CN102437914B - 一种由电信网为互联网业务提供用户身份标识和用户身份认证的方法 - Google Patents
一种由电信网为互联网业务提供用户身份标识和用户身份认证的方法 Download PDFInfo
- Publication number
- CN102437914B CN102437914B CN2010105797820A CN201010579782A CN102437914B CN 102437914 B CN102437914 B CN 102437914B CN 2010105797820 A CN2010105797820 A CN 2010105797820A CN 201010579782 A CN201010579782 A CN 201010579782A CN 102437914 B CN102437914 B CN 102437914B
- Authority
- CN
- China
- Prior art keywords
- internet service
- telecommunications network
- user
- account
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明公开了一种由电信网为互联网业务提供用户身份标识和用户身份认证的方法。本发明还公开了一种由电信网为互联网业务提供用户身份标识和用户身份认证的系统。采用本发明提供的技术方案,首先可以统一互联网上的用户身份标识,其次可以使用户在使用互联网业务时无需输入账号和密码,操作步骤更少,也无需记忆账号和密码;再次互联网业务可以根据用户的电信网身份标识从用户的电信网账号中计费,从而可以为互联网业务提供一种统一的支付方式。
Description
技术领域
本发明涉及电信设备领域、互联网业务领域。
背景技术
当前大多数的互联网业务如博客、微博、社交网络、邮箱、即时消息等都要求用户注册一个账号并设置一个密码用于用户身份的标识和认证。账号就是用户在互联网上面的身份标识,这个身份标识一般有用户名、邮箱地址、数字编号等几种形式。
可以发现,当前的互联网业务的用户身份标识和认证系统存在几个问题:一是用户身份标识不统一,不同类型的互联网业务、以及同一类型但由不同公司运营的互联网业务之间会使用不同形式的身份标识;二是用户需要为每个业务设置一个密码,使用每个业务时都需要输入账号和密码进行登录,操作较繁琐,用户需要记忆不同的账号和密码。当前互联网业务越来越丰富,很多传统的业务也在向互联网上转移,但是互联网的这种不方便却给用户带来了一定的困扰;三是互联网业务没有记录用户的真实身份信息,一些涉及真实身份信息的业务就需要另外单独开展,如在线支付、物品快递等。
发明内容
本发明提出了一种由电信网为互联网业务提供用户身份标识和用户身份认证的方法。该方法采用由电信网统一标识和认证用户身份并且把用户身份标识和认证信息传递给互联网,从而达到用户免账号免认证登录互联网业务的效果,并且如果推广之则可以达到统一互联网业务的用户身份标识系统的目的。
本发明公开了一种依据上面的方法开发的电信网身份管理服务器,用于管理和指定电信网提供给互联网业务的用户身份标识。
本发明还公开了一种依据上面的方法开发的电信网网关,其处于电信网中,在用户和互联网之间转发消息,其特殊之处在于可以识别出用户登录互联网业务的消息并在消息中加入用户的电信网身份标识。
本发明还公开了一种依据上面的方法开发的互联网业务服务器,其功能包括提取电信网网关增加在消息中的用户身份标识并以之查找出对应的账号并为该账号提供互联网业务。
本发明还公开了一种依据上面的方法开发的系统,其包括上面所述的电信网身份管理服务器、电信网网关和互联网业务服务器。该系统可以实现由电信网为互联网业务提供用户身份标识和用户身份认证的目的。
本发明公开的由电信网为互联网业务提供用户身份标识和用户身份认证的方法的具体技术方案如下:
当前互联网业务没有一个统一的用户身份标识和认证系统,但是互联网的主要接入服务承担方——电信网却有一个完善和统一的用户身份标识和认证系统。电信网运营商会对每个用户分配一个唯一的身份标识(如3G网络中的手机号码),并且在用户接入网络时对其身份进行认证(例如3G网络用户在附加到网络时会通过USIM卡中的密钥和加密算法进行身份认证)。
此外,当前绝大多数普通用户接入到互联网都是通过电信网运营商,只有少数用户如教育科研网的用户才通过专门的线路接入互联网。
因此,如果互联网业务由电信网提供用户身份标识和用户身份认证,则既可以解决互联网上用户身份标识不统一的问题,又可以免除用户使用每个互联网业务之前还要登录的不便。该方法具体的步骤为:
步骤1:用户在电信网上配置要给互联网业务使用的身份标识;
步骤2:用户在互联网业务服务器上设置将自己在电信网的一个或多个身份标识和该业务的账号进行绑定,并且可以为每个不同的身份标识设置不同的业务权限,其中每个身份标识包括如下信息:电信网运营商编号、电信网络编号、身份标识类型、身份标识值;
步骤3:用户连接到电信网;
步骤4:电信网对用户身份进行认证;
步骤5:用户通过电信网连接到互联网,开始使用互联网业务,按照互联网协议向互联网发送消息;
步骤6:所发送的消息经过电信网的网关;
步骤7:电信网的网关识别消息是否是登录互联网业务的消息并识别出对应的互联网业务ID;
步骤8:电信网的网关如果识别出是登录互联网业务的消息,则在消息中加入用户指定的要提供给该互联网业务的身份标识信息以及电信网网关的签名信息和消息完整性摘要信息,然后转发到互联网;
步骤9:互联网业务服务器收到消息,通过签名信息验证消息是否来自信任的电信网网关,通过验证消息完整性摘要来确保消息未被更改;
步骤10:上述的签名信息和消息完整性摘要通过验证以后,互联网业务服务器再从消息中提取其中的用户身份标识信息;
步骤11:互联网业务服务器根据取得的用户身份标识信息查找出与其绑定的业务账号及授予该身份标识的权限,并标记该账号已通过登录认证,如果账号不存在,则提示用户是否创建账号,如果用户选择是,则为用户创建一个账号,并直接将该账号和本次取得的用户身份标识信息相绑定。如果是事先和电信网运营商有协议直接使用电信网的用户身份标识作为账号的,则直接使用电信网的用户身份标识作为账号,并标记该账号已通过登录认证,如果对应的账号不存在,则提示用户是否创建账号;
步骤12:用户直接以所述账号以及授予该身份标识的权限开始使用互联网业务;
其中步骤1又包含如下的子步骤:
步骤101:电信网运营商定义和维护一个互联网业务列表。这个列表中的每一个互联网业务项包含互联网业务ID、业务登录URL地址或业务登录TCP/IP地址与端口号等信息。电信网运营商还可以对这个列表中的项进行多个级别的分类,如首先分大类,大类下面再划分小类,小类下面再划分子类;
步骤102:电信网运营商定义一个用户可以使用的身份标识类型列表,可以使用的身份标识类型包括客户编号、身份证号码、移动电话号码、固定电话号码、ADSL账号、LAN宽带账号、WIFI账号、网名以及其他类型的身份标识,运营商要保证每类身份标识下每个用户的标识值各不相同,可以唯一代表该用户。身份标识类型分为真实身份标识和虚拟身份标识,上面的类型中客户编号、身份证号码、移动电话号码、固定电话号码、ADSL账号、LAN宽带账号、WIFI账号为真实身份标识,网名等为虚拟身份标识;
步骤103:电信网运营商根据所掌握的用户真实身份信息给用户的每类真实身份标识赋值,虚拟身份标识由用户自己取值,但电信网运营商保证同一个类型下面用户的虚拟身份标识不和其他用户的相同。一个用户的每类身份标识可以有多个值,运营商保证用户的每个真实身份标识确实是属于该用户的真实身份信息;
步骤104:电信网运营商统一指定某类互联网业务或某个互联网业务使用哪类或哪个身份标识,这个指定对所有用户有效,但优先级低于用户的指定,电信网运营商也可以指定某类互联网业务或某个互联网业务使用“当前用户实际在使用的电信网接入方式的账号”,此时运营商的指定优先级高于用户的指定;
步骤105:用户可对电信网运营商定义的互联网业务列表中的互联网业务项按自己的标准再进行分组;
步骤106:用户根据自己的偏好指定某个互联网业务或者某组互联网业务使用哪个身份标识。同一个类型的身份标识下面有多个值时需要用户选择一个。对某一个互联网业务,用户指定的使用哪个身份标识优先级高于运营商统一指定的使用哪个身份标识。用户也可以指定某个互联网业务或者某组互联网业务使用“当前用户实际在使用的电信网接入方式的账号”;
步骤107:运营商保存自己和用户设置好的用户身份标识使用策略;
其中步骤2也可以是:由电信网运营商和互联网业务提供商达成协议,互联网业务直接使用电信网的用户身份标识作为账号。请参阅图2中该种方法的流程示意图。
其中步骤4所说的“电信网对用户身份进行认证”包括:输入DSL、ADSL、LAN、WLAN、WIFI登录的用户名和密码;通过光纤的物理连接直接标识和认证用户身份;通过GSM、CDMA、WCDMA、LTE标准中的鉴权算法标识和鉴别用户的身份;以及其他认证用户身份的方法。
其中步骤5所说的“用户通过电信网接入互联网”包括通过DSL、ADSL、LAN、光纤、WLAN、WIFI、GPRS、EDGE、WCDMA、CDMA、HSPA、LTE、电力线、有线电视线以及其他公众互联网接入方式接入到互联网。
其中步骤6所说的“开始使用互联网业务,按照互联网协议向互联网发送消息”包括通过HTTP或者WEBSERVICE协议,通过FTP、TELNET、SMTP、POP等各种标准互联网协议或者通过基于TCP/IP协议的私有协议连接到某个互联网业务服务器。
其中步骤7所说的“电信网的网关识别消息是否是登录互联网业务的消息并识别出对应的互联网业务ID”包括根据HTTP、WEBSERVICE中的URL地址识别是登录消息和对应的互联网业务ID,根据基于TCP/IP协议的私有协议中的端口号识别互联网业务ID及其他方式识别出是登录互联网业务的消息。
其中步骤8所说的“在消息中加入用户身份标识以及电信网网关的签名信息和消息完整性摘要信息”包括:电信网网关在HTTP和WEBSERVICE消息中加入用户身份标识信息以及自身的数字签名信息和消息完整性摘要;电信网关在基于TCP/IP消息的私有协议中加入用户身份标识信息以及数字签名信息和用户身份标识;
其中步骤8、9、10、11所说的“用户身份标识信息”包括电信网运营商编号、电信网络编号、用户身份标识类型和用户身份标识值。
从上面的步骤中可以看出,如果是用户原来在某个互联网业务服务器上已经有账号了,则可以输入账号、密码登录互联网业务服务器后设置将该账号和自己的一个或多个电信网身份标识相绑定(每个电信网身份标识包括电信网运营商编号、电信网络编号、用户身份标识类型和用户身份标识值四个值,可以使用真实身份标识,也可以使用虚拟身份标识),并且在对应的电信网运营商网络上配置当访问该互联网业务时传递哪类身份标识给该互联网业务服务器,这之后凡是通过这配置列表中的电信网运营商的网络连接到互联网的,都可以不输账号不输密码登录到这个互联网业务服务器了。
更进一步,如果电信网运营商和互联网业务提供商达成了协议,该互联网业务直接使用该电信网运营商的电信网用户身份标识作为账号,则用户可以首先通过该运营商的电信网登录到互联网业务服务器,直接以电信网身份标识创建一个账号,后面只要通过该运营商的电信网连接到该互联网业务服务器,就都不需要输账号登录,也不需要设置任何密码。
从上面的描述可以看出,使用本发明公开的方法,一个可以统一互联网上的用户身份标识,二个可以使用户免账号免密码登录到互联网业务,可以免去用户记忆账号和密码的麻烦,省去用户登录互联网业务时输入账号和密码的步骤,为用户带来方便,三个互联网业务可以根据用户的电信网身份标识从用户的电信网账号中计费,从而可以为互联网业务提供一种统一的支付方式。
本发明还公开了一种电信网身份管理服务器,其包含如下单元:
互联网业务列表维护单元,用于供电信网运营商定义和管理互联网业务列表;
身份标识类型定义单元,用于供电信网运营商定义和管理身份标识类型列表;
身份标识定义单元,用于供电信网运营商和用户定义和管理用户身份标识的值;
统一身份标识使用策略定义单元,用于供电信网运营商统一指定某类互联网业务或每个互联网业务使用哪个身份标识;
身份标识使用策略定义单元,用于供用户分互联网业务组、分单个互联网业务指定使用哪个身份标识;
互联网业务识别及身份标识查询单元,用于供其他设备查询某个URL或某个端口是否是互联网业务列表中某个互联网业务项的业务登录URL、业务登录端口,如果是,根据查得的互联网业务ID和其他设备输入的用户键值查询得到要使用的用户身份标识返回给其他设备。
本发明还公开了一种电信网网关,其包含如下单元:
业务登录消息识别单元,用于识别出用户发出的消息中哪些是发送到互联网的业务登录消息并识别出当前访问的是哪个互联网业务;
身份标识获取单元,用于读取用户预先配置的要给当前在访问的互联网业务使用的身份标识;
身份信息附加单元,用于在发送到互联网的业务登录消息中加入用户身份标识以及签名信息、完整性验证信息;
消息转发单元,用于接收用户发送的业务登录消息之外的其他消息并转发到互联网上,用于接收互联网发送给用户的消息并转发给用户。
本发明还公开了一种互联网业务服务器,其包含如下单元:
免登录处理单元,用于提取业务登录消息中的电信网网关加入的用户身份标识并完成免登录处理。
其他子业务处理单元,用于处理互联网业务的其他子业务。
其中免登陆处理单元包括:
身份标识提取单元,用于验证业务登录消息中的签名信息、完整性验证信息,并提取出用户身份标识;
账号映射单元,用于根据用户身份标识查找与其绑定的业务账号并且查找授予该身份标识的业务权限;
登录状态修改单元,用于设置账号为已登录状态。
本发明还公开了一种由电信网为互联网业务提供用户身份标识和用户身份认证的系统,其包括:
电信网身份管理服务器,用于管理和指定电信网提供给互联网业务的用户身份标识;
电信网网关,用于识别出用户登录互联网业务的消息并在消息中加入用户的电信网身份标识;
互联网业务服务器,用于提取电信网网关增加在消息中的用户身份标识并以之查找出对应的账号和授予该身份标识的权限并为该账号提供互联网业务。
附图说明
图1为本发明中由电信网为互联网业务提供用户身份标识和用户身份认证的方法的流程示意图;
图2为本发明中由电信网为互联网业务提供用户身份标识和用户身份认证的方法的另一种实现方式的流程示意图;
图3为本发明中由电信网为互联网业务提供用户身份标识和用户身份认证的方法实施例1的流程图;
图4为本发明中由电信网为互联网业务提供用户身份标识和用户身份认证的方法实施例2的流程图;
图5为本发明中由电信网为互联网业务提供用户身份标识和用户身份认证的方法实施例3的流程图;
图6为多个电信网运营商、多个电信网络和一个互联网业务服务器组成的示意图;
图7为本发明中由电信网为互联网业务提供用户身份标识和用户身份认证的系统的示意图;
具体实施方式
实施例1
在本实施例中,用户张三是通过电信网运营商A的WCDMA 3G网络连接到互联网的,用户免账号免认证登录业务的具体步骤如下:
步骤301:电信网运营商A管理互联网列表,增加一个新的互联网业务项,如“新浪博客”,其互联网业务ID为1,业务登录URL地址为http://blog.sina.com.cn/noacctlogin。
步骤302:电信网运营商A在身份标识类型列表中增加一个身份标识类型:手机号码。
步骤303:电信网运营商A根据用户张三的号码给用户张三的“手机号码”类型身份标识赋值为:18606061122。
步骤304:电信网运营商A指定“新浪博客”业务使用“手机号码”类型的身份标识。
步骤305:用户张三在“新浪博客”上设置将自己的账号Jackson和电信网的用户身份标识:电信网运营商编号——A;网络编号——WCDMA 3G网络;身份标识类型——手机号码;身份标识值——18606061122绑定。
步骤306:用户张三手机开机,使用18606061122号码的USIM卡连接WCDMA 3G网络。
步骤307:电信网运营商A的WCDMA 3G网络对USIM卡进行身份认证,认证通过,并识别出是用户张三。
步骤308:用户张三通过3G网络的数据连接连接到互联网,通过HTTP协议连接“新浪博客”的免账号登录WEB地址:http://blog.sina.com.cn/noacctlogin。
步骤309:电信网运营商A的WCDMA 3G网络的网关根据URL地址http://blog.sina.com.cn/noacctlogin查询互联网业务列表,发现是“新浪博客”业务的登录URL,对应的互联网业务ID为1。
步骤310:电信网运营商A的WCDMA 3G网络的网关查询电信网运营商A和用户张三自己指定的身份标识使用策略,发现需要使用电信网运营商A统一指定的策略:使用“手机号码”类型的身份标识,电信网网关获得张三的“手机号码”类型的身份标识,然后在HTTP消息头中加入该身份标识:电信网运营商编号——A;网络编号——WCDMA 3G网络;身份标识类型——手机号码;身份标识值——18606061122及自身的数字签名信息以及整个消息的摘要并转发到互联网。
步骤311:“新浪博客”的服务器收到电信网运营商A的WCDMA 3G网络网关转发来的消息,验证其中的数字签名和消息完整性摘要,确保消息来自电信网运营商A的WCDMA 3G网络网关并且未被恶意修改。
步骤312:“新浪博客”的服务器从消息提取电信网的用户身份标识:类型——手机号码;值——18606061122。
步骤313:“新浪博客”根据电信网的用户身份标识:电信网运营商编号——A;网络编号——WCDMA 3G网络;身份标识类型——手机号码;身份标识值——18606061122查找到与其绑定的用户账号Jackson,并标记Jackson登录成功。
步骤314:用户张三以账号Jackson开始使用“新浪博客”业务。
实施例2
在本实施例中,用户李四是通过电信网运营商B的ADSL宽带网络连接到互联网的,用户免账号免认证登录业务的具体步骤如下:
步骤401:电信网运营商B管理互联网列表,增加一个新的互联网业务项,如“携程旅行”,其互联网业务ID为2,分类大类为“生活类”,小类为“旅行类”,业务登录URL地址为http://www.ctrip.com/noacctlogin。
步骤402:电信网运营商B在身份标识类型列表中增加两个身份标识类型:ADSL账号、手机号码。
步骤403:电信网运营商B根据用户李四的ADSL账号给用户李四的“ADSL账号”类型身份标识赋值:szdsl52316938163.gd。此外,用户李四还使用了电信网运营商B的TD-CDMA手机,号码为:18902020505,因此电信网运营商B还给李四的“手机号码”类型身份标识赋值:18902020505。电信网运营商B还指定“生活类”互联网业务统一使用“手机号码”类型的身份标识。
步骤404:用户李四对互联网业务分组,“携程旅行”分组为“旅行组”,并指定该组业务使用“ADSL账号”类型的身份标识。
步骤405:电信网运营商B和携程无线签订协议,约定携程旅行业务就使用运营商B携带的ADSL账号或手机号码作为用户的账号。
步骤406:用户李四通过ADSL账号szdsl52316938163.gd拨号上网。
步骤407:电信网运营商B的ADSL接入设备对用户进行身份认证,认证通过,并识别出是用户李四。
步骤408:用户李四通过ADSL连接连接到互联网,通过HTTP协议连接“携程旅行”的免账号登录WEB地址:http://www.ctrip.com/noacctlogin。
步骤409:电信网运营商B的ADSL网络的网关根据URL地址http://www.ctrip.com/noacctlogin查询互联网业务列表,发现是“携程旅行”业务的登录URL,对应的互联网业务ID为2。
步骤410:电信网网关查询电信网运营商B和用户李四自己指定的身份标识使用策略,发现需要使用用户李四自己指定的策略:使用“ADSL账号”类型的身份标识,电信网网关获得张三的“ADSL账号”类型的身份标识,并在HTTP消息头中加入该身份标识:电信网运营商编号——B;网络编号——ADSL网络;类型——ADSL账号;值——szdsl52316938163.gd及自身的数字签名信息以及整个消息的摘要并转发到互联网。
步骤411:“携程旅行”的服务器收到电信网运营商B的ADSL网络网关转发来的消息,验证其中的数字签名和消息完整性摘要,确保消息来自电信网运营商B的ADSL网络网关并且未被恶意修改。
步骤412:“携程旅行”的服务器从消息提取电信网的用户身份标识:电信网运营商编号——B;网络编号——ADSL网络;身份标识类型——ADSL账号;身份标识值——szdsl52316938163.gd。
步骤413:“携程旅行”的服务器根据协议,直接以电信网的用户身份标识组装出账号“电信网运营商编号_网络编号_身份标识类型_身份标识值”:B_ADSL_adsl_szdsl52316938163.gd作为账号并标记该账号登录成功。
步骤414:用户李四以账号B_ADSL_adsl_szdsl52316938163.gd开始使用“携程旅行”业务。
实施例3
在本实施例中,描述了使用不同的网络连接方式,免登录后获得的权限也不同的例子,具体步骤如下:
步骤501:电信网运营商C管理互联网列表,增加一个新的互联网业务项,如“XX网上银行”,其互联网业务ID为3,分类大类为“生活类”,小类为“网上银行类”,业务登录URL地址为http://www.anetbank.com/noacctlogin。
步骤502:电信网运营商C在身份标识类型列表中增加两个身份标识类型:家庭ADSL账号、手机号码。
步骤503:用户王五在运营商C开了个家庭ADSL账号:szdsl52316938163.gd,并且在运营商C的CDMA网络上开了个自己用的手机号码:18302020505。电信网运营商C根据王五的真实信息给王五的“家庭ADSL账号”类型的身份标识赋值:szdsl52316938163.gd,“手机号码”类型的身份标识赋值:18302020505。
步骤504:电信网运营商C指定“XX网上银行”业务使用“当前用户实际在使用的电信网接入方式的账号”类型的身份标识。
步骤505:用户王五在“XX网上银行”的互联网业务服务器上配置将自己的银行账号18181818和电信网运营商C的电信网身份标识家庭ADSL账号:szdsl52316938163.gd和手机号码:18302020505绑定,其中家庭ADSL账号:szdsl52316938163.gd只授予查询余额的权限,而手机号码:18302020505授予全部权限。
步骤506:用户王五通过自己的号码为18302020505手机上网,连接“XX网上银行”的免账号登录WEB地址:http://www.anetbank.com/noacctlogin。
步骤507:电信网运营商C的CDMA网络网关根据URL地址http://www.anetbank.com/noacctlogin查询互联网业务列表,发现是“XX网上银行”业务的登录URL,对应的互联网业务ID为3。
步骤508:电信网运营商C的CDMA网络网关查询电信网运营商C和用户王五自己指定的身份标识使用策略,发现应该使用电信网运营商C指定的策略:使用“当前用户实际在使用的电信网接入方式的账号”类型的身份标识,电信网网关获得主五的“当前用户实际在使用的电信网接入方式的账号”类型的身份标识并添加在HTTP消息头中:电信网运营商编号——C;网络编号——CDMA网络;类型——手机号码;值——18302020505及自身的数字签名信息以及整个消息的摘要并转发到互联网。
步骤509:“XX网上银行”的服务器收到电信网运营商C的CDMA网络网关转发来的消息,验证其中的数字签名和消息完整性摘要,并取出其中的用户身份标识为:电信网运营商编号——C;网络编号——CDMA网络;类型——手机号码;值——18302020505。
步骤510:“XX网上银行”根据电信网的用户身份标识查得其关联的银行账号为18181818,并且授予该身份标识的权限为全部权限。
步骤511:用户王五在银行账号18181818上做余额查询、转账等操作。
步骤512:用户王五的妻子在家里通过家庭ADSL账号szdsl52316938163.gd拨号上网。
步骤513:电信网运营商C的家庭ADSL接入设备对用户进行身份认证,认证通过,并识别出是用户“王五”或者“王五家庭”,其中“王五家庭”也可以访问“王五”的业务。
步骤514:用户王五的妻子连接“XX网上银行”的免账号登录WEB地址:http://www.anetbank.com/noacctlogin。
步骤515:电信网运营商C的家庭ADSL网络网关根据URL地址http://www.anetbank.com/noacctlogin查询互联网业务列表,发现是“XX网上银行”业务的登录URL,对应的互联网业务ID为3。
步骤516:电信网运营商C的家庭ADSL网络网关查询电信网运营商C和用户王五自己指定的身份标识使用策略,发现应该使用电信网运营商C指定的策略:使用“当前用户实际在使用的电信网接入方式的账号”类型的身份标识,电信网网关获得王五的“当前用户实际在使用的电信网接入方式的账号”类型的身份标识并添加在HTTP消息头中:电信网运营商编号——C;网络编号——家庭ADSL网络;类型——ADSL账号;值——szdsl52316938163.gd及自身的数字签名信息以及整个消息的摘要并转发到互联网。
步骤517:“XX网上银行”的服务器收到电信网运营商C的家庭ADSL网络网关转发来的消息,验证其中的数字签名和消息完整性摘要,并取出其中的用户身份标识为:电信网运营商编号——C;网络编号——家庭ADSL网络;类型——ADSL账号;值——szdsl52316938163.gd。
步骤518:“XX网上银行”根据电信网的用户身份标识查得其关联的银行账号为18181818,并且授予该身份标识的权限为查询余额。
步骤519:用户王五的妻子在银行账号18181818上只能做余额查询操作。
实施例4
在本实施例中,描述了用户使用虚拟身份免账号免认证登录互联网业务的场景:
步骤601:电信网运营商D管理互联网列表,增加一个新的互联网业务项,如“天涯论坛”,其互联网业务ID为4,分类大类为“论坛类”,业务登录URL地址为http://www.tianya.com/noacctlogin。
步骤602:电信网运营商D在身份标识类型列表中增加一个身份标识类型:网名,为虚拟身份标识。
步骤603:电信网运营商D和天涯论坛签订协议,约定天涯论坛业务就使用运营商D携带的网名作为用户的账号。
步骤604:用户马六在电信网运营商D的网络上给自己的“网名”类型的身份标识取值:MaLiu。该名字通过验证,和别的用户不重名。
步骤605:电信网运营商D还指定“论坛类”互联网业务统一使用“网名”类型的身份标识。
步骤606:用户马六通过运营商D的WCDMA 3G手机号码18606061122上网。
步骤607:电信网运营商D的WCDMA 3G网络对号码18606061122进行身份认证,认证通过,并识别出是用户马六。
步骤608:用户马六通过HTTP协议连接“天涯论坛”的免账号登录WEB地址:http://www.tianya.com/noacctlogin。
步骤609:电信网运营商D的WCDMA 3G网络的网关根据URL地址http://www.tianya.com/noacctlogin查询互联网业务列表,发现是“天涯论坛”业务的登录URL,对应的互联网业务ID为4。
步骤610:电信网运营商D的WCDMA 3G网络的网关查询电信网运营商D和用户马六自己指定的身份标识使用策略,发现需要使用电信网运营商D指定的策略:使用“网名”类型的身份标识,电信网网关获得马六的“网名”类型的身份标识,并在HTTP消息头中加入该身份标识:电信网运营商编号——D;网络编号——WCDMA 3G网络;类型——网名;值——MaLiu及自身的数字签名信息以及整个消息的摘要并转发到互联网。
步骤611:“天涯论坛”的服务器收到电信网运营商D的WCDMA 3G网络网关转发来的消息,验证其中的数字签名和消息完整性摘要,然后从消息提取电信网的用户身份标识:电信网运营商编号——D;网络编号——WCDMA 3G网络;身份标识类型——网名;身份标识值——MaLiu。
步骤612:“天涯论坛”的服务器根据协议,直接以电信网的用户身份标识组装出账号“电信网运营商编号_身份标识值”:D_MaLiu作为账号并标记该账号登录成功。
步骤613:用户马六以账号D_MaLiu开始使用“天涯论坛”业务。
实施例5
上面描述的都是使用HTTP协议的例子,本实施例中,描述一个基于TCP/IP协议的私有协议的例子:
步骤701:电信网运营商E管理互联网列表,增加一个新的互联网业务项,如“XX即时消息”,其互联网业务ID为5,分类大类为“即时消息类”,业务登录方式为私有协议,连接服务器www.xxim.com的TCP端口12345按私有协议收发消息进行登录。
步骤702:电信网运营商E在身份标识类型列表中增加一个身份标识类型:E-mail地址,为虚拟身份标识。
步骤703:电信网运营商E和XX即时消息签订协议,定义好用户身份标识信息、网关签名信息和消息完整性摘要信息传递的接口。
步骤704:用户钱七在电信网运营商E的网络上给自己的“E-mail地址”类型的身份标识取值:qianqi163.com。该名字通过验证,和别的用户不重名。
步骤705:电信网运营商3还指定“即时消息类”互联网业务统一使用“E-mail地址”类型的身份标识。
步骤706:用户钱七通过运营商E的WCDMA 3G手机号码18606061122上网。
步骤707:电信网运营商E的WCDMA 3G网络对号码18606061122进行身份认证,认证通过,并识别出是用户钱七。
步骤708:用户钱七通过XX即时消息的私有协议连接“XX即时消息”的服务器:www.xxim.com,端口为12345。
步骤709:电信网运营商E的WCDMA 3G网络的服务器地址和端口查询互联网业务列表,发现是“XX即时消息”业务的登录URL,对应的互联网业务ID为5。
步骤710:电信网运营商E的WCDMA 3G网络的网关查询电信网运营商E和用户钱七自己指定的身份标识使用策略,发现需要使用电信网运营商E指定的策略:使用“E-mail地址”类型的身份标识,电信网网关获得钱七的“E-mail地址”类型的身份标识,根据私有协议在TCP消息中加入该身份标识:电信网运营商编号——E;网络编号——WCDMA 3G网络;类型——E-mail地址;值——qianqi163.com及自身的数字签名信息以及整个消息的摘要并转发到互联网。
步骤711:“XX即时消息”的服务器收到电信网运营商D的WCDMA 3G网络网关转发来的消息,验证其中的数字签名和消息完整性摘要,然后从消息提取电信网的用户身份标识:电信网运营商编号——E;网络编号——WCDMA 3G网络;身份标识类型——E-mail地址;身份标识值——qianqi163.com。
步骤712:“XX即时消息”的服务器根据协议,直接以电信网的用户身份标识组装出账号“身份标识值”:qianqi163.com作为账号并标记该账号登录成功。
步骤713:用户钱七以账号qianqi163.com开始使用“XX即时消息”业务。
请参阅图7,其为本发明一种由电信网为互联网业务提供用户身份标识和用户身份认证的系统的结构示意图,其中包括电信网身份管理服务器结构示意图,电信网网关结构示意图,以及互联网业务服务器结构示意图。
本实施例中的电信网身份管理服务器70包括互联网业务列表维护单元703、身份标识类型定义单元702、身份标识定义单元704、统一身份标识使用策略定义单元706、身份标识使用策略定义单元705以及互联网业务识别及身份标识查询单元701,下面结合具体实施方式进一步介绍其内部结构以及连接关系。
首先互联网业务列表维护单元703提供界面供运营商定义互联网业务列表,每个互联网业务包括互联网业务ID、业务登录URL地址或业务登录TCP/IP地址与端口号等信息,然后保存该列表。
然后身份标识类型定义单元702提供界面供运营商定义身份标识类型,包括客户编号、身份证号码、移动电话号码、固定电话号码、ADSL账号、LAN宽带账号、WIFI账号、网名等类型,然后保存这些类型数据。
再然后身份标识类型定义单元704提供界面供运营商输入每个用户各个真实身份标识类型的值,也可以从别的表中导入,身份标识类型定义单元704要保证每类身份标识下每个用户的标识值各不相同,可以唯一代表该用户。当身份标识为虚拟身份标识时,身份标识类型定义单元704还允许用户自己取值。同一类型的身份标识可以有多个。身份标识类型定义单元704保存这些数据。
再然后统一身份标识使用策略定义单元706提供界面供运营商对互联网业务分类,并指定某类互联网业务或某个互联网业务使用哪类或哪个身份标识,统一身份标识使用策略定义单元706保存这些数据。
再然后身份标识使用策略定义单元705提供界面供用户对互联网业务分组,并根据自己的偏好指定某个互联网业务或者某组互联网业务使用哪个身份标识,身份标识使用策略定义单元705保存这些数据。
用户在使用业务时,电信网网关的身份标识获取单元712发送请求给互联网业务识别及身份标识查询单元701,要求识别是否是已配置的互联网业务并返回应该使用的电信网身份标识。请求中携带用户键值、用户访问的URL地址或者服务器地址和端口号。此时互联网业务识别及身份标识查询单元701根据请求中的URL地址或者服务器地址和端口号查找互联网业务列表,如果找到URL地址或者服务器地址和端口号和某个项中的值相等,则识别是该互联网业务并获得该互联网业务的互联网业务ID,如果在互联网业务列表中没有找到URL地址或者服务器地址和端口号和请求中相等的项,则向电信网网关的身份标识获取单元712返回“不是可识别的互联网业务”。如果获得了互联网业务ID,则根据互联网业务ID和用户键值查询统一身份标识使用策略定义单元706、身份标识使用策略定义单元705前面保存的数据,按发明内容中步骤104~106中的原则确定本次应该使用哪个身份标识。然后把这个身份标识的身份标识类型和身份标识值返回给电信网网关的身份标识获取单元712。
本实施例中的电信网网关71包括业务登录消息识别单元711、身份标识获取单元712、身份信息附加单元713和消息转发单元714,下面结合具体实施方式进一步介绍其内部结构以及连接关系。
用户使用某个互联网业务时,首先通过电信网网络接入设备73接入到电信网,此时电信网使用电信网的身份标识会对用户身份进行认证。然后用户通过电信网网络接入设备73向互联网发送消息,消息被送到电信网网关71的业务登录消息识别单元711,由业务登录消息识别单元711调身份标识获取单元712向电信网身份管理服务器70请求识别是否是已配置的互联网业务并返回应该使用的电信网身份标识的类型和值。如果识别是已配置的互联网业务并且取得了返回的应该使用的电信网身份标识类型和值,则判断身份标识是否是“当前用户实际在使用的电信网接入方式的账号”类型,如果是则从电信网网络接入设备73获取当前的接入方式及接入账号,然后把该身份标识类型和值和消息一起发送给身份信息附加单元713,身份信息附加单元713收到消息和应该使用的身份标识类型和值后,在消息中添加电信网网关71的数字签名信息和完整性摘要信息以及用户的身份标识信息,用户的身份标识信息包括电信网运营商编号、电信网络编号、用户身份标识类型和用户身份标识值,然后再把消息转发给消息转发单元714,由消息转发单元714将消息转发到互联网最终到达互联网业务服务器72。如果识别出不是已配置的互联网业务,则业务登录消息识别单元711直接把消息转发给消息转发单元714,有消息转发单元714转发到互联网最终到达互联网业务服务器72。对于互联网业务服务器72发给用户的消息,由消息转发单元714转发给电信网网络接入设备73,电信网网络接入设备73再转发给用户。
本实施例中的互联网业务服务器72包括免登录处理单元721和其他子业务处理单元722,其中免登录处理单元721又包括身份标识提取单元7213、账号映射单元7212和登录状态修改单元7211,下面结合具体实施方式进一步介绍其内部结构以及连接关系。
电信网网关71的消息转发单元714转发的消息首先到达免登录处理单元721的身份标识提取单元7213,身份标识提取单元7213根据请求的URL地址判断是否是免账号登录消息,如果不是,直接转发给其他业务处理单元722进行处理。如果是,则根据消息中的签名信息验证消息是否是来电信网网关71,然后再通过消息完整性摘要来验证消息在从电信网网关71到当前位置的传递途径中是否被更改,如果签名信息或消息完整性摘要信息验证不通过,则丢弃消息。否则提取消息中用户身份标识信息,其内容如下:电信网运营商编号、电信网络编号、用户身份标识类型和用户身份标识值。将用户身份标识信息传递给账号映射单元7212。
账号映射单元7212判断是否有要求直接使用电信网的用户身份标识作为账号,如果有,则直接用用户身份标识信息根据要求的格式组合出账号,否则根据用户身份标识信息查找之前全部用户设定的电信网用户身份标识和账号间的绑定关系,查找出本次的用户身份标识信息对应哪个账号,并查找出给用户身份标识授予的权限信息。账号映射单元7212把组合出或者查找到的账号以及应授予的权限信息传递给登录状态修改单元7211,由登录状态修改单元7211更新账号的状态为登录并保存授予的权限信息。
最后应当说明的是:以上实施例仅用以说明本发明的技术方案而非对其限制;尽管参照较佳实施例对本发明进行了详细的说明,所属领域的普通技术人员应当理解:依然可以对本发明的具体实施方式进行修改或者对部分技术特征进行等同替换;而不脱离本发明技术方案的精神和原则所作的修改、等同替换和改进等,均应涵盖在本发明请求保护的技术方案范围之内。
Claims (1)
1.一种用户在电信网上定制要给互联网业务使用的身份标识的方法,其特征在于,包括:
步骤1:电信网运营商定义和维护一个互联网业务列表;
步骤2:电信网运营商定义一个用户可以使用的身份标识类型列表;
步骤3:电信网运营商根据所掌握的用户真实身份信息给用户的每类身份标识赋值;
步骤4:电信网运营商统一指定某个互联网业务使用哪类身份标识;
步骤5:电信网运营商保存设置好的上述数据。
2. 根据权利要求1所述的方法,其特征在于,还包含:
用户可以根据自己的偏好指定某个互联网业务使用哪类或哪个身份标识,此时用户的指定优先级高于电信运营商的统一指定。
3. 根据权利要求1和权利要求2中任意一项所述的方法,其特征在于:
用户身份标识类型分为真实身份标识和虚拟身份标识;真实身份标识由电信网运营商根据所掌握的用户真实身份信息赋值,虚拟身份标识由用户自己取值,但电信网运营商要保证同一个类型下面某个用户的虚拟身份标识不和其他用户的相同,即能唯一标识所述用户;所述的身份标识包括如下类型:客户编号、身份证号码、移动电话号码、固定电话号码、ADSL账号、LAN宽带账号、WIFI账号、电视线上网账号、电力线上网账号、网名。
4. 根据权利要求3所述的方法,其特征在于:
所述互联网业务列表中的每一个互联网业务项包含互联网业务ID、免账号登录URL地址或者服务器地址加端口号信息。
5. 根据权利要求4所述的方法,其特征在于,还包含:
电信网运营商还可以对互联网业务列表中的项进行多个级别的分类,如首先分大类,大类下面再划分小类,小类下面再划分子类;电信网运营商可以统一指定某类互联网业务使用哪种类型的用户身份标识。
6. 根据权利要求5所述的方法,其特征在于,还包含:
用户可对电信网运营商定义的互联网业务列表中的互联网业务项按自己的标准再进行分组;当同一类型的身份标识有多个时,用户可以指定某组互联网业务使用哪类或哪个身份标识。
7. 一种电信网身份管理服务器,其特征在于,包括:
互联网业务列表维护单元,用于供电信网运营商定义和管理互联网业务列表;
身份标识类型定义单元,用于供电信网运营商定义和管理用户身份标识类型列表;
身份标识定义单元,用于供电信网运营商和用户定义和管理用户身份标识的值;
统一身份标识使用策略定义单元,用于供电信网运营商统一指定某类互联网业务或者某个互联网业务使用哪个身份标识;
身份标识使用策略定义单元,用于供用户分互联网业务组、分单个互联网业务指定使用哪个身份标识;
互联网业务识别及身份标识查询单元,用于供其他设备查询某个URL或某个服务器地址加端口是否是互联网业务列表中某个互联网业务项的免账号登录URL、服务器地址加端口,如果是,则根据该项的互联网业务ID和其他设备输入的用户键值查询得到要使用的用户身份标识并返回给其他设备。
8. 一种电信网将用户身份标识携带给互联网的方法,其特征在于,包括:
互联网业务和用户间收发的消息都经过电信网转发;
电信网识别出所述用户发送给互联网业务的免账号登录消息和互联网业务ID;
电信网根据识别的互联网业务ID查找获得所述用户预先配置的要给当前在访问的互联网业务使用的身份标识;
电信网在发送到互联网的免账号登录消息中加入所述用户预先配置的要给当前在访问的互联网业务使用的身份标识,并加入电信网自己的签名信息,以便互联网业务确认消息中加入的用户身份标识信息是来自电信网的并且是经过了电信网的认证的,从而使互联网业务可以直接使用该用户身份标识信息作为账号为用户提供服务而不需要要求用户再输入互联网业务的账号和密码。
9. 根据权利要求8所述的方法,其特征在于,还包括:
电信网在发送到互联网的免账号登录消息中加入完整性摘要信息,以防止消息中加入的用户身份标识信息在消息传递过程中被篡改。
10. 根据权利要求8和权利要求9中任意一项所述的方法,其特征在于,所述消息包括:基于TCP/IP协议传输的消息。
11. 一种电信网网关,其特征在于:
该网关是电信网用户接入互联网的必经途径,用户发送到互联网的消息都经过该网关;
该网关包含:
业务登录消息识别单元,用于识别出用户发出的消息中哪些是发送到互联网的免账号登录消息并识别出当前访问的是哪个互联网业务;
用户身份标识获取单元,用于根据识别的互联网业务ID查找获得用户预先配置的要给当前在访问的互联网业务使用的身份标识;
用户身份信息附加单元,用于在发送到互联网的免账号登录消息中加入用户预先配置的要给当前在访问的互联网业务使用的用户身份标识信息以及签名信息、完整性摘要信息;
消息转发单元,用于在用户和互联网业务之间转发消息。
12. 一种互联网业务获取电信网携带的用户身份标识和用户身份认证信息的方法,其特征在于,包括:
电信网运营商和互联网业务提供商达成协议,互联网业务直接使用电信网的用户身份标识作为账号;
互联网业务服务器判断电信网转发给互联网的免账号登录消息中是否包含有电信网的签名信息;
如果有签名信息,则验证签名是否合法;
如果签名合法,则验证消息的完整性摘要信息看消息是否被篡改;
如果消息未被篡改,则认为消息和消息中用户身份标识都是可信的;
如果消息中的签名信息验证不通过,则忽略消息中用户身份标识,如果完整性摘要信息验证不通过,则丢弃消息;
互联网业务从电信网转发给互联网的免账号登录消息中提取出电信网加入的用户身份标识信息;
互联网业务服务器根据所述用户身份标识信息按照商定的格式组合出业务账号;
标记所述账号已通过登录认证并使用所述账号来访问后继互联网业务。
13. 一种互联网业务获取电信网携带的用户身份标识和认证信息的方法,其特征在于,包括:
用户在互联网业务服务器上设置将业务账号和自己在电信网的一个或多个身份标识相绑定;
互联网业务服务器判断电信网转发给互联网的免账号登录消息中是否包含有电信网的签名信息;
如果有签名信息,则验证签名是否合法;
如果签名合法,则验证消息的完整性摘要信息看消息是否被篡改;
如果消息未被篡改,则认为消息和消息中用户身份标识都是可信的;
如果消息中的签名信息验证不通过,则忽略消息中用户身份标识,如果完整性摘要信息验证不通过,则丢弃消息;
互联网业务从电信网转发给互联网的免账号登录消息中提取出电信网加入的用户身份标识信息;
互联网业务服务器根据所述用户身份标识信息查找出与其绑定的业务账号;
标记所述账号已通过登录认证并使用所述账号来访问后继互联网业务。
14. 根据权利要求13所述的方法,其特征在于,还包括:
用户可以在互联网业务服务器上设置每个电信网的身份标识授予哪些权限;
互联网业务服务器还可以根据所述用户身份标识信息查找授予了该标识哪些权限。
15. 一种互联网业务服务器,其特征在于,包括:
免账号登录处理单元,用于提取和鉴权免账号登录消息中的电信网网关加入的用户身份标识信息并关联出互联网业务的账号,从而使用户不需要输入账号和密码即可登录到互联网业务;
业务处理子单元,用于提供互联网业务的业务功能。
16. 根据权利要求15所述的互联网业务服务器,其特征在于,所述免账号登录处理单元包括:
身份标识提取单元,用于验证免账号登录消息中的签名信息、完整性摘要信息,并提取出用户身份标识信息;
账号映射单元,用于根据用户身份标识信息查找与其绑定的业务账号;
登录状态修改单元,用于设置所述业务账号为已登录状态。
17. 根据权利要求16所述的互联网业务服务器,其特征在于:
所述账号映射单元还包括查找授予所述用户身份标识的业务权限的功能。
18. 一种由电信网为互联网业务提供用户身份标识和用户身份认证的方法,其特征在于,至少包括如下步骤:
步骤1:用户在电信网上配置要给互联网业务使用的身份标识;
步骤2:用户在互联网业务服务器上设置将业务账号和自己在电信网的一个或多个身份标识相行绑定;
步骤3:用户连接到电信网;
步骤4:电信网对用户身份进行认证;
步骤5:用户通过电信网连接到互联网,开始使用互联网业务,按照互联网协议向互联网发送消息;
步骤6:所发送的消息经过电信网的网关;
步骤7:电信网的网关识别消息是否是免账号登录互联网业务的消息并识别出对应的互联网业务ID;
步骤8:电信网的网关如果识别出是免账号登录互联网业务的消息,则在消息中加入用户指定的要提供给该互联网业务的身份标识信息或者运营商指定的该互联网业务所使用的用户身份标识类型所对应到该用户的用户身份标识信息以及自身的签名信息、完整性摘要信息,告诉互联网该用户身份标识信息对应的用户身份是经过电信网验证的,然后转发到互联网;
步骤9:互联网业务服务器收到消息,从消息中提取其中的用户身份标识信息;
步骤10:互联网业务服务器根据取得的用户身份标识信息查找出与其绑定的业务账号,并标记该账号已通过登录认证;
步骤11:用户直接以所述账号开始使用互联网业务。
19. 一种由电信网为互联网业务提供用户身份标识和用户身份认证的系统,其特征在于,包括:
电信网身份管理服务器,用于管理和指定电信网提供给互联网业务的用户身份标识;
电信网网关,用于识别出用户免账号登录互联网业务的消息并在消息中加入提供给该互联网业务的用户身份标识信息和电信网网关的签名信息;
互联网业务服务器,用于提取电信网网关增加在免账号登录消息中的用户身份标识信息并以之查找出与之绑定的账号和授予该用户身份标识的权限,然后为该账号按指定的权限提供互联网业务。
20. 根据权利要求1、权利要求8、权利要求12、权利要求13、权利要求18中任意一项所述的方法,其特征在于,所述“电信网”指为公众提供互联网接入的网络,当前有:DSL、ADSL、固定电话网络、移动电话网络、小区LAN宽带网络、WLAN网络、WIFI网络、光纤接入网络、有线电视线上网网络、电力线上网网络。
21. 根据权利要求19所述的系统,其特征在于,所述“电信网”指为公众提供互联网接入的网络,当前有:DSL、ADSL、固定电话网络、移动电话网络、小区LAN宽带网络、WLAN网络、WIFI网络、光纤接入网络、有线电视线上网网络、电力线上网网络。
22. 一种由电信网为互联网业务提供用户身份标识和用户身份认证的方法,其特征在于,至少包括如下步骤:
步骤1:电信网运营商和互联网业务提供商达成协议,互联网业务直接使用电信网的用户身份标识作为账号;
步骤2:用户连接到电信网;
步骤3:电信网对用户身份进行认证;
步骤4:用户通过电信网连接到互联网,开始使用互联网业务,按照互联网协议向互联网发送免账号登录消息;
步骤5:所发送的消息经过电信网的网关;
步骤6:电信网的网关识别消息是否是免账号登录互联网业务的消息并识别出对应的互联网业务ID;
步骤7:电信网的网关如果识别出是免账号登录互联网业务的消息,则在消息中加入用户指定的要提供给该互联网业务的身份标识信息以及自身的签名信息、完整性摘要信息,告诉互联网该用户身份标识信息对应的用户身份是经过电信网验证的,然后转发到互联网;
步骤8:互联网业务服务器收到免账号登录消息,从消息中提取其中的用户身份标识信息;
步骤9:互联网业务服务器根据所述用户身份标识信息按照商定的格式组合出业务账号;
步骤10:用户直接以所述组合出账号开始使用互联网业务。
23. 根据权利要求22所述的方法,其特征在于,所述“电信网”指为公众提供互联网接入的网络,当前有:DSL、ADSL、固定电话网络、移动电话网络、小区LAN宽带网络、WLAN网络、WIFI网络、光纤接入网络、有线电视线上网网络、电力线上网网络。
24. 根据权利要求1、权利要求8、权利要求12、权利要求13、权利要求18、权利要求22、权利要求23中任意一项所述的方法,其特征在于所述的用户身份标识信息至少包括如下值:电信网运营商编号、电信网络编号、身份标识类型、身份标识值。
25. 根据权利要求21所述的系统,其特征在于所述的用户身份标识信息至少包括如下内容:电信网运营商编号、电信网络编号、身份标识类型、身份标识值。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2010105797820A CN102437914B (zh) | 2010-12-08 | 2010-12-08 | 一种由电信网为互联网业务提供用户身份标识和用户身份认证的方法 |
| PCT/CN2011/082064 WO2012075873A1 (zh) | 2010-12-08 | 2011-11-10 | 一种由电信网为互联网业务提供用户身份标识和用户身份认证的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2010105797820A CN102437914B (zh) | 2010-12-08 | 2010-12-08 | 一种由电信网为互联网业务提供用户身份标识和用户身份认证的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102437914A CN102437914A (zh) | 2012-05-02 |
| CN102437914B true CN102437914B (zh) | 2013-12-04 |
Family
ID=45985798
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2010105797820A Expired - Fee Related CN102437914B (zh) | 2010-12-08 | 2010-12-08 | 一种由电信网为互联网业务提供用户身份标识和用户身份认证的方法 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN102437914B (zh) |
| WO (1) | WO2012075873A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106453349A (zh) * | 2016-10-31 | 2017-02-22 | 北京小米移动软件有限公司 | 账号登录方法及装置 |
Families Citing this family (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103138935B (zh) * | 2013-01-25 | 2016-05-04 | 宝利数码有限公司 | 一种基于电信运营商的身份认证系统 |
| CN103338320A (zh) * | 2013-07-24 | 2013-10-02 | 联创亚信科技(南京)有限公司 | 一种移动用户充值数据处理方法及装置 |
| CN104639321B (zh) * | 2013-11-12 | 2018-03-23 | 中国移动通信集团公司 | 一种身份认证方法、设备及系统 |
| CN103746792B (zh) * | 2013-12-31 | 2017-11-07 | 郑盈盈 | 一种第三方应用账号与手机号码绑定、解除和更新方法 |
| CN104902531B (zh) * | 2014-03-03 | 2019-11-05 | 腾讯科技(深圳)有限公司 | 连接网络的方法、应用认证服务器、终端及路由器 |
| CN104144111B (zh) * | 2014-03-14 | 2016-12-21 | 腾讯科技(深圳)有限公司 | 社交网络应用中获取用户相关信息的方法和系统 |
| CN104980922A (zh) * | 2014-04-02 | 2015-10-14 | 陈煜军 | 一种基于公众平台的无线互联网接入方法及系统 |
| CN105099729B (zh) * | 2014-04-22 | 2018-07-20 | 阿里巴巴集团控股有限公司 | 一种识别用户身份标识的方法和装置 |
| CN103916403A (zh) * | 2014-04-22 | 2014-07-09 | 成都嘉盟科技有限公司 | 支持sip协议的免输入密码客户端的登录方法 |
| CN105281906B (zh) * | 2014-07-04 | 2020-11-06 | 腾讯科技(深圳)有限公司 | 安全验证方法及装置 |
| CN104243286A (zh) * | 2014-09-23 | 2014-12-24 | 上海佰贝科技发展有限公司 | 通过微信进行公共wifi认证的方法 |
| WO2017020252A1 (zh) * | 2015-08-04 | 2017-02-09 | 华为技术有限公司 | 连接网络的方法和终端 |
| CN107040495B (zh) * | 2016-02-03 | 2021-07-13 | 重庆小目科技有限责任公司 | 一种应用于工业通信和业务的多级联合身份认证方法 |
| CN106657045B (zh) * | 2016-12-13 | 2020-10-13 | 翁印嵩 | 多网融合的安全与认证方法及系统 |
| CN108990059B (zh) * | 2017-06-02 | 2021-06-29 | 创新先进技术有限公司 | 一种验证方法及装置 |
| CN107222487B (zh) * | 2017-06-13 | 2020-09-08 | 杭州奇亿云计算有限公司 | 一种混合云环境的账号对接系统 |
| CN107257556A (zh) * | 2017-08-15 | 2017-10-17 | 世纪龙信息网络有限责任公司 | 验证用户本机号码的方法、系统和平台 |
| CN107864134A (zh) * | 2017-11-03 | 2018-03-30 | 世纪龙信息网络有限责任公司 | 账号登录方法和系统 |
| WO2020004494A1 (ja) * | 2018-06-26 | 2020-01-02 | 日本通信株式会社 | オンラインサービス提供システム、icチップ、アプリケーションプログラム |
| TR202004363A2 (tr) * | 2020-03-20 | 2021-09-21 | Crenno Bilisim Hizmetleri Ar Ge Sanayi Ve Ticaret Ltd Sirketi | GSM Mobil Şebeke alanında olan Mobil Cihaz ile GSM Mobil Şebekesi dışında Kablolu/Kablosuz bir ağ geçidi ile internete bağlanan kullanıcıların cep telefonu bilgilerini doğrulama yöntemi ve sistemi |
| US11877218B1 (en) | 2021-07-13 | 2024-01-16 | T-Mobile Usa, Inc. | Multi-factor authentication using biometric and subscriber data systems and methods |
| CN114301870A (zh) * | 2021-12-28 | 2022-04-08 | 中国电信股份有限公司 | 用户身份标识管理方法及相关产品 |
| CN115150157A (zh) * | 2022-06-30 | 2022-10-04 | 中国电信股份有限公司 | 免密认证方法、装置、系统及深度包检测设备 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6700960B1 (en) * | 2000-08-30 | 2004-03-02 | At&T Corp. | Apparatus for tracking connection of service provider customers via customer use patterns |
| CN101399813A (zh) * | 2007-09-24 | 2009-04-01 | 中国移动通信集团公司 | 身份联合方法 |
| CN100518195C (zh) * | 2001-03-09 | 2009-07-22 | 艾利森电话股份有限公司 | 在业务网内映射ip地址到msisdn号码的方法和设备 |
| CN1852094B (zh) * | 2005-12-13 | 2010-09-29 | 华为技术有限公司 | 网络业务应用账户的保护方法和系统 |
| CN101867589A (zh) * | 2010-07-21 | 2010-10-20 | 深圳大学 | 一种网络身份认证服务器及其认证方法与系统 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FI20065288A (fi) * | 2006-05-03 | 2007-11-04 | Emillion Oy | Autentikointi |
| CN100579023C (zh) * | 2006-06-07 | 2010-01-06 | 华为技术有限公司 | 实现互联网接入和内容服务器访问的方法 |
-
2010
- 2010-12-08 CN CN2010105797820A patent/CN102437914B/zh not_active Expired - Fee Related
-
2011
- 2011-11-10 WO PCT/CN2011/082064 patent/WO2012075873A1/zh active Application Filing
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6700960B1 (en) * | 2000-08-30 | 2004-03-02 | At&T Corp. | Apparatus for tracking connection of service provider customers via customer use patterns |
| CN100518195C (zh) * | 2001-03-09 | 2009-07-22 | 艾利森电话股份有限公司 | 在业务网内映射ip地址到msisdn号码的方法和设备 |
| CN1852094B (zh) * | 2005-12-13 | 2010-09-29 | 华为技术有限公司 | 网络业务应用账户的保护方法和系统 |
| CN101399813A (zh) * | 2007-09-24 | 2009-04-01 | 中国移动通信集团公司 | 身份联合方法 |
| CN101867589A (zh) * | 2010-07-21 | 2010-10-20 | 深圳大学 | 一种网络身份认证服务器及其认证方法与系统 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106453349A (zh) * | 2016-10-31 | 2017-02-22 | 北京小米移动软件有限公司 | 账号登录方法及装置 |
| CN106453349B (zh) * | 2016-10-31 | 2019-06-14 | 北京小米移动软件有限公司 | 账号登录方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102437914A (zh) | 2012-05-02 |
| WO2012075873A1 (zh) | 2012-06-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102437914B (zh) | 一种由电信网为互联网业务提供用户身份标识和用户身份认证的方法 | |
| JP4722056B2 (ja) | 個別化およびアイデンティティ管理のための方法および装置 | |
| CN100456739C (zh) | 远程访问虚拟专用网络中介方法和中介装置 | |
| CN111586025B (zh) | 一种基于sdn的sdp安全组实现方法及安全系统 | |
| AU2020202168B2 (en) | Method and system related to authentication of users for accessing data networks | |
| TWI478549B (zh) | 用於為推播通知之動態路由之系統及方法 | |
| CN101488976B (zh) | 一种ip地址分配方法、网络设备和认证服务器 | |
| US11838269B2 (en) | Securing access to network devices utilizing authentication and dynamically generated temporary firewall rules | |
| CN108900484B (zh) | 一种访问权限信息的生成方法和装置 | |
| CN101931613A (zh) | 集中认证方法和集中认证系统 | |
| CN106656547A (zh) | 一种更新家电设备网络配置的方法和装置 | |
| CN101820606B (zh) | 认证授权计费服务器及其消息处理方法 | |
| CN101247239A (zh) | 一种认证授权计费系统及其实现方法 | |
| CN102957592A (zh) | 获取发送方信息的方法、客户端及系统 | |
| WO2010123385A1 (en) | Identifying and tracking users in network communications | |
| CN101909248B (zh) | 用户接入方法及系统、闭合用户组用户管理方法及系统 | |
| CN102136977B (zh) | 一种拨号设备以及根据用户需求实现虚拟拨号的方法 | |
| US20130183934A1 (en) | Methods for initializing and/or activating at least one user account for carrying out a transaction, as well as terminal device | |
| CN109309907B (zh) | 用于流量计费的方法、装置及其相关设备 | |
| CN101272594A (zh) | 过滤加密内容的方法、过滤设备和内容消费设备 | |
| CN101247369B (zh) | 即时通信中用户信息的表现方法、即时通信系统及设备 | |
| CN101170566A (zh) | 一种多域认证方法及系统 | |
| CN101848228A (zh) | 用sim卡认证电脑终端服务器isp身份的方法和系统 | |
| Yang et al. | Identity authentication system for mobile terminal equipment based on SDN network | |
| CN105578454B (zh) | 一种强制wlan用户下线的方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C56 | Change in the name or address of the patentee | ||
| CP02 | Change in the address of a patent holder |
Address after: 100162 Beijing City, Daxing District Xihongmen Hongfu Road, Xinghai home court No. 8 Building 1 unit 102 Patentee after: Yuan Yongliang Address before: 100034 Beijing city Xicheng District Taipingqiao Street No. 6 unit 308 room Patentee before: Yuan Yongliang |
|
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20131204 Termination date: 20151208 |
|
| EXPY | Termination of patent right or utility model |