CN102572815B - 一种对终端应用请求的处理方法、系统及装置 - Google Patents
一种对终端应用请求的处理方法、系统及装置 Download PDFInfo
- Publication number
- CN102572815B CN102572815B CN201010612583.5A CN201010612583A CN102572815B CN 102572815 B CN102572815 B CN 102572815B CN 201010612583 A CN201010612583 A CN 201010612583A CN 102572815 B CN102572815 B CN 102572815B
- Authority
- CN
- China
- Prior art keywords
- application
- request
- user terminal
- seed
- imsi
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000012545 processing Methods 0.000 title claims abstract description 96
- 238000000034 method Methods 0.000 title claims abstract description 77
- 238000012795 verification Methods 0.000 claims abstract description 13
- 230000008569 process Effects 0.000 claims description 57
- 230000005540 biological transmission Effects 0.000 claims description 24
- YBJHBAHKTGYVGT-ZKWXMUAHSA-N (+)-Biotin Chemical compound N1C(=O)N[C@@H]2[C@H](CCCCC(=O)O)SC[C@@H]21 YBJHBAHKTGYVGT-ZKWXMUAHSA-N 0.000 claims description 20
- FEPMHVLSLDOMQC-UHFFFAOYSA-N virginiamycin-S1 Natural products CC1OC(=O)C(C=2C=CC=CC=2)NC(=O)C2CC(=O)CCN2C(=O)C(CC=2C=CC=CC=2)N(C)C(=O)C2CCCN2C(=O)C(CC)NC(=O)C1NC(=O)C1=NC=CC=C1O FEPMHVLSLDOMQC-UHFFFAOYSA-N 0.000 claims description 20
- 230000004044 response Effects 0.000 claims description 15
- 238000003672 processing method Methods 0.000 claims description 8
- 230000000875 corresponding effect Effects 0.000 description 82
- 238000004519 manufacturing process Methods 0.000 description 21
- 101100059544 Arabidopsis thaliana CDC5 gene Proteins 0.000 description 19
- 101150115300 MAC1 gene Proteins 0.000 description 19
- 101100244969 Arabidopsis thaliana PRL1 gene Proteins 0.000 description 14
- 102100039558 Galectin-3 Human genes 0.000 description 14
- 101100454448 Homo sapiens LGALS3 gene Proteins 0.000 description 14
- 101150051246 MAC2 gene Proteins 0.000 description 14
- 238000004321 preservation Methods 0.000 description 6
- 238000004422 calculation algorithm Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 230000000977 initiatory effect Effects 0.000 description 2
- 238000012790 confirmation Methods 0.000 description 1
- 239000013256 coordination polymer Substances 0.000 description 1
- 230000002596 correlated effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000005194 fractionation Methods 0.000 description 1
- 238000000638 solvent extraction Methods 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种对终端应用请求的处理方法、系统及装置,主要技术方案包括:接收用户终端发送的应用请求,所述应用请求中包括应用标识、所述用户终端的国际移动用户识别码IMSI以及所述用户终端根据预先获取的鉴权因子Seed生成的令牌TerToken;根据保存的IMSI与Seed的对应关系,确定与所述应用请求包括的IMSI对应的Seed;在根据确定出的Seed验证所述应用请求包括的TerToken通过后,对所述应用请求进行处理。采用该技术方案,网络侧能够对用户终端的应用请求进行验证,从而实现了网络侧对发送应用请求的用户终端的安全性验证。
Description
技术领域
本发明涉及业务订购技术领域,尤其涉及一种对终端应用请求的处理方法、系统及装置。
背景技术
随着互联网技术的发展,网络电子商务成为当今订购业务中重要的组成部分。随着消费性电子产品(CP,Consumer Product)的日益增多,通过手机(HS,Handset)和个人数字助理(PDA,Personal Digital Assistant)等移动终端(MS,Mobile Station)上网订购业务成为可能。
目前,各种应用能力平台都为用户开放了应用订购功能,用户终端可以对各种终端应用进行定制,例如,飞信、电子邮件等终端应用。在现有技术中,通过移动终端上网订购业务主要是通过无线应用协议网关(WAPGW,WirelessApplication Protocol Gateway)根据用户终端的计费认证,转发用户终端的订购请求,无线应用协议WAP订购服务器(WAP Portal)返回一个订购业务列表。用户终端通过该订购业务列表订购需要订购的业务。
发明人在实现本发明的过程中发现,现有技术中存在下述缺点:如果用户终端直接通过WAPGW访问订购服务器进行业务订购,当用户终端为恶意终端时,例如,上网之前没有与订购业务供应商签署订购协议,或者一个错误的订购请求直接被WAPGW转发后,订购服务器直接发给用户终端订购业务列表并计费。那么,任何终端都可以通过订购服务器进行订购业务,网络侧订购服务器对请求订购应用的用户终端缺乏有效的安全管理机制。
发明内容
有鉴于此,本发明实施例提供一种对终端应用请求的处理方法、系统和装置,采用该技术方案,能够实现网络侧对发起应用请求的用户终端的安全性管理。
本发明实施例通过如下技术方案实现:
根据本发明实施例的一个方面,提供了一种对终端应用请求的处理方法,包括:
接收用户终端发送的应用请求,所述应用请求中包括应用标识、所述用户终端的国际移动用户识别码IMSI以及所述用户终端根据预先获取的鉴权因子Seed生成的令牌TerToken;
根据保存的IMSI与Seed的对应关系,确定与所述应用请求包括的IMSI对应的Seed;
在根据确定出的Seed验证所述应用请求包括的TerToken通过后,对所述应用请求进行处理。
