CN103237235A - 一种面向云电视终端身份认证实现方法及系统 - Google Patents
一种面向云电视终端身份认证实现方法及系统 Download PDFInfo
- Publication number
- CN103237235A CN103237235A CN2013100860431A CN201310086043A CN103237235A CN 103237235 A CN103237235 A CN 103237235A CN 2013100860431 A CN2013100860431 A CN 2013100860431A CN 201310086043 A CN201310086043 A CN 201310086043A CN 103237235 A CN103237235 A CN 103237235A
- Authority
- CN
- China
- Prior art keywords
- certificate
- manufacturer
- cloud
- user
- television terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)
Abstract
本发明涉及一种面向云电视终端身份认证访问方法及系统,基于PKI证书体系的两级云电视终端证书CA中心,同时在云电视终端预装统一数字证书,形成云电视终端的信任根,并建立云电视终端的统一身份认证中心系统。构建服务于云电视制造商、云电视终端用户、应用程序开发商等云电视产业链成员的云电视终端身份信任基础设施。本发明采用了基于PKI证书体系的两级云电视终端CA中心,同时采用PKI的数字证书技术及统一身份认证中心的身份认证和身份断言服务。本发明用户管理成本低、安全性高、登录频率少和跨域访问便利。
Description
技术领域
本发明属于信息安全中的身份认证领域,具体涉及一种云电视终端身份认证实现方法。
背景技术
在云计算、物联网新一代网络场景中,身份认证是一个最重要的因素,也是整个信息安全体系的基础。云电视作为智能电视与物联网、云计算等新兴技术的融合体,引领了国内外彩电产业的发展方向,是智能电视发展的高级阶段。传统的身份认证技术,诸如静态口令、动态口令、矩阵卡技术、对称加密技术和公私钥技术,已不能满足云电视终端发展的需要。同时,面对一种新兴的事物,相关的组织和机构还没有明确地提出较为完善的身份认证体系。如何在云电视这种云端设备,应对基本业务及不断扩展的增值业务,确定访问者的真实身份;如何解决不同业务实体在不同网络、不同业务间建立可靠的身份认证的共享服务,避免由异构认证机制带来的复杂性,提升了实体用户对网络和业务的使用效率、提高身份信息的安全性。要真正地解决这些问题需要实现基于PKI的数字证书作为安全基础设施为其提供可靠安全服务的可信身份标识体系。近年来,一些企业组织和科研机构已经将基于PKI数字证书的技术,广泛的应用于Android、IOS等智能化设备中,并且取得了良好的效果。该技术有效地满足了智能化设备的多业务需求、基础安全保障等场景,实现各业务系统的互通互联的访问,所以需要可信的云电视身份标识体系,加速云电视产业链的发展。
发明内容
本方案拟建立基于PKI证书体系的两级云电视终端证书CA中心,及在云电视终端预装统一数字证书,形成云电视终端的信任根,并建立云电视终端的统一身份认证中心系统。在此基础上,通过安全、实用、具有法律效力的数字证书有效地解决云电视终端各应用系统在身份认证、授权管理、责任认定等方面的安全风险,提升各应用系统信息安全保障能力。其核心是构建服务于云电视制造商、云电视终端用户、应用程序开发商等云电视产业链成员的云电视终端身份信任基础设施。
简要介绍本方案的基本思想,具体来说,本发明技术方案包括下列几个方面:
方面一:建立基于PKI证书体系的两级云电视终端证书CA中心,为云电视终端证书(用户证书)的生产、运营和管理提供基础服务。同时该两级证书CA中心可快速的建立两级用户管理体系,降低用户管理的成本,为构建云电视行业的安全基础设施奠定坚实的基础。
方面二:借助云电视终端预装的统一证书的信任根,实现自身云电视终端证书(用户证书)激活,帮助厂商和公共服务机构掌握用户的活跃度,同时为用户访问基本业务和增值业务提供信任支撑。
方面三:由于云电视终端用户访问本地制造商门户时,需要统一身份认证中心系统的身份认证服务为其提供可信的用户登录的身份证明,以方便用户访问本门户内各个应用资源,以减少了登录频率,实现“一次认证,多点访问”。
方面四:由于云电视终端用户访问除本制造商门户之外的不同云服务提供商的资源时,需要统一身份认证中心系统的身份断言服务为用户颁发身份断言凭证(如SAML、WS-federation、JWT)。该凭证可为用户建立起可靠的域间用户身份联合,从而有效地解决用户跨云访问云资源服务提供商的各种应用,实现多系统、多平台的互联互通,全面提升了各种跨云应用的用户体验。
本发明具体方案如下:一种面向云电视终端身份认证访问方法,其步骤包括:
1)在云电视终端中内置安全代理、预装统一证书,同时设置一个云电视终端CloudTV CA中心、各制造商本地CA系统、一般性运行CA系统、本地制造商门户和/或云服务App客户端上的认证代理和统一身份认证中心系统;
2)根据PKI证书体系将所述云电视终端CloudTV CA中心和制造商本地CA系统建立为两级证书管理中心,所述制造商本地CA系统根据所述云电视终端CloudTV CA中心签发的授权证书在权限范围内对所述云电视终端进行用户证书在线签发;
3)用户在云电视终端联网状况下对云电视终端上所述用户证书进行激活,根据云电视终端设备号及出厂时设定的硬件信息生成用户的公私钥对,通过本地制造商门户中的CA系统证书服务接口,访问所述制造商本地CA系统,触发证书激活业务;
4)完成证书激活业务后对本地制造商门户内应用和/或云端服务商应用进行访问;
4-1)访问本地制造商门户时,用户在所述云电视终端先进行用户身份认证,若认证通过,则对本地制造商门户内应用进行访问;
4-2)访问云应用服务商应用时,用户先在云电视终端为云应用服务商提供身份断言凭证,云服务商通过该断言凭证实现用户对云应用的访问。
所述CloudTV CA中心是按照如下方法建立两级证书中心的:
1)所述CloudTV CA中心通过离线根CA系统统一签发一般性运行CA的根证书以及各制造商本地CA的根证书;
2)根据所述CloudTV CA中心的CA管理系统为各制造商本地CA进行证书签发授权,各制造商根据自身生产规模向CloudTV CA中心申请证书签发授权,获取相应的许可配置到自身本地CA系统中;
3)各制造商本地CA系统将在线为终端签发证书,同时将签发的证书自动同步到CloudTVCA中心进行备案管理。
所述制造商本地CA系统对所述云电视终端进行用户证书签发的方法如下:
①云电视制造商本地CA系统部署完成以后,根据自身生产计划向CloudTV CA中心申请证书签发许可授权;
②CloudTV CA中心审核申请,通过后初始化云电视制造商本地CA系统,对用户证书在线签发;
③每台云电视终端借助预装的统一证书,依据需求向本地制造商CA系统申请在线签发自身的云电视终端用户证书;
④云电视制造商本地CA系统定期自动将在线签发的证书同步到CloudTV CA中心进行备案统计。
更进一步,访问本地制造商门户时,用户在所述云电视终端先进行用户身份认证需满足:
所述云电视终端预装制造商统一证书和制造商服务器证书、内置安全代理,并保证云电视终端在安全存储区提供不同的安全存储位置保存用户证书与制造商统一证书。
更进一步,对云电视终端上所述用户证书进行激活的方法如下:
a.若证书未激活,由安全代理读取云电视终端唯一设备号及相关硬件信息,生成用户的公私钥对,并自动导引访问制造商门户,触发证书激活业务;
b.由安全代理引导访问制造商门户,并使用预装的制造商统一证书与制造商门户完成身份认证,建立起SSL安全通道;
c.所述云电视终端内置的安全代理发送用户私钥签名的证书签发请求到制造商门户;
d.所述制造商门户通过本地CA系统证书服务接口向本厂商的本地CA系统转发证书签发请求;
e.本厂商的本地CA系统接收到证书签发请求后,启动证书签发服务,生成用户证书,同时生成一个随机数,并对该随机数签名,一并返回给制造商门户;
f.云电视终端接收从制造商门户传回的用户证书及随机数签名,并通过安全代理用制造商服务器证书验证随机数签名,验证通过安装用户证书。
优选地,对云电视终端上所述用户证书激活证书验证的方法为:
A.云电视终端通过安全代理使用自身的用户证书私钥对该随机数签名,并发送服务器验证信息给制造商门户;
B.制造商门户验证接收到该信息后,转发给制造商本地CA系统,验证通过,并标记该证书已激活,同时回传给云电视终端认证信息。
可选地,用户在云电视终端为云应用服务商提供身份断言凭证需满足:
云电视终端已预装统一身份认证中心证书、内置安全代理以及已执行完激活业务操作,同时用户证书已保存在安全存储区,且存储位置与制造商统一证书不同。
更进一步,访问本地制造商门户时,用户在所述云电视终端进行用户身份认证方法为:
A.用户发起访问制造商门户请求到云电视终端内置的安全代理,制造商门户通过认证代理拦截该访问请求,同时通过统一身份认证中心系统的认证接口向统一身份认证中心系统转发认证请求;
B.所述统一身份认证中心系统服务器产生随机数,使用统一身份认证中心证书私钥对随机数签名,并通过认证代理将随机数以及随机数签名返回给云电视终端;
C.云电视终端接收到上述信息后,通过内置的安全代理使用统一身份认证中心证书公钥验证随机数签名的可靠性;
D.若验证不通过,则停止该身份认证过程;若验证通过,则通过安全代理使用用户证书私钥对随机数签名,并将用户证书和随机数签名通过认证代理一起转交给统一身份认证中心系统进行验证;
E.统一身份认证中心首先验证用户证书,若签名值和用户证书验证都通过,则该用户是合法的注册用户,允许用户访问制造商门户,同时设置身份认证标识标记该用户已获得合法认证,返回认证信息到云电视终端。
可选地,访问云应用服务商应用App时,用户在云电视终端为云应用服务商提供身份断言凭证的方法为:
①用户发起访问跨云应用App请求,云电视终端内置的安全代理判断该用户是否获得了身份断言凭证或者该凭证是否已失效,若失效或未获得凭证则由云应用客户端通过认证代理拦截该访问请求,同时通过统一身份认证中心系统的认证接口向统一身份认证中心系统转发认证请求;
②所述统一身份认证中心系统服务器产生随机数,使用统一身份认证中心证书私钥对随机数签名,并通过认证代理将随机数以及随机数签名返回给云电视终端;
③云电视终端接收到上述信息后,通过内置的安全代理使用统一身份认证中心证书公钥验证随机数签名的可靠性;
④验证通过后通过安全代理使用用户证书私钥对随机数签名,并将用户证书和随机数签名通过认证代理一起转交给统一身份认证中心系统进行验证;
⑤统一身份认证中心系统验证签名值,验证用户证书的有效性;
⑥若签名值和用户证书验证都通过,则用户是合法的注册用户,将为用户颁发统一身份认证中心系统签发的身份断言凭证,同时设置身份断言凭证的有效期,返回认证信息给云电视终端。
基于访问方法本发明还提出一种面向云电视终端身份认证访问系统,包括:一统一身份认证中心系统、一云电视终端CloudTV CA中心、一一般性运行CA系统、多个制造商本地CA系统、多个云电视终端以及本地制造商门户/云服务客户端上的认证代理;
所述云电视终端,内置安全代理、预装统一证书,为用户提供本地及云端服务;
所述统一身份认证中心系统,为用户提供身份认证和断言服务;
所述本地制造商门户/云服务客户端上的认证代理,负责拦截和转发认证请求和认证回复信息;
所述一般性运行CA系统,负责签发面向服务部门的证书,如为统一身份中心系统颁发服务器证书;
所述制造商本地CA系统,制造商管理员根据自身生产计划申请签发许可授权,在签发权限内在线地签发用户证书,同时会在一段时间间隔内上传至CloudTV CA中心,完成与云电视终端CloudTV CA中心的文件交互和备份;
所述云电视终端CloudTV CA中心,根据PKI证书体系建立两级云电视终端证书CA中心的一级CA,负责签发一般性运行CA的根证书和各制造商本地CA的根证书。
本发明与现有技术相比,具有以下显著优点:
用户管理成本低、安全性高、登录频率少和跨域访问便利。由于本发明采用了基于PKI证书体系的两级云电视终端证书CA中心,同时采用PKI的数字证书技术及统一身份认证中心的身份认证和身份断言服务,因此用户管理成本低、安全性高、登录频率少和跨域访问便利。
附图说明
下面结合附图对本发明作进一步的说明。
图1为本发明实施总体框架;
图2两级云电视终端证书CA中心结构图;
图3制造商本地CA系统与CloudTV CA中心、云电视终端数据流及交互关系图;
图4云电视终端证书(用户证书)激活流程图;
图5云电视终端身份认证流程图;
图6云电视终端身份断言流程图。
具体实施方式
为使本发明的目的、优点以及技术方案更加清楚明白,以下通过具体实施,并结合附图,对本发明进一步详细说明。
对于图1从整体上描述了该方案实施的总体框架,主要包括下面四部分的内容。
一、基于PKI证书体系的两级云电视终端证书证书管理机构CA中心的实现方法
每个云电视制造厂商分别部署一套制造商本地证书管理机构CA系统,负责为本厂商的云电视签发数字证书,同时在每台云电视终端中内置安全代理、预装统一证书(包括制造商统一证书(即各制造商证书)、制造商服务器证书和统一身份认证中心证书)。从图2可以看出两级主要分为:第一级是云电视终端CA中心;第二级是制造商本地CA系统和一般性运行CA系统。第一级负责颁发第二级的证书,授权二级CA具备签发能力及备份和统计二级CA签发的证书。第二级负责为云电视终端颁发用户证书和为各个服务部门颁发服务器证书,各个服务部门之一指如统一身份认证中心。结合图2对云电视终端CA中心(CloudTV CA中心)与制造商本地CA系统的关系说明如下:
1)CloudTV CA中心作为云电视产业链信任源的起点,通过该中心的离线根CA系统统一签发各制造商本地CA的根证书(制造商本地CA系统负责签发本云电视终端的用户证书)和一般性运行CA的根证书(一般性运行CA系统负责签发面向服务部门的证书,如为统一身份中心系统颁发服务器证书);
2)通过CloudTV CA中心的CA管理系统为各制造商本地CA系统进行证书签发授权,各制造商根据自身生产规模向CloudTV CA中心申请证书签发授权,获取相应的License配置到自身本地CA系统之中;
3)各制造商本地CA系统将在线为终端签发证书,同时将签发的证书自动同步到CloudTVCA中心,接受中心的统一备案管理。
为了进一步详细的描述制造商本地CA系统与CloudTV CA中心、云电视终端的关系,结合图3对其数据流及交互过程进行说明,如下:
①云电视制造商本地CA系统部署完成以后,根据自身生产计划向CloudTV CA中心申请证书签发License授权;
②CloudTV CA中心审核申请,通过后初始化云电视制造商本地CA系统,使其具备证书在线签发的能力;
③每台云电视终端借助预装的统一证书,依据需求向本地制造商CA系统申请在线签发自身的云电视终端证书(用户证书),此过程为用户证书的激活,将在步骤二中进行详细介绍;
④云电视制造商本地CA系统定期自动将在线签发的证书同步到CloudTV CA中心进行备案和统计管理。
上述过程相比与现有技术不同之处在于采用了两级证书认证的方法,通过两级证书CA,减轻了中心CA的证书管理负担,再就是制造商自己管理自己的用户,减轻了用户管理负担。
CloudTV CA中心主要的功能就是统计整体证书数量、备案用户证书和负责签发二级证书,授权二级中心具备签发授权能力。
建立了本地制造商、具有签发能力的制造商本地CA系统、CloudTV CA中心以及云电视终端四方的依赖关系,制造商管理员首先会根据生产计划申请签发license授权,然后发往CloudTV CA中心进行审核,审核完成后在CloudTV CA中心进行备案;CloudTV CA中心会与本地的制造商本地CA系统进行文件备份,使本地即可实现用户在CloudTV CA中心的证书管理,当用户启动云端电视进行证书激活时,本地的制造商本地CA系统在线签发用户证书。
二、基于统一证书的云电视终端证书激活的实现方法
用户在云电视终端联网状况下,开机将触发云电视终端证书(用户证书)的激活过程,该过程实施的前提条件是云电视终端已预装制造商统一证书(p12证书)和制造商服务器证书、内置安全代理,并保证云电视终端在安全存储区提供不同的安全存储位置保存用户证书与制造商统一证书(即用户证书不能覆盖制造商统一证书)。下面结合图4具体描述其执行过程:
①打开云电视,云电视终端内置的安全代理自动监测云电视终端是否已连接网络,若未连接网络,则提示用户去连接网络以便获得更多个性化服务;若监测到已连接了网络,则监测与本机匹配的数字证书是否存在或者是否已失效(即证书过期或撤销CRL),若证书已存在且证书未失效,则停止用户证书激活过程,用户便可以去获得个性化的服务;否则由安全代理读取云电视终端唯一设备号及相关硬件信息(如CPU、GPU、RAM、MAC),生成用户的公私钥对,并自动导引访问制造商门户,触发证书激活业务;
②由安全代理引导访问制造商门户,并使用制造商预装的统一证书(p12证书)与制造商门户完成身份认证,建立起SSL安全通道;
③云电视终端内置的安全代理发送用户私钥签名的证书签发请求PKCS#10(包括设备ID+公钥+设备信息的Hash+(或)可扩展的设备唯一性信息)到制造商门户;
④制造商门户通过本地CA系统证书服务接口向本厂商的本地CA系统转发证书签发请求;
⑤本厂商的本地CA系统接收到证书签发请求后,启动证书签发服务,生成用户证书,同时生成一个随机数,并对该随机数签名,一起返回给制造商门户;
⑥云电视终端接收从制造商门户传回的用户证书及随机数签名,并通过安全代理用制造商服务器证书验证随机数签名,验证通过,安装用户证书;
⑦云电视终端通过安全代理使用自身的用户证书私钥对该随机数签名,并发送服务器验证信息(随机数签名+用户证书+设备信息的Hash)给制造商门户;
⑧制造商门户验证接收到该信息后,转发给制造商本地CA系统,验证通过,并标记该证书已激活,同时回传给云电视终端认证信息。
该过程执行完毕后为用户访问基本业务和增值业务提供信任支撑,建立起用户自身的网络信任源,是云电视用户能享受个性化服务的重要前提。激活过程不需要统一身份认证中心系统认证,该过程是云电视终端和制造商本地CA系统两者参与完成的。
三、基于云电视终端证书身份认证的实现方法
云电视终端用户要访问本地制造商门户的相关应用时,需要对用户身份进行认证,该过程实施的前提条件是云电视终端已预装统一身份认证中心证书、内置安全代理,并已执行完步骤2的所有操作,顺利安装用户证书(即用户证书已保存在安全存储区,且存储位置与制造商统一证书不同)。该过程执行完毕后,用户就可以访问本门户内各个应用资源,减少了登录频率,实现“一次认证,多点访问”。下面结合图5具体描述其执行过程:
①用户发起访问制造商门户请求(如点击制造商门户按钮),云电视终端内置的安全代理判断该用户是否获得了身份认证标识或者该标识是否已失效,若该用户已获得身份认证标识且未失效,则停止该用户身份认证过程,用户便可以通过已获得的未失效的身份认证标识去访问制造商门户内资源;否则制造商门户通过认证代理拦截该访问请求,同时通过统一身份认证中心系统的认证接口向统一身份认证中心系统转发认证请求;
②统一身份认证中心系统服务器产生随机数,使用统一身份认证中心证书私钥对随机数签名,并通过认证代理将随机数以及随机数签名返回给云电视终端;
③云电视终端接收到上述信息后,通过内置的安全代理使用统一身份认证中心证书公钥验证随机数签名的可靠性;
④若验证不通过,则停止该身份认证过程;若验证通过,则通过安全代理使用用户证书私钥对随机数签名,并将用户证书和随机数签名通过认证代理一起转交给统一身份认证中心系统进行验证;
⑤统一身份认证中心首先验证用户证书的有效性,若用户证书验证不通过,则判断该用户是否被注销;若用户被注销,则停止该身份认证过程;若用户没有被注销,则由统一身份认证中心系统通知安全代理执行用户证书激活(即第二步骤主要过程);若用户证书验证通过,则验证签名值,若签名值验证不通过,则停止该身份认证过程;若签名值验证通过,则执行下一步;
⑥若签名值和用户证书验证都通过,则该用户是合法的注册用户,允许用户访问制造商门户,同时设置身份认证标识(如会话cookie或者持久cookies)标记该用户已获得合法认证,返回认证信息(如设置cookie标识值表明认证已通过)到云电视终端,并展现制造商门户主界面。
四、基于跨云应用的云电视终端证书身份断言的实现方法
本身域内访问是身份认证该用户合法就可以了;而跨云访问则需要为用户开发身份断言凭证(相当于介绍信)。用户拿到身份断言凭证去云服务商那里换取云服务访问的令牌,真正能访问云服务资源的是云服务商的云服务访问令牌。
云电视终端用户要访问除本地制造商门户之外的相关应用时,需要为云应用服务商提供用户身份的身份断言凭证(如SAML,WS-Federation,JWT(JSON Web Token)),该过程实施的前提条件是云电视终端已预装统一身份认证中心证书、内置安全代理,并已执行完步骤2的所有操作,顺利安装用户证书(即用户证书已保存在安全存储区,且存储位置与制造商统一证书不同)。下面结合图6具体描述其执行过程:
①用户发起访问跨云应用App请求(如点击云服务商App客户端按钮),云电视终端内置的安全代理判断该用户是否获得了身份断言凭证或者该凭证是否已失效,若该用户已获得身份断言凭证且未失效,则停止该用户身份断言过程,用户便可以通过已获得的未失效的身份断言凭证实现与跨云应用服务提供商的身份联合,并由云服务提供商依据自身的业务逻辑,提供用户合法云服务访问令牌,以方便用户访问云应用服务;否则由云应用客户端(如云服务商App客户端)通过认证代理拦截该访问请求,同时通过统一身份认证中心系统的认证接口向统一身份认证中心系统转发认证请求;
②统一身份认证中心系统服务器产生随机数,使用统一身份认证中心证书私钥对随机数签名,并通过认证代理将随机以及随机数签名返回给云电视终端;
③云电视终端接收到上述信息后,通过内置的安全代理使用统一身份认证中心证书公钥验证随机数签名的可靠性;
④若验证不通过,则停止该身份断言过程;若验证通过,则通过安全代理使用用户证书私钥对随机数签名,并将用户证书和随机数签名通过认证代理一起转交给统一身份认证中心系统进行验证;
⑤统一身份认证中心系统验证签名值,验证用户证书的有效性(该过程同步骤三的第⑤步);
⑥若签名值和用户证书验证都通过,则用户是合法的注册用户,将为用户颁发统一身份认证中心系统签发的身份断言凭证(如SAML),同时设置身份断言凭证的有效期。返回认证信息给云电视终端。
该过程执行完毕后,用户就可以通过拿到的身份断言凭证,去建立可靠的域间用户的身份联合,实现多系统、多平台的互联互通,全面提升用户跨云应用的用户体验。
Claims (10)
1.一种面向云电视终端身份认证访问方法,其步骤包括:
1)在云电视终端中内置安全代理、预装统一证书,同时设置一个云电视终端CloudTV CA中心、各制造商本地CA系统、一般性运行CA系统、本地制造商门户和/或云服务App客户端上的认证代理和统一身份认证中心系统;
2)根据PKI证书体系将所述云电视终端CloudTV CA中心和制造商本地CA系统建立为两级证书管理中心,所述制造商本地CA系统根据所述云电视终端CloudTV CA中心签发的授权证书在权限范围内对所述云电视终端进行用户证书在线签发;
3)用户在云电视终端联网状况下对云电视终端上所述用户证书进行激活,根据云电视终端设备号及出厂时设定的硬件信息生成用户的公私钥对,通过本地制造商门户中的CA系统证书服务接口,访问所述制造商本地CA系统,触发证书激活业务;
4)完成证书激活业务后对本地制造商门户内应用和/或云端服务商应用进行访问;
4-1)访问本地制造商门户时,用户在所述云电视终端先进行用户身份认证,若认证通过,则对本地制造商门户内应用进行访问;
4-2)访问云应用服务商应用时,用户先在云电视终端为云应用服务商提供身份断言凭证,云服务商通过该断言凭证实现用户对云应用的访问。
2.如权利要求1所述的面向云电视终端身份认证访问方法,其特征在于,所述CloudTV CA中心是按照如下方法建立两级证书中心的:
1)所述CloudTV CA中心通过离线根CA系统统一签发一般性运行CA的根证书以及各制造商本地CA的根证书;
2)根据所述CloudTV CA中心的CA管理系统为各制造商本地CA进行证书签发授权,各制造商根据自身生产规模向CloudTV CA中心申请证书签发授权,获取相应的许可配置到自身本地CA系统中;
3)各制造商本地CA系统将在线为终端签发证书,同时将签发的证书自动同步到CloudTV CA中心进行备案管理。
3.如权利要求1所述的面向云电视终端身份认证访问方法,其特征在于,所述制造商本地CA系统对所述云电视终端进行用户证书签发的方法如下:
①云电视制造商本地CA系统部署完成以后,根据自身生产计划向CloudTV CA中心申请证书签发许可授权;
②CloudTV CA中心审核申请,通过后初始化云电视制造商本地CA系统,对用户证书在线签发;
③每台云电视终端借助预装的统一证书,依据需求向本地制造商CA系统申请在线签发自身的云电视终端用户证书;
④云电视制造商本地CA系统定期自动将在线签发的证书同步到CloudTV CA中心进行备案统计。
4.如权利要求1所述的面向云电视终端身份认证访问方法,其特征在于,访问本地制造商门户时,用户在所述云电视终端先进行用户身份认证需满足:
所述云电视终端预装制造商统一证书和制造商服务器证书、内置安全代理,并保证云电视终端在安全存储区提供不同的安全存储位置保存用户证书与制造商统一证书。
5.如权利要求4所述的面向云电视终端身份认证访问方法,其特征在于,对云电视终端上所述用户证书进行激活的方法如下:
a.若证书未激活,由安全代理读取云电视终端唯一设备号及相关硬件信息,生成用户的公私钥对,并自动导引访问制造商门户,触发证书激活业务;
b.由安全代理引导访问制造商门户,并使用预装的制造商统一证书与制造商门户完成身份认证,建立起SSL安全通道;
c.所述云电视终端内置的安全代理发送用户私钥签名的证书签发请求到制造商门户;
d.所述制造商门户通过本地CA系统证书服务接口向本厂商的本地CA系统转发证书签发请求;
e.本厂商的本地CA系统接收到证书签发请求后,启动证书签发服务,生成用户证书,同时生成一个随机数,并对该随机数签名,一并返回给制造商门户;
f.云电视终端接收从制造商门户传回的用户证书及随机数签名,并通过安全代理用制造商服务器证书验证随机数签名,验证通过安装用户证书。
6.如权利要求1所述的面向云电视终端身份认证访问方法,其特征在于,对云电视终端上所述用户证书激活证书验证的方法为:
A.云电视终端通过安全代理使用自身的用户证书私钥对该随机数签名,并发送服务器验证信息给制造商门户;
B.制造商门户验证接收到该信息后,转发给制造商本地CA系统,验证通过,并标记该证书已激活,同时回传给云电视终端认证信息。
7.如权利要求1所述的面向云电视终端身份认证访问方法,其特征在于,用户在云电视终端为云应用服务商提供身份断言凭证需满足:
云电视终端已预装统一身份认证中心证书、内置安全代理以及已执行完激活业务操作,同时用户证书已保存在安全存储区,且存储位置与制造商统一证书不同。
8.如权利要求1所述的面向云电视终端身份认证访问方法,其特征在于,访问本地制造商门户时,用户在所述云电视终端进行用户身份认证方法为:
A.用户发起访问制造商门户请求到云电视终端内置的安全代理,制造商门户通过认证代理拦截该访问请求,同时通过统一身份认证中心系统的认证接口向统一身份认证中心系统转发认证请求;
B.所述统一身份认证中心系统服务器产生随机数,使用统一身份认证中心证书私钥对随机数签名,并通过认证代理将随机数以及随机数签名返回给云电视终端;
C.云电视终端接收到上述信息后,通过内置的安全代理使用统一身份认证中心证书公钥验证随机数签名的可靠性;
D.若验证不通过,则停止该身份认证过程;若验证通过,则通过安全代理使用用户证书私钥对随机数签名,并将用户证书和随机数签名通过认证代理一起转交给统一身份认证中心系统进行验证;
E.统一身份认证中心首先验证用户证书,若签名值和用户证书验证都通过,则该用户是合法的注册用户,允许用户访问制造商门户,同时设置身份认证标识标记该用户已获得合法认证,返回认证信息到云电视终端。
9.如权利要求1所述的面向云电视终端身份认证访问方法,其特征在于,访问云应用服务商应用App时,用户在云电视终端为云应用服务商提供身份断言凭证的方法为:
①用户发起访问跨云应用App请求,云电视终端内置的安全代理判断该用户是否获得了身份断言凭证或者该凭证是否已失效,若失效或未获得凭证则由云应用客户端通过认证代理拦截该访问请求,同时通过统一身份认证中心系统的认证接口向统一身份认证中心系统转发认证请求;
②所述统一身份认证中心系统服务器产生随机数,使用统一身份认证中心证书私钥对随机数签名,并通过认证代理将随机数以及随机数签名返回给云电视终端;
③云电视终端接收到上述信息后,通过内置的安全代理使用统一身份认证中心证书公钥验证随机数签名的可靠性;
④验证通过后通过安全代理使用用户证书私钥对随机数签名,并将用户证书和随机数签名通过认证代理一起转交给统一身份认证中心系统进行验证;
⑤统一身份认证中心系统验证签名值,验证用户证书的有效性;
⑥若签名值和用户证书验证都通过,则用户是合法的注册用户,将为用户颁发统一身份认证中心系统签发的身份断言凭证,同时设置身份断言凭证的有效期,返回认证信息给云电视终端。
10.一种面向云电视终端身份认证访问系统,其特征在于,包括:一统一身份认证中心系统、一云电视终端CloudTV CA中心、一一般性运行CA系统、多个制造商本地CA系统、多个云电视终端以及本地制造商门户/云服务客户端上的认证代理;
所述云电视终端,内置安全代理、预装统一证书,为用户提供本地及云端服务;
所述统一身份认证中心系统,为用户提供身份认证和断言服务;
所述本地制造商门户/云服务客户端上的认证代理,负责拦截和转发认证请求和认证回复信息;
所述一般性运行CA系统,负责签发面向服务部门的证书,包括统一身份中心系统颁发服务器证书;
所述制造商本地CA系统,制造商管理员根据自身生产计划申请签发许可授权,在签发权限内在线地签发用户证书,同时会在一段时间间隔内上传至CloudTV CA中心,完成与云电视终端CloudTV CA中心的文件交互和备份;
所述云电视终端CloudTV CA中心,根据PKI证书体系建立两级云电视终端证书CA中心的一级CA,负责签发一般性运行CA的根证书和各制造商本地CA的根证书。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310086043.1A CN103237235B (zh) | 2013-03-18 | 2013-03-18 | 一种面向云电视终端身份认证实现方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310086043.1A CN103237235B (zh) | 2013-03-18 | 2013-03-18 | 一种面向云电视终端身份认证实现方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103237235A true CN103237235A (zh) | 2013-08-07 |
| CN103237235B CN103237235B (zh) | 2016-01-20 |
Family
ID=48885247
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310086043.1A Expired - Fee Related CN103237235B (zh) | 2013-03-18 | 2013-03-18 | 一种面向云电视终端身份认证实现方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103237235B (zh) |
Cited By (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103532981A (zh) * | 2013-10-31 | 2014-01-22 | 中国科学院信息工程研究所 | 一种面向多租户的身份托管鉴权云资源访问控制系统及控制方法 |
| CN104751046A (zh) * | 2013-12-25 | 2015-07-01 | 中国移动通信集团公司 | 一种应用程序的用户认证方法及移动终端设备 |
| CN104902291A (zh) * | 2015-05-20 | 2015-09-09 | 中国科学院信息工程研究所 | 一种Android智能电视敏感数据安全增强方法 |
| WO2016078419A1 (zh) * | 2014-11-20 | 2016-05-26 | 中兴通讯股份有限公司 | 一种开放授权方法、装置及开放平台 |
| CN106027469A (zh) * | 2016-01-21 | 2016-10-12 | 李明 | 身份证认证信息处理请求的处理方法及身份证云认证装置 |
| CN107171805A (zh) * | 2017-05-17 | 2017-09-15 | 济南浪潮高新科技投资发展有限公司 | 一种物联网终端数字证书签发系统和方法 |
| CN107277020A (zh) * | 2017-06-23 | 2017-10-20 | 国民认证科技(北京)有限公司 | 基于公私钥体制的远程验证移动设备合法性的系统和方法 |
| CN107465681A (zh) * | 2017-08-07 | 2017-12-12 | 成都汇智远景科技有限公司 | 云计算大数据隐私保护方法 |
| CN107528853A (zh) * | 2017-09-12 | 2017-12-29 | 上海艾融软件股份有限公司 | 微服务权限控制的实现方法 |
| CN108200052A (zh) * | 2017-12-29 | 2018-06-22 | 北京握奇智能科技有限公司 | 基于移动终端的数字签名方法、装置以及移动终端 |
| CN110839005A (zh) * | 2018-08-17 | 2020-02-25 | 恩智浦美国有限公司 | 装置利用云平台的安全登记 |
| CN111163154A (zh) * | 2019-12-26 | 2020-05-15 | 衡水海博云科技有限公司 | 一种机器人身份证功能组件及其实现方法 |
| CN111490873A (zh) * | 2020-03-25 | 2020-08-04 | 上海物融智能科技有限公司 | 基于区块链的证书信息处理方法及系统 |
| CN111901119A (zh) * | 2020-06-21 | 2020-11-06 | 苏州浪潮智能科技有限公司 | 一种基于可信根的安全域隔离方法、系统及装置 |
| CN112087303A (zh) * | 2020-09-15 | 2020-12-15 | 炬星科技(深圳)有限公司 | 一种证书预置和签发方法、机器人及服务端 |
| CN112351048A (zh) * | 2021-01-11 | 2021-02-09 | 全时云商务服务股份有限公司 | 一种接口访问控制方法、装置、设备和存储介质 |
| WO2021195985A1 (zh) * | 2020-03-31 | 2021-10-07 | 京东方科技集团股份有限公司 | 用于许可认证的方法、节点、系统和计算机可读存储介质 |
| CN114567479A (zh) * | 2022-02-28 | 2022-05-31 | 中国科学院软件研究所 | 一种智能设备安全管控加固及监测预警方法 |
| CN115118454A (zh) * | 2022-05-25 | 2022-09-27 | 四川中电启明星信息技术有限公司 | 一种基于移动应用的级联认证系统及认证方法 |
| CN115208698A (zh) * | 2022-09-15 | 2022-10-18 | 中国信息通信研究院 | 基于区块链的物联网身份认证方法和装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101674304A (zh) * | 2009-10-15 | 2010-03-17 | 浙江师范大学 | 一种网络身份认证系统及方法 |
| CN102664739A (zh) * | 2012-04-26 | 2012-09-12 | 杜丽萍 | 一种基于安全证书的pki实现方法 |
| CN102710605A (zh) * | 2012-05-08 | 2012-10-03 | 重庆大学 | 一种云制造环境下的信息安全管控方法 |
-
2013
- 2013-03-18 CN CN201310086043.1A patent/CN103237235B/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101674304A (zh) * | 2009-10-15 | 2010-03-17 | 浙江师范大学 | 一种网络身份认证系统及方法 |
| CN102664739A (zh) * | 2012-04-26 | 2012-09-12 | 杜丽萍 | 一种基于安全证书的pki实现方法 |
| CN102710605A (zh) * | 2012-05-08 | 2012-10-03 | 重庆大学 | 一种云制造环境下的信息安全管控方法 |
Non-Patent Citations (2)
| Title |
|---|
| 朱玉涛,王雅哲,武传坤: ""两层架构的可信身份服务平台研究与设计"", 《计算机应用与软件》 * |
| 裴俐春,陈性元,王婷,张斌,徐震: ""一种基于信任度的跨异构域动态认证机制"", 《计算机应用》 * |
Cited By (34)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103532981B (zh) * | 2013-10-31 | 2016-08-17 | 中国科学院信息工程研究所 | 一种面向多租户的身份托管鉴权云资源访问控制系统及控制方法 |
| CN103532981A (zh) * | 2013-10-31 | 2014-01-22 | 中国科学院信息工程研究所 | 一种面向多租户的身份托管鉴权云资源访问控制系统及控制方法 |
| CN104751046B (zh) * | 2013-12-25 | 2018-11-23 | 中国移动通信集团公司 | 一种应用程序的用户认证方法及移动终端设备 |
| CN104751046A (zh) * | 2013-12-25 | 2015-07-01 | 中国移动通信集团公司 | 一种应用程序的用户认证方法及移动终端设备 |
| WO2016078419A1 (zh) * | 2014-11-20 | 2016-05-26 | 中兴通讯股份有限公司 | 一种开放授权方法、装置及开放平台 |
| CN104902291A (zh) * | 2015-05-20 | 2015-09-09 | 中国科学院信息工程研究所 | 一种Android智能电视敏感数据安全增强方法 |
| CN104902291B (zh) * | 2015-05-20 | 2017-09-29 | 中国科学院信息工程研究所 | 一种Android智能电视敏感数据安全增强方法 |
| CN106027469B (zh) * | 2016-01-21 | 2019-05-21 | 李明 | 身份证认证信息处理请求的处理方法及身份证云认证装置 |
| CN106027469A (zh) * | 2016-01-21 | 2016-10-12 | 李明 | 身份证认证信息处理请求的处理方法及身份证云认证装置 |
| CN107171805B (zh) * | 2017-05-17 | 2020-04-28 | 浪潮集团有限公司 | 一种物联网终端数字证书签发系统和方法 |
| CN107171805A (zh) * | 2017-05-17 | 2017-09-15 | 济南浪潮高新科技投资发展有限公司 | 一种物联网终端数字证书签发系统和方法 |
| CN107277020A (zh) * | 2017-06-23 | 2017-10-20 | 国民认证科技(北京)有限公司 | 基于公私钥体制的远程验证移动设备合法性的系统和方法 |
| CN107465681B (zh) * | 2017-08-07 | 2021-01-26 | 国网上海市电力公司 | 云计算大数据隐私保护方法 |
| CN107465681A (zh) * | 2017-08-07 | 2017-12-12 | 成都汇智远景科技有限公司 | 云计算大数据隐私保护方法 |
| CN107528853A (zh) * | 2017-09-12 | 2017-12-29 | 上海艾融软件股份有限公司 | 微服务权限控制的实现方法 |
| CN108200052A (zh) * | 2017-12-29 | 2018-06-22 | 北京握奇智能科技有限公司 | 基于移动终端的数字签名方法、装置以及移动终端 |
| CN108200052B (zh) * | 2017-12-29 | 2021-02-02 | 北京握奇智能科技有限公司 | 基于移动终端的数字签名方法、装置以及移动终端 |
| CN110839005A (zh) * | 2018-08-17 | 2020-02-25 | 恩智浦美国有限公司 | 装置利用云平台的安全登记 |
| CN110839005B (zh) * | 2018-08-17 | 2023-08-01 | 恩智浦美国有限公司 | 装置利用云平台的安全登记 |
| CN111163154A (zh) * | 2019-12-26 | 2020-05-15 | 衡水海博云科技有限公司 | 一种机器人身份证功能组件及其实现方法 |
| CN111490873A (zh) * | 2020-03-25 | 2020-08-04 | 上海物融智能科技有限公司 | 基于区块链的证书信息处理方法及系统 |
| CN111490873B (zh) * | 2020-03-25 | 2023-08-08 | 莘上信息技术(上海)有限公司 | 基于区块链的证书信息处理方法及系统 |
| US11790054B2 (en) | 2020-03-31 | 2023-10-17 | Boe Technology Group Co., Ltd. | Method for license authentication, and node, system and computer-readable storage medium for the same |
| WO2021195985A1 (zh) * | 2020-03-31 | 2021-10-07 | 京东方科技集团股份有限公司 | 用于许可认证的方法、节点、系统和计算机可读存储介质 |
| CN111901119A (zh) * | 2020-06-21 | 2020-11-06 | 苏州浪潮智能科技有限公司 | 一种基于可信根的安全域隔离方法、系统及装置 |
| CN111901119B (zh) * | 2020-06-21 | 2022-08-16 | 苏州浪潮智能科技有限公司 | 一种基于可信根的安全域隔离方法、系统及装置 |
| CN112087303A (zh) * | 2020-09-15 | 2020-12-15 | 炬星科技(深圳)有限公司 | 一种证书预置和签发方法、机器人及服务端 |
| CN112351048B (zh) * | 2021-01-11 | 2021-03-26 | 全时云商务服务股份有限公司 | 一种接口访问控制方法、装置、设备和存储介质 |
| CN112351048A (zh) * | 2021-01-11 | 2021-02-09 | 全时云商务服务股份有限公司 | 一种接口访问控制方法、装置、设备和存储介质 |
| CN114567479A (zh) * | 2022-02-28 | 2022-05-31 | 中国科学院软件研究所 | 一种智能设备安全管控加固及监测预警方法 |
| CN115118454B (zh) * | 2022-05-25 | 2023-06-30 | 四川中电启明星信息技术有限公司 | 一种基于移动应用的级联认证系统及认证方法 |
| CN115118454A (zh) * | 2022-05-25 | 2022-09-27 | 四川中电启明星信息技术有限公司 | 一种基于移动应用的级联认证系统及认证方法 |
| CN115208698A (zh) * | 2022-09-15 | 2022-10-18 | 中国信息通信研究院 | 基于区块链的物联网身份认证方法和装置 |
| CN115208698B (zh) * | 2022-09-15 | 2022-12-09 | 中国信息通信研究院 | 基于区块链的物联网身份认证方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103237235B (zh) | 2016-01-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103237235B (zh) | 一种面向云电视终端身份认证实现方法及系统 | |
| CN106850699B (zh) | 一种移动终端登录认证方法及系统 | |
| CN102201915B (zh) | 一种基于单点登录的终端认证方法和装置 | |
| CN103107996B (zh) | 数字证书在线下载方法及系统、数字证书发放平台 | |
| CN101340437B (zh) | 时间源校正方法及其系统 | |
| CN102457507B (zh) | 云计算资源安全共享方法、装置及系统 | |
| TW201822072A (zh) | 二維條碼的處理方法、裝置及系統 | |
| CN103051453B (zh) | 一种基于数字证书的移动终端网络安全交易系统与方法 | |
| CN101547095B (zh) | 基于数字证书的应用服务管理系统及管理方法 | |
| CN110677376B (zh) | 认证方法、相关设备和系统及计算机可读存储介质 | |
| CN105592003B (zh) | 一种基于通知的跨域单点登录方法及系统 | |
| EP2391083B1 (en) | Method for realizing authentication center and authentication system | |
| US20120084565A1 (en) | Cryptographic device that binds an additional authentication factor to multiple identities | |
| CN109544302A (zh) | 基于区块链的租房管理方法、电子装置 | |
| CN104508713A (zh) | 用于借助移动终端控制锁机构的方法和设备 | |
| CN103259663A (zh) | 一种云计算环境下的用户统一认证方法 | |
| CN103517273A (zh) | 认证方法、管理平台和物联网设备 | |
| CN110930147B (zh) | 离线支付方法、装置、电子设备及计算机可读存储介质 | |
| US20170070353A1 (en) | Method of managing credentials in a server and a client system | |
| CN110535648A (zh) | 电子凭证生成及验证和密钥控制方法、装置、系统和介质 | |
| WO2014048749A1 (en) | Inter-domain single sign-on | |
| CN112543166B (zh) | 实名登录的方法及装置 | |
| CN101262342A (zh) | 分布式授权与验证方法、装置及系统 | |
| CN113515756B (zh) | 基于区块链的高可信数字身份管理方法及系统 | |
| CN108400989B (zh) | 一种共享资源身份认证的安全认证设备、方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20160120 Termination date: 20190318 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |