专利名称:一种维护用户安全设置的方法及系统的制作方法
技术领域:
本发明涉及3GPP通用鉴权框架(GAA)技术领域,特别是指一种维护用户安全设置(USS)的方法及系统。
背景技术:
在第三代无线通信标准中,通用鉴权框架(GAA,Generic AuthenticationArchitecture)是多种应用业务实体使用的一个用于完成对用户身份进行验证的通用结构。通过通用鉴权框架可以实现对应用业务的用户进行检查和验证身份。上述多种应用业务可以是多播/广播业务、用户证书业务、信息即时提供业务等,也可以是代理业务。
图1示出了所述通用鉴权框架的结构。通用鉴权框架通常由用户设备(UE)、执行用户身份初始检查验证的实体(BSF)、用户归属网络服务器(HSS)和网络业务应用实体(NAF)组成。各个实体之间的接口如图1所示。
在通用鉴权框架中,HSS针对每个用户预定的应用会存储并维护一个GUSS(GBA用户安全设置,GBA User Security Settings)信息。GUSS内容包括用户归属网络的BSF信息(包括移动设备中的用户识别模块UICC类型,有效期)和与该用户预定的应用相对应的一组USS(用户安全设置,UserSecurity Settings)。每个USS包括的内容有用户身份标识列表(包括IMPUs、MSISDN、假名)、授权标志(包括是否允许用户访问该应用的属性,可颁发的证书类型)、应用ID、应用类型以及与该USS相关的NAF组,还可能包括密钥类型指示。
由于HSS不仅要维护GUSS信息,还要维护大量其它与GAA无关的数据,因此为了减轻HSS的负担,将维护GUSS的一些工作由其他实体来实现。目前可利用NAF来实现GUSS的部分维护工作,具体是指维护GUSS中的USS,包括对USS进行插入、更新、删除。
NAF维护USS的过程包括NAF在确定插入、更新或删除GUSS中的USS后,将新的USS发送给BSF;BSF确定NAF具有维护USS的合法身份后,BSF与HSS进行交互,指示HSS插入、更新或删除其保存的GUSS中相关用户的USS。
其中,NAF可以实时的对USS进行维护,其优点是更新速度快,但会导致BSF与HSS交互的次数过于频繁。NAF也可异步的对USS进行维护,即BSF收到NAF发送新的USS后进行存储,只有在对应用户的B_TID(用户临时身份标识)到期的时候,才对HSS中的对应用户的GUSS进行更新,这种方式在一定程度上减轻了网络的负担。
但是,现有方案中,不管是采用同步还是异步方式,当BSF确定NAF具有维护所述USS的合法身份后,对该USS都有绝对的操作权,这样就可能造成NAF恶意或者无意修改了USS中其无权修改的内容,产生了越权操作。因为USS的内容有些参数的设置是不允许NAF进行修改的,比如是否允许用户访问该应用的属性、以及与该USS相关的NAF组应该由运营商网络进行设置,NAF无权更改。但是在现有的方案中,由于BSF和HSS更新GUSS之前,并不检查NAF对USS哪些内容进行了哪些修改,导致NAF具有插入,更新或者删除USS的绝对操作权,可对USS里面的数据作任意的修改,因此可能会造成GUSS被错误更新。
发明内容
有鉴于此,本发明的主要目的在于提供了一种维护USS的方法及系统,以使避免NAF在对USS进行操作时的越权操作。
本发明提供的维护用户安全设置USS的方法,包括以下步骤
A、执行用户身份初始检查验证的实体BSF收到网络业务应用实体NAF请求维护某USS的消息,判断所述NAF具有合法身份维护所述USS后,执行下一步;B、BSF检查NAF所要维护的USS包含的各项内容,确定出NAF有权操作的USS的内容,并对NAF有权操作的USS的内容进行操作;C、BSF将操作后的USS发送给用户归属网络服务器HSS,由HSS更新其保存的GUSS中的USS。
其中,步骤B进一步包括对于确定出的NAF无权操作的USS的内容,BSF返回给NAF响应信息以提示用户。
其中,步骤B对NAF有权操作的USS的内容进行操作前进一步包括对于BSF无法确定出的NAF是否有权操作的USS的内容,上报HSS对所述USS的内容进行权限的确定后通知所述BSF。
其中,步骤B进一步包括对于BSF不确定的NAF是否有权操作的USS的内容,BSF也进行操作;步骤C将USS发送给HSS时,指示HSS对所述USS的内容进行权限的确定,HSS确定出NAF有权操作的USS的内容,仅执行NAF有权操作的USS内容的更新。
其中,可预先对USS的各项内容设置标志位,标识可以被NAF所操作的内容;步骤B所述确定出NAF有权操作的USS的内容的步骤包括BSF根据所述标志位确定NAF有权操作的USS内容。
其中,所述标志位由HSS进行设置,并传送给BSF保存。
其中,BSF预先保存记录有NAF有权操作的USS内容的本地策略;步骤B所述确定出NAF有权操作的USS的内容的步骤包括BSF根据所述本地策略确定NAF有权操作的USS内容。
其中,所述维护为更新/删除时,所述操作是更新/删除操作。
其中,所述维护为插入时,所述操作是初始化操作;步骤B进一步包括BSF配置NAF无权操作的USS的内容。
其中,所述维护为插入时,所述操作是初始化操作;步骤C进一步包括BSF将操作后的USS发送给HSS时,指示HSS完成初始化操作;HSS确定BSF所无法配置的USS的内容,并对这些USS内容进行配置。
其中,所述维护为插入时,所述操作是初始化操作;步骤C进一步包括BSF将操作后的USS发送给HSS时,指示HSS完成初始化操作;HSS确定NAF无权操作的USS的内容,对这些USS内容进行配置。
其中,步骤C所述BSF将操作后的USS发送给HSS是以同步的方式或者异步的方式实现。
本发明提供的一种维护USS的系统,包括与之相连的NAF组、保存有USS副本的BSF、保存有USS的HSS,其中BSF包括身份确认单元,用于判断NAF是否具有所操作USS的合法身份;权限确认单元,用于确定出NAF有权操作的所述USS的内容;指令执行单元,用于接收NAF发送的维护USS的指令,与身份确认单元、权限确认单元交换信息,并在身份识别单元确认所述NAF具有合法身份后,对权限确认单元确认出的NAF有权操作的USS内容依据接收的NAF的维护USS指令对所保存的USS副本进行操作,并将操作后的USS副本发送给HSS。
其中,所述权限确认单元包括本地策略存储单元和/或USS内容权限存储单元,权限判断单元,其中,本地策略存储单元用于存储NAF对USS哪些内容具有操作权的策略;USS内容权限存储单元,用于存储对USS的各项内容设置是否有权被NAF操作的配置文件;权限判断单元,用于根据指令执行单元接收的NAF,去读取本地策略存储单元和/或USS内容权限存储单元的内容,并根据所读取的内容确定所述NAF有权操作的USS的内容。
由上述方法和系统可以看出,本发明避免NAF在对USS进行操作时的越权操作。具体来说,本发明所提出的解决方案中,BSF或HSS对NAF所进行的USS维护(包括插入/更新/删除)进行权限判断,检查其是否进行越权操作。HSS或者BSF是否越权的依据之一是通过对GUSS插入标识权限的标志位的方式,来标识NAF可以修改哪些参数,不能修改哪些参数,标志位由HSS来维护。另外一种方式就是HSS和BSF可能并非对所有的GUSS里的USS里的属性的修改权限进行规定,而是从粗的方面,对所有的USS都具备的属性做一个统一的规定,如可以规定所有USS的“NAF组”这个属性都不能被NAF修改,称为本地策略。HSS和BSF依据这个本地策略进行判断。从而可以保证NAF正确修改GUSS中的USS,不会产生越权操作,使整个GAA系统在减轻HSS维护负担的基础上,HSS给予NAF足够大的自由权,但不是绝对的操作权,这样就有效的防止了NAF由于恶意或者无意操作而引起的问题。
图1为通用鉴权框架示意图。
图2为本发明NAF维护USS流程图。
图3为NAF更新/删除USS的流程图。
图4为NAF插入USS的流程图。
图5为本发明NAF维护USS的系统。
具体实施例方式
本发明在NAF维护(包括插入、更新、删除)USS时,在由BSF确定NAF具有维护该USS的合法身份后,进一步的针对USS的各项内容来判断NAF是否有权操作,仅针对有权操作的USS中的内容进行所述的操作。参见图2示出的本发明NAF维护USS流程图,包括以下步骤步骤201BSF收到某个NAF维护(更新/删除/插入)USS的请求后,判断该NAF是否有合法的身份维护这个USS,若是,则执行下一步,否则向NAF返回响应信息。
步骤202BSF确定NAF要维护USS哪些内容,针对各个内容依次确定该NAF是否有相应的权限,只维护有权限的USS的内容,针对不具备权限的内容,BSF返回给NAF响应信息。
步骤203BSF使用同步或异步的方式将更新的USS/GUSS发送给HSS,由HSS更新其GUSS中的USS。
其中,步骤202中,针对已有的USS的内容的维护操作是进行更新/删除时,其确定USS各项内容针对NAF的权限可以使用下面的两种方法来确定第一种预先,HSS对其存储的USS设置一些标志信息,该标志信息用于标识NAF可以对哪些USS参数(例如用户标识列表中的假名,授权标志中的证书类型,应用ID,应用类型等)进行更新/删除操作。并将这些信息提供给BSF。这样,当步骤202确定NAF是否具有相应权限时,依据所述的标志信息来确定USS哪些内容可以由NAF进行更新/删除操作。
第二种预先在BSF存储本地策略(例如本地策略设定所有的NAF都无权对任何一个USS的“该USS相关的NAF组”进行改变或者初始化),可以以配置文件的形式进行存储。这样,由BSF根据存储的本地策略来判断NAF对USS哪些参数可以进行更新/删除操作。
当步骤202中,针对维护操作是进行插入USS时,其确定新插入的USS各项针对NAF的权限可以使用下面方法来确定由BSF根据本地策略来判断NAF无权对USS里的哪些内容进行初始化,来检查NAF是否进行了越权操作。并且由BSF配置NAF所不能配置的内容(例如,USS的“该USS相关的NAF组”、用户标识列表IMPUs、MSISDN)。
而对于BSF确定NAF无权配置的USS的那些内容,或BSF不能配置的内容(如是否允许用户访问该应用的属性。HSS可能会根据该用户的订购情况,或者付费情况等来禁止或允许用户使用某一项应用,因此该属性应该由HSS控制),上报给HSS,由HSS确定这些内容。其中,可以将BSF发送给HSS的更新请求消息加以标志指示HSS需要自己确定新插入的USS的某些属性的值,这样,当HSS收到的GUSS更新请求中带有相应的标志,则自己判断该GUSS里新插入的USS的那些BSF和NAF都不能操作的属性的值。
下面参见附图,对本发明进一步进行详细说明。
首先,参见附图3,以NAF插入新的USS的过程为例进行说明,包括步骤301~302NAF由于某种原因决定插入一个新的USS,通过Zn接口向BSF发送一个插入消息,该插入消息中携带B_TID(用户临时身份标识)以及新产生的USS。
步骤303BSF收到所述消息后,首先检查这个NAF是否有合法的身份插入所述的USS,若是,则执行下一步,否则,BSF将会向NAF回送一个错误信息,通知其相应原因。
由于NAF只能对其自己对应的USS进行操作,因此BSF可通过判断NAF是否属于所插入USS所对应的NAF组,来判断其是否有合法的身份。
步骤304BSF确定NAF对所插入的USS里的哪些内容有权进行初始化,对于有权初始化的内容,根据其本地策略初始化这些内容,并且BSF配置NAF所不能配置的内容;如果BSF没有相应本地策略,或者USS某些内容的属性值BSF也无法配置,那么将上报HSS,指示由HSS自己配置USS的这些内容。
或者,对于BSF无法确定出的NAF是否有权操作的USS的内容,上报HSS对所述USS的内容进行权限的确定后再通知所述BSF。
步骤305BSF将更新后的USS/GUSS发送到HSS。和现有技术一样,BSF可以采用异步方式或同步方式去更新HSS。
如果BSF采用同步方式更新HSS里的USS,那么BSF在每次USS发生改变以后发送更新后的USS到HSS。
如果BSF采用异步方式,那么BSF每次只是修改自身存储的GUSS的副本,在USS对应的B-TID快过期时,将整个新的GUSS发送到HSS。
步骤306HSS更新的本地存储的GUSS,完成USS的插入,若收到的信息有步骤304中所述的指示标志,那么就自行配置BSF和NAF都不能操作的USS那些内容的属性值。
另外,HSS还可能给新插入的USS放置标志位,用来标识USS的哪些内容是NAF可以操作的,以用于以后NAF对USS内容更新和删除的维护操作。
步骤307HSS向BSF返回插入成功的OK消息,并且可能将新的GUSS发送给BSF,由BSF保留作为副本。若步骤305采用的是异步方式,此时流程结束,若是同步,则还包括后续步骤。
步骤308~309BSF收到返回的GUSS或者USS,将其保存,并且BSF向NAF返回插入成功的响应消息。
下面再参见附图4,以NAF更新或者删除USS的过程为例进行说明,包括步骤401~402NAF由于某种原因决定修改/删除一个已经存在的USS,通过Zn接口向BSF发送一个更新/删除的消息,该消息中包含B_TID和要更新/删除的USS。需要说明的是,若是更新过程,也可以不发送整个USS,只发送USS中改变的部分。
步骤403BSF收到所述消息后,首先检查NAF是否有合法的身份更新/删除USS,若是,则执行下一步,否则,BSF将会向NAF回送一个错误信息,以通知其相应原因。
由于NAF只能对其自己对应的USS进行操作。因此BSF可通过判断NAF是否属于所操作USS对应的NAF组,来判断其是否有合法的身份操作该USS。
步骤404BSF确定NAF有权对USS的哪些内容进行操作,对于有权操作的USS的那些内容,执行更新/删除操作,对于无权操作的内容,不进行改动,并且返回NAF相应消息。
其中,判断对USS哪些内容有权操作时,可以根据BSF保存的HSS对USS设置的标志位来检查(如步骤306所述)。当然,也可以根据预先设定的本地策略来确定。另外,若BSF无法判断NAF是否越权,也可由HSS自己进行判断。
步骤405BSF将更新后的USS发送到HSS。和现有技术一样,BSF可以采用异步方式或同步方式去更新HSS。
另外,对于BSF无法确定的NAF是否有权操作的USS的内容,可以在BSF将更新后的USS发送给HSS时,指示HSS对所述USS的内容进行权限的确定,USS仅执行NAF有权操作的USS内容的更新。
如果BSF采用同步方式更新HSS里的USS,那么BSF在每次USS发生改变以后发送更新后的USS到HSS。
如果BSF采用异步方式,那么BSF每次只是修改自身存储的GUSS的副本,在USS对应的B-TID快过期时,将整个新的GUSS发送到HSS。可见,异步方式时,B-TID有效期内步骤401~404可能要进行多次。
步骤406HSS接收BSF发送过来的IMPI(IMPI,永久身份标识)和GUSS(或者USS),并用来更新其存储的用户的GUSS。
步骤407HSS更新成功后,发送响应消息给BSF。若步骤405采用的是异步方式,此时流程结束,若是同步,则还包括后续步骤。
步骤408BSF收到响应消息后向NAF返回成功与否消息,以通知用户。
由上可以看出,本发明对NAF进行USS操作(包括插入/更新/删除)时,根据所设定的权限来判断其操作是否越权。这样可以保证NAF正确修改GUSS中的USS,不会产生越权操作,使整个GAA系统在减轻HSS维护负担的基础上,HSS给予NAF足够大的自由权,但不是绝对的操作权,这样就有效的防止了NAF由于恶意或者无意操作而引起的问题。
本发明还相应的提供了维护USS的装置。如图5所示,包括依次相连的NAF、保存有USS副本的BSF、保存有USS的HSS。其中,BSF包括
身份确认单元,用于判断NAF是否具有所操作USS的合法身份;权限确认单元,存储有本地策略和/或存储有HSS发送过来的用来标识USS的哪些内容是NAF可以操作的标志位,用于确定出NAF有权操作的所述USS的内容;指令执行单元,用于接收NAF发送的维护USS的指令,与身份确认单元、权限确认单元交换信息,并在身份识别单元确认所述NAF具有合法身份后,对权限确认单元确认出的NAF有权操作的USS内容依据接收的NAF的维护USS指令对所保存的USS副本进行操作,并将操作后的USS副本发送给HSS。
其中,权限确认单元可包括本地策略存储单元和/或USS内容权限存储单元,权限判断单元,其中,本地策略存储单元存储有NAF对USS哪些内容具有操作权的策略;这些策略可以以配置文件的形式存在。USS内容权限存储单元存储有对USS的各项内容设置是否可被NAF操作的配置文件;例如,配置文件中可以记载USS各项内容所对应的是否可被NAF操作的标志位。该配置文件可以由HSS发送过来。权限判断单元,用于根据接收的NAF,去读取本地策略存储单元和/或USS内容权限存储单元的内容,并根据所读取的内容确定所述NAF有权操作的USS的内容。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
权利要求
1.一种维护用户安全设置USS的方法,其特征在于,该方法包括以下步骤A、执行用户身份初始检查验证的实体BSF收到网络业务应用实体NAF请求维护某USS的消息,判断所述NAF具有合法身份维护所述USS后,执行下一步;B、BSF检查NAF所要维护的USS包含的各项内容,确定出NAF有权操作的USS的内容,并对NAF有权操作的USS的内容进行操作;C、BSF将操作后的USS发送给用户归属网络服务器HSS,由HSS更新其保存的GUSS中的USS。
2.根据权利要求1所述的方法,其特征在于,步骤B进一步包括对于确定出的NAF无权操作的USS的内容,BSF返回给NAF响应信息以提示用户。
3.根据权利要求1所述的方法,其特征在于,步骤B对NAF有权操作的USS的内容进行操作前进一步包括对于BSF无法确定出的NAF是否有权操作的USS的内容,上报HSS对所述USS的内容进行权限的确定后通知所述BSF。
4.根据权利要求1所述的方法,其特征在于,步骤B进一步包括对于BSF不确定的NAF是否有权操作的USS的内容,BSF也进行操作;步骤C将USS发送给HSS时,指示HSS对所述USS的内容进行权限的确定,HSS确定出NAF有权操作的USS的内容,仅执行NAF有权操作的USS内容的更新。
5.根据权利要求1所述的方法,其特征在于,预先对USS的各项内容设置标志位,标识可以被NAF所操作的内容;步骤B所述确定出NAF有权操作的USS的内容的步骤包括BSF根据所述标志位确定NAF有权操作的USS内容。
6.根据权利要求5所述的方法,其特征在于,所述标志位由HSS进行设置,并传送给BSF保存。
7.根据权利要求1所述的方法,其特征在于,BSF预先保存记录有NAF有权操作的USS内容的本地策略;步骤B所述确定出NAF有权操作的USS的内容的步骤包括BSF根据所述本地策略确定NAF有权操作的USS内容。
8.根据权利要求1所述的方法,其特征在于,所述维护为更新/删除时,所述操作是更新/删除操作。
9.根据权利要求1所述的方法,其特征在于,所述维护为插入时,所述操作是初始化操作;步骤B进一步包括BSF配置NAF无权操作的USS的内容。
10.根据权利要求9所述的方法,其特征在于,所述维护为插入时,所述操作是初始化操作;步骤C进一步包括BSF将操作后的USS发送给HSS时,指示HSS完成初始化操作;HSS确定BSF所无法配置的USS的内容,并对这些USS内容进行配置。
11.根据权利要求1所述的方法,其特征在于,所述维护为插入时,所述操作是初始化操作;步骤C进一步包括BSF将操作后的USS发送给HSS时,指示HSS完成初始化操作;HSS确定NAF无权操作的USS的内容,对这些USS内容进行配置。
12.根据权利要求1所述的方法,其特征在于,步骤C所述BSF将操作后的USS发送给HSS是以同步的方式或者异步的方式实现。
13.一种维护USS的系统,包括依次相连的NAF、保存有USS副本的BSF、保存有USS的HSS,其特征在于,BSF包括身份确认单元,用于判断NAF是否具有所操作USS的合法身份;权限确认单元,用于确定出NAF有权操作的所述USS的内容;指令执行单元,用于接收NAF发送的维护USS的指令,与身份确认单元、权限确认单元交换信息,并在身份识别单元确认所述NAF具有合法身份后,对权限确认单元确认出的NAF有权操作的USS内容依据接收的NAF的维护USS指令对所保存的USS副本进行操作,并将操作后的USS副本发送给HSS。
14.根据权利要求13所述的系统,其特征在于,所述权限确认单元包括本地策略存储单元和/或USS内容权限存储单元,权限判断单元,其中,本地策略存储单元用于存储NAF对USS哪些内容具有操作权的策略;USS内容权限存储单元,用于存储对USS的各项内容设置是否有权被NAF操作的配置文件;权限判断单元,用于根据指令执行单元接收的NAF,去读取本地策略存储单元和/或USS内容权限存储单元的内容,并根据所读取的内容确定所述NAF有权操作的USS的内容。
全文摘要
本发明提供了一种维护USS的方法,包括BSF收到NAF请求维护某USS的消息,判断所述NAF具有合法身份维护所述USS后,执行下一步;BSF检查NAF所要维护的USS包含的各项内容,并确定出NAF有权操作的USS的内容,并对NAF有权操作的USS的内容进行操作;BSF将操作后的USS发送给HSS,由HSS更新其保存的GUSS中的USS。还相应的提供了维护USS的系统。使用本发明可保证NAF正确修改GUSS中的USS,不会产生越权操作,使整个GAA系统在减轻HSS维护负担的基础上,HSS给予NAF足够大的自由权,但不是绝对的操作权,有效的防止了NAF由于恶意或者无意操作而引起的问题。
文档编号H04W12/06GK1968495SQ20051012325
公开日2007年5月23日 申请日期2005年11月15日 优先权日2005年11月15日
发明者杨艳梅, 曹淑华 申请人:华为技术有限公司