应用通用鉴权框架对接入拜访网络的用户实现管理的方法

摘要

本发明提供了一种应用通用鉴权框架对接入拜访网络的用户实现管理的方法，其关键是，由能够提供查询信息的网络实体接收到来自D－Proxy查询请求后，判断请求接入的用户是否有权使用拜访网络中的业务，如果是，则给D－Proxy返回包含其所需信息的成功的查询响应消息，由D－Proxy将该成功的查询响应消息转发给NAF，该NAF与用户之间实现通信，否则，给D－Proxy返回失败的查询响应消息，由D－Proxy通知NAF拒绝该用户接入。应用本发明，实现了应用通用鉴权框架对接入拜访网络的用户的管理，使归属网络对用户使用拜访网络业务的情况实现了控制，避免了无权用户或在没有网间业务协议的情况下用户使用拜访网络业务的情况。

说明书

技术领域

本发明涉及第三代无线通信技术领域，特别是指一种应用通用鉴权框架对接入拜访网络的用户实现管理的方法。

背景技术

在第三代无线通信标准中，通用鉴权框架是多种应用业务实体使用的一个用于完成对用户身份进行验证的通用结构，应用通用鉴权框架可实现对应用业务的用户进行检查和验证身份。上述多种应用业务可以是多播/广播业务、用户证书业务、信息即时提供业务等，也可以是代理业务。

图1所示为通用鉴权框架的结构示意图。通用鉴权框架通常由用户101、执行用户身份初始检查验证的实体(BSF)102、用户归属网络服务器(HSS)103和网络业务应用实体(NAF)104组成。BSF 102用于与用户101进行互验证身份，同时生成BSF 102与用户101的共享密钥；HSS 103中存储用于描述用户信息的描述(Profile)文件，同时HSS 103还兼有产生鉴权信息的功能。

用户需要使用某种业务时，如果其知道该业务需要到BSF进行互鉴权过程，则直接到BSF进行互鉴权，否则，用户会首先和该业务对应的NAF联系，如果该NAF使用通用鉴权框架，并且发现发出请求的用户还未到BSF进行互认证过程，则通知发出请求的用户到BSF进行身份验证。

用户与BSF之间的互认证过程是：BSF接到来自用户的鉴权请求后，首先到HSS获取该用户的鉴权信息，根据所获取的鉴权信息与用户之间执行鉴权和密钥协商协议(AKA)进行互鉴权。认证成功后，用户和BSF之间互相认证了身份并且同时生成了共享密钥Ks。之后，BSF分配一个会话事务标识(TID)给用户，该TID是与Ks相关联的。

用户收到这个TID后，重新向NAF发出连接请求，且请求消息中携带了该TID，同时用户侧根据Ks计算出衍生密钥Ks_NAF。NAF收到请求后，先在本地查询是否有用户携带的该TID，如果NAF不能在本地查询到该TID，则向BSF进行查询，该请求查询消息中携带了NAF标识和TID。如果BSF不能在本地查询到该TID，则通知NAF没有该用户的信息，此时，NAF将通知用户到BSF进行认证鉴权。BSF查询到该TID后，使用与用户侧相同的算法计算密钥Ks的衍生密钥Ks_NAF，然后给NAF发送成功的响应消息，该成功的响应中包括NAF所需的TID，与该TID对应的衍生密钥Ks_NAF，以及BSF为该密钥设置的有效期限。NAF收到BSF的成功响应消息后，就认为该用户是经过BSF认证的合法用户，同时NAF和用户也共享了由Ks衍生的密钥Ks_NAF。NAF和用户在后面的通信过程中通过Ks_NAF来进行通信保护。

图2所述为用户使用拜访网络业务时通用鉴权框架结构示意图。该通用鉴权框架的结构与图1所示结构很相似，其区别在于增设了一个鉴权代理逻辑实体(D-Proxy)105，该D-Proxy 105可以是拜访网络的BSF也可以是拜访网络内专设的一个代理服务器，拜访网络内的NAF都与D-Proxy相连，而不是直接与归属网络的BSF相连。归属网络与拜访网络之间通过网络相连。用户在使用拜访网络本地的业务时仍然要到归属网络内的BSF进行鉴权。其鉴权过程与在用户在归属网络时的鉴权过程相同。

用户与其所属归属网络内的BSF完成互鉴权，并且取得了TID及相关的密钥信息后，该用户就可以向拜访网络内的NAF发出包含TID的业务请求，拜访网络内的NAF接收到该请求后向D-proxy发送包含该TID标识的请求查询消息，D-Proxy对发出请求的NAF的身份认证成功后，根据用户的TID标识获取该用户所属的归属网络的信息，将该查询请求转发至归属网络的BSF，该转发的消息中包含TID信息，以便用于BSF计算Ks_NAF，同时该转发的消息还需声明该NAF是经过认证的可信的NAF。归属网络内的BSF接到请求信息，并查找到TID后，向D-Proxy返回成功的响应消息，该成功的响应消息中包含TID以及与该TID对应的密钥Ks_NAF等信息。D-Proxy将接收到信息转发给发出请求的NAF。用户与NAF之间在密钥Ks_NAF的保护下进行安全的业务通信。

对于传统业务而言，拜访网络和归属网络之间存在网间协议，只要用户使用拜访网络内的业务，都由归属网络向拜访网络的运营者提供网间的结算费用。

对于使用通用鉴权框架的用户而言，现有只规定了用户如何使用通用鉴权框架，而没有规定通用鉴权框架如何对接入并使用拜访网络业务的用户实现管理的方法，即现有的归属网络不能实现对用户使用拜访网络业务情况的控制。

发明内容

有鉴于此，本发明的目的在于提供一种应用通用鉴权框架对接入拜访网络的用户实现管理的方法，以实现归属网络对用户使用拜访网络业务情况的控制。

为达到上述目的，本发明的技术方案是这样实现的：

一种应用通用鉴权框架对接入拜访网络的用户实现管理的方法，该方法包括以下步骤：

a、拜访网络内的业务应用实体NAF接收到来自某归属网络内的用户发出的包含会话事务标识TID的业务请求后，向本网络内的鉴权代理逻辑实体D-Proxy发送查询TID请求，D-Proxy将该请求消息中插入本拜访网络标识，并转发该查询请求消息至能够提供查询信息的网络实体；

b、能够提供查询信息的网络实体接收到步骤a所述查询请求后，判断该用户是否有权使用拜访网络中的业务，如果是，则给D-Proxy返回包含其所需信息的成功的查询响应消息，由D-Proxy将该成功的查询响应消息转发给NAF，该NAF与用户之间实现通信，否则，给D-Proxy返回失败的查询响应消息，由D-Proxy通知NAF拒绝该用户接入。

较佳地，步骤b所述判断用户是否有权使用拜访网络中的业务的依据为，判断该用户所属归属网络与本拜访网络间是否有网络间的业务协议，且该业务协议中是否包括该用户申请应用的拜访网络的业务，同时还需判断该用户是否有权限使用该业务，如果上述条件都为是，则该用户有权使用拜访网络中的业务，否则，该用户无权使用拜访网络中的业务。

较佳地，步骤a所述D-Proxy转发该查询请求消之前，进一步包括，D-Proxy判断该用户是否能够使用本网络中的业务，如果是，则D-Proxy再转发该消息至能够提供查询信息的网络实体，否则D-Proxy直接给NAF回复拒绝该用户接入的消息。

较佳地，所述D-Proxy直接给NAF回复的拒绝该用户接入的消息中包括拒绝的原因值。

较佳地，D-Proxy判断该用户是否能够使用本网络中的业务的依据为，D-Proxy判断本网络与用户所属归属网络之间是否有网络间的业务协议，如果是，则该用户能够使用本网络中的业务，否则，该用户不能使用本网络中的业务。

较佳地，D-Proxy判断出本网络与用户所属归属网络之间有网络间的业务协议后，进一步包括：判断用户当前所请求的NAF当前是否能够为该用户提供服务，如果是，则该用户能够使用本网络中的业务，否则，该用户不能使用本网络中的业务。

较佳地，步骤b所述能够提供查询信息的网络实体给D-Proxy返回失败的查询响应消息中包含失败原因值。

较佳地，步骤a所述能够提供查询信息的网络实体为用户所属归属网络内的执行用户身份初始检查验证的实体BSF，或用户所属归属网络内的BSF与连接于归属网络和拜访网络之间的网关实体构成的逻辑实体。

本发明关键是由能够提供查询信息的网络实体接收到来自D-Proxy查询请求后，判断请求接入的用户是否有权使用拜访网络中的业务，如果是，则给D-Proxy返回包含其所需信息的成功的查询响应消息，由D-Proxy将该成功的查询响应消息转发给NAF，该NAF与用户之间实现通信，否则，给D-Proxy返回失败的查询响应消息，由D-Proxy通知NAF拒绝该用户接入。

应用本发明，实现了应用通用鉴权框架对接入拜访网络的用户的管理，使归属网络对用户使用拜访网络业务的情况实现了控制，避免了无权用户或在没有网间业务协议的情况下用户使用拜访网络业务的情况。同时，由于在返回的失败消息中携带了失败原因值，因而在用户接收到失败通知后，根据失败原因值就知道该采取何种操作，避免了各种无用的尝试而浪费网络资源。另外，应用本发明，拜访网络也能够检查是否允许该用户使用该网络的业务，使拜访网络能够对自己的业务进行更好的控制和管理。

