专利名称:一种鉴权系统及处理方法
技术领域:
本发明涉及鉴权技术,特别是指一种鉴权系统及处理方法。
背景技术:
随着宽带网络的发展,移动通信将不仅仅局限于传统的语音通信,结合音频、视频、图片和文本等多种媒体类型的多媒体业务将逐渐开展起来,通过与呈现(presence)业务,短消息业务、网页(WEB)浏览业务、定位业务、推送(PUSH)业务、文件共享业务等数据业务的结合,可满足用户的多种需求。
在多种应用的推动下,第三代合作伙伴计划(3GPP,3rd GenerationPartnership Project)标准组织推出了基于网际协议(IP)的多媒体子系统(IMS,IP Multimedia Subsystem)架构,目的是在通信网络中提供标准化的开放结构来实现多种多样的多媒体应用。
图1示出了IMS架构示意图,如图1所示,在3GPP的R5(Release 5)阶段,引入了IP多媒体子系统域,简称IMS,IMS叠加在分组交换网络之上,由呼叫会话管理功能(CSCF,Call Session Control Function)、媒体网关控制功能(MGCF,Media Gateway Control Function)、媒体资源功能(MRF,Multimedia Resource Function)和归属签约用户服务器(HSS,HomeSubscriber Server)等功能实体组成。其中,CSCF根据实现的不同功能,又可分为服务CSCF(S-CSCF)、代理CSCF(P-CSCF)和查询CSCF(I-CSCF)三个逻辑实体,S-CSCF是IMS的业务交换中心,用于执行会话控制、维持会话状态、管理用户信息、生成计费信息,等等;P-CSCF是终端用户接入IMS的接入点,用于完成用户注册、进行服务质量(QoS)控制和安全管理,等等;I-CSCF用于实现路由查找,如IMS域内及IMS域之间的互通,对S-CSCF的分配进行管理,对外部网络和其他IMS域隐藏网络的拓补结构和配置,生成计费信息,等等。MGCF实现控制网关的功能,用于实现IMS网络与其他网络之间的互通;MRF提供媒体资源,如收放音、对终端用户之间传输的信息进行编解码和多媒体会议桥等,MRF包括媒体资源功能控制(MRFC,Multimedia Resource Function Controller)和(MRFP,MultimediaResource Function Processor)。HSS为用户信息数据库,存储有IMS网络中用户的签约数据和配置信息等。
由于IMS的结构做到了与底层承载网络无关,因此,3GPP定义的IMS架构也可应用于3GPP定义的分组域网络之外的其他分组网络之上,如3GPP2定义的分组网络、无线局域网(WLAN)、下一代网络(NGN)等,实现了与用户使用的终端类型的无关性以及与接入网络类型的无关性,这样,不限制IMS只应用于与3GPP相关的网络和应用上,其他类型的接入网络和承载网络的业务和应用也可通过IMS架构来实现。
IMS中提供了很多部件(Enabler),能够为很多具体应用所共用,如presence业务、群组管理(Group Management)业务、会议(Conference)业务、用户证书业务等等;IMS还提供了一些承载能力,如多媒体广播多播业务(MBMS,Multimedia Broadcast & Multicast Service),用以支持应用层多种多样的具体实现。
基于以上所述的IMS架构,用户或应用服务器(AS,Application Server)可与实现业务的AS进行通信,以实现相应业务。在用户或AS等访问端访问其他AS时,应对访问端进行鉴权,以确保被访问的AS的安全性,但目前并未提出相应的鉴权系统结构及相应的处理流程,如果未经鉴权的访问端对访问的AS进行恶意攻击,则会使被访问的AS陷于瘫痪,无法确保正常业务的进行;或未经鉴权的非法访问端非法使用访问的AS上的资源,则会为运营商带来不可估计的损失。因此,由于对访问端鉴权机制的不健全,导致被访问的AS处于极大的安全隐患之中。
发明内容
有鉴于此,本发明的一个目的在于提供一种鉴权系统,本发明的另一目的在于提供一种鉴权处理方法,使得访问端必须通过鉴权后才能访问业务实体,以提供高度安全可靠的通信网络。
为了达到上述目的,本发明提供了一种鉴权系统,该系统包括签约信息存储器,与鉴权实体相连,用于存储访问端的签约信息,并向鉴权实体提供对应于访问端的鉴权信息;访问端,与鉴权实体相连,用于向鉴权实体发起鉴权;鉴权实体,分别与签约信息存储器和访问端相连,用于根据签约信息存储器提供的鉴权信息,与访问端进行互鉴权。
该系统进一步包括业务实体,分别与鉴权实体和访问端相连,用于与通过鉴权的访问端建立连接,提供业务应用。
所述业务实体与鉴权实体通过N接口相连,和/或所述业务实体与访问端通过A接口相连。
所述签约信息存储器与鉴权实体通过H接口相连,和/或所述鉴权实体与访问端通过B接口相连。
所述签约信息存储器为HSS,或为扩展的HSS,或为用于存储签约信息的数据库。
所述访问端为用户,或为应用服务器,或为以上二者的组合。
本发明还提供了一种鉴权处理方法,该方法包含A、访问端向鉴权实体发送携带有访问端标识的鉴权请求;鉴权实体收到鉴权请求后,请求签约信息存储器提供对应于访问端标识的鉴权信息;签约信息存储器根据访问端标识获取鉴权信息并提供给鉴权实体,鉴权实体根据收到的鉴权信息与访问端进行互鉴权。
步骤A中所述签约信息存储器根据访问端标识获取鉴权信息为签约信息存储器根据访问端标识生成鉴权信息,或签约信息存储器根据访问端标识,查找与所述访问端标识相对应的鉴权信息。
步骤A中所述请求签约信息存储器提供对应于访问端标识的鉴权信息之前,进一步包括鉴权实体根据访问端标识,判断当前发起鉴权请求的访问端是用户还是应用服务器,如果是用户,则请求用户签约信息存储器提供对应于用户标识的鉴权信息;如果是应用服务器,则请求应用服务器签约信息存储器提供对应于应用服务器标识的鉴权信息。
互鉴权成功,所述步骤A之后进一步包括B、鉴权实体为访问端分配会话事务标识。
所述步骤B之后进一步包括访问端向业务实体发送携带有会话事务标识的连接请求,业务实体与访问端建立连接。
所述步骤A之前进一步包括访问端向业务实体发送连接请求,业务实体收到连接请求后,判断访问端是否通过鉴权,如果是,则与访问端建立连接;否则,通知访问端到鉴权实体进行鉴权,然后执行步骤A。
所述业务实体判断访问端是否通过鉴权为业务实体判断收到的连接请求中是否携带有会话事务标识,如果是,则与访问端建立连接;否则,通知访问端到鉴权实体进行鉴权,然后执行步骤A。
所述业务实体与访问端建立连接之前,进一步包括业务实体根据会话事务标识判断访问端是否通过鉴权,如果是,则与访问端建立连接;否则,拒绝与访问端建立连接。
所述业务实体判断访问端是否通过鉴权为业务实体判断会话事务标识是否合法,即业务实体首先判断是否存储有所述会话事务标识,如果是,则与访问端建立连接;否则,向鉴权实体查询所述会话事务标识的合法性,根据鉴权实体返回的结果确定所述会话事务标识的合法性。
根据本发明提出的方案,既能够对用户也能够对AS进行鉴权,还可以同时对用户和AS进行鉴权,从而确保无论对用户还是AS,在使用业务实体提供的业务能力时,都是合法且经过授权的,以保证网络的可运营和可管理,确保正常业务的服务质量,使得运营商的利益不会受到损失,满足网络运营商更广泛的安全需求和业务需求,提供高度安全可靠的通信网络。
图1示出了IMS架构示意图;图2示出了本发明中鉴权系统结构示意图;图3示出了本发明中鉴权流程图。
具体实施例方式
为使本发明的目的、技术方案和优点更加清楚,下面结合附图对本发明作进一步的详细描述。
图2示出了本发明中鉴权系统结构示意图,如图2所示,鉴权系统包括鉴权实体、业务实体和签约信息存储器,其中,签约信息存储器用于存储访问端的签约信息,并向鉴权实体提供对应于访问端的鉴权信息;访问端用于向鉴权实体发起鉴权;鉴权实体用于根据签约信息存储器提供的鉴权信息,与访问端进行互鉴权;业务实体用于与通过鉴权的访问端建立连接,提供业务应用。各种业务应用均可通过以上所述的鉴权系统对访问端进行鉴权,业务实体即为能够提供各种业务应用的网络实体。签约信息存储器通过H接口与鉴权实体相连,鉴权实体通过B接口与访问端相连,鉴权实体通过N接口与业务实体相连,业务实体通过A接口与访问端相连。以上所述签约信息存储器、鉴权实体、业务实体、访问端之间还可通过IP网络相连。以上所述访问端可为用户或AS。以上所述签约信息存储器可为HSS、扩展的HSS、存储访问端签约信息的数据库或存储器等。扩展的HSS是对现有HSS进行扩展,由于现有的HSS中通常只存储有用户的签约信息,因此可对现有HSS进行扩展,使扩展后的HSS既能够存储用户的签约信息,也能够存储AS的签约信息。鉴权实体可为网络中的网关部件,用于对所连接的外网的各种功能实体实施鉴权过程。以上所述业务实体可为网络中提供不同业务应用的实体,如各种AS。
图3示出了本发明中鉴权流程图,如图3所示,鉴权的实现过程包括以下步骤步骤301~步骤302访问端向业务实体发送连接请求,业务实体收到连接请求后,判断相应访问端是否通过鉴权,如果是,则执行步骤309;否则,执行步骤303。
如果访问端通过鉴权实体的鉴权,则鉴权实体会为访问端分配会话事务标识,因此,业务实体收到访问端发送的业务请求后,可通过判断该业务请求中是否携带有会话事务标识,来判断相应访问端是否通过鉴权,如果业务请求中没有携带会话事务标识,则业务实体确定相应访问端未通过鉴权;如果业务请求中携带有会话事务标识,则业务实体判断该会话事务标识是否合法,如果是,则业务实体确定相应访问端已通过鉴权,否则,业务实体确定相应访问端未通过鉴权。业务实体判断会话事务标识是否合法的过程可为业务实体判断自身是否存储有相应会话事务标识,如果业务实体自身存储有相应会话事务标识,则确定相应会话事务标识合法;如果业务实体自身未存储相应会话事务标识,则向鉴权实体查询相应会话事务标识的合法性,根据鉴权实体返回的信息确定相应会话事务标识是否合法。
访问端通过鉴权后,鉴权实体可向业务实体提供为相应访问端分配的会话事务标识,由业务实体进行存储;或业务实体中预先存储一些合法的会话事务标识。
步骤303业务实体通知相应访问端到鉴权实体进行鉴权。
步骤304~步骤307访问端向鉴权实体发送携带有访问端标识的鉴权请求。鉴权实体收到鉴权请求后,请求签约信息存储器提供对应于访问端标识的鉴权信息;签约信息存储器根据访问端标识获取鉴权信息,如签约信息存储器根据访问端标识生成签约信息,或签约信息存储器查找与访问端标识相对应的鉴权信息,然后向鉴权实体提供该鉴权信息;鉴权实体收到鉴权信息后,根据该鉴权信息与访问端进行互鉴权。互鉴权成功后,鉴权实体为访问端分配会话事务标识。以上所述鉴权信息可为鉴权三元组、鉴权五元组等。
另外,访问端和鉴权实体的互鉴权成功后,鉴权实体可生成密钥,并向访问端提供该密钥,在后续访问端与业务实体之间进行通信的过程中,可通过该密钥或由该密钥衍生的密钥对通信内容进行保护。如果密钥具有使用期限,则在密钥即将过期时,访问端重新向鉴权实体发起鉴权,或业务实体通知访问端重新与鉴权实体进行互鉴权。
步骤308~步骤309访问端向业务实体发送携带有会话事务标识的连接请求,业务实体根据会话事务标识判断访问端是否通过鉴权,如果是,则执行步骤310;否则,执行步骤311。
业务实体可通过判断会话事务标识是否合法来判断相应访问端是否通过鉴权,如果是,则业务实体确定相应访问端已通过鉴权,否则,业务实体确定相应访问端未通过鉴权。业务实体判断会话事务标识是否合法的过程可为业务实体判断自身是否存储有相应会话事务标识,如果业务实体自身存储有相应会话事务标识,则确定相应会话事务标识合法;如果业务实体自身未存储相应会话事务标识,则向鉴权实体查询相应会话事务标识的合法性,根据鉴权实体返回的信息确定相应会话事务标识是否合法。
步骤310业务实体与相应访问端建立连接,进行通信。
步骤311业务实体拒绝与相应访问端建立连接。此时,访问端可再次向鉴权实体发起鉴权,由步骤304开始。
如果访问端在向业务实体发送连接请求之前,直接向鉴权实体发起鉴权,则鉴权流程可从步骤304开始。
下面分别以用户和AS的鉴权过程对本发明的实现过程作进一步描述。
用户需要使用业务时,如果用户能够确定使用相应业务之前需要与鉴权实体进行互鉴权,则向鉴权实体发送携带有用户标识的鉴权请求;如果用户不能确定使用相应业务之前需要与鉴权实体进行互鉴权,则可向鉴权实体发送携带有用户标识的鉴权请求,也可向业务实体发送连接请求,业务实体收到连接请求后,确定相应用户未通过鉴权,通知相应用户到鉴权实体进行鉴权,然后相应用户向鉴权实体发送携带有用户标识的鉴权请求。以上所述的用户标识可为用户永久身份标识(IMPI),IMPI可直接存储于用户使用的终端,也可通过对国际移动签约用户标识(IMSI,International MobileSubscriber Identity)进行转换获得。
鉴权实体收到鉴权请求后,请求存储用户签约信息的HSS、或数据库、或存储器等提供对应于用户标识的鉴权信息;存储用户签约信息的HSS、或数据库、或存储器等获取鉴权信息,然后向鉴权实体提供该鉴权信息;鉴权实体收到鉴权信息后,根据该鉴权信息与用户进行互鉴权。互鉴权成功后,鉴权实体为用户分配会话事务标识。
用户和鉴权实体的互鉴权成功后,鉴权实体可生成密钥,并向用户提供该密钥,在后续用户与业务实体之间进行通信的过程中,可通过该密钥或由该密钥衍生的密钥对通信内容进行保护。
用户与鉴权实体互鉴权成功后,向业务实体发送携带有会话事务标识的连接请求,业务实体可进一步根据会话事务标识判断用户是否通过鉴权,如果是,则业务实体与相应用户建立连接,进行通信;否则,业务实体拒绝与相应用户建立连接。此时,用户可再次向鉴权实体发起鉴权。
AS需要访问业务实体时,如AS需要访问其他AS,如果AS能够确定访问业务实体之前需要与鉴权实体进行互鉴权,则向鉴权实体发送携带有AS标识的鉴权请求;如果AS不能确定使用相应业务之前需要与鉴权实体进行互鉴权,则可向鉴权实体发送携带有用户标识的鉴权请求,也可向业务实体发送连接请求,业务实体收到连接请求后,确定相应AS未通过鉴权,通知相应AS到鉴权实体进行鉴权,然后相应AS向鉴权实体发送携带有AS标识的鉴权请求。
每个AS的应用/业务标识是其所属运营商网络分配的,因此,可认为应用/业务标识就是其对应的AS的永久标识,将应用/业务标识作为AS标识;但是,随着网络的不断发展,应用/业务标识也可能会在使用过程中被伪冒和篡改,因此,运营商也可通过为每个AS指定设备标识的方法来唯一标识相应AS的身份,设备标识与AS一一对应,在一个运营商网络中能够保证其唯一性,即使不同运营商网络中的AS,也可以通过增加运营商网络标识确保其唯一性,这样,也可将对应于相应AS的设备标识作为AS标识,该设备标识可进一步包括运营商网络标识。另外,还可将应用/业务标识和设备标识的组合作为AS标识。
AS和鉴权实体的互鉴权成功后,鉴权实体可生成密钥,并向AS提供该密钥,在后续AS与业务实体之间进行通信的过程中,可通过该密钥或由该密钥衍生的密钥对通信内容进行保护。
鉴权实体收到鉴权请求后,请求存储AS签约信息的HSS、或增强HSS、或数据库、或存储器等提供对应于AS标识的鉴权信息;存储AS签约信息的HSS、或增强HSS、或数据库、或存储器等获取鉴权信息,然后向鉴权实体提供该鉴权信息;鉴权实体收到鉴权信息后,根据该鉴权信息与AS进行互鉴权。互鉴权成功后,鉴权实体为AS分配会话事务标识。
AS与鉴权实体互鉴权成功后,向业务实体发送携带有会话事务标识的连接请求,业务实体可进一步根据会话事务标识判断AS是否通过鉴权,如果是,则业务实体与相应AS建立连接,进行通信;否则,业务实体拒绝与相应AS建立连接。此时,AS可再次向鉴权实体发起鉴权。
本发明中,鉴权实体既能够完成与用户的互鉴权过程,也能够完成与AS的互鉴权过程,因此,如果用户和AS的签约信息存储于不同的签约信息存储器,如用户的签约信息存储于用户签约信息存储器,如HSS,AS的签约信息存储于AS签约信息存储器,如扩展的HSS,这样,鉴权实体收到鉴权请求后,首先需要根据鉴权请求中携带的标识,判断当前发起鉴权的是用户还是AS,如果为用户,则请求用户签约信息存储器提供相应用户的鉴权信息;如果为AS,则请求AS签约信息存储器提供相应AS的鉴权信息。
由于AS和用户相比,各自均有各自的特点,如AS相对是静态配置的,而用户则具有漫游和可移动的特性,因此,在具体处理鉴权的过程中,会存在一些差异,因此也需要鉴权实体对当前发起鉴权的是用户还是AS进行判断。
如果AS标识与用户标识的组成格式是相同或基本相同的,如应用/业务标识或设备标识与IMPI的组成格式是相同的,则鉴权实体只要能够识别类似应用/业务标识、或设备标识、或IMPI这种组成格式即可。如果AS标识与用户标识的组成格式是不同的,则鉴权实体必须能够识别IMPI的组成格式,以及应用/业务标识或设备标识的组成格式。
以上所述访问端与鉴权实体的互鉴权过程与现有中的鉴权方式相同,因此本发明中不再赘述。
总之,以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
权利要求
1.一种鉴权系统,其特征在于,该系统包括签约信息存储器,与鉴权实体相连,用于存储访问端的签约信息,并向鉴权实体提供对应于访问端的鉴权信息;访问端,与鉴权实体相连,用于向鉴权实体发起鉴权;鉴权实体,分别与签约信息存储器和访问端相连,用于根据签约信息存储器提供的鉴权信息,与访问端进行互鉴权。
2.根据权利要求1所述的系统,其特征在于,该系统进一步包括业务实体,分别与鉴权实体和访问端相连,用于与通过鉴权的访问端建立连接,提供业务应用。
3.根据权利要求2所述的系统,其特征在于,所述业务实体与鉴权实体通过N接口相连,和/或所述业务实体与访问端通过A接口相连。
4.根据权利要求1所述的方法,其特征在于,所述签约信息存储器与鉴权实体通过H接口相连,和/或所述鉴权实体与访问端通过B接口相连。
5.根据权利要求1至4任一所述的系统,其特征在于,所述签约信息存储器为HSS,或为扩展的HSS,或为用于存储签约信息的数据库。
6.根据权利要求1至4任一所述的系统,其特征在于,所述访问端为用户,或为应用服务器,或为以上二者的组合。
7.一种鉴权处理方法,其特征在于,该方法包含A、访问端向鉴权实体发送携带有访问端标识的鉴权请求;鉴权实体收到鉴权请求后,请求签约信息存储器提供对应于访问端标识的鉴权信息;签约信息存储器根据访问端标识获取鉴权信息并提供给鉴权实体,鉴权实体根据收到的鉴权信息与访问端进行互鉴权。
8.根据权利要求7所述的方法,其特征在于,步骤A中所述签约信息存储器根据访问端标识获取鉴权信息为签约信息存储器根据访问端标识生成鉴权信息,或签约信息存储器根据访问端标识,查找与所述访问端标识相对应的鉴权信息。
9.根据权利要求7所述的方法,其特征在于,步骤A中所述请求签约信息存储器提供对应于访问端标识的鉴权信息之前,进一步包括鉴权实体根据访问端标识,判断当前发起鉴权请求的访问端是用户还是应用服务器,如果是用户,则请求用户签约信息存储器提供对应于用户标识的鉴权信息;如果是应用服务器,则请求应用服务器签约信息存储器提供对应于应用服务器标识的鉴权信息。
10.根据权利要求7所述的方法,其特征在于,互鉴权成功,所述步骤A之后进一步包括B、鉴权实体为访问端分配会话事务标识。
11.根据权利要求10所述的方法,其特征在于,所述步骤B之后进一步包括访问端向业务实体发送携带有会话事务标识的连接请求,业务实体与访问端建立连接。
12.根据权利要求7所述的方法,其特征在于,所述步骤A之前进一步包括访问端向业务实体发送连接请求,业务实体收到连接请求后,判断访问端是否通过鉴权,如果是,则与访问端建立连接;否则,通知访问端到鉴权实体进行鉴权,然后执行步骤A。
13.根据权利要求12所述的方法,其特征在于,所述业务实体判断访问端是否通过鉴权为业务实体判断收到的连接请求中是否携带有会话事务标识,如果是,则与访问端建立连接;否则,通知访问端到鉴权实体进行鉴权,然后执行步骤A。
14.根据权利要求11或13所述的方法,其特征在于,所述业务实体与访问端建立连接之前,进一步包括业务实体根据会话事务标识判断访问端是否通过鉴权,如果是,则与访问端建立连接;否则,拒绝与访问端建立连接。
15.根据权利要求14所述的方法,其特征在于,所述业务实体判断访问端是否通过鉴权为业务实体判断会话事务标识是否合法,即业务实体首先判断是否存储有所述会话事务标识,如果是,则与访问端建立连接;否则,向鉴权实体查询所述会话事务标识的合法性,根据鉴权实体返回的结果确定所述会话事务标识的合法性。
全文摘要
本发明公开了一种鉴权系统,包括签约信息存储器,与鉴权实体相连,用于存储访问端的签约信息,并向鉴权实体提供对应于访问端的鉴权信息;访问端,与鉴权实体相连,用于向鉴权实体发起鉴权;鉴权实体,分别与签约信息存储器和访问端相连,用于根据签约信息存储器提供的鉴权信息,与访问端进行互鉴权。本发明还公开了一种鉴权处理方法,访问端向鉴权实体发送携带有访问端标识的鉴权请求;鉴权实体收到鉴权请求后,请求签约信息存储器提供对应于访问端标识的鉴权信息;签约信息存储器根据访问端标识获取鉴权信息并提供给鉴权实体,鉴权实体根据收到的鉴权信息与访问端进行互鉴权,满足网络运营商的安全需求和业务需求,提供安全可靠的通信网络。
文档编号H04L9/32GK1812322SQ200510005160
公开日2006年8月2日 申请日期2005年1月28日 优先权日2005年1月28日
发明者武亚娟 申请人:华为技术有限公司