CN104580184B - 互信应用系统间身份认证方法 - Google Patents
互信应用系统间身份认证方法 Download PDFInfo
- Publication number
- CN104580184B CN104580184B CN201410840512.9A CN201410840512A CN104580184B CN 104580184 B CN104580184 B CN 104580184B CN 201410840512 A CN201410840512 A CN 201410840512A CN 104580184 B CN104580184 B CN 104580184B
- Authority
- CN
- China
- Prior art keywords
- authentication
- application system
- user
- application
- ticket
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Storage Device Security (AREA)
Abstract
本发明公开了一种互信应用系统间身份认证方法,包括以下步骤:应用系统A根据用户输入完成身份认证;应用系统A将用户信息和系统A的标识发送给认证系统,由认证系统包装为用户票根返回给应用系统A;当用户需要访问第三方互信应用系统B,则应用系统A将自身的标识、应用系统B的服务URL及应用系统A的用户票根,提交认证系统获取临时服务票据,并提交应用系统B;应用系统B利用认证系统提供的验证URL,向认证系统提交应用系统B的标识及临时服务票据,进行用户的身份认证;认证系统完成应用系统B提交的身份认证后,销毁产生的临时服务票据。本发明当用户已登录系统A时,希望访问系统B,则不需要登录操作,直接进入系统B,提高了用户体验。
Description
技术领域
本发明涉及计算机信息安全领域,尤其涉及一种互信应用系统间身份认证方法。
背景技术
随着全球信息化和Internet技术的迅速发展, 系统间的相互协作越来越多,统一管理互信应用系统是全球信息化发展的必然趋势。统一管理互信应用系统能够提供或整合互信应用系统内部的多种信息系统,并以统一的用户界面方式提供给用户,为企业的管理者、应用提供商和用户提供统一的服务接入点。
目前计算机及网络系统中采用单点登录(Single Sign-On,简称SSO)模型,解决用户在互信应用系统之间一次登录就能访问其他授权的应用系统的问题。单点登录认证有许多优越性,使用户不必记下过多的登录口令,间接减少了口令泄露的几率;减少了用户等待返回认证结果的时间,促进工作效率的提升;能够提高应用系统的安全性,减少安全风险。
身份认证就是证实用户真实身份的真实性。在现实系统中,每个成员都有一个与之对应的数字身份,凭借它来防止非法用户通过身份欺诈访问系统资源。身份认证中常用的安全技术包括密码技术、消息摘要、数字签名和数字证书等。
安全的身份认证是所有应用系统的入口,统一管理平台所整合的互信应用系统往往具有相对独立的身份认证和授权机制,这使得软件平台和用户必须面对安全机制的多样性和异构性,从而导致用户身份严重不一致,用户信息无法统一,系统授权管理复杂等问题。因此研究设计出一种有效的、实用的且具有安全强度的互信应用系统间身份认证方法,具有重要的现实意义。
发明内容
本发明要解决的技术问题在于针对现有技术中的缺陷,提供一种互信应用系统间身份认证方法。
本发明解决其技术问题所采用的技术方案是:
一种互信应用系统间身份认证方法,包括以下步骤:
1)用户登录应用系统A时,应用系统A根据用户输入的账号和密码完成身份认证;
2)应用系统A将用户账号、密码和应用系统A的标识发送给认证系统,由认证系统将上述信息包装为用户票根返回给应用系统A,并保存在应用系统A的公共变量中;
所述应用系统A的标识为系统A的appKey;
3)当用户登录应用系统A后,需要访问第三方互信应用系统B,则应用系统A将自身的标识、应用系统B的服务URL及保存在应用系统A的公共变量中的用户票根,提交认证系统获取临时服务票据;应用系统A将临时服务票据提交应用系统B;
所述应用系统B与应用系统A为互信系统,所述各互信应用系统以appKey作为自身的唯一标识,各互信应用系统通过appKey和appSecret确认对方身份,appSecret是与appKey对应的一个密钥;
所述临时服务票据是在互信系统间身份认证时,用于验证的服务票据,临时生成,使用过后立刻作废;
所述应用系统B的服务URL为应用系统B的请求的URL;
4)应用系统B利用认证系统提供的验证URL,向认证系统提交应用系统B的标识及临时服务票据,在认证系统进行用户的身份认证;
所述认证系统用于为第三方互信系统B提供的一个在线票据验证URL,供第三方互信系统调用完成用户临时服务票据的验证,该验证URL包含操作方法及参数;
5)认证系统完成应用系统B提交的身份认证后,销毁产生的临时服务票据;
6)认证系统认证通过后,向应用系统B返回用户信息,则应用系统B允许用户访问;认证失败则应用系统B禁止用户访问;
7)认证系统销毁步骤2)中利用账号和密码包装的票根TGT。
本发明中的认证系统用于:1.生成包装用户票根 2.生成临时服务票据 3.验证服务票据。
按上述方案,步骤1)中系统A运用单点登录技术,客户端将用户初次登录系统时输入的账号和密码包装为安全上下文,服务器端则根据安全上下文以及安全机制来检测该用户是否有权访问系统。
按上述方案,步骤2)中认证系统使用票据机制完成身份认证,认证过程中以TGT(Ticket Granting Ticket)票根绑定用户信息,并颁发应用系统间身份认证凭证临时服务票据ST(Service Ticket),临时服务票据ST验证成功后即失效且其有效期为60秒,保证认证过程的安全性。
按上述方案,步骤3)中每个应用系统配备标识信息appKey作为互信应用系统间的唯一标识,认证系统与各应用系统共享该标识信息。
按上述方案,本方法中,应用系统与认证系统间以Restful Web Services服务的形式交互,使用HTTPS协议保证认证过程的安全性,所有HTTPS请求以及服务器响应信息都要通过SSL协议加密和解密,包括应用系统向认证系统请求的URL以及所有在应用系统与认证系统之间传输的数据等。
本发明产生的有益效果是:
1.互信应用系统间的身份认证方法采用票据机制,票据在应用系统间的传递和共享不会使用户的账号和密码等敏感信息明文传递,即互信应用系统间无需使用用户的账号和密码就可以完成身份认证。
2.互信应用系统间的身份认证方法采用Restful Web Services架构,通过URL就可以定位相应REST资源,并对其进行相应的CRUD操作,使信息资源的处理变得更加简单,使用HTTPS协议保证认证过程的安全性。因此,C/S架构、B/S架构软件均可使用该认证系统完成互信应用系统间的身份认证。
附图说明
下面将结合附图及实施例对本发明作进一步说明,附图中:
图1是本发明实施例的方法流程示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
如图1所示,本发明实例提供一种互信应用系统间身份认证方法,该方法包括以下几个步骤:
(1)该认证方法适用于互信应用系统间的身份认证,各互信应用系统以appKey作为自身的唯一标识,各互信应用系统通过appKey和appSecret(appSecret是与appKey对应的一个密钥)确认对方身份,确认对方为互信应用系统后才能对用户进行身份认证;
(2)认证系统为第三方互信系统提供一个在线validateTicket URL,供第三方互信系统完成用户票据的验证。该validateTicket URL需提交参数appKey、appSecret、ST及serviceUrl,其中appKey为自身标识,appSecret为与appKey对应密钥,ST(ServiceTicket)为访问互信系统临时服务票据,serviceUrl为系统的服务URL;
(3)用户初次登录系统A时,系统A将自身标识信息appKey、appSecret和用户身份信息username、password通过HTTPS提交认证系统validateUser URL。validateUser URL验证用户身份成功后获取用户票根TGT(Ticket Granting Ticket);
(4)获取用户票根TGT后,通过HTTPS将自身标识信息appKey、appSecret和获取用户票根TGT、serviceUrl发送getServiceTicket URL,获取临时服务票据ST;
(5)当用户登录系统A后,需要访问第三方互信系统B时,则系统A将自身标识信息appKey、appSecret和(4)中产生的临时票据ST、serviceUrl等作为身份凭证,系统B调用系统A提供的validateTicket URL,完成用户的身份认证;
(6)认证系统认证通过后,向系统B返回用户信息,则系统B允许用户访问;认证失败则禁止用户访问应用系统B;
(7)访问结束后通过HTTPS将自身标识信息appKey、appSecret和用户票根TGT发送logout URL,销毁用户票根TGT。
应当理解的是,对本领域普通技术人员来说,可以根据上述说明加以改进或变换,而所有这些改进和变换都应属于本发明所附权利要求的保护范围。
Claims (5)
1.一种互信应用系统间身份认证方法,其特征在于,包括以下步骤:
1)用户登录应用系统A时,应用系统A根据用户输入的账号和密码完成身份认证;
2)应用系统A将用户账号、密码和系统A的标识发送给认证系统,由认证系统将上述信息包装为用户票根返回给应用系统A,并保存在应用系统A的公共变量中;所述系统A的标识为系统A的appKey;
