WO2012100677A1 - 用于移动终端的身份管理方法及装置 - Google Patents

Description

用于移动终端的身份管理方法及装置 技术领域

本发明涉及移动通信领域， 具体涉及一种用于移动终端的身份管理 方法及装置。 发明背景

随着移动通信技术和嵌入式技术的不断进步， 移动终端的功能越来 越强大， 用户可以借助于移动终端上的应用程序浏览新闻、 收发电子邮 件、 与其它联网用户聊天等。 其中， ^艮多应用， 例如即时通讯软件、 网 络游戏、 电子邮箱客户端等， 必须在通过服务器端的身份验证之后才能 正常使用。 因此， 这些需要身份验证的应用程序除了包括实现自身主体 功能的模块之外， 还包括一套身份管理模块， 用于管理账号信息、 与服 务器端交互以进行身份验证等。

在现有技术中， 每个需要身份验证的应用程序都内置一套相似的身 份验证模块， 这不仅造成软件功能的重复开发， 而且对于处理及存储能 力远远不及 PC机的移动终端来说， 耗费了相当大的处理能力和存储空 间。 并且， 一个互联网公司往往会开发出一系列应用程序供用户使用， 而一个用户可以利用一个共用的身份（例如账号和密码）登录来使用这 一系列应用程序。 这时， 用户希望在一次验证以后， 进入其它的相关软 件都不需要再次进行验证，例如，用户在使用 QQ号登录 QQ空间之后， 希望在以相同的 QQ号直接进入 QQ微博、 QQ邮箱进行相应的业务逻 辑而不必再次验证。 遗憾的是， 由于在现有的解决方案中， 应用程序之 间无法共享身份信息， 每个应用程序在启动时都要求用户进行身份验 证， 这就导致了对同一身份的多次验证。 相应地， 不仅用户不能享受到 流畅的体验， 而且多次验证也增加了用户身份泄露的风险。 并且， 由于 相同的身份信息分散到多个应用程序中而不能统一管理， 增加了安全风 险。 此外， 如果要对所有应用程序的身份验证操作上增加某个特殊操作 (例如输入验证码）， 则需要对所有的应用程序分别进行设置， 这样极 其麻烦费力。

总而言之， 现有的身份管理方案存在软件功能重复开发、 用户身份 信息管理分散、 安全风险高以及难以修改设置等缺陷。 发明内容

有鉴于此， 本发明提供了一种用于移动终端的身份管理方法及装 置， 能够实现用户身份信息和用户身份验证的统一管理。

本发明的技术方案具体是这样实现的：

一种用于移动终端的身份管理方法， 包括：

在接收到来自多个应用程序之一的身份验证请求时， 识别发送该身 份验证请求的应用程序， 并将根据该身份验证请求生成的请求消息发送 给身份验证服务器； 以及

在接收到来自所述身份验证服务器的返回消息时， 将根据该返回消 息获取的身份验证结果通知给所识别的应用程序所属的相关应用程序 列表中的所有应用程序。

一种用于移动终端的身份管理装置， 包括：

识别模块，用于在接收到来自多个应用程序之一的身份验证请求时， 识别发送该身份验证请求的应用程序；

收发模块， 用于将根据所述身份验证请求生成的请求消息发送给身 份验证服务器， 并从所述身份验证服务器接收返回消息； 以及 通知模块， 用于将根据所述返回消息获取的身份验证结果通知给所 识别的应用程序所属的相关应用程序列表中的所有应用程序。

从上述方案可以看出， 本发明提供了一种能够统一管理身份信息和 统一进行身份验证的身份管理方案， 其能够接收多个应用程序的身份验 证请求， 并将其发送到相应的身份验证服务器， 这样避免了软件功能的 重复开发， 实现了用户信息的统一管理， 降低了安全风险， 并且便于身 份管理方案的升级。 此外， 本发明提供的身份管理方案中可建立相关应 用程序列表， 以便在接收到针对该列表中的一个应用程序的身份验证结 果时， 将该身份验证结果通知给该列表中的所有应用程序， 使得该列表 中的应用程序在启动时可以直接进行业务逻辑而不必再请求身份验证， 从而节约了用户的时间， 并且降低了多次重复验证带来的身份泄露的风 险。 附图简要说明

下面将通过参照附图详细描述本发明的示例性实施例， 使本领域的 普通技术人员更清楚本发明的上述及其它特征和优点， 附图中：

图 1 是本发明实施例中移动终端上的应用程序的身份验证的流程 图；

图 2是本发明实施例中用于移动终端的身份管理装置的框图。 实施本发明的方式

本发明提出的身份管理方法和装置， 旨在实现移动终端上的多个应 用程序的统一身份信息管理和统一身份验证。

在本发明中， 为了向移动终端上的多个应用程序提供身份验证服 务， 并避免对已经通过身份验证的身份再次验证， 可以在接收到来自多 个应用程序之一的身份验证请求时， 识别发送该身份验证请求的应用程 序， 并将根据该身份验证请求生成的请求消息发送给身份验证服务器； 以及在接收到来自所述身份验证服务器的返回消息时， 将根据该返回消 息获取的身份验证结果通知给所识别的应用程序所属的相关应用程序 列表中的所有应用程序。

为了使本发明的目的、 技术方案和优点更加清楚明白， 下面结合 实施例和附图， 对本发明所述方案进行进一步说明。 程图。 如图 1所示， 该方法包括以下步骤：

步骤 101 : 响应于多个应用程序之一的启动事件， 身份管理装置启 动。

身份管理装置启动时， 对该身份管理装置的存储模块进行初始化， 该存储模块所存储的数据包括： 用户信息、 应用程序信息列表以及一个 以上相关应用程序列表。 用户信息包括与用户相关的筒单信息（即不涉 及用户隐私的公开信息） 以及身份信息 （即唯一标识用户身份的二进制 信息）等。 应用程序信息列表可以包括， 例如应用程序标识信息、 每个 应用程序对应的服务器地址等。 每个相关应用程序列表可以包括一个公 司发布的一系列应用程序的标识信息， 该系列应用程序可共用一个账号 登录到服务器。 身份管理装置可以通过识别应用程序标识信息中的某些 字段来自动将一组应用程序加入一个相关应用程序列表。 此外， 应用程 序本身也可以通过向身份管理装置注册对诸如身份验证结果之类的消 息的接收器来加入一个以上相关应用程序列表， 以便在身份管理装置向 请求身份验证的另一应用程序通知身份验证结果时， 也能够接收到该身 份验证结果。 通常， 存储模块中的信息以密文的方式存储。 在完成初始 化之后， 对所存储的信息进行解密以读取出来， 并使用 hash表保存在内 存中。

步骤 102: 多个应用程序中的至少一个向身份管理装置发送身份验 证请求。

应用程序在发送身份验证请求之前，可以读取 hash表中的用户信息 以选择合适的身份信息 （例如账号）， 也有可能直接写入或修改身份信 息，这时身份管理装置需要将写入或修改的身份信息存储到 hash表和存 储模块中。 由于移动终端上的多个应用程序共用这一身份管理装置， 因 此， 很有可能会有多个线程或应用程序同时访问该身份管理装置存储的 数据， 并有可能修改此类数据， 所以需要保证并发访问的安全性。 保证 对此 hash表的访问是串行即可， 不同的操作系统有不同的实现方式， 比 ^口在 android 下可以使用 ConcurrentHashMap 类型的 hash 结构， 在 windows mobile下可以使用临界区等对象保证访问此 hash表的代码的串 行性等。

步骤 103: 身份管理装置接收到身份验证请求时， 识别发送该身份 验证请求的应用程序。

身份管理装置利用从所述身份验证请求中提取的应用程序标识信 息， 在应用程序信息列表中查找与该应用程序相关的信息， 例如与该应 用程序对应的身份验证服务器地址， 该应用程序所属的相关应用程序列 表等， 以便于稍后对身份验证请求的发送和身份验证结果的通知。 如果 应用程序信息列表中不存在该应用程序标识信息， 则请求该应用程序发 送其相关的信息， 并将所获得的相关的信息存储在应用程序信息列表 中。

步骤 104: 对身份验证请求进行加密。

可以对身份验证请求中的身份信息 （例如账号和密码）进行加密。 针对来自不同的应用程序的身份验证请求， 可以选择不同的加密算法， 这些加密算法可以由应用程序或者该应用程序对应的身份验证服务器 预先加载到身份管理装置中。

步骤 105: 身份管理装置将加密后的身份验证请求作为请求消息发 送到身份验证服务器。

步骤 106: 身份验证服务器在接收到请求消息时， 对该请求消息解 密， 进行相关的身份验证以生成返回消息， 对返回消息中的身份信息进 行加密， 然后对整个返回消息进行二次加密。

步骤 107: 身份验证服务器向身份管理装置发送返回消息。

步骤 108: 身份管理装置接收到返回消息之后， 对返回消息进行解 密， 以判断身份验证请求是否成功。

如果身份验证失败， 则清除保存的此用户的身份信息。

如果身份验证成功， 则对返回消息中的身份信息进行解密， 以获取 并存储该身份信息。 身份验证服务器返回的身份信息是零散的两个字 段， 真正的身份信息必须由身份管理装置对这两个字段进行相应的解 密， 然后才得出真正使用需要的身份信息 （例如， 返回消息中的身份信 息为字段 si和 s3 , 经过对这两个字段进行解密以后得到最终的身份信 息 s2 ), 并更新到本地， 以备应用程序查询相关用户身份信息时使用。

步骤 109: 身份管理装置将身份验证结果通知给在步骤 103中识别 的应用程序所属的相关应用程序列表中的所有应用程序。

如果身份验证失败， 则进一步将失败原因也通知给上述相关应用程 序列表中的所有应用程序。

到此， 整个身份验证流程结束。

上述身份验证流程不仅仅可用于用户的身份登录验证， 还可以用于 身份注销、 身份改变验证。每当一个应用程序发生登录成功、登录失败、 身份注销、 身份改变这类事件时， 相关的应用程序都会及时接收到身份 管理装置对这些事件的广播通知， 使得用户只需一次验证即可使用相关 的软件服务。

可替代地， 在上述步骤中， 在身份验证装置处进行的加密、 解密操 作（步骤 104、 108 )也可以由应用程序本身来完成。 在这种情况下， 身 份管理装置只负责识别发送身份验证请求的应用程序， 将该身份验证请 求作为请求消息发送到身份验证服务器， 接收来自身份验证服务器的返 回消息， 并将身份验证结果通知给所识别的应用程序所属的相关应用程 序列表中的所有应用程序。

图 2是本发明实施例中用于移动终端的身份管理装置的框图。 如图 2所示， 该身份管理装置中可包括： 存储模块 201、 识别模块 202、 收发模块 203和通知模块 204。

存储模块 201存储与移动终端上的多个应用程序相关的应用程序信 息列表、 用户信息和一个以上相关应用程序列表。 存储模块 201在身份 验证失败时， 清除与该身份验证请求相关的身份信息， 在身份验证成功 时， 存储由身份验证服务器返回的与该身份验证请求相关的身份信息。

识别模块 202在接收到来自多个应用程序之一的身份验证请求时， 识别发送该身份验证请求的应用程序。 具体来说， 识别模块 202利用从 身份验证请求中提取的应用程序的标识信息， 在存储模块 201中存储的 应用程序信息列表中查找与该应用程序相关的信息， 所述相关的信息包 相关应用程序列表， 并且在没有查找出与该应用程序相关的信息的情况 下， 请求该应用程序发送相关的信息， 将所获得的相关的信息存储在存 储模块 201的应用程序信息列表中。

收发模块 203将根据身份验证请求生成的请求消息发送给身份验证 服务器， 并从身份验证服务器接收返回消息。 通知模块 204将根据返回消息获取的身份验证结果通知给所识别的 应用程序所属的相关应用程序列表中的所有应用程序。 在身份验证失败 时， 通知模块 204还将失败原因通知给所识别的应用程序所属的相关应 用程序列表中的所有应用程序。

该身份管理装置中还可包括加密和解密模块 205。 加密和解密模块 205 可以选择合适的加解密算法对身份验证请求进行加密， 或者仅对身 份验证请求中的身份信息进行加密， 然后将加密后的身份验证请求作为 请求消息提供给收发模块 203。 加密和解密模块 205还可以采用合适的 加解密算法对收发模块 203接收的返回消息进行解密， 以获取身份验证 结果并将身份验证结果提供给通知模块 204。在身份验证成功的情况下， 加密和解密模块 205进一步对返回消息中的身份信息进行解密， 并将解 密后的身份信息提供给存储模块 201。

当然， 本发明不限于以上实施例。 例如， 身份管理装置可以不包括 加密和解密模块 205 , 加密和解密操作由应用程序本身来完成。 在这种 情况下， 识别模块 202识别出发送身份验证请求的应用程序之后， 收发 模块 203直接将该身份验证请求作为请求消息发送到身份验证服务器， 并且在接收到来自身份验证服务器的返回消息之后， 直接将该返回消息 提供给通知模块 204, 由通知模块 204将该返回消息作为身份验证结果 通知给所识别的应用程序所属的相关应用程序列表中的所有应用程序。

以上所述仅为本发明的较佳实施例而已， 并不用以限制本发明， 凡 在本发明的精神和原则之内， 所做的任何修改、 等同替换、 改进等， 均 应包含在本发明的保护范围之内。

Claims

权利要求书

1、 一种用于移动终端的身份管理方法， 其特征在于， 该方法包括： 在接收到来自多个应用程序之一的身份验证请求时， 识别发送该身 份验证请求的应用程序， 并将根据该身份验证请求生成的请求消息发送 给身份验证服务器； 以及

在接收到来自所述身份验证服务器的返回消息时， 将根据该返回消 息获取的身份验证结果通知给所识别的应用程序所属的相关应用程序 列表中的所有应用程序。

2、根据权利要求 1所述的身份管理方法， 其特征在于， 所述识别发 送该身份验证请求的应用程序包括：

利用从所述身份验证请求中提取的所述应用程序的标识信息， 在所 存储的应用程序信息列表中查找与所述应用程序相关的信息， 所述相关 序所属的相关应用程序列表； 并且在没有查找出与所述应用程序相关的 信息的情况下， 请求所述应用程序发送所述相关的信息， 将所获得的所 述相关的信息存储在所述应用程序信息列表中。

3、根据权利要求 1所述的身份管理方法， 其特征在于， 所述将根据 该身份验证请求生成的请求消息发送给身份验证服务器包括：

将所述身份验证请求中的身份信息进行加密， 并将身份信息被加密 的身份验证请求作为请求消息发送给所述身份验证服务器。

4、根据权利要求 1所述的身份管理方法， 其特征在于， 所述身份验 证服务器对所述返回消息中的身份信息进行了加密， 并对所述返回消息 进行了二次加密， 并且

获取身份验证结果包括： 对所述返回消息进行相应的解密， 以获取 表明身份验证成功与否的身份验证结果。

5、根据权利要求 4所述的身份管理方法， 其特征在于， 该方法进一 步包括：

当所述返回消息表明身份验证失败时， 清除所存储的与所述身份验 证请求相关的身份信息， 并将失败原因通知给所识别的应用程序所属的 相关应用程序列表中的所有应用程序。

6、根据权利要求 4所述的身份管理方法， 其特征在于， 该方法进一 步包括：

当所述返回消息表明身份验证成功时， 对所述返回消息中的身份信 息进行相应的解密， 以获取并存储该身份信息。

7、根据权利要求 1 ~ 6中任一项所述的身份管理方法，其特征在于， 所述身份验证包括身份登录验证、 身份注销验证和身份改变验证。

8、 一种用于移动终端的身份管理装置， 其特征在于， 包括： 识别模块，用于在接收到来自多个应用程序之一的身份验证请求时， 识别发送该身份验证请求的应用程序；

收发模块， 用于将根据所述身份验证请求生成的请求消息发送给身 份验证服务器， 并从所述身份验证服务器接收返回消息； 以及

通知模块， 用于将根据所述返回消息获取的身份验证结果通知给所 识别的应用程序所属的相关应用程序列表中的所有应用程序。

9、根据权利要求 8所述的身份管理装置， 其特征在于， 该身份管理 装置中进一步包括：

存储模块， 用于存储与多个应用程序相关的应用程序信息列表、 用 户信息和一个以上相关应用程序列表；

所述识别模块利用从所述身份验证请求中提取的所述应用程序的标 识信息， 在所述存储模块中存储的应用程序信息列表中查找与所述应用 程序相关的信息， 所述相关的信息包括： 所述应用程序对应的身份验证 服务器地址以及所述应用程序所属的相关应用程序列表， 并且在没有查 找出与所述应用程序相关的信息的情况下， 请求所述应用程序发送所述 相关的信息， 将所获得的所述相关的信息存储在所述存储模块的应用程 序信息列表中。

10、 根据权利要求 9所述的身份管理装置， 其特征在于， 该身份管 理装置中进一步包括：

加密和解密模块，用于对所述身份验证请求中的身份信息进行加密， 并将身份信息被加密的身份验证请求作为请求消息提供给所述收发模 块； 以及对所述收发模块接收的返回消息进行解密， 以获取身份验证结 果并将身份验证结果提供给所述通知模块， 并且在身份验证成功的情况 下， 对所述返回消息中的身份信息进行进一步解密， 并将解密后的身份 信息提供给所述存储模块。

11、根据权利要求 10所述的身份管理装置， 其特征在于， 所述存储 模块在身份验证失败时， 清除与所述身份验证请求相关的身份信息， 在 身份验证成功时， 存储由所述加密和解密模块提供的身份信息。

12、 根据权利要求 8所述的身份管理装置， 其特征在于， 所述通知 模块在身份验证失败时， 进一步将失败原因通知给所识别的应用程序所 属的相关应用程序列表中的所有应用程序。

13、 根据权利要求 8 ~ 12中任一项所述的身份管理装置， 其特征在 于， 所述身份验证包括身份登录验证、 身份注销验证和身份改变验证。