CN101051905A - 一种代理式身份认证方法 - Google Patents
一种代理式身份认证方法 Download PDFInfo
- Publication number
- CN101051905A CN101051905A CN 200710068531 CN200710068531A CN101051905A CN 101051905 A CN101051905 A CN 101051905A CN 200710068531 CN200710068531 CN 200710068531 CN 200710068531 A CN200710068531 A CN 200710068531A CN 101051905 A CN101051905 A CN 101051905A
- Authority
- CN
- China
- Prior art keywords
- authentication
- identity
- security strategy
- user
- agent
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明涉及一种代理式身份认证方法,包括以下步骤:(1)将用户的身份认证信息加密存储在服务器上,并在用户需要登陆的各个子系统上设置代理认证的代理端,代理端主动检测任何存在的身份认证请求,(2)对比身份认证请求人所加载的安全策略是否和准备接入的系统中的安全策略一致,(3)验证身份认证请求人的身份是否合法,若验证结果为否,则结束认证过程,若验证结果为是,则发送身份认证请求给代理认证的服务器,服务器将属于准备接入系统的身份认证信息以加密的方式传输给该系统的代理端,由代理端解密后输入身份认证信息,进行权限验证,若通过权限验证,则允许登录,否则认证失败,认证过程结束。
Description
技术领域
本发明涉及信息安全技术领域,具体地涉及用户登录各个系统时的身份认证方法。
背景技术
随着信息化的深入,用户享受越来越多便利的同时需要记住越来越多的系统密码。一个典型的企业网络往往具备营销、各类生产信息系统、计费网关、邮件、办公自动化、财务、门户网站、档案管理、信息查询、论坛、FTP系统等等十几个服务系统。各个系统越来越倾向于B/S结构,一般来说,在网内任何一台机器上,只要知道相应密码,就可以随时随处进入系统阅览相关信息甚至操作信息或者业务。如何按照安全规范管理每个人的用户名、密码,就变成了信息系统安全中最最关键的一环。而这一环的影响因素是“人”,员工对于安全的敏感度和安全规则的执行度决定了一个系统的程度。如果有一个关键员工对于自己的密码不负责,不认真,那么,这个企业采购了再多的安全设备、投入了再多的安全投资,系统都有致命的缺陷,系统都是不安全的。
另外,按照安全的密码原则,每个用户对于自己使用的各个系统都必须选取不同的密码(这里的“各个”系统的数量往往是十几个);而且密码必须定期更换;密码的长度必须超过8位,并且是不易猜测的数字、字母组合;密码最好靠记忆,最好不要写、存储在任何不安全的地方。这样的要求几乎没有人可以做到。大家采取的方式往往是所有系统都长期使用一个一成不变的简单好记的密码,时间一长往往会被人猜到或者看到,造成泄密,造成整个系统的不安全。那么,无论系统架构、硬件设备上考虑了再高级别的系统安全,系统都是不安全的。
并且,目前有很多应用对密码的传输是不加密的,比如大部分网站类应用或者最常应用的outlook。对于不加密的密码,只要是在同一网络中,使用某些随处可以下载的软件就可以监听窃取,为网络带来了极大的安全隐患。而由于大多用户对于十几个系统采用的都是一个密码,所以,一旦一个明文传输的密码被窃取,其他的加密传输密码的系统也随即失去了加密的意义。
另外,目前采用的“单点登陆”系统需要对用户的各个应用系统进行代码的修改、升级,因此产生的巨额费用使很多单位仅仅能选择部分主要系统实施单点登陆,而用户往往在其他未实施单点登陆的系统中采用相同的密码,因为其他系统的泄密而影响到实施了单点登陆的所有系统,是一个巨大的安全漏洞。此外“单点登陆”等于使用一个密码代替所有密码,也不符合通用的安全规范。
采用“硬件密码存储+随机产生校验码”的方式也同样遇到前面提到的各个应用系统代码升级引起的费用问题。此外,随机产生的校验码需要用户不停的记忆,大多数人不容易记住随机生成的校验码就会记录在纸上、手机中或者其他存储设备中,也不符合通用的安全规范。
发明内容
本发明所要解决的技术问题是:提供一种代理式身份认证方法,该方法代理用户的身份认证行为,负责替用户自动登陆各个子系统。同时,身份认证信息采用加密方式传输,避免了被网络窃听的可能。
为了解决上述技术问题,本发明包括以下步骤:(1)将用户的身份认证信息加密存储在服务器上,并在用户需要登陆的各个子系统上设置代理认证的代理端,代理端主动检测任何存在的身份认证请求,一旦检测到,则执行下一步;(2)对比身份认证请求人所加载的安全策略是否和准备接入的系统中的安全策略一致,若对比结果为否,则下载更新安全策略,继续步骤(2);(3)若步骤(2)中的对比结果为是,则验证身份认证请求人的身份是否合法,若验证结果为否,则结束认证过程,若验证结果为是,则发送身份认证请求给代理认证的服务器,服务器将属于准备接入系统的身份认证信息以加密的方式传输给该系统的代理端,由代理端解密后输入身份认证信息,进行权限验证,若通过权限验证,则允许登录,否则认证失败,认证过程结束。
根据本发明,由于采用了代理用户身份认证行为的方法,用户无需记住各个系统的不同密码,也不用使用同一个密码代替所有密码,身份认证信息采用加密方式传输,避免了被网络窃听的可能,同时不断更新安全策略,从而进一步提高了系统的安全性和可靠性。
附图说明
图1为本发明代理式身份认证方法的流程图。
具体实施方式
参见图1,将用户的身份认证信息加密存储在服务器上,并在用户需要登陆的各个子系统上设置代理认证的代理端,代理端主动检测任何存在的身份认证请求,一旦检测到,则对比身份认证请求人所加载的安全策略是否和准备接入的系统中的安全策略一致,如果对比结果为否,则下载更新安全策略,继续重新对比身份认证请求人所加载的安全策略是否和准备接入的系统中的安全策略一致,若对比结果为是,表示对比身份认证请求人所加载的安全策略和准备接入的系统中的安全策略一致,则验证身份认证请求人的身份是否合法,该验证方法有多种,例如,将电子密码存储至便于携带的硬件载体,如USB接口设备、IC卡、射频感应卡、磁感应卡等等,还有指纹、虹膜、声音对比,或者预先在系统中设定一批身份识别的问题和答案等,若验证结果为否,则结束认证过程,若验证结果为是,则启动代理式身份认证进程:发送身份认证的请求给代理认证服务器,身份认证请求包括电子密码和需要进行身份认证的系统序号,代理服务器将用户的属于该身份认证系统的用户名、密码等身份认证信息以加密方式传输给该身份认证系统的代理端,由代理端解密并进行身份认证信息的输入,代理端输入的身份信息按照该身份认证系统原有的流程进行权限验证。比如,办公自动化系统的密码将由代理端代为输入用户名及密码,办公自动化系统对输入的用户名及密码进行判断,如果代理端输入的用户名及密码被办公自动化系统判定为正确,允许登陆,代理端还会查询有关办公自动化系统的安全策略,查看是否需要进行办公自动化系统的密码变更维护、安全问题修改等等安全维护措施,如果有此需要,则根据安全策略规定进行维护工作,维护完成后通知用户身份认证成功,代理端输入的身份信息如果不被该身份认证系统接受,则通知用户身份认证失败,并给出提示解决办法(如:请联系服务电话xxxx等)。例如门禁系统,代理端向代理服务器读取请求人的身份信息,输入给门禁系统的身份验证设备接口(比如读卡器或者数字键盘的接口),门禁系统对这个信息进行验证,如果该信息不正确,门禁系统拒绝该用户通过,则代理端将得到验证失败的信息,代理端将给用户提示解决办法(如,您没有权限进入该办公室,请于xxx联系核实您的权限)。
如果用户在同时登陆几个需要身份认证的系统,则按照1、2、3或4的顺序依次以代理方式登陆各个系统。
登录系统后,为了增加系统的安全性,防止其它人冒用系统,需要按照安全策略规定的时段及频率检查系统的使用者是否合法。如果验证结果是非法的,则该非法使用者无法进一步使用系统的资源。
为了进一步提高系统的安全性,本发明提供安全策略定制功能,即用户可以设定自己单位的安全管理规范,按照设定好的安全策略进行各类身份认证信息的安全性维护,比如,对各个应用系统的密码进行管理维护,按照安全规范定期更改密码,确保密码不会因暴力破解、窃听、失密等原因而泄漏。对身份认证信息的维护管理是在代理端输入的身份认证信息被应用系统接受后,由代理端检查并执行与该应用系统有关的安全策略,并执行全部的安全策略规定的动作。比如,更改密码设置、修改随机安全提问等等。
Claims (3)
1、一种代理式身份认证方法,该方法包括下列步骤:
(1)将用户的身份认证信息加密存储在服务器上,并在用户需要登陆的各个子系统上设置代理认证的代理端,代理端主动检测任何存在的身份认证请求,一旦检测到,则执行下一步;
(2)对比身份认证请求人所加载的安全策略是否和准备接入的系统中的安全策略一致,若对比结果为否,则下载更新安全策略,继续步骤(2);
(3)若步骤(2)中的对比结果为是,则验证身份认证请求人的身份是否合法,若验证结果为否,则结束认证过程,若验证结果为是,则发送身份认证请求给代理认证的服务器,服务器将属于准备接入系统的身份认证信息以加密的方式传输给该系统的代理端,由代理端解密后输入身份认证信息,进行权限验证,若通过权限验证,则允许登录,否则认证失败,认证过程结束。
2、如权利要求1所述的一种代理式身份认证方法,其特征在于:在执行所述步聚(3)后,登录系统后,按照安全策略规定的时段及频率检查系统的使用者是否合法。
3、如权利要求1或2所述的一种代理式身份认证方法,其特征在于:在执行所述步聚(3)后,还包括以下步骤:由代理端根据安全策略进行身份认证信息的维护。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200710068531 CN101051905A (zh) | 2007-05-15 | 2007-05-15 | 一种代理式身份认证方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200710068531 CN101051905A (zh) | 2007-05-15 | 2007-05-15 | 一种代理式身份认证方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101051905A true CN101051905A (zh) | 2007-10-10 |
Family
ID=38783120
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 200710068531 Pending CN101051905A (zh) | 2007-05-15 | 2007-05-15 | 一种代理式身份认证方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101051905A (zh) |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101621522B (zh) * | 2008-07-03 | 2012-09-19 | 夏普株式会社 | 具有设定识别信息读取方式的功能的认证系统及终端装置 |
| CN103548298A (zh) * | 2011-04-15 | 2014-01-29 | 汉索知识产权私人有限公司 | 用于远程生物计量操作的系统和方法 |
| CN104852928A (zh) * | 2015-06-01 | 2015-08-19 | 上海雷腾软件股份有限公司 | 指纹加密鉴权方法 |
| CN106101128A (zh) * | 2016-07-06 | 2016-11-09 | 中国银联股份有限公司 | 安全性信息交互方法 |
| CN107438062A (zh) * | 2016-09-19 | 2017-12-05 | 广东建邦计算机软件股份有限公司 | 访客身份验证方法和装置 |
| CN108206803A (zh) * | 2016-12-16 | 2018-06-26 | 腾讯科技(深圳)有限公司 | 业务代办处理方法及装置 |
| CN109362078A (zh) * | 2018-11-05 | 2019-02-19 | 温州职业技术学院 | 一种基于5g超密集网络的接入认证方法及其系统 |
| CN110555697A (zh) * | 2018-06-04 | 2019-12-10 | 北京嘀嘀无限科技发展有限公司 | 费用支付管理方法、系统、计算机设备及计算机可读介质 |
| CN111131142A (zh) * | 2019-10-22 | 2020-05-08 | 北京握奇智能科技有限公司 | 一种多应用系统的指纹认证加密系统及方法 |
| CN112214754A (zh) * | 2020-10-30 | 2021-01-12 | 重庆广播电视大学重庆工商职业学院 | 计算机网络安全预警系统 |
| CN113794718A (zh) * | 2021-09-14 | 2021-12-14 | 交通运输信息安全中心有限公司 | 多种应用系统的安全认证方法及安全认证装置 |
-
2007
- 2007-05-15 CN CN 200710068531 patent/CN101051905A/zh active Pending
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101621522B (zh) * | 2008-07-03 | 2012-09-19 | 夏普株式会社 | 具有设定识别信息读取方式的功能的认证系统及终端装置 |
| CN103548298A (zh) * | 2011-04-15 | 2014-01-29 | 汉索知识产权私人有限公司 | 用于远程生物计量操作的系统和方法 |
| CN104852928A (zh) * | 2015-06-01 | 2015-08-19 | 上海雷腾软件股份有限公司 | 指纹加密鉴权方法 |
| CN106101128A (zh) * | 2016-07-06 | 2016-11-09 | 中国银联股份有限公司 | 安全性信息交互方法 |
| CN107438062A (zh) * | 2016-09-19 | 2017-12-05 | 广东建邦计算机软件股份有限公司 | 访客身份验证方法和装置 |
| CN107438062B (zh) * | 2016-09-19 | 2018-06-15 | 广东建邦计算机软件股份有限公司 | 访客身份验证方法和装置 |
| CN108206803A (zh) * | 2016-12-16 | 2018-06-26 | 腾讯科技(深圳)有限公司 | 业务代办处理方法及装置 |
| CN108206803B (zh) * | 2016-12-16 | 2021-02-05 | 腾讯科技(深圳)有限公司 | 业务代办处理方法及装置 |
| CN110555697A (zh) * | 2018-06-04 | 2019-12-10 | 北京嘀嘀无限科技发展有限公司 | 费用支付管理方法、系统、计算机设备及计算机可读介质 |
| CN110555697B (zh) * | 2018-06-04 | 2022-07-01 | 北京嘀嘀无限科技发展有限公司 | 费用支付管理方法、系统、计算机设备及计算机可读介质 |
| CN109362078A (zh) * | 2018-11-05 | 2019-02-19 | 温州职业技术学院 | 一种基于5g超密集网络的接入认证方法及其系统 |
| CN111131142A (zh) * | 2019-10-22 | 2020-05-08 | 北京握奇智能科技有限公司 | 一种多应用系统的指纹认证加密系统及方法 |
| CN112214754A (zh) * | 2020-10-30 | 2021-01-12 | 重庆广播电视大学重庆工商职业学院 | 计算机网络安全预警系统 |
| CN112214754B (zh) * | 2020-10-30 | 2023-02-10 | 重庆广播电视大学重庆工商职业学院 | 计算机网络安全预警系统 |
| CN113794718A (zh) * | 2021-09-14 | 2021-12-14 | 交通运输信息安全中心有限公司 | 多种应用系统的安全认证方法及安全认证装置 |
| CN113794718B (zh) * | 2021-09-14 | 2023-08-29 | 交通运输信息安全中心有限公司 | 多种应用系统的安全认证方法及安全认证装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101051905A (zh) | 一种代理式身份认证方法 | |
| CN101051908B (zh) | 动态密码认证系统及方法 | |
| CN102301642B (zh) | 安全交易认证 | |
| CN101166091B (zh) | 一种动态密码认证的方法及服务端系统 | |
| CN101310286B (zh) | 改进的单点登录 | |
| CN110149328B (zh) | 接口鉴权方法、装置、设备及计算机可读存储介质 | |
| EP1571525B1 (en) | A method, a hardware token, and a computer program for authentication | |
| CN100533459C (zh) | 数据安全读取方法及其安全存储装置 | |
| CN108650212A (zh) | 一种物联网认证和访问控制方法及物联网安全网关系统 | |
| EP2113856A1 (en) | Secure storage of user data in UICC and Smart Card enabled devices | |
| CN101588352B (zh) | 一种确保操作环境安全的方法及系统 | |
| CN103455763A (zh) | 一种保护用户个人隐私的上网日志记录系统及方法 | |
| CN112673600A (zh) | 基于区块链的手机终端以及IoT设备之间的多重安全认证系统以及方法 | |
| CN108965222A (zh) | 身份认证方法、系统及计算机可读存储介质 | |
| CN106936588A (zh) | 一种硬件控制锁的托管方法、装置及系统 | |
| CN111274046A (zh) | 服务调用的合法性检测方法、装置、计算机设备及计算机存储介质 | |
| KR20060102456A (ko) | 고객 인증방법 및 시스템과 이를 위한 서버와 기록매체 | |
| CN107846406A (zh) | 一种账户登录方法及装置 | |
| CN109462572B (zh) | 基于加密卡和UsbKey的多因子认证方法、系统、存储介质及安全网关 | |
| CN101854357B (zh) | 网络认证监控方法及系统 | |
| KR100822890B1 (ko) | 인터넷상 주민등록번호 대체 서비스를 통한 인증 보안 방법 | |
| CN106375304A (zh) | 一种利用智能硬件实现的一次认证方法 | |
| KR102481213B1 (ko) | 로그인 인증 처리를 위한 시스템 및 방법 | |
| JP4303952B2 (ja) | 多重認証システム、コンピュータプログラムおよび多重認証方法 | |
| KR101221728B1 (ko) | 그래픽 otp 인증을 위한 인증처리서버 및 그 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Open date: 20071010 |