CN101136915B - 一种实现多业务统一安全认证的方法和系统 - Google Patents

Abstract

本发明提供了一种实现多业务统一安全认证的方法和系统，涉及通信行业中提供业务的认证鉴权方法。该系统包括用户终端、业务服务器和认证鉴权服务器，其中，认证鉴权服务器包括：用户终端接口模块、密码箱模块、业务服务器接口模块、核心处理模块、用户数据库模块。该方法包括以下步骤：用户终端携带终端访问消息访问认证鉴权服务器；认证鉴权服务器取出用户信息，向业务服务器请求鉴权；业务服务器通过鉴权；认证鉴权服务器向用户终端返回用户认证信息，向业务服务器颁发用户使用业务令牌；用户终端请求业务服务器通过认证，使用业务。本发明通过一次集中认证使用多种业务，方便使用，通过设置安全机制，提高用户使用业务的安全性。

Description

一种实现多业务统一安全认证的方法和系统

技术领域

本发明涉及通信行业中业务的提供，尤其涉及提供业务的认证鉴权方法。

背景技术

随着通信网络的快速发展，用户可以使用越来越多的通信业务，包括语音类业务，数据类业务，多媒体类业务等。业务种类不断增多，业务功能不断增强，终端也越来越多样，从形态上看，有以软件形式运行在计算机上的软终端，也有以专有硬件系统形式存在的硬终端，用户通过终端来访问各类业务服务器，使用各类业务。

在目前通信行业内，对于各类通过终端使用的业务，总体上处于比较分散的状态，硬终端一般是把用户名/密码预先设置或者固化到终端设备内，终端设备启动时，自动连接业务服务器，然后将预置或者固化在本终端内的用户名/密码发送给业务服务器，由业务服务器进行认证，通过认证后用户可以使用业务。对于软终端，一般是用户在每次登录时在软件界面上手工输入用户名/密码，然后到业务服务器进行认证，通过认证后用户可以使用该业务。还有一种认证方法，为软终端用户配置了专门的USB Key(UniversalSerial Bus Key)，USB Key中固化了业务的用户名/密码，用户每次登录前，在计算机上插入USB Key，软终端在登录时，自动从USB Key中读取用户名/密码，然后到业务服务器进行认证，通过认证后可以使用业务。目前通信行业内的这些终端使用业务的认证方式，有如下几个缺点：

1)比较分散。对于不同的业务，用户需要使用不同的用户名/密码，登录不同的业务服务器，设置和记忆都比较麻烦，不利于用户使用多种业务，也不利于运营商开展多种业务；

2)比较烦琐。如对于软终端用户，每次登录时都要输入用户名/密码，比较麻烦；

3)安全性不高。用户在登录时，要输入用户名/密码，容易外泄，另一方面，攻击者也可以通过黑客程序，对登录流程中的数据进行截包，然后伪造登录数据，登录业务服务器使用业务。

发明内容

针对上述缺陷，本发明提供一种多业务统一安全认证的方法和系统，使用户可以通过一次集中认证使用多种业务，避免繁琐地多次登录，也避免用户记忆多个用户名和密码的不便，同时，通过认证过程的安全机制设置，提高用户使用业务的安全性。

为实现上述发明目的，本发明提供一种实现多业务统一安全认证的方法，包括以下步骤：

步骤00：预设置相关参数；所述相关参数：用户终端上预先配置认证鉴权服务器地址；认证鉴权服务器中的用户数据库中预存储USB Key ID、Service ID和用户标识符User ID之间对应关系；

步骤10：用户终端携带包含有业务标识的终端访问消息访问认证鉴权服务器；

步骤20：认证鉴权服务器从所述终端访问消息取出用户信息并确定该用户未使用所述业务标识对应的业务，向相关业务服务器请求鉴权；

步骤30：业务服务器确认该用户终端已开通所述业务标识对应的业务，通过鉴权；

步骤40：认证鉴权服务器向用户终端返回用户认证信息，并向业务服务器颁发用户使用业务令牌；

步骤50：用户终端依据认证信息请求业务服务器通过认证，使用业务；

步骤60：业务服务器通过认证后允许用户使用业务，未通过认证则禁止用户使用业务。

更进一步地，所述多业务统一安全认证方法，其步骤10包括以下步骤：

步骤101：向用户终端插入USB Key，并选择使用一业务；

步骤102：用户终端获取USB Key ID，根据所选业务获得Service ID即业务标识符；

步骤103：用户终端携带包括USB Key ID和Service ID的终端访问消息，根据预先配置的认证鉴权服务器地址访问认证鉴权服务器。

并且，其步骤20包括以下步骤：

步骤201：认证鉴权服务器根据所述终端访问消息中的USB Key ID和Service ID，从所述用户数据库中查出该用户在该业务中的User ID即用户标识符；

步骤202：认证鉴权服务器向业务服务器发送鉴权消息，消息中带有Service ID和User ID。

并且，其步骤40包括以下步骤：

步骤401：认证鉴权服务器将业务服务器地址和端口号、一个随机生成的序列号、用户标识符User ID和对应的密码发给用户终端；

步骤402：认证鉴权服务器产生一个令牌，将所述令牌和所述User ID、所述Service ID一起发送给对应的业务服务器。

并且其步骤60包括以下步骤：

步骤601：业务服务器判断所述认证信息中携带的User ID，密码是否匹配；

步骤602：如果User ID，密码匹配成功，判断这一时刻是否有该User ID用户使用Service ID业务的令牌；

步骤603：如果有，则返回登录成功，通知认证鉴权服务器将User ID用户标记为正在使用Service ID业务；

步骤604：如果User ID，密码匹配失败或没有该User ID用户使用ServiceID业务的令牌，则业务服务器返回登录失败，用户终端用户不能使用该业务。

更进一步地，所述的多业务统一安全认证方法，在用户正常使用业务时，包括以下步骤：

步骤701：用户终端发心跳消息给认证鉴权服务器，心跳消息中包含随机序列号；

步骤702：认证鉴权服务器接收到用户终端发来的心跳消息，即返回确认消息给用户终端；

步骤703：如果在两个心跳周期内，认证鉴权服务器没有收到用户终端发来的心跳消息，将该用户标记为已停止使用该业务，并通知业务服务器，该用户已停止使用该业务，从业务服务器收回为该用户分配的使用业务的令牌；

步骤704：业务服务器禁止该用户使用该业务。

并且，包括以下步骤：

步骤801：用户使用业务完毕，退出业务服务器；

步骤802：业务服务器通知认证鉴权服务器，该用户已经停止使用该业务；

步骤803：认证鉴权服务器将该用户标记为已停止使用该业务，并从业务服务器收回为该用户分配的使用该业务的令牌；

步骤804：业务服务器禁止该用户使用该业务。

同时，为解决发明目的，本发明还提供一种应用上述实现多业务统一安全认证方法的系统，包括用户终端，用于系统与用户进行交互；业务服务器，用于向用户提供业务服务，其中，所述用户终端包括软终端和硬终端中的一种；

该系统还包括认证鉴权服务器，所述认证鉴权服务器包括以下模块：

用户终端接口模块，用于认证鉴权服务器和用户终端的交互，接收来自用户终端的包含有业务标识的终端访问消息；

密码箱模块，其中存储业务服务器所提供的业务的用户名和密码，并与相应Service ID对应；

业务服务器接口模块，用于认证鉴权服务器和业务服务器交互；

核心处理模块，用于处理用户终端发来的登录信息，判断该登录是否有效，确定该用户是否未使用所述业务标识对应的业务；

用户数据库模块，用于存储USB Key ID、Service ID、User ID及三者之 间对应关系。

与现有技术相比，用户在使用各类业务时只要在软终端或者硬终端上插入分配给自己的USB Key即可，不需要记忆和输入各类业务服务器对应的登录用户名和密码，方便快捷；同时本发明引入了令牌和心跳检测机制，可以防止非法用户截取用户名/密码后擅自登录业务服务器，具有很好的安全性。

附图说明

图1是本发明认证系统的结构图；

图2是本发明认证方法的流程图；

图3是本发明认证方法心跳消息的处理流程图；

图4是本发明认证方法用户退出业务的处理流程图。

具体实施方式

下面结合附图和具体实施例对本发明进行更为详细的说明。

图1是本发明认证系统的结构图。如图所示，本发明系统包括业务服务器101，认证鉴权服务器102，用户终端103。其中，业务服务器101根据所提供的不同业务类型，可以包括多个业务服务器：业务服务器1、业务服务器2、......、业务服务器n；用户终端既可以是软终端，也可以是硬终端，由于用户数量多，也可以包括多个软/硬终端：软/硬终端1、软/硬终端2、......、软/硬终端n。认证鉴权服务器102包括以下模块：用户终端接口模块104，它和用户终端104的所有软/硬终端相连；核心处理模块106，与用户终端接口模块104、用户数据库模块105、密码箱模块107、业务服务器接口模块108均相连；密码箱模块107，与核心处理模块相连；业务服务器接口模块，除与核心处理器模块相连外，还与业务服务器101的各业务服务器都相连。

图2是本发明认证方法的流程图，如图所示，包括如下步骤：

步骤一：软/硬终端上预先配置认证鉴权服务器102的地址；

步骤二：用户在某软/硬终端n的USB Key插口中插入USB Key，并选择使用某一业务；

步骤三：软/硬终端n根据USB Key提供的函数接口，从USB Key中读出USB Key ID，然后和用户所选择业务的业务标识符Service ID一起，发送给认证鉴权服务器102；

步骤四：认证鉴权服务器102的用户终端接口模块104接收到认证鉴权消息，转交给核心处理模块106处理；

步骤五：核心处理模块106根据认证鉴权消息中的USB Key ID和Service ID，从用户数据库模块105中查出该用户在该业务中的User ID，用户在不同的业务中，可能会对应不同的User ID。如在业务1中，对应UserID1，在业务2中，对应User ID2；

步骤六：核心处理模块106判断该User ID用户，是否正在使用ServiceID对应的业务，如果正在使用，则转到步骤十五，否则执行步骤七；

步骤七：核心处理模块106根据认证鉴权消息中的Service ID，选择相应的业务服务器n，然后通过业务服务器接口模块108，向业务服务器n发送鉴权消息，鉴权消息中带有业务标识符Service ID和用户标识符User ID；

步骤八：业务服务器n判断该User ID用户是否开通了Service ID对应的业务，是否可以使用Service ID对应的业务，然后向认证鉴权服务器102返回结果；

步骤九：认证鉴权服务器102判断业务服务器n的返回结果，如果该User ID用户可以使用Service ID对应的业务，则执行步骤十，否则执行步骤十五。

步骤十：认证鉴权服务器102的核心处理模块106根据Service ID，访问密码箱模块107，得到该Service ID下User ID用户对应的密码；

步骤十一：认证鉴权服务器102的核心处理模块106随机产生一个序列号，通过用户终端接口模块104，将业务服务器n的地址和端口号、随机序列号、用户标识符User ID和对应的密码发给软/硬终端n；

步骤十二：核心处理模块106产生一个令牌，将该令牌和用户标识符User ID、业务标识符Service ID一起发送给业务服务器n；

步骤十三：软/硬终端n根据得到的业务服务器n的地址和端口号、User ID、密码，登录业务服务器n；

步骤十四：业务服务器n判断User ID，密码是否匹配，如果匹配成功，判断这一时刻否有该UserID用户使用Service ID业务的令牌，如果有，则返回登录成功，同时通知认证鉴权服务器102将UserID用户标记为正在使用Service ID业务，结束本流程；否则转到步骤十六；

步骤十五：认证鉴权服务器102通知软/硬终端n，该User ID用户不能使用Service ID对应的业务，认证鉴权失败；

步骤十六：业务服务器返回登录失败，软/硬终端n用户不能使用该业务。

图3是本发明认证方法心跳消息的处理流程图，如图所示，处理流程包括以下步骤：

步骤一：在用户正常使用业务过程中，软/硬终端n向认证鉴权服务器102发心跳消息，心跳消息中包含随机序列号；

步骤二：认证鉴权服务器102接收到软/硬终端n发来的心跳消息后，即向软/硬终端n返回一个确认消息；

步骤三：如果在两个心跳周期内，认证鉴权服务器102都没有收到软/硬终端n发来的心跳消息，则认为该终端已经退出，认证鉴权服务器102通知业务服务器n，停止对该终端的服务；

步骤四：将该UserID用户标记为已停止使用Service ID业务，并从业务服务器n收回为该User ID用户分配的使用Service ID业务的令牌。

图4是本发明认证方法用户退出业务的处理流程图，如图所示，退出业务包括以下步骤：

步骤一：软/硬终端n用户在使用完业务后，退出业务服务器n；

步骤二：业务服务器n通知认证鉴权服务器102：该用户已经停止使用业务；

步骤三：认证鉴权服务器102将该User ID用户标记为已停止使用Service ID业务，并从业务服务器n收回为该User ID用户分配的使用ServiceID业务的令牌。

当然，本发明还可有其他多种实施例，在不背离本发明精神及其实质的情况下，熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形，但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。

Claims (4)

1.一种实现多业务统一安全认证的方法，其特征在于，包括以下步骤：

步骤00：预设置相关参数；所述相关参数：用户终端上预先配置认证鉴权服务器地址；认证鉴权服务器中的用户数据库中预存储USB Key ID、Service ID和用户标识符User ID之间对应关系；

步骤10：用户终端携带包含有业务标识的终端访问消息访问认证鉴权服务器；

步骤20：认证鉴权服务器从所述终端访问消息取出用户信息并确定该用户未使用所述业务标识对应的业务，向相关业务服务器请求鉴权；

步骤30：业务服务器确认该用户终端已开通所述业务标识对应的业务，通过鉴权；

步骤40：认证鉴权服务器向用户终端返回用户认证信息，并向业务服务器颁发用户使用业务令牌；

步骤50：用户终端依据认证信息请求业务服务器通过认证，使用业务；

步骤60：业务服务器通过认证后允许用户使用业务，未通过认证则禁止用户使用业务；

所述步骤10包括以下步骤：

步骤101：向用户终端插入USB Key，并选择使用一业务；

步骤102：用户终端获取USB Key ID，根据所选业务获得Service ID即业务标识符；

步骤103：用户终端携带包括USB Key ID和Service ID的终端访问消息，根据预先配置的认证鉴权服务器地址访问认证鉴权服务器；

所述步骤20包括以下步骤：

步骤201：认证鉴权服务器根据所述终端访问消息中的USB Key ID和Service ID，从所述用户数据库中查出该用户在该业务中的User ID即用户标识符；

步骤202：认证鉴权服务器向业务服务器发送鉴权消息，消息中带有Service ID和User ID；

所述步骤40包括以下步骤：

步骤401：认证鉴权服务器将业务服务器地址和端口号、一个随机生成的序列号、用户标识符UserID和对应的密码发给用户终端；

步骤402：认证鉴权服务器产生一个令牌，将所述令牌和所述UserID、所述Service ID一起发送给对应的业务服务器；

所述步骤60包括以下步骤：

步骤601：业务服务器判断所述认证信息中携带的UserID，密码是否匹配；

步骤602：如果UserID，密码匹配成功，判断这一时刻是否有该UserID用户使用Service ID业务的令牌；

步骤603：如果有，则返回登录成功，通知认证鉴权服务器将User ID用户标记为正在使用Service ID业务；

步骤604：如果User ID，密码匹配失败或没有该User ID用户使用ServiceID业务的令牌，则业务服务器返回登录失败，用户终端用户不能使用该业务。

2.如权利要求1所述的多业务统一安全认证方法，其特征在于，在用户正常使用业务时，包括以下步骤：

步骤701：用户终端发心跳消息给认证鉴权服务器，心跳消息中包含随机序列号；

步骤702：认证鉴权服务器接收到用户终端发来的心跳消息，即返回确认消息给用户终端；

步骤703：如果在两个心跳周期内，认证鉴权服务器没有收到用户终端发来的心跳消息，将该用户标记为已停止使用该业务，并通知业务服务器，该用户已停止使用该业务，从业务服务器收回为该用户分配的使用业务的令牌；

步骤704：业务服务器禁止该用户使用该业务。

3.如权利要求1所述的多业务统一安全认证方法，其特征在于，包括以下步骤：

步骤801：用户使用业务完毕，退出业务服务器；

步骤802：业务服务器通知认证鉴权服务器，该用户已经停止使用该业务；

步骤803：认证鉴权服务器将该用户标记为已停止使用该业务，并从业务服务器收回为该用户分配的使用该业务的令牌；

步骤804：业务服务器禁止该用户使用该业务。

4.一种应用权利要求1实现多业务统一安全认证方法的系统，包括用户终端，用于系统与用户进行交互；业务服务器，用于向用户提供业务服务，其特征在于，

所述用户终端包括软终端和硬终端中的一种；

还包括认证鉴权服务器，所述认证鉴权服务器包括以下模块：

用户终端接口模块，用于认证鉴权服务器和用户终端的交互，接收来自用户终端的包含有业务标识的终端访问消息；

密码箱模块，其中存储业务服务器所提供的业务的用户名和密码，并与相应Service ID对应；

业务服务器接口模块，用于认证鉴权服务器和业务服务器交互；

核心处理模块，用于处理用户终端发来的登录信息，判断该登录是否有效，确定该用户是否未使用所述业务标识对应的业务；

用户数据库模块，用于存储USB Key ID、Service ID、User ID及三者之间对应关系。

Images