无缝的唯一用户标识和管理的制作方法

本发明涉及用户认证和管理，更具体地，涉及一种在电子和其他设备中无缝地且自动地捕获和管理唯一标识符的方法和装置，使得一个或多个用户可以被唯一地标识，并且被授权通过一个或多个通信网络访问一个或多个问服务。

背景技术：

安装在智能手机中的移动应用允许用户访问从电子银行、电子购物到视频流和手机游戏等各种各样的服务。

上述服务中的许多服务需要用户在访问有关服务之前被唯一地识别和认证。通常，通过提示用户手动输入用户名和密码等个人信息来进行用户识别和认证。由于普通用户通常会为不同类型的服务(例如facebook、yahoomail、gmail、twitter、电子银行、netflix、amazon或一些其他的服务)使用多个用户名和密码，用户很容易忘记自己某个特定服务的用户名和密码，用户需要请求生成新的用户名和/或密码，或请求将现有的用户名或密码发送给他，这导致了额外的不便。此外，由于在许多智能手机上缺少诸如物理qwerty键盘之类的正确文本输入设备，因此在智能手机上手动输入诸如用户名和密码的细节是繁琐的并且容易出错。

为了解决上述问题，已经研发了一些减少用户手动输入个人信息(例如用户的用户名和密码)的技术方案，但是这些技术方案通常是有限的。例如，pct申请wo2007/091012公开了一种注册过程，其在订阅服务时自动收集和存储关于用户和用户使用的设备(例如智能电话)的信息。所存储的信息用于在用户随后的服务请求期间进行用户认证。虽然随后的服务请求不要求用户手动输入任何信息，但是在进行最初的请求订阅服务时，仍然需要用户手动输入一些信息。另外，pct申请wo2007/091012中的公开内容没有提供在用户更换用户识别模块卡(通常称为“sim卡”)和/或智能手机的情况下，用于管理和更新所存储的信息的方法。

鉴于此，需要这样一种发明，其能够无缝地且自动地捕获并管理用户和用户所使用的设备的信息，使得即使当用户更换sim卡(或sim卡的一些其他变体，如nanosim或microsim卡)和/或相关设备时，用户也可以被唯一地识别并通过通信网络授予对服务的访问。

技术实现要素：

本发明通过公开在电子设备和其他设备中无缝地和自动地捕获和管理唯一标识符的方法，克服现有技术的局限性，用于唯一地识别一个或多个用户，并授权这些用户通过一个或多个通信网络访问一个或多个服务。

根据本发明的一个方面，提供了一种授权客户端访问与服务器端通信的服务的方法，该方法包括：

启动安装在客户端中用于访问服务的应用程序；

使用已安装的应用程序，将客户端的数据发送至服务器端，所述数据包括一个或多个唯一标识符，其中所述唯一标识符的其中一个唯一标识符(如果存在)是由服务器端分配给安装的应用程序的唯一用户身份；

针对一个或多个存储的唯一标识符，在服务器端处理接收到的关于客户端的数据；

当在所述一个或多个存储的唯一标识符中的至少一个存储的唯一标识符和接收到的一个或多个唯一标识符之间存在匹配时，使用接收到的一个或多个唯一标识符更新与接收到的一个或多个唯一标识符不同的一个或多个存储的唯一标识符；

在生成唯一用户身份以响应在接收到的数据中缺少关于客户端的唯一用户身份之后，将唯一用户身份从服务器端发送至客户端；

将唯一用户身份从服务器端发送至服务；以及

响应于服务对唯一用户身份的接收，授权安装在客户端中的应用程序访问服务。

通过结合下述附图和详细描述，本发明的进一步的细节和优点将变得显而易见。

附图说明

图1展示了适用于执行本发明实施例的设备的示例性布局；

图2a展示了在本发明的一个实施例中当用户首次使用安装在客户端上的suuim应用程序访问服务时发生的处理流程；

图2b展示了在本发明的一个实施例中当用户从第二次开始使用安装在客户端上的suuim应用程序访问服务时发生的处理流程；

图3展示了在本发明的一个实施例中当用户改变他/她的客户端和/或sim卡时发生的验证过程；

图4展示了在本发明的一个实施例中当用户为增加安全性和方便性自动进入他/她的msisdn时发生的处理流程；

图5a展示了在本发明的一个实施例中，当用户的msisdn(可选地<ui-ct>)在服务器端的管理员端的唯一标识符列表中被预先授权时，以及用户首次使用安装在客户端上的suuim应用程序来访问服务时发生的处理流程；

