其中�,所述終端信息至少包括以下中的任意一種或多種:手機(jī)號碼、RAT接入類型以及手機(jī)IP。
[0039]本發(fā)明的實(shí)施例還提供了一種處理終端信息的系統(tǒng)����,包括:網(wǎng)關(guān)設(shè)備和Web服務(wù)器,所述網(wǎng)關(guān)設(shè)備包括:如上所述的應(yīng)用于網(wǎng)關(guān)設(shè)備的處理終端信息的裝置�;所述Web服務(wù)器包括:如上所述的應(yīng)用于Web服務(wù)器的處理終端信息的裝置。
[0040]本發(fā)明實(shí)施例具有以下有益效果:
[0041]本發(fā)明實(shí)施例的處理終端信息的方法��,通過網(wǎng)關(guān)設(shè)備在TLS協(xié)議字段中插入經(jīng)過網(wǎng)絡(luò)認(rèn)證的終端信息����、網(wǎng)關(guān)設(shè)備的公鑰證書、隨機(jī)數(shù)以及時(shí)間戳信息�,降低了網(wǎng)關(guān)設(shè)備的設(shè)備開銷,同時(shí)增加網(wǎng)關(guān)設(shè)備與服務(wù)器的單向認(rèn)證機(jī)制����,確保服務(wù)端能對終端信息的來源真實(shí)性和內(nèi)容完整性進(jìn)行可靠驗(yàn)證。
【附圖說明】
[0042]圖1表TJK本發(fā)明實(shí)施例傳輸環(huán)境的信任模型圖���;
[0043]圖2表TJK本發(fā)明實(shí)施例的工作流程圖一����;
[0044]圖3表示本發(fā)明實(shí)施例的工作流程圖二 ���;
[0045]圖4表示本發(fā)明實(shí)施例的結(jié)構(gòu)框圖一��;
[0046]圖5表示本發(fā)明實(shí)施例結(jié)構(gòu)框圖二�����。
【具體實(shí)施方式】
[0047]為使本發(fā)明要解決的技術(shù)問題�����、技術(shù)方案和優(yōu)點(diǎn)更加清楚��,下面將結(jié)合具體實(shí)施例及附圖進(jìn)行詳細(xì)描述��。
[0048]本發(fā)明實(shí)施例提供了一種處理終端信息的方法����、裝置及系統(tǒng)�����,解決了現(xiàn)有web業(yè)務(wù)提供者通過中間設(shè)備獲取終端信息時(shí)����,由于中間設(shè)備處理HTTP消息開銷增加大,可能造成中間設(shè)備并發(fā)容量下降以及在傳輸路徑上會(huì)對終端信息進(jìn)行偽造的問題。
[0049]如圖1所示�,在終端信息插入傳輸環(huán)境中,存在可信域和不可信域�����,其中網(wǎng)絡(luò)信息插入設(shè)備�,簡稱網(wǎng)關(guān)GW和web服務(wù)端SP位于可信域,雙方需要建立有效機(jī)制驗(yàn)證雙方身份與交互消息���,而終端UE和網(wǎng)關(guān)到服務(wù)端的網(wǎng)絡(luò)位于不可信域�����,可能會(huì)對信息插入�����、傳輸�、驗(yàn)證進(jìn)行干擾和破壞����。
[0050]具體來說,可能會(huì)對插入信息發(fā)起如下破壞:
[0051](I)位于不可信網(wǎng)絡(luò)的虛假GW篡改可信GW的插入信息���;
[0052](2)位于不可信網(wǎng)絡(luò)的虛假GW刪除可信GW的插入信息�����,然后插入偽造的插入信息���;
[0053](3)位于不可信網(wǎng)絡(luò)的虛假GW針對合法用戶A緩存可信GW的插入信息,然后針對同謀用戶B消息流重發(fā)合法插入信息��,幫助用戶B冒充用戶A身份���。
[0054]基于上述問題本發(fā)明實(shí)施例提供一種處理終端信息的方法�����,應(yīng)用于網(wǎng)關(guān)設(shè)備��,如圖2所示,包括:
[0055]步驟S21:在傳輸控制協(xié)議建立連接之后��,獲取TLS認(rèn)證協(xié)商過程中終端發(fā)送的客戶握手請求��。
[0056]本發(fā)明實(shí)施例的處理終端信息的方法���,通過傳輸安全協(xié)議TLS對HTTP消息進(jìn)行加密�����,在傳輸控制協(xié)議TCP建立連接之后����,終端提交客戶握手請求(client hello消息)�����,網(wǎng)關(guān)設(shè)備獲取客戶握手請求��,并用自己的公鑰證書進(jìn)行回復(fù)�,完成與終端的加密協(xié)商。
[0057]步驟S22:根據(jù)與所述終端相關(guān)的插入信息�����,生成與所述插入信息對應(yīng)的消息指紋�,并對生成的所述消息指紋進(jìn)行簽名。
[0058]在本發(fā)明的具體實(shí)施例中��,網(wǎng)關(guān)設(shè)備(如WAP網(wǎng)關(guān)�、綜合網(wǎng)關(guān))從移動(dòng)接入網(wǎng)絡(luò)中獲取與所述終端相關(guān)的終端信息,如手機(jī)號碼��、RAT接入類型或者手機(jī)IP,并在終端信息中添加自身公鑰證書��、隨機(jī)數(shù)和時(shí)間戳信息以防止重放攻擊���;網(wǎng)關(guān)設(shè)備計(jì)算插入信息(包括終端信息、公鑰證書���、隨機(jī)數(shù)和時(shí)間戳信息)的消息指紋�,具體的�����,可通過采用SHAl計(jì)算消息指紋���,然后對生成的消息指紋進(jìn)行簽名�,當(dāng)然��,任何可以生成消息指紋的技術(shù)都可以應(yīng)用到本發(fā)明實(shí)施例中���。
[0059]步驟S23:將所述插入信息�、所述消息指紋以及所述消息指紋的簽名插入到所述客戶握手請求中��,并將所述客戶握手請求發(fā)送給服務(wù)器。
[0060]在本發(fā)明的具體實(shí)施例中���,通過擴(kuò)展字段的方式���,將所述插入信息、所述消息指紋以及所述消息指紋的簽名插入到所述客戶握手請求中�。
[0061]本發(fā)明實(shí)施例的應(yīng)用于網(wǎng)關(guān)設(shè)備的處理終端信息的方法,以TCP連接為單位����,在TLS認(rèn)證協(xié)商過程中的客戶握手請求中一次性插入終端信息,降低了中間設(shè)備的處理開銷����。
[0062]為了保證服務(wù)端能對插入信息的來源真實(shí)性和內(nèi)容完整性進(jìn)行可靠驗(yàn)證,本發(fā)明實(shí)施例還提供了一種處理終端信息的方法�,應(yīng)用于Web服務(wù)器,如圖3所示��,包括:
[0063]步驟S31:獲取TLS認(rèn)證協(xié)商過程中��,網(wǎng)關(guān)設(shè)備發(fā)送的客戶握手請求���,其中����,所述客戶握手請求包括插入信息、與所述插入信息對應(yīng)的消息指紋以及消息指紋的簽名�,所述插入信息包括:終端信息以及所述網(wǎng)關(guān)設(shè)備的公鑰證書。
[0064]步驟S32:根據(jù)所述客戶握手請求中的所述插入信息��,生成與所述插入信息對應(yīng)的待驗(yàn)證消息指紋��,并將生成的所述待驗(yàn)證消息指紋與所述消息指紋進(jìn)行比較�����。
[0065]在本發(fā)明的具體實(shí)施例中����,服務(wù)器接收到網(wǎng)關(guān)設(shè)備發(fā)送的客戶握手請求后��,從中解析出網(wǎng)關(guān)設(shè)備的插入信息��,采用同一算法��,如SHAl算法����,計(jì)算生成與插入信息對應(yīng)的待驗(yàn)證消息指紋�����,并將待驗(yàn)證消息指紋與消息指紋進(jìn)行比較���,若一致,則進(jìn)行下一步���,否則�����,說明插入信息被篡改�����,并報(bào)錯(cuò)丟棄該請求����。
[0066]步驟S33:若所述待驗(yàn)證消息指紋與所述消息指紋一致�,且所述公鑰證書以及所述消息指紋的簽名均合法,則確定所述終端信息為合法終端信息�。
[0067]進(jìn)一步地,步驟33包括:
[0068]當(dāng)所述待驗(yàn)證消息指紋與所述消息指紋一致時(shí),驗(yàn)證所述公鑰證書的合法性�;
[0069]若所述公鑰證書合法,則根據(jù)所述公鑰證書中的公鑰驗(yàn)證所述消息指紋的簽名的合法性���;
[0070]若所述消息指紋的簽名合法�����,則確定所述終端信息為合法終端信息����。
[0071]本發(fā)明實(shí)施例的處理終端信息的方法����,當(dāng)待驗(yàn)證消息指紋與所述消息指紋一致�,且所述公鑰證書以及所述消息指紋的簽名均合法時(shí),提交所述插入信息并進(jìn)行后續(xù)業(yè)務(wù)處理�,否則,說明插入信息為不可信GW偽造的信息��,丟棄該請求�����。
[0072]本發(fā)明實(shí)施例的處理終端信息的方法,針對SSL/TLS加密的HTTP會(huì)話場景�����,一方面擴(kuò)展TLS協(xié)議字段用于攜帶終端信息(已經(jīng)由網(wǎng)絡(luò)認(rèn)證無誤的)��,另一方面將原來逐消息插入方式改為逐連接插入方式���,降低中間設(shè)備處理開銷����,同時(shí)設(shè)計(jì)中間設(shè)備與服務(wù)端的單向認(rèn)證機(jī)制�����,讓服務(wù)器安全可靠地獲知web請求來源終端的信息��,當(dāng)用戶使用手機(jī)上的移動(dòng)app進(jìn)行基于安全傳輸協(xié)議保護(hù)的業(yè)務(wù)辦理時(shí)�,無需通過短信驗(yàn)證等其他渠道驗(yàn)證用戶身份,避免額外交互����,提高了用戶體驗(yàn)。
[0073]本發(fā)明實(shí)施例還提供了一種處理終端信息的裝置�����,應(yīng)用于網(wǎng)關(guān)設(shè)備,如圖4所示���,包括:
[0074]第一獲取模塊41��,用于在傳輸控制協(xié)議建立連接之后�����,獲取TLS認(rèn)證協(xié)商過程中終端發(fā)送的客戶握手請求���;
[0075]第一處理模塊42,用于根據(jù)與所述終端相關(guān)的插入信息�,生成與所述插入信息對應(yīng)的消息指紋,并對生成的所述消息指紋進(jìn)行簽名�;
[0076]插入模塊43,用于將所述插入信息��、所述消息指紋以及所述消息指紋的簽名插入到所述客戶握手請求中�,并將所述客戶握手請求發(fā)送給服務(wù)器����。
[0077]本發(fā)明實(shí)施例的處理終端信息的裝置,所述插入信息至少包括以下中的任意一種或多種:終端信息、網(wǎng)關(guān)設(shè)備的公鑰證書��、隨機(jī)數(shù)以及時(shí)間戳信息���,其中���,所述終端信息至少包括以下中的任意一種或多種:手機(jī)號碼、RAT接入類型以及手機(jī)IP��。
[0078]本發(fā)明實(shí)施例的處理終端信息的裝置����,所述插入模塊43具體通過擴(kuò)展字段的方式,將所述插入信息�、所述消息指紋以及所述消息指紋的簽名插入到所述客戶握手請求中。
[0079]本發(fā)明實(shí)施例還提供了一種處理終端信息的裝置�����,應(yīng)用于Web服務(wù)器��,如圖5所示����,包括:
[0080]第二獲取模塊51���,用于獲取TLS認(rèn)證協(xié)商過程中,網(wǎng)關(guān)設(shè)備發(fā)送的客戶握手請求�����,其中�,