用于基于可信平臺認(rèn)證開放式標(biāo)識的方法�����、裝置和系統(tǒng)的制作方法
【專利摘要】本發(fā)明涉及開放式標(biāo)識認(rèn)證技術(shù)��,更具體地����,涉及基于可信平臺來認(rèn)證開放式標(biāo)識以防止因每次開放式標(biāo)識認(rèn)證時所重復(fù)的數(shù)據(jù)傳送而可能出現(xiàn)的網(wǎng)絡(luò)超載的方法、裝置和系統(tǒng)。提供了一種開放式標(biāo)識認(rèn)證系統(tǒng)�,包括:提供特定網(wǎng)絡(luò)服務(wù)的網(wǎng)絡(luò)服務(wù)提供裝置;和用戶裝置��,被構(gòu)造為:具有分離的環(huán)境����,該分離的環(huán)境由基于開放式操作系統(tǒng)操作的非安全區(qū)和基于安全操作系統(tǒng)操作的安全區(qū)形成,通過在非安全區(qū)中運行的網(wǎng)絡(luò)瀏覽器��,接入網(wǎng)絡(luò)服務(wù)��,向網(wǎng)絡(luò)服務(wù)提供裝置發(fā)送開放式標(biāo)識�����,當(dāng)從網(wǎng)絡(luò)服務(wù)提供裝置接收到重定向消息時�,基于在安全區(qū)存儲的與開放式標(biāo)識相對應(yīng)的密碼來執(zhí)行用戶認(rèn)證�,以及通過網(wǎng)絡(luò)瀏覽器向網(wǎng)絡(luò)服務(wù)提供裝置發(fā)送用戶認(rèn)證成功消息,以進(jìn)行登錄��。
【專利說明】用于基于可信平臺認(rèn)證開放式標(biāo)識的方法��、裝置和系統(tǒng)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明總體上涉及開放式標(biāo)識(ID)認(rèn)證技術(shù)��,更具體地��,涉及用于基于可信平臺來認(rèn)證開放式ID的方法、裝置和系統(tǒng)���,以防止因每次開放式ID認(rèn)證時所重復(fù)的數(shù)據(jù)傳送而可能出現(xiàn)的網(wǎng)絡(luò)超載�。
【背景技術(shù)】
[0002]正常情況下��,希望使用特定網(wǎng)絡(luò)服務(wù)的用戶必須進(jìn)行連接以成為提供該特定網(wǎng)絡(luò)服務(wù)的網(wǎng)絡(luò)服務(wù)提供商的成員的處理�����。在這個處理中����,用戶登記他的或她的個人信息,并且被發(fā)放標(biāo)識(ID)��。
[0003]隨著多種多樣的網(wǎng)絡(luò)服務(wù)爆炸性地普及化�,用戶應(yīng)當(dāng)管理的ID和密碼的數(shù)量也在增加。因此��,用戶不僅在管理眾多ID和密碼方面具有困難�����,而且感到因黑客進(jìn)入網(wǎng)絡(luò)服務(wù)提供商而造成的有關(guān)個人信息泄露或濫用的增長的疑慮。
[0004]近來��,已經(jīng)提出了一種開放式ID技術(shù)���。開放式ID服務(wù)允許用戶僅將他的或她的信息登記在特定站點����,并且利用開放式ID接入支持基于開放式ID服務(wù)過程的登錄的任何網(wǎng)站���。
[0005]該開放式ID服務(wù)具有允許通過單一 ID和密碼接入任何網(wǎng)站而不需要單獨地連接以成為成員的優(yōu)點�,和預(yù)先防止泄露個人信息的優(yōu)點�。
[0006]另外,網(wǎng)站可以消除單獨地進(jìn)行復(fù)雜的用戶管理處理的需要����。
[0007]然而�,開放式ID服務(wù)具有因用戶裝置、用于提供網(wǎng)絡(luò)服務(wù)的網(wǎng)絡(luò)服務(wù)提供裝置和用于支持開放式ID服務(wù)的開放式ID管理裝置之間的重復(fù)數(shù)據(jù)傳送而造成網(wǎng)絡(luò)超載的缺點���。
[0008]而且�,這種重復(fù)數(shù)據(jù)傳送可以導(dǎo)致在使用有限的無線資源的無線通信環(huán)境中的無線資源的浪費��。
【發(fā)明內(nèi)容】
[0009]技術(shù)問題
[0010]因此,本發(fā)明的一個方面是���,提供一種用于基于可信平臺來認(rèn)證開放式ID的方法���、裝置和系統(tǒng),以預(yù)先防止因開放式ID認(rèn)證時的重復(fù)數(shù)據(jù)傳送而造成的網(wǎng)絡(luò)超載���。
[0011]本發(fā)明的另一方面是�,通過采用具有分離的環(huán)境的用戶裝置(該分離的環(huán)境由基于開放式操作系統(tǒng)的非安全區(qū)和基于安全操作系統(tǒng)的安全區(qū)形成)�����,并且還允許經(jīng)開放式ID管理裝置授權(quán)的該用戶裝置的安全區(qū)執(zhí)行針對開放式ID的認(rèn)證�����,來提供一種基于可信平臺的開放式ID認(rèn)證方法�����、裝置和系統(tǒng)���。
[0012]技術(shù)方案
[0013]本發(fā)明的一個方面提供了一種開放式標(biāo)識(ID)認(rèn)證系統(tǒng)���,該開放式ID認(rèn)證系統(tǒng)包括:網(wǎng)絡(luò)服務(wù)提供裝置����,該網(wǎng)絡(luò)服務(wù)提供裝置被構(gòu)造為���,提供特定網(wǎng)絡(luò)服務(wù)�����,并且根據(jù)與開放式標(biāo)識管理裝置的相互布置���,支持在開放式標(biāo)識服務(wù)過程中用戶裝置的登錄;和所述用戶裝置����,所述用戶裝置被構(gòu)造為:具有分離的環(huán)境,該分離的環(huán)境由基于開放式操作系統(tǒng)操作的非安全區(qū)和基于安全操作系統(tǒng)操作的安全區(qū)形成�,通過在所述非安全區(qū)中運行的網(wǎng)絡(luò)瀏覽器,接入由所述網(wǎng)絡(luò)服務(wù)提供裝置所提供的所述網(wǎng)絡(luò)服務(wù)��,向所述網(wǎng)絡(luò)服務(wù)提供裝置發(fā)送通過所述網(wǎng)絡(luò)瀏覽器輸入的開放式標(biāo)識����,當(dāng)從所述網(wǎng)絡(luò)服務(wù)提供裝置接收到重定向消息時,基于在所述安全區(qū)存儲的與所述開放式標(biāo)識相對應(yīng)的密碼來執(zhí)行用戶認(rèn)證��,以及通過所述網(wǎng)絡(luò)瀏覽器向所述網(wǎng)絡(luò)服務(wù)提供裝置發(fā)送用戶認(rèn)證成功消息�,以進(jìn)行登錄。
[0014]本發(fā)明的另一方面提供了用戶裝置�����,該用戶裝置包括:通信單元����,該通信單元被構(gòu)造為通過通信網(wǎng)絡(luò)發(fā)送或接收信息;和控制單元�����,該控制單元被構(gòu)造為:具有分離的環(huán)境��,該分離的環(huán)境由基于開放式操作系統(tǒng)操作的非安全區(qū)和基于安全操作系統(tǒng)操作的安全區(qū)形成����,通過在所述非安全區(qū)中運行的網(wǎng)絡(luò)瀏覽器,接入由網(wǎng)絡(luò)服務(wù)提供裝置所提供的網(wǎng)絡(luò)服務(wù)���,向所述網(wǎng)絡(luò)服務(wù)提供裝置發(fā)送通過所述網(wǎng)絡(luò)瀏覽器輸入的開放式標(biāo)識����,當(dāng)從所述網(wǎng)絡(luò)服務(wù)提供裝置接收到重定向消息時,基于在所述安全區(qū)存儲的與所述開放式標(biāo)識相對應(yīng)的密碼來執(zhí)行用戶認(rèn)證����,以及通過所述網(wǎng)絡(luò)瀏覽器向所述網(wǎng)絡(luò)服務(wù)提供裝置發(fā)送用戶認(rèn)證成功消息,以進(jìn)行登錄�����。
[0015]在所述用戶裝置中�,所述控制單元可以被進(jìn)一步構(gòu)造為,在發(fā)送所述開放式標(biāo)識時�,向所述網(wǎng)絡(luò)服務(wù)提供裝置發(fā)送所述用戶裝置的用戶標(biāo)識號。
[0016]在所述用戶裝置中�,所述重定向消息可以包含認(rèn)證信息和開放式標(biāo)識管理裝置的地址,該認(rèn)證信息包括開放式標(biāo)識認(rèn)證信息和用戶認(rèn)證授權(quán)信息中的至少一個信息�,所述開放式標(biāo)識認(rèn)證信息指示所述開放式標(biāo)識是否由所述開放式標(biāo)識管理裝置發(fā)放,所述用戶認(rèn)證授權(quán)信息指示用戶認(rèn)證被所述開放式標(biāo)識管理裝置授權(quán)��。
[0017]在所述用戶裝置中�����,所述控制單元可以被進(jìn)一步構(gòu)造為�,如果所述安全區(qū)具有與所述開放式標(biāo)識相對應(yīng)的存儲的密碼,則通過利用所述用戶標(biāo)識號解密所述密碼��,以執(zhí)行所述用戶認(rèn)證�����。
[0018]在所述用戶裝置中�����,所述控制單元可以被進(jìn)一步構(gòu)造為��,如果所述安全區(qū)沒有與所述開放式標(biāo)識相對應(yīng)的存儲的密碼����,則向所述開放式標(biāo)識管理裝置發(fā)送針對用戶認(rèn)證的請求,向所述開放式標(biāo)識管理裝置發(fā)送�����、用戶按所述開放式標(biāo)識管理裝置的請求輸入的密碼�����,并且如果從所述開放式標(biāo)識管理裝置接收到用戶認(rèn)證成功消息����,則通過利用所述用戶標(biāo)識號在所述安全區(qū)加密并存儲所述密碼��。
