一种业务鉴权的方法及鉴权能力开放服务器技术

本申请公开了一种业务鉴权的方法及鉴权能力开放服务器，涉及通信技术领域，能够开放运营商的鉴权能力，减少业务侧构建鉴权系统及发展实名用户时的负担。本申请的方法包括：在终端访问业务后，终端根据业务平台反馈的地址向鉴权能力开放服务器发送携带有IMSI的鉴权请求；鉴权能力开放服务器获取与IMSI对应的鉴权向量，并向终端发送鉴权向量中的RAND和AUTH；终端根据RAND、AUTH、鉴权算法，以及秘钥，确定响应RES，并向鉴权能力开放服务器发送；鉴权能力开放服务器将接收的RES与鉴权向量中的RES进行比较，得到鉴权结果，并向业务平台发送；业务平台根据鉴权结果确定是否向终端提供业务跳转。本申请适用于业务鉴权过程。

Service authentication method and authentication capability open server

The invention discloses a method of business authentication and authentication ability to open the server, relates to the technical field of communication operators, can open the authentication ability, reduce the business side of construction of authentication system and the development of the real name user burden. The method comprises: the terminal access service, terminal service platform according to the right to view the address of the server sends feedback capability open carry authentication request IMSI; authentication server gets the ability to open authentication vector corresponding to the IMSI, and sends the authentication vector in RAND and AUTH terminal based on RAND; AUTH authentication algorithm, and the secret key, and to determine the response of RES, the authentication server sends the authentication ability; the ability to open the server will be RES and authentication vector received RES in comparison, get the authentication result, and sent to the service platform; service platform determines whether to provide business jump to the terminal according to the the authentication result. This application applies to the business authorization process.

【技术实现步骤摘要】

本专利技术涉及通信
，尤其涉及一种业务鉴权的方法及鉴权能力开放服务器。
技术介绍
为了确保用户在访问各个应用时的安全性，在用户试图访问某个应用时，应用会对该用户进行鉴权，在鉴权通过后，应用允许该用户的访问。上述鉴权过程可以被视为业务鉴权过程，在业务鉴权过程中，用户可以通过输入账号、密码，或是指纹识别等其他鉴权方式来使应用对自身进行鉴权。然而，采用上述业务鉴权过程，往往需要业务侧构建鉴权系统并对该系统进行维护，且在实际鉴权过程中，由于用户不希望自己的个人信息被不同的应用所获取，因此，对业务侧发展实名用户也带来了较大的负担。
技术实现思路
本申请提供一种业务鉴权的方法及鉴权能力开放服务器，能够开放运营商的鉴权能力，减少业务侧构建鉴权系统及发展实名用户时的负担。为达到上述目的，本申请采用如下技术方案：第一方面，本申请提供一种业务鉴权的方法，所述方法包括：在终端访问业务后，业务平台向所述终端发送响应消息，所述响应消息中携带有鉴权能力开放服务器的地址；所述终端根据所述地址，向所述鉴权能力开放服务器发送鉴权请求，所述鉴权请求携带有所述终端的国际移动用户识别码IMSI；所述鉴权能力开放服务器获取与所述IMSI对应的鉴权向量，并向所述终端发送所述鉴权向量中的随机挑战RAND和身份验证令牌AUTH；所述终端根据所述RAND、所述AUTH、鉴权算法，以及秘钥，确定响应RES，并向所述鉴权能力开放服务器发送；所述鉴权能力开放服务器将所述终端发送的RES与所述鉴权向量中的RES进行比较，得到鉴权结果，并向所述业务平台发送；所述业务平台根据所述鉴权结果确定是否向所述终端提供业务跳转。第二方面，本申请提供一种鉴权能力开放服务器，所述鉴权能力开放服务器包括：接收模块，用于接收终端发送的鉴权请求，所述鉴权请求携带有所述终端的国际移动用户识别码IMSI；处理模块，用于在获取到与所述接收模块接收的所述IMSI对应的鉴权向量后，提取所述鉴权向量中的随机挑战RAND和身份验证令牌AUTH；发送模块，用于向所述终端发送所述处理模块得到的所述鉴权向量中的RAND和AUTH，以便于所述终端根据所述RAND、所述AUTH、鉴权算法，以及秘钥，确定响应RES，并向所述鉴权能力开放服务器发送；所述处理模块，还用于将所述终端发送的RES与所述鉴权向量中的RES进行比较，得到鉴权结果，并通过所述发送模块向所述业务平台发送，以便于所述业务平台根据所述鉴权结果确定是否向所述终端提供业务跳转。本申请提供的业务鉴权的方法及鉴权能力开放服务器，相比较于现有技术中因用户不希望自己的个人信息被不同的应用所获取而给业务侧发展实名用户带来较大负担的情况，本申请可以在终端访问业务后，由业务平台向终端发送携带有鉴权能力开放服务器的地址的响应消息，之后终端向鉴权能力开放服务器发送携带有IMSI的鉴权请求，以向鉴权能力开放服务器请求获取该IMSI对应的鉴权向量中的RAND和AUTH，待终端获取到RAND和AUTH之后，该终端依据鉴权算法来确定RES，并将计算得到的RES向鉴权能力开放服务器发送，之后鉴权能力开放服务器通过将接收到的RES与鉴权向量中的RES进行比较来得到鉴权结果，并向业务平台发送，以便业务平台根据鉴权结果来确定是否向终端提供业务跳转。由于IMSI是存储在终端的SIM/eSIM模块(英文：SubscriberIdentityModule，中文：客户识别模块)中的，因此，上述业务鉴权过程在一定程度上借助了SIM/eSIM，也就意味着，本申请所提供的业务鉴权方式是基于SIM/eSIM来实现的，且这样的鉴权方式能够开放运营商的鉴权能力，减少业务侧构建鉴权系统及发展实名用户时的负担。附图说明为了更清楚地说明本专利技术实施例中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。图1为本专利技术实施例提供的一种业务鉴权系统的示意图；图2为本专利技术实施例提供的一种业务鉴权的方法流程图；图3至图6为本专利技术实施例提供的另一种业务鉴权的方法流程图；图7为本专利技术实施例提供的一种鉴权能力开放服务器的结构示意图。具体实施方式下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本专利技术保护的范围。本专利技术实施例可以用于一种业务鉴权系统，如图1所示，在该业务鉴权系统中，至少包括终端10、业务平台11、鉴权能力开放服务器12和HSS(英文：HomeSubscriberServer，中文：归属签约用户服务器)13。其中，终端10、业务平台11与鉴权能力开放服务器12两两之间可以进行数据交互，此外，鉴权能力开放服务器12与HSS13之间也可以进行数据交互。在终端10访问业务后，业务平台11可以向终端10反馈响应消息，以告知终端10鉴权能力开放服务器12的地址，从而使终端10可以直接将鉴权请求向鉴权能力开放服务器12发送，进而完成后续业务鉴权过程。在本专利技术实施例中，HSS13可以用于生成鉴权向量组并反馈给鉴权能力开放服务器12，以确保在鉴权能力开放服务器12中未存储相应的鉴权向量时仍然能够顺利进行业务鉴权。本专利技术实施例提供一种业务鉴权的方法，如图2所示，该方法可以由图1中所示的终端10、业务平台11和鉴权能力开放服务器12来共同执行，该方法具体包括：101、终端访问业务。用户可以通过终端来访问某一应用，则可以被视为终端访问业务，从而将这一操作作为业务鉴权过程的触发点，也就是启动业务鉴权过程的起始时刻。上述触发过程是针对那些用户可见的应用而言的，也就是人为触发过程，在本专利技术实施例中，业务鉴权过程不仅可以适用于上述人为触发的鉴权过程，同样可以适用于那些可以自动触发的鉴权过程，比如，应用与终端集成，也就意味着，该应用对于用户而言不可见。102、业务平台向终端发送响应消息。其中，响应消息中携带有鉴权能力开放服务器的地址。为了确保终端能够直接与特定的鉴权能力开放服务器完成数据交互，在本专利技术实施例中，考虑到业务平台内会预先配置鉴权能力开放服务器的地址，因此，业务平台需要将该地址向终端反馈。103、终端根据地址，向鉴权能力开放服务器发送鉴权请求。其中，鉴权请求携带有终端的IMSI(英文：InternationalMobileSubscriberIdentificationNumber，中文：国际移动用户识别码)。104、鉴权能力开放服务器获取与IMSI对应的鉴权向量。需要说明的是，鉴权向量中至少包括RAND(英文：Randomchallenge，中文：随机挑战)、AUTH(英文：AuthenticationToken，中文：身份验证令牌)、RES(英文：Response，中文：响应)。此外，鉴权向量中还可以包括CK(英文：CipherKey，中文：加密秘钥)、IK(英文：IntegrityKey，中文：完整性秘钥)，以及MAC(英文：MessageAuthenticationCo本文档来自技高网...

【技术保护点】
一种业务鉴权的方法，其特征在于，所述方法包括：在终端访问业务后，业务平台向所述终端发送响应消息，所述响应消息中携带有鉴权能力开放服务器的地址；所述终端根据所述地址，向所述鉴权能力开放服务器发送鉴权请求，所述鉴权请求携带有所述终端的国际移动用户识别码IMSI；所述鉴权能力开放服务器获取与所述IMSI对应的鉴权向量，并向所述终端发送所述鉴权向量中的随机挑战RAND和身份验证令牌AUTH；所述终端根据所述RAND、所述AUTH、鉴权算法，以及秘钥，确定响应RES，并向所述鉴权能力开放服务器发送；所述鉴权能力开放服务器将所述终端发送的RES与所述鉴权向量中的RES进行比较，得到鉴权结果，并向所述业务平台发送；所述业务平台根据所述鉴权结果确定是否向所述终端提供业务跳转。

【技术特征摘要】
1.一种业务鉴权的方法，其特征在于，所述方法包括：在终端访问业务后，业务平台向所述终端发送响应消息，所述响应消息中携带有鉴权能力开放服务器的地址；所述终端根据所述地址，向所述鉴权能力开放服务器发送鉴权请求，所述鉴权请求携带有所述终端的国际移动用户识别码IMSI；所述鉴权能力开放服务器获取与所述IMSI对应的鉴权向量，并向所述终端发送所述鉴权向量中的随机挑战RAND和身份验证令牌AUTH；所述终端根据所述RAND、所述AUTH、鉴权算法，以及秘钥，确定响应RES，并向所述鉴权能力开放服务器发送；所述鉴权能力开放服务器将所述终端发送的RES与所述鉴权向量中的RES进行比较，得到鉴权结果，并向所述业务平台发送；所述业务平台根据所述鉴权结果确定是否向所述终端提供业务跳转。2.根据权利要求1所述的方法，其特征在于，所述鉴权能力开放服务器获取与所述IMSI对应的鉴权向量，具体包括：所述鉴权能力开放服务器判断是否存在所述IMSI对应的鉴权向量；若存在所述IMSI对应的鉴权向量，则所述鉴权能力开放服务器获取与所述IMSI对应的鉴权向量；若不存在所述IMSI对应的鉴权向量，则所述鉴权能力开放服务器向归属签约用户服务器HSS发送鉴权向量组请求，所述鉴权向量组请求携带有所述IMSI；所述HSS根据所述IMSI和所述秘钥，生成鉴权向量组并向所述鉴权能力开放服务器发送，所述鉴权向量组包括至少两个鉴权向量；所述鉴权能力开放服务器存储所述鉴权向量组，并根据所述鉴权向量组中每个鉴权向量的生成时间确定本次鉴权过程所需的鉴权向量并获取。3.根据权利要求2所述的方法，其特征在于，所述若存在所述IMSI对应的鉴权向量，则所述鉴权能力开放服务器获取与所述IMSI对应的鉴权向量，具体包括：若存在所述IMSI对应的鉴权向量，则所述鉴权能力开放服务器判断所述IMSI对应的鉴权向量的数量是否为一个；若所述数量为一个，则所述鉴权能力开放服务器获取所述鉴权向量；若所述数量为至少两个，则所述鉴权能力开放服务器根据未被使用的每个鉴权向量的生成时间确定本次鉴权过程所需的鉴权向量并获取。4.根据权利要求1所述的方法，其特征在于，在所述鉴权能力开放服务器得到鉴权结果之后，所述方法还包括：若所述鉴权结果为鉴权成功，则所述鉴权能力开放服务器生成鉴权令牌并存储，所述鉴权令牌为指定时间内所述终端用于业务鉴权的参数；所述鉴权能力开放服务器向所述终端发送所述鉴权令牌；所述终端接收所述鉴权令牌，并当所述终端再次访问业务时，向所述鉴权能力开放服务器发送所述鉴权令牌；所述鉴权能力开放服务器将接收到的鉴权令牌与存储的鉴权令牌进行比较，得到鉴权结果，并向所述业务平台发送。5.根据权利要求4所述的方法，其特征在于，在所述鉴权能力开放服务器生成鉴权令牌并存储之后，所述方法还包括：所述鉴权能力开放服务器设置所述鉴权令牌的定时器；若所述定时器处于超时阈值范围内且所述终端基于所述鉴权令牌...

【专利技术属性】
技术研发人员：薛淼，刘牧寅，符刚，马瑞涛，朱斌，姜先贵，
申请(专利权)人：中国联合网络通信集团有限公司，
类型：发明
国别省市：北京;11