admin管理员组文章数量:1530898
2024年4月28日发(作者:)
(19)中华人民共和国国家知识产权局
(12)发明专利说明书
(21)申请号 CN2.1
(22)申请日 2013.03.18
(71)申请人 中国科学院信息工程研究所
地址 100093 北京市海淀区闵庄路甲89号
(72)发明人 王雅哲 王瑜 徐震 林东岱
(74)专利代理机构 北京君尚知识产权代理事务所(普通合伙)
代理人 余长江
(51)
(10)申请公布号 CN 103237235 A
(43)申请公布日 2013.08.07
权利要求说明书 说明书 幅图
(54)发明名称
一种面向云电视终端身份认证实现
方法及系统
(57)摘要
本发明涉及一种面向云电视终端身
份认证访问方法及系统,基于PKI证书体
系的两级云电视终端证书CA中心,同时
在云电视终端预装统一数字证书,形成云
电视终端的信任根,并建立云电视终端的
统一身份认证中心系统。构建服务于云电
视制造商、云电视终端用户、应用程序开
发商等云电视产业链成员的云电视终端身
份信任基础设施。本发明采用了基于PKI
证书体系的两级云电视终端CA中心,同
时采用PKI的数字证书技术及统一身份认
证中心的身份认证和身份断言服务。本发
明用户管理成本低、安全性高、登录频率
少和跨域访问便利。
法律状态
法律状态公告日
法律状态信息
法律状态
权 利 要 求 说 明 书
1.一种面向云电视终端身份认证访问方法,其步骤包括:
1)在云电视终端中内置安全代理、预装统一证书,同时设置一个云电视终端
CloudTV CA中心、各制造商本地CA系统、一般性运行CA系统、本地制造商门
户和/或云服务App客户端上的认证代理和统一身份认证中心系统;
2)根据PKI证书体系将所述云电视终端CloudTV CA中心和制造商本地CA系统
建立为两级证书管理中心,所述制造商本地CA系统根据所述云电视终端
CloudTV CA中心签发的授权证书在权限范围内对所述云电视终端进行用户证书在
线签发;
3)用户在云电视终端联网状况下对云电视终端上所述用户证书进行激活,根据云
电视终端设备号及出厂时设定的硬件信息生成用户的公私钥对,通过本地制造商门
户中的CA系统证书服务接口,访问所述制造商本地CA系统,触发证书激活业务;
4)完成证书激活业务后对本地制造商门户内应用和/或云端服务商应用进行访问;
4-1)访问本地制造商门户时,用户在所述云电视终端先进行用户身份认证,若认
证通过,则对本地制造商门户内应用进行访问;
4-2)访问云应用服务商应用时,用户先在云电视终端为云应用服务商提供身份断
言凭证,云服务商通过该断言凭证实现用户对云应用的访问。
2.如权利要求1所述的面向云电视终端身份认证访问方法,其特征在于,所述
CloudTV CA中心是按照如下方法建立两级证书中心的:
1)所述CloudTV CA中心通过离线根CA系统统一签发一般性运行CA的根证书
以及各制造商本地CA的根证书;
2)根据所述CloudTV CA中心的CA管理系统为各制造商本地CA进行证书签发
授权,各制造商根据自身生产规模向CloudTV CA中心申请证书签发授权,获取相
应的许可配置到自身本地CA系统中;
3)各制造商本地CA系统将在线为终端签发证书,同时将签发的证书自动同步到
CloudTV CA中心进行备案管理。
3.如权利要求1所述的面向云电视终端身份认证访问方法,其特征在于,所述制造
商本地CA系统对所述云电视终端进行用户证书签发的方法如下:
①云电视制造商本地CA系统部署完成以后,根据自身生产计划向CloudTV CA中
心申请证书签发许可授权;
②CloudTV CA中心审核申请,通过后初始化云电视制造商本地CA系统,对用户
证书在线签发;
③每台云电视终端借助预装的统一证书,依据需求向本地制造商CA系统申请在线
签发自身的云电视终端用户证书;
④云电视制造商本地CA系统定期自动将在线签发的证书同步到CloudTV CA中心
进行备案统计。
4.如权利要求1所述的面向云电视终端身份认证访问方法,其特征在于,访问本地
制造商门户时,用户在所述云电视终端先进行用户身份认证需满足:
所述云电视终端预装制造商统一证书和制造商服务器证书、内置安全代理,并保证
云电视终端在安全存储区提供不同的安全存储位置保存用户证书与制造商统一证书。
5.如权利要求4所述的面向云电视终端身份认证访问方法,其特征在于,对云电视
终端上所述用户证书进行激活的方法如下:
a.若证书未激活,由安全代理读取云电视终端唯一设备号及相关硬件信息,生成
用户的公私钥对,并自动导引访问制造商门户,触发证书激活业务;
b.由安全代理引导访问制造商门户,并使用预装的制造商统一证书与制造商门户
完成身份认证,建立起SSL安全通道;
c.所述云电视终端内置的安全代理发送用户私钥签名的证书签发请求到制造商门
户;
d.所述制造商门户通过本地CA系统证书服务接口向本厂商的本地CA系统转发
证书签发请求;
e.本厂商的本地CA系统接收到证书签发请求后,启动证书签发服务,生成用户
证书,同时生成一个随机数,并对该随机数签名,一并返回给制造商门户;
f.云电视终端接收从制造商门户传回的用户证书及随机数签名,并通过安全代理
用制造商服务器证书验证随机数签名,验证通过安装用户证书。
6.如权利要求1所述的面向云电视终端身份认证访问方法,其特征在于,对云电视
终端上所述用户证书激活证书验证的方法为:
A.云电视终端通过安全代理使用自身的用户证书私钥对该随机数签名,并发送服
务器验证信息给制造商门户;
B.制造商门户验证接收到该信息后,转发给制造商本地CA系统,验证通过,并
标记该证书已激活,同时回传给云电视终端认证信息。
7.如权利要求1所述的面向云电视终端身份认证访问方法,其特征在于,用户在云
电视终端为云应用服务商提供身份断言凭证需满足:
云电视终端已预装统一身份认证中心证书、内置安全代理以及已执行完激活业务操
作,同时用户证书已保存在安全存储区,且存储位置与制造商统一证书不同。
8.如权利要求1所述的面向云电视终端身份认证访问方法,其特征在于,访问本地
制造商门户时,用户在所述云电视终端进行用户身份认证方法为:
A.用户发起访问制造商门户请求到云电视终端内置的安全代理,制造商门户通过认
证代理拦截该访问请求,同时通过统一身份认证中心系统的认证接口向统一身份认
证中心系统转发认证请求;
B.所述统一身份认证中心系统服务器产生随机数,使用统一身份认证中心证书私
钥对随机数签名,并通过认证代理将随机数以及随机数签名返回给云电视终端;
C.云电视终端接收到上述信息后,通过内置的安全代理使用统一身份认证中心证
书公钥验证随机数签名的可靠性;
D.若验证不通过,则停止该身份认证过程;若验证通过,则通过安全代理使用用
户证书私钥对随机数签名,并将用户证书和随机数签名通过认证代理一起转交给统
一身份认证中心系统进行验证;
E.统一身份认证中心首先验证用户证书,若签名值和用户证书验证都通过,则该
用户是合法的注册用户,允许用户访问制造商门户,同时设置身份认证标识标记该
用户已获得合法认证,返回认证信息到云电视终端。
9.如权利要求1所述的面向云电视终端身份认证访问方法,其特征在于,访问云应
用服务商应用App时,用户在云电视终端为云应用服务商提供身份断言凭证的方
法为:
①用户发起访问跨云应用App请求,云电视终端内置的安全代理判断该用户是否
获得了身份断言凭证或者该凭证是否已失效,若失效或未获得凭证则由云应用客户
端通过认证代理拦截该访问请求,同时通过统一身份认证中心系统的认证接口向统
一身份认证中心系统转发认证请求;
②所述统一身份认证中心系统服务器产生随机数,使用统一身份认证中心证书私钥
对随机数签名,并通过认证代理将随机数以及随机数签名返回给云电视终端;
③云电视终端接收到上述信息后,通过内置的安全代理使用统一身份认证中心证书
公钥验证随机数签名的可靠性;
④验证通过后通过安全代理使用用户证书私钥对随机数签名,并将用户证书和随机
数签名通过认证代理一起转交给统一身份认证中心系统进行验证;
⑤统一身份认证中心系统验证签名值,验证用户证书的有效性;
⑥若签名值和用户证书验证都通过,则用户是合法的注册用户,将为用户颁发统一
身份认证中心系统签发的身份断言凭证,同时设置身份断言凭证的有效期,返回认
证信息给云电视终端。
10.一种面向云电视终端身份认证访问系统,其特征在于,包括:一统一身份认证
中心系统、一云电视终端CloudTV CA中心、一一般性运行CA系统、多个制造商
本地CA系统、多个云电视终端以及本地制造商门户/云服务客户端上的认证代理;
所述云电视终端,内置安全代理、预装统一证书,为用户提供本地及云端服务;
所述统一身份认证中心系统,为用户提供身份认证和断言服务;
所述本地制造商门户/云服务客户端上的认证代理,负责拦截和转发认证请求和认
证回复信息;
所述一般性运行CA系统,负责签发面向服务部门的证书,包括统一身份中心系统
颁发服务器证书;
所述制造商本地CA系统,制造商管理员根据自身生产计划申请签发许可授权,在
签发权限内在线地签发用户证书,同时会在一段时间间隔内上传至CloudTV CA中
心,完成与云电视终端CloudTV CA中心的文件交互和备份;
所述云电视终端CloudTV CA中心,根据PKI证书体系建立两级云电视终端证书
CA中心的一级CA,负责签发一般性运行CA的根证书和各制造商本地CA的根证
书。
说 明 书
技术领域
本发明属于信息安全中的身份认证领域,具体涉及一种云电视终端身份认证实现方
法。
背景技术
在云计算、物联网新一代网络场景中,身份认证是一个最重要的因素,也是整个信
息安全体系的基础。云电视作为智能电视与物联网、云计算等新兴技术的融合体,
引领了国内外彩电产业的发展方向,是智能电视发展的高级阶段。传统的身份认证
技术,诸如静态口令、动态口令、矩阵卡技术、对称加密技术和公私钥技术,已不
能满足云电视终端发展的需要。同时,面对一种新兴的事物,相关的组织和机构还
没有明确地提出较为完善的身份认证体系。如何在云电视这种云端设备,应对基本
业务及不断扩展的增值业务,确定访问者的真实身份;如何解决不同业务实体在不
同网络、不同业务间建立可靠的身份认证的共享服务,避免由异构认证机制带来的
复杂性,提升了实体用户对网络和业务的使用效率、提高身份信息的安全性。要真
正地解决这些问题需要实现基于PKI的数字证书作为安全基础设施为其提供可靠
安全服务的可信身份标识体系。近年来,一些企业组织和科研机构已经将基于PKI
数字证书的技术,广泛的应用于Android、IOS等智能化设备中,并且取得了良好
的效果。该技术有效地满足了智能化设备的多业务需求、基础安全保障等场景,实
现各业务系统的互通互联的访问,所以需要可信的云电视身份标识体系,加速云电
视产业链的发展。
发明内容
本方案拟建立基于PKI证书体系的两级云电视终端证书CA中心,及在云电视终端
预装统一数字证书,形成云电视终端的信任根,并建立云电视终端的统一身份认证
中心系统。在此基础上,通过安全、实用、具有法律效力的数字证书有效地解决云
电视终端各应用系统在身份认证、授权管理、责任认定等方面的安全风险,提升各
应用系统信息安全保障能力。其核心是构建服务于云电视制造商、云电视终端用户、
应用程序开发商等云电视产业链成员的云电视终端身份信任基础设施。
简要介绍本方案的基本思想,具体来说,本发明技术方案包括下列几个方面:
方面一:建立基于PKI证书体系的两级云电视终端证书CA中心,为云电视终端证
书(用户证书)的生产、运营和管理提供基础服务。同时该两级证书CA中心可快
速的建立两级用户管理体系,降低用户管理的成本,为构建云电视行业的安全基础
设施奠定坚实的基础。
方面二:借助云电视终端预装的统一证书的信任根,实现自身云电视终端证书(用
户证书)激活,帮助厂商和公共服务机构掌握用户的活跃度,同时为用户访问基本
业务和增值业务提供信任支撑。
方面三:由于云电视终端用户访问本地制造商门户时,需要统一身份认证中心系统
的身份认证服务为其提供可信的用户登录的身份证明,以方便用户访问本门户内各
个应用资源,以减少了登录频率,实现“一次认证,多点访问”。
方面四:由于云电视终端用户访问除本制造商门户之外的不同云服务提供商的资源
时,需要统一身份认证中心系统的身份断言服务为用户颁发身份断言凭证(如
SAML、WS-federation、JWT)。该凭证可为用户建立起可靠的域间用户身份联合,
从而有效地解决用户跨云访问云资源服务提供商的各种应用,实现多系统、多平台
的互联互通,全面提升了各种跨云应用的用户体验。
本发明具体方案如下:一种面向云电视终端身份认证访问方法,其步骤包括:
1)在云电视终端中内置安全代理、预装统一证书,同时设置一个云电视终端
CloudTV CA中心、各制造商本地CA系统、一般性运行CA系统、本地制造商门
户和/或云服务App客户端上的认证代理和统一身份认证中心系统;
2)根据PKI证书体系将所述云电视终端CloudTV CA中心和制造商本地CA系统
建立为两级证书管理中心,所述制造商本地CA系统根据所述云电视终端
CloudTV CA中心签发的授权证书在权限范围内对所述云电视终端进行用户证书在
线签发;
3)用户在云电视终端联网状况下对云电视终端上所述用户证书进行激活,根据云
电视终端设备号及出厂时设定的硬件信息生成用户的公私钥对,通过本地制造商门
户中的CA系统证书服务接口,访问所述制造商本地CA系统,触发证书激活业务;
4)完成证书激活业务后对本地制造商门户内应用和/或云端服务商应用进行访问;
4-1)访问本地制造商门户时,用户在所述云电视终端先进行用户身份认证,若认
证通过,则对本地制造商门户内应用进行访问;
4-2)访问云应用服务商应用时,用户先在云电视终端为云应用服务商提供身份断
言凭证,云服务商通过该断言凭证实现用户对云应用的访问。
所述CloudTV CA中心是按照如下方法建立两级证书中心的:
1)所述CloudTV CA中心通过离线根CA系统统一签发一般性运行CA的根证书
以及各制造商本地CA的根证书;
2)根据所述CloudTV CA中心的CA管理系统为各制造商本地CA进行证书签发
授权,各制造商根据自身生产规模向CloudTV CA中心申请证书签发授权,获取相
应的许可配置到自身本地CA系统中;
3)各制造商本地CA系统将在线为终端签发证书,同时将签发的证书自动同步到
CloudTVCA中心进行备案管理。
所述制造商本地CA系统对所述云电视终端进行用户证书签发的方法如下:
①云电视制造商本地CA系统部署完成以后,根据自身生产计划向CloudTV CA中
心申请证书签发许可授权;
②CloudTV CA中心审核申请,通过后初始化云电视制造商本地CA系统,对用户
证书在线签发;
③每台云电视终端借助预装的统一证书,依据需求向本地制造商CA系统申请在线
签发自身的云电视终端用户证书;
④云电视制造商本地CA系统定期自动将在线签发的证书同步到CloudTV CA中心
进行备案统计。
更进一步,访问本地制造商门户时,用户在所述云电视终端先进行用户身份认证需
满足:
所述云电视终端预装制造商统一证书和制造商服务器证书、内置安全代理,并保证
云电视终端在安全存储区提供不同的安全存储位置保存用户证书与制造商统一证书。
更进一步,对云电视终端上所述用户证书进行激活的方法如下:
a.若证书未激活,由安全代理读取云电视终端唯一设备号及相关硬件信息,生成
用户的公私钥对,并自动导引访问制造商门户,触发证书激活业务;
b.由安全代理引导访问制造商门户,并使用预装的制造商统一证书与制造商门户
完成身份认证,建立起SSL安全通道;
c.所述云电视终端内置的安全代理发送用户私钥签名的证书签发请求到制造商门
户;
d.所述制造商门户通过本地CA系统证书服务接口向本厂商的本地CA系统转发
证书签发请求;
e.本厂商的本地CA系统接收到证书签发请求后,启动证书签发服务,生成用户
证书,同时生成一个随机数,并对该随机数签名,一并返回给制造商门户;
f.云电视终端接收从制造商门户传回的用户证书及随机数签名,并通过安全代理
用制造商服务器证书验证随机数签名,验证通过安装用户证书。
优选地,对云电视终端上所述用户证书激活证书验证的方法为:
A.云电视终端通过安全代理使用自身的用户证书私钥对该随机数签名,并发送服
务器验证信息给制造商门户;
B.制造商门户验证接收到该信息后,转发给制造商本地CA系统,验证通过,并
标记该证书已激活,同时回传给云电视终端认证信息。
可选地,用户在云电视终端为云应用服务商提供身份断言凭证需满足:
云电视终端已预装统一身份认证中心证书、内置安全代理以及已执行完激活业务操
作,同时用户证书已保存在安全存储区,且存储位置与制造商统一证书不同。
更进一步,访问本地制造商门户时,用户在所述云电视终端进行用户身份认证方法
为:
A.用户发起访问制造商门户请求到云电视终端内置的安全代理,制造商门户通过认
证代理拦截该访问请求,同时通过统一身份认证中心系统的认证接口向统一身份认
证中心系统转发认证请求;
B.所述统一身份认证中心系统服务器产生随机数,使用统一身份认证中心证书私
钥对随机数签名,并通过认证代理将随机数以及随机数签名返回给云电视终端;
C.云电视终端接收到上述信息后,通过内置的安全代理使用统一身份认证中心证
书公钥验证随机数签名的可靠性;
D.若验证不通过,则停止该身份认证过程;若验证通过,则通过安全代理使用用
户证书私钥对随机数签名,并将用户证书和随机数签名通过认证代理一起转交给统
一身份认证中心系统进行验证;
E.统一身份认证中心首先验证用户证书,若签名值和用户证书验证都通过,则该
用户是合法的注册用户,允许用户访问制造商门户,同时设置身份认证标识标记该
用户已获得合法认证,返回认证信息到云电视终端。
可选地,访问云应用服务商应用App时,用户在云电视终端为云应用服务商提供
身份断言凭证的方法为:
①用户发起访问跨云应用App请求,云电视终端内置的安全代理判断该用户是否
获得了身份断言凭证或者该凭证是否已失效,若失效或未获得凭证则由云应用客户
端通过认证代理拦截该访问请求,同时通过统一身份认证中心系统的认证接口向统
一身份认证中心系统转发认证请求;
②所述统一身份认证中心系统服务器产生随机数,使用统一身份认证中心证书私钥
对随机数签名,并通过认证代理将随机数以及随机数签名返回给云电视终端;
③云电视终端接收到上述信息后,通过内置的安全代理使用统一身份认证中心证书
公钥验证随机数签名的可靠性;
④验证通过后通过安全代理使用用户证书私钥对随机数签名,并将用户证书和随机
数签名通过认证代理一起转交给统一身份认证中心系统进行验证;
⑤统一身份认证中心系统验证签名值,验证用户证书的有效性;
⑥若签名值和用户证书验证都通过,则用户是合法的注册用户,将为用户颁发统一
身份认证中心系统签发的身份断言凭证,同时设置身份断言凭证的有效期,返回认
证信息给云电视终端。
基于访问方法本发明还提出一种面向云电视终端身份认证访问系统,包括:一统一
身份认证中心系统、一云电视终端CloudTV CA中心、一一般性运行CA系统、多
个制造商本地CA系统、多个云电视终端以及本地制造商门户/云服务客户端上的
认证代理;
所述云电视终端,内置安全代理、预装统一证书,为用户提供本地及云端服务;
所述统一身份认证中心系统,为用户提供身份认证和断言服务;
所述本地制造商门户/云服务客户端上的认证代理,负责拦截和转发认证请求和认
证回复信息;
所述一般性运行CA系统,负责签发面向服务部门的证书,如为统一身份中心系统
颁发服务器证书;
所述制造商本地CA系统,制造商管理员根据自身生产计划申请签发许可授权,在
签发权限内在线地签发用户证书,同时会在一段时间间隔内上传至CloudTV CA中
心,完成与云电视终端CloudTV CA中心的文件交互和备份;
所述云电视终端CloudTV CA中心,根据PKI证书体系建立两级云电视终端证书
CA中心的一级CA,负责签发一般性运行CA的根证书和各制造商本地CA的根证
书。
本发明与现有技术相比,具有以下显著优点:
用户管理成本低、安全性高、登录频率少和跨域访问便利。由于本发明采用了基于
PKI证书体系的两级云电视终端证书CA中心,同时采用PKI的数字证书技术及统
一身份认证中心的身份认证和身份断言服务,因此用户管理成本低、安全性高、登
录频率少和跨域访问便利。
附图说明
下面结合附图对本发明作进一步的说明。
图1为本发明实施总体框架;
图2两级云电视终端证书CA中心结构图;
图3制造商本地CA系统与CloudTV CA中心、云电视终端数据流及交互关系图;
图4云电视终端证书(用户证书)激活流程图;
图5云电视终端身份认证流程图;
图6云电视终端身份断言流程图。
具体实施方式
为使本发明的目的、优点以及技术方案更加清楚明白,以下通过具体实施,并结合
附图,对本发明进一步详细说明。
对于图1从整体上描述了该方案实施的总体框架,主要包括下面四部分的内容。
一、基于PKI证书体系的两级云电视终端证书证书管理机构CA中心的实现方法
每个云电视制造厂商分别部署一套制造商本地证书管理机构CA系统,负责为本厂
商的云电视签发数字证书,同时在每台云电视终端中内置安全代理、预装统一证书
(包括制造商统一证书(即各制造商证书)、制造商服务器证书和统一身份认证中
心证书)。从图2可以看出两级主要分为:第一级是云电视终端CA中心;第二级
是制造商本地CA系统和一般性运行CA系统。第一级负责颁发第二级的证书,授
权二级CA具备签发能力及备份和统计二级CA签发的证书。第二级负责为云电视
终端颁发用户证书和为各个服务部门颁发服务器证书,各个服务部门之一指如统一
身份认证中心。结合图2对云电视终端CA中心(CloudTV CA中心)与制造商本
地CA系统的关系说明如下:
1)CloudTV CA中心作为云电视产业链信任源的起点,通过该中心的离线根CA系
统统一签发各制造商本地CA的根证书(制造商本地CA系统负责签发本云电视终
端的用户证书)和一般性运行CA的根证书(一般性运行CA系统负责签发面向服
务部门的证书,如为统一身份中心系统颁发服务器证书);
2)通过CloudTV CA中心的CA管理系统为各制造商本地CA系统进行证书签发
授权,各制造商根据自身生产规模向CloudTV CA中心申请证书签发授权,获取相
应的License配置到自身本地CA系统之中;
3)各制造商本地CA系统将在线为终端签发证书,同时将签发的证书自动同步到
CloudTVCA中心,接受中心的统一备案管理。
为了进一步详细的描述制造商本地CA系统与CloudTV CA中心、云电视终端的关
系,结合图3对其数据流及交互过程进行说明,如下:
①云电视制造商本地CA系统部署完成以后,根据自身生产计划向CloudTV CA中
心申请证书签发License授权;
②CloudTV CA中心审核申请,通过后初始化云电视制造商本地CA系统,使其具
备证书在线签发的能力;
③每台云电视终端借助预装的统一证书,依据需求向本地制造商CA系统申请在线
签发自身的云电视终端证书(用户证书),此过程为用户证书的激活,将在步骤二
中进行详细介绍;
④云电视制造商本地CA系统定期自动将在线签发的证书同步到CloudTV CA中心
进行备案和统计管理。
上述过程相比与现有技术不同之处在于采用了两级证书认证的方法,通过两级证书
CA,减轻了中心CA的证书管理负担,再就是制造商自己管理自己的用户,减轻
了用户管理负担。
CloudTV CA中心主要的功能就是统计整体证书数量、备案用户证书和负责签发二
级证书,授权二级中心具备签发授权能力。
建立了本地制造商、具有签发能力的制造商本地CA系统、CloudTV CA中心以及
云电视终端四方的依赖关系,制造商管理员首先会根据生产计划申请签发license
授权,然后发往CloudTV CA中心进行审核,审核完成后在CloudTV CA中心进行
备案;CloudTV CA中心会与本地的制造商本地CA系统进行文件备份,使本地即
可实现用户在CloudTV CA中心的证书管理,当用户启动云端电视进行证书激活时,
本地的制造商本地CA系统在线签发用户证书。
二、基于统一证书的云电视终端证书激活的实现方法
用户在云电视终端联网状况下,开机将触发云电视终端证书(用户证书)的激活过
程,该过程实施的前提条件是云电视终端已预装制造商统一证书(p12证书)和制
造商服务器证书、内置安全代理,并保证云电视终端在安全存储区提供不同的安全
存储位置保存用户证书与制造商统一证书(即用户证书不能覆盖制造商统一证书)。
下面结合图4具体描述其执行过程:
①打开云电视,云电视终端内置的安全代理自动监测云电视终端是否已连接网络,
若未连接网络,则提示用户去连接网络以便获得更多个性化服务;若监测到已连接
了网络,则监测与本机匹配的数字证书是否存在或者是否已失效(即证书过期或撤
销CRL),若证书已存在且证书未失效,则停止用户证书激活过程,用户便可以
去获得个性化的服务;否则由安全代理读取云电视终端唯一设备号及相关硬件信息
(如CPU、GPU、RAM、MAC),生成用户的公私钥对,并自动导引访问制造商
门户,触发证书激活业务;
②由安全代理引导访问制造商门户,并使用制造商预装的统一证书(p12证书)与
制造商门户完成身份认证,建立起SSL安全通道;
③云电视终端内置的安全代理发送用户私钥签名的证书签发请求PKCS#10(包括
设备ID+公钥+设备信息的Hash+(或)可扩展的设备唯一性信息)到制造商门户;
④制造商门户通过本地CA系统证书服务接口向本厂商的本地CA系统转发证书签
发请求;
⑤本厂商的本地CA系统接收到证书签发请求后,启动证书签发服务,生成用户证
书,同时生成一个随机数,并对该随机数签名,一起返回给制造商门户;
⑥云电视终端接收从制造商门户传回的用户证书及随机数签名,并通过安全代理用
制造商服务器证书验证随机数签名,验证通过,安装用户证书;
⑦云电视终端通过安全代理使用自身的用户证书私钥对该随机数签名,并发送服务
器验证信息(随机数签名+用户证书+设备信息的Hash)给制造商门户;
⑧制造商门户验证接收到该信息后,转发给制造商本地CA系统,验证通过,并标
记该证书已激活,同时回传给云电视终端认证信息。
该过程执行完毕后为用户访问基本业务和增值业务提供信任支撑,建立起用户自身
的网络信任源,是云电视用户能享受个性化服务的重要前提。激活过程不需要统一
身份认证中心系统认证,该过程是云电视终端和制造商本地CA系统两者参与完成
的。
三、基于云电视终端证书身份认证的实现方法
云电视终端用户要访问本地制造商门户的相关应用时,需要对用户身份进行认证,
该过程实施的前提条件是云电视终端已预装统一身份认证中心证书、内置安全代理,
并已执行完步骤2的所有操作,顺利安装用户证书(即用户证书已保存在安全存储
区,且存储位置与制造商统一证书不同)。该过程执行完毕后,用户就可以访问本
门户内各个应用资源,减少了登录频率,实现“一次认证,多点访问”。下面结合图
5具体描述其执行过程:
①用户发起访问制造商门户请求(如点击制造商门户按钮),云电视终端内置的安
全代理判断该用户是否获得了身份认证标识或者该标识是否已失效,若该用户已获
得身份认证标识且未失效,则停止该用户身份认证过程,用户便可以通过已获得的
未失效的身份认证标识去访问制造商门户内资源;否则制造商门户通过认证代理拦
截该访问请求,同时通过统一身份认证中心系统的认证接口向统一身份认证中心系
统转发认证请求;
②统一身份认证中心系统服务器产生随机数,使用统一身份认证中心证书私钥对随
机数签名,并通过认证代理将随机数以及随机数签名返回给云电视终端;
③云电视终端接收到上述信息后,通过内置的安全代理使用统一身份认证中心证书
公钥验证随机数签名的可靠性;
④若验证不通过,则停止该身份认证过程;若验证通过,则通过安全代理使用用户
证书私钥对随机数签名,并将用户证书和随机数签名通过认证代理一起转交给统一
身份认证中心系统进行验证;
⑤统一身份认证中心首先验证用户证书的有效性,若用户证书验证不通过,则判断
该用户是否被注销;若用户被注销,则停止该身份认证过程;若用户没有被注销,
则由统一身份认证中心系统通知安全代理执行用户证书激活(即第二步骤主要过
程);若用户证书验证通过,则验证签名值,若签名值验证不通过,则停止该身份
认证过程;若签名值验证通过,则执行下一步;
⑥若签名值和用户证书验证都通过,则该用户是合法的注册用户,允许用户访问制
造商门户,同时设置身份认证标识(如会话cookie或者持久cookies)标记该用户
已获得合法认证,返回认证信息(如设置cookie标识值表明认证已通过)到云电
视终端,并展现制造商门户主界面。
四、基于跨云应用的云电视终端证书身份断言的实现方法
本身域内访问是身份认证该用户合法就可以了;而跨云访问则需要为用户开发身份
断言凭证(相当于介绍信)。用户拿到身份断言凭证去云服务商那里换取云服务访
问的令牌,真正能访问云服务资源的是云服务商的云服务访问令牌。
云电视终端用户要访问除本地制造商门户之外的相关应用时,需要为云应用服务商
提供用户身份的身份断言凭证(如SAML,WS-Federation,JWT
(JSON Web Token)),该过程实施的前提条件是云电视终端已预装统一身份认
证中心证书、内置安全代理,并已执行完步骤2的所有操作,顺利安装用户证书
(即用户证书已保存在安全存储区,且存储位置与制造商统一证书不同)。下面结
合图6具体描述其执行过程:
①用户发起访问跨云应用App请求(如点击云服务商App客户端按钮),云电视
终端内置的安全代理判断该用户是否获得了身份断言凭证或者该凭证是否已失效,
若该用户已获得身份断言凭证且未失效,则停止该用户身份断言过程,用户便可以
通过已获得的未失效的身份断言凭证实现与跨云应用服务提供商的身份联合,并由
云服务提供商依据自身的业务逻辑,提供用户合法云服务访问令牌,以方便用户访
问云应用服务;否则由云应用客户端(如云服务商App客户端)通过认证代理拦
截该访问请求,同时通过统一身份认证中心系统的认证接口向统一身份认证中心系
统转发认证请求;
②统一身份认证中心系统服务器产生随机数,使用统一身份认证中心证书私钥对随
机数签名,并通过认证代理将随机以及随机数签名返回给云电视终端;
③云电视终端接收到上述信息后,通过内置的安全代理使用统一身份认证中心证书
公钥验证随机数签名的可靠性;
④若验证不通过,则停止该身份断言过程;若验证通过,则通过安全代理使用用户
证书私钥对随机数签名,并将用户证书和随机数签名通过认证代理一起转交给统一
身份认证中心系统进行验证;
⑤统一身份认证中心系统验证签名值,验证用户证书的有效性(该过程同步骤三的
第⑤步);
⑥若签名值和用户证书验证都通过,则用户是合法的注册用户,将为用户颁发统一
身份认证中心系统签发的身份断言凭证(如SAML),同时设置身份断言凭证的
有效期。返回认证信息给云电视终端。
该过程执行完毕后,用户就可以通过拿到的身份断言凭证,去建立可靠的域间用户
的身份联合,实现多系统、多平台的互联互通,全面提升用户跨云应用的用户体验。
版权声明:本文标题:一种面向云电视终端身份认证实现方法及系统 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/dianzi/1714276439a396317.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论