WO2014000281A1

WO2014000281A1 - 身份认证方法及装置

Info

Publication number: WO2014000281A1
Application number: PCT/CN2012/077939
Authority: WO
Inventors: 李立; 胡立新
Original assignee: 华为技术有限公司
Priority date: 2012-06-29
Filing date: 2012-06-29
Publication date: 2014-01-03
Also published as: CN103621008A; ES2644593T3; EP2860906A1; US9628461B2; EP2860906A4; EP2860906B1; US20150106882A1

Abstract

本发明实施例提供一种身份认证方法及装置，该身份认证方法包括：浏览器内核单元根据选择的用户数字证书，生成携带有选择的用户数字证书的登录请求，将登录请求发送给应用服务器；浏览器内核单元接收应用服务器根据选择的数字证书进行身份认证之后所返回的指示认证成功的响应，从响应中提取网页文件，对网页文件进行解析，生成网页并发送给浏览器界面单元；浏览器界面单元对网页进行显示。本发明实施例提供的身份认证方法及装置，提高了身份认证的便捷性和安全性。

Description

身份认证方法及装置

技术领域本发明实施例涉及网络技术，尤其涉及一种身份认证方法及装置。背景技术

Web (网页）应用为使用浏览器所支持的语言编写的、依赖于浏览器作为运行和展现环境的应用程序。用户在使用 Web应用时，为了保证网络系统资源使用的安全性，通常需要对用户进行身份认证，以使合法用户以合法的权限访问网络系统的资源。

现有技术中，通常通过用户输入的用户名和密码对用户进行身份认证，用户需要记住用户名和密码，而且，密码在传输过程中容易被第三方截获，安全性不高，而且输入密码也比较麻烦，不够方便。发明内容

本发明实施例提供一种身份认证方法及装置，以提高身份认证的便捷性和安全性。

本发明实施例提供一种身份认证方法，包括：

浏览器内核单元根据选择的用户数字证书，生成携带有所述选择的用户数字证书的登录请求，将所述登录请求发送给应用服务器；

所述浏览器内核单元接收所述应用服务器根据所述选择的数字证书进行身份认证之后所返回的指示认证成功的响应，从所述响应中提取网页文件，对所述网页文件进行解析，生成网页并发送给浏览器界面单元；

所述浏览器界面单元对所述网页进行显示。

本发明实施例提供一种身份认证装置，包括浏览器内核单元和浏览器界面单元；

浏览器内核单元用于根据选择的用户数字证书，生成携带有所述选择的用户数字证书的登录请求，将所述登录请求发送给应用服务器，以及接收所述应用服务器根据所述选择的数字证书进行身份认证之后所返回的指示认证成功的响应，从所述响应中提取网页文件，对所述网页文件进行解析，生成网页并发送给浏览器界面单元；

所述浏览器界面单元用于对所述网页进行显示。

由上述技术方案可知，本发明实施例提供的身份认证方法及装置，浏览器内核单元根据选择的用户数字证书，生成携带有选择的用户数字证书的登录请求，将登录请求发送给应用服务器，浏览器内核单元接收应用服务器发送的用以指示认证成功的响应，从响应中提取网页文件，对网页文件进行解析，生成网页并发送给浏览器界面单元，浏览器界面单元对网页进行显示。通过用户数字证书进行身份认证，用户无需记住用户名和密码，而且可以避免密码在传输过程中被截获，提高了身份认证的便捷性和安全性。附图说明

施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图 1为本发明实施例提供的第一种身份认证方法流程图；

图 2为本发明实施例提供的第二种身份认证方法流程图；

图 3为本图 2所示步骤 204实现方法流程图；

图 4为本发明实施例提供的一种身份认证信令图；

图 5为本发明实施例提供的第三种身份认证方法流程图；

图 6为本发明实施例提供的另一种身份认证信令图；

图 7为本发明实施例提供的第四种身份认证方法流程图；

图 8为本发明实施例提供的再一种身份认证信令图；

图 9为本发明实施例提供的第五种身份认证方法流程图；

图 10为本发明实施例提供的一种身份认证系统结构示意图；

图 1 1为本发明实施例提供的另一种身份认证系统结构示意图。具体实施方式为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

图 1为本发明实施例提供的第一种身份认证方法流程图。如图 1所示，本实施例提供的身份认证方法具体可以应用于用户通过浏览器使用 Web应用时对用户身份的认证过程，可以通过设置有浏览器的身份认证装置来执行。该身份认证装置可以为个人计算机、笔记本电脑、平板电脑和智能手机等设备。

本实施例提供的身份认证方法具体包括：

步骤 101、浏览器内核单元根据选择的用户数字证书，生成携带有所述选择的用户数字证书的登录请求，将所述登录请求发送给应用服务器；

步骤 102、所述浏览器内核单元接收所述应用服务器根据所述选择的数字证书进行身份认证之后所返回的指示认证成功的响应，从所述响应中提取网页文件，对所述网页文件进行解析，生成网页并发送给浏览器界面单元；步骤 103、所述浏览器界面单元对所述网页进行显示。

具体地，用户首先注册为 Web应用的合法用户， Web应用向该用户的客户端分发相应的用户数字证书，该用户数字证书存储在身份认证装置中。具体地，用户数字证书可以利用公钥体制，即利用一对互相匹配的密钥进行加密和解密。在网络传输的过程当中，只有公钥会被传输，私钥则只保存在用户本地。因此即使截获了用户数字证书，也无法对其进行解密而获取用户数字证书的真正的数据。当用户通过多个用户身份进行注册时，每个用户身份都有各自对应的用户数字证书，可以用 WebID (用户在网页中的身份标识)对用户身份进行标识，以实现用户身份的唯一性。用户数字证书中可以包括 WebID, 证书发布者、证书类型、证书公钥和数字签名算法等信息。当用户需要以某个用户身份进行登录时，可以选择该用户身份对应的用户数字证书，字证书。

浏览器内核单元中具体设置有浏览器内核程序，浏览器内核单元根据该选择的用户数字证书，生成携带有选择的用户数字证书的登录请求，该登录请求用以指示请求对该用户数字证书对应的用户身份进行登录处理，该登录请求具体为 HTTP ( HyperText Transfer Protocol, 超文本传输协议 ) GET (获取）请求。浏览器内核单元向该 Web应用对应的应用服务器发送该登录请求，应用服务器接收该登录请求，对登录请求中的用户数字证书进行验证。

