CN103812836A - 一种网站发送用户预留信息的系统和方法 - Google Patents
一种网站发送用户预留信息的系统和方法 Download PDFInfo
- Publication number
- CN103812836A CN103812836A CN201210447821.0A CN201210447821A CN103812836A CN 103812836 A CN103812836 A CN 103812836A CN 201210447821 A CN201210447821 A CN 201210447821A CN 103812836 A CN103812836 A CN 103812836A
- Authority
- CN
- China
- Prior art keywords
- user
- address
- user terminal
- information
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 54
- 230000004044 response Effects 0.000 claims description 24
- 230000005540 biological transmission Effects 0.000 claims description 11
- 238000003860 storage Methods 0.000 claims description 11
- 238000004891 communication Methods 0.000 claims description 9
- 238000010200 validation analysis Methods 0.000 claims description 7
- 230000004913 activation Effects 0.000 claims description 5
- 238000003780 insertion Methods 0.000 claims description 2
- 230000037431 insertion Effects 0.000 claims description 2
- 230000011664 signaling Effects 0.000 description 12
- 230000008569 process Effects 0.000 description 10
- 238000012795 verification Methods 0.000 description 7
- 230000004048 modification Effects 0.000 description 5
- 238000012986 modification Methods 0.000 description 5
- CSRZQMIRAZTJOY-UHFFFAOYSA-N trimethylsilyl iodide Substances C[Si](C)(C)I CSRZQMIRAZTJOY-UHFFFAOYSA-N 0.000 description 5
- 239000013307 optical fiber Substances 0.000 description 4
- 230000003068 static effect Effects 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 2
- 239000000126 substance Substances 0.000 description 2
- GNFTZDOKVXKIBK-UHFFFAOYSA-N 3-(2-methoxyethoxy)benzohydrazide Chemical compound COCCOC1=CC=CC(C(=O)NN)=C1 GNFTZDOKVXKIBK-UHFFFAOYSA-N 0.000 description 1
- FGUUSXIOTUKUDN-IBGZPJMESA-N C1(=CC=CC=C1)N1C2=C(NC([C@H](C1)NC=1OC(=NN=1)C1=CC=CC=C1)=O)C=CC=C2 Chemical compound C1(=CC=CC=C1)N1C2=C(NC([C@H](C1)NC=1OC(=NN=1)C1=CC=CC=C1)=O)C=CC=C2 FGUUSXIOTUKUDN-IBGZPJMESA-N 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000015572 biosynthetic process Effects 0.000 description 1
- 239000003795 chemical substances by application Substances 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 230000009977 dual effect Effects 0.000 description 1
- 238000005755 formation reaction Methods 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000008439 repair process Effects 0.000 description 1
- 239000013589 supplement Substances 0.000 description 1
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种网站发送用户预留信息的系统和方法。用户在身份服务器的身份数据库的中存储身份信息和IP地址,并在网站服务器的注册数据库中存储预留信息和身份信息。用户访问网站时,网站服务器发送包含用户IP地址的身份验证请求到身份服务器,身份服务器将IP地址对应的身份信息返回到网站服务器,网站服务器比较返回的身份信息和自身存储的身份信息是否一致,如果一致则发送用户预留信息到用户终端。用户通过预留信息来判断网站是否真实。本方案适用于网上银行、购物网站等对安全性较高的网站。
Description
技术领域
本发明涉及互联网安全领域,尤其涉及一种网站发送用户预留信息的系统和方法。
背景技术
互联网已经广泛应用在生产、服务、生活等各个方面,诸如电子商务、金融服务、商业服务等等大量应用服务已经在互联网上提供。随着互联网上提供的业务不断丰富,为了保护用户的信息和财产安全,需要对网站或用户身份进行认证,以防止假冒网站骗取用户信息,如假冒网上银行骗取用户的银行卡信息的钓鱼网站等。
网站向用户终端发送并显示用户预留信息是一种防止钓鱼网站的方法。以网上银行为例,为防止不法人员假冒网上银行网站骗取用户卡号和密码,一般采用下述方法或步骤:首先设置用户预留信息,设置的方法可以通过用户名和密码登陆网上银行,按网上银行的操作要求设置用户预留信息,也可以联系网上银行客服人员设置;用户设置预留信息后,用户使用网上银行支付或登录网上银行时,网上银行页面就显示所述用户预留信息,供用户验证。如当用户登录网上银行时,在欢迎页面显示用户登录信息供用户核对;当用户在网上购物并进行在线支付时,进入网上银行支付页面输入卡号后,页面上显示用户预留信息供用户核对。
上述方法中,用户预留信息是用户设置的特定信息,如钓鱼网站不知道这些信息,则用户通过这些信息认证网站具有一定的安全性。但是,现有显示用户预留信息的方法存在较大安全隐患,具体地:在使用网上银行时,如果用户登录后才能显示用户预留信息,则用户名和密码在登录时已经输入到网页中,再显示用户预留信息核对网站真假已经晚了;而网上购物并进行在线支付时,在网上银行支付页面输入卡号后才能显示用户预留信息,则钓鱼网站只要先让用户输入银行卡号,获取用户银行卡号后钓鱼网站再自己到网上银行支付页面输入银行卡号,而获知该银行卡号的用户预留信息,钓鱼网站可以使用获取的银行卡号和对应的用户预留信息,进行下一次假冒骗取用户卡号和密码。
因此,现有显示用户预留信息的方法存在安全漏洞。另外,这种显示用户预留信息的方法,操作方法和步骤较为繁琐,容易因在错误的网页输入卡号或密码而外泄用户信息。
发明内容
本发明主要是解决现有技术所存在的需要用户先输入用户卡号或密码,才能显示用户预留信息的方法存在的安全问题,提供一种步骤简单、安全可靠,无需用户输入卡号或密码,就能向用户终端发送用户预留信息的系统和方法。
本发明针对上述技术问题主要是通过下述技术方案得以解决的:一种网站发送用户预留信息的系统,包括:
用户终端,向网站服务器发送包含自身IP地址的业务请求,并接收网站服务器返回的业务响应,用户终端通过互联网与其他节点进行通信;
网站服务器,用于接收用户终端的业务请求和返回业务响应,在判断所述业务请求需要回复用户预留信息后,发送用户验证请求至身份服务器并接收身份服务器返回的用户验证响应,判断用户验证响应的用户身份信息和对应的用户预留信息,根据判断结果对用户终端的业务请求作出响应;
IP地址分配认证单元,用于给用户终端指定或分配IP地址,并给用户终端提供网络接入的认证;
信息采集单元,用于采集IP地址分配认证单元中已经指定或分配的IP地址及其对应的用户身份信息并发送给身份服务器;
和设置有身份数据库的身份服务器,用于接收信息采集单元发送过来的用户身份信息和IP地址,建立所述用户身份信息和IP地址对应关系并存储在身份数据库中;当收到网站服务器发送的包含用户终端IP地址的身份验证请求后,在身份数据库进行用户终端IP地址对应的用户身份信息的查询,并将查询到的用户身份信息返回给网站服务器。
作为优选,所述IP地址分配认证单元包括接入网络的地址分配单元和接入认证单元,所述地址分配单元为固定地址分配单元或者动态地址分配单元,所述接入网络为有线接入网络或无线接入网络。
作为优选,所述IP地址分配单元为无线通信接入网络的网关支持节点(GGSN,Gateway GPRS Support Node)或分组数据服务节点(PDSN,Packet Data Serving Node)或AAA认证服务器(AAA,Authentication、Authorization and Accounting)。无线通信接入网络可以是2G或2.5G或3G或4G网络。
一种网站发送用户预留信息的方法,包括以下步骤:
a、在身份服务器建立身份数据库;所述身份数据库可以建立在计算机内存或者硬盘介质或者磁盘介质;
b、在身份数据库存储用户身份信息与对应的用户终端IP地址,所述用户身份信息包括用户终端ISDN号码(MSISDN,Mobile Station ISDN Number)、移动用户号码簿号码(MDN,Mobile Directory Number)、国际移动用户识别码(IMSI,International Mobile Subscriber Identity Number)和用户终端接入互联网认证时使用的用户名中的至少一个;
c、在网站服务器建立注册数据库;
d、网站服务器接受用户注册,注册成功后在注册数据库中存储用户预留信息及对应的用户身份信息;
所述用户预留信息可以由若干个数字或字母组合而成;
e、用户终端连接至网站服务器,并发送业务请求至网站服务器;
f、所述网站服务器在判断业务请求需要回复用户预留信息后,网站服务器连接至身份服务器,进行用户预留信息查询;如果不需要回复用户预留信息则网站服务器直接对用户终端返回业务响应;
g、网站服务器发送包含用户终端IP地址的身份验证请求到身份服务器;
h、身份服务器接收身份验证请求,并在身份数据库中查询用户终端IP地址对应的用户身份信息;如果查到该用户终端IP地址对应的用户身份信息,则身份服务器向网站服务器发送包含IP地址和对应的用户身份信息的身份验证回复,并进入步骤i;如果查不到该用户终端IP地址对应的用户身份信息,则身份服务器向网站服务器发送无法验证回复,网站服务器进行用户预留信息查询失败处理;
i、网站服务器接收身份验证回复,并查询用户注册数据库;网站服务器根据查询结果对用户终端的业务请求进行业务响应。
作为优选,所述步骤d具体包括:
d11、用户终端连接至网站服务器,用户终端发送用户注册请求到网站服务器;
d12、网站服务器发送包含用户终端IP地址的身份验证请求到身份服务器;
d13、身份服务器接收身份验证请求并在身份数据库中查询用户终端IP地址对应的用户身份信息;如果查到该用户终端IP地址对应的用户身份信息,则身份服务器向网站服务器发送包含IP地址和对应的用户身份信息的验证成功回复;并进入步骤d14;否则,身份服务器向网站服务器发送验证失败回复,注册失败;
d14、网站服务器接收验证成功回复;网站服务器在用户注册数据库中查询验证成功回复的用户身份信息;如查不到所述用户身份信息,则网站服务器发送预留信息输入请求到用户终端,用户终端输入用户预留信息并发送到网站服务器,进入步骤d15;如果查到所述用户身份信息,则所述用户身份信息已经注册,用户终端可进行注册信息修改(一般需要所述身份服务器验证和登录用户名、密码认证成功后修改),注册结束;
d15、网站服务器接收用户预留信息并与所述验证成功回复的用户身份信息建立对应关系,在注册数据库中存储所述用户身份信息和对应用户预留信息,注册成功;
所述步骤i具体包括:网站服务器接收身份验证回复,并在注册数据库中查询身份验证回复的用户身份信息对应的用户预留信息;如果查到所述用户预留信息,则网站服务器发送用户预留信息到用户终端,或者网站服务器发送包括用户预留信息的业务响应到用户终端;如果不能查到用户预留信息,则网站服务器将身份验证回复的用户身份信息作为用户预留信息发送到用户终端,或者网站服务器进行用户预留信息查询失败处理。
用户注册时可以设置用户号,对多个用户共用一个用户身份信息,则不同的用户可以通过用户号区别,注册成功后在注册数据库中存储用户预留信息及对应的用户身份信息和用户号;所述用户号可以由若干个数字或字母组合而成;
作为优选,如果多个用户或用户终端使用相同用户身份信息(MSISDN或MDN或IMSI或用户终端接入互联网认证时使用的用户名)在同一个网站服务器中分别注册用户预留信息,或者为注册信息的安全性,则所述步骤d可以按以下步骤进行:
d21、用户终端连接至网站服务器,用户终端发送用户注册请求到网站服务器;
d22、网站服务器发送包含用户终端IP地址的身份验证请求到身份服务器;
d23、身份服务器接收身份验证请求并在身份数据库中查询用户终端IP地址对应的用户身份信息;如果查到该用户终端IP地址对应的用户身份信息,则身份服务器向网站服务器发送包含IP地址和对应的用户身份信息的验证成功回复,并进入步骤d24;否则,身份服务器向网站服务器发送验证失败回复,注册失败;
d24、网站服务器接收验证成功回复;网站服务器发送用户号输入请求和用户预留信息输入请求到用户终端,用户终端输入用户号和用户预留信息并发送到网站服务器;
d25、网站服务器接收用户号和用户预留信息;网站服务器在用户注册数据库中查询验证成功回复的用户身份信息和用户号的对应关系;如果查到所述用户身份信息和用户号并且用户身份信息和用户号有对应关系,则所述用户身份信息已经注册,用户终端进行注册信息修改(一般需要所述身份服务器验证和登录用户名、密码认证成功后修改),注册结束;如查不到所述用户身份信息和用户号对应,网站服务器建立用户号和用户预留信息与所述验证成功回复的用户身份信息建立对应,并在注册数据库中存储所述用户身份信息和用户号对应用户预留信息,注册成功。
则所述步骤i具体包括:网站服务器接收身份验证回复,并发送用户号输入请求到用户终端;用户终端输入用户号并发送到网站服务器,网站服务器在注册数据库中查询身份验证回复的用户身份信息和用户号对应的用户预留信息;如果查到所述用户预留信息,则网站服务器发送用户预留信息到用户终端,或者网站服务器发送包括用户预留信息的业务响应到用户终端;如果不能查到所述用户预留信息,则网站服务器将身份验证回复的用户身份信息作为用户预留信息发送到用户终端,或者网站服务器进行用户预留信息查询失败处理。
作为优选,所述步骤b具体包括:
b11、用户向接入网络提供方申请固定的用户终端IP地址;接入网络提供方在其固定地址分配单元中为用户分配固定的IP地址,并确定用户名,用户获取用户名和固定的IP地址;
b12、用户终端使用所述固定的IP地址发送用户名和密码或者业务请求到接入认证单元;接入认证单元进行认证;
b13、信息采集单元接收所述用户名和用户终端IP地址,并建立用户名和用户终端IP地址的对应关系;
b14、信息采集单元将所述用户终端IP地址和用户名发送至身份服务器;
b15、身份服务器在身份数据库中存储所述的用户名和用户终端IP地址及两者之间的对应关系。
作为优选,所述步骤b还可以按如下方式进行:
b21、用户终端发送用户名和密码至接入认证单元或动态地址分配单元,申请IP地址;
b22、接入认证单元认证用户名和密码,动态地址分配单元在其因特网IP地址集合中为用户终端分配用户终端IP地址;
这里有两种情况:一、接入认证单元先认证用户名和密码,认证通过则动态地址分配单元在其因特网IP地址集合中为用户终端分配用户终端IP地址,认证不通过则作失败响应;二、动态地址分配单元先在其因特网IP地址集合中为用户终端分配用户终端IP地址,然后用户终端发送用户名和密码到接入认证单元,接入认证单元认证用户名和密码,认证通过则进入步骤b23,认证不通过则作出失败响应;
b23、信息采集单元接收用户终端IP地址和所述用户名,并建立用户终端IP地址和所述用户名的对应关系;
所述信息采集单元接收用户终端IP地址和用户名,可以包括信令采集步骤或者数据库读取步骤;所述数据库读取步骤,包括信息采集单元连接动态地址分配单元或接入认证单元的存储IP地址和用户名的数据库,信息采集单元在数据库读取IP地址和用户名并建立对应关系;例如接入认证单元和动态地址分配单元的数据库配置有数据库服务端程序,信息采集单元配置有数据库的客户端程序,所述数据库客户端连接所述数据库服务端,信息采集单元通过数据库客户端程序读取数据库服务端的数据库中的信息;
所述信令采集步骤,包括信息采集单元连接动态地址分配单元或接入认证单元,信息采集单元采集并分析动态地址分配单元或接入认证单元收到和发出的IP数据包中的信息和命令,获取用户终端IP地址和用户名的对应关系;例如,动态地址分配单元或接入认证单元通过交换机端口镜像方式将收到和发出的IP数据包复制到镜像端口,信息采集单元连接到所述镜像端口,信息采集单元采集并分析动态地址分配单元或接入认证单元收到和发出的IP数据包中的信息和命令,获取用户终端IP地址和用户名的对应关系;
b24、信息采集单元将所述用户终端IP地址和用户名发送至身份服务器;
b25、身份服务器在身份数据库中存储所述用户名和用户终端IP地址及两者之间的对应关系。
身份服务器存储用户名和用户终端IP地址后,网站服务器可以通过建立与身份服务器连接,发送身份验证请求和接收身份验证回复,网站服务器获取所述对应信息;
如果用户终端结束上网,断开网络连接,则信息采集单元采集和分析所述断开网络的用户终端IP地址并发送到身份服务器,身份服务器释放所述IP地址的对应关系;例如,信息采集单元采集IP地址分配认证单元的计费结束请求,并发送包括所述IP地址的IP地址释放请求到身份服务器,身份服务器释放所述IP地址的对应关系。
作为优选,所述步骤b还可以如下方式进行:
b31、用户终端发送附着(Attach)请求至业务支持节点(SGSN,Serving GPRS SUPPORT NODE);
b32、所述业务支持节点(SGSN)对用户终端进行身份验证,通过验证后,向用户终端发送附着(Attach)接受;
b33、用户终端发送激活分组报文协议(PDP,Packet Data Protocol)上下文请求到业务支持节点(SGSN),业务支持节点(SGSN)发送建立分组报文协议(PDP)上下文请求到网关支持节点(GGSN),;
b34、所述网关支持节点(GGSN)指定IP地址,并发送建立分组报文协议上下文应答到业务支持节点(SGSN),所述指定IP地址具体是网关支持节点(GGSN)从所述网关支持节点(GGSN)的因特网IP地址集合中分配IP地址或者由网关支持节点(GGSN)连接的DHCP服务器分配IP地址;
b35、业务支持节点(SGSN)发送激活分组报文协议(PDP)上下文接受到用户终端;
b36、信息采集单元接收指定的IP地址和对应的国际移动用户识别号(IMSI),信息采集单元通过国际移动用户识别号(IMSI)获取对应的移动用户ISDN号码(MSISDN);
b37、所述信息采集单元建立移动用户ISDN号码(MSISDN)和指定的IP地址的对应关系,并将移动用户ISDN号码(MSISDN)和指定的IP地址发送至身份服务器;
b38、身份服务器在身份数据库中存储所述指定的IP地址和移动用户ISDN号码(MSISDN)。
身份服务器存储MSISDN和对应的IP地址后,网站服务器可以通过建立与身份服务器连接,发送身份验证请求和接收身份验证回复,网站服务器获取所述对应信息;
用户终端结束上网,断开网络连接,信息采集单元采集业务支持节点(SGSN)或网关支持节点(GGSN)的去激活分组报文协议(PDP)上下文请求,信息采集单元发送包括所述IP地址的IP地址释放请求到身份服务器,身份服务器释放所述IP地址的对应关系。
作为优选,所述步骤b还可以如下方式进行:
b41、用户终端建立链路连接到分组数据服务节点(PDSN);
b42、分组数据服务节点(PDSN)发送认证请求到AAA认证服务器;
所述认证请求,例如远程用户拨号认证服务协议(RADIUS,Remote Authentication Dial In User Service)的认证请求;
b43、AAA认证服务器对用户终端信息进行认证,认证通过后发送认证通过或计费开始信息到分组数据服务节点(PDSN);
所述认证通过或计费开始,例如远程用户拨号认证服务协议(RADIUS)的认证通过或计费开始;
b44、所述分组数据服务节点(PDSN)给用户终端指定IP地址,所述指定IP地址具体是分组数据服务节点(PDSN)从分组数据服务节点(PDSN)的因特网IP地址集合中分配IP地址或者网关支持节点连接AAA认证服务器分配IP地址;
b45、信息采集单元接收指定的IP地址和对应的移动用户号码簿号码(MDN);
所述信息采集单元接收指定的IP地址和对应的MDN,可以包括信令采集步骤或数据库读取步骤;所述数据库读取步骤,包括信息采集单元连接AAA认证服务器的存储IP地址和MDN的数据库,信息采集单元在所述AAA认证服务器的数据库读取IP地址和MDN并建立对应关系;例如AAA认证服务器的数据库配置有数据库服务端程序,信息采集单元配置有数据库的客户端程序,所述数据库客户端连接所述数据库服务端,信息采集单元通过数据库客户端程序读取数据库服务端的数据库中的信息;
所述信令采集步骤,包括信息采集单元连接AAA认证服务器,信息采集单元采集并分析AAA认证服务器收到和发出的IP数据包中的信息和命令,获取用户终端IP地址和MDN的对应关系;例如,AAA认证服务器通过交换机端口镜像方式将收到和发出的IP数据包复制到镜像端口,信息采集单元连接到所述镜像端口,信息采集单元采集并分析AAA认证服务器收到和发出的IP数据包中的信息和命令,获取用户终端IP地址和MDN的对应关系。
b46、所述信息采集单元建立移动用户号码簿号码(MDN)和指定的IP地址的对应关系,并将移动用户号码簿号码(MDN)和指定的IP地址发送至身份服务器;
b47、身份服务器在身份数据库中存储所述指定的IP地址和移动用户号码簿号码(MDN)。
身份服务器存储MDN和对应的IP地址后,网站服务器可以通过建立与身份服务器连接,发送身份验证请求和接收身份验证回复,获取所述对应信息;
用户终端结束上网,断开网络连接,信息采集单元采集AAA认证服务器的断开网络的用户终端IP地址,信息采集单元发送包括所述IP地址的IP地址释放请求到身份服务器,身份服务器释放所述IP地址的对应关系。
在互联网或移动互联网中,每个网络终端都有唯一的地址与其他终端或网络设备相区别,这个区别的地址可以是IP地址。当前IP地址包括IPV4和IPV6地址,代表当前的设备;在某一子网中某一时刻,IP地址与网络终端是一一对应的;同时,在互联网上传输的各种应用数据包中,IP地址是必不可少的。
用户终端通过有线或无线网络连接互联网时,通常接受互联网接入服务的提供运营商的认证;如手机终端需要经过2G、2.5G、3G、或4G接入服务提供商中国移动或中国电信或中国联通的认证才能使用。认证过程使用的用户身份信息与用户终端是对应关系,而一个IP地址只能被相同用户名接入因特网的用户终端使用。因此,一个IP地址对应一个用户身份信息。通过身份服务器可以让用户访问的所有网站都准确获取自身的IP地址对应的用户身份信息。
本发明所采用的技术方案的优越之处是,网站服务器通过用户终端IP地址从身份服务器获取用户终端接入网络认证的用户身份信息,并对应到网站服务器的用户预留信息,通过显示用户预留信息验证网站,实现了身份服务器的用户身份信息和网站服务器用户预留信息的双重关联验证,避免了身份服务器单重验证存在的身份服务器连接的网站服务器又为下级其他网站服务器代理查询用户身份信息带来的的安全隐患,也避免了网站服务器预留信息单重验证存在的用户需要输入用户名或卡号的安全隐患。
本发明的有益效果是:使用第三方建立的网站服务认证系统,为网站提供所连接的用户终端对应的用户身份信息,网站通过用户身份信息查到用户预留信息并显示在发送到用户终端的网页上,用户通过用户终端显示的用户预留信息认证网站真伪,防止被假冒网站欺骗或者防止在认证过程中向假冒网站输入用户自己的账号、密码导致泄密的问题。具体地,网站服务认证系统(一般是其中的身份服务器)连接2G、3G、4G、WALN、无线或有线接入网络的接入服务提供运营商通信网络,获取用户终端IP地址与用户身份信息的对应关系;需要认证的网站连接网站服务认证系统;网站服务认证系统判断接入的网站身份,通过认证后,响应被认证的网站请求;被认证的网站服务器发送终端IP地址到网站服务认证系统,获取IP地址对应的用户身份信息,网站服务器查询用户身份信息对应的用户预留信息,并将用户预留信息或用户身份信息发送到对应的终端IP地址;在用户终端上显示用户预留信息或用户身份信息,如果所显示的用户身份信息与用户终端连接接入网络时使用的用户身份信息一致,或者用户预留信息正确,则表示网站已经通过认证。
附图说明
图1是本发明的一种网站发送用户预留信息的系统的结构示意图;
图2是本发明的一种网站发送用户预留信息的方法的流程示意图;
图3是本发明的一种在身份数据库存储用户身份信息与用户终端IP地址的方法的流程图;
图4是本发明的另一种在身份数据库存储用户身份信息与用户终端IP地址的方法的流程图;
图5是本发明的又一种在身份数据库存储用户身份信息与用户终端IP地址的方法的流程图;
图6是本发明的又一种在身份数据库存储用户身份信息与用户终端IP地址的方法的流程图;
图7是本发明的一种用户在网站上注册用户预留信息的方法的流程图;
图8是本发明的另一种用户在网站上注册用户预留信息的方法的流程图;
图中:11、用户终端,12、IP地址分配认证单元,13、身份服务器,14、网站服务器,15、信息采集单元,16、网络。
具体实施方式
下面通过实施例,并结合附图,对本发明的技术方案作进一步具体的说明。
实施例1
本实施例的一种网站发送用户预留信息的系统,如图1所示,包括用户终端11、IP地址分配认证单元12、身份服务器13、网站服务器14和信息采集单元15。用户终端11和网站服务器14经由网络16连接,身份服务器13和网站服务器14经由网络16连接,用户终端11和IP地址分配认证单元12经由网络16连接,IP地址分配认证单元12通过信息采集单元15连接身份服务器13。网络16由因特网、专用通信线路、移动通信网络(包括基站)、宽带无线网络(包括AP)、网关等构成。
网站服务器14通过网络16提供各种服务,例如电子商务、金融服务等。
用户终端11可以是个人电脑、其中安装了浏览器程序的手机或PDA等等。
IP地址分配认证单元12可以包括接入网络的地址分配单元和接入认证单元;
身份服务器13可以由一台服务器实现或由运行相同或不同应用的服务器组实现。身份服务器的管理要充分考虑安全因素,综合采用多种网络安全技术,如不间断电源、防火墙、各种系统漏洞检测与修复技术等。
信息采集单元15可以是采集IP地址分配认证单元发出和接收的信息和命令的信令采集装置,或者可以是读取IP地址分配单元的IP地址数据库的读取装置或接入认证单元的用户认证数据库的读取装置,或者是所述采集装置和读取装置的组合。
用户终端11向网站服务器14发送包含自身IP地址的业务请求,并将接收到的网站服务器14返回的业务回复进行处理;
网站服务器14用于接收用户终端11的业务请求并作出业务响应,对需要回复用户预留信息的业务,接收用户终端11的注册,并在用户通过用户终端11使用这些业务时,发送身份验证请求到身份服务器13,并根据接收到的身份服务器13返回的身份验证回复,对用户终端11发送包括用户预留信息的业务响应;
IP地址分配认证单元12用于给用户终端11指定或分配IP地址,并给用户终端11提供网络接入认证;
信息采集单元15用于采集IP地址分配认证单元12中已经指定或分配的IP地址及其对应的用户身份信息并发送给身份服务器13;
身份服务器13设置有身份数据库,用于接收信息采集单元15发送过来的用户身份信息和IP地址并存储到身份数据库中,当收到网站服务期发送的用户终端IP地址后,在身份数据库进行用户终端IP地址对应的用户身份信息的查询,并将查询到的用户身份信息返回给网站服务器14或将验证结果返回给网站服务器14。
身份服务器13上的身份数据库为根据本发明所述方法建立的存储用户IP地址与身份信息对应关系的数据库。
本实施例中,IP地址分配认证单元包括接入网络的动态地址分配单元和接入认证单元;所述接入网络为有线接入网或无线接入网,有线接入网例如非对称数字用户环路(ADSL,Asymmetric Digital Subscriber Loop),无线接入网例如无线局域网络(WLAN,Wireless Local Area Networks);所述动态地址分配单元可以是配置动态主机设置协议(DHCP,Dynamic Host Configuration Protocol)的服务器或AAA服务器,接入认证单元可以是配置了远程用户拨号认证服务协议(RADIUS,Remote Authentication Dial In User Service)的服务器或者AAA服务器。
本实施例中,IP地址分配认证单元通过光纤或者交换机或者路由器连接网络,信息采集单元通过分光器或者交换机端口镜像方式连接IP地址分配认证单元,信息采集单元是采集IP地址分配认证单元(例如RADIUS服务器)发出和接收的数据包的采集装置,信息采集单元可以通过分析RADIUS协议的认证请求(Access-request)、计费开始请求(Accounting-request)数据包,建立用户终端接入互联网认证时使用的用户名与动态分配的IP地址的对应关系;信息采集单元可以通过分析RADIUS协议的计费结束请求(Accounting-request)数据包,取消所述用户名与动态分配的IP地址的对应。
一种网站发送用户预留信息的方法,包括以下步骤:
步骤a、在身份服务器建立身份数据库;所述身份数据库可以建立在服务器或计算机的内存中,或者建立在硬盘介质或磁盘介质;
步骤b、在身份数据库存储用户身份信息与对应的用户终端IP地址,所述用户身份信息包括用户终端ISDN号码、移动用户号码簿号码(MDN)、国际移动用户识别码(IMSI)和用户终端接入互联网认证时使用的用户名中的至少一个;如图4所示,本实施例中步骤b具体包括:
步骤b21、用户终端发送用户名和密码至接入认证单元或动态地址分配单元,申请IP地址;
步骤b22、接入认证单元认证用户名和密码,动态地址分配单元在其因特网IP地址集合中为用户终端分配用户终端IP地址;
对不同接入认证方式的网络,这里有两种情况:一、用户终端先发送用户名和密码到接入认证单元,接入认证单元认证用户名和密码,认证通过则动态地址分配单元在其因特网IP地址集合中为用户终端分配用户终端IP地址,并进入步骤b23,认证不通过则作失败响应;此种认证方式例如基于端口的访问控制协议(Port Based Network Access Control)的IEEE 802.1X认证;二、动态地址分配单元先在其因特网IP地址集合中为用户终端分配用户终端IP地址,然后用户终端发送用户名和密码到接入认证单元,接入认证单元认证用户名和密码,认证通过则进入步骤b23,认证不通过则作出失败响应;此种认证方式例如基于Web Portal 的Web认证;
步骤b23、信息采集单元接收用户终端IP地址和所述用户名,并建立用户终端IP地址和所述用户名的对应关系;
IP地址分配认证单元通过光纤或者交换机或者路由器连接网络,本实施例中,IP地址分配认证单元通过交换机端口镜像方式,将IP地址分配认证单元接收和发送的IP数据包复制到镜像端口,信息采集单元连接所述镜像端口并接收IP地址分配认证单元发出和接收的IP数据包;例如,IP地址分配认证单元配置了RADIUS协议,则信息采集单元通过分析的认证请求(Access-request)、计费开始请求(Accounting-request)数据包,建立用户终端接入互联网认证时使用的用户名与动态分配的IP地址的对应关系;信息采集单元通过分析RADIUS协议的计费结束请求(Accounting-request)数据包,取消所述用户名与动态分配的IP地址的对应;
步骤b24、信息采集单元将所述用户终端IP地址和用户名发送至身份服务器;
步骤b25、身份服务器在身份数据库中存储所述用户名和用户终端IP地址及两者之间的对应关系。
用户终端IP地址是动态分配的,用户终端通过接入网认证开始上网,则信息采集单元发送用户终端接入互联网认证时使用的用户名与所述分配的IP地址的对应关系到身份服务器;用户终端结束上网断开网络连接,则信息采集单元发送所述IP地址的释放到身份服务器,取消IP地址与所述用户身份信息的对应;
至此步骤b结束;
步骤c、在网站服务器建立注册数据库;
步骤d、网站服务器接受用户注册,注册成功后在注册数据库中存储用户预留信息及对应的用户身份信息;本实施例中,一个用户身份信息(MSISDN或MDN或IMSI或用户终端接入互联网认证时使用的用户名)在同一网站服务器中注册的用户预留信息,可以被一个或多个的用户或用户终端共同使用。本实施例使用身份服务器验证用户终端,验证成功,则进行注册;否则注册失败;
如图7所示,本实施例中步骤d具体包括:
步骤d11、用户终端连接至网站服务器,用户终端发送用户注册请求到网站服务器;
步骤d12、网站服务器将包含用户终端IP地址的身份验证请求发送至身份服务器;
步骤d13、身份服务器接收身份验证请求并在身份数据库中查询用户终端IP地址对应的用户身份信息;如果查到该用户终端IP地址对应的用户身份信息,则身份服务器向网站服务器发送包含IP地址和对应的用户身份信息的验证成功回复,并进入步骤d14;否则,身份服务器向网站服务器发送验证失败回复,注册失败;
步骤d14、网站服务器接收验证成功回复;网站服务器在用户注册数据库中查询验证成功回复的用户身份信息;如查不到所述用户身份信息,则网站服务器发送用户预留信息输入请求到用户终端,用户终端输入用户预留信息并发送到网站服务器,进入步骤d15;如果查到所述用户身份信息,则所述用户身份信息已经注册,用户终端可进行注册信息修改(一般需要用户名、密码认证成功后修改),注册结束;
例如,所述网站服务器可以发送包括用户预留信息输入请求的网页到用户终端,用户终端可以通过浏览器在网页输入用户预留信息并通过浏览器返回所述用户预留信息到网站服务器;
步骤d15、网站服务器接收用户预留信息并与所述验证成功回复中的用户身份信息建立对应,在注册数据库中存储所述用户身份信息和对应用户预留信息,注册成功。
至此步骤d结束。
后续步骤如图2所示。
步骤e、用户终端连接至网站服务器,并发送业务请求至网站服务器;
在互联网中的设备之间的通过发送或接收IP数据包实现通信,IP数据包包括源IP地址和目的IP地址,源IP地址是发送方IP地址,目的IP地址是接收方的IP地址;用户终端发送到网站服务器的业务请求是IP数据包,其源IP地址是用户终端的IP地址;网站服务器可以从接收到用户终端的业务请求中,获取用户终端的IP地址;
例如,用户终端可以通过浏览器连接网站服务器,并浏览网站服务器的网页,可以点击网页或在网页输入信息并通过浏览器向网站服务器发送信息或业务请求;
步骤f、所述网站服务器在判断业务请求需要回复用户预留信息后,网站服务器连接至身份服务器,进行用户预留信息查询;如果不需要回复用户预留信息则网站服务器直接对用户终端返回业务响应;
步骤g、网站服务器将包含用户终端IP地址的身份验证请求发送至身份服务器;
步骤h、身份服务器接收身份验证请求,并在身份数据库中查询用户终端IP地址对应的用户身份信息;如果查到该用户终端IP地址对应的用户身份信息,则身份服务器向网站服务器发送包含IP地址和对应的用户身份信息的身份验证回复,并进入步骤i;如果查不到该用户终端IP地址对应的用户身份信息,则身份服务器向网站服务器发送无法验证回复,网站服务器进行用户预留信息查询失败处理;
网站服务器进行用户预留信息查询失败处理,例如网站服务器直接对用户终端作出业务响应;
步骤i、本实施例中步骤i具体包括:
网站服务器接收身份验证回复,并在注册数据库中查询身份验证回复的用户身份信息对应的用户预留信息;如果查到所述用户预留信息,则网站服务器发送用户预留信息到用户终端,或者网站服务器发送包括用户预留信息的业务响应到用户终端;如果不能查到用户预留信息,则网站服务器将身份验证回复的用户身份信息作为用户预留信息发送到用户终端,或者网站服务器进行用户预留信息查询失败处理;
以网上银行的网站服务器为例,多个家庭成员同用一个家庭宽带,可以一人设置全体使用,每个用户成员显示同一个用户预留信息;用户在涉及账户资金的操作的业务请求时,为了保证账号、密码的安全,先要验证网上银行的真伪;网上银行验证可以采用显示用户预留信息的验证方法。
在以上步骤中,在互联网上进行的用户身份信息传输或者用户预留信息的传输,可以采用加密技术进行保密。
实施例2
本实施例的网站发送用户预留信息的系统与实施例1相同,网站发送用户预留信息的方法中,设置用户号,对多个用户或用户终端使用相同用户身份信息(MSISDN或MDN或IMSI或用户终端接入互联网认证时使用的用户名)在同一个网站服务器中分别注册用户预留信息可以通过用户号区别,步骤d和步骤i与实施例1的方法不同,其余步骤相同。
步骤d如图8所示,按以下方式进行:
步骤d21、用户终端连接至网站服务器,用户终端发送用户注册请求到网站服务器;
步骤d22、网站服务器将包含用户终端IP地址的身份验证请求发送至身份服务器;
步骤d23、身份服务器接收身份验证请求并在身份数据库中查询用户终端IP地址对应的用户身份信息;如果查到该用户终端IP地址对应的用户身份信息,则身份服务器向网站服务器发送包含IP地址和对应的用户身份信息的验证成功回复,并进入步骤d24;否则,身份服务器向网站服务器发送验证失败回复,注册失败;
步骤d24、网站服务器接收验证成功回复;网站服务器发送用户号输入请求和用户预留信息输入请求到用户终端,用户终端输入用户号和用户预留信息并发送到网站服务器;
例如,网站服务器可以发送包括用户号和用户预留信息输入请求的网页到用户终端,用户终端可以通过浏览器在网页输入用户号和用户预留信息并通过浏览器返回所述用户号和用户预留信息到网站服务器;
步骤d25、网站服务器接收用户号和用户预留信息;网站服务器在用户注册数据库中查询验证成功回复的用户身份信息和用户号的对应关系;如果查到所述用户身份信息和用户号并且用户身份信息和用户号有对应关系,则所述用户身份信息已经注册,用户终端进行注册信息修改(一般需要用户名、密码认证成功后修改),注册结束;如查不到所述用户身份信息和用户号对应,网站服务器建立用户号、用户预留信息与所述验证成功回复的用户身份信息对应关系,并在注册数据库中存储所述用户身份信息和用户号对应用户预留信息,注册成功。
本实施例中步骤i按以下方式进行:
网站服务器接收身份验证回复,网站服务器查询到身份验证回复的用户身份信息设置用户号,网站服务器发送用户号输入请求到用户终端;用户终端输入用户号并发送到网站服务器,网站服务器在注册数据库中查询身份验证回复的用户身份信息和用户号对应的用户预留信息;如果查到所述用户预留信息,则网站服务器发送用户预留信息到用户终端,或者网站服务器发送包括用户预留信息的业务响应到用户终端;如果不能查到所述用户预留信息,则网站服务器将身份验证回复的用户身份信息作为用户预留信息发送到用户终端,或者网站服务器进行用户预留信息查询失败处理;
例如,多个家庭成员使用一个家庭宽带,可以为每个成员设置一个用户号,不同的用户成员使用用户号区别,每个用户号可以设置和显示不同用户预留信息;网站服务器可以发送包括用户号输入请求的网页到用户终端,用户终端可以通过浏览器在网页输入用户号并通过浏览器返回所述用户号到网站服务器;
用户号可以是简单的数字组合,也可以数值、字母组合,为防止用户误操作将密码作为用户号输入,网站服务器可以要求用户终端设置的用户号的最大位数小于密码的最小位数或长度。
本实施例用身份服务器验证用户终端。
实施例3
本实施例的网站发送用户预留信息的系统,其中的IP地址分配认证单元包括有线接入网络或无线接入网络的固定地址分配单元和接入认证单元,其余部分与实施例1相同。
网站发送用户预留信息的方法中,步骤b与实施例1不同,其余步骤相同。步骤b如图3所示,具体为:
步骤b11、用户向接入网络提供方申请固定的用户终端IP地址;接入网络提供方在其固定地址分配单元中为用户分配固定的IP地址,并确定用户名,所述固定地址分配单元在其因特网IP地址集合中分配固定的IP地址;用户获取用户名和固定的IP地址;
用户向接入网络提供方,例如中国宽带互联网(CHINANET)的提供方中国电信,提交申请获批准后取得固定的IP地址,并确定一个用户名设置到接入网络的固定地址分配单元中;用户取得固定的IP地址和用户名后,设置到用户设备或用户终端中;
步骤b12、用户终端使用所述固定IP地址发送用户名和密码或者业务请求到接入认证单元;接入认证单元进行认证;
固定IP地址的接入认证,根据固定地址分配单元的设置,可以采用用户名和密码认证的认证方式,也可以采用其他接入认证方式,如采用IP地址捆绑用户设备信息的接入认证方式;
步骤b13、信息采集单元接收所述用户名和用户终端IP地址,并建立用户名和用户终端IP地址的对应关系;
信息采集单元接收用户终端IP地址和用户名的流程,可以采用数据库读取流程;所述数据库读取流程,是信息采集单元连接固定地址分配单元或接入认证单元的存储IP地址和用户名的数据库,获取IP地址和用户名并建立对应关系;例如认证单元和固定地址分配单元的数据库配置有数据库服务端程序,信息采集单元配置有数据库的客户端程序,所述数据库客户端连接所述数据库服务端,信息采集单元通过数据库客户端程序读取数据库服务端的数据库中的IP地址和用户名;
步骤b14、信息采集单元将所述用户终端IP地址和用户名发送至身份服务器;
步骤b15、身份服务器在身份数据库中存储所述的用户名和用户终端IP地址及两者之间的对应关系。
为操作简单,可以将固定IP地址作为用户名在身份数据库中存储。
实施例4
本实施例的本实施例的网站发送用户预留信息的系统与实施例3相同,网站发送用户预留信息的方法中,多个用户或用户终端使用相同用户身份信息在同一个网站服务器中分别注册用户预留信息,步骤d与实施例3的方法不同,其余步骤相同。步骤d按实施例2中的方式进行。
实施例5
本实施例的网站发送用户预留信息的系统,其中的IP地址分配认证单元包括2.5G或3G或4G无线通信接入网络的网关支持节点(GGSN);所述接入网络为无线接入网,例如GPRS(GPRS,General Packet Radio Service)或者WCDMA(WCDMA,Wideband Code Division Multiple Access);所述动态地址分配单元可以是配置动态主机设置协议(DHCP)的服务器或AAA服务器,接入认证单元可以是配置了远程用户拨号认证服务协议(RADIUS)或者Diamerer协议的服务器或AAA服务器。
本实施例中,IP地址分配认证单元可以通过光纤或者交换机或PCM(PCM,Pulse Code Modulation )连接网络,信息采集单元可以通过分光器或高阻跨接方式连接IP地址分配认证单元,信息采集单元是采集IP地址分配认证单元发出和接收的信令和数据包的采集装置,信息采集单元可以通过分析信令或数据包的激活分组报文协议(PDP)上下文信令,建立用户终端MSISDN或者MDN号码与动态分配的IP地址的对应关系;信息采集单元可以通过分析信令或数据包的去激活分组报文协议(PDP)上下文信令,取消所述用户名与动态分配的IP地址的对应。
本实施例的网站发送用户预留信息的系统,其余部分与实施例1相同。
本实施例的网站发送用户预留信息的方法中,步骤b与实施例1不同,其余步骤相同。步骤b如图5所示,具体为:
步骤b31、用户终端发送附着(Attach)请求至业务支持节点(SGSN);
步骤b32、所述业务支持节点(SGSN)对用户终端进行身份验证,通过验证后,向用户终端发送附着(Attach)接受;
步骤b33、用户终端发送激活分组报文协议(PDP)上下文请求到业务支持节点(SGSN),业务支持节点(SGSN)发送建立分组报文协议(PDP)上下文请求到网关支持节点(GGSN);
步骤b34、所述网关支持节点(GGSN)指定IP地址,并发送建立分组报文协议(PDP)上下文应答到业务支持节点(SGSN),指定IP地址具体是网关支持节点(GGSN)从所述网关支持节点(GGSN)的因特网IP地址集合中分配IP地址或者由网关支持节点(GGSN)连接的DHCP服务器分配IP地址;
步骤b35、业务支持节点(SGSN)发送激活分组报文协议(PDP)上下文接受到用户终端;
步骤b36、信息采集单元接收指定的IP地址和对应的国际移动用户识别号(IMSI),信息采集单元通过国际移动用户识别号(IMSI)获取对应的移动用户ISDN号码(MSISDN);
步骤b37、信息采集单元建立移动用户ISDN号码(MSISDN)和指定的IP地址的对应关系,并将移动用户ISDN号码(MSISDN)和指定的IP地址发送至身份服务器;
步骤b38、身份服务器在身份数据库中存储所述指定的IP地址和移动用户ISDN号码(MSISDN);
所述步骤b36信息采集单元获取移动用户ISDN号码(MSISDN)具体按下述方式进行:信令采集单元与网关支持节点单元(GGSN)和业务支持节点(SGSN)等网元连接,采集、存储和分析业务支持节点(SGSN)和网关支持节点单元(GGSN)的通信信令,获取国际移动用户识别码(IMSI)和指定IP地址的对应关系;信令采集单元连接HLR或者BOSS系统,查询和接收国际移动用户识别码(IMSI)对应的移动用户ISDN号码(MSISDN);信令采集单元建立移动用户ISDN号码(MSISDN)与IP地址的对应关系。
其中所述的信令采集单元获取国际移动用户识别码(IMSI)和指定IP地址的对应关系,具体按下述方式进行:
信令采集单元采集、存储和分析用户终端与业务支持节点(SGSN)之间执行的附着(Attach)流程的信令信息,所述采集的信令信息包括国际移动用户识别码(IMSI)和网络服务区域点标识(NSAPI,Network Service Access Point Identifier)等,并建立和存储网络服务区域点标识(NSAPI)、分组临时移动用户标识号(P-TMSI)和国际移动用户识别码(IMSI)之间的对应关系;信令采集单元采集、存储和分析业务支持节点(SGSN)与网关支持节点(GGSN)之间执行分组报文协议(PDP)上下文激活流程的信令信息,所述采集的的信令信息包括网络服务区域点标识(NSAPI)、静态PDP地址和动态PDP地址等信息,并建立和存储静态PDP或动态PDP地址与网络服务区域点标识(NSAPI)之间对应关系。国际移动用户识别码(IMSI)通过网络服务区域点标识(NSAPI),与静态PDP地址或动态PDP地址建立对应关系,而静态PDP或动态PDP地址是所述指定的IP地址,因此,国际移动用户识别码(IMSI)与指定的IP地址建立对应关系。
所述的用户终端与业务支持节点(SGSN)之间执行的附着(Attach)流程,可以按下述方式进行:用户终端在开始使用数据业务,与业务支持节点(SGSN)之间执行附着(Attach)流程时发送国际移动用户识别码(IMSI)和网络服务区域点标识(NSAPI)等参数,并接收业务支持节点(SGSN)返回的分组临时移动用户标识号(P-TMSI,Packet Temporary Mobile Subscriber Identity);用户终端在使用数据业务过程中移动切换,与业务支持节点(SGSN)之间执行附着(Attach)流程时发送分组临时移动用户标识号(P-TMSI)和网络服务区域点标识(NSAPI)等参数,并接收业务支持节点(SGSN)返回的分组临时移动用户标识号(P-TMSI,Packet Temporary Mobile Subscriber Identity)。信息采集单元采集用户终端与业务支持节点(SGSN)之间的附着(Attach)流程的信令信息,并存储国际移动用户识别码(IMSI)、网络服务区域点标识(NSAPI)和最后返回的分组临时移动用户标识号(P-TMSI)的对应关系。
所述的业务支持节点(SGSN)与网关支持节点(GGSN)之间执行分组报文协议(PDP)上下文激活流程,可以按下述方式进行:用户终端发送激活分组报文协议(PDP)上下文请求到业务支持节点(SGSN),所述激活分组报文协议(PDP)上下文请求包括网络服务区域点标识(NSAPI)等参数;业务支持节点(SGSN)发送建立分组报文协议(PDP)上下文请求到网关支持节点(GGSN),所述建立分组报文协议(PDP)上下文请求包括网络服务区域点标识(NSAPI)等参数;所述网关支持节点(GGSN)指定IP地址,并发送建立分组报文协议(PDP)上下文应答到业务支持节点(SGSN),其中建立分组报文协议(PDP)上下文应答的动态PDP地址参数即为指定IP地址。
实施例6
本实施例的网站发送用户预留信息的系统与实施例5相同,网站发送用户预留信息的方法中,多个用户或用户终端使用相同用户身份信息在同一个网站服务器中分别注册用户预留信息,步骤d与实施例5的方法不同,其余步骤相同。步骤d按实施例2中的方式进行。
实施例7
本实施例的网站发送用户预留信息的系统,其中的IP地址分配认证单元包括2G或3G或4G无线通信接入网络的分组数据服务节点(PDSN)和AAA认证服务器;所述接入网络为无线接入网,例如CDMA(CDMA,Code Division Multiple Access)或者CDMA2000;本实施例的网站发送用户预留信息的系统,其余部分与实施例1相同。
网站发送用户预留信息的方法中,步骤b与实施例1不同,其余步骤相同。步骤b如图6所示,具体为:
步骤b41、用户终端建立链路连接到分组数据服务节点(PDSN);
步骤b42、分组数据服务节点(PDSN)发送远程用户拨号认证服务协议(RADIUS)的认证请求到AAA认证服务器;
步骤b43、AAA认证服务器对用户终端信息进行认证,认证通过后发送RADIUS协议认证通过或计费开始信息到分组数据服务节点(PDSN);
步骤b44、所述分组数据服务节点(PDSN)给用户终端指定IP地址,所述指定IP地址具体是分组数据服务节点(PDSN)从分组数据服务节点(PDSN)的因特网IP地址集合中分配IP地址或者网关支持节点(PDSN)连接AAA认证服务器分配IP地址;
例如,用户终端与分组数据服务节点(PDSN)开始PPP连接,协商决定使用PAP(PAP,Password Authentication Protocol)或者CHAP(CHAP,Challenge Handshake Authentication Protocol)进行用户认证;PDSN作为RADIUS客户端生成接入请求消息RADIUS Access-Request,发给AAA认证服务器;AAA认证服务器鉴权成功,发送RADIUS Access-Accept到PDSN,接入认证成功;用户终端与分组数据服务节点(PDSN)的PPP连接成功建立,并且用户终端分配IP地址;
步骤b45、信息采集单元接收指定的IP地址和对应的移动用户号码簿号码(MDN);
本实施例中,AAA认证服务器通过光纤或者交换机或者路由器连接网络,AAA认证服务器通过交换机端口镜像方式,将AAA认证服务器接收和发送的IP数据包复制到镜像端口,信息采集单元连接所述镜像端口并接收AAA认证服务器发出和接收的IP数据包;所述AAA认证服务器配置了RADIUS协议,信息采集单元通过分析的认证请求(Access-request)、计费开始请求(Accounting-request)数据包,建立移动用户号码簿号码(MDN)与动态分配的IP地址的对应关系;信息采集单元通过分析RADIUS协议的计费结束请求(Accounting-request)数据包,取消所述移动用户号码簿号码(MDN)与动态分配的IP地址的对应;
步骤b46、所述信息采集单元建立移动用户号码簿号码(MDN)和指定的IP地址的对应关系,并将移动用户号码簿号码(MDN)和指定的IP地址发送至身份服务器;
步骤b47、身份服务器在身份数据库中存储所述指定的IP地址和移动用户号码簿号码(MDN)。
实施例8
本实施例的本实施例的网站发送用户预留信息的系统与实施例7相同,网站发送用户预留信息的方法中,多个用户或用户终端使用相同用户身份信息在同一个网站服务器中分别注册用户预留信息,步骤d与实施例7的方法不同,其余步骤相同。步骤d按实施例2中的方式进行。
本文中所描述的具体实施例仅仅是对本发明精神作举例说明。本发明所属技术领域的技术人员可以对所描述的具体实施例做各种各样的修改或补充或采用类似的方式替代,但并不会偏离本发明的精神或者超越所附权利要求书所定义的范围。
尽管本文较多地使用了用户身份信息、用户终端、身份服务器等术语,但并不排除使用其它术语的可能性。使用这些术语仅仅是为了更方便地描述和解释本发明的本质;把它们解释成任何一种附加的限制都是与本发明精神相违背的。
Claims (10)
1. 一种网站发送用户预留信息的系统,其特征在于,包括:
用户终端,向网站服务器发送包含自身IP地址的业务请求,并接收网站服务器返回的业务响应,用户终端通过互联网与其他节点进行通信;
网站服务器,用于接收用户终端的业务请求和返回业务响应,在判断所述业务请求需要回复用户预留信息后,发送用户验证请求至身份服务器并接收身份服务器返回的用户验证响应,判断用户验证响应的用户身份信息和对应的用户预留信息,根据判断结果对用户终端的业务请求作出响应;
IP地址分配认证单元,用于给用户终端指定或分配IP地址,并给用户终端提供网络接入的认证;
信息采集单元,用于采集IP地址分配认证单元中已经指定或分配的IP地址及其对应的用户身份信息并发送给身份服务器;
和设置有身份数据库的身份服务器,用于接收信息采集单元发送过来的用户身份信息和IP地址,建立所述用户身份信息和IP地址对应关系并存储在身份数据库中;当收到网站服务器发送的包含用户终端IP地址的身份验证请求后,在身份数据库进行用户终端IP地址对应的用户身份信息的查询,并将查询到的用户身份信息返回给网站服务器。
2.根据权利要求1所述的一种网站发送用户预留信息的系统,其特征在于,所述IP地址分配认证单元包括接入网络的地址分配单元和接入认证单元,所述地址分配单元为固定地址分配单元或者动态地址分配单元,所述接入网络为有线接入网络或无线接入网络。
3.根据权利要求1所述的一种网站发送用户预留信息的系统,其特征在于,所述IP地址分配单元为无线通信接入网络的网关支持节点或分组数据服务节点或AAA认证服务器。
4.一种网站发送用户预留信息的方法,其特征在于,包括以下步骤:
a、在身份服务器建立身份数据库;
b、在身份数据库存储用户身份信息与对应的用户终端IP地址,所述用户身份信息包括用户终端ISDN号码、移动用户号码簿号码、国际移动用户识别码和用户终端接入互联网认证时使用的用户名中的至少一个;
c、在网站服务器建立注册数据库;
d、网站服务器接受用户注册,注册成功后在注册数据库中存储用户预留信息及对应的用户身份信息;
e、用户终端连接至网站服务器,并发送业务请求至网站服务器;
f、所述网站服务器在判断业务请求需要回复用户预留信息后,网站服务器连接至身份服务器;
g、网站服务器发送包含用户终端IP地址的身份验证请求到身份服务器;
h、身份服务器接收身份验证请求,并在身份数据库中查询用户终端IP地址对应的用户身份信息;如果查到该用户终端IP地址对应的用户身份信息,则身份服务器向网站服务器发送包含用户终端IP地址和对应的用户身份信息的身份验证回复;
i、网站服务器接收身份验证回复,并查询用户注册数据库;网站服务器根据查询结果对用户终端的业务请求进行响应。
5.根据权利要求4所述一种网站发送用户预留信息的方法,其特征在于,所述步骤d具体包括:
d11、用户终端连接至网站服务器,用户终端发送用户注册请求到网站服务器;
d12、网站服务器发送包含用户终端IP地址的身份验证请求到身份服务器;
d13、身份服务器接收身份验证请求并在身份数据库中查询用户终端IP地址对应的用户身份信息;如果查到该用户终端IP地址对应的用户身份信息,则身份服务器向网站服务器发送包含IP地址和对应的用户身份信息的验证成功回复;
d14、网站服务器接收验证成功回复;网站服务器发送用户预留信息输入请求到用户终端,用户终端输入用户预留信息并发送到网站服务器;
d15、网站服务器接收用户预留信息并与所述验证成功回复的用户身份信息建立对应关系,在注册数据库中存储所述用户身份信息和对应用户预留信息,注册成功;
所述步骤i具体包括:网站服务器接收身份验证回复,并在注册数据库中查询身份验证回复的用户身份信息对应的用户预留信息;如果查到所述用户预留信息,则网站服务器发送用户预留信息到用户终端,或者网站服务器发送包括用户预留信息的业务响应到用户终端。
6.根据权利要求4所述一种网站发送用户预留信息的方法,其特征在于,所述注册数据库中还存储有用户号,所述步骤d具体包括:
d21、用户终端连接至网站服务器,用户终端发送用户注册请求到网站服务器;
d22、网站服务器发送包含用户终端IP地址的身份验证请求到身份服务器;
d23、身份服务器接收身份验证请求并在身份数据库中查询用户终端IP地址对应的用户身份信息;如果查到该用户终端IP地址对应的用户身份信息,则身份服务器向网站服务器发送包含IP地址和对应的用户身份信息的验证成功回复;
d24、网站服务器接收验证成功回复;网站服务器发送用户号输入请求和用户预留信息输入请求到用户终端,用户终端输入用户号和用户预留信息并发送到网站服务器;
d25、网站服务器接收用户号和用户预留信息并与所述验证成功回复的用户身份信息建立对应,在注册数据库中存储所述用户身份信息和用户号对应用户预留信息,注册成功;
所述步骤i具体包括:网站服务器接收身份验证回复,并发送用户号输入请求到用户终端;用户终端输入用户号并发送到网站服务器,网站服务器在注册数据库中查询身份验证回复的用户身份信息和用户号对应的用户预留信息;如果查到所述用户预留信息,则网站服务器发送用户预留信息到用户终端,或者网站服务器发送包括用户预留信息的业务响应到用户终端。
7.根据权利要求4或5或6所述的一种网站发送用户预留信息的方法,其特征在于,所述步骤b具体包括:
b11、用户向接入网络提供方申请固定的用户终端IP地址;接入网络提供方在其固定地址分配单元中为用户分配固定的IP地址,并确定用户名,用户获取用户名和固定的IP地址;
b12、用户终端使用所述固定的IP地址发送用户名和密码或者业务请求到接入认证单元;接入认证单元进行认证;
b13、信息采集单元接收所述用户名和用户终端IP地址,并建立用户名和用户终端IP地址的对应关系;
b14、信息采集单元将所述用户终端IP地址和用户名发送至身份服务器;
b15、身份服务器在身份数据库中存储所述的用户名和用户终端IP地址及两者之间的对应关系。
8.根据权利要求4或5或6所述的一种网站发送用户预留信息的方法,其特征在于,所述步骤b具体包括:
b21、用户终端发送用户名和密码至接入认证单元或动态地址分配单元,申请IP地址;
b22、接入认证单元认证用户名和密码,动态地址分配单元在其因特网IP地址集合中为用户终端分配用户终端IP地址;
b23、信息采集单元接收用户终端IP地址和所述用户名,并建立用户终端IP地址和所述用户名的对应关系;
b24、信息采集单元将所述用户终端IP地址和用户名发送至身份服务器;
b25、身份服务器在身份数据库中存储所述用户名和用户终端IP地址及两者之间的对应关系。
9.根据权利要求4或5或6所述的一种网站发送用户预留信息的方法,其特征在于,所述步骤b具体包括:
b31、用户终端发送附着请求至业务支持节点;
b32、所述业务支持节点对用户终端进行身份验证,通过验证后,向用户终端发送附着接受;
b33、用户终端发送激活分组报文协议上下文请求到业务支持节点,业务支持节点发送建立分组报文协议上下文请求到网关支持节点;
b34、所述网关支持节点指定IP地址,并发送建立分组报文协议上下文应答到业务支持节点,所述指定IP地址具体是网关支持节点从所述网关支持节点的因特网IP地址集合中分配IP地址或者由网关支持节点连接的DHCP服务器分配IP地址;
b35、业务支持节点发送激活分组报文协议上下文接受到用户终端;
b36、信息采集单元接收指定的IP地址和对应的国际移动用户识别号,信息采集单元通过国际移动用户识别号获取对应的移动用户ISDN号码;
b37、所述信息采集单元建立移动用户ISDN号码和指定的IP地址的对应关系,并将移动用户ISDN号码和指定的IP地址发送至身份服务器;
b38、身份服务器在身份数据库中存储所述指定的IP地址和移动用户ISDN号码。
10.根据权利要求4或5或6所述的一种网站发送用户预留信息的方法,其特征在于,所述步骤b具体包括:
b41、用户终端建立链路连接到分组数据服务节点;
b42、分组数据服务节点发送认证请求到AAA认证服务器;
b43、AAA认证服务器对用户终端信息进行认证,认证通过后发送认证通过或计费开始信息到分组数据服务节点;
b44、所述分组数据服务节点给用户终端指定IP地址,所述指定IP地址具体是分组数据服务节点从分组数据服务节点的因特网IP地址集合中分配IP地址或者网关支持节点连接AAA认证服务器分配IP地址;
b45、信息采集单元接收指定的IP地址和对应的移动用户号码簿号码;
b46、所述信息采集单元建立移动用户号码簿号码和指定的IP地址的对应关系,并将移动用户号码簿号码和指定的IP地址发送至身份服务器;
b47、身份服务器在身份数据库中存储所述指定的IP地址和移动用户号码簿号码。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210447821.0A CN103812836B (zh) | 2012-11-12 | 2012-11-12 | 一种网站发送用户预留信息的系统和方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210447821.0A CN103812836B (zh) | 2012-11-12 | 2012-11-12 | 一种网站发送用户预留信息的系统和方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103812836A true CN103812836A (zh) | 2014-05-21 |
| CN103812836B CN103812836B (zh) | 2017-09-29 |
Family
ID=50709042
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210447821.0A Active CN103812836B (zh) | 2012-11-12 | 2012-11-12 | 一种网站发送用户预留信息的系统和方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103812836B (zh) |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104935596A (zh) * | 2015-06-16 | 2015-09-23 | 努比亚技术有限公司 | 一种通信安全处理方法及系统 |
| WO2017041562A1 (zh) * | 2015-09-09 | 2017-03-16 | 中兴通讯股份有限公司 | 一种识别终端设备用户身份的方法和装置 |
| CN106685945A (zh) * | 2016-12-21 | 2017-05-17 | 深圳市金立通信设备有限公司 | 业务请求处理方法、业务办理号码的验证方法及其终端 |
| CN106850502A (zh) * | 2015-12-04 | 2017-06-13 | 阿里巴巴集团控股有限公司 | 基于长连接的业务请求转发方法、存储方法、装置及系统 |
| CN107040401A (zh) * | 2015-12-01 | 2017-08-11 | 中华电信股份有限公司 | 具安全与功能扩充性的有线局域网络用户管理系统及方法 |
| CN107784501A (zh) * | 2017-09-29 | 2018-03-09 | 九派天下支付有限公司 | 一种安全的基于人脸识别的支付方法及系统 |
| CN108024248A (zh) * | 2016-10-31 | 2018-05-11 | 中兴通讯股份有限公司 | 一种物联网平台的鉴权方法和装置 |
| CN109325666A (zh) * | 2018-08-31 | 2019-02-12 | 深圳供电局有限公司 | 业务处理方法、装置、计算机设备和存储介质 |
| CN111177629A (zh) * | 2019-12-30 | 2020-05-19 | 杨国荣 | 遗留信息和/或遗留物的管理方法、系统以及商业平台 |
| CN112491834A (zh) * | 2020-11-16 | 2021-03-12 | 中国联合网络通信集团有限公司 | 信息认证方法及认证服务器 |
| CN112699353A (zh) * | 2021-03-25 | 2021-04-23 | 北京瑞莱智慧科技有限公司 | 一种金融信息传输方法以及金融信息传输系统 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050039050A1 (en) * | 2003-02-10 | 2005-02-17 | Lionel Morand | Method and a system for authenticating a user at a network access while the user is making a connection to the Internet |
| CN1780206A (zh) * | 2004-11-23 | 2006-05-31 | 华为技术有限公司 | 互联网身份认证方法及系统 |
| CN1825352A (zh) * | 2006-03-31 | 2006-08-30 | 中国工商银行股份有限公司 | 网上预留信息验证方法 |
| CN1874227A (zh) * | 2006-06-09 | 2006-12-06 | 中国民生银行股份有限公司 | 防御伪网站的网站系统及伪网站防御方法 |
| CN101150594A (zh) * | 2007-10-18 | 2008-03-26 | 中国联合通信有限公司 | 一种移动蜂窝网络和无线局域网的统一接入方法及系统 |
| CN201360263Y (zh) * | 2008-09-10 | 2009-12-09 | 中国工商银行股份有限公司 | 基于动态口令的身份认证系统 |
| CN102394888A (zh) * | 2011-11-11 | 2012-03-28 | 汉口银行股份有限公司 | 一种网上银行预留信息的安全登录方法 |
-
2012
- 2012-11-12 CN CN201210447821.0A patent/CN103812836B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050039050A1 (en) * | 2003-02-10 | 2005-02-17 | Lionel Morand | Method and a system for authenticating a user at a network access while the user is making a connection to the Internet |
| CN1780206A (zh) * | 2004-11-23 | 2006-05-31 | 华为技术有限公司 | 互联网身份认证方法及系统 |
| CN1825352A (zh) * | 2006-03-31 | 2006-08-30 | 中国工商银行股份有限公司 | 网上预留信息验证方法 |
| CN1874227A (zh) * | 2006-06-09 | 2006-12-06 | 中国民生银行股份有限公司 | 防御伪网站的网站系统及伪网站防御方法 |
| CN101150594A (zh) * | 2007-10-18 | 2008-03-26 | 中国联合通信有限公司 | 一种移动蜂窝网络和无线局域网的统一接入方法及系统 |
| CN201360263Y (zh) * | 2008-09-10 | 2009-12-09 | 中国工商银行股份有限公司 | 基于动态口令的身份认证系统 |
| CN102394888A (zh) * | 2011-11-11 | 2012-03-28 | 汉口银行股份有限公司 | 一种网上银行预留信息的安全登录方法 |
Non-Patent Citations (1)
| Title |
|---|
| 沈仲明等: "《基于终端认证的电子商务安全解决方案》", 《中国优秀硕士学位论文全文数据库信息科技集》 * |
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104935596B (zh) * | 2015-06-16 | 2018-06-26 | 努比亚技术有限公司 | 一种通信安全处理方法及系统 |
| CN104935596A (zh) * | 2015-06-16 | 2015-09-23 | 努比亚技术有限公司 | 一种通信安全处理方法及系统 |
| WO2017041562A1 (zh) * | 2015-09-09 | 2017-03-16 | 中兴通讯股份有限公司 | 一种识别终端设备用户身份的方法和装置 |
| CN106534040A (zh) * | 2015-09-09 | 2017-03-22 | 中兴通讯股份有限公司 | 一种识别终端设备用户身份的方法和装置 |
| CN107040401A (zh) * | 2015-12-01 | 2017-08-11 | 中华电信股份有限公司 | 具安全与功能扩充性的有线局域网络用户管理系统及方法 |
| CN106850502A (zh) * | 2015-12-04 | 2017-06-13 | 阿里巴巴集团控股有限公司 | 基于长连接的业务请求转发方法、存储方法、装置及系统 |
| CN108024248A (zh) * | 2016-10-31 | 2018-05-11 | 中兴通讯股份有限公司 | 一种物联网平台的鉴权方法和装置 |
| CN108024248B (zh) * | 2016-10-31 | 2022-11-08 | 中兴通讯股份有限公司 | 一种物联网平台的鉴权方法和装置 |
| CN106685945A (zh) * | 2016-12-21 | 2017-05-17 | 深圳市金立通信设备有限公司 | 业务请求处理方法、业务办理号码的验证方法及其终端 |
| CN106685945B (zh) * | 2016-12-21 | 2020-12-22 | 深圳市金立通信设备有限公司 | 业务请求处理方法、业务办理号码的验证方法及其终端 |
| CN107784501A (zh) * | 2017-09-29 | 2018-03-09 | 九派天下支付有限公司 | 一种安全的基于人脸识别的支付方法及系统 |
| CN109325666A (zh) * | 2018-08-31 | 2019-02-12 | 深圳供电局有限公司 | 业务处理方法、装置、计算机设备和存储介质 |
| CN111177629A (zh) * | 2019-12-30 | 2020-05-19 | 杨国荣 | 遗留信息和/或遗留物的管理方法、系统以及商业平台 |
| CN112491834A (zh) * | 2020-11-16 | 2021-03-12 | 中国联合网络通信集团有限公司 | 信息认证方法及认证服务器 |
| CN112491834B (zh) * | 2020-11-16 | 2023-03-24 | 中国联合网络通信集团有限公司 | 信息认证方法及认证服务器 |
| CN112699353A (zh) * | 2021-03-25 | 2021-04-23 | 北京瑞莱智慧科技有限公司 | 一种金融信息传输方法以及金融信息传输系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103812836B (zh) | 2017-09-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103812836A (zh) | 一种网站发送用户预留信息的系统和方法 | |
| CN105024980B (zh) | 一种基于手机号码的网上近场支付系统和方法 | |
| CN102882853A (zh) | 一种互联网用户身份验证的系统和方法 | |
| CN104158824B (zh) | 网络实名认证方法及系统 | |
| KR102646565B1 (ko) | 전자 토큰 프로세싱 | |
| CN101133618B (zh) | 连接公共网络中的vpn用户 | |
| CN101473670B (zh) | 用于控制网络接入的方法和系统 | |
| EP1833219B1 (en) | Methods, apparatus and software for using a token to calculate time-limited password within cellular telephone | |
| CN103222292A (zh) | 利用安全热点网络的动态帐户创建 | |
| CN104735027B (zh) | 一种安全认证方法及鉴权认证服务器 | |
| JP2014527326A (ja) | 無線lan接続装置およびその動作方法 | |
| WO2010123385A1 (en) | Identifying and tracking users in network communications | |
| CN102217280A (zh) | 用户业务鉴权方法、系统及服务器 | |
| CN108924818A (zh) | 一种基于sim卡和设备相关参数的移动用户识别方法 | |
| CN108712440A (zh) | 用户信息管理方法、装置、服务器及存储介质 | |
| PT1386470E (pt) | Arquitectura para o fornecimento de serviços na internet | |
| CN107135506A (zh) | 一种portal认证方法、装置及系统 | |
| CN102857485A (zh) | 一种显示网站已经通过认证的系统和方法 | |
| CN106789905A (zh) | 一种网络接入设备及方法 | |
| CN105871824A (zh) | 支付式的Web Portal 认证方法、装置和系统 | |
| CN102215227A (zh) | 移动通信网络的电子商务身份认证方法及系统 | |
| CN102243738A (zh) | 一种安全支付的系统及方法 | |
| KR101119869B1 (ko) | 사업장에서의 무선 인터넷 접속 서비스 제공을 위한 웹 인증 방법 | |
| CN106487776B (zh) | 一种保护机器类通信设备的方法、网络实体及系统 | |
| CN101197838A (zh) | 认证鉴权计费系统和方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20240426 Address after: Room 1001-1004, East 10th Floor, Building 71, No. 90 Wensan Road, Xihu District, Hangzhou City, Zhejiang Province, 310013 Patentee after: HANGZHOU JINSHUO INFORMATION TECHNOLOGY CO.,LTD. Country or region after: China Address before: 310012, Building 9, Qiushuiyuan, Xihu District, Hangzhou City, Zhejiang Province, China 801 Patentee before: Sun Yinhai Country or region before: China |