本发明涉及一种基于身份认证的用户登陆方法,用于用户使用所持终端上应用程序请求登陆后台上业务系统,包括如下步骤:用户使用应用程序向业务系统发出登陆请求;业务系统指示认证中心对登陆请求进行登陆认证;安全认证控件接收输入以获取对应于用户身份的认证信息;安全认证控件与认证中心建立安全通道,并向认证中心发送对应于认证信息的认证请求;认证中心对认证请求进行认证,并向业务系统传送对应于认证请求的认证响应;业务系统基于认证响应确定用户的帐号信息,并准许用户登陆。其通过使用独立的安全通道来进行认证,可安全可靠地实现身份认证过程;同时简单高效,适应更丰富的使用场景。
1.一种基于身份认证的用户登陆方法,用于用户使用所持终端上应用程序请求登陆后台上业务系统,其中,所述业务系统服务于所述应用程序,所述终端还包括安全认证控件,所述业务系统与认证中心连接,所述方法包括如下步骤:a)、用户使用所述应用程序向所述业务系统发出登陆请求;
b)、所述业务系统指示所述认证中心对所述登陆请求进行登陆认证;
c)、所述安全认证控件接收输入以获取对应于所述用户身份的认证信息;其中,所述认证信息包括至少一个认证要素;
d)、所述安全认证控件与所述认证中心建立安全通道,并向所述认证中心发送对应于所述认证信息的认证请求;
e)、所述认证中心对所述认证请求进行认证,并向所述业务系统传送对应于所述认证请求的认证响应;
f)、所述业务系统基于所述认证响应确定所述用户的帐号信息,并准许所述用户登陆。
2.根据权利要求1所述的方法,其特征在于,所述步骤b)具体包括:所述业务系统向所述认证中心发出认证指令,以用于指示所述认证中心对所述登陆请求进行登陆认证;
所述认证中心判断所述认证指令是否来自合法的所述业务系统,若所述业务系统不合法,所述认证中心断开与所述业务系统的连接,并退出所述方法;
所述认证中心生成认证请求会话号并通过所述业务系统返回所述应用程序;其中,所述认证请求会话号与所述登陆请求一一对应。
3.根据权利要求2所述的方法,其特征在于,所述步骤c)具体包括:所述应用程序调用所述安全认证控件,并向所述安全认证控件传递所述认证请求会话号;
所述安全认证控件从外设接收输入以获取所述认证信息。
4.根据权利要求2所述的方法,其特征在于,所述步骤d)具体包括:所述安全认证控件加载通信证书,并使用所述认证请求会话号与所述认证中心建立所述安全通道;其中,所述通信证书由所述认证中心预设并存储于所述安全认证控件中;
所述安全认证控件通过所述安全通道向所述认证中心发送所述认证请求;其中,所述认证请求包括所述认证信息和所述认证请求会话号。
5.根据权利要求2所述的方法,其特征在于,所述步骤e)具体包括:所述认证中心基于所述认证请求会话号验证所述认证请求是否合法,若不合法,则所述认证中心指示所述业务系统不准许所述用户登陆,并退出所述方法;
所述认证中心验证所述认证信息是否合法,若不合法,则所述认证中心指示所述业务系统不准许所述用户登陆,并退出所述方法;
所述认证中心生成所述认证响应并向所述业务系统传送。
6.根据权利要求1至5中任一项所述的方法,其特征在于,所述认证要素包括动态口令、数字签名以及指纹信息中的任一种或任多种。
后台,其设有业务系统,所述业务系统服务于所述应用程序;
认证中心,其根据所述业务系统的指示,对所述应用程序请求访问所述业务系统的登陆请求进行登陆认证;
其中,所述安全认证控件接收输入以获取对应于所述用户身份的认证信息,并与所述认证中心建立安全通道,以向所述认证中心发送认证请求;所述认证中心对所述认证请求进行认证,并向所述业务系统传送认证响应;所述业务系统基于所述认证响应确定所述用户的帐号信息,并准许所述用户登陆;
其中,所述认证信息包括至少一个认证要素,所述认证请求对应于所述认证信息,所述认证响应对应于所述认证请求。
8.一种基于身份认证的用户登陆方法,用于用户使用所持终端在第一应用程序中请求登陆后台上第二业务系统,其中,所述终端上设有所述第一应用程序、第二应用程序以及安全认证控件,所述后台上设有第一业务系统和所述第二业务系统,所述第一业务系统、所述第二业务系统分别服务于所述第一应用程序、所述第二应用程序,所述第一业务系统、所述第二业务系统分别与认证中心连接,所述方法包括如下步骤:a)、所述用户在所述第一应用程序中向所述第二业务系统发出登陆请求;
b)、所述第二业务系统指示所述认证中心对所述登陆请求进行登陆认证;
c)、所述安全认证控件获取跳转源信息、跳转目的地信息;其中,所述跳转源信息至少包括所述第一业务系统的标识号,所述跳转目的地信息至少包括所述第二业务系统的标识号;
d)、所述安全认证控件与所述认证中心建立安全通道,并向所述认证中心发送认证请求;
e)、所述认证中心查询对该用户上一次请求登陆所述第二业务系统的认证结果,以生成对应于所述认证请求的认证响应;
f)、所述第二业务系统基于所述认证响应确定所述用户的帐号信息,并准许所述用户登陆。
9.根据权利要求8所述的方法,其特征在于,所述步骤b)具体包括:所述第二业务系统向所述认证中心发出认证指令,以用于指示所述认证中心对所述登陆请求进行登陆认证;
所述认证中心判断所述认证指令是否来自合法的所述第二业务系统,若所述第二业务系统不合法,所述认证中心断开与所述第二业务系统的连接,并退出所述方法;
所述认证中心生成跨应用登陆会话号并通过所述第二业务系统转送至所述第二应用程序;其中,所述跨应用登陆会话号与所述登陆请求一一对应。
10.根据权利要求9所述的方法,其特征在于,所述步骤c)具体包括:所述第二应用程序调用所述安全认证控件,并向所述安全认证控件传递所述跨应用登陆会话号、所述跳转目的地信息;
所述安全认证控件从所述第一应用程序获取所述跳转源信息。
11.根据权利要求9所述的方法,其特征在于,所述步骤d)具体包括:所述安全认证控件加载通信证书,并使用所述跨应用登陆会话号与所述认证中心建立所述安全通道;其中,所述通信证书由所述认证中心预设并存储于所述安全认证控件中;
所述安全认证控件通过所述安全通道向所述认证中心发送所述认证请求;其中,所述认证请求包括所述跳转源信息、所述跳转目的地信息和所述跨应用登陆会话号。
12.根据权利要求9所述的方法,其特征在于,所述步骤e)具体包括:所述认证中心基于所述跨应用登陆会话号验证所述认证请求是否合法,若不合法,则所述认证中心指示所述第二业务系统不准许所述用户登陆,并退出所述方法;
所述认证中心基于所述跳转目的地信息查询历史数据,以获得对该用户上一次请求登陆所述第二业务系统的认证结果;
所述认证中心基于所述认证结果生成对应于所述认证请求的认证响应。
用户所持终端,其安装有第一应用程序、第二应用程序和安全认证控件;
后台,其设有第一业务系统和第二业务系统,所述第一业务系统、所述第二业务系统分别服务于所述第一应用程序、所述第二应用程序;
认证中心,其根据所述第二业务系统的指示,对所述第一应用程序请求访问所述第二业务系统的登陆请求进行登陆认证;
其中,所述安全认证控件获取跳转源信息、跳转目的地信息,并与所述认证中心建立安全通道,以向所述认证中心发送认证请求;所述认证中心查询对该用户上一次请求登陆所述第二业务系统的认证结果,以生成认证响应;所述第二业务系统基于所述认证响应确定所述用户的帐号信息,并准许所述用户登陆;
其中,所述跳转源信息至少包括所述第一业务系统的标识号,所述跳转目的地信息至少包括所述第二业务系统的标识号,所述认证请求包括所述跳转源信息、跳转目的地信息,所述认证响应对应于所述认证请求。
基于身份认证的用户登陆方法及系统
技术领域
[0001] 本发明涉及安全登陆技术领域,更具体地说,涉及一种基于身份认证的用户登陆方法及系统。
背景技术
[0002] 随着互联网技术的不断发展,网络应用不断丰富,诸如社交网站、电子商务、云存储等已逐渐普及,与此同时,网络安全问题也受到越来越多的关注;其中身份认证技术作为一种基础性的安全机制更是发挥着重要的作用。目前的身份认证技术主要包括:
[0003] 1、基于账号、口令的方式,这是互联网中最普通、应用最广的身份认证手段,但一方面随着口令破解技术的发展,各类账号被盗的事件愈发频繁;另一方面用户登录不同的网站需要记忆不同的账号和口令,使用不方便,且增加了账号口令泄露的风险。因此,简单的账号、口令方式已不再适合互联网的安全需求。
[0004] 2、增强型认证,以USBkey、OTP令牌等专用的身份认证安全设备为代表,主要是由商业银行发放,用于网上银行交易,该方式在安全性上得到较大的提高,但需要携带,用户使用不方便,且适用场景少,因此也没有得到普及。
[0005] 由此可见,目前的身份认证手段在安全性、通用性或便利性方面或多或少地存在不足。
发明内容
[0006] 本发明的目的在于提供一种安全、通用性好、使用便利的基于身份认证的用户登陆方法。
[0007] 为实现上述目的,本发明提供一种技术方案如下:
[0008] 一种基于身份认证的用户登陆方法,用于用户使用所持终端上应用程序请求登陆后台上业务系统,其中,业务系统服务于应用程序,终端还包括安全认证控件,业务系统与认证中心连接,该方法包括如下步骤: a)、用户使用应用程序向业务系统发出登陆请求;b)、业务系统指示认证中心对登陆请求进行登陆认证;c)、安全认证控件接收输入以获取对应于用户身份的认证信息;其中,认证信息包括至少一个认证要素;d)、安全认证控件与认证中心建立安全通道,并向认证中心发送对应于认证信息的认证请求;e)、认证中心对认证请求进行认证,并向业务系统传送对应于认证请求的认证响应;f)、业务系统基于认证响应确定用户的帐号信息,并准许用户登陆。
[0009] 优选地,步骤d)具体包括:安全认证控件加载通信证书,并使用认证请求会话号与认证中心建立安全通道;其中,通信证书由认证中心预设并存储于安全认证控件中;安全认证控件通过安全通道向认证中心发送认证请求;其中,认证请求包括认证信息和认证请求会话号。
[0010] 优选地,步骤e)具体包括:认证中心基于认证请求会话号验证认证请求是否合法,若不合法,则认证中心指示业务系统不准许用户登陆,并退出方法;认证中心验证认证信息是否合法,若不合法,则认证中心指示业务系统不准许用户登陆,并退出方法;认证中心生成认证响应并向业务系统传送。
[0011] 本发明也提供一种用户登陆系统,其包括:用户所持终端,其安装有应用程序和安全认证控件;后台,其设有业务系统,业务系统服务于应用程序;认证中心,其根据业务系统的指示,对应用程序请求访问业务系统的登陆请求进行登陆认证;其中,安全认证控件接收输入以获取对应于用户身份的认证信息,并与认证中心建立安全通道,以向认证中心发送认证请求;认证中心对认证请求进行认证,并向业务系统传送认证响应;业务系统基于认证响应确定用户的帐号信息,并准许用户登陆;其中,认证信息包括至少一个认证要素,认证请求对应于认证信息,认证响应对应于认证请求。
[0012] 本发明的另一目的在于提供一种跨应用登陆后台另一业务系统的方法。
[0013] 为实现上述目的,本发明提供一种技术方案如下:
[0014] 一种基于身份认证的用户登陆方法,用于用户使用所持终端在第一应用程序中请求登陆后台上第二业务系统,其中,终端上设有第一应用程序、第二应用程序以及安全认证控件,后台上设有第一业务系统和第二业务系统,第一、第二业务系统分别服务于第一、第二应用程序,第一、第二业务系统分别与认证中心连接,该方法包括如下步骤:a)、用户在第一应用程序中向第二业务系统发出登陆请求;b)、第二业务系统指示认证中心对登陆请求进行登陆认证;c)、安全认证控件获取跳转源信息、跳转目的地信息;其中,跳转源信息至少包括第一业务系统的标识号,跳转目的地信息至少包括第二业务系统的标识号;d)、安全认证控件与认证中心建立安全通道,并向认证中心发送认证请求;e)、认证中心获得对用户请求登陆第一业务系统的认证结果,以生成对应于认证请求的认证响应;f)、第二业务系统基于认证响应确定用户的帐号信息,并准许用户登陆。
[0015] 优选地,步骤d)具体包括:安全认证控件加载通信证书,并使用跨应用登陆会话号与认证中心建立安全通道;其中,通信证书由认证中心预设并存储于安全认证控件中;安全认证控件通过安全通道向认证中心发送认证请求;其中,认证请求包括跳转源信息、跳转目的地信息和跨应用登陆会话号。
[0016] 本发明也提供一种用户登陆系统,其包括:用户所持终端,其安装有第一应用程序、第二应用程序和安全认证控件;后台,其设有第一业务系统和第二业务系统,第一、第二业务系统分别服务于第一、第二应用程序;认证中心,其根据第二业务系统的指示,对第一应用程序请求访问第二业务系统的登陆请求进行登陆认证;其中,安全认证控件获取跳转源信息、跳转目的地信息,并与认证中心建立安全通道,以向认证中心发送认证请求;认证中心查询对该用户上一次请求登陆第二业务系统的认证结果,以生成认证响应;第二业务系统基于认证响应确定用户的帐号信息,并准许用户登陆;其中,跳转源信息至少包括第一业务系统的标识号,跳转目的地信息至少包括第二业务系统的标识号,认证请求包括跳转源信息、跳转目的地信息,认证响应对应于认证请求。
[0017] 本发明各实施例提供的基于身份认证的用户登陆方法,每次认证会话均通过该次认证会话特有的、独立的安全通道来进行,认证会话所需数据不受外界干扰或窃取,可安全可靠地实现身份认证过程。且具体的身份认证过程则由安全认证控件和认证中心自动完成,整个流程简单高效。此外,通过设置认证中心来统一为用户提供登录各业务系统的方法,本发明在兼容现有的强身份认证技术的基础上,适应更丰富的使用场景、实用性明显提高。
附图说明
[0018] 图1是本发明第一实施例提供的基于身份认证的用户登陆方法的流程示意图。
[0019] 图2是本发明第二实施例提供的基于身份认证的用户登陆方法的流程示意图。
具体实施方式
[0020] 本发明第一实施例提供一种基于身份认证的用户登陆方法,其用于用户使用所持终端上应用程序请求登陆后台上业务系统。在该第一实施例中,用户所持终端包括应用程序和安全认证控件;后台与多个终端通信,后台侧设有服务于该应用程序的业务系统;业务系统与认证中心连接。认证中心可由独立的第三方建设、管理和运营,其可专用于对该应用程序请求登陆后台业务系统进行认证,或者,其也可用于对多个应用程序各自请求登陆相应的后台业务系统分别进行认证。
[0021] 如图1所示,根据第一实施例的方法包括如下步骤:
[0022] 步骤S10、用户使用应用程序向业务系统发出登陆请求。
[0023] 业务系统架设于后台侧,服务于应用程序。应用程序的功能需要通过访问业务系统来实现,用户使用应用程序向业务系统发出登陆请求这一动作可能是用户明知的,也可能在用户不知道的情况下由用户的某些操作触发,这取决于应用程序的设定。
[0024] 步骤S11、业务系统指示认证中心对登陆请求进行登陆认证。
[0025] 该步骤又可分为如下子步骤:步骤S110、业务系统向认证中心发出认证指令,以用于指示认证中心对登陆请求进行登陆认证;步骤S111、认证中心判断认证指令是否来自合法的业务系统,若业务系统不合法,认证中心断开与业务系统的连接,并退出方法;步骤S112、认证中心生成认证请求会话号并通过业务系统返回应用程序。
[0026] 其中,业务系统在收到应用程序发来的登陆请求后,即向认证中心发出认证指示(指示认证中心对来自应用程序的登陆请求进行登陆认证),认证指示与登陆请求一一对应;认证中心依据该认证指示生成认证请求会话号,认证请求会话号与认证指示一一对应。本文所指“认证请求会话号”用于表示每一次身份认证中、安全认证控件与认证中心之间的会话过程,其可以随机生成,并与来自应用程序的登陆请求一一对应,不同的认证请求会话号将表示不同次身份认证的会话过程。
[0027] 步骤S12、安全认证控件接收输入以获取对应于用户身份的认证信息;其中,认证信息包括至少一个认证要素。
[0028] 具体地,该步骤包括:步骤S120、在收到认证请求会话号后,应用程序调用安全认证控件,并向安全认证控件传递认证请求会话号。
[0029] 步骤S121、安全认证控件从外设接收输入以获取认证信息。
[0030] 本文所指“认证信息”表示用于认证用户唯一身份的信息,其对用户而言是唯一的、特有的,不同的用户具有不同的认证信息。认证信息可包括多个认证要素,认证要素例如为:动态口令、数字签名、指纹信息等,也可为它们的组合。用户通过外设向安全认证控件输入认证信息。
[0031] 其中,外设可包括键盘、鼠标、触笔、触摸垫等外部安全设备。
[0032] 步骤S13、安全认证控件与认证中心建立安全通道,并向认证中心发送对应于认证信息的认证请求。
[0033] 该步骤具体包括:步骤S130、安全认证控件加载通信证书,并使用认证请求会话号与认证中心建立一个安全通道以进行通信。其中,安全通道与认证请求会话号一一对应,该次认证会话结束后,可释放安全通道占用的系统资源,以供后续重新分配。换言之,不同次认证会话将生成相互不同的多个认证请求会话号,依据本发明的思想也将建立多个相互独立的安全通道。
[0034] 步骤S131、安全认证控件通过安全通道向认证中心发送认证请求。
[0035] 其中,通信证书由认证中心预设并存储于安全认证控件中;认证请求包括认证信息和认证请求会话号。
[0036] 根据该步骤S13,安全通道应安全可靠地建立在安全认证控件和认证中心之间,独立于业务系统。
[0037] 此外,在同一认证中心对多个应用程序(以第一、第二应用程序为例)各自请求登陆相应的后台业务系统分别进行认证的情况下,第一、第二应用程序分别使用独立的安全通道与认证中心进行通信。
[0038] 步骤S14、认证中心对认证请求进行认证,并向业务系统传送对应于认证请求的认证响应。
[0039] 具体地,该步骤划分为如下子步骤:步骤S140、认证中心基于认证请求会话号验证认证请求是否合法,若不合法,则认证中心指示业务系统不准许用户登陆,并退出该方法。
[0040] 如上所述,认证请求会话号表示每一次身份认证中、安全认证控件与认证中心之间的会话过程,由认证中心随机生成,经业务系统、应用程序转送到安全认证控件。若认证请求会话号为伪造的,认证中心将指示业务系统不准许用户登陆,并结束整个身份认证过程。
[0041] 步骤S141、认证中心验证认证信息是否合法,若不合法,则认证中心指示业务系统不准许用户登陆,并退出该方法。
[0042] 如上,认证信息表示用于认证用户唯一身份的信息,其对用户而言是唯一的。认证信息的生成方案可特别地由认证中心预设或由认证中心认可,认证信息也可采用常规的动态口令、数字签名、指纹信息其中之一,或它们的组合等。认证中心可验证认证信息的真伪,在判定其不合法时,指示业务系统不准许用户登陆,并结束整个身份认证过程。
[0043] 步骤S142、认证中心生成认证响应并向业务系统传送。
[0044] 根据上述步骤S14,认证中心收到来自安全认证控件的认证请求后,进行一系列验证动作,生成认证响应,并将认证响应发送到业务系统。
[0045] 步骤S15、业务系统基于认证响应确定用户的帐号信息,并准许用户登陆。
[0046] 具体地,业务系统从认证响应中获取所需的用户身份信息,进而确定用户的帐号信息,并准许用户登陆。
[0047] 例如,确定用户的帐号信息的一种可行的方法是:在业务系统的管理界面中使用一个认证标识号与业务系统许可的用户帐号进行关联。关联后,每次认证通过,认证中心都将生成一个认证标识号,并将认证标识号包括在认证响应中,并发送给业务系统,业务系统依据该认证标识号能查询到对应的用户帐号信息,以便准许用户登陆。
[0048] 上述第一实施例提供的基于身份认证的用户登陆方法,通过建立独立的安全通道,能防止业务系统被攻击后导致认证信息的泄露,从而安全可靠地实现身份认证过程。其可为业务系统提供用户身份认证解决方案,通过认证请求会话号将登陆请求与认证请求/响应相互关联,应用程序发出登陆请求后,具体的身份认证过程则由安全认证控件和认证中心自动完成,整个流程简单高效。此外,通过统一为用户提供登录各业务系统的方法,本发明在兼容现有的强身份认证技术的基础上,适应更丰富的使用场景、实用性明显提高。
[0049] 本发明第二实施例提供另一种基于身份认证的用户登陆方法,用于用户使用所持终端在第一应用程序中请求登陆后台上第二业务系统。在该实施例中,终端上设有第一应用程序、第二应用程序以及安全认证控件,后台与多个终端通信,后台上设有第一业务系统和第二业务系统,第一、第二业务系统分别服务于第一、第二应用程序,第一、第二业务系统还分别与认证中心连接。认证中心由独立的第三方建设、管理和运营,其用于对第一、第二应用程序等多个应用程序各自请求登陆相应的后台业务系统分别进行认证。
[0050] 根据第二实施例,如图2所示,该方法包括如下步骤:
[0051] 步骤S20、用户在第一应用程序中向第二业务系统发出登陆请求。
[0052] 例如,用户在第一应用程序的界面中点击了第二应用程序的链接,可触发第一应用程序向第二业务系统发出登陆请求;或者,也可能在用户不知道的情况下由用户的某些操作触发。
[0053] 步骤S21、第二业务系统指示认证中心对登陆请求进行登陆认证。
[0054] 具体地,该步骤包括:第二业务系统向认证中心发出认证指令,以用于指示认证中心对登陆请求进行登陆认证;认证中心判断该认证指令是否来自合法的第二业务系统,若第二业务系统不合法,认证中心断开与第二业务系统的连接,并退出该方法;认证中心生成跨应用登陆会话号并通过第二业务系统转送至第二应用程序。
[0055] 根据该步骤,每个登陆请求将生成一个认证指令,最终对应地生成一个跨应用登陆会话号。
[0056] 步骤S22、安全认证控件获取跳转源信息、跳转目的地信息。
[0057] 具体地,该步骤包括:第二应用程序调用安全认证控件,并向安全认证控件传递跨应用登陆会话号、跳转目的地信息;安全认证控件从第一应用程序获取跳转源信息。
[0058] 本文所指“跳转源信息”指示跨应用登陆前用户所使用的应用程序和/或业务系统,“跳转目的地信息”指示跨应用登陆后用户所使用的应用程序和/或业务系统。例如,跳转源信息至少包括第一业务系统(其服务于第一应用程序)的标识号,跳转目的地信息至少包括第二业务系统(其服务于第二应用程序)的标识号。
[0059] 步骤S23、安全认证控件与认证中心建立安全通道,并向认证中心发送认证请求。
[0060] 具体地,该步骤包括:安全认证控件加载通信证书,并使用跨应用登陆会话号与认证中心建立安全通道;安全认证控件通过安全通道向认证中心发送认证请求。类似地,安全通道与跨应用登陆会话号一一对应,该次认证会话结束后,可释放安全通道占用的系统资源,以供后续重新分配。不同次认证会话将生成相互不同的多个跨应用登陆会话号,从而将建立多个相互独立的安全通道。
[0061] 其中,通信证书由认证中心预设并存储于安全认证控件中,认证请求例如包括跳转源信息、跳转目的地信息和跨应用登陆会话号。安全通道安全可靠地建立在安全认证控件和认证中心之间,分别独立于第一、第二应用程序以及第一、第二业务系统。
[0062] 步骤S24、认证中心获得对用户请求登陆第一业务系统的认证结果,以生成对应于认证请求的认证响应。
[0063] 步骤S24可具体划分为3个子步骤:
[0064] 1)、认证中心基于跨应用登陆会话号验证认证请求是否合法,若不合法,则认证中心指示第二业务系统不准许用户登陆,并退出该方法。
[0065] 2)、认证中心基于跳转目的地信息查询历史数据,以获得对同一用户上一次请求登陆第二业务系统的认证结果。
[0066] 3)、认证中心基于该认证结果生成对应于认证请求的认证响应。
[0067] 其中,认证中心判定跨应用登陆会话号的真伪。历史数据记录同一用户前若干次请求登陆第二业务系统的认证结果,历史数据可存储在认证中心处的服务器上,以便于认证中心进行查询。
[0068] 根据历史数据来生成认证响应例如可采用如下方案:如果本次跨应用登录的发起时间与同一用户上一次安全登录第二业务系统的认证时间在允许的时间间隔内(例如30分钟),则跨应用登录认证成功,认证中心通过认证响应准许该用户再次登陆。其中,该用户上一次安全登录第二业务系统可能是用户通过第一应用向第二业务系统发出登陆请求引起的,也可能是用户直接使用第二应用向第二业务系统发出登陆请求而引起的。
[0069] 步骤S25、第二业务系统基于认证响应确定用户的帐号信息,并准许用户登陆。
[0070] 与上述第一实施例类似地,可采用关联的方式来确定帐号信息:业务系统使用一个认证标识号来与业务系统许可的用户帐号进行关联。关联后,每次认证通过,认证中心都将生成一个认证标识号,并将认证标识号包括在认证响应中,并发送给业务系统,业务系统依据该认证标识号能查询到对应的用户帐号信息。
[0071] 上述第二实施例提供的基于身份认证的用户登陆方法,通过建立独立的安全通道,在用户需要跨应用登陆时,可实现方便且快速的登陆过程,且同样安全可靠。此外,通过设置认证中心,可为用户登录各业务系统提供统一认证方式,在兼容现有的强身份认证技术的基础上,使用场景更丰富,实用性更佳,便于在行业内推广。
[0072] 本发明也提供各种用户登陆系统,供用户通过所持终端上应用程序访问后台的业务系统,该系统在终端的安全认证控件和后台侧的认证中心之间建立独立的安全通道,每次认证会话所需的数据从该次认证会话特有的安全通道上独立传输,从而提供安全可靠的用户身份认证措施。
[0073] 根据本发明第三实施例的用户登陆系统,包括:用户所持终端,其安装有应用程序和安全认证控件;后台,其设有业务系统,业务系统服务于应用程序;认证中心,其根据业务系统的指示,对应用程序请求访问业务系统的登陆请求进行登陆认证。
[0074] 在认证会话中,安全认证控件接收输入以获取对应于用户身份的认证信息,并与认证中心建立安全通道,以向认证中心发送认证请求;认证中心对认证请求进行认证,并向业务系统传送认证响应;业务系统基于认证响应确定用户的帐号信息,并准许用户登陆;其中,认证信息包括至少一个认证要素,认证请求对应于认证信息,认证响应对应于认证请求。
[0075] 根据本发明第四实施例的用户登陆系统,包括:用户所持终端,其安装有第一应用程序、第二应用程序和安全认证控件;后台,其设有第一业务系统和第二业务系统,第一、第二业务系统分别服务于第一、第二应用程序;认证中心,其根据第二业务系统的指示,对第一应用程序请求访问第二业务系统的登陆请求进行登陆认证。
[0076] 在认证会话中,安全认证控件获取跳转源信息、跳转目的地信息,并与认证中心建立安全通道,以向认证中心发送认证请求;认证中心查询对该用户上一次请求登陆第二业务系统的认证结果,以生成认证响应;第二业务系统基于认证响应确定用户的帐号信息,并准许用户登陆;其中,跳转源信息至少包括第一业务系统的标识号,跳转目的地信息至少包括第二业务系统的标识号,认证请求包括跳转源信息、跳转目的地信息,认证响应对应于认证请求。
[0077] 上述说明仅针对于本发明的优选实施例,并不在于限制本发明的保护范围。基于本发明的思想,本领域技术人员可作出各种变形设计,而不脱离本发明的思想及附随的权利要求。
