CN101286843B - 点对点模式下单点登录方法 - Google Patents
点对点模式下单点登录方法 Download PDFInfo
- Publication number
- CN101286843B CN101286843B CN2008101068928A CN200810106892A CN101286843B CN 101286843 B CN101286843 B CN 101286843B CN 2008101068928 A CN2008101068928 A CN 2008101068928A CN 200810106892 A CN200810106892 A CN 200810106892A CN 101286843 B CN101286843 B CN 101286843B
- Authority
- CN
- China
- Prior art keywords
- application system
- client
- door
- random number
- sign
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims abstract description 16
- GNFTZDOKVXKIBK-UHFFFAOYSA-N 3-(2-methoxyethoxy)benzohydrazide Chemical compound COCCOC1=CC=CC(C(=O)NN)=C1 GNFTZDOKVXKIBK-UHFFFAOYSA-N 0.000 claims description 4
- 238000012795 verification Methods 0.000 claims description 4
- FGUUSXIOTUKUDN-IBGZPJMESA-N C1(=CC=CC=C1)N1C2=C(NC([C@H](C1)NC=1OC(=NN=1)C1=CC=CC=C1)=O)C=CC=C2 Chemical compound C1(=CC=CC=C1)N1C2=C(NC([C@H](C1)NC=1OC(=NN=1)C1=CC=CC=C1)=O)C=CC=C2 FGUUSXIOTUKUDN-IBGZPJMESA-N 0.000 claims description 2
- 230000007547 defect Effects 0.000 abstract 1
- 230000003313 weakening effect Effects 0.000 abstract 1
- 238000005516 engineering process Methods 0.000 description 7
- 239000013256 coordination polymer Substances 0.000 description 6
- 238000013475 authorization Methods 0.000 description 5
- 230000005540 biological transmission Effects 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 238000010276 construction Methods 0.000 description 1
- 230000009545 invasion Effects 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
- 239000002699 waste material Substances 0.000 description 1
Images
Landscapes
- Computer And Data Communications (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明涉及一种点对点模式下单点登录方法,与现有的基于客户服务器模式的单点登录方法不同,该方法实现以用户证书有效期管理用户单点登录生命周期,用户单次认证多次登录,该方法完成应用系统和身份认证服务器的相互认证,初始化通信双方的共享密钥,建立客户和应用系统之间的安全通道。通过身份认证服务器和应用系统间的相互认证,使得任何一个应用系统都可以独立进行身份认证,弱化中央身份认证服务器的地位,避免传统客户/服务器模式单点故障的弱点,具有系统运行成本低、效率高、安全性能好的特点。
Description
技术领域
本发明涉及一种点对点模式下单点登录方法。
背景技术
目前企业建设的应用系统越来越多,各个应用系统都包含独立的用户认证和授权模块。首先,各个应用系统的模块维护用户信息可能存在很大差异,阻碍了用户信息的共享。其次,用户需要记忆不同应用系统的登录口令,定期更新所有可访问应用系统的口令。最后,每个系统都开发独立的认证和授权模块导致投资浪费和延误工期。将应用系统的认证和授权统一管理,实现单点登录成为企业信息化建设的发展趋势。
单点登录的发展主要经历了两个阶段,二次填表和票据阶段。二次填表技术通过代理网关代理客户填写应用系统的用户名和口令,向应用系统提交认证。二次填表技术鲜明特点是各应用系统维护独立的用户名和口令,采用该技术实现单点登录要求原有系统的改造较少,具有低入侵性。但是该方法以代理网关为中心,要求所有的应用系统必须通过代理网关实现单点登录,容易造成代理网关的性能瓶颈和单点失败,口令需要多次传递导致口令泄露。票据技术在全系统采用单一用户名和口令,用户通过认证后以票据作为用户登录应用系统的身份凭证,票据认证的典型代表有Kerberos和CAS。但是在Kerberos和CAS中客户登录应用系统需要频繁经过身份认证服务器的认证,没有实现以票据的有效期作为客户的生命周期。Kerberos中客户访问应用系统需要经过认证和授权两步实现,没有实现认证和授权统一管理,增加信息传输和处理时间。CAS要求应用系统必须信任身份认证服务器,降低了安全性。Kerberos和CAS实现单点登录都具有典型的客户/服务器特点。
发明内容
本发明的目的就是提供一种系统运行成本低、效率高、安全性能好的点对点模式下单点登录方法。
本发明的点对点模式下单点登录方法,涉及客户(Client)、身份认证服务器(Server)、门户(Portal)和应用系统(Application)四个组件间的交互,客户访问使用点对点认证方法接入门户应用的处理过程分为以下步骤:
步骤a,客户使用身份认证服务器的公钥加密客户的身份标识、客户名、密码、应用系统标识和随机数,然后将加密后的消息发送给身份认证服务器;
步骤b,身份认证服务器使用自己的私钥对收到的消息进行解密,得到客户身份标识、客户名、密码、应用系统标识和随机数,如果客户访问门户系统,身份认证服务器使用客户的公钥对客户身份标识和随机数进行加密;使用门户的公钥对门户标识、门户颁发给客户的证书和随机数进行加密;使用应用系统的公钥对应用系统标识、应用系统颁发给客户的证书和随机数进行加密,然后把这些加密后的消息串接后返回给客户;
步骤c,客户用门户公钥对客户身份标识、会话密钥、随机数进行加密,将加密后的信息、门户颁发的客户证书和应用系统颁发的客户证书发送给门户;
步骤d,门户使用私钥对客户传送的消息解密,判断门户颁发的客户证书的有效性,使用应用系统的公钥对门户标识、门户和应用系统之间的会话密钥、随机数以及应用系统颁发的客户证书进行加密后发送给应用系统;
步骤e,应用系统使用门户的公钥对应用系统标识和随机数加密后发送给门户,实现门户对应用系统的验证;
步骤f,门户使用客户的公钥对门户标识和随机数加密后发送给客户,实现客户对门户的验证;
步骤g,应用系统使用身份认证服务器的公钥将应用系统标识和随机数发送给身份认证服务器,身份认证服务器收到消息后进行解密,判断解密后的随机数是否和步骤b中的随机数相同,以此来验证应用系统的合法性;
步骤h,身份认证服务器使用应用系统的公钥将身份认证服务器的标识和随机数加密后发送给应用系统,应用系统收到消息后进行解密,判断解密后的随机数是否和步骤g中的随机数相同,以此来验证身份认证服务器的合法性。
本发明的点对点模式下单点登录方法,具有以下特点:
1、首先以客户为中心直接访问应用系统点对点认证,而不像基于“二次填表技术”的认证方法那样以反向代理为中心,所有的单点登录都必须通过反向代理,点对点认证以证书来代表客户身份并管理客户生命周期,无需每次访问应用系统都经过身份认证服务器的认证,减轻了身份认证服务器的负担,有助于提高系统运行的效率;
2、实现身份认证服务器和应用系统的双向认证,点对点认证中,验证双方使用公钥加密随机数来实现双方身份的验证,与其它单点登录技术相比,可以实现客户与身份认证服务器的双向验证,增加了安全性;
3、设置客户和应用系统的初始会话密钥,设置了客户和门户系统之间的初始会话密钥,设置了门户和应用系统之间的初始会话密钥,在客户和应用系统之间建立了安全通道,使用会话密钥加密与公钥体制相比具有加密速度快的优点,有利于降低系统运行开销。
附图说明
图1为本发明的结构及流程图。
具体实施方式
参看图1,应用系统A1已经接入到门户P中,当客户C需要访问应用系统A1时,客户C首先访问身份认证服务器S,获得相应证书,客户C把证书传递给门户P,门户P将证书发送给应用系统A1,应用系统A1根据证书中标记的客户角色对用户进行授权,门户P和应用系统A1根据证书标记的开始时间和结束时间判断用户持有的证书是否有效,管理用户的生命周期。
完整的登陆过程分为8个步骤:
步骤1,客户C使用身份认证服务器S的公钥加密客户的身份标识C、客户名、密码、应用系统A1和随机数NCS,然后将加密后的消息发送给身份认证服务器。
EKS{S,Username,Password,A1,NCS}
步骤2,身份认证服务器S使用自己的私钥对收到的消息进行解密,得到客户的身份标识C、客户名、密码、应用系统A1和随机数NCS。如果客户访问门户系统,身份认证服务器S使用客户C的公钥对客户身份标识C和随机数NAM1进行加密,使用门户的公钥对门户标识P、门户颁发给客户的证书Cert<P,C,RP,T1,T2>和随机数NSP进行加密,使用A1的公钥对应用系统标识A1、A1颁发给客户C的证书Cert<A1,C,R,T1,T2>和随机数NSA1进行加密,将这些加密后的消息串接后返回给客户C。
EKC{C,NCS}CredentialOf Portal Credentials
CredentialOfPortal=EKP{C,Cert<P,C,R,T1,T2>,NSP}
Credentials=EKA1{C,Cert<A1,C,RA1,T1,T2>,NSA1}……EKAM{AM,Cert<AM,C,RAM,1,T2>,NSAM}
步骤3,客户使用门户公钥对客户标识C、会话密钥KCP、随机数NCP进行加密,将加密后的信息和身份认证服务器S返回的CredentialOfPortal和Credentials发送给门户P。
EKP{C,KCP,NCP},CredentialOfPortal,Credentials
步骤4,门户P使用私钥对客户C传送的信息解密,判断客户门户颁发给客户证书的有效性。使用应用系统A1的公钥对门户标识P、门户和应用系统A1之间的会话密钥KPA1、随机机数NPA1以及应用系统颁发给客户的证书进行加密后发送给应用系统A1。
EKA1{P,KPA1,NPA1},EKA1{C,Cert<A1,C,RA1,T1,T2>,NSA1}
步骤5,应用系统使用门户的公钥对应用系统标识A1和随机数NPA1加密后发送给门户实现门户对应用系统A1的验证。
EKP{A1,NPA1}
步骤6,门户使用客户的公钥对门户标识P和随机数NCP加密后发送给客户,实现客户对门户的验证。
EKC{P,NCP}
步骤7,应用系统A1使用服务器的公钥将应用系统标识A1和随机数NSA1发送给服务器S,服务器收到信息后进行解密,判断随机数是否和步骤2中的随机数相同,以此来验证应用系统A1的合法性。
EKS{A1,NSA1}
步骤8,身份认证服务器S使用应用系统A1的公钥将标识S和随机数NSA1发送给应用系统A1,应用系统A1收到信息后进行解密,判断随机数是否和步骤7中的随机数相同,以此来验证身份认证服务器S的合法性。
Claims (1)
1.一种点对点模式下单点登录方法,涉及客户(Client)、身份认证服务器(Server)、门户(Portal)和应用系统(Application)四个组件间的交互,其特征在于:它包括以下步骤:
步骤a,客户使用身份认证服务器的公钥加密客户的身份标识、客户名、密码、应用系统标识和随机数,然后将加密后的消息发送给身份认证服务器;
步骤b,身份认证服务器使用自己的私钥对收到的消息进行解密,得到客户身份标识、客户名、密码、应用系统标识和随机数,如果客户访问门户系统,身份认证服务器使用客户的公钥对客户身份标识和随机数进行加密;使用门户的公钥对门户标识、门户颁发给客户的证书和随机数进行加密;使用应用系统的公钥对应用系统标识、应用系统颁发给客户的证书和随机数进行加密,然后把这些加密后的消息串接后返回给客户;
步骤c,客户用门户公钥对客户身份标识、会话密钥、随机数进行加密,将加密后的信息、门户颁发的客户证书和应用系统颁发的客户证书发送给门户;
步骤d,门户使用私钥对客户传送的消息解密,判断门户颁发的客户证书的有效性,使用应用系统的公钥对门户标识、门户和应用系统之间的会话密钥、随机数以及应用系统颁发的客户证书进行加密后发送给应用系统;
步骤e,应用系统使用门户的公钥对应用系统标识和随机数加密后发送给门户,实现门户对应用系统的验证;
步骤f,门户使用客户的公钥对门户标识和随机数加密后发送给客户,实现客户对门户的验证;
步骤g,应用系统使用身份认证服务器的公钥将应用系统标识和随机数发送给身份认证服务器,身份认证服务器收到消息后进行解密,判断解密后的随机数是否和步骤b中的随机数相同,以此来验证应用系统的合法性;
步骤h,身份认证服务器使用应用系统的公钥将身份认证服务器的标识和随机数加密后发送给应用系统,应用系统收到消息后进行解密,判断解密后的随机数是否和步骤g中的随机数相同,以此来验证身份认证服务器的合法性。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2008101068928A CN101286843B (zh) | 2008-06-03 | 2008-06-03 | 点对点模式下单点登录方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2008101068928A CN101286843B (zh) | 2008-06-03 | 2008-06-03 | 点对点模式下单点登录方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101286843A CN101286843A (zh) | 2008-10-15 |
CN101286843B true CN101286843B (zh) | 2010-08-18 |
Family
ID=40058827
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2008101068928A Expired - Fee Related CN101286843B (zh) | 2008-06-03 | 2008-06-03 | 点对点模式下单点登录方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101286843B (zh) |
Families Citing this family (19)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101741817B (zh) * | 2008-11-21 | 2013-02-13 | 中国移动通信集团安徽有限公司 | 一种多网络融合系统、装置及方法 |
US8856512B2 (en) * | 2008-12-30 | 2014-10-07 | Intel Corporation | Method and system for enterprise network single-sign-on by a manageability engine |
CN101931613B (zh) * | 2009-06-23 | 2014-12-10 | 中兴通讯股份有限公司 | 集中认证方法和集中认证系统 |
CN102264068B (zh) * | 2010-05-28 | 2014-04-02 | 中国移动通信集团公司 | 共享密钥协商方法与系统、网络平台及终端 |
CN102082787B (zh) * | 2010-12-10 | 2013-07-24 | 江苏省电力公司 | 大用户智能用电信息互动应用框架 |
JP5723300B2 (ja) * | 2012-01-04 | 2015-05-27 | 株式会社野村総合研究所 | サーバシステム、サービス提供サーバおよび制御方法 |
CN103457915A (zh) * | 2012-06-01 | 2013-12-18 | 李俊霖 | 可形式化证明的军事物联网安全协议 |
CN103078858B (zh) * | 2012-12-31 | 2015-08-26 | 上海同岩土木工程科技有限公司 | 基于web服务和签名证书的软件授权试用方法 |
CN103414684A (zh) * | 2013-06-05 | 2013-11-27 | 华南理工大学 | 一种单点登录方法及系统 |
WO2015058378A1 (zh) * | 2013-10-23 | 2015-04-30 | 华为技术有限公司 | 用户设备之间进行安全通信的方法及装置 |
CN104901803A (zh) * | 2014-08-20 | 2015-09-09 | 易兴旺 | 一种基于cpk标识认证技术的数据交互安全保护方法 |
WO2016112580A1 (zh) * | 2015-01-14 | 2016-07-21 | 华为技术有限公司 | 业务处理方法及装置 |
CN106603469B (zh) | 2015-10-16 | 2019-11-29 | 腾讯科技(深圳)有限公司 | 登录应用的方法和装置 |
CN106658076B (zh) * | 2016-10-26 | 2020-04-14 | 中国传媒大学 | 一种数字版权管理系统 |
CN106453378A (zh) * | 2016-11-03 | 2017-02-22 | 东软集团股份有限公司 | 数据认证的方法、装置及系统 |
CN107666491B (zh) * | 2017-11-15 | 2020-05-05 | 北京交通大学 | 基于对称加密的空地一体化网络的数据传输方法 |
CN110035041B (zh) * | 2018-01-12 | 2020-11-17 | 华为技术有限公司 | 一种识别应用攻击源的方法和设备 |
CN109547472B (zh) * | 2018-12-24 | 2021-07-27 | 中国科学院数据与通信保护研究教育中心 | 一种可隐藏用户登录轨迹的单点登录方法 |
CN114760031A (zh) * | 2020-12-26 | 2022-07-15 | 西安西电捷通无线网络通信股份有限公司 | 一种身份鉴别方法和装置 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1812403A (zh) * | 2005-01-28 | 2006-08-02 | 广东省电信有限公司科学技术研究院 | 一种跨管理域实现身份认证的单点登录方法 |
CN101075875A (zh) * | 2007-06-14 | 2007-11-21 | 中国电信股份有限公司 | 在门户/系统之间实现单点登录的方法及其系统 |
CN101127603A (zh) * | 2007-08-16 | 2008-02-20 | 中兴通讯股份有限公司 | 一种实现门户网站单点登录的方法及ims客户端 |
-
2008
- 2008-06-03 CN CN2008101068928A patent/CN101286843B/zh not_active Expired - Fee Related
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1812403A (zh) * | 2005-01-28 | 2006-08-02 | 广东省电信有限公司科学技术研究院 | 一种跨管理域实现身份认证的单点登录方法 |
CN101075875A (zh) * | 2007-06-14 | 2007-11-21 | 中国电信股份有限公司 | 在门户/系统之间实现单点登录的方法及其系统 |
CN101127603A (zh) * | 2007-08-16 | 2008-02-20 | 中兴通讯股份有限公司 | 一种实现门户网站单点登录的方法及ims客户端 |
Also Published As
Publication number | Publication date |
---|---|
CN101286843A (zh) | 2008-10-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101286843B (zh) | 点对点模式下单点登录方法 | |
CN112003889B (zh) | 分布式跨链系统及跨链信息交互与系统访问控制方法 | |
CN102377788B (zh) | 单点登录系统及其单点登录方法 | |
US8843740B2 (en) | Derived certificate based on changing identity | |
EP2984782B1 (en) | Method and system for accessing device by a user | |
US7975139B2 (en) | Use and generation of a session key in a secure socket layer connection | |
CA2590989C (en) | Protocol and method for client-server mutual authentication using event-based otp | |
CN109728909A (zh) | 基于USBKey的身份认证方法和系统 | |
CN101212293B (zh) | 一种身份认证方法及系统 | |
CN101409619B (zh) | 闪存卡及虚拟专用网密钥交换的实现方法 | |
US20100266128A1 (en) | Credential provisioning | |
CN113746632B (zh) | 一种物联网系统多级身份认证方法 | |
CN102404347A (zh) | 一种基于公钥基础设施的移动互联网接入认证方法 | |
CN101764803A (zh) | 计算机系统的有效的和安全的认证 | |
CN103685282A (zh) | 一种基于单点登录的身份认证方法 | |
CN103763356A (zh) | 一种安全套接层连接的建立方法、装置及系统 | |
CN102664739A (zh) | 一种基于安全证书的pki实现方法 | |
CN101938473A (zh) | 单点登录系统及单点登录方法 | |
CN107769913A (zh) | 一种基于量子UKey的通信方法及系统 | |
CN104574176A (zh) | 一种基于usbkey的安全网上报税方法 | |
CN105208024A (zh) | 不使用https的数据安全传输方法及系统、客户端和服务端 | |
CN104901935A (zh) | 一种基于cpk的双向认证及数据交互安全保护方法 | |
CN110971593B (zh) | 一种数据库安全网络访问方法 | |
CN104394172A (zh) | 单点登录装置和方法 | |
CN103905384A (zh) | 基于安全数字证书的嵌入式终端间会话握手的实现方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20100818 |
|
CF01 | Termination of patent right due to non-payment of annual fee |