具有用戶組的第三方認證系統(tǒng)或方法
【專利摘要】本發(fā)明涉及一種具有用戶組的第三方認證系統(tǒng)或方法�,其中��,用戶終端需要通過服務(wù)方認證才登錄服務(wù)方或使用服務(wù)方的服務(wù)���,服務(wù)方認證通過中介方來完成,服務(wù)方認證中還需要使用認證程序,只有認證程序保持運行的條件下服務(wù)方認證才能通過,其中���,通過加入中介方的用戶組����,不同的中介方的用戶賬號可以共享同一用戶組的權(quán)限和資源�,增強了第三方認證系統(tǒng)的管理功能�。
【專利說明】具有用戶組的第三方認證系統(tǒng)或方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種具有用戶組的第三方認證系統(tǒng)或方法�����。
【背景技術(shù)】
[0002]互聯(lián)網(wǎng)提供的資源和服務(wù)的數(shù)量非常巨大并增長迅猛��,互聯(lián)網(wǎng)已經(jīng)成為人們獲取信息資源和信息服務(wù)的主要渠道�����,許多網(wǎng)上資源和服務(wù)提供方要求用戶進行登錄和驗證�,這就產(chǎn)生了便捷性和安全性的問題。通過第三方或中介方的認證方法是一種解決這些問題的有效途徑�����。
【發(fā)明內(nèi)容】
[0003]本發(fā)明是這樣實現(xiàn)的����,一種具有用戶組的第三方認證系統(tǒng)或方法�����,其特征在于���,用戶使用終端通過服務(wù)方認證后該用戶終端才能接入服務(wù)方的相應(yīng)服務(wù)��,服務(wù)方認證通過中介方來完成�����,其中����,用戶登錄中介方后用戶終端上運行的一個認證程序能夠通過中介方認證,在認證程序通過中介方認證后用戶終端才能進行服務(wù)方認證�,只有該認證程序或該認證程序啟動的一個程序?qū)ο驪RO仍然保持運行的條件下用戶終端才能通過服務(wù)方認證����,其中�,在進行服務(wù)方認證時中介方會向服務(wù)方直接發(fā)送或通過用戶終端轉(zhuǎn)發(fā)一個認證憑證,只有服務(wù)方收到正確的認證憑證后該服務(wù)方認證才能通過�,其中��,在進行服務(wù)方認證時用戶終端會向服務(wù)方發(fā)送一個用戶識別信息��,只有服務(wù)方收到正確的用戶識別信息時該服務(wù)方認證才能通過,其中�����,在服務(wù)方認證通過后,服務(wù)方會允許用戶終端的一個端口或連接接入服務(wù)方的相應(yīng)服務(wù)����,該端口或連接就是用戶終端向服務(wù)方發(fā)送認證憑證或用戶識別信息的端口或連接,其中,在中介方上能夠設(shè)立用戶組�����,用戶組的成員是中介方的用戶賬號��,其中,中介方的一個用戶組能夠與服務(wù)方相關(guān)聯(lián),其中�,用戶組與服務(wù)方關(guān)聯(lián)后���,該用戶組內(nèi)被賦權(quán)的成員就能繼承具有該用戶組在服務(wù)方所具有的并且已經(jīng)向該成員賦權(quán)的權(quán)限,其中��,如果該用戶組具有接入一個服務(wù)方的相應(yīng)服務(wù)的權(quán)限�,那么該用戶組內(nèi)被賦與相應(yīng)權(quán)利的成員就能夠通過中介方進行服務(wù)方認證并接入該服務(wù)方的相應(yīng)服務(wù),其中����,用戶組的管理員對該用戶組的成員的添加�����、刪除和賦權(quán)進行管理����。
[0004]其中,在中介方上能夠設(shè)立用戶組�����,用戶組的成員是中介方的用戶賬號,其中����,中介方的一個用戶組能夠與服務(wù)方相關(guān)聯(lián)����,其中�����,用戶組與服務(wù)方關(guān)聯(lián)后���,該用戶組內(nèi)被賦權(quán)的成員就能繼承具有該用戶組在服務(wù)方所具有的并且已經(jīng)向該成員賦權(quán)的權(quán)限�,其中,如果該用戶組具有接入一個服務(wù)方的相應(yīng)服務(wù)的權(quán)限����,那么該用戶組內(nèi)被賦與相應(yīng)權(quán)利的成員就能夠通過中介方進行服務(wù)方認證并接入該服務(wù)方的相應(yīng)服務(wù)�����,其中,用戶組的管理員對該用戶組的成員的添加���、刪除和賦權(quán)進行管理。
[0005]其中��,用戶組的管理員也可以是相關(guān)聯(lián)的服務(wù)方的管理員�,或者是在服務(wù)方注冊了用戶賬號或用戶組的用戶并且將服務(wù)方的用戶賬號或用戶組與中介方的用戶組相關(guān)聯(lián)���。
[0006]其中��,用戶組管理員對用戶組成員的添加、刪除和賦權(quán)�,可以是管理員直接搜索中介方的用戶賬號進行添加再由該用戶賬號的用戶進行確認�����,也可以是中介方的用戶向管理員提出請求再由管理員對請求進行確認。
[0007]其中���,用戶組與服務(wù)方關(guān)聯(lián)后���,用戶組的成員可以不再在服務(wù)方進行注冊和關(guān)聯(lián)而能夠直接通過中介方進行服務(wù)方認證并接入已經(jīng)被用戶組賦權(quán)的服務(wù)方的相應(yīng)服務(wù)���。
[0008]其中,用戶的服務(wù)方賬號和中介方賬號需要先相互關(guān)聯(lián)����,然后用戶才能通過中介方完成服務(wù)方認證并接入服務(wù)方的相應(yīng)服務(wù)���。其中��,用戶的服務(wù)方賬號是指用戶的服務(wù)方賬號或用戶的服務(wù)方賬號所在的服務(wù)方的用戶組��。其中���,用戶的中介方賬號是指用戶的中介方賬號或用戶的中介方賬號所在的中介方的用戶組��。其中,用戶的服務(wù)方賬號和中介方賬號相互關(guān)聯(lián)是指,用戶的服務(wù)方賬號或其所在的服務(wù)方的用戶組與用戶的中介方賬號或其所在的中介方的用戶組之間相互關(guān)聯(lián)����。
[0009]其中,用戶的服務(wù)方賬號和中介方賬號相互關(guān)聯(lián)后��,服務(wù)方的用戶賬號和中介方的用戶賬號具有相互對應(yīng)關(guān)系�����,這種對應(yīng)關(guān)系具體由服務(wù)方和中介方雙方保存���。
[0010]其中����,用戶使用終端接入服務(wù)方相應(yīng)服務(wù)的具體步驟為:1>用戶終端上運行認證程序�����,用戶使用認證程序登錄中介方����,2>用戶在認證程序的界面上選擇請求接入服務(wù)方�,3>中介方驗證認證程序是否保持運行,只有該驗證通過才能進行下一步���,4>用戶終端�����、服務(wù)方和中介方完成服務(wù)方認證�����,只有服務(wù)方認證通過才能進行下一步�����,5>用戶接入服務(wù)方的相應(yīng)服務(wù)。
[0011]其中��,在用戶終端對服務(wù)方的接入中止后,用戶終端需要重新通過中介方進行認證才能再接入服務(wù)方���。
[0012]其中����,認證程序中止運行后,認證程序需要再次進行中介方認證后����,用戶終端才能再進行服務(wù)方認證。
[0013]其中�,用戶登錄中介方和認證程序通過中介方認證的這兩個步驟,具體可以是同一步驟或是同時執(zhí)行的不同步驟或是不同時執(zhí)行的不同步驟���。
[0014]其中����,認證程序通過中介方認證,具體是指:用戶使用認證程序通過中介方的身份認證或者認證程序通過已經(jīng)與中介方建立連接的另一個程序進行并通過中介方認證�。例如:用戶通過一個專用程序登錄中介方后該專用程序與中介方建立安全連接,認證程序通過該安全連接進行并通過中介方認證(例如:認證程序、該專用程序和中介方三者閉合傳遞一個認證信息�,認證程序通過該閉合傳遞與中介方建立一個新連接并通過中介方認證)���。
[0015]其中�,認證程序通過中介方認證的過程�����,可以同時包括用戶使用終端通過中介方的身份認證和認證程序通過已經(jīng)與中介方建立連接的另一個程序進行并通過中介方認證。例如:用戶使用專用程序登錄中介方并建立連接��,認證程序基于該連接再通過中介方認證并建立認證程序與中介方之間的一個新連接——以上過程都包括在用戶終端進行一次中介方認證的過程中�����。
[0016]其中����,用戶終端在登錄中介方后��,中介方能向認證程序傳遞并在認證程序界面上顯示中介方的該用戶賬號已經(jīng)在中介方關(guān)聯(lián)的服務(wù)方或在服務(wù)方的用戶賬號�����,用戶能夠在認證程序的界面上進行操作來請求接入其中一個服務(wù)方的相應(yīng)服務(wù)或請求以用戶在一個服務(wù)方的一個用戶賬號來接入該服務(wù)方的相應(yīng)服務(wù)���。
[0017]其中�,中介方的該用戶賬號已經(jīng)在中介方關(guān)聯(lián)的服務(wù)方也包括了該中介方的用戶賬號所在的用戶組已經(jīng)向該用戶賬號賦權(quán)的所有服務(wù)方或服務(wù)方的相應(yīng)服務(wù)�。
[0018]其中�����,所述認證程序界面上能顯示該用戶終端已經(jīng)通過中介方接入的服務(wù)方或服務(wù)方的相應(yīng)服務(wù)或在服務(wù)方的用戶賬號�,用戶可以在認證程序界面上中止對其中顯示的服務(wù)方或相應(yīng)服務(wù)或用戶賬號的接入�。
