一種基於ip網用戶身份的多業務交換方法及系統的製作方法

2023-10-05 21:04:14 2

專利名稱：一種基於ip網用戶身份的多業務交換方法及系統的製作方法
技術領域：
本發明屬於網際網路應用技術，其特別涉及IP(Internet protocol)網與公共密鑰體系(PKIPublic Key Infrastructure)相結合的對多種業務使用實現統一鑑權、統一授權、統一計費的融合用戶多種可被訪問業務統一尋址的多業務交換技術，具體的講是一種基於IP網用戶身份的多業務交換方法及系統。
背景技術：
網際網路(Internet)的出現對信息化的普及和發展起到了巨大的推動作用。現在的IP網就是基於傳統的網際網路理念，完全依靠網絡用戶的自律來進行自由發展的網絡。目前許多人，包括IP領域的部分專家均有這樣的觀點，IP網絡不可運營即IP網絡上除接入費外的服務收費，還沒有一種消費者普遍接授的用戶身份管理和網絡業務管理機制實現服務應用收費，如果將IP網絡用於一般開放的、免費的通信服務應用是很好的，但是如果將其用於加載重要的業務數據或承載重要的商用業務則存在用戶身份管理、業務使用管理、安全性和可信性的擔憂。因此，現有電信業務網沒有用公眾IP網來承載，甚至大型企業網的業務數據都沒有加載到企業公用IP網上。現有的電信級的IP網只是簡單的照搬Internet理念的IP網，雖然Internet運營商其儘可能的向用戶提供一個自由方便的工作平臺，但是除去為了維持網絡的生存而收取的網絡接入費和為此而進行的用戶鑑權等管理外，Internet運營商很難進行其它管理，這便導致了IP網絡應用產業發展的不確定性。因此，IP網運營者必須考慮網絡的安全性和可信任性以及網絡之上用戶身份的管理和業務使用管理等問題，才能使IP網真正發揮其功效。
智慧卡與公共密鑰體系(PKI)的使用為IP網運營的安全性、可信任性和可管理性等問題帶來了解決方案。PKI技術和智慧卡之間的關係在於私有密鑰以及第三方認證機構所頒發的數字證書的存儲可以在極為安全的智慧卡上實現。然而，現有技術中的智慧卡、PKI、IP網的結合僅為一種簡單的結合，每個智慧卡均對應著固定的網絡，且功能僅為身份識別。這種狀況是一種網絡識別用戶的狀況，其特點是用戶只能使用固定的智慧卡在對應的固定的網絡上基於身份識別獲得網絡服務。這種狀況的缺陷在於無法實現用戶識別網絡，即用戶可以使用其智慧卡自由的選擇網絡服務，且該智慧卡的作用不僅僅是身份識別，而是包括用戶端與控制平臺之間的互動、多種業務交換等功能。
傳統電信網絡與IP網絡的分層模塊化結構不同，它採用高度互聯的設計思想構建而成，即提供的業務與網絡是硬性綁定在一起的；系統的擴展能力、增值服務能力、不同系統的互聯能力都被局限。傳統電信網絡提供多種業務只能通過不同網絡的互通來實現，整個系統不得不成為一系列的信息孤島的互聯；對於增值業務的開發、運營成本的控制都要基於專用的系統、專門的廠商；無法經濟的開發新業務，無法快速響應市場。因此，它只能處於高沉默成本、高業務擴展邊際成本、低市場效率的重壓之下。進一步講，傳統電信企業在追求核心競爭力的強化的過程中，使得與高度集成化的傳統電信技術體制所帶來的高邊際成本的新業務風險達到最大化；抵禦風險的能力也降到了最低，這些都是目前所有電信企業無能為力的發展之痛。IP網絡模塊化思想的價值在IT界已經成為一個直白的道理。一提起計算機，人們自然就會想起英特爾的晶片、微軟的作業系統，這兩家公司提供的是PC的兩個關鍵模塊，Wintel聯合起來主宰了PC時代；一提起網絡，人們自然就會想起思科的路由器、Sun的伺服器、EMC的存儲器和Oracle的資料庫，它們提供的是信息數位化的關鍵模塊，有了它們的存在，才有了成千上萬家網絡系統集成公司的蓬勃發展。模塊化思想在電信技術上的應用就是模塊化設計，即採用分層的通過共同遵守的接口溝通相對獨立的功能子集來搭建功能系統的設計思想。採用模塊化思想設計的電信網絡所提供的服務將與網絡無關，即在不同的網絡上可以提供相同的業務，在相同的網絡上可提供不同的服務。模塊化不僅用於電信網絡設計中，在電信業務的使用上也是如此。模塊化允許消費者組裝不同的服務以得到適合自己口味和需要的最終服務，從而能夠鼓勵設計的創新。模塊化為電信設施帶來了高擴展性和多元化業務、業務的自成長性；以及同一網絡對不同區域採用不同的通信技術進行覆蓋。當電信服務企業擁有主幹網的時候，不同的服務項目都是通過同一張網絡來傳遞，所以提供的服務項目內容越豐富、種類越多，盈利就越好。出於贏利目的，網絡的擁有者必將盡力提供更多的新服務。而且，所有的通信方式底層技術完全一樣，這對系統擴展、增值業務的普及、運營成本的降低有著明顯的利益。可以非常好的實現高邊際收益。藉助於模塊化思想在電信行業內的廣泛應用，電信企業的服務能力將迅速增加，成本卻保持不變甚至下降。