CN120567913A - 业务处理方法及装置 - Google Patents
业务处理方法及装置Info
- Publication number
- CN120567913A CN120567913A CN202410221822.6A CN202410221822A CN120567913A CN 120567913 A CN120567913 A CN 120567913A CN 202410221822 A CN202410221822 A CN 202410221822A CN 120567913 A CN120567913 A CN 120567913A
- Authority
- CN
- China
- Prior art keywords
- user
- service
- request
- application server
- user identifier
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/146—Markers for unambiguous identification of a particular session, e.g. session cookie or URL-encoding
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0407—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
一种业务处理方法和装置,涉及通信技术领域。该方法包括:接收第一请求,第一请求包括业务标识,业务标识用于标识用户请求签约的所述业务;确定第一用户标识,第一用户标识用于标识用户,第一用户标识与为用户请求签约的另一业务创建的另一第一用户标识不同,第一用户标识用于请求签约业务,第一用户标识还用于请求访问业务。该方法中,网络为用户请求签约的不同业务生成了不同的第一用户标识,用户使用不同的第一用户标识签约或访问不同的业务,避免用户隐私泄露。
Description
技术领域
本申请涉及通信技术领域,尤其涉及一种业务处理方法及装置。
背景技术
用户为了访问第三方业务提供商SP(Service Provider)提供的业务,需要与第三方业务提供商签订服务协议。目前,第三方业务提供商多采用用户号码(例如,用户手机号)作为用户账号与用户签订服务协议。用户采用用户号码作为用户账号签约或访问第三方业务时容易被应用服务器方获取用户号码对应的第三方业务签约或访问记录信息,例如,用户使用同一个用户号码作为用户账号签约或访问多个不同第三方业务时,用户的签约或访问记录容易被第三方业务提供商追踪并泄露。因此,采用用户号码作为用户账号签约或访问第三方业务存在用户隐私信息泄露的问题。
发明内容
本申请实施例提供了一种业务处理方法、装置及系统。
第一方面,提供一种方法,该方法包含以下步骤:接收第一请求,所述第一请求包括业务标识,所述业务标识用于标识用户请求签约的所述业务;确定第一用户标识,所述第一用户标识用于标识所述用户,所述第一用户标识与为所述用户请求签约的另一业务创建的另一第一用户标识不同,所述第一用户标识用于请求签约所述业务,所述第一用户标识还用于请求访问所述业务。
采用上述实现方式,网络可以为用户签约或访问不同的业务时生成不同的第一用户标识,避免用户隐私泄露。
一种可能的实现方式中,所述接收第一请求包括:从第一网元接收所述第一请求,所述第一网元为接入和移动性管理网元,或者,运营商门户。
一种可能的实现方式中,所述方法还包括:向第一应用服务器发送第二请求,所述第二请求包括所述第一用户标识,所述第二请求用于请求签约所述业务,所述第一应用服务器用于处理所述业务;从所述第一应用服务器接收第二响应,所述第二响应用于指示所述用户请求签约的所述业务是否签约成功。
一种可能的实现方式中,所述方法还包括:接收自所述第一应用服务器的第一验证请求,所述第一验证请求包括所述第一用户标识;根据所述第一用户标识验证所述用户为合法用户。
通过验证第一用户标识的合法性,可以避免非法用户获取第一用户标识访问非法用户未签约的业务,保证业务访问的安全性。
一种可能的实现方式中,所述第一请求包括第二用户标识,所述第二用户标识为所述用户的用户号码,和/或,订户永久标识SUPI。
一种可能的实现方式中,所述方法还包括:向第一网元发送第一响应,所述第一响应用于指示所述用户请求的所述业务签约成功,所述第一响应包括所述第一用户标识。
一种可能的实现方式中,所述第一响应还包括有效期,所述有效期用于指示第一用户标识有效的期限,超过有效期时所述第一用户标识不可用。
通过设置有效期,身份管理网元可以管理第一用户标识有效的期限,定期对用户签约的业务进行续签,在续签过程中对第一用户标识的合法性进行验证。因此,可以提高第一用户标识的安全性。
一种可能的实现方式中,所述方法还包括:存储所述第一用户标识及所述业务标识与所述第二用户标识的关联关系;在接收到来自第一应用服务器的第一验证请求后,根据所述第一用户标识及所述业务标识与所述第二用户标识的关联关系,验证持有所述第一用户标识的用户为合法用户。
一种可能的实现方式中,所述第一请求还包括用户身份属性,所述用户身份属性用于指示所述用户请求签约所述业务使用的身份类型。
一种可能的实现方式中,所述确定第一用户标识,包括:为所述用户的所述用户身份属性创建的用于请求签约所述业务的所述第一用户标识与为所述用户的另一身份属性创建的用于请求签约所述业务的另一第一用户标识不同。
该实现方式中,用户可以使用不同身份属性多次订购同一个业务,网络可以为同一用户的不同身份属性生成并发放不同的第一用户标识,从而保障用户以不同身份访问业务时的隐私不被泄露。
一种可能的实现方式中,所述方法还包括:确定第一用户标识对应的有效期。
一种可能的实现方式中,所述方法还包括:在接收到来自第一应用服务器的第一验证请求后,根据所述有效期确定所述第一应用服务器是否持有有效的所述第一用户标识访问所述业务。
一种可能的实现方式中,所述第一用户标识包括第一数字签名,所述方法还包括:在接收到来自第一应用服务器的第一验证请求后,根据所述第一数字签名验证所述第一用户标识是否合法。
第一应用服务器可以根据第一数字签名验证第一应用标识是身份管理网元颁发的,提高了第一用户标识使用的安全性。
一种可能的实现方式中,所述第一验证请求还包括所述第一用户标识对应的第二数字签名,所述方法还包括:在接收到包括所述第一用户标识对应的所述第二数字签名的验证请求后,根据所述第二数字签名验证所述第一用户标识是否合法。
通过第二数字签名,网络可以验证携带第二数字签名的业务请求是合法用户发出的,提高了业务访问的安全性。
一种可能的实现方式中,所述第一验证请求还包括所述第一用户标识对应的重放攻击验证信息,所述方法还包括:在接收到包括所述第一用户标识对应的重放攻击验证信息的验证请求后,根据所述重放攻击验证信息验证持有所述第一用户标识的用户是否是合法用户。
一种可能的实现方式中,所述第一请求还包括第一访问控制属性,所述第一访问控制属性用于指示所述用户是否授权所述第一应用服务器持有所述第一用户标识代表所述用户访问其他业务,和/或,授权所述第一应用服务器代表所述用户访问其他业务的范围。
通过为第一用户标识设置访问控制属性,确定是否允许第一应用服务器使用用户提供的第一用户标识访问其他业务。用户通过第一访问控制属性授权第一应用服务器代表用户访问其他业务,为用户访问其他业务带来便捷。
一种可能的实现方式中,从所述第一应用服务器接收的第二响应还包括第二访问控制属性,所述第二访问控制属性用于指示所述第一应用服务器是否接受所述第一应用服务器持有所述第一用户标识访问其他业务,和/或,所述第一应用服务器接受所述第一应用服务器访问其他业务的范围。
一种可能的实现方式中,所述方法还包括:向第一网元发送的第一响应还包括所述第二访问控制属性。
一种可能的实现方式中,所述方法还包括:在接收到包括所述第二访问控制属性的验证请求后,根据所述第二访问控制属性确定所述第一应用服务器是否合法持有所述第一用户标识访问所述其他业务。
一种可能的实现方式中,所述方法还包括:接收来自第二应用服务器的第二验证请求,所述第二验证请求用于请求验证所述第一应用服务器是否合法持有所述第一用户标识,所述第二验证请求包括所述第一用户标识。
第二方面,提供一种方法,该方法包含以下步骤:向第一网元发送业务签约请求,所述业务签约请求用于请求签约所述业务,所述业务签约请求包括业务标识,所述业务标识用于指示用户请求签约的所述业务;接收业务签约响应,所述业务签约响应用于指示所述业务签约成功,所述业务签约响应包括第一用户标识,所述第一用户标识用于访问所述业务,所述第一用户标识与为所述用户请求访问的另一业务对应的另一第一用户标识不同。
上述方法可以由终端设备执行。
采用上述实现方式,终端设备可以使用不同的第一用户标识签约或访问不同的业务,可以避免隐私泄露。
一种可能的实现方式中,所述业务签约请求包括第一访问控制属性,所述第一访问控制属性用于指示所述用户授权所述第一应用服务器代表所述用户访问其他业务,和/或,授权所述第一应用服务器代表所述用户访问其他业务的范围,所述第一应用服务器用于处理所述业务。
一种可能的实现方式中,所述业务签约请求包括用户身份属性,所述用户身份属性用于指示所述用户请求签约所述业务使用的身份类型。
一种可能的实现方式中,所述方法还包括:向所述第一应用服务器发送业务访问请求,所述业务访问请求用于请求访问所述业务,所述业务访问请求包括所述第一用户标识。
一种可能的实现方式中,所述业务访问请求包括从所述业务签约响应中获取的第二访问控制属性,所述所述第二访问控制属性用于指示所述第一应用服务器是否接受所述第一应用服务器持有所述第一用户标识访问其他业务,和/或,所述第一应用服务器接受所述第一应用服务器访问其他业务的范围。
一种可能的实现方式中,所述业务访问请求包括从所述业务签约响应中获取的有效期,所述有效期用于确定所述第一用户标识是否有效。
一种可能的实现方式中,所述方法还包括:向第一网元发送第三请求,所述第三请求用于请求续签所述业务,所述第三请求包括所述第一用户标识;接收来自第一网元发送的第三响应,所述第三响应用于指示所述第三方业务续签是否成功,所述第三响应包括已更新所述有效期的第一用户标识。
一种可能的实现方式中,所述向第一网元发送所述第三请求包括:根据在所述有效期判断所述第一用户标识即将过期,在所述第一用户标识过期之前发送所述第三请求。
第三方面,提供一种方法,该方法包含以下步骤:接收业务访问请求,所述业务访问请求包括第一用户标识,所述第一用户标识用于访问所述业务,所述第一用户标识与所述用户请求访问的另一业务对应的另一第一用户标识不同;向所述第一网元发送验证请求,所述验证请求用于请求所述第一网元对所述第一用户标识进行验证,所述第一用户标识是由所述第一网元生成的,所述验证请求包括所述第一用户标识。
上述方法可以由应用服务器执行。
采用上述实现方式,应用服务器请求第二网元对第一用户标识进行验证,保证第一用户标识合法使用。
一种可能的实现方式中,所述第一用户标识包括第一数字签名,所述第一数字签名用于验证所述第一用户标识是否合法。
一种可能的实现方式中,所述业务访问请求包括第一用户标识对应的有效期,所述有效期用于指示第一用户标识有效的期限,超过有效期时所述第一用户标识不可用。
一种可能的实现方式中,所述业务访问请求包括访问控制属性,所述访问控制属性用于指示第一应用服务器是否接受所述第一应用服务器持有所述第一用户标识访问其他业务,和/或,所述第一应用服务器接受所述第一应用服务器访问所述其他业务的范围,所述第一应用服务器用于处理所述业务。
一种可能的实现方式中,所述验证请求还包括所述访问控制属性,所述访问控制属性用于确定所述第一应用服务器是否合法持有所述第一用户标识访问所述其他业务。
一种可能的实现方式中,所述验证请求还包括第二数字签名,所述第二数字签名由所述用户创建,所述第二数字签名用于验证所述第一用户标识是否合法。
一种可能的实现方式中,所述验证请求还包括第一用户标识对应的重放攻击验证信息,所述重放攻击验证信息用于验证持有所述第一用户标识的用户是否是合法用户。
一种可能的实现方式中,所述验证请求还包括所述有效期,所述有效期用于确定所述第一应用服务器是否持有有效的所述第一用户标识访问所述业务。
一种可能的实现方式中,所述方法还包括:接收来自所述第一网元的验证响应,所述验证响应用于指示所述第一用户标识验证通过。
一种可能的实现方式中,所述方法还包括:向第二应用服务器发送所述业务访问请求,所述业务访问请求用于请求访问所述其他业务,所述第二应用服务器用于处理所述其他业务。
第四方面,提供一种通信装置,该通信装置包括用于执行如上述第一方面中任一项所述方法的单元或者模块。所述通信装置可以提供数据通道信令控制功能。具体的,该通信装置可以包括处理单元和收发单元。
所述收发单元接收来接收第一请求,所述第一请求包括业务标识,所述业务标识用于标识用户请求签约的所述业务;所述处理单元确定第一用户标识,所述第一用户标识用于标识所述用户,所述第一用户标识与为所述用户请求签约的另一业务创建的另一第一用户标识不同,所述第一用户标识用于请求签约所述业务,所述第一用户标识还用于请求访问所述业务。
一种可能的实现方式中,所述处理单元具体用于:通过收发单元从第一网元接收所述第一请求,所述第一网元为接入和移动性管理网元,或者,运营商门户。
一种可能的实现方式中,所述处理单元具体用于:通过收发单元向第一应用服务器发送第二请求,所述第二请求包括所述第一用户标识,所述第二请求用于请求签约所述业务,所述第一应用服务器用于处理所述业务;从所述第一应用服务器接收第二响应,所述第二响应用于指示所述用户请求签约的所述业务是否签约成功。
一种可能的实现方式中,所述处理单元具体用于:通过收发单元接收自所述第一应用服务器的第一验证请求,所述第一验证请求包括所述第一用户标识;根据所述第一用户标识验证所述用户为合法用户。
一种可能的实现方式中,所述第一请求包括第二用户标识,所述第二用户标识为所述用户的用户号码,和/或,订户永久标识SUPI。
一种可能的实现方式中,所述处理单元具体用于:通过收发单元向第一网元发送第一响应,所述第一响应用于指示所述用户请求的所述业务签约成功,所述第一响应包括
所述第一用户标识。
一种可能的实现方式中,所述第一响应还包括有效期,所述有效期用于指示第一用户标识有效的期限,超过有效期时所述第一用户标识不可用。
一种可能的实现方式中,所述处理单元具体用于:存储所述第一用户标识及所述业务标识与所述第二用户标识的关联关系;在接收到来自第一应用服务器的第一验证请求后,根据所述第一用户标识及所述业务标识与所述第二用户标识的关联关系,验证持有所述第一用户标识的用户为合法用户。
一种可能的实现方式中,所述第一请求还包括用户身份属性,所述用户身份属性用于指示所述用户请求签约所述业务使用的身份类型。
一种可能的实现方式中,所述处理单元具体用于:为所述用户的所述用户身份属性创建的用于请求签约所述业务的所述第一用户标识与为所述用户的另一身份属性创建的用于请求签约所述业务的另一第一用户标识不同。
一种可能的实现方式中,所述处理单元具体用于:确定第一用户标识对应的有效期。
一种可能的实现方式中,所述处理单元具体用于:在接收到来自第一应用服务器的第一验证请求后,根据所述有效期确定所述第一应用服务器是否持有有效的所述第一用户标识访问所述业务。
一种可能的实现方式中,所述第一用户标识包括第一数字签名,所述处理单元具体用于:在接收到来自第一应用服务器的第一验证请求后,根据所述第一数字签名验证所述第一用户标识是否合法。
一种可能的实现方式中,所述第一验证请求还包括所述第一用户标识对应的第二数字签名,所述处理单元具体用于:在接收到包括所述第一用户标识对应的所述第二数字签名的验证请求后,根据所述第二数字签名验证所述第一用户标识是否合法。
一种可能的实现方式中,所述第一验证请求还包括所述第一用户标识对应的重放攻击验证信息,所述处理单元具体用于:在接收到包括所述第一用户标识对应的重放攻击验证信息的验证请求后,根据所述重放攻击验证信息验证持有所述第一用户标识的用户是否是合法用户。
一种可能的实现方式中,所述第一请求还包括第一访问控制属性,所述第一访问控制属性用于指示所述用户是否授权所述第一应用服务器持有所述第一用户标识代表所述用户访问其他业务,和/或,授权所述第一应用服务器代表所述用户访问其他业务的范围。
一种可能的实现方式中,从所述第一应用服务器接收的第二响应还包括第二访问控制属性,所述第二访问控制属性用于指示所述第一应用服务器是否接受所述第一应用服务器持有所述第一用户标识访问其他业务,和/或,所述第一应用服务器接受所述第一应用服务器访问其他业务的范围。
一种可能的实现方式中,向第一网元发送的第一响应还包括所述第二访问控制属性。
一种可能的实现方式中,所述处理单元具体用于:在接收到包括所述第二访问控制属性的验证请求后,根据所述第二访问控制属性确定所述第一应用服务器是否合法持有所述第一用户标识访问所述其他业务。
一种可能的实现方式中,所述处理单元具体用于:通过收发单元接收来自第二应用服务器的第二验证请求,所述第二验证请求用于请求验证所述第一应用服务器是否合法持有所述第一用户标识,所述第二验证请求包括所述第一用户标识。
第五方面,提供一种通信装置,该通信装置包括用于执行如上述第二方面中任一项所述方法的单元或者模块。所述通信装置可以包括处理单元和收发单元。
所述处理单元通过所述收发单元向第一网元发送业务签约请求,所述业务签约请求用于请求签约所述业务,所述业务签约请求包括业务标识,所述业务标识用于指示用户请求签约的所述业务;所述处理单元通过所述收发单元接收业务签约响应,所述业务签约响应用于指示所述业务签约成功,所述业务签约响应包括第一用户标识,所述第一用户标识用于访问所述业务,所述第一用户标识与为所述用户请求访问的另一业务对应的另一第一用户标识不同。
一种可能的实现方式中,所述业务签约请求包括第一访问控制属性,所述第一访问控制属性用于指示所述用户授权所述第一应用服务器代表所述用户访问其他业务,和/或,授权所述第一应用服务器代表所述用户访问其他业务的范围,所述第一应用服务器用于处理所述业务。
一种可能的实现方式中,所述业务签约请求包括用户身份属性,所述用户身份属性用于指示所述用户请求签约所述业务使用的身份类型。
一种可能的实现方式中,所述处理单元具体用于:通过收发单元向所述第一应用服务器发送业务访问请求,所述业务访问请求用于请求访问所述业务,所述业务访问请求包括所述第一用户标识。
一种可能的实现方式中,所述业务访问请求包括从所述业务签约响应中获取的第二访问控制属性,所述所述第二访问控制属性用于指示所述第一应用服务器是否接受所述第一应用服务器持有所述第一用户标识访问其他业务,和/或,所述第一应用服务器接受所述第一应用服务器访问其他业务的范围。
一种可能的实现方式中,所述业务访问请求包括从所述业务签约响应中获取的有效期,所述有效期用于确定所述第一用户标识是否有效。
一种可能的实现方式中,所述处理单元具体用于:通过收发单元向第一网元发送第三请求,所述第三请求用于请求续签所述业务,所述第三请求包括所述第一用户标识;接收来自第一网元发送的第三响应,所述第三响应用于指示所述第三方业务续签是否成功,所述第三响应包括已更新所述有效期的第一用户标识。
一种可能的实现方式中,所述向第一网元发送所述第三请求包括:根据在所述有效期判断所述第一用户标识即将过期,在所述第一用户标识过期之前发送所述第三请求。
第六方面,提供一种通信装置,该通信装置包括用于执行如上述第三方面中任一项所述方法的单元或者模块。所述通信装置可以包括处理单元和收发单元。
所述处理单元通过所述收发单元接收业务访问请求,所述业务访问请求包括第一用户标识,所述第一用户标识用于访问所述业务,所述第一用户标识与所述用户请求访问的另一业务对应的另一第一用户标识不同;所述处理单元通过所述收发单元向所述第一网元发送验证请求,所述验证请求用于请求所述第一网元对所述第一用户标识进行验证,所述第一用户标识是由所述第一网元生成的,所述验证请求包括所述第一用户标识。
一种可能的实现方式中,所述第一用户标识包括第一数字签名,所述第一数字签名用于验证所述第一用户标识是否合法。
一种可能的实现方式中,所述业务访问请求包括第一用户标识对应的有效期,所述有效期用于指示第一用户标识有效的期限,超过有效期时所述第一用户标识不可用。
一种可能的实现方式中,所述业务访问请求包括访问控制属性,所述访问控制属性用于指示第一应用服务器是否接受所述第一应用服务器持有所述第一用户标识访问其他业务,和/或,所述第一应用服务器接受所述第一应用服务器访问所述其他业务的范围,所述第一应用服务器用于处理所述业务。
一种可能的实现方式中,所述验证请求还包括所述访问控制属性,所述访问控制属性用于确定所述第一应用服务器是否合法持有所述第一用户标识访问所述其他业务。
一种可能的实现方式中,所述验证请求还包括第二数字签名,所述第二数字签名由所述用户创建,所述第二数字签名用于验证所述第一用户标识是否合法。
一种可能的实现方式中,所述验证请求还包括第一用户标识对应的重放攻击验证信息,所述重放攻击验证信息用于验证持有所述第一用户标识的用户是否是合法用户。
一种可能的实现方式中,所述验证请求还包括所述有效期,所述有效期用于确定所述第一应用服务器是否持有有效的所述第一用户标识访问所述业务。
一种可能的实现方式中,所述处理单元具体用于:通过收发单元接收来自所述第一网元的验证响应,所述验证响应用于指示所述第一用户标识验证通过。
一种可能的实现方式中,所述处理单元具体用于:通过收发单元向第二应用服务器发送所述业务访问请求,所述业务访问请求用于请求访问所述其他业务,所述第二应用服务器用于处理所述其他业务。
第七方面,提供一种通信系统,包括身份管理网元,终端设备和应用服务器,所述身份管理网元用于实现如上述第一方面中任一项所述的方法,所述终端设备用于实现如上述第二方面中任一项所述的方法,所述应用服务器用于实现如上述第三方面中任一项所述的方法,。
第八方面,提供一种可读存储介质,所述可读存储介质中存储有程序,当所述程序被通信装置执行时,实现如上述第一方面中任一项所述的方法,或者实现如上述第二方面中任一项所述的方法,或者实现如上述第三方面中任一项所述的方法。
第九方面,提供一种芯片系统,包括:存储器,用于存储计算机程序;处理器;当处理器从存储器中调用并运行计算机程序后,使得安装有该芯片系统的通信装置执行如上述第一方面中任一项所述的方法,或者执行如上述第二方面中任一项所述的方法,或者执行如上述第三方面中任一项所述的方法。
第十方面,提供一种计算机程序产品,所述计算机程序产品包括指令,当所述指令在处理器上运行时,使得处理器执行如上述第一方面中任一项所述方法,或者执行如上述第二方面中任一项所述方法,或者执行如上述第三方面中任一项所述方法。
附图说明
图1为本申请实施例应用的通信系统的架构示意图;
图2为本申请实施例提供的一种业务签约方法的流程示意图;
图3为本申请实施例提供的一种业务签约方法的流程示意图;
图4为本申请实施例提供的一种业务签约方法的流程示意图;
图5为本申请实施例提供的一种业务访问方法的流程示意图;
图6为本申请实施例提供的一种业务访问方法的流程示意图;
图7为本申请实施例提供的一种业务续签方法的流程示意图;
图8为本申请实施例中所涉及的装置的可能的示例性框图;
图9为本申请实施例中所涉及的装置的可能的结构示意图。
具体实施方式
为了使本申请的目的、技术方案和优点更加清楚,下面将结合附图对本申请作进一步地详细描述。方法实施例中的具体操作方法也可以应用于装置实施例或系统实施例中。其中,在本申请的描述中,除非另有说明,“多个”的含义是两个或两个以上。
在本申请的各个实施例中,如果没有特殊说明以及逻辑冲突,不同的实施例之间的术语和/或描述具有一致性、且可以相互引用,不同的实施例中的技术特征根据其内在的逻辑关系可以组合形成新的实施例。
可以理解的是,在本申请中涉及的各种数字编号仅为描述方便进行的区分,并不用来限制本申请的范围。上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定。
本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”以及其他各种术语标号等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包括,例如,包括了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
本申请提供的技术方案可以应用于各种通信系统,例如:第五代(5thgeneration,5G)通信系统(或称为新无线(new radio,NR)系统)、第四代(4th generation,4G)通信系统(或称为长期演进(long term evolution,LTE)系统)、LTE频分双工(frequency division duplex,FDD)系统、LTE时分双工(time division duplex,TDD)系统等。本申请提供的技术方案还可以应用于未来的通信系统,如第六代(6th generation,6G)移动通信系统。
为了防止用户在签约或访问第三方业务时用户隐私被泄露,本申请提出了一种业务处理方法,该业务处理方法可以适用于图1介绍的通信系统100。
图1所示的通信系统包括如下网元:身份管理网元(Identifier Management,IdM)、接入和移动性管理功能网元(access and mobility management function,AMF)、会话管理功能(session management function,SMF)、统一数据功能(unified datafunction,UDM)、用户面功能(user plane function,UPF)、无线网络设备(例如,(Radio)Access Network,(R)AN)、终端设备和应用服务器(或者,应用功能Application Function,AF),该通信系统还可以包括运营商的门户网站。
下面分别对上述设备或网元进行介绍。
(1)身份管理网元:身份管理网元是本发明新定义的网元,其功能主要用于验证用户真实身份,并向用户颁发数字身份凭证,或者称为数字身份标识(在本申请中,将二者称为第一用户标识)。数字身份凭证或数字身份标识用于标识用户的数字身份。数字身份凭证或数字身份标识是具有安全模式的独特的标识符,使得用户能够被唯一识别。数字身份凭证或数字身份标识可以用于验证用户的数字身份。身份管理网元可以是一个独立的网络功能NF(Network Function),也可能是UDM网络功能的一部分。本申请不限定身份管理网元的名称,在实施过程中也可以由其他名称的网元或网络功能行使身份管理网元的功能。
(2)用户数据管理网元:存储和管理用户终端网络和业务签约数据。在5G通信系统中,用户数据管理网元可以是统一数据管理UDM(unified data management)。
(3)接入和移动性管理网元:主要用于移动网络中的终端的注册、移动性管理、跟踪区更新流程,接入和移动性管理网元终结了非接入层(non access stratum,NAS)消息、完成注册管理、连接管理以及可达性管理、分配跟踪区域列表(track area list,TAlist)以及移动性管理等,并且透明路由会话管理(session management,SM)消息到会话管理网元。在第5代(5th generation,5G)通信系统中,接入和移动性管理网元可以是接入与移动性管理功能(access and mobility management function,AMF)。
(4)会话管理网元:主要用于移动网络中的会话管理,如会话建立、修改、释放。具体功能如为终端分配互联网协议(internet protocol,IP)地址、选择提供报文转发功能的用户面网元等。在5G通信系统中,会话管理网元可以是会话管理功能(session managementfunction,SMF)。
(5)用户面功能网元:主要负责对用户报文进行处理,如转发、计费等。用户面网元也可以包括协议数据单元(protocol data unit,PDU)会话锚点(PDU session anchor,PSA)。在5G通信系统中,用户面网元可以是用户面功能(user plane function,UPF)。
