CN102938757A - 共享网络中用户数据的方法和身份提供服务器 - Google Patents
共享网络中用户数据的方法和身份提供服务器 Download PDFInfo
- Publication number
- CN102938757A CN102938757A CN2011102331109A CN201110233110A CN102938757A CN 102938757 A CN102938757 A CN 102938757A CN 2011102331109 A CN2011102331109 A CN 2011102331109A CN 201110233110 A CN201110233110 A CN 201110233110A CN 102938757 A CN102938757 A CN 102938757A
- Authority
- CN
- China
- Prior art keywords
- server
- identity
- user
- service providing
- providing server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/18—Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
Landscapes
- Engineering & Computer Science (AREA)
- Databases & Information Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明提供了一种共享网络中用户数据的方法、业务提供服务器、身份提供服务器和用户设备,其中,所述网络包括身份提供服务器和资源服务器(RS),该方法包括:业务提供服务器接收用户设备(UE)的访问;所述业务提供服务器从所述RS直接或间接地获取用户授权的用户共享数据。上述共享网络中用户数据的方法、业务提供服务器、身份提供服务器和用户设备,使得业务提供服务器安全地共享电信运营商的用户数据。
Description
技术领域
本发明涉及通讯领域和互联网领域,尤其涉及一种共享网络中用户数据的方法、业务提供服务器、身份提供服务器和用户设备。
背景技术
随着网络的普及和信息技术的发展,人们越来越多地在网络空间中开展业务活动,如网上购物、网络电话、电子邮件、博客、即时通讯等。通常,由电信运营商和业务提供商向用户提供服务,其***运营商拥有通讯网络的基础设施,为用户提供丰富的接入方式,如非对称数字用户线路(Asymmetric Digital Subscriber Line,ADSL)接入、第三代(The ThirdGeneration,3G)移动通信接入、无线局域网(Wireless Local Area Network,WLAN)接入、以太网接入等等;业务提供商向用户提供丰富的业务,如传统门户网站、电子商务、网络通信、网上银行和社交网络等。
互联网上业务提供商规模不一,有些虽然可以提供创新的业务,但是用户数量发展较慢,用户数通常成为业务发展的瓶颈。近年来,互联网上出现了一类提供身份服务的供应商,称为身份提供商(Identity Provider,身份提供服务器)。身份提供商提供的身份提供服务器通常具有比较庞大的用户资源,可以为其他用户或业务供应商提供身份验证等服务。电信运营商的用户数巨大,具备了天然的身份提供服务器的能力,但是与开放的互联网相比,电信网络相对封闭,业务种类单一。为了增强电信运营商的竞争能力,而不是仅仅为业务提供商提供管道,电信运营商有必要成为业务价值链的一部分:作为身份提供服务器提供身份服务、共享用户信息、提供可信的安全服务、提供移动支付能力等;业务提供商可以尽量重用电信运营商提供的各种能力,专注于核心竞争力的业务;对用户来说,可以享受无缝的业务体验并提升安全和个人隐私。
在现有的技术中,IP多媒体子***(IP Multimedia System,IMS)中应用服务器(Application Server,AS)可以直接访问归属用户服务器(HomeSubscriber Server,HSS)中用户的签约数据。用户通过修改签约信息决定共享哪些数据。对于互联网上业务提供商来说,其数量众多,而且新的业务提供商不断出现,事先很难定义签约数据。因此这种方案存在可扩展性问题。此外,对于第三方AS来说,根据信任关系来保证从HSS中获取用户签约数据,但是目前不能灵活地控制AS对用户签约数据的访问。
在目前的身份管理(Identity Management,IdM)中,涉及到三个角色:用户、业务提供商和身份提供服务器,目前的解决方案主要是解决单点登录问题,如开放身份(OpenID),自由联盟(Liberty Alliance),卡片空间(CardSpace),通用认证架构(Generic Authentication Architecture,GAA)和Kerberos模型等,这些方案对用户身份的定义并不统一,各自独立完成。身份的多样性给用户使用互联网的业务还是带来不便。
开放授权(Open Authorization,OAuth)解决互联网中用户资源数据的授权访问的协议,对于用户没有采用统一的方式进行标识,没有定义如何与电信运营商的资源一起来使用。
目前的网络中,用户的身份用于网络层对用户的识别,也可以用于业务提供商对用户的识别,为用户提供了一个统一的身份。但是目前还缺乏有效的方法实现业务提供商的业务提供服务器安全地共享电信运营商的用户数据,这也限制新业务的开展。
发明内容
本发明提供了一种共享网络中用户数据的方法、业务提供服务器、身份提供服务器和用户设备,以解决现有的业务提供服务器无法安全地共享电信运营商的用户数据的问题。
本发明提供了一种共享网络中用户数据的方法,该方法包括:
所述网络包括身份提供服务器和资源服务器(RS),该方法包括:
业务提供服务器接收用户设备(UE)的访问;
所述业务提供服务器从所述RS直接或间接地获取用户授权的用户共享数据。
优选地,所述业务提供服务器接收UE的访问之前,所述方法还包括:
所述业务提供服务器直接或间接地完成对所述UE的业务接入认证。
优选地,所述业务提供服务器直接地完成对UE的业务接入认证包括:
所述业务提供服务器从所述身份提供服务器获得用户安全参数,根据所述用户安全参数完成对所述UE的业务接入认证。
优选地,所述业务提供服务器间接地完成对UE的业务接入认证包括:
所述业务提供服务器从所述身份提供服务器获得所述身份提供服务器对所述UE的业务接入认证结果。
优选地,所述用户安全参数是所述身份提供服务器根据所述网络对所述UE的接入认证结果获得的。
优选地,所述业务接入认证结果是所述身份提供服务器根据所述网络对所述UE的接入认证结果完成的。
优选地,所述业务提供服务器从所述RS直接地获取用户授权的用户共享数据包括:
所述业务提供服务器从所述身份提供服务器获取令牌,根据所述令牌从所述RS直接地获取用户授权的用户共享数据。
优选地,所述业务提供服务器从所述RS间接地获取用户授权的用户共享数据包括:
所述业务提供服务器通过所述身份提供服务器获取用户授权的用户共享数据。
本发明还提供了一种业务提供服务器,该业务提供服务器包括:
接收模块,用于接收用户设备(UE)的访问;
获取模块,用于从资源服务器(RS)直接或间接地获取用户授权的用户共享数据。
优选地,所述业务提供服务器还包括:
业务接入认证模块,用于在所述接收模块接收UE的访问之前,直接或间接地完成对所述UE的业务接入认证。
优选地,所述业务接入认证模块,是用于从身份提供服务器获得用户安全参数,根据所述用户安全参数完成对所述UE的业务接入认证;或者,从所述身份提供服务器获得所述身份提供服务器对所述UE的业务认证结果。
优选地,所述用户安全参数是所述身份提供服务器根据所述网络对所述UE的接入认证结果获得的;或者
所述业务认证结果是所述身份提供服务器根据所述网络对所述UE的接入认证结果完成的。
优选地,所述获取模块,是用于从所述身份提供服务器获取令牌,根据所述令牌从所述RS直接地获取用户授权的用户共享数据;或者通过所述身份提供服务器获取用户授权的用户共享数据。
本发明还提供了一种身份提供服务器,该身份提供服务器包括:
网络接入认证模块,用于对用户设备(UE)接入网络进行认证,并获得用户安全参数;
业务接入认证模块,用于根据所述网络接入认证模块获得的用户安全参数完成对所述UE的业务接入认证,并将业务接入认证结果发送给业务提供服务器。
优选地,所述身份提供服务器还包括:
发送模块,用于将所述网络接入认证模块获得的用户安全参数发送给所述业务提供服务器。
优选地,所述用户安全参数包括会话密钥。
优选地,所述身份提供服务器还包括:
数据发送模块,用于在所述业务接入认证模块将业务接入认证结果或者所述发送模块将所述用户安全参数发送给业务提供服务器之后,接收所述业务提供服务器发送的数据请求,根据所述数据请求从资源服务器(RS)获得用户授权的用户共享数据,并将所述用户共享数据发送给所述业务提供服务器。
优选地,所述数据发送模块,还用于在所述业务接入认证模块将业务接入认证结果或者所述发送模块将所述用户安全参数发送给业务提供服务器之后,接收所述业务提供服务器发送的令牌请求,根据所述令牌请求向所述业务提供服务器发送令牌,以便所述业务提供服务器根据所述令牌从所述RS中获得用户授权的用户共享数据。
本发明还提供了一种用户设备(UE),该UE包括:
访问模块,用于访问业务提供服务器;
数据处理模块,用于接收身份提供服务器根据所述业务提供服务器发送的数据请求发送的用户数据授权请求,根据用户对该用户数据授权请求中携带的用户数据的授权结果,向所述身份提供服务器返回用户授权的用户共享数据。
优选地,所述访问模块,是用于所述UE采用标识成功接入网络并获得所述业务提供服务器的业务接入认证后,访问所述业务提供服务器。
上述共享网络中用户数据的方法、业务提供服务器、身份提供服务器和用户设备,使得业务提供服务器安全地共享电信运营商的用户数据。
附图说明
图1为本发明共享网络中用户数据的场景示意图;
图2为本发明共享网络中用户数据实施例一的架构示意图;
图3为本发明共享网络中用户数据实施例二的架构示意图;
图4为本发明共享网络中用户数据实施例一的信令流程图;
图5为本发明共享网络中用户数据实施例二的信令流程图;
图6为本发明共享网络中用户数据实施例三的信令流程图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下文中将结合附图对本发明的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
如图1所示,为本发明共享网络中用户数据的场景示意图,在该实施例中,社交网络安全地共享用户在网络中的数据,如联系人列表,该共享过程包括:
步骤10、用户100接入到网络102,通过了网络102的认证;
步骤12、用户100访问社交网站104;
步骤14、社交网站104没有用户100的身份信息,社交网站104根据配置信息找到网络102或利用动态发现协议找到网络102;
步骤16、网络102联系用户100,由用户100授权是否共享用户数据,如联系人列表;
步骤18、用户100授权共享的用户数据后,由网络102继续后面的处理;
步骤20、网络102向社交网络104返回用户100共享的信息,如联系人列表;
步骤22、用户106通过网络102访问社交网站104时,使用用户100共享的用户数据,如联系人列表。
如图2所示,为本发明共享网络中用户数据实施例一的架构示意图,网络通过接入服务节点(ASN,Access Serving Node)完成数据包的路由;用户设备(UE)200用ID来标识。在网络中,由身份提供服务器对用户设备200进行认证,支持从资源服务器(Resource Server,RS)206直接获取用户共享的数据,或通过身份提供服务器204获取用户共享的数据。所述的网络包括但不限于移动通信网络,标识网。所述UE 200与业务提供服务器208之间的认证是基于用户接入认证的结果。该架构中,网络不会把用户的安全凭证传递到业务提供服务器208,从而业务提供服务器208不能直接对用户设备200进行认证,需要通过UE 200和身份提供服务器204之间的接口完成对用户认证。
用户设备200指用户节点,如手机、个人电脑等;用户设备预先配置或从网络获取标识ID;用户设备拥有安全凭证,与网络预共享根密钥,或者设置数字证书。在移动通信网络中,用户设备的ID可以用国际移动用户识别码(IMSI)或移动用户综合业务数字网(MSISDN)来标识;在标识网中,用户设备的ID是接入标识符(Access Identifier,AID)。用户设备的能力包括但不限于:支持超文本传输协议(HTTP)摘要(Digest)认证协议;支持会话初始协议(SIP)Digest认证协议;支持扩展认证协议(ExtensibleAuthentication Protocol,EAP)和EAP认证方法;能够推导出新的密钥材料。
接入服务节点202位于网络的边界处,用于为用户设备200提供接入服务、维护终端与网络的连接,实现数据报文的路由和转发等功能,与身份提供服务器204配合完成对UE 200的接入认证。在移动通信网络中,接入服务节点是GPRS服务支持节点(Serving GPRS SUPPORT NODE,SGSN)和/或网关GPRS支持节点(Gateway GPRS Support Node,GGSN),在标识网中,接入服务节点是ASN。
身份提供服务器204在网络中是以用户身份ID为核心,负责创建、维护、管理用户的身份信息,提供用户身份验证服务。身份提供服务器204的能力包括但不限于:提供网络接入认证服务;提供业务接入认证服务;支持EAP的功能;能够从RS获取用户信息;具体实现时可以对认证中心的功能增强实现身份管理的功能,如支持Web功能、HTTP(Hypertext TransferProtocol,超文本传输协议)、HTTP摘要认证协议、安全断言标记语言(SecurityAssertion Markup Language,SAML)。
资源服务器(RS)206存储用户的安全信息,提供用户的属性数据和其他数据,如联系人列表、头像、照片、视频等。
业务提供服务器208向用户节点200提供业务,可以是Web类业务,如门户网站、电子商城,这类业务通常采用超文本传输标记语言(HTML)/HTTP;也可以是非Web类业务,如电子邮件,即时通信,这类业务通常基于传输层的协议,如传输控制协议(Transmission Control Protocol,TCP)。
下面对图2中各接口进行介绍:
接口A:位于UE 200和ASN 202之间,提供UE 200和ASN 202的双向认证,支持但不限于EAP协议;
接口B:位于ASN 202和身份提供服务器204之间,从身份提供服务器204传输主会话密钥到ASN 202;支持但不限于通过鉴别授权计费(AAA)协议传递EAP载荷;
接口C:位于身份提供服务器204和RS 206之间,身份提供服务器204通过C 214接口获取用户的安全信息以及其他用户数据。该接口的协议包括但不限于:支持Diameter协议。
接口D:位于UE 200和身份提供服务器204之间,支持用户的单点登录服务,支持安全共享数据。该接口的协议包括但不限于:支持HTTP Digest协议;支持SIP Digest协议;支持SAML协议。
接口E:位于UE 200和业务提供服务器208之间,UE 200通过该接口访问业务提供服务器208提供的业务,该接口的协议包括但不限于:支持HTTP协议;支持传输层协议,如TCP;支持SAML协议;支持Diameter协议;支持HTTPS协议。
接口F:位于身份提供服务器204和业务提供服务器208之间,提供单点登录服务,支持安全共享数据。该接口的协议包括但不限于:支持HTTP协议,支持AAA协议。
接口G:位于业务提供服务器208和RS 206之间,业务提供服务器208通过该接口获取用户相关数据。该接口的协议包括但不限于:支持Diameter协议。
如图3所示,为本发明共享网络中用户数据实施例二的架构示意图,该架构图与图2所示架构图的区别在于,本实施例中的架构图中,UE和身份提供服务器之间没有接口;但网络可以把用户安全信息(如标识,主会话密钥,密钥生命周期等)传递到业务提供服务器208,从而业务提供服务器208能直接对用户设备200进行认证。其中,所述UE 200与业务提供服务器208之间的认证所使用的用户安全信息是基于用户的网络接入认证的结果。
如图4所示,为本发明共享网络中用户数据实施例一的信令流程图,该流程图是基于图2所示架构完成的,在该实施例中,由身份提供服务器204对UE 200进行认证,业务提供服务器208从身份提供服务器204获取令牌,从RS 206直接获取用户共享的数据,身份提供服务器204和RS 206已经预先配置了用户数据共享的模板,具体共享哪些数据由用户来授权。
该流程进行的前提条件是UE 200和ASN202之间的链路已经建立,UE200已预先配置了用户的身份标识ID;该共享网络中用户数据过程包括:
步骤220、ASN 202发送身份请求至UE 200;
步骤222、UE 200发送响应至ASN 202,在响应中携带用户的身份ID;
步骤224、ASN 202发送所述响应报文至身份提供服务器204,所述报文携带用户身份ID;
步骤226、身份提供服务器204发送携带ID的报文至RS 206请求密钥材料;
步骤228、RS 206向身份提供服务器204返回密钥材料;
步骤230、UE 200和身份提供服务器204协商安全参数,包括双方支持的安全协议和会话密钥;
上述步骤220-230为网络对UE的接入认证过程;
步骤232、UE 200访问业务提供服务器208的业务,业务提供服务器208通过静态配置或动态发现身份提供服务器204的位置;
步骤234、业务提供服务器208发送重定向消息至UE 200,UE 200根据重定向消息头中身份提供服务器的地址把该消息发送至身份提供服务器204;
步骤236、身份提供服务器204向UE 200发送未授权消息;
步骤238、UE200向身份提供服务器204发送摘要认证消息,用ID作为用户名,会话密钥作为密码;
步骤240、身份提供服务器204收到摘要认证消息后验证用户的身份;
步骤242、身份提供服务器204向RS 206请求用户数据列表,该请求中携带用户的身份;
步骤244、RS 206向身份提供服务器204返回用户列表;
步骤246、身份提供服务器204通过向UE200发送用户数据的列表,请求用户授权;
步骤248、UE 200向身份提供服务器204返回用户授权结果;
步骤250、身份提供服务器204发送重定向消息至UE 200,UE 200根据消息头中的地址联系业务提供服务器208,所述消息包括索引和授权码;
步骤252、业务提供服务器208向身份提供服务器204请求访问令牌,所述请求中包含索引和授权码;
步骤254、身份提供服务器204向业务提供服务器208返回访问令牌,该令牌包含密钥、密钥生命周期等信息;
步骤256、业务提供服务器208从RS206中批量获取共享用户数据,RS206对这些数据进行安全保护,如机密性保护、完整性保护;业务提供服务器208收到这些用户数据后,用访问令牌读取这些受保护的数据;
步骤258、业务提供服务器208返回结果消息至UE 200。
下面以EAP、AAA、HTTP和SAML协议为例,对图4所示的安全共享网络中用户数据流程以应用示例的形式进行描述:
步骤220a、ASN 202发送EAP-Identity身份请求至UE 200;
步骤222a、UE 200发送EAP-Identity响应至ASN 202,在响应中携带用户的身份ID,其中EAP-Identity响应中Type-Data设置为ID;
步骤224a、ASN 202通过AAA协议发送EAP载荷(EAP-Payload)至身份提供服务器204。对于Diameter协议,采用Diameter-EAP-Request消息的EAP-Payload AVP(Attribute-Value Pair,属性-值对)来封装EAP-Identity载荷;对于远程用户拨号认证服务(RADIUS)协议,采用RADIUSAccess-Request消息的EAP-Message属性来封装EAP-Identity载荷;
步骤226a、身份提供服务器204通过Diameter协议发送ID至RS 206获取密钥材料,具体可采用多媒体授权请求(Multimedia-Auth-Request,MAR)携带ID;
步骤228a、RS 206通过Diameter协议向身份提供服务器204返回密钥材料,具体可采用多媒体授权应答(Multimedia-Auth-Answer,MAA)消息携带密钥材料,其中ID映射为用户名(User-Name)属性;
步骤230a、UE 200和身份提供服务器204协商安全参数:(1)协商EAP方法(Method),如EAP-认证和密钥协商(AKA),EAK-安全传输层协议(TLS)等,对于Diameter协议,采用Diameter-EAP-Request消息的EAP-Payload AVP(Attribute-Value Pair,属性-值对)来封装EAP-AKA,EAP-TLS等载荷;对于RADIUS协议,采用RADIUS Access-Challenge和Access-Accept封装EAP-AKA,EAP-TLS等载荷。(2)UE 200和身份提供服务器204协商MSK(Master Session Key,主会话密钥),对于Diameter协议,采用Diameter-EAP-Request消息的EAP-Master-Session-Key AVP来携带密钥材料;对于RADIUS协议,通过RADIUS Accept消息中VSA(Vendor业务提供服务器ecific Attribute,特定供应商属性)来携带MSK;
步骤232a、UE 200发送HTTP请求至业务提供服务器208,在业务提供服务器208上选择通过身份提供服务器204登录。在HTTP请求的头字段中带有身份提供服务器的URL(Uniform Resource Locator,统一资源定位符)地址,业务提供服务器208通过静态配置或动态发现身份提供服务器204的URL地址,所述请求消息中携带<lib:AuthnRequest>;
步骤234a、业务提供服务器208发送HTTP重定向消息至UE 200,UE200根据HTTP重定向消息头中身份提供服务器的URL地址把该消息发送至身份提供服务器204;
步骤236a、身份提供服务器204向UE 200发送HTTP 401未授权(Unauthorized)消息;
步骤238a、UE200向身份提供服务器204发送HTTP请求消息,用ID作为用户名,MSK作为密码,进行HTTP Digest认证;
步骤240a、身份提供服务器204收到HTTP摘要认证消息后,根据ID检查本地的ID/MSK,进行同样的HTTP Digest认证算法,计算的结果一致时,则验证通过;
步骤242a、身份提供服务器204通过Diameter协议发送ID至RS 206请求用户数据列表,采用Push-Profile-Request消息User Data属性来携带用户数据的列表,其中ID映射为User-Name属性;
步骤244a、RS 206通过Diameter协议向身份提供服务器204返回用户数据列表,采用Push-Profile-Answer消息User Data属性来携带用户数据的列表,其中ID映射为User-Name属性;
步骤246a、身份提供服务器204通过HTTPS发送用户数据的列表至UE200请求用户授权;
步骤248a、用户授权后由UE 200把用户授权数据列表返回至身份提供服务器204;
步骤250a、身份提供服务器204生成SAML Artifact(工件)和授权码,通过HTTPS把消息重定向至UE 200,UE 200根据消息头中的URL联系业务提供服务器208,其中SAML Artifact指向SAML协议消息的结构化数据对象,SAML Artifact比较小,可以嵌在HTTP消息中;
步骤252a、业务提供服务器208通过HTTPS发送HTTP GET请求至从身份提供服务器204,该消息中包含SAML Artifact和授权码;
步骤254a、身份提供服务器204通过HTTPS响应消息向业务提供服务器208返回访问令牌,该令牌包含密钥、密钥生命周期等信息;
步骤256a、业务提供服务器208通过Diameter协议从RS 206中批量获取共享用户数据,采用Diameter推送签约请求(Push-Profile-Request)/应答(Answer)消息User Data属性来批量获取用户共享的数据。RS 206对这些数据进行安全保护,如机密性保护、完整性保护;业务提供服务器208收到这些用户数据后,用访问令牌读取这些受保护的数据;
步骤258a、业务提供服务器返回HTTP 200OK消息至UE 200。
上述流程适用于ADSL、WLAN和以太网等支持EAP认证的接入。对于3G接入过程来说,采用AKA认证过程,认证过程结束后设置MSK=CK||IK。
身份位置分离网络支持与现有的终端和接入技术兼容,即不改变终端和接入网。在这种情况下,UE 200按照现有的方式接入网络,通过接入认证后,网络给用户设备分配接入标识ID,此时用户设备和网络共享会话密钥。后续的处理流程完全一致。
如图5所示,为本发明共享网络中用户数据实施例二的信令流程图,该实施例也是基于图2所示架构完成的,在该实施例中,由身份提供服务器204对UE 200进行认证,业务提供服务器208通过身份提供服务器204获取用户共享的数据,具体共享哪些数据由用户来授权,用户的真实身份信息可以不向业务提供服务器透露。
该流程进行的前提条件是UE 200和ASN 202之间的链路已经建立,UE200已预先配置了用户的身份标识ID或者由网络给用户分配ID;该共享网络中用户数据过程包括:
步骤302、UE 200通过了网络的接入认证,认证结束后UE 200与身份提供服务器204共享会话密钥;
步骤302具体可以包括图4中的步骤220-步骤230,此处不再赘述;
步骤304、UE 200访问业务提供服务器208的业务,业务提供服务器208通过静态配置或动态发现身份提供服务器204的位置;
步骤306、业务提供服务器208发送重定向消息至UE 200,UE 200根据重定向消息头中身份提供服务器的地址把该消息发送至身份提供服务器204;
步骤308、身份提供服务器204向UE 200发送未授权消息;
步骤310、UE200向身份提供服务器204发送摘要认证消息,用ID作为用户名,会话密钥作为密码;
步骤312、身份提供服务器204收到摘要认证消息后验证用户的身份;
步骤314、身份提供服务器204向业务提供服务器208发送重定向消息,所述消息包括索引;
步骤316、业务提供服务器208向身份提供服务器204发送请求以认证用户的身份,消息中包括索引;
步骤318、身份提供服务器204向业务提供服务器208返回认证结果;
步骤320、业务提供服务器208向身份提供服务器204请求用户共享数据,所述消息包括索引;
步骤322、身份提供服务器204向RS 208请求用户数据,所述请求包括用户ID;
步骤324、RS 206向身份提供服务器返回用户数据;
步骤326、身份提供服务器204发送请求至UE 200,请求用户授权数据;
步骤328、UE 200向身份提供服务器204返回用户授权的数据;
步骤330、身份提供服务器204向业务提供服务器208返回用户授权的数据;
步骤332、业务提供服务器208返回结果消息至UE 200。
下面以HTTP和SAML协议为例,对图5所示的安全共享网络中用户数据流程以应用示例的形式进行描述:
步骤302a、UE 200通过了网络的接入认证,认证结束后UE 200与身份提供服务器204共享会话密钥MSK;
步骤304a、UE 200发送HTTP请求至业务提供服务器208,在业务提供服务器208上选择通过身份提供服务器204登录。在HTTP请求的头字段中带有身份提供服务器的URL(Uniform Resource Locator,统一资源定位符)地址,业务提供服务器208通过静态配置或动态发现身份提供服务器204的URL地址,携带<lib:AuthnRequest>;
步骤306a、业务提供服务器208发送HTTP重定向消息至UE 200,UE200根据HTTP重定向消息头中身份提供服务器的URL地址把该消息发送至身份提供服务器204;
步骤308a、身份提供服务器204向UE 200发送HTTP 401 Unauthorized消息;
步骤310a、UE 200向身份提供服务器204发送HTTP请求消息,用ID作为用户名,MSK作为密码,进行HTTP Digest认证;