根据本发明实施例的另一个方面,还提供了一种对终端应用请求的处理系统,包括用户终端以及应用处理服务器;
所述用户终端,用于向所述应用处理服务器发送应用请求,所述应用请求中包括应用标识、所述用户终端的国际移动用户识别码IMSI以及所述用户终端根据预先获取的鉴权因子Seed生成的令牌TerToken;
所述应用处理服务器,用于接收所述用户终端发送的应用请求后,根据保存的IMSI与Seed的对应关系,确定与所述应用请求包括的IMSI对应的Seed,并在根据确定出的Seed验证所述应用请求包括的TerToken通过后,对所述应用请求进行处理。
根据本发明实施例的另一个方面,还提供了一种对终端应用请求的处理装置,包括:
应用请求接收单元,用于接收用户终端发送的应用请求,所述应用请求中包括应用标识、所述用户终端的国际移动用户识别码IMSI以及所述用户终端根据预先获取的鉴权因子Seed生成的令牌TerToken;
鉴权因子确定单元,用于根据保存的IMSI与Seed的对应关系,确定与所述应用请求接收单元接收的应用请求包括的IMSI对应的Seed;
验证单元,用于根据所述鉴权因子确定单元确定出的Seed,验证所述应用请求包括的TerToken;
应用请求处理单元,用于在所述验证单元验证所述应用请求包括的TerToken通过后,对所述应用请求进行处理。
通过本发明实施例提供的上述至少一个技术方案,用户终端在向网络侧发送应用请求时,在该应用请求中包括应用标识、IMSI以及该用户终端根据预先获取的鉴权因子Seed生成的令牌TerToken,相应地,网络侧接收用户终端发送的应用请求后,根据保存的IMSI与Seed的对应关系,确定与该应用请求包括的IMSI对应的Seed,并在根据确定出的Seed验证应用请求包括的TerToken通过后,对所述应用请求进行处理。采用该技术方案,网络侧能够对用户终端的应用请求进行验证,从而实现了网络侧对发送应用请求的用户终端的安全性验证。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
附图用来提供对本发明的进一步理解,并且构成说明书的一部分,与本发明实施例一起用于解释本发明,并不构成对本发明的限制。在附图中:
图1为本发明实施例一提供的对终端应用请求的处理流程图;
图2为本发明实施例一提供的应用处理服务器对IMSI解密的流程图一;
图3为本发明实施例一提供的应用处理服务器对IMSI解密的流程图二;
图4为本发明实施例一提供的应用处理服务器对TerToken验证的流程图;
图5为本发明实施例一提供的应用注册流程中对该应用请求进行处理的流程图;
图6为本发明实施例一提供的对MAC1验证的流程图;
图7为本发明实施例一提供的对MAC2验证的流程图;
图8为本发明实施例一提供的OMP系统中进行应用注册的流程图;
图9为本发明实施例一提供的OMP系统中进行应用查询的流程图;
图10为本发明实施例一提供的生成订购关系的流程图;
图11为本发明实施例一提供的OMP系统中进行应用订购的流程图;
图12为本发明实施例一提供的OMP系统中进行应用退订的流程图;
图13为本发明实施例二提供的对终端应用请求的处理装置示意图一;
图14为本发明实施例二提供的对终端应用请求的处理装置示意图二;
图15为本发明实施例三提供的对终端应用请求的处理系统示意图。
具体实施方式
为了给出实现网络侧对发起应用请求的用户终端的安全性管理的实现方案,本发明实施例提供了一种对终端应用请求的处理方法、系统和装置,以下结合说明书附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明。并且在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
实施例一
本发明实施例一提供了一种对终端应用请求的处理方法,该处理方法主要在网络侧的应用处理服务器(或称为应用订购服务器)中实现,用于对用户终端的应用注册请求、应用订购请求、应用查询请求、应该退订请求等各种应用请求进行处理。具体处理流程如图1所示,主要包括如下步骤:
步骤101、应用处理服务器接收用户终端发送的应用请求。
该步骤中,接收的应用请求中包括应用标识APPID、该用户终端的IMSI以及该用户终端根据预先获取的鉴权因子Seed生成的令牌TerToken。具体地,用户终端预先获取的Seed是在应用注册阶段由应用处理服务器分配的,该获取Seed的过程将在后续应用注册流程中详细描述,此处暂不描述。
步骤102、根据保存的IMSI与Seed的对应关系,确定与该应用请求包括的IMSI对应的Seed。
该步骤中,应用处理服务器中保存的IMSI与Seed的对应关系是在用户终端应用注册阶段建立的,该保存IMSI与Seed的对应关系的过程将在后续应用注册流程中详细描述,此处暂不描述。
步骤103、根据确定出的Seed验证接收的应用请求中包括的TerToken。
步骤104、在验证TerToken通过后,对接收的应用请求进行处理。
至此,应用处理服务器对接收的用户终端的应用请求的处理流程结束。
本发明实施例一提供的优选实施方式中,图1所述流程包括的步骤101中,接收的应用请求中包括的IMSI信息可以是加密处理过的IMSI信息,具体可以通过如下两种加密方式:
方式一
采用与该应用标识APPID对应的应用密钥Production APPkey加密该用户终端的IMSI,得到加密后的IMSI,即EncryptedIMSI。
如:EncryptedIMSI=AES-128-CBC(Production APPkey+IMSI)。
方式二
采用与该应用标识APPID对应的应用密钥Production APPkey以及时间戳Timestamp加密该用户终端的IMSI,得到EncryptedIMSI。
如:EncryptedIMSI=AES-128-CBC(Production APPkey+IMSI+Timestamp)。
具体地,若采用方式二加密IMSI,则用户终端需要在发送给应用处理服务器的应用请求中包括用于加密IMSI的Timestamp。
以上所述对IMSI进行加密的方法仅为实施本发明实施例的优选实施方式,实际应用中,可以采用多种加密算法对IMSI进行加密,并且,加密时可以引入其它进一步保证安全性的加密参数,此处,不再一一列举。
根据以上所述的对IMSI进行加密的算法,应用处理服务器在接收到用户终端发送的应用请求后,若确定该应用请求中包括的IMSI信息经过加密处理,则在执行上述步骤102之前,即在确定与该应用请求包括的IMSI对应的Seed之前,还需要进一步执行对IMSI解密的步骤,在得到解密后的IMSI后,执行上述步骤102。
具体地,若用户终端采用上述方式一对IMSI进行加密,则应用处理服务器对IMSI解密的过程如图2所示,包括如下步骤:
步骤201、利用保存的APPID以及Production APPkey的对应关系,确定与该应用请求包括的APPID对应的Production APPkey。
步骤202、利用确定出的Production APPkey对该EncryptedIMSI解密得到IMSI。
至此,应用处理服务器对IMSI解密的流程结束。
若用户终端采用上述方式二对IMSI进行加密,则应用处理服务器对IMSI解密的过程如图3所示,包括如下步骤:
步骤301、确定首次接收到包括该Timestamp的应用请求。
步骤302、利用保存的APPID以及Production APPkey的对应关系,确定与该应用请求包括的APPID对应的Production APPkey。
步骤303、利用该Production APPkey以及应用请求包括的Timestamp对该EncryptedIMSI解密得到IMSI。
至此,应用处理服务器对IMSI解密的流程结束。在图3所述流程中,若步骤301确定不是首次接收到包括该Timestamp的应用请求,则可以拒绝对该应用请求进行后续处理,根据该流程的执行,可以防止重放攻击。
实际应用中,用户终端以及应用处理服务器之间会实现约定是否对IMSI进行加密,以及在确定对IMSI加密时采用的加密方式,以保证应用处理服务器能够正确对EncryptedIMSI解密得到IMSI。
发明实施例一提供的优选实施方式中,图1所述流程包括的步骤101中,接收的应用请求中包括的TerToken,可以直接根据Seed生成,也可以根据Seed以及该用户终端发送应用请求的次数生成TerToken,具体如下:
TerToken=HMAC[Seed,Counter],其中,Counter为用户终端发送应用请求的次数。
根据该方式,用户终端发送给应用处理服务器的应用请求中还需要进一步包括当前的Counter。
根据用户终端生成TerToken的方式不同,应用处理服务器对该TerToken的具体验证方式也有所不同,具体地:
若用户终端只根据Seed生成TerToken,则应用处理服务器根据确定出的Seed生成TerToken,将生成的TerToken与接收的应用请求中包括的TerToken比较,若一致,则验证通过,若不一致,则验证不通过。
若用户根据Seed以及Counter生成TerToken,则应用处理服务器对TerToken验证的过程,如图4所示,主要包括如下步骤:
步骤401、判断应用请求中包括的Counter是否大于本地保存的Counter,若是,执行步骤402,若否,执行步骤405。
该步骤中,应用处理服务器本地保存的Counter用于表示接收到该用户终端的应用请求的次数。
步骤402、根据该应用请求包括的Counter以及确定出的Seed生成TerToken。
步骤403、比较生成的TerToken与该应用请求包括的TerToken是否一致,若是,执行步骤404,若否,执行步骤405。
步骤404、确定验证TerToken通过。
步骤405、确定验证TerToken不通过。
至此,应用处理服务器对TerToken的验证流程结束。
根据本发明优选实施例,应用处理服务器在接收上述的应用请求之前,还进一步接收用户终端发送的应用注册请求。应用处理服务器接收到用户终端发送的应用注册请求,该应用注册请求在包括APP ID、IMSI以及TerToken的基础上,还进一步包括WAP网关添加的该用户终端对应的MSISDN。
基于该应用注册流程,应用处理服务器在对该应用注册请求中包括的TerToken验证通过后,对该应用请求进行处理的流程如图5所示,主要包括如下步骤:
步骤501、生成会话标识发送给该用户终端。
步骤502、保存生成的会话标识、该应用注册请求包括的IMSI以及MSISDN的对应关系。
步骤503、接收用户终端发送的Seed获取请求,该Seed获取请求中包括会话标识、APPID以及用户终端的IMSI。
步骤504、在根据保存的会话标识、IMSI以及MSISDN的对应关系对该Seed获取请求验证通过后,生成Seed发送给该用户终端。
步骤505、建立生成的Seed与该Seed获取请求中包括的APP ID以及IMSI之间的对应关系。
至此,应用处理服务器对用户终端的应用注册请求进行处理的流程结束。
通过上述流程的执行,应用处理服务器中保存了Seed与IMSI的对应关系,并且用户终端也获得了进行后续应用请求时用于生成TerToken的Seed。
具体地,应用处理服务器接收的应用注册请求还可以进一步包括消息认证码MAC1。该MAC1可以根据用户终端的IMSI、APP ID以及与该APP ID对应的Production APPkey生成,如MAC1=HMAC-SHA-256(Production APPkey+APP ID+IMSI);进一步地,生成MAC1时还可以采用加密的IMSI,如MAC1=HMAC-SHA-256(Production APPkey+APP ID+EncryptedIMSI);进一步地,生成MAC1时还可以采用Timestamp,如MAC1=HMAC-SHA-256(ProductionAPPkey+Timestamp+APP ID+EncryptedIMSI)。实际应用中,对于MAC1的生成算法以及用于生成MAC1的参数可以根据需要灵活设置,此处不再一一列举。
具体地,若应用注册请求中还包括上述的MAC1,则在对该应用注册请求进行处理之前,还进一步执行下述的对MAC1验证的流程,在验证通过后,执行对该应用注册请求进行处理的流程,否则拒绝该应用注册请求。
对MAC1验证的流程如图6所述,主要包括如下步骤:
步骤601、利用保存的APP ID以及Production APPkey的对应关系,确定与该应用注册请求中包括的APP ID对应的Production APPkey。
步骤602、根据确定的ProductionAPPkey、应用注册请求中包括的用户终端的IMSI以及APP ID生成MAC。
步骤603、判断生成的MAC与该应用注册请求包括的MAC1是否一致,若是,执行步骤604,若否,执行步骤605。
步骤604、确定对MAC1验证通过。
步骤605、确定对MAC1验证不通过。
至此,应用处理服务器对MAC1验证的流程结束。通过该流程的执行,应用处理服务器可以对用户终端的合法性进行验证。
具体地,上述步骤503中,应用处理服务器接收的Seed获取请求中还包括MAC2,该MAC2可以根据用户终端的IMSI、APP ID、会话标识以及Production APPkey生成,如MAC2=HMAC-SHA-256(Production APPkey+APPID+IMSI+会话ID);进一步地,生成该MAC2时还可以包括Timestamp参数,如MAC2=HM C-SHA-256(Production APPkey+Timestamp+APP ID+IMSI+会话ID)。实际应用中,对于MAC1的生成算法以及用于生成MAC1的参数可以根据需要灵活设置,此处不再一一列举。
具体地,若应用注册请求中还包括上述的MAC2,则在图5所述的流程中,在执行上述步骤504之前,即在生成Seed发送给用户终端之前,还进一步执行下述的对MAC2验证的流程,在验证通过后,执行步骤504,否则拒绝该应用注册请求。
对MAC2验证的流程如图7所述,主要包括如下步骤:
步骤701、利用保存的APP ID以及Production APPkey的对应关系,确定与该Seed获取请求中包括的APP ID对应的Production APPkey。
步骤702、根据确定的Production APPkey、Seed获取请求中包括的会话标识、用户终端的IMSI生成MAC。
步骤703、判断生成的MAC与该应用注册请求包括的MAC2是否一致,若是,执行步骤704,若否,执行步骤705。
步骤704、确定对MAC2验证通过。
步骤705、确定对MAC2验证不通过。
至此,应用处理服务器对MAC2验证的流程结束。通过该流程的执行,应用处理服务器可以对用户终端的合法性进行验证。
本发明具体实施例1中,用户终端发送应用注册请求之前,包括:
用户终端确定未存储与当前请求的应用的APP ID对应的Seed;或
用户终端记录的发送应用请求的次数超过设定阈值;或
用户终端确定未存储与当前使用的IMSI对应的Seed,即接收到应用处理服务器发送的应用请求拒绝消息,该应用请求拒绝消息包括指示失败原因为对所述用户终端的IMSI验证不通过。
通过上述注册流程的执行,能够实现应用处理服务器对用户的身份鉴权、终端应用与应用处理服务器的双向鉴权、获取相应的会话ID从而再获取鉴权因子Seed,最后用户终端存储鉴权因子Seed,以备后续业务流程使用。
本发明实施例提供的上述流程可以应用于OMP(开放移动互联网平台)中,实现对能力开放的安全性管理。为了更好地理解本发明实施例,以下结合OMP平台对应用注册过程进行详细说明。
如图8所示,OMP系统中进行应用注册的过程包括:
其中,OMP侧主要实现上述应用处理服务器的功能,其可以被划分为平台接入子系统以及平台安全模块;应用侧即用户终端侧,其可以被划分为终端应用模块以及终端安全组件。
步骤801、终端安全组件收到业务请求后,检查本地是否有TerToken,如果没有,检查本地是否鉴权因子Seed,若都没有,进行后续步骤。
步骤802、终端安全组件将应用应用注册请求发往WAP网关,WAP网关添加MSISDN后再发往平台接入子系统。
步骤803、平台接入子系统将该应用注册请求转发给平台安全模块,平台安全模块对进行相关验证以确保该请求来自于合法的终端应用(即经过网络运营商授权使用的终端应用),通过辨别MSISDN以确保该请求来自于合法的网络运营商的用户。验证通过后,记录IMSI值,以便用于后继的IMSI查询,生成一个随机会话ID,记录会话ID与MSISDN、IMSI的对应关系。平台安全模块返回会话ID给平台接入子系统,平台接入子系统返回该会话ID给WAP网关,WAP网关返回该会话ID给终端安全组件。
