CN110602074A - 一种基于主从关联的业务身份使用方法、装置及系统 - Google Patents
一种基于主从关联的业务身份使用方法、装置及系统 Download PDFInfo
- Publication number
- CN110602074A CN110602074A CN201910823054.0A CN201910823054A CN110602074A CN 110602074 A CN110602074 A CN 110602074A CN 201910823054 A CN201910823054 A CN 201910823054A CN 110602074 A CN110602074 A CN 110602074A
- Authority
- CN
- China
- Prior art keywords
- identity
- application
- user
- certification
- certificate
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 27
- 230000007246 mechanism Effects 0.000 claims description 16
- 238000004590 computer program Methods 0.000 claims description 11
- 239000000126 substance Substances 0.000 claims description 8
- 238000010586 diagram Methods 0.000 description 11
- 238000004891 communication Methods 0.000 description 8
- 230000006870 function Effects 0.000 description 8
- 238000012795 verification Methods 0.000 description 7
- 238000012545 processing Methods 0.000 description 5
- 230000003287 optical effect Effects 0.000 description 4
- 230000004048 modification Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 239000000835 fiber Substances 0.000 description 2
- 230000008520 organization Effects 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种基于主从关联的业务身份使用方法、装置及系统,涉及计算机技术领域。该方法的一具体实施方式包括:接收使用请求,其中,所述使用请求指示了用户待使用的应用和所述用户的主身份;确定所述应用认可的一个或多个认证机构,向凭证网关查询所述用户对于所述应用的身份证明,其中,所述凭证网关与所述认证机构相关联;根据所述用户的主身份确定所述用户的应用身份,向所述应用发送所述用户的应用身份和所述应用相关联的身份证明。该实施方式使得用户无需多次切换应用身份以登录不同的应用,从而提高了登录效率,并提高了用户体验。
Description
技术领域
本发明涉及计算机技术领域,尤其涉及一种基于主从关联的业务身份使用方法、装置及系统。
背景技术
随着计算机技术的发展,用户可利用多种具有不同业务功能的业务平台处理不同的线上业务。
为了使用业务平台的业务功能,用户需先用相应的应用身份登录业务平台,而由于不同的业务平台对应的应用身份一般各有相同,因此用户在使用不同的业务平台时,需多次切换应用身份以登录不同的业务平台,这不仅增加了用户工作量,还降低了登录效率,从而降低了用户体验。
发明内容
有鉴于此,本发明实施例提供一种基于主从关联的业务身份使用方法、装置及系统,能够实现根据用户的主身份,自动将用户的应用身份以及与待使用的应用相关联的身份证明发送给待使用的应用,以使用户可根据应用身份和身份证明使用该应用,由此使得用户无需多次切换应用身份以登录不同的应用,从而提高了登录效率,并提高了用户体验。
为实现上述目的,根据本发明实施例的一个方面,提供了一种基于主从关联的业务身份使用方法,包括:接收使用请求,其中,所述使用请求指示了用户待使用的应用和所述用户的主身份;确定所述应用认可的一个或多个认证机构,向凭证网关查询所述用户对于所述应用的身份证明,其中,所述凭证网关与所述认证机构相关联;根据所述用户的主身份确定所述用户的应用身份,向所述应用发送所述用户的应用身份和所述应用相关联的身份证明。
可选地,所述认证机构是所述应用提供的。
可选地,该身份使用方法还包括:利用第一密钥对所述用户的应用身份和/或所述应用相关联的身份证明进行签名,将签名后的所述用户的应用身份和/或所述应用相关联的身份证明发送给所述应用,以使得所述应用使用与所述第一密钥相对应的第一公钥解密所述用户的应用身份和/或所述应用相关联的身份证明。
根据本发明实施例的第二方面,提供了一种基于主从关联的业务身份使用装置,包括:请求接收模块、证明查询模块和证明发送模块;其中,
所述请求接收模块,用于接收使用请求,其中,所述使用请求指示了用户待使用的应用和所述用户的主身份;
所述证明查询模块,用于确定所述应用认可的一个或多个认证机构,并向凭证网关查询所述用户对于所述应用的身份证明,其中,所述凭证网关与所述认证机构相关联;
所述证明发送模块,用于根据所述用户的主身份确定所述用户的应用身份,向所述应用发送所述用户的应用身份和所述应用相关联的身份证明。
可选地,所述认证机构是所述应用提供的。
可选地,所述证明发送模块,用于利用第一密钥对所述用户的应用身份和/或所述应用相关联的身份证明进行签名,将签名后的所述用户的应用身份和/或所述应用相关联的身份证明发送给所述应用,以使得所述应用使用与所述第一密钥相对应的第一公钥解密所述用户的应用身份和/或所述应用相关联的身份证明。
根据本发明实施例的第三方面,提供了一种基于主从关联的业务身份使用系统,包括:凭证网关和上述第二方面任一所述的基于主从关联的业务身份使用装置;其中,
所述凭证网关,用于接收来自所述身份使用装置的查询,向所述身份使用装置返回用户对于应用的身份证明,其中,所述凭证网关与认证机构相关联。
可选地,该身份使用系统进一步包括:可信认证装置;其中,
所述可信认证装置,用于接收所述应用提供的一个或多个所述认证机构;
所述身份使用装置,用于从所述可信认证装置中查询所述应用认可的所述一个或多个认证机构。
根据本发明实施例的第四方面,提供了一种服务器,包括:一个或多个处理器;存储装置,用于存储一个或多个程序,当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如上述第一方面任一所述的方法。
根据本发明实施例的第五方面,提供了一种计算机可读介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现如上述第一方面任一所述的方法。
上述发明中的一个实施例具有如下优点或有益效果:当接收到指示了用户待使用的应用和用户主身份的使用请求时,身份使用装置可以确定该应用认可的一个或多个认证机构,然后向这一个或多个认证机构相关联的凭证网关查询用于对于该应用的身份证明,并根据用户的主身份确定用户的应用身份,最后将用户的应用身份和与应用相关联的身份证明发送给待使用的应用,以使用户可根据应用身份和身份证明使用该应用,由此使得用户无需多次切换应用身份以登录不同的应用,从而提高了登录效率,进而提高了用户体验。
上述的非惯用的可选方式所具有的进一步效果将在下文中结合具体实施方式加以说明。
附图说明
附图用于更好地理解本发明,不构成对本发明的不当限定。其中:
图1是根据本发明实施例的用于身份使用的方法的主要流程的示意图;
图2是根据本发明实施例的应用提供认证机构的示意图;
图3是根据本发明实施例的身份使用装置的主要模块的示意图;
图4是根据本发明实施例的身份使用系统的示意图;
图5是本发明实施例可以应用于其中的示例性系统架构图;
图6是适于用来实现本发明实施例的终端设备或服务器的计算机系统的结构示意图。
具体实施方式
以下结合附图对本发明的示范性实施例做出说明,其中包括本发明实施例的各种细节以助于理解,应当将它们认为仅仅是示范性的。因此,本领域普通技术人员应当认识到,可以对这里描述的实施例做出各种改变和修改,而不会背离本发明的范围和精神。同样,为了清楚和简明,以下的描述中省略了对公知功能和结构的描述。
如图1所示,本发明实施例提供了一种基于主从关联的业务身份使用方法,该方法可以包括以下步骤S101至步骤S103:
步骤S101:接收使用请求,其中,所述使用请求指示了用户待使用的应用和所述用户的主身份。
在这里,用户可以为具有机构名称和统一信用代码等特征的机构。用户的主身份是身份使用装置预先根据用户的注册请求为用户创建的。
步骤S102:确定所述应用认可的一个或多个认证机构,向凭证网关查询所述用户对于所述应用的身份证明,其中,所述凭证网关与所述认证机构相关联。
每个认证机构均有其相关联的凭证网关,以实现基于主从关联的业务身份使用装置和认证机构之间的通信。每个应用有其认可的认证机构,每个应用可预先将其认可的认证机构提供给基于主从关联的业务身份使用装置(以下简称身份使用装置),则身份使用装置在接收到指示了待使用应用的使用请求时,可确定待使用的应用所认可的认证机构,以及与其认可的认证机构相关联的凭证网关,然后向凭证网关查询该用户相对于该应用的身份证明。
另外,各个应用201也可将自身认可的认证机构提供给可信认证装置202,如图2所示,应用A将自身认可的认证机构CA1和CA2提供给可信认证装置,应用B将自身认可的认证机构CA3提供给可信认证装置,可信认证装置在接收到每个应用提供的一个或多个认证机构后,可对各个应用提供的认证机构进行统一管理,例如,可信认证装置可通过下表1的列表形式记录各个应用所认可的认证机构,以在接收到身份使用装置的查询时,迅速将用户待使用的应用所认可的认证机构返回给身份使用装置。采用上述应用将自身认可的认证机构提供给可信认证装置的方式,可使得各个应用自主维护可信认证装置,当应用所认可的认证机构变更时,也可通过可信认证装置高效的反馈给身份使用装置。
表1
| 应用 | 应用认可的认证机构 |
| A | CA1、CA2 |
| B | CA3 |
基于此,身份使用装置可从可信认证装置中查询待使用的应用所认可的一个或多个认证机构,而由于每个认证机构均有其关联的凭证网关,由此可确定与待注册的应用相关的一个或多个凭证网关,然后向凭证网关查询该用户相对于该应用的身份证明。凭证网关在接收到来自身份使用装置的查询时,可从自身相关联的认证机构中获取用户的身份证明,然后向身份使用装置返回用户对于应用的身份证明。
在本发明另一个实施例中,凭证网关也可存储用户对应于与自身相关联的认证机构的身份证明,则凭证网关在接收到来自身份使用装置的查询时,可根据存储的身份证明,直接向身份使用装置返回用户对于该应用的身份证明。
例如,使用请求指示的待使用的应用为应用K,身份使用装置从可信认证装置中查询得到应用K所认可的认证机构为认证机构A和认证机构B,则身份使用装置可确定认证机构A和认证机构B分别关联的凭证网关A和凭证网关B,然后向凭证网关A和凭证网关B查询用于对于应用K的身份证明,在查询时,身份使用装置可向凭证网关A和凭证网关B发送用户的主身份,则凭证网关A和凭证网关B可根据主身份确定用户的身份证明,然后向身份使用装置返回身份证明,由于认证机构A和认证机构B为应用K所认可的认证机构,则凭证网关A和凭证网关B返回的身份证明即为用户对应于应用K的身份证明,使得用户后续可利用该身份证明以及应用K对应的应用身份使用应用K。
在本发明一个实施例中,用户仅拥有应用所认可的部分认证机构的身份证明,例如,应用K所认可的认证机构为认证机构A和认证机构B,而用户仅拥有对应于认证机构A的身份证明。则凭证网关A和凭证网关B接收到身份使用装置的查询时,仅有凭证网关A向身份使用装置返回用户的身份证明,而由于不存在用户对应于认证机构B的身份证明,则凭证网关B不会返回用户的身份证明。由此,应用可根据身份使用装置发送的用户的应用身份以及不同的身份证明,确定用户的使用权限,根据不同的使用权限为用户提供不同的服务。
步骤S103:根据所述用户的主身份确定所述用户的应用身份,向所述应用发送所述用户的应用身份和所述应用相关联的身份证明。
用户的主身份与应用身份是身份使用装置预先根据用户的注册请求为用户创建的,一个主身份对应于一个或多个应用身份,并由身份使用装置对主身份和应用身份进行统一管理。在身份使用装置接收到凭证网关返回的身份证明时,可根据用户的主身份确定该用户对应于应用的应用身份,然后将确定出的应用身份和身份证明发送给应用,以使应用根据用户的身份证明,确定应用身份所对应的用户的使用权限。在这里,身份使用装置只负责将用户的应用身份和身份证明发送给业务,而不负责用户的身份验证,由此使系统解耦,从而提高身份验证的及时性和准确性,而负责身份验证的仍为用户待使用的应用,并且由应用决定用户的使用权限,使得应用具有高度自主的权限,有利于为用户提供更优质的服务。
在本发明一个实施例中,身份使用装置还可以利用第一密钥对用户的与待使用的应用相关联的所述身份证明进行签名,然后将签名后的所述身份证明发送给所述应用。例如,身份使用装置可以利用第一私钥对与待使用的应用相关联的身份证明进行签名,以向应用证实身份证明的发送方为身份使用装置,在身份使用装置将签名后的身份证明发送给应用后,应用可利用与第一私钥相对应的第一公钥解密得到身份证明,然后再进一步对身份证明进行验证。
在本发明一个实施例中,身份使用装置还可以利用第一密钥对用户的应用身份进行签名,然后将签名后的应用身份发送给应用,以向应用证实应用身份的发送方为身份使用装置,接收到签名后的应用身份后,应用可使用与第一密钥相对应的第一公钥解密用户的应用身份,然后再进一步对应用身份进行验证。可以理解的是,身份使用装置可以利用第一密钥对应用身份和与应用相关联的身份证明均进行签名,也可以利用第一密钥对应用身份或与应用相关联的身份证明中的其中一项进行签名。
为了进一步保障身份证明传输过程的安全性,本发明一个实施例中,身份使用装置在向应用发送身份证明时,同时向应用发送用于完整性校验的校验码,应用在接收到签名后的身份证明时,先根据校验码对数据完整性进行校验,校验合格时,才利用第一公钥解密得到身份证明。
完整性校验可以采取多种方式,在本发明一个实施方式中,身份使用装置在接收到使用请求时,可随机生成应用公钥,然后利用自身的第二私钥对应用公钥进行签名,得到应用公钥的签名,然后将应用公钥的签名和应用公钥组成校验码,并将校验码与签名后的身份证明发送给应用。应用接收都校验码后,先利用与第二私钥相对应的第二公钥对校验码中的应用公钥的签名进行解密,并对比解密结果是否与校验码中的应用公钥相同,若相同,则说明数据的完整性校验合格,此时再利用与第一私钥相对应的第一公钥对签名后的身份证明进行解密。可以理解的是,第一私钥与第二私钥可以相同,也可以不同,相对应的,第一公钥与第二公钥可以相同,也可以不同。
如图3所示,本发明实施例还提供了一种基于主从关联的业务身份使用装置300,包括:请求接收模块301、证明查询模块302和证明发送模块303;其中,
所述请求接收模块301,用于接收使用请求,其中,所述使用请求指示了用户待使用的应用和所述用户的主身份;
所述证明查询模块302,用于确定所述应用认可的一个或多个认证机构,并向凭证网关查询所述用户对于所述应用的身份证明,其中,所述凭证网关与所述认证机构相关联;
所述证明发送模块303,用于根据所述用户的主身份确定所述用户的应用身份,向所述应用发送所述用户的应用身份和所述应用相关联的身份证明。
在本发明一个实施例中,所述认证机构是所述应用提供的。
在本发明一个实施例中,所述证明发送模块303,用于利用第一密钥对所述用户的应用身份和/或所述应用相关联的身份证明进行签名,将签名后的所述用户的应用身份和/或所述应用相关联的身份证明发送给所述应用,以使得所述应用使用与所述第一密钥相对应的第一公钥解密所述用户的应用身份和/或所述应用相关联的身份证明。
如图4所示,本发明实施例提供了一种基于主从关联的业务身份使用系统400,包括:凭证网关401和上述第二方面任一所述的基于主从关联的业务身份使用装置300;其中,
所述凭证网关401,用于接收来自所述身份使用装置300的查询,向所述身份使用装置300返回用户对于应用的身份证明,其中,所述凭证网关与认证机构相关联。
在本发明一个实施例中,该基于主从关联的业务身份使用系统400可以进一步包括:可信认证装置402;其中,所述可信认证装置402,用于接收所述应用提供的一个或多个所述认证机构;所述身份使用装置300,用于从所述可信认证装置中查询所述应用认可的所述一个或多个认证机构。
本发明实施例还提供了一种服务器,包括:一个或多个处理器;存储装置,用于存储一个或多个程序,当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如上述任一实施例所述的方法。
本发明实施例还提供了一种计算机可读介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现如上述任一实施例所述的方法。
图5示出了可以应用本发明实施例的身份使用方法或身份使用装置的示例性系统架构500。
如图5所示,系统架构500可以包括终端设备501、502、503,网络504和服务器505。网络504用以在终端设备501、502、503和服务器505之间提供通信链路的介质。网络504可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
用户可以使用终端设备501、502、503通过网络504与服务器505交互,以接收或发送消息等。终端设备501、502、503上可以安装有各种通讯客户端应用,例如购物类应用、网页浏览器应用、搜索类应用、即时通信工具、邮箱客户端、社交平台软件等(仅为示例)。
终端设备501、502、503可以是具有显示屏并且支持网页浏览的各种电子设备,包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等等。
服务器505可以是提供各种服务的服务器,例如对用户利用终端设备501、502、503所浏览的购物类网站提供支持的后台管理服务器(仅为示例)。后台管理服务器可以对接收到的产品信息查询请求等数据进行分析等处理,并将处理结果(例如目标推送信息、产品信息--仅为示例)反馈给终端设备。
需要说明的是,本发明实施例所提供的身份使用方法一般由服务器505执行,相应地,身份使用装置一般设置于服务器505中。
应该理解,图5中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端设备、网络和服务器。
下面参考图6,其示出了适于用来实现本发明实施例的终端设备的计算机系统600的结构示意图。图6示出的终端设备仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图6所示,计算机系统600包括中央处理单元(CPU)601,其可以根据存储在只读存储器(ROM)602中的程序或者从存储部分608加载到随机访问存储器(RAM)603中的程序而执行各种适当的动作和处理。在RAM 603中,还存储有系统600操作所需的各种程序和数据。CPU 601、ROM 602以及RAM 603通过总线604彼此相连。输入/输出(I/O)接口605也连接至总线604。
以下部件连接至I/O接口605:包括键盘、鼠标等的输入部分606;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分607;包括硬盘等的存储部分608;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分609。通信部分609经由诸如因特网的网络执行通信处理。驱动器610也根据需要连接至I/O接口605。可拆卸介质611,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器610上,以便于从其上读出的计算机程序根据需要被安装入存储部分608。
特别地,根据本发明公开的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本发明公开的实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分609从网络上被下载和安装,和/或从可拆卸介质611被安装。在该计算机程序被中央处理单元(CPU)601执行时,执行本发明的系统中限定的上述功能。
需要说明的是,本发明所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本发明中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本发明中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、电线、光缆、RF等等,或者上述的任意合适的组合。
附图中的流程图和框图,图示了按照本发明各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本发明实施例中所涉及到的模块可以通过软件的方式实现,也可以通过硬件的方式来实现。所描述的模块也可以设置在处理器中,例如,可以描述为:一种处理器包括请求接收模块、证明查询模块和证明发送模块。其中,这些模块的名称在某种情况下并不构成对该模块本身的限定,例如,请求接收模块还可以被描述为“接收使用请求的模块”。
作为另一方面,本发明还提供了一种计算机可读介质,该计算机可读介质可以是上述实施例中描述的设备中所包含的;也可以是单独存在,而未装配入该设备中。上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被一个该设备执行时,使得该设备包括:接收使用请求,其中,所述使用请求指示了用户待使用的应用和所述用户的主身份;确定所述应用认可的一个或多个认证机构,向凭证网关查询所述用户对于所述应用的身份证明,其中,所述凭证网关与所述认证机构相关联;根据所述用户的主身份确定所述用户的应用身份,向所述应用发送所述用户的应用身份和所述应用相关联的身份证明。
根据本发明实施例的技术方案,当接收到指示了用户待使用的应用和用户主身份的使用请求时,身份使用装置可以确定该应用认可的一个或多个认证机构,然后向这一个或多个认证机构相关联的凭证网关查询用于对于该应用的身份证明,并根据用户的主身份确定用户的应用身份,最后将用户的应用身份和与应用相关联的身份证明发送给待使用的应用,以使用户可根据应用身份和身份证明使用该应用,由此使得用户无需多次切换应用身份以登录不同的应用,从而提高了登录效率,进而提高了用户体验。
上述具体实施方式,并不构成对本发明保护范围的限制。本领域技术人员应该明白的是,取决于设计要求和其他因素,可以发生各种各样的修改、组合、子组合和替代。任何在本发明的精神和原则之内所作的修改、等同替换和改进等,均应包含在本发明保护范围之内。
Claims (10)
1.一种基于主从关联的业务身份使用方法,其特征在于,包括:
接收使用请求,其中,所述使用请求指示了用户待使用的应用和所述用户的主身份;
确定所述应用认可的一个或多个认证机构,向凭证网关查询所述用户对于所述应用的身份证明,其中,所述凭证网关与所述认证机构相关联;
根据所述用户的主身份确定所述用户的应用身份,向所述应用发送所述用户的应用身份和所述应用相关联的身份证明。
2.根据权利要求1所述的方法,其特征在于,
所述认证机构是所述应用提供的。
3.根据权利要求1所述的方法,其特征在于,还包括:利用第一密钥对所述用户的应用身份和/或所述应用相关联的身份证明进行签名,将签名后的所述用户的应用身份和/或所述应用相关联的身份证明发送给所述应用,以使得所述应用使用与所述第一密钥相对应的第一公钥解密所述用户的应用身份和/或所述应用相关联的身份证明。
4.一种基于主从关联的业务身份使用装置,其特征在于,包括:请求接收模块、证明查询模块和证明发送模块;其中,
所述请求接收模块,用于接收使用请求,其中,所述使用请求指示了用户待使用的应用和所述用户的主身份;
所述证明查询模块,用于确定所述应用认可的一个或多个认证机构,并向凭证网关查询所述用户对于所述应用的身份证明,其中,所述凭证网关与所述认证机构相关联;
所述证明发送模块,用于根据所述用户的主身份确定所述用户的应用身份,向所述应用发送所述用户的应用身份和所述应用相关联的身份证明。
5.根据权利要求4所述的身份使用装置,其特征在于,
所述认证机构是所述应用提供的。
6.根据权利要求4所述的身份使用装置,其特征在于,
所述证明发送模块,用于利用第一密钥对所述用户的应用身份和/或所述应用相关联的身份证明进行签名,将签名后的所述用户的应用身份和/或所述应用相关联的身份证明发送给所述应用,以使得所述应用使用与所述第一密钥相对应的第一公钥解密所述用户的应用身份和/或所述应用相关联的身份证明。
7.一种基于主从关联的业务身份使用系统,其特征在于,包括:凭证网关和权利要求3或4所述的基于主从关联的业务身份使用装置;其中,
所述凭证网关,用于接收来自所述身份使用装置的查询,向所述身份使用装置返回用户对于应用的身份证明,其中,所述凭证网关与认证机构相关联。
8.根据权利要求7所述的身份使用系统,其特征在于,进一步包括:可信认证装置;其中,
所述可信认证装置,用于接收所述应用提供的一个或多个所述认证机构;
所述身份使用装置,用于从所述可信认证装置中查询所述应用认可的所述一个或多个认证机构。
9.一种服务器,其特征在于,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1至3任一所述的方法。
10.一种计算机可读介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现如权利要求1至3任一所述的方法。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910753312 | 2019-08-15 | ||
| CN2019107533122 | 2019-08-15 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110602074A true CN110602074A (zh) | 2019-12-20 |
| CN110602074B CN110602074B (zh) | 2021-10-22 |
Family
ID=68856953
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910823054.0A Active CN110602074B (zh) | 2019-08-15 | 2019-09-02 | 一种基于主从关联的业务身份使用方法、装置及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110602074B (zh) |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN2891503Y (zh) * | 2006-04-26 | 2007-04-18 | 北京华科广通信息技术有限公司 | 信息系统或设备的安全防护系统 |
| CN201878190U (zh) * | 2010-09-19 | 2011-06-22 | 密之云(北京)呼叫产业基地有限公司 | 基于账号代填的单点登录平台 |
| CN104506499A (zh) * | 2014-12-11 | 2015-04-08 | 歌尔声学股份有限公司 | 单点登录应用系统的方法及装置 |
| CN105450637A (zh) * | 2015-11-09 | 2016-03-30 | 歌尔声学股份有限公司 | 多个应用系统的单点登录方法及装置 |
| CN106452814A (zh) * | 2015-08-10 | 2017-02-22 | 阿里巴巴集团控股有限公司 | 一种采用外部账户操作资源的方法和装置 |
| US20170054707A1 (en) * | 2009-09-14 | 2017-02-23 | InterDigitial Patent Holdings, Inc. | Method and Apparatus for Trusted Authentication and Logon |
| CN109325342A (zh) * | 2018-09-10 | 2019-02-12 | 平安科技(深圳)有限公司 | 身份信息管理方法、装置、计算机设备和存储介质 |
-
2019
- 2019-09-02 CN CN201910823054.0A patent/CN110602074B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN2891503Y (zh) * | 2006-04-26 | 2007-04-18 | 北京华科广通信息技术有限公司 | 信息系统或设备的安全防护系统 |
| US20170054707A1 (en) * | 2009-09-14 | 2017-02-23 | InterDigitial Patent Holdings, Inc. | Method and Apparatus for Trusted Authentication and Logon |
| CN201878190U (zh) * | 2010-09-19 | 2011-06-22 | 密之云(北京)呼叫产业基地有限公司 | 基于账号代填的单点登录平台 |
| CN104506499A (zh) * | 2014-12-11 | 2015-04-08 | 歌尔声学股份有限公司 | 单点登录应用系统的方法及装置 |
| CN106452814A (zh) * | 2015-08-10 | 2017-02-22 | 阿里巴巴集团控股有限公司 | 一种采用外部账户操作资源的方法和装置 |
| CN105450637A (zh) * | 2015-11-09 | 2016-03-30 | 歌尔声学股份有限公司 | 多个应用系统的单点登录方法及装置 |
| CN109325342A (zh) * | 2018-09-10 | 2019-02-12 | 平安科技(深圳)有限公司 | 身份信息管理方法、装置、计算机设备和存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110602074B (zh) | 2021-10-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110636043A (zh) | 一种基于区块链的文件授权访问方法、装置及系统 | |
| CN113347206A (zh) | 一种网络访问方法和装置 | |
| CN109450633B (zh) | 信息加密发送方法及装置、电子设备、存储介质 | |
| CN110611657A (zh) | 一种基于区块链的文件流处理的方法、装置及系统 | |
| CN113364795B (zh) | 一种数据传输方法和代理服务器 | |
| CN111784887A (zh) | 一种用户访问的授权放行方法、装置以及系统 | |
| CN113271296A (zh) | 一种登录权限管理的方法和装置 | |
| CN111814131B (zh) | 一种设备注册和配置管理的方法和装置 | |
| WO2016134482A1 (en) | License management for device management system | |
| CN112560003A (zh) | 用户权限管理方法和装置 | |
| CN111049789B (zh) | 域名访问的方法和装置 | |
| JP2013008140A (ja) | シングルサインオンシステム、シングルサインオン方法および認証サーバ連携プログラム | |
| CN110022207B (zh) | 密钥管理及处理数据的方法、装置、设备和计算机可读介质 | |
| CN111787044A (zh) | 物联网终端平台 | |
| CN107547570B (zh) | 一种数据安全服务平台和数据安全传输方法 | |
| CN107707528B (zh) | 一种用户信息隔离的方法和装置 | |
| CN110602075A (zh) | 一种加密访问控制的文件流处理的方法、装置及系统 | |
| US10621319B2 (en) | Digital certificate containing multimedia content | |
| CN110602074B (zh) | 一种基于主从关联的业务身份使用方法、装置及系统 | |
| CN112966286B (zh) | 用户登录的方法、系统、设备和计算机可读介质 | |
| US20210409406A1 (en) | Integrated hosted directory | |
| CN115134088A (zh) | 客户端证书验证方法、系统及电子设备 | |
| CN110602076B (zh) | 一种基于主身份多重认证的身份使用方法、装置及系统 | |
| CN112905990A (zh) | 一种访问方法、客户端、服务端及访问系统 | |
| CN110611656B (zh) | 一种基于主身份多重映射的身份管理方法、装置及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |