專利名稱：面向用戶的網(wǎng)絡(luò)接入和業(yè)務(wù)使用的一次認證方法
技術(shù)領(lǐng)域：
本發(fā)明涉及無線寬帶業(yè)務(wù)技術(shù)領(lǐng)域，特別是指一種面向用戶的網(wǎng)絡(luò) 接入和業(yè)務(wù)使用的一次認證方法。
背景技術(shù)：
用戶 一次認證是指用戶只參與 一次認證就可以使用各種業(yè)務(wù)，無需 用戶參與多次認證，網(wǎng)絡(luò)可以自行進行多次的認證。為滿足這一需求， 需要實現(xiàn)接入層面和業(yè)務(wù)層面的關(guān)聯(lián)。目前解決這個問題的方法是，當(dāng)用戶選擇收費信息時，業(yè)務(wù)平臺根 據(jù)用戶的網(wǎng)際協(xié)議(IP)地址向接入數(shù)據(jù)庫查詢用戶帳號信息，并進行 認證和計費的方式。在這種方式中，當(dāng)用戶通過接入層面的認證、授權(quán)、計費(AAA)服務(wù)器認證后，用戶訪問特定的網(wǎng)站并使用付費業(yè)務(wù) 時，用戶對付費提示進行確認時，業(yè)務(wù)層面的管理平臺會根據(jù)用戶的IP 地址查詢用戶的賬號，并將費用計入該接入帳號。在這個過程中用戶無 須再次輸入接入賬號信息，滿足了用戶一次認證的需求。采用這種方式，由于需要在業(yè)務(wù)使用過程中，業(yè)務(wù)管理平臺實時地 到AAA查詢，這樣，當(dāng)用戶的數(shù)量達到一定的,時，對AAA和業(yè) 務(wù)管理平臺的性能都將產(chǎn)生影響，用戶感覺也會相對較^^。發(fā)明內(nèi)容有鑒于此，本發(fā)明提出一種面向用戶的網(wǎng)^入和業(yè)^f吏用的一次 認證方法，不需要在每次業(yè)務(wù)時進行查詢，提高效率?；谏鲜瞿康谋景l(fā)明提供的面向用戶的網(wǎng)洛接入和業(yè)務(wù)使用的一次 i人證方法，包括用戶終端在第一次認證通過后，接入門戶將用戶認證信息發(fā)送給用
戶終端和業(yè)務(wù)門戶分別進行保存；用戶終端訪問業(yè)務(wù)門戶時，業(yè)務(wù)門戶獲取該用戶終端保存的用戶認 證信息，與本地保存的用戶認證信息比較，進行合法性認證和業(yè)務(wù)層面 的認證。該方法所述用戶認證信息由接入門戶以Cookie的方式保存在用戶 終端和接入門戶本地。該方法所述接入門戶中設(shè)置的Cookie有效期，超過有效期后自動 刪除該Cookie中的內(nèi)容。該方法所述接入門戶向業(yè)務(wù)門戶發(fā)送用戶認證信息的過程中接入門 戶通過向業(yè)務(wù)門戶發(fā)送攜帶有用戶認證信息的通知消息。該方法在用戶注銷后，接入門戶通知業(yè)務(wù)門戶用戶已經(jīng)離線，業(yè)務(wù) 門戶將用戶認證信息刪除。該方法所述認證信息包括用戶帳號。該方法所述認證信息還包括隨機數(shù)和認證狀態(tài)。該方法所述用戶終端在第一次認證通過后，接入門戶針對用戶產(chǎn)生 與用戶接入賬號相對應(yīng)的隨機數(shù)。該方法所述合法性認證的過程中業(yè)務(wù)門戶通過與本地保存的用戶認 證信息比較判斷認證狀態(tài)、隨機數(shù)是否合法。該方法所述業(yè)務(wù)層面的認證過程中業(yè)務(wù)門戶向業(yè)務(wù)管理平臺發(fā)送包 含有用戶認證信息的消息，業(yè)務(wù)管理平臺對用戶進行訂購關(guān)系的認證， 判斷該用戶是否有權(quán)4吏用該業(yè)務(wù)，如果認證通過，則允許用戶使用該業(yè) 務(wù)；否則，拒絕用戶4吏用該業(yè)務(wù)。該方法所述用戶i人證信息為用戶帳號。該方法所述業(yè)務(wù)層面的認證通過后，業(yè)務(wù)門戶將業(yè)務(wù)的統(tǒng)一資源定 位符URL返回給用戶終端，其中URL中包含有業(yè)務(wù)標識ID和用戶帳號。從上面所述可以看出，本發(fā)明提供的面向用戶的網(wǎng)絡(luò)接入和業(yè)務(wù) 使用的一次認證方法，通過門戶之間的同步接口傳遞用戶登陸信息，并 且不需要在每次業(yè)務(wù)時進行查詢，因此效率更高，可以快速的實現(xiàn)面向
用戶的一次認證，對網(wǎng)絡(luò)的改動較小，方便在網(wǎng)絡(luò)上實施。


圖1為本發(fā)明實施例面向用戶的無線本地接入網(wǎng)絡(luò)(WLAN)接入 和業(yè)務(wù)使用的認證過程流程示意圖。
具體實施方式
下面參照附圖對本發(fā)明進行更全面的描述，其中說明本發(fā)明的示例 性實施例。本發(fā)明提供的一種面向用戶的網(wǎng)絡(luò)接入和業(yè)務(wù)使用的 一次認證方 法，主要包括用戶終端在第一次認證通過后，接入門戶將用戶認證信 息發(fā)送給用戶終端和業(yè)務(wù)門戶分別進行保存；用戶終端訪問業(yè)務(wù)門戶 時，業(yè)務(wù)門戶獲取該用戶終端保存的用戶認證信息，與本地保存的用戶 認證信息比較，進行合法性認證和業(yè)務(wù)層面的認證。參見圖1所示，本發(fā)明提出了一種面向用戶的WLAN接入和業(yè)務(wù) 使用的一次認證的方法較佳實施例的業(yè)務(wù)流程，具體包括以下步驟步驟101， WLAN用戶終端通過向接入門戶發(fā)送用戶帳號和密碼信 息到AAA完成接入層面的i人證。步驟102,認證通過后，用戶即可以使用IP接入業(yè)務(wù)，然后接入 門戶針對用戶產(chǎn)生隨機數(shù)，并與用戶接入賬號相對應(yīng)。其中，產(chǎn)生隨機數(shù)的作用是為了防止惡意注冊，該步驟是可以省略的。步驟103，接入門戶將用戶賬號、隨機數(shù)和認證狀態(tài)等用戶認證信 息以Cookie方式寫入終端。其中，所述認證狀態(tài)是指認證是否成功的狀態(tài)。Cookie是Web服務(wù)器保存在用戶硬盤上的一段文本。Cookie允許 一個Web站點在用戶的電腦上保存信息并且隨后再取回它。信息的片 斷以'名/值，對(name-value pairs)的形式儲存。本步驟可具體包括接入門戶產(chǎn)生Cookie,該Cookie中包含用戶 的帳號、隨機數(shù)、認證狀態(tài)等用戶認證信息，或者這些信息經(jīng)加密后的數(shù)據(jù)；然后將Cookie發(fā)送給終端保存，并且接入門戶中也會保存一份 該Cookie內(nèi)容。為了保證安全性，可在接入門戶中設(shè)置Cookie的有效期，過期后 可自動刪除Cookie中的內(nèi)容。步驟104，接入門戶通過通知消息告知業(yè)務(wù)門戶用戶已經(jīng)通過接入 認證，并在通知消息中攜帶用戶的帳號、隨機數(shù)、認證狀態(tài)等用戶認證 信息，業(yè)務(wù)門戶保存這些消息。其中，業(yè)務(wù)層面的門戶負責(zé)展現(xiàn)業(yè)務(wù)，在實施中業(yè)務(wù)門戶的主域名 和接入門戶的主域名相同。步驟105，用戶訪問業(yè)務(wù)門戶并使用其上呈現(xiàn)的收費業(yè)務(wù)，業(yè)務(wù)門 戶讀取該用戶終端保存的Cookie,通過與本地保存信息的比較判斷認證 狀態(tài)、審查隨機數(shù)是否合法，合法則進入步驟106;審查不通過，則拒 絕用戶4吏用，結(jié)束流程。步驟106，業(yè)務(wù)門戶向業(yè)務(wù)管理平臺發(fā)送包含有用戶帳號的消息， 業(yè)務(wù)管理平臺對用戶進行訂購關(guān)系的認證，即業(yè)務(wù)層面的認證，判斷該 用戶是否有權(quán)使用該業(yè)務(wù)，如果認證通過，則允許用戶使用該業(yè)務(wù)，后 續(xù)的費用將記在Cookie中指明的帳號中，i^V步驟107;否則，拒絕用 戶使用，結(jié)束流程。步驟107,業(yè)務(wù)層面的認證通過后，業(yè)務(wù)門戶將業(yè)務(wù)的統(tǒng)一資源定 位符(URL)返回給終端，其中URL中包含有業(yè)務(wù)ID、用戶帳號等信 息。步驟108，終端根據(jù)業(yè)務(wù)門戶提供的URL使用該業(yè)務(wù)門戶的業(yè)務(wù)。當(dāng)用戶注銷后，接入門戶通知業(yè)務(wù)門戶用戶已經(jīng)離線，業(yè)務(wù)門戶將 用戶認證信息刪除。通過上述專利，可以快速的實現(xiàn)面向用戶的一次認證，對網(wǎng)絡(luò)的改 動較小，方便在網(wǎng)絡(luò)上實施。本發(fā)明的一次認證方式非常方便有效，不但可以用于WLAN，還
可以應(yīng)用于其他場景，比如寬帶接入網(wǎng)絡(luò)和業(yè)務(wù)網(wǎng)絡(luò)的一次認證、 Wimax接入網(wǎng)絡(luò)和業(yè)務(wù)網(wǎng)絡(luò)的 一次認證。本發(fā)明的描述是為了示例和描述起見而給出的，而并不是無遺漏的 或者將本發(fā)明限于所^Hf的形式。很多修改和變化對于本領(lǐng)域的普通技 術(shù)人員而言是顯然的。選擇和描述實施例是為了更好說明本發(fā)明的原理 和實際應(yīng)用，并且使本領(lǐng)域的普通技術(shù)人員能夠理解本發(fā)明從而設(shè)計適 于特定用途的帶有各種修改的各種實施例。
權(quán)利要求
1. 一種面向用戶的網(wǎng)絡(luò)接入和業(yè)務(wù)使用的一次認證方法，其特征在于，包括用戶終端在第一次認證通過后，接入門戶將用戶認證信息發(fā)送給用戶終端和業(yè)務(wù)門戶分別進行保存；用戶終端訪問業(yè)務(wù)門戶時，業(yè)務(wù)門戶獲取該用戶終端保存的用戶認證信息，與本地保存的用戶認證信息比較，進行合法性認證和業(yè)務(wù)層面的認證。
2. 根據(jù)權(quán)利要求l所述的方法，其特征在于，所述用戶認證信息由 接入門戶以Cookie的方式^M^在用戶終端和接入門戶本地。
3. 根據(jù)權(quán)利要求2所述的方法，其特征在于，所述接入門戶中設(shè)置 的Cookie有效期，超過有效期后自動刪除該Cookie中的內(nèi)容。
4. 根據(jù)權(quán)利要求l所述的方法，其特征在于，所述接入門戶向業(yè)務(wù) 門戶發(fā)送用戶認證信息的過程中接入門戶通過向業(yè)務(wù)門戶發(fā)送攜帶有用 戶認證信息的通知消息。
5. 根據(jù)權(quán)利要求l所述的方法，其特征在于，在用戶注銷后，接入 門戶通知業(yè)務(wù)門戶用戶已經(jīng)離線，業(yè)務(wù)門戶將用戶認證信息刪除。
6. 根據(jù)權(quán)利要求1至5任意一項所述的方法，其特征在于，所述認 證信息包括用戶帳號。
7. 根據(jù)權(quán)利要求6所述的方法，其特征在于，所述認證信息還包 括隨機數(shù)和認證狀態(tài)。
8. 根據(jù)權(quán)利要求7所述的方法，其特征在于，所述用戶終端在第一 次認證通過后，接入門戶針對用戶產(chǎn)生與用戶接入賬號相對應(yīng)的隨機 數(shù)。
9. 根據(jù)權(quán)利要求8所述的方法，其特征在于，所述合法性認證的過 程中業(yè)務(wù)門戶通過與本地保存的用戶認證信息比較判斷認證狀態(tài)、隨機 數(shù)是否合法。
10. 根據(jù)權(quán)利要求1所述的方法，其特征在于，所述業(yè)務(wù)層面的認證過程中業(yè)務(wù)門戶向業(yè)務(wù)管理平臺發(fā)送包含有用戶認證信息的消息，業(yè) 務(wù)管理平臺對用戶進行訂購關(guān)系的認證，判斷該用戶是否有權(quán)使用該業(yè)務(wù)，如果認證通過，則允許用戶使用該業(yè)務(wù)；否則，拒絕用戶使用該業(yè) 務(wù)。
11. 才艮據(jù)權(quán)利要求10所述的方法，其特征在于，所述用戶認證信息 為用戶帳號。
12. 根據(jù)權(quán)利要求1所述的方法，其特征在于，所述業(yè)務(wù)層面的認 證通過后，業(yè)務(wù)門戶將業(yè)務(wù)的統(tǒng)一資源定位符URL返回給用戶終端， 其中URL中包含有業(yè)務(wù)標識ID和用戶帳號。
全文摘要
本發(fā)明公開一種面向用戶的網(wǎng)絡(luò)接入和業(yè)務(wù)使用的一次認證方法，主要包括用戶終端在第一次認證通過后，接入門戶將用戶認證信息發(fā)送給用戶終端和業(yè)務(wù)門戶分別進行保存；用戶終端訪問業(yè)務(wù)門戶時，業(yè)務(wù)門戶獲取該用戶終端保存的用戶認證信息，與本地保存的用戶認證信息比較，進行合法性認證和業(yè)務(wù)層面的認證。從而不需要在每次業(yè)務(wù)時進行查詢，效率更高，可以快速的實現(xiàn)面向用戶的一次認證，對網(wǎng)絡(luò)的改動較小，方便在網(wǎng)絡(luò)上實施。
文檔編號H04L29/06GK101399724SQ20071016136
公開日2009年4月1日 申請日期2007年9月28日 優(yōu)先權(quán)日2007年9月28日
發(fā)明者于建港, 恒 楊, 衛(wèi) 潘, 濤 石, 亮 謝, 邢燕霞, 魏文娟 申請人:中國電信股份有限公司