專利名稱:業(yè)務(wù)訪問控制方法����、裝置和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù),特別涉及一種業(yè)務(wù)訪問控制方法�、裝置和系統(tǒng)。
背景技術(shù):
在移動(dòng)分組業(yè)務(wù)應(yīng)用中����,為了更高效地進(jìn)行業(yè)務(wù)授權(quán)、提供個(gè)性化業(yè)務(wù)�����,業(yè)務(wù)服務(wù)器通常需要終端用戶的移動(dòng)終端號(hào)碼(Mobile Station International ISDN Number, 簡稱MSISDN)�、國際移動(dòng)用戶標(biāo)識(shí) Gnternational Mobile Subscriber Identity,簡稱: IMSI)等用戶標(biāo)識(shí)信息����,以根據(jù)該用戶標(biāo)識(shí)信息提供針對(duì)性的業(yè)務(wù)。現(xiàn)有技術(shù)中���,可以采用帶內(nèi)方式將用戶標(biāo)識(shí)信息發(fā)送至業(yè)務(wù)服務(wù)器���,即將用戶標(biāo)識(shí)信息攜帶在終端向業(yè)務(wù)服務(wù)器發(fā)送的業(yè)務(wù)訪問請(qǐng)求(即HTTP請(qǐng)求)中��,具體可以將用戶標(biāo)識(shí)信息插入在HTTP請(qǐng)求的頭信息中(稱為HTTP頭增強(qiáng))����。業(yè)務(wù)服務(wù)器在處理上述業(yè)務(wù)訪問請(qǐng)求的同時(shí)就可以得到該用戶標(biāo)識(shí)信息���,從而可以根據(jù)用戶標(biāo)識(shí)信息提供針對(duì)性的業(yè)務(wù)�����。例如����,可以由網(wǎng)關(guān)GPRS支持節(jié)點(diǎn)(Gateway GPRS Support Node���,簡稱=GGSN)在接收到終端發(fā)送的業(yè)務(wù)訪問請(qǐng)求時(shí),將用戶標(biāo)識(shí)信息加入至該請(qǐng)求中����,再將已攜帶用戶標(biāo)識(shí)信息的業(yè)務(wù)訪問請(qǐng)求轉(zhuǎn)發(fā)至業(yè)務(wù)服務(wù)器。但是,上述帶內(nèi)方式存在如下技術(shù)缺陷將用戶標(biāo)識(shí)信息直接插入在HTTP請(qǐng)求的頭信息后��,將已攜帶用戶標(biāo)識(shí)信息的HTTP請(qǐng)求發(fā)送給業(yè)務(wù)服務(wù)器的過程中�����,很容易被其他中間網(wǎng)絡(luò)設(shè)備截取到�����,存在用戶隱私泄露的隱患����,非常不安全。
發(fā)明內(nèi)容
本發(fā)明的目的是提供一種業(yè)務(wù)訪問控制方法���、裝置和系統(tǒng)��,以保證業(yè)務(wù)訪問中用戶標(biāo)識(shí)信息的安全性����。本發(fā)明一方面提供一種業(yè)務(wù)訪問控制方法��,包括接收終端發(fā)送的業(yè)務(wù)訪問請(qǐng)求��,所述業(yè)務(wù)訪問請(qǐng)求中攜帶有所述終端要訪問的業(yè)務(wù)服務(wù)器的統(tǒng)一資源定位符URL信息;向策略計(jì)費(fèi)裁決功能實(shí)體發(fā)送信用控制請(qǐng)求��,所述信用控制請(qǐng)求中攜帶所述業(yè)務(wù)服務(wù)器的URL信息���;接收所述策略計(jì)費(fèi)裁決功能實(shí)體返回的信用控制應(yīng)答�����,所述信用控制應(yīng)答中攜帶所述URL信息對(duì)應(yīng)的密鑰信息��,并采用所述密鑰信息對(duì)所述終端用戶的用戶標(biāo)識(shí)信息進(jìn)行加密���;將加密后的所述用戶標(biāo)識(shí)信息攜帶在所述業(yè)務(wù)訪問請(qǐng)求中�����,并將已攜帶加密后的用戶標(biāo)識(shí)信息的業(yè)務(wù)訪問請(qǐng)求發(fā)送至業(yè)務(wù)服務(wù)器,以使得所述業(yè)務(wù)服務(wù)器根據(jù)解密獲得的用戶標(biāo)識(shí)信息向所述終端推送業(yè)務(wù)內(nèi)容�����。本發(fā)明另一方面提供一種業(yè)務(wù)訪問控制方法�,包括根據(jù)存儲(chǔ)的業(yè)務(wù)服務(wù)器的URL信息與密鑰信息的對(duì)應(yīng)關(guān)系���,將密鑰信息發(fā)送給對(duì)應(yīng)的URL信息所定位的業(yè)務(wù)服務(wù)器���,以使得所述業(yè)務(wù)服務(wù)器根據(jù)所述密鑰信息對(duì)業(yè)務(wù)訪問
5請(qǐng)求中攜帶的加密用戶標(biāo)識(shí)信息進(jìn)行解密后����,根據(jù)解密獲得的用戶標(biāo)識(shí)信息向終端推送業(yè)務(wù)內(nèi)容���;接收策略計(jì)費(fèi)執(zhí)行功能實(shí)體發(fā)送的信用控制請(qǐng)求��,所述信用控制請(qǐng)求中攜帶終端所要訪問的業(yè)務(wù)服務(wù)器的URL信息���;根據(jù)所述信用控制請(qǐng)求中攜帶的業(yè)務(wù)服務(wù)器的URL信息,從存儲(chǔ)的所述對(duì)應(yīng)關(guān)系中查找到對(duì)應(yīng)的密鑰信息����;向所述策略計(jì)費(fèi)執(zhí)行功能實(shí)體返回信用控制應(yīng)答,所述信用控制應(yīng)答中攜帶查找到的所述業(yè)務(wù)服務(wù)器的URL信息對(duì)應(yīng)的密鑰信息�����,以使得所述策略計(jì)費(fèi)執(zhí)行功能實(shí)體采用所述密鑰信息對(duì)用戶標(biāo)識(shí)信息進(jìn)行加密后�,攜帶在業(yè)務(wù)訪問請(qǐng)求中發(fā)送至業(yè)務(wù)服務(wù)器。本發(fā)明再一方面提供一種策略計(jì)費(fèi)執(zhí)行功能實(shí)體,包括第一接收模塊����,用于接收終端發(fā)送的業(yè)務(wù)訪問請(qǐng)求,所述業(yè)務(wù)訪問請(qǐng)求中攜帶有所述終端要訪問的業(yè)務(wù)服務(wù)器的統(tǒng)一資源定位符URL信息;第一發(fā)送模塊�,用于向策略計(jì)費(fèi)裁決功能實(shí)體發(fā)送信用控制請(qǐng)求�,所述信用控制請(qǐng)求中攜帶第一接收模塊接收到得業(yè)務(wù)訪問請(qǐng)求中攜帶的所述業(yè)務(wù)服務(wù)器的URL信息��;第二接收模塊,用于接收所述策略計(jì)費(fèi)裁決功能實(shí)體返回的信用控制應(yīng)答����,所述信用控制應(yīng)答中攜帶所述URL信息對(duì)應(yīng)的密鑰信息;加密模塊���,用于采用第二接收模塊接收到得信用控制應(yīng)答中攜帶的URL信息對(duì)應(yīng)的密鑰信息對(duì)所述終端用戶的用戶標(biāo)識(shí)信息進(jìn)行加密���;第二發(fā)送模塊,用于將加密模塊加密后的所述用戶標(biāo)識(shí)信息攜帶在所述業(yè)務(wù)訪問請(qǐng)求中��,并將已攜帶加密后的用戶標(biāo)識(shí)信息的業(yè)務(wù)訪問請(qǐng)求發(fā)送至業(yè)務(wù)服務(wù)器��,以使得所述業(yè)務(wù)服務(wù)器根據(jù)解密獲得的用戶標(biāo)識(shí)信息向所述終端推送業(yè)務(wù)內(nèi)容。本發(fā)明再另一方面提供一種策略計(jì)費(fèi)裁決功能實(shí)體����,包括第一發(fā)送模塊,用于根據(jù)存儲(chǔ)模塊存儲(chǔ)的業(yè)務(wù)服務(wù)器的URL信息與密鑰信息的對(duì)應(yīng)關(guān)系���,將密鑰信息發(fā)送給對(duì)應(yīng)的URL信息所定位的業(yè)務(wù)服務(wù)器�,以使得所述業(yè)務(wù)服務(wù)器根據(jù)所述密鑰信息對(duì)業(yè)務(wù)訪問請(qǐng)求中攜帶的加密用戶標(biāo)識(shí)信息進(jìn)行解密后����,根據(jù)解密獲得的用戶標(biāo)識(shí)信息向終端推送業(yè)務(wù)內(nèi)容;第一接收模塊�,用于接收策略計(jì)費(fèi)執(zhí)行功能實(shí)體發(fā)送的信用控制請(qǐng)求,所述信用控制請(qǐng)求中攜帶終端所要訪問的業(yè)務(wù)服務(wù)器的URL信息�����;查找模塊����,用于根據(jù)根據(jù)所述信用控制請(qǐng)求中攜帶的業(yè)務(wù)服務(wù)器的URL信息,從存儲(chǔ)模塊存儲(chǔ)的所述對(duì)應(yīng)關(guān)系中查找到對(duì)應(yīng)的密鑰信息�����;第二發(fā)送模塊,用于向所述策略計(jì)費(fèi)執(zhí)行功能實(shí)體返回信用控制應(yīng)答��,所述信用控制應(yīng)答中攜帶查找到的所述業(yè)務(wù)服務(wù)器的URL信息對(duì)應(yīng)的密鑰信息���,以使得所述策略計(jì)費(fèi)執(zhí)行功能實(shí)體采用所述密鑰信息對(duì)用戶標(biāo)識(shí)信息進(jìn)行加密后�,攜帶在業(yè)務(wù)訪問請(qǐng)求中發(fā)送至業(yè)務(wù)服務(wù)器���。本發(fā)明再另一方面提供一種業(yè)務(wù)服務(wù)器��,包括第三接收模塊�����,用于接收所述策略計(jì)費(fèi)裁決功能實(shí)體發(fā)送的密鑰信息;以及接收所述策略計(jì)費(fèi)執(zhí)行功能實(shí)體發(fā)送的業(yè)務(wù)訪問請(qǐng)求����;解密模塊,用于根據(jù)所述密鑰信息對(duì)所述業(yè)務(wù)訪問請(qǐng)求中攜帶的加密用戶標(biāo)識(shí)信息進(jìn)行解密�����;
推送模塊����,用于根據(jù)所述解密模塊解密后的用戶標(biāo)識(shí)信息���,對(duì)用戶標(biāo)識(shí)信息對(duì)應(yīng)的終端用戶推送業(yè)務(wù)內(nèi)容。本發(fā)明再另一方面提供一種業(yè)務(wù)訪問控制系統(tǒng)����,包括策略計(jì)費(fèi)執(zhí)行功能實(shí)體、策略計(jì)費(fèi)裁決功能實(shí)體和業(yè)務(wù)服務(wù)器�;所述策略計(jì)費(fèi)執(zhí)行功能實(shí)體,用于接收終端發(fā)送的業(yè)務(wù)訪問請(qǐng)求���,所述業(yè)務(wù)訪問請(qǐng)求中攜帶有所述終端要訪問的業(yè)務(wù)服務(wù)器的統(tǒng)一資源定位符URL信息�����;向策略計(jì)費(fèi)裁決功能實(shí)體發(fā)送信用控制請(qǐng)求�����,所述信用控制請(qǐng)求中攜帶所述業(yè)務(wù)服務(wù)器的URL信息����;接收所述策略計(jì)費(fèi)裁決功能實(shí)體返回的信用控制應(yīng)答���,所述信用控制應(yīng)答中攜帶所述URL信息對(duì)應(yīng)的密鑰信息����,并采用所述密鑰信息對(duì)所述終端用戶的用戶標(biāo)識(shí)信息進(jìn)行加密;將加密后的所述用戶標(biāo)識(shí)信息攜帶在所述業(yè)務(wù)訪問請(qǐng)求中����,并將已攜帶加密后的用戶標(biāo)識(shí)信息的業(yè)務(wù)訪問請(qǐng)求發(fā)送至業(yè)務(wù)服務(wù)器;所述策略計(jì)費(fèi)裁決功能實(shí)體�,用于接收策略計(jì)費(fèi)執(zhí)行功能實(shí)體發(fā)送的信用控制請(qǐng)求;根據(jù)所述信用控制請(qǐng)求中攜帶的業(yè)務(wù)服務(wù)器的URL信息��,從存儲(chǔ)的業(yè)務(wù)服務(wù)器的URL信息與密鑰信息的對(duì)應(yīng)關(guān)系中查找到對(duì)應(yīng)的密鑰信息��;向所述策略計(jì)費(fèi)執(zhí)行功能實(shí)體返回信用控制應(yīng)答����,所述信用控制應(yīng)答中攜帶查找到的所述業(yè)務(wù)服務(wù)器的URL信息對(duì)應(yīng)的密鑰信息��;業(yè)務(wù)服務(wù)器�����,用于接收所述策略計(jì)費(fèi)裁決功能實(shí)體發(fā)送的密鑰信息��,并在接收到所述策略計(jì)費(fèi)執(zhí)行功能實(shí)體發(fā)送的業(yè)務(wù)訪問請(qǐng)求后,根據(jù)所述密鑰信息對(duì)業(yè)務(wù)訪問請(qǐng)求中的用戶標(biāo)識(shí)信息進(jìn)行解密���,根據(jù)解密后的用戶標(biāo)識(shí)信息向所述終端推送業(yè)務(wù)內(nèi)容���。本發(fā)明的業(yè)務(wù)訪問控制方法、裝置和系統(tǒng)���,通過將用戶標(biāo)識(shí)信息加密后再設(shè)置入業(yè)務(wù)訪問請(qǐng)求中�,解決了用戶標(biāo)識(shí)信息容易被截取的問題�,大大提高了業(yè)務(wù)訪問中用戶標(biāo)識(shí)信息的安全性。
為了更清楚地說明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案��,下面將對(duì)實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作一簡單地介紹���,顯而易見地��,下面描述中的附圖是本發(fā)明的一些實(shí)施例�,對(duì)于本領(lǐng)域普通技術(shù)人員來講�,在不付出創(chuàng)造性勞動(dòng)的前提下,還可以根據(jù)這些附圖獲得其他的附圖�。圖1為本發(fā)明業(yè)務(wù)訪問控制方法實(shí)施例一的應(yīng)用場景示意圖;圖2為本發(fā)明業(yè)務(wù)訪問控制方法實(shí)施例一的流程示意圖���;圖3為本發(fā)明業(yè)務(wù)訪問控制方法實(shí)施例二的流程示意圖��;圖4為本發(fā)明業(yè)務(wù)訪問控制方法實(shí)施例三的信令示意圖�;圖5為本發(fā)明策略計(jì)費(fèi)執(zhí)行功能實(shí)體實(shí)施例的結(jié)構(gòu)示意圖;圖6為本發(fā)明策略計(jì)費(fèi)裁決功能實(shí)體實(shí)施例的結(jié)構(gòu)示意圖��;圖7為本發(fā)明業(yè)務(wù)服務(wù)器實(shí)施例的結(jié)構(gòu)示意圖��;圖8為本發(fā)明業(yè)務(wù)訪問控制系統(tǒng)實(shí)施例的結(jié)構(gòu)示意圖�。
具體實(shí)施例方式為使本發(fā)明的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚���,下面將結(jié)合本發(fā)明實(shí)施例中的附圖����,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚��、完整地描述��,顯然����,所描述的實(shí)施例是本發(fā)明一部分實(shí)施例�����,而不是全部的實(shí)施例?�;诒景l(fā)明中的實(shí)施例��,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動(dòng)的前提下所獲得的所有其他實(shí)施例�����,都屬于本發(fā)明保護(hù)的范圍���。為使得本發(fā)明實(shí)施例的說明更加清楚��,提供本發(fā)明實(shí)施例的一種可選的應(yīng)用場景圖��,圖1為本發(fā)明業(yè)務(wù)訪問控制方法實(shí)施例一的應(yīng)用場景示意圖��,其中��,在圖1所示的場景中,GPRS服務(wù)支持節(jié)點(diǎn)(SERVICING GPRS SUPPORT NODE����,簡稱SGSN)與GGSN通信連接,用于將從網(wǎng)絡(luò)接入節(jié)點(diǎn)獲得的終端發(fā)送的業(yè)務(wù)訪問請(qǐng)求通過GGSN轉(zhuǎn)發(fā)給策略計(jì)費(fèi)執(zhí)行功能實(shí)體(Policy and Charging Enforcement Function�����,簡稱PCEF)�,PCEF分別與策略計(jì)費(fèi)裁決功能實(shí)體(Policy and Charging Rule Function,簡稱PCRF)和業(yè)務(wù)服務(wù)器連接�。下面以圖1所示的應(yīng)用場景為例,對(duì)本發(fā)明的技術(shù)方案進(jìn)行詳細(xì)描述���。實(shí)施例一圖2為本發(fā)明業(yè)務(wù)訪問控制方法實(shí)施例一的流程示意圖����,可選地本實(shí)施例的業(yè)務(wù)訪問控制方法可以是PCEF所執(zhí)行�。該方法可以包括以下步驟步驟101、PCEF在接收到終端發(fā)送的業(yè)務(wù)訪問請(qǐng)求時(shí)�,向PCRF發(fā)送信用控制請(qǐng)求;例如����,終端發(fā)送的業(yè)務(wù)訪問請(qǐng)求中攜帶有終端所要訪問業(yè)務(wù)服務(wù)器的統(tǒng)一資源定位符(Uniform/Universal Resource Locator,簡禾爾URL)信息,如 www. xyz. com��。PCEF 可以向PCRF發(fā)送信用控制請(qǐng)求(Credit Control Request,簡稱CCR)�,并且該CCR中攜帶上述的業(yè)務(wù)服務(wù)器的URL信息��。步驟102����、PCEF接收PCRF返回的信用控制應(yīng)答�,其中包括密鑰信息�����;例如����,PCEF接收的信用控制應(yīng)答(Credit Control Answer,簡稱CCA)中�����,可以攜帶密鑰信息���,該密鑰信息與步驟101中的業(yè)務(wù)服務(wù)器的URL信息對(duì)應(yīng)�。步驟103�、PCEF對(duì)終端用戶的用戶標(biāo)識(shí)信息進(jìn)行加密;例如�����,終端用戶的用戶標(biāo)識(shí)信息可以包括MSISDN、IMSI等����,PCEF可以采用步驟102 中所接收到的密鑰信息對(duì)用戶標(biāo)識(shí)信息進(jìn)行加密。步驟104����、PCEF在所述業(yè)務(wù)訪問請(qǐng)求中攜帶加密后的用戶標(biāo)識(shí)信息,并將已攜帶有加密后的用戶標(biāo)識(shí)信息的業(yè)務(wù)訪問請(qǐng)求發(fā)送至業(yè)務(wù)服務(wù)器����。例如,業(yè)務(wù)訪問請(qǐng)求可以為HTTP請(qǐng)求�����,PCEF可以將加密后的用戶標(biāo)識(shí)信息攜帶在 HTTP請(qǐng)求的頭信息中����。由于對(duì)用戶標(biāo)識(shí)信息進(jìn)行了加密,所以相對(duì)于現(xiàn)有技術(shù)中的用戶標(biāo)識(shí)信息直接插入方式���,可以有效防止被其他中間網(wǎng)絡(luò)設(shè)備截取��,大大提高了業(yè)務(wù)訪問中用戶標(biāo)識(shí)信息的安全性���。本實(shí)施例的業(yè)務(wù)訪問控制方法���,通過將用戶標(biāo)識(shí)信息加密后再攜帶在業(yè)務(wù)訪問請(qǐng)求中�,解決了用戶標(biāo)識(shí)信息容易被截取的問題,大大提高了業(yè)務(wù)訪問中用戶標(biāo)識(shí)信息的安全性�����。實(shí)施例二圖3為本發(fā)明業(yè)務(wù)訪問控制方法實(shí)施例二的流程示意圖���,該方法可以是PCRF所執(zhí)行���。如圖3所示,本實(shí)施例的業(yè)務(wù)訪問控制方法可以包括以下步驟 步驟201��,PCRF根據(jù)存儲(chǔ)的業(yè)務(wù)服務(wù)器的URL信息與密鑰信息的對(duì)應(yīng)關(guān)系��,將密鑰信息發(fā)送給對(duì)應(yīng)的URL信息所定位的業(yè)務(wù)服務(wù)器�;
例如,所述可以是運(yùn)營商根據(jù)服務(wù)提供商的申請(qǐng)為服務(wù)提供商生成并存儲(chǔ)在PCRF 上的�,PCRF在所述對(duì)應(yīng)關(guān)系存儲(chǔ)后立即將密鑰信息發(fā)送給對(duì)應(yīng)的URL信息所定位的業(yè)務(wù)服務(wù)器��,即提出申請(qǐng)的服務(wù)提供商的業(yè)務(wù)服務(wù)器��。步驟202�、PCRF接收PCEF發(fā)送的信用控制請(qǐng)求���;例如����,該CCR中可以攜帶終端所要訪問業(yè)務(wù)服務(wù)器的URL信息�����。其中�,該業(yè)務(wù)服務(wù)器的URL信息可以是PCEF由其接收到的終端發(fā)送的業(yè)務(wù)訪問請(qǐng)求中所獲取的。步驟203���、PCRF從存儲(chǔ)的所述對(duì)應(yīng)關(guān)系中查找到對(duì)應(yīng)的密鑰信息��;步驟204�����、PCRF向PCEF返回信用控制應(yīng)答����,其中攜帶查找到得所述業(yè)務(wù)服務(wù)器的 URL信息對(duì)應(yīng)的密鑰信息。例如���,攜帶有密鑰信息的信用控制應(yīng)答發(fā)送至PCEF之后����,PCEF可以采用該密鑰信息對(duì)終端對(duì)應(yīng)的用戶標(biāo)識(shí)信息進(jìn)行加密�����,并將加密后的用戶標(biāo)識(shí)信息設(shè)置在業(yè)務(wù)訪問請(qǐng)求中發(fā)送至業(yè)務(wù)服務(wù)器���。可選地�����,PCRF在步驟201之后���,還可以檢測所述對(duì)應(yīng)關(guān)系中的密鑰信息是否發(fā)生變更�;在檢測到密鑰信息發(fā)生變更時(shí)�,將變更后的密鑰信息通知對(duì)應(yīng)的URL信息所定位的業(yè)務(wù)服務(wù)器���。本實(shí)施例的業(yè)務(wù)訪問控制方法,通過將用戶標(biāo)識(shí)信息加密后再設(shè)置入業(yè)務(wù)訪問請(qǐng)求中��,解決了用戶標(biāo)識(shí)信息容易被截取的問題��,大大提高了業(yè)務(wù)訪問中用戶標(biāo)識(shí)信息的安全性����。實(shí)施例三 圖4為本發(fā)明業(yè)務(wù)訪問控制方法實(shí)施例三的信令示意圖,本實(shí)施例對(duì)PCEF和PCRF 之間的流程進(jìn)行了詳細(xì)的說明����。在本實(shí)施例中在to接口傳輸?shù)腃CR、CCA中增加兩個(gè)擴(kuò)展屬性值對(duì)(Attribute Value I^airs�����,簡稱AVP)�����,通過這兩個(gè)擴(kuò)展AVP分別攜帶業(yè)務(wù)服務(wù)器的URL信息和密鑰信息��。如圖4所示,可以包括以下步驟步驟301�����、終端向PCEF發(fā)送業(yè)務(wù)訪問請(qǐng)求�;例如,該業(yè)務(wù)訪問請(qǐng)求可以為HTTP請(qǐng)求�����;其中攜帶了終端所要訪問業(yè)務(wù)對(duì)應(yīng)的業(yè)務(wù)服務(wù)器的URL信息���,該業(yè)務(wù)服務(wù)器的URL信息��,該URL例如可以為誦.xyz. com����。步驟302�、PCEF判斷該業(yè)務(wù)訪問請(qǐng)求是否需要進(jìn)行HTTP頭增強(qiáng)�����;例如�����,PCEF中預(yù)先存儲(chǔ)有與多種URL對(duì)應(yīng)的配置信息,該配置信息用于指示URL是否需要進(jìn)行HTTP頭增強(qiáng)�。具體的,HTTP頭增強(qiáng)是指在HTTP請(qǐng)求的頭信息中增加新的信息���。一個(gè)HTTP請(qǐng)求通常包含四個(gè)部分�����,如請(qǐng)求行部分����、頭信息部分����、空行部分和請(qǐng)求數(shù)據(jù)部分等,其中的頭信息部分可以用于攜帶相關(guān)的客戶端信息以通知業(yè)務(wù)服務(wù)器�����。本實(shí)施例中服務(wù)提供商的業(yè)務(wù)服務(wù)器為了對(duì)終端提供更加具有針對(duì)性的業(yè)務(wù)�����,需要獲取有關(guān)終端用戶的用戶標(biāo)識(shí)信息,則可以將該用戶標(biāo)識(shí)信息增加在上述HTTP請(qǐng)求的頭信息中�����,使得業(yè)務(wù)服務(wù)器在接收到 HTTP請(qǐng)求時(shí)就可以同時(shí)得到其所需的用戶標(biāo)識(shí)信息���。例如�����,初始時(shí)��,運(yùn)營商在PCEF上將各URL對(duì)應(yīng)的配置信息設(shè)置為用于指示不需要進(jìn)行HTTP頭增強(qiáng)的狀態(tài)位���。若URL www. xyz. com的服務(wù)提供商在運(yùn)營商處注冊(cè)了 HTTP頭增強(qiáng)功能,即當(dāng)終端用戶通過HTTP請(qǐng)求訪問棚.xyz. com時(shí)��,需要對(duì)該HTTP請(qǐng)求進(jìn)行頭增強(qiáng)動(dòng)作���,則運(yùn)營商可以根據(jù)該服務(wù)提供商的注冊(cè)要求,在PCEF上將URL www, χγζ. com對(duì)應(yīng)的配置信息更新為用于指示需要進(jìn)行HTTP頭增強(qiáng)的狀態(tài)位��。這樣當(dāng)PCEF接收到終端發(fā)送的訪問URL www. xyz. com的HTTP請(qǐng)求時(shí)�����,就會(huì)查詢自身存儲(chǔ)的配置信息,判斷該HTTP請(qǐng)求是否需要進(jìn)行頭增強(qiáng)����。如果判斷結(jié)果為針對(duì)該URL的HTTP請(qǐng)求需要進(jìn)行頭增強(qiáng),則繼續(xù)執(zhí)行步驟303 ���; 否則����,直接將業(yè)務(wù)訪問請(qǐng)求發(fā)送給業(yè)務(wù)服務(wù)器�,由業(yè)務(wù)服務(wù)器直接向用戶推送統(tǒng)一的業(yè)務(wù)內(nèi)容。步驟303��、PCEF向PCRF發(fā)送CCR��,其中攜帶所述業(yè)務(wù)訪問請(qǐng)求中的URL信息�����;例如���,PCEF將在步驟301中得到的HTTP請(qǐng)求中的URL www. xyz. com封裝在CCR的擴(kuò)展AVP中���,以使CCR中攜帶所述業(yè)務(wù)服務(wù)器的URL信息�,然后通過to接口將已攜帶所述業(yè)務(wù)服務(wù)器的URL信息的CCR發(fā)送給PCRF���,該foe接口即為3GPP中定義的PCEF和PCRF之間的接口�����,該CCR即相當(dāng)于策略請(qǐng)求消息����,用于向PCRF請(qǐng)求策略�。具體的,PCEF向PCRF發(fā)送的CCR的結(jié)構(gòu)可以參見如下���,在該CCR中增加了用于封裝 URL 信息的 SP-URL AVP
<CC-Request> ::= < Diameter Header: 272, REQ, PXY >
< Session-Id > {Auth-Application-Id } { Origin-Host} { Origin-Realm }
{ Destination-Realm } { CC-Request-Type } { CC-Request-Number } [Destination-Host ] [Origin-State-Id ]...........................增加設(shè)置步驟304�、PCRF向PCEF發(fā)送CCA��,其中攜帶所述業(yè)務(wù)訪問請(qǐng)求中的URL對(duì)應(yīng)的密朗fn息�;例如,PCRF在接收到步驟303中發(fā)送的CCR時(shí)�����,可以根據(jù)CCR中的URL�,從存儲(chǔ)的業(yè)務(wù)服務(wù)器的URL信息與密鑰信息的對(duì)應(yīng)關(guān)系中查詢到該URL對(duì)應(yīng)的密鑰信息,并將查詢到的密鑰信息封裝在動(dòng)態(tài)策略Charging-Rule-Definition的擴(kuò)展AVP中����,以使承載所述動(dòng)態(tài)策略的CCA中攜帶密鑰信息,然后通過foe接口將已攜帶所述業(yè)務(wù)服務(wù)器的URL信息對(duì)應(yīng)的密鑰信息的CCA發(fā)送給PCEF�。具體的,PCRF向PCEF發(fā)送的CCA的結(jié)構(gòu)可以參見如下����,在該CCA承載的 Charging-Rule-Definition中增加了用于封裝密鑰信息的KEY AVP
Charging-Rule-Definition :: = < AVP Header: 1003 >
{ Charging-Rule-Name } [Service-Identifier ] [Rating-Group ] * [ Flow-Description ] [Flow-Status ] [QoS-Information ] [Reporting-Level ] [Online ] [Offline ] [Precedence ] * [ Flows ] [Append-MSISDN ] [Append-IMSI]...........................增加設(shè)置
*[AVP]具體的,上述的密鑰信息可以是在服務(wù)提供商向運(yùn)營商申請(qǐng)注冊(cè)HTTP頭增強(qiáng)業(yè)務(wù)時(shí)�����,運(yùn)營商為服務(wù)提供商生成的�����,不同服務(wù)提供商的密鑰信息可以是不同的�。該密鑰信息可以為一個(gè)密鑰,也可以為密鑰對(duì)����,當(dāng)為密鑰對(duì)時(shí)包括公開密鑰和私有密鑰�,公開密鑰用于提供給PCEF進(jìn)行用戶標(biāo)識(shí)信息的加密��,私有密鑰用于提供給服務(wù)提供商的業(yè)務(wù)服務(wù)器以對(duì)用戶標(biāo)識(shí)信息進(jìn)行解密���。運(yùn)營商可以在PCRF上預(yù)先存儲(chǔ)服務(wù)提供商的URL以及與該URL 對(duì)應(yīng)的密鑰對(duì)信息���。其中,密鑰信息采用密鑰對(duì)的方式�����,可以進(jìn)一步提高加密的安全性��。需要說明的是���,上述采用的密鑰對(duì)的方式����,可以如上所述將公開密鑰發(fā)送至PCEF��, 將私有密鑰發(fā)送至業(yè)務(wù)服務(wù)器�����;或者,也可以將私有密鑰發(fā)送至PCEF�,將公開密鑰發(fā)送至業(yè)務(wù)服務(wù)器。其中�,PCRF可以檢測密鑰信息是否發(fā)生變更�����,若密鑰信息變更�����,則PCRF可以通過簡單對(duì)象訪問協(xié)議(Simple Object Access Protocol���,簡稱SOAP)接口告知服務(wù)提供商的業(yè)務(wù)服務(wù)器�����。
具體的��,目前RSA等非對(duì)稱加密算法需要兩個(gè)密鑰公開密鑰(publickey)和私有密鑰(privatekey)���,公開密鑰與私有密鑰成對(duì)使用;如果用公開密鑰對(duì)數(shù)據(jù)進(jìn)行加密����,只有用對(duì)應(yīng)的私有密鑰才能解密���;如果用私有密鑰對(duì)數(shù)據(jù)進(jìn)行加密,那么只有用對(duì)應(yīng)的公開密鑰才能解密���。PCRF根據(jù)運(yùn)營商的指示生成和存儲(chǔ)的既有公開密鑰���,也有私有密鑰;PCRF 向PCEF發(fā)送公開密鑰���,向業(yè)務(wù)服務(wù)器發(fā)送私有密鑰�;PCEF使用公開密鑰加密���,業(yè)務(wù)服務(wù)器使用私有密鑰解密�����。出于增強(qiáng)安全性的考慮�����,一般密鑰對(duì)會(huì)定期修改����,當(dāng)修改密鑰的時(shí)候, PCRF會(huì)通知業(yè)務(wù)服務(wù)器���。PCRF中存儲(chǔ)有業(yè)務(wù)服務(wù)器的URL信息與密鑰信息的對(duì)應(yīng)關(guān)系���,在接收到步驟303 中的CCR時(shí)���,可以根據(jù)CCR中攜帶的URL信息��,查詢?cè)搶?duì)應(yīng)關(guān)系�,得到URL信息所對(duì)應(yīng)的密鑰信息中的公開密鑰��,并將該公開密鑰攜帶在CCA中返回至PCEF���。步驟305���、PCEF利用密鑰對(duì)用戶標(biāo)識(shí)信息進(jìn)行加密;例如�,用戶標(biāo)識(shí)信息可以包括MSISDN、IMSI,還可以包括接入點(diǎn)名稱(Access Point Name,簡稱APN)等信息��,APN是終端在訪問URLwww. xyz. com時(shí)所對(duì)應(yīng)的接入點(diǎn)��,由于APN對(duì)應(yīng)于用戶所要訪問的業(yè)務(wù)�����,所以也可以視為用戶標(biāo)識(shí)信息����。其中,上述用戶標(biāo)識(shí)信息可以是PCEF在終端進(jìn)行認(rèn)證流程時(shí)獲取的�����。終端在向 PCEF發(fā)送業(yè)務(wù)訪問請(qǐng)求之前�,是需要先向認(rèn)證服務(wù)器發(fā)送認(rèn)證請(qǐng)求進(jìn)行認(rèn)證的,在該認(rèn)證請(qǐng)求中包含了 MSISDN��、IMSI和APN等用戶標(biāo)識(shí)信息�。當(dāng)認(rèn)證服務(wù)器得到認(rèn)證結(jié)果為終端通過認(rèn)證時(shí),其可以為該終端分配訪問業(yè)務(wù)的IP地址��,并且將IP地址以及對(duì)應(yīng)的上述用戶標(biāo)識(shí)信息發(fā)送至PCEF�����,告知PCEF進(jìn)行存儲(chǔ)。終端在認(rèn)證通過后�����,就可以通過上述的IP地址向 PCEF發(fā)送業(yè)務(wù)訪問請(qǐng)求��;PCEF在接收到該業(yè)務(wù)訪問請(qǐng)求時(shí)���,同時(shí)可以知道終端的IP地址信息�����,并可以通過該IP地址查找到與其對(duì)應(yīng)的終端用戶的用戶標(biāo)識(shí)信息。例如����,PCEF可以利用由PCRF獲取的私有密鑰采用RSA加密算法對(duì)用戶標(biāo)識(shí)信息進(jìn)行加密??蛇x地,可以只對(duì)用戶標(biāo)識(shí)信息中的MSISDN����、IMSI等用戶個(gè)人敏感信息進(jìn)行加
滋
Γ t [ O步驟306、PCEF將攜帶加密后的用戶標(biāo)識(shí)信息的業(yè)務(wù)訪問請(qǐng)求發(fā)送給業(yè)務(wù)服務(wù)器;例如�����,PCEF在對(duì)用戶標(biāo)識(shí)信息加密完成后����,可以將加密后的用戶標(biāo)識(shí)信息設(shè)置在 HTTP請(qǐng)求的頭信息中,并將該HTTP請(qǐng)求發(fā)送至業(yè)務(wù)服務(wù)器�。由于對(duì)HTTP請(qǐng)求中的用戶標(biāo)識(shí)信息進(jìn)行了加密,相對(duì)于現(xiàn)有技術(shù)直接插入用戶標(biāo)識(shí)信息的方式�����,有效增強(qiáng)了用戶標(biāo)識(shí)信息的安全性��,從而避免了中間網(wǎng)絡(luò)設(shè)備截取用戶標(biāo)識(shí)信息�。步驟307、業(yè)務(wù)服務(wù)器對(duì)業(yè)務(wù)訪問請(qǐng)求中的用戶標(biāo)識(shí)信息進(jìn)行解密��;例如�����,當(dāng)PCEF和業(yè)務(wù)服務(wù)器采用同一個(gè)密鑰對(duì)用戶標(biāo)識(shí)信息進(jìn)行加密或解密時(shí)��, 業(yè)務(wù)服務(wù)器利用存儲(chǔ)的PCRF預(yù)先發(fā)送的密鑰對(duì)業(yè)務(wù)訪問請(qǐng)求中的用戶標(biāo)識(shí)信息進(jìn)行解密,獲取得到終端用戶的用戶標(biāo)識(shí)信息��;當(dāng)PCEF和業(yè)務(wù)服務(wù)器采用密鑰對(duì)中的公開密鑰和私有密鑰分別對(duì)用戶標(biāo)識(shí)信息進(jìn)行加密或解密時(shí)���,業(yè)務(wù)服務(wù)器可以利用存儲(chǔ)的PCRF預(yù)先發(fā)送的私有密鑰對(duì)業(yè)務(wù)訪問請(qǐng)求中的用戶標(biāo)識(shí)信息進(jìn)行解密�,獲取得到終端用戶的用戶標(biāo)識(shí)fe息���。步驟308��、業(yè)務(wù)服務(wù)器根據(jù)解密獲得的用戶標(biāo)識(shí)信息向終端推送業(yè)務(wù)內(nèi)容���。
例如,業(yè)務(wù)服務(wù)器在步驟307中得到用戶標(biāo)識(shí)信息后�����,可以向用戶推送更加具有針對(duì)性的業(yè)務(wù)�����。此外����,本實(shí)施例中的PCEF可以單獨(dú)存在,或者在GPRS的情況下可以位于GGSN�,在無線局域網(wǎng)絡(luò)(Wireless Local Area Networks,簡稱WLAN)的情況下可以位于分組業(yè)務(wù)數(shù)據(jù)網(wǎng)關(guān)(Packet Data Gataway�,簡稱PDG)等;也可以用在CDMA20001x的標(biāo)準(zhǔn)演變數(shù)據(jù)優(yōu)化(Evolution-Data Optimized����,簡稱EV_D0)網(wǎng)絡(luò)中的分組業(yè)務(wù)數(shù)據(jù)節(jié)點(diǎn)(Packet Data Serving Node,簡稱PDSN)設(shè)備�;或者數(shù)字用戶專線(Digital Subscriber Line,簡稱: DSL)寬帶網(wǎng)絡(luò)的寬帶遠(yuǎn)程接入服務(wù)器(Broadband Remote Access Server��,簡稱BRAS)設(shè)備上��,在這里不再一一列舉�����。本實(shí)施例的業(yè)務(wù)訪問控制方法����,通過將用戶標(biāo)識(shí)信息加密后攜帶在業(yè)務(wù)訪問請(qǐng)求中,解決了用戶標(biāo)識(shí)信息容易被截取的問題����,大大提高了業(yè)務(wù)訪問中用戶標(biāo)識(shí)信息的安全性����。實(shí)施例四圖5為本發(fā)明策略計(jì)費(fèi)執(zhí)行功能實(shí)體實(shí)施例的結(jié)構(gòu)示意圖���,本實(shí)施例的PCEF可以執(zhí)行本發(fā)明任意實(shí)施例所述的業(yè)務(wù)訪問控制方法����。如圖5所示�����,該P(yáng)CEF可以包括第一接收模塊41����、第一發(fā)送模塊42、第二接收模塊43�����、加密模塊44和第二發(fā)送模塊45�����。其中����,第一接收模塊41,用于接收終端發(fā)送的業(yè)務(wù)訪問請(qǐng)求���,所述業(yè)務(wù)訪問請(qǐng)求中攜帶有所述終端要訪問的業(yè)務(wù)服務(wù)器的統(tǒng)一資源定位符URL信息����;第一發(fā)送模塊42�,用于向策略計(jì)費(fèi)裁決功能實(shí)體發(fā)送信用控制請(qǐng)求,所述信用控制請(qǐng)求中攜帶第一接收模塊41接收到得業(yè)務(wù)訪問請(qǐng)求中攜帶的所述業(yè)務(wù)服務(wù)器的URL信息��;第二接收模塊43�����,用于接收所述策略計(jì)費(fèi)裁決功能實(shí)體返回的信用控制應(yīng)答��,所述信用控制應(yīng)答中攜帶所述URL信息對(duì)應(yīng)的密鑰信息��;加密模塊44����,用于采用第二接收模塊43接收到得信用控制應(yīng)答中攜帶的URL信息對(duì)應(yīng)的密鑰信息對(duì)所述終端用戶的用戶標(biāo)識(shí)信息進(jìn)行加密;第二發(fā)送模塊45���,用于將加密模塊44加密后的所述用戶標(biāo)識(shí)信息攜帶在所述業(yè)務(wù)訪問請(qǐng)求中�����,并將已攜帶加密后的用戶標(biāo)識(shí)信息的業(yè)務(wù)訪問請(qǐng)求發(fā)送至業(yè)務(wù)服務(wù)器���,以使得所述業(yè)務(wù)服務(wù)器根據(jù)解密獲得的用戶標(biāo)識(shí)信息向所述終端推送業(yè)務(wù)內(nèi)容�。進(jìn)一步的�,第一發(fā)送模塊42,具體用于將所述業(yè)務(wù)服務(wù)器的URL信息封裝在信用控制請(qǐng)求信令的第一擴(kuò)展屬性值對(duì)AVP中���,以使信用控制請(qǐng)求中攜帶所述業(yè)務(wù)服務(wù)器的 URL信息����;通過foe接口將已攜帶所述業(yè)務(wù)服務(wù)器的URL信息的信用控制請(qǐng)求發(fā)送給所述策略計(jì)費(fèi)裁決功能實(shí)體���。本實(shí)施例的策略計(jì)費(fèi)執(zhí)行功能實(shí)體��,通過設(shè)置加密模塊等����,可以將用戶標(biāo)識(shí)信息加密后再設(shè)置入業(yè)務(wù)訪問請(qǐng)求中,解決了用戶標(biāo)識(shí)信息容易被截取的問題����,大大提高了業(yè)務(wù)訪問中用戶標(biāo)識(shí)信息的安全性�。實(shí)施例五圖6為本發(fā)明策略計(jì)費(fèi)裁決功能實(shí)體實(shí)施例的結(jié)構(gòu)示意圖,本實(shí)施例的PCRF可以執(zhí)行本發(fā)明任意實(shí)施例所述的業(yè)務(wù)訪問控制方法�。如圖6所示,該P(yáng)CRF可以包括存儲(chǔ)模塊 50�、第一發(fā)送模塊51、第一接收模塊52�、查找模塊53和第二發(fā)送模塊M。
其中���,第一發(fā)送模塊51�,用于根據(jù)存儲(chǔ)模塊50存儲(chǔ)的業(yè)務(wù)服務(wù)器的URL信息與密鑰信息的對(duì)應(yīng)關(guān)系�,將密鑰信息發(fā)送給對(duì)應(yīng)的URL信息所定位的業(yè)務(wù)服務(wù)器,以使得業(yè)務(wù)服務(wù)器根據(jù)所述密鑰信息對(duì)業(yè)務(wù)訪問請(qǐng)求中攜帶的加密用戶標(biāo)識(shí)信息進(jìn)行解密后���,根據(jù)解密獲得的用戶標(biāo)識(shí)信息向終端推送業(yè)務(wù)內(nèi)容���;第一接收模塊52,用于接收策略計(jì)費(fèi)執(zhí)行功能實(shí)體發(fā)送的信用控制請(qǐng)求���,所述信用控制請(qǐng)求中攜帶終端所要訪問的業(yè)務(wù)服務(wù)器的URL信息�����;查找模塊53��,用于根據(jù)根據(jù)所述信用控制請(qǐng)求中攜帶的業(yè)務(wù)服務(wù)器的URL信息���, 從存儲(chǔ)模塊50存儲(chǔ)的所述對(duì)應(yīng)關(guān)系中查找到對(duì)應(yīng)的密鑰信息����;第二發(fā)送模塊M����,用于向所述策略計(jì)費(fèi)執(zhí)行功能實(shí)體返回信用控制應(yīng)答,所述信用控制應(yīng)答中攜帶查找到的所述業(yè)務(wù)服務(wù)器的URL信息對(duì)應(yīng)的密鑰信息�,以使得所述策略計(jì)費(fèi)執(zhí)行功能實(shí)體采用所述密鑰信息對(duì)用戶標(biāo)識(shí)信息進(jìn)行加密后,攜帶在業(yè)務(wù)訪問請(qǐng)求中發(fā)送至業(yè)務(wù)服務(wù)器��。進(jìn)一步的���,本實(shí)施例的第二發(fā)送模塊M����,具體用于將所述業(yè)務(wù)服務(wù)器的URL信息對(duì)應(yīng)的密鑰信息封裝在動(dòng)態(tài)策略的第二擴(kuò)展屬性值對(duì)AVP中,以使承載所述動(dòng)態(tài)策略的信用控制應(yīng)答中攜帶密鑰信息�;通過to接口將已攜帶所述業(yè)務(wù)服務(wù)器的URL信息對(duì)應(yīng)的密鑰信息的信用控制應(yīng)答發(fā)送給所述策略計(jì)費(fèi)執(zhí)行功能實(shí)體。進(jìn)一步的���,本實(shí)施例的PCRF還可以包括更新模塊55 ;該更新模塊55可以檢測存儲(chǔ)模塊50存儲(chǔ)的所述對(duì)應(yīng)關(guān)系中密鑰信息是否變更�����;并在所述密鑰信息發(fā)生變更時(shí)��,指示第一發(fā)送模塊將變更后的密鑰信息通知對(duì)應(yīng)的URL信息所定位的業(yè)務(wù)服務(wù)器�。本實(shí)施例的策略計(jì)費(fèi)裁決功能實(shí)體,通過設(shè)置第二發(fā)送模塊向PCEF發(fā)送密鑰信息�����,可以將用戶標(biāo)識(shí)信息加密后再設(shè)置入業(yè)務(wù)訪問請(qǐng)求中�����,解決了用戶標(biāo)識(shí)信息容易被截取的問題�,大大提高了業(yè)務(wù)訪問中用戶標(biāo)識(shí)信息的安全性。實(shí)施例六圖7為本發(fā)明業(yè)務(wù)服務(wù)器實(shí)施例的結(jié)構(gòu)示意圖��,本實(shí)施例的業(yè)務(wù)服務(wù)器可以執(zhí)行本發(fā)明任意實(shí)施例所述的業(yè)務(wù)訪問控制方法。如圖7所示�,該業(yè)務(wù)服務(wù)器可以包括第三接收模塊61、解密模塊62和推送模塊63�����。其中���,第三接收模塊61�����,用于接收所述策略計(jì)費(fèi)裁決功能實(shí)體發(fā)送的密鑰信息�; 以及接收所述策略計(jì)費(fèi)執(zhí)行功能實(shí)體發(fā)送的業(yè)務(wù)訪問請(qǐng)求����;解密模塊62,用于根據(jù)第三接收模塊61接收到的所述密鑰信息對(duì)所述業(yè)務(wù)訪問請(qǐng)求中攜帶的加密用戶標(biāo)識(shí)信息進(jìn)行解密��;推送模塊63�,用于根據(jù)所述解密模塊62解密后的用戶標(biāo)識(shí)信息,對(duì)用戶標(biāo)識(shí)信息對(duì)應(yīng)的終端用戶推送業(yè)務(wù)內(nèi)容��。本實(shí)施例的業(yè)務(wù)服務(wù)器�����,通過設(shè)置解密模塊和推送模塊等,可以將用戶標(biāo)識(shí)信息加密后再設(shè)置入業(yè)務(wù)訪問請(qǐng)求中�,解決了用戶標(biāo)識(shí)信息容易被截取的問題,大大提高了業(yè)務(wù)訪問中用戶標(biāo)識(shí)信息的安全性����。實(shí)施例七圖8為本發(fā)明業(yè)務(wù)訪問控制系統(tǒng)實(shí)施例的結(jié)構(gòu)示意圖,本實(shí)施例的業(yè)務(wù)訪問控制系統(tǒng)可以執(zhí)行本發(fā)明任意實(shí)施例所述的業(yè)務(wù)訪問控制方法�����。如圖8所示��,該業(yè)務(wù)訪問控制系統(tǒng)可以包括PCEF 71, PCRF 72和業(yè)務(wù)服務(wù)器73�。
其中�����,PCEF 71��,用于接收終端發(fā)送的業(yè)務(wù)訪問請(qǐng)求�,所述業(yè)務(wù)訪問請(qǐng)求中攜帶有所述終端要訪問的業(yè)務(wù)服務(wù)器的統(tǒng)一資源定位符URL信息;向策略計(jì)費(fèi)裁決功能實(shí)體發(fā)送信用控制請(qǐng)求���,所述信用控制請(qǐng)求中攜帶所述業(yè)務(wù)服務(wù)器的URL信息��;接收所述策略計(jì)費(fèi)裁決功能實(shí)體返回的信用控制應(yīng)答�,所述信用控制應(yīng)答中攜帶所述URL信息對(duì)應(yīng)的密鑰信息,并采用所述密鑰信息對(duì)所述終端用戶的用戶標(biāo)識(shí)信息進(jìn)行加密�����;將加密后的所述用戶標(biāo)識(shí)信息攜帶在所述業(yè)務(wù)訪問請(qǐng)求中�����,并將已攜帶加密后的用戶標(biāo)識(shí)信息的業(yè)務(wù)訪問請(qǐng)求發(fā)送至業(yè)務(wù)服務(wù)器�;PCRF 72,用于接收PCEF 71發(fā)送的信用控制請(qǐng)求�����;根據(jù)所述信用控制請(qǐng)求中攜帶的業(yè)務(wù)服務(wù)器的URL信息�,從存儲(chǔ)的業(yè)務(wù)服務(wù)器的URL信息與密鑰信息的對(duì)應(yīng)關(guān)系中查找到對(duì)應(yīng)的密鑰信息;向所述PCEF 71返回信用控制應(yīng)答�,所述信用控制應(yīng)答中攜帶查找到的所述業(yè)務(wù)服務(wù)器的URL信息對(duì)應(yīng)的密鑰信息;業(yè)務(wù)服務(wù)器73�,用于接收所述PCRF 72發(fā)送的密鑰信息,并在接收到所述PCEF 71 發(fā)送的業(yè)務(wù)訪問請(qǐng)求后��,根據(jù)所述密鑰信息對(duì)業(yè)務(wù)訪問請(qǐng)求中的用戶標(biāo)識(shí)信息進(jìn)行解密, 根據(jù)解密后的用戶標(biāo)識(shí)信息向所述終端推送業(yè)務(wù)內(nèi)容����。本實(shí)施例的業(yè)務(wù)訪問控制系統(tǒng),通過使得PCEF采用PCRF下發(fā)的密鑰����,對(duì)用戶標(biāo)識(shí)信息加密后再設(shè)置入業(yè)務(wù)訪問請(qǐng)求中,解決了用戶標(biāo)識(shí)信息容易被截取的問題�,大大提高了業(yè)務(wù)訪問中用戶標(biāo)識(shí)信息的安全性。最后應(yīng)說明的是以上實(shí)施例僅用以說明本發(fā)明的技術(shù)方案�����,而非對(duì)其限制�����;盡管參照前述實(shí)施例對(duì)本發(fā)明進(jìn)行了詳細(xì)的說明����,本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解其依然可以對(duì)前述各實(shí)施例所記載的技術(shù)方案進(jìn)行修改����,或者對(duì)其中部分技術(shù)特征進(jìn)行等同替換����;而這些修改或者替換��,并不使相應(yīng)技術(shù)方案的本質(zhì)脫離本發(fā)明各實(shí)施例技術(shù)方案的精神和范圍����。
權(quán)利要求
1.一種業(yè)務(wù)訪問控制方法,其特征在于�����,包括接收終端發(fā)送的業(yè)務(wù)訪問請(qǐng)求���,所述業(yè)務(wù)訪問請(qǐng)求中攜帶有所述終端要訪問的業(yè)務(wù)服務(wù)器的統(tǒng)一資源定位符URL信息���;向策略計(jì)費(fèi)裁決功能實(shí)體發(fā)送信用控制請(qǐng)求,所述信用控制請(qǐng)求中攜帶所述業(yè)務(wù)服務(wù)器的URL信息���;接收所述策略計(jì)費(fèi)裁決功能實(shí)體返回的信用控制應(yīng)答�,所述信用控制應(yīng)答中攜帶所述URL信息對(duì)應(yīng)的密鑰信息����,并采用所述密鑰信息對(duì)所述終端用戶的用戶標(biāo)識(shí)信息進(jìn)行加密�;將加密后的所述用戶標(biāo)識(shí)信息攜帶在所述業(yè)務(wù)訪問請(qǐng)求中�����,并將已攜帶加密后的用戶標(biāo)識(shí)信息的業(yè)務(wù)訪問請(qǐng)求發(fā)送至業(yè)務(wù)服務(wù)器�����,以使得所述業(yè)務(wù)服務(wù)器根據(jù)解密獲得的用戶標(biāo)識(shí)信息向所述終端推送業(yè)務(wù)內(nèi)容��。
2.根據(jù)權(quán)利要求1所述的業(yè)務(wù)訪問控制方法����,其特征在于,所述向策略計(jì)費(fèi)裁決功能實(shí)體發(fā)送信用控制請(qǐng)求�,具體為將所述業(yè)務(wù)服務(wù)器的URL信息封裝在所述信用控制請(qǐng)求的第一擴(kuò)展屬性值對(duì)AVP中, 以使信用控制請(qǐng)求中攜帶所述業(yè)務(wù)服務(wù)器的URL信息�;通過to接口將已攜帶所述業(yè)務(wù)服務(wù)器的URL信息的信用控制請(qǐng)求發(fā)送給所述策略計(jì)費(fèi)裁決功能實(shí)體���。
3.—種業(yè)務(wù)訪問控制方法�,其特征在于����,包括根據(jù)存儲(chǔ)的業(yè)務(wù)服務(wù)器的URL信息與密鑰信息的對(duì)應(yīng)關(guān)系�����,將密鑰信息發(fā)送給對(duì)應(yīng)的 URL信息所定位的業(yè)務(wù)服務(wù)器�����,以使得所述業(yè)務(wù)服務(wù)器根據(jù)所述密鑰信息對(duì)業(yè)務(wù)訪問請(qǐng)求中攜帶的加密用戶標(biāo)識(shí)信息進(jìn)行解密后�,根據(jù)解密獲得的用戶標(biāo)識(shí)信息向終端推送業(yè)務(wù)內(nèi)容���;接收策略計(jì)費(fèi)執(zhí)行功能實(shí)體發(fā)送的信用控制請(qǐng)求����,所述信用控制請(qǐng)求中攜帶終端所要訪問的業(yè)務(wù)服務(wù)器的URL信息�;根據(jù)所述信用控制請(qǐng)求中攜帶的業(yè)務(wù)服務(wù)器的URL信息,從存儲(chǔ)的所述對(duì)應(yīng)關(guān)系中查找到對(duì)應(yīng)的密鑰信息����;向所述策略計(jì)費(fèi)執(zhí)行功能實(shí)體返回信用控制應(yīng)答,所述信用控制應(yīng)答中攜帶查找到的所述業(yè)務(wù)服務(wù)器的URL信息對(duì)應(yīng)的密鑰信息�,以使得所述策略計(jì)費(fèi)執(zhí)行功能實(shí)體采用所述密鑰信息對(duì)用戶標(biāo)識(shí)信息進(jìn)行加密后,攜帶在業(yè)務(wù)訪問請(qǐng)求中發(fā)送至業(yè)務(wù)服務(wù)器��。
4.根據(jù)權(quán)利要求3所述的業(yè)務(wù)訪問控制方法,其特征在于�,所述向所述策略計(jì)費(fèi)執(zhí)行功能實(shí)體返回信用控制應(yīng)答,具體為將所述業(yè)務(wù)服務(wù)器的URL信息對(duì)應(yīng)的密鑰信息封裝在動(dòng)態(tài)策略 Charging-Rule-Definition的第二擴(kuò)展屬性值對(duì)AVP中�����,以使承載所述動(dòng)態(tài)策略的信用控制應(yīng)答中攜帶密鑰信息����;通過to接口將已攜帶所述密鑰信息的信用控制應(yīng)答發(fā)送給所述策略計(jì)費(fèi)執(zhí)行功能實(shí)體。
5.根據(jù)權(quán)利要求3或4所述的業(yè)務(wù)訪問控制方法����,其特征在于,所述將密鑰信息發(fā)送給對(duì)應(yīng)的URL信息所定位的業(yè)務(wù)服務(wù)器后�,還包括檢測所述對(duì)應(yīng)關(guān)系中的密鑰信息是否發(fā)生變更;在檢測到密鑰信息發(fā)生變更時(shí)�����,將變更后的密鑰信息通知對(duì)應(yīng)的URL信息所定位的業(yè)務(wù)服務(wù)器�。
6.根據(jù)權(quán)利要求5所述的業(yè)務(wù)訪問控制方法,其特征在于�����,所述密鑰信息包括公開密鑰和私有密鑰���;將密鑰信息發(fā)送給對(duì)應(yīng)的URL信息所定位的業(yè)務(wù)服務(wù)器�����,具體為將私有密鑰發(fā)送至對(duì)應(yīng)的URL信息所定位的業(yè)務(wù)服務(wù)器�;所述信用控制應(yīng)答中攜帶查找到的所述業(yè)務(wù)服務(wù)器的URL信息對(duì)應(yīng)的密鑰信息�����,具體為所述信用控制應(yīng)答中攜帶查找到的所述業(yè)務(wù)服務(wù)器的URL信息對(duì)應(yīng)的公開密鑰��; 或者����,將密鑰信息發(fā)送給對(duì)應(yīng)的URL信息所定位的業(yè)務(wù)服務(wù)器,具體為將公開密鑰發(fā)送至對(duì)應(yīng)的URL信息所定位的業(yè)務(wù)服務(wù)器�����;所述信用控制應(yīng)答中攜帶查找到的所述業(yè)務(wù)服務(wù)器的URL信息對(duì)應(yīng)的密鑰信息�����,具體為所述信用控制應(yīng)答中攜帶查找到的所述業(yè)務(wù)服務(wù)器的URL信息對(duì)應(yīng)的私有密鑰。
7.一種策略計(jì)費(fèi)執(zhí)行功能實(shí)體���,其特征在于���,包括第一接收模塊,用于接收終端發(fā)送的業(yè)務(wù)訪問請(qǐng)求�����,所述業(yè)務(wù)訪問請(qǐng)求中攜帶有所述終端要訪問的業(yè)務(wù)服務(wù)器的統(tǒng)一資源定位符URL信息��;第一發(fā)送模塊�����,用于向策略計(jì)費(fèi)裁決功能實(shí)體發(fā)送信用控制請(qǐng)求���,所述信用控制請(qǐng)求中攜帶第一接收模塊接收到得業(yè)務(wù)訪問請(qǐng)求中攜帶的所述業(yè)務(wù)服務(wù)器的URL信息����;第二接收模塊�,用于接收所述策略計(jì)費(fèi)裁決功能實(shí)體返回的信用控制應(yīng)答,所述信用控制應(yīng)答中攜帶所述URL信息對(duì)應(yīng)的密鑰信息����;加密模塊,用于采用第二接收模塊接收到得信用控制應(yīng)答中攜帶的URL信息對(duì)應(yīng)的密鑰信息對(duì)所述終端用戶的用戶標(biāo)識(shí)信息進(jìn)行加密�����;第二發(fā)送模塊���,用于將加密模塊加密后的所述用戶標(biāo)識(shí)信息攜帶在所述業(yè)務(wù)訪問請(qǐng)求中��,并將已攜帶加密后的用戶標(biāo)識(shí)信息的業(yè)務(wù)訪問請(qǐng)求發(fā)送至業(yè)務(wù)服務(wù)器�����,以使得所述業(yè)務(wù)服務(wù)器根據(jù)解密獲得的用戶標(biāo)識(shí)信息向所述終端推送業(yè)務(wù)內(nèi)容�����。
8.根據(jù)權(quán)利要求7所述的策略計(jì)費(fèi)執(zhí)行功能實(shí)體����,其特征在于�����,所述第一發(fā)送模塊,具體用于將所述業(yè)務(wù)服務(wù)器的URL信息封裝在信用控制請(qǐng)求信令的第一擴(kuò)展屬性值對(duì)AVP中��,以使信用控制請(qǐng)求中攜帶所述業(yè)務(wù)服務(wù)器的URL信息��;通過 to接口將已攜帶所述業(yè)務(wù)服務(wù)器的URL信息的信用控制請(qǐng)求發(fā)送給所述策略計(jì)費(fèi)裁決功能實(shí)體��。
9.一種策略計(jì)費(fèi)裁決功能實(shí)體��,其特征在于����,包括第一發(fā)送模塊,用于根據(jù)存儲(chǔ)模塊存儲(chǔ)的業(yè)務(wù)服務(wù)器的URL信息與密鑰信息的對(duì)應(yīng)關(guān)系���,將密鑰信息發(fā)送給對(duì)應(yīng)的URL信息所定位的業(yè)務(wù)服務(wù)器��,以使得所述業(yè)務(wù)服務(wù)器根據(jù)所述密鑰信息對(duì)業(yè)務(wù)訪問請(qǐng)求中攜帶的加密用戶標(biāo)識(shí)信息進(jìn)行解密后�,根據(jù)解密獲得的用戶標(biāo)識(shí)信息向終端推送業(yè)務(wù)內(nèi)容���;第一接收模塊����,用于接收策略計(jì)費(fèi)執(zhí)行功能實(shí)體發(fā)送的信用控制請(qǐng)求�����,所述信用控制請(qǐng)求中攜帶終端所要訪問的業(yè)務(wù)服務(wù)器的URL信息;查找模塊�����,用于根據(jù)根據(jù)所述信用控制請(qǐng)求中攜帶的業(yè)務(wù)服務(wù)器的URL信息���,從存儲(chǔ)模塊存儲(chǔ)的所述對(duì)應(yīng)關(guān)系中查找到對(duì)應(yīng)的密鑰信息;第二發(fā)送模塊�,用于向所述策略計(jì)費(fèi)執(zhí)行功能實(shí)體返回信用控制應(yīng)答,所述信用控制應(yīng)答中攜帶查找到的所述業(yè)務(wù)服務(wù)器的URL信息對(duì)應(yīng)的密鑰信息���,以使得所述策略計(jì)費(fèi)執(zhí)行功能實(shí)體采用所述密鑰信息對(duì)用戶標(biāo)識(shí)信息進(jìn)行加密后���,攜帶在業(yè)務(wù)訪問請(qǐng)求中發(fā)送至業(yè)務(wù)服務(wù)器。
10.根據(jù)權(quán)利要求9所述的策略計(jì)費(fèi)裁決功能實(shí)體���,其特征在于�����,所述第二發(fā)送模塊���,具體用于將所述業(yè)務(wù)服務(wù)器的URL信息對(duì)應(yīng)的密鑰信息封裝在動(dòng)態(tài)策略的第二擴(kuò)展屬性值對(duì)AVP中���,以使承載所述動(dòng)態(tài)策略的信用控制應(yīng)答中攜帶密鑰信息;通過to接口將已攜帶所述業(yè)務(wù)服務(wù)器的URL信息對(duì)應(yīng)的密鑰信息的信用控制應(yīng)答發(fā)送給所述策略計(jì)費(fèi)執(zhí)行功能實(shí)體�����。
11.根據(jù)權(quán)利要求9所述的策略計(jì)費(fèi)裁決功能實(shí)體����,其特征在于,還包括更新模塊�,用于檢測存儲(chǔ)模塊存儲(chǔ)的所述對(duì)應(yīng)關(guān)系中密鑰信息是否變更;并在所述密鑰信息發(fā)生變更時(shí)���,指示第一發(fā)送模塊將變更后的密鑰信息通知對(duì)應(yīng)的URL信息所定位的業(yè)務(wù)服務(wù)器�����。
12.—種業(yè)務(wù)服務(wù)器���,其特征在于,包括第三接收模塊,用于接收所述策略計(jì)費(fèi)裁決功能實(shí)體發(fā)送的密鑰信息���;以及接收所述策略計(jì)費(fèi)執(zhí)行功能實(shí)體發(fā)送的業(yè)務(wù)訪問請(qǐng)求�����;解密模塊����,用于根據(jù)所述密鑰信息對(duì)所述業(yè)務(wù)訪問請(qǐng)求中攜帶的加密用戶標(biāo)識(shí)信息進(jìn)行解密���;推送模塊,用于根據(jù)所述解密模塊解密后的用戶標(biāo)識(shí)信息��,對(duì)用戶標(biāo)識(shí)信息對(duì)應(yīng)的終端用戶推送業(yè)務(wù)內(nèi)容����。
13.—種業(yè)務(wù)訪問控制系統(tǒng),其特征在于���,包括策略計(jì)費(fèi)執(zhí)行功能實(shí)體����、策略計(jì)費(fèi)裁決功能實(shí)體和業(yè)務(wù)服務(wù)器�����;所述策略計(jì)費(fèi)執(zhí)行功能實(shí)體,用于接收終端發(fā)送的業(yè)務(wù)訪問請(qǐng)求�,所述業(yè)務(wù)訪問請(qǐng)求中攜帶有所述終端要訪問的業(yè)務(wù)服務(wù)器的統(tǒng)一資源定位符URL信息;向策略計(jì)費(fèi)裁決功能實(shí)體發(fā)送信用控制請(qǐng)求�,所述信用控制請(qǐng)求中攜帶所述業(yè)務(wù)服務(wù)器的URL信息;接收所述策略計(jì)費(fèi)裁決功能實(shí)體返回的信用控制應(yīng)答���,所述信用控制應(yīng)答中攜帶所述URL信息對(duì)應(yīng)的密鑰信息����,并采用所述密鑰信息對(duì)所述終端用戶的用戶標(biāo)識(shí)信息進(jìn)行加密��;將加密后的所述用戶標(biāo)識(shí)信息攜帶在所述業(yè)務(wù)訪問請(qǐng)求中��,并將已攜帶加密后的用戶標(biāo)識(shí)信息的業(yè)務(wù)訪問請(qǐng)求發(fā)送至業(yè)務(wù)服務(wù)器�����;所述策略計(jì)費(fèi)裁決功能實(shí)體���,用于接收策略計(jì)費(fèi)執(zhí)行功能實(shí)體發(fā)送的信用控制請(qǐng)求���; 根據(jù)所述信用控制請(qǐng)求中攜帶的業(yè)務(wù)服務(wù)器的URL信息���,從存儲(chǔ)的業(yè)務(wù)服務(wù)器的URL信息與密鑰信息的對(duì)應(yīng)關(guān)系中查找到對(duì)應(yīng)的密鑰信息;向所述策略計(jì)費(fèi)執(zhí)行功能實(shí)體返回信用控制應(yīng)答��,所述信用控制應(yīng)答中攜帶查找到的所述業(yè)務(wù)服務(wù)器的URL信息對(duì)應(yīng)的密鑰信息��;業(yè)務(wù)服務(wù)器���,用于接收所述策略計(jì)費(fèi)裁決功能實(shí)體發(fā)送的密鑰信息�,并在接收到所述策略計(jì)費(fèi)執(zhí)行功能實(shí)體發(fā)送的業(yè)務(wù)訪問請(qǐng)求后����,根據(jù)所述密鑰信息對(duì)業(yè)務(wù)訪問請(qǐng)求中的用戶標(biāo)識(shí)信息進(jìn)行解密��,根據(jù)解密后的用戶標(biāo)識(shí)信息向所述終端推送業(yè)務(wù)內(nèi)容��。
全文摘要
本發(fā)明提供一種業(yè)務(wù)訪問控制方法����、裝置和系統(tǒng),其中方法包括接收終端發(fā)送的業(yè)務(wù)訪問請(qǐng)求���,其中攜帶有所述終端要訪問的業(yè)務(wù)服務(wù)器的統(tǒng)一資源定位符URL信息�����;向策略計(jì)費(fèi)裁決功能實(shí)體發(fā)送信用控制請(qǐng)求�,其中攜帶所述業(yè)務(wù)服務(wù)器的URL信息;接收所述策略計(jì)費(fèi)裁決功能實(shí)體返回的信用控制應(yīng)答�,信用控制應(yīng)答中攜帶所述URL信息對(duì)應(yīng)的密鑰信息,并采用所述密鑰信息對(duì)所述終端用戶的用戶標(biāo)識(shí)信息進(jìn)行加密���;將加密后的所述用戶標(biāo)識(shí)信息攜帶在所述業(yè)務(wù)訪問請(qǐng)求中�����,并將已攜帶加密后的用戶標(biāo)識(shí)信息的業(yè)務(wù)訪問請(qǐng)求發(fā)送至業(yè)務(wù)服務(wù)器���,以使得所述業(yè)務(wù)服務(wù)器根據(jù)解密獲得的用戶標(biāo)識(shí)信息向所述終端推送業(yè)務(wù)內(nèi)容。本發(fā)明信大大提高了業(yè)務(wù)訪問中用戶信息的安全性��。
文檔編號(hào)H04W12/02GK102355657SQ20111017711
公開日2012年2月15日 申請(qǐng)日期2011年6月28日 優(yōu)先權(quán)日2011年6月28日
發(fā)明者劉強(qiáng) 申請(qǐng)人:成都市華為賽門鐵克科技有限公司