[0019]其中,用戶能夠在認證程序界面上選擇中止在認證程序界面上顯示的已經(jīng)通過中介方接入的服務(wù)方或服務(wù)方的相應(yīng)服務(wù)之中的一個或幾個或全部����。
[0020]其中����,當用戶在認證程序界面上選擇中止認證程序界面上顯示的已通過中介方接入的服務(wù)方或服務(wù)方的相應(yīng)服務(wù)時����,認證程序會向中介方發(fā)出一個中止接入請求�����,中介方則會向相應(yīng)的服務(wù)方發(fā)出中止接入通知,服務(wù)方收到中止接入通知后就會中止該用戶終端對該服務(wù)方或該服務(wù)方的相應(yīng)服務(wù)的接入�����。
[0021]其中�����,用戶終端在登錄中介方后�,中介方能向認證程序傳遞并在認證程序界面上顯示中介方的該用戶賬號已經(jīng)在中介方加入的用戶組,用戶能夠在認證程序的界面上選擇退出其中的一個用戶組或者用戶組的管理員能夠在用戶組管理界面上選擇刪除用戶組的一個成員或者以上兩者均可�。
[0022]其中��,用戶終端在登錄中介方后����,認證程序界面上能夠顯示或搜索可以與該中介方進行關(guān)聯(lián)的服務(wù)方或服務(wù)方的相應(yīng)服務(wù)��。
[0023]其中��,用戶終端在登錄中介方后�����,用戶能夠在認證程序界面上直接注冊能關(guān)聯(lián)的一個服務(wù)方的用戶賬號并將該用戶賬號關(guān)聯(lián)到該用戶在中介方的用戶賬號����。
[0024]其中���,不能由已知的用戶識別信息推知以后的�、或未知的�����、或其它的����、或新的用戶識別息�。
[0025]其中�,不能由已知用戶識別信息推知其它的或以后的服務(wù)方認證的用戶識別信
肩、O
[0026]其中,用戶識別信息包含為該次服務(wù)方認證隨機生成的內(nèi)容或者包含該次服務(wù)方認證的時間和加密計算的信息�。例如:用戶識別信息包含該信息的生成時間并進行數(shù)字簽名。
[0027]其中�����,一個用戶識別信息只用于一次服務(wù)方認證����。
[0028]其中���,每個用戶識別信息都有時間有效期�,過期的用戶識別信息會失效和無法完成服務(wù)方認證��。
[0029]其中��,中介方直接向服務(wù)方發(fā)送認證憑證時,用戶識別信息與認證憑證可以具有可驗證的對應(yīng)關(guān)系����。其中,服務(wù)方會驗證用戶識別信息與認證憑證這兩者是否相對應(yīng)����,不對應(yīng)的話就不能通過服務(wù)方認證。例如:用戶識別信息和認證憑證中可以都包括用戶在服務(wù)方的用戶名或同一隨機數(shù)�����。又例如:認證憑證是公鑰而用戶識別信息是用對應(yīng)私鑰計算生成的信息��。
[0030]其中�����,中介方通過用戶終端向服務(wù)方轉(zhuǎn)發(fā)認證憑證時���,用戶識別信息與認證憑證兩者可以是同一信息或兩者包含在同一信息中。例如:所述的認證憑證是中介方先發(fā)送給用戶終端���,用戶終端再將認證憑證和用戶識別信息一起發(fā)送給服務(wù)方��。又例如:認證憑證是由中介方發(fā)送給用戶終端再由用戶終端發(fā)送給服務(wù)方的���,該認證憑證中包含用戶在服務(wù)方的用戶名和隨機數(shù)����,而用戶在服務(wù)方的用戶名和隨機數(shù)就是用戶識別信息。
[0031]其中�����,用戶識別信息中可以包含該用戶在服務(wù)方的賬號的信息����。其中����,用戶識別信息中可以包含關(guān)于服務(wù)方的信息。
[0032]其中��,只有認證程序保持運行時�����,用戶終端才能發(fā)送用戶識別信息����。其中�,用戶識別信息是由認證程序生成的或發(fā)送的。
[0033]其中��,用戶終端通過服務(wù)方認證后為接入服務(wù)方的相應(yīng)服務(wù)而與服務(wù)方建立的連接不經(jīng)過中介方�����。
[0034]其中,在服務(wù)方認證中用戶終端會向服務(wù)方轉(zhuǎn)發(fā)來自中介方的認證憑證�,或者���,在服務(wù)方認證中用戶終端會通過服務(wù)方向中介方發(fā)送基于用戶終端與中介方兩者之間的約定算法計算生成的認證信息���,或者�����,在服務(wù)方認證中用戶終端���、服務(wù)方和中介方三者之間會閉合傳遞一個認證信息并由閉合傳遞的終點來驗證認證信息是否來自閉合傳遞的起點,或者,在服務(wù)方認證中用戶終端會向服務(wù)方發(fā)送基于用戶終端與服務(wù)方兩者之間的約定算法計算生成的認證信息�����。