步骤312a、身份提供服务器204收到HTTP摘要认证消息后,根据ID检查本地的ID/MSK,进行同样的HTTP Digest认证算法,计算的结果一致时,则验证通过;
步骤314a、身份提供服务器204生成SAML Artifact,向业务提供服务器208发送HTTPS重定向消息,消息中携带SAML Artifact,其中SAMLArtifact指向SAML协议消息的结构化数据对象,SAML Artifact比较小,可以嵌在HTTP消息中;
步骤316a、业务提供服务器208收到SAML Artifact后,向身份提供服务器204发送HTTPS请求,消息中携带SAML Artifact;身份提供服务器204收到该消息后,构造SAML断言;
步骤318a、身份提供服务器204把SAML断言通过HTTPS返回给业务提供服务器208;
步骤320a、业务提供服务器208验证SAML断言的签名后,发送HTTPS请求至身份提供服务器204,请求共享用户数据,消息中携带SAML Artifact;
步骤322a、身份提供服务器204根据SAML Artifact,获取ID,通过Diameter Push-Profile-Request向RS206请求用户共享数据;
步骤324a、RS206向身份提供服务器204返回用户共享数据,通过Diameter Push-Profile-Answer消息User Data属性来携带用户数据;
步骤326a、身份提供服务器204发送HTTPS请求至UE 200,请求用户授权共享的数据;
步骤328a、用户授权共享的用户数据后,结果返回身份提供服务器204;
步骤330a、用户授权后,由身份提供服务器204向业务提供服务器208返回用户授权的数据;
步骤332a、业务提供服务器208返回HTTP 200OK消息至UE 200。
如图6所示,为本发明安全共享网络中用户数据实施例三的信令流程图,该流程图是基于图3所示架构完成的,在该实施例中,由身份提供服务器204对UE 200进行接入认证,业务提供服务器208验证用户身份,然后进行安全共享网络中用户数据过程。
该流程进行的前提条件是UE 200和ASN 202之间的链路已经建立,UE200已预先配置了用户的身份标识ID或者由网络给用户分配ID;该过程包括:
步骤402、UE 200通过了网络的接入认证,认证结束后UE 200与身份提供服务器204共享会话密钥;
步骤404、UE 200访问业务提供服务器208的业务,业务提供服务器208通过静态配置或动态发现身份提供服务器204的位置;
步骤406、业务提供服务器208向UE 200发送未授权消息;
步骤408、UE200向业务提供服务器208发送摘要认证消息,用ID作为用户名,会话密钥作为密码;
步骤410、业务提供服务器208向身份提供服务器204请求用户的安全参数;
步骤412、身份提供服务器204向业务提供服务器208返回用户的安全参数;
步骤414、业务提供服务器208验证用户的身份,所述验证过程根据收到的摘要认证消息和用户的安全参数;
步骤416、业务提供服务器208,RS 206,身份提供服务器204和UE 200进行安全共享网络中用户数据过程。
其中,安全共享数据的过程可以和图4中的步骤252-258相同,也可以和图5中的步骤320-332相同,此处不再赘述。
本发明还提供了一种业务提供服务器,该业务提供服务器包括:
接收模块,用于接收用户设备(UE)的访问;
获取模块,用于从资源服务器(RS)直接或间接地获取用户授权的用户共享数据。
另外,所述业务提供服务器还可以包括:业务接入认证模块,用于在所述接收模块接收UE的访问之前,直接或间接地完成对所述UE的业务接入认证。
具体地,所述业务接入认证模块,是用于从身份提供服务器获得用户安全参数,根据所述用户安全参数完成对所述UE的业务接入认证;或者,从所述身份提供服务器获得所述身份提供服务器对所述UE的业务认证结果。其中,所述用户安全参数是所述身份提供服务器根据所述网络对所述UE的接入认证结果获得的;所述业务认证结果是所述身份提供服务器根据所述网络对所述UE的接入认证结果完成的。
进一步地,所述获取模块,是用于从所述身份提供服务器获取令牌,根据所述令牌从所述RS直接地获取用户授权的用户共享数据;或者通过所述身份提供服务器获取用户授权的用户共享数据。
该业务提供服务器可以共享网络中用户授权的用户共享数据,具体实现过程可参见图4-图6,此处不再赘述。
本发明还提供了一种身份提供服务器,该身份提供服务器包括:
网络接入认证模块,用于对用户设备(UE)接入网络进行认证,并获得用户安全参数;
业务接入认证模块,用于根据所述网络接入认证模块获得的用户安全参数完成对所述UE的业务接入认证,并将业务接入认证结果发送给业务提供服务器。
其中,所述用户安全参数包括会话密钥。
另外,所述身份提供服务器还可以包括:发送模块,用于将所述网络接入认证模块获得的用户安全参数发送给所述业务提供服务器。
进一步地,所述身份提供服务器还可以包括:数据发送模块,用于在所述业务接入认证模块将业务接入认证结果或者所述发送模块将所述用户安全参数发送给业务提供服务器之后,接收所述业务提供服务器发送的数据请求,根据所述数据请求从资源服务器(RS)获得用户授权的用户共享数据,并将所述用户共享数据发送给所述业务提供服务器。所述数据发送模块,还用于在所述业务接入认证模块将业务接入认证结果或者所述发送模块将所述用户安全参数发送给业务提供服务器之后,接收所述业务提供服务器发送的令牌请求,根据所述令牌请求向所述业务提供服务器发送令牌,以便所述业务提供服务器根据所述令牌从所述RS中获得用户授权的用户共享数据。
该身份提供服务器为实现UE访问业务提供服务器奠定了基础,同时,也为业务提供服务器提供用户授权的用户共享数据,或者,为业务提供服务器提供令牌,使得业务提供服务器根据令牌可以获得用户授权的用户共享数据。
本发明还提供了一种用户设备(UE),该UE包括:
访问模块,用于访问业务提供服务器;
数据处理模块,用于接收身份提供服务器根据所述业务提供服务器发送的数据请求发送的用户数据授权请求,根据用户对该用户数据授权请求中携带的用户数据的授权结果,向所述身份提供服务器返回用户授权的用户共享数据。
具体地,所述访问模块,是用于所述UE采用标识成功接入网络并获得所述业务提供服务器的业务接入认证后,访问所述业务提供服务器。
该UE可以在成功地接入网络并获得业务提供服务器的业务接入认证后,访问业务提供服务器,并由自己授权业务提供服务器可以共享网络中的哪些数据,然后业务提供服务器可以共享网络中用户通过UE授权的用户共享数据,具体交互过程可参见图4-图6。
本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成,上述程序可以存储于计算机可读存储介质中,如只读存储器、磁盘或光盘等。可选地,上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现。相应地,上述实施例中的各模块/单元可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。本发明不限制于任何特定形式的硬件和软件的结合。
以上实施例仅用以说明本发明的技术方案而非限制,仅仅参照较佳实施例对本发明进行了详细说明。本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明技术方案的精神和范围,均应涵盖在本发明的权利要求范围当中。
Claims (20)
1.一种共享网络中用户数据的方法,所述网络包括身份提供服务器和资源服务器(RS),该方法包括:
业务提供服务器接收用户设备(UE)的访问;
所述业务提供服务器从所述RS直接或间接地获取用户授权的用户共享数据。
2.根据权利要求1所述的方法,其特征在于:
所述业务提供服务器接收UE的访问之前,所述方法还包括:
所述业务提供服务器直接或间接地完成对所述UE的业务接入认证。
3.根据权利要求2所述的方法,其特征在于:
所述业务提供服务器直接地完成对UE的业务接入认证包括:
所述业务提供服务器从所述身份提供服务器获得用户安全参数,根据所述用户安全参数完成对所述UE的业务接入认证。
4.根据权利要求2所述的方法,其特征在于:
所述业务提供服务器间接地完成对UE的业务接入认证包括:
所述业务提供服务器从所述身份提供服务器获得所述身份提供服务器对所述UE的业务接入认证结果。
5.根据权利要求3所述的方法,其特征在于:
所述用户安全参数是所述身份提供服务器根据所述网络对所述UE的接入认证结果获得的。
6.根据权利要求4所述的方法,其特征在于:
所述业务接入认证结果是所述身份提供服务器根据所述网络对所述UE的接入认证结果完成的。
7.根据权利要求1-6任一权利要求所述的方法,其特征在于:
所述业务提供服务器从所述RS直接地获取用户授权的用户共享数据包括:
所述业务提供服务器从所述身份提供服务器获取令牌,根据所述令牌从所述RS直接地获取用户授权的用户共享数据。
8.根据权利要求1-6任一权利要求所述的方法,其特征在于:
所述业务提供服务器从所述RS间接地获取用户授权的用户共享数据包括:
所述业务提供服务器通过所述身份提供服务器获取用户授权的用户共享数据。
9.一种业务提供服务器,该业务提供服务器包括:
接收模块,用于接收用户设备(UE)的访问;
获取模块,用于从资源服务器(RS)直接或间接地获取用户授权的用户共享数据。
10.根据权利要求9所述的业务提供服务器,其特征在于,所述业务提供服务器还包括:
业务接入认证模块,用于在所述接收模块接收UE的访问之前,直接或间接地完成对所述UE的业务接入认证。
11.根据权利要求10所述的业务提供服务器,其特征在于:
所述业务接入认证模块,是用于从身份提供服务器获得用户安全参数,根据所述用户安全参数完成对所述UE的业务接入认证;或者,从所述身份提供服务器获得所述身份提供服务器对所述UE的业务认证结果。
12.根据权利要求11所述的业务提供服务器,其特征在于:
所述用户安全参数是所述身份提供服务器根据所述网络对所述UE的接入认证结果获得的;或者
所述业务认证结果是所述身份提供服务器根据所述网络对所述UE的接入认证结果完成的。
13.根据权利要求9-12任一权利要求所述的业务提供服务器,其特征在于:
所述获取模块,是用于从所述身份提供服务器获取令牌,根据所述令牌从所述RS直接地获取用户授权的用户共享数据;或者通过所述身份提供服务器获取用户授权的用户共享数据。
14.一种身份提供服务器,该身份提供服务器包括:
网络接入认证模块,用于对用户设备(UE)接入网络进行认证,并获得用户安全参数;
业务接入认证模块,用于根据所述网络接入认证模块获得的用户安全参数完成对所述UE的业务接入认证,并将业务接入认证结果发送给业务提供服务器。
15.根据权利要求14所述的身份提供服务器,其特征在于,所述身份提供服务器还包括:
发送模块,用于将所述网络接入认证模块获得的用户安全参数发送给所述业务提供服务器。
16.根据权利要求14或15所述的身份提供服务器,其特征在于:
所述用户安全参数包括会话密钥。
17.根据权利要求15所述的身份提供服务器,其特征在于,所述身份提供服务器还包括:
数据发送模块,用于在所述业务接入认证模块将业务接入认证结果或者所述发送模块将所述用户安全参数发送给业务提供服务器之后,接收所述业务提供服务器发送的数据请求,根据所述数据请求从资源服务器(RS)获得用户授权的用户共享数据,并将所述用户共享数据发送给所述业务提供服务器。
18.根据权利要求17所述的身份提供服务器,其特征在于:
所述数据发送模块,还用于在所述业务接入认证模块将业务接入认证结果或者所述发送模块将所述用户安全参数发送给业务提供服务器之后,接收所述业务提供服务器发送的令牌请求,根据所述令牌请求向所述业务提供服务器发送令牌,以便所述业务提供服务器根据所述令牌从所述RS中获得用户授权的用户共享数据。
19.一种用户设备(UE),该UE包括:
访问模块,用于访问业务提供服务器;
数据处理模块,用于接收身份提供服务器根据所述业务提供服务器发送的数据请求发送的用户数据授权请求,根据用户对该用户数据授权请求中携带的用户数据的授权结果,向所述身份提供服务器返回用户授权的用户共享数据。
20.根据权利要求19所述的UE,其特征在于:
所述访问模块,是用于所述UE采用标识成功接入网络并获得所述业务提供服务器的业务接入认证后,访问所述业务提供服务器。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110233110.9A CN102938757B (zh) | 2011-08-15 | 2011-08-15 | 共享网络中用户数据的方法和身份提供服务器 |
| PCT/CN2012/076275 WO2013023475A1 (zh) | 2011-08-15 | 2012-05-30 | 共享网络中用户数据的方法和身份提供服务器 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110233110.9A CN102938757B (zh) | 2011-08-15 | 2011-08-15 | 共享网络中用户数据的方法和身份提供服务器 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102938757A true CN102938757A (zh) | 2013-02-20 |
| CN102938757B CN102938757B (zh) | 2017-12-08 |
Family
ID=47697626
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110233110.9A Active CN102938757B (zh) | 2011-08-15 | 2011-08-15 | 共享网络中用户数据的方法和身份提供服务器 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN102938757B (zh) |
| WO (1) | WO2013023475A1 (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104303483A (zh) * | 2012-05-08 | 2015-01-21 | 高通股份有限公司 | 用于社交网络的基于用户的识别*** |
