CN1315268C - 一种验证用户合法性的方法 - Google Patents
一种验证用户合法性的方法 Download PDFInfo
- Publication number
- CN1315268C CN1315268C CNB2003101132300A CN200310113230A CN1315268C CN 1315268 C CN1315268 C CN 1315268C CN B2003101132300 A CNB2003101132300 A CN B2003101132300A CN 200310113230 A CN200310113230 A CN 200310113230A CN 1315268 C CN1315268 C CN 1315268C
- Authority
- CN
- China
- Prior art keywords
- tid
- naf
- bsf
- user
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
- H04L9/0841—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
- H04L9/0844—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/126—Anti-theft arrangements, e.g. protection against subscriber identity module [SIM] cloning
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供了一种验证用户合法性的方法,充分利用TID作为NAF和用户之间建立信任关系桥梁这一特点,由BSF给TID分配有效期限,增加了TID的功能,使NAF能够对用户所应用TID的有效期限进行检验,进而达到了进一步验证用户合法性的目的。应用本发明,避免了一个TID针对NAF永久有效的情况,增加了系统的安全性,减少了因用户TID及相应密钥被盗带来的危险,而且同时实现了NAF对TID的管理。另外,将本发明与计费系统结合在一起,能够很容易地对用户实现计费功能。
Description
技术领域
本发明涉及第三代无线通信技术领域,特别是指一种验证用户合法性的方法。
背景技术
在第三代无线通信标准中,通用鉴权框架是多种应用业务实体使用的一个用于完成对用户身份进行验证的通用结构,应用通用鉴权框架可实现对应用业务的用户进行检查和验证身份。上述多种应用业务可以是多播/广播业务、用户证书业务、信息即时提供业务等,也可以是代理业务,例如多个服务和一个代理相连,这个通用鉴权框架把代理也当作一种业务来处理,组织结构可以很灵活,而且,对于以后新开发的业务也同样可以应用通用鉴权框架对应用业务的用户进行检查和验证身份。
图1所示为通用鉴权框架的结构示意图。通用鉴权框架通常由用户101、执行用户身份初始检查验证的实体(BSF)102、用户归属网络服务器(HSS)103和网络应用实体(NAF)104组成。BSF 102用于与用户101进行互验证身份,同时生成BSF 102与用户101的共享密钥;HSS 103中存储有用于描述用户信息的描述(Profile)文件,同时HSS 103还兼有产生鉴权信息的功能。
用户需要使用某种业务时,如果其知道该业务需要到BSF进行互鉴权过程,则直接到BSF进行互鉴权,否则,用户会首先和某个业务对应的NAF联系,如果该NAF应用通用鉴权框架需要用户到BSF进行身份验证,则通知用户应用通用鉴权框架进行身份验证,否则进行其它相应处理。
图2所示为应用通用鉴权框架进行用户身份认证的流程图。
步骤201,用户向NAF发送业务应用请求消息;
步骤202,NAF收到该消息后,如果发现该用户还未到BSF进行互认证,则通知该用户首先到BSF进行初始鉴权认证;
步骤203,用户向BSF发送初始鉴权认证请求消息;
步骤204,BSF接收到用户的鉴权请求消息后,向HSS查询该用户的鉴权信息以及Profile;
步骤205,BSF得到HSS发送的包含其所查信息的响应消息后,应用所查到的信息与用户执行鉴权和密钥协商协议(AKA)进行互鉴权,当BSF与用户完成AKA互鉴权,即相互认证了身份后,BSF与用户之间就拥有了共享密钥Ks;
步骤206,BSF给用户分配针对一个以上NAF有效的且只包括标识号的会话事务标识(TID),该TID与共享密钥Ks是相关联的;
步骤207,用户收到BSF分配的TID后,重新向NAF发送业务应用请求消息,该请求消息中包含TID信息;
步骤208,NAF接收到用户发送的包含TID信息的业务应用请求消息时,首先在NAF本地进行查询,如查询到,则直接执行步骤210,否则,向BSF发送包含NAF本地标识的查询TID的消息;
步骤209,BSF接收到来自NAF的查询消息后,如查询到NAF所需的TID,则向NAF发送成功的响应消息,NAF将该消息中的内容保存后,执行步骤210,否则BSF向NAF发送响应失败的查询消息,通知NAF没有该用户的信息,由NAF通知用户到BSF上进行鉴权,并结束该处理流程;
该成功的响应消息中包括查到的TID以及该TID对应用户应用的共享密钥Ks,或根据该NAF的安全级别由共享密钥Ks生成的衍生密钥,只要NAF收到BSF的成功响应消息,就认为该用户是经过BSF认证的合法用户,同时NAF和用户也共享了密钥Ks或其衍生密钥;
步骤210,NAF与用户进行正常的通信,并应用共享密钥Ks或由该共享密钥Ks衍生的密钥对以后的通信进行保护。
当用户和某个NAF的首次通信过程结束后,在以后的通信中都使用该已经过鉴权的TID和NAF进行通信。由于TID是可以重复使用的,且任何一个NAF如果在本地不能找到相应的TID时,都将向BSF进行查询到,因此,只要用户取得一个合法的TID后,就可以无限期的应用该TID与NAF进行通信。
现有技术方案的缺陷在于:BSF分配给用户的TID仅仅是作为NAF和用户建立信任关系的桥梁,而没有规定TID如何组成,应该和那些信息相关联等,同时,NAF也无法对TID进行管理。而且,用户只要取得一次合法的TID后,就可以无限期的使用该TID与NAF进行通信,降低了系统的安全性,同时也增加了用户密钥被盗的可能性。
发明内容
有鉴于此,本发明的目的在于提供一种验证用户合法性的方法,通过NAF验证用户的TID是否有效,来进一步验证该用户是否合法。
为达到上述目的,本发明的技术方案是这样实现的:
一种验证用户合法性的方法,适用于网络应用实体NAF应用通用鉴权框架对用户进行身份验证的第三代无线通信领域中,该方法包括以下步骤:
