專利名稱:單點(diǎn)登錄系統(tǒng)及方法�、業(yè)務(wù)管理系統(tǒng)及單點(diǎn)登錄中間系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù)領(lǐng)域,特別涉及一種單點(diǎn)登錄系統(tǒng)及方法���、業(yè)務(wù)管理系統(tǒng)及 單點(diǎn)登錄中間系統(tǒng)�。
背景技術(shù):
通常每個(gè)獨(dú)立的應(yīng)用系統(tǒng)都會(huì)有各自的安全體系和用戶身份認(rèn)證系統(tǒng)�����,用戶訪問 每個(gè)應(yīng)用系統(tǒng)都需要進(jìn)行登錄���,這不僅在系統(tǒng)管理上存在很大的困難��,在安全方面也有重 大隱患���。為了解決上述問題,現(xiàn)有技術(shù)提出了單點(diǎn)登錄(SSO�����,Single Sign On)技術(shù),用戶 只需要登錄一次就可以訪問多個(gè)應(yīng)用系統(tǒng)����,例如當(dāng)用戶第一次訪問應(yīng)用系統(tǒng)1時(shí)���,應(yīng)用系 統(tǒng)1引導(dǎo)用戶到自身的認(rèn)證單元1中進(jìn)行登錄����,認(rèn)證單元1根據(jù)用戶提供的登錄信息進(jìn)行 身份認(rèn)證�����,若通過認(rèn)證��,則為該用戶分配用于標(biāo)識(shí)認(rèn)證通過的認(rèn)證標(biāo)識(shí)���,并將分配的認(rèn)證標(biāo) 識(shí)返回給該用戶���,用戶訪問應(yīng)用系統(tǒng)2時(shí),向應(yīng)用系統(tǒng)2發(fā)送認(rèn)證單元1返回的認(rèn)證標(biāo)識(shí)�����, 應(yīng)用系統(tǒng)2將用戶發(fā)送的認(rèn)證標(biāo)識(shí)發(fā)送到自身的認(rèn)證單元2進(jìn)行認(rèn)證,認(rèn)證單元2基于與 認(rèn)證單元1的通信���,對認(rèn)證標(biāo)識(shí)的合法性進(jìn)行認(rèn)證�����,若通過認(rèn)證����,則該用戶就不需要再次登 錄����,而是直接訪問應(yīng)用系統(tǒng)2。在互聯(lián)網(wǎng)環(huán)境下���,通常將用戶訂購的所有業(yè)務(wù)所歸屬的多個(gè)應(yīng)用系統(tǒng)集成在一個(gè) 業(yè)務(wù)管理系統(tǒng)中�,如圖1所示�,即一個(gè)業(yè)務(wù)管理系統(tǒng)11對應(yīng)多個(gè)應(yīng)用系統(tǒng)12,因此可以將圖 1所示的單點(diǎn)登錄系統(tǒng)稱為一對多單點(diǎn)登錄系統(tǒng)���,該單點(diǎn)登錄系統(tǒng)可以在業(yè)務(wù)管理系統(tǒng)11 上集中向用戶提供訂購的所有業(yè)務(wù)�,以方便用戶的使用。如圖2所示�,為現(xiàn)有技術(shù)中用戶基于圖1所示的一對多單點(diǎn)登錄系統(tǒng)進(jìn)行單點(diǎn)登 錄的方法流程圖,其具體處理過程如下步驟21���,業(yè)務(wù)管理系統(tǒng)接收到用戶輸入的用戶標(biāo)識(shí)和密碼后���,對該用戶進(jìn)行身份 認(rèn)證;步驟22�,若業(yè)務(wù)管理系統(tǒng)對用戶的身份認(rèn)證結(jié)果為認(rèn)證通過����,則為該用戶分配認(rèn) 證標(biāo)識(shí),其中分配的認(rèn)證標(biāo)識(shí)與該用戶的用戶標(biāo)識(shí)和業(yè)務(wù)訂購信息對應(yīng)��;步驟23�����,若用戶需要訪問應(yīng)用系統(tǒng)1��,則該用戶在業(yè)務(wù)管理系統(tǒng)上點(diǎn)擊應(yīng)用系統(tǒng)1 對應(yīng)的網(wǎng)頁(Web)鏈接����;步驟M,業(yè)務(wù)管理系統(tǒng)將為該用戶分配的認(rèn)證標(biāo)識(shí)發(fā)送給應(yīng)用系統(tǒng)1 ;步驟25�����,應(yīng)用系統(tǒng)1根據(jù)與業(yè)務(wù)管理系統(tǒng)預(yù)先約定的加密密鑰對接收到的認(rèn)證標(biāo) 識(shí)進(jìn)行加密���,并將加密后的認(rèn)證標(biāo)識(shí)發(fā)送給業(yè)務(wù)管理系統(tǒng)��;步驟沈����,業(yè)務(wù)管理系統(tǒng)根據(jù)與應(yīng)用系統(tǒng)1預(yù)先約定的加密密鑰對接收到的認(rèn)證 標(biāo)識(shí)進(jìn)行解密���,并判斷解密后得到的認(rèn)證標(biāo)識(shí)是否為該業(yè)務(wù)管理系統(tǒng)為用戶分配的認(rèn)證標(biāo) 識(shí)��;步驟27�����,若步驟沈的判斷結(jié)果為是��,則業(yè)務(wù)管理系統(tǒng)在存儲(chǔ)的認(rèn)證標(biāo)識(shí)��、用戶標(biāo) 識(shí)和業(yè)務(wù)訂購信息的對應(yīng)關(guān)系中����,查找與該認(rèn)證標(biāo)識(shí)對應(yīng)的業(yè)務(wù)訂購信息;步驟觀�,業(yè)務(wù)管理系統(tǒng)將查找到的業(yè)務(wù)訂購信息發(fā)送給應(yīng)用系統(tǒng)1 ;