具体地，应用服务器对该用户数字证书进行验证的方式可以包括以下两种：

一种实现方式，应用月良务器可以通过 SPARQL ( Simple Protocol and RDF Query Language )方式向对应的认证服务器发起查询请求，查询请求可以携带有该用户数字证书中的几个关键参数，例如 WebID,证书类型和证书公钥等，认证服务器根据上述几个关键参数进行查询，当认证服务器中存储的某个用户数字证书的参数与上述查询过程中携带的几个关键参数都相同，则查询结果为真，身份认证成功；当认证服务器中存储的某个用户数字证书的参数与上述查询过程中携带的几个关键参数都不相同或者不完全相同，身份认证失败。

另一种实现方式，应用服务器通过 HTTPS ( Hypertext Transfer Protocol over Secure Socket Layer, 安全传输的 HTTP消息 ) GET请求获取认证服务器上保存的与该 webID对用的用户数字证书。应用服务器将接收到的登录请求中携带的用户数字证书和从认证服务器上获取到的用户数字证书进行匹配，若两个用户数字证书中的参数全部相同，即匹配成功，则用户身份认证成功，若两个用户数字证书中的参数全部不相同或者不完全相同，则身份认证失败。

若用户身份认证成功，则向浏览器内核单元发送用以指示认证成功的响应，该响应中携带有与该 Web应用对应的网页文件，该指示认证成功的响应具体可以为 HTTP 200响应。浏览器内核单元从该响应中提取网页文件，对该网页文件进行解析，执行该网页文件，并进行相应的渲染，将最终的网页通过浏览器界面单元进行显示，以为用户提供相应的 Web应用。网页文件具体可以包括超文本标记语言（ Hypertext Markup Language , 简称 HTML )文件、 javascript脚本文件和级联样式表 ( Cascading Style Sheet, 简称 CSS )文件等。浏览器界面单元中设置有浏览器界面程序。当用户身份认证失败时，应用良务器也向浏览器内核单元返回用以指示认证失败的响应，该指示认证失败的响应具体可以为 HTTP 403响应。

本实施例提供的身份认证方法，浏览器内核单元根据选择的用户数字证书，生成携带有选择的用户数字证书的登录请求，将登录请求发送给应用服务器，浏览器内核单元接收应用服务器发送的用以指示认证成功的响应，从响应中提取网页文件，对网页文件进行解析，生成网页并发送给浏览器界面单元，浏览器界面单元对网页进行显示。通过用户数字证书进行身份认证，用户无需记住用户名和密码，而且可以避免密码在传输过程中被截获，提高了身份认证的便捷性和安全性。

图 2为本发明实施例提供的第二种身份认证方法流程图。如图 2所示，在本实施例中，在图 1 所述实施例的步骤 101 , 浏览器内核单元根据选择的用户数字证书，生成携带有所述选择的用户数字证书的登录请求之前，所述方法进一步还可以包括如下步骤：

步骤 201、所述浏览器内核单元检测登录触发事件，将所述登录触发事件发送给 Web应用单元；

步骤 202、所述 Web应用单元根据所述登录触发事件确定登录触发操作对应的网址，将所述网址发送给所述浏览器内核单元；向所述应用服务器发送访问请求；

步骤 204、所述浏览器内核单元接收所述应用服务器根据所述访问请求所返回的需要身份认证信息，并且根据所述需要身份认证指示信息确定所述选择的用户数字证书。

具体地， Web应用单元中设置有 Web应用。在一种应用场景下，用户在通过浏览器使用 Web应用时，在访问到的网络资源不需要进行身份认证时，并不需要登录。当用户访问到的网络资源需要进行身份认证时，才需要用户提供用户数字证书以进行身份认证。

登录触发事件具体为触发登录操作的事件，例如，用户在浏览器界面单元所展示的网页中点击包含超链接的文字、按鈕或图片时，会产生用户点击事件，点击事件中具体携带有用户所点击的文字、按鈕或图片的标识，浏览器界面单元将该用户点击事件上报给浏览器内核单元，该用户点击事件可以作为登录触发事件，此时，触发登录操作可以是点击操作，触发登录操作所对应的网址可以是该点击操作所链接的网址。登录触发事件还可以为网页自动跳转、视频播放到一定长度或用户执行拷贝操作等等。浏览器内核单元检测到该登录触发事件时，将登录触发事件发送给 Web应用单元。 Web应用单元根据登录触发事件确定登录触发操作对应的网址，将该网址发送给浏览器内核单元，浏览器内核单元生成携带有该网址的访问请求，并将访问请求发送给应用服务器。访问请求具体可以为 HTTP GET请求。应用服务器根据访问请求确定用户访问的网络资源的安全性、重要性和隐私性，若判断获知用户请求访问的网络资源需要对用户进行身份认证，则向浏览器内核单元发送需要身份认证指示信息。浏览器内核单元根据该需要身份认证指示信息确定选择的用户数字证书。

该需要身份认证指示信息中还可以携带有身份认证限定参数，该身份认证限定参数可以包括以下内容：

Issuer: 发行机构，即证书发布者；

Certificate— types: 证书类型，可以是 RSA key ( RSA公钥加密算法）、 DSA key ( Digital Signature Algorithm key, DSA公钥力口密算法）、 RSA static

DH( RSA静态 Diffie-Hellman公钥加密算法） key或 DSA static DH key( DSA 静态

选，以确定符合该身份认证限定参数的用户数字证书。

图 3为图 2所示步骤 204实现方法流程图。如图 3所示，在本实施例中，在本实施例中，图 2所述实施例的步骤 204, 所述浏览器内核单元接收所述应用服务器根据所述访问请求所返回的需要身份认证信息，并且根据所述需要身份认证指示信息确定所述选择的用户数字证书，具体可以包括如下步骤，如图 3所示：

步骤 2041、所述浏览器内核单元根据所述需要身份认证指示信息生成需要身份认证事件，将所述需要身份认证事件上报给所述 Web应用单元；

步骤 2042、所述 Web应用单元接收所述需要身份认证事件，调用所述浏览器内核单元的认证对象的登录接口；步骤 2043、所述浏览器内核单元获取本地存储的默认的用户数字证书，确定所述默认的用户数字证书为所述选择的用户数字证书，或者所述浏览器内核单元获取本地存储的多个待选择的用户数字证书，根据接收到的选择指示信息从所述多个待选择的用户数字证书中确定一个用户数字证书为所述选择的用户数字证书。

具体地，上述需要身份认证指示信息具体可以为安全传输层协议 ( Transport Layer Security, 简称 TLS )请求，浏览器内核单元接收该需要身份认证指示信息，若该需要身份认证指示信息中携带有身份认证限定参数，则从该需要身份认证指示信息解析出身份认证限定参数。检查 Web应用单元是否预先建立了对用户身份认证事件的监听，如果有，则浏览器内核单元向 Web应用单元上报需要身份认证事件，该需要身份认证事件中可以携带有身份认证限定参数。

