技術領域

本發明涉及通信領域，特別涉及業務提供技術。

背景技術

隨著無線數據業務的高速發展，一個業務可能涉及到多個服務器的功 能，業務的完整體驗過程可能需要終端與多個服務器進行交互來完成。而各 服務器之間如何保證用戶體驗業務過程的安全性和完整性，是在數據業務發 展過程中面臨的一個挑戰。

另外，隨著業務種類以及參與方式的多樣化，出現了業務推薦和贈送等 參與業務的方式，在這種方式下，可能涉及到多個不同終端與多個服務器之 間進行交互來完成一個完整的體驗過程。如一個終端為另一個終端定購業務 后，由另一個終端使用該業務。在這種應用場景下，如何確保多終端與多服 務器之間交互的安全性，是產品設計過程中必須重點考慮的方面，尤其是在 涉及到業務贈送等實際付費終端與業務使用的終端相分離的場景。

現有技術中，在終端需要與多個服務器進行交互來完成一個業務時，可 以采用在多服務器之間共享Session(會話)的方式來實現在多服務器之間的 會話的連續性和安全性。具體地說，即是由多個相互信任的服務器進行 Session共享，用戶只需要進行了一次登陸后即可在所有參與Session共享的 服務器之間切換。然而這種技術實現的前提是參與共享的服務器必須在一個 域內或者進行域名影射，而且客戶端必須支持Cookies。

本發明的發明人發現，參與共享服務器在同一個域內的條件使得該技術 的適用范圍十分有限；另外，通過域名影射的方式參與共享，存在很多已知 的安全隱患，比如：由于域名的映射是無需認證的，可能有不安全的服務器 混雜其中，造成安全隱患。并且，該技術對客戶端的要求使得在客戶端不支 持Cookies的Web應用中不可用。

另一種在多服務器之間確保會話安全性的技術為單點登陸(Single Sign-on，簡稱“SSO”)技術，SSO技術是在共享Session技術上的改進， 在Web中有較多的應用。該方案提供一個鑒權登陸服務器，終端(客戶端) 需要登陸該鑒權登陸服務器進行鑒權，之后登陸相應的Web服務器進行業務 體驗。在終端登陸Web服務器后，Web服務器到鑒權登陸服務器判斷該終端 是否登陸，如果登陸則進行相應的業務提供流程，如果未登陸則將該終端重 定向到鑒權登陸服務器，由用戶進行鑒權登陸。

本發明發明人發現，在SSO中為確保登錄憑證的安全性，SSO協議中對 登陸憑證的有效性作了很大的限制，如有效次數的限制和有效時間的限制， 從而使得該方案需要用戶進行多次登陸，在Web應用中會明顯降低用戶的體 驗質量，而且，由于鑒權登陸服務器中保存的是進行業務請求的用戶相關的 信息和登錄憑證，因此如果該業務中涉及到多個終端用戶，包括請求業務的 終端和使用業務的其它終端，則其它終端和服務器之間業務交互流程的安全 性無法得到保障。

發明內容

本發明實施方式提供了一種業務提供系統及業務提供中的鑒權方法，使 得業務提供過程中的安全性得到保障。

本發明的實施方式提供了一種業務提供中的鑒權方法，包括以下步驟：

接收來自服務器的終端鑒權請求，對請求中指定的終端進行鑒權，在鑒 權通過后，生成事務標識并將該事務標識返回給該服務器；

接收來自服務器的事務標識有效性驗證請求，根據鑒權通過時生成的事 務標識對所請求的事務標識進行有效性驗證，向該服務器返回驗證結果。

本發明的實施方式還提供了一種事務控制服務器，包括：

第一接收單元，用于接收來自服務器的終端鑒權請求；

鑒權單元，用于對請求中指定的終端進行鑒權；

標識生成單元，用于在鑒權單元鑒權通過后，生成事務標識；

第一發送單元，用于將生成單元生成的事務標識返回給發送鑒權請求的 服務器；

第二接收單元，用于接收來自服務器的事務標識有效性驗證請求；

驗證單元，用于根據鑒權通過時生成的事務標識對所請求的事務標識進 行有效性驗證，得到驗證結果；

第二發送單元，用于將驗證結果發送給請求驗證事務標識有效性的服務 器。

本發明的實施方式還提供了一種服務器，包括：

鑒權請求單元，用于在收到終端的業務請求，且該終端所請求的業務需 要至少一個其它服務器配合完成時，向事務控制服務器發送終端鑒權請求；

標識接收單元，用于在鑒權通過后，從事務控制服務器接收事務標識；