一种提供业务数据及执行访问业务的方法及设备转让专利
申请号 : CN201010189936.5
文献号 : CN102264070B
文献日 : 2013-11-13
发明人 : 刘佳 , 袁捷 , 杜雪涛 , 张琳
申请人 : 中国移动通信集团设计院有限公司
摘要 :
本发明公开了一种提供业务数据及执行访问业务的方法及设备,主要内容包括:由量化的平台安全级别值来表征业务平台的可靠性,以及由量化的终端安全级别值来表征用户终端的可靠性,对于可靠性较高的业务平台,允许其向用户终端提供业务数据,执行用户请求的各类WAP业务;对于可靠性较低的业务平台,限制其提供业务数据;同时,只允许可靠性较高的用户终端在业务平台上执行待访问的业务,限制可靠性较低的用户终端执行待访问业务的行为。通过本发明方案,提高了业务平台提供数据的安全性,以及实现了针对用户行为安全的有效可行的控制。
权利要求 :
1.一种控制业务平台提供业务数据的方法,其特征在于,所述方法包括:
接收来自用户终端的业务请求,所述业务请求中携带终端标识和待访问业务的业务标识;
根据预先设定的终端标识与终端安全级别值的对应关系,确定业务请求中的终端标识对应的终端安全级别值;
在确定的终端安全级别值达到终端门限值时,确定所述终端安全级别值对应的业务标识;
在确定的业务标识没有包含业务请求中携带的业务标识时,拒绝用户终端执行待访问业务;
在确定的业务标识包含业务请求中携带的业务标识时,根据所述业务请求中携带的业务标识,确定为所述用户终端提供业务数据的业务平台的标识;
根据预先设定的业务平台的标识与平台安全级别值的对应关系,确定为用户终端提供业务数据的业务平台的标识对应的平台安全级别值;
在确定的平台安全级别值达到平台门限值时,允许业务平台向用户终端提供业务数据;否则,拒绝业务平台向用户终端提供业务数据;
其中,通过以下步骤确定业务平台的标识与平台安全级别值的对应关系:
对接收业务请求之前的设定时长内,业务平台传输的业务数据包和/或发布的业务数据进行分析,根据分析结果确定所述业务平台的标识对应的平台安全级别值,其中:分析结果表示的业务平台可靠性越高,对应的平台安全级别值越高;分析结果表示的业务平台可靠性越低,对应的平台安全级别值越低;
其中,对业务平台传输的业务数据包和/或发布的业务数据内容进行分析,具体包括:提取业务平台传输的数据包,在根据所述数据包的包头中的链接信息确定业务平台传输的业务数据是非法链接的业务数据时,降低分析结果表示的业务平台可靠性;和/或将发布的业务数据的内容与设定的非法关键字进行比较,在确定发布的业务数据的内容中包含非法关键字时,降低分析结果表示的业务平台可靠性。
2.如权利要求1所述的方法,其特征在于,通过以下步骤确定终端标识与终端安全级别值的对应关系:对接收业务请求之前的设定时长内,所述用户终端访问业务平台时获得的业务数据进行分析,根据分析结果确定用户终端的终端标识对应的终端安全级别值。
3.一种控制业务平台提供业务数据的设备,其特征在于,所述设备包括接收模块、终端安全级别确定模块、第二比较模块、第二控制模块、平台确定模块、平台安全级别确定模块、第一比较模块、第一控制模块和对应关系确定模块,其中:接收模块,用于接收到来自用户终端的业务请求,所述业务请求中携带终端标识和待访问业务的业务标识;
终端安全级别确定模块,用于根据预先设定的终端标识与终端安全级别值的对应关系,确定业务请求中的终端标识对应的终端安全级别值;
第二比较模块,用于将确定的终端安全级别值与终端门限值进行比较;
第二控制模块,用于在终端安全级别值未达到终端门限值,或在终端安全级别值达到终端门限值但终端安全级别值对应的业务标识未包含业务请求中携带的业务标识时,触发第一控制模块拒绝业务平台向用户终端提供业务数据;否则,触发第一控制模块在平台安全级别值达到平台门限值时,允许业务平台向用户终端提供业务数据;
平台确定模块,用于根据业务请求中携带的业务标识,确定为所述用户终端提供业务数据的业务平台的标识;
平台安全级别确定模块,用于根据预先设定的业务平台的标识与平台安全级别值的对应关系,确定为用户终端提供业务数据的业务平台的标识对应的平台安全级别值;
第一比较模块,用于将确定的平台安全级别值与平台门限值进行比较;
第一控制模块,用于在比较结果为平台安全级别值达到平台门限值时,允许业务平台向用户终端提供业务数据;否则,拒绝业务平台向用户终端提供业务数据;
对应关系确定模块,用于对接收业务请求之前的设定时长内,业务平台传输的业务数据包和/或发布的业务数据进行分析,根据分析结果确定所述业务平台的标识对应的平台安全级别值,其中:分析结果表示的业务平台可靠性越高,对应的平台安全级别值越高;分析结果表示的业务平台可靠性越低,对应的平台安全级别值越低;
其中,对应关系确定模块,具体用于提取业务平台传输的数据包,在根据所述数据包的包头中的链接信息确定业务平台传输的业务数据是非法链接的业务数据时,降低分析结果表示的业务平台可靠性;和/或,将发布的业务数据的内容与设定的非法关键字进行比较,在确定发布的业务数据的内容中包含非法关键字时,降低分析结果表示的业务平台可靠性。
4.如权利要求3所述的设备,其特征在于,
对应关系确定模块,还用于对接收业务请求之前的设定时长内,所述用户终端访问业务平台时获得的业务数据进行分析,根据分析结果确定用户终端的终端标识对应的终端安全级别值。
说明书 :
一种提供业务数据及执行访问业务的方法及设备
技术领域
[0001] 本发明涉及通信领域,尤其涉及一种业务平台向用户提供业务数据的方法及设备,以及用户终端在业务平台上执行访问业务的方法及设备。
背景技术
[0002] 随着人们对无线网络业务需求的增长,各种无线网络的融合已经成为网络发展的大趋势,无线网络的业务类型也随之丰富,为用户提供了便利的信息共享平台。在无线网络业务的快速发展的同时,用户对业务平台的访问合法性以及业务平台提供业务数据的合法性等网络安全问题也随之凸显。为了保证网络的安全运行和网络业务的合法使用,需要对用户对业务平台的访问和业务平台提供业务数据的过程进行安全控制,目前采用的安全控制方式如下:
[0003] 用户对业务平台访问的安全控制方式:
[0004] 如图1所示,用户对业务平台访问的安全控制方式采用的是对用户的身份认证机制。无线接入模块是用户和核心网之间通信的部分,用户通过无线接入模块接入网络。接入控制模块主要是和身份认证模块结合,通过对用户的身份认证结果控制用户是否能够继续访问业务平台。如果用户通过身份认证,则接入控制模块允许用户通过接口网关继续访问业务平台,否则,用户无法访问业务平台。
[0005] 在上述对用户的安全控制方式下,用户只有通过身份认证和不通过身份认证两种状态,用户身份认证方法单一,网络只能控制用户是否可以接入,而对于很多用户行为缺乏有效手段进行限制,导致用户利用网络进行的一些非法行为无法控制。
[0006] 业务平台提供业务数据的安全控制方式:
[0007] 针对业务平台的非法行为,目前通过采用人工拨测、异常流量的监控和抽测等方式,通过上述方式发现业务平台提供非法的业务数据时,禁止业务平台向用户提供业务数据。
[0008] 由于上述对业务平台提供业务数据的安全控制方式,需要人工对业务平台提供的业务数据进行检测,因此,导致业务数据的检测实时性差,效率不高,使得业务平台向用户终端提供的业务数据的安全性得不到保证。
[0009] 综上所述,在目前的网络业务的使用过程中,对网络业务的使用方和提供方的安全控制存在漏洞,对网络的安全运行和网络业务的合法使用造成影响。
发明内容
[0010] 本发明实施例的一个发明目的是提供一种控制业务平台提供业务数据的方法和设备,用以解决现有技术中存在的业务平台向用户终端提供的业务数据的安全性得不到保证的问题。
[0011] 一种控制业务平台提供业务数据的方法,所述方法包括:
[0012] 接收来自用户终端的业务请求,所述业务请求中携带终端标识和待访问业务的业务标识;
[0013] 根据预先设定的终端标识与终端安全级别值的对应关系,确定业务请求中的终端标识对应的终端安全级别值;