步驟四�,應(yīng)用系統(tǒng)1根據(jù)接收到的業(yè)務(wù)訂購信息,為該用戶提供對應(yīng)的業(yè)務(wù)�。在上述處理過程中,為了防止網(wǎng)絡(luò)截取和黑客攻擊����,需要業(yè)務(wù)管理系統(tǒng)對應(yīng)用系 統(tǒng)進(jìn)行鑒權(quán)操作,即步驟M 26的操作�����,若步驟沈的判斷結(jié)果為是�����,則業(yè)務(wù)管理系統(tǒng)對應(yīng) 用系統(tǒng)對應(yīng)用系統(tǒng)1的鑒權(quán)結(jié)果為鑒權(quán)通過���,若步驟沈的判斷結(jié)果為否����,則業(yè)務(wù)管理系統(tǒng) 對應(yīng)用系統(tǒng)對應(yīng)用系統(tǒng)1的鑒權(quán)結(jié)果為鑒權(quán)不通過���。在實(shí)際使用過程中����,還存在多對多的單點(diǎn)登錄系統(tǒng)�,如圖3所示,即多個(gè)業(yè)務(wù)管理 系統(tǒng)31對應(yīng)多個(gè)應(yīng)用系統(tǒng)32���。在多對多單點(diǎn)登錄系統(tǒng)中����,每個(gè)應(yīng)用系統(tǒng)均與多個(gè)業(yè)務(wù)管理系統(tǒng)對應(yīng)����,用戶可以 通過多個(gè)業(yè)務(wù)管理系統(tǒng)訪問應(yīng)用系統(tǒng),此時(shí)每個(gè)應(yīng)用系統(tǒng)與每個(gè)業(yè)務(wù)管理系統(tǒng)之間都預(yù)先 約定了一個(gè)加密密鑰���,若多對多單點(diǎn)登錄系統(tǒng)中存在N個(gè)業(yè)務(wù)管理系統(tǒng)�,則應(yīng)用系統(tǒng)在接 收到每個(gè)業(yè)務(wù)管理系統(tǒng)發(fā)送的認(rèn)證標(biāo)識(shí)后����,在管理的N個(gè)加密密鑰中查找該業(yè)務(wù)管理系統(tǒng) 對應(yīng)的加密密鑰�,然后根據(jù)查找到的加密密鑰對認(rèn)證標(biāo)識(shí)進(jìn)行加密�,也就是說應(yīng)用系統(tǒng)在 為用戶提供業(yè)務(wù)外,還要管理與每個(gè)業(yè)務(wù)管理系統(tǒng)之間的加密密鑰���,而應(yīng)用系統(tǒng)的系統(tǒng)資 源有限����,管理與每個(gè)業(yè)務(wù)管理系統(tǒng)之間的加密密鑰耗費(fèi)了較多的系統(tǒng)資源�����,這就使得應(yīng)用 系統(tǒng)為用戶提供業(yè)務(wù)的效率較低�����。
發(fā)明內(nèi)容
本發(fā)明實(shí)施例提供一種單點(diǎn)登錄系統(tǒng)及方法����,用以解決現(xiàn)有技術(shù)中存在的應(yīng)用系 統(tǒng)管理與每個(gè)業(yè)務(wù)管理系統(tǒng)之間的加密密鑰耗費(fèi)了較多的系統(tǒng)資源�����,導(dǎo)致應(yīng)用系統(tǒng)為用戶 提供業(yè)務(wù)的效率較低的問題��。相應(yīng)的、本發(fā)明實(shí)施例還提供一種業(yè)務(wù)管理系統(tǒng)及單點(diǎn)登錄中間系統(tǒng)���。本發(fā)明實(shí)施例技術(shù)方案如下一種單點(diǎn)登錄系統(tǒng)�����,包括至少一個(gè)業(yè)務(wù)管理系統(tǒng)以及至少一個(gè)應(yīng)用系統(tǒng)�,還包括 單點(diǎn)登錄中間系統(tǒng)����,其中業(yè)務(wù)管理系統(tǒng),用于在接收到用戶發(fā)送的訪問請求消息后����,確定 該用戶的用戶信息,以及根據(jù)與單點(diǎn)登錄中間系統(tǒng)預(yù)先約定的第一加密密鑰�����,對該用戶的 用戶信息進(jìn)行加密后發(fā)送給單點(diǎn)登錄中間系統(tǒng)����;單點(diǎn)登錄中間系統(tǒng),用于根據(jù)所述第一加 密密鑰對接收到的用戶信息進(jìn)行解密����,以及確定所述用戶請求訪問的應(yīng)用系統(tǒng)�����,根據(jù)與確 定出的應(yīng)用系統(tǒng)預(yù)先約定的第二加密密鑰��,對解密得到的用戶信息進(jìn)行加密���,并將加密后 的用戶信息發(fā)送給確定出的所述應(yīng)用系統(tǒng);應(yīng)用系統(tǒng)�����,用于根據(jù)所述第二加密密鑰對接收 到的用戶信息進(jìn)行解密后�����,根據(jù)解密得到的用戶信息為所述用戶提供業(yè)務(wù)��。一種單點(diǎn)登錄方法�,該方法包括步驟業(yè)務(wù)管理系統(tǒng)在接收用戶發(fā)送的訪問請求 消息后�����,確定該用戶的用戶信息;以及根據(jù)與單點(diǎn)登錄中間系統(tǒng)預(yù)先約定的第一加密密鑰����, 對該用戶的用戶信息進(jìn)行加密后發(fā)送給單點(diǎn)登錄中間系統(tǒng);所述單點(diǎn)登錄中間系統(tǒng)根據(jù)所 述第一加密密鑰對接收到的用戶信息進(jìn)行解密�����;以及確定所述用戶請求訪問的應(yīng)用系統(tǒng)�; 以及根據(jù)與確定出的應(yīng)用系統(tǒng)預(yù)先約定的第二加密密鑰,對解密得到的用戶信息進(jìn)行加 密�����;并將加密后的用戶信息發(fā)送給確定出的所述應(yīng)用系統(tǒng)���;所述應(yīng)用系統(tǒng)根據(jù)所述第二加 密密鑰對接收到的用戶信息進(jìn)行解密后����,根據(jù)解密得到的用戶信息為所述用戶提供業(yè)務(wù)�。一種業(yè)務(wù)管理系統(tǒng),包括第一接收單元�����,用于接收用戶發(fā)送的訪問請求消息;第 一確定單元��,用于在第一接收單元接收到用戶發(fā)送的訪問請求消息后�,確定該用戶的用戶信息;加密單元�,用于根據(jù)與單點(diǎn)登錄中間系統(tǒng)預(yù)先約定的第一加密密鑰,對第一確定單元 確定出的用戶信息進(jìn)行加密���;第一發(fā)送單元�����,用于將加密單元加密后的用戶信息發(fā)送給單 點(diǎn)登錄中間系統(tǒng)���。一種單點(diǎn)登錄中間系統(tǒng),包括第一接收單元���,用于接收業(yè)務(wù)管理系統(tǒng)發(fā)送的加密 后的用戶信息�;第一解密單元���,用于根據(jù)與所述業(yè)務(wù)管理系統(tǒng)預(yù)先約定的第一加密密鑰��,對 第一接收單元接收到的用戶信息進(jìn)行解密���;第一確定單元,用于確定用戶請求訪問的應(yīng)用 系統(tǒng)���;第一加密單元���,用于根據(jù)與第一確定單元確定出的應(yīng)用系統(tǒng)預(yù)先約定的第二加密密 鑰,對第一解密單元解密得到的用戶信息進(jìn)行加密��;第一發(fā)送單元��,用于將第一加密單元加 密后的用戶信息發(fā)送給第一確定單元確定出的所述應(yīng)用系統(tǒng)����。本發(fā)明實(shí)施例技術(shù)方案中,單點(diǎn)登錄系統(tǒng)不僅包括至少一個(gè)業(yè)務(wù)管理系統(tǒng)以及至 少一個(gè)應(yīng)用系統(tǒng)�,還包括單點(diǎn)登錄中間系統(tǒng),其中業(yè)務(wù)管理系統(tǒng)在接收到用戶發(fā)送的訪問 請求消息后����,確定該用戶的用戶信息,以及根據(jù)與單點(diǎn)登錄中間系統(tǒng)預(yù)先約定的第一加密 密鑰�����,對該用戶的用戶信息進(jìn)行加密后發(fā)送給單點(diǎn)登錄中間系統(tǒng),單點(diǎn)登錄中間系統(tǒng)根據(jù) 上述第一加密密鑰對接收到的用戶信息進(jìn)行解密��,以及根據(jù)與用戶請求訪問的應(yīng)用系統(tǒng)預(yù) 先約定的第二加密密鑰���,對解密得到的用戶信息進(jìn)行加密����,并將加密后的用戶信息發(fā)送給 該應(yīng)用系統(tǒng)���,該應(yīng)用系統(tǒng)根據(jù)上述第二加密密鑰對接收到的用戶信息進(jìn)行解密后�,根據(jù)解 密得到的用戶信息為上述用戶提供業(yè)務(wù)����,由此可見,單點(diǎn)登錄中間系統(tǒng)負(fù)責(zé)與各個(gè)業(yè)務(wù)管 理系統(tǒng)進(jìn)行交互��,來獲取用戶的用戶信息����,而各應(yīng)用系統(tǒng)只需要與單點(diǎn)登錄中間系統(tǒng)預(yù)先 約定一個(gè)加密密鑰,只要管理該加密密鑰即可�����,這就節(jié)省了應(yīng)用系統(tǒng)的系統(tǒng)資源,有效地提 高了應(yīng)用系統(tǒng)為用戶提供業(yè)務(wù)的效率��。
圖1為現(xiàn)有技術(shù)中�����,一對多單點(diǎn)登錄系統(tǒng)結(jié)構(gòu)示意圖�;圖2為現(xiàn)有技術(shù)中���,基于一對多單點(diǎn)登錄系統(tǒng)的單點(diǎn)登錄方法流程示意圖����;圖3為現(xiàn)有技術(shù)中���,多對多單點(diǎn)登錄系統(tǒng)結(jié)構(gòu)示意圖���;圖4為本發(fā)明實(shí)施例中,單點(diǎn)登錄系統(tǒng)結(jié)構(gòu)示意圖����;圖5為本發(fā)明實(shí)施例中���,單點(diǎn)登錄方法流程示意圖;圖6為本發(fā)明實(shí)施例中����,業(yè)務(wù)管理系統(tǒng)結(jié)構(gòu)示意圖;圖7為本發(fā)明實(shí)施例中���,單點(diǎn)登錄中間系統(tǒng)結(jié)構(gòu)示意圖�����。
具體實(shí)施例方式下面結(jié)合各個(gè)附圖對本發(fā)明實(shí)施例技術(shù)方案的主要實(shí)現(xiàn)原理具體實(shí)施方式
及其 對應(yīng)能夠達(dá)到的有益效果進(jìn)行詳細(xì)地闡述��。如圖4所示���,為本發(fā)明實(shí)施例中單點(diǎn)登錄系統(tǒng)結(jié)構(gòu)示意圖,本發(fā)明實(shí)施例中的單 點(diǎn)登錄系統(tǒng)包括至少一個(gè)業(yè)務(wù)管理系統(tǒng)41���、單點(diǎn)登錄中間系統(tǒng)42和至少一個(gè)應(yīng)用系統(tǒng)43�, 其中業(yè)務(wù)管理系統(tǒng)41����,用于在接收到用戶發(fā)送的訪問請求消息后���,確定該用戶的用戶 信息,以及根據(jù)與單點(diǎn)登錄中間系統(tǒng)42預(yù)先約定的第一加密密鑰���,對該用戶的用戶信息進(jìn) 行加密后發(fā)送給單點(diǎn)登錄中間系統(tǒng)42 �����;
單點(diǎn)登錄中間系統(tǒng)42��,用于根據(jù)上述第一加密密鑰對接收到的用戶信息進(jìn)行解 密,以及確定用戶請求訪問的應(yīng)用系統(tǒng)43�,根據(jù)與確定出的應(yīng)用系統(tǒng)43預(yù)先約定的第二加 密密鑰,對解密得到的用戶信息進(jìn)行加密�,并將加密后的用戶信息發(fā)送給確定出的應(yīng)用系 統(tǒng)43 ;應(yīng)用系統(tǒng)43�,用于根據(jù)上述第二加密密鑰對接收到的用戶信息進(jìn)行解密后,根據(jù) 解密得到的用戶信息為上述用戶提供業(yè)務(wù)���。由上述處理過程可知�,本發(fā)明實(shí)施例技術(shù)方案中��,單點(diǎn)登錄系統(tǒng)不僅包括至少一 個(gè)業(yè)務(wù)管理系統(tǒng)以及至少一個(gè)應(yīng)用系統(tǒng)���,還包括單點(diǎn)登錄中間系統(tǒng)����,其中業(yè)務(wù)管理系統(tǒng)在 接收到用戶發(fā)送的訪問請求消息后,確定該用戶的用戶信息���,以及根據(jù)與單點(diǎn)登錄中間系 統(tǒng)預(yù)先約定的第一加密密鑰��,對該用戶的用戶信息進(jìn)行加密后發(fā)送給單點(diǎn)登錄中間系統(tǒng)��, 單點(diǎn)登錄中間系統(tǒng)根據(jù)上述第一加密密鑰對接收到的用戶信息進(jìn)行解密�,以及根據(jù)與用戶 請求訪問的應(yīng)用系統(tǒng)預(yù)先約定的第二加密密鑰����,對解密得到的用戶信息進(jìn)行加密,并將加 密后的用戶信息發(fā)送給該應(yīng)用系統(tǒng)���,該應(yīng)用系統(tǒng)根據(jù)上述第二加密密鑰對接收到的用戶信 息進(jìn)行解密后�,根據(jù)解密得到的用戶信息為上述用戶提供業(yè)務(wù)����,由此可見,單點(diǎn)登錄中間系 統(tǒng)負(fù)責(zé)與各個(gè)業(yè)務(wù)管理系統(tǒng)進(jìn)行交互,來獲取用戶的用戶信息����,而各應(yīng)用系統(tǒng)只需要與單 點(diǎn)登錄中間系統(tǒng)預(yù)先約定一個(gè)加密密鑰,只要管理該加密密鑰即可��,這就節(jié)省了應(yīng)用系統(tǒng) 的系統(tǒng)資源��,有效地提高了應(yīng)用系統(tǒng)為用戶提供業(yè)務(wù)的效率�。基于圖4所示的單點(diǎn)登錄系統(tǒng)�,本發(fā)明實(shí)施例提出一種單點(diǎn)登錄方法,如圖5所 示�,其具體處理過程如下步驟51,業(yè)務(wù)管理系統(tǒng)在接收到用戶發(fā)送的訪問請求消息后����,確定該用戶的用戶 fn息����;用戶將用戶標(biāo)識(shí)和用戶密碼發(fā)送給業(yè)務(wù)管理系統(tǒng)后,業(yè)務(wù)管理系統(tǒng)在存儲(chǔ)的各個(gè) 用戶標(biāo)識(shí)中����,確定是否存在用戶發(fā)送的用戶標(biāo)識(shí),在確定出存在用戶發(fā)送的用戶標(biāo)識(shí)后���,在 存儲(chǔ)的用戶標(biāo)識(shí)和用戶密碼的對應(yīng)關(guān)系中����,查找與用戶發(fā)送的用戶標(biāo)識(shí)對應(yīng)的用戶密碼, 將查找到的用戶密碼與用戶發(fā)送的用戶密碼進(jìn)行比較�����,若比結(jié)果為一致�,則確定通過對該 用戶的身份認(rèn)證。若該用戶后續(xù)需要訪問該單點(diǎn)登錄系統(tǒng)中的某個(gè)應(yīng)用系統(tǒng)���,則該用戶向業(yè)務(wù)管理 系統(tǒng)發(fā)送訪問請求消息����,該訪問請求中攜帶有用戶請求訪問的應(yīng)用系統(tǒng)的系統(tǒng)標(biāo)識(shí)��,例如�, 業(yè)務(wù)管理系統(tǒng)管理應(yīng)用系統(tǒng)1、應(yīng)用系統(tǒng)2和應(yīng)用系統(tǒng)3�,業(yè)務(wù)管理系統(tǒng)提供的Web鏈接1 的名稱中包含應(yīng)用系統(tǒng)1的系統(tǒng)標(biāo)識(shí),業(yè)務(wù)管理系統(tǒng)提供的Web鏈接2的名稱中包含應(yīng)用 系統(tǒng)2的系統(tǒng)標(biāo)識(shí)�,業(yè)務(wù)管理系統(tǒng)提供的Web鏈接3的名稱中包含應(yīng)用系統(tǒng)3的系統(tǒng)標(biāo)識(shí), 其中Web鏈接1、Web鏈接2和Web鏈接3對應(yīng)的地址均為單點(diǎn)登錄中間系統(tǒng)的地址��,用戶 若需要訪問應(yīng)用系統(tǒng)1����,則該用戶可以在業(yè)務(wù)管理系統(tǒng)提供的Web鏈接l、Web鏈接2和Web 鏈接3中�,點(diǎn)擊Web鏈接1,即向業(yè)務(wù)管理系統(tǒng)發(fā)送包含應(yīng)用系統(tǒng)1的系統(tǒng)標(biāo)識(shí)的訪問請求 消息����,業(yè)務(wù)管理系統(tǒng)確定用戶請求訪問應(yīng)用系統(tǒng)1。若用戶的用戶信息為用戶標(biāo)識(shí)信息����,而用戶發(fā)送的訪問請求消息中攜帶有用戶的 用戶標(biāo)識(shí)信息,則業(yè)務(wù)管理系統(tǒng)可以直接根據(jù)接收到的訪問請求消息確定用戶的用戶信息�。步驟52,業(yè)務(wù)管理系統(tǒng)根據(jù)與單點(diǎn)登錄中間系統(tǒng)預(yù)先約定的第一加密密鑰�����,對該用戶的用戶信息進(jìn)行加密后發(fā)送給單點(diǎn)登錄中間系統(tǒng)�����;本發(fā)明實(shí)施例中�,每個(gè)業(yè)務(wù)管理系統(tǒng)和單點(diǎn)登錄中間系統(tǒng)之間均預(yù)先約定了一個(gè) 加密密鑰,業(yè)務(wù)管理系統(tǒng)在接收到訪問請求消息后����,可以首先確定該用戶的用戶信息,然后 直接根據(jù)與單點(diǎn)登錄中間系統(tǒng)預(yù)先約定的第一加密密鑰����,對確定出的用戶信息進(jìn)行加密后 發(fā)送給單點(diǎn)登錄中間系統(tǒng);此外����,業(yè)務(wù)管理系統(tǒng)在對該用戶的用戶信息進(jìn)行加密前,還可以進(jìn)一步對單點(diǎn)登 錄中間系統(tǒng)進(jìn)行鑒權(quán)�����,具體為業(yè)務(wù)管理系統(tǒng)在確定通過對該用戶的身份認(rèn)證后��,為該用戶分配第一認(rèn)證標(biāo)識(shí)�, 后續(xù)在接收到該用戶發(fā)送的訪問請求消息后,將該第一認(rèn)證標(biāo)識(shí)發(fā)送給單點(diǎn)登錄中間系 統(tǒng)�����,單點(diǎn)登錄中間系統(tǒng)根據(jù)與該業(yè)務(wù)管理系統(tǒng)預(yù)先約定的第一加密密鑰,對接收到的第一 認(rèn)證標(biāo)識(shí)進(jìn)行加密后�,發(fā)送給該業(yè)務(wù)管理系統(tǒng),該業(yè)務(wù)管理系統(tǒng)根據(jù)上述第一加密密鑰對 接收到的第一認(rèn)證標(biāo)識(shí)進(jìn)行解密���,然后確定解密得到的第一認(rèn)證標(biāo)識(shí)是否與為該用戶分配 的第一認(rèn)證標(biāo)識(shí)一致�����,若一致�,則確認(rèn)對單點(diǎn)登錄中間系統(tǒng)的鑒權(quán)結(jié)果為鑒權(quán)通過�,那么業(yè) 務(wù)管理系統(tǒng)根據(jù)第一加密密鑰對該用戶的用戶信息進(jìn)行加密后發(fā)送給單點(diǎn)登錄中間系統(tǒng), 若不一致���,則確認(rèn)對單點(diǎn)登錄中間系統(tǒng)的鑒權(quán)結(jié)果為鑒權(quán)不通過���,則業(yè)務(wù)管理系統(tǒng)可以向 該單點(diǎn)登錄中間系統(tǒng)發(fā)送鑒權(quán)不通過消息。其中���,若業(yè)務(wù)管理系統(tǒng)根據(jù)第一加密密鑰對用戶信息進(jìn)行加密前還要對單點(diǎn)登錄 中間系統(tǒng)進(jìn)行鑒權(quán)����,則確定用戶的用戶信息的過程可以但不限于為下述首先根據(jù)解密得到的第一認(rèn)證標(biāo)識(shí)���,在第一認(rèn)證標(biāo)識(shí)和用戶信息的對應(yīng)關(guān)系中���, 查找該用戶的用戶信息,根據(jù)第一加密密鑰��,對查找到的用戶信息進(jìn)行加密�����。其中業(yè)務(wù)管理系統(tǒng)可以但不限于將第一認(rèn)證標(biāo)識(shí)攜帶在超文本傳輸協(xié)議(HTTP�����, Hypertext Transfer Protocol)消息中發(fā)送給單點(diǎn)登錄中間系統(tǒng)�。例如,業(yè)務(wù)管理系統(tǒng) 為用戶分配的第一認(rèn)證標(biāo)識(shí)為tοkeη 1��,且單點(diǎn)登錄中間系統(tǒng)對應(yīng)的Web鏈接為Http:// www, abc. com,則業(yè)務(wù)管理系統(tǒng)可以以 Http //www, abc. com �? tokenl = xxxxxx 的形式將 tokenl發(fā)送給單點(diǎn)登錄中間系統(tǒng),單點(diǎn)登錄中間系統(tǒng)在接收到該HTTP消息后��,以HTTP響應(yīng) 消息的方式將加密后的第一認(rèn)證標(biāo)識(shí)發(fā)送給該業(yè)務(wù)管理系統(tǒng)�,該業(yè)務(wù)管理系統(tǒng)也可以在確 定出解密得到的第一認(rèn)證標(biāo)識(shí)與為該用戶分配的第一認(rèn)證標(biāo)識(shí)一致后,將加密后的用戶信 息以HTTP響應(yīng)消息的方式發(fā)送給單點(diǎn)登錄中間系統(tǒng)�����。步驟53,單點(diǎn)登錄中間系統(tǒng)根據(jù)上述第一加密密鑰對接收到的用戶信息進(jìn)行解 密��;步驟54���,單點(diǎn)登錄中間系統(tǒng)確定上述用戶請求訪問的應(yīng)用系統(tǒng)�����;單點(diǎn)登錄中間系統(tǒng)在對接收到的用戶信息進(jìn)行解密后���,需要確定用戶請求訪問的 應(yīng)用系統(tǒng),這樣才能將用戶信息發(fā)送給該應(yīng)用系統(tǒng)���,其中本發(fā)明實(shí)施例中��,單點(diǎn)登錄中間系 統(tǒng)確定用戶請求訪問的應(yīng)用系統(tǒng)可以為下述兩種實(shí)施情況��,具體為第一種實(shí)施情況��,業(yè)務(wù)管理系統(tǒng)向單點(diǎn)登錄中間系統(tǒng)發(fā)送訪問請求消息中攜帶的 系統(tǒng)標(biāo)識(shí)�,單點(diǎn)登錄中間系統(tǒng)根據(jù)接收到的系統(tǒng)標(biāo)識(shí)����,確定該用戶請求訪問的應(yīng)用系統(tǒng)�����,例 如,應(yīng)用系統(tǒng)1對應(yīng)的系統(tǒng)標(biāo)識(shí)為“ 1 ”�����,則該HTTP消息可以為=Http://www, abc. com �? ID =1,業(yè)務(wù)管理系統(tǒng)可以但不限于將系統(tǒng)標(biāo)識(shí)和第一認(rèn)證標(biāo)識(shí)一起攜帶在HTTP消息中發(fā)送 給單點(diǎn)登錄中間系統(tǒng)�����,則該HTTP消息可以為;Http://www. abc. com ����? tokenl = xxxxxx ?ID = 1�����,業(yè)務(wù)管理系統(tǒng)也可以將系統(tǒng)標(biāo)識(shí)單獨(dú)發(fā)送給單點(diǎn)登錄中間系統(tǒng)�,可以在發(fā)送第一 標(biāo)識(shí)信息之前���,也可以發(fā)送第一認(rèn)證標(biāo)識(shí)信息之后;第二種實(shí)施情況�����,業(yè)務(wù)管理系統(tǒng)根據(jù)接收到的系統(tǒng)標(biāo)識(shí)��,在系統(tǒng)標(biāo)識(shí)和單點(diǎn)登錄 中間系統(tǒng)中接收端口的端口標(biāo)識(shí)的對應(yīng)關(guān)系中����,查找與接收到的系統(tǒng)標(biāo)識(shí)對應(yīng)的端口標(biāo) 識(shí),然后業(yè)務(wù)管理系統(tǒng)將加密后的用戶信息���,發(fā)送到與查找到的端口標(biāo)識(shí)對應(yīng)的端口����,單點(diǎn) 登錄中間系統(tǒng)確定接收到用戶信息的端口對應(yīng)的端口標(biāo)識(shí)���,然后根據(jù)確定出的端口標(biāo)識(shí)�, 在端口標(biāo)識(shí)和系統(tǒng)標(biāo)識(shí)的對應(yīng)關(guān)系中���,查找與確定出的端口標(biāo)識(shí)對應(yīng)的系統(tǒng)標(biāo)識(shí)����,根據(jù)查 找到的系統(tǒng)標(biāo)識(shí),確定用戶請求訪問的應(yīng)用系統(tǒng)���。針對上述第二種實(shí)施情況�����,每個(gè)應(yīng)用系統(tǒng)的系統(tǒng)標(biāo)識(shí)均對應(yīng)單點(diǎn)登錄中間系統(tǒng)的 一個(gè)接收端口的端口標(biāo)識(shí),其中該對應(yīng)關(guān)系可以但不限于如下表所示
權(quán)利要求
1.一種單點(diǎn)登錄系統(tǒng)�,包括至少一個(gè)業(yè)務(wù)管理系統(tǒng)以及至少一個(gè)應(yīng)用系統(tǒng),其特征在 于��,還包括單點(diǎn)登錄中間系統(tǒng)���,其中業(yè)務(wù)管理系統(tǒng)���,用于在接收到用戶發(fā)送的訪問請求消息后,確定該用戶的用戶信息�,以 及根據(jù)與單點(diǎn)登錄中間系統(tǒng)預(yù)先約定的第一加密密鑰,對該用戶的用戶信息進(jìn)行加密后發(fā) 送給單點(diǎn)登錄中間系統(tǒng)��;單點(diǎn)登錄中間系統(tǒng),用于根據(jù)所述第一加密密鑰對接收到的用戶信息進(jìn)行解密��,以及 確定所述用戶請求訪問的應(yīng)用系統(tǒng)��,根據(jù)與確定出的應(yīng)用系統(tǒng)預(yù)先約定的第二加密密鑰���, 對解密得到的用戶信息進(jìn)行加密�,并將加密后的用戶信息發(fā)送給確定出的所述應(yīng)用系統(tǒng)�;應(yīng)用系統(tǒng),用于根據(jù)所述第二加密密鑰對接收到的用戶信息進(jìn)行解密后����,根據(jù)解密得 到的用戶信息為所述用戶提供業(yè)務(wù)。
2.一種單點(diǎn)登錄方法���,其特征在于���,包括業(yè)務(wù)管理系統(tǒng)在接收用戶發(fā)送的訪問請求消息后,確定該用戶的用戶信息���;以及 根據(jù)與單點(diǎn)登錄中間系統(tǒng)預(yù)先約定的第一加密密鑰�����,對該用戶的用戶信息進(jìn)行加密后 發(fā)送給單點(diǎn)登錄中間系統(tǒng)�����;所述單點(diǎn)登錄中間系統(tǒng)根據(jù)所述第一加密密鑰對接收到的用戶信息進(jìn)行解密��;以及 確定所述用戶請求訪問的應(yīng)用系統(tǒng)����;以及根據(jù)與確定出的應(yīng)用系統(tǒng)預(yù)先約定的第二加密密鑰,對解密得到的用戶信息進(jìn)行加 密�;并將加密后的用戶信息發(fā)送給確定出的所述應(yīng)用系統(tǒng);所述應(yīng)用系統(tǒng)根據(jù)所述第二加密密鑰對接收到的用戶信息進(jìn)行解密后���,根據(jù)解密得到 的用戶信息為所述用戶提供業(yè)務(wù)。
3.如權(quán)利要求2所述的單點(diǎn)登錄方法����,其特征在于,業(yè)務(wù)管理系統(tǒng)在對該用戶的用戶 信息進(jìn)行加密前���,還包括業(yè)務(wù)管理系統(tǒng)將為該用戶分配的第一認(rèn)證標(biāo)識(shí)發(fā)送給單點(diǎn)登錄中間系統(tǒng)����; 單點(diǎn)登錄中間系統(tǒng)根據(jù)與所述業(yè)務(wù)管理系統(tǒng)預(yù)先約定的第一加密密鑰,對接收到的第 一認(rèn)證標(biāo)識(shí)進(jìn)行加密后��,發(fā)送給所述業(yè)務(wù)管理系統(tǒng)���;業(yè)務(wù)管理系統(tǒng)根據(jù)所述第一加密密鑰對接收到的第一認(rèn)證標(biāo)識(shí)進(jìn)行解密�����;以及 確定解密得到的第一認(rèn)證標(biāo)識(shí)與為所述用戶分配的第一認(rèn)證標(biāo)識(shí)一致��。
4.如權(quán)利要求3所述的單點(diǎn)登錄方法�����,其特征在于�����,業(yè)務(wù)管理系統(tǒng)確定該用戶的用戶 信息����,具體為業(yè)務(wù)管理系統(tǒng)根據(jù)解密得到的第一認(rèn)證標(biāo)識(shí)����,在第一認(rèn)證標(biāo)識(shí)和用戶信息的對應(yīng)關(guān)系 中�,查找該用戶的用戶信息��。
5 如權(quán)利要求2所述的單點(diǎn)登錄方法���,其特征在于����,單點(diǎn)登錄中間系統(tǒng)在對解密得到 的用戶信息進(jìn)行加密前��,還包括單點(diǎn)登錄中間系統(tǒng)將為該用戶分配的第二認(rèn)證標(biāo)識(shí)發(fā)送給確定出的應(yīng)用系統(tǒng)�; 所述應(yīng)用系統(tǒng)根據(jù)與所述單點(diǎn)登錄中間系統(tǒng)預(yù)先約定的第二加密密鑰,對接收到的第 二認(rèn)證標(biāo)識(shí)進(jìn)行加密后�,發(fā)送給所述單點(diǎn)登錄中間系統(tǒng);所述單點(diǎn)登錄中間系統(tǒng)根據(jù)所述第二加密密鑰對接收到的第二認(rèn)證標(biāo)識(shí)進(jìn)行解密�;以及確定解密得到的第二認(rèn)證標(biāo)識(shí)與為所述用戶分配的第二認(rèn)證標(biāo)識(shí)一致。
6.如權(quán)利要求2所述的單點(diǎn)登錄方法�����,其特征在于����,業(yè)務(wù)管理系統(tǒng)接收到的訪問請求 消息中攜帶有所述用戶請求訪問的應(yīng)用系統(tǒng)的系統(tǒng)標(biāo)識(shí)���。
