专利名称:Soa架构的融合业务系统中的多次用户认证鉴权方法
技术领域:
本发明涉及融合业务系统,特别涉及到SOA架构的融合系统用户管理中的认证 鉴权方法。
背景技术:
网络融合的大趋势下,跨网络、跨终端、提供多媒体信息的融合业务系统在各 方面需求下应运而生,它的最终目标是基于统一综合的网络进行各种信息的通信, 使得用户可以通过不同终端在任何时间、任何地点都可以享受无缝统一的融合业务。
融合业务的提供系统主要是四类技术综合智能网技术、SIP业务提供技术、
Parlay/OSA/OMA开放业务接口技术、面向业务的体系架构(SOA)技术(包括Web Services中间件)。
前三种技术主要应用在电信领域,或者已经部署、或者作为下一代网络(NGN) 的重点研究课题,都具备相对成熟的用户管理方法。面向业务的体系架构 (Service-Oriented Architecture, SOA)主要应用于企业应用和IT领域,这是一种架构 模型,它可以根据需求通过网络对松散耦合的粗粒度应用组件进行分布式部署、组 合和使用。业务层是SOA的基础,可以直接被应用调用,从而有效控制系统中与软 件代理交互的人为依赖性。SOA的几个关键特性 一种粗粒度、松耦合服务架构, 服务之间通过简单、精确定义接口进行通讯,不涉及底层编程接口和通讯模型。SOA 在这种架构中所有相关的业务能力被标准化为服务模块,通过定义组合顺序(包括控 制流和数据流)、动态的模块发现和获取机制,并通过中间件进行信息交互,可自动 和即时地生成新的应用业务,并快速部署和运行。SOA架构的融合业务系统由于其 开放性的业务结构,用户管理数据模型难以确定,至今并没有一种成型统一的用户 认证鉴权方法。
当前IT领域多业务系统广泛使用的认证方法是单点登录(Single Sign-On SSO), 就是一次登录即可完成整个业务系统里面的身份验证,主要用于客户端服务器模式, 并不能适应跨终端的系统需求;另外存在一种Web服务安全性(WS-Security)规范, 提供了一套帮助Web Services开发者保护SOAP消息交换的机制,主要用于Web Services中通讯消息的加密,并不能提出针对SOA平台系统的用户认证鉴权方法; 针对SOA架构的融和业务系统,可以看出,上述认证鉴权方法暴露出多方面不足难以解决多终端的差异性需求,不能满足不同业务提供商对终端用户身份验证,不 能进行统一的用户权限管理。
发明内容
本发明为了解决SOA架构的融合业务系统中面临的各种终端的用户属性不同, 用户访问形式不同所造成的用户鉴权问题,提出了一种多步用户认证鉴权方法,以 实现SOA架构的融合业务的透明的统一用户认证鉴权。该方法包括以下步骤
(1) 初访注册过程,该步骤是指不同终端用户初次启动适配安装的客户端软件, 在鉴权中心进行注册,并初始化客户端的过程,如果用户通过Web门户访问,则直
接申请用户名进行注册;如果不是,则该步骤包括
11) 终端用户首次启动适配安装的客户端软件,客户端检査软件自身固化的串
码csc,如果csc位数不对则获取系统信息重新生成;
12) 客户端基于XML的消息封装协议,打包初始化服务请求,其中包含终端 CSC,并将该请求发送到系统鉴权中心AUC;
13) AUC接受服务请求,检查串码位,如果为空则是错误请求,丢弃;如果大 于16位,转入21)寻类过程;如果是16位,AUC则对此终端用户提供注册服务, 生成确定位数n的唯一用户名和密码,n可以根据系统预计容量来设计;
14) AUC将CSC和用户名叠加,生成请求服务的用户客户端的唯一标识符CSI, 将用户信息存入用户数据库,完成了初访的注册过程。
(2) 确认终端属性寻类过程,该步骤是指用户在具体服务域发起请求,AUC 对用户初步认证,并根据体现的终端特性进行初步鉴权,优化选择提供服务的业务 模块
21) 用户发起具体服务请求,AUC在接受到包含16+n位的串码服务请求时, 可以初步确定此串码是合法的CSI,按照叠加规则逆向拆分,可以获得CSC和用户 名;
22) AUC通过分析CSC,可以得到终端类型、型号和系统的信息,基于此可以 聚类同种终端;
23) AUC根据终端特性在特定服务域中优化选择服务提供者,縮小服务提供者 范围,为下一步映射做准备;
(3) 映射用户过程,该步骤是指请求具体服务过程中,AUC通过CSI获取客 户端用户具体信息,与其它源的用户关联的过程-
31) AUC利用SCI-用户名对,向数据库发起请求,如果没有获得信息,则舍弃
5请求;如果获得请求用户具体信息,则最终认证是合法用户,并且获得基于此用户 扩展的安全性令牌;
32) AUC检査寻类过程优化后的每一个业务模块的策略,检査是否有附加的安 全性令牌要求,根据得到的用户令牌精确确定业务提供者;
(4)统一用户过程,该步骤是指AUC将服务请求和用户信息,传递给适用的 细粒度业务层,在具体的业务模块不同源的用户得到统一的服务
41) AUC把终端发起的服务请求,连同之前步骤获得的用户信息和附加令牌, 发送到具体的业务模块;
42) 业务模块根据用户信息和附件加全性令牌的输入,实现对终端用户无差别 的服务,完成最终的鉴权。
所述12)步骤,还可以包括,根据系统业务性质不同,采用安全性高或低的安 全措施,将包含终端CSC的初始化服务请求,发送到系统鉴权中心AUC。
所述13)步骤,还包括AUC先利用rand算法生成一个随机数,然后把随机数 做为种子赋值给md5算法,最后得出确定位数n的唯一用户名和密码。
所述CSC,是Client Serial Code , CSC是16位按照协议定义的,代表终端特 性的字符,包括设备、型号和系统信息。
所述客户端,是指安装适配的软件的用户终端,用于负责保存一定的用户信息 和业务信息,代替用户向服务器端发起服务请求,并将结果展示给用户。
所述终端,是指用户与业务系统的接口设备,主要指用户使用的硬件平台,包 括多种网络终端手机、电视机顶盒、个人PC等。
所述鉴权中心AUC,是指融合业务系统中负责响应用户请求,处理用户业务的 软件实体,用于对用户进行认证和鉴权。
本发明的优点在于针对SOA架构的融和业务系统,解决多终端的差异性需求, 满足不同业务提供商对终端用户身份验证,进行统一的用户权限管理。
图l是本发明的总体流程图2是本发明总体框架图3是本发明初访注册过程流程图4是本发明确认终端属性寻类过程流程图5是本发明客户端初始化一次握手过程流程6图6是本发明映射用户过程流程图; 图7是本发明统一用户过程流程图8是本发明客户端请求具体业务模块二次握手流程图;
具体实施例方式
本发明提供的一种SOA架构融合业务系统相对成熟的应用是Web Services,其 服务器主要位于因特网上,而其客户端可以安装在不同网络的终端上,这样客户端 与服务器端可能需要通过异种网络(GPRS CATV因特网...)之间互通的网关进行跨 网络连接,交换信息。
下面结合附图和具体实施例,对本发明提供的多次用户认证鉴权方法作进一步 阐述。
如图1和图2所示,本发明提供SOA架构的融合业务系统多次用户认证鉴权方 法包括初访注册过程、确认终端属性寻类过程、映射用户过程和统一用户过程;
(1) 初访注册过程,如图3所示,该步骤是指不同终端用户初次启动适配安装 的客户端软件,在鉴权中心进行注册,并初始化客户端的过程,如果用户通过Web 门户访问,则直接申请用户名进行注册;如果不是,则该步骤包括-
11) 终端用户首次启动适配安装的客户端软件,客户端检査软件自身固化的串 码CSC,如果CSC位数不对则获取系统信息重新生成;
12) 客户端基于XML的消息封装协议,打包初始化服务请求,其中包含终端 CSC,并将该请求发送到系统鉴权中心AUC;
13) AUC接受服务请求,检査串码位,如果为空则是错误请求,丢弃;如果大 于16位,转入21)寻类过程;如果是16位,AUC则对此终端用户提供注册服务, 按照一定算法生成确定位数n的唯一用户名和密码,n可以根据系统预计容量来设计;
14) AUC串叠CSC和用户名,生成请求服务的用户客户端的唯一标识符CSI, 将用户信息存入用户数据库,完成了初访的注册过程;
(2) 确认终端属性寻类过程,是指用户在具体服务域发起请求,AUC对用户初 步认证,并根据体现的终端特性进行初步鉴权,优化选择提供服务的业务模块,如
图4所示
21) 用户发起具体服务请求,AUC在接受到包含16+n位的串码服务请求时, 可以初步确定此串码是合法的CSI,按照叠加规则逆向拆分,可以获得CSC和用户 名;
22) 通过分析CSC,可以得到终端类型、型号和系统的信息,基于此可以聚类同种终端;
23)根据终端特性在特定服务域中优化选择服务提供者,縮小服务提供者范围, 为下一步映射做准备;
例如 一个在线旅游的融合业务系统中,系统预定义的的服务域组有订房、订 机票、租车、景点、旅游视频五大类;现有Nokia的N70手机终端,同样处于GPRS 网络和使用SymbianS60系统,这样可以划分为同一类。根据其系统网络终端特性, 适配订房、订机票、租车、景点四大类的服务域,因为GPRS网络带宽,旅游视频 服务并不适用此类;划为同类的终端就可接受同样的服务域组合。将域组标记和CSI 标示符返回客户端,完成初始化一次握手过程,如图5。
以提过的在线旅游的融合业务系统为例,电视机顶盒终端的用户提交订房的请 求,AUC检査系统订房的业务域可以有多个后台运营者,同时机顶盒终端自身的约 束,其中需要进行语音交互的业务提供者就必须被剔除,优化了提供业务的运营商 范围。
(3) 映射用户过程,该步骤是指请求具体服务过程中,AUC通过CSI获取客 户端用户具体信息,与其它源的用户关联的过程,如图6所示
31) AUC利用SCI-用户名对,向数据库发起请求,如果没有获得信息,则舍弃 请求;如果获得请求用户具体信息,则最终认证是合法用户,并且获得基于此用户 扩展的安全性令牌;
32) AUC检查寻类过程优化后的每一个业务模块的策略,检査是否有附加的安 全性令牌要求,根据得到的用户令牌精确确定业务提供者;
本实施例中在线旅游的融合业务系统,优化后的提供订房服务仍有三家服务提 供商,其中前两家需要用户提供信用卡方面的信息,而AUC得到的用户信息未包含 信用卡方面的安全性令牌,此时定位由第三家订房服务商提供服务。
(4) 统一用户过程,该步骤是指AUC将服务请求和用户信息,传递给适用的 细粒度业务层,在具体的业务模块不同源的用户得到统一的服务,如图7所示
41) AUC把终端发起的服务请求,连同之前步骤获得的用户信息和附加令牌, 发送到具体的业务模块;
42) 业务模块根据用户信息和附加安全性令牌的输入,实现对终端用户无差别 的服务,如图8所示,完成最终的鉴权。
所述12)步骤,还可以包括,根据系统业务性质不同,采用安全性高或低的安 全措施,将包含终端CSC的初始化服务请求,发送到系统鉴权中心AUC。
所述13)步骤,是指AUC先利用rand算法生成一个随机数,然后把随机数做为种子赋值给md5算法,最后得出确定位数n的唯一用户名和密码。
所述CSC,是Client Serial Code , CSC是16位按照协议定义的,代表终端特
性的字符,包括设备、型号和系统,此串码为确定的16位代表终端特性,作为寻类
过程初次鉴权的依据,其中头两位代表终端设备类型,继而六位代表终端品牌,接
着四位代表终端所用系统,最后四位代表终端所在的网络。
所述客户端,是指安装适配的软件的用户终端,用于负责保存一定的用户信息
和业务信息,代替用户向服务器端发起服务请求,并将结果展示给用户。
所述终端,是指用户与业务系统的接口设备,主要指用户使用的硬件平台,包
括多种网络终端手机、电视机顶盒、个人PC等。
所述鉴权中心AUC,是指融合业务系统中负责响应用户请求,处理用户业务的 软件实体,用于对用户进行认证和鉴权。
本发明针对SOA架构的融和业务系统,解决多终端的差异性需求,满足不同业 务提供商对终端用户身份验证,进行统一的用户权限管理。
权利要求
1、一种SOA架构的融合业务系统中的多次用户认证鉴权方法,所述认证鉴权方法,包括以下步骤(1)初访注册过程,该步骤是指不同终端用户初次启动适配安装的客户端软件,在鉴权中心进行注册,并初始化客户端的过程,如果用户通过Web门户访问,则直接申请用户名进行注册;如果不是,则该步骤包括11)终端用户首次启动适配安装的客户端软件,客户端检查软件自身固化的终端串码,如果该串码位数不对则获取系统信息重新生成;12)客户端基于XML的消息封装协议,打包初始化服务请求,其中包括终端的串码,并将该请求发送到系统鉴权中心;13)鉴权中心接受服务请求,检查串码位,如果为空则是错误请求,丢弃;如果大于16位,转入21)寻类过程;如果是16位,鉴权中心则对此终端用户提供注册服务,并生成确定位数n的唯一用户名和密码,n可以根据系统预计容量来设计;14)鉴权中心叠加终端串码和用户名,生成请求服务的用户客户端的唯一标识符CSI,并将用户信息存入用户数据库,完成了初访的注册过程;(2)确认终端属性寻类过程,该步骤是指用户在具体服务域发起请求,鉴权中心对用户初步认证,并根据体现的终端特性进行初步鉴权,优化选择提供服务的业务模块,其步骤包括21)用户发起具体服务请求,鉴权中心在接受到包含16+n位的串码服务请求时,可以初步确定此串码是合法的CSI,按照叠加规则逆向拆分,可以获得终端串码和用户名;22)鉴权中心通过分析终端串码,可以得到终端类型、型号和系统的信息,基于此可以聚类同种终端;23)鉴权中心根据终端特性在特定服务域中优化选择服务提供者,缩小服务提供者范围,为下一步映射做准备;(3)映射用户过程,该步骤是指用户请求具体服务过程中,鉴权中心通过CSI获取客户端用户具体信息,与其它源的用户关联的过程,其步骤包括31)鉴权中心利用SCI-用户名对,向数据库发起请求,如果没有获得信息,则舍弃请求;如果获得请求用户具体信息,则最终认证是合法用户,并且获得基于此用户扩展的安全性令牌;32)鉴权中心检查寻类过程优化后的每一个业务模块的策略,检查是否有附加的安全性令牌要求,根据得到的用户令牌精确确定业务提供者;(4)统一用户过程,该步骤是指鉴权中心将服务请求和用户信息,传递给适用的细粒度业务层,在具体的业务模块不同源的用户得到统一的服务,其步骤包括41)鉴权中心把终端发起的服务请求,连同之前步骤获得的用户信息和附加令牌,发送到具体的业务模块;42)业务模块根据用户信息和附加安全性令牌的输入,实现对终端用户无差别的服务,完成最终的鉴权。
2、 根据权利要求l所述的用户认证鉴权方法,其特征在于,所述12)步骤,还 可以包括,根据系统业务性质不同,采用安全性高或低的安全措施,将包含终端串 码的初始化服务请求,发送到系统鉴权中心。
3、 根据权利要求1所述的户认证鉴权方法,其特征在于,所述13)步骤,是指 鉴权中心先利用随机算法生成一个随机数,然后把随机数做为种子赋值给md5算法, 最后得出确定位数n的唯一用户名和密码。
4、 根据权利要求1或2所述的用户认证鉴权方法,其特征在于,所述终端串码, 是16位按照协议定义的,代表终端特性的字符,包括设备、型号和系统信息。
5、 根据权利要求l所述的用户认证鉴权方法,其特征在子,所述客户端,是指 安装适配的软件的用户终端,用于负责保存一定的用户信息和业务信息,代替用户 向服务器端发起服务请求,并将结果展示给用户。
6、 根据权利要求l所述的用户认证鉴权方法,其特征在于,所述终端,是指用 户与业务系统的接口设备。
7、 根据权利要求1所述的认证鉴权方法,其特征在于,所述鉴权中心,是指融 合业务系统中负责响应用户请求,处理用户业务的软件实体,用于对用户进行认证 和鉴权。
全文摘要
本发明涉及一种SOA架构的融合业务系统中多次用户认证鉴权方法,所述认证鉴权方法,包括以下步骤(1)初访注册过程,是指不同终端用户初次启动适配安装的客户端软件,在鉴权中心进行注册,并初始化客户端的过程;(2)确认终端属性寻类过程,是指用户在具体服务域发起请求,鉴权中心对用户初步认证,并根据体现的终端特性进行初步鉴权,优化选择提供服务的业务模块;(3)映射用户过程,是指请求具体服务过程中,鉴权中心通过CSI获取客户端用户具体信息,与其它源的用户关联的过程;(4)统一用户过程,是指鉴权中心将服务请求和用户信息,传递给适用的细粒度业务层,在具体的业务模块不同源的用户得到统一的服务。
文档编号H04L29/06GK101471939SQ20081008899
公开日2009年7月1日 申请日期2008年4月11日 优先权日2007年12月28日
发明者晔 李, 汤迪斌, 王劲林, 鹤 白 申请人:中国科学院声学研究所