一種安全等級認證的方法和系統的製作方法
2023-06-04 07:11:01 5
專利名稱:一種安全等級認證的方法和系統的製作方法
技術領域:
本發明涉及數位電視技術領域,尤其涉及一種安全等級認證的方法和系統。
背景技術:
在數位電視領域中,存在著龐大的體系架構和眾多的實體系統,這些系統通過各 種形式來支撐不同的業務系統,最終在數位電視門戶中展示給用戶。在這種體系架構中,安 全性成為重要的組成之一。由於組成體系架構的眾多系統可能是由多家公司開發的,而在 體系架構中沒有統一的安全標準,使得各家的系統中有著完全不同的安全架構。同時,由於 各家技術水平和商業模式的不同,對安全的要求會出現不同等級的認識,使得安全環境在 集成各方業務系統時需要處理不同安全級別的校驗工作,方便後續流程流轉工作。
現在一般所採用的技術多為單點登錄的方式。 單點登錄技術使得用戶在一開始通過身份驗證後,後續訪問其它系統時不用再顯 示登錄,而是由單點登錄系統代替用戶作身份校驗工作。同時,為了保證訪問第三方業務系 統時的安全性,都會採用進一步的反向身份校驗方式。 在處理多業務集成工作的時候,無論是B/S模式還是C/S模式,無疑都是採用單點 登錄的方式進行,這樣確實可以達到一次登錄訪問多個業務系統的方式。主要流程如下
1、用戶通過身份標識(用戶名、密碼或者證書等形式)進行登錄。
2、單點登錄系統提供多種認證方式認證用戶身份。 3、一旦成功認證用戶身份後,單點登錄系統會記錄下用戶的身份標識,並返回一 個與之對應的安全標識。 4、這時用戶就可以訪問直接登錄的系統(例如portal門戶系統)進行操作。
5、如果用戶訪問的系統與其它系統集成,用戶在通過門戶系統訪問其它第三方業 務系統時並不需要再次進行顯示登錄,取而代之的是,單點登錄系統自動完成身份的反向 校驗工作。 6、此後用戶可以正常的訪問第三方業務系統。 雖然以單點登錄的方式進行的業務集成方式已經成為市場上很普遍的安全模型, 所使用的技術和實現策略也可以將各種系統(異構系統、異域系統)集成到安全體系之內, 但是隨著第三方業務系統的增加,第三方實現的商業模式不同(決定安全策略)對第三方 業務系統的管理和不同等級的安全校驗已經成為越來越突出的問題。主要表現在以下幾 點 1、針對業務系統沒有統一的定義,不能統一管理所有的第三方系統。 2、第三方業務系統多為成熟的產品,所使用的安全模式不同,不能統一利用一種
方式進行安全校驗;而現有的單點登錄系統只是針對安全性做了驗證與不驗證兩種安全模
式,沒有考慮商業策略下的域安全等問題,驗證模式相對單一。 3、單一的驗證模式在一定程度上還會大大降低系統的性能(如所有的系統每次 都需要經過安全認證)。
4、在集成了安全體系的大規模集成系統架構下,體現的問題再也不是簡單的安全 認證後,進入第三方系統這麼簡單了,取而代之的是安全流程、計費流程和工作流程的整 合,這就會出現在不同的安全等級認證後沒有統一的流程控制功能。
發明內容
本發明的目的在於提出一種安全等級認證的方法和系統,能夠提供可擴充的安全 等級策略和分類安全策略,使得系統輕鬆集成到現有體系架構中,同時保證各系統的安全 性。 為達此目的,本發明採用以下技術方案
—種安全等級認證的方法,包括以下步驟
A、將第三方系統劃分成業務系統和應用系統; B、業務運營與支撐系統定義業務系統信息,並對業務系統定義的服務制定計費策 略; C、業務運營與支撐系統將業務系統信息同步到多業務引擎系統,多業務引擎系統 完成業務系統的註冊; D、多業務引擎系統定義應用系統信息; E、多業務引擎系統定義並管理每個所述業務系統和每個所述應用系統的安全等 級策略; F、多業務引擎系統對業務系統和應用系統按照商業模式進行分類,根據分類結 果,為不同類別的業務系統和應用系統分配對應的安全等級策略; G、用戶通過安全認證後,進入門戶系統,並通過門戶系統訪問第三方系統中的業 務系統或者應用系統; H、單點登錄系統識別用戶訪問的業務系統或者應用系統,根據所述不同類別的業 務系統和應用系統對應的安全等級策略和所述業務系統或者應用系統自身對應的安全等 級策略,進行對應的安全驗證流程。 所述業務系統或者應用系統自身對應的安全等級策略包括以下等級
不需要安全驗證的應用系統,用戶直接訪問; 對於默認域環境內安全的商業模式,業務系統可以通過用戶名的傳遞進行相關計 費流程,應用系統可以利用用戶名進行登錄; 對於默認域環境內不安全的商業模式,業務系統和應用系統都需要通過單點登錄 前置機和單點登錄系統完成進一步的安全驗證流程,獲得相應的用戶身份標識,再進行後 續的計費或者訪問流程。 所述不同類別的業務系統和應用系統對應的安全等級策略包括以下等級 單獨的業務系統或者應用系統獲得身份標識後,用戶可以訪問其中的服務; 中等級別的業務系統或者應用系統獲得身份標識後,用戶可以統一進入分類入
口,並且不需要再次安全驗證就可以訪問本分類的其他業務系統或者應用系統; 高等級別的業務系統或者應用系統獲得身份標識後,用戶可以統一進入分類入
口 ,用戶訪問本分類的其他業務系統或者應用系統,需要再次進行安全驗證。 不需要安全驗證的應用系統包括搜索系統、天氣系統或者公告系統;對於默認域環境內安全的商業模式,需要用戶身份的應用系統包括收藏系統或者書籤系統,需要用戶 身份的業務系統包括積分系統或者視頻點播系統;對於默認域環境內不安全的商業模式, 包括圖鈴系統或者股票系統。 多業務引擎系統對業務系統進行啟用或者停用的管理,多業務引擎系統對應用系 統進行添加、刪除、啟用或者停用的管理。 —種安全等級認證的系統,包括用戶終端、業務運營與支撐系統、多業務引擎系
統、單點登錄系統、單點登錄前置機、門戶系統、業務系統和應用系統, 其中用戶終端用於通過門戶系統訪問業務系統或者應用系統; 業務運營與支撐系統用於定義業務系統信息,對業務系統定義的服務制定計費策 略,並將業務系統信息同步到多業務引擎系統; 多業務引擎系統用於完成業務系統的註冊和定義應用系統信息,定義並管理每個
業務系統和應用系統自身的安全等級策略,並對業務系統和應用系統按照商業模式進行分
類,根據分類結果,為不同類別的業務系統和應用系統分配對應的安全等級策略; 單點登錄系統用於識別用戶訪問的業務系統或者應用系統,根據所述業務系統或
者應用系統對應的安全等級策略,進行對應的安全驗證流程; 單點登錄前置機用於完成業務系統和應用系統的安全驗證流程; 業務系統和應用系統用於提供服務。 業務系統包括積分系統或者視頻點播系統,應用系統包括搜索系統、天氣系統、公 告系統、收藏系統或者書籤系統。 採用了本發明的技術方案,通過對業務系統和應用系統的定義和分類,可以使得 環境體系對系統管理統一、高效,使得運營商以更加多樣、靈活的方式組織門戶樣式和工作 流程;為運營商提供可擴充的安全等級策略和分類安全策略,可以使得系統輕鬆集成到現 有體系架構中,同時保證各系統的安全性;通過多樣的驗證策略,還可以大大提高整體系統 的性能;而且採用鏈式技術構建的單點登錄前置機,不但可以保證安全策略和工作流程的 靈活擴充與配置,還可以大大降低二次開發的工作量,保證系統結構的穩定。
圖1是本發明具體實施方式
中安全等級認證的系統結構圖。
圖2是本發明具體實施方式
中安全等級認證的流程圖。
具體實施例方式
下面結合附圖並通過具體實施方式
來進一步說明本發明的技術方案。
圖1是本發明具體實施方式
中安全等級認證的系統結構圖。如圖1所示,該安全
等級認證系統包括用戶終端101、業務運營與支撐系統102、多業務引擎系統103、單點登錄
系統104、單點登錄前置機105、門戶系統106、業務系統107和應用系統108。 其中用戶終端通過門戶系統訪問業務系統或者應用系統,業務運營與支撐系統定
義業務系統信息,對業務系統定義的服務制定計費策略,並將業務系統信息同步到多業務
引擎系統,多業務引擎系統完成業務系統的註冊和定義應用系統信息,定義並管理每個業
務系統和應用系統自身的安全等級策略, 對業務系統和應用系統按照商業模式進行分類,根據分類結果,為不同類別的業務系統和應用系統分配對應的安全等級策略,單點登錄 系統識別用戶訪問的業務系統或者應用系統,根據所述業務系統或者應用系統對應的安全 等級策略,進行對應的安全驗證流程,單點登錄前置機完成業務系統和應用系統的安全驗 證流程,業務系統和應用系統用於提供服務。 業務系統主要包括積分系統或者視頻點播系統等,應用系統主要包括搜索系統、 天氣系統、公告系統、收藏系統或者書籤系統等。 圖2是本發明具體實施方式
中安全等級認證的流程圖。如圖2所示,該安全等級 認證的方法包括以下步驟 步驟201、將第三方系統劃分成業務系統和應用系統。通過分析整體系統環境,在
多業務引擎系統(Service Authentication Service Engine, SASE)中定義出業務系統和
應用系統兩種實體,可以把多樣複雜的業務系統抽象分離,從而清晰明確了生命周期的控
制問題、安全等級的劃分問題、安全流程的控制問題和系統工作流程的控制問題。 步驟202、業務運營與支撐系統定義業務系統信息,並對業務系統定義的服務制定
計費策略。 步驟203、業務運營與支撐系統將業務系統信息同步到多業務引擎系統,多業務引 擎系統完成業務系統的註冊。 步驟204、多業務引擎系統定義應用系統信息,添加相關信息。 多業務引擎系統對業務系統進行啟用或者停用的管理,多業務引擎系統對應用系 統進行添加、刪除、啟用或者停用的管理。 步驟205、多業務引擎系統定義並管理每個業務系統和每個應用系統的安全等級 策略。 業務系統或者應用系統自身對應的安全等級策略包括以下等級
不需要安全驗證的應用系統,用戶直接訪問; 對於默認域環境內安全的商業模式,業務系統可以通過用戶名的傳遞進行相關計 費流程,應用系統可以利用用戶名進行登錄; 對於默認域環境內不安全的商業模式,業務系統和應用系統都需要通過單點登錄 前置機和單點登錄系統完成進一步的安全驗證流程,獲得相應的用戶身份標識,再進行後 續的計費或者訪問流程。 其中,不需要安全驗證的應用系統包括搜索系統、天氣系統或者公告系統,不需要 用戶身份的可以直接訪問。 對於默認域環境內安全的商業模式,需要用戶身份的應用系統包括收藏系統或者 書籤系統,可以直接傳遞身份標識,完成相應的服務(多與門戶服務同一廠商,也有第三方 系統提供的低安全級別的系統)。 需要用戶身份的業務系統包括積分系統或者視頻點播系統,可以直接傳遞身份標 識,完成後續的計費、觀看等服務(多與門戶系統同一廠商,也有第三方系統提供的低安全 級別的系統,沒有能力開發安全體系,則默認域環境安全)。 對於默認域環境內不安全的商業模式,包括圖鈴系統或者股票系統,需要通過進 一步的安全認證才能獲得身份標識(多為第三方系統,也有部分與門戶系統同一廠商的系 統,但需要更高的安全級別)。
步驟206、多業務引擎系統對業務系統和應用系統按照商業模式進行分類,根據分
類結果,為不同類別的業務系統和應用系統分配對應的安全等級策略。
不同類別的業務系統和應用系統對應的安全等級策略包括以下等級 單獨的業務系統或者應用系統獲得身份標識後,用戶可以訪問其中的服務; 中等級別的業務系統或者應用系統獲得身份標識後,用戶可以統一進入分類入
口,並且不需要再次安全驗證就可以訪問本分類的其他業務系統或者應用系統; 高等級別的業務系統或者應用系統獲得身份標識後,用戶可以統一進入分類入
口 ,用戶訪問本分類的其他業務系統或者應用系統,需要再次進行安全驗證。 步驟207、用戶通過安全認證後,進入門戶系統,並通過門戶系統訪問第三方系統
中的業務系統或者應用系統。 步驟208、單點登錄系統識別用戶訪問的業務系統或者應用系統,首先根據不同類
別的業務系統和應用系統對應的安全等級策略,進行對應的安全驗證流程,進入分類後,再
按照業務系統或者應用系統自身對應的安全等級策略,進行對應的安全驗證流程。 通過對業務系統和應用系統的分類(業務系統和應用系統可以混合分類),可以
使得流程跳轉到相應的入口。如 a)VOD電影、電視劇等都屬於視頻娛樂類的服務,則提供同一的視頻入口地址;
b)股票、基金、在線交易等服務都屬於高安全級別的服務,則在驗證身份後提供這 一類的分類入口地址; c)相對於中等級的安全驗證,如第三方的答題和積分系統,則在驗證身份後提 供這一類的分類入口地址,此後一段時間內用戶再訪問此分類中其它系統時不需要相應的 安全認證; d)沒有分組的系統,則直接提供註冊時相應的入口地址。 以上所述,僅為本發明較佳的具體實施方式
,但本發明的保護範圍並不局限於此, 任何熟悉該技術的人在本發明所揭露的技術範圍內,可輕易想到的變化或替換,都應涵蓋 在本發明的保護範圍之內。因此,本發明的保護範圍應該以權利要求的保護範圍為準。
權利要求
一種安全等級認證的方法,其特徵在於,包括以下步驟A、將第三方系統劃分成業務系統和應用系統;B、業務運營與支撐系統定義業務系統信息,並對業務系統定義的服務制定計費策略;C、業務運營與支撐系統將業務系統信息同步到多業務引擎系統,多業務引擎系統完成業務系統的註冊;D、多業務引擎系統定義應用系統信息;E、多業務引擎系統定義並管理每個所述業務系統和每個所述應用系統的安全等級策略;F、多業務引擎系統對業務系統和應用系統按照商業模式進行分類,根據分類結果,為不同類別的業務系統和應用系統分配對應的安全等級策略;G、用戶通過安全認證後,進入門戶系統,並通過門戶系統訪問第三方系統中的業務系統或者應用系統;H、單點登錄系統識別用戶訪問的業務系統或者應用系統,根據所述不同類別的業務系統和應用系統對應的安全等級策略和所述業務系統或者應用系統自身對應的安全等級策略,進行對應的安全驗證流程。
2. 根據權利要求1所述的一種安全等級認證的方法,其特徵在於,所述業務系統或者 應用系統自身對應的安全等級策略包括以下等級不需要安全驗證的應用系統,用戶直接訪問;對於默認域環境內安全的商業模式,業務系統可以通過用戶名的傳遞進行相關計費流 程,應用系統可以利用用戶名進行登錄;對於默認域環境內不安全的商業模式,業務系統和應用系統都需要通過單點登錄前置 機和單點登錄系統完成進一步的安全驗證流程,獲得相應的用戶身份標識,再進行後續的 計費或者訪問流程。
3. 根據權利要求1或者2所述的一種安全等級認證的方法,其特徵在於,所述不同類別 的業務系統和應用系統對應的安全等級策略包括以下等級單獨的業務系統或者應用系統獲得身份標識後,用戶可以訪問其中的服務; 中等級別的業務系統或者應用系統獲得身份標識後,用戶可以統一進入分類入口,並且不需要再次安全驗證就可以訪問本分類的其他業務系統或者應用系統;高等級別的業務系統或者應用系統獲得身份標識後,用戶可以統一進入分類入口,用戶訪問本分類的其他業務系統或者應用系統,需要再次進行安全驗證。
4. 根據權利要求1或者2所述的一種安全等級認證的方法,其特徵在於,不需要安全驗 證的應用系統包括搜索系統、天氣系統或者公告系統;對於默認域環境內安全的商業模式, 需要用戶身份的應用系統包括收藏系統或者書籤系統,需要用戶身份的業務系統包括積分 系統或者視頻點播系統;對於默認域環境內不安全的商業模式,包括圖鈴系統或者股票系 統。
5. 根據權利要求1所述的一種安全等級認證的方法,其特徵在於,多業務引擎系統對 業務系統進行啟用或者停用的管理,多業務引擎系統對應用系統進行添加、刪除、啟用或者 停用的管理。
6. —種安全等級認證的系統,其特徵在於,包括用戶終端、業務運營與支撐系統、多業務引擎系統、單點登錄系統、單點登錄前置機、門戶系統、業務系統和應用系統, 其中用戶終端用於通過門戶系統訪問業務系統或者應用系統;業務運營與支撐系統用於定義業務系統信息,對業務系統定義的服務制定計費策略, 並將業務系統信息同步到多業務引擎系統;多業務引擎系統用於完成業務系統的註冊和定義應用系統信息,定義並管理每個業務 系統和應用系統自身的安全等級策略,並對業務系統和應用系統按照商業模式進行分類, 根據分類結果,為不同類別的業務系統和應用系統分配對應的安全等級策略;單點登錄系統用於識別用戶訪問的業務系統或者應用系統,根據所述業務系統或者應 用系統對應的安全等級策略,進行對應的安全驗證流程;單點登錄前置機用於完成業務系統和應用系統的安全驗證流程;業務系統和應用系統用於提供服務。
7.根據權利要求6所述的一種安全等級認證的系統,其特徵在於,業務系統包括積分 系統或者視頻點播系統,應用系統包括搜索系統、天氣系統、公告系統、收藏系統或者書籤 系統。
全文摘要
本發明公開了一種安全等級認證的方法和系統,將第三方系統劃分成業務系統和應用系統,BOSS定義業務系統信息,制定計費策略,並同步到SASE,SASE完成業務系統的註冊;SASE定義應用系統信息,並定義並管理每個系統的安全等級策略;SASE對系統按照商業模式進行分類,為不同類別的系統分配對應的安全等級策略;用戶通過門戶系統訪問第三方系統,單點登錄系統識別用戶訪問的系統,根據不同類別的系統對應的安全等級策略和系統自身對應的安全等級策略,進行對應的安全驗證流程。採用了本發明的技術方案,能夠提供可擴充的安全等級策略和分類安全策略,使得系統輕鬆集成到現有體系架構中,同時保證各系統的安全性。
文檔編號H04N7/16GK101783795SQ200910243948
公開日2010年7月21日 申請日期2009年12月25日 優先權日2009年12月25日
發明者辛宇, 高卿 申請人:北京惠信博思技術有限公司