7.如權(quán)利要求6所述的單點(diǎn)登錄方法����,其特征在于,所述單點(diǎn)登錄中間系統(tǒng)確定所述 用戶請求訪問的應(yīng)用系統(tǒng)���,具體包括所述單點(diǎn)登錄中間系統(tǒng)接收所述業(yè)務(wù)管理系統(tǒng)發(fā)送的系統(tǒng)標(biāo)識(shí)��;以及 根據(jù)接收到的系統(tǒng)標(biāo)識(shí)���,確定所述用戶請求訪問的應(yīng)用系統(tǒng)。
8.如權(quán)利要求6所述的單點(diǎn)登錄方法�,其特征在于,業(yè)務(wù)管理系統(tǒng)將加密后的用戶信 息發(fā)送給單點(diǎn)登錄中間系統(tǒng)��,具體包括業(yè)務(wù)管理系統(tǒng)根據(jù)接收到的系統(tǒng)標(biāo)識(shí)�,在系統(tǒng)標(biāo)識(shí)和單點(diǎn)登錄中間系統(tǒng)中接收端口的 端口標(biāo)識(shí)的對應(yīng)關(guān)系中,查找與接收到的系統(tǒng)標(biāo)識(shí)對應(yīng)的端口標(biāo)識(shí)���;以及 將加密后的用戶信息���,發(fā)送到與查找到的端口標(biāo)識(shí)對應(yīng)的端口 ; 所述單點(diǎn)登錄中間系統(tǒng)確定所述用戶請求訪問的應(yīng)用系統(tǒng)�����,具體包括 所述單點(diǎn)登錄中間系統(tǒng)確定接收到用戶信息的端口對應(yīng)的端口標(biāo)識(shí); 根據(jù)確定出的端口標(biāo)識(shí)�,在端口標(biāo)識(shí)和系統(tǒng)標(biāo)識(shí)的對應(yīng)關(guān)系中,查找與確定出的端口 標(biāo)識(shí)對應(yīng)的系統(tǒng)標(biāo)識(shí)��;并根據(jù)查找到的系統(tǒng)標(biāo)識(shí)��,確定所述用戶請求訪問的應(yīng)用系統(tǒng)�。
9.如權(quán)利要求2所述的單點(diǎn)登錄方法,其特征在于��,所述用戶信息為用戶標(biāo)識(shí)信息和/ 或用戶的業(yè)務(wù)訂購信息��。
10.如權(quán)利要求9所述的單點(diǎn)登錄方法��,其特征在于�����,若所述用戶信息為用戶標(biāo)識(shí)信 息���,則所述應(yīng)用系統(tǒng)根據(jù)解密得到的用戶信息為所述用戶提供業(yè)務(wù),具體包括所述應(yīng)用系統(tǒng)根據(jù)解密得到的用戶標(biāo)識(shí)信息�,在存儲(chǔ)的用戶標(biāo)識(shí)信息和業(yè)務(wù)訂購信息 的對應(yīng)關(guān)系中��,查找所述用戶的業(yè)務(wù)訂購信息�����;以及根據(jù)查找到的業(yè)務(wù)訂購信息��,確定需要為所述用戶提供的業(yè)務(wù)��;并 將確定出的業(yè)務(wù)提供給所述用戶�����。
11.一種業(yè)務(wù)管理系統(tǒng)��,其特征在于�,包括第一接收單元���,用于接收用戶發(fā)送的訪問請求消息���;第一確定單元,用于在第一接收單元接收到用戶發(fā)送的訪問請求消息后����,確定該用戶 的用戶信息��;加密單元���,用于根據(jù)與單點(diǎn)登錄中間系統(tǒng)預(yù)先約定的第一加密密鑰,對第一確定單元 確定出的用戶信息進(jìn)行加密��;第一發(fā)送單元���,用于將加密單元加密后的用戶信息發(fā)送給單點(diǎn)登錄中間系統(tǒng)����。
12.如權(quán)利要求11所述的業(yè)務(wù)管理系統(tǒng)����,其特征在于,還包括 分配單元�,用于為該用戶分配第一認(rèn)證標(biāo)識(shí);第二發(fā)送單元���,用于在第一加密單元對用戶信息進(jìn)行加密前��,將分配單元分配的第一 認(rèn)證標(biāo)識(shí)發(fā)送給單點(diǎn)登錄中間系統(tǒng)��;第二接收單元�,用于接收單點(diǎn)登錄中間系統(tǒng)發(fā)送的加密后的第一認(rèn)證標(biāo)識(shí)��; 解密單元�����,用于根據(jù)與所述業(yè)務(wù)管理系統(tǒng)預(yù)先約定的第一加密密鑰��,對第二接收單元 接收到的第一認(rèn)證標(biāo)識(shí)進(jìn)行解密����;第二確定單元,用于確定解密單元解密得到的第一認(rèn)證標(biāo)識(shí)與為所述用戶分配的第一 認(rèn)證標(biāo)識(shí)一致�����。
13.如權(quán)利要求12所述的業(yè)務(wù)管理系統(tǒng)�,其特征在于,第一確定單元根據(jù)解密單元解 密得到的第一認(rèn)證標(biāo)識(shí)����,在第一認(rèn)證標(biāo)識(shí)和用戶信息的對應(yīng)關(guān)系中,查找該用戶的用戶信息�����。
14.如權(quán)利要求11所述的業(yè)務(wù)管理系統(tǒng),其特征在于�����,第一接收單元接收到的訪問請 求消息中攜帶有所述用戶請求訪問的應(yīng)用系統(tǒng)的系統(tǒng)標(biāo)識(shí)���。
15.如權(quán)利要求14所述的業(yè)務(wù)管理系統(tǒng)����,其特征在于��,還包括第三發(fā)送單元���,用于將第一接收單元接收到的系統(tǒng)標(biāo)識(shí)發(fā)送給單點(diǎn)登錄中間系統(tǒng)�。
16.如權(quán)利要求14所述的業(yè)務(wù)管理系統(tǒng)���,其特征在于��,第一發(fā)送單元具體包括查找模塊���,用于根據(jù)第一接收單元接收到的系統(tǒng)標(biāo)識(shí)��,在系統(tǒng)標(biāo)識(shí)和單點(diǎn)登錄中間系 統(tǒng)中接收端口的端口標(biāo)識(shí)的對應(yīng)關(guān)系中����,查找與接收到的系統(tǒng)標(biāo)識(shí)對應(yīng)的端口標(biāo)識(shí)�����;發(fā)送模塊��,用于將加密單元加密后的用戶信息�����,發(fā)送到與查找模塊查找到的端口標(biāo)識(shí) 對應(yīng)的端口���。
17.一種單點(diǎn)登錄中間系統(tǒng),其特征在于���,包括第一接收單元����,用于接收業(yè)務(wù)管理系統(tǒng)發(fā)送的加密后的用戶信息�; 第一解密單元,用于根據(jù)與所述業(yè)務(wù)管理系統(tǒng)預(yù)先約定的第一加密密鑰,對第一接收 單元接收到的用戶信息進(jìn)行解密��;第一確定單元�����,用于確定用戶請求訪問的應(yīng)用系統(tǒng)�����;第一加密單元����,用于根據(jù)與第一確定單元確定出的應(yīng)用系統(tǒng)預(yù)先約定的第二加密密 鑰,對第一解密單元解密得到的用戶信息進(jìn)行加密�����;第一發(fā)送單元�,用于將第一加密單元加密后的用戶信息發(fā)送給第一確定單元確定出的 所述應(yīng)用系統(tǒng)。
18.如權(quán)利要求17所述的單點(diǎn)登錄中間系統(tǒng)���,其特征在于�,還包括 第二接收單元�����,用于接收業(yè)務(wù)管理系統(tǒng)發(fā)送的第一認(rèn)證標(biāo)識(shí);第二加密單元���,用于根據(jù)與所述業(yè)務(wù)管理系統(tǒng)預(yù)先約定的第一加密密鑰�,對接收到的 第一認(rèn)證標(biāo)識(shí)進(jìn)行加密后�,發(fā)送給所述業(yè)務(wù)管理系統(tǒng)。
19.如權(quán)利要求17所述的單點(diǎn)登錄中間系統(tǒng)�,其特征在于���,還包括分配單元�,用于第一加密單元對第一解密單元解密得到的用戶信息進(jìn)行加密前��,為該 用戶分配第二認(rèn)證標(biāo)識(shí)����;第二發(fā)送單元,用于將分配單元分配的第二認(rèn)證標(biāo)識(shí)發(fā)送給第一確定單元確定出的應(yīng) 用系統(tǒng)�;第三接收單元,用于接收所述應(yīng)用系統(tǒng)發(fā)送的加密后的第二認(rèn)證標(biāo)識(shí)����; 第二解密單元�����,用于根據(jù)與所述應(yīng)用系統(tǒng)預(yù)先約定的第二加密密鑰��,對第三接收單元 接收到的第二認(rèn)證標(biāo)識(shí)進(jìn)行解密����;第二確定單元����,用于確定第二解密單元解密得到的第二認(rèn)證標(biāo)識(shí)與分配單元為所述用 戶分配的第二認(rèn)證標(biāo)識(shí)一致。
20.如權(quán)利要求17所述的單點(diǎn)登錄中間系統(tǒng)�,其特征在于,第一確定單元具體包括 接收模塊��,用于接收所述業(yè)務(wù)管理系統(tǒng)發(fā)送的系統(tǒng)標(biāo)識(shí)����;第一確定模塊,用于根據(jù)接收模塊接收到的系統(tǒng)標(biāo)識(shí)���,確定用戶請求訪問的應(yīng)用系統(tǒng)�����。
21.如權(quán)利要求17所述的單點(diǎn)登錄中間系統(tǒng)��,其特征在于�����,第一確定單元具體包括 第二確定模塊���,用于確定第一接收單元接收所述用戶信息的端口對應(yīng)的端口標(biāo)識(shí)����; 查找模塊����,用于根據(jù)第二確定模塊確定出的端口標(biāo)識(shí)�,在端口標(biāo)識(shí)和系統(tǒng)標(biāo)識(shí)的對應(yīng) 關(guān)系中,查找與確定出的端口標(biāo)識(shí)對應(yīng)的系統(tǒng)標(biāo)識(shí)��;第三確定模塊���,用于根據(jù)查找模塊查找到的系統(tǒng)標(biāo)識(shí)��,確定所述用戶請求訪問的應(yīng)用 系統(tǒng)��。
全文摘要
本發(fā)明公開了一種單點(diǎn)登錄系統(tǒng)及方法����、業(yè)務(wù)管理系統(tǒng)及單點(diǎn)登錄中間系統(tǒng),單點(diǎn)登錄系統(tǒng)中包括至少一個(gè)業(yè)務(wù)管理系統(tǒng)以及至少一個(gè)應(yīng)用系統(tǒng)�,還包括單點(diǎn)登錄中間系統(tǒng),業(yè)務(wù)管理系統(tǒng)根據(jù)與單點(diǎn)登錄中間系統(tǒng)預(yù)先約定的第一加密密鑰����,對用戶的用戶信息進(jìn)行加密后發(fā)送給單點(diǎn)登錄中間系統(tǒng),單點(diǎn)登錄中間系統(tǒng)根據(jù)與用戶請求訪問的應(yīng)用系統(tǒng)預(yù)先約定的第二加密密鑰���,對解密得到的用戶信息進(jìn)行加密����,并將加密后的用戶信息發(fā)送給該應(yīng)用系統(tǒng)�����,該應(yīng)用系統(tǒng)根據(jù)解密得到的用戶信息為上述用戶提供業(yè)務(wù)�����。采用本發(fā)明技術(shù)方案����,解決了現(xiàn)有技術(shù)中存在的應(yīng)用系統(tǒng)管理與每個(gè)業(yè)務(wù)管理系統(tǒng)之間的加密密鑰耗費(fèi)了較多的系統(tǒng)資源�,導(dǎo)致應(yīng)用系統(tǒng)為用戶提供業(yè)務(wù)的效率較低的問題��。
文檔編號(hào)H04L9/32GK102082666SQ20091024155
公開日2011年6月1日 申請日期2009年11月26日 優(yōu)先權(quán)日2009年11月26日
發(fā)明者劉越, 王磊, 王磊建, 程亮, 范曉暉 申請人:中國移動(dòng)通信集團(tuán)公司