一种通用鉴权框架及一种实现鉴权的方法

专利名称：一种通用鉴权框架及一种实现鉴权的方法
技术领域：
本发明涉及第三代无线通信技术领域，特别是指一种通用鉴权框架及在通用鉴权框架中一种实现鉴权的方法。
背景技术：
在第三代无线通信标准中，通用鉴权框架是多种应用业务实体使用的一个用于完成对用户身份进行验证的通用结构，应用通用鉴权框架可实现对应用业务的用户进行检查和验证身份。上述多种应用业务可以是多播/广播业务、用户证书业务、信息即时提供业务等，也可以是代理业务。
图1所示为现有的通用鉴权框架的结构示意图。通用鉴权框架通常由用户终端(UE)101、执行初始检查验证的功能实体(BSF)102、用户归属网络服务器(HSS)103和网络应用功能实体(NAF)104组成。BSF 102用于与用户终端101互验证身份，同时生成BSF 102与用户终端101的共享密钥；HSS 103中存储有用于描述用户信息的描述(Profile)文件，该Profile中包括用户身份标识等所有与用户有关的描述信息，同时HSS 103还兼有产生鉴权矢量信息的功能。
用户需要使用某种业务时，如果其知道需要到BSF进行互鉴权，则直接与BSF交互以进行互鉴权，否则，用户会首先和该业务对应的NAF联系，如果该NAF应用通用鉴权框架且需要用户到BSF进行身份验证，则通知用户应用通用鉴权框架进行身份验证，否则进行其它相应处理。
用户终端与BSF之间的互认证过程是用户向BSF发出鉴权请求，该鉴权请求消息中包括用户的永久身份标识，BSF接到来自用户的鉴权请求后，向HSS请求该用户的鉴权信息，该请求消息中也包含了该用户终端的永久身份标识，HSS根据该用户终端的永久身份标识查找到该用户的profile文件并且生成鉴权信息返回给BSF。BSF根据所获取的鉴权信息与用户之间执行鉴权和密钥协商协议(AKA)进行互鉴权。鉴权成功后，用户和BSF之间互相认证了身份并且同时生成了共享密钥Ks，BSF为这个密钥Ks定义有效期限，以便Ks进行更新。之后，BSF分配一个会话事务标识(B-TID)给UE，在将B-TID和密钥Ks发送给UE的同时包含了Ks的有效期限，该B-TID是与Ks相关联的。共享密钥Ks是作为根密钥来使用的，不会离开用户的UE和BSF，当用户和NAF通信时，将使用由Ks衍生出的密钥作为通信保护。
当用户发现Ks即将过期，或NAF要求用户重新到BSF进行鉴权时，用户就会重复上述的步骤重新到BSF进行鉴权，以得到新的Ks及B-TID。
在现有的鉴权过程中，UE与BSF之间通过Http AKA协议进行鉴权，该鉴权过程是一种基于3G的鉴权过程，而且，UE和BSF之间只有这一种鉴权方式。但是，随着技术的发展，将来在UE和BSF之间很可能通过其他方式实现鉴权，例如基于公私钥算法(DH，Diffie-Hellman)鉴权方式等。另外，通用鉴权框架也有可能为2G的用户提供服务，而2G用户的鉴权方式与3G用户的鉴权方式又是不相同的。在增加了这么许多鉴权方式后用户和网络侧之间需要能够协商它们采用那种鉴权方法来完成互鉴权过程，而在现有技术中根本不存在协商的过程。
再有，在现有的通用鉴权框架中，请求业务应用的只能是最普通的用户终端，即使其有能力为其他用户提供一些简单的业务，比如用户自己建立了一个简单的网站，其也不能通过通用鉴权框架体系来提供服务，因为在现有的通用鉴权框架体系中，应用服务器(AS)是不能作为一个用户来请求业务服务的，相应地，应用功能服务器只能为用户提供业务服务，而不能请求向其他服务器请求业务服务。由此看出，现有的通用鉴权框架并不能充分利用网络中的各种资源。

发明内容
有鉴于此，本发明的一个目的在于提供一种通用鉴权框架中实现鉴权的方法，在用户使用通用鉴权框架进行鉴权时，能够和网络协商所使用的鉴权方式，应用该协商出的鉴权方式实现鉴权。本发明的另一目的是提供一种通用鉴权网络构架，使网络中的各种资源能够被充分利用。
为达到上述目的，本发明的技术方案是这样实现的一种通用鉴权框架中实现鉴权的方法，所述通用鉴权框架中包括用于与发起鉴权请求的实体进行鉴权操作的实体认证中心，该方法包括以下步骤实体认证中心接收到来自发起鉴权请求实体的鉴权请求后，获取该发起鉴权请求实体所支持鉴权方式以及当前网络支持的鉴权方式，之后，从所获取的鉴权方式中选择一种当前网络和该发起鉴权请求实体都支持的鉴权方式，并应用该鉴权方式与发起鉴权请求实体实现鉴权。
较佳地，所述实体认证中心获取发起鉴权请求实体所支持鉴权方式的方法为实体认证中心接收到来自发起鉴权请求实体的包含其所支持鉴权方式的鉴权请求后，从该鉴权请求中获取发起鉴权请求实体所支持鉴权方式；或者，实体认证中心向发起鉴权请求实体发送提供所支持的鉴权方式的请求消息，从发起鉴权请求实体返回的响应消息中获取该发起鉴权请求实体所支持的鉴权方式。
较佳地，所述实体认证中心获取当前网络支持的鉴权方式的方法为实体认证中心向实体签约信息数据库服务器发送包含发起鉴权请求实体身份标识的请求鉴权信息的消息，实体签约信息数据库服务器接收到该消息后，确定当前网络支持的鉴权方式后，将所确定的鉴权方式包含在发送给实体认证中心的请求鉴权信息的响应消息中，实体认证中心从实体签约信息数据库服务器返回的响应消息中获取当前网络支持的鉴权方式；
或者，实体认证中心从自身预先保存的当前网络支持的鉴权方式信息中获取当前网络支持的鉴权方式。
较佳地，所述实体签约信息数据库服务器确定当前网络支持的鉴权方式的方法为根据网络侧的预先配置确定当前网络支持的所有鉴权方式，并将所确定的所有鉴权方式作为当前网络支持的鉴权方式。
较佳地，所述实体签约信息数据库服务器确定当前网络支持的鉴权方式的方法为从来自实体认证中心的鉴权信息请求消息中获取发起鉴权请求实体身份标识，根据该发起鉴权请求实体身份标识获取该发起鉴权请求实体的签约消息，从该签约信息中获取该发起鉴权请求实体支持的所有鉴权方式，根据网络侧的预先配置，确定当前网络支持的所有鉴权方式，选择当前网络和该发起鉴权请求的实体都支持的鉴权方式，并将所选择的所有鉴权方式作为当前网络支持的鉴权方式。
较佳地，所述实体认证中心选择鉴权方式的方法为实体认证中心根据已获取的当前网络支持的鉴权方式和发起鉴权请求实体所支持的鉴权方式，确定当前网络和该发起鉴权请求实体都支持的所有鉴权方式，从所确定的鉴权方式中随机选择一种鉴权方式。
较佳地，所述所获取的当前网络支持的鉴权方式具有优先级信息；所述实体认证中心选择鉴权方式的方法为实体认证中心根据已获取的当前网络支持的鉴权方式和发起鉴权请求实体所支持的鉴权方式，确定当前网络和该发起鉴权请求实体都支持的所有鉴权方式，从所确定的鉴权方式中选择优先级最高的鉴权方式。
较佳地，所述实体认证中心确定当前网络和该发起鉴权请求实体都支持的所有鉴权方式后，进一步包括判断自身内是否预先配置有不同鉴权方式的优先级信息，如果有，则按照自身的优先级信息，从所确定的鉴权方式中选则一种优先级最高的鉴权方式，如果没有，则继续后续处理。
较佳地，所述实体签约信息数据库服务器为用户归属网络服务器HSS，所述发起鉴权请求的实体为用户终端UE或应用服务器AS。
较佳地，所述发起鉴权请求的实体为用户终端时，所述鉴权请求中进一步包括用户终端的终端能力信息；实体认证中心从接收到该鉴权请求后，进一步包括获取并保存用户终端的终端能力信息；鉴权成功后，该方法进一步包括实体认证中心根据自身已保存的用户终端的终端能力信息以及终端能力信息和所使用的鉴权方式是否一致，确定是否需要对鉴权成功后产生的密钥进行格式转换。
一种通用鉴权框架，包括仅使用服务的实体、仅提供服务的实体、实体认证中心和实体签约信息数据库服务器，该通用鉴权框架还包括既使用服务又提供服务的实体，其中，仅使用服务的实体，与实体认证中心、仅提供服务的实体和既使用服务又提供服务的实体分别直接相连，向实体认证中心发起鉴权请求，或者，向仅提供服务的实体或既使用服务又提供服务的实体发起业务请求，实体认证中心，与实体签约信息数据库服务器、仅提供服务的实体和既使用服务又提供服务的实体分别直接相连，用于接收来自仅提供服务的实体或既使用服务又提供服务的实体的鉴权请求，获取当前网络支持的鉴权方式和发起鉴权请求实体所支持的鉴权方式，从所获取的鉴权方式中，选择一种当前网络和该发起鉴权请求实体都支持的鉴权方式，应用所选定的鉴权方式与发起鉴权请求的实体进行互鉴权，或者，根据实体签约信息数据库服务器提供的签约信息为仅提供服务的实体或既使用服务又提供服务的实体提供其所需的鉴权结果信息，实体签约信息数据库服务器，用于存储仅使用服务实体、仅提供服务实体和既使用服务又提供服务的实体的签约信息，向实体认证中心提供仅使用服务实体或既使用服务又提供服务的实体的鉴权信息，或者，向实体认证中心提供仅提供服务实体或既使用服务又提供服务的实体的签约信息，
仅提供服务的实体，与既使用服务又提供服务的实体直接相连，根据从实体认证中心获取的鉴权结果与仅使用服务的实体或既使用服务又提供服务的实体建立连接，提供业务服务，所述既使用服务又提供服务的实体，用于向实体认证中心发起鉴权请求，应用实体认证中心选定的鉴权方式，与实体认证中心进行互鉴权，获取用于业务请求的标识和用于认证查询标识，或者，应用业务请求的标识向仅提供服务的实体发起业务请求，与仅提供服务的实体建立连接，使用其所提供的服务；或者，用于接收仅使用服务实体的业务请求，应用认证查询标识从实体认证中心获取仅使用服务实体的鉴权结果，与仅使用服务的实体建立连接，为其提供业务服务。
较佳地，所述仅使用服务的实体为用户终端UE，所述仅提供服务的实体为业务应用功能实体NAF或应用服务器(AS，Application Server)，所述实体认证中心为执行初始检查验证的功能实体BSF，所述实体签约信息数据库服务器为用户归属网络服务器HSS，所述既使用服务又提供服务的实体为应用服务器(AS，Application Server)，或用户终端UE。
本发明提供的实现鉴权的方法，关键是实体认证中心根据发起鉴权请求的实体提供的其所支持的鉴权方式和当前网络提供的其所支持的鉴权方式，确定当前网络和该发起鉴权请求的实体都支持的所有鉴权方式，从所确定的鉴权方式中选择一种鉴权方式，与发起鉴权请求的实体进行互鉴权。应用本发明提供的方法，在鉴权过程中增加了鉴权方式的选择过程，使通用鉴权框架应用的更为广泛，而且，由于能够使多种鉴权方式共存，为运营商的网络配置和应用提供了更多的选择。
应用本发明提供的通用鉴权框架，使网络中的应用服务器既能为普通用户提供业务服务，还能向其他服务器请求业务服务，充分地利用了网络中的各种资源，同时还能提供选择鉴权方式的操作，为运营商的网络配置和应用提供了更多的选择。


图1所示为现有的通用鉴权框架的结构示意图；图2所示为本发明的通用鉴权框架结构示意图；图3所示为应用本发明一实施例的实现鉴权的流程示意图。
具体实施例方式
