專利名稱:一種面向云電視終端跨云應用的云服務訪問控制方法
技術領域:
本發(fā)明屬于信息安全中的身份聯(lián)合領域,具體涉及一種云電視終端跨云應用的身份綁定與單點登錄的實現(xiàn)方法。
背景技術:
在云計算、物聯(lián)網新一代網絡場景中,跨云應用訪問將成為一種主流的用戶訪問模式,其中身份聯(lián)合(身份綁定)是一個重要的要素,也是整個信息安全體系的重要組成之一。云電視作為智能電視與物聯(lián)網、云計算等新興技術的融合體,引領著國內外彩電產業(yè)的發(fā)展方向,是智能電視發(fā)展的高級階段。在云電視領域中傳統(tǒng)的身份聯(lián)合技術,諸如Kerberos、OpenID和CAS等技術,已不能很好地滿足云電視終端跨云應用訪問中身份聯(lián)合的發(fā)展需要。同時,面對云電視這一新興的事物,在保證云服務商自身域內的業(yè)務流程不變的基礎之上,相關的組織和機構還沒有明確地提出較為完善的身份聯(lián)合方案(即保證不同業(yè)務實體自身業(yè)務邏輯不變的基礎之上,解決其在不同網絡、不同業(yè)務間建立可靠的身份聯(lián)合以滿足用戶跨云訪問的需要)。針對上述挑戰(zhàn),本方案擬在保證云服務商自身業(yè)務最大自由度的基礎之上,通過一種跨云應用的身份綁定(或者稱為令牌交換)方式,實現(xiàn)各個業(yè)務系統(tǒng)的互通互聯(lián)。其核心是構建服務于云電視終端用戶和云服務商的身份聯(lián)合,并生成云服務商自身業(yè)務系統(tǒng)認可的云訪問控制令牌,實現(xiàn)用戶“一點聯(lián)合,多點訪問”,全面提升用戶體驗,加快云電視終端的推廣普及。
發(fā)明內容
本發(fā)明旨在云電視產業(yè)所面臨的身份聯(lián)合技術挑戰(zhàn),提供一種面向云電視終端跨云應用的云服務訪問控制方法。簡要介紹本方案的基本思想,本發(fā)明吸取了已有解決方案的優(yōu)點,具體來說,本發(fā)明技術方案包括下列幾個方面:方面一:通過云電視終端的統(tǒng)一身份認證中心系統(tǒng)為用戶簽發(fā)的身份斷言憑證(SAML,包括制造商ID+云電視終端設備ID)與云服務身份提供中心(IdP)建立基于身份斷言憑證的可靠的域間身份聯(lián)合,并生成云服務商自身域內的云訪問控制令牌,為云電視終端(用戶)的跨云應用訪問提供令牌服務。該過程的實施將為各個業(yè)務系統(tǒng)的互聯(lián)互通奠定堅實的基礎。方面二:借助云電視終端在身份聯(lián)合過程中獲得的云服務商自身域內的云訪問控制令牌,實現(xiàn)用戶對云應用服務的授權訪問,全面提升用戶跨云應用訪問的用戶體驗,“一點聯(lián)合,多點訪問”。方面三:由于云電視終端用戶訪問云服務App應用時,需要用戶提供由云服務IdP中心頒發(fā)的在有效期地云訪問控制令牌,云服務App客戶端在監(jiān)測到云訪問控制令牌過期后,向云服務IdP中心發(fā)起更新令牌請求。云服務IdP中心在用戶沒有被注銷情況下,為用戶頒發(fā)新的云訪問控制令牌,以減少用戶身份聯(lián)合過程。同時,由于該過程對用戶透明,提升了用戶云存儲訪問的體驗。方面四:由于云電視終端用戶訪問跨云應用的身份斷言憑證依賴于統(tǒng)一身份認證中心系統(tǒng),基于該原則,需要云服務IdP中心在一定的時間間隔內與統(tǒng)一身份認證中心系統(tǒng)進行注銷用戶同步服務,以保證各方的利益的最大化。