[发明专利]一种面向云电视终端身份认证实现方法及系统

说明书

技术领域

本发明属于信息安全中的身份认证领域，具体涉及一种云电视终端身份认证实现方法。

背景技术

在云计算、物联网新一代网络场景中，身份认证是一个最重要的因素，也是整个信息安全体系的基础。云电视作为智能电视与物联网、云计算等新兴技术的融合体，引领了国内外彩电产业的发展方向，是智能电视发展的高级阶段。传统的身份认证技术，诸如静态口令、动态口令、矩阵卡技术、对称加密技术和公私钥技术，已不能满足云电视终端发展的需要。同时，面对一种新兴的事物，相关的组织和机构还没有明确地提出较为完善的身份认证体系。如何在云电视这种云端设备，应对基本业务及不断扩展的增值业务，确定访问者的真实身份；如何解决不同业务实体在不同网络、不同业务间建立可靠的身份认证的共享服务，避免由异构认证机制带来的复杂性，提升了实体用户对网络和业务的使用效率、提高身份信息的安全性。要真正地解决这些问题需要实现基于PKI的数字证书作为安全基础设施为其提供可靠安全服务的可信身份标识体系。近年来，一些企业组织和科研机构已经将基于PKI数字证书的技术，广泛的应用于Android、IOS等智能化设备中，并且取得了良好的效果。该技术有效地满足了智能化设备的多业务需求、基础安全保障等场景，实现各业务系统的互通互联的访问，所以需要可信的云电视身份标识体系，加速云电视产业链的发展。

发明内容

本方案拟建立基于PKI证书体系的两级云电视终端证书CA中心，及在云电视终端预装统一数字证书，形成云电视终端的信任根，并建立云电视终端的统一身份认证中心系统。在此基础上，通过安全、实用、具有法律效力的数字证书有效地解决云电视终端各应用系统在身份认证、授权管理、责任认定等方面的安全风险，提升各应用系统信息安全保障能力。其核心是构建服务于云电视制造商、云电视终端用户、应用程序开发商等云电视产业链成员的云电视终端身份信任基础设施。

简要介绍本方案的基本思想，具体来说，本发明技术方案包括下列几个方面：

方面一：建立基于PKI证书体系的两级云电视终端证书CA中心，为云电视终端证书（用户证书）的生产、运营和管理提供基础服务。同时该两级证书CA中心可快速的建立两级用户管理体系，降低用户管理的成本，为构建云电视行业的安全基础设施奠定坚实的基础。

方面二：借助云电视终端预装的统一证书的信任根，实现自身云电视终端证书（用户证书）激活，帮助厂商和公共服务机构掌握用户的活跃度，同时为用户访问基本业务和增值业务提供信任支撑。

方面三：由于云电视终端用户访问本地制造商门户时，需要统一身份认证中心系统的身份认证服务为其提供可信的用户登录的身份证明，以方便用户访问本门户内各个应用资源，以减少了登录频率，实现“一次认证，多点访问”。

方面四：由于云电视终端用户访问除本制造商门户之外的不同云服务提供商的资源时，需要统一身份认证中心系统的身份断言服务为用户颁发身份断言凭证（如SAML、WS-federation、JWT）。该凭证可为用户建立起可靠的域间用户身份联合，从而有效地解决用户跨云访问云资源服务提供商的各种应用，实现多系统、多平台的互联互通，全面提升了各种跨云应用的用户体验。

本发明具体方案如下：一种面向云电视终端身份认证访问方法，其步骤包括：

1）在云电视终端中内置安全代理、预装统一证书，同时设置一个云电视终端CloudTV CA中心、各制造商本地CA系统、一般性运行CA系统、本地制造商门户和/或云服务App客户端上的认证代理和统一身份认证中心系统；

2）根据PKI证书体系将所述云电视终端CloudTV CA中心和制造商本地CA系统建立为两级证书管理中心，所述制造商本地CA系统根据所述云电视终端CloudTV CA中心签发的授权证书在权限范围内对所述云电视终端进行用户证书在线签发；

3）用户在云电视终端联网状况下对云电视终端上所述用户证书进行激活，根据云电视终端设备号及出厂时设定的硬件信息生成用户的公私钥对，通过本地制造商门户中的CA系统证书服务接口，访问所述制造商本地CA系统，触发证书激活业务；

4）完成证书激活业务后对本地制造商门户内应用和/或云端服务商应用进行访问；

4-1）访问本地制造商门户时，用户在所述云电视终端先进行用户身份认证，若认证通过，则对本地制造商门户内应用进行访问；

4-2）访问云应用服务商应用时，用户先在云电视终端为云应用服务商提供身份断言凭证，云服务商通过该断言凭证实现用户对云应用的访问。