框架代理,且是每个业务服务器自己支持通用鉴权框架代理的功能,则BM-SC同样查询与该TID对应的用户信息,只是该查询是在该业务服务器的内部接口中实现;
步骤204,拜访网络内的BSF或通用鉴权框架代理,根据接收到的TID标识判断该漫游用户所属的归属网络;
步骤205,拜访网络内的BSF或通用鉴权框架代理向漫游用户所属归属网络内的BSF查询与该TID对应的用户信息,即查询该用户是否合法;
步骤206,归属网络的BSF检索到与该TID对应的用户信息后,根据本地运营商的策略进行处理,该处理可以是直接发送与TID对应的密钥Ks给请求者,或对密钥Ks进行密钥衍生,将衍生的密钥发送给请求者,同时设定所发送密钥的有效期限;
步骤207,归属网络的BSF返回与与该TID对应的用户信息给拜访网络的BSF或通用鉴权框架代理;上述与该TID对应的用户信息包括密钥信息、用户的身份标识,和与安全相关的profile信息,其中,密钥信息和用户的身份标识是必选项,密钥信息用于保证用户与BM-SC之间进行正常的通信,用户的身份标识用于计费,如果拜访网络不能确定用户的真实身份,在其与归属网络进行网间结算时将出现问题;与安全相关的profile信息是可选项;
步骤208,拜访网络的BSF或通用鉴权框架代理将TID的相关信息返回给BM-SC,BM-SC收到与该TID对应的用户信息后,即建立了与漫游用户之间的信任关系,也就是认为该请求用户合法,同时,BM-SC也和UE共享了Ks或由Ks衍生的密钥,该密钥作为MBMS业务的MUK,用于保护群组共享密钥MSK的点到点保密传送;
步骤209,BM-SC发确认消息给该用户,并和该用户进行MBMS业务内部密钥分发,业务发送等相关的业务过程。
至此,漫游用户实现了使用归属网络中的通用鉴权框架应用拜访网络中的业务。上述方法适用于漫游用户所在拜访网络支持通用鉴权框架,或支持通用鉴权框架代理的情况。
图3所示为应用本发明实施例二的示意图。业务服务器通过直接查询该漫游用户在所属归属网络的通用鉴权框架鉴权结果,与漫游用户之间建立信任关系的步骤如下:
步骤301,漫游用户与归属网络内通用鉴权框架中的BSF执行AKA互鉴权,鉴权通过后,得到了BSF分配的TID,且此时漫游用户与归属网络内的BSF共享了密钥Ks;
步骤302,漫游用户向拜访网络的BM-SC发送包含TID信息的业务请求消息;
步骤303,拜访网络的BM-SC不检查该用户的身份是否合法,而是直接将该TID作为用户身份标识,向本网络内的AAA服务器发出查询请求,即请求本网络的AAA对该用户进行鉴权,即判断该用户是否合法;
步骤304,拜访网络的AAA服务器根据TID标识的格式(TID的标识格式为用户标识@域名),判断出用户所属的归属网络;
步骤305,拜访网络的AAA服务器向该漫游用户所属归属网络内的AAA服务器发出查询TID的请求,即请求归属网络内的AAA服务器对该用户进行鉴权;
步骤306,归属网络内的AAA服务器收到查询TID的消息后,由于其知道TID标识是由本网的通用鉴权框架中的BSF分配的,因此其向BSF进行查询;BSF和AAA服务器在某些执行功能上是类似的,所以BSF也可能是由网络中的某个AAA服务器来兼任,在这种情况下,BSF和AAA服务器之间的消息是内部接口消息;
步骤307,归属网络的BSF检索到与该TID对应的用户信息后,根据本地运营商的策略进行处理,该处理可以是直接发送与TID对应的密钥Ks给请求者,或对密钥Ks进行密钥衍生,将衍生的密钥发送给请求者,同时设定所发送密钥的有效期限;
步骤308,归属网络的BSF返回与与该TID对应的用户信息给本网络的AAA服务器;上述与该TID对应的用户信息包括密钥信息、用户的身份标识,和与安全相关的profile信息,其中,密钥信息和用户的身份标识是必选项,密钥信息用于保证用户与BM-SC之间进行正常的通信,用户的身份标识用于计费,如果拜访网络不能确定用户的真实身份,在其与归属网络进行网间结算时将出现问题;安全相关的profile信息是可选项;
步骤309,归属网络的AAA服务器返回与与该TID对应的用户信息给拜访网络内的AAA服务器;拜访网络内的AAA服务器接收到归属网络的AAA服务器返回的消息后,即认为归属网络已经对用户进行了鉴权,该查询返回消息相当于授权消息;
步骤310,拜访网络的AAA服务器将与该TID对应的用户信息返回给BM-SC,BM-SC收到TID相关信息后,即建立了与漫游用户之间的信任关系,也就是认为该请求用户合法,同时,BM-SC也和UE共享了Ks或由Ks衍生的密钥,该密钥作为MBMS业务的MUK,用于保护群组共享密钥MSK的点到点保密传送;
步骤311,BM-SC发确认消息给该用户,并和该用户进行MBMS业务内部密钥分发,业务发送等相关的业务过程。
至此,漫游用户实现了使用归属网络中的通用鉴权框架应用拜访网络中的业务。上述方法适用于漫游用户所在拜访网络不支持通用鉴权框架,也不支持通用鉴权框架代理,且拜访网络中的业务服务器不鉴别TID标识,只是将其作为一种用户身份标识,传递给本网络中的AAA服务器,请求AAA服务器对该用户进行鉴权的情况。
图4所示为应用本发明实施例三的示意图。业务服务器通过与该漫游用户所属归属网络的通用鉴权框架实施鉴权过程,获取鉴权结果,根据该鉴权结果与漫游用户之间建立信任关系的步骤如下:
步骤401,漫游用户与归属网络内通用鉴权框架中的BSF执行AKA互鉴权,鉴权通过后,得到了BSF分配的TID,且此时漫游用户与归属网络内的BSF共享了密钥Ks;
步骤402,漫游用户向拜访网络的BM-SC发送包含TID信息的业务请求消息;
步骤403,由于BM-SC不能识别TID标识,因此BM-SC通知漫游用户该标识非法,并提示用户使用永久身份标识,如IMSI等;
步骤404,漫游用户向BM-SC发送包含永久身份标识的业务请求;
步骤405,拜访网络的BM-SC向本网络内的AAA服务器发出鉴权请求;
步骤406,拜访网络的AAA服务器根据用户的身份标识判断出用户的归属网络,然后向该漫游用户所属归属网络内的AAA服务器发出鉴权请求;
步骤407,归属网络内的AAA服务器请求本网络内的通用鉴权框架中的BSF进行鉴权,这是因为:虽然AAA服务器本身具有鉴权计费功能,且在地位上是与BSF相同的,但在实际应用中,不同的AAA服务器在对用户进行鉴权时,容易出现因序列号(SQN)失步而导致鉴权失败的情况,出现的具体原因在现有已公布的文章中有描述,所以对通用鉴权框架支持的业务采用通用鉴权框架对用户进行鉴权,以保证鉴权的成功率;
步骤408,归属网络内BSF与用户完成AKA的鉴权过程,该鉴权过程中的消息在逻辑上是经过拜访网络的BM-SC,拜访网络的AAA,归属网络的AAA转发的;
步骤409,鉴权成功后,归属网络内的BSF给拜访网络的BM-SC返回鉴权成功消息,因为归属网络内的BSF已经知道鉴权请求是来自哪个具体的业务服务器,因此,归属网络内的BSF直接将用户的密钥资料等信息包含在鉴权成功和授权的消息中,如果归属网络内的BSF在鉴权的同时给用户分配了TID,则该TID也可以包括在授权消息中通知给BM-SC服务器;
步骤410,归属网络内的AAA服务器向拜访网络内的AAA服务器转发该鉴权成功的消息;
步骤411,拜访网络的AAA服务器转发鉴权成功和授权消息给BM-SC,即BM-SC建立了与漫游用户之间的信任关系;虽然BM-SC不能够识别TID标识,但它仍然可以在后面的通信中使用TID,这时TID将作为一种临时身份标识使用,其使用的方法与现有临时身份标识的使用方法相同;
步骤412,BM-SC收到鉴权成功和授权消息后,发确认消息给该用户,并和该用户进行MBMS业务内部密钥分发,业务发送等相关的业务过程。至于BM-SC和用户在后续的通信过程中使用哪种用户身份标识,根据拜访网络运营商的策略而定。
至此,漫游用户实现了使用归属网络中的通用鉴权框架应用拜访网络中的业务。上述方法适用于该用户所在的拜访网络不支持通用鉴权框架,也不支持通用鉴权框架代理,且拜访网络中的业务服务器对用户请求消息中的标识进行鉴别,但因为在拜访网络中根本没有通用鉴权框架的概念,所以业务服务器不能识别TID标识,因此业务服务器要求用户使用自己的永久身份标识的情况。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (6)
1、一种实现漫游用户使用拜访网络内业务的方法,漫游用户与其所属归属网络内的通用鉴权框架中的执行用户身份初始检查验证实体BSF完成互鉴权,获得BSF为其分配的会话事务标识TID,其特征在于,该方法还包括以下步骤:
拜访网络内的业务服务器接收到来自漫游用户的包含TID的业务请求消息后,根据所述TID获取该漫游用户的用户信息,建立起拜访网络内业务服务器和漫游用户之间的信任关系,实现漫游用户使用拜访网络内业务。
2、根据权利要求1所述的方法,其特征在于,根据所述TID获取该漫游用户的用户信息,建立起拜访网络业务内服务器和漫游用户之间的信任关系的过程包括以下步骤:
a、拜访网络内的业务服务器直接向本网络内的BSF或通用鉴权框架代理发送查询该TID所对应的用户是否合法的消息;
b、接收到步骤a所述查询消息的BSF或通用鉴权框架代理,直接向归属网络内的BSF发送查询与该TID所对应的用户是否合法的消息;
c、归属网络内的BSF在本地检测到与该TID对应的用户信息后,给拜访网络内的BSF或通用鉴权框架代理返回与该TID对应的用户信息;
d、拜访网络内的业务服务器接收到本网络内的BSF或通用鉴权框架代理返回的与该TID对应的用户信息后,建立起与该漫游用户之间的信任关系。
3、根据权利要求2所述的方法,其特征在于,所述通用鉴权框架代理是一个独立的服务器,或与本网络内的AAA服务器合设的服务器,或与本网络内的业务服务器合设的服务器。
4、根据权利要求1所述的方法,其特征在于,根据所述TID获取该漫游用户的用户信息,建立起拜访网络内业务服务器和漫游用户之间的信任关系的过程包括以下步骤:
a、拜访网络内的业务服务器直接向本网络内AAA服务器发送查询该TID所对应的用户是否合法的消息,
b、接收到步骤a所述查询消息的AAA服务器根据该消息中的TID确认该用户所属归属网络后,直接向该漫游用户所属归属网络内的AAA服务器发送查询该TID所对应的用户是否合法的消息;
c、归属网络内的AAA服务器直接向本网络中的BSF进行查询,BSF在本地检测到与该TID对应的用户信息后,通过本网络中的AAA服务器和拜访网络中的AAA服务器给拜访网络中的业务服务器返回与该TID对应的用户信息;
d、拜访网络内的业务服务器接收到来自本网络的AAA服务器的与该TID对应的用户信息后,建立起与该漫游用户之间的信任关系。
5、根据权利要求2或4所述的方法,其特征在于,所述与该TID对应的用户信息至少包括密钥信息和用户的身份标识。
6、根据权利要求5所述的方法,其特征在于,所述与该TID对应的用户信息还包括与安全相关的profile信息。
Priority Applications (6)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2004100305171A CN1265676C (zh) | 2004-04-02 | 2004-04-02 | 一种实现漫游用户使用拜访网络内业务的方法 |
| AT05738199T ATE456268T1 (de) | 2004-04-02 | 2005-03-24 | Verfahren zum aufbauen einer sicherheitsbeziehung zwischen einem roaming-teilnehmer und dem server des festnetzes |
| US10/591,065 US8275355B2 (en) | 2004-04-02 | 2005-03-24 | Method for roaming user to establish security association with visited network application server |
| EP05738199A EP1713289B1 (en) | 2004-04-02 | 2005-03-24 | A method for establishing security association between the roaming subscriber and the server of the visited network |
| DE602005019028T DE602005019028D1 (de) | 2004-04-02 | 2005-03-24 | Verfahren zum aufbauen einer Sicherheitsbeziehung zwischen einem Roaming-Teilnehmer und dem Server des Festnetzes |
| PCT/CN2005/000376 WO2005096644A1 (fr) | 2004-04-02 | 2005-03-24 | Procede d'etablissement d'une association de securite entre l'abonne itinerant et le serveur du reseau visite |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2004100305171A CN1265676C (zh) | 2004-04-02 | 2004-04-02 | 一种实现漫游用户使用拜访网络内业务的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1649435A CN1649435A (zh) | 2005-08-03 |
| CN1265676C true CN1265676C (zh) | 2006-07-19 |
Family
ID=34868495
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2004100305171A Expired - Lifetime CN1265676C (zh) | 2004-04-02 | 2004-04-02 | 一种实现漫游用户使用拜访网络内业务的方法 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US8275355B2 (zh) |
| EP (1) | EP1713289B1 (zh) |
| CN (1) | CN1265676C (zh) |
| AT (1) | ATE456268T1 (zh) |
| DE (1) | DE602005019028D1 (zh) |
| WO (1) | WO2005096644A1 (zh) |
Families Citing this family (30)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4335874B2 (ja) * | 2003-06-18 | 2009-09-30 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | 移動体ネットワークにおけるオンラインでの課金 |
| US8526914B2 (en) * | 2004-06-04 | 2013-09-03 | Alcatel Lucent | Self-synchronizing authentication and key agreement protocol |
| US8046824B2 (en) * | 2005-04-11 | 2011-10-25 | Nokia Corporation | Generic key-decision mechanism for GAA |
| US7831237B2 (en) | 2006-02-03 | 2010-11-09 | Broadcom Corporation | Authenticating mobile network provider equipment |
| US8818360B2 (en) * | 2006-03-15 | 2014-08-26 | Tekelec Global, Inc. | Methods, systems and computer program products for integrating roaming control in a signaling message routing node |
| US8522025B2 (en) * | 2006-03-28 | 2013-08-27 | Nokia Corporation | Authenticating an application |
| CN101094439B (zh) * | 2006-06-23 | 2011-05-04 | 华为技术有限公司 | 无线通信***中为广播业务动态分配资源的方法及装置 |
| DE102006054091B4 (de) * | 2006-11-16 | 2008-09-11 | Siemens Ag | Bootstrapping-Verfahren |
| CN101043264B (zh) * | 2007-04-17 | 2010-05-26 | 华为技术有限公司 | 建立移动网络隧道的方法、移动网络及中继节点 |
| CN101675677B (zh) * | 2007-05-15 | 2013-02-20 | 诺基亚公司 | 用于密钥更新的方法、装置、*** |
| CN101312592B (zh) * | 2007-05-25 | 2012-02-08 | 中兴通讯股份有限公司 | 私有基站的接入控制方法 |
| US8613058B2 (en) * | 2007-05-31 | 2013-12-17 | At&T Intellectual Property I, L.P. | Systems, methods and computer program products for providing additional authentication beyond user equipment authentication in an IMS network |
| FI122163B (fi) * | 2007-11-27 | 2011-09-15 | Teliasonera Ab | Verkkopääsyautentikointi |
| EP2235911A4 (en) * | 2008-01-22 | 2012-08-08 | Ericsson Telefon Ab L M | SECURITY GUIDELINES FOR COMMUNICATION TERMINALS |
| CN102869120B (zh) * | 2008-06-13 | 2016-01-27 | 上海华为技术有限公司 | 一种数据通讯方法及通讯***以及相关装置 |
| CN101616407B (zh) * | 2008-06-25 | 2011-04-27 | 华为技术有限公司 | 预认证的方法和认证*** |
| US20100197272A1 (en) * | 2009-02-03 | 2010-08-05 | Jeyhan Karaoguz | Multiple Network, Shared Access Security Architecture Supporting Simultaneous Use Of Single SIM Multi-Radio Device And/Or Phone |
| EP2425644B1 (en) * | 2009-05-01 | 2017-11-22 | Nokia Technologies Oy | Systems, methods, and apparatuses for facilitating authorization of a roaming mobile terminal |
| FR2973637A1 (fr) * | 2011-03-31 | 2012-10-05 | France Telecom | Mise en place d'une association de securite de type gba pour un terminal dans un reseau de telecommunications mobiles |
| WO2013164803A1 (en) * | 2012-05-03 | 2013-11-07 | Telefonaktiebolaget L M Ericsson (Publ) | Centralized key management in embms |
| FR2992811A1 (fr) * | 2012-07-02 | 2014-01-03 | France Telecom | Mise en place d'une association de securite lors de l'attachement d'un terminal a un reseau d'acces |
| US9686280B2 (en) * | 2013-07-01 | 2017-06-20 | Telefonaktiebolaget Lm Ericsson (Publ) | User consent for generic bootstrapping architecture |
| US9167410B1 (en) * | 2013-12-20 | 2015-10-20 | Sprint Communications Company L.P. | Policy-based roaming control for wireless communication devices |
| EP3284232B1 (en) | 2015-04-13 | 2021-06-09 | Telefonaktiebolaget LM Ericsson (publ) | Wireless communications |
| CN106211085B (zh) * | 2015-04-30 | 2020-02-11 | ***通信集团公司 | 一种业务管理方法、终端设备、网络设备及*** |
| EP3425550B1 (en) * | 2016-03-30 | 2020-09-30 | Huawei Technologies Co., Ltd. | Transaction method, transaction information processing method, transaction terminal and server |
| CN113923659B (zh) | 2016-09-12 | 2024-02-23 | 中兴通讯股份有限公司 | 入网认证方法及装置 |
| CN107820234B (zh) * | 2016-09-14 | 2021-02-23 | 华为技术有限公司 | 一种网络漫游保护方法、相关设备及*** |
| JP7262390B2 (ja) | 2017-02-07 | 2023-04-21 | ウォロッケット ソリューションズ リミテッド ライアビリティ カンパニー | 信頼できないネットワークを用いたインタワーキング機能 |
| CN113873520A (zh) * | 2020-06-30 | 2021-12-31 | 华为技术有限公司 | 一种通信方法、终端设备和无线接入网设备 |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100363944B1 (ko) | 1999-08-16 | 2002-12-11 | 한국전자통신연구원 | 상이한 규격의 이동통신 시스템간의 글로벌 로밍을 위한 인증 시스템 및 그 인증 방법 |
| US6526033B1 (en) * | 1999-09-17 | 2003-02-25 | Lucent Technologies Inc. | Delivering calls to GSM subscribers roaming to CDMA networks via IP tunnels |
| NO313980B1 (no) | 2001-02-08 | 2003-01-06 | Ericsson Telefon Ab L M | Fremgangsmåte og modul for mobil e-handel |
| US6879690B2 (en) * | 2001-02-21 | 2005-04-12 | Nokia Corporation | Method and system for delegation of security procedures to a visited domain |
| KR100383552B1 (ko) | 2001-05-12 | 2003-05-12 | 에스케이 텔레콤주식회사 | 복수개의 착신 인식자를 가진 차세대 이동 통신망 가입단말기의 착신 방법 |
| US7231521B2 (en) * | 2001-07-05 | 2007-06-12 | Lucent Technologies Inc. | Scheme for authentication and dynamic key exchange |
| US7213144B2 (en) | 2001-08-08 | 2007-05-01 | Nokia Corporation | Efficient security association establishment negotiation technique |
| KR20030025751A (ko) | 2001-09-24 | 2003-03-29 | 주식회사 머큐리 | 이동 가입자의 로밍 서비스 지원 시스템 및 그 방법 |
| AU2002356669A1 (en) | 2001-12-21 | 2003-07-09 | Motorola Inc | A terminal-based service identification mechanism |
| US20040205212A1 (en) * | 2003-03-31 | 2004-10-14 | Nokia Corporation | Method and system for forwarding a service-related information to a network user |
| GB0326265D0 (en) * | 2003-11-11 | 2003-12-17 | Nokia Corp | Shared secret usage for bootstrapping |
-
2004
- 2004-04-02 CN CNB2004100305171A patent/CN1265676C/zh not_active Expired - Lifetime
-
2005
- 2005-03-24 WO PCT/CN2005/000376 patent/WO2005096644A1/zh active Application Filing
- 2005-03-24 DE DE602005019028T patent/DE602005019028D1/de active Active
- 2005-03-24 US US10/591,065 patent/US8275355B2/en active Active
- 2005-03-24 AT AT05738199T patent/ATE456268T1/de not_active IP Right Cessation
- 2005-03-24 EP EP05738199A patent/EP1713289B1/en not_active Not-in-force
Also Published As
| Publication number | Publication date |
|---|---|
| ATE456268T1 (de) | 2010-02-15 |
| DE602005019028D1 (de) | 2010-03-11 |
| EP1713289A4 (en) | 2007-04-11 |
| CN1649435A (zh) | 2005-08-03 |
| EP1713289B1 (en) | 2010-01-20 |
| US20080160959A1 (en) | 2008-07-03 |
| EP1713289A1 (en) | 2006-10-18 |
| US8275355B2 (en) | 2012-09-25 |
| WO2005096644A1 (fr) | 2005-10-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1265676C (zh) | 一种实现漫游用户使用拜访网络内业务的方法 | |
| CN1203689C (zh) | 处理有关经蜂窝网连接到分组数据网的终端的位置信息的方法 | |
| CN1186906C (zh) | 无线局域网安全接入控制方法 | |
| US7461248B2 (en) | Authentication and authorization in heterogeneous networks | |
| US8477945B2 (en) | Method and server for providing a mobile key | |
| EP1705828B1 (en) | A method of obtaining the user identification for the network application entity | |
| CN1764107A (zh) | 在建立对等安全上下文时验证移动网络节点的方法 | |
| CN1636378A (zh) | 移动因特网协议中的寻址机制 | |
| CN1315268C (zh) | 一种验证用户合法性的方法 | |
| CN1977514A (zh) | 用户鉴权 | |
| CN1659922A (zh) | 用于询问-应答用户鉴权的方法和*** | |
| CN1689369A (zh) | 用于经由接入网建立连接的方法和*** | |
| EP3107258A1 (en) | Security key management in ims-based multimedia broadcast and multicast services (mbms) | |
| EP1713204A1 (en) | A method for managing the user equipment accessed to the network by using the generic authentication architecture | |
| CN1835436A (zh) | 一种通用鉴权框架及一种实现鉴权的方法 | |
| KR100779963B1 (ko) | 사용자 장치로부터의 위치 정보에 대한 요청을 처리하는방법 | |
| CN1914848A (zh) | 用于网络元件的密钥管理 | |
| CN1929371A (zh) | 用户和***设备协商共享密钥的方法 | |
| CN1941695B (zh) | 初始接入网络过程的密钥生成和分发的方法及*** | |
| CN1610319A (zh) | 无线局域网中选定业务的解析接入处理方法 | |
| CN101039181A (zh) | 防止通用鉴权框架中服务功能实体受攻击的方法 | |
| CN1795656A (zh) | 移动通信***中的安全通信改向 | |
| CN1905734A (zh) | 一种目标基站获取鉴权密钥的方法及*** | |
| CN101031133B (zh) | 一种确定移动节点归属的家乡代理的方法及装置 | |
| CN101079786A (zh) | 互连***、互连***中的认证方法和终端 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| EE01 | Entry into force of recordation of patent licensing contract |
Application publication date: 20050803 Assignee: APPLE Inc. Assignor: HUAWEI TECHNOLOGIES Co.,Ltd. Contract record no.: 2015990000755 Denomination of invention: Method for realizing roaming user to visit network inner service Granted publication date: 20060719 License type: Common License Record date: 20150827 |
|
| LICC | Enforcement, change and cancellation of record of contracts on the licence for exploitation of a patent or utility model | ||
| CP01 | Change in the name or title of a patent holder |
Address after: Espoo, Finland Patentee after: NOKIA TECHNOLOGIES OY Address before: Espoo, Finland Patentee before: Nokia Technologies |
|
| CP01 | Change in the name or title of a patent holder | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20190319 Address after: Espoo, Finland Patentee after: Nokia Technologies Address before: 518129 Bantian HUAWEI headquarters office building, Longgang District, Guangdong, Shenzhen Patentee before: HUAWEI TECHNOLOGIES Co.,Ltd. |
|
| TR01 | Transfer of patent right | ||
| CX01 | Expiry of patent term |
Granted publication date: 20060719 |
|
| CX01 | Expiry of patent term |