附图说明

图1所示为通用鉴权框架的结构示意图；

图2所述为用户使用拜访网络业务时通用鉴权框架结构示意图；

图3所示为应用本发明一实施例的流程示意图。

具体实施方式

为使本发明的技术方案更加清楚，下面结合附图再对本发明做进一步地详细说明。

本发明的思路是：由能够提供查询信息的网络实体判断发起业务请求的用户所属归属网络与该拜访网络间是否有权使用拜访网络中的业务，如果是，则该能够提供查询信息的网络实体为向其进行查询的D-Proxy提供其所需的信息，否则拒绝为其提供所需的信息。D-Proxy将获得的查询成功或失败的信息转发给NAF，如果NAF得到成功的信息，则与该用户实现通信，否则拒绝与该用户实现通信。从而对应用通用鉴权框架对接入拜访网络的用户实现管理。

图3所示为应用本发明一实施例的流程示意图。图中BSFh表示归属网络内的BSF，NAFv表示是拜访网络内的网络业务应用实体。

步骤301～步骤303，当漫游用户希望使用某拜访网络的内的某种业务时，该用户首先向其归属网络的BSF发起鉴权请求；BSF收到用户鉴权请求后，向HSS请求该用户的鉴权矢量及相关描述信息；BSF与用户之间进行互鉴权成功后，共享了密钥Ks，同时用户得到了BSF分配的TID。

步骤304～步骤305，用户向拜访网络内的NAF发送包含TID的业务请求；拜访网络内的NAF接收到该用户的请求后，向本网络内的D-Proxy发出查询请求，该请求信息中包括了自身的标识及TID标识。

步骤306，D-Proxy对发出请求的NAF的身份认证成功后，首先进行是否允许该用户接入的检查，以确定是否将该查询请求转发给用户所属归属网络内BSF。

上述检查包括以下内容：检查该用户所属归属网络与本网络之间是否有网络间的业务协议，上述检查还可包括，检查用户所请求的NAF当前是否能够为该用户提供服务，例如，该业务比较特殊，只提供给本网络内的用户，或者，该NAF当前较忙，只优先提供本网络内的用户使用时，则用户所请求的NAF当前不能为其提供服务。

如果通过上述检查，则D-Proxy转发该消息至用户所属归属网络内的BSF，该转发的消息中包含了本拜访网络的标识；如果不能通过上述检查，则D-Proxy不转发该消息而直接给NAF回复查询失败的响应消息。该查询失败的响应消息中包含失败原因值。

步骤307～步骤308，BSF接收到来自D-Proxy的查询消息后，从该消息中提取出待查询的TID，拜访网络标识及应用业务的NAF标识，之后，BSF检查本网络是否与该拜访网络间有业务协议，且该业务协议中是否包括了该用户申请应用的拜访网络的业务，并且还需检查该用户的描述信息，以确认该用户是否有权使用该拜访网络的业务，只有上述检查都成功后，BSF才根据查询到的TID，以及密钥Ks等信息计算出衍生密钥Ks-NAF，然后再给D-Proxy回复查询成功的响应消息，该查询成功的响应消息中包含查询到的TID以及与该TID对应的密钥Ks-NAF。如果上述检查有一项不成功，则BSF都会向D-Proxy返回包括原因值的失败消息。其失败的原因可以是：本网络与该拜访网络间没有相关业务协议；或本网络与该拜访网络间有业务协议但不包括用户申请的业务；或本网络与该拜访网络间有业务协议，但用户无权使用该业务；或该用户的TID无效等，或上述失败原因的组合。用户接收到失败通知后，根据失败原因值就知道该采取何种操作，避免了各种无用的尝试而浪费网络资源。

上述本网络和拜访网络间的协议可以预先配置在BSF内，也可以由BSF到HSS进行下载。

步骤309～步骤310，D-Proxy将接收到的消息转发给发起查询请求的NAF，如果NAF接收到失败的响应消息，则通知用户不能使用该业务，且该失败的响应消息值携带了失败原因。如果是成功的响应消息，则用户和NAF在密钥Ks_NAF保护下进行业务通信。

在上述实施例中，BSF是能够提供查询信息的网络实体，当然该能够提供查询信息的网络实体也可以是由用户归属网络内的BSF与网关实体构成的逻辑实体，其中，网关实体连接于归属网络与拜访网络之间，该网关实体可以是现有实体，也可以是单独的代理实体。

如果能够提供查询信息的网络实体是由用户归属网络内的BSF与网关实体构成的逻辑实体，则在网关实体接收接到来自D-Proxy的查询消息后，首先检查用户所属归属网络与该拜访网络之间是否有网间协议，然后D-Proxy进一步检查该用户是否有权使用这些业务等等。在所有检查通过后D-Proxy将相关的消息转发给BSF，BSF仍按原有的功能来工作，例如查找TID，产生密钥资料等。如果在网关实体的检查没有通过那么可以直接返回失败消息给D-Proxy，失败消息中也同样包括的原因值。如果需要网关实体实现对用户的检查功能，则要预先为该网关实体配置相关信息，如TID和用户标识等信息，以便网关实体能够知道用户的真实身份以便检索用户的描述文件信息。应用网关实体来完成检查功能的好处是，可以适当减轻BSF的负担。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。