CN101990183A

CN101990183A - 保护用户信息的方法、装置及系统

Info

Publication number: CN101990183A
Application number: CN2009101654628A
Authority: CN
Inventors: 田瑞雄; 李立; 高志国; 黄鹤远
Original assignee: International Business Machines Corp
Current assignee: International Business Machines Corp
Priority date: 2009-07-31
Filing date: 2009-07-31
Publication date: 2011-03-23
Anticipated expiration: 2029-07-31
Also published as: CN101990183B; US8819800B2; US20110030047A1

Abstract

本发明提供一种保护用户信息的方法、装置及系统。所述保护用户信息的方法包括：接收应用访问用户信息的请求，以及响应于所述请求未包含授权的令牌，请求用户临时确认所述应用访问用户信息的请求，其中生成令牌并通过令牌关联移动服务平台上的用户与应用访问用户信息的请求，以及响应于用户确认所述应用访问用户信息的请求，基于关联用户与应用访问用户信息的请求的所述令牌，允许所述应用临时访问所述用户信息。通过上述方法、装置或者系统，使得移动服务平台上的用户信息得到更好的保护，同时也保证了移动运营商的业务开展。

Description

保护用户信息的方法、装置及系统

技术领域

本发明总体上涉及通讯领域，特别地，涉及一种用于保护用户信息的方法、装置及系统

背景技术

现在正逐渐步入移动互联网计算时代，更多的移动终端被连接到移动互联网中。随着第三代移动通讯技术的普及，越来越多应用被部署到移动互联网上。目前很多移动运营商正在积极地部署相关平台以充分利用移动互联网以从中获得更多的商业价值。有移动运营商推出增值业务综合运营平台(VGOP，Value-added services general operation platform)。VGOP是一种统一开发、管理、运营和分析增值业务的平台。它的开发和部署使得移动运营商认识到在由通信服务提供商转向内容服务提供商的过程中，增值业务的规范管理的重要性显著增加。VGOP一般由五个功能部分组成：一是营销，二是分析，三是能力互通和共享，四是运营管理和监控，五是门户。VGOP平台提供了以上功能的整合管理，向外部提供了统一的服务和运营。在VGOP平台，或者其它类似的平台中，将保存大量的用户相关信息，这些信息可以被第三方公司开发的应用所利用。这些数据在开放给第三方应用的时候，身份认证和授权是非常重要的方面。而现实是在平台上运行的第三方应用数目巨大，种类繁多。移动运营商很难与每个第三方应用一一建立信任关系。而在第三方应用与移动服务平台之间没有信任关系的情况下，很难保证用户在平台上的相关信息的安全性。

当前，在移动终端访问第三方应用，而第三方应用要完成服务需要访问移动信息平台这样的场景中，一般有两种访问流程。一种是移动终端直接访问第三方应用，然后由第三方应用访问移动服务平台时，如果遇到身份认证/授权的要求，第三方应用会要求移动终端告知该移动终端用户在移动平台中的账号和密码，然后第三方应用代表移动用户直接访问移动服务平台。在这样的流程中，移动终端用户在移动服务平台中的用户名和密码就会泄漏给第三方应用。

图1则示出了另一种流程：移动终端访问移动服务平台，通过移动服务平台的身份认证和授权。此后的访问通过移动服务平台访问第三方应用。如果第三方应用需要移动服务平台中的数据，第三方应用则直接获得移动平台的数据。在这个流程中，第三方应用和移动服务平台之间存在着信任关系，这通常是通过签订合同来建立的。其具体步骤如下：

1)移动终端向移动服务平台发送HTTP请求，HTTP请求含有需要访问的第三方应用的信息；

2)移动服务平台向第三方应用转发访问请求；

3)第三方应用需要访问移动服务平台的数据，向移动服务平台发送数据访问或者增值服务访问的HTTP请求；

4)如果移动服务平台需要访问自己内容的增值服务平台(例如VGOP)，向增值服务平台发送增值服务访问的请求；

5)增值服务平台返回增值服务访问的响应；

6)移动服务平台向第三方应用返回数据访问或者增值服务访问的响应；

7)第三方应用向移动服务平台返回移动终端访问的响应；

8)移动服务平台向移动终端返回访问的结果。

但正如上面所提及的，由于在VGOP平台上的第三方应用非常丰富，移动运营商无法与第三方应用的提供商一一建立信任关系。因此上述的现有访问流程无法满足新的平台的需要。

专利申请WO03/007102A(MODULAR AUTHENTICATION ANDAUTHORIZATION SCHEME FOR INTERNET PROTOCOL)提出了一种三方身份认证/授权系统。在该系统中有一个授权器专门负责对用户请求进行授权，而服务提供方将根据授权器的授权结果对客户请求进行响应。该专利要求服务提供方完全信任授权器的授权结果，而服务方自己不再进行身份认证/授权。这种方式需要一种用户以及服务提供方(比如移动运营商)都信任的第三方。

发明内容

本发明提供一种保护用户信息的方法、装置或者系统。

本发明一方面提供一种用于保护用户信息的方法，所述方法包括：接收应用访问用户信息的第一请求；响应于所述第一请求未包含授权的令牌，生成第一令牌并发送给所述应用，并且关联所述第一令牌和所述第一请求；响应于接收到用户的认证请求，认证所述用户，其中所述认证请求包含所述用户从所述应用获得的所述第一令牌；响应于所述用户通过所述认证，根据所述第一令牌和所述第一请求的关联向所述用户请求确认所述第一请求；响应于所述用户确认所述第一请求，生成第二令牌，向用户发送所述第二令牌，并且关联所述第二令牌和所述用户；响应于接收到所述应用访问所述用户信息的第二请求，其中所述第二请求包含所述应用从所述用户获得的第二令牌，根据所述第二令牌与所述用户的关联允许所述应用访问所述用户信息。

本发明另一方面提供一种保护用户信息的装置，包括：用于接收应用访问用户信息的第一请求的装置；

用于响应于所述第一请求未包含授权的令牌，生成第一令牌并发送给所述应用，并且关联所述第一令牌和所述第一请求的装置；

用于响应于接收到用户的认证请求，认证所述用户，其中所述认证请求包含所述用户从所述应用获得的所述第一令牌的装置；

用于响应于所述用户通过所述认证，根据所述第一令牌和所述第一请求的关联向所述用户请求确认所述第一请求的装置；

用于响应于所述用户确认所述第一请求，生成第二令牌，向用户发送所述第二令牌，并且关联所述第二令牌和所述用户的装置；

用于响应于接收到所述应用访问所述用户信息的第二请求，其中所述第二请求包含所述应用从所述用户获得的第二令牌，根据所述第二令牌与所述用户的关联允许所述应用访问所述用户信息的装置。

本发明另一方面提供一种用于保护用户信息的系统，该系统包括：移动服务平台，其中所述移动服务平台包括：如上所述的保护用户信息的装置；用户信息存储模块，用于存储用户信息；服务方法功能模块，用于根据所述保护用户信息的装置的指令访问用户信息。

通过本发明所提供的保护用户信息的方法、装置或者系统，可以防止个人的信息在不同的平台之间泄漏，也可以防止第三方应用获得个人在平台上的用户名与用户信息之间的对应关系，从而有效地保护了用户信息，有利于移动运营商的业务开展。

附图说明

为了对本发明实施例的特征和优点进行详细说明，将参照以下附图。如果可能的话，在附图和描述中使用相同或者类似的参考标号以指代相同或者类似的部分。其中：

图1示出了现有移动终端通过移动服务平台访问第三方应用的框架示意图；

图2示出了本发明用于保护用户信息的方法的第一实施方式的流程；

图3示出了本发明用于保护用户信息的方法的第二实施方式的示意图；以及

图4示出了本发明用于保护用户信息的系统。

具体实施方式

现在将参考本发明的示例性实施例进行详细的描述，在附图中图解说明了所述实施例的示例，其中相同的参考数字始终指示相同的元件。应当理解，本发明并不限于所公开的示例实施例。还应当理解，并非所述方法和设备的每个特征对于实施任一权利要求所要求保护的本发明都是必要的。此外，在整个公开中，当显示或描述处理或方法时，方法的步骤可以以任何顺序或者同时执行，除非从上下文中能清楚一个步骤依赖于先执行的另一步骤。此外，步骤之间可以有显著的时间间隔。

下面参照图2详细描述本发明的用于保护用户信息的方法的第一实施方式。

根据图2，在步骤201中，首先接收应用访问用户信息的第一请求。所述第一请求可以由第三方应用根据用户的服务请求以HTTP请求向移动服务平台发出，该请求包含了要求访问的在移动服务平台上的用户的信息。第三方应用可以通过移动服务平台提供的服务方法(应用接口)来提出相关请求。移动服务平台会提供类似于GetFriendsList<token(令牌)><参数2><参数3><......>、SendMsgToFriends<token><参数2><参数3><......>的服务方法，以供第三方应用调用，除token参数外其它参数根据应用的需要添加，比如发送的内容(短消息、彩信)等，其它参数具体内容因为与应用相关，在此不作详细讨论。第一请求可以采用GetFriendsList<NULL>或者SendMsgToFriends<NULL>的方式，从移动服务平台角度，第一请求没有得到在移动服务平台上用户的确认，因为其没有带用户授权的令牌。

在步骤203中，响应于所述第一请求未包含授权的令牌，生成第一令牌并发送给所述应用，并且关联所述第一令牌和所述第一请求。该步骤由移动服务平台响应于第三方应用的第一请求，生成第一令牌。该令牌可以为随机数。同时将第一令牌与所述第一请求相关联，可以将第一令牌与第一请求中包含的服务方法以及应用服务地址等相关联。应用服务地址是指第三方应用所提供的服务的地址，比如推荐热门影片信息的地址等。关联的方式可以采用表或者其它任何合适的数据结构。生成的第一令牌将会发送给第三方应用。可以采用对HTTP请求(request)的回应(response)的方式由移动服务平台将第一令牌发送给第三方应用，当然也可以采用对应于第一请求相对应的其他的协议方式进行回应。

在步骤205中，响应于接收到用户的认证请求，认证所述用户，其中所述认证请求包含所述用户从所述应用获得的所述第一令牌。第三方应用基于现有的请求(request)/回应(response)机制，得到移动服务平台的回应，用户从第三方应用得到第一令牌。优选地，由第三方应用将第一令牌转发给用户。转发的过程可以采用HTTP请求的重定向技术。HTTP的重定向操作可以由客户终端的浏览器自动完成。浏览器在接收到HTTP响应后会根据HTTP响应的状态码和响应中的Header(头)域进行操作，访问由Location Header(定位头)所给出的统一资源定位符URL。因此，第三方应用和移动服务平台，在向移动终端发送的响应中添加了Location Header，移动终端接收到HTTP响应后就会自动访问由Location Header所指向的页面。如果用户终端获得了第三方应用含有第一令牌的回应，用户终端将向移动服务平台请求用户身份认证，该请求将包含第一令牌。同样该请求也可以采用HTTP请求的方式进行，或者采用约定的特定协议进行，以下的相关请求以及回应都可以采用HTTP这样方式进行，不再赘述。用户通过用户终端向移动服务平台请求用户身份认证，用户可以采用现有的比如用户登陆(Log in)等各种现有认证方式。优选地，当用户终端为手机时，移动服务平台可以利用手机的IMSI(International Mobile SubscriberIdentity国际移动用户识别码)号码对用户进行认证，由于在手机入网时，移动服务平台就已经对手机的IMSI号码进行了备案，采用这样方式就可以大大节省用户登陆时的需要输入用户名以及密码的麻烦，从用户的角度，这样的过程都是自动进行，无须人工参与，从而实现了无缝和零负担的认证，大大提高了用户的体验。

进行到步骤207中，响应于所述用户通过所述认证，根据所述第一令牌和所述第一请求的关联向所述用户请求确认所述第一请求。移动服务平台在确认用户身份后，则首先检查用户的请求中是否带有第一令牌，而后根据在前面建立的第一令牌与应用，应用所要访问的用户信息的关联，生成相关消息，比如该消息可以为“应用xxx请求临时访问您的好友号码，是否同意？”，并将该消息发送给用户，以请求用户的确认。

在步骤209中，响应于所述用户确认允许所述应用访问用户信息的第一请求，生成第二令牌并向用户发送第二令牌，并且关联所述第二令牌与所述用户。移动服务平台接收到用户确认允许第三方应用临时访问其好友号码，移动服务平台会生成第二令牌，其中第二令牌可以为随机数，第二令牌与第一令牌不同。生成第二令牌后，可以注销第一令牌。同时将第二令牌与所述用户相关联，优选进一步将第二令牌与所述第一请求相关联，可以将第二令牌与第一请求中包含的服务方法以及应用服务地址等相关联。移动服务平台在生成第二令牌后，将向用户发送该第二令牌。

进行到步骤211中，响应于接收到所述应用访问所述用户信息的第二请求，其中所述第二请求包含由所述用户转发给所述应用的第二令牌，根据所述第二令牌和所述用户的关联，允许所述应用访问所述用户信息。移动服务平台在步骤209中可以采用重定向的方式给用户发送第二令牌，用户在收到第二令牌后可以将第二令牌转发给第三方应用，或者由第三方应用索取第二令牌，第三方应用可以基于所述第二令牌，利用移动平台所提供的服务方法向移动服务平台提出访问用户信息的第二请求，该第二请求包含有第二令牌，表明了其访问已经被用户所确认。响应于该第二请求，移动服务平台核查该第二令牌并允许该应用临时访问该用户信息。优选地，还可以在访问结束时注销该第二令牌。在这整个过程中，第三方应用是无法获取用户在移动服务平台上的用户名，从而无法获得个人在移动服务平台上的用户名与用户信息之间的对应关系，第三方应用得到的只是一些散乱的数据。从而保护了用户在移动服务平台上的信息。

