CN103621008A - 身份认证方法及装置 - Google Patents

身份认证方法及装置 Download PDF

Info

Publication number
CN103621008A
CN103621008A CN201280000785.1A CN201280000785A CN103621008A CN 103621008 A CN103621008 A CN 103621008A CN 201280000785 A CN201280000785 A CN 201280000785A CN 103621008 A CN103621008 A CN 103621008A
Authority
CN
China
Prior art keywords
digital certificate
selection
customer digital
browser kernel
kernel unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201280000785.1A
Other languages
English (en)
Other versions
CN103621008B (zh
Inventor
李立
胡立新
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Publication of CN103621008A publication Critical patent/CN103621008A/zh
Application granted granted Critical
Publication of CN103621008B publication Critical patent/CN103621008B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/95Retrieval from the web
    • G06F16/957Browsing optimisation, e.g. caching or content distillation
    • G06F16/9577Optimising the visualization of content, e.g. distillation of HTML documents
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • G06F21/335User authentication using certificates for accessing specific resources, e.g. using Kerberos tickets
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Information Transfer Between Computers (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明实施例提供一种身份认证方法及装置,该身份认证方法包括:浏览器内核单元根据选择的用户数字证书,生成携带有选择的用户数字证书的登录请求,将登录请求发送给应用服务器;浏览器内核单元接收应用服务器根据选择的数字证书进行身份认证之后所返回的指示认证成功的响应,从响应中提取网页文件,对网页文件进行解析,生成网页并发送给浏览器界面单元;浏览器界面单元对网页进行显示。本发明实施例提供的身份认证方法及装置,提高了身份认证的便捷性和安全性。

Description

身份认证方法及装置
技术领域 本发明实施例涉及网络技术, 尤其涉及一种身份认证方法及装置。 背景技术
Web (网页)应用为使用浏览器所支持的语言编写的、 依赖于浏览器作 为运行和展现环境的应用程序。 用户在使用 Web应用时, 为了保证网络系统 资源使用的安全性, 通常需要对用户进行身份认证, 以使合法用户以合法的 权限访问网络系统的资源。
现有技术中, 通常通过用户输入的用户名和密码对用户进行身份认证, 用户需要记住用户名和密码, 而且, 密码在传输过程中容易被第三方截获, 安全性不高, 而且输入密码也比较麻烦, 不够方便。 发明内容
本发明实施例提供一种身份认证方法及装置, 以提高身份认证的便捷性 和安全性。
本发明实施例提供一种身份认证方法, 包括:
浏览器内核单元根据选择的用户数字证书, 生成携带有所述选择的用户 数字证书的登录请求, 将所述登录请求发送给应用服务器;
所述浏览器内核单元接收所述应用服务器根据所述选择的数字证书进行 身份认证之后所返回的指示认证成功的响应, 从所述响应中提取网页文件, 对所述网页文件进行解析, 生成网页并发送给浏览器界面单元;
所述浏览器界面单元对所述网页进行显示。
本发明实施例提供一种身份认证装置, 包括浏览器内核单元和浏览器界 面单元;
浏览器内核单元用于根据选择的用户数字证书, 生成携带有所述选择的 用户数字证书的登录请求, 将所述登录请求发送给应用服务器, 以及接收所 述应用服务器根据所述选择的数字证书进行身份认证之后所返回的指示认证 成功的响应, 从所述响应中提取网页文件, 对所述网页文件进行解析, 生成 网页并发送给浏览器界面单元;
所述浏览器界面单元用于对所述网页进行显示。
由上述技术方案可知, 本发明实施例提供的身份认证方法及装置, 浏览 器内核单元根据选择的用户数字证书, 生成携带有选择的用户数字证书的登 录请求, 将登录请求发送给应用服务器, 浏览器内核单元接收应用服务器发 送的用以指示认证成功的响应, 从响应中提取网页文件, 对网页文件进行解 析, 生成网页并发送给浏览器界面单元, 浏览器界面单元对网页进行显示。 通过用户数字证书进行身份认证, 用户无需记住用户名和密码, 而且可以避 免密码在传输过程中被截获, 提高了身份认证的便捷性和安全性。 附图说明
施例或现有技术描述中所需要使用的附图作一简单地介绍, 显而易见地, 下 面描述中的附图是本发明的一些实施例, 对于本领域普通技术人员来讲, 在 不付出创造性劳动性的前提下, 还可以根据这些附图获得其他的附图。
图 1为本发明实施例提供的第一种身份认证方法流程图;
图 2为本发明实施例提供的第二种身份认证方法流程图;
图 3为本图 2所示步骤 204实现方法流程图;
图 4为本发明实施例提供的一种身份认证信令图;
图 5为本发明实施例提供的第三种身份认证方法流程图;
图 6为本发明实施例提供的另一种身份认证信令图;
图 7为本发明实施例提供的第四种身份认证方法流程图;
图 8为本发明实施例提供的再一种身份认证信令图;
图 9为本发明实施例提供的第五种身份认证方法流程图;
图 10为本发明实施例提供的一种身份认证系统结构示意图;
图 1 1为本发明实施例提供的另一种身份认证系统结构示意图。 具体实施方式 为使本发明实施例的目的、 技术方案和优点更加清楚, 下面将结合本发 明实施例中的附图, 对本发明实施例中的技术方案进行清楚、 完整地描述, 显然, 所描述的实施例是本发明一部分实施例, 而不是全部的实施例。 基于 本发明中的实施例, 本领域普通技术人员在没有作出创造性劳动前提下所获 得的所有其他实施例, 都属于本发明保护的范围。
图 1为本发明实施例提供的第一种身份认证方法流程图。 如图 1所示, 本实施例提供的身份认证方法具体可以应用于用户通过浏览器使用 Web应用 时对用户身份的认证过程, 可以通过设置有浏览器的身份认证装置来执行。 该身份认证装置可以为个人计算机、 笔记本电脑、 平板电脑和智能手机等设 备。
本实施例提供的身份认证方法具体包括:
步骤 101、 浏览器内核单元根据选择的用户数字证书, 生成携带有所述 选择的用户数字证书的登录请求, 将所述登录请求发送给应用服务器;
步骤 102、 所述浏览器内核单元接收所述应用服务器根据所述选择的数 字证书进行身份认证之后所返回的指示认证成功的响应, 从所述响应中提取 网页文件, 对所述网页文件进行解析, 生成网页并发送给浏览器界面单元; 步骤 103、 所述浏览器界面单元对所述网页进行显示。
具体地, 用户首先注册为 Web应用的合法用户, Web应用向该用户的客 户端分发相应的用户数字证书, 该用户数字证书存储在身份认证装置中。 具 体地, 用户数字证书可以利用公钥体制, 即利用一对互相匹配的密钥进行加 密和解密。 在网络传输的过程当中, 只有公钥会被传输, 私钥则只保存在用 户本地。 因此即使截获了用户数字证书, 也无法对其进行解密而获取用户数 字证书的真正的数据。 当用户通过多个用户身份进行注册时, 每个用户身份 都有各自对应的用户数字证书, 可以用 WebID (用户在网页中的身份标识)对 用户身份进行标识, 以实现用户身份的唯一性。 用户数字证书中可以包括 WebID, 证书发布者、 证书类型、 证书公钥和数字签名算法等信息。 当用户 需要以某个用户身份进行登录时,可以选择该用户身份对应的用户数字证书, 字证书。
浏览器内核单元中具体设置有浏览器内核程序, 浏览器内核单元根据该 选择的用户数字证书, 生成携带有选择的用户数字证书的登录请求, 该登录 请求用以指示请求对该用户数字证书对应的用户身份进行登录处理, 该登录 请求具体为 HTTP ( HyperText Transfer Protocol, 超文本传输协议 ) GET (获 取)请求。浏览器内核单元向该 Web应用对应的应用服务器发送该登录请求, 应用服务器接收该登录请求, 对登录请求中的用户数字证书进行验证。
具体地, 应用服务器对该用户数字证书进行验证的方式可以包括以下两 种:
一种实现方式, 应用月良务器可以通过 SPARQL ( Simple Protocol and RDF Query Language )方式向对应的认证服务器发起查询请求,查询请求可以携带 有该用户数字证书中的几个关键参数,例如 WebID,证书类型和证书公钥等, 认证服务器根据上述几个关键参数进行查询, 当认证服务器中存储的某个用 户数字证书的参数与上述查询过程中携带的几个关键参数都相同, 则查询结 果为真, 身份认证成功; 当认证服务器中存储的某个用户数字证书的参数与 上述查询过程中携带的几个关键参数都不相同或者不完全相同, 身份认证失 败。
另一种实现方式, 应用服务器通过 HTTPS ( Hypertext Transfer Protocol over Secure Socket Layer, 安全传输的 HTTP消息 ) GET请求获取认证服务 器上保存的与该 webID对用的用户数字证书。 应用服务器将接收到的登录请 求中携带的用户数字证书和从认证服务器上获取到的用户数字证书进行匹 配, 若两个用户数字证书中的参数全部相同, 即匹配成功, 则用户身份认证 成功, 若两个用户数字证书中的参数全部不相同或者不完全相同, 则身份认 证失败。
若用户身份认证成功, 则向浏览器内核单元发送用以指示认证成功的响 应, 该响应中携带有与该 Web应用对应的网页文件, 该指示认证成功的响应 具体可以为 HTTP 200响应。 浏览器内核单元从该响应中提取网页文件, 对 该网页文件进行解析, 执行该网页文件, 并进行相应的渲染, 将最终的网页 通过浏览器界面单元进行显示, 以为用户提供相应的 Web应用。 网页文件具 体可以包括超文本标记语言 ( Hypertext Markup Language , 简称 HTML )文 件、 javascript脚本文件和级联样式表 ( Cascading Style Sheet, 简称 CSS )文 件等。 浏览器界面单元中设置有浏览器界面程序。 当用户身份认证失败时, 应用 良务器也向浏览器内核单元返回用以指示认证失败的响应, 该指示认证 失败的响应具体可以为 HTTP 403响应。
本实施例提供的身份认证方法, 浏览器内核单元根据选择的用户数字证 书, 生成携带有选择的用户数字证书的登录请求, 将登录请求发送给应用服 务器, 浏览器内核单元接收应用服务器发送的用以指示认证成功的响应, 从 响应中提取网页文件, 对网页文件进行解析, 生成网页并发送给浏览器界面 单元, 浏览器界面单元对网页进行显示。 通过用户数字证书进行身份认证, 用户无需记住用户名和密码, 而且可以避免密码在传输过程中被截获, 提高 了身份认证的便捷性和安全性。
图 2为本发明实施例提供的第二种身份认证方法流程图。 如图 2所示, 在本实施例中, 在图 1 所述实施例的步骤 101 , 浏览器内核单元根据选择的 用户数字证书, 生成携带有所述选择的用户数字证书的登录请求之前, 所述 方法进一步还可以包括如下步骤:
步骤 201、 所述浏览器内核单元检测登录触发事件, 将所述登录触发事 件发送给 Web应用单元;
步骤 202、 所述 Web应用单元根据所述登录触发事件确定登录触发操作 对应的网址, 将所述网址发送给所述浏览器内核单元; 向所述应用服务器发送访问请求;
步骤 204、 所述浏览器内核单元接收所述应用服务器根据所述访问请求 所返回的需要身份认证信息, 并且根据所述需要身份认证指示信息确定所述 选择的用户数字证书。
具体地, Web应用单元中设置有 Web应用。 在一种应用场景下, 用户在 通过浏览器使用 Web应用时, 在访问到的网络资源不需要进行身份认证时, 并不需要登录。 当用户访问到的网络资源需要进行身份认证时, 才需要用户 提供用户数字证书以进行身份认证。
登录触发事件具体为触发登录操作的事件, 例如, 用户在浏览器界面单 元所展示的网页中点击包含超链接的文字、 按鈕或图片时, 会产生用户点击 事件, 点击事件中具体携带有用户所点击的文字、 按鈕或图片的标识, 浏览 器界面单元将该用户点击事件上报给浏览器内核单元, 该用户点击事件可以 作为登录触发事件, 此时, 触发登录操作可以是点击操作, 触发登录操作所 对应的网址可以是该点击操作所链接的网址。 登录触发事件还可以为网页自 动跳转、 视频播放到一定长度或用户执行拷贝操作等等。 浏览器内核单元检 测到该登录触发事件时, 将登录触发事件发送给 Web应用单元。 Web应用单 元根据登录触发事件确定登录触发操作对应的网址, 将该网址发送给浏览器 内核单元, 浏览器内核单元生成携带有该网址的访问请求, 并将访问请求发 送给应用服务器。 访问请求具体可以为 HTTP GET请求。 应用服务器根据访 问请求确定用户访问的网络资源的安全性、 重要性和隐私性, 若判断获知用 户请求访问的网络资源需要对用户进行身份认证, 则向浏览器内核单元发送 需要身份认证指示信息。 浏览器内核单元根据该需要身份认证指示信息确定 选择的用户数字证书。
该需要身份认证指示信息中还可以携带有身份认证限定参数, 该身份认 证限定参数可以包括以下内容:
Issuer: 发行机构, 即证书发布者;
Certificate— types: 证书类型, 可以是 RSA key ( RSA公钥加密算法) 、 DSA key ( Digital Signature Algorithm key, DSA公钥力口密算法) 、 RSA static
DH( RSA静态 Diffie-Hellman公钥加密算法) key或 DSA static DH key( DSA 静态 选, 以确定符合该身份认证限定参数的用户数字证书。
图 3为图 2所示步骤 204实现方法流程图。 如图 3所示, 在本实施例中, 在本实施例中, 图 2所述实施例的步骤 204, 所述浏览器内核单元接收所述 应用服务器根据所述访问请求所返回的需要身份认证信息, 并且根据所述需 要身份认证指示信息确定所述选择的用户数字证书,具体可以包括如下步骤, 如图 3所示:
步骤 2041、 所述浏览器内核单元根据所述需要身份认证指示信息生成需 要身份认证事件, 将所述需要身份认证事件上报给所述 Web应用单元;
步骤 2042、所述 Web应用单元接收所述需要身份认证事件,调用所述浏 览器内核单元的认证对象的登录接口; 步骤 2043、 所述浏览器内核单元获取本地存储的默认的用户数字证书, 确定所述默认的用户数字证书为所述选择的用户数字证书, 或者所述浏览器 内核单元获取本地存储的多个待选择的用户数字证书, 根据接收到的选择指 示信息从所述多个待选择的用户数字证书中确定一个用户数字证书为所述选 择的用户数字证书。
具体地, 上述需要身份认证指示信息具体可以为安全传输层协议 ( Transport Layer Security, 简称 TLS )请求, 浏览器内核单元接收该需要身 份认证指示信息, 若该需要身份认证指示信息中携带有身份认证限定参数, 则从该需要身份认证指示信息解析出身份认证限定参数。检查 Web应用单元 是否预先建立了对用户身份认证事件的监听, 如果有, 则浏览器内核单元向 Web应用单元上报需要身份认证事件, 该需要身份认证事件中可以携带有身 份认证限定参数。
是否 包括登录功能子对象, 该登录功能子对象具体可以为 weblDAthentication , 如果检测到该 window. weblDAthentication , 调用浏览器 内核单元中提供认证对象的登录接口 , 该认证对象具体可以为 weblDAthentication对象, 若认证对象未创建, 可以先创建该认证对象, 该登 录接口具体为 doLogin接口。 若存在身份认证限定参数, 则可以将身份认证 限定参数作为参数通过该登录接口传入浏览器内核单元。 Web应用单元也可 以根据 Web应用内部逻辑检测是否需要对用户进行身份认证。
doLogin接口具体可以通过以下接口函数实现:
interface weblDAthentication: EventTarget {
attribute DOMString webID;〃用户 webID
readonly [DC] attribute DCList;//该 webID对应的数字证书列表 void doLogin(AuthContext context);〃用户身份认证接口 void doLogout(DOMString webID);//用户登出接口
void doQueryUserstatus(DOMString webID);〃用户登录状态查询接
〃回调接口 void attribute Function? onLogin;〃用户身份认证回调接口
void attribute Function? onLogout;〃用户登出回调接口
void attribute Function? onQueryUserstatus;〃用户登录状态查询回调接 口
};
浏览器内核单元接收到 webIDAthentication::doLogin接口调用时,根据预 设的用户配置或系统策略, 检查浏览器内核单元是否需要自动为用户选择某 个用户数字证书用于此次身份认证。 用户配置过程具体可以为浏览器内核单 元根据用户配置将在需要用户数字证书进行身份认证时, 自动为用户选择预 先设置的用户数字证书, 或者提示用户手动选择。 当用户没有进行配置时, 浏览器内核单元可以根据系统策略, 例如当本地存储的用户数字证书只有一 个时, 将该用户数字证书作为默认的用户数字证书进行身份认证, 当本地存 储的用户数字证书为多个时, 可以将所有的用户数字证书显示给用户, 以便 用户选择。
如果需要进行自动选择, 浏览器内核单元获取默认的用户数字证书, 若 在 doLogin接口被调用时传入了身份认证限定参数, 则还可以检查该默认的 用户数字证书是否符合身份认证限定参数的要求。 确认使用该默认的用户数 字证书进行此次身份认证, 不再需要通过数字证书管理器界面与用户进行显 式交互, 可以极大地缩短整体流程的处理时间, 提高处理效率。
如果不需要进行自动选择, 浏览器内核单元获取多个待选择的用户数字 证书, 形成用户数字证书列表。 若传入了身份认证限定参数, 还可以根据身 的用户数字证书列表。 并弹出数字证书管理器界面, 列出所有可用的用户数 字证书, 提示用户从其中选择某个用户数字证书用于此次网站访问的身份认 证。这种处理方式可方便用户为对不同 Web应用使用不同用户身份进行登录。
在具体实现过程中, 上述数字证书管理器界面可以是浏览器内核单元内 部实现的数字证书管理器的操作界面, 如果浏览器内核单元自行实现数字证 书管理器, 浏览器内核单元需要通过操作系统提供的 CAPICOM ( Cryptographic API Component Object Model,密码接口组件对像模型)接口, 读取本机所保存的数字证书并在数字证书管理器界面中进行展示, 在这种实 现方式下, 浏览器可以在启动时就进行用户数字证书的读取, 也可以在处理 某个具体应用和页面时, 触发用户数字证书的读取, 以提供更高的处理效率。 数字证书管理器也可以为操作系统所提供的数字证书管理器。
如果 Web应用单元预先建立对用户数字证书选择事件的监听, 浏览器内 核单元向 Web应用上报数字证书选择事件, 并通过数字证书选择事件上报接 指示浏览器内核单元向应用服务器发送登录请求。
在步骤 204之后, 执行步骤 205、 浏览器内核单元根据选择的用户数字 证书, 生成携带有所述选择的用户数字证书的登录请求, 将所述登录请求发 送给应用服务器;
步骤 206、 所述浏览器内核单元接收所述应用服务器根据所述选择的数 字证书进行身份认证之后所返回的指示认证成功的响应, 从所述响应中提取 网页文件, 对所述网页文件进行解析, 生成网页并发送给浏览器界面单元; 步骤 207、 所述浏览器界面单元对所述网页进行显示。
本实施例中的步骤 205-207 的具体实现可以参图 1 所述实施例的步骤
101-103的相关描述。
在本实施例的步骤 206中, 所述浏览器内核单元接收所述应用服务器根 据所述选择的数字证书进行身份认证之后所返回的指示认证成功的响应之 后, 所述浏览器内核单元从所述响应中提取网页文件之前, 所述方法进一步 还可以包括:
所述浏览器内核单元从所述响应中解析出认证成功的认证结果, 将所述 认证结果通过认证结果事件或回调函数发送给所述 Web应用单元。
浏览器内核单元从响应中解析出认证成功的认证结果, 将该认证结果通 过认证结果事件上报或调用回调函数的方式传递给 Web应用单元。如果 Web 应用单元预先建立对认证结果事件的监听, 浏览器内核单元通过认证结果事 件上报方式将认证结果通知给 Web应用单元, 无需传递函数地址, 具有较高 的运行效率。 如果 Web应用单元预先实现了回调接口 onLogin, 浏览器内核 单元可以通过调用该回调函数 onLogin方式, 将认证结果传递给 Web应用单 元。
当然, 本步骤 207的具体过程和图 1所述实施例的步骤 103类似, 即步 骤 103的具体实现可以参考该步骤 207。
图 4为本发明实施例提供的一种身份认证信令图。 以下结合图 4对本实 施例的身份认证方法做详细说明。
401、 用户在浏览器界面单元显示的网页中点击包含超链接的文字、按鈕 或图片;
402、 浏览器界面单元向浏览器内核单元上报用户点击事件;
403、 浏览器内核单元检测到该用户点击事件, 将该用户点击事件作为登 录触发事件上报给 Web应用单元;
404、 Web应用单元确定登录触发事件所对应的网址,将该网址发送给浏 览器内核单元;
405、 浏览器内核单元根据该网址向应用服务器发送访问请求;
406、应用服务器确定需要对用户进行身份认证, 向浏览器内核单元发送 需要身份认证指示信息, 该身份认证指示信息中可以携带有身份认证限定参 数;
407、浏览器内核单元根据该需要身份认证指示信息生成需要身份认证事 件, 将需要身份认证事件上报给 Web应用单元;
408、 Web 应用单元根据该需要身份认证事件, 判断浏览器 DOM 中 window对象是否包括登录功能子对象, 若检测到该登录功能子对象, 则执行 409;
409、 调用浏览器内核单元中提供的认证对象的登录接口;
410、 浏览器内核单元检查是否需要自动为用户选择数字证书, 若不需要 自动选择, 调用数字证书管理界面, 用户通过浏览器界面单元中显示的用户 数字证书列表选择用户数字证书, 将选择指示信息发送给浏览器内核单元;
411、 浏览器内核单元向 Web应用单元上报数字证书选择事件;
412、 Web应用单元根据该数字证书选择事件将修改的登录参数发送给浏 览器内核单元;
413、 浏览器内核单元向 Web应用单元返回修改登录参数响应;
414、 浏览器内核单元向应用服务器发送登录请求, 该登录请求中携带有 选择的用户数字证书;
415、 应用服务器向认证服务器以 SPARQL查询用户身份, 并接收查询 结果, 判断用户身份认证是否成功, 若成功, 则执行 416, 若失败, 则向浏 览器内核单元发送身份认证失败响应 (图中未示出) ;
416、应用服务器向浏览器内核单元返回身份认证成功响应, 该身份认证 成功响应中携带有网页文件, 该网页文件具体为 html/css/js文件;
417、 浏览器内核单元通过回调接口将登录结果传递给 Web应用单元;
418、 浏览器内核单元解析该网页文件;
419、 浏览器界面单元对解析出的网页进行显示。
在上述实现方式中, 浏览器内核单元对应用服务器发送的需要身份认证 指示信息和响应均进行解析处理, 可以降低 Web应用单元的处理复杂度。 当 然, 对应用服务器发送的需要身份认证指示信息和响应进行解析的处理流程 也可以由 Web应用单元来实现。
图 5为本发明实施例提供的第三种身份认证方法流程图。 如图 5所示, 则在另一种实现方式中, 该实施例的步骤 501-503 的具体实现可以分别参照 图 2的步骤 201-203 , 在此不再赘述。
该实施例也包括图 2所述实施例的步骤 204, 即所述浏览器内核单元根 据所述需要身份认证指示信息确定选择的所述用户数字证书, 具体可以包括 如下步骤:
步骤 504、 所述浏览器内核单元根据所述需要身份认证指示信息生成需 要身份认证事件, 将所述需要身份认证事件上报给所述 Web应用单元; 步骤 505、 所述 Web应用单元根据所述需要身份认证指示信息, 调用所 述浏览器内核单元的数字证书管理对象的数字证书选择接口;
步骤 506、 所述浏览器内核单元获取本地存储的默认的用户数字证书, 确定所述默认的用户数字证书为所述选择的用户数字证书, 或者所述浏览器 内核单元获取本地存储的多个待选择的用户数字证书, 根据接收到的选择指 示信息从所述多个待选择的用户数字证书中确定一个用户数字证书为所述选 择的用户数字证书。
具体地, 需要身份认证指示信息具体为 HTTP响应。 浏览器内核单元接 收该需要身份认证指示信息, 根据该需要身份认证指示信息将需要身份认证 事件上报给 Web应用单元, 具体可以通过调用所述 Web应用单元的超文本 传输协议请求接口, 将该需要身份认证指示信息传递给所述 Web应用单元, 超文本传输协议请求接口具体为 Web 应用程序架构 AJAX 中的 XMLHttpRequest接口。 Web应用单元根据该需要身份认证指示信息确定需要 对用户进行身份认证, 若存在身份认证限定参数, Web应用单元还可以从需 要身份认证指示信息解析出身份认证限定参数。
Web应用单元 web应用判断浏览器 DOM中 window对象是否包括数字 证书管理子对象, 该数字证书管理子对象具体为 digitalCertificateMagmt, 如 果检测到该 window. digitalCertificateMagmt , 则创建数字证书管理对象, 即 digitalCertificateMagmt对象,调用浏览器内核单元提供的数字证书选择接口, 若存在身份认证限定参数, 则还可以将身份认证限定参数作为参数通过该登 录接口传入浏览器内核单元,该数字证书选择接口具体为 selectDC接口。 Web 应用单元也可以根据 Web应用内部逻辑检测是否需要对用户进行身份认证。
selectDC接口具体可以通过以下接口函数实现:
interface digitalCertificateMagmt: EventTarget {
readonly [DC] attribute DCList;
//选择数字证书函数
void selectDC (AuthContext context);
〃回调函数
void attribute Function? onselectDC;〃选择数字证书回调函数
};
浏览器内核单元接收到 digitalCertificateMagmt:: selectDC接口调用,根据 预设的用户配置或系统策略, 检查浏览器内核单元是否需要自动为用户选择 某个数字证书用于此次身份认证。
如果需要进行自动选择, 浏览器内核单元获取默认的用户数字证书, 若 在 selectDC接口被调用时传入了身份认证限定参数, 则还可以检查该默认的 用户数字证书是否符合身份认证限定参数的要求。 确认使用该默认的用户数 字证书进行此次身份认证, 不再需要通过数字证书管理器界面与用户进行显 式交互, 可以极大地缩短整体流程的处理时间, 提高处理效率。
如果不需要进行自动选择, 浏览器内核单元获取多个待选择的用户数字 证书, 形成用户数字证书列表。 若传入了身份认证限定参数, 还可以根据身 的用户数字证书列表。 并弹出数字证书管理器界面, 列出所有可用的用户数 字证书, 提示用户从其中选择某个用户数字数据证书用于此次网站访问的身 份认证。 选择指示信息即为用户输入的用于选择某个用户数字证书的指示信 息。这种处理方式可方便用户为对不同 Web应用使用不同用户身份进行登录。
在具体实现过程中, 上述数字证书管理器界面可以是浏览器内核单元内 部实现的数字证书管理器的操作界面, 如果浏览器内核单元自行实现数字证 书管理器, 浏览器内核单元需要通过操作系统提供的 CAPICOM接口, 读取 本机所保存的数字证书并在数字证书管理器界面中进行展示, 在这种实现方 式下, 浏览器可以在启动时就进行用户数字证书的读取, 也可以在处理某个 具体应用和页面时, 触发用户数字证书的读取, 以提供更高的处理效率。 数 字证书管理器也可以为操作系统所提供的数字证书管理器。
如果 Web应用单元预先建立对用户数字证书选择事件的监听, 浏览器内 核单元向 Web应用上报数字证书选择事件, 并通过数字证书选择事件上报接 指示浏览器内核单元向应用服务器发送登录请求。
图 5 所示实施例中的步骤 501-503 可以参照图 2 所示实施例中的步骤 201-203 , 以及图 5所述实施例的步骤 507-509可以参照图 2所示实施例中的 步骤 205-207的相关描述, 在此不再赘述。
在本实施例的步骤 508中, 所述浏览器内核单元接收所述应用服务器根 据所述选择的用户数字证书进行身份认证之后所返回的指示认证成功的响应 之后, 所述浏览器内核单元从所述响应中提取网页文件之前, 所述方法进一 步还可以包括: 接口, 将所述响应发送给所述 Web应用单元;
所述 Web应用单元从所述响应中解析出认证成功的认证结果。
超文本传输协议请求接口具体为 Web应用程序架构 AJAX( Asynchronous JavaScript and XML ) 中的 XMLHttpRequest接口。 浏览器内核单元通过调用 该超文本传输协议请求接口, 将应用服务器发送的响应发送给所述 Web应用 单元, Web应用单元从响应中解析出认证成功的认证结果。
图 6为本发明实施例提供的另一种身份认证信令图。 以下结合图 6对本 实施例的身份认证方法做详细说明。
601、 用户在浏览器界面单元显示的网页中点击包含超链接的文字、按鈕 或图片;
602、 浏览器界面单元向浏览器内核单元上报用户点击事件;
603、 浏览器内核单元检测到该用户点击事件, 将该用户点击事件作为登 录触发事件上报给 Web应用单元;
604、 Web应用单元确定登录触发事件所对应的网址,将该网址发送给浏 览器内核单元;
605、 浏览器内核单元根据该网址向应用服务器发送访问请求;
606、应用服务器确定需要对用户进行身份认证, 向浏览器内核单元发送 需要身份认证指示信息, 该身份认证指示信息中可以携带有身份认证限定参 数;
607、浏览器内核单元根据该需要身份认证指示信息生成需要身份认证事 件, 将需要身份认证事件上报给 Web应用单元;
608、 Web 应用单元根据该需要身份认证事件, 判断浏览器 DOM 中 window对象是否包括数字证书管理子对象, 若检测到该数字证书管理子对 象, 则执行 609;
609、 调用浏览器内核单元中提供的数字证书选择接口;
610、 浏览器内核单元检查是否需要自动为用户选择数字证书, 若不需要 自动选择, 调用数字证书管理界面, 用户通过浏览器界面单元中显示的用户 数字证书列表选择用户数字证书, 将选择指示信息发送给浏览器内核单元;
611、 浏览器内核单元通过回调接口向 Web应用单元传输用户数字证书 选择结果;
612、 Web应用单元调用超文本传输协议请求接口发送登录请求给浏览器 单核单元;
613、 浏览器内核单元向应用服务器发送登录请求, 该登录请求中携带有 选择的用户数字证书;
614、应用服务器从认证服务器获取该用户的用户数字证书, 接收认证服 务器发送的用户数字证书,进行用户数字证书匹配,若匹配成功,则执行 615 , 若匹配失败, 则向浏览器内核单元返回 HTTP身份认证失败响应 (图中未示 出) ;
615、应用服务器向浏览器内核单元返回 HTTP身份认证成功响应, 该身 份认证成功响应中携带有网页文件, 该网页文件具体为 html/css/js文件;
616、浏览器内核单元通过超文本传输协议响应接口将身份认证成功响应 传递给 Web应用单元;
617、 浏览器内核单元解析该网页文件;
618、 浏览器界面单元对解析出的网页进行显示。
图 7为本发明实施例提供的第四种身份认证方法流程图。 如图 7所示, 在另一种应用场景下, 用户在使用 Web应用时登录, 在图 1所述实例的步骤 101 , 浏览器内核单元根据选择的用户数字证书, 生成携带有所述选择的用户 数字证书的登录请求, 将所述登录请求发送给应用服务器之前, 所述方法进 一步还可以包括如下步骤:
步骤 701、 所述浏览器界面单元接收待访问的网址信息和身份标识, 将 所述待访问的网址信息和所述身份标识发送给所述浏览器内核单元;
图 1 所述实施例中的步骤 101 , 浏览器内核单元根据选择的用户数字证 书, 生成携带有所述选择的用户数字证书的登录请求, 将所述登录请求发送 给应用服务器, 在本实施例中可以具体包括:
所述浏览器内核单元根据所述身份标识确定所述选择的用户数字证书, 生成携带有所述选择的用户数字证书的登录请求, 将所述登录请求发送给所 述应用服务器, 即本实施例的步骤 702。
用户在浏览器界面单元显示的地址栏中输入一个网址, 该网址即为待访 问的网址信息, 浏览器界面单元为用户提供 WebID列表, 用户从 WebID列 表中选择一个 WebID ,即该用户希望用该 WebID所对应的用户身份访问该网 址所对应的网页, 该 WebID即为身份标识。 浏览器界面单元将该待访问的网 址信息和身份标识发送给浏览器内核单元。
浏览器内核单元可以通过操作系统提供的 CAPICOM接口, 提供给用户 身份选择界面, 以选择本机所保存的数字证书。 该身份选择界面也可以为操 作系统所提供的数字证书管理器对应的数字证书管理器界面。
浏览器内核单元也根据用户配置或系统策略, 浏览器内核单元自动为用 户选择某个用户身份用于此次身份认证, 不再需要通过可用 WebID列表或数 字证书管理器界面与用户进行显式交互, 可以极大地缩短整体流程的处理时 间, 提高处理效率。
本实施例的步骤 703和 704可以参照图 1所述实施例的步骤 102和 103 的相关描述, 在此不再赘述。
图 8为本发明实施例提供的再一种身份认证信令图。 以下结合图 8对本 实施例的身份认证方法做详细说明。
801、 浏览器界面单元向浏览器内核单元发送用户输入的网址和 WebID;
802、 浏览器内核单元根据该 WebID确定用户数字证书, 将携带有该用 户数字证书的登录请求发送给应用服务器, 具体地, 浏览器内核单元可以对 网址和时间戳用用户私钥进行加密, 并在登录请求中作为参数携带;
803、应用服务器从认证服务器获取该用户的用户数字证书, 接收认证服 务器发送的用户数字证书,进行用户数字证书匹配,若匹配成功,则执行 804, 若匹配失败, 则向浏览器内核单元返回身份认证失败响应 (图中未示出) , 具体地, 应用服务器收到登录请求后, 使用用户公钥进行解密, 如果解密得 到的网址与用户正在访问的网址相匹配, 则可确认该登录请求确实由浏览器 代理用户发出, 否则可能由第三方通过消息截获手段进行伪造;
804、应用服务器向浏览器内核单元返回身份认证成功响应, 该身份认证 成功响应中携带有网页文件, 该网页文件具体为 html/css/js文件;
805、 浏览器内核单元解析该网页文件;
806、 浏览器界面单元对解析出的网页进行显示。
用户对 Web应用的使用过程中, 可以对用户状态进行检测, 以避免对已 经登录的用户重复进行身份认证。
图 9为本发明实施例提供的第五种身份认证方法流程图。 如图 9所示, 具体地, 本实施例与图 1所述实施例不同之处在于, 在图 1所述实施例的步 骤 101 , 浏览器内核单元根据选择的用户数字证书, 生成携带有所述选择的 用户数字证书的登录请求之前, 本实施例所述方法还可以包括如下步骤: 步骤 901、 所述浏览器内核单元检测登录触发事件, 将所述登录触发事 件发送给 Web应用单元;
步骤 902、 所述 Web应用单元根据所述登录触发事件确定登录触发操作 对应的网址, 若判断获知对所述网址的访问需要身份认证, 则获取用户状态, 若所述用户状态为未登录状态, 则调用所述浏览器内核单元的认证对象的登 录接口;
步骤 903、 所述浏览器内核单元获取默认的用户数字证书, 确定所述默 认的用户数字证书为所述选择的用户数字证书, 或所述浏览器内核单元获取 多个待选择的用户数字证书, 根据接收到的选择指示信息从所述多个待选择 的用户数字证书确定一个为所述选择的用户数字证书。
可以由 Web应用单元来判断是否需要对用户进行身份认证。 Web应用单 元根据登录触发事件确定登录触发操作对应的网址, 该登录触发事件具体可 以参照上述实施例中的登录触发事件的相关描述, 此不再赘述。 Web应用单 元根据该网址确定用户访问的网络资源的安全性、 重要性和隐私性。 若判断 获知对网址的访问需要身份认证, 则进一步获取用户状态, 用户状态具体可 以为登录状态或未登录状态。 若用户状态为未登录状态, 则 Web应用单元调 用浏览器内核单元的认证对象的登录接口, 登录接口调用过程以及浏览器内 核单元确定选择的用户数字证书的过程可以参照上述实施例的相关描述, 此 不再赘述。
本实施例的步骤 904-906的相关描述可以参照图 1所述实施例中的步骤 101-103 , 在此不再赘述。
若步骤 902中, 获取到的用户状态为登录状态, 则在步骤 905中, 所述 浏览器内核单元从所述响应中提取网页文件之前, 所述方法进一步包括: 所述 Web应用单元将所述网址发送给所述浏览器内核单元;
所述浏览器内核单元根据所述网址向所述应用服务器发送访问请求, 接 收所述应用服务器根据所述访问请求返回的响应。
具体地, 若用户已经登录, 则在用户后续对网页的访问过程中, 可以不 用进行身份认证, Web应用单元直接将网址发送给浏览器内核单元, 以使浏 览器内核单元根据该网址向应用服务器发送访问请求, 应用服务器接收到该 访问请求后, 向浏览器内核单元返回携带有请求的网页文件的响应。
在本实施例中, 所述 Web应用单元获取所述选择的用户数字证书所指示 的用户的用户状态, 具体可以包括如下步骤:
所述 Web应用单元通过调用所述浏览器内核单元的用户登录状态查询接 口获取所述选择的用户数字证书所指示的用户的用户状态。 Web 应用单元可以调用浏览器内核提供的用户登录状态查询接口 weblDAthentication:: doQueryUserstatus, 通过参数指定要查询的 WeblD, 菝 取该 WeblD 当前用户状态。 Web 应用单元可以预先实现了回调接口 onQueryUserstatus , 则浏览器内核单元可以通过调用该回调函数 onQueryUserstatus方式将用户状态通知给 Web应用单元。如果用户已经登录, 浏览器内核单元返回用户状态为 online。 如果用户尚未登录, 浏览器内核单 元返回用户状态为 offline。 Web应用单元还可以预先建立对用户当前登录状 态事件的监听, 浏览器内核单元通过事件上报方式将用户状态通知给 Web应 用单元。
在本实施例中, 用户可以通过点击 "登出" 按鈕或关闭 Web应用对应的 网页实现登出。 具体地, Web应用单元调用浏览器内核单元提供的用户登出 weblDAthentication:: doLogout接口, 通过参数指定要登出的 WeblD。 浏览器 内核单元向应用服务器发出 HTTP请求用于用户登出, 并接收应用服务器返 回的 HTTP响应。 浏览器内核单元从 HTTP响应中解析出用户登出的结果, Web应用单元可以预先建立对用户登出事件的监听, 浏览器内核单元通过事 件上报方式将用户登出的结果通知给 Web应用, Web应用单元还可以预先实 现了回调接口 onLogout,浏览器内核单元通过调用回调函数 onLogout方式将 用户登出的结果通知给 Web应用。
图 10为本发明实施例提供的一种身份认证系统结构示意图。 如图 10所 示,本实施例提供的身份认证系统具体包括身份认证装置 1001和应用服务器 1002,该身份认证装置 1001具体可以实现本发明任意实施例提供的身份认证 方法的各个流程, 此不再赘述。 本实施例提供的身份认证装置 1001具体包括 浏览器内核单元 10011和浏览器界面单元 10012。 浏览器内核单元 10011用 于根据选择的用户数字证书, 生成携带有所述选择的用户数字证书的登录请 求, 将所述登录请求发送给应用服务器 1002, 以及接收所述应用服务器 1002 所述响应中提取网页文件, 对所述网页文件进行解析, 生成网页并发送给浏览 器界面单元 10012。 所述浏览器界面单元 10012用于对所述网页进行显示。
本实施例提供的身份认证装置 1001 , 浏览器内核单元 10011根据选择的 用户数字证书, 生成携带有选择的用户数字证书的登录请求, 将登录请求发 送给应用服务器 1002, 浏览器内核单元 10011接收应用服务器 1002发送的 用以指示认证成功的响应, 从响应中提取网页文件, 对网页文件进行解析, 生成网页并发送给浏览器界面单元 10012, 浏览器界面单元 10012对网页进 行显示。 通过用户数字证书进行身份认证, 用户无需记住用户名和密码, 而 且可以避免密码在传输过程中被截获, 提高了身份认证的便捷性和安全性。
图 11 为本发明实施例提供的另一种身份认证系统结构示意图。 如图 11 所示, 本实施例提供的身份认证系统具体包括身份认证装置 111和应用服务 器 112, 本实施例提供的身份认证装置 111具体包括浏览器内核单元 1111和 浏览器界面单元 1112。在一种应用场景下,用户在通过浏览器使用 Web应用 时, 在访问到的网络资源不需要进行身份认证时, 并不需要登录。 当用户访 问到的网络资源需要进行身份认证时, 才需要用户提供用户数字证书以进行 身份认证。用户在浏览器界面单元 1112所展示的网页中点击包含超链接的文 字、 按鈕或图片时, 会产生用户点击事件。 在本实施例中, 与图 10所述实施 例不同的是, 本实施例中的身份认证装置 111 进一步包括: Web应用单元 1113。 所述浏览器界面单元 1112进一步用于检测登录触发事件, 将所述登录 触发事件发送给 Web应用单元 1113 ,以及根据所述 Web应用单元 1113发送 的所述网址向所述应用服务器 112发送访问请求, 接收所述应用服务器 112 根据所述访问请求所返回的需要身份认证信息, 并且根据所述需要身份认证 指示信息确定所述选择的用户数字证书。 所述 Web应用单元 1113用于根据 所述登录触发事件确定登录触发操作对应的网址, 将所述网址发送给所述浏 览器内核单元 1111。
在本实施例中,所述浏览器内核单元 1111进一步用于根据所述需要身份 认证指示信息生成需要身份认证事件, 将所述需要身份认证事件上报给所述
Web应用单元 1113 , 以及获取本地存储的默认的用户数字证书, 确定所述默 认的用户数字证书为所述选择的用户数字证书, 或所述浏览器内核单元 1111 获取本地存储的多个待选择的用户数字证书, 根据接收到的选择指示信息从 所述多个待选择的用户数字证书中确定一个用户数字证书为所述选择的用户 数字证书。 所述 Web应用单元 1113进一步用于接收所述需要身份认证事件, 调用所述浏览器内核单元 11的认证对象的登录接口。
在本实施例中,所述浏览器内核单元 1111进一步用于从所述响应中解析 出认证成功的认证结果, 将所述认证结果通过认证结果事件或回调函数发送 给所述 Web应用单元 1113。
在上述实现方式中,浏览器内核单元 1111对应用服务器 112发送的需要 身份认证指示信息和响应均进行解析处理, 可以降低 Web应用单元 1113的 处理复杂度。 当然, 对应用服务器 112发送的需要身份认证指示信息和响应 进行解析的处理流程也可以由 Web应用单元 1113来实现。 则在另一种实现 方式中:
所述浏览器内核单元 1111 进一步用于根据所述需要身份认证指示信息 生成需要身份认证事件, 将所述需要身份认证事件上报给所述 Web应用单元 1113 , 以及获取本地存储的默认的用户数字证书, 确定所述默认的用户数字 证书为所述选择的用户数字证书,或者所述浏览器内核单元 1111获取本地存 储的多个待选择的用户数字证书, 根据接收到的选择指示信息从所述多个待 选择的用户数字证书中确定一个用户数字证书为所述选择的用户数字证书。 所述 Web应用单元 1113进一步用于根据所述需要身份认证指示信息调用所 述浏览器内核单元 1111的数字证书管理对象的数字证书选择接口。
在本实施例中,所述浏览器内核单元 1111进一步用于通过调用所述 Web 应用单元 1113的超文本传输协议请求接口, 将所述响应发送给所述 Web应 用单元 1113。 所述 Web应用单元 1113进一步用于从所述响应中解析出认证 成功的认证结果。
在另一种应用场景下, 用户在使用 Web应用时登录, 用户在浏览器界面 单元 1112显示的地址栏中输入一个网址, 该网址即为待访问的网址信息, 浏 览器界面单元 1112为用户提供 WebID列表, 以供用户进行 WebID的选择。 在本实施例中,所述浏览器界面单元 1112进一步用于接收待访问的网址信息 和身份标识, 将所述待访问的网址信息和所述身份标识发送给所述浏览器内 核单元 1111。 所述浏览器内核单元 1111 进一步用于根据所述身份标识确定 所述选择的用户数字证书,生成携带有所述选择的用户数字证书的登录请求, 将所述登录请求发送给所述应用服务器 112。
用户对 Web应用的使用过程中, 可以对用户状态进行检测, 以避免重复 进行身份认证。 在本实施例中, 所述浏览器内核单元 1111进一步用于检测登 录触发事件,将所述登录触发事件发送给 Web应用单元 1113 , 以及获取本地 存储的默认的用户数字证书, 确定所述默认的用户数字证书为所述选择的用 户数字证书,或所述浏览器内核单元 1111获取本地存储的多个待选择的用户 数字证书, 根据接收到的选择指示信息从所述多个待选择的用户数字证书中 确定一个用户数字证书为所述选择的用户数字证书。所述 Web应用单元 1113 进一步用于根据所述登录触发事件确定登录触发操作对应的网址, 若判断获 知对所述网址的访问需要身份认证, 则获取所述选择的用户数字证书所指示 的用户的用户状态, 若所述用户状态为未登录状态, 则调用所述浏览器内核 单元 1111的认证对象的登录接口。
在本实施例中,若所述用户状态为登录状态, 则所述 Web应用单元 1113 进一步用于将所述网址发送给所述浏览器内核单元 1111。 所述浏览器内核单 元 1111进一步用于根据所述网址向所述应用服务器 112发送访问请求,接收 所述应用服务器 112根据所述访问请求返回的响应。
在本实施例中, 所述 Web应用单元 1113进一步用于通过调用所述浏览 器内核单元 1111 的用户登录状态查询接口获取所述选择的用户数字证书所 指示的用户的用户状态。
本实施例提供的身份认证装置具体可以为个人计算机、 笔记本电脑、 平 板电脑和智能手机等设置有处理器和存储器的设备, 该身份认证装置上设置 有浏览器和应用程序。 浏览器和应用程序的相关指令均存储在存储器中, 处 理器调用存储器中的相关指令并执行, 以生成最终的显示界面通过身份认证 装置的显示器进行显示, 分别实现浏览器内核单元、 浏览器显示单元和 Web 应用单元的功能。
本领域普通技术人员可以理解: 实现上述方法实施例的全部或部分步骤可 以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存 储介质中, 该程序在执行时, 执行包括上述方法实施例的步骤; 而前述的存储 介质包括: ROM、 RAM, 磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是: 以上实施例仅用以说明本发明的技术方案, 而非对其 限制; 尽管参照前述实施例对本发明进行了详细的说明, 本领域的普通技术 人员应当理解: 其依然可以对前述各实施例所记载的技术方案进行修改, 或 者对其中部分技术特征进行等同替换; 而这些修改或者替换, 并不使相应技 术方案的本质脱离本发明各实施例技术方案的范围。

Claims (1)

  1. 权 利 要求 书
    1、 一种身份认证方法, 其特征在于, 包括:
    浏览器内核单元根据选择的用户数字证书, 生成携带有所述选择的用户 数字证书的登录请求, 将所述登录请求发送给应用服务器;
    所述浏览器内核单元接收所述应用服务器根据所述选择的数字证书进行 身份认证之后所返回的指示认证成功的响应, 从所述响应中提取网页文件, 对所述网页文件进行解析, 生成网页并发送给浏览器界面单元;
    所述浏览器界面单元对所述网页进行显示。
    2、 根据权利要求 1所述的身份认证方法, 其特征在于, 浏览器内核单元 根据选择的用户数字证书, 生成携带有所述选择的用户数字证书的登录请求 之前, 所述方法进一步包括:
    所述浏览器内核单元检测登录触发事件, 将所述登录触发事件发送给
    Web应用单元;
    所述 Web应用单元根据所述登录触发事件确定登录触发操作对应的网 址, 将所述网址发送给所述浏览器内核单元; 服务器发送访问请求;
    所述浏览器内核单元接收所述应用服务器根据所述访问请求所返回的需 要身份认证信息, 并且根据所述需要身份认证指示信息确定所述选择的用户 数字证书。
    3、 根据权利要求 2所述的身份认证方法, 其特征在于, 所述浏览器内核 单元接收所述应用服务器根据所述访问请求所返回的需要身份认证信息, 并 且根据所述需要身份认证指示信息确定选择的所述用户数字证书, 包括: 所述浏览器内核单元根据所述需要身份认证指示信息生成需要身份认证 事件, 将所述需要身份认证事件上报给所述 Web应用单元;
    所述 Web应用单元接收所述需要身份认证事件, 调用所述浏览器内核单 元的认证对象的登录接口;
    所述浏览器内核单元获取本地存储的默认的用户数字证书, 确定所述默 认的用户数字证书为所述选择的用户数字证书, 或者所述浏览器内核单元获 取本地存储的多个待选择的用户数字证书, 根据接收到的选择指示信息从所 述多个待选择的用户数字证书中确定一个用户数字证书为所述选择的用户数 字证书。
    4、 根据权利要求 2所述的身份认证方法, 其特征在于, 所述浏览器内核 单元接收所述应用服务器根据所述访问请求所返回的需要身份认证信息, 并 且根据所述需要身份认证指示信息确定选择的所述用户数字证书, 包括: 所述浏览器内核单元根据所述需要身份认证指示信息生成需要身份认证 事件, 将所述需要身份认证事件上报给所述 Web应用单元;
    所述 Web应用单元根据所述需要身份认证指示信息, 调用所述浏览器内 核单元的数字证书管理对象的数字证书选择接口;
    所述浏览器内核单元获取本地存储的默认的用户数字证书, 确定所述默 认的用户数字证书为所述选择的用户数字证书, 或者所述浏览器内核单元获 取本地存储的多个待选择的用户数字证书, 根据接收到的选择指示信息从所 述多个待选择的用户数字证书中确定一个用户数字证书为所述选择的用户数 字证书。
    5、 根据权利要求 1或 2或 3所述的身份认证方法, 其特征在于, 所述浏 览器内核单元接收所述应用服务器根据所述选择的数字证书进行身份认证之 后所返回的指示认证成功的响应之后, 所述浏览器内核单元从所述响应中提 取网页文件之前, 所述方法进一步包括:
    所述浏览器内核单元从所述响应中解析出认证成功的认证结果, 将所述 认证结果通过认证结果事件或回调函数发送给所述 Web应用单元。
    6、 根据权利要求 1或 2或 4所述的身份认证方法, 其特征在于, 所述浏 览器内核单元接收所述应用服务器根据所述选择的数字证书进行身份认证之 后所返回的指示认证成功的响应之后, 所述浏览器内核单元从所述响应中提 取网页文件之前, 所述方法进一步包括: 接口, 将所述响应发送给所述 Web应用单元;
    所述 Web应用单元从所述响应中解析出认证成功的认证结果。
    7、 根据权利要求 1所述的身份认证方法, 其特征在于, 浏览器内核单元 根据选择的用户数字证书,生成携带有所述选择的用户数字证书的登录请求, 将所述登录请求发送给应用服务器之前, 所述方法进一步包括: 所述浏览器 界面单元接收待访问的网址信息和身份标识, 将所述待访问的网址信息和所 述身份标识发送给所述浏览器内核单元;
    所述浏览器内核单元根据选择的用户数字证书, 生成携带有所述选择的 用户数字证书的登录请求, 将所述登录请求发送给应用服务器, 包括:
    所述浏览器内核单元根据所述身份标识确定所述选择的用户数字证书, 生成携带有所述选择的用户数字证书的登录请求, 将所述登录请求发送给所 述应用服务器。
    8、 根据权利要求 1所述的身份认证方法, 其特征在于, 浏览器内核单元 根据选择的用户数字证书, 生成携带有所述选择的用户数字证书的登录请求 之前, 所述方法进一步包括:
    所述浏览器内核单元检测登录触发事件, 将所述登录触发事件发送给
    Web应用单元;
    所述 Web应用单元根据所述登录触发事件确定登录触发操作对应的网 址, 若判断获知对所述网址的访问需要身份认证, 则获取所述选择的用户数 字证书所指示的用户的用户状态, 若所述用户状态为未登录状态, 则调用所 述浏览器内核单元的认证对象的登录接口;
    所述浏览器内核单元获取本地存储的默认的用户数字证书, 确定所述默 认的用户数字证书为所述选择的用户数字证书, 或者所述浏览器内核单元获 取本地存储的多个待选择的用户数字证书, 根据接收到的选择指示信息从所 述多个待选择的用户数字证书中确定一个用户数字证书为所述选择的用户数 字证书。
    9、 根据权利要求 8所述的身份认证方法, 其特征在于, 若所述用户状态 为登录状态, 则所述浏览器内核单元从所述响应中提取网页文件之前, 所述 方法进一步包括:
    所述 Web应用单元将所述网址发送给所述浏览器内核单元;
    所述浏览器内核单元根据所述网址向所述应用服务器发送访问请求, 接 收所述应用服务器根据所述访问请求返回的响应。
    10、 根据权利要求 8所述的身份认证方法, 其特征在于, 所述 Web应用 单元获取所述选择的用户数字证书所指示的用户的用户状态, 包括:
    所述 Web应用单元通过调用所述浏览器内核单元的用户登录状态查询接 口获取所述选择的用户数字证书所指示的用户的用户状态。
    11、 一种身份认证装置, 其特征在于: 包括浏览器内核单元和浏览器界 面单元;
    浏览器内核单元用于根据选择的用户数字证书, 生成携带有所述选择的 用户数字证书的登录请求, 将所述登录请求发送给应用服务器, 以及接收所 述应用服务器根据所述选择的数字证书进行身份认证之后所返回的指示认证 成功的响应, 从所述响应中提取网页文件, 对所述网页文件进行解析, 生成 网页并发送给浏览器界面单元;
    所述浏览器界面单元用于对所述网页进行显示。
    12、 根据权利要求 11所述的身份认证装置, 其特征在于, 所述装置进一 步包括: Web应用单元;
    所述浏览器内核单元进一步用于检测登录触发事件, 将所述登录触发事 件发送给 Web应用单元, 以及根据所述 Web应用单元发送的网址向所述应 用服务器发送访问请求, 接收所述应用服务器根据所述访问请求所返回的需 要身份认证信息, 并且根据所述需要身份认证指示信息确定所述选择的用户 数字证书;
    所述 Web应用单元用于根据所述登录触发事件确定登录触发操作对应的 网址, 将所述网址发送给所述浏览器内核单元。
    13、 根据权利要求 12所述的身份认证装置, 其特征在于:
    所述浏览器内核单元进一步用于根据所述需要身份认证指示信息生成需 要身份认证事件, 将所述需要身份认证事件上报给所述 Web应用单元, 以及 获取本地存储的默认的用户数字证书, 确定所述默认的用户数字证书为所述 选择的用户数字证书, 或者所述浏览器内核单元进一步获取本地存储的多个 待选择的用户数字证书, 根据接收到的选择指示信息从所述多个待选择的用 户数字证书中确定一个用户数字证书为所述选择的用户数字证书;
    所述 Web应用单元进一步用于接收所述需要身份认证事件, 调用所述浏 览器内核单元的认证对象的登录接口。
    14、 根据权利要求 12所述的身份认证装置, 其特征在于:
    所述浏览器内核单元进一步根据所述需要身份认证指示信息生成需要身 份认证事件, 将所述需要身份认证事件上报给所述 Web应用单元, 以及获取 本地存储的默认的用户数字证书, 确定所述默认的用户数字证书为所述选择 的用户数字证书, 或者所述浏览器内核单元进一步获取本地存储的多个待选 择的用户数字证书, 根据接收到的选择指示信息从所述多个待选择的用户数 字证书中确定一个用户数字证书为所述选择的用户数字证书;
    所述 Web应用单元进一步用于根据所述需要身份认证指示信息调用所述 浏览器内核单元的数字证书管理对象的数字证书选择接口。
    15、 根据权利要求 11或 12或 13所述的身份认证装置, 其特征在于: 所述浏览器内核单元进一步用于从所述响应中解析出认证成功的认证结 果 ,将所述认证结果通过认证结果事件或回调函数发送给所述 Web应用单元。
    16、 根据权利要求 11或 12或 14所述的身份认证装置, 其特征在于: 所述浏览器内核单元进一步用于通过调用所述 Web应用单元的超文本传 输协议请求接口, 将所述响应发送给所述 Web应用单元;
    所述 Web应用单元进一步用于从所述响应中解析出认证成功的认证结 果。
    17、 根据权利要求 11所述的身份认证装置, 其特征在于:
    所述浏览器界面单元进一步用于接收待访问的网址信息和身份标识, 将 所述待访问的网址信息和所述身份标识发送给所述浏览器内核单元;
    所述浏览器内核单元进一步用于根据所述身份标识确定所述选择的用户 数字证书, 生成携带有所述选择的用户数字证书的登录请求, 将所述登录请 求发送给所述应用服务器。
    18、 根据权利要求 12所述的身份认证装置, 其特征在于:
    所述浏览器内核单元进一步用于检测登录触发事件, 将所述登录触发事 件发送给 Web应用单元, 以及获取本地存储的默认的用户数字证书, 确定所 述默认的用户数字证书为所述选择的用户数字证书, 或所述浏览器内核单元 进一步获取本地存储的多个待选择的用户数字证书, 根据接收到的选择指示 信息从所述多个待选择的用户数字证书中确定一个用户数字证书为所述选择 的用户数字证书;
    所述 Web应用单元进一步用于根据所述登录触发事件确定登录触发操作 对应的网址, 若判断获知对所述网址的访问需要身份认证, 则获取所述选择 的用户数字证书所指示的用户的用户状态, 若所述用户状态为未登录状态, 则调用所述浏览器内核单元的认证对象的登录接口。
    19、 根据权利要求 18所述的身份认证装置, 其特征在于: 若所述用户状 态为登录状态,
    所述 Web应用单元进一步用于将所述网址发送给所述浏览器内核单元; 所述浏览器内核单元进一步用于根据所述网址向所述应用服务器发送访 问请求, 接收所述应用服务器根据所述访问请求返回的响应。
    20、 根据权利要求 18所述的身份认证装置, 其特征在于:
    所述 Web应用单元进一步用于通过调用所述浏览器内核单元的用户登录 状态查询接口获取所述选择的用户数字证书所指示的用户的用户状态。
CN201280000785.1A 2012-06-29 身份认证方法及装置 Active CN103621008B (zh)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/CN2012/077939 WO2014000281A1 (zh) 2012-06-29 2012-06-29 身份认证方法及装置

Publications (2)

Publication Number Publication Date
CN103621008A true CN103621008A (zh) 2014-03-05
CN103621008B CN103621008B (zh) 2016-11-30

Family

ID=

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106856465A (zh) * 2015-12-08 2017-06-16 中国电信股份有限公司 用于实现移动认证的方法、装置和系统
CN107341027A (zh) * 2017-05-18 2017-11-10 北京金山安全管理系统技术有限公司 用户界面的生成方法和生成装置
CN107968815A (zh) * 2017-10-25 2018-04-27 北京信安世纪科技股份有限公司 一种安全防护的方法及装置
CN108446353A (zh) * 2018-03-09 2018-08-24 北京明略软件系统有限公司 一种双内核浏览器方法和双内核浏览器
TWI677806B (zh) * 2017-08-25 2019-11-21 小松鼠軟體有限公司 阻斷中間人攻擊的用戶數據加密裝置及其方法
CN114615004A (zh) * 2020-12-21 2022-06-10 亚信科技(中国)有限公司 H5.0信息访问方法、装置、电子设备及计算机可读存储介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1556449A (zh) * 2004-01-08 2004-12-22 中国工商银行 对网上银行数据进行加密、认证的装置和方法
CN1787513A (zh) * 2004-12-07 2006-06-14 上海鼎安信息技术有限公司 安全远程访问系统和方法
US20080189778A1 (en) * 2007-02-05 2008-08-07 Peter Andrew Rowley Secure authentication in browser redirection authentication schemes
CN101610157A (zh) * 2009-07-28 2009-12-23 江苏先安科技有限公司 一种Web表单中使用数字证书自动签名的系统和方法
US7752448B1 (en) * 2004-02-17 2010-07-06 The Weather Channel, Inc. Domain-based application functionality

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1556449A (zh) * 2004-01-08 2004-12-22 中国工商银行 对网上银行数据进行加密、认证的装置和方法
US7752448B1 (en) * 2004-02-17 2010-07-06 The Weather Channel, Inc. Domain-based application functionality
CN1787513A (zh) * 2004-12-07 2006-06-14 上海鼎安信息技术有限公司 安全远程访问系统和方法
US20080189778A1 (en) * 2007-02-05 2008-08-07 Peter Andrew Rowley Secure authentication in browser redirection authentication schemes
CN101610157A (zh) * 2009-07-28 2009-12-23 江苏先安科技有限公司 一种Web表单中使用数字证书自动签名的系统和方法

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106856465A (zh) * 2015-12-08 2017-06-16 中国电信股份有限公司 用于实现移动认证的方法、装置和系统
CN106856465B (zh) * 2015-12-08 2019-06-28 中国电信股份有限公司 用于实现移动认证的方法、装置和系统
CN107341027A (zh) * 2017-05-18 2017-11-10 北京金山安全管理系统技术有限公司 用户界面的生成方法和生成装置
TWI677806B (zh) * 2017-08-25 2019-11-21 小松鼠軟體有限公司 阻斷中間人攻擊的用戶數據加密裝置及其方法
CN107968815A (zh) * 2017-10-25 2018-04-27 北京信安世纪科技股份有限公司 一种安全防护的方法及装置
CN107968815B (zh) * 2017-10-25 2021-05-14 北京信安世纪科技股份有限公司 一种安全防护的方法及装置
CN108446353A (zh) * 2018-03-09 2018-08-24 北京明略软件系统有限公司 一种双内核浏览器方法和双内核浏览器
CN114615004A (zh) * 2020-12-21 2022-06-10 亚信科技(中国)有限公司 H5.0信息访问方法、装置、电子设备及计算机可读存储介质

Also Published As

Publication number Publication date
ES2644593T3 (es) 2017-11-29
EP2860906A1 (en) 2015-04-15
US9628461B2 (en) 2017-04-18
EP2860906A4 (en) 2015-06-17
WO2014000281A1 (zh) 2014-01-03
EP2860906B1 (en) 2017-09-06
US20150106882A1 (en) 2015-04-16

Similar Documents

Publication Publication Date Title
EP2860906B1 (en) Identity authentication method and device
KR101148627B1 (ko) 통보 방법, 통보 장치 및 비일시적 컴퓨터 판독가능 저장 매체
US9871791B2 (en) Multi factor user authentication on multiple devices
US8626935B1 (en) Identifying use of software applications
JP6355742B2 (ja) 署名検証方法、装置、およびシステム
CN105612716B (zh) 用于提供对数据的访问的系统和方法
CN105472052B (zh) 一种跨域服务器的登录方法和系统
US8051465B1 (en) Mitigating forgery of electronic submissions
US11050740B2 (en) Third party multi-factor authentication with push notifications
CN103634399B (zh) 一种实现跨域数据传输的方法和装置
CN107016074B (zh) 一种网页加载方法及装置
CN103888255A (zh) 一种身份认证方法、装置及系统
US11770385B2 (en) Systems and methods for malicious client detection through property analysis
CN103647652B (zh) 一种实现数据传输的方法、装置和服务器
CN115022047B (zh) 基于多云网关的账户登录方法、装置、计算机设备及介质
CN109842616B (zh) 账号绑定方法、装置及服务器
EP4005148A1 (en) Techniques for incentivized intrusion detection system
Wedman et al. An analytical study of web application session management mechanisms and HTTP session hijacking attacks
US20090132681A1 (en) Automatically providing identity information for a network appliance
CN105429934B (zh) Https连接验证的方法和装置、可读存储介质、终端
Wang et al. A framework for formal analysis of privacy on SSO protocols
CN112836186A (zh) 一种页面控制方法及装置
CN104301285B (zh) 用于web系统的登录方法
CN103621008B (zh) 身份认证方法及装置
EP3684026B1 (en) Method and apparatus for sending form request

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant