專利名稱:應用業(yè)務接入鑒權方法及接入鑒權代理的制作方法
技術領域:
本發(fā)明涉及通信技術領域�����,特別是涉及一種應用業(yè)務接入鑒權方法及接入鑒權代理�。
背景技術:
隨著電信技術的發(fā)展����,日益開放的電信業(yè)務市場不斷進入新的競爭者,為了尋 找新的業(yè)務發(fā)展空間����,電信運營商除了提供傳統(tǒng)的網(wǎng)絡通信服務之外�����,已經(jīng)開始提供 ICT(Information Communication Technology,信息通信技術)服務����。ICT是信息技術與通 信技術相融合而形成的一個新的概念和新的技術領域���,發(fā)展ICT業(yè)務已經(jīng)成為信息服務提 供商以及電信運營商的共識。ICT服務的關鍵是如何更好地開放電信能力���,使電信能力與互 聯(lián)網(wǎng)上豐富的應用業(yè)務能夠更方便����、更容易地相結合��,從而向用戶提供更加豐富多彩的電 信增值業(yè)務��。 2005年Parlay組織推出Parlay X Web Services規(guī)范����,Parlay X WebServices 是功能強大但簡單、高度抽象的電信網(wǎng)絡能力標準構件���。無論開發(fā)人員是否具備電信專業(yè) 知識都能夠快速理解Parlay X Web Services并且利用它開發(fā)出各具特色的應用��。Parlay/ OSA (Parlay/Open Service Architecture, Parlay開發(fā)業(yè)務架構)提供以下的接入鑒權認 證以及SLA (Service Level Agreement,服務等級協(xié)議)策略控制機制
應用業(yè)務開發(fā)商(或個人)可以向運營商申請成為SP(Service Provider�����,業(yè)務提 供商)��,運營商為SP分配SPID (業(yè)務提供商標識)和密碼�����; SP應用業(yè)務在接入電信業(yè)務能力接口功能實體時�,將"3 10+密碼+時間戳"形式
的字符串進行加密,并將加密后的字符串傳給電信業(yè)務能力接口功能實體����,這里的電信業(yè)
務能力接口功能實體,可以是0SG(0pen ServiceGateway�����,開放業(yè)務網(wǎng)關)���; 電信業(yè)務能力接口功能實體通過SP傳遞的SPID查詢出SP的密碼,并使用與SP
相同的加密算法進行校驗�; 電信業(yè)務能力接口功能實體可根據(jù)預先設置的SLA策略對該SP的應用請求進行
接入控制。例如���,限制該SP或該SP的應用業(yè)務在規(guī)定的時間內(nèi)的使用次數(shù)等���。 在實現(xiàn)本發(fā)明過程中����,發(fā)明人發(fā)現(xiàn)以上現(xiàn)有技術中至少存在如下問題按現(xiàn)有的
鑒權方式��,只能對SP的接入進行鑒權���,因此應用業(yè)務開發(fā)商(或個人)必須首先申請成為
SP才能夠接入電信網(wǎng)絡����,這在很大程度上限制了電信業(yè)務能力的開放性����,不利于電信增值
業(yè)務的發(fā)展。此外�����,將電信業(yè)務能力接口功能實體(例如OSG)直接暴露在公網(wǎng)上���,也存在
較大的安全隱患和性能壓力��。
發(fā)明內(nèi)容
有鑒于此�����,本發(fā)明實施例提供了一種應用業(yè)務接入鑒權方法及接入鑒權代理�,以 實現(xiàn)直接對單個應用業(yè)務進行接入鑒權,增加電信業(yè)務能力的開放性���,技術方案如下
—種應用業(yè)務接入鑒權方法�����,在對應用業(yè)務進行注冊并獲取應用業(yè)務的密碼之后���,該方法包括 接收已注冊的應用業(yè)務的提供端發(fā)送的接入請求,所述接入請求中攜帶所述應用 業(yè)務的密碼�,根據(jù)所述應用業(yè)務的密碼,對應用業(yè)務進行接入鑒權��。
—種應用業(yè)務接入鑒權代理���,包括 注冊管理單元,用于對應用業(yè)務進行注冊并獲取應用業(yè)務的密碼�����; 接入鑒權單元���,用于接收已注冊的應用業(yè)務的提供端發(fā)送的接入請求����,所述接入
請求中攜帶所述應用業(yè)務的密碼,根據(jù)所述應用業(yè)務的密碼�,對應用業(yè)務進行接入鑒權。 通過應用以上技術方案���,可以實現(xiàn)對單個應用業(yè)務進行接入鑒權���,普通開發(fā)者進
行的應用業(yè)務開發(fā),也可直接申請接入應用業(yè)務接入鑒權代理并進行電信業(yè)務能力的試
用�,擴大了接入鑒權的范圍,增加了電信業(yè)務能力的開放性�。此外,由接入鑒權代理來完成
接入鑒權控制���,可以使電信業(yè)務能力接口功能實體不直接開放到公網(wǎng)�,提高了安全性����,也減
輕了電信業(yè)務能力接口功能實體的性能負擔。
圖1為實現(xiàn)本發(fā)明方法具體實施例的流程圖; 圖2為本發(fā)明實施例的應用業(yè)務接入鑒權代理的結構示意圖 圖3為本發(fā)明實施例的注冊管理單元的結構示意圖���; 圖4為本發(fā)明實施例的接入鑒權單元的結構示意圖����,圖4a和圖4b分別為兩種不 同的接入鑒權單元結構示意圖��; 圖5為本發(fā)明實施例的應用業(yè)務接入鑒權代理的另一種結構示意圖�;
圖6為本發(fā)明實施例的接入鑒權單元的另一種結構示意圖。
具體實施例方式
首先對本發(fā)明實施例的應用業(yè)務接入鑒權方法進行說明 在對應用業(yè)務進行注冊并獲取應用業(yè)務的密碼之后���,該方法包括 接收已注冊的應用業(yè)務的提供端發(fā)送的接入請求�,所述接入請求中攜帶所述應用
業(yè)務的密碼����,根據(jù)所述應用業(yè)務的密碼,對應用業(yè)務進行接入鑒權�����。 下面結合附圖����,對本發(fā)明的實施方案進行詳細描述。
圖1所示為本發(fā)明實施例提供的方法流程圖�����,具體包括以下步驟 S101�,應用業(yè)務的提供端向應用業(yè)務接入鑒權代理發(fā)送應用業(yè)務注冊請求,所述
注冊請求中攜帶應用業(yè)務的提供端的賬號和應用業(yè)務的地址��。 所述賬號可以是運營商分配的SPID��,也可以是手機號碼或電子郵箱地址等����。所 述應用業(yè)務的地址可以唯一標識該應用業(yè)務,具體可以是應用業(yè)務所對應的URL (Uniform Resource Locator,統(tǒng)一資源定位符)����,或者是應用業(yè)務所對應的"互聯(lián)網(wǎng)協(xié)議地址端口號 (IP :Port)"等形式。 S102��,應用業(yè)務接入鑒權代理根據(jù)應用業(yè)務的地址生成密碼�。 應用業(yè)務接入鑒權代理根據(jù)應用業(yè)務的地址,通過不可逆加密算法生成密碼�����,并 且保存所生成的密碼與應用業(yè)務地址信息及應用業(yè)務的提供端賬號的對應關系。保存的方 式如表l所示����,需要說明的是,表l的形式僅僅是示意性的�����,本發(fā)明實施例對此不加以限制���。
應用業(yè)務地址信息密碼賬號
URL1PwdlNamel
URL2Pwd2Namel
IP :PortlPwd3Name2
IP :Port2Pwd4Name 3 表1 S103��,應用業(yè)務接入鑒權代理向應用業(yè)務的提供端發(fā)送注冊響應�����,將所生成的密 碼發(fā)送至應用業(yè)務提供端����。 應用業(yè)務接入鑒權代理可以通過短信�、電子郵件等方式,將所生成的密碼通知應 用業(yè)務提供端�����。 S104,應用業(yè)務的提供端向應用業(yè)務接入鑒權代理發(fā)送接入請求��,所述接入請求 中攜帶應用業(yè)務的密碼����。 請求接入的應用業(yè)務���,應該是已經(jīng)注冊過的應用業(yè)務���,為保證安全傳輸,接入請求 可以遵照安全的HTTP (Hyper Text Transfer Protocol,超文本傳輸協(xié)議)發(fā)送至業(yè)務接入 鑒權代理����。 S105,業(yè)務接入鑒權代理根據(jù)所述接入請求�,對應用業(yè)務進行接入鑒權。 在接入請求中�,攜帶有應用業(yè)務的賬號及密碼,業(yè)務接入鑒權代理根據(jù)所述賬號
及密碼�,查詢所對應的地址信息,例如���,通過表1 ����,可以查詢到賬號"Name 1"與密碼"Pwdl "所
對應的地址信息為URL1。將所查詢到的地址信息與所述當前請求接入的應用業(yè)務的地址進
行匹配���,如果匹配成功����,則通過所述應用業(yè)務的接入鑒權���。 需要說明的是�����,由于所述密碼是根據(jù)應用業(yè)務的地址�����,使用不可逆算法所生成的���, 因此,在接入請求�����,也可以只攜帶應用業(yè)務的密碼。業(yè)務接入鑒權代理僅根據(jù)密碼�����,也可以 查詢所對應的地址信息���,并進一步進行地址的匹配,實現(xiàn)應用業(yè)務的接入鑒權��。
鑒權通過后���,接入鑒權代理可以將接入請求發(fā)送至電信業(yè)務能力接口功能實體�, 例如0SG�,由OSG將所述應用業(yè)務接入電信網(wǎng)絡。 需要說明的是�����,為了表述方便�,上面的實施例同時包含了應用業(yè)務的注冊過程 (S101-S103)與接入鑒權的過程(S104-S105)。在實際應用中��,如果準備接入的應用業(yè)務已 經(jīng)成功注冊過�����,就可以直接執(zhí)行S104-S105的接入鑒權的步驟。 在本發(fā)明的優(yōu)選實施方案中�,在鑒權通過后,業(yè)務接入鑒權代理還可以對通過接 入鑒權的應用業(yè)務進行策略配置����,例如,可以設置限制所有接入的應用業(yè)務或者單個應用 業(yè)務訪問在規(guī)定時間內(nèi)的使用次數(shù)��,如N次/天�,或N次/月。如果在應用業(yè)務請求接入的 時候��,接入鑒權代理已經(jīng)預先對該應用業(yè)務進行了策略配置��,則在上述S105中��,可以在密 碼匹配成功后�,根據(jù)預先配置的策略,對所述應用業(yè)務進行策略檢查�����,如果策略檢查通過,
6則認為所述應用業(yè)務的接入鑒權通過�����。 可見����,應用上述方法,可以實現(xiàn)對單個應用業(yè)務進行接入鑒權�����,應用業(yè)務開發(fā)者不 需要申請成為SP就可以接入電信網(wǎng)絡��,即使是普通開發(fā)者進行的應用業(yè)務開發(fā)��,也可直接 申請接入電信業(yè)務接入鑒權代理并進行電信業(yè)務能力的試用����,擴大了接入鑒權的范圍���,增 加了電信業(yè)務能力的開放性��,有利于向最終用戶提供更加豐富的增值業(yè)務����。此外,由接入鑒 權代理來完成接入鑒權控制���,可以使電信業(yè)務能力接口功能實體不直接開放到公網(wǎng)���,提高 了安全性,也減輕了電信業(yè)務能力接口功能實體的性能負擔���。
本發(fā)明實施例還提供一種應用業(yè)務接入鑒權代理����,參見圖2所示�,包括 注冊管理單元201,用于對應用業(yè)務進行注冊并獲取應用業(yè)務的密碼���; 接入鑒權單元202����,用于接收已注冊的應用業(yè)務的提供端發(fā)送的接入請求�,所述接
入請求中攜帶所述應用業(yè)務的密碼,根據(jù)所述應用業(yè)務的密碼��,對應用業(yè)務進行接入鑒權。
參見圖3所示����,所述注冊管理單元201,具體可以包括 密碼生成子單元301��,用于接收應用業(yè)務的提供端發(fā)送的注冊申請���,所述注冊申請
中攜帶應用業(yè)務的提供端的賬號和應用業(yè)務的地址�,根據(jù)所述應用業(yè)務的地址生成密碼��;
密碼管理子單元302����,用于保存所述密碼生成子單元301生成的密碼與應用業(yè)務
地址信息及應用業(yè)務的提供端賬號的對應關系; 密碼發(fā)送子單元303����,用于將所述密碼生成子單元302生成的密碼發(fā)送至應用業(yè) 務的提供端�����。 參見圖4a所示���,所述接入鑒權單元202�,具體可以包括 第一密碼查詢子單元401,用于接收已注冊的應用業(yè)務的提供端發(fā)送的接入請求�����,
根據(jù)接入請求中攜帶的應用業(yè)務的密碼與所述對應關系��,查詢所對應的地址信息���;
第一密碼匹配子單元402����,用于將所述第一密碼查詢子單元401查詢到的地址信 息與所述應用業(yè)務的地址進行匹配���,如果匹配成功��,則通過所述應用業(yè)務的接入鑒權����。
所述密碼生成子單元301所接收的接入請求中��,還包括所述應用業(yè)務的提供端的 賬號�,則所述接入鑒權單元的組成還可以如圖4b所示��,具體包括 第二密碼查詢子單元403�,用于接收已注冊的應用業(yè)務的提供端發(fā)送的接入請求��, 根據(jù)接入請求中攜帶的應用業(yè)務的提供端的賬號����、應用業(yè)務的密碼與所述對應關系,查詢 所對應的地址信息���; 第二密碼匹配子單元404�����,用于將所述第二密碼查詢子單元403查詢到的地址信 息與所述應用業(yè)務的地址進行匹配�����,如果匹配成功�,則通過所述應用業(yè)務的接入鑒權�。
本發(fā)明實施例還提供另一種應用業(yè)務接入鑒權代理�,參見圖5所示,與圖2所示的 應用業(yè)務接入鑒權代理相比�����,不同之處在于,該接入鑒權代理進一步包括
策略配置單元503�����,用于對通過所述接入鑒權單元502鑒權的應用業(yè)務進行策略
配置����; 其中,注冊管理單元501與上述的注冊管理單元201相同����;
參見圖6所示,接入鑒權單元502���,具體可以包括 密碼查詢子單元601��,用于接收已注冊的應用業(yè)務的提供端發(fā)送的接入請求�����,根據(jù)
接入請求中攜帶的應用業(yè)務的密碼和所述對應關系�,查詢所對應的地址信息�����; 密碼匹配子單元602,用于將所述密碼查詢子單元查詢到的地址信息與所述應用業(yè)務的地址進行匹配���; 策略檢查子單元603���,如果所述密碼匹配子單元匹配成功,則根據(jù)所述策略配置單 元503預先配置的策略�����,對所述應用業(yè)務進行策略檢查��,如果策略檢查通過���,則通過所述應 用業(yè)務的接入鑒權���。 對于裝置實施例而言,由于其基本相應于方法實施例����,所以描述得比較簡單,相關 之處參見方法實施例的部分說明即可��。上述的應用業(yè)務接入鑒權代理����,可以提供應用業(yè)務 的注冊管理、接入鑒權及策略管理等功能�����?���?蓪崿F(xiàn)對單個應用業(yè)務進行接入鑒權,從而擴大 了接入鑒權的范圍����,增加了電信業(yè)務能力的開放性。當該鑒權代理可單獨作為一個模塊部 署時��,可以使電信業(yè)務能力接口功能實體不直接開放到公網(wǎng)���,提高了安全性�,也減輕了電信 業(yè)務能力接口功能實體的性能負擔���。 需要說明的是��,本發(fā)明實施例所提供的鑒權代理既可單獨作為一個模塊部署�����,也 可作為電信業(yè)務能力接口功能實體的擴展功能模塊��,其中注冊管理單元��,接入鑒權單元或 策略配置單元都可以作為電信業(yè)務能力接口功能實體功能的一部分���。其中所述作為分離部 件說明的單元可以是或者也可以不是物理上分開的���,作為單元顯示的部件可以是或者也可 以不是物理單元,即可以位于一個地方���,或者也可以分布到多個網(wǎng)絡單元上��?���?梢愿鶕?jù)實際 的需要選擇其中的部分或者全部模塊來實現(xiàn)本實施例方案的目的���。本領域普通技術人員在 不付出創(chuàng)造性的勞動的情況下�����,即可以理解并實施����。 本領域普通技術人員可以理解實現(xiàn)上述方法實施例的全部或部分步驟可以通過 程序指令相關的硬件來完成�����,前述的程序可以存儲于一計算機可讀取存儲介質(zhì)中�,該程序 在執(zhí)行時,執(zhí)行包括上述方法實施例的步驟����;而前述的存儲介質(zhì)包括ROM、 RAM��、磁碟或者 光盤等各種可以存儲程序代碼的介質(zhì)����。 以上所述僅是本發(fā)明的具體實施方式
,應當指出����,對于本技術領域的普通技術人 員來說���,在不脫離本發(fā)明原理的前提下,還可以做出若干改進和潤飾���,這些改進和潤飾也應 視為本發(fā)明的保護范圍���。
權利要求
一種應用業(yè)務接入鑒權方法,其特征在于��,在對應用業(yè)務進行注冊并獲取應用業(yè)務的密碼之后�����,該方法包括接收已注冊的應用業(yè)務的提供端發(fā)送的接入請求����,所述接入請求中攜帶所述應用業(yè)務的密碼,根據(jù)所述應用業(yè)務的密碼���,對應用業(yè)務進行接入鑒權�����。
2. 根據(jù)權利要求1所述的方法�,其特征在于,所述對應用業(yè)務的注冊并獲取應用業(yè)務 的密碼���,包括接收所述應用業(yè)務的提供端發(fā)送的注冊申請�����,所述注冊申請中攜帶所述應用業(yè)務的提 供端的賬號和應用業(yè)務的地址,根據(jù)所述應用業(yè)務的地址生成所述密碼�;保存所生成的密 碼與應用業(yè)務地址信息及所述應用業(yè)務的提供端賬號的對應關系,并將所生成的密碼發(fā)送 至所述應用業(yè)務的提供端��。
3. 根據(jù)權利要求2所述的方法����,其特征在于,所述根據(jù)應用業(yè)務的密碼��,對應用業(yè)務進 行接入鑒權��,具體實現(xiàn)為根據(jù)所述接入請求中攜帶的密碼和所述對應關系��,查詢所對應的地址信息�,將所查詢 到的地址信息與所述應用業(yè)務的地址進行匹配,如果匹配成功,則通過所述應用業(yè)務的接 入鑒權����。
4. 根據(jù)權利要求3所述的方法,其特征在于�����,所述接入請求中還攜帶所述應用業(yè)務的 提供端的賬號����,所述方法還包括根據(jù)所述賬號對所述應用業(yè)務的提供端進行鑒權。
5. 根據(jù)權利要求2所述的方法�����,其特征在于�,該方法進一步包括,對通過接入鑒權的應 用業(yè)務進行策略配置��。
6. 根據(jù)權利要求5所述的方法��,其特征在于����,所述對通過接入鑒權的應用業(yè)務進行策 略配置����,包括對在規(guī)定時間內(nèi)�����,允許所述應用業(yè)務的使用次數(shù)進行配置��。
7. 根據(jù)權利要求5或6所述的方法�,其特征在于,所述根據(jù)應用業(yè)務的密碼��,對應用業(yè)務進行接入鑒權��,具體實現(xiàn)為根據(jù)所述密碼和所述對應關系��,查詢所對應的地址信息��,將所查詢到的地址信息與所 述應用業(yè)務的地址進行匹配��;如果匹配成功���,則根據(jù)預先配置的策略,對所述應用業(yè)務進行 策略檢查�����,如果策略檢查通過,則通過所述應用業(yè)務的接入鑒權�����。
8. —種應用業(yè)務接入鑒權代理���,其特征在于����,包括 注冊管理單元�����,用于對應用業(yè)務進行注冊并獲取應用業(yè)務的密碼�;接入鑒權單元,用于接收已注冊的應用業(yè)務的提供端發(fā)送的接入請求��,所述接入請求 中攜帶所述應用業(yè)務的密碼����,根據(jù)所述應用業(yè)務的密碼,對應用業(yè)務進行接入鑒權�。
9. 根據(jù)權利要求8所述的接入鑒權代理�����,其特征在于�,所述注冊管理單元�,包括 密碼生成子單元,用于接收所述應用業(yè)務的提供端發(fā)送的注冊申請�,所述注冊申請中攜帶所述應用業(yè)務的提供端的賬號和應用業(yè)務的地址,根據(jù)所述應用業(yè)務的地址生成所述 密碼���;密碼管理子單元���,用于保存所述密碼生成子單元生成的密碼與應用業(yè)務地址信息及所 述應用業(yè)務的提供端賬號的對應關系;密碼發(fā)送子單元����,用于將所述密碼生成子單元生成的密碼發(fā)送至所述應用業(yè)務的提供丄山順��。
10. 根據(jù)權利要求9所述的接入鑒權代理�,其特征在于,所述接入鑒權單元�,包括 第一密碼查詢子單元,用于接收已注冊的應用業(yè)務的提供端發(fā)送的接入請求���,根據(jù)接入請求中攜帶的應用業(yè)務的密碼與所述對應關系�,查詢所對應的地址信息;第一密碼匹配子單元����,用于將所述第一密碼查詢子單元查詢到的地址信息與所述應用 業(yè)務的地址進行匹配,如果匹配成功���,則通過所述應用業(yè)務的接入鑒權���。
11. 根據(jù)權利要求9所述的接入鑒權代理,其特征在于��,所述密碼生成子單元所接收的 接入請求中��,還攜帶所述應用業(yè)務的提供端的賬號�,則所述接入鑒權單元,包括第二密碼查詢子單元�,用于接收已注冊的應用業(yè)務的提供端發(fā)送的接入請求,根據(jù)接 入請求中攜帶的應用業(yè)務的提供端的賬號�����、應用業(yè)務的密碼與所述對應關系��,查詢所對應的地址信息;第二密碼匹配子單元�����,用于將所述第二密碼查詢子單元查詢到的地址信息與所述應用 業(yè)務的地址進行匹配�����,如果匹配成功����,則通過所述應用業(yè)務的接入鑒權。
12. 根據(jù)權利要求9所述的接入鑒權代理�,其特征在于,該接入鑒權代理進一步包括 策略配置單元��,用于對通過所述接入鑒權單元鑒權的應用業(yè)務進行策略配置�����。
13. 根據(jù)權利要求12所述的接入鑒權代理�����,其特征在于��,所述接入鑒權單元���,包括 密碼查詢子單元�,用于接收已注冊的應用業(yè)務的提供端發(fā)送的接入請求�����,根據(jù)接入請求中攜帶的應用業(yè)務的密碼和所述對應關系�,查詢所對應的地址信息;密碼匹配子單元�,用于將所述密碼查詢子單元查詢到的地址信息與所述應用業(yè)務的地 址進行匹配;策略檢查子單元���,如果所述密碼匹配子單元匹配成功���,則根據(jù)所述策略配置單元預先 配置的策略,對所述應用業(yè)務進行策略檢查���,如果策略檢查通過�,則通過所述應用業(yè)務的接 入鑒權�����。
全文摘要
本發(fā)明公開了一種應用業(yè)務接入鑒權方法和一種應用業(yè)務接入鑒權代理。所述應用業(yè)務接入鑒權方法包括在對應用業(yè)務進行注冊并獲取應用業(yè)務的密碼之后�,接收已注冊的應用業(yè)務的提供端發(fā)送的接入請求,所述接入請求中攜帶所述應用業(yè)務的密碼����,根據(jù)所述應用業(yè)務的密碼,對應用業(yè)務進行接入鑒權�����。應用本發(fā)明技術方案���,可以實現(xiàn)對單個應用業(yè)務進行接入鑒權���,擴大了接入鑒權的范圍,增加了電信業(yè)務能力的開放性�����。
文檔編號H04L29/06GK101729578SQ200810171219
公開日2010年6月9日 申請日期2008年10月27日 優(yōu)先權日2008年10月27日
發(fā)明者王偉 申請人:華為技術有限公司