是否包括登录功能子对象，该登录功能子对象具体可以为 weblDAthentication , 如果检测到该 window. weblDAthentication , 调用浏览器内核单元中提供认证对象的登录接口，该认证对象具体可以为 weblDAthentication对象，若认证对象未创建，可以先创建该认证对象，该登录接口具体为 doLogin接口。若存在身份认证限定参数，则可以将身份认证限定参数作为参数通过该登录接口传入浏览器内核单元。 Web应用单元也可以根据 Web应用内部逻辑检测是否需要对用户进行身份认证。

doLogin接口具体可以通过以下接口函数实现：

interface weblDAthentication： EventTarget {

attribute DOMString webID;〃用户 webID

readonly [DC] attribute DCList;//该 webID对应的数字证书列表 void doLogin(AuthContext context);〃用户身份认证接口 void doLogout(DOMString webID);//用户登出接口

void doQueryUserstatus(DOMString webID);〃用户登录状态查询接

〃回调接口 void attribute Function? onLogin;〃用户身份认证回调接口

void attribute Function? onLogout;〃用户登出回调接口

void attribute Function? onQueryUserstatus;〃用户登录状态查询回调接口

}；

浏览器内核单元接收到 webIDAthentication::doLogin接口调用时，根据预设的用户配置或系统策略，检查浏览器内核单元是否需要自动为用户选择某个用户数字证书用于此次身份认证。用户配置过程具体可以为浏览器内核单元根据用户配置将在需要用户数字证书进行身份认证时，自动为用户选择预先设置的用户数字证书，或者提示用户手动选择。当用户没有进行配置时，浏览器内核单元可以根据系统策略，例如当本地存储的用户数字证书只有一个时，将该用户数字证书作为默认的用户数字证书进行身份认证，当本地存储的用户数字证书为多个时，可以将所有的用户数字证书显示给用户，以便用户选择。

如果需要进行自动选择，浏览器内核单元获取默认的用户数字证书，若在 doLogin接口被调用时传入了身份认证限定参数，则还可以检查该默认的用户数字证书是否符合身份认证限定参数的要求。确认使用该默认的用户数字证书进行此次身份认证，不再需要通过数字证书管理器界面与用户进行显式交互，可以极大地缩短整体流程的处理时间，提高处理效率。

如果不需要进行自动选择，浏览器内核单元获取多个待选择的用户数字证书，形成用户数字证书列表。若传入了身份认证限定参数，还可以根据身的用户数字证书列表。并弹出数字证书管理器界面，列出所有可用的用户数字证书，提示用户从其中选择某个用户数字证书用于此次网站访问的身份认证。这种处理方式可方便用户为对不同 Web应用使用不同用户身份进行登录。

在具体实现过程中，上述数字证书管理器界面可以是浏览器内核单元内部实现的数字证书管理器的操作界面，如果浏览器内核单元自行实现数字证书管理器，浏览器内核单元需要通过操作系统提供的 CAPICOM ( Cryptographic API Component Object Model,密码接口组件对像模型）接口，读取本机所保存的数字证书并在数字证书管理器界面中进行展示，在这种实现方式下，浏览器可以在启动时就进行用户数字证书的读取，也可以在处理某个具体应用和页面时，触发用户数字证书的读取，以提供更高的处理效率。数字证书管理器也可以为操作系统所提供的数字证书管理器。

如果 Web应用单元预先建立对用户数字证书选择事件的监听，浏览器内核单元向 Web应用上报数字证书选择事件，并通过数字证书选择事件上报接指示浏览器内核单元向应用服务器发送登录请求。

在步骤 204之后，执行步骤 205、浏览器内核单元根据选择的用户数字证书，生成携带有所述选择的用户数字证书的登录请求，将所述登录请求发送给应用服务器；

步骤 206、所述浏览器内核单元接收所述应用服务器根据所述选择的数字证书进行身份认证之后所返回的指示认证成功的响应，从所述响应中提取网页文件，对所述网页文件进行解析，生成网页并发送给浏览器界面单元；步骤 207、所述浏览器界面单元对所述网页进行显示。

本实施例中的步骤 205-207 的具体实现可以参图 1 所述实施例的步骤

101-103的相关描述。

在本实施例的步骤 206中，所述浏览器内核单元接收所述应用服务器根据所述选择的数字证书进行身份认证之后所返回的指示认证成功的响应之后，所述浏览器内核单元从所述响应中提取网页文件之前，所述方法进一步还可以包括：

所述浏览器内核单元从所述响应中解析出认证成功的认证结果，将所述认证结果通过认证结果事件或回调函数发送给所述 Web应用单元。

浏览器内核单元从响应中解析出认证成功的认证结果，将该认证结果通过认证结果事件上报或调用回调函数的方式传递给 Web应用单元。如果 Web 应用单元预先建立对认证结果事件的监听，浏览器内核单元通过认证结果事件上报方式将认证结果通知给 Web应用单元，无需传递函数地址，具有较高的运行效率。如果 Web应用单元预先实现了回调接口 onLogin, 浏览器内核单元可以通过调用该回调函数 onLogin方式，将认证结果传递给 Web应用单元。

当然，本步骤 207的具体过程和图 1所述实施例的步骤 103类似，即步骤 103的具体实现可以参考该步骤 207。

图 4为本发明实施例提供的一种身份认证信令图。以下结合图 4对本实施例的身份认证方法做详细说明。

401、用户在浏览器界面单元显示的网页中点击包含超链接的文字、按鈕或图片；

402、浏览器界面单元向浏览器内核单元上报用户点击事件；

403、浏览器内核单元检测到该用户点击事件，将该用户点击事件作为登录触发事件上报给 Web应用单元；

404、 Web应用单元确定登录触发事件所对应的网址，将该网址发送给浏览器内核单元；

405、浏览器内核单元根据该网址向应用服务器发送访问请求；

406、应用服务器确定需要对用户进行身份认证，向浏览器内核单元发送需要身份认证指示信息，该身份认证指示信息中可以携带有身份认证限定参数；

407、浏览器内核单元根据该需要身份认证指示信息生成需要身份认证事件，将需要身份认证事件上报给 Web应用单元；

408、 Web 应用单元根据该需要身份认证事件，判断浏览器 DOM 中 window对象是否包括登录功能子对象，若检测到该登录功能子对象，则执行 409;

409、调用浏览器内核单元中提供的认证对象的登录接口；

410、浏览器内核单元检查是否需要自动为用户选择数字证书，若不需要自动选择，调用数字证书管理界面，用户通过浏览器界面单元中显示的用户数字证书列表选择用户数字证书，将选择指示信息发送给浏览器内核单元；

411、浏览器内核单元向 Web应用单元上报数字证书选择事件；

412、 Web应用单元根据该数字证书选择事件将修改的登录参数发送给浏览器内核单元；

413、浏览器内核单元向 Web应用单元返回修改登录参数响应；

414、浏览器内核单元向应用服务器发送登录请求，该登录请求中携带有选择的用户数字证书；

415、应用服务器向认证服务器以 SPARQL查询用户身份，并接收查询结果，判断用户身份认证是否成功，若成功，则执行 416, 若失败，则向浏览器内核单元发送身份认证失败响应（图中未示出）；

416、应用服务器向浏览器内核单元返回身份认证成功响应，该身份认证成功响应中携带有网页文件，该网页文件具体为 html/css/js文件；

417、浏览器内核单元通过回调接口将登录结果传递给 Web应用单元；

418、浏览器内核单元解析该网页文件；

419、浏览器界面单元对解析出的网页进行显示。

在上述实现方式中，浏览器内核单元对应用服务器发送的需要身份认证指示信息和响应均进行解析处理，可以降低 Web应用单元的处理复杂度。当然，对应用服务器发送的需要身份认证指示信息和响应进行解析的处理流程也可以由 Web应用单元来实现。

图 5为本发明实施例提供的第三种身份认证方法流程图。如图 5所示，则在另一种实现方式中，该实施例的步骤 501-503 的具体实现可以分别参照图 2的步骤 201-203 , 在此不再赘述。

该实施例也包括图 2所述实施例的步骤 204, 即所述浏览器内核单元根据所述需要身份认证指示信息确定选择的所述用户数字证书，具体可以包括如下步骤：

步骤 504、所述浏览器内核单元根据所述需要身份认证指示信息生成需要身份认证事件，将所述需要身份认证事件上报给所述 Web应用单元；步骤 505、所述 Web应用单元根据所述需要身份认证指示信息，调用所述浏览器内核单元的数字证书管理对象的数字证书选择接口；

步骤 506、所述浏览器内核单元获取本地存储的默认的用户数字证书，确定所述默认的用户数字证书为所述选择的用户数字证书，或者所述浏览器内核单元获取本地存储的多个待选择的用户数字证书，根据接收到的选择指示信息从所述多个待选择的用户数字证书中确定一个用户数字证书为所述选择的用户数字证书。

具体地，需要身份认证指示信息具体为 HTTP响应。浏览器内核单元接收该需要身份认证指示信息，根据该需要身份认证指示信息将需要身份认证事件上报给 Web应用单元，具体可以通过调用所述 Web应用单元的超文本传输协议请求接口，将该需要身份认证指示信息传递给所述 Web应用单元，超文本传输协议请求接口具体为 Web 应用程序架构 AJAX 中的 XMLHttpRequest接口。 Web应用单元根据该需要身份认证指示信息确定需要对用户进行身份认证，若存在身份认证限定参数， Web应用单元还可以从需要身份认证指示信息解析出身份认证限定参数。

Web应用单元 web应用判断浏览器 DOM中 window对象是否包括数字证书管理子对象，该数字证书管理子对象具体为 digitalCertificateMagmt, 如果检测到该 window. digitalCertificateMagmt , 则创建数字证书管理对象，即 digitalCertificateMagmt对象，调用浏览器内核单元提供的数字证书选择接口，若存在身份认证限定参数，则还可以将身份认证限定参数作为参数通过该登录接口传入浏览器内核单元，该数字证书选择接口具体为 selectDC接口。 Web 应用单元也可以根据 Web应用内部逻辑检测是否需要对用户进行身份认证。

selectDC接口具体可以通过以下接口函数实现：

interface digitalCertificateMagmt: EventTarget {

readonly [DC] attribute DCList;

//选择数字证书函数

void selectDC (AuthContext context);

〃回调函数

void attribute Function? onselectDC;〃选择数字证书回调函数

}；

浏览器内核单元接收到 digitalCertificateMagmt:： selectDC接口调用，根据预设的用户配置或系统策略，检查浏览器内核单元是否需要自动为用户选择某个数字证书用于此次身份认证。

如果需要进行自动选择，浏览器内核单元获取默认的用户数字证书，若在 selectDC接口被调用时传入了身份认证限定参数，则还可以检查该默认的用户数字证书是否符合身份认证限定参数的要求。确认使用该默认的用户数字证书进行此次身份认证，不再需要通过数字证书管理器界面与用户进行显式交互，可以极大地缩短整体流程的处理时间，提高处理效率。

如果不需要进行自动选择，浏览器内核单元获取多个待选择的用户数字证书，形成用户数字证书列表。若传入了身份认证限定参数，还可以根据身的用户数字证书列表。并弹出数字证书管理器界面，列出所有可用的用户数字证书，提示用户从其中选择某个用户数字数据证书用于此次网站访问的身份认证。选择指示信息即为用户输入的用于选择某个用户数字证书的指示信息。这种处理方式可方便用户为对不同 Web应用使用不同用户身份进行登录。

在具体实现过程中，上述数字证书管理器界面可以是浏览器内核单元内部实现的数字证书管理器的操作界面，如果浏览器内核单元自行实现数字证书管理器，浏览器内核单元需要通过操作系统提供的 CAPICOM接口，读取本机所保存的数字证书并在数字证书管理器界面中进行展示，在这种实现方式下，浏览器可以在启动时就进行用户数字证书的读取，也可以在处理某个具体应用和页面时，触发用户数字证书的读取，以提供更高的处理效率。数字证书管理器也可以为操作系统所提供的数字证书管理器。

图 5 所示实施例中的步骤 501-503 可以参照图 2 所示实施例中的步骤 201-203 , 以及图 5所述实施例的步骤 507-509可以参照图 2所示实施例中的步骤 205-207的相关描述，在此不再赘述。

在本实施例的步骤 508中，所述浏览器内核单元接收所述应用服务器根据所述选择的用户数字证书进行身份认证之后所返回的指示认证成功的响应之后，所述浏览器内核单元从所述响应中提取网页文件之前，所述方法进一步还可以包括：接口，将所述响应发送给所述 Web应用单元；

所述 Web应用单元从所述响应中解析出认证成功的认证结果。

超文本传输协议请求接口具体为 Web应用程序架构 AJAX( Asynchronous JavaScript and XML ) 中的 XMLHttpRequest接口。浏览器内核单元通过调用该超文本传输协议请求接口，将应用服务器发送的响应发送给所述 Web应用单元， Web应用单元从响应中解析出认证成功的认证结果。

