CN103124252B - 客户端应用访问鉴权处理方法和装置 - Google Patents
客户端应用访问鉴权处理方法和装置 Download PDFInfo
- Publication number
- CN103124252B CN103124252B CN201110367609.9A CN201110367609A CN103124252B CN 103124252 B CN103124252 B CN 103124252B CN 201110367609 A CN201110367609 A CN 201110367609A CN 103124252 B CN103124252 B CN 103124252B
- Authority
- CN
- China
- Prior art keywords
- client application
- specific user
- business
- access
- authentication processing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims abstract description 22
- 238000013475 authorization Methods 0.000 claims abstract description 106
- 238000012545 processing Methods 0.000 claims abstract description 88
- 238000004891 communication Methods 0.000 claims description 34
- 238000003672 processing method Methods 0.000 claims description 15
- 230000002452 interceptive effect Effects 0.000 claims description 2
- 230000006870 function Effects 0.000 description 3
- 238000012790 confirmation Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明实施例提供一种客户端应用访问鉴权处理方法和装置,以及客户端应用业务处理装置和客户端应用设备,其中方法包括:接收客户端应用设备发送的用于请求特定用户或第三方授权使用客户端应用业务的第一授权请求消息;向所述特定用户的用户设备或第三方设备发送第二授权请求消息,所述第二授权请求消息用于请求所述特定用户或第三方授权使用所述客户端应用业务;接收所述特定用户的用户设备或第三方设备返回的授权结果,根据所述授权结果确定是否允许所述客户端应用设备向所述特定用户提供所述客户端应用业务。本发明的技术方案,能够提高SP利用运营商的电信网络能力为目标用户提供服务的安全性。
Description
技术领域
本发明实施例涉及通信技术领域,尤其涉及一种客户端应用访问鉴权处理方法和装置。
背景技术
随着移动互联网时代的到来,互联网和电信网络越来越紧密的融合到一起。在互联网和用户终端上,涌现了越来越多丰富多彩的互联网应用和终端应用,如Web应用、终端Widget应用、原生终端应用等。这些应用通常需要访问运营商的电信网路能力,以实现特定的业务功能特性,例如,某个交通信息查询的Widget应用,需要能够发送承载交通线路图的彩信消息给某个终端手机用户。因此,运营商需要一种安全、开放、可控的手段,允许客户端应用访问运营商的电信网络能力。
现有技术中,运营商电信网络能力的开放,主要是面向可信任的服务提供商(ServiceProvider,以下简称:SP)的业务应用服务器,SP的各种互联网应用和终端应用为用户提供服务,其访问运营商网络能力主要包括如下的流程:SP的业务应用服务器向运营商的网络运营平台发送访问请求,请求调用运营商的电信网络能力,例如可以是SP的web应用服务器请求调用电信网络能力发送彩信形式的手机报。SP的业务应用服务器发送的访问请求中会携带SP的身份标识、密码以及目标用户的手机号码,运营商的网络运营平台在对SP进行鉴权确认后,便会根据SP业务应用服务器的要求,利用电信网络能力向目标用户提供SP要求的服务,并进一步的对向目标用户提供的服务进行计费。
现有技术中,SP利用运营商的电信网络能力为目标用户提供服务的方案安全性差,容易被SP利用提供一些非法业务。
发明内容
本发明实施例提供一种客户端应用访问鉴权处理方法和装置,以及客户端应用业务处理装置和客户端应用设备,用以提高SP利用运营商的电信网络能力为目标用户提供服务的方案安全性。
本发明实施例提供了一种客户端应用访问鉴权处理方法,包括:
接收客户端应用设备发送的用于请求特定用户或第三方授权使用客户端应用业务的第一授权请求消息;
向所述特定用户的用户设备或第三方设备发送第二授权请求消息,所述第二授权请求消息用于请求所述特定用户或第三方授权使用所述客户端应用业务;
接收所述特定用户的用户设备或第三方设备返回的授权结果,根据所述授权结果确定是否允许所述客户端应用设备向所述特定用户提供所述客户端应用业务。
本发明实施例还提供了一种客户端应用访问鉴权处理装置,包括:
第一接收模块,用于接收客户端应用设备发送的用于请求特定用户或第三方授权使用客户端应用业务的第一授权请求消息;
第一发送模块,用于向所述特定用户的用户设备或第三方设备发送第二授权请求消息,所述第二授权请求消息用于请求所述特定用户或第三方授权使用所述客户端应用业务;
业务授权模块,用于接收所述特定用户的用户设备或第三方设备返回的授权结果,根据所述授权结果确定是否允许所述客户端应用设备向所述特定用户提供所述客户端应用业务。
本发明实施例还提供了一种客户端应用业务处理装置,包括上述的客户端应用访问鉴权处理装置和电信网络开放网关模块,所述电信网络开放网关模块用于在接收到客户端应用设备发送的携带访问口令的调用请求消息后,向客户端应用访问鉴权处理装置发送请求对所述访问口令进行认证的鉴权认证请求消息,并在认证通过后为客户端应用设备调用电信网络能力。
本发明实施例还提供了一种客户端应用设备,包括电信网络接入认证处理模块和电信网络服务调用模块,所述电信网络接入认证处理模块用于向电信运营商的网络***发送用于请求特定用户授权或第三方使用客户端应用业务的第一授权请求消息,在特定用户接受所述客户端应用业务时,获取允许调用电信网络能力,向所述特定用户提供客户端应用业务的访问口令;所述电信网络服务调用模块用于向电信运营商的网络***发送携带所述访问口令的调用请求消息,所述调用请求消息用于请求调用电信网络能力为所述特定用户提供客户端应用业务。
本发明上述技术方案,其中,SP的客户端应用设备如果要向用户提供客户端应用业务,首先发送第一授权请求消息,然后由设置在电信运营商的网络***中的客户端应用访问鉴权处理装置处理,其通过向特定用户的用户设备或第三方设备发送第二授权请求消息,询问该特定用户或第三方是否授权使用该客户端应用业务,然后根据特定用户的用户设备或第三方设备返回的授权结果确定是否允许客户端应用设备向所述特定用户提供所述客户端应用业务,进而使得客户端应用设备为特定用户提供的客户端应用业务都是经该特定用户或第三方授权的,提高SP为用户提供客户端应用业务的安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明客户端应用访问鉴权处理方法实施例一的流程示意图;
图2为本发明客户端应用访问鉴权处理方法实施例二的流程示意图;
图3为本发明客户端应用访问鉴权处理方法实施例三的流程示意图;
图4为本发明客户端应用访问鉴权处理装置实施例一的结构示意图;
图5为本发明客户端应用访问鉴权处理装置实施例二的结构示意图;
图6为本发明客户端应用业务处理装置实施例的结构示意图;
图7为本发明客户端应用设备实施例的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
针对现有技术中SP利用运营商的电信网络能力为用户提供服务时安全性差的问题,本发明实施例提供了一种解决方案,其是通过在电信运营商的网络***中增加客户端应用访问鉴权处理装置实现的,图1为本发明客户端应用访问鉴权处理方法实施例一的流程示意图,如图1所示,包括如下的步骤:
步骤101、接收客户端应用设备发送的用于请求特定用户或第三方授权使用客户端应用业务的第一授权请求消息;
步骤102、向所述特定用户的用户设备或第三方设备发送第二授权请求消息,所述第二授权请求消息用于请求所述特定用户或第三方授权使用所述客户端应用业务;
步骤103、接收所述特定用户的用户设备或第三方设备返回的授权结果,根据所述授权结果确定是否允许所述客户端应用设备向所述特定用户提供所述客户端应用业务。
本发明上述实施例中,SP的客户端应用设备如果要向该客户端用户提供客户端应用业务,首先发送第一授权请求消息,然后由设置在电信运营商的网络***中的客户端应用访问鉴权处理装置处理,其通过向特定用户的用户设备或第三方设备发送第二授权请求消息,询问该特定用户或第三方是否授权使用该客户端应用业务,然后根据特定用户的用户设备或第三方设备返回的授权结果确定是否允许客户端应用设备向所述特定用户提供所述客户端应用业务,进而使得客户端应用设备为特定用户提供的客户端应用业务都是经该特定用户或第三方授权的,提高SP为用户提供客户端应用业务的安全性。
本发明上述实施例中的第二授权请求消息可以是特定用户所持有的用户设备,以由特定用户自身确认是否接受客户端应用业务,也可以是由第三方确认,例如上述的第三方设备可以是特定用户的管理者所持有的设备,由该特定用户的管理者确认特定用户是否接受客户端应用业务,或者是由运营商的服务器作为第三方设备,由运营商确定特定用户是否接受客户端应用业务。
本发明上述实施例中运营商能够根据特定用户或第三方的意愿确定是否为其提供客户端应用业务,也就是确定是否允许客户端应用设备访问电信网络能力,在客户端应用设备中可以设置相应的电信网络接入认证处理装置执行相应的处理,在具体的实施过程中,可以通过向客户端应用设备分配访问口令的方式,控制客户端应用设备对电信网络的访问,具体的可以包括两种实施方式。
一种是在客户端应用设备发送的用于请求特定用户授权使用客户端应用业务的第一授权请求消息之前,首先向电信运营商的网络***中的客户端应用访问鉴权处理装置发送第一口令申请消息,客户端应用访问鉴权处理装置接收到客户端应用设备发送的第一口令申请消息后,向所述客户端应用设备返回为其分配的所述第一访问口令。上述的第一访问口令可以看作是一个临时口令,并未生效,客户端应用设备无法根据该临时口令访问运营商的电信网络能力。只有在特定用户的用户设备或第三方设备返回授权结果,并且所述授权结果为所述特定用户接受所述客户端应用业务时,才可以在本地***内将上述的第一访问口令的性质改变为正式口令,以授权所述客户端应用设备利用所述第一访问口令访问电信网络能力,向所述特定用户提供所述客户端应用业务。进而客户端应用设备可以利用该第一访问口令执行客户端应用业务,具体的是客户端应用设备向电信运营商的网络***中的第一业务处理模块发送携带第一访问口令的业务请求消息,上述第一业务处理模块在接收到业务请求消息,并在确认上述第一访问口令可用时,允许客户端应用设备访问电信网络能力,向所述特定用户提供客户端应用业务,具体的可以向电信运营商的网络***中的客户端应用访问鉴权处理装置确认所述第一访问口令是否可用。
另外还有一种实施方式,与上述实施例不同之处在于,运营商的客户端应用访问鉴权处理装置在上述授权结果为所述特定用户接受所述客户端应用业务时,不是改变第一访问口令的性质,而是生成与所述第一访问口令对应的验证码,并将所述验证码发送给所述客户端应用设备,在接收到客户端应用设备发送的携带所述第一访问口令和所述验证码的第二口令申请消息后,向客户端应用设备返回第二访问口令,该第二访问口令为正式口令,以授权所述客户端应用设备利用所述第二访问口令访问电信网络能力,向所述特定用户提供所述客户端应用业务。
具体的,在使用第二访问口令时,客户端应用设备向电信运营商的网络***中的第二业务处理模块发送携带第二访问口令的业务请求消息,上述第二业务处理接收业务请求消息,并在确认所述第二访问口令可用时,允许客户端应用设备访问电信网络能力,向所述特定用户提供所述客户端应用业务,具体的可以向电信运营商的网络***中的客户端应用访问鉴权处理装置确认所述第二访问口令是否可用。
本发明上述实施例中,在接收到所述特定用户的用户设备或第三方设备返回的授权结果,并确认所述授权结果为所述特定用户接受所述客户端应用业务后,还可以进一步对所述特定用户进行身份认证,并在认证通过后向客户端应用设备返回授权结果,具体的,针对上述使用第二访问口令的实施例,可以是先生成与第一访问口令对应的验证码,再将所述验证码携带在授权结果中发送给所述客户端应用设备。
图2为本发明客户端应用访问鉴权处理方法实施例二的流程示意图,如图2所示,包括如下的步骤:
步骤201、客户端应用设备的电信网络接入认证处理装置在访问运营商电信网络能力之前,先到电信运营商的网络***中的客户端应用访问鉴权处理装置申请临时口令,即发送第一口令申请消息,本发明实施例中的客户端应用设备,按照终端类型划分,可以分为移动终端客户端,例如手机、PDA,或者是计算机客户端等;按照客户端应用开发语言,可以分为Widge应用客户端、JAVA应用客户端、Brew应用客户端、Web客户端等。其中的电信网络接入认证处理装置为客户端应用设备内部设置的,专用于向电信网络进行认证的功能模块;
步骤202、运营商网络***的客户端应用访问鉴权处理装置在对客户端应用设备进行认证通过后,向电信网络接入认证处理装置返回为其分配的第一访问口令,该第一访问口令为一临时口令,并未生效,也就是客户端应用设备不能够直接使用该第一访问口令访问电信网络;
步骤203、电信网络接入认证处理装置向客户端应用访问鉴权处理装置发送第一授权请求消息,请求特定用户或第三方授权使用客户端应用业务;
步骤204、客户端应用访问鉴权处理装置向特定用户的用户设备或第三方设备发送第二授权请求消息,该第二授权请求消息用于请求所述特定用户授权使用所述客户端应用业务;具体的,该请求方式可以按照Web方式、无线应用协议(WirelessApplicationProtocol,以下简称:WAP)方式、非结构化补充数据业务(UnstructuredSupplementaryServiceData,以下简称:USSD)方式、互动式语音应答(InteractiveVoiceResponse,以下简称:IVR)或短消息方式向与所述特定用户的用户设备发送第二授权请求消息。可选的,该第二授权请求消息可以包括客户端应用业务对应的电信网络能力信息、使用所述电信网络能力的资费信息和授权使用所述客户端应用业务的期限类型,例如授权单次使用上述客户端应用业务、授权多次使用上述客户端应用业务、授权在一设定期限前使用上述客户端应用业务或授权在一设定时间范围内使用上述客户端应用业务;
步骤205、特定用户或第三方进行授权操作,向客户端应用访问鉴权处理装置返回授权结果,对于不同的请求方式,用户可以用不同方式提交身份认证信息并进行授权,例如对于Web或WAP页面,用户可以在Web或WAP页面上提交个人用户名和密码,并在页面上确认同意使用客户端应用业务;对于短消息的请求方式,用户可以通过确认回复短消息的方式,向电信运营商的网络***中的客户端应用访问鉴权处理装置返回授权结果;
步骤206、客户端应用访问鉴权处理装置识别特定用户的用户设备或第三方设备返回的授权结果,并在特定用户接受上述客户端应用业务时,对特定用户进行身份认证;
步骤207、在对特定用户的身份认证通过后,客户端应用访问鉴权处理装置向电信网络接入认证处理装置返回授权结果,同时将步骤202中返回的第一访问口令的性质修改为正式口令,以使得客户端应用设备可以访问电信网络为特定用户提供服务;
步骤208、客户端应用设备利用第一访问口令发起调用请求消息,具体的,可以是客户端应用设备的电信网络服务调用模块向电信运营商的网络***中的电信网络开放网关模块发送调用请求消息,调用电信网络能力,访问运营商的电信网络;
步骤209、电信网络开放网关模块在接收到上述的调用请求消息后,获取调用请求消息中携带的第一访问口令,并向客户端应用访问鉴权处理装置发送鉴权认证请求消息,进一步的,对于第一访问口令,是在接收到特定用户的授权结果后,将其性质转变为正式口令的,每一个该第一访问口令都是与特定用户对应的,因此,该第一访问口令仅允许向特定用户提供服务,在步骤208中的调用请求消息中,还可以进一步的携带用户标识,例如用户使用手机的SIM***,本步骤中会进一步对该用户标识进行认证,以确定其是否与第一访问口令对应,以防止客户端应用设备利用第一访问口令为其他用户提供服务;
步骤210、客户端应用访问鉴权处理装置对用户标识和第一访问口令的合法性、有效期进行认证;
步骤211、客户端应用访问鉴权处理装置向电信网络开放网关模块返回鉴权认证结果;
步骤212、电信网络开放网关模块在认证通过后,调用电信网络能力,并将调用结果返回给客户端应用设备,为特定用户提供服务。
本发明上述实施例中,其中步骤206中在特定用户接受客户端应用业务后,对特定用户的用户身份进行了身份认证,在实际应用中,该步骤为可选步骤,可以不执行上述的身份认证过程,或者也可以是在上述步骤204中向特定用户的用户设备或第三方设备发送第二授权请求消息之前进行身份认证,并在身份认证通过后,再执行向特定用户的用户设备或第三方设备发送第二授权请求消息的步骤。本发明上述实施例中,其中的客户端应用访问鉴权处理装置可以设置在在运营商网络***的各网关设备中,其具体的设置位置不影响本发明技术方案的实施。本实施例中在调用电信网络能力,为特定用户提供客户端应用业务之前,首先向特定用户或第三方去请求授权,在得到授权后再提供客户端应用业务,能够提高SP为用户提供业务的安全性。
上述图2所示的实施例是对应只分配第一访问口令的实施方案,图3为本发明客户端应用访问鉴权处理方法实施例三的流程示意图,该实施例中客户端应用访问鉴权处理装置会进一步分配第二访问口令作为正式口令,如图3所示,包括如下的步骤:
步骤301~步骤306与上述实施例中的步骤201~步骤206完成基本相同的功能。
步骤307、在对特定用户的身份认证通过后,生成与所述第一访问口令对应的验证码;
步骤308、向电信网络接入认证处理装置返回授权结果,该授权结果中携带上述验证码;
步骤309、电信网络接入认证处理装置向运营商的客户端应用访问鉴权处理装置发送携带所述第一访问口令和所述验证码的第二口令申请消息;
步骤310、客户端应用访问鉴权处理装置分配第二访问口令,该第二访问口令为正式口令,用于授权所述客户端应用设备利用该第二访问口令访问电信网络能力,并向上述特定用户提供所述客户端应用业务;
步骤311、客户端应用访问鉴权处理装置向电信网络接入认证处理装置返回第二访问口令;
步骤312~步骤316同上述实施例的步骤208~步骤212完成基本相同的功能,区别仅在于电信网络接入认证处理装置利用第二访问口令发起调用请求消息。
本实施例中,通过分别为客户端应用设备分配第一访问口令和第二访问口令,最后由客户端应用设备依据第二访问口令调用电能网络能力,为特定用户提供客户端应用业务,能够提高SP为用户提供客户单应用业务的安全性。
本发明实施例还提供了一种客户端应用访问鉴权处理装置,图4为本发明客户端应用访问鉴权处理装置实施例一的结构示意图,如图4所示,该客户端应用访问鉴权处理装置40包括第一接收模块11、第一发送模块12和业务授权模块13,其中第一接收模块11用于接收客户端应用设备发送的用于请求特定用户或第三方授权使用客户端应用业务的第一授权请求消息;第一发送模块12用于向所述特定用户的用户设备或第三方设备发送第二授权请求消息,所述第二授权请求消息用于请求所述特定用户或第三方授权使用所述客户端应用业务;业务授权模块13用于接收所述特定用户的用户设备或第三方设备返回的授权结果,根据所述授权结果确定是否允许所述客户端应用设备向所述特定用户提供所述客户端应用业务。
本发明实施例中,由设置在电信运营商的网络***中的客户端应用访问鉴权处理装置接收第一授权请求消息后,向特定用户的用户设备或第三方设备发送第二授权请求消息,询问该特定用户或第三方是否授权使用该客户端应用业务,然后根据特定用户的用户设备或第三方设备返回的授权结果确定是否允许客户端应用设备向所述特定用户提供所述客户端应用业务,进而使得客户端应用设备为特定用户提供的客户单应用业务都是经该特定用户授权的,提高SP为用户提供业务的安全性。
在上述的方法实施例中已经介绍了,可以通过口令的方式控制客户端应用设备访问电信网络为特定用户提供服务,具体的可以包括仅分配一次访问口令和分配两次访问口令的情形,分别对应图2和图3所示的方法实施例。
针对上述图2所示的实施例,对于只需分配第一访问口令的情形,可以如图5所示,客户端应用访问鉴权处理装置50进一步包括第一口令分配模块14,该第一口令分配模块14用于在接收客户端应用设备发送的用于请求特定用户或第三方授权使用客户端应用业务的第一授权请求消息之前,接收客户端应用设备发送的第一口令申请消息,并向所述客户端应用设备返回为其分配的所述第一访问口令;而上述的业务授权模块13具体用于在所述授权结果为所述特定用户接受所述客户端应用业务时,授权所述客户端应用设备利用所述第一访问口令访问电信网络能力,向所述特定用户提供所述客户端应用业务。
针对上述图3所示的实施例,需要分配第一访问口令和第二访问口令的情形,也包括上述的第一口令分配模块14,为客户端应用设备分配第一访问口令,而其中的业务授权模块13具体用于在授权结果为所述特定用户接受所述客户端应用业务时,生成与所述第一访问口令对应的验证码,并将所述验证码发送给所述客户端应用设备,并在接收到客户端应用设备发送的携带所述第一访问口令和所述验证码的第二口令申请消息后,向客户端应用设备返回第二访问口令,以授权所述客户端应用设备利用所述第二访问口令访问电信网络能力,向所述特定用户提供所述客户端应用业务。
另外,本发明实施例中还可以进一步的对特定用户的身份进行认证,即在客户端应用访问鉴权处理装置中设置用户身份认证模块15,该用户身份认证模块15用于在接收到所述特定用户的用户设备或第三方设备返回的授权结果后,且所述授权结果为所述特定用户接受所述客户端应用业务时,对所述特定用户进行身份认证,并在认证通过后向客户端应用设备返回授权结果,若生成了与所述第一访问口令对应的验证码,并将所述验证码携带在所述授权结果中发送给所述客户端应用设备。
进一步的,本发明实施例还提供了一种客户端应用业务处理装置,图6为本发明客户端应用业务处理装置实施例的结构示意图,如图6所示,客户端应用业务处理装置60包括客户端应用访问鉴权处理装置21和电信网络开放网关模块22,其中客户端应用访问鉴权处理装置21可以采用上述任一实施例提供的客户端应用访问鉴权处理装置,而电信网络开放网关模块22用于在接收到客户端应用设备发送的携带访问口令的调用请求消息后,向客户端应用访问鉴权处理装置发送请求对所述访问口令进行认证的鉴权认证请求消息,并在认证通过后为客户端应用设备调用电信网络能力。
本发明实施例还提供了一种客户端应用设备,图7为本发明客户端应用设备实施例的结构示意图,如图7所示,客户端应用设备70包括电信网络接入认证处理模块31和电信网络服务调用模块32,所述电信网络接入认证处理模块31用于向电信运营商的网络***发送用于请求特定用户授权使用客户端应用业务的第一授权请求消息,在特定用户接受所述客户端应用业务时,获取允许调用电信网络能力,向所述特定用户提供客户端应用业务的访问口令;电信网络服务调用模块32用于向电信运营商的网络***发送携带所述访问口令的调用请求消息,所述调用请求消息用于请求调用电信网络能力为所述特定用户提供客户端应用业务。
本发明上述实施例提供的客户端应用访问鉴权处理方法、装置,以及客户端应用业务处理装置、客户端应用设备,其中在调用电信网络能力为用户提供客户端应用业务前,首先向特定用户使用的用户设备或第三方设备发送授权请求消息,以请求授权该特定用户使用上述的客户端应用业务,在用户接受上述客户端应用业务后,再授权所述客户端应用设备访问电信网络能力,向所述特定用户提供所述客户端应用业务,通过上述技术方案,能够提高SP为用户提供客户端应用业务的安全性。另外,运营商也可以是在获得用户同意的情况下为其提供服务,并根据服务进行计费,能够有效防止第三方应用运营商的电信网络能力进行计费欺诈。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (11)
1.一种客户端应用访问鉴权处理方法,其特征在于,包括:
客户端应用访问鉴权处理装置接收客户端应用设备发送的用于请求特定用户或第三方授权使用客户端应用业务的第一授权请求消息;
所述客户端应用访问鉴权处理装置向所述特定用户的用户设备或第三方设备发送第二授权请求消息,所述第二授权请求消息用于请求所述特定用户或第三方授权使用所述客户端应用业务;
所述客户端应用访问鉴权处理装置接收所述特定用户的用户设备或第三方设备返回的授权结果,根据所述授权结果确定是否允许所述客户端应用设备向所述特定用户提供所述客户端应用业务;
其中,所述客户端应用访问鉴权处理装置接收客户端应用设备发送的用于请求特定用户或第三方授权使用客户端应用业务的第一授权请求消息之前还包括:
所述客户端应用访问鉴权处理装置接收客户端应用设备发送的第一口令申请消息,向所述客户端应用设备返回为其分配的第一访问口令;
所述客户端应用访问鉴权处理装置根据授权结果确定是否允许所述客户端应用设备向所述特定用户提供所述客户端应用业务包括:
在所述授权结果为所述特定用户接受所述客户端应用业务时,客户端应用访问鉴权处理装置授权所述客户端应用设备利用所述第一访问口令访问电信网络能力,向所述特定用户提供所述客户端应用业务;或者,在所述授权结果为所述特定用户接受所述客户端应用业务时,生成与所述第一访问口令对应的验证码,并将所述验证码发送给所述客户端应用设备,并在接收到客户端应用设备发送的携带所述第一访问口令和所述验证码的第二口令申请消息后,向客户端应用设备返回第二访问口令,以授权所述客户端应用设备利用所述第二访问口令访问电信网络能力,向所述特定用户提供所述客户端应用业务。
2.根据权利要求1所述的客户端应用访问鉴权处理方法,其特征在于,在所述客户端应用访问鉴权处理装置接收到所述特定用户的用户设备或第三方设备返回的授权结果后,且所述授权结果为所述特定用户接受所述客户端应用业务时,所述方法还包括:
所述客户端应用访问鉴权处理装置对所述特定用户进行身份认证,并在认证通过后向客户端应用设备返回授权结果。
3.根据权利要求1所述的客户端应用访问鉴权处理方法,其特征在于,若所述客户端应用访问鉴权处理装置根据授权结果确定是否允许所述客户端应用设备向所述特定用户提供所述客户端应用业务包括:在所述授权结果为所述特定用户接受所述客户端应用业务时,客户端应用访问鉴权处理装置授权所述客户端应用设备利用所述第一访问口令访问电信网络能力,向所述特定用户提供所述客户端应用业务,所述方法还包括:
所述客户端应用访问鉴权处理装置接收客户端应用设备发送的携带第一访问口令的调用请求消息,并在确认所述第一访问口令可用时,允许客户端应用设备调用电信网络能力,向所述特定用户提供所述客户端应用业务。
4.根据权利要求1所述的客户端应用访问鉴权处理方法,其特征在于,若所述客户端应用访问鉴权处理装置根据授权结果确定是否允许所述客户端应用设备向所述特定用户提供所述客户端应用业务包括:在所述授权结果为所述特定用户接受所述客户端应用业务时,生成与所述第一访问口令对应的验证码,并将所述验证码发送给所述客户端应用设备,并在接收到客户端应用设备发送的携带所述第一访问口令和所述验证码的第二口令申请消息后,向客户端应用设备返回第二访问口令,以授权所述客户端应用设备利用所述第二访问口令访问电信网络能力,向所述特定用户提供所述客户端应用业务,所述方法还包括:
所述客户端应用访问鉴权处理装置接收客户端应用设备发送的携带第二访问口令的业务请求消息,并在确认所述第二访问口令可用时,允许客户端应用设备访问电信网络能力,向所述特定用户提供所述客户端应用业务。
5.根据权利要求1所述的客户端应用访问鉴权处理方法,其特征在于,所述客户端应用访问鉴权处理装置向特定用户的用户设备或第三方设备发送第二授权请求消息包括:
所述客户端应用访问鉴权处理装置按照Web方式、无线应用协议方式、非结构化补充数据业务方式、互动式语音应答或短消息方式向与所述特定用户的用户设备或第三方设备发送第二授权请求消息。
6.根据权利要求1所述的客户端应用访问鉴权处理方法,其特征在于,所述第二授权请求消息包括所述客户端应用业务对应的电信网络能力信息、使用所述网络能力的资费信息和授权使用所述客户端应用业务的期限类型。
7.根据权利要求6所述的客户端应用访问鉴权处理方法,其特征在于,所述授权使用所述客户端应用业务的期限类型包括:
授权单次使用所述客户端应用业务、授权多次使用所述客户端应用业务、授权在一设定期限前使用所述客户端应用业务或授权在一设定时间范围内使用所述客户端应用业务。
8.一种客户端应用访问鉴权处理装置,其特征在于,包括:
第一接收模块,用于接收客户端应用设备发送的用于请求特定用户或第三方授权使用客户端应用业务的第一授权请求消息;
第一发送模块,用于向所述特定用户的用户设备或第三方设备发送第二授权请求消息,所述第二授权请求消息用于请求所述特定用户或第三方授权使用所述客户端应用业务;
业务授权模块,用于接收所述特定用户的用户设备或第三方设备返回的授权结果,根据所述授权结果确定是否允许所述客户端应用设备向所述特定用户提供所述客户端应用业务;
第一口令分配模块,用于在接收客户端应用设备发送的用于请求特定用户或第三方授权使用客户端应用业务的第一授权请求消息之前,接收客户端应用设备发送的第一口令申请消息,并向所述客户端应用设备返回为其分配的第一访问口令;
所述业务授权模块具体用于在所述授权结果为所述特定用户接受所述客户端应用业务时,授权所述客户端应用设备利用所述第一访问口令访问电信网络能力,向所述特定用户提供所述客户端应用业务;或者,在所述授权结果为所述特定用户接受所述客户端应用业务时,生成与所述第一访问口令对应的验证码,并将所述验证码发送给所述客户端应用设备,并在接收到客户端应用设备发送的携带所述第一访问口令和所述验证码的第二口令申请消息后,向客户端应用设备返回第二访问口令,以授权所述客户端应用设备利用所述第二访问口令访问电信网络能力,向所述特定用户提供所述客户端应用业务。
9.根据权利要求8所述的客户端应用访问鉴权处理装置,其特征在于,还包括:
用户身份认证模块,用于在接收到所述特定用户的用户设备或第三方设备返回的授权结果后,且所述授权结果为所述特定用户接受所述客户端应用业务时,对所述特定用户进行身份认证,并在认证通过后向客户端应用设备返回授权结果,若生成了与所述第一访问口令对应的验证码,并将所述验证码携带在所述授权结果中发送给所述客户端应用设备。
10.一种客户端应用业务处理装置,其特征在于,包括权利要求8或9所述的客户端应用访问鉴权处理装置和电信网络开放网关模块,所述电信网络开放网关模块用于在接收到客户端应用设备发送的携带访问口令的调用请求消息后,向客户端应用访问鉴权处理装置发送请求对所述访问口令进行认证的鉴权认证请求消息,并在认证通过后为客户端应用设备调用电信网络能力。
11.一种客户端应用设备,其特征在于,包括电信网络接入认证处理模块和电信网络服务调用模块,所述电信网络接入认证处理模块用于向电信运营商的网络***发送用于请求特定用户或第三方授权使用客户端应用业务的第一授权请求消息,在特定用户接受所述客户端应用业务时,获取允许调用电信网络能力,向所述特定用户提供客户端应用业务的访问口令;所述电信网络服务调用模块用于向电信运营商的网络***发送携带所述访问口令的调用请求消息,所述调用请求消息用于请求调用电信网络能力为所述特定用户提供客户端应用业务。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110367609.9A CN103124252B (zh) | 2011-11-18 | 2011-11-18 | 客户端应用访问鉴权处理方法和装置 |
| PCT/CN2012/084290 WO2013071836A1 (zh) | 2011-11-18 | 2012-11-08 | 客户端应用访问鉴权处理方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110367609.9A CN103124252B (zh) | 2011-11-18 | 2011-11-18 | 客户端应用访问鉴权处理方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103124252A CN103124252A (zh) | 2013-05-29 |
| CN103124252B true CN103124252B (zh) | 2016-08-03 |
Family
ID=48428977
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110367609.9A Expired - Fee Related CN103124252B (zh) | 2011-11-18 | 2011-11-18 | 客户端应用访问鉴权处理方法和装置 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN103124252B (zh) |
| WO (1) | WO2013071836A1 (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104468487B (zh) * | 2013-09-23 | 2018-10-19 | 华为技术有限公司 | 通信认证方法及装置、终端设备 |
| CN103532982A (zh) * | 2013-11-04 | 2014-01-22 | 祝贺 | 基于可穿戴设备授权的方法、装置和*** |
| CN104703162B (zh) * | 2014-12-27 | 2018-11-30 | 华为技术有限公司 | 一种通过应用访问第三方资源的方法、装置及*** |
| CN104715188B (zh) * | 2015-03-27 | 2019-10-01 | 百度在线网络技术(北京)有限公司 | 一种基于绑定终端的应用实现方法及装置 |
| CN107566322A (zh) * | 2016-06-30 | 2018-01-09 | 惠州华阳通用电子有限公司 | 一种车载***多用户访问方法及装置 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1466308A (zh) * | 2002-06-15 | 2004-01-07 | 华为技术有限公司 | 一种实现内容计费的方法 |
| CN101083528A (zh) * | 2007-06-08 | 2007-12-05 | 中兴通讯股份有限公司南京分公司 | 基于动态主机配置协议的安全接入方法及其*** |
| CN101282505A (zh) * | 2007-04-04 | 2008-10-08 | 中国电信股份有限公司 | 在电信***中对业务进行管理的方法 |
| WO2010081256A1 (en) * | 2009-01-16 | 2010-07-22 | Telefonktiebolaget Lm Ericsson (Publ) | Method of and message service gateway for controlling delivery of a message service to an end user |
| CN102004987A (zh) * | 2010-10-21 | 2011-04-06 | ***通信集团北京有限公司 | 一种应用业务的实现方法、装置和*** |
| CN102202300A (zh) * | 2011-06-14 | 2011-09-28 | 上海众人网络安全技术有限公司 | 一种基于双通道的动态密码认证***及方法 |
-
2011
- 2011-11-18 CN CN201110367609.9A patent/CN103124252B/zh not_active Expired - Fee Related
-
2012
- 2012-11-08 WO PCT/CN2012/084290 patent/WO2013071836A1/zh active Application Filing
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1466308A (zh) * | 2002-06-15 | 2004-01-07 | 华为技术有限公司 | 一种实现内容计费的方法 |
| CN101282505A (zh) * | 2007-04-04 | 2008-10-08 | 中国电信股份有限公司 | 在电信***中对业务进行管理的方法 |
| CN101083528A (zh) * | 2007-06-08 | 2007-12-05 | 中兴通讯股份有限公司南京分公司 | 基于动态主机配置协议的安全接入方法及其*** |
| WO2010081256A1 (en) * | 2009-01-16 | 2010-07-22 | Telefonktiebolaget Lm Ericsson (Publ) | Method of and message service gateway for controlling delivery of a message service to an end user |
| CN102004987A (zh) * | 2010-10-21 | 2011-04-06 | ***通信集团北京有限公司 | 一种应用业务的实现方法、装置和*** |
| CN102202300A (zh) * | 2011-06-14 | 2011-09-28 | 上海众人网络安全技术有限公司 | 一种基于双通道的动态密码认证***及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103124252A (zh) | 2013-05-29 |
| WO2013071836A1 (zh) | 2013-05-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111131242B (zh) | 一种权限控制方法、装置和*** | |
| CN102724647B (zh) | 一种能力访问授权方法及*** | |
| EP2854433B1 (en) | Method, system and related device for realizing virtual sim card | |
| CN104158824B (zh) | 网络实名认证方法及*** | |
| US9380038B2 (en) | Bootstrap authentication framework | |
| CN103944737A (zh) | 用户身份认证方法、第三方认证平台、运营商认证平台 | |
| CN103124252B (zh) | 客户端应用访问鉴权处理方法和装置 | |
| JP2010507842A (ja) | リモートサーバアクセスを認証するためのシステムおよび方法 | |
| CN106230838A (zh) | 一种第三方应用访问资源的方法和装置 | |
| WO2008008014A1 (en) | Method and arrangement for authentication procedures in a communication network | |
| CN106953831A (zh) | 一种用户资源的授权方法、装置及*** | |
| CN103179176B (zh) | 在云/集群环境下web应用的调用方法、装置和*** | |
| CN105681259A (zh) | 一种开放授权方法、装置及开放平台 | |
| CN107113613A (zh) | 服务器、移动终端、网络实名认证***及方法 | |
| CN103944861A (zh) | 一种语音验证*** | |
| CN105307158A (zh) | 一种通信终端的手机号码的身份验证方法 | |
| CN103026659A (zh) | 用于路由通信的方法和*** | |
| WO2013009191A1 (en) | System and method for alternative distribution of a pin code | |
| CN101841814A (zh) | 终端鉴权方法及*** | |
| CN103428161A (zh) | 一种电话认证服务*** | |
| CN109150864B (zh) | 基于二次认证的防作弊方法及装置 | |
| CN102149079B (zh) | 一种获取用户身份标识的方法、装置和*** | |
| CN102572762A (zh) | 一种应用调用业务能力的方法、计费方法以及装置 | |
| CN105392112B (zh) | Mtc设备信息的保护方法、设备及*** | |
| CN101860521B (zh) | 认证处理方法及*** |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20200213 Address after: 518129 Bantian HUAWEI headquarters office building, Longgang District, Guangdong, Shenzhen Patentee after: HUAWEI TECHNOLOGIES Co.,Ltd. Address before: Kokusai Hotel No. 11 Nanjing Avenue in the flora of 210012 cities in Jiangsu Province Patentee before: HUAWEI SOFTWARE TECHNOLOGIES Co.,Ltd. |
|
| TR01 | Transfer of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20160803 |