CN102546532B - 能力调用方法、请求装置、平台及系统 - Google Patents

能力调用方法、请求装置、平台及系统 Download PDF

Info

Publication number
CN102546532B
CN102546532B CN201010588420.8A CN201010588420A CN102546532B CN 102546532 B CN102546532 B CN 102546532B CN 201010588420 A CN201010588420 A CN 201010588420A CN 102546532 B CN102546532 B CN 102546532B
Authority
CN
China
Prior art keywords
ability
token
application
request
module
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN201010588420.8A
Other languages
English (en)
Other versions
CN102546532A (zh
Inventor
王姗姗
胡伟
孙悦
刘涛
孙杰
武威
张炎
于蓉蓉
万薇
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Mobile Communications Group Co Ltd
Original Assignee
China Mobile Communications Group Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Mobile Communications Group Co Ltd filed Critical China Mobile Communications Group Co Ltd
Priority to CN201010588420.8A priority Critical patent/CN102546532B/zh
Publication of CN102546532A publication Critical patent/CN102546532A/zh
Application granted granted Critical
Publication of CN102546532B publication Critical patent/CN102546532B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Mobile Radio Communication Systems (AREA)

Abstract

本发明公开了一种能力调用方法、请求装置、平台及系统。其中,该能力调用方法包括:客户端向应用侧发送令牌获取请求,接收应用侧返回的令牌,生成及发送包括令牌的能力调用请求;能力调用平台根据能力调用请求进行验证,并在验证成功后,为客户端调用能力。本发明提高了互联网平台能力开放的安全性,同时,避免了通过应用侧操作而导致的信息泄露,安全性较低的缺陷。

Description

能力调用方法、请求装置、平台及系统
技术领域
本发明涉及一种数据业务领域,尤其涉及一种能力调用方法、请求装置、平台及系统。
背景技术
伴随着互联网的发展以及互联网应用的不断丰富,面对互联网发展带来的机遇与挑战,电信运营商在探索如何加大应用创新力度,深度挖掘增值业务拓展潜力的基础上,开始尝试通过开放电信以及互联网能,吸引全球开发者,通过全面降低应用创新门槛,基于开放的能力开发更多长尾应用。
运营商通过开放能力,创新应用,用户使用应用过程中,如何保证能力开放的安全性,应用使用的安全性,保证计费安全、用户隐私安全,以及应用和内容等的安全是能力开放的关键问题,因此需要通过有效的安全机制满足能力开放的安全需求。但是,现有的能力开放系统重点解决了能力开放的实现方法,但未能提供有效机制保证能力开放及应用使用等各个环节的安全性,未能满足能力开发的安全需求。
因此,如何保证开放移动互联网平台能力开放的安全性成为现有技术需要解决的技术问题。
发明内容
本发明的目的在于,提供一种能力调用方法、请求装置、平台及系统,提高能力调用时的系统安全性。
为实现上述目的,根据本发明的一个方面,提供一种能力调用方法,包括:客户端向应用侧发送令牌获取请求,接收应用侧返回的令牌,生成及发送包括令牌的能力调用请求;能力调用平台根据能力调用请求进行验证,并在验证成功后,为客户端调用能力。
为实现上述目的,根据本发明的另一个方面,提供一种能力调用请求装置,应用侧,用于接收令牌获取请求,并根据令牌获取请求生成及返回令牌;客户端,用于发送令牌获取请求,接收令牌,生成及发送包括令牌的能力调用请求。
为实现上述目的,根据本发明的另一个方面,提供一种能力调用平台,包括:验证模块,用于根据接收的包括令牌的能力调用请求进行验证;调用模块,用于在验证成功后,进行能力调用操作。
为实现上述目的,根据本发明的另一个方面,提供一种能力调用系统,包括:应用侧,用于接收令牌获取请求,并根据令牌获取请求生成及返回令牌;客户端,用于发送令牌获取请求,接收令牌,生成及发送包括令牌的能力调用请求;能力调用平台,用于根据能力调用请求进行验证,并在验证成功后,为客户端调用能力。
本发明的各实施例,通过对客户端发送的包括令牌(即Token)的能力调用请求进行验证,提高了互联网平台能力开放的安全性,同时,由客户端直接发送该能力调用请求且直接接收能力调用结果,避免了通过应用侧操作而导致的信息泄露,安全性较低的缺陷。另外,本发明提供了包括客户端、应用侧以及能力调用平台侧的能力调用系统,通过三者之间的交互,保证了能力开放端到端的安全性。
附图说明
图1是本发明能力调用方法及系统实施例一的信令图;
图2是本发明能力调用方法及系统实施例二的信令图;
图3是本发明能力调用请求装置的实施例的结构图;
图4是本发明能力调用平台的实施例的结构图。
具体实施方式
以下各实施例基于开放移动互联网平台(OMP,OpenMobile-InternetPlatform)的思想,即通过开放OMP操作对象的API,进而开放与该通用对象管理平台连接的能力平台提供的各种能力,提出了一种新的能力调用平台,以安全地提供各种能力开放,如:短信、彩信、位置、Presence等。实现了开发者基于开放的能力开发各种应用,向用户提供丰富的业务体验,保证了能力调用平台实现能力开放所涉及的能力开放安全性,应用使用安全性,计费安全性、用户隐私安全性,以及应用和内容等方面的安全性。
以下结合附图对本发明进行详细说明。
方法实施例一
如图1所示,本发明能力调用方法实施例包括以下步骤:
步骤102,客户端向应用侧发送Token获取请求;
步骤104,应用侧根据该Token获取请求生成Token,并将Token返回至该客户端;具体如下:
为了保障Token的机密性,避免其被非授权使用,具体操作时,可以对Token进行定制,定制的算法包括应用侧的Token生成函数及服务器侧(即能力调用平台侧)的Token校验函数,并在业务使用过程中,对Token内部机制进行保密;实现机制自下而上共分为五个层次:
a、标准化算法,最底层为标准化算法实现,例如采用RFC4226标准的HOTP算法;
b、GDK参数,即全局主密钥设置,用于参与授权Token的生成;即原来用于生成授权Token的密钥Key,由Key和GDK的Hash值进行替代;
c、算法输入转换,即将原用于生成授权Token的明文输入参数进行转换,例如可将明文输入参数的左右两部分进行调换;
d、应用及能力绑定,即将授权信息进行绑定,并在校验Token,同时对其授权信息进行校验;
e、运营商网络绑定,在进行订购或注册请求的Token校验的同时,需要检测IMSI等运营商参数是否属于所部署该业务的运营商,重点MCC移动国家代码(如中国为“46”)及MNC移动网络代码(如中国移动,GSM:″000″或″002″,TS-SCDMA:″007″)在进行能力请求时,需要检测MSISDN前三位数字是否属于所部署该业务的运营商;
本领域技术人员可以理解,上述用于保证Token机密性的五个层次为提升安全性,为优选方案,具体的Token生成算法为现有技术,不再赘述;
步骤106,该客户端生成并发送包括Token的能力调用请求;具体操作时,该能力调用请求中可以包含:与该Token对应的应用(即应用侧接收该Token获取请求的应用)的应用标识APPID、应用侧应用使用者身份(简称用户)标识PID和Token,其中,用户可以通过移动终端或是Web发起能力调用,对应地,Token可以包括TerToken和WebToken;
步骤108,能力调用平台根据能力调用请求进行验证;具体解释如下:
首先对能力调用请求中的Token进行验证;具体如:在应用被正式使用前,能力调用平台预先为每个应用分配相应的应用密钥APPKEY分别存储在应用侧与能力调用平台侧,用于保障应用身份的真实性,应用侧(如步骤104中)利用该APPKEY根据预设的生成算法加密生成该Token;能力调用平台在接收到能力调用请求后,选择预设的与该生成算法一致的校验函数,并根据调用请求中包括的应用标识APPID获取对应的预先在能力调用平台侧存储的APPKEY,根据该校验算法及该能力调用平台侧存储的APPKEY生成校验Token,比对该校验Token与该应用侧生成的Token以进行校验,二者一致时,校验成功,也就是说应用的APPID与APPKEY为一一对应关系,验证不通过则结束操作,如果验证通过,则行步骤110,本领域技术人员可以理解,校验函数与生成函数一致,若生成该Token时,该生成函数还包括了其他的参数,如客户端请求次数的计数值counter,校验该Token时,也需要利用该计数值counter生成该校验Token,不再赘述;
具体地,针对WEB应用,APPKEY是在应用开发阶段,由开发者申请获取并预置在WEB应用代码(对应于图3中的应用模块中的应用)中;针对终端应用,APPKEY是在应用上线阶段,应用通过能力调用平台审核后,安全存储在新建的终端应用安全组件(对应于图3中的应用安全组件)中,并通过用该新建的终端应用安全组件置换开发者在开发阶段所使用安全组件来实现APPKEY(该置换操作保证了开发者对APPKEY是不可知的)的安全分发;能力调用平台还需要对APPKEY进行安全存储(如通过加密机等方式)及使用(主要用于校验TerToken及WebToken),保障APPKEY的安全性;
本领域技术人员可知,此处对Token的校验,可以根据预设的校验方法对其进行校验操作,根据应用标识APPID获取对应的应用密钥进行解密校验为优选方式,对应地,能力调用请求中包括该Token即可实现发明目的,包括应用标识APPID、及用户标识PID为优选方案;此外,能力调用请求中还可包括用于表示客户端请求次数的计数值counter,相应地,能力调用平台进一步校验counter的大小和期限,确定counter的大小是否在预设的范围内,以及期限是否过期,在两个条件都满足的情况下,通过验证,否则,验证不通过;通过计数值counter的大小及期限限制,实现了控制客户端在发起能力调用请求的次数超过预设的阈值,需要重新注册;或者在注册时间超过了一定期限,也需要重新注册,提高了安全性;
其次,对根据能力调用请求中用户标识对用户身份进行验证;具体操作时,该用户标识可以为用户真实标识或用户伪码标识;若通过用户伪码标识代表用户标识,能力调用平台在用户订购应用成功时,生成该用户伪码标识,并存储该用户伪码标识与用户真实标识的对应关系,以及将用户伪码标识返回给应用侧;在能力调用时,且应用侧发送的能力调用请求中包含该用户伪码标识时,能力调用平台根据用户伪码标识及其与用户真实标识的对应关系查询是否存在该用户真实标识,当存在该用户真实标识(如MSIDSDN)时,确定有效的应用与该伪码对应的用户有效;若通过用户真实标识(如MSIDSDN)代表用户标识,直接验证该用户真实标识的有效性;
再次,为了实现能力调用平台对应用调用能力进行授权,能力调用平台还可以根据该用户标识及应用标识获取用户及应用的信息,对鉴权应用-能力签约关系、用户订购关系、用户账户、开发者子账户进行验证,本领域技术人员可以理解,此处验证的手段主要是根据预先存储的相关信息进行比对验证,不在赘述;
步骤110,能力调用平台在验证成功后,为客户端调用能力;具体如:
首先,能力调用平台到相应的能力平台为应用侧调用能力;
其次,能力平台返回能力调用结果响应至能力调用平台;
再次,能力调用平台将该能力调用结果响应直接转发至客户侧。
本实施例中,通过对客户端发送的包括令牌(即Token)的能力调用请求进行验证,提高了互联网平台能力开放的安全性,同时,由客户端直接发送该能力调用请求且直接接收能力调用结果,避免了通过应用侧操作而导致的信息泄露,安全性较低的缺陷。
本领域技术人员可以理解,图1主要说明了在基于该能力调用平台对应用开发完成,且对开发完成的应用进行注册等操作后,使用该注册成功后的应用,实现安全地调用对应能力的流程,为了更好的理解本发明,以下对其他的阶段,如开发阶段及订购阶段等进行解释说明:
1)应用开发阶段可以采用单向HTTPS+用户名/密码方式实现能力调用平台与开发者间的双向身份认证;在应用开发完成后申请注册时,可以由能力调用平台为每一个应用分配唯一标识APPID,同时为避免应用身份伪造,导致应用运行时产生能力滥用及计费破坏等问题,预先为每个应用分配固定的密钥AppKey,用于应用的验证,详见图1的解释说明;应用侧与能力调用平台的交互需要有保证端到端交互的安全机制;可以通过预置安全组件,使该安全组件与各应用联合作用,安全组件主要实现认证、安全存储、完整性保护以及代码混淆的功能;
另外,为保护用户资源不被外泄及滥用,还可以采用伪码机制,用户伪码标识(简称伪码)是用户在系统内部的唯一标识,如可以表示针对不同应用的用户唯一身份标识,具体可以为“用户手机号码+APPID(应用ID)”,这样可以设置同一用户对对应的不同应用的伪码不同;
伪码的生成规则如下:nonce=Truncate(SHA-1(MSISDN、APPID、Random),96);伪码由nonce和timestamp进行置换组合生成,共32个字符;其中:Truncate(SHA-1(MSISDN、APPID、Random),96)表示仅截取前96bits;MSISDN:为用户手机号;APPID:应用标识;Random:随机数(32位);nonce为12Bytes,由Byte类型以BASE64编码转化为字符类型共16个字符,从高位到低位的格式为:N(1)N(2)N(3)...N(16);timestamp:时间戳(YYYYMMDDhhmmss)+补充2个字符的随机数,从高位到低位的格式为:T(1)T(2)T(3)...T(16));reversedtimestamp为timestamp中各字节置换后的结果,reversedtimestamp从高位到低位的格式为:R(1)R(2)R(3)...R(16);置换规律如表1所示:
表1
R1=T14 R2=T3 R3=T5 R4=T11
R5=T1 R6=T8 R7=T13 R8=T2
R9=T4 R10=T15 R11=T10 R12=T9
R13=T16 R14=T12 R15=T7 R16=T6
伪码从高位到低位的格式为:B(1)B(2)B(3)...B(32);其中,B(2n-1)=N(n)(其中n=1,2,3,...,16);B(2n)=R(n)(其中n=1,2,3,...,16);
2)用户订用时,通过订购过程,能力调用平台生成用户订购关系,维护用户授权的应用;为了避免第三方应用获取用户的真实标识(如MSISDN),订购采用OMP授权机制,即由能力调用平台面向用户提供订购界面获取用户MSISDN,并通过发送验证码的方法(如短信验证码)验证用户MSISDN的真实性;此外,能力调用平台还可以针对每一应用为用户生成伪码,并将伪码发送给应用,保证后续应用使用中应用均采用伪码标识用户。
方法实施例二
如图2所示,本实施例能力调用方法详细流程如下:
1,客户端,如Web浏览器,发送Token获取请求到应用侧的应用模块如,Web应用模块(以下各步骤以Web应用进行解释说明,不应做限定解释);本领域技术人员可以理解,此处为各类Web应用,如Ajax类Web应用;
2,Web应用模块将该请求转发到Web安全组件,具体操作时,还可以由Web应用模块自身确认用户身份可信后再转发该请求;
3,Web安全组件生成WebToken,并返回包括WebToken的响应消息给Web应用模块;具体操作时该响应还可以包含应用标识APPID及Counter;
4,Web应用模块返回响应消息给Web浏览器,包含APPID,用户标识PID(可以为用户伪码标识或用户真实标识),WebToken,Counter;
5,Web浏览器发送能力调用请求到能力调用平台的平台接入子系统,该能力调用请求可以包含APPID,PID,WebToken,Counter;
6,平台接入子系统发送Token验证请求到平台鉴权模块,包含APPID,PID,WebToken,Counter;
7,平台鉴权模块发送Token验证请求到平台安全模块;
8,平台安全模块验证WebToken(验证的过程详见图1的解释说明),若验证不通过则返回错误代码;
9,平台安全模块在验证成功时返回Token验证通过响应给平台鉴权模块;并由平台鉴权模块返回Token验证通过响应给平台接入子系统;
10,平台接入子系统发送能力调用请求到平台鉴权模块,包含APPID,用于指示待调用能力的能力标识EID,用户标识PID;
11,平台鉴权模块发送确认请求信息到接入子系统,该确认请求用于向用户确认是否调用对应的能力;
12,接入子系统发送该确认消息到与用户真实标识(如MSISDN)对应的用户终端,如用户手机,发送该确认消息(确认响应)至用户终端的方式可以为多种,如短信,邮件等;
13,用户终端返回确认信息到接入子系统;
14,接入子系统转发确认消息给平台鉴权模块;
本领域技术人员可以理解,步骤11-14主要为了确认用户是否利用相应的应用用于能力调用,其可以在步骤15验证操作执行完之后再操作,或者根据实际需要设置具体操作的次序;
15,平台鉴权模块根据步骤10中的能力调用请求对该APPID对应的应用进行能力调用验证,具体包括:对用户合法性的验证,对平台权模块对应用与能力的签约关系,用户与应用产品的订购关系,开发者的子账户以及用户的账户,进行一一验证,若验证不通过,则返回错误代码;同时平台鉴权模块对应用、用户进行预扣费处理;
16,平台鉴权模块返回验证成功响应至平台接入子系统;
17,平台接入子系统调用提供对应能力的能力平台,如位置平台;
18,能力平台给平台接入子系统返回能力调用结果;
19,平台接入子系统直接给Web浏览器返回能力调用结果;直接将调用结果返回给客户端避免了应用侧的参与,提升安全性;
20,平台接入子系统向平台鉴权模块发送扣费处理通知,包括APPID,MSISDN;
21,平台鉴权模块执行扣费处理;
22,平台鉴权模块返回扣费处理响应给平台接入子系统;
23,平台鉴权模块发送话单请求到BOSS,包括APPID,MSISDN;
24,BOSS返回扣费结果给平台鉴权模块,具体操作时,该平台鉴权模块还用于生成话单。
本实施例通过对客户端发送的包括令牌(即Token)的能力调用请求进行验证,提高了互联网平台能力开放的安全性,同时,由客户端直接发送该能力调用请求且直接接收能力调用结果,避免了通过应用侧操作而导致的信息泄露,安全性较低的缺陷。另外,本发明提供了包括客户端、应用侧以及能力调用平台侧的能力调用系统,通过三者之间的交互,保证了能力开放端到端的安全性。
装置实施例一
如图3所示,本发明能力调用请求装置实施例包括:
应用侧34,用于接收Token获取请求,并根据该Token获取请求生成Token,并返回Token;
客户端32,用于发送Token获取请求,并接收Token,以及生成并发送包括Token的能力调用请求。
应用侧34可以包括:应用模块342,用于接收Token获取请求,并返回包括应用标识APPID、与用户标识PID及Token的反馈信息至客户端;应用标识APPID为应用侧中与Token对应的应用的标识;应用安全模块344,用于接收应用模块转发的Token获取请求,生成Token,并将Token与应用标识APPID返回至应用模块。
该客户端32可以包括:发送模块322,用于发送Token获取请求至应用模块342;生成模块324,用于生成包括Token、应用标识及用户伪码标识的能力调用请求,并通过发送模块322发送能力调用请求至能力调用平台;接收模块326,用于接收应用模块342返回的Token,以及直接接收能力调用平台根据能力调用请求返回的调用结果;能力模块(图未示),存储能力调用平台面向开放者提供的SDK类库,封装了包括位置、短信等在内的能力资源。
装置实施例二
如图4所示,本发明能力调用平台实施例包括:验证模块42(对应于平台安全模块及平台鉴权模块),用于根据接收的包括Token的能力调用请求进行验证;调用模块46(对应于平台接入子系统),用于在验证成功后,进行能力调用操作;
具体操作时,该能力调用平台还可以包括:确认模块44(具体操作时,可以由平台鉴权模块执行确认模块44的功能,如图2的解释说明,也可以设置独立的确认模块44,如本实施例),用于在验证成功后,将确认请求信息发送至与用户真实标识对应的用户终端,并接收用户终端返回的确认响应;计费模块48(具体操作时,可以由平台安全模块执行计费模块48的功能,如图2的解释说明,也可以设置独立的计费模块48,如本实施例),用于在能力调用操作完成后执行扣费操作,并在扣费操作完成后,向BOSS系统发送话单请求,以及接收BOSS系统返回的话单响应,该计费模块48还用于生成话单。
该验证模块42可以包括:
验证子模块422(对应于平台安全模块),用于根据能力调用请求中的应用标识APPID查询对应的应用密钥APPKEY,用应用密钥APPKEY对Token进行解密校验;应用标识APPID为与Token对应的应用的标识;
鉴权子模块424(对应于平台鉴权模块),用于在验证Token有效后,根据预设的各用户伪码标识与各用户真实标识的对应关系,查询能力调用请求中的用户伪码标识对应的用户真实标识,并在查到该用户真实标识时确定验证成功。
具体解释如下,调用模块46,主要负责完成电信、IMS、互联网等网络能力开放和计费控制,屏蔽底层网络复杂性,提供统一的WebService/REST接口,供各种终端或服务器应用使用;验证子模块422和鉴权子模块424是能力调用平台的核心部分,通过内部接口与能力开放网关以及平台管理子系统交互,完成安全控制以及鉴权等功能,通过外部接口与BOSS系统进行交互完成计费相关功能;验证子模块422主要负责伪码管理、APPKEY管理、Token管理,身份认证、应用完整性保护、以及数据安全管理等功能,其中身份认证主要负责在应用访问能力调用平台时,实现用户/应用与能力调用平台的身份合法性验证;鉴权子模块424主要进行订购关系维护、订购关系同步、鉴权认证、用户信息同步、开发者信息同步、产品信息同步、话单生成、话单同步和计费执行等功能。
具体操作时验证子模块422还可以包括伪码生成单元(图未示),用于接收到应用侧发送的伪码获取请求后,根据用户真实标识(如MSIDSDN)及应用标识APPID生成相应的伪码,并将伪码返回给应用侧;检验子单元,用于根据应用侧发送的伪码查询用户真实标识(如MSIDSDN)后,对能力调用请求进行验证。
系统实施例
如图1、图2所示,本发明能力调用系统实施例包括:应用侧,用于接收Token获取请求,并根据令牌获取请求生成及返回Token;客户端,用于发送Token获取请求,并接收Token,以及生成并发送包括Token的能力调用请求;能力调用平台,用于根据能力调用请求进行验证,并在验证成功后,为客户端调用能力。该系统还可以包括BOSS,在能力调用成功后,接收能力调用平台发送的话单请求,并返回扣费结果给能力调用平台。本实施例中的应用侧及客户端详见图3的解释说明,能力调用平台详见图4的解释说明。
本发明提供了包括客户端、应用侧以及能力调用平台侧的安全架构,通过三者之间的交互,保证了能力开放端到端的安全性。
应说明的是:以上实施例仅用以说明本发明而非限制,本发明也并不仅限于上述举例,一切不脱离本发明的精神和范围的技术方案及其改进,其均应涵盖在本发明的权利要求范围中。

Claims (9)

1.一种能力调用方法,其特征在于,包括:
客户端向应用侧发送令牌获取请求,接收所述应用侧返回的令牌和应用标识,生成及发送包括所述令牌和应用标识的能力调用请求;
能力调用平台根据所述能力调用请求中的应用标识进行验证,并在验证成功后,为所述客户端调用能力;
所述能力调用平台根据所述能力调用请求中的应用标识进行验证的步骤包括:
所述能力调用平台根据所述能力调用请求中的应用标识查询对应的应用密钥,并根据预设的与生成所述令牌相同的算法及所述应用密钥校验所述令牌;所述应用标识为所述应用侧中接收所述令牌获取请求的应用的标识,并由所述应用侧返回给所述客户端。
2.根据权利要求1所述的能力调用方法,其特征在于,还包括:
所述能力调用平台在验证所述令牌有效后,根据预设的各用户伪码标识与各用户真实标识的对应关系,查询所述能力调用请求中的用户伪码标识对应的用户真实标识,并在查到所述用户真实标识时确定验证成功。
3.根据权利要求2所述的能力调用方法,其特征在于,在所述为所述客户端调用能力的步骤之前还包括:
在验证成功后,所述能力调用平台将确认请求信息发送至与所述用户真实标识对应的用户终端,并接收所述用户终端返回的确认响应。
4.根据上述权利要求1-3中任意一项所述的能力调用方法,其特征在于,还包括:
所述能力调用平台在能力调用操作完成后执行扣费操作,并在扣费操作完成后,向BOSS系统发送话单请求,以及接收所述BOSS系统返回的话单响应。
5.一种能力调用请求装置,其特征在于,包括:
应用侧,用于接收令牌获取请求,并根据所述令牌获取请求生成及返回令牌和应用标识;
客户端,用于发送所述令牌获取请求,接收所述令牌和应用标识,生成及发送包括所述令牌和应用标识的能力调用请求;
所述应用侧包括:
应用模块,用于接收所述令牌获取请求,并返回包括应用标识、用户伪码标识及所述令牌的反馈信息至所述客户端;所述应用标识为所述应用模块中接收所述令牌获取请求的应用的标识;
应用安全模块,用于接收所述应用模块转发的所述令牌获取请求,生成所述令牌,并将所述令牌与所述应用标识返回至所述应用模块。
6.根据权利要求5所述的能力调用请求装置,其特征在于,所述客户端包括:
发送模块,用于发送所述令牌获取请求至所述应用模块;
生成模块,用于生成包括所述令牌、应用标识及用户伪码标识的能力调用请求,并通过所述发送模块发送所述能力调用请求至能力调用平台;
接收模块,用于接收所述应用模块返回的所述令牌、应用标识及用户伪码标识,以及直接接收所述能力调用平台根据所述能力调用请求返回的调用结果。
7.一种能力调用平台,其特征在于,包括:
验证模块,用于根据接收的包括令牌的能力调用请求中的应用标识进行验证;
调用模块,用于在验证成功后,进行能力调用操作;
所述验证模块包括:
验证子模块,用于根据所述能力调用请求中的应用标识查询对应的应用密钥,用所述应用密钥对所述令牌进行解密校验;所述应用标识为与所述令牌对应的应用的标识;
鉴权子模块,用于在验证所述令牌有效后,根据预设的各用户伪码标识与各用户真实标识的对应关系,查询所述能力调用请求中的用户伪码标识对应的用户真实标识,并在查到所述用户真实标识时确定验证成功。
8.根据权利要求7所述的能力调用平台,其特征在于,还包括:
确认模块,用于在验证成功后,将确认请求信息发送至与所述用户真实标识对应的用户终端,并接收所述用户终端返回的确认响应;
计费模块,用于在能力调用操作完成后执行扣费操作,并在扣费操作完成后,向BOSS系统发送话单请求,以及接收所述BOSS系统返回的话单响应。
9.一种能力调用系统,其特征在于,包括:
应用侧,用于接收令牌获取请求,并根据所述令牌获取请求生成及返回令牌和应用标识;
客户端,用于发送所述令牌获取请求,接收所述令牌和应用标识,生成及发送包括所述令牌和应用标识的能力调用请求;
能力调用平台,用于根据所述能力调用请求中的应用标识进行验证,并在验证成功后,为所述客户端调用能力;
所述能力调用平台根据所述能力调用请求中的应用标识进行验证的步骤包括:
所述能力调用平台根据所述能力调用请求中的应用标识查询对应的应用密钥,并根据预设的与生成所述令牌相同的算法及所述应用密钥校验所述令牌;所述应用标识为所述应用侧中接收所述令牌获取请求的应用的标识,并由所述应用侧返回给所述客户端。
CN201010588420.8A 2010-12-07 2010-12-07 能力调用方法、请求装置、平台及系统 Expired - Fee Related CN102546532B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201010588420.8A CN102546532B (zh) 2010-12-07 2010-12-07 能力调用方法、请求装置、平台及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201010588420.8A CN102546532B (zh) 2010-12-07 2010-12-07 能力调用方法、请求装置、平台及系统

Publications (2)

Publication Number Publication Date
CN102546532A CN102546532A (zh) 2012-07-04
CN102546532B true CN102546532B (zh) 2016-03-30

Family

ID=46352506

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201010588420.8A Expired - Fee Related CN102546532B (zh) 2010-12-07 2010-12-07 能力调用方法、请求装置、平台及系统

Country Status (1)

Country Link
CN (1) CN102546532B (zh)

Families Citing this family (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103581140B (zh) * 2012-08-03 2018-02-27 腾讯科技(深圳)有限公司 授权控制方法及装置和系统、授权请求方法及装置
CN103023657B (zh) * 2012-12-26 2015-04-15 武汉天喻信息产业股份有限公司 一种基于分布式的网络交易安全验证系统
CN104572054B (zh) * 2013-10-22 2018-08-17 中国移动通信集团公司 一种能力调用方法和设备
CN104702405B (zh) * 2013-12-04 2018-10-02 中国电信股份有限公司 一种应用分级认证的方法和系统
CN104852939B (zh) * 2014-02-18 2018-07-24 中国电信股份有限公司 一种部署能力接口的方法和系统
CN104917727B (zh) * 2014-03-12 2019-03-01 中国移动通信集团福建有限公司 一种帐户鉴权的方法、系统及装置
CN105025470A (zh) * 2014-04-18 2015-11-04 中国移动通信集团公司 一种业务请求处理方法、系统及相关装置
CN105282125B (zh) * 2014-07-25 2018-07-06 中国电信股份有限公司 Web实时通信中的访问控制方法和装置
CN105376734B (zh) * 2014-08-29 2019-01-01 中国电信股份有限公司 进行智能管道能力调用的方法与系统
CN106209728B (zh) * 2015-04-30 2019-07-02 中国电信股份有限公司 电信能力调用方法和系统
CN107113316A (zh) * 2015-11-03 2017-08-29 国民技术股份有限公司 一种app认证的系统和方法
CN105897782B (zh) * 2016-06-30 2019-05-10 北京奇艺世纪科技有限公司 一种针对接口的调用请求的处理方法及装置
CN107689870B (zh) * 2017-08-29 2021-02-02 杭州绿湾网络科技有限公司 客户端鉴权方法和系统
CN108572870B (zh) * 2017-11-23 2020-11-06 北京金山云网络技术有限公司 一种数据获取方法、装置、电子设备、存储介质及系统
CN108259502B (zh) * 2018-01-29 2020-12-04 平安普惠企业管理有限公司 用于获取接口访问权限的鉴定方法、服务端及存储介质
CN109150528A (zh) * 2018-11-07 2019-01-04 杭州海兴电力科技股份有限公司 一种电表数据访问方法、装置、设备及可读存储介质
CN110263575B (zh) * 2019-06-21 2020-11-13 上海富数科技有限公司 基于哈希算法和会话控制实现数据融合及数据隐私保护的方法
CN112131597A (zh) * 2019-10-22 2020-12-25 刘高峰 一种生成加密信息的方法、装置和智能设备
WO2022077213A1 (en) * 2020-10-13 2022-04-21 Zte Corporation Methods, apparatuses and systems for user equipment capability confirmation enquiry procedure
CN114980148B (zh) * 2021-02-23 2024-03-12 中国联合网络通信集团有限公司 网络能力确定方法和装置

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101562621A (zh) * 2009-05-25 2009-10-21 阿里巴巴集团控股有限公司 一种用户授权的方法、系统和装置
CN101771960A (zh) * 2009-01-04 2010-07-07 中国移动通信集团公司 移动网络的业务调用方法、业务网关、业务平台和系统

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101771960A (zh) * 2009-01-04 2010-07-07 中国移动通信集团公司 移动网络的业务调用方法、业务网关、业务平台和系统
CN101562621A (zh) * 2009-05-25 2009-10-21 阿里巴巴集团控股有限公司 一种用户授权的方法、系统和装置

Also Published As

Publication number Publication date
CN102546532A (zh) 2012-07-04

Similar Documents

Publication Publication Date Title
CN102546532B (zh) 能力调用方法、请求装置、平台及系统
EP2255507B1 (en) A system and method for securely issuing subscription credentials to communication devices
CN102378170B (zh) 一种鉴权及业务调用方法、装置和系统
CN101207482B (zh) 一种实现单点登录的方法及系统
CN101510877B (zh) 单点登录方法和系统、通信装置
CN101242271B (zh) 可信的远程服务方法及其系统
CN102571693A (zh) 能力安全调用方法、装置及系统
CN104125565A (zh) 一种基于oma dm实现终端认证的方法、终端及服务器
CN103812871A (zh) 一种基于移动终端应用程序安全应用的开发方法及系统
CN105207774A (zh) 验证信息的密钥协商方法及装置
CN103297403A (zh) 一种实现动态密码认证的方法和系统
CN101247407A (zh) 网络认证服务系统和方法
HRP20160140T1 (hr) Kvalificirani elektronski sustav za potpisivanje, odgovarajući postupak i uređaj mobilnog telefona za kvalificirani elektronski potpis
US20130311783A1 (en) Mobile radio device-operated authentication system using asymmetric encryption
IL162011A (en) Using a pair of public keys in common for user authentication and authorization and communication with the network operator and trading colleagues
CN110475249A (zh) 一种认证方法、相关设备及系统
CN105142139A (zh) 验证信息的获取方法及装置
CN101754215A (zh) 一种鉴权方法及系统
JP2015537399A (ja) モバイル決済のためのアプリケーションシステム及びモバイル決済手段を提供する及び用いるための方法
CN111356124B (zh) eSIM激活方法、系统以及计算机可读存储介质
CN103974248A (zh) 在能力开放系统中的终端安全性保护方法、装置及系统
CN102567903B (zh) 一种Web应用订购方法、装置及系统
CN104378368B (zh) 一种扫码登陆方法和系统
JP2008535427A (ja) データ処理デバイスとセキュリティモジュールとの間のセキュア通信
EP1680940A1 (en) Method of user authentication

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20160330

CF01 Termination of patent right due to non-payment of annual fee