CN103888418B - 策略认证方法及系统 - Google Patents
策略认证方法及系统 Download PDFInfo
- Publication number
- CN103888418B CN103888418B CN201210559765.XA CN201210559765A CN103888418B CN 103888418 B CN103888418 B CN 103888418B CN 201210559765 A CN201210559765 A CN 201210559765A CN 103888418 B CN103888418 B CN 103888418B
- Authority
- CN
- China
- Prior art keywords
- tactful
- mark
- authentication
- sensing node
- internet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Abstract
本发明涉及一种策略认证方法及系统,方法包括:在接入/业务认证通过后,认证服务器向策略认证平台发送策略认证请求,策略认证请求包括接入/业务认证的终端侧发起者的标识;策略认证平台根据策略认证请求确定终端侧发起者的标识对应的状态信息,并根据状态信息对预设的策略认证规则库中的策略认证规则进行检查;策略认证平台根据检查结果确定终端侧发起者的标识对应的策略认证结果和业务控制方式;策略认证平台将策略认证结果发送给认证服务器,并且根据业务控制方式向操作维护系统发送对应的策略控制命令;认证服务器根据策略认证结果确定接受或拒绝终端侧发起者的接入/业务请求。本发明能够有效地解决现有的身份认证所存在的部分问题。
Description
技术领域
本发明涉及网络与信息安全领域,尤其涉及一种策略认证方法及系统。
背景技术
身份认证是用户接入网络和使用业务前确认用户身份合法性的过程。目前,在移动通信中,通常在网络接入和业务认证时只进行用户身份的验证,而不检查用户的在线状态,这也就导致以下一些问题。
例如,随着移动通信技术的发展,终端(包括软终端)和业务类型越来越丰富,而多个终端和业务使用同一账号的情况则越来越多,如果不进行相应的业务并发控制,则会导致过多地资源被滥用的结果。另外,由于存在着CDMA写号终端和UIM卡热插拔的支持,因此存在着客户身份被盗用的风险,造成费用纠纷,而目前的身份认证过程并不能有效地解决上述并发控制及客户身份被盗用的问题。
发明内容
本发明的目的是提出一种策略认证方法及系统,能够有效地解决现有的身份认证所存在的部分问题。
为实现上述目的,本发明提供了一种策略认证方法,包括:
在接入/业务认证通过后,认证服务器向策略认证平台发送策略认证请求,所述策略认证请求包括接入/业务认证的终端侧发起者的标识;
所述策略认证平台根据所述策略认证请求确定所述终端侧发起者的标识对应的状态信息,并根据所述状态信息对预设的策略认证规则库中的策略认证规则进行检查;
所述策略认证平台根据检查结果确定所述终端侧发起者的标识对应的策略认证结果和业务控制方式;
所述策略认证平台将所述策略认证结果发送给所述认证服务器,并且根据所述业务控制方式向操作维护系统发送对应的策略控制命令;
所述认证服务器根据所述策略认证结果确定接受或拒绝所述终端侧发起者的接入/业务请求。
进一步的,所述终端侧发起者为使用接入终端的用户账户,所述用户账户的标识所对应的状态信息包括在线会话个数,则根据所述状态信息对预设的策略认证规则库中的策略认证规则进行检查的操作具体为:
所述策略认证平台检查所述用户账户的标识对应的在线会话个数是否为零,是则所述策略认证平台获得满足唯一性验证的检查结果,所述用户账户的标识对应的策略认证结果为认证通过,且业务控制方式为不进行业务控制;否则所述策略认证平台获得不满足唯一性验证的检查结果,所述用户账户的标识对应的策略认证结果为认证通过,且业务控制方式为清除所述用户账户的已有在线会话。
进一步的,所述用户账户的标识所对应的状态信息还包括接入终端标识,则根据所述状态信息对预设的策略认证规则库中的策略认证规则进行检查的操作具体为:
所述策略认证平台检查所述用户账户的标识对应的接入终端标识与预设的接入终端标识是否相同,如果相同,则继续检查所述用户账户的标识对应的在线会话个数是否为零,否则所述策略认证平台获得接入终端标识不一致的检查结果,所述用户账户的标识对应的策略认证结果为认证失败,且业务控制方式为不进行业务控制;
如果所述用户账户的标识对应的在线会话个数为零,则所述策略认证平台获得满足唯一性验证的检查结果,所述用户账户的标识对应的策略认证结果为认证通过,且业务控制方式为不进行业务控制;否则获得不满足唯一性验证的检查结果,所述用户账户的标识对应的策略认证结果为认证通过,且业务控制方式为清除所述用户账户的已有在线会话。
进一步的,所述终端侧发起者为物联网传感节点,所述物联网传感节点的标识所对应的状态信息包括同一传感节点的总并发接入数量或在同一基站下的同一传感节点的并发接入数量,则根据所述状态信息对预设的策略认证规则库中的策略认证规则进行检查的操作具体为:
所述策略认证平台检查所述物联网传感节点的标识对应的总并发接入数量或在同一基站下的并发接入数量是否已达到预设并发接入数量阈值,如果未达到,则所述策略认证平台获得满足并发接入数量要求的检查结果,所述物联网传感节点的标识对应的策略认证结果为认证通过,且业务控制方式为不进行业务控制;否则所述策略认证平台获得不满足并发接入数量要求的检查结果,所述物联网传感节点的标识对应的策略认证结果为认证失败,且业务控制方式为通知所述物联网传感节点在预设时间后尝试随机接入重连。
进一步的,所述物联网传感节点的标识所对应的状态信息还包括所述物联网传感节点的优先级别,如果所述策略认证平台检查所述物联网传感节点的标识对应的总并发接入数量或在同一基站下的并发接入数量已达到预设并发接入数量阈值,则判断所有已有在线会话的物联网传感节点的优先级别是否均不低于所述物联网传感节点的优先级别,是则所述策略认证平台获得不满足优先级别的检查结果,所述物联网传感节点的标识对应的策略认证结果为认证失败,且业务控制方式为通知所述物联网传感节点在预设时间后尝试随机接入重连;否则所述策略认证平台获得满足优先级别的检查结果,所述物联网传感节点的标识对应的策略认证结果为认证通过,且业务控制方式为清除优先级别低于所述物联网传感节点的优先级别的物联网传感节点的已有在线会话。
进一步的,所述终端侧发起者为使用接入终端的受限用户账户,所述受限用户账户的标识所对应的状态信息包括所述接入终端的上网时间和上网地点,则根据所述状态信息对预设的策略认证规则库中的策略认证规则进行检查的操作具体为:
所述策略认证平台检查所述受限用户账户的标识对应的所述接入终端的上网时间和上网地点是否分别处于预设受限时间和受限地点,是则所述策略认证平台获得满足受限时间和受限地点的检查结果,所述用户账户的标识对应的策略认证结果为认证失败,且业务控制方式为不进行业务控制;否则所述策略认证平台获得不满足受限时间和受限地点的检查结果,所述用户账户的标识对应的策略认证结果为认证通过,且业务控制方式为不进行业务控制。
为实现上述目的,本发明提供了一种策略认证系统,包括:
认证服务器,用于在接入/业务认证通过后,认证服务器向策略认证平台发送策略认证请求,所述策略认证请求包括接入/业务认证的终端侧发起者的标识,以及根据所述策略认证平台所发送的策略认证结果确定接受或拒绝所述终端侧发起者的接入/业务请求;
策略认证平台,用于根据所述策略认证请求确定所述终端侧发起者的标识对应的状态信息,并根据所述状态信息对预设的策略认证规则库中的策略认证规则进行检查,然后根据检查结果确定所述终端侧发起者的标识对应的策略认证结果和业务控制方式,并将所述策略认证结果发送给所述认证服务器,以及根据所述业务控制方式向操作维护系统发送对应的策略控制命令。
进一步的,所述策略认证平台具体包括:
状态信息确定模块,用于根据所述策略认证请求确定所述终端侧发起者的标识对应的状态信息;
认证规则检查模块,用于根据所述状态信息对预设的策略认证规则库中的策略认证规则进行检查;
处理信息确定模块,用于根据检查结果确定所述终端侧发起者的标识对应的策略认证结果和业务控制方式;
认证结果发送模块,用于将所述策略认证结果发送给所述认证服务器;
控制命令发送模块,用于根据所述业务控制方式向操作维护系统发送对应的策略控制命令。
进一步的,所述终端侧发起者为使用接入终端的用户账户,所述用户账户的标识所对应的状态信息包括在线会话个数,所述认证规则检查模块具体包括:
第一在线会话个数检查单元,用于检查所述用户账户的标识对应的在线会话个数是否为零,是则获得满足唯一性验证的检查结果,否则获得不满足唯一性验证的检查结果;
所述处理信息确定模块具体用于在获得满足唯一性验证的检查结果时,确定所述用户账户的标识对应的策略认证结果为认证通过,且业务控制方式为不进行业务控制;在获得不满足唯一性验证的检查结果时,确定所述用户账户的标识对应的策略认证结果为认证通过,且业务控制方式为清除所述用户账户的已有在线会话。
进一步的,所述终端侧发起者为使用接入终端的用户账户,所述用户账户的标识所对应的状态信息还包括在线会话个数和接入终端标识;所述认证规则检查模块具体包括:
第二在线会话个数检查单元,用于检查所述用户账户的标识对应的在线会话个数是否为零,是则获得满足唯一性验证的检查结果,否则调用终端标识比较单元;
终端标识比较单元,用于检查所述用户账户的标识对应的接入终端标识与所述用户账户的已有在线会话的接入终端标识是否相同,如果相同,则获得不满足唯一性验证、且所述接入终端标识一致的检查结果,如果不相同,则获得不满足唯一性验证、且接入终端标识不一致的检查结果;
所述处理信息确定模块具体用于在获得满足唯一性验证的检查结果时,确定所述用户账户的标识对应的策略认证结果为认证通过,且业务控制方式为不进行业务控制;在获得不满足唯一性验证、且所述接入终端标识一致的检查结果时,确定所述用户账户的标识对应的策略认证结果为认证通过,且业务控制方式为清除所述用户账户的已有在线会话;在获得不满足唯一性验证、且接入终端标识不一致的检查结果时,确定所述用户账户的标识对应的策略认证结果为认证失败,且业务控制方式为不进行业务控制。
进一步的,所述终端侧发起者为物联网传感节点,所述物联网传感节点的标识所对应的状态信息包括同一传感节点的总并发接入数量或在同一基站下的同一传感节点的并发接入数量,所述认证规则检查模块具体包括:
第一并发接入数量检查单元,用于检查所述物联网传感节点的标识对应的总并发接入数量或在同一基站下的并发接入数量是否已达到预设并发接入数量阈值,如果未达到,则获得满足并发接入数量要求的检查结果,否则获得不满足并发接入数量要求的检查结果;
所述处理信息确定模块具体用于在获得满足并发接入数量要求的检查结果时,确定所述物联网传感节点的标识对应的策略认证结果为认证通过,且业务控制方式为不进行业务控制;在获得不满足并发接入数量要求的检查结果,确定所述物联网传感节点的标识对应的策略认证结果为认证失败,且业务控制方式为通知所述物联网传感节点在预设时间后尝试随机接入重连。
进一步的,所述终端侧发起者为物联网传感节点,所述物联网传感节点的标识所对应的状态信息包括同一传感节点的总并发接入数量或在同一基站下的同一传感节点的并发接入数量、以及所述物联网传感节点的优先级别,所述认证规则检查模块具体包括:
终端标识比较单元,用于检查所述用户账户的标识对应的接入终端标识与预设的接入终端标识是否相同,如果相同,则调用第二在线会话个数检查单元,否则获得接入终端标识不一致的检查结果;
第二在线会话个数检查单元,用于检查所述用户账户的标识对应的在线会话个数是否为零,是则获得满足唯一性验证的检查结果,否则获得不满足唯一性验证的检查结果;
所述处理信息确定模块具体用于在获得满足唯一性验证的检查结果时,确定所述用户账户的标识对应的策略认证结果为认证通过,且业务控制方式为不进行业务控制;在获得不满足唯一性验证的检查结果时,确定所述用户账户的标识对应的策略认证结果为认证通过,且业务控制方式为清除所述用户账户的已有在线会话;在获得接入终端标识不一致的检查结果时,确定所述用户账户的标识对应的策略认证结果为认证失败,且业务控制方式为不进行业务控制。
进一步的,所述终端侧发起者为使用接入终端的受限用户账户,所述受限用户账户的标识所对应的状态信息包括所述接入终端的上网时间和上网地点,所述认证规则检查模块具体包括:
时间地点判断单元,检查所述受限用户账户的标识对应的所述接入终端的上网时间和上网地点是否分别处于预设受限时间和受限地点,是则获得满足受限时间和受限地点的检查结果,否则获得不满足受限时间和受限地点的检查结果;
所述处理信息确定模块具体用于在获得满足受限时间和受限地点的检查结果时,确定所述用户账户的标识对应的策略认证结果为认证失败,且业务控制方式为不进行业务控制;在获得不满足受限时间和受限地点的检查结果时,确定所述用户账户的标识对应的策略认证结果为认证通过,且业务控制方式为不进行业务控制。
基于上述技术方案,本发明在通常的接入/业务认证通过后,利用策略认证平台对终端侧发起者进行进一步的策略认证,基于预设的策略认证规则库中与当前应用场景对应的规则来进行终端侧发起者的状态信息的检查,并根据检查结果确定策略认证结果和业务控制方式,通过将策略认证结果发送给认证服务器来决定接受还是拒绝终端侧发起者的接入/业务请求,以及根据业务控制方式向操作维护系统发送对应的策略控制命令,以便操作维护系统执行相应的业务控制操作。在具体实施例中通过在线会话个数地检查来实现对业务并发的控制,并可降低或消除客户身份被盗用的风险以及产生费用纠纷的可能。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1为本发明策略认证方法的第一实施例的流程示意图。
图2为本发明策略认证方法的第二实施例的流程示意图。
图3为本发明策略认证方法的第三实施例的流程示意图。
图4为本发明策略认证方法的第四实施例的流程示意图。
图5为本发明策略认证方法的第五实施例的流程示意图。
图6为本发明策略认证方法的第六实施例的流程示意图。
图7为本发明策略认证系统的一实施例的结构示意图。
图8为本发明策略认证系统的另一实施例中策略认证平台的具体结构示意图。
具体实施方式
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
如图1所示,为本发明策略认证方法的第一实施例的流程示意图。在本实施例中,策略认证流程包括:
步骤101、在接入/业务认证通过后,认证服务器向策略认证平台发送策略认证请求,所述策略认证请求包括接入/业务认证的终端侧发起者的标识;
步骤102、所述策略认证平台根据所述策略认证请求确定所述终端侧发起者的标识对应的状态信息;
步骤103、所述策略认证平台根据所述状态信息对预设的策略认证规则库中的策略认证规则进行检查;
步骤104、所述策略认证平台根据检查结果确定所述终端侧发起者的标识对应的策略认证结果和业务控制方式;
步骤105、所述策略认证平台将所述策略认证结果发送给所述认证服务器,并且根据所述业务控制方式向操作维护系统发送对应的策略控制命令;
步骤106、所述认证服务器根据所述策略认证结果确定接受或拒绝所述终端侧发起者的接入/业务请求。
在本实施例中,认证服务器在鉴权通过终端侧发起者的接入认证或者业务认证后,并不直接接受终端侧发起者的接入认证或者业务认证,而是要通过策略认证平台进行进一步的策略认证,策略认证是基于终端侧发起者的状态信息实现的,策略认证规则库被预先保存在策略认证平台本地或者策略认证平台之外的数据库中,策略认证规则库中可以保存各种各样的策略认证规则,以便适应各种应用场景和不同的用户,例如对在线会话个数的唯一性要求、对在线终端的限制要求、对在线会话个数的数量要求、对接入/业务请求的时间或地点限制要求等。
为了使策略认证平台能够针对接入/业务认证的终端侧发起者提供相应的策略认证结果和业务控制方式,在策略认证请求中可以加入终端侧发起者的标识,以便区分不同的终端侧发起者。终端侧发起者可以是一般的网络服务用户,也可以是传感器网络中的传感器,又或者是受限的网络服务用户等等。
终端侧发起者的标识对应的状态信息可以包括在线会话个数、接入终端标识、同一传感节点的总并发接入数量、在同一基站下的同一传感节点的并发接入数量、物联网传感节点的优先级别、接入终端的上网时间和上网地点等,对于不同的应用场景来说,其所需要使用到的状态信息也有所不同。
策略认证平台在进行策略认证规则检查后,可以确定提供给认证服务器的策略认证结果,以及提供给操作维护系统的策略控制命令所依据的业务控制方式。认证服务器可以根据策略认证结果决定接受还是拒绝所述终端侧发起者的接入/业务请求,而操作维护系统可以根据接收到的策略控制指令对现有的会话连接进行处理,例如清除已有在线会话、通知物联网传感节点在预设时间后尝试随机接入重连等,策略控制指令也包括不进行业务控制的指令或者以不发送策略控制指令的方式表示不进行业务控制。
如图2所示,为本发明策略认证方法的第二实施例的流程示意图。在本实施例中,应用场景为希望对用户会话作出唯一性限制,以禁止同一用户并发使用业务,以防止盗号现象的发生。策略认证流程包括:
步骤201、在接入/业务认证通过后,认证服务器向策略认证平台发送策略认证请求,所述策略认证请求包括使用接入终端的用户账户的标识;
步骤202、所述策略认证平台根据所述策略认证请求确定使用接入终端的用户账户的标识对应的状态信息,该状态信息包括在线会话个数;
步骤203、策略认证平台检查所述用户账户的标识对应的在线会话个数是否为零,如果为零,则获得满足唯一性验证的检查结果,并执行步骤204,否则获得不满足唯一性验证的检查结果,并执行步骤205;
步骤204、策略认证平台根据检查结果确定所述用户账户的标识对应的策略认证结果为认证通过,且业务控制方式为不进行业务控制;
步骤205、策略认证平台根据检查结果确定所述用户账户的标识对应的策略认证结果为认证通过,且业务控制方式为清除所述用户账户的已有在线会话;
步骤206、所述策略认证平台将所述策略认证结果发送给所述认证服务器,并且根据所述业务控制方式向操作维护系统发送对应的策略控制命令;
步骤207、所述认证服务器根据所述策略认证结果确定接受或拒绝所述终端侧发起者的接入/业务请求。
在本实施例中,由于希望对用户会话作出唯一性限制,以禁止同一用户并发使用业务,因此当检查到该用户账户已存在了一个以上的在线会话时,则需要将该用户账户的已有在线会话清除掉,而接受该用户账户所发起的新的接入/业务请求,避免同一用户并发使用业务。
如图3所示,为本发明策略认证方法的第三实施例的流程示意图。在本实施例中,应用场景为希望对用户会话作出唯一性限制,以禁止同一用户并发使用业务,以防止盗号现象的发生,同时还希望对接入的终端进行限制,避免复制卡造成的盗用业务问题。策略认证流程包括:
步骤301、在接入/业务认证通过后,认证服务器向策略认证平台发送策略认证请求,所述策略认证请求包括使用接入终端的用户账户的标识;
步骤302、所述策略认证平台根据所述策略认证请求确定使用接入终端的用户账户的标识对应的状态信息,该状态信息包括在线会话个数和接入终端标识;
步骤303、策略认证平台检查所述用户账户的标识对应的接入终端标识与预设的接入终端标识是否相同,如果相同,则执行步骤304,否则获得接入终端标识不一致的检查结果,并执行步骤305;
步骤304、策略认证平台检查所述用户账户的标识对应的在线会话个数是否为零,如果为零,则获得满足唯一性验证的检查结果,并执行步骤306,否则获得不满足唯一性验证的检查结果,并执行步骤307;
步骤305、策略认证平台根据检查结果确定所述用户账户的标识对应的策略认证结果为认证失败,且业务控制方式为不进行业务控制;
步骤306、策略认证平台根据检查结果确定所述用户账户的标识对应的策略认证结果为认证通过,且业务控制方式为不进行业务控制;
步骤307、策略认证平台根据检查结果确定所述用户账户的标识对应的策略认证结果为认证通过,且业务控制方式为清除所述用户账户的已有在线会话;
步骤308、所述策略认证平台将所述策略认证结果发送给所述认证服务器,并且根据所述业务控制方式向操作维护系统发送对应的策略控制命令;
步骤309、所述认证服务器根据所述策略认证结果确定接受或拒绝所述终端侧发起者的接入/业务请求。
在本实施例中,不仅对用户的在线会话的唯一性进行了限制,还进一步对发起接入/业务请求的终端标识进行了限制,也就是说,如果不是预设的终端标识,则无权获得接入/业务认证的许可,这也就解决了非法人员利用其他终端使用复制卡的方式来盗取业务的问题。另外,还可以设置短信通知功能,在清除在线会话时,给用户账户所使用的终端发送短消息通知,以便用户及时更改验证信息。
如图4所示,为本发明策略认证方法的第四实施例的流程示意图。在本实施例中,应用场景为物联网接入场景,在本场景中,众多的传感器(例如环境质量/气象监测用的传感器,可采集空气质量、温度、湿度等参数,又例如家庭水、气、电信息采集器)采集各类信息,并在一定条件触发下自动连接网络,给应用平台发送采集数据,并在发送完成后断开网络。
这种应用场景存在以下特点:1)节点数量众多、分布密度高;2)单次传输数据量较小;3)数据传输具有随机性。由于事件随机发生,大部分情况下,数据发送对网络和应用平台影响不大,但是发生突发事件时,大量传感器在短时间内同时连接网络、发送数据,对网络和应用平台可能造成巨大的冲击,甚至可能造成局部网络、应用平台瘫痪。
考虑到这种应用场景的特点,可以考虑在接入层面进行抑制,对同一类传感节点的总并发接入数量进行限制,对于密集区域,还可以进一步限制同一基站下同一类传感节点的并发接入数量,而且为了能够使传感节点顺利的完成信息上传,传感节点可具备重传机制,一旦接入失败,可等待一段时间后,尝试随机接入重连、重传。
本实施例中,终端侧发起者为物联网传感节点,所述物联网传感节点的标识所对应的状态信息包括同一传感节点的总并发接入数量(例如500或300)或在同一基站下的同一传感节点的并发接入数量(例如50或30)。对于不同的传感节点来说,其对应的总并发接入数量和同一基站下的同一传感节点的并发接入数量可根据基站的处理能力不同而不同。策略认证流程包括:
步骤401、在接入/业务认证通过后,认证服务器向策略认证平台发送策略认证请求,所述策略认证请求包括物联网传感节点的标识;
步骤402、所述策略认证平台根据所述策略认证请求确定物联网传感节点的标识对应的状态信息,该状态信息包括同一传感节点的总并发接入数量或在同一基站下的同一传感节点的并发接入数量;
步骤403、策略认证平台检查所述物联网传感节点的标识对应的总并发接入数量或在同一基站下的并发接入数量是否已达到预设并发接入数量阈值,如果未达到,则所述策略认证平台获得满足并发接入数量要求的检查结果,并执行步骤404,否则获得不满足并发接入数量要求的检查结果,并执行步骤405;
步骤404、策略认证平台根据检查结果确定物联网传感节点的标识对应的策略认证结果为认证通过,且业务控制方式为不进行业务控制;
步骤405、策略认证平台根据检查结果确定物联网传感节点的标识对应的策略认证结果为认证失败,且业务控制方式为通知所述物联网传感节点在预设时间后尝试随机接入重连;
步骤406、所述策略认证平台将所述策略认证结果发送给所述认证服务器,并且根据所述业务控制方式向操作维护系统发送对应的策略控制命令;
步骤407、所述认证服务器根据所述策略认证结果确定接受或拒绝所述终端侧发起者的接入/业务请求。
如图5所示,为本发明策略认证方法的第五实施例的流程示意图。与上一实施例相比,本实施例还增加了优先级别的判断,以便在业务繁忙时优先保障高优先级的业务。策略认证流程包括:
步骤501、在接入/业务认证通过后,认证服务器向策略认证平台发送策略认证请求,所述策略认证请求包括物联网传感节点的标识;
步骤502、所述策略认证平台根据所述策略认证请求确定物联网传感节点的标识对应的状态信息,该状态信息包括同一传感节点的总并发接入数量或在同一基站下的同一传感节点的并发接入数量,以及物联网传感节点的优先级别;
步骤503、策略认证平台检查所述物联网传感节点的标识对应的总并发接入数量或在同一基站下的并发接入数量是否已达到预设并发接入数量阈值,如果未达到,则所述策略认证平台获得满足并发接入数量要求的检查结果,并执行步骤504,否则执行步骤505;
步骤504、策略认证平台根据检查结果确定物联网传感节点的标识对应的策略认证结果为认证通过,且业务控制方式为不进行业务控制;
步骤505、策略认证平台判断所有已有在线会话的物联网传感节点的优先级别是否均不低于所述物联网传感节点的优先级别,是则所述策略认证平台获得不满足优先级别的检查结果,并执行步骤506,否则获得满足优先级别的检查结果,并执行步骤507;
步骤506、策略认证平台根据检查结果确定所述物联网传感节点的标识对应的策略认证结果为认证失败,且业务控制方式为通知所述物联网传感节点在预设时间后尝试随机接入重连;
步骤507、策略认证平台根据检查结果确定所述物联网传感节点的标识对应的策略认证结果为认证通过,且业务控制方式为清除优先级别低于所述物联网传感节点的优先级别的物联网传感节点的已有在线会话;
步骤508、所述策略认证平台将所述策略认证结果发送给所述认证服务器,并且根据所述业务控制方式向操作维护系统发送对应的策略控制命令;
步骤509、所述认证服务器根据所述策略认证结果确定接受或拒绝所述终端侧发起者的接入/业务请求。
如图6所示,为本发明策略认证方法的第六实施例的流程示意图。在本实施例中,应用场景为针对于特定群体的受限用户账户(相对于普通用户账户而言),例如为了减少使用手机对学生正常学习的影响,对学生使用手机的使用时间和使用地点作出限制。例如在工作日、学校范围内不允许学生使用手机上网。终端侧发起者为使用接入终端的受限用户账户,所述受限用户账户的标识所对应的状态信息包括所述接入终端的上网时间(例如周一至周五)和上网地点(例如学校基站覆盖范围),策略认证流程包括:
步骤601、在接入/业务认证通过后,认证服务器向策略认证平台发送策略认证请求,所述策略认证请求包括受限用户账户的标识;
步骤602、所述策略认证平台根据所述策略认证请求确定受限用户账户的标识对应的状态信息,该状态信息包括接入终端的上网时间和上网地点;
步骤603、策略认证平台检查所述受限用户账户的标识对应的所述接入终端的上网时间和上网地点是否分别处于预设受限时间和受限地点,是则获得满足受限时间和受限地点的检查结果,并执行步骤604,否则获得不满足受限时间和受限地点的检查结果,并执行步骤605;
步骤604、策略认证平台根据检查结果确定所述用户账户的标识对应的策略认证结果为认证失败,且业务控制方式为不进行业务控制;
步骤605、策略认证平台根据检查结果确定所述用户账户的标识对应的策略认证结果为认证通过,且业务控制方式为不进行业务控制;
步骤606、所述策略认证平台将所述策略认证结果发送给所述认证服务器,并且根据所述业务控制方式向操作维护系统发送对应的策略控制命令;
步骤607、所述认证服务器根据所述策略认证结果确定接受或拒绝所述终端侧发起者的接入/业务请求。
通过本实施例,可以通过拒绝同时满足预设受限时间和受限地点的受限用户账户的接入请求来使受限用户账户无法使用网络,而不会影响到不完全满足预设受限时间和受限地点的接入请求,以及普通用户账户的接入请求。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
如图7所示,为本发明策略认证系统的一实施例的结构示意图。在本实施例中,策略认证系统包括:认证服务器1和策略认证平台2。其中,认证服务器1负责在接入/业务认证通过后,认证服务器向策略认证平台2发送策略认证请求,所述策略认证请求包括接入/业务认证的终端侧发起者的标识。认证服务器1还负责根据所述策略认证平台2所发送的策略认证结果确定接受或拒绝所述终端侧发起者的接入/业务请求。
策略认证平台2负责根据所述策略认证请求确定所述终端侧发起者的标识对应的状态信息,并根据所述状态信息对预设的策略认证规则库中的策略认证规则进行检查,然后根据检查结果确定所述终端侧发起者的标识对应的策略认证结果和业务控制方式,并将所述策略认证结果发送给所述认证服务器1,以及根据所述业务控制方式向操作维护系统发送对应的策略控制命令。
如图8所示,为本发明策略认证系统的另一实施例中策略认证平台的具体结构示意图。与上一实施例相比,本实施例中,策略认证平台可以具体包括:状态信息确定模块21、认证规则检查模块22、处理信息确定模块23、认证结果发送模块24和控制命令发送模块25。
状态信息确定模块21负责根据所述策略认证请求确定所述终端侧发起者的标识对应的状态信息。认证规则检查模块22负责根据所述状态信息对预设的策略认证规则库中的策略认证规则进行检查。处理信息确定模块23负责根据检查结果确定所述终端侧发起者的标识对应的策略认证结果和业务控制方式。认证结果发送模块24负责将所述策略认证结果发送给所述认证服务器。控制命令发送模块25负责根据所述业务控制方式向操作维护系统发送对应的策略控制命令。
在另一个实施例中,所述终端侧发起者为使用接入终端的用户账户,所述用户账户的标识所对应的状态信息包括在线会话个数,所述认证规则检查模块具体包括:
第一在线会话个数检查单元,用于检查所述用户账户的标识对应的在线会话个数是否为零,是则获得满足唯一性验证的检查结果,否则获得不满足唯一性验证的检查结果;
所述处理信息确定模块具体用于在获得满足唯一性验证的检查结果时,确定所述用户账户的标识对应的策略认证结果为认证通过,且业务控制方式为不进行业务控制;在获得不满足唯一性验证的检查结果时,确定所述用户账户的标识对应的策略认证结果为认证通过,且业务控制方式为清除所述用户账户的已有在线会话。
在另一个实施例中,所述终端侧发起者为使用接入终端的用户账户,所述用户账户的标识所对应的状态信息还包括在线会话个数和接入终端标识;所述认证规则检查模块具体包括:
终端标识比较单元,用于检查所述用户账户的标识对应的接入终端标识与预设的接入终端标识是否相同,如果相同,则调用第二在线会话个数检查单元,否则获得接入终端标识不一致的检查结果;
第二在线会话个数检查单元,用于检查所述用户账户的标识对应的在线会话个数是否为零,是则获得满足唯一性验证的检查结果,否则获得不满足唯一性验证的检查结果;
所述处理信息确定模块具体用于在获得满足唯一性验证的检查结果时,确定所述用户账户的标识对应的策略认证结果为认证通过,且业务控制方式为不进行业务控制;在获得不满足唯一性验证的检查结果时,确定所述用户账户的标识对应的策略认证结果为认证通过,且业务控制方式为清除所述用户账户的已有在线会话;在获得接入终端标识不一致的检查结果时,确定所述用户账户的标识对应的策略认证结果为认证失败,且业务控制方式为不进行业务控制。
在另一个实施例中,所述终端侧发起者为物联网传感节点,所述物联网传感节点的标识所对应的状态信息包括同一传感节点的总并发接入数量或在同一基站下的同一传感节点的并发接入数量,所述认证规则检查模块具体包括:
第一并发接入数量检查单元,用于检查所述物联网传感节点的标识对应的总并发接入数量或在同一基站下的并发接入数量是否已达到预设并发接入数量阈值,如果未达到,则获得满足并发接入数量要求的检查结果,否则获得不满足并发接入数量要求的检查结果;
所述处理信息确定模块具体用于在获得满足并发接入数量要求的检查结果时,确定所述物联网传感节点的标识对应的策略认证结果为认证通过,且业务控制方式为不进行业务控制;在获得不满足并发接入数量要求的检查结果,确定所述物联网传感节点的标识对应的策略认证结果为认证失败,且业务控制方式为通知所述物联网传感节点在预设时间后尝试随机接入重连。
在另一个实施例中,所述终端侧发起者为物联网传感节点,所述物联网传感节点的标识所对应的状态信息包括同一传感节点的总并发接入数量或在同一基站下的同一传感节点的并发接入数量、以及所述物联网传感节点的优先级别,所述认证规则检查模块具体包括:
第二并发接入数量检查单元,用于检查所述物联网传感节点的标识对应的总并发接入数量或在同一基站下的并发接入数量是否已达到预设并发接入数量阈值,如果未达到,则获得满足并发接入数量要求的检查结果,否则调用优先级别判断单元;
优先级别判断单元,用于判断所有已有在线会话的物联网传感节点的优先级别是否均不低于所述物联网传感节点的优先级别,是则获得不满足优先级别的检查结果,否则获得满足优先级别的检查结果;
所述处理信息确定模块具体用于在获得满足并发接入数量要求的检查结果时,确定所述物联网传感节点的标识对应的策略认证结果为认证通过,且业务控制方式为不进行业务控制;在获得不满足优先级别的检查结果时,确定所述物联网传感节点的标识对应的策略认证结果为认证失败,且业务控制方式为通知所述物联网传感节点在预设时间后尝试随机接入重连;在获得满足优先级别的检查结果时,确定所述物联网传感节点的标识对应的策略认证结果为认证通过,且业务控制方式为清除优先级别低于所述物联网传感节点的优先级别的物联网传感节点的已有在线会话。
在另一个实施例中,所述终端侧发起者为使用接入终端的受限用户账户,所述受限用户账户的标识所对应的状态信息包括所述接入终端的上网时间和上网地点,所述认证规则检查模块具体包括:
时间地点判断单元,检查所述受限用户账户的标识对应的所述接入终端的上网时间和上网地点是否分别处于预设受限时间和受限地点,是则获得满足受限时间和受限地点的检查结果,否则获得不满足受限时间和受限地点的检查结果;
所述处理信息确定模块具体用于在获得满足受限时间和受限地点的检查结果时,确定所述用户账户的标识对应的策略认证结果为认证失败,且业务控制方式为不进行业务控制;在获得不满足受限时间和受限地点的检查结果时,确定所述用户账户的标识对应的策略认证结果为认证通过,且业务控制方式为不进行业务控制。
最后应当说明的是:以上实施例仅用以说明本发明的技术方案而非对其限制;尽管参照较佳实施例对本发明进行了详细的说明,所属领域的普通技术人员应当理解:依然可以对本发明的具体实施方式进行修改或者对部分技术特征进行等同替换;而不脱离本发明技术方案的精神,其均应涵盖在本发明请求保护的技术方案范围当中。
Claims (3)
1.一种策略认证方法,包括:
在接入/业务认证通过后,认证服务器向策略认证平台发送策略认证请求,所述策略认证请求包括接入/业务认证的终端侧发起者的标识;
所述策略认证平台根据所述策略认证请求确定所述终端侧发起者的标识对应的状态信息,并根据所述状态信息对预设的策略认证规则库中的策略认证规则进行检查;
所述策略认证平台根据检查结果确定所述终端侧发起者的标识对应的策略认证结果和业务控制方式;
所述策略认证平台将所述策略认证结果发送给所述认证服务器,并且根据所述业务控制方式向操作维护系统发送对应的策略控制命令;
所述认证服务器根据所述策略认证结果确定接受或拒绝所述终端侧发起者的接入/业务请求;
其中,所述终端侧发起者为物联网传感节点,所述物联网传感节点的标识所对应的状态信息包括同一传感节点的总并发接入数量或在同一基站下的同一传感节点的并发接入数量,则根据所述状态信息对预设的策略认证规则库中的策略认证规则进行检查的操作具体为:
所述策略认证平台检查所述物联网传感节点的标识对应的总并发接入数量或在同一基站下的并发接入数量是否已达到预设并发接入数量阈值,如果未达到,则所述策略认证平台获得满足并发接入数量要求的检查结果,所述物联网传感节点的标识对应的策略认证结果为认证通过,且业务控制方式为不进行业务控制;否则所述策略认证平台获得不满足并发接入数量要求的检查结果,所述物联网传感节点的标识对应的策略认证结果为认证失败,且业务控制方式为通知所述物联网传感节点在预设时间后尝试随机接入重连;
或者所述终端侧发起者为使用接入终端的受限用户账户,所述受限用户账户的标识所对应的状态信息包括所述接入终端的上网时间和上网地点,则根据所述状态信息对预设的策略认证规则库中的策略认证规则进行检查的操作具体为:
所述策略认证平台检查所述受限用户账户的标识对应的所述接入终端的上网时间和上网地点是否分别处于预设受限时间和受限地点,是则所述策略认证平台获得满足受限时间和受限地点的检查结果,所述用户账户的标识对应的策略认证结果为认证失败,且业务控制方式为不进行业务控制;否则所述策略认证平台获得不满足受限时间和受限地点的检查结果,所述用户账户的标识对应的策略认证结果为认证通过,且业务控制方式为不进行业务控制。
2.根据权利要求1所述的策略认证方法,其中所述物联网传感节点的标识所对应的状态信息还包括所述物联网传感节点的优先级别,如果所述策略认证平台检查所述物联网传感节点的标识对应的总并发接入数量或在同一基站下的并发接入数量已达到预设并发接入数量阈值,则判断所有已有在线会话的物联网传感节点的优先级别是否均不低于所述物联网传感节点的优先级别,是则所述策略认证平台获得不满足优先级别的检查结果,所述物联网传感节点的标识对应的策略认证结果为认证失败,且业务控制方式为通知所述物联网传感节点在预设时间后尝试随机接入重连;否则所述策略认证平台获得满足优先级别的检查结果,所述物联网传感节点的标识对应的策略认证结果为认证通过,且业务控制方式为清除优先级别低于所述物联网传感节点的优先级别的物联网传感节点的已有在线会话。
3.一种策略认证系统,包括:
认证服务器,用于在接入/业务认证通过后,认证服务器向策略认证平台发送策略认证请求,所述策略认证请求包括接入/业务认证的终端侧发起者的标识,以及根据所述策略认证平台所发送的策略认证结果确定接受或拒绝所述终端侧发起者的接入/业务请求;
策略认证平台,用于根据所述策略认证请求确定所述终端侧发起者的标识对应的状态信息,并根据所述状态信息对预设的策略认证规则库中的策略认证规则进行检查,然后根据检查结果确定所述终端侧发起者的标识对应的策略认证结果和业务控制方式,并将所述策略认证结果发送给所述认证服务器,以及根据所述业务控制方式向操作维护系统发送对应的策略控制命令;
所述策略认证平台具体包括:
状态信息确定模块,用于根据所述策略认证请求确定所述终端侧发起者的标识对应的状态信息;
认证规则检查模块,用于根据所述状态信息对预设的策略认证规则库中的策略认证规则进行检查;
处理信息确定模块,用于根据检查结果确定所述终端侧发起者的标识对应的策略认证结果和业务控制方式;
认证结果发送模块,用于将所述策略认证结果发送给所述认证服务器;
控制命令发送模块,用于根据所述业务控制方式向操作维护系统发送对应的策略控制命令;
其中,所述终端侧发起者为物联网传感节点,所述物联网传感节点的标识所对应的状态信息包括同一传感节点的总并发接入数量或在同一基站下的同一传感节点的并发接入数量,所述认证规则检查模块具体包括:
第一并发接入数量检查单元,用于检查所述物联网传感节点的标识对应的总并发接入数量或在同一基站下的并发接入数量是否已达到预设并发接入数量阈值,如果未达到,则获得满足并发接入数量要求的检查结果,否则获得不满足并发接入数量要求的检查结果;
所述处理信息确定模块具体用于在获得满足并发接入数量要求的检查结果时,确定所述物联网传感节点的标识对应的策略认证结果为认证通过,且业务控制方式为不进行业务控制;在获得不满足并发接入数量要求的检查结果,确定所述物联网传感节点的标识对应的策略认证结果为认证失败,且业务控制方式为通知所述物联网传感节点在预设时间后尝试随机接入重连;
或者,所述终端侧发起者为物联网传感节点,所述物联网传感节点的标识所对应的状态信息包括同一传感节点的总并发接入数量或在同一基站下的同一传感节点的并发接入数量、以及所述物联网传感节点的优先级别,所述认证规则检查模块具体包括:
第二并发接入数量检查单元,用于检查所述物联网传感节点的标识对应的总并发接入数量或在同一基站下的并发接入数量是否已达到预设并发接入数量阈值,如果未达到,则获得满足并发接入数量要求的检查结果,否则调用优先级别判断单元;
优先级别判断单元,用于判断所有已有在线会话的物联网传感节点的优先级别是否均不低于所述物联网传感节点的优先级别,是则获得不满足优先级别的检查结果,否则获得满足优先级别的检查结果;
所述处理信息确定模块具体用于在获得满足并发接入数量要求的检查结果时,确定所述物联网传感节点的标识对应的策略认证结果为认证通过,且业务控制方式为不进行业务控制;在获得不满足优先级别的检查结果时,确定所述物联网传感节点的标识对应的策略认证结果为认证失败,且业务控制方式为通知所述物联网传感节点在预设时间后尝试随机接入重连;在获得满足优先级别的检查结果时,确定所述物联网传感节点的标识对应的策略认证结果为认证通过,且业务控制方式为清除优先级别低于所述物联网传感节点的优先级别的物联网传感节点的已有在线会话;
或者,所述终端侧发起者为使用接入终端的受限用户账户,所述受限用户账户的标识所对应的状态信息包括所述接入终端的上网时间和上网地点,所述认证规则检查模块具体包括:
时间地点判断单元,检查所述受限用户账户的标识对应的所述接入终端的上网时间和上网地点是否分别处于预设受限时间和受限地点,是则获得满足受限时间和受限地点的检查结果,否则获得不满足受限时间和受限地点的检查结果;
所述处理信息确定模块具体用于在获得满足受限时间和受限地点的检查结果时,确定所述用户账户的标识对应的策略认证结果为认证失败,且业务控制方式为不进行业务控制;在获得不满足受限时间和受限地点的检查结果时,确定所述用户账户的标识对应的策略认证结果为认证通过,且业务控制方式为不进行业务控制。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210559765.XA CN103888418B (zh) | 2012-12-21 | 2012-12-21 | 策略认证方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210559765.XA CN103888418B (zh) | 2012-12-21 | 2012-12-21 | 策略认证方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103888418A CN103888418A (zh) | 2014-06-25 |
| CN103888418B true CN103888418B (zh) | 2017-09-15 |
Family
ID=50957140
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210559765.XA Active CN103888418B (zh) | 2012-12-21 | 2012-12-21 | 策略认证方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103888418B (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112929234A (zh) * | 2014-07-14 | 2021-06-08 | Sk 普兰尼特有限公司 | 云流服务器 |
| CN105592058A (zh) * | 2015-09-30 | 2016-05-18 | 杭州华三通信技术有限公司 | 一种提高网络通信安全的方法和装置 |
| CN108377249B (zh) * | 2018-03-20 | 2021-01-12 | 陈瑛昊 | 基于物联网技术的新能源汽车中信息认证方法 |
| CN109903034B (zh) * | 2019-02-28 | 2021-06-08 | 腾讯科技(深圳)有限公司 | 规则匹配方法、装置、计算机可读存储介质和计算机设备 |
| CN110889679A (zh) * | 2019-12-09 | 2020-03-17 | 苏州盛世达企业管理服务有限公司 | 一种企业数字化管理方法及装置 |
| CN111538982B (zh) * | 2020-04-27 | 2023-04-14 | 山东远联信息科技有限公司 | 用于智慧教育云平台的多级多要素串连认证方法及系统 |
| CN113612771B (zh) * | 2021-08-03 | 2023-04-18 | 烽火通信科技股份有限公司 | 一种基于物联认证的保护方法和装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101127659A (zh) * | 2007-09-06 | 2008-02-20 | 中兴通讯股份有限公司 | 在WiMAX系统中实现用户鉴权控制移动终端上线方法 |
| CN101184046A (zh) * | 2007-12-07 | 2008-05-21 | 中兴通讯股份有限公司 | 帐号连接数的限制方法及其限制系统 |
| CN102098674A (zh) * | 2010-11-25 | 2011-06-15 | 中兴通讯股份有限公司 | 一种克隆设备的检测方法和装置 |
-
2012
- 2012-12-21 CN CN201210559765.XA patent/CN103888418B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101127659A (zh) * | 2007-09-06 | 2008-02-20 | 中兴通讯股份有限公司 | 在WiMAX系统中实现用户鉴权控制移动终端上线方法 |
| CN101184046A (zh) * | 2007-12-07 | 2008-05-21 | 中兴通讯股份有限公司 | 帐号连接数的限制方法及其限制系统 |
| CN102098674A (zh) * | 2010-11-25 | 2011-06-15 | 中兴通讯股份有限公司 | 一种克隆设备的检测方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103888418A (zh) | 2014-06-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103888418B (zh) | 策略认证方法及系统 | |
| CN105188055B (zh) | 无线网络接入方法、无线接入点以及服务器 | |
| CN104917749B (zh) | 帐号注册方法及装置 | |
| CN106797371B (zh) | 用于用户认证的方法和系统 | |
| CN104144163B (zh) | 身份验证方法、装置及系统 | |
| CN105246073B (zh) | 无线网络的接入认证方法及服务器 | |
| CN104158824B (zh) | 网络实名认证方法及系统 | |
| CN103905194B (zh) | 身份溯源认证方法及系统 | |
| CN107566381A (zh) | 设备安全控制方法、装置及系统 | |
| CN103974248B (zh) | 在能力开放系统中的终端安全性保护方法、装置及系统 | |
| CN108989263A (zh) | 短信验证码攻击防护方法、服务器和计算机可读存储介质 | |
| CN101834834A (zh) | 一种鉴权方法、装置及鉴权系统 | |
| CN105046562B (zh) | 风控系统及风控数据获取方法 | |
| CN105681176B (zh) | 电子名片的获取方法、云端服务器和用户终端 | |
| CN105847277A (zh) | 用于第三方应用的服务账号共享管理方法及系统 | |
| CN106953831A (zh) | 一种用户资源的授权方法、装置及系统 | |
| CN107659934A (zh) | 一种无线网络连接的控制方法及无线网络接入设备 | |
| CN104184709A (zh) | 验证方法、装置、服务器、业务数据中心和系统 | |
| CN106982430B (zh) | 一种基于用户使用习惯的Portal认证方法及系统 | |
| CN105657710A (zh) | 一种无线网络认证方法及系统 | |
| CN104837134B (zh) | 一种Web认证用户登录方法、设备和系统 | |
| CN108924122A (zh) | 一种网络敌我识别方法及系统 | |
| CN106714171A (zh) | 一种防蹭网方法、装置、终端及路由器 | |
| CN105429978B (zh) | 数据访问方法、设备及系统 | |
| CN203057192U (zh) | 一种跨平台安全审计装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |