CN107911282B - 一种面向社交网络实现第三方应用植入的网络系统 - Google Patents
一种面向社交网络实现第三方应用植入的网络系统 Download PDFInfo
- Publication number
- CN107911282B CN107911282B CN201711141480.3A CN201711141480A CN107911282B CN 107911282 B CN107911282 B CN 107911282B CN 201711141480 A CN201711141480 A CN 201711141480A CN 107911282 B CN107911282 B CN 107911282B
- Authority
- CN
- China
- Prior art keywords
- party application
- social network
- access
- authentication
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L51/00—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
- H04L51/52—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail for supporting social networking services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
Landscapes
- Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Storage Device Security (AREA)
Abstract
本发明提出了一种面向社交网络实现第三方应用植入的网络系统,适用于安全地将第三方应用植入社交网络。其中,信息采集模块,用于定时的进行信息釆集反馈,将釆集的信息交由社交网咯进行访问过程中的安全评估;权限请求模块,用于根据需要向社交网络发出访问权限请求;认证服务器,用于接收第三方应用的接入请求,并对第三方应用的用户的个人信息和所用移动设备的类型进行注册和认证,认证第三方应用是否己注册和其合法性;安全管理服务器,用于对第三方应用进行安全管理,对第三方应用上报的信息进行安全评估;动作审查与日志记录模块,用于当第三方应用接入社交网络后,对第三方应用用户的操作进行细粒度审计。
Description
技术领域
本发明涉及通信网络领域,特别涉及面向社交网络实现第三方应用植入的网络系统和方法。
背景技术
随着社交网络的日益繁荣和发展,整个世界几乎已被社交网所覆盖,在社交网络中可以添加第三方应用,开发者可以通过社交网络提供的应用程序接口(API)开发应用程序,并接入社交网络运行,从而为社交网络的用户提供某项服务。
现有的微博、微信、支付平台、新闻客户端等社交媒体应用中,不断的植入新的第三方应用,如周边商户、自行车应用等多类应用,然而,目前社交网络众多,由于各个社交网络的信息不同、开放给第三方的API也不同、第三方应用在不同社交网络中的表现也不相同,并且各个平台的审核标准也不相同,所以开发者每接入一个社交网络,都需要针对该平台进行应用的修改,如针对平台不同的要求,进行展示上的一些调整和适配;根据不同平台的API,进行程序代码上的调整等,需要耗费大量人力物力及时间。如何有效、安全地统一第三方应用植入社交网络的接入认证,系统的管理和应用好第三方应用在社交网络中的访问控制,需要提出一种面向社交网络实现第三方应用植入的网络系统和方法。
发明内容
为了满足上述提出的需求,本发明提出了以下技术方案。
本发明提出了一种面向社交网络实现第三方应用植入的网络系统,适用于安全地将第三方应用植入社交网络。所述面向社交网络实现第三方应用植入的网络系统包含:信息采集模块,用于定时的进行信息釆集反馈,将釆集的信息交由社交网咯进行访问过程中的安全评估;权限请求模块,用于根据需要向社交网络发出访问权限请求;认证服务器,用于接收第三方应用的接入请求,并对第三方应用的用户的个人信息和所用移动设备的类型进行注册和认证,认证第三方应用是否己注册和其合法性;安全管理服务器,用于对第三方应用进行安全管理,对第三方应用上报的信息进行安全评估;动作审查与日志记录模块,用于当第三方应用接入社交网络后,对第三方应用用户的操作进行细粒度审计。
根据本发明的一个方面,所述认证服务器中包含一动态授权模块,用于根据对第三方应用的安全评估的结果,对第三方应用进行动态授权。
根据本发明的一个方面,所述安全管理服务器中包含一安全评估模块,用于对第三方应用定期发送的其当前的情境信息进行评估,以保障社交网络中各项资源的安全。
根据本发明的一个方面,所述动作审查与日志记录模块还用于记录第三方应用请求接入时间、接入用户身份、接入地点、用户接入后行为,以为数据保护提供事后跟踪的依据。
根据本发明的一个方面,策略管理器,用于在接入认证过程中充当第三方,为第三方应用接入社交网络提供第三方认证。
本发明还提出了一种适于在面向社交网络实现第三方应用植入的网络系统中运行的接入认证方法,所述方法,包括如下步骤:
步骤1:第三方应用向社交网络发出接入请求;
步骤2:社交网络向第三方应用返回鉴别激活信息;
步骤3:第三方应用向社交网络发送鉴别请求信息;
步骤4:社交网络向策略管理器发送证书鉴别请求信息;
步骤5:策略管理器向社交网络返回证书鉴别响应信息;
步骤6:社交网络向第三方应用返回鉴别响应信息;
步骤7:社交网络向第三方应用发送平台鉴别激活信息;
步骤8:第三方应用向社交网络发送平台鉴别请求信息;
步骤9:社交网络向策略管理器发送平台身份校验请求信息;
步骤10:策略管理器向社交网络返回平台身份校验响应信息;
步骤11:社交网络向第三方应用返回平台鉴别响应信息。
为了实现上述信息交互,第三方应用中设置专门的发送/接收模块用于与社交网络和策略管理器进行信息交互,请求的发送、接收和处理由权限请求模块实现。社交网络中设置专门的发送/接收模块用于与第三方应用和策略管理器进行信息交互,鉴别激活、证书鉴别、鉴别响应、平台身份校验等动作由认证服务器实现。
本发明还提出了一种适于在面向社交网络实现第三方应用植入的网络系统中运行的接入认证方法,其中,第三方应用和社交网络间的身份认证用WAPI(WLANAuthentication and Privacy Infrastructure)认证鉴别协议。
根据本发明的一种实施方式,认证方案实施建立在第一次身份认证成功的基础上,由策略管理器验证第三方应用与社交网络间的平台身份证书以及私钥签名,确认平台身份,最后返回双方的验证结果,当第一次认证成功后,第三方应用再次接入社交网络时,无需策略管理器的参与,完成第三方应用和社交网络间的身份认证。
根据本发明的一种实施方式,适于在面向社交网络实现第三方应用植入的网络系统中运行的接入认证方法包括如下步骤:
步骤1:第三方应用向社交网络发出接入请求;
步骤2:社交网络响应第三方应用请求,向第三方应用返回消息包含时间戳TS,随机数R1,N1;
步骤3:第三方应用收到反馈信息后,首先检查TS以防范重放攻击,再用自己的平台身份私钥对平台信息进行签名得到VAR,接着提取自身完整性度量日志LogAR和身份证书CertAR,计算MAR=Hash(VAR︱LogAR︱CertAR),然后计算出加密密钥KRC1=Hash(N1︱KRC),用KRC1对MAR加密{R1,MAR}EKRC1,最后生成随机数R2和N2;
步骤4:第三方应用向社交网络发送消息:R2,N2,{R1,MAR}EKRC1;
步骤5:社交网络根据共享密钥KRC和N1计算出KRC1=Hash(N1︱KRC),之后对{R1,MAR}EKRC1解密,得到MAR;验证R1值后,比较MAR与之前存储的第三方应用平台配置信息哈希值是否一致。验证一致后,同步骤2流程一样,根据自己的平台身份私钥对平台信息进行签名得到VAC,接着提取自身完整性度量日志LogAC和身份证书CertAc,计算MAC=Hash(VAC︱LogAC︱CertAC),然后计算出加密密钥KRC2=Hash(N2︱KRC),用KRC2加密{R2,MAC}EKRC2;
步骤6:社交网络向第三方应用返回消息:{R2,MAC}EKRC2;
步骤7:第三方应用根据共享密钥KRC和N2计算出KRC2=Hash(N2︱KRC),之后对{R2,MAC}EKRC2解密,得到MAC;验证R2值后,比较MAC与之前存储的社交网络平台配置信息哈希值是否一致,结果一致则身份认证成功。
根据本发明的一种实施方式,每一个用户在面向社交网络实现第三方应用植入的网络系统中就是一个拥有唯一ID的对象,对象里有关于爱好的属性,爱好属性有一个列表,并且内置了比较爱好列表的函数。
通过本发明,用户可以方便的通过第三方应用接入社交网络,并且有效保证了社交网络资源数据文件的安全性。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
附图1示出了根据本发明实施方式的面向社交网络实现第三方应用植入的网络系统的一种示意图。
附图2示出了根据本发明实施方式的在面向社交网络实现第三方应用植入的网络系统中运行的接入认证方法的一种示意图。
附图3示出了根据本发明实施方式的第三方应用的用户爱好列表示意图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施方式。虽然附图中显示了本公开的示例性实施方式,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施方式所限制。相反,提供这些实施方式是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别不同对象,而不是用于描述特定顺序。此外,术语“包含”、“”“包括”和“具有”以及它们任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可选地还包括没有列出的步骤或单元,或可选地还包括对于这些过程、方法、产品或设备固有的其他步骤或单元。
在本文中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本发明的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和隐式地理解的是,本文所描述的实施例可以与其它实施例相结合。
对于如何提高第三方应用接入社交网络的安全性,需要考虑第三方应用接入社交网络前、中、后三个不同阶段可能出现的安全问题,并提出合理有效的安全措施。本发明中所述第三方应用和社交网络可以是独立的运行系统,也可以是安装于计算机系统、手机终端、智能终端、平板电脑等设备上的可执行应用产品。所述植入的含义可以是,将第三方应用安装于社交网络中,也可以是将第三方应用接入社交网路中,使得社交网络的用户可以直接连接、运行或者使用第三方应用的各项功能,也可以使得第三方应用的用户可以直接连接、运行或者使用社交网络的各项功能。
本发明着重考虑了以下几个方面:
(1)接入认证。
接入认证,即为第三方应用接入社交网络前,对第三方应用唯一性进行认证。社交网络在第三方应用接入前需要决定:允许什么样的应用接入和允许什么样的应用进行社交网络资源访问。所以用户在第一次使用第三方应用接入社交网络时,需向认证服务器注册,提交个人信息和所用移动设备的类型。注册的目的达到在第三方应用中用户与移动设备的绑定,避免用户滥用非授权的第三方应用接入或是非授权用户使用授权第三方应用接入。
(2)权限分配。
权限分配,即为第三方应用接入社交网络的访问过程中,对第三方应用用户的权限进行分配。社交网络中认证服务器根据第三方应用的安全评估结果来分配权限,不同安全等级状态的第三方应用对社交网络资源的访问权限是不一样的。介于当前复杂的网络环境,用户在对终端设备的使用过程中,往往会忽略对终端设备的病毒查杀,从而导致终端设备极易被恶意代码攻击或者被植入木马。如果不及时有效地查杀病毒,对社交网络的数据信息造成很大的破坏。对第三方应用安全等级状态进行安全评估,即可得出当前第三方应用的安全等级,安全等级不高的第三方应用说明存在安全问题,该终端设备的接入会对社交网络的资源带来极大的威胁。认证服务器根据第三方应用的安全评估结果来分配权限,如果移动终端在访问过程中安装不信任应用、杀毒软件未及时更新、接入地点可疑,则收回第三方应用用户的访问权限。另外规定第三方应用需要定时的进行信息釆集反馈,将釆集的信息交由认证服务器进行访问过程中的安全评估,这样的动态评估授权过程保证社交网络资源安全。
(3)动作审查与日志记录。
动作审查与日志记录,即为第三方应用接入社交网络后,对第三方应用用户的操作进行细粒度审计。尽管第三方应用需要经过严格的身份认证才能顺利接入社交网络,但其通过身份认证并不代表第三方应用的用户行为可信。通过记录第三方应用请求接入时间、接入用户身份、接入地点、用户接入后行为等行为,为数据保护提供事后跟踪的依据。
针对上述所总结的第三方应用接入过程中不同阶段的安全问题,本发明从接入认证、安全评估、动态授权、动作审查与日志记录等几个方面进行设计,提出了第三方应用安全接入的管控方案。
第三方应用安全接入管控的流程大体可分为:首先由第三方应用提出接入请求;然后由认证服务器对第三方应用进行接入认证,即认证第三方应用是否已注册和其合法性;最后第三方应用接入社交网络后,由安全管理服务器对第三方应用进行安全管理,即对第三方应用进行安全评估和动态授权。
根据本发明中的第三方应用安全接入的管控方案,将接入认证过程进一步细分为注册登记阶段和身份认证阶段。
1)注册登记阶段。第三方应用在接入社交网络前,在注册登记时实现用户身份与所使用的设备类型绑定,保证第三方应用的唯一性的同时保证用户身份的合法性,防止非授权用户滥用授权第三方应用设备访问社交网络资源,或者是授权用户使用非授权第三方应用设备访问社交网络资源。
2)身份认证阶段。通过注册的第三方应用用户,需要接入社交网络时,直接向社交网络认证服务器提出接入请求即可。通过接入身份认证之后,再由权限请求模块向动态授权模块发出访问权限请求。
根据第三方应用安全接入的管控方案,将权限分配过程进一步细分为安全评估阶段和动态授权阶段。
1)安全评估阶段。对通过接入认证的第三方应用,如果需要访问社交网络资源,就必须对第三方应用进行安全评估,为后续的权限分配提供准则。安全评估的评估因子是基于第三方应用情境的(移动终端的操作系统、杀毒软件版本、应用程序可信、接入地点等),由第三方应用情境信息釆集模块釆集信息后,交由社交网络安全管理服务器进行判断。
2)动态授权阶段。第三方应用接入社交网络后,在访问社交网络资源的过程中,动态授权模块根据第三方应用的安全评估的结果,对第三方应用进行动态授权。由第三方应用信息釆集模块定期发送其当前的情境信息给社交网络服务器的安全评估模块,最后由动态授权模块给出相应权限。另外,对社交网络资源的访问时还需要定期对第三方应用做出安全评估,并给第三方应用实时分配当前状态下的权限。
根据本发明的一个方面,所述信息采集模块和权限请求模块包含在第三方应用中,它们在物理上相互连接,但逻辑上相互独立;所述认证服务器、安全管理服务器和动作审查与日志记录模块包含在社交网络中,它们在物理上相互连接,但逻辑上相互独立。
接入认证是保证整个第三方应用安全植入的基础,本发明提出了多种改进的接入认证方案,适应不同的安全应用场景。该方案简化认证接入过程,根据需要选择第三方认证机构参与,快速执行第三方应用的接入认证。
接入认证方案的实施例1:
改进的接入认证方案的实施例1中设置了策略管理器,在接入认证过程中充当第三方,为第三方应用接入社交网络提供第三方认证。接入认证方案中存在三个实体:第三方应用(接入请求者AR)、社交网络(接入控制者AC)和策略管理器(PM)。如图2所示。
第三方应用和社交网络为计算平台提供可信密码支撑、平台完整性以及平台身份可信验证功能。第三方应用请求接入社交网络,社交网络控制第三方应用的访问,而第三方应用和社交网络是基于策略管理器来实现两者之间的身份认证和平台认证,策略管理器在认证过程中充当第三方。三个实体之间的交互行为按照如下步骤执行。
步骤1:第三方应用向社交网络发出接入请求;
步骤2:社交网络向第三方应用返回鉴别激活信息;
步骤3:第三方应用向社交网络发送鉴别请求信息;
步骤4:社交网络向策略管理器发送证书鉴别请求信息;
步骤5:策略管理器向社交网络返回证书鉴别响应信息;
步骤6:社交网络向第三方应用返回鉴别响应信息;
步骤7:社交网络向第三方应用发送平台鉴别激活信息;
步骤8:第三方应用向社交网络发送平台鉴别请求信息;
步骤9:社交网络向策略管理器发送平台身份校验请求信息;
步骤10:策略管理器向社交网络返回平台身份校验响应信息;
步骤11:社交网络向第三方应用返回平台鉴别响应信息。
接入认证方案的实施例2:
改进的接入认证方案的实施例2要求第三方应用第一次接入网络时,第三方应用和社交网络间的身份认证用WAPI(WLAN Authentication and Privacy Infrastructure)认证鉴别协议。该认证方案实施建立在第一次身份认证成功的基础上,第一次认证代价较高,由策略管理器验证第三方应用与社交网络间的平台身份证书以及私钥签名,确认平台身份,最后返回双方的验证结果。当第一次认证成功后,第三方应用再次接入社交网络时,无需策略管理器的参与,完成第三方应用和社交网络间的身份认证。
(1)该认证方案实施前需要以下前提:
第一,第三方应用和社交网络双方首先协商得到的认证密钥KRC作为两者间的共享密钥;
第二,第三方应用和社交网络需要保存对方的证书CertAR、CertAC以及对方平台配置信息的哈希值M=Hash(V︱Log︱Cert)。其中,V代表平台信息签名,log代表平台完整性度量日志,Cert代表身份证书。
上文要求的前提,即为在认证前第三方应用与社交网络需要第三方策略管理器参与,以共享双方平台配置信息以及双方证书,该过程按照如下步骤执行。
步骤1:第三方应用向策略管理器发送证书CertAR和哈希值MAR,以发出接入请求;
步骤2:策略管理器将证书CertAR和哈希值MAR封装好发送给社交网络;
步骤3:社交网络向策略管理器发送证书CertAC和哈希值MAC;
步骤4:策略管理器将证书CertAC和哈希值MAC封装好发送给第三方应用。
(2)该认证方案具体过程。
基于WAPI认证鉴别协议的认证方案流程按照如下步骤执行。
步骤1:第三方应用向社交网络发出接入请求;
步骤2:社交网络响应第三方应用请求,向第三方应用返回消息包含时间戳TS,随机数R1,N1,
步骤3:第三方应用收到反馈信息后,首先检查TS以防范重放攻击,再用自己的平台身份私钥对平台信息进行签名得到VAR,接着提取自身完整性度量日志LogAR和身份证书CertAR,计算MAR=Hash(VAR︱LogAR︱CertAR),然后计算出加密密钥KRC1=Hash(N1︱KRC),用KRC1对MAR加密{R1,MAR}EKRC1,最后生成随机数R2和N2;
步骤4:第三方应用向社交网络发送消息:R2,N2,{R1,MAR}EKRC1;
步骤5:社交网络根据共享密钥KRC和N1计算出KRC1=Hash(N1︱KRC),之后对{R1,MAR}EKRC1解密,得到MAR;验证R1值后,比较MAR与之前存储的第三方应用平台配置信息哈希值是否一致。验证一致后,同步骤2流程一样,根据自己的平台身份私钥对平台信息进行签名得到VAC,接着提取自身完整性度量日志LogAC和身份证书CertAc,计算MAC=Hash(VAC︱LogAC︱CertAC),然后计算出加密密钥KRC2=Hash(N2︱KRC),用KRC2加密{R2,MAC}EKRC2;
步骤6:社交网络向第三方应用返回消息:{R2,MAC}EKRC2;
步骤7:第三方应用根据共享密钥KRC和N2计算出KRC2=Hash(N2︱KRC),之后对{R2,MAC}EKRC2解密,得到MAC;验证R2值后,比较MAC与之前存储的社交网络平台配置信息哈希值是否一致,结果一致则身份认证成功。
为了实现上述信息交互,第三方应用中设置专门的发送/接收模块用于与社交网络和策略管理器进行信息交互,请求的发送、接收和处理由权限请求模块实现,。社交网络中设置专门的发送/接收模块用于与第三方应用和策略管理器进行信息交互,鉴别激活、证书鉴别、鉴别响应、平台身份校验等动作由认证服务器实现。
根据本发明的一个方面,社交网络中的认证服务器,可以实现与第三方应用之间的认证处理,包括认证密钥的协商、对方证书、对方平台配置信息的哈希值的储存、处理和计算验证,以及其它的关于认证的相关操作。
根据本发明的一个方面,第三方应用中可以设置专门的认证处理模块,用于实现与社交网络之间的认证处理,包括认证密钥的协商、对方证书、对方平台配置信息的哈希值的储存、处理和计算验证,以及其它的关于认证的相关操作。第三方应用也可以通过权限请求模块实现上述操作和功能。
根据本发明的一个方面,社交网络的优势在于用户可以共享内容(Content),也就是说用户产生的数据较传统的站点将会增加很多。那么如何将用户提交的信息,用户在站点产生的行为归纳过滤为有效的数据归档并加以利用对社交网络来说是非常必要的。
开发者一旦将自己的站点部署在Web应用服务器上,那么Web服务器会保存对页面的访问的日志,这些日志包括了浏览器端日志、注册信息、用户会话信息、交互信息、Cookie信息、鼠标点击事件、用户查询等所有用户与站点之间的交互记录,通过分析这些丰富的数据可以识别用户的忠实度、喜好、满意度甚至可以发现潜在的用户,增强站点的粘合力。
用户产生信息分析主要分以下四个阶段:数据预处理、挖掘算法实施、模式分析、可视化。
使用关联规则进行数据分析和挖掘可以发现大量数据项中项集之间的关联或者相关联系。关联是两个或多个变量取值之间存在的一类重要的可被发现的某种规律性。关联分析的目的是发现给定数据记录集中数据项之间隐藏的关联关系,描述数据之间的密切度。给定一个数据集,挖掘关联规则问题就是产生支持度和置信度分别大于用户给定的最小支持度阈值和最小置信度阈值的关联规则。同时满足最小置信度阈值和最小支持度阈值的关联规则为强关联规则,是有意义的规则。关联规则有助于发现数据库中不同项之间的联系,找出用户行为模式。
关联规则所要解决的问题是发现那些内容是用户喜欢的,用户在看过这些内容以后还会浏览哪些内容,它是发现内部规律的过程,从而使开发人员根据用户的兴趣来安排站点的布局,而达到让用户浏览更多信息的目的。而序列模式所要解决的问题是在用户完成一次信息浏览以后,在以后的满足特定时间约束内,他还会浏览什么信息,是发现信息与信息之间的规律的过程,从而预测用户对什么样的信息更感兴趣。对同一数据库中,序列模式所需要的模式空间要比关联模式所需要的模式空间。
以微信、微博、blog、tag、SNS、RSS、Wiki1等社交网络软件的应用为核心的社会化网络已经成为网络应用的主流。用户参与、互动的平台架构方式,使互联网开始从以数据库为核心到以用户为核心的转变。从本质上是来说当前的互联网是以个人为核心、以交互为重点、以信息的有效活流动为终极目标来重新架构的。
建设社会化站点的依据是“六度分隔”(Six degrees of separation)理论,“你和任何一个陌生人之间所间隔的人不会超过六个,也就是说,最多通过六个人你就能够认识任何一个陌生人。”六度分隔理论的本质就是以认识的朋友为基础,在已有朋友的基础上扩展自己的关系网,从而得到强大而有效的社会资源。根据六度分隔理论,在Web2.0时代,个体通过blog、tag、RSS、Email和IM3等方式连接在一起,每个个体的社交圈得以不断扩大,最终成为一个巨大的社交网络。
六度分隔理论将人际关系网络具体化、数字化,揭示了社会化网络在人际关系网络应用中的无限可能性。但是六度分隔理论只是考虑到了建立关系的可能性,并没有对建立关系的条件、建立关系的质量、建立关系的成本进行评估和考量,这就屏蔽了社交网络在现实操作层面所存在的问题。不同的社交网络在运营策略上是存在一定差异化的,有的平台趋向于用户间强关系的建立,有的平台则趋向于弱关系的建立。前者的理论根据是强关系有利于社会资本的积累,后者则认为弱关系更有利于异质性资本的流动。每一个社交网络都有自己的的社会维系方式,这是社交网络的基本特征和要素之一。
提供在社交网络中植入第三方应用,可以给社交网络带来更大的用户规模。根据概述关系特征的时间量、情感紧密性、熟悉程度和互惠交换等四个标准把关系区分为强关系和弱关系,并提出了一个可行的判断方法,即朋友圈子的重叠程度,当两个人没有关系时,他们的朋友圈子重叠程度最小,关系强时,重叠程度最大,关系弱时,重叠程度适中。
根据信息传播过程中强弱关系所起的不同作用,强关系的组成者的相似度高,他们之间信息的重复性也高,通过强关系传播的信息更可能限制在较小的范围内;弱关系中的信息传播由于经过较长的社会距离,因此能够使信息流行起来。强关系是群体内部的纽带,而弱关系则是群体间的纽带。弱关系因其在信息流通过程中的桥梁作用而被视为个人机会和社交网络整合所必须,强关系因为限制了信息向更大范围的流通而在培育局部的内聚力的同时导致了总体的支离破碎。
综上所述,基于弱关系的共同爱好维系模式不能将用户仅仅定义为某一个群体、或者某一阶层,对消费者习惯和用户网络行为的分析也不再要求精准而是要求模糊化。共同爱好维系模式就是要让不同社会阶层的人群通过社交网络实现社会资源的流动,实现信息的最大化共享和流动。
下面就着重介绍共同爱好模式的实现机制。
假设第三方应用的用户A添加了Movie A、Movie B、Movie D,Music A、Music D、MusicO、Music G,Book A,Book B,Book D;用户B添加了Movie D、Movie E、Movie F,MusicE、Music D、Music G,Book D,Book F,Book G;用户C添加了Movie H,Music H、Music O、Music G,Book G、Book H。则用户A与B分享4项共同爱好,BC、AC分享2两项共同爱好,ABC分享1项共同爱好。用户AB、AC、BC之间都可能成为好友,只是AB成为好友的概率大于AC与BC。事实上,整个好友添加机制就是以品味和爱好为基础架构起来的,用户添加的资料越多,社交网络能够获取的资料越多,也就越能够精确的分析出兴趣爱好接近的用户,进而为他们建立关联,如图3所示。
再假设A、B分别处于社会顶层和社会底层,因为在品味和爱好上的惊人相似成为线上好友。他们通过Book、Movie、Music、Group和mini-blog建立广泛的联系,并在不断的交流中增进信息的交流。可以假设在此阶段,A完全可能因为私人原因轻松的介绍一个工作机会给B,而B抓住该工作机会并在一段时间之后顺利的实现了由底层社会向顶层社会的流动。从完整的交友过程来看,B实际上通过第三方应用和社交网络利用文化资本有效实现了社会资本的增长,换言之,A与B之间由于社交网络所生产的“弱”关系给予了A切实有效的信息帮助。
每一个用户在面向社交网络实现第三方应用植入的网络系统中就是一个拥有唯一ID的对象,对象里有关于爱好的属性,爱好属性实际上是一个列表,通过公开接口提供给面向社交网络实现第三方应用植入的网络系统,并且内置了比较爱好表的函数。如果社交网络收集到多个用户的爱好列表,那么返回的一个新列表中的元素就是这两个用户的共同爱好,返回值为空则代表没有共同爱好。
社交网络希望使用所有可用的资源向用户提供最具效果的内容。特别是,植入的第三方应用希望向用户显示在某种程度上是针对该用户进行定位或个性化的,从而吸引用户的兴趣。为进一步增强植入的第三方应用对用户的吸引力,与用户社交网络相关联的内容可以与植入的第三方应用相结合或以其他方式一同呈现。第三方应用允许用户在应用呈现时执行各种操作。例如,用户可能希望表明其喜欢某一类型的新闻、某种游戏或希望向其家人和朋友推荐此应用。
对于在社交网络中与该用户相关联的其他用户而言,此类指示是有用信息,因为他们可能在看到某一用户收到积极的反馈或被其他用户推荐后,更有兴趣进一步了解相关的内容。但是,当诸如此类的第三方应用程序呈现给用户时,提供一些机制来防止第三方应用程序代表用户执行操作,这一点至关重要。如果不采取有效的保护措施,恶意的第三方应用程序可能会生成看似真实,实则与用户所执行的操作毫无关联的用户指示。
植入的第三方应用可以包含于社交网络系统设计环境中,或者集成到社交网络系统的应用商店(AppStore),或者直接从第三方应用供应商(通过或不通过AppStore)获得第三方应用,这将提供实际安装模块,或者激活或访问码。
第三方应用的后台业务元件可以包括例如数据库通信、外部更新选项等的功能。例如,博客第三方应用可以包括后台业务元件,其允许从非人类来源(例如,从主要新闻服务馈送的RSS新闻)接收更新,以及从与网站不相关的人类资源(例如,允许提交博客条目的独立智能电话应用)接收更新。
可以通过多种方式将第三方应用的视觉元件集成到社交网络中。微件型第三方应用可以作为部件嵌入到社交网络页面中,而区段型第三方应用可以作为一个或多个额外页面而被添加到社交网络网站上。
此外,第三方应用(微件和区段)可以是单页面第三方应用或多页面第三方应用(其具有表示为内部URL结构的内部迷你页面)。系统可以实现四种可能组合(微件或区段,单页面或多页面)的任一种或全部。
多页面第三方应用通常提供默认的“着陆”迷你页面,其可以是开始页面、特定的内部迷你页面(例如,在博客第三方应用中最近的博客条目)。迷你页面选择屏幕或一些其它迷你页面。
第三方应用实例可以具有实例特有内容。例如,电子商店第三方应用可以具有与特定实例相关联的产品数据库,其与和同一电子商店第三方应用(在相同站点或其它站点)的其它实例相关联的产品数据库不同。
第三方应用通常部署于与社交网络系统相关的供应商服务器上、在第三方应用供应商服务器上、在外部(第四方)服务器上、或其任意组合。第三方应用还可以包括实际在终端用户机器上运行的元件,例如,静态安装的浏览器扩展或在社交网络客户端侧代码内运行的动态运行JavaScript部件。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本发明所必须的。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置,可通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储器中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储器中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储器包括:U盘、只读存储器(read-only memory,ROM)、随机存取存储器(random access memory,RAM)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,该程序可以存储于一计算机可读存储器中,存储器可以包括:闪存盘、只读存储器(read-only memory,ROM)、随机存取器(random accessmemory,RAM)、磁盘或光盘等。
以上对本发明实施例进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (5)
1.一种在面向社交网络实现第三方应用植入的网络系统中运行的接入认证方法,适用于安全地将第三方应用植入社交网络,其特征在于,所述面向社交网络实现第三方应用植入的网络系统包含:
信息采集模块,用于定时的进行信息釆集反馈,将釆集的信息交由社交网络进行访问过程中的安全评估;
权限请求模块,用于根据需要向社交网络发出访问权限请求;
信息采集模块和权限请求模块包含在第三方应用中;
认证服务器,用于接收第三方应用的接入请求,并对第三方应用的用户的个人信息和所用移动设备的类型进行注册和认证,认证第三方应用是否己注册和其合法性;
策略管理器,用于在接入认证过程中充当第三方,为第三方应用接入社交网络提供第三方认证;
安全管理服务器,用于对第三方应用进行安全管理,对第三方应用上报的信息进行安全评估;
动作审查与日志记录模块,用于当第三方应用接入社交网络后,对第三方应用用户的操作进行细粒度审计;
第三方应用和社交网络间的身份认证用WAPI(WLAN Authentication and PrivacyInfrastructure)认证鉴别协议;
所述方法包括:
步骤1:第三方应用向社交网络发出接入请求;
步骤2:社交网络响应第三方应用请求,向第三方应用返回消息包含时间戳TS,随机数R1,N1;
步骤3:第三方应用收到反馈信息后,首先检查TS以防范重放攻击,再用自己的平台身份私钥对平台信息进行签名得到VAR,接着提取自身完整性度量日志;
LogAR和身份证书CertAR,计算MAR=Hash(VAR︱LogAR︱CertAR),然后计算出加密密钥KRC1=Hash(N1︱KRC),用KRC1对MAR加密{R1,MAR}EKRC1,最后生成随机数R2和N2;
步骤4:第三方应用向社交网络发送消息:R2,N2,{R1,MAR}EKRC1;
步骤5:社交网络根据共享密钥KRC和N1计算出KRC1=Hash(N1︱KRC),之后对{R1,MAR}EKRC1解密,得到MAR;验证R1值后,比较MAR与之前存储的第三方应用平台配置信息哈希值是否一致;验证一致后,同步骤2流程一样,根据自己的平台身份私钥对平台信息进行签名得到VAC,接着提取自身完整性度量日志LogAC和身份证书CertAc,计算MAC=Hash(VAC︱LogAC︱CertAC),然后计算出加密密钥KRC2=Hash(N2︱KRC),用KRC2加密{R2,MAC}EKRC2;
步骤6:社交网络向第三方应用返回消息:{R2,MAC}EKRC2;
步骤7:第三方应用根据共享密钥KRC和N2计算出KRC2=Hash(N2︱KRC),之后对{R2,MAC}EKRC2解密,得到MAC;验证R2值后,比较MAC与之前存储的社交网络平台配置信息哈希值是否一致,结果一致则身份认证成功;
接入认证方法的实施建立在第一次身份认证成功的基础上,由策略管理器验证第三方应用与社交网络间的平台身份证书以及私钥签名,确认平台身份,最后返回双方的验证结果,当第一次认证成功后,第三方应用再次接入社交网络时,无需策略管理器的参与,完成第三方应用和社交网络间的身份认证。
2.如权利要求1所述的方法,其特征在于:
所述认证服务器中包含一动态授权模块,用于根据对第三方应用的安全评估的结果,对第三方应用进行动态授权。
3.如权利要求1所述的方法,其特征在于:
所述安全管理服务器中包含一安全评估模块,用于对第三方应用定期发送的其当前的情境信息进行评估,以保障社交网络中各项资源的安全。
4.如权利要求1所述的方法,其特征在于:
所述动作审查与日志记录模块还用于记录第三方应用请求接入时间、接入用户身份、接入地点、用户接入后行为,以为数据保护提供事后跟踪的依据。
5.如权利要求1所述的方法,其特征在于:
每一个用户在面向社交网络实现第三方应用植入的网络系统中就是一个拥有唯一ID的对象,对象里有关于爱好的属性,爱好属性有一个列表,并且内置了比较爱好列表的函数。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711141480.3A CN107911282B (zh) | 2017-11-15 | 2017-11-15 | 一种面向社交网络实现第三方应用植入的网络系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711141480.3A CN107911282B (zh) | 2017-11-15 | 2017-11-15 | 一种面向社交网络实现第三方应用植入的网络系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107911282A CN107911282A (zh) | 2018-04-13 |
| CN107911282B true CN107911282B (zh) | 2021-11-16 |
Family
ID=61845909
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711141480.3A Active CN107911282B (zh) | 2017-11-15 | 2017-11-15 | 一种面向社交网络实现第三方应用植入的网络系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107911282B (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108509560B (zh) * | 2018-03-23 | 2021-04-09 | 广州杰赛科技股份有限公司 | 用户相似度获得方法和装置、设备、存储介质 |
| CN108601024B (zh) * | 2018-05-10 | 2019-08-30 | 句容沣润塑料制品有限公司 | 一种轻量级身份认证及平台鉴别评估方法 |
| CN110505262B (zh) * | 2018-05-18 | 2022-04-29 | 深信服科技股份有限公司 | 云环境下的动态微分段方法、系统、云服务器及存储介质 |
| CN109784895A (zh) * | 2018-12-12 | 2019-05-21 | 四川商通实业有限公司 | 多线上商户单平台的统一接入方法及其系统 |
| CN110047591B (zh) * | 2019-04-23 | 2023-02-21 | 吉林大学 | 一种针对外科手术过程中医生姿态评估方法 |
| CN113691671B (zh) * | 2021-07-15 | 2022-11-29 | 荣耀终端有限公司 | 安全信息的开放方法、系统及电子设备 |
| CN113923034B (zh) * | 2021-10-13 | 2022-08-26 | 湖南宸瀚科技有限公司 | 一种联网设备监管认证系统及方法 |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8613109B2 (en) * | 2009-12-03 | 2013-12-17 | At&T Intellectual Property I, L.P. | Method and apparatus for providing mobile social networking privacy |
| US10318941B2 (en) * | 2011-12-13 | 2019-06-11 | Visa International Service Association | Payment platform interface widget generation apparatuses, methods and systems |
| CN102630082A (zh) * | 2012-04-11 | 2012-08-08 | 中兴通讯股份有限公司 | 一种社交网络实现方法、系统及业务平台 |
| US9055050B2 (en) * | 2012-06-27 | 2015-06-09 | Facebook, Inc. | User authentication of applications on third-party devices via user devices |
| US9602949B2 (en) * | 2013-12-11 | 2017-03-21 | Capital One Financial Corporation | Systems and methods for populating online applications using third party platforms |
| CN104967597B (zh) * | 2014-11-04 | 2018-05-18 | 深圳市腾讯计算机系统有限公司 | 一种基于安全渠道的第三方应用消息鉴权方法及系统 |
| CN105681259A (zh) * | 2014-11-20 | 2016-06-15 | 中兴通讯股份有限公司 | 一种开放授权方法、装置及开放平台 |
| US9781092B2 (en) * | 2015-08-26 | 2017-10-03 | Facebook, Inc. | Authenticating users to media-player devices on online social networks |
| CN105187431B (zh) * | 2015-09-17 | 2019-02-12 | 网易(杭州)网络有限公司 | 第三方应用的登录方法、服务器、客户端及通信系统 |
| US9729536B2 (en) * | 2015-10-30 | 2017-08-08 | Bank Of America Corporation | Tiered identification federated authentication network system |
-
2017
- 2017-11-15 CN CN201711141480.3A patent/CN107911282B/zh active Active
Non-Patent Citations (1)
| Title |
|---|
| 社交网络安全问题及其解决方案;刘建伟等;《中国科学技术大学学报》;20110715(第07期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107911282A (zh) | 2018-04-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107911282B (zh) | 一种面向社交网络实现第三方应用植入的网络系统 | |
| Kayes et al. | Privacy and security in online social networks: A survey | |
| US10749676B2 (en) | Distributed consent protecting data across systems and services | |
| Nath et al. | Web 1.0 to Web 3.0-Evolution of the Web and its various challenges | |
| US8429545B2 (en) | System, method, and computer program product for presenting an indicia of risk reflecting an analysis associated with search results within a graphical user interface | |
| US8516377B2 (en) | Indicating Website reputations during Website manipulation of user information | |
| US9384345B2 (en) | Providing alternative web content based on website reputation assessment | |
| US7765481B2 (en) | Indicating website reputations during an electronic commerce transaction | |
| US7822620B2 (en) | Determining website reputations using automatic testing | |
| US20140331119A1 (en) | Indicating website reputations during user interactions | |
| US20060253584A1 (en) | Reputation of an entity associated with a content item | |
| US20060253583A1 (en) | Indicating website reputations based on website handling of personal information | |
| US20060253582A1 (en) | Indicating website reputations within search results | |
| Shehab et al. | Recommendation models for open authorization | |
| Kayes et al. | A survey on privacy and security in online social networks | |
| Kumar et al. | Online social network security: a comparative review using machine learning and deep learning | |
| TW201928750A (zh) | 比對伺服器、比對方法及電腦程式 | |
| Shehab et al. | ROAuth: Recommendation based open authorization | |
| CN114117264A (zh) | 基于区块链的非法网站识别方法、装置、设备及存储介质 | |
| Jethava et al. | Exploring security and trust mechanisms in online social networks: An extensive review | |
| Jethava et al. | A novel defense mechanism to protect users from profile cloning attack on online social networks (osns) | |
| CN112836186A (zh) | 一种页面控制方法及装置 | |
| Chan et al. | Private blockchain for visitor authentication and access control | |
| Alvarado et al. | It’s your data: A blockchain solution to Facebook’s data stewardship problem | |
| Stokkink | Systems for Digital Self-Sovereignty |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20211026 Address after: 311100 room 402-2, building 3, No. 1324, Wenyi West Road, Cangqian street, Yuhang District, Hangzhou City, Zhejiang Province Applicant after: Hangzhou xinshixiang technology and Culture Co.,Ltd. Address before: 511340 13, Qu Dong three lane, dun village, Xintang Town, Zengcheng District, Guangzhou, Guangdong. Applicant before: GUANGZHOU BAIXING NETWORK TECHNOLOGY Co.,Ltd. |
|
| TA01 | Transfer of patent application right | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |