电信鉴权

电信增值业务运营中的认证鉴权控制方案研究[图]

( 2011/12/26 10:41 )

摘要：通过归纳现有运营商增值业务运营的特点，对认证、鉴权、控制方案进行具体的分析和阐述，为电信运营商相关系统建设及业务运营提供指导。

0 前言

近年来，在国际信息产业发展迅猛的大背景下，国内电信运营商在增值业务方面也有了长足的发展。按照工信部的相关统计，2009年中国移动增值业务收入占营运收入的比重为29.1%，达到1311亿元；中国电信增值服务收入占经营收入的比重为10.3%，达到215.33亿元；中国联通GSM增值业务收入占GSM通信服务收入比重为27.3%，达到186.3亿元。2010 年，移动增值业务市场规模超过2000亿；2011年，移动增值业务市场规模将超过2200亿元，年增长率差超过10%。

国内电信运营商在进行增值业务运营过程中，建设了大量的业务平台，如短信网关、短信互通网关、彩信网关、WAP系统、流媒体、Java下载、IVR系统、定位、应用商店等等。在通过这些平台向用户提供增值服务的过程中，包括用户、业务及产品认证、鉴权、计费等在内的服务策略管理一直是运营商关注的焦点。

在国际上，各标准化组织，如ITU、3GPP/3GPP2、OMA、Parlay等，基于研究重点不同，对业务平台的研究深度也不相同，对增值业务平台分别提出了不同的架构；但其共同的核心思想之一就是运营管理与能力提供的分离，认证、鉴权与控制则是运营管理的核心内容。在各国际组织的推动以及业务需求驱动下，电信运营商正将增值业务平台从垂直独立、条块部署模式，转向统一支撑管理的部署模式。

另一方面，在当前技术革新加速、各种产业面临融合的形势下，电信运营商不但需要应对传统电信行业内的竞争，也日益面临互联网厂商、广电、终端厂商等其他行业的竞争，面临管道化的风险。电信运营商在增值业务运营中，如何构筑合理有效的运营控制平台、整合内部服务资源至为重要，而理顺认证、鉴权等控制流程将是提高运营商核心竞争力的关键环节。

本文结合国内电信运营商增值业务运营的实际，对其中的认证、鉴权、控制方案进行具体阐述。

1 需求分析

经过多年的建设，电信运营商已经普遍建成了一定规模的增值业务系统，原有业务系统的建设基本上都采用垂直体系结构。随着业务深入发展，新业务不断涌现，逐渐暴露出一些问题，并影响业务的进一步发展。统一的增值业务认证、鉴权、控制方案需要解决以下迫切问题。

a)增值系统条块分割，综合管理成本高。

b)业务开发与上线时间长。现有各业务系统自成体系，用户管理、定购关系管理、预付费接口分别实现，导致每新开发一种增值产品，都需要和BOSS、智能网等进行协调接口。

c)用户管理分散。现有增值业务的用户管理分散在各业务系统中，用户业务定制信息与账务信息分离，难以形成统一的客户视图，以开展针对性强的组合营销。

d)组合业务实现困难。现有各业务的实现流程相互独立，很难实现多业务的组合。

e)缺乏统一客服支持与展现。增值业务种类众多，但缺乏针对客服的统一支持，客服及营销人员难以统一获取、展示用户定购的业务资料并进行必要操作；用户难以从统一界面全面了解运营商业务。

f)业务计费分散。各业务单独计费，难以实现产品的组合销售。

鉴于以上原因，急需探索增值业务认证、鉴权、控制、管理的基本技术和业务管理模式，加强对增值业务的运营支撑。

2 认证鉴权控制方案分析

2.1 总体定位

在移动网架构中，设置了HLR等对移动网通信能力进行控制的网元。增值业务认证鉴权控制系统的设置，将形成增值业务网中的HLR，可以通过在其上设置参数，简便地实现各增值服务能力的开通、暂停、关闭，真正实现增值服务的模块化、产品化，提升用户感受，为增值业务的运营提供基本保障。

增值业务认证鉴权控制系统负责增值业务处理中公共的鉴权与数据管理。通过提取各业务运营中的认证、鉴权共性特点，形成统一接口与增值业务系统互联，负责业务运营中的核心控制；同时负责增值生产类数据的保存，负责BOSS支撑系统、业务系统、CP/SP间数据的传递。

认证鉴权控制系统总体定位如图1所示。

2.2 系统功能

由于各种增值业务的运营、业务逻辑千差万别，为减少认证鉴权控制系统与具体增值业务及平台的耦合度，保证认证鉴权控制系统的稳定性、可实现性，需要抽象出其中共性的、和具体业务无关的鉴权、控制特性，并由此形成认证鉴权控制系统的核心功能(用户认证、用户鉴权、CP/SP状态鉴权、业务鉴权、定购关系鉴权、付费属性鉴权等)，实现增值业务的统一控制。

2.2.1 认证

认证功能负责完成增值业务运营中的身份合法性验证功能，其主要包括对用户身份、CP/SP合法身份的认证。

用户认证指的是对用户身份信息、状态信息、签约属性信息等的认证。

CP/SP的认证通过CP/SP接入号、IP地址、用户名、密码、端口、URL等综合认证。

2.2.1.1 用户身份认证

用户身份认证的目的在于对用户的身份进行确认、验证。针对不同接入方式的增值业务用户，针对用户的认证要求也不同。

对于移动增值用户来说，由于在接入电信运营商无线网络时已经采用了多重身份认证机制，从而保证了到达增值业务平台的用户身份本身都是可信的。因此在移动增值业务运营过程中，需要处理的主要是针对用户身份的保密处理。包括用户使用业务时，如果在增值业务平台、CP/SP之间传递的用户信息通过伪码来传递，而不是真实的手机号码时，认证鉴权系统需要支持用户伪码的生成、加密、解码与传递。使用伪码的目的是对CP/SP等外部系统屏蔽用户的手机号，根据业务信息确定是否使用伪码。认证鉴权控制系统在用户认证通过后，完成伪码与手机号的转换，在鉴权应答消息中返回给业务系统。

对于宽带用户来说，认证鉴权系统需要根据用户访问的IP地址对用户身份进行反查；或对用户访问业务时输入的用户账号信息进行验证。其中反查与验证工作均需借助于宽带接入认证系统(AAA)实现。

宽带用户IP反查流程如图2所示。