CN1558586A

CN1558586A - 一种基于ip网用户身份的多业务交换方法及系统

Info

Publication number: CN1558586A
Application number: CNA2004100392818A
Authority: CN
Inventors: 任荣昌
Original assignee: Individual
Current assignee: Speed Sense (beijing) Technology Co Ltd
Priority date: 2004-02-11
Filing date: 2004-02-11
Publication date: 2004-12-29
Anticipated expiration: 2024-02-11
Also published as: CN100349400C

Abstract

本发明提供了一种基于IP网用户身份的多业务交换方法及系统。其将通信终端、多业务交换平台、网络服务提供端分别与IP网耦合，并采用一在线身份装置作为业务的发起方和接受方，采用一安全认证管理单元进行保密管理；将用户信息分别存储在所述的在线身份装置和多业务交换平台中，将网络服务提供商业务信息存储在所述的多业务交换平台中，且所述的多业务交换平台与所述的安全认证管理单元耦合；从而实现统一用户业务身份和统一用户多种被访问业务寻址方式的多业务交换。

Description

一种基于IP网用户身份的多业务交换方法及系统

技术领域

本发明属于互联网应用技术，其特别涉及IP(Internet protocol)网与公共密钥体系(PKI：Public Key Infrastructure)相结合的对多种业务使用实现统一鉴权、统一授权、统一计费的融合用户多种可被访问业务统一寻址的多业务交换技术，具体的讲是一种基于IP网用户身份的多业务交换方法及系统。

背景技术

互联网(Internet)的出现对信息化的普及和发展起到了巨大的推动作用。现在的IP网就是基于传统的互联网理念，完全依靠网络用户的自律来进行自由发展的网络。目前许多人，包括IP领域的部分专家均有这样的观点，IP网络不可运营即：IP网络上除接入费外的服务收费，还没有一种消费者普遍接授的用户身份管理和网络业务管理机制实现服务应用收费，如果将IP网络用于一般开放的、免费的通信服务应用是很好的，但是如果将其用于加载重要的业务数据或承载重要的商用业务则存在用户身份管理、业务使用管理、安全性和可信性的担忧。因此，现有电信业务网没有用公众IP网来承载，甚至大型企业网的业务数据都没有加载到企业公用IP网上。现有的电信级的IP网只是简单的照搬Internet理念的IP网，虽然Internet运营商其尽可能的向用户提供一个自由方便的工作平台，但是除去为了维持网络的生存而收取的网络接入费和为此而进行的用户鉴权等管理外，Internet运营商很难进行其它管理，这便导致了IP网络应用产业发展的不确定性。因此，IP网运营者必须考虑网络的安全性和可信任性以及网络之上用户身份的管理和业务使用管理等问题，才能使IP网真正发挥其功效。

智能卡与公共密钥体系(PKI)的使用为IP网运营的安全性、可信任性和可管理性等问题带来了解决方案。PKI技术和智能卡之间的关系在于私有密钥以及第三方认证机构所颁发的数字证书的存储可以在极为安全的智能卡上实现。然而，现有技术中的智能卡、PKI、IP网的结合仅为一种简单的结合，每个智能卡均对应着固定的网络，且功能仅为身份识别。这种状况是一种网络识别用户的状况，其特点是用户只能使用固定的智能卡在对应的固定的网络上基于身份识别获得网络服务。这种状况的缺陷在于无法实现用户识别网络，即：用户可以使用其智能卡自由的选择网络服务，且该智能卡的作用不仅仅是身份识别，而是包括用户端与控制平台之间的互动、多种业务交换等功能。

