转接第三方登陆的方法、系统及第三方网站、业务服务器

摘要

本发明提供了一种基于IP网络转接第三方登陆的方法，其关键是，由门户网站携带业务服务器随机生成的加密KEY向第三方网站发送链接请求，避免了用户密码的传输，因而保证了用户密码的绝对安全性。再有，由于第三方网站通过复制加密KEY回调Web服务器，由Web服务器进行密钥验证，因而又保证了握手的绝对安全性。应用本发明，由于门户网站与第三方网站之间不传递用户密码，使得第三方网站无需与门户网站进行密码同步等机制的处理，在大大提高安全性的同时，降低了对第三方网站对于密码同步机制等复杂维护的要求。本发明同时还提供了一种基于IP网络实现转接第三方登陆认证的系统以及第三方网站和业务服务器。

说明书

技术领域

本发明涉及通信技术领域，特别是指一种基于IP网络实现转接第三方登陆认证的方法、系统及第三方网站、业务服务器。

背景技术

随着网络的发展，各种需要登陆注册的网站层出不穷，用户在这些网站中，需要注册用户名和密码以便进行登陆，这样就导致，一个用户逐渐拥有越来越多的需要输入用户名和密码鉴权的网站，密码的记忆成为一个头痛的问题，用户往往因为忘记密码而无法登陆某些网站甚至无法登陆需要登陆验证的个人维护软件。

随着问题的出现，逐渐提出门户网站的概念，例如通过门户网站对个人用户的其他网站或者需要登陆验证的软件统一管理。

图1所示为现有的基于IP网络实现转接第三方登陆认证的流程示意图。

步骤101～102，用户输入门户网站用户名和密码，通过浏览器登陆门户网站，门户网站对其验证成功后返回登陆后界面，至此登陆成功。

如果用户希望登陆其他第三方网站(Web)，例如某彩铃网站进行设置下载等，则用户只需点击该第三方网站，此时门户网站执行以下操作。

步骤103，为了使用户在不重新输入用户名和密码情况下，能够直接登陆第三方网站。通常门户网站采用HTTP：//IP：Port？帐号＝？&密码＝？方式将用户名即账号、和密码发送至第三方网站。

步骤104，第三方网站解析接收到的请求，获取其中的帐号、密码并进行验证，如果鉴权验证通过，则返回成功消息，并返回第三方网站登陆后的页面；如果鉴权识别，则返回错误信息。

本实施例中假设登陆成功。

步骤105，门户网站将接收到的第三方登陆后网站返回给浏览器，用户看到点击后的第三方网站。

至此，在用户登录到门户网站后，在不需要再次输入账号和密码的情况下，可直接登录到第三方网站。可见，目前是基于超文本传输协议(HTTP)方式直接进行帐号和密码的传输，虽然可以通过密码加密传输以及通过超文本传输协议安全(HTTPS)的安全机制传输，但是无法避免黑客在网络截获此HTTP请求并伪造发给第三方网站，从而使得黑客可以轻而易举以某用户身份登陆第三方网站，破坏数据。并且，密码需要同步，对第三方要求高。帐号和密码由门户网站传输，而第三方网站需要基于此帐号和密码进行鉴权，而同时又不能要求由用户重新输入，因此在门户网站和第三方网站需要同时保存相同的帐号和密码，当用户在门户网站修改密码后，也需要同步至第三方网站进行实时更新。

发明内容

本发明实施例的目的在于提供一种基于IP网络实现转接第三方登陆认证的方法、系统及第三方网站、业务服务器，以保证在用户密码绝对安全的情况下实现转接入第三方网站。

本发明实施例提供一种基于IP网络实现转接第三方登陆认证的方法，该方法包括：

门户网站接收到来自终端的登陆第三方网站请求，从业务服务器WebServer中获取加密密钥KEY，向第三方网站发送链接请求，该请求中包含加密密钥以及所述终端标识；

第三方网站根据接收到的链接请求向所述业务服务器发送验证请求，该请求中包含接收到的加密密钥及所述终端标识，在第三方网站接收到业务服务器反馈的验证成功信息后，将登录后的界面通过门户网站返给终端；

所述终端通过门户网站转接登陆到第三方网站。

本发明实施例还提供一种基于IP网络实现转接第三方登陆认证的系统，包括终端、门户网站、业务服务器以及第三方网站，其中，

所述门户网站，用于根据来自终端的登陆第三方网站请求，从业务服务器Web Server中获取加密密钥KEY，向第三方网站发送包含加密密钥以及终端标识的链接请求；将接收到的来自第三方网站的登录后的界面转发给终端；

所述第三方网站，用于根据接收到的链接请求向业务服务器发送包含接收到的加密密钥及所述终端标识的验证请求，在收到业务服务器反馈的验证成功信息后，将登录后的界面返回给门户网站；

所述业务服务器，用于根据接收到的验证请求，对加密密钥及所述终端标识进行验证，并给第三方网站返回验证结果；

所述终端，用于登陆门户网站，或通过门户网站转接登陆到第三方网站。

本发明实施例还提供一种第三方网站，包括接口单元以及主控单元，其中，所述接口单元，用于将接收到的请求传送给主控单元；根据接收到的通知发送相应信息；

所述主控单元，用于确定接收到的请求是来自门户网站的包含加密密钥及终端标识的链接请求后，通知接口单元向业务服务器发送验证请求，该请求中包含接收到的加密密钥及终端标识；确定接收到的请求是来自业务服务器的验证成功信息后，通知接口单元将登录后的界面传送给门户网站。

本发明实施例还提供一种业务服务器，包括接口单元以及主控单元，其中，所述接口单元，用于将接收到的请求传送给主控单元；根据接收到的通知发送相应信息；

所述主控单元，用于确定接收到的请求是来自门户网站的包含终端标识的单点登陆认证SSO请求，生成加密密钥，通知接口单元给门户网站返回所述加密密钥；确定接收到包含加密密钥及所述终端标识的验证请求后，对所述加密密钥及终端标识进行验证，通知接口单元给第三方网站返回验证信息。

本发明实施例由门户网站携带业务服务器随机生成的加密KEY向第三方网站发送链接请求，避免了用户密码的传输，因而保证了用户密码的绝对安全性。再有，由于第三方网站通过复制加密KEY回调Web服务器，由Web服务器进行密钥验证，因而又保证了握手的绝对安全性。

应用本发明，第三方网站无需与门户网站进行密码同步处理，在大大提高安全性的同时，降低了对第三方网站对于密码同步机制等复杂维护的要求。

附图说明

图1是图1所示为现有的基于IP网络实现转接第三方登陆认证的流程示意图；

图2是本发明一实施例的基于IP网络实现转接第三方登陆认证的流程示意图。

图3是本发明一实施例的基于IP网络实现转接第三方登陆认证的系统框图；

图4是本发明一实施例的第三方网站；

图5是本发明一实施例的业务服务器。

具体实施方式

本发明的基本思路是：在门户网站转接第三方网站时，采用携带基于业务服务器随机生成的加密KEY，而不再携带用户的密钥，从而在转接到第三方网站的同时，既能保证网络传输的安全，又可以保证门户网站和第三方网站之间的信任关系。

图2所示为本发明一实施例的基于IP网络实现转接第三方登陆认证的流程示意图。

步骤201～202，通过IE登陆访问门户网站，用户输入个人注册帐号和密码登陆门户网站，门户网站对其验证成功后返回登陆后界面，至此登陆成功，用户可以通过门户网站提供的登陆后的个人管理界面进行维护操作。

当用户进行管理个人信息时，有其他所集成管理页面需要链接，例如存在彩铃管理自助维护的链接。当用户需要使用维护时，则点击第三方网站诸如彩铃管理自助维护的链接菜单，此时门户网站执行以下操作。

步骤203，门户网站向业务服务器(Web服务器)发送单点登陆认证(SSO)请求，该请求中包含上述已登陆用户终端的帐号。

步骤204～205，业务服务器根据接收到的请求随机生成字符串，将随机生成的字符串与上述终端帐号对应保存，并将加密后的字符串返回给门户网站。

步骤206，门户网站获业务服务器返回的加密后的字符串，并将该加密后的字符串作为加密后的密钥(KEY)(以下将该加密后的密钥简称为加密KEY)，之后，门户网站通过网络向第三方网站，例如彩铃管理自助维护网站，发送HTTP链接请求，该链接请求中包含加密KEY、终端帐号以及第三方网站为门户网站提供的认证信息。该第三方网站为门户网站提供的认证信息包括：第三方网站为门户网站提供的验证帐号和密码。

步骤207，第三方网站接收到上述链接请求并检查出包含有加密KEY后，根据为门户网站提供的认证信息验证门户网站是否合法，在确认门户网站合法后，利用HTTP验证回调请求向业务服务器发送验证请求，该验证请求中包含接收到的重新复制的加密KEY、终端帐号，以及业务服务器为第三方网站提供的认证信息。而且，本步骤中的业务服务器是事先已经配置好的指定的Web服务器地址。上述业务服务器为第三方网站提供的认证信息包括：业务服务器为第三方网站提供的验证帐号和密码。

步骤208～209，业务服务器解析接收到的上述验证请求后，根据为第三方网站提供的认证信息验证第三方网站是否合法，在确认第三方网站合法后，再对接收到的加密KEY及所述终端帐号进行验证。

业务服务器对接收到加密KEY及终端帐号进行验证的过程包括：

业务服务器接收到加密KEY和终端帐号后，对加密KEY进行解密，获取解密后的字符串，判断该解密后的字符串及接收到的终端帐号之间的对应关系、与已保存的字符串与终端帐号的对应关系是否一致，若一致，则给第三方网站返回验证成功信息，否则表明验证失败，给第三方网站返回验证失败信息。

上述对加密KEY解密的过程实际是与步骤204中对字符串加密的相反过程，该加解密过程可应用现有任一种加解密方式。

步骤210，第三方网站接收到反馈的验证成功信息后，将登录后的界面返回给门户网站。

步骤211，门户网站将登录后的界面转发给终端上的用户浏览器。

至此，用户终端通过IE已成功登陆到了第三方网站。

可见，由于门户网站携带Web服务器所随机生成的加密KEY向第三方网站发送链接请求，避免了用户密码的传输，因而保证了用户密码的绝对安全性。第三方网站通过复制加密KEY回调Web服务器，由Web服务器进行密钥验证，又保证了握手的绝对安全性。

再有，由于门户网站与第三方网站之间不传递用户密码，使得第三方网站无需与门户网站进行密码同步等机制的处理，在大大提高安全性的同时，降低了对第三方网站对于密码同步机制等复杂维护的要求。

上述步骤206中，门户网站向第三方网站发送的该链接请求是通过门户网站调用第三方网站的自助管理统一资源定位符(URL，Uniform ResourceLocator)接口实现的。有关该接口的说明参见表1：

                                  表1

  第三方网站需开放业务的自助管理URL接口  接口地址：  第三方网站的IP地址：端口/user/manage.do  参数：  序号  字段名称  类型  释意  值  1  adminacc  String[1～32]  第三方网站为门户  网站提供的验证帐  号  1～32位字符串  (字母和数字)  2  adminpin  String[1～32]  第三方网站为门户  网站提供的验证密  码  1～32位字符串  (字母和数字)，  3  saccountn  umber  String[1～32]  用户终端帐号  1～32位数字字  符串  4  key  String[1～32]  业务服务器生成的  一个随机字符串  1～32位数字字  符串  说明：  1、输入参数采用HTTP POST或GET方式，推荐使用POST方式。  2、所有参数名全部小写  举例 http：//192.168.1.100:8080/user/manage.do？adminacc＝admin&adminnpin＝adm in&saccountnumber＝057188880000&key＝123456789012345678901234567  89012  返回值：  序号  参数名 类型  释意  值  1  无 String[2]  返回的  结果值  00  正常  01  参数错误，格式不对或少  参数  02  帐号、密码不正确  03  其他内部错误

上述步骤207中第三方网站利用HTTP验证回调请求向业务服务器发送验证请求是通过第三方网站回调业务服务器的KEY认证接口实现的，有关该接口的说明参见表2：

表2

业务服务器为第三方网站提供的KEY验证接口接口地址：SSO Server IP地址：端口/user/verifykey.do参数：序号字段名称类型释意值1adminaccString[1～32]业务服务器为第三方网站提供的验证帐号1～32位字符串(字母和数字)2adminpinString[1～32]业务服务器为第三方网站提供的验证密码1～32位字符串(字母和数字)，3saccountnumberString[1～32]用户终端帐号1～32位数字字符串4keyString[1～32]业务服务器生成的一个随机字符串1～32位数字字符串说明：1、输入参数采用HTTP POST或GET方式，推荐使用POST方式。2、所有参数名全部小写举例http：//192.168.0.1:8080/user/verifykey.do？adminacc＝admin&adminpin＝admin&saccountnumber＝057188880000&key＝12345678901234567890123456789012返回值：序号参数名类型释意值1无String[2]执行开户返回的结果值00验证通过01输入的key参数无效02KEY不存在或已失效03其他内部错误

需要强调的是：为防止恶意攻击，第三方网站发起的验证必须到指定域名或IP地址的业务服务器进行验证，不能解析发起申请方提供的非指定的IP地址或域名。

以上是实现本发明的较佳实施例，当然，也可以有简化的实现方式，比如，在上述步骤206中可以不包含第三方网站为门户网站提供的认证信息，和/或，在上述步骤207中不包含业务服务器为第三方网站提供的认证信息，这样虽然可以同样实现本发明目的，但安全性不好。

以上是以终端帐号为例进行说明的，在实际应用中还可以为终端新生成一标示符而不限于一定使用终端帐号，可见只要是能表明终端的终端标识即可。

本发明还提供了一种基于IP网络实现转接第三方登陆认证的系统，参见图3，包括终端310、门户网站320、业务服务器330以及第三方网站340，其中，

门户网站320用于根据来自终端310的登陆第三方网站请求，从业务服务器(Web Server)330中获取加密密钥(KEY)，向第三方网站340发送包含加密密钥以及终端标识的链接请求；将接收到的来自第三方网站340的登录后的界面转发给终端310；该终端标识可以是终端帐号，或为终端新生成的标识符；

第三方网站340用于根据接收到的链接请求向业务服务器330发送包含接收到的加密密钥及终端标识的验证请求，在收到业务服务器330反馈的验证成功信息后，将登录后的界面返回给门户网站320；

业务服务器330用于根据接收到的验证请求，对加密密钥及终端标识进行验证，并给第三方网340站返回验证结果；

终端310用于登陆门户网站320，或通过门户网站320转接登陆到第三方网站340。

门户网站320向第三方网站340发送的链接请求中还可以包括：第三方网站340为门户网站320提供的认证信息；此时，第三方网站340接收到所述链接请求后，先根据为门户网站320提供的认证信息验证门户网站320合法后，再向业务服务器330发送验证请求。

第三方网站340向业务服务器330发送的验证请求中进一步包括：业务服务器330为第三方网站340提供的认证信息；此时，业务服务器330接收到所述验证请求后，还用于根据为第三方网站340提供的认证信息验证第三方网站340合法后，再对接收到的加密密钥及终端标识进行验证。

本发明还提供了一种第三方网站，参见图4，包括接口单元341以及主控单元342，其中，

接口单元341，用于将接收到的请求传送给主控单元342；根据接收到的通知发送相应信息；

主控单元342，用于确定接收到的请求是来自门户网站的包含加密密钥及终端标识的链接请求后，通知接口单元341向业务服务器发送验证请求，该验证请求中包含接收到的加密密钥及终端标识；确定接收到的请求是来自业务服务器的验证成功信息后，通知接口单元341将登录后的界面传送给门户网站。

主控单元342接收到的来自门户网站的链接请求中还包括：第三方网站为门户网站提供的认证信息；此时，主控单元342还用于根据为门户网站提供的认证信息验证门户网站合法后，再通知接口单元341向业务服务器发送验证请求。

此外，主控单元342通知接口单元341向业务服务器发送的验证请求中还可以包括：业务服务器为所述第三方网站提供的认证信息。

本发明还提供了一种业务服务器，参见图5，包括接口单元331以及主控单元332，其中，

接口单元331用于将接收到的请求传送给主控单元332，根据接收到的通知发送相应信息；

主控单元332用于确定接收到的请求是来自门户网站的包含终端标识的单点登陆认证SSO请求，生成加密密钥，通知接口单元331给门户网站返回所述加密密钥；确定接收到包含加密密钥及终端标识的验证请求后，对所述加密密钥及终端标识进行验证，通知接口单元331给第三方网站返回验证信息。

主控单元332接收到的来自第三方网站的验证请求中还可以包括：业务服务器为所述第三方网站提供的认证信息；此时，主控单元332还用于根据为第三方网站提供的认证信息验证所述第三方网站合法后，再对所述加密密钥及终端标识进行验证。

以上所述仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等，均包含在本发明的保护范围内。