a、NAF接收到来自用户的带有会话事务标识TID信息的业务应用请求消息时,判断NAF本地是否有该TID信息,如果有,则执行步骤b,否则执行步骤c;
b、通过判断用户应用的TID是否处于从BSF获取到的该TID有效期限内,判断该用户是否合法,如果该用户合法,则NAF与用户进行正常通信,否则,NAF提示用户重新到执行用户身份初始检查验证实体BSF进行初始鉴权认证;
c、NAF向BSF发送包括本NAF标识的查询TID的消息,如果BSF查询到NAF需要的TID,则向NAF返回包含查询到的TID的成功响应消息,NAF先保存来自BSF的响应消息中的内容,然后与用户进行正常通信,如果BSF未查询到NAF需要的TID,则给NAF返回失败的响应消息,并由NAF提示用户到BSF进行初始鉴权认证。
较佳地,所述步骤a执行前,该方法进一步包括:
用户与BSF通过互鉴权,产生用户与BSF的共享密钥Ks后,BSF给用户分配对NAF有效的且只包括标识号的TID,用户接收到BSF分配的TID后,向NAF发送包含该TID信息的业务应用请求消息,然后执行步骤a;
步骤c所述BSF查询到NAF需要的TID时,进一步包括:BSF首先为所查询的TID分配有效期限,然后再给NAF返回包含TID及该TID有效期限信息的成功响应消息;
步骤c所述BSF返回的成功响应消息中还包括该TID对应的有效期限以及与该TID对应的密钥信息。
较佳地,所述步骤a执行前,该方法进一步包括:
预先设定BSF与NAF的共享密钥Knb;
用户与BSF通过互鉴权,产生共享密钥Ks后,BSF给用户分配只针对某个NAF有效的标识号,以及应用该标识号的有效期限,应用其与NAF的共享密钥Knb为所分配的标识号以及该标识号的有效期限进行加密,将加密后的信息作为TID发送给用户;用户接收到BSF分配的TID后,向NAF发送包含该TID信息的业务应用请求消息,然后执行步骤a;
所述步骤b执行前,进一步包括:NAF首先应用其与BSF的共享密钥Knb,对接收到的TID进行解密,然后再执行步骤b;
所述步骤c执行前,进一步包括:NAF首先应用其与BSF的共享密钥Knb,对接收到的TID进行解密,然后判断该TID是否对本NAF有效,如果是,再执行步骤c,否则,NAF给用户提示错误信息;
步骤c所述BSF返回的成功响应消息中还包括与该TID对应的密钥信息。
较佳地,所述步骤a执行前,该方法进一步包括:
用户与BSF通过互鉴权,产生共享密钥Ks后,BSF给用户分配针对某个NAF有效的只包括标识号的TID和该TID所对应的有效期限,并保存,然后将所分配的TID发送给用户;NAF接收到来自用户的带有TID信息的业务应用请求消息时,首先判断该TID是否对本NAF有效,如果是,再执行步骤a,否则,NAF给用户提示错误信息;
步骤c所述BSF返回的成功响应消息中包括NAF所查询的TID、该TID所对应的有效期限以及与该TID对应的密钥信息。
较佳地,所述步骤a执行前,该方法进一步包括:
用户与BSF通过互鉴权,产生共享密钥Ks后,BSF给用户分配针对某个NAF有效的只包括标识号的TID,并将所分配的TID发送给用户;NAF接收到来自用户的带有TID信息的业务应用请求消息时,首先判断该TID是否对本NAF有效,如果是,再执行步骤a,否则,NAF给用户提示错误信息;
步骤c所述BSF查询到NAF需要的TID后,进一步包括:BSF首先为所查询的TID分配有效期限,然后再给NAF返回包含TID及该TID有效期限信息的成功响应消息;
步骤c所述BSF返回的成功响应消息中包括NAF所查询的TID、该TID所对应的有效期限以及与该TID对应的密钥信息。
较佳地,该方法进一步包括:
用户重新到BSF进行初始鉴权认证成功后,将收到BSF为其分配的新TID,同时生成与该新TID相对应的密钥Ks’;
当NAF收到来自用户的包含新TID和旧TID的业务应用请求消息时,将向BSF进行查询,得到BSF的成功响应消息后,NAF将在本地保存该用户的新TID以及与该新TID向对应的密钥信息,并删除或禁用NAF上已保存的原有TID及与该TID相对应的密钥信息。
较佳地,所述与TID相对应的密钥信息包括:与TID相对应的根密钥和由该根密钥衍生的密钥。
较佳地,步骤b所述从BSF获取到的该TID有效期限的过程为:BSF根据NAF的标识或名称以及用户的描述profile确定后发送给NAF的。
较佳地,步骤b所述从BSF获取到的该TID有效期限的过程为:BSF根据查询TID信息的NAF的安全级别以及用户的profile信息确定后发送给NAF的。
较佳地,该方法进一步包括:NAF或BSF按照TID的有效期限信息进行计费。
本发明充分利用TID作为NAF和用户之间建立信任关系桥梁这一特点,由BSF给TID分配有效期限,增加了TID的功能,使NAF能够对用户所应用TID的有效期限进行检验,进而达到了进一步验证用户合法性的目的。应用本发明,避免了一个TID针对NAF永久有效的情况,增加了系统的安全性,减少了用户TID及该TID对应的密钥被盗的可能,而且同时实现了NAF对TID的管理。另外,将本发明与计费系统结合在一起,能够很容易地对用户实现计费功能。
附图说明
图1所示为通用鉴权框架的结构示意图;
图2所示为应用通用鉴权框架进行用户身份认证的流程图;
图3所示为应用本发明的实施例一的验证用户合法性的流程图;
图4所示为应用本发明的实施例二的验证用户合法性的流程图;
图5所示为应用本发明的实施例三的验证用户合法性的流程图。
具体实施方式
为使本发明的技术方案更加清楚,下面结合附图及具体实施例对本发明再做进一步的详细说明。
本发明的主要思路是:在NAF接受到来自用户的带有TID信息的业务应用请求消息时,判断NAF本地是否有该TID信息,如果有,则通过判断用户应用的TID是否处于预先设定的有效时限内,来判断该用户是否合法,如果该用户合法,则NAF与用户进行正常通信,否则,NAF提示用户重新到BSF进行初始鉴权认证;
如果本地没有该TID信息,则NAF向BSF发送包括本NAF标识的查询TID的消息,如果BSF查询到NAF需要的TID,则向NAF返回包含查询到的TID及该TID有效期限信息的成功响应消息,NAF先保存来自BSF的响应消息中的内容,然后与用户进行正常通信,如果BSF未查询到NAF需要的TID,则给NAF返回失败的响应消息,并由NAF提示用户到BSF进行初始鉴权认证。
下面通过具体实施例对本发明做进一步详细说明。
实施例一:
BSF为用户分配对一个以上的NAF同时有效的TID,且不对该TID加密。
图3所示为应用本发明的实施例一的验证用户合法性的流程图。
步骤301,用户向NAF发送业务应用请求消息;
步骤302,NAF收到该消息后,通知用户到BSF进行初始鉴权;
步骤303,用户向BSF发送鉴权请求消息;
步骤304,BSF接收到用户的鉴权请求消息后,向HSS查询该用户的鉴权信息以及Profile;
步骤305,BSF得到HSS发送的包含其所查信息的响应消息后,应用所查到的信息与用户进行AKA互鉴权,当BSF与用户完成AKA互鉴权,即相互认证了身份后,BSF与用户就拥有了共享密钥Ks;
步骤306,BSF给用户分配只包括标识号的TID,且该TID对一个以上的NAF同时有效;
步骤307,用户接收到BSF分配的TID后,再次向NAF发送包含该TID信息的业务应用请求消息;
步骤308,NAF接收到来自用户的带有TID信息的业务应用请求消息时,首先判断NAF本地是否有该TID信息,如果NAF本地有该TID信息,则验证该TID信息中的有效时间或有效次数是否过期,如果是,则执行步骤309,否则,执行步骤310;
如果NAF本地没有该TID信息,则NAF向BSF发送包括本NAF标识的查询TID的消息,如果BSF查询到,则BSF首先根据查询TID信息的NAF的安全级别以及用户的profile信息,为所查询的TID分配有效期限,该有效期限为一段连续的有效时间段和/或有限的次数,且该有效期限只针对该进行查询的NAF有效,然后BSF再给NAF返回成功的响应消息,NAF将来自BSF的成功响应消息中的内容保存后,执行步骤310,如果BSF未查询到,则向NAF发送失败的响应消息,并执行步骤309;
上述成功的响应消息中包括NAF所查询的TID、该TID所对应的有效期限以及用户与BSF的共享密钥Ks,或根据该NAF的安全级别由共享密钥Ks生成的衍生密钥;当NAF收到BSF的成功响应消息时,同时和用户也共享了密钥Ks或其衍生密钥;
步骤309,由NAF通知用户到BSF进行鉴权,并结束该处理流程;
步骤310,NAF与用户进行正常的通信,并应用共享密钥Ks或由该共享密钥Ks衍生的密钥对以后的通信进行保护。
虽然某个用户所应用的TID能够同时对一个以上的NAF有效,但针对不同的NAF,BSF为其分配的有效期限是不相同的,也就是说,同一个TID所对应的不同NAF的有效期限是不同的。
当用户所应用的TID针对某个NAF到期时,其将到BSF重新进行互认证,认证成功后,BSF将为其分配一个新的TID和与该新TID相对应的新共享密钥Ks’。该用户无论向哪个NAF再次发起业务应用请求时,该请求信息中都将同时包含新TID和原有旧TID的信息。
当某个NAF收到一个新TID后,都会到BSF进行查询,如BSF查询成功,则BSF给NAF返回成功的响应消息,该成功的响应消息中同样包括NAF所查询的TID、该TID所对应的有效期限以及用户与BSF的共享密钥Ks’,或根据该NAF的安全级别由共享密钥Ks’生成的衍生密钥。在NAF收到BSF的成功响应消息时,将保存该成功响应消息中的新TID以及与该TID相关的密钥信息,同时NAF将本地保存的旧TID以及与旧TID相关的密钥信息标为禁用,或删除。
由于用户所应用的旧TID同时对多个NAF有效,因此,当该TID所对应的某个NAF到期时,很可能其对于其它的NAF并未到期。但由于每个收到新TID的NAF都将到BSF进行查询,出于对系统安全的考虑,每个收到新TID的NAF都将用该用户的新TID以及与该新TID相关的信息替换该用户原有的旧TID及其相关信息。这样不但减少了TID管理的复杂性,同时增强了TID及其对应密钥的安全性。
实施例二:
BSF为用户分配只针对某个NAF有效的TID,且该TID是经过加密的。为用户分配与只针对某个NAF有效的TID的方法已在本申请人同一日递交的发明名称为“一种分配会话事务标识的方法”的发明专利中,给出详细描述;
图4所示为应用本发明的实施例二的验证用户合法性的流程图。
步骤401,用户向NAF发送业务应用请求消息;
步骤402,NAF收到该消息后,通知用户到BSF进行初始鉴权;
步骤403,用户向BSF发送鉴权请求消息;
步骤404,BSF接收到用户的鉴权请求消息后,向HSS查询该用户的鉴权信息以及Profile;
步骤405,BSF得到HSS发送的包含其所查信息的响应消息后,应用所查到的信息与用户进行AKA互鉴权,当BSF与用户完成AKA互鉴权,即相互认证了身份后,BSF与用户就拥有了共享密钥Ks;
步骤406,BSF给用户分配只针对某个NAF有效的标识号,然后根据该NAF的标识或名称以及该用户的profile信息,给该用户的这个标识分配有效期限,该有效期限为一段连续的有效时间段和/或有限的次数,应用预先设置的BSF和NAF的共享密钥Knb,为针对某个NAF有效的标识号和针对该标识号的有效期限进行加密,并将加密后的信息作为TID,发送给用户;由于用户没有BSF与NAF的共享密钥Knb,因此,用户不能对TID中的有效期限进行改动;
步骤407,用户收到BSF分配的TID后,重新向NAF发送业务应用请求消息,该请求消息中包含经过加密的TID信息;
步骤408,NAF接收到用户发送的包含TID信息的业务应用请求消息时,首先判断NAF本地是否有该TID信息,如果NAF本地有该TID信息,则NAF应用其与BSF的共享密钥Knb对该TID进行解密,并验证该TID信息中的有效时间或有效次数是否过期,如果是,则执行步骤409,否则,执行步骤410;
如果NAF本地没有该TID信息,则NAF首先应用其与BSF的共享密钥Knb对该TID进行解密,然后判断该TID对本NAF是否有效,具体的判断方法已在本申请人同一日递交的发明名称为“一种分配会话事务标识的方法”的发明专利中给出详细描述,如果是,则NAF向BSF发送包括本地NAF标识的查询TID的消息,否则,NAF给用户提示错误信息;
如果BSF查询到,则给NAF返回成功的响应消息,该成功的响应消息中包括NAF所查询的TID以及该TID所对应用户与BSF的共享密钥Ks,或由该共享密钥Ks生成的衍生密钥,在NAF收到BSF的成功响应消息时。其也和用户也共享了密钥Ks或其衍生密钥;NAF将来自BSF的成功响应消息中的内容保存后,执行步骤410,如果BSF未查询到,则向NAF发送失败的响应消息,并执行步骤409;
步骤409,由NAF通知用户到BSF进行鉴权,并结束该处理流程;
步骤410,NAF与用户进行正常的通信,并应用共享密钥Ks或由该共享密钥Ks衍生的密钥对以后的通信进行保护。
当用户所应用的TID针对某个NAF到期时,其将到BSF重新进行互认证,认证成功后,BSF将为其分配一个新的TID和与该新TID相对应的新共享密钥Ks’。该用户再次向NAF发起业务应用请求时,该请求信息中都将同时包含新TID和原有旧TID的信息。
当某个NAF收到一个新TID后,都会到BSF进行查询,如BSF查询成功,则给NAF返回成功的响应消息,该成功的响应消息中同样包括NAF所查询的TID、以及该TID所对应的用户与BSF的共享密钥Ks’,或由共享密钥Ks’生成的衍生密钥。在NAF收到BSF的成功响应消息时,也就和用户共享了密钥Ks’或其衍生密钥,此时,NAF将保存该新的TID以及与该TID相关的密钥信息,同时将本地保存的旧TID以及与旧TID相关的密钥信息标为禁用,或删除。
实施例三:
BSF为用户分配只针对某个NAF有效的TID,且不对该TID加密。
图5所示为应用本发明的实施例三的验证用户合法性的流程图。
步骤501,用户向NAF发送业务应用请求消息;
步骤502,NAF收到该消息后,通知用户到BSF进行初始鉴权;
步骤503,用户向BSF发送鉴权请求消息;
步骤504,BSF接收到用户的鉴权请求消息后,向HSS查询该用户的鉴权信息以及Profile;
步骤505,BSF得到HSS发送的包含其所查信息的响应消息后,应用所查到的信息与用户进行AKA互鉴权,当BSF与用户完成AKA互鉴权,即相互认证了身份后,BSF与用户就拥有了共享密钥Ks;
步骤506,BSF给用户分配只针对某个NAF有效的标识号,并将该标识号作为TID,然后根据该NAF的标识或名称以及该用户的profile信息,给该用户的TID分配有效期限,并保存,该有效期限为一段连续的有效时间段和/或有限的次数,已分配的TID发送给用户;
步骤507,用户接收到BSF分配的TID后,再次向NAF发送包含该TID信息的业务应用请求消息;
步骤508,NAF接受到来自用户的带有TID信息的业务应用请求消息时,首先判断该TID对本NAF是否有效,如果无效,则NAF给用户提示错误信息,如果有效,则NAF再判断本地是否有该TID信息,如果NAF本地有该TID信息,则验证该TID中的有效时间或有效次数是否过期,如果是,则执行步骤509,否则,执行步骤510;
如果NAF本地没有该TID信息,则NAF向BSF发送包括本地NAF标识的查询TID的消息,如果BSF查询到,则给NAF返回成功的响应消息,该成功的响应消息中包括NAF所查询的TID、该TID所对应的有效期限以及该TID所对应的用户与BSF的共享密钥Ks,或由该共享密钥Ks生成的衍生密钥,在NAF接收到来自BSF的成功响应消息时,也就和用户也共享了密钥Ks或其衍生密钥;NAF将来自BSF的成功响应消息中的内容保存后,执行步骤510,如果BSF未查询到,则向NAF发送失败的响应消息,通知NAF没有该用户的信息,并执行步骤509;
步骤509,由NAF通知用户到BSF进行鉴权,并结束该处理流程;
步骤510,NAF与用户进行正常的通信,并应用共享密钥Ks或由该共享密钥Ks衍生的密钥对以后的通信进行保护。
当用户所应用的TID针对某个NAF到期时,其将到BSF重新进行互认证,认证成功后,BSF将为其分配一个新的TID和与该新TID相对应的新共享密钥Ks’。该用户再次向NAF发起业务应用请求时,该请求信息中都将同时包含新TID和原有旧TID的信息。
当某个NAF收到一个新TID后,都会到BSF进行查询,如BSF查询成功,则BSF给NAF返回成功的响应消息,该成功的响应消息中同样包括NAF所查询的TID、该TID所对应的有效期限以及用户与BSF的共享密钥Ks’,或由共享密钥Ks’生成的衍生密钥。在NAF收到BSF的成功响应消息时,也就和用户共享了密钥Ks’或其衍生密钥,此时,NAF将保存该新的TID以及与该TID相关的密钥信息,同时将本地保存的旧TID以及与旧TID相关的密钥信息标为禁用,或删除。
在第三个较佳实施例中,当BSF为用户分配TID时,可以先不分配该TID所对应的有效期限,在NAF向其查询TID时,根据NAF的标识及用户的profile信息,再给该TID分配有效期限。
TID的有效使期限可以和计费结合在一起。如果计费单元以天来计算,则一个TID可以是一个计费单元,每分配一个新的TID就可以计一天的费。如果按使用次数计费,那么给TID分配了多少使用次数就可以给该TID计多少费。该计费功能可以在BSF分配TID时实现,也可以在NAF使用TID时实现。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1、一种验证用户合法性的方法,适用于网络应用实体NAF应用通用鉴权框架对用户进行身份验证的第三代无线通信领域中,其特征在于,该方法包括以下步骤:
a、NAF接收到来自用户的带有会话事务标识TID信息的业务应用请求消息时,判断NAF本地是否有该TID信息,如果有,则执行步骤b,否则执行步骤c;
b、通过判断用户应用的TID是否处于从BSF获取到的该TID有效期限内,判断该用户是否合法,如果该用户合法,则NAF与用户进行正常通信,否则,NAF提示用户重新到执行用户身份初始检查验证实体BSF进行初始鉴权认证;
c、NAF向BSF发送包括本NAF标识的查询TID的消息,如果BSF查询到NAF需要的TID,则向NAF返回包含查询到的TID的成功响应消息,NAF先保存来自BSF的响应消息中的内容,然后与用户进行正常通信,如果BSF未查询到NAF需要的TID,则给NAF返回失败的响应消息,并由NAF提示用户到BSF进行初始鉴权认证。
2、根据权利要求1所述的方法,其特征在于,
所述步骤a执行前,该方法进一步包括:
用户与BSF通过互鉴权,产生用户与BSF的共享密钥Ks后,BSF给用户分配对NAF有效的且只包括标识号的TID,用户接收到BSF分配的TID后,向NAF发送包含该TID信息的业务应用请求消息,然后执行步骤a;
步骤c所述BSF查询到NAF需要的TID时,进一步包括:BSF首先为所查询的TID分配有效期限,然后再给NAF返回包含TID及该TID有效期限信息的成功响应消息;
步骤c所述BSF返回的成功响应消息中还该TID对应的有效期限以及与该TID对应的密钥信息。
3、根据权利要求1所述的方法,其特征在于,
所述步骤a执行前,该方法进一步包括:
预先设定BSF与NAF的共享密钥Knb;
用户与BSF通过互鉴权,产生共享密钥Ks后,BSF给用户分配只针对某个NAF有效的标识号,以及应用该标识号的有效期限,应用其与NAF的共享密钥Knb为所分配的标识号以及该标识号的有效期限进行加密,将加密后的信息作为TID发送给用户;用户接收到BSF分配的TID后,向NAF发送包含该TID信息的业务应用请求消息,然后执行步骤a;
所述步骤b执行前,进一步包括:NAF首先应用其与BSF的共享密钥Knb,对接收到的TID进行解密,然后再执行步骤b;
所述步骤c执行前,进一步包括:NAF首先应用其与BSF的共享密钥Knb,对接收到的TID进行解密,然后判断该TID是否对本NAF有效,如果是,再执行步骤c,否则,NAF给用户提示错误信息;
步骤c所述BSF返回的成功响应消息中还包括与该TID对应的密钥信息。
