专利名称:一种应用访问控制系统和方法
技术领域:
本发明涉及移动通信技术,特别涉及通过移动接入网接入信息应用系统时 的应用访问控制技术。
背景技术:
随着IT技术与移动通信技术的深入融合,企业IT环境中实现特定功能的 各种应用系统,如办7>自动化(OA, O伍ce Automatization)系统、顾客关系 管理(CRM, Customer Relation Management)系统、企业资源计划(ERP, Enterprise Resource Planing)系统等,其运行环境延伸到移动通信系统。在这 种情况下,现有移动通信系统中的安全认证和操作防抵赖性存在问题。现有移 动通信系统中,终端设备主要为移动终端, 一般称为手机,具有小型化和功能 简单的特点。移动终端和信息技术应用系统之间基本上采用用户/密码对或者用 户/PIN密码的安全认证方式,该方式安全级别非常低,如用户/PIN密码认证方 式被美国联邦标准技术局定义为安全性最弱的认证方式,仅适用于基本的语音 业务和个人数据业务。当移动通信系统涉及到安全性要求较高的应用业务时, 如企业内CRM、 ERP中的帐务管理、公文批复等,用户/密码对或用户/PIN密 码的安全认证方式作为统一的集中安全认证方式,显然无法满足其安全要求。
如果在移动通信系统中采用IT认证技术,则同样存在的问题。安全级别 较高的IT认证技术,如数字证书,硬件令牌等方法,需要额外的系统和设备 开销,要求一定的软硬件支持,实现较为繁瑣,并且对终端设备有一定的要求, 要求终端设备为智能手机,甚至要求有USB接口,故IT认证技术不适合以移 动终端为主要终端设备的移动通信系统。并且当前大部分IT认证技术,如数 字证书,硬件令牌等,都是基于并假设终端设备物理实体上的可控性, 一旦终端设备被盗或者被他人冒用,大部分的IT认证技术将失效。而相对IT技术中
的主要终端设备PC机,移动通信系统中的主要终端设备移动终端则具有体积
小、容易被他人冒用且容易丢失等特点。因此本发明人认为适用于移动通信系
统的iU正方法应该不依赖于移动终端。
当前,在电子商务中的许多操作需要采取操作防抵赖措施,如通过一定的 措施使领导在批阅公文后无法对其批阅动作进行抵赖。现有电子商务系统的操 作防抵赖措施依赖于PC机,采用数字签名等方式,操作防抵赖性不强。而虹 膜、指紋等生物鉴定方法,由于特殊的生物鉴定信息无法传输,也无法应用到 移动通信系统中。并且移动电话存在易冒领,易丟失等特点,也为移动终端与 信息技术应用系统间的操作防抵赖措施和电子取证操作提出了较高的要求,同 时也存在一定的难度。
发明内容
本发明实施例4是供了 一种应用访问控制系统及方法,用以实现移动终端和 信息技术应用系统之间的高可靠性安全认证。
本发明实施例还提供了 一种移动应用访问控制系统及方法,用以实现移动 终端访问信息技术应用系统时保留操作痕迹。
一种应用访问控制系统,包括移动接入子系统和信息技术应用子系统,还 包括代理服务器,其中
所述移动接入子系统将移动用户通过移动终端请求接入所述信息技术应 用子系统的接入请求转发给代理服务器;
所述代理服务器通过所述移动接入子系统,获得请求接入信息技术应用子 系统的移动终端的语音信息,根据预先存储的合法用户语音特征样本对获得的 语音信息进行语音认证,并向所述信息技术应用子系统返回认证结果;
所述信息技术应用子系统根据所述认证结果控制移动终端的应用访问。
所述信息技术应用子系统还用于将通过认证的移动用户的语音输入信息转发给代理服务器,所述代理服务器识别该语音输入信息的特征信息,并緩存
所述特征信息和当前时间;
所述信息技术应用子系统还用于将通过认证的移动用户的操作信息转发 给代理服务器,所述代理服务器对应存储所述特征信息、当前时间和操作信息。
一种代理服务器,包括
样本数据库,用于对应存储合法用户的语音特征样本;
语音鉴别模块,用于接收到移动用户的接入请求时,向移动用户播放认证 语音,并获得移动终端用户复述的认证语音,根据所述样本数据库中存储的合 法用户语音特征样本对移动终端用户复述的认i正语音信息进行语音认证,向所 述信息技术应用子系统返回认证结果。
代理服务器还包括语音数据库,用于存储设定的认证语音信息。
代理服务器还包括缓存模块和存储模块,其中
所述语音鉴别模块还用于获得通过认证的移动用户的语音输入信息,识别 该语音输入信息的特征信息,并将所述特征信息和当前时间对应緩存到所述緩 存模块;
所述语音鉴别模块还用于获得通过认证的移动用户的操作信息,并将緩存 模块存储的特征信息、当前时间和所述操作信息对应存储到所述存储模块。 一种应用访问控制系统,包括信息技术应用子系统,还包括代理服务器,
其中
所述信息技术应用子系统用于将通过认证的移动用户的语音输入信息转 发给代理服务器,所述代理服务器识别该语音输入信息的特征信息,并緩存所 述特征信息和当前时间;
所述信息技术应用子系统还用于将通过认证的移动用户的操作信息转发 给代理服务器,所述代理服务器对应存储所述特征信息、当前时间和操作信息。
一种代理服务器,包括语音鉴别模块、緩存模块和存储模块,其中
所述语音鉴别模块用于获得通过认证的移动用户的语音输入信息,识别该语音输入信息的特征信息,并将所述特征信息和当前时间对应緩存到所述緩存
模块;
所述语音鉴别模块还用于获得通过认证的移动用户的操作信息,并将緩存 模块存储的特征信息、当前时间和所述操作信息对应存储到所述存储模块。
一种应用访问控制方法,包括
获得请求接入信息技术应用子系统的移动终端的语音信息; 根据预先存储的合法用户语音特征样本对获得的语音信息进行语音认证; 向信息技术应用子系统返回认证结果,所述认证结果用于对移动终端的应 用访问进行控制。
还包括从所述信息技术应用子系统获得通过认证的移动用户的语音输入 信息和操作信息;识别所述语音输入信息的特征信息,并对应存储识别出的特 征信息、当前时间和操作信息。
一种应用访问控制方法,包括
从信息技术应用子系统获得通过认证的移动用户的语音输入信息和操作 信息;
识别所述语音输入信息的特征信息,并对应存储识别出的特征信息、当前 时间和操作信息。
本发明实施例提供的移动应用访问控制系统及方法,在接收到移动终端接 入信息应用子系统的i/vi正请求时,通过移动终端输入的语音信息对其进行语音 认证,将通过语音认证的移动终端用户接入信息技术应用子系统,解决了困扰 移动信息系统的高安全性认证的问题,通过对说话人进行识别提高了移动终端 和信息技术应用子系统之间安全认证的可靠性。采集并保留了移动终端访问信 息技术应用系统的操作痕迹。
图1为本发明实施例中移动应用访问控制系统框8图2为本发明实施例中移动应用访问控制方法流程图。
具体实施例方式
本发明实施例提供了 一种移动应用访问控制系统及方法,用以解决移动通 信系统中移动终端和信息技术应用系统之间的安全认证问题,提供灵活的应用 接入手段,提高信息技术应用系统的工作效率,并方便地开发基于移动终端的 新应用。
本发明实施例将运行环境延伸到移动通信系统的各种信息技术应用系统
中,如OA、 CRM、 ERP等统称为信息技术应用子系统。在本发明实施例提供 的移动应用访问控制系统中,在信息技术应用子系统和接入子系统之间放置一 个代理服务器(Mobile Agent Server, MAS ),提供了信息技术应用子系统与移 动终端之间端到端的解决方案。作为信息技术应用子系统与移动通信网络之间 的统一接入平台,MAS的统一身份认证功能和基于移动终端的操作防抵赖性 及可取证性是整个系统安全的关键。
本发明实施例首次将语音识别技术和移动通信系统相结合,提出 一个全新 的基于语音识别技术,适用于移动代理服务器的集中式统一语音认证和电子留 痕平台,解决了困扰移动通信系统的高安全认证需求和操作防抵赖困难的问 题。
本发明实施例提供了一种移动应用访问控制系统,如图l所示,包括移动 接入子系统、信息应用子系统和认证服务器,其中
移动接入子系统将移动用户通过移动终端请求接入信息技术应用子系统 的接入请求转发给代理服务器;
代理服务器通过移动接入子系统,获得请求接入信息技术应用子系统的移 动终端的语音信息,4艮据预先存储的合法用户语音特征样本对获得的语音信息 进行语音认证,并向信息技术应用子系统返回认证结果;
信息技术应用子系统根据认证结果控制移动终端的应用访问。进一步,信息技术应用子系统还将通过认证的移动用户的语音输入信息转 发给代理服务器,代理服务器识别该语音输入信息的特征信息,并缓存特征信
息和当前时间;
信息技术应用子系统还将通过认证的移动用户的操作信息转发给代理服 务器,代理服务器对应存储特征信息、当前时间和操作信息。
基于上述系统,代理服务器的一种具体结构包括
样本数据库,用于对应存储合法用户的语音特征样本;
语音鉴别模块,用于接收到移动用户的接入请求时,向移动用户播放认证 语音,并获得移动终端用户复述的认证语音,根据样本数据库中存储的合法用 户语音特征样本对移动终端用户复述的认证语音信息进行语音认证,向信息技 术应用子系统返回i人证结果。
进一步代理服务器还包括语音数据库,用于存储设定的认证语音信息。 这样代理服务器可以每一次随机生成认证语音信息,也可以从存储的认证语音 信息中提取。
当需要进行语音痕迹留存时,代理服务器还包括緩存模块和存储模块, 其中
语音鉴别模块从信息技术应用子系统获得通过认证的移动用户的语音输 入信息,识别该语音输入信息的特征信息,并将特征信息和当前时间对应緩存 到緩存模块; ,
语音鉴别模块还从信息技术应用子系统获得通过认证的移动用户的操作 信息,并将緩存模块存储的特征信息、当前时间和操作信息对应存储到存储模 块。
基于上述系统,本发明实施例提供的应用访问控制方法,包括 获得请求接入信息技术应用子系统的移动终端的语音信息; 根据预先存储的合法用户语音特征样本对获得的语音信息进行语音认证; 向信息技术应用子系统返回认证结果,认证结果用于对移动终端的应用访问进行控制。
进一步,从信息技术应用子系统获得通过认证的移动用户的语音输入信息 和操作信息;识别语音输入信息的特征信息,并对应存储识别出的特征信息、 当前时间和操作信息。
本发明实施例中,i人证过程也可以采用除语音i人证之外的其他i人证方案, 而只对认证通过的移动用户进行语音痕迹留存,这样应用访问控制系统可以包
括信息技术应用子系统和代理服务器,其中
信息技术应用子系统将通过认证的移动用户的语音输入信息转发给代理 服务器,代理服务器识别该语音输入信息的特征信息,并緩存特征信息和当前
时间;
信息技术应用子系统还将通过认证的移动用户的操作信息转发给代理服
务器,代理服务器对应存储特征信息、当前时间和梯:作信息。
基于此, 一种代理服务器具体包括语音鉴别模块、緩存模块和存储模块, 其中
语音鉴别模块用于获得通过认证的移动用户的语音输入信息,识别该语音 输入信息的特征信息,并将特征信息和当前时间对应緩存到緩存模块;
语音鉴别模块还用于获得通过认证的移动用户的操作信息,并将緩存模块 存储的特征信息、当前时间和操作信息对应存储到存储模块。
基于该系统, 一种应用访问控制方法包括
从信息技术应用子系统获得通过认证的移动用户的语音输入信息和操作 信息;
识别语音输入信息的特征信息,并对应存储识别出的特征信息、当前时间 和操作信息。
下面以一具体实施例进行详细说明,如图2所示,包4舌以下处理流程 S201、移动用户通过移动终端向代理服务器发起认证请求,代理服务器通 过移动接入子系统实现移动用户各种方式的接入,移动接入子系统包括语音处
ii理模块、WAP处理才莫块、MMS处理模块,等等,可以实现移动用户各种方式 的接入;
5202、 移动接入子系统将接入的移动终端的认证请求,转发给代理服务器 中的语音鉴别模块;
5203、 语音鉴别才莫块随机任选一语句或者随机生成一个语句,作为认证语 音通过语音处理冲莫块通知移动用户复述该语句;
5204、 移动用户复述该语句,并通过语音处理模块传回给语音鉴别模块;
5205、 语音鉴别模块根据对回传得到的语音信息进行处理,根据语音特征 信息在样本数据库中进行匹配,如果能在样本数据库中查询到与该语音特征信 息匹配的特征样本,则i人证成功;
5206、 语音鉴别沖莫块将认证成功消息发送给信息技术应用子系统中对应的 处理模块,信息技术应用子系统中的应用模块包括OA应用模块、ERP应用模 块、CRM应用4莫块等,对应不同的应用业务;
5207、 移动用户通过认证,被允许接入信息技术应用子系统中的某个应用 模块。
至此已完成了移动用户的接入认证,在后续操作中进行电子操作留痕的处 理流程包括
S208 、通过认证的移动用'户被接入信息技术应用子系统中的某个应用模 块,移动用户进行某项操作时,该应用模块首先提示用户进行语音输入;
5209、 移动用户通过语音处理模块将语音输入给语音鉴别模块;
5210、 语音鉴别才莫块进行语音识别处理,并和语音数据库中预存的语音信 息进4亍匹配,找出该移动用户的用户ID;
5211、 匹配完成后,语音鉴别模块将其语音特征信息和操作的时间存入緩 存单元,并发送匹配成功的消息给相应的应用才莫块;
5212、 应用模块收到匹配成功的消息后,将对应的操作代码发送给语音鉴 别模块;
12S213、语音鉴别模块收到对应的操作代码后,将緩存单元中对应的语音特 征信息和操作的时间拷贝到存储单元中,同时将收到的对应的操作代号也拷贝 到存储单元中,并将语音特征信息,操作的时间和对应的操作代码合并为一条 记录,记录语音特;f正信息、燥作的时间、对应的#:作 码这样一个三元组;
S21'4、语音鉴别模块将保存成功的消息发送给对应的应用模块,应用模块 完成移动用户的操作,如果应用模块没收到该保存成功的消息,则提示移动用
户的操作不能完成,且和语音鉴别模块重复执行S213和S214两个步骤。
本发明实施例首次将语音识别技术和移动通信系统相结合,提出一个基于
语音识别技术,适用于代理服务器的集中式统一语音认证和电子留痕系统,解
决了困扰信息技术应用系统的高安全性认证和电子防抵赖难的问题;
本发明实施例提出基于语音识别技术适用于移动终端的集中统一身份认
证系统,通过MAS服务器的语音鉴别模块对移动用户采用语音识别技术进行
认证;
本发明实施例提出了 一个全新的适用于信息技术应用系统的高强度的防
抵赖的电子留痕方法,首次在传统的语音数据库和管理:模块之间,引入了一个
用于语音留痕的緩存单元,通过记录语音特征信息、才乘作的时间、对应的操作 代码这样一个三元组,在解决了信息技术应用系统高强度的统一认证同时,解 决了困扰当前信息技术应用系统的电子操作防抵赖的问题。
明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及 其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
权利要求
1、一种应用访问控制系统,包括移动接入子系统和信息技术应用子系统,其特征在于,还包括代理服务器,其中所述移动接入子系统将移动用户通过移动终端请求接入所述信息技术应用子系统的接入请求转发给代理服务器;所述代理服务器通过所述移动接入子系统,获得请求接入信息技术应用子系统的移动终端的语音信息,根据预先存储的合法用户语音特征样本对获得的语音信息进行语音认证,并向所述信息技术应用子系统返回认证结果;所述信息技术应用子系统根据所述认证结果控制移动终端的应用访问。
2、 如权利要求l所述的系统,其特征在于,所述信息技术应用子系统还用于将通过认证的移动用户的语音输入信息 转发给代理服务器,所述代理服务器识别该语音输入信息的特征信息,并緩存 所述特征信息和当前时间;所述信息技术应用子系统还用于将通过认证的移动用户的操作信息转发 给代理服务器,所述代理服务器对应存储所述特征信息、当前时间和操作信息。
3、 一种代理服务器,其特征在于,包括 样本数据库,用于对应存储合法用户的语音特征样本; 语音鉴别模块,用于接收到移动用户的接入请求时,向移动用户播放认证语音,并获得移动用户复述的认证语音,根据所述样本数据库中存储的合法用 户语音特征样本对移动用户复述的认证语音信息进行语音认证,向所述信息技 术应用子系统返回认证结果。
4、 如权利要求3所述的代理服务器,其特征在于,还包括语音数据库, 用于存储设定的认证语音信息。
5、 如权利要求3或4所述的代理服务器,其特征在于,还包括緩存模 块和存储模块,其中所述语音鉴别模块还用于获得通过认证的移动用户的语音输入信息,识别该语音输入信息的特征信息,并将所述特征信息和当前时间对应緩存到所述緩存模块;所述语音鉴别模块还用于获得通过认证的移动用户的操作信息,并将緩存 模块存储的特征信息、当前时间和所述操作信息对应存储到所述存储模块。
6、 一种应用访问控制系统,包括信息技术应用子系统,其特征在于,还 包括代理服务器,其中所述信息技术应用子系统用于将通过认证的移动用户的语音输入信息转 发给代理服务器,所述代理服务器识别该语音输入信息的特征信息,并緩存所 述特征信息和当前时间;所述信息技术应用子系统还用于将通过认证的移动用户的操作信息转发 给代理服务器,所述代理服务器对应存储所述特征信息、当前时间和操作信息。
7、 一种代理服务器,其特征在于,包括语音鉴别模块、緩存模块和存 储模块,其中所述语音鉴别模块用于获得通过认证的移动用户的语音输入信息,识别该 语音输入信息的特征信息,并将所述特征信息和当前时间对应緩存到所述缓存 模块;所述语音鉴别模块还用于获得通过认证的移动用户的操作信息,并将緩存 模块存储的特征信息、当前时间和所述操作信息对应存储到所述存储模块。
8、 一种应用访问控制方法,其特征在于,包括 获得请求接入信息技术应用子系统的移动终端的语音信息; 根据预先存储的合法用户语音特征样本对获得的语音信息进行语音认证; 向信息技术应用子系统返回认证结果,所述认证结果用于对移动终端的应用访问进行控制。
9、 如权利要求8所述的方法,其特征在于,还包括 从所述信息技术应用子系统获得通过认证的移动用户的语音输入信息和操作信息;识别所述语音输入信息的特征信息,并对应存储识别出的特征信息、当前 时间和操作信息。
10、 一种应用访问控制方法,其特征在于,包括从信息技术应用子系统获得通过认证的移动用户的语音输入信息和操作信息;识别所述语音输入信息的特征信息,并对应存储识别出的特征信息、当前 时间和,操作4言息。
全文摘要
本发明涉及移动通信技术,特别涉及通过移动接入网接入信息应用系统时的应用访问控制技术。一种应用访问控制系统,包括移动接入子系统和信息技术应用子系统,还包括代理服务器,其中所述移动接入子系统将移动用户通过移动终端请求接入所述信息技术应用子系统的接入请求转发给代理服务器;所述代理服务器通过所述移动接入子系统,获得请求接入信息技术应用子系统的移动终端的语音信息,根据预先存储的合法用户语音特征样本对获得的语音信息进行语音认证,并向所述信息技术应用子系统返回认证结果;所述信息技术应用子系统根据所述认证结果控制移动终端的应用访问。代理服务器还进一步对应存储通过认证的移动用户的特征信息、时间和操作信息。
文档编号H04W12/00GK101437227SQ20071017753
公开日2009年5月20日 申请日期2007年11月16日 优先权日2007年11月16日
发明者余智欣, 越 刘, 兵 叶, 楠 杨, 亮 程, 军 肖, 赵立君 申请人:中国移动通信集团公司