WO2011144081A2

WO2011144081A2 - 用户业务鉴权方法、系统及服务器

Info

Publication number: WO2011144081A2
Application number: PCT/CN2011/074662
Authority: WO
Inventors: 郑洪伟
Original assignee: 华为技术有限公司
Priority date: 2011-05-25
Filing date: 2011-05-25
Publication date: 2011-11-24
Also published as: WO2011144081A3; CN102217280B; CN102217280A

Description

用户业务鉴权方法、系统及服务器

技术领域

本发明涉及通信技术领域，特别涉及用户业务鉴权方法、系统及服务器。背景技术

跨网络业务是基于不同网络技术的综合业务，比如基于电信网和互联网技术的网络业务，实际应用中在网络协议多媒体子系统（ IP Multimedia Subsystem, IMS ) 网络中提供的即时通信（IMPS )业务，或呼叫（CALL )业务；又如在电信网络系统中提供的社会性网络服务（ Social Networking Services, SNS )或网盘业务等。

用户终端在接入网络并请求跨网络业务的过程中，需要由网络中的业务服务器对该用户进行业务鉴权，现有的一种用户业务鉴权方法是由跨网络系统中一种网络的业务服务器对该用户进行业务鉴权，而修改其它网络的部件来适应这种网络业务服务器的鉴权方式。

比如：一般情况下，互联网系统中的用户业务鉴权是通过单点登录（Single Sign On, SSO ) 方式完成鉴权，当在互联网系统中增加电信业务时，需要修改电信网络的部件以适应互联网络的鉴权方式；而电信网络系统中是在核心网侧的归属位置寄存器（ Home Subscriber Server, HSS ) 完成用户业务鉴权，如果在 IMS业务系统上增加一个 SNS应用，则必须修改原有 SNS的部件以适应 IMS业务的鉴权方式，即需要 SNS设备支持 IMS系统相关的协议。

现有跨网络的用户业务鉴权方法中，只进行一种网络的用户业务鉴权，且为了完成跨网络业务的用户业务鉴权而修改网络部件时，会因具体协议和鉴权方式的不同而不同，使得跨网络业务的用户业务鉴权方式实现复杂。

发明内容

本发明实施例提供用户业务鉴权方法、系统及服务器，筒化了跨网络业务的用户业务鉴权实现方式，且增强了可靠性。

本发明实施例提供一种用户业务鉴权方法，包括：

接收客户端发送的请求接入跨网络业务的用户接入请求，所述用户接入请求中包含用户标识；

获取所述用户标识在跨网络系统中各个网络对应的鉴权信息；将获取的所述各个网络的鉴权信息发送给所述客户端，以便所述客户端根据所述鉴权信息向所述跨网络系统中的网络业务服务器发起用户业务鉴权过程。

本发明实施例提供一种服务器，包括：

请求接收单元，用于接收客户端发送的请求接入跨网络业务的用户接入请求，所述用户接入请求中包含用户标识；

鉴权获取单元，用于获取所述请求接收单元接收的用户接入请求中的用户标识在跨网络系统中各个网络对应的鉴权信息；

鉴权发送单元，用于将所述鉴权获取单元获得的各个网络的鉴权信息发送给所述客户端，以便所述客户端根据所述鉴权信息向所述跨网络系统中的网络业务服务器发起用户业务鉴权过程。

本发明实施例提供一种客户端，包括：

请求发送单元，用于发送请求接入跨网络业务的用户接入请求给跨网络系统中的业务鉴权服务器，所述用户接入请求中包含用户标识；

鉴权接收单元，用于接收所述业务鉴权服务器获取的所述用户标识在跨网络系统中各个网络对应的鉴权信息；

鉴权发起单元，用于根据所述鉴权接收单元接收的鉴权信息向所述跨网络系统中的网络业务服务器发起用户业务鉴权过程。

本发明实施例还提供一种用户业务鉴权系统，包括客户端、业务鉴权服务器和至少两个网络业务服务器，其中：

所述客户端包括：

请求发送单元，用于发送请求接入跨网络业务的用户接入请求给跨网络系统中的业务鉴权服务器，所述用户接入请求中包含用户标识；鉴权接收单元，用于接收所述业务鉴权服务器获取的所述用户标识在跨网络系统中各个网络对应的鉴权信息；鉴权发起单元，用于根据所述鉴权接收单元接收的鉴权信息向所述跨网络系统中的网络业务服务器发起用户业务鉴权过程；

所述业务鉴权服务器包括：

请求接收单元，用于接收客户端发送的请求接入跨网络业务的用户接入请求，所述用户接入请求中包含用户标识；鉴权获取单元，用于获取所述请求接收单元接收的用户接入请求中的用户标识在跨网络系统中各个网络对应的鉴权信息；鉴权发送单元，用于将所述鉴权获取单元获得的各个网络的鉴权信息发送给所述客户端，以便所述客户端根据所述鉴权信息向所述跨网络系统中的网络业务服务器发起用户业务鉴权过程；

所述网络业务服务器，用于在所述客户端发起用户业务鉴权过程时对用户业务进行鉴权。

本发明实施例主要是在系统中增加了业务鉴权服务器，当业务鉴权服务器接收到客户端发送的请求接入跨网络业务的用户接入请求，在用户接入请求中包含用户标识，分别获取该用户标识在跨网络系统中各个网络对应的鉴权信息；并将获取的各个网络的鉴权响应中包含的鉴权信息发送给客户端，以便客户端发起用户业务鉴权过程。这样通过在系统中增加业务鉴权服务器分别获得用户标识在跨网络系统中各个网络对应的鉴权信息，从而分别完成各个网络的鉴权过程，而不需要修改网络部件来适应其中一种网络的用户业务鉴权方式，筒化了跨网络业务的用户业务鉴权实现方式；且本实施例中客户端可以向跨网络系统中的每个网络业务服务器发起用户业务鉴权过程，而不是只进行一种网络的用户业务鉴权，增强了可靠性。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作筒单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图 1是本发明实施例提供的用户业务鉴权系统的结构示意图；

图 2是本发明实施例提供的用户业务鉴权方法的流程图；

图 3是本发明一个具体应用实施例提供的用户业务鉴权方法的流程图；图 4是本发明实施例提供的一种服务器的结构示意图；

图 5是本发明实施例提供的另一种服务器的结构示意图；

图 6是本发明实施例提供的一种客户端的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明实施例提供一种用户业务鉴权方法，本实施例的方法适用于如图 1 所示的跨网络系统中，该系统包括客户端、业务鉴权服务器和至少两个网络业务服务器，本实施例的方法是业务鉴权服务器所执行的方法，方法流程图如图 2所示，包括：

101 , 接收客户端发送的请求接入跨网络业务的用户接入请求，用户接入请求中包含用户标识；

本实施例的流程可以由用户通过任一客户端发起的，具体地，可以通过个人计算机（ Personal Computer, PC )或移动终端等终端上的浏览器或移动终端软件系统来向业务鉴权服务器发送用户接入请求，该用户接入请求用来请求接入跨网络业务，比如 IMS系统中的 SNS业务等。

可以理解，在用户接入请求中可以包含用户的用户标识，即用来唯一标识用户的标识信息，可以是用户账号或用户身份证号等信息。

102 , 获取该用户标识在跨网络系统中各个网络对应的鉴权信息；业务鉴权服务器在接收到用户接入请求后，需要对该用户进行业务鉴权，由于该用户接入请求所请求的是跨网络业务，即基于多种网络技术的业务，业务鉴权服务器则需要先获取该用户标识对应的每个网络的鉴权信息。

这里的鉴权信息是客户端向跨网络系统中每个网络发起用户业务鉴权时候所使用的信息，比如在跨网络系统中互联网的鉴权中心进行鉴权时使用的 SSO码等信息；电信网络的 HSS服务器进行鉴权时使用的电信业务账户和密码等信息。具体地，鉴权信息是可以包括用户在订阅该网络系统中业务时，在业务服务器中储存的账户和密码信息，鉴权信息还可以包括用户设置参数信息和该网络业务服务器的能力信息等，比如在电信网络的 HSS服务器中储存有用户在订阅电信业务时，在 HSS服务器中储存的电信业务账户和密码，还可以包括用户设置信息等其它信息。

在获取鉴权信息时，可以由业务鉴权服务器向跨网络系统的各个网络业务服务器获取，也可以由业务鉴权服务器生成，还可以通过其它的方法获取，具体的获取过程并不能造成对本发明的限制。这里网络业务服务器 ^^于各个网络技术而进行相应业务操作的服务器，能对用户业务进行鉴权，比如基于电信网络技术的 HSS服务器；基于互联网技术的鉴权中心，如认证鉴权 ( Authentication Authorization , ΑΑ )月^务器等。

103,将步骤 102中获取的各个网络的鉴权信息发送给客户端，以便所述客户端根据鉴权信息向跨网络系统中网络业务服务器发起用户业务鉴权过程。

当业务鉴权服务器获取了各个网络的鉴权信息后，可以将这些鉴权信息发送给客户端，具体地，业务鉴权服务器可以将各个网络的鉴权信息组装成可扩展标记语言 ( Extensible Markup Language, XML )或数据交换格式 ( JavaScript Object Notation, JSON )的消息体，进行加密后发送给客户端，具体可以采用对称加密算法等方式进行加密。

可以理解，业务鉴权服务器发送给客户端的鉴权信息中，对于电信网络来说，可以包括电信业务账户和密码，及电信网络的 HSS服务器地址信息，还可以包括用户设置参数信息和电信网络的 HSS服务器的能力信息等；对于互联网络来说，可以包括 SSO码，还可以包括其他票据信息，比如发出票据的领域名、票据的有效期和票据的开始时间等。

当客户端接收到鉴权信息后，可以根据各个网络的鉴权信息相应地向各个网络业务服务器发起用户业务鉴权过程。具体地，客户端可以根据鉴权信息中电信网络的 HSS服务器地址信息，将电信业务账户和密码等信息通过注册请求发送给 HSS服务器； HSS服务器则对注册请求中包含的鉴权信息进行验证，从而完成用户业务鉴权过程，并可以向客户端返回注册结果，且在注册结果中可以包含用户业务鉴权的结果。

客户端可以将鉴权信息中互联网络的 SSO码携带在向互联网络的业务服务器的访问消息中，发送给互联网络的网络业务服务器；由该互联网络的网络业务服务器对访问消息中的 SSO码进行验证，或由该网络业务服务器将该 SSO 码发送鉴权中心进行验证，并可以向客户端返回鉴权结果。

可见，本发明实施例主要是在系统中增加了业务鉴权服务器，当业务鉴权服务器接收到客户端发送的请求接入跨网络业务的用户接入请求，且在用户接入请求中包含用户标识的；分别获取该用户设备在跨网络系统中各个网络对应的鉴权信息；并将获取的各个网络的鉴权信息发送给客户端，以便客户端分别发起各个网络的用户业务鉴权过程。这样通过在系统中增加业务鉴权服务器分别获得跨网络系统中各个网络的鉴权信息，从而分别完成各个网络的鉴权过程，而不需要修改网络部件来适应其中一种网络的用户业务鉴权方式，筒化了跨网络业务的用户业务鉴权实现方式；且本实施例中客户端可以向跨网络系统中的每个网络业务服务器发起用户业务鉴权过程，而不是只进行一种网络的用户业务鉴权，增强了可靠性。

在一个具体的实施例中，业务鉴权服务器在执行上述步骤 102时，可以通过如下的步骤进行获取：

A: 分别向跨网络系统中各个网络的网络业务服务器发送鉴权请求，在鉴权请求中包含用户标识；

B: 当接收某个网络的网络业务服务器根据鉴权请求返回的鉴权响应时，解析鉴权响应得到用户标识在相应的某个网络对应的鉴权信息。

可以理解，具体地：

( 1 )有些网络业务服务器储存有用户标识对应的鉴权信息，这里鉴权信息是可以包括用户在订阅该网络系统中业务时，在业务服务器中储存的账户和密码信息，鉴权信息还可以包括用户设置参数信息和该网络业务服务器的能力信息等，比如在电信网络的 HSS服务器中储存有用户在订阅电信业务时，在 HSS服务器中储存的电信业务账户和密码，还可以包括用户设置信息等其它信息。这种情况下，业务鉴权月良务器获取用户标识在该网络中的鉴权信息时，可以发送鉴权请求到电信网络的 HSS服务器，在鉴权请求中包含用户标识；当电信网络的 HSS服务器接收到鉴权请求后，在本地存储中提取在电信网络中该用户标识对应的鉴权信息，并通过鉴权响应返回给业务鉴权服务器。

( 2 )有些网络业务服务器没有储存鉴权信息，当这些网络业务服务器接收到鉴权请求后，会生成用户标识对应的鉴权信息，比如互联网的鉴权中心生成用户标识对应的 SSO码和其它票据信息等；并在鉴权响应中携带鉴权信息返回给业务鉴权服务器，这里鉴权响应中携带的鉴权信息可以包括网络业务服务器为该用户标识生成的票据码，还可以包括该网络业务月良务器的能力信息等。这种情况下，业务鉴权服务器在获取鉴权信息时，可以发送鉴权请求到互联网络的鉴权中心，在鉴权请求中包含用户标识；当互联网络的鉴权中心接收到鉴权请求后，生成互联网络的该用户标识对应的鉴权信息，并通过鉴权响应返回给业务鉴权服务器。

( 3 )需要说明的是，在其它情况下，跨网络系统中没有上述所说的生成和储存鉴权信息的网络业务服务器，在获取鉴权信息时，可以由业务鉴权服务器生成该用户标识对应的鉴权信息。比如，在跨网络系统中没有统一的互联网的鉴权中心，则在获取鉴权信息时，可以由业务鉴权服务器为该用户标识生成 SSO码等信息，具体生成过程与鉴权中心生成 SSO码的过程一致，在此不进行赘述。

这种情况下，业务鉴权服务器生成 SSO码并发送给客户端后，当客户端向网络业务服务器发送包含该 SSO码的访问消息，且在访问消息中还包含用户标识等信息，则网络业务服务器接收到该访问请求，可以根据访问请求中包含的用户标识来鉴权该 SSO码，比如先^^据用户标识生成一个 SSO码，然后再将该生成的 SSO码与访问请求中的 SSO码进行比较来进行验证。

在另一个具体的实施例中，在业务鉴权服务器接收到客户端的用户接入请求后，可以先对用户进行认证，在认证通过后才执行步骤 102。具体地认证方法有多种，比如密钥认证方法和密码匹配的方法等，其中需要用到的用户认证信息可以在本地查找。例如：如果用户接入请求中包含用户标识和用户密码，则业务鉴权服务器在进行用户的认证时，需要确定本地存储中有用户标识，并将用户密码与本地存储中用户标识对应的认证密码进行匹配，如果相匹配，则用户认证通过，否则用户认证没有通过。

需要说明的是，这里的认证是指客户端连接到业务鉴权服务器时，业务鉴权服务器对该用户的认证，和前述的用户请求跨网络业务时的鉴权是不同的。

参考图 3所示，以下以一个具体的应用实施例来说明用户业务鉴权的方法，本实施例中用户请求的跨网络业务是在 IMS系统中增加的 SNS业务，则用户业务鉴权的方法具体包括：

201 , 用户通过客户端连接到业务鉴权服务器，由客户端发送用户接入请求，请求接入在 IMS系统中增加的 SNS业务，在用户接入请求中包含该用户的用户标识和用户密码。 202、业务鉴权服务器接收到用户接入请求，进行用户认证，如果认证通过，则执行步骤 203, 如果认证未通过，则结束流程。

在具体的认证过程中，如果本地存储中有用户接入请求中的用户标识，则将用户接入请求中的用户密码与本地存储中用户标识对应的认证密码进行匹配，如果相匹配，则用户认证通过。

203、业务鉴权服务器分别向 IMS网络业务服务器（可以为 HSS服务器）和互联网网络业务服务器（可以为互联网的鉴权中心 )发送鉴权请求，请求获取用户标识在相应网络中对应的鉴权信息，在鉴权请求中可以包含该用户的用户标识等信息。

204、 IMS网络业务服务器接收到鉴权请求，在本地存储中查找到鉴权请求中用户标识对应的鉴权信息，如 IMS账户和密码等，并通过鉴权响应将鉴权信息返回给业务鉴权服务器，在鉴权响应中还可以包含用户在 IMS网络中的设置参数和该 IMS网络业务服务器的能力参数信息等信息。

而互联网络业务服务器接收到鉴权请求，随机生成鉴权请求中用户标识对应的 SSO码作为鉴权信息，并通过鉴权响应将鉴权信息返回给业务鉴权服务器，在鉴权响应中还包括包含在生成 SSO码过程中生成的票据信息，该互联网络业务服务器的能力参数信息和用户在互联网络中的设置参数等信息。

205、业务鉴权服务器将 IMS网络业务服务器的地址信息，及从 IMS网络业务服务器获取到的鉴权信息（IMS账户和密码），和从互联网络业务服务器获取的鉴权信息（SSO码）发送给客户端，具体地，可以将 IMS网络业务服务器的地址信息，及从 IMS网络业务服务器获取到的 IMS账户和密码，和 SSO码组装成发送给客户端的消息的消息体发送给客户端。可以理解，业务服务器还可以将 IMS和互联网络业务服务的能力参数信息和用户设置参数等信息发送给客户端，这样客户端就可以进行相应业务的访问。

206、客户端接收到业务鉴权服务器发送的鉴权信息后，根据 IMS网络业务服务器的地址信息，向该 IMS网络业务服务器发送注册请求，在该注册请求中包含 IMS账户信息和密码。

207、 IMS网络业务服务器接收到注册请求后，对注册请求中的鉴权信息 ( IMS账户信息和密码）进行验证，并返回注册结果给客户端。 208、客户端将 SSO码携带在访问消息中，将该访问消息发送给互联网络业务服务器。

209、互联网络业务服务器接收到访问消息后，对访问消息中的鉴权信息 ( SSO码）进行验证，并返回验证结果给客户端。在对 SSO码进行验证时，互联网络业务服务器可以本地验证，也可以将 SSO码发送给第三方进行验证，比如发送给鉴权中心进行验证。

上述步骤 206到 208 , 与步骤 209之间并没有绝对的顺序关系，即可以先发起互联网络的鉴权过程，也可以同时发起电信网络和互联网络的鉴权过程。

本发明实施例提供的一种服务器，本实施例的服务器是业务鉴权服务器，结构示意图如图 4所示，包括：

请求接收单元 10,用于接收客户端发送的请求接入跨网络业务的用户接入请求，所述用户接入请求中包含用户标识；

鉴权获取单元 20,用于获取请求接收单元 10接收的用户接入请求中的用户标识在跨网络系统中各个网络对应的鉴权信息；

鉴权发送单元 30,用于将所述鉴权获取单元 20获得的各个网络的鉴权信息发送给所述客户端，以便所述客户端根据所述鉴权信息向所述跨网络系统中的网络业务服务器发起用户业务鉴权过程。

本发明实施例的服务器中，当请求接收单元 10接收到客户端发送的请求接入跨网络业务的用户接入请求，该用户接入请求中包含用户标识，则鉴权获取单元 20获取该用户标识在跨网络系统中各个网络对应的鉴权信息；并由鉴权发送单元 30将各个网络的鉴权信息发送给客户端，以便客户端发分别发起各个网络的用户业务鉴权过程。这样通过在系统中增加业务鉴权服务器获取用户标识在跨网络中各个网络对应的鉴权信息，从而分别完成各个网络的鉴权过程，而不需要修改网络部件来适应其中一种网络的用户业务鉴权方式，筒化了跨网络业务的用户业务鉴权实现方式；且本实施例中的服务器可以向跨网络系统中的每个网络业务服务器发起用户业务鉴权过程，而不是只进行一种网络的用户业务鉴权，增强了可靠性。

参考图 5所示，在一个具体的实施例中，本发明实施例的服务器还可以包括认证单元 40, 且鉴权获取单元 20可以通过鉴权请求发送单元 120和鉴权响应接收单元 220来实现，其中：

认证单元 40, 用于当所述请求接收单元 10接收到用户接入请求，对所述用户进行认证，在认证通过后，通知所述鉴权获取单元 20获取鉴权信息。

认证单元 40的认证是客户端接入业务鉴权服务器时，该业务鉴权服务器对该用户的认证，具体地，当请求接收单元 10接收的用户接入请求中包含用户的用户标识和用户密码，确定本地存储有所述用户标识时，将用户密码与本地存储中用户标识对应的认证密码进行匹配，如果相匹配，则所述用户认证通过。

鉴权请求发送单元 120, 用于分别向所述跨网络系统中各个网络的网络业务服务器发送鉴权请求，所述鉴权请求中包含所述用户标识；

鉴权响应接收单元 220, 用于当接收某个网络的网络业务服务器根据所述鉴权请求返回的鉴权响应时，解析所述鉴权响应得到所述用户标识在所述某个网络对应的鉴权信息。

如果跨网络系统是基于互联网和电信网络的系统，则鉴权请求发送单元 120可以分别向电信网络的归属位置寄存服务器 HSS和互联网络的鉴权中心发送鉴权请求；且鉴权响应接收单元 220解析得到的用户标识对应的鉴权信息可以分别包括：电信业务账户、密码和所述 HSS服务器的地址信息，及 SSO码。

且服务器的鉴权获取单元 20还可以包括：信息生成单元 320, 用于生成所述用户标识对应的 SSO码，则所述跨网络系统中互联网的鉴权信息包括所述 SSO码。

可以理解，在本实施例中，鉴权获取单元 20在获取鉴权信息时，可以通过鉴权请求发送单元 120发送鉴权请求，且其中包含请求接收单元 10接收的用户接入请求中的用户标识；当鉴权响应接收单元 220接收到鉴权响应后，解析鉴权响应则获取了鉴权信息，并由鉴权发送单元 30将鉴权响应接收单元 220解析得到的鉴权信息发送给客户端。

而对于跨网络系统中的互联网的鉴权信息的获取，如果在跨网络系统中没有统一的互联网的鉴权中心，则鉴权获取单元 20在获取鉴权信息时，可以通过信息生成单元 320为该用户标识随机生成 SSO码，并由鉴权发送单元 30将信息生成单元 320解析得到的鉴权信息发送给客户端。

本发明实施例提供的一种客户端，结构示意图如图 6所示，包括：请求发送单元 60,用于发送请求接入跨网络业务的用户接入请求给跨网络系统中的业务鉴权服务器，所述用户接入请求中包含用户标识；

鉴权接收单元 70,用于接收所述业务鉴权服务器获取的所述用户标识在跨网络系统中各个网络对应的鉴权信息；

鉴权发起单元 80,用于根据所述鉴权接收单元 70接收的鉴权信息向所述跨网络系统中的网络业务服务器发起用户业务鉴权过程。

如果跨网络系统是基于互联网和电信网络的系统，则鉴权接收单元 20接收的电信网络的鉴权信息可以包括电信业务账户、密码和 HSS服务器的地址信息；而互联网络的鉴权信息可以包括 SSO码。鉴权信息还可以包括用户设置参数和各个网络部件的能力信息等。

则鉴权发起单元 80可以根据 HSS服务器的地址信息，将电信业务账户和密码通过注册请求发送相应的 HSS服务器进行验证；而将 SSO码携带在向互联网络的业务服务器的访问消息中，发送给互联网络的业务服务器进行验证。

本发明实施例还提供一种用户业务鉴权系统，结构示意图如图 1所示，包括客户端、业务鉴权服务器和至少两个网络业务服务器，其中：客户端如图 6 所示的客户端，业务鉴权服务器如图 4或 5所述的服务器；网络业务服务器，用于在所述客户端发起用户业务鉴权过程时对用户业务进行鉴权。

本实施例中的用户业务鉴权系统按照图 2和 3所示执行用户业务鉴权方法，在此不进行赘述。

本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成，该程序可以存储于一计算机可读存储介质中，存储介质可以包括：只读存储器（ ROM )、随机存取存储器（ RAM )、磁盘或光盘等。

以上对本发明实施例所提供的用户业务鉴权方法、系统及服务器，进行了详细介绍，本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。

Claims

权利要求

1、一种用户业务鉴权方法，其特征在于，包括：

获取所述用户标识在跨网络系统中各个网络对应的鉴权信息；

将获取的所述各个网络的鉴权信息发送给所述客户端，以便所述客户端根据所述鉴权信息向所述跨网络系统中的网络业务服务器发起用户业务鉴权过程。

2、如权利要求 1所述的方法，其特征在于，所述获取跨网络系统中各个网络的鉴权信息具体包括：

分别向所述跨网络系统中各个网络的网络业务服务器发送鉴权请求，所述鉴权请求中包含所述用户标识；

当接收到某个网络的网络业务服务器根据所述鉴权请求返回的鉴权响应时，解析所述鉴权响应得到所述用户标识在所述某个网络对应的鉴权信息。

3、如权利要求 2所述的方法，其特征在于，分别向所述跨网络系统中各个网络的网络业务服务器发送鉴权请求具体包括：分别向电信网络的归属位置寄存服务器 HSS及互联网络的鉴权中心发送鉴权请求；

则当接收到某个网络的网络业务服务器根据所述鉴权请求返回的鉴权响应时，解析所述鉴权响应得到所述用户标识在所述某个网络对应的鉴权信息包括：

当接收到电信网络的 HSS返回的鉴权响应时，解析所述 HSS返回的鉴权响应获得电信业务账户、密码和所述 HSS服务器的地址信息；

和 /或

当接收到互联网络的鉴权中心返回的鉴权响应时，解析所述互联网络的鉴权中心返回的鉴权响应获得单点登录 SSO码。

4、如权利要求 3所述的方法，其特征在于，所述客户端根据所述鉴权信息向所述跨网络系统中的网络业务服务器发起用户业务鉴权过程，具体包括：所述客户端根据所述 HSS服务器的地址信息，将所述电信业务账户和密码通过注册请求发送至所述 HSS服务器进行验证；和 /或

所述客户端将所述 SSO码携带在向互联网络的业务服务器的访问消息中，发送给所述互联网络的业务服务器进行验证。

5、如权利要求 1所述的方法，其特征在于，所述跨网络系统中的一个网络为互联网络；

所述获取所述用户标识在跨网络系统中各个网络对应的鉴权信息具体包括：生成所述用户标识在互联网络对应的 SSO码。

6、如权利要求 1至 5任一项所述的方法，其特征在于，所述接收客户端发送的请求接入跨网络业务的用户接入请求后还包括：

对所述用户进行认证，在认证通过后，执行所述获取所述用户标识在跨网络系统中各个网络对应的鉴权信息的步骤。

7、如权利要求 6所述的方法，其特征在于，所述用户接入请求中包含所述用户的用户标识和用户密码，则所述对所述用户进行认证具体包括：

确定本地存储有所述用户标识时，将所述用户密码与本地存储中所述用户标识对应的认证密码进行匹配，如果相匹配，则所述用户认证通过。

8、一种服务器，其特征在于，包括：

9、如权利要求 8所述的服务器，其特征在于，所述鉴权获取单元包括：鉴权请求发送单元，用于分别向所述跨网络系统中各个网络的网络业务服务器发送鉴权请求，所述鉴权请求中包含所述用户标识；

鉴权响应接收单元，用于当接收某个网络的网络业务服务器根据所述鉴权请求返回的鉴权响应时，解析所述鉴权响应得到所述用户标识在所述某个网络对应的鉴权信息。

10、如权利要求 9所述的服务器，其特征在于，所述鉴权获取单元还包括：信息生成单元，用于在所述跨网络系统中的一个网络为互联网络时，生成所述用户标识在互联网络对应的单点登录 SSO码，所述跨网络系统中互联网络的鉴权信息包括所述 SSO码。

11、如权利要求 8至 10任一项所述的服务器，其特征在于，还包括：认证单元，用于当所述请求接收单元接收到用户接入请求，对所述用户进行认证，在认证通过后，通知所述鉴权获取单元获取鉴权信息。

12、如权利要求 11所述的服务器，其特征在于，所述认证单元，具体用于当所述请求接收单元接收的用户接入请求中包含所述用户的用户标识和用户密码，确定本地存储有所述用户标识时，将所述用户密码与本地存储中所述用户标识对应的认证密码进行匹配，如果相匹配，则所述用户认证通过。

13、一种客户端，其特征在于，包括：

14、一种用户业务鉴权系统，其特征在于，包括客户端、业务鉴权服务器和至少两个网络业务服务器，其中：

所述客户端如权利要求 13所述的客户端；

所述业务鉴权服务器如权利要求 8到 12任一项所述的服务器；