技術(shù)領(lǐng)域

本發(fā)明涉及一種安全的網(wǎng)絡(luò)認(rèn)證系統(tǒng)和方法。

背景技術(shù)

許多互聯(lián)網(wǎng)提供的資源和服務(wù)的數(shù)量非常巨大并增長迅猛，互聯(lián)網(wǎng)已經(jīng)成為人們獲取信息資源和信息服務(wù)的主要渠道，許多網(wǎng)上資源和服務(wù)提供方要求用戶進(jìn)行登錄和驗(yàn)證，這就出現(xiàn)了一些問題。首先，每個(gè)網(wǎng)絡(luò)服務(wù)方都采用不同的登錄信息，登錄信息繁多難記。其次，簡單的用戶名加密碼的方式也存在著安全性太低的問題，滿足不了很多網(wǎng)上應(yīng)用的需要。

通過第三方或中介方的認(rèn)證方法是一種解決以上問題的有效途徑，但是現(xiàn)有的第三方(中介方)認(rèn)證的解決方案都存在一些缺陷。

例如，有的解決方案是用戶將在網(wǎng)上資源的用戶名和密碼保存在一個(gè)固定的網(wǎng)上認(rèn)證服務(wù)方，用戶登錄該網(wǎng)上資源時(shí)由網(wǎng)上認(rèn)證服務(wù)方以用戶的用戶名和密碼自動完成網(wǎng)上資源的登錄，這種方式雖然便捷，但是仍然采用固定不變的用戶名和密碼的方式向網(wǎng)上資源登錄，用戶需要將自己在每個(gè)資源站點(diǎn)注冊的用戶名和密碼記錄在門戶中，安全性得不到保證。

又例如，有的解決方案采用終端用戶在通過網(wǎng)上認(rèn)證服務(wù)方的身份認(rèn)證后，發(fā)送一個(gè)具有時(shí)間有效期的用戶認(rèn)證信息保存在用戶終端的COOKIE中，在終端連接服務(wù)方時(shí)網(wǎng)上認(rèn)證服務(wù)方會檢查終端保存的用戶認(rèn)證信息并通知網(wǎng)絡(luò)服務(wù)方。這種方式里由于在用戶停止使用終端后終端中仍會保存著有效的用戶認(rèn)證信息，導(dǎo)致認(rèn)證確認(rèn)信息可能被盜用，另外這類解決方案在有些禁用COOKIE的終端環(huán)境里無法使用。

又例如，有的解決方案通過其它通信終端進(jìn)行認(rèn)證。但是在這種方案里，用戶的其它通信終端不能自動識別認(rèn)證信息從而主動參與傳遞過程，因此，這樣的解決方案不安全和不便捷，如：不能實(shí)現(xiàn)經(jīng)過一次第三方認(rèn)證就可接入不同的服務(wù)方資源；不能實(shí)現(xiàn)在第三方的認(rèn)證中止時(shí)用戶對服務(wù)方的接入也中止；不能結(jié)合其它第三方認(rèn)證方式(IC密鑰等)來加強(qiáng)安全性；只能通過傳遞小位數(shù)的字符串進(jìn)行認(rèn)證而且不能在傳遞中對傳遞的信息進(jìn)行計(jì)算變化；等等。

又例如，有的解決方案通過第三方傳遞用戶終端的IP地址的方式來實(shí)現(xiàn)，但存在一些局限性，如：有些NAT環(huán)境中內(nèi)網(wǎng)用戶無法獲取其程序?qū)ο蟮钠渫獠縄P地址；認(rèn)證程序無法獲取或監(jiān)聽其它程序的IP地址；等等。

另外，采用可移動IC密鑰的方式來進(jìn)行認(rèn)證是一種非常好的增強(qiáng)網(wǎng)絡(luò)認(rèn)證安全的方式，這種方式已經(jīng)得到了很多的應(yīng)用，如網(wǎng)上銀行等。但是，如果每一個(gè)網(wǎng)上應(yīng)用都發(fā)行各自的可移動IC進(jìn)行認(rèn)證，不僅成本高而且用戶使用非常不便。

此外，現(xiàn)有的互聯(lián)網(wǎng)上兩方之間基于已建立連接來建立一個(gè)新連接的方法(如：SessionID和IP地址傳送)存在安全性和局限性的問題：SessionID是不變的；某些NAT限制了IP地址傳送。

發(fā)明內(nèi)容

針對以上提到的目前第三方認(rèn)證方式的不足，本發(fā)明采用創(chuàng)新的第三方的身份認(rèn)證系統(tǒng)和方法來解決以上提到的問題。

本發(fā)明是這樣實(shí)現(xiàn)的，一種安全的網(wǎng)絡(luò)認(rèn)證系統(tǒng)和方法，其中，包括用戶方、服務(wù)方和中介方，三方中至少有一方能夠分別與其余兩方通過有線或無線的方式相互連接通訊，用戶方在通過服務(wù)方認(rèn)證后能接入服務(wù)方的指定的服務(wù)或資源，服務(wù)方通過中介方對用戶方進(jìn)行服務(wù)方認(rèn)證，當(dāng)用戶方通過中介方認(rèn)證后用戶方才能通過服務(wù)方認(rèn)證，不同的服務(wù)方可以通過同一中介方對同一用戶方進(jìn)行服務(wù)方認(rèn)證，其特征在于：在用戶方通過中介方的中介方認(rèn)證后用戶方運(yùn)行的認(rèn)證程序?qū)３峙c中介方的有效的認(rèn)證連接或者保持有效的認(rèn)證標(biāo)識，當(dāng)用戶方請求接入服務(wù)方時(shí)要進(jìn)行服務(wù)方認(rèn)證，在服務(wù)方認(rèn)證中，如果所述的認(rèn)證連接或認(rèn)證標(biāo)識有效那么中介方就會將該用戶方的驗(yàn)證憑證以經(jīng)過或不經(jīng)過用戶方的方式發(fā)送給服務(wù)方，只有當(dāng)服務(wù)方收到并驗(yàn)證該驗(yàn)證憑證正確后服務(wù)方認(rèn)證才會通過，在服務(wù)方認(rèn)證通過后服務(wù)方就會根據(jù)用戶方權(quán)限響應(yīng)用戶方的接入請求，其中，只要認(rèn)證程序中止運(yùn)行那么該認(rèn)證程序的認(rèn)證連接或認(rèn)證標(biāo)識就會失效，其中，所述的驗(yàn)證憑證是一個(gè)以整體發(fā)送的信息或者是由兩個(gè)分別發(fā)送的信息構(gòu)成的，其中，用戶方不需要將自己在服務(wù)方注冊的可以直接在服務(wù)方完成接入認(rèn)證的用戶名和密碼發(fā)送給或保存在中介方。其中，如果認(rèn)證連接或認(rèn)證標(biāo)識無效，那么中介方就會中止認(rèn)證過程，服務(wù)方對用戶方的認(rèn)證就會失敗。其中，用戶方每次重新與服務(wù)方建立連接時(shí)都需要進(jìn)行服務(wù)方認(rèn)證。

其中，當(dāng)認(rèn)證程序中止運(yùn)行時(shí)用戶方對服務(wù)方的指定的服務(wù)或資源的接入也會中止。認(rèn)證程序在中止時(shí)，可以通知服務(wù)方中止接入，也可以中止用戶方接入服務(wù)方的程序?qū)ο蟮倪\(yùn)行。