CN103178969B - 一种业务鉴权方法及*** - Google Patents
一种业务鉴权方法及*** Download PDFInfo
- Publication number
- CN103178969B CN103178969B CN201310132539.8A CN201310132539A CN103178969B CN 103178969 B CN103178969 B CN 103178969B CN 201310132539 A CN201310132539 A CN 201310132539A CN 103178969 B CN103178969 B CN 103178969B
- Authority
- CN
- China
- Prior art keywords
- voucher
- agent
- terminal
- operation server
- proxy server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本申请提供一种业务鉴权方法,包括:运营服务器接收基于运营服务器的终端发送的携带第一代理凭证和业务标识的业务访问请求,第一代理凭证为运营服务器在对终端进行认证时分配的,且运营服务器每次对终端进行认证时分配的第一代理凭证各不相同;运营服务器向终端发送响应消息;终端根据响应消息确定第二代理凭证,并向代理服务器发送携带有第二代理凭证的代理业务访问请求;代理服务器将第二代理凭证发送至运营服务器;运营服务器验证第二代理凭证的合法性,并将验证结果发送至代理服务器;代理服务器依据验证结果,处理代理业务访问请求。因此本申请降低终端信息被截获和冒用的风险,提高终端访问运营服务器和代理服务器的安全性。
Description
技术领域
本申请涉及鉴权领域,特别涉及一种业务鉴权方法及***。
背景技术
目前,运营服务器需要对基于运营服务器的终端进行认证,当终端关机或待机后,运营服务器会重新对终端进行认证。并且运营服务器每对终端认证一次,都为终端分配相同的终端标识,该终端标识记录终端的真实信息。终端每一次向运营服务器发送业务访问请求都携带终端标识,当运营服务器接收到终端的业务访问请求时,根据终端标识判断终端的合法性,在判断终端合法之后,运营服务器若判断出终端发送的业务访问请求对应的业务为代理服务器中的业务,运营服务器使终端携带终端标识访问代理服务器,代理服务器根据终端标识判断终端是否为代理服务器的合法终端,若是,代理服务器向终端提供服务。
从上述过程可以看出,终端一直携带终端标识即真实信息访问运营服务器和代理服务器。终端的真实信息长时间保持相同状态进行传输,导致终端的真实信息被截获和冒用的风险增大,降低终端访问运营服务器和代理服务器的安全性。
发明内容
为解决上述技术问题,本申请提供一种业务鉴权方法,以达到降低终端信息被截获和冒用的风险,提高终端访问运营服务器和代理服务器的安全性目的,技术方案如下:
一种业务鉴权方法,其特征在于,该方法包括:
运营服务器接收基于所述运营服务器的终端发送的业务访问请求,所述业务访问请求携带所述终端的第一代理凭证和业务标识,所述第一代理凭证为所述运营服务器在对所述终端进行认证时分配的,且所述运营服务器每次对该终端进行认证时分配的第一代理凭证各不相同;
在所述运营服务器依据所述第一代理凭证确定所述终端为合法终端且所述运营服务器依据所述业务标识确定所述终端向代理服务器订购有所述业务标识对应的业务的情况下,所述运营服务器向所述终端发送响应消息,所述响应消息中至少包括所述业务标识对应的业务的访问地址;
所述终端根据所述响应消息确定第二代理凭证,并依据所述业务标识对应的业务的访问地址向所述代理服务器发送代理业务访问请求,所述代理业务访问请求携带有所述终端的第二代理凭证,所述第二代理凭证的有效时长不大于所述第一代理凭证的有效时长;
所述代理服务器将接收到的所述代理业务访问请求中的第二代理凭证发送至所述运营服务器;
所述运营服务器验证所述代理服务器发送的第二代理凭证的合法性,并将验证的结果发送至所述代理服务器;
所述代理服务器依据所述验证的结果,处理所述代理业务访问请求。
优选的,所述第一代理凭证为所述运营服务器在对所述终端进行认证时分配的包括:
所述第一代理凭证为所述运营服务器在所述终端由非工作状态转换为工作状态或每隔预设时间时对所述终端进行认证时分配的。
优选的,所述运营服务器接收基于所述运营服务器的终端发送的业务访问请求,所述业务访问请求携带有发送业务访问请求的终端对应的第一代理凭证和业务标识之前还包括:
所述运营服务器存储基于运营服务器的终端的第一代理凭证和该第一代理凭证对应的终端的终端标识的对应关系及该第一代理凭证的有效时长。
优选的,所述终端根据所述响应消息确定第二代理凭证包括:
所述终端判断所述响应信息中是否包括临时性凭证;
其中,所述临时性凭证为所述运营服务器在向所述终端发送响应消息之前分配的,且所述运营服务器存储有所述终端的临时性凭证和所述终端的终端标识的对应关系及所述终端的临时性凭证的有效时长;
若是,确定所述临时性凭证为第二代理凭证;
若否,确定所述第一代理凭证为第二代理凭证。
优选的,所述代理服务器将接收到的所述代理业务访问请求中的第二代理凭证发送至所述运营服务器包括:
所述代理服务器通过虚拟专用网络VPN将接收到的第二代理凭证发送至所述运营服务器。
优选的,所述运营服务器验证所述代理服务器发送的第二代理凭证的合法性包括:
所述运营服务器依据所述第一代理凭证的有效时长确定所述第一代理凭证的有效截止时间;
所述运营服务器判断所述代理服务器发送第一代理凭证的时间是否超出所述第一代理凭证的有效截止时间;
若是,所述运营服务器比较所述代理服务器发送的第一代理凭证和发送所述代理业务访问请求的终端的第一代理凭证是否一致;
在比较结果一致的情况下,确定所述代理服务器发送的第一代理凭证合法;
