CN102111275B - 一种用户认证授权的方法及其实现系统 - Google Patents

Abstract

本发明提供了一种用户认证授权的方法及其实现系统，当用户端发起业务接入请求时，业务服务器根据该用户身份信息检查其是否为签约用户，若是，则从其用户签约信息中选定至少一个社会关系用户的通信方式作为认证端；业务服务器根据认证端提供的信息判断用户身份合法性；若合法，则业务服务器对用户端授权，并进行相应的业务接入响应。本发明所述方法及其实现系统，通过在用户签约业务服务时留下的签约信息中选定至少一个社会关系用户的通信方式作为认证端，并由业务服务器根据认证端提供的信息判断用户端身份合法性并对其授权的方式，克服了背景技术中所述的缺陷，有效的保障了用户信息及网络服务的安全。

Description

一种用户认证授权的方法及其实现系统

技术领域

本发明涉及通信技术领域，尤其涉及一种用户认证授权的方法及其实现系统。

背景技术

网络技术的普及给用户带来很大便利的同时，也存在着如何在网络中认证用户身份的合法性，并如何确保用户的服务和信息不被非法窃取和使用的问题。

如图1、图2所示，一般服务提供商在其网络中都有其独立的负责管理签约用户信息的认证授权中心，当用户签约后，认证授权中心就保存了用户的签约信息。当用户发起业务接入请求时，业务服务器通过认证授权中心，执行用户认证并按签约信息给用户授权。例如，电信运营商在提供网上营业厅服务时，一般采用手机号+手机随机密码、或者手机号+服务密码、或者手机号+手机随机密码+服务密码的方式，认证该用户为合法用户。其中常见的方法为：手机号+手机随机密码的登录模式。

步骤1，用户在用户端10输入服务提供商的URL链接网址后，从业务服务器20获得登录界面，要求输入用户的手机号码、随机短信密码。同时，界面上还有一个随机短信获取按钮。

步骤2，用户在用户端10登录界面输入自己的手机号码，并点击随机短信获取按钮。

步骤3，随即，用户端10发送随机密码请求消息给网络中服务提供商的业务服务器20，消息中包含用户自己的手机号码。

步骤4，服务提供商的业务服务器20为该用户的手机号码随机产生一个随机密码并保存，然后把该随机密码通过短信发送给用户的手机。

步骤5，用户阅读自己的手机短信，把获得的随机密码输入到登录界面上，然后点击登录按钮，发送登录请求到业务服务器。登录请求中包含手机号及其随机密码。

步骤6，业务服务器20通过其签约数据库和认证授权中心30核对收到的随机密码和保存的随机密码，如果相同，则认为该用户身份合法，否则认为给用户身份不合法，若认为该用户身份合法，则业务服务器20发送业务接入响应给用户所在的用户端10。

上述网络用户认证方式，只要有该用户的手机，则就能够使用网络服务提供商提供的服务，如果用户的手机遗失、被盗或没有随身携带，则存在着使用该手机的人可能并非用户本人的问题，则非法用户可以通过被盗的手机获取用户访问电信运营商网络营业厅的服务密码，导致用户的服务和信息无法获得有效保障。

再比如，银行卡账户由于用户原因，需要重置银行卡账户密码时，现有的银行卡用户一般采用口令的方式在柜员机上操作，或采用Token卡+用户名/口令的方式在网络上进行用户认证。但是，当用户遗忘了自己的口令时，用户必须亲自到银行柜台，核对身份证等原件，并提交身份证复印件等资料信息后方可修改密码，且银行需要通过一周的时间核实用户的身份后才可以确认修改密码是否成功。这种身份认证的方式，耗时费力，给用户和银行都增加了很大的不便和额外的成本。

发明内容

为此，本发明所要解决的技术问题是：提供一种用户认证授权的方法及其实现系统，以克服背景技术中所述的缺陷，能够有效的保障用户信息及网络服务的安全。

于是，本发明提供了一种用户认证授权的方法，该方法包括：

用户端发起包含有用户身份信息的业务接入请求，例如该请求中包含有用户名、账户名、用户ID等信息；

业务服务器根据该用户身份信息判断其是否为签约用户，若是，则从其用户签约信息中选定至少一个社会关系用户的通信方式，例如社会关系用户的手机号码、电子邮箱、固定电话、即时消息等通信方式作为认证端；

业务服务器根据认证端提供的信息判断用户身份合法性；

若用户身份合法，则业务服务器对用户端授权，并进行相应的业务接入响应。

其中，所述业务服务器根据认证端提供的信息判断用户端身份合法性，包括：

业务服务器向认证端发送用户身份认证和授权询问；

认证端向业务服务器回复询问结果；

业务服务器对认证端回复的询问结果进行处理，并判断该用户端身份是否合法。

或者，其中，所述业务服务器根据认证端提供的信息判断用户端身份合法性，包括：

业务服务器对接收到的业务接入请求进行判断，若该请求中包含有用户端自身的口令字或者特征字符串，则业务服务器等待认证端发来认证消息；

认证端将事先与用户端协商好的认证端口令字或者特征字符串提交给业务服务器；

业务服务器对用户端发来的用户端自身的口令字或者特征字符串和认证端提交的认证端口令字或者特征字符串进行判断，若匹配，则认为该用户端身份合法，否则不合法。

或者，其中，所述业务服务器根据认证端提供的信息判断用户端身份合法性，包括：

业务服务器选择特征字符串或者生成随机密码，发送给用户端，并向认证端发送用户身份认证和授权询问；

用户端将收到的所述特征字符串或者随机生成密码发送给认证端；

业务服务器对认证端回复的询问结果进行判断，若询问结果中包含了业务服务器发送给用户端的特征字符串或者随机生成密码，则认为该用户端身份合法，否则不合法。

或者，其中，所述业务服务器根据认证端提供的信息判断用户端身份合法性，包括：

业务服务器选择特征字符串或者生成随机密码，发送给认证户客户端；

认证端将所述特征字符串或者随机生成密码发送给用户端；

用户端再将所述特征字符串或者随机生成密码发送给业务服务器，若业务服务器接收到的用户端发来的特征字符串或者随机生成密码与业务服务器发送给认证端的信息相符，则认为该用户端身份合法，否则不合法。

本发明还提供了一种实现用户认证授权的系统，该系统包括：用户端、业务服务器和以用户端签约业务服务时留下的至少一个社会关系用户的通信方式，例如社会关系用户的手机号码、电子邮箱、固定电话、即时消息等为依托的认证端，当用户端发起业务接入请求时，业务服务器根据该用户的信息判断该用户是否为签约用户，若是，则从用户签约信息中选定至少一个社会关系用户的通信方式作为认证端，并根据所述认证端提供的信息判断该用户身份合法性，若合法，则对该用户端进行授权，并进行相应的业务接入响应。

其中，所述业务服务器根据认证端提供的信息判断用户端身份合法性，包括：

业务服务器向认证端发送用户身份认证和授权询问；

认证端向业务服务器回复询问结果；

业务服务器对认证端回复的询问结果进行处理，并判断该用户端身份是否合法。

或者，其中，所述业务服务器根据认证端提供的信息判断用户端身份合法性，包括：

业务服务器对接收到的业务接入请求进行判断，若该请求中包含有用户端自身的口令字或者特征字符串，则业务服务器等待认证端发来认证消息；

认证端将事先与用户端协商好的认证端口令字或者特征字符串提交给业务服务器；

业务服务器对用户端发来的用户端自身的口令字或者特征字符串和认证端提交的认证端口令字或者特征字符串进行判断，若匹配，则认为该用户端身份合法，否则不合法。

或者，其中，所述业务服务器根据认证端提供的信息判断用户端身份合法性，包括：

业务服务器选择特征字符串或者生成随机密码，发送给用户端，并向认证端发送用户身份认证和授权询问；

用户端将收到的所述特征字符串或者随机生成密码发送给认证端；

服务器对认证端回复的询问结果进行判断，若询问结果中包含了业务服务器发送给用户端的特征字符串或者随机生成密码，则认为该用户端身份合法，否则不合法。

或者，其中，所述业务服务器根据认证端提供的信息判断用户端身份合法性，包括：

业务服务器选择特征字符串或者生成随机密码，发送给认证户客户端；

认证端将所述特征字符串或者随机生成密码发送给用户端；

用户端再将所述特征字符串或者随机生成密码发送给业务服务器，若业务服务器接收到的用户端发来的特征字符串或者随机生成密码与业务服务器发送给认证端的信息相符，则认为该用户端身份合法，否则不合法。

