一种应用访问控制系统和方法

暂无

一种应用访问控制系统和方法 \n技术领域\n[0001] 本发明涉及移动通信技术，特别涉及通过移动接入网接入信息应用系统时的应用访问控制技术。 \n背景技术\n[0002] 随着IT技术与移动通信技术的深入融合，企业IT环境中实现特定功能的各种应用系统，如办公自动化(OA，Office Automatization)系统、顾客关系管理(CRM，Customer Relation Management)系统、企业资源计划(ERP，Enterprise Resource Planing)系统等，其运行环境延伸到移动通信系统。在这种情况下，现有移动通信系统中的安全认证和操作防抵赖性存在问题。现有移动通信系统中，终端设备主要为移动终端，一般称为手机，具有小型化和功能简单的特点。移动终端和信息技术应用系统之间基本上采用用户/密码对或者用户/PIN密码的安全认证方式，该方式安全级别非常低，如用户/PIN密码认证方式被美国联邦标准技术局定义为安全性最弱的认证方式，仅适用于基本的语音业务和个人数据业务。当移动通信系统涉及到安全性要求较高的应用业务时，如企业内CRM、ERP中的帐务管理、公文批复等，用户/密码对或用户/PIN密码的安全认证方式作为统一的集中安全认证方式，显然无法满足其安全要求。 \n[0003] 如果在移动通信系统中采用IT认证技术，则同样存在的问题。安全级别较高的IT认证技术，如数字证书，硬件令牌等方法，需要额外的系统和设备开销，要求一定的软硬件支持，实现较为繁琐，并且对终端设备有一定的要求，要求终端设备为智能手机，甚至要求有USB接口，故IT认证技术不适合以移动终端为主要终端设备的移动通信系统。并且当前大部分IT认证技术，如数字证书，硬件令牌等，都是基于并假设终端设备物理实体上的可控性，一旦终端设备被盗或者被他人冒用，大部分的IT认证技术将失效。而相对IT技术中的主要终端设备PC机，移动通信系统中的主要终端设备移动终端则具有体积小、容易被他人冒用且容易丢失等特点。因此本发明人认为适用于移动通信系统的认证方法应该不依赖于移动终端。 \n[0004] 当前，在电子商务中的许多操作需要采取操作防抵赖措施，如通过一定的措施使领导在批阅公文后无法对其批阅动作进行抵赖。现有电子商务系统的操作防抵赖措施依赖于PC机，采用数字签名等方式，操作防抵赖性不强。而虹膜、指纹等生物鉴定方法，由于特殊的生物鉴定信息无法传输，也无法应用到移动通信系统中。并且移动电话存在易冒领，易丢失等特点，也为移动终端与信息技术应用系统间的操作防抵赖措施和电子取证操作提出了较高的要求，同时也存在一定的难度。 \n[0005] 发明内容\n[0006] 本发明实施例提供了一种应用访问控制系统及方法，用以统一实现信息技术应用系统的电子防抵赖与安全性认证，并提升电子防抵赖的可靠性； \n[0007] 本发明实施例还提供了一种移动应用访问控制系统及方法，用以实现移动终端访问信息技术应用系统时保留操作痕迹的高可靠性。 \n[0008] 一种应用访问控制系统，包括移动接入子系统和具有多个应用模块的信息技术应用子系统，还包括代理服务器，其中： \n[0009] 所述移动接入子系统将移动用户通过移动终端请求接入所述信息技术应用子系统的接入请求转发给代理服务器； \n[0010] 所述代理服务器通过所述移动接入子系统，获得请求接入信息技术应用子系统的移动终端的语音信息，根据预先存储的合法用户语音特征样本对获得的语音信息进行语音认证，并向所述信息技术应用子系统返回认证结果； \n[0011] 所述信息技术应用子系统根据所述认证结果，如果认证成功则控制移动终端接入信息技术应用子系统中应用业务对应的应用模块； \n[0012] 所述信息技术应用子系统中的应用模块，用于提示通过认证的移动用户进行语音输入，所述代理服务器识别该移动用户的语音输入信息的特征信息，并与预先存储的合法用户语音特征样本进行匹配，匹配完成后缓存所述特征信息和当前时间； [0013] 所述信息技术应用子系统中的应用模块，还用于将通过认证的移动用户的操作信息转发给代理服务器，以及在所述特征信息、当前时间和操作信息保存成功后完成移动用户的操作，所述代理服务器对应存储所述特征信息、当前时间和操作信息，并将保存成功的消息发送给对应的应用模块。 \n[0014] 一种代理服务器，包括： \n[0015] 样本数据库，用于对应存储合法用户的语音特征样本； \n[0016] 语音鉴别模块，用于接收到移动用户的接入请求时，向移动用户播放认证语音，并获得移动终端用户复述的认证语音，根据所述样本数据库中存储的合法用户语音特征样本对移动终端用户复述的认证语音信息进行语音认证，向信息技术应用子系统返回认证结果； \n[0017] 所述语音鉴别模块还用于获得通过认证的移动用户的语音输入信息，识别该语音输入信息的特征信息，并与预先存储的合法用户语音特征样本进行匹配，匹配完成后将所述特征信息和当前时间对应缓存到缓存模块； \n[0018] 所述语音鉴别模块还用于获得通过认证的移动用户的操作信息，并将缓存模块存储的特征信息、当前时间和所述操作信息对应存储到存储模块，以及将保存成功的消息发送给移动接入子系统中对应的应用模块，所述保存成功的消息用于指示所述应用模块完成移动用户的操作。 \n[0019] 一种应用访问控制系统，包括具有多个应用模块的信息技术应用子系统，还包括代理服务器，其中： \n[0020] 所述信息技术应用子系统中的应用模块，用于提示通过认证的移动用户进行语音输入；所述代理服务器识别该移动用户的语音输入信息的特征信息，并与预先存储的合法用户语音特征样本进行匹配，匹配完成后缓存所述特征信息和当前时间； [0021] 所述信息技术应用子系统中的应用模块，还用于将通过认证的移动用户的操作信息转发给代理服务器，以及在所述特征信息、当前时间和操作信息保存成功后完成移动用户的操作；所述代理服务器对应存储所述特征信息、当前时间和操作信息，并将保存成功的消息发送给对应的应用模块。 \n[0022] 一种代理服务器，包括：语音鉴别模块、缓存模块和存储模块，其中： [0023] 所述语音鉴别模块用于获得通过认证的移动用户的语音输入信息，识别该语音输入信息的特征信息，并与预先存储的合法用户语音特征样本进行匹配，匹配完成后将所述特征信息和当前时间对应缓存到所述缓存模块； \n[0024] 所述语音鉴别模块还用于获得通过认证的移动用户的操作信息，并将缓存模块存储的特征信息、当前时间和所述操作信息对应存储到所述存储模块，以及将保存成功的消息发送给移动接入子系统中对应的应用模块，所述保存成功的消息用于指示所述应用模块完成移动用户的操作。 \n[0025] 一种应用访问控制方法，包括： \n[0026] 代理服务器获得请求接入信息技术应用子系统的移动终端的语音信息，根据预先存储的合法用户语音特征样本对获得的语音信息进行语音认证； \n[0027] 所述代理服务器向信息技术应用子系统返回认证结果，所述信息技术应用子系统根据所述认证结果，如果认证成功则控制移动终端接入信息技术应用子系统中应用业务对应的应用模块； \n[0028] 所述信息技术应用子系统中的应用模块提示通过认证的移动用户进行语音输入，所述代理服务器识别该移动用户的语音输入信息的特征信息，并与预先存储的合法用户语音特征样本进行匹配，匹配完成后缓存所述特征信息和当前时间； \n[0029] 所述信息技术应用子系统中的应用模块将通过认证的移动用户的操作信息转发给代理服务器，所述代理服务器对应存储所述特征信息、当前时间和操作信息，并将保存成功的消息发送给对应的应用模块，所述应用模块完成移动用户的操作。 [0030] 一种应用访问控制方法，包括： \n[0031] 信息技术应用子系统中的应用模块提示通过认证的移动用户进行语音输入； [0032] 代理服务器获得通过认证的移动用户的语音输入信息，识别所述语音输入信息的特征信息，并与预先存储的合法用户语音特征样本进行匹配，匹配完成后缓存所述特征信息和当前时间； \n[0033] 所述信息技术应用子系统中的应用模块将通过认证的移动用户的操作信息转发给代理服务器，所述代理服务器对应存储识别出的特征信息、当前时间和操作信息，并将保存成功的消息发送给对应的应用模块，所述应用模块完成移动用户的操作。 [0034] 本发明实施例提供的移动应用访问控制系统及方法，在接收到移动终端接入信息应用子系统的认证请求时，通过移动终端输入的语音信息对其进行语音认证，将通过语音认证的移动终端用户接入信息技术应用子系统，解决了困扰移动信息系统的高安全性认证的问题，通过对说话人进行识别提高了移动终端和信息技术应用子系统之间安全认证的可靠性。采集并保留了移动终端访问信息技术应用系统的操作痕迹，提升了电子防抵赖的可靠性。 \n[0035] 附图说明\n[0036] 图1为本发明实施例中移动应用访问控制系统框图； \n[0037] 图2为本发明实施例中移动应用访问控制方法流程图。 \n具体实施方式\n[0038] 本发明实施例提供了一种移动应用访问控制系统及方法，用以解决移动通信系统中移动终端和信息技术应用系统之间的安全认证问题，提供灵活的应用接入手段，提高信息技术应用系统的工作效率，并方便地开发基于移动终端的新应用。 \n[0039] 本发明实施例将运行环境延伸到移动通信系统的各种信息技术应用系统中，如OA、CRM、ERP等统称为信息技术应用子系统。在本发明实施例提供的移动应用访问控制系统中，在信息技术应用子系统和接入子系统之间放置一个代理服务器(Mobile Agent Server，MAS)，提供了信息技术应用子系统与移动终端之间端到端的解决方案。作为信息技术应用子系统与移动通信网络之间的统一接入平台，MAS的统一身份认证功能和基于移动终端的操作防抵赖性及可取证性是整个系统安全的关键。 \n[0040] 本发明实施例首次将语音识别技术和移动通信系统相结合，提出一个全新的基于语音识别技术，适用于移动代理服务器的集中式统一语音认证和电子留痕平台，解决了困扰移动通信系统的高安全认证需求和操作防抵赖困难的问题。 \n[0041] 本发明实施例提供了一种移动应用访问控制系统，如图1所示，包括移动接入子系统、信息应用子系统和认证服务器，其中： \n[0042] 移动接入子系统将移动用户通过移动终端请求接入信息技术应用子系统的接入请求转发给代理服务器； \n[0043] 代理服务器通过移动接入子系统，获得请求接入信息技术应用子系统的移动终端的语音信息，根据预先存储的合法用户语音特征样本对获得的语音信息进行语音认证，并向信息技术应用子系统返回认证结果； \n[0044] 信息技术应用子系统根据认证结果控制移动终端的应用访问。 [0045] 进一步，信息技术应用子系统还将通过认证的移动用户的语音输入信息转发给代理服务器，代理服务器识别该语音输入信息的特征信息，并缓存特征信息和当前时间； [0046] 信息技术应用子系统还将通过认证的移动用户的操作信息转发给代理服务器，代理服务器对应存储特征信息、当前时间和操作信息。 \n[0047] 基于上述系统，代理服务器的一种具体结构包括： \n[0048] 样本数据库，用于对应存储合法用户的语音特征样本； \n[0049] 语音鉴别模块，用于接收到移动用户的接入请求时，向移动用户播放认证语音，并获得移动终端用户复述的认证语音，根据样本数据库中存储的合法用户语音特征样本对移动终端用户复述的认证语音信息进行语音认证，向信息技术应用子系统返回认证结果。 [0050] 进一步代理服务器还包括：语音数据库，用于存储设定的认证语音信息。这样代理服务器可以每一次随机生成认证语音信息，也可以从存储的认证语音信息中提取。 [0051] 当需要进行语音痕迹留存时，代理服务器还包括：缓存模块和存储模块，其中： [0052] 语音鉴别模块从信息技术应用子系统获得通过认证的移动用户的语音输入信息，识别该语音输入信息的特征信息，并将特征信息和当前时间对应缓存到缓存模块； [0053] 语音鉴别模块还从信息技术应用子系统获得通过认证的移动用户的操作信息，并将缓存模块存储的特征信息、当前时间和操作信息对应存储到存储模块。 [0054] 基于上述系统，本发明实施例提供的应用访问控制方法，包括： [0055] 获得请求接入信息技术应用子系统的移动终端的语音信息； \n[0056] 根据预先存储的合法用户语音特征样本对获得的语音信息进行语音认证； [0057] 向信息技术应用子系统返回认证结果，认证结果用于对移动终端的应用访 问进行控制。 \n[0058] 进一步，从信息技术应用子系统获得通过认证的移动用户的语音输入信息和操作信息；识别语音输入信息的特征信息，并对应存储识别出的特征信息、当前时间和操作信息。 \n[0059] 本发明实施例中，认证过程也可以采用除语音认证之外的其他认证方案，而只对认证通过的移动用户进行语音痕迹留存，这样应用访问控制系统可以包括信息技术应用子系统和代理服务器，其中： \n[0060] 信息技术应用子系统将通过认证的移动用户的语音输入信息转发给代理服务器，代理服务器识别该语音输入信息的特征信息，并缓存特征信息和当前时间； [0061] 信息技术应用子系统还将通过认证的移动用户的操作信息转发给代理服务器，代理服务器对应存储特征信息、当前时间和操作信息。 \n[0062] 基于此，一种代理服务器具体包括：语音鉴别模块、缓存模块和存储模块，其中： [0063] 语音鉴别模块用于获得通过认证的移动用户的语音输入信息，识别该语音输入信息的特征信息，并将特征信息和当前时间对应缓存到缓存模块； \n[0064] 语音鉴别模块还用于获得通过认证的移动用户的操作信息，并将缓存模块存储的特征信息、当前时间和操作信息对应存储到存储模块。 \n[0065] 基于该系统，一种应用访问控制方法包括： \n[0066] 从信息技术应用子系统获得通过认证的移动用户的语音输入信息和操作信息； [0067] 识别语音输入信息的特征信息，并对应存储识别出的特征信息、当前时间和操作信息。 \n[0068] 下面以一具体实施例进行详细说明，如图2所示，包括以下处理流程： [0069] S201、移动用户通过移动终端向代理服务器发起认证请求，代理服务器通过移动接入子系统实现移动用户各种方式的接入，移动接入子系统包括语音处 理模块、WAP处理模块、MMS处理模块，等等，可以实现移动用户各种方式的接入； \n[0070] S202、移动接入子系统将接入的移动终端的认证请求，转发给代理服务器中的语音鉴别模块； \n[0071] S203、语音鉴别模块随机任选一语句或者随机生成一个语句，作为认证语音通过语音处理模块通知移动用户复述该语句； \n[0072] S204、移动用户复述该语句，并通过语音处理模块传回给语音鉴别模块； [0073] S205、语音鉴别模块根据对回传得到的语音信息进行处理，根据语音特征信息在样本数据库中进行匹配，如果能在样本数据库中查询到与该语音特征信息匹配的特征样本，则认证成功； \n[0074] S206、语音鉴别模块将认证成功消息发送给信息技术应用子系统中对应的处理模块，信息技术应用子系统中的应用模块包括OA应用模块、ERP应用模块、CRM应用模块等，对应不同的应用业务； \n[0075] S207、移动用户通过认证，被允许接入信息技术应用子系统中的某个应用模块。 [0076] 至此已完成了移动用户的接入认证，在后续操作中进行电子操作留痕的处理流程包括： \n[0077] S208、通过认证的移动用户被接入信息技术应用子系统中的某个应用模块，移动用户进行某项操作时，该应用模块首先提示用户进行语音输入； \n[0078] S209、移动用户通过语音处理模块将语音输入给语音鉴别模块； [0079] S210、语音鉴别模块进行语音识别处理，并和语音数据库中预存的语音信息进行匹配，找出该移动用户的用户ID； \n[0080] S211、匹配完成后，语音鉴别模块将其语音特征信息和操作的时间存入缓存单元，并发送匹配成功的消息给相应的应用模块； \n[0081] S212、应用模块收到匹配成功的消息后，将对应的操作代码发送给语音鉴别模块； \n[0082] S213、语音鉴别模块收到对应的操作代码后，将缓存单元中对应的语音特征信息和操作的时间拷贝到存储单元中，同时将收到的对应的操作代号也拷贝到存储单元中，并将语音特征信息，操作的时间和对应的操作代码合并为一条记录，记录语音特征信息、操作的时间、对应的操作代码这样一个三元组； \n[0083] S214、语音鉴别模块将保存成功的消息发送给对应的应用模块，应用模块完成移动用户的操作，如果应用模块没收到该保存成功的消息，则提示移动用户的操作不能完成，且和语音鉴别模块重复执行S213和S214两个步骤。 \n[0084] 本发明实施例首次将语音识别技术和移动通信系统相结合，提出一个基于语音识别技术，适用于代理服务器的集中式统一语音认证和电子留痕系统，解决了困扰信息技术应用系统的高安全性认证和电子防抵赖难的问题； \n[0085] 本发明实施例提出基于语音识别技术适用于移动终端的集中统一身份认证系统，通过MAS服务器的语音鉴别模块对移动用户采用语音识别技术进行认证； [0086] 本发明实施例提出了一个全新的适用于信息技术应用系统的高强度的防抵赖的电子留痕方法，首次在传统的语音数据库和管理模块之间，引入了一个用于语音留痕的缓存单元，通过记录语音特征信息、操作的时间、对应的操作代码这样一个三元组，在解决了信息技术应用系统高强度的统一认证同时，解决了困扰当前信息技术应用系统的电子操作防抵赖的问题。 \n[0087] 显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。