基于特定信息的用户身份识别方法和系统
技术领域
本发明涉及互联网技术,特别是涉及针对互联网的基于特定信息的用户身份识别方法和系统。
背景技术
随着互联网技术的日渐成熟,互联网应用尤其是移动互联网应用迅速发展起来。很多互联网应用为了吸引用户,通常不需要用户进行注册,用户可以直接使用互联网应用。
发明人在实现本发明过程中发现:现有的互联网应用通常无法获知用户身份信息,这对互联网应用的发展是不利的,例如,互联网应用无法进行深入的用户行为分析以及精准营销等行为等;再例如,互联网应用的运营商会由于自身体系与互联网接轨等因素,而急需获知访问其的用户身份信息,但是目前却无法获知。另外,2011年上半年我国的各种网络安全事件的数量与2010年上半年同期相比,具有较为显著的增加。上述网络安全事件通常来自互联网入侵检测、蜜罐诱捕技术以及安全应急响应等事件监测技术,然而,这些监测技术往往只能识别出特定网络安全事件,却无法发现网络安全事件对应的用户身份,从而不能够便捷的实现用户定位处理。
有鉴于上述现有的互联网应用和网络安全存在的缺陷,本发明人基于从事此类商品设计制造多年丰富的实务经验及专业知识,并配合学理的运用,积极加以研究创新,以期创设一种基于特定信息的用户身份识别方法和系统,能够使互联网应用获知用户身份信息并可以进行用户定位,使其更具有实用性。经过不断的研究、设计,经过反复试作样品及改进后,终于创设出确具实用价值的本发明。
发明内容
本发明的目的主要在于,克服现有的互联网应用和网络安全存在的缺陷,而提供一种基于特定信息的用户身份识别方法和系统,所要解决的技术问题是,根据表示用户对访问互联网的访问情况的特定信息可以获知对应的用户身份信息,从而有利于互联网应用的发展,并提高网络安全,非常适于实用。
本发明的目的以及解决其技术问题可以采用以下的技术方案来实现。
依据本发明提出的一种基于特定信息的用户身份识别方法,包括:根据的特定信息确定与该特定信息相关的用户临时唯一标识,所述特定信息表示用户对互联网的访问情况;从通讯网络侧获取用户临时唯一标识和用户身份信息;根据所述用户临时唯一标识关联所述用户身份信息与所述特定信息;所述关联的信息用于对外提供用户身份信息。
本发明的目的以及解决其技术问题还可以采用以下的技术措施来进一步实现。
较佳的,前述的基于特定信息的用户身份识别方法,其中所述特定信息包括:网络特征信息、用户行为特征信息或者用户访问内容特征信息中的至少一个。
较佳的,前述的基于特定信息的用户身份识别方法,其中所述网络特征信息包括:源IP地址、源端口号、目标IP地址和目标端口号中的至少一个。
较佳的,前述的基于特定信息的用户身份识别方法,其中所述用户行为特征信息包括:统一资源定位符URL、即时通讯工具用户号码、文件传输协议FTP地址、视频点播地址和黑客攻击行为特征信息中的至少一个。
较佳的,前述的基于特定信息的用户身份识别方法,其中所述用户访问内容特征信息包括:用户访问内容中的数字串或字母串、或者用户访问内容中的多个信息的组合。
较佳的,前述的基于特定信息的用户身份识别方法,其中所述用户临时唯一标识包括:所述用户的IP地址和/或媒介访问控制MAC地址。
较佳的,前述的基于特定信息的用户身份识别方法,其中所述根据特定信息确定与该特定信息相关的用户临时唯一标识包括:在所述网络特征信息为源IP地址的情况下,将所述用户临时唯一标识确定为所述源IP地址;或者,在所述网络特征信息为源IP地址和源端口号的情况下,将所述用户临时唯一标识确定为所述源IP地址和所述源端口号;或者,在网络特征信息不包括源IP地址的情况下,对通讯网络侧传输的数据进行解析,从解析到的包含有所述特定信息的数据中获取所述用户临时唯一标识。
较佳的,前述的基于特定信息的用户身份识别方法,其中所述从通讯网络侧获取用户临时唯一标识和用户身份信息包括:通讯网络侧的现有网络设备从其传输的数据中解析用户临时唯一标识和用户身份信息,所述现有网络设备包括:远程用户拨号认证系统Radius设备、网关GPRS支持节点GGSN、分组数据服务节点PDSN、无线应用协议WAP网关或融合网关;或者,在通讯网络侧设置深度包检测DPI设备,由所述DPI设备解析通信网络侧中传输的数据,从解析出的信令数据中获取所述用户临时唯一标识和用户身份信息。
较佳的,前述的基于特定信息的用户身份识别方法,其中所述用户身份信息包括:手机号码、国际移动用户识别码IMSI、国际移动设备身份码IMEI、非对称数字用户环路ADSL账号或者无线局域网络WLAN账号。
较佳的,前述的基于特定信息的用户身份识别方法,其中所述方法还包括:接收包含有特定信息的查询条件,根据所述查询条件中的特定信息从所述关联的信息中获取对应的用户身份信息,并输出;或者,将所述关联的信息中的用户身份信息插入到携带有所述特定信息的数据报文中。
本发明还提供一种基于特定信息的用户身份识别系统,包括:特定信息处理模块,用于根据特定信息确定与该特定信息相关的用户临时唯一标识,所述特定信息表示用户对互联网的访问情况;获取身份信息模块,用于从通讯网络侧获取用户临时唯一标识和用户身份信息;关联模块,用于根据所述临时唯一标识关联所述用户身份信息与所述特定信息;所述关联的信息用于对外提供用户身份信息。
较佳的,前述的基于特定信息的用户身份识别系统,其中所述关联模块还用于:将所述关联的信息中的用户身份信息插入到携带有所述特定信息的数据报文中。
较佳的,前述的基于特定信息的用户身份识别系统,其中所述系统还包括:数据存储模块,用于存储所述关联的信息;查询模块,用于接收包含有特定信息的查询条件,根据所述查询条件中的特定信息从所述数据存储模块存储的关联的信息中获取对应的用户身份信息,并输出;所述查询模块基于文件传输协议FTP、安全文件传送协议SFTP、SCP、超文本传送协议HTTP或WEB服务方式接收外部输入的所述查询条件。
借由上述技术方案,本发明的基于特定信息的用户身份识别方法和系统至少具有下列优点及有益效果:本发明通过将用户访问互联网情况的特定信息映射为用户临时唯一标识,并从通讯网络侧获取该用户临时唯一标识和用户身份信息,从而可以基于用户临时唯一标识将特定信息和用户身份信息关联起来,进而可以为互联网应用等提供特定信息对应的用户身份信息,使互联网应用可以进行后续的用户行为分析以及精准营销等行为,且可以针对网络安全事件进行用户定位等处理;另外,本发明的技术方案对网络性能的影响很小;最终本发明提供的技术方案有利于互联网应用的良性发展并提高了网络安全。
综上所述,本发明在技术上有显著的进步,具有明显的积极效果,诚为一新颖、进步、实用的新设计。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其他目的、特征和优点能够更明显易懂,以下特举较佳实施例,并配合附图详细说明如下。
附图说明
图1为本发明的基于特定信息的用户身份识别方法的流程图;
图2为本发明的基于特定信息的用户身份识别系统位置示意图;
图3为本发明的基于特定信息的用户身份识别系统结构示意图。
具体实施方式
为更进一步阐述本发明为达成预定发明目的所采取的技术手段及功效,以下结合附图及较佳实施例,对依据本发明提出的基于特定信息的用户身份识别方法和系统具体实施方式、结构、特征、流程及功效,详细说明如后。
实施例一、基于特定信息的用户身份识别方法。该用户身份识别方法的流程如附图1所示。
图1中,S100、根据特定信息确定与该特定信息相关的用户临时唯一标识。
具体的,本发明中的特定信息主要用于表示用户对互联网的访问情况,例如,该特定信息可以包括:网络特征信息、用户行为特征信息或者用户访问内容特征信息中的至少一个。
其中的网络特征信息可以具体包括:源IP地址、源端口号、目标IP地址和目标端口号中的至少一个;其中的用户行为特征信息可以包括:URL(统一资源定位符)、即时通讯工具用户号码(如QQ号)、FTP(文件传输协议)地址、视频点播地址和黑客攻击行为特征信息中的至少一个;其中的用户访问内容特征信息可以包括:用户访问内容中的数字串或字母串、或者用户访问内容中的多个信息的组合。本发明不限制特定信息的具体表现形式。
这里的用户访问互联网的特定信息可以是外部输入的,一个具体的例子:本发明可以对外设置接口,以通过该接口接收外部(如互联网应用的服务提供商平台)输入的查询用户身份信息的查询条件,该查询条件可以包括:用户访问互联网的特定信息。该接口也可以被称为用户身份信息的查询接口。本发明可以将查询结果通过该接口输出,以向查询方返回特定信息对应的用户身份信息。
上述查询接口可以基于FTP(文件传输协议)、SFTP(安全文件传送协议)、SCP、HTTP(超文本传送协议)或者WEBSERVICE(WEB服务)方式与外部进行信息交互,以接收外部输入的特定信息,并向外部输出特定信息对应的用户身份信息。
另外,本发明还可以从网络设备传输的数据报文中获取特定信息,如从网络中传输的基于FTP、SFTP、SCP、HTTP或者WEBSERVICE的报文中获取特定信息。一个具体的例子,本发明可以从网络设备传输的报文中获取到终端账号、开始时间戳、结束时间戳、源IP地址、源端口号以及上层协议类型等。另一个具体的例子,本发明可以从网络设备传输的报文中获取到结束时间戳、源IP地址、目标IP地址、源端口号、目标端口号、上层协议类型、相关协议信息如QQ号、URL信息以及黑客攻击行为特征信息等。
在网络特征信息为源IP地址的情况下,本发明可以将源IP地址直接确定为用户临时唯一标识,即用户临时唯一标识等于网络特征信息。
在网络特征信息为源IP地址和源端口号的情况下,本发明可以将源IP地址和源端口号直接确定为用户临时唯一标识,即用户临时唯一标识等于网络特征信息。
在网络特征信息不包括源IP地址的情况下,本发明可以对通讯网络侧传输的数据报文进行解析,以从解析出的包含有特定信息的数据报文中获取用户临时唯一标识,并将获取的该临时唯一标识与该特定信息绑定。
本发明中的用户临时唯一标识可以包括:用户的IP地址和/或者用户的MAC(媒介访问控制)地址等。
需要说明的是,一条特定信息可以对应一个用户临时唯一标识,也可以为对应多个用户临时唯一标识,即特定信息和用户临时唯一标识可以是一对一的对应关系,也可以是一对多的对应关系。
S110、从通讯网络侧获取用户临时唯一标识和用户身份信息。
具体的,本发明可以从通讯网络侧的现有设备处获取用户临时唯一标识和其对应的用户身份信息,即由通讯网络侧的现有网络设备提供用户临时唯一标识和其对应的用户身份信息,如可以使现有网络设备进行数据报文进行解析处理,并根据解析结果从相应的数据报文(如用户的信令数据报文)中获取用户临时唯一标识和其对应的用户身份信息;上述通讯网络侧的现有网络设备可以包括:Radius(远程用户拨号认证系统)设备、GGSN(网关GPRS支持节点)、PDSN(分组数据服务节点)、WAP(无线应用协议)网关或者融合网关等等。
另外,本发明也可以在通讯网络侧设置DPI(深度包检测)设备,由该DPI设备对通信网络侧中传输的数据报文进行深度数据报文检测(如进行数据报文解析处理),以根据检测结果从相应的数据报文(如用户的信令数据报文)中获取用户临时唯一标识和其对应的用户身份信息。
这里的用户身份信息可以具体包括:手机号码、IMSI(国际移动用户识别码)、IMEI(国际移动设备身份码)、ADSL(非对称数字用户环路)账号或者WLAN(无线局域网络)账号等。
上述S110中获取的用户临时唯一标识和用户身份信息可以为:一个用户临时唯一标识和一个用户身份信息,也可以为多个用户临时唯一标识以及每一个用户临时唯一标识对应的用户身份信息(即多个用户身份信息)。
需要说明的是,虽然本实施例是按照先后顺序对S100和S110进行描述的,但是,在实际应用中,S100和S110之间可以没有先后顺序,即S100和S110可以是并行执行的。
S120、根据用户临时唯一标识关联用户身份信息与特定信息。该关联的信息可以用于对外提供用户身份信息,如提供查询结果,再如在网络侧传输的数据报文中插入用户身份信息等,上述查询的查询条件包含有特定信息。
具体的,本发明通过上述S100可以获得特定信息和用户临时唯一标识之间的对应关系,通过上述S110可以获得用户临时唯一标识与用户身份信息之间的对应关系,这样,本发明可以利用预定算法根据两组对应关系中的用户临时唯一标识将特定信息与用户身份信息关联起来;另外,本发明也可以将用户身份信息与用户临时唯一标识和特定信息三者关联起来。
上述关联的信息可以做为查询结果直接输出,也可以存储起来,以备后续查询方进行查询。也就是说,本发明可以先预期查询条件,并根据预期的查询条件来收集历史数据,之后,再以收集到的历史数据做为查询方进行查询的基础数据;本发明也可以根据查询方设置的查询条件,直接在网络中有针对性的收集数据,并将最后获得的相互关联的特定信息和用户身份信息做为查询结果输出给查询方。
在网络侧传输携带有特定信息的数据报文的情况下,本发明可以将最终获得的用户身份信息插入该数据报文中,并继续该数据报文后续的传输过程,从而可以使数据报文的接收方(如互联网应用等)可以获知用户身份信息。
上述关联的信息可以存储在数据库、XML或者纯文本格式的文档中,且本发明可以对上述关联的信息进行压缩处理。
针对本发明方法的上述各步骤的一个具体例子为:针对/sf2/sbyy.jsp的特定信息,通过网络报文的IP层信息将/sf2/sbyy.jsp转换成用户临时唯一标识(如IP地址10.1.2.3);从网络侧传输的数据报文中获取10.1.2.3对应的手机号码13910272151,将手机号码13910272151与/sf2/sbyy.jsp绑定,并将手机号码13910272151插入到该网络报文中,另外,本发明还可以存储该绑定信息。
实施例二、基于特定信息的用户身份识别系统。该用户身份识别系统如附图2和附图3所示。
图2中,本发明的基于特定信息的用户身份识别系统1通过接口21与由多个通讯网络侧设备组成的通讯管道2信号连接,用户身份识别系统1通过接口22与互联网应用的服务提供商平台3信号连接。另外,终端通过通讯管道2可以访问互联网应用的服务提供商平台3。
具体的,本发明的用户身份识别系统1可以通过接口21与通讯管道2进行用户身份信息、用户临时唯一标识以及特定信息等信息的传输;本发明的用户身份识别系统1可以通过接口22与互联网应用的服务提供商平台3进行特定信息、临时唯一标识以及用户身份信息等信息的传输。
上述接口21和接口22所采用的协议以及消息格式等可以根据实际网络的具体情况来设置,且上述通讯管道2可以包括通讯网络侧现有的可以对数据报文进行检测的网络通讯设备(如Radius设备、GGSN、PDSN、WAP网关或者融合网关等),也可以包括专门通过旁路方式(如分光或者镜像方式)设置于网络侧的DPI设备。本发明不限制接口21-22以及通讯管道2所包含的通讯设备的具体名称。
本发明的基于特定信息的用户身份识别系统的结构如图3所示。
图3中的用户身份识别系统具体包括:特定信息处理模块11、获取身份信息模块12以及关联模块13。该系统还可以包括:数据存储模块14和查询模块15。在该系统不包括:数据存储模块14和查询模块15的情况下,关联模块13与特定信息处理模块11和获取身份信息模块12分别连接;在该系统包括数据存储模块14和查询模块15的情况下,存储模块14与特定信息处理模块11、获取身份信息模块12、关联模块13以及查询模块15分别连接,且查询模块15还可以与特征信息采集处理模块12连接。
特定信息处理模块11主要用于根据特定信息确定与该特定信息相关的用户临时唯一标识。
具体的,在网络特征信息为源IP地址的情况下,特定信息处理模块11可以将源IP地址直接确定为用户临时唯一标识,即用户临时唯一标识等于网络特征信息。
在网络特征信息为源IP地址和源端口号的情况下,特定信息处理模块11可以将源IP地址和源端口号直接确定为用户临时唯一标识,即用户临时唯一标识等于网络特征信息。
在网络特征信息不包括源IP地址的情况下,可以对通讯网络侧传输的数据进行解析,以从解析出的包含有特定信息的数据中获取用户临时唯一标识,从而使特定信息处理模块11获知特定信息对应的用户临时唯一标识,特定信息处理模块11将该临时唯一标识与该特定信息绑定。
特定信息处理模块11可以设置于Radius设备、GGSN、PDSN、WAP网关、融合网关或者DPI设备中。
特定信息处理模块11可以根据查询模块15传输来的特定信息对网络中传输的数据报文进行解析,以从包含有该特定信息的数据报文中获得与该特定信息相关的用户临时唯一标识。
另外,特定信息处理模块11还可以从接收到的数据报文中(如网络设备传输的报文中)获取特定信息,如特定信息处理模块11从网络中传输的基于FTP、SFTP、SCP、HTTP或者WEBSERVICE的数据报文中获取特定信息。一个具体的例子,特定信息处理模块11可以从网络设备传输的报文中获取到终端账号、开始时间戳、结束时间戳、源IP地址、源端口号以及上层协议类型等。另一个具体的例子,特定信息处理模块11可以从网络设备传输的报文中获取到结束时间戳、源IP地址、目标IP地址、源端口号、目标端口号、上层协议类型、相关协议信息如QQ号、URL信息以及黑客攻击行为特征信息等。
特定信息处理模块11可以将其获取的特定信息和与该特定信息相关的用户临时唯一标识存储在数据存储模块14中。
获取身份信息模块12主要用于从通讯网络侧获取用户临时唯一标识和用户身份信息。
具体的,获取身份信息模块12可以从通讯网络侧的现有网络设备处获取用户临时唯一标识和用户身份信息,如从Radius设备、GGSN、PDSN、WAP网关或者融合网关等设备处获取用户临时唯一标识和用户身份信息;另外,获取身份信息模块12可以设置在DPI设备中,该DPI设备以旁路方式设置在网络侧,从而获取身份信息模块12通过对接收到的数据报文的检测获取用户临时唯一标识和用户身份信息。
网络侧的现有网络设备可以对其传输的数据报文进行解析处理,并根据解析结果从相应的数据报文(如用户的信令数据报文)中获取用户临时唯一标识和其对应的用户身份信息,并提供给获取身份信息模块12。获取身份信息模块12可以将获取的用户临时唯一标识和其对应的用户身份信息存储在数据存储模块14中。另外,DPI设备中的获取身份信息模块12可以对接收到的数据报文进行解析处理,并根据解析结果从相应的数据报文中获取用户临时唯一标识和其对应的用户身份信息。
获取身份信息模块12获取的用户身份信息可以包括:手机号码、IMSI、IMEI、ADSL账号或者WLAN账号。
需要说明的是,特定信息处理模块11和获取身份信息模块12执行的操作可以是并行的没有先后顺序的限定。
关联模块13主要用于根据临时唯一标识关联用户身份信息与特定信息。关联模块13进行关联操作后获得的关联的信息可以用于对外提供查询结果。
具体的,特定信息处理模块11可以获得特定信息和用户临时唯一标识之间的对应关系,获取身份信息模块12可以获得用户临时唯一标识与用户身份信息之间的对应关系,这样,关联模块13可以采用预定算法根据两组对应关系中的用户临时唯一标识将两组对应关系中的特定信息与用户身份信息关联起来;另外,关联模块13也可以将用户身份信息与用户临时唯一标识和特定信息三者关联起来。
关联模块13可以将上述关联的信息做为查询结果提供给查询模块15,也可以将关联的信息存储在数据存储模块14中,以备后续查询方进行查询,还可以将关联的信息中的用户身份信息插入携带有特定信息的数据报文中。
关联模块13获得的关联的信息可以具体为:GPRS中的身份信息(如MSISDN/IMSI)与特定信息的绑定关系信息;或者为:PDSN中的身份信息(如MSISDN/IMSI)与特定信息的绑定关系信息;或者为:ADSL/WLAN中的身份信息(即账户)与特定信息的绑定关系信息等。
数据存储模块14主要用于存储关联模块13传输来的关联的信息。数据存储模块14还可以用于存储特定信息处理模块11传输来的特定信息与用户临时唯一标识之间的对应关系、以及获取身份信息模块12传输来的用户临时唯一标识与用户身份信息之间的对应关系。数据存储模块14将其接收到的关联信息以及绑定信息等存储在数据库、XML或者纯文本格式的文档中,且可以对其存储的上述关联的信息进行压缩处理。
查询模块15主要用于接收外部输入的包含有特定信息的查询条件,根据该查询条件中的特定信息从数据存储模块14存储的关联的信息中获取对应的用户身份信息,并输出用户身份信息。
查询模块15可以是本发明系统的查询接口。查询模块15可以基于FTP、SFTP、SCP、HTTP或者WEBSERVICE方式与外部进行信息交互,以接收外部输入的特定信息,并向外部输出特定信息对应的用户身份信息。
针对本发明系统的上述各模块的一个具体例子为:针对/sf2/sbyy.jsp的特定信息,特定信息处理模块11基于接口21通过网络报文的IP层信息将/sf2/sbyy.jsp转换成用户临时唯一标识(如IP地址10.1.2.3);获取身份信息模块12基于接口21从网络侧传输的数据报文中获取10.1.2.3对应的手机号码13910272151,关联模块13将手机号码13910272151与/sf2/sbyy.jsp绑定,并将该绑定信息存储在数据存储模块14中。
在上述具体例子中,关联模块13可以将特定信息与用户身份信息绑定并输出,关联模块13输出的包含有绑定信息的查询结果基于XML方式的一个具体的例子为:
Type:msisdn_locate查询msisdn号,
src_ip:数据报文的源IP,
src_port:源端口
digest:特定信息
starttime:查询该时间(包括该时间)之后上网的用户
endtime:查询该时间(包括该时间)之前上网的用户
start_record:当前查询结果的起始记录
end_record:当前查询结果的结束记录
在上述具体例子中,关联模块13也可以将查询到的用户身份信息直接插入到网络设备(如DPI设备)接收到的包含有特定信息的通讯报文中;例如,网络设备接收到的包含有特征信息为/sf2/sbyy.jsp的数据报文为:
GET
/sf2/sbyy.jsp?v=30001&imei=358321039766405&number=13505170150&ua=002&extchid=11003&productid=20000&ps=QrjmkQvolkPHTTP/1.1Connection:Keep-Alive
Host:10.0.0.172:80
X-Online-Host:122.70.145.21:80
Accept:text/html,text/css,multipart/mixed,application/java-archive,Accept-Charset:iso-8859-1,utf-8;q=0.7,*;q=0.7
Accept-Language:zh-cn,zh
关联模块13在接收到的数据报文中插入用户身份信息(X-Caller-ID:13910272151:)后的数据报文可以为:
GET
/sf2/sbyy.jsp?v=30001&imei=358321039766405&number=13505170150&ua=002&extchid=11003&productid=20000&ps=QrjmkQvolkPHTTP/1.1
Connection:Keep-Alive
Host:10.0.0.172:80
X-Online-Host:122.70.145.21:80
X-Caller-ID:13910272151
Accept:text/html,text/css,multipart/mixed,application/java-archive,Accept-Charset:iso-8859-1,utf-8;q=0.7,*;q=0.7
Accept-Language:zh-cn,zh
以上所述仅是本发明的较佳实施例而已,并非对本发明作任何形式上的限制,虽然本发明已以较佳实施例揭露如上,然而并非用以限定本发明,任何熟悉本专业的技术人员在不脱离本发明技术方案范围内,当可利用上述揭示的技术内容作出些许更动或修饰为等同变化的等效实施例,但凡是未脱离本发明技术方案的内容,依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化与修饰,均仍属于本发明技术方案的范围内。