专利名称:一种移动客户集中化电子身份认证的方法及系统的制作方法
技术领域:
本发明涉及移动用户身份认证领域,尤其涉及一种移动客户集中化电子身份认证的方法及系统。
背景技术:
OpenID是一个以用户为中心的数字身份识别框架,它通过URL作为用户的身份认证。拥有OpenID账号,用户可以在支持OpenID的网站登录而不需要注册,实现一次注册,到处通行的目的。但是,传统的OpenID是基于URL的ID,增加了用户的记忆和输入负担,尤其对中国人来讲输入URL是一件很困难的事情;传统OpenID技术的使用仍然是通过用户名密码来认证用户,不能从根本上解决用户的信息安全、隐私安全及使用安全问题,从而不能从根本上解决用户的集中式安全管理。
发明内容
本发明要解决的技术问题在于针对现有技术中OpenID增加了用户的记忆和输入负担且不能从根本上解决用户的信息安全、隐私安全及使用安全问题的缺陷,提供一种可以实现中国移动用户集中管理,统一进行身份识别的移动客户集中化电子身份认证的方法及系统。本发明解决其技术问题所采用的技术方案是:提供一种移动客户集中化电子身份认证的方法,包括以下步骤:SUOpenID的提供方OP网站接收用户发送的登录验证请求信息,所述登录验证请求信息包括用户输入的手机号码;S2、若所述登录验证请求信息中用户输入的手机号码正确且已经在所述OP网站上注册,则所述OP网站提供OpenID的支持方RP网站所支持的认证方式供用户选择;S3、所述OP网站接收用户根据所选择的认证方式而输入的认证信息,并将所述认证信息发送给密钥管理子系统;S4、所述密钥管理子系统根据接收的所述认证信息进行认证鉴权,并向所述OP网站返回鉴权结果。本发明所述的方法中,在步骤SI之前还包括步骤:S0、用户在所述OP网站通过手机号码进行注册,所述密钥管理子系统依据用户的注册给用户发送包括基于PKI技术的数字证书和私钥。本发明所述的方法中,所述用户输入的认证信息包括手机号码和所述私钥。本发明所述的方法中,步骤SI还包括步骤:SI 1、用户通过输入手机号码请求登录所述RP网站;S12、在用户输入的手机号码通过验证后,所述RP网站通过OpenID协议向所述OP网站发送登录验证请求信息,所述登录验证请求信息包括用户输入的手机号码。
本发明所述的方法中,所述密钥管理子系统鉴权成功后,向所述OP网站发送鉴权成功的信息,所述OP网站根据所述鉴权成功的信息返回到所述RP网站预先设定的登录成功页面。本发明解决其技术问题所采用的另一技术方案是:提供一种移动客户集中化电子身份认证的系统,包括OP网站服务端和分别与其连接的用户端、RP网站服务端以及密钥管理子系统:所述用户端用于向所述OP网站服务端发送登录验证请求信息,所述登录验证请求信息包括用户输入的手机号码;所述OP网站服务端用于在用户输入的手机号码正确且已经在OP网站上注册时,提供所述RP网站服务端所支持的认证方式供用户选择,并接收用户根据所选择的认证方式而输入的认证信息,并将所述认证信息发送给所述密钥管理子系统;所述密钥管理子系统用于接收所述认证信息并根据该认证信息进行认证鉴权,并向所述OP网站服务端返回鉴权结果。本发明所述的系统中,所述用户端还用于通过手机号码在所述OP网站服务端进行注册;所述密钥管理子系统还用于依据用户的注册给用户发送包括基于PKI技术的数字证书和私钥。本发明所述的系统中,所述用户输入的认证信息包括手机号码和所述私钥。本发明所述的系统中,所述用户端还用于通过输入手机号码请求登录所述RP网站服务端;所述RP网站服务端用于接收用户输入的手机号码并进行验证;在验证通过后,所述RP网站还用于通过OpenID协议向所述OP网站发送登录验证请求信息,所述登录验证请求信息包括用户输入的手机号码。本发明所述的系统中,所述密钥管理子系统还用于在鉴权成功后,向所述OP网站服务端返回鉴权成功的信息;所述OP网站服务端还用于根据所述鉴权成功的信息返回到所述RP网站预先设定的登录成功页面。本发明产生的有益效果是:所有通过手机号码在OP网站服务端注册的用户都可以通过OP网站服务端或者RP网站服务端登录并经过密钥管理子系统进行鉴权,只有鉴权成功用户才能成功登录并访问RP网站,从而实现了对移动用户的集中管理和统一认证。移动用户无需输入不同的用户名或者复杂的网址就可以轻松通过认证并访问相关网页。
下面将结合附图及实施例对本发明作进一步说明,附图中:图1是本发明实施例移动客户集中化电子身份认证的方法的流程图;图2是本发明另一实施例移动客户集中化电子身份认证的方法的流程图;图3是本发明实施例移动客户集中化电子身份认证系统的结构示意图。