[0035]其中��,在服務(wù)方認證中用戶終端會通過服務(wù)方向中介方發(fā)送基于用戶終端與中介方兩者之間的約定算法計算生成的認證信息。其中�,所述約定算法是加密解密算法��。其中��,在用戶使用終端上的認證程序登錄中介方后��,中介方和用戶終端會分別具有所述約定算法的一對密鑰中的一個。其中,一對密鑰是非對稱加密的一對密鑰�。其中���,用戶終端具有該對密鑰中的私鑰����,中介方具有該對密鑰中的公鑰�。其中���,只有中介方以該公鑰驗證該認證信息正確��,服務(wù)方認證才能通過。
[0036]其中�,在服務(wù)方認證中用戶終端���、服務(wù)方和中介方三者之間會閉合傳遞一個認證信息并由閉合傳遞的終點來驗證認證信息是否來自閉合傳遞的起點�。其中�,只有閉合傳遞成功完成了����,服務(wù)方認證才能通過����。
[0037]其中�����,在服務(wù)方認證中用戶終端會向服務(wù)方發(fā)送基于用戶終端與服務(wù)方兩者之間的約定算法計算生成的認證信息����。其中,所述約定算法是加密解密算法。其中�����,在用戶使用終端上的認證程序登錄中介方后��,中介方和用戶終端會分別具有所述約定算法的一對密鑰中的一個。其中��,一對密鑰是非對稱加密的一對密鑰���。其中,用戶終端具有該對密鑰中的私鑰����,中介方具有該對密鑰中的公鑰��。其中�����,在服務(wù)方認證中,服務(wù)方會收到與用戶終端的私鑰相對應(yīng)的公鑰�,用戶終端則會將基于私鑰計算生成的認證信息發(fā)往服務(wù)方����,服務(wù)方會根據(jù)收到的公鑰來驗證從用戶終端收到的認證信息是否正確���,只有認證信息正確時服務(wù)方認證才能通過。
[0038]其中��,用戶接入服務(wù)方的相應(yīng)服務(wù)的程序或程序?qū)ο蟛皇钦J證程序。其中����,用戶接入服務(wù)方的相應(yīng)服務(wù)的程序或程序?qū)ο笫怯脩粼谡J證程序的界面上請求接入服務(wù)方后新運行的一個程序或程序?qū)ο蟆?br>
[0039]其中�����,用戶在服務(wù)方和中介方分別具有用戶賬號,服務(wù)方的用戶賬號和中介方的用戶賬號具有相互對應(yīng)關(guān)系。這種對應(yīng)關(guān)系可以是一對一���、或一對多�����、或多對一的對應(yīng)關(guān)系。其中�����,一對一的對應(yīng)關(guān)系例如:用戶首先注冊有中介方的用戶賬號,然后用戶通過中介方的用戶賬號直接注冊服務(wù)方的用戶賬號���,用戶在服務(wù)方的用戶賬號就是在注冊服務(wù)方時由中介方傳遞給服務(wù)方的用戶在中介方的用戶賬號或用戶識別碼,而用戶通過中介方注冊服務(wù)方的用戶賬號的同時也將用戶在兩方的用戶賬號相關(guān)系�����。其中�����,一對多的對應(yīng)關(guān)系例如:用戶在中介方擁有多個用戶賬號,這些用戶賬號對應(yīng)于用戶在服務(wù)方的同一個用戶賬號����。其中����,多對一的對應(yīng)系例如:用戶在服務(wù)方擁有多個用戶賬號�����,這些用戶賬號對應(yīng)于用戶在中介方的同一個用戶賬號�。
[0040]其中,在服務(wù)方認證中�����,用戶終端��、服務(wù)方和中介方會完成一個信息的閉合傳遞,閉合傳遞的終點一方能夠驗證在閉合傳遞中的兩個信息是否都是由該閉合傳遞的同一起點生成的或發(fā)出的��。例如:在中介方生成一個隨機字符串作為認證憑證�����,中介方將字符串直接發(fā)送給服務(wù)方�����,同時,中介方通過用戶終端中轉(zhuǎn)向服務(wù)方發(fā)送字符串,服務(wù)方通過比對收到的兩個字符串是否相同為驗證認證是否正確�。
[0041]其中����,用戶終端接入服務(wù)方的相應(yīng)服務(wù)所建立的連接不經(jīng)過中介方����。
[0042]其中,認證憑證可以由中介方直接發(fā)送給服務(wù)方����。其中,直接發(fā)送的路由不經(jīng)過用戶終端���。其中���,所述直接發(fā)送的方式不經(jīng)過用戶終端。例如:該認證憑證包括一個公鑰��,用戶終端的認證程序具有對應(yīng)的私鑰,服務(wù)方通過該密鑰對的對應(yīng)關(guān)系驗證所述認證憑證是否正確��。
[0043]其中����,認證憑證可以是中介方通過用戶終端轉(zhuǎn)發(fā)給服務(wù)方。例如:該認證憑證包括中介方的數(shù)字簽名,服務(wù)方通過該數(shù)字簽名驗證該認證憑證是否正確���。
[0044]其中�,認證憑證還包括關(guān)于生成時間的信息���,超過有效期的認證憑證會失效��。
[0045]其中,當認證程序中止運行時用戶終端對服務(wù)方的接入也會中止�。認證程序在中止時,中介方會通知服務(wù)方中止用戶終端對服務(wù)方的接入�,用戶終端登錄服務(wù)方的程序?qū)ο笸V惯\行����。
[0046]其中����,用戶終端�����、服務(wù)方和中介方通過互聯(lián)網(wǎng)相連接。其中,三方的信息傳遞通過互聯(lián)網(wǎng)來進行�。
[0047]其中����,每個認證憑證只能在一個服務(wù)方完成一次服務(wù)方認證。
[0048]其中��,中介方與服務(wù)方擁有相對應(yīng)的約定算法����,服務(wù)方能夠通過擁有的約定算法驗證收到的認證憑證是否正確��。其中�,所述約定算法可以是加密解密算法����、或數(shù)字簽名算法����、或單向函數(shù)算法、或動態(tài)密碼算法等等���。
[0049]其中�����,認證憑證可以是一個信息,也可以是由兩個分別發(fā)送的信息組成���。
[0050]其中,服務(wù)方認證通過后服務(wù)方會允許來自用戶終端的一個連接或端口登錄或以相應(yīng)權(quán)限登錄或使用特定服務(wù)��,該連接或端口是用戶終端向服務(wù)方轉(zhuǎn)發(fā)認證憑證的那個端口或連接����。
[0051]其中��,所述的接入,具體是指登錄或連接�。
[0052]其中����,服務(wù)方可以是通過互聯(lián)網(wǎng)向用戶終端提供資源和服務(wù)的計算機系統(tǒng)或網(wǎng)站
坐寸ο
[0053]其中�����,中介方是在互聯(lián)網(wǎng)上進行第三方認證的計算機系統(tǒng)�。
[0054]其中,終端���、服務(wù)方和中介方是具有計算機功能的設(shè)備����,如:PC機、手機、服務(wù)器�、服務(wù)器群組等����。
[0055]其中�,用戶在服務(wù)方具有用戶賬號APID,用戶在中介方也具有用戶賬號AUID�����。其中�,用戶已經(jīng)將APID和AUID相關(guān)聯(lián)�。其中�,APID與AUID存在對應(yīng)關(guān)系�����。其中�,該對應(yīng)關(guān)系由服務(wù)方或者中介方或以上全部兩者所保存�����。
[0056]其中���,中介方可以是由多個服務(wù)器或多個服務(wù)器群組一起組成的。其中�����,中介方的角色或功能可以是由多個服務(wù)器或多個服務(wù)器群組分別承擔(dān)的。例如:用戶終端登錄中介方的服務(wù)器A,用戶終端與中介方的服務(wù)器B保持連接�,用戶終端從中介方的服務(wù)器C獲取臨時憑證���,用戶終端從中介方的服務(wù)器D以臨時憑證換取認證憑證��,用戶終端以認證憑證去登錄服務(wù)方。[0057]其中�����,組成中介方的不同服務(wù)器或不同服務(wù)器群組的網(wǎng)絡(luò)地址可以是不同的。其中�,組成中介方的不同服務(wù)器或不同服務(wù)器群組可以是分屬于不同的運營方的。
[0058]其中��,接入服務(wù)方的相應(yīng)服務(wù)的結(jié)果是用戶終端會與服務(wù)方或通過服務(wù)方授信的一方建立連接。例如:用戶終端向服務(wù)方發(fā)送認證憑證,服務(wù)方向用戶終端返回一個服務(wù)方憑證,用戶終端以服務(wù)方憑證再登錄服務(wù)方授信的另一方�����。
【專利附圖】
【附圖說明】
[0059]圖1是本發(fā)明實施例1的網(wǎng)絡(luò)結(jié)構(gòu)示意圖�。
【具體實施方式】
[0060]實施例1
[0061]用戶終端是一臺計算機,服務(wù)方包括三個網(wǎng)站:電子商務(wù)網(wǎng)站A��、搜索網(wǎng)站B和即時通訊網(wǎng)站Q����,中介方是第三方認證提供方?��,F(xiàn)有一單位的行政采購部門有X,Y,Z—共3人�����,這個部門的每個人都需要替單位到電子商務(wù)網(wǎng)站A去買東西���,則可由負責(zé)人X去電子商務(wù)網(wǎng)站注冊一個用戶賬號或用戶組��,然后X再到中介方注冊一個用戶組,X再將以上兩者相關(guān)聯(lián)�。在該用戶組中除了 X的管理員賬號外再加入Y和Z在中介方的用戶賬號,管理員X向Y和Z賦與用戶組在網(wǎng)站A上的權(quán)限�。這樣就可以實現(xiàn)該部門的3個人利用公司的統(tǒng)一賬號在網(wǎng)站A為公司進行采購�����。
[0062]用戶使用終端登錄服務(wù)方的用戶賬號的流程如下:
[0063]I)注冊賬號和關(guān)聯(lián)賬號:
[0064]1.1)X�����、Y�、Z在中介方分別注冊各自的用戶賬號,
[0065]1.2)X在網(wǎng)站A注冊一個用戶賬號或用戶組BUYER-A�,
[0066]1.3)Χ以自己在中介方的用戶賬號為管理員來注冊一個用戶組BUYER-AU,
[0067]1.4) X將BUYER-A和BUYER-AU兩者相關(guān)聯(lián),其中�����,X還把公司的一個財務(wù)支付賬號與BUYER-AU相綁定�,這樣以BUYER-A的身份進行采購都將由公司的該財務(wù)支付賬號進行支付����,
[0068]1.5)Χ將Y和Z在中介方的用戶賬號加入到BUYER-AU ;
[0069]2)去服務(wù)方A網(wǎng)站采購:
[0070]2.1) X或Y或Z在終端上運行認證程序���,并使用認證程序以各自的中介方賬號登錄中介方:
[0071]2.2)中介方向認證程序返回數(shù)據(jù)���,其中包括:Χ或Y或Z已經(jīng)關(guān)聯(lián)的服務(wù)方A和中介方的用戶組賬號BUYER-AU����。
[0072]2.3)Χ或Y或Z在認證程序界面上選擇以BUYER-AU用戶組的成員登錄Α�����,認證程序向中介方發(fā)送請求登錄A的請求;
[0073]2.4)用戶終端、服務(wù)方A和中介方AU進行關(guān)于服務(wù)方A的服務(wù)方認證:a�����、中介方以問答響應(yīng)驗證認證程序是否保持運行�,只有認證程序保持運行才進行下一步����,b����、中介方分別以直接和通過用戶終端的方式向服務(wù)方A發(fā)送認證憑證�����,認證憑證中包含用戶組BUYER-AU和X或Y或Z對應(yīng)于服務(wù)方A的用戶識別碼����,服務(wù)方收到認證憑證后核對兩個認證憑證是否相同�,其中�,通過用戶終端發(fā)送的認證憑證包含在用戶終端向服務(wù)方發(fā)送的用戶識別信息中��,該用戶識別信息還包括用戶在服務(wù)方的賬號���、中介方名稱和服務(wù)方名稱��,只有認證憑證和用戶識別信息都正確的條件下才進行下一步�����;c、用戶終端通過服務(wù)方認證����;
[0074]2.5)用戶終端通過服務(wù)方A的服務(wù)方認證后��,就能以BUYER-A接入服務(wù)方A �;
[0075]2.6)X或Y或Z使用用戶終端接入服務(wù)方A后就可以在服務(wù)方A進行采購。
[0076]3)用戶終端中止對服務(wù)方的相應(yīng)服務(wù)的登錄:
[0077]3.1)用戶終端上的認證程序會顯示所有該終端的用戶已經(jīng)通過中介方接入的服務(wù)方和相應(yīng)服務(wù)��,
[0078]3.2)用戶在認證程序的界面上選擇中止一個已接入服務(wù)方或相應(yīng)服務(wù),認證程序向中介方發(fā)送中止接入的請求而中介方向服務(wù)方發(fā)送中止接入的請求�,服務(wù)方收到中介方發(fā)來的中止接入的請求就會中止該用戶終端對服務(wù)方或相應(yīng)服務(wù)的接入�,其中,中介方向服務(wù)方發(fā)送的中止接入的請求中包含用戶識別碼AID-AUID�。
[0079]3.3)當認證程序在用戶終端上中止運行時�,認證程序也會向中介方發(fā)出一個中止接入請求�,中介方會向該用戶終端接入的所有服務(wù)方發(fā)出通知來中止該用戶終端對所有服務(wù)方和相應(yīng)服務(wù)的接入�,或者�����,當中介方未能收到認證程序的心跳響應(yīng)或問答響應(yīng)時也會中止該用戶終端對所有服務(wù)方和相應(yīng)服務(wù)的接入。
[0080]4)用戶退出一個用戶組:
[0081]4.1)用戶終端在登錄中介方后����,中介方能向認證程序傳遞并在認證程序界面上顯示中介方的該用戶賬號已經(jīng)在中介方加入的所有用戶組��,
[0082]4.2)用戶能夠在認證程序的界面上選擇退出一個已加入的用戶組����,或者����,用戶組的管理員可以在組管理界面中刪除用戶組的組成員。
【權(quán)利要求】
1.一種具有用戶組的第三方認證系統(tǒng)或方法�,其特征在于,用戶使用終端通過服務(wù)方認證后該用戶終端才能接入服務(wù)方的相應(yīng)服務(wù)�,服務(wù)方認證通過中介方來完成��,其中�,用戶登錄中介方后用戶終端上運行的一個認證程序能夠通過中介方認證����,在認證程序通過中介方認證后用戶終端才能進行服務(wù)方認證,只有該認證程序或該認證程序啟動的一個程序?qū)ο驪RO仍然保持運行的條件下用戶終端才能通過服務(wù)方認證��,其中�,在進行服務(wù)方認證時中介方會向服務(wù)方直接發(fā)送或通過用戶終端轉(zhuǎn)發(fā)一個認證憑證,只有服務(wù)方收到正確的認證憑證后該服務(wù)方認證才能通過���,其中�,在進行服務(wù)方認證時用戶終端會向服務(wù)方發(fā)送一個用戶識別信息,只有服務(wù)方收到正確的用戶識別信息時該服務(wù)方認證才能通過,其中,在服務(wù)方認證通過后��,服務(wù)方會允許用戶終端的一個端口或連接接入服務(wù)方的相應(yīng)服務(wù)�,該端口或連接就是用戶終端向服務(wù)方發(fā)送認證憑證或用戶識別信息的端口或連接�,其中,在中介方上能夠設(shè)立用戶組����,用戶組的成員是中介方的用戶賬號,其中,中介方的一個用戶組能夠與服務(wù)方相關(guān)聯(lián),其中���,用戶組與服務(wù)方關(guān)聯(lián)后�����,該用戶組內(nèi)被賦權(quán)的成員就能繼承具有該用戶組在服務(wù)方所具有的并且已經(jīng)向該成員賦權(quán)的權(quán)限�,其中,如果該用戶組具有接入一個服務(wù)方的相應(yīng)服務(wù)的權(quán)限�����,那么該用戶組內(nèi)被賦與相應(yīng)權(quán)利的成員就能夠通過中介方進行服務(wù)方認證并接入該服務(wù)方的相應(yīng)服務(wù),其中,用戶組的管理員對該用戶組的成員的添加���、刪除和賦權(quán)進行管理����。
2.根據(jù)權(quán)利要求1所述的一種具有用戶組的第三方認證系統(tǒng)或方法��,其特征在于,用戶組的管理員也可以是相關(guān)聯(lián)的服務(wù)方的管理員�,或者是在服務(wù)方注冊了用戶賬號或用戶組的用戶并且將服務(wù)方的用戶賬號或用戶組與中介方的用戶組相關(guān)聯(lián)����。
3.根據(jù)權(quán)利要求1所述的一種具有用戶組的第三方認證系統(tǒng)或方法,其特征在于��,用戶組管理員對用戶組成員的添加、刪除和賦權(quán)����,可以是管理員直接搜索中介方的用戶賬號進行添加再由該用戶賬號的用戶進行確認��,也可以是中介方的用戶向管理員提出請求再由管理員對請求進行確認。
4.根據(jù)權(quán)利要求1所述的一種具有用戶組的第三方認證系統(tǒng)或方法����,其特征在于,用戶組與服務(wù)方關(guān)聯(lián)后���,用戶組的成員可以不再在服務(wù)方進行注冊和關(guān)聯(lián)而能夠直接通過中介方進行服務(wù)方認證并接入已經(jīng)被用戶組賦權(quán)的服務(wù)方的相應(yīng)服務(wù)�。
5.根據(jù)權(quán)利要求1所述的一種具有用戶組的第三方認證系統(tǒng)或方法�,其特征在于����,用戶的服務(wù)方賬號和中介方賬號需要先相互關(guān)聯(lián),然后用戶才能通過中介方完成服務(wù)方認證并接入服務(wù)方的相應(yīng)服務(wù)�。
6.根據(jù)權(quán)利要求1所述的一種具有用戶組的第三方認證系統(tǒng)或方法�,其特征在于,用戶的服務(wù)方賬號和中介方賬號相互關(guān)聯(lián)后�����,服務(wù)方的用戶賬號和中介方的用戶賬號具有相互對應(yīng)關(guān)系,這種對應(yīng)關(guān)系具體由服務(wù)方和中介方雙方保存��。
7.根據(jù)權(quán)利要求1所述的一種具有用戶組的第三方認證系統(tǒng)或方法,其特征在于�����,用戶使用終端接入服務(wù)方相應(yīng)服務(wù)的具體步驟為:1>用戶終端上運行認證程序,用戶使用認證程序登錄中介方���,2>用戶在認證程序的界面上選擇請求接入服務(wù)方,3>中介方驗證認證程序是否保持運行����,只有該驗證通過才能進行下一步�����,4>用戶終端�、服務(wù)方和中介方完成服務(wù)方認證����,只有服務(wù)方認證通過才能進行下一步���,5>用戶接入服務(wù)方的相應(yīng)服務(wù)。
8.根據(jù)權(quán)利要求1所述的一種具有用戶組的第三方認證系統(tǒng)或方法��,其特征在于���,在用戶終端對服務(wù)方的接入中止后����,用戶終端需要重新通過中介方進行認證才能再接入服務(wù)方。
9.根據(jù)權(quán)利要求1所述的一種具有用戶組的第三方認證系統(tǒng)或方法����,其特征在于��,認證程序中止運行后�����,認證程序需要再次進行中介方認證后��,用戶終端才能再進行服務(wù)方認證����。
10.根據(jù)權(quán)利要求1所述的一種具有用戶組的第三方認證系統(tǒng)或方法��,該認證系統(tǒng)或方法具有以下特征中的一項或幾項: 1)用戶登錄中介方和認證程序通過中介方認證的這兩個步驟��,具體可以是同一步驟或是同時執(zhí)行的不同步驟或是不同時執(zhí)行的不同步驟�, 2)用戶終端在登錄中介方后���,中介方能向認證程序傳遞并在認證程序界面上顯示中介方的該用戶賬號已經(jīng)在中介方關(guān)聯(lián)的服務(wù)方或在服務(wù)方的用戶賬號�����,用戶能夠在認證程序的界面上進行操作來請求接入其中一個服務(wù)方的相應(yīng)服務(wù)或請求以用戶在一個服務(wù)方的一個用戶賬號來接入該服務(wù)方的相應(yīng)服務(wù), 3)中介方的該用戶賬號已經(jīng)在中介方關(guān)聯(lián)的服務(wù)方也包括了該中介方的用戶賬號所在的用戶組已經(jīng)向該用戶賬號賦權(quán)的服務(wù)方或服務(wù)方的相應(yīng)服務(wù), 4)所述認證程序界面上能顯示該用戶終端已經(jīng)通過中介方接入的服務(wù)方或服務(wù)方的相應(yīng)服務(wù)或在服務(wù)方的用戶賬號����,用戶可以在認證程序界面上中止對其中顯示的服務(wù)方或相應(yīng)服務(wù)或用戶賬號的接入�, 5)當用戶在認證程序界面上選擇中止認證程序界面上顯示的已通過中介方接入的服務(wù)方或服務(wù)方的相應(yīng)服務(wù)時��,認證程序會向中介方發(fā)出一個中止接入請求,中介方則會向相應(yīng)的服務(wù)方發(fā)出中止接入通知��,服務(wù)方收到中止接入通知后就會中止該用戶終端對該服務(wù)方或該服務(wù)方的相應(yīng)服務(wù)的接入�, 6)用戶終端在登錄中介方后����,中介方能向認證程序傳遞并在認證程序界面上顯示中介方的該用戶賬號已經(jīng)在中介方加入的用戶組���,用戶能夠在認證程序的界面上選擇退出其中的一個用戶組或者用戶組的管理員能夠在用戶組管理界面上選擇刪除用戶組的一個成員或者以上兩者均可, 7)用戶終端在登錄中介方后�,認證程序界面上能夠顯示或搜索可以與該中介方進行關(guān)聯(lián)的服務(wù)方或服務(wù)方的相應(yīng)服務(wù)��, 8)用戶終端在登錄中介方后��,用戶能夠在認證程序界面上直接注冊能關(guān)聯(lián)的一個服務(wù)方的用戶賬號并將該用戶賬號關(guān)聯(lián)到該用戶在中介方的用戶賬號, 9)用戶接入服務(wù)方的相應(yīng)服務(wù)的程序或程序?qū)ο蟛皇钦J證程序��, 10)在服務(wù)方認證中,用戶終端�、服務(wù)方和中介方會完成一個信息的閉合傳遞��,閉合傳遞的終點一方能夠驗證在閉合傳遞中的兩個信息是否都是由該閉合傳遞的同一起點生成的或發(fā)出的����, 11)不能由已知的用戶識別信息推知以后的��、或未知的����、或其它的��、或新的用戶識別信息��, 12)不能由已知用戶識別信息推知其它的或以后的服務(wù)方認證的用戶識別信息���, 13)用戶識別信息包含為該次服務(wù)方認證隨機生成的內(nèi)容或者包含該次服務(wù)方認證的時間和加密計算的信息��, 14)一個用戶識別信息只用于一次服務(wù)方認證���,15)每個用戶識別信息都有時間有效期,過期的用戶識別信息會失效和無法完成服務(wù)方認證, 16)用戶終端通過服務(wù)方認證后為接入服務(wù)方的相應(yīng)服務(wù)而與服務(wù)方建立的連接不經(jīng)過中介方��, 17)在服務(wù)方認證中用戶終端會向服務(wù)方轉(zhuǎn)發(fā)來自中介方的認證憑證���,或者,在服務(wù)方認證中用戶終端會通過服務(wù)方向中介方發(fā)送基于用戶終端與中介方兩者之間的約定算法計算生成的認證信息�,或者���,在服務(wù)方認證中用戶終端、服務(wù)方和中介方三者之間會閉合傳遞一個認證信息并由閉合傳遞的終點來驗證認證信息是否來自閉合傳遞的起點����,或者�����,在服務(wù)方認證中用戶終端會向服務(wù)方發(fā)送基于用戶終端與服務(wù)方兩者之間的約定算法計算生成的認證信息�, 18)中介方可以是由多個服務(wù)器或多個服務(wù)器群組一起組成的�����, 19)接入服務(wù)方的相應(yīng)服務(wù) 的結(jié)果是用戶終端會與服務(wù)方或通過服務(wù)方授信的一方建立連接�。
【文檔編號】H04L29/06GK103546290SQ201310460798
【公開日】2014年1月29日 申請日期:2013年10月8日 優(yōu)先權(quán)日:2013年10月8日
【發(fā)明者】任少華 申請人:任少華