[发明专利]通过第三方的身份认证系统和方法

说明书

技术领域

本发明涉及一种通过第三方的身份认证系统和方法。

背景技术

互联网提供的资源和服务的数量非常巨大并增长迅猛，互联网已经成为人们获取信息资源和信息服务的主要渠道，许多网上资源和服务要求用户进行登录和验证，这就出现了一些问题。首先，每个网络资源都采用不同的登录信息，登录信息繁多难记。其次，简单的用户名加密码的方式也存在着安全性太低的问题，满足不了很多网上应用的需要。一些对用户来说重要的资源和服务，如：网络游戏帐号、电子商务帐号等等，常常面临着网上安全性不足的困扰。

通过第三方的认证方法是一种解决以上问题的有效途径，但是现有的第三方认证的解决方案都存在一些缺陷。

例如，有的解决方案是用户将在网上资源的用户名和密码保存在一个固定的网上认证服务方，用户登录该网上资源时由网上认证服务方以用户的用户名和密码自动完成网上资源的登录，这种方式虽然便捷，但是仍然采用固定不变的用户名和密码的方式向网上资源登录，安全性得不到保证。

又例如，有的解决方案采用终端用户在通过网上认证服务方的身份认证后，发送一个基于时间有效期的用户认证确认信息保存在用户终端的COOKIE中。这种方式里由于在有效期内认证确认信息是相同的，导致认证确认信息可能被盗用，如：无法防止同一IP或同一终端的重放攻击。而且，这类解决方案在有些禁用COOKIE的终端环境里无法使用。另外，这类解决方案还要求网上资源进行数字摘要验证计算，对于中小型服务商的服务设备也是不小的负荷压力。

再例如，有的解决方案通过其它通信终端进行认证，如：采用向用户即时通讯终端发送一个认证信息再由网络终端返回的方式。但是在这种方式里，用户的其它通信终端(如：QQ)不能自动识别认证信息从而主动参与传递过程，因此，认证号码的传递不能由计算机和网络完成而需要经过用户本人，需要用户进行再输入或拷贝粘贴的工作，具有繁琐、容易出错、安全性不高的缺陷。

发明内容

本发明采用一种通过第三方的身份认证系统和方法，来解决以上提到的问题。

本发明是这样实现的，一种通过第三方的身份认证系统和方法，其中，三个系统分别连接于同一网络，三个系统分别为服务方、请求方和第三方，其中，服务方对请求方的认证要通过第三方来完成，其中，当请求方向服务方请求接入认证时，所述三方能够完成以下步骤：一方获取认证信息并发起在以上三方之间的源于该认证信息的闭合传递，其中另外两方上运行的程序能够自动识别闭合传递的信息和路径并响应完成该闭合传递，其中，以上三方中的闭合传递的终点能够验证收到的信息是否起源于闭合传递的起点，只有当收到的信息起源于闭合传递的起点时认证才能通过。

其中，所述同一网络为互联网。

其中，只有当请求方通过第三方的认证时，第三方才会参与完成该闭合传递。

其中，只有当服务方通过第三方的认证后，第三方才会参与完成该闭合传递。

其中，所述闭合传递的路径由三个系统中每两者之间的信息传递组成，具体为：闭合传递的起点和终点是同一方，首先一方向另一方发出信息，然后另一方向最后一方发出信息，然后最后一方向第一方返回信息，完成闭合传递；或者，闭合传递的起点和终点不是同一方，首先一方分别向其它两方分别发出信息，然后其它两方中的一方向另一方发出信息，从而完成闭合传递。

其中，在所述闭合传递中，在从一方至另一方传递时闭合传递的信息的内容是不变的。闭合传递的信息不能是数据包报头中的IP地址和端口号，因为例如：其中一方处于NAT后，则其应用程序对象的内网IP地址和端口号在NAT处理后会映射为外网IP地址和端口号。

其中，不同的服务方能够通过同一第三方对同一请求方进行认证。

其中，所述的三方之间的源于该认证信息的闭合传递是指所传递的信息是相同的或者所传递的信息是不同的并符合特定数学计算的对应规律。

其中，在所述闭合传递中，传递的信息就是认证信息本身，这时，闭合传递的终点验证收到的信息与发出的认证信息是否一致或者收到的两个信息是否一致，如果一致则证明收到的信息起源于闭合传递的起点。这时，闭合传递中每两者之间传递的信息都是相同的，都是认证信息。其中，认证信息可以是由任何符号组成的序列。例如：认证信息可以是由一随机函数生成的随机数。