專利名稱:業(yè)務訪問控制方法、裝置和系統(tǒng)的制作方法
技術領域:
本發(fā)明涉及通信技術�����,特別涉及一種業(yè)務訪問控制方法�����、裝置和系統(tǒng)。
背景技術:
在移動分組業(yè)務應用中��,為了更高效地進行業(yè)務授權�、提供個性化業(yè)務,業(yè)務服務器通常需要終端用戶的移動終端號碼(Mobile Station International ISDN Number, 簡稱MSISDN)����、國際移動用戶標識 Gnternational Mobile Subscriber Identity,簡稱: IMSI)等用戶標識信息�,以根據該用戶標識信息提供針對性的業(yè)務。現(xiàn)有技術中����,可以采用帶內方式將用戶標識信息發(fā)送至業(yè)務服務器,即將用戶標識信息攜帶在終端向業(yè)務服務器發(fā)送的業(yè)務訪問請求(即HTTP請求)中����,具體可以將用戶標識信息插入在HTTP請求的頭信息中(稱為HTTP頭增強)。業(yè)務服務器在處理上述業(yè)務訪問請求的同時就可以得到該用戶標識信息����,從而可以根據用戶標識信息提供針對性的業(yè)務。例如����,可以由網關GPRS支持節(jié)點(Gateway GPRS Support Node,簡稱=GGSN)在接收到終端發(fā)送的業(yè)務訪問請求時����,將用戶標識信息加入至該請求中,再將已攜帶用戶標識信息的業(yè)務訪問請求轉發(fā)至業(yè)務服務器���。但是���,上述帶內方式存在如下技術缺陷將用戶標識信息直接插入在HTTP請求的頭信息后,將已攜帶用戶標識信息的HTTP請求發(fā)送給業(yè)務服務器的過程中���,很容易被其他中間網絡設備截取到�,存在用戶隱私泄露的隱患�,非常不安全。
發(fā)明內容
本發(fā)明的目的是提供一種業(yè)務訪問控制方法��、裝置和系統(tǒng)��,以保證業(yè)務訪問中用戶標識信息的安全性��。本發(fā)明一方面提供一種業(yè)務訪問控制方法����,包括接收終端發(fā)送的業(yè)務訪問請求��,所述業(yè)務訪問請求中攜帶有所述終端要訪問的業(yè)務服務器的統(tǒng)一資源定位符URL信息�����;向策略計費裁決功能實體發(fā)送信用控制請求��,所述信用控制請求中攜帶所述業(yè)務服務器的URL信息�����;接收所述策略計費裁決功能實體返回的信用控制應答����,所述信用控制應答中攜帶所述URL信息對應的密鑰信息����,并采用所述密鑰信息對所述終端用戶的用戶標識信息進行加密;將加密后的所述用戶標識信息攜帶在所述業(yè)務訪問請求中���,并將已攜帶加密后的用戶標識信息的業(yè)務訪問請求發(fā)送至業(yè)務服務器�����,以使得所述業(yè)務服務器根據解密獲得的用戶標識信息向所述終端推送業(yè)務內容����。本發(fā)明另一方面提供一種業(yè)務訪問控制方法��,包括根據存儲的業(yè)務服務器的URL信息與密鑰信息的對應關系����,將密鑰信息發(fā)送給對應的URL信息所定位的業(yè)務服務器,以使得所述業(yè)務服務器根據所述密鑰信息對業(yè)務訪問
5請求中攜帶的加密用戶標識信息進行解密后�����,根據解密獲得的用戶標識信息向終端推送業(yè)務內容���;接收策略計費執(zhí)行功能實體發(fā)送的信用控制請求��,所述信用控制請求中攜帶終端所要訪問的業(yè)務服務器的URL信息����;根據所述信用控制請求中攜帶的業(yè)務服務器的URL信息�����,從存儲的所述對應關系中查找到對應的密鑰信息����;向所述策略計費執(zhí)行功能實體返回信用控制應答�����,所述信用控制應答中攜帶查找到的所述業(yè)務服務器的URL信息對應的密鑰信息�,以使得所述策略計費執(zhí)行功能實體采用所述密鑰信息對用戶標識信息進行加密后����,攜帶在業(yè)務訪問請求中發(fā)送至業(yè)務服務器。本發(fā)明再一方面提供一種策略計費執(zhí)行功能實體���,包括第一接收模塊���,用于接收終端發(fā)送的業(yè)務訪問請求,所述業(yè)務訪問請求中攜帶有所述終端要訪問的業(yè)務服務器的統(tǒng)一資源定位符URL信息�����;第一發(fā)送模塊�����,用于向策略計費裁決功能實體發(fā)送信用控制請求��,所述信用控制請求中攜帶第一接收模塊接收到得業(yè)務訪問請求中攜帶的所述業(yè)務服務器的URL信息;第二接收模塊�����,用于接收所述策略計費裁決功能實體返回的信用控制應答��,所述信用控制應答中攜帶所述URL信息對應的密鑰信息�;加密模塊����,用于采用第二接收模塊接收到得信用控制應答中攜帶的URL信息對應的密鑰信息對所述終端用戶的用戶標識信息進行加密;第二發(fā)送模塊�,用于將加密模塊加密后的所述用戶標識信息攜帶在所述業(yè)務訪問請求中,并將已攜帶加密后的用戶標識信息的業(yè)務訪問請求發(fā)送至業(yè)務服務器���,以使得所述業(yè)務服務器根據解密獲得的用戶標識信息向所述終端推送業(yè)務內容�����。本發(fā)明再另一方面提供一種策略計費裁決功能實體����,包括第一發(fā)送模塊�,用于根據存儲模塊存儲的業(yè)務服務器的URL信息與密鑰信息的對應關系��,將密鑰信息發(fā)送給對應的URL信息所定位的業(yè)務服務器���,以使得所述業(yè)務服務器根據所述密鑰信息對業(yè)務訪問請求中攜帶的加密用戶標識信息進行解密后,根據解密獲得的用戶標識信息向終端推送業(yè)務內容���;第一接收模塊���,用于接收策略計費執(zhí)行功能實體發(fā)送的信用控制請求,所述信用控制請求中攜帶終端所要訪問的業(yè)務服務器的URL信息�����;查找模塊�����,用于根據根據所述信用控制請求中攜帶的業(yè)務服務器的URL信息����,從存儲模塊存儲的所述對應關系中查找到對應的密鑰信息;第二發(fā)送模塊�,用于向所述策略計費執(zhí)行功能實體返回信用控制應答,所述信用控制應答中攜帶查找到的所述業(yè)務服務器的URL信息對應的密鑰信息,以使得所述策略計費執(zhí)行功能實體采用所述密鑰信息對用戶標識信息進行加密后��,攜帶在業(yè)務訪問請求中發(fā)送至業(yè)務服務器���。本發(fā)明再另一方面提供一種業(yè)務服務器��,包括第三接收模塊��,用于接收所述策略計費裁決功能實體發(fā)送的密鑰信息����;以及接收所述策略計費執(zhí)行功能實體發(fā)送的業(yè)務訪問請求���;解密模塊,用于根據所述密鑰信息對所述業(yè)務訪問請求中攜帶的加密用戶標識信息進行解密��;
推送模塊���,用于根據所述解密模塊解密后的用戶標識信息�,對用戶標識信息對應的終端用戶推送業(yè)務內容���。本發(fā)明再另一方面提供一種業(yè)務訪問控制系統(tǒng)��,包括策略計費執(zhí)行功能實體�����、策略計費裁決功能實體和業(yè)務服務器�����;所述策略計費執(zhí)行功能實體�����,用于接收終端發(fā)送的業(yè)務訪問請求���,所述業(yè)務訪問請求中攜帶有所述終端要訪問的業(yè)務服務器的統(tǒng)一資源定位符URL信息����;向策略計費裁決功能實體發(fā)送信用控制請求�,所述信用控制請求中攜帶所述業(yè)務服務器的URL信息;接收所述策略計費裁決功能實體返回的信用控制應答����,所述信用控制應答中攜帶所述URL信息對應的密鑰信息,并采用所述密鑰信息對所述終端用戶的用戶標識信息進行加密��;將加密后的所述用戶標識信息攜帶在所述業(yè)務訪問請求中,并將已攜帶加密后的用戶標識信息的業(yè)務訪問請求發(fā)送至業(yè)務服務器���;所述策略計費裁決功能實體��,用于接收策略計費執(zhí)行功能實體發(fā)送的信用控制請求��;根據所述信用控制請求中攜帶的業(yè)務服務器的URL信息�,從存儲的業(yè)務服務器的URL信息與密鑰信息的對應關系中查找到對應的密鑰信息�;向所述策略計費執(zhí)行功能實體返回信用控制應答,所述信用控制應答中攜帶查找到的所述業(yè)務服務器的URL信息對應的密鑰信息����;業(yè)務服務器,用于接收所述策略計費裁決功能實體發(fā)送的密鑰信息�,并在接收到所述策略計費執(zhí)行功能實體發(fā)送的業(yè)務訪問請求后,根據所述密鑰信息對業(yè)務訪問請求中的用戶標識信息進行解密�����,根據解密后的用戶標識信息向所述終端推送業(yè)務內容��。本發(fā)明的業(yè)務訪問控制方法��、裝置和系統(tǒng)��,通過將用戶標識信息加密后再設置入業(yè)務訪問請求中��,解決了用戶標識信息容易被截取的問題�,大大提高了業(yè)務訪問中用戶標識信息的安全性。
為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術中的技術方案��,下面將對實施例或現(xiàn)有技術描述中所需要使用的附圖作一簡單地介紹���,顯而易見地���,下面描述中的附圖是本發(fā)明的一些實施例,對于本領域普通技術人員來講����,在不付出創(chuàng)造性勞動的前提下,還可以根據這些附圖獲得其他的附圖�。圖1為本發(fā)明業(yè)務訪問控制方法實施例一的應用場景示意圖;圖2為本發(fā)明業(yè)務訪問控制方法實施例一的流程示意圖��;圖3為本發(fā)明業(yè)務訪問控制方法實施例二的流程示意圖��;圖4為本發(fā)明業(yè)務訪問控制方法實施例三的信令示意圖��;圖5為本發(fā)明策略計費執(zhí)行功能實體實施例的結構示意圖����;圖6為本發(fā)明策略計費裁決功能實體實施例的結構示意圖�;圖7為本發(fā)明業(yè)務服務器實施例的結構示意圖���;圖8為本發(fā)明業(yè)務訪問控制系統(tǒng)實施例的結構示意圖�。
具體實施例方式為使本發(fā)明的目的��、技術方案和優(yōu)點更加清楚�,下面將結合本發(fā)明實施例中的附圖,對本發(fā)明實施例中的技術方案進行清楚�����、完整地描述��,顯然�����,所描述的實施例是本發(fā)明一部分實施例����,而不是全部的實施例�?����;诒景l(fā)明中的實施例����,本領域普通技術人員在沒有做出創(chuàng)造性勞動的前提下所獲得的所有其他實施例��,都屬于本發(fā)明保護的范圍�。為使得本發(fā)明實施例的說明更加清楚,提供本發(fā)明實施例的一種可選的應用場景圖����,圖1為本發(fā)明業(yè)務訪問控制方法實施例一的應用場景示意圖,其中�����,在圖1所示的場景中,GPRS服務支持節(jié)點(SERVICING GPRS SUPPORT NODE�����,簡稱SGSN)與GGSN通信連接���,用于將從網絡接入節(jié)點獲得的終端發(fā)送的業(yè)務訪問請求通過GGSN轉發(fā)給策略計費執(zhí)行功能實體(Policy and Charging Enforcement Function����,簡稱PCEF),PCEF分別與策略計費裁決功能實體(Policy and Charging Rule Function�����,簡稱PCRF)和業(yè)務服務器連接�����。下面以圖1所示的應用場景為例�,對本發(fā)明的技術方案進行詳細描述。實施例一圖2為本發(fā)明業(yè)務訪問控制方法實施例一的流程示意圖���,可選地本實施例的業(yè)務訪問控制方法可以是PCEF所執(zhí)行��。該方法可以包括以下步驟步驟101����、PCEF在接收到終端發(fā)送的業(yè)務訪問請求時���,向PCRF發(fā)送信用控制請求�;例如�����,終端發(fā)送的業(yè)務訪問請求中攜帶有終端所要訪問業(yè)務服務器的統(tǒng)一資源定位符(Uniform/Universal Resource Locator,簡禾爾URL)信息����,如 www. xyz. com。PCEF 可以向PCRF發(fā)送信用控制請求(Credit Control Request,簡稱CCR)�����,并且該CCR中攜帶上述的業(yè)務服務器的URL信息��。步驟102���、PCEF接收PCRF返回的信用控制應答��,其中包括密鑰信息�;例如���,PCEF接收的信用控制應答(Credit Control Answer���,簡稱CCA)中,可以攜帶密鑰信息����,該密鑰信息與步驟101中的業(yè)務服務器的URL信息對應�����。步驟103�、PCEF對終端用戶的用戶標識信息進行加密�;例如,終端用戶的用戶標識信息可以包括MSISDN�����、IMSI等��,PCEF可以采用步驟102 中所接收到的密鑰信息對用戶標識信息進行加密�。步驟104、PCEF在所述業(yè)務訪問請求中攜帶加密后的用戶標識信息��,并將已攜帶有加密后的用戶標識信息的業(yè)務訪問請求發(fā)送至業(yè)務服務器���。例如���,業(yè)務訪問請求可以為HTTP請求,PCEF可以將加密后的用戶標識信息攜帶在 HTTP請求的頭信息中。由于對用戶標識信息進行了加密�,所以相對于現(xiàn)有技術中的用戶標識信息直接插入方式,可以有效防止被其他中間網絡設備截取�����,大大提高了業(yè)務訪問中用戶標識信息的安全性�。本實施例的業(yè)務訪問控制方法��,通過將用戶標識信息加密后再攜帶在業(yè)務訪問請求中���,解決了用戶標識信息容易被截取的問題����,大大提高了業(yè)務訪問中用戶標識信息的安全性��。實施例二圖3為本發(fā)明業(yè)務訪問控制方法實施例二的流程示意圖�����,該方法可以是PCRF所執(zhí)行�����。如圖3所示,本實施例的業(yè)務訪問控制方法可以包括以下步驟 步驟201����,PCRF根據存儲的業(yè)務服務器的URL信息與密鑰信息的對應關系,將密鑰信息發(fā)送給對應的URL信息所定位的業(yè)務服務器���;
例如����,所述可以是運營商根據服務提供商的申請為服務提供商生成并存儲在PCRF 上的�����,PCRF在所述對應關系存儲后立即將密鑰信息發(fā)送給對應的URL信息所定位的業(yè)務服務器��,即提出申請的服務提供商的業(yè)務服務器����。步驟202、PCRF接收PCEF發(fā)送的信用控制請求���;例如���,該CCR中可以攜帶終端所要訪問業(yè)務服務器的URL信息。其中,該業(yè)務服務器的URL信息可以是PCEF由其接收到的終端發(fā)送的業(yè)務訪問請求中所獲取的����。步驟203、PCRF從存儲的所述對應關系中查找到對應的密鑰信息���;步驟204���、PCRF向PCEF返回信用控制應答�����,其中攜帶查找到得所述業(yè)務服務器的 URL信息對應的密鑰信息��。例如�,攜帶有密鑰信息的信用控制應答發(fā)送至PCEF之后,PCEF可以采用該密鑰信息對終端對應的用戶標識信息進行加密�����,并將加密后的用戶標識信息設置在業(yè)務訪問請求中發(fā)送至業(yè)務服務器��?���?蛇x地����,PCRF在步驟201之后����,還可以檢測所述對應關系中的密鑰信息是否發(fā)生變更;在檢測到密鑰信息發(fā)生變更時��,將變更后的密鑰信息通知對應的URL信息所定位的業(yè)務服務器�����。本實施例的業(yè)務訪問控制方法���,通過將用戶標識信息加密后再設置入業(yè)務訪問請求中�,解決了用戶標識信息容易被截取的問題�,大大提高了業(yè)務訪問中用戶標識信息的安全性。實施例三 圖4為本發(fā)明業(yè)務訪問控制方法實施例三的信令示意圖���,本實施例對PCEF和PCRF 之間的流程進行了詳細的說明�����。在本實施例中在to接口傳輸的CCR�、CCA中增加兩個擴展屬性值對(Attribute Value I^airs,簡稱AVP)�,通過這兩個擴展AVP分別攜帶業(yè)務服務器的URL信息和密鑰信息。如圖4所示�����,可以包括以下步驟步驟301���、終端向PCEF發(fā)送業(yè)務訪問請求����;例如����,該業(yè)務訪問請求可以為HTTP請求���;其中攜帶了終端所要訪問業(yè)務對應的業(yè)務服務器的URL信息����,該業(yè)務服務器的URL信息�����,該URL例如可以為誦.xyz. com。步驟302����、PCEF判斷該業(yè)務訪問請求是否需要進行HTTP頭增強;例如�����,PCEF中預先存儲有與多種URL對應的配置信息�,該配置信息用于指示URL是否需要進行HTTP頭增強。具體的���,HTTP頭增強是指在HTTP請求的頭信息中增加新的信息�����。一個HTTP請求通常包含四個部分���,如請求行部分、頭信息部分�、空行部分和請求數據部分等,其中的頭信息部分可以用于攜帶相關的客戶端信息以通知業(yè)務服務器����。本實施例中服務提供商的業(yè)務服務器為了對終端提供更加具有針對性的業(yè)務�,需要獲取有關終端用戶的用戶標識信息����,則可以將該用戶標識信息增加在上述HTTP請求的頭信息中,使得業(yè)務服務器在接收到 HTTP請求時就可以同時得到其所需的用戶標識信息����。例如,初始時��,運營商在PCEF上將各URL對應的配置信息設置為用于指示不需要進行HTTP頭增強的狀態(tài)位��。若URL www. xyz. com的服務提供商在運營商處注冊了 HTTP頭增強功能���,即當終端用戶通過HTTP請求訪問棚.xyz. com時,需要對該HTTP請求進行頭增強動作�����,則運營商可以根據該服務提供商的注冊要求����,在PCEF上將URL www, χγζ. com對應的配置信息更新為用于指示需要進行HTTP頭增強的狀態(tài)位����。這樣當PCEF接收到終端發(fā)送的訪問URL www. xyz. com的HTTP請求時�����,就會查詢自身存儲的配置信息�,判斷該HTTP請求是否需要進行頭增強。如果判斷結果為針對該URL的HTTP請求需要進行頭增強�����,則繼續(xù)執(zhí)行步驟303 ���; 否則�,直接將業(yè)務訪問請求發(fā)送給業(yè)務服務器���,由業(yè)務服務器直接向用戶推送統(tǒng)一的業(yè)務內容��。步驟303�、PCEF向PCRF發(fā)送CCR����,其中攜帶所述業(yè)務訪問請求中的URL信息��;例如���,PCEF將在步驟301中得到的HTTP請求中的URL www. xyz. com封裝在CCR的擴展AVP中,以使CCR中攜帶所述業(yè)務服務器的URL信息�����,然后通過to接口將已攜帶所述業(yè)務服務器的URL信息的CCR發(fā)送給PCRF���,該foe接口即為3GPP中定義的PCEF和PCRF之間的接口��,該CCR即相當于策略請求消息�����,用于向PCRF請求策略�����。具體的,PCEF向PCRF發(fā)送的CCR的結構可以參見如下�����,在該CCR中增加了用于封裝 URL 信息的 SP-URL AVP
<CC-Request> ::= < Diameter Header: 272, REQ, PXY >
< Session-Id > {Auth-Application-Id } { Origin-Host} { Origin-Realm }
{ Destination-Realm } { CC-Request-Type } { CC-Request-Number } [Destination-Host ] [Origin-State-Id ]...........................增加設置步驟304、PCRF向PCEF發(fā)送CCA�,其中攜帶所述業(yè)務訪問請求中的URL對應的密朗fn息;例如�����,PCRF在接收到步驟303中發(fā)送的CCR時��,可以根據CCR中的URL�,從存儲的業(yè)務服務器的URL信息與密鑰信息的對應關系中查詢到該URL對應的密鑰信息,并將查詢到的密鑰信息封裝在動態(tài)策略Charging-Rule-Definition的擴展AVP中���,以使承載所述動態(tài)策略的CCA中攜帶密鑰信息����,然后通過foe接口將已攜帶所述業(yè)務服務器的URL信息對應的密鑰信息的CCA發(fā)送給PCEF�。具體的,PCRF向PCEF發(fā)送的CCA的結構可以參見如下����,在該CCA承載的 Charging-Rule-Definition中增加了用于封裝密鑰信息的KEY AVP
Charging-Rule-Definition :: = < AVP Header: 1003 >
{ Charging-Rule-Name } [Service-Identifier ] [Rating-Group ] * [ Flow-Description ] [Flow-Status ] [QoS-Information ] [Reporting-Level ] [Online ] [Offline ] [Precedence ] * [ Flows ] [Append-MSISDN ] [Append-IMSI]...........................增加設置
*[AVP]具體的,上述的密鑰信息可以是在服務提供商向運營商申請注冊HTTP頭增強業(yè)務時�����,運營商為服務提供商生成的,不同服務提供商的密鑰信息可以是不同的��。該密鑰信息可以為一個密鑰��,也可以為密鑰對�����,當為密鑰對時包括公開密鑰和私有密鑰��,公開密鑰用于提供給PCEF進行用戶標識信息的加密�,私有密鑰用于提供給服務提供商的業(yè)務服務器以對用戶標識信息進行解密。運營商可以在PCRF上預先存儲服務提供商的URL以及與該URL 對應的密鑰對信息��。其中����,密鑰信息采用密鑰對的方式,可以進一步提高加密的安全性��。需要說明的是����,上述采用的密鑰對的方式�����,可以如上所述將公開密鑰發(fā)送至PCEF, 將私有密鑰發(fā)送至業(yè)務服務器����;或者,也可以將私有密鑰發(fā)送至PCEF��,將公開密鑰發(fā)送至業(yè)務服務器���。其中����,PCRF可以檢測密鑰信息是否發(fā)生變更�����,若密鑰信息變更�����,則PCRF可以通過簡單對象訪問協(xié)議(Simple Object Access Protocol�����,簡稱SOAP)接口告知服務提供商的業(yè)務服務器。
具體的�����,目前RSA等非對稱加密算法需要兩個密鑰公開密鑰(publickey)和私有密鑰(privatekey)��,公開密鑰與私有密鑰成對使用�����;如果用公開密鑰對數據進行加密���,只有用對應的私有密鑰才能解密�;如果用私有密鑰對數據進行加密�,那么只有用對應的公開密鑰才能解密。PCRF根據運營商的指示生成和存儲的既有公開密鑰���,也有私有密鑰���;PCRF 向PCEF發(fā)送公開密鑰,向業(yè)務服務器發(fā)送私有密鑰�����;PCEF使用公開密鑰加密,業(yè)務服務器使用私有密鑰解密����。出于增強安全性的考慮��,一般密鑰對會定期修改�����,當修改密鑰的時候��, PCRF會通知業(yè)務服務器��。PCRF中存儲有業(yè)務服務器的URL信息與密鑰信息的對應關系����,在接收到步驟303 中的CCR時,可以根據CCR中攜帶的URL信息��,查詢該對應關系��,得到URL信息所對應的密鑰信息中的公開密鑰���,并將該公開密鑰攜帶在CCA中返回至PCEF���。步驟305����、PCEF利用密鑰對用戶標識信息進行加密�;例如,用戶標識信息可以包括MSISDN�、IMSI,還可以包括接入點名稱(Access Point Name,簡稱APN)等信息�����,APN是終端在訪問URLwww. xyz. com時所對應的接入點����,由于APN對應于用戶所要訪問的業(yè)務,所以也可以視為用戶標識信息��。其中����,上述用戶標識信息可以是PCEF在終端進行認證流程時獲取的。終端在向 PCEF發(fā)送業(yè)務訪問請求之前��,是需要先向認證服務器發(fā)送認證請求進行認證的,在該認證請求中包含了 MSISDN���、IMSI和APN等用戶標識信息���。當認證服務器得到認證結果為終端通過認證時,其可以為該終端分配訪問業(yè)務的IP地址����,并且將IP地址以及對應的上述用戶標識信息發(fā)送至PCEF�����,告知PCEF進行存儲�。終端在認證通過后,就可以通過上述的IP地址向 PCEF發(fā)送業(yè)務訪問請求���;PCEF在接收到該業(yè)務訪問請求時��,同時可以知道終端的IP地址信息��,并可以通過該IP地址查找到與其對應的終端用戶的用戶標識信息�。例如�����,PCEF可以利用由PCRF獲取的私有密鑰采用RSA加密算法對用戶標識信息進行加密??蛇x地,可以只對用戶標識信息中的MSISDN��、IMSI等用戶個人敏感信息進行加
滋
Γ t [ O步驟306�����、PCEF將攜帶加密后的用戶標識信息的業(yè)務訪問請求發(fā)送給業(yè)務服務器����;例如,PCEF在對用戶標識信息加密完成后����,可以將加密后的用戶標識信息設置在 HTTP請求的頭信息中,并將該HTTP請求發(fā)送至業(yè)務服務器����。由于對HTTP請求中的用戶標識信息進行了加密,相對于現(xiàn)有技術直接插入用戶標識信息的方式�����,有效增強了用戶標識信息的安全性,從而避免了中間網絡設備截取用戶標識信息�����。步驟307����、業(yè)務服務器對業(yè)務訪問請求中的用戶標識信息進行解密;例如���,當PCEF和業(yè)務服務器采用同一個密鑰對用戶標識信息進行加密或解密時����, 業(yè)務服務器利用存儲的PCRF預先發(fā)送的密鑰對業(yè)務訪問請求中的用戶標識信息進行解密���,獲取得到終端用戶的用戶標識信息;當PCEF和業(yè)務服務器采用密鑰對中的公開密鑰和私有密鑰分別對用戶標識信息進行加密或解密時����,業(yè)務服務器可以利用存儲的PCRF預先發(fā)送的私有密鑰對業(yè)務訪問請求中的用戶標識信息進行解密,獲取得到終端用戶的用戶標識fe息��。步驟308�、業(yè)務服務器根據解密獲得的用戶標識信息向終端推送業(yè)務內容����。
例如�����,業(yè)務服務器在步驟307中得到用戶標識信息后��,可以向用戶推送更加具有針對性的業(yè)務���。此外�,本實施例中的PCEF可以單獨存在����,或者在GPRS的情況下可以位于GGSN,在無線局域網絡(Wireless Local Area Networks�����,簡稱WLAN)的情況下可以位于分組業(yè)務數據網關(Packet Data Gataway�����,簡稱PDG)等;也可以用在CDMA20001x的標準演變數據優(yōu)化(Evolution-Data Optimized�����,簡稱EV_D0)網絡中的分組業(yè)務數據節(jié)點(Packet Data Serving Node���,簡稱PDSN)設備���;或者數字用戶專線(Digital Subscriber Line,簡稱: DSL)寬帶網絡的寬帶遠程接入服務器(Broadband Remote Access Server��,簡稱BRAS)設備上�,在這里不再一一列舉。本實施例的業(yè)務訪問控制方法�,通過將用戶標識信息加密后攜帶在業(yè)務訪問請求中,解決了用戶標識信息容易被截取的問題�,大大提高了業(yè)務訪問中用戶標識信息的安全性。實施例四圖5為本發(fā)明策略計費執(zhí)行功能實體實施例的結構示意圖��,本實施例的PCEF可以執(zhí)行本發(fā)明任意實施例所述的業(yè)務訪問控制方法����。如圖5所示�,該PCEF可以包括第一接收模塊41、第一發(fā)送模塊42、第二接收模塊43����、加密模塊44和第二發(fā)送模塊45。其中����,第一接收模塊41,用于接收終端發(fā)送的業(yè)務訪問請求����,所述業(yè)務訪問請求中攜帶有所述終端要訪問的業(yè)務服務器的統(tǒng)一資源定位符URL信息;第一發(fā)送模塊42�����,用于向策略計費裁決功能實體發(fā)送信用控制請求���,所述信用控制請求中攜帶第一接收模塊41接收到得業(yè)務訪問請求中攜帶的所述業(yè)務服務器的URL信息����;第二接收模塊43�����,用于接收所述策略計費裁決功能實體返回的信用控制應答,所述信用控制應答中攜帶所述URL信息對應的密鑰信息��;加密模塊44�����,用于采用第二接收模塊43接收到得信用控制應答中攜帶的URL信息對應的密鑰信息對所述終端用戶的用戶標識信息進行加密��;第二發(fā)送模塊45���,用于將加密模塊44加密后的所述用戶標識信息攜帶在所述業(yè)務訪問請求中����,并將已攜帶加密后的用戶標識信息的業(yè)務訪問請求發(fā)送至業(yè)務服務器��,以使得所述業(yè)務服務器根據解密獲得的用戶標識信息向所述終端推送業(yè)務內容��。進一步的���,第一發(fā)送模塊42�����,具體用于將所述業(yè)務服務器的URL信息封裝在信用控制請求信令的第一擴展屬性值對AVP中,以使信用控制請求中攜帶所述業(yè)務服務器的 URL信息;通過foe接口將已攜帶所述業(yè)務服務器的URL信息的信用控制請求發(fā)送給所述策略計費裁決功能實體��。本實施例的策略計費執(zhí)行功能實體���,通過設置加密模塊等�,可以將用戶標識信息加密后再設置入業(yè)務訪問請求中����,解決了用戶標識信息容易被截取的問題,大大提高了業(yè)務訪問中用戶標識信息的安全性��。實施例五圖6為本發(fā)明策略計費裁決功能實體實施例的結構示意圖�����,本實施例的PCRF可以執(zhí)行本發(fā)明任意實施例所述的業(yè)務訪問控制方法�。如圖6所示,該PCRF可以包括存儲模塊 50�、第一發(fā)送模塊51、第一接收模塊52�、查找模塊53和第二發(fā)送模塊M。
其中����,第一發(fā)送模塊51�����,用于根據存儲模塊50存儲的業(yè)務服務器的URL信息與密鑰信息的對應關系����,將密鑰信息發(fā)送給對應的URL信息所定位的業(yè)務服務器���,以使得業(yè)務服務器根據所述密鑰信息對業(yè)務訪問請求中攜帶的加密用戶標識信息進行解密后�����,根據解密獲得的用戶標識信息向終端推送業(yè)務內容�;第一接收模塊52�,用于接收策略計費執(zhí)行功能實體發(fā)送的信用控制請求,所述信用控制請求中攜帶終端所要訪問的業(yè)務服務器的URL信息����;查找模塊53,用于根據根據所述信用控制請求中攜帶的業(yè)務服務器的URL信息���, 從存儲模塊50存儲的所述對應關系中查找到對應的密鑰信息��;第二發(fā)送模塊M���,用于向所述策略計費執(zhí)行功能實體返回信用控制應答,所述信用控制應答中攜帶查找到的所述業(yè)務服務器的URL信息對應的密鑰信息��,以使得所述策略計費執(zhí)行功能實體采用所述密鑰信息對用戶標識信息進行加密后�,攜帶在業(yè)務訪問請求中發(fā)送至業(yè)務服務器。進一步的�����,本實施例的第二發(fā)送模塊M���,具體用于將所述業(yè)務服務器的URL信息對應的密鑰信息封裝在動態(tài)策略的第二擴展屬性值對AVP中����,以使承載所述動態(tài)策略的信用控制應答中攜帶密鑰信息�����;通過to接口將已攜帶所述業(yè)務服務器的URL信息對應的密鑰信息的信用控制應答發(fā)送給所述策略計費執(zhí)行功能實體��。進一步的�,本實施例的PCRF還可以包括更新模塊55 ;該更新模塊55可以檢測存儲模塊50存儲的所述對應關系中密鑰信息是否變更����;并在所述密鑰信息發(fā)生變更時����,指示第一發(fā)送模塊將變更后的密鑰信息通知對應的URL信息所定位的業(yè)務服務器�。本實施例的策略計費裁決功能實體,通過設置第二發(fā)送模塊向PCEF發(fā)送密鑰信息�����,可以將用戶標識信息加密后再設置入業(yè)務訪問請求中�����,解決了用戶標識信息容易被截取的問題�����,大大提高了業(yè)務訪問中用戶標識信息的安全性��。實施例六圖7為本發(fā)明業(yè)務服務器實施例的結構示意圖�,本實施例的業(yè)務服務器可以執(zhí)行本發(fā)明任意實施例所述的業(yè)務訪問控制方法。如圖7所示����,該業(yè)務服務器可以包括第三接收模塊61�、解密模塊62和推送模塊63����。其中,第三接收模塊61�����,用于接收所述策略計費裁決功能實體發(fā)送的密鑰信息�; 以及接收所述策略計費執(zhí)行功能實體發(fā)送的業(yè)務訪問請求����;解密模塊62,用于根據第三接收模塊61接收到的所述密鑰信息對所述業(yè)務訪問請求中攜帶的加密用戶標識信息進行解密����;推送模塊63,用于根據所述解密模塊62解密后的用戶標識信息�,對用戶標識信息對應的終端用戶推送業(yè)務內容。本實施例的業(yè)務服務器���,通過設置解密模塊和推送模塊等����,可以將用戶標識信息加密后再設置入業(yè)務訪問請求中,解決了用戶標識信息容易被截取的問題����,大大提高了業(yè)務訪問中用戶標識信息的安全性。實施例七圖8為本發(fā)明業(yè)務訪問控制系統(tǒng)實施例的結構示意圖�����,本實施例的業(yè)務訪問控制系統(tǒng)可以執(zhí)行本發(fā)明任意實施例所述的業(yè)務訪問控制方法����。如圖8所示,該業(yè)務訪問控制系統(tǒng)可以包括PCEF 71, PCRF 72和業(yè)務服務器73����。
其中,PCEF 71��,用于接收終端發(fā)送的業(yè)務訪問請求�����,所述業(yè)務訪問請求中攜帶有所述終端要訪問的業(yè)務服務器的統(tǒng)一資源定位符URL信息�;向策略計費裁決功能實體發(fā)送信用控制請求,所述信用控制請求中攜帶所述業(yè)務服務器的URL信息;接收所述策略計費裁決功能實體返回的信用控制應答�����,所述信用控制應答中攜帶所述URL信息對應的密鑰信息�����,并采用所述密鑰信息對所述終端用戶的用戶標識信息進行加密�����;將加密后的所述用戶標識信息攜帶在所述業(yè)務訪問請求中���,并將已攜帶加密后的用戶標識信息的業(yè)務訪問請求發(fā)送至業(yè)務服務器;PCRF 72���,用于接收PCEF 71發(fā)送的信用控制請求����;根據所述信用控制請求中攜帶的業(yè)務服務器的URL信息���,從存儲的業(yè)務服務器的URL信息與密鑰信息的對應關系中查找到對應的密鑰信息����;向所述PCEF 71返回信用控制應答,所述信用控制應答中攜帶查找到的所述業(yè)務服務器的URL信息對應的密鑰信息��;業(yè)務服務器73����,用于接收所述PCRF 72發(fā)送的密鑰信息,并在接收到所述PCEF 71 發(fā)送的業(yè)務訪問請求后����,根據所述密鑰信息對業(yè)務訪問請求中的用戶標識信息進行解密, 根據解密后的用戶標識信息向所述終端推送業(yè)務內容���。本實施例的業(yè)務訪問控制系統(tǒng)��,通過使得PCEF采用PCRF下發(fā)的密鑰�,對用戶標識信息加密后再設置入業(yè)務訪問請求中�����,解決了用戶標識信息容易被截取的問題�����,大大提高了業(yè)務訪問中用戶標識信息的安全性。最后應說明的是以上實施例僅用以說明本發(fā)明的技術方案����,而非對其限制;盡管參照前述實施例對本發(fā)明進行了詳細的說明����,本領域的普通技術人員應當理解其依然可以對前述各實施例所記載的技術方案進行修改,或者對其中部分技術特征進行等同替換���;而這些修改或者替換����,并不使相應技術方案的本質脫離本發(fā)明各實施例技術方案的精神和范圍���。
權利要求
1.一種業(yè)務訪問控制方法,其特征在于����,包括接收終端發(fā)送的業(yè)務訪問請求,所述業(yè)務訪問請求中攜帶有所述終端要訪問的業(yè)務服務器的統(tǒng)一資源定位符URL信息�;向策略計費裁決功能實體發(fā)送信用控制請求,所述信用控制請求中攜帶所述業(yè)務服務器的URL信息����;接收所述策略計費裁決功能實體返回的信用控制應答����,所述信用控制應答中攜帶所述URL信息對應的密鑰信息����,并采用所述密鑰信息對所述終端用戶的用戶標識信息進行加密;將加密后的所述用戶標識信息攜帶在所述業(yè)務訪問請求中��,并將已攜帶加密后的用戶標識信息的業(yè)務訪問請求發(fā)送至業(yè)務服務器�����,以使得所述業(yè)務服務器根據解密獲得的用戶標識信息向所述終端推送業(yè)務內容�����。
2.根據權利要求1所述的業(yè)務訪問控制方法����,其特征在于,所述向策略計費裁決功能實體發(fā)送信用控制請求�,具體為將所述業(yè)務服務器的URL信息封裝在所述信用控制請求的第一擴展屬性值對AVP中, 以使信用控制請求中攜帶所述業(yè)務服務器的URL信息���;通過to接口將已攜帶所述業(yè)務服務器的URL信息的信用控制請求發(fā)送給所述策略計費裁決功能實體���。
3.—種業(yè)務訪問控制方法�����,其特征在于���,包括根據存儲的業(yè)務服務器的URL信息與密鑰信息的對應關系,將密鑰信息發(fā)送給對應的 URL信息所定位的業(yè)務服務器��,以使得所述業(yè)務服務器根據所述密鑰信息對業(yè)務訪問請求中攜帶的加密用戶標識信息進行解密后��,根據解密獲得的用戶標識信息向終端推送業(yè)務內容�;接收策略計費執(zhí)行功能實體發(fā)送的信用控制請求,所述信用控制請求中攜帶終端所要訪問的業(yè)務服務器的URL信息����;根據所述信用控制請求中攜帶的業(yè)務服務器的URL信息,從存儲的所述對應關系中查找到對應的密鑰信息���;向所述策略計費執(zhí)行功能實體返回信用控制應答,所述信用控制應答中攜帶查找到的所述業(yè)務服務器的URL信息對應的密鑰信息�,以使得所述策略計費執(zhí)行功能實體采用所述密鑰信息對用戶標識信息進行加密后�����,攜帶在業(yè)務訪問請求中發(fā)送至業(yè)務服務器�。
4.根據權利要求3所述的業(yè)務訪問控制方法��,其特征在于�����,所述向所述策略計費執(zhí)行功能實體返回信用控制應答�,具體為將所述業(yè)務服務器的URL信息對應的密鑰信息封裝在動態(tài)策略 Charging-Rule-Definition的第二擴展屬性值對AVP中,以使承載所述動態(tài)策略的信用控制應答中攜帶密鑰信息�����;通過to接口將已攜帶所述密鑰信息的信用控制應答發(fā)送給所述策略計費執(zhí)行功能實體�。
5.根據權利要求3或4所述的業(yè)務訪問控制方法,其特征在于��,所述將密鑰信息發(fā)送給對應的URL信息所定位的業(yè)務服務器后���,還包括檢測所述對應關系中的密鑰信息是否發(fā)生變更��;在檢測到密鑰信息發(fā)生變更時��,將變更后的密鑰信息通知對應的URL信息所定位的業(yè)務服務器��。
6.根據權利要求5所述的業(yè)務訪問控制方法����,其特征在于,所述密鑰信息包括公開密鑰和私有密鑰����;將密鑰信息發(fā)送給對應的URL信息所定位的業(yè)務服務器,具體為將私有密鑰發(fā)送至對應的URL信息所定位的業(yè)務服務器�����;所述信用控制應答中攜帶查找到的所述業(yè)務服務器的URL信息對應的密鑰信息���,具體為所述信用控制應答中攜帶查找到的所述業(yè)務服務器的URL信息對應的公開密鑰�����; 或者��,將密鑰信息發(fā)送給對應的URL信息所定位的業(yè)務服務器�,具體為將公開密鑰發(fā)送至對應的URL信息所定位的業(yè)務服務器��;所述信用控制應答中攜帶查找到的所述業(yè)務服務器的URL信息對應的密鑰信息����,具體為所述信用控制應答中攜帶查找到的所述業(yè)務服務器的URL信息對應的私有密鑰。
7.一種策略計費執(zhí)行功能實體�,其特征在于,包括第一接收模塊����,用于接收終端發(fā)送的業(yè)務訪問請求,所述業(yè)務訪問請求中攜帶有所述終端要訪問的業(yè)務服務器的統(tǒng)一資源定位符URL信息�;第一發(fā)送模塊,用于向策略計費裁決功能實體發(fā)送信用控制請求�,所述信用控制請求中攜帶第一接收模塊接收到得業(yè)務訪問請求中攜帶的所述業(yè)務服務器的URL信息;第二接收模塊�����,用于接收所述策略計費裁決功能實體返回的信用控制應答�,所述信用控制應答中攜帶所述URL信息對應的密鑰信息;加密模塊����,用于采用第二接收模塊接收到得信用控制應答中攜帶的URL信息對應的密鑰信息對所述終端用戶的用戶標識信息進行加密;第二發(fā)送模塊,用于將加密模塊加密后的所述用戶標識信息攜帶在所述業(yè)務訪問請求中��,并將已攜帶加密后的用戶標識信息的業(yè)務訪問請求發(fā)送至業(yè)務服務器���,以使得所述業(yè)務服務器根據解密獲得的用戶標識信息向所述終端推送業(yè)務內容�����。
8.根據權利要求7所述的策略計費執(zhí)行功能實體��,其特征在于����,所述第一發(fā)送模塊���,具體用于將所述業(yè)務服務器的URL信息封裝在信用控制請求信令的第一擴展屬性值對AVP中�,以使信用控制請求中攜帶所述業(yè)務服務器的URL信息��;通過 to接口將已攜帶所述業(yè)務服務器的URL信息的信用控制請求發(fā)送給所述策略計費裁決功能實體��。
9.一種策略計費裁決功能實體���,其特征在于���,包括第一發(fā)送模塊�����,用于根據存儲模塊存儲的業(yè)務服務器的URL信息與密鑰信息的對應關系,將密鑰信息發(fā)送給對應的URL信息所定位的業(yè)務服務器���,以使得所述業(yè)務服務器根據所述密鑰信息對業(yè)務訪問請求中攜帶的加密用戶標識信息進行解密后��,根據解密獲得的用戶標識信息向終端推送業(yè)務內容�;第一接收模塊��,用于接收策略計費執(zhí)行功能實體發(fā)送的信用控制請求�����,所述信用控制請求中攜帶終端所要訪問的業(yè)務服務器的URL信息�;查找模塊,用于根據根據所述信用控制請求中攜帶的業(yè)務服務器的URL信息�,從存儲模塊存儲的所述對應關系中查找到對應的密鑰信息;第二發(fā)送模塊��,用于向所述策略計費執(zhí)行功能實體返回信用控制應答�����,所述信用控制應答中攜帶查找到的所述業(yè)務服務器的URL信息對應的密鑰信息,以使得所述策略計費執(zhí)行功能實體采用所述密鑰信息對用戶標識信息進行加密后����,攜帶在業(yè)務訪問請求中發(fā)送至業(yè)務服務器。
10.根據權利要求9所述的策略計費裁決功能實體�����,其特征在于��,所述第二發(fā)送模塊����,具體用于將所述業(yè)務服務器的URL信息對應的密鑰信息封裝在動態(tài)策略的第二擴展屬性值對AVP中,以使承載所述動態(tài)策略的信用控制應答中攜帶密鑰信息��;通過to接口將已攜帶所述業(yè)務服務器的URL信息對應的密鑰信息的信用控制應答發(fā)送給所述策略計費執(zhí)行功能實體�。
11.根據權利要求9所述的策略計費裁決功能實體,其特征在于���,還包括更新模塊�,用于檢測存儲模塊存儲的所述對應關系中密鑰信息是否變更�;并在所述密鑰信息發(fā)生變更時����,指示第一發(fā)送模塊將變更后的密鑰信息通知對應的URL信息所定位的業(yè)務服務器�。
12.—種業(yè)務服務器,其特征在于����,包括第三接收模塊,用于接收所述策略計費裁決功能實體發(fā)送的密鑰信息���;以及接收所述策略計費執(zhí)行功能實體發(fā)送的業(yè)務訪問請求;解密模塊��,用于根據所述密鑰信息對所述業(yè)務訪問請求中攜帶的加密用戶標識信息進行解密��;推送模塊���,用于根據所述解密模塊解密后的用戶標識信息�,對用戶標識信息對應的終端用戶推送業(yè)務內容��。
13.—種業(yè)務訪問控制系統(tǒng)����,其特征在于�����,包括策略計費執(zhí)行功能實體����、策略計費裁決功能實體和業(yè)務服務器�����;所述策略計費執(zhí)行功能實體�����,用于接收終端發(fā)送的業(yè)務訪問請求�����,所述業(yè)務訪問請求中攜帶有所述終端要訪問的業(yè)務服務器的統(tǒng)一資源定位符URL信息��;向策略計費裁決功能實體發(fā)送信用控制請求�,所述信用控制請求中攜帶所述業(yè)務服務器的URL信息;接收所述策略計費裁決功能實體返回的信用控制應答����,所述信用控制應答中攜帶所述URL信息對應的密鑰信息��,并采用所述密鑰信息對所述終端用戶的用戶標識信息進行加密�;將加密后的所述用戶標識信息攜帶在所述業(yè)務訪問請求中�,并將已攜帶加密后的用戶標識信息的業(yè)務訪問請求發(fā)送至業(yè)務服務器;所述策略計費裁決功能實體�����,用于接收策略計費執(zhí)行功能實體發(fā)送的信用控制請求��; 根據所述信用控制請求中攜帶的業(yè)務服務器的URL信息����,從存儲的業(yè)務服務器的URL信息與密鑰信息的對應關系中查找到對應的密鑰信息��;向所述策略計費執(zhí)行功能實體返回信用控制應答��,所述信用控制應答中攜帶查找到的所述業(yè)務服務器的URL信息對應的密鑰信息�����;業(yè)務服務器�,用于接收所述策略計費裁決功能實體發(fā)送的密鑰信息,并在接收到所述策略計費執(zhí)行功能實體發(fā)送的業(yè)務訪問請求后����,根據所述密鑰信息對業(yè)務訪問請求中的用戶標識信息進行解密����,根據解密后的用戶標識信息向所述終端推送業(yè)務內容����。
全文摘要
本發(fā)明提供一種業(yè)務訪問控制方法、裝置和系統(tǒng)���,其中方法包括接收終端發(fā)送的業(yè)務訪問請求�����,其中攜帶有所述終端要訪問的業(yè)務服務器的統(tǒng)一資源定位符URL信息�;向策略計費裁決功能實體發(fā)送信用控制請求�����,其中攜帶所述業(yè)務服務器的URL信息�����;接收所述策略計費裁決功能實體返回的信用控制應答�����,信用控制應答中攜帶所述URL信息對應的密鑰信息,并采用所述密鑰信息對所述終端用戶的用戶標識信息進行加密����;將加密后的所述用戶標識信息攜帶在所述業(yè)務訪問請求中,并將已攜帶加密后的用戶標識信息的業(yè)務訪問請求發(fā)送至業(yè)務服務器���,以使得所述業(yè)務服務器根據解密獲得的用戶標識信息向所述終端推送業(yè)務內容���。本發(fā)明信大大提高了業(yè)務訪問中用戶信息的安全性。
文檔編號H04W12/02GK102355657SQ20111017711
公開日2012年2月15日 申請日期2011年6月28日 優(yōu)先權日2011年6月28日
發(fā)明者劉強 申請人:成都市華為賽門鐵克科技有限公司