专利名称:一种网络服务的协商方法和系统的制作方法
技术领域:
本发明涉及网络接入技术领域,特别涉及一种网络服务的协商方法、系统、 一种终端和 一种服务器。
背景技术:
互联网技术和数据应用的日益发展,广泛地推动了无线网络的接入认证技术的飞速发展, 在解决无线网络的接入认证方面,扩展认证协议(EAP, Extensible Authentication Protocol) 是一个普遍使用的认证方法。
在利用EAP认证的过程中会产生两个密钥主会话密钥(MSK, Master Session Key)与 扩展主会话密钥(EMSK, Extended Master Session Key),其中,MSK用来保证空口的安全, EMSK可以用来为后续的服务提供安全保障,例如用于重认证,切换密钥(Hokey, Handover Key) 和移动IP (Internet Protocol)等。
图1为EAP的认证、协商、授权过程示意图,AAAn服务器(AAAn Server)是提供基本 接入月艮务的AAA月艮务器(AAA, Authorization Account Authentication,授权、计费、认证), AAAz服务器(AAAz Server)是提供除基本接入以外其他服务的AAA服务器;例如AAAn服 务器是中国移动的服务器,AAAz服务器是某个通过中国移动网络提供其他服务的SP(Service Provider,服务提供商)的AAA服务器。
整个认证、协商、授权的过程如下
51. AAAn服务器对服务请求方(Supplicant),即终端进行网络接入认证,终端与AAAn 服务器在完成认证过程后生成EMSK;
52. 在网络接入认证结束后,终端向AAAz服务器进行服务请求;
53. AAAz服务器向AAAn服务器请求用于服务请求的USRK, AAAn服务器生成相应的USRK, 并将该USRK传输给AAAz服务器,AAAz服务器根据USRK产生后续的子密钥,对终端所请求的服 务进行授权。
发明人在实现本发明的过程中发现,现有技术至少存在以下缺陷
由于现有技术中,首先要进行AAAn服务器与终端的认证,在认证结束后才进行服务的协
5商、授权,而且协商、授权的过程是通过AAAz服务器向AAAn服务器请求并交互,因而整个协 商、授权的时延比较长;
另外,在认证的步骤中会产生EMSK,在实际操作中,为了安全的目的,会在认证结束后 将EMSK删除,在后续的协商、授权步骤中,如果还需要用到EMSK,则无法获取。
发明内容
为了简化协商、授权流程,缩短时延,本发明实施例提供了一种网络服务的协商方法、 系统、 一种终端和一种服务器。具体技术方案如下-
一种网络服务的协商方法,所述方法包括如下步骤
提供基本接入的授权、计费、认证服务器在认证的过程中接收来自终端的网络接入标识 符,所述网络接入标识符附带所述终端所请求服务的服务标识信息;
所述提供基本接入的授权、计费、认证服务器根据所述网络接入标识符和存储在所述提 供基本接入的授权、计费、认证服务器数据库中的与所述终端相关的信息对所述终端进行身 份认证,在通过身份认证的基础上根据所述网络接入标识符中附带的所述终端所请求服务的 服务标识信息判断所述终端能否获得所请求的服务。
一种网络服务的协商系统,所述系统包括
终端,用于与提供基本接入的授权、计费、认证服务器进行认证,在认证的过程中向所 述提供基本接入的授权、计费、认证服务器发送网络接入标识符,所述网络接入标识符附带 所述终端所请求服务的服务标识信息;
提供基本接入的授权、计费、认证服务器,用于在认证的过程中接收来自终端的网络接 入标识符,根据所述网络接入标识符和存储在所述提供基本接入的授权、计费、认证服务器 数据库中的与所述终端相关的信息对所述终端进行身份认证,在通过身份认证的基础上根据 所述网络接入标识符中附带的所述终端所请求服务的服务标识信息判断所述终端能否获得所 请求的服务。
一种终端,所述终端具体包括
认证模块,用于与提供基本接入的授权、计费、认证服务器进行认证; 网络接入标识符生成模块,用于在网络接入标识符中附带请求服务的服务标识信息; 网络接入标识符发送模块,用于在认证的过程中向所述提供基本接入的授权、计费、认 证服务器发送所述附带本终端所请求服务的服务标识信息的网络接入标识符。
一种服务器,所述服务器未提供基本接入的授权、计费、认证服务器,具体包括-接收模块,用于在认证的过程中接收来自终端的网络接入标识符,所述网络接入标识符 附带所述终端所请求服务的服务标识信息;
认证模块,用于根据所述网络接入标识符和存储在所述提供基本接入的授权、计费、认 证服务器数据库中的与所述终端相关的信息对所述终端进行身份认证;
判断模块,用于在通过身份认证的基础上根据所述网络接入标识符中附带的所述终端所 请求服务的服务标识信息判断所述终端能否获得所请求的服务。
本发明的技术方案,通过在NAI中扩展服务标识信息,在认证的过程中根据NAI中扩展的 服务标识信息向AAAri服务器进行协商,因此,整个协商流程在认证的过程中就已经完成,不 必等到认证以后才开始协商;另外,由于在认证的过程中完成协商流程,避免了现有技术中 存在的由于在认证结束后删除了EMSK,而导致后续的协商、授权过程无法获取EMSK的情况。
图1是现有技术中EAP的授权、计费、认证过程示意图; 图2是本发明实施例1中提供的网络服务的协商方法流程图; 图3是本发明实施例2中提供的Hokey服务的协商方法流程图; 图4是本发明实施例3中提供的网络服务的系统结构图。
具体实施例方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进 一歩的详细描述。 实施例l
本实施例提供一种网络服务的协商方法,通过在NAI中附带服务标识信息,简化了协商的 流程,如图2所示,具体步骤如下-
步骤101:在AAAn服务器与终端的认证过程中,AAAn服务器接收来自终端的 EAP-Response/Identity消息,该消息中携带有终端的NA工,该NAI附带有终端所请求服务的 标识信息。
服务标识信息可以通过在一种类型的NAI , Permanent (永久性)NAI中附带服务标识信 息方法实现不管需要哪些服务,可以在Permanent NAI中增加信息,该信息作为服务标识 信息,而Permanent NAI不变,还是一个用户标识(可以是用户名,MAC地址或IP地址等) 服务标识信息与服务请求对应,因此,本实施例提出的NAI可以标识出大量不同类型的服务请求;具体标识方法如下
a:对NAI进行简单的扩展,可以在NAI的用户标识后面加扩展,例如,Username. hokey. rea 表示NAI为Username的用户需要hokey (切换密钥)及rea(重认证)服务;也可以在NAI的realm 后加后缀,如Usernamefo.ealm. hokey. rea;上述扩展时后缀所在的位置及后缀之间的符号可 以任意指定,只要是在协议中约定好,服务器能否根据预先的约定将扩展的后缀读取出来即 可。
b:根据特定的算法对原始的NAI作变换。例如新的NAPprf(NAI, Service Data),表示 任何一种在NAI中增加服务请求信息的算法。
步骤102: AAAn服务器根据收到的终端发送的带有服务标识信息的NAI中的用户标识, 以及存储在本地AAAn服务器数据库中的终端相关的信息(即Profile)对终端的身份进行认 证,并在通过身份认证的基础上根据带有服务标识信息的NAI获得对应的服务标识信息,根 据该服务标识信息得到终端所请求的服务,并判断终端能否获得所请求的服务。判断终端能 否获得服务的过程如下-
步骤102a:AAAn服务器根据终端请求的每个服务,查找是否存在对应的AAAz服务器可以 为终端提供该服务;
如果存在可以提供服务的AAAz服务器,则执行下述步骤102b;
如果不存在可以提供服务的AAAz服务器,则终端将无法获得该服务,所述终端收到服务 协商失败的指示。
步骤102b:AAAn服务器是否与AAAz服务器建立信任关系;
是否建立信任关系可以通过认证对方的身份,确认对方是否与其自己有签约关系;如果 有,那么双方协商安全参数,建立安全关系(SA, Security Association);已经建立好的 SA,可以在一定范围一定时间内重复使用。如果对方与自己没有签约关系,则无法建立信任 关系。
如果存在可以提供服务的AAAz服务器,且AAAn服务器与该AAAz服务器之间建立信任关 系,则AAAn服务器和终端通过EMSK产生相应的USRK (如果没有收到失败指示,则终端默认 就是成功),AAAn服务器将USRK传输给该AAAz服务器,终端及该AAAz服务器根据USRK产 生后续的子密钥用以保证后续的服务授权;
如果不存在可以提供服务的AAAz服务器,无论AAAn服务器与AAAz服务器之间是否建立 信任关系,终端都将无法获得该服务,AAAn服务器或Authenticator (AAAz client, AAAz 服务器的代理或AAAn client, AAAn服务器的代理,AAAn服务器的代理和AAAz服务器的代
8理逻辑上是一体)向终端指明,终端收到服务协商失败的指示。
如果协商成功,AAAn及终端产生相应的USRK,并将该USRK传输给AAAz服务器, AAAz服务器及终端根据USRK产生后续的子密钥,对终端所请求的服务进行授权。
本发明实施例通过在NAI中携带服务标识信息,可以承载更多服务,从而简化了服务协商 的流程,方便管理和操作;本发明实施例通过在NAI中加后缀标识服务信息,对NAI进行扩展, 不依赖于签约和认证过程对协商和授权过程的约束,可以兼容多种EAP协商方法。
实施例2
本实施例以Hokey服务为例,具体介绍网络服务的协商方法,如图3所示,整个协商的 方法步骤如下
步骤201:在歸A(Home Authorization Account Authentication,家乡授权、计费、 认证)服务器(相当于AAAn服务器)与终端的认证过程中,HAAA服务器接收来自终端的 EAP-Response/Identity消息,该消息中携带有终端的NAI,该NAI附带有终端所请求服务的 标识信息。
终端在Bootstrapping (自启动)或初次进入某个拜访域时,如果有Hokey服务请求, 那么在EAP认证过程中,会在EAP-Response/Identity消息中携带包含Hokey服务标识信息 的NAI,如Username. Hokey,其中Hokey为切换密钥服务的标识信息,由于Hokey服务标识 信息与Hokey服务请求对应,所以EAP-Response /Identity消息可以标识出终端的Hokey服 务请求。
步骤202: HAAA服务器根据终端发送的NAI中的用户身份标识以及存储在HAAA服务器数 据库中的与终端相关的信息(即Profile)对终端的身份进行认证,并在通过认证后根据带 有服务标识信息的NAI中对应的服务标识信息为Hokey,根据该服务标识信息得到终端请求 的服务为Hokey服务,判断终端能否获得Hokey服务( 一般来说,HAAA服务器对于终端的Hokey 请求是有求必应);
判断终端能否获得Hokey服务的过程如下
步骤202a:HAAA服务器需确定终端的拜访域是否支持Hokey服务 如果拜访网络支持Hokey服务,则执行下述步骤202b;
如果拜访网络不支持Hokey服务,则终端将无法获得该Hokey服务,所述终端收到Hokey 服务协商失败的指示。
步骤202b:HAAA服务器需与拜访网络的Hokey服务器(相当于AAAz服务器)或提供Hokey 服务的根服务器之间是否建立信任关系;如果拜访网络支持Hokey服务,且HAAA服务器需与拜访网络的Hokey服务器或提供Hokey 服务的根服务器之间建立信任关系,HAAA服务器及终端通过EMSK产生相应的冊K, HAAA服 务器将冊K传输给Hokey服务器,终端及Hokey服务器产生后续的子密钥,Hokey服务器根 据子密钥对终端所请求的服务进行授权。
如果拜访网络不支持Hokey服务,无论HAAA服务器与拜访网络的Hokey服务器或提供 Hokey服务的根服务器之间是否建立信任关系,终端都无法获得Hokey服务,HAAA服务器或 Authenticator (HAAA服务器的代理)向终端指明,终端收到服务协商失败的指示;HAAA服 务器通过该消息告知终端,当前的NAI不合法(即无法提供Hokey服务),要求终端换新的
NAI;
本发明实施例通过在NAI中携带Hokey服务标识信息,可以承载更多服务,从而简化了终 端,方便管理和操作,兼容多种EAP协商方法。 实施例3
本发明的实施例提供了一种网络服务的协商系统,如图4所示,该网络服务的协商系统具 体包括
终端,用于与提供基本接入的授权、计费、认证服务器(AAAn服务器)进行认证,在认 证的过程中向所述提供基本接入的授权、计费、认证服务器发送网络接入标识符,所述网络 接入标识符附带所述终端所请求服务的服务标识信息;
提供基本接入的授权、计费、认证服务器,用于在认证的过程中接收来自终端的网络接
入标识符,根据所述网络接入标识符和存储在所述提供基本接入的授权、计费、认证服务器
数据库中的与所述终端相关的信息对所述终端进行身份认证,在通过身份认证的基础上根据
所述网络接入标识符中附带的所述终端所请求服务的服务标识信息判断所述终端能否获得所
请求的服务。
其中终端具体包括
认证模块,用于与提供基本接入的授权、计费、认证服务器进行认证; 网络接入标识符生成模块,用于在网络接入标识符中附带请求服务的服务标识信息; 网络接入标识符发送模块,用于在认证的过程中向所述提供基本接入的授权、计费、认 证服务器发送所述附带本终端所请求服务的服务标识信息的网络接入标识符。 作为一个优选的方案,网络接入标识符生成模块具体为
扩展模块,用于在网络接入标识符后扩展后缀信息,所述后缀信息作为服务标识信息。 作为另一个优选的方案,网络接入标识符生成模块具体为变换模块,用于根据算法对NAI作变换,使变换后的网络接入标识符附带所述服务标识
梓自 I 口 'E、 o
其中,提供基本接入的授权、计费、认证服务器具体包括
接收模块,用于在认证的过程中接收来自终端的网络接入标识符,所述网络接入标识符 附带所述终端所请求服务的服务标识信息;
认证模块,用于根据所述网络接入标识符和存储在所述提供基本接入的授权、计费、认 证服务器数据库中的与所述终端相关的信息对所述终端进行身份认证;
判断模块,用于在通过身份认证的基础上根据所述网络接入标识符中携带的所述终端所 请求服务的服务标识信息判断所述终端能否获得所请求的服务。
上述判断模块具体包括
查找单元,用于根据所述服务标识信息得到终端所请求的服务,查找是否存在为所述终 端提供所请求服务的其它授权、计费、认证服务器(AAAz服务器);
服务获取单元,用于判断如果所述查找模块为存在所述终端提供所请求服务的其它授权、 计费、认证服务器,且所述提供基本接入的授权、计费、认证服务器与所述其它授权、计费、 认证服务器建立了信任关系,则所述终端能获得所请求的服务。
本发明的技术方案,通过在NAI中附带服务标识信息,在认证的过程中根据NAI中附带的 服务标识信息向AAAn服务器进行协商,因此,整个协商流程在认证的过程中就已经完成,不 必等到认证以后才开始协商;另外,由于在认证的过程中完成协商流程,避免了现有技术中 存在的由于在认证结束后删除了EMSK,而导致后续的协商、授权过程无法获取EMSK的情况; 此外所附带的服务标识信息可以分别指定各种不同类型服务,因而可以承载更多服务。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之 内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
1权利要求
1. 一种网络服务的协商方法,其特征在于,所述方法包括如下步骤提供基本接入的授权、计费、认证服务器在认证的过程中接收来自终端的网络接入标识符,所述网络接入标识符附带所述终端所请求服务的服务标识信息;所述提供基本接入的授权、计费、认证服务器根据所述网络接入标识符和存储在所述提供基本接入的授权、计费、认证服务器数据库中的与所述终端相关的信息对所述终端进行身份认证,在通过身份认证的基础上根据所述网络接入标识符中附带的所述终端所请求服务的服务标识信息判断所述终端能否获得所请求的服务。
2. 根据权利要求l所述的网络服务的协商方法,其特征在于,根据所述网络接入标识符 中附带的所述终端所请求服务的服务标识信息判断所述终端能否获得所请求的服务,具体包 括根据所述服务标识信息得到终端所请求的服务,查找是否存在为所述终端提供所请求服 务的其它授权、计费、认证服务器,如果存在,且所述提供基本接入的授权、计费、认证服 务器与所述其它授权、计费、认证服务器建立了信任关系,则所述终端能获得所请求的服务。
3. 根据权利要求l所述的网络服务的协商方法,其特征在于,所述网络接入标识符附带 所述终端所请求服务的服务标识信息,具体包括在网络接入标识符后扩展后缀信息,所述后缀信息作为服务标识信息。
4. 根据权利要求l所述的网络服务的协商方法,其特征在于,所述网络接入标识符附带 所述终端所请求服务的服务标识信息,具体包括根据算法对网络接入标识符作变换,使变换后的网络接入标识符附带所述服务标识信息。
5. —种网络服务的协商系统,其特征在于,所述系统包括终端,用于与提供基本接入的授权、计费、认证服务器进行认证,在认证的过程中向所 述提供基本接入的授权、计费、认证服务器发送网络接入标识符,所述网络接入标识符附带 所述终端所请求服务的服务标识信息;提供基本接入的授权、计费、认证服务器,用于在认证的过程中接收来自终端的网络接 入标识符,根据所述网络接入标识符和存储在所述提供基本接入的授权、计费、认证服务器 数据库中的与所述终端相关的信息对所述终端进行身份认证,在通过身份认证的基础上根据所述网络接入标识符中附带的所述终端所请求服务的服务标识信息判断所述终端能否获得所 请求的服务。
6. 根据权利要求1所述的网络服务的协商系统,其特征在于,所述提供基本接入的授权、 计费、认证服务器具体包括接收模块,用于在认证的过程中接收来自终端的网络接入标识符,所述网络接入标识符 附带所述终端所请求服务的服务标识信息;认证模块,用于根据所述网络接入标识符和存储在所述提供基本接入的授权、计费、认 证服务器数据库中的与所述终端相关的信息对所述终端进行身份认证;判断模块,用于在通过身份认证的基础上根据所述网络接入标识符中携带的所述终端所 请求服务的服务标识信息判断所述终端能否获得所请求的服务。
7. 根据权利要求6所述的网络服务的协商系统,其特征在于,所述判断模块具体包括 査找单元,用于根据所述服务标识信息得到终端所请求的服务,査找是否存在为所述终端提供所请求服务的其它授权、计费、认证服务器;服务获取单元,用于判断如果所述査找模块为存在所述终端提供所请求服务的其它授权、 计费、认证服务器,且所述提供基本接入的授权、计费、认证服务器与所述其它授权、计费、 认证服务器建立了信任关系,则所述终端能获得所请求的服务。
8. 根据权利要求l所述的网络服务的协商系统,其特征在于,所述终端具体包括 认证模块,用于与提供基本接入的授权、计费、认证服务器进行认证; 网络接入标识符生成模块,用于在网络接入标识符中附带请求服务的服务标识信息; 网络接入标识符发送模块,用于在认证的过程中向所述提供基本接入的授权、计费、认证服务器发送所述附带本终端所请求服务的服务标识信息的网络接入标识符。
9. 根据权利要求8所述的网络服务的协商系统,其特征在于,所述网络接入标识符生成 模块具体为扩展模块,用于在网络接入标识符后扩展后缀信息,所述后缀信息作为服务标识信息。
10. 根据权利要求8所述的网络服务的协商系统,其特征在于,所述网络接入标识符生 成模块具体为变换模块,用于根据算法对NAI作变换,使变换后的网络接入标识符附带所述服务标识fe息。
11. 一种终端,其特征在于,所述终端具体包括认证模块,用于与提供基本接入的授权、计费、认证服务器进行认证; 网络接入标识符生成模块,用于在网络接入标识符中附带请求服务的服务标识信息; 网络接入标识符发送模块,用于在认证的过程中向所述提供基本接入的授权、计费、认证服务器发送所述附带本终端所请求服务的服务标识信息的网络接入标识符。
12. —种服务器,其特征在于,所述服务器未提供基本接入的授权、计费、认证服务器, 具体包括接收模块,用于在认证的过程中接收来自终端的网络接入标识符,所述网络接入标识符 附带所述终端所请求服务的服务标识信息;.认证模块,用于根据所述网络接入标识符和存储在所述提供基本接入的授权、计费、认 证服务器数据库中的与所述终端相关的信息对所述终端进行身份认证;判断模块,用于在通过身份认证的基础上根据所述网络接入标识符中附带的所述终端所 请求服务的服务标识信息判断所述终端能否获得所请求的服务。
全文摘要
本发明公开了一种网络服务的协商方法、系统、一种终端和服务器,属于网络接入技术领域。所述方法包括提供基本接入的授权、计费、认证服务器在认证的过程中接收来自终端的附带所述终端所请求服务的服务标识信息的网络接入标识符,根据所述网络接入标识符和存储在所述提供基本接入的授权、计费、认证服务器数据库中的与所述终端相关的信息对所述终端进行身份认证,在通过身份认证的基础上根据所述网络接入标识符中附带的所述终端所请求服务的服务标识信息判断所述终端能否获得所请求的服务。所述系统包括终端和提供基本接入的授权、计费、认证服务器。本发明技术方案可简化协商流程,方便网络管理和操作方便。
文档编号H04L9/32GK101471773SQ20071030435
公开日2009年7月1日 申请日期2007年12月27日 优先权日2007年12月27日
发明者潘云波 申请人:华为技术有限公司