專利名稱:鑒權(quán)處理方法和系統(tǒng)��、3gpp認(rèn)證授權(quán)計(jì)費(fèi)服務(wù)器及用戶設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及移動(dòng)通信技術(shù)領(lǐng)域����,特別涉及一種鑒權(quán)處理方法和系統(tǒng)�����、3GPP認(rèn)證授 權(quán)計(jì)費(fèi)服務(wù)器及用戶設(shè)備���。
背景技術(shù):
第三代合作伙伴計(jì)劃(3rd Generation Partnership Pro ject�����, 3GPP)系統(tǒng)中的認(rèn) 證授豐又計(jì)費(fèi)(Authentication Authorization Accounting, AAA)月艮務(wù)器在網(wǎng)絡(luò)中的作用 之一為該3GPP AAA服務(wù)器從用戶或家庭設(shè)備接收認(rèn)證請求消息����,然后對用戶設(shè)備或家庭 設(shè)備完成認(rèn)證授權(quán)的處理����。圖1為現(xiàn)有技術(shù)用戶設(shè)備接入3GPP AAA服務(wù)器的接口示意圖。 如圖1所示,用戶設(shè)備通過不同的網(wǎng)絡(luò)設(shè)備接入3GPP AAA服務(wù)器的接口所支持的認(rèn)證方式 是不同的���,其中 Wa接口支持可擴(kuò)展的認(rèn)證協(xié)議-用戶識別模塊(Extensible AuthenticationPr otocol-Subscriber Identify Modules, EAP-SM)認(rèn)證或者可擴(kuò)展的認(rèn)證協(xié)議_認(rèn)證與密 鑰協(xié)商(EAP_Authentication and Key Agreement, EAP-AKA)認(rèn)證���; Wm接口支持基于Internet密鑰交換(Internet Key Exchange, IKE) V2的EAP-SM
認(rèn)證或基于IKE V2的EAP-AKA認(rèn)證; SWm接口支持基于IKE V2的EAP-AKA認(rèn)證����; STa接口支持EAP-AKA'認(rèn)證,該EAP-AKA'認(rèn)證可以認(rèn)為是對EAP-AKA認(rèn)證進(jìn)行了 小的修正后的一種新的認(rèn)證方式��; SWa接口支持EAP-AKA認(rèn)證或者EAP-AKA'認(rèn)證�;
S6b接口支持基于IKE V2的EAP-AKA認(rèn)證; 安全網(wǎng)關(guān)(SeGW)與3GPP AAA服務(wù)器之間的接口名稱還沒有定義�����,該接口支持基 于IKE V2的EAP-AKA認(rèn)證�; Wd/SWd接口為在漫游情況下,上述接口發(fā)送的消息都要通過3GPPAAA代理與3GPP AAA服務(wù)器之間的該Wd/SWd接口轉(zhuǎn)發(fā)�,因此該Wd/SWd接口支持上述所有的認(rèn)證方式����。
發(fā)明人在實(shí)現(xiàn)本發(fā)明的過程中�����,發(fā)現(xiàn)現(xiàn)有技術(shù)至少存在以下缺點(diǎn)當(dāng)3GPP AAA服 務(wù)器同時(shí)支持上述圖1中的所有接口或部分接口的認(rèn)證時(shí),部分認(rèn)證方式不能被3GPP AAA 服務(wù)器所區(qū)分��,那么當(dāng)3GPP AAA服務(wù)器從這些接口接收到認(rèn)證請求消息后�,由于無法識別 是哪一種認(rèn)證方式,從而無法進(jìn)行進(jìn)一步的鑒權(quán)處理�。
發(fā)明內(nèi)容
本發(fā)明實(shí)施例提供一種鑒權(quán)處理方法和系統(tǒng)、3GPP認(rèn)證授權(quán)計(jì)費(fèi)服務(wù)器及用戶設(shè) 備���,使得3GPP AAA服務(wù)器可以區(qū)分各種認(rèn)證方式。 根據(jù)本發(fā)明實(shí)施例的一方面����,提供了一種鑒權(quán)處理方法,包括
接收認(rèn)證請求消息��,所述認(rèn)證請求消息中攜帶認(rèn)證方式指示信息�;
根據(jù)所述認(rèn)證方式指示信息,確定認(rèn)證方式���;
根據(jù)所述認(rèn)證方式進(jìn)行相應(yīng)的鑒權(quán)處理���。 根據(jù)本發(fā)明實(shí)施例的另一方面�����,提供了一種3GPP認(rèn)證授權(quán)計(jì)費(fèi)服務(wù)器����,包括
接收模塊�����,用于接收認(rèn)證請求消息��,所述認(rèn)證請求消息中攜帶認(rèn)證方式指示信 息�; 確定模塊,用于根據(jù)所述認(rèn)證方式指示信息���,確定認(rèn)證方式�����; 鑒權(quán)處理模塊�,用于根據(jù)所述認(rèn)證方式進(jìn)行相應(yīng)的鑒權(quán)處理�����。 根據(jù)本發(fā)明實(shí)施例的另一方面,提供了一種用戶設(shè)備�����,包括 消息構(gòu)造模塊���,用于構(gòu)造攜帶認(rèn)證方式指示信息的認(rèn)證請求消息�; 發(fā)送模塊���,用于通過網(wǎng)絡(luò)設(shè)備向3GPP認(rèn)證授權(quán)計(jì)費(fèi)服務(wù)器發(fā)送所述消息構(gòu)造模
塊構(gòu)造的所述認(rèn)證請求消息��。 根據(jù)本發(fā)明實(shí)施例的另一方面���,提供了一種鑒權(quán)處理系統(tǒng)����,包括如上所述的 3GPP認(rèn)證授權(quán)計(jì)費(fèi)服務(wù)器;以及網(wǎng)絡(luò)設(shè)備�,用以使上述用戶設(shè)備通過所述網(wǎng)絡(luò)設(shè)備接入所 述3GPP認(rèn)證授權(quán)計(jì)費(fèi)服務(wù)器。 由以上技術(shù)方案可知�����,本發(fā)明實(shí)施例提供的鑒權(quán)處理方法和系統(tǒng)、3GPP認(rèn)證授權(quán) 計(jì)費(fèi)服務(wù)器及用戶設(shè)備��,通過在用戶設(shè)備發(fā)送的認(rèn)證請求消息中攜帶具有不同的參數(shù)值的 認(rèn)證方式指示信息�,使得3GPP認(rèn)證授權(quán)計(jì)費(fèi)服務(wù)器可以區(qū)分不同的認(rèn)證方式,并根據(jù)其確 定的認(rèn)證方式進(jìn)行相應(yīng)的鑒權(quán)處理�。
圖1為現(xiàn)有技術(shù)用戶設(shè)備接入3GPP AAA服務(wù)器的接口示意圖; 圖2為本發(fā)明鑒權(quán)處理方法第一實(shí)施例示意圖�����; 圖3為本發(fā)明鑒權(quán)處理方法第二實(shí)施例示意圖��; 圖4為本發(fā)明鑒權(quán)處理方法第三實(shí)施例示意圖����; 圖5為本發(fā)明3GPP認(rèn)證授權(quán)計(jì)費(fèi)服務(wù)器實(shí)施例的結(jié)構(gòu)示意圖; 圖6為本發(fā)明用戶設(shè)備實(shí)施例的結(jié)構(gòu)示意圖���; 圖7為本發(fā)明鑒權(quán)處理系統(tǒng)實(shí)施例的結(jié)構(gòu)示意圖���。
具體實(shí)施例方式
下面將結(jié)合本發(fā)明實(shí)施例中的附圖,對本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚��、完 整地描述�����,顯然,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例���,而不是全部的實(shí)施例����?��;?本發(fā)明中的實(shí)施例����,本領(lǐng)域普通技術(shù)人員在沒有作出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他 實(shí)施例�����,都屬于本發(fā)明保護(hù)的范圍�����。
圖2為本發(fā)明鑒權(quán)處理方法第一實(shí)施例示意圖����。如圖2所示,包括如下步驟
步驟201��、接收認(rèn)證請求消息�,該認(rèn)證請求消息中攜帶認(rèn)證方式指示信息;
步驟202�、根據(jù)認(rèn)證方式指示信息,確定認(rèn)證方式��;
步驟203�����、根據(jù)認(rèn)證方式進(jìn)行相應(yīng)的鑒權(quán)處理�����。 其中�����,3GPP認(rèn)證授權(quán)計(jì)費(fèi)(AAA)服務(wù)器從圖1所示的各個(gè)接口接收用戶設(shè)備發(fā)送 的認(rèn)證請求消息�,其中認(rèn)證請求消息中攜帶認(rèn)證方式指示信息,所述認(rèn)證方式指示信息可
5以為網(wǎng)絡(luò)接入標(biāo)識格式的用戶身份標(biāo)識參數(shù)或自定義標(biāo)識參數(shù)或接入網(wǎng)絡(luò)標(biāo)識參數(shù)或接 入網(wǎng)絡(luò)類型參數(shù)��。;根據(jù)認(rèn)證方式指示信息不同的參數(shù)值�,3GPP AAA服務(wù)器確定其接收到的 認(rèn)證請求消息所請求的認(rèn)證方式,可以包括EAP-SIM認(rèn)證����、EAP-AKA認(rèn)證、EAP-AKA'認(rèn)證�����、 基于IKE V2的EAP-SIM認(rèn)證��、基于IKE V2的EAP-AKA認(rèn)證或者表示是對家庭基站的認(rèn)證 (例如設(shè)備認(rèn)證(Device authentication)或者宿主認(rèn)證(Hostpart authentication)等) 等��;3GPP AAA服務(wù)器確定認(rèn)證方式后���,對不同的認(rèn)證方式進(jìn)行不同的鑒權(quán)處理����。
本實(shí)施例提供的鑒權(quán)處理方法����,通過在認(rèn)證請求消息中攜帶具有不同的參數(shù)值的 認(rèn)證方式指示信息,使得3GPP AAA服務(wù)器可以區(qū)分不同的認(rèn)證方式��,并針對不同的認(rèn)證方 式進(jìn)行不同的鑒權(quán)處理�����。 圖3為本發(fā)明鑒權(quán)處理方法第二實(shí)施例示意圖�����,如圖3所示�����,包括如下步驟
步驟301 ���、接收認(rèn)證請求消息�����,該認(rèn)證請求消息中攜帶網(wǎng)絡(luò)接入標(biāo)識(Network Access Identifier, NAI)格式的用戶身份標(biāo)識參數(shù)���。 其中該網(wǎng)絡(luò)接入標(biāo)識(Network Access Identifier,NAI)格式的用戶身份標(biāo)識參 數(shù)為認(rèn)證方式指示信息,該參數(shù)的具體設(shè)置如下 ①對于無線局域網(wǎng)(Wireless Local Area Network,WLAN)網(wǎng)絡(luò)���,如圖l中的WLAN 接入網(wǎng)和分組數(shù)據(jù)網(wǎng)關(guān)(Packet Date Gateway, PDG): NAI格式0〈MSI>@wlan. mnc〈MNC〉. mcc〈MCC〉. 3gppnetwork. org表示EAP-AKA認(rèn) 證�����; NAI格式l〈MSI>@wlan. mnc〈MNC〉. mcc〈MCC〉. 3gppnetwork. org表示EAP-SM認(rèn) 證��; NAI格式2〈MSI>@wlan. mnc〈MNC〉. mcc〈MCC〉. 3gppnetwork. org表示基于IKE V2 的EAP-AKA認(rèn)證���; NAI格式3〈MSI>@wlan. mnc〈MNC〉. mcc〈MCC〉. 3gppnetwork. org表示基于IKE V2 的EAP-SIM認(rèn)證。 ②對于演進(jìn)分組系統(tǒng)(Evolved Packet System, EPS)��,如圖1中的演進(jìn) PDG (ePDG)���、可信3GPP接入網(wǎng)���、非可信3GPP接入網(wǎng)、分組數(shù)據(jù)網(wǎng)絡(luò)網(wǎng)關(guān)(Packet Date Network Gateway, PDN GW)等 NAI 格式0〈MSIXi印c. mnc〈MNO. mcc〈MCO. 3gppnetwork. org表示EAP-AKA認(rèn) 證�; NAI 格式l〈MSI〉0印c. mnc〈MNC〉. mcc〈MCC〉. 3gppnetwork. org表示EAP-AKA, 認(rèn)證�; NAI 格式2〈頂SI〉0印c. mnc〈MNC〉. mcc〈MCC〉. 3gppnetwork. org表示基于IKE V2的EAP-AKA認(rèn)證。 ③對于H(e)NB�,如圖1中通過安全網(wǎng)關(guān)(Security Gateway, SeGW)接入NAI格式2〈頂SI〉0HAP. mnc〈MNC〉. mcc〈MCC〉. 3gppnetwork. org表示基于IKE V2
的EAP-AKA認(rèn)證或者是表示對家庭基站的認(rèn)證。 需要說明的是�,上述NAI格式的用戶身份標(biāo)識參數(shù)作為認(rèn)證方式指示信息的具體 舉例,并非對該認(rèn)證方式指示信息的限制���,也可以采用其他格式的參數(shù)來表示該認(rèn)證方式 指示信息�。
步驟302、根據(jù)上述NAI格式的用戶身份標(biāo)識參數(shù)����,確定認(rèn)證方式�����。 步驟303�����、根據(jù)認(rèn)證方式進(jìn)行相應(yīng)的鑒權(quán)處理����。 下面對各種認(rèn)證方式的進(jìn)一步鑒權(quán)處理做詳細(xì)說明 對于基于IKE V2的EAP-SIM認(rèn)證,進(jìn)行相應(yīng)的鑒權(quán)處理具體包括 步驟3031a�、檢查3GPP AAA服務(wù)器中是否存在未使用鑒權(quán)矢量(Authentication
Vector, AV),若存在����,執(zhí)行步驟3032a,否則執(zhí)行步驟3033a ; 步驟3032a�����、通過未使用AV進(jìn)行鑒權(quán)處理,結(jié)束���; 步驟3033a����、與歸屬地服務(wù)設(shè)備交互獲取新的AV進(jìn)行鑒權(quán)處理�,其中的歸屬地服 務(wù)設(shè)備可以為歸屬位置寄存器(Home Location Register, HLR)或歸屬地簽約用戶服務(wù)器 (Home Subscriber Server, HSS),結(jié)束�����。 對于基于IKE V2的EAP-AKA認(rèn)證或者是表示對家庭基站的認(rèn)證�����,進(jìn)行相應(yīng)的鑒權(quán) 處理具體包括 步驟3031b�、檢查3GPP AAA服務(wù)器中是否存在未使用AV,若存在�,執(zhí)行步驟3032b, 否則執(zhí)行步驟3035b ; 步驟3032b��、判斷未使用AV中的鑒權(quán)令牌(Authentication Token, AUTN)中的認(rèn) 證管理域(Authentication Management Field, AMF)的分離位(S印arationbit)是否置 位����,若沒有置位�����,即AMF的分離位為O����,則執(zhí)行步驟3033b���,否則執(zhí)行步驟3034b ;
其中,每個(gè)AV中包括隨機(jī)數(shù)(RAND)�����、期望得到的響應(yīng)(XRES)����、加密密鑰(CK)、完 整性密鑰(IK)和AUTN五部分��;計(jì)算AUTN時(shí)需要利用AMF作為輸入?yún)?shù)��,AMF中的一個(gè)或 多個(gè)比特位定義為分離位����;AMF的分離位置位即AMF的分離位為1�, AMF的分離位未置位即 AMF的分離位為0���。 步驟3033b ���、通過未使用AV進(jìn)行鑒權(quán)處理,結(jié)束����;
步驟3034b、進(jìn)行異常處理�,結(jié)束; 步驟3035b���、3GPP AAA服務(wù)器與歸屬地服務(wù)設(shè)備交互時(shí)���,發(fā)送一個(gè)表示是對家庭基 站進(jìn)行認(rèn)證的第一指示,其中的歸屬地服務(wù)設(shè)備可以為HLR或HSS ; 步驟3036b���、歸屬地服務(wù)設(shè)備根據(jù)該第一指示��,產(chǎn)生新的AV中的AUTN中的AMF的
分離位不置位����,即AMF的分離位為0,并將新的AV返回給3GPPAAA服務(wù)器�; 步驟3037b 、3GPP AAA服務(wù)器獲取該新的AV進(jìn)行鑒權(quán)處理�����,結(jié)束�。 上述基于IKE V2的EAP-SM認(rèn)證或者基于IKE V2的EAP-AKA認(rèn)證,由于IKE協(xié)
議本身提供了加密/認(rèn)證/防重放的安全服務(wù)�,因此3GPP AAAServer不需要要求用戶設(shè)備
(UE)重新發(fā)送其身份標(biāo)識以驗(yàn)證用戶設(shè)備�����。 對于EAP-SM認(rèn)證���,進(jìn)行相應(yīng)的鑒權(quán)處理具體包括 步驟3031c��、再次向用戶設(shè)備獲取其用戶身份標(biāo)識���; 步驟3032c、判斷再次獲取的用戶身份標(biāo)識與認(rèn)證請求消息中的用戶身份標(biāo)識是 否相同�����,若相同,執(zhí)行步驟3033c�,否則結(jié)束; 步驟3033c�、檢查3GPP AAA服務(wù)器中是否存在未使用AV,若存在�,執(zhí)行步驟3034c, 否則執(zhí)行步驟3035c ; 步驟3034c �、通過未使用AV進(jìn)行鑒權(quán)處理,結(jié)束��; 步驟3035c���、與歸屬地服務(wù)設(shè)備交互獲取新的AV進(jìn)行鑒權(quán)處理����,其中的歸屬地服
7務(wù)設(shè)備可以為HLR或HSS����,結(jié)束。 對于EAP-AKA認(rèn)證��,進(jìn)行相應(yīng)的鑒權(quán)處理具體包括
步驟3031d、再次向用戶設(shè)備獲取其用戶身份標(biāo)識���; 步驟3032d�、判斷再次獲取的用戶身份標(biāo)識與認(rèn)證請求消息中的用戶身份標(biāo)識是 否相同����,若相同,執(zhí)行步驟3033d����,否則結(jié)束; 步驟3033d�、檢查3GPP AAA服務(wù)器中是否存在未使用AV,若存在��,執(zhí)行步驟3034d�����, 否則執(zhí)行步驟3037d ; 步驟3034d��、判斷未使用AV中的AUTN中的AMF的分離位是否置位�,若沒有置位����,即 AMF的分離位為0�����,則執(zhí)行步驟3035d�����,否則執(zhí)行步驟3036d ;
步驟3035d����、通過未使用AV進(jìn)行鑒權(quán)處理����,結(jié)束;
步驟3036d���、進(jìn)行異常處理����,結(jié)束�; 步驟3037d、與歸屬地服務(wù)設(shè)備交互獲取新的AV進(jìn)行鑒權(quán)處理��,其中的歸屬地服 務(wù)設(shè)備可以為HLR或HSS,結(jié)束�����。 對于EAP-AKA'認(rèn)證��,進(jìn)行相應(yīng)的鑒權(quán)處理具體包括
步驟3031e����、再次向用戶設(shè)備獲取其用戶身份標(biāo)識; 步驟3032e�、判斷再次獲取的用戶身份標(biāo)識與認(rèn)證請求消息中的用戶身份標(biāo)識是 否相同,若相同�����,執(zhí)行步驟3033e�,否則結(jié)束; 步驟3033e���、檢查3GPP AAA服務(wù)器中是否存在未使用AV,若存在��,執(zhí)行步驟3034e�, 否則執(zhí)行步驟3037e ; 步驟3034e、判斷未使用AV中的AUTN中的AMF的分離位是否置位,若置位�,即AMF 的分離位為l,則執(zhí)行步驟3035e����,否則執(zhí)行步驟3036e ;
步驟3035e、通過未使用AV進(jìn)行鑒權(quán)處理��,結(jié)束�����;
步驟3036e����、進(jìn)行異常處理,結(jié)束�����; 步驟3037e�����、3GPP AAA服務(wù)器與歸屬地服務(wù)設(shè)備交互時(shí)�,發(fā)送一個(gè)表示是
EAP-AKA'認(rèn)證的第二指示���,其中的歸屬地服務(wù)設(shè)備可以為HLR或HSS ; 步驟3038e、歸屬地服務(wù)設(shè)備根據(jù)該第二指示��,產(chǎn)生新的AV中的AUTN中的AMF的
分離位置位����,即AMF的分離位為1,并將新的AV返回給3GPPAAA服務(wù)器�����; 步驟3039e�����、3GPP AAA服務(wù)器獲取該新的AV進(jìn)行鑒權(quán)處理���,結(jié)束���。 本實(shí)施例提供的鑒權(quán)處理方法,通過在認(rèn)證請求消息中攜帶具有不同的參數(shù)值的
認(rèn)證方式指示信息�,使得3GPP AAA服務(wù)器可以區(qū)分不同的認(rèn)證方式,并詳細(xì)說明了針對不
同的認(rèn)證方式進(jìn)行的具體的鑒權(quán)處理����。 圖4為本發(fā)明鑒權(quán)處理方法第三實(shí)施例示意圖,如圖4所示����,包括如下步驟
步驟401、3GPP AAA服務(wù)器接收認(rèn)證請求消息���,該認(rèn)證請求消息中攜帶自定義標(biāo)識 參數(shù)���。 其中,所述自定義標(biāo)識參數(shù)為在認(rèn)證請求消息中新增加的參數(shù)信息��,并把該自定 義標(biāo)識參數(shù)作為認(rèn)證方式指示信息����。例如該自定義標(biāo)識參數(shù)可以在認(rèn)證方式指示信息的某 些字段處定義為0表示EAP-AKA認(rèn)證、1表示EAP-SIM認(rèn)證����、2表示基于IKE V2的EAP-AKA 認(rèn)證、3表示基于IKE V2的EAP-SM認(rèn)證�、4表示EAP-AKA'認(rèn)證等形式。
步驟402�����、3GPP AAA服務(wù)器根據(jù)上述自定義標(biāo)識參數(shù),確定認(rèn)證方式�����。
8
步驟403�����、3GPP AAA服務(wù)器根據(jù)認(rèn)證方式進(jìn)行相應(yīng)的鑒權(quán)處理����。 其中步驟403中對上述認(rèn)證方式所做的鑒權(quán)處理如上述實(shí)施例中所描述,在此不
再贅述�����。 需要說明的是�����,也可以采用其他格式的參數(shù)來表示該認(rèn)證方式指示信息��。例如�����,如 果發(fā)現(xiàn)認(rèn)證請求消息中含有接入網(wǎng)絡(luò)標(biāo)識參數(shù)或者接入網(wǎng)絡(luò)類型參數(shù)����,就認(rèn)為是EAP-AKA' 認(rèn)證方式����。 另外,3GPP AAA服務(wù)器還可以根據(jù)認(rèn)證請求消息中的NAI格式的用戶身份標(biāo)識參
數(shù)和接入網(wǎng)絡(luò)標(biāo)識參數(shù)確定是否EAP-AKA'認(rèn)證方式��;或者����,根據(jù)認(rèn)證請求消息中的NAI格
式的用戶身份標(biāo)識參數(shù)和接入網(wǎng)絡(luò)類型參數(shù)確定是否EAP-AKA'認(rèn)證方式。 本實(shí)施例提供的鑒權(quán)處理方法����,通過在認(rèn)證請求消息中攜帶具有不同的參數(shù)值的
認(rèn)證方式指示信息,使得3GPP AAA服務(wù)器可以區(qū)分不同的認(rèn)證方式����,并進(jìn)行相應(yīng)的鑒權(quán)處理。 圖5為本發(fā)明3GPP認(rèn)證授權(quán)計(jì)費(fèi)服務(wù)器實(shí)施例的結(jié)構(gòu)示意圖��。如圖5所示,該 3GPP AAA服務(wù)器包括接收模塊51��、確定模塊52��、鑒權(quán)處理模塊53����。其中接收模塊51用于 接收認(rèn)證請求消息,該認(rèn)證請求消息中攜帶認(rèn)證方式指示信息�;確定模塊52用于根據(jù)接收 模塊51接收到的認(rèn)證方式指示信息,確定認(rèn)證方式�����;鑒權(quán)處理模塊53用于根據(jù)確定模塊 52確定的認(rèn)證方式進(jìn)行相應(yīng)的鑒權(quán)處理����。 其中,認(rèn)證方式指示信息可以為網(wǎng)絡(luò)接入標(biāo)識格式的用戶身份標(biāo)識參數(shù)或自定 義標(biāo)識參數(shù)或接入網(wǎng)絡(luò)標(biāo)識參數(shù)或接入網(wǎng)絡(luò)類型參數(shù)�����。 其中����,認(rèn)證方式可以包括有EAP-SIM認(rèn)證�����、EAP-AKA認(rèn)證�、EAP-AKA'認(rèn)證���、基于IKE V2的EAP-SM認(rèn)證、基于IKE V2的EAP-AKA認(rèn)證和表示是對家庭基站的認(rèn)證中的至少一種 認(rèn)證方式��。 其中�,若上述至少一種認(rèn)證方式中包括有EAP-AKA'認(rèn)證、基于IKE V2的EAP-AKA 認(rèn)證或者表示是對家庭基站的認(rèn)證�,則該3GPP AAA服務(wù)器中的鑒權(quán)處理模塊53中還可 以包括發(fā)送模塊531,用于在3GPP AAA服務(wù)器與歸屬地服務(wù)設(shè)備交互時(shí)��,發(fā)送表示是 EAP-AKA'認(rèn)證�、基于IKE V2的EAP-AKA認(rèn)證或者對家庭基站進(jìn)行認(rèn)證的指示至歸屬地服務(wù) 設(shè)備;獲取模塊532����,用于從歸屬地服務(wù)設(shè)備獲取該歸屬地服務(wù)設(shè)備根據(jù)所述指示產(chǎn)生的 鑒權(quán)矢量,并進(jìn)行鑒權(quán)處理��。 本實(shí)施例提供的3GPP認(rèn)證授權(quán)計(jì)費(fèi)服務(wù)器通過確認(rèn)認(rèn)證方式進(jìn)行相應(yīng)的鑒權(quán)處 理的過程如上述鑒權(quán)處理方法實(shí)施例中所描述,在此不再贅述�。 本實(shí)施例提供的3GPP認(rèn)證授權(quán)計(jì)費(fèi)服務(wù)器,可以通過在認(rèn)證請求消息中攜帶具 有不同的參數(shù)值的認(rèn)證方式指示信息���,使得該3GPP認(rèn)證授權(quán)計(jì)費(fèi)服務(wù)器可以區(qū)分不同的 認(rèn)證方式��,并針對不同的認(rèn)證方式進(jìn)行鑒權(quán)處理���。 圖6為本發(fā)明用戶設(shè)備實(shí)施例的結(jié)構(gòu)示意圖。該用戶設(shè)備包括消息構(gòu)造模塊61 以及發(fā)送模塊62�。其中,消息構(gòu)造模塊61���,用于構(gòu)造攜帶認(rèn)證方式指示信息的認(rèn)證請求消 息�;發(fā)送模塊62���,用于通過網(wǎng)絡(luò)設(shè)備向3GPP認(rèn)證授權(quán)計(jì)費(fèi)服務(wù)器發(fā)送消息構(gòu)造模塊61構(gòu) 造的認(rèn)證請求消息�����。其中認(rèn)證方式指示信息可以為網(wǎng)絡(luò)接入標(biāo)識格式的用戶身份標(biāo)識參數(shù) 或自定義標(biāo)識參數(shù)或接入網(wǎng)絡(luò)標(biāo)識參數(shù)或接入網(wǎng)絡(luò)類型參數(shù)�����。 本實(shí)施例提供的用戶設(shè)備通過構(gòu)造認(rèn)證請求消息�,然后發(fā)送至3GPP認(rèn)證授權(quán)計(jì)
9費(fèi)服務(wù)器,從而由3GPP認(rèn)證授權(quán)計(jì)費(fèi)服務(wù)器確認(rèn)認(rèn)證方式并進(jìn)行相應(yīng)的鑒權(quán)處理的過程 如上述鑒權(quán)處理方法實(shí)施例中所描述�����,在此不再贅述����。 本實(shí)施例提供的用戶設(shè)備,可以通過構(gòu)造攜帶認(rèn)證方式指示信息的認(rèn)證請求消 息�,并將其發(fā)送到3GPP認(rèn)證授權(quán)計(jì)費(fèi)服務(wù)器,使得該3GPP認(rèn)證授權(quán)計(jì)費(fèi)服務(wù)器可以區(qū)分不 同的認(rèn)證方式�����,并針對不同的認(rèn)證方式進(jìn)行鑒權(quán)處理�����。 圖7為本發(fā)明鑒權(quán)處理系統(tǒng)實(shí)施例的結(jié)構(gòu)示意圖���。如圖7所示,包括如上述圖5 所描述的3GPP認(rèn)證授權(quán)計(jì)費(fèi)服務(wù)器7 ;以及網(wǎng)絡(luò)設(shè)備8���,用以使如上述圖6所描述的用戶設(shè) 備通過該網(wǎng)絡(luò)設(shè)備8接入該3GPP認(rèn)證授權(quán)計(jì)費(fèi)服務(wù)器7�����。其中接入該3GPP認(rèn)證授權(quán)計(jì)費(fèi) 服務(wù)器7的網(wǎng)絡(luò)設(shè)備8及其接口可以是如圖1所舉例的幾種�,網(wǎng)絡(luò)設(shè)備8可以為PDG、ePDG���、 可信3GPP接入網(wǎng)����、非可信3GPP接入網(wǎng)���、安全網(wǎng)關(guān)等設(shè)備���。 本實(shí)施例提供的鑒權(quán)處理系統(tǒng),可以根據(jù)接收的認(rèn)證請求消息中攜帶的具有不同 參數(shù)值的認(rèn)證方式指示信息��,使得該鑒權(quán)處理系統(tǒng)可以區(qū)分不同的認(rèn)證方式���,并針對不同 的認(rèn)證方式進(jìn)行不同的鑒權(quán)處理���。 本領(lǐng)域普通技術(shù)人員可以理解實(shí)現(xiàn)上述實(shí)施例方法中的全部或部分流程�,是可以 通過計(jì)算機(jī)程序來指令相關(guān)的硬件來完成��,所述的程序可存儲(chǔ)于一計(jì)算機(jī)可獲取存儲(chǔ)介質(zhì) 中����,該程序在執(zhí)行時(shí),可包括如上述各方法的實(shí)施例的流程�。其中,所述的存儲(chǔ)介質(zhì)可為 磁碟���、光盤�、只讀存儲(chǔ)記憶體(Read-OnlyMemory�����, ROM)或隨機(jī)存儲(chǔ)記憶體(Random Access Memory,廳)等�����。 最后應(yīng)說明的是以上實(shí)施例僅用以說明本發(fā)明的技術(shù)方案���,而非對其限制;盡 管參照前述實(shí)施例對本發(fā)明進(jìn)行了詳細(xì)的說明���,本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解其依然
可以對前述各實(shí)施例所記載的技術(shù)方案進(jìn)行修改���,或者對其中部分技術(shù)特征進(jìn)行等同替
換���;而這些修改或者替換,并不使相應(yīng)技術(shù)方案的本質(zhì)脫離本發(fā)明各實(shí)施例技術(shù)方案的精 神和范圍��。
權(quán)利要求
一種鑒權(quán)處理方法���,其特征在于���,包括接收認(rèn)證請求消息,所述認(rèn)證請求消息中攜帶認(rèn)證方式指示信息�����;根據(jù)所述認(rèn)證方式指示信息����,確定認(rèn)證方式;根據(jù)所述認(rèn)證方式進(jìn)行相應(yīng)的鑒權(quán)處理�����。
2. 根據(jù)權(quán)利要求1所述的方法,其特征在于����,所述認(rèn)證方式指示信息為網(wǎng)絡(luò)接入標(biāo)識 格式的用戶身份標(biāo)識參數(shù)或自定義標(biāo)識參數(shù)或接入網(wǎng)絡(luò)標(biāo)識參數(shù)或接入網(wǎng)絡(luò)類型參數(shù)。
3. 根據(jù)權(quán)利要求2所述的方法����,其特征在于,所述根據(jù)所述認(rèn)證方式指示信息�,確定認(rèn) 證方式具體包括根據(jù)所述網(wǎng)絡(luò)接入標(biāo)識格式的用戶身份標(biāo)識參數(shù),確定認(rèn)證方式�;或者 根據(jù)所述自定義標(biāo)識參數(shù),確定認(rèn)證方式���;或者 根據(jù)所述接入網(wǎng)絡(luò)標(biāo)識參數(shù)��,確定認(rèn)證方式���;或者 根據(jù)所述接入網(wǎng)絡(luò)類型參數(shù),確定認(rèn)證方式�����。
4. 根據(jù)權(quán)利要求1 ����、2或3所述的方法,其特征在于�,所述認(rèn)證方式具體包括以下認(rèn)證方 式中的至少一種可擴(kuò)展的認(rèn)證協(xié)議_用戶識別模塊EAP-SIM認(rèn)證、可擴(kuò)展的認(rèn)證協(xié)議_認(rèn)證與密鑰協(xié) 商EAP-AKA認(rèn)證����、EAP-AKA'認(rèn)證、基于Internet密鑰交換IKE V2的EAP-SIM認(rèn)證����、基于IKE V2的EAP-AKA認(rèn)證或者表示對家庭基站的認(rèn)證。
5. 根據(jù)權(quán)利要求4所述的方法�,其特征在于,對所述基于IKE V2的EAP-AKA認(rèn)證或者 表示對家庭基站的認(rèn)證��,所述進(jìn)行相應(yīng)的鑒權(quán)處理具體包括與歸屬地服務(wù)設(shè)備交互時(shí)�����,發(fā)送表示是基于IKE V2的EAP-AKA認(rèn)證或者對家庭基站進(jìn) 行認(rèn)證的第一指示�����;獲取所述歸屬地服務(wù)設(shè)備根據(jù)所述第一指示產(chǎn)生的鑒權(quán)矢量,并進(jìn)行鑒權(quán)處理�����。
6. 根據(jù)權(quán)利要求4所述的方法����,其特征在于,對所述EAP-AKA'認(rèn)證�����,所述進(jìn)行相應(yīng)的鑒 權(quán)處理具體包括與歸屬地服務(wù)設(shè)備交互時(shí)�����,發(fā)送表示是EAP-AKA'認(rèn)證的第二指示�; 獲取所述歸屬地服務(wù)設(shè)備根據(jù)所述第二指示產(chǎn)生的鑒權(quán)矢量���,并進(jìn)行鑒權(quán)處理��。
7. —種3GPP認(rèn)證授權(quán)計(jì)費(fèi)服務(wù)器����,其特征在于,包括接收模塊�,用于接收認(rèn)證請求消息��,所述認(rèn)證請求消息中攜帶認(rèn)證方式指示信息���;確定模塊����,用于根據(jù)所述接收模塊接收到的所述認(rèn)證方式指示信息����,確定認(rèn)證方式;鑒權(quán)處理模塊����,用于根據(jù)所述確定模塊確定的所述認(rèn)證方式進(jìn)行相應(yīng)的鑒權(quán)處理。
8. 根據(jù)權(quán)利要求7所述的3GPP認(rèn)證授權(quán)計(jì)費(fèi)服務(wù)器��,其特征在于��,所述認(rèn)證方式指示 信息為網(wǎng)絡(luò)接入標(biāo)識格式的用戶身份標(biāo)識參數(shù)或自定義標(biāo)識參數(shù)或接入網(wǎng)絡(luò)標(biāo)識參數(shù)或 接入網(wǎng)絡(luò)類型參數(shù)�。
9. 根據(jù)權(quán)利要求7所述的3GPP認(rèn)證授權(quán)計(jì)費(fèi)服務(wù)器,其特征在于�,所述認(rèn)證方式具體 包括以下認(rèn)證方式中的至少一種可擴(kuò)展的認(rèn)證協(xié)議_用戶識別模塊EAP-SIM認(rèn)證、可擴(kuò)展的認(rèn)證協(xié)議_認(rèn)證與密鑰協(xié) 商EAP-AKA認(rèn)證、EAP-AKA'認(rèn)證��、基于Internet密鑰交換IKE V2的EAP-SIM認(rèn)證����、基于IKE V2的EAP-AKA認(rèn)證或者表示是對家庭基站的認(rèn)證�����。
10. 根據(jù)權(quán)利要求9所述的3GPP認(rèn)證授權(quán)計(jì)費(fèi)服務(wù)器��,其特征在于��,所述鑒權(quán)處理模塊包括發(fā)送模塊�,用于在3GPP認(rèn)證授權(quán)計(jì)費(fèi)服務(wù)器與歸屬地服務(wù)設(shè)備交互時(shí),發(fā)送表示是基于IKE V2的EAP-AKA認(rèn)證或者對家庭基站進(jìn)行認(rèn)證或者EAP-AKA'認(rèn)證的指示至歸屬地服 務(wù)設(shè)備�;獲取模塊,用于從所述歸屬地服務(wù)設(shè)備獲取該服務(wù)設(shè)備根據(jù)所述指示產(chǎn)生的鑒權(quán)矢 量���,并進(jìn)行鑒權(quán)處理��。
11. 一種用戶設(shè)備�,其特征在于��,包括消息構(gòu)造模塊,用于構(gòu)造攜帶認(rèn)證方式指示信息的認(rèn)證請求消息���; 發(fā)送模塊����,用于通過網(wǎng)絡(luò)設(shè)備向3GPP認(rèn)證授權(quán)計(jì)費(fèi)服務(wù)器發(fā)送所述消息構(gòu)造模塊構(gòu) 造的所述認(rèn)證請求消息。
12. 根據(jù)權(quán)利要求11所述的用戶設(shè)備����,其特征在于,所述認(rèn)證方式指示信息為網(wǎng)絡(luò)接 入標(biāo)識格式的用戶身份標(biāo)識參數(shù)或自定義標(biāo)識參數(shù)或接入網(wǎng)絡(luò)標(biāo)識參數(shù)或接入網(wǎng)絡(luò)類型 參數(shù)��。
13. —種鑒權(quán)處理系統(tǒng)�,其特征在于,包括如權(quán)利要求7至10任一項(xiàng)所述的3GPP認(rèn) 證授權(quán)計(jì)費(fèi)服務(wù)器�����;以及網(wǎng)絡(luò)設(shè)備���,用以使如權(quán)利要求11或12所述的用戶設(shè)備通過所述網(wǎng) 絡(luò)設(shè)備接入所述3GPP認(rèn)證授權(quán)計(jì)費(fèi)服務(wù)器����。
全文摘要
本發(fā)明實(shí)施例涉及一種鑒權(quán)處理方法和系統(tǒng)、3GPP認(rèn)證授權(quán)計(jì)費(fèi)服務(wù)器及用戶設(shè)備����。本發(fā)明實(shí)施例的鑒權(quán)處理方法包括接收認(rèn)證請求消息,認(rèn)證請求消息中攜帶認(rèn)證方式指示信息�;根據(jù)認(rèn)證方式指示信息,確定認(rèn)證方式����;根據(jù)認(rèn)證方式進(jìn)行相應(yīng)的鑒權(quán)處理。鑒權(quán)處理系統(tǒng)包括3GPP認(rèn)證授權(quán)計(jì)費(fèi)服務(wù)器��,以及網(wǎng)絡(luò)設(shè)備��,用以使用戶設(shè)備通過網(wǎng)絡(luò)設(shè)備接入3GPP認(rèn)證授權(quán)計(jì)費(fèi)服務(wù)器���。本發(fā)明實(shí)施例的鑒權(quán)處理方法和系統(tǒng)、3GPP認(rèn)證授權(quán)計(jì)費(fèi)服務(wù)器及用戶設(shè)備�����,通過在用戶設(shè)備發(fā)送的認(rèn)證請求消息中攜帶具有不同的參數(shù)值的認(rèn)證方式指示信息�,使得3GPP認(rèn)證授權(quán)計(jì)費(fèi)服務(wù)器可以區(qū)分不同的認(rèn)證方式�,并根據(jù)其確定的認(rèn)證方式進(jìn)行相應(yīng)的鑒權(quán)處理�。
文檔編號H04W88/18GK101772020SQ20091013934
公開日2010年7月7日 申請日期2009年5月4日 優(yōu)先權(quán)日2009年1月5日
發(fā)明者何承東 申請人:華為技術(shù)有限公司