一种由电信网为互联网业务提供用户身份标识和用户身份认证的方法

摘要

本发明公开了一种由电信网为互联网业务提供用户身份标识和用户身份认证的方法。本发明还公开了一种由电信网为互联网业务提供用户身份标识和用户身份认证的系统。采用本发明提供的技术方案，首先可以统一互联网上的用户身份标识，其次可以使用户在使用互联网业务时无需输入账号和密码，操作步骤更少，也无需记忆账号和密码；再次互联网业务可以根据用户的电信网身份标识从用户的电信网账号中计费，从而可以为互联网业务提供一种统一的支付方式。

说明书

技术领域

本发明涉及电信设备领域、互联网业务领域。

背景技术

当前大多数的互联网业务如博客、微博、社交网络、邮箱、即时消息等都要求用户注册一个账号并设 置一个密码用于用户身份的标识和认证。账号就是用户在互联网上面的身份标识，这个身份标识一般有用 户名、邮箱地址、数字编号等几种形式。

可以发现，当前的互联网业务的用户身份标识和认证系统存在几个问题：一是用户身份标识不统一， 不同类型的互联网业务、以及同一类型但由不同公司运营的互联网业务之间会使用不同形式的身份标识； 二是用户需要为每个业务设置一个密码，使用每个业务时都需要输入账号和密码进行登录，操作较繁琐， 用户需要记忆不同的账号和密码。当前互联网业务越来越丰富，很多传统的业务也在向互联网上转移，但 是互联网的这种不方便却给用户带来了一定的困扰；三是互联网业务没有记录用户的真实身份信息，一些 涉及真实身份信息的业务就需要另外单独开展，如在线支付、物品快递等。

发明内容

本发明提出了一种由电信网为互联网业务提供用户身份标识和用户身份认证的方法。该方法采用由电 信网统一标识和认证用户身份并且把用户身份标识和认证信息传递给互联网，从而达到用户免账号免认证 登录互联网业务的效果，并且如果推广之则可以达到统一互联网业务的用户身份标识系统的目的。

本发明公开了一种依据上面的方法开发的电信网身份管理服务器，用于管理和指定电信网提供给互联 网业务的用户身份标识。

本发明还公开了一种依据上面的方法开发的电信网网关，其处于电信网中，在用户和互联网之间转发 消息，其特殊之处在于可以识别出用户登录互联网业务的消息并在消息中加入用户的电信网身份标识。

本发明还公开了一种依据上面的方法开发的互联网业务服务器，其功能包括提取电信网网关增加在消 息中的用户身份标识并以之查找出对应的账号并为该账号提供互联网业务。

本发明还公开了一种依据上面的方法开发的系统，其包括上面所述的电信网身份管理服务器、电信网 网关和互联网业务服务器。该系统可以实现由电信网为互联网业务提供用户身份标识和用户身份认证的目 的。

本发明公开的由电信网为互联网业务提供用户身份标识和用户身份认证的方法的具体技术方案如下：

当前互联网业务没有一个统一的用户身份标识和认证系统，但是互联网的主要接入服务承担方——电 信网却有一个完善和统一的用户身份标识和认证系统。电信网运营商会对每个用户分配一个唯一的身份标 识(如3G网络中的手机号码)，并且在用户接入网络时对其身份进行认证(例如3G网络用户在附加到网 络时会通过USIM卡中的密钥和加密算法进行身份认证)。

此外，当前绝大多数普通用户接入到互联网都是通过电信网运营商，只有少数用户如教育科研网的用 户才通过专门的线路接入互联网。

因此，如果互联网业务由电信网提供用户身份标识和用户身份认证，则既可以解决互联网上用户身份 标识不统一的问题，又可以免除用户使用每个互联网业务之前还要登录的不便。该方法具体的步骤为：

步骤1：用户在电信网上配置要给互联网业务使用的身份标识；

步骤2：用户在互联网业务服务器上设置将自己在电信网的一个或多个身份标识和该业务的账号进行 绑定，并且可以为每个不同的身份标识设置不同的业务权限，其中每个身份标识包括如下信息：电信网运 营商编号、电信网络编号、身份标识类型、身份标识值；

步骤3：用户连接到电信网；

步骤4：电信网对用户身份进行认证；

步骤5：用户通过电信网连接到互联网，开始使用互联网业务，按照互联网协议向互联网发送消息；

步骤6：所发送的消息经过电信网的网关；

步骤7：电信网的网关识别消息是否是登录互联网业务的消息并识别出对应的互联网业务ID；

步骤8：电信网的网关如果识别出是登录互联网业务的消息，则在消息中加入用户指定的要提供给该 互联网业务的身份标识信息以及电信网网关的签名信息和消息完整性摘要信息，然后转发到互联网；

步骤9：互联网业务服务器收到消息，通过签名信息验证消息是否来自信任的电信网网关，通过验证 消息完整性摘要来确保消息未被更改；

步骤10：上述的签名信息和消息完整性摘要通过验证以后，互联网业务服务器再从消息中提取其中的 用户身份标识信息；

步骤11：互联网业务服务器根据取得的用户身份标识信息查找出与其绑定的业务账号及授予该身份标 识的权限，并标记该账号已通过登录认证，如果账号不存在，则提示用户是否创建账号，如果用户选择是， 则为用户创建一个账号，并直接将该账号和本次取得的用户身份标识信息相绑定。如果是事先和电信网运 营商有协议直接使用电信网的用户身份标识作为账号的，则直接使用电信网的用户身份标识作为账号，并 标记该账号已通过登录认证，如果对应的账号不存在，则提示用户是否创建账号；

步骤12：用户直接以所述账号以及授予该身份标识的权限开始使用互联网业务；

其中步骤1又包含如下的子步骤：

步骤101：电信网运营商定义和维护一个互联网业务列表。这个列表中的每一个互联网业务项包含互 联网业务ID、业务登录URL地址或业务登录TCP/IP地址与端口号等信息。电信网运营商还可以对这个列 表中的项进行多个级别的分类，如首先分大类，大类下面再划分小类，小类下面再划分子类；

步骤102：电信网运营商定义一个用户可以使用的身份标识类型列表，可以使用的身份标识类型包括客 户编号、身份证号码、移动电话号码、固定电话号码、ADSL账号、LAN宽带账号、WIFI账号、网名以及其 他类型的身份标识，运营商要保证每类身份标识下每个用户的标识值各不相同，可以唯一代表该用户。身 份标识类型分为真实身份标识和虚拟身份标识，上面的类型中客户编号、身份证号码、移动电话号码、固 定电话号码、ADSL账号、LAN宽带账号、WIFI账号为真实身份标识，网名等为虚拟身份标识；

步骤103：电信网运营商根据所掌握的用户真实身份信息给用户的每类真实身份标识赋值，虚拟身份 标识由用户自己取值，但电信网运营商保证同一个类型下面用户的虚拟身份标识不和其他用户的相同。一 个用户的每类身份标识可以有多个值，运营商保证用户的每个真实身份标识确实是属于该用户的真实身份 信息；

步骤104：电信网运营商统一指定某类互联网业务或某个互联网业务使用哪类或哪个身份标识，这个 指定对所有用户有效，但优先级低于用户的指定，电信网运营商也可以指定某类互联网业务或某个互联网 业务使用“当前用户实际在使用的电信网接入方式的账号”，此时运营商的指定优先级高于用户的指定；

步骤105：用户可对电信网运营商定义的互联网业务列表中的互联网业务项按自己的标准再进行分组；

步骤106：用户根据自己的偏好指定某个互联网业务或者某组互联网业务使用哪个身份标识。同一个 类型的身份标识下面有多个值时需要用户选择一个。对某一个互联网业务，用户指定的使用哪个身份标识 优先级高于运营商统一指定的使用哪个身份标识。用户也可以指定某个互联网业务或者某组互联网业务使 用“当前用户实际在使用的电信网接入方式的账号”；

步骤107：运营商保存自己和用户设置好的用户身份标识使用策略；

其中步骤2也可以是：由电信网运营商和互联网业务提供商达成协议，互联网业务直接使用电信网的 用户身份标识作为账号。请参阅图2中该种方法的流程示意图。

其中步骤4所说的“电信网对用户身份进行认证”包括：输入DSL、ADSL、LAN、WLAN、WIFI登录的 用户名和密码；通过光纤的物理连接直接标识和认证用户身份；通过GSM、CDMA、WCDMA、LTE标准中的鉴 权算法标识和鉴别用户的身份；以及其他认证用户身份的方法。

其中步骤5所说的“用户通过电信网接入互联网”包括通过DSL、ADSL、LAN、光纤、WLAN、WIFI、 GPRS、EDGE、WCDMA、CDMA、HSPA、LTE、电力线、有线电视线以及其他公众互联网接入方式接入到互联网。

其中步骤6所说的“开始使用互联网业务，按照互联网协议向互联网发送消息”包括通过HTTP或者 WEBSERVICE协议，通过FTP、TELNET、SMTP、POP等各种标准互联网协议或者通过基于TCP/IP协议的私有 协议连接到某个互联网业务服务器。

其中步骤7所说的“电信网的网关识别消息是否是登录互联网业务的消息并识别出对应的互联网业 务ID”包括根据HTTP、WEBSERVICE中的URL地址识别是登录消息和对应的互联网业务ID，根据基于TCP/IP 协议的私有协议中的端口号识别互联网业务ID及其他方式识别出是登录互联网业务的消息。

其中步骤8所说的“在消息中加入用户身份标识以及电信网网关的签名信息和消息完整性摘要信息” 包括：电信网网关在HTTP和WEBSERVICE消息中加入用户身份标识信息以及自身的数字签名信息和消息完 整性摘要；电信网关在基于TCP/IP消息的私有协议中加入用户身份标识信息以及数字签名信息和用户身 份标识；

其中步骤8、9、10、11所说的“用户身份标识信息”包括电信网运营商编号、电信网络编号、用户 身份标识类型和用户身份标识值。

从上面的步骤中可以看出，如果是用户原来在某个互联网业务服务器上已经有账号了，则可以输入账 号、密码登录互联网业务服务器后设置将该账号和自己的一个或多个电信网身份标识相绑定(每个电信网 身份标识包括电信网运营商编号、电信网络编号、用户身份标识类型和用户身份标识值四个值，可以使用 真实身份标识，也可以使用虚拟身份标识)，并且在对应的电信网运营商网络上配置当访问该互联网业务 时传递哪类身份标识给该互联网业务服务器，这之后凡是通过这配置列表中的电信网运营商的网络连接到 互联网的，都可以不输账号不输密码登录到这个互联网业务服务器了。

更进一步，如果电信网运营商和互联网业务提供商达成了协议，该互联网业务直接使用该电信网运营 商的电信网用户身份标识作为账号，则用户可以首先通过该运营商的电信网登录到互联网业务服务器，直 接以电信网身份标识创建一个账号，后面只要通过该运营商的电信网连接到该互联网业务服务器，就都不 需要输账号登录，也不需要设置任何密码。

从上面的描述可以看出，使用本发明公开的方法，一个可以统一互联网上的用户身份标识，二个可以 使用户免账号免密码登录到互联网业务，可以免去用户记忆账号和密码的麻烦，省去用户登录互联网业务 时输入账号和密码的步骤，为用户带来方便，三个互联网业务可以根据用户的电信网身份标识从用户的电 信网账号中计费，从而可以为互联网业务提供一种统一的支付方式。

本发明还公开了一种电信网身份管理服务器，其包含如下单元：

互联网业务列表维护单元，用于供电信网运营商定义和管理互联网业务列表；

身份标识类型定义单元，用于供电信网运营商定义和管理身份标识类型列表；

身份标识定义单元，用于供电信网运营商和用户定义和管理用户身份标识的值；

统一身份标识使用策略定义单元，用于供电信网运营商统一指定某类互联网业务或每个互联网业务使 用哪个身份标识；

身份标识使用策略定义单元，用于供用户分互联网业务组、分单个互联网业务指定使用哪个身份标识；

互联网业务识别及身份标识查询单元，用于供其他设备查询某个URL或某个端口是否是互联网业务列 表中某个互联网业务项的业务登录URL、业务登录端口，如果是，根据查得的互联网业务ID和其他设备输 入的用户键值查询得到要使用的用户身份标识返回给其他设备。

本发明还公开了一种电信网网关，其包含如下单元：

业务登录消息识别单元，用于识别出用户发出的消息中哪些是发送到互联网的业务登录消息并识别出 当前访问的是哪个互联网业务；

身份标识获取单元，用于读取用户预先配置的要给当前在访问的互联网业务使用的身份标识；

身份信息附加单元，用于在发送到互联网的业务登录消息中加入用户身份标识以及签名信息、完整性 验证信息；

消息转发单元，用于接收用户发送的业务登录消息之外的其他消息并转发到互联网上，用于接收互联 网发送给用户的消息并转发给用户。

本发明还公开了一种互联网业务服务器，其包含如下单元：

免登录处理单元，用于提取业务登录消息中的电信网网关加入的用户身份标识并完成免登录处理。

其他子业务处理单元，用于处理互联网业务的其他子业务。

其中免登陆处理单元包括：

身份标识提取单元，用于验证业务登录消息中的签名信息、完整性验证信息，并提取出用户身份标识；

账号映射单元，用于根据用户身份标识查找与其绑定的业务账号并且查找授予该身份标识的业务权 限；

登录状态修改单元，用于设置账号为已登录状态。

本发明还公开了一种由电信网为互联网业务提供用户身份标识和用户身份认证的系统，其包括：

电信网身份管理服务器，用于管理和指定电信网提供给互联网业务的用户身份标识；

电信网网关，用于识别出用户登录互联网业务的消息并在消息中加入用户的电信网身份标识；

互联网业务服务器，用于提取电信网网关增加在消息中的用户身份标识并以之查找出对应的账号和授 予该身份标识的权限并为该账号提供互联网业务。

附图说明

图1为本发明中由电信网为互联网业务提供用户身份标识和用户身份认证的方法的流程示意图；

图2为本发明中由电信网为互联网业务提供用户身份标识和用户身份认证的方法的另一种实现方式的 流程示意图；

图3为本发明中由电信网为互联网业务提供用户身份标识和用户身份认证的方法实施例1的流程图；

图4为本发明中由电信网为互联网业务提供用户身份标识和用户身份认证的方法实施例2的流程图；

图5为本发明中由电信网为互联网业务提供用户身份标识和用户身份认证的方法实施例3的流程图；

图6为多个电信网运营商、多个电信网络和一个互联网业务服务器组成的示意图；

图7为本发明中由电信网为互联网业务提供用户身份标识和用户身份认证的系统的示意图；

具体实施方式

实施例1

在本实施例中，用户张三是通过电信网运营商A的WCDMA 3G网络连接到互联网的，用户免账号免认 证登录业务的具体步骤如下：

步骤301：电信网运营商A管理互联网列表，增加一个新的互联网业务项，如“新浪博客”，其互联网 业务ID为1，业务登录URL地址为http://blog.sina.com.cn/noacctlogin。

步骤302：电信网运营商A在身份标识类型列表中增加一个身份标识类型：手机号码。

步骤303：电信网运营商A根据用户张三的号码给用户张三的“手机号码”类型身份标识赋值为： 18606061122。

步骤304：电信网运营商A指定“新浪博客”业务使用“手机号码”类型的身份标识。

步骤305：用户张三在“新浪博客”上设置将自己的账号Jackson和电信网的用户身份标识：电信网 运营商编号——A；网络编号——WCDMA 3G网络；身份标识类型——手机号码；身份标识值——18606061122 绑定。

步骤306：用户张三手机开机，使用18606061122号码的USIM卡连接WCDMA 3G网络。

步骤307：电信网运营商A的WCDMA 3G网络对USIM卡进行身份认证，认证通过，并识别出是用户张 三。

步骤308：用户张三通过3G网络的数据连接连接到互联网，通过HTTP协议连接“新浪博客”的免账 号登录WEB地址：http://blog.sina.com.cn/noacctlogin。

步骤309：电信网运营商A的WCDMA 3G网络的网关根据URL地址 http://blog.sina.com.cn/noacctlogin查询互联网业务列表，发现是“新浪博客”业务的登录URL，对 应的互联网业务ID为1。

步骤310：电信网运营商A的WCDMA 3G网络的网关查询电信网运营商A和用户张三自己指定的身份标 识使用策略，发现需要使用电信网运营商A统一指定的策略：使用“手机号码”类型的身份标识，电信网 网关获得张三的“手机号码”类型的身份标识，然后在HTTP消息头中加入该身份标识：电信网运营商编 号——A；网络编号——WCDMA 3G网络；身份标识类型——手机号码；身份标识值——18606061122及自 身的数字签名信息以及整个消息的摘要并转发到互联网。

步骤311：“新浪博客”的服务器收到电信网运营商A的WCDMA 3G网络网关转发来的消息，验证其中 的数字签名和消息完整性摘要，确保消息来自电信网运营商A的WCDMA 3G网络网关并且未被恶意修改。

步骤312：“新浪博客”的服务器从消息提取电信网的用户身份标识：类型——手机号码；值—— 18606061122。

步骤313：“新浪博客”根据电信网的用户身份标识：电信网运营商编号——A；网络编号——WCDMA 3G 网络；身份标识类型——手机号码；身份标识值——18606061122查找到与其绑定的用户账号Jackson， 并标记Jackson登录成功。

步骤314：用户张三以账号Jackson开始使用“新浪博客”业务。

实施例2

在本实施例中，用户李四是通过电信网运营商B的ADSL宽带网络连接到互联网的，用户免账号免认 证登录业务的具体步骤如下：

步骤401：电信网运营商B管理互联网列表，增加一个新的互联网业务项，如“携程旅行”，其互联网 业务ID为2，分类大类为“生活类”，小类为“旅行类”，业务登录URL地址为 http://www.ctrip.com/noacctlogin。

步骤402：电信网运营商B在身份标识类型列表中增加两个身份标识类型：ADSL账号、手机号码。

步骤403：电信网运营商B根据用户李四的ADSL账号给用户李四的“ADSL账号”类型身份标识赋值： szdsl52316938163.gd。此外，用户李四还使用了电信网运营商B的TD-CDMA手机，号码为：18902020505， 因此电信网运营商B还给李四的“手机号码”类型身份标识赋值：18902020505。电信网运营商B还指定 “生活类”互联网业务统一使用“手机号码”类型的身份标识。

步骤404：用户李四对互联网业务分组，“携程旅行”分组为“旅行组”，并指定该组业务使用“ADSL 账号”类型的身份标识。

步骤405：电信网运营商B和携程无线签订协议，约定携程旅行业务就使用运营商B携带的ADSL账号 或手机号码作为用户的账号。

步骤406：用户李四通过ADSL账号szdsl52316938163.gd拨号上网。

步骤407：电信网运营商B的ADSL接入设备对用户进行身份认证，认证通过，并识别出是用户李四。

步骤408：用户李四通过ADSL连接连接到互联网，通过HTTP协议连接“携程旅行”的免账号登录WEB 地址：http://www.ctrip.com/noacctlogin。

步骤409：电信网运营商B的ADSL网络的网关根据URL地址http://www.ctrip.com/noacctlogin查 询互联网业务列表，发现是“携程旅行”业务的登录URL，对应的互联网业务ID为2。

步骤410：电信网网关查询电信网运营商B和用户李四自己指定的身份标识使用策略，发现需要使用 用户李四自己指定的策略：使用“ADSL账号”类型的身份标识，电信网网关获得张三的“ADSL账号”类 型的身份标识，并在HTTP消息头中加入该身份标识：电信网运营商编号——B；网络编号——ADSL网络； 类型——ADSL账号；值——szdsl52316938163.gd及自身的数字签名信息以及整个消息的摘要并转发到 互联网。

步骤411：“携程旅行”的服务器收到电信网运营商B的ADSL网络网关转发来的消息，验证其中的数 字签名和消息完整性摘要，确保消息来自电信网运营商B的ADSL网络网关并且未被恶意修改。

步骤412：“携程旅行”的服务器从消息提取电信网的用户身份标识：电信网运营商编号——B；网络 编号——ADSL网络；身份标识类型——ADSL账号；身份标识值——szdsl52316938163.gd。

步骤413：“携程旅行”的服务器根据协议，直接以电信网的用户身份标识组装出账号“电信网运营商 编号_网络编号_身份标识类型_身份标识值”：B_ADSL_adsl_szdsl52316938163.gd作为账号并标记该账 号登录成功。

步骤414：用户李四以账号B_ADSL_adsl_szdsl52316938163.gd开始使用“携程旅行”业务。

实施例3

在本实施例中，描述了使用不同的网络连接方式，免登录后获得的权限也不同的例子，具体步骤如下：

步骤501：电信网运营商C管理互联网列表，增加一个新的互联网业务项，如“XX网上银行”，其互 联网业务ID为3，分类大类为“生活类”，小类为“网上银行类”，业务登录URL地址为 http://www.anetbank.com/noacctlogin。

步骤502：电信网运营商C在身份标识类型列表中增加两个身份标识类型：家庭ADSL账号、手机号码。

步骤503：用户王五在运营商C开了个家庭ADSL账号：szdsl52316938163.gd，并且在运营商C的 CDMA网络上开了个自己用的手机号码：18302020505。电信网运营商C根据王五的真实信息给王五的“家 庭ADSL账号”类型的身份标识赋值：szdsl52316938163.gd，“手机号码”类型的身份标识赋值： 18302020505。

步骤504：电信网运营商C指定“XX网上银行”业务使用“当前用户实际在使用的电信网接入方式的 账号”类型的身份标识。

步骤505：用户王五在“XX网上银行”的互联网业务服务器上配置将自己的银行账号18181818和电 信网运营商C的电信网身份标识家庭ADSL账号：szdsl52316938163.gd和手机号码：18302020505绑 定，其中家庭ADSL账号：szdsl52316938163.gd只授予查询余额的权限，而手机号码：18302020505授 予全部权限。

步骤506：用户王五通过自己的号码为18302020505手机上网，连接“XX网上银行”的免账号登录WEB 地址：http://www.anetbank.com/noacctlogin。

步骤507：电信网运营商C的CDMA网络网关根据URL地址http://www.anetbank.com/noacctlogin 查询互联网业务列表，发现是“XX网上银行”业务的登录URL，对应的互联网业务ID为3。

步骤508：电信网运营商C的CDMA网络网关查询电信网运营商C和用户王五自己指定的身份标识使用 策略，发现应该使用电信网运营商C指定的策略：使用“当前用户实际在使用的电信网接入方式的账号” 类型的身份标识，电信网网关获得主五的“当前用户实际在使用的电信网接入方式的账号”类型的身份标 识并添加在HTTP消息头中：电信网运营商编号——C；网络编号——CDMA网络；类型——手机号码；值—— 18302020505及自身的数字签名信息以及整个消息的摘要并转发到互联网。

步骤509：“XX网上银行”的服务器收到电信网运营商C的CDMA网络网关转发来的消息，验证其中的 数字签名和消息完整性摘要，并取出其中的用户身份标识为：电信网运营商编号——C；网络编号——CDMA 网络；类型——手机号码；值——18302020505。

步骤510：“XX网上银行”根据电信网的用户身份标识查得其关联的银行账号为18181818，并且授予 该身份标识的权限为全部权限。

步骤511：用户王五在银行账号18181818上做余额查询、转账等操作。

步骤512：用户王五的妻子在家里通过家庭ADSL账号szdsl52316938163.gd拨号上网。

步骤513：电信网运营商C的家庭ADSL接入设备对用户进行身份认证，认证通过，并识别出是用户“王 五”或者“王五家庭”，其中“王五家庭”也可以访问“王五”的业务。

步骤514：用户王五的妻子连接“XX网上银行”的免账号登录WEB地址： http://www.anetbank.com/noacctlogin。

步骤515：电信网运营商C的家庭ADSL网络网关根据URL地址http://www.anetbank.com/noacctlogin 查询互联网业务列表，发现是“XX网上银行”业务的登录URL，对应的互联网业务ID为3。

步骤516：电信网运营商C的家庭ADSL网络网关查询电信网运营商C和用户王五自己指定的身份标识 使用策略，发现应该使用电信网运营商C指定的策略：使用“当前用户实际在使用的电信网接入方式的账 号”类型的身份标识，电信网网关获得王五的“当前用户实际在使用的电信网接入方式的账号”类型的身 份标识并添加在HTTP消息头中：电信网运营商编号——C；网络编号——家庭ADSL网络；类型——ADSL 账号；值——szdsl52316938163.gd及自身的数字签名信息以及整个消息的摘要并转发到互联网。

步骤517：“XX网上银行”的服务器收到电信网运营商C的家庭ADSL网络网关转发来的消息，验证其 中的数字签名和消息完整性摘要，并取出其中的用户身份标识为：电信网运营商编号——C；网络编号—— 家庭ADSL网络；类型——ADSL账号；值——szdsl52316938163.gd。

步骤518：“XX网上银行”根据电信网的用户身份标识查得其关联的银行账号为18181818，并且授予 该身份标识的权限为查询余额。

步骤519：用户王五的妻子在银行账号18181818上只能做余额查询操作。

实施例4

在本实施例中，描述了用户使用虚拟身份免账号免认证登录互联网业务的场景：

步骤601：电信网运营商D管理互联网列表，增加一个新的互联网业务项，如“天涯论坛”，其互联网 业务ID为4，分类大类为“论坛类”，业务登录URL地址为http://www.tianya.com/noacctlogin。

步骤602：电信网运营商D在身份标识类型列表中增加一个身份标识类型：网名，为虚拟身份标识。

步骤603：电信网运营商D和天涯论坛签订协议，约定天涯论坛业务就使用运营商D携带的网名作为 用户的账号。

步骤604：用户马六在电信网运营商D的网络上给自己的“网名”类型的身份标识取值：MaLiu。该 名字通过验证，和别的用户不重名。

步骤605：电信网运营商D还指定“论坛类”互联网业务统一使用“网名”类型的身份标识。

步骤606：用户马六通过运营商D的WCDMA 3G手机号码18606061122上网。

步骤607：电信网运营商D的WCDMA 3G网络对号码18606061122进行身份认证，认证通过，并识别 出是用户马六。

步骤608：用户马六通过HTTP协议连接“天涯论坛”的免账号登录WEB地址： http://www.tianya.com/noacctlogin。

步骤609：电信网运营商D的WCDMA 3G网络的网关根据URL地址http:// www.tianya.com/noacctlogin查询互联网业务列表，发现是“天涯论坛”业务的登录URL，对应的互联网 业务ID为4。

步骤610：电信网运营商D的WCDMA 3G网络的网关查询电信网运营商D和用户马六自己指定的身份 标识使用策略，发现需要使用电信网运营商D指定的策略：使用“网名”类型的身份标识，电信网网关获 得马六的“网名”类型的身份标识，并在HTTP消息头中加入该身份标识：电信网运营商编号——D；网络 编号——WCDMA 3G网络；类型——网名；值——MaLiu及自身的数字签名信息以及整个消息的摘要并转 发到互联网。

步骤611：“天涯论坛”的服务器收到电信网运营商D的WCDMA 3G网络网关转发来的消息，验证其中 的数字签名和消息完整性摘要，然后从消息提取电信网的用户身份标识：电信网运营商编号——D；网络 编号——WCDMA 3G网络；身份标识类型——网名；身份标识值——MaLiu。

步骤612：“天涯论坛”的服务器根据协议，直接以电信网的用户身份标识组装出账号“电信网运营商 编号_身份标识值”：D_MaLiu作为账号并标记该账号登录成功。

步骤613：用户马六以账号D_MaLiu开始使用“天涯论坛”业务。

实施例5

上面描述的都是使用HTTP协议的例子，本实施例中，描述一个基于TCP/IP协议的私有协议的例子：

步骤701：电信网运营商E管理互联网列表，增加一个新的互联网业务项，如“XX即时消息”，其互 联网业务ID为5，分类大类为“即时消息类”，业务登录方式为私有协议，连接服务器www.xxim.com的 TCP端口12345按私有协议收发消息进行登录。

步骤702：电信网运营商E在身份标识类型列表中增加一个身份标识类型：E-mail地址，为虚拟身份 标识。

步骤703：电信网运营商E和XX即时消息签订协议，定义好用户身份标识信息、网关签名信息和消息 完整性摘要信息传递的接口。

步骤704：用户钱七在电信网运营商E的网络上给自己的“E-mail地址”类型的身份标识取值： qianqi163.com。该名字通过验证，和别的用户不重名。

步骤705：电信网运营商3还指定“即时消息类”互联网业务统一使用“E-mail地址”类型的身份标 识。

步骤706：用户钱七通过运营商E的WCDMA 3G手机号码18606061122上网。

步骤707：电信网运营商E的WCDMA 3G网络对号码18606061122进行身份认证，认证通过，并识别 出是用户钱七。

步骤708：用户钱七通过XX即时消息的私有协议连接“XX即时消息”的服务器：www.xxim.com，端 口为12345。

步骤709：电信网运营商E的WCDMA 3G网络的服务器地址和端口查询互联网业务列表，发现是“XX 即时消息”业务的登录URL，对应的互联网业务ID为5。

步骤710：电信网运营商E的WCDMA 3G网络的网关查询电信网运营商E和用户钱七自己指定的身份 标识使用策略，发现需要使用电信网运营商E指定的策略：使用“E-mail地址”类型的身份标识，电信网 网关获得钱七的“E-mail地址”类型的身份标识，根据私有协议在TCP消息中加入该身份标识：电信网运 营商编号——E；网络编号——WCDMA 3G网络；类型——E-mail地址；值——qianqi163.com及自身的 数字签名信息以及整个消息的摘要并转发到互联网。

步骤711：“XX即时消息”的服务器收到电信网运营商D的WCDMA 3G网络网关转发来的消息，验证 其中的数字签名和消息完整性摘要，然后从消息提取电信网的用户身份标识：电信网运营商编号——E； 网络编号——WCDMA 3G网络；身份标识类型——E-mail地址；身份标识值——qianqi163.com。

步骤712：“XX即时消息”的服务器根据协议，直接以电信网的用户身份标识组装出账号“身份标识 值”：qianqi163.com作为账号并标记该账号登录成功。

步骤713：用户钱七以账号qianqi163.com开始使用“XX即时消息”业务。

请参阅图7，其为本发明一种由电信网为互联网业务提供用户身份标识和用户身份认证的系统的结构 示意图，其中包括电信网身份管理服务器结构示意图，电信网网关结构示意图，以及互联网业务服务器结 构示意图。

本实施例中的电信网身份管理服务器70包括互联网业务列表维护单元703、身份标识类型定义单元 702、身份标识定义单元704、统一身份标识使用策略定义单元706、身份标识使用策略定义单元705以及 互联网业务识别及身份标识查询单元701，下面结合具体实施方式进一步介绍其内部结构以及连接关系。

首先互联网业务列表维护单元703提供界面供运营商定义互联网业务列表，每个互联网业务包括互联 网业务ID、业务登录URL地址或业务登录TCP/IP地址与端口号等信息，然后保存该列表。

然后身份标识类型定义单元702提供界面供运营商定义身份标识类型，包括客户编号、身份证号码、 移动电话号码、固定电话号码、ADSL账号、LAN宽带账号、WIFI账号、网名等类型，然后保存这些类型数 据。

再然后身份标识类型定义单元704提供界面供运营商输入每个用户各个真实身份标识类型的值，也可 以从别的表中导入，身份标识类型定义单元704要保证每类身份标识下每个用户的标识值各不相同，可以 唯一代表该用户。当身份标识为虚拟身份标识时，身份标识类型定义单元704还允许用户自己取值。同一 类型的身份标识可以有多个。身份标识类型定义单元704保存这些数据。

再然后统一身份标识使用策略定义单元706提供界面供运营商对互联网业务分类，并指定某类互联网 业务或某个互联网业务使用哪类或哪个身份标识，统一身份标识使用策略定义单元706保存这些数据。

再然后身份标识使用策略定义单元705提供界面供用户对互联网业务分组，并根据自己的偏好指定某 个互联网业务或者某组互联网业务使用哪个身份标识，身份标识使用策略定义单元705保存这些数据。

用户在使用业务时，电信网网关的身份标识获取单元712发送请求给互联网业务识别及身份标识查询 单元701，要求识别是否是已配置的互联网业务并返回应该使用的电信网身份标识。请求中携带用户键值、 用户访问的URL地址或者服务器地址和端口号。此时互联网业务识别及身份标识查询单元701根据请求中 的URL地址或者服务器地址和端口号查找互联网业务列表，如果找到URL地址或者服务器地址和端口号和 某个项中的值相等，则识别是该互联网业务并获得该互联网业务的互联网业务ID，如果在互联网业务列表 中没有找到URL地址或者服务器地址和端口号和请求中相等的项，则向电信网网关的身份标识获取单元712 返回“不是可识别的互联网业务”。如果获得了互联网业务ID，则根据互联网业务ID和用户键值查询统一 身份标识使用策略定义单元706、身份标识使用策略定义单元705前面保存的数据，按发明内容中步骤 104～106中的原则确定本次应该使用哪个身份标识。然后把这个身份标识的身份标识类型和身份标识值返 回给电信网网关的身份标识获取单元712。

本实施例中的电信网网关71包括业务登录消息识别单元711、身份标识获取单元712、身份信息附加 单元713和消息转发单元714，下面结合具体实施方式进一步介绍其内部结构以及连接关系。

用户使用某个互联网业务时，首先通过电信网网络接入设备73接入到电信网，此时电信网使用电信 网的身份标识会对用户身份进行认证。然后用户通过电信网网络接入设备73向互联网发送消息，消息被 送到电信网网关71的业务登录消息识别单元711，由业务登录消息识别单元711调身份标识获取单元712 向电信网身份管理服务器70请求识别是否是已配置的互联网业务并返回应该使用的电信网身份标识的类 型和值。如果识别是已配置的互联网业务并且取得了返回的应该使用的电信网身份标识类型和值，则判断 身份标识是否是“当前用户实际在使用的电信网接入方式的账号”类型，如果是则从电信网网络接入设备 73获取当前的接入方式及接入账号，然后把该身份标识类型和值和消息一起发送给身份信息附加单元713， 身份信息附加单元713收到消息和应该使用的身份标识类型和值后，在消息中添加电信网网关71的数字 签名信息和完整性摘要信息以及用户的身份标识信息，用户的身份标识信息包括电信网运营商编号、电信 网络编号、用户身份标识类型和用户身份标识值，然后再把消息转发给消息转发单元714，由消息转发单 元714将消息转发到互联网最终到达互联网业务服务器72。如果识别出不是已配置的互联网业务，则业务 登录消息识别单元711直接把消息转发给消息转发单元714，有消息转发单元714转发到互联网最终到达 互联网业务服务器72。对于互联网业务服务器72发给用户的消息，由消息转发单元714转发给电信网网 络接入设备73，电信网网络接入设备73再转发给用户。

本实施例中的互联网业务服务器72包括免登录处理单元721和其他子业务处理单元722，其中免登录 处理单元721又包括身份标识提取单元7213、账号映射单元7212和登录状态修改单元7211，下面结合具 体实施方式进一步介绍其内部结构以及连接关系。

电信网网关71的消息转发单元714转发的消息首先到达免登录处理单元721的身份标识提取单元 7213，身份标识提取单元7213根据请求的URL地址判断是否是免账号登录消息，如果不是，直接转发给 其他业务处理单元722进行处理。如果是，则根据消息中的签名信息验证消息是否是来电信网网关71，然 后再通过消息完整性摘要来验证消息在从电信网网关71到当前位置的传递途径中是否被更改，如果签名 信息或消息完整性摘要信息验证不通过，则丢弃消息。否则提取消息中用户身份标识信息，其内容如下： 电信网运营商编号、电信网络编号、用户身份标识类型和用户身份标识值。将用户身份标识信息传递给账 号映射单元7212。

账号映射单元7212判断是否有要求直接使用电信网的用户身份标识作为账号，如果有，则直接用用 户身份标识信息根据要求的格式组合出账号，否则根据用户身份标识信息查找之前全部用户设定的电信网 用户身份标识和账号间的绑定关系，查找出本次的用户身份标识信息对应哪个账号，并查找出给用户身份 标识授予的权限信息。账号映射单元7212把组合出或者查找到的账号以及应授予的权限信息传递给登录 状态修改单元7211，由登录状态修改单元7211更新账号的状态为登录并保存授予的权限信息。

最后应当说明的是：以上实施例仅用以说明本发明的技术方案而非对其限制；尽管参照较佳实施例对 本发明进行了详细的说明，所属领域的普通技术人员应当理解：依然可以对本发明的具体实施方式进行修 改或者对部分技术特征进行等同替换；而不脱离本发明技术方案的精神和原则所作的修改、等同替换和改 进等，均应涵盖在本发明请求保护的技术方案范围之内。