(6)终端设备:终端设备可以是任何能够接入网络的设备,还可以称为用户设备(user equipment,UE,后文为便于描述,可称为UE)、终端装置、接入终端、用户单元、用户站、移动站、移动台(mobile station,MS)、移动终端(mobile terminal,MT)、远方站、远程终端、移动设备、用户终端、终端、无线通信设备、用户代理或用户装置等。UE可以是一种向用户提供语音/数据连通性的设备,例如,具有无线连接功能的手持式设备、车载设备等。目前,一些终端的举例可以为:手机(mobile phone)、平板电脑(pad)、带无线收发功能的电脑(如笔记本电脑、掌上电脑等)、移动互联网设备(mobile internet device,MID)、虚拟现实(virtual reality,VR)设备、增强现实(Augmented Reality,AR)设备、工业控制(industrial control)中的无线终端、无人驾驶(self driving)中的无线终端、远程医疗(remote medical)中的无线终端、智能电网(smart grid)中的无线终端、运输安全(transportation safety)中的无线终端、智慧城市(smart city)中的无线终端、智慧家庭(smart home)中的无线终端、蜂窝电话、无绳电话、会话启动协议(session initiationprotocol,SIP)电话、无线本地环路(wireless local loop,WLL)站、个人数字助理(personal digital assistant,PDA)、具有无线通信功能的手持设备、计算设备或连接到无线调制解调器的其它处理设备、车载设备、可穿戴设备,4G/5G网络中的终端设备或者未来演进的公用陆地移动通信网络(public land mobile network,PLMN)中的终端设备等。本申请的实施例对终端设备所采用的具体技术、设备形态以及名称不做限定。
(7)接入网设备(R)AN:用于负责终端设备的无线侧接入,可能的部署形态包括:集中式单元(centralized unit,CU)和分布式单元(distributed unit,DU)的分离场景以及单站点场景。其中,在分离场景中,CU支持无线资源控制(radio resource control,RRC)、分组数据汇聚协议(packet data convergence protocol,PDCP)、业务数据适配协议(service data adaptation protocol,SDAP)等协议;DU主要支持无线链路控制层(radiolink control,RLC)、媒体接入控制层(media access control,MAC)和物理层协议。在单站点场景中,单站点可以包括(new radio Node,gNB)、演进型节点B(evolved Node B,eNB)、无线网络控制器(radio network controller,RNC)、节点B(Node B,NB)、基站控制器(basestation controller,BSC)、基站收发台(base transceiver station,BTS)、家庭基站、基带单元(base band unit,BBU)等。
(8)应用功能(Application function,AF)或应用服务器:第三方服务提供商(service provider,SP)提供服务的网元或服务器,应用功能可以通过网络开放功能(Network Exposure Function,NEF)连接到运营商网络的控制平面进行通信。应用服务器一般位于互联网或其它数据网络DN(Data Network)内,用户终端通过用户平面连接应用服务器,向用户提供第三方服务。
(9)网络开放功能:位于核心网和AF之间,负责管理开放网络数据。AF通过NEF访问核心网内部数据。例如,IdM可以通过NEF与AF或应用服务器进行通信。NEF提供安全保障来保证外部应用到3GPP网络的安全,提供外部应用QoS定制能力开放、移动性状态事件订阅和AF请求分发等功能。
(10)运营商门户:运营商建立的业务管理的网站或服务器,用户可以通过移动网络或互联网访问运营商门户,或者称为运营商Portal,订购或退订运营商提供的服务,查看服务套餐、计费信息、账户信息等。与运营商有合作关系的第三方SP也将其提供的服务展示在运营商Portal上供用户订购。在本发明中,用户还可以通过互联网连接到运营商Portal,请求IdM为其颁发数字身份标识。
(11)数据网络:提供互联网接入、运营商服务或第三方服务等服务的网络。
图2为本申请实施例提供的一种业务订购和访问方法的流程示意图。下面结合图2说明该实施例的实施过程。
S201:第一网元向第二网元发送第一请求。
例如,第一网元可以是接入和移动性管理网元,例如图1中的AMF,第二网元可以是身份管理网元,例如,图1中的IdM。
其中,第一请求用于请求签约业务,例如,该业务可以是第三方业务,该第三方业务可以由运营商网络之外的网络功能或者应用服务器提供,例如,图1中的AF。在本实施例中,称提供该业务的网络功能或者应用服务器为第一网络功能或第一应用服务器,为方便表述,将二者统一称为第一应用服务器。可选的,第一请求用于请求创建第一用户标识,第一用户标识也可以称为数字身份凭证,或者,数字身份标识。第一用户标识用于标识用户,在本发明中,用户使用第一用户标识签约和访问业务。
该第一请求包括业务标识,该业务标识可以用于确定该业务,或者,确定该业务对应的应用服务器,例如,第一网元或者第二网元可以根据该业务标识确定该业务对应的第一应用服务器。示例性的,该业务标识可以是应用标识(Application Identifier,APPID),或者,也可以是第一应用服务器的域名或者IP地址,或者,还可以是第一应用服务器的统一资源定位符(Uniform Resource Locator,URL)等。本发明不限定业务标识的具体形式。
可选的,第一请求还包括第二用户标识,第二用户标识可以为用户号码,例如手机号码,或者,第二用户标识还可以为订户永久标识(subscription permanent identifier,SUPI)。其中,订户永久标识SUPI可以用来标识用户,用户识别模块(subscriber identitymodule,SIM)或用户身份模块(user identity module,UIM)是用户永久标识SUPI的物理载体,用户将SIM/UIM插入终端设备,就能够使用SUPI通过网络的认证鉴权,进而正常访问网络。
需要说明的是,第一请求可以携带手机号码,或者,订户永久标识SUPI,或者,二者都携带。
可选的,在步骤S201之前,步骤S200中,终端设备可以向第一网元发送业务签约请求。业务签约请求包括业务标识。
需要指出的是,第一网元也可以是运营商Portal,例如图1中的Portal。如果第一网元是运营商Portal,可选的,业务签约请求可以包括用户号码,例如,电话号码。第一请求中携带的是用户号码。
S202:第二网元确定第一用户标识。
示例性的,第二网元确定第一用户标识时可以随机生成一个字符串,例如,该字符串可以由数字,或,字母,或,其他特殊字符中的一种或几种组成。该字符串能够唯一标识该用户。为了防止第一应用服务器泄露用户隐私,该用户请求签约不同的业务时,第二网元为该用户创建不同的第一用户标识。例如,当该用户请求签约业务#1(或者说第一请求携带业务标识#1),第二网元为该用户创建第一用户标识#1,或者说创建字符串#1;当该用户请求签约业务#2(或者说第一请求携带业务标识#2),第二网元为该用户创建第一用户标识#2,或者说创建字符串#2。第一用户标识#1与第一用户标识#2不同,或者说,字符串#1与字符串#2不同。
在该实现方式中,用户签约不同的业务时使用不同的第一用户标识,因此,可以避免用户隐私泄露。
可选的,第一用户标识还可以包括第一数字签名,该第一数字签名由第二网元生成,该第一数字签名用于验证该第一用户标识是第二网元分配或者颁发的。示例性的,该数字签名可以是第二网元利用私钥生成的,或者,可以是第二网元利用与第一应用服务器的共享秘钥生成的。
可选的,第一用户标识还可以具有一个或多个属性,例如,该属性可以包括业务标识。业务标识可以用于确定该第一用户标识对应的是哪个业务。
或者,可选的,该属性可以包括第一用户标识的有效期。有效期用于限定第一用户标识可用的时间范围。示例性的,有效期可以是时段长度,例如,以生成或收到第一用户标识的时间为基准,超过该时间长度后第一用户标识失效;或者,有效期可以是一个时间点,超过该时间点后第一用户标识失效。
可选的,第一用户标识还可以保证对应唯一的公民。例如,如果国家法规要求保证公民实名签约业务时,由第二网元保证每个第一用户标识都能对应唯一的公民。例如,运营商在为用户发放SIM或UIM卡时验证用户的公民身份证来实现SUPI或电话号码对应一个真实存在的公民。
S203:第二网元向第一应用服务器发送第二请求。
其中,第二请求包括第一用户标识。第二请求用于向第一应用服务器请求签约业务。
可选的,如果第一用户标识包括第一数字签名,且,第一数字签名是由第二网元使用私钥生成的,第二请求还可以包括第一用户标识的第一数字签名对应的公钥,该公钥与S202中第二网元为第一用户标识生成第一数字签名的使用的私钥是对应的。该公钥可以用于验证第一用户标识的第一数字签名。
可选的,第二请求还可以包括业务标识。
S204:第一应用服务器为用户创建用于访问业务的用户账号。
示例性的,第一应用服务器对第一用户标识中包括的第一数字签名进行验证。例如,如果S202中第二网元采用共享秘钥生成第一用户标识的第一数字签名,第一应用服务器使用与第一数字第二网元预先共享的秘钥进行验证;如果S202中第二网元采用私钥生成第一用户标识的第一数字签名,第一应用服务器使用该私钥对应的公钥对第一数字签名进行验证。示例性的,公钥可以是第一应用服务器从第二网元的公钥证书中获取的,也可以是S203中第二请求携带的。
如果第一数字签名验证通过,则为用户创建账号,例如,使用第一用户标识中的能够唯一标识用户的字符串作为用户访问业务的账号。
S205:第一应用服务器向第二网元发送第二响应。
其中,第二响应用于指示签约是否成功,例如,第二响应包括指示信息,该指示信息指示签约是否成功。示例性的,该指示信息可以是一个比特位,如果第二响应携带比特1或true,则表示业务签约成功,反之,如果携带0或false,或者不携带任何值,则表示业务签约失败。
可选的,第二响应还包括第一用户标识。
可选的,如果S203中第二请求包括业务标识,第二响应还可以包括该业务标识。
S206:第二网元存储第一用户标识和第二用户标识以及业务标识之间的关联关系。
第一种实现方式中,存储该关联关系时可以将第一用户标识作为查询的方式,例如,通过查询第一用户标识可以将存储的第一用户标识和第二用户标识以及业务标识之间的关联关系查找出来。因为第一用户标识是唯一的,通过这种方式可以查找到该关联关系。示例性的,在使用该关联关系验证第一用户标识合法性时,根据第一用户标识查询第二网元是否存储有对应关联关系的存储记录,并验证该存储记录中的业务标识是否和第一应用服务器对应,如果业务标识和第一应用服务器对应,则认为第一用户标识合法性验证通过。
第二种实现方式中,存储该关联关系时可以将第一用户标识和业务标识作为查询的方式,例如,通过查询第一用户标识和业务标识可以将存储的第一用户标识和第二用户标识以及业务标识之间的关联关系查找出来。示例性的,在使用该关联关系验证第一用户标识合法性时,可以先验证业务标识是否和第一应用服务器对应。如果业务标识和第一应用服务器对应,则通过第一用户标识,或者,通过第一用户标识和业务标识查询第二网元是否存储有对应关联关系的存储记录。如果存储有该关联关系,则认为第一用户标识合法性验证通过。可选的,存储该关联关系时,还可以保存第一标识对应的属性信息,例如,属性信息可以包括有效期属性。
需要说明的是,该步骤为可选步骤。
此外,如果步骤S206执行,S206可以与S202合并。也就是说,第二网元可以在创建第一用户标识时就存储了第一用户标识和业务标识以及第二用户标识的关联关系。
S207:第二网元向第一网元发送第一响应。
其中,第一响应用于指示签约是否成功,例如,可以用指示信息指示用户请求签约的业务是否签约成功。第一响应还包括第一用户标识。
可选的,第一响应还包括业务标识。
可选的,第一响应还包括第二用户标识。
如果第一网元为AMF,S201的第一请求可以携带SUPI,或,用户号码,或者二者都携带。示例性的,如果S201中携带SUPI,此时第一响应也携带SUPI,AMF根据SUPI可以找到对应用户的终端设备将业务签约响应发给对应终端设备。如果S201中携带用户号码,此时第一响应携带用户号码,AMF根据用户号码查找SUPI,也可以找到对应用户的终端设备。如果S201中携带SUPI和用户号码,此时第一响应可以携带SUPI,也可以携带用户号码,如果携带的是用户号码,则AMF可以根据用户号码查找SUPI。
如果第一网元为运营商Portal,S201的第一请求可以携带用户号码,此时,第一响应也携带用户号码。
可选的,第一网元可以向终端设备发送业务签约响应,如图2中的S208。业务签约响应用于指示业务签约是否成功,业务签约响应还包括第一用户标识。
上述步骤描述了业务签约过程,第二网元为用户待请求访问的不同业务生成了不同的可以唯一标识用户的第一用户标识。由于用户签约不同的业务时使用了不同的第一用户标识,第一应用服务器无法获取用户其他业务的签约记录,因此可以避免隐私泄露。
下面介绍用户根据第一用户标识访问业务的过程。
S209:第一应用服务器接收业务访问请求1。
示例性的,业务访问请求1由终端设备发送,业务访问请求1包括第一用户标识。
可选的,第一用户标识可以包括S202中第二网元生成的第一数字签名。
可选的,业务访问请求1可以包括第一用户标识的第一数字签名对应的公钥证书。该公钥用于后续网络对第一用户标识的合法性进行验证。
可选的,业务访问请求1还可以包括终端设备为第一用户标识生成的第二数字签名。终端设备可以使用第二网元为用户颁发的私钥(即第一用户标识对应的私钥)对包含第一用户标识在内的业务访问请求1进行数字签名,也就是生成第二数字签名。示例性的,第二网元为用户生成该私钥和该私钥对应的公钥。第二网元将私钥颁发给用户,例如,可以通过互联网络层安全协议(Internet protocol security,IPsec)隧道加密传递。公钥可以由第二网元保留,用于对使用该私钥生成的第二数字签名进行验证。
可选的,业务访问请求1还可以包括重放攻击验证信息,例如,重放攻击验证信息可以是时间戳,该时间戳可以对应用户或终端设备发起访问请求或者进行数字签名的时间。或者,该重放攻击验证信息也可以是随机数,用户或终端设备发起业务访问时产生一个随机数。第一用户标识对应的私钥对包含重放攻击验证信息的业务访问请求1的第二数字签名用于保证业务访问请求1为一次性有效,即,在合法用户访问请求后有非法用户获取了访问请求消息中的用户第一用户标识,也无法访问第一应用服务器提供的业务。
可选的,业务访问请求1可以包括第一用户标识的有效期信息,该有效期信息可以用于指示第一用户标识有效的期限。或者,该有效期信息可以用于指示第一用户标识具有对应的有效期,终端设备通过该有效期信息指示网络对第一用户标识的有效期进行验证。
可选的,业务访问请求1可以包括指示信息,该指示信息指示网络对第一用户标识的有效期进行验证。
当业务访问请求1包括第一用户标识的有效期,或者包括指示网络对第一用户标识的有效期进行验证的指示信息时,在后续业务访问过程中网络需要对第一用户标识的有效期进行验证。
S210:第一应用服务器验证第一用户标识的合法性。
示例性的,第一应用服务器验证用户签约记录。例如,第一应用服务器使用第一用户标识查找用户的业务签约记录,例如,使用第一用户标识中能够唯一标识用户的字符串作为用户账号进行签约记录的查找。如果可以找到用户的签约记录,则认为用户使用第一用户标识进行了签约,继续执行后续验证过程,即对用户的第一用户标识继续进行验证。如果没有找到签约记录,则拒绝业务访问请求,不用再继续进行第一用户标识的验证。
示例性的,第一应用服务器对用户的第一用户标识进行验证。根据第一用户标识包括的内容的不同,第一应用服务器验证方法不同。
如果第一用户标识包括用于标识用户的字符串,例如只包括该字符串。第一应用服务器只进行上述用户签约记录验证即可,不需要再进行第一用户标识的额外验证。
如果业务访问请求1中包括第一用户标识对应的属性(例如,有效期)。例如,该有效期指示第一用户标识有效的期限,此时,第一应用服务器对第一标识的有效期进行验证。例如,第一应用服务器判断当前时间,或者,接收到业务访问请求的时间是否在第一用户标识对应的有效期指示的时间范围内。如果,上述时间在第一用户标识对应的有效期指示的时间范围内,则认为有效期验证后通过,否则,验证不通过,确定第一用户标识失效。
如果第一用户标识包括第一数字签名,其中,第一数字签名由第二网元生成,进一步的,如果第二网元与第一应用服务器预先配置了共享秘钥,或者第一应用服务器获得了第二网元的公钥证书,第一应用服务器可以利用该公钥或共享秘钥对第一用户标识进行验证,来确定第一用户标识是否由合法的第二网元生成的。示例性的,在第二网元生成第一用户标识的过程中,第二网元使用共享秘钥生成第一用户标识对应的第一数字签名。此时,第二网元可以将该共享秘钥预先配置给第一应用服务器。示例性的,对于上述公钥证书,第一应用服务器可以在业务访问请求1中获取,例如,业务访问请求1携带第一用户标识对应的第一数字签名的公钥证书。
上述情况,第一应用服务器可以对第一用户标识进行验证,在另一些情况下,第一应用服务器请求第二网元对第一用户标识进行验证(例如,通过后续步骤S211进行验证)。
示例性的,如果用户请求访问的该业务为运营商代扣费,此时可以向第二网元发送验证请求,请求第二网元对第一用户标识进行验证。例如,上述场景中,第一用户标识包括用于标识用户的字符串,或者,第一用户标识包括第一数字签名,如果该业务是运营商代扣费,第一应用服务器向第二网元请求验证该第一用户标识。
如果业务访问请求1包括有效期信息,第一应用服务器也可以向第二网元请求验证该第一用户标识。例如,业务访问请求1携带的有效期可能会被篡改,或者,不可信,第一应用服务器为了确保验证的准确性,可以向第二网元请求验证该第一标识的有效期。或者,如果业务访问请求1携带的有效期信息只是一个请求验证有效期的指示信息,第一应用服务器无法获取具体的有效期,因此无法进行验证。此时,第一应用服务器向第二网元请求验证该第一标识的有效期。
如果业务访问请求1包括第二数字签名,第一应用服务器向第二网元请求验证持有该第一标识的用户是否合法,具体参见步骤S212。该第二数字签名是终端设备生成的,终端设备生成第二数字签名时使用的是第二网元为其颁发的私钥,第二网元持有验证第二数字签名的公钥,第一应用服务器不持有。因此,这种情况下,第一应用服务器请求第二网元对持有该第一用户标识的用户进行合法性验证。
S211:第一应用服务器向第二网元发送第一验证请求。
其中,第一验证请求用于请求第二网元对第一用户标识进行验证,第一验证请求包括第一用户标识。
可选的,第一用户标识可以包括第一数字签名。
可选的,第一验证请求可以包括第一用户标识对应的终端设备生成的第二数字签名。可选的,第一验证请求还可以包括重放攻击验证信息。
可选的,第一验证请求可以包括业务标识。
S212.第二网元验证持有第一用户标识的用户是否合法。
根据第一用户标识包括的内容的不同,第二网元的验证方法不同。
第一种情况,第一用户标识包括用于标识用户的字符串,例如,只包括该字符串。示例性的,第二网元收到第一验证请求后确定第一用户标识,然后通过查找S202或S206存储的第一用户标识和业务标识以及第二用户标识之间的关联关系,验证持有第一用户标识的用户为合法用户。例如,如果第二网元通过第一用户标识,或者通过第二用户标识和业务标识查找到了第一用户标识和业务标识以及第二用户标识之间的关联关系,则认为第一用户标识验证通过。
第二种情况,业务访问请求1中包括第一用户标识对应的属性(例如,有效期信息)。示例性的,该有效期信息指示第一用户标识有效的期限。或者,该有效期信息可以用于指示第一用户标识具有对应的有效期,终端设备通过该有效期信息指示网络对第一用户标识的有效期进行验证。或者,业务访问请求1携带的有效期信息只是一个请求验证有效期的指示信息。此时第二网元查找存储的第一用户标识对应的有效期,根据第二网元存储的有效期验证第一用户标识是否有效。例如,如果第二网元收到验证请求的时刻在第一用户标识的有效期内,则认为第一用户标识的有效期验证通过。如果业务访问请求1携带的有效期属性只是一个请求验证有效期的指示信息,第二网元查找第一用户标识具有对应的有效期。如果业务访问请求1携带的有效期信息指示第一用户标识有效的期限,第二网元可以直接使用该有效期,或者,也可以查找第一用户标识具有对应的有效期。因为,验证请求中携带的有效期可能会被篡改,为了保证有效期验证的准确性,第二网元可以查找自身缓存的有效期,根据查找到的有效期进行验证。
第三种情况,第一用户标识包括第一数字签名。第二网元根据该数字签名对应的公钥或共享秘钥对第一用户标识进行验证。如果验证通过,则确定第一用户标识是由第二网元颁发的或者创建的。
第四种情况,第一验证请求还包括第一用户标识的第二数字签名。第二网元使用用户的公钥证书中的公钥对第二数字签名进行验证。如果第二网元使用该公钥对第二数字签名进行验证通过,则可以确定持有该第一用户标识的用户为合法用户。进一步的,如果第一验证请求还携带重放攻击验证信息,第二网元对重放攻击验证信息进行验证。例如,该重放攻击信息可以是时间戳,第二网元对时间戳进行验证。示例性的,如果第二网元确定携带该时间戳的业务请求消息1是首次验证,则认为验证通过。可选的,除首次验证外,还需要满足如下条件:如果时间戳对应的时间与验证时间的时间间隔小于第一门限,才能认为验证通过。示例性的,该第一门限可以为预设值。例如,用户身份标识的时间戳字段指示的时间为2023年12月28日0点0分0秒,第二网元进行验证的时间为2023年12月28日1点0分0秒,预设门限为10分钟,间隔时间大于预设门限,因此验证不通过。或者,第二网元在此次验证之前验证过相同时间戳的业务请求消息1,则认为此次验证的业务请求消息1为非法用户发起,或者说用户受到了重放攻击。因此,可以确定该第一用户合法性验证不通过。需要说明的是,首次验证是指携带该第一用户标识的业务请求消息1之前在第二网元没有验证过,或者说,携带该第一用户标识的业务请求消息1及对应的时间戳第二网元之前没有验证过。每次验证后第二网元存储本次验证的携带该第一用户标识的业务请求消息1和对应的时间戳。如果此次验证携带该第一用户标识的业务请求消息1对应的时间戳与之前第二网元存储的携带该第一用户标识的业务请求消息1的时间戳相同,则认为验证不通过。
第二网元将验证结果发送给第一应用服务器。例如,S212还可以包括第二网元向第一应用服务器发送验证请求响应的步骤。示例性的,验证请求响应可以包括用户合法性验证是否通过的指示信息,例如,可以为1比特指示信息。
可选的,如果验证失败,还可以指示验证失败的原因,例如,第二网元未查到第一用户标识和业务标识以及第二用户标识之间的关联关系,或者,有效期验证不通过,或者,第一用户标识不是第二网元颁发的,或者,第二数字签名不是终端设备生成的(或者说第二数字签名验证不通过),或者,重放攻击验证不通过。
可选的,在第二网元执行第三种情况,和/或,第四种情况的验证之前,可以先进行第一用户标识和第二用户标识及业务标识的关联关系的验证。例如,如果关联关系验证通过,则进一步进行第三种情况和第四种情况中的对数字签名的验证,否则,不进行第三种情况和第四种情况中的对数字签名的验证,判定验证不通过。示例性的,第一用户标识和第二用户标识及业务标识的关联关系的验证方法参见S206。
需要指出的是,上述情况二至情况四不互斥,第二网元可能执行其中的一种,或,几种,或,全部的验证过程。
可选的,第一应用服务器可以向终端设备发送业务访问响应1,例如,图2中的步骤S213。该业务访问响应1用于指示第一应用服务器是否接受终端设备的业务访问请求。
示例性的,如果验证持有第一用户标识的用户是合法的,第一应用服务器可以确定接受该用户的业务访问请求1,否则,拒绝该用户的业务访问请求1。需要指出的是,如果第一应用服务器验证用户签约记录不通过,则拒绝该用户的业务访问请求1
在该实施例中,第一应用服务器只获得了第二网元为用户生成的第一用户标识,且用户访问的业务不同,第二网元生成的第一用户标识也不同。同时,第一应用服务器不获取用户号码,也不获取第一用户标识和用户号码的关联关系,因此,第一应用服务器无法获取用户电话号码等个人隐私信息,从而避免隐私泄露。
另一种场景中,同一用户以不同的身份属性签约或访问业务,为避免用户不同身份属性间泄漏隐私,第二网元在为用户创建第一用户标识时根据用户不同身份属性创建不同的第一用户标识。下面描述该实施方案的步骤。
对应的,另一种实现方式中,步骤S201中的第一请求还包括用户身份属性。
其中,用户身份属性用于指示用户以何种身份类型请求签约业务。例如,身份属性包括个人身份属性,或者,单位身份属性。其中,个人身份属性表示用户以个人身份签约或访问业务,例如用于个人娱乐或学习目的;单位身份属性表示用户以单位身份属性签约或访问业务,例如用于工作目的。用户以不同的身份属性签约或访问业务时,第一应用服务器可以将其当做不同的用户进行处理,也就是说,用户的不同的身份属性之间的签约或访问行为相互独立。需要说明的是,个人身份属性和工作单位身份属性只是用户身份属性的举例,并不仅限于这两类,用户还可以有其他用户身份属性。
相应的,在上述步骤S202-S212的基础上,可以新增如下动作:
步骤S202中第二网元创建第一用户标识。示例性的,第二网元在为用户创建第一用户标识时根据用户不同身份属性创建不同的第一用户标识。例如,当用户以个人身份属性请求签约业务时,第二网元为用户创建第一用户标识#1,当用户以单位身份属性请求签约相同业务时,第二网元为用户创建第一用户标识#2,第一用户标识#1与第一用户标识#2不同。可选的,第一用户标识对应的属性信息可以包括用户身份属性。
步骤S203中,可选的,第二请求还可以包括用户身份属性。
步骤S205中,可选的,第二响应还可以包括用户身份属性。
步骤S206中,可选的,第二网元还可以存储用户身份属性与第一用户标识和第二用户标识以及业务标识之间的关联关系。相应的,该关联关系还可以将第一用户标识和业务标识以及用户身份属性作为查询的方式,例如,可以通过第一用户标识和业务标识及用户身份属性可以将存储的该关联关系查找出来。
步骤S207中,可选的,第一响应还可以包括用户身份属性。
步骤S209中,可选的,业务访问请求1还可以包括用户身份属性。
步骤S211中,可选的,第一验证请求还可以包括用户身份属性。
该实现方式中,用户可以使用不同身份属性多次订购同一个业务,第二网元可以为同一用户的不同身份属性生成并发放不同的第一用户标识,从而保障用户以不同身份访问业务时的隐私不被泄露。
另一种场景中,用户可以通过访问控制属性授权第一应用服务器持有第一用户标识访问其他业务。下面描述该实施例的步骤。
对应的,一种实现方式中,步骤S201中的第一请求还包括第一访问控制属性。
其中,第一访问控制属性用于指示是否允许第一应用服务器代表用户访问其他业务,例如,是否允许第一应用服务器代表用户访问除请求签约的该业务之外的其他业务,这些其他业务可以是运营商提供的业务,也可以是运营商以外的网络或应用服务器提供的业务。可选的,第一访问控制属性还可以包括允许第一应用服务器代表用户访问其他业务的范围。示例性的,第一访问控制属性可以业务列表,例如,可以是一个APP列表,或者,可以是第一应用服务器的域名或者IP地址列表,列表给出了用户授权第一应用服务器可以持有第一用户标识访问的业务。或者,进一步的,第一访问控制属性还包括访问每一项业务时可以执行的任务。
例如,请求签约的业务可以为智能助手,智能助手可以是上述业务列表中的一项业务,智能助手可以帮助用户处理电话业务(例如,接听或拨打电话),其中,接听或拨打电话是智能助手可以执行的任务。例如,第一控制属性还可以进一步指示允许智能助手自动拨打或自动接听的电话的范围,该范围可以是时间范围,比如允许智能助手在哪个时段接听或拨打电话,也可以是号码范围,比如允许智能助手接听或拨打哪些电话号码。
相应的,在上述步骤S202-S207的基础上,可以新增如下动作:
步骤S202中,第一用户标识的属性还可以包括步骤S201中的第一访问控制属性。
步骤S203中,第二请求还可以包括步骤S201中的第一访问控制属性。第一访问控制属性用于通知第一应用服务器用户授权其持有第一用户标识代表用户可以访问哪些业务。
步骤S205中,第二响应还可以包括第二访问控制属性。示例性的,第一应用服务器收到第二请求中携带的第一访问控制属性时,可以进一步确定其是否接受,或者,部分接受第一访问控制属性指示的可代表用户访问的业务范围。例如,第一应用服务器可以全部接受第一访问控制属性,此时,第二访问控制属性与第一访问控制属性相同。或者,第一应用服务器只接受部分第一访问控制属性指示的业务,例如,第一应用服务器只接受第一访问控制属性指示的业务列表中的部分业务,该部分业务构成第二访问控制属性。
步骤S206中,第二网元在存储第一用户标识和第二用户标识以及业务标识之间的关联关系时还可以存储第一用户标识对应的第二访问控制属性。
步骤S207中,第一响应还可以包括第二访问控制属性。
需要指出的是,如果用户请求第一应用服务器持有第一用户标识访问其他业务,S209的业务访问请求1中可以包括访问控制属性。示例性的,第二应用服务器提供或处理该其他业务,第一应用服务器可以持有用户的第一用户标识向第二应用服务器发起通信请求。下面描述用户请求第一应用服务器持有第一用户标识访问其他业务的过程。
相应的,业务访问过程中的步骤S209-S213新增如下动作:
步骤S209中,业务访问请求1还可以包括第二访问控制属性。
步骤S211中,第一验证请求还可以包括第二访问控制属性。
步骤S212中,第二网元除了验证第一用户标识是否是合法用户持有的,还需要验证终端设备在业务访问请求1中携带的第二访问控制属性是否是正确的。例如,用户有可能在业务访问请求1中携带不合法的第二访问控制属性,也就是说业务访问请求1中携带的第二访问控制属性与网络下发给用户的第二访问控制属性不同(例如,在S208中携带的第二访问控制属性)。例如,用户企图扩大授权第一应用服务器持有第一用户标识代表用户访问其他业务的范围。此时,为了确保用户请求第一应用服务器代表用户访问的其他业务是签约过程中第一应用服务器接受的,第二网元对第一验证请求中包括的第二访问控制属性进行验证。
示例性的,第二网元在S206(或S202)存储了第一用户标识和第二用户标识以及业务标识的关联关系,该关联关系还包括第一标识对应的第二访问控制属性。第二网元查找到其存储的第二访问控制属性,如果该第二访问控制属性指示的内容包括第一验证请求中的第二访问控制属性指示的内容,则认为第二访问控制属性验证通过。例如,该第二访问控制属性指示的内容与第一验证请求中的第二访问控制属性指示的内容相同,或者,该第二访问控制属性指示的内容包含了第一验证请求中的第二访问控制属性指示的内容,
示例性的,第二网元发送给第一应用服务器的对应的验证请求响应中包括第二访问控制属性验证通过的指示信息。第一应用服务器收到指示信息后即可判断终端设备请求访问的其他业务是不是签约过程中第一应用服务器所接受的。
另一种实现方式中,第二网元不验证第一验证请求中携带的第二访问控制属性。在终端设备指示第一应用服务器代表用户具体访问哪一项业务时,再对访问业务的合法性进行验证。该实现方式在后续步骤中进行描述。
需要指出的是,如果用户请求第一应用服务器持有第一用户标识访问其他业务,第一应用服务器需要向提供其他业务的应用服务器发起通信请求,例如,本实施例将提供其他业务的应用服务器成为第二应用服务器。第二应用服务器收到第一应用服务器的通信请求后,对第一应用服务器的合法性进行验证,即验证第一应用服务器是否合法的持有第一用户标识。因此,在S213之后还需要执行下述步骤。
可选的,在S213之后,终端设备向第一应用服务器发送指示信息,该指示信息用于指示终端设备指示第一应用服务器要访问的业务。例如,该指示信息指示第一应用服务器提供智能助手业务,终端设备在该指示信息中指示智能助手持有第一用户标识注册到运营商网络,进行接听或拨打电话,或者,指示智能助手登陆某网站执行订票的操作。此时,运营商网络的电信应用服务器,或者,提供订票业务的应用服务器可以称为第二应用服务器。
S214:第一应用服务器向第二应用服务器发送业务访问请求2。
其中,业务访问请求2包括第一用户标识,可选的,业务访问请求2还包括第二访问控制属性信息。示例性的,第二访问控制属性指示第一应用服务器可以向第二应用服务器发起通信请求。示例性的,用户授权第一应用服务器持有第一用户标识访问业务#1。业务#1由第二应用服务器处理,业务#1是第二访问控制属性指示的业务列表的中业务。
可选的,业务访问请求2还可以包括有效期属性。
在该实现方式中,第一应用服务器根据用户第一用户标识中的第二访问控制属性,设置第一应用服务器的业务逻辑。例如,第二应用服务器提供智能助手服务,第二访问控制属性用于指示用户允许第一应用服务器使用第一用户标识接入到运营商网络执行自动拨打或自动接听电话的行为。比如,第一应用服务器向运营商网络的电信应用服务器(即第二应用服务器)发送业务请求2,业务访问请求2携带该用户第一用户标识,第一应用服务器使用该第一用户标识注册到运营商网络,等待自动接听电话第二访问控制属性还可以指示第一应用服务器接听或拨打电话的时段,或者,接听或拨打电话的电话号码。
S215:第二应用服务器向第二网元发送第二验证请求。第二验证请求包括的内容参见步骤S211中第一验证请求中的内容。
可选的,第二验证请求可以携带S214中的业务访问请求2中的指示信息,该指示信息指示终端设备指示第一应用服务器访问的业务。
S216:第二网元验证第一应用服务器是否合法持有第一用户标识。验证方法参见步骤S212。
可选的,作为另一种验证方法,第二网元不在S212验证第一验证请求中携带的第二访问控制属性是否合法,而是在该步骤验证终端设备指示第一应用服务器访问的业务是不是在第二访问控制属性指示的业务范围内,或者说,是否在第二访问控制属性指示的列表中。例如,第二网元查找到其存储的第二访问控制属性,如果终端设备指示第一应用服务器访问的业务在该第二访问控制属性指示的业务范围内,则认为终端设备指示第一应用服务器访问的业务是签约过程中第一应用服务器接受的,因此验证通过,否则,验证不通过。
类似的,第二网元将验证结果发送给第二应用服务器。示例性的,第二网元向第二应用服务器发送第一用户标识验证响应消息。身份验证响应消息携带身份验证结果,例如,验证结果为1比特指示,1或true表示身份验证通过,否则,表示验证不通过。
S217:第二应用服务器在收到验证通过的结果后,向第一应用服务器发送通信响应。示例性的,通信响应可以是接受第一应用服务器发起的通信响应,或者,可以是拒绝第一应用服务器发起的通信响应。
该实施例中,通过为第一用户标识设置访问控制属性,确定是否允许第一应用服务器使用用户提供的第一用户标识访问其他业务,扩大了第一用户标识的使用范围。此外,用户通过第一访问控制属性授权第一应用服务器代表用户访问其他业务,提高用户体验。
图3为本申请实施例提供的一种业务签约方法的流程示意图,在该方法中终端设备向接入和移动性管理网元发起业务签约请求。该方法包括以下步骤:
S301:终端设备向接入和移动性管理网元发送业务签约请求1。
其中,业务签约请求1用于请求签约业务,或者说,终端设备请求接入和移动性管理网元发起业务签约请求。示例性的,该业务可以是运营商以外的网络或应用服务器提供的业务,该业务也可以称为第三方业务。业务签约请求1包括业务标识,业务标识可以用于确定第三方业务,关于业务标识的描述可以参考图2中的步骤S201。
在一个实现方式中,终端设备通过无线接入网(例如,Radio Access Network,RAN)向接入和移动性管理网元(例如,AMF)发送业务签约请求1。
可选的,终端设备在向接入和移动性管理网元发送业务签约请求1前已经成功注册到运营商的移动通信网络。例如,终端设备通过业务请求(Service Request)流程,完成移动网络对终端设备的鉴权认证。接入和移动性管理网元保存了终端设备的注册信息,其中,注册信息包括终端设备的上下文信息,终端设备的上下文信息包括终端设备的用户永久标识(Subscription Permanent Identifier,SUPI),SUPI用于获取终端设备对应的用户号码。终端设备在接入用户网络后发送业务签约请求1。例如,终端设备收到某项业务的推广信息,用户按照顺序按下指定的一组按键后,触发对该业务签约请求。
可选的,业务签约请求1可以包括在非接入层信令容器(NAS Container)中。
S302:接入和移动性管理网元向身份管理网元发送业务签约请求2。
其中,业务签约请求2用于请求签约业务,或者说,接入和移动性管理网元请求身份管理网元发起业务签约请求,或者说,接入和移动性管理网元请求身份管理网元创建第一用户标识,第一用户标识为用户数字身份标识,或者数字身份凭证。业务签约请求2包括业务标识。第一用户标识的描述参考图2中的步骤S202,业务签约请求2的描述参考图2中的步骤S202中的第一请求。
需要说明的是,身份管理网元可以是统一数据管理网元的一部分,也就是说,身份管理网元不是一个单独的网元,其网络功能在统一数据管理网元(UDM)中承载。或者,身份管理网元也可以是独立的网元或网络功能(Network Function,NF),也就是说,身份管理网元或身份管理网络功能独立于统一数据管理网元。
在一种实现方式中,业务签约请求2包括SUPI,SUPI用于标识发起第三方业务签约请求的终端设备或用户。在该实现方式中,身份管理网元采用SUPI标识终端设备或用户。
在另一个实现方式中,身份管理网元采用用户号码标识终端设备或用户。在该实现方式中,业务签约请求2可以包括SUPI,或者,可以包括用户号码。
(1)业务签约请求2包括SUPI,该实现方式中,身份管理网元可以通过如下方式获取用户号码:接入和移动性管理网元将用户的SUPI发送给身份管理网元,身份管理网元根据SUPI从统一数据管理网元处获取用户号码,其中,统一数据管理网元维护了SUPI和用户号码的对应关系。例如,身份管理网元与统一数据管理网元合设,身份管理网元可以根据SUPI从统一数据管理网元获取用户号码,该过程是统一数据管理网元内部实现。
(2)业务签约请求2包括用户号码,在该实现方式中,在接入和移动性管理网元发送业务签约请求2之前,接入和移动性管理网元根据SUPI从统一数据管理网元处获得用户号码信息。示例性的,接入和移动性管理网元向统一数据管理网元发送用户信息请求消息,该请求消息携带SUPI。相应的,统一数据管理网元返回用户信息响应,用户信息响应携带用户号码信息。接入和移动性管理网元获取用户号码的过程对应于图3中的S302a和S302b。获取用户号码之后,在业务签约请求2中携带该用户号码。
可选的,业务签约请求2可以同时携带用户号码和SUPI。
S303:身份管理网元确定第一用户标识。该步骤实施方法参见图2中的S202,身份管理网元为图2中的第二网元。
S304:身份管理网元向应用服务器(APP Server)发送业务签约请求3。该步骤实施方法参见图2中的S203,业务签约请求3对应于图2中的第二请求,应用服务器对应图2中的第一应用服务器。
示例性的,身份管理网元可以通过NEF向应用服务器发送业务签约请求3。
S305:应用服务器向业务管理功能发送业务签约请求4。
其中,业务签约请求4用于请求签约业务,或者,请求业务管理功能创建用户访问该业务的账号。业务签约请求4包括的内容参见业务签约请求3。
S306:业务管理功能根据第一用户标识为用户创建该业务对应的账号。业务管理功能根据第一用户标识创建用户账号的实施方法参见图2中的S204。
S307:业务管理功能向应用服务器发送业务签约响应4。
在一个实现方式中,业务签约响应4包括签约是否成功的指示信息。示例性的,该指示信息可以是一个比特位。可选的,业务签约响应4包括第一用户标识。
可选的,如果S306中用户账号创建失败,业务管理功能向应用服务器发送业务签约响应4携带签约失败指示。例如,创建失败的原因是第一用户标识的第一数字签名验证不通过,可选的,还可以携带失败原因值(Cause Value),指示失败原因为第一用户标识验证不通过。
S308:应用服务器向身份管理网元发送业务签约响应3。实施方法参见图2中的S205。业务签约响应3对应于图2中的第二响应,应用服务器对应于图2中的第一应用服务器。
示例性的,应用服务器可以通过NEF向身份管理网元发送业务签约响应3。
S309:身份管理网元存储第一用户标识及业务标识与第二用户标识的关联关系。实施方法参见图2中的S206。身份管理网元对应于图2中的第二网元。
S310:身份管理网元向接入和移动性管理网元发送业务签约响应2。实施方法参见图2中的S207。业务签约响应3对应于图2中的第一响应,接入和移动性管理对应于图2中的第一网元。
S311:接入和移动性管理网元向终端设备发送业务签约响应1。
其中,业务签约响应1包括签约是否成功的指示信息。
可选的,业务签约响应1还包括第一用户标识。终端存储获得的第一用户标识,以便在后续访问该业务时使用。
在另一种场景中,同一用户以不同的身份属性签约或访问业务,第二网元在为用户创建第一用户标识时根据用户不同身份属性创建不同的第一用户标识。下面描述该实施方案的实施步骤。
一种实现方式中,步骤S301中的业务签约请求1还包括用户身份属性。用户身份属性的描述参考图2中的步骤S201。
相应的,在上述步骤S302-S 311的基础上,可以新增如下动作:
步骤S302中,业务签约请求2还可以包括用户身份属性。
步骤S303中,身份管理网元为同一用户以不同身份属性访问相同的业务时创建不同的第一用户标识。实施方法参考图2中的步骤S202。
步骤S304中,业务签约请求3还可以包括用户身份属性。
步骤S305中,业务签约请求4还可以包括用户身份属性。
步骤S307中,业务签约响应4还可以包括用户身份属性。
步骤S308中,业务签约响应3还可以包括用户身份属性。
步骤S309中,身份管理网元还可以存储用户身份属性与第一用户标识和第二用户标识以及业务标识之间的关联关系。相应的,该关联关系还可以将第二用户标识和业务标识以及用户身份属性作为查询的方式,例如,可以通过第二用户标识和业务标识及用户身份属性可以将存储的该关联关系查找出来。实施方法参考图2中的步骤S206。
步骤S310中,业务签约响应2还可以包括用户身份属性。
步骤S311中,业务签约响应1还可以包括用户身份属性。
该实现方式中,用户可以使用不同身份属性多次订购同一个业务,第二网元可以为同一用户的不同身份属性生成并发放不同的第一用户标识,从而保障用户以不同身份访问业务时的隐私不被泄露。
在另一种场景中,用户可以通过访问控制属性授权第一应用服务器持有第一用户标识访问其他业务。下面描述该实施例的步骤。
一种实现方式中,步骤S301中的业务签约请求1还包括第一访问控制属性。第一访问控制属性的描述参考图2中的步骤S202。
相应的,在上述步骤S302-S 311的基础上,可以新增如下动作:
步骤S302中,业务签约请求2还可以包括第一访问控制属性。
步骤S304中,业务签约请求3还可以包括第一访问控制属性。
步骤S305中,业务签约请求4还可以包括第一访问控制属性。
步骤S307中,业务签约响应4还可以包括第二访问控制属性。
步骤S308中,业务签约响应3还可以包括第二访问控制属性。
步骤S309中,身份管理网元存储第一用户标识和第二用户标识以及业务标识之间的关联关系时还可以存储第一用户标识对应的第二访问控制属性。实施方法参考图2中的步骤S206。
步骤S310中,业务签约响应2还可以包括第二访问控制属性。
步骤S311中,业务签约响应1还可以包括第二访问控制属性。
在另一种实现方式中,上述S305-S307中的业务管理功能可以是应用服务器的一部分,或者业务管理功能的网络功能承载在应用服务器中,也就是说业务管理功能和应用服务器是同一个网元。在这种实现方式中,业务管理功能可以与应用服务器合并,合并后的网元为应用服务器。合并后,图3中的S305和S307为应用服务器的内部实现。步骤S306创建用户账号的功能由应用服务器实现。
在方法300中,用户通过接入和移动性管理网元向第一应用服务器发起业务签约请求。作为另一种方式,用户也可以通过运营商门户Portal发起业务签约请求。在该实施例中,用户的终端设备通过互联网连接到Portal,用户选择需要签约的业务并发起签约请求。下面结合图4说明该实施方法的实施步骤。
S401:终端设备向运营商Portal发送业务签约请求1。
示例性的,终端设备已经通过移动通信网络或其它网络连接到互联网,能够访问运营商的服务器,可选的,终端设备通过用户号码登录运营商Portal。终端设备通过访问运营商Portal界面,选择要签约的业务,通过互联网向Portal发送业务签约请求。
其中,业务签约请求1携带业务标识,业务标识的描述参见图2中的步骤S201。
可选的,业务签约请求1还携带用户号码,用户号码用于唯一标识用户。业务签约请求1也可以不携带用户号码,当业务签约请求1不携带用户号码时,运营商Portal根据用户的登录信息可以获取用户号码。
S402:运营商Portal向身份管理网元发送创建第一用户标识请求。
其中,创建第一用户标识请求携带业务标识。创建第一用户标识请求还可以携带用户号码。其中,用户号码可以是运营商Portal通过用户登录Portal的账号信息获得,或者,也可以是S401中业务签约请求1中携带的。
S403:身份管理网元确定第一用户标识。实施方法参考图2中的步骤S202,其中,身份管理网元对应图2中的第二网元。
需要指出的是,在S401-S403步骤中,身份管理网元完成了第一用户标识的创建。下面的流程将使用创建的第一用户标识签约业务。用户通过运营商Portal发起业务签约请求时,有两种实现方式:
第一种实现方式,由身份管理网元向应用服务器发起业务签约请求。该实现方式中,后续的签约过程与图3中的S304-S311描述的过程相同,将图3中的接入和移动性管理网元替换成运营商Portal即可。本文不再描述该实现方式对应的实施步骤。需要指出的是,在该实现方式中,步骤S402中的创建第一用户标识请求也可以称为业务签约请求。
第二种实现方式,由运营商Portal向应用服务器发起业务签约请求。下面结合图4描述第二种实现方式的实施步骤。
S404:身份管理网元存储第一用户标识及业务标识与用户号码的关联关系。实施方法可以参考图3中的步骤S309。可选的,可以由身份管理网元将第一用户标识及业务标识与用户号码的关联关系存储到统一用户管理网元。该实施例中,身份管理网元生成第一用户标识后将第一用户标识发给运营商Portal,运营商Portal使用该第一用户标识向应用服务器发起业务签约请求。身份管理网元不会收到是否签约成功的指示信息,因此,在该实施例中,身份管理网元生成第一用户标识后即存储第一用户标识及业务标识与用户号码的关联关系。
S405:身份管理网元向运营商Portal发送创建第一用户标识响应。
其中,创建第一用户标识响应消息包括第一用户标识,第一用户标识是S403中由身份管理网元创建的。可选的,创建第一用户标识响应还可以包括业务标识。
S406:运营商Portal向应用服务器发送业务签约请求2。
其中,业务签约请求2包括第一用户标识。可选的,业务签约请求2还可以包括业务标识。
示例性的,运营商Portal收到创建第一用户标识成功的响应消息后,确定请求签约的业务对应的应用服务器,例如,可以根据业务签约请求2中携带的业务标识确定,或者根据运营商Portal上的界面操作确定。然后,运营商Portal向应用服务器发送业务签约请求2,其中业务签约请求2中携带第一用户标识,还可以携带业务标识。
S407:应用服务器向业务管理功能发送业务签约请求3。
其中,业务签约请求3用于请求签约业务,或者,请求业务管理功能创建用户访问该业务的账号。业务签约请求3包括的内容参见业务签约请求2。
S408:业务管理功能根据第一用户标识为用户创建该业务对应的账号。实施方法参见图2中的S204。业务管理功能对应于图2中的第一应用服务器。
S409:业务管理功能向应用服务器发送业务签约响应3。
在一个实现方式中,业务签约响应3包括签约是否成功的指示信息。示例性的,该指示信息可以是一个比特位。可选的,业务签约响应4包括第一用户标识。
可选的,如果S408中第一用户标识的第一数字签名验证不通过,业务管理功能向应用服务器发送业务签约响应携带签约失败指示。可选的,还可以携带失败原因值(CauseValue),指示失败原因为第一用户标识验证不通过。
S410:应用服务器向运营商Portal发送业务签约响应2。
其中,业务签约响应2包括签约是否成功的指示信息。示例性的,该指示信息可以是一个比特位,例如,如果业务签约响应2携带比特1或true,则表示业务签约成功,反之,如果携带0或false,或者不携带任何值,则表示业务签约失败。业务签约响应2还包括第一用户标识。
可选的,业务签约响应2还包括业务标识。
S411:运营商Portal向终端设备发送业务签约响应1。
其中,业务签约响应1包括签约是否成功的指示信息,指示信息的内容参考S410。业务签约响应1还包括第一用户标识。终端存储获得的第一用户标识,以便在后续访问该业务时使用。
可选的,业务签约响应1还可以包括用户号码。
在该实施例中,用户通过运营商Portal发起业务签约请求。在签约请求过程中,第一应用服务器只获得了身份管理网元为用户生成的第一用户标识,不直接获取用户号码,也不获取第一用户标识和用户号码的关联关系,因此,避免了第一应用服务器获取用户电话号码等个人隐私信息,从而避免隐私泄露。
类似于图3中的第二种实施方法,身份管理网元也可以为用户以不同的身份签约或访问相同的业务生成不同的第一用户标识,避免用户以不同身份属性签约或访问业务时造成隐私泄露。
一种实现方式中,步骤S401中的业务签约请求1还包括用户身份属性。用户身份属性的描述参考图2中的第二种实现方式中的步骤S201。
相应的,在上述步骤S402-S 411的基础上,可以新增如下动作:
步骤S402中,创建第一用户标识请求还可以包括用户身份属性。
步骤S403中,身份管理网元为同一用户以不同身份属性访问相同的业务时创建不同的第一用户标识。实施方法参考图2中的第二种实现方式中的步骤S202。
步骤S404中,身份管理网元还可以存储用户身份属性与第一用户标识和第二用户标识以及业务标识之间的关联关系。实施方法可以参考图3中的第二种实现方式中的步骤S309。可选的,可以由身份管理网元将用户身份属性与第一用户标识和第二用户标识以及业务标识之间的关联关系存储到统一用户管理网元。
步骤S405中,创建第一用户标识响应还可以包括用户身份属性。
步骤S406中,业务签约请求2还可以包括用户身份属性。
步骤S407中,业务签约请求3还可以包括用户身份属性。
步骤S409中,业务签约响应3还可以包括用户身份属性。
步骤S410中,业务签约响应2还可以包括用户身份属性。
步骤S411中,业务签约响应1还可以包括用户身份属性。
该实现方式中,用户可以使用不同身份属性多次订购同一个业务,第二网元可以为同一用户的不同身份属性生成并发放不同的第一用户标识,从而保障用户以不同身份访问业务时的隐私不被泄露。
类似于图3中的第三种实施方法,用户也可以通过访问控制属性授权第一应用服务器持有第一用户标识访问其他业务。
一种实现方式中,步骤S401中的业务签约请求1还包括访问控制属性。访问控制属性的描述参考图2中的步骤S202。
相应的,在上述步骤S402-S 411的基础上,可以新增如下动作:
步骤S402中,创建第一用户标识请求还可以包括访问控制属性。
步骤S403中,第一用户标识的属性信息还可以包括访问控制属性。
步骤S404中,身份管理网元存储第一用户标识和第二用户标识以及业务标识之间的关联关系时还可以存储第一用户标识对应的访问控制属性。实施方法可以参考图3中的步骤S309,也可以由身份管理网元将第一用户标识的访问控制属性存储到统一用户管理网元。业务签约请求2还可以包括访问控制属性。
步骤S405中,创建第一用户标识响应还可以包括访问控制属性。
步骤S406中,业务签约请求2还可以包括访问控制属性。
步骤S407中,业务签约请求3还可以包括访问控制属性。
步骤S409中,业务签约响应3还可以包括访问控制属性。
步骤S410中,业务签约响应2还可以包括访问控制属性。
步骤S411中,业务签约响应1还可以包括访问控制属性。
在另一种实现方式中,上述S407-S409中的业务管理功能可以是应用服务器的一部分,或者业务管理功能的网络功能承载在应用服务器中,也就是说业务管理功能和应用服务器是同一个网元。在这种实现方式中,业务管理功能可以与应用服务器合并,合并后的网元为应用服务器。合并后,图4中的S407和S409为应用服务器的内部实现。步骤S408中创建用户账号的功能由应用服务器实现。
下面结合图5描述用户使用第一用户标识访问业务的过程。
S501:终端设备与应用服务器建立会话连接,会话连接建立后终端设备可以与应用服务器进行通信。
S502:终端设备向应用服务器发送业务访问请求消息。
在一个实现方式中,用户准备访问业务时,终端设备上的应用客户端或浏览器向应用服务器发送业务访问请求消息,其中,业务访问请求消息包括用户第一用户标识。第一用户标识的内容参见图2中的步骤S202。
S503:应用服务器收到业务访问请求消息后,向业务管理功能发送业务访问控制请求消息。
其中,访问控制请求消息携带用户第一用户标识,第一用户标识的内容同S502。访问控制请求消息用于请求业务管理功能对用户的签约记录进行验证。
S504:业务管理功能对用户的签约记录进行验证。
在一种实现方式中,业务管理功能对用户的签约记录进行验证包括:业务管理功能使用第一用户标识查找用户的业务签约记录。例如,业务管理功能使用第一用户标识中的能够唯一标识用户的字符串作为用户账号,查找用户的业务签约记录。验证方法参见图2中的步骤S210中验证用户签约记录的过程。
需要指出的是,如果签约验证通过,执行S505,如果验证不通过,在S504之后直接执行S509。
S505:业务管理功能对用户的第一用户标识进行验证,验证第一用户标识是否由合法身份管理网元发放,和/或对第一标识的有效期属性进行验证。验证方法参见图2中的步骤S210中验证第一用户标识的部分。
需要指出的是,如果业务管理功能需要请求身份管理网元对第一用户标识进行验证(具体场景可以参考图2中的步骤S210中的描述),则在S505之后执行S506-S508。否则,业务管理功能可以自行对第一用户标识进行验证,验证方法可以参考图2中的步骤S210中的描述。需要指出的是,如果业务管理功能自行对第一用户标识进行验证,则不执行S506-S508,在S505之后直接执行S509。
S506:业务管理功能向身份管理网元发送第一用户标识验证请求。
其中,第一用户标识验证请求包括第一用户标识。
第一用户标识验证请求的内容参考图2中的步骤S211中的第一验证请求,或者说,第一用户标识验证请求对应图2中的第一验证请求。
S507:身份管理网元对第一用户标识,以及持有第一用户标识的用户的合法性进行验证。验证方法参见图2中的步骤S212。
S508:身份管理网元向业务管理功能发送第一用户标识验证响应。
其中,第一用户标识验证响应包括验证是否通过的指示信息。
可选的,第一用户标识验证响应还可以包括第一用户标识。
可选的,第一用户标识验证响应还可以包括业务标识。
S509:业务管理功能向应用服务器发送访问控制响应。
在一种实现方式中,业务管理功能向应用服务器发送访问控制响应消息,指示用户身份验证是否通过。
可选的,访问控制响应还可以包括第一用户标识。
可选的,访问控制响应还可以包括业务标识。
S510:应用服务器向终端设备发送业务访问响应。
示例性的,应用服务器根据业务访问控制响应,决定是否接受用户的业务访问。如果用户签约记录验证和第一用户标识验证均通过,应用服务器可以确定接受用户业务访问请求,否则,拒绝用户业务访问请求。应用服务器向终端发送业务访问响应消息,其中,携带允许访问或拒绝访问的指示信息。
在该实施例中,用户使用运营商的身份管理网元生成的第一用户标识访问业务。第一应用服务器不直接获取用户号码,也不获取第一用户标识和用户号码的关联关系,因此,避免了第一应用服务器获取用户号码和业务访问信息的关联关系,从而避免隐私泄露。
在另一种实现方式中,业务管理功能可以是应用服务器的一部分,或者业务管理功能的网络功能承载在应用服务器中,也就是说业务管理功能和应用服务器是同一个网元。在这种实现方式中,业务管理功能可以与应用服务器合并,合并后的网元为应用服务器。合并后,图5中的S503和S509为应用服务器的内部实现。步骤S504和S505中的功能由应用服务器实现。S506和S508之间的交互也由身份管理网元和应用服务器完成。
在另一种实现方式中,用户通过访问控制属性授权第一应用服务器代表用户访问其他业务。下面结合图6介绍该实施例的实施步骤。
S601:终端设备与第一应用服务器建立会话连接,会话连接建立后终端设备可以与第一应用服务器进行通信。具体过程参见S501。示例性的,第一应用服务器可以为智能助手服务器。
S602:终端设备向第一应用服务器发送业务访问请求1。实施方法参见图5的步骤S502,业务访问请求1对应于图5中的业务访问请求。
S603:第一应用服务器对用户的签约记录进行验证。实施方法参见图5的步骤S504。
S604:第一应用服务器对用户的第一用户标识进行验证,第一用户标识进行验证方法参见图5的步骤S505。
S605:第一应用服务器向身份管理网元发送第一用户标识验证请求1。实施方法参见图5的步骤S506。第一用户标识验证请求1对应图5中的第一用户标识验证请求。
S606:身份管理网元对用户的第一用户标识进行验证。验证方法参见图5中的步骤S507。
S607:身份管理网元向第一应用服务器发送第一用户标识验证响应1。第一用户标识验证响应1的内容参见图5中的步骤S508中的第一用户标识验证响应。
S608:第一应用服务器向终端设备发送业务访问响应1。业务访问响应1的内容参见图5中的步骤S510中的业务访问响应。
S609:第一应用服务器向第二应用服务器发送业务访问请求2。实施方式参见图2中的步骤S214。业务访问请求2对应图2中的步骤S214中的业务访问请求2。
可选的,在S609之前,终端设备向第一应用服务器发送指示信息,该指示信息用于指示终端设备指示第一应用服务器要访问的业务,例如,指示第一应用服务器提供智能助手业务,终端设备在该指示信息中指示智能助手访问第二应用服务器执行订票的业务。第二应用服务器提供订票业务。
S610:第二应用服务器向身份管理网元发送第一用户标识验证请求2。实施方式参见图2中的步骤S215。第一用户标识验证请求2对应图2中的步骤S215中的第二验证请求。
S611:身份管理网元对用户第一用户标识进行验证。实施方式参见图2中的步骤S216。
S612:身份管理网元向第二应用服务器发送第一用户标识验证响应2,其中,第一用户标识验证响应2包括验证是否通过的指示信息。
可选的,第一用户标识验证响应还可以包括第一用户标识。
可选的,第一用户标识验证响应还可以包括业务标识。
S613:第二应用服务器收到第一用户标识验证响应2后,向第一应用服务器发送业务访问请求响应2。示例性的,业务访问请求响应2可以是接受第一应用服务器发起的业务访问请求,或者,可以是拒绝第一应用服务器发起的业务访问请求。第二应用服务器接受第一应用服务器的业务访问请求后可以与第一应用服务器进行通信。
用户在成功签约业务后,在有效期内可以使用运营商的身份管理网元为用户生成并发放第一用户标识访问签约的业务。如果有效期到期前用户希望续约,可以使用第一用户标识发起业务续签。下面结合图7说明业务续签的过程。
S701:终端设备向第一网元发送业务续签请求。
示例性的,第一网元可以是运营商Portal,也可以是接入和移动性管理网元。
一种实现方式中,业务续约请求携带业务标识和签约时第二网元颁发的第一用户标识。终端设备根据第一用户标识对应的有效期判断该第一用户标识即将过期。示例性的,终端设备可以通过判断有效期属性指示的第一用户标识过期的时刻距离当前时刻的时间间隔与指定门限的大小确定第一用户标识即将过期。例如,假设门限为24小时,如果终端设备判断当前时刻到有效期指示的时刻相差不到24小时,则向第一网元发送业务续签请求。
S702:第一网元向身份管理网元发送第一用户标识验证请求,请求身份管理网元验证业务续签请求中的第一用户标识。
一种实现方式中,第一用户标识验证请求消息包括第一用户标识。验证方法参见S212。
S703:身份管理网元向第一网元发送第一用户标识验证响应。
一种实现方式中,第一用户标识验证响应携带第一用户标识验证是否成功的指示,示例性的,该指示信息可以是一个比特位,如果第一用户标识验证响应消息携带比特1或true,则表示第一用户标识验证成功,反之,如果携带0或false,或者不携带任何值,则表示验证失败。
S704:第一网元向身份管理网元发送第一用户标识有效期更新请求。
一种实现方式中,第一用户标识更新请求用于请求身份管理网元更新第一用户标识中的有效期属性信息,其中,第一用户标识更新请求携带第一用户标识和新的有效期属性信息。
可选的,S704和S702可以合并实现。例如,终端设备向第一网元发送的业务续签请求中携带第一用户标识的新的有效期属性信息。
S705:身份管理网元更新第一用户标识中的有效期属性,并重新对第一用户标识进行数字签名。
示例性的,身份管理网元将原第一用户标识对应的有效期属性信息替换为S704中携带的新的有效期属性信息,然后,对第一用户标识进行数字签名。
S706:身份管理网元向第一网元发送第一用户标识有效期更新响应消息。
一种实现方式中,第一用户标识更新有效期响应消息携带S705中已经更新有效期的第一用户标识,即更新第一用户标识的第一数字签名。
可选的,第一用户标识有效期更新响应消息还携带第一用户标识对应的新的有效期。
S707:第一网元收到第一用户标识有效期更新成功的响应消息后,向终端设备发送业务签约成功的响应消息,该响应消息携带签约成功指示和已经更新有效期的第一用户标识。
S708:如果在第一用户标识的有效期到期前用户没有进行业务续签,第一网元检查第一用户标识,筛选出过期的第一用户标识。
S709:第一网元根据过期的第一用户标识对应的业务标识,确定对应的应用服务器,并向该应用服务器发送业务解除请求消息,其中业务解除请求消息携带业务标识和过期的第一用户标识。应用服务器收到业务解除请求消息后删除第一用户标识对应的用户账号信息。
S710:如果在第一用户标识的有效期到期前用户没有进行业务续签,身份管理网元会筛选出过期的第一用户标识,清除第一用户标识和第二用户标识以及业务标识的关联关系。第二用户标识的内容参考图2中的S201中的描述。
S711:终端设备定期清除过期的第一用户标识。例如,终端设备以T为第一用户标识有效期检查周期,检查第一用户标识是否在其对应的有效期内,清除过期的第一用户标识。
在该实施例中,终端设备在第一用户标识有效期到期前可以通过续签第三方服务延长第一用户标识的有效期,更新有效期属性时不变更原第一用户标识中的唯一标识用户的字符串。
图8和图9为本申请的实施例提供的可能的通信装置的结构示意图。这些通信装置可以用于实现上述方法实施例中的终端设备,或,身份管理网元,或,应用服务器的功能,因此也能实现上述方法实施例所具备的有益效果。在本申请的实施例中,该通信装置可以是上述设备或上述设备中的模块(如芯片)。
如图8所示,通信装置800包括处理单元810和收发单元820。通信装置800用于实现上述图2、图3、图4、图5、图6至图7中任一附图所示的方法实施例中终端设备,或,身份管理网元,或,应用服务器的功能。
当通信装置800用于实现上述附图所示的方法实施例中身份管理网元的功能时:
收发单元820用于接收来接收第一请求,所述第一请求包括业务标识,所述业务标识用于标识用户请求签约的所述业务;处理单元810用于确定第一用户标识,所述第一用户标识用于标识所述用户,所述第一用户标识与为所述用户请求签约的另一业务创建的另一第一用户标识不同,所述第一用户标识用于请求签约所述业务,所述第一用户标识还用于请求访问所述业务。
当通信装置800用于实现上述附图所示的方法实施例中终端设备的功能时:
处理单元810用于通过收发单元820向第一网元发送业务签约请求,所述业务签约请求用于请求签约所述业务,所述业务签约请求包括业务标识,所述业务标识用于指示用户请求签约的所述业务;处理单元810用于通过收发单元820接收业务签约响应,所述业务签约响应用于指示所述业务签约成功,所述业务签约响应包括第一用户标识,所述第一用户标识用于访问所述业务,所述第一用户标识与为所述用户请求访问的另一业务对应的另一第一用户标识不同。
当通信装置800用于实现上述附图所示的方法实施例中应用服务器的功能时:
处理单元810用于通过收发单元820接收业务访问请求,所述业务访问请求包括第一用户标识,所述第一用户标识用于访问所述业务,所述第一用户标识与所述用户请求访问的另一业务对应的另一第一用户标识不同;处理单元810用于通过收发单元820向所述第一网元发送验证请求,所述验证请求用于请求所述第一网元对所述第一用户标识进行验证,所述第一用户标识是由所述第一网元生成的,所述验证请求包括所述第一用户标识。
有关上述处理单元810和收发单元820更详细的描述可以直接参考上述附图所示的方法实施例中相关描述直接得到,这里不加赘述。
如图9所示,通信装置900包括处理器910和接口电路920。处理器910和接口电路920之间相互耦合。可以理解的是,接口电路920可以为收发器或输入输出接口。可选的,通信装置900还可以包括存储器930,用于存储处理器910执行的指令或存储处理器910运行指令所需要的输入数据或存储处理器910运行指令后产生的数据。
当通信装置900用于实现上述附图所示的方法时,处理器910用于实现上述处理单元910的功能,接口电路920用于实现上述收发单元920的功能。
当上述通信装置为应用于上述设备的芯片时,该芯片实现上述方法实施例中相应设备的功能。该芯片从设备中的其它模块(如射频模块或天线)接收信息,该信息是其他设备发送给该设备的;或者,该芯片向该设备中的其它模块(如射频模块或天线)发送信息。
当上述通信装置为应用于移动节点的模块时,该模块实现上述方法实施例中移动节点的功能。该模块从其它模块(如射频模块或天线)接收信息,该信息是终端发送给设备的;或者,该模块向设备中的其它模块(如射频模块或天线)发送信息,该信息是设备发送给终端的。这里的模块可以是设备的基带芯片,也可以是DU或其他模块,这里的DU可以是开放式无线接入网(open radio access network,O-RAN)架构下的DU。
可以理解的是,本申请的实施例中的处理器可以是中央处理单元(CentralProcessing Unit,CPU),还可以是其它通用处理器、数字信号处理器(Digital SignalProcessor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field Programmable Gate Array,FPGA)或者其它可编程逻辑器件、晶体管逻辑器件,硬件部件或者其任意组合。通用处理器可以是微处理器,也可以是任何常规的处理器。
本申请中,提供通信装置的另一种示例,该通信装置包括至少一个处理器和至少一个存储器,该至少一个处理器和该至少一个存储器耦合,该至少一个存储器用于存储指令,当该指令被该至少一个处理器执行时,使得通信装置执行上述实施例中的方法。以通信装置包括一个处理器和一个存储器为例,如图9所示,通信装置900包括一个处理器910和一个存储器930。处理器910和存储器930耦合,存储器930中存储有指令,当存储器930中存储的指令被处理器910执行时,通信装置900执行上述实施例中终端设备或网络设备执行的方法。
应理解,处理器910和存储器930也可以集成在一起,比如集成在一个芯片中。
本申请的实施例中的方法步骤可以在硬件中实现,也可以在可由处理器执行的软件指令中实现。软件指令可以由相应的软件模块组成,软件模块可以被存放于随机存取存储器、闪存、只读存储器、可编程只读存储器、可擦除可编程只读存储器、电可擦除可编程只读存储器、寄存器、硬盘、移动硬盘、CD-ROM或者本领域熟知的任何其它形式的存储介质中。一种示例性的存储介质耦合至处理器,从而使处理器能够从该存储介质读取信息,且可向该存储介质写入信息。存储介质也可以是处理器的组成部分。处理器和存储介质可以位于ASIC中。另外,该ASIC可以位于网络设备或终端中。处理器和存储介质也可以作为分立组件存在于网络设备或终端中。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机程序或指令。在计算机上加载和执行所述计算机程序或指令时,全部或部分地执行本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、网络设备、用户设备或者其它可编程装置。所述计算机程序或指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机程序或指令可以从一个网站站点、计算机、服务器或数据中心通过有线或无线方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是集成一个或多个可用介质的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,例如,软盘、硬盘、磁带;也可以是光介质,例如,数字视频光盘;还可以是半导体介质,例如,固态硬盘。该计算机可读存储介质可以是易失性或非易失性存储介质,或可包括易失性和非易失性两种类型的存储介质。
在本申请的各个实施例中,如果没有特殊说明以及逻辑冲突,不同的实施例之间的术语和/或描述具有一致性、且可以相互引用,不同的实施例中的技术特征根据其内在的逻辑关系可以组合形成新的实施例。
本申请中,“至少一个”是指一个或者多个,“多个”是指两个或两个以上。“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B的情况,其中A,B可以是单数或者复数。在本申请的文字描述中,字符“/”,一般表示前后关联对象是一种“或”的关系;在本申请的公式中,字符“/”,表示前后关联对象是一种“相除”的关系。“包括A,B和C中的至少一个”可以表示:包括A;包括B;包括C;包括A和B;包括A和C;包括B和C;包括A、B和C。
可以理解的是,在本申请的实施例中涉及的各种数字编号仅为描述方便进行的区分,并不用来限制本申请的实施例的范围。上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定。
Claims (30)
1.一种业务处理方法,其特征在于,所述方法包括:
接收第一请求,所述第一请求包括业务标识,所述业务标识用于标识用户请求签约的所述业务;
确定第一用户标识,所述第一用户标识用于标识所述用户,所述第一用户标识与为所述用户请求签约的另一业务创建的另一第一用户标识不同,所述第一用户标识用于请求签约所述业务,所述第一用户标识还用于请求访问所述业务。
2.根据权利要求1所述的方法,其特征在于,所述接收第一请求包括:
从第一网元接收所述第一请求,所述第一网元为接入和移动性管理网元,或者,运营商门户。
3.根据权利要求1或2所述的方法,其特征在于,所述方法还包括:
向第一应用服务器发送第二请求,所述第二请求包括所述第一用户标识,所述第二请求用于请求签约所述业务,所述第一应用服务器用于处理所述业务;
从所述第一应用服务器接收第二响应,所述第二响应用于指示所述用户请求签约的所述业务是否签约成功。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
接收自所述第一应用服务器的第一验证请求,所述第一验证请求包括所述第一用户标识;
根据所述第一用户标识验证所述用户为合法用户。
5.根据权利要求1-4任一所述的方法,其特征在于,所述第一请求包括第二用户标识,所述第二用户标识为所述用户的用户号码,和/或,订户永久标识SUPI。
6.根据权利要求1-5所述的方法,其特征在于,所述方法还包括:
向第一网元发送第一响应,所述第一响应用于指示所述用户请求的所述业务签约成功,所述第一响应包括所述第一用户标识。
7.根据权利要求6所述的方法,其特征在于,所述第一响应还包括有效期,所述有效期用于指示第一用户标识有效的期限,超过有效期时所述第一用户标识不可用。
8.根据权利要求1-7任一所述的方法,其特征在于,所述方法还包括:
确定第一用户标识对应的有效期。
9.根据权利要求7或8所述的方法,其特征在于,所述方法还包括:
在接收到来自第一应用服务器的第一验证请求后,根据所述有效期确定所述第一应用服务器是否持有有效的所述第一用户标识访问所述业务。
10.根据权利要求5所述的方法,其特征在于,所述方法还包括:
存储所述第一用户标识及所述业务标识与所述第二用户标识的关联关系;
在接收到来自第一应用服务器的第一验证请求后,根据所述第一用户标识及所述业务标识与所述第二用户标识的关联关系,验证持有所述第一用户标识的用户为合法用户。
11.根据权利要求1-10任一所述的方法,其特征在于,所述第一请求还包括用户身份属性,所述用户身份属性用于指示所述用户请求签约所述业务使用的身份类型。
12.根据权利要求11所述的方法,其特征在于,所述确定第一用户标识,包括:
为所述用户的所述用户身份属性创建的用于请求签约所述业务的所述第一用户标识与为所述用户的另一身份属性创建的用于请求签约所述业务的另一第一用户标识不同。
13.根据权利要求1-12任一所述的方法,其特征在于,所述第一用户标识包括第一数字签名,所述方法还包括:
在接收到来自第一应用服务器的第一验证请求后,根据所述第一数字签名验证所述第一用户标识是否合法。
14.根据权利要求4所述的方法,其特征在于,所述第一验证请求还包括所述第一用户标识对应的第二数字签名,所述方法还包括:
在接收到包括所述第一用户标识对应的所述第二数字签名的验证请求后,根据所述第二数字签名验证所述第一用户标识是否合法。
15.根据权利要求14所述的方法,其特征在于,所述第一验证请求还包括所述第一用户标识对应的重放攻击验证信息,所述方法还包括:
在接收到包括所述第一用户标识对应的重放攻击验证信息的验证请求后,根据所述重放攻击验证信息验证持有所述第一用户标识的用户是否是合法用户。
16.根据权利要求1-15任一所述的方法,其特征在于,所述第一请求还包括第一访问控制属性,所述第一访问控制属性用于指示所述用户是否授权所述第一应用服务器持有所述第一用户标识代表所述用户访问其他业务,和/或,授权所述第一应用服务器代表所述用户访问其他业务的范围。
17.根据权利要求16所述的方法,其特征在于,从所述第一应用服务器接收的第二响应还包括第二访问控制属性,所述第二访问控制属性用于指示所述第一应用服务器是否接受所述第一应用服务器持有所述第一用户标识访问其他业务,和/或,所述第一应用服务器接受所述第一应用服务器访问其他业务的范围。
18.根据权利要求17所述的方法,其特征在于,向第一网元发送的第一响应还包括所述第二访问控制属性。
19.根据权利要求17或18所述的方法,其特征在于,所述方法还包括:
在接收到包括所述第二访问控制属性的验证请求后,根据所述第二访问控制属性确定所述第一应用服务器是否合法持有所述第一用户标识访问所述其他业务。
20.根据权利要求17-19任一所述的方法,其特征在于,所述方法还包括:
接收来自第二应用服务器的第二验证请求,所述第二验证请求用于请求验证所述第一应用服务器是否合法持有所述第一用户标识,所述第二验证请求包括所述第一用户标识。
21.一种业务处理方法,其特征在于,所述方法包括:
向第一网元发送业务签约请求,所述业务签约请求用于请求签约所述业务,所述业务签约请求包括业务标识,所述业务标识用于指示用户请求签约的所述业务;
接收业务签约响应,所述业务签约响应用于指示所述业务签约成功,所述业务签约响应包括第一用户标识,所述第一用户标识用于访问所述业务,所述第一用户标识与为所述用户请求访问的另一业务对应的另一第一用户标识不同。
22.根据权利要求21所述的方法,其特征在于,所述业务签约请求包括第一访问控制属性,所述第一访问控制属性用于指示所述用户授权所述第一应用服务器代表所述用户访问其他业务,和/或,授权所述第一应用服务器代表所述用户访问其他业务的范围,所述第一应用服务器用于处理所述业务。
23.根据权利要求21或22所述的方法,其特征在于,所述业务签约请求包括用户身份属性,所述用户身份属性用于指示所述用户请求签约所述业务使用的身份类型。
24.根据权利要求21-23任一所述的方法,其特征在于,所述方法还包括:
向所述第一应用服务器发送业务访问请求,所述业务访问请求用于请求访问所述业务,所述业务访问请求包括所述第一用户标识。
25.根据权利要求21-24任一所述的方法,其特征在于,所述业务访问请求包括从所述业务签约响应中获取的第二访问控制属性,所述所述第二访问控制属性用于指示所述第一应用服务器是否接受所述第一应用服务器持有所述第一用户标识访问其他业务,和/或,所述第一应用服务器接受所述第一应用服务器访问其他业务的范围。
26.根据权利要求21-25任一所述的方法,其特征在于,所述业务访问请求包括从所述业务签约响应中获取的有效期,所述有效期用于确定所述第一用户标识是否有效。
27.一种通信系统,其特征在于,包括身份管理网元和终端设备,所述身份管理网元用于实现如权利要求1-20中任一项所述的方法,所述终端设备用于实现如权利要求21-26中任一项所述的方法。
28.一种通信装置,其特征在于,包括用于执行如权利要求1-20任一项所述方法的单元或者模块,或者包括用于执行如权利要求21-26任一项所述方法的单元或者模块。
29.一种可读存储介质,其特征在于,所述可读存储介质中存储有程序,当所述程序被通信装置执行时,实现如权利要求1-20中任一项所述的方法,或者实现如权利要求21-26中任一项所述的方法。
30.一种计算机程序产品,其特征在于,所述计算机程序产品包括指令,当所述指令在处理器上运行时,使得处理器执行权利要求1-20中任一项所述方法,或者执行权利要求21-26中任一项所述方法。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202410221822.6A CN120567913A (zh) | 2024-02-27 | 2024-02-27 | 业务处理方法及装置 |
| PCT/CN2025/075276 WO2025180174A1 (zh) | 2024-02-27 | 2025-01-26 | 业务处理方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202410221822.6A CN120567913A (zh) | 2024-02-27 | 2024-02-27 | 业务处理方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN120567913A true CN120567913A (zh) | 2025-08-29 |
Family
ID=96822936
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202410221822.6A Pending CN120567913A (zh) | 2024-02-27 | 2024-02-27 | 业务处理方法及装置 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN120567913A (zh) |
| WO (1) | WO2025180174A1 (zh) |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101291220B (zh) * | 2007-04-16 | 2010-08-18 | 华为技术有限公司 | 一种身份安全认证的系统、装置及方法 |
| US9462014B1 (en) * | 2015-04-23 | 2016-10-04 | Datiphy Inc. | System and method for tracking and auditing data access in a network environment |
| CN110535823B (zh) * | 2019-07-09 | 2021-10-22 | 中移(杭州)信息技术有限公司 | 基于伪码的交互方法、系统和伪码服务平台 |
| CN113536367B (zh) * | 2021-06-11 | 2023-10-10 | 深圳市优克联新技术有限公司 | 一种注册方法、隐私服务器、业务信息服务器及注册系统 |
| CN115720137B (zh) * | 2021-08-24 | 2025-09-19 | 华为技术有限公司 | 一种信息管理的系统、方法以及装置 |
-
2024
- 2024-02-27 CN CN202410221822.6A patent/CN120567913A/zh active Pending
-
2025
- 2025-01-26 WO PCT/CN2025/075276 patent/WO2025180174A1/zh active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| WO2025180174A1 (zh) | 2025-09-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3570515B1 (en) | Method, device, and system for invoking network function service | |
| CN110798833B (zh) | 一种鉴权过程中验证用户设备标识的方法及装置 | |
| CN110800331B (zh) | 网络验证方法、相关设备及系统 | |
| US11870765B2 (en) | Operation related to user equipment using secret identifier | |
| CN103370915B (zh) | 用于安全用户平面定位系统中的认证的方法和装置 | |
| US8046583B2 (en) | Wireless terminal | |
| US7565142B2 (en) | Method and apparatus for secure immediate wireless access in a telecommunications network | |
| KR101167781B1 (ko) | 콘텍스트 전달을 인증하는 시스템 및 방법 | |
| JP4870277B2 (ja) | セルラーネットワーク内の移動局に関する所在位置情報を処理する方法、ネットワーク・エレメント、パケットデータ・デバイス及び移動局 | |
| US20190289463A1 (en) | Method and system for dual-network authentication of a communication device communicating with a server | |
| US8626708B2 (en) | Management of user data | |
| CN112672336B (zh) | 实现外部认证的方法、通信装置及通信系统 | |
| CN101578841B (zh) | 通信网络中的验证 | |
| WO2020029729A1 (zh) | 一种通信方法和装置 | |
| US20080294891A1 (en) | Method for Authenticating a Mobile Node in a Communication Network | |
| JP2011141877A (ja) | 通信システムにおける認証 | |
| CN117041955A (zh) | 签约数据更新方法、装置、节点和存储介质 | |
| CN115835202B (zh) | 一种鉴权方法及系统 | |
| CN120567913A (zh) | 业务处理方法及装置 | |
| US20240356742A1 (en) | Verification of service based architecture parameters | |
| WO2026007965A1 (zh) | 移动网络注册方法及装置 | |
| KR20250159015A (ko) | 통신 방법 및 통신 장치 | |
| CN118283619A (zh) | 网络安全控制方法及电子设备 | |
| WO2025233043A1 (en) | Method, apparatus and computer program | |
| WO2025233037A1 (en) | Method, apparatus and computer program |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication |