用户接入方法和用户接入系统

摘要

本发明公开了一种用户接入方法和用户接入系统，包括步骤S1、服务提供商接收用户的接入请求信息；步骤S2、服务提供商将接入请求信息封装成认证请求信息，并发送至服务提供商对应的本地接入运营商；步骤S3、本地接入运营商根据身份信息，判断本地接入运营商是否为归属运营商，若判断结果为否，则执行步骤S4，若判断结果为是，则执行步骤S5；步骤S4、本地接入运营商将认证请求信息转发给归属运营商；步骤S5、归属运营商根据身份信息对用户进行身份认证，并将认证结果反馈给服务提供商；步骤S6、服务提供商根据认证结果执行同意或拒绝用户接入操作。本发明的技术方案提供的用户接入方法具有较高的通用性，能够覆盖全球互联用户的所有类型的接入场景。

说明书

技术领域

本发明涉及通信技术领域，特别涉及一种用户接入方法和用户接入系统。

背景技术

互联网提供的资源和服务的数量非常巨大且增长迅猛，已成为人们获取信息和服务的主要渠道。然而网络用户隐私安全形势愈加严峻，弱口令、“拖库”、“撞库”等安全隐患日益凸显，互联网服务提供商也多次遭到黑客的恶意攻击。如何建设安全且便捷的身份认证系统，合理、有效地把控互联网接入入口，成为广大服务提供商以及用户共同关注的焦点。

现有互联网用户接入系统并存了两类身份认证方法：自主认证和第三方认证。自主认证是由服务提供商自行建立用户身份管理系统，对用户身份进行匹配和合法性验证，最常用的就是账户名+密码的验证方法。近年来，为了进一步降低用户信息泄露、提高认证便捷性，以Apple ID、QQ、微信、微博、邮箱以及短信验证码等登录方式为代表的第三方认证方法逐渐流行。服务提供商将用户身份认证请求直接发给第三方平台，由第三方认证系统根据用户提供的账号进行身份验证，当用户名和密码均正确且匹配或者用户接收并输入正确的短信验证码，则认为用户身份合法，认证成功。

然而现有认证方式重点集中在安全性和便捷性的提升，却忽略了接入认证的通用性。随着互联网全球化的深入，受政府政策以及技术差异等约束，用户和服务提供商在全球互联进程却始终受阻。按照用户接入服务提供商归属地以及接入请求发生地的归属，全球互联场景主要包括四类：(1)用户在本国访问本国服务提供商；(2)用户在国外访问本国服务提供商；(3)用户在国内访问外国服务提供商；(4)用户在国外访问外国服务提供商。现有技术主要适用于第一类应用场景，一旦涉及到服务提供商和接入发生地有一方在国外的场景现有技术便存在局限性。例如，在第二类场景中，首先需要保证第三方认证系统能够允许接入请求发生地的安全网关，并且所有认证信息一旦通过外网进行跨国互传，安全隐患更为明显。在第三和第四类场景中，用户请求接入的是外国服务提供商，通常需要用户在外国服务提供商处进行信息注册，这一方面涉及到用户信息外泄的隐患，同时由于注册过程中通常涉及到信息的交互(比如邮件确认)，因而同样面临网络互传安全性降低以及互传方式需要得到交互双方短信网关许可的难题。

综上所述，现有技术在全球互联场景中不仅存在应用上的局限性，安全性也会降低。

发明内容

本发明旨在至少解决现有技术中存在的技术问题之一，提出了一种用户接入方法和用户接入系统。

为实现上述目的，本发明提供了一种用户接入方法，包括：

步骤S1、服务提供商接收用户的接入请求信息，所述接入请求信息包括：请求信息和所述用户的身份信息；

步骤S2、所述服务提供商将所述接入请求信息封装成认证请求信息，并将所述认证请求信息发送至所述服务提供商对应的本地接入运营商；

步骤S3、所述本地接入运营商根据所述认证请求信息中的所述身份信息，判断所述本地接入运营商是否为所述用户对应的归属运营商；

若判断结果为否，则执行步骤S4，若判断结果为是，则执行步骤S5；

步骤S4、所述本地接入运营商将所述认证请求信息转发给所述归属运营商；

步骤S5、所述归属运营商根据所述认证请求信息中的身份信息对所述用户进行身份认证，并将认证结果反馈给所述服务提供商；

步骤S6、所述服务提供商根据接收到的认证结果执行同意用户接入或拒绝用户接入的操作。

可选地，所述身份信息为所述用户的手机号。

可选地，所述步骤S3包括：

步骤S301、本地接入运营商根据ENUM电话号码映射协议识别出所述手机号第1～3位数字作为国家码，以获取所述归属运营商的所属区域；

步骤S302、所述本地接入运营商根据所述归属运营商的所属区域内运营商号码对应的码表识别出用户归属运营商对应的运营商ID；

步骤S303、所述本地接入运营根据所述归属运营商的所属区域和运营商ID，判断所述本地接入运营商是否为所述用户对应的归属运营商；

其中，若所述本地接入运营的所属区域和运营商ID与所述归属运营商的所属区域和运营商ID均相同，则判断出所述本地接入运营商是所述用户对应的归属运营商；若所述本地接入运营的所属区域与所述归属运营商的所属区域相同，且所述本地接入运营的运营商ID与所述归属运营商的运营商ID不同，则判断出所述本地接入运营商与所述归属运营商不同，但是两者同区域；若所述本地接入运营的所属区域与所述归属运营商的所属区域不同，且所述本地接入运营的运营商ID与所述归属运营商的运营商ID不同，则判断出所述本地接入运营商与所述归属运营商不同区域。

可选地，当步骤S3中判断出所述本地接入运营商与所述归属运营商不同，但是两者同区域时，则步骤S4具体包括：

步骤S401a、所述本地接入运营商将所述认证请求信息通过代理转发机制，基于共同协议，由预定义的端口将所述认证请求信息发送至所述归属运营商；

当步骤S3中判断出所述本地接入运营商与所述归属运营商不同区域时，

所述步骤S4具体包括：

步骤S401b、所述本地接入运营商将所述认证请求信息发送至其自身的所属区域的第一安全网关；

步骤S402b、所述第一安全网关按照国际数据短信格式对所述认证请求信息进行二次封装，并经过国际数据短信通道发送至所述归属运营商的所属区域的第二安全网关；

步骤S403b、所述第二安全网关将接收到的短信数据进行解封，并将解封后得到的所述认证请求信息发送安全域内的优先接入运营商；

步骤S404b、所述优先接入运营商根据所述认证请求信息中的所述手机号，获取所述归属运营商的运营商ID；

步骤S405b、所述优先接入运营商判断其自身的运营商ID与所述归属运营商的运营商ID是否相同；

若判断结果为否，则执行步骤S406；

步骤S406b、所述优先接入运营将所述归属运营商的运营商ID和所述认证请求信息反馈至所述第二安全网关；

步骤S407b、所述第二安全网关根据接收到的所述归属运营商的运营商ID将所述认证请求信息发送至所述归属运营商。

可选地，当步骤S3中判断出所述本地接入运营商与所述归属运营商不同，但是两者同区域时，则步骤S5包括：

步骤S501a、所述归属运营商根据所述认证请求信息中的身份信息对所述用户进行身份认证；

步骤S502a、所述归属运营商将认证结果反馈至所述本地接入运营商；

步骤S503a、所述本地接入运营商将所述认证结果反馈至所述服务提供商；

当步骤S3中判断出所述本地接入运营商与所述归属运营商不同区域时，则步骤S5包括；

步骤S501b、所述归属运营商根据所述认证请求信息中的身份信息对所述用户进行身份认证；

步骤S502b、所述归属运营商将认证结果反馈至所述第二安全网关；

步骤S503b、所述第二安全网关通过国际数据短信通道将所述认证结果反馈至所述第一安全网关；

步骤S504b、所述第一安全网关将所述认证结果反馈至所述本地接入运营商；

步骤S505b、所述本地接入运营商将所述认证结果反馈至所述服务提供商。

为实现上述目的，本发明还提供了一种用户接入系统，包括：

服务提供商，用于接收用户的接入请求信息，并将所述服务提供商将所述接入请求信息封装成认证请求信息，并将所述认证请求信息发送至所述服务提供商对应的本地接入运营商，其中，所述接入请求信息包括：请求信息和所述用户的身份信息；

所述本地接入运营商，用于根据所述认证请求信息中的所述身份信息，判断所述本地接入运营商是否为所述用户对应的归属运营商，并在判断出所述本地接入运营商为所述用户对应的归属运营商时，根据所述认证请求信息中的身份信息对所述用户进行身份认证，以及在判断出所述本地接入运营商不为所述用户对应的归属运营商时，将所述认证请求信息转发给所述归属运营商；

所述归属运营商，用于根据所述认证请求信息中的身份信息对所述用户进行身份认证，并将认证结果反馈给所述服务提供商；

所述服务提供商，还用于根据接收到的认证结果执行同意用户接入或拒绝用户接入的操作。

可选地，所述身份信息为所述用户的手机号。

可选地，所述本地接入运营商包括：

获取模块，用于根据ENUM电话号码映射协议识别出所述手机号第1～3位数字作为国家码，以获取所述归属运营商的所属区域；

查询模块，用于根据所述归属运营商的所属区域内运营商号码对应的码表识别出用户归属运营商对应的运营商ID；

判断模块，用于根据所述归属运营商的所属区域和运营商ID，判断所述本地接入运营商是否为所述用户对应的归属运营商；

其中，若所述本地接入运营的所属区域和运营商ID与所述归属运营商的所属区域和运营商ID均相同，则判断出所述本地接入运营商是所述用户对应的归属运营商；若所述本地接入运营的所属区域与所述归属运营商的所属区域相同，且所述本地接入运营的运营商ID与所述归属运营商的运营商ID不同，则判断出所述本地接入运营商与所述归属运营商不同，但是两者同区域；若所述本地接入运营的所属区域与所述归属运营商的所属区域不同，且所述本地接入运营的运营商ID与所述归属运营商的运营商ID不同，则判断出所述本地接入运营商与所述归属运营商不同区域。

可选地，所述本地接入运营商还包括：

第一发送模块，用于当所述判断模块判断出所述本地接入运营商与所述归属运营商不同，但是两者同区域时，将所述认证请求信息通过代理转发机制，基于共同协议，由预定义的端口将所述认证请求信息发送至所述归属运营商；

第二发送模块，用于当所述判断模块判断出所述本地接入运营商与所述归属运营商不同区域时，将所述认证请求信息发送至其自身的所属区域的第一安全网关；

所述用户接入系统还包括：

所述第一安全网关，用于按照国际数据短信格式对所述认证请求信息进行二次封装，并经过国际数据短信通道发送至所述归属运营商的所属区域的第二安全网关；

所述第二安全网关，用于将接收到的短信数据进行解封，并将解封后得到的所述认证请求信息发送安全域内的优先接入运营商；

所述优先接入运营商，用于根据所述认证请求信息中的所述手机号，获取所述归属运营商的运营商ID，并判断其自身的运营商ID与所述归属运营商的运营商ID是否相同；

其中，若判断结果为否，则所述优先接入运营将所述归属运营商的运营商ID和所述认证请求信息反馈至所述第二安全网关，所述第二安全网关根据接收到的所述归属运营商的运营商ID将所述认证请求信息发送至所述归属运营商。

可选地，当所述本地接入运营判断出本地接入运营商与归属运营商不同，但是两者同区域时，所述归属运营商还用于在根据所述认证请求信息中的所述身份信息对用户进行身份认证之后，将认证结果反馈至本地接入运营商；所述本地接入运营商还用于将认证结果反馈至服务提供商；

当本地接入运营判断出本地接入运营商与归属运营商不同区域时，所述归属运营商还用于在根据所述认证请求信息中的身份信息对用户进行身份认证之后，将认证结果反馈至所述第二安全网关，所述第二安全网关还用于通过国际数据短信通道将认证结果反馈至所述第一安全网关；所述第一安全网关还用将认证结果反馈至所述本地接入运营商；所述本地接入运营商还用于将认证结果反馈至所述服务提供商。

本发明具有以下有益效果：

本发明提供了一种用户接入方法和用户接入系统，包括：步骤S1、服务提供商接收用户的接入请求信息，接入请求信息包括：请求信息和用户的身份信息；步骤S2、服务提供商将接入请求信息封装成认证请求信息，并将认证请求信息发送至服务提供商对应的本地接入运营商；步骤S3、本地接入运营商根据认证请求信息中的身份信息，判断本地接入运营商是否为用户对应的归属运营商，若判断结果为否，则执行步骤S4，若判断结果为是，则执行步骤S5；步骤S4、本地接入运营商将认证请求信息转发给归属运营商；步骤S5、归属运营商根据认证请求信息中的身份信息对用户进行身份认证，并将认证结果反馈给服务提供商；步骤S6、服务提供商根据接收到的认证结果执行同意用户接入或拒绝用户接入。本发明的技术方案提供的用户接入方法具有较高的通用性，能够安全覆盖面向全球互联用户的所有类型的接入场景。

附图说明

图1为本发明实施例一提供的一种用户接入方法的流程图；

图2为本发明实施例二提供的一种用户接入系统的机构示意图。

具体实施方式

为使本领域的技术人员更好地理解本发明的技术方案，下面结合附图对本发明提供的一种用户接入方法和用户接入系统进行详细描述。

需要说明的是，在本发明中，面向全球互联的用户接入模型主要包括三类参与主体，用户(user)、运营商(Mobile Network Operator,简称MNO)和服务提供商(ServiceProvider,简称SP)。按照用户的接入SP的归属地以及接入请求发生地属性，面向全球互联的接入场景总共包括四类：(1)用户在本国访问本国SP；(2)用户在国外访问本国SP；(3)用户在国内访问外国SP；(4)用户在国外访问外国SP。

本发明提供的用户接入方法可满足上述四种场景下的安全接入。

实施例一

图1为本发明实施例一提供的一种用户接入方法的流程图，如图1所示，包括：

步骤S1、服务提供商接收用户的接入请求信息。

用户在访问服务提供商接时，需要向对应的服务提供商发送接入请求信息，其中该接入请求信息包括：请求信息(例如，请求时间)和用户的身份信息，其中，用户的身份信息为认证系统中用户身份的唯一标识，可选地，用户的身份信息为用户的手机号。

在本实施例中，将用户手机号码作为用户身份唯一标识，通过全球运营商之间的互联互通，实现全球用户与全球SP的安全接入，主要出于以下两方面对普适性、便携性以及安全性的考虑：

目前几乎全球大多数互联网用户均有至少一个手机号码，并且在全球大多数国家的手机号已经实现实名制管理，加之运营商大多受国家监管。因此以手机号作为用户身份标识相较于用户名方式监管性更强，相较于QQ、微博等第三方认证方式在全球范围内普适性更高。由此可见，以运营商作为全球互通的第三方认证平台，以手机号码作为用户接入凭证，既简化了用户对账户名的记忆流程，又保证了用户身份在全球范围内的可信度。

步骤S2、服务提供商将接入请求信息封装成认证请求信息，并将认证请求信息发送至服务提供商对应的本地接入运营商。

服务提供商将用户的接入请求、服务提供商的相关信息、本地接入运营商的相关信息等，封装成认证请求信息发送至服务提供商对应的本地接入运营商。该认证请求信息具体包括用户手机号、请求时间、业务ID、业务类型码、接入运营商ID等。其中，业务ID是指服务提供商对应的ID标识，业务类型码是指服务提供商对应的业务类型，接入运营商ID是指为服务提供商进行优先寻址的运营商，通常由服务提供商根据合作情况以及用户规模分布指定。

步骤S3、本地接入运营商根据认证请求信息中的身份信息，判断本地接入运营商是否为用户对应的归属运营商。

可选地，步骤S3包括：

步骤S301、本地接入运营商根据ENUM电话号码映射协议识别出手机号第1～3位数字作为国家码，以获取归属运营商的所属区域。

需要说明的是，全球运营商按地域划分为不同的安全域(即所属区域)，每个安全域内共享一个安全网关，负责对外域数据的过滤转发。

步骤S302、本地接入运营商根据归属运营商的所属区域内运营商号码对应的码表识别出用户归属运营商对应的运营商ID。

步骤S303、本地接入运营根据归属运营商的所属区域和运营商ID，判断本地接入运营商是否为用户对应的归属运营商。

在上述步骤S303中，具体可能出现三种情况，分别是：其一，本接入运营商与归属运营商相同；其二，本接入运营商与归属运营商相同不同，但同区域；其三，本接入运营商与归属运营商不同，且区域不同。

具体地，若本地接入运营的所属区域和运营商ID与归属运营商的所属区域和运营商ID均相同，则判断出本地接入运营商是用户对应的归属运营商；若本地接入运营的所属区域与归属运营商的所属区域相同，且本地接入运营的运营商ID与归属运营商的运营商ID不同，则判断出本地接入运营商与归属运营商不同，但是两者同区域；若本地接入运营的所属区域与归属运营商的所属区域不同，且本地接入运营的运营商ID与归属运营商的运营商ID不同，则判断出本地接入运营商与归属运营商不同区域。

在本发明中，考虑到号码信息属于运营商私有资源，原则上运营商间无法做到号码信息的共享，但是同一区域内关于号码归属运营商的规律还是相对明显的。同时，考虑到在寻址特别是跨域寻址过程中对手机号码全位数寻址的工作量大且无意义，因此，本发明将整个基于手机号的寻址过程设计为区域寻址以及运营商归属寻址两个步骤。首先，根据国际通用的ENUM(E.164Number URI Mapping)电话号码映射协议识别出手机号第1～3位数字作为国家码以判定认证请求中用户所对应的归属运营商的所属区域。然后，根据归属运营商的所属区域内运营商号码对应的码表识别出该归属运营商对应的运营商ID。例如，“+86”属于中国区域(区域寻址)，以“186”、“185”、“130”开头号码为联通，以“135”至“138”开头的号码为移动，以“189”、“180”开头的号码为电信(运营商归属寻址)。

在步骤S3中，当判断出本接入运营商与归属运营商相同时，则执行步骤S5；当判断出本接入运营商与归属运营商不同时，则执行步骤S4。

步骤S4、本地接入运营商将认证请求信息转发给归属运营商。

当步骤S3中判断出本地接入运营商与归属运营商不同，但是两者同区域时，则步骤S4具体包括：

步骤S401a、本地接入运营商将认证请求信息通过代理转发机制，基于共同协议，由预定义的端口将认证请求信息发送至归属运营商。

本实施例中可选地，同归属区域中的不同运营商之间的通信协议采用OAuth2.0协议。

当步骤S3中判断出本地接入运营商与归属运营商不同，且区域不同时，步骤S4具体包括：

步骤S401b、本地接入运营商将认证请求信息发送至其自身的所属区域的第一安全网关。

步骤S402b、第一安全网关按照国际数据短信格式对认证请求信息进行二次封装，并经过国际数据短信通道发送至归属运营商的所属区域的第二安全网关。

在本实施例中，运营商可以利用短信网关进行用户身份信息的传递，相较于开放的互联网环境，大大降低了用户信息泄露的风险

步骤S403b、第二安全网关将接收到的短信数据进行解封，并将解封后得到的认证请求信息发送安全域内的优先接入运营商。

其中，该优先接入运营商可以是随机指派的运营商，也可以根据用户规模指派的运营商。

步骤S404b、优先接入运营商根据认证请求信息中的手机号，获取归属运营商的运营商ID。

需要说明的是，在步骤S404b中优先接入运营商根据认证请求信息中的手机号获取归属运营商的运营商ID的过程，可采用上述步骤S301(区域寻址)和步骤S302中(运营商归属寻址)所示的过程，从而提升寻址速度。

步骤S405b、优先接入运营商判断其自身的运营商ID与归属运营商的运营商ID是否相同。

若判断结果为是，则说明优先接入运营商即为归属运营商，此时执行步骤S5。若判断结果为否，则说明优先接入运营商不为归属运营商，此时执行步骤S406b。

步骤S406b、优先接入运营将归属运营商的运营商ID和认证请求信息反馈至第二安全网关。

考虑服务提供商与跨域运营商之间缺少信任基础，为了安全性保障需要采用重定向机制进行交互。即优先接入运营判断出其自身不为归属运营商后，则会将归属运营商的运营商ID和认证请求信息反馈至第二安全网关。

步骤S407b、第二安全网关根据接收到的归属运营商的运营商ID将认证请求信息发送至归属运营商。

步骤S5、归属运营商根据认证请求信息中的身份信息对用户进行身份认证，并将认证结果反馈给服务提供商。

在步骤S5中，归属运营商可根据实际情况，例如用户终端类型、SP业务级别、用户级别、SIM卡品种等因素，提供不同类型认证服务。以基于SIM卡应用的认证为例，认证平台向终端卡应用下发数据短信，用户在手机弹窗中点击确认、输入PIN码、输入密码或者指纹识别等信息，如果输入信息SIM卡中存储的身份信息匹配即认证成功，否则可能出现各种类型的认证错误或者认证失败。

在本实施例中，可选地，认证结果的可包括如下几种情况：

00：认证成功。

01：认证失败。

02：用户ID不存在。

03：参数错误。

04：请求超时。

05：用户ID未开通。

06：系统标识不存在。

需要说明的是，认证结果包括上述7种不同状态的情况仅起到示例性作用，其不会对本发明的技术方案产生限制。本领域技术人员应该知晓的是，可根据实际需要对上述认证结果所包含的情况进行相应调整。

当步骤S3中判断出本地接入运营商与归属运营商相同时，归属运营商在对用户进行身份认证之后，直接将认证结果反馈给服务提供商。

当步骤S3中判断出本地接入运营商与归属运营商不同，但是两者同区域时，则步骤S5具体包括：

步骤S501a、归属运营商根据认证请求信息中的身份信息对用户进行身份认证。

需要说明的是，在现有技术中，利用运营商的卡号资源已经开发了非常成熟且安全级别很高的认证系统，如短信验证码、SIM卡弹窗认证、USSID等，并且结合终端技术可以开展各种多类型的认证方式，包括指纹认证、人脸认证等。从而可以提供多类型的认证方式，对认证安全性和便携性进行权衡。具体验证过程，此处不再详细描述。

步骤S502a、归属运营商将认证结果反馈至本地接入运营商。

步骤S503a、本地接入运营商将认证结果反馈至服务提供商。

由上述步骤S501a～步骤S503a可见，本地接入运营商与归属运营商不同且两者同区域时，归属运营商的回传路径即为：归属运营商→本接入运营商→服务提供商。

当步骤S3中判断出本地接入运营商与归属运营商不同区域时，则步骤S5包括：

步骤S501b、归属运营商根据认证请求信息中的身份信息对用户进行身份认证。

步骤S502b、归属运营商将认证结果反馈至第二安全网关。

步骤S503b、第二安全网关通过国际数据短信通道将认证结果反馈至第一安全网关。

步骤S504b、第一安全网关将认证结果反馈至本地接入运营商。

步骤S505b、本地接入运营商将认证结果反馈至服务提供商。

由上述步骤S501b～步骤S505b可见，本地接入运营商与归属运营商不同且两者不同区域时，归属运营商的回传路径即为：归属运营商→第二安全网关→第一安全网关→本接入运营商→服务提供商。

步骤S6、服务提供商根据接收到的认证结果执行同意用户接入或拒绝用户接入。

以上述认证结果包括上述7种不同状态的情况为例。

当认证结果为“认证成功”时，则用户身份真实且可信，用户可以访问业务平台(服务提供商的业务平台)。

当认证结果为“认证失败”时，则业务平台提示用户登录失败，可重新发送请求。

当认证结果为“用户ID不存在”时，则业务平台提示用户ID错误，拒绝用户接入。

当认证结果为“参数错误”时，则业务平台修改参数后重新提交验证请求，拒绝用户接入。

当认证结果为“请求超时”时，则认证过程中用户端在指定时限内未做出应有反应，业务平台拒绝用户接入。

当认证结果为“用户ID未开通”时，则归属运营商中没有用户信息，业务平台拒绝用户接入。

当认证结果为“系统标识不存在”时，则归属运营商中没有该业务平台信息，业务平台拒绝用户接入。

本实施例中以手机号码作为用户身份唯一标识，在全球范围内具有很高的普适性，并且运营商受到国家部门的监管，既简化了用户接入流程，又保证了用户身份在全球范围内的可信度。与此同时，利用SIM卡能力以及终端技术提供多类型高安全级别认证服务，认证安全性和便捷性得到有效保障。另外，用户关键信息通过短信网关传递，相较于开放的互联网环境，大大降低了用户信息泄露的风险。

本发明将全球运营商按地域划分为不同的安全域，每个安全域内共享一个安全网关负责对外域数据的过滤转发，在处理同域内运营商间的认证交互采用代理转发机制，跨域间的交互采用的重定向的机制。两种机制的配合，在尽可能保证安全性和便捷性的前提下实现了全球运营商之间的互联互通，从而覆盖了所有类型面向全球互联的用户接入场景。并且服务提供商只与最可信的接入运营商单点式交互，减少了服务提供商接口开发的成本，更方便对接入控制的一点式管理。

需要补充说明的是，本实施例中将用户的手机号作为用户的身份信息的情况为本发明的优选实施方式，其不会对本发明的技术方案产生限制。本领域技术人员应该知晓的是，但凡能够作为用户身份的唯一标识的信息均可作为身份信息，例如：用户的邮箱号、用户的身份证ID(例如：美国的社会安全号码、中国的居民身份证号)、自定义的身份ID。

当采用用户的邮箱号作为身份信息时，本地接入运营商可先根据邮箱号的后缀以获取归属运营商的所属区域(例如：163.com、126.com、xxx.cn所属区域为中国，netzero.net、cs.com均所属区域为美国)，若该邮箱号对应的归属运营商与本地接入运营商属于相同区域，则本地接入运营商根据预先设置好的邮箱号-运营商ID对应对应表查询出该邮箱号对应的归属运营商的运营商ID，并将认证请求信息发送给归属运营商以进行认证。若该邮箱号对应的归属运营商与本地接入运营商属于不同区域，则本地接入运营商将认证请求信息发送给对应区域中的优先接入运营商，并由优先接入运营商确认邮箱号对应的归属运营商的运营商ID，同时将认证请求信息发送给归属运营商以进行认证。需要说明的是，在采用邮箱号作为身份信息时，需要用户预先将邮箱号在相应的运营商处进行注册，且各区域的优先接入运营商(本地接入运营商)存储有所属区域内邮箱号与运营商ID的对应关系表。

当采用用户的身份证ID作为身份信息，则本地接入运营商通过号码的位数和形式可以识别出所属的国家，然后转入所属区域的本地接入运营商，本地接入运营商根据预先设置好的身份证ID-运营商ID对应关系表查询出归属运营商的运营商ID，并将认证请求信息发送给归属运营商以进行认证。

当采用用户自定义的身份ID作为身份信息时，需要用户在向服务提供商输入身份信息时自己选择归属运营商，例如，可以做个二级菜单，选择归属运营商的区域，然后选择运营商名称。这样用户可以用自定义的身份ID登录，服务提供商和本地接入运营商会把认证请求信息转发至归属运营商(用户需提前在归属运营商处对身份ID进行了注册)，归属运营商基于接收到的身份ID可对用户进行认证。

在本实施例中，用户的身份信息可由服务提供商自动获取，也可由用户自行输入。此外，对于其他可适用的身份信息，此处不再一一举例说明。

实施例二

图2为本发明实施例二提供的一种用户接入系统的机构示意图，如图2所示，该用户接入系统用于实现上述实施例一中的用户接入方法，该用户接入系统包括：

服务提供商，用于接收用户的接入请求信息，并将服务提供商将接入请求信息封装成认证请求信息，并将认证请求信息发送至服务提供商对应的本地接入运营商，其中，接入请求信息包括：请求信息和用户的身份信息。

本地接入运营商，用于根据认证请求信息中的身份信息，判断本地接入运营商是否为用户对应的归属运营商，并在判断出本地接入运营商为用户对应的归属运营商时，根据认证请求信息中的身份信息对用户进行身份认证，以及在判断出本地接入运营商不为用户对应的归属运营商时，将认证请求信息转发给归属运营商。

归属运营商，用于根据认证请求信息中的身份信息对用户进行身份认证，并将认证结果反馈给服务提供商。

服务提供商，还用于根据接收到的认证结果执行同意用户接入或拒绝用户接入。

可选地，身份信息为用户的手机号。

需要说明的是，本实施例中的服务提供商用于执行上述实施例一中的步骤S1、步骤S2和步骤S6，本实施例中的本地接入运营商用于执行上述实施例3和步骤S4，归属运营商用于执行上述实施例一中的步骤S5，具体内容可参见上述实施例一中的描述，此处不再赘述。

此外，附图中本地接入运营商与归属运营商为两个独立结构的情况，仅起到示例性作用，本领域技术人员应该知晓的是，本实施例中本地接入运营商和归属运营商也可能为同一运营商。

可选地，本地接入运营商包括：获取模块、查询模块和判断模块。

其中，获取模块用于根据ENUM电话号码映射协议识别出手机号第1～3位数字作为国家码，以获取归属运营商的所属区域；

查询模块，用于根据归属运营商的所属区域内运营商号码对应的码表识别出用户归属运营商对应的运营商ID；

判断模块用于根据归属运营商的所属区域和运营商ID，判断本地接入运营商是否为用户对应的归属运营商；其中，若本地接入运营的所属区域和运营商ID与归属运营商的所属区域和运营商ID均相同，则判断出本地接入运营商是用户对应的归属运营商；若本地接入运营的所属区域与归属运营商的所属区域相同，且本地接入运营的运营商ID与归属运营商的运营商ID不同，则判断出本地接入运营商与归属运营商不同，但是两者同区域；若本地接入运营的所属区域与归属运营商的所属区域不同，且本地接入运营的运营商ID与归属运营商的运营商ID不同，则判断出本地接入运营商与归属运营商不同区域。

进一步可选地，本地接入运营商还包括：第一发送模块和第二发送模块。

其中，第一发送模块用于当判断模块判断出本地接入运营商与归属运营商不同，但是两者同区域时，将认证请求信息通过代理转发机制，基于共同协议，由预定义的端口将认证请求信息发送至归属运营商。

第二发送模块用于当判断模块判断出本地接入运营商与归属运营商不同区域时，将认证请求信息发送至其自身的所属区域的第一安全网关。

用户接入系统还包括：第一安全网关和第二安全网关。

其中，第一安全网关，用于按照国际数据短信格式对认证请求信息进行二次封装，并经过国际数据短信通道发送至归属运营商的所属区域的第二安全网关。

第二安全网关，用于将接收到的短信数据进行解封，并将解封后得到的认证请求信息发送安全域内的优先接入运营商。

优先接入运营商，用于根据认证请求信息中的手机号，获取归属运营商的运营商ID，并判断其自身的运营商ID与归属运营商的运营商ID是否相同；其中，若判断结果为否，则优先接入运营将归属运营商的运营商ID和认证请求信息反馈至第二安全网关，第二安全网关根据接收到的归属运营商的运营商ID将认证请求信息发送至归属运营商。

需要说明的是，附图中优先接入运营商与归属运营商为两个独立结构的情况，仅起到示例性作用，本领域技术人员应该知晓的是，本实施例中优先接入运营商和归属运营商也可能为同一运营商。

此外，本实施例中的本地接入运营商、优先接入运营商和归属运营商具有相同的结构。

本实施例中的获取模块用于执行上述实施例一中的步骤S301，本实施例中的查询模块用于执行上述实施例一中的步骤S302，本实施例中的判断模块用于执行上述实施例一中的步骤S303，第一发送模块用于执行上述实施例一中的步骤S401a，第二发送模块用于执行上述实施例一中的步骤S401b，第一安全网关用于执行上述实施例一中的步骤S402b，第二安全网关用于执行上述实施例一中的步骤S403b，具体内容可参见上述实施例一中的描述，此处不再赘述。

在本实施例中，当本地接入运营判断出本地接入运营商与归属运营商不同，但是两者同区域时，则在归属运营商根据认证请求信息中的身份信息对用户进行身份认证之后，归属运营商还用于将认证结果反馈至本地接入运营商。本地接入运营商还用于将认证结果反馈至服务提供商。

在本实施例中，当本地接入运营判断出本地接入运营商与归属运营商不同区域时，则在归属运营商根据认证请求信息中的身份信息对用户进行身份认证之后，归属运营商还用于将认证结果反馈至第二安全网关，第二安全网关还用于通过国际数据短信通道将认证结果反馈至第一安全网关，第一安全网关还用将认证结果反馈至本地接入运营商，本地接入运营商还用于将认证结果反馈至服务提供商。

上述归属运营商将认证结果反馈至服务提供商的过程，可参见上述实施例一中对步骤S502a～步骤S503a，以及步骤S502b～步骤S505b的相应描述，此处不再赘述。

可以理解的是，以上实施方式仅仅是为了说明本发明的原理而采用的示例性实施方式，然而本发明并不局限于此。对于本领域内的普通技术人员而言，在不脱离本发明的精神和实质的情况下，可以做出各种变型和改进，这些变型和改进也视为本发明的保护范围。