WO2010075761A1 - 一种向访问用户提供资源的方法、服务器和系统 - Google Patents

Abstract

本发明公开了一种向访问用户提供资源的方法，该方法包括步骤：根据访问用户的身份标识到相应的服务器获得所述用户的群组信息；根据所述群组信息验证所述用户的群组成员身份；根据验证结果向所述用户提供资源。采用本发明实施例，在分布式的社交网络环境中，通过由群组所在的网站对用户的群组成员身份进行可靠的验证，实现了共享资源的便捷性和安全性。

Description

一种向访问用户提供资源的方法、 服务器和系统 本申请要求 2008年 12月 31 日递交的申请号为 200810242210.6、 发明 名称为 "一种向访问用户提供资源的方法、 服务器和系统" 的中国专利申请 的优先权， 其全部内容通过引用结合在本申请中。 技术领域

本发明涉及社会化网络，尤其涉及分布式社会化网络中一种向访问用户 提供资源的方法、 应用网站服务器、 社交网站服务器、 OpenlD提供方服务 器和系统。 背景技术

社交网站（ Social Network Site, SNS )是基于社会网络关系思想建立的 网络虚拟社交网络。 从 Myspace到 Facebook、 开心网和校内网等， 国内外 的社交网站已经走向成熟， 成为越来越多人日常生活的一部分。 目前很多互 联网传统门户以及电信运营商也都陆续推出社交网站业务，另外还出现了大 量提供给社交网络平台用户的各种应用， 同时社交网络之间的互联互通以及 应用资源共享的问题也日益突出。 现在相关的主要技术有开放身份标识 ( Open Identity, OpenlD )和开放认证 ( Open Authentication, OAuth )等协 议。

OpenlD是一个以用户为中心的数字身份识别框架， 它具有开放、 分散、 自由等特性。 OpenlD的具体术语和规范可参见其官方网站（ www.openid.net ) 上的资料。 对于支持 OpenlD的网站， 用户不需要在每个网站都进行注册获 得像用户名和密码这样的传统验证标记。 取而代之的是， 用户只需要预先在 一个作为 OpenlD 身份提供者的网站上注册， 然后就可以使用一个 OpenlD 身份来登录到各个网站了。 OpenlD 是去中心化的， 任何网站都可以使用 OpenlD来作为用户登录的一种方式，任何网站也都可以作为 OpenlD身份提 供者。 OpenID 既解决了问题而又不需要依赖于中心性的网站来确认数字身 份。 OpenID正在被越来越多的网站采用。 而 OAuth协议用于使网站和应用 程序能够在无须用户透露其认证证书（如密码）的情况下， 通过应用程序接 口 API访问某个受保护的资源。

为了在社交网络中真正彻底的实现互联互通和资源共享， 目前仅靠 OpenID和 OAuth等协议是不够的。 用户和他的好友或群组成员的身份都可 能归属于不同的 OpenID提供服务器， 而且一个用户可能在不同的网站中都 分别创建了一些群组，又在另外一些应用网站中对某些群组进行资源共享的 访问授权。 在这样一个分布式的社交网络环境中， 不仅要对用户的身份进行 跨网站的认证，还需要对用户的群组成员身份进行可靠的验证以保证共享资 源的安全性。 发明内容

本发明实施例提供了一种向访问用户提供资源的方法， 包括： 根据访问 用户的身份标识到相应的服务器获得所述用户的群组信息；根据所述群组信 息验证所述用户的群组成员身份； 根据验证结果向所述用户提供资源。

本发明实施例提供了一种应用网站服务器， 包括： 资源数据提供单元， 用于存储资源； 资源访问授权设置单元， 用于存储资源访问授权记录， 所述 资源访问授权记录存储群组标识与资源的对应关系； 登录单元， 用于接收用 户的登录信息， 其中包括用户的身份标识； 应用网站处理单元， 用于根据所 述用户的身份标识获得所述用户的群组信息，所述群组信息用于群组身份验 证， 根据验证结果向用户提供资源。

本发明实施例提供了一种社交网站服务器， 包括： 群组信息提供单元， 用于存储用户的群组信息； 社交网站处理单元， 用于当接收到验证用户的成 员身份请求时， 根据群组信息提供单元存储的群组信息验证用户的成员身 份。

本发明实施例提供了一种开放身份标识提供服务器， 包括： 群组信息存 储单元， 用于存储用户的群组信息； 群组信息提供单元， 用于当接收到获取 所述用户的群组信息的请求时，返回所述群组信息存储单元所存储的所述用 户的群组信息。

本发明实施例提供了一种社会化网络中访问资源的系统， 包括： 应用网 站服务器， 用于接受用户通过浏笕器使用开放身份标识登录， 从用户的开放 身份标识提供服务器获得所述用户的群组信息，根据所述群组信息验证所述 用户的群组成员身份， 根据验证结果向所述用户提供资源； 开放身份标识提 供服务器， 用于存储的群组信息， 其中包括用户作为成员的群组所在网站的 信息， 接收应用网站服务器获取群组信息的请求， 向所述用户作为成员的群 组所在网站获得签名过的群组信息，然后将所述签名过的群组信息返回给应 用网站服务器； 社交网站服务器， 用于存储用户的群组， 在增加或删除成员 时，所述社交网站服务器向用户的开放身份标识提供服务器发送群组事件通 知。

综上所述， 采用本发明实施例， 在分布式的社交网络环境中， 通过由群组 所在的网站对用户的群组成员身份进行可靠的验证， 实现了共享资源的便捷性 和安全性。 尤其是目前应用资源和用户的关系数据等往往是分散于互联网中的 不同网站， 本发明打破了不同网站之间共享资源和关系数据的障碍， 大大有利 于互联网业务的发展。 附图说明

图 1 为本发明实施例一中提供的一种用户增加群组成员的消息交互流 程图；

图 2为本发明实施例一中提供的一种用户 b访问应用网站服务器资源的 消息交互流程图；

图 3为本发明实施例二中提供的一种用户 b访问应用网站服务器资源的 消息交互流程图；

图 4为本发明实施例三中提供的一种用户 b访问应用网站服务器资源的 消息交互流程图；

图 5为本发明实施例四中提供的一种用户 b访问应用网站服务器资源的 消息交互流程图；

图 6为本发明实施例五提供的一种应用网站服务器的结构图； 图 7为本发明实施例六提供的一种社交网站服务器的结构图； 图 8为本发明实施例七提供的一种社交网站服务器的结构图； 图 9为本发明实施例八提供的一种 OpenID提供服务器的结构图； 图 10为本发明实施例九提供的一种 OpenID提供服务器的结构图； 图 11为本发明实施例十提供的一种用户访问应用网站服务器资源的系 统架构图；

图 12为本发明实施例十一提供的一种用户访问应用网站服务器资源的 系统架构图。

具体实施方式

包含有用户的社会化数据的网站服务方都可以称为社会化网站或社交 网站等， 社会化数据 （或称为社交数据， 简称为 SNS数据） 主要包括用户 的个人资料， 联系人， 群组和活动信息等数据。 本发明实施例描述了在分布 式的社会化网络系统中进行资源共享的方案。为了使用户方便的登录和访问 多个互相独立的 SNS网站， 以及将分布存储的 SNS数据关联在一起， 本发 明实施例优选采用开放身份标识 OpenID作为用户的身份标识。

一个 OpenID提供服务器（ OpenID Providers ， OP )可以只存储有用户 的基本个人资料， 如电子邮件， 生日和性别等， 也可以存储联系人、 群组和 活动信息等复杂的 SNS数据， 当然甚至可以简单得只是负责用户的身份认 证。 一般大型的 SNS网站都可以作为 OP， 负责用户的身份认证， 证实用户 拥有某个身份标识， 也同时存储用户的各种 SNS数据。 本发明实施例在分布式的社会化网络系统中，假定用户 a对应的 OpenID 提供服务器为网站为 OP-A, 用户 b 对应的 OpenID 提供服务器为网站为 OP-B,在另外一个 SNS网站 SNS-C中存在有用户 a的一个群组 Group-C-a， 该群组的成员中包含用户 b。在其他的 SNS网站中也可能存在有包含成员用 户 b的群组， 即成员中包含用户 b的群组可以是分布于多个不同的 SNS网 站中的。 可以将存储用户群组的网站称为群组服务器。

一般用户可以将自己的联系人分为多个群组， 这种属于私人群组， 如同 事、 同学、 家人等， 而且群组之间的成员可以有重叠， 即一个联系人可能同 时属于用户的多个群组。 另外可以用一个特别群组如 "我的好友" 来表示用 户在一个网站的全部联系人， 这样在对群组进行资源访问授权时， 用户如果 想让自己的任何联系人都可以访问自己的资源， 就可以使用这个特别群组 "我的好友" 来进行授权。 另外还有一种公共群组， 如班级通讯录、 QQ群 或 MSN群等， 群组成员都可以使用该群组， 对该群组进行资源访问授权。

在一个应用网站服务器中存储有用户 a的资源数据， 如照片、 视频、 网 址收藏、 评论、 日志、 呈现信息或位置信息等数据。 应用网站服务器中还存 储有用户 a对群组 Group-C-a的授权数据， 如允许群组 Group-C-a的成员访 问用户 a在应用网站服务器中的资源数据。本发明实施例中为简明起见省去 了部分步骤如使用 OpenID登录网站所进行的浏笕器重定向等过程的描述。 本发明中所称的网站实际都对应有服务器实体，向用户提供网页以及其他互 联网服务， 网站的各种具体的流程处理都由相应的服务器完成。

本发明第一实施例中， 首先描述用户增加群组成员的处理过程。 参照图 1 , 主要包括步骤：

步骤 101、社交网站服务器 SNS-C接收到在群组中添加成员的请求。一 般 由 用 户 触发 ， 如用 户 a 可 以 在使用 OpenID 标识 （ 如 http ://openid-usera. example .com )登录网站 SNS-C后， 通过浏笕器请求在网 站 SNS-C中自己拥有的一个群组如 Group-C-a的群组成员中增加用户 b。群 组信息中通常对应有一个群组标识和成员列表，该群组标识一般在整个分布 式社会化网络中是唯一的，这可以通过在群组标识中包含群组所在网站的域 名等方式来保证。 群组信息中还可以有群组名称和描述等信息。

除了由用户 a触发外，其他有权限的用户或应用也可以在用户 a的群组 中增加成员。

步骤 102、 网站 SNS-C在群组中增加成员。 如在群组 Group-C-a中增加 成员用户 b， 即在群组的成员列表中增加用户 b的 OpenlD身份标识及其他 信息。 在本发明的其它实施例中， 除了逐个增加群组成员外， 也可以批量的 将联系人导入到群组中。 群组的成员列表中包含成员的 OpenlD身份标识， 如用户 b的 OpenlD标识 (如 http://openid-userb.example.net ) 。 还可以包含 成员的姓名、 昵称、 联系方式等信息。

步骤 103、 网站 SNS-C通知群组成员的 OP。 除了增加成员夕卜， 发生的 删除成员等群组事件也可以通知所涉及到的群组成员的 OP。 如从群组 Group-C-a中增加或删除成员用户 b时， 都要通知用户 b的 OpenlD提供服 务器网站 OP-B。 居群组成员的 OpenlD标识可以确定对应的 OP， 然后网 站 SNS-C向对应的 OP通知发生的群组事件如增删成员，所述群组事件通知 中可以包括成员的 OpenlD标识和事件类型等群组事件信息。

OP-B 根据群组事件通知可以获知用户是网站 SNS-C 上某个群组的成 员。 群组事件通知中可以不包含具体的群组标识。 这样由于不必精确的让 OP-B获知用户是哪个具体群组的成员， 则网站 SNS-C也可以不必每次增加 用户成员 b时都通知 OP-B。 具体的可以在增加成员用户 b时， 判断用户 b 是否已经是 SNS-C中其他群组的成员了，如果不是则向 OP-B发送群组事件 通知， 否则则不发送。 而在删除成员时， 也判断用户 b是否是 SNS-C中其 他群组的成员， 如果不是则向 OP-B发送群组事件通知， 否则则不发送。 这 样 OP-B可以获知网站 SNS-C是否有在所有群组范围内包含成员用户 b， 而 不必每次都发送通知。 具体的可以通过如非集中身份验证互用系统协议 ( Yet Another Decentralized Identity Interoperability System, Yadis )等来发现 OP提供的群 组事件通知服务。 相应的 XRDS (可扩展资源描述文档， extensible Resource Descriptors ) 文当举^¹列 口下：

<Service xmlns=*'xri://$xrd*($v*2.0)ⁿ>

<Type>http://specs.openid.net/auth/3.0/group_notify</Type>

<URI>http://provider.example.com/group_notify</URI>

</Service>

网 站 SNS-C 向 OP 提供 的 群组 事 件通知服务地址如 "http：〃 provider.example.com/group— notify"发送 HTTP GET或 POST请求消 息， 消息中包含群组事件信息。 请求消息中可以包含以下字段：

group— event— type, 其值为一个群组事件类型， 如增加 add、 删除 delete 等类型。

member— id, 其值为一个 OpenID标识， 此消息中表示被增加或删除成 员的身份标识。

可选的， 还可以包括： group— host, 其值为一个 URL, 表示群组所在的 网站服务器地址。 0P可以到这个地址去获取用户所在的具体群组信息。 如 果请求消息中不包含这个字段， 0P也可以根据请求者的 IP地址或 HTTP请 求中的 From字段等确定群组所在的网站服务器地址。

如果 0P-B向网站 SNS-C发送获取群组信息的请求中包含应用网站服务 器的信息， 则可能会向 SNS-C暴露用户的活动信息， 如网站 SNS-C可以根 据应用网站服务器的信息向 0P-B提供相应的群组信息， 而不是用户 b所在 的全部群组。 如果一个恶意网站未经用户确认就将其加入本网站的群组中， 并在其他一些应用网站对这些群组进行资源授权，用户使用应用网站的活动 就会由于要去恶意网站进行群组成员身份验证而暴露，不利于用户的隐私保 护。

由此还可以通过以下确认步骤来提高安全性： 群组成员的 0P可以在接 到群组事件通知后， 群组成员下次登录 OP时， 向群组成员显示所接到的相 关通知， 并提示群组成员进行确认。 如果用户不信任这个网站 SNS-C, 或者 认为网站 SNS-C可能是个恶意的 （如用来散发广告信息， 或恶意跟踪用户 活动等） ， 则可以拒绝进行确认操作。 群组成员进行确认操作后， 群组成员 的 OP对该网站 SNS-C设置确认标志。如果后续用户不再信任该网站 SNS-C, 可以将确认标志修改为拒绝标志。 用户的 OpenID提供服务器仅向经过用户 确认的群组所在网站请求获得签名过的群组信息。

或者当群组成员的 OP在接到群组事件通知后， 发送确认电子邮件给群 组成员， 在群组成员点击电子邮件中的确认操作链接后， 群组成员的 OP对 该网站 SNS-C设置确认标志。

后续可以在应用网站服务器中授权群组 Group-C-a可访问用户 a 的资 源。 授权通常由资源的所有者如用户 a发起， 如授权某个群组可以访问自己 在应用网站服务器中的某组照片资源或位置信息等。被授权的群组通常为用 户 a自己拥有的群组或作为成员的群组，但也可以是与用户 a没有任何关系 的群组。应用网站服务器存储用户 a所提供的被授权群组的标识与资源之间 的对应关系， 即存储群组的资源访问授权记录。

接着描述用户 b访问应用网站服务器的处理过程，本实施例一主要描述 以 OP-B为代理获取群组信息的方式。 参见图 2， 主要包括以下步骤：

步骤 201、 应用网站服务器接受用户 b使用 OpenID标识登录。

步骤 202、 应用网站服务器向 OP-B请求获得用户 b作为成员的群组的 信息。 具体可以通过 HTTP POST或 GET消息， 消息中包括用户标识字段， 如该字段的内容可以是用户 b的 OpenID标识。

步骤 203、 OP-B向所述群组所在网站如 SNS-C等网站请求获取群组信 息， 群组信息中包括用户 b作为成员的群组列表。 并且 SNS-C对群组列表 等信息进行签名， 以保证这些信息不会被 OP-B篡改。 如果用户 b除了作为 SNS-C上群组的成员外， 还是其他网站群组的成员， 则 OP-B也逐一从这些 网站获得签名过的用户 b的群组信息。

由于 OP-B根据群组事件通知获得的信息， 只能获知成员中包含用户 b 的群组在哪些网站， 但并不知道具体的群组标识， 而应用网站则需要具体的 群组标识才能进行授权访问资源， 因此 OP-B要向这些网站请求获得具体的 群组标识。 具体的请求可以使用 HTTP POST等消息， 请求消息中可以包括 字段：

member— id, 其值为一个 OpenID标识， 此消息中表示成员的身份标识。 接收该消息的网站应在响应消息中返回本网站中该成员所在群组的信息。

响应消息中包括群组列表以及签名信息字段。

member— id, 其值为一个 OpenID标识， 此消息中表示成员的身份标识。 group— list, 其值为群组标识列表， 用户为这些群组的成员。

response— nonce, 随机数， 必须包含时间戳， 还可以包含额外的字符等。 sign— type, 签名算法的类型， 如 PKCS ( The Public-Key Cryptography Standards ) 等。 应用网站服务器向 OP-B请求获得用户 b作为成员的群组的 信息时， 可以带上自己所支持的签名算法类型， 然后在 OP-B的请求中转发 给 SNS-C, SNS-C使用这些应用网站服务器所支持签名算法类型。

signed, 要进行签名的字段列表， 可以包含 member— id， group— list 和 response— nonce等字段。

sig, 使用 sign— type中指示的算法对 signed中包含的字段进行签名后的 数据。

群组列表以及签名等字段共同构成了成员身份验证结果，也可以称为群 组验证信息。

步骤 204、 OP-B向应用网站服务器返回用户 b的群组信息。 群组信息 包括成员中包含用户 b的群组列表以及签名等信息。

步骤 205、 应用网站服务器对群组信息的签名进行验证。 具体可以使用 各网站如 SNS-C的公开密钥进行验证。 验证成功后即可确认用户 b的群组 成员身份， 即可确认用户 b为该群组列表中群组的成员。

步骤 206、 应用网站服务器向用户 b的浏笕器返回其有权限访问的资源 列表或用户名列表。

应用网站服务器可以根据资源访问授权记录中的群组标识等（如用户 a 对资源访问所授权的群组 Group-C-a ) 与从 OP-B获得的群组信息中的群组 标识（群组成员中包含用户 b )进行对比即可获得用户 b有访问权限的私人 资源列表或者这些资源所有者的用户名列表。

使用本实施例方案， 应用网站服务器不必自己去 SNS-C验证用户的群 组成员身份， 而是由 OP-B在返回群组信息时同时通过签名技术手段， 应用 网站服务器对签名进行验证就可以保证了群组信息的准确性，即提高了效率 又保证了安全性。 尤其是当 SNS-C和 OP-B为同一网站， 或同一域内的网站 时， 比其他方案的效率更高。

本发明第二实施例中， 主要描述应用网站服务器自己直接去 SNS-C等 网站验证用户的群组成员身份的方式。 参见图 3， 主要包括步骤：

步骤 301、 应用网站服务器接受用户 b使用 OpenID标识登录。

步骤 302、 应用网站服务器向 OP-B请求获得群组信息， 即成员中包含 用户 b的群组所在网站的信息。

步骤 303、 应用网站服务器再从这些群组所在网站获取成员中包含用户 b的具体群组标识。 这一步获取到的具体群组标识就是验证结果， 即确定用 户 b作为成员的群组。这种方式通常应用网站服务器与群组所在网站之间具 有信任关系， 否则应用网站服务器可能会获取用户的群组信息用于非法目 的。 如可以采用 SAML (安全性断言标记语言， Security Assertion Markup Language )协议来获取成员中包含用户 b 的具体群组标识， 并使用 HTTP POST消息承载。 将成员中包含用户 b的群组所在网站作为用户 b的属性， 应用网站服务器通过发送 HTTP POST消息请求用户 b的该属性断言即可。 返回的属性断言中可以包括用户 b的 OpenID标识， 以及多值的群组属性， 其中的群组属性举例如下：

<saml: Attribute

NameFormat=ⁿurn:oasis:names:tc:SAML:2.0:attrname-format:uriⁿ

Name="urn:oasis:names:tc:SAML:2.0:profiles:attribute:DCE:groups">

<saml： Attribute Value xsi:type="dce:DCEValueType"

dce:FriendlyName="Group-C-a">

urn:uuid:008c6181-a288-l 0 -b6d6-004005b 13a2b

</saml： Attribute Value>

<saml： Attribute Value xsi:type="dce:DCEValueType"

dce:FriendlyName="Group-C-d">

urn:uuid:006a5a91 -a2b7- 10f9-824d-004005b 13a2b

</saml： Attribute Value>

</ saml： Attribute>

其中的群组标识采用 UUID (全局唯一标识符， Universally Unique Identifier )格式， 保证其在分布式环境中的唯一性。

步骤 304、 应用网站服务器根据这些群组标识对应的资源访问授权记录 向用户 b提供资源。

本发明第三实施例中， 如果发生添加群组成员等群组事件时， 每次都发 送群组事件通知， 并且通知中的群组信息还包括具体的群组标识， 则 OP通 过这些信息可以大致维护一个用户在各个网站上的群组分布信息，即通过群 组事件通知机制可以让 OP获知用户所在群组的情况， 即使这些群组是分布 于各个不同的网站上的。后续这些用户所在群组的信息可以提供给应用网站 来使用。

以下主要描述一下用户 b访问应用网站服务器的过程。 参见图 4， 主要 包括以下步骤：

步骤 401、 应用网站服务器接受用户 b使用 OpenID标识登录。

步骤 402、 应用网站服务器从 OP-B获得包含成员用户 b的群组信息， 如群组标识等。 如应用网站服务器可以通过 OpenlD 的属性交换 （ OpenlD Attribute Exchange ) 方法向 OP-B请求获取包含成员用户 b的群组信息。 在应用网站 服务器通过 OpenlD的属性交换方法获得的响应消息中包含的群组标识属性 信息可以包括：

openid.ax.value.group_as_member. l=Group-C-a.SNS-C.com

openid.ax.value.group_as_member.2=Group-E-m.SNS-E.com

由此应用网站服务器可以根据上述群组标识获知用户 b为 SNS-C上的 群组 Group-C-a的成员， 以及为其他 SNS-E上的群组 Group-E-m的成员等。

除了可以通过 OpenlD的属性交换方法从 OP处获取用户拥有的群组信 息或作为成员的群组信息外， 另外一种方法是可以通过 OAuth协议实现。 具体的将用户的群组信息作为一种受保护资源 （ Protected Resource ) ， 应用 网站服务器作为消费方（Consumer ) ， 存储有群组信息的 OP作为服务提供 服务器 （ Service Provider ) ， 应用网站服务器通过 OAuth协议流程从 OP那 里获得用户的群组信息。

本实施例中应用网站服务器可能包含不属于任何私人用户的资源，或者 某个用户授权对所有人都公开的资源， 这些资源可以称为公共资源。 而属于 某个私人用户， 并且需要经授权才能访问的资源称为私人资源。 用户可以对 群组或个人用户进行资源访问授权的设置。用户除了可以对自己拥有的群组 进行授权外， 甚至可以对其他所信任的用户拥有的群组进行授权， 只要应用 授权设置记录即可。

应用网站服务器可以向用户 b 返回其有访问权限的私人资源的所有者 的用户名， 或者向用户 b返回其有访问权限的私人资源链接列表。 本实施例 中主要对返回用户名的方式进行描述。 用户 b在登录应用网站后， 向其显示 一些用户名，并且根据群组授权设置这些用户的某些资源是用户 b可以有权 限访问的， 通过这种方式可以让用户 b发现更多可访问的资源， 提高用户体 验。 步骤 403、 应用网站服务器返回用户 b有访问权限的私人资源的所有者 的用户名链接。

应用网站服务器根据授权设置记录中的群组标识等（如用户 a授权的群 组 Group-C-a )与从 OP-B获得的群组标识（群组成员中包含用户 b )进行检 索对比即可获得用户 b 有访问权限的私人资源的所有者的用户名 （如用户 a ) 。 用户 b的浏笕器上显示返回的用户名链接， 通过该链接可以访问该用 户的资源列表。

一般应用网站服务器不必一次性将用户 b 有访问权限的私人资源的所 有者的用户名全部返回， 因为有时数量会比较多， 可以按资源更新时间等首 次只返回部分用户名即可，这些返回的用户名的私人资源中允许用户 b访问 的那些资源近期有过更新， 如增加了新的照片， 位置信息发生了变化等。 而 对于那些长期没有更新， 或者在用户 b上次访问过后没有更新的， 可以在用 户 b后续的请求之后再返回。

步骤 404、 应用网站服务器接到用户 b通过用户名链接获得资源列表的 请求。

步骤 405、 应用网站服务器验证用户 b的群组成员身份。 在用户 b点击 此链接请求显示资源所有者如用户 a的资源列表时，应用网站服务器对用户 b进行群组成员身份验证， 验证成功之后再显示用户 b有权限访问的用户 a 的资源列表。

具体的， 应用网站服务器首先根据用户 a 的资源授权设置记录以及从 OP获得的用户 b的群组信息， 得出用户 a授权的并且成员中包含用户 b的 群组， 然后向这些群组所在的网站服务器请求对用户 b 的成员身份进行验 证。如向群组 Group-C-a所在的网站 SNS-C请求进行成员身份验证， 即请求 验证用户 b是否为群组 Group-C-a的成员。

如果应用网站服务器检测到用户 a除了群组 Group-C-a外还有其他的群 组中也包含成员用户 b， 而且用户 a也对这些群组在应用网站服务器进行了 资源访问授权的设置， 这些群组有可能与 Group-C-a不在同一个网站中， 即 不在 SNS-C 中， 则应用网站服务器还要向其他网站进行成员身份验证。 应 用网站服务器可以对用户 b在这些群组的成员身份进行逐一验证，然后将验 证通过的群组对应的有访问权限的资源的并集作为用户 b 可以访问的资源 列表。 应用网站服务器可以并行的向这些群组的网站发送验证请求。

如果在应用网站服务器中用户 a除了对 Group-C-a等群组外还单独对用 户 b进行了资源授权， 则还要把这些资源也计入上述的并集中。

应用网站服务器可以使用安全的 HTTPS消息向网站 SNS-C发送验证请 求。如果应用网站服务器得到的群组信息中包含有群组所在网站的验证服务 地址， 则可以直接向该验证服务地址发送验证请求消息， 消息中包含群组标 识和成员身份标识。

应用网站服务器也可以根据得到的群组信息中的群组标识 （如 XRI或 URL格式的标识） ， 执行自动发现， 如对于 URL格式的群组标识， 可以尝 试采用 Yadis协议，应用网站服务器获得群组所在网站 SNS-C提供的验证服 务地址，然后向该验证服务地址发送验证请求消息即可。如可以采用 HTTPS 的 POST消息发送验证请求， 在返回的响应中携带验证结果。

步骤 406、 应用网站服务器向用户 b返回其有访问权限的用户 a的资源 列表或拒绝提供资源列表。 成员身份验证成功后， 用户 b再访问资源列表中 具体的资源时， 就可以不必再进行成员身份验证了。

通过群组所在网站如 SNS-C等进行群组身份验证的好处是防止 OP-B伪 造用户 b在群组 Group-C-a中的成员身份。 而且群组通知机制并不能保证群 组所在网站如 SNS-C上的群组信息能实时更新到 OP-B上， 因此 OP-B上的 群组信息数据可能是不准确的。 因此有必要到群组所在的网站如 SNS-C等 请求进行群组成员身份验证， 而不是应用网站服务器直接信任和使用从 OP-B上得到的用户 b的群组信息。

本发明第四实施例主要描述在用户 b登录应用网站服务器后，应用网站 服务器向用户 b返回其有访问权限的私人资源链接列表的方式。这种方式与 返回用户名的方式差不多， 但是用户可以直接看到一些私人资源链接列表。 另外本实施例还采用在用户 b登录后就进行成员身份验证的方式，增强了安 全性。 参见图 5， 主要包括步骤：

步骤 501、 应用网站服务器接受用户 b使用 OpenID标识登录。

步骤 502、 应用网站服务器从 OP-B获得用户 b作为成员的群组信息， 如群组标识。 为了提高后续成员身份验证的效率， 应用网站服务器可以将授 权设置中不存在的群组剔除出去， 即如果没有任何资源对某个群组授权过， 则应用网站服务器不必去验证用户 b在这个群组中的成员身份。应用网站服 务器确定出在资源授权设置中存在的并且成员中包含用户 b的群组标识。

步骤 503、 应用网站服务器对用户 b的群组成员身份进行验证。 可以对 上述确定出的群组进行群组成员身份验证。这些确定出的群组可能位于不同 的网站中， 则要逐一进行验证请求。

如果用户 a对一个资源同时对除 Group-C-a外的其他群组也进行了访问 授权， 并且用户 b 也是其中一个群组如 Group-D-a 的成员。 即用户 b 为 Group-C-a的成员， 同时也是另外一个群组如 Group-D-a的成员， 则应用网 站服务器对任何一个群组验证成功后， 都可以允许用户 b访问该资源。 如应 用网站服务器验证用户 b为 Group-C-a的成员时失败了， 但成功验证了用户 b为 Group-D-a的成员， 则仍允许用户 b访问该资源。

步骤 504、 应用网站服务器向用户 b返回其有访问权限的私人资源链接 列表。 用户 b可以通过私人资源链接访问资源， 访问这些资源时就不必再进 行群组成员身份验证了。

一般应用网站服务器不必在首次将用户 b 有权限访问的私人资源链接 全部返回， 因为可能数量会比较多， 可以按资源更新时间等返回部分私人资 源链接列表。还可以只返回最近一定时间内，如一周内更新的私人资源链接。

除了通过 OpenID方式登录外， 用户也可以采用单点登录（ SSO， Single Sign-On ) 。 通常由一个网站作为身份认证服务器， 用户在登录时， 都需要 到该身份认证服务器进行认证， 当认证通过后， 就可以访问所有相互信任的 网站了， 如 SNS 网站和应用网站等。 身份认证服务器可以集中存储一个相 互信任的网站体系内的群组信息， 身份认证服务器相当与上述实施例中的 OpenlD提供方， 不同的是 OpenlD提供方是分布式存储用户的群组信息。用 户在任何一个网站单点登录后， 网站可以直接确定身份认证服务器， 不必象 OpenlD方式要根据用户身份标识确定 OpenlD提供方。 其余的处理基本相 同， 此处不再赘述。

本发明实施例五提供的一种应用网站服务器 10如图 6所示， 包括资源 数据提供单元 101， 资源访问授权设置单元 103， 登录单元 105， 以及分别 与上述单元相连的 APP (应用网站）处理单元。 资源数据提供单元 101， 用 于存储该 APP用户上载的各种资源数据， 如照片、 视频、 网址收藏、 评论、 日志、 呈现信息或位置信息等数据。 资源访问授权设置单元 103， 用于存储 资源提供用户设置的资源访问授权记录，该资源访问授权记录提供用户 a所 提供的被授权群组的标识与资源之间的对应关系， 例如用户 a 对群组 Group-C-a的授权数据， 如允许群组 Group-C-a的成员访问用户 a在应用网 站服务器中的资源数据。 登录单元 105， 用于接收用户通过浏笕器使用开放 身份标识 OpenlD的登录， 以验证用户身份。 APP处理单元 107用于从登录 单元 105获得用户的 OpenlD,并向该 OpenlD的提供服务器获得该用户的群 组信息， 根据该群组信息验证所述用户的群组成员身份， 根据验证结果及资 源访问授权设置单元 103中的资源访问授权记录向所属用户提供资源。

当该应用网站服务器 10在实施本发明实施例一所提供的方法时， 结合 图 2， APP处理单元 107通过验证 OpenlD提供服务器 OP-B返回的群组信 息的签名， 实现对用户的群组成员身份的验证； 当该应用网站服务器 10在 实施本发明实施例二所提供的方法时， 结合图 3， APP处理单元 107通过从 社交网站服务器 SNS-C获得用户的群组信息， 同时验证了用户的群组成员 身份； 当该应用网站服务器 10在实施本发明实施例三、 四所提供的方法时， 结合图 4和图 5， APP处理单元 107获得用户的群组成员信息后向社交网站 服务器 SNS-C验证用户的群组成员身份。 由此应用网站服务器可以充分利 用社交网站中的社交数据如群组， 来对用户的资源进行授权， 大大方便了用 户进行资源共享。

本发明实施例六提供的一种社交网站服务器（SNS ) 20如图 7所示， 包 括群组信息提供单元 201和 SNS处理单元 203。 群组信息提供单元 201， 用 于存储用户的群组信息， 群组信息中通常对应有一个群组标识和成员列表， 该群组标识一般在整个分布式社会化网络中是唯一的，这可以通过在群组标 识中包含群组所在网站的域名等方式来保证。群组信息中还可以有群组名称 和描述等信息。 成员列表中一般包括用户的 OpenID标识及其他信息。 SNS 处理单元 203， 用于当接收到在群组中添加、 删除成员的请求时， 相应更新 群组信息提供单元 201存储的用户的群组信息，如在群组对应的成员列表中 增加或删除 OpenID标识； 用于当接收到查询用户的群组信息请求时， 从群 组信息提供单元 201 获取对应用户的群组信息， 如用户所在群组的群组标 识； 或者， 用于当接收到验证用户的成员身份请求时， 根据群组信息提供单 元 201存储的群组标识和成员列表的对应关系， 验证用户的成员身份。 另外 社交网站处理单元还可以首先对请求中的用户身份签名进行验证，验证通过 后才提供用户的群组信息。 这样进一步增强了安全性， 防止其他用户或第三 方冒充用户从社交网站获得用户是否属于某个群组的信息。一般用户在登录 应用网站时如采用 OpenID方式登录，可以在登录成功后生成一个身份签名， 然后在获取群组信息请求中携带用户的身份签名。 由此社交网站可以向应用 网站或者 OpenID提供服务器提供用户的群组信息， 以用于用户群组身份的 验证。

本发明实施例七提供的一种社交网站服务器（SNS ) 22如图 8所示， 包 括群组信息提供单元 221， 群组事件通知单元 225， SNS处理单元 223和签 名单元 227。 其中， 群组信息提供单元 221和 SNS处理单元 223完全具备实 施六中所涉及的功能。此外，当发生群组增加或删除成员等群组事件时， SNS 处理单元 223触发群组事件通知单元 225通知该成员的 OpenID提供服务器。 该群组事件通知中可以包括成员的 OpenID标识， 群组标识和事件类型等群 组事件信息。 在本发明的其他实施例中， 群组事件通知中可以不包含具体的 群组标识。 这样由于不必精确的让 OpenID提供服务器获知用户是哪个具体 群组的成员，则社交网站服务器也可以不必每次增加或删除用户成员时都通 知 OpenID提供服务器。 仅在用户首次加入社交网站服务器所有群组时， 或 用户从社交网站服务器所有群组删除时， 通知 OpenID提供服务器。 签名单 元 227用于在 SNS处理单元提供用户的群组信息时， 对该群组信息进行签 名， 以免群组信息在传输的中被篡改， 以及通过签名方式验证群组信息。 由 此社交网站服务器可以提供安全可靠的经过签名的群组信息，使分布式系统 的安全性得到了保证。

本发明实施例八提供的一种开放身份标识（OpenID )提供服务器 30如 图 9所示， 包括： 身份标识认证单元 301、 群组信息存储单元 303， 以及分 别与上述单元连接的群组信息提供单元 305。 其中， 身份标识认证单元 301 用于通过接收到的用户 OpenID验证用户的身份。 群组信息存储单元 303， 用于存储用户的群组信息以及各种 SNS数据， 例如： 用户的电子邮件、 生 日、 性别、 联系人、 群组、 群组对应的网站、 用户所在的群组标识等。 如实 施例一， 群组信息提供单元 305接收到 SNS-C发送的群组事件通知时， 将 根据该群组事件通知更新群组信息存储单元 303 存储的对应用户的群组信 息。 其中， 群组事件通过包括以下字段： group— event— type群组事件类型、 member— id为用户 OpenID标识， 可选地， 还可以包括 group— host群组所在 网站服务器地址。 当 OP30执行本发明实施例一时， 群组信息提供单元 305 还用于当接收到获取包含用户 b的群组信息的请求时，向已存储的群组所在 的网站地址对应的社交网站服务器 SNS-C请求获取用户 b的群组信息。 当 OP30执行本发明实施例二时， 群组信息提供单元 305还用于当接收到获得 用户 b的群组所在的网站的信息， 提供用户 b的群组所在的网站信息。

进一步地， 结合图 10， 本发明实施例九提供一种 OpenlD提供服务器 32, 其中身份标识认证单元 321的功能与实施例八相同， 此处不再赘述。 此 外， 在本实施例中， OP32还包括与群组信息提供单元 325相连的群组事件 确认单元 327， 用于当群组信息提供单元 325接收到群组事件通知后， 根据 所述群组事件通知更新群组信息存储单元 323对应用户的群组信息。对应成 员下次登录 OP时， 群组事件确认单元 327向群组成员显示所接收到的相关 通知， 并提示该群组成员确认。 如果用户不信任这个网站如 SNS-C, 或者认 为网站 SNS-C可能是个恶意的 （如用来散发广告信息， 或恶意跟踪用户活 动等） ， 则可以拒绝进行确认操作。 群组成员进行确认操作后， 群组成员的 OP对该网站 SNS-C设置确认标志。 如果后续用户不再信任该网站 SNS-C, 可以将确认标志修改为拒绝标志。 用户的 OpenlD提供服务器仅向经过用户 确认的群组所在网站请求获得群组信息。

图 11所示为本发明实施例十提供的一种用户访问应用网站服务器资源 的系统架构图。 其中应用网站服务器 10， 社交网站服务器 20和 OpenlD提 供服务器 30在实施例五、 实施例六及实施例八中均以描述， 此处不再赞述。 其中， APP处理单元 107、 SNS处理单元 203及群组信息提供单元 305 两两 相连， 以实现应用网站服务器 10、 社交网站服务器 20和 OpenlD提供服务 器 30之间的交互。 该系统架构主要用以实现本发明实施例一及实施例二所 提供的方法。

图 12所示为本发明实施例十一提供的一种用户访问应用网站服务器资 源的系统架构图。 其中应用网站服务器 10， 社交网站服务器 22和 OpenlD 提供服务器 32在实施例五、 实施例七及实施例九中均以描述， 此处不再赘 述。其中， APP处理单元 107、 SNS处理单元 223及群组信息提供单元 325 两 两相连， 以实现应用网站服务器 10、 社交网站服务器 22和 OpenlD提供服 务器 32之间的交互。 该系统架构主要用以实现本发明实施例三及实施例四 所提供的方法。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步 骤是可以通过程序来指令相关的硬件完成，所述的程序可以存储于一种计算 机可读存储介质中， 该程序在运行时， 执行上述实施例方法中的全部或部分 步骤。 上述提到的存储介质可以是只读存储器， 磁盘或光盘等。 发明的精神和范围。 这样， 倘若本发明的这些修改和变型属于本发明权利要 求及其等同技术的范围之内， 则本发明也意图包含这些改动和变型在内。

Claims

权 利 要 求 书

1、 一种向访问用户提供资源的方法， 其特征在于， 包括：

根据访问用户的身份标识到相应的服务器获得所述用户的群组信息； 根据所述群组信息^ i正所述用户的群组成员身份；

根据验证结果向所述用户提供资源。

2、 如权利要求 1所述的方法， 其特征在于， 接受所述用户通过浏笕器使用 开放身份标识登录， 根据所述用户的开放身份标识确定相应的开放身份标识提 供服务器；

从用户的开放身份标识提供服务器获得所述用户的群组信息；

根据所述群组信息^ i正所述用户的群组成员身份；

根据验证结果向所述用户提供资源。

3、 如权利要求 2所述的方法， 其特征在于， 所述用户的开放身份标识提供 服务器存储有用户作为成员的群组所在网站的信息， 所述从用户的开放身份标 识提供服务器获得所述用户的群组信息的步骤具体为：

向所述用户的开放身份标识提供服务器请求获得用户作为成员的群组信 息；

在所述用户的开放身份标识提供服务器向所述用户作为成员的群组所在网 站获得签名过的群组信息后， 接收所述用户的开放身份标识提供服务器转发的 所述签名过的群组信息。

4、 如权利要求 3所述的方法， 其特征在于， 在用户首次被加入到网站 的群组或者完全从网站的群组删除时，该网站向所述用户的开放身份标识提 供服务器发送群组事件通知；

所述用户的开放身份标识提供服务器根据所述群组事件通知获知用户 作为成员的群组所在网站的信息。

5、 如权利要求 4所述的方法， 其特征在于， 在所述用户的开放身份标 识提供服务器接收到群组事件通知后， 向用户提示进行确认； 所述用户的开放身份标识提供服务器仅向经过用户确认的群组所在网 站请求获得签名过的群组信息。

6、 如权利要求 3所述的方法， 其特征在于， 从所述用户的开放身份标 识提供服务器获得所述用户的群组信息中包括用户的开放身份标识、群组标 识列表、 包含时间戳的随机数以及签名相关的信息。

7、 如权利要求 2所述的方法， 其特征在于， 所述的从用户的开放身份 标识提供服务器获得所述用户的群组信息为成员中包含用户的群组所在网 站的信息， 所述根据所述群组信息验证所述用户的群组成员身份具体为： 从 所述群组所在网站获取群组成员中包含用户的具体群组标识。

8、 如权利要求 7所述的方法， 其特征在于， 通过 HTTP POST消息承 载的安全性断言标记语言协议从所述群组所在网站获取群组成员中包含所 述用户的具体群组标识，在所述消息体中的群组属性断言中包含所述的具体 群组标识。

9、 如权利要求 2所述的方法， 其特征在于， 用户的开放身份标识提供 服务器存储有用户作为群组成员的群组标识，所述从用户的开放身份标识提 供服务器获得的所述用户的群组信息中包含群组标识及其对应的网站信息； 根据所述从用户的开放身份标识提供服务器获得的群组标识来确定所 述用户有访问权限的资源的所有者的用户名链接， 并返回给用户浏笕器； 接收用户通过一个用户名链接获得资源列表的请求；

根据所述群组信息向群组所在网站请求验证所述用户的群组成员身份； 在验证通过后向用户返回所述用户名链接对应的资源列表。

10、 如权利要求 9所述的方法， 其特征在于， 根据所述群组信息向群组 所在网站请求验证所述用户的群组成员身份的步骤具体为：根据资源授权设 置记录以及从用户的开放身份标识提供服务器获得的用户的群组标识信息， 得出所述用户名链接对应用户所授权的并且群组成员中包含所述用户的群 组标识； 才艮据群组标识确定群组所在网站；

1 1、 如权利要求 10所述的方法， 其特征在于， 如果所确定的群组所在 网站多于一个， 则并发向各群组所在网站请求群组成员身份验证； 所述用户可以访问的资源列表， 并返回给用户浏笕器。

12、 如权利要求 10所述的方法， 其特征在于， 根据得到的群组信息中 的群组标识， 依据非集中身份验证互用系统协议执行自动发现， 获得群组所 在网站提供的群组成员身份验证服务地址，然后向该验证服务地址请求群组 成员身份验证。

13、 如权利要求 1至 12任一项所述的方法， 其特征在于， 所述根据验 证结果向所述用户提供资源具体为：根据资源访问授权记录中的群组标识与 从用户的开放身份标识提供服务器获得的群组信息中的群组标识进行对比， 资源列表或用户名列表返回给用户。

14、 如权利要求 1至 12任一项所述的方法， 其特征在于， 通过开放身 器获得所述用户的群组信息。

15、 如权利要求 1至 12任一项所述的方法， 其特征在于， 按资源更新 时间提供部分资源链接列表或用户名链接列表。

16、 如权利要求 1至 12任一项所述的方法， 其特征在于， 所述的资源 包括照片、 视频、 日志、 评论、 网址收藏、 呈现信息或位置信息。

17、 如权利要求 1所述的方法， 其特征在于， 接受所述用户通过单点登录 方式登录， 从用户的身份认证服务器获得所述用户的群组信息；

根据所述群组信息^ i正所述用户的群组成员身份；

根据验证结果向所述用户提供资源。

18、 一种应用网站服务器， 其特征在于， 包括：

资源数据提供单元， 用于存储资源；

资源访问授权设置单元， 用于存储资源访问授权记录， 所述资源访问授 权记录存储群组标识与资源的对应关系；

登录单元， 用于接收用户的登录信息， 其中包括用户的身份标识； 应用网站处理单元，用于根据所述用户的身份标识获得所述用户的群组 信息， 所述群组信息用于群组身份验证， 根据验证结果向用户提供资源。

19、 如权利要求 18所述的应用网站服务器， 其特征在于， 所述的登录 单元接收用户的登录信息中包括用户的开放身份标识； 身份标识提供服务器获得所述用户的群组信息，根据所述群组信息验证所述 用户的群组成员身份， 根据验证结果及所述资源访问授权记录， 向用户提供 所述资源。

20、 一种社交网站服务器， 其特征在于， 包括：

群组信息提供单元， 用于存储用户的群组信息；

社交网站处理单元， 用于当接收到验证用户的成员身份请求时， 根据群 组信息提供单元存储的群组信息验证用户的成员身份。

21、 如权利要求 20所述的社交网站服务器， 其特征在于， 所述社交网 站处理单元还用于当接收到在群组中添加、 删除成员请求时， 更新群组信息 提供单元存储的所述用户的群组信息； 当接收到查询用户的群组信息请求 时， 从群组信息提供单元获取对应用户的群组信息并返回给请求方。

22、 如权利要求 21所述的社交网站服务器， 其特征在于， 进一步包括： 群组事件通知单元， 用于当接收到所述在群组中添加、 删除成员请求时， 社 交网站处理单元触发群组事件通知单元向所述成员的开放身份标识提供服 务器发送群组事件通知。

23、 如权利要求 21所述的社交网站服务器， 其特征在于， 进一步包括： 群组事件通知单元，仅当所述用户首次被加入到群组或者彻底从群组中删除 时， 向所述用户的开放身份标识提供服务器发送群组事件通知。

24、 如权利要求 20所述的社交网站服务器， 其特征在于， 进一步包括： 签名单元， 用于在所述社交网站处理单元向请求方提供用户的群组信息时， 对所述群组信息进行签名。

25、 如权利要求 20所述的社交网站服务器， 其特征在于， 所述的社交 网站处理单元首先对请求中的用户身份签名进行验证，验证通过后才提供用 户的群组信息。

26、 一种开放身份标识提供服务器， 其特征在于， 包括：

群组信息存储单元， 用于存储用户的群组信息；

群组信息提供单元， 用于当接收到获取所述用户的群组信息的请求时， 返回所述群组信息存储单元所存储的所述用户的群组信息。

27、 如权利要求 26所述的开放身份标识提供服务器， 其特征在于， 所 述的群组信息提供单元在接收到社交网站发送的群组事件通知时，根据所述 群组事件通知更新群组信息存储单元存储的对应用户的群组信息。

28、 如权利要求 26所述的开放身份标识提供服务器， 其特征在于， 还 包括：

群组事件确认单元， 用于接收到所述群组事件通知后， 向用户提示进行 确认，所述开放身份标识提供服务器仅向经过用户确认的群组所在网站请求 群组信息。

29、 如权利要求 26所述的开放身份标识提供服务器， 其特征在于， 所 述的群组信息存储单元中的群组信息包含有用户标识对应群组所在的服务 器地址；

所述的群组信息提供单元在接收到获取所述用户的群组信息的请求时， 地址。

30、 如权利要求 26所述的开放身份标识提供服务器， 其特征在于， 所 述的群组信息存储单元中的群组信息包含有用户标识对应群组所在的服务 器地址；

所述的群组信息提供单元根据应用网站服务器发送的身份认证请求中 的用户标识， 确定所述用户标识对应群组所在的服务器地址， 向群组所在的 服务器获取群组验证结果， 并提供给应用网站服务器。

31、 一种社会化网络中访问资源的系统， 其特征在于， 包括： 应用网站服务器， 用于接受用户通过浏笕器使用开放身份标识登录， 从 用户的开放身份标识提供服务器获得所述用户的群组信息，根据所述群组信 息验证所述用户的群组成员身份， 根据验证结果向所述用户提供资源； 开放身份标识提供服务器， 用于存储的群组信息， 其中包括用户作为成 员的群组所在网站的信息， 接收应用网站服务器获取群组信息的请求， 向所 述用户作为成员的群组所在网站获得签名过的群组信息，然后将所述签名过 的群组信息返回给应用网站服务器；

社交网站服务器， 用于存储用户的群组， 在增加或删除成员时， 所述社 交网站服务器向用户的开放身份标识提供服务器发送群组事件通知。