步骤804、先建立终端安全组件与平台接入子系统之间的单向HTTPS连接,再向平台接入子系统发送包含会话ID的Seed获取请求,平台接入子系统将该Seed获取请求转发给平台安全模块。平台安全模块收到Seed获取请求后,根据之前的记录对会话ID查询到对应的MSISDN,并根据MSISDN判断请求消息中的IMSI的正确性,通过验证后,进一步对MAC2进行验证以确保该请求来自于合法的终端应用。验证通过后,鉴权服务器随机生成一个唯一的鉴权因子Seed(每个终端的鉴权因子均不相同,同一终端每次下发的鉴权因子也不相同),将该鉴权因子Seed返回给平台接入子系统,并记录生成的Seed与IMSI以及APP ID的对应关系。
步骤805、平台接入子系统将该鉴权因子Seed返回给终端安全组件,终端安全组件在本地存储鉴权因子Seed。终端安全组件通知终端应用模块,应用注册成功。
上述流程中,可根据安全策略在一定的期限后,或用户更换(U)SIM卡后,或用于生成HOTP令牌的计数器的计数值counter达到最大值后,要求终端重新发起注册流程,其中,用于生成HOTP令牌的计数器counter即用于对用户终端发送应用请求进行计数的计数器。
本发明实施例一提供的优选实施方式中,图1所述流程包括的步骤101中,应用处理服务器接收到的应用请求可以为多种类型,例如:应用查询请求、应用订购请求、应用退订请求等,以下分别以应用处理服务器接收到该几种请求后,对接收的应用请求的处理过程进行详细说明。
具体实施例1:应用查询流程
该具体实施例1中,应用处理服务器接收到用户终端发送的应用查询请求后,应用处理服务器在对该应用查询请求中包括的TerToken验证通过后,对该应用查询请求进行处理过程如下:
根据该应用查询请求包括的APPID,向用户终端反馈应用列表,该应用列表中包括APPID对应的应用包括的子应用的APPID以及各子应用的描述信息。
相应地,后续用户终端发送的应用订购请求中包括的应用标识为根据该应用列表选择的子应用的APPID。
以下结合OMP平台对应用查询过程进行详细说明。
如图9所示,OMP系统中进行应用查询的过程包括:
步骤901、终端应用模块向业务平台转发订购请求前将其转发终端安全组件,终端安全组件根据Seed生成TerToken,并发送应用查询请求到平台接入子系统,平台接入子系统进一步将应用查询请求转发到平台鉴权模块。
步骤902、平台鉴权模块发送Token验证请求到平台安全模块,平台安全模块验证TerToken,并在验证通过后给平台鉴权模块返回验证结果响应。
步骤903、平台鉴权模块根据APPID查找到对应的应用列表信息,给平台接入子系统返回应用列表信息(该应用列表信息包括APPID、该应用的子应用的应用标识APPP ID以及资费描述列表),平台接入子系统向终端安全组件返回应用列表信息,终端安全组件给终端应用模块返回应用列表信息。
终端应用模块将应用信息展现给用户,用户选择想订购的子应用(APPID,APPP ID)。
具体实施例2:应用订购流程
该具体实施例2中,应用处理服务器接收到用户终端发送的应用订购请求。应用处理服务器在对该应用订购请求中包括的TerToken验证通过后,对该应用订购请求进行处理的过程如下:
生成该应用订购请求包括的APPID与该用户终端对应的MSISDN的订购关系。
具体地,生成该应用订购请求包括的APPID与该用户终端对应的MSISDN的订购关系的过程,如图10所示,包括:
步骤1001、根据用户终端对应的MSISDN生成用户伪码PID,并建立生成的PID以及APPID的对应关系。
步骤1002、向BOSS系统发送包括建立的对应关系的订购请求,在BOSS中建立该PID和APPID的订购关系。
步骤1003、接收BOSS返回的订购成功响应,并向用户终端发送订购成功响应,该订购成功响应中包括PID和APPID的对应关系。
至此,生成订购关系的流程结束。
以下结合OMP平台对应用查询过程进行详细说明。
如图11所示,OMP系统中进行应用订购的过程包括:
步骤1101、终端应用向终端安全组件发送应用订购请求,终端安全组件发送应用订购请求到平台接入子系统,平台接入子系统将应用订购请求转发到平台鉴权模块。
步骤1102、平台鉴权模块发送Token验证请求到平台安全模块,平台安全模块验证TerToken,并在验证通过后,生成MSISDN对应该APPID的用户伪码PID,同时给平台鉴权模块返回响应(包括PID)。
步骤1103、平台鉴权模块发送订购请求到BOSS,BOSS生成订购关系后,BOSS返回订购结果给平台鉴权模块,平台鉴权模块返回订购结果给平台接入子系统,平台接入子系统返回订购结果通知终端安全组件,终端安全组件返回订购成功响应给终端应用模块。
步骤1104、平台鉴权模块同步订购关系到平台管理子系统,平台管理子系统返回同步应答给平台鉴权模块。
BOSS可以进一步在保存订购关系后,向用户终端发送订购成功通知短信。
应当理解,以上流程中执行的各步骤并无严格的先后执行关系。实际应用中,各步骤可以并行执行或调换先后执行顺序。
具体实施例3:应用退订流程
该具体实施例3中,应用处理服务器接收到用户终端发送的应用退订请求,该应用退订请求在包括上述的APPID、IMSI以及TerToken的基础上,还进一步包括APPID与MSISDN的订购关系。
基于该应用退订流程,应用处理服务器在对该应用退订请求中包括的TerToken验证通过后,对该应用退订进行处理,即解除该应用退订请求中包括的APPID与MSISDN的订购关系。
进一步地,该应用退订请求还包括的APPID与MSISDN的订购关系具体为APPID与根据用户终端对应的MSISDN生成的PID的订购关系,对该应用退订进行处理,即解除该应用退订请求中包括的APPID与PID的订购关系。
以下结合OMP平台对应用退订过程进行详细说明。
如图12所示,OMP系统中进行应用退订的过程包括:
步骤1201、终端应用模块向业务平台发送应用退订请求前将其先转发到终端安全组件,终端安全组件根据鉴权因子Seed生成TerToken,终端安全模块发送应用退订请求到平台接入子系统,平台接入子系统将应用退订请求转发到平台鉴权模块。
步骤1202、平台鉴权模块发送Token验证请求到平台安全模块验证TerToken,平台安全模块返回验证通过应答给平台鉴权模块。
步骤1203、平台鉴权模块将应用退订请求发送给BOSS,请求参数包括要解除的订购关系,BOSS解除该订购关系后,BOSS返回退订结果应答给平台鉴权模块,平台鉴权模块发送退订结果应答给平台接入子系统,平台接入子系统返回退订结果应答给终端安全组件,终端安全组件返回退订结果应答给终端应用模块。
1204、平台鉴权模块发送订购关系同步请求到平台管理子系统,平台管理子系统返回订购关系同步应答给平台鉴权模块,平台鉴权模块解除订购关系。
BOSS可以进一步在解除订购关系后,给用户手机下发应用退订成功短信。
根据本发明实施例提供的上述技术方案,用户将应用下载到终端客户端后,可以通过用户终端进行应用的订购和退订操作。并且,用户首次使用该应用时,会自动触发终端应用初始化(即应用注册过程),主要用于终端应用向本系统平台提供身份识别证明,平台侧会保留当前应用所在终端的记录,用于后续鉴权使用,同时平台会给终端应用返回鉴权因子Seed,用于后续订购、能力调用流程向平台提供鉴权凭证。
用户通过用户终端订购终端应用,由终端安全组件与平台侧进行交互,订购请求必须经过终端安全组件,在发送给平台侧的请求信息中,安全组件会添加授权Token等信息,用于平台侧对终端应用身份的确认。
本发明实施例提出了终端应用注册流程,通过终端注册对用户IMSI以及终端应用进行绑定(APPID),从而避免了如下问题:
a)相同应用被大量下载在不同用户终端后,由于一个终端上的应用被攻击后导致的其余终端上的相同应用也被攻破的风险;
b)应用身份伪造导致的非法接入风险;
c)应用不能在伪订购的情况下使用应用造成的计费风险。
进一步地,本发明实施例提出的应用订购流程,用户通过终端应用执行订购行为时,终端安全组件首先生成授权Token,添加进订购请求参数,由终端安全组件与能力开放平台交互,能力开放平台对终端订购请求通过授权Token进行鉴权。通过订购机制实现用户订购关系的鉴权,并且通过伪码机制,有效保证了计费、用户隐私保护以及应用使用、计费等的安全性。
实施例二
本发明实施例二提供了一种对终端应用请求的处理装置,如图13所示,该装置主要包括:
应用请求接收单元1301、鉴权因子确定单元1302、验证单元1303以及应用请求处理单元1304;
其中:
应用请求接收单元1301,用于接收用户终端发送的应用请求,该应用请求中包括应用标识、该用户终端的国际移动用户识别码IMSI以及该用户终端根据预先获取的鉴权因子Seed生成的令牌TerToken;
鉴权因子确定单元1302,用于根据保存的IMSI与Seed的对应关系,确定与应用请求接收单元1304接收的应用请求包括的IMSI对应的Seed;
验证单元1303,用于根据鉴权因子确定单元1302确定出的Seed,验证该应用请求包括的TerToken;
应用请求处理单元1304,用于在验证单元1303验证该应用请求包括的TerToken通过后,对该应用请求进行处理。
本发明实施例二提供的优选实施方式中,图13所示装置包括的鉴权因子确定单元1302,具体用于:
在确定与该应用请求包括的IMSI对应的Seed之前,利用保存的应用标识以及应用密钥的对应关系,确定与该应用请求包括的应用标识对应的应用密钥,利用确定出的该应用密钥对该应用请求具体包括的采用与该应用标识对应的应用密钥加密后的IMSI解密。
本发明实施例二提供的优选实施方式中,图13所示装置包括的鉴权因子确定单元1302,具体用于:
在确定与该应用请求包括的IMSI对应的Seed之前,确定首次接收到包括该时间戳的应用请求,并且利用保存的应用标识以及应用密钥的对应关系,确定与该应用请求包括的应用标识对应的应用密钥,利用该应用密钥以及该应用请求还包括的时间戳,对该应用请求具体包括的采用与该应用标识对应的应用密钥以及时间戳加密后的IMSI解密。
本发明实施例二提供的优选实施方式中,图13所示装置包括的验证单元1303,具体用于:
在确定该应用请求中具体包括的该用户终端发送应用请求的次数信息大于本地保存的接收该用户终端的应用请求的次数时,根据该应用请求具体包括的该次数信息以及该鉴权因子确定单元确定出的Seed,生成TerToken;
若确定生成的TerToken与该应用请求包括的TerToken一致,则验证该应用请求包括的TerToken通过,否则不通过。
本发明实施例二提供的优选实施方式中,图13所示装置包括的应用请求接收单元1301,具体用于接收用户终端发送的应用订购请求;
相应地,应用请求处理单元1304,具体用于在验证单元1303验证该应用请求包括的TerToken通过后,生成该应用订购请求包括的应用标识与该用户终端对应的移动用户国际号码MSISDN的订购关系。
本发明实施例二提供的优选实施方式中,图13所示装置包括的应用请求处理单元1304,具体用于:
在验证单元1303验证该应用请求包括的TerToken通过后,根据该用户终端对应的MSISDN生成用户伪码PID,并建立该PID以及该应用标识的对应关系,并向业务运营支撑系统BOSS发送包括该对应关系的订购请求,在BOSS中建立该PID和该应用标识的订购关系。
本发明实施例二提供的优选实施方式中,图13所示装置包括的应用请求处理单元1304,还用于:
向BOSS发送包括该对应关系的订购请求之后,接收该BOSS返回的订购成功响应;以及向该用户终端发送订购成功响应,该订购成功响应中包括该PID和该应用标识的对应关系。
本发明实施例二提供的优选实施方式中,图13所示装置包括的应用请求接收单元1301,具体用于接收用户终端发送的应用退订请求,该应用退订请求还包括应用标识与MSISDN的订购关系;
相应地,应用请求处理单元1304,具体用于在该验证单元验证该应用请求包括的TerToken通过后,解除该应用退订请求中包括的该应用标识与MSISDN的订购关系。
本发明实施例二提供的优选实施方式中,图13所示装置包括的应用请求处理单元1304,具体用于:
在验证单元1303验证该应用请求包括的TerToken通过后,解除该应用退订请求中包括的该应用标识与该用户终端对应的MSISDN生成的PID的订购关系。
本发明实施例二提供的优选实施方式中,图13所示装置包括的应用请求接收单元1301,具体用于接收用户终端发送的应用查询请求;
相应地,应用请求处理单元1304,具体用于根据该应用查询请求包括的应用标识,向该用户终端反馈应用列表,该应用列表中包括该应用标识对应的应用包括的子应用的应用标识以及各子应用的描述信息。
本发明实施例二提供的优选实施方式中,图13所示装置包括的应用请求接收单元1301,还用于接收该用户终端发送的应用订购请求,该应用订购请求中包括根据该应用列表选择的子应用的应用标识。
如图14所示,本发明实施例二提供的优选实施方式中,图13所示装置还可以进一步包括注册请求接收单元1305以及注册请求处理单元1306;
其中:
注册请求接收单元1305,用于接收用户终端发送的应用注册请求,该应用注册请求包括:应用标识、该用户终端的IMSI以及无线应用协议WAP网关添加的该用户终端对应的MSISDN;
注册请求处理单元1306,用于生成会话标识发送给该用户终端;以及,保存该会话标识、该应用请求包括的IMSI以及该MSISDN的对应关系;接收该用户终端发送的Seed获取请求,该Seed获取请求中包括该会话标识、应用标识、该用户终端的IMSI;在根据保存的会话标识、IMSI以及MSISDN的对应关系对该Seed获取请求验证通过后,生成Seed发送给该用户终端;以及,建立生成的该Seed与该Seed获取请求中包括的应用标识的对应关系。
本发明实施例二提供的优选实施方式中,图14所示装置包括的注册请求接收单元1305,具体用于接收还包括第一消息认证码MAC的应用注册请求,该第一MAC根据该用户终端的IMSI、该应用标识以及与该应用标识对应的应用密钥生成;
相应地,注册请求处理单元1304,还用于:
在对该应用请求进行处理之前,利用保存的应用标识以及应用密钥的对应关系,确定与该应用注册请求中包括的应用标识对应的应用密钥;
根据确定的该应用密钥、该应用注册请求中包括的该用户终端的IMSI以及该应用标识生成MAC,并确定生成的该MAC与该应用注册请求包括的第一MAC一致。
本发明实施例二提供的优选实施方式中,图14所示装置包括的注册请求处理单元1304,具体用于接收还包括第二MAC的Seed获取请求,该第二MAC根据该用户终端的IMSI、该应用标识、该会话标识以及与该应用标识对应的应用密钥生成;
该注册请求处理单元1304,还用于:
在生成Seed发送给该用户终端之前,利用保存的应用标识以及应用密钥的对应关系,确定与该Seed获取请求中包括的应用标识对应的应用密钥;
根据确定的该应用密钥、该Seed获取请求中包括的会话标识、该用户终端的IMSI生成MAC,并确定生成的该MAC与该Seed获取请求包括的第二MAC一致。
本发明实施例二提供的优选实施方式中,图14所示装置包括的注册请求接收单元1301,具体用于:
接收该用户终端在确定未存储与当前请求的应用的应用标识对应的Seed;或确定发送应用请求的次数超过设定阈值;或在确定未存储与当前使用的IMSI对应的Seed后,发送该应用注册请求。
应当理解,以上对终端应用请求的处理装置包括的单元仅为根据该装置实现的功能进行的逻辑划分,实际应用中,可以进行上述单元的叠加或拆分。并且该实施例提供的对终端应用请求的处理装置所实现的功能与上述实施例一提供的对终端应用请求的处理方法流程一一对应,对于该装置所实现的更为详细的处理流程,在上述方法实施例一中已做详细描述,此处不再详细描述。
实施例三
本发明实施例三提供了一种对终端应用请求的处理系统,如图15所示,该系统主要包括:
用户终端1501以及应用处理服务器1502;
其中:
用户终端1501,用于向应用处理服务器1502发送应用请求,该应用请求中包括应用标识、用户终端的国际移动用户识别码IMSI以及用户终端根据预先获取的鉴权因子Seed生成的令牌TerToken;
应用处理服务器1502,用于接收用户终端1501发送的应用请求后,根据保存的IMSI与Seed的对应关系,确定与该应用请求包括的IMSI对应的Seed,并在根据确定出的Seed验证该应用请求包括的TerToken通过后,对该应用请求进行处理。
本发明实施例三提供的优选实施方式中,图15所示装置包括的用户终端1501,具体用于:
在确定未存储与当前请求的应用的应用标识对应的Seed;或所述用户终端记录的发送应用请求的次数超过设定阈值;或确定未存储与当前使用的IMSI对应的Seed后,向所述应用处理服务器发送应用注册请求,所述应用注册请求中包括应用标识、所述用户终端的国际移动用户识别码IMSI。
应当理解,以上对终端应用请求的处理系统包括的应用处理服务器所实现的功能与上述实施例二提供的对终端应用请求的处理装置一一对应,对于该应用处理服务器所实现的更为详细的处理流程,在上述实施例二中已做详细描述,此处不再详细描述。
通过本发明实施例提供的上述至少一个技术方案,用户终端在向网络侧发送应用请求时,在该应用请求中包括应用标识、IMSI以及该用户终端根据预先获取的鉴权因子Seed生成的令牌TerToken,相应地,网络侧接收用户终端发送的应用请求后,根据保存的IMSI与Seed的对应关系,确定与该应用请求包括的IMSI对应的Seed,并在根据确定出的Seed验证应用请求包括的TerToken通过后,对所述应用请求进行处理。采用该技术方案,网络侧能够对用户终端的应用请求进行验证,从而实现了网络侧对发送应用请求的用户终端的安全性验证。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (28)
1.一种对终端应用请求的处理方法,其特征在于,包括:
接收用户终端发送的应用请求,所述应用请求中包括应用标识、所述用户终端的国际移动用户识别码IMSI以及所述用户终端根据预先获取的鉴权因子Seed生成的令牌TerToken;
根据保存的IMSI与Seed的对应关系,确定与所述应用请求包括的IMSI对应的Seed;
在根据确定出的Seed验证所述应用请求包括的TerToken通过后,对所述应用请求进行处理;
其中,所述应用请求具体包括所述用户终端根据所述Seed以及所述用户终端发送应用请求的次数生成的TerToken,以及所述次数;
根据确定出的Seed验证所述应用请求包括的TerToken通过,具体包括:
确定所述应用请求中包括的所述次数大于本地保存的接收所述用户终端的应用请求的次数;并且
根据所述应用请求包括的所述次数以及确定出的Seed生成的TerToken与所述应用请求包括的TerToken一致;
在接收用户终端发送的应用请求之前,还包括:
接收所述用户终端发送的应用注册请求,所述应用注册请求中包括应用标识、所述用户终端的IMSI以及无线应用协议WAP网关添加的所述用户终端对应的MSISDN;
生成会话标识发送给所述用户终端,并保存所述会话标识、所述应用注册请求包括的IMSI以及所述MSISDN的对应关系;
接收所述用户终端发送的Seed获取请求,所述Seed获取请求中包括所述会话标识、应用标识、所述用户终端的IMSI;
在根据保存的会话标识、IMSI以及MSISDN的对应关系对所述Seed获取请求验证通过后,生成Seed发送给所述用户终端;以及,建立生成的所述Seed与所述Seed获取请求中包括的应用标识以及IMSI的对应关系。
2.如权利要求1所述的方法,其特征在于,所述应用请求具体包括采用与所述应用标识对应的应用密钥加密后的IMSI;
在确定与所述应用请求包括的IMSI对应的Seed之前,还包括:
利用保存的应用标识以及应用密钥的对应关系,确定与所述应用请求包括的应用标识对应的应用密钥;
利用确定出的所述应用密钥对所述加密后的IMSI解密。
3.如权利要求1所述的方法,其特征在于,所述应用请求具体包括采用与所述应用标识对应的应用密钥以及时间戳加密后的IMSI以及所述时间戳信息;
在确定与所述应用请求包括的IMSI对应的Seed之前,还包括:
确定首次接收到包括所述时间戳的应用请求;并
利用保存的应用标识以及应用密钥的对应关系,确定与所述应用请求包括的应用标识对应的应用密钥;
利用所述应用密钥以及所述应用请求包括的时间戳对所述加密后的IMSI解密。
4.如权利要求1所述的方法,其特征在于,在接收的所述应用请求为应用订购请求时,对所述应用请求进行处理,包括:
生成所述应用订购请求包括的应用标识与所述用户终端对应的移动用户国际号码MSISDN的订购关系。
5.如权利要求4所述的方法,其特征在于,生成所述应用订购请求包括的应用标识与所述用户终端对应的MSISDN的订购关系,包括:
根据所述用户终端对应的MSISDN生成用户伪码PID,并建立所述PID以及所述应用标识的对应关系;
向业务运营支撑系统BOSS发送包括所述对应关系的订购请求,在BOSS中建立所述PID和所述应用标识的订购关系。
6.如权利要求5所述的方法,其特征在于,向BOSS发送包括所述对应关系的订购请求之后,还包括:
接收所述BOSS返回的订购成功响应;以及
向所述用户终端发送订购成功响应,所述订购成功响应中包括所述PID和所述应用标识的对应关系。
7.如权利要求1所述的方法,其特征在于,在接收的所述应用请求为应用退订请求时,所述应用退订请求还包括应用标识与MSISDN的订购关系;
对所述应用请求进行处理,包括:
解除所述应用退订请求中包括的所述应用标识与MSISDN的订购关系。
8.如权利要求7所述的方法,其特征在于,所述应用退订请求还包括的应用标识与MSISDN的订购关系具体为应用标识与根据所述用户终端对应的MSISDN生成的PID的订购关系;
解除所述应用退订请求中包括的所述应用标识与MSISDN的订购关系,具体包括:
解除所述应用退订请求中包括的所述应用标识与所述PID的订购关系。
9.如权利要求1所述的方法,其特征在于,在接收的所述应用请求为应用查询请求时,对所述应用请求进行处理,包括:
根据所述应用查询请求包括的应用标识,向所述用户终端反馈应用列表,所述应用列表中包括所述应用标识对应的应用包括的子应用的应用标识以及各子应用的描述信息。
10.如权利要求9所述的方法,其特征在于,还包括:
接收所述用户终端发送的应用订购请求,所述应用订购请求中包括根据所述应用列表选择的子应用的应用标识。
11.如权利要求1所述的方法,其特征在于,接收的应用注册请求还包括第一消息认证码MAC,所述第一MAC根据所述用户终端的IMSI、所述应用标识以及与所述应用标识对应的应用密钥生成;
在对所述应用请求进行处理之前,包括:
利用保存的应用标识以及应用密钥的对应关系,确定与所述应用注册请求中包括的应用标识对应的应用密钥;
根据确定的所述应用密钥、所述应用注册请求中包括的所述用户终端的IMSI以及所述应用标识生成MAC,并确定生成的所述MAC与所述应用注册请求包括的第一MAC一致。
12.如权利要求1所述的方法,其特征在于,接收的所述Seed获取请求中还包括第二MAC,所述第二MAC根据所述用户终端的IMSI、所述应用标识、所述会话标识以及与所述应用标识对应的应用密钥生成;
在生成Seed发送给所述用户终端之前,还包括:
利用保存的应用标识以及应用密钥的对应关系,确定与所述Seed获取请求中包括的应用标识对应的应用密钥;
根据确定的所述应用密钥、所述Seed获取请求中包括的会话标识、所述用户终端的IMSI生成MAC,并确定生成的所述MAC与所述Seed获取请求包括的第二MAC一致。
13.如权利要求1所述的方法,其特征在于,所述用户终端发送所述应用注册请求之前,还包括:
所述用户终端确定未存储与当前请求的应用的应用标识对应的Seed;或
所述用户终端记录的发送应用请求的次数超过设定阈值;或
所述用户终端确定未存储与当前使用的IMSI对应的Seed。
14.一种对终端应用请求的处理系统,其特征在于,包括用户终端以及应用处理服务器;
所述用户终端,用于向所述应用处理服务器发送应用请求,所述应用请求中包括应用标识、所述用户终端的国际移动用户识别码IMSI以及所述用户终端根据预先获取的鉴权因子Seed生成的令牌TerToken;
所述应用处理服务器,用于接收所述用户终端发送的应用请求后,根据保存的IMSI与Seed的对应关系,确定与所述应用请求包括的IMSI对应的Seed,并在根据确定出的Seed验证所述应用请求包括的TerToken通过后,对所述应用请求进行处理;
其中,所述应用请求具体包括所述用户终端根据所述Seed以及所述用户终端发送应用请求的次数生成的TerToken,以及所述次数;
所述应用服务器,用于根据确定出的Seed验证所述应用请求包括的TerToken通过,具体用于:
确定所述应用请求中包括的所述次数大于本地保存的接收所述用户终端的应用请求的次数;并且
根据所述应用请求包括的所述次数以及确定出的Seed生成的TerToken与所述应用请求包括的TerToken一致;
所述应用服务器还用于:
在接收用户终端发送的应用请求之前,接收所述用户终端发送的应用注册请求,所述应用注册请求中包括应用标识、所述用户终端的IMSI以及无线应用协议WAP网关添加的所述用户终端对应的MSISDN;
生成会话标识发送给所述用户终端,并保存所述会话标识、所述应用注册请求包括的IMSI以及所述MSISDN的对应关系;
接收所述用户终端发送的Seed获取请求,所述Seed获取请求中包括所述会话标识、应用标识、所述用户终端的IMSI;
在根据保存的会话标识、IMSI以及MSISDN的对应关系对所述Seed获取请求验证通过后,生成Seed发送给所述用户终端;以及,建立生成的所述Seed与所述Seed获取请求中包括的应用标识以及IMSI的对应关系。
15.如权利要求14所述的系统,其特征在于,所述用户终端,还用于:
在确定未存储与当前请求的应用的应用标识对应的Seed;或所述用户终端记录的发送应用请求的次数超过设定阈值;或所述用户终端确定未存储与当前使用的IMSI对应的Seed后,向所述应用处理服务器发送应用注册请求,所述应用注册请求中包括应用标识、所述用户终端的国际移动用户识别码IMSI。
16.一种对终端应用请求的处理装置,其特征在于,包括:
应用请求接收单元,用于接收用户终端发送的应用请求,所述应用请求中包括应用标识、所述用户终端的国际移动用户识别码IMSI以及所述用户终端根据预先获取的鉴权因子Seed生成的令牌TerToken;
鉴权因子确定单元,用于根据保存的IMSI与Seed的对应关系,确定与所述应用请求接收单元接收的应用请求包括的IMSI对应的Seed;
验证单元,用于根据所述鉴权因子确定单元确定出的Seed,验证所述应用请求包括的TerToken;
应用请求处理单元,用于在所述验证单元验证所述应用请求包括的TerToken通过后,对所述应用请求进行处理;
其中,所述验证单元,具体用于:
在确定所述应用请求中具体包括的所述用户终端发送应用请求的次数大于本地保存的接收所述用户终端的应用请求的次数时,根据所述应用请求具体包括的所述次数以及所述鉴权因子确定单元确定出的Seed,生成TerToken;
若确定生成的TerToken与所述应用请求包括的TerToken一致,则验证所述应用请求包括的TerToken通过,否则不通过;
还包括:
注册请求接收单元,用于用于接收所述用户终端发送的应用注册请求,所述应用注册请求中包括应用标识、所述用户终端的IMSI以及无线应用协议WAP网关添加的所述用户终端对应的MSISDN;
注册请求处理单元,用于生成会话标识发送给所述用户终端,并保存所述会话标识、所述应用请求包括的IMSI以及所述MSISDN的对应关系;接收所述用户终端发送的Seed获取请求,所述Seed获取请求中包括所述会话标识、应用标识、所述用户终端的IMSI;并在根据保存的会话标识、IMSI以及MSISDN的对应关系对所述Seed获取请求验证通过后,生成Seed发送给所述用户终端;以及,建立生成的所述Seed与所述Seed获取请求中包括的应用标识以及IMSI的对应关系。
17.如权利要求16所述的装置,其特征在于,所述鉴权因子确定单元,具体用于:
在确定与所述应用请求包括的IMSI对应的Seed之前,利用保存的应用标识以及应用密钥的对应关系,确定与所述应用请求包括的应用标识对应的应用密钥,利用确定出的所述应用密钥对所述应用请求具体包括的采用与所述应用标识对应的应用密钥加密后的IMSI解密。
18.如权利要求16所述的装置,其特征在于,所述鉴权因子确定单元,具体用于:
在确定与所述应用请求包括的IMSI对应的Seed之前,确定首次接收到包括时间戳的应用请求,并且利用保存的应用标识以及应用密钥的对应关系,确定与所述应用请求包括的应用标识对应的应用密钥,利用所述应用密钥以及所述应用请求还包括的时间戳,对所述应用请求具体包括的采用与所述应用标识对应的应用密钥以及时间戳加密后的IMSI解密。
19.如权利要求16所述的装置,其特征在于,所述应用请求接收单元,具体用于接收用户终端发送的应用订购请求;
所述应用请求处理单元,具体用于在所述验证单元验证所述应用请求包括的TerToken通过后,生成所述应用订购请求包括的应用标识与所述用户终端对应的移动用户国际号码MSISDN的订购关系。
20.如权利要求19所述的装置,其特征在于,所述应用请求处理单元,具体用于:
在所述验证单元验证所述应用请求包括的TerToken通过后,根据所述用户终端对应的MSISDN生成用户伪码PID,并建立所述PID以及所述应用标识的对应关系,并向业务运营支撑系统BOSS发送包括所述对应关系的订购请求,在BOSS中建立所述PID和所述应用标识的订购关系。
21.如权利要求20所述的装置,其特征在于,所述应用请求处理单元,还用于:
向BOSS发送包括所述对应关系的订购请求之后,接收所述BOSS返回的订购成功响应;以及向所述用户终端发送订购成功响应,所述订购成功响应中包括所述PID和所述应用标识的对应关系。
22.如权利要求16所述的装置,其特征在于,所述应用请求接收单元,具体用于接收用户终端发送的应用退订请求,所述应用退订请求还包括应用标识与MSISDN的订购关系;
所述应用请求处理单元,具体用于在所述验证单元验证所述应用请求包括的TerToken通过后,解除所述应用退订请求中包括的所述应用标识与MSISDN的订购关系。
23.如权利要求22所述的装置,其特征在于,所述应用请求处理单元,具体用于:
在所述验证单元验证所述应用请求包括的TerToken通过后,解除所述应用退订请求中包括的所述应用标识与所述用户终端对应的MSISDN生成的PID的订购关系。
24.如权利要求16所述的装置,其特征在于,所述应用请求接收单元,具体用于接收用户终端发送的应用查询请求;
所述应用请求处理单元,具体用于根据所述应用查询请求包括的应用标识,向所述用户终端反馈应用列表,所述应用列表中包括所述应用标识对应的应用包括的子应用的应用标识以及各子应用的描述信息。
25.如权利要求24所述的装置,其特征在于,所述应用请求接收单元,还用于接收所述用户终端发送的应用订购请求,所述应用订购请求中包括根据所述应用列表选择的子应用的应用标识。
26.如权利要求16所述的装置,其特征在于,所述注册请求接收单元,具体用于接收还包括第一消息认证码MAC的应用注册请求,所述第一MAC根据所述用户终端的IMSI、所述应用标识以及与所述应用标识对应的应用密钥生成;
所述注册请求处理单元,还用于:
在对所述应用请求进行处理之前,利用保存的应用标识以及应用密钥的对应关系,确定与所述应用注册请求中包括的应用标识对应的应用密钥;
根据确定的所述应用密钥、所述应用注册请求中包括的所述用户终端的IMSI以及所述应用标识生成MAC,并确定生成的所述MAC与所述应用注册请求包括的第一MAC一致。
27.如权利要求16所述的装置,其特征在于,所述注册请求处理单元,具体用于接收还包括第二MAC的Seed获取请求,所述第二MAC根据所述用户终端的IMSI、所述应用标识、所述会话标识以及与所述应用标识对应的应用密钥生成;
所述注册请求处理单元,还用于:
在生成Seed发送给所述用户终端之前,利用保存的应用标识以及应用密钥的对应关系,确定与所述Seed获取请求中包括的应用标识对应的应用密钥;
根据确定的所述应用密钥、所述Seed获取请求中包括的会话标识、所述用户终端的IMSI生成MAC,并确定生成的所述MAC与所述Seed获取请求包括的第二MAC一致。
28.如权利要求16所述的装置,其特征在于,所述注册请求接收单元,具体用于:
接收所述用户终端在确定未存储与当前请求的应用的应用标识对应的Seed;或确定发送应用请求的次数超过设定阈值;或所述用户终端确定未存储与当前使用的IMSI对应的Seed后,发送所述应用注册请求。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010612583.5A CN102572815B (zh) | 2010-12-29 | 2010-12-29 | 一种对终端应用请求的处理方法、系统及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010612583.5A CN102572815B (zh) | 2010-12-29 | 2010-12-29 | 一种对终端应用请求的处理方法、系统及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102572815A CN102572815A (zh) | 2012-07-11 |
| CN102572815B true CN102572815B (zh) | 2014-11-05 |
Family
ID=46417026
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201010612583.5A Expired - Fee Related CN102572815B (zh) | 2010-12-29 | 2010-12-29 | 一种对终端应用请求的处理方法、系统及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102572815B (zh) |
