一种Web应用订购方法、装置及系统的制作方法

专利名称：一种Web应用订购方法、装置及系统的制作方法
技术领域：
本发明涉及一种数据业务，尤其涉及一种Web应用订购方法、装置及系统。
背景技术：
伴随着互联网的发展以及互联网应用的不断丰富，面对互联网发展带来的机遇与挑战，电信运营商在探索如何加大应用创新力度，深度挖掘增值业务拓展潜力的基础上，开始尝试通过开放电信以及互联网能，吸引全球开发者，通过全面降低应用创新门槛，基于开放的能力开发更多长尾应用。运营商通过开放能力，创新应用，用户使用应用过程中，如何保证能力开放的安全性，应用使用的安全性，保证计费安全、用户隐私安全，以及应用和内容等的安全是能力开放的关键问题，因此需要通过有效的安全机制满足能力开放的安全需求。但是，现有的能力开放系统重点解决了能力开放的实现方法，但未能提供有效机制保证能力开放及应用使用等各个环节的安全性，未能满足能力开发的安全需求。提高应用使用性，计费、用户隐私，以及应用和内容等的安全性是能力开放的关键问题，也是现有技术中急需解决的技术问题。

发明内容
本发明的目的在于，提供一种Web应用订购方法、装置及系统，在不向第三方应用泄露用户身份信息的情况下，实现用户对于应用的安全订购，避免非法用户接入应用，保证用户身份的真实性。为实现上述目的，根据本发明的一个方面，提供一种Web应用订购方法，包括A、 平台侧对接收到的应用侧发送的应用订购请求中的WebToken进行验证成功后，生成临时 Token,并将所述临时Token作为参数组装到订购页面URL中，将所述临时Token和所述订购页面URL返回给应用侧；B、所述应用侧根据所述订购页面URL将用户浏览器重定向到相应的订购页面，通过所述用户浏览器直接将所述临时Token发送到平台侧进行验证；C、当所述平台侧对所述临时Token进行验证成功后，根据所述应用订购请求完成订购。其中，所述步骤A中，所述平台侧还根据所述订购请求中的应用标识APPID和用户在应用上的用户名APPuserID生成唯一与之对应的临时标识correlatorlD，将所述correlatorlD与所述临时Token —起作为参数组装到订购页面URL中，将所述 correlatorlD、临时Token和所述订购页面URL返回给应用侧；所述步骤B中，所述应用侧通过所述用户浏览器直接将所述correlatorlD和临时Token发送到平台侧进行验证。另外，所述步骤C，所述平台侧对所述临时Token进行验证成功的操作之后还包括所述平台侧根据所述correlatorlD查询所述APPID对应的应用产品列表信息，并将所述应用产品列表信息发送至所述应用侧供用户选择；所述应用侧根据用户选择的应用产品发送至所述平台侧。所述步骤C之前还包括所述平台侧发送手机号输入提示信息至所述应用侧；所述应用侧将用户输入的MSISDN发送至所述平台侧；所述平台侧根据所述用户的MSISDN验证用户状态和账户余额。优选地，所述平台侧根据所述用户的MSISDN验证用户状态和账户余额的操作之后还包括当验证成功后，所述平台侧生成与所述correlatorID关联的验证码，并将所述验证码发送到所述MSISDN对应的用户手机，并向所述应用侧返回输入所述验证码的界面； 所述应用侧将用户在所述界面上输入的验证码提交到所述平台侧；所述平台侧对所述验证码进行校验。更优地，所述步骤A还包括根据应用侧的临时授权Token请求生成临时授权 Token并发送给所述应用侧；接收应用侧发送的包含所述临时授权Token的应用订购请求， 对所述临时授权iToken进行验证成功后，生成临时Token。为实现上述目的，根据本发明的另一个方面，提供一种Web应用订购方法，包括 A、所述平台侧根据接收到的应用订购请求验证用户状态和账户余额，验证成功后，生成临时Token，并将所述临时Token作为参数组装到订购页面URL中，将所述临时Token和所述订购页面URL返回给应用侧；B、所述应用侧根据所述订购页面URL将用户浏览器重定向到相应的订购页面，通过所述用户浏览器直接将所述临时Token发送到平台侧进行验证；C、 所述平台侧对所述临时Token进行验证成功后，根据所述应用订购请求完成订购。为实现上述目的，根据本发明的另一个方面，提供一种订购请求装置，包括订购请求生成模块，用于生成包含WebToken的应用订购请求，发送至平台侧；重定向模块，用于根据平台侧生成的临时Token和组装的订购页面URL，将用户浏览器重定向到相应的订购页面，并通过所述用户浏览器直接将所述临时Token发送到平台侧进行验证。另外，所述订购请求生成模块，还用于生成包含应用标识APPID、用户在应用上的用户名APPuserlD、用户输入的MSISDN和/或初始应用回调地址APP_calIl^ackURL的应用订购请求，发送至平台侧。优选地，该装置还包括临时授权Token检查模块，用于检查所述Web订购请求装置是否有所述WebToken对应的临时授权Token ；临时授权Token请求模块，用于当所述Web 订购请求装置没有有所述WebToken对应的临时授权Token或已有的临时授权Token已过期，向所述平台侧发送临时授权Token请求；所述订购请求生成模块，用于生成包含所述临时授权Token的应用订购请求，发送至平台侧。为实现上述目的，根据本发明的另一个方面，提供一种应用订购平台，包括平台安全模块，用于对应用侧发送的应用订购请求中的WebToken进行验证，并在对所述 WebToken验证成功后，生成临时Token ；在接收到应用侧返回的临时Token后，对所述临时 Token进行验证；平台鉴权模块，用于将所述临时Token作为参数组装到订购页面URL中；在对临时 Token的验证成功后，完成定购；平台接入模块，将所述临时Token和所述订购页面URL返回给应用侧。其中，所述平台安全模块，还用于根据所述订购请求中的应用标识APPID和用户在应用上的用户名APPuserID生成唯一与之对应的临时标识correlatorID ；所述平台鉴权模块，将所述correlatorID与所述临时Token —起作为参数组装到订购页面URL中；所述平台接入模块，将所述correlatorID、临时Token和所述订购页面URL返回给应用侧。另外所述平台安全模块，还用于对对应用侧发送的应用订购请求中的临时授权 Token进行验证，并在对所述临时授权Token验证成功后，生成临时Token。优选地，所述平台安全模块，还根据所述correlatorID查找到的所述MSISDN生成所述用户针对该APPID的用户伪码。更优地，所述平台鉴权模块，还用于根据所述APPID和所述用户伪码生成激活码， 通过所述接入模块发送到MSISDN对应的用户手机，将记录的所述应用订购请求中的初始应用回调地址Portal_CalIbackURL发送至所述应用侧；所述平台安全模块，用于验证所述应用侧返回的WebToken ；所述平台鉴权模块，用于验证所述激活码，通过所述激活码查询到对应的用户伪码，对用户伪码对应的APPuserID进行激活后，通过所述平台接入模块返回激活成功消息至所述应用侧。为实现上述目的，根据本发明的另一个方面，提供一种Web应用订购系统，包括 Web订购请求装置，用于生成包含WebToken的应用订购请求，发送至平台侧；根据平台侧生成的临时Token和组装的订购页面URL，将用户浏览器重定向到相应的订购页面，并通过所述用户浏览器直接将所述临时Token发送到平台侧进行验证；应用订购平台，对应用侧发送的应用订购请求中的WebToken进行验证，并在对所述WfebToken验证成功后，生成临时 Token ；所述临时Token作为参数组装到订购页面URL中，将所述临时Token和所述订购页面URL返回给应用侧；在接收到应用侧返回的临时Token后，对所述临时Token进行验证， 在验证成功后，完成定购。本发明的Web应用订购方法、装置及系统，通过在订购过程中，将用户的订购页面重定向到应用订购平台指定的订购页面后，再对用户身份进行验证，实现了在不向应用侧泄露用户真实身份的情况下实现应用订购，并且通过确认机制保证用户身份信息的真实性，进而有效保证了计费、用户隐私以及应用使用等的安全性。


图1是本发明Web应用订购方法实施例的流程图；图加是本发明Web应用订购方法实施例的详细流程图；图2b是本发明Web应用订购方法优选实施例的详细流程3是本发明Web应用订购方法另一实施例的流程图；图4是本发明Web应用订购方法另一实施例的详细流程图；图5是本发明订购请求装置实施例的结构图；图6是本发明应用订购平台实施例的结构图；图7是本发明Web应用退订方法实施例的流程图。
具体实施例方式用户可以通过两种方式订购Web应用，直接从第三方Web应用上订购Web应用或通过开放移动互联网平台用户门户订购Web应用。针对不同的订购方式，采取不同的安全实现方式保证订购流程的安全。以下结合附图对本发明进行详细说明。方法实施例一如图1所示，用户通过第三方Web上订购Web应用，本发明Web应用订购方法实施例主要包括以下流程步骤102，平台侧对接收到的应用侧发送的应用订购请求中的WebToken进行验证；步骤104，平台侧生成临时T1Oken ；步骤106，平台侧将临时Token作为参数组装到订购页面URL中；步骤108，平台侧将临时Token和订购页面URL返回给应用侧；步骤110，应用侧根据订购页面URL将用户浏览器重定向到相应的订购页面；步骤112，应用侧通过用户浏览器直接将临时Token发送到平台侧进行验证；步骤114，当平台侧对临时Token进行验证成功后，根据应用订购请求完成订购。本实施例的Web应用订购方法，通过在订购过程中，将用户的订购页面重定向到应用订购平台指定的订购页面后，再对用户身份进行验证，实现了在不向应用侧泄露用户真实身份的情况下实现应用订购，并且通过确认机制保证用户身份信息的真实性，进而有效保证了计费、用户隐私以及应用使用等的安全性。其中，上述步骤104中，平台侧还根据所述订购请求中的应用标识APPID和用户在应用上的用户名APPuserID生成唯一与之对应的临时标识correlatorID ；步骤106 中，将correlatorID与临时Token —起作为参数组装到订购页面URL中；步骤108中，将 correlatorID、临时Token和所述订购页面URL返回给应用侧；步骤112中，所述应用侧通过所述用户浏览器直接将所述correlatorID和临时 Token发送到平台侧进行验证。另外，步骤114平台侧对所述临时Token进行验证成功的操作之后还包括平台侧根据所述correlatorID查询所述APPID对应的应用产品列表信息，并将所述应用产品列表信息发送至所述应用侧供用户选择；应用侧根据用户选择的应用产品发送至所述平台侧。优选地，步骤114平台侧对所述临时Token进行验证成功的操作之后还包括平台侧发送手机号输入提示信息至应用侧；应用侧将用户输入的MSISDN发送至平台侧；平台侧根据用户的MSISDN验证用户状态和账户余额；当验证成功后，平台侧生成与所述correlatorID关联的验证码，并将所述验证码发送到所述MSISDN对应的用户手机，并向所述应用侧返回输入所述验证码的界面；应用侧将用户在所述界面上输入的验证码提交到所述平台侧；平台侧对所述验证码进行校验。更优地，步骤102中，所述平台侧还记录所述应用订购请求中的初始应用回调地址APP_cal Il^ackURL ；步骤114订购成功后还包括平台侧发送APP_cal Il^ackURL至所述应用侧；应用侧将用户浏览器重定向到APP_callhckURL对应的页面；平台侧发送订购结果信息至应用侧。更优地，平台侧发送订购结果信息至应用侧的操作包括平台侧根据所述correlatorID查找到的所述MSISDN生成所述用户针对该APPID的用户伪码，发送包含该用户伪码的订购结果信息发送至所述应用侧。伪码用户屏蔽用户真实身份信息，对于移动运营商来讲，手机号码是运营商核心的用户资源，通过伪码机制，可以保证用户身份信息不向第三方应用泄露，从而保证运营商用户资源以及用户私密信息的安全性。伪码是用户在系统内部的唯一标识，表示了不同针对不同应用的用户唯一身份标识，与“用户手机号码+APPID (应用标识)，，一一对应，同一用户对对应的不同应用的伪码不同。伪码是由鉴权模块安全模块在用户订购应用成功时生成，返回给鉴权模块存储，用于用户在使用应用中调用能力时的身份鉴别。伪码的生成规则如下nonce = Truncate (SHA-1 (MSI SDN> APPID、Random)，96)；伪码由nonce和timestamp进行置换组合生成，共32个字符。其中Truncate(SHA-1 (MSISDN、APPID、Random)，96)表示仅截取前 96bits ；MSISDN 用户手机号；APPID 应用标识；Random 随机数(32 位)；nonce为12Bytes，由Byte类型以BASE64编码转化为字符类型共16个字符，从高位到低位的格式为:N(1)N(2)N(3)...N(16)；timestamp 时间戳(YYYYMMDDhhmmss) +补充2个字符的随机数，从高位到低位的格式为:T(1)T(2)T(3)...T(16))；reversedtimestamp 为 timestamp 中各字节置换后的结果，reversedtimestamp 从高位到低位的格式为:R(1)R(2)R(3).. · R(16)。置换规律如下表所示
权利要求
1.一种Web应用订购方法，其特征在于，包括A、平台侧对接收到的应用侧发送的应用订购请求中的WebToken进行验证成功后，生成临时Token，并将所述临时Token作为参数组装到订购页面URL中，将所述临时Token和所述订购页面URL返回给应用侧；B、所述应用侧根据所述订购页面URL将用户浏览器重定向到相应的订购页面，通过所述用户浏览器直接将所述临时Token发送到平台侧进行验证；C、当所述平台侧对所述临时Token进行验证成功后，根据所述应用订购请求完成订购。
2.根据权利要求1所述的Web应用订购方法，其特征在于所述步骤A中，所述平台侧还根据所述订购请求中的应用标识APPID和用户在应用上的用户名APPuserID生成唯一与之对应的临时标识correlatorlD，将所述correlatorID与所述临时Token —起作为参数组装到订购页面URL中，将所述correlatorID、临时Token和所述订购页面URL返回给应用侧；所述步骤B中，所述应用侧通过所述用户浏览器直接将所述correlatorID和临时 Token发送到平台侧进行验证。
3.根据权利要求2所述的Web应用订购方法，其特征在于，所述步骤C，所述平台侧对所述临时Token进行验证成功的操作之后还包括所述平台侧根据所述correlatorID查询所述APPID对应的应用产品列表信息，并将所述应用产品列表信息发送至所述应用侧供用户选择；所述应用侧根据用户选择的应用产品发送至所述平台侧。
4.根据权利要求2或3所述的Web应用订购方法，其特征在于，所述步骤C中还包括所述平台侧发送手机号输入提示信息至所述应用侧；所述应用侧将用户输入的MSISDN发送至所述平台侧；所述平台侧根据所述用户的MSISDN验证用户状态和账户余额。
5.根据权利要求4所述的Web应用订购方法，其特征在于，所述平台侧根据所述用户的 MSISDN验证用户状态和账户余额的操作之后还包括当验证成功后，所述平台侧生成与所述correlatorID关联的验证码，并将所述验证码发送到所述MSISDN对应的用户手机，并向所述应用侧返回输入所述验证码的界面；所述应用侧将用户在所述界面上输入的验证码提交到所述平台侧；所述平台侧对所述验证码进行校验。
6.根据权利要求4所述的Web应用订购方法，其特征在于，所述步骤A中，所述平台侧还记录所述应用订购请求中的初始应用回调地址APP_calIhckURL ；所述步骤C之后还包括订购成功后，所述平台侧发送所述APP_cal lkickURL至所述应用侧；所述应用侧将用户浏览器重定向到APP_calIhckURL对应的页面；所述平台侧发送订购结果信息至所述应用侧。
7.根据权利要求6所述的Web应用订购方法，其特征在于，所述平台侧发送订购结果信息至所述应用侧的操作包括所述平台侧根据所述correlatorID查找到的所述MSISDN生成所述用户针对该APPID的用户伪码，发送包含该用户伪码的订购结果信息发送至所述应用侧。
8.根据权利要求1至7中任意一项所述的Web应用订购方法，其特征在于，所述步骤A 还包括根据应用侧的临时授权Token请求生成临时授权Token并发送给所述应用侧；接收应用侧发送的包含所述临时授权Token的应用订购请求，对所述临时授权Token 进行验证成功后，生成临时Token。
