专利名称:一种通过接入帐号和业务帐号绑定实现加强鉴权的方法
技术领域:
本发明涉及宽带接入网络、交互式网络电视(IPTV)业务应用领域, 尤其涉及IPTV业务中的用户认证鉴权技术。
背景技术:
随着IPTV业务的不断丰富普及,用户群不断的增大,运营商需要增强 用户帐号管理的安全性,从而对IPTV业务的更好推广提供基础。在现有应用中,登陆界面的用户名与密码两个输入框,需用户输入正确 的IPTV业务帐号信息。当用户输入帐号信息(业务帐号名、密码)时,由 IPTV业务后台进行鉴权认证,或由第三方系统(97/客户关系管理CRM/声 讯网络VNET,其中,97是指97系统, 一种运营商采用的运营支撑系统) 来对用户帐号信息进行鉴权。在现有技术中,运营商都会给用户的机顶盒分配固定宽带接入帐号,利 用机顶盒可向IPTV业务后台上报此宽带接入帐号,但是通常宽带接入帐号 和用户业务帐号不做绑定,可能存在以下一些计费隐患(1) 用户可在多处通过一个业务帐号使用IPTV业务(即多址多人共 享一个业务帐号);(2) 用户可通过多台机顶盒通过一个业务帐号4吏用IPTV业务(即单 址多人共享一个业务帐号);(3) 用户可通过多台终端通过一个业务帐号使用IPTV业务(即单址 多终端共享一个业务帐号)。以上三种场景不但会造成运营商的运营损失,同时,若业务帐号被盗用, 则也可能会给拥有合法业务帐号的用户造成经济上、或信息安全上的重大损 失。
因此,需要一种更安全有效的鉴权方法,在保证帐号安全的前提下,若 增加宽带帐号与业务帐号的绑定,则可能加强用户帐号管理的安全性,防止 业务帐号被盗用,避免运营商和用户的损失。发明内容本发明所要解决的技术问题在于,提供一种通过接入帐号和业务帐号绑 定实现加强鉴权的方法,解决现有技术中仅利用用户业务帐号信息登陆造成 的一号多址、多机共用、以及帐号易被盗用等问题。本发明提供一种通过接入帐号与业务帐号绑定实现加强鉴权的方法,包括如下步骤(1) 机顶盒在通电开机并通过宽带接入认证后,向IPTV系统上报包 括接入帐号信息、业务帐号信息、机顶盒接入类型、接入用户类型的登录参 数;(2) IPTV系统根据机顶盒接入类型判断是否需要对接入帐号与业务帐 号进行匹配校验;(3) 需要匹配校验时,则进一步判断接入用户类型是特殊用户还是普 通用户;若为普通用户,且此前已经成功登陆过,则对接入帐号与业务帐号 进行比对判断两者是否匹配;(4) 若比对结果为匹配一致、或者该用户为特殊帐号、或者为普通用 户的第 一次登陆时,则通知第三方系统进行鉴权认证;(5) 第三方系统鉴权完毕,将鉴权提示信息经IPTV系统反馈给机顶盒。进一步地,步骤(1 )中所述接入帐号信息包括接入帐号及密码;所述业务帐号信息包括业务帐 号及密码;所述机顶盒接入类型是指机顶盒接入IPTV系统时的接入方式, 包括局域网LAN接入方式、或拨号用户接入ADSL方式,或动态主机配置 协议DHCP接入方式;所述接入用户类型是指用户为特殊用户还是普通用 户,其中所述特殊用户为在业务运营商门户的操作支撑系统OSS的用户管
理部分中定义增加并管理的、无需进行比对匹配的用户。进一步地,步骤(2)中在根据机顶盒接入类型判断是否需要对接入帐 号与业务帐号进行匹配校验时,若接入类型为局域网LAN接入方式,接入 帐号为空,则无需对接入帐号与业务帐号进行匹配校验;否则,继续执行步 骤(3 )。进一步地,步骤(3)中进一步可分为(3-1)利用业务运营商的操作支撑系统OSS的用户部分判断该用户 是否为特殊用户,是否为普通用户的第一次登陆,若是,则执行步骤(4), 若为普通用户,且此前已经成功登陆过,则继续步骤(3-2)(3 - 2 )获取运营商预先设置的关于接入帐号与业务帐号的匹配规则;(3-3 )根据所述匹配规则对机顶盒上报的接入帐号与业务帐号进行比 对匹配判断。进一步地,所述步骤(4)进一步包括若比对不一致时,直接在电子节目单上通知用户帐号错误,将错误号通 知第三方系统。进一步地,所述步骤(4)进一步可分为(4-1 )若该用户未登记过、或者该用户类型为特殊用户,则将该用户 信息发往第三方系统进行鉴权A、 第三方系统进行鉴权i人证;B、 第三方系统返回鉴权通过或鉴权失败的鉴权认证结果给电子节目 单系统;C、 如鉴权通过,则电子节目单系统通知在后台数据库对该用户帐号 进行登记,并通知机顶盒使用服务;D、 如鉴权失败,则电子节目单系统通知机顶盒鉴权失败的鉴权结果;E、 管理员可通过Portal门户中对已登记过的第三方系统用户进行特 殊用户的定义、管理;F、 后台数据库根据管理员的操作,对指定用户的用户类型进行修改;
G、 Portal门户界面返回修改成功、或修改失败的返回消息给管理员;(4-2)如果该用户为普通用户,且此前已经成功登陆过,则进行接入 帐号与业务帐号的匹配校验若匹配校验通过后,继续送往第三方系统做校 验,执行第三方系统鉴权流程;若匹配校验不通过,则直接在电子节目单上 通知用户帐号错误,同时将错误号通知第三方系统。和现有技术相比,采用本发明技术方案具备以下有益效果(l)增强了业务开放的安全性,避免用户根据业务帐号, 一号多用(多 个地址的多个机顶盒使用一个业务帐号),多;^几共用(一个地址的多个^L顶 盒、PC共用一个业务帐号);(2 )限定了用户为IPTV业务提速的带宽只能用来使用IPTV业务。用 户不能利用此带宽来进行信息浏览、数据下载等功能使用,以降低了运营商 的营运成本,同时不对宽带业务的收益造成影响;(3)接入帐号绑定业务帐号的方式,限定了该业务帐号只能用于通过 机顶盒使用IPTV业务的方式。如果不采用此方式,则存在业务帐号通过 Web浏览器使用IPTV业务的方式。对于后一种场景,为了用户平滑使用 IPTV业务,则需要保证用户Web浏览时的带宽,从而影响了运营商在投放 IPTV业务时,用户使用传统数据业务时对带宽的需求,进而影响宽带业务 的运营。当然,运营商也可以通过在DSLAM设备层对帐号进行限定。但局 方要求此功能能够在业务侧即做好限制。
图l是接入帐号与业务帐号比对校验的业务流程; 图2是特殊用户的定义、管理业务流程。
具体实施方式
以下结合附图及具体实施例,对本发明技术方案的具体实施做进一步详 细i兌明。
为了防止IPTV业务帐号被盗用;为了防止一业务帐号多地址、多机顶 盒共用;为了避免标记为特殊用户的业务帐号仍然需要比对。提出增加绑定 比对流程,在用户接入认证时,根据绑定帐号的比对实现安全鉴权认证的解 决方法。在用户登陆认证时,将用户的宽带用户与业务帐号作比对,只有同名或 匹配才送往后台或第三方系统进行业务认证,并保证业务帐号登陆的唯一 性。同时,支持对标记为特殊用户的帐号不做此比对,直接送往后台或第三 方系统进4亍业务iU正。如图l所示,本发明所述方法中将接入帐号和业务帐号做比对的步骤, 进一步又可分为如下具体步骤步骤101:用户将机顶盒通电开机,宽带接入认证通过后,向IPTV系 统上报接入帐号、业务帐号以及各自密码等(还包括机顶盒型号、序列号等 信息);步骤102: IPTV系统根据机顶盒传送过来的参数,判断机顶盒接入类 型。如果是LAN (局域网)方式接入,则接入帐号为空,不做匹配校验操 作。接入类型(access methmod)可以定义为三种类型,即可用以下方式表 示(accessmethmod=LAN|ADSL|DHCP ),其中LAN为局域网接入方式, ADSL为拨号用户接入方式,DHCP为动态主冲几配置协议(Dynamic Host Configuration Protocol)接入方式;步骤103: IPTV系统判断该接入用户是否为特殊帐号(需要在业务运 营商门户OSS的用户管理部分,增加特殊用户的定义、管理);步骤104:如果不是特殊帐号,则需要对2个帐号(接入帐号、业务帐 号)进行匹配比对(例取接入帐号"@vod"以前的用户名与业务帐号名 做比对);比对时需要提前设置好一对一的匹配规则,不是必须一致的,但需要满 足匹配规则。