| CN104361519A (zh) * | 2014-10-31 | 2015-02-18 | 中国建设银行股份有限公司 | 一种社交网络服务平台的实现方法及社交网络服务平台 |
| CN107241293A (zh) * | 2016-03-28 | 2017-10-10 | 杭州萤石网络有限公司 | 一种资源访问方法、装置及*** |
| CN109033774A (zh) * | 2018-08-31 | 2018-12-18 | 阿里巴巴集团控股有限公司 | 获取、反馈用户资源的方法、装置及电子设备 |
| WO2021062793A1 (zh) * | 2019-09-30 | 2021-04-08 | 华为技术有限公司 | 一种通信方法、设备、***及存储介质 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040003072A1 (en) * | 2002-06-28 | 2004-01-01 | Microsoft Corporation | Consent mechanism for online entities |
| CN1856155A (zh) * | 2005-04-18 | 2006-11-01 | 华为技术有限公司 | 在下一代网络中获取用户接入信息的方法 |
| CN1898622A (zh) * | 2003-12-17 | 2007-01-17 | 甲骨文国际公司 | 用于个性化和身份管理的方法和装置 |
| US7207058B2 (en) * | 2002-12-31 | 2007-04-17 | American Express Travel Related Services Company, Inc. | Method and system for transmitting authentication context information |
| CN101331731A (zh) * | 2005-12-15 | 2008-12-24 | 国际商业机器公司 | 由身份提供商对联盟内的客户进行定制认证的方法、装置和程序产品 |
| CN101686425A (zh) * | 2008-09-27 | 2010-03-31 | 中兴通讯股份有限公司 | 一种向全网提供业务的方法及业务网络*** |
| CN101771677A (zh) * | 2008-12-31 | 2010-07-07 | 华为技术有限公司 | 一种向访问用户提供资源的方法、服务器和*** |
| CN101809584A (zh) * | 2007-09-25 | 2010-08-18 | 日本电气株式会社 | 证书生成/分发***、证书生成/分发方法和证书生成/分发程序 |
| US20100293385A1 (en) * | 2009-05-14 | 2010-11-18 | Microsoft Corporation | Http-based authentication |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020013827A1 (en) * | 2000-05-18 | 2002-01-31 | Edstrom Claes G.R. | Personal service environment management apparatus and methods |
-
2011
- 2011-08-15 CN CN201110233110.9A patent/CN102938757B/zh active Active
-
2012
- 2012-05-30 WO PCT/CN2012/076275 patent/WO2013023475A1/zh active Application Filing
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040003072A1 (en) * | 2002-06-28 | 2004-01-01 | Microsoft Corporation | Consent mechanism for online entities |
| US7207058B2 (en) * | 2002-12-31 | 2007-04-17 | American Express Travel Related Services Company, Inc. | Method and system for transmitting authentication context information |
| CN1898622A (zh) * | 2003-12-17 | 2007-01-17 | 甲骨文国际公司 | 用于个性化和身份管理的方法和装置 |
| CN1856155A (zh) * | 2005-04-18 | 2006-11-01 | 华为技术有限公司 | 在下一代网络中获取用户接入信息的方法 |
| CN101331731A (zh) * | 2005-12-15 | 2008-12-24 | 国际商业机器公司 | 由身份提供商对联盟内的客户进行定制认证的方法、装置和程序产品 |
| CN101809584A (zh) * | 2007-09-25 | 2010-08-18 | 日本电气株式会社 | 证书生成/分发***、证书生成/分发方法和证书生成/分发程序 |
| CN101686425A (zh) * | 2008-09-27 | 2010-03-31 | 中兴通讯股份有限公司 | 一种向全网提供业务的方法及业务网络*** |
| CN101771677A (zh) * | 2008-12-31 | 2010-07-07 | 华为技术有限公司 | 一种向访问用户提供资源的方法、服务器和*** |
| US20100293385A1 (en) * | 2009-05-14 | 2010-11-18 | Microsoft Corporation | Http-based authentication |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104303483A (zh) * | 2012-05-08 | 2015-01-21 | 高通股份有限公司 | 用于社交网络的基于用户的识别*** |
| CN104303483B (zh) * | 2012-05-08 | 2016-05-18 | 高通股份有限公司 | 用于社交网络的基于用户的识别*** |
| CN104361519A (zh) * | 2014-10-31 | 2015-02-18 | 中国建设银行股份有限公司 | 一种社交网络服务平台的实现方法及社交网络服务平台 |
| CN104361519B (zh) * | 2014-10-31 | 2018-05-18 | 中国建设银行股份有限公司 | 一种社交网络服务平台的实现方法及社交网络服务平台 |
| CN107241293A (zh) * | 2016-03-28 | 2017-10-10 | 杭州萤石网络有限公司 | 一种资源访问方法、装置及*** |
| CN109033774A (zh) * | 2018-08-31 | 2018-12-18 | 阿里巴巴集团控股有限公司 | 获取、反馈用户资源的方法、装置及电子设备 |
| CN109033774B (zh) * | 2018-08-31 | 2020-08-07 | 阿里巴巴集团控股有限公司 | 获取、反馈用户资源的方法、装置及电子设备 |
| WO2021062793A1 (zh) * | 2019-09-30 | 2021-04-08 | 华为技术有限公司 | 一种通信方法、设备、***及存储介质 |
| CN114424600A (zh) * | 2019-09-30 | 2022-04-29 | 华为技术有限公司 | 一种通信方法、设备、***及存储介质 |
| CN114424600B (zh) * | 2019-09-30 | 2024-03-26 | 华为技术有限公司 | 一种通信方法、设备、***及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2013023475A1 (zh) | 2013-02-21 |
| CN102938757B (zh) | 2017-12-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3752941B1 (en) | Security management for service authorization in communication systems with service-based architecture | |
| US10645583B2 (en) | Security management for roaming service authorization in communication systems with service-based architecture | |
| US7370350B1 (en) | Method and apparatus for re-authenticating computing devices | |
| US20190253407A1 (en) | Mobile identity for single sign-on (sso) in enterprise networks | |
| KR20070032805A (ko) | 복수의 네트워크를 액세스하기 위한 싱글-사인-온을실현하도록 사용자 인증 및 승인을 관리하는 시스템 및방법 | |
| CN106254386B (zh) | 一种信息处理方法和名字映射服务器 | |
| WO2008095444A1 (fr) | Procédé et système d'authentification d'utilisateur | |
| WO2009074082A1 (fr) | Procédé, système et dispositif de contrôle d'accès | |
| WO2012174959A1 (zh) | 一种机器到机器通信中组认证的方法、***及网关 | |
| CN102111766A (zh) | 网络接入方法、装置及*** | |
| CN101052032B (zh) | 一种业务实体认证方法及装置 | |
| CN101426190A (zh) | 一种服务访问认证方法和*** | |
| CN106534050A (zh) | 一种实现虚拟专用网络密钥协商的方法和装置 | |
| US20100242100A1 (en) | Network access authentication | |
| CN100536394C (zh) | 利用智能卡进行网络电视认证的实现方法 | |
| CN103067337A (zh) | 一种身份联合的方法、IdP、SP及*** | |
| CN102938757A (zh) | 共享网络中用户数据的方法和身份提供服务器 | |
| AU2015416630A1 (en) | Methods and arrangements for authenticating a communication device | |
| CN110401951A (zh) | 认证无线局域网中终端的方法、装置和*** | |
| CN109391937A (zh) | 公钥的获取方法、设备及*** | |
| CN103024735A (zh) | 无卡终端的业务访问方法及设备 | |
| CN105681268B (zh) | 数据传送方法及装置 | |
| CN102694779B (zh) | 组合认证***及认证方法 | |
| WO2011063658A1 (zh) | 统一安全认证的方法和*** | |
| US20090136043A1 (en) | Method and apparatus for performing key management and key distribution in wireless networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20201230 Address after: No.66 Lijiang Road, Yancheng Economic and Technological Development Zone, Jiangsu Province 224000 Patentee after: Jiangsu New Energy Vehicle Research Institute Co.,Ltd. Address before: 518057 Ministry of justice, Zhongxing building, South Science and technology road, Nanshan District hi tech Industrial Park, Shenzhen, Guangdong Patentee before: ZTE Corp. |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20210714 Address after: Room 309, building 1, No.69, Donghuan South Road, Yancheng Economic and Technological Development Zone, Jiangsu 224000 Patentee after: Jiangsu Yanxin Automobile Industry Investment Development Co.,Ltd. Address before: No.66 Lijiang Road, Yancheng Economic and Technological Development Zone, Jiangsu Province 224000 Patentee before: Jiangsu New Energy Vehicle Research Institute Co.,Ltd. |