專利名稱:一種面向云電視終端身份認(rèn)證實(shí)現(xiàn)方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明屬于信息安全中的身份認(rèn)證領(lǐng)域,具體涉及一種云電視終端身份認(rèn)證實(shí)現(xiàn)方法。
背景技術(shù):
在云計(jì)算、物聯(lián)網(wǎng)新一代網(wǎng)絡(luò)場景中,身份認(rèn)證是一個(gè)最重要的因素,也是整個(gè)信息安全體系的基礎(chǔ)。云電視作為智能電視與物聯(lián)網(wǎng)、云計(jì)算等新興技術(shù)的融合體,引領(lǐng)了國內(nèi)外彩電產(chǎn)業(yè)的發(fā)展方向,是智能電視發(fā)展的高級(jí)階段。傳統(tǒng)的身份認(rèn)證技術(shù),諸如靜態(tài)口令、動(dòng)態(tài)口令、矩陣卡技術(shù)、對(duì)稱加密技術(shù)和公私鑰技術(shù),已不能滿足云電視終端發(fā)展的需要。同時(shí),面對(duì)一種新興的事物,相關(guān)的組織和機(jī)構(gòu)還沒有明確地提出較為完善的身份認(rèn)證體系。如何在云電視這種云端設(shè)備,應(yīng)對(duì)基本業(yè)務(wù)及不斷擴(kuò)展的增值業(yè)務(wù),確定訪問者的真實(shí)身份;如何解決不同業(yè)務(wù)實(shí)體在不同網(wǎng)絡(luò)、不同業(yè)務(wù)間建立可靠的身份認(rèn)證的共享服務(wù),避免由異構(gòu)認(rèn)證機(jī)制帶來的復(fù)雜性,提升了實(shí)體用戶對(duì)網(wǎng)絡(luò)和業(yè)務(wù)的使用效率、提高身份信息的安全性。要真正地解決這些問題需要實(shí)現(xiàn)基于PKI的數(shù)字證書作為安全基礎(chǔ)設(shè)施為其提供可靠安全服務(wù)的可信身份標(biāo)識(shí)體系。近年來,一些企業(yè)組織和科研機(jī)構(gòu)已經(jīng)將基于PKI數(shù)字證書的技術(shù),廣泛的應(yīng)用于AndroicUIOS等智能化設(shè)備中,并且取得了良好的效果。該技術(shù)有效地滿足了智能化設(shè)備的多業(yè)務(wù)需求、基礎(chǔ)安全保障等場景,實(shí)現(xiàn)各業(yè)務(wù)系統(tǒng)的互通互聯(lián)的訪問,所以需要可信的云電視身份標(biāo)識(shí)體系,加速云電視產(chǎn)業(yè)鏈的發(fā)展。
發(fā)明內(nèi)容
本方案擬建立基于PKI證書體系的兩級(jí)云電視終端證書CA中心,及在云電視終端預(yù)裝統(tǒng)一數(shù)字證書,形成云電視終端的信任根,并建立云電視終端的統(tǒng)一身份認(rèn)證中心系統(tǒng)。在此基礎(chǔ)上,通過安全、實(shí)用、具有法律效力的數(shù)字證書有效地解決云電視終端各應(yīng)用系統(tǒng)在身份認(rèn)證、授權(quán)管理、責(zé)任認(rèn)定等方面的安全風(fēng)險(xiǎn),提升各應(yīng)用系統(tǒng)信息安全保障能力。其核心是構(gòu)建服務(wù) 于云電視制造商、云電視終端用戶、應(yīng)用程序開發(fā)商等云電視產(chǎn)業(yè)鏈成員的云電視終端身份信任基礎(chǔ)設(shè)施。簡要介紹本方案的基本思想,具體來說,本發(fā)明技術(shù)方案包括下列幾個(gè)方面:方面一:建立基于PKI證書體系的兩級(jí)云電視終端證書CA中心,為云電視終端證書(用戶證書)的生產(chǎn)、運(yùn)營和管理提供基礎(chǔ)服務(wù)。同時(shí)該兩級(jí)證書CA中心可快速的建立兩級(jí)用戶管理體系,降低用戶管理的成本,為構(gòu)建云電視行業(yè)的安全基礎(chǔ)設(shè)施奠定堅(jiān)實(shí)的基礎(chǔ)。方面二:借助云電視終端預(yù)裝的統(tǒng)一證書的信任根,實(shí)現(xiàn)自身云電視終端證書(用戶證書)激活,幫助廠商和公共服務(wù)機(jī)構(gòu)掌握用戶的活躍度,同時(shí)為用戶訪問基本業(yè)務(wù)和增值業(yè)務(wù)提供信任支撐。方面三:由于云電視終端用戶訪問本地制造商門戶時(shí),需要統(tǒng)一身份認(rèn)證中心系統(tǒng)的身份認(rèn)證服務(wù)為其提供可信的用戶登錄的身份證明,以方便用戶訪問本門戶內(nèi)各個(gè)應(yīng)用資源,以減少了登錄頻率,實(shí)現(xiàn)“一次認(rèn)證,多點(diǎn)訪問”。方面四:由于云電視終端用戶訪問除本制造商門戶之外的不同云服務(wù)提供商的資源時(shí),需要統(tǒng)一身份認(rèn)證中心系統(tǒng)的身份斷言服務(wù)為用戶頒發(fā)身份斷言憑證(如SAML、WS-federation, JWT)。該憑證可為用戶建立起可靠的域間用戶身份聯(lián)合,從而有效地解決用戶跨云訪問云資源服務(wù)提供商的各種應(yīng)用,實(shí)現(xiàn)多系統(tǒng)、多平臺(tái)的互聯(lián)互通,全面提升了各種跨云應(yīng)用的用戶體驗(yàn)。本發(fā)明具體方案如下:一種面向云電視終端身份認(rèn)證訪問方法,其步驟包括:I)在云電視終端中內(nèi)置安全代理、預(yù)裝統(tǒng)一證書,同時(shí)設(shè)置一個(gè)云電視終端CloudTV CA中心、各制造商本地CA系統(tǒng)、一般性運(yùn)行CA系統(tǒng)、本地制造商門戶和/或云服務(wù)App客戶端上的認(rèn)證代理和統(tǒng)一身份認(rèn)證中心系統(tǒng);2)根據(jù)PKI證書體系將所述云電視終端CloudTV CA中心和制造商本地CA系統(tǒng)建立為兩級(jí)證書管理中心,所述制造商本地CA系統(tǒng)根據(jù)所述云電視終端CloudTV CA中心簽發(fā)的授權(quán)證書在權(quán)限范圍內(nèi)對(duì)所述云電視終端進(jìn)行用戶證書在線簽發(fā);
·
3)用戶在云電視終端聯(lián)網(wǎng)狀況下對(duì)云電視終端上所述用戶證書進(jìn)行激活,根據(jù)云電視終端設(shè)備號(hào)及出廠時(shí)設(shè)定的硬件信息生成用戶的公私鑰對(duì),通過本地制造商門戶中的CA系統(tǒng)證書服務(wù)接口,訪問所述制造商本地CA系統(tǒng),觸發(fā)證書激活業(yè)務(wù);4)完成證書激活業(yè)務(wù)后對(duì)本地制造商門戶內(nèi)應(yīng)用和/或云端服務(wù)商應(yīng)用進(jìn)行訪問;4-1)訪問本地制造商門戶時(shí),用戶在所述云電視終端先進(jìn)行用戶身份認(rèn)證,若認(rèn)證通過,則對(duì)本地制造商門戶內(nèi)應(yīng)用進(jìn)行訪問;4-2)訪問云應(yīng)用服務(wù)商應(yīng)用時(shí),用戶先在云電視終端為云應(yīng)用服務(wù)商提供身份斷言憑證,云服務(wù)商通過該斷言憑證實(shí)現(xiàn)用戶對(duì)云應(yīng)用的訪問。所述CloudTV CA中心是按照如下方法建立兩級(jí)證書中心的:I)所述CloudTV CA中心通過離線根CA系統(tǒng)統(tǒng)一簽發(fā)一般性運(yùn)行CA的根證書以及各制造商本地CA的根證書;2)根據(jù)所述CloudTV CA中心的CA管理系統(tǒng)為各制造商本地CA進(jìn)行證書簽發(fā)授權(quán),各制造商根據(jù)自身生產(chǎn)規(guī)模向CloudTV CA中心申請證書簽發(fā)授權(quán),獲取相應(yīng)的許可配置到自身本地CA系統(tǒng)中;3)各制造商本地CA系統(tǒng)將在線為終端簽發(fā)證書,同時(shí)將簽發(fā)的證書自動(dòng)同步到CloudTVCA中心進(jìn)行備案管理。所述制造商本地CA系統(tǒng)對(duì)所述云電視終端進(jìn)行用戶證書簽發(fā)的方法如下:①z 電視制造商本地CA系統(tǒng)部署完成以后,根據(jù)自身生廣計(jì)劃向CloudTV CA中心申請證書簽發(fā)許可授權(quán);②CloudTV CA中心審核申請,通過后初始化云電視制造商本地CA系統(tǒng),對(duì)用戶證書在線簽發(fā);③每臺(tái)云電視終端借助預(yù)裝的統(tǒng)一證書,依據(jù)需求向本地制造商CA系統(tǒng)申請?jiān)诰€簽發(fā)自身的云電視終端用戶證書;④云電視制造商本地CA系統(tǒng)定期自動(dòng)將在線簽發(fā)的證書同步到CloudTV CA中心進(jìn)行備案統(tǒng)計(jì)。
更進(jìn)一步,訪問本地制造商門戶時(shí),用戶在所述云電視終端先進(jìn)行用戶身份認(rèn)證需滿足:所述云電視終端預(yù)裝制造商統(tǒng)一證書和制造商服務(wù)器證書、內(nèi)置安全代理,并保證云電視終端在安全存儲(chǔ)區(qū)提供不同的安全存儲(chǔ)位置保存用戶證書與制造商統(tǒng)一證書。更進(jìn)一步,對(duì)云電視終端上所述用戶證書進(jìn)行激活的方法如下:a.若證書未激活,由安全代理讀取云電視終端唯一設(shè)備號(hào)及相關(guān)硬件信息,生成用戶的公私鑰對(duì),并自動(dòng)導(dǎo)引訪問制造商門戶,觸發(fā)證書激活業(yè)務(wù);b.由安全代理引導(dǎo)訪問制造商門戶,并使用預(yù)裝的制造商統(tǒng)一證書與制造商門戶完成身份認(rèn)證,建立起SSL安全通道;c.所述云電視終端內(nèi)置的安全代理發(fā)送用戶私鑰簽名的證書簽發(fā)請求到制造商門戶;d.所述制造商門戶通過本地CA系統(tǒng)證書服務(wù)接口向本廠商的本地CA系統(tǒng)轉(zhuǎn)發(fā)證書簽發(fā)請求;e.本廠商的本地CA系統(tǒng)接收到證書簽發(fā)請求后,啟動(dòng)證書簽發(fā)服務(wù),生成用戶證書,同時(shí)生成一個(gè)隨機(jī)數(shù),并對(duì)該隨機(jī)數(shù)簽名,一并返回給制造商門戶;f.云電視終端接收從制造商門戶傳回的用戶證書及隨機(jī)數(shù)簽名,并通過安全代理用制造商服務(wù)器證書驗(yàn)證隨機(jī)數(shù)簽名,驗(yàn)證通過安裝用戶證書。優(yōu)選地,對(duì)云電視終端上所述用戶證書激活證書驗(yàn)證的方法為:A.云電視終端通·過安全代理使用自身的用戶證書私鑰對(duì)該隨機(jī)數(shù)簽名,并發(fā)送服務(wù)器驗(yàn)證信息給制造商門戶;B.制造商門戶驗(yàn)證接收到該信息后,轉(zhuǎn)發(fā)給制造商本地CA系統(tǒng),驗(yàn)證通過,并標(biāo)記該證書已激活,同時(shí)回傳給云電視終端認(rèn)證信息??蛇x地,用戶在云電視終端為云應(yīng)用服務(wù)商提供身份斷言憑證需滿足:云電視終端已預(yù)裝統(tǒng)一身份認(rèn)證中心證書、內(nèi)置安全代理以及已執(zhí)行完激活業(yè)務(wù)操作,同時(shí)用戶證書已保存在安全存儲(chǔ)區(qū),且存儲(chǔ)位置與制造商統(tǒng)一證書不同。更進(jìn)一步,訪問本地制造商門戶時(shí),用戶在所述云電視終端進(jìn)行用戶身份認(rèn)證方法為:A.用戶發(fā)起訪問制造商門戶請求到云電視終端內(nèi)置的安全代理,制造商門戶通過認(rèn)證代理攔截該訪問請求,同時(shí)通過統(tǒng)一身份認(rèn)證中心系統(tǒng)的認(rèn)證接口向統(tǒng)一身份認(rèn)證中心系統(tǒng)轉(zhuǎn)發(fā)認(rèn)證請求;B.所述統(tǒng)一身份認(rèn)證中心系統(tǒng)服務(wù)器產(chǎn)生隨機(jī)數(shù),使用統(tǒng)一身份認(rèn)證中心證書私鑰對(duì)隨機(jī)數(shù)簽名,并通過認(rèn)證代理將隨機(jī)數(shù)以及隨機(jī)數(shù)簽名返回給云電視終端;C.云電視終端接收到上述信息后,通過內(nèi)置的安全代理使用統(tǒng)一身份認(rèn)證中心證書公鑰驗(yàn)證隨機(jī)數(shù)簽名的可靠性;D.若驗(yàn)證不通過,則停止該身份認(rèn)證過程;若驗(yàn)證通過,則通過安全代理使用用戶證書私鑰對(duì)隨機(jī)數(shù)簽名,并將用戶證書和隨機(jī)數(shù)簽名通過認(rèn)證代理一起轉(zhuǎn)交給統(tǒng)一身份認(rèn)證中心系統(tǒng)進(jìn)行驗(yàn)證;E.統(tǒng)一身份認(rèn)證中心首先驗(yàn)證用戶證書,若簽名值和用戶證書驗(yàn)證都通過,則該用戶是合法的注冊用戶,允許用戶訪問制造商門戶,同時(shí)設(shè)置身份認(rèn)證標(biāo)識(shí)標(biāo)記該用戶已獲得合法認(rèn)證,返回認(rèn)證信息到云電視終端。可選地,訪問云應(yīng)用服務(wù)商應(yīng)用App時(shí),用戶在云電視終端為云應(yīng)用服務(wù)商提供身份斷言憑證的方法為:①用戶發(fā)起訪問跨云應(yīng)用App請求,云電視終端內(nèi)置的安全代理判斷該用戶是否獲得了身份斷言憑證或者該憑證是否已失效,若失效或未獲得憑證則由云應(yīng)用客戶端通過認(rèn)證代理攔截該訪問請求,同時(shí)通過統(tǒng)一身份認(rèn)證中心系統(tǒng)的認(rèn)證接口向統(tǒng)一身份認(rèn)證中心系統(tǒng)轉(zhuǎn)發(fā)認(rèn)證請求;②所述統(tǒng)一身份認(rèn)證中心系統(tǒng)服務(wù)器產(chǎn)生隨機(jī)數(shù),使用統(tǒng)一身份認(rèn)證中心證書私鑰對(duì)隨機(jī)數(shù)簽名,并通過認(rèn)證代理將隨機(jī)數(shù)以及隨機(jī)數(shù)簽名返回給云電視終端;③云電視終端接收到上述信息后,通過內(nèi)置的安全代理使用統(tǒng)一身份認(rèn)證中心證書公鑰驗(yàn)證隨機(jī)數(shù)簽名的可靠性;④驗(yàn)證通過后通過安全代理使用用戶證書私鑰對(duì)隨機(jī)數(shù)簽名,并將用戶證書和隨機(jī)數(shù)簽名通過認(rèn)證代理一起轉(zhuǎn)交給統(tǒng)一身份認(rèn)證中心系統(tǒng)進(jìn)行驗(yàn)證;⑤統(tǒng)一身份認(rèn)證中心系統(tǒng)驗(yàn)證簽名值,驗(yàn)證用戶證書的有效性;⑥若簽名值和用戶證書驗(yàn)證都通過,則用戶是合法的注冊用戶,將為用戶頒發(fā)統(tǒng)一身份認(rèn)證中心系統(tǒng)簽發(fā)的身份斷言憑證,同時(shí)設(shè)置身份斷言憑證的有效期,返回認(rèn)證信息給云電視終端。基于訪問方法本發(fā)明還提出一種面向云電視終端身份認(rèn)證訪問系統(tǒng),包括:一統(tǒng)一身份認(rèn)證中心系統(tǒng)、一云電視終端CloudTV CA中心、 般性運(yùn)行CA系統(tǒng)、多個(gè)制造商本地CA系統(tǒng)、多個(gè)云電視終端以及本地制造商門戶/云服務(wù)客戶端上的認(rèn)證代理;所述云電視終端, 內(nèi)置安全代理、預(yù)裝統(tǒng)一證書,為用戶提供本地及云端服務(wù);所述統(tǒng)一身份認(rèn)證中心系統(tǒng),為用戶提供身份認(rèn)證和斷言服務(wù);所述本地制造商門戶/云服務(wù)客戶端上的認(rèn)證代理,負(fù)責(zé)攔截和轉(zhuǎn)發(fā)認(rèn)證請求和認(rèn)證回復(fù)信息;所述一般性運(yùn)行CA系統(tǒng),負(fù)責(zé)簽發(fā)面向服務(wù)部門的證書,如為統(tǒng)一身份中心系統(tǒng)頒發(fā)服務(wù)器證書;所述制造商本地CA系統(tǒng),制造商管理員根據(jù)自身生產(chǎn)計(jì)劃申請簽發(fā)許可授權(quán),在簽發(fā)權(quán)限內(nèi)在線地簽發(fā)用戶證書,同時(shí)會(huì)在一段時(shí)間間隔內(nèi)上傳至CloudTV CA中心,完成與云電視終端CloudTV CA中心的文件交互和備份;所述云電視終端CloudTV CA中心,根據(jù)PKI證書體系建立兩級(jí)云電視終端證書CA中心的一級(jí)CA,負(fù)責(zé)簽發(fā)一般性運(yùn)行CA的根證書和各制造商本地CA的根證書。本發(fā)明與現(xiàn)有技術(shù)相比,具有以下顯著優(yōu)點(diǎn):用戶管理成本低、安全性高、登錄頻率少和跨域訪問便利。由于本發(fā)明采用了基于PKI證書體系的兩級(jí)云電視終端證書CA中心,同時(shí)采用PKI的數(shù)字證書技術(shù)及統(tǒng)一身份認(rèn)證中心的身份認(rèn)證和身份斷言服務(wù),因此用戶管理成本低、安全性高、登錄頻率少和跨域訪問便利。
下面結(jié)合附圖對(duì)本發(fā)明作進(jìn)一步的說明。
圖1為本發(fā)明實(shí)施總體框架;圖2兩級(jí)云電視終端證書CA中心結(jié)構(gòu)圖;圖3制造商本地CA系統(tǒng)與CloudTV CA中心、云電視終端數(shù)據(jù)流及交互關(guān)系圖;圖4云電視終端證書(用戶證書)激活流程圖;圖5云電視終端身份認(rèn)證流程圖;圖6云電視終端身份斷言流程圖。
具體實(shí)施例方式為使本發(fā)明的目的、優(yōu)點(diǎn)以及技術(shù)方案更加清楚明白,以下通過具體實(shí)施,并結(jié)合附圖,對(duì)本發(fā)明進(jìn)一步詳細(xì)說明。對(duì)于圖1從整體上描述了該方案實(shí)施的總體框架,主要包括下面四部分的內(nèi)容。
一、基于PKI證書體系的兩級(jí)云電視終端證書證書管理機(jī)構(gòu)CA中心的實(shí)現(xiàn)方法每個(gè)云電視制造廠商分別部署一套制造商本地證書管理機(jī)構(gòu)CA系統(tǒng),負(fù)責(zé)為本廠商的云電視簽發(fā)數(shù)字證書,同時(shí)在每臺(tái)云電視終端中內(nèi)置安全代理、預(yù)裝統(tǒng)一證書(包括制造商統(tǒng)一證書(即各制造商證書)、制造商服務(wù)器證書和統(tǒng)一身份認(rèn)證中心證書)。從圖2可以看出兩級(jí)主要分為:第一級(jí)是云電視終端CA中心;第二級(jí)是制造商本地CA系統(tǒng)和一般性運(yùn)行CA系統(tǒng)。第一級(jí)負(fù)責(zé)頒發(fā)第二級(jí)的證書,授權(quán)二級(jí)CA具備簽發(fā)能力及備份和統(tǒng)計(jì)二級(jí)CA簽發(fā)的證書。第二級(jí)負(fù)責(zé)為云電視終端頒發(fā)用戶證書和為各個(gè)服務(wù)部門頒發(fā)服務(wù)器證書,各個(gè)服務(wù)部門之一指如統(tǒng)一身份認(rèn)證中心。結(jié)合圖2對(duì)云電視終端CA中心(CloudTV CA中心)與制造商本地CA系統(tǒng)的關(guān)系說明如下:DCloudTV CA中心作為云電視產(chǎn)業(yè)鏈信任源的起點(diǎn),通過該中心的離線根CA系統(tǒng)統(tǒng)一簽發(fā)各制造商本地CA的根證書(制造商本地CA系統(tǒng)負(fù)責(zé)簽發(fā)本云電視終端的用戶證書)和一般性運(yùn)行CA的根證書(一般性運(yùn)行CA系統(tǒng)負(fù)責(zé)簽發(fā)面向服務(wù)部門的證書,如為統(tǒng)一身份中心系統(tǒng)頒發(fā)服務(wù)器證書);2)通過CloudTV CA中心的CA管理系統(tǒng)為各制造商本地CA系統(tǒng)進(jìn)行證書簽發(fā)授權(quán),各制造商根據(jù)自身生產(chǎn)規(guī)模向CloudTV CA中心申請證書簽發(fā)授權(quán),獲取相應(yīng)的License配置到自身本地CA系統(tǒng)之中;3)各制造商本地CA系統(tǒng)將在線為終端簽發(fā)證書,同時(shí)將簽發(fā)的證書自動(dòng)同步到CloudTVCA中心,接受中心的統(tǒng)一備案管理。為了進(jìn)一步詳細(xì)的描述制造商本地CA系統(tǒng)與CloudTV CA中心、云電視終端的關(guān)系,結(jié)合圖3對(duì)其數(shù)據(jù)流及交互過程進(jìn)行說明,如下:①z 電視制造商本地CA系統(tǒng)部署完成以后,根據(jù)自身生廣計(jì)劃向CloudTV CA中心申請證書簽發(fā)License授權(quán);②CloudTV CA中心審核申請,通過后初始化云電視制造商本地CA系統(tǒng),使其具備證書在線簽發(fā)的能力;③每臺(tái)云電視終端借助預(yù)裝的統(tǒng)一證書,依據(jù)需求向本地制造商CA系統(tǒng)申請?jiān)诰€簽發(fā)自身的云電視終端證書(用戶證書),此過程為用戶證書的激活,將在步驟二中進(jìn)行詳細(xì)介紹;④云電視制造商本地CA系統(tǒng)定期自動(dòng)將在線簽發(fā)的證書同步到CloudTV CA中心進(jìn)行備案和統(tǒng)計(jì)管理。上述過程相比與現(xiàn)有技術(shù)不同之處在于采用了兩級(jí)證書認(rèn)證的方法,通過兩級(jí)證書CA,減輕了中心CA的證書管理負(fù)擔(dān),再就是制造商自己管理自己的用戶,減輕了用戶管理負(fù)擔(dān)。CloudTV CA中心主要的功能就是統(tǒng)計(jì)整體證書數(shù)量、備案用戶證書和負(fù)責(zé)簽發(fā)二級(jí)證書,授權(quán)二級(jí)中心具備簽發(fā)授權(quán)能力。建立了本地制造商、具有簽發(fā)能力的制造商本地CA系統(tǒng)、CloudTV CA中心以及云電視終端四方的依賴關(guān)系,制造商管理員首先會(huì)根據(jù)生產(chǎn)計(jì)劃申請簽發(fā)license授權(quán),然后發(fā)往CloudTV CA中心進(jìn)行審核,審核完成后在CloudTV CA中心進(jìn)行備案;CloudTV CA中心會(huì)與本地的制造商本地CA系統(tǒng)進(jìn)行文件備份,使本地即可實(shí)現(xiàn)用戶在CloudTV CA中心的證書管理,當(dāng)用戶啟動(dòng)云端電視進(jìn)行證書激活時(shí),本地的制造商本地CA系統(tǒng)在線簽發(fā)用戶證書。二、基于統(tǒng)一證書的云電視終端證書激活的實(shí)現(xiàn)方法用戶在云電視終端聯(lián)網(wǎng)狀況下,開機(jī)將觸發(fā)云電視終端證書(用戶證書)的激活過程,該過程實(shí)施的前提條件是云電視終端已預(yù)裝制造商統(tǒng)一證書(P12證書)和制造商服務(wù)器證書、內(nèi)置安全代理,并保證云電視終端在安全存儲(chǔ)區(qū)提供不同的安全存儲(chǔ)位置保存用戶證書與制造商統(tǒng)一證書(即用戶證書不能覆蓋制造商統(tǒng)一證書)。下面結(jié)合圖4具體描述其執(zhí)行過程:①打開云電視,云電視終端內(nèi)置的安全代理自動(dòng)監(jiān)測云電視終端是否已連接網(wǎng)絡(luò),若未連接網(wǎng)絡(luò),則提示用戶去連接網(wǎng)絡(luò)以便獲得更多個(gè)性化服務(wù);若監(jiān)測到已連接了網(wǎng)絡(luò),則監(jiān)測與本機(jī)匹配的數(shù)字證書是否存在或者是否已失效(即證書過期或撤銷CRL),若證書已存在且證書未失效,則停止用戶證書激活過程,用戶便可以去獲得個(gè)性化的服務(wù);否則由安全代理讀取云電視終端唯一設(shè)備號(hào)及相關(guān)硬件信息(如CPU、GPU、RAM、MAC),生成用戶的公私鑰對(duì),并自動(dòng)導(dǎo)引訪問制造商門戶,觸發(fā)證書激活業(yè)務(wù);②由安全代理引導(dǎo)訪問制造商門戶,并使用制造商預(yù)裝的統(tǒng)一證書(pl2證書)與制造商門戶完成身份認(rèn)證,建立起SSL安全通道;③云電視終端內(nèi)置的安全代理發(fā)送用戶私鑰簽名的證書簽發(fā)請求PKCS#10 (包括設(shè)備ID+公鑰+設(shè)備信息的Hash+ (或)可擴(kuò)展的設(shè)備唯一性信息)到制造商門戶;④制造商門戶通過本地CA系統(tǒng)證書服務(wù)接口向本廠商的本地CA系統(tǒng)轉(zhuǎn)發(fā)證書簽發(fā)請求;⑤本廠商的本地CA系統(tǒng)接收到證書簽發(fā)請求后,啟動(dòng)證書簽發(fā)服務(wù),生成用戶證書,同時(shí)生成一個(gè)隨機(jī)數(shù),并對(duì)該隨機(jī)數(shù)簽名,一起返回給制造商門戶;⑥云電視終端接收從制造商門戶傳回的用戶證書及隨機(jī)數(shù)簽名,并通過安全代理用制造商服務(wù)器證書驗(yàn)證隨機(jī)數(shù)簽名,驗(yàn)證通過,安裝用戶證書;⑦云電視終端通過安全代理使用自身的用戶證書私鑰對(duì)該隨機(jī)數(shù)簽名,并發(fā)送服務(wù)器驗(yàn)證信息(隨機(jī)數(shù)簽名+用戶證書+設(shè)備信息的Hash)給制造商門戶;⑧制造商門戶驗(yàn)證接收到該信息后,轉(zhuǎn)發(fā)給制造商本地CA系統(tǒng),驗(yàn)證通過,并標(biāo)記該證書已激活,同時(shí)回傳給云電視終端認(rèn)證 信息。該過程執(zhí)行完畢后為用戶訪問基本業(yè)務(wù)和增值業(yè)務(wù)提供信任支撐,建立起用戶自身的網(wǎng)絡(luò)信任源,是云電視用戶能享受個(gè)性化服務(wù)的重要前提。激活過程不需要統(tǒng)一身份認(rèn)證中心系統(tǒng)認(rèn)證,該過程是云電視終端和制造商本地CA系統(tǒng)兩者參與完成的。三、基于云電視終端證書身份認(rèn)證的實(shí)現(xiàn)方法云電視終端用戶要訪問本地制造商門戶的相關(guān)應(yīng)用時(shí),需要對(duì)用戶身份進(jìn)行認(rèn)證,該過程實(shí)施的前提條件是云電視終端已預(yù)裝統(tǒng)一身份認(rèn)證中心證書、內(nèi)置安全代理,并已執(zhí)行完步驟2的所有操作,順利安裝用戶證書(即用戶證書已保存在安全存儲(chǔ)區(qū),且存儲(chǔ)位置與制造商統(tǒng)一證書不同)。該過程執(zhí)行完畢后,用戶就可以訪問本門戶內(nèi)各個(gè)應(yīng)用資源,減少了登錄頻率,實(shí)現(xiàn)“一次認(rèn)證,多點(diǎn)訪問”。下面結(jié)合圖5具體描述其執(zhí)行過程:①用戶發(fā)起訪問制造商門戶請求(如點(diǎn)擊制造商門戶按鈕),云電視終端內(nèi)置的安全代理判斷該用戶是否獲得了身份認(rèn)證標(biāo)識(shí)或者該標(biāo)識(shí)是否已失效,若該用戶已獲得身份認(rèn)證標(biāo)識(shí)且未失效,則停止該用戶身份認(rèn)證過程,用戶便可以通過已獲得的未失效的身份認(rèn)證標(biāo)識(shí)去訪問制造商門戶內(nèi)資源;否則制造商門戶通過認(rèn)證代理攔截該訪問請求,同時(shí)通過統(tǒng)一身份認(rèn)證中心系統(tǒng)的認(rèn)證接口向統(tǒng)一身份認(rèn)證中心系統(tǒng)轉(zhuǎn)發(fā)認(rèn)證請求;②統(tǒng)一身份認(rèn)證中心系統(tǒng)服務(wù)器產(chǎn)生隨機(jī)數(shù),使用統(tǒng)一身份認(rèn)證中心證書私鑰對(duì)隨機(jī)數(shù)簽名,并通過認(rèn)證代理將隨機(jī)數(shù)以及隨機(jī)數(shù)簽名返回給云電視終端;③云電視終端接收到上述信息后,通過內(nèi)置的安全代理使用統(tǒng)一身份認(rèn)證中心證書公鑰驗(yàn)證隨機(jī)數(shù)簽名的可靠性;④若驗(yàn)證不通過,則停止該身份認(rèn)證過程;若驗(yàn)證通過,則通過安全代理使用用戶證書私鑰對(duì)隨機(jī)數(shù)簽名,并將用戶證書和隨機(jī)數(shù)簽名通過認(rèn)證代理一起轉(zhuǎn)交給統(tǒng)一身份認(rèn)證中心系統(tǒng)進(jìn)行驗(yàn)證;⑤統(tǒng)一身份認(rèn)證中心首先驗(yàn)證用戶證書的有效性,若用戶證書驗(yàn)證不通過,則判斷該用戶是否被注銷;若用戶被注銷,則停止該身份認(rèn)證過程;若用戶沒有被注銷,則由統(tǒng)一身份認(rèn)證中心系統(tǒng)通知 安全代理執(zhí)行用戶證書激活(即第二步驟主要過程);若用戶證書驗(yàn)證通過,則驗(yàn)證簽名值,若簽名值驗(yàn)證不通過,則停止該身份認(rèn)證過程;若簽名值驗(yàn)證通過,則執(zhí)行下一步;⑥若簽名值和用戶證書驗(yàn)證都通過,則該用戶是合法的注冊用戶,允許用戶訪問制造商門戶,同時(shí)設(shè)置身份認(rèn)證標(biāo)識(shí)(如會(huì)話cookie或者持久cookies)標(biāo)記該用戶已獲得合法認(rèn)證,返回認(rèn)證信息(如設(shè)置cookie標(biāo)識(shí)值表明認(rèn)證已通過)到云電視終端,并展現(xiàn)制造商門戶主界面。四、基于跨云應(yīng)用的云電視終端證書身份斷言的實(shí)現(xiàn)方法本身域內(nèi)訪問是身份認(rèn)證該用戶合法就可以了 ;而跨云訪問則需要為用戶開發(fā)身份斷言憑證(相當(dāng)于介紹信)。用戶拿到身份斷言憑證去云服務(wù)商那里換取云服務(wù)訪問的令牌,真正能訪問云服務(wù)資源的是云服務(wù)商的云服務(wù)訪問令牌。云電視終端用戶要訪問除本地制造商門戶之外的相關(guān)應(yīng)用時(shí),需要為云應(yīng)用服務(wù)商提供用戶身份的身份斷言憑證(如SAML, WS-Federation, JffT (JSON Web Token)),該過程實(shí)施的前提條件是云電視終端已預(yù)裝統(tǒng)一身份認(rèn)證中心證書、內(nèi)置安全代理,并已執(zhí)行完步驟2的所有操作,順利安裝用戶證書(即用戶證書已保存在安全存儲(chǔ)區(qū),且存儲(chǔ)位置與制造商統(tǒng)一證書不同)。下面結(jié)合圖6具體描述其執(zhí)行過程:①用戶發(fā)起訪問跨云應(yīng)用App請求(如點(diǎn)擊云服務(wù)商App客戶端按鈕),云電視終端內(nèi)置的安全代理判斷該用戶是否獲得了身份斷言憑證或者該憑證是否已失效,若該用戶已獲得身份斷言憑證且未失效,則停止該用戶身份斷言過程,用戶便可以通過已獲得的未失效的身份斷言憑證實(shí)現(xiàn)與跨云應(yīng)用服務(wù)提供商的身份聯(lián)合,并由云服務(wù)提供商依據(jù)自身的業(yè)務(wù)邏輯,提供用戶合法云服務(wù)訪問令牌,以方便用戶訪問云應(yīng)用服務(wù);否則由云應(yīng)用客戶端(如云服務(wù)商App客戶端)通過認(rèn)證代理攔截該訪問請求,同時(shí)通過統(tǒng)一身份認(rèn)證中心系統(tǒng)的認(rèn)證接口向統(tǒng)一身份認(rèn)證中心系統(tǒng)轉(zhuǎn)發(fā)認(rèn)證請求;②統(tǒng)一身份認(rèn)證中心系統(tǒng)服務(wù)器產(chǎn)生隨機(jī)數(shù),使用統(tǒng)一身份認(rèn)證中心證書私鑰對(duì)隨機(jī)數(shù)簽名,并通過認(rèn)證代理將隨機(jī)以及隨機(jī)數(shù)簽名返回給云電視終端;
③云電視終端接收到上述信息后,通過內(nèi)置的安全代理使用統(tǒng)一身份認(rèn)證中心證書公鑰驗(yàn)證隨機(jī)數(shù)簽名的可靠性;④若驗(yàn)證不通過,則停止該身份斷言過程;若驗(yàn)證通過,則通過安全代理使用用戶證書私鑰對(duì)隨機(jī)數(shù)簽名,并將用戶證書和隨機(jī)數(shù)簽名通過認(rèn)證代理一起轉(zhuǎn)交給統(tǒng)一身份認(rèn)證中心系統(tǒng)進(jìn)行驗(yàn)證;⑤統(tǒng)一身份認(rèn)證中心系統(tǒng)驗(yàn)證簽名值,驗(yàn)證用戶證書的有效性(該過程同步驟三的第⑤步);⑥若簽名值和用戶證書驗(yàn)證都通過,則用戶是合法的注冊用戶,將為用戶頒發(fā)統(tǒng)一身份認(rèn)證中心系統(tǒng)簽發(fā)的身份斷言憑證(如SAML),同時(shí)設(shè)置身份斷言憑證的有效期。返回認(rèn)證信息給云電視終端。該過程執(zhí)行完畢后,用戶就可以通過拿到的身份斷言憑證,去建立可靠的域間用戶的身份聯(lián)合,實(shí)現(xiàn)多系統(tǒng)、多平臺(tái)的互聯(lián)互通,全面提升用戶跨云應(yīng)用的用戶體驗(yàn)。
權(quán)利要求
1.一種面向云電視終端身份認(rèn)證訪問方法,其步驟包括: 1)在云電視終端中內(nèi)置安全代理、預(yù)裝統(tǒng)一證書,同時(shí)設(shè)置一個(gè)云電視終端CloudTVCA中心、各制造商本地CA系統(tǒng)、一般性運(yùn)行CA系統(tǒng)、本地制造商門戶和/或云服務(wù)App客戶端上的認(rèn)證代理和統(tǒng)一身份認(rèn)證中心系統(tǒng); 2)根據(jù)PKI證書體系將所述云電視終端CloudTVCA中心和制造商本地CA系統(tǒng)建立為兩級(jí)證書管理中心,所述制造商本地CA系統(tǒng)根據(jù)所述云電視終端CloudTV CA中心簽發(fā)的授權(quán)證書在權(quán)限范圍內(nèi)對(duì)所述云電視終端進(jìn)行用戶證書在線簽發(fā); 3)用戶在云電視終端聯(lián)網(wǎng)狀況下對(duì)云電視終端上所述用戶證書進(jìn)行激活,根據(jù)云電視終端設(shè)備號(hào)及出廠時(shí)設(shè)定的硬件信息生成用戶的公私鑰對(duì),通過本地制造商門戶中的CA系統(tǒng)證書服務(wù)接口,訪問所述制造商本地CA系統(tǒng),觸發(fā)證書激活業(yè)務(wù); 4)完成證書激活業(yè)務(wù)后對(duì)本地制造商門戶內(nèi)應(yīng)用和/或云端服務(wù)商應(yīng)用進(jìn)行訪問; 4-1)訪問本地制造商門戶時(shí),用戶在所述云電視終端先進(jìn)行用戶身份認(rèn)證,若認(rèn)證通過,則對(duì)本地制造商門戶內(nèi)應(yīng)用進(jìn)行訪問; 4-2)訪問云應(yīng)用服務(wù)商應(yīng)用時(shí),用戶先在云電視終端為云應(yīng)用服務(wù)商提供身份斷言憑證,云服務(wù)商通過該斷言憑證實(shí)現(xiàn)用戶對(duì)云應(yīng)用的訪問。
2.如權(quán)利要求1所述的面向云電視終端身份認(rèn)證訪問方法,其特征在于,所述CloudTVCA中心是按照如下方法建立兩級(jí)證書中心的: 1)所述CloudTVCA中心通 過離線根CA系統(tǒng)統(tǒng)一簽發(fā)一般性運(yùn)行CA的根證書以及各制造商本地CA的根證書; 2)根據(jù)所述CloudTVCA中心的CA管理系統(tǒng)為各制造商本地CA進(jìn)行證書簽發(fā)授權(quán),各制造商根據(jù)自身生產(chǎn)規(guī)模向CloudTV CA中心申請證書簽發(fā)授權(quán),獲取相應(yīng)的許可配置到自身本地CA系統(tǒng)中; 3)各制造商本地CA系統(tǒng)將在線為終端簽發(fā)證書,同時(shí)將簽發(fā)的證書自動(dòng)同步到CloudTV CA中心進(jìn)行備案管理。
3.如權(quán)利要求1所述的面向云電視終端身份認(rèn)證訪問方法,其特征在于,所述制造商本地CA系統(tǒng)對(duì)所述云電視終端進(jìn)行用戶證書簽發(fā)的方法如下: ①z 電視制造商本地CA系統(tǒng)部署完成以后,根據(jù)自身生廣計(jì)劃向CloudTVCA中心申請證書簽發(fā)許可授權(quán); ②CloudTVCA中心審核申請,通過后初始化云電視制造商本地CA系統(tǒng),對(duì)用戶證書在線簽發(fā); ③每臺(tái)云電視終端借助預(yù)裝的統(tǒng)一證書,依據(jù)需求向本地制造商CA系統(tǒng)申請?jiān)诰€簽發(fā)自身的云電視終端用戶證書; ④云電視制造商本地CA系統(tǒng)定期自動(dòng)將在線簽發(fā)的證書同步到CloudTVCA中心進(jìn)行備案統(tǒng)計(jì)。
4.如權(quán)利要求1所述的面向云電視終端身份認(rèn)證訪問方法,其特征在于,訪問本地制造商門戶時(shí),用戶在所述云電視終端先進(jìn)行用戶身份認(rèn)證需滿足: 所述云電視終端預(yù)裝制造商統(tǒng)一證書和制造商服務(wù)器證書、內(nèi)置安全代理,并保證云電視終端在安全存儲(chǔ)區(qū)提供不同的安全存儲(chǔ)位置保存用戶證書與制造商統(tǒng)一證書。
5.如權(quán)利要求4所述的面向云電視終端身份認(rèn)證訪問方法,其特征在于,對(duì)云電視終端上所述用戶證書進(jìn)行激活的方法如下: a.若證書未激活,由安全代理讀取云電視終端唯一設(shè)備號(hào)及相關(guān)硬件信息,生成用戶的公私鑰對(duì),并自動(dòng)導(dǎo)引訪問制造商門戶,觸發(fā)證書激活業(yè)務(wù); b.由安全代理弓I導(dǎo)訪問制造商門戶,并使用預(yù)裝的制造商統(tǒng)一證書與制造商門戶完成身份認(rèn)證,建立起SSL安全通道; c.所述云電視終端內(nèi)置的安全代理發(fā)送用戶私鑰簽名的證書簽發(fā)請求到制造商門戶; d.所述制造商門戶通過本地CA系統(tǒng)證書服務(wù)接口向本廠商的本地CA系統(tǒng)轉(zhuǎn)發(fā)證書簽發(fā)請求; e.本廠商的本地CA系統(tǒng)接收到證書簽發(fā)請求后,啟動(dòng)證書簽發(fā)服務(wù),生成用戶證書,同時(shí)生成一個(gè)隨機(jī)數(shù) ,并對(duì)該隨機(jī)數(shù)簽名,一并返回給制造商門戶; f.云電視終端接收從制造商門戶傳回的用戶證書及隨機(jī)數(shù)簽名,并通過安全代理用制造商服務(wù)器證書驗(yàn)證隨機(jī)數(shù)簽名,驗(yàn)證通過安裝用戶證書。
6.如權(quán)利要求1所述的面向云電視終端身份認(rèn)證訪問方法,其特征在于,對(duì)云電視終端上所述用戶證書激活證書驗(yàn)證的方法為: A.云電視終端通過安全代理使用自身的用戶證書私鑰對(duì)該隨機(jī)數(shù)簽名,并發(fā)送服務(wù)器驗(yàn)證信息給制造商門戶; B.制造商門戶驗(yàn)證接收到該信息后,轉(zhuǎn)發(fā)給制造商本地CA系統(tǒng),驗(yàn)證通過,并標(biāo)記該證書已激活,同時(shí)回傳給云電視終端認(rèn)證信息。
7.如權(quán)利要求1所述的面向云電視終端身份認(rèn)證訪問方法,其特征在于,用戶在云電視終端為云應(yīng)用服務(wù)商提供身份斷言憑證需滿足: 云電視終端已預(yù)裝統(tǒng)一身份認(rèn)證中心證書、內(nèi)置安全代理以及已執(zhí)行完激活業(yè)務(wù)操作,同時(shí)用戶證書已保存在安全存儲(chǔ)區(qū),且存儲(chǔ)位置與制造商統(tǒng)一證書不同。
8.如權(quán)利要求1所述的面向云電視終端身份認(rèn)證訪問方法,其特征在于,訪問本地制造商門戶時(shí),用戶在所述云電視終端進(jìn)行用戶身份認(rèn)證方法為: A.用戶發(fā)起訪問制造商門戶請求到云電視終端內(nèi)置的安全代理,制造商門戶通過認(rèn)證代理攔截該訪問請求,同時(shí)通過統(tǒng)一身份認(rèn)證中心系統(tǒng)的認(rèn)證接口向統(tǒng)一身份認(rèn)證中心系統(tǒng)轉(zhuǎn)發(fā)認(rèn)證請求; B.所述統(tǒng)一身份認(rèn)證中心系統(tǒng)服務(wù)器產(chǎn)生隨機(jī)數(shù),使用統(tǒng)一身份認(rèn)證中心證書私鑰對(duì)隨機(jī)數(shù)簽名,并通過認(rèn)證代理將隨機(jī)數(shù)以及隨機(jī)數(shù)簽名返回給云電視終端; C.云電視終端接收到上述信息后,通過內(nèi)置的安全代理使用統(tǒng)一身份認(rèn)證中心證書公鑰驗(yàn)證隨機(jī)數(shù)簽名的可靠性; D.若驗(yàn)證不通過,則停止該身份認(rèn)證過程;若驗(yàn)證通過,則通過安全代理使用用戶證書私鑰對(duì)隨機(jī)數(shù)簽名,并將用戶證書和隨機(jī)數(shù)簽名通過認(rèn)證代理一起轉(zhuǎn)交給統(tǒng)一身份認(rèn)證中心系統(tǒng)進(jìn)行驗(yàn)證; E.統(tǒng)一身份認(rèn)證中心首先驗(yàn)證用戶證書,若簽名值和用戶證書驗(yàn)證都通過,則該用戶是合法的注冊用戶,允許用戶訪問制造商門戶,同時(shí)設(shè)置身份認(rèn)證標(biāo)識(shí)標(biāo)記該用戶已獲得合法認(rèn)證,返回認(rèn)證信息到云電視終端。
9.如權(quán)利要求1所述的面向云電視終端身份認(rèn)證訪問方法,其特征在于,訪問云應(yīng)用服務(wù)商應(yīng)用App時(shí),用戶在云電視終端為云應(yīng)用服務(wù)商提供身份斷言憑證的方法為: ①用戶發(fā)起訪問跨云應(yīng)用App請求,云電視終端內(nèi)置的安全代理判斷該用戶是否獲得了身份斷言憑證或者該憑證是否已失效,若失效或未獲得憑證則由云應(yīng)用客戶端通過認(rèn)證代理攔截該訪問請求,同時(shí)通過統(tǒng)一身份認(rèn)證中心系統(tǒng)的認(rèn)證接口向統(tǒng)一身份認(rèn)證中心系統(tǒng)轉(zhuǎn)發(fā)認(rèn)證請求; ②所述統(tǒng)一身份認(rèn)證中心系統(tǒng)服務(wù)器產(chǎn)生隨機(jī)數(shù),使用統(tǒng)一身份認(rèn)證中心證書私鑰對(duì)隨機(jī)數(shù)簽名,并通過認(rèn)證代理將隨機(jī)數(shù)以及隨機(jī)數(shù)簽名返回給云電視終端; ③云電視終端接收到上述信息后,通過內(nèi)置的安全代理使用統(tǒng)一身份認(rèn)證中心證書公鑰驗(yàn)證隨機(jī)數(shù)簽名的可靠性; ④驗(yàn)證通過后通過安全代理使用用戶證書私鑰對(duì)隨機(jī)數(shù)簽名,并將用戶證書和隨機(jī)數(shù)簽名通過認(rèn)證代理一起轉(zhuǎn)交給統(tǒng)一身份認(rèn)證中心系統(tǒng)進(jìn)行驗(yàn)證; ⑤統(tǒng)一身份認(rèn)證中心系統(tǒng)驗(yàn)證簽名值,驗(yàn)證用戶證書的有效性; ⑥若簽名值和用戶證書驗(yàn)證都通過,則用戶是合法的注冊用戶,將為用戶頒發(fā)統(tǒng)一身份認(rèn)證中心系統(tǒng)簽發(fā)的身份斷言憑證,同時(shí)設(shè)置身份斷言憑證的有效期,返回認(rèn)證信息給云電視終端。
10.一種面向云電視終端身份認(rèn)證訪問系統(tǒng),其特征在于,包括:一統(tǒng)一身份認(rèn)證中心系統(tǒng)、一云電視終端CloudTV CA中心、 般性運(yùn)行CA系統(tǒng)、多個(gè)制造商本地CA系統(tǒng)、多個(gè)云電視終端以及本地制造商門戶/云服務(wù)客戶端上的認(rèn)證代理;所述云電視終端,內(nèi)置安全代理、預(yù)裝統(tǒng)一證書,為用戶提供本地及云端服務(wù); 所述統(tǒng)一身份認(rèn)證中心系統(tǒng),為用戶提供身份認(rèn)證和斷言服務(wù); 所述本地制造商門戶/云服務(wù)客戶端上的認(rèn)證代理,負(fù)責(zé)攔截和轉(zhuǎn)發(fā)認(rèn)證請求和認(rèn)證回復(fù)信息; 所述一般性運(yùn)行CA系統(tǒng),負(fù)責(zé)簽發(fā)面向服務(wù)部門的證書,包括統(tǒng)一身份中心系統(tǒng)頒發(fā)服務(wù)器證書; 所述制造商本地CA系統(tǒng),制造商管理員根據(jù)自身生產(chǎn)計(jì)劃申請簽發(fā)許可授權(quán),在簽發(fā)權(quán)限內(nèi)在線地簽發(fā)用戶證書,同時(shí)會(huì)在一段時(shí)間間隔內(nèi)上傳至CloudTV CA中心,完成與云電視終端CloudTV CA中心的文件交互和備份; 所述云電視終端Cl oudTV CA中心,根據(jù)PKI證書體系建立兩級(jí)云電視終端證書CA中心的一級(jí)CA,負(fù)責(zé)簽發(fā)一般性運(yùn)行CA的根證書和各制造商本地CA的根證書。
全文摘要
本發(fā)明涉及一種面向云電視終端身份認(rèn)證訪問方法及系統(tǒng),基于PKI證書體系的兩級(jí)云電視終端證書CA中心,同時(shí)在云電視終端預(yù)裝統(tǒng)一數(shù)字證書,形成云電視終端的信任根,并建立云電視終端的統(tǒng)一身份認(rèn)證中心系統(tǒng)。構(gòu)建服務(wù)于云電視制造商、云電視終端用戶、應(yīng)用程序開發(fā)商等云電視產(chǎn)業(yè)鏈成員的云電視終端身份信任基礎(chǔ)設(shè)施。本發(fā)明采用了基于PKI證書體系的兩級(jí)云電視終端CA中心,同時(shí)采用PKI的數(shù)字證書技術(shù)及統(tǒng)一身份認(rèn)證中心的身份認(rèn)證和身份斷言服務(wù)。本發(fā)明用戶管理成本低、安全性高、登錄頻率少和跨域訪問便利。
文檔編號(hào)H04N21/4627GK103237235SQ20131008604
公開日2013年8月7日 申請日期2013年3月18日 優(yōu)先權(quán)日2013年3月18日
發(fā)明者王雅哲, 王瑜, 徐震, 林東岱 申請人:中國科學(xué)院信息工程研究所