下一代网络中的业务融合模式

在图1的网络层次中，存在4种服务商角色：接入网提供商、业务网运营商、业务提供商、聚合门户网站。业务网运营商可以在用户签约时提供多个业务提供者、聚合门户网站的签约选项，用户可以选择在成为业务网运营商的客户的同时也成为多个感兴趣的业务提供商的会员，后两者可以访问业务网运营商的认证、授权和计费(AAA)基础设施，从而对用户身份进行统一的认证、授权和计费。业务提供商和业务网运营商之间的划分可以采用结算制也可以采用批发业务的方式。

对于终端而言，可以采用定制的多业务融合应用也可以采用分离的多个应用。如果是多个应用，则需要通过识别业务标识来调用相应的应用程序，通过终端系统的组件化技术来实现业务的融合，例如微软的Office Communicator与其他Office软件的集成。

业务融合的几个关键要点：

业务统一编址。无论何种终端、何种应用都可以一致、无歧义地表示其需要的业务，而且在终端可以将业务编址的类型和应用程序关联起来，通过软件组件化技术，很容易实现业务应用在终端的融合，给客户提供良好的体验。

统一的身份标识管理。一方面是客户无需重复注册、登录多个网站，提供一站式服务，降低客户总成本；另一方面，统一的身份管理降低了费用结算的难度，使得通信业务的销售渠道可以成长起来，从而建立一个健康的生态环境。

与网络松耦合的开放业务提供平台。与网络松耦合可以做到业务可以独立于具体接入技术，利于业务本身独立演进。

2.2、统一认证

2.2.1、概述

统一认证是解决客户身份的可信问题，可信身份也是商业交易的前提条件之一，同时运营商提供统一认证也使得业务提供商可以利用运营商的客户信用数据库，使得交易的资金渠道更为安全。

公钥体系(PKI)是目前因特网广为应用的身份认证方式，但是其缺点是每个应用网站都颁发自己的数字证书，缺乏互通性。3GPP提出了自己的统一认证解决方案，可以直接利用目前的3G 安全技术，将3GPP终端的身份认证从电信网络延伸到IP域，它也可以与PKI结合起来，提供更为灵活可靠的安全体系。

2.2.2、3GPPGAA架构

统一认证架构(GAA)是3GPP提出的一种统一认证安全框架，通信、IP业务可以共用一套认证机制，为业务的融合提供基础设施支持。GAA支持共享密钥和数字证书两种统一认证方式，当使用共享密钥的统一引导架构(GBA)方式时，可以重用3GPP当前网络用户身份鉴权框架，使用数字证书也可将终端的卡号作为统一认证的身份标识，不需要重新分配其他的身份标识。这使得采用GAA架构的系统应用可以直接采用3GPP终端的卡号、号码作为客户身份的标识，并且可以实现Web网站、IT系统和电信网实现单点登录、单点认证。非运营商业务的费用也可以直接由运营商代收，小额支付可以直接在移动用户的电话帐单扣费支付[4-7]。

GBA是采用共享密钥的统一认证架构，其网络模型见图3。

其引入了引导服务器功能实体作为统一鉴权的引导功能单元，当终端支持GBA功能时，首先和BSF交互，发起一个引导过程，引导服务器记录其鉴权向量和引导事务ID号(B-TID)。当用户设备(UE)需要访问支持GBA的网络应用服务器时，其在应用请求中携带B-TID，网络接入功能实体根据B-TID向引导服务器查询相关安全参数，后者返回安全参数及用来保护Ua接口的主密钥，NAF向UE发起密钥协商过程，UE和NAF的后续通信由协商的密钥进行保护。当NAF发现UE的安全参数过期或者不符合本地策略时，其可以通知UE重新发起一个引导过程，UE收到通知后应通过Ub接口启动一次新的引导过程。当UE使用数字证书时，GBA可以作为证书颁发、更新时的身份认证机制。

该架构下的NAF可以是通信业务服务器，也可以是一个因特网服务门户网站，甚至也可以是企业IT系统的服务器端，从而使得统一身份认证可以适用于通信客户身份与因特网业务、企业IT系统结合起来。

作者：汪军 符涛   来源：通信世界网