4、根据权利要求1所述的方法,其特征在于,
所述步骤a执行前,该方法进一步包括:
用户与BSF通过互鉴权,产生共享密钥Ks后,BSF给用户分配针对某个NAF有效的只包括标识号的TID和该TID所对应的有效期限,并保存,然后将所分配的TID发送给用户;NAF接收到来自用户的带有TID信息的业务应用请求消息时,首先判断该TID是否对本NAF有效,如果是,再执行步骤a,否则,NAF给用户提示错误信息;
步骤c所述BSF返回的成功响应消息中包括NAF所查询的TID、该TID所对应的有效期限以及与该TID对应的密钥信息。
5、根据权利要求1所述的方法,其特征在于,
所述步骤a执行前,该方法进一步包括:
用户与BSF通过互鉴权,产生共享密钥Ks后,BSF给用户分配针对某个NAF有效的只包括标识号的TID,并将所分配的TID发送给用户;NAF接收到来自用户的带有TID信息的业务应用请求消息时,首先判断该TID是否对本NAF有效,如果是,再执行步骤a,否则,NAF给用户提示错误信息;
步骤c所述BSF查询到NAF需要的TID后,进一步包括:BSF首先为所查询的TID分配有效期限,然后再给NAF返回包含TID及该TID有效期限信息的成功响应消息;
步骤c所述BSF返回的成功响应消息中包括NAF所查询的TID、该TID所对应的有效期限以及与该TID对应的密钥信息。
6、根据权利要求1~5所述任意一项的方法,其特征在于,该方法进一步包括:
用户重新到BSF进行初始鉴权认证成功后,将收到BSF为其分配的新TID,同时生成与该新TID相对应的密钥Ks’;
当NAF收到来自用户的包含新TID和旧TID的业务应用请求消息时,将向BSF进行查询,得到BSF的成功响应消息后,NAF将在本地保存该用户的新TID以及与该新TID向对应的密钥信息,并删除或禁用NAF上已保存的原有TID及与该TID相对应的密钥信息。
7、根据权利要求6所述的方法,其特征在于,所述与TID相对应的密钥信息包括:与TID相对应的根密钥和由该根密钥衍生的密钥。
8、根据权利要求3或4所述的方法,其特征在于,步骤b所述从BSF获取到的该TID有效期限的过程为:BSF根据NAF的标识或名称以及用户的描述profile确定后通过成功响应消息发送给NAF。
9、根据权利要求2或5所述的方法,其特征在于,步骤b所述从BSF获取到的该TID有效期限的过程为:BSF根据查询TID信息的NAF的安全级别以及用户的profile信息确定后通过成功响应消息发送给NAF。
10、根据权利要求1所述的方法,其特征在于,该方法进一步包括:NAF或BSF按照TID的有效期限信息进行计费。
Priority Applications (8)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2003101132300A CN1315268C (zh) | 2003-11-07 | 2003-11-07 | 一种验证用户合法性的方法 |
| CA2545229A CA2545229C (en) | 2003-11-07 | 2004-10-25 | Method for verifying the validity of a user |
| JP2006538634A JP2007510391A (ja) | 2003-11-07 | 2004-10-25 | ユーザの有効性を確認するためのユーザ有効性確認方法 |
| HUE04789868A HUE033544T2 (en) | 2003-11-07 | 2004-10-25 | Procedure to verify subscriber validity |
| EP04789868.9A EP1681793B1 (en) | 2003-11-07 | 2004-10-25 | A method for verifying the subscriber s validity |
| ES04789868.9T ES2640471T3 (es) | 2003-11-07 | 2004-10-25 | Un procedimiento para verificar la validez del abonado |
| PCT/CN2004/001209 WO2005046118A1 (en) | 2003-11-07 | 2004-10-25 | A method for verifying the subscriber's validity |
| US11/413,732 US7941121B2 (en) | 2003-11-07 | 2006-04-28 | Method for verifying the validity of a user |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2003101132300A CN1315268C (zh) | 2003-11-07 | 2003-11-07 | 一种验证用户合法性的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1614903A CN1614903A (zh) | 2005-05-11 |
| CN1315268C true CN1315268C (zh) | 2007-05-09 |
Family
ID=34558462
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2003101132300A Expired - Lifetime CN1315268C (zh) | 2003-11-07 | 2003-11-07 | 一种验证用户合法性的方法 |
Country Status (8)
| Country | Link |
|---|---|
| US (1) | US7941121B2 (zh) |
| EP (1) | EP1681793B1 (zh) |
| JP (1) | JP2007510391A (zh) |
| CN (1) | CN1315268C (zh) |
| CA (1) | CA2545229C (zh) |
| ES (1) | ES2640471T3 (zh) |
| HU (1) | HUE033544T2 (zh) |
| WO (1) | WO2005046118A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7941121B2 (en) | 2003-11-07 | 2011-05-10 | Huawei Technologies Co., Ltd. | Method for verifying the validity of a user |
