本發(fā)明涉及通信技術(shù)領(lǐng)域，尤其涉及一種業(yè)務(wù)鑒權(quán)的方法及鑒權(quán)能力開放服務(wù)器。

背景技術(shù)：

為了確保用戶在訪問各個(gè)應(yīng)用時(shí)的安全性，在用戶試圖訪問某個(gè)應(yīng)用時(shí)，應(yīng)用會對該用戶進(jìn)行鑒權(quán)，在鑒權(quán)通過后，應(yīng)用允許該用戶的訪問。上述鑒權(quán)過程可以被視為業(yè)務(wù)鑒權(quán)過程，在業(yè)務(wù)鑒權(quán)過程中，用戶可以通過輸入賬號、密碼，或是指紋識別等其他鑒權(quán)方式來使應(yīng)用對自身進(jìn)行鑒權(quán)。

然而，采用上述業(yè)務(wù)鑒權(quán)過程，往往需要業(yè)務(wù)側(cè)構(gòu)建鑒權(quán)系統(tǒng)并對該系統(tǒng)進(jìn)行維護(hù)，且在實(shí)際鑒權(quán)過程中，由于用戶不希望自己的個(gè)人信息被不同的應(yīng)用所獲取，因此，對業(yè)務(wù)側(cè)發(fā)展實(shí)名用戶也帶來了較大的負(fù)擔(dān)。

技術(shù)實(shí)現(xiàn)要素：

本申請?zhí)峁┮环N業(yè)務(wù)鑒權(quán)的方法及鑒權(quán)能力開放服務(wù)器，能夠開放運(yùn)營商的鑒權(quán)能力，減少業(yè)務(wù)側(cè)構(gòu)建鑒權(quán)系統(tǒng)及發(fā)展實(shí)名用戶時(shí)的負(fù)擔(dān)。

為達(dá)到上述目的，本申請采用如下技術(shù)方案：

第一方面，本申請?zhí)峁┮环N業(yè)務(wù)鑒權(quán)的方法，所述方法包括：

在終端訪問業(yè)務(wù)后，業(yè)務(wù)平臺向所述終端發(fā)送響應(yīng)消息，所述響應(yīng)消息中攜帶有鑒權(quán)能力開放服務(wù)器的地址；

所述終端根據(jù)所述地址，向所述鑒權(quán)能力開放服務(wù)器發(fā)送鑒權(quán)請求，所述鑒權(quán)請求攜帶有所述終端的國際移動(dòng)用戶識別碼IMSI；

所述鑒權(quán)能力開放服務(wù)器獲取與所述IMSI對應(yīng)的鑒權(quán)向量，并向所述終端發(fā)送所述鑒權(quán)向量中的隨機(jī)挑戰(zhàn)RAND和身份驗(yàn)證令牌AUTH；

所述終端根據(jù)所述RAND、所述AUTH、鑒權(quán)算法，以及秘鑰，確定響應(yīng)RES，并向所述鑒權(quán)能力開放服務(wù)器發(fā)送；

所述鑒權(quán)能力開放服務(wù)器將所述終端發(fā)送的RES與所述鑒權(quán)向量中的RES進(jìn)行比較，得到鑒權(quán)結(jié)果，并向所述業(yè)務(wù)平臺發(fā)送；

所述業(yè)務(wù)平臺根據(jù)所述鑒權(quán)結(jié)果確定是否向所述終端提供業(yè)務(wù)跳轉(zhuǎn)。

第二方面，本申請?zhí)峁┮环N鑒權(quán)能力開放服務(wù)器，所述鑒權(quán)能力開放服務(wù)器包括：

接收模塊，用于接收終端發(fā)送的鑒權(quán)請求，所述鑒權(quán)請求攜帶有所述終端的國際移動(dòng)用戶識別碼IMSI；

處理模塊，用于在獲取到與所述接收模塊接收的所述IMSI對應(yīng)的鑒權(quán)向量后，提取所述鑒權(quán)向量中的隨機(jī)挑戰(zhàn)RAND和身份驗(yàn)證令牌AUTH；

發(fā)送模塊，用于向所述終端發(fā)送所述處理模塊得到的所述鑒權(quán)向量中的

RAND和AUTH，以便于所述終端根據(jù)所述RAND、所述AUTH、鑒權(quán)算法，以及秘鑰，確定響應(yīng)RES，并向所述鑒權(quán)能力開放服務(wù)器發(fā)送；

所述處理模塊，還用于將所述終端發(fā)送的RES與所述鑒權(quán)向量中的RES進(jìn)行比較，得到鑒權(quán)結(jié)果，并通過所述發(fā)送模塊向所述業(yè)務(wù)平臺發(fā)送，以便于所述業(yè)務(wù)平臺根據(jù)所述鑒權(quán)結(jié)果確定是否向所述終端提供業(yè)務(wù)跳轉(zhuǎn)。

本申請?zhí)峁┑臉I(yè)務(wù)鑒權(quán)的方法及鑒權(quán)能力開放服務(wù)器，相比較于現(xiàn)有技術(shù)中因用戶不希望自己的個(gè)人信息被不同的應(yīng)用所獲取而給業(yè)務(wù)側(cè)發(fā)展實(shí)名用戶帶來較大負(fù)擔(dān)的情況，本申請可以在終端訪問業(yè)務(wù)后，由業(yè)務(wù)平臺向終端發(fā)送攜帶有鑒權(quán)能力開放服務(wù)器的地址的響應(yīng)消息，之后終端向鑒權(quán)能力開放服務(wù)器發(fā)送攜帶有IMSI的鑒權(quán)請求，以向鑒權(quán)能力開放服務(wù)器請求獲取該IMSI對應(yīng)的鑒權(quán)向量中的RAND和AUTH，待終端獲取到RAND和AUTH之后，該終端依據(jù)鑒權(quán)算法來確定RES，并將計(jì)算得到的RES向鑒權(quán)能力開放服務(wù)器發(fā)送，之后鑒權(quán)能力開放服務(wù)器通過將接收到的RES與鑒權(quán)向量中的RES進(jìn)行比較來得到鑒權(quán)結(jié)果，并向業(yè)務(wù)平臺發(fā)送，以便業(yè)務(wù)平臺根據(jù)鑒權(quán)結(jié)果來確定是否向終端提供業(yè)務(wù)跳轉(zhuǎn)。由于IMSI是存儲在終端的SIM/eSIM模塊(英文：Subscriber Identity Module，中文：客戶識別模塊)中的，因此，上述業(yè)務(wù)鑒權(quán)過程在一定程度上借助了SIM/eSIM，也就意味著，本申請所提供的業(yè)務(wù)鑒權(quán)方式是基于SIM/eSIM來實(shí)現(xiàn)的，且這樣的鑒權(quán)方式能夠開放運(yùn)營商的鑒權(quán)能力，減少業(yè)務(wù)側(cè)構(gòu)建鑒權(quán)系統(tǒng)及發(fā)展實(shí)名用戶時(shí)的負(fù)擔(dān)。

附圖說明

為了更清楚地說明本發(fā)明實(shí)施例中的技術(shù)方案，下面將對實(shí)施例中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例，對于本領(lǐng)域普通技術(shù)人員來講，在不付出創(chuàng)造性勞動(dòng)的前提下，還可以根據(jù)這些附圖獲得其它的附圖。

圖1為本發(fā)明實(shí)施例提供的一種業(yè)務(wù)鑒權(quán)系統(tǒng)的示意圖；

圖2為本發(fā)明實(shí)施例提供的一種業(yè)務(wù)鑒權(quán)的方法流程圖；

圖3至圖6為本發(fā)明實(shí)施例提供的另一種業(yè)務(wù)鑒權(quán)的方法流程圖；

圖7為本發(fā)明實(shí)施例提供的一種鑒權(quán)能力開放服務(wù)器的結(jié)構(gòu)示意圖。

具體實(shí)施方式

下面將結(jié)合本發(fā)明實(shí)施例中的附圖，對本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述，顯然，所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例，而不是全部的實(shí)施例?；诒景l(fā)明中的實(shí)施例，本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其它實(shí)施例，都屬于本發(fā)明保護(hù)的范圍。

本發(fā)明實(shí)施例可以用于一種業(yè)務(wù)鑒權(quán)系統(tǒng)，如圖1所示，在該業(yè)務(wù)鑒權(quán)系統(tǒng)中，至少包括終端10、業(yè)務(wù)平臺11、鑒權(quán)能力開放服務(wù)器12和HSS(英文：Home Subscriber Server，中文：歸屬簽約用戶服務(wù)器)13。其中，終端10、業(yè)務(wù)平臺11與鑒權(quán)能力開放服務(wù)器12兩兩之間可以進(jìn)行數(shù)據(jù)交互，此外，鑒權(quán)能力開放服務(wù)器12與HSS13之間也可以進(jìn)行數(shù)據(jù)交互。在終端10訪問業(yè)務(wù)后，業(yè)務(wù)平臺11可以向終端10反饋響應(yīng)消息，以告知終端10鑒權(quán)能力開放服務(wù)器12的地址，從而使終端10可以直接將鑒權(quán)請求向鑒權(quán)能力開放服務(wù)器12發(fā)送，進(jìn)而完成后續(xù)業(yè)務(wù)鑒權(quán)過程。在本發(fā)明實(shí)施例中，HSS13可以用于生成鑒權(quán)向量組并反饋給鑒權(quán)能力開放服務(wù)器12，以確保在鑒權(quán)能力開放服務(wù)器12中未存儲相應(yīng)的鑒權(quán)向量時(shí)仍然能夠順利進(jìn)行業(yè)務(wù)鑒權(quán)。

本發(fā)明實(shí)施例提供一種業(yè)務(wù)鑒權(quán)的方法，如圖2所示，該方法可以由圖1中所示的終端10、業(yè)務(wù)平臺11和鑒權(quán)能力開放服務(wù)器12來共同執(zhí)行，該方法具體包括：

101、終端訪問業(yè)務(wù)。

用戶可以通過終端來訪問某一應(yīng)用，則可以被視為終端訪問業(yè)務(wù)，從而將這一操作作為業(yè)務(wù)鑒權(quán)過程的觸發(fā)點(diǎn)，也就是啟動(dòng)業(yè)務(wù)鑒權(quán)過程的起始時(shí)刻。上述觸發(fā)過程是針對那些用戶可見的應(yīng)用而言的，也就是人為觸發(fā)過程，在本發(fā)明實(shí)施例中，業(yè)務(wù)鑒權(quán)過程不僅可以適用于上述人為觸發(fā)的鑒權(quán)過程，同樣可以適用于那些可以自動(dòng)觸發(fā)的鑒權(quán)過程，比如，應(yīng)用與終端集成，也就意味著，該應(yīng)用對于用戶而言不可見。

102、業(yè)務(wù)平臺向終端發(fā)送響應(yīng)消息。

其中，響應(yīng)消息中攜帶有鑒權(quán)能力開放服務(wù)器的地址。

為了確保終端能夠直接與特定的鑒權(quán)能力開放服務(wù)器完成數(shù)據(jù)交互，在本發(fā)明實(shí)施例中，考慮到業(yè)務(wù)平臺內(nèi)會預(yù)先配置鑒權(quán)能力開放服務(wù)器的地址，因此，業(yè)務(wù)平臺需要將該地址向終端反饋。

103、終端根據(jù)地址，向鑒權(quán)能力開放服務(wù)器發(fā)送鑒權(quán)請求。

其中，鑒權(quán)請求攜帶有終端的IMSI(英文：International Mobile Subscriber Identification Number，中文：國際移動(dòng)用戶識別碼)。

104、鑒權(quán)能力開放服務(wù)器獲取與IMSI對應(yīng)的鑒權(quán)向量。

需要說明的是，鑒權(quán)向量中至少包括RAND(英文：Random challenge，中文：隨機(jī)挑戰(zhàn))、AUTH(英文：Authentication Token，中文：身份驗(yàn)證令牌)、RES(英文：Response，中文：響應(yīng))。此外，鑒權(quán)向量中還可以包括CK(英文：Cipher Key，中文：加密秘鑰)、IK(英文：Integrity Key，中文：完整性秘鑰)，以及MAC(英文：Message Authentication Code，中文：消息認(rèn)證碼)等鑒權(quán)參數(shù)。

105、鑒權(quán)能力開放服務(wù)器向終端發(fā)送鑒權(quán)向量中的RAND和AUTH。

106、終端根據(jù)RAND、AUTH、鑒權(quán)算法，以及秘鑰，確定RES。

RES是由終端根據(jù)已接收到的RAND和AUTH，以及秘鑰，采用鑒權(quán)算法進(jìn)行計(jì)算所得到的參數(shù)。其中，鑒權(quán)算法和秘鑰在發(fā)卡時(shí)就已經(jīng)確定。也就意味著，鑒權(quán)算法和秘鑰會預(yù)先存儲在終端的SIM/eSIM模塊中，待需要進(jìn)行RES的計(jì)算過程時(shí)，終端可以直接從SIM/eSIM模塊中讀取并使用。

107、終端向鑒權(quán)能力開放服務(wù)器發(fā)送RES。

108、鑒權(quán)能力開放服務(wù)器將終端發(fā)送的RES與鑒權(quán)向量中的RES進(jìn)行比較，得到鑒權(quán)結(jié)果。

若鑒權(quán)能力開放服務(wù)器接收到的RES與存儲在鑒權(quán)能力開放服務(wù)器的鑒權(quán)向量中的RES相同，則認(rèn)為鑒權(quán)成功，否則，鑒權(quán)失敗。需要說明的是，鑒權(quán)能力開放服務(wù)器能夠以終端的IMSI為依據(jù)，來確保從本地獲取的鑒權(quán)向量中的RES為該終端對應(yīng)的鑒權(quán)向量中的RES。

109、鑒權(quán)能力開放服務(wù)器向業(yè)務(wù)平臺發(fā)送鑒權(quán)結(jié)果。

110、業(yè)務(wù)平臺根據(jù)鑒權(quán)結(jié)果確定是否向終端提供業(yè)務(wù)跳轉(zhuǎn)。

若鑒權(quán)結(jié)果為鑒權(quán)成功，則業(yè)務(wù)平臺需要向終端提供業(yè)務(wù)跳轉(zhuǎn)。

在終端訪問業(yè)務(wù)后，由業(yè)務(wù)平臺向終端發(fā)送攜帶有鑒權(quán)能力開放服務(wù)器的地址的響應(yīng)消息，之后終端向鑒權(quán)能力開放服務(wù)器發(fā)送攜帶有IMSI的鑒權(quán)請求，以向鑒權(quán)能力開放服務(wù)器請求獲取該IMSI對應(yīng)的鑒權(quán)向量中的RAND和AUTH，待終端獲取到RAND和AUTH之后，該終端依據(jù)鑒權(quán)算法來確定RES，并將計(jì)算得到的RES向鑒權(quán)能力開放服務(wù)器發(fā)送，之后鑒權(quán)能力開放服務(wù)器通過將接收到的RES與鑒權(quán)向量中的RES進(jìn)行比較來得到鑒權(quán)結(jié)果，并向業(yè)務(wù)平臺發(fā)送，以便業(yè)務(wù)平臺根據(jù)鑒權(quán)結(jié)果來確定是否向終端提供業(yè)務(wù)跳轉(zhuǎn)。由于IMSI是存儲在終端的SIM/eSIM模塊(英文：Subscriber Identity Module，中文：客戶識別模塊)中的，因此，上述業(yè)務(wù)鑒權(quán)過程在一定程度上借助了SIM/eSIM，也就意味著，本申請所提供的業(yè)務(wù)鑒權(quán)方式是基于SIM/eSIM來實(shí)現(xiàn)的，且這樣的鑒權(quán)方式能夠開放運(yùn)營商的鑒權(quán)能力，減少業(yè)務(wù)側(cè)構(gòu)建鑒權(quán)系統(tǒng)及發(fā)展實(shí)名用戶時(shí)的負(fù)擔(dān)。此外，這樣的鑒權(quán)方式不僅能夠?qū)崿F(xiàn)網(wǎng)絡(luò)側(cè)對用戶的鑒權(quán)，同樣也可以實(shí)現(xiàn)用戶對網(wǎng)絡(luò)側(cè)的鑒權(quán)。因此，還能降低應(yīng)用訪問過程中存在的安全隱患。

在本發(fā)明實(shí)施例的一個(gè)實(shí)現(xiàn)方式中，提供了一種具體用于獲取鑒權(quán)向量的方式?？紤]到鑒權(quán)向量可能預(yù)先存儲在鑒權(quán)能力開放服務(wù)器，或是需要鑒權(quán)能力開放服務(wù)器從HSS獲取之后再提取相關(guān)參數(shù)轉(zhuǎn)發(fā)給終端，因此，在如圖2所示的實(shí)現(xiàn)方式的基礎(chǔ)上，還可以實(shí)現(xiàn)為如圖3所示的實(shí)現(xiàn)方式。其中，步驟104鑒權(quán)能力開放服務(wù)器獲取與IMSI對應(yīng)的鑒權(quán)向量，具體可以實(shí)現(xiàn)為步驟201至步驟206：

201、鑒權(quán)能力開放服務(wù)器判斷是否存在IMSI對應(yīng)的鑒權(quán)向量。其中，若存在IMSI對應(yīng)的鑒權(quán)向量，則執(zhí)行步驟202；否則，執(zhí)行步驟203至步驟206。

202、鑒權(quán)能力開放服務(wù)器獲取與IMSI對應(yīng)的鑒權(quán)向量。

需要說明的是，同一IMSI可能對應(yīng)多個(gè)鑒權(quán)向量，但在實(shí)際的業(yè)務(wù)鑒權(quán)過程中，每次進(jìn)行鑒權(quán)時(shí)只需要使用上述多個(gè)鑒權(quán)向量中的一個(gè)，且這一個(gè)鑒權(quán)向量未被之前的業(yè)務(wù)鑒權(quán)過程使用過。因此，鑒權(quán)向量不僅與IMSI存在對應(yīng)關(guān)系，同時(shí)，為了對每個(gè)鑒權(quán)向量是否被使用加以區(qū)分，鑒權(quán)向量會被配置有唯一的序列號。在業(yè)務(wù)鑒權(quán)過程中，每次訪問同一IMSI對應(yīng)的鑒權(quán)向量時(shí)，都是按照序列號從小到大的順序來使用，且使用過的鑒權(quán)向量將不會再參與后續(xù)的業(yè)務(wù)鑒權(quán)過程。

203、鑒權(quán)能力開放服務(wù)器向HSS發(fā)送鑒權(quán)向量組請求。

其中，鑒權(quán)向量組請求攜帶有IMSI。

204、HSS根據(jù)IMSI和秘鑰，生成鑒權(quán)向量組。

其中，鑒權(quán)向量組包括至少兩個(gè)鑒權(quán)向量。

205、HSS向鑒權(quán)能力開放服務(wù)器發(fā)送鑒權(quán)向量組。

206、鑒權(quán)能力開放服務(wù)器存儲鑒權(quán)向量組，并獲取鑒權(quán)向量組中序列號最小的鑒權(quán)向量。

若在鑒權(quán)能力開放服務(wù)器中并未存儲該IMSI對應(yīng)的鑒權(quán)向量，則為了確保業(yè)務(wù)鑒權(quán)過程的順利執(zhí)行，需要由鑒權(quán)能力開放服務(wù)器向HSS來申請與該IMSI對應(yīng)的鑒權(quán)向量。需要說明的是，考慮到若鑒權(quán)能力開放服務(wù)器需要完成同一終端的多次業(yè)務(wù)鑒權(quán)過程，那么則需要鑒權(quán)能力開放服務(wù)器提供多個(gè)鑒權(quán)向量，因此，為了減少鑒權(quán)能力開放服務(wù)器與HSS之間頻繁的數(shù)據(jù)交互過程，鑒權(quán)能力開放服務(wù)器可以直接向HSS申請一組鑒權(quán)向量，即鑒權(quán)向量組。在鑒權(quán)向量組中，可以使用序列號對不同鑒權(quán)向量加以區(qū)分。

需要說明的是，HSS可以根據(jù)鑒權(quán)能力開放服務(wù)器發(fā)送的IMSI，以及與終端所存儲的相同的秘鑰來生成鑒權(quán)向量組。之后HSS將生成的鑒權(quán)向量組向鑒權(quán)能力開放服務(wù)器發(fā)送，再由鑒權(quán)能力開放服務(wù)器保存該鑒權(quán)向量組，并從中獲取所需的鑒權(quán)向量，即該鑒權(quán)向量組中序列號最小的鑒權(quán)向量，提取其中的RAND和AUTH，并向終端轉(zhuǎn)發(fā)。在同一終端下次進(jìn)行業(yè)務(wù)鑒權(quán)過程時(shí)，鑒權(quán)能力開放服務(wù)器可以從已存儲的鑒權(quán)向量組中所有未參與業(yè)務(wù)鑒權(quán)的鑒權(quán)向量中挑選序列號最小的鑒權(quán)向量來使用。

例如，在如圖3所示的實(shí)現(xiàn)方式的基礎(chǔ)上，還可以實(shí)現(xiàn)為如圖4所示的實(shí)現(xiàn)方式。也就是步驟202鑒權(quán)能力開放服務(wù)器獲取與IMSI對應(yīng)的鑒權(quán)向量，還可以具體實(shí)現(xiàn)為步驟301至步驟303：

301、鑒權(quán)能力開放服務(wù)器判斷IMSI對應(yīng)的鑒權(quán)向量的數(shù)量是否為一個(gè)。其中，若數(shù)量為一個(gè)，則執(zhí)行步驟302；否則，執(zhí)行步驟303。

302、鑒權(quán)能力開放服務(wù)器獲取鑒權(quán)向量。

303、鑒權(quán)能力開放服務(wù)器獲取未被使用的鑒權(quán)向量中序列號最小的鑒權(quán)向量。

這樣就能避免鑒權(quán)向量的重復(fù)使用，同時(shí)，由于鑒權(quán)向量是按照一定先后順序依次被使用，也不會造成鑒權(quán)向量的浪費(fèi)。

考慮到同一終端在訪問不同業(yè)務(wù)或是在不同時(shí)間區(qū)間訪問同一業(yè)務(wù)時(shí)，該終端需要頻繁進(jìn)行業(yè)務(wù)鑒權(quán)過程，在本發(fā)明實(shí)施例的一個(gè)實(shí)現(xiàn)方式中，為了減少業(yè)務(wù)鑒權(quán)過程中各網(wǎng)絡(luò)節(jié)點(diǎn)之間進(jìn)行數(shù)據(jù)交互所耗費(fèi)的資源，因此，在如圖2所示的實(shí)現(xiàn)方式的基礎(chǔ)上，還可以實(shí)現(xiàn)為如圖5所示的實(shí)現(xiàn)方式。其中，在執(zhí)行完步驟108鑒權(quán)能力開放服務(wù)器將終端發(fā)送的RES與鑒權(quán)向量中的RES進(jìn)行比較，得到鑒權(quán)結(jié)果之后，還可以執(zhí)行步驟401至步驟406：

401、若鑒權(quán)結(jié)果為鑒權(quán)成功，則鑒權(quán)能力開放服務(wù)器生成鑒權(quán)令牌并存儲。

其中，鑒權(quán)令牌為指定時(shí)間內(nèi)終端用于業(yè)務(wù)鑒權(quán)的參數(shù)。

402、鑒權(quán)能力開放服務(wù)器向終端發(fā)送鑒權(quán)令牌。

403、當(dāng)終端再次訪問業(yè)務(wù)時(shí)，終端向鑒權(quán)能力開放服務(wù)器發(fā)送鑒權(quán)令牌。

404、鑒權(quán)能力開放服務(wù)器將接收到的鑒權(quán)令牌與存儲的鑒權(quán)令牌進(jìn)行比較，得到鑒權(quán)結(jié)果。

405、鑒權(quán)能力開放服務(wù)器向業(yè)務(wù)平臺發(fā)送鑒權(quán)結(jié)果。

406、業(yè)務(wù)平臺根據(jù)鑒權(quán)結(jié)果確定是否向終端提供業(yè)務(wù)跳轉(zhuǎn)。

在鑒權(quán)結(jié)果被判定為鑒權(quán)成功后，鑒權(quán)能力開放服務(wù)器可以生成簡易鑒權(quán)令牌，即上述步驟401中的鑒權(quán)令牌，并將該鑒權(quán)令牌作為終端進(jìn)行業(yè)務(wù)鑒權(quán)的比對參數(shù)，之后將該鑒權(quán)令牌向終端發(fā)送。在該終端再次需要進(jìn)行業(yè)務(wù)鑒權(quán)時(shí)，能夠省略該終端根據(jù)各個(gè)鑒權(quán)參數(shù)進(jìn)行計(jì)算RES的過程，該終端可以直接使用之前接收到的鑒權(quán)令牌進(jìn)行業(yè)務(wù)鑒權(quán)。鑒權(quán)能力開放服務(wù)器可以通過比對終端發(fā)送的鑒權(quán)令牌與鑒權(quán)能力開放服務(wù)器存儲的鑒權(quán)令牌，來確定本次業(yè)務(wù)鑒權(quán)過程的鑒權(quán)結(jié)果。比如，若鑒權(quán)能力開放服務(wù)器接收到的鑒權(quán)令牌與存儲的鑒權(quán)令牌相同，則認(rèn)為業(yè)務(wù)鑒權(quán)過程的鑒權(quán)結(jié)果為鑒權(quán)成功，否則，認(rèn)為鑒權(quán)失敗。

需要說明的是，在鑒權(quán)能力開放服務(wù)器經(jīng)過判別，確定本次鑒權(quán)成功后，鑒權(quán)能力開放服務(wù)器就可以在向業(yè)務(wù)平臺發(fā)送鑒權(quán)結(jié)果的同時(shí)生成鑒權(quán)令牌，之后鑒權(quán)能力開放服務(wù)器可以將鑒權(quán)令牌攜帶在鑒權(quán)成功的反饋消息中，向終端發(fā)送。此后，若終端需要再次進(jìn)行業(yè)務(wù)鑒權(quán)，那么終端就可以直接向鑒權(quán)能力開放服務(wù)器發(fā)送鑒權(quán)令牌，之后由鑒權(quán)能力開放服務(wù)器將接收到的鑒權(quán)令牌與預(yù)先存儲的鑒權(quán)令牌進(jìn)行比較，并得到鑒權(quán)結(jié)果。后續(xù)操作過程與初次進(jìn)行鑒權(quán)的過程類似，即鑒權(quán)能力開放服務(wù)器將鑒權(quán)結(jié)果向業(yè)務(wù)平臺發(fā)送，由業(yè)務(wù)平臺確定是否需要為終端提供業(yè)務(wù)跳轉(zhuǎn)。也就意味著，圖5僅作為一種可能實(shí)現(xiàn)的執(zhí)行過程示意圖，圖5中所示的時(shí)間順序并不是絕對的，比如：鑒權(quán)能力開放服務(wù)器生成鑒權(quán)向量的時(shí)機(jī)只要為鑒權(quán)成功之后即可，并不做過多限定。

考慮到業(yè)務(wù)鑒權(quán)過程的安全性，需要確保鑒權(quán)令牌的時(shí)效性，而不能讓終端在長時(shí)間內(nèi)一味使用相同鑒權(quán)令牌完成業(yè)務(wù)鑒權(quán)，在本發(fā)明實(shí)施例的一個(gè)實(shí)現(xiàn)方式中，鑒權(quán)令牌中還可以設(shè)置有定時(shí)器，用來限制鑒權(quán)令牌的時(shí)效性，因此，在如圖5所示的實(shí)現(xiàn)方式的基礎(chǔ)上，還可以實(shí)現(xiàn)為如圖6所示的實(shí)現(xiàn)方式。其中，在鑒權(quán)能力開放服務(wù)器生成鑒權(quán)令牌并存儲之后，還可以執(zhí)行步驟501至步驟503；且步驟405可以具體實(shí)現(xiàn)為步驟4051，步驟406可以具體實(shí)現(xiàn)為步驟4061：

501、鑒權(quán)能力開放服務(wù)器設(shè)置鑒權(quán)令牌的定時(shí)器。

502、若定時(shí)器處于超時(shí)閾值范圍內(nèi)且終端基于鑒權(quán)令牌完成一次成功鑒權(quán)，則鑒權(quán)能力開放服務(wù)器更新鑒權(quán)令牌并存儲。

503、鑒權(quán)能力開放服務(wù)器將更新后的鑒權(quán)令牌向終端發(fā)送。

在本發(fā)明實(shí)施例中，閾值范圍可以由運(yùn)營商或是維護(hù)人員進(jìn)行預(yù)先設(shè)置，閾值范圍作為衡量鑒權(quán)令牌是否接近超時(shí)的時(shí)間參數(shù)，可以通過設(shè)置閾值范圍來確定鑒權(quán)令牌在未來的一段時(shí)間內(nèi)是否還具有有效性，從而提示鑒權(quán)能力開放服務(wù)器及時(shí)更新即將喪失有效性的鑒權(quán)令牌。

為了確保終端進(jìn)行業(yè)務(wù)鑒權(quán)過程的時(shí)效性，避免存在鑒權(quán)令牌時(shí)因鑒權(quán)令牌超過預(yù)設(shè)的定時(shí)器而造成本次業(yè)務(wù)鑒權(quán)過程仍需終端、業(yè)務(wù)平臺與鑒權(quán)能力開放服務(wù)器之間頻繁交互才能完成，因此，鑒權(quán)能力開放服務(wù)器需要在更新鑒權(quán)令牌之后，及時(shí)告知終端。

需要說明的是，若定時(shí)器超時(shí)，則終端無法使用鑒權(quán)令牌進(jìn)行業(yè)務(wù)鑒權(quán)，那么終端只能使用鑒權(quán)向量來完成業(yè)務(wù)鑒權(quán)過程。

4051、鑒權(quán)能力開放服務(wù)器向業(yè)務(wù)平臺發(fā)送鑒權(quán)成功的消息。

4061、業(yè)務(wù)平臺向終端提供業(yè)務(wù)跳轉(zhuǎn)。

此外，在定時(shí)器處于超時(shí)閾值范圍內(nèi)，只有當(dāng)終端使用已有鑒權(quán)令牌完成一次成功鑒權(quán)之后，鑒權(quán)能力開放服務(wù)器才能更新該鑒權(quán)令牌，并將原有定時(shí)器歸位。比如：定時(shí)器規(guī)定的時(shí)間為24小時(shí)，預(yù)設(shè)距離24小時(shí)還差1小時(shí)的時(shí)候需要更新鑒權(quán)令牌，那么在那1小時(shí)之內(nèi)，如果終端使用該鑒權(quán)令牌完成一次成功鑒權(quán)，則鑒權(quán)能力開放服務(wù)器可以更新該終端的鑒權(quán)令牌，并恢復(fù)定時(shí)器，即將僅剩1小時(shí)或是不到1小時(shí)的定時(shí)器恢復(fù)為24小時(shí)內(nèi)有效。需要說明的是，更新后的鑒權(quán)令牌與更新前的鑒權(quán)令牌不同，在完成鑒權(quán)令牌的更新后，對于定時(shí)器的調(diào)整，可以選擇重新設(shè)置定時(shí)器，比如：重新將定時(shí)器設(shè)置為18小時(shí)，或是將定時(shí)器歸為，即將定時(shí)器還設(shè)置為原先的24小時(shí)，這一過程的具體實(shí)現(xiàn)方式在本申請中不進(jìn)行限定。在完成鑒權(quán)令牌的更新與定時(shí)器的設(shè)置之后，鑒權(quán)能力開放服務(wù)器將在上述1小時(shí)之內(nèi)實(shí)現(xiàn)的鑒權(quán)成功的消息向業(yè)務(wù)平臺發(fā)送，以使業(yè)務(wù)平臺提供終端的業(yè)務(wù)跳轉(zhuǎn)，同時(shí)，可以將更新后的鑒權(quán)令牌攜帶在鑒權(quán)成功的反饋消息中一并向終端發(fā)送，以使終端在下次進(jìn)行業(yè)務(wù)鑒權(quán)時(shí)使用更新后的鑒權(quán)令牌。

需要說明的是，圖6所示的步驟503與步驟4051可以同時(shí)執(zhí)行，對于步驟503與步驟4051所示的執(zhí)行時(shí)機(jī)，在本發(fā)明中不做限定。

此外，上述各種實(shí)施例的實(shí)現(xiàn)方式中，均可以將業(yè)務(wù)平臺作為轉(zhuǎn)發(fā)節(jié)點(diǎn)，由業(yè)務(wù)平臺來完成終端與鑒權(quán)能力開放服務(wù)器之間的數(shù)據(jù)交互，當(dāng)然，本申請中所示的鑒權(quán)過程中也可以在不借助業(yè)務(wù)平臺的前提下來實(shí)現(xiàn)，在此不做限定。

本發(fā)明實(shí)施例提供一種鑒權(quán)能力開放服務(wù)器20，如圖1所示，該鑒權(quán)能力開放服務(wù)器20用于執(zhí)行如圖2至圖6中任意一套方法流程，該鑒權(quán)能力開放服務(wù)器20包括：

接收模塊21，用于接收終端發(fā)送的鑒權(quán)請求，鑒權(quán)請求攜帶有終端的IMSI。

處理模塊22，用于在獲取到與接收模塊21接收的IMSI對應(yīng)的鑒權(quán)向量后，提取鑒權(quán)向量中的RAND和AUTH。

發(fā)送模塊23，用于向終端發(fā)送處理模塊22得到的鑒權(quán)向量中的RAND和AUTH，以便于終端根據(jù)RAND、AUTH、鑒權(quán)算法，以及秘鑰，確定響應(yīng)RES，并向鑒權(quán)能力開放服務(wù)器發(fā)送。

處理模塊22，還用于將終端發(fā)送的RES與鑒權(quán)向量中的RES進(jìn)行比較，得到鑒權(quán)結(jié)果，并通過發(fā)送模塊23向業(yè)務(wù)平臺發(fā)送，以便于業(yè)務(wù)平臺根據(jù)鑒權(quán)結(jié)果確定是否向終端提供業(yè)務(wù)跳轉(zhuǎn)。

在本發(fā)明實(shí)施例的一個(gè)實(shí)現(xiàn)方式中，處理模塊22，具體用于：

判斷是否存在IMSI對應(yīng)的鑒權(quán)向量；

若存在IMSI對應(yīng)的鑒權(quán)向量，則獲取與IMSI對應(yīng)的鑒權(quán)向量；

若不存在IMSI對應(yīng)的鑒權(quán)向量，則通過發(fā)送模塊23向HSS發(fā)送鑒權(quán)向量組請求，以便于HSS根據(jù)IMSI和秘鑰，生成鑒權(quán)向量組并向鑒權(quán)能力開放服務(wù)器20發(fā)送，鑒權(quán)向量組請求攜帶有IMSI，鑒權(quán)向量組包括至少兩個(gè)鑒權(quán)向量。

鑒權(quán)能力開放服務(wù)器20，還包括：

存儲模塊24，用于存儲鑒權(quán)向量組，并由處理模塊22根據(jù)鑒權(quán)向量組中每個(gè)鑒權(quán)向量的生成時(shí)間確定本次鑒權(quán)過程所需的鑒權(quán)向量并獲取。

在本發(fā)明實(shí)施例的一個(gè)實(shí)現(xiàn)方式中，處理模塊22，具體用于：

若存在IMSI對應(yīng)的鑒權(quán)向量，則判斷IMSI對應(yīng)的鑒權(quán)向量的數(shù)量是否為一個(gè)；

若數(shù)量為一個(gè)，則獲取鑒權(quán)向量；

若數(shù)量為至少兩個(gè)，則根據(jù)未被使用的每個(gè)鑒權(quán)向量的生成時(shí)間確定本次鑒權(quán)過程所需的鑒權(quán)向量并獲取。

在本發(fā)明實(shí)施例的一個(gè)實(shí)現(xiàn)方式中，處理模塊22，還用于若鑒權(quán)結(jié)果為鑒權(quán)成功，則生成鑒權(quán)令牌并存儲，鑒權(quán)令牌為指定時(shí)間內(nèi)終端用于業(yè)務(wù)鑒權(quán)的參數(shù)。

發(fā)送模塊23，還用于向終端發(fā)送鑒權(quán)令牌，以便于終端接收鑒權(quán)令牌，并當(dāng)終端再次訪問業(yè)務(wù)時(shí)，向鑒權(quán)能力開放服務(wù)器20發(fā)送鑒權(quán)令牌。

處理模塊22，還用于將接收到的鑒權(quán)令牌與存儲的鑒權(quán)令牌進(jìn)行比較，得到鑒權(quán)結(jié)果，并通過發(fā)送模塊23向業(yè)務(wù)平臺發(fā)送。

在本發(fā)明實(shí)施例的一個(gè)實(shí)現(xiàn)方式中，處理模塊22，還用于設(shè)置鑒權(quán)令牌的定時(shí)器。

處理模塊22，若定時(shí)器處于超時(shí)閾值范圍內(nèi)且終端基于鑒權(quán)令牌完成一次成功鑒權(quán)，則更新鑒權(quán)令牌并存儲。

發(fā)送模塊23，還用于將更新后的鑒權(quán)令牌向終端發(fā)送。

本申請可以在終端訪問業(yè)務(wù)后，由業(yè)務(wù)平臺向終端發(fā)送攜帶有鑒權(quán)能力開放服務(wù)器的地址的響應(yīng)消息，之后終端向鑒權(quán)能力開放服務(wù)器發(fā)送攜帶有IMSI的鑒權(quán)請求，以向鑒權(quán)能力開放服務(wù)器請求獲取該IMSI對應(yīng)的鑒權(quán)向量中的RAND和AUTH，待終端獲取到RAND和AUTH之后，該終端依據(jù)鑒權(quán)算法來確定RES，并將計(jì)算得到的RES向鑒權(quán)能力開放服務(wù)器發(fā)送，之后鑒權(quán)能力開放服務(wù)器通過將接收到的RES與鑒權(quán)向量中的RES進(jìn)行比較來得到鑒權(quán)結(jié)果，并向業(yè)務(wù)平臺發(fā)送，以便業(yè)務(wù)平臺根據(jù)鑒權(quán)結(jié)果來確定是否向終端提供業(yè)務(wù)跳轉(zhuǎn)。由于IMSI是存儲在終端的SIM/eSIM模塊(英文：Subscriber Identity Module，中文：客戶識別模塊)中的，因此，上述業(yè)務(wù)鑒權(quán)過程在一定程度上借助了SIM/eSIM，也就意味著，本申請所提供的業(yè)務(wù)鑒權(quán)方式是基于SIM/eSIM來實(shí)現(xiàn)的，且這樣的鑒權(quán)方式能夠開放運(yùn)營商的鑒權(quán)能力，減少業(yè)務(wù)側(cè)構(gòu)建鑒權(quán)系統(tǒng)及發(fā)展實(shí)名用戶時(shí)的負(fù)擔(dān)。

本說明書中的各個(gè)實(shí)施例均采用遞進(jìn)的方式描述，各個(gè)實(shí)施例之間相同相似的部分互相參見即可，每個(gè)實(shí)施例重點(diǎn)說明的都是與其他實(shí)施例的不同之處。尤其，對于裝置實(shí)施例而言，由于其基本相似于方法實(shí)施例，所以描述得比較簡單，相關(guān)之處參見方法實(shí)施例的部分說明即可。

本領(lǐng)域普通技術(shù)人員可以理解實(shí)現(xiàn)上述實(shí)施例方法中的全部或部分流程，是可以通過計(jì)算機(jī)程序來指令相關(guān)的硬件來完成，所述的程序可存儲于計(jì)算機(jī)可讀取存儲介質(zhì)中，該程序在執(zhí)行時(shí)，可包括如上述各方法的實(shí)施例的流程。其中，所述的存儲介質(zhì)可為磁碟、光盤、只讀存儲記憶體(英文：Read-Only Memory，簡稱：ROM)或隨機(jī)存儲記憶體(英文：Random Access Memory，簡稱：RAM)等。

以上所述，僅為本發(fā)明的具體實(shí)施方式，但本發(fā)明的保護(hù)范圍并不局限于此，任何熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi)，可輕易想到的變化或替換，都應(yīng)涵蓋在本發(fā)明的保護(hù)范圍之內(nèi)。因此，本發(fā)明的保護(hù)范圍應(yīng)該以權(quán)利要求的保護(hù)范圍為準(zhǔn)。