[0019]本發(fā)明的又一方面提供了網(wǎng)絡(luò)服務(wù)提供裝置��,該網(wǎng)絡(luò)服務(wù)提供裝置包括:服務(wù)通信單元��,該服務(wù)通信單元被構(gòu)造為與開放式標(biāo)識管理裝置和至少一個用戶裝置通信����,所述開放式標(biāo)識管理裝置支持開放式標(biāo)識服務(wù)�,并且所述用戶裝置具有分離的環(huán)境,該分離的環(huán)境由基于開放式操作系統(tǒng)操作的非安全區(qū)和基于安全操作系統(tǒng)操作的安全區(qū)形成���;和服務(wù)控制單元����,該服務(wù)控制單元被構(gòu)造為:當(dāng)從所述用戶裝置的所述非安全區(qū)接收到開放式標(biāo)識時��,基于所述開放式標(biāo)識而識別所述開放式標(biāo)識管理裝置的地址����,向所述開放式標(biāo)識管理裝置詢問有關(guān)針對所述開放式標(biāo)識的認(rèn)證,當(dāng)作為來自所述開放式標(biāo)識管理裝置的所述認(rèn)證的結(jié)果而接收到認(rèn)證信息時,向所述用戶裝置的所述非安全區(qū)發(fā)送重定向消息��,該重定向消息包含所述認(rèn)證信息和所述開放式標(biāo)識管理裝置的所述地址�����,以及在從所述用戶裝置的所述非安全區(qū)接收到用戶認(rèn)證成功消息時����,準(zhǔn)許所述用戶裝置的登錄�����。
[0020]本發(fā)明的又一方面提供了一種基于可信平臺的開放式標(biāo)識(ID)認(rèn)證方法��。所述方法包括以下步驟:在用戶裝置處��,在通過在非安全區(qū)中運行的網(wǎng)絡(luò)瀏覽器接入由網(wǎng)絡(luò)服務(wù)提供裝置所提供的網(wǎng)絡(luò)服務(wù)之后�,向所述網(wǎng)絡(luò)服務(wù)提供裝置發(fā)送通過所述網(wǎng)絡(luò)瀏覽器輸入的開放式標(biāo)識;在所述用戶裝置處����,從所述網(wǎng)絡(luò)服務(wù)提供裝置接收重定向消息,所述重定向消息包含認(rèn)證信息和開放式標(biāo)識管理裝置的地址�����,該認(rèn)證信息包括開放式標(biāo)識認(rèn)證信息和用戶認(rèn)證授權(quán)信息中的至少一個信息;在所述用戶裝置處��,基于在安全區(qū)存儲的與所述開放式標(biāo)識相對應(yīng)的密碼來執(zhí)行用戶認(rèn)證����;以及響應(yīng)于所述用戶認(rèn)證的成功,在所述用戶裝置處�,通過所述網(wǎng)絡(luò)瀏覽器向所述網(wǎng)絡(luò)服務(wù)提供裝置發(fā)送用戶認(rèn)證成功消息,以進(jìn)行登錄�����。
[0021]在該方法中����,發(fā)送所述開放式標(biāo)識的所述步驟可以包括:向所述網(wǎng)絡(luò)服務(wù)提供裝置發(fā)送所述用戶裝置的用戶標(biāo)識號。
[0022]在該方法中����,接收所述重定向消息的所述步驟可以包括:當(dāng)所述重定向消息中不包含所述用戶認(rèn)證授權(quán)信息時,向所述開放式標(biāo)識管理裝置發(fā)送針對用戶認(rèn)證的請求����。
[0023]在該方法中,執(zhí)行所述用戶認(rèn)證的所述步驟可以包括以下步驟:確定所述安全區(qū)是否具有與所述開放式標(biāo)識相對應(yīng)的密碼;以及���,如果所述安全區(qū)具有與所述開放式標(biāo)識相對應(yīng)的所述密碼����,則通過利用用戶標(biāo)識號解密所述密碼�����,以執(zhí)行所述用戶認(rèn)證����。
[0024]在該方法中���,執(zhí)行所述用戶認(rèn)證的所述步驟可以包括以下步驟:確定所述安全區(qū)是否具有與所述開放式標(biāo)識相對應(yīng)的密碼�;如果所述安全區(qū)沒有與所述開放式標(biāo)識相對應(yīng)的密碼�,則向所述開放式標(biāo)識管理裝置發(fā)送針對用戶認(rèn)證的請求;向所述開放式標(biāo)識管理裝置發(fā)送�����、用戶按所述開放式標(biāo)識管理裝置的請求輸入的密碼���;以及��,如果從所述開放式標(biāo)識管理裝置接收到用戶認(rèn)證成功消息�����,則通過利用用戶標(biāo)識號在所述安全區(qū)加密并存儲所述密碼����。
[0025]本發(fā)明的又一方面提供了一種基于可信平臺的開放式標(biāo)識(ID)認(rèn)證方法。所述方法包括以下步驟:在網(wǎng)絡(luò)服務(wù)提供裝置處�����,基于從用戶裝置接收到的開放式標(biāo)識�����,識別開放式標(biāo)識管理裝置的地址����;在所述網(wǎng)絡(luò)服務(wù)提供裝置處,向所述開放式標(biāo)識管理裝置詢問有關(guān)針對所述開放式標(biāo)識的認(rèn)證����;在所述網(wǎng)絡(luò)服務(wù)提供裝置處�,從所述開放式標(biāo)識管理裝置接收認(rèn)證信息���,該認(rèn)證信息包括開放式標(biāo)識認(rèn)證信息和用戶認(rèn)證授權(quán)信息中的至少一個信息�,該用戶認(rèn)證授權(quán)信息指示用戶認(rèn)證被所述開放式標(biāo)識管理裝置授權(quán)����;以及,接收去往所述用戶裝置的���、包含所述認(rèn)證信息和所述開放式標(biāo)識管理裝置的所述地址的重定向消息�����。
[0026]本發(fā)明的又一方面提供了一種其上具有程序的計算機(jī)可讀介質(zhì),該程序執(zhí)行以下步驟:在通過在用戶裝置的非安全區(qū)中運行的網(wǎng)絡(luò)瀏覽器接入由網(wǎng)絡(luò)服務(wù)提供裝置所提供的網(wǎng)絡(luò)服務(wù)之后�,向所述網(wǎng)絡(luò)服務(wù)提供裝置發(fā)送通過所述網(wǎng)絡(luò)瀏覽器輸入的開放式標(biāo)識;從所述網(wǎng)絡(luò)服務(wù)提供裝置接收重定向消息�,所述重定向消息包含認(rèn)證信息和開放式標(biāo)識管理裝置的地址,該認(rèn)證信息包括開放式標(biāo)識認(rèn)證信息和用戶認(rèn)證授權(quán)信息中的至少一個信息���;基于在安全區(qū)存儲的與所述開放式標(biāo)識相對應(yīng)的密碼來執(zhí)行用戶認(rèn)證�;以及��,響應(yīng)于所述用戶認(rèn)證的成功,通過所述網(wǎng)絡(luò)瀏覽器向所述網(wǎng)絡(luò)服務(wù)提供裝置發(fā)送用戶認(rèn)證成功消息����,以進(jìn)行登錄。
[0027]有利效果
[0028]根據(jù)本發(fā)明中的基于可信平臺的開放式ID認(rèn)證方法���、裝置和系統(tǒng)�����,被開放式ID管理裝置授權(quán)的用戶裝置執(zhí)行針對開放式ID的認(rèn)證���,由此預(yù)先防止因開放式ID認(rèn)證中的重復(fù)數(shù)據(jù)傳送而造成的網(wǎng)絡(luò)超載。[0029]根據(jù)本發(fā)明中的基于可信平臺的開放式ID認(rèn)證方法��、裝置和系統(tǒng)���,用戶裝置具有分離的環(huán)境��,該分離的環(huán)境由基于開放式操作系統(tǒng)的非安全區(qū)和基于安全操作系統(tǒng)的安全區(qū)形成�����,并且還允許該安全區(qū)穩(wěn)定地執(zhí)行針對開放式ID的認(rèn)證�����,而不會泄露信息�����。
【專利附圖】
【附圖說明】
[0030]圖1是例示根據(jù)本發(fā)明一實施方式的����、基于可信平臺的開放式ID認(rèn)證系統(tǒng)的示意圖。
[0031]圖2是例示普通的開放式ID認(rèn)證方法的流程圖�����。
[0032]圖3是例示根據(jù)本發(fā)明一實施方式的用戶裝置的框圖���。
[0033]圖4是例示根據(jù)本發(fā)明一實施方式的用戶裝置的控制單元的框圖����。
[0034]圖5是例示根據(jù)本發(fā)明一實施方式的網(wǎng)絡(luò)服務(wù)提供裝置的框圖���。
[0035]圖6是例示根據(jù)本發(fā)明一實施方式的、在用戶裝置處執(zhí)行的開放式ID認(rèn)證方法的流程圖�����。
[0036]圖7是例示根據(jù)本發(fā)明一實施方式的、在網(wǎng)絡(luò)服務(wù)提供裝置處執(zhí)行的用于開放式ID認(rèn)證的重定向消息創(chuàng)建方法的流程圖�。
[0037]圖8是例示根據(jù)本發(fā)明一實施方式的開放式ID認(rèn)證方法的流程圖。
【具體實施方式】
[0038]下面���,參照附圖�,對本發(fā)明的優(yōu)選實施方式進(jìn)行詳細(xì)描述�����。然而��,為避免搞混本發(fā)明的主旨����,將從下面的描述和附圖中省略公知功能或構(gòu)造。而且�����,相同部件盡管在不同圖中示出但用相同標(biāo)號來指定���。
