一种对终端应用请求的处理方法、系统及装置的制作方法

专利名称：一种对终端应用请求的处理方法、系统及装置的制作方法
技术领域：
本发明涉及业务订购技术领域，尤其涉及一种对终端应用请求的处理方法、系统
及装置。
背景技术：
随着互联网技术的发展，网络电子商务成为当今订购业务中重要的组成部分。随着消费性电子产品(CP，C0nsumer Product)的日益增多，通过手机(HS，Handset)和个人数字助理(PDA, Personal Digital Assistant)等移动终端(MS, Mobile Station)上网订购业务成为可能。目前，各种应用能力平台都为用户开放了应用订购功能，用户终端可以对各种终端应用进行定制，例如，飞信、电子邮件等终端应用。在现有技术中，通过移动终端上网订购业务主要是通过无线应用协议网关(WAPGW，WirelessApplication Protocol Gateway) 根据用户终端的计费认证，转发用户终端的订购请求，无线应用协议WAP订购服务器(WAP Portal)返回一个订购业务列表。用户终端通过该订购业务列表订购需要订购的业务。发明人在实现本发明的过程中发现，现有技术中存在下述缺点如果用户终端直接通过WAPGW访问订购服务器进行业务订购，当用户终端为恶意终端时，例如，上网之前没有与订购业务供应商签署订购协议，或者一个错误的订购请求直接被WAPGW转发后，订购服务器直接发给用户终端订购业务列表并计费。那么，任何终端都可以通过订购服务器进行订购业务，网络侧订购服务器对请求订购应用的用户终端缺乏有效的安全管理机制。

发明内容
有鉴于此，本发明实施例提供一种对终端应用请求的处理方法、系统和装置，采用该技术方案，能够实现网络侧对发起应用请求的用户终端的安全性管理。本发明实施例通过如下技术方案实现根据本发明实施例的一个方面，提供了一种对终端应用请求的处理方法，包括接收用户终端发送的应用请求，所述应用请求中包括应用标识、所述用户终端的国际移动用户识别码IMSI以及所述用户终端根据预先获取的鉴权因生成的令牌 TerToken ；根据保存的IMSI与ked的对应关系，确定与所述应用请求包括的IMSI对应的 Seed ；在根据确定出的ked验证所述应用请求包括的TerToken通过后，对所述应用请求进行处理。根据本发明实施例的另一个方面，还提供了一种对终端应用请求的处理系统，包括用户终端以及应用处理服务器；所述用户终端，用于向所述应用处理服务器发送应用请求，所述应用请求中包括应用标识、所述用户终端的国际移动用户识别码IMSI以及所述用户终端根据预先获取的鉴权因子ked生成的令牌"TerToken ；所述应用处理服务器，用于接收所述用户终端发送的应用请求后，根据保存的 IMSI与ked的对应关系，确定与所述应用请求包括的IMSI对应的Seed，并在根据确定出的ked验证所述应用请求包括的TerToken通过后，对所述应用请求进行处理。根据本发明实施例的另一个方面，还提供了一种对终端应用请求的处理装置，包括应用请求接收单元，用于接收用户终端发送的应用请求，所述应用请求中包括应用标识、所述用户终端的国际移动用户识别码IMSI以及所述用户终端根据预先获取的鉴权因子ked生成的令牌TeriToken ；鉴权因子确定单元，用于根据保存的IMSI与Seed的对应关系，确定与所述应用请求接收单元接收的应用请求包括的IMSI对应的ked ；验证单元，用于根据所述鉴权因子确定单元确定出的Seed，验证所述应用请求包括的 TerToken ；应用请求处理单元，用于在所述验证单元验证所述应用请求包括的TerToken通过后，对所述应用请求进行处理。通过本发明实施例提供的上述至少一个技术方案，用户终端在向网络侧发送应用请求时，在该应用请求中包括应用标识、IMSI以及该用户终端根据预先获取的鉴权因子 Seed生成的令牌TerToken，相应地，网络侧接收用户终端发送的应用请求后，根据保存的 IMSI与ked的对应关系，确定与该应用请求包括的IMSI对应的Seed，并在根据确定出的 Seed验证应用请求包括的TerToken通过后，对所述应用请求进行处理。采用该技术方案， 网络侧能够对用户终端的应用请求进行验证，从而实现了网络侧对发送应用请求的用户终端的安全性验证。本发明的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。


附图用来提供对本发明的进一步理解，并且构成说明书的一部分，与本发明实施例一起用于解释本发明，并不构成对本发明的限制。在附图中图1为本发明实施例一提供的对终端应用请求的处理流程图；图2为本发明实施例一提供的应用处理服务器对IMSI解密的流程图一；图3为本发明实施例一提供的应用处理服务器对IMSI解密的流程图二 ；图4为本发明实施例一提供的应用处理服务器对TerToken验证的流程图；图5为本发明实施例一提供的应用注册流程中对该应用请求进行处理的流程图；图6为本发明实施例一提供的对MACl验证的流程图；图7为本发明实施例一提供的对MAC2验证的流程图；图8为本发明实施例一提供的OMP系统中进行应用注册的流程图；图9为本发明实施例一提供的OMP系统中进行应用查询的流程图；图10为本发明实施例一提供的生成订购关系的流程图11为本发明实施例一提供的OMP系统中进行应用订购的流程图；图12为本发明实施例一提供的OMP系统中进行应用退订的流程图；图13为本发明实施例二提供的对终端应用请求的处理装置示意图一；图14为本发明实施例二提供的对终端应用请求的处理装置示意图二 ；图15为本发明实施例三提供的对终端应用请求的处理系统示意图。
具体实施例方式为了给出实现网络侧对发起应用请求的用户终端的安全性管理的实现方案，本发明实施例提供了一种对终端应用请求的处理方法、系统和装置，以下结合说明书附图对本发明的优选实施例进行说明，应当理解，此处所描述的优选实施例仅用于说明和解释本发明，并不用于限定本发明。并且在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。实施例一本发明实施例一提供了一种对终端应用请求的处理方法，该处理方法主要在网络侧的应用处理服务器(或称为应用订购服务器)中实现，用于对用户终端的应用注册请求、 应用订购请求、应用查询请求、应该退订请求等各种应用请求进行处理。具体处理流程如图 1所示，主要包括如下步骤步骤101、应用处理服务器接收用户终端发送的应用请求。该步骤中，接收的应用请求中包括应用标识APPID、该用户终端的IMSI以及该用户终端根据预先获取的鉴权因子ked生成的令牌TerToken。具体地，用户终端预先获取的ked是在应用注册阶段由应用处理服务器分配的，该获取ked的过程将在后续应用注册流程中详细描述，此处暂不描述。步骤102、根据保存的IMSI与Seed的对应关系，确定与该应用请求包括的IMSI对应的ked。该步骤中，应用处理服务器中保存的IMSI与Seed的对应关系是在用户终端应用注册阶段建立的，该保存IMSI与ked的对应关系的过程将在后续应用注册流程中详细描述，此处暂不描述。步骤103、根据确定出的Seed验证接收的应用请求中包括的TerToken。步骤104、在验证TerToken通过后，对接收的应用请求进行处理。至此，应用处理服务器对接收的用户终端的应用请求的处理流程结束。本发明实施例一提供的优选实施方式中，图1所述流程包括的步骤101中，接收的应用请求中包括的IMSI信息可以是加密处理过的IMSI信息，具体可以通过如下两种加密方式方式一采用与该应用标识APPID对应的应用密钥Production APPkey加密该用户终端的 IMSI，得到加密后的 IMSI，即 EncryptedIMSI。如=EncryptedIMSI= AES-128-CBC(Production APPkey+IMSI)。方式二采用与该应用标识APPID对应的应用密钥Production APPkey以及时间戳
9Timestamp加密该用户终端的IMSI，得到EncryptedIMSI。如EncryptedIMSI = AES-128—CBC(Production APPkey+IMSI+Timestamp)。具体地，若采用方式二加密IMSI，则用户终端需要在发送给应用处理服务器的应用请求中包括用于加密IMSI的Timestamp。以上所述对IMSI进行加密的方法仅为实施本发明实施例的优选实施方式，实际应用中，可以采用多种加密算法对IMSI进行加密，并且，加密时可以引入其它进一步保证安全性的加密参数，此处，不再一一列举。根据以上所述的对IMSI进行加密的算法，应用处理服务器在接收到用户终端发送的应用请求后，若确定该应用请求中包括的IMSI信息经过加密处理，则在执行上述步骤 102之前，即在确定与该应用请求包括的IMSI对应的ked之前，还需要进一步执行对IMSI 解密的步骤，在得到解密后的IMSI后，执行上述步骤102。具体地，若用户终端采用上述方式一对IMSI进行加密，则应用处理服务器对IMSI 解密的过程如图2所示，包括如下步骤步骤201、利用保存的APPID以及Production APPkey的对应关系，确定与该应用请求包括的APPID对应的Production APPkey。步骤202、利用确定出的 Production APPkey 对该 EncryptedIMSI 解密得到 IMSI。至此，应用处理服务器对IMSI解密的流程结束。若用户终端采用上述方式二对IMSI进行加密，则应用处理服务器对IMSI解密的过程如图3所示，包括如下步骤步骤301、确定首次接收到包括该Timestamp的应用请求。步骤302、利用保存的APPID以及Production APPkey的对应关系，确定与该应用请求包括的APPID对应的Production APPkey。步骤303、利用该Production APPkey以及应用请求包括的Timestamp对该 EncryptedIMSI 解密得到 IMSI。至此，应用处理服务器对IMSI解密的流程结束。在图3所述流程中，若步骤301 确定不是首次接收到包括该Timestamp的应用请求，则可以拒绝对该应用请求进行后续处理，根据该流程的执行，可以防止重放攻击。实际应用中，用户终端以及应用处理服务器之间会实现约定是否对IMSI进行加密，以及在确定对IMSI加密时采用的加密方式，以保证应用处理服务器能够正确对 EncryptedIMSI 解密得到 IMSI。发明实施例一提供的优选实施方式中，图1所述流程包括的步骤101中，接收的应用请求中包括的TerToken，可以直接根据ked生成，也可以根据ked以及该用户终端发送应用请求的次数生成TerToken，具体如下TerToken = HMAC[Seed, Counter]，其中，Counter为用户终端发送应用请求的次数。根据该方式，用户终端发送给应用处理服务器的应用请求中还需要进一步包括当前的 Counter。根据用户终端生成TerToken的方式不同，应用处理服务器对该TerToken的具体验证方式也有所不同，具体地
若用户终端只根据ked生成TerToken，则应用处理服务器根据确定出的ked生成Terhken，将生成的"TerToken与接收的应用请求中包括的TerToken比较，若一致，则验证通过，若不一致，则验证不通过。若用户根据ked以及Counter生成TerToken，则应用处理服务器对TerToken验证的过程，如图4所示，主要包括如下步骤步骤401、判断应用请求中包括的Counter是否大于本地保存的Counter，若是，执行步骤402，若否，执行步骤405。该步骤中，应用处理服务器本地保存的Counter用于表示接收到该用户终端的应用请求的次数。步骤402、根据该应用请求包括的Counter以及确定出的ked生成"TerToken。步骤403、比较生成的TerToken与该应用请求包括的TerToken是否一致，若是，执行步骤404，若否，执行步骤405。步骤404、确定验证TerToken通过。步骤405、确定验证TerToken不通过。至此，应用处理服务器对TerToken的验证流程结束。根据本发明优选实施例，应用处理服务器在接收上述的应用请求之前，还进一步接收用户终端发送的应用注册请求。应用处理服务器接收到用户终端发送的应用注册请求，该应用注册请求在包括APP ID、IMSI以及"TerToken的基础上，还进一步包括WAP网关添加的该用户终端对应的MSISDN。基于该应用注册流程，应用处理服务器在对该应用注册请求中包括的TerToken 验证通过后，对该应用请求进行处理的流程如图5所示，主要包括如下步骤步骤501、生成会话标识发送给该用户终端。步骤502、保存生成的会话标识、该应用注册请求包括的IMSI以及MSISDN的对应关系。步骤503、接收用户终端发送的ked获取请求，该ked获取请求中包括会话标识、 APPID以及用户终端的IMSI。步骤504、在根据保存的会话标识、IMSI以及MSISDN的对应关系对该Seed获取请求验证通过后，生成ked发送给该用户终端。步骤505、建立生成的ked与该ked获取请求中包括的APP ID以及IMSI之间的对应关系。至此，应用处理服务器对用户终端的应用注册请求进行处理的流程结束。通过上述流程的执行，应用处理服务器中保存了 ked与IMSI的对应关系，并且用户终端也获得了进行后续应用请求时用于生成TerToken的ked。具体地，应用处理服务器接收的应用注册请求还可以进一步包括消息认证码 MAC1。该MACl可以根据用户终端的IMSI、APP ID以及与该APP ID对应的I^roduction APPkey 生成，如 MACl = HMAC-SHA-256 (Production APPkey+APP ID+IMSI)；进一步地， 生成 MACl 时还可以采用加密的 IMSUn MACl = HMAC-SHA-256 (Production APPkey+APP ID+EncryptedIMSI)；进一步地，生成 MACl 时还可以采用 TimestampjnMACl = HMAC-SHA-256(ProductionAPPkey+Timestamp+APP ID+EncryptedIMSI)。中，)(寸 MACl 的t成算法以及用于生成MACl的参数可以根据需要灵活设置，此处不再一一列举。具体地，若应用注册请求中还包括上述的MAC1，则在对该应用注册请求进行处理之前，还进一步执行下述的对MACl验证的流程，在验证通过后，执行对该应用注册请求进行处理的流程，否则拒绝该应用注册请求。对MACl验证的流程如图6所述，主要包括如下步骤步骤601、利用保存的APP ID以及ftOduction APHiey的对应关系，确定与该应用注册请求中包括的APP ID对应的Production APPkey0步骤602、根据确定的ProductionAPI^key、应用注册请求中包括的用户终端的 IMSI 以及 APP ID 生成 MAC。步骤603、判断生成的MAC与该应用注册请求包括的MACl是否一致，若是，执行步骤604，若否，执行步骤605。步骤604、确定对MACl验证通过。步骤605、确定对MACl验证不通过。至此，应用处理服务器对MACl验证的流程结束。通过该流程的执行，应用处理服务器可以对用户终端的合法性进行验证。具体地，上述步骤503中，应用处理服务器接收的ked获取请求中还包括MAC2，该 MAC2可以根据用户终端的IMSI、APP ID、会话标识以及Production APPkey生成，如MAC2 =HMAC-SHA-256 (Production APPkey+APPID+IMSI+会话 ID)；进一步地，生成该 MAC2 时还可以包括 Timestamp 参数，如 MAC2 = HM C-SHA-256 (Production APPkey+Timestamp+APP ID+IMSI+会话ID)。实际应用中，对于MACl的生成算法以及用于生成MACl的参数可以根据需要灵活设置，此处不再一一列举。具体地，若应用注册请求中还包括上述的MAC2，则在图5所述的流程中，在执行上述步骤504之前，即在生成Seed发送给用户终端之前，还进一步执行下述的对MAC2验证的流程，在验证通过后，执行步骤504，否则拒绝该应用注册请求。对MAC2验证的流程如图7所述，主要包括如下步骤步骤701、利用保存的APP ID以及!Production APHiey的对应关系，确定与该ked 获取请求中包括的APP ID对应的Production APPkey0步骤702、根据确定的Production APPkey, Seed获取请求中包括的会话标识、用户终端的IMSI生成MAC。步骤703、判断生成的MAC与该应用注册请求包括的MAC2是否一致，若是，执行步骤704，若否，执行步骤705。步骤704、确定对MAC2验证通过。步骤705、确定对MAC2验证不通过。至此，应用处理服务器对MAC2验证的流程结束。通过该流程的执行，应用处理服务器可以对用户终端的合法性进行验证。本发明具体实施例1中，用户终端发送应用注册请求之前，包括用户终端确定未存储与当前请求的应用的APP ID对应的ked ；或用户终端记录的发送应用请求的次数超过设定阈值；或用户终端确定未存储与当前使用的IMSI对应的Seed，即接收到应用处理服务器发送的应用请求拒绝消息，该应用请求拒绝消息包括指示失败原因为对所述用户终端的 IMSI验证不通过。通过上述注册流程的执行，能够实现应用处理服务器对用户的身份鉴权、终端应用与应用处理服务器的双向鉴权、获取相应的会话ID从而再获取鉴权因子ked，最后用户终端存储鉴权因子Seed，以备后续业务流程使用。本发明实施例提供的上述流程可以应用于OMP (开放移动互联网平台)中，实现对能力开放的安全性管理。为了更好地理解本发明实施例，以下结合OMP平台对应用注册过程进行详细说明。如图8所示，OMP系统中进行应用注册的过程包括其中，OMP侧主要实现上述应用处理服务器的功能，其可以被划分为平台接入子系统以及平台安全模块；应用侧即用户终端侧，其可以被划分为终端应用模块以及终端安全组件。步骤801、终端安全组件收到业务请求后，检查本地是否有TerToken，如果没有， 检查本地是否鉴权因子ked，若都没有，进行后续步骤。步骤802、终端安全组件将应用应用注册请求发往WAP网关，WAP网关添加MSISDN 后再发往平台接入子系统。步骤803、平台接入子系统将该应用注册请求转发给平台安全模块，平台安全模块对进行相关验证以确保该请求来自于合法的终端应用(即经过网络运营商授权使用的终端应用)，通过辨别MSISDN以确保该请求来自于合法的网络运营商的用户。验证通过后，记录IMSI值，以便用于后继的IMSI查询，生成一个随机会话ID，记录会话ID与MSISDN、IMSI 的对应关系。平台安全模块返回会话ID给平台接入子系统，平台接入子系统返回该会话ID 给WAP网关，WAP网关返回该会话ID给终端安全组件。步骤804、先建立终端安全组件与平台接入子系统之间的单向HTTPS连接，再向平台接入子系统发送包含会话ID的ked获取请求，平台接入子系统将该ked获取请求转发给平台安全模块。平台安全模块收到ked获取请求后，根据之前的记录对会话ID查询到对应的MSISDN，并根据MSISDN判断请求消息中的IMSI的正确性，通过验证后，进一步对MAC2 进行验证以确保该请求来自于合法的终端应用。验证通过后，鉴权服务器随机生成一个唯一的鉴权因子Seed(每个终端的鉴权因子均不相同，同一终端每次下发的鉴权因子也不相同)，将该鉴权因子ked返回给平台接入子系统，并记录生成的ked与IMSI以及APP ID 的对应关系。步骤805、平台接入子系统将该鉴权因子义⑶返回给终端安全组件，终端安全组件在本地存储鉴权因子ked。终端安全组件通知终端应用模块，应用注册成功。上述流程中，可根据安全策略在一定的期限后，或用户更换(U) SIM卡后，或用于生成HOTP令牌的计数器的计数值counter达到最大值后，要求终端重新发起注册流程，其中，用于生成HOTP令牌的计数器counter即用于对用户终端发送应用请求进行计数的计数
ο本发明实施例一提供的优选实施方式中，图1所述流程包括的步骤101中，应用处理服务器接收到的应用请求可以为多种类型，例如应用查询请求、应用订购请求、应用退订请求等，以下分别以应用处理服务器接收到该几种请求后，对接收的应用请求的处理过
13程进行详细说明。具体实施例1 应用查询流程该具体实施例1中，应用处理服务器接收到用户终端发送的应用查询请求后，应用处理服务器在对该应用查询请求中包括的TerToken验证通过后，对该应用查询请求进行处理过程如下根据该应用查询请求包括的APPID，向用户终端反馈应用列表，该应用列表中包括 APPID对应的应用包括的子应用的APPID以及各子应用的描述信息。相应地，后续用户终端发送的应用订购请求中包括的应用标识为根据该应用列表选择的子应用的APPID。以下结合OMP平台对应用查询过程进行详细说明。如图9所示，OMP系统中进行应用查询的过程包括步骤901、终端应用模块向业务平台转发订购请求前将其转发终端安全组件，终端安全组件根据ked生成TerToken，并发送应用查询请求到平台接入子系统，平台接入子系统进一步将应用查询请求转发到平台鉴权模块。步骤902、平台鉴权模块发送Token验证请求到平台安全模块，平台安全模块验证 TerToken，并在验证通过后给平台鉴权模块返回验证结果响应。步骤903、平台鉴权模块根据APPID查找到对应的应用列表信息，给平台接入子系统返回应用列表信息(该应用列表信息包括APPID、该应用的子应用的应用标识APPP ID以及资费描述列表)，平台接入子系统向终端安全组件返回应用列表信息，终端安全组件给终端应用模块返回应用列表信息。终端应用模块将应用信息展现给用户，用户选择想订购的子应用(APPID，APPP ID)。具体实施例2 应用订购流程该具体实施例2中，应用处理服务器接收到用户终端发送的应用订购请求。应用处理服务器在对该应用订购请求中包括的TerToken验证通过后，对该应用订购请求进行处理的过程如下生成该应用订购请求包括的APPID与该用户终端对应的MSISDN的订购关系。具体地，生成该应用订购请求包括的APPID与该用户终端对应的MSISDN的订购关系的过程，如图10所示，包括步骤1001、根据用户终端对应的MSISDN生成用户伪码PID，并建立生成的PID以及APPID的对应关系。步骤1002、向BOSS系统发送包括建立的对应关系的订购请求，在BOSS中建立该 PID和APPID的订购关系。步骤1003、接收BOSS返回的订购成功响应，并向用户终端发送订购成功响应，该订购成功响应中包括PID和APPID的对应关系。至此，生成订购关系的流程结束。以下结合OMP平台对应用查询过程进行详细说明。如图11所示，OMP系统中进行应用订购的过程包括步骤1101、终端应用向终端安全组件发送应用订购请求，终端安全组件发送应用订购请求到平台接入子系统，平台接入子系统将应用订购请求转发到平台鉴权模块。步骤1102、平台鉴权模块发送Token验证请求到平台安全模块，平台安全模块验证"TerToken，并在验证通过后，生成MSISDN对应该APPID的用户伪码PID，同时给平台鉴权模块返回响应(包括PID)。步骤1103、平台鉴权模块发送订购请求到BOSS，BOSS生成订购关系后，BOSS返回订购结果给平台鉴权模块，平台鉴权模块返回订购结果给平台接入子系统，平台接入子系统返回订购结果通知终端安全组件，终端安全组件返回订购成功响应给终端应用模块。步骤1104、平台鉴权模块同步订购关系到平台管理子系统，平台管理子系统返回同步应答给平台鉴权模块。BOSS可以进一步在保存订购关系后，向用户终端发送订购成功通知短信。应当理解，以上流程中执行的各步骤并无严格的先后执行关系。实际应用中，各步骤可以并行执行或调换先后执行顺序。具体实施例3 应用退订流程该具体实施例3中，应用处理服务器接收到用户终端发送的应用退订请求，该应用退订请求在包括上述的APPID、IMSI以及TerToken的基础上，还进一步包括APPID与 MSISDN的订购关系。基于该应用退订流程，应用处理服务器在对该应用退订请求中包括的TerToken 验证通过后，对该应用退订进行处理，即解除该应用退订请求中包括的APPID与MSISDN的订购关系。进一步地，该应用退订请求还包括的APPID与MSISDN的订购关系具体为APPID与根据用户终端对应的MSISDN生成的PID的订购关系，对该应用退订进行处理，即解除该应用退订请求中包括的APPID与PID的订购关系。以下结合OMP平台对应用退订过程进行详细说明。如图12所示，OMP系统中进行应用退订的过程包括步骤1201、终端应用模块向业务平台发送应用退订请求前将其先转发到终端安全组件，终端安全组件根据鉴权因子^ed生成TerToken，终端安全模块发送应用退订请求到平台接入子系统，平台接入子系统将应用退订请求转发到平台鉴权模块。步骤1202、平台鉴权模块发送Token验证请求到平台安全模块验证TerToken，平台安全模块返回验证通过应答给平台鉴权模块。步骤1203、平台鉴权模块将应用退订请求发送给BOSS，请求参数包括要解除的订购关系，BOSS解除该订购关系后，BOSS返回退订结果应答给平台鉴权模块，平台鉴权模块发送退订结果应答给平台接入子系统，平台接入子系统返回退订结果应答给终端安全组件，终端安全组件返回退订结果应答给终端应用模块。1204、平台鉴权模块发送订购关系同步请求到平台管理子系统，平台管理子系统返回订购关系同步应答给平台鉴权模块，平台鉴权模块解除订购关系。BOSS可以进一步在解除订购关系后，给用户手机下发应用退订成功短信。根据本发明实施例提供的上述技术方案，用户将应用下载到终端客户端后，可以通过用户终端进行应用的订购和退订操作。并且，用户首次使用该应用时，会自动触发终端应用初始化(即应用注册过程)，主要用于终端应用向本系统平台提供身份识别证明，平台侧会保留当前应用所在终端的记录，用于后续鉴权使用，同时平台会给终端应用返回鉴权因子ked，用于后续订购、能力调用流程向平台提供鉴权凭证。用户通过用户终端订购终端应用，由终端安全组件与平台侧进行交互，订购请求必须经过终端安全组件，在发送给平台侧的请求信息中，安全组件会添加授权Token等信息，用于平台侧对终端应用身份的确认。本发明实施例提出了终端应用注册流程，通过终端注册对用户IMSI以及终端应用进行绑定(APPID)，从而避免了如下问题a)相同应用被大量下载在不同用户终端后，由于一个终端上的应用被攻击后导致的其余终端上的相同应用也被攻破的风险；b)应用身份伪造导致的非法接入风险；c)应用不能在伪订购的情况下使用应用造成的计费风险。进一步地，本发明实施例提出的应用订购流程，用户通过终端应用执行订购行为时，终端安全组件首先生成授权Token，添加进订购请求参数，由终端安全组件与能力开放平台交互，能力开放平台对终端订购请求通过授权Token进行鉴权。通过订购机制实现用户订购关系的鉴权，并且通过伪码机制，有效保证了计费、用户隐私保护以及应用使用、计费等的安全性。实施例二本发明实施例二提供了一种对终端应用请求的处理装置，如图13所示，该装置主要包括应用请求接收单元1301、鉴权因子确定单元1302、验证单元1303以及应用请求处理单元1304 ；其中应用请求接收单元1301，用于接收用户终端发送的应用请求，该应用请求中包括应用标识、该用户终端的国际移动用户识别码IMSI以及该用户终端根据预先获取的鉴权因子ked生成的令牌TeriToken ；鉴权因子确定单元1302，用于根据保存的IMSI与义⑶的对应关系，确定与应用请求接收单元1304接收的应用请求包括的IMSI对应的Seed ；验证单元1303，用于根据鉴权因子确定单元1302确定出的Seed，验证该应用请求包括的 TeriToken ；应用请求处理单元1304，用于在验证单元1303验证该应用请求包括的TerToken 通过后，对该应用请求进行处理。本发明实施例二提供的优选实施方式中，图13所示装置包括的鉴权因子确定单元1302，具体用于在确定与该应用请求包括的IMSI对应的ked之前，利用保存的应用标识以及应用密钥的对应关系，确定与该应用请求包括的应用标识对应的应用密钥，利用确定出的该应用密钥对该应用请求具体包括的采用与该应用标识对应的应用密钥加密后的IMSI解
Γ t [ O本发明实施例二提供的优选实施方式中，图13所示装置包括的鉴权因子确定单元1302，具体用于
在确定与该应用请求包括的IMSI对应的ked之前，确定首次接收到包括该时间戳的应用请求，并且利用保存的应用标识以及应用密钥的对应关系，确定与该应用请求包括的应用标识对应的应用密钥，利用该应用密钥以及该应用请求还包括的时间戳，对该应用请求具体包括的采用与该应用标识对应的应用密钥以及时间戳加密后的IMSI解密。本发明实施例二提供的优选实施方式中，图13所示装置包括的验证单元1303，具体用于在确定该应用请求中具体包括的该用户终端发送应用请求的次数信息大于本地保存的接收该用户终端的应用请求的次数时，根据该应用请求具体包括的该次数信息以及该鉴权因子确定单元确定出的Seed，生成TerToken ；若确定生成的TerToken与该应用请求包括的TerToken —致，则验证该应用请求包括的TerToken通过，否则不通过。本发明实施例二提供的优选实施方式中，图13所示装置包括的应用请求接收单元1301，具体用于接收用户终端发送的应用订购请求；相应地，应用请求处理单元1304，具体用于在验证单元1303验证该应用请求包括的TerToken通过后，生成该应用订购请求包括的应用标识与该用户终端对应的移动用户国际号码MSISDN的订购关系。本发明实施例二提供的优选实施方式中，图13所示装置包括的应用请求处理单元1304，具体用于在验证单元1303验证该应用请求包括的TerToken通过后，根据该用户终端对应的MSISDN生成用户伪码PID，并建立该PID以及该应用标识的对应关系，并向业务运营支撑系统BOSS发送包括该对应关系的订购请求，在BOSS中建立该PID和该应用标识的订购关系。本发明实施例二提供的优选实施方式中，图13所示装置包括的应用请求处理单元1304，还用于向BOSS发送包括该对应关系的订购请求之后，接收该BOSS返回的订购成功响应； 以及向该用户终端发送订购成功响应，该订购成功响应中包括该PID和该应用标识的对应关系。本发明实施例二提供的优选实施方式中，图13所示装置包括的应用请求接收单元1301，具体用于接收用户终端发送的应用退订请求，该应用退订请求还包括应用标识与 MSISDN的订购关系；相应地，应用请求处理单元1304，具体用于在该验证单元验证该应用请求包括的 TerToken通过后，解除该应用退订请求中包括的该应用标识与MSISDN的订购关系。本发明实施例二提供的优选实施方式中，图13所示装置包括的应用请求处理单元1304，具体用于在验证单元1303验证该应用请求包括的TerToken通过后，解除该应用退订请求中包括的该应用标识与该用户终端对应的MSISDN生成的PID的订购关系。本发明实施例二提供的优选实施方式中，图13所示装置包括的应用请求接收单元1301，具体用于接收用户终端发送的应用查询请求；相应地，应用请求处理单元1304，具体用于根据该应用查询请求包括的应用标识，向该用户终端反馈应用列表，该应用列表中包括该应用标识对应的应用包括的子应用的应用标识以及各子应用的描述信息。本发明实施例二提供的优选实施方式中，图13所示装置包括的应用请求接收单元1301，还用于接收该用户终端发送的应用订购请求，该应用订购请求中包括根据该应用列表选择的子应用的应用标识。如图14所示，本发明实施例二提供的优选实施方式中，图13所示装置还可以进一步包括注册请求接收单元1305以及注册请求处理单元1306 ；其中注册请求接收单元1305，用于接收用户终端发送的应用注册请求，该应用注册请求包括应用标识、该用户终端的IMSI以及无线应用协议WAP网关添加的该用户终端对应的 MSISDN ；注册请求处理单元1306，用于生成会话标识发送给该用户终端；以及，保存该会话标识、该应用请求包括的IMSI以及该MSISDN的对应关系；接收该用户终端发送的ked 获取请求，该ked获取请求中包括该会话标识、应用标识、该用户终端的IMSI ；在根据保存的会话标识、MSI以及MSISDN的对应关系对该ked获取请求验证通过后，生成ked发送给该用户终端；以及，建立生成的该^ed与该ked获取请求中包括的应用标识的对应关系。本发明实施例二提供的优选实施方式中，图14所示装置包括的注册请求接收单元1305，具体用于接收还包括第一消息认证码MAC的应用注册请求，该第一MAC根据该用户终端的IMSI、该应用标识以及与该应用标识对应的应用密钥生成；相应地，注册请求处理单元1304，还用于在对该应用请求进行处理之前，利用保存的应用标识以及应用密钥的对应关系， 确定与该应用注册请求中包括的应用标识对应的应用密钥；根据确定的该应用密钥、该应用注册请求中包括的该用户终端的IMSI以及该应用标识生成MAC，并确定生成的该MAC与该应用注册请求包括的第一 MAC —致。本发明实施例二提供的优选实施方式中，图14所示装置包括的注册请求处理单元1304，具体用于接收还包括第二 MAC的ked获取请求，该第二 MAC根据该用户终端的 IMSI、该应用标识、该会话标识以及与该应用标识对应的应用密钥生成；该注册请求处理单元1304，还用于在生成ked发送给该用户终端之前，利用保存的应用标识以及应用密钥的对应关系，确定与该^ed获取请求中包括的应用标识对应的应用密钥；根据确定的该应用密钥、该ked获取请求中包括的会话标识、该用户终端的IMSI 生成MAC，并确定生成的该MAC与该ked获取请求包括的第二 MAC —致。本发明实施例二提供的优选实施方式中，图14所示装置包括的注册请求接收单元1301，具体用于接收该用户终端在确定未存储与当前请求的应用的应用标识对应的ked ；或确定发送应用请求的次数超过设定阈值；或在确定未存储与当前使用的IMSI对应的ked后， 发送该应用注册请求。应当理解，以上对终端应用请求的处理装置包括的单元仅为根据该装置实现的功能进行的逻辑划分，实际应用中，可以进行上述单元的叠加或拆分。并且该实施例提供的对终端应用请求的处理装置所实现的功能与上述实施例一提供的对终端应用请求的处理方法流程一一对应，对于该装置所实现的更为详细的处理流程，在上述方法实施例一中已做详细描述，此处不再详细描述。实施例三本发明实施例三提供了一种对终端应用请求的处理系统，如图15所示，该系统主要包括用户终端1501以及应用处理服务器1502 ；其中用户终端1501，用于向应用处理服务器1502发送应用请求，该应用请求中包括应用标识、用户终端的国际移动用户识别码IMSI以及用户终端根据预先获取的鉴权因子 Seed生成的令牌TerToken ；应用处理服务器1502，用于接收用户终端1501发送的应用请求后，根据保存的 IMSI与ked的对应关系，确定与该应用请求包括的IMSI对应的Seed，并在根据确定出的 Seed验证该应用请求包括的TerToken通过后，对该应用请求进行处理。本发明实施例三提供的优选实施方式中，图15所示装置包括的用户终端1501，具体用于在确定未存储与当前请求的应用的应用标识对应的ked ；或所述用户终端记录的发送应用请求的次数超过设定阈值；或确定未存储与当前使用的IMSI对应的ked后，向所述应用处理服务器发送应用注册请求，所述应用注册请求中包括应用标识、所述用户终端的国际移动用户识别码IMSI。应当理解，以上对终端应用请求的处理系统包括的应用处理服务器所实现的功能与上述实施例二提供的对终端应用请求的处理装置一一对应，对于该应用处理服务器所实现的更为详细的处理流程，在上述实施例二中已做详细描述，此处不再详细描述。通过本发明实施例提供的上述至少一个技术方案，用户终端在向网络侧发送应用请求时，在该应用请求中包括应用标识、IMSI以及该用户终端根据预先获取的鉴权因子 Seed生成的令牌TerToken，相应地，网络侧接收用户终端发送的应用请求后，根据保存的 IMSI与ked的对应关系，确定与该应用请求包括的IMSI对应的Seed，并在根据确定出的 Seed验证应用请求包括的TerToken通过后，对所述应用请求进行处理。采用该技术方案， 网络侧能够对用户终端的应用请求进行验证，从而实现了网络侧对发送应用请求的用户终端的安全性验证。显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。
权利要求
1.一种对终端应用请求的处理方法，其特征在于，包括接收用户终端发送的应用请求，所述应用请求中包括应用标识、所述用户终端的国际移动用户识别码IMSI以及所述用户终端根据预先获取的鉴权因生成的令牌 TerToken ；根据保存的IMSI与Seed的对应关系，确定与所述应用请求包括的IMSI对应的Seed ；在根据确定出的^ed验证所述应用请求包括的TerToken通过后，对所述应用请求进行处理。
2.如权利要求1所述的方法，其特征在于，所述应用请求具体包括采用与所述应用标识对应的应用密钥加密后的IMSI ；在确定与所述应用请求包括的IMSI对应的Seed之前，还包括利用保存的应用标识以及应用密钥的对应关系，确定与所述应用请求包括的应用标识对应的应用密钥；利用确定出的所述应用密钥对所述加密后的IMSI解密。
3.如权利要求1所述的方法，其特征在于，所述应用请求具体包括采用与所述应用标识对应的应用密钥以及时间戳加密后的IMSI以及所述时间戳信息；在确定与所述应用请求包括的IMSI对应的ked之前，还包括确定首次接收到包括所述时间戳的应用请求；并利用保存的应用标识以及应用密钥的对应关系，确定与所述应用请求包括的应用标识对应的应用密钥；利用所述应用密钥以及所述应用请求包括的时间戳对所述加密后的IMSI解密。
4.如权利要求1所述的方法，其特征在于，所述应用请求具体包括所述用户终端根据所述ked以及所述用户终端发送应用请求的次数生成的TerToken，以及所述次数信息；根据确定出的验证所述应用请求包括的TerToken通过，具体包括确定所述应用请求中包括的所述次数信息大于本地保存的接收所述用户终端的应用请求的次数；并且根据所述应用请求包括的所述次数信息以及确定出的^ed生成的TerToken与所述应用请求包括的iTerToken —致。
5.如权利要求1所述的方法，其特征在于，在接收的所述应用请求为应用订购请求时， 对所述应用请求进行处理，包括生成所述应用订购请求包括的应用标识与所述用户终端对应的移动用户国际号码 MSISDN的订购关系。
6.如权利要求5所述的方法，其特征在于，生成所述应用订购请求包括的应用标识与所述用户终端对应的MSISDN的订购关系，包括根据所述用户终端对应的MSISDN生成用户伪码PID，并建立所述PID以及所述应用标识的对应关系；向业务运营支撑系统BOSS发送包括所述对应关系的订购请求，在BOSS中建立所述PID 和所述应用标识的订购关系。
7.如权利要求6所述的方法，其特征在于，向BOSS发送包括所述对应关系的订购请求之后，还包括接收所述BOSS返回的订购成功响应；以及向所述用户终端发送订购成功响应，所述订购成功响应中包括所述PID和所述应用标识的对应关系。
8.如权利要求1所述的方法，其特征在于，在接收的所述应用请求为应用退订请求时， 所述应用退订请求还包括应用标识与MSISDN的订购关系；对所述应用请求进行处理，包括解除所述应用退订请求中包括的所述应用标识与MSISDN的订购关系。
9.如权利要求8所述的方法，其特征在于，所述应用退订请求还包括的应用标识与 MSISDN的订购关系具体为应用标识与根据所述用户终端对应的MSISDN生成的PID的订购关系；解除所述应用退订请求中包括的所述应用标识与MSISDN的订购关系，具体包括解除所述应用退订请求中包括的所述应用标识与所述PID的订购关系。
10.如权利要求1所述的方法，其特征在于，在接收的所述应用请求为应用查询请求时，对所述应用请求进行处理，包括根据所述应用查询请求包括的应用标识，向所述用户终端反馈应用列表，所述应用列表中包括所述应用标识对应的应用包括的子应用的应用标识以及各子应用的描述信息。
11.如权利要求10所述的方法，其特征在于，还包括接收所述用户终端发送的应用订购请求，所述应用订购请求中包括根据所述应用列表选择的子应用的应用标识。
12.如权利要求1所述的方法，其特征在于，在接收用户终端发送的应用请求之前，还包括接收所述用户终端发送的应用注册请求，所述应用注册请求中包括应用标识、所述用户终端的IMSI以及无线应用协议WAP网关添加的所述用户终端对应的MSISDN ；生成会话标识发送给所述用户终端，并保存所述会话标识、所述应用注册请求包括的 IMSI以及所述MSISDN的对应关系；接收所述用户终端发送的Seed获取请求，所述Seed获取请求中包括所述会话标识、应用标识、所述用户终端的IMSI ；在根据保存的会话标识、IMSI以及MSISDN的对应关系对所述ked获取请求验证通过后，生成ked发送给所述用户终端；以及，建立生成的所述ked与所述ked获取请求中包括的应用标识以及IMSI的对应关系。
13.如权利要求12所述的方法，其特征在于，接收的应用注册请求还包括第一消息认证码MAC，所述第一MAC根据所述用户终端的IMSI、所述应用标识以及与所述应用标识对应的应用密钥生成；在对所述应用请求进行处理之前，包括利用保存的应用标识以及应用密钥的对应关系，确定与所述应用注册请求中包括的应用标识对应的应用密钥；根据确定的所述应用密钥、所述应用注册请求中包括的所述用户终端的IMSI以及所述应用标识生成MAC，并确定生成的所述MAC与所述应用注册请求包括的第一 MAC —致。
14.如权利要求12所述的方法，其特征在于，接收的所述ked获取请求中还包括第二MAC，所述第二 MAC根据所述用户终端的IMSI、所述应用标识、所述会话标识以及与所述应用标识对应的应用密钥生成；在生成ked发送给所述用户终端之前，还包括利用保存的应用标识以及应用密钥的对应关系，确定与所述ked获取请求中包括的应用标识对应的应用密钥；根据确定的所述应用密钥、所述ked获取请求中包括的会话标识、所述用户终端的 IMSI生成MAC，并确定生成的所述MAC与所述ked获取请求包括的第二 MAC —致。
15.如权利要求12所述的方法，其特征在于，所述用户终端发送所述应用注册请求之前,还包括所述用户终端确定未存储与当前请求的应用的应用标识对应的^ed ；或所述用户终端记录的发送应用请求的次数超过设定阈值；或所述用户终端确定未存储与当前使用的IMSI对应的ked。
16.一种对终端应用请求的处理系统，其特征在于，包括用户终端以及应用处理服务器；所述用户终端，用于向所述应用处理服务器发送应用请求，所述应用请求中包括应用标识、所述用户终端的国际移动用户识别码IMSI以及所述用户终端根据预先获取的鉴权因子ked生成的令牌TeriToken ；所述应用处理服务器，用于接收所述用户终端发送的应用请求后，根据保存的IMSI与 Seed的对应关系，确定与所述应用请求包括的IMSI对应的Seed，并在根据确定出的ked 验证所述应用请求包括的TerToken通过后，对所述应用请求进行处理。
17.如权利要求16所述的系统，其特征在于，所述用户终端，还用于在确定未存储与当前请求的应用的应用标识对应的^ed ；或所述用户终端记录的发送应用请求的次数超过设定阈值；或所述用户终端确定未存储与当前使用的IMSI对应的 ked后，向所述应用处理服务器发送应用注册请求，所述应用注册请求中包括应用标识、所述用户终端的国际移动用户识别码IMSI。
18.一种对终端应用请求的处理装置，其特征在于，包括应用请求接收单元，用于接收用户终端发送的应用请求，所述应用请求中包括应用标识、所述用户终端的国际移动用户识别码IMSI以及所述用户终端根据预先获取的鉴权因子ked生成的令牌TeriToken ；鉴权因子确定单元，用于根据保存的IMSI与Seed的对应关系，确定与所述应用请求接收单元接收的应用请求包括的IMSI对应的Seed ；验证单元，用于根据所述鉴权因子确定单元确定出的Seed，验证所述应用请求包括的 TerToken ；应用请求处理单元，用于在所述验证单元验证所述应用请求包括的TerToken通过后， 对所述应用请求进行处理。
19.如权利要求18所述的装置，其特征在于，所述鉴权因子确定单元，具体用于在确定与所述应用请求包括的IMSI对应的ked之前，利用保存的应用标识以及应用密钥的对应关系，确定与所述应用请求包括的应用标识对应的应用密钥，利用确定出的所述应用密钥对所述应用请求具体包括的采用与所述应用标识对应的应用密钥加密后的IMSI解密。
20.如权利要求18所述的装置，其特征在于，所述鉴权因子确定单元，具体用于在确定与所述应用请求包括的IMSI对应的ked之前，确定首次接收到包括所述时间戳的应用请求，并且利用保存的应用标识以及应用密钥的对应关系，确定与所述应用请求包括的应用标识对应的应用密钥，利用所述应用密钥以及所述应用请求还包括的时间戳，对所述应用请求具体包括的采用与所述应用标识对应的应用密钥以及时间戳加密后的 IMSI解密。
21.如权利要求18所述的装置，其特征在于，所述验证单元，具体用于在确定所述应用请求中具体包括的所述用户终端发送应用请求的次数信息大于本地保存的接收所述用户终端的应用请求的次数时，根据所述应用请求具体包括的所述次数信息以及所述鉴权因子确定单元确定出的Seed，生成TerToken ；若确定生成的TerToken与所述应用请求包括的TerToken —致，则验证所述应用请求包括的TerToken通过，否则不通过。
22.如权利要求18所述的装置，其特征在于，所述应用请求接收单元，具体用于接收用户终端发送的应用订购请求；所述应用请求处理单元，具体用于在所述验证单元验证所述应用请求包括的TerToken 通过后，生成所述应用订购请求包括的应用标识与所述用户终端对应的移动用户国际号码 MSISDN的订购关系。
23.如权利要求22所述的装置，其特征在于，所述应用请求处理单元，具体用于 在所述验证单元验证所述应用请求包括的TerToken通过后，根据所述用户终端对应的MSISDN生成用户伪码PID，并建立所述PID以及所述应用标识的对应关系，并向业务运营支撑系统BOSS发送包括所述对应关系的订购请求，在BOSS中建立所述PID和所述应用标识的订购关系。
24.如权利要求23所述的装置，其特征在于，所述应用请求处理单元，还用于向BOSS发送包括所述对应关系的订购请求之后，接收所述BOSS返回的订购成功响应； 以及向所述用户终端发送订购成功响应，所述订购成功响应中包括所述PID和所述应用标识的对应关系。
25.如权利要求18所述的装置，其特征在于，所述应用请求接收单元，具体用于接收用户终端发送的应用退订请求，所述应用退订请求还包括应用标识与MSISDN的订购关系；所述应用请求处理单元，具体用于在所述验证单元验证所述应用请求包括的TerToken 通过后，解除所述应用退订请求中包括的所述应用标识与MSISDN的订购关系。
26.如权利要求25所述的装置，其特征在于，所述应用请求处理单元，具体用于 在所述验证单元验证所述应用请求包括的TerToken通过后，解除所述应用退订请求中包括的所述应用标识与所述用户终端对应的MSISDN生成的PID的订购关系。
27.如权利要求18所述的装置，其特征在于，所述应用请求接收单元，具体用于接收用户终端发送的应用查询请求；所述应用请求处理单元，具体用于根据所述应用查询请求包括的应用标识，向所述用户终端反馈应用列表，所述应用列表中包括所述应用标识对应的应用包括的子应用的应用标识以及各子应用的描述信息。
28.如权利要求27所述的装置，其特征在于，所述应用请求接收单元，还用于接收所述用户终端发送的应用订购请求，所述应用订购请求中包括根据所述应用列表选择的子应用的应用标识。
29.如权利要求18所述的装置，其特征在于，还包括注册请求接收单元，用于用于接收所述用户终端发送的应用注册请求，所述应用注册请求中包括应用标识、所述用户终端的IMSI以及无线应用协议WAP网关添加的所述用户终端对应的MSISDN ；注册请求处理单元，用于生成会话标识发送给所述用户终端，并保存所述会话标识、所述应用请求包括的IMSI以及所述MSISDN的对应关系；接收所述用户终端发送的ked获取请求，所述ked获取请求中包括所述会话标识、应用标识、所述用户终端的IMSI ；并在根据保存的会话标识、IMSI以及MSISDN的对应关系对所述ked获取请求验证通过后，生成 Seed发送给所述用户终端；以及，建立生成的所述ked与所述ked获取请求中包括的应用标识以及IMSI的对应关系。
30.如权利要求四所述的装置，其特征在于，所述注册请求接收单元，具体用于接收还包括第一消息认证码MAC的应用注册请求，所述第一MAC根据所述用户终端的IMSI、所述应用标识以及与所述应用标识对应的应用密钥生成；所述注册请求处理单元，还用于在对所述应用请求进行处理之前，利用保存的应用标识以及应用密钥的对应关系，确定与所述应用注册请求中包括的应用标识对应的应用密钥；根据确定的所述应用密钥、所述应用注册请求中包括的所述用户终端的IMSI以及所述应用标识生成MAC，并确定生成的所述MAC与所述应用注册请求包括的第一 MAC —致。
31.如权利要求四所述的装置，其特征在于，所述注册请求处理单元，具体用于接收还包括第二MACWked获取请求，所述第二MAC根据所述用户终端的IMSI、所述应用标识、所述会话标识以及与所述应用标识对应的应用密钥生成；所述注册请求处理单元，还用于在生成ked发送给所述用户终端之前，利用保存的应用标识以及应用密钥的对应关系，确定与所述获取请求中包括的应用标识对应的应用密钥；根据确定的所述应用密钥、所述ked获取请求中包括的会话标识、所述用户终端的 IMSI生成MAC，并确定生成的所述MAC与所述ked获取请求包括的第二 MAC —致。
32.如权利要求四所述的装置，其特征在于，所述注册请求接收单元，具体用于接收所述用户终端在确定未存储与当前请求的应用的应用标识对应的^ed ；或确定发送应用请求的次数超过设定阈值；或所述用户终端确定未存储与当前使用的IMSI对应的ked后，发送所述应用注册请求。
全文摘要
本发明公开了一种对终端应用请求的处理方法、系统及装置，主要技术方案包括接收用户终端发送的应用请求，所述应用请求中包括应用标识、所述用户终端的国际移动用户识别码IMSI以及所述用户终端根据预先获取的鉴权因子Seed生成的令牌TerToken；根据保存的IMSI与Seed的对应关系，确定与所述应用请求包括的IMSI对应的Seed；在根据确定出的Seed验证所述应用请求包括的TerToken通过后，对所述应用请求进行处理。采用该技术方案，网络侧能够对用户终端的应用请求进行验证，从而实现了网络侧对发送应用请求的用户终端的安全性验证。
文档编号H04W12/00GK102572815SQ20101061258
公开日2012年7月11日 申请日期2010年12月29日 优先权日2010年12月29日
发明者万薇, 于蓉蓉, 刘涛, 孙悦, 孙杰, 张炎, 武威, 王姗姗 申请人:中国移动通信集团公司