在比较结果不一致的情况下,确定所述代理服务器发送的第一代理凭证不合法;
若否,所述代理服务器发送的第一代理凭证失效。
优选的,所述运营服务器验证所述代理服务器发送的第二代理凭证的合法性包括:
所述运营服务器依据所述临时性凭证的有效时长确定所述临时性凭证的有效截止时间;
所述运营服务器判断所述代理服务器发送临时性凭证的时间是否超出所述临时性凭证的有效截止时间;
若是,所述运营服务器比较所述代理服务器发送的临时性凭证和发送所述代理业务访问请求的终端的临时性凭证是否一致;
在比较结果一致的情况下,确定所述代理服务器发送的临时性凭证合法;
在比较结果不一致的情况下,确定所述代理服务器发送的临时性凭证不合法;
若否,所述代理服务器发送的临时性凭证失效。
优选的,所述终端包括机顶盒;
所述第一代理凭证为代理授权凭证。
一种业务鉴权***,包括运营服务器、终端和代理服务器,其中:
所述运营服务器用于,接收基于所述运营服务器的终端发送的业务访问请求,所述业务访问请求携带所述终端的第一代理凭证和业务标识,在依据所述第一代理凭证确定所述终端为合法终端且依据所述业务标识确定所述终端向代理服务器订购有所述业务标识对应的业务的情况下,向所述终端发送响应消息,所述响应消息中至少包括所述业务标识对应的业务的访问地址,并验证所述代理服务器发送的第二代理凭证的合法性,并将验证的结果发送至所述代理服务器,所述第一代理凭证为所述运营服务器在对所述终端进行认证时分配的,且所述运营服务器每次对该终端进行认证时分配的第一代理凭证各不相同;
所述终端用于,向所述运营服务器发送业务访问请求,根据所述运营服务器发送的响应消息确定第二代理凭证,并依据所述业务标识对应的业务的访问地址向所述代理服务器发送代理业务访问请求,所述代理业务访问请求携带有所述终端的第二代理凭证,所述第二代理凭证的有效时长不大于所述第一代理凭证的有效时长;
所述代理服务器用于,将接收到的所述终端发送的代理业务访问请求中的第二代理凭证发送至所述运营服务器进行合法性验证,并依据所述运营服务器发送的验证结果,处理所述终端发送的代理业务访问请求。
优选的,所述终端包括机顶盒;
所述第一代理凭证为代理授权凭证。
与现有技术相比,本申请的有益效果为:
在本申请中,运营服务器接收基于所述运营服务器的终端发送的业务访问请求,所述业务访问请求携带所述终端的第一代理凭证和业务标识,所述第一代理凭证为所述运营服务器在对所述终端进行认证时分配的,且所述运营服务器每次对该终端进行认证时分配的第一代理凭证各不相同;在所述运营服务器依据所述第一代理凭证确定所述终端为合法终端且所述运营服务器依据所述业务标识确定所述终端向代理服务器订购有所述业务标识对应的业务的情况下,所述运营服务器向所述终端发送响应消息,所述响应消息中至少包括所述业务标识对应的业务的访问地址;所述终端根据所述响应消息确定第二代理凭证,并依据所述业务标识对应的业务的访问地址向所述代理服务器发送代理业务访问请求,所述代理业务访问请求携带有所述终端的第二代理凭证;所述代理服务器将接收到的所述代理业务访问请求中的第二代理凭证发送至所述运营服务器;所述运营服务器验证所述代理服务器发送的第二代理凭证的合法性,并将验证的结果发送至所述代理服务器;所述代理服务器依据所述验证的结果,处理所述代理业务访问请求。
由于本申请使用第一代理凭证代替终端的真实信息,用以实现运营服务器和基于运营服务器的终端之间的交互,且所述运营服务器每次对该终端进行认证时分配的第一代理凭证各不相同,第二代理凭证代替终端的真实信息,用以实现所述终端和代理服务器之间的交互,且所述第二代理凭证的有效时长至多等于所述第一代理凭证的有效时长,可知代替终端真实信息的第一代理凭证和第二代理凭证的信息在一定时间内传输时是不同的,使截获终端信息者难以根据不断变化的第一代理凭证和第二代理凭证确定出固定不变的第一代理凭证和第二代理凭证,从而不能截获到终端的第一代理凭证和第二代理凭证,进而不能冒用所述终端,降低终端信息被截获和冒用的风险,提高终端访问运营服务器和代理服务器的安全性。
即使截获终端信息者截获到一个第一代理凭证和一个第二代理凭证,由于第一代理凭证和第二代理凭证在一段时间之后会发生变化,截获终端信息者截获到的第一代理凭证和第二代理凭证也会失效,从而使终端不能被冒用,进一步降低了终端被冒用的风险提高了安全性。
本申请中运营服务器验证终端的第一代理凭证的合法性,在运营服务器确定所述终端为合法终端后,所述终端携带第二代理凭证访问代理服务器,代理服务器向运营服务器发送所述第二代理凭证,运营服务器验证所述第二代理凭证,形成运营服务器、终端和代理服务器三方信任机制。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本申请提供的一种业务鉴权方法的一种流程图;
图2是运营服务器、终端和代理服务器之间的交互工作流程的一种示意图;
图3是运营服务器确定所述终端是否为合法终端的具体过程的一种流程图;
图4是终端根据所述响应消息确定第二代理凭证的具体过程的一种流程图;
图5是运营服务器验证代理服务器发送的第一代理凭证的合法性的具体过程的一种流程图;
图6是运营服务器验证代理服务器发送的临时性凭证的合法性的具体过程的一种流程图;
图7是本申请提供的一种业务鉴权***的一种结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请运营服务器接收基于所述运营服务器的终端发送的业务访问请求,所述业务访问请求携带所述终端的第一代理凭证和业务标识,所述第一代理凭证为所述运营服务器在对所述终端进行认证时分配的,且所述运营服务器每次对该终端进行认证时分配的第一代理凭证各不相同;在所述运营服务器依据所述第一代理凭证确定所述终端为合法终端且所述运营服务器依据所述业务标识确定所述终端向代理服务器订购有所述业务标识对应的业务的情况下,所述运营服务器向所述终端发送响应消息,所述响应消息中至少包括所述业务标识对应的业务的访问地址;所述终端根据所述响应消息确定第二代理凭证,并依据所述业务标识对应的业务的访问地址向所述代理服务器发送代理业务访问请求,所述代理业务访问请求携带有所述终端的第二代理凭证,所述第二代理凭证的有效时长不大于所述第一代理凭证的有效时长;所述代理服务器将接收到的所述代理业务访问请求中的第二代理凭证发送至所述运营服务器;所述运营服务器验证所述代理服务器发送的第二代理凭证的合法性,并将验证的结果发送至所述代理服务器;所述代理服务器依据所述验证的结果,处理所述代理业务访问请求。下面结合流程图对本申请提供的业务鉴权方法进行说明。
一个实施例
请参阅图1,其示出了本申请提供的一种业务鉴权方法的一种流程图,可以包括以下步骤:
步骤S11:运营服务器接收基于所述运营服务器的终端发送的业务访问请求,所述业务访问请求携带所述终端的第一代理凭证和业务标识,所述第一代理凭证为所述运营服务器在对所述终端进行认证时分配的,且所述运营服务器每次对该终端进行认证时分配的第一代理凭证各不相同。
在本实施例中,运营服务器首先对基于运营服务器的终端进行认证,经过认证的终端为运营服务器中的合法用户。
运营服务器在对基于运营服务器的终端进行认证时,为所述终端分配第一代理凭证,且记录所述第一代理凭证的有效时长,其中,由所述有效时长可知,所述第一代理凭证截止到何时是有效的即所述第一代理凭证的有效截止时间。
在本实施例中,每当所述终端由非工作状态转换为工作状态或每隔预设时间时,运营服务器就会对所述终端进行一次认证,且每次认证时分配的第一代理凭证均不同。其中,所述终端由非工作状态转换为工作状态具体可以为:所述终端由关闭状态转换为开启状态或所述终端由待机状态转换为运行状态。所述终端每隔的预设时间可以但不局限于设定为24小时。
运营服务器在对基于运营服务器的终端进行认证后,所述终端就可以向运营服务器发送业务访问请求,运营服务器接收所述终端发送的业务访问请求,且所述业务访问请求携带所述终端的第一代理凭证和业务标识,其中,所述业务标识用以识别所述业务访问请求访问的是何种业务。
运营服务器在为基于运营服务器的终端分配第一代理凭证后,即运营服务器接收所述终端发送的业务访问请求前,运营服务器存储该第一代理凭证和该第一代理凭证对应的终端的终端标识的对应关系及该第一代理凭证的有效时长。
在本实施例中,所述终端可以为机顶盒,在所述终端为机顶盒时,所述第一代理凭证可以为代理授权凭证(ProxyGrantingTicket,Pgt),其中,代理授权凭证可以但不局限为62位字符串。
步骤S12:在所述运营服务器依据所述第一代理凭证确定所述终端为合法终端且所述运营服务器依据所述业务标识确定所述终端向代理服务器订购有所述业务标识对应的业务的情况下,所述运营服务器向所述终端发送响应消息,所述响应消息中至少包括所述业务标识对应的业务的访问地址。
运营服务器依据接收到的基于运营服务器的终端的第一代理凭证确定所述终端是否为合法终端,在确定所述终端为合法终端后,所述终端就有权访问运营服务器中的业务。
在本实施例中,运营服务器在确定所述终端有权访问运营服务器中的业务后,依据所述终端发送的业务访问请求中的业务标识判断所述终端是否向代理服务器订购有所述业务标识对应的业务,在判断结果为所述终端向代理服务器订购有所述业务标识对应的业务的情况下,所述运营服务器向所述终端发送响应消息,所述终端依据所述响应消息访问所述代理服务器。
其中,所述响应消息在不同的情况下,包括的内容不同,但是无论在什么情况下,所述响应消息至少包括所述业务标识对应的业务的访问地址。
在本实施例中,运营服务器在确定所述终端向代理服务器订购有所述业务标识对应的业务后,若运营服务器为所述终端重新分配不同于所述第一代理凭证的代理凭证,则响应消息包括新的代理凭证和所述业务标识对应的业务的访问地址,若运营服务器没有重新分配不同于所述第一代理凭证的代理凭证,则响应消息仅包括所述业务标识对应的业务的访问地址。
步骤S13:所述终端根据所述响应消息确定第二代理凭证,并依据所述业务标识对应的业务的访问地址向所述代理服务器发送代理业务访问请求,所述代理业务访问请求携带有所述终端的第二代理凭证,所述第二代理凭证的有效时长不大于所述第一代理凭证的有效时长。
在本实施例中,第二代理凭证可以为所述第一代理凭证,也可以为运营服务器为终端重新分配的不同于第一代理凭证的代理凭证,其中,运营服务器为终端重新分配的不同于第一代理凭证的代理凭证可以但不局限为临时性凭证,所述临时性凭证的有效时长不大于第一代理凭证的有效时长,所述临时性凭证在访问一次业务后就失效。
在本实施例中,临时性凭证可以但不局限为29位字符串。
运营服务器在为所述终端重新分配临时性凭证后,记录所述终端的临时性凭证的有效时长并存储所述终端的临时性凭证和所述终端的终端标识的对应关系。由所述终端的临时性凭证的有效时长可知所述临时性凭证截止到何时是有效的即所述临时性凭证的有效截止时间。
在第二代理凭证已经确定的情况下,所述终端依据所述业务标识对应的业务的访问地址向所述代理服务器发送代理业务访问请求,且所诉代理业务访问请求携带有所述终端的第二代理凭证。
若确定第一代理凭证为第二代理凭证,则所述终端向代理服务器发送的代理业务访问请求携带的第二代理凭证即为第一代理凭证。
若确定临时性凭证为第二代理凭证,则所述终端向代理服务器发送的代理业务访问请求携带的第二代理凭证即为临时性凭证。
步骤S14:所述代理服务器将接收到的所述代理业务访问请求中的第二代理凭证发送至所述运营服务器。
在本实施例中,所述代理服务器通过虚拟专用网络VPN将接收到的第二代理凭证发送至所述运营服务器。使用VPN的目的是提高信息传输时的安全指数。
步骤S15:所述运营服务器验证所述代理服务器发送的第二代理凭证的合法性,并将验证的结果发送至所述代理服务器。
在本实施例中,当所述代理服务器发送的第二代理凭证为所述第一代理凭证时,所述运营服务器验证所述代理服务器发送的第二代理凭证的合法性即所述运营服务器验证所述代理服务器发送的第一代理凭证的合法性。
在本实施例中,当所述代理服务器发送的第二代理凭证为所述临时性凭证时,所述运营服务器验证所述代理服务器发送的第二代理凭证的合法性即所述运营服务器验证所述代理服务器发送的临时性凭证的合法性。
步骤S16:所述代理服务器依据所述验证的结果,处理所述代理业务访问请求。
在本实施例中,在验证结果为所述代理服务器发送的第二代理凭证合法的情况下,所述代理服务器响应所述代理业务访问请求;在验证结果为所述代理服务器发送的第二代理凭证不合法的情况下,所述代理服务器不响应所述代理业务访问请求。
本申请使用第一代理凭证代替终端的真实信息,用以实现运营服务器和基于运营服务器的终端之间的交互,且所述运营服务器每次对该终端进行认证时分配的第一代理凭证各不相同,第二代理凭证代替终端的真实信息,用以实现所述终端和代理服务器之间的交互,且所述第二代理凭证的有效时长至多等于所述第一代理凭证的有效时长,可知代替终端真实信息的第一代理凭证和第二代理凭证的信息在一定时间内传输时是不同的,使截获终端信息者难以根据不断变化的第一代理凭证和第二代理凭证确定出固定不变的第一代理凭证和第二代理凭证,从而不能截获到终端的第一代理凭证和第二代理凭证,进而不能冒用所述终端,降低了终端信息被截获和冒用的风险,提高了终端访问运营服务器和代理服务器的安全性。
即使截获终端信息者截获到一个第一代理凭证和一个第二代理凭证,由于第一代理凭证和第二代理凭证在一段时间之后会发生变化,截获终端信息者截获到的第一代理凭证和第二代理凭证也会失效,从而使终端不能被冒用,进一步降低了终端被冒用的风险提高了安全性。
运营服务器验证终端的第一代理凭证的合法性,在运营服务器确定所述终端为合法终端后,所述终端携带第二代理凭证访问代理服务器,代理服务器向运营服务器发送所述第二代理凭证,运营服务器验证所述第二代理凭证,形成运营服务器、终端和代理服务器三方信任机制。
在上述方法步骤中,当所述终端为机顶盒时,所述终端的终端标识为机顶盒的TVN(TVNumber,电视号),TVN为机顶盒的唯一标识。在上述方法步骤中,与图1所示的一种业务鉴权方法的一种流程图相对应的运营服务器、终端和代理服务器之间的交互工作流程可以参见图2,其中图2是运营服务器、终端和代理服务器之间的交互工作流程的一种示意图。
另一个实施例
请参阅图3,本实施例示出的是运营服务器确定所述终端是否为合法终端的具体过程的一种流程图,其中,所述终端向所述运营服务器发送的验证所述终端是否为合法终端的请求携带有所述终端的终端标识和所述第一代理凭证,可以包括以下步骤:
步骤S31:运营服务器依据所述第一代理凭证的有效时长确定所述第一代理凭证的有效截止时间。
运营服务器在分配所述第一代理凭证的同时记录了所述第一代理凭证生成的时间,运营服务器在所述第一代理凭证生成的基础上加上所述第一代理凭证的有效时长即得到所述第一代理凭证的有效截止时间。
步骤S32:运营服务器判断接收到所述第一代理凭证时的时间是否超出所述第一代理凭证的有效截止时间,若否,执行步骤S33,若否,执行步骤S34。
步骤S33:所述第一代理凭证失效。
步骤S34:依据所述终端的终端标识确定所述运营服务器存储的所述终端的第一代理凭证。
运营服务器中存储有所述终端的第一代理凭证和所述终端的终端标识的对应关系,依据所述终端的终端标识和运营服务器存储的所述终端的第一代理凭证和所述终端的终端标识的对应关系即可确定所述终端的第一代理凭证。在确定所述终端的第一代理凭证后,执行步骤S34。
步骤S35:比较所述第一代理凭证和所述终端的第一代理凭证是否一致,若是,执行步骤S36,若否,执行步骤S37。
若所述第一代理凭证被截获,则会得到所述第一代理凭证和所述终端的第一代理凭证不一致的结果,在比较结果不一致时执行步骤S36,若所述第一代理凭证未被截获,则会得到所述第一代理凭证和所述终端的第一代理凭证一致的结果,在比较结果一致时执行步骤S35。
例如:所述第一代理凭证为a1,所述第一代理凭证a1对应的终端的终端标识为A,则运营服务器存储的对应关系为第一代理凭证a1和终端标识A,若所述第一代理凭证a1被终端标识为B的终端截获,则所述终端的终端标识为B,运营服务器在接收到所述第一代理凭证a1和终端标识B时,首先找到终端标识B和终端标识B对应的第一代理凭证b1的对应关系,从而确定终端标识B对应的第一代理凭证b1,然后比较第一代理凭证a1和终端标识B对应的第一代理凭证b1,显然a1和b1不一致。若所述第一代理凭证a1未被截获,则所述终端的终端标识为A,运营服务器在接收到所述第一代理凭证a1和终端标识A时,首先根据终端标识A和终端标识A对应的第一代理凭证a1的对应关系,从而确定终端标识A对应的第一代理凭证为a1,显然所述第一代理凭证a1和所述终端的第一代理凭证一致。
步骤S36:确定所述终端合法。
步骤S37:确定所述终端不合法。
再一个实施例
请参阅图4,本实施例示出的是终端根据所述响应消息确定第二代理凭证的具体过程的一种流程图,可以包括以下步骤:
步骤S41:所述终端判断所述响应消息中是否包括临时性凭证。
若是,执行步骤S42,若否,执行步骤S43。
若所述运营服务器为所述终端重新分配了不同于所述第一代理凭证的临时性凭证,则所述运营服务器发送的响应消息中包括临时性凭证,否则所述运营服务器发送的响应消息中不包括临时性凭证。
步骤S42:确定所述临时性凭证为第二代理凭证。
步骤S43:确定所述第一代理凭证为第二代理凭证。
再一个实施例
请参阅图5,本实施例示出的是运营服务器验证代理服务器发送的第一代理凭证的合法性的具体过程的一种流程图,其中,所述代理服务器向所述运营服务器发送的验证第一代理凭证的合法性请求携带有第一代理凭证和发送所述代理业务访问请求的终端的终端标识,可以包括以下步骤:
步骤S51:运营服务器依据所述第一代理凭证的有效时长确定所述第一代理凭证的有效截止时间。
步骤S51和图3示出的运营服务器确定所述终端是否为合法终端的具体过程中的步骤S31相同,在此不再赘述。
步骤S52:所述运营服务器判断所述代理服务器发送第一代理凭证的时间是否超出所述第一代理凭证的有效截止时间。
若判断结果为所述代理服务器发送第一代理凭证的时间已超出所述第一代理凭证的有效截止时间,说明所述代理服务器发送的第一代理凭证仍有效,执行步骤S53,否则,执行步骤S54。
步骤S53:所述代理服务器发送的第一代理凭证失效。
步骤S54:所述运营服务器比较所述代理服务器发送的第一代理凭证和发送所述代理业务访问请求的终端的第一代理凭证是否一致。
在比较结果一致的情况下,说明所述代理服务器发送的第一代理凭证未被截获,发送所述代理业务访问请求的终端即所述代理服务器发送的第一代理凭证对应的真实终端,执行步骤S55,在比较结果不一致的情况下,说明所述代理服务器发送的第一代理凭证被截获,发送所述代理业务访问请求的终端不再是所述代理服务器发送的第一代理凭证对应的真实终端,执行步骤S56。
例如:所述代理服务器发送的第一代理凭证为a,第一代理凭证a对应的终端为A,若第一代理凭证a未被截获,发送所述代理业务请求的终端即为A,若第一代理凭证a被截获,则说明发送所述代理业务访问请求的终端不再是A,而是终端B,终端B的第一代理凭证b和第一代理凭证a必定不相同,因此可判定所述代理服务器发送的第一代理凭证a已被截获,可确定所述代理服务器发送的第一代理凭证a不合法。
步骤S55:确定所述代理服务器发送的第一代理凭证合法。
步骤S56:确定所述代理服务器发送的第一代理凭证不合法。
再一个实施例
请参阅图6,本实施例示出的是运营服务器验证代理服务器发送的临时性凭证的合法性的具体过程的一种流程图,其中,所述代理服务器向所述运营服务器发送的验证临时性凭证的合法性请求携带有临时性凭证和发送所述代理业务访问请求的终端的终端标识,可以包括以下步骤:
步骤S61:运营服务器依据所述临时性凭证的有效时长确定所述临时性凭证的有效截止时间。
运营服务器在分配所述临时性凭证的同时记录了所述临时性凭证生成的时间,运营服务器在所述临时性凭证生成的基础上加上所述临时性凭证的有效时长即得到所述临时性凭证的有效截止时间。
步骤S62:所述运营服务器判断所述代理服务器发送临时性凭证的时间是否超出所述临时性凭证的有效截止时间。
若判断结果为所述代理服务器发送临时性凭证的时间已超出所述第临时性的有效截止时间,说明所述代理服务器发送的临时性凭证仍有效,执行步骤S63,否则,执行步骤S64。
步骤S63:所述代理服务器发送的临时性凭证失效。
步骤S64:所述运营服务器比较所述代理服务器发送的临时性凭证和发送所述代理业务访问请求的终端的临时性凭证是否一致。
在本实施例中,运营服务器依据发送所述代理业务访问请求的终端的终端标识确定发送所述代理业务访问请求的终端的临时性凭证。在确定发送所述代理业务访问请求的终端的临时性凭证后,比较所述代理服务器发送的临时性凭证和发送所述代理业务访问请求的终端的临时性凭证是否一致。
在比较结果一致的情况下,说明所述代理服务器发送的临时性凭证未被截获,发送所述代理业务访问请求的终端即所述代理服务器发送的临时性凭证对应的真实终端,执行步骤S65,在比较结果不一致的情况下,说明所述代理服务器发送的临时性凭证被截获,发送所述代理业务访问请求的终端不再是所述代理服务器发送的临时性凭证对应的真实终端,执行步骤S66。
例如:所述代理服务器发送的第一代理凭证为c,第一代理凭证c对应的终端为C,若第一代理凭证c未被截获,发送所述代理业务请求的终端即为C,若第一代理凭证c被截获,则说明发送所述代理业务访问请求的终端不再是C,而是终端D,终端D的第一代理凭证d和第一代理凭证c必定不相同,因此可判定所述代理服务器发送的第一代理凭证c已被截获,可确定所述代理服务器发送的第一代理凭证c不合法。
步骤S65:确定所述代理服务器发送的临时性凭证合法。
步骤S66:确定所述代理服务器发送的临时性凭证不合法。
对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本申请并不受所描述的动作顺序的限制,因为依据本申请,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本申请所必须的。
与图1所示的一种业务鉴权方法的实施例相对应,本申请还提供了一种业务鉴权***的一种结构图,请参阅图7,业务鉴权***包括运营服务器701、终端702和代理服务器703,其中运营服务器701
所述运营服务器701用于,接收基于所述运营服务器的终端702发送的业务访问请求,所述业务访问请求携带所述终端的第一代理凭证和业务标识,
在所述运营服务器701依据所述第一代理凭证确定所述终端702为合法终端且所述运营服务器依据所述业务标识确定所述终端向代理服务器订购有所述业务标识对应的业务的情况下,向所述终端702发送响应消息,所述响应消息中至少包括所述业务标识对应的业务的访问地址,并验证所述代理服务器703发送的第二代理凭证的合法性,并将验证的结果发送至所述代理服务器703,所述第一代理凭证为所述运营服务器在对所述终端进行认证时分配的,且所述运营服务器每次对该终端进行认证时分配的第一代理凭证各不相同。
其中在本实施例中,代理服务器发送的第二代理凭证为第一代理凭证或临时性凭证。
在所述第二代理凭证为第一代理凭证时,运营服务器701具体用于判断所述终端702发送的第一代理凭证的时间是否超出所述第一代理凭证的有效截止时间;
若是,比较所述终端702发送的第一代理凭证和所述运营服务器701存储的所述终端702发送的第一代理凭证对应的终端702的第一代理凭证是否一致;
在比较结果一致的情况下,确定所述代理服务器703发送的第一代理凭证合法;
在比较结果不一致的情况下,确定所述代理服务器703发送的第一代理凭证不合法;
若否,所述代理服务器703发送的第一代理凭证失效。
在所述终端702发送的第二代理凭证为临时性凭证时,所述运营服务器701具体用于判断所述终端702发送的临时性凭证的时间是否超出所述临时性凭证的有效截止时间;
若是,比较所述终端702发送的临时性凭证和所述运营服务器701存储的所述终端702发送的临时性凭证对应的终端702的第一代理凭证是否一致;
在比较结果一致的情况下,确定所述代理服务器703发送的临时性凭证合法;
在比较结果不一致的情况下,确定所述代理服务器703发送的临时性凭证不合法;
若否,所述代理服务器703发送的临时性凭证失效。
所述运营服务器701还用于存储基于运营服务器的终端702的第一代理凭证和该第一代理凭证对应的终端的终端标识的对应关系及该第一代理凭证的有效时长。
所述运营服务器701在向所述终端702发送响应消息之前分配临时性凭证,并存储所述终端702的临时性凭证和所述终端702的终端标识的对应关系及所述终端302的临时性凭证的有效时长。
所述终端702用于,向所述运营服务器发送业务访问请求,根据所述运营服务器701发送的响应消息确定第二代理凭证,并依据所述业务标识对应的业务的访问地址向所述代理服务器703发送代理业务访问请求,所述代理业务访问请求携带有所述终端的第二代理凭证,所述第二代理凭证的有效时长不大于所述第一代理凭证的有效时长。
在本实施例中,终端702根据所述响应消息确定第二代理凭证的具体过程可以为:
终端702判断所述响应消息中是否包括临时性凭证;若是,确定所述临时性凭证为第二代理凭证;若否,确定所述第一代理凭证为第二代理凭证。
代理服务器703用于,将接收到的所述代理业务访问请求中的第二代理凭证发送至所述运营服务器701进行合法性验证,并依据所述运营服务器701发送的验证结果,处理所述终端702发送的代理业务访问请求。
在本实施例中,代理服务器703具体通过虚拟专用网络VPN将接收到的所述代理业务访问请求中的第二代理凭证发送至所述运营服务器701。
在本实施例中,代理服务器703发送的第二代理凭证为第一代理凭证或临时性凭证。
在上述***中,终端702可以为机顶盒,在终端702为机顶盒时,所述***中处理的第一代理凭证为代理授权凭证。
需要说明的是,本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。对于装置类实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上对本申请所提供的一种业务鉴权方法及***进行了详细介绍,本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的一般技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。
Claims (10)
1.一种业务鉴权方法,其特征在于,该方法包括:
运营服务器接收基于所述运营服务器的终端发送的业务访问请求,所述业务访问请求携带所述终端的第一代理凭证和业务标识,所述第一代理凭证为所述运营服务器在对所述终端进行认证时分配的,且所述运营服务器每次对该终端进行认证时分配的第一代理凭证各不相同;
在所述运营服务器依据所述第一代理凭证确定所述终端为合法终端且所述运营服务器依据所述业务标识确定所述终端向代理服务器订购有所述业务标识对应的业务的情况下,所述运营服务器向所述终端发送响应消息,所述响应消息中至少包括所述业务标识对应的业务的访问地址;
所述终端根据所述响应消息确定第二代理凭证,并依据所述业务标识对应的业务的访问地址向所述代理服务器发送代理业务访问请求,所述代理业务访问请求携带有所述终端的第二代理凭证,所述第二代理凭证的有效时长不大于所述第一代理凭证的有效时长;
所述代理服务器将接收到的所述代理业务访问请求中的第二代理凭证发送至所述运营服务器;
所述运营服务器验证所述代理服务器发送的第二代理凭证的合法性,并将验证的结果发送至所述代理服务器;
所述代理服务器依据所述验证的结果,处理所述代理业务访问请求;其中,若所述验证结果为所述代理服务器发送的第二代理凭证合法,则所述代理服务器响应所述代理业务访问请求。
2.根据权利要求1所述的方法,其特征在于,所述第一代理凭证为所述运营服务器在对所述终端进行认证时分配的包括:
所述第一代理凭证为所述运营服务器在所述终端由非工作状态转换为工作状态或每隔预设时间时对所述终端进行认证时分配的。
3.根据权利要求1所述的方法,其特征在于,所述运营服务器接收基于所述运营服务器的终端发送的业务访问请求,所述业务访问请求携带有发送业务访问请求的终端对应的第一代理凭证和业务标识之前还包括:
所述运营服务器存储基于运营服务器的终端的第一代理凭证和该第一代理凭证对应的终端的终端标识的对应关系及该第一代理凭证的有效时长。
4.根据权利要求1所述的方法,其特征在于,所述终端根据所述响应消息确定第二代理凭证包括:
所述终端判断所述响应消息中是否包括临时性凭证;
其中,所述临时性凭证为所述运营服务器在向所述终端发送响应消息之前分配的,且所述运营服务器存储有所述终端的临时性凭证和所述终端的终端标识的对应关系及所述终端的临时性凭证的有效时长;
若是,确定所述临时性凭证为第二代理凭证;
若否,确定所述第一代理凭证为第二代理凭证。
5.根据权利要求1所述的方法,其特征在于,所述代理服务器将接收到的所述代理业务访问请求中的第二代理凭证发送至所述运营服务器包括:
所述代理服务器通过虚拟专用网络VPN将接收到的第二代理凭证发送至所述运营服务器。
6.根据权利要求4所述的方法,其特征在于,当确定所述第一代理凭证为第二代理凭证时,所述运营服务器验证所述代理服务器发送的第二代理凭证的合法性包括:
所述运营服务器依据所述第一代理凭证的有效时长确定所述第一代理凭证的有效截止时间;
所述运营服务器判断所述代理服务器发送第一代理凭证的时间是否超出所述第一代理凭证的有效截止时间;
若是,所述运营服务器比较所述代理服务器发送的第一代理凭证和发送所述代理业务访问请求的终端的第一代理凭证是否一致;
在比较结果一致的情况下,确定所述代理服务器发送的第一代理凭证合法;
在比较结果不一致的情况下,确定所述代理服务器发送的第一代理凭证不合法;
若否,所述代理服务器发送的第一代理凭证失效。
7.根据权利要求4所述的方法,其特征在于,当确定所述临时性凭证为第二代理凭证时,所述运营服务器验证所述代理服务器发送的第二代理凭证的合法性包括:
所述运营服务器依据所述临时性凭证的有效时长确定所述临时性凭证的有效截止时间;
所述运营服务器判断所述代理服务器发送临时性凭证的时间是否超出所述临时性凭证的有效截止时间;
若是,所述运营服务器比较所述代理服务器发送的临时性凭证和发送所述代理业务访问请求的终端的临时性凭证是否一致;
在比较结果一致的情况下,确定所述代理服务器发送的临时性凭证合法;
在比较结果不一致的情况下,确定所述代理服务器发送的临时性凭证不合法;
若否,所述代理服务器发送的临时性凭证失效。
8.根据权利要求1-7任意一项所述的方法,其特征在于,所述终端包括机顶盒;
所述第一代理凭证为代理授权凭证。
9.一种业务鉴权***,其特征在于,包括运营服务器、终端和代理服务器,其中:
所述运营服务器用于,接收基于所述运营服务器的终端发送的业务访问请求,所述业务访问请求携带所述终端的第一代理凭证和业务标识,在依据所述第一代理凭证确定所述终端为合法终端且依据所述业务标识确定所述终端向代理服务器订购有所述业务标识对应的业务的情况下,向所述终端发送响应消息,所述响应消息中至少包括所述业务标识对应的业务的访问地址,并验证所述代理服务器发送的第二代理凭证的合法性,并将验证的结果发送至所述代理服务器,所述第一代理凭证为所述运营服务器在对所述终端进行认证时分配的,且所述运营服务器每次对该终端进行认证时分配的第一代理凭证各不相同;
所述终端用于,向所述运营服务器发送业务访问请求,根据所述运营服务器发送的响应消息确定第二代理凭证,并依据所述业务标识对应的业务的访问地址向所述代理服务器发送代理业务访问请求,所述代理业务访问请求携带有所述终端的第二代理凭证,所述第二代理凭证的有效时长不大于所述第一代理凭证的有效时长;
所述代理服务器用于,将接收到的所述终端发送的代理业务访问请求中的第二代理凭证发送至所述运营服务器进行合法性验证,并依据所述运营服务器发送的验证结果,处理所述终端发送的代理业务访问请求;其中,若所述验证结果为所述代理服务器发送的第二代理凭证合法,则所述代理服务器响应所述代理业务访问请求。
10.根据权利要求9所述的***,其特征在于,所述终端包括机顶盒;
所述第一代理凭证为代理授权凭证。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310132539.8A CN103178969B (zh) | 2013-04-16 | 2013-04-16 | 一种业务鉴权方法及*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310132539.8A CN103178969B (zh) | 2013-04-16 | 2013-04-16 | 一种业务鉴权方法及*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103178969A CN103178969A (zh) | 2013-06-26 |
| CN103178969B true CN103178969B (zh) | 2016-06-29 |
Family
ID=48638601
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310132539.8A Expired - Fee Related CN103178969B (zh) | 2013-04-16 | 2013-04-16 | 一种业务鉴权方法及*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103178969B (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104717192B (zh) * | 2013-12-16 | 2018-05-18 | 腾讯科技(深圳)有限公司 | 合法性验证方法及中间服务器 |
| CN106161359B (zh) * | 2015-04-02 | 2019-09-17 | 阿里巴巴集团控股有限公司 | 认证用户的方法及装置、注册可穿戴设备的方法及装置 |
| CN107113320B (zh) * | 2016-01-29 | 2020-09-29 | 华为技术有限公司 | 一种下载签约文件的方法、相关设备及*** |
| CN107231335B (zh) * | 2016-03-24 | 2021-05-25 | 创新先进技术有限公司 | 一种业务处理方法及装置 |
| CN108462671A (zh) * | 2017-02-20 | 2018-08-28 | 沪江教育科技(上海)股份有限公司 | 一种基于反向代理的认证保护方法及*** |
| CN112559994B (zh) * | 2020-12-25 | 2023-12-01 | 北京百度网讯科技有限公司 | 访问控制方法、装置、设备及存储介质 |
| CN115242469B (zh) * | 2022-07-07 | 2024-05-24 | 安天科技集团股份有限公司 | 安全访问api、安全通信的方法、电子设备及存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1610319A (zh) * | 2003-10-22 | 2005-04-27 | 华为技术有限公司 | 无线局域网中选定业务的解析接入处理方法 |
| CN1812421A (zh) * | 2006-03-06 | 2006-08-02 | ***通信集团公司 | 数据业务鉴权方法 |
| CN101431654A (zh) * | 2008-12-12 | 2009-05-13 | 天柏宽带网络科技(北京)有限公司 | 一种实现认证的方法和*** |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9600679B2 (en) * | 2011-04-29 | 2017-03-21 | Micro Focus Software Inc. | Techniques for resource operation based on usage, sharing, and recommendations with modular authentication |
-
2013
- 2013-04-16 CN CN201310132539.8A patent/CN103178969B/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1610319A (zh) * | 2003-10-22 | 2005-04-27 | 华为技术有限公司 | 无线局域网中选定业务的解析接入处理方法 |
| CN1812421A (zh) * | 2006-03-06 | 2006-08-02 | ***通信集团公司 | 数据业务鉴权方法 |
| CN101431654A (zh) * | 2008-12-12 | 2009-05-13 | 天柏宽带网络科技(北京)有限公司 | 一种实现认证的方法和*** |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103178969A (zh) | 2013-06-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103178969B (zh) | 一种业务鉴权方法及*** | |
| US10382434B2 (en) | Actively federated mobile authentication | |
| US10484385B2 (en) | Accessing an application through application clients and web browsers | |
| US7827318B2 (en) | User enrollment in an e-community | |
| CN110086822A (zh) | 面向微服务架构的统一身份认证策略的实现方法及*** | |
| CN109413000B (zh) | 一种防盗链方法及防盗链网关*** | |
| WO2016006520A1 (ja) | 検知装置、検知方法及び検知プログラム | |
| US8572699B2 (en) | Hardware-based credential distribution | |
| CN109743163A (zh) | 微服务架构中的权限认证方法、装置及*** | |
| CN108200050A (zh) | 单点登录服务器、方法及计算机可读存储介质 | |
| CN108173850A (zh) | 一种基于区块链智能合约的身份认证***和身份认证方法 | |
| US10542044B2 (en) | Authentication incident detection and management | |
| CN104718526A (zh) | 安全移动框架 | |
| CN103179134A (zh) | 基于Cookie的单点登录方法、***及其应用服务器 | |
| CN103780580B (zh) | 提供能力访问策略的方法、服务器和*** | |
| CN101488857B (zh) | 认证服务虚拟化 | |
| CN103532912A (zh) | 浏览器业务数据的处理方法和装置 | |
| CN101986598B (zh) | 认证方法、服务器及*** | |
| CN103209168A (zh) | 一种实现单点登录的方法和*** | |
| CN109150800A (zh) | 一种登录访问方法、***和存储介质 | |
| CN108881309A (zh) | 大数据平台的访问方法、装置、电子设备及可读存储介质 | |
| CN101540757A (zh) | 网络认证方法、***和认证设备 | |
| CN106161348A (zh) | 一种单点登录的方法、***以及终端 | |
| KR20150026587A (ko) | 신규 기기로부터의 로그인 알림 기능 제공 장치, 방법 및 컴퓨터 판독 가능한 기록 매체 | |
| US20200267146A1 (en) | Network analytics for network security enforcement |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20160629 Termination date: 20210416 |