本发明所述一种用户认证授权的方法及其实现系统，通过在用户签约业务服务时留下的用户信息中选定至少一个社会关系用户的通信地址作为认证端，并由业务服务器根据认证端提供的信息判断用户端身份合法性的方式，克服了背景技术中所述的缺陷，有效的保障了用户信息及网络服务的安全。

附图说明

图1为现有技术中用户认证授权方法的流程示意图；

图2为现有技术中用户认证授权系统结构示意图；

图3为本发明所述用户认证授权的方法流程示意图；

图4为本发明所述实现用户认证授权的系统结构示意图；

图5为本发明实施例一流程结构示意图；

图6为本发明实施例二流程结构示意图；

图7为本发明实施例三流程结构示意图；

图8为本发明实施例四流程结构示意图。

具体实施方式

下面，结合附图对本发明进行详细描述。

如图3、图4所示，本实施例提供了一种用户认证授权的方法及其实现系统，该系统包括：用户端40、业务服务器50和在用户签约业务服务时留下的亲朋好友等社会关系信息中选定的至少一个社会关系用户的通信地址，例如社会关系用户的手机号码、邮箱地址、固定电话、即时消息等作为认证端60。其中，认证端60可以是用户在签约业务服务时留下的一个社会关系用户的通信方式，也可以是用户在签约业务服务时留下的多个社会关系用户的多个通信方式，例如可以同时是手机号码和邮箱地址，例如图4中表示为社会关系第1认证端，...社会关系第n认证端。

步骤1，用户在用户端40向业务服务器50发送业务接入请求，表示该用户要使用业务服务器40提供的服务和应用，该请求信息中包含该用户身份信息；

步骤2，业务服务器50根据该用户身份信息检查其是否为签约用户；

步骤3，若该用户是签约用户，则从其签约用户信息中选定至少一个社会关系用户的通信方式作为认证端60进行认证；

步骤4，业务服务器50根据各认证端60提供的信息判断用户端40身份的合法性；

步骤5，若用户端身份合法，则业务服务50对用户端40授权，并进行相应的业务接入响应，即：若用户身份合法，则允许用户端40接入业务服务器，享用服务器端提供的服务和应用，否则，不允许用户端40接入业务服务器。

其中，在用户签约许可的情况下，业务服务器50还可以根据第三方的业务应用信息，例如网络地址本等来更新用户的亲朋好友等社会关系信息。

当然，业务服务器50可以给不同的认证端赋予不同的权重信息的权重，例如，有些认证端可以一票否决、一票通过等。

用户端还可以在业务接入请求中指定哪些社会关系用于本次认证。

业务接入请求的用户身份信息可以是用户名、账户名、用户ID等信息。

进一步，业务服务器50在得出最终的认证结论后，可以向认证端发送通知，通知认证端认证授权的最终结果。

上述步骤4中，业务服务器50根据认证端60提供的信息判断用户端身份合法性，可以通过以下四个实施例加以描述。

实施例一

如图5所示，用户在用户端向服务器发起业务接入请求后，业务服务器向选定的该用户的至少一个社会关系手机用户所在的认证端直接发送用户身份认证和授权询问，所述认证端向业务服务器直接回复询问的结果。业务服务器对各询问结果进行处理后，得出用户认证的结论，例如，有过半以上认证端回复结果为认证通过，则业务服务器认证用户认证授权通过，否则认证授权失败。此外，业务服务器可以缺省认为认证端的反馈结果就是认证授权通过，为此，业务服务器仅向所述认证端发送通知即可，知会该用户要发起业务请求。业务服务器得出认证和授权结论后，向客户端作出业务接入响应。

例如，银行卡账户由于用户原因，需要重置银行卡账户密码时，现有的银行卡用户一般采用口令的方式在柜员机上操作，或采用Token卡+用户名/口令的方式在网络上进行用户认证。但是，当用户遗忘了自己的口令时，用户必须亲自到银行柜台，核对身份证等原件，并提交身份证复印件等资料信息后方可修改密码，且银行需要通过一周的时间核实用户的身份后才可以确认修改密码是否成功。

若采用本实施例所述方法和系统，那么，在用户开户时，填写自己的关键社会关系列表，例如亲友的联系电话，当用户遗忘了自己的银行账户密码时，用户只需要通过电话、邮件、上网、短信等各种方式向银行提出申请，银行业务服务器向选定的该用户的至少一个社会关系手机用户所在的认证端直接发送用户身份认证和授权询问银行自动通知该用户的亲友，核实和确认提出操作申请的用户身份的合法性，确认后，银行允许用户重置自己的密码，从而省去了用户需要亲自到营业厅才能够办理该业务，且提交个人资料并等待一周的时间才能够得以确认的过程，使得重置银行密码业务快捷又安全。

例如，用户在银行开户，获得银行帐号，在留下自己的联系电话的同时，还要留下自己的至少一个亲友的联系手机号码或EMAIL地址。当用户忘记了自己帐号的密码并需要重置密码时，用户发送手机短信给银行的业务服务器，内容包括：用户名、用户的银行帐号、操作指示(申请重置密码)、新密码、及备注说明(如：我是王二，密码忘了，需重设)。银行的业务服务器收到重置密码的申请后，向该用户的2个亲友分别发送询问短信和/或者EMAIL，向亲友们核实是否确实是王二提出的重置密码申请，短信内容包括：用户名、银行帐号、申请的操作及备注说明。如：用户“王二”申请重置银行帐号“XXXX”的密码，请核实。请回复1确认为合法用户，回复2确认为非法操作。备注说明：“我是王二，密码忘了，需重设。”该用户的两个亲友分别核实王二的业务操作请求后，通过短信和/或者EMAIL分别回复银行的询问，确认发起业务请求的用户是否用户本人。银行的业务服务器根据两个亲友的答复，确认该用户是否为合法用户。如果为合法用户，则执行重置密码操作；否则，拒绝该用户的业务操作请求。

实施例二

如图6所示，用户在用户端向服务器发起业务接入请求后，业务服务器根据该用户身份信息检查其是否为签约用户，若是，则从其签约用户信息中选定至少一个社会关系用户的通信方式作为认证端，然后，业务服务器对接收到的业务接入请求进行判断，若该请求中包含有用户端自身的口令字或者特征字符串，则业务服务器等待认证端发来认证消息；认证端将事先与用户端协商好的认证端口令字或者特征字符串提交给业务服务器；业务服务器对用户端发来的用户端自身的口令字或者特征字符串和认证端提交的认证端口令字或者特征字符串进行判断，若匹配，则认为该用户端身份合法，否则不合法。

其中，认证端和用户本人提交的口令字或特征字符串，可以相同，也可以不相同。认证端提交口令字或特征字符串的时间，还可以早于用户发出业务接入请求的时间，以方便服务器端快速认证用户。

实施例三

如图7所示，用户在用户端向服务器发起业务接入请求后，业务服务器根据该用户身份信息检查其是否为签约用户，若是，则从其签约用户信息中选定至少一个社会关系用户的通信方式作为认证端，然后，业务服务器选择特征字符串或者生成随机密码，发送给用户端，并向认证端发送用户身份认证和授权询问；用户端将收到的所述特征字符串或者随机生成密码发送给认证端；服务器对认证端回复的询问结果进行判断，若询问结果中包含了业务服务器发送给用户端的特征字符串或者随机生成密码，则认为该用户端身份合法，否则不合法。

其中，当认证端为多个时，用于不同认证端的特征字符串或随机密码可以相同，也可以不相同。

实施例四

如图8所示，用户在用户端向服务器发起业务接入请求后，业务服务器根据该用户身份信息检查其是否为签约用户，若是，则从其签约用户信息中选定至少一个社会关系用户的通信方式作为认证端，然后，业务服务器选择特征字符串或者生成随机密码，发送给认证端；认证端将所述特征字符串或者随机生成密码发送给用户端；用户端再将所述特征字符串或者随机生成密码发送给业务服务器，若业务服务器接收到的用户端发来的特征字符串或者随机生成密码与业务服务器发送给认证端的信息相符，则认为该用户端身份合法，否则不合法。

其中，当认证端为多个时，用于不同认证端的特征字符串或随机密码可以相同，也可以不相同。

在上述各实施例中，业务服务器发送给认证端的消息中，还可以携带补充信息，例如业务接入请求的发起时间、地点、IP地址、终端类型、说明文字等，以方便各认证端核实该用户的身份。这些补充信息可以直接来源于客户端发送给业务服务器的业务接入请求消息，还可以由业务服务器整理业务接入请求消息及网络信息获得。当认证端有个时，发送给不同的人的补充信息可以相同，也可以不相同。

基于认证端的认证方式还可以和口令，多因素认证等方式组合使用。例如，在用户提交用户名/口令信息且认证通过后，业务服务器可进一步选定用户的其他社会关系用户的通信方式作为认证端进行认证。

业务服务器端得出最终的认证授权结论后，还可以向认证端发送通知，告知认证授权的最终结果。

例如，电信运营商在提供网上运营厅服务，和用户签约时，在签约中用户不但要留下自己的手机号码和/或者电子邮箱，还要留下至少一个亲友的手机号码、电子邮箱、即时消息、固定电话，本实施例以采用留下手机号码为例加以描述。当用户登录网上营业厅时，用户除需要输入自己的手机号、随机密码外，还需要输入自己亲友的手机号码，以获得的随机短信密码及亲友认证密码。具体为：用户在和服务提供商签约时，在签约中登记至少一个亲友的手机号码。用户在客户端输入服务提供商的网址后，从服务器获得登录界面，要求输入用户的手机号码、随机短信密码、亲友认证密码。同时，界面上还有一个随机短信获取按钮。用户在客户端登录界面输入自己的手机号码，并点击随机短信获取按钮。随即，客户端发送随机密码请求消息给网络中服务提供商的服务器，消息中包含用户自己的手机号码。服务提供商的业务服务器为该用户的手机号码随机产生一个随机密码并保存，然后把该随机密码通过短信发送给用户的手机。同时，业务服务器检索该用户登记的亲友的手机号码，并为该亲友的手机号码随机产生一个随机密码并保存，然后把该随机密码作为亲友认证密码通过短信发送给该亲友的手机上。用户阅读自己的手机短信获得随机密码，和亲友沟通获得亲友认证密码，并把获得的随机密码和亲友认证密码输入到登录界面上，然后点击登录按钮，发送登录请求到业务服务器。登录请求中包含手机号、随机密码和亲友认证密码。业务服务器核对收到的登录请求与保存在业务服务器的随机密码和亲友认证密码，如果相同，则认为该用户为合法用户，登录成功；否则，用户认证失败，拒绝用户的登录请求。

上述实施例，还可以应用在保护电子商务账户的关键信息中。例如，电子商务操作一般采用手机短信随机密码的方式来验证用户的合法性。当用户申请访问自己的电子商务账户或进行交易时，电子商务服务提供商会通过短信发送随机信息给用户的手机，然后由用户通过网络提交，以确认该用户为合法用户。当手机处于不可用状态时，该账户无法访问和交易。当用户的手机被盗、或SIM卡被克隆时，该用户的账户信息可以被全部更改包括用于认证的联系手机号码。这样，即使用户找回自己的手机，用户也将彻底失去自己的网络账户。另外，当用户的身份证遗失、被盗或被冒用时，非法用户也可以在电信营业厅申请新的SIM卡从而导致关键信息泄漏。采用本实施例提供的所述方法和系统时，只需要在用户开户时，在电子商务的账户信息表中填写自己的关键社会关系列表如亲友的联系电话。当用户做日常交易时，通过现有的手机短信提供随机密码的方式验证用户的合法性。当用户需要查询和修改账户信息、交易限额控制、用于用户交易确认的手机号码等关键敏感信息时，电子商务服务提供商通过短信、彩信等方式自动通知用户的亲友，由亲友核实并确认提出操作申请的用户为合法用户，确认后，电子商务服务提供商允许用户查询和修改该账户的关键敏感信息。具体实现过程为：用户在开通电子商务服务时，除自己的手机号码外，登记两个亲友的信息并留下他们的手机号码。当用户在自己的客户端进行操作，通过随机密码的方式，登录账户并获取日常交易权限。该权限不能查询和修改用户的账户资料信息。用户在客户端上点击“获取亲友认证密码”的按钮后，客户端向电子商务服务提供商的业务服务器发送获取亲友认证密码的请求消息。业务服务器查询用户的账户资料，获得该用户的亲友信息，为每个亲友产生用户帐户资料查询的随机密码和账户资料修改的随机密码并通过短信发送到该用户的亲友的手机上。用户从两个亲友那里获得可以查询用户帐户资料的随机密码或可以修改账户资料的随机密码作为亲友认证密码，输入到客户端的登录界面上，并点击登录按钮，客户端随后发送账户登录请求到服务器，请求消息中包含亲友认证密码。业务服务器确认收到的亲友认证密码正确，由此升级该用户的访问权限，允许用户查询账户资料信息，或者允许用户查询账户资料信息并修改。

上述实施例，还可以应用在手机卡补卡认证过程中。例如，当用户的手机被盗、遗失后，用户一般需要携带自己的身份证件，亲自到电信运营商的营业厅补一张SIM卡。电信运营商必须投入足够的资源来审核用户的身份，并服务好用户的补卡申请。而用户由于必须亲自到电信营业厅，而耗费了大量的时间和精力。同时，由于用户需要携带自己的身份证件且在电信运营商那里要复印留底，客观上增加了个人身份资料外泄的风险。采用本实施例提供的所述方法和系统时，只需要在用户开户时，在电信服务的开户申请中填写自己的关键社会关系列表如亲友的联系电话。同时，电信运营商可以像发放预付费充值卡一样，发放临时SIM卡给零售商店。该临时SIM卡只被允许拨打电信运营商的特殊服务号码。该用户的手机被盗、遗失后，只需要在任一零售商店购买临时SIM卡，通过临时SIM呼叫特殊服务号码，申请该临时SIM卡为原电话号码的补办卡，并留言“我是XXX，因手机遗失，需补办卡。”电信运营商通过短信、彩信、语音留言等方式通知用户的亲友，并核实该用户确认为原电话号码的合法用户后，确认该用户补卡成功。该临时SIM卡由此成为原电话号码的补办卡。

上述实施例，还可以应用在关键信息访问控制过程中。例如，企业的关键信息资产一般会被严格的保护，以限制非相关人员的访问。通常的做法是企业建立一个专用的审批电子流和用户群组，通过电子流审核批准哪些人有权访问关键信息资产，并把有权访问和没有权访问的人分别加入不同的用户群组。只有属于特定的用户群组的员工，才能通过企业的IT系统访问这些关键信息资产。由于企业人员会流失或补充、参与人员的角色会变化、负责增加删除用户群组成员的工作人员的失误等原因，以及企业也并不是随时随地都允许访问，管理这些关键信息资产的工作量很大，审批节奏慢、时间长，并有可能因不能及时匹配企业员工的角色调整等原因而导致信息泄漏。采用本实施例提供的所述方法和系统时，企业员工可以在任何时候通过企业的IT网络申请阅读关键信息资产，而无需电子流审批过程。将管理人员作为认证端，查阅关键信息资产的请求通过短信、邮件、即时消息等方式向信息资产的管理人员，由于管理人员了解该用户是否为合法用户，因此，由管理人员所在的认证端确认该用户的合法性及对应的权限，若认证端认证通过，则关键信息资产随即允许该企业员工的阅读请求。可见，该方案不需要电子流审批，不需要管理各种用户群组，使企业关键信息资产的管理能及时匹配企业的变化。

另外，用户端也可以在业务接入请求中指定认证客户端的范围。例如，用户在用户端向业务服务器发起的业务接入请求中，指定认证者为“父亲”和“妻子”。业务服务器在选择进行认证的认证客户端时，仅选择“父亲”和“妻子”，并且要求两者要同时认证通过，才表示该用户认证通过。

在用户签约许可的情况下，业务服务器可以根据第三方的业务应用信息如网络地址本等来更新用户的亲朋好友等社会关系信息。

综上所述，本实发明实施例所述一种用户认证授权的方法及其实现系统，通过在用户签约业务服务时留下的用户信息中选定至少一个社会关系手机用户和/或者电子邮箱用户作为认证端，并由业务服务器根据认证端提供的信息判断用户端身份合法性的方式，克服了背景技术中所述的缺陷，有效的保障了用户信息及网络服务的安全。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (10)

1. 一种用户认证授权的方法，其特征在于，包括：

用户端发起包含有用户身份信息的业务接入请求；

业务服务器根据该用户身份信息检查其是否为签约用户，若是，则从其用户签约信息中选定至少一个社会关系用户的通信方式作为认证端；

业务服务器根据认证端提供的信息判断用户身份合法性；

若用户身份合法，则业务服务器对用户端授权，并进行相应的业务接入响应。

2. 根据权利要求1所述的方法，其特征在于，所述业务服务器根据认证端提供的信息判断用户端身份合法性，包括：

业务服务器向认证端发送用户身份认证和授权询问；

认证端向业务服务器回复询问结果；

业务服务器对认证端回复的询问结果进行处理，并判断该用户端身份是否合法。

3. 根据权利要求1所述的方法，其特征在于，所述业务服务器根据认证端提供的信息判断用户端身份合法性，包括：

业务服务器对接收到的业务接入请求进行判断，若该请求中包含有用户端自身的口令字或者特征字符串，则业务服务器等待认证端发来认证消息；

认证端将事先与用户端协商好的认证端口令字或者特征字符串提交给业务服务器；

业务服务器对用户端发来的用户端自身的口令字或者特征字符串和认证端提交的认证端口令字或者特征字符串进行判断，若匹配，则认为该用户端身份合法，否则不合法。

4. 根据权利要求1所述的方法，其特征在于，所述业务服务器根据认证端提供的信息判断用户端身份合法性，包括：

业务服务器选择特征字符串或者生成随机密码，发送给用户端，并向认证端发送用户身份认证和授权询问；

用户端将收到的所述特征字符串或者随机生成密码发送给认证端；

业务服务器对认证端回复的询问结果进行判断，若询问结果中包含了业务服务器发送给用户端的特征字符串或者随机生成密码，则认为该用户端身份合法，否则不合法。

5. 根据权利要求1所述的方法，其特征在于，所述业务服务器根据认证端提供的信息判断用户端身份合法性，包括：

业务服务器选择特征字符串或者生成随机密码，发送给认证端；

认证端将所述特征字符串或者随机生成密码发送给用户端；

用户端再将所述特征字符串或者随机生成密码发送给业务服务器，若业务服务器接收到的用户端发来的特征字符串或者随机生成密码与业务服务器发送给认证端的信息相符，则认为该用户端身份合法，否则不合法。

6. 一种实现用户认证授权的系统，其特征在于，包括：用户端、业务服务器和以用户端签约业务服务时留下的至少一个社会关系用户的通信方式为依托的认证端，当用户端发起业务接入请求时，业务服务器根据该业务接入请求中的用户身份信息判断该用户是否为签约用户，若是，则从签约用户信息中选定至少一个社会关系用户的通信方式作为认证端，并根据所述认证端提供的信息判断该用户身份合法性，再对该用户端进行相应业务接入响应。

7. 根据权利要求6所述的系统，其特征在于，所述业务服务器根据认证端提供的信息判断用户端身份合法性，包括：

业务服务器向认证端发送用户身份认证和授权询问；

认证端向业务服务器回复询问结果；

业务服务器对认证端回复的询问结果进行处理，并判断该用户端身份是否合法。

8. 根据权利要求6所述的系统，其特征在于，所述业务服务器根据认证端提供的信息判断用户端身份合法性，包括：

业务服务器对接收到的业务接入请求进行判断，若该请求中包含有用户端自身的口令字或者特征字符串，则业务服务器等待认证端发来认证消息；

认证端将事先与用户端协商好的认证端口令字或者特征字符串提交给业务服务器；

业务服务器对用户端发来的用户端自身的口令字或者特征字符串和认证端提交的认证端口令字或者特征字符串进行判断，若匹配，则认为该用户端身份合法，否则不合法。

9. 根据权利要求6所述的系统，其特征在于，所述业务服务器根据认证端提供的信息判断用户端身份合法性，包括：

业务服务器选择特征字符串或者生成随机密码，发送给用户端，并向认证端发送用户身份认证和授权询问；

用户端将收到的所述特征字符串或者随机生成密码发送给认证端；

服务器对认证端回复的询问结果进行判断，若询问结果中包含了业务服务器发送给用户端的特征字符串或者随机生成密码，则认为该用户端身份合法，否则不合法。

10. 根据权利要求6所述的系统，其特征在于，所述业务服务器根据认证端提供的信息判断用户端身份合法性，包括：

业务服务器选择特征字符串或者生成随机密码，发送给认证户客户端；

认证端将所述特征字符串或者随机生成密码发送给用户端；

用户端再将所述特征字符串或者随机生成密码发送给业务服务器，若业务服务器接收到的用户端发来的特征字符串或者随机生成密码与业务服务器发送给认证端的信息相符，则认为该用户端身份合法，否则不合法。