下面参考图3并结合具体的应用实例说明本发明的第二实施方式。假定用户访问第三方应用，该第三方应用是关于当前热门影片。用户在看到有趣信息后希望通过短信发送给自己的朋友，而自己朋友的列表维护在移动服务平台中。假定第三方应用的地址为：http://www.xyzxyzmovie.com，移动服务平台的地址为：http://www.abcdmobile.com。第三方应用发送消息给朋友的页面(地址)为http://www.xyzxyzmovie.com/Recommend(推荐)页，移动服务平台为第三方应用开放的给朋友发送消息的服务方法为：SendMsgToFriends<token><......>。图3示出了整个系统的具体流程，为清楚起见，本发明先从用户终端开始对整个系统的流程进行详细说明，但这并不意味着本发明的任何权利要求的保护范围都必须包括用户终端、第三方应用和移动服务平台或者在其上执行的对应步骤。

如箭头301所示，用户在通过第三方应用的相关认证后(该认证过程是可选的，取决于第三方应用或者用户)，用户通过浏览器等用户终端工具从用户终端向第三方应用发送服务请求，比如用户可以通过浏览器向第三方应用发送推荐页给自己的好友的请求，其具体HTTP请求可以为：URL＝http://www.xyzxyzmovie.com/Recommend。

箭头302表示第三方应用在接收到用户的请求后，利用移动服务平台提供的服务方法向移动服务平台发送访问请求，其具体HTTP请求可以为：URL＝http://www.abcdmobile.com/SendMsgToFriends？callback＝http://www.xyzxyzmovie.com/Recommend(该请求没有带Token)。该请求表明：由于第三方应用需要访问用户在移动服务平台中的用户信息，比如好友列表，所以请求第一令牌，并告知移动服务平台该第三方应用的应用服务地址和所请求的移动服务平台所提供的服务方法。移动服务平台接收到第三方应用没有带token参数的HTTP请求，这就表明对移动服务平台而言，该请求还没有得到用户的确认(或者说授权)，移动服务平台就会启动请求用户确认的过程。

箭头303表示移动服务平台会生成第一令牌，例如，第一令牌可以为随机数，移动服务平台还将第一令牌与第三方应用的访问请求相关联，比如建立类似于<令牌，服务方法，第三方应用服务地址>的三元组，或者四元组形式如<第一令牌，第二令牌，服务方法，第三方应用服务地址>，其中此时第二令牌为空。当然也可以采用其它合适的数据结构来标识令牌与第三方应用访问用户信息的请求之间的关联，比如列表等。移动服务平台向第三方应用返回HTTP响应：Status code＝3xx，Location：http://www.abcdmobile.com/logon？token＝tokenl，其中3xx是用于指示浏览器端如何进行重定向的状态码。通过上述对第三方应用的响应，移动服务平台将第一令牌发送给第三方应用。

箭头304表示第三方应用根据移动服务平台向第三方应用返回HTTP响应生成返回给用户的HTTP重定向响应：Status code＝3xx，Location：http://www.abcdmobile.corn/logon？token＝token1以及向用户返回访问令牌token1。重定向响应只是一种选择，也可以选择发送给用户相应的可访问地址由用户主动决定是否进行访问移动服务平台。然后，如箭头305所示，用户通过用户终端向移动服务平台进行认证请求，例如HTTP请求：URL＝http://www.abcdmobile.com/logon？token＝tokenl。如果用户终端是手机，作为优选，可以在浏览器中安装插件plug-in，该插件读取本机的IMSI码并且截取重定向的消息并在对应的HTTP请求中添加IMSI码，则HTTP请求可以为：URL＝http://www.abcdmobile.corn/logon？token＝tokenl & imsi＝xxxx，以便后续认证。编程实现读取手机的IMSI码的插件对本领域技术人员而言是不需要任何创造性劳动的。

在箭头306所示的步骤中，移动服务平台会对用户进行身份认证。如果用户是手机，优选可以通过手机的IMSI号码如上所述的方法直接认证，或者其他移动终端具有相应的硬件唯一标识符也可以进行直接认证，当然可以通过其他如用户登陆的方式进行。同时移动服务平台核查该认证请求是否带有第一令牌，并与保持在移动服务平台上的三元组<令牌，服务方法，第三方应用服务地址>进行核查，如果存在该令牌对应的三元组则根据该三元组生成请求用户确认第三方应用访问用户信息的消息，比如产生请求用户确认是否允许第三应用访问用户的好友列表的消息。

在箭头307所示的步骤中，移动服务平台向用户发送请求确认第三方应用访问用户信息的HTTP请求：Status code＝200，HTTP实体内容Body＝″第三方应用http://www.xyzxyzmovie.com希望向你的好友列表发送推荐消息，你愿意授权此次访问吗？，返回地址为：http://www.abcdmobile.com/authentication，Statuscode＝200表示认证请求成功的响应。

如果用户如箭头308所示回复移动服务平台该确认请求并确认可以允许第三方应用临时使用该用户保存在移动服务平台上的用户信息：URL＝http://www.abcdmobile.com/authentication？option＝yyyyy，则移动服务平台响应于用户的授权确认，如箭头309所示生成第二令牌，所述第二令牌为一随机数，所述第二令牌与第一令牌不同。这时由于移动服务平台通过第一令牌以及用户的认证而将第一令牌与用户在移动服务平台上的用户名联系起来。用户名可以用户标识符来表示，用户标识符是用户在移动服务平台上的用户身份唯一标识符，其可以是用户的手机号、手机IMSI号码，或者移动服务平台给用户分配的任何唯一的识别符。则上述三元组<令牌，服务方法，第三方应用服务地址>可以被替换为四元组<令牌，服务方法，第三方应用服务地址，用户标识符>。记录用户标识符可以在用户请求认证的过程中，而不必限制在用户通过认证后才记录。可以选择性地注销第一令牌，如在所述四元组<令牌，服务方法，第三方应用服务地址，用户标识符>中用第二令牌覆盖原来的第一令牌。也可以采用五元组<第一令牌，第二令牌，服务方法，第三方应用服务地址，用户标识符>的方式将生成的第二令牌填充第二令牌的位置。

箭头310示出所述移动平台发送包含第三方应用服务地址、第二令牌的给用户，在箭头312，该响应被浏览器重定向。其具体的HTTP响应如：Statuscode＝3xx，Location：http://www.xyzxyzmovie.com/Recommend？token＝token2。用户的移动终端将接收到此响应，则用户终上的浏览器会等终端工具执行重定向操作将第二令牌发送给第三方应用：URL＝http://www.xyzxyzmovie.com/Recommend？token＝token2。

如箭头312所示，响应于接收到用户转送的带有第二令牌以及请求服务的上述HTTP请求，第三方应用则根据第二令牌、应用服务请求而利用服务方法(应用接口)向移动服务平台发送第二请求，比如URL＝http://www.abcdmobile.com/SendMsgToFriends？token＝token2&callback＝http://www.movie.com/Recommend。当移动服务平台接收到第三方应用的所述第二请求时，移动服务平台将根据第三方应用的上述请求解析该第二请求从而得到第二令牌token2，与其所记录的所述四元组<令牌，服务方法，第三方应用服务地址，用户标识符>或者所述五元组<第一令牌，第二令牌，服务方法，第三方应用服务地址，用户标识符>进行比对，如果存在所示第二令牌所对应的四元组或者五元组，就可以允许该第三方应用访问移动服务平台所提供的方法以及所述用户信息并执行所示服务方法的相关操作，比如发送热门影片信息给用户标识符所标识的用户的好友等。优选可以进一步核查保存在四元组或者五元组中第一请求调用的服务方法与第二请求调用的服务方法是一致的情况下或者进一步核查第一请求包含的应用服务地址与第二请求包含的应用服务地址是一致的情况下，才根据所述四元组或者五元组所记录的信息临时允许该第三方应用访问移动服务平台所提供的服务方法以及所述用户信息并执行所示服务方法的相关操作；如果在进行比对时不存在第二令牌对应的所述四元组或者五元组，或者虽然存在第二令牌对应的所述四元组或者五元组但第一请求调用的服务方法与第二请求调用的服务方法不一致，则拒绝该第三方应用的访问。箭头313示出将相关执行信息返回给第三方应用，比如向第三方应用发送HTTP响应：Status code＝200，Body＝″发送消息给朋友成功″，在箭头314第三方应用向用户转发HTTP信息：Status code＝200，Body＝″发送消息给朋友成功″。优选地，移动服务平台可以在第三方应用本次授权访问结束后或者服务方法操作结束后，删除所述的四元组或者五元组等与令牌相关的数据信息，以防止第三方应用在以后未得到用户确认前仍然使用该用户在移动服务平台上的信息。

以上说明了第三方应用访问移动服务平台中用户数据时需要的用户身份认证授权的流程。这个流程实际上通过在移动终端、第三方应用和移动平台之间的HTTP请求/响应的操作来完成，当然也可以按照其它特定的协议完成，HTTP请求/响应是示例性的，仅仅在于帮助本领域技术人员理解本发明，而不能解释为对本发明保护范围的限制。在上述本发明的第二实施例所示出的方法，可以保证第三方应用不知道用户在移动服务平台上的用户标识符而访问移动服务平台提供的相关服务方法，另外第三方应用即使访问移动服务平台提供的GetFriendsList<Token>......这样的方法，也仅仅得到用户的一些零碎片断的信息，在这个过程中，用户的授权仅仅是临时性的针对某些应用与某次应用调用，用户信息不会被第三方应用用作其它用户所不希望的用途，同时也满足了移动服务平台扩大平台的应用服务的需要。另外用户终端并不一定限于移动终端，任何可以访问第三方应用或者移动服务平台的用户终端都可以适用于本发明。第三方应用可以部署在移动服务平台上，或者维持自己独立的服务器或者部署在其它移动服务平台上。

作为优选，有时用户可能认为让某些应用在自己规定一定时间内访问自己在移动服务平台上保存的信息的权限会更有利。则参照上述的第二实施方式，考虑这样的场景：当用户将热门影片A的消息推荐给朋友之后，他浏览网页又发现了关于热门影片B的消息，他也希望推荐给朋友。对于该移动用户，他会两次调用http://www.xyzxyzmovie.com/recommend。在这个过程中，用户与第三方应用之间需要执行session会话关联，另外第三方应用需要存储会话标识sessionID与token2的关联关系。关于session的操作是HTTP协议所规定的，用户无需考虑，浏览器和第三方应用的web服务器会自动地通过在cookie中设定sessionID＝xxxxxx的方式来决定一个HTTP请求是否属于一个存在的session还是开启一个新的session。对第三方应用而言，第二实施方式的14个步骤中，箭头304的步骤和箭头311的步骤会有稍微的改变。箭头304的步骤中第三方应用发送给用户的HTTP响应中可以增加一个set-cookie(设置cookie)的Header(头)，该header的值为：sessionID＝abcabc。箭头311的步骤中，浏览器在用户终端保存的Cookie中保持有一个Cookie header，它的值为：sessionID＝abcabc。当第三方应用服务器收到箭头311步骤的消息，它发现该请求中既有sessionID＝abcabc，又有token＝token2，第三方应用会保持<SessionID，Token2>这样的关联关系，其中Token2为第二令牌。而对移动服务平台而言，其在请求用户确认允许第三方应用访问用户信息时，同时询问用户允许第三方应用访问用户信息的确认是一次性的还是有一定的有效期(比如一周、一天或者半天，或者一次有效等)。请求用户确认有效期也可以单独给用户发送请求来获得。如果用户确认其授权是具有一定的有效期，则移动服务平台在保存的四元组或者五元组中增加一项有关有效期的记录，比如将所述四元组相应修改为<令牌，令牌有效期，服务方法，第三方应用服务地址，用户标识符>。在每次服务方法执行结束时，移动服务平台将核查令牌的有效期以决定是否注销该令牌、或者在第三方应用请求时核查第二令牌是否还在有效期内。在用户向朋友推荐影片A的消息后，用户后来又想向用户推荐影片B的消息，则对应于上述第二实施例的箭头11，12，13，14所示步骤，这时由用户给第三方应用发送HTTP请求：URL＝http://www.xyzxyzmovie.com/Recommend？token＝token2，其中的CookieHeader设为：sessionID＝abcabc。当第三方应用服务器接收到该HTTP请求时，它查询sessionID对应的(第二)令牌，并根据前面记录的<SessionID，Token2>关联关系发现了token＝token2，于是，第三方应用向移动服务平台发出请求：URL＝http://www.mobile.com/SendMsgToFriends？token＝token2&callback＝http://www.movie.com/Recommend？name＝movieB。而响应于收到第三方应用的上述请求，移动服务平台则核查是否存在这样的有效第二令牌，如果存在这样的有效第二令牌以及对于的所述四元组或者五元组，移动服务平台则会允许第三方应用调用其提供的相关服务方法。相反，则生成第一令牌而启动如第一实施方式或者第二实施方式的身份认证授权过程。采用这种令牌有效期的方式，可以在保护用户信息以及提供良好用户体验上取得很好的平衡和积极的效果。

本发明的第三实施方式提供一种保护用户信息装置400。如图4所示，移动服务平台500包括接口模块401。其中保护用户信息装置400与用户和应用之间的信息交互都可以通过接口模块401进行，接口模块401可以用于直接或者间接地接收来自用户或者应用的相关请求及其响应，以及向用户或者第三方应用发送相关响应或者请求。移动服务平台500还包括服务方法功能模块405，所述服务方法功能模块405用于响应确认后的第三方应用的服务请求而访问相关用户信息并提供相关服务，比如向用户的好友发送第三方应用提供的相关内容。所述保护用户信息装置400部署在移动服务平台上，其可以指令移动服务平台500的服务方法功能模块405访问用户信息存储装置407以获得存储在移动信息服务平台上的用户信息，并将该用户信息发送给所述应用或者利用该用户信息进行服务方法的操作。

所述保护用户信息装置400包括：用于接收应用访问用户信息的第一请求的装置；用于响应于所述第一请求未包含授权的令牌，生成第一令牌并发送给所述应用，并且关联所述第一令牌和所述第一请求的装置；用于响应于接收到用户的认证请求，认证所述用户，其中所述认证请求包含所述用户从所述应用获得的所述第一令牌的装置；用于响应于所述用户通过所述认证，根据所述第一令牌和所述第一请求的关联向所述用户请求确认所述第一请求的装置；用于响应于所述用户确认所述第一请求，生成第二令牌，向用户发送所述第二令牌，并且关联所述第二令牌和所述用户的装置；用于响应于接收到所述应用访问所述用户信息的第二请求，其中所述第二请求包含所述应用从所述用户获得的第二令牌，根据所述第二令牌与所述用户的关联允许所述应用访问所述用户信息的装置。其中所述关联所述第一令牌和所述第一请求包括将第一令牌、第一请求中包含的应用服务地址和服务方法相关联，或者所述关联第二令牌和所述用户包括将第二令牌和用户标识符相关联。其中所述根据所述第二令牌与所述用户的关联允许所述应用访问所述用户信息进一步包括：对比所述第一请求和所述第二请求包含的应用服务地址和服务方法；响应于所述第一请求和所述第二请求包含的应用服务地址和服务方法相同，允许所述应用访问所述用户信息。所述保护用户信息的装置还包括：用于响应于生成所述第二令牌，注销所述第一令牌的装置。所述保护用户信息的装置还包括：用于响应于所述应用访问完所述用户信息，注销所述第二令牌的装置。所述保护用户信息的装置还包括：用于接收用户确认第二令牌的有效期的装置；以及用于在第二令牌的有效期内，允许所述应用多次访问所述用户信息的装置。用于响应于所述用户确认所述第一请求，生成第二令牌，向用户发送所述第二令牌，并且关联所述第二令牌和所述用户的装置还包括：用于将第二令牌与第一请求中包含的应用服务地址和服务方法相关联的装置。所述保护用户信息的装置还包括：用于通过用户的移动电话的国际移动用户识别码IMSI对用户进行认证的装置。

所述保护用户信息装置400的具体控制方法与上述实施方式相同，在此不再赘述。

本发明的第四种实施方式则提供一种保护用户信息的系统600。所述保护用户信息的系统600包括移动服务平台500、用户终端501以及第三方应用503。第三方应用503可以部署在移动服务平台500之上，也可以部署在第三方或者其他方的服务器上。其中用户终端501具有如浏览器等用于与移动服务平台500、第三方应用503进行交互的工具，用户通过用户终端501可以控制自己存储在移动服务平台500的用户信息的访问。移动服务平台500则包括用户信息保护装置400、服务方法功能模块405和用户信息存储装置407。通过使用服务方法功能模块405和用户信息存储装置407可以向相关临时授权第三方应用提供用户信息或者完成服务方法的操作。第三方应用503包括访问用户信息处理模块409，该模块通过结合获得的相关授权令牌与移动服务平台的作为应用接口的服务方法，从而可以临时性的访问用户信息，并结合该临时获取的用户信息为用户提供相关各种服务。第三方应用503获得的仅仅是零碎的无法与在移动服务平台上的用户相关联的用户信息，从而该系统有效地保护了用户的私密信息。该系统的控制方法与上述方法实施方式相同，在此不再详述。

另外，根据本发明的保护用户信息的方法还可以通过计算机程序产品来实施，该计算机程序产品包括用于当在计算机上运行所述计算机程序产品时执行以实施本发明的仿真方法的软件代码部分。

还可以通过在计算机可读记录介质中记录一计算机程序来实施本发明，该计算机程序包括用于当在计算机上运行所述计算机程序时执行以实施根据本发明的仿真方法的软件代码部分。即，根据本发明的仿真方法的过程能够以计算机可读介质中的指令的形式和各种其它形式分发，而不管实际用来执行分发的信号承载介质的特定类型。计算机可读介质的例子包括诸如EPROM、ROM、磁带、纸、软盘、硬盘驱动器、RAM和CD-ROM的介质以及诸如数字和模拟通信链路的传输型介质。

尽管参考本发明的优选实施例具体展示和描述了本发明，但是本领域一般技术人员应该明白，在不脱离所附权利要求限定的本发明的精神和范围的情况下，可以对其进行形式和细节上的各种修改。

Claims

1.一种用于保护用户信息的方法，所述方法包括：

接收应用访问用户信息的第一请求；

响应于所述第一请求未包含授权的令牌，生成第一令牌并发送给所述应用，并且关联所述第一令牌和所述第一请求；

响应于接收到用户的认证请求，认证所述用户，其中所述认证请求包含所述用户从所述应用获得的所述第一令牌；

响应于所述用户通过所述认证，根据所述第一令牌和所述第一请求的关联向所述用户请求确认所述第一请求；

响应于所述用户确认所述第一请求，生成第二令牌，向用户发送所述第二令牌，并且关联所述第二令牌和所述用户；

响应于接收到所述应用访问所述用户信息的第二请求，其中所述第二请求包含所述应用从所述用户获得的第二令牌，根据所述第二令牌与所述用户的关联允许所述应用访问所述用户信息。

2.一种如权利要求1所述的方法，其中所述关联所述第一令牌和所述第一请求包括将第一令牌与第一请求中包含的应用服务地址和服务方法相关联。

3.一种如权利要求1所述的方法，其中所述关联第二令牌和所述用户包括将第二令牌和用户标识符相关联。

4.一种如权利要求1至3任一项所述的方法，还包括：

响应于生成所述第二令牌，注销所述第一令牌。

5.一种如权利要求1至3任一项所述的方法，还包括：

响应于所述应用访问完所述用户信息，注销所述第二令牌。

6.一种如权利要求1至3任一项所述的方法，进一步包括：

接收用户确认的第二令牌的有效期；以及

在第二令牌的有效期内，允许所述应用多次访问所述用户信息。

7.一种如权利要求1至3任一项所述的方法，其中所述响应于所述用户确认所述第一请求，生成第二令牌，向用户发送所述第二令牌，并且关联所述第二令牌和所述用户还包括：

将第二令牌与第一请求中包含的应用服务地址和服务方法相关联。

8.一种如权利要求7所述的方法，其中所述根据所述第二令牌与所述用户的关联允许所述应用访问所述用户信息进一步包括：

对比所述第一请求和所述第二请求包含的应用服务地址和服务方法；

响应于所述第一请求和所述第二请求包含的应用服务地址和服务方法相同，允许所述应用访问所述用户信息。

9.一种如权利要求1至3任一项所述的方法，其中所述用户的用户终端是移动电话，通过用户的移动电话的国际移动用户识别码IMSI对用户进行认证。

10.一种保护用户信息的装置，包括：

用于接收应用访问用户信息的第一请求的装置；

11.一种如权利要求10所述的装置，其中所述关联所述第一令牌和所述第一请求包括将第一令牌、第一请求中包含的应用服务地址和服务方法相关联。

12.一种如权利要求10所述的装置，其中所述关联第二令牌和所述用户包括将第二令牌和用户标识符相关联。

13.一种如权利要求10至12任一项所述的装置，所述保护用户信息的装置还包括：

用于响应于生成所述第二令牌，注销所述第一令牌的装置。

14.一种如权利要求10至12任一项所述的装置，所述保护用户信息的装置还包括：

用于响应于所述应用访问完所述用户信息，注销所述第二令牌的装置。

15.一种如权利要求10至12任一项所述的装置，其中所述保护用户信息的装置还包括：

用于接收用户确认第二令牌的有效期的装置；以及

用于在第二令牌的有效期内，允许所述应用多次访问所述用户信息的装置。

16.一种如权利要求10至12任一项所述的装置，其中用于响应于所述用户确认所述第一请求，生成第二令牌，向用户发送所述第二令牌，并且关联所述第二令牌和所述用户的装置还包括：

用于将第二令牌与第一请求中包含的应用服务地址和服务方法相关联的装置。

17.一种如权利要求16所述的装置，其中所述根据所述第二令牌与所述用户的关联允许所述应用访问所述用户信息进一步包括：

18.一种如权利要求10至12任一项所述的装置，所述保护用户信息的装置还包括：

用于通过用户的移动电话的国际移动用户识别码IMSI对用户进行认证的装置。

19.一种保护用户信息的移动服务平台系统，包括：

如权利要求10-18任一项所述的保护用户信息的装置；

用户信息存储模块，用于存储所述用户信息；

服务方法功能模块，用于根据所述保护用户信息的装置的指令访问所述用户信息。