本發(fā)明的技術方案為:一種面向云電視終端跨云應用的云服務訪問控制方法,其步驟為:I)云電視終端通過云服務商的云服務App客戶端向統(tǒng)一身份認證中心系統(tǒng)申請一身份斷言憑證;2)該云服務App客戶端將該云電視終端的身份斷言憑證發(fā)送給該云服務商的云服務IdP中心;3)該云服務IdP中心對該身份斷言憑證進行驗證,如果驗證通過則為該云電視終端創(chuàng)建一賬號,然后對該云電視終端的身份斷言憑證和賬號進行綁定并創(chuàng)建一云訪問控制令牌,返回給該云服務App客戶端;4)該云服務App客戶端對該云訪問控制令牌進行本地存儲;5)該云電視終端訪問該云服務商提供的云服務時,云服務App客戶端監(jiān)測本地的安全存儲區(qū)是否存在該云訪問控制令牌,若不存在,則拒絕該訪問;若存在,則該云服務App客戶端將該云訪問控制令牌發(fā)送給該云服務IdP中心進行驗證;如果未通過驗證,則拒絕該訪問;如果通過驗證,則允許該訪問。進一步的,所述云訪問控制令牌設有一有效期;所述云服務App客戶端位于所述云電視終端上。進一步的,所述身份斷言憑證包括云電視終端的制造商ID和云電視終端設備ID ;所述身份斷言憑證設有一有效期。進一步的,所述云電視終端內置一安全代理、云電視終端證書;所述云服務App客戶端內置一認證代理;所述云電視終端訪問該云服務商提供的云服務時,所述云服務App客戶端檢查該云電視終端的身份斷言憑證是否超過有效期,如果超過有效期,則所述認證代理調用該安全代理向所述統(tǒng)一身份認證中心系統(tǒng)申請一新的身份斷言憑證。進一步的,步驟6)中,若該云服務App客戶端存在該云訪問控制令牌,則首先檢查其有效期,如果超過有效期,則更新該云訪問控制令牌;如果未超過有效期,則將其發(fā)送給該云服務IdP中心進行驗證。進一步的,更新該云訪問控制令牌的方法為:61)云服務App客戶端將過期的云訪問控制令牌和令牌更新請求發(fā)送給云服務IdP中心;62)云服務IdP中心接收到該令牌更新請求后,云服務IdP中心驗證該過期的云訪問控制令牌正確性,若驗證不通過,則停止更新操作;否則,依據(jù)過期的云訪問控制令牌,判斷該云電視終端是否已被注銷,若已被注銷,則停止更新操作;若未被注銷,云服務IdP中心為該云電視終端新生成一個有時間期限的云訪問控制令牌返回給云服務App客戶端;63)云服務App客戶端接收到新的云訪問控制令牌后,用其替換過期的云訪問控制令牌。
進一步的,步驟3)中,該云服務IdP中心對該身份斷言憑證進行驗證的方法為:該云服務IdP中心檢查云電視終端是否被注銷,如果已注銷,則停止為該云電視終端創(chuàng)建賬號和云訪問控制令牌。所述云服務IdP中心驗證所述云訪問控制令牌通過之后,檢查該云電視終端是否注銷,若已被注銷,則拒絕該訪問。進一步的,云服務IdP中心檢查云電視終端是否注銷的方法為:統(tǒng)一身份認證中心系統(tǒng)監(jiān)測云電視終端的注銷情況,形成一注銷列表并將其發(fā)送給云服務IdP中心;云服務IdP中心根據(jù)該注銷列表判斷云電視終端是否被注銷。進一步的,云服務IdP中心根據(jù)該注銷列表對自身域下的賬號與云電視終端進行解綁,同時撤銷云電視終端的云訪問控制令牌,然后發(fā)送注銷同步完成信息到統(tǒng)一身份認證中心系統(tǒng)。本發(fā)明與現(xiàn)有技術相比,具有以下顯著優(yōu)點:本發(fā)明不需要對原來業(yè)務系統(tǒng)的流程進行較大改造,用戶體驗效果好和業(yè)務耦合性低。由于本發(fā)明是在確保云服務商自身業(yè)務邏輯不變基礎之上,采用了基于身份斷言憑證的身份聯(lián)合技術,保證了多系統(tǒng)、多平臺的互聯(lián)互通,簡化了用戶登錄過程,因此用戶體驗效果好、業(yè)務耦合性低。
下面結合附圖對本發(fā)明作進一步的說明。圖1為本發(fā)明實施總體框架;圖2跨云應用賬戶綁定的流程圖;圖3云服務訪問流程圖;圖4云訪問控制令牌更新流程圖;圖5注銷用戶同步流程圖。
具體實施例方式為使本發(fā)明的目的、優(yōu)點以及技術方案更加清楚明白,以下通過具體實施,并結合附圖,對本發(fā)明進一步詳細說明。對于圖1從整體上描述了該方案實施的總體框架,主要包括下面四部分的內容。一、基于身份斷言憑證跨云應用的賬戶綁定的實現(xiàn)方法云電視終端用戶要訪問除本地制造商門戶之外的相關跨云應用時,需要用戶在獲得統(tǒng)一身份認證中心系統(tǒng)給簽發(fā)的身份斷言憑證的前提下,云服務App客戶端通過該身份斷言憑證與云服務IdP中心進行身份聯(lián)合(賬戶綁定)操作。該過程執(zhí)行完畢后,用戶就獲得了訪問云服務商授權的云訪問控制令牌,同時在令牌的有效期內用戶不用登錄就可訪問云服務商的云資源,減少了登錄頻率,實現(xiàn)“一次綁定,多點訪問”。下面結合圖2具體描述其執(zhí)行過程:①云服務App客戶端(裝在云電視終端上)將判斷本地安全存儲區(qū)是否已存在當前云電視終端用戶的云訪問控制令牌,若云訪問控制令牌已存在且未失效,則停止該賬戶綁定操作,用戶可使用該令牌進行云服務訪問;否則,云服務App客戶端去驗證統(tǒng)一身份認證中心系統(tǒng)簽發(fā)的用戶身份斷言憑證(SAML,包括制造商標識+云電視終端標識)是否存在或者是否有效(在有效時間期限內),若身份斷言憑證不存在或者不在有效期內,則向統(tǒng)一身份認證中心系統(tǒng)申請重新為用戶頒發(fā)身份斷言憑證(在云電視終端已經內置安全代理、預裝云電視終端證書,通過該證書標識用戶(云電視終端)身份。通過云服務App客戶端內置的認證代理程序向統(tǒng)一身份認證中心申請斷言憑證時,認證代理會調用云電視終端的安全代理來完成此操作,如調用安全代理的讀證書接口,讀取用戶證書(云電視終端證書)。);否則,云服務App客戶端將發(fā)送身份斷言憑證給云服務身份提供(IdP)中心;②云服務IdP中心依據(jù)接收到的用戶的身份斷言憑證,解析該身份斷言憑證,判斷用戶是否已被注銷,若用戶已被注銷,停止為用戶創(chuàng)建自身域內賬號及生成云訪問控制令牌,提示用戶不具備訪問權限;否則,云服務IdP中心創(chuàng)建云服務商自身域下該用戶的賬號,然后將該身份斷言憑證和該賬號進行綁定,并為該用戶生成一個有時間期限的云訪問控制令牌,返回給云服務App客戶端;③云服務App客戶端接收到云服務商頒發(fā)的云訪問控制令牌后進行安全存儲,以便用戶下次訪問云服務使用。二、基于云服務商自身令牌的云服務訪問的實現(xiàn)方法云電視終端用戶要訪問各云服務商的云存儲或其他云服務時,需要用戶在獲得各云服務商授權的云訪問控制令牌的前提下(即已執(zhí)行完步驟I的所有操作,并順利存儲云訪問控制令牌),云服務App客戶端通過該令牌實現(xiàn)對云服務商的云服務資源的訪問。下面結合圖3具體描述其執(zhí)行過程:①云服務App客戶端將判斷App客戶端本地的安全存儲區(qū)是否存在云訪問控制令牌,若云訪問控制令牌不存在,則停止對云服務資源的訪問過程,轉而去執(zhí)行步驟一的操作,身份綁定生成云訪問控制令牌;若云訪問控制令牌已存在且已失效(未在有效時間期限內),轉而執(zhí)行步驟三的操作,更新云訪問控制令牌;若云訪問控制令牌已存在且有效(在有效時間期限內),則云服務App客戶端將存儲在本地的云訪問控制令牌發(fā)送給云服務IdP中心進行驗證,同時云服務IdP中心驗證用戶注銷情況;②云服務IdP中心依據(jù)接收到用戶的云訪問控制令牌,驗證該訪問控制令牌的正確性(如判斷是否是云服務商為其頒發(fā)的令牌),若驗證不通過,則停止為用戶訪問云服務資源授權;若驗證通過,依據(jù)云服務商域下賬號與身份斷言憑證的綁定信息,判斷該用戶是否已被注銷,若該用戶已被注銷,停止用戶訪問云服務資源,提示用戶不具備訪問權限;否貝U,返回給云服務App客戶端驗證通過信息,允許訪問云服務資源;③云服務App客戶端判斷接收到驗證信息,若驗證通過,訪問云服務資源;否則拒絕訪問云服務資源。三、基于云服務商自身令牌更新的實現(xiàn)方法云電視終端用戶要訪問各云服務商的云服務資源時,云服務App客戶端監(jiān)測到云訪問控制令牌已失效(已過令牌的最大使用時間期限),則云服務App客戶端向云服務IdP中心發(fā)起訪問控制令牌的更新請求,該過程的實施減少了用戶身份聯(lián)合操作,使云服務商便捷地管理自已的用戶。下面結合圖4具體描述其執(zhí)行過程:①云服務App客戶端在監(jiān)測到存儲在本地的云訪問控制令牌過期時,攜帶過期的云訪問控制令牌,發(fā)送令牌更新請求給云服務IdP中心;
②云服務IdP中心接收到用戶的云訪問控制令牌更新請求后,云服務IdP中心驗證該過期的云訪問控制令牌的正確性(如判斷是否是云服務商為其頒發(fā)的令牌),若驗證不通過,則停止用戶令牌更新操作,返回給用戶令牌更新失?。环駝t,依據(jù)過期的云訪問控制令牌,判斷該用戶是否已被注銷,若該用戶已被注銷,停止用戶云訪問控制令牌更新操作,提示用戶沒被授權;若該用戶沒被注銷,云服務IdP中心為該用戶新生成一個有時間期限的云訪問控制令牌返回給云服務App客戶端存儲;③云服務App客戶端在接收到新的云訪問控制令牌后,在客戶端本地安全存儲區(qū)替換過期的云訪問控制令牌,進行安全保存。四、基于統(tǒng)一身份認證中心的注銷用戶同步的實現(xiàn)方法云電視終端用戶對跨云應用的訪問受控于統(tǒng)一身份認證中心系統(tǒng)的身份斷言服務,考慮到該情況,云服務IdP中心應盡快與統(tǒng)一身份認證中心系統(tǒng)完成注銷用戶同步服務,以便保證只有合法注冊用戶才能訪問云服務資源。下面結合圖5具體描述其執(zhí)行過程:①統(tǒng)一身份認證中心系統(tǒng)監(jiān)測用戶注銷情況,形成注銷用戶的列表(如用戶標識(云電視終端ID)信息列表);統(tǒng)一身份認證中心系統(tǒng)可通過獲取制造商提供的相應用戶信息報表(如云電視終端報廢信息報表),以此為依據(jù)形成注銷列表。被統(tǒng)一身份認證中心系統(tǒng)注銷的用戶是不會再獲得云服務訪問資格的。②統(tǒng)一身份認證中心系統(tǒng)將用戶注銷列表發(fā)送給云服務IdP中心;③云服務IdP中心接收到用戶注銷列表后,依據(jù)用戶注銷列表信息,實現(xiàn)云服務商自身域下的用戶賬號與用戶的解綁(如注銷云服務商下的用戶賬號)操作,同時撤銷用戶的云訪問控制令牌,對正在訪問云服務資源的用戶進行停止訪問操作。完成上述操作后,發(fā)送注銷同步完成信息到統(tǒng)一身份認證中心系統(tǒng)。④統(tǒng)一身份認證中心系統(tǒng)接收到注銷完成同步信息后,該注銷流程順利結束,標識用戶真正完成注銷。
權利要求
1.一種面向云電視終端跨云應用的云服務訪問控制方法,其步驟為: 1)云電視終端通過云服務商的云服務App客戶端向統(tǒng)一身份認證中心系統(tǒng)申請一身份斷言憑證; 2)該云服務App客戶端將該云電視終端的身份斷言憑證發(fā)送給該云服務商的云服務IdP中心; 3)該云服務IdP中心對該身份斷言憑證進行驗證,如果驗證通過則為該云電視終端創(chuàng)建一賬號,然后對該云電視終端的身份斷言憑證和賬號進行綁定并創(chuàng)建一云訪問控制令牌,返回給該云服務App客戶端; 4)該云服務App客戶端對該云訪問控制令牌進行本地存儲; 5)該云電視終端訪問該云服務商提供的云服務時,該云服務App客戶端監(jiān)測本地的安全存儲區(qū)是否存在該云訪問控制令牌,若不存在,則拒絕該訪問;若存在,則該云服務App客戶端將該云訪問控制令牌發(fā)送給該云服務IdP中心進行驗證;如果未通過驗證,則拒絕該訪問;如果通過驗證,則允許該訪問。
2.如權利要求1所述的方法,其特征在于所述云訪問控制令牌設有一有效期;所述云服務App客戶端位于所述云電視終端上。
3.如權利要求2所述的方法,其特征在于所述身份斷言憑證包括云電視終端的制造商ID和云電視終端設備 ID ;所述身份斷言憑證設有一有效期。
4.如權利要求3所述的方法,其特征在于所述云電視終端內置一安全代理、云電視終端證書;所述云服務App客戶端內置一認證代理;所述云電視終端訪問該云服務商提供的云服務時,所述云服務App客戶端檢查該云電視終端的身份斷言憑證是否超過有效期,如果超過有效期,則所述認證代理調用該安全代理向所述統(tǒng)一身份認證中心系統(tǒng)申請一新的身份斷言憑證。
5.如權利要求2所述的方法,其特征在于步驟5)中,若該云服務App客戶端存在該云訪問控制令牌,則首先檢查其有效期,如果超過有效期,則更新該云訪問控制令牌;如果未超過有效期,則將其發(fā)送給該云服務IdP中心進行驗證。
6.如權利要求5所述的方法,其特征在于更新該云訪問控制令牌的方法為: 61)云服務App客戶端將過期的云訪問控制令牌和令牌更新請求發(fā)送給云服務IdP中心; 62)云服務IdP中心接收到該令牌更新請求后,云服務IdP中心驗證該過期的云訪問控制令牌正確性,若驗證不通過,則停止更新操作;否則,依據(jù)過期的云訪問控制令牌,判斷該云電視終端是否已被注銷,若已被注銷,則停止更新操作;若未被注銷,云服務IdP中心為該云電視終端新生成一個有時間期限的云訪問控制令牌返回給云服務App客戶端; 63)云服務App客戶端接收到新的云訪問控制令牌后,用其替換過期的云訪問控制令牌。
7.如權利要求1所述的方法,其特征在于步驟3)中,該云服務IdP中心對該身份斷言憑證進行驗證的方法為:該云服務IdP中心檢查云電視終端是否被注銷,如果已注銷,則停止為該云電視終端創(chuàng)建賬號和云訪問控制令牌。
8.如權利要求1所述的方法,其特征在于所述云服務IdP中心驗證所述云訪問控制令牌通過之后,檢查該云電視終端是否注銷,若已被注銷,則拒絕該訪問。
9.如權利要求6或7或8所述的方法,其特征在于云服務IdP中心檢查云電視終端是否注銷的方法為:統(tǒng)一身份認證中心系統(tǒng)監(jiān)測云電視終端的注銷情況,形成一注銷列表并將其發(fā)送給云服務IdP中心;云服務IdP中心根據(jù)該注銷列表判斷云電視終端是否被注銷。
10.如權利要求9所述的方法,其特征在于云服務IdP中心根據(jù)該注銷列表對自身域下的賬號與云電視終端進行解綁,同時撤銷云電視終端的云訪問控制令牌,然后發(fā)送注銷同步完成信息到統(tǒng)一身份認證中心系 統(tǒng)。
全文摘要
本發(fā)明公開了一種面向云電視終端跨云應用的云服務訪問控制方。本方法為1)云電視終端通過云服務商的云服務App客戶端向統(tǒng)一身份認證中心系統(tǒng)申請一身份斷言憑證;2)App客戶端將該憑證發(fā)送給該云服務商的IdP中心;3)IdP中心為該云電視終端創(chuàng)建一賬號,然后對該憑證和賬號綁定并創(chuàng)建一云訪問控制令牌返回給App客戶端;4)App客戶端對令牌進行本地存儲;5)該云電視終端訪問該云服務商提供的云服務時,App客戶端監(jiān)測本地是否存在該令牌,若不存在則拒絕該訪問;若存在則將該令牌發(fā)送給IdP中心進行驗證確定是否允許該訪問。本發(fā)明保證了多系統(tǒng)的互聯(lián)互通,簡化了用戶登錄過程,用戶體驗效果好、業(yè)務耦合性低。
文檔編號H04L29/06GK103179115SQ20131008612
公開日2013年6月26日 申請日期2013年3月18日 優(yōu)先權日2013年3月18日
發(fā)明者王雅哲, 王瑜, 徐震, 林東岱 申請人:中國科學院信息工程研究所