[发明专利]一种用户认证方法和系统

说明书

技术领域

本发明涉及互联网中的认证技术，具体涉及一种用户认证方法和系统。

背景技术

目前，随着互联网的发展，互联网用户越来越多。一般，互联网服务提供商通过接入服务器控制互联网用户的接入，具体来说，接入互联网之前，用户要输入互联网服务提供商提供的用户名和密码，只有当用户名和密码正确才能成功接入互联网。这样，相当于用户在与互联网连接之前已经做过一次认证，该认证不仅要求用户名和密码正确，同时还要求物理线路正确。

随着互联网上应用软件和网站越来越多，每个应用软件和网站都有各自的身份验证机制，这样，使得用户在使用这些应用软件或登录这些网站时都需要注册用户名和密码，通过身份验证后才能使用该应用软件或访问该网站。在注册用户名和密码时，若注册的用户名和密码不同，用户在使用时很可能会忘记；若注册的用户名和密码相同，对于用户而言又很不安全。

为此，一些公司和机构推出了单点登录(SSO)技术，如Windows Passport、自由联盟(Liberty Alliance)以及OpenID等等；所述单点登录技术，用户只需进行一次登录操作，便可获得所需访问的应用系统和网页的认证和授权。

其中，Windows Passport是一种由微软控制的中央统筹式的单一登录服务，属于一种基于访问票据的集中式单点登录模式，其一般的实现过程包括：用户先通过Passport注册页面创建会员；在用户第一次登录时，Passport服务器验证身份之后，生成Cookie验证票，验证票上含有用户名、签发日期时间、过期日期时间和用户其他数据等等；验证票保存到数据库和Passport服务器所在域Cookie中，同时，在成员网站的数据库上创建与Passport服务器数据库中会员的映射关系；会员通过身份验证，成功登录某个成员网站A，若会员从网站A跳转或登录其他成员网站B，只需要会员的Cookie验证票通过Passport服务器的验证即可。基于此，所有用户信息都要存放在Passport服务器所在域中，由它负责统一的身份验证，访问票据以Cookie的形式存放在用户的浏览器中。此种方案的最大缺点是：一旦Passport服务器所在域中心站点被黑客攻破，将会给整个系统造成巨大损失。另外，若采用Windows Passport技术必须全数使用微软架构，因此，在对外与其他非微软的技术与应用进行沟通时会有较大障碍。

Liberty Alliance是一个联盟机构，自由联盟规范让不同的服务提供商加入一个联邦式的信赖网络中，它是一种基于SAML标准的面向Web服务的开放协议。所述SAML是允许Web站点安全地共享身份信息的一种规范，在SAML框架下，无论用户使用哪种信任机制，只要满足SAML的接口、信息交互定义和流程规范，相互之间都可以无缝集成。用户需要注册一个用户名和密码，在Liberty Alliance范围内，只要用户在任何一个网站通过认证后，不必接受其它网站的认证就可以使用其服务。但是，Liberty Alliance的情况与Windows Passport极为类似，网络中仅存在一个身份提供者(Identity Provider，IDP)，而所有的应用服务器(Service Provide，SP)都依赖于同一个IDP进行身份验证。此外，Liberty Alliance本身不产生应用，应用还需由技术厂商来开发支持，因此，Liberty Alliance本身存在管理复杂、缺乏灵活性且应用缺乏兼容性等缺点。

OpenID是一个以用户为中心的数字身份识别框架，它可以通过网站统一资源定位符(URL)来认证用户身份，当客户端用户登录一个支持OpenID的网站RP时，用户可以选择OpenID的方式登录该网站，OpenID可以是该用户在另一个网站OP注册的一个网站URL；RP会根据用户提供的OpenID去发现OP，然后请求该OP对用户身份进行鉴权，OP收到RP请求后，会要求用户登录OP认证页面进行鉴权；鉴权后，OP会提醒该用户是否允许外部网站对用户鉴权，用户同意后，OP将鉴权结果返回给RP。与Windows Passport和Liberty Alliance情况相似的是：OpenID的用户密码存储在OpenID的网站数据库内，一旦密码被泄露，会给用户带来巨大的损失。

可见，在现有技术中，实现单点登录的认证方式还是通过注册用户名和密码，并统一将用户名和密码存储在一个数据库中，一旦存储这些认证信息的数据库失密，将会给整个系统和用户带来巨大损失。

发明内容