本發(fā)明涉及用戶認證方法和系統(tǒng)。特別地，本發(fā)明涉及通過用戶操作的電子設備對用戶進行遠程認證。

背景技術(shù)：

在很多情況下，用戶需要被遠程認證，以使遠程配置一方能夠核實連接該遠程配置一方的用戶的身份。特別地，在數(shù)字通信應用中，尤其是進行在線服務時，就是這種情況。例如，在電子商務、網(wǎng)上交易和銀行業(yè)務、數(shù)字服務提供以及用戶賬戶注冊的領域中，通過互聯(lián)網(wǎng)連接中心服務器的用戶需要通過提供某些形式的能證明其身份的證明來被認證。

有很多常用技術(shù)能夠提供上述認證，從安全性較低的選擇，例如簡單地輸入用戶名和密碼的方式，到較為復雜的技術(shù)，例如基于公鑰基礎設施的系統(tǒng)，再到多因素認證解決方案，該多因素認證解決方案涉及發(fā)送至用戶控制的移動電話的SMS(短消息服務)消息、甚至生物測量數(shù)據(jù)等等。

這些常用技術(shù)的問題在于，用戶服務提供方要付出高昂的成本來提供這種認證程序。一般來說，為了提供足夠的安全性和用戶便利性，在很多情況下也需要提供復雜的或者不同的認證方法。尤其是對于小型用戶服務提供方來說，這意味著龐大的實施成本。

這些常用技術(shù)的另一個問題在于，對于個人用戶來說，很難記錄用于不同的用戶服務提供方的多種認證工具、登錄憑證等。

前述問題的一個已知的解決方案為，允許諸如知名的大型公司的第三方代表用戶服務提供方對用戶進行認證。示例包括所謂的OpenID倡議，相應地，使用開放認證標準Oauth，其中，認證方使用該Oauth能夠提供訪問令牌，所述訪問令牌的所有者使用該訪問令牌能夠獲得對認證方提供的定義服務子集的訪問。另一個示例為Facebook(注冊商標)Connect(臉書連接)。

然而，這些現(xiàn)有方法通常將一些特定需求強加給用戶，例如，第一次注冊賬戶需要使用特定的認證服務提供方。對于服務提供方而言，則希望增加靈活性和可能性，以為每個特定的認證需求選取適用的認證類型，諸如，根據(jù)被提供的服務的類型或者用戶使用的電子設備的類型。同時，能夠以更低的成本獲得認證服務也是服務提供方所希望的。

一個相關(guān)的問題在于，用戶不希望在與各種服務提供方進行訂單交易時重復地輸入諸如賬單地址之類的個人信息。同時，很多用戶服務提供方(諸如在線供應商)希望在諸如網(wǎng)上購物的訂單交易過程中盡可能早地獲取更詳細的用戶信息。

另一個問題在于，需要提供一個簡單有效的方式來允許認證服務提供方進行越界的用戶認證，在這種情況下，不同規(guī)則下的協(xié)議訪問和操作會對小型用戶服務提供方增加龐大的成本負擔。

技術(shù)實現(xiàn)要素：

本發(fā)明用于解決上述問題。

因此，本發(fā)明涉及一種用戶認證方法，其中，所述方法包括以下步驟：a)提供中心服務器，所述中心服務器與至少兩個認證服務提供方以及至少一個用戶服務提供方進行通信；b)使每個認證服務提供方分別與至少一個可用的認證等級相關(guān)聯(lián)；c)在中心服務器處接收來自用戶服務提供方的、對通過電子設備訪問用戶服務提供方的特定用戶進行認證的請求；d)識別用于所述請求的最小認證等級；e)促使中心服務器識別所述認證服務提供方中所選擇的認證服務提供方，所選擇的認證服務提供方與至少一個可允許的認證等級相關(guān)聯(lián)，所述可允許的認證等級至少高達所述最小認證等級，并且，所選擇的認證服務提供方能夠以所述可允許的認證等級對所述特定用戶進行認證；f)直接將與所述特定用戶相關(guān)聯(lián)的用戶憑證數(shù)據(jù)提供給所選擇的認證服務提供方，而不是將所述用戶憑證數(shù)據(jù)提供給所述中心服務器，或者，確定所選擇的認證服務提供方是否具有針對所述特定用戶的有效認證會話；以及g)促使所選擇的認證服務提供方對所述特定用戶進行認證，并提供認證應答。

此外，本發(fā)明涉及一種用戶認證系統(tǒng)，其中，該系統(tǒng)包括中心服務器，所述中心服務器與至少兩個認證服務提供方以及至少一個用戶服務提供方進行通信，其中，所述系統(tǒng)還包括數(shù)據(jù)庫，所述數(shù)據(jù)庫包括每個認證服務提供方分別與至少一個可用的認證等級之間的關(guān)聯(lián)關(guān)系，其中，所述中心服務器被配置為接收來自所述用戶服務提供方的、對通過電子設備訪問所述用戶服務提供方的特定用戶進行認證的請求，識別用于所述請求的最小認證等級，以及識別所述認證服務提供方中所選擇的認證服務提供方，所選擇的認證服務提供方與至少一個可允許的認證等級相關(guān)聯(lián)，所述可允許的認證等級至少高達所述最小認證等級，并且所選擇的認證服務提供方能夠以所述可允許的認證等級對所述特定用戶進行認證，其中，所述系統(tǒng)被配置為在此之后，直接將與所述特定用戶相關(guān)聯(lián)的用戶憑證數(shù)據(jù)從所述用戶服務提供方提供給所選擇的認證服務提供方，而不是將所述用戶憑證數(shù)據(jù)提供給所述中心服務器，或者，確定所選擇的認證服務提供方是否具有針對所述特定用戶的有效認證會話，以及其中，所述系統(tǒng)被配置為促使所選擇的認證服務提供方對所述特定用戶進行認證，并向所述用戶服務提供方提供認證應答。

附圖說明

在下文中，本發(fā)明將在一定程度上參考附圖進行更詳細地描述，其中：

圖1為根據(jù)本發(fā)明的一種系統(tǒng)的概略圖，該系統(tǒng)被配置為執(zhí)行根據(jù)本發(fā)明的方法；

圖2為示出了根據(jù)本發(fā)明的第一方面的方法的各個方法步驟的流程圖；

圖3為示出了根據(jù)本發(fā)明的第二方面的方法的各個方法步驟的流程圖；以及

圖4a–圖4g示出了由網(wǎng)絡瀏覽器在用戶電子設備的顯示屏上提供的各種界面。

所有附圖中的相同部分共享相應的參考數(shù)字。

具體實施方式

圖1示出了根據(jù)本發(fā)明的用于通過電子設備170、180對用戶進行認證的系統(tǒng)100。該系統(tǒng)100還被配置為執(zhí)行本文中根據(jù)本發(fā)明的各個方面所描述的方法。

在本發(fā)明的一個方面中，該系統(tǒng)100包括中心服務器101，該中心服務器101包括數(shù)據(jù)庫102，或者能夠與數(shù)據(jù)庫102進行通信；至少一個(優(yōu)選至少兩個，優(yōu)選多個)用戶服務提供方150(圖1中僅示出一個)；以及至少一個(優(yōu)選至少兩個，優(yōu)選多個)認證服務提供方110、120、130。在本發(fā)明的另一個方面中，該系統(tǒng)100僅包括中心服務器101、數(shù)據(jù)庫102以及由中心服務器101向所連接的認證服務提供方110、120、130和用戶服務提供方150提供的任何軟件，而該認證服務提供方110、120、130與該用戶服務提供方150不是系統(tǒng)100的一部分。

數(shù)據(jù)庫102包括關(guān)于已注冊的認證服務提供方110、120、130、用戶服務提供方150以及用戶的信息，例如不同情況所要求的最小允許認證等級。

用戶服務提供方150可以為能夠向用戶遠程提供服務的任何類型的提供方，例如在線供應商；公共服務供應方，例如圖書館、政府機構(gòu)等；財政機構(gòu)，例如網(wǎng)上銀行；支付提供方；網(wǎng)絡社區(qū)；通信服務；或者任何其他以需要用戶身份來提供至少一個所提供的服務的方式向用戶遠程提供服務的供應方。優(yōu)選地，用戶通過數(shù)字通信網(wǎng)絡(例如互聯(lián)網(wǎng))直接與服務提供方150進行通信。在下文中，當使用術(shù)語“互聯(lián)網(wǎng)”時，可以理解為可以使用任何類型的可應用的數(shù)字通信網(wǎng)絡，例如，有線或無線局域網(wǎng)，或廣域網(wǎng)。

該認證服務提供方110、120、130還可以為任何類型的能夠向用戶遠程提供認證服務、并且特別地被配置為執(zhí)行用戶認證的提供方，例如在線供應商；公共服務供應方，例如圖書館、政府機構(gòu)等；財政機構(gòu)，例如網(wǎng)上銀行；支付提供方；網(wǎng)絡社區(qū)；通信服務；或者任何其他要求用戶的身份的供應方，該供應方與每個用戶的關(guān)系由認證提供方110、120、130提供的用戶認證功能安全地建立。優(yōu)選地，該認證提供方110、120、130分別直接通過數(shù)字通信網(wǎng)絡(例如互聯(lián)網(wǎng))與每個用戶通信。

本文中使用的術(shù)語“認證服務”的含義為被遠程提供的用于對用戶進行認證的服務，包括以某個最小安全等級建立正確的用戶身份。該最小安全等級(例如，最小確信等級(LOA))在本文中稱為“認證等級”。該認證等級的示例為NIST(美國國家標準與科技研究所)提供的那些定義，根據(jù)該定義，存在至少四個基礎確信等級，從僅測試是否為同一個用戶在不同的場合訪問服務這樣的低安全性的程序(“第一等級”)，一直到根據(jù)用戶是否擁有強加密的密鑰進行認證這樣的高安全性的程序(“第四等級”)。如需更多信息，可以查閱www.nist.gov。本文中，優(yōu)選地，每個認證服務提供方110、120、130明確地與一個或者數(shù)個可用的明確定義的認證等級相關(guān)聯(lián)，該認證服務的要求得以滿足，并且每個認證服務提供方分別與某個最小支持的認證等級相關(guān)聯(lián)。可能的是，特定的認證服務提供方與不同的最小認證等級相關(guān)聯(lián)，這與不同的用戶有關(guān)。優(yōu)選地，該信息存儲在數(shù)據(jù)庫102中，并且能夠從該中心服務器101進行訪問。該信息可以例如在每個認證服務提供方110、120、130的初始注冊階段被提供，并且在隨后可以被更新，例如作為對與特定用戶相關(guān)的新信息的回應。也可能的是，根據(jù)請求提供與特定用戶相關(guān)的可用的認證等級，該請求由該中心服務器10向一個或數(shù)個認證服務提供方提出，該認證服務提供方已經(jīng)被識別為可用于對該用戶進行認證(見下文)。

應意識到的是，實體101、110、120、130、150中的每一個都可以實施為獨立的、與互聯(lián)網(wǎng)連接的服務器；分布式的或者虛擬的服務器集合；或者任何其他配置，只要該實體提供明確定義的界面以用于去往和來自該實體的通信。

每個用戶使用電子設備與系統(tǒng)100通信，優(yōu)選地，該電子設備被配置為通過諸如互聯(lián)網(wǎng)的數(shù)字通信網(wǎng)絡與該系統(tǒng)100進行通信。在圖1中，該設備被示例為所謂的智能手機類型的移動電話170以及便攜式電腦180。然而，該電子設備可以是任何能夠與該系統(tǒng)100通信的設備，例如筆記本電腦或者機器對機器接口。優(yōu)選地，該設備170、180為通用類型，并且優(yōu)選地，該設備分別包括能夠向同戶提供交互式圖形用戶界面的顯示屏171、181。

優(yōu)選地，該用戶為人類，但是在一些方面，該用戶也可以為機器對機器實施的系統(tǒng)中的由機器實施的通信部分。對于后者來說，該電子設備170、180可以被包含在該機器中，或構(gòu)成該機器。

圖2示出了根據(jù)本發(fā)明的第一方面的用戶認證方法。在步驟201中，該方法開始。

在步驟202中，提供中心服務器101，并且該中心服務器101被配置為與同樣提供的至少兩個認證服務提供方110、120、130以及至少一個用戶服務提供方150進行通信。應意識到的是，該步驟202能夠被提前執(zhí)行，并且在該方法被數(shù)次運行的情況下僅被執(zhí)行一次。

在步驟203中，每個認證服務提供方110、120、130分別與至少一個可用的認證等級相關(guān)聯(lián)。每個特定的提供方110、120、130可以與數(shù)個可用的該等級相關(guān)聯(lián)，在這種情況下，對于某個提供方110、120、130可用的等級中的一個等級被認為是最低的、或者最不安全的等級。例如，增加諸如用戶持有的物理令牌的另一個認證因素，或者增加加密將會使該認證等級更加安全。

根據(jù)優(yōu)選的實施例，在步驟204中，由某個認證服務提供方對用戶進行認證，該步驟可以在用戶服務提供方150對用戶進行認證的需求出現(xiàn)之前執(zhí)行。示例地，該步驟可能意味著該用戶成功地登入了由該認證服務提供方提供的網(wǎng)頁，或者該用戶以某個認證等級、通過任何其他適宜的方式提供該用戶的身份的證明。優(yōu)選地，步驟204中的這一認證包括用戶將某種類型的用戶憑證數(shù)據(jù)提供給認證服務提供方。

在本文中，“憑證數(shù)據(jù)”被理解為用戶通過電子設備提供的所有類型的用戶特定信息，并且該用戶特定信息能夠被認證方用于識別或者證明該用戶的身份，例如用戶名-密碼組合；PIN碼；加密密鑰；哈希值；諸如指紋信息的生物辨識數(shù)據(jù)等。

換言之，在步驟204之后，該認證服務提供方保存關(guān)于用戶的信息，特別是用戶憑證數(shù)據(jù)，該用戶憑證數(shù)據(jù)允許認證服務提供方以特定的認證等級進行用戶認證。該認證可以與該認證服務提供方向用戶提供某種類型的服務的操作相結(jié)合來執(zhí)行。在步驟204或者步驟221(見下文)中的認證之后，優(yōu)選地，該認證服務提供方擁有關(guān)于所認證的用戶的有效認證會話。這意味著用戶在所述會話為有效期間，在預設時間段內(nèi)被再次進行認證時，不必提供憑證數(shù)據(jù)。該時間段可以由認證服務提供方定義。

優(yōu)選地，在步驟205中，該認證服務提供方(更優(yōu)選地，認證服務提供方110、120、130中的數(shù)個或者全部)被促使能夠由個人用戶進行遠程配置，如此，使得這些認證服務提供方能夠?qū)㈥P(guān)于其自身對該用戶進行認證的能力的信息提供至中心服務器101。如此，該用戶可以對該認證服務提供方進行遠程指示，優(yōu)選地，通過互聯(lián)網(wǎng)進行遠程指示，并且優(yōu)選地，與認證步驟204相結(jié)合，例如，經(jīng)由作為網(wǎng)頁的集成部分被提供的用戶控件進行指示，該網(wǎng)頁作為成功登入該認證服務提供方的結(jié)果被顯示出，以指示該認證服務提供方根據(jù)來自中心服務器101的請求、或自動根據(jù)用戶的認證來提供用于指示該認證服務提供方能夠至少以所述認證等級對用戶進行認證的信息，并且優(yōu)選地，在后續(xù)的步驟224中，指示該認證服務提供方向圖形用戶服務界面提供用戶信息(見下文)。

特別地，在步驟206中，該認證服務提供方110、120、130中的數(shù)個或者全部被配置為在用戶已經(jīng)由該認證服務提供方進行認證時向中心服務器101進行通知。

在優(yōu)選的步驟207中(該步驟207優(yōu)選作為關(guān)于設置中心服務器101與某個認證服務提供方110、120、130之間的關(guān)聯(lián)的初始步驟被執(zhí)行，但是，該步驟207可以在步驟218之前的任何時間被執(zhí)行)，將第二交互式圖形用戶界面的模板分別提供給將使用該模板的那個或者那些認證服務提供方，具體見下文。

根據(jù)本發(fā)明的所述第一方面，在步驟211中，中心服務器101接收來自所述一個或數(shù)個用戶服務提供方中的一個用戶服務提供方150的、對通過電子設備170或180訪問該用戶服務提供方150的特定用戶進行認證的請求。該請求可以通過不同的方式來提供。

示例地，用戶可以直接向中心服務器101提供用于指示該用戶希望使用特別指定的認證服務提供方110、120或130來進行認證的信息，相應地，針對該意愿提供適當?shù)恼J證等級。另一個示例中，可以將可用的認證服務提供方的列表呈現(xiàn)給用戶，該可用的認證服務提供方與中心服務器101進行通信，并以此能夠傳遞適當?shù)恼J證等級，用戶能夠從該列表中選擇某個認證服務提供方用以進行后面的認證步驟220。

然而，圖2示例出一種優(yōu)選的代替方式，根據(jù)該方式，用戶首先發(fā)起與用戶服務提供方150的連接，接下來，該用戶服務提供方可能通過該用戶服務提供方向用戶提供的界面請求該中心服務器101對用戶進行認證。綜合前述的和將要在下文中解釋的內(nèi)容，中心服務器101可以自動決定將使用哪一個指定的認證服務提供方對用戶進行認證。

因此，在優(yōu)選的步驟208中，由用戶服務提供方150提供第一交互式圖形用戶界面。例如，該用戶服務提供方150包括網(wǎng)絡服務器，該網(wǎng)絡服務器提供網(wǎng)頁作為第一界面。在步驟209中，通過該第一界面，用戶被提供對該用戶服務提供方150的遠程接入，該第一界面在用戶使用的設備170、180的顯示屏171、181上顯示給用戶。例如，該設備170、180可以包括網(wǎng)絡瀏覽器，該網(wǎng)絡瀏覽器被配置為讀取和顯示由該用戶服務提供方150網(wǎng)絡服務器提供的第一界面。

在優(yōu)選的步驟210中(該步驟210可以在步驟225之前的任意時間被執(zhí)行，但最好在步驟211之前執(zhí)行)，特定的用戶服務交易被識別，該交易將由該用戶服務提供方150為用戶、對用戶或者代表用戶來執(zhí)行，并且在執(zhí)行之前，要求該用戶進行認證。

接下來，在步驟211中，用戶服務提供方150請求中心服務器101對用戶進行認證，換言之，提供用戶認證服務。優(yōu)選地，該請求包括或者暗示指定的可允許的認證等級，該認證等級由交易的類型和/或特定的用戶服務提供方和/或特定的用戶或用戶分類決定。該可允許的認證等級為在當前狀況下被允許用于對用戶進行認證的最小認證等級。數(shù)據(jù)庫102可以包括關(guān)于何種交易類型、特定的用戶服務提供方和特定的用戶和/或用戶分類需要何種最小認證等級的信息。

根據(jù)優(yōu)選的實施例，用于每個認證服務提供方110、120、130的最小可允許的認證等級被促使取決于參數(shù)集合中的至少一者，該參數(shù)集合包括：電子設備的類型；用于用戶訪問用戶服務提供方的圖形用戶界面的類型和/或提供方；該認證服務提供方對用于識別特定用戶的信息的訪問；電子設備的地理位置；和/或與該認證服務提供方之間的有效認證會話的存在性。

如圖3(見下文)所示，應意識到的是，步驟211中的請求也可以由該服務提供方150、通過第一圖形界面以一種間接的方式來執(zhí)行。在請求的時刻，該服務提供方150并不直接被涉及，而是由例如代表該用戶服務提供方150的設備170、180執(zhí)行。

在步驟212中，根據(jù)本發(fā)明的所述第一方面，優(yōu)選地，由中心服務器101根據(jù)所述可用的認證相關(guān)信息確定用于所述請求的可允許的認證等級，該等級為在當前狀況下對用戶進行認證所需要的等級。

在步驟214中，中心服務器被配置為識別所述認證服務提供方110、120、130中所選擇的認證服務提供方，所選擇的認證服務提供方與至少一個認證等級相關(guān)聯(lián)，該認證等級至少高達可允許的認證等級，該認證服務提供方能夠以該可允許的認證等級對所述特定用戶進行認證。

根據(jù)優(yōu)選的步驟213，在步驟214之前，無論在什么狀況下，中心服務器101被配置為首先分別為數(shù)個認證服務提供方110、120、130識別用于以可允許的認證等級執(zhí)行用戶認證所提供的售價。例如，中心服務器101可以被配置為請求各個售價，每個認證服務提供方分別有意愿以各自的售價執(zhí)行該用戶認證，優(yōu)選地，是在了解特定用戶要進行認證的情況下?？商鎿Q地，中心服務器101已經(jīng)預先從數(shù)個認證服務提供方接收到與各種類型的認證相關(guān)的價格列表。

一旦認證服務提供方已經(jīng)對該請求作出應答，或者該價格列表信息已經(jīng)被解析，中心服務器101被配置為識別以各自可允許的等級提供最低售價的至少一個(優(yōu)選地，恰好是一個)認證服務提供方，并使用該認證服務提供方作為所選擇的認證服務提供方，如下文描述的。

根據(jù)一個優(yōu)選的實施例，在能夠至少提供可允許的認證等級的認證服務提供方110、120、130中執(zhí)行一輪或數(shù)輪競拍，該競拍的最終勝者作為所選擇的認證服務提供方以用于認證。

也可能的是，中心服務器101通過諸如第一圖形用戶界面的用戶服務提供方150允許用戶從出價最低的認證服務提供方的集合中選擇要使用哪一個認證服務提供方。

在優(yōu)選的步驟215中，中心服務器101評估至少一個認證服務提供方是否能夠被識別為是所選擇的認證服務提供方。例如，所連接的認證服務提供方中沒有能夠至少提供該可允許的認證等級的認證服務提供方，或者沒有能夠?qū)μ囟ㄓ脩暨M行認證的認證服務提供方。如果有認證提供方在步驟214中被識別出，該方法跳至步驟217。反之，優(yōu)選地，不執(zhí)行步驟217至225，而是在步驟216中，由用戶服務提供方150代為對該特定交易的特定用戶進行認證，而不涉及任何所述的認證服務提供方110、120、130。優(yōu)選地，這意味著用戶服務提供方150執(zhí)行其自身的、慣常的、默認的程序，以對用戶進行認證。

在優(yōu)選的步驟217中，通過圖形用戶界面，優(yōu)選地，通過在顯示屏171、181上的前述第一圖形用戶界面向用戶呈現(xiàn)選項，以便用戶決定是否使用認證服務提供方110、120、130中的一個認證服務提供方進行認證。優(yōu)選地，此時對于用戶來說，在步驟214中，不是必須要從認證服務提供方中識別出哪個認證服務提供方。如果用戶選擇不允許進行該認證，則該方法跳轉(zhuǎn)至步驟216，而不執(zhí)行步驟218至225。

更優(yōu)選地，步驟217中所呈現(xiàn)的選項被包含在用戶與用戶服務提供方150提供給該用戶的交互式圖形用戶界面之間的第一交互行為中，該第一交互行為與關(guān)于交易的用戶認證相關(guān)。因此，優(yōu)選地，用戶服務提供方150、認證服務提供方110、120、130以及上文描述的與前述步驟相關(guān)的中心服務器101這三者之間的通信是完全自動的，并且不需要任何用戶交互行為。換言之，當例如從作為該用戶服務提供方150的在線供應商加載結(jié)算頁面時，用戶控件可以被自動包含在該頁面中，當該用戶控件被用戶激活后，該用戶控件可以確認用戶希望允許認證服務提供方110、120、130中的任一個認證服務提供方，或者至少是用戶先前同意使用的所述提供方中的任一個提供方來執(zhí)行該購買過程的用戶認證，其中，可以在先前被提供給中心服務器的偏好設置中，或者通過檢查對每個供應者各自的網(wǎng)頁的相應控制，來確認該用戶先前同意使用的提供方。

根據(jù)本發(fā)明的所述第一方面，在此之后，可以進行步驟219或者步驟220，其中，在步驟219中，與該用戶相關(guān)聯(lián)的用戶憑證數(shù)據(jù)直接被提供至所選擇的認證服務提供方，而不被提供至中心服務器101，在步驟220中，可以確定所選擇的認證服務提供方已經(jīng)擁有針對該用戶的有效認證會話。

因此，在步驟219或者步驟220中，中心服務器101作為純粹的媒介，以將用戶服務提供方150與數(shù)個可用的認證服務提供方110、120、130中的一個認證服務提供方綁定在一起，而不獲取執(zhí)行該認證所需的特定憑證信息的實際內(nèi)容。由于該憑證數(shù)據(jù)不被提供給中心服務器101，所以該憑證數(shù)據(jù)既不被存儲在中心服務器101中，也不被存儲在數(shù)據(jù)庫102中。

根據(jù)優(yōu)選的實施例，步驟219的操作由步驟218所促成，在步驟218中，上文涉及的第一圖形用戶界面被配置為轉(zhuǎn)而激活第二用戶界面。接下來，該第二用戶界面被配置為允許該用戶直接與所選擇的認證服務提供方進行通信，從而在不經(jīng)過中心服務器101的情況下將該用戶憑證數(shù)據(jù)提供給所選擇的認證服務提供方。

根據(jù)一個優(yōu)選的實施例，第二用戶界面為交互式圖形用戶界面，該交互式圖形用戶界面在電子設備170、180的顯示屏171、181上被提供給用戶，并且用戶能夠通過該第二用戶界面輸入憑證數(shù)據(jù)。

例如，在這種情況下，第二圖形界面可以為本地安裝的形式，或者為由第一圖形界面激活的遠程訪問的應用程序的形式，并且通過該激活操作，顯示屏171、181的活動視窗被轉(zhuǎn)移到該應用程序上。然而，根據(jù)優(yōu)選的實施例，第二圖形用戶界面作為第一圖形用戶界面的集成圖形子界面被提供，例如，該第二圖形用戶界面位于諸如內(nèi)嵌框架的特定子部件的內(nèi)部，該特定子部件在包含在第一圖形用戶界面中的網(wǎng)頁內(nèi)部被提供。例如，第二圖形用戶界面可以被實施為第一界面中的特定圖形區(qū)域，或者由第一界面發(fā)起并從該第一界面彈出的彈出式對話框。在前述以及類似的示例中，第二界面通常包括用戶控件，該用戶控件可激活用于記錄或輸入、并提供為了對與要執(zhí)行的交易相關(guān)的用戶進行認證所特別選擇的憑證數(shù)據(jù)。

在特別優(yōu)選的實施例中，在由用戶服務提供方150進行初始化后，第二界面由所選擇的認證服務提供方自身填充內(nèi)容。如果在步驟207中，由中心服務器101將相關(guān)模板提供給了所選擇的認證服務提供方，該模板即被優(yōu)選地用作具有該用戶控件的第二界面的填充基礎。例如，用于輸入用戶名和密碼的模板可以包括標簽、用于用戶名和密碼的用戶輸入欄、以及認證服務提供方能夠插入自身標識的區(qū)域。同時，連接到條款和協(xié)議的標準化集合的鏈接等也作為該模板的一部分被提供?？偠灾?，優(yōu)選地，同樣的模板被提供給數(shù)個認證服務提供方，以使在使用不同的認證服務提供方時，終端用戶的用戶體驗可以變得盡可能的相似。因此，在這種情況下，所選擇的認證服務提供方將實際的第二圖形用戶界面提供給用戶服務提供方150，或者優(yōu)選地，直接提供給設備170、180，以基于所述模板將此作為第一圖形用戶界面的一部分提供給該用戶。

根據(jù)另一優(yōu)選的實施例，第二界面可以由特定的軟件或者硬件來提供，該軟件或硬件不是第一圖形界面的一部分，但由該第一圖形界面發(fā)起，例如，激活設備上的指紋傳感器來讀取用戶的指紋，并將相關(guān)數(shù)據(jù)提供給中心服務器101；激活用戶移動電話的移動電話運營商以向該移動電話的電話號碼(MSISDN)發(fā)送SMS(短消息服務)，該SMS包括將由用戶手動提供給用戶服務提供方的字母數(shù)字混合驗證，或者向所述移動電話提供對重新輸入SIM(用戶識別模塊)PIN碼的請求；激活在電子設備本地可激活的基于密碼的認證程序；等等。

如上所述，在可替換的步驟220中，確定已經(jīng)存在有效認證會話，該認證會話涉及所選擇的認證服務提供方以及該用戶，在這種情況下，第二界面不被呈現(xiàn)，而以該方法跳至步驟221作為替代。例如，中心服務器101可以收集關(guān)于該有效認證會話的信息，或者第一界面可以根據(jù)發(fā)往所選擇的認證服務提供方的、對提供第二界面的請求來接收該信息，。

在此之后，在根據(jù)本發(fā)明的步驟221中，所選擇的認證服務提供方對特定用戶進行認證。如果步驟219中提供了憑證數(shù)據(jù)，則該認證包括所選擇的認證服務提供方核查該憑證數(shù)據(jù)。如果步驟220中確定存在有效會話，則該認證包括所選擇的認證服務提供方核查所述有效認證會話，在這種情況下，步驟220和步驟221可以為同一個步驟。

在隨后的步驟222中，將認證應答提供至用戶服務提供方150。該認證應答可以為：不存在可行的認證，例如，由于用戶沒有將正確的憑證數(shù)據(jù)提供給認證服務提供方，或者該認證應答可以為：認證基于所提供的用戶憑證數(shù)據(jù)或者存在有效認證會話這一事實而被合法執(zhí)行。優(yōu)選地，該認證應答通過中心服務器101從所選擇的認證服務提供方被提供至用戶服務提供方150。

根據(jù)優(yōu)選的實施例，用戶服務提供方150之后被提供有對用戶信息的訪問，優(yōu)選地，從所選擇的認證服務提供方、并通過中心服務器101向用戶服務提供方150提供對用戶信息的訪問，該用戶信息預先由所選擇的認證服務提供方存儲，并在該所選擇的認證服務提供方中與該特定用戶相關(guān)聯(lián)。根據(jù)可替換的實施例，所述用戶信息由中心服務器直接從認證服務提供方(或者數(shù)個認證服務提供方，如下文所示)提供至用戶服務提供方，該中心服務器能夠在用戶服務提供方與認證服務提供方之間提供直接的通信信道。

在本文中，術(shù)語“用戶信息”的含義為特定于該用戶的任何用戶元數(shù)據(jù)信息，例如姓名、送貨和發(fā)票地址、電話號碼、信用卡信息、服裝尺寸、聯(lián)系人列表、優(yōu)選配置選項、過往用戶行為等。優(yōu)選地，該用戶元數(shù)據(jù)已經(jīng)由該用戶作為步驟204中用戶與所選擇的認證服務提供方之間的交互行為的一部分提供，該過程在由有效認證會話提供的安全保障下進行，例如在服務的訂購過程中，其中，該訂購服務的遞送需要由用戶提供用戶信息。

優(yōu)選地，所述用戶信息由用戶服務提供方150所使用，以自動填充由該用戶服務提供方150通過電子設備170、180提供給用戶的圖形用戶界面中相應的用戶輸入欄，該圖形用戶界面例如為第一圖形界面。因此，該用戶服務提供方150所需要的用戶信息中的全部或者僅一個子集對于認證服務提供方而言可用于進行這種自動填充。根據(jù)一個優(yōu)選的實施例，所有可用的用戶信息作為前述認證應答的一部分被提供。可替換地，中心服務器101將分離的界面提供給用戶服務提供方150，用以查詢可用的用戶信息。

進一步優(yōu)選地，在獲得該用戶的明確認可之后，對用戶信息的訪問只被提供給用戶服務提供方150。或多或少出于通用的目的，該認可可以在初始階段或者晚些時候被遞送，其中，在該初始階段中，用戶向用戶服務提供方150、中心服務器101或者認證服務提供方進行注冊。根據(jù)圖2中所示的優(yōu)選的實施例，在步驟223中，在所述第一圖形界面中向用戶呈現(xiàn)選項，以利用可用的用戶數(shù)據(jù)自動填充輸入欄，或者僅填充某個特定的輸入欄，示例地，該選項以可激活的用戶控件的形式被呈現(xiàn)。

如果用戶選擇自動填充界面中的輸入欄，該自動填充過程在優(yōu)選的步驟224中執(zhí)行。無法自動填充的輸入欄由用戶手動填寫。

此后，在步驟225中，步驟210中識別的交易由與該用戶相關(guān)的用戶服務提供方150執(zhí)行。該交易可以為：涉及資金轉(zhuǎn)移的商品或服務的訂購和購買；信息的發(fā)布或傳遞；訂閱的激活；用戶信息的修改；或者任何其他慣有的用戶服務。

在步驟226中，該方法結(jié)束。

根據(jù)優(yōu)選的實施例，該特定用戶通過電子設備170、180上的網(wǎng)頁瀏覽器來訪問所選擇的認證服務提供方和用戶服務提供方150。該實施例在圖3所示并將在下文進行描述的根據(jù)本發(fā)明的第二方面的方法中也同樣適用。以下對根據(jù)本發(fā)明的第二方面的方法進行的描述將進一步提供對上文描述的根據(jù)本發(fā)明的第一方面的方法的某些優(yōu)選方面更詳細的描述。

至此，在步驟301中，該方法開始。

在步驟302中，與步驟202相似，提供中心服務器101、至少一個(優(yōu)選數(shù)個，優(yōu)選多個)認證服務提供方110、120、130、以及至少一個(優(yōu)選數(shù)個，優(yōu)選多個)用戶服務提供方150。該中心服務器101與該認證服務提供方110、120、130以及該用戶服務提供方150兩者進行通信。

根據(jù)本發(fā)明的第二方面，認證服務提供方被配置為分別通過各自的認證網(wǎng)絡界面對用戶進行認證。無疑地，該網(wǎng)絡界面為交互式圖形用戶界面的示例。此外，用戶服務提供方被配置為分別通過各自的用戶服務網(wǎng)絡界面將用戶服務提供給特定用戶。此外，所述網(wǎng)絡界面通過供或由電子設備170、180運行的(例如通過遠程提供的網(wǎng)絡瀏覽服務)同一個網(wǎng)絡瀏覽器來被提供給用戶，該電子設備170、180屬于該用戶。用戶服務網(wǎng)絡界面對應于前述結(jié)合圖2描述的第一用戶界面。

在優(yōu)選的步驟303中，所述認證網(wǎng)絡界面由所述認證服務提供方110、120、130中的至少一個認證服務提供方來提供，例如，通過使由包含在所述提供方110、120、130中的網(wǎng)絡服務器提供的相應網(wǎng)頁變得可用。

根據(jù)本發(fā)明的第二方面，使用所述網(wǎng)絡瀏覽器來為特定用戶提供對認證網(wǎng)絡界面的訪問，該認證網(wǎng)絡界面為所述認證服務提供方110、120、130中特定的一個認證服務提供方的認證網(wǎng)絡界面，并且，該用戶由該特定的認證服務提供方以與上文結(jié)合步驟204描述的方式相似的方式進行認證。

一旦進行了用戶認證，則特定的認證服務提供方的認證網(wǎng)絡界面被促使允許中心服務器101在前述網(wǎng)絡瀏覽器中置入cookie，其中，該網(wǎng)絡瀏覽器例如為由特定用戶使用的電子設備170、180上的網(wǎng)絡瀏覽器，該cookie為中心服務器101識別特定的認證服務提供方。

在圖3中所示的示例性實施例中，其涉及步驟304至步驟310。

在步驟304中，設備170、180的網(wǎng)絡瀏覽器從特定的認證服務提供方請求網(wǎng)頁，接下來，在步驟305中，該特定的認證服務提供方的網(wǎng)絡服務器功能用HTML(超文本標記語言)代碼或者相應形式的認證網(wǎng)絡界面頁面進行回復。優(yōu)選地，該網(wǎng)頁包括輸入欄，該輸入欄用于用戶填寫需要傳遞給該特定的認證服務提供方的用戶憑證數(shù)據(jù)，且該用戶憑證數(shù)據(jù)后續(xù)用于如上所述的用戶認證。因此，在步驟306中，用戶使用該網(wǎng)頁將所述憑證數(shù)據(jù)提供至該特定的認證服務提供方。

根據(jù)優(yōu)選的實施例，在步驟307中(該步驟307可類似于步驟205，且可以在沒有步驟304到步驟306的情況下執(zhí)行)，用戶還被提供了選項，該選項用于允許該特定的認證服務提供方將關(guān)于用戶認證狀態(tài)的信息提供至中心服務器101，并且優(yōu)選地，在后續(xù)的步驟331中，該選項還能夠?qū)⒂脩粜畔⑻峁┲劣脩舴仗峁┓?50(見下文)。優(yōu)選地，該選項被配置作為在步驟305中提供的認證服務提供方網(wǎng)頁的集成部分，例如，可激活的用戶控件。

圖4a示出了前述認證服務提供方網(wǎng)頁410的示例，該網(wǎng)頁410由認證服務提供方110提供，且被顯示在設備180的顯示屏181上，并因此對用戶可視。多個用戶控件411允許用戶輸入用戶特定的憑證數(shù)據(jù)，并通過點擊“登錄”按鈕412將其傳送至認證服務提供方110。

圖4b示出了在按鈕412被點擊之后，網(wǎng)絡界面的示例性狀態(tài)420，其中，用戶控件421(步驟307)用于允許認證服務提供方410在后續(xù)的通過中心服務器101進行的用戶認證中被使用。

事實上，用戶控件421代表優(yōu)選的實施例中的一個示例，其中，在步驟308中，中心服務器101認證內(nèi)容被提供，該內(nèi)容作為認證網(wǎng)絡界面的網(wǎng)頁410的一部分并被包含在該網(wǎng)頁410中，并且該內(nèi)容從中心服務器101中被抓取。

在本文中，“中心服務器認證內(nèi)容”的含義為網(wǎng)頁內(nèi)容，該網(wǎng)頁內(nèi)容的顯示或者激活需要一個調(diào)用，例如，通過請求相應的中心服務器101的URL(統(tǒng)一資源定位符)執(zhí)行的從設備180的網(wǎng)絡瀏覽器到中心服務器101的重定向。在圖4b所示的情況下，激活該控件421中的“是”按鈕將會引起到該中心服務器101的相關(guān)調(diào)用。在另一個優(yōu)選的示例中，如圖3中的步驟308到步驟309所示，中心服務器內(nèi)容的顯示因此需要在步驟309中執(zhí)行到中心服務器101的重定向，其中，該中心服務器內(nèi)容可以例如為：諸如空的內(nèi)嵌框架的無形內(nèi)容，被動顯示的或者諸如此類的圖片，或者可激活的用戶控件等等，并且該中心服務器內(nèi)容指向由中心服務器101提供的網(wǎng)絡服務器或類似設備。因此，在后者的情況下，不存在明確的完成所述到中心服務器101的調(diào)用所需的用戶交互行為。

接下來，該中心服務器101被配置為在例如電子設備180上的前述網(wǎng)絡瀏覽器中置入cookie，該cookie作為對來自請求所述中心服務器101認證內(nèi)容的認證網(wǎng)絡界面的該調(diào)用或重定向的應答的一部分。對于該cookie的置入可以按照慣用的方式執(zhí)行。優(yōu)選地，該cookie附帶指定的期滿時間。在本文中，在上下文中出現(xiàn)的術(shù)語“調(diào)用”意圖包含重定向。

在圖4b所示的情況下，其中，所述中心服務器101認證內(nèi)容包括用戶控件421，該用戶控件421可激活以用于允許該認證服務提供方110提供與用戶服務提供方150相關(guān)的用戶認證，其中，該用戶服務提供方150與中心服務器101通信，該cookie被促使包括關(guān)于該特定的認證服務提供方的認證是否已被用戶允許的信息，可替換地，如果該用戶控件421未被激活則不置入cookie。

綜上所述，優(yōu)選地，中心服務器101認證內(nèi)容被包含在網(wǎng)頁中，該網(wǎng)頁在用戶已被認證的狀態(tài)下在認證網(wǎng)絡界面181中被顯示給用戶，換言之，該狀態(tài)中存在有效的用戶認證會話。優(yōu)選地，該內(nèi)容作為確認用戶認證成功的網(wǎng)頁的一部分被顯示。

可以意識到的是，步驟303到步驟310與步驟204到步驟206相對應。換言之，中心服務器101在被認證網(wǎng)絡界面調(diào)用之后對cookie的置入的動作構(gòu)成了通知該中心服務器101該被執(zhí)行的認證的示例。

在優(yōu)選的步驟311中，與步驟207相似，可以從中心服務器101向認證服務提供方110提供模板。

接下來，根據(jù)本發(fā)明的第二方面，在步驟312中，特定的用戶服務提供方150使用供或由與步驟304到步驟310中相同的電子設備180運行的相同的網(wǎng)絡瀏覽器，為用戶提供對上述的用戶服務網(wǎng)絡界面的訪問。在步驟314中，用戶請求網(wǎng)頁，例如，通過用戶進入在線供應商的網(wǎng)站以購買一個或數(shù)個產(chǎn)品。

作為該操作的結(jié)果，步驟310中置入的cookie在步驟318中以將在下文描述的方式被提供至中心服務器101。

特別地，優(yōu)選地，向中心服務器101提供cookie的操作可以由包括從中心服務器101抓取的中心服務器101用戶服務內(nèi)容的用戶服務網(wǎng)絡界面、以及接收作為調(diào)用的一部分的cookie的中心服務器101來進行，其中，該調(diào)用來自請求所述內(nèi)容的用戶服務網(wǎng)絡界面。在本文中，術(shù)語“中心服務器用戶服務內(nèi)容”的含義與“中心服務器認證內(nèi)容”的含義相似，但是作為用戶服務網(wǎng)絡界面的一部分、而不是認證服務網(wǎng)絡界面被提供。

圖4c中示出了用戶服務網(wǎng)絡界面中的產(chǎn)品結(jié)算頁面430，該頁面430在從用戶服務提供方150中被抓取之后，被顯示在設備180的顯示屏181上。該網(wǎng)絡界面包括用戶控件432，該用戶控件432用于輸入用戶信息，并向用戶服務提供方150傳送該用戶信息?！翱焖俳Y(jié)算”按鈕431構(gòu)成了中心服務器101用戶服務內(nèi)容，從某種意義上講，對該按鈕431的激活導致了到中心服務器101的調(diào)用或者重定向，和/或，從某種意義上講，該按鈕431的顯示本身就導致了到中心服務器101的調(diào)用或者重定向。對于后者來說，根據(jù)下文結(jié)合步驟319描述的識別操作的結(jié)果，該內(nèi)容431被配置為由中心服務器101自動更新以顯示步驟315中呈現(xiàn)的選項，例如，通過只有當可用的認證服務在步驟319中已經(jīng)被識別到時顯示該按鈕431的方式。

步驟313與步驟210類似，并且可以在步驟334之前的任意時刻執(zhí)行，但優(yōu)選是步驟315之前執(zhí)行，在該步驟313中，將由用戶服務提供方150執(zhí)行的交易被識別。

因此，在優(yōu)選的步驟315(與步驟217類似)中，向用戶呈現(xiàn)用于使用中心服務器101進行認證的選項。該選項被示例為按鈕431。此外，如果用戶不希望通過該中心服務器101進行認證，他或她可以選擇退出，在這種情況下，步驟316中的方法促使用戶服務提供方150按照其默認方式執(zhí)行認證，該默認方式可以為慣常的、與步驟216相似的方式。在圖4c中，該操作可以通過用戶在輸入欄432中填寫用戶數(shù)據(jù)然后點擊按鈕461而不是按鈕431的方式來進行。

另一方面，如果用戶希望繼續(xù)通過中心服務器101進行認證，按鈕431被點擊，于是，該方法繼續(xù)進行至優(yōu)選的步驟317，在該步驟317中，用戶服務網(wǎng)絡頁面430中的中心服務器101用戶服務內(nèi)容的存在促使到中心服務器101的重定向或者調(diào)用。

如上所述，可以理解的是，步驟313、步驟314、步驟315以及步驟317可以根據(jù)該方法的具體目的以不同的順序執(zhí)行。例如，通過呈現(xiàn)需要到中心服務器101的調(diào)用的網(wǎng)頁內(nèi)容432，步驟317中的調(diào)用可以在步驟315之前被執(zhí)行。步驟317也可以針對同樣的交易被執(zhí)行數(shù)次。

由于在步驟317中該到中心服務器101的調(diào)用，中心服務器101獲得對上述步驟310中置入的cookie的訪問，優(yōu)選地，該訪問作為步驟317中的調(diào)用的一部分，因此，中心服務器101能夠?qū)⒄J證服務提供方110識別為能夠?qū)φ谠L問用戶服務網(wǎng)絡界面430的相同用戶進行認證的那個認證服務提供方。

根據(jù)優(yōu)選的實施例，在與步驟310相似的步驟中，由中心服務器101置入數(shù)個cookie，但是數(shù)個cookie分別與使用不同的認證服務提供方在不同的時間點進行的認證相關(guān)。接下來，在步驟318中，這些之前被置入的cookie中的多個cookie，或者優(yōu)選地，全部cookie被提供至中心服務器101。作為到中心服務器101的調(diào)用的結(jié)果，由中心服務器101預先置入可用的cookie的操作可以如常進行。如此，中心服務器能夠意識到能夠?qū)υ撚脩暨M行認證的數(shù)個認證服務提供方。

接下來，在與步驟214類似的步驟319中，先前對用戶進行認證的認證服務提供方110，或者優(yōu)選的認證服務提供方，例如，從上文結(jié)合步驟214描述的數(shù)個可用的認證服務提供方中所選擇的認證服務提供方，根據(jù)在步驟318中讀取的一個或多個cookie來被識別。

優(yōu)選地，中心服務器101從使用所述cookie識別出的數(shù)個認證服務提供方110、120、130中選擇一個認證服務提供方110。

如果存在至少數(shù)個認證服務提供方110、120、130，其中，針對該認證服務提供方，已經(jīng)在步驟310的各次運行中置入了cookie，優(yōu)選地，每個所置入的cookie包括信息，該信息用于使中心服務器101能夠為該用戶識別哪個認證等級對于該認證服務提供方是可用的。可替換地，數(shù)據(jù)庫102可以包括關(guān)于不同認證服務提供方針對各種用戶、用戶分類、交易類型等的可用認證等級的信息。

接下來，根據(jù)該方法的第二方面，在步驟320中，中心服務器101被配置為將設備180的網(wǎng)絡瀏覽器重定向至在步驟319中被識別出或者選擇的認證服務提供方110。因此，該網(wǎng)絡瀏覽器至該被識別出的認證服務提供方110的重定向分兩步進行：首先，執(zhí)行到中心服務器101的重定向，然后進一步執(zhí)行到被識別出的認證服務提供方110的重定向。

根據(jù)優(yōu)選的實施例，圖4c中以按鈕431為示例的中心服務器101用戶服務內(nèi)容由該中心服務器101使用用戶控件來填充，該用戶控件被配置為允許用戶通過認證服務提供方110、120、130中的任意一者或者被識別出的認證服務提供方110，以使對所述用戶控件431的激活能夠?qū)е虏襟E320中的重定向的方式來被認證。

圖4d示出了在點擊按鈕431之后，根據(jù)優(yōu)選的實施例的用戶服務網(wǎng)絡界面的狀態(tài)440。因此，該用戶控件431的激活啟動了彈出式對話框444，該彈出式對話框444的內(nèi)容是從中心服務器101中抓取的。作為向該中心服務器101請求該彈出式對話框444的內(nèi)容的應答，該中心服務器101接下來執(zhí)行步驟320中的到認證界面的重定向，該認證界面由被識別出的認證服務提供方110提供。

在與步驟220類似的優(yōu)選的步驟321中，被識別出的認證服務提供方110還被配置為確定是否存在關(guān)于該用戶的有效認證會話。該步驟例如在被識別出的認證服務提供方以慣常的方式讀取cookie時進行，該cookie作為步驟320中從該中心服務器101到該認證服務提供方的重定向或者調(diào)用的一部分被提供，該cookie攜帶關(guān)于可能的認證會話的信息。例如，cookie可已經(jīng)由該認證服務提供方作為步驟304到步驟308中執(zhí)行的認證的結(jié)果置入到設備180的網(wǎng)絡瀏覽器中。

因此，如果沒有檢測到針對該用戶的有效認證會話，步驟322中的判斷結(jié)果為否，并且在步驟323中，被識別出的認證服務提供方使用彈出式對話框444、用戶控件442、443來回復該中心服務器101，該彈出式對話框444、用戶控件442、443相應地構(gòu)成與前述的第二界面對應的認證網(wǎng)絡界面。使用這些控件442，用戶能夠通過點擊“提交”按鈕443，將來自于設備180的憑證信息直接提供給該被識別出的認證服務提供方110，而不需要中心服務器101或者用戶服務提供方150獲得對該信息的訪問。

另一方面，如果在該用戶與被識別出的認證服務提供方110之間檢測到有效認證會話，該會話具有適當?shù)膶傩?，例如，滿足前述的被選擇的最小可允許認證等級的需求，提供方110可以返回一個空的彈出式對話框444，其結(jié)果為該彈出式對話框444將不被顯示給用戶。作為替代，對該用戶控件431的激活會致使該被識別出的認證服務提供方110對確實存在針對該用戶的適當?shù)挠行дJ證會話的確認。

根據(jù)另一優(yōu)選的實施例，中心系統(tǒng)101被配置為促使該被識別出的認證服務提供方110在前述的步驟322中，在顯示該彈出式對話框444之前，核查用戶與識別認證服務提供方110之間是否已經(jīng)存在有效認證會話。接下來，如果存在有效會話，則該方法直接跳至步驟325，而不顯示空的彈出式對話框。如果沒有找到有效認證會話，作為替代，在步驟324中，以彈出444的形式向用戶呈現(xiàn)第二圖形用戶界面，該第二圖形用戶界面允許用戶向被識別出的認證服務提供方110輸入用戶憑證數(shù)據(jù)，以用于步驟325中的認證。

因此，在與步驟221類似的步驟325中，被識別出的認證服務提供方110在檢測到存在認證會話或者被提供的憑證數(shù)據(jù)的基礎上對用戶進行認證。對于后者來說，優(yōu)選地，提供方110通過在設備180的網(wǎng)絡瀏覽器中置入新的cookie的方式，為該用戶開放新的有效認證會話，該新的cookie具有關(guān)于該有效會話的信息。

此后，用戶認證信息從被識別出的認證服務提供方110被提供至用戶服務提供方110，優(yōu)選地，通過中心服務器101。該步驟與步驟222相似，但是會如下文所述，涉及數(shù)個子步驟326到步驟331。

如此，在所述認證之后的步驟326中，從被識別出的認證服務提供方110提供第一訪問令牌。該訪問令牌被配置為允許令牌的持有者使用該令牌從被識別出的認證服務提供方訪問其他私密信息的特定子集，特別是該用戶的用戶信息(如上定義)。因此，使用該第一訪問令牌，持有者可以查詢該被識別出的認證服務提供方110以獲得至少一些與該用戶相關(guān)聯(lián)的、并且為提供方110所知的用戶信息。該查詢通過由認證服務提供方110提供的指定界面來進行。在適當?shù)氖纠?，該訪問令牌包括OAuth2訪問令牌。

該第一訪問令牌可以被直接提供至用戶服務提供方150。然而，優(yōu)選地，將第一訪問令牌提供至中心服務器101。

對于后者來說，優(yōu)選地，在步驟327中，該中心服務器101相應地被配置為發(fā)出第二訪問令牌，該第二訪問令牌優(yōu)選與該第一訪問令牌具有相似的功能以及類型，并且可能通過將其間接地發(fā)送至來自設備180或者運行在該設備180上的用戶服務網(wǎng)絡界面的方式，將其發(fā)送至用戶服務提供方150。使用該第二訪問令牌，用戶服務提供方150能夠再次可能間接地經(jīng)由用戶服務網(wǎng)絡界面，通過使用指定界面向中心服務器101進行查詢的方式，以此獲得對至少一些用戶信息的訪問。

根據(jù)優(yōu)選的實施例，在步驟328中，向用戶呈現(xiàn)選項，該選項允許通過中心服務器101從被識別出的認證服務提供方110查詢該用戶信息。該示例在圖4e中示出，其中，該圖4e示出了在用戶已經(jīng)被認證后，用戶服務網(wǎng)絡界面的狀態(tài)450。代替在用戶信息欄432中進行填寫，并接下來點擊按鈕461，而是用戶可以點擊“抓取數(shù)據(jù)”按鈕451。在步驟330中，如果該按鈕451被點擊，由用戶服務提供方150將第二訪問令牌提供至中心服務器101，并且該第二訪問令牌用于請求指定的用戶數(shù)據(jù)。之后，在步驟331中，該中心服務器被配置為，如果被第二訪問令牌允許，從被識別出的認證服務提供方110請求與在步驟330中請求的信息相對應的用戶信息。

在步驟332中，如果已為被識別出的認證服務提供方110所知并且被第一訪問令牌允許，則所請求的信息被返回至中心服務器101，該中心服務器101相應地被配置為向用戶服務提供方150提供該信息。

第一訪問令牌和第二訪問令牌以慣常的方式進行發(fā)放、提供和使用，并且可能的實施如在可從http://oauth.net/2/獲得的OAuth2文檔中所描述的。

接下來，在步驟333中，用于相對應的用戶信息的輸入欄432由用戶服務網(wǎng)絡界面使用在步驟332中從中心服務器101獲取的用戶信息來自動填充。圖4f示出了在該自動填充步驟333之后，用戶服務網(wǎng)絡界面的狀態(tài)460。如圖4f清晰所示的，從被識別出的認證服務提供方110獲得的唯一相關(guān)用戶信息為用戶的姓名(“John Doe”)。然而，根據(jù)用作被識別出的認證服務提供方的認證服務提供方的類型，地址和信用卡信息也能夠是可用的。

根據(jù)優(yōu)選的實施例，數(shù)個認證服務提供方110、120、130在步驟319到步驟332中被并行連接，如此，來自數(shù)個不同來源的用戶信息能夠被提供至用戶服務提供方150，以用于對輸入欄432進行自動填充。對應的方法在前述步驟224中自然也是可實現(xiàn)的。在這一情況中，優(yōu)選地，步驟328中呈現(xiàn)的選項涵蓋僅在一次用戶許可中使用的所有認證服務提供方110、120、130。

接下來，通過點擊“結(jié)算”按鈕461，與步驟225類似的步驟334被執(zhí)行，在該步驟334中，該交易由用戶服務提供方150使用自動填充的用戶信息(如果存在的話)；手動輸入的用戶信息(如果存在的話)；以及由至少一個被識別出的認證服務提供方110提供的認證來執(zhí)行。

此后，在步驟335中，該方法結(jié)束。

根據(jù)上述實施例的一個優(yōu)選的變型，在交易被定義之前，例如，在線上供應商網(wǎng)站中進行結(jié)算之前，步驟315已經(jīng)被執(zhí)行。如此，用戶信息能夠通過步驟325到步驟332中的機制被提供至用戶服務提供方150，并且例如用于向用戶提供增強的購買支持信息。該操作能夠例如通過在步驟315中呈現(xiàn)選項的按鈕來實現(xiàn)，該按鈕顯示在用戶服務網(wǎng)絡界面的歡迎頁面上。

根據(jù)另一優(yōu)選的實施例，數(shù)據(jù)庫102包括每個注冊使用系統(tǒng)110的用戶的記錄，該記錄包含標識，該標識用于分別設置用戶通常希望或者至少針對用戶服務提供方150的某個集合希望接受在步驟217或者步驟315中呈現(xiàn)的選項。如果該標識被設置，無論何時，只要至少一個認證服務提供方110、120、130可用于進行如上所述的有效用戶認證，則步驟218或者步驟220、或者步驟317總是分別代替步驟216或者步驟316被執(zhí)行。

圖4g示出了后面兩個變型的示例，以用戶John Doe的設備180的顯示屏181上提供的用戶服務網(wǎng)絡界面的歡迎頁面470的形式被示出，該歡迎頁面470顯示用于頁面導航的用戶控件472。在這種情況下，用戶已經(jīng)同意總是允許用戶服務提供方通過前述訪問令牌獲得對用戶姓名的訪問，該訪問令牌如由用戶的網(wǎng)絡社區(qū)服務提供方提供的訪問令牌。通過點擊按鈕471，用戶同意用戶服務提供方也有權(quán)利從中心服務器101請求其他可用的用戶信息，并且，在進行結(jié)算時，可用的用戶信息將被用于自動填充如上所述的任何輸入欄。

事實上，按鈕471將產(chǎn)生到中心服務器101的重定向，該中心服務器101接下來根據(jù)認證服務提供方的動作，接收先前由中心服務器認證內(nèi)容存儲在設備180的網(wǎng)絡瀏覽器中的任意cookie，接下來，在對數(shù)據(jù)庫102中的設置以及所述cookie的內(nèi)容進行適當?shù)拇_認后，該中心服務器101重定向到所述網(wǎng)絡社區(qū)服務提供方，該網(wǎng)絡社區(qū)服務提供方轉(zhuǎn)而發(fā)出并返回前述第一訪問令牌。由于本實施例中，用戶已經(jīng)擁有與該網(wǎng)絡社區(qū)提供方的有效認證會話，因此，該過程對于用戶來說是無感知的，并且實際上是瞬間完成的。

根據(jù)本發(fā)明的方法和系統(tǒng)為用戶服務提供方150提供有成本效益的方式，使其能夠向其用戶提供安全的認證。通過向中心服務器101注冊并指定至少一個最小可允許的認證等級，該用戶服務提供方150獲得對第三方認證服務提供方110、120、130的網(wǎng)絡的訪問，該第三方認證服務提供方能夠代表用戶服務提供方提供所需的用戶認證。由于每個用戶認證服務提供方能夠使用良好的經(jīng)濟效益為出售該認證提供特定的售價，中心服務器101能夠在每次認證時，例如相比于小型用戶服務提供方101能夠承受的成本而言，以非常具有成本效益的總成本來提供復雜且高級的用戶認證。甚至還可能，在不使認證的總成本大幅提升的情況下，為小型用戶服務提供方提供一個廣泛且高度專業(yè)化的認證服務功能的集合。

另一方面，該系統(tǒng)100的用戶能夠以非常有效的方式向大量用戶服務提供方150來認證其自身，并且也能夠通過該系統(tǒng)100記錄諸如信用卡號的相關(guān)用戶信息，而不損害個人信息的完整性，該過程通過簡單地同意令一個或者數(shù)個值得信任的認證服務提供方(例如用戶的個人網(wǎng)絡銀行設備)代表其他方對用戶進行認證，并貢獻出其所知的用戶信息來實現(xiàn)。

重要的是，這些優(yōu)勢的實現(xiàn)不會造成任何利益相關(guān)方的靈活性的喪失。用戶可以選擇使用任何注冊的認證服務提供方，并且該用戶服務提供方不必遵守由個體認證服務提供方提供的認證標準或協(xié)議。

此外，由于很多用戶信息能夠被自動生成而用戶不需要在各種網(wǎng)站上重復地輸入，因此，當應對用戶服務提供方時，用戶將會體驗到更好的效率。同時，用戶服務提供方能夠在交易過程的早期，利用關(guān)于到訪用戶的額外信息來提供特別定制的用戶體驗。這些優(yōu)勢在數(shù)個認證服務提供方被并行使用以同時提供更完整的可用的用戶信息集合的情況下更加有力。

進一步地，根據(jù)優(yōu)選的實施例，上文描述的所選擇的或者被識別出的認證服務提供方為移動電話運營商，該特定用戶為該移動電話運營商的訂戶。在這種情況下，由該認證服務提供方提供的用戶認證包括移動認證步驟，在該步驟中，用戶使用包含SIM卡的移動設備與所選擇的認證服務提供方進行通信，其中，該SIM卡與特定用戶向所述認證服務提供方的訂閱相關(guān)聯(lián)。例如，由用戶提供至認證服務提供方的憑證數(shù)據(jù)可以包括作為SMS被發(fā)送至移動電話的電話號碼(MSISDN)的數(shù)字字母代碼，該代碼被用戶讀取，并被輸入到包含在圖形界面的輸入框中。如上所述的第一圖形界面在所述移動電話的顯示屏上被提供，例如，通過在移動電話上運行的網(wǎng)絡瀏覽器。該方法提供了第二認證因素(一些用戶擁有的事物，即移動電話)。

特別優(yōu)選地，移動認證步驟明確包括驗證預先已經(jīng)在所述SIM卡上提供的證書。這將提供非常好的安全性。

如果由移動電話提供第一圖形界面，優(yōu)選地，中心服務器對于使用哪一個認證服務提供方對用戶進行認證的選擇或識別操作包括：首先調(diào)查用戶的手機運營商是否被注冊到中心服務器101以用于用戶認證，以及在當前的時刻是否可用于對該特定用戶進行認證。優(yōu)選地，該調(diào)查操作通過查閱存儲在數(shù)據(jù)庫102中的數(shù)據(jù)來被執(zhí)行。如果不是這種情況，則調(diào)查其他認證服務提供方的可用性。

在另一優(yōu)選的實施例中，所述用戶憑證數(shù)據(jù)包括用于識別無線或有線的本地互聯(lián)網(wǎng)接入網(wǎng)絡的信息，例如WiFi或者LAN網(wǎng)絡，電子設備在本地與該網(wǎng)絡連接，優(yōu)選地，該網(wǎng)絡與某個有限的地理覆蓋區(qū)域相關(guān)聯(lián)，以使該網(wǎng)絡上注冊的設備也被定位于所述覆蓋區(qū)域內(nèi)，除非該網(wǎng)絡注冊的實現(xiàn)是欺騙性的。該過程可以以不同的方式實現(xiàn)。在第一個示例中，所述網(wǎng)絡自身使用所述用戶憑證數(shù)據(jù)來被識別，識別結(jié)果由所連接的設備自動讀取并被發(fā)送至中心服務器101。在第二示例中，用于向電子設備提供無線互聯(lián)網(wǎng)連接的特定的SIM卡使用憑證信息被識別，識別結(jié)果被提供至中心服務器101，其中，該SIM可以為設備自帶的SIM卡，或者用于創(chuàng)建設備在本地所連接的WiFi網(wǎng)絡的移動電話中的SIM卡。接下來，中心服務器101被配置為將所提供的網(wǎng)絡或者用于識別信息的SIM卡與預設的假定網(wǎng)絡或者SIM卡進行比對，其中，如果屬實，則用戶應該連接到該假定網(wǎng)絡或者SIM卡。

上文描述了數(shù)個優(yōu)選的實施例。然而，對于本領域的技術(shù)人員顯而易見的是，可以在不背離本發(fā)明的基本理念的情況下對上述實施例進行多種修改。

例如，上述本發(fā)明的第一方面和第二方面展示了實現(xiàn)相同目的的兩種不同方式。這兩個方面有相當多的重疊，上文的描述中已經(jīng)指出了很多這樣的重疊。然而，可以意識到的是，在適用的情況下，這些重疊步驟中的一個步驟的所有特征能夠被自由地應用于其他重疊步驟，反之亦然。

此外，一個或數(shù)個認證服務提供方可以分別包含于與該中心服務器101類似的外部中心服務器中。通常，該外部中心服務器則將分別連接至多個其他認證服務提供方。接著，該外部中心服務器被看作為普通的認證服務提供方。所以，例如，在上文所述的競拍過程中，外部中心服務器可以為在特定現(xiàn)狀和特定條件下，使用其自身的可用的認證服務提供方的網(wǎng)絡對用戶進行認證提供售價。該設置可以例如有利于便于系統(tǒng)100在數(shù)個國家或區(qū)域中的地理覆蓋。

因此，本發(fā)明不應當被認為是限于上述實施例，而是可以在所附權(quán)利要求的范圍內(nèi)進行變化。