图5b展示了在本发明的一个实施例中，当用户的msisdn(可选地<ui-ct>)在服务器端的管理员端的唯一标识符列表中被预先授权时，以及用户从第二次开始使用安装在客户端上的suuim应用程序来访问服务时发生的处理流程；

图6展示了在本发明的一个实施例中在具有suuim功能的安全门禁系统中发生的处理流程。

具体实施方式

以下将参考具体实施例描述对本发明进行描述。然而，本发明并非局限于这些实施例。

在本发明的实施例中，公开了一个无缝的唯一用户标识和管理(“suuim”)过程，其在电子和其他设备中捕获和管理一个或多个唯一标识符，使得一个或多个用户可以被唯一地识别，并且授予通过一个或多个通信网络访问服务的权限。

如上文所述的服务包括(但不是限于)以下服务：云应用程序；本地私人网络中的应用程序；硬件设备；视频流服务；手机游戏服务；以及任何一种服务、应用程序或设备。

上文所述的唯一标识符包括(但不是限于)以下唯一标识符：

imsi：国际移动用户识别码——内嵌在连接至移动网络的sim卡(或sim卡的一些其他变体，如nanosim或microsim卡)中的15位十进制数字唯一编码。

msisdn：移动台国际用户目录号——在移动网络中唯一标识用户的标识符；即在移动电话中对于sim卡(或sim卡一些其他变体)的手机号码。

imei：国际移动台设备标识——内嵌在移动设备的芯片组中的15或16位十进制数字唯一编码。

mac：媒体访问控制地址——分配给用于物理网段上的通信的网络接口的唯一标识符。mac地址用作以太网和wifi等大多数ieee802网络技术的网络地址。

uuid：通用唯一识别码——在软件建设中使用的标识符标准。uuid是每一位都由多个变形定义的唯一的128位值。

一个或多个上述的唯一标识符(例如uuid)可以用于生成另一个称为唯一用户身份<userid>的唯一标识符，相应地用于唯一标识用户和授予用户访问服务的权限。

图1展示了适用于执行本发明实施例的设备的布局。该布局包括通过网络(如gsm、umts、lte或其他网络)彼此通信地连接的客户端101(如移动电话)、服务102(如视频流服务)和服务器端103(如计算机服务器)。此外，服务器端103和服务102也使用合适的有线或无线网络彼此通信地连接(如以太网、无线局域网、gsm或其他网络)。

客户端101包括数据存储104，可以用来存储如照片、电话号码、视频和应用程序数据。唯一标识符imei和mac都与客户端的硬件组件相关联，而唯一标识符uuid与客户端的软件组件相关联。客户端101还可包括用户身份模块卡(通常称为“sim卡”)105，或sim卡的一些其他变体，如nanosim或microsim卡。唯一标识符imsi和msisdn也与sim卡105相关。在下文中，术语<ui-ct>用于指代与客户端相关的唯一标识符，包括imei、mac和uuid中的任何一个或多个，而术语<ui-sim>指代与sim卡相关的唯一标识符，包括imsi和msisdn中的任何一个或多个。

服务器端103包括数据存储106，可以用来存储应用程序以及与一个或多个用户相关的信息，例如唯一标识符。服务器端103还可能包含用于向客户端收发消息的短消息服务(“sms”)和/或即时消息(“im”)网关107。

图2a展示了当新用户首次访问服务时的本发明的实施例。想要首次访问服务(图1中的102)的新用户将需要在客户端(图1中的101)中安装201包含suuim功能的应用程序。当用户启动202suuim应用程序时，suuim应用程序将会从客户端发送203一个或多个唯一标识符(如imei、mac、uuid或imsi)到服务器端(图1中的103)。

接收到这些一个或多个唯一标识符后，服务器端将根据存储在服务器端中的唯一标识符列表来处理204这些接收的唯一标识符。如果发现在接收到的唯一标识符中的任何一个和存储的唯一标识符中的任何一个之间都没有匹配，那么服务器端将根据一个或多个接收到的唯一标识符(例如uuid)生成205被称为唯一用户身份<userid>的新的唯一标识符。服务器端将使用新的<userid>标记接收到的唯一标识符，并将此信息存储206在服务器端的唯一标识符列表中。服务器端还将发送207新的<userid>到客户端和服务，接着，用户被授予访问208服务的权限。suuim应用程序还将存储209从服务器端发送的新的<userid>。

图2b接着图2a描述当现有用户从第二次起访问服务时的相同实施例。当现有用户启动210安装在客户端中的suuim应用程序时，suuim应用程序将从客户端发送211一个或多个唯一标识符(如imei、mac、uuid或imsi)到服务器端。此外，如果唯一标识符<userid>存在于客户端中，suuim应用程序也将从客户端向服务器发送<userid>。在收到这些一个或多个唯一标识符后，服务器端将根据存储在服务器端中的唯一标识符列表处理212这些接收到的唯一标识符。如果所有收到的唯一标识符匹配存储的唯一标识符，那么服务器端将向服务发送213现有的<userid>，随后，用户被授予访问214该服务的权限。

如果在存储的唯一标识符中的至少有一个(但不是全部)和接收到的唯一标识符的至少一个(但不是全部)之间存在匹配，服务器端将依照图3中描述的验证过程，使用相应的接收到的唯一标识符，更新215不同于相应的接收到的唯一标识符的存储的唯一标识符。随后，服务器端将发送213现有的<userid>到服务，接着，用户被授予访问214服务器的权限。

如果接收到的唯一标识符与任何存储的唯一标识符都不匹配(例如，在新的用户而不是现有的用户的情况下)，将适用先前所述的图2a的过程。

图3描述了本发明的一个实施例中的验证过程，覆盖当现有用户更改其客户端和/或sim卡时可能发生的6种不同的场景。在图3描述的表格中(如前所述)，术语<ui-ct>是指与客户端关联的唯一标识符，包括imei、mac和uuid中的任意一个或多个，而术语<ui-sim>是指与sim卡关联的唯一标识符，包括imsi和msisdn中的任意一个或多个。表格中的“√”表示所接收到的唯一标识符和对应存储的唯一标识符之间存在匹配，而表格中的“×”表示所接收到的唯一标识符和对应存储的唯一标识符之间不存在匹配。

在场景1中，用户只更改了他/她的sim卡。在这种情况下，从客户端接收到的<userid>和<ui-ct>以及存储在服务器端中的相应的<userid>和<ui-ct>之间存在匹配。但是，所接收的<ui-sim>和对应的存储的<ui-sim>之间不会存在匹配。

在场景2中，用户只更改他的客户端。更改客户端后，用户已经在新的客户端中，从先前的客户端里恢复了suuim应用(具有现有设置和数据)，例如通过使用云备份或存储在计算机上的物理备份。在这种情况下，从客户端接收到的<userid>和<ui-sim>与存储在服务器端中的相应的<userid>和<ui-sim>之间将存在匹配。然而，所接收到的<ui-ct>与相应的存储的<ui-ct>之间不会存在匹配。

在场景3中，用户改变了他的sim卡和他的客户端。然而，用户已经在新的客户端中，从先前的客户端里恢复了suuim应用(具有现有设置和数据)，例如通过使用云备份或存储在计算机上的物理备份。在这种情况下，从客户端接收到的<userid>与存储在服务器端中的相应的<userid>之间存在匹配，但是在所接收的<ui-sim>和<ui-ct>与相应的存储的<ui-sim>和<ui-ct>之间不存在匹配。

在场景4中，用户只更改自己的sim卡。但是，出于某些原因，用户可能已经卸载了旧的suuim应用程序，然后在客户端安装一个新的suuim应用程序，而不是从备份中恢复。在这种情况下，从客户端接收的<ui-ct>与存储在服务器端中的相应的<ui-ct>之间将存在匹配。但是，接收到的<ui-sim>与相应的存储的<ui-sim>之间不存在匹配。此外，客户端中安装的新suuim应用程序将不会发送<userid>。

在场景5中，用户只更改他的客户端。更改客户端后，用户在客户端安装一个新的suuim应用程序，而不是从备份中恢复。在这种情况下，在从客户端接收到的<ui-sim>与存储在服务器端中的相应的<ui-sim>之间将存在匹配。但是，接收到的<ui-ct>和相应的存储的<ui-ct>之间不会存在匹配。此外，客户端中安装的新suuim应用程序将不会发送<userid>。

在场景6中，在用户没有改变他的客户端和sim卡。但是，出于某些原因，用户可能已经卸载了旧的suuim应用程序，然后在客户端安装了一个新的suuim应用程序，而不是从备份还原。在这种情况下，从客户端接收到的<ui-ct>和<ui-sim>与存储在服务器端中的相应的<ui-ct>和<ui-sim>之间存在匹配。但是，客户端中安装的新的suuim应用程序不会发送<userid>。

根据如图3所示的适用场景，服务器端将向安装在客户端中的suuim应用程序发送即时消息或sms，询问以下一个或多个问题：

a)您有没有更改您的移动设备？

b)您有没有更改您的sim卡？

c)您有没有更改您的手机和sim卡？

d)您有没有重新安装应用程序？

将提示用户对上述问题回答“y”或“n”。基于这些问题的回答，服务器端将根据相应的接收的唯一标识符，更新不同于相应的接收的唯一标识符的存储的唯一标识符，如图3的场景1至6所示。

随后，在场景1、2和3中，服务器端将向服务发送<userid>，接着，授予用户访问服务的权限。在场景4、5和6中，服务器端将向客户端和服务发送<userid>，接着，授予用户访问服务的权限。对于场景4、5和6，在客户端中suuim应用程序将进一步存储发送自服务器端的<userid>。

图4示出了本发明的另一实施例，其中，忠实用户可能可选地输入他/她的手机号码(即，msisdn)以增加安全性和方便性。在这个实施例中，当服务器端检测到401服务已被访问预定次数时，服务器端将发送402即时消息或sms到安装在客户端中的suuim应用程序，要求用户在自愿的基础上输入他/她的手机号码。如果用户选择提供他/她的手机号码/msisdn403，接收到的msisdn将被用户的<userid>标记并存储404在服务器端的唯一标识符列表中。

随后，如果检测到一个或多个接收的唯一标识符发送改变，将提示用户输入他/她的msisdn(通过sms或即时消息)。如果收到的msisdn与存储在服务器端中的相应msisdn相匹配，服务器端将采用相应的接收到的唯一标识符更新不同于相应的接收到的唯一标识符的存储的唯一标识符。

图5a示出了当管理员端在服务器端的唯一标识符列表中预先授权501新用户的msisdn，并且新用户首次访问服务时的本发明的一个实施例。除了预授权用户的msisdn之外，管理员端还可能可选地在服务器端的唯一标识符列表中预授权用户的<ui-ct>(包括imei、mac和uuid中的一个或多个)。在这个实施例中，首次访问服务的新用户将必须在客户端中安装502suuim应用程序。当用户启动503suuim应用程序时，在将用户的msisdn和一个或多个其他的唯一标识符(例如imsi、imei、mac或uuid)从客户端发送504至服务器端之前，suuim应用程序将提示用户输入他/她的msisdn。

在接收到这些一个或多个唯一标识符后，服务器端将根据存储在服务器端中的唯一标识符的预授权列表来处理505这些接收到的唯一标识符。如果收到的msisdn和相应的预授权的msisdn之间存在匹配(如果<ui-ct>已被预先授权，则在接收的<ui-ct>和相应的预先授权的<ui-ct>之间也一定存在匹配)，服务器端将根据一个或多个接收到的唯一标识符(例如uuid)生成506被称为唯一用户身份<userid>的新的唯一标识符。服务器端将使用新的<userid>标记接收到的唯一标识符，并将此信息存储在服务器端的唯一标识符列表中。服务器端还将向客户端和服务同时发送508<userid>，随后，用户被授予访问509服务的权限。suuim应用程序还将存储510从服务器端发送的新的<userid>。

图5b接着图5a，描述了当现有用户从第二次开始访问服务时相同的实施例。当现有用户启动511安装在客户端的suuim应用程序时，suuim应用程序将一个或多个唯一标识符(如imei、mac、uuid或imsi)从客户端发送512到服务器端。此外，如果唯一标识符<userid>存在于客户端，suuim应用程序将也将从客户端发送<userid>到服务器端。在收到这些一个或多个唯一标识符后，服务器端将根据存储在服务器端中的唯一标识符列表处理513这些接收到的唯一标识符。如果所有收到的唯一标识符与存储的唯一标识符匹配，那么服务器端将向服务发送514现有的<userid>，随后，用户被授予访问515服务的权限。

如果存储的唯一标识符中的至少一个(但不是全部)和接收到的唯一标识符中的至少一个(但不是全部)相匹配，服务器端将依照图3描述的验证过程，采用相应的接收到的唯一标识符，更新不同于相应的接收到的唯一标识符的存储的唯一标识符。随后，514，服务器端将向服务发送现有的<userid>，接着，用户被授予访问服务的权限。

如果接收到的唯一标识符与任何存储的唯一标识符都不匹配(例如，在用户未经授权的情况下)，将不授予对服务的访问权限。

图6示出了本发明的另一实施例，其中相关的服务是安全门禁系统，并且通信传感器与门闩或门锁结合，当检测到授权用户时，通信传感器打开或解锁安全门。通信传感器可以由包括(但不限于)蓝牙、wifi、近场通信(“nfc”)或射频识别(“rfid”)的技术来操作。

在此特定的实施例中，用户的msisdn通过管理员端被预授权601在服务器端的唯一标识符列表中。除了对用户的msisdn进行预授权，管理员端同样可能可选择地预授权用户的<ui-ct>(包括imei、mac和uuid中的一个或多个)。想要首次获得安全门禁系统的访问权限的新用户将必须在客户端中安装602suuim应用程序。当用户发起603suuim应用程序时，在将用户的msisdn和一个或多个唯一标识符(例如imsi、imei、mac或uuid)从客户端发送604到服务器端之前，suuim应用程序将提示用户输入他/她的msisdn。

在接收到这些一个或多个的唯一标识符后，服务器端将根据存储在服务器端中的唯一标识符的预授权列表来处理605这些接收到的唯一标识符。如果在接收到的msisdn和相应的预授权的msisdn之间存在匹配(如果<ui-ct>已经被预授权，那么在接收到的<ui-ct>和相应的预先授权的<ui-ct>之间也必然存在匹配)，服务器端将根据一个或多个接收的唯一标识符(uuid)生成606被称为唯一用户身份<userid>的新的唯一标识符。服务器端将使用生成的<userid>标记接收到的唯一标识符，并将该信息存储607在服务器端的唯一标识符列表中。终端服务器还会发送608新<userid>到客户端和服务，接着，用户现在被授予访问609安全门禁系统的权限。suuim应用程序也将存储610从服务器端发送的<userid>。

当现有的授权的用户接近(例如，5米内)安全门禁系统的安全门时，在安全门上的通信传感器将检测用户的客户端，并安装在客户端中的suuim应用程序将从客户端向服务器端发送611一个或多个唯一标识符(如imei、mac、uuid或imsi)。此外，如果在客户端中存在唯一标识符<userid>，suuim应用程序也将从客户端向服务器端发送<userid>。在接收到这些一个或多个唯一标识符后，服务器端将根据存储在终服务器端中的唯一标识符列表处理612这些接收到的唯一标识符。如果所有接收到的唯一标识符都与存储的唯一标识符相匹配，服务器端将向安全门发送613现有的<userid>，接着，门闩或门锁将会被激活614以为现在授权的用户打开或解锁安全门。

如果存储的唯一标识符中的至少一个(但不是全部)与接收到的唯一标识符中的至少一个(但不是全部)相匹配，suuim应用程序将提示用户输入他/她的msisdn并且将msisdn从客户端发送615至服务器端。如果用户提供的msisdn与存储在服务器端中的相应的预授权的msisdn相匹配，服务器端将依照据图3中描述的验证过程，使用相应的接收到的唯一标识符更新与相应的接收到的唯一标识符不同的存储的唯一标识符，和/或通知管理员端616。随后，服务器端将向安全门禁系统发送<userid>，接着，门闩或门锁将会被激活614以为现在授权的用户打开或解锁安全门。然而，在用户提供的msisdn与存储在服务器端中的对应的预授权msisdn不匹配的情况下，可能向管理员端发出警报617，并且安全门会保持锁定状态。

在所接收到的唯一标识符与任何存储的唯一标识符都不匹配的情况下(例如，未经授权用户的情况)，安全门也会保持锁定状态。

在本发明的一些实施例中(包括先前在图5a、5b和图6中描述的实施例)，管理员端可以在任何时候，通过删除存储在服务器端中的唯一标识符列表中用户的<userid>和相应的唯一标识符，解除对任意用户的授权。

在本发明的其他实施例中(包括先前在图1至6中描述的实施例)，当用户希望退订服务时，他/她可以通过服务中的退订功能来退订该服务。或者，用户还可以通过电子邮件或其他通信方式(例如通过电话或在线客户服务门户网站)向服务提供商提供<userid>(或某些其他的唯一标识符)来退订服务。

在本发明的多个实施例中(包括先前在图1至6中描述的实施例)，在客户端、服务器端和服务之间传输的信息(包括唯一标识符)，可以通过嵌入在客户端、服务器端和/或服务内的加密和解密算法进行加密，以提高通信安全。

最后，在不脱离本发明范围的情况下，可以对本发明的实施例作出若干变形和改进，尽管没有描述这些变形和改进，本领域技术人员将能够认出和/或作出这些变形和改进。