专利名称:一种群组管理业务的用户认证方法及系统的制作方法
技术领域:
本发明涉及群组管理,尤其涉及一种群组管理业务的用户认证方法及系统。
背景技术:
群组管理(XDM)是国际标准化组织OMA (Open Mobile Alliance,开放 移动联盟)在IMS (IP多媒体子系统)上定义的一种可扩展置标语言(XML) 文档管理业务引擎。呈现(Presence)、 一键通(PoC)、即时消息(IM)等 业务引擎的接入和操作涉及到用户的群组信息,这些信息表现为列表或列表集 合。列表或列表集合信息以XML文档的形式保存在网络中,被授权者可以接 入和操作这些信息。XDM管理业务引擎和公共的XML文档,实现XML文档 的存储、操作及文档的订阅和通知。图1是现有技术中群组管理系统框图,XDM客户端(XDM Client)是提 供接入不同XDM服务器的实体,XDM客户端(XDM Client)可能是终端或 者服务器实体;聚合代理(Aggregation Proxy)是XDM客户端在接入XDM 服务器上的XML文档的接触点,执行对XDM客户端的鉴权,路由XCAP(XML Configuration Access Protocol , XML配置访问协议)请求到正确的XDM服务 器;共享XDM服务器(SharedXDMS)提供授权、管理和通知功能;弓l擎特 定的XDM服务器(Enabler specific XDMS)管理特定业务引擎的XML文档; 引擎特定的服务器(Enabler Server)是各个业务引擎(例如PoC、 IM等)的 服务器,遵循各个业务引擎的规范;SIP/IP Core是一个服务器的网络,如代理 或寄存器,它们执行不同的业务来支持XDM业务;设备管理服务器(DMS) 以及设备管理客户端(DMC)执行XDM客户端参数的初始化和更新。在用户的认证过程中,聚合代理起到鉴权和HTTP请求分发的作用。聚合 代理实现用户的鉴权需要保存用户共享密钥、用户标识等信息。XDM客户端认证过程通过图2所示的XCAP操作示例描述 步骤21、 XDM客户端要获取一个XML文档,为此XDM客户端向聚合 代理发送一个XCAP(Extensible Markup Language (XML) Configuration Access Protocol)方法GET (此处仅以GET为例,用户身份认证可以发生在GET、 PUT和DELETE操作时)请求,消息包含Method、Request-URI、 HTTP-Version, Host、 User-Agent、 Date等参数,具体要求遵循draft-ietf-simple-xcap-12。歩骤22、聚合代理(Aggregation Proxy)收到此请求后,检査该用户未经 认证,则聚合代理发送401 Unauthorized认证此XDM客户端,401消息中包 含WWW-Authenticate消息头及realm、 nonce、 qop等参数,消息参数遵循 RFC2617。歩骤23、 XDM客户端再次发送HTTP请求,请求中携带鉴权认证信息, 消息中包含WWW-Authorization消息头及realm、 nonce、 username、 qop、 uri、 response、 cnonce、 nc等参数。聚合代理对XDM客户端进行认证,认证通过 则进行后续处理,若未通过认证,聚合代理拒绝XDM客户端的请求,发送403 Forbidden消息到XDM客户端,同时终止服务。步骤24、 XDM客户端通过认证后,聚合代理根据应用标识(AUID)将 请求转发给相应的XDM服务器(例如共享XDM服务器或业务引擎XDM服 务器),AUID包含在XDM客户端发起的XCAP请求的Request-URI中。步骤25、 XDM服务器发送一个将所请求的文档包含在消息体中的HTTP "200 OK"响应消息。歩骤26、聚合代理将内容编码,将响应发送回XDM客户端。图2的步骤21-步骤23描述了聚合代理对用户的认证过程,但是对于运营 商而言,群组业务引擎除了要具备用户认证功能外,还需要具备用户管理和业 务管理功能,这些都是群组业务引擎本身不具备的功能,需要运营商单独开发。从上述论述可以看出,现有的群组管理无法提供授权和计费功能。除此之 外,由于用户的XDM业务信息保存在XDM服务器中,还未实现XDM业务 与其它业务的用户数据统一管理,并且在没有部署IMS网络的情况下,用户 对XDM文档的操作不能采用SIP消息通知的方式通知核心网络,因此在未部 署IMS网络的情况下,XDM无法实现业务管理和计费功能
发明内容
为了解决上述的技术问题,本发明提供了一种群组管理业务的用户认证方法及系统,其目的在于,实现XDM业务的统一认证、业务管理。本发明提供了一种群组管理业务的用户认证方法,包括步骤l,聚合代理向认证、鉴权、计费服务器发起用户认证请求,认证请求中携带用户标识;步骤2,认证、鉴权、计费服务器对用户进行认证,并将认证结果发送到 聚合代理;步骤3,聚合代理依据认证结果进行处理。步骤2中,认证、鉴权、计费服务器通过检査该用户的类型对用户进行认证。步骤2中,如果该用户没有签约群组管理业务或者该用户为己签约群组管 理业务的后付费用户,则认证、鉴权、计费服务器将认证结果发送到聚合代理; 如果该用户为已签约群组管理业务的预付费用户,则认证、鉴权、计费服务器 向业务支撑系统申请扣费后,再将认证结果发送到聚合代理。。歩骤2中,如果该用户没有签约群组管理业务,则认证结果为该用户非法 接入;如果该用户为已签约群组管理业务的后付费用户或者该用户为已签约群 组管理业务的预付费用户,则认证结果为认证、鉴权、计费服务器返回的该用 户的鉴权参数信息。该用户的鉴权参数信息为用户共享密钥。认证结果为该用户非法接入或者合法接入。步骤3中,如果聚合代理通过认证结果发现该用户非法接入,则通知群组 管理客户端终止服务,否则聚合代理向群组管理客户端发起认证请求。还包括群组管理客户端收到聚合代理的认证请求后,群组管理客户端向 聚合代理发送包含认证头部的HTTP认证请求,如果认证通过,则聚合代理将 该请求转发给相应的群组管理服务器,否则通知群组管理客户端终止服务。步骤1之前还包括群组管理客户端向聚合代理发送HTTP认证请求。本发明提供了一种群组管理业务的用户认证系统,包括群组管理客户端, 群组管理服务器,认证、鉴权、计费服务器,聚合代理,聚合代理,还用于向认证、鉴权、计费服务器发起用户认证请求,认证请
求中携带用户标识;认证、鉴权、计费服务器还用于对用户进行认证,并将认证结果发送到聚 合代理;聚合代理,还用于依据认证结果进行处理。认证、鉴权、计费服务器通过检查该用户的类型对用户进行认证。用户的类型包括没有签约群组管理业务的用户、已签约群组管理业务的 后付费用户和已签约群组管理业务的预付费用户。认证、鉴权、计费服务器还用于保存用户标识和用户的鉴权参数信息。认证结果为该用户非法接入或者认证、鉴权、计费服务器返回的该用户的 鉴权参数信息。聚合代理用于保存用户标识和用户的鉴权参数信息。认证结果为该用户非法接入或者合法接入。该用户的鉴权参数信息为用户共享密钥。依据认证结果进行处理包括通知群组管理客户端终止服务,或者向群组管 理客户端发起认证请求。本发明实现了 XDM业务的统一认证,以及对XDM用户的统一管理。
图1为现有技术中群组管理的系统框图;图2为现有的群组管理认证流程图;图3为本发明提供的群组管理业务的用户认证流程。
具体实施方式
本发明旨在实现XDM业务的统一认证管理系统,其中涉及到XDM用户 的认证、授权和计费等功能的实现过程。本系统主要包括XDM客户端、聚合代理(Aggregation Proxy) 、 XDM服 务器、运营商AAA服务器。XDM客户端通过聚合代理访问和操作XDM服务 器上的XML文档,AAA服务器用于对XDM客户端进行用户认证、业务授权、 计费和业务管理,利用本发明的方法可以实现XDM业务的统一认证和管理。本发明提供的群组管理业务的用户认证流程如图3所示,包括
步骤31、 XDM客户端要获取一个XML文档,为此XDM客户端向聚合 代理发送一个HTTP GET请求(此处仅以GET为例,用户身份认证可以发生 在GET、 PUT禾P DELETE操作时),该请求中包含用户标识。步骤32、聚合代理(AggregationProxy)收到此请求后,向认证、鉴权、 计费服务器(AAA)发起用户认证请求,认证请求中携带用户标识。步骤33、认证、鉴权、计费服务器(AAA)对用户进行认证,首先检查 该用户是否签约XDM业务,如果该用户未签约XDM业务,AAA直接返回非 法接入,执行歩骤36;如果该用户为已签约用户,则AAA检查该用户的资费 信息,如果该用户是后付费用户,AAA发送用户的鉴权参数信息(用户共享 密钥)到聚合代理,AAA向业务支撑系统(BSS)发送计费请求,产生相应 的话费记录,执行步骤34;如果该用户是预付费用户,则AAA向业务支撑系 统(BSS)申请扣费后,发送用户的鉴权参数信息(用户共享密钥)到聚合代 理,执行步骤34。步骤34、聚合代理发送401 Unauthorized向此XDM客户端发起认证请求。 步骤35、 XDM客户端发送一个包含认证头部的HTTP GET请求,该请求中包含用户标识,聚合代理对XDM客户端进行认证,认证通过则执行步骤37,若未通过认证,聚合代理执行步骤36;歩骤36,通过向XDM客户端发送失败消息4xx终止服务。步骤37、 XDM客户端通过认证后,聚合代理根据应用标识(AUID)将请求转发给合适的XDM服务器。步骤38、 XDM服务器对请求的发起者进行了必要的授权后,XDM服务器发送包含请求的文档的HTTP "200 OK"响应消息。步骤39、聚合代理将内容编码,将响应发送回XDM客户端。 上述步骤中,用户标识来自XDM客户端在业务请求时发送的请求消息,聚合代理将用户名发送到AAA,由AAA检査该用户的授权、计费等信息,在AAA完成相关认证后,聚合代理需要利用用户名标识、用户共享密钥等参数计算鉴权参数,并向客户端发起认证请求。本发明提供的认证方法中,运营商的AAA保存用户标识、用户共享密钥、业务订购关系、用户状态等信息,聚合代理(AggregationProxy, AP)负责鉴权参数的计算。当用户使用XDM业务时,XDM业务引擎向AAA触发用户认
证,用户状态鉴权、业务鉴权、用户定购关系鉴权。AAA首先检査用户订购关系,如果用户订购了该业务则AAA继续检查用户的状态信息(是否欠费), 如果用户为非欠费状态,则AAA发送用户共享密钥到聚合代理,由聚合代理 完成用户的鉴权。如果图3所示的流程中,如果聚合代理仍然保存用户标识、用户共享密钥 信息,则AAA服务器完成业务订购关系、用户状态审査后,不再发送用户共 享密钥到聚合代理,只发送该用户合法接入或者非法接入的消息,然后由聚合 代理完成后续的鉴权过程。本发明提供了一种群组管理业务的用户认证系统,包括群组管理客户端, 群组管理服务器,认证、鉴权、计费服务器,聚合代理。聚合代理还用于向认 证、鉴权、计费服务器发起用户认证请求,认证请求中携带用户名标识;认证、 鉴权、计费服务器还用于对用户进行认证,并将认证结果发送到聚合代理;聚 合代理,还用于依据认证结果进行处理。认证、鉴权、计费服务器通过检查该用户的类型对用户进行认证。用户的类型包括没有签约群组管理业务的用户、已签约群组管理业务的 后付费用户和已签约群组管理业务的预付费用户。认证结果为该用户非法接入或者认证、鉴权、计费服务器返回的该用户的 鉴权参数信息。该用户的鉴权参数信息为用户共享密钥。依据认证结果进行处理包括通知群组管理客户端终止服务,或者向群组管 理客户端发起认证请求。本领域的技术人员在不脱离权利要求书确定的本发明的精神和范围的条 件下,还可以对以上内容进行各种各样的修改。因此本发明的范围并不仅限于 以上的说明,而是由权利要求书的范围来确定的。
权利要求
1、一种群组管理业务的用户认证方法,其特征在于,包括步骤1,聚合代理向认证、鉴权、计费服务器发起用户认证请求,认证请求中携带用户标识;步骤2,认证、鉴权、计费服务器对用户进行认证,并将认证结果发送到聚合代理;步骤3,聚合代理依据认证结果进行处理。
2、 如权利要求l所述的群组管理业务的用户认证方法,其特征在于,歩 骤2中,认证、鉴权、计费服务器通过检査该用户的类型对用户进行认证。
3、 如权利要求2所述的群组管理业务的用户认证方法,其特征在于,歩 骤2中,如果该用户没有签约群组管理业务或者该用户为已签约群组管理业务 的后付费用户,则认证、鉴权、计费服务器将认证结果发送到聚合代理;如果 该用户为己签约群组管理业务的预付费用户,则认证、鉴权、计费服务器向业 务支撑系统申请扣费后,再将认证结果发送到聚合代理。
4、 如权利要求3所述的群组管理业务的用户认证方法,其特征在于,步 骤2中,如果该用户没有签约群组管理业务,则认证结果为该用户非法接入; 如果该用户为已签约群组管理业务的后付费用户或者该用户为已签约群组管 理业务的预付费用户,则认证结果为认证、鉴权、计费服务器返回的该用户的 鉴权参数信息。
5、 如权利要求4所述的群组管理业务的用户认证方法,其特征在于,该 用户的鉴权参数信息为用户共享密钥。
6、 如权利要求3所述的群组管理业务的用户认证方法,其特征在于,认 证结果为该用户非法接入或者合法接入。
7、 如权利要求4、 5或6所述的群组管理业务的用户认证方法,其特征在 于,歩骤3中,如果聚合代理通过认证结果发现该用户非法接入,则通知群组 管理客户端终止服务,否则聚合代理向群组管理客户端发起认证请求。
8、 如权利要求7所述的群组管理业务的用户认证方法,其特征在于,还 包括群组管理客户端收到聚合代理的认证请求后,群组管理客户端向聚合代 理发送包含认证头部的HTTP认证请求,如果认证通过,则聚合代理将该请求 转发给相应的群组管理服务器,否则通知群组管理客户端终止服务。
9、 如权利要求1-6任意一项或8所述的群组管理业务的用户认证方法,其特征在于,步骤1之前还包括群组管理客户端向聚合代理发送HTTP认证请 求。
10、 一种群组管理业务的用户认证系统,包括群组管理客户端,群组管理 服务器,认证、鉴权、计费服务器,聚合代理,其特征在于,聚合代理,还用于向认证、鉴权、计费服务器发起用户认证请求,认证请 求中携带用户标识;认证、鉴权、计费服务器还用于对用户进行认证,并将认证结果发送到聚 合代理;聚合代理,还用于依据认证结果进行处理。
11、 如权利要求10所述的群组管理业务的用户认证系统,其特征在于, 认证、鉴权、计费服务器通过检査该用户的类型对用户进行认证。
12、 如权利要求ll所述的群组管理业务的用户认证系统,其特征在于, 用户的类型包括没有签约群组管理业务的用户、已签约群组管理业务的后付 费用户和已签约群组管理业务的预付费用户。
13、 如权利要求12所述的群组管理业务的用户认证系统,其特征在于, 认证、鉴权、计费服务器还用于保存用户标识和用户的鉴权参数信息。
14、 如权利要求13所述的群组管理业务的用户认证系统,其特征在于, 认证结果为该用户非法接入或者认证、鉴权、计费服务器返回的该用户的鉴权 参数信息。
15、 如权利要求12所述的群组管理业务的用户认证系统,其特征在于, 聚合代理用于保存用户标识和用户的鉴权参数信息。
16、 如权利要求15所述的群组管理业务的用户认证系统,其特征在于, 认证结果为该用户非法接入或者合法接入。
17、 如权利要求13或15所述的群组管理业务的用户认证系统,其特征在 于,该用户的鉴权参数信息为用户共享密钥。
18、 如权利要求14或16所述的群组管理业务的用户认证系统,其特征在 于,依据认证结果进行处理包括通知群组管理客户端终止服务,或者向群组管 理客户端发起认证请求。
全文摘要
本发明提供了一种群组管理业务的用户认证方法,包括步骤1,聚合代理向认证、鉴权、计费服务器发起用户认证请求,认证请求中携带用户标识;步骤2,认证、鉴权、计费服务器对用户进行认证,并将认证结果发送到聚合代理;步骤3,聚合代理依据认证结果进行处理。本发明实现了XDM业务的统一认证,以及对XDM用户的统一管理。
文档编号H04L29/08GK101159759SQ20071017683
公开日2008年4月9日 申请日期2007年11月5日 优先权日2007年11月5日
发明者刘宝庆, 刘耀进, 张智江, 朱晓静, 征 杨, 王明会, 罡 赫, 勋 陈, 陈国利, 马瑞涛, 马红兵 申请人:中国联合通信有限公司