WO2012075873A1

WO2012075873A1 - 一种由电信网为互联网业务提供用户身份标识和用户身份认证的方法

Info

Publication number: WO2012075873A1
Application number: PCT/CN2011/082064
Authority: WO
Inventors: 袁永亮
Original assignee: Yuan Yongliang
Priority date: 2010-12-08
Filing date: 2011-11-10
Publication date: 2012-06-14
Also published as: CN102437914A; CN102437914B

Description

一种由电信网为互联网业务提供用户身份标识和用户身份认证的方法技术领域

本发明涉及电信设备领域、互联网业务领域。

背景技术

当前大多数的互联网业务如博客、微博、社交网络、邮箱、即时消息等都要求用户注册一个账号并设置一个密码用于用户身份的标识和认证。账号就是用户在互联网上面的身份标识，这个身份标识一般有用户名、邮箱地址、数字编号等几种形式。

可以发现，当前的互联网业务的用户身份标识和认证系统存在几个问题：一是用户身份标识不统一，不同类型的互联网业务、以及同一类型但由不同公司运营的互联网业务之间会使用不同形式的身份标识；二是用户需要为每个业务设置一个密码，使用每个业务时都需要输入账号和密码进行登录，操作较繁琐，用户需要记忆不同的账号和密码。当前互联网业务越来越丰富，很多传统的业务也在向互联网上转移，但是互联网的这种不方便却给用户带来了一定的困扰；三是互联网业务没有记录用户的真实身份信息，一些涉及真实身份信息的业务就需要另外单独开展，如在线支付、物品快递等。

发明内容

本发明提出了一种由电信网为互联网业务提供用户身份标识和用户身份认证的方法。该方法采用由电信网统一标识和认证用户身份并且把用户身份标识和认证信息传递给互联网，从而达到用户免账号免认证登录互联网业务的效果，并且如果推广之则可以达到统一互联网业务的用户身份标识系统的目的。

本发明公开了一种依据上面的方法开发的电信网身份管理服务器，用于管理和指定电信网提供给互联网业务的用户身份标识。

本发明还公开了一种依据上面的方法开发的电信网网关，其处于电信网中，在用户和互联网之间转发消息，其特殊之处在于可以识别出用户登录互联网业务的消息并在消息中加入用户的电信网身份标识。

本发明还公开了一种依据上面的方法开发的互联网业务服务器，其功能包括提取电信网网关增加在消息中的用户身份标识并以之査找出对应的账号并为该账号提供互联网业务。

本发明还公开了一种依据上面的方法开发的系统，其包括上面所述的电信网身份管理服务器、电信网网关和互联网业务服务器。该系统可以实现由电信网为互联网业务提供用户身份标识和用户身份认证的目的。本发明公开的由电信网为互联网业务提供用户身份标识和用户身份认证的方法的具体技术方案如下：当前互联网业务没有一个统一的用户身份标识和认证系统，但是互联网的主要接入服务承担方一一电信网却有一个完善和统一的用户身份标识和认证系统。电信网运营商会对每个用户分配一个唯一的身份标识（如 3G网络中的手机号码），并且在用户接入网络时对其身份进行认证（例如 3G网络用户在附加到网络时会通过 USIM卡中的密钥和加密算法进行身份认证）。

此外，当前绝大多数普通用户接入到互联网都是通过电信网运营商，只有少数用户如教育科研网的用户才通过专门的线路接入互联网。

因此，如果互联网业务由电信网提供用户身份标识和用户身份认证，则既可以解决互联网上用户身份标识不统一的问题，又可以免除用户使用每个互联网业务之前还要登录的不便。该方法具体的步骤为：步骤 1 : 用户在电信网上配置要给互联网业务使用的身份标识；

步骤 2 : 用户在互联网业务服务器上设置将自己在电信网的一个或多个身份标识和该业务的账号进行绑定，并且可以为每个不同的身份标识设置不同的业务权限，其中每个身份标识包括如下信息：电信网运营商编号、电信网络编号、身份标识类型、身份标识值；

步骤 3 : 用户连接到电信网；步骤 4：电信网对用户身份进行认证；

步骤 5 : 用户通过电信网连接到互联网，开始使用互联网业务，按照互联网协议向互联网发送消息；步骤 6: 所发送的消息经过电信网的网关；

步骤 7 : 电信网的网关识别消息是否是登录互联网业务的消息并识别出对应的互联网业务 ID;

步骤 8 : 电信网的网关如果识别出是登录互联网业务的消息，则在消息中加入用户指定的要提供给该互联网业务的身份标识信息以及电信网网关的签名信息和消息完整性摘要信息，然后转发到互联网；步骤 9: 互联网业务服务器收到消息，通过签名信息验证消息是否来自信任的电信网网关，通过验证消息完整性摘要来确保消息未被更改；

步骤 10: 上述的签名信息和消息完整性摘要通过验证以后，互联网业务服务器再从消息中提取其中的用户身份标识信息；

步骤 11：互联网业务服务器根据取得的用户身份标识信息査找出与其绑定的业务账号及授予该身份标识的权限，并标记该账号已通过登录认证，如果账号不存在，则提示用户是否创建账号，如果用户选择是，则为用户创建一个账号，并直接将该账号和本次取得的用户身份标识信息相绑定。如果是事先和电信网运营商有协议直接使用电信网的用户身份标识作为账号的，则直接使用电信网的用户身份标识作为账号，并标记该账号已通过登录认证，如果对应的账号不存在，则提示用户是否创建账号；

步骤 12 : 用户直接以所述账号以及授予该身份标识的权限开始使用互联网业务；其中步骤 1又包含如下的子步骤：

步骤 101 : 电信网运营商定义和维护一个互联网业务列表。这个列表中的每一个互联网业务项包含互联网业务 ID、业务登录 URL地址或业务登录 TCP/IP地址与端口号等信息。电信网运营商还可以对这个列表中的项进行多个级别的分类，如首先分大类，大类下面再划分小类，小类下面再划分子类；

步骤 102:电信网运营商定义一个用户可以使用的身份标识类型列表，可以使用的身份标识类型包括客户编号、身份证号码、移动电话号码、固定电话号码、 ADSL账号、 LAN宽带账号、 WIFI账号、网名以及其他类型的身份标识，运营商要保证每类身份标识下每个用户的标识值各不相同，可以唯一代表该用户。身份标识类型分为真实身份标识和虚拟身份标识，上面的类型中客户编号、身份证号码、移动电话号码、固定电话号码、 ADSL账号、 LAN宽带账号、 WIFI账号为真实身份标识，网名等为虚拟身份标识；

步骤 103 : 电信网运营商根据所掌握的用户真实身份信息给用户的每类真实身份标识赋值，虚拟身份标识由用户自己取值，但电信网运营商保证同一个类型下面用户的虚拟身份标识不和其他用户的相同。一个用户的每类身份标识可以有多个值，运营商保证用户的每个真实身份标识确实是属于该用户的真实身份信息；

步骤 104: 电信网运营商统一指定某类互联网业务或某个互联网业务使用哪类或哪个身份标识，这个指定对所有用户有效，但优先级低于用户的指定，电信网运营商也可以指定某类互联网业务或某个互联网业务使用 "当前用户实际在使用的电信网接入方式的账号"，此时运营商的指定优先级高于用户的指定；步骤 105:用户可对电信网运营商定义的互联网业务列表中的互联网业务项按自己的标准再进行分组；步骤 106: 用户根据自己的偏好指定某个互联网业务或者某组互联网业务使用哪个身份标识。同一个类型的身份标识下面有多个值时需要用户选择一个。对某一个互联网业务，用户指定的使用哪个身份标识优先级高于运营商统一指定的使用哪个身份标识。用户也可以指定某个互联网业务或者某组互联网业务使用 "当前用户实际在使用的电信网接入方式的账号"；

步骤 107 : 运营商保存自己和用户设置好的用户身份标识使用策略；其中步骤 2也可以是：由电信网运营商和互联网业务提供商达成协议，互联网业务直接使用电信网的用户身份标识作为账号。请参阅图 2中该种方法的流程示意图。其中步骤 4所说的 "电信网对用户身份进行认证"包括：输入 DSL、 ADSL, LAN, WLAN、 WIFI登录的用户名和密码；通过光纤的物理连接直接标识和认证用户身份；通过 GSM、 CDMA, WCDMA、 LTE标准中的鉴权算法标识和鉴别用户的身份；以及其他认证用户身份的方法。其中步骤 5所说的 "用户通过电信网接入互联网"包括通过 DSL、 ADSL, LAN, 光纤、 WLAN、 WIFI, GPRS, EDGE, WCDMA、 CDMA, HSPA、 LTE、电力线、有线电视线以及其他公众互联网接入方式接入到互联网。其中步骤 6所说的 "开始使用互联网业务，按照互联网协议向互联网发送消息"包括通过 HTTP或者 WEBSERVICE协议，通过 FTP、 TELNET, SMTP, POP等各种标准互联网协议或者通过基于 TCP/IP协议的私有协议连接到某个互联网业务服务器。其中步骤 7所说的 "电信网的网关识别消息是否是登录互联网业务的消息并识别出对应的互联网业务 ID"包括根据 HTTP、 WEBSERVICE中的 URL地址识别是登录消息和对应的互联网业务 ID，根据基于 TCP/IP 协议的私有协议中的端口号识别互联网业务 ID及其他方式识别出是登录互联网业务的消息。其中步骤 8所说的 "在消息中加入用户身份标识以及电信网网关的签名信息和消息完整性摘要信息" 包括：电信网网关在 HTTP和 WEBSERVICE消息中加入用户身份标识信息以及自身的数字签名信息和消息完整性摘要；电信网关在基于 TCP/IP消息的私有协议中加入用户身份标识信息以及数字签名信息和用户身份标识；其中步骤 8、 9、 10、 11所说的 "用户身份标识信息"包括电信网运营商编号、电信网络编号、用户身份标识类型和用户身份标识值。从上面的步骤中可以看出，如果是用户原来在某个互联网业务服务器上已经有账号了，则可以输入账号、密码登录互联网业务服务器后设置将该账号和自己的一个或多个电信网身份标识相绑定（每个电信网身份标识包括电信网运营商编号、电信网络编号、用户身份标识类型和用户身份标识值四个值，可以使用真实身份标识，也可以使用虚拟身份标识），并且在对应的电信网运营商网络上配置当访问该互联网业务时传递哪类身份标识给该互联网业务服务器，这之后凡是通过这配置列表中的电信网运营商的网络连接到互联网的，都可以不输账号不输密码登录到这个互联网业务服务器了。

更进一步，如果电信网运营商和互联网业务提供商达成了协议，该互联网业务直接使用该电信网运营商的电信网用户身份标识作为账号，则用户可以首先通过该运营商的电信网登录到互联网业务服务器，直接以电信网身份标识创建一个账号，后面只要通过该运营商的电信网连接到该互联网业务服务器，就都不需要输账号登录，也不需要设置任何密码。从上面的描述可以看出，使用本发明公开的方法，一个可以统一互联网上的用户身份标识，二个可以使用户免账号免密码登录到互联网业务，可以免去用户记忆账号和密码的麻烦，省去用户登录互联网业务时输入账号和密码的步骤，为用户带来方便，三个互联网业务可以根据用户的电信网身份标识从用户的电信网账号中计费，从而可以为互联网业务提供一种统一的支付方式。本发明还公开了一种电信网身份管理服务器，其包含如下单元：

互联网业务列表维护单元，用于供电信网运营商定义和管理互联网业务列表；

身份标识类型定义单元，用于供电信网运营商定义和管理身份标识类型列表；

身份标识定义单元，用于供电信网运营商和用户定义和管理用户身份标识的值；统一身份标识使用策略定义单元，用于供电信网运营商统一指定某类互联网业务或每个互联网业务使用哪个身份标识；

身份标识使用策略定义单元，用于供用户分互联网业务组、分单个互联网业务指定使用哪个身份标识; 互联网业务识别及身份标识査询单元，用于供其他设备査询某个 URL或某个端口是否是互联网业务列表中某个互联网业务项的业务登录 URL、业务登录端口，如果是，根据査得的互联网业务 ID和其他设备输入的用户键值査询得到要使用的用户身份标识返回给其他设备。本发明还公开了一种电信网网关，其包含如下单元：

业务登录消息识别单元，用于识别出用户发出的消息中哪些是发送到互联网的业务登录消息并识别出当前访问的是哪个互联网业务；

身份标识获取单元，用于读取用户预先配置的要给当前在访问的互联网业务使用的身份标识；身份信息附加单元，用于在发送到互联网的业务登录消息中加入用户身份标识以及签名信息、完整性验证信息；

消息转发单元，用于接收用户发送的业务登录消息之外的其他消息并转发到互联网上，用于接收互联网发送给用户的消息并转发给用户。本发明还公开了一种互联网业务服务器，其包含如下单元：

免登录处理单元，用于提取业务登录消息中的电信网网关加入的用户身份标识并完成免登录处理。其他子业务处理单元，用于处理互联网业务的其他子业务。

其中免登陆处理单元包括：

身份标识提取单元，用于验证业务登录消息中的签名信息、完整性验证信息，并提取出用户身份标识；账号映射单元，用于根据用户身份标识査找与其绑定的业务账号并且査找授予该身份标识的业务权限；

登录状态修改单元，用于设置账号为已登录状态。本发明还公开了一种由电信网为互联网业务提供用户身份标识和用户身份认证的系统，其包括：电信网身份管理服务器，用于管理和指定电信网提供给互联网业务的用户身份标识；

电信网网关，用于识别出用户登录互联网业务的消息并在消息中加入用户的电信网身份标识；互联网业务服务器，用于提取电信网网关增加在消息中的用户身份标识并以之査找出对应的账号和授予该身份标识的权限并为该账号提供互联网业务。附图说明

图 1为本发明中由电信网为互联网业务提供用户身份标识和用户身份认证的方法的流程示意图；图 2为本发明中由电信网为互联网业务提供用户身份标识和用户身份认证的方法的另一种实现方式的流程示意图；

图 3为本发明中由电信网为互联网业务提供用户身份标识和用户身份认证的方法实施例 1的流程图；图 4为本发明中由电信网为互联网业务提供用户身份标识和用户身份认证的方法实施例 2的流程图；图 5为本发明中由电信网为互联网业务提供用户身份标识和用户身份认证的方法实施例 3的流程图；图 6为多个电信网运营商、多个电信网络和一个互联网业务服务器组成的示意图；

图 7为本发明中由电信网为互联网业务提供用户身份标识和用户身份认证的系统的示意图；具体实施方式

实施例 1

在本实施例中，用户张三是通过电信网运营商 A的 WCDMA 3G网络连接到互联网的，用户免账号免认证登录业务的具体步骤如下：

步骤 301 : 电信网运营商 A管理互联网列表，增加一个新的互联网业务项，如 "新浪博客"，其互联网业务 ID为 1，业务登录 URL地址为 http : //blog. sina. com. cn/noacctlogin。

步骤 302 : 电信网运营商 A在身份标识类型列表中增加一个身份标识类型：手机号码。

步骤 303 : 电信网运营商 A根据用户张三的号码给用户张三的 "手机号码"类型身份标识赋值为： 18606061122。

步骤 304: 电信网运营商 A指定 "新浪博客"业务使用 "手机号码"类型的身份标识。

步骤 305 : 用户张三在 "新浪博客"上设置将自己的账号 Jackson和电信网的用户身份标识：电信网运营商编号一一 A；网络编号一一 WCDMA 3G网络；身份标识类型一一手机号码；身份标识值一一 18606061122 绑定。

步骤 306: 用户张三手机开机，使用 18606061122号码的 USIM卡连接 WCDMA 3G网络。

步骤 307: 电信网运营商 A的 WCDMA 3G网络对 USIM卡进行身份认证，认证通过，并识别出是用户张步骤 308 : 用户张三通过 3G网络的数据连接连接到互联网，通过 HTTP协议连接 "新浪博客" 的免账号登录 WEB地址： http : //blog. sina. com. cn/noacctlogin。

步骤 309 ：电信网运营商 A 的 WCDMA 3G 网络的网关根据 URL 地址 http : //blog. sina. com. cn/noacctlogin査询互联网业务列表，发现是 "新浪博客"业务的登录 URL, 对应的互联网业务 ID为 1。

步骤 310: 电信网运营商 A的 WCDMA 3G网络的网关査询电信网运营商 A和用户张三自己指定的身份标识使用策略，发现需要使用电信网运营商 A统一指定的策略：使用 "手机号码"类型的身份标识，电信网网关获得张三的 "手机号码"类型的身份标识，然后在 HTTP消息头中加入该身份标识：电信网运营商编号一一 A ; 网络编号一一 WCDMA 3G网络；身份标识类型一一手机号码；身份标识值一一 18606061122及自身的数字签名信息以及整个消息的摘要并转发到互联网。

步骤 311 : "新浪博客" 的服务器收到电信网运营商 A的 WCDMA 3G网络网关转发来的消息，验证其中的数字签名和消息完整性摘要，确保消息来自电信网运营商 A的 WCDMA 3G网络网关并且未被恶意修改。

步骤 312 : "新浪博客" 的服务器从消息提取电信网的用户身份标识：类型一一手机号码；值一一 18606061122。

步骤 313 : "新浪博客"根据电信网的用户身份标识：电信网运营商编号一一 A ; 网络编号一一 WCDMA 3G 网络；身份标识类型一一手机号码；身份标识值一一 18606061122査找到与其绑定的用户账号 Jackson, 并标记 Jackson登录成功。

步骤 314: 用户张三以账号 Jackson开始使用 "新浪博客"业务。实施例 2

在本实施例中，用户李四是通过电信网运营商 B的 ADSL宽带网络连接到互联网的，用户免账号免认证登录业务的具体步骤如下：

步骤 401 : 电信网运营商 B管理互联网列表，增加一个新的互联网业务项，如 "携程旅行"，其互联网业务 ID 为 2，分类大类为 "生活类 "，小类为 "旅行类 "，业务登录 URL 地址为 http： //www. ctrip. com/noacctlogin。步骤 402 : 电信网运营商 B在身份标识类型列表中增加两个身份标识类型： ADSL账号、手机号码。步骤 403: 电信网运营商 B根据用户李四的 ADSL账号给用户李四的 "ADSL账号"类型身份标识赋值： szdsl52316938@163. gd。此外，用户李四还使用了电信网运营商 B的 TD-CDMA手机，号码为： 18902020505, 因此电信网运营商 B还给李四的 "手机号码"类型身份标识赋值： 18902020505。电信网运营商 B还指定 "生活类"互联网业务统一使用 "手机号码"类型的身份标识。

步骤 404: 用户李四对互联网业务分组， "携程旅行"分组为 "旅行组"，并指定该组业务使用 "ADSL 账号"类型的身份标识。

步骤 405 : 电信网运营商 B和携程无线签订协议，约定携程旅行业务就使用运营商 B携带的 ADSL账号或手机号码作为用户的账号。

步骤 406: 用户李四通过 ADSL账号 szdsl52316938@163. gd拨号上网。

步骤 407 : 电信网运营商 B的 ADSL接入设备对用户进行身份认证，认证通过，并识别出是用户李四。步骤 408: 用户李四通过 ADSL连接连接到互联网，通过 HTTP协议连接"携程旅行"的免账号登录 WEB 地址： http : //www. ctrip. com/noacctlogin。

步骤 409: 电信网运营商 B的 ADSL网络的网关根据 URL地址 http :〃胃. ctrip. com/noacctlogin査询互联网业务列表，发现是 "携程旅行"业务的登录 URL, 对应的互联网业务 ID为 2。

步骤 410: 电信网网关査询电信网运营商 B和用户李四自己指定的身份标识使用策略，发现需要使用用户李四自己指定的策略：使用 "ADSL账号"类型的身份标识，电信网网关获得张三的 "ADSL账号"类型的身份标识，并在 HTTP消息头中加入该身份标识：电信网运营商编号一一 B; 网络编号一一 ADSL网络；类型一一 ADSL账号；值一一 szdsl52316938@163. gd及自身的数字签名信息以及整个消息的摘要并转发到互联网。

步骤 411 : "携程旅行" 的服务器收到电信网运营商 B的 ADSL网络网关转发来的消息，验证其中的数字签名和消息完整性摘要，确保消息来自电信网运营商 B的 ADSL网络网关并且未被恶意修改。

步骤 412 : "携程旅行" 的服务器从消息提取电信网的用户身份标识：电信网运营商编号一一 B; 网络编号一一 ADSL网络；身份标识类型一一 ADSL账号；身份标识值一一 szdsl52316938@163. gd。

步骤 413 : "携程旅行"的服务器根据协议，直接以电信网的用户身份标识组装出账号 "电信网运营商编号—网络编号―身份标识类型—身份标识值" ： B— ADSL— adsl— _Szdsl52316938@163. gd作为账号并标记该账号登录成功。

步骤 414: 用户李四以账号 B— ADSL— adsl— szdsl52316938組 63. gd开始使用 "携程旅行"业务。实施例 3

在本实施例中，描述了使用不同的网络连接方式，免登录后获得的权限也不同的例子，具体步骤如下：步骤 501 : 电信网运营商 C管理互联网列表，增加一个新的互联网业务项，如 " XX网上银行"，其互联网业务 ID 为 3，分类大类为 "生活类"，小类为 "网上银行类"，业务登录 URL 地址为 http： //www. anetbank. com/noacctlogin。

步骤 502 : 电信网运营商 C在身份标识类型列表中增加两个身份标识类型：家庭 ADSL账号、手机号码。步骤 503 : 用户王五在运营商 C开了个家庭 ADSL账号： szdsl52316938@163. gd, 并且在运营商 C的 CDMA网络上开了个自己用的手机号码： 18302020505。电信网运营商 C根据王五的真实信息给王五的 "家庭 ADSL 账号"类型的身份标识赋值： szdsl52316938@163. gd， "手机号码"类型的身份标识赋值： 18302020505。

步骤 504: 电信网运营商 C指定 "XX网上银行"业务使用 "当前用户实际在使用的电信网接入方式的账号"类型的身份标识。

步骤 505 : 用户王五在 "XX网上银行" 的互联网业务服务器上配置将自己的银行账号 18181818和电信网运营商 C的电信网身份标识家庭 ADSL账号： szdsl52316938@163. gd和手机号码： 18302020505绑定，其中家庭 ADSL账号： szdsl52316938@163. gd只授予査询余额的权限，而手机号码： 18302020505授予全部权限。

步骤 506:用户王五通过自己的号码为 18302020505手机上网，连接" XX网上银行"的免账号登录 WEB 地址： http : //www. anetbank. com/noacct login ₀

步骤 507 : 电信网运营商 C的 CDMA网络网关根据 URL地址 http：〃 www. anetbank. com/noacctlogin 査询互联网业务列表，发现是 "XX网上银行"业务的登录 URL, 对应的互联网业务 ID为 3。

步骤 508:电信网运营商 C的 CDMA网络网关査询电信网运营商 C和用户王五自己指定的身份标识使用策略，发现应该使用电信网运营商 C指定的策略：使用 "当前用户实际在使用的电信网接入方式的账号" 类型的身份标识，电信网网关获得王五的 "当前用户实际在使用的电信网接入方式的账号"类型的身份标识并添加在 HTTP消息头中：电信网运营商编号一一 C;网络编号一一 CDMA网络；类型一一手机号码；值一一 18302020505及自身的数字签名信息以及整个消息的摘要并转发到互联网。

步骤 509: "XX网上银行"的服务器收到电信网运营商 C的 CDMA网络网关转发来的消息，验证其中的数字签名和消息完整性摘要，并取出其中的用户身份标识为：电信网运营商编号一一 C; 网络编号一一 CDMA 网络；类型一一手机号码；值一一 18302020505。

步骤 510: "XX网上银行"根据电信网的用户身份标识査得其关联的银行账号为 18181818，并且授予该身份标识的权限为全部权限。

步骤 511 : 用户王五在银行账号 18181818上做余额査询、转账等操作。

步骤 512 : 用户王五的妻子在家里通过家庭 ADSL账号 szdsl52316938@163. gd拨号上网。

步骤 513 :电信网运营商 C的家庭 ADSL接入设备对用户进行身份认证，认证通过，并识别出是用户"王五"或者 "王五家庭"，其中 "王五家庭"也可以访问 "王五" 的业务。

步骤 514：用户王五的妻子连接 " XX 网上银行 " 的免账号登录 WEB 地址： http : //www. anetbank. com/noacctlogin。

步骤 515 :电信网运营商 C的家庭 ADSL网络网关根据 URL地址 http：〃 www. anetbank. com/noacctlogin 査询互联网业务列表，发现是 "XX网上银行"业务的登录 URL, 对应的互联网业务 ID为 3。

步骤 516:电信网运营商 C的家庭 ADSL网络网关査询电信网运营商 C和用户王五自己指定的身份标识使用策略，发现应该使用电信网运营商 C指定的策略：使用 "当前用户实际在使用的电信网接入方式的账号"类型的身份标识，电信网网关获得王五的 "当前用户实际在使用的电信网接入方式的账号"类型的身份标识并添加在 HTTP消息头中：电信网运营商编号一一 C; 网络编号一一家庭 ADSL网络；类型一一 ADSL 账号；值一一 szdsl52316938@163. gd及自身的数字签名信息以及整个消息的摘要并转发到互联网。

步骤 517 : "XX网上银行"的服务器收到电信网运营商 C的家庭 ADSL网络网关转发来的消息，验证其中的数字签名和消息完整性摘要，并取出其中的用户身份标识为：电信网运营商编号一一 C; 网络编号一一家庭 ADSL网络；类型一一 ADSL账号; 值一一 szdsl52316938@163. gd。

步骤 518 : "XX网上银行"根据电信网的用户身份标识査得其关联的银行账号为 18181818，并且授予该身份标识的权限为査询余额。

步骤 519: 用户王五的妻子在银行账号 18181818上只能做余额査询操作。实施例 4

在本实施例中，描述了用户使用虚拟身份免账号免认证登录互联网业务的场景：

步骤 601 : 电信网运营商 D管理互联网列表，增加一个新的互联网业务项，如 "天涯论坛"，其互联网业务 ID为 4，分类大类为 "论坛类"，业务登录 URL地址为 http :〃胃. tianya. com/noacctlogin。

步骤 602 : 电信网运营商 D在身份标识类型列表中增加一个身份标识类型：网名，为虚拟身份标识。步骤 603 : 电信网运营商 D和天涯论坛签订协议，约定天涯论坛业务就使用运营商 D携带的网名作为用户的账号。步骤 604: 用户马六在电信网运营商 D的网络上给自己的 "网名 "类型的身份标识取值： MaLiu。该名字通过验证，和别的用户不重名。

步骤 605 : 电信网运营商 D还指定 "论坛类"互联网业务统一使用 "网名"类型的身份标识。

步骤 606: 用户马六通过运营商 D的 WCDMA 3G手机号码 18606061122上网。

步骤 607: 电信网运营商 D的 WCDMA 3G网络对号码 18606061122进行身份认证，认证通过，并识别出是用户马六。

步骤 608：用户马六通过 HTTP 协议连接 "天涯论坛 " 的免账号登录 WEB 地址： http : //www. tianya. com/noacctlogin。

步骤 609 : 电信网运营商 D 的 WCDMA 3G 网络的网关根据 URL 地址 http：〃胃. tianya. com/noacctlogin査询互联网业务列表，发现是 "天涯论坛"业务的登录 URL, 对应的互联网业务 ID为 4。

步骤 610: 电信网运营商 D的 WCDMA 3G网络的网关査询电信网运营商 D和用户马六自己指定的身份标识使用策略，发现需要使用电信网运营商 D指定的策略：使用 "网名"类型的身份标识，电信网网关获得马六的 "网名"类型的身份标识，并在 HTTP消息头中加入该身份标识：电信网运营商编号一一 D; 网络编号一一 WCDMA 3G 网络；类型一一网名；值一一 MaLiu及自身的数字签名信息以及整个消息的摘要并转发到互联网。

步骤 611 : "天涯论坛"的服务器收到电信网运营商 D的 WCDMA 3G网络网关转发来的消息，验证其中的数字签名和消息完整性摘要，然后从消息提取电信网的用户身份标识：电信网运营商编号一一 D; 网络编号一一 WCDMA 3G网络；身份标识类型一一网名；身份标识值一一 MaLiu。

步骤 612 : "天涯论坛"的服务器根据协议，直接以电信网的用户身份标识组装出账号 "电信网运营商编号—身份标识值" ： D— MaLiu作为账号并标记该账号登录成功。

步骤 613 : 用户马六以账号 D— MaLiu开始使用 "天涯论坛"业务。实施例 5

上面描述的都是使用 HTTP协议的例子，本实施例中，描述一个基于 TCP/IP协议的私有协议的例子：步骤 701 : 电信网运营商 E管理互联网列表，增加一个新的互联网业务项，如 " XX即时消息"，其互联网业务 ID为 5，分类大类为 "即时消息类"，业务登录方式为私有协议，连接服务器胃 . xxim. com的 TCP端口 12345按私有协议收发消息进行登录。

步骤 702: 电信网运营商 E在身份标识类型列表中增加一个身份标识类型： E-mai l地址，为虚拟身份标识。

步骤 703: 电信网运营商 E和 XX即时消息签订协议，定义好用户身份标识信息、网关签名信息和消息完整性摘要信息传递的接口。

步骤 704: 用户钱七在电信网运营商 E 的网络上给自己的 "E-mail 地址"类型的身份标识取值： qianqi@163. com。该名字通过验证，和别的用户不重名。

步骤 705 : 电信网运营商 3还指定 "即时消息类"互联网业务统一使用 "E-mai l地址"类型的身份标识。

步骤 706: 用户钱七通过运营商 E的 WCDMA 3G手机号码 18606061122上网。

步骤 707: 电信网运营商 E的 WCDMA 3G网络对号码 18606061122进行身份认证，认证通过，并识别出是用户钱七。

步骤 708 : 用户钱七通过 XX即时消息的私有协议连接 " XX即时消息" 的服务器：胃. xxim. com, 端口为 12345。

步骤 709: 电信网运营商 E的 WCDMA 3G网络的服务器地址和端口査询互联网业务列表，发现是 "XX 即时消息"业务的登录 URL, 对应的互联网业务 ID为 5。

步骤 710: 电信网运营商 E的 WCDMA 3G网络的网关査询电信网运营商 E和用户钱七自己指定的身份标识使用策略，发现需要使用电信网运营商 E指定的策略：使用 " E-mai l地址"类型的身份标识，电信网网关获得钱七的 "E-mai l地址"类型的身份标识，根据私有协议在 TCP消息中加入该身份标识：电信网运营商编号一一 E; 网络编号一一 WCDMA 3G网络；类型一—E-mai l地址；值一一 qianqi@163. com及自身的数字签名信息以及整个消息的摘要并转发到互联网。

步骤 711 : "XX即时消息" 的服务器收到电信网运营商 D的 WCDMA 3G网络网关转发来的消息，验证其中的数字签名和消息完整性摘要，然后从消息提取电信网的用户身份标识：电信网运营商编号一一 E; 网络编号一一 WCDMA 3G网络；身份标识类型一一 E- mai l地址；身份标识值一一 qianqi@163. com。

步骤 712 : "XX即时消息" 的服务器根据协议，直接以电信网的用户身份标识组装出账号 "身份标识值" ： qianqi@163. com作为账号并标记该账号登录成功。

步骤 713 : 用户钱七以账号 qianqi@163. com开始使用 "XX即时消息"业务。请参阅图 7，其为本发明一种由电信网为互联网业务提供用户身份标识和用户身份认证的系统的结构示意图，其中包括电信网身份管理服务器结构示意图，电信网网关结构示意图，以及互联网业务服务器结构示意图。

本实施例中的电信网身份管理服务器 70包括互联网业务列表维护单元 703、身份标识类型定义单元 702、身份标识定义单元 704、统一身份标识使用策略定义单元 706、身份标识使用策略定义单元 705以及互联网业务识别及身份标识査询单元 701，下面结合具体实施方式进一步介绍其内部结构以及连接关系。

首先互联网业务列表维护单元 703提供界面供运营商定义互联网业务列表，每个互联网业务包括互联网业务 ID、业务登录 URL地址或业务登录 TCP/IP地址与端口号等信息，然后保存该列表。

然后身份标识类型定义单元 702提供界面供运营商定义身份标识类型，包括客户编号、身份证号码、移动电话号码、固定电话号码、 ADSL账号、 LAN宽带账号、 WIFI账号、网名等类型，然后保存这些类型数据。

再然后身份标识类型定义单元 704提供界面供运营商输入每个用户各个真实身份标识类型的值，也可以从别的表中导入，身份标识类型定义单元 704要保证每类身份标识下每个用户的标识值各不相同，可以唯一代表该用户。当身份标识为虚拟身份标识时，身份标识类型定义单元 704还允许用户自己取值。同一类型的身份标识可以有多个。身份标识类型定义单元 704保存这些数据。

再然后统一身份标识使用策略定义单元 706提供界面供运营商对互联网业务分类，并指定某类互联网业务或某个互联网业务使用哪类或哪个身份标识，统一身份标识使用策略定义单元 706保存这些数据。

再然后身份标识使用策略定义单元 705提供界面供用户对互联网业务分组，并根据自己的偏好指定某个互联网业务或者某组互联网业务使用哪个身份标识，身份标识使用策略定义单元 705保存这些数据。

用户在使用业务时，电信网网关的身份标识获取单元 712发送请求给互联网业务识别及身份标识査询单元 701，要求识别是否是已配置的互联网业务并返回应该使用的电信网身份标识。请求中携带用户键值、用户访问的 URL地址或者服务器地址和端口号。此时互联网业务识别及身份标识査询单元 701根据请求中的 URL地址或者服务器地址和端口号査找互联网业务列表，如果找到 URL地址或者服务器地址和端口号和某个项中的值相等，则识别是该互联网业务并获得该互联网业务的互联网业务 ID, 如果在互联网业务列表中没有找到 URL地址或者服务器地址和端口号和请求中相等的项，则向电信网网关的身份标识获取单元 712 返回 "不是可识别的互联网业务"。如果获得了互联网业务 ID, 则根据互联网业务 ID和用户键值査询统一身份标识使用策略定义单元 706、身份标识使用策略定义单元 705 前面保存的数据，按发明内容中步骤 104^106中的原则确定本次应该使用哪个身份标识。然后把这个身份标识的身份标识类型和身份标识值返回给电信网网关的身份标识获取单元 712。本实施例中的电信网网关 71包括业务登录消息识别单元 711、身份标识获取单元 712、身份信息附加单元 713和消息转发单元 714，下面结合具体实施方式进一步介绍其内部结构以及连接关系。

用户使用某个互联网业务时，首先通过电信网网络接入设备 73接入到电信网，此时电信网使用电信网的身份标识会对用户身份进行认证。然后用户通过电信网网络接入设备 73 向互联网发送消息，消息被送到电信网网关 71的业务登录消息识别单元 711，由业务登录消息识别单元 711调身份标识获取单元 712 向电信网身份管理服务器 70请求识别是否是已配置的互联网业务并返回应该使用的电信网身份标识的类型和值。如果识别是已配置的互联网业务并且取得了返回的应该使用的电信网身份标识类型和值，则判断身份标识是否是 "当前用户实际在使用的电信网接入方式的账号"类型，如果是则从电信网网络接入设备 73获取当前的接入方式及接入账号，然后把该身份标识类型和值和消息一起发送给身份信息附加单元 713，身份信息附加单元 713收到消息和应该使用的身份标识类型和值后，在消息中添加电信网网关 71的数字签名信息和完整性摘要信息以及用户的身份标识信息，用户的身份标识信息包括电信网运营商编号、电信网络编号、用户身份标识类型和用户身份标识值，然后再把消息转发给消息转发单元 714，由消息转发单元 714将消息转发到互联网最终到达互联网业务服务器 72。如果识别出不是已配置的互联网业务，则业务登录消息识别单元 711直接把消息转发给消息转发单元 714，有消息转发单元 714转发到互联网最终到达互联网业务服务器 72。对于互联网业务服务器 72发给用户的消息，由消息转发单元 714转发给电信网网络接入设备 73，电信网网络接入设备 73再转发给用户。本实施例中的互联网业务服务器 72包括免登录处理单元 721和其他子业务处理单元 722，其中免登录处理单元 721又包括身份标识提取单元 7213、账号映射单元 7212和登录状态修改单元 7211，下面结合具体实施方式进一步介绍其内部结构以及连接关系。

电信网网关 71 的消息转发单元 714转发的消息首先到达免登录处理单元 721 的身份标识提取单元 7213，身份标识提取单元 7213根据请求的 URL地址判断是否是免账号登录消息，如果不是，直接转发给其他业务处理单元 722进行处理。如果是，则根据消息中的签名信息验证消息是否是来电信网网关 71，然后再通过消息完整性摘要来验证消息在从电信网网关 71 到当前位置的传递途径中是否被更改，如果签名信息或消息完整性摘要信息验证不通过，则丢弃消息。否则提取消息中用户身份标识信息，其内容如下：电信网运营商编号、电信网络编号、用户身份标识类型和用户身份标识值。将用户身份标识信息传递给账号映射单元 7212。

账号映射单元 7212判断是否有要求直接使用电信网的用户身份标识作为账号，如果有，则直接用用户身份标识信息根据要求的格式组合出账号，否则根据用户身份标识信息査找之前全部用户设定的电信网用户身份标识和账号间的绑定关系，査找出本次的用户身份标识信息对应哪个账号，并査找出给用户身份标识授予的权限信息。账号映射单元 7212把组合出或者査找到的账号以及应授予的权限信息传递给登录状态修改单元 7211，由登录状态修改单元 7211更新账号的状态为登录并保存授予的权限信息。最后应当说明的是：以上实施例仅用以说明本发明的技术方案而非对其限制；尽管参照较佳实施例对本发明进行了详细的说明，所属领域的普通技术人员应当理解：依然可以对本发明的具体实施方式进行修改或者对部分技术特征进行等同替换；而不脱离本发明技术方案的精神和原则所作的修改、等同替换和改进等，均应涵盖在本发明请求保护的技术方案范围之内。

Claims

1、一种用户在电信网上定制要给互联网业务使用的身份标识的方法，其特征在于，包括：步骤 1 : 电信网运营商定义和维护一个互联网业务列表；

步骤 2: 电信网运营商定义一个用户可以使用的身份标识类型列表；

步骤 3 : 电信网运营商根据所掌握的用户真实身份信息给用户的每类身份标识赋值；

步骤 4: 电信网运营商统一指定某个互联网业务使用哪类身份标识；

步骤 5: 电信网运营商保存设置好的上述数据。

2、根据权利要求 1所述的方法，其特征在于，还包含：

用户可以根据自己的偏好指定某个互联网业务使用哪类或哪个身份标识，此时用户的指定优先级高于电信运营商的统一指定；

3、根据权利要求 1和权利要求 2中任意一项所述的方法，其特征在于：

用户身份标识类型分为真实身份标识和虚拟身份标识。真实身份标识由电信网运营商根据所掌握的用户真实身份信息赋值，虚拟身份标识由用户自己取值，但电信网运营商要保证同一个类型下面某个用户的虚拟身份标识不和其他用户的相同，即能唯一标识所述用户。所述的身份标识包括如下类型：客户编号、身份证号码、移动电话号码、固定电话号码、 ADSL账号、 LAN宽带账号、 WIFI账号、电视线上网账号、电力线上网账号、网名以及其他类型。

4、根据权利要求 3所述的方法，其特征在于：

所述互联网业务列表中的每一个互联网业务项包含互联网业务 ID、免账号登录 URL地址或者服务器地址加端口号等信息；

5、根据权利要求 4所述的方法，其特征在于，还包含：

电信网运营商还可以对互联网业务列表中的项进行多个级别的分类，如首先分大类，大类下面再划分小类，小类下面再划分子类。电信网运营商可以统一指定某类互联网业务使用哪种类型的用户身份标识。

6、根据权利要求 5所述的方法，其特征在于，还包含：

用户可对电信网运营商定义的互联网业务列表中的互联网业务项按自己的标准再进行分组。用户可以指定某组互联网业务使用哪类或哪个身份标识（当同一类型的身份标识有多个时）。

7、一种电信网身份管理服务器，其特征在于，包括：

身份标识类型定义单元，用于供电信网运营商定义和管理用户身份标识类型列表；

身份标识定义单元，用于供电信网运营商和用户定义和管理用户身份标识的值；

统一身份标识使用策略定义单元，用于供电信网运营商统一指定某类互联网业务或者某个互联网业务使用哪个身份标识；

身份标识使用策略定义单元，用于供用户分互联网业务组、分单个互联网业务指定使用哪个身份标识；互联网业务识别及身份标识査询单元，用于供其他设备査询某个 URL或某个服务器地址加端口是否是互联网业务列表中某个互联网业务项的免账号登录 URL、服务器地址加端口，如果是，则根据该项的互联网业务 ID和其他设备输入的用户键值査询得到要使用的用户身份标识并返回给其他设备。

8、一种电信网将用户身份标识携带给互联网的方法，其特征在于，包括：

互联网业务和用户间收发的消息都经过电信网转发；

电信网识别出所述用户发送给互联网业务的业务登录消息和互联网业务 ID;

电信网获取所述用户预先配置的要给当前在访问的互联网业务使用的身份标识；

电信网在发送到互联网的业务登录消息中加入所述用户预先配置的要给当前在访问的互联网业务使用的身份标识。

9、根据权利要求 8所述的方法，其特征在于，还包括：电信网在发送到互联网的业务登录消息中加入签名信息及完整性摘要信息，所述签名信息用于确立互联网对电信网的信任，所述完整性摘要信息用于防止消息中加入的用户身份标识在消息传递过程中被篡改。

10、根据权利要求 8 和权利要求 9 中任意一项所述的方法，其特征在于，所述消息包括： HTTP、 WEBSERVICE, FTP/TELNET/SMTP等标准 TCP/IP协议以及其他基于 TCP/IP协议的私有协议。

11、一种电信网网关，其特征在于：

该网关是电信网用户接入互联网的必经途径，用户发送到互联网的消息都经过该网关；

该网关包含：

用户身份标识获取单元，用于读取用户预先配置的要给当前在访问的互联网业务使用的身份标识；用户身份信息附加单元，用于在发送到互联网的业务登录消息中加入用户身份标识信息以及签名信息、完整性验证信息；

消息转发单元，用于在用户和互联网业务之间转发消息。

12、一种互联网业务获取电信网携带的用户身份标识和用户身份认证信息的方法，其特征在于，包括：电信网运营商和互联网业务提供商达成协议，互联网业务直接使用电信网的用户身份标识作为账号；互联网业务服务器判断电信网转发给互联网的业务登录消息中是否包含有电信网的签名信息；如果有签名信息，则验证签名是否合法；

如果签名合法，则验证消息的完整性摘要信息看消息是否被篡改；

如果消息未被篡改，则认为消息和消息中用户身份标识都是可信的；

如果消息中的签名信息验证不通过，则忽略消息中用户身份标识，如果完整性摘要信息验证不通过，则丢弃消息。

互联网业务从电信网转发给互联网的业务登录消息中提取出电信网加入的用户身份标识信息；互联网业务服务器根据所述用户身份标识信息按照商定的格式组合出业务账号；

标记所述账号已通过登录认证并使用所述账号来访问后继互联网业务。

13、一种互联网业务获取电信网携带的用户身份标识和认证信息的方法，其特征在于，包括：用户在互联网业务服务器上设置将业务账号和自己在电信网的一个或多个身份标识相绑定；

互联网业务服务器判断电信网转发给互联网的业务登录消息中是否包含有电信网的签名信息；如果有签名信息，则验证签名是否合法；

互联网业务从电信网转发给互联网的业务登录消息中提取出电信网加入的用户身份标识信息；互联网业务服务器根据所述用户身份标识信息査找出与其绑定的业务账号；

14、根据权利要求 13所述的方法，其特征在于，还包括：

用户可以在互联网业务服务器上设置每个电信网的身份标识授予哪些权限；

互联网业务服务器还可以根据所述用户身份标识信息査找授予了该标识哪些权限；

15、一种互联网业务服务器，其特征在于，包括：

免登录处理单元，用于提取业务登录消息中的电信网网关加入的用户身份标识信息并完成免登录处理。业务处理子单元，用于提供互联网业务的业务功能。

16、根据权利要求 15所述的互联网业务服务器，其特征在于，所述免登陆处理单元包括：

身份标识提取单元，用于验证业务登录消息中的签名信息、完整性验证信息，并提取出用户身份标识信息; 账号映射单元，用于根据用户身份标识信息査找与其绑定的业务账号；

登录状态修改单元，用于设置所述业务账号为已登录状态。

17、根据权利要求 16所述的互联网业务服务器，其特征在于：

所述账号映射单元还包括査找授予所述用户身份标识的业务权限的功能。

18、一种由电信网为互联网业务提供用户身份标识和用户身份认证的方法，其特征在于，至少包括如下步骤：

步骤 1 : 用户在电信网上配置要给互联网业务使用的身份标识；

步骤 2: 用户在互联网业务服务器上设置将业务账号和自己在电信网的一个或多个身份标识相行绑定；步骤 3 : 用户连接到电信网；

步骤 4：电信网对用户身份进行认证；

步骤 5: 用户通过电信网连接到互联网，开始使用互联网业务，按照互联网协议向互联网发送消息；步骤 6：所发送的消息经过电信网的网关；

步骤 7: 电信网的网关识别消息是否是登录互联网业务的消息并识别出对应的互联网业务 ID;

步骤 8: 电信网的网关如果识别出是登录互联网业务的消息，则在消息中加入用户指定的要提供给该互联网业务的身份标识信息以及自身的签名信息、完整性验证信息，告诉互联网该用户身份标识是经过电信网验证的，然后转发到互联网；

步骤 9: 互联网业务服务器收到消息，从消息中提取其中的用户身份标识信息；

步骤 10: 互联网业务服务器根据取得的用户身份标识信息査找出与其绑定的业务账号，并标记该账号已通过登录认证；

步骤 11 : 用户直接以所述账号开始使用互联网业务；

19、一种由电信网为互联网业务提供用户身份标识和用户身份认证的系统，其特征在于，包括：电信网身份管理服务器，用于管理和指定电信网提供给互联网业务的用户身份标识；

电信网网关，用于识别出用户登录互联网业务的消息并在消息中加入用户的电信网身份标识信息和电信网网关的签名信息；

互联网业务服务器，用于提取电信网网关增加在消息中的用户身份标识信息并以之査找出与之绑定的账号和授予该用户身份标识的权限，然后为该账号按指定的权限提供互联网业务。

20、根据权利要求 1、权利要求 8、权利要求 12、权利要求 13、权利要求 18中任意一项所述的方法，其特征在于，所述 "电信网"包括： DSL、 ADSL, 固定电话网络、移动电话网络、小区 LAN 宽带网络、 WLAN网络、 WIFI网络、光纤接入网络、有线电视线上网网络、电力线上网网络以及其他为公众提供互联网接入的网络。

21、根据权利要求 7、权利要求 11、权利要求 15、权利要求 19中任意一项所述的设备或系统，其特征在于，所述 "电信网"包括： DSL、 ADSL, 固定电话网络、移动电话网络、小区 LAN宽带网络、 WLAN网络、 WIFI 网络、光纤接入网络、有线电视线上网网络、电力线上网网络以及其他为公众提供互联网接入的网络。