[0039]現(xiàn)在�,對本發(fā)明實施方式中的基于可信平臺的開放式ID認(rèn)證系統(tǒng)進(jìn)行描述。
[0040]圖1是例示根據(jù)本發(fā)明一實施方式的�����、基于可信平臺的開放式ID認(rèn)證系統(tǒng)的示意圖�����。
[0041]參照圖1�,該開放式ID認(rèn)證系統(tǒng)100包括:用戶裝置10、網(wǎng)絡(luò)服務(wù)提供裝置20和開放式ID管理裝置30���。
[0042]該網(wǎng)絡(luò)服務(wù)提供裝置20響應(yīng)于用戶的請求而提供網(wǎng)絡(luò)服務(wù)�,例如�����,購物�����、游戲����、電影等。具體地�����,根據(jù)網(wǎng)絡(luò)服務(wù)提供裝置20與開放式ID管理裝置30之間的相互布置���,網(wǎng)絡(luò)服務(wù)提供裝置20支持在開放式ID服務(wù)過程中的用戶裝置10的登錄���。
[0043]開放式ID管理裝置30管理并支持開放式ID服務(wù)過程。具體地����,當(dāng)接收到按用戶的請求的用戶簡檔信息時,開放式ID管理裝置30向用戶發(fā)放可用于開放式ID服務(wù)的特定開放式ID�。
[0044]開放式ID由字母和/或任何其它特殊字符組成。例如���,開放式ID可以采取由三個域組成的URL形式����。然而���,這僅僅是示例性的���,不應(yīng)被視為限制���。另選的是,由開放式ID管理裝置30所支持的任何其它形式都可以被用于開放式ID���。
[0045]如果從用戶接收到具有與開放式ID相關(guān)聯(lián)的密碼的用戶簡檔�����,則開放式ID管理裝置30向用戶裝置10發(fā)放特定開放式ID (例如����,http://iphl.0penid.com)���。接著�����,利用該開放式ID�,用戶裝置10根據(jù)與開放式ID管理裝置30的相互布置�,執(zhí)行針對使用開放式ID服務(wù)的選定的網(wǎng)站的登錄處理���。[0046]現(xiàn)在�,將參照圖2,對用于認(rèn)證開放式ID的普通的方法進(jìn)行描述��。
[0047]圖2是例示普通的開放式ID認(rèn)證方法的流程圖�����。
[0048]參照圖2����,在步驟S101,用戶裝置10的用戶通過網(wǎng)絡(luò)瀏覽器���,接入在由網(wǎng)絡(luò)服務(wù)提供裝置20所提供的開放式ID服務(wù)過程中提供該用戶裝置10的登錄的特定網(wǎng)絡(luò)服務(wù)(例如��,網(wǎng)站W(wǎng)WW.skplanet.c0.kr)�。接著,用戶裝置10通過在地址欄中輸入諸如由開放式ID管理裝置30發(fā)放的URL (例如���,http://iphl.0penid.com)的開放式ID,來嘗試登錄���。
[0049]在步驟S103�,網(wǎng)絡(luò)服務(wù)提供裝置20基于從用戶裝置10接收的用戶的開放式ID(BP,http://iphl.0penid.com)�,來識別開放式ID管理裝置30的地址。開放式ID管理裝置30的地址可以根據(jù)URL來識別�。例如,包含在上面給出的開放式ID的URL中的“openid.com”可以是開放式ID管理裝置30的域����。在這種情況下,開放式ID管理裝置30的地址可以被識別為先前根據(jù)上述域存儲的IP地址����。
[0050]在識別開放式ID管理裝置30的地址之后,在步驟S105�����,網(wǎng)絡(luò)服務(wù)提供裝置20向開放式ID管理裝置30發(fā)送開放式ID并且還請求認(rèn)證該開放式ID����。
[0051]在步驟S107,開放式ID管理裝置30創(chuàng)建開放式ID認(rèn)證信息����,該開放式ID認(rèn)證信息指示從用戶裝置10接收的開放式ID已經(jīng)被有效地發(fā)放。接著��,開放式ID管理裝置30向網(wǎng)絡(luò)服務(wù)提供裝置20發(fā)送該開放式ID認(rèn)證信息。在步驟S109�,網(wǎng)絡(luò)服務(wù)提供裝置20向用戶裝置10發(fā)送包含開放式ID管理裝置30的地址和開放式ID認(rèn)證信息的重定向消息。
[0052]在步驟SI 11�����,用戶裝置10通過向與所接收地址相對應(yīng)的開放式ID管理裝置30發(fā)送開放式ID�����,來從開放式ID管理裝置30請求用戶認(rèn)證�����。
[0053]在步驟S113����,開放式ID管理裝置30請求用戶裝置10通過網(wǎng)絡(luò)瀏覽器顯示密碼輸入窗口��。在步驟S115��,用戶裝置10接收用戶通過密碼輸入窗口輸入的密碼�,并接著將所接收密碼發(fā)送至開放式ID管理裝置30。在步驟S117��,基于從用戶裝置10接收的密碼,開放式ID管理裝置30執(zhí)行對用戶裝置10的用戶認(rèn)證����。
[0054]S卩,在步驟SI 17��,開放式ID管理裝置30比較所接收密碼與先前在發(fā)放開放式ID時登記的密碼��。如果所接收密碼與所登記密碼相同����,則在步驟S119,開放式ID管理裝置30創(chuàng)建用戶認(rèn)證成功消息�����,并將其發(fā)送至用戶裝置10���。
[0055]該用戶認(rèn)證成功消息可以包含在步驟S107中使用的開放式ID認(rèn)證信息����。在步驟S121�����,用戶裝置10向網(wǎng)絡(luò)服務(wù)提供裝置20發(fā)送包含開放式ID認(rèn)證信息的用戶認(rèn)證成功消息。接著��,在步驟S123���,網(wǎng)絡(luò)服務(wù)提供裝置20檢查包含在用戶認(rèn)證成功消息中的開放式ID認(rèn)證信息�,證實從用戶裝置10輸入的開放式ID已經(jīng)被開放式ID管理裝置30認(rèn)證���,并且準(zhǔn)許用戶裝置10的登錄����。因此��,用戶裝置10可以使用由網(wǎng)絡(luò)服務(wù)提供裝置20提供的網(wǎng)絡(luò)服務(wù)�。
[0056]在上面討論的普通的開放式ID認(rèn)證方法中�����,利用統(tǒng)一 ID�,用戶可以容易地進(jìn)行針對提供開放式ID服務(wù)的網(wǎng)站的登錄。然而�,這種方法可能因網(wǎng)絡(luò)服務(wù)提供裝置20與開放式ID管理裝置30之間的用于登錄的重復(fù)數(shù)據(jù)傳送而造成網(wǎng)絡(luò)超載。特別地�,這種重復(fù)數(shù)據(jù)傳送可以導(dǎo)致無線通信環(huán)境的無線資源浪費���。
[0057]為了解決該問題,在具有分離環(huán)境的用戶裝置10 (該分離環(huán)境由基于開放式操作系統(tǒng)的非安全區(qū)和基于安全操作系統(tǒng)的安全區(qū)形成)中�����,本發(fā)明提供了一種用于在經(jīng)開放式ID管理裝置30授權(quán)來認(rèn)證開放式ID的用戶裝置10的安全區(qū)處執(zhí)行針對開放式ID的認(rèn)證技術(shù)����。
[0058]現(xiàn)在,參照圖3至圖8���,對在用戶裝置處執(zhí)行的開放式ID認(rèn)證方法進(jìn)行詳細(xì)描述�。
[0059]如上提到��,用戶裝置10具有分離環(huán)境����,該分離環(huán)境由基于開放式操作系統(tǒng)的非安全區(qū)和基于安全操作系統(tǒng)的安全區(qū)形成。而且�,用戶裝置10具有通過通信網(wǎng)絡(luò)40與網(wǎng)絡(luò)服務(wù)提供裝置20和開放式ID管理裝置30通信的能力。
[0060]用戶裝置10可以按多種多種多樣的形式來實現(xiàn)����。例如�,用戶裝置10可以是以下任一種移動終端:如智能電話�����、平板PC�����、個人數(shù)字助理(PDA)�����、便攜式多媒體播放器(PMP)�、或MP3播放器。另選的是����,用戶裝置10可以是諸如智能TV或臺式PC這樣的固定終端�,或固有地具有通信功能的任何其它裝置。
[0061]通信網(wǎng)絡(luò)40可以采用各種通信網(wǎng)絡(luò)中的至少一種�,包括:諸如WLAN (無線LAN)、W1-F1�、Wibro、Wimax或HSDPA (高速下行鏈路分組接入)的無線網(wǎng)絡(luò)��,和諸如以太網(wǎng)、xDSL(SP���,ADSL或VDSL)����、HFC (混合光纖同軸電纜)����、FTTC (光纖到路邊)或FTTH (光纖到戶)這樣的有線網(wǎng)絡(luò)。另外�����,任何公知網(wǎng)絡(luò)或正在開發(fā)或研究下的更進(jìn)一步的網(wǎng)絡(luò)都可以被采用為通信網(wǎng)絡(luò)40�。
[0062]在上文中,已經(jīng)對本發(fā)明實施方式中的開放式ID系統(tǒng)100的主要部件進(jìn)行了廣泛的描述����。
[0063]現(xiàn)在,對本發(fā)明的實施方式中的用戶裝置的構(gòu)造和操作進(jìn)行詳細(xì)描述���。
[0064]圖3是例示根據(jù)本發(fā)明一實施方式的用戶裝置的框圖����。
[0065]參照圖3,用戶裝置10包括:通信單元11��、控制單元12�、存儲器單元13、輸入單元14���、音頻處理單元15和顯示單元16����。
[0066]在本發(fā)明的實施方式中��,用戶裝置10具有通過控制單元12實現(xiàn)的分離環(huán)境���,并且由基于普通的開放式操作系統(tǒng)操作的非安全區(qū)130和基于分離的安全操作系統(tǒng)而操作的安全區(qū)140形成�����。該分離環(huán)境可以物理地或邏輯地實現(xiàn)。
[0067]在該環(huán)境中�,在從提供開放式ID服務(wù)的開放式ID管理裝置30接收到針對用戶認(rèn)證的授權(quán)之后,用戶裝置10接收來自用戶的與開放式ID相對應(yīng)的密碼���,或者來自開放式ID管理裝置30的密碼��,基于用戶標(biāo)識號加密所接收密碼���,并接著將經(jīng)加密的密碼存儲在安全區(qū)中�。此后�,當(dāng)按用戶的請求執(zhí)行登錄處理時,用戶裝置10從安全區(qū)檢索經(jīng)加密的密碼���,并且基于用戶標(biāo)識號解密檢索到的密碼����。如果完成解密���,則用戶裝置10視為在針對到網(wǎng)絡(luò)服務(wù)的登錄的用戶認(rèn)證中的成功�。
[0068]相應(yīng)部件的詳細(xì)操作如下��。
[0069]通信單元11可以具有至少一個通信模塊��,以通過通信網(wǎng)絡(luò)40與網(wǎng)絡(luò)服務(wù)提供裝置20和開放式ID管理裝置30建立各種通信信道���。
[0070]通信單元11可以按無線或有線方式來操作��。
[0071]控制單元12執(zhí)行對用戶裝置10的總體控制�����。具體地�����,如上所述�����,控制單元12可以具有分離環(huán)境���,例如�����,可信平臺120���,其由基于開放式操作系統(tǒng)的非安全區(qū)和基于安全操作系統(tǒng)的安全區(qū)形成。
[0072]現(xiàn)在�����,參照圖4�����,對控制單元12進(jìn)行詳細(xì)描述���。
[0073]圖4是例示根據(jù)本發(fā)明一實施方式的用戶裝置的控制單元的框圖�。
[0074]參照圖4�����,控制單元12可以由非安全區(qū)130��、安全區(qū)140和硬件平臺135組成�。[0075]非安全區(qū)130可以包括用于不需要加密的信息的用戶功能的開放式操作系統(tǒng)
(OS)。非安全區(qū)130可以根據(jù)從輸入單元14或者從具有觸摸屏功能的顯示單元16接收的輸入信號�����,來控制執(zhí)行特定用戶功能����。例如,如果接收到用于激活相機(jī)功能的輸入信號�,則非安全區(qū)130可以控制相關(guān)功能��,如相機(jī)激活���、圖像拍攝、圖像保存等�����。具體地����,非安全區(qū)130在控制單元12的控制下操作,以使通過輸入單元14輸入的����、用于調(diào)用用于接入網(wǎng)絡(luò)服務(wù)的網(wǎng)絡(luò)瀏覽器或者用于通過網(wǎng)絡(luò)瀏覽器進(jìn)行針對選定的網(wǎng)絡(luò)服務(wù)的登錄的各種信息,可以通過通信單元11發(fā)送至網(wǎng)絡(luò)服務(wù)提供裝置20和開放式ID管理裝置30����。而且,非安全區(qū)130在控制單元12的控制下�����,執(zhí)行用于向安全區(qū)140傳輸所接收的信息的功能����。
[0076]如圖4所示��,非安全區(qū)130可以包括:應(yīng)用層131、TEE功能API層132��、TEE客戶端API層133和通用OS層134�。
[0077]相反,安全區(qū)140響應(yīng)于非安全區(qū)130的調(diào)用��,執(zhí)行用于向控制單元12提供所存儲和加密的信息的功能���。例如�����,如果非安全區(qū)130在音樂播放功能中需要用于購買音樂文件的加密的信息����,則安全區(qū)140可以被非安全區(qū)130調(diào)用�����。在這個處理中��,非安全區(qū)130可以向安全區(qū)140傳輸與所需的加密的信息相關(guān)的調(diào)用信息。具體地��,安全區(qū)140基于用戶標(biāo)識號���,加密和存儲與開放式ID相對應(yīng)的并且通過非安全區(qū)130傳輸?shù)拿艽a�。此后�����,當(dāng)按運行在非安全區(qū)130中的網(wǎng)絡(luò)瀏覽器的請求��,從非安全區(qū)130接收到用戶標(biāo)識號時��,安全區(qū)140檢查所接收到的用戶標(biāo)識號是否等于在加密中使用的用戶標(biāo)識號�����。如果是這樣�����,則安全區(qū)140基于該用戶標(biāo)識號解密所存儲的密碼����,并接著將其傳輸至非安全區(qū)130�����。當(dāng)接收到經(jīng)解密的密碼時�����,非安全區(qū)130的網(wǎng)絡(luò)瀏覽器在用戶認(rèn)證中將其視為成功,創(chuàng)建用戶認(rèn)證成功消息���,并且通過通信單元11將該用戶認(rèn)證成功消息發(fā)送至網(wǎng)絡(luò)服務(wù)提供裝置20�����。
[0078]如圖4所示�����,安全區(qū)140可以包括:可信應(yīng)用層141�、TEE內(nèi)部API層142�、可信核心環(huán)境層143、可信功能層144和硬件安全資源層146���。這里�����,TEE內(nèi)部API層142���、可信核心環(huán)境層143和可信功能層144可以設(shè)置在TEE內(nèi)核層145上�,而硬件安全資源層146可以設(shè)置在硬件平臺135上�。
[0079]在基于上述可信平臺的這種控制單元12中,如果在TEE客戶端API層133通過應(yīng)用層131執(zhí)行特定用戶功能的同時(S卩��,在網(wǎng)絡(luò)瀏覽器正運行的同時)����,存在針對被加密并存儲在安全區(qū)140中的密碼的請求,則TEE功能API層132向TEE客戶端API層133傳輸相關(guān)調(diào)用���。接著�,TEE客戶端API層133通過與TEE內(nèi)部API層142的消息傳送��,來請求針對安全功能所加密��、存儲以及需要的密碼��。這時,還傳輸用戶標(biāo)識號�。接著,TEE內(nèi)部API層142通過可信功能層144收集存儲在硬件安全資源中的已加密密碼�����,并且基于被非安全區(qū)130認(rèn)可的用戶標(biāo)識號來解密所收集的密碼�。如果被非安全區(qū)130認(rèn)可的用戶標(biāo)識號不等于在加密中使用的用戶標(biāo)識號,則TEE內(nèi)部API層142向TEE客戶端API層133通知在用戶認(rèn)證中失敗���。
[0080]然而��,如果基于所認(rèn)可的用戶標(biāo)識號解密成功,則TEE內(nèi)部API層142可以通過向TEE客戶端API層133發(fā)送經(jīng)解密的密碼�,來通知在用戶認(rèn)證中成功。
[0081]總之���,如果非安全區(qū)130調(diào)用存儲在硬件安全資源層146(其僅可通過位于可信平臺120中的安全區(qū)140接入)中的已加密密碼�,則安全區(qū)140基于被非安全區(qū)130認(rèn)可的用戶標(biāo)識號來解密所加密密碼�,并接著將解密結(jié)果返回至非安全區(qū)130。
[0082]在這個處理中�,可信功能層144可以雙重檢查預(yù)定用于確保針對加密的信息的調(diào)用的可靠性的用戶標(biāo)識號,并且非安全區(qū)130可以支持顯示單元16�����,以通過網(wǎng)絡(luò)瀏覽器顯示用于雙重檢查處理的用戶標(biāo)識號輸入畫面。
[0083]如果用戶標(biāo)識號被正確地提供給安全區(qū)140����,并且如果完成解密,則將經(jīng)解密的密碼傳輸至非安全區(qū)130����。另選的是,安全區(qū)140可以被非安全區(qū)130臨時授權(quán)來執(zhí)行在針對開放式ID認(rèn)證的密碼解密處理中所需的各種功能��,并接著通過通信單元11的直接控制���,直接地控制與網(wǎng)絡(luò)服務(wù)提供裝置20和開放式ID管理裝置30的數(shù)據(jù)通信�����。
[0084]在上文中��,參照圖4����,對控制單元12進(jìn)行了詳細(xì)描述�����。
[0085]現(xiàn)在,對圖3所示的其它部件����,S卩,存儲器單元13��、輸入單元14����、音頻處理單元15和顯示單元16進(jìn)行描述。
[0086]存儲器單元13存儲用于控制用戶裝置10所需的程序和在執(zhí)行這種程序期間創(chuàng)建的數(shù)據(jù)�。具體地,存儲器單元13可以存儲用于接入由網(wǎng)絡(luò)服務(wù)提供裝置20提供的網(wǎng)站的網(wǎng)絡(luò)瀏覽器110���。用戶裝置10可以提供用于激活網(wǎng)絡(luò)瀏覽器110的圖標(biāo)或菜單項。響應(yīng)于對該圖標(biāo)或菜單項的選擇���,網(wǎng)絡(luò)瀏覽器110被加載在控制單元12上��,并且支持用于接入網(wǎng)站的各種功能���。特別地�����,網(wǎng)絡(luò)瀏覽器110可以支持發(fā)送或接收與諸如輸入開放式ID或輸入密碼這樣的認(rèn)證處理相關(guān)聯(lián)的信息��,并且還可以臨時或永久性地存儲這種信息�。
[0087]而且����,存儲器單元13還可以存儲涉及用于標(biāo)識用戶裝置10的任何種類信息的用戶標(biāo)識號。例如��,對于移動通信終端的情況來說���,可以將由移動通信運營商分配的用戶的獨特號碼或者移動標(biāo)識號(MIN)用作用戶標(biāo)識號�����。對于連接至網(wǎng)絡(luò)的固定終端的情況來說��,可以將IP地址用作用戶標(biāo)識號����。然而�����,這僅僅是示例性的,不應(yīng)被視為限制�����。
[0088]存儲器13可以由以下中的至少一個形成:如閃速存儲器����、硬盤、多媒體卡微型存儲器(例如�,SD或XD存儲器)、RAM和ROM�����。
[0089]輸入單元14接收各種數(shù)字���、字母和其它鍵的輸入���,創(chuàng)建用于執(zhí)行或控制用戶裝置10的各種功能的輸入信號�����,并將其傳輸至控制單元12。特別地��,輸入單元14接收用于驅(qū)動網(wǎng)絡(luò)瀏覽器的用戶輸入�����,并且還向控制單元12發(fā)送用戶通過網(wǎng)絡(luò)瀏覽器的地址欄或者任何其它輸入窗口輸入的開放式ID或密碼�。
[0090]輸入單元14可以具有響應(yīng)于用戶的觸摸或其它操縱動作來創(chuàng)建輸入信號的小鍵盤和觸摸板中的至少一個。在一些實施方式中��,與下面要描述的顯不單兀16 —起,輸入單元14可以由能夠執(zhí)行輸入和顯示兩種功能的觸摸板(或觸摸屏)形成����。另外,輸入單元14可以具有以下中的至少一種:諸如鍵盤或小鍵盤的鍵輸入單元�����、諸如觸摸傳感器或觸摸板的觸摸輸入單元���、諸如陀螺儀傳感器�����、地磁傳感器�����、加速度傳感器����、接近傳感器或相機(jī)的姿勢輸入單元,以及語音輸入單元�����。此外��,正在開發(fā)或研究下的任何其它輸入裝置都可以被采用為輸入單元��。
[0091]音頻處理單元15將電學(xué)聲音信號轉(zhuǎn)換成模擬信號����。特別地,音頻處理單元15可以在用戶認(rèn)證失敗的情況下輸出特定聲音����。
[0092]顯示單元16在用戶裝置10執(zhí)行其功能的同時,可視地提供與操作狀態(tài)和結(jié)果相關(guān)聯(lián)的信息����。特別地,顯示單元16可以顯示通過網(wǎng)絡(luò)瀏覽器提供的信息���,并且還呈現(xiàn)用于接收開放式ID和密碼的輸入的特定畫面����。顯示單元16可以由IXD (液晶顯示器)��、TFT-1XD(薄膜晶體管IXD)��、0LED (有機(jī)發(fā)光二極管)�����、LED��、AMOLED (有源矩陣0LED)��、柔性顯示器���、三維顯示器等形成��。[0093]盡管上文中參照圖3對用戶裝置10的主要部件進(jìn)行了描述����,但所有這些部件不一定是必要的。在一些實施方式中�����,它們中的一些可以從用戶裝置10中去除����,并且可以另外或者另選地將任何其它部件用于用戶裝置10。
[0094]現(xiàn)在�,對本發(fā)明實施方式中的網(wǎng)絡(luò)服務(wù)提供裝置20的構(gòu)造和操作進(jìn)行詳細(xì)描述。
[0095]圖5是例示根據(jù)本發(fā)明一實施方式的網(wǎng)絡(luò)服務(wù)提供裝置的框圖�。
[0096]參照圖1和圖5,網(wǎng)絡(luò)服務(wù)提供裝置20包括:服務(wù)通信單元12�、服務(wù)控制單元22和服務(wù)存儲單元23。
[0097]服務(wù)通信單元21與開放式ID管理裝置30和至少一個用戶裝置10執(zhí)行通信����。特別地,服務(wù)通信單元21通過用戶裝置10的通信單元與基于開放式操作系統(tǒng)的非安全區(qū)通?目��。
[0098]正常情況下��,用戶裝置10基于開放式操作系統(tǒng)操作�。然而���,如上所述,本發(fā)明實施方式中的用戶裝置10具有分離環(huán)境��,該分離環(huán)境由基于開放式操作系統(tǒng)操作的非安全區(qū)和基于分離的安全操作系統(tǒng)操作的安全區(qū)形成�����。服務(wù)通信單元21接收來自用戶裝置10的非安全區(qū)的信息�,并接著將其傳輸至下面要描述的服務(wù)控制單元22�。
[0099]服務(wù)控制單元22控制向用戶裝置10提供特定網(wǎng)絡(luò)服務(wù)(例如���,游戲��、新聞���、電影����、門戶網(wǎng)站等)的整個過程���。服務(wù)控制單元22可以控制希望使用網(wǎng)絡(luò)服務(wù)的用戶裝置10的登錄處理���。
[0100]具體來說�,服務(wù) 控制單元22通過利用由開放式ID管理裝置30所支持的開放式ID服務(wù)�,來控制用戶裝置10的整個登錄處理。即���,當(dāng)接收到通過用戶裝置10從在該用戶裝置10的非安全區(qū)中操作的網(wǎng)絡(luò)瀏覽器輸入的開放式ID時����,服務(wù)控制單元22基于所接收的開放式ID���,識別已經(jīng)發(fā)放該開放式ID的開放式ID管理裝置30的地址��。
[0101]例如����,如果從在用戶裝置10的非安全區(qū)中操作的網(wǎng)絡(luò)瀏覽器接收的開放式ID是http://iphl.0penid.com,則“iphl”是用戶的開放式ID標(biāo)識符�����,而“openid.com”是發(fā)放該開放式ID的開放式ID管理裝置30的域�。
[0102]因此,服務(wù)控制單元22根據(jù)所接收的開放式ID識別開放式ID管理裝置30的域��,識別與該域相對應(yīng)并預(yù)先存儲的開放式ID管理裝置30的IP地址,并接著向開放式ID管理裝置30關(guān)于針對從用戶裝置10接收的開放式ID的認(rèn)證進(jìn)行詢問�。
[0103]即,服務(wù)控制單元22詢問從用戶裝置10接收的開放式ID是否為由開放式ID管理裝置30所發(fā)放的有效開放式ID�����。另外�,基于與開放式ID —起從用戶裝置10接收的用戶標(biāo)識號,服務(wù)控制單元22可以詢問是否存在與針對用戶認(rèn)證的授權(quán)相關(guān)的信息����。
[0104]如果從開放式ID管理裝置30接收到認(rèn)證的結(jié)果�,則服務(wù)控制單元22通過服務(wù)通信單元21,向用戶裝置10發(fā)送包含所接收的認(rèn)證結(jié)果和開放式ID管理裝置30的地址的重定向消息��。
[0105]此后�����,如果從運行在用戶裝置10的非安全區(qū)中的網(wǎng)絡(luò)瀏覽器接收到用戶認(rèn)證成功消息�����,則服務(wù)控制單元22準(zhǔn)許用戶裝置10的登錄��。
[0106]為此,網(wǎng)絡(luò)服務(wù)提供裝置20可以包括服務(wù)存儲單元23���,其存儲與通過網(wǎng)絡(luò)服務(wù)提供裝置20所提供的網(wǎng)絡(luò)服務(wù)相關(guān)聯(lián)的內(nèi)容���。
[0107]服務(wù)存儲單元23存儲并管理用于向用戶裝置10提供網(wǎng)絡(luò)服務(wù)的一般信息。特別地���,服務(wù)存儲單元23通過將開放式ID管理裝置30的地址與域匹配來存儲該地址����。[0108]如迄今所討論的���,網(wǎng)絡(luò)服務(wù)提供裝置20在服務(wù)存儲單元23中僅存儲并管理有關(guān)開放式ID管理裝置30的信息�,而非針對用戶裝置10的用戶認(rèn)證所需的信息�����。這允許更簡單地構(gòu)造系統(tǒng)��。而且�,因為僅準(zhǔn)許發(fā)送用戶認(rèn)證成功消息的用戶裝置10登錄,所以可以穩(wěn)定地支持用戶裝置10的登錄��,而不存在安全威脅。
[0109]網(wǎng)絡(luò)服務(wù)提供裝置20和開放式ID管理裝置30可以被構(gòu)成為在基于服務(wù)器的計算配置或云配置中操作的一個或更多個服務(wù)器�。特別地,在本發(fā)明的實施方式中����,通過開放式ID認(rèn)證系統(tǒng)發(fā)送或接收的信息可以通過云計算功能來提供,該云計算功能可以永久性地存儲在因特網(wǎng)上的云計算裝置中����。云計算指向諸如臺式機(jī)、平板計算機(jī)����、筆記本電腦���、上網(wǎng)本和智能電話這樣的任何數(shù)字裝置提供利用因特網(wǎng)技術(shù)虛擬化的按需IT (信息技術(shù))資源���,如硬件(即,服務(wù)器�����、存儲部��、網(wǎng)絡(luò)等)、軟件(即����,數(shù)據(jù)庫、安全�、網(wǎng)絡(luò)等)、服務(wù)以及數(shù)據(jù)����。在本發(fā)明中,在用戶裝置10���、網(wǎng)絡(luò)服務(wù)提供裝置20以及開放式ID管理裝置30之間發(fā)送或接收的所有種類的信息都可以存儲在因特網(wǎng)上的云計算裝置中�����,并且還隨時隨地發(fā)送��。
[0110]現(xiàn)在�,將對在本發(fā)明實施方式中的開放式ID認(rèn)證方法進(jìn)行詳細(xì)描述����。
[0111]圖6是例示根據(jù)本發(fā)明一實施方式的、在用戶裝置處執(zhí)行的開放式ID認(rèn)證方法的流程圖���。
[0112]參照圖1和6�,在步驟S301,當(dāng)用戶通過運行在用戶裝置10的非安全區(qū)中的網(wǎng)絡(luò)瀏覽器接入由網(wǎng)絡(luò)服務(wù)提供裝置20所提供的網(wǎng)絡(luò)服務(wù)并接著輸入開放式ID以登錄該網(wǎng)絡(luò)服務(wù)時��,用戶裝置10向網(wǎng)絡(luò)服務(wù)提供裝置20發(fā)送該開放式ID���。
[0113]在步驟S303�����,用戶裝置10從網(wǎng)絡(luò)服務(wù)提供裝置20接收包含認(rèn)證結(jié)果的重定向消
肩�、O
[0114]該認(rèn)證結(jié)果指如下的認(rèn)證信息�,即,該認(rèn)證信息包括:指示是否已經(jīng)有效地發(fā)放由用戶輸入的開放式ID的開放式ID認(rèn)證信息�����,和指示開放式ID管理裝置30授權(quán)用戶認(rèn)證的用戶認(rèn)證授權(quán)信息�����。運行在非安全區(qū)中的網(wǎng)絡(luò)瀏覽器接收包含該認(rèn)證信息和開放式ID管理裝置30的地址的重定向消息���。
[0115]在步驟S305�,網(wǎng)絡(luò)瀏覽器確定接收到的重定向消息是否包含有關(guān)用戶認(rèn)證的授權(quán)信息�。如果沒有授權(quán)信息,則在步驟S307���,該網(wǎng)絡(luò)瀏覽器向開放式ID管理裝置30發(fā)送用于用戶認(rèn)證的請求�����。如果存在授權(quán)信息���,則在步驟S309,該網(wǎng)絡(luò)瀏覽器向安全區(qū)發(fā)送用于用戶認(rèn)證的請求�。
[0116]此后,在安全區(qū)中執(zhí)行用戶認(rèn)證的特定API (例如�����,上面參照圖4討論的TEE內(nèi)部API142)檢查是否存在基于用戶標(biāo)識號加密的�����、與開放式ID相對應(yīng)的密碼�����。如果存在已加密密碼,則在步驟S311��,TEE內(nèi)部API142利用用戶標(biāo)識號來解密所加密密碼�。
[0117]如果正確地執(zhí)行了解密,則在步驟S313�,TEE內(nèi)部API142向在非安全區(qū)中運行的網(wǎng)絡(luò)瀏覽器發(fā)送用戶認(rèn)證成功消息。接著����,該網(wǎng)絡(luò)瀏覽器將其發(fā)送至網(wǎng)絡(luò)服務(wù)提供裝置20,以執(zhí)行登錄����。
[0118]現(xiàn)在,將對本發(fā)明實施方式中的網(wǎng)絡(luò)服務(wù)提供裝置20的操作進(jìn)行詳細(xì)描述���。
[0119]圖7是例示根據(jù)本發(fā)明一實施方式的����、在網(wǎng)絡(luò)服務(wù)提供裝置處執(zhí)行的用于開放式ID認(rèn)證的重定向消息創(chuàng)建方法的流程圖����。
[0120]參照圖1和圖7,在步驟S401�,網(wǎng)絡(luò)服務(wù)提供裝置20從用戶裝置10接收開放式ID,并接著�,在步驟S403,基于所接收的開放式ID�����,識別開放式ID管理裝置30的地址�。[0121]在步驟S405,網(wǎng)絡(luò)服務(wù)提供裝置20向與所識別的地址相對應(yīng)的開放式ID管理裝置30關(guān)于針對該開放式ID的認(rèn)證進(jìn)行詢問��。在步驟S407�����,如果從開放式ID管理裝置30接收到認(rèn)證的結(jié)果����,則在步驟S409,網(wǎng)絡(luò)服務(wù)提供裝置20向用戶裝置發(fā)送包括認(rèn)證結(jié)果的重定向消息�。
[0122]如上所述,該認(rèn)證結(jié)果是認(rèn)證信息�����,該認(rèn)證信息包括:指示是否已經(jīng)通過開放式ID管理裝置30有效地發(fā)放從用戶裝置10接收的開放式ID的開放式ID認(rèn)證信息,和指示開放式ID管理裝置30授權(quán)用戶認(rèn)證的用戶認(rèn)證授權(quán)信息����。當(dāng)從開放式ID管理裝置30接收到該認(rèn)證信息時,網(wǎng)絡(luò)服務(wù)提供裝置20創(chuàng)建包含所接收的認(rèn)證信息和在步驟S403識別的開放式ID管理裝置30的地址的重定向消息���,并接著將其發(fā)送至用戶裝置10�����。
[0123]如果在步驟S407未正確地接收到認(rèn)證結(jié)果����,則網(wǎng)絡(luò)服務(wù)提供裝置20可以向用戶裝置10發(fā)送指示認(rèn)證失敗的消息�����。
[0124]現(xiàn)在��,將對在本發(fā)明實施方式中的開放式ID認(rèn)證方法進(jìn)行詳細(xì)描述����。
[0125]圖8是例示根據(jù)本發(fā)明一實施方式的開放式ID認(rèn)證方法的流程圖。
[0126]參照圖8��,在步驟S201,當(dāng)用戶通過在用戶裝置10的非安全區(qū)130中運行的網(wǎng)絡(luò)瀏覽器接入由網(wǎng)絡(luò)服務(wù)提供裝置20所提供的網(wǎng)絡(luò)服務(wù)并接著通過該網(wǎng)絡(luò)瀏覽器輸入開放式ID以登錄該網(wǎng)絡(luò)服務(wù)時�,用戶裝置10向網(wǎng)絡(luò)服務(wù)提供裝置20發(fā)送該開放式ID�。
[0127]例如,用戶接入網(wǎng)站www.skplanet.c0.kr,以使用由網(wǎng)絡(luò)服務(wù)提供裝置20提供的特定網(wǎng)絡(luò)服務(wù),并接著通過在網(wǎng)絡(luò)瀏覽器的地址欄中輸入由開放式ID管理裝置30預(yù)先發(fā)放的開放式ID (例如�����,http://iphl.0penid.com),來嘗試登錄�����。
[0128]此后����,在步驟S203,網(wǎng)絡(luò)服務(wù)提供裝置20基于從用戶裝置10接收的用戶的開放式ID(即�,http://iphl.0penid.com),來識別開放式ID管理裝置30的地址。開放式ID管理裝置30的地址可以根據(jù)URL來識別���。例如��,包含在上述開放式ID的URL中的“openid.com”可以是開放式ID管理裝置30的域�����,并且開放式ID管理裝置30的地址可以被識別為先前根據(jù)上述域存儲的IP地址�。
[0129]在識別開放式ID管理裝置30的地址之后,在步驟S205�,網(wǎng)絡(luò)服務(wù)提供裝置20向開放式ID管理裝置30發(fā)送從用戶裝置10輸入的開放式ID,并且還詢問是否已經(jīng)通過開放式ID管理裝置30有效地發(fā)放了該開放式ID�����。
[0130]在步驟S207����,開放式ID管理裝置30創(chuàng)建開放式ID認(rèn)證信息,該開放式ID認(rèn)證信息指示從用戶裝置10接收的開放式ID已經(jīng)被有效地發(fā)放����。接著,開放式ID管理裝置30向網(wǎng)絡(luò)服務(wù)提供裝置20發(fā)送開放式ID認(rèn)證信息�。
[0131]同時,在步驟S201����,用戶裝置10還可以向網(wǎng)絡(luò)服務(wù)提供裝置20發(fā)送用戶標(biāo)識號。接著����,網(wǎng)絡(luò)服務(wù)提供裝置20將所接收到的用戶標(biāo)識號發(fā)送至開放式ID管理裝置30��,該開放式ID管理裝置30基于該用戶標(biāo)識號確定是否向用戶裝置10賦予用于用戶認(rèn)證的授權(quán)��。
[0132]例如�����,在用戶裝置10是移動通信終端并且將由移動通信運營商分配的獨特號碼用作用戶標(biāo)識號的情形中,開放式ID管理裝置30可以基于該用戶標(biāo)識號�,來詢問移動通信運營商的服務(wù)服務(wù)器是否擔(dān)保用戶裝置10。在這種情況下�����,移動通信運營商的服務(wù)服務(wù)器可以預(yù)先存儲有關(guān)用戶裝置10是否具有可信平臺的信息���。如果用戶裝置10具有安全性增強(qiáng)的可信平臺���,則移動通信運營商的服務(wù)服務(wù)器可以創(chuàng)建指示用戶裝置10的擔(dān)保的信息,并接著將其發(fā)送至開放式ID管理裝置30���。接著����,開放式ID管理裝置30可以通過網(wǎng)絡(luò)服務(wù)提供裝置20向用戶裝置10發(fā)送指示開放式ID管理裝置30授權(quán)用戶認(rèn)證的用戶認(rèn)證授權(quán)信息。
[0133]在開放式ID管理裝置30向網(wǎng)絡(luò)服務(wù)提供裝置20發(fā)送上述用戶認(rèn)證授權(quán)信息和指示已經(jīng)有效地發(fā)放從用戶裝置10接收的開放式ID的開放式ID認(rèn)證信息之后����,在步驟S209,網(wǎng)絡(luò)服務(wù)提供裝置20向用戶裝置10的網(wǎng)絡(luò)瀏覽器發(fā)送包含所接收到的認(rèn)證信息和開放式ID管理裝置30的地址的重定向消息。
[0134]在步驟S211��,在非安全區(qū)130中運行的網(wǎng)絡(luò)瀏覽器確定所接收到的重定向消息是否包含有關(guān)用戶認(rèn)證的授權(quán)信息����。如果沒有授權(quán)信息,則在步驟S213��,該網(wǎng)絡(luò)瀏覽器基于開放式ID管理裝置30的接收到的地址�����,向該開放式ID管理裝置30發(fā)送用于用戶認(rèn)證的請求���。隨后的步驟和上面在圖2中討論的步驟相同���。
[0135]如果存在授權(quán)信息,則在步驟S215�,在非安全區(qū)130中運行的該網(wǎng)絡(luò)瀏覽器向安全區(qū)140發(fā)送用于用戶認(rèn)證的請求。即,該網(wǎng)絡(luò)瀏覽器調(diào)用已加密密碼��。
[0136]此后�����,如上圖4中討論的�����,在步驟S217����,在安全區(qū)140中運行的TEE內(nèi)部API142檢查由網(wǎng)絡(luò)瀏覽器調(diào)用的密碼是否存儲在由安全區(qū)140管理的區(qū)域中����。如果是這樣,則在步驟S219��,TEE內(nèi)部API142基于通過網(wǎng)絡(luò)瀏覽器接收的用戶標(biāo)識號來執(zhí)行解密����。
[0137]如果通過網(wǎng)絡(luò)瀏覽器接收的用戶標(biāo)識號不同于在密碼的加密中使用的用戶標(biāo)識號,則將這視為在用戶認(rèn)證中失敗�����。如果相同并且如果正確地執(zhí)行了解密,則將這視為在用戶認(rèn)證中成功��。對于成功的情況來說����,在步驟S221,安全區(qū)140向非安全區(qū)130的網(wǎng)絡(luò)瀏覽器發(fā)送用戶認(rèn)證成功消息��。接著�����,在步驟S223����,非安全區(qū)130的網(wǎng)絡(luò)瀏覽器向網(wǎng)絡(luò)服務(wù)提供裝置20發(fā)送所接收到的用戶認(rèn)證成功消息。
[0138]該用戶認(rèn)證成功消息包含在步驟S207中接收的開放式ID認(rèn)證信息��。因為通過用戶裝置10輸入的開放式ID被開放式ID管理裝置30擔(dān)保�,所以在步驟S225,網(wǎng)絡(luò)服務(wù)提供裝置20準(zhǔn)許用戶裝置10的登錄而不存在安全危險�。
[0139]如果在步驟S217沒有與開放式ID相對應(yīng)的密碼,則用戶裝置10向開放式ID管理裝置30發(fā)送用于用戶認(rèn)證的請求�。此后,當(dāng)從開放式ID管理裝置30接收到用戶認(rèn)證成功消息時,用戶裝置10可以利用用戶標(biāo)識號來加密通過非安全區(qū)130的網(wǎng)絡(luò)瀏覽器輸入的密碼����,并接著將其存儲在安全區(qū)140中。
[0140]如上所述���,一旦與開放式ID相對應(yīng)的密碼被存儲在安全區(qū)140中�����,用戶裝置10就從安全區(qū)140調(diào)用該密碼���,并接著執(zhí)行用戶認(rèn)證,而不需要向或從網(wǎng)絡(luò)服務(wù)提供裝置20和開放式ID管理裝置30發(fā)送或接收信息��。
[0141]如此��,通過用戶裝置10的安全區(qū)140的開放式ID認(rèn)證可以預(yù)先防止因典型開放式ID認(rèn)證中的重復(fù)數(shù)據(jù)傳送而造成的網(wǎng)絡(luò)超載�����。
[0142]另外���,用戶裝置10具有分離的環(huán)境,該分離的環(huán)境由基于開放式操作系統(tǒng)的非安全區(qū)130和基于安全操作系統(tǒng)的安全區(qū)140形成,并且還允許安全區(qū)140穩(wěn)定地執(zhí)行針對開放式ID的認(rèn)證���,而不會泄露用戶信息���。
[0143]在上文中,對本發(fā)明實施方式中的基于可信平臺的開放式ID認(rèn)證方法進(jìn)行了描述�����。
[0144]本發(fā)明實施方式中的開放式ID認(rèn)證方法可以被實現(xiàn)為程序命令��,該程序命令可以通過各種計算裝置來執(zhí)行并且被寫入至計算機(jī)可讀記錄介質(zhì)���。該計算機(jī)可讀記錄介質(zhì)可以單獨地或者組合地包括:程序命令��、數(shù)據(jù)文件����、數(shù)據(jù)結(jié)構(gòu)等��。被寫入至該介質(zhì)的程序命令特別針對本公開設(shè)計或配置�����,或者為計算機(jī)軟件技術(shù)人員所已知。該計算機(jī)可讀記錄介質(zhì)的示例包括:諸如硬盤���、軟盤以及磁帶這樣的磁性介質(zhì)����、諸如CD ROM和DVD這樣的光學(xué)介質(zhì)��、諸如光磁盤的磁光介質(zhì)���,以及專門被構(gòu)造為存儲和執(zhí)行程序命令的硬件裝置��,如ROM�、RAM以及閃速存儲器����。
[0145]計算機(jī)可讀記錄介質(zhì)可以分布在連接至網(wǎng)絡(luò)的多個計算機(jī)系統(tǒng)上,使得按分散方式向其寫入和從其執(zhí)行處理器可讀代碼�。本領(lǐng)域普通技術(shù)人員可以構(gòu)造用于實現(xiàn)在此描述的實施方式的程序、代碼�、以及代碼段��。
[0146]雖然本發(fā)明已經(jīng)參照其示例性實施方式進(jìn)行了具體示出和描述����,但本領(lǐng)域技術(shù)人員應(yīng)當(dāng)明白�����,在不脫離本發(fā)明的主旨的情況下���,可以對本發(fā)明進(jìn)行形式和細(xì)節(jié)上的各種改變。本公開和附圖中使用的特定術(shù)語出于例示性目的使用�����,而不應(yīng)被視為對本發(fā)明的限制���。
[0147]工業(yè)應(yīng)用
[0148]本發(fā)明總體上涉及開放式標(biāo)識(ID)認(rèn)證技術(shù)�,并且更具體地��,涉及用于基于可信平臺來認(rèn)證開放式ID以防止因每次開放式ID認(rèn)證時所重復(fù)的數(shù)據(jù)傳送而可能出現(xiàn)的網(wǎng)絡(luò)超載的方法�����、裝置和系統(tǒng)���。
[0149]根據(jù)本發(fā)明中的基于可信平臺的開放式ID認(rèn)證方法�����、裝置和系統(tǒng)��,用戶裝置具有分離的環(huán)境�����,該分離的環(huán)境由基于開放式操作系統(tǒng)的非安全區(qū)和基于安全操作系統(tǒng)的安全區(qū)形成����,并且還允許該安全區(qū)穩(wěn)定地執(zhí)行針對開放式ID的認(rèn)證,而不會泄露信息�。這極大地有助于安全性產(chǎn)業(yè)和網(wǎng)絡(luò)服務(wù)產(chǎn)業(yè)的發(fā)展,由此具有工業(yè)應(yīng)用性����。
【權(quán)利要求】
1.一種開放式標(biāo)識認(rèn)證系統(tǒng),該開放式標(biāo)識認(rèn)證系統(tǒng)包括: 網(wǎng)絡(luò)服務(wù)提供裝置����,該網(wǎng)絡(luò)服務(wù)提供裝置被構(gòu)造為提供特定網(wǎng)絡(luò)服務(wù),并且根據(jù)與開放式標(biāo)識管理裝置的相互布置����,支持在開放式標(biāo)識服務(wù)過程中用戶裝置的登錄;和 所述用戶裝置��,所述用戶裝置被構(gòu)造為具有分離的環(huán)境�,該分離的環(huán)境由基于開放式操作系統(tǒng)操作的非安全區(qū)和基于安全操作系統(tǒng)操作的安全區(qū)形成,所述用戶裝置被構(gòu)造為通過在所述非安全區(qū)中運行的網(wǎng)絡(luò)瀏覽器���,接入由所述網(wǎng)絡(luò)服務(wù)提供裝置所提供的所述網(wǎng)絡(luò)服務(wù)����,向所述網(wǎng)絡(luò)服務(wù)提供裝置發(fā)送通過所述網(wǎng)絡(luò)瀏覽器輸入的開放式標(biāo)識����,當(dāng)從所述網(wǎng)絡(luò)服務(wù)提供裝置接收到重定向消息時,基于在所述安全區(qū)存儲的與所述開放式標(biāo)識相對應(yīng)的密碼來執(zhí)行用戶認(rèn)證����,以及通過所述網(wǎng)絡(luò)瀏覽器向所述網(wǎng)絡(luò)服務(wù)提供裝置發(fā)送用戶認(rèn)證成功消息,以進(jìn)行登錄���。
2.一種用戶裝置����,該用戶裝置包括: 通信單元����,該通信單元被構(gòu)造為通過通信網(wǎng)絡(luò)發(fā)送或接收信息����;和 控制單元���,該控制單元被構(gòu)造為具有分離的環(huán)境�,該分離的環(huán)境由基于開放式操作系統(tǒng)操作的非安全區(qū)和基于安全操作系統(tǒng)操作的安全區(qū)形成�,該控制單元被構(gòu)造為通過在所述非安全區(qū)中運行的網(wǎng)絡(luò)瀏覽器,接入由網(wǎng)絡(luò)服務(wù)提供裝置所提供的網(wǎng)絡(luò)服務(wù)��,向所述網(wǎng)絡(luò)服務(wù)提供裝置發(fā)送通過所述網(wǎng)絡(luò)瀏覽器輸入的開放式標(biāo)識����,當(dāng)從所述網(wǎng)絡(luò)服務(wù)提供裝置接收到重定向消息時,基于在所述安全區(qū)存儲的與所述開放式標(biāo)識相對應(yīng)的密碼來執(zhí)行用戶認(rèn)證�����,以及通過所述網(wǎng)絡(luò)瀏覽器向所述網(wǎng)絡(luò)服務(wù)提供裝置發(fā)送用戶認(rèn)證成功消息���,以進(jìn)行登錄����。
3.根據(jù)權(quán)利要求2所述的用戶裝置,其中�,所述控制單元被進(jìn)一步構(gòu)造為���,在發(fā)送所述開放式標(biāo)識時��,向所述網(wǎng)絡(luò)服務(wù)提供裝置發(fā)送所述用戶裝置的用戶標(biāo)識號�。
4.根據(jù)權(quán)利要求2所述的用戶裝置�����,其中�,所述重定向消息包含認(rèn)證信息和開放式標(biāo)識管理裝置的地址,該認(rèn)證信息包括開放式標(biāo)識認(rèn)證信息和用戶認(rèn)證授權(quán)信息中的至少一個信息��,所述開放式標(biāo)識認(rèn)證信息指示所述開放式標(biāo)識是否由所述開放式標(biāo)識管理裝置發(fā)放�,所述用戶認(rèn)證授權(quán)信息指示用戶認(rèn)證被所述開放式標(biāo)識管理裝置授權(quán)。
5.根據(jù)權(quán)利要求3所述的用戶裝置�����,其中��,所述控制單元被進(jìn)一步構(gòu)造為,如果所述安全區(qū)具有與所述開放式標(biāo)識相對應(yīng)的存儲的密碼����,則通過利用所述用戶標(biāo)識號解密所述密碼,以執(zhí)行所述用戶認(rèn)證����。
6.根據(jù)權(quán)利要求3所述的用戶裝置,其中����,所述控制單元被進(jìn)一步構(gòu)造為,如果所述安全區(qū)沒有與所述開放式標(biāo)識相對應(yīng)的存儲的密碼�,則向所述開放式標(biāo)識管理裝置發(fā)送針對用戶認(rèn)證的請求,向所述開放式標(biāo)識管理裝置發(fā)送由用戶按所述開放式標(biāo)識管理裝置的請求輸入的密碼��,并且如果從所述開放式標(biāo)識管理裝置接收到用戶認(rèn)證成功消息�����,則通過利用所述用戶標(biāo)識號在所述安全區(qū)加密并存儲所述密碼��。
7.—種網(wǎng)絡(luò)服務(wù)提供裝置�����,該網(wǎng)絡(luò)服務(wù)提供裝置包括: 服務(wù)通信單元,該服務(wù)通信單元被構(gòu)造為與開放式標(biāo)識管理裝置和至少一個用戶裝置通信���,所述開放式標(biāo)識管理裝置支持開放式標(biāo)識服務(wù)��,并且所述用戶裝置具有分離的環(huán)境���,該分離的環(huán)境由基于開放式操作系統(tǒng)操作的非安全區(qū)和基于安全操作系統(tǒng)操作的安全區(qū)形成;和 服務(wù)控制單元��,該服務(wù)控制單元被構(gòu)造為:當(dāng)從所述用戶裝置的所述非安全區(qū)接收到開放式標(biāo)識時�,基于所述開放式標(biāo)識而識別所述開放式標(biāo)識管理裝置的地址�,向所述開放式標(biāo)識管理裝置詢問有關(guān)針對所述開放式標(biāo)識的認(rèn)證,當(dāng)作為來自所述開放式標(biāo)識管理裝置的所述認(rèn)證的結(jié)果而接收到認(rèn)證信息時�����,向所述用戶裝置的所述非安全區(qū)發(fā)送重定向消息��,該重定向消息包含所述認(rèn)證信息和所述開放式標(biāo)識管理裝置的所述地址��,以及在從所述用戶裝置的所述非安全區(qū)接收到用戶認(rèn)證成功消息時��,準(zhǔn)許所述用戶裝置的登錄�。
8.一種基于可信平臺的開放式標(biāo)識認(rèn)證方法,該方法包括以下步驟: 在用戶裝置處,在通過在非安全區(qū)中運行的網(wǎng)絡(luò)瀏覽器接入由網(wǎng)絡(luò)服務(wù)提供裝置所提供的網(wǎng)絡(luò)服務(wù)之后����,向所述網(wǎng)絡(luò)服務(wù)提供裝置發(fā)送通過所述網(wǎng)絡(luò)瀏覽器輸入的開放式標(biāo)識; 在所述用戶裝置處�,從所述網(wǎng)絡(luò)服務(wù)提供裝置接收重定向消息,所述重定向消息包含認(rèn)證信息和開放式標(biāo)識管理裝置的地址�,該認(rèn)證信息包括開放式標(biāo)識認(rèn)證信息和用戶認(rèn)證授權(quán)信息中的至少一個信息; 在所述用戶裝置處��,基于在安全區(qū)存儲的與所述開放式標(biāo)識相對應(yīng)的密碼來執(zhí)行用戶認(rèn)證��;以及 響應(yīng)于所述用戶認(rèn)證的成功��,在所述用戶裝置處�,通過所述網(wǎng)絡(luò)瀏覽器向所述網(wǎng)絡(luò)服務(wù)提供裝置發(fā)送用戶認(rèn)證成功消息,以進(jìn)行登錄���。
9.根據(jù)權(quán)利要求8所述的方法�����,其中����,發(fā)送所述開放式標(biāo)識的所述步驟包括:向所述網(wǎng)絡(luò)服務(wù)提供裝置發(fā)送所述用戶裝置的用戶標(biāo)識號。
10.根據(jù)權(quán)利要求8所述的方法��,其中�,接收所述重定向消息的所述步驟包括:當(dāng)所述重定向消息中不包含所述用戶認(rèn)證授權(quán)信息時,向所述開放式標(biāo)識管理裝置發(fā)送針對用戶認(rèn)證的請求����。
11.根據(jù)權(quán)利要求8所述的方法,其中���,執(zhí)行所述用戶認(rèn)證的所述步驟包括以下步驟: 確定所述安全區(qū)是否具有與所述開放式標(biāo)識相對應(yīng)的密碼�����;以及 如果所述安全區(qū)具有與所述開放式標(biāo)識相對應(yīng)的所述密碼,則通過利用用戶標(biāo)識號解密所述密碼�����,以執(zhí)行所述用戶認(rèn)證��。
12.根據(jù)權(quán)利要求8所述的方法�,其中,執(zhí)行所述用戶認(rèn)證的所述步驟包括以下步驟: 確定所述安全區(qū)是否具有與所述開放式標(biāo)識相對應(yīng)的密碼�; 如果所述安全區(qū)沒有與所述開放式標(biāo)識相對應(yīng)的密碼����,則向所述開放式標(biāo)識管理裝置發(fā)送針對用戶認(rèn)證的請求���; 向所述開放式標(biāo)識管理裝置發(fā)送由用戶按所述開放式標(biāo)識管理裝置的請求輸入的密碼����;以及 如果從所述開放式標(biāo)識管理裝置接收到用戶認(rèn)證成功消息���,則通過利用用戶標(biāo)識號在所述安全區(qū)加密并存儲所述密碼�。
13.一種基于可信平臺的開放式標(biāo)識認(rèn)證方法����,該方法包括以下步驟: 在網(wǎng)絡(luò)服務(wù)提供裝置處,基于從用戶裝置接收到的開放式標(biāo)識��,識別開放式標(biāo)識管理裝置的地址���; 在所述網(wǎng)絡(luò)服務(wù)提供裝置處�,向所述開放式標(biāo)識管理裝置詢問有關(guān)針對所述開放式標(biāo)識的認(rèn)證�; 在所述網(wǎng)絡(luò)服務(wù)提供裝置處,從所述開放式標(biāo)識管理裝置接收認(rèn)證信息�����,該認(rèn)證信息包括開放式標(biāo)識認(rèn)證信息和用戶認(rèn)證授權(quán)信息中的至少一個信息,該用戶認(rèn)證授權(quán)信息指示用戶認(rèn)證被所述開放式標(biāo)識管理裝置授權(quán)����;以及 接收去往所述用戶裝置的、包含所述認(rèn)證信息和所述開放式標(biāo)識管理裝置的所述地址的重定向消息��。
14.一種其上具有程序的計算機(jī)可讀介質(zhì)��,該程序執(zhí)行以下步驟:在通過在用戶裝置的非安全區(qū)中運行的網(wǎng)絡(luò)瀏覽器接入由網(wǎng)絡(luò)服務(wù)提供裝置所提供的網(wǎng)絡(luò)服務(wù)之后���,向所述網(wǎng)絡(luò)服務(wù)提供裝置發(fā)送通過所述網(wǎng)絡(luò)瀏覽器輸入的開放式標(biāo)識����;從所述網(wǎng)絡(luò)服務(wù)提供裝置接收重定向消息�,所述重定向消息包含認(rèn)證信息和開放式標(biāo)識管理裝置的地址����,該認(rèn)證信息包括開放式標(biāo)識認(rèn)證信息和用戶認(rèn)證授權(quán)信息中的至少一個信息; 基于在安全區(qū)存儲的與所述開放式標(biāo)識相對應(yīng)的密碼來執(zhí)行用戶認(rèn)證�;以及響應(yīng)于所述用戶認(rèn)證的成功,通過所述網(wǎng)絡(luò)瀏覽器向所述網(wǎng)絡(luò)服務(wù)提供裝置發(fā)送用戶認(rèn)證成功消息 ���,以進(jìn)行登錄�。
【文檔編號】H04L9/32GK103621009SQ201280003506
【公開日】2014年3月5日 申請日期:2012年9月6日 優(yōu)先權(quán)日:2012年6月21日
【發(fā)明者】金度完, 金顯郁, 慎正金 申請人:Sk 普蘭尼特有限公司