CN102201915A - 一种基于单点登录的终端认证方法和装置 - Google Patents
一种基于单点登录的终端认证方法和装置 Download PDFInfo
- Publication number
- CN102201915A CN102201915A CN2010101309885A CN201010130988A CN102201915A CN 102201915 A CN102201915 A CN 102201915A CN 2010101309885 A CN2010101309885 A CN 2010101309885A CN 201010130988 A CN201010130988 A CN 201010130988A CN 102201915 A CN102201915 A CN 102201915A
- Authority
- CN
- China
- Prior art keywords
- terminal
- server
- authentication
- logging
- sequence number
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 34
- 230000001186 cumulative effect Effects 0.000 claims abstract description 25
- 238000013475 authorization Methods 0.000 claims description 65
- 230000000295 complement effect Effects 0.000 claims description 35
- 238000012795 verification Methods 0.000 abstract description 4
- 102100037845 Isocitrate dehydrogenase [NADP], mitochondrial Human genes 0.000 description 113
- 238000005516 engineering process Methods 0.000 description 11
- 230000008569 process Effects 0.000 description 5
- 238000004891 communication Methods 0.000 description 4
- 230000003993 interaction Effects 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 230000009977 dual effect Effects 0.000 description 1
- 239000012467 final product Substances 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000002035 prolonged effect Effects 0.000 description 1
- 238000012163 sequencing technique Methods 0.000 description 1
Images
Landscapes
- Information Transfer Between Computers (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明的实施例公开了一种基于单点登录的终端认证方法和装置,该方法包括:单点登录服务器接收在对待认证终端的认证请求中携带终端生成的登录凭证,所述登录凭证中至少包括序列号和验证信息,所述序列号是根据所述单点登录服务器为终端分配的初始随机数和终端认证的累计次数生成的,所述验证信息是根据终端与单点登录服务器之间的共享密钥生成的;所述单点登录服务器判断如果待认证终端的序列号与该单点登录服务器记录的终端的序列号相匹配且所述登录凭证中携带的验证信息合法,则所述单点登录服务器对所述待认证终端认证通过;否则,对所述待认证终端认证失败。通过本发明,防止了重放攻击且提高了单点登录的效率。
Description
技术领域
本发明涉及通信技术领域,特别是涉及一种基于单点登录的终端认证方法和装置。
背景技术
单点登录(Single Sign On,SSO),是目前比较流行的企业业务整合的解决方案之一。单点登录技术是指在多个支持单点登录的应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统,目前已经有大量的互联网业务,特别是Web业务使用单点登录技术。利用单点登录技术,可以大大减轻用户输入口令的操作,并可以减少用户需要记忆的口令数量。同时,单点登录技术还可以简化网站或业务平台的开发复杂度,不需要实现复杂的用户认证协议,也不需要存储海量的用户密码等认证信息。
单点登录的流程如图1所示,具体包括以下步骤:
1、终端向SP服务器(Seivice Provider,服务提供商)发起业务请求;
2、SP服务器返回重定向指示,通知终端向IDP(Identity Provider,身份提供商)进行认证;
3、终端向IDP发起认证请求,IDP对用户身份进行认证;
4、IDP对终端身份认证通过后,返回终端一个登录凭证,并指示终端重新向SP服务器发起请求;
5、终端携带登录凭证向SP服务器发起请求;
6、SP服务器向IDP验证终端登录凭证的真实性,或者SP自行判断登录凭证的真实性,在此情况下跳过第6步;
7、验证通过后,SP服务器向终端返回所请求的内容。
在上述流程中,IDP返回给终端的登录凭证通常有两种:1、由随机数构成的数据结构;2、由IDP验证过的用户身份信息及IDP对身份信息的签名信息。
在使用第一种登录凭证时,SP收到该随机数后需要向IDP查询该随机数的有效性及对应的用户身份,IDP检查本地数据,若该随机数有效,则返回用户身份,否则返回错误。在使用第二种登录凭证时,SP收到用户身份信息和IDP签名信息后,需要验证IDP签名信息的正确性,若正确则相信用户所请求的身份信息是正确的。通过上述两种方式都可以使得SP不必直接对用户身份进行认证,而只需要根据IDP的认证结果进行判断即可。无论采用上述哪种登录凭证方式都不能防范重放攻击,即攻击者可以监听终端与IDP或终端与SP之间的通信内容,从中截获随机数或IDP签名过的用户身份信息,之后攻击者将该随机数重发给SP服务器,以此假冒用户身份访问业务。
针对上述问题,现有技术方案提供了以下技术方案:
(1)、在终端与IDP以及SP之间的通信采用诸如TLS、SSL等的安全连接,从而对登录凭证数据进行加密保护以防范窃听;或者
(2)要求所使用的随机数登录凭证为一次性登录凭证,SP验证一次后,IDP即删除该随机数信息,再有SP发送相同的验证请求则返回错误数据。
在实现本发明的过程中,发明人发现现有技术至少存在如下问题:
对于第一种方法,虽然防范了在通道中截获登录凭证并重放的可能,但并没有防范攻击者在源头从一个SP截获登录凭证数据再访问另一个SP的可能,因此仍存在安全问题,而且这种方式要求终端与IDP和SP之间的通信链路都采用SSL、TLS等安全连接,增加了对终端和平台的实现复杂性,增加了交互的时间,单点登录效率低。
对于第二种方法,一次性登录凭证虽然基本解决了重放的问题,但要求终端访问每个SP网站都需要先向IDP认证并请求登录凭证,增加了用户访问业务的交互次数,延长了用户等待时间,单点登录效率低。
发明内容
本发明的实施例提供一种基于单点登录的终端认证方法和装置,用于在防重放攻击的基础上提高单点登录的效率。
本发明的实施例提供一种基于单点登录的终端认证方法,包括:
单点登录服务器接收对待认证终端的认证请求,所述认证请求中携带终端生成的登录凭证,所述登录凭证中至少包括序列号和验证信息,所述序列号是根据所述单点登录服务器为终端分配的初始随机数和终端认证的累计次数生成的,所述验证信息是根据终端与单点登录服务器之间的共享密钥生成的;
所述单点登录服务器判断待认证终端的所述序列号是否与该单点登录服务器记录的终端的序列号相匹配,或/和,根据待认证终端与单点登录服务器之间的共享密钥生成验证信息,并使用生成的验证信息验证所述登录凭证中携带的验证信息是否合法;
如果待认证终端的序列号与该单点登录服务器记录的终端的序列号相匹配且所述登录凭证中携带的验证信息合法,则所述单点登录服务器对所述待认证终端认证通过;否则,对所述待认证终端认证失败。
其中,所述单点登录服务器根据所述序列号判断待认证终端的所述序列号是否与该单点登录服务器记录的终端的序列号相匹配,具体为:
所述单点登录服务器在根据为终端分配的初始随机数和终端认证的累积次数生成并记录的各个终端的序列号中,查找是否存在与所述登录凭证中的序列号之差小于预设门限的序列号;如果存在,所述单点登录服务器判断待认证终端的所述序列号与该单点登录服务器记录的终端的序列号相匹配。
其中,所述登录凭中还包括:用户标识;所述单点登录服务器根据所述序列号判断待认证终端的所述序列号是否与该单点登录服务器记录的终端的序列号相匹配,具体包括:
所述单点登录服务器根据所登录凭中的用户标识获取与相应终端的该次认证请求对应的序列号,所述序列号根据为终端分配的初始随机数和终端认证的累积次数生成;
所述单点登录服务器判断所获取的序列号和所述登录凭证中的序列号之差是否小于预设门限;
若小于所述预设门限,所述单点登录服务器判断待认证终端的所述序列号与该单点登录服务器记录的终端的序列号相匹配。
其中,所述单点登录服务器生成认证信息之前还包括:获取所述共享密钥的步骤,该步骤具体包括:
所述单点登录服务器从其记录的各终端的序列号中查找与所述登录凭证中的序列号相匹配的序列号;
所述单点登录服务器根据查找到的序列号所对应的用户标识获取相应终端与所述单点登录服务器之间的共享密钥。
其中,所述登录凭中还包括:用户标识;所述单点登录服务器生成认证信息之前还包括:获取所述共享密钥的步骤,该步骤具体包括:
所述单点登录服务器根据所述登录凭证中的用户标识获取相应终端与所述单点登录服务器之间的共享密钥。
其中,所述单点登录服务器为终端分配初始随机数,包括:
所述单点登录服务器根据终端的初始认证请求,为该终端生成初始登录凭证,其中至少携带有初始随机数和根据该终端与单点登录服务器之间的共享密钥生成的验证信息;
所述单点登录服务器将携带有初始随机数和验证信息的初始登录凭证发送给该终端。
本发明的实施例提供一种单点登录服务器,包括:
接收模块,用于接收对待认证终端的认证请求,所述认证请求中携带终端生成的登录凭证,所述登录凭证中至少包括序列号和验证信息,所述序列号是根据所述单点登录服务器为终端分配的初始随机数和终端认证的累计次数生成的,所述验证信息是根据终端与单点登录服务器之间的共享密钥生成的;
验证模块,用于判断待认证终端的所述序列号是否与该单点登录服务器记录的终端的序列号相匹配,或/和,根据待认证终端与单点登录服务器之间的共享密钥生成验证信息,并使用生成的验证信息验证所述登录凭证中携带的验证信息是否合法;如果待认证终端的序列号与该单点登录服务器记录的终端的序列号相匹配且所述登录凭证中携带的验证信息合法,则所述单点登录服务器对所述待认证终端认证通过;否则,对所述待认证终端认证失败。
其中,所述验证模块具体用于:
在根据为终端分配的初始随机数和终端认证的累积次数生成并记录的各个终端的序列号中,查找是否存在与所述登录凭证中的序列号之差小于预设门限的序列号;如果存在,所述单点登录服务器判断待认证终端的所述序列号与该单点登录服务器记录的终端的序列号相匹配。
其中,所述登录凭中还包括:用户标识;所述验证模块具体用于:
根据所登录凭中的用户标识获取与相应终端的该次认证请求对应的序列号,所述序列号根据为终端分配的初始随机数和终端认证的累积次数生成;判断所获取的序列号和所述登录凭证中的序列号之差是否小于预设门限;若小于所述预设门限,判断待认证终端的所述序列号与该单点登录服务器记录的终端的序列号相匹配。
其中,还包括:
生成模块,用于从其记录的各终端的序列号中查找与所述登录凭证中的序列号相匹配的序列号;根据查找到的序列号所对应的用户标识获取相应终端与所述单点登录服务器之间的共享密钥。
其中,所述登录凭中还包括:用户标识;还包括:
生成模块,用于根据所述登录凭证中的用户标识获取相应终端与所述单点登录服务器之间的共享密钥。
其中,
所述生成模块,还用于根据终端的初始认证请求,为该终端生成初始登录凭证,其中至少携带有初始随机数和根据该终端与单点登录服务器之间的共享密钥生成的验证信息;
还包括:
发送模块,用于将携带有初始随机数和验证信息的初始登录凭证发送给该终端。
本发明的实施例提供一种终端,其特征在于,包括:
生成模块,用于至少根据序列号和验证信息生成登录凭证,所述序列号是根据所述单点登录服务器为终端分配的初始随机数和终端认证的累计次数生成的,所述验证信息是根据终端与单点登录服务器之间的共享密钥生成的;
发送模块,用于向应用服务器发送认证请求,所述认证请求中携带所述终端的登录凭证。
其中,还包括:
接收模块,用于接收所述单点登录服务器发送的初始登录凭证,所述初始登录凭证中至少包括所述单点登录服务器为所述终端分配的初始随机数和验证信息。
其中,还包括:
判断模块,用于判断本地是否存储有在有效期内的初始登录凭证;如果有,则由所述生成模块生成登录凭证;如果没有,则向所述单点登录服务器请求新的初始登录凭证。
本发明的实施例具有以下优点:终端携带登录凭证向IDP请求认证时,IDP判断登录凭证中携带的随机数有效时,通过与终端的共享密钥对该登录凭证的验证实现对用户的认证。通过随机数有效防止了重放攻击,且通过终端自身产生登录凭证的方法有效地提高了单点登录的效率。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对本发明或现有技术描述中所需要使用的附图作简单的介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为现有技术中单点登录技术的流程图;
图2为本发明的实施例中的一种基于单点登录的终端认证方法流程图;
图3为本发明的实施例中单点登录技术的流程图;
图4为本发明的实施例中IDP向认证通过的终端下发Token_0的流程图;
图5为本发明的实施例中终端根据有效期内的Token_0生成后续Token的流程图;
图6为本发明的实施例中的一种基于单点登录的终端认证方法流程图;
图7为本发明的实施例中的单点登录服务器的结构示意图;
图8为本发明的实施例中的终端的结构示意图。
具体实施方式
下面将结合本发明中的附图,对本发明中的技术方案进行清楚、完整的描述,显然,所描述的实施例是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图2所示,为本发明的实施例中的一种基于单点登录的终端认证方法,具体包括以下步骤:
步骤201、单点登录服务器接收对待认证终端的认证请求,所述认证请求中携带终端生成的登录凭证,所述登录凭证中至少包括序列号和验证信息,所述序列号是根据所述单点登录服务器为终端分配的初始随机数和终端认证的累计次数生成的,所述验证信息是根据终端与单点登录服务器之间的共享密钥生成的;
步骤202、所述单点登录服务器判断待认证终端的所述序列号是否与该单点登录服务器记录的终端的序列号相匹配,或/和,根据待认证终端与单点登录服务器之间的共享密钥生成验证信息,并使用生成的验证信息验证所述登录凭证中携带的验证信息是否合法;
步骤203、如果待认证终端的序列号与该单点登录服务器记录的终端的序列号相匹配且所述登录凭证中携带的验证信息合法,则所述单点登录服务器对所述待认证终端认证通过;否则,对所述待认证终端认证失败。
在本发明实施例中,单点登录服务器为IDP,SP服务器为支持单点登录技术中的应用系统的服务器。
本发明实施例中单点登录的具体交互流程图3所示,包括以下步骤:
1、终端向SP发起业务请求。
2、SP向终端发送重定向请求,使终端向IDP进行认证。
3、终端通过IDP的认证后,向终端返回初始登录凭证Token_0。
其中,初始登录凭证中至少包括为终端分配的初始随机数和验证信息,该验证信息是根据终端与IDP之间的共享密钥生成的。
4、终端向SP重新发起请求,携带Token_0;
5、SP向IDP请求验证Token_0的有效性。
6、IDP根据对Token_0的验证向SP返回对终端的认证结果。
7、若认证结果为终端认证通过,则SP向终端返回所请求的内容。
在该Token_0的有效期内,终端再需要再次访问SP时:
8、终端自行生成新的登录凭证Token_n,并携带在向SP发送的业务请求中。
其中,登录凭证中至少包括序列号和验证信息,序列号是根据初始登录凭证中携带的IDP为终端分配的初始随机数和终端认证的累计次数生成的,验证信息是根据终端与IDP之间的共享密钥生成的。
9、SP将Token_n发送给IDP进行验证。
10.IDP验证Token_n正确后,SP向终端返回所请求的内容。
由上述流程可知,终端获取登录凭证主要有以下两种情况:(1)终端本地没有有效期内的初始登录凭证,终端从IDP获取初始登录凭证。(2)终端本地有有效期内的初始登录凭证,则终端根据该初始登录凭证自行生成登录凭证。之后,而无论终端在携带上述哪种情况下的登录凭证进行认证,IDP为了防止安全攻击,均要对终端的登录凭证进行验证,从而对终端进行认证。
以下,分别对上述终端获取登录凭证的两种情况进行进一步介绍。
如图4所示,IDP在基于单点登录对终端进行认证之前,IDP向认证通过的终端下发Token_0,具体包括以下步骤:
步骤401、终端第一次向SP服务器发送业务请求。
其中,SP服务器属于支持单点登录技术的应用系统。在本步骤中,由于该终端为第一次向SP发送业务请求,此时该终端未进行认证,该业务请求未携带证明该终端为合法终端的Token。
步骤402、SP服务器向终端返回重定向请求,该重定向请求指示终端向IDP获取Token。
而在单点登录技术中,对登录各个系统的用户进行统一的管理和认证。因此,当支持单点登录技术的SP服务器接收到终端发送的业务请求时,并非由自身直接对终端进行认证,而是通过第三方IDP对终端进行认证。因此,在向终端提供所请求的内容之前,向终端返回重定向请求,该重定向请求指示终端通过IDP进行认证。
步骤403、终端向IDP发送初始认证请求。
具体地,终端向IDP发送初始认证请求,该初始认证请求中携带用于对终端进行认证的信息,如用户名和密码。
需要说明的是,上述基于用户名和密码的认证方式仅为本发明一种优选的实施方式,凡是对用户进行认证的方式均属于本发明的保护范围,例如:智能卡认证、动态口令认证和USB Key认证等。
步骤404、IDP根据初始认证请求对终端进行认证。
IDP存储有支持单点登录的各个应用系统中所有用户的用户信息,用户信息包括但不限于:用户名、密码、终端IP地址,用户权限、用户偏好和身份附加信息等。优选地,所有用户信息以列表的形式存储。
具体地,当IDP接收到终端的认证请求时,根据终端提供的信息,比对本地存储的用户信息对终端进行认证。
当终端认证通过时,转到步骤405;否则,向终端返回认证失败消息。
步骤405、IDP生成Token_0,并将该Token_0发送给终端。
具体地,IDP根据本地存储的用户信息生成Token_0,其格式为:Token_0={UID、SQN、ExpT、Ext、MAC}。其中UID(User Identification)为用户标识;SQN(Sequence Number)为IDP为终端分配的序列号,序列号是根据IDP为终端分配的初始随机数和终端认证的累计次数生成的,其中Token_0中终端认证的累计次数为0,此时该序列号即IDP为终端分配得初始随机数。该序列号用于唯一标识该用户的该次认证请求,并作为计算后续Token的计数器起始值,具体使用详见后续说明。ExpT为该Token的有效期;Ext为Token中的附加信息,例如:终端IP地址、用户权限、用户偏好和身份附加信息等。MAC为IDP使用IDP与终端间的共享密钥K_IDP对Token_0中的{UID、SQN、ExpT、Ext}(即除自身以外的所有信息)进行计算而得的完整性校验码,为该登录凭证的验证信息。该共享密钥既可以是预置的,也可以是通过密钥协商机制生成,例如利用GBA(GenericBootstrapping Architecture,通用鉴权框架)、IKE(Intemet Key Exchange,因特网密钥交换)等。
由此可知,SQN唯一标识了对该用户该次认证请求产生的Token,避免了重放攻击。MAC为认证中的验证信息,以保证数据安全性。
需要说明的是,上述Token中所携带的信息为本发明实施例中优选的实施方式,该Token可以仅携带SQN和MAC,此时IDP利用共享密钥仅对SQN计算而得到MAC,该Token还可以携带其他信息,例如终端的IP地址等。此外,计算MAC的方式可以为任何一种完整性校验算法。
步骤406、终端接收并存储IDP返回的Token_0。
终端在后续向SP服务器请求业务时,若IDP下发的Token_0还在有效期内,则终端根据该Token_0生成后续Token;否则,则向IDP重新请求Token_0。其中,如图5所示,终端根据有效期内的Token_0生成后续Token具体包括以下步骤:
步骤501、终端判断本地是否存储有在有效期内的Token_0。
若判断本地存储有在有效期内的Token_0,转到步骤502;
否则,根据SP服务器的重定向重新向IDP请求Token_0,具体参见上一实施例,此处不再赘述。
步骤502、终端根据IDP下发的初始登录凭证自行生成新的Token。
具体地,终端生成新的Token包括以下步骤:
(1)终端获取本地存储的Token_0中的SQN。
(2)终端生成与该次认证请求对应的SQN。
具体地,终端利用请求次数对Token_0中的SQN的计数,而到SQN_n=SQN+n。其中n为终端从IDP获得Token_0后,计算后续Token的次数。例如:当终端第3次获取Token时,此时的Token为Token_3,其中SQN_3=SQN+3。
需要说明的是,上述对Token中SQN的生成方法仅为本发明一种优选的实施方式,凡是IDP与终端共知的生成方法均属于本发明的保护范围,例如:每请求一次,SQN值增加2。此外,终端和IDP均可以根据共知的SQN的初始值和生成方法唯一确定后续请求中,与每一次认证对应的SQN。
(3)终端根据与IDP的共享密钥K_IDP对{UID、SQN、ExpT、Ext}进行计算而获得完整性校验码,进一步得到Token_n={UID、SQN+n、ExpT、Ext、MAC}。
其中,Token_n中的其他信息可从初始登录凭证中获取,或根据预先与IDP之间的协商而确定。
当终端获取Token之后,若终端为合法终端,则携带上述方式生成的Token向IDP进行认证,但在实际应用中,由于重放等安全攻击而导致向IDP发送认证请求的终端为非法终端。因此,如图6所示,本发明的实施例提供一种基于单点登录的终端认证方法,具体包括以下步骤:
步骤601、SP服务器接收终端的认证请求,SP向IDP请求检查终端携带的Token的合法性。
当SP服务器再一次接收到终端携带了Token的业务请求时,该终端为待认证终端。由于IDP为单点登录系统中对用户进行统一认证的认证点,因此SP服务器将该Token发送给IDP,由IDP通过该Token对该终端进行认证。
步骤602、IDP验证Token是否合法,获得认证结果。
其中,验证Token是否合法主要包括:(1)判断待认证终端的SQN是否与IDP记录的终端的序列号相匹配;(2)根据待认证终端与IDP之间的共享密钥生成验证信息,并使用生成的验证信息验证该Token中携带的验证信息是否合法;
具体地,IDP验证Token是否合法,获得认证结果包括以下步骤:
(1)IDP根据Token中的UID从本地获取与相应终端的该次认证请求对应的SQN,该SQN根据为终端分配的初始随机数和终端认证的累积次数生成。
需要说明的是,也可以在Token中携带密钥标识,使得IDP根据Token中的密钥标识从本地获取与相应终端的该次认证请求对应的SQN。其中,密钥标识与用户标识存在对应关系,该对应关系可以为一个密钥标识对应一个用户标识,也可以密钥标识对应多个用户标识,当然前者更优,可以防止终端伪造与其具有相同共享密钥K_IDP的其它用户的Token。
具体地,IDP在对终端携带的Token进行验证之前,IDP为该终端的产生了Token_0中的SQN(参见步骤205),即SQN_0,作为计算后续Token的计数器起始值;当后续IDP再次接收到该终端的认证请求时,根据对Token的计数可知,与此次请求对应的Token为第n个Token,则在SQN_0的基础上,对SQN_0加n,作为该次请求的Token中的SQN。例如:当该Token_0在有效期内,其SQN为100,若终端利用第5个Token向SP发起第5次业务请求,则IDP判断Token_5中的SQN为105。
需要说明的是,上述对Token中SQN的生成方法仅为本发明一种优选的实施方式,凡是IDP与终端共知的生成方法均属于本发明的保护范围,例如:每请求一次,SQN值增加2。此外,终端和IDP均可以根据共知的SQN的初始值和生成方法唯一确定后续与每一次认证对应的SQN。
(2)IDP判断获取的SQN和Token中的SQN之差是否小于预设门限;若小于预设门限,IDP判断Token中的SQN与该IDP记录的终端的序列号相匹配,转到步骤(3)。
其中,预设门限可以为零,即要求二个SQN相等。
当本地获取的SQN和Token中的SQN之差为零时,即IDP所接收的Token中的SQN与本地生成的该终端该次请求的SQN相等,由于SQN唯一标识每一次请求,因此表明终端的该次请求与IDP的该次验证对应,该Token中的SQN有效。
但由于网络延时或故障等问题,会导致终端的请求次数和IDP的验证次数不对应,两个SQN值之间可能存在误差,因此当差值在预设门限内,则判断该Token中的SQN有效,否则则判断该Token中的SQN无效。
(3)IDP根据该初始Token中的UID获取与该用户匹配的共享密钥K_IDP。
(4)IDP根据所获取的匹配的共享密钥K_IDP对Token中的{UID、SQN、ExpT、Ext}进行重新计算而得完整性校验码MAC。
(5)IDP使用生成的MAC验证该Token中携带的MAC是否合法,获得认证结果。
具体地,当两个完整性校验码一致时,则判断该Token中的数据未经篡改,该Token中携带的MAC合法,该终端认证通过;否则,则判断该终端认证失败。
需要说明的是,若Token中仅携带SQN和MAC时,(1)IDP根据序列号判断待认证终端的序列号是否与该IDP记录的终端的序列号相匹配:IDP在根据为终端分配的初始随机数和终端认证的累积次数生成并记录的各个终端的序列号中,查找是否存在与该Token中的序列号之差小于预设门限的序列号;如果存在,IDP判断待认证终端的序列号与该IDP记录的终端的序列号相匹配。(2)IDP根据查找到的序列号所对应的用户标识获取相应终端与IDP之间的共享密钥;IDP利用所获取的共享密钥,根据待认证终端的Token生成验证信息。
步骤603、SP服务器接收IDP发送的验证结果。
若所接收的验证结果为该终端认证通过,则转到步骤604;否则,优选地,SP服务器向终端返回非法用户消息,以对用户进行提示。
步骤604、SP服务器向终端返回业务请求响应,该业务请求响应中携带终端所请求的业务内容。
步骤605、终端再次访问SP服务器,转到步骤601。
需要说明的是,上述本实施例中终端或IDP在发送Token时,可对Token中的各个信息利用共享密钥进行加密,而对应的接收端(IDP或终端)利用共享密钥对Token进行解密,从而保护用户的个人信息。
需要说明的是,上述对登录凭证中SQN和MAC的验证没有先后顺序。
此外,本发明实施例中的单点登录流程中,终端先向SP发送业务请求,再根据SP的重定向指示向IDP认证并获取Token。本发明同样适用于终端先向IDP请求认证并获取Token,再凭Token向SP发送业务请求。二种方式中Token的生成方式和认证方式不变。
本发明实施例中,终端每次访问SP时使用的Token不同(SQN和MAC不同),是一种一次性Token。其中,SQN可以防止攻击者截获该Token之后进行重放攻击。当IDP再次收到攻击者的该Token时,由于合法终端在此之前已经利用同一Token进行了认证,由于SQN的一次性,IDP会认为该Token为非法Token。此外,若攻击者对截获的Token中的SQN进行改写,并进行大量的重试且重试的SQN通过验证时,由于该攻击者无法获得合法终端与IDP之间的共享密钥,则无法通过改写MAC使得该Token通过验证,则IDP仍然判断该终端为非法终端。并且,本发明实施例中的一次性Token可以在终端侧自行生成,终端不必每次访问SP时都到IDP请求一次性Token,节省终端访问SP业务时的交互次数,减少用户等待的时延,提高了单点登录的效率,提升了用户体验。
需要说明的是,本发明实施例中的Token不仅可以用于单点登录系统,还可以用于其它需要用户凭证的系统中。
本发明的实施例提供一种单点登录服务器700,如图7所示,该单点登录服务器700包括:
接收模块710,用于接收对待认证终端的认证请求,所述认证请求中携带终端生成的登录凭证,所述登录凭证中至少包括序列号和验证信息,所述序列号是根据所述单点登录服务器为终端分配的初始随机数和终端认证的累计次数生成的,所述验证信息是根据终端与单点登录服务器之间的共享密钥生成的;
验证模块720,用于判断待认证终端的所述序列号是否与该单点登录服务器记录的终端的序列号相匹配,或/和,根据待认证终端与单点登录服务器之间的共享密钥生成验证信息,并使用生成的验证信息验证所述登录凭证中携带的验证信息是否合法;如果待认证终端的序列号与该单点登录服务器记录的终端的序列号相匹配且所述登录凭证中携带的验证信息合法,则所述单点登录服务器对所述待认证终端认证通过;否则,对所述待认证终端认证失败。
其中,验证模块720具体用于:在根据为终端分配的初始随机数和终端认证的累积次数生成并记录的各个终端的序列号中,查找是否存在与所述登录凭证中的序列号之差小于预设门限的序列号;如果存在,所述单点登录服务器判断待认证终端的所述序列号与该单点登录服务器记录的终端的序列号相匹配。
或者,所述登录凭中还包括:用户标识时,验证模块720具体用于:
根据所登录凭中的用户标识获取与相应终端的该次认证请求对应的序列号,所述序列号根据为终端分配的初始随机数和终端认证的累积次数生成;判断所获取的序列号和所述登录凭证中的序列号之差是否小于预设门限;若小于所述预设门限,判断待认证终端的所述序列号与该单点登录服务器记录的终端的序列号相匹配。
其中,还包括:
生成模块730,用于从其记录的各终端的序列号中查找与所述登录凭证中的序列号相匹配的序列号;根据查找到的序列号所对应的用户标识获取相应终端与所述单点登录服务器之间的共享密钥。
或者,所述登录凭中还包括:用户标识时,生成模块730还用于:根据所述登录凭证中的用户标识获取相应终端与所述单点登录服务器之间的共享密钥。
其中,生成模块730,还用于根据终端的初始认证请求,为该终端生成初始登录凭证,其中至少携带有初始随机数和根据该终端与单点登录服务器之间的共享密钥生成的验证信息;
还包括:发送模块740,用于将携带有初始随机数和验证信息的初始登录凭证发送给该终端。
本发明的实施例提供一种终端,如图8所示,包括:
生成模块810,用于至少根据序列号和验证信息生成登录凭证,所述序列号是根据所述单点登录服务器为终端分配的初始随机数和终端认证的累计次数生成的,所述验证信息是根据终端与单点登录服务器之间的共享密钥生成的;
发送模块820,用于向应用服务器发送认证请求,所述认证请求中携带所述终端的登录凭证。
其中,还包括:
接收模块830,用于接收所述单点登录服务器发送的初始登录凭证,所述初始登录凭证中至少包括所述单点登录服务器为所述终端分配的初始随机数和验证信息。
其中,还包括:
判断模块840,用于判断本地是否存储有在有效期内的初始登录凭证;如果有,则由所述生成模块生成登录凭证;如果没有,则向所述单点登录服务器请求新的初始登录凭证。
本发明的实施例具有以下优点:终端携带登录凭证向IDP请求认证时,IDP判断登录凭证中携带的随机数有效时,通过与终端的共享密钥对该登录凭证的验证实现对用户的认证。通过随机数有效防止了重放攻击,且通过终端自身产生登录凭证的方法有效地提高了单点登录的效率。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台终端设备(可以是手机,个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视本发明的保护范围。
Claims (15)
1.一种基于单点登录的终端认证方法,其特征在于,包括:
单点登录服务器接收对待认证终端的认证请求,所述认证请求中携带终端生成的登录凭证,所述登录凭证中至少包括序列号和验证信息,所述序列号是根据所述单点登录服务器为终端分配的初始随机数和终端认证的累计次数生成的,所述验证信息是根据终端与单点登录服务器之间的共享密钥生成的;
所述单点登录服务器判断待认证终端的所述序列号是否与该单点登录服务器记录的终端的序列号相匹配,或/和,根据待认证终端与单点登录服务器之间的共享密钥生成验证信息,并使用生成的验证信息验证所述登录凭证中携带的验证信息是否合法;
如果待认证终端的序列号与该单点登录服务器记录的终端的序列号相匹配且所述登录凭证中携带的验证信息合法,则所述单点登录服务器对所述待认证终端认证通过;否则,对所述待认证终端认证失败。
2.如权利要求1所述的方法,其特征在于,所述单点登录服务器根据所述序列号判断待认证终端的所述序列号是否与该单点登录服务器记录的终端的序列号相匹配,具体为:
所述单点登录服务器在根据为终端分配的初始随机数和终端认证的累积次数生成并记录的各个终端的序列号中,查找是否存在与所述登录凭证中的序列号之差小于预设门限的序列号;如果存在,所述单点登录服务器判断待认证终端的所述序列号与该单点登录服务器记录的终端的序列号相匹配。
3.如权利要求1所述的方法,其特征在于,所述登录凭中还包括:用户标识;所述单点登录服务器根据所述序列号判断待认证终端的所述序列号是否与该单点登录服务器记录的终端的序列号相匹配,具体包括:
所述单点登录服务器根据所登录凭中的用户标识获取与相应终端的该次认证请求对应的序列号,所述序列号根据为终端分配的初始随机数和终端认证的累积次数生成;
所述单点登录服务器判断所获取的序列号和所述登录凭证中的序列号之差是否小于预设门限;
若小于所述预设门限,所述单点登录服务器判断待认证终端的所述序列号与该单点登录服务器记录的终端的序列号相匹配。
4.如权利要求1所述的方法,其特征在于,所述单点登录服务器生成认证信息之前还包括:获取所述共享密钥的步骤,该步骤具体包括:
所述单点登录服务器从其记录的各终端的序列号中查找与所述登录凭证中的序列号相匹配的序列号;
所述单点登录服务器根据查找到的序列号所对应的用户标识获取相应终端与所述单点登录服务器之间的共享密钥。
5.如权利要求1所述的方法,其特征在于,所述登录凭中还包括:用户标识;所述单点登录服务器生成认证信息之前还包括:获取所述共享密钥的步骤,该步骤具体包括:
所述单点登录服务器根据所述登录凭证中的用户标识获取相应终端与所述单点登录服务器之间的共享密钥。
6.如权利要求1至5中任一项所述的方法,其特征在于,所述单点登录服务器为终端分配初始随机数,包括:
所述单点登录服务器根据终端的初始认证请求,为该终端生成初始登录凭证,其中至少携带有初始随机数和根据该终端与单点登录服务器之间的共享密钥生成的验证信息;
所述单点登录服务器将携带有初始随机数和验证信息的初始登录凭证发送给该终端。
7.一种单点登录服务器,其特征在于,包括:
接收模块,用于接收对待认证终端的认证请求,所述认证请求中携带终端生成的登录凭证,所述登录凭证中至少包括序列号和验证信息,所述序列号是根据所述单点登录服务器为终端分配的初始随机数和终端认证的累计次数生成的,所述验证信息是根据终端与单点登录服务器之间的共享密钥生成的;
验证模块,用于判断待认证终端的所述序列号是否与该单点登录服务器记录的终端的序列号相匹配,或/和,根据待认证终端与单点登录服务器之间的共享密钥生成验证信息,并使用生成的验证信息验证所述登录凭证中携带的验证信息是否合法;如果待认证终端的序列号与该单点登录服务器记录的终端的序列号相匹配且所述登录凭证中携带的验证信息合法,则所述单点登录服务器对所述待认证终端认证通过;否则,对所述待认证终端认证失败。
8.如权利要求7所述的单点登录服务器,其特征在于,所述验证模块具体用于:
在根据为终端分配的初始随机数和终端认证的累积次数生成并记录的各个终端的序列号中,查找是否存在与所述登录凭证中的序列号之差小于预设门限的序列号;如果存在,所述单点登录服务器判断待认证终端的所述序列号与该单点登录服务器记录的终端的序列号相匹配。
9.如权利要求7所述的单点登录服务器,其特征在于,所述登录凭中还包括:用户标识;所述验证模块具体用于:
根据所登录凭中的用户标识获取与相应终端的该次认证请求对应的序列号,所述序列号根据为终端分配的初始随机数和终端认证的累积次数生成;判断所获取的序列号和所述登录凭证中的序列号之差是否小于预设门限;若小于所述预设门限,判断待认证终端的所述序列号与该单点登录服务器记录的终端的序列号相匹配。
10.如权利要求7所述的单点登录服务器,其特征在于,还包括:
生成模块,用于从其记录的各终端的序列号中查找与所述登录凭证中的序列号相匹配的序列号;根据查找到的序列号所对应的用户标识获取相应终端与所述单点登录服务器之间的共享密钥。
11.如权利要求7所述的单点登录服务器,其特征在于,所述登录凭中还包括:用户标识;还包括:
生成模块,用于根据所述登录凭证中的用户标识获取相应终端与所述单点登录服务器之间的共享密钥。
12.如权利要求7至11中任一项所述的单点登录服务器,其特征在于,
所述生成模块,还用于根据终端的初始认证请求,为该终端生成初始登录凭证,其中至少携带有初始随机数和根据该终端与单点登录服务器之间的共享密钥生成的验证信息;
还包括:发送模块,用于将携带有初始随机数和验证信息的初始登录凭证发送给该终端。
13.一种终端,其特征在于,包括:
生成模块,用于至少根据序列号和验证信息生成登录凭证,所述序列号是根据所述单点登录服务器为终端分配的初始随机数和终端认证的累计次数生成的,所述验证信息是根据终端与单点登录服务器之间的共享密钥生成的;
发送模块,用于向应用服务器发送认证请求,所述认证请求中携带所述终端的登录凭证。
14.如权利要求13所述的终端,其特征在于,还包括:
接收模块,用于接收所述单点登录服务器发送的初始登录凭证,所述初始登录凭证中至少包括所述单点登录服务器为所述终端分配的初始随机数和验证信息。
15.如权利要求13所述的终端,其特征在于,还包括:
判断模块,用于判断本地是否存储有在有效期内的初始登录凭证;如果有,则由所述生成模块生成登录凭证;如果没有,则向所述单点登录服务器请求新的初始登录凭证。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201010130988.5A CN102201915B (zh) | 2010-03-22 | 2010-03-22 | 一种基于单点登录的终端认证方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201010130988.5A CN102201915B (zh) | 2010-03-22 | 2010-03-22 | 一种基于单点登录的终端认证方法和装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102201915A true CN102201915A (zh) | 2011-09-28 |
CN102201915B CN102201915B (zh) | 2014-05-21 |
Family
ID=44662324
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201010130988.5A Expired - Fee Related CN102201915B (zh) | 2010-03-22 | 2010-03-22 | 一种基于单点登录的终端认证方法和装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102201915B (zh) |
Cited By (25)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104104508A (zh) * | 2013-04-11 | 2014-10-15 | 腾讯科技(深圳)有限公司 | 校验方法、装置和终端设备 |
CN104125565A (zh) * | 2013-04-23 | 2014-10-29 | 中兴通讯股份有限公司 | 一种基于oma dm实现终端认证的方法、终端及服务器 |
CN105337949A (zh) * | 2014-08-13 | 2016-02-17 | 中国移动通信集团重庆有限公司 | 一种SSO认证方法、web服务器、认证中心和token校验中心 |
CN105577835A (zh) * | 2016-02-03 | 2016-05-11 | 北京中搜网络技术股份有限公司 | 一种基于云计算的跨平台单点登录系统 |
CN106331775A (zh) * | 2015-06-17 | 2017-01-11 | 阿里巴巴集团控股有限公司 | 设备连接方法、装置和智能电视系统 |
CN106331772A (zh) * | 2015-06-17 | 2017-01-11 | 阿里巴巴集团控股有限公司 | 数据校验方法、装置和智能电视系统 |
CN106611118A (zh) * | 2015-10-27 | 2017-05-03 | 北京国双科技有限公司 | 申请登录凭证的方法和装置 |
CN106888200A (zh) * | 2016-06-01 | 2017-06-23 | 阿里巴巴集团控股有限公司 | 标识关联方法、信息发送方法及装置 |
CN107395614A (zh) * | 2017-08-09 | 2017-11-24 | 深圳国泰安教育技术股份有限公司 | 单点登录方法及系统 |
WO2018036314A1 (zh) * | 2016-08-22 | 2018-03-01 | 中兴通讯股份有限公司 | 一种单点登录认证方法及装置、存储介质 |
CN107872455A (zh) * | 2017-11-09 | 2018-04-03 | 武汉虹旭信息技术有限责任公司 | 一种跨域单点登录系统及其方法 |
CN108156144A (zh) * | 2017-12-18 | 2018-06-12 | 北京信安世纪科技股份有限公司 | 一种访问认证方法及对应装置 |
CN108243158A (zh) * | 2016-12-26 | 2018-07-03 | 中移(苏州)软件技术有限公司 | 一种安全认证的方法和装置 |
CN108400961A (zh) * | 2017-02-08 | 2018-08-14 | 上海格尔安全科技有限公司 | 一种会话失效后用户刷新浏览器强制系统重新认证的方法 |
CN108769720A (zh) * | 2018-04-10 | 2018-11-06 | 武汉斗鱼网络科技有限公司 | 一种弹幕验证方法、计算机设备和存储介质 |
CN109005185A (zh) * | 2012-09-22 | 2018-12-14 | 谷歌有限责任公司 | 促进智能家庭设备与基于云的服务器间通信的多层认证方法 |
CN109190341A (zh) * | 2018-07-26 | 2019-01-11 | 平安科技(深圳)有限公司 | 一种登录管理系统和方法 |
CN109460647A (zh) * | 2018-11-12 | 2019-03-12 | 商客通尚景信息技术江苏有限公司 | 一种多设备安全登录的方法 |
CN110035035A (zh) * | 2018-01-12 | 2019-07-19 | 北京新媒传信科技有限公司 | 一种单点登录的二次认证方法及系统 |
CN110968760A (zh) * | 2018-09-30 | 2020-04-07 | 北京国双科技有限公司 | 网页数据的爬取方法、装置、网页登录方法及装置 |
CN111953477A (zh) * | 2019-05-15 | 2020-11-17 | 北京奇安信科技有限公司 | 终端设备及其标识令牌的生成方法和客户端的交互方法 |
CN111953634A (zh) * | 2019-05-15 | 2020-11-17 | 北京奇安信科技有限公司 | 终端设备的访问控制方法、装置、计算机设备和存储介质 |
CN112613882A (zh) * | 2020-12-29 | 2021-04-06 | 成都知道创宇信息技术有限公司 | 一种分布式签名系统及管理方法 |
CN109862009B (zh) * | 2019-02-01 | 2021-05-28 | 武汉思普崚技术有限公司 | 一种客户端身份校验方法及装置 |
CN114257387A (zh) * | 2020-09-11 | 2022-03-29 | 中移物联网有限公司 | 登录认证方法及装置 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1819698A (zh) * | 2005-08-24 | 2006-08-16 | 华为技术有限公司 | 一种目标基站获取鉴权密钥上下文信息的方法 |
CN101272251A (zh) * | 2007-03-22 | 2008-09-24 | 华为技术有限公司 | 鉴权和密钥协商方法、认证方法、系统及设备 |
-
2010
- 2010-03-22 CN CN201010130988.5A patent/CN102201915B/zh not_active Expired - Fee Related
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1819698A (zh) * | 2005-08-24 | 2006-08-16 | 华为技术有限公司 | 一种目标基站获取鉴权密钥上下文信息的方法 |
CN101272251A (zh) * | 2007-03-22 | 2008-09-24 | 华为技术有限公司 | 鉴权和密钥协商方法、认证方法、系统及设备 |
Cited By (38)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109005185B (zh) * | 2012-09-22 | 2021-03-30 | 谷歌有限责任公司 | 促进智能家庭设备与基于云的服务器间通信的多层认证方法 |
CN109005185A (zh) * | 2012-09-22 | 2018-12-14 | 谷歌有限责任公司 | 促进智能家庭设备与基于云的服务器间通信的多层认证方法 |
CN104104508B (zh) * | 2013-04-11 | 2018-09-11 | 腾讯科技(深圳)有限公司 | 校验方法、装置和终端设备 |
CN104104508A (zh) * | 2013-04-11 | 2014-10-15 | 腾讯科技(深圳)有限公司 | 校验方法、装置和终端设备 |
CN104125565A (zh) * | 2013-04-23 | 2014-10-29 | 中兴通讯股份有限公司 | 一种基于oma dm实现终端认证的方法、终端及服务器 |
CN105337949A (zh) * | 2014-08-13 | 2016-02-17 | 中国移动通信集团重庆有限公司 | 一种SSO认证方法、web服务器、认证中心和token校验中心 |
CN105337949B (zh) * | 2014-08-13 | 2019-03-15 | 中国移动通信集团重庆有限公司 | 一种SSO认证方法、web服务器、认证中心和token校验中心 |
CN106331775B (zh) * | 2015-06-17 | 2019-10-01 | 阿里巴巴集团控股有限公司 | 设备连接方法、装置和智能电视系统 |
CN106331772A (zh) * | 2015-06-17 | 2017-01-11 | 阿里巴巴集团控股有限公司 | 数据校验方法、装置和智能电视系统 |
CN106331775A (zh) * | 2015-06-17 | 2017-01-11 | 阿里巴巴集团控股有限公司 | 设备连接方法、装置和智能电视系统 |
CN106611118B (zh) * | 2015-10-27 | 2020-05-12 | 北京国双科技有限公司 | 申请登录凭证的方法和装置 |
CN106611118A (zh) * | 2015-10-27 | 2017-05-03 | 北京国双科技有限公司 | 申请登录凭证的方法和装置 |
CN105577835A (zh) * | 2016-02-03 | 2016-05-11 | 北京中搜网络技术股份有限公司 | 一种基于云计算的跨平台单点登录系统 |
CN105577835B (zh) * | 2016-02-03 | 2020-08-14 | 北京中搜云商网络技术有限公司 | 一种基于云计算的跨平台单点登录系统 |
CN106888200A (zh) * | 2016-06-01 | 2017-06-23 | 阿里巴巴集团控股有限公司 | 标识关联方法、信息发送方法及装置 |
WO2018036314A1 (zh) * | 2016-08-22 | 2018-03-01 | 中兴通讯股份有限公司 | 一种单点登录认证方法及装置、存储介质 |
CN108243158A (zh) * | 2016-12-26 | 2018-07-03 | 中移(苏州)软件技术有限公司 | 一种安全认证的方法和装置 |
CN108400961A (zh) * | 2017-02-08 | 2018-08-14 | 上海格尔安全科技有限公司 | 一种会话失效后用户刷新浏览器强制系统重新认证的方法 |
CN108400961B (zh) * | 2017-02-08 | 2022-05-31 | 上海格尔安全科技有限公司 | 一种会话失效后用户刷新浏览器强制系统重新认证的方法 |
CN107395614A (zh) * | 2017-08-09 | 2017-11-24 | 深圳国泰安教育技术股份有限公司 | 单点登录方法及系统 |
CN107395614B (zh) * | 2017-08-09 | 2021-06-22 | 深圳国泰安教育技术有限公司 | 单点登录方法及系统 |
CN107872455A (zh) * | 2017-11-09 | 2018-04-03 | 武汉虹旭信息技术有限责任公司 | 一种跨域单点登录系统及其方法 |
CN108156144A (zh) * | 2017-12-18 | 2018-06-12 | 北京信安世纪科技股份有限公司 | 一种访问认证方法及对应装置 |
CN110035035A (zh) * | 2018-01-12 | 2019-07-19 | 北京新媒传信科技有限公司 | 一种单点登录的二次认证方法及系统 |
CN110035035B (zh) * | 2018-01-12 | 2021-09-17 | 北京新媒传信科技有限公司 | 一种单点登录的二次认证方法及系统 |
CN108769720B (zh) * | 2018-04-10 | 2020-10-16 | 武汉斗鱼网络科技有限公司 | 一种弹幕验证方法、计算机设备和存储介质 |
CN108769720A (zh) * | 2018-04-10 | 2018-11-06 | 武汉斗鱼网络科技有限公司 | 一种弹幕验证方法、计算机设备和存储介质 |
CN109190341B (zh) * | 2018-07-26 | 2024-03-15 | 平安科技(深圳)有限公司 | 一种登录管理系统和方法 |
CN109190341A (zh) * | 2018-07-26 | 2019-01-11 | 平安科技(深圳)有限公司 | 一种登录管理系统和方法 |
CN110968760A (zh) * | 2018-09-30 | 2020-04-07 | 北京国双科技有限公司 | 网页数据的爬取方法、装置、网页登录方法及装置 |
CN109460647A (zh) * | 2018-11-12 | 2019-03-12 | 商客通尚景信息技术江苏有限公司 | 一种多设备安全登录的方法 |
CN109862009B (zh) * | 2019-02-01 | 2021-05-28 | 武汉思普崚技术有限公司 | 一种客户端身份校验方法及装置 |
CN111953634A (zh) * | 2019-05-15 | 2020-11-17 | 北京奇安信科技有限公司 | 终端设备的访问控制方法、装置、计算机设备和存储介质 |
CN111953634B (zh) * | 2019-05-15 | 2023-02-17 | 奇安信科技集团股份有限公司 | 终端设备的访问控制方法、装置、计算机设备和存储介质 |
CN111953477B (zh) * | 2019-05-15 | 2023-06-23 | 奇安信科技集团股份有限公司 | 终端设备及其标识令牌的生成方法和客户端的交互方法 |
CN111953477A (zh) * | 2019-05-15 | 2020-11-17 | 北京奇安信科技有限公司 | 终端设备及其标识令牌的生成方法和客户端的交互方法 |
CN114257387A (zh) * | 2020-09-11 | 2022-03-29 | 中移物联网有限公司 | 登录认证方法及装置 |
CN112613882A (zh) * | 2020-12-29 | 2021-04-06 | 成都知道创宇信息技术有限公司 | 一种分布式签名系统及管理方法 |
Also Published As
Publication number | Publication date |
---|---|
CN102201915B (zh) | 2014-05-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102201915B (zh) | 一种基于单点登录的终端认证方法和装置 | |
TWI749061B (zh) | 區塊鏈身份系統 | |
US9838205B2 (en) | Network authentication method for secure electronic transactions | |
US9231925B1 (en) | Network authentication method for secure electronic transactions | |
US7793340B2 (en) | Cryptographic binding of authentication schemes | |
CN105024819B (zh) | 一种基于移动终端的多因子认证方法及系统 | |
JP5579872B2 (ja) | 安全な複数uim認証および鍵交換 | |
JP5599910B2 (ja) | 暗号証拠の再検証に基づく認証委任 | |
US8607045B2 (en) | Tokencode exchanges for peripheral authentication | |
WO2017028804A1 (zh) | 一种Web实时通信平台鉴权接入方法及装置 | |
CN102624720B (zh) | 一种身份认证的方法、装置和系统 | |
CN100512201C (zh) | 用于处理分组业务的接入-请求消息的方法 | |
CN101534192B (zh) | 一种提供跨域令牌的系统和方法 | |
CN103475666A (zh) | 一种物联网资源的数字签名认证方法 | |
CN101304318A (zh) | 安全的网络认证系统和方法 | |
JP2001186122A (ja) | 認証システム及び認証方法 | |
CN111884811A (zh) | 一种基于区块链的数据存证方法和数据存证平台 | |
EP4346256A1 (en) | Implementation of one-key login service | |
JP5186648B2 (ja) | 安全なオンライン取引を容易にするシステム及び方法 | |
CN113993127A (zh) | 一键登录业务的实现方法和装置 | |
CN115473655B (zh) | 接入网络的终端认证方法、装置及存储介质 | |
CN114158046B (zh) | 一键登录业务的实现方法和装置 | |
KR20060094453A (ko) | Eap 를 이용한 시간제 서비스에 대한 인증 방법 및 그시스템 | |
CN110267264A (zh) | 一种未联网智能终端与用户移动终端绑定的系统和方法 | |
CN111935164B (zh) | 一种https接口请求方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20140521 |
|
CF01 | Termination of patent right due to non-payment of annual fee |