专利名称:通用鉴权框架中一种接入用户归属网络服务器的方法
技术领域:
本发明涉及第三代无线通信技术领域,特别是指通用鉴权框架中一种接入用户归属网络服务器(HSS)的方法。
背景技术:
在第三代无线通信标准中,通用鉴权框架是多种应用业务实体使用的一个用于完成对用户身份进行验证的通用结构,应用通用鉴权框架可实现对应用业务的用户进行检查和验证身份。上述多种应用业务可以是多播/广播业务、用户证书业务、信息即时提供业务等,也可以是代理业务,例如多个服务和一个代理相连,通用鉴权框架把代理也当作一种业务来处理,组织结构可以很灵活,而且,对于以后新开发的业务也同样可以应用通用鉴权框架对应用业务的用户进行检查和验证身份。
图1所示为通用鉴权框架的结构示意图。通用鉴权框架通常由用户101、执行用户身份初始检查验证的实体(BSF)102、用户归属网络服务器(HSS)103和网络应用实体(NAF)104组成。BSF 102用于与用户101进行互验证身份,同时生成BSF 102与用户101的共享密钥;HSS 103中存储用于描述用户信息的描述(Profile)文件,同时HSS 103还兼有产生鉴权信息的功能。
用户需要使用某种业务时,如果其知道该业务需要到BSF进行互鉴权过程,则直接到BSF进行互鉴权,否则,用户会首先和该业务对应的NAF联系,如果该NAF使用通用鉴权框架,并且发现发出请求的用户还未到BSF进行互认证过程,则通知发出请求的用户到BSF进行身份验证。
用户与BSF之间的互认证过程是BSF接到来自用户的鉴权请求后,首先到HSS获取该用户的鉴权信息,根据所获取的鉴权信息与用户之间执行鉴权和密钥协商协议(AKA)进行互鉴权。认证成功后,用户和BSF之间互相认证了身份并且同时生成了共享密钥Ks。之后,BSF分配一个会话事务标识(TID)给用户,该TID是与Ks相关联的。
用户收到这个TID后,重新向NAF发出连接请求,且请求消息中携带了该TID。NAF收到请求后,先在本地查询是否有用户携带的该TID,如果NAF不能在本地查询到该TID,则向BSF进行查询。BSF查询到该TID后,将该TID以及该TID对应密钥信息包含在发送给NAF的成功响应消息中。NAF收到来自BSF的成功响应消息后,即认为该用户是经过BSF认证的合法用户,同时NAF和用户也共享了密钥Ks或由Ks衍生的密钥。此时,NAF与该用户在密钥Ks或由Ks衍生的密钥的保护下进行正常的通信。如果BSF不能在本地查询到该TID,则通知NAF没有该用户的信息,此时,NAF将通知用户到BSF进行认证鉴权。
通用鉴权框架所支持的业务范围较广,不仅支持IP多媒体业务,同时还支持其它的业务,例如,多播广播(MBMS)业务,支持用户证书业务等,而HSS索引自身存储的用户的profile文件时,可以根据用户的国际移动用户识别码(IMSI)或IP多媒体私有用户标识(IMPI)来进行。IMSI是比较通用的标识,其格式是一个15位的数字串,IMPI按照网络接入标识(NAI)的格式定制的,其格式通常为“用户私有标识@域名”。IMSI和IMPI都是永久用户标识。
由于BSF和HSS之间的通信接口是重用IP多媒体业务中网络实体和HSS之间的Cx接口,而IMSI在Cx接口是无法被承载和识别的,因此当BSF通用Cx接口向HSS查询profile信息时,必须是按照NAI格式定制的IMPI来标识某个用户。
在现有技术中,当某个用户需要使用通用鉴权框架时,如果该用户支持IP多媒体业务那么该用户就拥有IMPI这个标识,在这用情况下当用户向BSF发送鉴权请求时直接提供自己的IMPI即可。如果该用户不支持IP多媒体业务,那么该用户就只有IMSI而没有IMPI,这时由用户设备端负责将IMSI转换成IMPI,以便能够在鉴权通信中使用。
上述方法的缺陷在于将IMSI转换为IMPI的工作是在用户设备端完成的,但在实际的应用中,不一定所有的用户设备都具有这个功能。例如较早生产的用户设备,没有将IMSI转换为IMPI的功能,但是它能够支持3G的业务,并且也希望使用通用鉴权框架。在这种情况下,这些用户终端都无法使用通用鉴权框架。可见,在实际应用中,很难保证所有的用户设备端都支持将IMSI转换成为IMPI的功能,因此所有不具备此功能的用户将被排斥在通用鉴权框架之外的,继而无法实现通用鉴权框架的广泛应用。
发明内容
有鉴于此,本发明的目的是在通用鉴权框架中提供一种接入HSS的方法,使不支持将IMSI转换成为IMPI的用户设备也能够使用通用鉴权框架。
为达到上述目的,本发明的技术方案是这样实现的通用鉴权框架中一种接入用户归属网络服务器的方法,该方法包括以下步骤a、执行用户身份初始检查验证的实体BSF接收到来自用户的鉴权请求信息后,判断该请求信息中的用户标识信息是否为IP多媒体私有用户标识IMPI或国际移动用户识别码IMSI,如果是IMPI,则通过Cx接口向HSS发送包含IMPI的请求用户描述信息的消息,直接接入用户归属网络服务器,如果是IMSI,则将IMSI转换为IMPI后,再通过Cx接口向HSS发送包含IMPI的请求用户描述信息的消息,接入用户归属网络服务器,否则执行步骤b;b、向用户返回携带原因值的失败消息。
较佳地,该方法进一步包括HSS接收到包含网络接入标识的查询信息后,判断该网络接入标识中是否包含IMSI字段,如果有,则将该网络接入标识转换回IMSI后,根据IMSI索引用户描述信息,否则,根据网络接入标识索引用户描述信息。
较佳地,步骤b所述原因值为提示用户使用用户永久标识。
较佳地,所述用户永久标识为IMPI或IMSI。
本发明为通用鉴权框架中的BSF增加一新的功能,即由BSF判断接收到的用户标识信息的种类,如果是IMPI,则BSF通过Cx接口向HSS发送包含IMPI的请求用户描述信息的消息,如果是IMSI,则BSF将IMSI转换为IMPI后,通过Cx接口向HSS发送包含转换得到的IMPI的请求用户描述信息的消息,如果是临时标识或再鉴权标识,则向用户返回携带原因值的失败消息。应用本发明,使不支持将IMSI转换成IMPI格式功能的用户设备也能够使用通用鉴权框架,扩大了通用鉴权框架的使用范围。本发明实现简单,且易于应用。
图1所示为通用鉴权框架的结构示意图;图2所示为应用本发明的BSF接入HSS的流程图。
具体实施例方式
为使本发明的技术方案更加清楚,下面结合附图再对本发明做进一步地详细说明。
本发明的思路是BSF接收到来自用户的鉴权请求信息后,判断该请求信息中的用户标识信息是否为IMPI或IMSI,如果是IMPI,则通过Cx接口向HSS发送包含IMPI的请求用户描述信息的消息,直接接入用户归属网络服务器,如果是IMSI,则将IMSI转换为IMPI后,再通过Cx接口向HSS发送包含IMPI的请求用户描述信息的消息,接入用户归属网络服务器,否则向用户返回携带原因值的失败消息。
图2所示为应用本发明的BSF接入HSS的流程图。
步骤201,用户向BSF发送鉴权请求消息,准备使用通用鉴权框架;该鉴权请求消息中包含用户的标识信息;步骤202,BSF接收包含用户的标识信息的鉴权请求消息;步骤203,BSF判断接收到的用户标识信息的种类,如果是IMPI,则执行步骤206,如果是IMSI,则执行步骤205,如果是临时标识或再鉴权标识则执行步骤204;步骤204,BSF给用户返回包括失败原因值的失败消息,该原因值为用户标识信息错误,提示用户重新发送包含永久用户标识的鉴权请求消息,并结束本流程,这是因为临时标识或再鉴权标识是区域性的标识,且该类标识不是由HSS分配的,因此HSS不能够识别临时标识和再鉴权标识;上述永久用户标识可以是IMSI,也可以是IMPI;步骤205,BSF将IMSI转换为IMPI格式,具体的转换方法与现有技术相同,例如,某个用户的IMSI为234150999999999,其中,234为移动国家码,15为移动网络码,0999999999为用户自身标识,则转换为IMPI格式后,其形式为234150999999999@15.234.IMSI.3gppnetwork.org,经转换得到的IMPI中都含有IMSI字段;步骤206,BSF通过Cx接口向HSS发送包含IMPI的请求用户描述信息的消息;步骤207,HSS根据接收到的信息在本地进行索引,并将索引到的用户描述信息返回给BSF,BSF接收到HSS返回的用户描述信息后,与用户交互,以进行互鉴权的过程。
HSS在本地进行索引的方法是首先判断收到的标识是否为真正的IMPI标识,即判断接收到的用户标识中是否存在IMSI的字段,如果不存在,则为真正的IMPI标识,否则HSS收到的标识是由IMSI转换而来的IMPI。
如果HSS接收到的是真正的IMPI标识,则直接通过IMPI索引用户的Profile文件,生成鉴权资料,将Profile文件和生成鉴权资料一同返回给BSF,由BSF完成和用户的互鉴权过程,然后用户使用鉴权的结果和相应的业务服务器进行通信。
如果HSS收到的是转换后的IMPI,则HSS对接收到标识进行相反的转换过程,即将IMPI分解得到用户的IMSI,具体的转换过程也与现有技术相同,然后再根据IMSI索引用户的Profile文件,生成鉴权资料,将Profile文件和生成鉴权资料一同返回给BSF,由BSF完成和用户的互鉴权过程,然后用户使用鉴权的结果和相应的业务服务器进行通信。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
权利要求
1.通用鉴权框架中一种接入用户归属网络服务器的方法,其特征在于,该方法包括以下步骤a、执行用户身份初始检查验证的实体BSF接收到来自用户的鉴权请求信息后,判断该请求信息中的用户标识信息是否为IP多媒体私有用户标识IMPI或国际移动用户识别码IMSI,如果是IMPI,则通过Cx接口向HSS发送包含IMPI的请求用户描述信息的消息,直接接入用户归属网络服务器,如果是IMSI,则将IMSI转换为IMPI后,再通过Cx接口向HSS发送包含IMPI的请求用户描述信息的消息,接入用户归属网络服务器,否则执行步骤b;b、向用户返回携带原因值的失败消息。
2.根据权利要求1所述的方法,其特征在于,该方法进一步包括HSS接收到包含网络接入标识的查询信息后,判断该网络接入标识中是否包含IMSI字段,如果有,则将该网络接入标识转换回IMSI后,根据IMSI索引用户描述信息,否则,根据网络接入标识索引用户描述信息。
3.根据权利要求1或2所属的方法,其特征在于,步骤b所述原因值为提示用户使用用户永久标识。
4.根据权利要求3所述的方法,其特征在于,所述用户永久标识为IMPI或IMSI。
全文摘要
本发明公开了通用鉴权框架中一种接入用户归属网络服务器的方法,其关键是,为通用鉴权框架中的BSF增加一新的功能,即由BSF判断接收到的用户标识信息的种类,如果是IMPI,则BSF通过Cx接口向HSS发送包含IMPI的请求用户描述信息的消息,如果是IMSI,则BSF将IMSI转换为IMPI格式后,通过Cx接口向HSS发送包含转换得到的IMPI的请求用户描述信息的消息,如果是临时标识或再鉴权标识,则向用户返回携带原因值的失败消息。应用本发明,使不支持将IMSI转换成IMPI功能的用户设备也能够使用通用鉴权框架,扩大了通用鉴权框架的使用范围。本发明实现简单,且易于应用。
文档编号H04L9/00GK1674708SQ200410030909
公开日2005年9月28日 申请日期2004年3月26日 优先权日2004年3月26日
发明者黄迎新, 张文林 申请人:华为技术有限公司