技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，具體涉及一種用戶認(rèn)證方法及系統(tǒng)。

背景技術(shù)

cookie是互聯(lián)網(wǎng)網(wǎng)站為了辨別用戶身份而存儲在用戶使用的本地客戶端上的數(shù)據(jù)。當(dāng)用戶需要某網(wǎng)站提供的服務(wù)時，用戶登錄該網(wǎng)站，網(wǎng)站會在本地客戶端上存儲一個小文本文件，用于記錄用戶ID（標(biāo)識）、密碼、網(wǎng)頁地址和停留時間等cookie信息，接下來用戶在該網(wǎng)站進(jìn)行類似業(yè)務(wù)預(yù)定、下單、購買或其它消費(fèi)等各種服務(wù)時，網(wǎng)站通過cookie確認(rèn)用戶身份，完成提供服務(wù)的流程。cookie識別方案是RFC（Request?For?Comments，一系列以編號排定的文件）協(xié)議中的標(biāo)準(zhǔn)流程。cookie只能在宿主網(wǎng)站使用，第三方網(wǎng)站不能使用其它網(wǎng)站生成的cookie。如果用戶通過第三方網(wǎng)站（如網(wǎng)站A）需要使用宿主網(wǎng)站（如網(wǎng)站B）提供的服務(wù)，則必須要求用戶通過網(wǎng)站A中的鏈接到達(dá)網(wǎng)站B，進(jìn)行二次登錄（第一次登錄網(wǎng)站A，第二次登錄網(wǎng)站B）。現(xiàn)有技術(shù)還提供了一種oauth協(xié)議，該協(xié)議為用戶資源的授權(quán)提供了一個安全、開放而又簡易的標(biāo)準(zhǔn)。根據(jù)oauth協(xié)議的規(guī)定，第三方網(wǎng)站（如網(wǎng)站A）為了使用宿主網(wǎng)站（如網(wǎng)站B）的一些需要用戶身份的接口或服務(wù)，需要引導(dǎo)用戶到達(dá)網(wǎng)站B，在網(wǎng)站B完成登錄和授權(quán)等相應(yīng)流程，網(wǎng)站B會頒發(fā)一個在一定時間內(nèi)（稱為有效期）唯一標(biāo)識該用戶的標(biāo)記（Token）給網(wǎng)站A，網(wǎng)站A可以使用這個Token在有效期內(nèi)多次獲取用戶的信息，繼而提供相應(yīng)的服務(wù)。oauth協(xié)議為了取得宿主網(wǎng)站的用戶的授權(quán)，從而獲取該用戶的各種信息的服務(wù)，但其核心目的不是為了標(biāo)識用戶身份。為了使得第三方網(wǎng)站能在較長時間內(nèi)獲取用戶的信息，宿主網(wǎng)站頒發(fā)的Token的有效期一般都比較長，這樣第三方網(wǎng)站可能會利用該Token惡意長期使用宿主網(wǎng)站提供的服務(wù)，尤其是針對某些宿主網(wǎng)站提供的扣費(fèi)服務(wù)，假如被惡意使用，會給用戶造成很大的損失。另外，oauth協(xié)議也需要用戶登錄宿主網(wǎng)站，而且需要得到宿主網(wǎng)站的授權(quán)，操作起來十分復(fù)雜。

發(fā)明內(nèi)容

鑒于上述問題，提出了本發(fā)明以便提供一種克服上述問題或者至少部分地解決上述問題的用戶認(rèn)證系統(tǒng)和相應(yīng)的用戶認(rèn)證方法。

根據(jù)本發(fā)明的一個方面，提供了一種用戶認(rèn)證系統(tǒng)，包括用戶代理裝置、宿主網(wǎng)站服務(wù)器以及第三方應(yīng)用服務(wù)器；

所述用戶代理裝置包括：登錄器，適于當(dāng)用戶登錄時獲取包括第一用戶標(biāo)識的用戶登錄信息；第一發(fā)送器，適于當(dāng)用戶訪問第三方應(yīng)用服務(wù)器時，將所述第一用戶標(biāo)識傳送給所述第三方應(yīng)用服務(wù)器；第一接收器，適于接收所述第三方應(yīng)用服務(wù)器發(fā)出的包括第一用戶標(biāo)識的服務(wù)接口地址請求消息；第二發(fā)送器，適于根據(jù)所述服務(wù)接口地址請求消息，將所述第一用戶標(biāo)識發(fā)送給宿主網(wǎng)站服務(wù)器；第二接收器，適于獲取所述宿主網(wǎng)站服務(wù)器根據(jù)所述第一用戶標(biāo)識生成的用戶密鑰；附加器，適于將所述用戶密鑰附加在服務(wù)接口地址中；所述第一發(fā)送器還適于將所述服務(wù)接口地址傳送給第三方應(yīng)用服務(wù)器；

所述宿主網(wǎng)站服務(wù)器，包括：第三接收器，適于接收用戶代理裝置發(fā)送的第一用戶標(biāo)識，所述第一用戶標(biāo)識是所述用戶代理裝置在用戶登錄并訪問第三方應(yīng)用服務(wù)器時，將所述用戶的第一用戶標(biāo)識傳送給所述第三方應(yīng)用服務(wù)器之后，接收到所述第三方應(yīng)用服務(wù)器發(fā)出的包括第一用戶標(biāo)識的服務(wù)接口地址請求消息而發(fā)送的；生成器，適于根據(jù)所述第一用戶標(biāo)識生成用戶密鑰；第三發(fā)送器，適于將所述用戶密鑰發(fā)送給所述用戶代理裝置，以供所述用戶代理裝置將所述用戶密鑰附加在服務(wù)接口地址中，將所述服務(wù)接口地址傳送給第三方應(yīng)用服務(wù)器；第四接收器，適于接收所述第三方應(yīng)用服務(wù)器發(fā)出的包括第二用戶標(biāo)識和所述服務(wù)接口地址的服務(wù)提供請求消息；查詢器，適于解析所述服務(wù)接口地址，獲取所述用戶密鑰，然后根據(jù)所述用戶密鑰獲取所述第一用戶標(biāo)識；第一認(rèn)證器，適于根據(jù)所述第一用戶標(biāo)識與第二用戶標(biāo)識是否一致的比較結(jié)果確定是否要向第三方應(yīng)用服務(wù)器提供服務(wù)。

根據(jù)本發(fā)明的另一方面，提供了一種用戶認(rèn)證方法，包括：

當(dāng)用戶登錄用戶代理并通過所述用戶代理訪問第三方應(yīng)用服務(wù)器時，將所述用戶的第一用戶標(biāo)識傳送給所述第三方應(yīng)用服務(wù)器；

接收所述第三方應(yīng)用服務(wù)器發(fā)出的包括第一用戶標(biāo)識的服務(wù)接口地址請求消息，將所述第一用戶標(biāo)識發(fā)送給宿主網(wǎng)站服務(wù)器；