用于互联网应用的免密认证方法、系统和存储介质与流程

1.本公开涉及用于互联网应用的免密认证方法、系统和存储介质，并且具体地，涉及一种无需终端侵入而实现访问互联网应用的免密认证方法、系统和存储介质。


背景技术：

2.为了提高用户的注册率及用户使用的便利，大部分互联网应用都提供了免密认证登录方式。目前运营商提供的免密认证，通过在客户端内嵌sdk，由客户端发起到认证服务器的认证报文，局端的网关设备在认证报文插入用户电话号码，服务器提取电话号码后完成用户的免密认证过程。在整个认证过程用户无需输入账号密码，但需要客户端内嵌sdk，对终端来说属于侵入式方案，部分app厂家接受意愿低。


技术实现要素：

3.本技术提出了一种用于互联网应用的免密认证方法、系统和存储介质，能够在无需侵入式内嵌sdk的情况下提供对终端用户的免密认证。
4.根据本公开的实施例的第一方面，提供了一种用于互联网应用的免密认证方法，包括：响应于接收到互联网应用基于来自终端的访问请求而发送的触发信号，认证服务器向核心网的网关设备发送第一认证报文；网关设备截取第一认证报文，并且识别与第一认证报文相关联的用户；网关设备将用户的信息插入到第一认证报文得到第二认证报文，并且将第二认证报文返回认证服务器；以及响应于接收到第二认证报文，认证服务器提取第二认证报文中用户的信息以完成对用户的免密认证。
5.根据本公开的实施例的第二方面，提供了一种用于互联网应用的免密认证系统，包括：认证服务器，包括触发信号接收单元，其被配置为响应于接收到互联网应用基于来自终端的访问请求而发送的触发信号，向核心网的网关设备发送第一认证报文；以及核心网的网关设备，包括报文处理单元，其被配置为截取第一认证报文并且识别与第一认证报文相关联的用户，将用户的信息插入到第一认证报文得到第二认证报文，以及将第二认证报文返回认证服务器，其中，认证服务器还包括免密认证单元，其被配置为响应于接收到第二认证报文，提取第二认证报文中用户的信息以完成对用户的免密认证。
6.根据本公开的实施例的第三方面，提供了一种其上存储有程序指令的计算机可读存储介质，该程序指令在执行时使计算机实现根据根据本公开的实施例的第一方面所述的免密认证方法。
7.根据本公开的实施例的第四方法，提供了一种计算机程序产品，包括计算机程序指令，该计算机程序指令被处理器执行时实现根据本公开的实施例的第一方面所述的的免密认证方法。
8.根据本公开的实施例的优点在于无需在客户端内嵌sdk，而是以非侵入的方式实现基于核心网网关的免密认证方法。
9.应当认识到，上述优点不需全部集中在一个或一些特定实施例中实现，而是可以
部分分散在根据本公开的不同实施例中。根据本公开的实施例可以具有上述优点中的一个或一些，也可以替代地或者附加地具有其它的优点。
10.通过以下参照附图对本发明的示例性实施例的详细描述，本发明的其它特征及其优点将会变得更为清楚。
附图说明
11.图1是示出了现有技术中的免密认证方法的步骤示意图。
12.图2是示出了根据本公开的实施例的免密认证方法的步骤示意图。
13.图3是示出了根据本公开的实施例的免密认证系统的示意图。
14.图4示出了可以实现根据本公开的实施例的计算设备的示例性配置。
具体实施方式
15.下面将参照附图来详细描述本公开的各种示例性实施例。应注意到：除非另外具体说明，否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本公开的范围。
16.以下对至少一个示例性实施例的描述实际上仅仅是说明性的，决不作为对本公开及其应用或使用的任何限制。也就是说，本文中的结构及方法是以示例性的方式示出以说明本公开中的结构和方法的不同实施例。然而，本领域技术人员将会理解，它们仅仅说明可以用来实施的本公开的示例性方式，而不是穷尽的方式。此外，附图不必按比例绘制，一些特征可能被放大以示出具体组件的细节。
17.对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论，但在适当情况下，所述技术、方法和设备应当被视为授权说明书的一部分。
18.在本技术中，终端是指由用户持有的移动通信设备，诸如智能手机、平板、便携式计算机、无线车载设备以及其它可以使用移动通信的设备。终端上安装有可以提供本地服务的客户端程序，其与应用的互联网服务端互相配合运行以实现应用的功能。认证服务器是在终端与互联网应用之间执行认证处理的第三方设备，可以由运营商在核心网侧提供，也可以由专门从事认证服务的平台来提供。核心网的网关设备(以下简称“核心网网关”)包括用于5g核心网的upf(用户面功能)或用于4g及其它网络的pgw(pdn网关)等。
19.图1示出了现有技术中的免密认证方法的步骤示意图。终端100上安装有内嵌sdk的客户端120。当用户希望通过终端100免密访问互联网应用400时，客户端120基于内嵌的sdk发起到认证服务器300的认证报文。具体而言，在步骤s101处，客户端120向核心网网关200发送认证请求。接收到该请求后，在步骤s102处，局端的核心网网关200在该认证报文中插入用户电话号码，得到包括用户信息的预认证数据。随后在步骤s103处，核心网网关200将所得的预认证数据发送到认证服务器300。在步骤s104处，认证服务器300从预认证数据中提取所插入的用户电话号码，从而得到与请求提供服务的用户相关联的信息，完成针对该用户的免密认证过程。
20.该方法要求终端100上安装的客户端120内嵌sdk，对于终端设备及应用程序而言是侵入性的，可能不被app提供商所接受。本技术据此提供了一种改进的免密认证方法，下面将结合图2及根据本公开的实施例进行说明。
21.图2的终端100所安装的客户端无需内嵌sdk，当用户10希望通过终端100免密访问互联网应用400时，终端100向互联网应用400发送访问请求2100(步骤s201)，互联网应用400基于访问请求2100发送触发信号2200。响应于接收到该触发信号2200，认证服务器300在步骤s202处向核心网网关200发送第一认证报文2301。该第一认证报文2301以认证服务器的ip地址为源地址，以终端100访问互联网应用400的源ip地址和源端口为目的地址和目的端口，并指定源端口。
22.接下来，在步骤s203处，核心网网关200根据第一认证报文2301的源地址和源端口识别并截取第一认证报文2301，并根据该报文中包括的目的地址和目的端口确定发起认证请求2100的终端100，进而识别与通过终端100访问互联网应用400相关联的用户10。基于终端100接入核心网的通信，核心网网关200可以获取的信息包括但不限于用户10的电话号码、位置以及与用户10相关的其它信息等。
23.进一步地，核心网网关200在步骤s204处使用http/https头增强等方式将用户10的信息插入到第一认证报文2301，从而得到第二认证报文2302，并将第二认证报文2302返回认证服务器300。在步骤s205处，认证服务器300响应于从核心网网关200接收到第二认证报文2303，从中提取用户10的信息。
24.最后，在步骤s206处，认证服务器300基于用户10的信息中包括的电话号码和位置等数据执行免密认证处理，并且根据对用户10的认证结果进行用户10与互联网应用400的账号绑定，下发对应的qos策略。
25.通过上述各步骤的处理，本技术的实施例能够实现客户端无需内嵌sdk的情况下经由核心网网关完成免密认证过程。
26.图3是示出了根据本公开的实施例的免密认证系统的示意图。其中，免密认证系统位于移动通信网络中，主要包括核心网网关200和认证服务器300。进一步地，认证服务器300包括触发信号接收单元3001和免密认证单元3003，核心网网关200包括报文处理单元3002。这些单元可以由实现具体功能的硬件和/或软件构成，可以是其它设备的一部分或者作为单独的部件，并且相互之间以及与网络中其它设备之间均可以通信地耦接。
27.免密认证系统在用户希望通过终端100免密访问互联网应用400时开始执行处理。如图3所示，终端100向互联网应用400发送访问请求3100，互联网应用400基于访问请求3100向认证服务器300发送触发信号3200。，认证服务器300通过触发信号接收单元3001接收触发信号3200，并且响应于接收到该信号向核心网网关200发送第一认证报文3300。该第一认证报文3300以认证服务器300的ip地址为源地址，以终端100访问互联网应用400的源ip地址和源端口为目的地址和目的端口，并指定源端口。
28.核心网网关200通过报文处理单元3002对第一报文3300进行处理。报文处理单元3002识别并截取第一认证报文3300，并根据该报文中包括的目的地址和目的端口确定发起认证请求2100的终端100，进而识别与通过终端100访问互联网应用400相关联的用户10。随后，报文处理单元3002将用户10的信息插入到第一认证报文3300中得到第二认证报文3302。该信息基于终端100与核心网网关200的通信获得，包括但不限于用户10的电话号码、位置以及与用户10相关的其它信息等。
29.报文处理单元3002将第二认证报文3302返回认证服务器300。响应于接收到第二认证报文3302，认证服务器300通过免密认证单元3003完成免密认证处理。免密认证单元
3003根据用户10的电话号码和位置等数据对用户10进行识别和认证，并且将通过认证的用户10与互联网应用400绑定，下发对应的qos策略。
30.通过上述各单元的数据通信和信息处理，免密认证系统能够在移动通信网络中实现无需客户端内嵌sdk的免密认证处理。
31.图4示出了可以实现根据本公开的实施例的计算设备的示例性配置。该计算设备包括一个或多个处理器1001、经由总线1004连接到处理器1001的输入/输出接口1005以及连接到总线1004的存储器1002和1003。在一些实施例中，存储器1002可以是只读存储器(rom)，存储器1003可以是随机存储存储器(ram)。
32.处理器1001可以是任何种类的处理器，并且可以包括但不限于一个或多个通用处理器或专用处理器(诸如专用处理芯片)。存储器1002和1003可以是任何非暂态的并且可以实现数据存储的存储设备，并且可以包括但不限于盘驱动器、光存储设备、固态存储器、软盘、柔性盘、硬盘、磁带或任何其他磁性介质、压缩盘或任何其他光学介质、缓存存储器和/或任何其他存储芯片或模块、和/或计算机可以从其中读取数据、指令和/或代码的其他任何介质。
33.总线1004可以包括但不限于工业标准架构(industry standard architecture，isa)总线、微通道架构(micro channel architecture，mca)总线、增强isa(eisa)总线、视频电子标准协会(vesa)局部总线、以及外设组件互连(pci)总线等。
34.在一些实施例中，输入/输出接口1005与以下单元连接，由诸如供用户输入操作命令的键盘和鼠标之类的输入设备所配置的输入单元1006、向显示设备输出处理操作画面和处理结果的图像的输出单元1007、包括用于存储程序和各种数据的硬盘驱动器等的存储单元1008以及包括局域网(lan)适配器等并经由以互联网为代表的网络执行通信处理的通信单元1009。此外，还连接了驱动器1010，该驱动器1010从可移除存储介质1011读取数据和在其上写数据。
35.可单独地或以任何组合方式来使用前述实施方案的各个方面、实施方案、具体实施或特征。可由软件、硬件或硬件与软件的组合来实现前述实施方案的各个方面。
36.例如，前述实施方案可体现为计算机可读介质上的计算机可读代码。计算机可读介质为可存储数据的任何数据存储设备，所述数据其后可由计算机系统读取。计算机可读介质的示例包括只读存储器、随机存取存储器、cd
‑
rom、dvd、磁带、硬盘驱动器、固态驱动器和光学数据存储设备。计算机可读介质还可分布在网络耦接的计算机系统中使得计算机可读代码以分布式方式来存储和执行。
37.例如，前述实施方案可采用硬件电路的形式。硬件电路可以包括组合式逻辑电路、时钟存储设备(诸如软盘、触发器、锁存器等)、有限状态机、诸如静态随机存取存储器或嵌入式动态随机存取存储器的存储器、定制设计电路、可编程逻辑阵列等的任意组合。
38.在一个实施方案中，可以通过用诸如verilog或vhdl的硬件描述语言(hdl)编码和设计一个或多个集成电路或者结合使用离散电路来实现根据本公开的硬件电路。
39.综上所述，本公开的实施例可以包括以下的配置：
40.(1)一种用于互联网应用的免密认证方法，包括：
41.响应于接收到互联网应用基于来自终端的访问请求而发送的触发信号，认证服务器向核心网的网关设备发送第一认证报文；
42.网关设备截取第一认证报文，并且识别与第一认证报文相关联的用户；
43.网关设备将用户的信息插入到第一认证报文得到第二认证报文，并且将第二认证报文返回认证服务器；以及
44.响应于接收到第二认证报文，认证服务器提取第二认证报文中用户的信息以完成对用户的免密认证。
45.(2)根据(1)所述的免密认证方法，其中
46.第一认证报文的目的地址和目的端口分别为终端访问互联网应用的源ip地址和源端口，以及
47.第一认证报文的源地址为认证服务器的ip地址并且第一认证报文的源端口为指定端口。
48.(3)根据(1)或(2)所述的免密认证方法，其中
49.网关设备根据第一认证报文的源地址和源端口识别并截取第一认证报文，以及
50.基于第一认证报文的目的地址完成第一认证报文与用户的关联。
51.(4)根据(1)至(3)中任一项所述的免密认证方法，其中
52.用户的信息包括电话号码、位置以及与用户相关的其它信息。
53.(5)根据(1)至(4)中任一项所述的免密认证方法，其中
54.网关设备使用http/https头增强方式在第一认证报文中插入用户的信息。
55.(6)根据(1)至(5)中任一项所述的免密认证方法，还包括：
56.认证服务器基于对用户的免密认证进行用户与互联网应用的账号绑定，并且进行qos策略下发。
57.(7)一种用于互联网应用的免密认证系统，包括：
58.认证服务器，包括
59.触发信号接收单元，其被配置为响应于接收到互联网应用基于来自终端的访问请求而发送的触发信号，向核心网的网关设备发送第一认证报文；以及
60.核心网的网关设备，包括
61.报文处理单元，其被配置为
62.截取第一认证报文并且识别与第一认证报文相关联的用户，
63.将用户的信息插入到第一认证报文得到第二认证报文，以及
64.将第二认证报文返回认证服务器，
65.其中，认证服务器还包括免密认证单元，其被配置为响应于接收到第二认证报文，提取第二认证报文中用户的信息以完成对用户的免密认证。
66.(8)根据(7)所述的免密认证系统，其中
67.第一认证报文的目的地址和目的端口分别为终端访问所述互联网应用的源ip地址和源端口，以及
68.第一认证报文的源地址为认证服务器的ip地址并且第一认证报文的源端口为指定端口。
69.(9)根据(7)或(8)所述的免密认证系统，其中报文处理单元还被配置为
70.根据第一认证报文的源地址和源端口识别并截取第一认证报文，以及
71.基于第一认证报文的目的地址完成第一认证报文与用户的关联。
72.(19)根据(7)至(9)中任一项所述的免密认证系统，其中
73.用户的信息包括电话号码、位置以及与用户相关的其它信息。
74.(11)根据(7)至(10)中任一项所述的免密认证系统，其中
75.报文处理单元使用http/https头增强方式在第一认证报文中插入用户的信息。
76.(12)根据(7)至(11)中任一项所述的免密认证系统，其中
77.免密认证单元基于对用户的免密认证进行用户与互联网应用的账号绑定，并且进行qos策略下发。
78.(13)一种其上存储有程序指令的计算机可读存储介质，所述程序指令在执行时使计算机实现根据(1)至(6)中任一项所述的免密认证方法。
79.(14)一种计算机程序产品，包括计算机程序指令，所述计算机程序指令被处理器执行时实现根据(1)至(6)中任一项所述的免密认证方法。