保护用户信息的方法、装置及系统制造方法及图纸

本发明专利技术提供一种保护用户信息的方法、装置及系统。所述保护用户信息的方法包括：接收应用访问用户信息的请求，以及响应于所述请求未包含授权的令牌，请求用户临时确认所述应用访问用户信息的请求，其中生成令牌并通过令牌关联移动服务平台上的用户与应用访问用户信息的请求，以及响应于用户确认所述应用访问用户信息的请求，基于关联用户与应用访问用户信息的请求的所述令牌，允许所述应用临时访问所述用户信息。通过上述方法、装置或者系统，使得移动服务平台上的用户信息得到更好的保护，同时也保证了移动运营商的业务开展。

【技术实现步骤摘要】

本专利技术总体上涉及通讯领域，特别地，涉及一种用于保护用户信息的方法、装置及系统
技术介绍
现在正逐渐步入移动互联网计算时代，更多的移动终端被连接到移动互联网中。 随着第三代移动通讯技术的普及，越来越多应用被部署到移动互联网上。目前很多移动运 营商正在积极地部署相关平台以充分利用移动互联网以从中获得更多的商业价值。有移 sjjjs^lSiii^ilit^lk^-^'niS^^Fa (VGOP, Value-added services general operation platform)。VGOP是一种统一开发、管理、运营和分析增值业务的平台。它的开发和部署使 得移动运营商认识到在由通信服务提供商转向内容服务提供商的过程中，增值业务的规范 管理的重要性显著增加。VGOP—般由五个功能部分组成一是营销，二是分析，三是能力互 通和共享，四是运营管理和监控，五是门户。VGOP平台提供了以上功能的整合管理，向外部 提供了统一的服务和运营。在VGOP平台，或者其它类似的平台中，将保存大量的用户相关 信息，这些信息可以被第三方公司开发的应用所利用。这些数据在开放给第三方应用的时 候，身份认证和授权是非常重要的方面。而现实是在平台上运行的第三方应用数目巨大，种 类繁多。移动运营商很难与每个第三方应用一一建立信任关系。而在第三方应用与移动服 务平台之间没有信任关系的情况下，很难保证用户在平台上的相关信息的安全性。当前，在移动终端访问第三方应用，而第三方应用要完成服务需要访问移动信息 平台这样的场景中，一般有两种访问流程。一种是移动终端直接访问第三方应用，然后由第 三方应用访问移动服务平台时，如果遇到身份认证/授权的要求，第三方应用会要求移动 终端告知该移动终端用户在移动平台中的账号和密码，然后第三方应用代表移动用户直接 访问移动服务平台。在这样的流程中，移动终端用户在移动服务平台中的用户名和密码就 会泄漏给第三方应用。图1则示出了另一种流程移动终端访问移动服务平台，通过移动服务平台的身 份认证和授权。此后的访问通过移动服务平台访问第三方应用。如果第三方应用需要移动 服务平台中的数据，第三方应用则直接获得移动平台的数据。在这个流程中，第三方应用和 移动服务平台之间存在着信任关系，这通常是通过签订合同来建立的。其具体步骤如下1)移动终端向移动服务平台发送HTTP请求，HTTP请求含有需要访问的第三方应 用的信息；2)移动服务平台向第三方应用转发访问请求；3)第三方应用需要访问移动服务平台的数据，向移动服务平台发送数据访问或者 增值服务访问的HTTP请求；4)如果移动服务平台需要访问自己内容的增值服务平台(例如VG0P)，向增值服 务平台发送增值服务访问的请求；5)增值服务平台返回增值服务访问的响应；6)移动服务平台向第三方应用返回数据访问或者增值服务访问的响应；7)第三方应用向移动服务平台返回移动终端访问的响应；8)移动服务平台向移动终端返回访问的结果。但正如上面所提及的，由于在VGOP平台上的第三方应用非常丰富，移动运营商无 法与第三方应用的提供商一一建立信任关系。因此上述的现有访问流程无法满足新的平台 的需要。专利申请W003/007102A(M0DULAR AUTHENTICATION ANDAUTHORIZATION SCHEME FOR INTERNET PROTOCOL)提出了一种三方身份认证/授权系统。在该系统中有一个授权器 专门负责对用户请求进行授权，而服务提供方将根据授权器的授权结果对客户请求进行响 应。该专利要求服务提供方完全信任授权器的授权结果，而服务方自己不再进行身份认证 /授权。这种方式需要一种用户以及服务提供方(比如移动运营商)都信任的第三方。
技术实现思路
本专利技术提供一种保护用户信息的方法、装置或者系统。本专利技术一方面提供一种用于保护用户信息的方法，所述方法包括接收应用访问 用户信息的第一请求；响应于所述第一请求未包含授权的令牌，生成第一令牌并发送给所 述应用，并且关联所述第一令牌和所述第一请求；响应于接收到用户的认证请求，认证所述 用户，其中所述认证请求包含所述用户从所述应用获得的所述第一令牌；响应于所述用户 通过所述认证，根据所述第一令牌和所述第一请求的关联向所述用户请求确认所述第一请 求；响应于所述用户确认所述第一请求，生成第二令牌，向用户发送所述第二令牌，并且关 联所述第二令牌和所述用户；响应于接收到所述应用访问所述用户信息的第二请求，其中 所述第二请求包含所述应用从所述用户获得的第二令牌，根据所述第二令牌与所述用户的 关联允许所述应用访问所述用户信息。本专利技术另一方面提供一种保护用户信息的装置，包括用于接收应用访问用户信 息的第一请求的装置；用于响应于所述第一请求未包含授权的令牌，生成第一令牌并发送给所述应用， 并且关联所述第一令牌和所述第一请求的装置；用于响应于接收到用户的认证请求，认证所述用户，其中所述认证请求包含所述 用户从所述应用获得的所述第一令牌的装置；用于响应于所述用户通过所述认证，根据所述第一令牌和所述第一请求的关联向 所述用户请求确认所述第一请求的装置；用于响应于所述用户确认所述第一请求，生成第二令牌，向用户发送所述第二令 牌，并且关联所述第二令牌和所述用户的装置；用于响应于接收到所述应用访问所述用户信息的第二请求，其中所述第二请求包 含所述应用从所述用户获得的第二令牌，根据所述第二令牌与所述用户的关联允许所述应 用访问所述用户信息的装置。本专利技术另一方面提供一种用于保护用户信息的系统，该系统包括移动服务平台， 其中所述移动服务平台包括如上所述的保护用户信息的装置；用户信息存储模块，用于 存储用户信息；服务方法功能模块，用于根据所述保护用户信息的装置的指令访问用户信息。通过本专利技术所提供的保护用户信息的方法、装置或者系统，可以防止个人的信息 在不同的平台之间泄漏，也可以防止第三方应用获得个人在平台上的用户名与用户信息之 间的对应关系，从而有效地保护了用户信息，有利于移动运营商的业务开展。附图说明为了对本专利技术实施例的特征和优点进行详细说明，将参照以下附图。如果可能的 话，在附图和描述中使用相同或者类似的参考标号以指代相同或者类似的部分。其中图1示出了现有移动终端通过移动服务平台访问第三方应用的框架示意图；图2示出了本专利技术用于保护用户信息的方法的第一实施方式的流程；图3示出了本专利技术用于保护用户信息的方法的第二实施方式的示意图；以及图4示出了本专利技术用于保护用户信息的系统。具体实施例方式现在将参考本专利技术的示例性实施例进行详细的描述，在附图中图解说明了所述实 施例的示例，其中相同的参考数字始终指示相同的元件。应当理解，本专利技术并不限于所公开 的示例实施例。还应当理解，并非所述方法和设备的每个特征对于实施任一权利要求所要 求保护的本专利技术都是必要的。此外，在整个公开中，当显示或描述处理或方法时，方法的步 骤可以以任何顺序或者同时执行，除非从上下文中能清楚一个步骤依赖于先执行的另一步 骤。此外，步骤之间可以有显著的时间间隔。下面参照图2详细描述本专利技术的用于保护用户信息的方法的第一实施方式。根据图2，在步骤201中，首先接收应用访问用户信息的第一请求。所述第一 请求可以由第三方应用根本文档来自技高网...

【技术保护点】
一种用于保护用户信息的方法，所述方法包括：接收应用访问用户信息的第一请求；响应于所述第一请求未包含授权的令牌，生成第一令牌并发送给所述应用，并且关联所述第一令牌和所述第一请求；响应于接收到用户的认证请求，认证所述用户，其中所述认证请求包含所述用户从所述应用获得的所述第一令牌；响应于所述用户通过所述认证，根据所述第一令牌和所述第一请求的关联向所述用户请求确认所述第一请求；响应于所述用户确认所述第一请求，生成第二令牌，向用户发送所述第二令牌，并且关联所述第二令牌和所述用户；响应于接收到所述应用访问所述用户信息的第二请求，其中所述第二请求包含所述应用从所述用户获得的第二令牌，根据所述第二令牌与所述用户的关联允许所述应用访问所述用户信息。

【技术特征摘要】
一种用于保护用户信息的方法，所述方法包括接收应用访问用户信息的第一请求；响应于所述第一请求未包含授权的令牌，生成第一令牌并发送给所述应用，并且关联所述第一令牌和所述第一请求；响应于接收到用户的认证请求，认证所述用户，其中所述认证请求包含所述用户从所述应用获得的所述第一令牌；响应于所述用户通过所述认证，根据所述第一令牌和所述第一请求的关联向所述用户请求确认所述第一请求；响应于所述用户确认所述第一请求，生成第二令牌，向用户发送所述第二令牌，并且关联所述第二令牌和所述用户；响应于接收到所述应用访问所述用户信息的第二请求，其中所述第二请求包含所述应用从所述用户获得的第二令牌，根据所述第二令牌与所述用户的关联允许所述应用访问所述用户信息。2.一种如权利要求1所述的方法，其中所述关联所述第一令牌和所述第一请求包括将 第一令牌与第一请求中包含的应用服务地址和服务方法相关联。3.—种如权利要求1所述的方法，其中所述关联第二令牌和所述用户包括将第二令牌 和用户标识符相关联。4.一种如权利要求1至3任一项所述的方法，还包括 响应于生成所述第二令牌，注销所述第一令牌。5.一种如权利要求1至3任一项所述的方法，还包括 响应于所述应用访问完所述用户信息，注销所述第二令牌。6.一种如权利要求1至3任一项所述的方法，进一步包括 接收用户确认的第二令牌的有效期；以及在第二令牌的有效期内，允许所述应用多次访问所述用户信息。7.—种如权利要求1至3任一项所述的方法，其中所述响应于所述用户确认所述第 一请求，生成第二令牌，向用户发送所述第二令牌，并且关联所述第二令牌和所述用户还包 括将第二令牌与第一请求中包含的应用服务地址和服务方法相关联。8.—种如权利要求7所述的方法，其中所述根据所述第二令牌与所述用户的关联允许 所述应用访问所述用户信息进一步包括对比所述第一请求和所述第二请求包含的应用服务地址和服务方法； 响应于所述第一请求和所述第二请求包含的应用服务地址和服务方法相同，允许所述 应用访问所述用户信息。9.一种如权利要求1至3任一项所述的方法，其中所述用户的用户终端是移动电话，通 过用户的移动电话的国际移动用户识别码IMSI对用户进行认证。10.一种保护用户信息的装置，包括用于接收应用访问用户信息的第一请求的装置；用于响应于所述第一请求未包含授权的令牌，生成第一令牌并发送给所述应用，并且 关联所述第一令牌和所述第一请求的装置；用于响应于接收到用户的认证请求，...

【专利技术属性】
技术研发人员：田瑞雄，李立，高志国，黄鹤远，
申请(专利权)人：国际商业机器公司，
类型：发明
国别省市：US[美国]