CN102882874A - 一种用户服务权限保护装置及方法 - Google Patents
一种用户服务权限保护装置及方法 Download PDFInfo
- Publication number
- CN102882874A CN102882874A CN2012103750693A CN201210375069A CN102882874A CN 102882874 A CN102882874 A CN 102882874A CN 2012103750693 A CN2012103750693 A CN 2012103750693A CN 201210375069 A CN201210375069 A CN 201210375069A CN 102882874 A CN102882874 A CN 102882874A
- Authority
- CN
- China
- Prior art keywords
- value
- service
- added service
- access
- added
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
本发明公开了一种用户服务权限保护的装置及方法,该方法包括以下步骤:步骤(1)用户使用超文本传输协议HTTP请求通过终端或业务中间层访问增值服务;步骤(2)由终端或业务中间层向增值服务鉴权模块发起鉴权请求;步骤(3)增值服务鉴权模块检查当前用户所获得的增值服务是否还在有效期内、如果在有效期内则进一步检查用户历史访问日志,如果超出服务有效期则无权访问;步骤(4)增值服务鉴权模块向终端或业务中间层确认有权访问增值服务;步骤(5)向增值服务业务系统调用相关的增值服务;步骤(6)终端或业务中间层向用户发送增值服务业务流。
Description
技术领域
本发明涉及互联网领域,尤其是涉及一种用户服务权限保护装置及方法。
背景技术
会员增值服务是在基础服务之上为付费用户提供更为优质、专享的增值服务,但目前许多基础服务平台尚未建立完善的用户服务权限保护机制。然而,当付费会员的账号一旦被分享或盗用并在互联网上大规模传播将会导致必须付费才能享用的增值服务被免费公开,付费增值服务模式将失去运营意义,而且也会损害服务提供商的合法权益,助长了付费增值服务的非法盗用的趋势。所以,通过采取技术手段,对付费会员的账号及其相关的增值服务进行权限保护具有积极的意义。
正如在申请号为200380107245.4、申请人为株式会社KT的发明专利中公开的那样,其公开了一种用于提供互联网增值服务的系统和方法,其中的增值服务使用券供给增值服务的互联网用户使用,但该专利却并没有解决一旦互联网用户的登录账号被公开时,如何使增值服务使用券的停用。
本发明正是为了应对上述问题,针对HTTP协议而发明的在互联网上防止大规模分享付费会员账号或服务权限的解决方案。
发明内容
本发明提供了一种用户服务权限保护方法,该方法包括以下步骤:步骤(1)用户使用超文本传输协议HTTP请求通过终端或业务中间层访问增值服务;步骤(2)由终端或业务中间层向增值服务鉴权模块发起鉴权请求;步骤(3)增值服务鉴权模块检查当前用户所获得的增值服务是否还在有效期内,如果在有效期内则进一步检查用户历史访问日志,如果超出服务有效期则无权访问;步骤(4)增值服务鉴权模块向终端或业务中间层确认有权访问增值服务;步骤(5)向增值服务业务系统调用相关的增值服务;步骤(6)终端或业务中间层向用户发送增值服务业务流。
进一步,在步骤(3)中,判断当上次访问系统的时间与本次访问系统时间小于系统预定或自动调整的阈值,并且两次访问系统IP地址不在一个地址范围内,则视为无权访问。
进一步,在步骤(3)中,判断当同一IP地址范围内的访问频率符合系统预定或自动调整的阈值,并且进一步判断预定时间内对同一服务访问次数是否达到系统预定或自动调整的阈值次数,如果达到则视为无权访问。
进一步,通过增值服务鉴权模块维护的增值服务有效期列表来进行步骤(3)中所述是否在有效期的判断。
进一步,在步骤(3)中判断未出现无权访问的情况时,允许用户访问。
本发明还提供了一种用户服务权限保护装置,该装置包括:终端或业务中间层,用户使用超文本传输协议HTTP请求通过其访问增值服务,终端或业务中间层向增值服务鉴权模块发起鉴权请求;在收到增值服务鉴权模块的确认消息后向增值服务业务系统调用相关的增值服务;增值服务鉴权模块,检查当前用户所获得的增值服务是否还在有效期内,如果在有效期内则进一步检查用户历史访问日志,增值服务鉴权模块向终端或业务中间层确认有权访问增值服务;如果超出服务有效期则无权访问;增值服务业务系统,向用户发送增值服务数据流。
进一步,增值服务鉴权模块当判断上次访问系统的时间与本次访问系统时间小于系统预定或自动调整的阈值,并且两次访问系统IP地址不在一个地址范围内,则视为无权访问。
进一步,增值服务鉴权模块当判断同一IP地址范围内的访问频率符合系统预定或自动调整的阈值,进一步判断预定时间内对同一服务访问次数是否达到系统预定或自动调整的阈值次数,如果达到则视为无权访问。
进一步,增值服务鉴权模块通过维护的增值服务有效期列表来进行所述是否在有效期的判断。
进一步,当增值服务鉴权模块判断未出现无权访问的情况时,允许用户访问。
进一步,增值服务鉴权模块对每一个增值服务用户维护服务时间列表、增值服务列表、服务日志、增值服务有效期列表、IP防分享策略、服务上限策略。
进一步,服务时间列表包括服务开始时间和服务截止时间;增值服务列表包括服务类型、服务ID、服务名称;服务日志用于存储付费用户访问增值服务的记录,包括服务时间、设备标识、应用标识、IP地址;增值服务有效期列表中维护有增值服务的有效期限;IP防分享策略维护系统预定或自动调整的阈值时间和预定IP地址范围;服务上限策略维护预定时间和系统预定或自动调整的阈值服务次数。
本发明能够提供为基于互联网的基础平台提供完善的用户权限保护机制,有效的增强了增值服务的安全性。
附图说明
图1是根据本发明方法的状态流转图。
图2是根据本发明的增值服务鉴权模块的结构示意图。
具体实施方式
为使本发明的上述目的、特征和优点更加明显易懂,下面结合附图和具体实施方式对本发明作进一步详细的说明。
正常增值服务用户使用账号访问系统时,在某个较短的时间内IP地址是固定不变的。如果该账号在互联网上被分享,就会导致同时访问系统的IP地域跨度很大,结合这个特征,鉴权模块可以判断出哪些增值服务用户账号可能被分享,从而拒绝为该账号提供服务。
正常增值服务用户使用账号访问系统时,一个用户同一时间只能享用一个服务,因此每个账号并访问量很小。如果该账号在互联网上被分享,就会导致一个账号同一时间访问同一个服务的并发量很大,结合这个特征,鉴权模块可以判断出哪些增值服务用户账号可能被分享,从而拒绝为该账号提供服务。
正是基于以上特点,本发明提供了一种用户权限保护方法,如图1所示,包括:
步骤(1)用户使用超文本传输协议HTTP请求通过终端(例如可以是多屏终端或智能终端)或业务中间层访问增值服务;
步骤(2)由终端或业务中间层向增值服务鉴权模块发起鉴权请求;
步骤(3)增值服务鉴权模块检查当前用户所获得(通过购买或预定等方式获得)的增值服务是否还在有效期内(增值服务鉴权模块通过维护的增值服务有效期列表来进行所述是否在有效期的判断)。如果超出服务有效期则无权访问。如果获得的增值服务尚在有效期内,进一步检查用户历史访问日志。上次访问系统的时间与本次访问系统时间小于预定阈值时间,并且两次访问系统IP地址不在一个地址范围内(预定阈值时间可配置为5分钟,IP地址范围可配置),则视为无权访问。如果同一IP范围的访问频率符合预定阈值,进一步检查用户历史访问日志。预定时间内对同一服务访问次数达到预定阈值次数(预定时间可配置为24小时,访问次数上限可配置),则视为无权访问;当判断未出现无权访问的情况时,允许用户访问。
步骤(4)增值服务鉴权模块向终端或业务中间层确认有权访问增值服务;
步骤(5)向增值服务业务系统调用相关的增值服务;
步骤(6)增值服务业务系统向用户发送增值服务数据流。
数字版权保护技术或内容传输加密技术不能够避免用户主动分享密钥,本发明主要面向互联网用户,防止增值服务用户账号通过互联网大规模传播分享行为。如果一个增值服务用户将自己的账号密码通过微博或论坛分享在互联网上,就会导致大量用户同时访问增值服务,这时鉴权模块根据这些访问请求的特点判断出这个增值服务用户账号可能被大规模分享。此时可以拒绝为该账号提供增值服务。从而保护了版权方和服务提供方的利益。
本发明还提供了一种用户服务权限保护装置,该装置包括:终端或业务中间层,用户使用超文本传输协议HTTP请求通过其访问增值服务,终端或业务中间层向增值服务鉴权模块发起鉴权请求;增值服务鉴权模块,检查当前用户所获得的增值服务是否还在有效期内、如果在有效期内则进一步检查用户历史访问日志,增值服务鉴权模块当判断上次访问系统的时间与本次访问系统时间小于预定阈值,并且两次访问系统IP地址不在一个地址范围内,则视为无权访问。增值服务鉴权模块当判断同一IP地址范围内的访问频率符合预定阈值,进一步判断预定时间内对同一服务访问次数是否达到预定阈值次数,如果达到则视为无权访问。当增值服务鉴权模块判断未出现无权访问的情况时,允许用户访问。增值服务鉴权模块向终端或业务中间层确认有权访问增值服务;在收到增值服务鉴权模块的确认消息后终端或业务中间层向增值服务业务系统调用相关的增值服务;增值服务业务系统,向用户发送增值服务数据流。
如图2所示,示出了根据本发明的增值服务鉴权模块的结构图,在该图中,鉴权模块对每一个付费用户(即增值服务用户)维护服务时间列表(包括服务开始时间和服务截止时间)、增值服务列表(包括服务类型、服务ID、服务名称)、服务日志、增值服务有效期列表、IP防分享策略、服务上限策略。其中服务日志用于存储付费用户访问增值服务的记录,包括服务时间、设备标识、应用标识(用于区分不同设备或同一设备上的不同应用)、IP地址。
其中增值服务有效期列表用于判断增值访问是否还在有效期限之内。
增值服务列表用于判断用户是否有权访问增值服务,具体来说,与用户账号相关联的增值服务列表中的增值服务是对应用户有权访问的增值服务。
鉴权模块调取服务日志,用于判断用户是否有权访问。具体来说,增值服务鉴权模块根据增值服务有效期限检查当前用户所获得的增值服务是否还在有效期内。如果超出服务有效期则无权访问。如果获得的增值服务尚在有效期内,进一步检查用户历史访问日志。鉴权模块调用IP防分享策略,判断上次访问系统的时间与本次访问系统时间小于预定阈值时间,并且两次访问系统IP地址不在一个地址范围内(预定阈值时间可配置为5分钟,IP地址范围可配置),则视为无权访问。如果同一IP范围的访问频率符合预定阈值,进一步检查用户历史访问日志。鉴权模块调用服务上限策略,预定时间内对同一服务访问次数达到预定阈值次数(预定时间可配置为24小时,访问次数上限可配置),则视为无权访问。以上所述预定阈值均可通过人工手动或系统自动调整指定,优选均为可变量。
以上是对本发明的优选实施例进行的详细描述,但本领域的普通技术人员应该意识到,在本发明的范围内和精神指导下,各种改进、添加和替换都是可能的。这些都在本发明的权利要求所限定的保护范围内。
Claims (12)
1.一种用户服务权限保护方法,其特征在于该方法包括以下步骤:
步骤(1)用户使用超文本传输协议HTTP请求通过终端或业务中间层访问增值服务;
步骤(2)由终端或业务中间层向增值服务鉴权模块发起鉴权请求;
步骤(3)增值服务鉴权模块检查当前用户所获得的增值服务是否还在有效期内,如果在有效期内则进一步检查用户历史访问日志,如果超出服务有效期则无权访问;
步骤(4)增值服务鉴权模块向终端或业务中间层确认有权访问增值服务;
步骤(5)向增值服务业务系统调用相关的增值服务;
步骤(6)终端或业务中间层向用户发送增值服务业务流。
2.根据权利要求1所述的方法,其特征在于:在步骤(3)中,进一步判断当上次访问系统的时间与本次访问系统时间小于系统预定或自动调整的阈值,并且两次访问系统IP地址不在一个地址范围内,则视为无权访问。
3.根据权利要求1所述的方法,其特征在于:在步骤(3)中,进一步判断当同一IP地址范围内的访问频率符合系统预定或自动调整的阈值,并且进一步判断预定时间内对同一服务访问次数是否达到系统预定或自动调整的阈值次数,如果达到则视为无权访问。
4.根据权利要求1所述的方法,其特征在于:通过增值服务鉴权模块维护的增值服务有效期列表来进行步骤(3)中所述是否在有效期的判断。
5.根据权利要求1或2或3或4所述的方法,其特征在于:
在步骤(3)中判断未出现无权访问的情况时,允许用户访问。
6.一种用户服务权限保护装置,其特征在于该装置包括:
终端或业务中间层,用户使用超文本传输协议HTTP请求通过其访问增值服务,终端或业务中间层向增值服务鉴权模块发起鉴权请求;在收到增值服务鉴权模块的确认消息后向增值服务业务系统调用相关的增值服务;
增值服务鉴权模块,检查当前用户所获得的增值服务是否还在有效期内,如果在有效期内则进一步检查用户历史访问日志,增值服务鉴权模块向终端或业务中间层确认有权访问增值服务;如果超出服务有效期则无权访问;
增值服务业务系统,向用户发送增值服务数据流。
7.根据权利要求6所述的装置,其特征在于:增值服务鉴权模块当判断上次访问系统的时间与本次访问系统时间小于系统预定或自动调整的阈值,并且两次访问系统IP地址不在一个地址范围内,则视为无权访问。
8.根据权利要求6所述的装置,其特征在于:增值服务鉴权模块当判断同一IP地址范围内的访问频率符合系统预定或自动调整的阈值,进一步判断预定时间内对同一服务访问次数是否达到系统预定或自动调整的阈值次数,如果达到则视为无权访问。
9.根据权利要求6所述的装置,其特征在于:增值服务鉴权模块通过维护的增值服务有效期列表来进行所述是否在有效期的判断。
10.根据权利要求6或7或8或9所述的装置,其特征在于:
当增值服务鉴权模块判断未出现无权访问的情况时,允许用户访问。
11.根据权利要求10所述的装置,其特征在于:增值服务鉴权模块对每一个增值服务用户维护服务时间列表、增值服务列表、服务日志、增值服务有效期列表、IP防分享策略、服务上限策略。
12.根据权利要求11所述的装置,其特征在于:
