专利名称:网络用户认证系统或方法
技术领域:
本发明涉及一种网络用户认证系统或方法。
背景技术:
本发明是发明人的一项在先发明申请“安全的网络用户认证系统或方法”所包括的一种具体实现的补充和改进。该在先发明申请“安全的网络用户认证系统或方法”的国内申请号为 200810116168. 3,该在先发明的 PCT 申请号为 “PCT/CN2008/073863”。
发明内容
本发明是这样实现的,一种网络用户认证系统或方法,其中,包括用户方、服务方和中介方,三方通过网络相互连接,用户方在通过服务方认证后能接入服务方的指定的服务或资源,服务方通过中介方对用户方进行服务方认证,当用户方通过中介方认证后用户方才能通过服务方认证,不同的服务方可以通过同一中介方对同一用户方进行服务方认证,其特征在于在用户方通过中介方的中介方认证后用户方运行的认证程序将会保持与中介方的有效的认证标识,其中,该认证标识至少包括一个公开部分和一个私有部分,其中,中介方会保持该认证标识的公开部分,当用户方请求接入服务方时要进行服务方认证, 在服务方认证中,用户方将认证标识的公开部分发送给服务方,服务方会将收到的该认证标识的公开部分发送给中介方,其中,只有在用户的认证标识有效并且来自服务方的认证标识的公开部分正确的条件下中介方才会向服务方发送该认证标识正确和有效的确认信息,在服务方收到来自中介方的该认证标识正确和有效的确认信息后服务方会以该认证信息的公开部分对用户方进行身份认证,在该身份认证通过后用户方才能通过服务方认证, 在服务方认证通过后服务方就会根据用户方权限响应用户方的接入请求,其中,只要认证程序中止运行那么该认证程序的认证连接或认证标识就会失效,其中,所述认证标识的公开部分和私有部分是一对相对应的约定算法或约定算法的一对相对应的参数,所述身份认证是通过该约定算法的计算进行的。其中,当用户方请求接入服务方时,用户方会向服务方发送以认证标识的私有部分计算生成的认证信息,服务方会以收到的认证标识的公开部分对该认证信息进行验证计算,只有验证计算结果正确时服务方认证才会通过。其中,所述认证标识的公开部分和私有部分是一对非对称加密的密钥,其中,认证标识的公开部分和私有部分分别是该对非对称加密密钥中的一个。其中,在通过服务方认证后,用户方和服务方还可以通过所述认证标识的公开部分和私有部分所组成的非对称密钥对交换一个对称加密密钥从而建立一个对称加密的加密连接。其中,所述认证标识的公开部分和私有部分是一对非对称加密的密钥,该非对称密钥对是由用户方或中介方生成的。其中,在用户方通过中介方认证后,用户方或中介方会将该非对称密钥对中的一个发送给对方。
其中,所述认证标识的公开部分和私有部分是一对相对应的密钥,所述服务方对用户方的身份认证是通过该对密钥的加密解密计算来进行的。其中,在通过服务方认证后, 用户方和服务方还可以基于所述认证标识的公开部分和私有部分所组成的密钥对建立加密连接。其中,用户方每次通过中介方认证后所保持的认证标识是无法从用户方先前的认证标识或其它用户的认证标识中得出的。其中,用户方每次保持的认证标识是随机生成的。其中,所述一对相对应的约定算法或约定算法的一对相对应的参数可以是相同的或者是不同的。其中,所述一对相对应的约定算法可以是同一个对称加密密钥,或者是一对非对称加密密钥。其中,响应用户方的接入请求是指允许用户方登录服务方的用户账号或以用户权限接入服务方指定的服务和资源或与服务方建立新的连接。其中,当认证程序中止运行时用户方对服务方的指定的服务或资源的接入也会中止。认证程序在中止时,可以通知服务方中止接入,也可以中止用户方接入服务方的程序对象的运行。其中,用户方被允许接入服务方的指定服务或资源的程序对象不是认证程序。用户方接入服务方的具体程序对象是非认证程序的其它程序对象,这些其它程序对象可以是用户启动的,也可以是认证程序在用户方启动的。其中,用户方在通过一次中介方认证后能够进行多次服务方认证并同时接入多个不同的服务方,直到该次中介方认证产生的认证标识失效或通过该次中介方认证的认证程
序停止运行。其中,用户方、服务方和中介方通过互联网相连接。其中,三方的信息传递通过互联网来进行。其中,认证标识或确认信息还有时间有效期,过期的认证连接或认证标识或确认信息会失效。其中,认证标识的有效期可以由用户方在认证程序上设定,也可以由中介方设定。认证程序可以在认证标识要过期时提示用户进行中介方认证刷新认证标识,或者可以自动进行中介方认证以刷新认证标识。其中,中介方与服务方也拥有相对应的约定算法,服务方能够通过该约定算法计算检查收到的确认信息是否来自中介方,或者,确认信息是以该约定算法进行加密的传递。 其中,中介方拥有一个中介方私钥,服务方可以获得与之对应的中介方公钥,服务方以中介方该公钥计算检查收到的验证凭证是否来自中介方。其中,所述约定算法可以是加密解密算法、或数字签名算法、或单向散列函数算法、或动态密码算法等等。其中,所述约定算法是非对称加密算法。其中,用户方与服务方之间的信息传递不经过中介方,或者服务方允许用户方接入而建立的连接不经过中介方。其中,所述的认证标识有效是指该认证标识存在并正确,所述的认证标识失效是指该认证标识或者不存在,或者被删除,或者已过期,或者不正确。 其中,服务方认证通过后服务方会允许来自用户方的一个连接或端口接入指定的服务或资源,该连接或端口是用户方向服务方发送所述以认证标识计算生成的认证信息的那个端口或连接。
其中,在用户方进行中介方认证前,用户方已经与中介方建立了加密连接。例如 用户方先与中介方建立SSL连接,然后用户方再进行中介方认证,在中介方认证通过后,该 SSL连接就是认证连接,而后用户方和中介方会通过该SSL连接传递用户方公钥或用户方私钥。其中,所述的用户方请求接入服务方,具体是用户在用户方的认证程序界面上请求对服务方的接入。其中,在用户方通过中介方认证后,用户方也可以在认证程序不中止驻留运行的情况下使认证标识失效。其中,在服务方认证通过后,用户方还会保持与中介方有效的认证连接,只有在该认证连接有效时所述认证标识才是有效的。其中,用户方的用户拥有可移动外设,只有在该可移动外设与用户方通过有线或无线的方式相连接通讯在条件下,用户方才能通过中介方认证。其中,可移动外设连接于用户方的具体方式为有线连接或无线连接,如USB接口的数据线、蓝牙无线接口、红外连接等等。其中,用户可移动外设可以通过有线或无线接口与不同的终端相连接。其中,在用户方对服务方的指定的服务或资源的接入中止后,用户方需要重新通过中介方进行服务方认证才能再接入。其中,服务方可以是另一个用户方,用户方和服务方可以互换角色并重新执行以上服务方认证步骤,从而可以完成相互认证。即用户方也可以同样的方式通过中介方对服务方进行认证。其中,所述连接认证的过程应该是由所述三方系统上运行的程序通过计算机网络完成的。其中,服务方可以是通过互联网向用户方提供资源和服务的服务器系统,如各种网站等。服务方也可以是在互联网上的其它用户的终端,例如以上相互认证就可应用于即时通讯系统中两个用户终端建立两个终端间点对点连接的握手过程。其中,服务方的指定的资源或服务可以是文件资源、浏览器服务、多媒体资源或服务、音视频连接、即时通讯对话服务、搜索服务、网上账户操作服务、网上交易服务等等。其中,中介方是在互联网上进行第三方认证的计算机系统。其中,用户方是具有计算机功能的设备,如PC机、手机、服务器、服务器群组等。其中,用户方的用户在服务方系统中具有用户识别码(APID),用户方的用户在中介方系统中也具有用户识别码(AUID),APID与AUID存在对应关系。其中,该对应关系由服务方系统或者中介方系统所储存。其中,所述用户识别码是由任何符号组成的序列。例如 APID和AUID可以是用户方的用户在服务方和中介方的用户名或是服务方和中介方为用户方的用户生成的序列号。又如AUID可以是APID+服务方名称或地址。其中,服务方对应保存着用户方用户的APID与用户权限。其中,服务方与中介方之间、或中介方与终端之间、或服务方与用户方之间的通讯信路可以是加密的,如采用SSL方式建立的连接。其中,中介方认证可以通过不同方式来进行,例如用户名密码的方式、可移动IC 的方式、通过用户方其它终端反馈认证号码的方式等等。其中,所述三方通过互联网相互连接,所述三方都连接于互联网。
图1是本发明的网络结构示意图,图2是实施例1的步骤示意图。
具体实施例方式实施例1在本实施例中,用户在中介方已注册有用户账号(AUID),用户在服务方也已注册有用户账号(APID)。其中,服务方是一个ICP。其中,用户已经将自己的服务方账号APID 与中介方账号AUID关联起来,该关联关系同时保存在服务方和中介方的系统中。该关联的过程也可以采用本发明的方案,以下说明的步骤是用户在关联账号后通过中介方账号登录服务方账号的过程。本实施例的具体步骤如下1)用户使用用户方的认证程序通过中介方认证后,中介方会与用户方认证程序保持有效的会话连接,用户方生成一对非对称加密密钥(RSA密钥)作为用户方公钥和用户方私钥,用户方将用户方私钥作为认证标识保存起来并将用户方公钥发送中介方,中介方将用户方公钥与用户账号对应保存起来;2)当用户在认证程序界面上点击登录服务方的选项时,认证程序在用户方终端上新生成一个指向服务方地址的浏览器对象或其它特定程序的对象,该新生成的程序对象向服务方发送连接请求,该连接请求中包括用户在服务方的用户名、用户在中介方的用户名、 服务方名称和生成时间,并且,该连接请求还包括用户方公钥和以用户方私钥进行的数字签名;3)在服务方收到来自用户的连接请求后,服务方向中介方发送一个认证请求,该认证请求中包括用户在服务方的用户名、用户在中介方的用户名、服务方名称和用户方公钥;4)在中介方收到来自服务方的认证请求后,中介方会检查该用户的会话连接是否有效,中介方也还可以进一步检查该用户的认证标识的心跳响应或问答响应是否有效,同时,中介方核对服务方发来的用户方公钥与自己保存的用户方公钥是否一致,如果该用户的会话连接是有效的或者会话连接和认证标识的响应都是有效的而且公钥一致,那么中介方就认为该用户的认证标识是有效的,中介方就会向服务方发送表示该用户方的该用户认证标识正确且有效的确认信息;5)在服务方收到来自中介方的确认信息后,服务方以用户方公钥验证用户的连接请求是否正确,服务方还可以验证用户的连接请求是否过期,只有该连接请求正确且未过期,该用户方才能通过身份认证,服务方还可以基于该公钥与用户方再进行几次问答响应, 如果问答响应正确,则用户方通过了服务方认证。6)服务方认证通过后,服务方就会允许用户方接入,即与用户方建立连接并允许用户方登录用户在服务方的账号。其中,用户方接入的服务方的程序对象可以是浏览器或其它专用程序,接入后,用户方就可以通过该程序连接和使用服务方的指定的服务和资源。
其中,用户方和服务方还可以通过认证标识的公开部分和私有部分组成的该RSA 密钥对建立加密连接,具体可以有以下两种方式第一种方式是,服务方具有服务方私钥而用户方可以获得服务方对应的公钥,在以上步骤幻中,在用户方向服务方发送的连接请求中还包括有由服务方公钥加密的DES密钥,用户方和服务方以该DES密钥建立加密连接;第二种方式是,在以上步骤5)中,服务方以该用户对应的用户方公钥加密DES密钥并发送给用户方,服务方和用户方以该DES密钥建立加密连接。另外,在本实施例中,用户方私钥和用户方公钥也可以是由中介方生成的。S卩,以上实施例1的步骤1)也可以是1)用户使用用户方的认证程序通过中介方认证后,中介方会与用户方认证程序保持有效的会话连接,中介方生成一对非对称加密密钥(RSA密钥)作为用户方公钥和用户方私钥,中介方将用户方私钥作为认证标识发送给用户方终端上的认证程序,并将用户方公钥与用户账号对应保存起来。实施例2在本实施例中,用户方的用户拥有中介方发布的USB密钥,该USB密钥中保存着用户USB私钥,中介方保存着与用户的中介方账号相对应的用户USB公钥。其中,用户方以用户的USB密钥通过中介方认证。实施例与实施例1区别在于中介方认证的步骤1,本实施例的步骤1如下1)用户将USB密钥连接于用户方,用户使用用户方的认证程序和用户USB私钥通过中介方认证后,中介方会与用户方认证程序以USB密钥加密方式交换DES密钥建立有效的SSL连接,其中,用户方生成一对非对称加密密钥(RSA密钥)作为用户方公钥和用户方私钥,用户方将用户方私钥作为认证标识保存起来并将用户方公钥通过USB私钥加密或通过SSL连接发送中介方,中介方将用户方公钥与用户账号对应保存起来。本实施例的其它步骤与实施例1相同。当然,本发明还可根据具体情况或结合其它系统方法而产生许多其它实施例。
权利要求
1.一种网络用户认证系统或方法,其中,包括用户方、服务方和中介方,三方通过网络相互连接,用户方在通过服务方认证后能接入服务方的指定的服务或资源,服务方通过中介方对用户方进行服务方认证,当用户方通过中介方认证后用户方才能通过服务方认证, 不同的服务方可以通过同一中介方对同一用户方进行服务方认证,其特征在于在用户方通过中介方的中介方认证后用户方运行的认证程序将会保持与中介方的有效的认证标识, 其中,该认证标识至少包括一个公开部分和一个私有部分,其中,中介方会保持该认证标识的公开部分,当用户方请求接入服务方时要进行服务方认证,在服务方认证中,用户方将认证标识的公开部分发送给服务方,服务方会将收到的该认证标识的公开部分发送给中介方,其中,只有在用户的认证标识有效并且来自服务方的认证标识的公开部分正确的条件下中介方才会向服务方发送该认证标识正确和有效的确认信息,在服务方收到来自中介方的该认证标识正确和有效的确认信息后服务方会以该认证信息的公开部分对用户方进行身份认证,在该身份认证通过后用户方才能通过服务方认证,在服务方认证通过后服务方就会根据用户方权限响应用户方的接入请求,其中,只要认证程序中止运行那么该认证程序的认证连接或认证标识就会失效,其中,所述认证标识的公开部分和私有部分是一对相对应的约定算法或约定算法的一对相对应的参数,所述身份认证是通过该约定算法的计算进行的。
2.根据权利要求1所述的网络用户认证系统或方法,其特征在于,当用户方请求接入服务方时,用户方会向服务方发送以认证标识的私有部分计算生成的认证信息,服务方会以收到的认证标识的公开部分对该认证信息进行验证计算,只有验证计算结果正确时服务方认证才会通过。
3.根据权利要求1所述的网络用户认证系统或方法,其特征在于,所述认证标识的公开部分和私有部分是一对非对称加密的密钥。
4.根据权利要求1所述的网络用户认证系统或方法,其特征在于,用户方每次通过中介方认证后所保持的认证标识是无法从用户方先前的认证标识或其它用户的认证标识中得出的。
5.根据权利要求1所述的网络用户认证系统或方法,其特征在于,当认证程序中止运行时用户方对服务方的指定的服务或资源的接入也会中止。
6.根据权利要求1所述的网络用户认证系统或方法,其特征在于,用户方被允许接入服务方的指定服务或资源的程序对象不是认证程序。
7.根据权利要求1所述的网络用户认证系统或方法,其特征在于,用户方在通过一次中介方认证后能够进行多次服务方认证并同时接入多个不同的服务方,直到该次中介方认证产生的认证标识失效或通过该次中介方认证的认证程序停止运行。
8.根据权利要求1所述的网络用户认证系统或方法,其特征在于,认证标识或确认信息还有时间有效期,过期的认证连接或认证标识或确认信息会失效。
9.根据权利要求1所述的网络用户认证系统或方法,其特征在于,所述的用户方请求接入服务方,具体是用户在用户方的认证程序界面上请求对服务方的接入。
10.根据权利要求1所述的网络用户认证系统或方法,其特征在于,在用户方对服务方的指定的服务或资源的接入中止后,用户方需要重新通过中介方进行服务方认证才能再接入。
全文摘要
本发明为一种网络用户认证系统或方法,是关于安全便捷地进行第三方认证的系统和方法,是发明人的一项在先发明申请“安全的网络认证系统和方法”所包括的一种具体实现的补充和改进。
文档编号H04L29/06GK102404333SQ20111039742
公开日2012年4月4日 申请日期2011年12月5日 优先权日2011年12月5日
发明者任少华 申请人:任少华