用于识别用户身份的方法、网关、PCRF网元和系统技术方案

本发明专利技术公开一种用于识别用户身份的方法、网关、PCRF网元和系统。该方法包括：在接收到用户访问请求时，判断当前业务流是否访问指定业务平台；若当前业务流访问指定业务平台，则根据用户身份信息与预定密钥获取加密值，其中所述预定密钥为与PCRF网元预先约定的统一密钥；利用第一加密算法对加密值进行加密，获得加密字段；将加密字段插入用户访问请求中，并将用户访问请求发送给业务平台，以便业务平台向PCRF网元发送身份查询请求。本发明专利技术通过对用户身份信息的加密可靠传输，同时通过PCRF进行用户身份信息解密，解决了移动网用户IP地址溯源身份可靠性的问题，大大提高了LTE用户身份识别的准确性。

【技术实现步骤摘要】
用于识别用户身份的方法、网关、PCRF网元和系统
本专利技术涉及通信领域，特别涉及一种用于识别用户身份的方法、网关、PCRF网元和系统。
技术介绍
随着互联网应用的迅猛发展，越来越多的互联网业务平台，需要获取移动用户的身份以提供相应的服务，例如APP终端免登陆，小额代计费免认证等应用。在这些需求下，运营商的用户身份资源越来越宝贵，运营商的用户身份识别的准确性也就越来越重要。3G、4G业务时代，由于公网地址存量不足，终端用户获取的私网地址通过NAT(NetworkAddressTranslation，网络地址转换)设备转换成公网地址后访问互联网。互联网业务平台(简称SP)需要依靠用户的公网IP地址+端口查询移动用户的在线库来识别用户的身份，从而开展相应的业务。当前许多电信的自营业务以及与SP合作业务均需基于用户IP来获取身份信息，从而为用户进行免登陆或个性化推送等功能。在当前的LTE网络中，PGW(PDNGateWay，公用数据网网关)负责分配4G用户的IP地址，且只能根据地址池动态随机给用户分配IP地址。PCRF(PolicyandChargingRulesFunction，策略与计费规则功能)网元通过Gx接口获取到用户在线会话信息，建立一套包括用户MDN(MobileDirectoryNumber，移动用户号码簿号码)、IMSI(国际移动用户识别码)和IP地址对应关系的在线库，为各需求系统提供溯源查询接口。在上述方案中，PCRF网元需要通过Gx接口实时获取用户的上下线信息，基于上下线信息来更新在线库记录；如果出现接口消息丢包或系统入库处理异常，则会导致在线库信息不准，甚至出现IP地址映射紊乱的情况，甚至引发后续订购费用张冠李戴的问题，导致用户投诉。同时，现有识别用户身份的方法还存在如下问题：一方面，存在异常场景下部分用户的在线信息库未及时更新，导致用户身份识别不准的问题；另一方面部分用户的IP并非通过NAT设备映射(如WAP无线应用协议网关代理用户)，在线身份反查库无法根据特定算法溯源真实的用户身份。随着4G业务的迅猛发展，私网地址复用技术也是大势所趋，传统的在线身份反查机制，在私网地址复用后，更加难以保障在线身份识别的可靠性。
技术实现思路
鉴于以上技术问题，本专利技术提供了一种用于识别用户身份的方法、网关、PCRF网元和系统，基于对用户身份信息的加密可靠传输，通过PCRF进行用户身份信息解密，提高了LTE用户身份识别的准确性。根据本专利技术的一个方面，提供一种用于识别用户身份的方法，包括：在接收到用户访问请求时，判断当前业务流是否访问指定业务平台；若当前业务流访问指定业务平台，则根据用户身份信息与预定密钥获取加密值，其中所述预定密钥为与PCRF网元预先约定的统一密钥；利用第一加密算法对加密值进行加密，获得加密字段；将加密字段插入用户访问请求中，并将用户访问请求发送给业务平台，以便业务平台向PCRF网元发送身份查询请求，其中，身份查询请求包括加密字段，PCRF网元根据与第一加密算法相对应的第一解密算法从加密字段中解密出用户身份信息。在本专利技术的一个实施例中，根据用户身份信息与预定密钥获取加密值的步骤之后，所述方法还包括：利用第二加密算法对加密值进行加密，获得校验字段；将加密字段插入用户访问请求中并将用户访问请求发送给业务平台的步骤包括：将加密字段和校验字段插入用户访问请求中，并将用户访问请求发送给业务平台，以便业务平台向PCRF网元发送身份查询请求，其中，身份查询请求包括加密字段和校验字段，PCRF网元对校验字段进行校验，之后根据与第一加密算法相对应的第一解密算法从加密字段中解密出用户身份信息。根据本专利技术的另一方面，提供一种用于识别用户身份的方法，包括：当接收到业务平台的身份查询请求时，从身份查询请求中提取出加密字段，其中，网关根据用户身份信息与预定密钥获取加密值，利用第一加密算法对加密值进行加密获取所述加密字段，并将所述加密字段插入用户访问请求并发送给业务平台，以便业务平台将所述加密字段插入身份查询请求；根据第一解密算法对加密字段进行解密获得加密值，其中，第一解密算法与第一加密算法相对应；根据加密值和预定密钥获得用户身份信息，其中，所述预定密钥为与网关预先预定的统一密钥；将所述用户身份信息返回给业务平台。在本专利技术的一个实施例中，所述方法还包括：当接收到业务平台的身份查询请求时，判断身份查询请求中是否存在校验字段，其中，网关根据第二加密算法对加密值进行加密获取所述校验字段，并将所述校验字段插入用户访问请求并发送给业务平台，以便业务平台将所述加密字段插入身份查询请求；若存在校验字段，则并执行从身份查询请求中提取出加密字段的步骤；若不存在校验字段，则向业务平台返回错误代码。在本专利技术的一个实施例中，所述方法还包括：若存在校验字段，则从身份查询请求中提取出校验字段；在根据加密值和预定密钥获得用户身份信息的步骤之后，还包括：利用第二加密算法对加密值进行加密，获取校验密钥；判断所述校验密钥与所述校验字段是否一致；若所述校验密钥与所述校验字段一致，则执行将所述用户身份信息返回给业务平台的步骤；若所述校验密钥与所述校验字段不一致，则向业务平台返回错误代码。在本专利技术的一个实施例中，在根据加密值和预定密钥获得用户身份信息的步骤之后，所述方法还包括：从身份查询请求中提取用户终端的公网IP地址；根据用户终端的公网IP地址查询预定的用户身份识别码与IP地址对应关系表，确定用户身份识别码；判断所述用户身份识别码与所述用户身份信息是否一致；若所述用户身份识别码与所述用户身份信息一致，则执行将所述用户身份信息返回给业务平台的步骤；若所述用户身份识别码与所述用户身份信息不一致，则向业务平台返回错误代码。根据本专利技术的另一方面，提供一种用于识别用户身份的网关，包括路径识别模块、加密值确定模块、加密模块和请求发送模块，其中：路径识别模块，用于在接收到用户访问请求时，判断当前业务流是否访问指定业务平台；加密值确定模块，用于根据路径识别模块的判断结果，若当前业务流访问指定业务平台，则根据用户身份信息与预定密钥获取加密值，其中所述预定密钥为与PCRF网元预先约定的统一密钥；加密模块，用于利用第一加密算法对加密值进行加密，获得加密字段；请求发送模块，用于将加密字段插入用户访问请求中，并将用户访问请求发送给业务平台，以便业务平台向PCRF网元发送身份查询请求，其中，身份查询请求包括加密字段，PCRF网元根据与第一加密算法相对应的第一解密算法从加密字段中解密出用户身份信息。在本专利技术的一个实施例中，所述网关还包括校验字段获取模块，其中：校验字段获取模块，用于在加密值确定模块根据用户身份信息与预定密钥获取加密值之后，利用第二加密算法对加密值进行加密，获得校验字段；请求发送模块还用于将加密字段和校验字段插入用户访问请求中，并将用户访问请求发送给业务平台，以便业务平台向PCRF网元发送身份查询请求，其中，身份查询请求包括加密字段和校验字段，PCRF网元对校验字段进行校验，之后根据与第一加密算法相对应的第一解密算法从加密字段中解密出用户身份信息。根据本专利技术的另一方面，提供一种用于识别用户身份的PCRF网元，包括提取模块、解密模块、身份信息获取模块和反馈模本文档来自技高网...

【技术保护点】
一种用于识别用户身份的方法，其特征在于，包括：在接收到用户访问请求时，判断当前业务流是否访问指定业务平台；若当前业务流访问指定业务平台，则根据用户身份信息与预定密钥获取加密值，其中所述预定密钥为与PCRF网元预先约定的统一密钥；利用第一加密算法对加密值进行加密，获得加密字段；将加密字段插入用户访问请求中，并将用户访问请求发送给业务平台，以便业务平台向PCRF网元发送身份查询请求，其中，身份查询请求包括加密字段，PCRF网元根据与第一加密算法相对应的第一解密算法从加密字段中解密出用户身份信息。

【技术特征摘要】
1.一种用于识别用户身份的方法，其特征在于，包括：在接收到用户访问请求时，判断当前业务流是否访问指定业务平台；若当前业务流访问指定业务平台，则根据用户身份信息与预定密钥获取加密值，其中所述预定密钥为与PCRF网元预先约定的统一密钥；利用第一加密算法对加密值进行加密，获得加密字段；将加密字段插入用户访问请求中，并将用户访问请求发送给业务平台，以便业务平台向PCRF网元发送身份查询请求，其中，身份查询请求包括加密字段，PCRF网元根据与第一加密算法相对应的第一解密算法从加密字段中解密出用户身份信息。2.根据权利要求1所述的方法，其特征在于，根据用户身份信息与预定密钥获取加密值的步骤之后，还包括：利用第二加密算法对加密值进行加密，获得校验字段；将加密字段插入用户访问请求中并将用户访问请求发送给业务平台的步骤包括：将加密字段和校验字段插入用户访问请求中，并将用户访问请求发送给业务平台，以便业务平台向PCRF网元发送身份查询请求，其中，身份查询请求包括加密字段和校验字段，PCRF网元对校验字段进行校验，之后根据与第一加密算法相对应的第一解密算法从加密字段中解密出用户身份信息。3.一种用于识别用户身份的方法，其特征在于，包括：当接收到业务平台的身份查询请求时，从身份查询请求中提取出加密字段，其中，网关根据用户身份信息与预定密钥获取加密值，利用第一加密算法对加密值进行加密获取所述加密字段，并将所述加密字段插入用户访问请求并发送给业务平台，以便业务平台将所述加密字段插入身份查询请求；根据第一解密算法对加密字段进行解密获得加密值，其中，第一解密算法与第一加密算法相对应；根据加密值和预定密钥获得用户身份信息，其中，所述预定密钥为与网关预先预定的统一密钥；将所述用户身份信息返回给业务平台。4.根据权利要求3所述的方法，其特征在于，还包括：当接收到业务平台的身份查询请求时，判断身份查询请求中是否存在校验字段，其中，网关根据第二加密算法对加密值进行加密获取所述校验字段，并将所述校验字段插入用户访问请求并发送给业务平台，以便业务平台将所述加密字段插入身份查询请求；若存在校验字段，则并执行从身份查询请求中提取出加密字段的步骤；若不存在校验字段，则向业务平台返回错误代码。5.根据权利要求4所述的方法，其特征在于，还包括：若存在校验字段，则从身份查询请求中提取出校验字段；在根据加密值和预定密钥获得用户身份信息的步骤之后，还包括：利用第二加密算法对加密值进行加密，获取校验密钥；判断所述校验密钥与所述校验字段是否一致；若所述校验密钥与所述校验字段一致，则执行将所述用户身份信息返回给业务平台的步骤；若所述校验密钥与所述校验字段不一致，则向业务平台返回错误代码。6.根据权利要求3-5中任一项所述的方法，其特征在于，在根据加密值和预定密钥获得用户身份信息的步骤之后，还包括：从身份查询请求中提取用户终端的公网IP地址；根据用户终端的公网IP地址查询预定的用户身份识别码与IP地址对应关系表，确定用户身份识别码；判断所述用户身份识别码与所述用户身份信息是否一致；若所述用户身份识别码与所述用户身份信息一致，则执行将所述用户身份信息返回给业务平台的步骤；若所述用户身份识别码与所述用户身份信息不一致，则向业务平台返回错误代码。7.一种用于识别用户身份的网关，其特征在于，包括路径识别模块、加密值确定模块、加密模块和请求发送模块，其中：路径识别模块，用于在接收到用户访问请求时，判断当前业务流是否访问指定业务平台；加密值确定模块，用于根据路径识别模块的判断结果，若当前业务流访问指定业务平台，则根据用户身份信息与预定密钥获取加密值，其中所述预定密钥为与PCRF网元预先约定的统一密钥；加密模块，用于利用第一加密算法对加密值进行加密，获得加密字段；请求发送模块，用于将加密字段插入用户访问请求中，并将用户访问请求发送给业务平台，以便业务平台向PCRF网元发送身份查询请求，其中，身份查询请求包括加密字段，PCRF网元根据与第一加密算法相对应的第一解...

【专利技术属性】
技术研发人员：皋宇，徐良红，陈冯，曾骁，郑伟，俞晓芬，史啸，荣涛，苏翠翠，
申请(专利权)人：中国电信股份有限公司，
类型：发明
国别省市：北京,11