[0014] 在确定的终端安全级别值达到终端门限值时,确定所述终端安全级别值对应的业务标识;
[0015] 在确定的业务标识没有包含业务请求中携带的业务标识时,拒绝用户终端执行待访问业务;
[0016] 在确定的业务标识包含业务请求中携带的业务标识时,根据所述业务请求中携带的业务标识,确定为所述用户终端提供业务数据的业务平台;
[0017] 根据预先设定的业务平台的标识与平台安全级别值的对应关系,确定为用户终端提供业务数据的业务平台的标识对应的平台安全级别值;
[0018] 在确定的平台安全级别值达到平台门限值时,允许业务平台向用户终端提供业务数据;否则,拒绝业务平台向用户终端提供业务数据;
[0019] 其中,通过以下步骤确定业务平台的标识与平台安全级别值的对应关系:
[0020] 对接收业务请求之前的设定时长内,业务平台传输的业务数据包和/或发布的业务数据进行分析,根据分析结果确定所述业务平台的标识对应的平台安全级别值,其中:分析结果表示的业务平台可靠性越高,对应的平台安全级别值越高;分析结果表示的业务平台可靠性越低,对应的平台安全级别值越低;
[0021] 其中,对业务平台传输的业务数据包和/或发布的业务数据内容进行分析,具体包括:
[0022] 提取业务平台传输的数据包,在根据所述数据包的包头中的链接信息确定业务平台传输的业务数据是非法链接的业务数据时,降低分析结果表示的业务平台可靠性;和/或
[0023] 将发布的业务数据的内容与设定的非法关键字进行比较,在确定发布的业务数据的内容中包含非法关键字时,降低分析结果表示的业务平台可靠性。
[0024] 一种控制业务平台提供业务数据的设备,所述设备包括接收模块、终端安全级别确定模块、第二比较模块、第二控制模块、平台确定模块、平台安全级别确定模块、第一比较模块、第一控制模块和对应关系确定模块,其中:
[0025] 接收模块,用于接收到来自用户终端的业务请求,所述业务请求中携带终端标识和待访问业务的业务标识;
[0026] 终端安全级别确定模块,用于根据预先设定的终端标识与终端安全级别值的对应关系,确定业务请求中的终端标识对应的终端安全级别值;
[0027] 第二比较模块,用于将确定的终端安全级别值与终端门限值进行比较;
[0028] 第二控制模块,用于在终端安全级别值未达到终端门限值,或在终端安全级别值达到终端门限值但终端安全级别值对应的业务标识未包含业务请求中携带的业务标识时,触发第一控制模块拒绝业务平台向用户终端提供业务数据;否则,触发第一控制模块在平台安全级别值达到平台门限值时,允许业务平台向用户终端提供业务数据;
[0029] 平台确定模块,用于根据业务请求中携带的业务标识,确定为所述用户终端提供业务数据的业务平台;
[0030] 平台安全级别确定模块,用于根据预先设定的业务平台的标识与平台安全级别值的对应关系,确定为用户终端提供业务数据的业务平台的标识对应的平台安全级别值;
[0031] 第一比较模块,用于将确定的平台安全级别值与平台门限值进行比较;
[0032] 第一控制模块,用于在比较结果为平台安全级别值达到平台门限值时,允许业务平台向用户终端提供业务数据;否则,拒绝业务平台向用户终端提供业务数据;
[0033] 对应关系确定模块,用于对接收业务请求之前的设定时长内,业务平台传输的业务数据包和/或发布的业务数据进行分析,根据分析结果确定所述业务平台的标识对应的平台安全级别值,其中:分析结果表示的业务平台可靠性越高,对应的平台安全级别值越高;分析结果表示的业务平台可靠性越低,对应的平台安全级别值越低;
[0034] 其中,对应关系确定模块,具体用于提取业务平台传输的数据包,在根据所述数据包的包头中的链接信息确定业务平台传输的业务数据是非法链接的业务数据时,降低分析结果表示的业务平台可靠性;和/或,将发布的业务数据的内容与设定的非法关键字进行比较,在确定发布的业务数据的内容中包含非法关键字时,降低分析结果表示的业务平台可靠性。
[0035] 本发明实施例由量化的平台安全级别值来表征业务平台的可靠性,对于可靠性较高的业务平台,允许其向用户终端提供业务数据,执行用户请求的各类WAP业务;对于可靠性较低的业务平台,限制其提供业务数据,提高了业务平台提供数据的安全性。
[0036] 本发明实施例由量化的终端安全级别值来表征用户终端的可靠性,只允许可靠性较高的用户终端在业务平台上执行待访问的业务,限制可靠性较低的用户终端执行待访问业务的行为,提供了针对用户行为安全的有效可行的控制手段。
附图说明
[0037] 图1为背景技术中用户对业务平台的访问的安全控制方式示意图;
[0038] 图2为本发明实施例一中控制业务平台向用户终端提供业务数据的方法示意图;
[0039] 图3为本发明实施例二中控制用户终端在业务平台上执行访问业务的方法示意图;
[0040] 图4为本发明实施例三中控制业务平台提供业务数据的设备结构示意图;
[0041] 图5为本发明实施例四中控制用户终端执行访问业务的设备结构示意图。
具体实施方式
[0042] 本发明实施例针对无线网络中的大量用户终端和WAP网站的安全可信问题,分别提出了一种基于业务平台侧和用户终端侧的安全控制架构。在基于业务平台侧的安全架构下,通过对各业务平台的监测信息进行的分析和评价,为各业务平台划分平台安全级别值,针对某一业务平台而言,通过分析该业务平台的平台安全级别值的高低,来限制业务平台提供的业务数据,在限制提供业务数据的过程中,无需人工参与,提高业务数据的检测实时性,同时还增强了对业务平台向用户终端提供的业务数据的安全性;基于用户终端侧的安全架构下,通过对用户终端的评价划分终端安全级别值,针对某一用户终端而言,通过分析该用户终端的终端安全级别值的高低,来限制用户终端对业务平台的访问,提高了针对用户行为的安全控制。
[0043] 下面结合说明书附图对本发明实施例进行详细说明。
[0044] 实施例一:
[0045] 如图2所述,为本发明实施例一中控制业务平台向用户终端提供业务数据的方法示意图,所述方法包括以下步骤:
[0046] 步骤101:接收来自用户终端的业务请求,所述业务请求中携带业务标识。
[0047] 本步骤的执行主体可以是网络侧中的接口网关,用户终端发出的业务请求通过网络传输到达接口网关后,接口网关可以通过提取业务请求中携带的所述用户终端的终端标识对用户终端进行安全性认证。
[0048] 步骤102:根据所述业务标识确定为用户终端提供业务数据的业务平台的标识。
[0049] 本发明各实施例中涉及的业务平台是能够为用户终端提供至少一项业务的业务数据的设备(如WAP服务器),针对某一业务平台提供的一项业务数据能够由一个唯一的业务标识来表示。
[0050] 步骤103:根据业务平台的标识与该业务平台的平台安全级别值的对应关系,确定为用户终端提供业务数据的业务平台的标识对应的平台安全级别值。
[0051] 在本步骤中,可以由协议分析设备和内容审计设备等网元对业务平台进行评价,进而接口网关可以通过协议分析设备和内容审计设备获得业务平台的平台安全级别值。
[0052] 本实施例一中业务平台的标识与平台安全级别值的对应关系可以通过以下方式预先确定:
[0053] 第一步:采集步骤101之前的设定时长内业务平台传输的业务数据包和/或发布的业务数据。
[0054] 所述设定时长可以是以该业务平台上一次提供业务数据为终点的一段时长,也可以是步骤101之前的一段固定时长。如果以一段固定时长作为所述设定时长,则该业务平台的平台安全级别值将不再改变;如果以该业务平台上一次提供业务数据为终点的一段时长作为所述设定时长,则该业务平台的平台安全级别值将会随着每一次提供业务数据的过程而动态变化。
[0055] 用于确定平台安全级别值的采集信息也不限于传输的业务数据包和/或发布的业务数据,还可以是业务平台的注册信息、登录时长等。
[0056] 用于确定平台安全级别值的采集信息可以由接口网关、内容审计设备和协议分析设备等采集,并将采集信息存储在数据库中。
[0057] 第二步:对传输的业务数据包和/或发布的业务数据进行分析,确定对应的平台安全级别值。
[0058] 本发明实施例支持各种类型的确定平台安全级别值的计算策略,可以由接口网关、内容审计设备、议分析设备或其他网元周期性的利用设定的计算策略确定业务平台的平台安全级别值。
[0059] 本步骤中确定平台安全级别值的计算策略为:
[0060] 如果在第一步中由协议分析设备采集传输的业务数据包,则在本步骤中协议分析设备提取数据包的包头中的链接信息,并根据该链接信息判断业务平台传输的业务数据是否是非法链接的业务数据(即业务平台的相应页面上是否存在盗链),如果存在盗链,则认为该业务平台可靠性低。
[0061] 如果在第一步中由内容审计设备采集发布的业务数据,则在本步骤中内容审计设备将发布的业务数据的内容与设定的非法关键字进行比较,判断发布的业务数据的内容中是否包含非法关键字,如果存在非法关键字,则认为该业务平台可靠性低。
[0062] 如果在第一步中采集的是传输的业务数据包和发布的业务数据,则结合上述针对传输的业务数据包和发布的业务数据的可靠性判断方式,确定业务平台的可靠性。
[0063] 在根据采集的信息对业务平台的可靠性进行分析后,可以对业务平台的可靠性做出量化的评价,所述量化的评价表示的是业务平台的信任值,也就是业务平台的平台安全级别值。
[0064] 根据业务平台可靠性越高,对应的平台安全级别值越高,反之,业务平台可靠性越低,对应的平台安全级别值越低的原则确定业务平台的平台安全级别值,具体的确定方式为:如果在初始状态下,业务平台的平台安全级别值都为最低值,则在通过对传输的业务数据包和/或发布的业务数据进行分析后确定业务平台的可靠性低时,不改变平台安全级别值,否则,提高平台安全级别值;如果在初始状态下,业务平台的平台安全级别值都为最高值,则在确定业务平台的可靠性低时,降低平台安全级别值,否则,不改变平台安全级别值。
[0065] 存储在数据库中的信息除了采集信息之外,还可以包括确定的各业务平台的平台安全级别值、平台门限值和业务平台运行日志等。
[0066] 步骤104:将确定的平台安全级别值与平台门限值进行比较,在平台安全级别值达到平台门限值时,执行步骤105;否则,执行步骤106。
[0067] 在本步骤中,为了保证业务平台提供的业务数据的安全性和合法性,要求只有平台安全级别值较高的业务平台才允许提供业务数据,以避免平台安全级别值较低的业务平台提供的业务数据很可能不合法的问题。
[0068] 在本步骤中,由确定平台安全级别值的网元为各类型的业务平台确定平台门限值并将该平台门限值存储在数据库中。接口网关从数据库中读取出该业务平台的平台门限值后,利用该平台门限值对业务平台的平台安全级别值进行判断,只有在业务平台当前的平台安全级别值达到平台门限值时认为业务平台的平台安全级别值较高,否则,认为业务平台的平台安全级别值较低。
[0069] 步骤105:允许业务平台向用户终端提供业务数据,结束业务平台向用户终端提供业务数据的过程。
[0070] 步骤106:拒绝业务平台向用户终端提供业务数据,结束业务平台向用户终端提供业务数据的过程。
[0071] 进一步地,在确保了业务平台侧提供业务数据的安全性的同时,还可以对用户终端侧的安全性进行控制,因此,在执行步骤105之前,本实施例一的方案中还可以对用户终端的安全性进行判定。假设在本实施例一中,在步骤101和步骤102之间执行对用户终端安全性的判定,则包括以下步骤:
[0072] 步骤A:根据终端标识与终端安全级别值的对应关系,确定业务请求中的终端标识对应的终端安全级别值。
[0073] 在本步骤中,对接收业务请求之前的设定时长内,所述用户终端访问各个业务平台时获得的业务数据进行分析,根据分析结果确定用户终端的终端标识对应的终端安全级别值。
[0074] 在本步骤中,可以由接口网关、AAA服务器和用户访问的业务平台联合对用户终端的行为进行评价,通过对用户行为的量化确定用户终端的终端安全级别值。
[0075] 步骤B:将确定的终端安全级别值与终端门限值进行比较,在达到终端门限值时,执行步骤C;否则,跳转至步骤106。
[0076] 在本步骤中,如果终端安全级别值达到终端门限值,表示该终端的安全性较高,能够访问用户平台;否则,表示该终端的不安全因素较多,不允许访问用户平台。
[0077] 步骤C:确定所述终端安全级别值对应的业务标识。
[0078] 在本实施例中,考虑到用户终端访问业务平台的安全性,为不同终端安全级别值分配可执行的业务。例如,对于较低的终端安全级别值,其对应的业务仅限于阅读业务平台发布的用户数据;对于较高的终端安全级别值,其对应的业务除阅读业务平台发布的用户数据之外,还可从业务平台下下载业务数据;对于最高的终端安全级别值,其对应的业务除阅读业务平台发布的用户数据、下载业务数据之外,还可在业务平台上发布用户数据等。
[0079] 步骤D:在确定的业务标识包含业务请求中携带的业务标识时,执行步骤102;否则,跳转至步骤106。
[0080] 在本步骤中,用户终端的终端安全级别值不仅要能够访问业务平台,且该终端安全级别值还要达到能够执行用户终端请求执行的业务的程度。如果用户终端的终端安全级别值足够高,能够执行用户终端请求执行的业务,则认为对用户终端的安全性控制结束,在业务平台的安全性控制满足要求的情况下可以为用户终端提供业务数据;如果用户终端的终端安全级别值较低,无法满足执行用户终端请求执行的业务的需求,则不论业务平台的安全性控制的结果如何,都不为用户终端提供业务数据。
[0081] 通过本发明实施例一的方法,由量化的平台安全级别值来表征业务平台的可靠性,对于可靠性较高的业务平台,允许其向用户终端提供业务数据,执行用户请求的各类WAP业务;对于可靠性较低的业务平台,限制其提供业务数据,以提高业务平台提供数据的安全性。另一方面,由量化的终端安全级别值来表征用户终端的可靠性,只允许向可靠性较高的用户终端提供业务数据,限制可靠性较低的用户终端的行为,提供了针对用户行为的有效可行的控制手段。
[0082] 实施例二:
[0083] 如图3所示,为本发明实施例二中控制用户终端在业务平台上执行访问业务的方法示意图,所述方法包括以下步骤:
[0084] 步骤201:接收来自用户终端的业务请求,所述业务请求中携带终端标识和待访问业务的业务标识。
[0085] 所述终端标识是能够唯一标识终端的信息,如果用户通过手机发送业务请求,则所述终端标识可以为手机号码或是IMSI。
[0086] 所述业务标识是唯一标识某一业务平台提供的一项业务,该业务标识可以是业务的链接地址。
[0087] 在本步骤的具体实现如下:
[0088] 第一步:用户终端成功接入无线网络后,在访问业务平台之前,需要向GGSN请求接入WAP网络。
[0089] 第二步:GGSN根据所述终端标识确定为所述用户终端提供服务的AAA服务器,并向该AAA服务器请求获取所述用户终端的身份认证信息。
[0090] 第三步:AAA服务器根据保存的身份认证信息判断用户终端是否允许接入WAP网络;若允许,则继续执行步骤202;否则,通知GGSN拒绝用户终端访问WAP网络。
[0091] 本步骤中,AAA服务器可以以黑白名单的方式确定用户终端是否允许接入WAP网络。若所述终端标识是黑名单中的标识,则不允许用户终端接入WAP网络;若所述终端标识是白名单中的标识,则继续执行步骤202;若所述终端标识既不是黑名单中的标识也不是白名单中的标识,则认为用户终端的身份合法性不确定,继续执行步骤202。
[0092] 步骤202:根据预先设定的终端标识与终端安全级别值的对应关系,确定业务请求中的终端标识对应的终端安全级别值。
[0093] AAA服务器允许用户终端接入WAP网络后,向数据库中请求获取用户终端的终端安全级别值。数据库存储了终端标识与终端安全级别值的对应关系,向AAA服务器返回用户终端的终端安全级别值。
[0094] 在本步骤中,数据库通过以下方式设定终端标识与终端安全级别值的对应关系:
[0095] 对接收业务请求之前的设定时长内,所述用户终端访问业务平台时获得的业务数据进行分析,根据分析结果确定用户终端的终端标识对应的终端安全级别值。
[0096] 所述设定时长可以是以该用户终端上一次访问业务平台(该业务平台与步骤201中业务标识对应的业务平台可相同也可不同)为终点的一段时长,也可以是步骤101之前的一段固定时长。如果以一段固定时长作为所述设定时长,则该用户终端的终端安全级别值将不再改变;如果以该用户终端上一次访问业务平台为终点的一段时长作为所述设定时长,则该用户终端的终端安全级别值将会随着每一次访问业务平台的过程而动态变化。
[0097] 用户终端访问业务平台时获得的业务数据可以由被访问的业务平台采集,也可由接口网关和AAA服务器采集,并将采集的业务数据作为原始数据存储在数据库中,由业务平台、接口网关、AAA服务器或其他网元对采集的业务数据进行分析,确定用户终端的用户行为,进而根据用户行为的合法性判断为用户终端确定终端安全级别值,并将所述用户终端的终端安全级别值存储在数据库中。
[0098] 例如:假设初始时用户终端的终端安全级别值为最高,则当用户终端访问购物平台时,业务平台对用户终端的购物行为和数据发布行为的业务数据进行采集,如果用户终端正确执行购物行为,则不降低终端安全级别值;如果用户终端发布的数据中包含非法关键字,则降低终端安全级别值。
[0099] 步骤203:将确定的终端安全级别值与终端门限值进行比较,如果终端安全级别值达到终端门限值,执行步骤204;否则,执行步骤207。
[0100] AAA服务器从数据库中获取用户终端的终端安全级别值以及是否允许用户终端访问用户平台的终端门限值后,判断用户终端的终端安全级别值是否达到访问用户平台的要求,若达到,则可以继续访问用户平台,否则,不允许用户终端访问用户平台。
[0101] 步骤204:确定所述终端安全级别值对应的业务标识。
[0102] 在AAA服务器确定用户终端可以访问业务平台时,向GGSN返回AAA认证结果,GGSN将业务请求发送至接口网关。
[0103] 接口网关在接收到业务请求后,从数据库中获取所述终端安全级别值对应的业务标识。
[0104] 在本实施例中,数据库中还存储了各终端安全级别值对应的业务标识,一个终端安全级别值可以对应一个或多个业务标识,表示在此终端安全级别值下的用户终端可以执行该业务标识对应的业务;一个终端安全级别值可以没有对应业务标识,表示在此终端安全级别值下的用户终端不可以执行任何业务。
[0105] 步骤205:判断确定的业务标识是否包含业务请求中携带的业务标识,若是,则执行步骤206;否则,执行步骤207。
[0106] 如果确定的业务标识包含业务请求中携带的业务标识,表示该用户终端具有执行业务请求中携带的业务标识对应业务的权限,允许用户终端在业务平台上执行待访问业务;否则,表示该用户终端不具有执行待访问业务的权限,不允许用户终端执行待访问业务。
[0107] 步骤206:允许用户终端在业务平台上执行待访问业务,结束待访问业务的执行过程。
[0108] 步骤207:不允许用户终端在业务平台上执行待访问业务,结束待访问业务的执行过程。
[0109] 进一步地,在确保了用户终端侧执行待访问业务的安全性的同时,还可以对业务平台侧的可靠性进行控制。因此,可以在步骤206之后继续执行步骤102,使得当用户终端侧和业务平台侧的安全可靠性都得到保证后,才最终执行业务;在步骤207之后认为用户终端侧的安全性未得到保证,不允许业务平台向用户终端提供业务数据。
[0110] 通过本发明实施例一的方法,由量化的终端安全级别值来表征用户终端的可靠性,只允许可靠性较高的用户终端在业务平台上执行待访问的业务,限制可靠性较低的用户终端的行为,提供了针对用户行为的有效可行的控制手段;同时,由量化的平台安全级别值来表征业务平台的可靠性,对于可靠性较高的业务平台,允许其向用户终端提供业务数据,执行用户请求的各类WAP业务;对于可靠性较低的业务平台,限制其提供业务数据,以提高业务平台提供数据的安全性。
[0111] 实施例三:
[0112] 本发明实施例三是与实施例一属于同一发明构思下的一种控制业务平台提供业务数据的设备,如图4所示,所述设备包括接收模块11、平台确定模块12、平台安全级别确定模块13、第一比较模块14和第一控制模块15,其中:接收模块11用于接收到来自用户终端的业务请求;平台确定模块12用于根据业务请求中携带的业务标识,确定为所述用户终端提供业务数据的业务平台的标识;平台安全级别确定模块13用于根据预先设定的业务平台的标识与该业务平台的平台安全级别值的对应关系,确定为用户终端提供业务数据的业务平台的标识对应的平台安全级别值;第一比较模块14用于将确定的平台安全级别值与平台门限值进行比较;第一控制模块15用于在比较结果为平台安全级别值达到平台门限值时,允许业务平台向用户终端提供业务数据;否则,拒绝业务平台向用户终端提供业务数据。
[0113] 所述设备还包括对应关系确定模块16,用于对接收业务请求之前的设定时长内,业务平台传输的业务数据包和/或发布的业务数据进行分析,根据分析结果确定所述业务平台的标识对应的平台安全级别值,其中:分析结果表示的业务平台可靠性越高,对应的平台安全级别值越高;分析结果表示的业务平台可靠性越低,对应的平台安全级别值越低。
[0114] 进一步地,对应关系确定模块16具体用于提取业务平台传输的数据包,在根据所述数据包的包头中的链接信息确定业务平台传输的业务数据是非法链接的业务数据时,降低分析结果表示的业务平台可靠性;和/或,将发布的业务数据的内容与设定的非法关键字进行比较,在确定发布的业务数据的内容中包含非法关键字时,降低分析结果表示的业务平台可靠性。
[0115] 所述设备还包括终端安全级别确定模块17、第二比较模块18和第二控制模块19,其中:终端安全级别确定模块17用于根据预先设定的终端标识与终端安全级别值的对应关系,确定业务请求中的终端标识对应的终端安全级别值;第二比较模块18还用于将确定的终端安全级别值与终端门限值进行比较;第二控制模块19用于在终端安全级别值未达到终端门限值,或在终端安全级别值达到终端门限值但终端安全级别值对应的业务标识未包含业务请求中携带的业务标识时,触发第一控制模块拒绝业务平台向用户终端提供业务数据;否则,触发第一控制模块在平台安全级别值达到平台门限值时,允许业务平台向用户终端提供业务数据。
[0116] 实施例四:
[0117] 本发明实施例四是与实施例二属于同一发明构思下的一种控制用户终端执行访问业务的设备,如图5所示,所述设备包括接收模块21、终端安全级别确定模块22、第一比较模块23和第一控制模块24,其中:接收模块21用于接收来自用户终端的业务请求,所述业务请求中携带终端标识和待访问业务的业务标识;终端安全级别确定模块22用于根据预先设定的终端标识与终端安全级别值的对应关系,确定业务请求中的终端标识对应的终端安全级别值;第一比较模块23用于将确定的终端安全级别值与终端门限值进行比较;第一控制模块24用于在终端安全级别值达到终端门限值且终端安全级别值对应的业务标识包含业务请求中携带的业务标识时,允许用户终端在携带的业务标识对应的业务平台上执行待访问业务;否则,拒绝用户终端执行待访问业务。
[0118] 所述设备还包括对应关系确定模块25,用于对接收业务请求之前的设定时长内,所述用户终端访问业务平台时获得的业务数据进行分析,根据分析结果确定用户终端的终端标识对应的终端安全级别值。
[0119] 所述设备还包括平台安全级别确定模块26、第二比较模块27和第二控制模块28,其中:平台安全级别确定模块26根据预先设定的业务平台的标识与该业务平台的平台安全级别值的对应关系确定所述业务平台的标识对应的平台安全级别值;第二比较模块27用于将确定的平台安全级别值与平台门限值进行比较;第二控制模块28用于在确定的平台安全级别值达到平台门限值时,触发第一控制模块在终端安全级别值达到终端门限值且终端安全级别值对应的业务标识包含业务请求中携带的业务标识时,允许用户终端执行待访问业务;否则,触发第一控制模块拒绝用户终端执行待访问业务。
[0120] 显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。