具有特定關(guān)聯(lián)流程的第三方認證系統(tǒng)或方法
【專利摘要】本發(fā)明涉及一種具有特定關(guān)聯(lián)流程的第三方認證系統(tǒng)或方法�,其中����,用戶終端通過認證程序登錄中介方后��,可以通過中介方發(fā)送給服務(wù)方的關(guān)聯(lián)憑證方便地完成用戶在中介方的用戶賬號AUAC和用戶在服務(wù)方的賬號APAC這兩者的關(guān)聯(lián),其中,只有中介方和服務(wù)方都關(guān)聯(lián)成功,關(guān)聯(lián)才能成功完成���。
【專利說明】具有特定關(guān)聯(lián)流程的第三方認證系統(tǒng)或方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種具有特定關(guān)聯(lián)流程的第三方認證系統(tǒng)或方法�。
【背景技術(shù)】
[0002]許多互聯(lián)網(wǎng)提供的資源和服務(wù)的數(shù)量非常巨大并增長迅猛��,互聯(lián)網(wǎng)已經(jīng)成為人們獲取信息資源和信息服務(wù)的主要渠道,許多網(wǎng)上資源和服務(wù)提供方要求用戶進行登錄和驗證����,這就產(chǎn)生了便捷性和安全性的問題���。通過第三方或中介方的認證方法是一種解決這些問題的有效途徑�����。
【發(fā)明內(nèi)容】
[0003]本發(fā)明是這樣實現(xiàn)的���,一種具有特定關(guān)聯(lián)流程的第三方認證系統(tǒng)或方法��,其特征在于�,用戶使用終端通過服務(wù)方認證后該用戶終端才能接入服務(wù)方的相應(yīng)服務(wù)��,服務(wù)方認證通過中介方來完成,其中����,用戶登錄中介方后用戶終端上運行的一個認證程序能夠通過中介方認證�����,在認證程序通過中介方認證后用戶終端才能進行服務(wù)方認證,只有該認證程序或該認證程序啟動的一個程序?qū)ο驪RO仍然保持運行的條件下用戶終端才能通過服務(wù)方認證��,其中����,在進行服務(wù)方認證時中介方會向服務(wù)方直接發(fā)送或通過用戶終端轉(zhuǎn)發(fā)一個認證憑證,只有服務(wù)方收到正確的認證憑證后該服務(wù)方認證才能通過���,其中,在進行服務(wù)方認證時用戶終端會向服務(wù)方發(fā)送一個用戶識別信息,只有服務(wù)方收到正確的用戶識別信息時該服務(wù)方認證才能通過���,其中��,在服務(wù)方認證通過后�����,服務(wù)方會允許用戶終端的一個端口或連接接入服務(wù)方的相應(yīng)服務(wù)�����,該端口或連接就是用戶終端向服務(wù)方發(fā)送認證憑證或用戶識別信息的端口或連接�����,其中,在用戶使用終端通過中介方進行服務(wù)方認證前,用戶已經(jīng)分別在服務(wù)方和中介方注冊了用戶賬號并且已經(jīng)將這兩個賬號相關(guān)聯(lián)���,其中���,用戶在服務(wù)方注冊的用戶賬號為APAC����,用戶在中介方注冊的用戶賬號為AUAC���,其中,用戶關(guān)聯(lián)APAC和AUAC的過程和步驟為:1)用戶使用終端登錄中介方賬號AUAC并且終端上運行的認證程序通過中介方認證�����,2)用戶在認證程序界面上選擇要關(guān)聯(lián)的服務(wù)方��,3)用戶終端上運行的認證程序向中介方發(fā)送關(guān)聯(lián)請求,4)用戶終端的認證程序?qū)右粋€新程序或新生成一個瀏覽器對象或重定向一個瀏覽器對象或重定向認證程序自身���,5)用戶終端通過該新程序或該瀏覽器對象或認證程序向服務(wù)方發(fā)送關(guān)聯(lián)憑證�����,用戶還在該程序或該瀏覽器對象界面上輸入用戶在服務(wù)方的賬號APAC的用戶名和密碼,6)只有服務(wù)方驗證該關(guān)聯(lián)憑證和用戶名密碼都正確后�,服務(wù)方才會將AUAC和APAC在服務(wù)方進行關(guān)聯(lián),7)中介方也會完成AUAC和APAC在中介方的關(guān)聯(lián),其中�,只有服務(wù)方和中介方都關(guān)聯(lián)APAC和AUAC成功后��,該用戶的該APAC和該AUAC才成功完成關(guān)聯(lián)。
[0004]其中�,在用戶關(guān)聯(lián)APAC和AUAC的過程的步驟I)后��,還可以有步驟1.1):中介方向終端上的認證程序發(fā)送可以關(guān)聯(lián)賬號的服務(wù)方的列表。其中,該列表是按照用戶指定的條件進行篩選后的列表或按照默認條件篩選后的列表���。
[0005]其中����,在用戶關(guān)聯(lián)APAC和AUAC的過程的步驟I)中�,用戶登錄中介方賬號AUAC和認證程序通過中介方認證的這兩個步驟�����,具體可以是同一步驟或是同時執(zhí)行的不同步驟或是不同時執(zhí)行的不同步驟�。
[0006]其中,在用戶關(guān)聯(lián)APAC和AUAC的過程的步驟4)之前或之后����,還有步驟4.1):中介方向用戶終端發(fā)送關(guān)聯(lián)憑證��。其中�����,用戶終端從中介方接收關(guān)聯(lián)憑證的程序?qū)ο笫钦J證程序����、或認證程序啟動的一個新程序、或認證程序新生成的一個瀏覽器對象、或認證程序重定向的一個瀏覽器對象。
[0007]其中,在用戶關(guān)聯(lián)APAC和AUAC的過程的步驟6)后��,還可以有步驟6.1):服務(wù)方會直接或通過用戶終端向中介方發(fā)送服務(wù)方關(guān)聯(lián)成功的消息�����。其中��,只有中介方收到服務(wù)方關(guān)聯(lián)成功的消息后,中介方才會完成步驟7)����。
[0008]其中�����,用戶的一個APAC可以在服務(wù)方對應(yīng)具有多個用戶識別碼APID���。
[0009]其中,用戶的一個AUAC可以在中介方對應(yīng)具有多個用戶識別碼AUID�����。
[0010]其中���,關(guān)聯(lián)憑證中包含該用戶的AUAC或AUID���、服務(wù)方的識別信息���、中介方的識別信息、生成時間和中介方的數(shù)字簽名����。
[0011]其中����,關(guān)聯(lián)憑證中包含該用戶的AUAC或AUID����。
[0012]其中��,關(guān)聯(lián)憑證中包含服務(wù)方的識別信息��。其中��,服務(wù)方的識別信息是網(wǎng)絡(luò)地址、或域名、或名稱等等���。
[0013]其中���,關(guān)聯(lián)憑證中包含中介方的識別信息�。其中���,中介方的識別信息是網(wǎng)絡(luò)地址���、或域名�、或名稱等等����。
[0014]其中���,關(guān)聯(lián)憑證由中介方進行數(shù)字簽名�����,服務(wù)方具有與中介方的數(shù)字簽名相對應(yīng)公鑰并用該公鑰來驗證中介方的數(shù)字簽名。
[0015]其中�,服務(wù)方或中介方將APAC和AUAC相關(guān)聯(lián)具體是指:服務(wù)方或中介方將該用戶的該APAC (或該APAC相應(yīng)的APID)和該AUAC (或該AUAC對應(yīng)的AUID)相對應(yīng)地保存起來。
[0016]其中�,認證程序通過中介方認證����,具體是指:用戶使用認證程序通過中介方的身份認證或者認證程序通過已經(jīng)與中介方建立連接的另一個程序進行并通過中介方認證�。例如:用戶通過一個專用程序登錄中介方后該專用程序與中介方建立安全連接���,認證程序通過該安全連接進行并通過中介方認證(例如:認證程序、該專用程序和中介方三者閉合傳遞一個認證信息����,認證程序通過該閉合傳遞與中介方建立一個新連接并通過中介方認證)。
[0017]其中����,認證程序通過中介方認證的過程����,可以同時包括用戶使用終端通過中介方的身份認證和認證程序通過已經(jīng)與中介方建立連接的另一個程序進行并通過中介方認證�。例如:用戶使用專用程序登錄中介方并建立連接,認證程序基于該連接再通過中介方認證并建立認證程序與中介方之間的一個新連接——以上過程都包括在用戶終端進行一次中介方認證的過程中。
[0018]其中�,認證程序中止運行后����,認證程序需要再次進行中介方認證后�����,用戶終端才能再進行服務(wù)方認證��。
[0019]其中��,用戶終端在登錄中介方后�,中介方能向認證程序傳遞并在認證程序界面上顯示中介方的該用戶賬號AUAC已經(jīng)在中介方關(guān)聯(lián)的所有服務(wù)方或APAC或APID,用戶能夠在認證程序的界面上進行操作來請求接入其中一個服務(wù)方的相應(yīng)服務(wù)或請求以用戶在一個服務(wù)方的一個APAC或APID來接入該服務(wù)方的相應(yīng)服務(wù)。[0020]其中����,所述認證程序界面上能顯示該用戶終端已經(jīng)通過中介方接入的所有服務(wù)方或服務(wù)方的相應(yīng)服務(wù)或APAC或APID,用戶可以在認證程序界面上中止對其中顯示的服務(wù)方或相應(yīng)服務(wù)或APAC或APID的接入�����。
[0021]其中,用戶能夠在認證程序界面上選擇中止在認證程序界面上顯示的已經(jīng)通過中介方接入的所有的服務(wù)方或服務(wù)方的相應(yīng)服務(wù)或APAC或APID之中的一個或幾個或全部。
[0022]其中,當用戶在認證程序界面上選擇中止認證程序界面上顯示的已通過中介方接入的服務(wù)方或服務(wù)方的相應(yīng)服務(wù)或APAC或APID時,認證程序會向中介方發(fā)出一個中止接入請求�,中介方則會向相應(yīng)的服務(wù)方發(fā)出中止接入通知��,服務(wù)方收到中止接入通知后就會中止該用戶終端對該服務(wù)方或相應(yīng)服務(wù)或APAC或APID的接入�。
[0023]其中�����,用戶終端在登錄中介方后,中介方能向認證程序傳遞并在認證程序界面上顯示中介方的該用戶賬號AUAC已經(jīng)在中介方關(guān)聯(lián)的所有服務(wù)方或APAC或APID��,用戶能夠在認證程序的界面上選擇中止一個服務(wù)方或一個服務(wù)方的一個APAC或APID與該用戶在中介方的用戶賬號AUAC的關(guān)聯(lián)��。
[0024]其中�����,用戶終端在登錄中介方后�����,用戶能夠在認證程序界面上直接注冊能關(guān)聯(lián)的一個服務(wù)方的用戶賬號并將該用戶賬號關(guān)聯(lián)到該用戶在中介方的用戶賬號�。
[0025]其中�����,用戶終端在登錄中介方后�,認證程序界面上能夠顯示或搜索所有可以與該中介方進行關(guān)聯(lián)的服務(wù)方或服務(wù)方的相應(yīng)服務(wù)����。
[0026]其中,用戶接入服務(wù)方的相應(yīng)服務(wù)的程序或程序?qū)ο蟛皇钦J證程序�。其中�����,用戶接入服務(wù)方的相應(yīng)服務(wù)的程序或程序?qū)ο笫怯脩粼谡J證程序的界面上請求接入服務(wù)方后新運行的一個程序或程序?qū)ο蟆?br>
[0027]其中�����,用戶的服務(wù)方賬號APAC和中介方賬號AUAC需要先相互關(guān)聯(lián)�����,然后用戶才能通過中介方完成服務(wù)方認證并接入服務(wù)方的相應(yīng)服務(wù)�����。其中�����,用戶的服務(wù)方賬號是指用戶的服務(wù)方賬號或用戶的服務(wù)方賬號所在的服務(wù)方的用戶組。其中���,用戶的中介方賬號是指用戶的中介方賬號或用戶的中介方賬號所在的中介方的用戶組���。其中��,用戶的服務(wù)方賬號和中介方賬號相互關(guān)聯(lián)是指�����,用戶的服務(wù)方賬號或其所在的服務(wù)方的用戶組與用戶的中介方賬號或其所在的中介方的用戶組之間相互關(guān)聯(lián)��。
[0028]其中��,用戶的服務(wù)方賬號APAC和中介方賬號AUAC相互關(guān)聯(lián)后,服務(wù)方的用戶賬號和中介方的用戶賬號具有相互對應(yīng)關(guān)系,這種對應(yīng)關(guān)系具體由服務(wù)方和中介方雙方保存。
[0029]其中,用戶使用終端接入服務(wù)方相應(yīng)服務(wù)的具體步驟為:1>用戶終端上運行認證程序���,用戶使用認證程序登錄中介方����,2>用戶在認證程序的界面上選擇請求接入服務(wù)方,3>中介方驗證認證程序是否保持運行����,只有該驗證通過才能進行下一步�����,4>用戶終端、服務(wù)方和中介方完成服務(wù)方認證����,只有服務(wù)方認證通過才能進行下一步����,5>用戶接入服務(wù)方的相應(yīng)服務(wù)。
[0030]其中���,在用戶終端對服務(wù)方的接入中止后,用戶終端需要重新通過中介方進行服務(wù)方認證才能再接入服務(wù)方�����。
[0031 ] 其中����,不能由已知的用戶識別信息推知以后的�、或未知的�����、或其它的、或新的用戶識別息�����。
[0032]其中�����,不能由已知用戶識別信息推知其它的或以后的服務(wù)方認證的用戶識別信
肩、O[0033]其中�����,用戶識別信息包含為該次服務(wù)方認證隨機生成的內(nèi)容或者包含該次服務(wù)方認證的時間和加密計算的信息�。例如:用戶識別信息包含該信息的生成時間并進行數(shù)字簽名���。
[0034]其中��,一個用戶識別信息只用于一次服務(wù)方認證。
[0035]其中����,每個用戶識別信息都有時間有效期�����,過期的用戶識別信息會失效和無法完成服務(wù)方認證��。
[0036]其中��,中介方直接向服務(wù)方發(fā)送認證憑證時,用戶識別信息與認證憑證可以具有可驗證的對應(yīng)關(guān)系�。其中�����,服務(wù)方會驗證用戶識別信息與認證憑證這兩者是否相對應(yīng),不對應(yīng)的話就不能通過服務(wù)方認證�����。例如:用戶識別信息和認證憑證中可以都包括用戶在服務(wù)方的用戶名或同一隨機數(shù)���。又例如:認證憑證是公鑰而用戶識別信息是用對應(yīng)私鑰計算生成的信息�。
[0037]其中,中介方通過用戶終端向服務(wù)方轉(zhuǎn)發(fā)認證憑證時��,用戶識別信息與認證憑證兩者可以是同一信息或兩者包含在同一信息中���。例如:所述的認證憑證是中介方先發(fā)送給用戶終端,用戶終端再將認證憑證和用戶識別信息一起發(fā)送給服務(wù)方�。又例如:認證憑證是由中介方發(fā)送給用戶終端再由用戶終端發(fā)送給服務(wù)方的,該認證憑證中包含用戶在服務(wù)方的用戶名和隨機數(shù),而用戶在服務(wù)方的用戶名和隨機數(shù)就是用戶識別信息。
[0038]其中,用戶識別信息中可以包含該用戶在服務(wù)方的賬號的信息����。其中,用戶識別信息中可以包含關(guān)于服務(wù)方的信息�����。
[0039]其中,只有認證程序保持運行時,用戶終端才能發(fā)送用戶識別信息�����。其中�,用戶識別信息是由認證程序生成的或發(fā)送的�。
[0040]其中���,用戶終端通過服務(wù)方認證后為接入服務(wù)方的相應(yīng)服務(wù)而與服務(wù)方建立的連接不經(jīng)過中介方����。
[0041]其中���,在服務(wù)方認證中用戶終端會向服務(wù)方轉(zhuǎn)發(fā)來自中介方的認證憑證��,或者,在服務(wù)方認證中用戶終端會通過服務(wù)方向中介方發(fā)送基于用戶終端與中介方兩者之間的約定算法計算生成的認證信息����,或者����,在服務(wù)方認證中用戶終端、服務(wù)方和中介方三者之間會閉合傳遞一個認證信息并由閉合傳遞的終點來驗證認證信息是否來自閉合傳遞的起點,或者��,在服務(wù)方認證中用戶終端會向服務(wù)方發(fā)送基于用戶終端與服務(wù)方兩者之間的約定算法計算生成的認證信息。
[0042]其中,在服務(wù)方認證中用戶終端會通過服務(wù)方向中介方發(fā)送基于用戶終端與中介方兩者之間的約定算法計算生成的認證信息。其中�����,所述約定算法是加密解密算法�。其中�����,在用戶使用終端上的認證程序登錄中介方后,中介方和用戶終端會分別具有所述約定算法的一對密鑰中的一個����。其中,一對密鑰是非對稱加密的一對密鑰����。其中���,用戶終端具有該對密鑰中的私鑰,中介方具有該對密鑰中的公鑰����。其中���,只有中介方以該公鑰驗證該認證信息正確�,服務(wù)方認證才能通過���。
[0043]其中���,在服務(wù)方認證中用戶終端�����、服務(wù)方和中介方三者之間會閉合傳遞一個認證信息并由閉合傳遞的終點來驗證認證信息是否來自閉合傳遞的起點��。其中�����,只有閉合傳遞成功完成了�����,服務(wù)方認證才能通過。
[0044]其中����,中介方與服務(wù)方擁有相對應(yīng)的約定算法��,服務(wù)方能夠通過擁有的約定算法驗證收到的認證憑證是否正確。其中���,所述約定算法可以是加密解密算法����、或數(shù)字簽名算法����、或單向函數(shù)算法、或動態(tài)密碼算法等等��。其中,服務(wù)方擁有中介方的公鑰�����,中介方擁有與該公鑰相對應(yīng)的私鑰。
[0045]其中�����,在服務(wù)方認證中用戶終端會向服務(wù)方發(fā)送基于用戶終端與服務(wù)方兩者之間的約定算法計算生成的認證信息。其中,所述約定算法是加密解密算法。其中����,在用戶使用終端上的認證程序登錄中介方后����,中介方和用戶終端會分別具有所述約定算法的一對密鑰中的一個。其中,一對密鑰是非對稱加密的一對密鑰��。其中,用戶終端具有該對密鑰中的私鑰��,中介方具有該對密鑰中的公鑰�。其中��,在服務(wù)方認證中�����,服務(wù)方會收到與用戶終端的私鑰相對應(yīng)的公鑰���,用戶終端則會將基于私鑰計算生成的認證信息發(fā)往服務(wù)方,服務(wù)方會根據(jù)收到的公鑰來驗證從用戶終端收到的認證信息是否正確����,只有認證信息正確時服務(wù)方認證才能通過���。
[0046]其中,用戶在服務(wù)方和中介方分別具有用戶賬號,服務(wù)方的用戶賬號和中介方的用戶賬號具有相互對應(yīng)關(guān)系�。這種對應(yīng)關(guān)系可以是一對一�����、或一對多、或多對一的對應(yīng)關(guān)系����。其中�,一對一的對應(yīng)關(guān)系例如:用戶首先注冊有中介方的用戶賬號,然后用戶通過中介方的用戶賬號直接注冊服務(wù)方的用戶賬號�,用戶在服務(wù)方的用戶賬號就是在注冊服務(wù)方時由中介方傳遞給服務(wù)方的用戶在中介方的用戶賬號或用戶識別碼,而用戶通過中介方注冊服務(wù)方的用戶賬號的同時也將用戶在兩方的用戶賬號相關(guān)系。其中,一對多的對應(yīng)關(guān)系例如:用戶在中介方擁有多個用戶賬號,這些用戶賬號對應(yīng)于用戶在服務(wù)方的同一個用戶賬號。其中,多對一的對應(yīng)系例如:用戶在服務(wù)方擁有多個用戶賬號,這些用戶賬號對應(yīng)于用戶在中介方的同一個用戶賬號����。
[0047]其中�����,在服務(wù)方認證中,用戶終端�����、服務(wù)方和中介方會完成一個信息的閉合傳遞����,閉合傳遞的終點一方能夠驗證在閉合傳遞中的兩個信息是否都是由該閉合傳遞的同一起點生成的或發(fā)出的。例如:在中介方生成一個隨機字符串作為認證憑證�����,中介方將字符串直接發(fā)送給服務(wù)方����,同時���,中介方通過用戶終端中轉(zhuǎn)向服務(wù)方發(fā)送字符串��,服務(wù)方通過比對收到的兩個字符串是否相同為驗證認證是否正確����。
[0048]其中�,用戶終端接入服務(wù)方的相應(yīng)服務(wù)所建立的連接不經(jīng)過中介方。
[0049]其中���,認證憑證可以由中介方直接發(fā)送給服務(wù)方��。其中,直接發(fā)送的路由不經(jīng)過用戶終端。其中�,所述直接發(fā)送的方式不經(jīng)過用戶終端��。例如:該認證憑證包括一個公鑰,用戶終端的認證程序具有對應(yīng)的私鑰�����,服務(wù)方通過該密鑰對的對應(yīng)關(guān)系驗證所述認證憑證是否正確�����。
[0050]其中�����,認證憑證可以是中介方通過用戶終端轉(zhuǎn)發(fā)給服務(wù)方��。例如:該認證憑證包括中介方的數(shù)字簽名����,服務(wù)方通過該數(shù)字簽名驗證該認證憑證是否正確��。
[0051]其中,認證憑證還包括關(guān)于生成時間的信息,超過有效期的認證憑證會失效����。
[0052]其中�����,當認證程序中止運行時用戶終端對服務(wù)方的接入也會中止��。認證程序在中止時,中介方會通知服務(wù)方中止用戶終端對服務(wù)方的接入�,用戶終端登錄服務(wù)方的程序?qū)ο笸V惯\行。
[0053]其中���,用戶終端��、服務(wù)方和中介方通過互聯(lián)網(wǎng)相連接��。其中����,三方的信息傳遞通過互聯(lián)網(wǎng)來進行。
[0054]其中,認證憑證可以是一個信息�,也可以是由兩個分別發(fā)送的信息組成�����。
[0055]其中�,所述的接入���,具體是指登錄或連接。[0056]其中����,服務(wù)方可以是通過互聯(lián)網(wǎng)向用戶終端提供資源和服務(wù)的計算機系統(tǒng)或網(wǎng)站
坐寸O
[0057]其中���,中介方是在互聯(lián)網(wǎng)上進行第三方認證的計算機系統(tǒng)���。
[0058]其中�,終端���、服務(wù)方和中介方是具有計算機功能的設(shè)備����,如:PC機�、手機�����、服務(wù)器�����、服務(wù)器群組等。
[0059]其中�,中介方可以是由多個服務(wù)器或多個服務(wù)器群組一起組成的。其中����,中介方的角色或功能可以是由多個服務(wù)器或多個服務(wù)器群組分別承擔(dān)的�。例如:用戶終端登錄中介方的服務(wù)器A�,用戶終端與中介方的服務(wù)器B保持連接�����,用戶終端從中介方的服務(wù)器C獲取臨時憑證,用戶終端從中介方的服務(wù)器D以臨時憑證換取認證憑證,用戶終端以認證憑證去登錄服務(wù)方�。
[0060]其中,組成中介方的不同服務(wù)器或不同服務(wù)器群組的網(wǎng)絡(luò)地址可以是不同的��。其中�����,組成中介方的不同服務(wù)器或不同服務(wù)器群組可以是分屬于不同的運營方的���。
[0061]其中�,接入服務(wù)方的相應(yīng)服務(wù)的結(jié)果是用戶終端會與服務(wù)方或通過服務(wù)方授信的一方建立連接。例如:用戶終端向服務(wù)方發(fā)送認證憑證����,服務(wù)方向用戶終端返回一個服務(wù)方憑證�����,用戶終端以服務(wù)方憑證再登錄服務(wù)方授信的另一方。
【專利附圖】
【附圖說明】
[0062]圖1是本發(fā)明實施例1的網(wǎng)絡(luò)結(jié)構(gòu)示意圖���。
【具體實施方式】
[0063]實施例1
[0064]用戶終端是一臺計算機,服務(wù)方包括三個網(wǎng)站:電子商務(wù)網(wǎng)站A����、搜索網(wǎng)站B和即時通訊網(wǎng)站Q�����,中介方是第三方認證提供方���。
[0065]用戶使用終端在中介方和服務(wù)方注冊并通過中介方登錄服務(wù)方的用戶賬號的流程如下:
[0066]I)注冊賬號和關(guān)聯(lián)賬號:
[0067]1.1)用戶在分別在A����、B����、Q三個網(wǎng)站上注冊新用戶賬號AID、BID����、QID ;
[0068]1.2)用戶在中介方AU下載認證程序客戶端�����,并使用認證程序客戶端注冊在中介方的用戶賬號AUAC。
[0069]1.3)用戶在終端上運行認證程序并使用認證程序登錄中介方賬號AUAC�����,用戶在認證程序界面的搜索框中搜索可以與中介方關(guān)聯(lián)的服務(wù)方A��、B���、Q�����,中介方從認證程序收到搜索請求后在中介方的服務(wù)器數(shù)據(jù)庫中搜索A、B、Q并向認證程序返回搜索結(jié)果�����;
[0070]1.4)用戶在認證程序界面上選擇關(guān)聯(lián)服務(wù)方A�,用戶終端上運行的認證程序向中介方發(fā)送關(guān)聯(lián)請求�����,
[0071]1.5)中介方向用戶終端的認證程序發(fā)送關(guān)聯(lián)憑證,關(guān)聯(lián)憑證中包括用戶在中介方的賬號AUAC���、中介方標識����、生成時間和數(shù)字簽名����,
[0072]1.6)用戶終端的認證程序?qū)右粋€新程序或新生成一個瀏覽器對象或重定向一個瀏覽器對象�����,并通過該新程序或瀏覽器對象向服務(wù)方發(fā)送關(guān)聯(lián)憑證,用戶還在該程序或該瀏覽器對象的界面上輸入登錄AID的用戶名和密碼���,[0073]1.7)只有服務(wù)方驗證該關(guān)聯(lián)憑證和用戶名密碼都正確后���,服務(wù)方才會將AUAC和AID在服務(wù)方進行關(guān)聯(lián)并向中介方發(fā)送關(guān)聯(lián)成功的消息����,該消息中包括AUAC和AID,
[0074]1.8)中介方收到服務(wù)方關(guān)聯(lián)成功的消息后��,中介方也會完成AUAC和AID在中介方的關(guān)聯(lián)����,
[0075]其中,只有中介方和服務(wù)方都成功進行關(guān)聯(lián)后�����,該用戶的AID和AUAC才成功相關(guān)聯(lián)����。
[0076]其中,用戶還會采用與以上相同的步驟將BID和QID也與AUAC分別關(guān)聯(lián)起來�����。
[0077]2)登錄服務(wù)方的相應(yīng)服務(wù):
[0078]2.1)用戶在終端上運行認證程序���,并使用認證程序登錄中介方��;
[0079]2.2)中介方向認證程序返回數(shù)據(jù)�,其中包括:用戶已經(jīng)關(guān)聯(lián)的服務(wù)方A�、B、Q和服務(wù)方的用戶賬號AID����、BID���、QID0
[0080]2.3)用戶在認證程序界面上選擇分別以AID登錄A �����;
[0081]2.4)用戶終端���、服務(wù)方A和中介方AU進行關(guān)于服務(wù)方A的服務(wù)方認證:a�����、中介方以問答響應(yīng)驗證認證程序是否保持運行�����,只有認證程序保持運行才進行下一步����,b�、中介方分別以直接和通過用戶終端的方式向服務(wù)方A發(fā)送認證憑證���,服務(wù)方收到認證憑證后核對兩個認證憑證是否相同,其中���,通過用戶終端發(fā)送的認證憑證包含在用戶終端向服務(wù)方發(fā)送的用戶識別信息中����,該用戶識別信息還包括用戶在服務(wù)方的賬號����、中介方名稱和服務(wù)方名稱����,只有認證憑證和用戶識別信息都正確的條件下才進行下一步����,C�����、用戶終端通過服務(wù)方認證;
[0082]2.5)用戶終端通過服務(wù)方A的服務(wù)方認證后,就能以AID接入所請求的服務(wù)方的相應(yīng)服務(wù)�;
[0083]2.6)用戶還可以通過重復(fù)以上2.3)和2.4)兩步來登錄服務(wù)方B和Q。
[0084]3)用戶終端中止對服務(wù)方的相應(yīng)服務(wù)的登錄:
[0085]3.1)用戶終端上的認證程序會顯示所有該終端的用戶已經(jīng)通過中介方接入的服務(wù)方和相應(yīng)服務(wù)����,
[0086]3.2)用戶在認證程序的界面上選擇中止一個已接入服務(wù)方或相應(yīng)服務(wù)�����,認證程序向中介方發(fā)送中止接入的請求而中介方向服務(wù)方發(fā)送中止接入的請求����,服務(wù)方收到中介方發(fā)來的中止接入的請求就會中止該用戶終端對服務(wù)方或相應(yīng)服務(wù)的接入����。
[0087]3.3)當認證程序在用戶終端上中止運行時,認證程序也會向中介方發(fā)出一個中止接入請求����,中介方會向該用戶終端接入的所有服務(wù)方發(fā)出通知來中止該用戶終端對所有服務(wù)方和相應(yīng)服務(wù)的接入���,或者��,當中介方未能收到認證程序的心跳響應(yīng)或問答響應(yīng)時也會中止該用戶終端對所有服務(wù)方和相應(yīng)服務(wù)的接入�。
[0088]4)用戶中止對在中介方的用戶賬號與服務(wù)方的用戶賬號的關(guān)聯(lián):
[0089]4.1)用戶終端在登錄中介方后���,中介方能向認證程序傳遞并在認證程序界面上顯示中介方的該用戶賬號已經(jīng)在中介方關(guān)聯(lián)的所有服務(wù)方或所有在服務(wù)方的用戶賬號�����,
[0090]4.2)用戶能夠在認證程序的界面上選擇中止一個服務(wù)方或一個服務(wù)方的一個用戶賬號與該用戶在中介方的用戶賬號的關(guān)聯(lián)。
[0091]實施例2
[0092]本實施例的第一部分I)注冊賬號和關(guān)聯(lián)賬號�����,與實施例1相同���,以下是第2)部分���。
[0093]2)登錄服務(wù)方的相應(yīng)服務(wù):
[0094]2.1)用戶在終端上運行專用程序�����,使用專用程序登錄中介方并且專用程序與中介方之間建立SSL連接�����;
[0095]2.2)用戶在專用程序界上面操作來選擇啟動一個瀏覽器對象,此瀏覽器對象就是本實施例中的認證程序,專用程序生成一個對稱加密的密鑰(連接密鑰)并將連接密鑰分別發(fā)送給認證程序和中介方��;
[0096]2.3)認證程序(瀏覽器對象)連接中介方的專用地址并向中介方發(fā)送以得到的連接密鑰進行數(shù)字簽名的信息�,中介方也以收到的連接密鑰對收到的信息進行驗證,如果正確則中介方和認證程序以連接密鑰建立加密連接,至此用戶終端和認證程序通過了中介方認證;
[0097]2.3)中介方向認證程序返回數(shù)據(jù)���,其中包括:用戶已經(jīng)關(guān)聯(lián)的服務(wù)方A、B����、Q和服務(wù)方的用戶賬號AID���、BID���、QID0
[0098]2.3)用戶在認證程序界面上選擇分別以AID登錄A �����;
[0099]2.4)用戶終端����、服務(wù)方A和中介方AU進行關(guān)于服務(wù)方A的服務(wù)方認證:a�����、中介方以問答響應(yīng)驗證認證程序是否保持運行,只有認證程序保持運行才進行下一步����,b、中介方分別以直接和通過用戶終端的方式向服務(wù)方A發(fā)送認證憑證,服務(wù)方收到認證憑證后核對兩個認證憑證是否相同����,其中�����,通過用戶終端發(fā)送的認證憑證包含在用戶終端向服務(wù)方發(fā)送的用戶識別信息中���,該用戶識別信息還包括用戶在服務(wù)方的賬號�����、中介方名稱和服務(wù)方名稱����,只有認證憑證和用戶識別信息都正確的條件下才進行下一步��,C�����、用戶終端通過服務(wù)方認證;
[0100]2.5)用戶終端通過服務(wù)方A的服務(wù)方認證后����,認證程序或認證程序啟動的一個程序?qū)ο驪RO就能以AID接入所請求的服務(wù)方的相應(yīng)服務(wù)��。
[0101]在實施例2中��,認證程序通過中介方認證的過程是:認證程序通過已經(jīng)與中介方建立連接的另一個程序進行并通過中介方認證�����,或者是����,同時包括用戶使用終端通過中介方的身份認證和認證程序通過已經(jīng)與中介方建立連接的另一個程序進行并通過中介方認證。
[0102]實施例3
[0103]本實施例的第一部分I)注冊賬號和關(guān)聯(lián)賬號,與實施例1相同����,以下是第2)部分��。
[0104]2)登錄服務(wù)方指定的相應(yīng)服務(wù):
[0105]2.1)用戶在終端上運行認證程序����,并使用認證程序登錄中介方的用戶賬號AUID ��;
[0106]2.2)用戶在認證程序界面上操作選擇啟動瀏覽器對象BRO(也就是程序?qū)ο驪RO)���,在啟動瀏覽器對象BRO時,認證程序生成一對基于RSA的認證密鑰對(其中包括認證私鑰和認證公鑰)�,其中認證程序在瀏覽器對象BRO啟動時將該認證私鑰作為參數(shù)發(fā)送給瀏覽器對象BR0,認證程序?qū)⒄J證公鑰發(fā)送給中介方���;
[0107]2.3)瀏覽器對象將經(jīng)認證私鑰進行數(shù)字簽名的接入請求發(fā)送給中介方���,中介方以從認證程序收到的認證公鑰對該信息進行驗證��,在驗證通過后該瀏覽器對象BRO才通過了中介方認證并從而能接入中介方����,瀏覽器對象BRO和中介方還可以通過該認證密鑰對建立SSL加密連接����;
[0108]2.4)中介方根據(jù)用戶在瀏覽器對象BRO上的操作選擇向瀏覽器對象BRO返回已經(jīng)與用戶的中介方賬號AUID相關(guān)聯(lián)的服務(wù)方賬號AID�����、BID和QID �����;
[0109]2.5)用戶在瀏覽器對象BRO的界面上點擊AID的鏈接來選擇接入AID ����;
[0110]2.6)瀏覽器對象BRO向中介方發(fā)送接入AID的請求,其中包括用戶在服務(wù)方的AID ����;
[0111]2.7)中介方收到接入AID的請求后�,中介方生成一個認證憑證,該認證憑證中包含用戶在服務(wù)方的賬號AID����、中介方標識、服務(wù)方標識��、認證公鑰和基于中介方私鑰的數(shù)字簽名,中介方將認證憑證發(fā)送給瀏覽器對象BRO ���;
[0112]2.8)瀏覽器對象BRO對自己進行重定向��,將自己定向到服務(wù)方A的地址,并將認證憑證轉(zhuǎn)發(fā)給服務(wù)方A���,其中,在本實施例中認證憑證也同時就是用戶識別信息����;
[0113]2.9)服務(wù)方收到認證憑證后,以中介方公鑰對該信息進行驗證���,驗證正確后����,服務(wù)方以認證公鑰同瀏覽器對象BRO建立SSL加密連接,最終,用戶終端的瀏覽器對象BRO成功接入服務(wù)方的指定的相應(yīng)服務(wù)����。
【權(quán)利要求】
1.一種具有特定關(guān)聯(lián)流程的第三方認證系統(tǒng)或方法,其特征在于,用戶使用終端通過服務(wù)方認證后該用戶終端才能接入服務(wù)方的相應(yīng)服務(wù)����,服務(wù)方認證通過中介方來完成�����,其中,用戶登錄中介方后用戶終端上運行的一個認證程序能夠通過中介方認證���,在認證程序通過中介方認證后用戶終端才能進行服務(wù)方認證�����,只有該認證程序或該認證程序啟動的一個程序?qū)ο驪RO仍然保持運行的條件下用戶終端才能通過服務(wù)方認證���,其中����,在進行服務(wù)方認證時中介方會向服務(wù)方直接發(fā)送或通過用戶終端轉(zhuǎn)發(fā)一個認證憑證,只有服務(wù)方收到正確的認證憑證后該服務(wù)方認證才能通過�����,其中����,在進行服務(wù)方認證時用戶終端會向服務(wù)方發(fā)送一個用戶識別信息,只有服務(wù)方收到正確的用戶識別信息時該服務(wù)方認證才能通過�,其中,在 服務(wù)方認證通過后��,服務(wù)方會允許用戶終端的一個端口或連接接入服務(wù)方的相應(yīng)服務(wù),該端口或連接就是用戶終端向服務(wù)方發(fā)送認證憑證或用戶識別信息的端口或連接,其中,在用戶使用終端通過中介方進行服務(wù)方認證前����,用戶已經(jīng)分別在服務(wù)方和中介方注冊了用戶賬號并且已經(jīng)將這兩個賬號相關(guān)聯(lián)�,其中����,用戶在服務(wù)方注冊的用戶賬號為APAC,用戶在中介方注冊的用戶賬號為AUAC,其中,用戶關(guān)聯(lián)APAC和AUAC的過程和步驟為:I)用戶使用終端登錄中介方賬號AUAC并且終端上運行的認證程序通過中介方認證��,2)用戶在認證程序界面上選擇要關(guān)聯(lián)的服務(wù)方,3)用戶終端上運行的認證程序向中介方發(fā)送關(guān)聯(lián)請求�����,4)用戶終端的認證程序?qū)右粋€新程序或新生成一個瀏覽器對象或重定向一個瀏覽器對象或重定向認證程序自身,5)用戶終端通過該新程序或該瀏覽器對象或認證程序向服務(wù)方發(fā)送關(guān)聯(lián)憑證�����,用戶還在該程序或該瀏覽器對象界面上輸入用戶在服務(wù)方的賬號APAC的用戶名和密碼���,6)只有服務(wù)方驗證該關(guān)聯(lián)憑證和用戶名密碼都正確后���,服務(wù)方才會將AUAC和APAC在服務(wù)方進行關(guān)聯(lián)���,7)中介方也會完成AUAC和APAC在中介方的關(guān)聯(lián)����,其中,只有服務(wù)方和中介方都關(guān)聯(lián)APAC和AUAC成功后��,該用戶的該APAC和該AUAC才成功完成關(guān)聯(lián)。
2.根據(jù)權(quán)利要求1所述的具有特定關(guān)聯(lián)流程的第三方認證系統(tǒng)或方法���,其特征在于���,在用戶關(guān)聯(lián)APAC和AUAC的過程的步驟I)后,還可以有步驟1.1):中介方向終端上的認證程序發(fā)送用戶指定的該用戶可以關(guān)聯(lián)賬號的服務(wù)方的列表�。
3.根據(jù)權(quán)利要求1所述的具有特定關(guān)聯(lián)流程的第三方認證系統(tǒng)或方法,其特征在于���,在用戶關(guān)聯(lián)APAC和AUAC的過程的步驟4)之前或之后,還有步驟4.1):中介方向用戶終端發(fā)送關(guān)聯(lián)憑證�����。
4.根據(jù)權(quán)利要求1所述的具有特定關(guān)聯(lián)流程的第三方認證系統(tǒng)或方法����,其特征在于�����,在用戶關(guān)聯(lián)APAC和AUAC的過程的步驟6)后����,還可以有步驟6.1):服務(wù)方會直接或通過用戶終端向中介方發(fā)送服務(wù)方關(guān)聯(lián)成功的消息��,其中����,只有中介方收到服務(wù)方關(guān)聯(lián)成功的消息后��,中介方才會完成步驟7)。
5.根據(jù)權(quán)利要求1所述的具有特定關(guān)聯(lián)流程的第三方認證系統(tǒng)或方法�����,其特征在于���,關(guān)聯(lián)憑證中包含該用戶的AUAC或AUID、服務(wù)方的識別信息�����、中介方的識別信息���、生成時間和中介方的數(shù)字簽名。
6.根據(jù)權(quán)利要求1所述的具有特定關(guān)聯(lián)流程的第三方認證系統(tǒng)或方法��,其特征在于,用戶終端在登錄中介方后���,中介方能向認證程序傳遞并在認證程序界面上顯示中介方的該用戶賬號AUAC已經(jīng)在中介方關(guān)聯(lián)的所有服務(wù)方或APAC或APID���,用戶能夠在認證程序的界面上進行操作來請求接入其中一個服務(wù)方的相應(yīng)服務(wù)或請求以用戶在一個服務(wù)方的一個APAC或APID來接入該服務(wù)方的相應(yīng)服務(wù)����。
7.根據(jù)權(quán)利要求1所述的具有特定關(guān)聯(lián)流程的第三方認證系統(tǒng)或方法�����,其特征在于���,所述認證程序界面上能顯示該用戶終端已經(jīng)通過中介方接入的所有服務(wù)方或服務(wù)方的相應(yīng)服務(wù)或APAC或APID���,用戶可以在認證程序界面上中止對其中顯示的服務(wù)方或相應(yīng)服務(wù)或APAC或APID的接入����。
8.根據(jù)權(quán)利要求1所述的具有特定關(guān)聯(lián)流程的第三方認證系統(tǒng)或方法���,其特征在于��,用戶能夠在認證程序界面上選擇中止在認證程序界面上顯示的已經(jīng)通過中介方接入的所有的服務(wù)方或服務(wù)方的相應(yīng)服務(wù)或APAC或APID之中的一個或幾個或全部�。
9.根據(jù)權(quán)利要求1所述的具有特定關(guān)聯(lián)流程的第三方認證系統(tǒng)或方法�����,其特征在于�,當用戶在認證程序界面上選擇中止認證程序界面上顯示的已通過中介方接入的服務(wù)方或服務(wù)方的相應(yīng)服務(wù)或APAC或APID時��,認證程序會向中介方發(fā)出一個中止接入請求,中介方則會向相應(yīng)的服務(wù)方發(fā)出中止接入通知����,服務(wù)方收到中止接入通知后就會中止該用戶終端對該服務(wù)方或相應(yīng)服務(wù)或APAC或APID的接入�。
10.根據(jù)權(quán)利要求1所述的具有特定關(guān)聯(lián)流程的第三方認證系統(tǒng)或方法���,其特征在于�,該系統(tǒng)或方法具有以下特征中的一項或幾項: 1)用戶終端在登錄中介方后,中介方能向認證程序傳遞并在認證程序界面上顯示中介方的該用戶賬號AUAC已經(jīng)在中介方關(guān)聯(lián)的所有服務(wù)方或APAC或APID����,用戶能夠在認證程序的界面上選擇中止一個服務(wù)方或一個服務(wù)方的一個APAC或APID與該用戶在中介方的用戶賬號AUAC的關(guān)聯(lián)���, 2)用戶終端在登錄中介方后,用戶能夠在認證程序界面上直接注冊能關(guān)聯(lián)的一個服務(wù)方的用戶賬號并將該用戶賬號關(guān)聯(lián)到該用戶在中介方的用戶賬號�, 3)用戶終端在登錄中介方后,認證程序界面上能夠顯示或搜索所有可以與該中介方進行關(guān)聯(lián)的服務(wù)方或服務(wù)方的相應(yīng)服務(wù)�����, 4)用戶接入服務(wù)方的相應(yīng)服務(wù)的程序或程序?qū)ο蟛皇钦J證程序����, 5)不能由已知的用戶識別信息推知以后的、或未知的���、或其它的���、或新的用戶識別信息��, 6)不能由已知用戶識別信息推知其它的或以后的服務(wù)方認證的用戶識別信息, 7)用戶識別信息包含為該次服務(wù)方認證隨機生成的內(nèi)容或者包含該次服務(wù)方認證的時間和加密計算的信息, 8)一個用戶識別信息只用于一次服務(wù)方認證�, 9)認證程序通過中介方認證����,具體是指:用戶使用認證程序通過中介方的身份認證或者認證程序通過已經(jīng)與中介方建立連接的另一個程序進行并通過中介方認證�����, 10)認證程序通過中介方認證的過程��,可以同時包括用戶使用終端通過中介方的身份認證和認證程序通過已經(jīng)與中介方建立連接的另一個程序進行并通過中介方認證�����, 11)認證程序中止運行后����,認證程序需要再次進行中介方認證后,用戶終端才能再進行服務(wù)方認證��。
【文檔編號】H04L29/06GK103546462SQ201310460814
【公開日】2014年1月29日 申請日期:2013年10月8日 優(yōu)先權(quán)日:2013年10月8日
【發(fā)明者】任少華 申請人:任少華