[发明专利]一种面向云电视终端跨云应用的云服务访问控制方法

说明书

技术领域

本发明属于信息安全中的身份联合领域，具体涉及一种云电视终端跨云应用的身份绑定与单点登录的实现方法。

背景技术

在云计算、物联网新一代网络场景中，跨云应用访问将成为一种主流的用户访问模式，其中身份联合(身份绑定)是一个重要的要素，也是整个信息安全体系的重要组成之一。云电视作为智能电视与物联网、云计算等新兴技术的融合体，引领着国内外彩电产业的发展方向，是智能电视发展的高级阶段。在云电视领域中传统的身份联合技术，诸如Kerberos、OpenID和CAS等技术，已不能很好地满足云电视终端跨云应用访问中身份联合的发展需要。同时，面对云电视这一新兴的事物，在保证云服务商自身域内的业务流程不变的基础之上，相关的组织和机构还没有明确地提出较为完善的身份联合方案(即保证不同业务实体自身业务逻辑不变的基础之上，解决其在不同网络、不同业务间建立可靠的身份联合以满足用户跨云访问的需要)。

针对上述挑战，本方案拟在保证云服务商自身业务最大自由度的基础之上，通过一种跨云应用的身份绑定(或者称为令牌交换)方式，实现各个业务系统的互通互联。其核心是构建服务于云电视终端用户和云服务商的身份联合，并生成云服务商自身业务系统认可的云访问控制令牌，实现用户“一点联合，多点访问”，全面提升用户体验，加快云电视终端的推广普及。

发明内容

本发明旨在云电视产业所面临的身份联合技术挑战，提供一种面向云电视终端跨云应用的云服务访问控制方法。

简要介绍本方案的基本思想，本发明吸取了已有解决方案的优点，具体来说，本发明技术方案包括下列几个方面：

方面一：通过云电视终端的统一身份认证中心系统为用户签发的身份断言凭证(SAML，包括制造商ID+云电视终端设备ID)与云服务身份提供中心(IdP)建立基于身份断言凭证的可靠的域间身份联合，并生成云服务商自身域内的云访问控制令牌，为云电视终端(用户)的跨云应用访问提供令牌服务。该过程的实施将为各个业务系统的互联互通奠定坚实的基础。

方面二：借助云电视终端在身份联合过程中获得的云服务商自身域内的云访问控制令牌，实现用户对云应用服务的授权访问，全面提升用户跨云应用访问的用户体验，“一点联合，多点访问”。

方面三：由于云电视终端用户访问云服务App应用时，需要用户提供由云服务IdP中心颁发的在有效期地云访问控制令牌，云服务App客户端在监测到云访问控制令牌过期后，向云服务IdP中心发起更新令牌请求。云服务IdP中心在用户没有被注销情况下，为用户颁发新的云访问控制令牌，以减少用户身份联合过程。同时，由于该过程对用户透明，提升了用户云存储访问的体验。

方面四：由于云电视终端用户访问跨云应用的身份断言凭证依赖于统一身份认证中心系统，基于该原则，需要云服务IdP中心在一定的时间间隔内与统一身份认证中心系统进行注销用户同步服务，以保证各方的利益的最大化。

本发明的技术方案为：

一种面向云电视终端跨云应用的云服务访问控制方法，其步骤为：

1)云电视终端通过云服务商的云服务App客户端向统一身份认证中心系统申请一身份断言凭证；

2)该云服务App客户端将该云电视终端的身份断言凭证发送给该云服务商的云服务IdP中心；

3)该云服务IdP中心对该身份断言凭证进行验证，如果验证通过则为该云电视终端创建一账号，然后对该云电视终端的身份断言凭证和账号进行绑定并创建一云访问控制令牌，返回给该云服务App客户端；

4)该云服务App客户端对该云访问控制令牌进行本地存储；

5)该云电视终端访问该云服务商提供的云服务时，云服务App客户端监测本地的安全存储区是否存在该云访问控制令牌，若不存在，则拒绝该访问；若存在，则该云服务App客户端将该云访问控制令牌发送给该云服务IdP中心进行验证；如果未通过验证，则拒绝该访问；如果通过验证，则允许该访问。

进一步的，所述云访问控制令牌设有一有效期；所述云服务App客户端位于所述云电视终端上。

进一步的，所述身份断言凭证包括云电视终端的制造商ID和云电视终端设备ID；所述身份断言凭证设有一有效期。

进一步的，所述云电视终端内置一安全代理、云电视终端证书；所述云服务App客户端内置一认证代理；所述云电视终端访问该云服务商提供的云服务时，所述云服务App客户端检查该云电视终端的身份断言凭证是否超过有效期，如果超过有效期，则所述认证代理调用该安全代理向所述统一身份认证中心系统申请一新的身份断言凭证。