业务系统门户闭环式安全认证的方法及其系统

摘要

本发明适用于数字电视安全认证技术领域，提供了一种业务系统门户闭环式安全认证的方法及其系统，方法包括：根据用户标示以及业务标示由AAA生成第一用户登录凭证，并将其发送给PORTAL；根据业务门户地址，由PORTAL携带第一用户登录凭证和用户标示跳转到业务系统门户；由业务系统根据事先约定好的规则生成第二用户登录凭证，并将其与第一用户登录凭证进行比较，如果一致，则认定是主门户跳转过来的用户；以及由AAA根据业务系统标示取出第一用户登录凭证，与第二用户登录凭证进行比较，如果一致则认证通过。本发明的目的在于提供一种业务系统门户闭环式安全认证的方法及其系统，可以解决现有的单链式跳转存在安全隐患的技术问题。

说明书

技术领域

本发明属于数字电视安全认证技术领域，尤其涉及一种业务系统门户闭环 式安全认证的方法及其系统。

背景技术

目前数字电视业务系统门户跳转的方式是单链式跳转，也就是说直接按照 统一资源定位符(Uniform Resource Locator，以下简称为URL)进行跳转，跳 转到业务系统门户后没有进行闭环式认证，这样一来，一旦非法用户抓取这个 URL后，就可以模拟门户跳转进行攻击，因此，这种方式存在安全隐患。

以上的单链式跳转是指用户先登录到主门户，然后从二级菜单直接根据业 务系统的URL地址跳转到业务系统门户，然后可以直接对业务系统门户进行操 作。这样的单链式门户跳转，存在严重的安全隐患，主门户跳转到业务系统门 户时，业务系统并不会进行认证，就不能保证是从主门户跳转过来的用户，非 法用户可以模拟主门户跳转，这样主门户就控制不了操作业务系统的用户，不 能管控用户行为；另外，跳转后业务系统不做用户验证，这样后期在业务系统 产生的鉴权行为，主平台不能统一进行管控和监视，导致运营商出现漏洞。

发明内容

本发明的目的在于提供一种业务系统门户闭环式安全认证的方法及其系 统，旨在解决现有的单链式跳转存在安全隐患的技术问题。

本发明是这样实现的，一种业务系统门户闭环式安全认证的方法，包括以 下步骤：根据用户标示以及业务标示由统一认证鉴权计费系统生成第一用户登 录凭证，并将所述第一用户登录凭证发送给平台管理门户的步骤；根据业务门 户地址，由所述平台管理门户携带所述第一用户登录凭证和所述用户标示跳转 到业务系统门户的步骤；由业务系统根据事先约定好的规则生成第二用户登录 凭证，并将所述第二用户登录凭证与所述第一用户登录凭证进行比较，如果一 致，则认定是主门户跳转过来的用户，并携带所述第二用户登录凭证请求所述 统一认证鉴权计费系统进行认证的步骤；以及由所述统一认证鉴权计费系统根 据所述业务系统标示取出所述第一用户登录凭证，与所述业务系统传过来的所 述第二用户登录凭证进行比较，如果一致则认证通过的步骤。

较优的，所述业务系统门户闭环式安全认证的方法还包括：由所述平台管 理门户携带所述用户标示和所述业务系统标示请求统一认证鉴权计费系统获取 所述第一用户登录凭证的步骤。

较优的，所述业务系统门户闭环式安全认证的方法还包括：如果所述业务 系统对所述第二用户登录凭证与所述第一用户登录凭证的比较结果为不一致， 则所述业务系统不让跳转的步骤。

较优的，所述业务系统门户闭环式安全认证的方法还包括：如果所述统一 认证鉴权计费系统对所述第一用户登录凭证与所述第二用户登录凭证的比较结 果为不一致，则通知所述业务系统不允许用户进行门户跳转的步骤。

较优的，所述业务系统门户闭环式安全认证的方法还包括：由所述平台管 理门户进行参数合法性校验的步骤；以及由所述平台管理门户根据合法的第三 方业务系统业务标记到后台数据库进行查询，获取所述第三方业务系统业务标 记对应的业务门户地址的步骤。

较优的，所述参数包括所述用户标示以及所述业务系统标示。

本发明的另一目的在于提供一种业务系统门户闭环式安全认证的系统，包 括：平台管理门户、统一认证鉴权计费系统以及业务系统，其中：所述统一认 证鉴权计费系统，连接于所述平台管理门户以及所述业务系统，根据用户标示 以及业务标示生成第一用户登录凭证，并将所述第一用户登录凭证发送给所述 平台管理门户；所述平台管理门户，根据业务门户地址携带所述第一用户登录 凭证和所述用户标示跳转到业务系统门户；以及所述业务系统，连接于所述平 台管理门户，用于根据事先约定好的规则生成第二用户登录凭证，并将所述第 二用户登录凭证与所述第一用户登录凭证进行比较，若果不一致，则不让跳转， 如果一致，则认定是主门户跳转过来的用户，并携带所述第二用户登录凭证请 求所述统一认证鉴权计费系统进行认证。

较优的，所述统一认证鉴权计费系统进一步根据所述业务系统标示取出所 述第一用户登录凭证，与所述业务系统传过来的所述第二用户登录凭证进行比 较，如果一致则认定认证通过。

较优的，所述平台管理门户还携带所述用户标示和所述业务系统标示请求 所述统一认证鉴权计费系统获取所述第一用户登录凭证。

本发明的目的在于提供一种业务系统门户闭环式安全认证的方法及其系 统，可以解决现有的单链式跳转存在安全隐患的技术问题。

附图说明

图1是本发明一实施例提供的一种业务系统门户闭环式安全认证的方法流 程图；

图2是本发明一实施例提供的一种业务系统门户闭环式安全认证的系统结 构示意图；

图3是本发明另一实施例提供的一种业务系统门户闭环式安全认证的方法 流程图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实 施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅 仅用以解释本发明，并不用于限定本发明。

图1是本发明一实施例提供的一种业务系统门户闭环式安全认证的方法流 程图，如图1所示，业务系统门户闭环式安全认证的方法100包括以下步骤：

步骤S101：数字电视终端接收用户发出的选择控制信号，于主门户上选择 业务菜单，触发进入业务系统门户的跳转请求。

步骤S103：平台管理门户(Portal Manage System，以下简称为PORTAL) 进行参数合法性校验，其中，参数包括用户标示、业务系统标示等，用户标示 为标志用户的唯一标示，可以为用户编码等。

步骤S105：PORTAL根据合法的第三方业务系统业务标记(以下称为 splinkid)到后台数据库进行查询，获取splinkid对应的业务门户地址。

步骤S107：PORTAL根据当前请求的业务系统，判断进入业务系统门户是 否需要登录，如果不需要，则直接根据splinkid对应的业务门户地址进行跳转； 如果需要登录，则执行步骤S109。

步骤S109：PORTAL携带用户标示和业务系统标示请求统一认证鉴权计费 系统(以下简称为AAA)，获取第一用户登录凭证，其中，第一用户登录凭证 是由PORTAL获取的，并由AAA于步骤S111中生成。

步骤S111：AAA根据用户标示，业务标示等参数，用事先约定好的加密 因子和规则进行加密，生成第一用户登录凭证，并将第一用户登录凭证返回给 PORTAL，其中，用户标示为用户信息中的一种。

步骤S113：PORTAL根据业务门户地址，携带第一用户登录凭证和用户标 示跳转到业务系统门户。

步骤S115：业务系统收到用户标示和第一用户登录凭证后进行保存，然后 根据事先约定好的规则生成第二用户登录凭证，和PORTAL传过来的第一用户 登录凭证进行比较，如果比较一致则认定是从平台主门户跳转过来的用户，然 后执行步骤S117，如果不一致，则业务系统不让跳转。其中，第二用户登录凭 证是指业务系统根据事先约定好的规则所生成的用户登录凭证。

步骤S117：业务系统确认是主门户跳转过来的用户后，携带根据规则生成 的第二用户登录凭证请求AAA进行认证。

步骤S119：AAA根据业务系统标示取出已生成的第一用户登录凭证，和 业务系统传过来的第二用户登录凭证进行比较，如果一致则认证通过，将认证 结果返回给业务系统，并在后台进行登记；如果不一致，则认定此次业务系统 认证为非法，并通知业务系统不允许用户进行门户跳转。

步骤S121：业务系统根据认证结果进行处理，认证通过则直接让用户进入 业务系统，否则提示用户非法，不允许门户跳转。

这样一来，数字电视终端主门户和业务系统，业务系统和AAA，AAA和 PORTAL之间保持闭环式认证，可以防止非法登录跳转，模拟跳转等非安全运 行，达到了门户之间跳转进行闭环式安全认证的目的。

图2是本发明一实施例提供的一种业务系统门户闭环式安全认证的系统结 构示意图。业务系统门户闭环式安全认证的系统200包括：数字电视终端210， PORTAL 220，AAA 230以及业务系统240。

数字电视终端210接收用户发出的选择控制信号，于主门户上选择业务菜 单，触发进入业务系统门户的跳转请求。

PORTAL 220连接于数字电视终端210、AAA 230以及业务系统240，携带 用户标示和业务系统标示请求AAA 230，获取第一用户登录凭证，其中，第一 用户登录凭证是由PORTAL 220获取的，并由AAA 230生成。

AAA 230根据用户标示，业务标示等参数，用事先约定好的加密因子和规 则进行加密，生成第一用户登录凭证，并将第一用户登录凭证返回给PORTAL 220，由PORTAL 220根据业务门户地址，携带第一用户登录凭证和用户标示 跳转到业务系统门户。

业务系统240收到用户标示和第一用户登录凭证后进行保存，然后根据事 先约定好的规则生成第二用户登录凭证，并与PORTAL 220传过来的第一用户 登录凭证进行比较，如果比较一致则认为是从平台主门户跳转过来的用户，如 果不一致，则业务系统240不允许跳转。其中，第二用户登录凭证是指业务系 统240根据事先约定好的规则所生成的用户登录凭证。业务系统240确认是主 门户跳转过来的用户后，携带根据规则生成的第二用户登录凭证请求AAA 230 进行认证。

AAA 230根据业务系统标示取出已生成的第一用户登录凭证，并与业务系 统240传过来的第二用户登录凭证进行比较，如果一致则认证通过，将认证结 果返回给业务系统，并在后台进行登记；如果不一致，则认定此次业务系统认 证为非法，并通知业务系统不允许用户进行门户跳转。

这样一来，数字电视终端210的主门户、业务系统240、AAA 230和PORTAL 220之间就保持例如闭环式认证，可以防止非法登录跳转。

图3是本发明另一实施例提供的一种业务系统门户闭环式安全认证的方法 流程图，如图3所示，业务系统门户闭环式安全认证的方法300包括以下步骤：

步骤S301：PORTAL携带用户标示和业务系统标示请求AAA获取第一用 户登录凭证，其中，第一用户登录凭证是由PORTAL获取的，并由AAA于步 骤S111中生成。

步骤S303：AAA根据用户标示，业务标示等参数，用事先约定好的加密 因子和规则进行加密，生成第一用户登录凭证，并将第一用户登录凭证返回给 PORTAL，其中，用户标示为用户信息中的一种。

步骤S305：PORTAL根据业务门户地址，携带第一用户登录凭证和用户标 示跳转到业务系统门户。

步骤S307：业务系统收到用户标示和第一用户登录凭证后进行保存，然后 根据事先约定好的规则生成第二用户登录凭证，和PORTAL传过来的第一用户 登录凭证进行比较，判断是否一致，如果一致则认定是从平台主门户跳转过来 的用户，然后执行步骤S309，如果不一致，则执行步骤S311。其中，第二用 户登录凭证是指业务系统根据事先约定好的规则所生成的用户登录凭证。

步骤S309：业务系统携带根据规则生成的第二用户登录凭证请求AAA进 行认证。

步骤S311：业务系统不允许跳转。

步骤S313：AAA根据业务系统标示取出已生成的第一用户登录凭证，和 业务系统传过来的第二用户登录凭证进行比较，如果一致则执行步骤S315，如 果不一致则执行步骤S317。

步骤S315：认证通过，将认证结果返回给业务系统，直接让用户进入业务 系统，并在后台进行登记。

步骤S317：认定此次业务系统认证为非法，并通知业务系统不允许用户进 行门户跳转。

以上实施例所提供的业务系统门户闭环式安全认证的方法及其系统，数字 电视终端主门户和业务系统，业务系统和AAA，AAA和PORTAL保持闭环式 认证，防止非法登录跳转，模拟跳转等非安全运行，达到了门户之间跳转进行 闭环式安全认证的目的，可以解决现有的单链式跳转存在安全隐患的技术问题。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发 明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明 的保护范围之内。