业务管理方法、装置、系统及存储介质与流程

本发明涉及业务管理领域，尤其涉及一种业务管理方法、装置、系统及存储介质。

背景技术

为了便于开放式业务的管理，3GPP(第三代合作伙伴计划)组织提出了GBA(Generic Bootstrapping Architecture，通用引导架构)，GBA描述了如何在移动上下文环境中使用基于认证和密钥协商(Authentication Key Agreement，AKA)的机制，可以为用户设备和网络应用实体之间的通信提供共享密钥，比如，可以给应用层业务提供完整的安全认证及加密服务。

GBA系统可以架构于4G或者5G网络之上，4G网络环境下GBA系统的组网架构如图1所示，GBA系统包括：用户设备(User Equipment，UE)、引导服务功能(Bootstrapping Server Function，BSF)、用户归属服务器(Home Subscriber Server，HSS)、网络应用功能(Network Application Function，NAF)。5G网络下的系统架构与其类似，将HSS替换为统一数据管理功能(Unified Data Management，UDM)即可。其中，BSF网元具有对UE进行身份认证并生成GBA会话密钥的能力。部署于外部的应用服务器一侧的NAF网元与部署于移动通信网络侧的BSF网元之间通过Zn接口交互，获取BSF网元生成的GBA会话密钥，从而与UE建立起安全关联。现有的GBA系统架构，网络是将GBA安全能力直接开放给外部服务提供方(即应用服务器)使用，一旦打通Zn接口，服务提供方便可通过NAF网元随意调用运营商网络能力，获取服务。此外，运营商无法对用户的业务行为进行管控，无法实现业务开通、授权、统计、计费、审计等业务管理操作。

技术实现要素：

有鉴于此，本发明实施例提供了一种业务管理方法、装置、系统及存储介质，旨在提升基于GBA对业务进行管理的管理能力。

本发明实施例的技术方案是这样实现的：

本发明实施例提供了一种业务管理方法，包括：

接收网络应用功能(NAF)网元发送的通用引导架构(GBA)的认证请求信息，所述认证请求信息包括：应用服务标识；

基于所述应用服务标识对应用服务器的GBA访问权限进行授权验证。

本发明实施例还提供了一种业务管理装置，包括：

接收模块，用于接收NAF网元发送的GBA的认证请求信息，所述认证请求信息包括：应用服务标识；

验证模块，用于基于所述应用服务标识对应用服务器的GBA访问权限进行授权验证。

本发明实施例又提供了一种业务管理设备，包括：处理器和用于存储能够在处理器上运行的计算机程序的存储器，其中，所述处理器，用于运行计算机程序时，执行本发明任一实施例所述方法的步骤。

本发明实施例还提供了一种GBA系统，包括：BSF网元、NAF网元及本发明实施例所述的业务管理设备，所述业务管理设备分别与所述BSF网元、所述NAF网元通信连接。

本发明实施例又提供了一种存储介质，所述存储介质上存储有计算机程序，所述计算机程序被处理器执行时，实现本发明实施例所述方法的步骤。

本发明实施例提供的技术方案，基于NAF网元发送的GBA的认证请求信息携带的应用服务标识对应用服务器的GBA访问权限进行验证，可以实现服务器级的业务授权管理，避免GBA被外部的应用服务器随意调用，从而提高GBA系统对外安全提供业务服务的能力。

附图说明

图1为现有的GBA系统的组网架构示意图；

图2为本发明实施例GBA系统的组网架构示意图；

图3为本发明实施例业务管理方法的流程示意图；

图4为本发明应用实施例业务管理方法的流程示意图；

图5为本发明实施例业务管理装置的结构示意；

图6为本发明实施例业务管理设备的结构示意图；

图7为本发明实施例GBA系统的结构示意图。

具体实施方式

下面结合附图及实施例对本发明再作进一步详细的描述。

除非另有定义，本文所使用的所有的技术和科学术语与属于本发明的技术领域的技术人员通常理解的含义相同。本文中在本发明的说明书中所使用的术语只是为了描述具体的实施例的目的，不是旨在于限制本发明。

