专利名称:认证门户的制作方法
技术领域:
本发明涉及一种认证门户。
背景技术:
数字证书可以有效地提高用户身份认证的安全性,尤其是可移动介质数字证书。 但是,不同数字证书颁发机构向用户发布不同的数字证书并不能通用,这就导致用户在不 同应用中需要使用不同数字证书,使数字证书的使用不便捷和高成本。
发明内容
本发明采用一种认证门户,来解决以上提到的问题。本发明是这样实现的,一种认证门户,包括用户方、服务方和认证门户,其中,用户 方在通过服务方认证后能使用服务方的指定的服务或资源,服务方通过认证门户对用户方 进行服务方认证,当用户方通过认证门户认证后用户方才能通过服务方认证,不同的服务 方可以通过同一认证门户对同一用户方进行服务方认证,其特征在于用户方以用户数字 证书通过认证门户认证,认证门户能够对不同数字证书颁发机构发布的用户数字证书进行 认证。一种认证门户,包括用户方、服务方、认证门户和数字证书认证点,其特征在于用 户方在通过服务方认证后能使用服务方的指定的服务或资源,用户方以用户数字证书通过 服务方认证,服务方通过认证门户对用户数字证书进行认证,认证门户通过数字证书认证 点对用户数字证书进行认证,其中,每个用户数字证书可以由至少一个相对应的数字证书 认证点进行认证,其中,认证门户会找到对该用户数字证书进行认证的对应数字证书认证 点,其中,不同的服务方可以通过同一认证门户对同一用户方进行服务方认证。一种认证门户,包括用户方、服务方和认证门户,其特征在于用户方在通过服务 方认证后能使用服务方的指定的服务或资源,用户方以用户数字证书通过服务方认证,服 务方通过认证门户对用户数字证书进行认证,其中,有多个认证门户,每个用户数字证书可 以由相对应的认证门户进行认证,其中,用户在进行服务方认证前会在服务方登记该用户 数字证书相对应的认证门户,在进行服务方认证时服务方会找到对应认证门户对该用户数 字证书进行认证,其中,不同的服务方可以通过同一认证门户对同一用户方进行服务方认 证。其中,所述的数字证书认证点可以对该用户数字证书进行认证的机构。例如该用 户数字证书的颁发机构,或该用户数字证书的使用机构,或第三方认证机构,或其它任何可 以对该用户数字证书进行认证的机构。其中,认证门户与服务方拥有相对应的约定算法,服务方能够通过拥有的约定算 法对认证门户进行验证。其中,认证门户具有一个私钥,服务方能够取得与该私钥相对应的公钥,服务方能 够通过该密钥对的对应关系对认证门户进行验证。例如,认证门户以私钥进行数字签名的方式产生验证凭证,服务方可以获得认证门户私钥对应的公钥并以公钥对验证凭证进行验 证。其中,所述用户数字证书存储于可移动外设中或可移动IC中。其中,所述认证门户具有所述的不同数字证书颁发机构发布的用户数字证书的认 证算法。其中,所述用户数字证书是用户拥有的可用来对用户进行身份认证的算法、密钥 或动态密码。其中,用户方需要或不需要将自己在服务方注册的可以直接在服务方完成接入认 证的用户名和密码发送给或保存在认证门户。其中,服务方能够识别出服务方认证是否是 由认证门户参与完成的。其中,用户方、服务方和认证门户通过互联网相连接。其中,三方的信息传递通过 互联网来进行。其中,所述约定算法可以是加密解密算法、或数字签名算法、或单向函数算法、或 动态密码算法等等。例如所述约定算法为基于RSA+SHA的数字签名算法,认证门户拥有 RSA私钥和特定SHA,服务方可以取得认证门户私钥对应的RSA公钥和特定SHA,认证门户生 成包括用户方AUID、生成时间和服务方域名的字符串并进行数字签名,该字符串和其数字 签名就构成了用户方通过认证门户认证的凭证,认证门户将该凭证以整体通过用户方发送 给服务方,或者认证门户将该凭证的字符串和数字签名两部分信息分别以通过和不通过用 户方的路径发送给服务方,服务方收到该凭证后以RSA公钥+特定SHA验证该凭证中字符 串与其数字签名是否匹配,如果匹配则确认凭证正确。其中,用户方与服务方之间的信息传递可以经过或不经过认证门户,或者服务方 允许用户方接入而建立的连接可以经过或不经过认证门户。其中,用户方具有可移动外设,只有在该可移动外设与用户方终端通过有线或无 线的方式相连接通讯在条件下,用户方才能通过认证门户认证。其中,可移动外设可以是可 移动IC。其中,可移动外设连接于终端的具体方式为有线连接或无线连接,如USB接口、蓝 牙无线接口、红外连接、IC卡接口等等。其中,用户方可移动外可以通过有线或无线接口与 不同的终端相连接。其中,与用户方可移动外设相连接的终端就是用户方终端。例如用户 方拥有USB接口的IC,该IC中存储着私钥,通过在IC上以该私钥进行计算来完成认证门户 认证。例如用户方终端是智能手机,用户方外设为TF接口密钥IC。其中,在进行服务方认证之前,用户方已经通过了服务方的一次简单认证。这次认 证可以通过登陆密码的方式进行,可以防止恶意爆发登陆请求等问题。其中,服务方能够分别与其余两方通过有线或无线的方式相互连接通讯。其中,用户方能够分别与其余两方通过有线或无线的方式相互连接通讯。其中,在用户方对服务方的指定的服务或资源的接入中止后,用户方需要重新通 过认证门户进行服务方认证才能再接入。其中,所述的三方对信息的传递也可以都通过用户方进行。其中,用户方也可以同样的方式通过认证门户对服务方进行认证,即终端和服务 方在以上连接认证过程中所执行的步骤进行对换,终端就可以对服务方完成认证。其中,所述连接认证的过程应该是由所述三方系统上运行的程序通过计算机网络完成的。其中,服务方可以是通过互联网向用户方提供资源和服务的服务器系统,如各种 网站等。服务方也可以是在互联网上的其它用户的终端,在对所述用户方的认证通过后,所 述用户方的终端就会被允许接入到该其它用户的终端的指定的服务或资源。其中,服务方的指定的资源或服务可以是文件资源、浏览器服务、多媒体资源或服 务、音视频连接、即时通讯对话服务、搜索服务、网上帐户操作服务、网上交易服务等等。对 于服务方,具体例如网络游戏运营商、网上论坛、即时通讯工具服务商、资源下载站点、网 上银行、网上商店等等。其中,认证门户是在互联网上进行第三方认证的计算机系统。其中,用户方是具有计算机功能的设备,如PC机、手机、服务器、服务器群组等。其中,用户在服务方系统中具有用户识别码(APID),用户在认证门户系统中也具 有用户识别码(AUID),APID与AUID存在对应关系。其中,该对应关系由服务方系统或者认 证门户系统所掌握。其中,所述用户识别码是由任何符号组成的序列。例如APID和AUID 可以是用户方在服务方和认证门户的用户名或是服务方和认证门户为用户方生成的序列 号。又如AUID可以是APID+服务方名称或地址。其中,服务方对应保存着用户方的APID 与用户方权限。其中,服务方与认证门户之间、或认证门户与终端之间、或服务方与用户方之间的 通讯信路可以是加密的,如采用SSL方式建立的连接。其中,在服务方认证中用户方会请求用户确认,只有当用户在用户方确认后服务 方认证才会继续进行。其中,用户方会显示所有用户已经通过认证并建立接入的服务方列表。其中,用户 可在用户方上中止用户方对某个第三方的已经认证建立的接入。其中,同一用户方在请求同一服务方的不同资源和服务时可以进行多次服务方认 证。例如用户方在网上商店中具有浏览和支付两个功能,用户接入浏览时进行一次服务方 认证,当用户进行网上购物时还需再进行一次服务方认证。其中,认证门户能够分别与其余两方通过有线或无线的方式相互连接通讯。其中,不同的用户可以使用同一用户方终端进行服务方认证。其中,同一用户可以 使用不同用户方终端进行服务方认证。其中,用户方与服务方之间的信息传递经过认证门户,或者服务方允许用户方接 入而建立的连接经过认证门户。其中,所述服务方指定的服务和资源可以是内容服务、电子商务、电子支付、网络 购物等等。
图1、2、3分别为以下实施例1、2、3的步骤示意图。
具体实施例方式以下实施例1、2、3分别对应发明内容中的3种发明方案。实施例1
本施例的具体步骤为1.预备阶段1. 1认证门户获取不同数字证书颁发机构发布的用户数字证书;1. 2用户将认证门户与各服务方关联起来;2.认证阶段2. 1用户方向服务方请求认证;2. 2服务方将用户方请求转接至认证门户;2. 3用户方的用户以数字证书通过认证门户的认证;2. 4认证门户将用户方的认证结果通知服务方;2. 5服务方检查收到认证结果,如果正确就允许用户方使用指定的服务或资源否 则中止。其中,用户方与认证门户之间的通讯是通过或者不通过服务方的。其中,用户数字证书存储于可移动介质中或可移动IC中。其中,用户数字证书在 可移动IC中进行计算。实施例2本施例的具体步骤为1.预备阶段1. 1用户在认证门户进行登记,认证门户对该用户的数字证书认证点进行记录;1. 2用户将认证门户与各服务方关联起来;2.认证阶段2. 1用户方向服务方请求认证;2. 2服务方将用户方请求转接至认证门户;2. 3认证门户将用户方请求再转接至该用户对应的数字证书认证点;2. 4用户方的用户以数字证书通过相对应的数字认证书认证点的认证;2. 5数字证书认证点通过认证门户将认证结果通知服务方;2. 6服务方检查收到认证结果,如果正确就允许用户方使用指定的服务或资源否 则中止。其中,用户方与认证门户间的通讯是通过或者不通过服务方的。其中,用户方与数字证书认证点之间的通讯是通过或不通过服务方和认证门户进 行的。其中,用户方与数字证书认证点之间的通讯是通过或不通过服务方或认证门户进 行的。其中,用户数字证书存储于可移动介质中或可移动IC中。其中,用户数字证书在 可移动IC中进行计算。实施例3本施例的具体步骤为1.预备阶段1. 1用户在服务方进行登记,服务方对该用户的认证门户进行记录;1. 2用户将认证门户与各服务方关联起来;
6
2.认证阶段2. 1用户方向服务方请求认证;2. 2服务方将用户方请求再转接至该用户对应的认证门户;2. 3用户方的用户以数字证书通过相对应的认证门户的认证;2. 4认证门户将认证结果通知服务方;2. 5服务方检查收到认证结果,如果正确就允许用户方使用指定的服务或资源否 则中止。其中,用户方与认证门户间的通讯是通过或者不通过服务方的。其中,用户数字证书存储于可移动介质中或可移动IC中。其中,用户数字证书在 可移动IC中进行计算。当然,本发明还可根据具体情况或结合其它系统方法而产生许多其它实施例。
权利要求
一种认证门户,包括用户方、服务方和认证门户,其中,用户方在通过服务方认证后能使用服务方的指定的服务或资源,服务方通过认证门户对用户方进行服务方认证,当用户方通过认证门户认证后用户方才能通过服务方认证,不同的服务方可以通过同一认证门户对同一用户方进行服务方认证,其特征在于用户方以用户数字证书通过认证门户认证,认证门户能够对不同数字证书颁发机构发布的用户数字证书进行认证。
2.一种认证门户,包括用户方、服务方、认证门户和数字证书认证点,其特征在于用 户方在通过服务方认证后能使用服务方的指定的服务或资源,用户方以用户数字证书通过 服务方认证,服务方通过认证门户对用户数字证书进行认证,认证门户通过数字证书认证 点对用户数字证书进行认证,其中,每个用户数字证书可以由至少一个相对应的数字证书 认证点进行认证,其中,认证门户会找到对该用户数字证书进行认证的对应数字证书认证 点,其中,不同的服务方可以通过同一认证门户对同一用户方进行服务方认证。
3.—种认证门户,包括用户方、服务方和认证门户,其特征在于用户方在通过服务方 认证后能使用服务方的指定的服务或资源,用户方以用户数字证书通过服务方认证,服务 方通过认证门户对用户数字证书进行认证,其中,有多个认证门户,每个用户数字证书可以 由相对应的认证门户进行认证,其中,用户在进行服务方认证前会在服务方登记该用户数 字证书相对应的认证门户,在进行服务方认证时服务方会找到对应认证门户对该用户数字 证书进行认证,其中,不同的服务方可以通过同一认证门户对同一用户方进行服务方认证。
4.根据权利要求2所述的认证门户,其特征在于,所述的数字证书认证点是可以对该 用户数字证书进行认证的机构。
5.根据权利要求1或2或3所述的认证门户,其特征在于,认证门户与服务方拥有相对 应的约定算法,服务方能够通过拥有的约定算法对认证门户进行验证。
6.根据权利要求1或2或3所述的认证门户,其特征在于,认证门户具有一个私钥,服 务方能够取得与该私钥相对应的公钥,服务方能够通过该密钥对的对应关系对认证门户进 行验证。
7.据权利要求1或2或3所述的认证门户,其特征在于,所述用户数字证书存储于可移 动外设中或可移动IC中。
8.根据权利要求1所述的认证门户,其特征在于,所述认证门户具有所述的不同数字 证书颁发机构发布的用户数字证书的认证算法。
9.根据权利要求1或2或3所述的认证门户,其特征在于,所述用户数字证书是用户拥 有的可用来对用户进行身份认证的算法、密钥或动态密码。
全文摘要
本发明采用一种认证门户,来解决不同机构发布的用户数字证书无法通用的问题。在本发明中,认证门户统一认证用户的不同来源的数字证书。
文档编号H04L29/06GK101924634SQ20101019573
公开日2010年12月22日 申请日期2010年6月9日 优先权日2009年6月10日
发明者任少华 申请人:任少华