具体实施例方式为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
本发明主要是对中国移动客户的身份进行集中化管理和统一认证。如图1所示,本发明移动客户集中化电子身份认证的方法的一个实施例中,用户可以在客户端(如PC机)上直接登陆OP (OpenID Provider)网站,再通过密钥管理子系统进行鉴权,完成用户的身份认证。该实施例中移动客户集中化电子身份认证的方法主要包括以下步骤:在步骤102中,用户通过OpenID提供方即OP网站进入其网站首页;步骤104中,用户通过在OP网站的登录界面输入手机号码作为登陆验证请求信息;步骤106中,OP网站接收用户输入的登陆验证请求信息,并验证该手机号码是否正确;步骤108中,当输入的电话号码错误时,OP网站向用户端返回输入错误的提示信息;步骤110中,当用户输入的电话号码正确时,再验证用户是否事先在OP网站上进行注册;步骤112中,当用户未在OP网站上注册时,向用户端返回注册页面,引导用户进行注册,在用户已经注册时,可以直接转到步骤120 ;步骤114中,用户在注册页面的指导下进行注册;步骤116中,当用户成功注册后,则返回登陆界面;步骤118中,用户在返回的登陆界面上重新登陆;步骤120中,当用户已经注册,则查询OpenID的支持方(也可称为依赖方)RP(Relying Part)网站所支持的认证方式,包括普通的静态密码认证方式,以及本发明中基于PKI的非对称码生成的数字证书认证方式或者其他认证方式,在此不一一列举;步骤122中,OP网站向用户返回认证方式选择界面;步骤124中,用户通过认证方式选择界面选择认证方式,在本发明实施例中,用户选择数字证书认证方式进行身份认证,该数字证书是CMAC(中国移动认证中心)根据申请颁发的,并通过密钥管理子系统发给用户;步骤126中,根据用户选择的认证方式提供相应的登陆界面;步骤128中,用户在相应的登陆界面输入认证信息,如手机号码和静态密码,或者手机号码和私钥密码,用户通过OP网站注册时,密钥管理子系统会依据用户的注册通过OP网站向用户发送用于认证的数字证书以及相应的私钥密码;步骤130中,OP网站将接收的用户输入的认证信息发送给密钥管理子系统,请求密钥管理子系统进行认证鉴权;步骤132中,密钥管理子系统根据接收的认证信息进行认证鉴权;步骤134中,密钥管理子系统向OP网站返回鉴权结果;步骤136中,OP网站根据鉴权结果,向用户返回相应的信息,在验证失败时,向用户返回错误的提示信息;步骤138中,在验证成功时,可直接返回到个人信息界面。在本发明中,用户还可以通过直接登陆OpenID的支持方RP网站进行身份验证。如图2所示,该实施例中移动客户集中化电子身份认证的方法主要包括以下步骤:步骤202中,用户进入支持Mobile OpenID的RP网站;步骤204中,在RP网站的登录入口处输入手机号码,并单击登录按钮;步骤206中,RP网站验证用户手机号码是否正确;步骤208中,若用户手机号码输入错误,则BP网站向用户返回输入错误的提示信息;步骤210中,在用户的手机号码输入正确时,RP网站使用标准的OpenID协议向OP网站发起登录验证请求信息,该登录验证请求信息可包括用户输入的手机号码;步骤212中,OP网站验证用户是否注册;步骤214中,如果用户没有注册,OP网站返回注册页面,弓丨导用户注册,如果已经注册可以直接转到步骤224 ;步骤216中,用户在OP网站返回的注册页面上完成注册流程;步骤218中,用户注册完成后,OP网站引导用户返回到RP网站登录界面;
步骤220中,用户返回RP网站登录界面;步骤222中,用户在RP网站的登录页面,重新输入手机号码登录;步骤224中,如果用户已经注册,OP网站查询RP网站支持的认证方式,包括普通的静态密码认证方式,以及本发明中基于PKI的非对称码生成的数字证书认证方式或者其他认证方式,在此不一一列举;步骤226中,OP网站返回RP网站支持的认证方式选择界面;步骤228中,用户选择某一种认证方式,包含静态密码或者数字证书,本发明实施例中用户选择数字证书认证方式;步骤230中,OP网站根据用户选择的认证方式返回登录提示界面,要求用户输入相关的认证信息,其中如果是静态密码认证方式则返回密码输入框;如果是数字证书认证方式则返回数字证书密码输入框,该数字证书密码为私钥密码,用户通过OP网站注册时,密钥管理子系统会依据用户的注册通过OP网站给用户发送用于认证的数字证书以及相应的私钥密码;步骤232中,用户根据提示输入所需认证信息;步骤234中,OP网站根据用户选择的认证方式和输入的认证信息调用密钥管理子系统接口,请求密钥管理子系统进行认证鉴权;步骤236中,密钥管理子系统根据用户输入的认证信息进行鉴权;步骤238中,密钥管理子系统向OP网站返回鉴权结果;步骤240中,OP网站根据鉴权结果向用户返回相应的信息,若鉴权失败,则向用户返回错误提示信息,表明验证失败;步骤242中,在鉴权成功时,即用户验证成功,如果是首次登录则显示用户的基本信息;如果不是,则可以直接跳转到RP网站预先设定的登录成功页面。本发明中,只要在OP网站注册一次,就不需要重新注册,可在支持OpenID的RP网站上直接登录,且使用电话号码作为统一的用户身份标识,其与移动客户的属性相关联,解决了用户多站点不同标识登录的不便问题。不需要输入复杂的网址,极大地方便了移动用户。另外认证方式采用数字证书可以更好地解决用户的安全问题。如图3所示,本发明实施例移动客户集中化电子身份认证的系统主要包括OP网站服务端20和分别与其连接的用户端10、RP网站服务端30以及密钥管理子系统40,用户端10与OP网站服务端20,以及RP网站服务端30与网站服务端20之间均是无线通信连接,RP网站服务端30 (身份认证依赖方)为OpenID的支持方,支持用户用OpenID登录自己的网站,与传统的RP没有区别,只是不需要输入复杂的网址,只需要输入电话号码登录验证就可以了。OP网站服务端20与密钥管理子系统40通过接口连接。用户端10用于向OP网站服务端发送登录验证请求信息,登录验证请求信息包括用户输入的手机号码。OP网站服务端20用于在接收的登录验证请求信息中用户输入的手机号码正确且已经在OP网站上注册时,提供RP网站服务端30所支持的认证方式供用户选择,并接收用户根据所选择的认证方式而输入的认证信息,并将认证信息发送给密钥管理子系统40 ;0P网站服务端20为用户身份认证提供方,其包括移动用户统一的身份信息库,以及为用户提供数字身份创建、身份属性管理、登录认证、登录会话管理、OpenID身份供应以及用户的隐私保护的各个功能模块。密钥管理子系统40用于接收OP网站服务端20发送的用户输入的认证信息,并根据该认证信息进行认证鉴权,并向OP网站服务端返回鉴权结果。密钥管理子系统40主要用于用户在OP网站服务端20上注册时以及登陆时,实现用户数字证书申请、存储、认证和管理等功能。密钥管理子系统40主要通过后台的CMCA50(中国移动认证中心)获取数字证书,再与OP网站服务端20进行数据交互。在本发明实施例中,用户需要事先在用户端10通过手机号码在OP网站服务端20进行注册,才能获取相应的数字证书或者静态密码,注册成功后用户才能登录和认证。密钥管理子系统40依据用户的注册给用户发送包括基于PKI技术的数字证书和私钥。若用户选择数字证书的认证方式,则用户输入的认证信息包括手机号码和在注册时密钥管理子系统40返回的私钥。进一步地,本发明实施例中,用户端10还用于通过输入手机号码请求登录RP网站服务端30 ;RP网站服务端30为OpenID的支持方,通过RP网站登录的用户,可以通过在OP网站上注册的手机号码直接通过认证而访问RP网站的相关网页。RP网站服务端30用于接收用户输入的手机号码并进行验证;在验证通过后,RP网站还用于通过OpenID协议向OP网站发送登录验证请求信息,登录验证请求信息包括用户输入的手机号码,OP网站服务端20以及密钥管理子系统40的鉴权过程和上文通过OP网站服务端20直接登录相同,在此不再赘述。进一步地,本发明实施例中,密钥管理子系统40还用于在鉴权成功后,向OP网站服务端20返回鉴权成功的信息;0P网站服务端20还用于根据鉴权成功的信息返回到RP网站预先设定的登录成功页面。本发明中,所有通过手机号码在OP网站服务端20注册的用户都可以获取到密钥管理子系统40发放的基于PKI技术的数字证书,该数字证书由CMCA生成,统一由密钥管理子系统40进行管理。用户通过OP网站服务端20或者RP网站服务端30登录时,均可采用已经注册的手机号码作为登录名,再经过密钥管理子系统40进行鉴权,只有鉴权成功的用户才能成功登录并访问RP网站,从而实现了对移动用户的集中管理和统一认证,用户无需输入不同的用户名或者复杂的网址就可以轻松通过认证并访问OpenID服务方OP网站服务端20和OpenID支持方RP网站服务端30。通过基于PKI技术的数字证书认证,可从根本上解决用户的信息安全、隐私安全以及使用安全。另外由于数字证书有一定的生命周期,根据该生命周期可以实现对用户身份的动态管理。应当理解的是,对本领域普通技术人员来说,可以根据上述说明加以改进或变换,而所有这些改进和变换都应属于本发明所附权利要求的保护范围。
权利要求
1.一种移动客户集中化电子身份认证的方法,其特征在于,包括以下步骤: SUOpenID的提供方OP网站接收用户发送的登录验证请求信息,所述登录验证请求信息包括用户输入的手机号码; 52、若所述登录验证请求信息中用户输入的手机号码正确且已经在所述OP网站上注册,则所述OP网站提供OpenID的支持方RP网站所支持的认证方式供用户选择; 53、所述OP网站接收用户根据所选择的认证方式而输入的认证信息,并将所述认证信息发送给密钥管理子系统; 54、所述密钥管理子系统根据接收的所述认证信息进行认证鉴权,并向所述OP网站返回鉴权结果。
2.根据权利要求1所述的方法,其特征在于,在步骤SI之前还包括步骤: S0、用户在所述OP网站通过手机号码进行注册,所述密钥管理子系统依据用户的注册给用户发送包括基于PKI技术的数字证书和私钥。
3.根据权利要求2所述的方法,其特征在于,所述用户输入的认证信息包括手机号码和所述私钥。
4.根据权利要求3 所述的方法,其特征在于,步骤SI还包括步骤: 511、用户通过输入手机号码请求登录所述RP网站; 512、在用户输入的手机号码通过验证后,所述RP网站通过OpenID协议向所述OP网站发送登录验证请求信息,所述登录验证请求信息包括用户输入的手机号码。
5.根据权利要求4所述的方法,其特征在于,所述密钥管理子系统鉴权成功后,向所述OP网站发送鉴权成功的信息,所述OP网站根据所述鉴权成功的信息返回到所述RP网站预先设定的登录成功页面。
6.一种移动客户集中化电子身份认证的系统,其特征在于,包括OP网站服务端和分别与其连接的用户端、RP网站服务端以及密钥管理子系统: 所述用户端用于向所述OP网站服务端发送登录验证请求信息,所述登录验证请求信息包括用户输入的手机号码; 所述OP网站服务端用于在用户输入的手机号码正确且已经在OP网站上注册时,提供所述RP网站服务端所支持的认证方式供用户选择,并接收用户根据所选择的认证方式而输入的认证信息,并将所述认证信息发送给所述密钥管理子系统; 所述密钥管理子系统用于接收所述认证信息并根据该认证信息进行认证鉴权,并向所述OP网站服务端返回鉴权结果。
7.根据权利要求6所述的系统,其特征在于,所述用户端还用于通过手机号码在所述OP网站服务端进行注册;所述密钥管理子系统还用于依据用户的注册给用户发送包括基于PKI技术的数字证书和私钥。
8.根据权利要求7所述的系统,其特征在于,所述用户输入的认证信息包括手机号码和所述私钥。
9.根据权利要求8所述的系统,其特征在于,所述用户端还用于通过输入手机号码请求登录所述RP网站服务端;所述RP网站服务端用于接收用户输入的手机号码并进行验证;在验证通过后,所述RP网站还用于通过OpenID协议向所述OP网站发送登录验证请求信息,所述登录验证请求信息包括用户输入的手机号码。
10.根据权利要求9所述的系统,其特征在于,所述密钥管理子系统还用于在鉴权成功后,向所述OP网站服务端返回鉴权成功的信息;所述OP网站服务端还用于根据所述鉴权成功的信息返回到所述RP网站预先设定的登`录成功页面。
全文摘要
本发明公开了一种移动客户集中化电子身份认证的方法及系统,其中方法主要包括以下步骤OpenID提供方的OP网站接收用户发送的登录验证请求信息,登录验证请求信息包括用户输入的手机号码;若登录验证请求信息中用户输入的手机号码正确且已经在OP网站上注册,则OP网站提供OpenID支持方RP网站所支持的认证方式供用户选择;OP网站接收用户根据所选择的认证方式而输入的认证信息,并将认证信息发送给密钥管理子系统;密钥管理子系统根据接收的认证信息进行认证鉴权,并向OP网站返回鉴权结果。本发明实现了移动用户身份的集中管理和身份的统一认证,可从根本上解决用户的信息安全、隐私安全及使用安全问题。
文档编号H04W12/06GK103139773SQ201110384189
公开日2013年6月5日 申请日期2011年11月28日 优先权日2011年11月28日
发明者陈文博, 吴勇, 刘志诚, 陈蕙茗, 王刚, 常玉明, 王有为, 傅平达 申请人:卓望数码技术(深圳)有限公司