在对本发明实施例业务管理方法进行介绍之前，先对本发明实施例涉及的GBA系统进行说明。如图2所示，本发明实施例的GBA系统在图1所示的GBA系统的基础上引入了GBA业务管理平台，该GBA业务管理平台通过Zn接口与BSF网元和NAF网元进行交互，在NAF网元与BSF网元之间负责转发Zn接口消息，对现有BSF网元及NAF网元的Zn接口实现无影响。

需要说明的是，图2所示的NAF网元部署在运营商的移动通信网络之外，NAF网元亦可以部署在运营商的移动通信网络之内，即NAF网元的部署位置不影响本发明实施例业务管理方法的实现。

如图3所示，本发明实施例提供了一种业务管理方法，应用于GBA业务管理平台，该业务管理方法包括：

步骤301，接收NAF网元发送的GBA的认证请求信息，所述认证请求信息包括：应用服务标识；

这里，NAF网元接收到用户设备发送的业务请求后，基于接收的业务请求向GBA业务管理平台发送认证请求信息，该认证请求信息可以为引导信息请求(Bootstrapping-Info Request，BIR)信息。示例性地，BIR信息可以包括：引导临时标识(Bootstrapping Temporary Identification，B-TID)和网络应用功能标识(NAF_ID)；其中，用户设备发送的业务请求携带所述B-TID，所述B-TID作为保护用户设备的身份信息不被泄露的临时标识信息，所述B-TID由BSF网元为用户设备分配。

实际应用中，GBA的实现包括：初始化、引导、安全关联三个阶段。其中，初始化阶段用于用户设备和应用服务器互相确认使用GBA来进行认证；引导阶段则是完成GBA认证和会话密钥产生的实质阶段；而安全关联阶段是NAF网元向运营商网络获取会话密钥的阶段。具体地，在初始化阶段，用户设备向应用服务器侧的NAF网元发送首次的访问请求，NAF网元指示用户设备基于GBA完成认证；在引导阶段，用户设备可以与BSF网元交互，用户设备、BSF网元完成双向验证，生成了针对该用户的GBA事务身份标识B-TID，且用户设备、BSF网元分别推衍出了GBA会话中间密钥Ks；BSF网元侧推衍Ks依靠用户的鉴权向量AV，若BSF网元未存储该用户的鉴权向量AV，则通过Zh接口向HSS网元获取。B-TID是BSF网元为用户设备分配的一个临时身份，在一些实施例中，B-TID由随机数和BSF的域名构成，不包含用户终端的身份信息，即B-TID与用户的手机号码、IMSI(International Mobile Subscriber Identity，国际移动用户识别码)等并无关联，因此，能够对应用服务器保持用户身份的匿名性；在安全关联阶段，一旦拥有Ks，用户设备和BSF网元就可以为具体应用生成会话密钥Ks_NAF，用户访问该应用服务器的NAF网元时，NAF网元可以通过安全通道(如TLS、专线)向BSF网元获取该Ks_NAF；使用Ks_NAF作为应用层会话密钥、B-TID作为用户临时身份，就可以进行用户身份认证、通信通道安全加密、以及后续业务交互。可以理解的是，会话密钥Ks_NAF即GBA会话密钥。

步骤302，基于所述应用服务标识对应用服务器的GBA访问权限进行授权验证。

本发明实施例业务管理方法，基于NAF网元发送的GBA的认证请求信息携带的应用服务标识对应用服务器的GBA访问权限进行验证，可以实现服务器级的业务授权管理，避免GBA被外部的应用服务器随意调用，从而提高GBA系统对外安全提供业务服务的能力。

在一些实施例中，所述应用服务标识为NAF_ID，所述基于所述应用服务标识对应用服务器的GBA访问权限进行授权验证，包括：

基于所述NAF_ID获取应用服务器的全限定域名(Fully Qualified Domain Name，FQDN)；

基于所述应用服务器的FQDN对所述应用服务器的GBA访问权限进行授权验证。

实际应用中，GBA业务管理平台可以根据应用服务器的业务开通状态判定该应用服务器是否有权限访问并使用GBA相关的业务。具体地，GBA业务管理平台可以预先配置应用服务器的FQDN与业务开通状态的对应关系，例如，配置业务开通状态的状态表，GBA业务管理平台可以根据获取的应用服务器的FQDN在状态表中查询其对应的业务开通状态，若业务开通状态为已开通，则判定应用服务器通过授权验证；若业务开通状态为未开通，则判定应用服务器未通过授权验证。如此，可以实现服务器级的业务授权管理，避免GBA被外部的应用服务器随意调用，从而提高GBA系统对外安全提供业务服务的能力。

需要说明的是，GBA业务管理平台此时由于无法获取到用户设备的标识，无法进行用户设备级的业务授权管理。

在一些实施例中，业务管理方法还包括：

确定所述应用服务器通过授权验证，发送所述认证请求信息给BSF网元；或者，

确定所述应用服务器未通过授权验证，返回拒绝认证请求的第一响应信息给所述NAF网元。

这里，若应用服务器通过授权验证，则GBA业务管理平台发送所述认证请求信息给BSF网元，即发送BIR信息给BSF网元，以获取与所述引导临时标识对应的认证响应信息；若应用服务器未通过授权验证，则GBA业务管理平台返回拒绝认证请求的第一响应信息给所述NAF网元，拒绝应用服务器的业务请求。

为了进一步加强GBA业务管理平台的业务管理能力，在一些实施例中，所述认证请求信息还包括：引导临时标识，发送所述认证请求信息给BSF网元之后，所述方法还包括：

接收所述BSF网元返回的认证响应信息，所述认证响应信息包括：用户安全配置信息；

基于所述用户安全配置信息获取所述引导临时标识对应的用户设备的终端标识；

基于所述终端标识对所述用户设备的GBA访问权限进行授权验证。

可以理解的是，BSF网元接收到认证请求信息后，可以基于认证请求信息的引导临时标识，确定该认证请求信息对应的用户安全配置信息，为NAF生成Ks_NAF应用层会话密钥。

这里，GBA业务管理平台接收BSF网元返回的认证响应信息为与BIR信息对应的BIA(Bootstrapping-Info Answer，引导信息应答)信息。该BIA信息可以包括：用户安全配置信息ussList；其中，ussList中包含有用户设备的IMPU(Public User ID，用户公有标识)信息。GBA业务管理平台可以从ussList中提取出用户设备的IMPU信息，基于用户设备的IMPU信息对用户设备的GBA访问权限进行授权验证。

在一些实施例中，认证响应信息还包括：会话密钥，即BSF网元确定的GBA会话密钥，GBA业务管理平台确定用户设备通过授权验证，转发包括GBA会话密钥的认证响应信息给NAF网元，如此，NAF网元可以使用GBA会话密钥作为应用层会话密钥、B-TID作为用户临时身份，就可以进行用户身份认证、通信通道安全加密、以及后续业务交互。

实际应用中，GBA业务管理平台可以根据用户设备的业务开通状态判定该用户设备是否有权限访问并使用GBA相关的业务。具体地，GBA业务管理平台可以预先配置用户设备的IMPU信息与业务开通状态的对应关系，例如，配置业务开通状态的状态表，GBA业务管理平台可以根据获取的用户设备的IMPU信息在状态表中查询其对应的业务开通状态，若业务开通状态为已开通，则判定用户设备通过授权验证；若业务开通状态为未开通，则判定用户设备未通过授权验证。如此，可以实现终端级的业务授权管理，避免GBA被外部的用户设备随意调用，从而提高GBA系统对外安全提供业务服务的能力。

在一些实施例中，业务管理方法还包括：

确定所述用户设备通过授权验证，发送所述认证响应信息给所述NAF网元；或者，

确定所述用户设备未通过授权验证，返回拒绝认证请求的第二响应信息给所述NAF网元。

这里，若用户设备通过授权验证，则GBA业务管理平台将BIA信息转发给NAF网元，使得应用服务器可以获取到GBA会话密钥，便于应用服务器与用户设备基于GBA会话密钥进行身份认证、通信通道安全加密、以及后续业务交互；若用户设备未通过授权验证，则GBA业务管理平台返回拒绝认证请求的第二响应信息给所述NAF网元，从而避免GBA被滥用。

如此，本发明实施例业务管理方法，GBA业务管理平台可以实现服务器级及终端级的GBA相关的业务授权管理，从而实现了对外开放的GBA网络安全能力的业务管控，能够有效避免Zn接口被打通后，服务提供方通过NAF网元随意调用运营商的网络能力，通过GBA业务管理平台可以加强对GBA相关的业务进行管控，提升GBA系统对外安全提供业务服务的能力。

在一些实施例中，业务管理方法还包括以下至少之一：

对通过授权验证的GBA相关的业务进行统计；

对通过授权验证的GBA相关的业务进行计费；

对通过授权验证的GBA相关的业务进行审计。

这里，GBA业务管理平台可以对通过服务器级及终端级的业务授权管理的GBA相关的业务进行统计、计费和/或审计等业务管理操作，从而可以对外提供新增的增值业务，从而丰富了现有的GBA系统的业务能力，且应用服务器侧仍无法获取用户设备的终端标识，能很好地满足用户信息的隐私保护需求。

下面结合应用实施例对本发明再作进一步详细的描述。

如图4所示，本应用实施例业务管理方法在GBA的安全关联阶段，GBA业务管理平台能够获取用户设备的身份信息，并根据用户的业务状态，对GBA网络安全能力调用请求进行业务授权和统计。如图4所示，该业务管理方法包括：

步骤401，NAF网元接收业务请求；

这里，NAF网元接收到用户设备发送的HTTP GET请求后，NAF网元发送BIR消息到GBA业务管理平台，请求获取GBA会话密钥、用户安全配置等方面的信息。

步骤402，GBA业务管理平台接收BIR消息；

这里，BIR消息包括B-TID、NAF_ID等信息；

步骤403，提取FQDN，根据业务权限对Server请求授权；

这里，GBA业务管理平台从NAF-ID中提取出Server(应用服务器)的FQDN，并根据服务提供方的业务权限对GBA业务请求进行授权、统计，实现服务级的业务授权。例如，GBA业务管理平台可以根据业务开通状态判定该服务提供方的NAF或者Server是否有权限访问并使用GBA业务。此时由于无法获取到用户终端的标识，不对终端的业务权限进行授权、统计。若授权通过，则执行步骤404；若授权未通过，则执行步骤405。

步骤404，GBA业务管理平台发送BIR消息；

若授权通过，GBA业务管理平台向BSF网元转发BIR消息。

步骤405，GBA业务管理平台返回第一响应信息；

若授权未通过，则发送DIAMETER_ERROR_NOT_AUTHORIZED(5402)消息，拒绝NAF网元的业务请求。

步骤406，GBA业务管理平台接收BIA消息；

BSF网元接收到GBA业务管理平台转发的BIR消息后，BSF网元发送BIA消息给GBA业务管理平台，该BIA消息包含会话密钥KeyMaterial和用户安全配置信息ussList，ussList中包含有用户设备的IMPU信息。

步骤407，提取IMPU，根据业务权限对终端请求授权，统计；

GBA业务管理平台从ussList中提取IMPU，根据用户设备的业务权限对该GBA业务请求授权、统计，实现终端级的业务授权。例如，GBA业务管理平台可以根据用户设备的业务开通状态判定该用户设备是否有权限访问并使用GBA业务。若授权通过，则执行步骤408；若授权未通过，则执行步骤409。

步骤408，GBA业务管理平台转发BIA消息；

若授权通过，GBA业务管理平台向NAF网元转发BIA消息。

步骤409，GBA业务管理平台返回第二响应信息。

若授权未通过，则发送DIAMETER_ERROR_IDENTITY_UNKNOWN(5401)消息，向NAF网元拒绝终端的业务请求。

为了实现本发明实施例的方法，本发明实施例还提供一种业务管理装置，该业务管理装置与上述业务管理方法对应，上述业务管理方法实施例中的各步骤也完全适用于本业务管理装置实施例。

如图5所示，该业务管理装置500包括：接收模块501和验证模块502，其中，接收模块501用于接收NAF网元发送的GBA的认证请求信息，所述认证请求信息包括：应用服务标识；验证模块502用于基于所述应用服务标识对应用服务器的GBA访问权限进行授权验证。

在一些实施例中，所述应用服务标识为网络应用功能标识(NAF_ID)，验证模块502具体用于：

基于所述NAF_ID获取应用服务器的全限定域名(FQDN)；

基于所述应用服务器的FQDN对所述应用服务器的GBA访问权限进行授权验证。

在一些实施例中，该业务管理装置500还包括：发送模块503，发送模块503用于：

确定所述应用服务器通过授权验证，发送所述认证请求信息给引导服务功能BSF网元；或者，

确定所述应用服务器未通过授权验证，返回拒绝认证请求的第一响应信息给所述NAF网元。

在一些实施例中，所述认证请求信息还包括：引导临时标识，接收模块501还用于：接收所述BSF网元返回的认证响应信息，所述认证响应信息包括：用户安全配置信息；验证模块502还用于：基于所述用户安全配置信息获取用户设备的终端标识；基于所述终端标识对所述用户设备的GBA访问权限进行授权验证。

在一些实施例中，认证响应信息还包括：会话密钥。这里，会话密钥即GBA会话密钥。

在一些实施例中，发送模块503还用于：

确定所述用户设备通过授权验证，发送所述认证响应信息给所述NAF网元；或者，

确定所述用户设备未通过授权验证，返回拒绝认证请求的第二响应信息给所述NAF网元。

在一些实施例中，该业务管理装置500还包括：业务管理模块504，业务管理模块504用于以下至少之一：

对通过授权验证的GBA相关的业务进行统计；

对通过授权验证的GBA相关的业务进行计费；

对通过授权验证的GBA相关的业务进行审计。

实际应用时，接收模块501、验证模块502、发送模块503及业务管理模块504，可以由业务管理装置500中的处理器来实现。当然，处理器需要运行存储器中的计算机程序来实现它的功能。

需要说明的是：上述实施例提供的业务管理装置在进行业务管理时，仅以上述各程序模块的划分进行举例说明，实际应用中，可以根据需要而将上述处理分配由不同的程序模块完成，即将装置的内部结构划分成不同的程序模块，以完成以上描述的全部或者部分处理。另外，上述实施例提供的业务管理装置与业务管理方法实施例属于同一构思，其具体实现过程详见方法实施例，这里不再赘述。

基于上述程序模块的硬件实现，且为了实现本发明实施例的方法，本发明实施例还提供一种业务管理设备(即前述的GBA业务管理平台)。图6仅仅示出了该业务管理设备的示例性结构而非全部结构，根据需要可以实施图6示出的部分结构或全部结构。

如图6所示，本发明实施例提供的业务管理设备600包括：至少一个处理器601、存储器602、用户接口603和至少一个网络接口604。业务管理设备600中的各个组件通过总线系统605耦合在一起。可以理解，总线系统605用于实现这些组件之间的连接通信。总线系统605除包括数据总线之外，还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见，在图6中将各种总线都标为总线系统605。

其中，用户接口603可以包括显示器、键盘、鼠标、轨迹球、点击轮、按键、按钮、触感板或者触摸屏等。

本发明实施例中的存储器602用于存储各种类型的数据以支持业务管理设备的操作。这些数据的示例包括：用于在业务管理设备上操作的任何计算机程序。

本发明实施例揭示的业务管理方法可以应用于处理器601中，或者由处理器601实现。处理器601可能是一种集成电路芯片，具有信号的处理能力。在实现过程中，业务管理方法的各步骤可以通过处理器601中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器601可以是通用处理器、数字信号处理器(DSP，Digital Signal Processor)，或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。处理器601可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本发明实施例所公开的方法的步骤，可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于存储介质中，该存储介质位于存储器602，处理器601读取存储器602中的信息，结合其硬件完成本发明实施例提供的业务管理方法的步骤。

在示例性实施例中，业务管理设备可以被一个或多个应用专用集成电路(ASIC，Application Specific Integrated Circuit)、DSP、可编程逻辑器件(PLD，Programmable Logic Device)、复杂可编程逻辑器件(CPLD，Complex Programmable Logic Device)、FPGA、通用处理器、控制器、微控制器(MCU，Micro Controller Unit)、微处理器(Microprocessor)、或者其他电子元件实现，用于执行前述方法。

可以理解，存储器602可以是易失性存储器或非易失性存储器，也可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器(ROM，Read Only Memory)、可编程只读存储器(PROM，Programmable Read-Only Memory)、可擦除可编程只读存储器(EPROM，Erasable Programmable Read-Only Memory)、电可擦除可编程只读存储器(EEPROM，Electrically Erasable Programmable Read-Only Memory)、磁性随机存取存储器(FRAM，ferromagnetic random access memory)、快闪存储器(Flash Memory)、磁表面存储器、光盘、或只读光盘(CD-ROM，Compact Disc Read-Only Memory)；磁表面存储器可以是磁盘存储器或磁带存储器。易失性存储器可以是随机存取存储器(RAM，Random Access Memory)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的RAM可用，例如静态随机存取存储器(SRAM，Static Random Access Memory)、同步静态随机存取存储器(SSRAM，Synchronous Static Random Access Memory)、动态随机存取存储器(DRAM，Dynamic Random Access Memory)、同步动态随机存取存储器(SDRAM，Synchronous Dynamic Random Access Memory)、双倍数据速率同步动态随机存取存储器(DDRSDRAM，Double Data Rate Synchronous Dynamic Random Access Memory)、增强型同步动态随机存取存储器(ESDRAM，Enhanced Synchronous Dynamic Random Access Memory)、同步连接动态随机存取存储器(SLDRAM，SyncLink Dynamic Random Access Memory)、直接内存总线随机存取存储器(DRRAM，Direct Rambus Random Access Memory)。本发明实施例描述的存储器旨在包括但不限于这些和任意其它适合类型的存储器。

本发明实施例还提供了一种GBA系统，如图7所示，该GBA系统包括：BSF网元701、NAF网元702及前述实施例所述的业务管理设备600，业务管理设备600分别与BSF网元701、NAF网元702通信连接。实际应用中，业务管理设备600分别通过Zn接口与BSF网元701、NAF网元702通信连接，BSF网元701与HSS网元704之间通过Zh接口连接，BSF网元701与用户设备(UE)703之间通过Ub接口连接，NAF网元702与用户设备703之间通过Ua接口连接。业务管理设备600执行的业务管理方法，可以参照前述方法实施例，在此不再赘述。

需要说明的是，图7所示的NAF网元702部署在运营商的移动通信网络之外，NAF网元702亦可以部署在运营商的移动通信网络之内，即NAF网元702的部署位置不影响本发明实施例业务管理方法的实现。

在示例性实施例中，本发明实施例还提供了一种存储介质，即计算机存储介质，具体可以是计算机可读存储介质，例如包括存储计算机程序的存储器602，上述计算机程序可由业务管理设备600的处理器601执行，以完成本发明实施例方法所述的步骤。计算机可读存储介质可以是ROM、PROM、EPROM、EEPROM、Flash Memory、磁表面存储器、光盘、或CD-ROM等存储器。

需要说明的是：“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。

另外，本发明实施例所记载的技术方案之间，在不冲突的情况下，可以任意组合。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求的保护范围为准。