Families Citing this family (26)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7487363B2 (en) | 2001-10-18 | 2009-02-03 | Nokia Corporation | System and method for controlled copying and moving of content between devices and domains based on conditional encryption of content key depending on usage |
| CN100563154C (zh) * | 2004-11-05 | 2009-11-25 | 华为技术有限公司 | 一种保证用户身份标识私密性的方法 |
| GB0504865D0 (en) * | 2005-03-09 | 2005-04-13 | Nokia Corp | User authentication in a communications system |
| CN100450283C (zh) * | 2005-05-18 | 2009-01-07 | 华为技术有限公司 | 访问端和业务应用实体建立信任关系的方法 |
| EP1900169B1 (en) * | 2005-07-07 | 2010-02-03 | Telefonaktiebolaget LM Ericsson (publ) | Method and arrangement for authentication and privacy |
| CN1921682B (zh) * | 2005-08-26 | 2010-04-21 | 华为技术有限公司 | 增强通用鉴权框架中的密钥协商方法 |
| CN100382506C (zh) * | 2005-09-20 | 2008-04-16 | 华为技术有限公司 | 一种网络管理系统中对网元服务器进行认证的方法 |
| US20070124807A1 (en) * | 2005-11-29 | 2007-05-31 | Taiwan Semiconductor Manufacturing Co., Ltd. | Password update systems and methods |
| US8948012B2 (en) | 2005-12-29 | 2015-02-03 | Nokia Corporation | System and method for interactive session provision |
| KR101009330B1 (ko) | 2006-01-24 | 2011-01-18 | 후아웨이 테크놀러지 컴퍼니 리미티드 | 모바일 네트워크를 기반으로 하는 엔드 투 엔드 통신에서의 인증을 위한 방법, 시스템 및 인증 센터 |
| CN101039311B (zh) * | 2006-03-16 | 2010-05-12 | 华为技术有限公司 | 一种身份标识网页业务网系统及其鉴权方法 |
| US8522025B2 (en) * | 2006-03-28 | 2013-08-27 | Nokia Corporation | Authenticating an application |
| CN101090513B (zh) * | 2006-06-13 | 2012-05-23 | 华为技术有限公司 | 一种获取业务密钥的方法 |
| CN101136747B (zh) * | 2006-08-30 | 2010-05-12 | 中兴通讯股份有限公司 | 一种信息验证的系统及方法 |
| CN101170409B (zh) * | 2006-10-24 | 2010-11-03 | 华为技术有限公司 | 实现设备访问控制的方法、系统、业务设备和认证服务器 |
| JP5043416B2 (ja) * | 2006-12-15 | 2012-10-10 | キヤノン株式会社 | 情報処理装置、システム及びプログラム、デバイス、並びに記憶媒体 |
| CN101222488B (zh) * | 2007-01-10 | 2010-12-08 | 华为技术有限公司 | 控制客户端访问网络设备的方法和网络认证服务器 |
| CN101291221B (zh) * | 2007-04-16 | 2010-12-08 | 华为技术有限公司 | 一种用户身份隐私性保护的方法及通信系统、装置 |
| CN101163010B (zh) * | 2007-11-14 | 2010-12-08 | 华为软件技术有限公司 | 对请求消息的鉴权方法和相关设备 |
| CN102065070B (zh) * | 2009-11-18 | 2014-09-03 | 中国移动通信集团江苏有限公司 | 一种电信业务信息安全的控制方法及装置 |
| MX2012006589A (es) | 2009-12-11 | 2012-06-19 | Nokia Corp | Perfil de caracteristica de seguridad de tarjeta inteligente en servidor de abonado domestico. |
| FR2992811A1 (fr) * | 2012-07-02 | 2014-01-03 | France Telecom | Mise en place d'une association de securite lors de l'attachement d'un terminal a un reseau d'acces |
| US9820132B2 (en) | 2014-12-01 | 2017-11-14 | Nokia Technologies Oy | Wireless short-range discovery and connection setup using first and second wireless carrier |
| US9473941B1 (en) * | 2015-06-16 | 2016-10-18 | Nokia Technologies Oy | Method, apparatus, and computer program product for creating an authenticated relationship between wireless devices |
| CN107548051A (zh) * | 2016-06-29 | 2018-01-05 | 中兴通讯股份有限公司 | 业务处理方法、网络应用功能实体和通用认证架构系统 |
| CN115379414A (zh) * | 2019-09-25 | 2022-11-22 | 华为技术有限公司 | 证书发放方法和装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2002013016A1 (en) * | 2000-08-08 | 2002-02-14 | Wachovia Corporation | Internet third-party authentication using electronic tickets |
| US20020147913A1 (en) * | 2001-04-09 | 2002-10-10 | Lun Yip William Wai | Tamper-proof mobile commerce system |
| WO2003088578A1 (en) * | 2002-04-18 | 2003-10-23 | Nokia Corporation | Method, system and device for service selection via a wireless local area network |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB2366938B (en) * | 2000-08-03 | 2004-09-01 | Orange Personal Comm Serv Ltd | Authentication in a mobile communications network |
| US7107248B1 (en) * | 2000-09-11 | 2006-09-12 | Nokia Corporation | System and method of bootstrapping a temporary public-key infrastructure from a cellular telecommunication authentication and billing infrastructure |
| US8140845B2 (en) * | 2001-09-13 | 2012-03-20 | Alcatel Lucent | Scheme for authentication and dynamic key exchange |
| US7197301B2 (en) * | 2002-03-04 | 2007-03-27 | Telespree Communications | Method and apparatus for secure immediate wireless access in a telecommunications network |
| CN1150726C (zh) * | 2002-10-01 | 2004-05-19 | 华中科技大学 | 一种安全网络传输方法及其系统 |
| US20040093419A1 (en) * | 2002-10-23 | 2004-05-13 | Weihl William E. | Method and system for secure content delivery |
| CN1194498C (zh) * | 2002-11-07 | 2005-03-23 | 上海交通大学 | 基于数字标签的内容安全监控系统及方法 |
| CN1315268C (zh) | 2003-11-07 | 2007-05-09 | 华为技术有限公司 | 一种验证用户合法性的方法 |
| CN100456671C (zh) | 2003-11-07 | 2009-01-28 | 华为技术有限公司 | 一种分配会话事务标识的方法 |
| CN100466515C (zh) | 2003-11-11 | 2009-03-04 | 华为技术有限公司 | 一种建立会话事务标识和网络应用实体之间关联的方法 |
| US8260259B2 (en) * | 2004-09-08 | 2012-09-04 | Qualcomm Incorporated | Mutual authentication with modified message authentication code |
-
2003
- 2003-11-07 CN CNB2003101132300A patent/CN1315268C/zh not_active Expired - Lifetime
-
2004
- 2004-10-25 WO PCT/CN2004/001209 patent/WO2005046118A1/zh not_active Ceased
- 2004-10-25 ES ES04789868.9T patent/ES2640471T3/es not_active Expired - Lifetime
- 2004-10-25 EP EP04789868.9A patent/EP1681793B1/en not_active Expired - Lifetime
- 2004-10-25 JP JP2006538634A patent/JP2007510391A/ja active Pending
- 2004-10-25 CA CA2545229A patent/CA2545229C/en not_active Expired - Fee Related
- 2004-10-25 HU HUE04789868A patent/HUE033544T2/en unknown
-
2006
- 2006-04-28 US US11/413,732 patent/US7941121B2/en active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2002013016A1 (en) * | 2000-08-08 | 2002-02-14 | Wachovia Corporation | Internet third-party authentication using electronic tickets |
| US20020147913A1 (en) * | 2001-04-09 | 2002-10-10 | Lun Yip William Wai | Tamper-proof mobile commerce system |
| WO2003088578A1 (en) * | 2002-04-18 | 2003-10-23 | Nokia Corporation | Method, system and device for service selection via a wireless local area network |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7941121B2 (en) | 2003-11-07 | 2011-05-10 | Huawei Technologies Co., Ltd. | Method for verifying the validity of a user |
Also Published As
| Publication number | Publication date |
|---|---|
| US20060253424A1 (en) | 2006-11-09 |
| EP1681793B1 (en) | 2017-06-21 |
| JP2007510391A (ja) | 2007-04-19 |
| US7941121B2 (en) | 2011-05-10 |
| EP1681793A4 (en) | 2008-01-09 |
| EP1681793A1 (en) | 2006-07-19 |
| CA2545229A1 (en) | 2005-05-19 |
| HUE033544T2 (en) | 2017-12-28 |
| CN1614903A (zh) | 2005-05-11 |
| WO2005046118A1 (en) | 2005-05-19 |
| ES2640471T3 (es) | 2017-11-03 |
| CA2545229C (en) | 2011-05-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1315268C (zh) | 一种验证用户合法性的方法 | |
| CN1265676C (zh) | 一种实现漫游用户使用拜访网络内业务的方法 | |
| CN1839608A (zh) | 用于产生在不同域间使用的唯一用户身份的装置和方法 | |
| CN1866822A (zh) | 一种统一认证的实现方法 | |
| CN101052033A (zh) | 基于ttp的认证与密钥协商方法及其装置 | |
| CN1929380A (zh) | 一种公钥证书状态的获取及验证方法 | |
| CN101032142A (zh) | 通过接入网单一登陆访问服务网络的装置和方法 | |
| CN1659922A (zh) | 用于询问-应答用户鉴权的方法和系统 | |
| CN1497472A (zh) | 服务验证系统、认证要求终端、服务使用终端及提供方法 | |
| CN1961270A (zh) | 保密信息分配系统中的许可证管理 | |
| CN1831836A (zh) | 一种软件使用许可的方法和系统 | |
| CN1929371A (zh) | 用户和外围设备协商共享密钥的方法 | |
| CN1681239A (zh) | 在无线局域网系统中支持多种安全机制的方法 | |
| CN1728636A (zh) | 一种客户端认证的方法 | |
| CN101039181A (zh) | 防止通用鉴权框架中服务功能实体受攻击的方法 | |
| CN1859097A (zh) | 一种基于通用鉴权框架的认证方法及系统 | |
| CN1921682A (zh) | 增强通用鉴权框架中的密钥协商方法 | |
| CN101043328A (zh) | 通用引导框架中密钥更新方法 | |
| CN1929482A (zh) | 一种网络业务认证方法及装置 | |
| CN1770686A (zh) | 通用鉴权框架及更新bsf中用户安全描述信息的方法 | |
| CN101047505A (zh) | 一种网络应用push业务中建立安全连接的方法及系统 | |
| CN1918931A (zh) | 通过移动终端发送公钥 | |
| CN1614923A (zh) | 一种分配会话事务标识的方法 | |
| CN101052032A (zh) | 一种业务实体认证方法及装置 | |
| CN101039312A (zh) | 防止通用鉴权框架中服务功能实体受攻击的方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| EE01 | Entry into force of recordation of patent licensing contract |
Application publication date: 20050511 Assignee: APPLE Inc. Assignor: HUAWEI TECHNOLOGIES Co.,Ltd. Contract record no.: 2015990000755 Denomination of invention: Method for authenticating users Granted publication date: 20070509 License type: Common License Record date: 20150827 |
|
| LICC | Enforcement, change and cancellation of record of contracts on the licence for exploitation of a patent or utility model | ||
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20160425 Address after: California, USA Patentee after: SNAPTRACK, Inc. Address before: 518129 Bantian HUAWEI headquarters office building, Longgang District, Guangdong, Shenzhen Patentee before: HUAWEI TECHNOLOGIES Co.,Ltd. |
|
| CX01 | Expiry of patent term |
Granted publication date: 20070509 |
|
| CX01 | Expiry of patent term |