图 6为本发明实施例提供的另一种身份认证信令图。以下结合图 6对本实施例的身份认证方法做详细说明。

601、用户在浏览器界面单元显示的网页中点击包含超链接的文字、按鈕或图片；

602、浏览器界面单元向浏览器内核单元上报用户点击事件；

603、浏览器内核单元检测到该用户点击事件，将该用户点击事件作为登录触发事件上报给 Web应用单元；

604、 Web应用单元确定登录触发事件所对应的网址，将该网址发送给浏览器内核单元；

605、浏览器内核单元根据该网址向应用服务器发送访问请求；

606、应用服务器确定需要对用户进行身份认证，向浏览器内核单元发送需要身份认证指示信息，该身份认证指示信息中可以携带有身份认证限定参数；

607、浏览器内核单元根据该需要身份认证指示信息生成需要身份认证事件，将需要身份认证事件上报给 Web应用单元；

608、 Web 应用单元根据该需要身份认证事件，判断浏览器 DOM 中 window对象是否包括数字证书管理子对象，若检测到该数字证书管理子对象，则执行 609;

609、调用浏览器内核单元中提供的数字证书选择接口；

610、浏览器内核单元检查是否需要自动为用户选择数字证书，若不需要自动选择，调用数字证书管理界面，用户通过浏览器界面单元中显示的用户数字证书列表选择用户数字证书，将选择指示信息发送给浏览器内核单元；

611、浏览器内核单元通过回调接口向 Web应用单元传输用户数字证书选择结果；

612、 Web应用单元调用超文本传输协议请求接口发送登录请求给浏览器单核单元；

613、浏览器内核单元向应用服务器发送登录请求，该登录请求中携带有选择的用户数字证书；

614、应用服务器从认证服务器获取该用户的用户数字证书，接收认证服务器发送的用户数字证书，进行用户数字证书匹配，若匹配成功，则执行 615 , 若匹配失败，则向浏览器内核单元返回 HTTP身份认证失败响应（图中未示出）；

615、应用服务器向浏览器内核单元返回 HTTP身份认证成功响应，该身份认证成功响应中携带有网页文件，该网页文件具体为 html/css/js文件；

616、浏览器内核单元通过超文本传输协议响应接口将身份认证成功响应传递给 Web应用单元；

617、浏览器内核单元解析该网页文件；

618、浏览器界面单元对解析出的网页进行显示。

图 7为本发明实施例提供的第四种身份认证方法流程图。如图 7所示，在另一种应用场景下，用户在使用 Web应用时登录，在图 1所述实例的步骤 101 , 浏览器内核单元根据选择的用户数字证书，生成携带有所述选择的用户数字证书的登录请求，将所述登录请求发送给应用服务器之前，所述方法进一步还可以包括如下步骤：

步骤 701、所述浏览器界面单元接收待访问的网址信息和身份标识，将所述待访问的网址信息和所述身份标识发送给所述浏览器内核单元；

图 1 所述实施例中的步骤 101 , 浏览器内核单元根据选择的用户数字证书，生成携带有所述选择的用户数字证书的登录请求，将所述登录请求发送给应用服务器，在本实施例中可以具体包括：

所述浏览器内核单元根据所述身份标识确定所述选择的用户数字证书，生成携带有所述选择的用户数字证书的登录请求，将所述登录请求发送给所述应用服务器，即本实施例的步骤 702。

用户在浏览器界面单元显示的地址栏中输入一个网址，该网址即为待访问的网址信息，浏览器界面单元为用户提供 WebID列表，用户从 WebID列表中选择一个 WebID ,即该用户希望用该 WebID所对应的用户身份访问该网址所对应的网页，该 WebID即为身份标识。浏览器界面单元将该待访问的网址信息和身份标识发送给浏览器内核单元。

浏览器内核单元可以通过操作系统提供的 CAPICOM接口，提供给用户身份选择界面，以选择本机所保存的数字证书。该身份选择界面也可以为操作系统所提供的数字证书管理器对应的数字证书管理器界面。

浏览器内核单元也根据用户配置或系统策略，浏览器内核单元自动为用户选择某个用户身份用于此次身份认证，不再需要通过可用 WebID列表或数字证书管理器界面与用户进行显式交互，可以极大地缩短整体流程的处理时间，提高处理效率。

本实施例的步骤 703和 704可以参照图 1所述实施例的步骤 102和 103 的相关描述，在此不再赘述。

图 8为本发明实施例提供的再一种身份认证信令图。以下结合图 8对本实施例的身份认证方法做详细说明。

801、浏览器界面单元向浏览器内核单元发送用户输入的网址和 WebID;

802、浏览器内核单元根据该 WebID确定用户数字证书，将携带有该用户数字证书的登录请求发送给应用服务器，具体地，浏览器内核单元可以对网址和时间戳用用户私钥进行加密，并在登录请求中作为参数携带；

803、应用服务器从认证服务器获取该用户的用户数字证书，接收认证服务器发送的用户数字证书，进行用户数字证书匹配，若匹配成功，则执行 804, 若匹配失败，则向浏览器内核单元返回身份认证失败响应（图中未示出），具体地，应用服务器收到登录请求后，使用用户公钥进行解密，如果解密得到的网址与用户正在访问的网址相匹配，则可确认该登录请求确实由浏览器代理用户发出，否则可能由第三方通过消息截获手段进行伪造；

804、应用服务器向浏览器内核单元返回身份认证成功响应，该身份认证成功响应中携带有网页文件，该网页文件具体为 html/css/js文件；

805、浏览器内核单元解析该网页文件；

806、浏览器界面单元对解析出的网页进行显示。

用户对 Web应用的使用过程中，可以对用户状态进行检测，以避免对已经登录的用户重复进行身份认证。

图 9为本发明实施例提供的第五种身份认证方法流程图。如图 9所示，具体地，本实施例与图 1所述实施例不同之处在于，在图 1所述实施例的步骤 101 , 浏览器内核单元根据选择的用户数字证书，生成携带有所述选择的用户数字证书的登录请求之前，本实施例所述方法还可以包括如下步骤：步骤 901、所述浏览器内核单元检测登录触发事件，将所述登录触发事件发送给 Web应用单元；

步骤 902、所述 Web应用单元根据所述登录触发事件确定登录触发操作对应的网址，若判断获知对所述网址的访问需要身份认证，则获取用户状态，若所述用户状态为未登录状态，则调用所述浏览器内核单元的认证对象的登录接口；

步骤 903、所述浏览器内核单元获取默认的用户数字证书，确定所述默认的用户数字证书为所述选择的用户数字证书，或所述浏览器内核单元获取多个待选择的用户数字证书，根据接收到的选择指示信息从所述多个待选择的用户数字证书确定一个为所述选择的用户数字证书。

可以由 Web应用单元来判断是否需要对用户进行身份认证。 Web应用单元根据登录触发事件确定登录触发操作对应的网址，该登录触发事件具体可以参照上述实施例中的登录触发事件的相关描述，此不再赘述。 Web应用单元根据该网址确定用户访问的网络资源的安全性、重要性和隐私性。若判断获知对网址的访问需要身份认证，则进一步获取用户状态，用户状态具体可以为登录状态或未登录状态。若用户状态为未登录状态，则 Web应用单元调用浏览器内核单元的认证对象的登录接口，登录接口调用过程以及浏览器内核单元确定选择的用户数字证书的过程可以参照上述实施例的相关描述，此不再赘述。

本实施例的步骤 904-906的相关描述可以参照图 1所述实施例中的步骤 101-103 , 在此不再赘述。

若步骤 902中，获取到的用户状态为登录状态，则在步骤 905中，所述浏览器内核单元从所述响应中提取网页文件之前，所述方法进一步包括：所述 Web应用单元将所述网址发送给所述浏览器内核单元；

所述浏览器内核单元根据所述网址向所述应用服务器发送访问请求，接收所述应用服务器根据所述访问请求返回的响应。

具体地，若用户已经登录，则在用户后续对网页的访问过程中，可以不用进行身份认证， Web应用单元直接将网址发送给浏览器内核单元，以使浏览器内核单元根据该网址向应用服务器发送访问请求，应用服务器接收到该访问请求后，向浏览器内核单元返回携带有请求的网页文件的响应。

在本实施例中，所述 Web应用单元获取所述选择的用户数字证书所指示的用户的用户状态，具体可以包括如下步骤：

所述 Web应用单元通过调用所述浏览器内核单元的用户登录状态查询接口获取所述选择的用户数字证书所指示的用户的用户状态。 Web 应用单元可以调用浏览器内核提供的用户登录状态查询接口 weblDAthentication:： doQueryUserstatus, 通过参数指定要查询的 WeblD, 菝取该 WeblD 当前用户状态。 Web 应用单元可以预先实现了回调接口 onQueryUserstatus , 则浏览器内核单元可以通过调用该回调函数 onQueryUserstatus方式将用户状态通知给 Web应用单元。如果用户已经登录，浏览器内核单元返回用户状态为 online。如果用户尚未登录，浏览器内核单元返回用户状态为 offline。 Web应用单元还可以预先建立对用户当前登录状态事件的监听，浏览器内核单元通过事件上报方式将用户状态通知给 Web应用单元。

在本实施例中，用户可以通过点击 "登出" 按鈕或关闭 Web应用对应的网页实现登出。具体地， Web应用单元调用浏览器内核单元提供的用户登出 weblDAthentication:: doLogout接口，通过参数指定要登出的 WeblD。浏览器内核单元向应用服务器发出 HTTP请求用于用户登出，并接收应用服务器返回的 HTTP响应。浏览器内核单元从 HTTP响应中解析出用户登出的结果， Web应用单元可以预先建立对用户登出事件的监听，浏览器内核单元通过事件上报方式将用户登出的结果通知给 Web应用， Web应用单元还可以预先实现了回调接口 onLogout,浏览器内核单元通过调用回调函数 onLogout方式将用户登出的结果通知给 Web应用。

图 10为本发明实施例提供的一种身份认证系统结构示意图。如图 10所示，本实施例提供的身份认证系统具体包括身份认证装置 1001和应用服务器 1002,该身份认证装置 1001具体可以实现本发明任意实施例提供的身份认证方法的各个流程，此不再赘述。本实施例提供的身份认证装置 1001具体包括浏览器内核单元 10011和浏览器界面单元 10012。浏览器内核单元 10011用于根据选择的用户数字证书，生成携带有所述选择的用户数字证书的登录请求，将所述登录请求发送给应用服务器 1002, 以及接收所述应用服务器 1002 所述响应中提取网页文件，对所述网页文件进行解析，生成网页并发送给浏览器界面单元 10012。所述浏览器界面单元 10012用于对所述网页进行显示。

本实施例提供的身份认证装置 1001 , 浏览器内核单元 10011根据选择的用户数字证书，生成携带有选择的用户数字证书的登录请求，将登录请求发送给应用服务器 1002, 浏览器内核单元 10011接收应用服务器 1002发送的用以指示认证成功的响应，从响应中提取网页文件，对网页文件进行解析，生成网页并发送给浏览器界面单元 10012, 浏览器界面单元 10012对网页进行显示。通过用户数字证书进行身份认证，用户无需记住用户名和密码，而且可以避免密码在传输过程中被截获，提高了身份认证的便捷性和安全性。

图 11 为本发明实施例提供的另一种身份认证系统结构示意图。如图 11 所示，本实施例提供的身份认证系统具体包括身份认证装置 111和应用服务器 112, 本实施例提供的身份认证装置 111具体包括浏览器内核单元 1111和浏览器界面单元 1112。在一种应用场景下，用户在通过浏览器使用 Web应用时，在访问到的网络资源不需要进行身份认证时，并不需要登录。当用户访问到的网络资源需要进行身份认证时，才需要用户提供用户数字证书以进行身份认证。用户在浏览器界面单元 1112所展示的网页中点击包含超链接的文字、按鈕或图片时，会产生用户点击事件。在本实施例中，与图 10所述实施例不同的是，本实施例中的身份认证装置 111 进一步包括： Web应用单元 1113。所述浏览器界面单元 1112进一步用于检测登录触发事件，将所述登录触发事件发送给 Web应用单元 1113 ,以及根据所述 Web应用单元 1113发送的所述网址向所述应用服务器 112发送访问请求，接收所述应用服务器 112 根据所述访问请求所返回的需要身份认证信息，并且根据所述需要身份认证指示信息确定所述选择的用户数字证书。所述 Web应用单元 1113用于根据所述登录触发事件确定登录触发操作对应的网址，将所述网址发送给所述浏览器内核单元 1111。

在本实施例中，所述浏览器内核单元 1111进一步用于根据所述需要身份认证指示信息生成需要身份认证事件，将所述需要身份认证事件上报给所述

Web应用单元 1113 , 以及获取本地存储的默认的用户数字证书，确定所述默认的用户数字证书为所述选择的用户数字证书，或所述浏览器内核单元 1111 获取本地存储的多个待选择的用户数字证书，根据接收到的选择指示信息从所述多个待选择的用户数字证书中确定一个用户数字证书为所述选择的用户数字证书。所述 Web应用单元 1113进一步用于接收所述需要身份认证事件，调用所述浏览器内核单元 11的认证对象的登录接口。

在本实施例中，所述浏览器内核单元 1111进一步用于从所述响应中解析出认证成功的认证结果，将所述认证结果通过认证结果事件或回调函数发送给所述 Web应用单元 1113。

在上述实现方式中，浏览器内核单元 1111对应用服务器 112发送的需要身份认证指示信息和响应均进行解析处理，可以降低 Web应用单元 1113的处理复杂度。当然，对应用服务器 112发送的需要身份认证指示信息和响应进行解析的处理流程也可以由 Web应用单元 1113来实现。则在另一种实现方式中：

所述浏览器内核单元 1111 进一步用于根据所述需要身份认证指示信息生成需要身份认证事件，将所述需要身份认证事件上报给所述 Web应用单元 1113 , 以及获取本地存储的默认的用户数字证书，确定所述默认的用户数字证书为所述选择的用户数字证书，或者所述浏览器内核单元 1111获取本地存储的多个待选择的用户数字证书，根据接收到的选择指示信息从所述多个待选择的用户数字证书中确定一个用户数字证书为所述选择的用户数字证书。所述 Web应用单元 1113进一步用于根据所述需要身份认证指示信息调用所述浏览器内核单元 1111的数字证书管理对象的数字证书选择接口。

在本实施例中，所述浏览器内核单元 1111进一步用于通过调用所述 Web 应用单元 1113的超文本传输协议请求接口，将所述响应发送给所述 Web应用单元 1113。所述 Web应用单元 1113进一步用于从所述响应中解析出认证成功的认证结果。

在另一种应用场景下，用户在使用 Web应用时登录，用户在浏览器界面单元 1112显示的地址栏中输入一个网址，该网址即为待访问的网址信息，浏览器界面单元 1112为用户提供 WebID列表，以供用户进行 WebID的选择。在本实施例中，所述浏览器界面单元 1112进一步用于接收待访问的网址信息和身份标识，将所述待访问的网址信息和所述身份标识发送给所述浏览器内核单元 1111。所述浏览器内核单元 1111 进一步用于根据所述身份标识确定所述选择的用户数字证书，生成携带有所述选择的用户数字证书的登录请求，将所述登录请求发送给所述应用服务器 112。

用户对 Web应用的使用过程中，可以对用户状态进行检测，以避免重复进行身份认证。在本实施例中，所述浏览器内核单元 1111进一步用于检测登录触发事件，将所述登录触发事件发送给 Web应用单元 1113 , 以及获取本地存储的默认的用户数字证书，确定所述默认的用户数字证书为所述选择的用户数字证书，或所述浏览器内核单元 1111获取本地存储的多个待选择的用户数字证书，根据接收到的选择指示信息从所述多个待选择的用户数字证书中确定一个用户数字证书为所述选择的用户数字证书。所述 Web应用单元 1113 进一步用于根据所述登录触发事件确定登录触发操作对应的网址，若判断获知对所述网址的访问需要身份认证，则获取所述选择的用户数字证书所指示的用户的用户状态，若所述用户状态为未登录状态，则调用所述浏览器内核单元 1111的认证对象的登录接口。

在本实施例中，若所述用户状态为登录状态，则所述 Web应用单元 1113 进一步用于将所述网址发送给所述浏览器内核单元 1111。所述浏览器内核单元 1111进一步用于根据所述网址向所述应用服务器 112发送访问请求，接收所述应用服务器 112根据所述访问请求返回的响应。

在本实施例中，所述 Web应用单元 1113进一步用于通过调用所述浏览器内核单元 1111 的用户登录状态查询接口获取所述选择的用户数字证书所指示的用户的用户状态。

本实施例提供的身份认证装置具体可以为个人计算机、笔记本电脑、平板电脑和智能手机等设置有处理器和存储器的设备，该身份认证装置上设置有浏览器和应用程序。浏览器和应用程序的相关指令均存储在存储器中，处理器调用存储器中的相关指令并执行，以生成最终的显示界面通过身份认证装置的显示器进行显示，分别实现浏览器内核单元、浏览器显示单元和 Web 应用单元的功能。

本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于一计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括： ROM、 RAM, 磁碟或者光盘等各种可以存储程序代码的介质。

最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。

Claims

权利要求书

1、一种身份认证方法，其特征在于，包括：

所述浏览器界面单元对所述网页进行显示。

2、根据权利要求 1所述的身份认证方法，其特征在于，浏览器内核单元根据选择的用户数字证书，生成携带有所述选择的用户数字证书的登录请求之前，所述方法进一步包括：

所述浏览器内核单元检测登录触发事件，将所述登录触发事件发送给

Web应用单元；

所述 Web应用单元根据所述登录触发事件确定登录触发操作对应的网址，将所述网址发送给所述浏览器内核单元；服务器发送访问请求；

所述浏览器内核单元接收所述应用服务器根据所述访问请求所返回的需要身份认证信息，并且根据所述需要身份认证指示信息确定所述选择的用户数字证书。

3、根据权利要求 2所述的身份认证方法，其特征在于，所述浏览器内核单元接收所述应用服务器根据所述访问请求所返回的需要身份认证信息，并且根据所述需要身份认证指示信息确定选择的所述用户数字证书，包括：所述浏览器内核单元根据所述需要身份认证指示信息生成需要身份认证事件，将所述需要身份认证事件上报给所述 Web应用单元；

所述 Web应用单元接收所述需要身份认证事件，调用所述浏览器内核单元的认证对象的登录接口；

所述浏览器内核单元获取本地存储的默认的用户数字证书，确定所述默认的用户数字证书为所述选择的用户数字证书，或者所述浏览器内核单元获取本地存储的多个待选择的用户数字证书，根据接收到的选择指示信息从所述多个待选择的用户数字证书中确定一个用户数字证书为所述选择的用户数字证书。

4、根据权利要求 2所述的身份认证方法，其特征在于，所述浏览器内核单元接收所述应用服务器根据所述访问请求所返回的需要身份认证信息，并且根据所述需要身份认证指示信息确定选择的所述用户数字证书，包括：所述浏览器内核单元根据所述需要身份认证指示信息生成需要身份认证事件，将所述需要身份认证事件上报给所述 Web应用单元；

所述 Web应用单元根据所述需要身份认证指示信息，调用所述浏览器内核单元的数字证书管理对象的数字证书选择接口；

5、根据权利要求 1或 2或 3所述的身份认证方法，其特征在于，所述浏览器内核单元接收所述应用服务器根据所述选择的数字证书进行身份认证之后所返回的指示认证成功的响应之后，所述浏览器内核单元从所述响应中提取网页文件之前，所述方法进一步包括：

6、根据权利要求 1或 2或 4所述的身份认证方法，其特征在于，所述浏览器内核单元接收所述应用服务器根据所述选择的数字证书进行身份认证之后所返回的指示认证成功的响应之后，所述浏览器内核单元从所述响应中提取网页文件之前，所述方法进一步包括：接口，将所述响应发送给所述 Web应用单元；

所述 Web应用单元从所述响应中解析出认证成功的认证结果。

7、根据权利要求 1所述的身份认证方法，其特征在于，浏览器内核单元根据选择的用户数字证书，生成携带有所述选择的用户数字证书的登录请求，将所述登录请求发送给应用服务器之前，所述方法进一步包括：所述浏览器界面单元接收待访问的网址信息和身份标识，将所述待访问的网址信息和所述身份标识发送给所述浏览器内核单元；

所述浏览器内核单元根据选择的用户数字证书，生成携带有所述选择的用户数字证书的登录请求，将所述登录请求发送给应用服务器，包括：

所述浏览器内核单元根据所述身份标识确定所述选择的用户数字证书，生成携带有所述选择的用户数字证书的登录请求，将所述登录请求发送给所述应用服务器。

8、根据权利要求 1所述的身份认证方法，其特征在于，浏览器内核单元根据选择的用户数字证书，生成携带有所述选择的用户数字证书的登录请求之前，所述方法进一步包括：

Web应用单元；

所述 Web应用单元根据所述登录触发事件确定登录触发操作对应的网址，若判断获知对所述网址的访问需要身份认证，则获取所述选择的用户数字证书所指示的用户的用户状态，若所述用户状态为未登录状态，则调用所述浏览器内核单元的认证对象的登录接口；

9、根据权利要求 8所述的身份认证方法，其特征在于，若所述用户状态为登录状态，则所述浏览器内核单元从所述响应中提取网页文件之前，所述方法进一步包括：

所述 Web应用单元将所述网址发送给所述浏览器内核单元；

10、根据权利要求 8所述的身份认证方法，其特征在于，所述 Web应用单元获取所述选择的用户数字证书所指示的用户的用户状态，包括：

所述 Web应用单元通过调用所述浏览器内核单元的用户登录状态查询接口获取所述选择的用户数字证书所指示的用户的用户状态。

11、一种身份认证装置，其特征在于：包括浏览器内核单元和浏览器界面单元；

所述浏览器界面单元用于对所述网页进行显示。

12、根据权利要求 11所述的身份认证装置，其特征在于，所述装置进一步包括： Web应用单元；

所述浏览器内核单元进一步用于检测登录触发事件，将所述登录触发事件发送给 Web应用单元，以及根据所述 Web应用单元发送的网址向所述应用服务器发送访问请求，接收所述应用服务器根据所述访问请求所返回的需要身份认证信息，并且根据所述需要身份认证指示信息确定所述选择的用户数字证书；

所述 Web应用单元用于根据所述登录触发事件确定登录触发操作对应的网址，将所述网址发送给所述浏览器内核单元。

13、根据权利要求 12所述的身份认证装置，其特征在于：

所述浏览器内核单元进一步用于根据所述需要身份认证指示信息生成需要身份认证事件，将所述需要身份认证事件上报给所述 Web应用单元，以及获取本地存储的默认的用户数字证书，确定所述默认的用户数字证书为所述选择的用户数字证书，或者所述浏览器内核单元进一步获取本地存储的多个待选择的用户数字证书，根据接收到的选择指示信息从所述多个待选择的用户数字证书中确定一个用户数字证书为所述选择的用户数字证书；

所述 Web应用单元进一步用于接收所述需要身份认证事件，调用所述浏览器内核单元的认证对象的登录接口。

14、根据权利要求 12所述的身份认证装置，其特征在于：

所述浏览器内核单元进一步根据所述需要身份认证指示信息生成需要身份认证事件，将所述需要身份认证事件上报给所述 Web应用单元，以及获取本地存储的默认的用户数字证书，确定所述默认的用户数字证书为所述选择的用户数字证书，或者所述浏览器内核单元进一步获取本地存储的多个待选择的用户数字证书，根据接收到的选择指示信息从所述多个待选择的用户数字证书中确定一个用户数字证书为所述选择的用户数字证书；

所述 Web应用单元进一步用于根据所述需要身份认证指示信息调用所述浏览器内核单元的数字证书管理对象的数字证书选择接口。

15、根据权利要求 11或 12或 13所述的身份认证装置，其特征在于：所述浏览器内核单元进一步用于从所述响应中解析出认证成功的认证结果 ,将所述认证结果通过认证结果事件或回调函数发送给所述 Web应用单元。

16、根据权利要求 11或 12或 14所述的身份认证装置，其特征在于：所述浏览器内核单元进一步用于通过调用所述 Web应用单元的超文本传输协议请求接口，将所述响应发送给所述 Web应用单元；

所述 Web应用单元进一步用于从所述响应中解析出认证成功的认证结果。

17、根据权利要求 11所述的身份认证装置，其特征在于：

所述浏览器界面单元进一步用于接收待访问的网址信息和身份标识，将所述待访问的网址信息和所述身份标识发送给所述浏览器内核单元；

所述浏览器内核单元进一步用于根据所述身份标识确定所述选择的用户数字证书，生成携带有所述选择的用户数字证书的登录请求，将所述登录请求发送给所述应用服务器。

18、根据权利要求 12所述的身份认证装置，其特征在于：

所述浏览器内核单元进一步用于检测登录触发事件，将所述登录触发事件发送给 Web应用单元，以及获取本地存储的默认的用户数字证书，确定所述默认的用户数字证书为所述选择的用户数字证书，或所述浏览器内核单元进一步获取本地存储的多个待选择的用户数字证书，根据接收到的选择指示信息从所述多个待选择的用户数字证书中确定一个用户数字证书为所述选择的用户数字证书；

所述 Web应用单元进一步用于根据所述登录触发事件确定登录触发操作对应的网址，若判断获知对所述网址的访问需要身份认证，则获取所述选择的用户数字证书所指示的用户的用户状态，若所述用户状态为未登录状态，则调用所述浏览器内核单元的认证对象的登录接口。

19、根据权利要求 18所述的身份认证装置，其特征在于：若所述用户状态为登录状态，

所述 Web应用单元进一步用于将所述网址发送给所述浏览器内核单元；所述浏览器内核单元进一步用于根据所述网址向所述应用服务器发送访问请求，接收所述应用服务器根据所述访问请求返回的响应。

20、根据权利要求 18所述的身份认证装置，其特征在于：

所述 Web应用单元进一步用于通过调用所述浏览器内核单元的用户登录状态查询接口获取所述选择的用户数字证书所指示的用户的用户状态。