CN101350820A - 一种推送业务代理网关对推送业务发起者的安全认证方法 - Google Patents
一种推送业务代理网关对推送业务发起者的安全认证方法 Download PDFInfo
- Publication number
- CN101350820A CN101350820A CNA2008101417280A CN200810141728A CN101350820A CN 101350820 A CN101350820 A CN 101350820A CN A2008101417280 A CNA2008101417280 A CN A2008101417280A CN 200810141728 A CN200810141728 A CN 200810141728A CN 101350820 A CN101350820 A CN 101350820A
- Authority
- CN
- China
- Prior art keywords
- http
- professional
- push
- propelling movement
- http head
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种推送业务代理网关对推送业务发起者的安全认证方法,所述方法包括:1.推送业务发起者选择加密所需的HTTP头,并设置加密摘要表达式以及加密算法,将所述加密摘要表达式以及所述加密算法告知推送业务代理网关;2.推送业务发起者构造包括有鉴权HTTP头的推送业务HTTP请求,并发送给推送业务代理网关;3.推送业务代理网关解析收到的推送业务HTTP请求的HTTP头,填写加密摘要表达式并使用加密算法得到摘要结果,与鉴权HTTP头的值比较,若一致,则推送业务HTTP请求合法;否则,推送业务HTTP请求非法。本发明有效地解决了因伪装业务提供者引起的垃圾推送业务问题。
Description
技术领域
本发明涉及移动通信技术领域,特别涉及一种推送业务代理网关(PPG)对推送业务发起者(PI)的安全认证方法。
背景技术
随着移动通讯技术和计算机网络技术的迅速发展,移动终端的普及以及移动终端能力的提高,无线应用协议(WAP)的应用也随之飞速发展,推送业务(PUSH)作为WAP应用的两大业务之一也发展迅速,广泛应用于多媒体消息、定位等系统。同时垃圾PUSH消息也像普通垃圾短信一样泛滥,其中部分是因为安全性认证不够,出现伪装业务提供者(SP)的情况,这严重影响了消费者的电信消费和正常生活,也影响了运营商和SP正常经营。
传统的PUSH安全认证使用的是源IP地址和用户名密码认证的方法,这些方法相对简单,利用互联网发送的明文进行认证。但IP地址认证可以通过IP欺骗破解,用户名密码认证也可以通过网络截获用户和密码,然后进行模拟破解。传统的这些认证方法其实几乎是虚设的。
安全传输层协议(TLS)使用的体系结构和加密算法比较完善,具有极高的安全性,单纯从安全性角度考虑它已经可以解决传统IP或者用户名密码认证的安全问题。但TLS也有一些缺点:1.速度慢。TLS由于加密协商流程复杂,另外应用层加密还需要额外的时间,会延长实际应用数据传输和处理时间。这一影响对于请求较多的SP来说是致命的。2.难度大。TLS加密过程对应用开发技术人员水平要求相对较高,对一些SP是技术门槛。3.需要额外费用。使用TLS证书还需要额外的第三方认证费用。这些缺点也导致无法在实际PUSH流程中使用TLS。
发明内容
本发明所要解决的技术问题是,提供一种PPG对PI的安全认证方法,本发明所述方法可高效方便地验证PI的合法性。
一种PPG对PI的安全认证方法,所述方法包括:
步骤一:PI选择加密所需的HTTP(Hypertext Transfer Protocol,超文本传输协议)头,并设置加密摘要表达式以及加密算法,将所述加密摘要表达式以及所述加密算法告知PPG;
步骤二:PI构造包括有鉴权HTTP头的PUSH HTTP请求,并发送给PPG;
步骤三:PPG解析收到的PUSH HTTP请求的HTTP头,填写加密摘要表达式并使用加密算法得到摘要结果,与鉴权HTTP头的值比较,若一致,则PUSH HTTP请求合法,鉴权成功;否则,PUSH HTTP请求非法,鉴权失败。
选择所述加密所需的HTTP头的原则是:
不选择用于鉴权的HTTP头;不选择可能会被HTTP代理修改的HTTP头;每次选择的HTTP头中应该至少有一项因请求的变化而不同。
所述加密摘要表达式是宏表达式。
所述加密算法为不可逆加密算法。
所述步骤一进一步包括:所述PI在所述加密所需的HTTP头中选择作为摘要基础的HTTP头,并根据选定的作为摘要基础的HTTP头设置加密摘要表达式。
所述步骤二具体包括:
步骤21:PI根据所述加密所需的HTTP头构造PUSH HTTP请求;
步骤22:PI根据作为摘要基础的HTTP头的值填写所述加密摘要表达式的实际值,并使用加密算法得到摘要结果;
步骤23:PI将所述摘要结果作为鉴权HTTP头的值,并将所述的鉴权HTTP头加入到已构造的PUSH HTTP请求的HTTP头中;
步骤24:PI将包括有鉴权HTTP头的PUSH HTTP请求发给PPG。
所述步骤三中:所述PPG根据解析出的作为摘要基础的HTTP头的值填写所述加密摘要表达式的实际值。
所述步骤三后还包括:
推送业务HTTP请求合法或者非法时,所述PPG返回成功处理后的响应或者拒绝处理响应给PI。
本发明所述方法可以和原来的控制方法配合使用,不需要修改HTTP协议,不影响原有流程,增加了传统安全控制方法的安全性,系统设计和开发人员很容易掌握和使用,可以有效地解决因伪装SP引起的垃圾PUSH问题。
本发明引入可协商的动态摘要消息加密机制,解决了背景技术中提到的TLS中的缺点,达到了PUSH安全控制的要求。
附图说明
图1是本发明中PI与PPG的交互图;
图2是本发明所述方法流程图。
具体实施方式
下面结合附图及实施例对本发明作进一步的详细描述:
如图1所示,本发明中PI与PPG的交互图,PI发送PUSH HTTP请求,PPG鉴权后返回一个响应消息给PI,告知PI是否鉴权成功。
如图2所示,本发明所述PPG对PID的安全认证方法包括以下步骤:
步骤201:PI选择加密所需的HTTP头,并设置加密摘要表达式以及加密算法,本实施例选用MD5算法,将所述加密摘要表达式以及所述加密算法告知PPG;
本步骤中选择所述加密所需的HTTP头的原则是:
不选择用于鉴权的HTTP头;不选择可能会被HTTP代理修改的HTTP头;每次选择的HTTP头中应该至少有一项因请求的变化而不同。
所述加密摘要表达式是宏表达式;所述加密算法为不可逆加密算法。
本步骤还进一步包括PI在所述加密所需的HTTP头中选择作为摘要基础的HTTP头,然后PI根据选定的作为摘要基础的HTTP头设置加密摘要表达式。
例如PI选择Content-Type、User-Agent、Host、Accept、Connection、Content-Length作为加密所需的HTTP头(各HTTP头的含义见RFC2616),并选定其中的Host、User-Agent和Content-Length为摘要基础,则加密摘要表达式设置为:
$Content-Type:$User-Agent:$Content-Length:$Content-Length
上述表达式为一个宏表达式,在其他的实施方式中,作为摘要基础的HTTP头则为其他组合,这样做的目的是使得最终的HTTP请求中的鉴权HTTP头的值每次都不相同。
上述HTTP头的含义如下:
Content-Type表示后面的文档属于什么MIME(Multipurpose InternetMail Extensions,多用途Internet邮件扩展)类型;
User-Agent表示浏览器类型;
Host表示初始URL中的主机和端口;
Accept表示浏览器可接受的MIME类型;
Connection表示是否需要持久连接;
Content-Length表示请求消息正文的长度。
步骤202:PI根据选择的加密所需的HTTP头构造PUSH HTTP请求;
所述HTTP请求的请求体为:
POST/push HTTP/1.1
所述HTTP请求的请求头为:
Content-Type:multipart/related;boundary=PMasdfglkjhqwert;type=″application/xml″
User-Agent:PI
Host:192.168.1.101:8090
Accept:text/html,image/gif,image/jpeg
Connection:keep-alive
Content-Length:626
步骤203:PI根据所述作为摘要基础的HTTP头的值填写所述加密摘要表达式的实际值,并使用加密算法得到摘要结果;
加密摘要表达式填写了实际值后为:
multipart/related;boundary=PMasdfglkjhqwert;type=″application/xml″:PI:626:626
将上述表达式作为消息摘要,使用所述不可逆算法计算得到摘要结果为:dc23288ff9f601d906977f31c37fe553。
步骤204:PI将所述摘要结果作为“Push-Authorization”,即鉴权HTTP头的值,并将所述的鉴权HTTP头加入到已构造的PUSH HTTP请求的HTTP头中;
包括有鉴权HTTP头的HTTP请求为:
POST/push HTTP/1.1
Content-Type:multipart/related;boundary=PMasdfglkjhqwert;type=″application/xml″
User-Agent:PI
Host:192.168.1.101:8090
Accept:text/html,image/gif,image/jpeg
Connection:keep-alive
Content-Length:626
Push-Authorization:dc23288ff9f601d906977f31c37fe553
步骤205:PI将包括有鉴权HTTP头的PUSH HTTP请求发给PPG;
步骤206:PPG解析收到的PUSH HTTP请求的所有HTTP头;
步骤207:根据解析出的作为摘要基础的HTTP头的值填写所述加密摘要表达式的实际值,并使用与PI使用的加密算法相同的加密算法计算得到摘要结果;
步骤208:PPG比较所述摘要结果与解析出的“Push-Authorization”的值是否一致;若一致,则执行步骤209;否则,执行步骤210;
步骤209:PI的PUSH HTTP请求合法,鉴权成功,返回成功处理后的响应给PI;
步骤210:PI的PUSH HTTP请求非法,鉴权失败,返回拒绝处理响应给PI。
本发明引入可协商的动态摘要消息加密机制,即使PUSH请求在网络传输的过程中被人窃取后再被仿造,也会因为鉴权HTTP头是每次动态变化的而无法成功鉴权,这样就可有效的防止伪SP发送垃圾PUSH消息。
理论上本发明所述方法不仅仅适用于PUSH,而适合于所有使用HTTP请求的场合。
上述实施例只是具体说明本发明的实施步骤,并非限定本发明的范围;在不脱离本发明的精神和范围内,对本发明进行修改或者等同替换的,均应涵盖在本发明的权利要求和保护范围当中。
Claims (8)
1、一种推送业务代理网关对推送业务发起者的安全认证方法,其特征在于,所述方法包括:
步骤一:推送业务发起者选择加密所需的HTTP头,并设置加密摘要表达式以及加密算法,将所述加密摘要表达式以及所述加密算法告知推送业务代理网关;
步骤二:推送业务发起者构造包括有鉴权HTTP头的推送业务HTTP请求,并发送给推送业务代理网关;
步骤三:推送业务代理网关解析收到的推送业务HTTP请求的HTTP头,填写加密摘要表达式并使用加密算法得到摘要结果,与鉴权HTTP头的值比较,若一致,则推送业务HTTP请求合法,鉴权成功;否则,推送业务HTTP请求非法,鉴权失败。
2、如权利要求1所述的推送业务代理网关对推送业务发起者的安全认证方法,其特征在于,选择所述加密所需的HTTP头的原则是:
不选择用于鉴权的HTTP头;不选择可能会被HTTP代理修改的HTTP头;每次选择的HTTP头中应该至少有一项因请求的变化而不同。
3、如权利要求1所述的推送业务代理网关对推送业务发起者的安全认证方法,其特征在于,所述加密摘要表达式是宏表达式。
4、如权利要求1所述的推送业务代理网关对推送业务发起者的安全认证方法,其特征在于,所述加密算法为不可逆加密算法。
5、如权利要求1所述的推送业务代理网关对推送业务发起者的安全认证方法,其特征在于,所述步骤一进一步包括:所述推送业务发起者在所述加密所需的HTTP头中选择作为摘要基础的HTTP头,并根据选定的作为摘要基础的HTTP头设置加密摘要表达式。
6、如权利要求1所述的推送业务代理网关对推送业务发起者的安全认证方法,其特征在于,所述步骤二具体包括:
步骤21:推送业务发起者根据所述加密所需的HTTP头构造推送业务HTTP请求;
步骤22:推送业务发起者根据作为摘要基础的HTTP头的值填写所述加密摘要表达式的实际值,并使用加密算法得到摘要结果;
步骤23:推送业务发起者将所述摘要结果作为鉴权HTTP头的值,并将所述鉴权HTTP头加入到已构造的推送业务HTTP请求的HTTP头中;
步骤24:推送业务发起者将包括有鉴权HTTP头的推送业务HTTP请求发给推送业务代理网关。
7、如权利要求1所述的推送业务代理网关对推送业务发起者的安全认证方法,其特征在于,所述步骤三中:所述推送业务代理网关根据解析出的作为摘要基础的HTTP头的值填写所述加密摘要表达式的实际值。
8、如权利要求1所述的推送业务代理网关对推送业务发起者的安全认证方法,其特征在于,所述步骤三后还包括:推送业务HTTP请求合法或者非法时,所述推送业务代理网关返回成功处理后的响应或者拒绝处理响应给推送业务发起者。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNA2008101417280A CN101350820A (zh) | 2008-08-29 | 2008-08-29 | 一种推送业务代理网关对推送业务发起者的安全认证方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNA2008101417280A CN101350820A (zh) | 2008-08-29 | 2008-08-29 | 一种推送业务代理网关对推送业务发起者的安全认证方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN101350820A true CN101350820A (zh) | 2009-01-21 |
Family
ID=40269394
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNA2008101417280A Pending CN101350820A (zh) | 2008-08-29 | 2008-08-29 | 一种推送业务代理网关对推送业务发起者的安全认证方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101350820A (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102422593A (zh) * | 2009-05-14 | 2012-04-18 | 微软公司 | 基于http的认证 |
WO2013087039A1 (zh) * | 2011-12-15 | 2013-06-20 | 华为技术有限公司 | 一种安全传输数据方法,装置和系统 |
CN104717647A (zh) * | 2013-12-13 | 2015-06-17 | 中国电信股份有限公司 | 业务能力鉴权方法、设备及系统 |
CN107211022A (zh) * | 2015-01-28 | 2017-09-26 | 佳能株式会社 | 利用服务器装置的改进的客户端驱动资源推送 |
-
2008
- 2008-08-29 CN CNA2008101417280A patent/CN101350820A/zh active Pending
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102422593A (zh) * | 2009-05-14 | 2012-04-18 | 微软公司 | 基于http的认证 |
CN102422593B (zh) * | 2009-05-14 | 2013-03-13 | 微软公司 | 基于http的认证 |
WO2013087039A1 (zh) * | 2011-12-15 | 2013-06-20 | 华为技术有限公司 | 一种安全传输数据方法,装置和系统 |
CN104717647A (zh) * | 2013-12-13 | 2015-06-17 | 中国电信股份有限公司 | 业务能力鉴权方法、设备及系统 |
CN104717647B (zh) * | 2013-12-13 | 2019-03-22 | 中国电信股份有限公司 | 业务能力鉴权方法、设备及系统 |
CN107211022A (zh) * | 2015-01-28 | 2017-09-26 | 佳能株式会社 | 利用服务器装置的改进的客户端驱动资源推送 |
CN107211022B (zh) * | 2015-01-28 | 2020-10-27 | 佳能株式会社 | 利用服务器装置的改进的客户端驱动资源推送 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9489498B2 (en) | Digital rights management using trusted processing techniques | |
US6263437B1 (en) | Method and apparatus for conducting crypto-ignition processes between thin client devices and server devices over data networks | |
Salowey et al. | Transport layer security (TLS) session resumption without server-side state | |
CN102868665B (zh) | 数据传输的方法及装置 | |
CN103428221B (zh) | 对移动应用的安全登录方法、系统和装置 | |
CN102651739B (zh) | 登录验证方法、系统及im服务器 | |
CN101127604B (zh) | 信息安全传输方法和系统 | |
CA2620785C (en) | Method, system and apparatus for game data transmission | |
CN107332808A (zh) | 一种云桌面认证的方法、服务器及终端 | |
WO2007076685A1 (fr) | Procede destine a etendre une adresse url applicable a un systeme de video en contenu | |
JP2005510184A (ja) | 機密保護インターネット・プロトコル権利管理アーキテクチャ用の鍵管理プロトコルおよび認証システム | |
WO2006032214A1 (fr) | Procede de transmission de donnees synchrones syncml | |
CN102315937A (zh) | 无线通信装置和服务器之间数据的安全交易系统和方法 | |
CN101640682A (zh) | 一种改善Web服务安全性的方法 | |
CN112104604A (zh) | 基于电力物联管理平台的安全接入服务实现系统及方法 | |
CN105577612A (zh) | 身份认证方法、第三方服务器、商家服务器及用户终端 | |
CN109873819A (zh) | 一种防止非法访问服务器的方法及系统 | |
CN113285803A (zh) | 一种基于量子安全密钥的邮件传输系统和传输方法 | |
CN102045329B (zh) | 一种单点登录方法、登录发起终端、目标终端和验证中心 | |
CN101350820A (zh) | 一种推送业务代理网关对推送业务发起者的安全认证方法 | |
CN105577738A (zh) | 一种处理终端信息的方法、装置及系统 | |
CN116743372A (zh) | 基于ssl协议的量子安全协议实现方法及系统 | |
CN114928503B (zh) | 一种安全通道的实现方法及数据传输方法 | |
CN113438074B (zh) | 基于量子安全密钥的接收邮件的解密方法 | |
CN102006567A (zh) | 推消息处理方法、用于实现推消息处理方法的系统及设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C12 | Rejection of a patent application after its publication | ||
RJ01 | Rejection of invention patent application after publication |
Open date: 20090121 |