技術領域

本發明屬于信息安全中的身份認證領域，具體涉及一種云電視終端身份認證實現方法。

背景技術

在云計算、物聯網新一代網絡場景中，身份認證是一個最重要的因素，也是整個信息安全體系的基礎。云電視作為智能電視與物聯網、云計算等新興技術的融合體，引領了國內外彩電產業的發展方向，是智能電視發展的高級階段。傳統的身份認證技術，諸如靜態口令、動態口令、矩陣卡技術、對稱加密技術和公私鑰技術，已不能滿足云電視終端發展的需要。同時，面對一種新興的事物，相關的組織和機構還沒有明確地提出較為完善的身份認證體系。如何在云電視這種云端設備，應對基本業務及不斷擴展的增值業務，確定訪問者的真實身份；如何解決不同業務實體在不同網絡、不同業務間建立可靠的身份認證的共享服務，避免由異構認證機制帶來的復雜性，提升了實體用戶對網絡和業務的使用效率、提高身份信息的安全性。要真正地解決這些問題需要實現基于PKI的數字證書作為安全基礎設施為其提供可靠安全服務的可信身份標識體系。近年來，一些企業組織和科研機構已經將基于PKI數字證書的技術，廣泛的應用于Android、IOS等智能化設備中，并且取得了良好的效果。該技術有效地滿足了智能化設備的多業務需求、基礎安全保障等場景，實現各業務系統的互通互聯的訪問，所以需要可信的云電視身份標識體系，加速云電視產業鏈的發展。

發明內容

本方案擬建立基于PKI證書體系的兩級云電視終端證書CA中心，及在云電視終端預裝統一數字證書，形成云電視終端的信任根，并建立云電視終端的統一身份認證中心系統。在此基礎上，通過安全、實用、具有法律效力的數字證書有效地解決云電視終端各應用系統在身份認證、授權管理、責任認定等方面的安全風險，提升各應用系統信息安全保障能力。其核心是構建服務于云電視制造商、云電視終端用戶、應用程序開發商等云電視產業鏈成員的云電視終端身份信任基礎設施。

簡要介紹本方案的基本思想，具體來說，本發明技術方案包括下列幾個方面：

方面一：建立基于PKI證書體系的兩級云電視終端證書CA中心，為云電視終端證書（用戶證書）的生產、運營和管理提供基礎服務。同時該兩級證書CA中心可快速的建立兩級用戶管理體系，降低用戶管理的成本，為構建云電視行業的安全基礎設施奠定堅實的基礎。

方面二：借助云電視終端預裝的統一證書的信任根，實現自身云電視終端證書（用戶證書）激活，幫助廠商和公共服務機構掌握用戶的活躍度，同時為用戶訪問基本業務和增值業務提供信任支撐。

方面三：由于云電視終端用戶訪問本地制造商門戶時，需要統一身份認證中心系統的身份認證服務為其提供可信的用戶登錄的身份證明，以方便用戶訪問本門戶內各個應用資源，以減少了登錄頻率，實現“一次認證，多點訪問”。

方面四：由于云電視終端用戶訪問除本制造商門戶之外的不同云服務提供商的資源時，需要統一身份認證中心系統的身份斷言服務為用戶頒發身份斷言憑證（如SAML、WS-federation、JWT）。該憑證可為用戶建立起可靠的域間用戶身份聯合，從而有效地解決用戶跨云訪問云資源服務提供商的各種應用，實現多系統、多平臺的互聯互通，全面提升了各種跨云應用的用戶體驗。

本發明具體方案如下：一種面向云電視終端身份認證訪問方法，其步驟包括：

1）在云電視終端中內置安全代理、預裝統一證書，同時設置一個云電視終端CloudTV?CA中心、各制造商本地CA系統、一般性運行CA系統、本地制造商門戶和/或云服務App客戶端上的認證代理和統一身份認證中心系統；

2）根據PKI證書體系將所述云電視終端CloudTV?CA中心和制造商本地CA系統建立為兩級證書管理中心，所述制造商本地CA系統根據所述云電視終端CloudTV?CA中心簽發的授權證書在權限范圍內對所述云電視終端進行用戶證書在線簽發；

3）用戶在云電視終端聯網狀況下對云電視終端上所述用戶證書進行激活，根據云電視終端設備號及出廠時設定的硬件信息生成用戶的公私鑰對，通過本地制造商門戶中的CA系統證書服務接口，訪問所述制造商本地CA系統，觸發證書激活業務；

4）完成證書激活業務后對本地制造商門戶內應用和/或云端服務商應用進行訪問；

4-1）訪問本地制造商門戶時，用戶在所述云電視終端先進行用戶身份認證，若認證通過，則對本地制造商門戶內應用進行訪問；

4-2）訪問云應用服務商應用時，用戶先在云電視終端為云應用服務商提供身份斷言憑證，云服務商通過該斷言憑證實現用戶對云應用的訪問。