Families Citing this family (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103685194B (zh) * | 2012-09-20 | 2017-02-22 | 中国移动通信集团公司 | 一种能力调用方法、装置及终端 |
| CN103914635A (zh) * | 2012-12-29 | 2014-07-09 | 中国航空工业集团公司第六三一研究所 | 一种Eclipse软件产品授权许可管理方法 |
| CN103974248B (zh) * | 2013-01-24 | 2018-10-12 | 中国移动通信集团公司 | 在能力开放系统中的终端安全性保护方法、装置及系统 |
| CN103313245B (zh) * | 2013-05-28 | 2016-04-20 | 中国联合网络通信集团有限公司 | 基于手机终端的网络业务访问方法、设备和系统 |
| CN104243415B (zh) * | 2013-06-17 | 2017-11-14 | 中国移动通信集团公司 | 一种能力调用方法和设备 |
| CN105025470A (zh) * | 2014-04-18 | 2015-11-04 | 中国移动通信集团公司 | 一种业务请求处理方法、系统及相关装置 |
| CN105991514B (zh) * | 2015-01-28 | 2019-10-01 | 阿里巴巴集团控股有限公司 | 一种业务请求认证方法及装置 |
| CN106034123B (zh) * | 2015-03-17 | 2019-06-11 | 中国移动通信集团湖北有限公司 | 认证方法、应用系统服务器及客户端 |
| CN105744520B (zh) * | 2016-03-30 | 2019-12-24 | 华为技术有限公司 | 一种应用业务的发放验证方法、装置和系统 |
| CN106657034B (zh) * | 2016-12-02 | 2020-09-25 | 中国联合网络通信集团有限公司 | 一种业务鉴权的方法及鉴权能力开放服务器 |
| CN110830990B (zh) * | 2018-08-09 | 2021-04-20 | 华为技术有限公司 | 一种身份信息的处理方法、装置及存储介质 |
| CN110224998B (zh) * | 2019-05-20 | 2023-04-07 | 平安普惠企业管理有限公司 | 一种微服务注册方法及装置 |
| CN112291709B (zh) * | 2019-07-09 | 2023-07-04 | 中国移动通信集团安徽有限公司 | 鉴权方法、装置、设备及计算机存储介质 |
| CN112732417A (zh) * | 2019-10-28 | 2021-04-30 | 北京京东振世信息技术有限公司 | 一种处理应用请求的方法和装置 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1969291A (zh) * | 2004-06-21 | 2007-05-23 | 诺基亚公司 | 确保交易提供者对交易的远程认证/确认的交易和支付系统 |
| CN101351027A (zh) * | 2007-07-19 | 2009-01-21 | 中国移动通信集团公司 | 业务鉴权处理方法及系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FR2874295B1 (fr) * | 2004-08-10 | 2006-11-24 | Jean Luc Leleu | Procede d'authentification securisee pour la mise en oeuvre de services sur un reseau de transmission de donnees |
-
2010
- 2010-12-29 CN CN201010612583.5A patent/CN102572815B/zh not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1969291A (zh) * | 2004-06-21 | 2007-05-23 | 诺基亚公司 | 确保交易提供者对交易的远程认证/确认的交易和支付系统 |
| CN101351027A (zh) * | 2007-07-19 | 2009-01-21 | 中国移动通信集团公司 | 业务鉴权处理方法及系统 |
Non-Patent Citations (1)
| Title |
|---|
| 郑海龙,刘建伟.一次性口令认证机制的分析与研究.《信息安全与通信保密》.2008,(第11期), * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102572815A (zh) | 2012-07-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102572815B (zh) | 一种对终端应用请求的处理方法、系统及装置 | |
| KR101508360B1 (ko) | 데이터 전송 장치 및 방법, 그리고 그 방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 기록매체 | |
| CN101510877B (zh) | 单点登录方法和系统、通信装置 | |
| CN101641976B (zh) | 认证方法 | |
| CN102625297B (zh) | 用于移动终端的身份管理方法及装置 | |
| EP2255507B1 (en) | A system and method for securely issuing subscription credentials to communication devices | |
| CN103297403A (zh) | 一种实现动态密码认证的方法和系统 | |
| CN103974248B (zh) | 在能力开放系统中的终端安全性保护方法、装置及系统 | |
| CN108111497A (zh) | 摄像机与服务器相互认证方法和装置 | |
| CN111131300B (zh) | 通信方法、终端及服务器 | |
| CN102026180A (zh) | M2m传输控制方法、装置及系统 | |
| CN111030814A (zh) | 秘钥协商方法及装置 | |
| CN101621794A (zh) | 一种无线应用服务系统的安全认证实现方法 | |
| CN109729000B (zh) | 一种即时通信方法及装置 | |
| CN104753674A (zh) | 一种应用身份的验证方法和设备 | |
| CN104521213A (zh) | 网络认证规程中的认证挑战参数的操纵和恢复 | |
| CN110475249A (zh) | 一种认证方法、相关设备及系统 | |
| CN108243176A (zh) | 数据传输方法和装置 | |
| CN106453361A (zh) | 一种网络信息的安全保护方法及系统 | |
| CN103906052A (zh) | 一种移动终端认证方法、业务访问方法及设备 | |
| CN104883255A (zh) | 一种密码重置方法和装置 | |
| CN109145628A (zh) | 一种基于可信执行环境的数据采集方法及系统 | |
| KR102567737B1 (ko) | 보안 메시지 서비스 제공 방법 및 이를 위한 장치 | |
| US20210067353A1 (en) | Authentication between a telematic control unit and a core server system | |
| CN104796255A (zh) | 一种客户端的安全认证方法、设备及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20141105 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |