一种处理终端信息的方法、装置及系统的制作方法
【技术领域】
[0001]本发明涉及通信应用的技术领域,特别是指一种处理终端信息的方法、装置及系统。
【背景技术】
[0002]随着移动互联网的发展,一方面,移动设备的种类和接入方式越来越丰富,不同的设备和网络的能力差异化越发显著,web业务提供者需要基于终端/接入信息对业务推送进行定制化优化(比如,基于终端屏幕尺寸信息的图片适配)。另一方面,web应用需求从单一的门户网站浏览向社交网络/信息推送方向转变。基于对用户消费行为/偏好信息的业务内容优化显得十分重要。目前的web业务服务端大量依赖获取的终端信息(包括:终端类型、网络类型、用户身份),进行业务内容与推送方式的调整,从而达到体验优化、可靠计费、行为分析、支付验证等诉求。
[0003]服务端获取终端信息的现有技术方案包括:
[0004]方案一:利用客户端软件从移动设备直接获取,再利用HTTP请求消息头中的User-Agent等字段携带给服务端,例如,终端型号、屏幕尺寸等信息。
[0005]方案二:基于可信网络设备从移动网络获取,因为蜂窝网接入会对用户身份等信息进行严格的验证,在计费、支付等需求场景下,web服务端可以利用网络中间设备在终端上行HTTP请求消息协议头中插入字段的方式,获取诸如用户身份、手机号码、精确位置等信息。例如,对于自由业务web服务端,可以识别请求中由网络设备插入的手机号码信息,无需用户手动输入用户名和密码,就能实现与基础话音业务的统一计费。例如,APN融合场景下的号码前转功能,就是针对自由业务无需手动输入用户名和密码就能使用业务并进行可靠计费的需求,在终端不可信,但网络可信的前提下,基于HTTP/1.1协议的私有头增强实现。具体方案是:基于分组域网关(例如GGSN、P-Gff)或者HTTP代理设备(例如,WAP网关、综合网关),在流经的自由业务HTTP请求包的HTTP头中插入手机号(χ-up-calling-line-1d)、RAT 接入类型(x-up-bear-type,映射关系见附录 A)、手机IP (x-forwarded-for)、X-Source_ID等字段。为解决终端可能伪造相关信息的问题,头增强实现设备支持手机号(x-up-calling-line-1d)插入的防欺诈功能,分组域网关或HTTP代理设备一旦检测到HTTP请求中已有终端填充的相关字段,会清除原有手机号信息,替换为真实的手机号等信息。
[0006]但方案一依赖于对于终端可信的假设,如果终端系统不可信、浏览器不可信、或者页面脚本被人篡改,均可能导致服务端接收到的插入信息是伪造/删除/篡改。
[0007]方案二虽然不依赖于终端可信,但它依赖于插入设备与服务端之间消息传输通道的可信;对于部署在公网上的第三方web服务端,来自移动接入网络的插入信息将经过互联网,如果传输路径上存在恶意设备,就可对插入信息进行伪造/删除/篡改。
【发明内容】
[0008]本发明的目的在于提供一种处理终端信息的方法、装置及系统,用以解决现有web业务提供者通过中间设备获取终端信息时,由于中间设备处理HTTP消息开销增加大,可能造成中间设备并发容量下降以及在传输路径上会对终端信息进行伪造的问题。
[0009]为了实现上述目的,本发明提供了一种处理终端信息的方法,应用于网关设备,包括:
[0010]在传输控制协议建立连接之后,获取TLS认证协商过程中终端发送的客户握手请求;
[0011]根据与所述终端相关的插入信息,生成与所述插入信息对应的消息指纹,并对生成的所述消息指纹进行签名;
[0012]将所述插入信息、所述消息指纹以及所述消息指纹的签名插入到所述客户握手请求中,并将所述客户握手请求发送给服务器。
[0013]其中,所述插入信息至少包括以下中的任意一种或多种:终端信息、网关设备的公钥证书、随机数以及时间戳信息,其中,所述终端信息至少包括以下中的任意一种或多种:手机号码、RAT接入类型以及手机IP。
[0014]其中,所述将所述插入信息、所述消息指纹以及所述消息指纹的签名插入到所述客户握手请求中的步骤具体为通过扩展字段的方式,将所述插入信息、所述消息指纹以及所述消息指纹的签名插入到所述客户握手请求中。
[0015]本发明的实施例还提供了一种处理终端信息的方法,应用于Web服务器,包括:
[0016]获取TLS认证协商过程中,网关设备发送的客户握手请求,其中,所述客户握手请求包括插入信息、与所述插入信息对应的消息指纹以及消息指纹的签名,所述插入信息包括:终端信息以及所述网关设备的公钥证书;
[0017]根据所述客户握手请求中的所述插入信息,生成与所述插入信息对应的待验证消息指纹,并将生成的所述待验证消息指纹与所述消息指纹进行比较;
[0018]若所述待验证消息指纹与所述消息指纹一致,且所述公钥证书以及所述消息指纹的签名均合法,则确定所述终端信息为合法终端信息。
[0019]其中,所述若所述待验证消息指纹与所述消息指纹一致,且所述公钥证书以及所述消息指纹的签名均合法,则确定所述终端信息为合法终端信息的步骤包括:
[0020]当所述待验证消息指纹与所述消息指纹一致时,验证所述公钥证书的合法性;
[0021]若所述公钥证书合法,则根据所述公钥证书中的公钥验证所述消息指纹的签名的合法性;
[0022]若所述消息指纹的签名合法,则确定所述终端信息为合法终端信息。
[0023]其中,所述终端信息至少包括以下中的任意一种或多种:手机号码、RAT接入类型以及手机IP。
[0024]本发明的实施例还提供了一种处理终端信息的装置,应用于网关设备,包括:
[0025]第一获取模块,用于在传输控制协议建立连接之后,获取TLS认证协商过程中终端发送的客户握手请求;
[0026]第一处理模块,用于根据与所述终端相关的插入信息,生成与所述插入信息对应的消息指纹,并对生成的所述消息指纹进行签名;
[0027]插入模块,用于将所述插入信息、所述消息指纹以及所述消息指纹的签名插入到所述客户握手请求中,并将所述客户握手请求发送给服务器。
[0028]其中,所述插入信息至少包括以下中的任意一种或多种:终端信息、网关设备的公钥证书、随机数以及时间戳信息,其中,所述终端信息至少包括以下中的任意一种或多种:手机号码、RAT接入类型以及手机IP。
[0029]其中,所述插入模块具体通过扩展字段的方式,将所述插入信息、所述消息指纹以及所述消息指纹的签名插入到所述客户握手请求中。
[0030]本发明的实施例还提供了一种处理终端信息的装置,应用于Web服务器,包括:
[0031]第二获取模块,用于获取TLS认证协商过程中,网关设备发送的客户握手请求,其中,所述客户握手请求包括插入信息、与所述插入信息对应的消息指纹以及消息指纹的签名,所述插入信息包括:终端信息以及所述网关设备的公钥证书;
[0032]第二处理模块,用于根据所述客户握手请求中的所述插入信息,生成与所述插入信息对应的待验证消息指纹,并将生成的所述待验证消息指纹与所述消息指纹进行比较;
[0033]确定模块,用于若所述待验证消息指纹与所述消息指纹一致,且所述公钥证书以及所述消息指纹的签名均合法,则确定所述终端信息为合法终端信息。
[0034]其中,所述确定模块包括:
[0035]第一验证单元,用于当所述待验证消息指纹与所述消息指纹一致时,验证所述公钥证书的合法性;
[0036]第二验证单元,用于若所述公钥证书合法,则根据所述公钥证书中的公钥验证所述消息指纹的签名的合法性;
[0037]确定单元,用于若所述消息指纹的签名合法,则确定所述终端信息为合法终端信肩、O
[0038]