通過模塊化思想思考電信產業，我們會看到電信行業中的價值組成發生模塊化變化電信產業的社會經濟價值將細分為設備供給價值模塊；數據通道價值模塊，即傳統的網絡傳輸，接入服務等；服務內涵價值模塊，如話音、視頻、遊戲、教育等內容的服務；服務交付通道價值模塊，如銷售渠道、銷售網站、直銷隊伍、營業網點等；收費通道價值模塊，如收費網點、銀行結算系統等；客戶關係分析和開發價值模塊，如新型市場的發現、用戶價值挖掘、提高用戶忠誠度強化品牌建設等。在這樣的情況下，電信產業生態鏈的關係將發生變化。現在的與電信業緊密關聯或將來有關的，如銀行、娛樂、電視、遊戲等企業都會成為數以百計的模塊化公司群體中的一分子，每家公司的業務領域更窄了；收益和利潤比傳統行業要分散得多；但管理者需要了解的東西卻更多了，要求其對行業有更本質的理解。沒有哪種戰略或行動方案總是行之有效的。如同下棋一樣，能否走出好棋取決於布局、己方的實力及對手的情況如何。此時，關鍵模塊的有者將是價值鏈的主導，網絡服務商不再能控制市場，關鍵模塊的控制者將變得舉足輕重，甚至有權制定整個行業的遊戲規則。公司的競爭將表現在兩個方面佔據關鍵價值模塊和制定對自己有利的模塊互動規則。當機會出現時，模塊控制者必須迅速行動以滿足市場需要，然後在市場飽和前發展上一個新臺階。
綜上所述，IP網絡的應用處境兩難，目前IP網絡由於缺乏被廣泛接受的業務管理和用戶管理機制而僅能做為一個專用的、私有的、無管理的、應用免費或單個應用獨立收費的網絡使用。同時，由於IP網絡良好的模塊化的分層的技術體系優勢而正在順應業務融合的趨勢向通信基礎設施進化發展。如何通過模塊化設計思想將智慧卡、PKI、IP網以有機的相結合，為用戶和運營商提供一種靈活的、互動的、可被產業廣泛接受的用戶身份管理和網絡服務業務管理的方法及系統已經成為即待解決的問題。

發明內容
本發明的目的在於，提供一種基於IP網用戶身份的多業務交換方法及系統，其通過統一用戶業務身份並統一用戶多種可被訪問業務尋址方式的用戶身份管理和網絡服務業務管理，用以實現(一)通過在線身份裝置與實時多業務交換平臺的結合，實現IP網絡用戶採用不同端到端通信方式和不同內容訪問過程中的統一籤權、授權、計費及用戶多種可被訪問業務的統一尋址。(二)用戶身份和權限與計算設備分離的基於用戶身份的安全移動通信；用戶隨身攜帶身份硬體，隨時隨地可藉助與IP網絡互通的計算設備實現雙向通信。(三)IP網絡其他用戶發起通信請求時，其用戶終端應用協議類型決定通信方式，實現在線身份裝置用戶可被訪問業務的統一尋址；實現線身份裝置用戶可被訪問業務自動交換與融合。(四)基於IP網絡技術的用戶與網絡實現雙向認證的用戶身份權限與通訊終端分離開來的移動通信；將服務提供商對用戶的認證籤權、授權、計費由接入網絡局端側改變為用戶終端側與後臺系統直接交互；通過本體系可清晰各應用服務商、網絡商與用戶之間的利益邊界。
本發明的技術方案為一種基於IP網用戶身份的多業務交換方法，其將通信終端、多業務交換平臺、網絡服務提供端分別與IP網耦合，並採用一在線身份裝置作為業務的發起方和接受方，採用一安全認證管理單元進行保密管理；將用戶信息分別存儲在所述的在線身份裝置和多業務交換平臺中，將網絡服務提供商信息存儲在所述的多業務交換平臺中，且所述的多業務交換平臺與所述的安全認證管理單元耦合；在進行多業務交換時將所述的在線身份裝置與一所述的通信終端耦合，所述的在線身份裝置生成密鑰、獲取本地IP位址，並經該通信終端向所述的安全認證管理單元和多業務交換平臺傳送所述的密鑰、本地IP位址、用戶信息以及業務請求信息；所述的多安全認證管理單元接收所述的在線身份裝置傳來的信息，並反饋認證後的密鑰給所述的在線身份裝置，使該在線身份裝置與安全認證管理單元和多業務交換平臺之間進行基於密鑰的保密通信；所述的安全認證管理單元和多業務交換平臺對接收到的IP位址、用戶信息和業務請求信息進行處理，並根據所述的業務請求信息使作為業務發起方和接受方的與在線身份裝置耦合的通信終端與對應的網絡服務提供端之間進行通信，該網絡服務提供端向與所述在線身份裝置耦合的通信終端提供其網絡服務；從而實現統一用戶業務身份和統一用戶多種被訪問業務尋址方式的多業務交換。
在線身份裝置的生成和註冊步驟如下通過安全認證管理單元的註冊系統命令在線身份裝置內隨機生成一對PKI，私鑰存儲於在線身份裝置內，將生成的PKI公鑰上傳給所述的安全認證管理單元；所述的安全認證管理單元下傳一個認證的公鑰給所述的在線身份裝置；所述的安全認證管理單元將自身的尋址等特徵信息、以及用戶的關鍵特徵信息、IP位址獲取和發送單元、網絡服務應用終端單元寫入所述的在線身份裝置中。
在線身份裝置的認證和註冊步驟如下當在線身份裝置接入一通信終端時，該在線身份裝置隨機生成一對對稱密鑰；利用在線身份裝置中的公鑰，並加密這個對稱密鑰；所述的安全認證管理單元用私鑰解出對稱密鑰；在線身份裝置和多業務交換平臺採用對稱密鑰開始保密通訊，並於該在線身份裝置中存入一個已經被認證的確認信息，此確認信息能夠動態更新。
本發明方法還包括業務授權與計費的步驟當在線身份裝置使用某種業務時，將以私鑰加密所述的確認信息，並匯同用戶信息向網絡服務提供端提出業務請求；網絡服務提供端使用與多業務交換平臺耦合的安全認證管理單元中的用戶公匙、用戶信息、業務記錄進行比較確認，決定是否授機業務；業務許可後，網絡服務提供端動態生成一對對稱密匙，通過在線身份裝置的不對稱密匙下傳存入用戶的在線身份裝置中，用於加密整個通訊過程；業務進行時，在線身份裝置、網絡服務提供端和多業務交換平臺三方分別生成業務開始和業務結束時間標記、以及業務特徵信息，以用於計費和對帳，並利用在線身份裝置的PKI私鑰對生成數字籤名，保證業務使用信息的不可否認。
所述的用戶信息至少包括用戶身份信息；該用戶身份信息可用任意長度的0至9的十個數字隨意組合，且該用戶身份信息與其不可否認的證書信息、業務屬性值、動態IP位址相關聯。
在多業務交換平臺中載有多業務交換信息更新模塊，該多業務交換信息更新模塊負責接受更改用戶身份對應的IP位址指向；在多業務交換平臺中載有多業務交換模塊用於統一在線身份卡用戶所擁有的可被IP網絡其他用戶訪問業務的尋址方法，該多業務交換模塊負責統一接受IP網絡其他用戶通過通信終端以在線身份裝置用戶身份為地址提出的通訊請求，多業務交換模塊根據請求所含的應用協議類型將請求翻譯為權利要求1所述業務提供端所能識別的包含有在線身份卡用戶被授權業務地址的服務指令，並返回給上述IP網絡用戶的通信終端，實現線身份裝置用戶被授權業務過程；相關業務的執行和邏輯仍由所述的通信服務端完成，多業務交換模塊僅充當業務類型判定和重指向的任務。所述的多業務交換平臺以動態關係型資料庫的方式存儲和解析數據，以使用戶上線後得到與授權網絡服務對應的一系列通信方式。
所述的動態關係型資料庫包括以下用戶業務數據結構order域指定單次查詢所得多個NAPTR記錄必須遵循的處理順序；preference域當order域相同時，指定多個NAPTR記錄應當遵循的處理順序；service域指定該記錄對應的協議或業務；flags域包含影響下一次業務查詢的記錄，主要用於優化查詢過程；regexp域用於重寫規則，是NAPTR記錄的核心；replacement域用於重寫規則的域。
所述的安全認證管理單元包括安全證書庫，證書撤消、密鑰備份和恢復、自動密鑰更新、密鑰文檔管理、交叉認證、支持不可否認、時間戳等模塊；在線身份裝置開通前臺模塊；用戶業務使用計費信息模塊；客戶端軟體/軟體接口。
所述的在線身份裝置為可攜式裝置。
所述的可攜式裝置可為載有通信接口的智慧卡。
所述的通信終端包括電話、手機、PDA、計算機、傳真機、機頂盒、遊戲機、網際網路通訊家電等數字裝置。
所述的在線身份裝置通過所述的通信終端進行包括通信、娛樂、教育、個人金融、電子商務等在內的與網際網路有關的所有業務過程。
本發明還提供了一種基於IP網用戶身份的多業務交換系統，其中包括通信終端、多業務交換平臺、網絡服務提供端，還包括在線身份裝置、安全認證管理單元；所述的通信終端、多業務交換平臺、網絡服務提供端分別與IP網耦合，所述的在線身份裝置與一所述的通信終端耦合，所述的安全認證管理單元與所述的多業務交換平臺耦合；所述的在線身份裝置包含有微處理器、存儲器、及通信接口，且該存儲器為存儲有用戶信息、密鑰信息、IP位址獲取和發送單元、網絡服務應用終端單元的存儲器；所述的多業務交換平臺包含有主機和關係型資料庫，且該關係型資料庫為存儲有用戶信息、用戶授權網絡服務信息的動態關係型資料庫；將所述的在線身份裝置與一所述的通信終端耦合，所述的在線身份裝置能內部生成密鑰、獲取本地IP位址，並經該通信終端向所述的多業務交換平臺傳送所述的密鑰、與之耦合通信終端的IP位址、用戶信息以及業務請求信息；所述的安全認證管理單元接收所述的在線身份裝置傳來的信息，並反饋認證後的密鑰給所述的在線身份裝置，使該在線身份裝置與安全認證管理單元和多業務交換平臺之間進行基於密鑰的保密通信；所述的多業務交換平臺對接收到的IP位址、用戶信息和業務請求信息進行處理，並根據所述的業務請求信息使作為業務發起方和接受方的在線身份裝置與耦合的通信終端與對應的網絡服務提供端之間進行通信，該網絡服務提供端向與所述在線身份裝置耦合的通信終端提供其網絡服務。
所述的在線身份裝置還包括生成和註冊單元，以於該在線身份裝置內隨機生成一對PKI，私鑰存儲於在線身份裝置內，並將生成的PKI公鑰上傳給所述的安全認證管理單元；所述的安全認證管理單元下傳一個認證的公鑰給所述的在線身份裝置；所述的安全認證管理單元將自身的尋址等特徵信息、以及用戶的關鍵特徵信息寫入所述的在線身份裝置中。