下面结合附图，具体说明本发明的技术方案。
图2所示为本发明的通用鉴权框架结构示意图。在本发明的通用鉴权框架中不仅包括仅使用服务的实体201、仅提供服务的实体204、实体认证中心(EAC，Entity Authentication Center)202和实体签约信息数据库服务器(ESD，Entity Subscription Database)203，还包括既使用服务又提供服务的实体205。
仅使用服务的实体201，与实体认证中心202、仅提供服务的实体204和既使用服务又提供服务的实体205分别直接相连，向实体认证中心202发起鉴权请求，或者，向仅提供服务的实体204或既使用服务又提供服务的实体205发起业务请求，实体认证中心202，与实体签约信息数据库服务器203、仅提供服务的实体204和既使用服务又提供服务的实体205分别直接相连，用于接收来自仅提供服务实体204或既使用服务又提供服务实体205的鉴权请求，获取当前网络支持的鉴权方式和发起鉴权请求实体所支持的鉴权方式，从所获取的鉴权方式中，选择一种当前网络和该发起鉴权请求实体都支持的鉴权方式，应用所选定的鉴权方式与发起鉴权请求的实体进行互鉴权，或者，根据实体签约信息数据库服务器203提供的签约信息为仅提供服务的实体204或既使用服务又提供服务实体205提供其所需的鉴权结果信息，实体签约信息数据库服务器203，既包括用于存储仅使用服务实体201和仅提供服务实体204的签约信息，还包括既使用服务又提供服务实体205的签约信息，向实体认证中心202提供签约实体的鉴权信息，即向实体认证中心202提供仅使用服务实体201和既使用服务又提供服务实体205的鉴权信息，或者，向实体认证中心202提供仅提供服务实体204或既使用服务又提供服务实体205的签约信息，仅提供服务的实体204，与既使用服务又提供服务的实体205直接相连，根据从实体认证中心202获取的鉴权结果与仅使用服务的实体201或既使用服务又提供服务的实体205建立连接，提供业务服务，既使用服务又提供服务的实体205，向实体认证中心202发起鉴权请求，应用实体认证中心202选定的鉴权方式，与其进行互鉴权，获取用于业务请求的标识和用于认证查询标识，或者，应用业务请求的标识向仅提供服务的实体204发起业务请求，与仅提供服务的实体204建立连接，使用其所提供的服务，或者，用于接收仅使用服务实体201的业务请求，应用认证查询标识从实体认证中心202获取仅使用服务实体201的鉴权结果，与仅使用服务实体201建立连接，为其提供业务服务。
上述实体205之所以能够既使用服务又提供服务，是因为，在该实体与实体认证中心202进行互鉴权成功后，该实体认证中心202已从实体签约信息数据库服务器203获取该实体205的属性，即确认了该请求鉴权实体既签约了订购服务又签约了提供服务的信息，之后，实体认证中心202会为该实体205分配一个用于业务请求的标识和一个用于认证查询标识。这样，当该实体205需要应用其他服务器上的业务时，其会应用业务请求的标识，当实体205为用户终端提供业务服务器时，其将应用认证查询标识，从而使得实体205既能够使用服务又提供服务。
通常，所述仅使用服务的实体201为用户终端UE，所述仅提供服务的实体205为业务应用功能实体NAF或应用服务器(AS，Application Server)，所述实体认证中心202为执行初始检查验证的功能实体BSF，所述实体签约信息数据库服务器203为用户归属网络服务器HSS，所述既使用服务又提供服务实体205为应用服务器(AS)或用户终端UE。既使用服务又提供服务实体205所拥有的用于业务请求的标识和用于认证查询标识具体的应用过程分别与现有的B-TID和NAF的标识的应用过程相同，在此不再详细描述。当然，随着的技术的发展，图2中各个实体的具体载体的名称可能会发生变化，在此，并不对各个具体载体的名称加以限制，只要其实现的功能与图2所示各个模块的功能相同，即包含在本发明的范围之内。
在下面的方法流程中具体说明上述实体认证中心202获取当前网络支持的鉴权方式和发起鉴权请求实体所支持的鉴权方式，从所获取的鉴权方式中，选择一种当前网络和该发起鉴权请求实体都支持的鉴权方式的方法。
图3所示为应用本发明一实施例的实现鉴权的流程示意图。在本实施例中发起鉴权请求的实体是用户终端UE，实体认证中心为BSF，由NAF为UE提供服务，由HSS作为实体签约信息数据库服务器。
步骤301，UE向BSF发送鉴权请求，该请求中包含用户终端的身份标识、用户终端的能力信息和预设的鉴权能力信息列表。
其中，用户终端的能力信息用于表示该用户终端是3G的设备还是2G的设备；鉴权能力信息用于表示该UE能够支持的鉴权方式，在实际应用中可以通过一个简单的字段来标识，例如用一个4bit的字段来标识，并设置0001表示AKA鉴权，0010表示基于SIM的鉴权，0011标识SIM与TLS相结合的鉴权，0100表示基于公私钥的DH鉴权，如果用户支持AKA鉴权和DH鉴权，那么在鉴权能力信息列表中就有0001和0100这两项。
步骤302，BSF接收到该鉴权请求后，获取并保存用户终端的能力信息以及鉴权能力信息列表。
如果UE向BSF发送的鉴权请求消息中未包含鉴权能力信息，BSF可以发送要求UE提供其所支持的鉴权方式的请求消息，并从UE返回的响应消息中获取该UE所支持鉴权方式。
步骤303，BSF向HSS发送请求鉴权信息的消息，该请求消息中包含用户终端的身份标识；步骤304，HSS获取当前网络支持的鉴权方式，并根据所获取的鉴权方式以及UE的身份标识产生该UE的鉴权信息，之后，向BSF返回包含访问端鉴权信息和当前网络支持的鉴权方式；HSS获取当前网络支持的鉴权方式的方法为根据已获取的UE身份标识，从其签约信息中获取该UE能够支持的所有的鉴权方式，根据网络侧的预先配置，确定当前网络支持的所有鉴权方式，选择当前网络和该UE都支持的鉴权方式，并将所选择的鉴权方式作为当前网络支持的鉴权方式；或者，HSS获取当前网络支持的鉴权方式的方法为根据网络侧的预先配置确定当前网络支持的所有鉴权方式，并将所确定的鉴权方式作为当前网络支持的鉴权方式。
在本实施例中，HSS向BSF返回的当前网络支持的鉴权方式是已列表的形式存在的，该列表中每种鉴权方式后包含该鉴权方式所需的参数即鉴权信息；同时该列表中还包含优先级信息，即优先级高的鉴权方式位于优先级低的鉴权方式之前。当然，BSF向HSS返回的当前网络支持的鉴权方式也可以以其他的形式存在，也可以不包含任何优先级信息。
步骤305，BSF根据当前网络支持的鉴权方式和已保存的UE所支持的鉴权方式，选择一种当前网络和该发起鉴权请求实体都支持的鉴权方式。
如果HSS返回的当前网络支持的鉴权方式中不包含优先级信息，则BSF根据当前网络支持的鉴权方式和已保存的UE所支持的鉴权方式，确定当前网络和该UE都支持的所有鉴权方式，从所确定的鉴权方式中随机选择一种鉴权方式；如果HSS返回的当前网络支持的鉴权方式中包含优先级信息，则BSF根据当前网络支持的鉴权方式和已保存的UE所支持的鉴权方式，确定当前网络和该UE都支持的所有鉴权方式，从所确定的鉴权方式中选择最高优先级的鉴权方式，即选择位于当前网络支持的鉴权方式列表中最前面的鉴权方式；
如果BSF内预先配置有不同鉴权方式的优先级信息，则BSF根据当前网络支持的鉴权方式和已保存的UE所支持的鉴权方式，确定当前网络和该UE都支持的所有鉴权方式后，则按照自身的优先级信息，从所确定的鉴权方式中选则一种优先级最高的鉴权方式。如果BSF内没有预先配置有不同鉴权方式的优先级信息，则BSF再根据HSS返回的当前网络支持的鉴权方式中包含优先级信息确定鉴权方式，如果HSS返回的当前网络支持的鉴权方式中也未包含优先级信息，BSF再随机选择鉴权方式。
例如，BSF已确定当前网络和该UE都支持的所有鉴权方式是0001和0100，如果BSF没有配置鉴权方式优先级信息，且BSF知道HSS提供的鉴权方式列表中包含优先级信息，那么BSF就按照网络提供的鉴权能力列表中排在前面的鉴权方式进行选择，如果网络侧将0001排在了前面，那么BSF就选则0001作为最后确定的鉴权方式，如果BSF已配置鉴权方式0100为首选的鉴权方式，则BSF将选择0100作为最后选定的鉴权方式。
步骤306，UE与BSF应用选定的鉴权方式，及鉴权信息与UE实现鉴权，鉴权成功后，BSF根据自身已保存的UE的终端能力信息以及终端能力信息和所使用的鉴权方式是否一致，确定是否需要对密钥的格式进行转换，即BSF具有与用户终端相同的密钥转换能力。
例如，如果UE是不同能力的用户卡手机的组合，那么BSF需要对鉴权后产生的密钥进行格式的转换。例如用户卡是2G的用户卡而手机是3G的手机终端，其采用编号为0010的鉴权方式鉴权后，产生的密钥是一个64bit的密钥，那么3G的手机终端在收到64bit的密钥后会将其主动的转换为3G需要使用的各自128bit的加密密钥CK和完整性IK，这时BSF也需要将鉴权产生的64bit密钥转换为128bit密钥，这样才能与UE实现共享密钥。具体的转换方法与3G的手机终端转换方法相同，不再详细描述。
如果BSF与UE执行的是0010的鉴权方式，且BSF根据该用户终端的终端能力信息，确定其用户设备即手机是3G的手机，那么BSF同样需要执行密钥转换的功能，将64bits的密钥转换为128bits密钥，即转换为加密密钥CK和完整性IK的形式。
其它方式的用户卡和手机终端的组合，以及手机终端与鉴权方式的组合与此类似。总之，BSF具有与用户终端相同的密钥转换能力，也就是说，BSF判断是否需要转换以及具体的转换方法都与用户终端相同。
步骤307，BSF给UE分配B-TID。
步骤308，UE使用B-TID与NAF进行通信。
以上所述仅为一实施例，在实际应用中发起鉴权请求的实体是也可以是AS。如果发起鉴权请求的实体是AS，那么在步骤306中，就不存在密钥格式转换的步骤，在鉴权成功后，BSF将直接为该AS分配一个用于业务请求的标识和一个用于认证查询标识，以便其后续应用。用于业务请求的标识和用于认证查询标识具体的应用过程分别与B-TID和NAF的标识的应用过程相同，在此不再详细描述。
再有，BSF自身也可以预先保存的当前网络支持的鉴权方式列表，并定期与HSS交互以更新该列表，这样，HSS不需每次提供鉴权信息时都提供当前网络支持的鉴权方式列表，BSF可以从自身预先保存的信息中获取当前网络支持的鉴权方式，从而避免在网络中经常重复传送大量相同的信息。
总之，以上所述仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。
权利要求
1.一种通用鉴权框架中实现鉴权的方法，所述通用鉴权框架中包括用于与发起鉴权请求的实体进行鉴权操作的实体认证中心，其特征在于，该方法包括以下步骤实体认证中心接收到来自发起鉴权请求实体的鉴权请求后，获取该发起鉴权请求实体所支持鉴权方式以及当前网络支持的鉴权方式，之后，从所获取的鉴权方式中选择一种当前网络和该发起鉴权请求实体都支持的鉴权方式，并应用该鉴权方式与发起鉴权请求实体实现鉴权。
2.根据权利要求1所述的方法，其特征在于，所述实体认证中心获取发起鉴权请求实体所支持鉴权方式的方法为实体认证中心接收到来自发起鉴权请求实体的包含其所支持鉴权方式的鉴权请求后，从该鉴权请求中获取发起鉴权请求实体所支持鉴权方式；或者，实体认证中心向发起鉴权请求实体发送提供所支持的鉴权方式的请求消息，从发起鉴权请求实体返回的响应消息中获取该发起鉴权请求实体所支持的鉴权方式。
3.根据权利要求1所述的方法，其特征在于，所述实体认证中心获取当前网络支持的鉴权方式的方法为实体认证中心向实体签约信息数据库服务器发送包含发起鉴权请求实体身份标识的请求鉴权信息的消息，实体签约信息数据库服务器接收到该消息后，确定当前网络支持的鉴权方式后，将所确定的鉴权方式包含在发送给实体认证中心的请求鉴权信息的响应消息中，实体认证中心从实体签约信息数据库服务器返回的响应消息中获取当前网络支持的鉴权方式；或者，实体认证中心从自身预先保存的当前网络支持的鉴权方式信息中获取当前网络支持的鉴权方式。
4.根据权利要求3所述的方法，其特征在于，所述实体签约信息数据库服务器确定当前网络支持的鉴权方式的方法为根据网络侧的预先配置确定当前网络支持的所有鉴权方式，并将所确定的所有鉴权方式作为当前网络支持的鉴权方式。
5.根据权利要求3所述的方法，其特征在于，所述实体签约信息数据库服务器确定当前网络支持的鉴权方式的方法为从来自实体认证中心的鉴权信息请求消息中获取发起鉴权请求实体身份标识，根据该发起鉴权请求实体身份标识获取该发起鉴权请求实体的签约信息，从该签约信息中获取该发起鉴权请求实体支持的所有鉴权方式，根据网络侧的预先配置，确定当前网络支持的所有鉴权方式，选择当前网络和该发起鉴权请求实体都支持的鉴权方式，并将所选择的所有鉴权方式作为当前网络支持的鉴权方式。
6.根据权利要求1所述的方法，其特征在于，所述实体认证中心选择鉴权方式的方法为实体认证中心根据已获取的当前网络支持的鉴权方式和发起鉴权请求实体所支持的鉴权方式，确定当前网络和该发起鉴权请求实体都支持的所有鉴权方式，从所确定的鉴权方式中随机选择一种鉴权方式。
7.根据权利要求1所述的方法，其特征在于，所述实体认证中心所获取的当前网络支持的鉴权方式具有优先级信息；所述实体认证中心选择鉴权方式的方法为实体认证中心根据已获取的当前网络支持的鉴权方式和发起鉴权请求实体所支持的鉴权方式，确定当前网络和该发起鉴权请求实体都支持的所有鉴权方式，从所确定的鉴权方式中选择优先级最高的鉴权方式。
8.根据权利要求6或7所述的方法，其特征在于，所述实体认证中心确定当前网络和该发起鉴权请求实体都支持的所有鉴权方式后，进一步包括判断自身是否预先配置有不同鉴权方式的优先级信息，如果有，则按照自身的优先级信息，从所确定的鉴权方式中选则一种优先级最高的鉴权方式，如果没有，则继续后续处理。
9.根据权利要求1～7任一所述的方法，其特征在于，所述实体签约信息数据库服务器为用户归属网络服务器HSS，所述发起鉴权请求的实体为用户终端UE或应用服务器(AS，Application Server)。
10.根据权利要求9所述的方法，其特征在于，所述发起鉴权请求的实体为用户终端时，所述鉴权请求中进一步包括用户终端的终端能力信息；实体认证中心从接收到该鉴权请求后，进一步包括获取并保存用户终端的终端能力信息；鉴权成功后，该方法进一步包括实体认证中心根据自身已保存的用户终端的终端能力信息以及终端能力信息和所使用的鉴权方式是否一致，确定是否需要对鉴权成功后产生的密钥进行格式转换。
11.一种通用鉴权框架，包括仅使用服务的实体、仅提供服务的实体、实体认证中心和实体签约信息数据库服务器，其特征在于，该通用鉴权框架还包括既使用服务又提供服务的实体，其中，仅使用服务的实体，与实体认证中心、仅提供服务的实体和既使用服务又提供服务的实体分别直接相连，向实体认证中心发起鉴权请求，或者，向仅提供服务的实体或既使用服务又提供服务的实体发起业务请求，实体认证中心，与实体签约信息数据库服务器、仅提供服务的实体和既使用服务又提供服务的实体分别直接相连，用于接收来自仅提供服务的实体或既使用服务又提供服务的实体的鉴权请求，获取当前网络支持的鉴权方式和发起鉴权请求实体所支持的鉴权方式，从所获取的鉴权方式中，选择一种当前网络和该发起鉴权请求实体都支持的鉴权方式，应用所选定的鉴权方式与发起鉴权请求的实体进行互鉴权，或者，根据实体签约信息数据库服务器提供的签约信息为仅提供服务的实体或既使用服务又提供服务的实体提供其所需的鉴权结果信息，实体签约信息数据库服务器，用于存储仅使用服务实体、仅提供服务实体和既使用服务又提供服务的实体的签约信息，向实体认证中心提供仅使用服务实体或既使用服务又提供服务的实体的鉴权信息，或者，向实体认证中心提供仅提供服务实体或既使用服务又提供服务的实体的签约信息，仅提供服务的实体，与既使用服务又提供服务的实体直接相连，根据从实体认证中心获取的鉴权结果与仅使用服务的实体或既使用服务又提供服务的实体建立连接，提供业务服务，所述既使用服务又提供服务的实体，用于向实体认证中心发起鉴权请求，应用实体认证中心选定的鉴权方式，与实体认证中心进行互鉴权，获取用于业务请求的标识和用于认证查询标识，或者，应用业务请求的标识向仅提供服务的实体发起业务请求，与仅提供服务的实体建立连接，使用其所提供的服务；或者，用于接收仅使用服务实体的业务请求，应用认证查询标识从实体认证中心获取仅使用服务实体的鉴权结果，与仅使用服务的实体建立连接，为其提供业务服务。
12.根据权利要求11所述的通用鉴权框架，其特征在于，所述仅使用服务的实体为用户终端UE，所述仅提供服务的实体为业务应用功能实体NAF或应用服务器(AS，Application Server)，所述实体认证中心为执行初始检查验证的功能实体BSF，所述实体签约信息数据库服务器为用户归属网络服务器HSS，所述既使用服务又提供服务的实体为应用服务器(AS，Application Server)，或用户终端UE。
全文摘要
本发明公开了一种通用鉴权框架中实现鉴权的方法，其关键是实体认证中心根据发起鉴权请求的实体提供的其所支持的鉴权方式和当前网络提供的其所支持的鉴权方式，确定当前网络和该发起鉴权请求的实体都支持的所有鉴权方式，从所确定的鉴权方式中选择一种鉴权方式，与发起鉴权请求的实体进行互鉴权。应用本发明提供的方法，在鉴权过程中增加了鉴权方式的选择过程，使通用鉴权框架应用的更为广泛，而且，由于能够使多种鉴权方式共存，为运营商的网络配置和应用提供了更多的选择。本发明还公开了一种通用鉴权框架，其关键是使网络中的应用服务器既能为普通用户提供业务服务，还能向其他服务器请求业务服务，充分地利用了网络中的各种资源。
文档编号H04L9/32GK1835436SQ200510053868
公开日2006年9月20日 申请日期2005年3月14日 优先权日2005年3月14日
发明者黄迎新 申请人:华为技术有限公司