用户标识获取方法、系统及设备的制作方法

文档序号:7851609阅读:239来源:国知局
专利名称:用户标识获取方法、系统及设备的制作方法
技术领域
本发明涉及通信技木,尤其涉及一种用户标识获取方法、系统及设备。
背景技术
移动互联网用户通过用户終端上网时,用户终端里面有一张运营商的全球用户识别卡(Universal Subscriber Identity Module, USIM),该 USIM 卡分配有一个可卩隹一标识移动用户的号码(可称为用户标识),例如手机号码。当前,很多服务都关联了用户终端的手机号码,并把手机号码作为用户身份验证的关键信息之一。如果应用服务器能够获取用户终端的手机号码,可以将该手机号码作为用户的鉴权信息,这样可以简化对用户身份的验证。目前,已有运营商在蜂窝数据网络中串联鉴权平台,例如无线应用协议(Wireless Application Protocol, WAP)网关或者服务控制网关(Service control Gateway, SCG)平台,当用户终端的超文本传输协议(Hypertext Transport Protocol, HTTP)协议报文经过鉴权平台吋,鉴权平台分析该HTTP协议报文,并修改该HTTP协议报文的包头使之増加一个用户手机号码域并在该手机号码域中添加用户终端的手机号码,然后将用户终端的HTTP协议报文发送给应用服务器。当应用服务器收到HTTP协议报文时可以从HTTP头中获得用户终端的手机号码并用于对用户进行身份鉴权。在上述方法中,应用服务器在收到HTTP协议报文吋,无法确定HTTP协议报文中的手机号码域是蜂窝数据网络中的鉴权平台插入的,还是由用户通过用户终端伪造了ー个手机号码域并插入HTTP协议报文中然后经过其他网络发送给应用服务器的,由此可见,目前使用手机号码对用户进行身份鉴权的方法无法保证HTTP协议报文中的手机号码的合法性,容易造成应用服务器的服务或信息被冒用,给应用服务器带来安全隐患。

发明内容
本发明提供一种用户标识获取方法、系统及设备,用以实现了对用户标识的合法性的验证,解决应用服务器的安全隐患问题。本发明一方面提供一种用户标识获取方法,包括鉴权平台接收应用服务器发送的获取请求报文,所述获取请求报文是所述应用服务器在接收到用户终端发送的用于请求鉴权的超文本传输协议HTTP请求报文后发送的,所述获取请求报文包括鉴权过程对应的鉴权标识;所述鉴权平台判断所述获取请求报文中的鉴权标识是否存在于预先生成的用户标识和鉴权标识的对应关系中;当判断结果为是时,所述鉴权平台向所述应用服务器返回所述获取请求报文中的鉴权标识对应的用户标识。本发明另一方面提供一种鉴权平台,包括第一接收模块,用于接收应用服务器发送的获取请求报文,所述获取请求报文是所述应用服务器在接收到用户终端发送的用于请求鉴权的超文本传输协议HTTP请求报文后发送的,所述获取请求报文包括鉴权过程对应的鉴权标识;第一判断模块,用于判断所述获取请求报文中的鉴权标识是否存在于预先生成的用户标识和鉴权标识的对应关系中;第一发送模块,用于在所述第一判断模块的判断结果为是时,向所述应用服务器返回所述获取请求报文中的鉴权标识对应的用户标识。本发明又一方面提供一种用户終端,包括第二生成模块,用于根据鉴权过程对应的鉴权标识,生成用于请求鉴权的超文本传输协议HTTP请求报文,所述用于请求鉴权的HTTP请求报文包括所述鉴权过程对应的鉴权标识; 第二发送模块,用于将所述用于请求鉴权的HTTP请求报文发送给应用服务器,以使所述应用服务器在接收到所述用于请求鉴权的HTTP请求报文后向鉴权平台发送获取请求报文,以获取所述用户終端对应的用户标识。本发明又一方面提供ー种应用服务器,包括第三接收模块,用于接收用户终端发送的用于请求鉴权的超文本传输协议HTTP请求报文,所述用于请求鉴权的HTTP请求报文包括鉴权过程对应的鉴权标识;第三生成模块,用于根据所述用于请求鉴权的HTTP请求报文中所述鉴权过程对应的鉴权标识,生成获取请求报文,所述获取请求报文包括所述鉴权过程对应的鉴权标识;第四发送模块,用于将所述获取请求报文发送给鉴权平台,以使所述鉴权平台判断所述获取请求报文中的鉴权标识是否存在于预先生成的用户标识和鉴权标识的对应关系中,并在判断结果为是时向所述应用服务器返回所述获取请求报文中的鉴权标识对应的用户标识;第四接收模块,用于接收所述鉴权平台返回的所述用户标识。本发明又一方面提供一种用户标识获取系统,包括本发明提供的任一用户终端、本发明提供的任一鉴权平台和本发明提供的任ー应用服务器。由上述可见,本发明技术方案应用服务器在接收到用户终端的HTTP请求报文后,向鉴权平台发送携帯有鉴权过程对应的鉴权标识的获取请求报文,由鉴权平台判断预先生成的用户标识和鉴权标识的对应关系中是否存在获取请求报文中的鉴权标识,当判断结果为存在吋,将该获取请求报文中的鉴权标识对应的用户标识发送给应用服务器,保证应用服务器获取到的用户标识的合法性,保证了应用服务器提供的服务或信息的安全性,解决了因应用服务器无法确定获取到的用户标识的合法性给应用服务器造成的安全隐患问题。


图I为本发明一实施例提供的用户标识获取方法的流程图;图2为本发明另ー实施例提供的用户标识获取方法的流程图;图3为本发明又一实施例提供的用户标识获取方法的流程图;图4为本发明一实施例提供的鉴权平台的结构示意图;图5A为本发明另ー实施例提供的鉴权平台的结构示意图5B为本发明一实施例提供的鉴权平台、SGSN、GGSN以及应用服务器构成的并联结构的网络架构的示意图;如图6为本发明一实施例提供的用户终端的结构示意图;图7为本发明一实施例提供的应用服务器的结构示意图;图8为本发明另ー实施例提供的应用服务器的结构示意图;图9为本发明一实施例提供的用户标识获取系统的结构示意图。
具体实施例方式在本发明以下各实施例中,用户标识可以是任何可唯一标识移动用户的号码,例如用户终端的USIM中分配的手机号码,公共电话网交換网络编号计划中的移动用户国际 号码(Mobile Subscriber International ISDN/PSTN number, MSI SDN)等。本发明各实施例主要适用于蜂窝数据网络环境,例如用户终端通过通用分组无线服务技术(General Packet Radio Service, GPRS)或者3G上网的环境,但不限于此。例如,用户终端通过家庭宽带等其他方式上网的应用环境也可以采用本发明以下实施例的技术方案来获取用户标识,其区别在于由于上网方式以及网络架构的不同,下面各实施例中的PDP报文、网关GPRS支持节点(Gateway GPRS Support Node,GGSN)和通用分组无线服务技术(General Packet Radio Service, GPRS)服务支持节点(Serving GPRS Support Node,SGSN)需要做适应性替换。本发明以下各实施例均以蜂窝数据网络环境为例进行说明。图I为本发明一实施例提供的用户标识获取方法的流程图。如图I所示,本实施例的方法包括步骤101、鉴权平台接收应用服务器发送的获取请求报文,所述获取请求报文是应用服务器在接收到用户终端发送的用于请求鉴权的HTTP请求报文后发送的,所述获取请求报文包括鉴权过程对应的鉴权标识。本实施例的鉴权平台并不像现有技术中的鉴权平台那样串联在蜂窝数据网络中。可选的,本实施例的鉴权平台可以部署在蜂窝数据网络中,鉴权平台的一端连接于SGSN和GGSN之间,另一端与应用服务器连接,从连接形式上构成ー种与蜂窝数据网络并联的结构。在本实施例中,用户終端通过HTTP协议与应用服务器进行交互。用户終端发送给应用服务器的报文,包括HTTP协议报文和HTTP数据报文,是经过SGSN和GGSN传输到应用服务器。具体的,SGSN要完成报文的路由转发、移动性管理、会话管理、逻辑链路管理、鉴权和加密、话单产生和输出等功能。GGSN起网关作用,它可以和多种不同的数据网络连接,把蜂窝数据网络中的报文进行协议转换,从而可以把这些报文传送到远端的TCP/IP或X. 25网络,使得经协议转换后的报文被传输给应用服务器。在本实施例中,用户终端发送给应用服务器的用于请求鉴权的HTTP请求报文也通过SGSN和GGSN到达应用服务器。所述用于请求鉴权的HTTP请求报文是ー种HTTP请求报文,该用于请求鉴权的HTTP请求报文通过携带鉴权过程对应的鉴权标识,以使应用服务器获知需要通过与鉴权平台进行交互获取用户终端对应的用户标识进而将获取的用户标识作为鉴权信息对用户终端进行鉴权。具体的,应用服务器在接收到用户终端发送的用于请求鉴权的HTTP请求报文后,向鉴权平台发送获取请求报文,并在获取请求报文中携带鉴权过程对应的鉴权标识。
其中,不同鉴权过程对应的鉴权标识不同。可选的,鉴权过程对应的鉴权标识可以是预先确定的,也可以是应用服务器在用户终端请求服务且需要对用户终端进行鉴权的情况下实时为此次鉴权过程分配的。其中,无论鉴权标识是预先确定还是由应用服务器为鉴权过程实时分配的,该鉴权标识都具有唯一'丨生,卩隹ー对应一次鉴权过程,或者说ー个会话(Session)。当一个用户终端多次访问应用服务器时,如果每次访问过程都需要对用户终端进行鉴权,则每次访问过程中的鉴权过程都会唯一对应ー个鉴权标识。可选的,应用服务器可以从接收到的用于请求鉴权的HTTP请求报文中获取鉴权过程对应的鉴权标识,然后将获取的鉴权过程对应的鉴权标识封装到获取请求报文中发送给鉴权平台。步骤102、鉴权平台判断获取请求报文中的鉴权标识是否存在于预先生成的用户标识和鉴权标识的对应关系中;如果判断结果为是,执行步骤103 ;如果判断结果为否,执 行步骤104。在本实施例中,鉴权平台预先生成了用户标识和鉴权标识的对应关系,该对应关系中存储有用户终端对应的用户标识和鉴权过程对应的鉴权标识。其中,鉴权平台存储的对应关系中的用户标识都是合法的用户标识。可选的,如果鉴权过程对应的鉴权标识是预先确定的,则对用户终端、鉴权平台和应用服务器来说都会预先存储鉴权过程对应的鉴权标识,基于此,鉴权平台可以预先生成各用户终端对应的用户标识和鉴权过程对应鉴权标识的对应关系。可选的,如果鉴权过程对应的鉴权标识是应用服务器在用户终端请求服务的过程中实时分配的,则鉴权平台可以在用户终端请求服务的过程中获取应用服务器分配的鉴权标识,并生成用户终端对应的用户标识和所分配的鉴权标识的对应关系。鉴权平台在用户终端请求服务的过程中获取应用服务器分配的鉴权标识的过程根据用户终端请求服务的过程的不同而不同。其中,鉴权平台可以在用户终端通过蜂窝数据网络进行拨号上网时,获得并分析分组数据协议(Packet Data Protocol,TOP)报文,从PDP报文中获取用户终端对应的用户标识。具体的,鉴权平台接收到应用服务器发送的获取请求报文后,将获取请求报文中的鉴权标识与本地存储的用户标识和鉴权标识的对应关系中进行查找,以判断获取请求报文中的鉴权标识是否存在于用户标识和鉴权标识的对应关系中。步骤103、鉴权平台向应用服务器返回获取请求报文中的鉴权标识对应的用户标识。当鉴权平台判断出获取请求报文中的鉴权标识存在于用户标识和鉴权标识的对应关系中时,鉴权平台向应用服务器返回获取请求报文中的鉴权标识对应的用户标识。由于鉴权平台上存储的对应关系中的用户标识都是合法的,因此,如果获取请求报文中的鉴权标识存在于所述对应关系中,意味着该鉴权标识对应的用户标识是合法的。步骤104、鉴权平台向应用服务器返回获取失败报文。当鉴权平台判断出获取请求报文中的鉴权标识不存在于用户标识和鉴权标识的对应关系中吋,向应用服务器返回获取失败报文。
可选的,获取失败报文可携帯失败原因等信息。其中,步骤104为一可选步骤。例如,当鉴权平台判断出获取请求报文中的鉴权标识不存在于用户标识和鉴权标识的对应关系中时,可以结束操作,即不向应用服务器返回任何报文。由上述可见,在本实施例中,应用服务器在接收到用户终端发送的请求鉴权的HTTP请求报文后,向鉴权平台发送获取请求报文,并在获取请求报文中携帯与鉴权过程唯ー对应的鉴权标识,鉴权平台判断获取请求报文中的鉴权标识是否存在于用户标识和鉴权标识的对应关系中,并在判断结果为存在时将获取请求报文中的鉴权标识对应的用户标识提供给应用服务器,由于鉴权平台上存在的用户标识都是合法的,因此解决了现有技术中 应用服务器无法确定获取到的用户终端对应的用户标识的合法性的问题,进而解决了因无法确定用户终端对应的用户标识的合法性给应用服务器带来安全隐患的问题,提高了应用服务器提供的服务或信息的安全性。图2为本发明另ー实施例提供的用户标识获取方法的流程图。如图2所示,本实施例的方法包括步骤201、鉴权平台获取用户终端拨号上网时的PDP报文,从PDP报文中获取用户终端的用户标识和用户终端的IP地址。在本实施例中,鉴权平台的一端连接于SGSN和GGSN之间,另一端与应用服务器连接,从连接形式上构成ー种与蜂窝数据网络并联的结构。该结构与现有技术中鉴权平台必须串联在蜂窝数据网络中的结构相比,可以提高网络的可靠性,例如如果鉴权平台出现故障而断开,不会导致用户上网的中断。 在本实施例中,用户终端以拨号方式接入互联网(Internet),例如TCP/IP或X. 25网络。具体的,用户终端首先向SGSN进行鉴权,鉴权通过后,用户终端向GGSN发送PDP激活报文,该PDP激活报文携帯用户终端对应的用户标识,SGSN向用户终端返回PDP激活应答报文,PDP激活应答报文携带有SGSN分配给用户终端的IP地址。其中,所述PDP报文包括PDP激活报文和PDP激活应答报文。在上述过程中,鉴权平台可以从SGSN和GGSN之间的通道上,以分光方式获取上述PDP报文。所述分光方式是指将PDP报文复制为两路,一路从SGSN流向GGSN或从GGSN流向SGSN,一路从SGSN或GGSN流向鉴权平台以供鉴权平台获取用户终端的IP地址和对应的用户标识。具体的,PDP激活报文被复制为两路,一路从SGSN流向GGSN,一路从SGSN流向鉴权平台,鉴权平台从PDP激活报文中获取用户終端对应的用户标识。PDP激活应答报文被复制为两路,一路从GGSN流向SGSN,一路从GGSN流向鉴权平台,鉴权平台从PDP激活应答报文中获取用户终端的IP地址。其中,SGSN和GGSN之间的通道可以称为Gn ロ。
步骤202、鉴权平台获取用户终端发送给应用服务器的用于请求鉴权的HTTP请求报文,从用于请求鉴权的HTTP请求报文中获取用户终端的IP地址和鉴权过程对应的鉴权标识。在本实施例中,用户終端通过HTTP协议与应用服务器进行交互。用户終端发送给应用服务器的报文,包括HTTP协议报文和HTTP数据报文,是经过SGSN和GGSN传输到应用服务器。
具体的,用户终端拨号上网后,向应用服务器发送用于请求鉴权的HTTP请求报文,用于请求鉴权的HTTP请求报文经SGSN和GGSN传输到应用服务器。该用于请求鉴权的HTTP请求报文通过携带鉴权过程对应的鉴权标识,以使应用服务器获知需要通过与鉴权平台进行交互获取用户终端对应的用户标识进而将获取的用户标识作为鉴权信息对用户终端进行鉴权。在上述过程中,鉴权平台可以从SGSN和GGSN之间的通道上,以分光方式获取上述用于请求鉴权的HTTP请求报文。其中,该用于请求鉴权的HTTP请求报文还携带有用户终端的IP地址。具体的,这里的分光方式是指用于请求鉴权的HTTP请求报文被复制为两路,一路从SGSN流向GGSN,进而流向应用服务器,另一路从SGSN流向鉴权平台。具体的,鉴权平台在获取到用于请求鉴权的HTTP请求报文,从中获取用户终端的IP地址和鉴权过程对应的鉴权标识。可选的,鉴权过程对应的鉴权标识可以是预先确定的,也可以是应用服务器在用户终端请求服务时实时为鉴权过程分配的。其中,无论鉴权标识是预先确定还是由应用服 务器为鉴权过程实时分配的,该鉴权标识都具有唯一性,唯一对应一次鉴权过程,或者说ー个会话(Session)。步骤203、鉴权平台根据用户终端的IP地址,将用户终端对应的用户标识和鉴权过程对应的鉴权标识进行关联生成用户标识和鉴权标识的对应关系。具体的,鉴权平台在获取到用户终端的IP地址、鉴权过程对应的鉴权标识和用户終端对应的用户标识后,可以根据用户终端的IP地址,将用户终端对应的用户标识和鉴权过程对应的鉴权标识进行关联,生成用户标识和鉴权标识的对应关系。步骤204、鉴权平台接收应用服务器发送的获取请求报文,获取请求报文是应用服务器在接收到用户终端发送的用于请求鉴权的HTTP请求报文后发送的,获取请求报文包括鉴权过程对应的鉴权标识。具体的,用户终端发送的用于请求鉴权的HTTP请求报文一路到达鉴权平台,另ー路会经SGSN和GGSN到达应用服务器,而应用服务器会接收到用户终端发送的用于请求鉴权的HTTP请求报文。然后,应用服务器向鉴权平台发送获取请求报文,并在获取请求报文中携带鉴权过程对应的鉴权标识。可选的,应用服务器可以从接收到的用于请求鉴权的HTTP请求报文中获取鉴权过程对应的鉴权标识,然后将获取的鉴权过程对应的鉴权标识封装到获取请求报文中发送给鉴权平台。步骤205、鉴权平台判断获取请求报文中的鉴权标识是否存在于预先生成的用户标识和鉴权标识的对应关系中;如果判断结果为是,执行步骤206 ;如果判断结果为否,执行步骤207。在本实施例中,鉴权平台在用于请求鉴权的HTTP请求报文到达应用服务器之前,通过获取用户终端发送的PDP报文和用于请求鉴权的HTTP请求报文,从中获取用户终端的IP地址、用户终端对应的用户标识和鉴权过程对应的鉴权标识,并生成用户标识和鉴权标识的对应关系;然后基于生成的对应关系和获取请求报文中的鉴权标识判断应用服务器通过获取请求报文请求获取的用户标识是否合法,也就是判断获取请求报文中的鉴权标识是否存在于所述对应关系中的过程。
具体的,鉴权平台接收到应用服务器发送的获取请求报文后,将获取请求报文中的鉴权标识与本地存储的用户标识和鉴权标识的对应关系中进行查找,以判断获取请求报文中的鉴权标识是否存在于用户标识和鉴权标识的对应关系中。该实施方式从用户終端与应用服务器的交互过程中的报文中获取相关信息并生成用户标识和鉴权标识之间的对应关系,具有实现简単,成本较低的优势。步骤206、鉴权平台向应用服务器返回获取请求报文中的鉴权标识对应的用户标识。当鉴权平台判断出获取请求报文中的鉴权标识存在于用户标识和鉴权标识的对应关系中时,鉴权平台向应用服务器返回获取请求报文中的鉴权标识对应的用户标识。由于鉴权平台上存储的对应关系中的用户标识都是合法的,因此,如果获取请求报文中的鉴 权标识存在于所述对应关系中,意味着该鉴权标识对应的用户标识是合法的。步骤207、鉴权平台向应用服务器返回获取失败报文。当鉴权平台判断出获取请求报文中的鉴权标识不存在于用户标识和鉴权标识的对应关系中吋,向应用服务器返回获取失败报文。可选的,获取失败报文可携帯失败原因等信息。其中,步骤207为一可选步骤。例如,当鉴权平台判断出获取请求报文中的鉴权标识不存在于用户标识和鉴权标识的对应关系中时,可以结束操作,即不向应用服务器返回任何报文。由上述可见,在本实施例中,鉴权平台根据用户終端向应用服务器请求服务过程中的交互报文中携帯的有关信息,预先生成用户标识和鉴权标识的对应关系,然后在接收到应用服务器发送的获取请求报文后,判断获取请求报文中携帯与鉴权过程唯一对应的鉴权标识是否存在于本地存储的用户标识和鉴权标识的对应关系中,并在判断结果为是时将用户终端对应的用户标识提供给应用服务器。现有技术中,鉴权平台串联在GGSN之后,通过在HTTP请求报文的头部添加用户标识域携帯用户标识,而在本实施例中,用户终端对应的用户标识并未添加在HTTP请求报文中,而是由应用服务器主动去鉴权平台获取,而鉴权平台上存储的用户标识否是合法的,因此不存在伪造用户标识域携帯用户标识的问题,也就不存在用户标识被冒用的问题;在本实施例中,如果获取请求报文中的鉴权标识存在于所述对应关系中,说明该鉴权标识对应的用户标识就是合法的,保证了应用服务器获取到的用户终端对应的用户标识是合法的,反之,应用服务器不会获取到用户终端对应的用户标识,解决了应用服务器无法确定获取到的用户终端对应的用户标识的合法性的问题,进而解决了因无法确定用户終端对应的用户标识的合法性给应用服务器带来安全隐患的问题,提高了应用服务器提供的服务或信息的安全性。图3为本发明又一实施例提供的用户标识获取方法的流程图。如图3所示,本实施例的方法包括步骤300、用户终端进行拨号上网。其中,用户终端通过蜂窝数据网络进行拨号上网的过程属于现有技术,在此不再详细描述。步骤301、鉴权平台获取用户终端拨号上网时的PDP报文,从PDP报文中获取用户终端的对应用户标识和用户终端的IP地址。
在本实施例中,鉴权平台的一端连接于SGSN和GGSN之间,另一端与应用服务器连接,从连接形式上构成ー种与蜂窝数据网络并联的结构。该结构与现有技术中鉴权平台必须串联在蜂窝数据网络中的结构相比,可以提高网络的可靠性,例如如果鉴权平台出现故障而断开,不会导致用户上网的中断。可选的,鉴权平台可以从SGSN和GGSN之间的通道上,以分光方式获取所述PDP报文。当鉴权平台获取到用户终端发送的PDP报文后,从PDP报文中获取用户终端对应的用户标识和用户终端的IP地址。
步骤302、用户终端向应用服务器发送用于请求服务的HTTP请求报文。在本实施例中,通过HTTP协议与应用服务器进行交互。用户终端发送给应用服务器的报文,包括HTTP协议报文和HTTP数据报文,是经过SGSN和GGSN传输到应用服务器。其中,用户终端进行拨号上网成功后,向应用服务器发送用于请求服务的HTTP请求报文,以向应用服务器请求服务。其中,用于请求服务的HTTP请求报文也是ー种HTTP请求报文。该用于请求服务的HTTP请求报文与用于请求鉴权的HTTP请求报文的区别在于不携带鉴权过程对应的鉴权标识。步骤303、应用服务器向用户终端返回用于请求服务的HTTP应答报文,用于请求服务的HTTP应答报文包括鉴权过程对应的鉴权标识。在本实施例中,如果应用服务器需要用户终端对应的用户标识,例如需要将用户終端对应的用户标识作为鉴权信息对用户终端进行鉴权,则应用服务器可以向用户终端返回ー个用于请求服务的HTTP应答报文。该用于请求服务的HTTP应答报文是与用于请求服务的HTTP请求报文对应的HTTP应答报文。可选的,用于请求服务的HTTP应答报文包括鉴权统ー资源定位符(Uniform/Universal Resource Locator,URL)信息。鉴权URL信息包括应用服务器的地址信息和鉴权过程对应的鉴权标识。其中,鉴权URL信息用于将用户终端重定向到应用服务器的鉴权页面。其中,用于请求服务的HTTP应答报文可以以重定向方式携帯鉴权URL信息,也可以以Java脚本代码的方式携帯所述鉴权URL信息。例如,鉴权URL 信息可以是 http://www. abc. com/auth. jsp token=xxxxxxxx。其中,WWW. abc. com表示应用服务器的地址,“token””表示应用服务器为此次鉴权过程分配的參数,“XXXXXXXX”为所述參数的取值。其中,所述參数和所述參数的取值构成所述鉴权标识。所述參数的取值可由应用服务器根据约定的生成算法,为了避免不同鉴权过程对应的鉴权标识发生碰撞的现象,生成算法需要保证所述參数在取值上的随机性,例如可以使用P隹ー识别码(UniversalIy Unique Identifier, UUID)算法,或者使用伪随机数发生器生成。具体的,应用服务器为用户终端生成鉴权标识后,将鉴权标识携帯在用于请求服务的HTTP响应报文中发送给用户终端。步骤304、用户终端根据鉴权过程对应的鉴权标识,生成用于请求鉴权的HTTP请求报文,该用于请求鉴权的HTTP请求报文携带有鉴权过程对应的鉴权标识。
在本实施例中,用户终端接收到应用服务器返回的用户请求服务的HTTP响应报文后,从中获取鉴权过程对应的鉴权标识,根据鉴权过程对应的鉴权标识识别出需要重新访问应用服务器。于是,用户终端重新生成HTTP请求报文,并将鉴权过程对应的鉴权标识携带在HTTP请求报文中。此时的HTTP请求报文为用户请求鉴权的HTTP请求报文。步骤305、用户终端将用于请求鉴权的HTTP请求报文发送给应用服务器。具体的,在生成用于请求鉴权的HTTP请求报文后,用户终端通过SGSN和GGSN将用于请求鉴权的HTTP请求报文发送给应用服务器。可选的,如果用于请求服务的HTTP响应报文包括鉴权URL信息,则用户終端具体可以根据所述鉴权URL信息,向应用服务器发送用于请求鉴权的HTTP请求报文。
步骤306、鉴权平台获取用户终端发送给应用服务器的用于请求鉴权的HTTP请求报文,从用于请求鉴权的HTTP请求报文中获取用户终端的IP地址和鉴权过程对应的鉴权标识。可选的,鉴权平台可以从SGSN和GGSN之间的通道上,以分光方式获取用于请求鉴权的HTTP请求报文。当鉴权平台获取到用于请求鉴权的HTTP请求报文后,从中获取用户终端的IP地址和鉴权过程对应的鉴权标识。可选的,鉴权平台在获取到用于请求鉴权的HTTP请求报文时,还可以记录用于请求鉴权的HTTP请求报文对应的时间戳。该时间戳用于表示鉴权平台获取到用于请求鉴权的HTTP请求报文的时间。基于此,鉴权平台可以根据时间戳判断用户标识和鉴权标识的对应关系是否过时;当判断结果为过时时,鉴权平台将用户标识和鉴权标识的对应关系删除。例如,鉴权平台可以判断时间戳到当前时刻的时间间隔是否超过预设时间门限,当判断结果为超过预设时间门限时,判定该时间戳对应的用户标识和鉴权标识的对应关系超时,将其删除,反之判定不超吋。例如,所述时间门限可以5分钟,但不限于此。通过使用超时机制不仅有利于提闻鉴权平台的存储空间的利用率,也有利于提闻安全性。步骤307、鉴权平台根据用户终端的IP地址,将用户终端对应的用户标识和鉴权过程对应的鉴权标识进行关联生成用户标识和鉴权标识的对应关系。具体的,鉴权平台在获取到用户终端的IP地址、鉴权过程对应的鉴权标识和用户終端对应的用户标识后,可以根据用户终端的IP地址,将用户终端对应的用户标识和鉴权过程对应的鉴权标识进行关联,生成用户标识和鉴权标识的对应关系。步骤308、鉴权平台接收应用服务器发送的获取请求报文,获取请求报文是应用服务器在接收到用户终端发送的用于请求鉴权的HTTP请求报文后发送的,获取请求报文包括鉴权过程对应的鉴权标识。具体的,用户终端发送的用于请求鉴权的HTTP请求报文一路到达鉴权平台,另ー路会经SGSN和GGSN到达应用服务器,而应用服务器会接收到用户终端发送的用于请求鉴权的HTTP请求报文。当应用服务器接收到用于请求鉴权的HTTP请求报文后,根据用于请求鉴权的HTTP请求报文中携帯的鉴权过程对应的鉴权标识识别出需要通过与鉴权平台进行交互获取用户终端对应的用户标识进而将获取的用户标识作为鉴权信息对用户终端进行鉴权。然后,应用服务器向鉴权平台发送获取请求报文,并在获取请求报文中携帯鉴权过程对应的鉴权标识。
可选的,应用服务器可以先判断用于请求鉴权的HTTP请求报文中携帯的鉴权过程对应的鉴权标识的合法性,即判断是否是应用服务器之前分配的鉴权标识;当判断结果为是时,应用服务器可以生成携帯有鉴权过程对应的鉴权标识的获取请求报文,并将获取请求报文发送给鉴权平台。具体的,应用服务器上可以记录所分配的鉴权标识与用户终端的IP地址的对应关系,或者可以记录所分配的鉴权标识与可唯一标识用户终端当前鉴权过程的ー个ID的对应关系。当应用服务器接收到用于请求鉴权的HTTP请求报文后,从中获取鉴权标识和用户终端的IP地址,或者从中获取鉴权标识和标识此次鉴权过程的ID,然后根据用户终端的IP地址或获取的ID去查找记录的对应关系,将对应关系中的鉴权标识与用于请求鉴权的HTTP请求报文中的鉴权标识是否相同,实现对鉴权标识的合法性的判断。可选的,如果对用于请求鉴权的HTTP请求报文中携帯的鉴权过程对应的鉴权标识的鉴权结果为不合法,则可以认为鉴权标识发生了错误,例如被篡改或修改,则应用服务器可以不向鉴权平台发送获取请求报文。可选的,应用服务器可以从接收到的用于请求鉴权的HTTP请求报文中获取鉴权过程对应的鉴权标识,然后将获取的鉴权过程对应的鉴权标识封装到获取请求报文中发送 给鉴权平台。步骤309、鉴权平台判断获取请求报文中的鉴权标识是否存在于预先生成的用户标识和鉴权标识的对应关系中;如果判断结果为是,执行步骤310 ;如果判断结果为否,执行步骤311。在本实施例中,鉴权平台在用于请求鉴权的HTTP请求报文到达应用服务器之前,通过获取用户终端发送的PDP报文和用于请求鉴权的HTTP请求报文,从中获取用户终端的IP地址、用户终端对应的用户标识和鉴权过程对应的鉴权标识,并生成用户标识和鉴权标识的对应关系;然后基于生成的对应关系和获取请求报文中的鉴权标识判断应用服务器通过获取请求报文请求获取的用户标识是否合法,也就是判断获取请求报文中的鉴权标识是否存在于所述对应关系中的过程。具体的,鉴权平台接收到应用服务器发送的获取请求报文后,将获取请求报文中的鉴权标识与本地存储的用户标识和鉴权标识的对应关系中进行查找,以判断获取请求报文中的鉴权标识是否存在于用户标识和鉴权标识的对应关系中。该实施方式从用户終端与应用服务器的交互过程中的报文中获取相关信息并生成用户标识和鉴权标识之间的对应关系,具有实现简単,成本较低的优势。步骤310、鉴权平台向应用服务器返回获取请求报文中的鉴权标识对应的用户标识。当鉴权平台判断出获取请求报文中的鉴权标识存在于用户标识和鉴权标识的对应关系中时,鉴权平台向应用服务器返回获取请求报文中的鉴权标识对应的用户标识。可选的,鉴权平台向应用服务器返回用户终端的用户标识后,将该用户标识和鉴权标识的对应关系删除,使得鉴权标识只能在一次鉴权过程中有效,另外也有利于降低不同用户终端的鉴权过程对应的鉴权标识产生碰撞的概率,保证获取用户标识的时效性和有效性。可选的,鉴权平台除了向应用服务器返回用户标识之外,还可以根据用户标识获取该用户終端对应的其他相关信息,例如、话费余额、用户的消费喜好、年龄等等,并将其他相关信息也发送给应用服务器,为针对性的业务营销和业务推送提供帮助。可选的,鉴权平台可以同时将用户标识和其他相关信息发送给应用服务器。步骤311、鉴权平台向应用服务器返回获取失败报文。当鉴权平台判断出获取请求报文中的鉴权标识不存在于用户标识和鉴权标识的对应关系中吋,向应用服务器返回获取失败报文。可选的,获取失败报文可携帯失败原因等信息。其中,步骤311为一可选步骤。
例如,当鉴权平台判断出获取请求报文中的鉴权标识不存在于用户标识和鉴权标识的对应关系中时,可以结束操作,即不向应用服务器返回任何报文。由上述可见,在本实施例中,鉴权平台根据用户終端向应用服务器请求服务过程中的交互报文中携帯的有关信息,预先生成用户标识和鉴权标识的对应关系,然后在接收到应用服务器发送的获取请求报文后,判断获取请求报文中携帯与鉴权过程唯一对应的鉴权标识是否存在于本地存储的用户标识和鉴权标识的对应关系中,在判断结果为是时将用户终端对应的用户标识提供给应用服务器。现有技术中,鉴权平台串联在GGSN之后,通过在HTTP请求报文的头部添加用户标识域携帯用户标识,而在本实施例中,用户终端对应的用户标识并未添加在HTTP请求报文中,而是由应用服务器主动去鉴权平台获取,而鉴权平台上存储的对应关系中的用户标识都是合法的,因此不存在伪造用户标识域携帯用户标识的问题,也就不存在用户标识被冒用的问题;在本实施例中,如果获取请求报文中的鉴权标识存在于所述对应关系中,说明该鉴权标识对应的用户标识就是合法的,保证了应用服务器获取到的用户终端对应的用户标识是合法的,反之,应用服务器不会获取到用户终端对应的用户标识,解决了应用服务器无法确定获取到的用户终端对应的用户标识的合法性的问题,进而解决了因无法确定用户終端对应的用户标识的合法性给应用服务器带来安全隐患的问题,提高了应用服务器提供的服务或信息的安全性。在上述各实施例中,当应用服务器获取到用户终端对应的用户标识后,可以根据自己的业务逻辑进行下一歩操作。例如,应用服务器可以将用户终端对应的用户标识作为鉴权信息对用户终端进行鉴权。进ー步说明,在上述各实施例中,获取用户标识的过程只需要在会话建立的时候进行一次,获取成功后,应用服务器可以采用会话保持或者Cookie方式来维持会话。在此说明,在本发明各实施例中,用户终端与应用服务器之间可能存在网络地址转换(Network Address Translation,NAT)设备,所以鉴权平台记录的用户终端的IP地址与应用服务器看到的用户终端的IP地址可能是不同的,在该情况下如果使用用户终端的IP地址获取用户标识就会发生错误,而本发明各实施例使用鉴权标识获取用户标识,解决了上述问题。进ー步说明,如果用户设备和应用服务器之间不存在NAT设备,则本发明各实施例还可以使用用户终端的IP地址代替鉴权标识,且其实现过程更为简単。图4为本发明一实施例提供的鉴权平台的结构示意图。如图4所示,本实施例的鉴权平台包括第一接收模块41、第一判断模块42和第一发送模块43。其中,第一接收模块41,用于接收应用服务器发送的获取请求报文。其中,获取请求报文是应用服务器在接收到用户终端发送的用于请求鉴权的HTTP请求报文后发送的;获取请求报文包括鉴权过程对应的鉴权标识。第一判断模块42,与第一接收模块41连接,用于判断第一接收模块41接收到的获取请求报文中的鉴权标识是否存在于预先生成的用户标识和鉴权标识的对应关系中。第一发送模块43,与第一判断模块42连接,用于在第一判断模块42的判断结果为是时,向应用服务器返回获取请求报文中的鉴权标识对应的用户标识。本实施例提供的鉴权平台的各功能模块可用于执行本发明上述方法实施例中的相应流程,其具体工作原理不再赘述,详见方法实施例的描述。本实施例提供的鉴权平台,接收应用服务器在接收到用户终端请求鉴权的HTTP请求报文后发送的获取请求报文,然后判断预先生成的用户标识和鉴权标识的对应关系中是否存在获取请求报文中的鉴权标识,当判断结果为存在吋,将该获取请求报文中的鉴权标识对应的用户标识发送给应用服务器,保证应用服务器获取到的用户标识的合法性,保 证了应用服务器提供的服务或信息的安全性,解决了因应用服务器无法确定获取到的用户标识的合法性给应用服务器造成的安全隐患问题。图5A为本发明另一实施例提供的鉴权平台的结构不意图。本实施例可基于图4所示实施例实现。如图5A所示,本实施例的鉴权平台还包括第一获取模块44、第二获取模块45和第一生成模块46。其中,第一获取模块44,用于获取用户终端拨号上网时的PDP报文,从PDP报文中获取用户终端对应的用户标识和用户终端的IP地址。第二获取模块45,用于获取用户终端发送给应用服务器的用于请求鉴权的HTTP请求报文,从用于请求鉴权的HTTP请求报文中获取用户终端的IP地址和鉴权过程对应的鉴权标识。第一生成模块46,与第一获取模块44和第二获取模块45连接,用于根据第一获取模块44和第二获取模块45分别获取到的用户终端的IP地址,将第一获取模块44获取到的用户终端对应的用户标识和第二获取模块45获取到的鉴权过程对应的鉴权标识进行关联,生成用户标识和鉴权标识的对应关系。可选的,第一生成模块46还与第一判断模块42连接,用于向第一判断模块42提供用户标识和鉴权标识的对应关系。进ー步,本实施例的鉴权平台还可以包括记录模块47、第二判断模块48和删除模块49。其中,记录模块47,与第二获取模块45连接,用于在第二获取模块45获取到用于请求鉴权的HTTP请求报文吋,记录用于请求鉴权的HTTP请求报文对应的时间戳。第二判断模块48,与记录模块47连接,用于根据记录模块47记录的时间戳判断用户标识和鉴权标识的对应关系是否过吋。
删除模块49,与第二判断模块48和第一生成模块46连接,用于在第二判断模块48的判断结果为过时时,将第一生成模块46生成的用户标识和鉴权标识的对应关系删除。进ー步,本实施例的第一发送模块43还用于在第一判断模块42的判断结果为否吋,向应用服务器返回获取失败报文。进一步,第一获取模块44具体可用于从SGSN和GGSN之间的通道上,以分光方式获取上述PDP报文。进ー步,第二获取模块45具体可用于从SGSN和GGSN之间的通道上,以分光方式获取上述用于请求鉴权的HTTP请求报文。基于上述,本实施例的鉴权平台的一端可连接于SGSN和GGSN之间的通道上,另ー端可与应用服务器连接。则鉴权平台、SGSN、GGSN以及应用服务器构成的并联结构的网络架构如图5B所示。其中,上述各功能模块可用于执行本发明上述方法实施例中的相应流程,其具体工作原理不再赘述,详见方法实施例的描述。本实施例提供的鉴权平台,接收应用服务器在接收到用户终端请求鉴权的HTTP请求报文后发送的获取请求报文,然后判断预先生成的用户标识和鉴权标识的对应关系中是否存在获取请求报文中的鉴权标识,当判断结果为存在吋,将该获取请求报文中的鉴权标识对应的用户标识发送给应用服务器,保证应用服务器获取到的用户标识的合法性,保证了应用服务器提供的服务或信息的安全性,解决了因应用服务器无法确定获取到的用户标识的合法性给应用服务器造成的安全隐患问题。 图6为本发明一实施例提供的用户终端的结构示意图。如图6所示,本实施例的用户终端包括第二生成模块61和第二发送模块62。其中,第二生成模块61,用于根据鉴权过程对应的鉴权标识,生成用于请求鉴权的HTTP请求报文,用于请求鉴权的HTTP请求报文包括鉴权过程对应的鉴权标识。其中,鉴权过程对应的鉴权标识可以是预先确定的,也可以是由应用服务器在用户终端请求服务的过程中实时分配的。第二发送模块62,与第二生成模块61连接,用于将第二生成模块61生成的用于请求鉴权的HTTP请求报文发送给应用服务器,以使应用服务器在接收到用于请求鉴权的HTTP请求报文后向鉴权平台发送获取请求报文,以获取用户终端对应的用户标识。可选的,用于请求服务的HTTP应答报文包括鉴权URL信息;该鉴权URL信息包括鉴权过程对应的鉴权标识和应用服务器的地址信息。基于上述,第二发送模块62具体可用于根据鉴权URL信息,向应用服务器发送用于请求鉴权的HTTP请求报文。本实施例提供的用户终端的各功能模块可用于执行上述方法实施例中的相应流程,其具体工作原理不再赘述,详见方法实施例的描述。本实施例的用户终端,与应用服务器相配合,通过生成并向应用服务器发送携帯鉴权过程对应的鉴权标识的HTTP请求,使得应用服务器根据其中的鉴权标识识别出需要从鉴权平台去获取用户终端对应的用户标识,而应用服务器根据鉴权标识从鉴权平台获取用户终端对应的用户标识的过程可以实现对用户标识的合法性的判断,为保证应用服务器获取到的用户标识的合法性,保证应用服务器提供的服务或信息的安全性,解决因应用服务器无法确定获取到的用户标识的合法性给应用服务器造成的安全隐患问题提供了条件。图7为本发明一实施例提供的应用服务器的结构示意图。如图7所示,本实施例的应用服务器包括第三接收模块71、第三生成模块72、第四发送模块73和第四接收模块74。其中,第三接收模块71,用于接收用户终端发送的用于请求鉴权的HTTP请求报文。其中,用于请求鉴权的HTTP请求报文包括鉴权过程对应的鉴权标识。第三生成模块72,与第三接收模块71连接,用于根据第三接收模块71接收到的用于请求鉴权的HTTP请求报文中鉴权过程对应的鉴权标识,生成获取请求报文。其中,获取请求报文包括鉴权过程对应的鉴权标识。第四发送模块73,与第三生成模块72连接,用于将第三生成模块72生成的获取请求报文发送给鉴权平台,以使鉴权平台判断获取请求报文中的鉴权标识是否存在于预先生成的用户标识和鉴权标识的对应关系中,并在判断结果为是时向应用服务器返回获取请求报文中的鉴权标识对应的用户标识。第四接收模块74,用于接收鉴权平台返回的用户标识。可选的,第四接收模块74与第四发送模块73连接,用于在第四发送模块73发送获取请求报文后,接收鉴权平台返回的用户标识。本实施例提供的应用服务器的各功能模块可用于执行上述方法实施例中的相应流程,其具体工作原理不再赘述,详见方法实施例的描述。本实施例的应用服务器,与本发明实施例提供的鉴权平台和用户终端相配合,在 接收到用户终端发送的用于请求鉴权的HTTP请求报文后,向鉴权平台发送携帯有鉴权过程对应的鉴权标识的获取请求报文,由鉴权平台判断预先生成的用户标识和鉴权标识的对应关系中是否存在获取请求报文中的鉴权标识,并接收鉴权平台在判断结果为存在时返回的用户标识,保证了所获取到的用户标识的合法性,保证了所提供的服务或信息的安全性,解决了因无法确定获取到的用户标识的合法性给应用服务器造成的安全隐患问题。图8为本发明另ー实施例提供的应用服务器的结构示意图。本实施例可基于图7所示实施例实现。如图8所示,本实施例的应用服务器还包括第五接收模块75和第五发送模块76。其中,第五接收模块75,与第三接收模块71连接,用于在第三接收模块71接收请求鉴权的HTTP请求报文之前,接收用户终端发送的用于请求服务的HTTP请求报文。第五发送模块76,用于向用户终端返回用于请求服务的HTTP应答报文,用于请求服务的HTTP应答报文包括鉴权过程对应的鉴权标识。可选的,第五发送模块76与第五接收模块75连接,用于在第五接收模块75接收到用于请求服务的HTTP请求报文之后,向用户终端返回用于请求服务的HTTP应答报文。上述各功能模块可用于执行上述方法实施例中的相应流程,其具体工作原理不再赘述,详见方法实施例的描述。本实施例的应用服务器,与本发明实施例提供的鉴权平台和用户终端相配合,在接收到用户终端发送的用于请求鉴权的HTTP请求报文后,向鉴权平台发送携帯有鉴权过程对应的鉴权标识的获取请求报文,由鉴权平台判断预先生成的用户标识和鉴权标识的对应关系中是否存在获取请求报文中的鉴权标识,并接收鉴权平台在判断结果为存在时返回的用户标识,保证了所获取到的用户标识的合法性,保证了所提供的服务或信息的安全性,解决了因无法确定获取到的用户标识的合法性给应用服务器造成的安全隐患问题。图9为本发明一实施例提供的用户标识获取系统的结构示意图。如图9所示,本实施例的系统包括用户终端91、鉴权平台92和应用服务器93。其中,用户终端91与应用服务器93连接,鉴权平台92与应用服务器93和用户终端91连接。其中,用户终端91可以是上述实施例提供的用户终端;其具体工作原理和实现结构可參见上述实施例的相应描述,在此不再赘述。鉴权平台92可以上述实施例提供的鉴权平台;其具体工作原理和实现结构可參见上述实施例的相应描述,在此不再赘述。应用服务器93可以上述实施例提供的应用服务器;其具体工作原理和实现结构可參见上述实施例的相应描述,在此不再赘述。其中,用户终端91、鉴权平台92和应用服务器93相互配合,实现对用户终端91对应的用户标识的合法性的判断并提供给应用服务器93的过程,可參见上述方法实施例的描述,在此不再赘述。本实施例提供的用户标识获取系统,应用服务器在接收到用户终端的HTTP请求报文后,向鉴权平台发送携帯有鉴权过程对应的鉴权标识的获取请求报文,由鉴权平台判断预先生成的用户标识和鉴权标识的对应关系中是否存在获取请求报文中的鉴权标识,当判断结果为存在吋,将该获取请求报文中的鉴权标识对应的用户标识发送给应用服务器, 保证应用服务器获取到的用户标识的合法性,保证了应用服务器提供的服务或信息的安全性,解决了因应用服务器无法确定获取到的用户标识的合法性给应用服务器造成的安全隐患问题。本领域普通技术人员可以理解实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于ー计算机可读取存储介质中。该程序在执行时,执行包括上述各方法实施例的步骤;而前述的存储介质包括R0M、RAM、磁碟或者光盘等各种可以存储程序代码的介质。最后应说明的是以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管參照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
权利要求
1.一种用户标识获取方法,其特征在于,包括 鉴权平台接收应用服务器发送的获取请求报文,所述获取请求报文是所述应用服务器在接收到用户终端发送的用于请求鉴权的超文本传输协议HTTP请求报文后发送的,所述获取请求报文包括鉴权过程对应的鉴权标识; 所述鉴权平台判断所述获取请求报文中的鉴权标识是否存在于预先生成的用户标识和鉴权标识的对应关系中; 当判断结果为是时,所述鉴权平台向所述应用服务器返回所述获取请求报文中的鉴权标识对应的用户标识。
2.根据权利要求I所述的用户标识获取方法,其特征在于,所述鉴权平台预先生成所述用户标识和鉴权标识的对应关系包括 所述鉴权平台获取所述用户终端拨号上网时的分组数据协议PDP报文,从所述PDP报文中获取所述用户終端对应的用户标识和所述用户终端的IP地址; 所述鉴权平台获取所述用户終端发送给所述应用服务器的所述用于请求鉴权的HTTP请求报文,从所述用于请求鉴权的HTTP请求报文中获取所述用户终端的IP地址和所述鉴权过程对应的鉴权标识; 所述鉴权平台根据所述用户终端的IP地址,将所述用户終端对应的用户标识和所述鉴权过程对应的鉴权标识进行关联生成所述用户标识和鉴权标识的对应关系。
3.根据权利要求2所述的用户标识获取方法,其特征在于,所述鉴权平台获取所述用户终端发送给所述应用服务器的所述用于请求鉴权的HTTP请求报文,从所述用于请求鉴权的HTTP请求报文中获取所述用户终端的IP地址和所述鉴权过程对应的鉴权标识之前包括 所述用户終端向所述应用服务器发送用于请求服务的HTTP请求报文; 所述应用服务器向所述用户終端返回用于请求服务的HTTP应答报文,所述用于请求服务的HTTP应答报文包括所述鉴权过程对应的鉴权标识; 所述用户終端根据所述鉴权过程对应的鉴权标识,生成所述用于请求鉴权的HTTP请求报文; 所述用户終端将所述用于请求鉴权的HTTP请求报文发送给所述应用服务器。
4.根据权利要求2或3所述的用户标识获取方法,其特征在于,还包括 所述鉴权平台获取到所述用于请求鉴权的HTTP请求报文时,记录所述用于请求鉴权的HTTP请求报文对应的时间戳; 所述鉴权平台根据所述时间戳判断所述用户标识和鉴权标识的对应关系是否过时; 当判断结果为过时时,所述鉴权平台将所述用户标识和鉴权标识的对应关系删除。
5.根据权利要求2或3所述的用户标识获取方法,其特征在于,所述鉴权平台获取所述用户终端拨号上网时的分组数据协议PDP报文包括 所述鉴权平台从通用分组无线服务技术GPRS服务支持节点SGSN和网关GPRS支持节点GGSN之间的通道上,以分光方式获取所述PDP报文; 所述鉴权平台获取所述用户終端发送给所述应用服务器的所述用于请求鉴权的HTTP请求报文包括 所述鉴权平台从所述SGSN和所述GGSN之间的通道上,以分光方式获取所述用于请求鉴权的HTTP请求报文。
6.一种鉴权平台,其特征在于,包括 第一接收模块,用于接收应用服务器发送的获取请求报文,所述获取请求报文是所述应用服务器在接收到用户终端发送的用于请求鉴权的超文本传输协议HTTP请求报文后发送的,所述获取请求报文包括鉴权过程对应的鉴权标识; 第一判断模块,用于判断所述获取请求报文中的鉴权标识是否存在于预先生成的用户标识和鉴权标识的对应关系中; 第一发送模块,用于在所述第一判断模块的判断结果为是时,向所述应用服务器返回所述获取请求报文中的鉴权标识对应的用户标识。
7.根据权利要求6所述的鉴权平台,其特征在于,还包括 第一获取模块,用于获取所述用户终端拨号上网时的分组数据协议PDP报文,从所述PDP报文中获取所述用户終端对应的用户标识和所述用户终端的IP地址; 第二获取模块,用于获取所述用户終端发送给所述应用服务器的所述用于请求鉴权的HTTP请求报文,从所述用于请求鉴权的HTTP请求报文中获取所述用户终端的IP地址和所述鉴权过程对应的鉴权标识; 第一生成模块,用于根据所述用户终端的IP地址,将所述用户終端对应的用户标识和所述鉴权过程对应的鉴权标识进行关联,生成所述用户标识和鉴权标识的对应关系。
8.根据权利要求7所述的鉴权平台,其特征在于,还包括 记录模块,用于在所述第二获取模块获取到所述用于请求鉴权的HTTP请求报文时,记录所述用于请求鉴权的HTTP请求报文对应的时间戳; 第二判断模块,用于根据所述时间戳判断所述用户标识和鉴权标识的对应关系是否过时; 删除模块,用于在所述第二判断模块的判断结果为过时时,将所述用户标识和鉴权标识的对应关系删除。
9.根据权利要求7或8所述的鉴权平台,其特征在于,所述第一获取模块具体用于从通用分组无线服务技术GPRS服务支持节点SGSN和网关GPRS支持节点GGSN之间的通道上,以分光方式获取所述PDP报文; 所述第二获取模块具体用于从所述SGSN和所述GGSN之间的通道上,以分光方式获取所述用于请求鉴权的HTTP请求报文。
10.一种用户終端,其特征在于,包括 第二生成模块,用于根据鉴权过程对应的鉴权标识,生成用于请求鉴权的超文本传输协议HTTP请求报文,所述用于请求鉴权的HTTP请求报文包括所述鉴权过程对应的鉴权标识; 第二发送模块,用于将所述用于请求鉴权的HTTP请求报文发送给应用服务器,以使所述应用服务器在接收到所述用于请求鉴权的HTTP请求报文后向鉴权平台发送获取请求报文,以获取所述用户終端对应的用户标识。
11.根据权利要求10所述的用户终端,其特征在于,还包括 第三发送模块,用于在所述第二生成模块生成所述用于请求鉴权的HTTP请求报文之前,向所述应用服务器发送用于请求服务的HTTP请求报文;第二接收模块,用于接收所述应用服务器返回的用于请求服务的HTTP应答报文,所述用于请求服务的HTTP应答报文包括所述鉴权过程对应的鉴权标识。
12.—种应用服务器,其特征在于,包括 第三接收模块,用于接收用户终端发送的用于请求鉴权的超文本传输协议HTTP请求报文,所述用于请求鉴权的HTTP请求报文包括鉴权过程对应的鉴权标识; 第三生成模块,用于根据所述用于请求鉴权的HTTP请求报文中所述鉴权过程对应的鉴权标识,生成获取请求报文,所述获取请求报文包括所述鉴权过程对应的鉴权标识; 第四发送模块,用于将所述获取请求报文发送给鉴权平台,以使所述鉴权平台判断所述获取请求报文中的鉴权标识是否存在于预先生成的用户标识和鉴权标识的对应关系中,并在判断结果为是时向所述应用服务器返回所述获取请求报文中的鉴权标识对应的用户标识; 第四接收模块,用于接收所述鉴权平台返回的所述用户标识。
13.根据权利要求12所述的应用服务器,其特征在于,还包括 第五接收模块,用于在所述第三接收模块接收所述请求鉴权的HTTP请求报文之前,接收所述用户终端发送的用于请求服务的HTTP请求报文; 第五发送模块,用于向所述用户終端返回用于请求服务的HTTP应答报文,所述用于请求服务的HTTP应答报文包括所述鉴权过程对应的鉴权标识。
14.一种用户标识获取系统,其特征在于,包括权利要求10或11所述的用户终端、权利要求6-9任一项所述的鉴权平台和权利要求12或13所述的应用服务器。
全文摘要
本发明提供一种用户标识获取方法、系统及设备。其中,方法包括鉴权平台接收应用服务器发送的获取请求报文,获取请求报文是应用服务器在接收到用户终端发送的用于请求鉴权的超文本传输协议HTTP请求报文后发送的,获取请求报文包括鉴权过程对应的鉴权标识;鉴权平台判断获取请求报文中的鉴权标识是否存在于预先生成的用户标识和鉴权标识的对应关系中;当判断结果为是时,鉴权平台向应用服务器返回获取请求报文中的鉴权标识对应的用户标识。本发明技术方案实现了对用户标识的合法性的验证,解决应用服务器的安全隐患问题。
文档编号H04W12/06GK102695171SQ201210156660
公开日2012年9月26日 申请日期2012年5月18日 优先权日2012年5月18日
发明者罗云彬, 黄文良 申请人:中国联合网络通信集团有限公司
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1