所述的在線身份裝置還包括認證和註冊單元，當在線身份裝置接入一通信終端時，該認證和註冊單元隨機生成一對對稱密鑰；利用認證和註冊單元中的公鑰，並加密這個對稱密鑰；所述的安全認證管理單元用私鑰解出對稱密鑰；在線身份裝置和多業務交換平臺採用對稱密鑰開始保密通訊，並於該在線身份裝置中存入一個已經被認證的確認信息，此確認信息能夠動態更新。
本發明的有益效果在於實現了用戶身份和權限與通信終端設備分離的基於用戶身份的安全移動通信；用戶隨身攜帶身份硬體，隨時隨地可藉助與IP網絡互通的計算設備實現雙向通信。
用戶終端應用協議類型決定通信方式，實現主叫選擇或被叫自適應多媒體通信；體系通過判斷發起業務的終端採有用的協議類型，將業務請求重新定向到與之相對應的業務服務系統；實現多業務自動交換與融合。基於IP網絡技術的用戶與網絡實現雙向認證的用戶身份權限與通訊終端分離開來的移動通信；體系將服務提供商對用戶的認證籤權、授權、計費由接入網絡局端側改變為用戶終端側與後臺系統直接交互；通過本體系可清晰各應用服務商與網絡商之間的利益邊界。
本系統加強了IP網絡的用戶身份和業務管理控制能力、使業務模塊化，方便提供新業務、可將多種業務統一到一個用戶身份上、及一個用戶身份對應多種用戶終端和業務。系統將根據業務發起方請求服務的用戶終端類型，通過籤權/認證、授權/業務開通、認費三個過程，由多業務交換體系自動實現端到端、端到中心通訊方式和類型的指定和業務提供系統的激活與記錄。用戶端通過不可否認安全技術、網際網路通訊技術協議、交互式分布資料庫技術與「多業務交換系統」直接交互實現鑑權、授權、計費和業務重定向功能的實現IP網絡端到中心、端到端的、實時的、非實時的、內容訪問和通訊的多媒體全業務服務技術工程體系；其核心特點是統一的聯繫方式多種通訊方式和終端類型與人的身份綁定，省去了記憶多個聯繫方式的麻煩並且簡化了通訊方式和內容服務方式；本系統的使用者的電話、網站、郵箱等通訊或記錄系統可採用同一個地址。
位置無關性、時間無關性網際網路任何可達的地方，任何時間都可以進行雙向通訊和內容訪問。
多媒體聯繫方式通過任何設備，如電話、手機、PDA、計算機、FAX、WEB、EMAIL等訪問同一地址可獲得被訪問人的不同媒體方式的響應。
廣泛可用通信終端方式可以通過多種方式通訊和內容訪問，如Voicemail、Email、Fax、IM、WEB頁面(即時消息)等。


圖1為本發明系統的結構與聯接框圖；圖2為在線身份裝置的結構框圖；圖3為多業務交換平臺的結構圖。
具體實施例方式
下面結合

本發明的具體實施方式
，一種基於IP網絡的統一用戶業務身份並統一用戶多種可被訪問業務尋址方式的用戶身份管理和網絡服務業務管理的方法，將通信終端、多業務交換平臺、網絡服務提供端分別與IP網耦合，並採用一在線身份裝置作為業務的選擇和發起方，採用一安全認證管理單元進行保密管理；將用戶信息分別存儲在所述的在線身份裝置和多業務交換平臺中，將網絡服務提供商信息存儲在所述的多業務交換平臺中，且所述的多業務交換平臺與所述的安全認證管理單元耦合；在進行統一用戶業務身份時
將所述的在線身份裝置與一所述的通信終端耦合，所述的在線身份裝置生成密鑰、獲取本地IP位址，並經該通信終端向所述的安全認證管理單元和多業務交換平臺傳送所述的密鑰、本地IP位址、用戶信息；所述的安全認證管理單元接收所述的在線身份裝置傳來的信息，並反饋認證後的密鑰給所述的在線身份裝置，使該在線身份裝置與安全認證管理單元和多業務交換平臺之間進行基於密鑰的保密通信；所述的安全認證管理單元和多業務交換平臺對接收到的IP位址、用戶信息和業務請求信息進行處理，並根據所述的業務請求信息使作為業務發起方和接受方的與在線身份裝置耦合的通信終端與對應的網絡服務提供端之間進行通信，該網絡服務提供端向與所述在線身份裝置耦合的通信終端提供其網絡服務。
如圖1所示，本發明還提供了一種基於IP網絡的統一用戶業務身份並統一用戶多種可被訪問業務尋址方式的系統，其中包括通信終端、多業務交換平臺(如圖3所示)、網絡服務提供端，還包括在線身份裝置(如圖2所示)、安全認證管理單元；其中的多業務交換平臺可由多業務交換平臺一級中心、多業務交換平臺二級中心以及多業務交換平臺三級中心互聯構成；所述的通信終端、多業務交換平臺、網絡服務提供端分別與IP網耦合，所述的在線身份裝置與一所述的通信終端耦合，所述的安全認證管理單元與所述的多業務交換平臺耦合；所述的在線身份裝置包含有微處理器、存儲器、及通信接口，且該存儲器為存儲有用戶信息、IP位址獲取和發送單元的存儲器；所述的多業務交換平臺包含有主機和關係型資料庫，且該關係型資料庫為存儲有用戶信息、網絡服務提供商信息的動態關係型資料庫；將所述的在線身份裝置與一所述的通信終端耦合，所述的在線身份裝置生成密鑰、獲取本地IP位址，並經該通信終端向所述的安全認證管理單元和多業務交換平臺傳送所述的密鑰、本地IP位址、用戶信息以及業務請求信息；
所述的安全認證管理單元接收所述的在線身份裝置傳來的信息，並反饋認證後的密鑰給所述的在線身份裝置，使該在線身份裝置與安全認證管理單元和多業務交換平臺之間進行基於密鑰的保密通信；所述的安全認證管理單元和多業務交換平臺對接收到的IP位址、用戶信息和業務請求信息進行處理，並根據所述的業務請求信息使作為業務發起方和接受方的與在線身份裝置耦合的通信終端與對應的網絡服務提供端之間進行通信，該網絡服務提供端向與所述在線身份裝置耦合的通信終端提供其網絡服務。
用戶端設備在線身份裝置在線身份裝置是可以放在衣袋中方便攜帶的個人信息安全解決方案。它是基於有計算、存儲能力、通用計算機接口的硬體PKI解決方案；它採用的是非對稱密碼體制；加密密鑰和解密密鑰是有一定關係的，但卻是完全不同的，以至於可以公開其中的一個，而完全不用擔心任何人計算或推導出另一個(安全是基於計算的困難性講的)；一般用私鑰來指代那個沒有公開的密鑰，而不是用密鑰，以避免同對稱密碼中的密鑰產生混淆。我們通過PKI體制利用一個不可信的公共資料庫，可以快速高效的建立陌生人之間的信任關係。該卡用於自主生成和存儲不對稱密匙和對稱密匙、存儲用戶身份代碼、計時、存儲上傳本地IP位址程序、以及加解密計算。
在線身份裝置的生成與註冊過程1)通過安全認證管理單元的註冊系統命令在線身份裝置內隨機生成一對PKI，私鑰存儲於在線身份裝置內，利用管理系統將在線身份裝置中生成的PKI公鑰上傳給安全證書管理系統。
2)安全認證管理系統下傳給在線身份裝置一個認證機構的公鑰。
3)安全認證機構將本機構的尋址等特徵信息寫入在線身份裝置中。
4)安人認證機構將用戶的關鍵特徵信息、IP位址獲取和發送單元、網絡服務應用終端單元寫入在線身份裝置中。
在線身份裝置的認證與用戶註冊過程1)當在線身份裝置接入計算機設備時，利用身份卡隨機生成一對對稱密鑰。
2)利用在線身份裝置中的公鑰，並加密這個對稱密鑰。
3)安全管理系統用私鑰解出對稱密鑰。
4)用戶和後臺系統採用對稱密鑰開始保密通訊，此時利用存在在線身份裝置的程序自動發送設備的IP位址和用戶身份發送到多業務交換平臺伺服器端。伺服器端接收到客戶端請求後，更新用戶身份與IP位址的對應關係，並更新與用戶身份綁定的業務清單。
5)並在在線身份裝置中存入一個已經被認證的確認信息，此信息以心跳的方式動態更新。
業務授權與計費過程1)當用戶使用某種業務時，將以私鑰加密上述的認證確認信息並匯同個人身份信息向業務提供方提出業務請求；業務提供方會使用「多業務交換系統「運營方的安全管理系統中的用戶公匙、身份記錄、業務記錄進行比較確認，決定是否授機業務。
2)業務許可後，服務提供方動態生成一對對稱密匙，通過在線身份裝置的不對稱密匙下傳存入用戶在線身份裝置中；用於加密整個通訊過程。
3)提供服務時用戶在線身份裝置、業務提供方和多業務交換平臺三方會分別生成開始和結束時間標記，以及業務特徵信息；用於計費和對帳，並利用在線身份裝置中的PKI的私鑰對生成數字籤名，保證業務使用信息的不可否認。
網絡側系統動態實時交互式多業務交換平臺用戶的身份可以用任意長度的0到9的十個十進位數隨意組合，並與其不可否認的證書信息、業務屬性值、動態IP位址相關聯；伺服器端提供一套服務程序，負責接受客戶端發送過來的地址並更改用戶身份的IP位址指向。以動態關係資料庫系統的方式存儲和解析，以便於用戶上線後由此得到與註冊用戶對應的一系列通信方式。用戶業務數據結構，主要包括6部分內容，見表1表1

在表1中order域指定單次查詢所得多個NAPTR記錄必須遵循的處理順序preference域當「order」域相同時，指定多個NAPTR記錄應當遵循的處理順序service域指定該記錄對應的協議或業務flags域包含影響下一次業務查詢的記錄，主要用於優化查詢過程regexp域該域用於重寫規則，是NAPTR記錄的核心replacement域用於重寫規則的域。
下面說明的是其它人可以用戶使用SIP電話終端、網頁瀏覽器、電子郵件、普通模擬電話與一個號碼為4689761234的用戶通信。
$origin 4.3.2.1.6.7.9.8.6.4.yahe.com10 10″u″ ″sip+E2U″ ″！^.*$！[email protected]！″ .
10 10″u″ ″mailto+E2U″″！^.*$！[email protected]！″.
10 10″u″ ″http+E2U″ ″！^.*$！http//svensson.ispa.se！″.
10 10″u″ ″tel+E2U ″ ″！^.*$！tel+46-8-9761234 ！″ .
100 10″u″ ″ldap+E2U″ ″！^+46(.*)$！ldap//ldap.se/cn＝01！″系統結構安全認證管理系統安全證書庫、證書撤消、密鑰備份和恢復、自動密鑰更新、密鑰文檔管理、交叉認證、支持不可否認、時間戳、客戶端軟體/軟體接口；
卡身份開通前臺系統；用戶業務使用計費信息中心。
本發明的價值所在是思想之變；利用該發明可以改變網際網路市場呼喚新的服務和內容，但是錢收不上來的難堪境遇；同時在成熟技術的基礎上在IP網絡上平滑提供多媒體業務；通過現實可行的技術改變網際網路商業思維模式的技術基礎；使網際網路應用從無經濟意識的「自然生態」進入到理性的、系統的、有序的發展狀態。
利用本發明可以給我們的通訊方式帶來巨大的變革不僅是新的用戶體驗，而且是工作效率和方便性的提高；當我們使用同一個地址用網頁瀏覽器訪問被聯繫者時看到的是他的網頁，用郵件客戶端發起聯繫時信息流向郵件伺服器，用IP電話發起聯繫時接通的是對方的通信終端。下面以用戶A的一天為例說明只要他有在線身份裝置和一臺公共的可上網的計算機它就可以隨時隨地的處理公務、通信、購物等。以下為用戶A在使用本發明系統和沒有使用本發明系統的對比，見表2。
表2

從上述實施例可以看出，本發明通過成熟技術創造性的為IP網絡業務向可收費運營發展提供技術保障，為用戶管理、內容和業務收費提供基礎特徵數據，明晰寬帶IP網絡和網際網路產業價值鏈的利益關係；並通過傳統通訊與網際網路業務以及未來新業務的一體化融合，為寬帶網際網路發展提供業務動力。具體為一、實現實時、非實時多媒體融合互動型端到端通信；二、實現多業務一單清服務，為廣泛開展內容服務商合作提供技術保障在線身份裝置實現版權保護，為內容服務創造經濟可行的健康環境；在線身份裝置實現自動計費的遊戲計費服務；在線身份裝置實現企業應用計費服務；在線身份裝置實現電子商務等交易和銀行業務；在線身份裝置實現業務漫遊使用；實現電子政務。
本發明既是有關IP網絡實現可管理性和提供一體化多業務融合的體系結構標準協議，又是工程實施的標準協議；它的創新可以概括為以下幾點
基於IP網絡技術的，用戶雙向認證的移動通信；將用戶的認證籤權、授權、計費由網絡接入處改變為用戶終端與後臺系統直接交互的移動通信實現機制。
用戶終端類型決定的無縫自適應多媒體通信；通過判斷發起業務的用戶終端支持的IP網絡應用協議類型，重新定向到相關的業務服務節點。
與計算設備分離的，基於用戶身份的安全移動通信；用戶隨身攜帶身份硬體，隨時隨地可藉助與IP網絡互通的計算設備實現移動通信。
系統功能本系統加強了IP網絡的業務管理控制能力、使業務模塊化，方便提供新業務、可將多種業務統一到一個用戶身份上、及一個用戶身份對應多種用戶終端和業務。系統將根據業務發起方請求服務的用戶終端類型，通過籤權/認證、授權/業務開通、認費三個過程，由多業務交換體系自動實現端到端、端到中心通訊方式和類型的指定和業務提供系統的激活與記錄。
用戶端通過不可否認安全技術、網際網路通訊技術協議、交互式分布資料庫技術與「多業務交換系統」直接交互實現鑑權、授權、計費和業務重定向功能的實現IP網絡端到中心、端到端的、實時的、非實時的、內容訪問和通訊的多媒體全業務服務技術工程體系；核心特點是統一的呼叫方式多種通訊方式和終端類型與人的身份綁定，省去了記憶多個聯繫方式的麻煩並且簡化了通訊方式和內容服務方式。
設備無關性通過任何設備，如電話、手機、PDA、計算機、FAX、WEB、EMAIL等訪問相同的內容和通訊。
媒體無關性可以通過各種媒體進行通訊和內容訪問，如Voice mail、Email、Fax、IM、WEB頁面(即時消息)等。
位置無關性、時間無關性網際網路任何可達的地方，任何時間都可以進行通訊和內容訪問。本發明屬網際網路應用技術；其應用於通過計算機、機頂盒、遊戲機、網際網路通訊家電等數字產品進行通信、娛樂、教育、個人金融、電子商務的與網際網路有關的所有業務過程。
多業務交換體系是利用動態實時關係型資料庫技術、安全加密不可否認技術、計算機通用外設接口技術、TCP/IP、SIP、P2P、DNS等網絡技術、和XML等軟體技術協議設計成的一個最為簡單明了的將用戶的認證籤權、授權、計費由接入網絡處改變為用戶終端與後臺系統的直接交互；通過網絡和用戶的雙向認證和對用戶發起業務類型的判定和重指，使用戶的IP網絡業務使用做到一次認證、全網應用一張帳單的基於IP網絡的技術工程體系。
以上具體實施方式
僅用於說明本發明，而非用於限定本發明。
權利要求
1.一種基於IP網用戶身份的多業務交換方法，其特徵在於，將通信終端、多業務交換平臺、網絡服務提供端分別與IP網耦合，並採用一與通信終端耦合的在線身份裝置作為業務的發起和接受方，採用一與多業務交換平臺耦合的安全認證管理單元進行保密管理；將用戶信息分別存儲在所述的在線身份裝置、安全認證管理單元中；將與用戶身份相關聯的多種網絡應用服務提供商提供的多種業務服務信息存儲在所述的安全認證管理單元和多業務交換平臺中；在進行多業務交換時將所述的在線身份裝置與一所述的通信終端耦合，所述的在線身份裝置生成密鑰、獲取本地IP位址，並經該通信終端向所述的安全認證管理單元和多業務交換平臺傳送所述的密鑰、本地IP位址、用戶信息；所述的安全認證管理單元接收所述的在線身份裝置傳來的信息，並反饋認證後的密鑰給所述的在線身份裝置，使該在線身份裝置與安全認證管理單元和多業務交換平臺之間進行基於密鑰的保密通信；所述的安全認證管理單元和多業務交換平臺對接收到的IP位址、用戶信息和業務請求信息進行處理，並根據所述的業務請求信息使作為業務發起方和接受方的與在線身份裝置耦合的通信終端與對應的網絡服務提供端之間進行通信，該網絡服務提供端向與所述在線身份裝置耦合的通信終端提供其網絡服務；從而實現統一用戶業務身份和統一用戶多種被訪問業務尋址方式的多業務交換。
2.根據權利要求1所述的方法，其特徵在於，在線身份裝置的生成和註冊步驟如下通過安全認證管理單元的註冊系統命令在線身份裝置內隨機生成一對PKI，私鑰存儲於在線身份裝置內，將生成的PKI公鑰上傳給所述的安全認證管理單元；所述的安全認證管理單元下傳一個認證的公鑰給所述的在線身份裝置；所述的安全認證管理單元將自身的尋址等特徵信息、以及用戶的關鍵特徵信息、IP位址獲取和發送單元、網絡服務應用終端單元寫入所述的在線身份裝置中。
3.根據權利要求1所述的方法，其特徵在於，在線身份裝置的認證和註冊步驟如下當在線身份裝置接入一通信終端時，該在線身份裝置隨機生成一對對稱密鑰；利用在線身份裝置中的公鑰，並加密這個對稱密鑰；所述的安全認證管理單元用私鑰解出對稱密鑰；在線身份裝置和多業務交換平臺採用對稱密鑰開始保密通訊，並於該在線身份裝置中存入一個已經被認證的確認信息，此確認信息能夠動態更新。
4.根據權利要求3所述的方法，其還包括業務授權與計費的步驟當與在線身份裝置耦合的通信終端使用某種業務時，發起將以私鑰加密所述的確認信息，並匯同用戶信息向網絡服務提供端提出業務請求；網絡服務提供端使用與多業務交換平臺耦合的安全認證管理單元中的用戶公匙、用戶信息、業務記錄進行比較確認，決定是否授機業務；業務許可後，網絡服務提供端動態生成一對對稱密匙，通過在線身份裝置的不對稱密匙下傳存入用戶的在線身份裝置中，用於加密整個通訊過程；業務進行時，在線身份裝置、網絡服務提供端和多業務交換平臺三方分別生成業務開始和業務結束時間標記、以及業務特徵信息，以用於計費和對帳，並利用在線身份裝置的PKI私鑰對生成數字籤名，保證業務使用信息的不可否認。
5.根據權利要求1或4所述的方法，其特徵在於，所述的用戶信息至少包括用戶身份信息；該用戶身份信息可用任意長度的0至9的十個數字隨意組合，且該用戶身份信息與其不可否認的證書信息、業務屬性值、動態IP位址相關聯。
6.根據權利要求5所述的方法，其特徵在於，在多業務交換平臺中載有多業務交換信息更新模塊，該多業務交換信息更新模塊負責接受更新用戶身份對應的IP位址指向；在多業務交換平臺中載有多業務交換模塊用於統一在線身份裝置用戶所擁有的可被IP網絡其他用戶訪問業務的尋址方法，該多業務交換模塊負責統一接受IP網絡其他用戶通過通信終端以在線身份裝置用戶身份為地址提出的通訊請求，多業務交換模塊根據請求所含的應用協議類型將請求翻譯為所述的網絡服務提供端所能識別的包含有在線身份裝置用戶被授權業務地址的服務指令，並返回給該IP網絡用戶的通信終端，實現在線身份裝置用戶被授權業務過程；相關業務的執行和邏輯仍由所述的網絡服務提供端完成，多業務交換模塊僅充當業務類型判定和重指向的任務；所述的多業務交換平臺以動態關係型資料庫的方式存儲和解析數據，以使用戶上線後得到與授權網絡服務對應的一系列通信方式。
7.根據權利要求6所述的方法，其特徵在於，所述的動態關係型資料庫包括以下用戶業務數據結構order域指定單次查詢所得多個NAPTR記錄必須遵循的處理順序；preference域當order域相同時，指定多個NAPTR記錄應當遵循的處理順序；service域指定該記錄對應的協議或業務；flags域包含影響下一次業務查詢的記錄，主要用於優化查詢過程；regexp域用於重寫規則，是NAPTR記錄的核心；replacement域用於重寫規則的域。
8.根據權利要求1或4所述的方法，其特徵在於，所述的安全認證管理單元包括安全證書庫，證書撤消、密鑰備份和恢復、自動密鑰更新、密鑰文檔管理、交叉認證、支持不可否認、時間戳等模塊；在線身份裝置開通前臺模塊；用戶業務使用計費信息模塊；客戶端軟體/軟體接口。
9.根據權利要求1或4所述的方法，其特徵在於，所述的在線身份裝置為可攜式裝置。
10.根據權利要求9所述的方法，其特徵在於，所述的可攜式裝置可為載有通信接口的智慧卡。
11.根據權利要求1或4所述的方法，其特徵在於，所述的通信終端包括電話、手機、PDA、計算機、傳真機、機頂盒、遊戲機、網際網路通訊家電等數字裝置。
12.根據權利要求11所述的方法，其特徵在於，所述的在線身份裝置通過所述的通信終端進行包括通信、娛樂、教育、個人金融、電子商務等在內的與網際網路有關的所有業務過程。
13.一種基於IP網用戶身份的多業務交換系統，統一用戶業務身份並統一用戶多種可被訪問業務尋址的系統，其中包括通信終端、多業務交換平臺、網絡服務提供端，還包括在線身份裝置、安全認證管理單元；所述的通信終端、多業務交換平臺、網絡服務提供端分別與IP網耦合，所述的在線身份裝置與一所述的通信終端耦合，所述的安全認證管理單元與所述的多業務交換平臺耦合；所述的在線身份裝置包含有微處理器、存儲器、及通信接口，且該存儲器為存儲有用戶信息、密鑰信息、IP位址獲取和發送單元、網絡服務應用終端單元的存儲器；所述的多業務交換平臺包含有主機和關係型資料庫，且該關係型資料庫為存儲有用戶信息、用戶授權網絡服務信息的動態關係型資料庫；將所述的在線身份裝置與一所述的通信終端耦合，所述的在線身份裝置能內部生成密鑰、獲取與之耦合通信終端的IP位址，並經該通信終端向所述的多業務交換平臺傳送所述的密鑰、本地IP位址、用戶信息；所述的安全認證管理單元接收所述的在線身份裝置傳來的信息，並反饋認證後的密鑰給所述的在線身份裝置，使該在線身份裝置與安全認證管理單元和多業務交換平臺之間進行基於密鑰的保密通信；所述的多業安全認證管理單元和務交換平臺對接收到的IP位址、用戶信息和業務請求信息進行處理，並根據所述的業務請求信息使作為業務發起方和接受方的在線身份裝置耦合的通信終端與對應的網絡服務提供端之間進行通信，該網絡服務提供端向與所述在線身份裝置耦合的通信終端提供其網絡服務；從而實現統一用戶業務身份和統一用戶多種被訪問業務尋址方式的多業務交換。
14.根據權利要求13所述的系統，其特徵在於，所述的在線身份裝置還包括生成和註冊單元，以於該在線身份裝置內隨機生成一對PKI，私鑰存儲於在線身份裝置內，並將生成的PKI公鑰上傳給所述的安全認證管理單元；所述的安全認證管理單元下傳一個認證的公鑰給所述的在線身份裝置；所述的安全認證管理單元將自身的尋址等特徵信息、以及用戶的關鍵特徵信息寫入所述的在線身份裝置中。
15.根據權利要求13所述的系統，其特徵在於，所述的在線身份裝置還包括認證和註冊單元，當在線身份裝置接入一通信終端時，該認證和註冊單元隨機生成一對對稱密鑰；利用認證和註冊單元中的公鑰，並加密這個對稱密鑰；所述的安全認證管理單元用私鑰解出對稱密鑰；在線身份裝置和多業務交換平臺採用對稱密鑰開始保密通訊，並於該在線身份裝置中存入一個已經被認證的確認信息，此確認信息能夠動態更新。
16.根據權利要求15所述的系統，其特徵在於，所述的與在線身份裝置耦合的通信終端為業務的發起端和接受端，其將以私鑰加密所述的確認信息，並匯同用戶信息向網絡服務提供端提出業務請求；網絡服務提供端使用與多業務交換平臺耦合的安全認證管理單元中的用戶公匙、用戶信息、業務記錄進行比較確認，決定是否授機業務；業務許可後，網絡服務提供端動態生成一對對稱密匙，通過在線身份裝置的不對稱密匙下傳存入用戶的在線身份裝置中，用於加密整個通訊過程；業務進行時，在線身份裝置、網絡服務提供端和多業務交換平臺三方分別生成業務開始和業務結束時間標記、以及業務特徵信息，以用於計費和對帳，並利用在線身份裝置的PKI私鑰對生成數字籤名，保證業務使用信息的不可否認。
17.根據權利要求13或16所述的系統，其特徵在於，所述的用戶信息至少包括用戶身份信息；該用戶身份信息可用任意長度的0至9的十個數字隨意組合，且該用戶身份信息與其不可否認的證書信息、業務屬性值、動態IP位址相關聯。
18.根據權利要求16所述的系統，其特徵在於，在多業務交換平臺中載有多業務交換信息更新模塊，該多業務交換信息更新模塊負責接受更新用戶身份對應的IP位址指向；在多業務交換平臺中載有多業務交換模塊用於統一在線身份卡用戶所擁有的可被IP網絡其他用戶訪問業務的尋址方法，該多業務交換模塊負責統一接受IP網絡其他用戶通過通信終端以在線身份裝置用戶身份為地址提出的通訊請求，多業務交換模塊根據請求所含的應用協議類型將請求翻譯為所述網絡服務提供端所能識別的包含有在線身份裝置用戶被授權業務地址的服務指令，並返回給上述IP網絡用戶的通信終端，實現在線身份裝置用戶被授權業務過程；所述的多業務交換平臺以動態關係型資料庫的方式存儲和解析數據，以使用戶上線後得到與授權網絡服務對應的一系列通信方式。
19.根據權利要求18所述的系統，其特徵在於，所述的動態關係型資料庫包括以下用戶業務數據結構order域指定單次查詢所得多個NAPTR記錄必須遵循的處理順序；preference域當order域相同時，指定多個NAPTR記錄應當遵循的處理順序；service域指定該記錄對應的協議或業務；flags域包含影響下一次業務查詢的記錄，主要用於優化查詢過程；regexp域用於重寫規則，是NAPTR記錄的核心；replacement域用於重寫規則的域。
20.根據權利要求13或16所述的系統，其特徵在於，所述的安全認證管理單元包括安全證書庫，證書撤消、密鑰備份和恢復、自動密鑰更新、密鑰文檔管理、交叉認證、支持不可否認、時間戳等模塊；在線身份裝置開通前臺模塊；用戶業務使用計費信息模塊；客戶端軟體/軟體接口。
21.根據權利要求13或16所述的系統，其特徵在於，所述的在線身份裝置為可攜式裝置。
22.根據權利要求21所述的系統，其特徵在於，所述的可攜式裝置可為載有通信接口的智慧卡。
23.根據權利要求13或16所述的系統，其特徵在於，所述的通信終端包括電話、手機、PDA、計算機、傳真機、機頂盒、遊戲機、網際網路通訊家電等數字裝置。
全文摘要
本發明提供了一種基於IP網用戶身份的多業務交換方法及系統。其將通信終端、多業務交換平臺、網絡服務提供端分別與IP網耦合，並採用一在線身份裝置作為業務的發起方和接受方，採用一安全認證管理單元進行保密管理；將用戶信息分別存儲在所述的在線身份裝置和多業務交換平臺中，將網絡服務提供商業務信息存儲在所述的多業務交換平臺中，且所述的多業務交換平臺與所述的安全認證管理單元耦合；從而實現統一用戶業務身份和統一用戶多種被訪問業務尋址方式的多業務交換。
文檔編號H04L9/32GK1558586SQ20041003928
公開日2004年12月29日 申請日期2004年2月11日 優先權日2004年2月11日
發明者任榮昌 申請人:任榮昌