9.一种Web应用订购方法，其特征在于，包括A、所述平台侧根据接收到的应用订购请求验证用户状态和账户余额，验证成功后，生成临时Token，并将所述临时Token作为参数组装到订购页面URL中，将所述临时Token和所述订购页面URL返回给应用侧；B、所述应用侧根据所述订购页面URL将用户浏览器重定向到相应的订购页面，通过所述用户浏览器直接将所述临时Token发送到平台侧进行验证；C、所述平台侧对所述临时Token进行验证成功后，根据所述应用订购请求完成订购。
10.根据权利要求9所述的Web应用订购方法，其特征在于所述步骤A中，所述平台侧还根据所述订购请求中的应用标识APPID、用户在应用上的用户名APPuserID唯一与之对应的临时标识correlatorlD，将所述correlatorID与所述临时Token—起作为参数组装到订购页面URL中，将所述correlatorID、临时"Token和所述订购页面URL返回给应用侧；所述步骤B中，所述应用侧通过所述用户浏览器直接将所述correlatorID和临时 Token发送到平台侧进行验证。
11.根据权利要求10所述的Web应用订购方法，其特征在于，所述步骤C中，所述平台侧验证所述临时Token成功后，还包括所述平台侧根据所述correlatorID生成验证码，根据所述应用订购请求中的MSISDN 将所述验证码发送到相应的用户手机，并向所述应用侧返回输入所述验证码的界面；所述应用侧将用户在所述界面上输入的验证码提交到所述平台侧；所述平台侧对所述验证码进行校验。
12.根据权利要求11所述的Web应用订购方法，其特征在于所述平台侧对所述验证码校验成功后还包括所述平台侧根据所述correlatorID查找到的所述MSISDN生成所述用户针对该APPID 的用户伪码；订购成功后，发送包含该用户伪码的订购结果信息发送至所述应用侧。
13.根据权利要求12所述的Web应用订购方法，其特征在于所述平台侧对所述验证码校验成功后还包括所述平台侧根据所述APPID和所述用户伪码生成激活码，发送到MSISDN对应的用户手机，并将记录的所述应用订购请求中的初始应用回调地址Portal_calIbackURL发送至所述应用侧；所述应用侧将用户浏览器重定向到Portal_calIbackURL对应的页面，在订购成功后， 将包含所述激活码、APPID、APPuserID、WebToken的激活请求发送至所述平台侧；所述平台侧验证所述WebToken和所述激活码，通过所述激活码查询到对应的用户伪码，对用户伪码对应的APPuserID进行激活后，返回激活成功消息至所述应用侧；所述应用侧建立所述用户伪码与所述APPuserID的对应关系，并返回激活成功至所述用户手机。
14.一种Web订购请求装置，其特征在于，包括订购请求生成模块，用于生成包含WebToken的应用订购请求，发送至平台侧；重定向模块，用于根据平台侧生成的临时Token和组装的订购页面URL，将用户浏览器重定向到相应的订购页面，并通过所述用户浏览器直接将所述临时Token发送到平台侧进行验证。
15.根据权利要求14所述的Web订购请求装置，其特征在于，所述订购请求生成模块， 还用于生成包含应用标识APPID、用户在应用上的用户名APPuserlD、用户输入的MSISDN和 /或初始应用回调地址APP_calIhckURL的应用订购请求，发送至平台侧。
16.根据权利要求14所述的Web订购请求装置，其特征在于，还包括临时授权iToken检查模块，用于检查所述Web订购请求装置是否有所述WebToken对应的临时授权iToken ；临时授权iToken请求模块，用于当所述Web订购请求装置没有有所述WebToken对应的临时授权Token或已有的临时授权Token已过期，向所述平台侧发送临时授权Token请求；所述订购请求生成模块，用于生成包含所述临时授权Token的应用订购请求，发送至平台侧。
17.一种应用订购平台，其特征在于，包括平台安全模块，用于对应用侧发送的应用订购请求中的WebToken进行验证，并在对所述WfebToken验证成功后，生成临时Token ；在接收到应用侧返回的临时Token后，对所述临时Token进行验证；平台鉴权模块，用于将所述临时Token作为参数组装到订购页面URL中；在对临时 Token的验证成功后，完成定购；平台接入模块，将所述临时iToken和所述订购页面URL返回给应用侧。
18.根据权利要求17所述的应用订购平台，其特征在于，所述平台安全模块，还用于根据所述订购请求中的应用标识APPID和用户在应用上的用户名APPuserID生成唯一与之对应的临时标识correlatorID ；所述平台鉴权模块，将所述correlatorID与所述临时Token —起作为参数组装到订购页面URL中；所述平台接入模块，将所述correlatorID、临时Token和所述订购页面URL返回给应用侧。
19.根据权利要求17所述的应用订购平台，其特征在于，所述平台安全模块，还用于对对应用侧发送的应用订购请求中的临时授权Token进行验证，并在对所述临时授权Token 验证成功后，生成临时Token。
20.根据权利要求18所述的应用订购平台，其特征在于，所述平台鉴权模块，还用于在对所述临时Token进行验证成功后，根据所述 correlatorID查询所述APPID对应的应用产品列表信息，并将所述应用产品列表信息发送至所述应用侧供用户选择；还根据应用侧发送的用户输入的MSISDN验证用户状态和账户余额。
21.根据权利要求18所述的应用订购平台，其特征在于，所述平台鉴权模块，还进一步向安全模块发送验证码申请；通知所述接入模块下发验证码至所述MSISDN对应的用户手机，并向所述应用侧返回输入所述验证码的界面；将所述应用则发送的用户在所述界面上输入的验证码转发至所述安全模块；所述平台安全模块，生成与所述correlatorID关联的验证码发送到所述鉴权模块；对平台鉴权模块转发的验证码进行校验。
22.根据权利要求18所述的应用订购平台，其特征在于，所述平台安全模块，还根据所述correlatorID查找到的所述MSISDN生成所述用户针对该APPID的用户伪码。
23.根据权利要求22所述的应用订购平台，其特征在于，所述平台鉴权模块，还用于根据所述APPID和所述用户伪码生成激活码，通过所述接入模块发送到MSISDN对应的用户手机，将记录的所述应用订购请求中的初始应用回调地址Portal_cal IbackURL发送至所述应用侧；所述平台安全模块，用于验证所述应用侧返回的WebToken ；所述平台鉴权模块，用于验证所述激活码，通过所述激活码查询到对应的用户伪码，对用户伪码对应的APPuserID进行激活后，通过所述平台接入模块返回激活成功消息至所述应用侧。
24.一种应用订购系统，其特征在于，包括Web订购请求装置，用于生成包含WebToken的应用订购请求，发送至平台侧；根据平台侧生成的临时Token和组装的订购页面URL，将用户浏览器重定向到相应的订购页面，并通过所述用户浏览器直接将所述临时Token发送到平台侧进行验证；应用订购平台，对应用侧发送的应用订购请求中的WebToken进行验证，并在对所述 WebToken验证成功后，生成临时Token ；所述临时Token作为参数组装到订购页面URL中， 将所述临时Token和所述订购页面URL返回给应用侧；在接收到应用侧返回的临时Token 后，对所述临时Token进行验证，在验证成功后，完成定购。
全文摘要
本发明公开了一种Web应用订购方法、装置及系统。其中Web应用订购方法包括A、平台侧对接收到的应用侧发送的应用订购请求中的WebToken进行验证成功后，生成临时Token，并将临时Token作为参数组装到订购页面URL中，将临时Token和订购页面URL返回给应用侧；B、应用侧根据订购页面URL将用户浏览器重定向到相应的订购页面，通过用户浏览器直接将临时Token发送到平台侧进行验证；C、当平台侧对临时Token进行验证成功后，根据应用订购请求完成订购。本发明的Web应用订购方法、装置及系统，实现了在不向应用侧泄露用户真实身份的情况下实现应用订购，并且通过确认机制保证用户身份信息的真实性，进而有效保证了计费、用户隐私以及应用使用等的安全性。
文档编号H04L29/06GK102567903SQ20101058841
公开日2012年7月11日 申请日期2010年12月7日 优先权日2010年12月7日
发明者万薇, 于蓉蓉, 刘涛, 孙悦, 孙杰, 张炎, 武威, 江为强, 王姗姗, 胡伟 申请人:中国移动通信集团公司