[发明专利]由第三方提供身份认证服务的系统和方法

说明书

技术领域

本发明涉及一种在网络上由第三方提供身份认证服务的系统和方法。

背景技术

基于互联网提供的资源和服务的数量非常巨大并增长迅猛，互联网已经成为人们获取信息资源和信息服务的主要渠道，许多网上资源和服务要求用户进行登录和验证，这就产生了一些问题。首先，采用不同的登录信息，登录信息就会繁多难记。其次，如果采用相同的登录信息，安全性太低。再次，简单的用户名加密码的方式也存在着安全性太低的问题，满足不了很多网上应用的需要。一些对用户来说重要的资源和服务，如：网络游戏帐号、电子商务帐号等等，常常面临着网上安全性不足的困扰。最后，很多用户有着移动中登陆互联网资源或服务的需求，这就需要保证用户能够在不同终端上安全获取相同的权限。因此，基于第三方的身份安全认证将成为解决以上问题的理想方案。

但是，互联网的高开放性造成了它的低安全性，一方面登陆信息在传送过程中存在泄露的危险，另一方面，网上资源提供者并不总是安全的。这样的话，如果用户每次以相同的登陆信息登陆同一网络资源或在不同的网络资源上采用相同的登陆信息，就会存在很大的安全隐患。而目前存在的第三方提供安全认证的方法都是用户直接生成认证信息后传送给第三方认证者，就存在这种安全问题。

发明内容

本发明采用一种在网络上提供第三方身份认证服务的系统和方法，来解决以上提到的问题。本发明由第三方提供安全认证，在终端发往认证服务器的认证信息中加入了由认证服务器发来的信息或当前时间信息，使每次的身份认证信息都会不同，这样的话，即使用户在某个终端上发出的某次身份认证信息被泄漏，也不会危及用户以后的身份认证安全。

本发明是这样实现的：一种由第三方提供身份认证服务的系统和方法，该系统包括终端、应用服务系统和认证服务系统，三者连接于同一网络，其中，终端用户具有密钥X，认证服务系统储存着对应的密钥Y，密钥X和密钥Y是同一个对称加密的密钥或一对非对称加密的密钥，其中，终端用户在应用服务系统中具有用户识别码(APID)，终端用户在认证服务系统中也具有用户识别码(AUID)，APID与AUID存在对应关系，其中，认证服务系统可以为应用服务系统提供对于终端用户的身份认证服务，其中，终端生成的发往认证服务系统的认证信息B中包含着：①由至少包括密钥X和认证信息A在内的信息进行数学计算的结果，或者②由至少包括密钥X和生成认证信息B时终端系统的系统时间在内的信息进行数学计算的结果，

①当认证信息B中包含着-由至少包括密钥X和认证信息A在内的信息进行数学计算的结果，该方法包括以下步骤：

11)认证服务系统收到关于终端系统用户的身份认证请求；

12)认证服务系统向终端系统发送认证信息A；

13)终端系统生成认证信息B，认证信息B中包含着由至少包括密钥X和认证信息A在内的信息进行数学计算的结果；

14)认证服务系统收到认证信息B；

15)认证服务系统用包括认证信息A在内的信息对认证信息B进行判断；

16)认证服务系统向应用服务系统发送关于身份认证结果的信息；

②当认证信息B包含着-由至少包括密钥X和生成认证信息B时终端系统的系统时间在内的信息进行数学计算的结果，该方法包括以下步骤：

21)终端系统生成认证信息B，其中包含着由至少包括密钥X和生成认证信息B时终端系统的系统时间在内的信息进行数学计算的结果；

22)认证服务系统收到认证信息B，认证服务系统同时收到关于该用户AUID的信息，关于该用户AUID的信息包含在认证信息B之中或不包含在认证信息B之中；

23)认证服务系统以AUID找到对应的密钥Y，进行至少包括密钥Y和认证信息B在内的数学计算，其中，只有当计算结果正确而且认证信息B中的终端系统的系统时间与认证服务系统当前的系统时间的时间间隔未超过认证系统规定的上限值时，认证才能通过；

24)认证服务系统向应用服务系统发送关于身份认证结果的信息。

其中，还包括步骤100)：终端系统向应用服务系统发出服务请求。在不同的具体应用下，步骤100)可以位于从步骤16)之前或步骤24)之前的一个顺序位置。

其中，所述终端系统为具有计算机功能的系统，包括主机和与之相连接的外部设备。其中，主机可以是计算机、手机或其它具有计算机功能的设备。

其中，所述终端系统、应用服务系统和认证服务系统三者中任何一方对另一方的系统权限不拥有管理权或控制权。