传统电信网络与IP网络的分层模块化结构不同，它采用高度互联的设计思想构建而成，即提供的业务与网络是硬性绑定在一起的；系统的扩展能力、增值服务能力、不同系统的互联能力都被局限。传统电信网络提供多种业务只能通过不同网络的互通来实现，整个系统不得不成为一系列的信息孤岛的互联；对于增值业务的开发、运营成本的控制都要基于专用的系统、专门的厂商；无法经济的开发新业务，无法快速响应市场。因此，它只能处于高沉默成本、高业务扩展边际成本、低市场效率的重压之下。进一步讲，传统电信企业在追求核心竞争力的强化的过程中，使得与高度集成化的传统电信技术体制所带来的高边际成本的新业务风险达到最大化；抵御风险的能力也降到了最低，这些都是目前所有电信企业无能为力的发展之痛。IP网络模块化思想的价值在IT界已经成为一个直白的道理。一提起计算机，人们自然就会想起英特尔的芯片、微软的操作系统，这两家公司提供的是PC的两个关键模块，Wintel联合起来主宰了PC时代；一提起网络，人们自然就会想起思科的路由器、Sun的服务器、EMC的存储器和Oracle的数据库，它们提供的是信息数字化的关键模块，有了它们的存在，才有了成千上万家网络系统集成公司的蓬勃发展。模块化思想在电信技术上的应用就是模块化设计，即采用分层的通过共同遵守的接口沟通相对独立的功能子集来搭建功能系统的设计思想。采用模块化思想设计的电信网络所提供的服务将与网络无关，即在不同的网络上可以提供相同的业务，在相同的网络上可提供不同的服务。模块化不仅用于电信网络设计中，在电信业务的使用上也是如此。模块化允许消费者组装不同的服务以得到适合自己口味和需要的最终服务，从而能够鼓励设计的创新。模块化为电信设施带来了高扩展性和多元化业务、业务的自成长性；以及同一网络对不同区域采用不同的通信技术进行覆盖。当电信服务企业拥有主干网的时候，不同的服务项目都是通过同一张网络来传递，所以提供的服务项目内容越丰富、种类越多，盈利就越好。出于赢利目的，网络的拥有者必将尽力提供更多的新服务。而且，所有的通信方式底层技术完全一样，这对系统扩展、增值业务的普及、运营成本的降低有着明显的利益。可以非常好的实现高边际收益。借助于模块化思想在电信行业内的广泛应用，电信企业的服务能力将迅速增加，成本却保持不变甚至下降。通过模块化思想思考电信产业，我们会看到电信行业中的价值组成发生模块化变化：电信产业的社会经济价值将细分为设备供给价值模块；数据通道价值模块，即传统的网络传输，接入服务等；服务内涵价值模块，如话音、视频、游戏、教育等内容的服务；服务交付通道价值模块，如销售渠道、销售网站、直销队伍、营业网点等；收费通道价值模块，如收费网点、银行结算系统等；客户关系分析和开发价值模块，如新型市场的发现、用户价值挖掘、提高用户忠诚度强化品牌建设等。在这样的情况下，电信产业生态链的关系将发生变化。现在的与电信业紧密关联或将来有关的，如银行、娱乐、电视、游戏等企业都会成为数以百计的模块化公司群体中的一分子，每家公司的业务领域更窄了；收益和利润比传统行业要分散得多；但管理者需要了解的东西却更多了，要求其对行业有更本质的理解。没有哪种战略或行动方案总是行之有效的。如同下棋一样，能否走出好棋取决于布局、己方的实力及对手的情况如何。此时，关键模块的有者将是价值链的主导，网络服务商不再能控制市场，关键模块的控制者将变得举足轻重，甚至有权制定整个行业的游戏规则。公司的竞争将表现在两个方面：占据关键价值模块和制定对自己有利的模块互动规则。当机会出现时，模块控制者必须迅速行动以满足市场需要，然后在市场饱和前发展上一个新台阶。

综上所述，IP网络的应用处境两难，目前IP网络由于缺乏被广泛接受的业务管理和用户管理机制而仅能做为一个专用的、私有的、无管理的、应用免费或单个应用独立收费的网络使用。同时，由于IP网络良好的模块化的分层的技术体系优势而正在顺应业务融合的趋势向通信基础设施进化发展。如何通过模块化设计思想将智能卡、PKI、IP网以有机的相结合，为用户和运营商提供一种灵活的、互动的、可被产业广泛接受的用户身份管理和网络服务业务管理的方法及系统已经成为即待解决的问题。

发明内容

本发明的目的在于，提供一种基于IP网用户身份的多业务交换方法及系统，其通过统一用户业务身份并统一用户多种可被访问业务寻址方式的用户身份管理和网络服务业务管理，用以实现：(一)通过在线身份装置与实时多业务交换平台的结合，实现IP网络用户采用不同端到端通信方式和不同内容访问过程中的统一签权、授权、计费及用户多种可被访问业务的统一寻址。(二)用户身份和权限与计算设备分离的基于用户身份的安全移动通信；用户随身携带身份硬件，随时随地可借助与IP网络互通的计算设备实现双向通信。(三)IP网络其他用户发起通信请求时，其用户终端应用协议类型决定通信方式，实现在线身份装置用户可被访问业务的统一寻址；实现线身份装置用户可被访问业务自动交换与融合。(四)基于IP网络技术的用户与网络实现双向认证的用户身份权限与通讯终端分离开来的移动通信；将服务提供商对用户的认证签权、授权、计费由接入网络局端侧改变为用户终端侧与后台系统直接交互；通过本体系可清晰各应用服务商、网络商与用户之间的利益边界。

本发明的技术方案为：一种基于IP网用户身份的多业务交换方法，其将通信终端、多业务交换平台、网络服务提供端分别与IP网耦合，并采用一在线身份装置作为业务的发起方和接受方，采用一安全认证管理单元进行保密管理；

将用户信息分别存储在所述的在线身份装置和多业务交换平台中，将网络服务提供商信息存储在所述的多业务交换平台中，且所述的多业务交换平台与所述的安全认证管理单元耦合；

在进行多业务交换时：将所述的在线身份装置与一所述的通信终端耦合，所述的在线身份装置生成密钥、获取本地IP地址，并经该通信终端向所述的安全认证管理单元和多业务交换平台传送所述的密钥、本地IP地址、用户信息以及业务请求信息；

所述的多安全认证管理单元接收所述的在线身份装置传来的信息，并反馈认证后的密钥给所述的在线身份装置，使该在线身份装置与安全认证管理单元和多业务交换平台之间进行基于密钥的保密通信；

所述的安全认证管理单元和多业务交换平台对接收到的IP地址、用户信息和业务请求信息进行处理，并根据所述的业务请求信息使作为业务发起方和接受方的与在线身份装置耦合的通信终端与对应的网络服务提供端之间进行通信，该网络服务提供端向与所述在线身份装置耦合的通信终端提供其网络服务；从而实现统一用户业务身份和统一用户多种被访问业务寻址方式的多业务交换。

在线身份装置的生成和注册步骤如下：

通过安全认证管理单元的注册系统命令在线身份装置内随机生成一对PKI，私钥存储于在线身份装置内，将生成的PKI公钥上传给所述的安全认证管理单元；

所述的安全认证管理单元下传一个认证的公钥给所述的在线身份装置；

所述的安全认证管理单元将自身的寻址等特征信息、以及用户的关键特征信息、IP地址获取和发送单元、网络服务应用终端单元写入所述的在线身份装置中。

在线身份装置的认证和注册步骤如下：

当在线身份装置接入一通信终端时，该在线身份装置随机生成一对对称密钥；

利用在线身份装置中的公钥，并加密这个对称密钥；

所述的安全认证管理单元用私钥解出对称密钥；

在线身份装置和多业务交换平台采用对称密钥开始保密通讯，并于该在线身份装置中存入一个已经被认证的确认信息，此确认信息能够动态更新。

本发明方法还包括业务授权与计费的步骤：

当在线身份装置使用某种业务时，将以私钥加密所述的确认信息，并汇同用户信息向网络服务提供端提出业务请求；网络服务提供端使用与多业务交换平台耦合的安全认证管理单元中的用户公匙、用户信息、业务记录进行比较确认，决定是否授机业务；

业务许可后，网络服务提供端动态生成一对对称密匙，通过在线身份装置的不对称密匙下传存入用户的在线身份装置中，用于加密整个通讯过程；

业务进行时，在线身份装置、网络服务提供端和多业务交换平台三方分别生成业务开始和业务结束时间标记、以及业务特征信息，以用于计费和对账，并利用在线身份装置的PKI私钥对生成数字签名，保证业务使用信息的不可否认。

所述的用户信息至少包括用户身份信息；该用户身份信息可用任意长度的0至9的十个数字随意组合，且该用户身份信息与其不可否认的证书信息、业务属性值、动态IP地址相关联。

在多业务交换平台中载有多业务交换信息更新模块，该多业务交换信息更新模块负责接受更改用户身份对应的IP地址指向；在多业务交换平台中载有多业务交换模块用于统一在线身份卡用户所拥有的可被IP网络其他用户访问业务的寻址方法，该多业务交换模块负责统一接受IP网络其他用户通过通信终端以在线身份装置用户身份为地址提出的通讯请求，多业务交换模块根据请求所含的应用协议类型将请求翻译为权利要求1所述业务提供端所能识别的包含有在线身份卡用户被授权业务地址的服务指令，并返回给上述IP网络用户的通信终端，实现线身份装置用户被授权业务过程；相关业务的执行和逻辑仍由所述的通信服务端完成，多业务交换模块仅充当业务类型判定和重指向的任务。所述的多业务交换平台以动态关系型数据库的方式存储和解析数据，以使用户上线后得到与授权网络服务对应的一系列通信方式。

所述的动态关系型数据库包括以下用户业务数据结构：

order域：指定单次查询所得多个NAPTR记录必须遵循的处理顺序；

preference域：当order域相同时，指定多个NAPTR记录应当遵循的处理顺序；

service域：指定该记录对应的协议或业务；

flags域：包含影响下一次业务查询的记录，主要用于优化查询过程；

regexp域：用于重写规则，是NAPTR记录的核心；

replacement域：用于重写规则的域。

所述的安全认证管理单元包括：安全证书库，证书撤消、密钥备份和恢复、自动密钥更新、密钥文档管理、交叉认证、支持不可否认、时间戳等模块；

在线身份装置开通前台模块；

用户业务使用计费信息模块；

客户端软件/软件接口。

所述的在线身份装置为便携式装置。

所述的便携式装置可为载有通信接口的智能卡。

所述的通信终端包括：电话、手机、PDA、计算机、传真机、机顶盒、游戏机、互联网通讯家电等数字装置。

所述的在线身份装置通过所述的通信终端进行包括通信、娱乐、教育、个人金融、电子商务等在内的与互联网有关的所有业务过程。

本发明还提供了一种基于IP网用户身份的多业务交换系统，其中包括通信终端、多业务交换平台、网络服务提供端，还包括在线身份装置、安全认证管理单元；

所述的通信终端、多业务交换平台、网络服务提供端分别与IP网耦合，所述的在线身份装置与一所述的通信终端耦合，所述的安全认证管理单元与所述的多业务交换平台耦合；

所述的在线身份装置包含有微处理器、存储器、及通信接口，且该存储器为存储有用户信息、密钥信息、IP地址获取和发送单元、网络服务应用终端单元的存储器；

所述的多业务交换平台包含有主机和关系型数据库，且该关系型数据库为存储有用户信息、用户授权网络服务信息的动态关系型数据库；

将所述的在线身份装置与一所述的通信终端耦合，所述的在线身份装置能内部生成密钥、获取本地IP地址，并经该通信终端向所述的多业务交换平台传送所述的密钥、与之耦合通信终端的IP地址、用户信息以及业务请求信息；

所述的安全认证管理单元接收所述的在线身份装置传来的信息，并反馈认证后的密钥给所述的在线身份装置，使该在线身份装置与安全认证管理单元和多业务交换平台之间进行基于密钥的保密通信；

所述的多业务交换平台对接收到的IP地址、用户信息和业务请求信息进行处理，并根据所述的业务请求信息使作为业务发起方和接受方的在线身份装置与耦合的通信终端与对应的网络服务提供端之间进行通信，该网络服务提供端向与所述在线身份装置耦合的通信终端提供其网络服务。

所述的在线身份装置还包括生成和注册单元，以于该在线身份装置内随机生成一对PKI，私钥存储于在线身份装置内，并将生成的PKI公钥上传给所述的安全认证管理单元；所述的安全认证管理单元下传一个认证的公钥给所述的在线身份装置；所述的安全认证管理单元将自身的寻址等特征信息、以及用户的关键特征信息写入所述的在线身份装置中。

所述的在线身份装置还包括认证和注册单元，当在线身份装置接入一通信终端时，该认证和注册单元随机生成一对对称密钥；

利用认证和注册单元中的公钥，并加密这个对称密钥；

所述的安全认证管理单元用私钥解出对称密钥；

本发明的有益效果在于：

实现了用户身份和权限与通信终端设备分离的基于用户身份的安全移动通信；用户随身携带身份硬件，随时随地可借助与IP网络互通的计算设备实现双向通信。

用户终端应用协议类型决定通信方式，实现主叫选择或被叫自适应多媒体通信；体系通过判断发起业务的终端采有用的协议类型，将业务请求重新定向到与之相对应的业务服务系统；实现多业务自动交换与融合。基于IP网络技术的用户与网络实现双向认证的用户身份权限与通讯终端分离开来的移动通信；体系将服务提供商对用户的认证签权、授权、计费由接入网络局端侧改变为用户终端侧与后台系统直接交互；通过本体系可清晰各应用服务商与网络商之间的利益边界。

本系统加强了IP网络的用户身份和业务管理控制能力、使业务模块化，方便提供新业务、可将多种业务统一到一个用户身份上、及一个用户身份对应多种用户终端和业务。系统将根据业务发起方请求服务的用户终端类型，通过签权/认证、授权/业务开通、认费三个过程，由多业务交换体系自动实现端到端、端到中心通讯方式和类型的指定和业务提供系统的激活与记录。用户端通过不可否认安全技术、互联网通讯技术协议、交互式分布数据库技术与“多业务交换系统”直接交互实现鉴权、授权、计费和业务重定向功能的实现IP网络端到中心、端到端的、实时的、非实时的、内容访问和通讯的多媒体全业务服务技术工程体系；其核心特点是：

统一的联系方式：多种通讯方式和终端类型与人的身份绑定，省去了记忆多个联系方式的麻烦并且简化了通讯方式和内容服务方式；本系统的使用者的电话、网站、邮箱等通讯或记录系统可采用同一个地址。

位置无关性、时间无关性：互联网任何可达的地方，任何时间都可以进行双向通讯和内容访问。

多媒体联系方式：通过任何设备，如电话、手机、PDA、计算机、FAX、WEB、EMAIL等访问同一地址可获得被访问人的不同媒体方式的响应。

广泛可用通信终端方式：可以通过多种方式通讯和内容访问，如Voicemail、Email、Fax、IM、WEB页面(即时消息)等。

附图说明

图1为本发明系统的结构与联接框图；

图2为在线身份装置的结构框图；

图3为多业务交换平台的结构图。

具体实施方式

下面结合附图说明本发明的具体实施方式，

一种基于IP网络的统一用户业务身份并统一用户多种可被访问业务寻址方式的用户身份管理和网络服务业务管理的方法，将通信终端、多业务交换平台、网络服务提供端分别与IP网耦合，并采用一在线身份装置作为业务的选择和发起方，采用一安全认证管理单元进行保密管理；

在进行统一用户业务身份时：

将所述的在线身份装置与一所述的通信终端耦合，所述的在线身份装置生成密钥、获取本地IP地址，并经该通信终端向所述的安全认证管理单元和多业务交换平台传送所述的密钥、本地IP地址、用户信息；

所述的安全认证管理单元和多业务交换平台对接收到的IP地址、用户信息和业务请求信息进行处理，并根据所述的业务请求信息使作为业务发起方和接受方的与在线身份装置耦合的通信终端与对应的网络服务提供端之间进行通信，该网络服务提供端向与所述在线身份装置耦合的通信终端提供其网络服务。

如图1所示，本发明还提供了一种基于IP网络的统一用户业务身份并统一用户多种可被访问业务寻址方式的系统，其中包括通信终端、多业务交换平台(如图3所示)、网络服务提供端，还包括在线身份装置(如图2所示)、安全认证管理单元；其中的多业务交换平台可由多业务交换平台一级中心、多业务交换平台二级中心以及多业务交换平台三级中心互联构成；

所述的在线身份装置包含有微处理器、存储器、及通信接口，且该存储器为存储有用户信息、IP地址获取和发送单元的存储器；

所述的多业务交换平台包含有主机和关系型数据库，且该关系型数据库为存储有用户信息、网络服务提供商信息的动态关系型数据库；

将所述的在线身份装置与一所述的通信终端耦合，所述的在线身份装置生成密钥、获取本地IP地址，并经该通信终端向所述的安全认证管理单元和多业务交换平台传送所述的密钥、本地IP地址、用户信息以及业务请求信息；

用户端设备：在线身份装置

在线身份装置是可以放在衣袋中方便携带的个人信息安全解决方案。它是基于有计算、存储能力、通用计算机接口的硬件PKI解决方案；它采用的是非对称密码体制；加密密钥和解密密钥是有一定关系的，但却是完全不同的，以至于可以公开其中的一个，而完全不用担心任何人计算或推导出另一个(安全是基于计算的困难性讲的)；一般用私钥来指代那个没有公开的密钥，而不是用密钥，以避免同对称密码中的密钥产生混淆。我们通过PKI体制利用一个不可信的公共数据库，可以快速高效的建立陌生人之间的信任关系。该卡用于自主生成和存储不对称密匙和对称密匙、存储用户身份代码、计时、存储上传本地IP地址程序、以及加解密计算。

在线身份装置的生成与注册过程：

1)通过安全认证管理单元的注册系统命令在线身份装置内随机生成一对PKI，私钥存储于在线身份装置内，利用管理系统将在线身份装置中生成的PKI公钥上传给安全证书管理系统。

2)安全认证管理系统下传给在线身份装置一个认证机构的公钥。

3)安全认证机构将本机构的寻址等特征信息写入在线身份装置中。

4)安人认证机构将用户的关键特征信息、IP地址获取和发送单元、网络服务应用终端单元写入在线身份装置中。

在线身份装置的认证与用户注册过程：

1)当在线身份装置接入计算机设备时，利用身份卡随机生成一对对称密钥。

2)利用在线身份装置中的公钥，并加密这个对称密钥。

3)安全管理系统用私钥解出对称密钥。

4)用户和后台系统采用对称密钥开始保密通讯，此时利用存在在线身份装置的程序自动发送设备的IP地址和用户身份发送到多业务交换平台服务器端。服务器端接收到客户端请求后，更新用户身份与IP地址的对应关系，并更新与用户身份绑定的业务清单。

5)并在在线身份装置中存入一个已经被认证的确认信息，此信息以心跳的方式动态更新。

业务授权与计费过程：

1)当用户使用某种业务时，将以私钥加密上述的认证确认信息并汇同个人身份信息向业务提供方提出业务请求；业务提供方会使用“多业务交换系统“运营方的安全管理系统中的用户公匙、身份记录、业务记录进行比较确认，决定是否授机业务。

2)业务许可后，服务提供方动态生成一对对称密匙，通过在线身份装置的不对称密匙下传存入用户在线身份装置中；用于加密整个通讯过程。

3)提供服务时用户在线身份装置、业务提供方和多业务交换平台三方会分别生成开始和结束时间标记，以及业务特征信息；用于计费和对账，并利用在线身份装置中的PKI的私钥对生成数字签名，保证业务使用信息的不可否认。

网络侧系统：动态实时交互式多业务交换平台

用户的身份可以用任意长度的0到9的十个十进制数随意组合，并与其不可否认的证书信息、业务属性值、动态IP地址相关联；服务器端提供一套服务程序，负责接受客户端发送过来的地址并更改用户身份的IP地址指向。以动态关系数据库系统的方式存储和解析，以便于用户上线后由此得到与注册用户对应的一系列通信方式。用户业务数据结构，主要包括6部分内容，见表1：

表1

Order

Preference

Service

Flags

regexp

Replacement

在表1中：

order域：指定单次查询所得多个NAPTR记录必须遵循的处理顺序

preference域：当“order”域相同时，指定多个NAPTR记录应当遵循的处理顺序

service域：指定该记录对应的协议或业务

flags域：包含影响下一次业务查询的记录，主要用于优化查询过程

regexp域：该域用于重写规则，是NAPTR记录的核心

replacement域：用于重写规则的域。

下面说明的是其它人可以用户使用SIP电话终端、网页浏览器、电子邮件、普通模拟电话与一个号码为4689761234的用户通信。

$origin 4.3.2.1.6.7.9.8.6.4.yahe.com

10 10″u″ ″sip+E2U″ ″！^.*$！sip：sven@sips.se！″ .

10 10″u″ ″mailto+E2U″″！^.*$！mailto：sven@ispa.se！″ .

10 10″u″ ″http+E2U″ ″！^.*$！http：//svensson.ispa.se！″.

10 10″u″ ″tel+E2U ″ ″！^.*$！tel：+46-8-9761234 ！″ .

100 10″u″ ″ldap+E2U″ ″！^+46(.*)$！ldap：//ldap.se/cn＝01！″

系统结构：

安全认证管理系统：

安全证书库、证书撤消、密钥备份和恢复、自动密钥更新、密钥文档管理、交叉认证、支持不可否认、时间戳、客户端软件/软件接口；

卡身份开通前台系统；

用户业务使用计费信息中心。

本发明的价值所在是思想之变；利用该发明可以改变互联网络市场呼唤新的服务和内容，但是钱收不上来的难堪境遇；同时在成熟技术的基础上在IP网络上平滑提供多媒体业务；通过现实可行的技术改变互联网商业思维模式的技术基础；使互联网络应用从无经济意识的“自然生态”进入到理性的、系统的、有序的发展状态。

利用本发明可以给我们的通讯方式带来巨大的变革：不仅是新的用户体验，而且是工作效率和方便性的提高；当我们使用同一个地址用网页浏览器访问被联系者时看到的是他的网页，用邮件客户端发起联系时信息流向邮件服务器，用IP电话发起联系时接通的是对方的通信终端。下面以用户A的一天为例说明只要他有在线身份装置和一台公共的可上网的计算机它就可以随时随地的处理公务、通信、购物等。以下为用户A在使用本发明系统和没有使用本发明系统的对比，见表2。

表2

从上述实施例可以看出，本发明通过成熟技术创造性的为IP网络业务向可收费运营发展提供技术保障，为用户管理、内容和业务收费提供基础特征数据，明晰宽带IP网络和互联网络产业价值链的利益关系；并通过传统通讯与互联网业务以及未来新业务的一体化融合，为宽带互联网络发展提供业务动力。具体为：

一、实现实时、非实时多媒体融合互动型端到端通信；

二、实现多业务一单清服务，为广泛开展内容服务商合作提供技术保障：在线身份装置实现版权保护，为内容服务创造经济可行的健康环境；在线身份装置实现自动计费的游戏计费服务；在线身份装置实现企业应用计费服务；在线身份装置实现电子商务等交易和银行业务；在线身份装置实现业务漫游使用；实现电子政务。

本发明既是有关IP网络实现可管理性和提供一体化多业务融合的体系结构标准协议，又是工程实施的标准协议；它的创新可以概括为以下几点：

基于IP网络技术的，用户双向认证的移动通信；将用户的认证签权、授权、计费由网络接入处改变为用户终端与后台系统直接交互的移动通信实现机制。

用户终端类型决定的无缝自适应多媒体通信；通过判断发起业务的用户终端支持的IP网络应用协议类型，重新定向到相关的业务服务节点。

与计算设备分离的，基于用户身份的安全移动通信；用户随身携带身份硬件，随时随地可借助与IP网络互通的计算设备实现移动通信。

系统功能：

本系统加强了IP网络的业务管理控制能力、使业务模块化，方便提供新业务、可将多种业务统一到一个用户身份上、及一个用户身份对应多种用户终端和业务。系统将根据业务发起方请求服务的用户终端类型，通过签权/认证、授权/业务开通、认费三个过程，由多业务交换体系自动实现端到端、端到中心通讯方式和类型的指定和业务提供系统的激活与记录。

用户端通过不可否认安全技术、互联网通讯技术协议、交互式分布数据库技术与“多业务交换系统”直接交互实现鉴权、授权、计费和业务重定向功能的实现IP网络端到中心、端到端的、实时的、非实时的、内容访问和通讯的多媒体全业务服务技术工程体系；核心特点是：

统一的呼叫方式：

多种通讯方式和终端类型与人的身份绑定，省去了记忆多个联系方式的麻烦并且简化了通讯方式和内容服务方式。

设备无关性：

通过任何设备，如电话、手机、PDA、计算机、FAX、WEB、EMAIL等访问相同的内容和通讯。

媒体无关性：

可以通过各种媒体进行通讯和内容访问，如Voice mail、Email、Fax、IM、WEB页面(即时消息)等。

位置无关性、时间无关性：

互联网任何可达的地方，任何时间都可以进行通讯和内容访问。本发明属互联网络应用技术；其应用于通过计算机、机顶盒、游戏机、互联网通讯家电等数字产品进行通信、娱乐、教育、个人金融、电子商务的与互联网有关的所有业务过程。

多业务交换体系是利用动态实时关系型数据库技术、安全加密不可否认技术、计算机通用外设接口技术、TCP/IP、SIP、P2P、DNS等网络技术、和XML等软件技术协议设计成的一个最为简单明了的将用户的认证签权、授权、计费由接入网络处改变为用户终端与后台系统的直接交互；通过网络和用户的双向认证和对用户发起业务类型的判定和重指，使用户的IP网络业务使用做到一次认证、全网应用一张账单的基于IP网络的技术工程体系。

以上具体实施方式仅用于说明本发明，而非用于限定本发明。

Claims

1.一种基于IP网用户身份的多业务交换方法，其特征在于，将通信终端、多业务交换平台、网络服务提供端分别与IP网耦合，并采用一与通信终端耦合的在线身份装置作为业务的发起和接受方，采用一与多业务交换平台耦合的安全认证管理单元进行保密管理；

将用户信息分别存储在所述的在线身份装置、安全认证管理单元中；将与用户身份相关联的多种网络应用服务提供商提供的多种业务服务信息存储在所述的安全认证管理单元和多业务交换平台中；

在进行多业务交换时：

2.根据权利要求1所述的方法，其特征在于，在线身份装置的生成和注册步骤如下：

3.根据权利要求1所述的方法，其特征在于，在线身份装置的认证和注册步骤如下：

利用在线身份装置中的公钥，并加密这个对称密钥；

所述的安全认证管理单元用私钥解出对称密钥；

4.根据权利要求3所述的方法，其还包括业务授权与计费的步骤：

当与在线身份装置耦合的通信终端使用某种业务时，发起将以私钥加密所述的确认信息，并汇同用户信息向网络服务提供端提出业务请求；网络服务提供端使用与多业务交换平台耦合的安全认证管理单元中的用户公匙、用户信息、业务记录进行比较确认，决定是否授机业务；

业务进行时，在线身份装置、网络服务提供端和多业务交换平台三方分别生成业务开始和业务结束时间标记、以及业务特征信息，以用于计费和对帐，并利用在线身份装置的PKI私钥对生成数字签名，保证业务使用信息的不可否认。

5.根据权利要求1或4所述的方法，其特征在于，所述的用户信息至少包括用户身份信息；该用户身份信息可用任意长度的0至9的十个数字随意组合，且该用户身份信息与其不可否认的证书信息、业务属性值、动态IP地址相关联。

6.根据权利要求5所述的方法，其特征在于，在多业务交换平台中载有多业务交换信息更新模块，该多业务交换信息更新模块负责接受更新用户身份对应的IP地址指向；

在多业务交换平台中载有多业务交换模块用于统一在线身份装置用户所拥有的可被IP网络其他用户访问业务的寻址方法，该多业务交换模块负责统一接受IP网络其他用户通过通信终端以在线身份装置用户身份为地址提出的通讯请求，多业务交换模块根据请求所含的应用协议类型将请求翻译为所述的网络服务提供端所能识别的包含有在线身份装置用户被授权业务地址的服务指令，并返回给该IP网络用户的通信终端，实现在线身份装置用户被授权业务过程；相关业务的执行和逻辑仍由所述的网络服务提供端完成，多业务交换模块仅充当业务类型判定和重指向的任务；

所述的多业务交换平台以动态关系型数据库的方式存储和解析数据，以使用户上线后得到与授权网络服务对应的一系列通信方式。

7.根据权利要求6所述的方法，其特征在于，所述的动态关系型数据库包括以下用户业务数据结构：

service域：指定该记录对应的协议或业务；

regexp域：用于重写规则，是NAPTR记录的核心；

replacement域：用于重写规则的域。

8.根据权利要求1或4所述的方法，其特征在于，所述的安全认证管理单元包括：安全证书库，证书撤消、密钥备份和恢复、自动密钥更新、密钥文档管理、交叉认证、支持不可否认、时间戳等模块；

在线身份装置开通前台模块；

用户业务使用计费信息模块；

客户端软件/软件接口。

9.根据权利要求1或4所述的方法，其特征在于，所述的在线身份装置为便携式装置。

10.根据权利要求9所述的方法，其特征在于，所述的便携式装置可为载有通信接口的智能卡。

11.根据权利要求1或4所述的方法，其特征在于，所述的通信终端包括：电话、手机、PDA、计算机、传真机、机顶盒、游戏机、互联网通讯家电等数字装置。

12.根据权利要求11所述的方法，其特征在于，所述的在线身份装置通过所述的通信终端进行包括通信、娱乐、教育、个人金融、电子商务等在内的与互联网有关的所有业务过程。

13.一种基于IP网用户身份的多业务交换系统，统一用户业务身份并统一用户多种可被访问业务寻址的系统，其中包括通信终端、多业务交换平台、网络服务提供端，还包括在线身份装置、安全认证管理单元；

将所述的在线身份装置与一所述的通信终端耦合，所述的在线身份装置能内部生成密钥、获取与之耦合通信终端的IP地址，并经该通信终端向所述的多业务交换平台传送所述的密钥、本地IP地址、用户信息；

所述的多业安全认证管理单元和务交换平台对接收到的IP地址、用户信息和业务请求信息进行处理，并根据所述的业务请求信息使作为业务发起方和接受方的在线身份装置耦合的通信终端与对应的网络服务提供端之间进行通信，该网络服务提供端向与所述在线身份装置耦合的通信终端提供其网络服务；从而实现统一用户业务身份和统一用户多种被访问业务寻址方式的多业务交换。

14.根据权利要求13所述的系统，其特征在于，所述的在线身份装置还包括生成和注册单元，以于该在线身份装置内随机生成一对PKI，私钥存储于在线身份装置内，并将生成的PKI公钥上传给所述的安全认证管理单元；所述的安全认证管理单元下传一个认证的公钥给所述的在线身份装置；所述的安全认证管理单元将自身的寻址等特征信息、以及用户的关键特征信息写入所述的在线身份装置中。

15.根据权利要求13所述的系统，其特征在于，所述的在线身份装置还包括认证和注册单元，当在线身份装置接入一通信终端时，该认证和注册单元随机生成一对对称密钥；

利用认证和注册单元中的公钥，并加密这个对称密钥；

所述的安全认证管理单元用私钥解出对称密钥；

16.根据权利要求15所述的系统，其特征在于，所述的与在线身份装置耦合的通信终端为业务的发起端和接受端，其将以私钥加密所述的确认信息，并汇同用户信息向网络服务提供端提出业务请求；网络服务提供端使用与多业务交换平台耦合的安全认证管理单元中的用户公匙、用户信息、业务记录进行比较确认，决定是否授机业务；

17.根据权利要求13或16所述的系统，其特征在于，所述的用户信息至少包括用户身份信息；该用户身份信息可用任意长度的0至9的十个数字随意组合，且该用户身份信息与其不可否认的证书信息、业务属性值、动态IP地址相关联。

18.根据权利要求16所述的系统，其特征在于，在多业务交换平台中载有多业务交换信息更新模块，该多业务交换信息更新模块负责接受更新用户身份对应的IP地址指向；

在多业务交换平台中载有多业务交换模块用于统一在线身份卡用户所拥有的可被IP网络其他用户访问业务的寻址方法，该多业务交换模块负责统一接受IP网络其他用户通过通信终端以在线身份装置用户身份为地址提出的通讯请求，多业务交换模块根据请求所含的应用协议类型将请求翻译为所述网络服务提供端所能识别的包含有在线身份装置用户被授权业务地址的服务指令，并返回给上述IP网络用户的通信终端，实现在线身份装置用户被授权业务过程；

19.根据权利要求18所述的系统，其特征在于，所述的动态关系型数据库包括以下用户业务数据结构：

service域：指定该记录对应的协议或业务；

regexp域：用于重写规则，是NAPTR记录的核心；

replacement域：用于重写规则的域。

20.根据权利要求13或16所述的系统，其特征在于，所述的安全认证管理单元包括：安全证书库，证书撤消、密钥备份和恢复、自动密钥更新、密钥文档管理、交叉认证、支持不可否认、时间戳等模块；

在线身份装置开通前台模块；

用户业务使用计费信息模块；

客户端软件/软件接口。

21.根据权利要求13或16所述的系统，其特征在于，所述的在线身份装置为便携式装置。

22.根据权利要求21所述的系统，其特征在于，所述的便携式装置可为载有通信接口的智能卡。

23.根据权利要求13或16所述的系统，其特征在于，所述的通信终端包括：电话、手机、PDA、计算机、传真机、机顶盒、游戏机、互联网通讯家电等数字装置。