专利名称:安全的网络认证系统和方法
技术领域:
本发明涉及一种安全的网络认证系统和方法。
背景技术:
许多互联网提供的资源和服务的数量非常巨大并增长迅猛,互联网已经成为人们获取信息资源和信息服务的主要渠道,许多网上资源和服务提供方要求用户进行登录和验证,这就出现了一些问题。首先,每个网络服务方都采用不同的登录信息,登录信息繁多难记。其次,简单的用户名加密码的方式也存在着安全性太低的问题,满足不了很多网上应用的需要。通过第三方或中介方的认证方法是一种解决以上问题的有效途径,但是现有的第三方(中介方)认证的解决方案都存在一些缺陷。例如,有的解决方案是用户将在网上资源的用户名和密码保存在一个固定的网上认证服务方,用户登录该网上资源时由网上认证服务方以用户的用户名和密码自动完成网上资源的登录,这种方式虽然便捷,但是仍然采用固定不变的用户名和密码的方式向网上资源登录,用户需要将自己在每个资源站点注册的用户名和密码记录在门户中,安全性得不到保证。又例如,有的解决方案采用终端用户在通过网上认证服务方的身份认证后,发送一个具有时间有效期的用户认证信息保存在用户终端的COOKIE中,在终端连接服务方时网上认证服务方会检查终端保存的用户认证信息并通知网络服务方。这种方式里由于在用户停止使用终端后终端中仍会保存着有效的用户认证信息,导致认证确认信息可能被盗用,另外这类解决方案在有些禁用COOKIE的终端环境里无法使用。又例如,有的解决方案通过其它通信终端进行认证。但是在这种方案里,用户的其它通信终端不能自动识别认证信息从而主动参与传递过程,因此,这样的解决方案不安全和不便捷,如不能实现经过一次第三方认证就可接入不同的服务方资源;不能实现在第三方的认证中止时用户对服务方的接入也中止;不能结合其它第三方认证方式(IC密钥等)来加强安全性;只能通过传递小位数的字符串进行认证而且不能在传递中对传递的信息进行计算变化;等等。又例如,有的解决方案通过第三方传递用户终端的IP地址的方式来实现,但存在一些局限性,如有些NAT环境中内网用户无法获取其程序对象的其外部IP地址;认证程序无法获取或监听其它程序的IP地址;等等。另外,采用可移动IC密钥的方式来进行认证是一种非常好的增强网络认证安全的方式,这种方式已经得到了很多的应用,如网上银行等。但是,如果每一个网上应用都发行各自的可移动IC进行认证,不仅成本高而且用户使用非常不便。此外,现有的互联网上两方之间基于已建立连接来建立一个新连接的方法(如 SessionID和IP地址传送)存在安全性和局限性的问题=SessionID是不变的;某些NAT限制了 IP地址传送。
发明内容
针对以上提到的目前第三方认证方式的不足,本发明采用创新的第三方的身份认证系统和方法来解决以上提到的问题。
本发明是这样实现的,一种安全的网络认证系统和方法,其中,包括用户方、服务方和中介方,三方中至少有一方能够分别与其余两方通过有线或无线的方式相互连接通讯,用户方在通过服务方认证后能接入服务方的指定的服务或资源,服务方通过中介方对用户方进行服务方认证,当用户方通过中介方认证后用户方才能通过服务方认证,不同的服务方可以通过同一中介方对同一用户方进行服务方认证,其特征在于在用户方通过中介方的中介方认证后用户方运行的认证程序将会保持与中介方的有效的认证连接或者保持有效的认证标识,当用户方请求接入服务方时要进行服务方认证,在服务方认证中,如果所述的认证连接或认证标识有效那么中介方就会将该用户方的验证凭证以经过或不经过用户方的方式发送给服务方,只有当服务方收到并验证该验证凭证正确后服务方认证才会通过,在服务方认证通过后服务方就会根据用户方权限响应用户方的接入请求,其中,只要认证程序中止运行那么该认证程序的认证连接或认证标识就会失效,其中,所述的验证凭证是一个以整体发送的信息或者是由两个分别发送的信息构成的,其中,用户方不需要将自己在服务方注册的可以直接在服务方完成接入认证的用户名和密码发送给或保存在中介方。其中,如果认证连接或认证标识无效,那么中介方就会中止认证过程,服务方对用户方的认证就会失败。其中,用户方每次重新与服务方建立连接时都需要进行服务方认证。其中,当认证程序中止运行时用户方对服务方的指定的服务或资源的接入也会中止。认证程序在中止时,可以通知服务方中止接入,也可以中止用户方接入服务方的程序对象的运行。其中,用户方被允许接入服务方的指定服务或资源的程序对象不是认证程序。用户方接入服务方的具体程序对象是非认证程序的其它程序对象,这些其它程序对象可以是用户启动的,也可以是认证程序在用户方启动的。其中,用户方、服务方和中介方通过互联网相连接。其中,三方的信息传递通过互联网来进行。其中,验证凭证中,或者包含关于生成时间的信息,或者包含由服务方或中介方生成的随机信息。例如在每次服务方认证过程中,服务方会首先会生成一个随机序列并发送给中介方,中介方在向服务方发送的凭证中会加入该随机序列,服务方收到凭证后会核对该随机序列,只有当该随机序列正确的情况下该凭证才是正确的。又例如凭证的内容包含有凭证的生成时间并进行数字签名。又例如凭证的内容中包含着由中介方生成的随机数,该随机数与用户方AUID、凭证生成时间和服务方域名构成一个字符串,该字符串和该随机数两信息构成该凭证,该字符串和该随机数分别以经过和不经过用户方的路由发送给服务方,服务方收到两个信息后会对比字符串中的随机数与单独的随机数是否相同,只有两个随机数相同时该凭证才是正确的。其中,中介方发出的用户方的验证凭证的内容无法由前一个该中介方发出的该用户方的验证凭证推知。例如该验证凭证包含随机生成的信息,或者该验证信息是对包含时间的信息的数字签名,等等。
其中,每个验证凭证只能完成一次服务方认证。例如服务方在用户方接入后又收到该用户方的验证凭证,则服务方不会接收该验证凭证,此外,这种情况下服务方其中中止用户方的当前接入以要求用户方再次进行服务方认证。其中,认证连接或认证标识或验证凭证还有时间有效期,过期的认证连接或认证标识或验证凭证会失效。其中,认证标识的有效期可以由用户方在认证程序上设定,也可以由中介方设定。认证程序可以在认证标识要过期时提示用户进行中介方认证刷新认证标识,或者可以自动进行中介方认证以刷新认证标识。例如中介方认证依赖于用户方密钥, 只要用户方密钥连接或保存于用户方终端则认证程序可以自动进行中介方认证。其中, 所述的认证标识不能由先前的认证标识推导得出。其中,所述的认证标识也可以保存在与用户方终端相连接的可移动外设或可移动IC上。其中,中介方与服务方拥有相对应的约定算法,服务方能够通过拥有的约定算法验证收到的验证凭证是否正确。其中,用户方通过中介方认证的凭证可以是由两部分信息组成的,服务方能够通过拥有的约定算法判断凭证中的两部分信息是否相匹配,如果相匹配则凭证是由中介方发出的或是正确的。其中,所述约定算法可以是加密解密算法、或数字签名算法、或单向函数算法、或动态密码算法等等。例如所述约定算法为基于RSA+SHA的数字签名算法,中介方拥有RSA 私钥和特定SHA,服务方可以取得中介方私钥对应的RSA公钥和特定SHA,中介方生成包括用户方AUID、生成时间和服务方域名的字符串并进行数字签名,该字符串和其数字签名就构成了用户方通过中介方认证的凭证,中介方将该凭证以整体通过用户方发送给服务方, 或者中介方将该凭证的字符串和数字签名两部分信息分别以通过和不通过用户方的路径发送给服务方,服务方收到该凭证后以RSA公钥+特定SHA验证该凭证中字符串与其数字签名是否匹配,如果匹配则确认凭证正确。其中,所述的验证凭证不是用户方的网络地址,所述的验证凭证的验证不是通过对比用户方的网络地址实现的。所述凭证的验证不基于网络地址或IP地址,这样就适合于更多的应用场合(如一些NAT应用中),而且,这样可以实现对凭证的验证从而提高安全性。其中,用户方与服务方之间的信息传递不经过中介方,或者服务方允许用户方接入而建立的连接不经过中介方。其中,中介方具有一个秘钥,服务方对验证凭证的验证是通过该密钥进行的,该密钥为一对非对称加密密钥中的私钥或一个对称加密密钥。例如以下实施例中所述,中介方以私钥进行数字签名的方式产生验证凭证,服务方可以获得中介方私钥对应的公钥并以公钥对验证凭证进行验证。其中,验证凭证或者是由一个信息构成,或者是由两个分别发送的信息组成。当凭证由两个信息构成时,这两个信息可以是相同的或是不同的。其中,两个信息可以由相同的路由或不同的路由进行发送。其中,服务方以得到的这两个信息构成的凭证来判断服务方认证是否通过。其中,所述的认证连接或认证标识的有效是指该认证连接或认证标识存在并正确,所述的认证连接或认证标识的失效是指该认证连接或认证标识或者不存在,或者被删除,或者不正确。例如在认证程序中止时该认证程序会通知中介方,则中介方会知道该认证程序的认证连接或认证标识失效了,则此后中介方就认为该认证连接或认证标识不正确。
其中,用户方的认证程序和保存认证标识的方式不是标准浏览器的Cookie方式。 其中,认证程序可以不是标准浏览器,认证标识的保存方式也可以不是Cookie的方式。认证程序可以是标准浏览器加上专门的认证功能执行模块来构成,或者是专门的认证功能执行程序。其中,认证程序也可以是标准浏览器,而认证标识的保存方式是以会话Cookie的方式进行保存。这时,由于标准浏览器功能的限制,用户需要通过从认证程序的界面中选择需要登陆的服务方来请求接入服务方。其中,服务方确认凭证正确后服务方会允许来自用户方终端的一个连接或端口接入指定的服务或资源,该连接或端口是用户方向服务方转发凭证的那个端口或连接。其中,所述的用户方请求接入服务方,具体是用户方直接向服务方发出接入请求或者用户方向中介方发出接入服务方的请求。其中,用户方可以直接在服务方界面上请求接入,用户方也可以在认证程序界面上请求对服务方的接入。其中,所述认证连接是在用户方通过中介方认证后用户方运行的认证程序与中介方建立的会话连接。在这种应用中,为保证安全性该SessionID可以具有随机性和足够多的位数,如=SessionID为1024位的不重复的随机序列。其中,认证标识为一个随机长字符串,或一个加密的字符串,或一个加密密钥,或一个动态密码算法,或一个单向函数等等。其中,认证标识可以是认证程序与中介方建立会话的 SessionID。其中,在服务方认证中,用户方的认证程序会向中介方发送关于认证标识的信息以使中介方对认证标识和用户方进行验证,当验证正确后中介方会将验证凭证以经过或不经过用户方的方式发送给服务方。其中,所述的关于认证标识的信息或者是认证标识本身,或者与认证标识具有可验证的数学对应关系的信息。例如认证标识是一对非对称密钥中的一个或者是一个对称密钥,中介方拥有该对非对称密钥中的另一个或者也拥有该对称密钥,认证程序以认证标识的密钥对特定信息进行加密或数字签名并将加密信息或数字签名发送给中介方(中介方也拥有该特定信息,例如,该特定信息为系统当前时间或中介方生成并向用户方发送的随机信息),该加密信息或数字签名就是关于认证标识的信息,中介方以拥有的密钥对该加密信息或数字签名进行验证,如果正确则验证通过。其中,在用户方通过中介方认证后,用户方也可以在认证程序不中止驻留运行的情况下使认证连接或认证标识失效。其中,该用户方拥有可移动外设,只有在该可移动外设与用户方终端通过有线或无线的方式相连接通讯在条件下,用户方才能通过中介方认证。其中,可移动外设连接于终端的具体方式为有线连接或无线连接,如USB接口的数据线、蓝牙无线接口、红外连接等等。其中,用户方可移动外可以通过有线或无线接口与不同的终端相连接。其中,与用户方可移动外设相连接的终端就是用户方终端。例如用户方拥有USB接口的IC,该IC中存储着私钥,通过在IC上以该私钥进行计算来完成中介方认证。其中,在进行服务方认证之前,用户方已经通过了服务方的一次简单认证。这次认证可以通过登陆密码的方式进行,可以防止恶意爆发登陆请求等问题。
其中,服务方能够分别与其余两方通过有线或无线的方式相互连接通讯。其中,用户方能够分别与其余两方通过有线或无线的方式 相互连接通讯。其中,在用户方对服务方的指定的服务或资源的接入中止后,用户方需要重新通过中介方进行服务方认证才能再接入。其中,认证程序与两个不同地址或不同域名的外部对象都进行信息传递不会导致认证连接或认证标识失效,该信息传递或者是认证程序识别并接收来自服务方或中介方的信息,或者是认证程序向服务方或中介方发送信息。其中,所述的三方对信息的传递也可以都通过用户方进行。其中,用户方也可以同样的方式通过中介方对服务方进行认证,S卩终端和服务方在以上连接认证过程中所执行的步骤进行对换,终端就可以对服务方完成认证。其中,所述连接认证的过程应该是由所述三方系统上运行的程序通过计算机网络完成的。其中,服务方可以是通过互联网向用户方提供资源和服务的服务器系统,如各种网站等。服务方也可以是在互联网上的其它用户的终端,在对所述用户方的认证通过后,所述用户方的终端就会被允许接入到该其它用户的终端的指定的服务或资源,例如本发明可用于即时通讯系统中两个用户终端建立两个终端间点对点连接的握手过程。其中,服务方的指定的资源或服务可以是文件资源、浏览器服务、多媒体资源或服务、音视频连接、即时通讯对话服务、搜索服务、网上帐户操作服务、网上交易服务等等。对于服务方,具体例如网络游戏运营商、网上论坛、即时通讯工具服务商、资源下载站点、网上银行、网上商店、已接入即时通信系统(如MSN)的一个终端等等。其中,中介方是在互联网上进行第三方认证的计算机系统。其中,用户方终端、服务方和中介方是具有计算机功能的设备,如PC机、手机、月艮务器、服务器群组等。其中,用户方在服务方系统中具有用户识别码(APID),用户方在中介方系统中也具有用户识别码(AUID),APID与AUID存在对应关系。其中,该对应关系由服务方系统或者中介方系统所掌握。其中,所述用户识别码是由任何符号组成的序列。例如APID和AUID 可以是用户方在服务方和中介方的用户名或是服务方和中介方为用户方生成的序列号。又如AUID可以是APID+服务方名称或地址。其中,服务方对应保存着用户方的APID与用户方权限。其中,服务方与中介方之间、或中介方与终端之间、或服务方与用户方之间的通讯信路可以是加密的,如采用SSL方式建立的连接。其中,中介方认证可以通过不同方式来进行,例如用户名密码的方式、可移动IC 的方式、通过用户方其它终端返馈认证号码的方式等等。其中,本发明可以通过在即时通讯终端或浏览器的客户端软件上加载专门的模块来实现,这时,认证程序就是该即时通讯终端或浏览器的客户端软件。本发明可以和本发明人已经申请的其它方案相结合从而构成新的方案,包括 可以结合基于认证信息的闭合传递的方案来完成服务方认证(“通过第三方的身份认证系统和方法”,专利申请号=200810056123. 1),还可以结合用户方与中介方拥有对应约定算法的方式完成服务方认证(“基于约定算法的第三方认证系统和方法”,专利申请号200810114706. 5)。例如以下应用方案服务方能够验证中介方的数字签名,用户方通过中介方认证后用户方就与中介方建立了会话,在服务方认证过程中,中介方生成的一个带有数字签名的信息并分别以经过和不经过用户方的方式发送给服务方,服务方收到的两个的信息就是用户通过认证的凭证,服务方对比两个信息并验证数字签名,只有两个信息相同而且数字签名正确时凭证才会是正确的。上例中,中介方发出的验证凭证就是所谓的闭合传递的信息。再例如以下应用方案服务方能够验证中介方的数字签名,用户方通过中介方认证后中介方就会向用户方发送一个DES密钥作为认证标识,在服务方认证过程中,首先服务方向用户方和中介方分别发送同一个随机序列,用户方以该DES密钥加密随机序列并将加密信息发送给中介方,中介方解密得到随机序列并将之与从服务方收到的进行对比, 如果两个随机序列相同则认证标识有效,如果认证标识有效则中介方就以用户方AUID和生成时 间等构成一个序列并进行数字签名然后将该序列和数字签名一起发送服务方。上例中,在所谓闭合传递完成后中介方向服务方发出验证凭证,中介方发出的验证凭证不是所谓的闭合传递的信息。本发明采用一种安全的网络认证系统和方法使服务方通过中介方对用户方进行认证,认证方法可靠、安全、便捷。
图1、图2、图3分别为实施例1、实施例2、实施例3的流程示意图。
具体实施例方式实施例III. 1本施例中,中介方拥有权威机构颁发的数字证书,服务方可以利用该数字证书验证中介方的数字签名,用户方以用户名和登陆密码的方式通过中介方认证,认证程序为用户方从中介方下载的专用程序。本施例的具体步骤为用户在终端上运行认证程序,该认证程序自动与中介方建立SSL连接,用户在该认证程序中输入AUID和密码进行登陆,该认证程序向中介方发送用户的AUID和密码,中介方核对用户名和密码,如果正确则继续进行以下步骤否则中止,中介方将该用户方的AUID、该SSL的ID和当前系统时间相对应保存起来(用户方保存的该 SSL的DES密钥就是认证标识),当用户需要接入某个服务方的资源时,用户可以在认证程序界面上选择该服务方资源的链接或输入该服务方资源的地址,认证程序将用户方AUID 和该服务方资源的地址以SSL连接发送给中介方(服务方资源地址和AUID的SSL加密信息就是关于认证标识的信息),在中介方从SSL连接收到AUID后如果中介方核对AUID正确并且时间未过有效期则继续进行以下步骤否则中止,中介方以当前系统时间、用户方的 AUID和服务方资源的地址构成一个序列并对该序列进行数字签名(该序列及其数字签名就是验证凭证),中介方将凭证发送给用户方的认证程序,用户终端上运行的认证程序建立一个新的指向为服务方资源地址的浏览器对象并将凭证以表单方式提交,服务方收到凭证后如果验证凭证的数字签名正确而且凭证生成时间未过有效期则继续以下步骤否则中止, 服务方根据用户方的AUID得到APID和用户方权限,如果用户方权限允许那么服务方就允许用户终端的浏览器接入该服务方资源,当认证程序中止驻留运行时认证程序会中止与中介方的SSL连接。另外,认证程序还可以记录建立的每个浏览器,当认证程序中止驻留运行时也可以同时关闭自己建立的所有浏览器窗口。实施例III. 2本施例中,中介方拥有权威机构颁发的数字证书,服务方可以利用该数字证书验证中介方的数字签名,用户方以用户名和登陆密码的方式通过中介方认证,认证程序为一浏览器。本施例的具体步骤为用户在终端上运行一浏览器对象并输入中介方地址(该浏览器对象作为认证程序),中介方与该浏览器建立基于SSL连接的会话,其中,中介方生成一个1024位的随机序列作为与该用户方浏览器建立的会话的SessionID,用户在中介方推出的界面上输入AUID和密码进行登陆,中介方核对AUID和密码,如果正确则继续进行以下步骤否则中止,中介方将该用户方的AUID、SessionID和当前系统时间相对应地保存起来, 当用户需要接入某个服务方的资源时,用户可以在该浏览器里由中介方推出的界面上选择该服务方资源的链接或输入该服务方资源的地址,浏览器将该服务方资源的地址和AUID 通过已建立的会话连接发送给中介方,如果中介方找到匹配的SessionID和AUID并且时间未过有效期则继续进行以下步骤否则中止,中介方以当前系统时间、用户方的AUID和服务方资源的地址构成一个序列并对该序列进行数字签名(该序列及其数字签名就是用户方通过中介方认证的凭证),中介方通过用户终端上运行的浏览器建立一个新的指向服务方资源地址的浏览器对象或将该浏览器重定向至并将凭证以表单方式提交,服务方收到凭证后如果验证凭证的数字签名正确而且凭证生成时间未过有效期则继续以下步骤否则中止, 服务方根据用户方的AUID得到APID和用户方权限,如果用户方权限允许则服务方允许用户终端的浏览器接入该服务方资源,当作为认证程序的浏览器进行重定向或者中止运行时就会失去该浏览器的SessionID并中止与中介方的会话(即认证连接)。实施例III. 3本施例中,服务方预先已知中介方的固定IP地址,用户方以用户名和登陆密码的方式通过中介方认证,认证程序为用户方从中介方下载的专用程序。 本施例的具体步骤为用户在终端上运行认证程序,认证程序与中介方建立会话而且SessionID是中介方生成的1024位的随机序列,用户在该认证程序中输入用户名和密码进行登陆,该认证程序向中介方发送用户的用户名和密码,中介方核对用户名和密码,如果正确则继续进行以下步骤否则中止,中介方根据用户方的用户名得到该用户方的AUID, 中介方将该用户方的AUID、与用户方认证程序建立的会话的SessionID和当前系统时间相对应地保存起来,当用户需要接入某个服务方的资源时,用户打开一个新的浏览器并输入该服务方资源的地址,用户方在服务方的界面上输入用户方在服务方的用户名,服务方根据用户方在服务方的用户名得到该用户方的APID,服务方将生成一个1024位的随机数,月艮务方将随机数和该用户方的APID起保存起来并同时发送给中介方,中介方根据该APID得到用户方的AUID,中介方根据AUID找到与用户方认证程序建立的会话,如果该会话未过期则中介方将收到的随机数和服务方资源地址发送给用户方认证程序(该随机数就是验证凭证),用户方认证程序在用户方终端上运行的浏览器对象中寻找指向该服务方资源的,如果没找到就建立一个新的指向该服务方资源的浏览器对象,认证程序将用户方在服务方的用户名和该随机数一起以表单的形式通过找到的或新建立的浏览器对象发送给服务方,月艮务方收到后找到用户方APID和生成的随机数,如果核对收到的随机数正确并且未过期则继续以下步骤否则中止,服务方根据用户方APID得到用户方权限,如果用户方权限允许则服务方允许用户终端的浏览器接入该服务方资源,当认证程序中止驻留运行时认证程序会中止与中介方的会话。 另外,认证程序 还可以记录建立的每个浏览器,当认证程序中止驻留运行时也可以同时关闭接入服务方的所有浏览器窗口。
权利要求
1.一种安全的网络认证系统或方法,其中,包括用户方、服务方和中介方,三方中至少有一方能够分别与其余两方通过有线或无线的方式相互连接通讯,用户方在通过服务方认证后能接入服务方的指定的服务或资源,服务方通过中介方对用户方进行服务方认证,当用户方通过中介方认证后用户方才能通过服务方认证,不同的服务方可以通过同一中介方对同一用户方进行服务方认证,其特征在于在用户方通过中介方的中介方认证后用户方运行的认证程序将会保持与中介方的有效的认证连接或者保持有效的认证标识,当用户方请求接入服务方时要进行服务方认证,在服务方认证中,如果所述的认证连接或认证标识有效那么中介方就会将该用户方的验证凭证以经过或不经过用户方的方式发送给服务方, 只有当服务方收到并验证该验证凭证正确后服务方认证才会通过,在服务方认证通过后服务方就会根据用户方权限响应用户方的接入请求,其中,只要认证程序中止运行那么该认证程序的认证连接和认证标识就会失效,其中,所述的验证凭证是一个以整体发送的信息或者是由两个分别发送的信息构成的,其中,用户方不需要将自己在服务方注册的可以直接在服务方完成接入认证的用户名和密码发送给或保存在中介方。
2.一种安全的网络认证系统或方法,其中,包括用户方、服务方和中介方,三方中至少有一方能够分别与其余两方通过有线或无线的方式相互连接通讯,用户方在通过服务方认证后能接入服务方的指定的服务或资源,服务方通过中介方对用户方进行服务方认证,当用户方通过中介方认证后用户方才能通过服务方认证,不同的服务方可以通过同一中介方对同一用户方进行服务方认证,其特征在于在用户方通过中介方的中介方认证后用户方运行的认证程序将会保持有效的认证标识,用户方在通过中介方认证后可以向服务方或中介方发出接入服务方的请求,当用户方请求接入服务方时要进行服务方认证,在服务方认证中,如果所述的认证标识有效那么中介方就会将该用户方的验证凭证以经过或不经过用户方的方式发送给服务方,只有当服务方收到并验证该验证凭证正确后服务方认证才会通过,在服务方认证通过后服务方就会根据用户方权限响应用户方的接入请求,其中,只要认证程序中止运行那么该认证程序的认证标识就会失效,其中,所述的验证凭证是一个以整体发送的信息或者是由两个分别发送的信息构成的,其中,用户方不需要将自己在服务方注册的可以直接在服务方完成接入认证的用户名和密码发送给或保存在中介方,其中,用户方不会将所述的认证标识发送给服务方。
3.根据权利要求1或2所述的安全的网络认证系统或方法,其特征在于,当认证程序中止运行时用户方对服务方的指定的服务或资源的接入也会中止。
4.根据权利要求1或2所述的安全的网络认证系统或方法,其特征在于,用户方被允许接入服务方的指定服务或资源的程序对象不是认证程序。
5.根据权利要求1或2所述的安全的网络认证系统或方法,其特征在于,用户方、服务方和中介方通过互联网相连接。
6.根据权利要求1或2所述的安全的网络认证系统或方法,其特征在于,验证凭证中, 或者包含关于生成时间的信息,或者包含由服务方或中介方生成的随机信息。
7.根据权利要求1或2所述的安全的网络认证系统或方法,其特征在于,中介方发出的用户方的验证凭证的内容无法由前一个该中介方发出的该用户方的验证凭证推知。
8.根据权利要求1或2所述的安全的网络认证系统或方法,其特征在于,每个验证凭证只能完成一次服务方认证。
9.根据权利要求1或2所述的安全的网络认证系统或方法,其特征在于,认证连接或认证标识或验证凭证还有时间有效期,过期的认证连接或认证标识或验证凭证会失效。
10.根据权利要求1或2所述的安全的网络认证系统或方法,其特征在于,该系统或方法具有以下特征中的一项或几项或全部1)中介方与服务方拥有相对应的约定算法,服务方能够通过拥有的约定算法验证收到的验证凭证是否正确。2)所述的验证凭证不是用户方的网络地址,所述的验证凭证的验证不是通过对比用户方的网络地址实现的。3)用户方与服务方之间的信息传递不经过中介方,或者服务方允许用户方接入而建立的连接不经过中介方。4)中介方具有一个秘钥,服务方对验证凭证的验证是通过该密钥进行的,该密钥为一对非对称加密密钥中的私钥或一个对称加密密钥。
全文摘要
本发明涉及一种安全的网络认证系统和方法,通过第三方的进行认证能极大地提高互联网认证的安全性和便捷性,但目前存在的通过第三方的互联网安全认证方案都有很大的缺陷。针对目前第三方认证方式的不足,本发明提出一种安全的网络认证系统和方法,采用创新的第三方的身份认证系统和方法来解决以上提到的问题。
文档编号H04L29/06GK102333085SQ201110272518
公开日2012年1月25日 申请日期2008年12月30日 优先权日2008年7月4日
发明者任少华 申请人:任少华