但运营商在运营时通常釆取固话号码+后缀的原则,例如ADSL 业务的宽带接入帐号,通常会采用固话号码+ "@adsl" 。 IPTV业务帐号会 采用固话号码十"@iptv"或固话号码+ "@vod,,。这要视运营商的具体设置 而定。步骤105:如果比对不一致,则直接在电子节目单EPG (Electronic Program Guide)上通知用户"帐号错误10001" 。 10001代表两个帐号比 对不一致,将错误号通知97/CRM/VNET等第三方系统;步骤106:如果比对一致,或为特殊帐号,则通知第三方系统进行鉴权 认证;步骤107:由第三方系统侧进行鉴权认证;步骤108:由第三方系统返回提示信息给IPTV系统(鉴权通过或鉴权 失败);步骤109:由IPTV系统返回提示信息给机顶盒(鉴权通过或鉴权失败);在加入了帐号绑定功能后,对于帐号的第一次登录,以及特殊帐号的设 定,都需要从第三方系统取回部分的认证信息。而在不做帐号比对的流程中, 这个鉴权过程是不需要的。对于绑定、验证规则,这个是可定制的。普通用 户第一次登录,是不需要进行匹配校验的,因为尚未登记该用户的接入帐号 信息。但第一次登陆成功以后,此后的登陆需要进行匹配校验了。校验通过 方再验证。第二步,定义特殊用户流程;第一步即为前面的方案。此处是对采用帐号比对方案中的特殊用户(即 由运营商指定不需进行此比对,而是直接鉴权)的处理流程。旨在丰富帐号 比对方案的应用场景,能够适用于运营商采用帐号比对方案前提下的功能定 制。如图2所示,本步骤又由以下具体流程组成步骤201:用户将机顶盒通电开机,用户登录EPG请求鉴权;步骤202: EPG系统将机顶盒上报的业务帐号信息发往IPTV系统后台 数据库,以判断用户是否第一次登录,后台数据库是否已保存有该业务帐户 信息;
步骤203:后台数据库根据业务帐号做检索,以判断该用户信息是否登 记过,如果登记过则判断该用户类型(特殊、普通);登记过是指该用户此前曾经登录过,和步骤202中的判断用户是否第一 次登录相对应。步骤204:返回用户类型判断的结果消息到EPG;步骤205:如果该用户未登记过,或该用户类型为特殊用户,则将用户 信息发往第三方系统,由第三方系统进行鉴权,鉴权包括A、 第三方系统进行鉴权认证;B、 第三方系统返回鉴权认证结果(鉴权通过或鉴权失败)给EPG系统;C、 如鉴权通过,则EPG系统通知在后台数据库对该用户帐号进行登 记,并通知用户(机顶盒)使用服务;D、 如鉴权失败,则通知机顶盒鉴权结果(鉴权失败)E、 管理员可通过Portal门户中对已登记过的第三方系统用户进行特 殊用户的定义、管理;F、 后台数据库根据管理员的操作,对指定用户的属性(特殊、普通) 进行修改;G、 Portal门户界面返回消息给管理员(返回修改成功、或修改失败);步骤206:如果该用户已经登记过,且为普通用户,则做接入帐号与业 务帐号的匹配校验(a) 匹配校验通过后,继续送往第三方系统做校验,走第三方系统 鉴权流程(b) 匹配校验不通过,则直接在EPG上通知用户"帐号错误10001"。 10001代表两个帐号比对不一致,将错误号通知第三方系统。
权利要求
1、一种通过接入帐号与业务帐号绑定实现加强鉴权的方法,其特征在于,包括如下步骤(1)机顶盒在通电开机并通过宽带接入认证后,向IPTV系统上报包括接入帐号信息、业务帐号信息、机顶盒接入类型、接入用户类型的登录参数;(2)IPTV系统根据机顶盒接入类型判断是否需要对接入帐号与业务帐号进行匹配校验;(3)需要匹配校验时,则进一步判断接入用户类型是特殊用户还是普通用户;若为普通用户,且此前已经成功登陆过,则对接入帐号与业务帐号进行比对判断两者是否匹配;(4)若比对结果为匹配一致、或者该用户为特殊帐号、或者为普通用户的第一次登陆时,则通知第三方系统进行鉴权认证;(5)第三方系统鉴权完毕,将鉴权提示信息经IPTV系统反馈给机顶盒。
2、 如权利要求l所述的方法,其特征在于,步骤(l)中 所述接入帐号信息包括接入帐号及密码; 所述业务帐号信息包括业务帐号及密码;所述机顶盒接入类型是指机顶盒接入IPTV系统时的接入方式,包括局 域网LAN接入方式、或拨号用户接入ADSL方式,或动态主机配置协议 DHCP接入方式;所述接入用户类型是指用户为特殊用户还是普通用户,其中所述特殊用户为在业务运营商门户的4喿作支撑系统OSS的用户管理部分中定义增加并 管理的、无需进行比对匹配的用户。
3、 如权利要求2所述的方法,其特征在于,步骤(2)中在根据机顶盒 接入类型判断是否需要对接入帐号与业务帐号进行匹配校验时,若接入类型 为局域网LAN接入方式,接入帐号为空,则无需对接入帐号与业务帐号进 行匹配校验;否则,继续执行步骤(3)。
4、 如权利要求2所述的方法,其特征在于,步骤(3)中进一步可分为(3-1)利用业务运营商的操作支撑系统OSS的用户部分判断该用户 是否为特殊用户,是否为普通用户的第一次登陆,若是,则执行步骤(4), 若为普通用户,且此前已经成功登陆过,则继续步骤(3-2)(3 - 2 )获取运营商预先设置的关于接入帐号与业务帐号的匹配规则; 只于匹配判断。
5、 如权利要求1所述的方法,其特征在于,所述步骤(4)进一步包括若比对不一致时,直接在电子节目单上通知用户帐号错误,将错误号通 知第三方系统。
6、 如权利要求l所述的方法,其特征在于,所述步骤(4)进一步可分为(4-1 )若该用户未登记过、或者该用户类型为特殊用户,则将该用户 信息发往第三方系统进行鉴权A、 第三方系统进行鉴权认证;B、 第三方系统返回鉴权通过或鉴权失败的鉴权认证结果给电子节目 单系统;C、 如鉴权通过,则电子节目单系统通知在后台数据库对该用户帐号 进行登记,并通知机顶盒使用服务;D、 如鉴权失败,则电子节目单系统通知机顶盒鉴权失败的鉴权结果;E、 管理员可通过Portal门户中对已登记过的第三方系统用户进行特 殊用户的定义、管理;F、 后台数据库根据管理员的操作,对指定用户的用户类型进行修改;G、 Portal门户界面返回修改成功、或修改失败的返回消息给管理员;(4-2)如果该用户为普通用户,且此前已经成功登陆过,则进行接入 帐号与业务帐号的匹配校验若匹配校验通过后,继续送往第三方系统做校 验,执行第三方系统鉴权流程;若匹配校验不通过,则直接在电子节目单上 通知用户帐号错误,同时将错误号通知第三方系统。
全文摘要
本发明公开了一种通过接入帐号与业务帐号绑定实现加强鉴权的方法,机顶盒上报登录参数,IPTV系统根据机顶盒接入类型判断是否需要对接入帐号与业务帐号进行匹配校验;需要匹配校验时,则进一步判断接入用户类型是特殊用户还是普通用户;若为普通用户,且此前已经成功登陆过,则对接入帐号与业务帐号进行比对判断两者是否匹配;若比对结果为匹配一致、或者该用户为特殊帐号、或者为普通用户的第一次登陆时,则通知第三方系统进行鉴权认证;第三方系统鉴权完毕,将鉴权提示信息经IPTV系统反馈给机顶盒。本发明所述鉴权方法,通过宽带帐号与业务帐号的绑定,加强了用户帐号安全性,可防止业务帐号被盗用,避免运营商和用户的损失。
文档编号H04N7/16GK101110674SQ20071011100
公开日2008年1月23日 申请日期2007年6月12日 优先权日2007年6月12日
发明者睿 黄 申请人:中兴通讯股份有限公司