服务时间列表包括服务开始时间和服务截止时间;增值服务列表包括服务类型、服务ID、服务名称;服务日志用于存储付费用户访问增值服务的记录,包括服务时间、设备标识、应用标识、IP地址;增值服务有效期列表中维护有增值服务的有效期限;IP防分享策略维护系统预定或自动调整的阈值时间和预定IP地址范围;服务上限策略维护预定时间和系统预定或自动调整的阈值服务次数。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2012103750693A CN102882874A (zh) | 2012-09-29 | 2012-09-29 | 一种用户服务权限保护装置及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2012103750693A CN102882874A (zh) | 2012-09-29 | 2012-09-29 | 一种用户服务权限保护装置及方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN102882874A true CN102882874A (zh) | 2013-01-16 |
Family
ID=47484017
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2012103750693A Pending CN102882874A (zh) | 2012-09-29 | 2012-09-29 | 一种用户服务权限保护装置及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102882874A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103607419A (zh) * | 2013-08-23 | 2014-02-26 | 合一网络技术(北京)有限公司 | 优质用户账号防分享方法及系统 |
CN104092660A (zh) * | 2014-06-09 | 2014-10-08 | 武汉传神信息技术有限公司 | 一种访问网络站点的方法 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101340332A (zh) * | 2007-07-02 | 2009-01-07 | 郑志豪 | 防止非法用户登录网站的一种方法 |
US20090158404A1 (en) * | 2007-12-17 | 2009-06-18 | International Business Machines Corporation | Apparatus, system, and method for user authentication based on authentication credentials and location information |
CN102402517A (zh) * | 2010-09-09 | 2012-04-04 | 北京启明星辰信息技术股份有限公司 | 数据库正常登录模型建立、登录行为异常检测方法及系统 |
-
2012
- 2012-09-29 CN CN2012103750693A patent/CN102882874A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101340332A (zh) * | 2007-07-02 | 2009-01-07 | 郑志豪 | 防止非法用户登录网站的一种方法 |
US20090158404A1 (en) * | 2007-12-17 | 2009-06-18 | International Business Machines Corporation | Apparatus, system, and method for user authentication based on authentication credentials and location information |
CN102402517A (zh) * | 2010-09-09 | 2012-04-04 | 北京启明星辰信息技术股份有限公司 | 数据库正常登录模型建立、登录行为异常检测方法及系统 |
Non-Patent Citations (1)
Title |
---|
许建宏 等: "电信增值业务运营中的认证鉴权控制方案研究", 《邮电设计技术》 * |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103607419A (zh) * | 2013-08-23 | 2014-02-26 | 合一网络技术(北京)有限公司 | 优质用户账号防分享方法及系统 |
CN103607419B (zh) * | 2013-08-23 | 2015-12-02 | 合一网络技术(北京)有限公司 | 优质用户账号防分享方法及系统 |
CN104092660A (zh) * | 2014-06-09 | 2014-10-08 | 武汉传神信息技术有限公司 | 一种访问网络站点的方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5274096B2 (ja) | デジタルコンテンツ配信に対する否認防止 | |
US20080172721A1 (en) | Internet Access Time Control Method Using Authentication Assertion | |
CN102457509B (zh) | 云计算资源安全访问方法、装置及系统 | |
CN107332861A (zh) | 一种基于OAuth协议的开放平台架构系统 | |
CN103036924B (zh) | 一种链接处理方法及系统 | |
CN104685511B (zh) | 策略管理系统、id提供者系统以及策略评价装置 | |
CA2772399A1 (en) | Parent match | |
EP2973148A1 (en) | Identification delegation for devices | |
EP1683388A2 (fr) | Methode de gestion de la s curit d' applications avec un module de securite | |
CN101515932A (zh) | 一种安全的Web service访问方法和系统 | |
JP2009500734A (ja) | オンライン・ストリーミング・コンテンツに対する集中アクセス許可方法およびシステム | |
US20110137817A1 (en) | System and method for aggregating and disseminating personal data | |
US8793773B2 (en) | System and method for providing reputation reciprocity with anonymous identities | |
JP5085605B2 (ja) | ログインを管理するサーバ、方法、およびプログラム | |
CN106953831A (zh) | 一种用户资源的授权方法、装置及系统 | |
CN101291221B (zh) | 一种用户身份隐私性保护的方法及通信系统、装置 | |
ES2624841T3 (es) | Un método implementado por ordenador y sistema para una comunicación anónima y programa de ordenador para los mismos | |
CN102882874A (zh) | 一种用户服务权限保护装置及方法 | |
CN101562355A (zh) | 配网自动化系统操作终端安全管理技术 | |
Frieden | Rationales for and against regulatory involvement in resolving Internet interconnection disputes | |
US20140330709A1 (en) | Online stream honey pot capture | |
CN103069767B (zh) | 交付认证方法 | |
CN103607419B (zh) | 优质用户账号防分享方法及系统 | |
CN105392112B (zh) | Mtc设备信息的保护方法、设备及系统 | |
Frieden | Assessing the Merits of Network Neutrality Obligations at Low, Medium and High Network Layers |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C12 | Rejection of a patent application after its publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20130116 |