3)当用户登录应用系统A后,需要访问第三方互信应用系统B,则应用系统A将自身的标识、应用系统B的服务URL及保存在应用系统A的公共变量中的用户票根,提交认证系统获取临时服务票据;应用系统A将临时服务票据提交应用系统B;
所述应用系统B与应用系统A为互信系统,所述各互信应用系统以appKey作为自身的唯一标识,各互信应用系统通过appKey和appSecret确认对方身份,appSecret是与appKey对应的一个密钥;
所述临时服务票据在互信系统间身份认证时,用于验证的服务票据,临时生成,使用过后立刻作废;
所述系统B的服务URL为系统B的请求的URL;
4)应用系统B利用认证系统提供的验证URL,向认证系统提交应用系统B的标识及临时服务票据,在认证系统进行用户的身份认证;
所述认证系统用于为第三方互信系统B提供的一个在线票据验证URL,供第三方互信系统调用完成用户临时服务票据的验证,该验证URL包含操作方法及参数;
5)认证系统完成应用系统B提交的身份认证后,销毁产生的临时服务票据;
6)认证系统认证通过后,向应用系统B返回用户账号信息,则应用系统B允许用户访问;认证失败则应用系统B禁止用户访问;
7)认证系统销毁步骤2)中利用账号和密码包装的票根TGT。
2.根据权利要求1所述的认证方法,其特征在于,步骤1)中系统A运用单点登录技术,客户端将用户初次登录系统时输入的账号和密码包装为安全上下文,服务器端则根据安全上下文以及安全机制来检测该用户是否有权访问系统。
3.根据权利要求1所述的认证方法,其特征在于,步骤2)中认证系统使用票据机制完成身份认证,认证过程中以TGT票根绑定用户账号、密码和系统A的标识,并颁发应用系统间身份认证凭证临时服务票据ST,临时服务票据ST验证成功后即失效且其有效期为60秒,保证认证过程的安全性。
4.根据权利要求1所述的认证方法,其特征在于,步骤3)中每个应用系统配备标识信息appKey作为互信应用系统间的唯一标识,认证系统与各应用系统共享该标识信息。
5.根据权利要求1至4所述的任一认证方法,其特征在于,认证方法中,应用系统与认证系统间以Restful Web Services服务的形式交互,使用HTTPS协议保证认证过程的安全性,所有HTTPS请求以及服务器响应信息都要通过SSL协议加密和解密,包括应用系统向认证系统请求的URL以及所有在应用系统与认证系统之间传输的数据。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410840512.9A CN104580184B (zh) | 2014-12-29 | 2014-12-29 | 互信应用系统间身份认证方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410840512.9A CN104580184B (zh) | 2014-12-29 | 2014-12-29 | 互信应用系统间身份认证方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104580184A CN104580184A (zh) | 2015-04-29 |
| CN104580184B true CN104580184B (zh) | 2017-12-22 |
Family
ID=53095365
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410840512.9A Active CN104580184B (zh) | 2014-12-29 | 2014-12-29 | 互信应用系统间身份认证方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104580184B (zh) |
Families Citing this family (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106209749B (zh) * | 2015-05-08 | 2020-09-25 | 阿里巴巴集团控股有限公司 | 单点登录方法及装置、相关设备和应用的处理方法及装置 |
| CN106296330A (zh) * | 2015-06-11 | 2017-01-04 | 阿里巴巴集团控股有限公司 | 账号信息处理方法及装置 |
| CN105141580B (zh) * | 2015-07-27 | 2019-01-11 | 天津灵创智恒软件技术有限公司 | 一种基于ad域的资源访问控制方法 |
| CN105262762A (zh) * | 2015-10-30 | 2016-01-20 | 四川省宁潮科技有限公司 | 一种基于三角稳固法则的服务认证方法 |
| US10496808B2 (en) | 2016-10-25 | 2019-12-03 | Apple Inc. | User interface for managing access to credentials for use in an operation |
| CN106506498B (zh) * | 2016-11-07 | 2020-07-28 | 安徽四创电子股份有限公司 | 一种系统间数据调用授权认证方法 |
| CN109547472B (zh) * | 2018-12-24 | 2021-07-27 | 中国科学院数据与通信保护研究教育中心 | 一种可隐藏用户登录轨迹的单点登录方法 |
| CN110034933B (zh) * | 2018-12-25 | 2023-06-09 | 中国银联股份有限公司 | 跨系统用户互信认证方法及跨系统用户互信认证系统 |
| US10698701B1 (en) * | 2019-06-01 | 2020-06-30 | Apple Inc. | User interface for accessing an account |
| CN110798456A (zh) * | 2019-10-22 | 2020-02-14 | 北京天融信网络安全技术有限公司 | Sslvpn的认证方法及内网资源访问和数据获取方法 |
| US11601419B2 (en) | 2020-06-21 | 2023-03-07 | Apple Inc. | User interfaces for accessing an account |
| CN111935159A (zh) * | 2020-08-13 | 2020-11-13 | 工银科技有限公司 | 多系统间互信认证方法、装置及系统 |
| CN114338057B (zh) * | 2020-09-27 | 2023-09-08 | 腾讯科技(深圳)有限公司 | 基于第三方鉴权的登录方法、装置、设备和存储介质 |
| US12111962B2 (en) | 2021-02-19 | 2024-10-08 | Apple Inc. | User interfaces and device settings based on user identification |
| CN114491489B (zh) * | 2022-02-17 | 2025-01-10 | 中国工商银行股份有限公司 | 请求响应方法、装置、电子设备及存储介质 |
| CN114553573B (zh) * | 2022-02-23 | 2024-05-28 | 中国工商银行股份有限公司 | 身份认证方法及装置 |
| CN115118454B (zh) * | 2022-05-25 | 2023-06-30 | 四川中电启明星信息技术有限公司 | 一种基于移动应用的级联认证系统及认证方法 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1812403A (zh) * | 2005-01-28 | 2006-08-02 | 广东省电信有限公司科学技术研究院 | 一种跨管理域实现身份认证的单点登录方法 |
| CN1897523A (zh) * | 2006-06-26 | 2007-01-17 | 北京金山软件有限公司 | 一种实现单点登录的系统及方法 |
| CN1946022A (zh) * | 2006-10-31 | 2007-04-11 | 华为技术有限公司 | 转接第三方登陆的方法、系统及第三方网站、业务服务器 |
| CN101159557A (zh) * | 2007-11-21 | 2008-04-09 | 华为技术有限公司 | 单点登录的方法、装置及系统 |
| CN101355527A (zh) * | 2008-08-15 | 2009-01-28 | 深圳市中兴移动通信有限公司 | 一种跨域名单点登录的实现方法 |
| CN103312505A (zh) * | 2013-04-08 | 2013-09-18 | 河海大学 | 一种易用的单点登录实现的构建方法 |
-
2014
- 2014-12-29 CN CN201410840512.9A patent/CN104580184B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1812403A (zh) * | 2005-01-28 | 2006-08-02 | 广东省电信有限公司科学技术研究院 | 一种跨管理域实现身份认证的单点登录方法 |
| CN1897523A (zh) * | 2006-06-26 | 2007-01-17 | 北京金山软件有限公司 | 一种实现单点登录的系统及方法 |
| CN1946022A (zh) * | 2006-10-31 | 2007-04-11 | 华为技术有限公司 | 转接第三方登陆的方法、系统及第三方网站、业务服务器 |
| CN101159557A (zh) * | 2007-11-21 | 2008-04-09 | 华为技术有限公司 | 单点登录的方法、装置及系统 |
| CN101355527A (zh) * | 2008-08-15 | 2009-01-28 | 深圳市中兴移动通信有限公司 | 一种跨域名单点登录的实现方法 |
| CN103312505A (zh) * | 2013-04-08 | 2013-09-18 | 河海大学 | 一种易用的单点登录实现的构建方法 |
Non-Patent Citations (1)
| Title |
|---|
| 基于改进的RBAC模型和CAS的单点登录设计与实现;徐升龙;《东北师范大学》;20111231;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104580184A (zh) | 2015-04-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104580184B (zh) | 互信应用系统间身份认证方法 | |
| TWI706263B (zh) | 信任登錄方法、伺服器及系統 | |
| TWI659313B (zh) | Automatic login method and device between multiple websites | |
| EP1914658B1 (en) | Identity controlled data center | |
| CN106534175B (zh) | 基于OAuth协议的开放平台授权认证系统及方法 | |
| RU2434340C2 (ru) | Инфраструктура верификации биометрических учетных данных | |
| JP5695120B2 (ja) | システム間シングルサインオン | |
| JP5889988B2 (ja) | Httpベースの認証 | |
| US8799639B2 (en) | Method and apparatus for converting authentication-tokens to facilitate interactions between applications | |
| CN108512784A (zh) | 基于网关路由转发的鉴权认证方法 | |
| TWI542183B (zh) | 由多租戶服務提供者所為之動態平台重新組配技術 | |
| CN114008968B (zh) | 用于计算环境中的许可授权的系统、方法和存储介质 | |
| US20190306148A1 (en) | Method for oauth service through blockchain network, and terminal and server using the same | |
| US20140337955A1 (en) | Authentication and authorization with a bundled token | |
| US20080086634A1 (en) | Techniques for using AAA services for certificate validation and authorization | |
| CN104283886B (zh) | 一种基于智能终端本地认证的web安全访问的实现方法 | |
| EP4264880B1 (en) | Integration of legacy authentication with cloud-based authentication | |
| CN103259663A (zh) | 一种云计算环境下的用户统一认证方法 | |
| EP2786329A1 (en) | Application licensing authentication | |
| CN105187362A (zh) | 一种桌面云客户端和服务端之间连接认证的方法及装置 | |
| TW201042973A (en) | Token-based client to server authentication of a secondary communication channel by way of primary authenticated communication channels | |
| CN105430014B (zh) | 一种单点登录方法及其系统 | |
| CN103716292A (zh) | 一种跨域的单点登录的方法和设备 | |
| CN104579681B (zh) | 互信应用系统间身份认证系统 | |
| CN109672675A (zh) | 一种基于OAuth2.0的密码服务中间件的WEB认证方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |