著录项信息
专利名称 | 一种签约方法及系统 |
申请号 | CN200610109218.6 | 申请日期 | 2006-08-04 |
法律状态 | 授权 | 申报国家 | 中国 |
公开/公告日 | 2008-02-06 | 公开/公告号 | CN101119197 |
优先权 | 暂无 | 优先权号 | 暂无 |
主分类号 | H04W8/18 | IPC分类号 | H;0;4;W;8;/;1;8;;;H;0;4;W;1;2;/;0;4;;;H;0;4;W;1;2;/;0;6查看分类表>
|
申请人 | 华为技术有限公司 | 申请人地址 | 广东省深圳市龙岗区坂田华为总部办公楼
变更
专利地址、主体等相关变化,请及时变更,防止失效 |
权利人 | 华为技术有限公司 | 当前权利人 | 华为技术有限公司 |
发明人 | 位继伟;范絮妍 |
代理机构 | 暂无 | 代理人 | 暂无 |
摘要
本发明提供了一种签约方法及系统,属于网络通讯领域。为了解决现有技术中签约非实时性、操作繁琐的问题,本发明提供了一种签约方法,所述方法包括发送签约请求、生成签约信息、保存签约信息以及对签约信息进行更新和撤销签约的步骤。本发明还提供了一种签约系统,所述系统包括承载方、被承载方和签约数据库,所述被承载方包括签约请求发送模块,承载方包括签约信息生成模块,签约数据库包括签约信息保存模块。采用本发明所述技术方案签约双方可以迅速、实时、在线的建立起签约关系,易于实现;当签约信息发生变化时,可以在线更新;当需要解除签约关系时,可以在线撤销签约关系,便于签约双方实时维护签约信息的正确性和有效性。
1.一种签约方法,其特征在于,应用于通用鉴权框架,该通用鉴权框架包括业务提供者SP和实体认证中心EAC,网络方作为承载方,所述实体认证中心EAC作为所述网络方的签约代理,所述方法包括:
步骤A:业务提供者SP向所述承载方发送签约请求消息,所述请求消息携带所述业务提供者SP的身份信息和要提供的业务类型;
步骤B:所述承载方收到所述签约请求消息后,根据业务类型判断是否需要进行认证,如果需要,则根据所述业务类型确定认证方式,所述承载方与业务提供者SP根据所述认证方式进行认证;
步骤C:承载方生成签约信息,把所述签约信息发送给签约数据库;
步骤D:所述签约数据库收到所述签约信息后,保存签约信息,把签约成功响应发送给业务提供者SP或通过承载方发送给业务提供者SP。
2.如权利要求1所述的签约方法,其特征在于,所述步骤A中的签约请求消息中还携带业务提供能力信息、认证能力信息及认证要求;相应地,所述步骤B中承载方收到所述签约请求消息后,根据业务类型和认证要求判断是否需要进行认证,根据所述认证能力信息、业务类型和认证要求确定认证方式。
3.如权利要求1所述的签约方法,其特征在于,所述认证方式具体包括以下方式:
根据本地策略进行认证;
根据业务提供者SP提供的公钥证书或属性证书进行认证;
根据向可信任的第三方进行查询认证。
4.如权利要求1所述的签约方法,其特征在于,所述步骤C还包括承载方与业务提供者SP生成共享秘密的步骤;
相应地,所述步骤D中签约数据库通过承载方发送签约成功响应给业务提供者SP的步骤还包括:
签约数据库把签约成功响应发送给承载方,所述签约成功响应携带签约信息,承载方收到签约成功响应后,用所述共享秘密加密签约信息并发送给业务提供者SP。
5.如权利要求1所述的签约方法,其特征在于,当业务提供者SP与承载方已经签约且业务提供者SP信息发生变化时,所述方法还包括对所述签约信息进行更新,具体包括以下步骤:
步骤E:业务提供者SP向承载方发送签约信息更新请求消息,所述请求消息携带更新原因和签约信息中的身份信息;
步骤F:承载方收到所述签约信息更新请求后,根据签约信息判断是否需要进行认证,如果需要,根据所述业务类型确定认证方式,所述承载方与业务提供者SP根据所述认证方式进行认证;
步骤G:所述承载方发送更新请求消息给签约数据库,所述请求消息携带更新内容和业务提供者SP的身份信息;
步骤H:所述签约数据库收到所述请求消息后,根据消息中携带的业务提供者SP身份信息查找数据库中业务提供者SP的签约信息,查到后根据消息中携带的更新内容更新签约信息,发送更新确认响应给业务提供者SP,签约数据库查找订购业务提供者SP所提供业务的用户,向所述用户发送签约信息更新通知,或由业务提供者SP向该业务相关用户发送签约信息更新通知。
6.如权利要求1所述的签约方法,其特征在于,当业务提供者SP与承载方已经签约且业务提供者SP要终止与承载方的签约关系时,所述方法还包括撤销签约的步骤,具体包括以下步骤:
步骤J:所述业务提供者SP向承载方发送撤销签约关系请求消息,所述撤销签约关系请求消息携带业务提供者SP身份信息;
步骤K:所述承载方收到所述撤销签约关系请求消息后,根据签约信息判断是否需要进行认证,如果需要,根据所述业务类型确定认证方式,所述承载方与业务提供者SP根据所述认证方式进行认证;
步骤L:所述承载方发送撤销请求消息给签约数据库,所述撤销请求消息携带业务提供者SP身份信息;
步骤M:签约数据库收到所述撤销请求消息后,根据消息中携带的业务提供者SP身份信息查找数据库中业务提供者SP的签约信息,查到后删除所述签约信息,发送撤销确认响应给业务提供者SP,签约数据库查找订购所述承载方所提供业务的用户,向所述用户发送签约信息撤销通知,或由业务提供者SP向该业务相关用户发送签约信息撤销通知。
7.如权利要求1所述的签约方法,其特征在于,当业务提供者SP与承载方已经签约且承载方要终止与业务提供者SP的签约关系时,所述方法还包括撤销签约的步骤,具体包括以下步骤:
步骤O:所述承载方向业务提供者SP发送撤销签约关系请求消息;
步骤P:所述业务提供者SP收到所述撤销签约关系请求消息后,根据签约信息判断是否需要进行认证,如果需要,根据所述业务类型确定认证方式,所述承载方与业务提供者SP根据所述认证方式进行认证;
步骤Q:所述业务提供者SP向承载方发送撤销确认响应;
步骤R:所述承载方收到所述撤销确认响应后,向签约数据库发送撤销请求消息,所述撤销请求消息中携带业务提供者SP身份信息;
步骤S:所述签约数据库收到所述撤销请求后,根据消息中携带的业务提供者SP身份信息查找数据库中业务提供者SP的签约信息,查到后删除所述签约信息,发送撤销确认响应给承载方,签约数据库查找订购所述承载方所提供业务的用户,向所述用户发送签约信息撤销通知,或由业务提供者SP向该业务相关用户发送签约信息撤销通知。
8.如权利要求5至7中任一权利要求所述的签约方法,其特征在于,所述承载方与业务提供者SP根据所述认证方式进行认证包括以下方法:
采用签约过程中使用的认证方式;
采用签约过程的认证结果进行认证;
采用业务提供者SP与承载方统一的认证方法。
9.一种签约系统,其特征在于,所述系统应用于通用鉴权框架,该通用鉴权框架包括业务提供者SP、实体认证中心EAC和签约数据库,网络方作为承载方,所述实体认证中心EAC作为所述网络方的签约代理,所述业务提供者SP包括签约请求发送模块,所述承载方包括签约信息生成模块,签约数据库包括签约信息保存模块;
所述签约请求发送模块用于业务提供者SP向所述承载方发送签约请求消息,所述请求消息携带业务提供者SP的身份信息和要提供的业务类型;
所述签约信息生成模块用于所述承载方收到所述签约请求消息后,根据业务类型判断是否需要进行认证,如果需要,根据所述业务类型确定认证方式,所述承载方与业务提供者SP根据所述认证方式进行认证;认证通过后,所述承载方生成签约信息,把所述签约信息发送给签约数据库;
所述签约信息保存模块用于所述签约数据库收到所述签约信息后,保存签约信息,把签约成功响应发送给业务提供者SP或通过承载方发送给业务提供者SP。
10.如权利要求9所述的签约系统,其特征在于,所述业务提供者SP还包括更新请求模块,所述承载方还包括认证更新模块,所述签约数据库还包括签约信息更新模块;
所述更新请求模块用于业务提供者SP向承载方发送签约信息更新请求消息,所述请求消息携带更新原因和签约信息中的身份信息;
所述认证更新模块用于当业务提供者SP与承载方已经签约且承载方收到所述签约信息更新请求后,根据签约信息判断是否需要进行认证,如果需要,根据所述业务类型确定认证方式,所述承载方与业务提供者SP根据所述认证方式进行认证;认证通过后,承载方发送更新请求消息给签约数据库,所述请求消息携带更新内容和业务提供者SP的身份信息;
所述签约信息更新模块用于所述签约数据库收到所述请求消息后,根据消息中携带的业务提供者SP身份信息查找数据库中业务提供者SP的签约信息,查到后根据消息中携带的更新内容更新签约信息,发送更新确认响应给业务提供者SP,签约数据库查找订购所述承载方所提供业务的用户,向所述用户发送签约信息更新通知,或由业务提供者SP向该业务相关用户发送签约信息更新通知。
11.如权利要求9所述的签约系统,其特征在于,所述业务提供者SP还包括撤销请求模块,所述承载方还包括认证撤销模块,所述签约数据库还包括签约信息删除模块;
所述撤销请求模块用于业务提供者SP向承载方发送撤销签约关系请求消息,所述撤销签约关系请求消息携带业务提供者SP身份信息;
所述认证撤销模块用于当业务提供者SP与承载方已经签约且承载方收到所述撤销签约关系请求消息后,根据签约信息判断是否需要进行认证,如果需要,根据所述业务类型确定认证方式,所述承载方与业务提供者SP根据所述认证方式进行认证;认证通过后,承载方发送撤销请求消息给签约数据库,所述撤销请求消息携带业务提供者SP身份信息;
所述签约信息删除模块用于签约数据库收到所述撤销请求消息后,根据消息中携带的业务提供者SP身份信息查找数据库中业务提供者SP的签约信息,查到后删除所述签约信息,发送撤销确认响应给业务提供者SP,签约数据库查找订购所述承载方所提供业务的用户,向所述用户发送签约信息撤销通知,或由业务提供者SP向该业务相关用户发送签约信息撤销通知。
12.如权利要求9所述的签约系统,其特征在于,所述承载方还包括承载方撤销请求模块,所述业务提供者SP还包括撤销确认响应发送模块,所述签约数据库还包括签约信息删除模块;
所述承载方撤销请求模块用于承载方向业务提供者SP发送撤销签约关系请求消息;
所述撤销确认响应发送模块用于当业务提供者SP与承载方已经签约且业务提供者SP收到所述撤销签约关系请求消息后,根据签约信息判断是否需要进行认证,如果需要,根据所述业务类型确定认证方式,所述承载方与业务提供者SP根据所述认证方式进行认证;认证通过后,业务提供者SP向承载方发送撤销确认响应;
所述承载方撤销请求模块还用于承载方收到所述撤销确认响应发送模块发送的撤销确认响应后,向签约数据库发送撤销签约关系请求消息,所述撤销签约关系请求消息中携带业务提供者SP身份信息。
所述签约信息删除模块用于签约数据库收到所述撤销请求消息后,根据消息中携带的业务提供者SP身份信息查找数据库中业务提供者SP的签约信息,查到后删除所述签约信息,发送撤销确认响应给业务提供者SP,签约数据库查找订购所述承载方所提供业务的用户,向所述用户发送签约信息撤销通知,或由业务提供者SP向该业务相关用户发送签约信息撤销通知。
一种签约方法及系统 \n技术领域\n[0001] 本发明涉及网络通讯领域,特别涉及一种签约方法及系统。 \n[0002] 背景技术\n[0003] 端到端通信认证框架是一种适用于不同移动网络标准的通用鉴权框架,其作用在于为不同类型的实体之间建立相互信任关系,是一个真正意义上的通用鉴权框架,该框架的示意图参见图1。图中涉及到的网络元素除了2种业务实体:SS(Service Subscriber,业务签约者)(101)、SP(Service Provider,业务提供者)(102)以外,在运营商网络中,还应该存在一个EAC(Entity Authentication Center,实体认证中心)(103)和一个ESD(Entity SubscriptionDatabase,实体签约数据库)(104)。 \n[0004] 业务提供者在能够向其它实体提供业务,或者业务签约者向其它实体请求业务之前,应该首先已经与网络存在签约关系,并将签约信息存放于ESD中。 \n[0005] 现有技术中,移动用户(SS或SP)与移动网络的签约大多是通过UICC、SIM等智能卡实现的,智能卡是通过购买等方式获得的,因而是离线操作。第三方应用服务器(通常为SP)与移动网络的签约关系可能需要双方代表面对面签订一个书面合同或契约等。 [0006] 现有技术的缺点是: \n[0007] 1.移动用户与移动网络的签约方式不具有实时性,操作起来不方便,既费时又费力,不利于扩大移动网络的业务范围; \n[0008] 2.第三方应用服务器与移动网络签约方法不统一,不便于签约双方迅速有效的建立签约关系。 \n[0009] 发明内容\n[0010] 本发明目的在于克服现有技术中签约方式的非实时性和签约方法不统一的问题,以便移动网络和更多的业务提供者建立签约关系。本发明提供了一种基于业务的自动签约方法。所述技术方案如下: \n[0011] 本发明提供了一种签约方法,所述方法包括: \n[0012] 步骤A:被承载方向承载方发送签约请求消息,所述请求消息携带所述被承载方的身份信息和要提供的业务类型; \n[0013] 步骤B:所述承载方收到所述签约请求消息后,根据业务类型判断是否需要进行认证,如果需要,则根据所述业务类型确定认证方式,所述承载方与被承载方根据所述认证方式进行认证; \n[0014] 步骤C:承载方生成签约信息,把所述签约信息发送给签约数据库; [0015] 步骤D:所述签约数据库收到所述签约信息后,保存签约信息,把签约成功响应发送给被承载方或通过承载方发送给被承载方。 \n[0016] 所述步骤A中的签约请求消息中还携带业务提供能力信息、认证能力信息及认证要求;相应地,所述步骤B中承载方收到所述签约请求消息后,根据业务类型和认证要求判断是否需要进行认证,根据所述认证能力信息、业务类型和认证要求确定认证方式。 [0017] 所述认证方式具体包括以下方式: \n[0018] 根据本地策略进行认证; \n[0019] 根据被承载方提供的公钥证书或属性证书进行认证; \n[0020] 根据向可信任的第三方进行查询认证。 \n[0021] 所述步骤C还包括承载方与被承载方生成共享秘密的步骤; \n[0022] 相应地,所述步骤D中签约数据库通过承载方发送签约成功响应给被承载方的步骤还包括: \n[0023] 签约数据库把签约成功响应发送给承载方,所述签约成功响应携带签约信息,承载方收到签约成功响应后,用所述共享秘密加密签约信息并发送给被承载方。 [0024] 当被承载方信息发生变化时,所述方法还包括对所述签约信息进行更新,具体包括以下步骤: \n[0025] 步骤E:被承载方向承载方发送签约信息更新请求消息,所述请求消息携带更新原因和签约信息中的身份信息; \n[0026] 步骤F:承载方收到所述签约信息更新请求后,根据签约信息判断是否需要进行认证,如果需要,根据所述业务类型确定认证方式,所述承载方与被承载方根据所述认证方式进行认证; \n[0027] 步骤G:所述承载方发送更新请求消息给签约数据库,所述请求消息携带更新内容和被承载方的身份信息; \n[0028] 步骤H:所述签约数据库收到所述请求消息后,根据消息中携带的被承载方身份信息查 找数据库中被承载方的签约信息,查到后根据消息中携带的更新内容更新签约信息,并发送更新确认响应给被承载方,签约数据库查找订购所述承载方所提供业务的用户,向所述用户发送签约信息更新通知,或由被承载方向该业务相关用户发送签约信息更新通知。 \n[0029] 当被承载方要终止与承载方的签约关系时,所述方法还包括撤销签约的步骤,具体包括以下步骤: \n[0030] 步骤J:所述被承载方向承载方发送撤销签约关系请求消息,所述撤销签约关系请求消息携带被承载方身份信息; \n[0031] 步骤K:所述承载方收到所述撤销签约关系请求消息后,根据签约信息判断是否需要进行认证,如果需要,根据所述业务类型确定认证方式,所述承载方与被承载方根据所述认证方式进行认证; \n[0032] 步骤L:所述承载方发送撤销请求消息给签约数据库,所述撤销请求消息携带被承载方身份信息; \n[0033] 步骤M:签约数据库收到所述撤销请求消息后,根据消息中携带的被承载方身份信息查找数据库中被承载方的签约信息,查到后删除所述签约信息,发送撤销确认响应给被承载方,签约数据库查找订购所述承载方所提供业务的用户,向所述用户发送签约信息撤销通知,或由被承载方向该业务相关用户发送签约信息撤销通知。 \n[0034] 当承载方要终止与被承载方的签约关系时,所述方法还包括撤销签约的步骤,具体包括以下步骤: \n[0035] 步骤O:所述承载方向被承载方发送撤销签约关系请求消息; \n[0036] 步骤P:所述被承载方收到所述撤销签约关系请求消息后,根据签约信息判断是否需要进行认证,如果需要,根据所述业务类型确定认证方式,所述承载方与被承载方根据所述认证方式进行认证; \n[0037] 步骤Q:所述被承载方向承载方发送撤销确认响应; \n[0038] 步骤R:所述承载方收到所述撤销确认响应后,向签约数据库发送撤销请求消息,所述撤销请求消息中携带被承载方身份信息; \n[0039] 步骤S:所述签约数据库收到所述撤销请求后,根据消息中携带的被承载方身份信息查找数据库中被承载方的签约信息,查到后删除所述签约信息,发送撤销确认响应给承载方,签约数据库查找订购所述承载方所提供业务的用户,向所述用户发送签约信息撤销通知,或由被承载方向该业务相关用户发送签约信息撤销通知。 \n[0040] 所述的认证具体包括以下方法: \n[0041] 采用签约过程中使用的认证方式; \n[0042] 采用签约过程的认证结果进行认证; \n[0043] 采用被承载方与承载方统一的认证方法。 \n[0044] 本发明还提供了一种签约系统,所述系统包括被承载方、承载方和签约数据库,所述被承载方包括签约请求发送模块,承载方包括签约信息生成模块,签约数据库包括签约信息保存模块; \n[0045] 所述签约请求发送模块用于被承载方向承载方发送签约请求消息,所述请求消息携带被承载方的身份信息和要提供的业务类型; \n[0046] 所述签约信息生成模块用于承载方收到所述签约请求消息后,根据业务类型判断是否需要进行认证,如果需要,根据所述业务类型确定认证方式,所述承载方与被承载方根据所述认证方式进行认证;认证通过后,所述承载方生成签约信息,并把所述签约信息发送给签约数据库; \n[0047] 所述签约信息保存模块用于所述签约数据库收到所述签约信息后,保存签约信息,把签约成功响应发送给被承载方或通过承载方发送给被承载方。 \n[0048] 所述被承载方还包括更新请求模块,所述承载方还包括认证更新模块,所述签约数据库还包括签约信息更新模块; \n[0049] 所述更新请求模块用于被承载方向承载方发送签约信息更新请求消息,所述请求消息携带更新原因和签约信息中的身份信息; \n[0050] 所述认证更新模块用于承载方收到所述签约信息更新请求后,根据签约信息判断是否需要进行认证,如果需要,根据所述业务类型确定认证方式,所述承载方与被承载方根据所述认证方式进行认证;认证通过后,承载方发送更新请求消息给签约数据库,所述请求消息携带更新内容和被承载方的身份信息; \n[0051] 所述签约信息更新模块用于所述签约数据库收到所述请求消息后,根据消息中携带的被承载方身份信息查找数据库中被承载方的签约信息,查到后根据消息中携带的更新内容更新签约信息,发送更新确认响应给被承载方,签约数据库查找订购所述承载方所提供业务的用户,向所述用户发送签约信息更新通知,或由被承载方向该业务相关用户发送签约信息更新通知。 \n[0052] 所述被承载方还包括撤销请求模块,所述承载方还包括认证撤销模块,所述签约数据库还包括签约信息删除模块; \n[0053] 所述撤销请求模块用于被承载方向承载方发送撤销签约关系请求消息,所述撤销签约关 系请求消息携带被承载方身份信息; \n[0054] 所述认证撤销模块用于承载方收到所述撤销签约关系请求消息后,根据签约信息判断是否需要进行认证,如果需要,根据所述业务类型确定认证方式,所述承载方与被承载方根据所述认证方式进行认证;认证通过后,承载方发送撤销请求消息给签约数据库,所述撤销请求消息携带被承载方身份信息; \n[0055] 所述签约信息删除模块用于签约数据库收到所述撤销请求消息后,根据消息中携带的被承载方身份信息查找数据库中被承载方的签约信息,查到后删除所述签约信息,发送撤销确认响应给被承载方,签约数据库查找订购所述承载方所提供业务的用户,向所述用户发送签约信息撤销通知,或由被承载方向该业务相关用户发送签约信息撤销通知。 [0056] 所述承载方还包括承载方撤销请求模块,所述被承载方还包括撤销确认响应发送模块,所述签约数据库还包括签约信息删除模块; \n[0057] 所述承载方撤销请求模块用于承载方向被承载方发送撤销签约关系请求消息; [0058] 所述撤销确认响应发送模块用于被承载方收到所述撤销签约关系请求消息后,根据签约信息判断是否需要进行认证,如果需要,根据所述业务类型确定认证方式,所述承载方与被承载方根据所述认证方式进行认证;认证通过后,被承载方向承载方发送撤销确认响应; \n[0059] 所述承载方撤销请求模块还用于承载方收到所述撤销确认响应发送模块发送的撤销确认响应后,向签约数据库发送撤销请求消息,所述撤销签约关系请求消息中携带被承载方身份信息。 \n[0060] 所述签约信息删除模块用于签约数据库收到所述撤销请求消息后,根据消息中携带的被承载方身份信息查找数据库中被承载方的签约信息,查到后删除所述签约信息,发送撤销确认响应给被承载方,签约数据库查找订购所述承载方所提供业务的用户,向所述用户发送签约信息撤销通知,或由被承载方向该业务相关用户发送签约信息撤销通知。 [0061] 通过本发明提供的签约方法和系统带来的有益效果是: \n[0062] 1.签约双方可以迅速、实时、在线的建立起签约关系,而且流程统一,易于实现; [0063] 2.当签约信息发生变化时,可以在线更新; \n[0064] 3.当需要解除签约关系时,可以在线撤销签约关系,便于签约双方实时维护签约信息的正确性和有效性。 \n[0065] 附图说明\n[0066] 图1是现有技术中的端到端通信认证框架示意图; \n[0067] 图2是本发明实施例1提供的签约方法流程示意图; \n[0068] 图3是本发明实施例2提供的更新签约流程示意图; \n[0069] 图4是本发明实施例3提供的删除签约关系流程示意图; \n[0070] 图5是本发明实施例4提供的删除签约关系流程示意图; \n[0071] 图6是本发明实施例5提供的签约系统示意图; \n[0072] 图7是本发明实施例6提供的签约系统示意图; \n[0073] 图8是本发明实施例7提供的签约系统示意图; \n[0074] 图9是本发明实施例8提供的签约系统示意图。 \n具体实施方式\n[0075] 下面结合附图和具体实施例对本发明作进一步说明,但不作为对本发明的限定。 [0076] 实施例1 \n[0077] 本发明提供了一种签约方法,该方法的应用范围不仅限于端到端通信认证过程,只要是涉及承载方与被承载方就某一资源的提供和使用而进行的签约过程、签约信息的更新和签约关系撤销过程都适用。 \n[0078] 本实施例以SP作为被承载方,网络作为承载方,EAC作为网络方的签约代理,在确认对方身份和权限后生成签约信息,并将签约信息存储在ESD中。当SS不是移动用户,是第三方应用服务器的情况时,如果没有和移动网络建立签约关系,也可以使用本发明提供的签约方法执行签约过程。 \n[0079] 参见图2,该签约方法具体步骤如下: \n[0080] 步骤201:SP向EAC发送签约请求消息,该请求消息携带SP的身份信息、要提供的业务类型、业务提供能力信息、认证能力信息以及认证要求等,其中身份信息和业务类型是签约请求中必须携带的,其它的都是可选信息。 \n[0081] 其中,SP可以是应用服务器、移动终端等能够提供服务的实体。根据SP的具体类型,其身份信息可以是URL、IMSI、TMSI、IMPI或IMPU等,甚至是SP自己设定的假名。签约成功后,该信息作为签约信息的一部分存储在ESD中。 \n[0082] SP提供的业务类型可以是手机电子银行业务、移动梦网业务、邮件服务业务等,可以用标识码的格式发送给EAC,也可以直接发送业务名称,这里不作限制,只要EAC能够识别就可以。 \n[0083] 业务提供能力信息指SP具体能够提供的业务类型和该业务类型的规模。 [0084] 认证能力信息包含SP支持的认证方式、认证模型以及密码算法等,确认SP身份、能力和权限合法后,该认证能力信息作为签约信息的一部分存储在ESD中。 [0085] 认证要求是指签约前SP要求与EAC采用何种方式(或者何种安全等级的认证方式)进行认证。例如,SP能够提供很多种认证方式,但是有些SP(如银行)可能对网络不够信任,签约前需要向EAC提出采用安全等级较高的方式来认证网络。 \n[0086] 步骤202:所述EAC收到签约请求消息后,确定二者是否需要进行认证,以及采用何种方式进行认证。具体如下: \n[0087] EAC根据业务类型对应的安全等级确定是否需要进行认证,如果安全等级要求很低,或SP和EAC双方相互信任,则不需要认证,直接跳到步骤204。如果安全等级要求高,则SP和EAC需要进行认证。 \n[0088] 当SP发来的签约请求信息中包含了业务提供能力信息、认证能力信息以及认证要求等信息时,EAC也可以根据业务类型和认证要求确定是否需要进行认证,这样可以充分考虑被承载方的要求,当业务类型的安全要求比较低时,但是如果SP提出的认证要求的安全性比较高时,应该采用比较高的安全认证方式进行认证。 \n[0089] 当SP和EAC需要进行认证时,EAC可以根据SP的业务类型确定认证方式,也可以综合SP的认证能力信息、业务类型、认证要求以及网络的认证能力信息等信息确定认证方式。EAC也可以无需选择认证方式而直接采用预设置的认证方式进行认证。 [0090] 步骤203A:EAC和SP根据确定的认证方式进行认证。 \n[0091] EAC对SP进行认证,以便对SP的身份的合法性和提供某项业务的权限和/或能力进行确认。 \n[0092] EAC本身对SP身份的合法性和提供某项业务的权限和/或能力进行确认的方法有: \n[0093] (1)判断是否接受业务实体(SP)的签约请求。 \n[0094] EAC依靠本地策略判断是否接受业务实体的签约请求,该本地策略包括对业务实体身份合法性和提供业务的权限和/或能力的要求。可以以列表的形式表示,表项可以包括接收的业务实体类型,提供业务的种类限制和/或业务提供能力要求等信息。本发明不限于用列表形式表示EAC是否接受签约请求的本地策略,只要包含上述思想内容的表达形式都可以,即本发明对此不做要求。 \n[0095] (2)认证SP提供的公钥证书。 \n[0096] 当SP和EAC的认证方式是基于公钥证书或属性证书的认证,则SP向EAC出示的证书需要权威机构颁发,且能够对SP身份的合法性、业务提供能力等做出证明。业务提供能力信息可 以放在PKI公钥证书的扩展信息中,或者SP向EAC出示能够证明其身份合法性和提供业务的权限和/或能力的PMI(Privilege Management Infrastructure,权限管理系统)属性证书。 \n[0097] SP对EAC的认证具体有:SP通过EAC的公钥证书等方式判断EAC是否是移动运营商合法的实体认证中心。 \n[0098] 步骤203B:当EAC本身不能判定SP身份的合法性和提供业务的权限和/或能力的真实性时,需要向TTP(Trusted Third Party,可信任第三方)进行查询,即由EAC信任的第三方来代为完成对SP的身份和提供业务的权限和/或能力的验证。 \n[0099] 在EAC和SP的认证过程中,如果业务的安全要求高,认证过程中生成二者的共享秘密信息;如果业务的安全要求比较低,也可以不生成共享秘密信息。 [0100] 步骤204:经过认证,如果EAC确认SP身份、能力、权限合法,生成签约信息。 [0101] 最基本的签约信息为:SP的身份信息和实体业务允许标志,实体业务允许标志表示SP是否有权提供某项业务,对能够提供的业务在签约信息中设置该业务的允许标志为“1”,如果以后SP不再提供该业务,则设为“0”。 \n[0102] 签约信息的内容还可以包括:SP和EAC的共享秘密信息,密钥有效期(提前设置交易过程中密钥的使用时间)以及该实体的认证能力信息,还有该实体对应于某项业务的认证要求信息等。EAC对密钥(用于端到端认证过程)设定有效期,如果不设定则有效期视为默认值。 \n[0103] 如果SP身份、能力、权限有不合法的信息则返回错误响应,并终止该过程。 [0104] 步骤205:EAC将签约信息发送给ESD。 \n[0105] 步骤206:ESD收到签约信息后,签约信息保存在数据库中。 \n[0106] 步骤207:ESD发送签约成功响应给SP。该签约成功响应可以携带签约信息,也可以不携带签约信息。 \n[0107] 根据网络的具体设置该响应可以直接返回到SP,也可以返回给EAC,再由EAC返回给SP。 \n[0108] 如果通过EAC返回响应给SP,并且响应中包括签约信息,则EAC可以利用其与SP的共享秘密加密签约信息,并返回给SP,达到确认签约成功和防止重访攻击的目的。根据网络的具体设置也可以不返回签约信息。 \n[0109] 步骤208:SP收到签约成功响应后,签约信息可以保存在本地或者在本地不进行保存,签约结束。 \n[0110] 实施例2 \n[0111] 对于被承载方与承载方已经签约,当被承载方需要更新签约信息时,进行签约更新过程。本实施例的被承载方与承载方同实施例1相同,即SP作为被承载方,网络作为承载方,EAC 作为网络方的签约代理,SS作为订购被承载方所提供业务的用户。 [0112] 参见图3,更新签约具体包括以下步骤: \n[0113] 步骤301:SP向EAC发送签约信息更新请求消息,请求消息中携带更新原因,以及其签约信息中的身份标识,便于网络查找该SP的签约信息。这里的更新原因至少为以下情况之一: \n[0114] 1)SP提供的业务类型发生变化; \n[0115] 2)存储的共享秘密泄露; \n[0116] 3)SP认证能力升级或发生改变; \n[0117] 4)SP的身份标识信息发生变化; \n[0118] 5)SP对应某项业务的认证要求信息发生了变化; \n[0119] 6)签约信息所涉及的内容发生上述各项以外的任何改变。 \n[0120] 如果后续的认证方法是基于签约过程所建立的认证结果的,则该更新请求消息中可能包含该认证结果,作为EAC认证SP的凭证。这里的认证结果具体指上次认证成功后生成的信任状。 \n[0121] 步骤302:EAC收到更新请求消息后,根据签约信息判断是否需要进行认证,以及采用何种方式进行认证。 \n[0122] 根据签约信息判断是否需要进行认证,就是查看签约信息中是否有认证要求等信息,如果有,就根据认证要求等信息确定他们之间是否需要进行认证,如果没有就看签约信息中的业务类型具体是什么,根据该业务类型确定是否需要进行认证。当业务安全要求很低,或SP和EAC双方相互信任,则可能不需要认证,直接跳到步骤303。 [0123] 如果需要进行认证分为以下两种情况: \n[0124] 步骤302A:EAC与SP进行互认证,认证过程可以采用签约过程中使用的互认证方法;或者基于签约过程的认证结果(上次生成的信任状)进行认证,也可以统一采用一种简单通用的认证方法; \n[0125] SP和EAC的认证过程可以包括EAC对SP身份是否合法和提供某项业务的权限和/或能力的确认。 \n[0126] 步骤302B:当EAC本身不能判定一个业务提供者身份的合法性和/或业务提供能力的真实性时,EAC向可信任第三方TTP进行查询的,即由EAC信任的第三方来代为完成对签约请求者的身份和/或业务提供能力的验证。 \n[0127] 步骤303:经过互认证如果确认SP身份、能力、权限合法,EAC将更新请求发送给ESD,携带相应的更新内容和SP的身份标识信息;否则返回错误响应,并终止该更新过程。 [0128] 步骤304:ESD收到更新请求后,更新签约信息相应内容。例如,如果是添加或更改业务,则需要添加或更改业务允许标志。 \n[0129] 步骤305:ESD发送更新确认响应给SP。 \n[0130] 步骤306:ESD查找订购该SP所提供业务的SS,并向其发送签约信息变更的相关信息。 \n[0131] 实施例3 \n[0132] 对于被承载方与承载方已经签约,当被承载方要终止与承载方的签约关系时,需要撤销签约。本实施例的被承载方与承载方同实施例1相同,即SP作为被承载方,网络作为承载方,EAC作为网络方的签约代理,SS作为订购被承载方所提供业务的用户。 [0133] 参见图4,撤销签约具体包括以下步骤: \n[0134] 步骤401:SP向EAC发送撤销签约关系请求消息,该请求消息中携带着其签约信息中的身份标识信息,便于网络查找该SP的签约信息。 \n[0135] 步骤402:EAC收到撤销签约关系请求消息后,根据签约信息判断是否需要进行认证,以及采用何种方式进行认证。如果业务安全要求很低,或SP和EAC双方相互信任,则可能不需要认证,直接跳到步骤403。 \n[0136] 如果需要进行认证具体分为以下两种情况: \n[0137] 步骤402A:EAC与SP进行互认证,认证过程可以采用签约过程中使用的互认证方法;或者基于签约过程的认证结果进行认证;也可以采用一种简单通用的认证方法,即双方统一的认证方法。 \n[0138] SP和EAC的认证过程可以包括EAC对SP身份的合法性和提供某项业务的权限或能力的确认。 \n[0139] 步骤402B:当EAC本身不能判定一个业务提供者身份的合法性和/或业务提供能力的真实性时,向可信任第三方TTP进行查询,即由EAC信任的第三方来代为完成对签约请求者的身份和/或业务提供能力的验证。 \n[0140] 步骤403:确认SP身份、能力、权限合法后,EAC发送撤销请求消息给ESD,该撤销请求消息携带着SP的身份标识信息;否则返回错误响应,并终止该过程。 [0141] 步骤404:ESD收到撤销请求后,根据身份标志信息查找数据库中对应的签约信息,找到后删除相应的签约信息。 \n[0142] 步骤405:ESD发送撤销确认响应给SP。 \n[0143] 步骤406:ESD查找订购该SP所提供业务的SS,并向其发送签约信息撤销的相关信息。 \n[0144] 实施例4 \n[0145] 对于被承载方与承载方已经签约,当承载方要终止与被承载方的签约关系时,需要撤销签约。本实施例的被承载方与承载方同实施例1相同,即SP作为被承载方,网络作为承载方,EAC作为网络方的签约代理,SS作为订购被承载方所提供业务的用户。 [0146] 参见图5,撤销签约具体包括以下步骤: \n[0147] 步骤501:EAC向SP发送撤销签约关系请求消息; \n[0148] 步骤502:SP收到撤销签约关系请求消息后,根据签约信息判断是否需要进行认证,以及采用何种方式进行认证。如果业务安全要求很低,或SP和EAC双方相互信任,则可能不需要认证,直接跳到步骤503。 \n[0149] 认证过程可以采用签约过程中使用的认证方法;或者基于签约过程的认证结果进行认证;也可以统一采用一种简单通用的认证方法。 \n[0150] 步骤503:确认EAC身份、能力、权限合法后,SP向EAC发送撤销确认响应,表示同意撤销签约信息;否则返回错误响应,并终止该过程。 \n[0151] 步骤504:EAC收到撤销确认响应后,向ESD发送撤销请求,携带者SP的身份信息。 [0152] 步骤505:ESD收到撤销请求后,根据身份标志信息查找数据库中对应的签约信息,找到后删除相应的签约信息。 \n[0153] 步骤506:ESD发送撤销确认响应给EAC,告诉EAC已经完成了该签约信息的撤销。 [0154] 步骤507:ESD查找订购该SP所提供业务的SS,并向其发送签约信息撤销的相关信息。 \n[0155] 实施例5 \n[0156] 参见图6,本发明还提供了一种签约系统,该系统包括被承载方601、承载方602和签约数据库603,被承载方601包括签约请求发送模块604,承载方602包括签约信息生成模块605,该签约数据库603包括签约信息保存模块606;其中, \n[0157] 签约请求发送模块604用于被承载方向承载方发送签约请求消息,所述请求消息携带被承载方的身份信息和要提供的业务类型; \n[0158] 签约信息生成模块605用于承载方收到签约请求发送模块604的签约请求消息后,根据业务类型判断是否需要进行认证,如果需要,根据业务类型确定认证方式,承载方与被承载方根据认证方式进行认证;认证通过后,承载方生成签约信息,并把签约信息发送给签约数据库; \n[0159] 签约信息保存模块606用于签约数据库收到签约信息生成模块605的签约信息后,保存签约信息,并把签约成功响应发送给被承载方或通过承载方发送给被承载方。 [0160] 实施例6 \n[0161] 参见图7,被承载方601还包括更新请求模块701,承载方602还包括认证更新模块702,签约数据库603还包括签约信息更新模块703; \n[0162] 更新请求模块701用于被承载方向承载方发送签约信息更新请求消息,所述请求消息携带更新原因和签约信息中的身份信息; \n[0163] 认证更新模块702用于承载方收到更新请求模块701的签约信息更新请求后,根据签约信息判断是否需要进行认证,如果需要,根据业务类型确定认证方式,承载方与被承载方根据认证方式进行认证;认证通过后,承载方发送更新请求消息给签约数据库,请求消息携带更新内容和被承载方的身份信息; \n[0164] 签约信息更新模块703用于签约数据库收到认证更新模块702的请求消息后,根据消息中携带的被承载方身份信息查找数据库中被承载方的签约信息,查到后根据消息中携带的更新内容更新签约信息,并发送更新确认响应给被承载方,签约数据库查找订购承载方所提供业务的用户,向这些用户发送签约信息更新通知,或由被承载方向该业务相关用户发送签约信息更新通知。 \n[0165] 实施例7 \n[0166] 参见图8,被承载方601还包括撤销请求模块801,承载方602还包括认证撤销模块802,签约数据库603还包括签约信息删除模块803; \n[0167] 撤销请求模块801用于被承载方向承载方发送撤销签约关系请求消息,撤销签约关系请求消息携带被承载方身份信息; \n[0168] 认证撤销模块802用于承载方收到撤销请求模块801的撤销签约关系请求消息后,根据签约信息判断是否需要进行认证,如果需要,根据业务类型确定认证方式,承载方与被承载方根据认证方式进行认证;认证通过后,承载方发送撤销请求消息给签约数据库,撤销请求消息携带被承载方身份信息; \n[0169] 签约信息删除模块803用于签约数据库收到认证撤销模块802的撤销请求消息后,根据消息中携带的被承载方身份信息查找数据库中被承载方的签约信息,查到后删除该签约信息,并发送撤销确认响应给被承载方,签约数据库查找订购承载方所提供业务的用户,向这些用户发送签约信息撤销通知,或由被承载方向该业务相关用户发送签约信息撤销通知。 \n[0170] 实施例8 \n[0171] 参见图9,另外该系统的承载方也可以主动向被承载方发送撤销签约关系的请求信息,这时在承载方602还包括承载方撤销请求模块901,被承载方601还包括撤销确认响应发送 模块902,签约数据库还包括签约信息删除模块903; \n[0172] 承载方撤销请求模块901用于承载方向被承载方发送撤销签约关系请求消息; [0173] 撤销确认响应发送模块902用于被承载方收到承载方撤销请求模块901的撤销签约关系请求消息后,根据签约信息判断是否需要进行认证,如果需要,根据业务类型确定认证方式,承载方与被承载方根据认证方式进行认证;认证通过后,被承载方向承载方发送撤销确认响应; \n[0174] 承载方撤销请求模块901还用于承载方收到撤销确认响应发送模块902发送的撤销确认响应后,向签约数据库发送撤销请求消息,撤销签约关系请求消息中携带被承载方身份信息。 \n[0175] 签约信息删除模块903用于签约数据库收到承载方撤销请求模块901的撤销请求消息后,根据消息中携带的被承载方身份信息查找数据库中被承载方的签约信息,查到后删除该签约信息,并发送撤销确认响应给被承载方,签约数据库查找订购承载方所提供业务的用户,向这些用户发送签约信息撤销通知,或由被承载方向该业务相关用户发送签约信息撤销通知。 \n[0176] 以上所述的实施例,只是本发明较优选的具体实施方式的一种,本领域的技术人员在本发明技术方案范围内进行的通常变化和替换都应包含在本发明的保护范围内。
法律信息
- 2011-10-05
- 2008-04-09
- 2008-02-06
引用专利(该专利引用了哪些专利)
序号 | 公开(公告)号 | 公开(公告)日 | 申请日 | 专利名称 | 申请人 |
1
| | 暂无 |
1999-10-22
| | |
2
| |
2004-12-22
|
2004-01-05
| | |
3
| |
2004-07-07
|
2002-12-26
| | |
被引用专利(该专利被哪些专利引用)
序号 | 公开(公告)号 | 公开(公告)日 | 申请日 | 专利名称 | 申请人 | 该专利没有被任何外部专利所引用! |