发明内容
本发明的一个方面是提供一种IPTV认证鉴权方法,结合无线通信系统中的智能卡技术,实现更为安全并且管理、维修方便的IPTV用户管理和鉴权方法。
本发明的另一个方面是提供一种服务器,配合IPTV用户终端实现更为安全高效对IPTV用户的鉴权。
本发明的再一个方面是提供一种具有更为安全高效且方便的IPTV鉴权的通信系统,解决现有利用机顶盒进行用户识别所带来的管理及安全性方面的缺陷。
为了实现本发明第一个方面,本发明一些实施方式的IPTV认证鉴权方法如下:
机顶盒对IPTV SIM卡进行复位操作,获得正常IPTV SIM卡的复位信息;
机顶盒读取IPTV SIM卡中的IPTV用户身份标识信息,并发送到IPTV鉴权中心;
IPTV鉴权中心通过机顶盒收到IPTV SIM卡中的IPTV用户身份标识信息,产生随机数信息并通过机顶盒发送到IPTV SIM卡;
IPTV SIM卡根据收到的随机数信息及存储的IPTV用户身份标识对应的密钥信息进行鉴权运算,产生密文数据信息并通过机顶盒发送到IPTV鉴权中心;
IPTV鉴权中心根据产生的随机数信息及存储的IPTV用户身份标识对应的密钥信息进行与IPTV SIM卡相同的鉴权运算,当运算结果与收到的IPTVSIM卡发送的密文数据信息一致时,所述IPTV用户鉴权通过。
为了实现本发明第二个方面,本发明一些实施方式的服务器如下:
存储模块,用于存储IPTV用户身份标识及对应的密钥信息;
处理模块,用于接收IPTV用户身份标识信息,产生并发送随机数信息;接收用户根据所述随机数信息所产生的密文数据信息;根据产生的随机数信息及存储模块中IPTV用户身份标识对应的密钥信息进行鉴权运算,判断运算结果与接收的密文数据信息是否一致;
所述IPTV用户身份标识信息包括:运营商编号、本地网区号代码、本地网内认证鉴权中心编号和本地网内IPTV用户识别流水号。
为了实现本发明第三个方面,本发明一些实施方式的交互式网络系统如下:包括机顶盒,还包括与机顶盒连接的服务器,所述服务器包括,存储模块,用于存储IPTV用户身份标识及对应的密钥信息;处理模块,用于接收IPTV用户身份标识信息,产生并发送随机数信息;接收用户根据所述随机数信息所产生的密文数据信息;根据产生的随机数信息及存储模块中IPTV用户身份标识对应的密钥信息进行鉴权运算,判断运算结果与接收的密文数据信息是否一致。
现有技术中是将STBID作为用户的身份识别码,造成IPTV终端的封闭性,使得用户管理、终端维护等问题的成本较高。本发明通过IPTV SIM卡实现对IPTV用户的管理,可以减小业务开通的复杂程度,利用现有的智能卡技术,只需简单升级即可适应IPTV SIM卡的生产与管理,大大降低了运营成本。用户可只携带IPTV SIM卡办理业务,而不是机顶盒,降低了上门服务或维修的必要性。利用本发明可方便的更换终端,同时在STB出现问题时,只需更换新的STB,而无需更改IPTV认证鉴权的数据设置,降低了维护成本,提高了维护效率,克服了现有技术中用户更换机顶盒所带来的问题。本发明在鉴权过程中产生随机数,并根据随机数和用户密钥进行鉴权运算,传输过程中只传输运算的结果,即使在传输过程中被盗用,也不能获得用户的密钥等相关信息,安全性高。
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
具体实施方式
参见图2,为本发明IPTV认证鉴权方法实施例一流程图。如图2所示,本实施方式包括:
步骤1:IPTV鉴权中心通过机顶盒收到IPTV SIM卡中的IPTV用户身份标识信息,产生随机数信息并通过机顶盒发送到IPTV SIM卡;
步骤2:IPTV SIM卡根据收到的随机数信息及存储的IPTV用户身份标识对应的密钥信息进行鉴权运算,产生密文数据信息并通过机顶盒发送到IPTV鉴权中心;
步骤3:IPTV鉴权中心根据产生的随机数信息及存储的IPTV用户身份标识对应的密钥信息进行与IPTV相同的鉴权运算,判断运算结果与收到的IPTVSIM卡发送的密文数据信息是否一致,是则执行步骤4,否则执行步骤5;
步骤4:IPTV用户鉴权通过,发送鉴权成功消息;
步骤5,发送鉴权失败消息。
现有技术中是将STBID作为用户的身份识别码,造成IPTV终端的封闭性,使得用户管理、终端维护等问题的成本较高。本发明通过IPTV SIM卡实现对IPTV用户的管理,可以减小业务开通的复杂程度,利用现有的智能卡技术,只需简单升级即可适应IPTV SIM卡的生产与管理,大大降低了运营成本。用户可只携带IPTV SIM卡办理业务,而不是机顶盒,降低了上门服务或维修的必要性。利用本发明可方便的更换终端,同时在STB出现问题时,只需更换新的STB,而无需更改IPTV认证鉴权的数据设置,降低了维护成本,提高了维护效率,克服了现有技术中用户更换机顶盒所带来的问题。本发明在鉴权过程中产生随机数,并根据随机数和用户密钥进行鉴权运算,传输过程中只传输运算的结果,即使在传输过程中被盗用,也不能获得用户的密钥等相关信息,安全性高。
参见图3,为本发明IPTV认证鉴权方法实施例二流程图。本实施方式与图2类似,不同之处在于,在图2的步骤2和步骤3中IPTV SIM卡或IPTV鉴权中心进行鉴权运算时,还同时产生传输密钥信息,如图3所示;在用户鉴权通过时,可以利用已产生的传输密钥信息加密传送的数据,增加IPTV SIM卡和IPTV鉴权中心之间传输数据的安全性。
图3所示的实施方式不仅具有图2实施方式所有的功能,具有图2实施方式的所有技术效果和优点,而且在完成用户鉴权的同时生成附的传输密钥信息,该密钥信息对后续需要传输的数据进行加密,方便后续开展增值业务。
图4为本发明IPTV认证鉴权方法实施例三解析示意图。下面结合具体的IPTV系统结构对本发明IPTV认证鉴权方法做举例说明,图4只示出了本发明业务状态信息获取系统的一个具体实施例方式,但不消说,本实施例只是示意性的,并不代表对本发明技术方案所要求保护的范围的限制。本领域普通技术人员应当了解,本实施例所示的认证鉴权系统及鉴权流程与现有系统及鉴权流程有实质上的不同,具体业务流程如图4所示,包括:
1)STB进行IPTV SIM卡复位;
2)IPTV SIM卡复位正常后返回复位信息;
3)STB读取IPTV SIM卡内的用户身份标识(IPTV SIM Identity,简称IPSI);
4)IPTV SIM卡将卡内存储的IPSI发送至STB;
5)STB向IPTV鉴权中心发送IPSI;
如发送IPSI的数据格式为:IPSI的标识信息+卡内存储的IPSI实际内容;如,可以将IPSI的ASC编码49505349作为IPSI的标识信息,表示发送的数据为IPSI,便于识别;后面的IPSI实际内容为从IPTV SIM中获得的IPTV SIM卡内的用户身份标识;
6)IPTV认证鉴权中心根据IPSI查找对应的用户资料,产生随机数信息并返回STB;
根据需要可以对随机数的位数灵活设置,如设置随机数为16Byte;
发送随机数的数据格式为:随机数的标识信息+产生的随机数;如,可以将随机数(RAND)的ASC编码52414E44作为随机数的标识信息,表示发送的数据为随机数,便于识别;后面的随机数为IPTV鉴权中心产生的随机数;
7)STB将随机数发送给IPTV SIM卡;
8)IPTV SIM卡将随机数信息与存贮在IPTV SIM卡内的密钥执行鉴权运算(RUN IPTV ALGORITHM)指令;
9)IPTV SIM卡将运算结果产生的密文数据信息返回STB,并将数据传输密钥(Kc)存储在IPTV SIM卡及STB内;
10)STB向IPTV鉴权中心发送密文数据信息;
发送密文数据信息的数据格式可以为:密文的标识信息+运算结果产生的密文数据值;如,将密文(SRES)的ASC编码53524553作为密文的标识信息,表示发送的数据为密文信息;后面的密文数据为RUN IPTVALGORITHM的运算结果;
可对运算结果的位数灵活设置,例如,RUN IPTV ALGORITHM的运算结果为16字节,其中前8字节为密文数据值,IPTV鉴权中心比较该值确定是否成功鉴权,而后8字节为用于STB与IPTV鉴权中心进行加密传输数据时所使用的传输密钥(KC);
11)IPTV鉴权中心将发送的随机数与存贮在IPTV鉴权中心内的密钥执行鉴权运算(RUN IPTV ALGORITHM)指令,若与收到的密文数据结果相同,则认为鉴权成功,否则鉴权失败;
12)IPTV鉴权中心将鉴权结果返回STB;返回鉴权成功或失败响应消息。
用户鉴权通过时,可以利用已产生的传输密钥信息加密传送的数据,增加IPTV SIM卡和IPTV鉴权中心之间传输数据的安全性;在完成用户鉴权的同时生成附的传输密钥信息,方便后续开展增值业务。
参见图5,为本发明服务器实施例一示意图。本实施方式包括:
存储模块,用于存储IPTV用户身份标识及对应的密钥信息;
处理模块,用于接收IPTV用户身份标识信息,产生并发送随机数信息;接收用户根据所述随机数信息所产生的密文数据信息;根据产生的随机数信息及存储模块中IPTV用户身份标识对应的密钥信息进行鉴权运算,判断运算结果与接收的密文数据信息是否一致。
现有技术中的认证服务器是对机顶盒作为用户身份识别对用户进行用户密钥及业务密钥等管理,现有认证服务器鉴权过程简单,安全性不高。本实施例服务器的处理模块在鉴权过程中产生随机数,并根据随机数和用户密钥进行鉴权运算,传输过程中只传输运算的结果,即使在传输过程中被盗用,也不能获得用户的密钥等相关信息,安全性高。
本实施例中的存储模块不仅保存IPTV用户身份标识及对应的密钥信息,还可以存储在鉴权运算时附加产生的传输密钥信息,所述传输密钥信息用于对传输的数据信息进行加密/解密。
图6为本发明服务器实施例二示意图。本实施例对处理模块进一步细化,如图6所示,本实施例中处理模块包括:
随机数产生子模块,用于接收到IPTV用户身份标识信息,产生随机数信息;
计算子模块,根据产生的随机数信息及存储模块中IPTV用户身份标识对应的密钥信息进行相关鉴权算法运算。
对于计算子模块的根据随机数信息及用户的密钥信息进行鉴权运算的过程可参见图2-图4中方法实施例的说明,具体流程不再详述。
上述存储模块中存储的IPTV用户身份标识可以包括:用户归属地标志、用户识别流水号、用户身份标识的总长度等信息,存储模块可按下述表一的内容进行存储:
1.存放国际IPTV SIM用户身份标识(IPTV Subscriber Identity,简称IPSI),如表一所示:
表一用户身份标识存储结构
(1)标识、结构、文件长度及更新频度等可以按设定值写入,访问条件:读(READ)、升级(UPDATE)、失效(INVALIDATE)、使有效(REHABILITATE)分别为对该字段的操作,其操作权限分别为CHV1和ADM;其中CHV1表示用户身份识别码,ADM表示对此基本文件的存取条件;
(2)IPSI长度,表明IPSI的长度。通过IPSI的长度值可以获知IPSI的长度信息,知道后面的2-9字节的IPSI从何处读取和结束;其中后面的描述部分M/O表示基本文件是强制性(M)的或可选的(O)。可选的基本文件长度可为零,即可以不包括字节,所有长度不为零的基本文件,即强制性的基本文件应当包含所有强制性的数据项。从表一可看出,本实施例中用户身份标识基本文件是强制型的,所以应当包含IPSI长度及IPSI这两个强制性的数据项;
(3)IPSI,IPTV用户身份标识。长度不固定,为2-9字节,如果设定的长度小于32,不用位置之处用‘F’代替。
IPTV用户身份标识号码(即IPSI)在IPTV卡预个人化(基本文件系统初始化)过程中写入IPTV卡中,为映射或表征用户身份的参数,主要用于在网络端认证时标识IPTV卡用户的身份。IPSI的每一位可以采用十进制编码,具体格式可参照如下:
O H1H2H3 H N1N2N3N4 N5N6N7N8 N9N10N11N12 N13N14N15N16 N17N18N19N20N21N22N23N24 N25N26N27,共32位,其中:
①O为运营商编号,可以为0-9任意数字:可选。如用9表示IPSI业务的开通,根据运营商的需要可以对这一位置编号进行统一分配;
②H1H2H3表示本地网区号代码。如北京区号为010,则H1H2H3为‘010’,济南区号为0531,则H1H2H3为‘531’;区号位数不够前补零,测试卡代码为设置为‘001’,其他未占用编码由运营商根据需要统一分配;
③H表示本地网内认证鉴权中心编号。具体可根据各省本地网组成情况情况分别定义;
④N1-N27表示本地网内IPTV用户27位识别流水号。
由上述表一及各字段的说明可知,对IPTV用户身份标识可以包含多项内容,为适用不同的业务需求,还可能加入需要标识用户身份的其它信息,再次不可能穷尽,不一一例举,但IPTV用户身份标识只要包括:用户归属地标志、用户识别流水号信息的均应在本发明技术方案所要求保护的范围之内。
由上述IPTV认证鉴权方法及服务器的实施例可知,在认证鉴权过程中,还可以产生鉴权运算时附加产生的传输密钥信息,所述传输密钥信息用于对传输的数据信息进行加密/解密。此时,存储模块还存储传输密钥信息,存储的传输密钥信息可按表二的内容进行存储:
2.存放数据传输加密密钥(Ciphering key Kc,简称Kc),如表二所示:
表二传输密钥信息存储结构
(1)同表一中标识、结构、文件长度、更新频度及访问条件:READ、UPDATE、INVALIDATE、REHABILITATE的含义相同,在此不再赘述;
(2)Kc表示数据传输密钥。Kc的最低有效位是第8字节的最低有效位。最高有效位是第1字节的最高有效位;
(3)Kc的记数器(Ciphering key sequence number n)即Kc的序列号,根据Kc的记数器可以找到对应的Kc值。Kc的记数器的取值范围为:0X00-0XFF,做为防止攻击记数器。防止攻击记数器作为防止恶性攻击使用,攻击模拟机每次计算一个加密结果进行试探时,该计数器加一,如在规定时间内试探次数超过指定数值,则认定为恶意攻击。不同的IPTV用户存储对应的用户密钥,在认证鉴权过程中,根据随机数及用户密钥产生密文数据信息进行鉴权的同时,还可以将产生的Kc存储在存储模块中,并记录产生Kc的序列号,便于后续查找。
本发明还提供一种交互式网络系统,包括机顶盒以及与机顶盒连接的服务器,服务器可参照图5-图6实施例中的结构,以区别与现有的交互式网络系统鉴权过程简单,安全性不高的缺陷。
综上所述,本发明各实施例的IPTV认证鉴权方法、服务器及交互式网络系统具有如下有益效果:
1)存储模块对IPTV用户身份标识的具体格式进行了结构设置,归属地标志的加入使通过识别用户身份开展相关业务成为可能;
2)在完成用户鉴权的同时生成附加密钥Kc,该密钥对后续需要传输的数据进行加密,方便今后开展增值业务;
3)由于IPTV SIM卡的生产管理为利用运营商现有营销体系,其只需简单升级即可适应IPTV SIM卡的生产与管理,大大降低了运营成本;
4)在用户STB出现问题时,只需为用户更换新的STB,而无需更改认证鉴权中心或服务器内的数据设置,降低了维护成本,提高了维护效率;
5)与现有的采用机顶盒进行鉴权相比,采用IPTV SIM卡安全性更高。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。