CN101160782A - 网络业务应用帐户的保护方法、系统和设备 - Google Patents

网络业务应用帐户的保护方法、系统和设备 Download PDF

Info

Publication number
CN101160782A
CN101160782A CN200680011959.9A CN200680011959A CN101160782A CN 101160782 A CN101160782 A CN 101160782A CN 200680011959 A CN200680011959 A CN 200680011959A CN 101160782 A CN101160782 A CN 101160782A
Authority
CN
China
Prior art keywords
service application
user
related information
application account
service
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN200680011959.9A
Other languages
English (en)
Inventor
舒琦
钟杰萍
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Publication of CN101160782A publication Critical patent/CN101160782A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Information Transfer Between Computers (AREA)
  • Telephonic Communication Services (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Air Bags (AREA)
  • Computer And Data Communications (AREA)
  • Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

一种网络业务应用账户的保护方法,包括:在网络侧的用户个人通信档案中为用户的业务应用账户设置业务应用账户关联信息;在用户通过用户接入终端以业务应用账户登录业务应用服务器时,对该用户的个人通信档案中是否有为该业务应用账户设置的业务应用账户关联信息进行认证,如果认证失败,拒绝用户登录。本发明还公开了一种网络业务应用账户的保护系统、一种通信档案存储设备和一种业务应用服务器。本发明很方便地实现了对用户的多个业务应用服务器上的多个业务应用账户的保护;由于不需要用户通过接收短信息获取动态密码实现对用户业务应用账户的保护,降低了用户登录业务应用的时延,提高了业务应用的竞争力。

Description

网络业务应用账户的保护方法、 系统和设备 技术领域 本发明涉及网絡业务认证技术领域, 特别是指一种网络业务应用账 户的保护方法、 一种网络业务应用账户的保护系统、 一种通信档案存储 设备和一种业务应用服务器。 发明背景 目前的互联网产业链模式已经由开始的接入为王、 眼球为王逐渐进 入了应用为王的时代。 内容提供商已经逐渐在整个产业链中占据了核心 地位。 不同的内容提供商在为用户提供层出不穷的应用服务, 但名目繁 杂的各种业务应用也带来了许多问题, 以网络游戏为例, 木马和盗号等 现象严重影响着网络游戏的正常运营秩序, 各大网络游戏运营商八仙过 海, 各显神通的打击手段也给网絡游戏的正常的运营带来了种种不便。 据调查显示, 有 65%以上的用户都有过在业务应用上注册的账号被盗的 经历, 用户的账号安全问题也是成为游戏运营商和用户挥之不去的梦 魇。
现有技术中, 对网络业务应用账户的保护方法主要是采取手机保护 账户、 和动态密码身份认证的方法。
手机保护账户的方法是在用户登录业务应用时, 由业务应用服务器 动态产生密码, 根据该用户已经注册的手机号码, 通过运营商的短信网 关将产生的密码发送到用户的手机上, 然后用户再使用接收的动态密码 和账户静态密码 (PIN )登录该业务应用服务器。 通过这种方法, 由于 除该用户外不能够通过手机获取动态密码, 所以无法盗用用户的密码进 行登录。
动态密码身份认证需要由两个设备来完成, 一个是用于进行用户身 份认证的服务器, 另一个是用于为用户生成动态密码的密码卡。 在服务 器和密码卡中加载了相同的密码生成软件和代表用户的用户身份的唯 一识别码。 在给用户发放密码卡时, 用户的识别码不仅初始化在服务器 数据库的用户信息表中, 还加载在密码卡中, PIN由用户自行记忆, 当 用户登录业务应用时, 键入 PIN后, 密码卡每一分钟都生成一个与该卡 对应的唯一的、 不可预测的密码, 并将账号、 PI 和生成的动态密码发 送给服务器。 服务器接收到用户的账号和密码后, 根据密码组合判断用 户的合法性和真实性。 由于动态密码由密码卡随机生成, 除合法用户外 无法获取密码卡,不能够生成正确的密码,所以动态密码不怕被人偷看, 不怕黑客的网络窃听, 能够防止重放攻击, 具有较高的安全性和使用方 便性。
在上述两种对业务应用账户进行保护的方法中, 第一种采用手机保 护账户的方法中, 对账户的局限性较大, 并且由于需要每次都通过短信 将密码传递给用户, 然后用户再输入通过短信获取的密码, 造成了较大 的时延, 也浪费了无线资源; 第二种采用动态密码身份认证的方法中, 其保护局限于捆绑和保护单一网络游戏服务商的游戏产品账号; 并且用 户在使用应用业务时, 还需要另外购买动态密码保护的硬件, 降低了业 务应用的竟争力。 发明内容 有鉴于此, 本发明的主要目的在于提供一种网络业务应用账户的保 护方法和系统, 以及一种通信档案存储设备和一种业务应用服务器, 能 够方便地对用户的多个业务应用账户进行保护。
为达到上述目的的第一个方面, 本发明提供了一种网络业务应用账 户的保护方.法, 该方法包括:
A、 在网络侧的用户个人通信档案中为用户的业务应用账户设置业 务应用账户关联信息;
B、 在用户通过接入终端以业务应用账户登录业务应用服务器时, 对该用户的个人通信档案中是否有为该业务应用账户设置的业务应用 账户关联信息进行认证, 如果认证失败, 拒绝用户登录。
较佳地, 所述步骤 A包括:
Al、 业务应用服务器在用户注册业务应用账户时, 为该用户生成并 存储业务应用账户关联信息;
A2、将所述业务应用账户关联信息发送到存储所述用户个人通信档 案的设备, 该设备将接收的所述关联信息存储到对应用户的个人通信档 案中。
所述步骤 B中如果认证通过, 业务应用服务器允许用户登录之后, 或在用户登录成功, 业务应用服务器接收到用户的更新请求之后, 或业 务应用服务器在预先设定的业务应用账户关联信息更新时间或生命周 期到期后,或在用户登录成功,业务应用服务器接收到用户的更新请求, 且接收到该更新请求的时刻距离上次更新时间大于预先设定的最小更 新周期后, 该方法可以进一步包括:
业务应用服务器生成新的业务应用账户关联信息, 并将所述新的业 务应用账户关联信息发送给网络侧存储所述用户个人通信档案的设备, 请求进行更新;
所述设备接收到所述请求后, 将为所述业务应用账户设置的业务应 用账户关联信息更新为所述新的业务应用账户关联信息。
较佳地, 步骤 A2中所述该设备将接收的所述关联信息存储到对应 用户的个人通信档案中之前进一步包括:
所述设备向所述用户的接入终端发送提示消息, 提示用户有业务应 用服务器发起了将用户业务应用账户和用户个人通信档案进行关联的 请求;
所述用户接入终端接收到所述提示消息后, 向所述设备返回确认信 较佳地,步骤 A中所述业务应用服务器为该用户生成并存储业务应 用账户关联信息之前或之后进一步包括:
业务应用服务器向用户接入终端发送询问消息 , 询问用户是否将所 述业务应用账户与用户的个人通信档案相关联;
用户接入终端接收到所述询问消息后, 向业务应用服务器返回确认
'ίδ息。
步骤 Β中所述的对该用户的个人通信档案中是否有为该业务应用账 户设置的业务应用账户关联信息进行认证可以包括:
Bl l、 业务应用服务器在接收到用户的登录请求后, 向网络侧存储 所述用户个人通信档案的设备发送消息, 请求获取为所述业务应用账户 设置的业务应用账户关联信息;
Β12、 接收到所述消息的设备, 获取所述业务应用账户关联信息, 并将获取的业务应用账户关联信息返回给所述业务应用服务器;
Β13、 所述业务应用服务器对接收的业务应用账户关联信息与自身 中存储的对应业务应用账户关联信息是否一致进行认证。
步骤 Β中所述的对该用户的个人通信档案中是否有为该业务应用账 户设置的业务应用账户关联信息进行认证也可以包括:
Β2Κ 业务应用服务器在接收到用户的登录请求后, 将包括自身中 存储的对应业务应用账户关联信息的认证请求, 发送到网络侧存储所述 用户个人通信档案的设备;
Β22、 所述设备接收到所述认证请求信息后, 对所述用户的个人通 信档案中是否包括所述业务应用账户关联信息进行认证, 并将认证结果 返回给业务应用服务器。
所述步骤 Β之前还可以进一步包括: B 10、 网絡侧存储所述用户个人通信档案的设备将个人通信档案的 位置信息发送给用户;
步骤 B中所述的用户通过用户接入终端以业务应用账户登录业务应 用服务器时, 用户将所述位置信息发送给业务应用服务器;
步骤 B中业务应用服务器根据所述位置信息与所述存储所述用户个 人通信档案的设备交互。
所述步骤 B之前也可以进一步包括:
B20、 网络侧存储所述用户个人通信档案的设备将所述用户个人通 信档案中的业务应用账户关联信息发送给所述用户的接入终端;
步骤 B中所述的用户通过接入终端以业务应用账户登录业务应用服 务器时, 用户接入终端向业务应用服务器发送自身个人通信档案中对应 的业务应用账户关联信息;
则步骤 B中所述的对该用户的个人通信档案中是否有为该业务应用 账户设置的业务应用账户关联信息进行认证为:
业务应用服务器对来自用户接入终端的业务应用账户关联信息是 否合法进4于认证。
较佳地, 该方法进一步包括:
所述用户个人通信档案中的业务应用账户关联信息更新时, 向用户 接入终端发送同步更新请求, 请求更新对应的业务应用账户关联信息; 用户接入终端接收到所述同步更新请求后, 更新自身中对应的业务 应用账户关联信息。
步骤 B中所述的认证步骤之前, 或如果认证通过, 业务应用服务器 允许用户登录之前, 进一步包括:
业务应用服务器对用户的账号和密码进行认证, 如果认证通过执行 后续步骤; 否则, 直接拒绝用户登录。 由上述方案可以看出, 本发明中, 在网络侧的用户个人通信档案中 为用户的业务应用账户设置业务应用账户关联信息; 在用户通过用户接 入终端以业务应用账户登录业务应用服务器时, 对该用户的个人通信档 案中是否有为该业务应用账户设置的业务应用账户关联信息进行认证, 如果认证通过, 允许用户登录; 如果认证失败, 拒绝用户登录; 由于可 以同时在用户个人通信档案中为用户在多个业务应用服务器上的多个 业务应用账户设置对应的业务应用账户关联信息, 很方便地实现了对用 户的多个业务应用服务器上的多个业务应用账户的保护; 并且, 由于在 本发明中不需要用户通过接收短信息获取动态密码就能够实现除静态 密码外对用户业务应用账户的保护, 大大降 了用户登录业务应用服务 器的时延, 也由于不需要用户额外购买密码卡, 大大提高了业务应用服 务器的竟争力。
为达到上述目的的第二个方面, 本发明提供了一种网络业务应用账 户保护的系统, 该系统包括:
用户接入终端, 用于向业务应用服务器发送登录请求;
用户通信档案存储设备, 用于存储包括用户的业务应用账户关联信 的个人通信档案;
业务应用服务器, 用于根据用户接入终端发送的登录请求, 与所述 用户通信档案存储设备或用户接入终端交互, 确定所述用户的个人通信 档案中是否有为该业务应用账户设置的业务应用账户关联信息, 并根据 所确定的结果再确定登录结果。
较佳地,. 所述用户接入终端还接收来自用户通信档案存储设备的个 人通信档案位置信息, 或进一步包括的业务应用账户关联信息, 并将所 述接收的来自用户通信档案存储设备的信息通过登录请求发送给该信 息对应的业务应用服务器; 所迷用户通信档案存储设备根据业务应用服务器的请求向业务应 用服务器发送业务应用账户关联信息, 或对来自业务应用服务器的业务 应用账户关联信息进行认证并返回认证结果;
所述业务应用服务器根据用户发送的登录请求, 向用户通信档案存 储设备发送消息请求获取所述用户的业务应用账户关联信息, 并对用户 通信档案存储设备返回的业务应用账户关联信息进行认证; 或根据用户 发送的登录请求向用户通信档案存储设备发送该用户的业务应用账户 关联信息, 或对用户登录请求中包括的业务应用账户关联信息进行认 证, 并根据所述认证的结果向用户接入终端返回登录成功或登录失败信 息。
较佳地, 所述的用户通信档案存储设备为: 通信档案服务器、 用户 终端档案服务器或用户终端数据库。
较佳地, 所述用户接入终端与用户通信档案存储设备之间通过接入 网关进行交互, 所述用户通信档案存储设备与业务应用服务器之间通过 开放服务接入网关进行交互。
所述的用户接入终端可以为: 移动终端、 个人数字助手或个人电脑 终端。
较佳地, 所述用户接入终端与通信档案服务器之间通过接入网关进 行交互; 所述通信档案服务器与业务应用服务器之间通过开放服务接入 网关进行交互。 · 为达到上述目的的第三个方面, 本发明提供了一种通信档案存储设 备, 该设备中包括:
个人通信档案数据库, 用于存储用户的业务应用账户与对应的业务 应用账户关联信息; 用户认证鉴权单元, 用于将用户个人通信档案中的业务应用账户关 联信息发送给用户接入终端; 或用于将用户个人通信档案的位置信息发 送给用户接入终端, 并,
接收来自业务应用服务器业务 用账户对应的业务应用账户关联 信息, 对所述个人通信档案数据库中是否对应包括业务应用账户关联信 息进行认证, 将认证结果信息发送给业务应用服务器; 或者接收来自业 务应用服务器的请求业务应用账户关联信息的消息, 从所述个人通信档 案数据库中获取对应的业务应用账户关联信息并发送给所述业务应用 服务器。
较佳地, 所述通信档案存储设备中进一步包括:
开放服务接入网关接口单元 , 用于所述用户认证鉴权单元通过其与 所述业务应.用服务器通信;
业务部件接口单元, 用于所述用户认证鉴权单元通过其与用户接入 终端通信。
为达到上述目的的第四个方面, 本发明提供了一种业务应用服务 器, 该业务应用服务器包括: 通信单元和登录控制单元;
登录控制单元通过通信单元接收来自用户接入终端的登录请求; 以 及,
对登录请求中包括的业务应用账户关联信息进行认证, 并根据认证 结果确认登录结果, 将登录结果通过通信单元发送给用户接入终端; 或 根据登录请求中包括的个人通信档案位置信息将自身中存储的对应业 务应用账户关联信息通过通信单元发送到通信档案存储设备, 并通过通 信单元接收来自通信档案存储设备返回的认证结果信息 , 并根据认证结 果确认登录结果, 将登录结果通过通信单元发送给用户接入终端; 或根 据登录请求中包括的个人通信档案位置信息通过通信单元向通信档案 存储设备请求对应的业务应用账户关联信息, 对请求获取的业务应用账 户关联信息与自身存储的对应业务应用账户关联信息是否一致进行认 证, 并根据认证结果确认登录结果, 将登录结果通过通信单元发送给用 户接入终端。 > 由上述方案可以看出, 本发明中, 在用户通信档案存储设备中存储 为用户业务应用账户设置的业务应用账户关联信息; 在用户登录业务应 用服务器时, 业务应用服务器或通信档案服务器对该用户的个人通信档 案中是否有为该业务应用账户设置的业务应用账户关联信息进行认证, 并根据认证结果向用户接入终端返回登录成功或登录失败信息; 由于可 以同时在通信档案服务器中为用户在多个业务应用服务器上的多个业 务应用账户设置对应的业务应用账户关联信息, 很方便地实现了对用户 的多个业务应用服务器上的多个业务应用账户的保护; 并且, 由于在本 发明中不需要用户通过接收短信息获取动态密码就能够实现除静态密 码外对用户业务应用账户的保护, 大大降低了用户登录业务应用服务器 的时延, 也由于不需要用户额外购买密码卡, 大大提高了业务应用服务 器的竟争力。 附图简要说明 图 1为 PCP管理单元与用户接入终端和业务应用之间的连接关系示 意图;
图 2为 PCP管理单元在运营商网络中的位置示意图;
图 3为本发明第一实施例中用户注册业务应用账户的流程图; 图 4为本发明第一实施例中用户登录业务应用的流程图;
图 5为本发明第二实施例中用户注册业务应用账户的流程图; 图 6为本发明第二实施例中用户登录业务应用的流程图;
图 7为本发明第三实施例中用户登录业务应用的流程图。 实施本发明的方式 为使本发明的目的、 技术方案和优点更加清楚, 下面结合附图对本 发明作进一步的详细描述。
由于网络运营商拥有业务应用服务商所不具备的网络资源, 为用户 提供最基本的接入服务, 能够为用户和业务应用服务商提供统一的接入 管理, 统一的网络认证和业务认证, 所以将网络运营商的认证鉴权和业 务应用服务商的业务应用账户进行结合, 就可以有效地达到保护用户业 务应用账户的目的。
网络运营商可以通过用户的接入号, 如移动运营商通过移动终端号 码、 固网运营商通过固定电话号码, 宽带运营商通过用户的接入账号, 为用户提供个人通信档案 (PCP ) 。 该 PCP是网絡运营商为用户建立的 唯一标识该用户通信属性的最小完备集合。例如, PCP中可以包括该 PCP 对应用户使用的承载网络资源属性、 上层业务能力部件、 平台, 应用程 序等业务资源属性信息。
本发明的主要思想是, 在运营商网络的用户个人通信档案中为用户 的业务应用账户设置对应的业务应用账户关联信息; 在用户通过用户接 入终端以业务应用账户登录业务应用时, 对该用户的个人通信档案中是 否有为该业务应用账户设置的业务应用账户关联信息进行认证, 如果认 证通过, 允许用户登录; 如果认证失败, 拒绝用户登录。
这里所说的认证的具体实现, 即业务应用判断用户 PCP中设置的上 述业务应用账户关联信息与自身中该用户的账户是否对应, 如果对应则 认证通过, 用户账户合法; 否则, 用户账户非法。
本发明中, 在一个业务应用中, 用户如果有多个账户, 这多个账户 对应的业务应用关联信息可以相同, 也可以不同。 也就是说业务应用账 户关联信息可以与用户的业务应用账户——对应, 也可以与对应相同属 性, 如对应相同的用户接入号和相同的业务应用的业务应用账户以一对 多的方式对应。
进而, 本发明中, 也可以由运营商网络中的 PCP相关设备对业务账 户的合法性进行认证, 即业务应用向 PCP发送业务应用账户关联信息, 由 PCP相关设备对该业务应用账户关联信息是否合法进行认证。
上述业务应用账户关联信息, 可以是为用户所注册的业务应用账户 所生成的别名, 用来作为用户所注册的业务应用账户与该用户 PCP进行 关联的标识, 本说明书中将该标识称为业务应用账户关联标识。
本发明中, 用户的 PCP存储在运营商网络中的用户通信档案存储设 备中, 该用户通信档案存储设备具体可以是用户终端档案服务器、 用户 终端数据库或通信档案服务器, 其中通信档案服务器也称为 PCP管理单 元。
在运营商网络中, 用户通信档案存储设备的地址可以是业务应用预 先知道的, 如整个运营商网络中只有一个用户通信档案存储设备, 也可 以是在用户在业务应用注册或登录的时候告知业务应用的。
下面以上述用户通信档案存储设备为通信档案服务器为例来说明 本发明所基于的系统組成。 通信档案服务器以及通信档案服务器与用户 接入终端和业务应用服务器之间的连接关系可以如图 1所示。 其中, 个 人电脑 (PC )终端 101、 移动电话 102和个人数字助手 (PDA ) 103作为 用户接入终端, 在通信档案服务器 11中, 分别具有自身对应的 PCP, 并 通过接入网关 10与通信档案服务器进行连接。
上述用户接入终端主要用于向业务应用服务器发送登录请求; 此 外, 还可以接收来自通信档案服务器的个人通信档案位置信息, 或进一 步包括的业务应用账户关联信息, 并将所述接收的来自通信档案服务器 的信息通过登录请求发送给该信息对应的业务应用服务器; 通信档案服务器, 主要用于存储包括用户的业务应用账户关联信息 的个人通信档案; 此外, 还可以根据业务应用服务器的请求向业务应用 服务器发送业务应用账户关联信息, 或对来自业务应用服务器的业务应 用账户关联信息进行认证并返回认证结果;
业务应用服务器, 主要用于根据用户发送的登录请求, 与所述通信 档案服务器交互, 根据所述用户的个人通信档案中的业务应用账户关联 标识进行认证, 并根据认证结果确定登录结果; 具体可以是: 根据用户 发送的登录请求, 向通信档案服务器发送消息请求获取所述用户的业务 应用账户关联信息, 并对通信档案服务器返回的业务应用账户关联信息 进行认证; 或根据用户发送的登录请求向通信档案服务器发送该用户的 业务应用账户关联信息, 或对用户登录请求中包括的业务应用账户关联 信息进行认证, 并根据所述认证的结果向用户接入终端返回登录成功或 登录失败信息。
通信档案服务器 11中具体可以包括 PCP生成单元 111、 PCP管理控制 单元 112、 PCP数据库 113、用户认证鉴权单元 114、业务部件接口单元 115 和开放服务接入网关接口单元 116。
其中, PCP生成单元 111 , 用于管理用户 PCP信息, 根据 PCP管理控 制单元的请求命令生成、 更新和维护 PCP数据信息, 并将生成、 更新和 维护的 PCP数据信息通过 PCP管理控制单元写入 PCP数据库 113中。
PCP管理控制单元 112是通信档案服务器的中央控制部件,负责对外 部应用以及业务部件接口进行管理, 并对 PCP的生成和存储进行管理。
PCP数据库 113用于存储用户的 PCP信息。 PCP数据库中可以包括多 个维度的用户数据, 在本发明中所涉及到的用户维度数据为与用户的业 务应用账户关联标识维度。 该维度信息在数据库中可以通过如下格式进 行存储:
<?xml version- "1.0" encoding^ " UTF- 8 "? >
<PCPML>
<PCPHdr>
<PCPId>) 0: 56DFEA24F13</PCPId;> //PCP标识
<UserId>493005100592800</UserId> //用户标识
</PCPHdr>
<PCPBody>
< dimension name= "Base Information" typeld= //其它维度项信息
/dimension>
imension naTne=',PIM" typeId-"2"> //业务应用账户维度信息
<item id=',PIM001" name =n WOW" type="ACC"> //业务应用账户 1信息项 Description^戏名称 l</Description> //信息项描述
<Meta> //账户信息类型描述
<Type xmlns= " syncml: metinf " >
application/Game .Account</Type>
< Format xmlns=" syncml: metinf " >b64< /Format >
</Meta>
<ACL> read= ww . wow . com- 346 & r ite= www.wo . com-346</ACL>
〃访问控制权限描述 <Data>< l - - Base64-coded data--x/Data> }
//业务应用账户关联标识
<item>
<item id=";p™002" name=»F est " type="ACC» > //业务应用账户 2信息项 •description:^戏名称 2</Description> //信息项描述
< eta> 〃账户信息类型描述
<Type xmlns= " syncml: metinf " >
application/Game ,Account</Type>
< Format xmlns= " syncml: metinf " >b64</Format> </Meta>
<ACL>read= w.163.com-123& rite= www.163. com- 123</ACIJ>
, 〃访问控制权限描述
<Data>< ί -- Base64-coded data- - ></Data>
//业务应用账户关联标识
<item>
</ditnension>
cdimension name= "Communication facilities" typeld="3"> 〃其它维度项信 息
/dimension>
;/PCPBody>
</PCPML> ' 上述 PCP的存储格式为基于 XML的文件描述。 XML文件分为 Header 部分和 Body部分。
Header部分包括如 PCP标识、 用户标识等公共基本信息, 以标识对 应的用户, 和该用户对应的 PCP。
Body部分包括所有该用户 PCP数据所涉及到的参数的值。 用一个 <dimension>标签包含所有的维度信息参数项, ^<dimension
name="PIM" typeld="2">表示业务应用账户维度信息 , 其中 name标识维 度的名称信息, typeld是维度的标识。每个维度内的参数项用一个 <Item> 项表示。 每个维度可以包含多个参数项。
^111>标签可以带以下参数: id, 表示该参数项的名称,该参数项 在维度内的唯一标识; Name, 表示该参数项的名称; Type, 表示该参数 项的类型。 具体 <Item>项, 即一个维度信息参数项, 由以下几个参数描 述: <Description>, 表示该参数项的描述, <Meta>: 表示该参数项的类 型 (Type )和格式(Format ) ; <ACL>, 表示该参数项的访问控制权 限; <Data>,表示该参数项的值。一个 <Meta^ 包含以下两个项: <Type>, 表示该参数项的类型; <Format>, 表示该参数项的格式。 在描述文件中 可以为每个参数项都提供一个默认类型,描述中如果不提供<1^^&>,则表 示值参数项的值为默认类型。 一个业务应用关联账户即为一个 Item, 如 下所示:
<item id= " PIM001 " name= "WO " type= »ACC" > //业务应用账户 1信息项
<Description>游戏名称 l</Description> //信息项描述
<Meta> 〃账户信息类型描述
<Type xmlns= " syncml: metinf " >
application/ Game . Account</Type>
< Format xmlns= " syncml -.metinf " >b64 < / Format >
< / eta>
<ACL> read=www. wow. com-346&write= www. wow. com-346</ACL> ' //访问控制权限描述一
<Data>< ! - - Base64 - coded data- - x/Data> //业务应用账户关联标识
<item> 其中, read=www.wow.com-346&write= www.wow.com-346是对 k务 应用服务器信息的描述, 这里釆用了业务应用服务器地址的形式, 表示 只有来自该地址的请求信息才是来自该 Item对应的业务应用服务器的请 求信息, 所以才能够对下面的业务应用账户关联标识<! Base64-coded data-->^M亍读和写功能。
用户认证鉴权单元 114, 以用户 PCP的数据信息为基础, 对用户使 用的网络资源和业务资源进行认证。以及将用户 PCP中的业务应用账户 关联标识发送给用户接入终端;或将用户 PCP的位置信息发送给用户接 入终端, 并,
接收来自业务应用服务器业务应用账户对应的业务应用账户关联 标识, 对 PCP数据库 113中是否对应包括业务应用账户关联标识进行认 证, 将认证结果信息发送给业务应用服务器; 或者接收来自业务应用服 务器的请求业务应用账户关联标识的消息,从 PCP数据库 113中获取对应 的业务应用账户关联标识并发送给业务应用服务器。
业务部件接口单元 115用于通信 PCP管理控制单元和用户认证鉴权 单元通过接入网关与用户接入终端连接进行通信, 以及与网络运营商的 其他网元设备等进行连接。
开放服务接入网关接口单元 116用于 PCP管理控制单元和用户认证 鉴权单元通过开放服务网关 12与业务应用服务器连接进行通信。
业务应用服务器 121、 122、 123 , 分别通过开放服务网关 12 与 PCP管理单元连接并进行通信。
业务应用服务器中主要包括: 通信单元 1201和登录控制单元 1202。 其中, 通信单元 1201用于登录控制单元通过其与用户接入终端和通 信档案服务器进行通信。 登录控制单元 1202用于通过通信单元接收来自用户接入终端的登 录请求; 以及对登录请求中包括的业务应用账户关联标识进行认证, 并 根据认证结果确认登录结果, 将登录结果通过通信单元 1201发送给用户 接入终端; 或根据登录请求中包括的 PCP位置信息将自身中存储的对应 业务应用账户关联标识发送到通信档案服务器, 并接收来自通信档案服 务器返回的认证结果信息, 并根据认证结果确认登录结果, 将登录结果 通过通信单元 1201发送给用户接入终端; 或根据登录请求中包括的 PCP 位置信息向通信档案服务器请求对应的业务应用账户关联标识, 并对请 求获取的业务应用账户关联标识与自身存储的对应业务应用账户关联 标识是否一致进行认证, 并根据认证结果确认登录结果, 将登录结果通 过通信单元 1201发送给用户接入终端。
图 1中示出了通信档案服务器的组成以及与用户接入终端和业务应 用的连接关系。 通信档案服务器在运营商网络中的位置可以如图 2所示, 位于公共能力承载层中。 由于该网络架构中除在公共能力承载层中增加 了通信档案服务器外, 其余部分均可以采用现有技术中的网络架构, 所 以这里不再详细阐述。
下面通过具体实施例对本发明方法进行详细阐述。
本发明的第一实施例中包括业务应用账户注册流程和业务应用账 户登录流程, 分别如图 3和图 4所示, 下面进行说明。
如图 3所示为业务应用账户注册流程, 具体包括以下步骤: 步骤 301、 用户通过终端接入网络。 本步骤中, 用户可以通过无线 或有线终端接入签约运营商网络。
步骤 302、 运营商网络中的通信档案服务器根据用户的接入标识获 取用户的 PCP信息。 本步骤中, 通信档案服务器可以是根椐用户的接入标识, 在个人档 案数据库中通过查找对应的用户标识来查找用户的 PCP, 如果用户是第 一次接入网络, 找不到用户的 PCP的情况下, 这里还包括一个初始化用 户 PCP的过程, 即通信档案服务器为用户生成新的 PCP。
步骤 303、 通信档案服务器对用户进行网络认证和业务认证。
本步骤中, 所说的网络认证和业务认证是指对用户 PCP中的信息的 验证, 可以包括对 PCP中网络能力属性和基本业务能力属性的认证。 网 络能力属性的认证即网络控制层根据用户的 PCP相关信息对用户的承载 能力进行认证, 如对接入带宽、 线路的 QoS的认证等; 对基本业务能力 属性的认证不是指对具体业务应用的认证, 而是对是否具有短信、 位置 业务等业务能力的认证。 认证通过说明用户可以正常使用网络。 对网络 认证和业务认证的具体实现与现有技术基本相同, 区别仅在于在本发明 中是由通信档案服务器执行认证, 以及由用户的 PCP提供进行网络认证 和业务认证的数据。
步骤 304、 通信档案服务器在进行网络认证和业务认证通过后将用 户的 PCP位置信息发送给用户接入终端。 这里的 PCP位置信息可以是用 户 PCP所在的通信档案服务器的地址, 如通信档案服务器的 URL, 此外, 通信档案服务器还可以进一步将交互方式、 证书等发送给用户接入终 端, 用于通信档案服务器与用户接入终端之间进行认证。
步骤 305、 用户在业务应用服务器注册业务应用账户时, 向业务应 用服务器发送注册请求。 在该注册请求中可以包括上述 PCP位置信息。
步骤 306、 业务应用服务器在接收到用户的注册请求后, 向用户发 送消息询问是否将用户 PCP与业务应用账户进行关联。
步 307、 用户接收到上述询问消息后, 如果确定则执行步骤 308, 回复确认消息, 用户的 PCP位置信息也可以不在步骤 305中, 而是在本步 骤中发送给业务应用服务器, 然后执行步骤 310; 否则执行步骤 309, 回 复拒绝关联信息, 然后结束该流程, 即进行正常的注册流程。
步骤 310、业务应用服务器为用户生成并存储 PCP业务应用账户关联 标识, 然后将生成的业务应用账户关联标识根据用户 PCP位置信息通过 关联请求消息发送给对应的通信档案服务器, 在该消息中还包括用户标 识, 或可以进一步包括用户 PCP中业务应用账户维度中其他涉及到的信 步骤 311、 通信档案服务器接收到来自业务应用服务器的关联倚求 消息后 , 向对应的用户发送提示消息提示用户有业务应用服务器发起了 将用户账户和 PCP进行关联的请求, 在该提示消息中包括业务应用服务 器的信息。
步骤 312、 用户接收到该请求后, 如果确定要将其在上述业务应用 服务器上注册的账户与 PCP关联则执行步骤 313 ,向通信档案服务器返回 确认信息, 然后执行步骤 315; 否则, 执行步骤 314, 向通信档案服务器 返回拒绝信息, 然后结束该流程, 或由通信档案向业务应用服务器返回 拒绝信息 , 业务应用服务器再向用户返回注册失败信息。
步骤 315、 通信档案服务器接收到用户发送的确认信息后, 将来自 业务应用服务器的业务应用账户关联标识增加到该用户的 PCP中, 然后 向业务应用服务器返回更新成功信息。 本步骤中, 通信档案服务器也可 以将来自业务应用服务器的关联请求消息中的其他相关信息添加到用 户 PCP中的对应数据项。
步骤 316、 业务应用服务器接收到来自通信档案服务器的更新成功 信息后, 向用户返回账户注册成功信息。 与上述注册流程对应地, 用户进行登录的流程如图 4所示, 其中, 步 401至步骤 404与图 3中的步骤 301至步骤 304相同, 在执行步骤 404 后, 执行步骤 405。
由于在注册流程中, 通信档案服务器已经将用户的 PCP位置信息发 送给用户接入终端, 用户接入终端可以保存自身的 PCP位置信息, 则在 本流程中, 步骤 404中也可以不向用户返回 PCP位置信息, 而是向用户返 回网络认证和业务认证通过信息。
步骤 405、 在用户输入登录账号和密码后, 用户接入终端向业务应 用服务器发送登录请求, 该请求中包括登录账号和密码, 以及用户接入 终端中存储的 PCP位置信息。
步骤 406、 业务应用服务器对用户的账号和密码进行合法性认证, 如果认证通过则执行步骤 408; 否则执行步骤 407, 向用户返回登录失败 信息, 该登录失败消息中可包含登录失败的原因, 然后结束该流程。
步骤 408、业务应用服务器根据 PCP位置信息向通信档案服务器请求 该用户对应 PCP中的业务应用账户关联标识, 该请求消息中包括用户标 识和业务应用服务器的相关信息。
步骤 409、 通信档案服务器接收到来自业务应用服务器的请求 PCP 中业务应用账户关联标识的消息后, 根据用户标识和业务应用服务器的 相关信息查询数据库, 获取业务应用账户关联标识, 并向业务应用服务 器返回所获取的业务应用账户关联标识。
步骤 410、 业务应用服务器对通信档案服务器返回的业务应用账户 关联标识进行认证, 如果认证通过执行步骤 411 , 向用户返回登录成功 消息, 通知用户账户登录成功, 结束本流程, 此后用户可以通过接入终 端与业务应用进行具体业务的交互; 否则执行步骤 412, 向用户返回登 录失败消息, 通知用户账户登录失败, 或进一步通知用户因为业务应用 账户关联标识认证失败而导致登录失败, 并结束该流程。 这里对通信档 案服务器返回的业务应用账户标识进行认证, 就是判断该返回的业务应 用账户关联标识是否与自身中存储的该用户对应的业务应用账户关联 标识一致。 '
以上是对本发明第一实施例的说明。 从上述说明可以看出, 本发明 的第一实施例中, 用户接入终端中只保存 PCP位置信息, 在进行认证时, 业务应用服务器根据来自用户接入终端的该 PCP位置信息请求获取用户 PCP中的业务应用账户关联标识, 并对所获取的标识进行认证。
在本发明中, 还可以在用户接入终端中保存该用户的 PCP信息, 则 在进行认证时, 用户接入终端直接将 PCP信息中的业务应用账户关联标 识发送给对应的业务应用服务器, 业务应用服务器可以直接对来自用户 接入终端的业务应用账户关联标识进行认证。 下面通过第二实施例对该 实现方式进行详细说明。
本发明的第二实施例中, 用户进行注册和登录的流程分别如图 5和 图 6所示。 在图 5所示的注册流程中, 步骤 501至步骤 503与第一实施例中 的步骤 301至步骤 303相同, 在步骤 503中认证通过后, 执行步骤 504, 将 用户的 PCP的位置信息和用户 PCP具体内容信息发送给用户接入终端, 用户接入终端保存接收的 PCP信息。 这里, 用户 PCP的具体内容可以只 是涉及到业务应用账户关联的相关信息部分内容, 也可以是全部内容。
在步驟 504后, 执行步骤 505至步骤 510, 由于步骤 505至步驟 510与 步骤 305至步骤 310相同, 这里不再说明。 其中, 用户 PCP的位置信息可 以在步骤 505, 用户接入终端向业务应用服务器发送注册请求的时候发 送给业务应用服务器, 也可以在业务应用服务器询问用户是否关联 PCP 与业务应用账户后, 在步骤 508用户接入终端向业务应用服务器回复的 确认信息中发送给业务应用服务器。 在步骤 510后, 执行步骤 511, 通信档案服务器更新用户 PCP, 就是 将接收的业务应用账户关联标识增加到用户的 PCP中, 并向用户接入终 端发送 PCP同步更新请求, 在该请求中包括增加的业务应用账户关联标 识。
在步骤 512,用户接入终端在根据 PCP同步更新请求将业务应用账户 关联标识增加到自身存储的 PCP中后, 向通信档案服务器返回 PCP同步 完成消息。在步骤 513, 通信档案服务器接收到来自用户接入终端的 PCP 同步完成消息后, 向业务应用服务器返回更新成功消息。 然后执行的步 骤 514与图 3中的步驟 316相同。
在上述流程中的步骤 511通信档案服务器更新用户 PCP之前,也可以 与图 3中类似地, 执行向用户确认的步骤, 并在收到用户的确认后再执 行更新操作, 由于具体实现与图 3中步骤 311至步骤 314相同, 这里不再 详细说明。
对应地, 在图 6所示的登录流程中, 步骤 601与步骤 603与图 5中的步 骤 501至步骤 503相同, 在步骤 604, 通信档案服务器向用户接入终端返 回认证通过信息; 此后在步骤 605, 用户接入终端向业务应用服务器发 起登录请求时,在请求中携带用户的账号、 PI 和用户 PCP中与所登录的 业务应用服务器对应的业务应用关联标识信息。 在步骤 606、 业务应用 服务器根据接收的信息对用户进行认证, 包括对用户账号、 PIN的认证 和对业务应用关联标识的认证, 认证通过执行步骤 607, 向用户接入终 端返回登录成功信息; 认证没有通过则执行步骤 608, 向用户接入终端 返回登录失败信息。
在上述第一和第二实施例中, 在进行登录时, 由业务应用服务器对 用户的业务应用账户关联标识进行认证。 在本发明中, 还可以由通信档 案服务器来执行对用户的业务应用关联标识的认证, 下面通过第三实施 例进行说明。
本发明第三实施例中, 注册流程与第一实施例中相同。 用户登录业 务应用服务器的流程如图 7所示, 其中步骤 701至步骤 707与图 4中的步骤 401至步骤 407相同, 在步骤 706, 业务应用服务器对用户的账号和 PIN认 证通过后, 执行步骤 708, 向通信档案服务器发送关联标识认证请求, 该请求中包括业务应用服务器中存储的用户的业务应用账户关联标识 信息、 用户标识信息以及业务 用服务器信息。 在步骤 709, 通信档案 服务器根据用户标识查找对应的 PCP, 判断 PCP中是否有与关联标识认 证请求中的业务应用账户关联标识一致的 , 上述业务应用服务器对应的 业务应用账户关联标识, 如果是则认证通过, 即执行步骤 710, 向业务 应用服务器返回认证通过信息, 然后执行步骤 711 , 业务应用服务器向 用户接入终端返回登录成功信息, 然后结束该流程; 否则为认证没有通 过, 执行步骤 712, 向业务应用服务器返回认证失败信息, 再执行步驟 713, 业务 用服务器向用户接入终端返回登录失败信息, 然后结束该 流程。
在以上实施例中, 为关联 PCP进行认证所生成的业务应用账户关联 标识都是静态的。 为了进一步保证业务应用关联标识认证的安全性, 关 联标识还可以不断更新, 即动态生成上述业务应用账户关联标识,下面 通过第四实施例对采用动态的业务应用账户关联标识的对用户账户进 行保护的方法进行详细说明。
在本发明的第四实施例中, 用户在业务应用服务器注册账户的流程 与前三个实施例均可以相同, 用户登录业务应用服务器的流程与上述三 个实施例的区别在于, 在认证通过后, 业务应用服务器向用户返回消息 通知用户账户登录成功后, 进一步包括: 业务应用服务器删除原有的该 用户账户对应的业务应用账户关联标识 , 或将原有的该用户账户对应的 业务应用账户关联标识设置为无效, 然后重新为用户生成用于下一次登 录时进行认证的新的业务应用账户关联标识, 并将生成的业务应用账户 标识发送给通信档案服务器请求更新 PCP业务应用账户关联标识, 通信 档案服务器接收到更新请求后, 更新上述用户和业务应用服务器对应的 业务应用账户关联标识, 然后向业务应用服务器返回更新成功消息。
在用户接入终端中保存用户 PCP的情况下, 通信档案服务器或业务 应用服务器还需要将新的业务应用账户关联标识发送给用户接入终端, 用户接入终端更新自身中的业务应用账户关联标识。 这里, 业务应用服 务器可以同时将新的业务应用账户关联标识发送给通信档案服务器和 用户接入终端, 两者分别自行执行更新操作, 也可以业务应用服务器将 新的业务应用账户关联标识只发送给用户接入终端, 然后用户接入终端 通知通信档案服务器更新对应的业务应用账户关联标识。
在上述对本发明第四实施例的说明中, 采用了用户登录通过这种事 件触发业务应用账户关联标识更新的方式。 本发明中, 业务应用账户关 联标识的更新也可以通过其他事件触发, 例如业务应用服务器接收到用 户登录成功后发送的业务应用账户更新请求事件。 此外, 在本发明中, 更新用户的业务应用账户关联标识还可以采用以下两种方式:
第一种为基于时间策略触发的更新方式, 在这种方式中预先设置为 业务应用账户关联标识设置更新时间, 或生命周期, 在到达该业务应用 账户关联标识的更新时间 , 或该业务应用账户关联标识的生命周期结束 后, 业务应用服务器触发更新业务应用账户关联标识的操作, 并更新通 信档案服务器, 或更新通信档案服务器和用户接入终端中对应的业务应 用账户关联标识, 具体的更新与上述在第四实施例中所描述的一致, 这 里不再说明。 由于业务应用账户关联标识的重要级别可以根据实际情况 划分不同的级别, 对应地, 更新时间和生命周期可以根据预先为业务应 用账户关联标识设定的重要级别不同而设定不同的时间 , 重要级别越 高, 更新时间和生命周期可以越短, 重要级别越低, 更新时间和生命周 期可以越长。
第二种为基于时间和事件混合策略的更新方式, 在这种方式中可以 综合上述时间触发和时间触发的两种策略。 例如, 在为用户的账户设置 的更新时间到达, 或生命周期结束后为用户账户更新业务症用账户关联 标识, 并记录该次更新的时间; 但是在用户登录成功之后, 或接收到用 户发送的更新请求这种事件发生时, 判断该时间距离最近一次更新的时 间是否超过了预先设定的最小更新周期, 如果是则为用户更新业务应用 账户关联标识; 否则, 不更新业务应用账户关联标识。 当然, 上述所举 示例只是用于对时间和事件混和策略的进一步说明, 在实际应用中也可 以采用其他的时间和事件混和触发的策略, 由于这种混和触发策略为本 领域技术人员可以很容易可以想到的, 这里不再——列举。
以上所述仅为本发明的较佳实施例而已, 并不用以限制本发明, 凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等, 均应包含在本发明的保护范围之内。

Claims (17)

  1. 权利要求书
    1、 一种网络业务应用账户的保护方法, 其特征在于, 该方法包括:
    A、 在网络侧的用户个人通信档案中为用户的业务应用账户设置业 务应用账户关联信息;
    B、 在用户通过接入终端以业务应用账户登录业务应用服务器时, 对该用户的个人通信档案中是否有为该业务应用账户设置的业务应用 账户关联信息进行认证, 如果认证失败, 拒绝用户登录。
  2. 2、 根据权利要求 1所述的方法, 其特征在于, 所述步骤 A包括: Al、 业务应用服务器在用户注册业务应用账户时, 为该用户生成并 存储业务应用账户关联信息;
    A2、将所述业务应用账户关联信息发送到存储所述用户个人通信档 案的设备, 该设备将接收的所述关联信息存储到对应用户的个人通信档 案中。
  3. 3、 根据权利要求 2所述的方法, 其特征在于, 所述步骤 B中如果 认证通过, 业务应用服务器允许用户登录之后, 或在用户登录成功, 业 务应用服务器接收到用户的更新请求之后, 或业务应用服务器在预先设 定的业务应用账户关联信息更新时间或生命周期到期后, 或在用户登录 成功, 业务应用服务器接收到用户的更新请求, 且接收到该更新请求的 时刻距离上次更新时间大于预先设定的最小更新周期后, 该方法进一步 包括:
    业务应用服务器生成新的业务应用账户关联信息, 并将所述新的业 务 用账户关联信息发送给网络侧存储所述用户个人通信档案的设备, 请求进行更新;
    所述设备接收到所述请求后, 将为所述业务应用账户设置的业务应 用账户关联信息更新为所述新的业务应用账户关联信息。
  4. 4、 根据权利要求 2所述的方法, 其特征在于, 步骤 A2中所述该设 备将接收的所述关联信息存储到对应用户的个人通信档案中之前进一 步包括:
    所述设备向所述用户的接入终端发送提示消息, 提示用户有业务应 用服务器发起了将用户的业务应用账户和用户个人通信档案进行关联 的请求;
    所述用户接入终端接收到所述提示消息后, 向所述设备返回确认信
  5. 5、 根据权利要求 2所述的方法, 其特征在于, 步骤 Α中所述业务 应用服务器为该用户生成并存储业务应用账户关联信息之前或之后进 一步包括:
    业务应用服务器向用户接入终端发送询问消息, 询问用户是否将所 述业务应用账户与用户的个人通信档案相关联;
    用户接入终端接收到所述询问消息后, 向业务应用服务器返回确认 息。
  6. 6、 根据权利要求 1所述的方法, 其特征在于, 步骤 B中所述的对 该用户的个人通信档案中是否有为该业务应用账户设置的业务应用账 户关联信息进行认证包括:
    Bl l、 业务应用服务器在接收到用户的登录请求后, 向网络侧存储 所述用户个人通信档案的设备发送消息, 请求获取为所述业务应用账户 设置的业务应用账户关联信息;
    B12、 接收到所述消息的设备, 获取所述业务应用账户关联信息, 并将获取的业务应用账户关联信息返回给所述业务应用服务器;
    B13、 所述业务应用服务器对接收的业务应用账户关联信息与自身 中存储的对应业务应用账户关联信息是否一致进行认证。
  7. 7、 根据权利要求 1所述的方法, 其特征在于, 步骤 B中所述的对 该用户的个人通信档案中是否有为该业务应用账户设置的业务应用账 户关联信息进行认证包括:
    B21、 业务应用服务器在接收到用户的登录请求后, 将自身中存储 的业务应用账户对应的业务应用账户关联信息发送到网络侧存储所述 用户个人通信档案的设备;
    B22、 所述设备接收到所述业务应用账户对应的业务应用账户关联 信息后, 对所述用户的个人通信档案中是否对应包括该业务应用账户关 联信息进行认证, 并将认证结果返回给业务应用服务器。
  8. 8、 根据权利要求 6或 7所述的方法, 其特征在于, 所述步骤 B之 前进一步包括:
    B 10、 网络侧存储所述用户个人通信档案的设备将个人通信档案的 位置信息发送给用户;
    步骤 B中所述的用户通过用户接入终端以业务应用账户登录业务应 用服务器时, 用户将所述位置信息发送给业务应用服务器;
    步骤 B中业务应用服务器根据所述位置信息与存储所述用户个人通 信档案的设备交互。
  9. 9、 根据权利要求 1所述的方法, 其特征在于, 所述步骤 B之前进 —步包括:
    B20、 网络侧存储所述用户个人通信档案的设备将所述用户个人通 信档案中的业务应用账户关联信息发送给所述用户的接入终端;
    步驟 B中所述的用户通过接入终端以业务应用账户登录业务应用服 务器时, 用户接入终端向业务应用服务器发送自身个人通信档案中对应 的业务应用账户关联信息; 则步骤 B中所述的对该用户的个人通信档案中是否有为该业务应用 账户设置的业务应用账户关联信息进行认证为:
    业务应用服务器对来自用户接入终端的业务应用账户关联信息是 否合法进行认证。
    10、根据权利要求 9所述的方法, 其特征在于, 该方法进一步包括: 所述用户个人通信档案中的业务应用账户关联信息更新时, 向用户 接入终端发送同步更新请求, 请求更新对应的业务应用账户关联信息; 用户接入终端接收到所述同步更新请求后 , 更新自身中对应的业务 应用账户关联信息。
  10. 1 1、根据权利要求 1至 7或 9、 10中任一所述的方法,其特征在于, 步骤 B中所述的认证步骤之前, 或如果认证通过, 业务应用服务器允许 用户登录之前, 进一步包括:
    业务应用服务器对用户的账号和密码进行认证, 如果认证通过执行 后续步骤; 否则, 直接拒绝用户登录。
  11. 12、 一种网络业务应用账户保护系统, 其特征在于, 该系统包括: 用户接入终端, 用于向业务应用服务器发送登录请求;
    用户通信档案存储设备, 用于存储包括用户的业务应用账户关联信 息的个人通信档案;
    业务应用服务器, 用于根据用户接入终端发送的登录请求, 与所述 用户通信档案存储设备或用户接入终端交互, 确定所述用户的个人通信 档案中是否有为该业务应用账户设置的业务应用账户关联信息, 并根据 所确定的结果再确定登录结果。
  12. 13、 根据权利要求 12所述的系统, 其特征在于, 所述用户接入终 端还接收来自用户通信档案存储设备的个人通信档案位置信息, 或进一 步包括的业务应用账户关联信息, 并将所述接收的来自用户通信档案存 储设备的信息通过登录请求发送给该信息对应的业务应用服务器; 所述用户通信档案存储设备将用户的个人通信档案位置信息或进 一步将用户的业务应用账户关联信息发送给用户接入终端, 以及根据业 务应用服务器的请求向业务应用服务器发送业务应用账户关联信息, 或 对来自业务应用服务器的业务应用账户关联信息进行认证并返回认证 结果;
    所述业务应用服务器才艮据用户发送的登录请求, 向用户通信档案存 储设备发送消息请求获取所述用户的业务应.用账户关联信息 , 并对用户 通信档案存储设备返回的业务应用账户关联信息进行认证; 或根据用户 发送的登录请求向用户通信档案存储设备发送该用户的业务应用账户 关联信息; 或对用户登录请求中包括的业务应用账户关联信息进行认 证; 并根据所述认证的结果向用户接入终端返回登录成功或登录失败信
  13. 14、 根据权利要求 12或 13所述的系统, 其特征在于, 所述的用户 通信档案存储设备为: 通信档案服务器、 用户终端档案服务器或用户终 端数据库。
  14. 15、 根据权利要求 12或 13所述的系统, 其特征在于, 所述用户接 入终端与用户通信档案存储设备之间通过接入网关进行交互; 所述用户 通信档案存储设备与业务应用服务器之间通过开放服务接入网关进行 交互。
  15. 16、 根据权利要求 12或 13所述的系统, 其特征在于, 所述的用户 接入终端为: 移动终端、 个人数字助手或个人电脑终端。
    17、 一种通信档案存储设备, 其特征在于, 该设备中包括: 个人通信档案数据库, 用于存储用户的业务应用账户与对应的业务 应用账户关联信息; 用户认证鉴权单元 , 用于将用户个人通信档案中的业务应用账户关 联信息发送给用户接入终端; 或用于将用户个人通信档案的位置信息发 送给用户接入终端, 并,
    接收来自业务应用服务器业务应用账户对应的业务应用账户关联 信息, 对所述个人通信档案数据库中是否对应包括业务应用账户关联信 息进行认证, 将认证结果信息发送给业务应用服务器; 或者接收来自业 务应用服务器的请求业务应用账户关联信息的消息, 从所述个人通信档 案数据库中获取对应的业务应用账户关联信息并发送给所述业务应用 服务器。
  16. 18、 根据权利要求 17所述的通信档案存储设备, 其特征在于, 所 述通信档案存储设备中进一步包括:
    开放服务接入网关接口单元, 用于所述用户认证鉴权单元通过其与 所述业务应用服务器通信;
    业务部件接口单元, 用于所述用户认证鉴权单元通过其与用户接入 终端通信。
  17. 19、 一种业务应用服务器, 其特征在于, 该业务应用服务器包括: 通信单元和登录控制单元;
    登录控制单元通过通信单元接收来自用户接入终端的登录请求; 以 及,
    对登录请求中包括的业务应用账户关联信息进行认证, 并根据认证 结果确认登录结果, 将登录结果通过通信单元发送给用户接入终端; 或 根据登录请求中包括的个人通信档案位置信息将自身中存储的对应业 务应用账户关联信息通过通信单元发送到通信档案存储设备, 并通过通 信单元接收来自通信档案存储设备返回的认证结果信息, 并根据认证结 果确认登录结果, 将登录结果通过通信单元发送给用户接入终端; 或根 据登录请求中包括的个人通信档案位置信息通过通信单元向通信档案 存储设备请求对应的业务应用账户关联信息, 对请求获取的业务应用账 户关联信息与自身存储的对应业务应用账户关联信息是否一致进行认 证, 并根据认证结果确认登录结果, 将登录结果通过通信单元发送给用 户接入终端。
CN200680011959.9A 2005-12-13 2006-09-26 网络业务应用帐户的保护方法、系统和设备 Pending CN101160782A (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN200510134640.2 2005-12-13
CN200510134640.2A CN1852094B (zh) 2005-12-13 2005-12-13 网络业务应用账户的保护方法和系统
PCT/CN2006/002537 WO2007068174A1 (fr) 2005-12-13 2006-09-26 Procédé visant à protéger un compte d'application de service réseau, système et appareil associés

Publications (1)

Publication Number Publication Date
CN101160782A true CN101160782A (zh) 2008-04-09

Family

ID=37133565

Family Applications (2)

Application Number Title Priority Date Filing Date
CN200510134640.2A Active CN1852094B (zh) 2005-12-13 2005-12-13 网络业务应用账户的保护方法和系统
CN200680011959.9A Pending CN101160782A (zh) 2005-12-13 2006-09-26 网络业务应用帐户的保护方法、系统和设备

Family Applications Before (1)

Application Number Title Priority Date Filing Date
CN200510134640.2A Active CN1852094B (zh) 2005-12-13 2005-12-13 网络业务应用账户的保护方法和系统

Country Status (8)

Country Link
US (1) US8732852B2 (zh)
EP (1) EP1953950B1 (zh)
JP (1) JP4880699B2 (zh)
CN (2) CN1852094B (zh)
AT (1) ATE505014T1 (zh)
DE (1) DE602006021224D1 (zh)
ES (1) ES2362924T3 (zh)
WO (1) WO2007068174A1 (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101662771B (zh) * 2009-10-14 2011-12-21 中国电信股份有限公司 无线接入短信自动认证的实现方法和系统
CN111242706A (zh) * 2019-12-31 2020-06-05 航天信息股份有限公司 业务办理方法、装置、存储介质及电子设备

Families Citing this family (26)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7865173B2 (en) * 2006-07-10 2011-01-04 Telefonaktiebolaget L M Ericsson (Publ) Method and arrangement for authentication procedures in a communication network
WO2010028705A1 (en) * 2008-09-10 2010-03-18 Nec Europe Ltd. Method for enabling limitation of service access
US8561055B2 (en) * 2009-10-15 2013-10-15 Blackberry Limited Method, system and apparatus for management of push content
US8364810B2 (en) * 2009-11-06 2013-01-29 Research In Motion Limited Method, system and apparatus for management of push content when changing computing devices
CN102130887B (zh) 2010-01-20 2019-03-12 中兴通讯股份有限公司 一种在公共设备上接入网络的方法及系统
EP2365677B1 (en) * 2010-03-03 2020-04-08 BlackBerry Limited Method, system and apparatus for configuring a device for interaction with a server
EP2363998B1 (en) * 2010-03-03 2015-01-07 BlackBerry Limited Method, system and apparatus for managing push data transfers
CN102457491B (zh) * 2010-10-20 2015-04-08 北京大学 动态身份认证方法和系统
CN102437914B (zh) * 2010-12-08 2013-12-04 袁永亮 一种由电信网为互联网业务提供用户身份标识和用户身份认证的方法
US20130030917A1 (en) * 2011-07-28 2013-01-31 American Express Travel Related Services Company, Inc. Systems and methods for generating and using a digital pass
CN103051448B (zh) * 2011-10-12 2016-06-22 中兴通讯股份有限公司 家庭网关下挂业务终端对码的认证方法、装置及系统
CN103209074B (zh) * 2012-01-16 2016-08-10 中国移动通信集团安徽有限公司 一种安全认证的方法、系统和短信处理装置
CN103428178A (zh) * 2012-05-18 2013-12-04 北京新媒传信科技有限公司 一种保护网络账号的方法和系统
CN103974232B (zh) * 2013-01-24 2017-11-10 中国电信股份有限公司 WiFi用户终端识别方法及系统
US8869303B2 (en) * 2013-02-16 2014-10-21 Mikhail Fleysher Method and system for generation of dynamic password
CN104717122B (zh) * 2013-12-13 2018-08-17 中国移动通信集团公司 一种业务信息交互方法及设备
US9648002B2 (en) * 2014-12-03 2017-05-09 Microsoft Technology Licensing, Llc Location-based user disambiguation
CN106161534B (zh) * 2015-04-09 2021-05-11 中兴通讯股份有限公司 发送、传递和获取能力的方法及装置
CN106411522A (zh) * 2015-08-03 2017-02-15 中兴通讯股份有限公司 一种基于智能卡的在线认证方法、智能卡及认证服务器
US10257201B2 (en) 2016-07-28 2019-04-09 Red Hat, Inc. Management of service accounts
US10171484B2 (en) * 2016-08-30 2019-01-01 International Business Machines Corporation Securing services in a networked computing environment
CN107819729B (zh) * 2016-09-13 2021-06-25 腾讯科技(深圳)有限公司 一种数据请求方法及其系统、接入设备、存储设备和存储介质
CN106487789A (zh) * 2016-10-10 2017-03-08 广东欧珀移动通信有限公司 一种修改应用账户的密码的方法、装置及移动终端
CN107292628B (zh) * 2017-04-11 2021-06-29 创新先进技术有限公司 业务实现方法及装置
US11019070B2 (en) 2018-03-28 2021-05-25 Bank Of America Corporation Differentiating between activities of multiple users using shared accounts to access a computing system
WO2021089312A1 (en) * 2019-11-04 2021-05-14 Telefonaktiebolaget Lm Ericsson (Publ) Methods providing v2x application server registration

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5748890A (en) * 1996-12-23 1998-05-05 U S West, Inc. Method and system for authenticating and auditing access by a user to non-natively secured applications
US6691232B1 (en) * 1999-08-05 2004-02-10 Sun Microsystems, Inc. Security architecture with environment sensitive credential sufficiency evaluation
WO2001052023A2 (en) * 2000-01-14 2001-07-19 Catavault Method and system for secure personal authentication credentials data over a network
AU2000251485A1 (en) * 2000-05-19 2001-12-03 Netscape Communications Corporation Adaptive multi-tier authentication system
US6700960B1 (en) * 2000-08-30 2004-03-02 At&T Corp. Apparatus for tracking connection of service provider customers via customer use patterns
GB2369543A (en) * 2000-11-24 2002-05-29 Cevennes S A Visual content organisation system
JP3682770B2 (ja) * 2001-06-29 2005-08-10 株式会社エヌ・ティ・ティ ピー・シー コミュニケーションズ ディジタルコンテンツ提供方法及びサーバ並びにプログラム
JP2003132022A (ja) * 2001-10-22 2003-05-09 Nec Corp ユーザ認証システムおよび方法
US7221935B2 (en) * 2002-02-28 2007-05-22 Telefonaktiebolaget Lm Ericsson (Publ) System, method and apparatus for federated single sign-on services
ES2281228B2 (es) * 2002-02-28 2008-07-16 Telefonaktiebolaget Lm Ericsson (Publ) Sistema, metodo y aparato para servicios federados de identificacion unica.
JP4068921B2 (ja) * 2002-08-15 2008-03-26 インターナショナル・ビジネス・マシーンズ・コーポレーション ユーザ端末にウェブ・サービスを提供するサーバ、方法、コンピュータ・プログラム、記憶媒体、ネットワーク・システム
JP2004128886A (ja) * 2002-10-02 2004-04-22 Canon Inc 接続情報供給装置、接続情報供給プログラム、認証情報供給装置、及び、認証情報供給プログラム
GB0400270D0 (en) * 2004-01-07 2004-02-11 Nokia Corp A method of authorisation
JP4301997B2 (ja) * 2004-05-07 2009-07-22 日本電信電話株式会社 携帯電話による情報家電向け認証方法
BRPI0502384A (pt) 2005-06-21 2007-02-06 Siemens Ltda sistema e método de monitoração e controle da condição de operação de um transformador de potência

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101662771B (zh) * 2009-10-14 2011-12-21 中国电信股份有限公司 无线接入短信自动认证的实现方法和系统
CN111242706A (zh) * 2019-12-31 2020-06-05 航天信息股份有限公司 业务办理方法、装置、存储介质及电子设备
CN111242706B (zh) * 2019-12-31 2023-12-26 航天信息股份有限公司 业务办理方法、装置、存储介质及电子设备

Also Published As

Publication number Publication date
US8732852B2 (en) 2014-05-20
CN1852094B (zh) 2010-09-29
JP4880699B2 (ja) 2012-02-22
EP1953950A1 (en) 2008-08-06
EP1953950A4 (en) 2009-09-02
ES2362924T3 (es) 2011-07-15
DE602006021224D1 (de) 2011-05-19
ATE505014T1 (de) 2011-04-15
JP2009519515A (ja) 2009-05-14
WO2007068174A1 (fr) 2007-06-21
EP1953950B1 (en) 2011-04-06
US20080066190A1 (en) 2008-03-13
CN1852094A (zh) 2006-10-25

Similar Documents

Publication Publication Date Title
CN101160782A (zh) 网络业务应用帐户的保护方法、系统和设备
CN105027493B (zh) 安全移动应用连接总线
CN101990183B (zh) 保护用户信息的方法、装置及系统
CN104580496B (zh) 一种基于临时代理的虚拟机访问系统及服务器
US7337448B1 (en) Address book clearinghouse interface system and method
US7406594B2 (en) Method and apparatus for certification and authentication of users and computers over networks
CN109511115A (zh) 一种授权方法和网元
CN103780580B (zh) 提供能力访问策略的方法、服务器和系统
CN103875211B (zh) 一种互联网账号管理方法、管理器、服务器和系统
CN107493280A (zh) 用户认证的方法、智能网关及认证服务器
US20090187759A1 (en) Systems, methods, and computer readable media for application-level authentication of messages in a telecommunications network
US20100091763A1 (en) Handling information
CN105516143B (zh) 流媒体的防盗链方法、设备以及系统
TW200820716A (en) Method and apparatus for providing trusted single sign-on access to applications and internet-based services
CN108259432A (zh) 一种api调用的管理方法、设备及系统
CN103825863B (zh) 一种帐号管理方法和装置
CN101986598A (zh) 认证方法、服务器及系统
CN108449364A (zh) 一种分布式身份认证方法及云认证节点
WO2021196913A1 (zh) 一种终端参数更新的保护方法和通信装置
CN103516704A (zh) 一种ims客户端接入管理方法和系统
CN107493250A (zh) 一种对网页请求进行鉴权的方法、客户端及服务器
CN104335619B (zh) 电信设备功能的远程解锁
CN109587134A (zh) 接口总线的安全认证的方法、装置、设备和介质
CN102594782B (zh) Ip多媒体子系统鉴权方法、系统及服务器
CN101990771B (zh) 服务报告

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C02 Deemed withdrawal of patent application after publication (patent law 2001)
WD01 Invention patent application deemed withdrawn after publication