一种验证用户合法性的方法.pdf

本发明提供了一种验证用户合法性的方法，充分利用TID作为NAF和用户之间建立信任关系桥梁这一特点，由BSF给TID分配有效期限，增加了TID的功能，使NAF能够对用户所应用TID的有效期限进行检验，进而达到了进一步验证用户合法性的目的。应用本发明，避免了一个TID针对NAF永久有效的情况，增加了系统的安全性，减少了因用户TID及相应密钥被盗带来的危险，而且同时实现了NAF对TID的管理。另外，将本发明与计费系统结合在一起，能够很容易地对用户实现计费功能。

1、  一种验证用户合法性的方法，适用于网络应用实体NAF应用通用鉴权框架对用户进行身份验证的第三代无线通信领域中，其特征在于，该方法包括以下步骤：
a、NAF接收到来自用户的带有会话事务标识TID信息的业务应用请求消息时，判断NAF本地是否有该TID信息，如果有，则执行步骤b，否则执行步骤c；
b、通过判断用户应用的TID是否处于预先设定的有效时限内，来判断该用户是否合法，如果该用户合法，则NAF与用户进行正常通信，否则，NAF提示用户重新到执行用户身份初始检查验证实体BSF进行初始鉴权认证；
c、NAF向BSF发送包括本NAF标识的查询TID的消息，如果BSF查询到NAF需要的TID，则向NAF返回包含查询到的TID及该TID有效期限信息的成功响应消息，NAF先保存来自BSF的响应消息中的内容，然后与用户进行正常通信，如果BSF未查询到NAF需要的TID，则给NAF返回失败的响应消息，并由NAF提示用户到BSF进行初始鉴权认证。

2、  根据权利要求1所述的方法，其特征在于，
所述步骤a执行前，该方法进一步包括：
用户与BSF通过互鉴权，产生用户与BSF的共享密钥Ks后，BSF给用户分配对NAF有效的且只包括标识号的TID，用户接收到BSF分配的TID后，向NAF发送包含该TID信息的业务应用请求消息，然后执行步骤a；
步骤c所述BSF查询到NAF需要的TID时，进一步包括：BSF首先为所查询的TID分配有效期限，然后再给NAF返回包含TID及该TID有效期限信息的成功响应消息；
步骤c所述BSF返回的成功响应消息中包括NAF所查询的TID、该TID对应的有效期限以及与该TID对应的密钥信息。

3、  根据权利要求1所述的方法，其特征在于，
所述步骤a执行前，该方法进一步包括：
预先设定BSF与NAF的共享密钥Knb；
用户与BSF通过互鉴权，产生共享密钥Ks后，BSF给用户分配只针对某个NAF有效的标识号，以及应用该标识号的有效期限，应用其与NAF的共享密钥Knb为所分配的标识号以及该标识号的有效期限进行加密，将加密后的信息作为TID发送给用户；用户接收到BSF分配的TID后，向NAF发送包含该TID信息的业务应用请求消息，然后执行步骤a；
所述步骤b执行前，进一步包括：NAF首先应用其与BSF的共享密钥Knb，对接收到的TID进行解密，然后再执行步骤b；
所述步骤c执行前，进一步包括：NAF首先应用其与BSF的共享密钥Knb，对接收到的TID进行解密，然后判断该TID是否对本NAF有效，如果是，再执行步骤c，否则，NAF给用户提示错误信息；
步骤c所述BSF返回的成功响应消息中包括NAF所查询的TID以及与该TID对应的密钥信息。

4、  根据权利要求1所述的方法，其特征在于，
所述步骤a执行前，该方法进一步包括：
用户与BSF通过互鉴权，产生共享密钥Ks后，BSF给用户分配针对某个NAF有效的只包括标识号的TID和该TID所对应的有效期限，并保存，然后将所分配的TID发送给用户；NAF接收到来自用户的带有TID信息的业务应用请求消息时，首先判断该TID是否对本NAF有效，如果是，再执行步骤a，否则，NAF给用户提示错误信息；
步骤c所述BSF返回的成功响应消息中包括NAF所查询的TID、该TID所对应的有效期限以及与该TID对应的密钥信息。

5、  根据权利要求1所述的方法，其特征在于，
所述步骤a执行前，该方法进一步包括：
用户与BSF通过互鉴权，产生共享密钥Ks后，BSF给用户分配针对某个NAF有效的只包括标识号的TID，并将所分配的TID发送给用户；NAF接收到来自用户的带有TID信息的业务应用请求消息时，首先判断该TID是否对本NAF有效，如果是，再执行步骤a，否则，NAF给用户提示错误信息；
步骤c所述BSF查询到NAF需要的TID后，进一步包括：BSF首先为所查询的TID分配有效期限，然后再给NAF返回包含TID及该TID有效期限信息的成功响应消息；
步骤c所述BSF返回的成功响应消息中包括NAF所查询的TID、该TID所对应的有效期限以及与该TID对应的密钥信息。

6、  根据权利要求1～5所述的方法，其特征在于，该方法进一步包括：
用户重新到BSF进行初始鉴权认证成功后，将收到BSF为其分配的新TID，同时生成与该新TID相对应的密钥Ks’；
当NAF收到来自用户的包含新TID和旧TID的业务应用请求消息时，将向BSF进行查询，得到BSF的成功响应消息后，NAF将在本地保存该用户的新TID以及与该新TID向对应的密钥信息，并删除或禁用NAF上已保存的原有TID及与该TID相对应的密钥信息。

7、  根据权利要求6所述的方法，其特征在于，所述与TID相对应的密钥信息包括：与TID相对应的根密钥和由该根密钥衍生的密钥。

8、  根据权利要求3或4所述的方法，其特征在于，所述有效期限是BSF根据NAF的标识或名称以及用户的描述profile确定的。

9、  根据权利要求2或5所述的方法，其特征在于，所述有效期限是BSF根据查询TID信息的NAF的安全级别以及用户的profile信息确定的。

10、  根据权利要求1所述的方法，其特征在于，该方法进一步包括：NAF或BSF按照TID的有效期限信息进行计费。

一种验证用户合法性的方法
技术领域
本发明涉及第三代无线通信技术领域，特别是指一种验证用户合法性的方法。
背景技术
在第三代无线通信标准中，通用鉴权框架是多种应用业务实体使用的一个用于完成对用户身份进行验证的通用结构，应用通用鉴权框架可实现对应用业务的用户进行检查和验证身份。上述多种应用业务可以是多播/广播业务、用户证书业务、信息即时提供业务等，也可以是代理业务，例如多个服务和一个代理相连，这个通用鉴权框架把代理也当作一种业务来处理，组织结构可以很灵活，而且，对于以后新开发的业务也同样可以应用通用鉴权框架对应用业务的用户进行检查和验证身份。
图1所示为通用鉴权框架的结构示意图。通用鉴权框架通常由用户101、执行用户身份初始检查验证的实体(BSF)102、用户归属网络服务器(HSS)103和网络应用实体(NAF)104组成。BSF 102用于与用户101进行互验证身份，同时生成BSF 102与用户101的共享密钥；HSS 103中存储有用于描述用户信息的描述(Profile)文件，同时HSS 103还兼有产生鉴权信息的功能。
用户需要使用某种业务时，如果其知道该业务需要到BSF进行互鉴权过程，则直接到BSF进行互鉴权，否则，用户会首先和某个业务对应的NAF联系，如果该NAF应用通用鉴权框架需要用户到BSF进行身份验证，则通知用户应用通用鉴权框架进行身份验证，否则进行其它相应处理。
图2所示为应用通用鉴权框架进行用户身份认证的流程图。
步骤201，用户向NAF发送业务应用请求消息；
步骤202，NAF收到该消息后，如果发现该用户还未到BSF进行互认证，则通知该用户首先到BSF进行初始鉴权认证；
步骤203，用户向BSF发送初始鉴权认证请求消息；
步骤204，BSF接收到用户的鉴权请求消息后，向HSS查询该用户的鉴权信息以及Profile；
步骤205，BSF得到HSS发送的包含其所查信息的响应消息后，应用所查到的信息与用户执行鉴权和密钥协商协议(AKA)进行互鉴权，当BSF与用户完成AKA互鉴权，即相互认证了身份后，BSF与用户之间就拥有了共享密钥Ks；
步骤206，BSF给用户分配针对一个以上NAF有效的且只包括标识号的会话事务标识(TID)，该TID与共享密钥Ks是相关联的；
步骤207，用户收到BSF分配的TID后，重新向NAF发送业务应用请求消息，该请求消息中包含TID信息；
步骤208，NAF接收到用户发送的包含TID信息的业务应用请求消息时，首先在NAF本地进行查询，如查询到，则直接执行步骤210，否则，向BSF发送包含NAF本地标识的查询TID的消息；
步骤209，BSF接收到来自NAF的查询消息后，如查询到NAF所需的TID，则向NAF发送成功的响应消息，NAF将该消息中的内容保存后，执行步骤210，否则BSF向NAF发送响应失败的查询消息，通知NAF没有该用户的信息，由NAF通知用户到BSF上进行鉴权，并结束该处理流程；
该成功的响应消息中包括查到的TID以及该TID对应用户应用的共享密钥Ks，或根据该NAF的安全级别由共享密钥Ks生成的衍生密钥，只要NAF收到BSF的成功响应消息，就认为该用户是经过BSF认证的合法用户，同时NAF和用户也共享了密钥Ks或其衍生密钥；
步骤210，NAF与用户进行正常的通信，并应用共享密钥Ks或由该共享密钥Ks衍生的密钥对以后的通信进行保护。
当用户和某个NAF的首次通信过程结束后，在以后的通信中都使用该已经过鉴权的TID和NAF进行通信。由于TID是可以重复使用的，且任何一个NAF如果在本地不能找到相应的TID时，都将向BSF进行查询到，因此，只要用户取得一个合法的TID后，就可以无限期的应用该TID与NAF进行通信。
现有技术方案的缺陷在于：BSF分配给用户的TID仅仅是作为NAF和用户建立信任关系的桥梁，而没有规定TID如何组成，应该和那些信息相关联等，同时，NAF也无法对TID进行管理。而且，用户只要取得一次合法的TID后，就可以无限期的使用该TID与NAF进行通信，降低了系统的安全性，同时也增加了用户密钥被盗的可能性。
发明内容
有鉴于此，本发明的目的在于提供一种验证用户合法性的方法，通过NAF验证用户的TID是否有效，来进一步验证该用户是否合法。
为达到上述目的，本发明的技术方案是这样实现的：
一种验证用户合法性的方法，适用于网络应用实体NAF应用通用鉴权框架对用户进行身份验证的第三代无线通信领域中，该方法包括以下步骤：
a、NAF接收到来自用户的带有会话事务标识TID信息的业务应用请求消息时，判断NAF本地是否有该TID信息，如果有，则执行步骤b，否则执行步骤c；
b、通过判断用户应用的TID是否处于预先设定的有效时限内，来判断该用户是否合法，如果该用户合法，则NAF与用户进行正常通信，否则，NAF提示用户重新到执行用户身份初始检查验证实体BSF进行初始鉴权认证；
c、NAF向BSF发送包括本NAF标识的查询TID的消息，如果BSF查询到NAF需要的TID，则向NAF返回包含查询到的TID及该TID有效期限信息的成功响应消息，NAF先保存来自BSF的响应消息中的内容，然后与用户进行正常通信，如果BSF未查询到NAF需要的TID，则给NAF返回失败的响应消息，并由NAF提示用户到BSF进行初始鉴权认证。
较佳地，所述步骤a执行前，该方法进一步包括：
用户与BSF通过互鉴权，产生用户与BSF地共享密钥Ks后，BSF给用户分配对NAF有效的且只包括标识号的TID，用户接收到BSF分配的TID后，向NAF发送包含该TID信息的业务应用请求消息，然后执行步骤a；
步骤c所述BSF查询到NAF需要的TID时，进一步包括：BSF首先为所查询的TID分配有效期限，然后再给NAF返回包含TID及该TID有效期限信息的成功响应消息；
步骤c所述BSF返回的成功响应消息中包括NAF所查询的TID、该TID对应的有效期限以及与该TID对应的密钥信息。
较佳地，所述步骤a执行前，该方法进一步包括：
预先设定BSF与NAF的共享密钥Knb；
用户与BSF通过互鉴权，产生共享密钥Ks后，BSF给用户分配只针对某个NAF有效的标识号，以及应用该标识号的有效期限，应用其与NAF的共享密钥Knb为所分配的标识号以及该标识号的有效期限进行加密，将加密后的信息作为TID发送给用户；用户接收到BSF分配的TID后，向NAF发送包含该TID信息的业务应用请求消息，然后执行步骤a；
所述步骤b执行前，进一步包括：NAF首先应用其与BSF的共享密钥Knb，对接收到的TID进行解密，然后再执行步骤b；
所述步骤c执行前，进一步包括：NAF首先应用其与BSF的共享密钥Knb，对接收到的TID进行解密，然后判断该TID是否对本NAF有效，如果是，再执行步骤c，否则，NAF给用户提示错误信息；
步骤c所述BSF返回的成功响应消息中包括NAF所查询的TID以及与该TID对应的密钥信息。
较佳地，所述步骤a执行前，该方法进一步包括：
用户与BSF通过互鉴权，产生共享密钥Ks后，BSF给用户分配针对某个NAF有效的只包括标识号的TID和该TID所对应的有效期限，并保存，然后将所分配的TID发送给用户；NAF接收到来自用户的带有TID信息的业务应用请求消息时，首先判断该TID是否对本NAF有效，如果是，再执行步骤a，否则，NAF给用户提示错误信息；
步骤c所述BSF返回的成功响应消息中包括NAF所查询的TID、该TID所对应的有效期限以及与该TID对应的密钥信息。
较佳地，所述步骤a执行前，该方法进一步包括：
用户与BSF通过互鉴权，产生共享密钥Ks后，BSF给用户分配针对某个NAF有效的只包括标识号的TID，并将所分配的TID发送给用户；NAF接收到来自用户的带有TID信息的业务应用请求消息时，首先判断该TID是否对本NAF有效，如果是，再执行步骤a，否则，NAF给用户提示错误信息；
步骤c所述BSF查询到NAF需要的TID后，进一步包括：BSF首先为所查询的TID分配有效期限，然后再给NAF返回包含TID及该TID有效期限信息的成功响应消息；
步骤c所述BSF返回的成功响应消息中包括NAF所查询的TID、该TID所对应的有效期限以及与该TID对应的密钥信息。
较佳地，该方法进一步包括：
用户重新到BSF进行初始鉴权认证成功后，将收到BSF为其分配的新TID，同时生成与该新TID相对应的密钥Ks’；
当NAF收到来自用户的包含新TID和旧TID的业务应用请求消息时，将向BSF进行查询，得到BSF的成功响应消息后，NAF将在本地保存该用户的新TID以及与该新TID向对应的密钥信息，并删除或禁用NAF上已保存的原有TID及与该TID相对应的密钥信息。
较佳地，所述与TID相对应的密钥信息包括：与TID相对应的根密钥和由该根密钥衍生的密钥。
较佳地，所述有效期限是BSF根据NAF的标识或名称以及用户的描述profile确定的。
较佳地，所述有效期限是BSF根据查询TID信息的NAF的安全级别以及用户的profile信息确定的。
较佳地，该方法进一步包括：NAF或BSF按照TID的有效期限信息进行计费。
本发明充分利用TID作为NAF和用户之间建立信任关系桥梁这一特点，由BSF给TID分配有效期限，增加了TID的功能，使NAF能够对用户所应用TID的有效期限进行检验，进而达到了进一步验证用户合法性的目的。应用本发明，避免了一个TID针对NAF永久有效的情况，增加了系统的安全性，减少了用户TID及该TID对应的密钥被盗的可能，而且同时实现了NAF对TID的管理。另外，将本发明与计费系统结合在一起，能够很容易地对用户实现计费功能。
图1所示为通用鉴权框架的结构示意图；
图2所示为应用通用鉴权框架进行用户身份认证的流程图；
图3所示为应用本发明的实施例一的验证用户合法性的流程图；
图4所示为应用本发明的实施例二的验证用户合法性的流程图；
图5所示为应用本发明的实施例三的验证用户合法性的流程图。
为使本发明的技术方案更加清楚，下面结合附图及具体实施例对本发明再做进一步的详细说明。
本发明的主要思路是：在NAF接受到来自用户的带有TID信息的业务应用请求消息时，判断NAF本地是否有该TID信息，如果有，则通过判断用户应用的TID是否处于预先设定的有效时限内，来判断该用户是否合法，如果该用户合法，则NAF与用户进行正常通信，否则，NAF提示用户重新到BSF进行初始鉴权认证；
如果本地没有该TID信息，则NAF向BSF发送包括本NAF标识的查询TID的消息，如果BSF查询到NAF需要的TID，则向NAF返回包含查询到的TID及该TID有效期限信息的成功响应消息，NAF先保存来自BSF的响应消息中的内容，然后与用户进行正常通信，如果BSF未查询到NAF需要的TID，则给NAF返回失败的响应消息，并由NAF提示用户到BSF进行初始鉴权认证。
下面通过具体实施例对本发明做进一步详细说明。
实施例一：
BSF为用户分配对一个以上的NAF同时有效的TID，且不对该TID加密。
图3所示为应用本发明的实施例一的验证用户合法性的流程图。
步骤301，用户向NAF发送业务应用请求消息；
步骤302，NAF收到该消息后，通知用户到BSF进行初始鉴权；
步骤303，用户向BSF发送鉴权请求消息；
步骤304，BSF接收到用户的鉴权请求消息后，向HSS查询该用户的鉴权信息以及Profile；
步骤305，BSF得到HSS发送的包含其所查信息的响应消息后，应用所查到的信息与用户进行AKA互鉴权，当BSF与用户完成AKA互鉴权，即相互认证了身份后，BSF与用户就拥有了共享密钥Ks；
步骤306，BSF给用户分配只包括标识号的TID，且该TID对一个以上的NAF同时有效；
步骤307，用户接收到BSF分配的TID后，再次向NAF发送包含该TID信息的业务应用请求消息；
步骤308，NAF接收到来自用户的带有TID信息的业务应用请求消息时，首先判断NAF本地是否有该TID信息，如果NAF本地有该TID信息，则验证该TID中的有效时间或有效次数是否过期，如果是，则执行步骤309，否则，执行步骤310；
如果NAF本地没有该TID信息，则NAF向BSF发送包括本NAF标识的查询TID的消息，如果BSF查询到，则BSF首先根据查询TID信息的NAF的安全级别以及用户的profile信息，为所查询的TID分配有效期限，该有效期限为一段连续的有效时间段和/或有限的次数，且该有效期限只针对该进行查询的NAF有效，然后BSF再给NAF返回成功的响应消息，NAF将来自BSF的成功响应消息中的内容保存后，执行步骤310，如果BSF未查询到，则向NAF发送失败的响应消息，并执行步骤309；
上述成功的响应消息中包括NAF所查询的TID、该TID所对应的有效期限以及用户与BSF的共享密钥Ks，或根据该NAF的安全级别由共享密钥Ks生成的衍生密钥；当NAF收到BSF的成功响应消息时，同时和用户也共享了密钥Ks或其衍生密钥；
步骤309，由NAF通知用户到BSF进行鉴权，并结束该处理流程；
步骤310，NAF与用户进行正常的通信，并应用共享密钥Ks或由该共享密钥Ks衍生的密钥对以后的通信进行保护。
虽然某个用户所应用的TID能够同时对一个以上的NAF有效，但针对不同的NAF，BSF为其分配的有效期限是不相同的，也就是说，同一个TID所对应的不同NAF的有效期限是不同的。
当用户所应用的TID针对某个NAF到期时，其将到BSF重新进行互认证，认证成功后，BSF将为其分配一个新的TID和与该新TID相对应的新共享密钥Ks’。该用户无论向哪个NAF再次发起业务应用请求时，该请求信息中都将同时包含新TID和原有旧TID的信息。
当某个NAF收到一个新TID后，都会到BSF进行查询，如BSF查询成功，则BSF给NAF返回成功的响应消息，该成功的响应消息中同样包括NAF所查询的TID、该TID所对应的有效期限以及用户与BSF的共享密钥Ks’，或根据该NAF的安全级别由共享密钥Ks’生成的衍生密钥。在NAF收到BSF的成功响应消息时，将保存该成功响应消息中的新TID以及与该TID相关的密钥信息，同时NAF将本地保存的旧TID以及与旧TID相关的密钥信息标为禁用，或删除。
由于用户所应用的旧TID同时对多个NAF有效，因此，当该TID所对应的某个NAF到期时，很可能其对于其它的NAF并未到期。但由于每个收到新TID的NAF都将到BSF进行查询，出于对系统安全的考虑，每个收到新TID的NAF都将用该用户的新TID以及与该新TID相关的信息替换该用户原有的旧TID及其相关信息。这样不但减少了TID管理的复杂性，同时增强了TID及其对应密钥的安全性。
实施例二：
BSF为用户分配只针对某个NAF有效的TID，且该TID是经过加密的。为用户分配与只针对某个NAF有效的TID的方法已在本申请人同一日递交的发明名称为“一种分配会话事务标识的方法”的发明专利中，给出详细描述；
图4所示为应用本发明的实施例二的验证用户合法性的流程图。
步骤401，用户向NAF发送业务应用请求消息；
步骤402，NAF收到该消息后，通知用户到BSF进行初始鉴权；
步骤403，用户向BSF发送鉴权请求消息；
步骤404，BSF接收到用户的鉴权请求消息后，向HSS查询该用户的鉴权信息以及Profile；
步骤405，BSF得到HSS发送的包含其所查信息的响应消息后，应用所查到的信息与用户进行AKA互鉴权，当BSF与用户完成AKA互鉴权，即相互认证了身份后，BSF与用户就拥有了共享密钥Ks；
步骤406，BSF给用户分配只针对某个NAF有效的标识号，然后根据该NAF的标识或名称以及该用户的profile信息，给该用户的这个标识分配有效期限，该有效期限为一段连续的有效时间段和/或有限的次数，应用预先设置的BSF和NAF的共享密钥Knb，为针对某个NAF有效的标识号和针对该标识号的有效期限进行加密，并将加密后的信息作为TID，发送给用户；由于用户没有BSF与NAF的共享密钥Knb，因此，用户不能对TID中的有效期限进行改动；
步骤407，用户收到BSF分配的TID后，重新向NAF发送业务应用请求消息，该请求消息中包含经过加密的TID信息；
步骤408，NAF接收到用户发送的包含TID信息的业务应用请求消息时，首先判断NAF本地是否有该TID信息，如果NAF本地有该TID信息，则NAF应用其与BSF的共享密钥Knb对该TID进行解密，并验证该TID中的有效时间或有效次数是否过期，如果是，则执行步骤409，否则，执行步骤410；
如果NAF本地没有该TID信息，则NAF首先应用其与BSF的共享密钥Knb对该TID进行解密，然后判断该TID对本NAF是否有效，具体的判断方法已在本申请人同一日递交的发明名称为“一种分配会话事务标识的方法”的发明专利中给出详细描述，如果是，则NAF向BSF发送包括本地NAF标识的查询TID的消息，否则，NAF给用户提示错误信息；
如果BSF查询到，则给NAF返回成功的响应消息，该成功的响应消息中包括NAF所查询的TID以及该TID所对应用户与BSF的共享密钥Ks，或由该共享密钥Ks生成的衍生密钥，在NAF收到BSF的成功响应消息时。其也和用户也共享了密钥Ks或其衍生密钥；NAF将来自BSF的成功响应消息中的内容保存后，执行步骤410，如果BSF未查询到，则向NAF发送失败的响应消息，并执行步骤409；
步骤409，由NAF通知用户到BSF进行鉴权，并结束该处理流程；
步骤410，NAF与用户进行正常的通信，并应用共享密钥Ks或由该共享密钥Ks衍生的密钥对以后的通信进行保护。
当用户所应用的TID针对某个NAF到期时，其将到BSF重新进行互认证，认证成功后，BSF将为其分配一个新的TID和与该新TID相对应的新共享密钥Ks’。该用户再次向NAF发起业务应用请求时，该请求信息中都将同时包含新TID和原有旧TID的信息。
当某个NAF收到一个新TID后，都会到BSF进行查询，如BSF查询成功，则给NAF返回成功的响应消息，该成功的响应消息中同样包括NAF所查询的TID、以及该TID所对应的用户与BSF的共享密钥Ks’，或由共享密钥Ks’生成的衍生密钥。在NAF收到BSF的成功响应消息时，也就和用户共享了密钥Ks’或其衍生密钥，此时，NAF将保存该新的TID以及与该TID相关的密钥信息，同时将本地保存的旧TID以及与旧TID相关的密钥信息标为禁用，或删除。
实施例三：
BSF为用户分配只针对某个NAF有效的TID，且不对该TID加密。
图5所示为应用本发明的实施例三的验证用户合法性的流程图。
步骤501，用户向NAF发送业务应用请求消息；
步骤502，NAF收到该消息后，通知用户到BSF进行初始鉴权；
步骤503，用户向BSF发送鉴权请求消息；
步骤504，BSF接收到用户的鉴权请求消息后，向HSS查询该用户的鉴权信息以及Profile；
步骤505，BSF得到HSS发送的包含其所查信息的响应消息后，应用所查到的信息与用户进行AKA互鉴权，当BSF与用户完成AKA互鉴权，即相互认证了身份后，BSF与用户就拥有了共享密钥Ks；
步骤506，BSF给用户分配只针对某个NAF有效的标识号，并将该标识号作为TID，然后根据该NAF的标识或名称以及该用户的profile信息，给该用户的TID分配有效期限，并保存，该有效期限为一段连续的有效时间段和/或有限的次数，已分配的TID发送给用户；
步骤507，用户接收到BSF分配的TID后，再次向NAF发送包含该TID信息的业务应用请求消息；
步骤508，NAF接受到来自用户的带有TID信息的业务应用请求消息时，首先判断该TID对本NAF是否有效，如果无效，则NAF给用户提示错误信息，如果有效，则NAF再判断本地是否有该TID信息，如果NAF本地有该TID信息，则验证该TID中的有效时间或有效次数是否过期，如果是，则执行步骤509，否则，执行步骤510；
如果NAF本地没有该TID信息，则NAF向BSF发送包括本地NAF标识的查询TID的消息，如果BSF查询到，则给NAF返回成功的响应消息，该成功的响应消息中包括NAF所查询的TID、该TID所对应的有效期限以及该TID所对应的用户与BSF的共享密钥Ks，或由该共享密钥Ks生成的衍生密钥，在NAF接收到来自BSF的成功响应消息时，也就和用户也共享了密钥Ks或其衍生密钥；NAF将来自BSF的成功响应消息中的内容保存后，执行步骤510，如果BSF未查询到，则向NAF发送失败的响应消息，通知NAF没有该用户的信息，并执行步骤509；
步骤509，由NAF通知用户到BSF进行鉴权，并结束该处理流程；
步骤510，NAF与用户进行正常的通信，并应用共享密钥Ks或由该共享密钥Ks衍生的密钥对以后的通信进行保护。
当用户所应用的TID针对某个NAF到期时，其将到BSF重新进行互认证，认证成功后，BSF将为其分配一个新的TID和与该新TID相对应的新共享密钥Ks’。该用户再次向NAF发起业务应用请求时，该请求信息中都将同时包含新TID和原有旧TID的信息。
当某个NAF收到一个新TID后，都会到BSF进行查询，如BSF查询成功，则BSF给NAF返回成功的响应消息，该成功的响应消息中同样包括NAF所查询的TID、该TID所对应的有效期限以及用户与BSF的共享密钥Ks’，或由共享密钥Ks’生成的衍生密钥。在NAF收到BSF的成功响应消息时，也就和用户共享了密钥Ks’或其衍生密钥，此时，NAF将保存该新的TID以及与该TID相关的密钥信息，同时将本地保存的旧TID以及与旧TID相关的密钥信息标为禁用，或删除。
在第三个较佳实施例中，当BSF为用户分配TID时，可以先不分配该TID所对应的有效期限，在NAF向其查询TID时，根据NAF的标识及用户的profile信息，再给该TID分配有效期限。
TID的有效使期限可以和计费结合在一起。如果计费单元以天来计算，则一个TID可以是一个计费单元，每分配一个新的TID就可以计一天的费。如果按使用次数计费，那么给TID分配了多少使用次数就可以给该TID计多少费。该计费功能可以在BSF分配TID时实现，也可以在NAF使用TID时实现。
以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。