移动业务用户状态的联合确认方法和系统与流程

本申请属于信息安全技术领域，具体涉及一种移动业务用户状态的联合确认方法和系统。

背景技术：

目前，相关技术中，开展移动业务的过程中，由于用户持有移动终端，通过移动网络访问业务系统，用户当前的位置、工作状态处于移动非受控状态，从系统安全管理角度，仅能获取用户访问业务应用的过程和状态，对于业务之外的移动终端状态、网络连接状态等缺乏监控，无法形成全程、全域的覆盖，无法为实施安全策略提供支撑。

上述内容仅用于辅助理解本发明的技术方案，并不代表承认上述内容是现有技术。

技术实现要素：

为至少在一定程度上克服相关技术中存在的问题，本申请提供一种移动业务用户状态的联合确认方法和系统，基于移动核心网、移动终端、业务系统进行“三位一体”的联合确认，有助于实现全程、全域覆盖的系统安全管理。

为实现以上目的，本申请采用如下技术方案：

第一方面，

本申请提供一种移动业务用户状态的联合确认方法，该方法包括：

至少从移动终端、移动网络系统、移动业务系统中的两个维度获取用户状态信息；

基于所述用户状态信息进行联合对比验证，以实现对移动业务访问过程的全程全域监控。

可选地，通过在移动终端部署专用代理程序，基于该专用代理程序从移动终端获取用户状态信息。

可选地，从移动终端中获取的用户状态信息包括：用户移动终端标识信息、用户开关机状态信息、位置信息。

可选地，通过在移动网络系统的核心网中部署专用设备，配置该专用设备基于核心网信令协议进行查询、以从移动网络系统中获取用户状态信息。

可选地，从移动网络系统中获取的用户状态信息包括：用户附着的移动网络信息、网络漫游位置信息、建立的网络连接信息、访问业务系统目标地址信息、网络流量状态信息。

可选地，通过部署专用移动安全管理模块，对移动终端、移动网络系统、移动业务系统进行时间同步处理，

并对所述专用代理程序、所述专用设备及移动业务系统提交的带有时间戳的用户状态信息进行实时联合对比验证，以实现对移动业务访问过程的全程全域监控。

可选地，所述时间同步处理具体为，以所述专用移动安全管理模块的时钟为唯一时间基准，定期对移动终端、移动网络系统、移动业务系统进行时间同步。

可选地，所述时间戳依据同步后的本地时间生成，以保证时间戳的一致性。

第二方面，

本申请提供一种移动业务用户状态的联合确认系统，该系统包括部署在移动终端的专用代理程序、部署在移动网络系统的核心网中的专用设备，以及专用移动安全管理模块；

所述专用代理程序，用于从移动终端获取用户状态信息；

所述专用设备，用于基于核心网信令协议进行查询、以从移动网络系统中获取用户状态信息；

所述专用移动安全管理模块，用于根据至少从移动终端、移动网络系统、移动业务系统中的两个维度获取到的用户状态信息进行联合对比验证，以实现对移动业务访问过程的全程全域监控。

可选地，所述专用移动安全管理模块，具体配置为，

对移动终端、移动网络系统、移动业务系统进行时间同步处理，

并对所述专用代理程序、所述专用设备及移动业务系统提交的带有时间戳的用户状态信息进行实时联合对比验证，以实现对移动业务访问过程的全程全域监控。

本申请采用以上技术方案，至少具备以下有益效果：

从移动终端、移动网络系统、移动业务系统中的至少两个维度采集获取用户状态信息，根据采集的信息进行综合比对和联合验证，可防止单点状态信息错误、伪造或篡改，实现对移动业务访问过程的全程、全域监控，使得过程可控、可信。

本发明的其他优点、目标，和特征在某种程度上将在随后的说明书中进行阐述，并且在某种程度上，基于对下文的考察研究对本领域技术人员而言将是显而易见的，或者可以从本发明的实践中得到教导。本发明的目标和其他优点可以通过下面的说明书，权利要求书，以及附图中所特别指出的结构来实现和获得。

附图说明

附图用来提供对本申请的技术方案或现有技术的进一步理解，并且构成说明书的一部分。其中，表达本申请实施例的附图与本申请的实施例一起用于解释本申请的技术方案，但并不构成对本申请技术方案的限制。

图1为本申请一个实施例提供的移动业务用户状态的联合确认方法的流程示意图；

图2为本申请另一个实施例提供的移动业务用户状态的联合确认系统的结构示意图。

具体实施方式

为使本申请的目的、技术方案和优点更加清楚，下面将对本申请的技术方案进行详细的描述。显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所得到的所有其它实施方式，都属于本申请所保护的范围。

如背景技术中所述，目前，相关技术中，开展移动业务的过程中，由于用户持有移动终端，通过移动网络访问业务系统，用户当前的位置、工作状态处于移动非受控状态，从系统安全管理角度，仅能获取用户访问业务应用的过程和状态，对于业务之外的移动终端状态、网络连接状态等缺乏监控，无法形成全程、全域的覆盖，无法为实施安全策略提供支撑。

针对于此，为了在用户使用移动终端访问单位业务系统的过程中，建立起基于移动核心网、移动终端、业务系统的“三位一体”的移动业务用户状态联合确认机制，对移动业务用户状态进行全程、全域的安全监控，以及为单位实施移动终端安全管控策略提供充分的技术支撑。本申请提出一种移动业务用户状态的联合确认方法。

如图1所示，在一实施例中，本申请提出的移动业务用户状态的联合确认方法，包括以下步骤：

步骤s110，至少从移动终端、移动网络系统、移动业务系统中的两个维度获取用户状态信息；

具体的，在该实施例中，通过在移动终端部署专用代理程序，基于该专用代理程序从移动终端获取用户状态信息；

举例而言，从移动终端中获取的用户状态信息包括：用户移动终端标识信息、用户开关机状态信息、位置信息等。

在该实施例中，通过在移动网络系统的核心网中部署专用设备，配置该专用设备基于核心网信令协议进行查询、以从移动网络系统中获取用户状态信息；

举例而言，从移动网络系统中获取的用户状态信息包括：用户附着的移动网络信息、网络漫游位置信息、建立的网络连接信息、访问业务系统目标地址信息、网络流量状态信息等。

而从移动业务系统中获取用户状态信息的相关技术可见于现有公开技术，这里就不进行详述了。

此外需要说明的是，为实现后续的联合对比验证，本申请该实施例中，着重关注以几方面的用户状态信息：

a、终端状态：包括终端设备标识、终端开关机、所处位置等。这些状态信息主要从移动终端、移动网络接入网等维度获取。

b、接入网络状态：包括接入终端设备标识、附着到移动网络、网络内漫游位置、建立网络连接、网络承载状态(时间段、流量)、访问目标业务系统的网络地址等。这些状态信息主要从移动终端、核心网内获取，部分从业务系统获取。

c、访问业务系统：包括移动终端网络地址、用户身份、访问时间、业务系统内容等。这部分状态信息主要从移动终端、移动业务系统获取。

回到图1，继续进行步骤s120，基于获取的用户状态信息进行联合对比验证，以实现对移动业务访问过程的全程全域监控，从而为调整、实施安全策略提供决策辅助。

具体的，在该实施例中，通过部署专用移动安全管理模块，对移动终端、移动网络系统、移动业务系统进行时间同步处理，并对专用代理程序、专用设备及移动业务系统提交的带有时间戳的用户状态信息进行实时联合对比验证，以实现对移动业务访问过程的全程全域监控。

其中，以专用移动安全管理模块的时钟为唯一时间基准，定期对移动终端、移动网络系统、移动业务系统进行时间同步，来实现时间同步处理；时间戳依据同步后的本地时间生成，以保证时间戳的一致性。

即在该步骤中，所有获取后汇总到管理模块的信息均有一个固定的时间戳，该时间戳的一致性通过模块定期(比如10分钟1次)进行时钟同步完成，移动安全管理模块的时钟为唯一时间基准，其他采集单元(如专用代理程序、专用设备)被动获取其定期发出的时间作为时间戳的依据。

为便于理解本申请中的所提到的联合联合对比验证，以及如何为调整、实施安全策略提供决策辅助。下面对此进行一下举例说明：

例如，调用部署在移动终端的代理程序的位置感应器接口获取第一位置信息，通过移动核心网获取第二位置信息，通过移动业务系统获取用户当前可能的位置范围，以这三者进行位置联合对比验证；例如，通过移动终端获知用户正在下载某个文件，但根据从移动业务系统获取的信息没有获知用户正在下载某个文件，两者对比存在不一致，反映系统存在安全风险。

再例如，通过移动终端获知用户终端摄像头处于打开状态，但通过移动业务系统获知用户终端摄像头处于关闭状态，反映该移动终端存在安全风险；

根据相应的安全策略，假如同时发现其他移动终端也存在安全风险，已经发现存在安全风险的移动终端会按照预设处置方式处置，比如移动终端被锁定；而当存在安全风险的移动终端达到一定数量(比如10台)时，移动安全管理模块将按照预设处置方式处置，比如整体关闭移动业务系统的服务，避免风险进一步扩大。

本申请中技术方案，从移动终端、移动网络系统、移动业务系统中的至少两个维度采集获取用户状态信息，根据采集的信息进行综合比对和联合验证，可防止单点状态信息错误、伪造或篡改，实现对移动业务访问过程的全程、全域监控，使得过程可控、可信。

图2为本申请一个实施例提供的移动业务用户状态的联合确认系统的结构示意图。

如图2所示，该系统包括部署在移动终端的专用代理程序、部署在移动网络系统的核心网中的专用设备，以及专用移动安全管理模块；

专用代理程序，用于从移动终端获取用户状态信息；

专用设备，用于基于核心网信令协议进行查询、以从移动网络系统中获取用户状态信息；

专用移动安全管理模块，用于根据至少从移动终端、移动网络系统、移动业务系统中的两个维度获取到的用户状态信息进行联合对比验证，以实现对移动业务访问过程的全程全域监控。

该专用移动安全管理模块，具体配置为，

对移动终端、移动网络系统、移动业务系统进行时间同步处理，

并对所述专用代理程序、所述专用设备及移动业务系统提交的带有时间戳的用户状态信息(图中信息汇总)进行实时联合对比验证，以实现对移动业务访问过程的全程全域监控。

关于该系统的具体方式已经在有关该方法的实施例中进行了详细描述，此处将不做详细阐述说明。

以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉该技术的人员在本发明所揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应该以权利要求的保护范围为准。