CN101431654B - 一种实现认证的方法和系统 - Google Patents

一种实现认证的方法和系统 Download PDF

Info

Publication number
CN101431654B
CN101431654B CN2008102398319A CN200810239831A CN101431654B CN 101431654 B CN101431654 B CN 101431654B CN 2008102398319 A CN2008102398319 A CN 2008102398319A CN 200810239831 A CN200810239831 A CN 200810239831A CN 101431654 B CN101431654 B CN 101431654B
Authority
CN
China
Prior art keywords
authentication
behalf
user
integrated package
token
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN2008102398319A
Other languages
English (en)
Other versions
CN101431654A (zh
Inventor
高卿
辛宇
王道谊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Huixin Bosi Technology Co., Ltd
Original Assignee
Beijing Husen Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Husen Technology Co Ltd filed Critical Beijing Husen Technology Co Ltd
Priority to CN2008102398319A priority Critical patent/CN101431654B/zh
Publication of CN101431654A publication Critical patent/CN101431654A/zh
Application granted granted Critical
Publication of CN101431654B publication Critical patent/CN101431654B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明公开了一种实现认证的方法和系统,通过利用代理集成组件实现领域内系统之间的安全集成,可以代理一个业务系统集成到现有的安全体系内,完成安全认证、业务鉴权及数据交换。采用了本发明的技术方案,可以降低集成成本,保持现有的产品线不被破坏,降低双方的集成时间,有效地保证系统之间的安全性,并方便地完成计费鉴权,使得集成重点放在业务逻辑和商业模式上。

Description

一种实现认证的方法和系统 
技术领域
本发明涉及数字电视技术领域,尤其涉及一种实现认证的方法和系统。 
背景技术
在数字电视领域中,存在着庞大的系统架构和众多的实体系统,这些系统都是通过各种形式来支撑不同的业务系统,最终在数字电视门户中展示给用户。在这种体系架构中,安全性成为重要的组成之一。由于组成领域架构的众多系统可能是由多家公司开发的,而在领域中没有统一的安全标准,使得各家的系统体系中有着完全不同的安全架构。同时,各家开发的系统使用不同的开发语言、不同的系统环境和不同的商业策略,使得安全集成更加困难。主要存在以下几种情况: 
1、集成的双方使用不同的安全体系; 
2、集成的双方使用不同的开发语言; 
3、集成的双方使用不同的商业策略; 
4、集成的双方有不同的支持能力; 
5、集成的时候可能会与一方的计费系统发生鉴权和计费。 
现有的SSO单点登录系统,流程如下: 
现有技术中实现认证的流程包括以下步骤: 
1、用户访问门户系统; 
2、门户系统的认证过滤器拦截访问,如果用户没有登录,则重定向到SSO系统; 
3、用户提供身份认证后,SSO为用户生成临时的令牌,并重定向到门户 系统中 
4、门户系统带着令牌去SSO校验; 
5、如果SSO校验通过,则返回门户系统用户身份,同时令牌失效。 
现有技术方案存在以下问题:异构系统之间不能集成过滤器,产品会因为应用场景的增多而越来越多的集成不同的安全组件,如果第三方所处的环境中不允许或者不具备集成SSO过滤器的话,用户在访问的时候就没有认证可言,由于集成会造成二次开发,增加了开发和测试的难度。 
发明内容
本发明的目的在于提出一种实现认证的方法和系统,可以降低集成成本,保持现有的产品线不被破坏,降低双方的集成时间,有效地保证系统之间的安全性,并方便地完成计费鉴权,使得集成重点放在业务逻辑和商业模式上。 
为达此目的,本发明采用以下技术方案: 
一种实现认证的方法,适用于数字电视领域,包括以下步骤: 
A、用户登录到门户系统,门户系统向认证系统请求认证用户信息; 
B、认证系统向门户系统返回用户身份和访问凭证,并存储在门户系统; 
C、用户通过门户系统向代理集成组件发送访问第三方业务系统的请求; 
D、代理集成组件拦截所述请求,并重定向到门户系统; 
E、门户系统利用存储的用户访问凭证向认证系统请求认证用户身份并申请令牌; 
F、通过认证后,认证系统向门户系统发送令牌; 
G、门户系统将所述令牌发送给代理集成组件,代理集成组件将所述令牌发送给认证系统反向认证; 
H、认证通过后,认证系统向代理集成组件发送用户身份; 
I、代理集成组件将所述用户身份发送给计费系统鉴权; 
J、鉴权通过后,用户可以通过代理集成组件访问第三方业务系统。 
步骤H还包括以下步骤:将所述令牌作废。 
步骤J进一步包括以下步骤: 
计费系统完成鉴权后,向代理集成组件发送状态码; 
如果所述状态码为成功,用户可以通过代理集成组件访问第三方业务系统。 
步骤J还包括以下步骤: 
如果鉴权没有通过,代理集成组件将定向至提示页面。 
一种实现认证的系统,适用于数字电视领域,包括用户终端、门户系统、认证系统、计费系统、代理集成组件和第三方业务系统,其中, 
用户终端,用于用户向门户系统发送用户信息进行登录; 
门户系统,用于向认证系统发送认证用户信息请求、接收并存储认证系统返回的用户身份和访问凭证、访问代理集成组件、向认证系统发送认证用户身份请求和申请令牌、并将获得的令牌发送给代理集成组件; 
认证系统,用于认证门户系统发来的用户信息并返回用户身份和访问凭证、认证门户系统发送的用户身份并返回令牌、认证代理集成组件发来的令牌并返回用户身份; 
计费系统,用于对代理集成组件发来的用户身份进行鉴权,并返回鉴权状态码; 
代理集成组件,用于接收门户系统发来的访问第三方业务系统的请求并重定向到门户系统、接收门户系统发来的令牌、将令牌发送给认证系统认证并获得用户身份、将用户身份发送给计费系统鉴权并获得鉴权状态码、并与第三方业务系统连接通信; 
第三方业务系统,用于向用户提供应用业务。 
采用了本发明的技术方案,有以下技术效果: 
1、解决异构系统之间集成困难的问题。在数字电视门户系统中,众多的展现业务往往是多方共同完成的。由于各家公司的技术实力,战略发展目标等问题,使得各家系统使用的环境和开发语言都不相同。如果要将各种业务系统集成到门户系统中,就要使用com、corba等技术机构或者使用xml、tlv、asn.1等与语言无关的数据格式。不管使用哪种方式,都会造成双方的二次开发。使用代理集成组件不但可以避免二次开发,降低集成工作的难度,还可以把集成工作主要集中在业务流程上。 
同时由于运营商集成困难,使得用户只有在门户环境中有安全认证,而访问与之集成的第三方业务系统时没有任何安全可言,用户的信息很容易就被截获。 
2、解决产品结构被破坏的问题。由于系统之间的集成很容易造成二次开发,使得产品结构局部会被破坏,如果设计不好的话,很可能会通过产品线蔓延,从而破坏整个产品体系架构。使用代理集成组件可以把集成工作完全搬到组件中来,而不用影响被集成的产品。 
3、解决集成调试时间长的问题。在系统集成的时候,由于多方面的原因会使得集成和调试的时间很长,影响顶目的整体进度。使用代理集成组件可以针对现有体系架构定制一种已经集成了安全与鉴权的组件,然后把组件作为被集成系统的入口来实现快速集成。 
另一种情况是,第三方业务系统只是提供一种计费业务。这就没有必要对此业务系统做二次开发,第三方公司也不会因为一个简单的业务服务而调配各种资源进行二次开发。使用代理集成组件作为这种单一业务的入口,就可以实现快速(敏捷)集成。 
4、解决了因为集成而破坏了安全架构的问题。由于已发布的系统不能被纳入到现有的门户系统中(例如:网易、淘宝等web系统),使得外部系统要 集成现有体系中的安全架构很不安全。如果把代理集成组件放到外部系统架构中,利用代理集成组件的反向验证和计费鉴权可以有效的解决系统集成所带来的安全风险。 
5、解决被集成方开发能力不足的问题。有的第三方小型企业没有能力针对集成作二次开发工作。使用代理集成组件可以使得中小型企业获得更多的机会。 
6、解决因商业策略而不能与计费系统集成的问题。由于商业策略的原因,有的第三方企业只是内容提供商(Content Provider,CP),他们只为服务提供商(Service Provider,SP)的业务提供原始的内容,不具备独立展现、定价、购买等业务流程,并不能独立经营。代理集成组件可以帮助第三方CP作展现和计费鉴权,从而使得CP不需要SP就能独立集成到现有系统中来为用户展示,从而让用户购买内容。 
附图说明
图1是本发明具体实施方式中数字电视领域实现认证系统的结构示意图; 
图2是本发明具体实施方式中数字电视领域的实现认证的流程图。 
具体实施方式
下面结合附图并通过具体实施方式来进一步说明本发明的技术方案。 
本发明技术方案的主要思想是利用代理集成组件(Proxy IntegratedComponent,PIC)实现领域内系统之间的安全集成,可以代理一个业务系统集成到现有的安全体系内,完成安全认证、业务鉴权及数据交换。 
图1是本发明具体实施方式中数字电视领域实现认证系统的结构示意图。如图1所示,该实现认证的系统包括用户终端101、门户系统102、认证系统103、计费系统104、代理集成组件105和第三方业务系统106。 
用户通过用户终端向门户系统发送用户信息进行登录。 
门户系统向认证系统发送认证用户信息请求、接收并存储认证系统返回的用户身份和访问凭证、访问代理集成组件、向认证系统发送认证用户身份请求和申请令牌、并将扶得的令牌发送给代理集成组件。 
认证系统认证门户系统发来的用户信息并返回用户身份和访问凭证、认证门户系统发送的用户身份并返回令牌、认证代理集成组件发来的令牌并返回用户身份。 
计费系统对代理集成组件发来的用户身份进行鉴权,并返回鉴权状态码。 
代理集成组件接收门户系统发来的访问第三方业务系统的请求并重定向到门户系统、接收门户系统发来的令牌、将令牌发送给认证系统认证并获得用户身份、将用户身份发送给计费系统鉴权并获得鉴权状态码、并与第三方业务系统连接通信。 
第三方业务系统向用户提供应用业务。 
下面介绍一个具体实施方式中数字电视领域中实现认证的流程,图2是本发明具体实施方式中数字电视领域的实现认证的流程图。如图2所示,实现认证的流程包括以下步骤: 
步骤201、用户通过用户终端登录到门户系统,门户系统向认证系统请求认证用户信息。 
步骤202、认证系统向门户系统返回用户身份和访问凭证,并存储在门户系统。 
步骤203、用户通过门户系统向代理集成组件发送访问第三方业务系统的请求。 
步骤204、代理集成组件拦截所述请求,并重定向到门户系统。 
步骤205、门户系统利用存储的用户访问凭证向认证系统请求认证并申请令牌。 
步骤206、通过认证后,认证系统向门户系统发送令牌。 
步骤207、门户系统将所述令牌发送给代理集成组件,代理集成组件将令牌发送给认证系统认证。 
步骤208、认证通过后,认证系统向代理集成组件发送用户身份,并将该令牌作废。 
步骤209、代理集成组件将所述用户身份发送给计费系统鉴权。 
步骤210、计费系统完成鉴权后,向代理集成组件发送状态码。 
步骤211、如果所述状态码为成功,用户可以通过代理集成组件访问第三方业务系统。 
下面介绍这种实现认证的技术方案的适用环境: 
一、第三方业务系统没有能力做二次开发或者使用的技术与现有环境架构中使用的技术是不同的(异构系统)。这种情况下第三方业务系统是个独立的系统,本身不存在任何安全环境下。解决方案是把第三方业务系统提供的各种服务的展现入口放到代理集成组件上(第三方业务系统可以部署在现有的环境中,也可以部署在现有环境以外),然后在现有环境中的计费系统对各服务(业务或者产品)定价。这就把对两个系统的二次开发完全转移到对代理集成组件的展现设计上,这样也可以避免对双方现有产品结构的破坏。 
讨论异构系统情况。例如:现有环境是java开发的,要集成的系统是.net开发的。根据现有的环境,利用java语言定制代理集成组件(集成安全认证和业务鉴权),然后在代理集成组件上加上链接。用户在认证和鉴权后,就可以根据这些链接访问.net开发的系统。 
二、第三方业务系统不能部署在现有的环境中(例如:集成另一个成熟的环境)。这就需要把代理集成组件部署到第三方业务系统的环境中,然后在现有环境中的计费系统对各服务(业务或者产品)定价。这就把对两个系统的二次开发完全转移到对代理集成组件的展现设计上。如果第三方业务系统的环境 中存在计费系统,那么代理集成组件只需要在现有环境中做反向认证(因为是从现有环境的门户去访问),就可以取得用户身份,然后利用用户身份去第三方业务系统环境中的计费系统做计费。 
例如:把代理集成组件放置到被集成的环境中,用户登录门户系统的环境后,如要访问被集成的第三方系统,则代理集成组件首先会把访问重定向到现有门户系统的安全认证上,利用登录后获得的身份标识在安全系统中得到临时的令牌,然后拿着令牌去代理集成组件,代理集成组件获得此令牌后,拿着令牌去认证系统校验此令牌是否为认证系统颁发,如果是则返回用户身份,同时令牌失效。因为代理集成组件在两个环境之间作反向认证,则可以保证环境之间的安全性。 
三、第三方业务系统只提供一种服务。这样就把代理集成组件作为这种服务在线和购买的入口,然后在计费系统后台对这种服务定价就可以实现快速集成。 
四、第三方只扮演CP而不是SP的身份。这种情况下CP必须把内容提供给某个SP才能作为服务在计费系统中定价并提供给用户使用。使用代理集成组件作为简单的SP来对这些内容加以聚类(每一个聚类为鉴权入口,鉴权后在每个聚类中对内容作更进一步的展示),并分别针对每种聚类在计费系统中定价从而提供给用户使用。 
可以看出,以上不管是哪种方式的集成,代理集成组件针对本环境定制后,不用针对每种方式的集成再做安全认证和计费鉴权的开发工作。另外,任何场景下第三方业务系统提供的服务都需要在计费系统(无论哪个环境下的计费系统)的后台通过管理员手工定价。 
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉该技术的人在本发明所揭露的技术范围内,可轻易想到的变 化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。 

Claims (5)

1.一种实现认证的方法,适用于数字电视领域,其特征在于,包括以下步骤:
A、用户登录到门户系统,门户系统向认证系统请求认证用户信息;
B、认证系统向门户系统返回用户身份和用户访问凭证,并存储在门户系统;
C、用户通过门户系统向代理集成组件发送访问第三方业务系统的请求;
D、代理集成组件拦截所述请求,并重定向到门户系统;
E、门户系统利用存储的用户访问凭证向认证系统请求认证用户身份并申请令牌;
F、通过认证后,认证系统向门户系统发送令牌;
G、门户系统将所述令牌发送给代理集成组件,代理集成组件将所述令牌发送给认证系统反向认证;
H、认证通过后,认证系统向代理集成组件发送用户身份;
I、代理集成组件将所述用户身份发送给计费系统鉴权;
J、鉴权通过后,用户可以通过代理集成组件访问第三方业务系统。
2.根据权利要求1所述的一种实现认证的方法,其特征在于,步骤H还包括以下步骤:将所述令牌作废。
3.根据权利要求1所述的一种实现认证的方法,其特征在于,步骤J进一步包括以下步骤:
计费系统完成鉴权后,向代理集成组件发送状态码;
如果所述状态码为成功,用户可以通过代理集成组件访问第三方业务系统。
4.根据权利要求1所述的一种实现认证的方法,其特征在于,步骤J还包括以下步骤:
如果鉴权没有通过,代理集成组件将定向至提示页面。
5.一种实现认证的系统,适用于数字电视领域,其特征在于,包括用户终端、门户系统、认证系统、计费系统、代理集成组件和第三方业务系统,其中,
用户终端,用于用户向门户系统发送用户信息进行登录;
门户系统,用于向认证系统发送认证用户信息请求、接收并存储认证系统返回的用户身份和访问凭证、访问代理集成组件、向认证系统发送认证用户身份请求和申请令牌、并将获得的令牌发送给代理集成组件;
认证系统,用于认证门户系统发来的用户信息并返回用户身份和访问凭证、认证门户系统发送的用户身份并返回令牌、认证代理集成组件发来的令牌并返回用户身份;
计费系统,用于对代理集成组件发来的用户身份进行鉴权,并返回鉴权状态码;
代理集成组件,用于接收门户系统发来的访问第三方业务系统的请求并重定向到门户系统、接收门户系统发来的令牌、将令牌发送给认证系统认证并获得用户身份、将用户身份发送给计费系统鉴权并获得鉴权状态码、并与第三方业务系统连接通信;
第三方业务系统,用于向用户提供应用业务。
CN2008102398319A 2008-12-12 2008-12-12 一种实现认证的方法和系统 Expired - Fee Related CN101431654B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN2008102398319A CN101431654B (zh) 2008-12-12 2008-12-12 一种实现认证的方法和系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN2008102398319A CN101431654B (zh) 2008-12-12 2008-12-12 一种实现认证的方法和系统

Publications (2)

Publication Number Publication Date
CN101431654A CN101431654A (zh) 2009-05-13
CN101431654B true CN101431654B (zh) 2010-12-01

Family

ID=40646782

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2008102398319A Expired - Fee Related CN101431654B (zh) 2008-12-12 2008-12-12 一种实现认证的方法和系统

Country Status (1)

Country Link
CN (1) CN101431654B (zh)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101990183B (zh) * 2009-07-31 2013-10-02 国际商业机器公司 保护用户信息的方法、装置及系统
CN101783795B (zh) * 2009-12-25 2013-02-13 天柏宽带网络技术(北京)有限公司 一种安全等级认证的方法和系统
CN103178969B (zh) * 2013-04-16 2016-06-29 河南有线电视网络集团有限公司 一种业务鉴权方法及系统
CN104348857B (zh) * 2013-07-30 2019-01-11 北大方正集团有限公司 用于将业务系统集成至门户系统的方法及系统
CN109361705B (zh) * 2018-12-12 2020-09-01 安徽江淮汽车集团股份有限公司 一种在线视频单点登录方法
CN110213223B (zh) * 2019-03-21 2022-03-01 腾讯科技(深圳)有限公司 业务管理方法、装置、系统、计算机设备和存储介质
CN111131208B (zh) * 2019-12-13 2022-03-25 广州极晟网络技术有限公司 第三方业务应用登录方法、装置、计算机设备和存储介质

Also Published As

Publication number Publication date
CN101431654A (zh) 2009-05-13

Similar Documents

Publication Publication Date Title
CN101431654B (zh) 一种实现认证的方法和系统
CN104320423B (zh) 基于Cookie的单点登录轻量级实现方法
CN108600203A (zh) 基于Cookie的安全单点登录方法及其统一认证服务系统
CN107294916B (zh) 单点登录方法、单点登录终端及单点登录系统
CN105229987B (zh) 主动联合的移动认证
CN101582764B (zh) 基于动态口令进行身份认证的方法和系统
CN101582762B (zh) 基于动态口令进行身份认证的方法和系统
CN104539615B (zh) 基于cas的级联认证方法
CN102882835B (zh) 一种实现单点登录的方法及系统
CN106162574A (zh) 集群系统中应用统一鉴权方法、服务器与终端
CN105144111A (zh) 用于不同web服务架构的中继服务
CN102638454A (zh) 一种面向http身份鉴别协议的插件式单点登录集成方法
CN110602252B (zh) 一种区块链增强的开放物联网接入架构
CN107770192A (zh) 在多系统中身份认证的方法和计算机可读存储介质
CN102209046A (zh) 网络资源整合系统及方法
CN103716283B (zh) 用于在流程中处理调用的Web服务的OAuth认证的方法和系统
CN109242663A (zh) 一种基于区块链技术的记账方法及系统
CN110278180A (zh) 金融信息的交互方法、装置、设备及存储介质
CN104184836B (zh) 基于远程服务业务的多业务单点登录系统及方法
CN111049806A (zh) 一种联合权限控制方法、装置、电子设备和存储介质
CN104580081A (zh) 一种集成式单点登录系统
CN114154993A (zh) 一种基于区块链的v2g网络跨域交易安全方法
CN102255904A (zh) 一种通信网络以及对终端的认证方法
EP4154441B1 (en) Access management of publisher nodes for secure access to maas network
KR20090095940A (ko) 거래단계 검증을 통한 비대면 금융거래 방법 및 시스템과이를 위한 기록매체

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
ASS Succession or assignment of patent right

Owner name: BEIJING HUIXINBOSI TECHNOLOGY CO., LTD.

Free format text: FORMER OWNER: TEMBEC BROADBAND NETWORK TECHNOLOGY ( BEIJING ) CO., LTD.

Effective date: 20090807

C41 Transfer of patent application or patent right or utility model
TA01 Transfer of patent application right

Effective date of registration: 20090807

Address after: A, 31 floor, block 2, digital building, No. 100086 South Avenue, Beijing, Haidian District: Zhongguancun

Applicant after: Beijing Husen Technology Co., Ltd.

Address before: A, 19 floor, block 2, digital building, No. 100086 South Avenue, Beijing, Haidian District: Zhongguancun

Applicant before: Digital Video Networks (Beijing) Co., Ltd.

C14 Grant of patent or utility model
GR01 Patent grant
ASS Succession or assignment of patent right

Owner name: DVN BEIJING CO., LTD.

Free format text: FORMER OWNER: BEIJING HUSEN TECHNOLOGY CO., LTD.

Effective date: 20121025

C41 Transfer of patent application or patent right or utility model
COR Change of bibliographic data

Free format text: CORRECT: ADDRESS; FROM: 100086 HAIDIAN, BEIJING TO: 100088 HAIDIAN, BEIJING

TR01 Transfer of patent right

Effective date of registration: 20121025

Address after: 100088, room 2, peony building, No. 1302 peony, Haidian District, Beijing, Huayuan Road

Patentee after: Beijing Huixin Bosi Technology Co., Ltd

Address before: 100086, 31 floor, block A, digital building, No. 2 South Avenue, Beijing, Haidian District, Zhongguancun

Patentee before: Beijing Husen Technology Co., Ltd.

EE01 Entry into force of recordation of patent licensing contract

Application publication date: 20090513

Assignee: Beijing Huixin Bosi Technology Co., Ltd

Assignor: Beijing Husen Technology Co., Ltd.

Contract record no.: 2012990000745

Denomination of invention: Method and system for implementing authentication

Granted publication date: 20101201

License type: Common License

Record date: 20121010

LICC Enforcement, change and cancellation of record of contracts on the licence for exploitation of a patent or utility model
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20101201

Termination date: 20181212

CF01 Termination of patent right due to non-payment of annual fee