WO2024093964A1

WO2024093964A1 - 一种移动端单点登录认证的方法及***

Info

Publication number: WO2024093964A1
Application number: PCT/CN2023/128128
Authority: WO
Inventors: 许鹏飞; 王刚; 丘凌; 陈天明; 陶智明; 符永捷; 冯敏; 丁嘉嘉; 陈鑫; 黄文欢
Original assignee: 天翼数字生活科技有限公司
Priority date: 2022-11-03
Filing date: 2023-10-31
Publication date: 2024-05-10
Also published as: CN117997568A

Abstract

本发明涉及一种移动端单点登录认证的方法及***。通过由单点登录服务模块和运营商流量网关校验模块根据从单点登录应用模块接收到的经处理的接入方应用信息结合用户连接基站信息再结合运营商流量网关鉴权插件，进行用户信息鉴权，将获得的登录鉴权信息反馈给单点登录应用模块以生成临时登录凭证，交由单点登录SDK模块生成认证令牌，并发送给接入方服务器以向单点登录应用模块请求用户信息，来完成接入方应用的单点登录认证，从而实现静默登录，无需用户注册和记录任何的账号信息，无需用户进行登录操作，方便快捷，安全可靠。

Description

一种移动端单点登录认证的方法及***

技术领域

本发明涉及互联网技术领域，尤其涉及一种基于运营商流量网关的移动端单点登录认证的方法及***。

背景技术

目前，用户在个人移动端上使用一款APP时如果想体验到更好的专属权益服务通常需要注册个人账号并在后续使用时登录该个人账号。随着日常使用的APP数量日渐增多，就需要注册多个APP账号，按各APP所的规定格式设置用户名和密码。许多APP在应用关闭时会自动退出账户，下次使用时用户又需要进行登录账户的操作，虽然部分APP可以通过指纹、手势解锁来免除记忆和反复输入用户名密码的麻烦，但频繁登录对用户来说总是难免体验感较差。另一些APP在应用关闭时甚至移动终端关闭或重启后也不会退出账户，这样虽然避免了下次使用时的登录操作，但会导致缺乏安全性，例如在手机丢失或失窃被不法分子获得的情况下可能导致该APP账户内资金或其他敏感信息遭到不法分子的盗用。

现在有一些单点登录的解决方案，例如，通过移动终端上的个人社交账号来登录同一移动端上的其它APP。这种技术是基于OAuth2.0模式制定的，通过一个社交账号认证服务器(以下称为“能力提供方”)生成临时令牌的方式为其它APP(以下称为“接入方”)提供注册和登录能力。但是这种技术方案受制于用户必须先拥有“能力提供方”的账号并且为已处于登录状态，用户欲访问每个其它APP时，该其它APP通过一个授权URL把用户导向“能力提供方”的认证服务器返回一个授权页面询问用户是否同意授权，用户点击“同意”按钮，“能力提供方”的认证服务器返回授权码，“接入方”服务器收到授权码后再向“能力提供方”的认证服务器申请令牌以获得“能力提供方”的该用户信息。可见该过程还是需要用户手动同意授权，也不够便捷。且存在账号泄露被非法异地登录风险，无法保障一定是在可信SIM卡安装设备(本人移动端)上操作，安全性差。

现阶段还没有哪个解决方案可以实现让用户真正不需要注册任何账号也不需要任何用户授权其他“能力提供方”提供用户信息而直接就可以在一个设备中“无感登录”所有APP获得针对用户本人的专属权益服务体验。

因此，亟须一种优化的登录技术方案，解决在生成身份凭证时不够便捷可靠、多个应用需要多次登录等问题。

发明内容

提供本发明内容以便以简化形式介绍将在以下详细描述中进一步描述的一些概念。本发明内容并不旨在标识出所要求保护的主题的关键特征或必要特征；也不旨在用于确定或限制所要求保护的主题的范围。

本发明的单点登录认证的方法及***通过从移动通信运营商的流量网关取号实时校验生成安全可靠的令牌，只需点按一下即可获取最可靠的用户信息(手机号)，不需要用户记录账号密码，同时通过进程间通信实现多个应用进程的多并发登录，让用户彻底摆脱需要记录多套账号密码以及频繁登录的苦恼，流程更加安全快捷、用户体验更加良好。

根据本发明的一种移动端中接入方应用的单点登录认证的方法，包括：申请生成临时登录凭证；根据接收到的接入方应用信息结合用户连接基站信息再结合运营商流量网关鉴权插件，进行用户信息鉴权获得登录鉴权信息；根据登录鉴权信息生成临时登录凭证；根据临时登录凭证生成认证令牌；使用认证令牌请求用户信息；以及根据校验通过后的获得的用户信息，完成对接入方应用的登录。

其中，申请生成临时登录凭证的步骤包括：由移动端中的接入方应用调用植入在接入方应用中的单点登录SDK模块登录接口，与单点登录应用模块通过AIDL进行通信，来将接入方应用信息(包括接入方应用包名、签名、BundleID、鉴权凭证)发送给同处移动端中的单点登录应用模块；以及由单点登录应用模块对接入方应用信息进行处理后发送到服务器侧的单点登录服务模块以申请登录鉴权信息。

进行用户信息鉴权获得登录鉴权信息的步骤包括：由服务器侧的单点登录服务模块将移动端的IP、MAC、DeviceID信息发送给运营商流量网关校验模块；由运营商流量网关校验模块将接收到的移动端的IP、MAC、DeviceID信息与自身掌握的运营商基站信息(包括基站的位置、频率、信道信息)进行比对校验，获得移动端的用户信息(包括移动端SIM***和位置信息)反馈给单点登录服务模块；以及由单点登录服务模块生成登录鉴权信息并反馈给单点登录应用模块。

根据本发明的一种用于移动端中接入方应用的单点登录认证的***，包括：位于移动端内的用于用户鉴权和传输信息的单点登录应用模块、被植入在接入方应用中的用于信息采集与传输的单点登录SDK模块、和接入方自身登录模块；以及位于服务器侧的用于处理单点登录应用模块上报的信息进行流量网关鉴权并提供用户信息的单点登录服务模块和运营商流量网关校验模块。

其中，单点登录服务模块和运营商流量网关校验模块根据从单点登录应用模块接收到的经处理的接入方应用信息结合用户连接基站信息再结合运营商流量网关鉴权插件，进行用户信息鉴权获得登录鉴权信息，并将登录鉴权信息反馈给单点登录应用模块以生成临时登录凭证，单点登录SDK模块基于临时登录凭证生成认证令牌，认证令牌被发送给接入方服务器以向单点登录应用模块请求用户信息完成接入方应用的单点登录认证。

其中，单点登录应用模块进一步包括进程通信模块和流量网关检验模块，流量网关检验模块对接入方应用模块信息进行处理并发送到单点登录服务模块，以申请生成临时登录凭证。

通过阅读下面的详细描述并参考相关联的附图，这些及其他特点和优点将变得显而易见。应该理解，前面的概括说明和下面的详细描述只是说明性的，不会对所要求保护的各方面形成限制。

附图说明

以下将通过参考附图中示出的具体实施例来对本发明进行更具体描述。

图1是根据本发明的单点登录认证***的示意框图；

图2是根据本发明的一个实施例的单点登录认证方法的流程图。

附图中的流程图和框图显示了根据本申请的实施例的***、方法可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。

具体实施方式

以下将通过参考附图中示出的具体实施例来对本发明进行更具体描述。通过阅读下文具体实施方式的详细描述，本发明的各种优点和益处对于本领域普通技术人员将变得清楚明了。然而应当理解，可以以各种形式实现本发明而不应被这里阐述的各实施方式所限制。提供以下实施方式是为了能够更透彻地理解本发明。除非另有说明，本申请使用的技术术语或者科学术语应当为本申请所属领域技术人员所理解的通常意义。

本发明的单点登录认证的方法及***通过用户的客户端设备连接的移动通信运营商的流量网络基站完成运营商流量网关校验、应用间的进程通信等，可以实现快捷、无感、安全的单点登录认证服务。本发明适用于现有移动端设备的各类操作***，各接入方应用都可以通过向自身植入对应操作***版本的本发明的单点登录SDK快捷安全地实现单点登录认证。

根据本发明，通过采集用户移动端流量网络基站信息与运营商流量网关持有信息比对校验，进而得到用户信息完成认证生成临时认证令牌，移动端内的单点登录应用进而使用临时认证令牌在同设备内通过进程间的通信传递给植入在接入方应用中的单点登录SDK，单点登录SDK得到认证令牌和结合接入方应用的特性信息，为接入方应用提供可作为登录使用的登录凭证。

以下结合图1详述本发明的单点登录认证的***。

在图1中，实线所示模块为本发明的单点登录认证***的组成部分。而虚线所示模块为本发明相关现有模块，包括使用本发明的接入方应用模块、接入方服务器、以及移动端设备。

本发明的单点登录认证***包括，位于移动端的只读存储器ROM内的用于用户鉴权和传输信息的单点登录应用模块100、用于信息采集与传输的单点登录SDK模块200、和接入方自身登录模块300；以及位于服务器侧的用于处理单点登录应用模块100上报的信息进行流量网关鉴权并提供SIM***等用户信息的单点登录服务模块400和运营商流量网关校验模块500。

其中单点登录模块100中进一步包括进程通信模块110和流量网关检验模块120，进程通信模块110实现本发明的***和接入方应用在同一终端上通信，。

单点登录SDK模块200和接入方自身登录模块300被植入在接入方应用模块中。各模块的连接关系和信息传输关系具体如下：

在移动端，接入方应用模块调用植入在其中的单点登录SDK模块200的登录接口，使得单点登录SDK模块200去和同在移动端中的单点登录应用模块100进行通信(例如可以通过AIDL进行通信，其他本领域技术人员熟悉的方式也是可以构想的)，将接入方应用模块信息(包括例如接入方应用包名、签名、BundleID、鉴权凭证等)发送给单点登录应用模块100；

单点登录应用模块100中的流量网关检验模块120对收到的上述接入方应用模块信息进行处理并发送到服务器端的单点登录服务模块400，以申请生成临时登录凭证；

单点登录服务模块400与单点登录应用模块100进行通信，接收上述经处理的接入方应用模块信息，同时单点登录服务模块400和运营商流量网关校验模块500进行通信，将私网IP、公网IP、设备MAC地址、设备DeviceID等信息发送给运营商流量网关校验模块500。

运营商流量网关校验模块500将自身掌握的信息一一移动端数据流量连接的运营商基站信息(包括例如，基站的位置、频率、信道等)，与单点登录服务模块400上报的上述信息进行比对校验，将发起请求的移动端的SIM***、设备位置等用户信息反馈给单点登录服务模块400。

单点登录服务模块400进而完成用户信息的获取，生成登录鉴权信息并发送回移动端的单点登录应用模块100；

单点登录应用模块100根据返回的登录鉴权信息生成临时登录凭证并将其返回单点登录SDK模块200；

单点登录SDK模块200根据接收到的临时登录凭证生成认证令牌并将其返回同样植入在接入方应用模块之中的接入方自身登录模块300；

接入方自身登录模块300将接收到的认证令牌发送到与之通信的接入方服务器，接入方服务器与单点登录服务模块400进行通信，向单点登录服务模块400请求用户信息(包括例如，请求发起的SIM卡手机号、请求发起设备的位置信息等)；

单点登录服务模块400在校验通过后将用户信息返回接入方服务器；

接入方服务器将收到的用户信息返回移动端的接入方自身登录模块300，完成接入方应用的用户静默登录。

以下结合图2详述本发明的单点登录认证的方法，在用户准备使用其移动端中的某一应用之际，启动该接入方应用。

步骤S10、申请生成临时登录凭证，该步骤具体包括：

步骤S11、由移动端中的接入方应用调用植入其中的单点登录SDK模块登录接口，与移动端中的单点登录应用模块通过例如AIDL进行通信，将接入方应用模块信息(包括例如接入方应用包名、签名、BundleID、鉴权凭证等)发送给单点登录应用模块；

步骤S12、单点登录应用模块将所收到的上述接入方应用信息进行处理后发送给服务器侧的单点登录服务模块以申请登录鉴权信息；

步骤S20、进行用户信息鉴权获得登录鉴权信息，根据从单点登录应用模块接收到的经处理的接入方应用信息结合用户连接基站信息再结合运营商流量网关鉴权插件，完成用户信息鉴权返回登录鉴权信息，该步骤具体包括：

步骤S21、单点登录服务模块将移动端的私网IP、公网IP、设备MAC地址、设备DeviceID等信息发送给同样属于服务器侧的运营商流量网关校验模块；

步骤S22、运营商流量网关校验模块将所接收到的上述信息和自身掌握的信息一一例如移动端数据流量所连接的运营商基站信息(包括例如，基站的位置、频率、信道等)进行比对校验，获得移动端的SIM***、位置等用户信息，反馈给单点登录服务模块；

步骤S23、单点登录服务模块完成用户信息鉴权与获取，生成登录鉴权信息并反馈给移动端的单点登录应用模块；

步骤S30、生成临时登录凭证：移动端的单点登录应用模块根据从单点登录服务模块收到的登录鉴权信息生成临时登录凭证，并将临时登录凭证反馈给同在移动端内的接入方应用中的单点登录SDK模块；

步骤S40、单点登录SDK模块根据临时登录凭证生成认证令牌；

步骤S50、接入方应用模块使用该认证令牌请求接入方服务器去向单点登录服务模块请求用户信息；

步骤S60、单点登录服务模块在校验通过后将用户信息反馈给接入方服务器

步骤S70、接入方服务器将获取的用户信息返回移动端中的接入方应用模块，完成用户对该接入方应用模块的静默登录。

本发明通过运营商流量网关校验实现生成临时认证令牌，只需要在设备激活时完成一次网关取号，后续都可以使用临时认证令牌在同设备内通过进程间的通信实现单点登录，可以实现彻底的静默登录，无需用户注册和记录任何的账号信息，无需用户进行登录操作，方便快捷，具有良好的用户体验。而且，由于是通过流量网关取号实现认证用户信息生成身份凭证，也确保了只有用户本人的SIM卡才可以生成令牌，安全可靠。

以上各实施例仅用以说明本申请的技术方案，而非对其限制；尽管参照前述各实施例对本申请进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本申请各实施例技术方案的范围，其均应涵盖在本申请的权利要求和说明书的范围当中。

Claims

一种移动端中接入方应用的单点登录认证的方法，包括：

申请生成临时登录凭证；

根据接收到的接入方应用信息结合用户连接基站信息再结合运营商流量网关鉴权插件，进行用户信息鉴权获得登录鉴权信息；

根据所述登录鉴权信息生成临时登录凭证；

根据所述临时登录凭证生成认证令牌；

使用所述认证令牌请求用户信息；以及

根据校验通过后的获得的所述用户信息，完成对接入方应用的登录。
根据权利要求1所述的方法，其特征在于，申请生成临时登录凭证的步骤包括：

由移动端中的所述接入方应用将所述接入方应用信息发送给同处所述移动端中的单点登录应用模块；以及

由所述单点登录应用模块对所述接入方应用信息进行处理后发送到服务器侧的单点登录服务模块以申请登录鉴权信息。
根据权利要求2所述的方法，其特征在于，所述接入方应用信息包括接入方应用包名、签名、BundleID、鉴权凭证。
根据权利要求2所述的方法，其特征在于，由移动端中的所述接入方应用将所述接入方应用信息发送给单点登录应用模块包括：调用植入在所述接入方应用中的单点登录SDK模块登录接口，与所述单点登录应用模块通过AIDL进行通信。
根据权利要求1所述的方法，其特征在于，进行用户信息鉴权获得登录鉴权信息的步骤包括：

由服务器侧的单点登录服务模块将移动端的IP、MAC、DeviceID信息发送给运营商流量网关校验模块；

由所述运营商流量网关校验模块将接收到的所述移动端的IP、MAC、DeviceID信息与自身掌握的运营商基站信息进行比对校验，获得移动端的用户信息反馈给所述单点登录服务模块；以及

由所述单点登录服务模块生成所述登录鉴权信息并反馈给所述单点登录应用模块。
根据权利要求5所述的方法，其特征在于，所述运营商基站信息包括基站的位置、频率、信道信息。
根据权利要求5所述的方法，其特征在于，所述移动端的用户信息包括移动端SIM***和位置信息。
一种用于移动端中接入方应用的单点登录认证的***，包括：

位于移动端内的用于用户鉴权和传输信息的单点登录应用模块、用于信息采集与传输的单点登录SDK模块、和接入方自身登录模块；以及

位于服务器侧的用于处理所述单点登录应用模块上报的信息进行流量网关鉴权并提供用户信息的单点登录服务模块和运营商流量网关校验模块，

其中，所述单点登录服务模块和所述运营商流量网关校验模块根据从所述单点登录应用模块接收到的经处理的接入方应用信息结合用户连接基站信息再结合运营商流量网关鉴权插件，进行用户信息鉴权获得登录鉴权信息，并将登录鉴权信息反馈给所述单点登录应用模块以生成临时登录凭证，所述单点登录SDK模块基于所述临时登录凭证生成认证令牌，所述认证令牌被发送给接入方服务器以向所述单点登录应用模块请求所述用户信息完成接入方应用的单点登录认证。
根据权利要求8所述的***，其特征在于，所述单点登录SDK模块和接入方自身登录模块被植入在所述接入方应用中。
根据权利要求8所述的***，其特征在于，所述单点登录应用模块进一步包括进程通信模块和流量网关检验模块，其中所述流量网关检验模块对接入方应用模块信息进行处理并发送到所述单点登录服务模块，以申请生成临时登录凭证。