专利名称:业务提供系统及业务提供中的鉴权方法
技术领域:
本发明涉及通信领域,特别涉及业务提供技术。
技术背景随着无线数据业务的高速发展, 一个业务可能涉及到多个服务器的功 能,业务的完整体验过程可能需要终端与多个服务器进行交互来完成。而各 服务器之间如何保证用户体验业务过程的安全性和完整性,是在数据业务发 展过程中面临的一个挑战。另外,随着业务种类以及参与方式的多样化,出现了业务推荐和赠送等 参与业务的方式,在这种方式下,可能涉及到多个不同终端与多个服务器之 间进行交互来完成一个完整的体验过程。如一个终端为另一个终端定购业务 后,由另一个终端使用该业务。在这种应用场景下,如何确保多终端与多服 务器之间交互的安全性,是产品设计过程中必须重点考虑的方面,尤其是在 涉及到业务赠送等实际付费终端与业务使用的终端相分离的场景。现有技术中,在终端需要与多个服务器进行交互来完成一个业务时,可以采用在多服务器之间共享Session(会话)的方式来实现在多服务器之间的 会话的连续性和安全性。具体地说,即是由多个相互信任的服务器进行 Session共享,用户只需要进行了 一次登陆后即可在所有参与Session共享的 服务器之间切换。然而这种技术实现的前提是参与共享的服务器必须在一个 域内或者进^"域名影射,而且客户端必须支持Cookies。本发明的发明人发现,参与共享服务器在同一个域内的条件使得该技术 的适用范围十分有限;另外,通过域名影射的方式参与共享,存在很多已知的安全隐患,比如由于域名的映射是无需认证的,可能有不安全的服务器 混杂其中,造成安全隐患。并且,该技术对客户端的要求使得在客户端不支 持Cookies的Web应用中不可用。另一种在多服务器之间确保会话安全性的技术为单点登陆(Single Sign-on,简称"SSO")技术,SSO技术是在共享Session技术上的改进, 在Web中有较多的应用。该方案提供一个鉴权登陆服务器,终端(客户端) 需要登陆该鉴权登陆服务器进行鉴权,之后登陆相应的Web服务器进行业务 体验。在终端登陆Web服务器后,Web服务器到鉴权登陆服务器判断该终端 是否登陆,如果登陆则进行相应的业务提供流程,如果未登陆则将该终端重 定向到鉴权登陆服务器,由用户进行鉴权登陆。本发明发明人发现,在SSO中为确保登录凭证的安全性,SSO协议中对 登陆凭证的有效性作了很大的限制,如有效次数的限制和有效时间的限制, 从而使得该方案需要用户进行多次登陆,在Web应用中会明显降低用户的体 验质量,而且,由于鉴权登陆服务器中保存的是进行业务请求的用户相关的 信息和登录凭证,因此如果该业务中涉及到多个终端用户,包括请求业务的 终端和使用业务的其它终端,则其它终端和服务器之间业务交互流程的安全 性无法得到保障。发明内容本发明实施方式提供了 一种业务提供系统及业务提供中的鉴权方法,使 得业务提供过程中的安全性得到保障。本发明的实施方式提供了一种业务提供中的鉴权方法,包括以下步骤接收来自服务器的事务标识有效性验证请求,根据鉴权通过时生成的事 务标识对所请求的事务标识进行有效性验证,向该服务器返回验证结果。本发明的实施方式还提供了一种事务控制服务器,包括第一接收单元,用于接收来自服务器的终端鉴权请求;鉴权单元,用于对请求中指定的终端进行鉴权;标识生成单元,用于在筌权单元鉴权通过后,生成事务标识;第一发送单元,用于将生成单元生成的事务标识返回给发送鉴权请求的 服务器;第二接收单元,用于接收来自服务器的事务标识有效性验证请求;验证单元,用于根据鉴权通过时生成的事务标识对所请求的事务标识进 行有效性验证,得到验证结果;第二发送单元,用于将验证结果发送给请求验证事务标识有效性的服务器。本发明的实施方式还提供了一种服务器,包括鉴权请求单元,用于在收到终端的业务请求,且该终端所请求的业务需 要至少一个其它服务器配合完成时,向事务控制服务器发送终端鉴权请求;标识接收单元,用于在鉴权通过后,从事务控制服务器接收事务标识;标识发送单元,用于将事务标识发给终端,指示终端重定向到其它服务 器,并在重定向请求中包含事务标识,该事务标识用于供其它服务器进行事 务标识的有效性-睑证。本发明的实施方式还提供了一种服务器,包括第一接收单元,用于从终端接收包含事务标识的业务请求;验证请求单元,用于向分配事务标识的事务控制服务器发送事务标识有效性验证请求,请求对第 一接收单元收到的事务标识进行验证; 第二接收单元,用于从事务控制服务器接收验证结果;业务提供单元,用于在第二接收单元收到的验证结果为事务标识有效 时,为终端提供业务。本发明的实施方式还提供了一种业务提供系统,包括事务控制服务器,用于在收到来自第一服务器的终端鉴权请求时,对请 求中指定的终端进行鉴权,在鉴权通过后,生成事务标识并将该事务标识返 回给该第 一服务器;在收到来自第二服务器的事务标识有效性验证请求时,根据鉴权通过时生成的事务标识对所请求的事务标识进行有效性验证,向该 第二服务器返回验证结果;第一服务器,用于在收到终端的业务请求,且该终端所请求的业务需要 至少一个其它服务器配合完成时,向事务控制服务器发送终端鉴权请求;在从事务控制服务器收到事务标识时,将事务标识发给终端,指示终端重定向 到配合完成业务的第二服务器,并在重定向请求中包含事务标识;第二服务器,用于从终端接收包含事务标识的重定向请求,并向事务控 制服务器发送事务标识有效性验证请求;在从事务控制服务器接收验证结果, 且该验证结果为事务标识有效时,为终端提供业务。本发明的实施方式还提供了一种服务器,包括鉴权请求单元,用于在收到第 一终端发送的为至少一个其它终端提供业 务的请求时,向事务控制服务器发送终端鉴权请求,请求事务控制服务器对 其它终端进行鉴权;标识接收单元,用于在鉴权通过后,从事务控制服务器接收事务标识;标识发送单元,用于将事务标识发给其它终端,指示其它终端向提供业 务的服务器发起携带所述事务标识的业务请求,该事务标识用于供提供业务的服务器进行有效性验证。本发明的实施方式还提供了一种业务提供系统,包括事务控制服务器,用于在收到来自第一服务器的终端鉴权请求时,对请 求的终端进行鉴权,在鉴权通过后,生成事务标识并将该事务标识返回给该 第一服务器;在收到来自第二服务器的事务标识有效性验证请求时,根据鉴 权通过时生成的事务标识对所请求的事务标识进行有效性验证,向该第二服 务器返回验证结果;第一服务器,用于在收到第一终端发送的为至少一个其它终端提供业务 的请求时,向事务控制服务器发送终端鉴权请求,请求事务控制服务器对其 它终端进行鉴权;在从事务控制服务器收到表示鉴权通过的事务标识时,将 该事务标识发给其它终端,指示其它终端向第二服务器发起业务请求,并在 该业务请求中包含事务标识;第二服务器,用于从其它终端接收包含事务标识的业务请求,并向事务 控制服务器发送事务标识有效性验证请求;在从事务控制服务器接收验证结 果,且收到的验证结果为事务标识有效时,为终端提供所请求的业务。通过先接收来自服务器的终端鉴权请求,对该请求中指定的终端进行鉴 权,在鉴权通过后,生成事务标识并将该事务标识返回给该服务器;再接收 来自服务器的事务标识有效性验证请求,根据鉴权通过时生成的事务标识对 所请求的事务标识进行有效性验证,向该服务器返回验证结果。从而使得服 务器为终端提供业务过程中的安全性能够得到保障,且无需终端多次进行鉴 权登陆,改善了用户的业务体验效果。
图1是根据本发明第一实施方式的业务提供方法流程图;图2是根据本发明第二实施方式的业务提供方法流程图;图3是根据本发明第三实施方式的业务提供方法流程图;图4是根据本发明第五实施方式的业务提供方法流程图;图5是根据本发明第六实施方式的业务提供方法流程图;图6是根据本发明第八实施方式的事务控制服务器结构图;图7是根据本发明第九实施方式的服务器结构图;图8是根据本发明第十实施方式的服务器结构图;图9是根据本发明第十一实施方式的业务提供系统结构图;图IO是根据本发明第十三实施方式的服务器结构图;图11是根据本发明第十四实施方式的业务提供系统结构图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发 明的实施方式作进一步地详细描述。本发明第一实施方式涉及一种业务提供方法。本实施方式中,由事务控 制服务器接收来自服务器A的终端鉴权请求,对请求中指定的终端进行鉴权, 在鉴权通过后,生成事务标识(事务ID)并将该事务标识返回给服务器A; 由事务控制服务器接收来自服务器B的事务标识有效性验证请求,根据鉴权 通过时生成的事务标识对所请求的事务标识进行有效性验证,向该服务器B 返回验证结果,服务器B在验证通过后为该终端提供业务。具体流程如图l所示,在步骤101中,终端向服务器A发起业务请求, 终端所请求的业务需要服务器A与服务器B配合完成。在步骤102中,服务器A收到终端的业务请求后,对终端请求的业务类型进行判别,确定该业务需要服务器A与服务器B配合完成,向事务控制服 务器发起用户的登录鉴权请求。在步骤103中,事务控制服务器对终端进行登陆鉴权,如果鉴权通过, 则返回一个标识用户4喿作的事务ID,表示该用户通过鉴权,有权限使用该业 务。在步骤104中,服务器A根据用户请求业务类型的操作流程,在需要服 务器B进行后续业务处理时,将服务器B的地址和事务控制服务器分配的事 务ID发送给终端,指示终端重定向到服务器B。在步骤105中,终端根据服务器A提供的地址,重定向到服务器B,向 服务器B发起继续业务流程的服务请求,并在请求中携带该事务ID。在步骤106中,服务器B向事务控制服务器发送校验请求,请求校验终 端的事务ID的有效性。在步骤107中,事务控制服务器对该事务ID进行校验后,将校验结果 发送给服务器B。服务器B在校验结果为事务ID有效时,确定该终端已通 过鉴权,该终端的业务请求是有效的,为该终端提供后续服务。通过上述方式,使得在一个业务需要多个服务器配合完成的情况下,业 务提供过程中的安全性能够得到保障,且无需终端多次进行鉴权登陆,改善 了用户的业务体验效果。本发明第二实施方式同样涉及一种业务提供方法,与第一实施方式相类 似,本实施方式以实际的业务为例进行说明。在本实施方式中,服务器A为 下载服务器,为用户提供下载功能,服务器B为流媒体服务器,为用户提供 流媒体的播放功能。对于在线播放流媒体的业务,需要下载服务器和流媒体 服务器配合完成。可以由下载服务器在提供媒体类业务的下载的同时,提供 用户选择在线观看的入口或提供片花的播放功能,由流媒体服务器为用户提 供播放该流媒体业务或片花的功能。该流程如图2所示。在步骤201中,终端访问下载服务器,在发现媒体类业务时,选择在线 播放该媒体类业务的功能,或选择在线播放该媒体类业务的片花的功能(可 以根据片花再决定是否下载完整的内容),向下载服务器发送在线播放业务 请求。在步骤202中,下载服务器接收到在线播放业务请求时,根据业务类型 确定该业务需要流媒体服务器配合完成。为了确保终端在下载服务器和流媒 体服务器之间的会话的完整性和安全性,下载服务器向事务控制服务器发起 鉴权请求,申请一个事务ID,在请求中可以包括终端的信息、以及该终端所 请求的业务信息。在步骤203中,事务控制服务器根据下载服务器提供的用户信息对该终 端进行鉴权,如果鉴权通过,则根据业务信息为该终端创建一个事务,表示 该终端有权限下载和流媒体播放,并将事务ID返回给下载服务器。在步骤204中,下载服务器在收到来自事务控制服务器的事务ID后, 将该事务ID和媒体类内容的播放地址发送给终端,指示终端重定向到流媒 体服务器进行在线播放。在步骤205中,终端根据媒体类内容的播放地址,重定向到流媒体服务 器,向流媒体服务器请求在线播放,并在请求中携带该事务ID。在步骤206中,流媒体服务器在收到终端的在线播放请求后,从该请求 中获取事务ID和用户信息,并向事务控制服务器发起事务ID有效性校验请 求,在该请求中携带该事务ID和用户信息。在步骤207中,事务控制服务器会根据流媒体服务器提供的用户信息和 事务ID,对该事务ID的有效性进行校验,并向流媒体服务器返回校验结果。 流媒体服务器收到来自事物控制服务器的校验结果后,如果该结果是该终端 的事务ID有效,则表明该终端的请求有效,在步骤208中,为该终端提供 所请求业务的在线播放功能;否则,拒绝为该终端提供所请求业务的在线播放功能。该事务ID在〗番;改结束后失效。步骤208之后进入步骤209中,流媒体服务器在完成播放操作后,可以 选择将媒体内容的播放结果通知事务控制服务器,以便事务控制服务器对事务的状态进行管理。通过上述方式,使得在一个业务需要多个服务器配合完成的情况下,业 务提供过程中的安全性能够得到保障,且无需终端多次进行鉴权登陆,改善 了用户的业务体验效果。本发明第三实施方式同样涉及一种业务提供方法,与第一实施方式大致 相同,其区别在于,在第一实施方式中,包括一个独立的事务控制服务器, 服务器A通过事务控制服务器对终端进行鉴权,并分配事务ID,服务器B 通过事务控制服务器对终端事务ID的有效性进行确认;而在本实施方式中, 该事务控制服务器包含在服务器A中,即由收到业务请求的服务器A对终端 进行鉴权,并分配事务ID,服务器B通过服务器A对终端事务ID的有效性 进行确认。本发明第四实施方式同样涉及一种业务提供方法,与第三实施方式相类 似,本实施方式以实际的业务为例进行说明。在本实施方式中,服务器A为 下载服务器,为用户提供下载功能,服务器B为流媒体服务器,为用户提供 流媒体的播放功能。通过下载服务器和流媒体服务器的配合,用户可以在流 媒体服务器播放完流媒体后,选择将有价值的内容收藏到本地,即由下载服 务器配合流媒体服务器为用户提供媒体内容的下载。其流程如图3所示。在步骤301中,终端通过流媒体服务器播放完一个流媒体业务后,选择 对感兴趣的或者比较经典的内容进行本地收藏,向流媒体服务器发送对内容 进行下载保存的请求。在步骤302中,流媒体服务器在接收到用户对内容进行下载保存的请求 时,确定需要下载服务器配合完成媒体内容的下载,为了确保终端在下载服务器和流媒体服务器之间的会话完整和安全,流媒体服务器对该终端进行鉴权,如果鉴权通过,则根据业务信息为该终端创建一个事务,分配事务ID,表示该终端有权限进行下载和流纟某体播放。在步骤303中,流媒体服务器将该事务ID、分配该ID的服务器(即流 媒体服务器)的地址和媒体类内容的下载地址发送给终端,指示终端重定向 到下载服务器进行内容的本地收藏。在步骤304中,终端根据媒体类内容的下载地址重定向到下载服务器, 向下载服务器请求内容的本地收藏,并在请求中携带该事务ID和分配该ID 的服务器(即流媒体服务器)的地址。在步骤305中,下载服务器在收到终端的内容本地收藏请求后,从该请 求中获取事务ID和用户信息,并向流媒体服务器发起事务ID有效性校验请 求,在该请求中携带该事务ID和用户信息。在步骤306中,流媒体服务器会根据下载服务器提供的用户信息和事务 ID,对该事务ID的有效性进行校验,并向下载服务器返回校验结果。下载服务器接收事物控制服务器返回的校验结果,如果该结果是该终端 的事务ID有效,表明该终端的请求有效,则在步骤307中,该终端提供所 请求业务的下载功能;否则,拒绝为该终端提供所请求业务的下载功能。该 事务ID在下载结束后失效。在步骤307后进入步骤308中,下载服务器在完成下载操作后,可以选 择将下载结果通知流媒体服务器,以便流媒体服务器对事务的状态进行管理。通过上述方式,使得在一个业务需要多个服务器配合完成的情况下,业 务提供过程中的安全性能够得到保障,且无需终端多次进行鉴权登陆,改善 了用户的业务体验效果。需要说明的是,本发明第三和第四实施方式是以事务控制服务器在服务器A中为例进行具体说明的,在实际应用中,事务控制服务器也可以在服务 器B中,同样能够达到提高业务提供的安全性,减少鉴权登陆次数的效果。本发明第五实施方式涉及一种业务提供方法,本实施方式中,第一服务 器(服务器A)收到第一终端发送的为至少一个其它终端提供业务的请求后, 向事务控制服务器发送终端鉴权请求;事务控制服务器收到来自第一服务器 的终端鉴权请求后,对请求中指定的终端进行鉴权,在鉴权通过后,生成事 务标识并将该事务标识返回给第一服务器;第一服务器将该事务标识发送给 该其它终端;该其它终端携带该事务标识向第二服务器(服务器B)发起该 业务的使用请求,第二服务器通过请求事务控制服务器对该事务标识的有效 性进行验证,来确定是否该其它终端提供业务。其中,该第一服务器和第二 服务器可以是同一个服务器或不同服务器。其流程如图4所示。在步骤401中,终端A向服务器A发送为终端B提供业务的请求。在步骤402中,服务器A在收到终端A发送的请求后,向事务控制服务 器发起用户的登录鉴权请求,在该请求中包括终端A和终端B的用户信息, 以及该业务的信息。在步骤403中,事务控制服务器根据用户信息对终端A和终端B进行用 户登录鉴权,如果鉴权通过,则向服务器A返回一个标识用户操作的事务ID, 表示终端B有权限使用该业务。在步骤404中,服务器A根据终端请求的业务类型的操作流程,通知终 端B接入服务器B,接收终端A所请求的业务,同时将事务控制服务器分配 的事务ID发送给终端B。该服务器A与服务器B可以是同一个服务器,或 者,是不同服务器。在步骤405中,终端B向业务服务器B发起继续业务流程的服务请求, 在该请求中携带该事务ID和用户信息(如终端B的标识)。在步骤406中,服务器B收到该请求后,向事务控制服务器发起校验请求,请求校验该事务ID有效性。在步骤407中,事务控制服务器对该事务ID进行校验后,将校验结果 发送给服务器B。服务器B在校验结果为事务ID有效时,确定终端B的请 求是有效的,为终端B提供后续服务。可选的,在步骤408中,服务器B在完成对业务的处理后,即为终端B 提供完业务后,可以选择将业务处理的结果通知事务处理服务器,以便事务 控制服务器对事务进行管理。在步骤409中,事务控制服务器可以在完整的业务流程完成后,即收到 该通知后,向业务发起者终端A或其它业务参与者发送业务的处理结果。通过上述方式,能够确保接收业务的终端是发起业务的终端所指示的终 端,使得业务提供过程中的安全性和完整性得到保障。本发明第六实施方式同样涉及一种业务提供方法,与第五实施方式相类 似,本实施方式以推荐或赠送下载业务为例,进行具体说明。其流程如图5 所示。在步骤501中,终端A在业务展示服务器浏览业务,如果发现的感兴趣 的下载业务,则使用服务器提供的赠送(推荐)功能将该下载业务推荐给终 端B,向业务展示服务器发送赠送(推荐)请求。在步骤502中,业务展示服务器在接收到终端A的赠送(推荐)请求后, 向事务控制服务器发起用户的登录鉴权请求,在该请求中包括终端A和终端 B的用户信息,以及赠送(推荐)的下载业务的信息。在步骤503中,事务控制服务器根据业务展示服务器提供的用户信息和 业务信息,对终端A和终端B进行鉴权,如果鉴权通过,则生成一个事务, 表示终端B有权限使用终端A赠送(推荐)的下载业务,并将事务ID返回 给业务展示服务器。器收到事务控制服务器的事务ID后,将 该事务ID和终端A赠送(推荐)的下载业务的访问地址发送给终端B。在步骤505中,终端B在接收到业务展示服务器发送的业务访问地址后, 根据地址向下载服务器发起业务使用请求,在该请求中携带该事务ID,还可 以携带一些其它必要信息,如用户信息。在步骤506中,下载服务器接收到终端B的请求后,从请求中获取事务 ID信息,和可能携带的用户信息等,向事务控制服务器发起事务ID有效性 校验请求,在请求中携带该事务ID和用户信息。在步骤507中,事务控制服务器根据下载服务器提供的事务ID和用户 信息,对事务的有效性进行校验,并向下载服务器返回校验结果。在步骤508中,下载服务器在校验结果为事务有效时,为终端B提供终 端A赠送(推荐)的下载业务。在步骤509中,下载服务器在完成对业务处理后,可以选择将业务处理 的结果通知事物处理服务器,以便事务控制服务器对事务进行管理。在步骤510中,事务控制服务器在收到下载服务器的通知后,确定该事 务的生命周期终止,此时可以选择将该次业务的处理结果通知给业务流程的 发起者终端A或其它参与者。通过上述方式,能够确保接收业务的终端是发起业务的终端所指示的终 端,使得业务提供过程中的安全性和完整性得到保障。本发明第七实施方式同样涉及一种业务提供方法,与第五实施方式相类 似,其区别在于,在第五实施方式中,包括一个独立的事务控制服务器,服 务器A通过事务控制服务器对终端A和终端B进行鉴权,并为终端B分配 事务ID,服务器B通过事务控制服务器对终端B的事务ID的有效性进行确 认;而在本实施方式中,该事务控制服务器可以包含在服务器A中,即由收到业务请求的服务器A对终端A和终端B进行鉴权,并为终端B分配事务 ID,服务器B通过服务器A对终端B的事务ID的有效性进行确认。同样, 该事务控制服务器可以包含在服务器B中,服务器A和服务器B可以是同 一个服务器或不同服务器。本发明第八实施方式涉及一种事务控制服务器,如图6所示,包括第 一接收单元,用于接收来自服务器的终端鉴权请求;鉴权单元,用于对请求 中指定的终端进行鉴权;标识生成单元,用于在鉴权单元鉴权通过后,生成 事务标识;第一发送单元,用于将生成单元生成的事务标识返回给发送鉴权 请求的服务器;第二接收单元,用于接收来自服务器的事务标识有效性验证 请求;验证单元,用于根据鉴权通过时生成的事务标识对所请求的事务标识 进行有效性验证,得到验证结果;第二发送单元,用于将验证结果发送给请 求验证事务标识有效性的服务器。本发明第九实施方式涉及一种服务器,如图7所示,包括鉴权请求单 元,用于在收到终端的业务请求,且该终端所请求的业务需要至少一个其它 服务器配合完成时,向事务控制服务器发送终端鉴权请求;标识接收单元, 用于在鉴权通过后,从事务控制服务器接收事务标识;标识发送单元,用于 将事务标识发给终端,指示终端重定向到其它服务器,并在重定向请求中包 含事务标识,该事务标识用于供其它服务器进行事务标识的有效性验证。从 而使得第一服务器和其它服务器提供业务过程中的安全性得到保障,且无需 终端多次进行鉴权登陆,改善了用户的业务体验效果。本发明第十实施方式涉及一种服务器,如图8所示,包括第一接收单 元,用于从终端接收包含事务标识的业务请求,该业务请求可以是重定向请 求或业务使用请求;验证请求单元,用于向分配事务标识的事务控制服务器 发送事务标识有效性验证请求,请求对第 一接收单元收到的事务标识进行验 证;第二接收单元,用于从事务控制服务器接收验证结果;业务提供单元,用于在第二接收单元收到的验证结果为事务标识有效时,为终端提供业务。 从而使得服务器提供业务过程中的安全性得到保障,且无需终端多次进行鉴 权登陆,改善了用户的业务体验效果。本发明第十一实施方式涉及一种业务提供系统,如图9所示,包括事务控制服务器,用于在收到来自第一服务器的终端鉴权请求时,对请 求中指定的终端进行鉴权,在鉴权通过后,生成事务标识并将该事务标识返 回给该第一服务器;在收到来自第二服务器的事务标识有效性验证请求时,根据鉴权通过时生成的事务标识对所请求的事务标识进行有效性验证,向该 第二服务器返回验证结果。第一服务器,用于在收到终端的业务请求,且该终端所请求的业务需要 至少一个其它服务器配合完成时,向事务控制服务器发送终端鉴权请求;在 从事务控制服务器收到事务标识时,将事务标识发给终端,指示终端重定向 到配合完成业务的第二服务器,并在重定向请求中包含事务标识。第二服务器,用于从终端接收包含事务标识的重定向请求,并向事务控 制服务器发送事务标识有效性验证请求;在从事务控制服务器接收验证结果, 且该验证结果为事务标识有效时,为终端提供业务。从而使得服务器提供业务过程中的安全性得到保障,且无需终端多次进 行鉴权登陆,改善了用户的业务体验效果。本发明第十二实施方式同样涉及一种业务提供系统,与第十一实施方式 相类似,其区别在于,本实施方式中,该事务控制服务器可以包括在第一服 务器或第二服务器中。本发明第十三实施方式涉及一种服务器,如图10所示,包括鉴权请 求单元,用于在收到第一终端发送的为至少一个其它终端提供业务的请求时, 向事务控制服务器发送终端鉴权请求,请求事务控制服务器对其它终端进行 鉴权;标识接收单元,用于在鉴权通过后,从事务控制服务器接收事务标识;标识发送单元,用于将事务标识发给其它终端,指示其它终端向提供业务的 服务器发起业务请求,并携带事务标识,该事务标识用于供提供业务的服务 器进行事务标识的有效性验证。本发明第十四实施方式涉及一种业务提供系统,如图ll所示,包括事务控制服务器,用于在收到来自第一服务器的终端鉴权请求时,对请 求的终端进行鉴权,在鉴权通过后,生成事务标识并将该事务标识返回给该 第一服务器;在收到来自第二服务器的事务标识有效性验证请求时,根据鉴 权通过时生成的事务标识对所请求的事务标识进行有效性验证,向该第二服 务器返回验证结果。第一服务器,用于在收到第一终端发送的为至少一个其它终端提供业务 的请求时,向事务控制服务器发送终端鉴权请求,请求事务控制服务器对其 它终端进行鉴权;在从事务控制服务器收到表示鉴权通过的事务标识时,将 该事务标识发给其它终端,指示其它终端向第二服务器发起业务请求,并在 该业务请求中包含事务标识。第二服务器,用于从其它终端接收包含事务标识的业务请求,并向事务 控制服务器发送事务标识有效性验证请求;在从事务控制服务器接收验证结 果,且收到的验证结果为事务标识有效时,为终端提供所请求的业务。从而 能够确保接收业务的终端是发起业务的终端所指示的终端,使得业务提供过 程中的安全性和完整性得到保障。需要说明的是,该第一服务器和第二服务器可以是同一个服务器装置中 的不同功能模块,也可以是不同服务器。本发明第十五实施方式同样涉及一种业务提供系统,与第十一实施方式 相类似,其区别在于,本实施方式中,该事务控制服务器可以包括在第一服 务器或第二服务器中。值得一提的是,本发明第八至第十五实施方式中所提出的单元均是逻辑单元,在实现时可以合成在一个物理模块中,或位于独立的物理模块中。综上所述,在本发明的实施方式中,通过先接收来自服务器的终端鉴权 请求,对请求中指定的终端进行鉴权,在鉴权通过后,生成事务标识并将该事务标识返回给该服务器;再接收来自服务器的事务标识有效性验证请求, 根据鉴权通过时生成的事务标识对所请求的事务标识进行有效性验证,向该 服务器返回验证结果。从而使得业务提供过程中的安全性得到保障,且无需 终端多次进行鉴权登陆,改善了用户的业务体验效果。发送鉴权请求的是第一服务器,发送事务标识有效性验证请求的是第二 服务器,进行鉴权和事务标识有效性鉴权的是事务控制服务器,通过第三方 服务器,使得终端鉴权和事务标识有效性的验证更加安全可靠在需要其它服务器为该终端提供业务时,第一服务器指示终端重定向到 其它服务器,接收其它服务器提供的业务,从而无需用户重新登陆新的服务 器,对用户而言,业务体验是连贯的。虽然通过参照本发明的某些优选实施方式,已经对本发明进行了图示和 描述,但本领域的普通技术人员应该明白,可以在形式上和细节上对其作各 种改变,而不偏离本发明的精神和范围。
权利要求
1.一种业务提供中的鉴权方法,其特征在于,包括以下步骤接收来自服务器的终端鉴权请求,对所述请求中指定的终端进行鉴权,在鉴权通过后,生成事务标识并将该事务标识返回给该服务器;接收来自服务器的事务标识有效性验证请求,根据所述鉴权通过时生成的事务标识对所请求的事务标识进行有效性验证,向该服务器返回验证结果。
2. 根据权利要求1所述的业务提供中的鉴权方法,其特征在于,所述接收来 自服务器的终端鉴权请求的步骤,和所述将事务标识返回给服务器的步骤中,所i遮服务器为第一服务器;所述接收来自服务器的事务标识有效性验证请求的步骤,和所述向服务器返 回验证结果的步骤中,所述服务器是第二服务器;所述第一服务器和第二服务器为不同服务器;所述接收来自第一服务器的终端鉴权请求的步骤之前,包括以下步骤所述第一服务器在收到终端的业务请求,且该终端请求的业务需要第一服务 器和第二服务器分别提供时,发送所述终端鉴权请求。
3. 根据权利要求2所述的业务提供中的鉴权方法,其特征在于,所述生成事 务标识并将该事务标识发送给第一服务器的步骤之后,包括以下步骤所述第 一服务器将所述事务标识发送给所述终端,并指示所述终端重定向到 所述第二服务器,在重定向请求中包含所述事务标识;所述第二服务器收到所述包含事务标识的重定向请求后,发送对所述事务标 识进行有效性验证的请求。
4. 根据权利要求1所述的业务提供中的鉴权方法,其特征在于,所述接收来 自服务器的终端鉴权请求的步骤,和所述将事务标识返回给服务器的步骤中,所述服务器为第一服务器;所述接收来自服务器的事务标识有效性验证请求的步骤,和所述向服务器返回验证结杲的步骤中,所述服务器是第二服务器;所述第一服务器和第二服务器为同一服务器或不同服务器;所述接收来自第一服务器的终端鉴权请求的步骤之前,包括以下步骤所述第一服务器在收到第一终端发送的为至少一个其它终端提供业务的请求 时,发送所述终端鉴权请求,请求对所迷其它终端进行鉴权。
5. 根据权利要求4所述的业务提供中的鉴权方法,其特征在于,所述生成事 务标识并将该事务标识发送给该第一服务器的步骤之后,包括以下步骤所述第 一服务器将所述事务标识发送给所述其它终端,指示所述其它终端向 所述第二服务器请求使用所述业务,并在该业务请求中包含所述事务标识;所述第二服务器在收到所述包含事务标识的业务请求后,发送所述事务标识 有效性验证请求。
6. 根据权利要求3或5所述的业务提供中的筌权方法,其特征在于,所述向 第二服务器返回验证结果的步骤之后,包括以下步骤所述第二服务器在收到的验证结果为所述事务标识有效时,为所述请求业务 的终端提供业务。
7. 根据权利要求3或5所述的业务提供中的鉴权方法,其特征在于,所述事 务标识在所述业务结束后失效。
8. —种事务控制服务器,其特征在于,包括 第一接收单元,用于接收来自服务器的终端鉴权请求; 鉴权单元,用于对所述请求中指定的终端进行鉴权; 标识生成单元,用于在所述鉴权单元鉴权通过后,生成事务标识;第一发送单元,用于将所迷生成单元生成的事务标识返回给所述发送鉴权请求的服务器;第二接收单元,用于接收来自服务器的事务标识有效性验证请求;验证单元,用于根据所述鉴权通过时生成的事务标识对所请求的事务标识进 行有效性验证,得到验证结果;第二发送单元,用于将所述验证结果发送给所述请求验证事务标识有效性的 服务器。
9. 一种服务器,其特征在于,包括鉴权请求单元,用于在收到终端的业务请求,且该终端所请求的业务需要至 少一个其它服务器配合完成时,向事务控制服务器发送终端鉴权请求;标识接收单元,用于在鉴权通过后,从所述事务控制服务器接收事务标识;标识发送单元,用于将所述事务标识发给所迷终端,指示所述终端重定向到 所述其它服务器,并在重定向请求中包含所述事务标识,该事务标识用于供所述 其它服务器进行事务标识的有效性验证。
10. —种服务器,其特征在于,包括 第一接收单元,用于从终端接收包含事务标识的业务请求;验证请求单元,用于向分配所述事务标识的事务控制服务器发送事务标识有 效性验证请求,请求对所述第一接收单元收到的事务标识进行验证;第二接收单元,用于从所述事务控制服务器接收验证结果;业务提供单元,用于在所述第二接收单元收到的验证结果为所述事务标识有 效时,为所述终端提供业务。
11. 根据权利要求IO所述的服务器,其特征在于,所述业务请求为重定向请 求或业务使用请求。
12. —种业务提供系统,其特征在于,包括事务控制服务器,用于在收到来自第一服务器的终端鉴权请求时,对所述请 求中指定的终端进行鉴权,在鉴权通过后,生成事务标识并将该事务标识返回给 该第一服务器;在收到来自第二服务器的事务标识有效性验证请求时,根据所述 洛权通过时生成的事务标识对所请求的事务标识进行有效性验证,向该第二服务 器返回验证结果;第一服务器,用于在收到终端的业务请求,且该终端所请求的业务需要至少 一个其它服务器配合完成时,向所述事务控制服务器发送所述终端鉴权请求;在 从所述事务控制服务器收到所述事务标识时,将所述事务标识发给所述终端,指 示所述终端重定向到配合完成所述业务的第二服务器,并在重定向请求中包含所 述事务标识;第二服务器,用于从终端接收包含事务标识的重定向请求,并向所述事务控 制服务器发送事务标识有效性验证请求;在从所述事务控制服务器接收验证结果, 且该验证结果为所述事务标识有效时,为所述终端提供业务。
13. 根据权利要求12所述的业务提供系统,其特征在于,所述事务控制服务 器可以包括在所述第一服务器或所述第二服务器中。
14. 一种服务器,其特征在于,包括鉴权请求单元,用于在收到第一终端发送的为至少一个其它终端提供业务的 请求时,向事务控制服务器发送终端鉴权请求,请求所述事务控制服务器对所述 其它终端进行鉴权;标识接收单元,用于在鉴权通过后,从所述事务控制服务器接收事务标识;标识发送单元,用于将所述事务标识发给所述其它终端,指示所述其它终端 向提供所述业务的服务器发起携带所述事务标识的业务请求,该事务标识用于供 所述提供业务的服务器进行有效性验证。
15. —种业务提供系统,其特征在于,包括事务控制服务器,用于在收到来自第一服务器的终端鉴权请求时,对所述请 求的终端进行鉴权,在鉴权通过后,生成事务标识并将该事务标识返回给该第一 服务器;在收到来自第二服务器的事务标识有效性验证请求时,根据所述鉴权通 过时生成的事务标识对所请求的事务标识进行有效性验证,向该第二服务器返回 验证结果;第一服务器,用于在收到第一终端发送的为至少一个其它终端提供业务的请 求时,向所述事务控制服务器发送终端鉴权请求,请求所述事务控制服务器对所 述其它终端进行鉴权;在从所述事务控制服务器收到表示鉴权通过的事务标识时, 将该事务标识发给所述其它终端,指示所述其它终端向所述第二服务器发起业务 请求,并在该业务请求中包含所述事务标识;第二服务器,用于从所述其它终端接收包含事务标识的业务请求,并向所述 事务控制服务器发送事务标识有效性验证请求;在从所述事务控制服务器接收验 证结果,且收到的验证结果为所述事务标识有效时,为所述终端提供所请求的业 务。
16. 根据权利要求15所述的业务提供系统,其特征在于,所述事务控制服务 器可以包括在所述第一服务器或所述第二服务器中。
17. 根据权利要求15所述的业务提供系统,其特征在于,所述第一服务器和 所述第二服务器为同一个服务器装置中的不同功能模块,或为不同服务器。
全文摘要
本发明涉及通信领域,公开了一种业务提供中的鉴权方法及业务提供系统,在接收到来自服务器的终端鉴权请求时,对请求中指定的终端进行鉴权,并在鉴权通过后,生成用于标识该终端有权限使用业务的事务标识,并将该事务标识返回给该服务器;在后续的业务使用过程中,只需对终端携带的事务标识进行有效性验证即可,无需重新鉴权。这样既提高了用户体验,又使得在服务器为终端提供业务的过程中的安全性得到保障。
文档编号H04Q7/38GK101252767SQ20071007742
公开日2008年8月27日 申请日期2007年11月26日 优先权日2007年11月26日
发明者罗绳礼 申请人:华为技术有限公司