認證授權方法、伺服器及系統的製作方法
2023-06-16 04:26:21 6
專利名稱:認證授權方法、伺服器及系統的製作方法
技術領域:
本發明實施例涉及通信領域,尤其涉及一種認證授權方法、伺服器及系統。
背景技術:
隨著計算機網絡技術的發展,尤其是下一代網絡(Next Generation Networks NGN)以及基於IP多士某體子系統(IP Multimedia Subsystem IMS) 網絡融合技術的出現,大量的新的多々某體業務層出不窮,比如網際網路電視 (Internet Protocol Television IPTV),視頻點播(Video on demand ■) 以及多士某體會議等等,而且隨著電信網絡的開放,眾多的業務提供商,包括 第三方服務提供商(service provider,簡稱SP)和內^:供商(content provider,簡稱CP )加入到電信業務提供者的行列中來,這勢必對網絡安全 提出了新要求。
以往電信業務都是由運營商本身負責提供和實施運營,在此情況下,業 務種類相對較少,認證授權相對比較簡單,集中在用戶是否是籤約用戶以及 用戶是否籤約業務上,使用的安全認證信息太少,無法滿足更深一級的安全 需求。
如今,需要進行認證授權的內容大大增加,層面增多,而運營商的認證 授權系統M或者相關的信息如訂購關係缺失,難以完成統一的認證授權, 從而造成SP/CP欺詐行為時有發生,並引發用戶的大量投訴。
在增值業務領域,隨著市場細分、業務的地域化和個性化的突出,業務 和產品可能會針對一個特定的地域和用戶群,因此認證4受權變得更加複雜。於用戶的身份進行識別和確認,無法進行全面、有效的認證授權。
發明內容
本發明提供一種認證授權方法、伺服器及系統,用以解決增值業務中認 證授權內容缺失、無法進行全面有效的認證授權的問題,實現增值業務的全 面有效的i人證授權。
本發明提供了一種認證授權方法,包括
認證授權伺服器根據接收到的攜帶有用戶標識的認證授權請求對用戶、 用戶使用的業務、用戶的訂購關係和用戶訂購的產品進行-瞼證; 認證授權伺服器返回認證授權應答。 本發明提供了一種認證授權伺服器,包括
驗證才莫塊,用於根據接收到的攜帶有用戶標識的認證授權請求對用戶、 用戶使用的業務、用戶的訂購關係和用戶訂購的產品進行驗證; 應答才莫塊,用於返回認證授權應答。 本發明提供了 一種認證授權系統,包括
一個i人證授權觸發裝置,用於根據接收到的攜帶有用戶標識的業務請求 生成攜帶有用戶標識的認證授權請求,並發送所述認證授權請求;
一個或多個認證授權伺服器,用於根據接收到的認證授權請求對用戶、 用戶使用的業務、用戶的訂購關係和用戶訂購的產品進行驗證,並返回認證 授權應答。
本發明認證授權伺服器根據接收到的認證授權請求對用戶、用戶使用的 業務、用戶的訂購關係和訂購產品進行驗證,並將驗證結果通過認證授權應 答返回給認證授權觸發裝置。若驗證通過,則認證授權觸發裝置獲得授權, 即能夠向業務應用平臺轉發接收到的上行業務請求或向終端下發業務,實現 了增值業務的全面有效的認證授權。
圖1為本發明認證授權方法的第一實施例的流程示意圖2為本發明認證授權方法的第二實施例中方案1的流程示意圖3為本發明認證授權伺服器星狀連接的分布示意圖4為本發明認證授權方法的第二實施例中方案2的流程示意圖5為本發明認證授權伺服器網狀連接的分布示意圖6為本發明認證授權方法的第二實施例中方案3的流程示意圖7為本發明認證授權伺服器的第一實施例的結構示意圖8為本發明認證授權伺服器的第二實施例的結構示意圖9為本發明認證授權系統實施例的結構示意圖。
具體實施例方式
下面通過附圖和實施例,對本發明實施例的技術方案做進一步的詳細描述。
如圖1所示,為本發明認證授權方法的第一實施例的流程示意圖,本實 施例可以包括以下步驟
步驟101、認證授權伺服器根據接收到的攜帶有用戶標識的認證授權請 求對用戶、用戶使用的業務、用戶的訂購關係和用戶訂購的產品進行馬^i;
步驟102、認證授權伺服器返回認證授權應答,以供認證授權觸發裝置 向業務應用平臺轉發接收到的上行業務請求或向終端下發業務。
其中的認證授權伺服器可以採用集中式的,也可以採用分布式的。當只 有一個認證授權伺服器時,為集中式;當有多個認證授權伺服器時,為分布 式。採用分布式時,認證授權伺服器一般按地域設置,它們的連接是邏輯的, 它們之間在物理上也可以有其它的網元。
本實施例通過i^證授權伺服器對用戶、用戶使用的業務、用戶的訂購關係和用戶訂購的產品進行驗證,實現了增值業務的全面有效的認證授權。
如圖2所示,為本發明認iiM受權方法的第二實施例中方案1的流程示意 圖,本實施例中的認證授權伺服器屬於集中式的情況,本實施例可以包括以 下步驟
步驟201、終端向認證授權觸發裝置發送攜帶有用戶標識的用戶上行業 務請求;
步驟202、認證授權觸發裝置根據接收到的攜帶有用戶標識的用戶上行 業務請求,生成攜帶有用戶標識的認證授權請求,並將攜帶有用戶標識的認 證授權請求發送給認證授權伺服器;
步驟203、認證授權伺服器根據接收到的攜帶有用戶標識的認證授權請
求對用戶、用戶^f吏用的業務、用戶的訂購關係和用戶訂購的產品進行驗證; 本步驟具體可以為以下才喿作
認證授權伺服器判斷用戶是否合法,若是,則授權通過;否則,授權不 通過;
認證授權伺服器檢查用戶的狀態,若是正常,則判斷是否設置了系統級 黑名單或系統級白名單;若是正常以外的其他狀態,則授權不通過;
認證授權伺服器判斷是否設置了系統級黑名單或系統級白名單,若設置 了系統級黑名單,則檢查用戶是否在系統級黑名單中,若是,則授權不通過; 否則,授權通過;若設置了系統級白名單,則檢查用戶是否在系統級白名單 中,若是,則授權通過;否則,授權不通過;
認證授權伺服器判斷用戶請求的業務是否合法,若是,則授權通過;否 則,授權不通過;
認證授權伺服器檢查用戶請求的業務的狀態,若是正常,則授權通過; 若是正常以外的其他狀態,則授權不通過;
認證授權伺服器檢查用戶請求的業務面向的用戶範圍,如果用戶在業務 指定的用戶範圍內,則授權通過,否則,授權不通過;認證:授權伺服器判斷是否設置了業務級黑名單或業務級白名單,若設置
了業務級黑名單,則檢查用戶是否在業務級黑名單中,若是,則授權不通過; 否則,授權通過;若設置了業務級白名單,則檢查用戶是否在業務級白名單 中,若是,則授權通過;否則,授權不通過;
認證授權伺服器判斷業務提供商是否合法,若是,則授權通過;否則, 授權不通過;
認證授權伺服器檢查業務提供商的狀態,若是正常,則授權通過;若是 正常以外的其他狀態,則授權不通過;
認證授權伺服器判斷是否設置了業務提供商級黑名單或業務提供商級白 名單,若設置了業務提供商級黑名單,則檢查用戶是否在業務提供商級黑名 單中,若是,則授權不通過;否則,授權通過;若設置了業務提供商級白名 單,則檢查用戶是否在業務提供商級白名單中,若是,則授權通過;否則, 授權不通過;
認{正4受4又伺服器判斷是否存在訂購關係,若存在,則判斷訂購關係是否 有效,若有效,則授權通過;若無效,則授權不通過;若不存在訂購關係, 則判斷是否發起訂購請求,若是,則建立訂購關係,授權通過;
認證授權伺服器判斷用戶訂購的產品是否合法,若是,則授權通過;否 則,授權不通過;
認證授權伺服器檢查用戶訂購的產品的狀態,若是正常,則認證授權通 過。若是正常以外的其他狀態,則授權不通過;
步驟204、認證授權伺服器向認證授權觸發裝置返回認證授權應答;
步驟204具體為步驟203的所有驗證都通過,則返回認證授權通過應 答;若有任意一項不通過,則返回認證授權未通過應答;
步驟205、認證授權觸發裝置根據接收到的認證授權應答轉發攜帶有用 戶標識的用戶上行業務請求到業務應用平臺;
步驟205具體為認證授權觸發裝置判斷接收到的認證授權應答是否為認證授權通過應答,若是,則轉發攜帶有用戶標識的用戶上行業務請求到業
務應用平臺;否則,不轉發攜帶有用戶標識的用戶上行業務請求到業務應用 平臺;
步驟206、業務應用平臺根據接收到的攜帶有用戶標識的用戶上行業務 請求,生成攜帶有用戶標識的下行業務請求,並發送給認證授權觸發裝置;
步驟207、認證授權觸發裝置根據接收到的攜帶有用戶標識的下行業務 請求,生成攜帶有用戶標識的認證授權請求,並將認證授權請求發送給認證 授權伺服器;
步驟208、認證授權伺服器根據接收到的攜帶有用戶標識的認證授權請 求對用戶、用戶使用的業務、用戶的訂購關係和用戶訂購的產品進行lt汪; 步驟208具體為
認證授權伺服器判斷業務是否合法,若是,則授權通過;否則,授權不 通過;
認證授權伺服器檢查業務的狀態,若是正常,則授權通過;若是正常以 外的其他狀態,則授權不通過;
認證授權伺服器判斷是否設置了業務級黑名.單或業務級白名單,若設置 了業務級黑名單,則檢查用戶是否在業務級黑名單中,若是,則授權不通過; 否則,授權通過;若設置了業務級白名單,則檢查用戶是否在業務級白名單 中,若是,則授權通過;否則,授權不通過;
認證授權伺服器判斷業務提供商是否合法,若是,則授權通過;否則, 授權不通過;
認i正授權伺服器檢查業務提供商的狀態,若是正常,則授權通過;若是 正常以外的其他狀態,則授權不通過;
認證授權伺服器判斷是否設置了業務提供商級黑名單或業務提供商級白 名單,若i殳置了業務提供商級黑名單,則檢查用戶是否在業務提供商級黑名 單中,若是,則授權不通過;否則,授權通過;若設置了業務提供商級白名單,則檢查用戶是否在業務提供商級白名單中,若是,則授權通過;否則, 授權不通過;
認證授權伺服器判斷業務提供商是否籤約本次業務依賴的所有業務能 力,若是,則授權通過;否則,授權不通過;
認證授權伺服器檢查本次業務依賴的每一種業務能力籤約的狀態,若是 正常,則授權通過;若是正常以外的其他狀態,則授權不通過;
認證授權伺服器判斷用戶是否合法,若是,則授權通過;否則,授權不 通過;
認證授權伺服器檢查用戶的狀態,若是正常,則授權通過;若是正常以 外的其他狀態,則授權不通過;
認證授權伺服器判斷是否設置了系統級黑名單或系統級白名單,若設置 了系統級黑名單,則檢查用戶是否在系統級黑名單中,若是,則授權不通過; 否則,授權通過;若設置了系統級白名單,則檢查用戶是否在系統級白名單 中,若是,則授權通過;否則,授權不通過;
認證授權伺服器判斷是否存在訂購關係,若存在,則判斷訂購關係是否 有效,若有效,則授權通過;若無效,則授權不通過;若無訂購關係,則授 權不通過;
認證授權伺服器判斷用戶訂購的產品是否合法,若是,則授權通過;否 則,授權不通過;
認證授權伺服器檢查用戶訂購的產品的狀態,若是正常,則認證授權通 過;若是正常以外的其他狀態,則授權不通過;
步驟209、認^Mt權伺服器向認證授權觸發裝置發送認證授權應答;
步驟209具體為步驟208的所有驗證都通過,則返回認證授權通過應 答;若有任意一項不通過,-則返回認證授權未通過應答;
步驟210、認證授權觸發裝置判斷接收到的認證授權應答,若是認證授 權通過應答,則發送下行業務到終端,否則,不發送下行業務。本實施例認證授權伺服器根據接收到的攜帶有用戶標識的認證授權請求 對用戶、用戶4吏用的業務、用戶的訂購關係和用戶訂購的產品進行-驗證,在 集中式的情況下實現了增值業務的全面有效的認證授權。
分布式的認證授權伺服器可以為星狀連接,也可以為網狀連接,對於分 布式的伺服器,無論採用何種連接方式,對於外部系統而言,都是一個整體, 外部系統可以將認證授權請求發送到任何一個認證授權伺服器,並得到認證
授權的結果。星狀連接如圖3所示,包括一中心認證授權伺服器和其它認證 授權伺服器l、 2...N,中心認證授權伺服器與其它每個認證伺服器都相連接。
本實施例以認證授權伺服器在星狀分布式的情況下的認證授權方法為 例,如圖4所示,為本發明認證授權方法的第二實施例中方案2的流程示意 圖,對本發明的技術方案做進一步介紹。
本方案與方案1的區別在於,步驟202還包括
步驟4021、認證授權觸發裝置將攜帶有用戶標識的認證授權請求發送給 認證授權觸發裝置歸屬的認證授權伺服器;
步驟4022、認證授權觸發裝置歸屬的認證授權伺服器轉發攜帶有用戶標 識的認證授權請求到中心認證授權伺服器;
步驟4022具體為認證授權觸發裝置歸屬的認證授;^J良務器根據用戶標 識判斷用戶是否為自己的歸屬用戶,若是,則進行認證授權驗證,否則將接 收到的攜帶有用戶標識的認證授權請求轉發給中心認證授權伺服器;
步驟4023、中心認證授權伺服器將接收到的攜帶有用戶標識的認證授權 請求轉發給用戶歸屬的認證授權伺服器;
步驟4023具體為中心認證授權伺服器根據用戶標識判斷用戶是否為自 己的歸屬用戶,若是,則進行認證授權驗證,若不是則將接收到的攜帶有用 戶標識的認證授權請求轉發給用戶歸屬的認證授權伺服器,用戶歸屬的認證 授權伺服器中保存有認證授權的信息。
步驟403、用戶歸屬的認證授權伺服器根據接收到的攜帶有用戶標識的i/^正授;^又請求對用戶、用戶^f吏用的業務、用戶的訂購關係和用戶訂購的產品 進行驗證。
本方案與方案1的區別還在於,步驟204還包括
步驟4041、若用戶歸屬的認證授權伺服器與認證授權觸發裝置歸屬的認 證授權伺服器不同,則用戶歸屬的認證授權伺服器向中心認證授權伺服器發 送i人證授糹又應答;
步驟4042、中心認證授權伺服器將接收到的認證授權應答轉發給認證授 權觸發裝置歸屬的認證授權伺服器;
步驟4043、認證授權觸發裝置歸屬的認證授權伺服器向認證授權觸發裝 置發送認證授權應答。
本實施例通過中心認證伺服器轉發攜帶有用戶標識的認證授權請求到用 戶歸屬的認證授權伺服器,用戶歸屬的認證授權伺服器根據接收到的攜帶有 用戶標識的認證授4又請求對用戶、用戶使用的業務、用戶的訂購關係和用戶 訂購的產品進行驗證,在星狀互連的分布式情況下實現了增值業務的全面有 效的i人證授權。
認證授^U1務器的網狀連接如圖5所示,每兩個認證授權伺服器相互連接。
如圖6所示,為本發明iUiL授權方法的第二實施例中方案3的流程示意 圖,本實施例以認證授權伺服器在網狀分布式的情況下的認證授權方法為例, 對本發明的技術方案做進一步介紹。
本方案與方案l的區別在於,步驟202還包括
步驟6021、認證授權觸發裝置將攜帶有用戶標識的認證授權請求發送給 認證授權觸發裝置歸屬的認證授權伺服器;
步驟6022、認證授權觸發裝置歸屬的認證授權伺服器將接收到的攜帶有 用戶標識的認證授權請求轉發給用戶歸屬的認證授權伺服器;
步,《6022具體為認證授權觸發裝置歸屬的認證授權伺服器根據用戶標識判斷用戶是否為 自己的歸屬用戶,若是,則進行認證授權驗證,若不是,將接收到的攜帶有 用戶標識的認證授權請求轉發給用戶歸屬的認證授權伺服器,用戶歸屬的認 證授權伺服器中保存有認證授權的所有信息。
步驟603、用戶歸屬的認證授權伺服器根據接收到的攜帶有用戶標識的 i人i正授權請求對用戶、用戶使用的業務、用戶的訂購關係和用戶訂購的產品 進行驗證。
本方案與方案1的區別還在於,步驟204還包括
步驟6041、若用戶歸屬的認證授權伺服器與認證授權觸發裝置歸屬的認 證授權伺服器不同,則用戶歸屬的認證授權伺服器向認證授權觸發裝置歸屬 的認證授權伺服器發送授權應答;
步驟6042、認證授權觸發裝置歸屬的認證授權伺服器向認證授權觸發裝 置發送認證授權應答。
本實施例通過認證授權觸發裝置歸屬的認證伺服器轉發攜帶有用戶標識 的認證授權請求到用戶歸屬的認證授權伺服器,用戶歸屬的認證授權伺服器 根據接收到的攜帶有用戶標識的認證授權請求對用戶、用戶使用的業務、用 戶的訂購關係和用戶訂購的產品進行-瞼證,在網狀互連的分布式情況下實現 了增值業務的全面有效的認證授權。
上迷實施例為一個用戶上行和一個業務下行認證授權,通常一次完整的 業務流禾呈包括一次或多次用戶上行和業務下行,從而引發多次認證授權。可 以在業務引發的第一次認證授權通過時,認證授權伺服器生成一個唯一的令 牌(Token),最終傳遞給業務應用平臺。此後,在由該次業務流程引發的所 有後續認證授權請求中都攜帶此令牌,認證授權伺服器通過對該令牌進行認 證,減少重複認iiMt權內容的lH正,提升效率。
如圖7所示,為本發明認^4受權伺服器第一實施例的結構示意圖,具體 包括驗證模塊71和應答模塊72。 !^正模塊71用於根據接收到的攜帶有用戶標識的i人證授權請求對用戶、用戶使用的業務、用戶的訂購關係和用戶訂
購的產品進行驗證;應答模塊72用於返回認ijMt權應答,以供向業務應用平 臺轉發接收到的上行業務請求或向終端下發業務。
本實施例的驗ii4莫塊71還包括第一驗證單元711、第二驗證單元712、 第三驗ri正單元713和第四驗證單元714。第一驗證單元711用於對用戶的合 法性、用戶的狀態進行驗ii;第二驗證單元712用於對業務的合法性、業務 的狀態、業務面向的用戶範圍、業務提供商的合法性、業務提供商的狀態、 業務使用的業務能力進行l^正;第三驗證單元713用於對用戶的訂購關係進 行驗證;第四驗證單元714用於對用戶訂購的產品的合法性和產品的狀態進 行驗證。
本實施例通過驗證模塊根據接收到的攜帶有用戶標識的認證授權請求對 用戶、用戶4吏用的業務、用戶的訂購關係和用戶訂購的產品進行驗證,發送 模塊返回認證授權應答,系統全面地完成認ii^t權。
如圖8所示,為本發明認證授權伺服器第二實施例的結構示意圖,與上 一實施例相比,本實施例還可以包括判斷模塊83、觸發模塊84、轉發模塊 86和令牌生成模塊85。判斷模塊83用於根據認證授權請求中所攜帶的用戶 標識判斷用戶是否歸屬於本認證授權伺服器;觸發模塊84用於判斷模塊83 判斷用戶歸屬於本認證授權伺服器後,觸發驗證模塊71對用戶、用戶使用的 業務、用戶的訂購關係和用戶訂購的產品進行驗證;轉發模塊86用於判斷模 塊83判斷用戶不歸屬於本認 權伺服器後,向用戶歸屬的認證授權伺服器 轉發認i!4t權請求;令牌生成模塊85用於生成一令牌,並向業務應用平臺傳 遞所述令牌。
本實施例通過判斷模塊判斷用戶是否為歸屬於本認證授權伺服器,觸發 模塊觸發驗證模塊根據接收到的攜帶有用戶標識的認證授權請求對用戶、用 戶4吏用的業務、用戶的訂購關係和用戶訂購的產品進行-驗證,系統全面地完 成認證授權。如圖9所示,為本發明認證授權系統實施例的結構示意圖,其中包括 一個認證授權觸發裝置91 ,用於根據接收到的攜帶有用戶標識的業務請求生 成攜帶有用戶標識的認證授權請求,並發送所述認證授權請求; 一個或多個 認證授權伺服器92,用於根據接收到的認證授權請求對用戶、用戶使用的業 務、用戶的訂購關係和用戶訂購的產品進行-^S正,並返回認證授權應答。—一 個或多個認證授;^J良務器92可以為圖7和圖8所示的本發明認證授權伺服器 第 一 實施例和第二實施例中任一認證授權伺服器。
本實施例通過認證授權伺服器對上行業務請求、以及下行業務請求進行 了全面認j正授權,從而實現了增值業務的安全有效的管理。
最後應說明的是以上實施例僅用以說明本發明的技術方案,而非對其 限制;儘管參照前述實施例對本發明進行了詳細的說明,本領域的普通技術 人員應當理解其依然可以對前述各實施例所記載的技術方案進行修改,或
者對其中部分技術特徵進行等同替換;而這些修改或者替換,並不使相應技 術方案的本質脫離本發明各實施例技術方案的精神和範圍。
權利要求
1、一種認證授權方法,其特徵在於包括認證授權伺服器根據接收到的攜帶有用戶標識的認證授權請求對用戶、用戶使用的業務、用戶的訂購關係和用戶訂購的產品進行驗證;認證授權伺服器返回認證授權應答。
2、 豐艮據權利要求1所述的認證授權方法,其特徵在於還包括認證授 權觸發裝置向認證授權伺服器發送認證授權請求。
3、 牛艮據權利要求2所述的認證授權方法,其特徵在於在所述認證授權 觸發裝置向認證授權伺服器發送認證授權請求之前還包括終端向所述認證 授權觸發裝置發送用戶上行業務請求或業務應用平臺向所述認證授權觸發裝 置發送下行業務請求。
4、 根據權利要求3所述的認證授權方法,其特徵在於還包括認證授 權觸發裝置根據接收到的認證授權應答,轉發所述上行業務請求或下行業務 請求。
5、 牛艮據權利要求2至4任一權利要求所述的認證授權方法,其特徵在 於所述認i正授權觸發裝置向認證授權伺服器發送認證授權請求具體為認證 授權觸發裝置向所述認證授權觸發裝置歸屬的認證授權伺服器發送認證授權 請求。
6、 豐艮據權利要求5所述的認證授權方法,其特徵在於所述方法還包括 所述認證:l受權觸發裝置歸屬的認證授權伺服器根據所述認證授權請求中所攜 帶的用戶標識判斷所述用戶是否歸屬於所述認證授權伺服器,如果是,則對 用戶、用戶使用的業務、用戶的訂購關係和用戶訂購的產品進行驗證;否則, 則向所述用戶歸屬的認證授權伺服器轉發所述認證授權請求。
7、 才艮據權利要求6所述的認證授權方法,其特徵在於所述方法還包括 所述用戶歸屬的認證授權伺服器預先存儲歸屬用戶的認證授權信息。
8、 根據權利要求1所述的認證授權方法,其特徵在於所述對用戶進行驗證包括對用戶的合法性、用戶的狀態進行驗證。
9、 根據權利要求8所述的認證授權方法,其特徵在於所述對用戶進行 驗證還包括若設置了系統級黑名單或系統級白名單,則對所述系統級黑名 單或所述系統級白名單進行驗證。
10、 根據權利要求1所述的認證授權方法,其特徵在於所述對用戶使用 的業務進行驗證包括對業務的合法性、業務的狀態、業務面向的用戶範圍、 業務提供商的合法性、業務提供商的狀態、業務使用的業務能力進行驗證。
11 、才艮據權利要求10所述的認證授權方法,其特徵在於所述對用戶使 用的業務進行驗證還包括若設置了業務級黑名單或白名單,則對所述業務 級黑名單或所述業務級白名單進行驗證。
12、 根據權利要求10或11所述的認證授權方法,其特徵在於所述對用 戶使用的業務進行驗證還包括若設置了業務提供商級黑名單或白名單,則 對所述業務提供商級黑名單或所述業務提供商級白名單進行驗證。
13、 根據權利要求1所述的認證授權方法,其特徵在於所述方法還包 括所述認證授權請求中還攜帶有令牌,以供所述認證授權伺服器進行驗證。
14、 根振權利要求13所述的認證授權方法,其特徵在於所述方法還包 括所述認證授權伺服器生成一令牌,並向所述業務應用平臺傳遞所述令牌。
15、 根據權利要求1所述的認證授權方法,其特徵在於所述對用戶訂購 的產品進行驗證包括對產品的合法性、產品的狀態進行一瞼證。
16、 一種認iiM受權伺服器,其特徵在於包括驗證模塊,用於根據接收到的攜帶有用戶標識的認證授權請求對用戶、 用戶^f吏用的業務、用戶的訂購關係和用戶訂購的產品進4亍-驗證; 應答模塊,用於返回認證授權應答。
17、 根據權利要求16所述的認iiL授權伺服器,其特徵在於所述驗證模 塊包括第一驗證單元,用於對用戶的合法性、用戶的狀態進行驗證;第二驗證單元,用於對業務的合法性、業務的狀態、業務面向的用戶範 圍、業務提供商的合法性、業務提供商的狀態、業務使用的業務能力進行驗證;第三一驗證單元,用於對用戶的訂購關係進行-瞼證; 第四驗證單元,用於對用戶訂購的產品的合法性和產品的狀態進行驗證。
18、 根據權利要求16所述的認證授權伺服器,其特徵在於還包括 判斷模塊,用於根據所述認證授權請求中所攜帶的用戶標識判斷所述用戶是否歸屬於所述認證授權伺服器;觸發衝莫塊,用於所述判斷模塊判斷所述用戶歸屬於所述認證授權伺服器,則觸發所述驗證模塊對用戶、用戶使用的業務、用戶的訂購關係和用戶訂購的產品進4於驗證;轉發^f莫塊,用於所述判斷模塊判斷所迷用戶不歸屬於所述認證授權服務 器,則向所述用戶歸屬的認證授權伺服器轉發所述認證授權請求。
19 、 根據權利要求16至18任一權利要求所述的認證授權伺服器,其特 徵在於所述認證授權伺服器還包括令牌生成模塊,用於生成一令牌,並向 業務應用平臺傳遞所述令牌。
20、 一種認iiL^權系統,其特徵在於包括-.一個i人證授權觸發裝置,用於根據接收到的攜帶有用戶標識的業務請求 生成攜帶有用戶標識的認證授權請求,並發送所述認證授權請求;一個或多個認證授權伺服器,用於根據接收到的認證授權請求對用戶、 用戶^f吏用的業務、用戶的訂購關係和用戶訂購的產品進行驗證,並返回認證 授權應答。
21、 根據權利要求20所述的認證授權系統,其特徵在於所述認證授權 伺服器包括驗iJM莫塊,用於根據接收到的攜帶有用戶標識的認證授權請求對用戶、 用戶使用的業務、用戶的訂購關係和用戶訂購的產品進行驗證;應答坤莫塊,用於返回認證授權應答。
22、 根據權利要求21所述的認證授權系統,其特徵在於所述驗證模塊包括第一驗證單元,用於對用戶的合法性、用戶的狀態進行驗證;第二一驗證單元,用於對業務的合法性、業務的狀態、業務面向的用戶範圍、業務提供商的合法性、業務提供商的狀態、業務使用的業務能力進行驗證;第三馬全證單元,用於對用戶的訂購關係進行驗證;第四驗證單元,用於對用戶訂購的產品的合法性和產品的狀態進行驗證。
23、 根據權利要求20所述的認證授權系統,其特徵在於所述認證授權觸發裝置還用於向所述認證授權觸發裝置歸屬的認證授權伺服器發送認證授權請求。
24、 根據權利要求23所述的認證授權系統,其特徵在於所述認證授權伺服器還包括判斷坤莫塊,用於根據所述認i正授權請求中所攜帶的用戶標識判斷所述用戶是否歸屬於所述認證授權伺服器;觸發模塊,用於所述判斷模塊判斷所述用戶歸屬於所述認證授權伺服器,則觸發所述驗證模塊對用戶、用戶使用的業務、用戶的訂購關係和用戶訂購的產品進行驗證;轉發模塊,用於所述判斷模塊判斷所述用戶不歸屬於所述認證授權伺服器,則向所述用戶歸屬的認證授權伺服器轉發所述認證授權請求。
25、 根據4又利要求24所述的認證授權系統,其特徵在於所述認證授權伺服器還包括存儲模塊,用於預先存儲歸屬用戶的認證授權信息。
26、 才艮據權利要求20至25任一權利要求所述的認證授權系統,其特徵在於所述認證授權伺服器還包括令牌生成模塊,用於生成一令牌,並向業務應用平臺傳遞所述令牌。
全文摘要
本發明涉及一種認證授權方法、伺服器及系統,該方法包括認證授權伺服器根據接收到的攜帶有用戶標識的認證授權請求對用戶、用戶使用的業務、用戶的訂購關係和用戶訂購的產品進行驗證;認證授權伺服器返回認證授權應答,以供向業務應用平臺轉發接收到的上行業務請求或向終端下發業務,實現了增值業務的全面有效的認證授權。
文檔編號H04L9/32GK101478405SQ20091007789
公開日2009年7月8日 申請日期2009年2月2日 優先權日2009年2月2日
發明者唐雄燕, 潘海鵬, 蓉 王, 王志軍, 胡尼亞, 麗 馬 申請人:中國網絡通信集團公司