CN101335626B - 多级认证方法和多级认证系统 - Google Patents
多级认证方法和多级认证系统 Download PDFInfo
- Publication number
- CN101335626B CN101335626B CN2008101178769A CN200810117876A CN101335626B CN 101335626 B CN101335626 B CN 101335626B CN 2008101178769 A CN2008101178769 A CN 2008101178769A CN 200810117876 A CN200810117876 A CN 200810117876A CN 101335626 B CN101335626 B CN 101335626B
- Authority
- CN
- China
- Prior art keywords
- user
- verification
- user terminal
- index
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 69
- 238000012795 verification Methods 0.000 claims description 198
- 235000014510 cooky Nutrition 0.000 claims description 22
- 230000005540 biological transmission Effects 0.000 claims description 11
- 230000008569 process Effects 0.000 description 24
- 230000000694 effects Effects 0.000 description 9
- 239000003795 chemical substances by application Substances 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 5
- 238000012986 modification Methods 0.000 description 5
- 230000004048 modification Effects 0.000 description 5
- 230000008859 change Effects 0.000 description 3
- 238000004891 communication Methods 0.000 description 3
- 230000008878 coupling Effects 0.000 description 2
- 238000010168 coupling process Methods 0.000 description 2
- 238000005859 coupling reaction Methods 0.000 description 2
- 230000002950 deficient Effects 0.000 description 2
- 239000012467 final product Substances 0.000 description 2
- 230000013011 mating Effects 0.000 description 2
- 239000000344 soap Substances 0.000 description 2
- 241001269238 Data Species 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Landscapes
- Information Transfer Between Computers (AREA)
Abstract
本发明公开了一种多级认证方法和多级认证系统,方法包括:对接收到的资源访问请求进行第一多级校验,校验成功后返回访问凭证索引和相应的地址信息;根据接收的访问凭证索引进行第二多级校验,校验成功后返回所述地址信息所对应的资源数据。系统包括:第一校验模块,用于对接收到的资源访问请求进行第一多级校验,校验成功后返回访问凭证索引和相应的地址信息;第二校验模块,用于根据接收的访问凭证索引进行第二多级校验,校验成功后返回所述相应的地址信息所对应的资源数据。本发明达到认证方式安全,扩展灵活以及单点登录、统一服务的效果。
Description
技术领域
本发明涉及网络安全技术,尤其涉及一种多级认证方法和多级认证系统。
背景技术
随着互联网和企业信息化的不断发展,用来实现统一认证和单点登录(Single Sign On,以下简称:SSO)的身份认证技术也随之快速发展。
现有技术主要有三种身份认证方式。一个是基于传输层的统一身份认证方法。在该方法中,用户首先在各种应用系统处采用统一账号进行登录,然后所有的应用系统都向统一身份认证服务器发送验证请求,得到响应消息后应用系统再决定是否提供服务给用户。但是,该方法没有单点登录的功能即再次访问时需要重新登录,而只是进行统一认证。另一个是基于应用层超文本传输协议(Hypertext Transfer Protocol,以下简称:HTTP)传输的统一身份认证及单点登录方法。在该方法中,统一身份认证服务器和服务提供者之间是通过应用层HTTP协议建立通信管道,一般要使用HTTP重定向来完成通信,而单点登录一般都采用不安全的Cookie技术来实现,体系结构中服务提供商的服务器一般都只能是web服务器。再一个是基于简单对象访问协议(SimpleObject Access Protocol,以下简称:SOAP)传输的统一身份认证及单点登录方法。在该方法中,统一身份认证服务器与服务提供者之间是采用SOAP传输来建立通信管道。该方法完全基于XML技术,采用安全断言标记语言(Security Assertion Markup Language,以下简称:SAML)协议的形式来规定统一身份认证服务器和服务提供者之间交换的消息。
但是,现有技术是存在缺陷的。如果遇到诸如修改本地Cookie值之类的攻击时,应用基于Cookie的SSO可能会无法登陆或被人冒名登陆;如果有恶意者通过攻击域名系统(Domain Name System,以下简称:DNS)服务器来劫持浏览器时,Cookie将会被发送到其他的服务器上,从而使得用户信息被窃取;恶意者可以通过劫持数据包或者利用破解算法或是找到调用接口在外部调用算法接口来窃取用户登录信息;由于使用SSO进行统一登陆,当有新系统接入或是兼容旧系统时,需要对登录功能模块做较大调整,从而导致效率和稳定性降低,不能灵活扩展。
发明内容
本发明的目的是针对现有技术的缺陷,提供一种多级认证方法和多级认证系统,以达到认证方式安全,扩展灵活以及单点登录、统一服务的效果。
为实现上述目的,本发明提供了一种多级认证方法,包括:
登录认证服务器对用户终端发送的资源访问请求中携带的用户令牌进行校验,校验成功时从所述用户令牌中获取用户凭证索引,根据所述用户凭证索引对用户凭证进行校验,校验成功时从用户信息数据库中获取与所述用户凭证对应的地址信息,生成访问凭证,并将访问凭证索引和所述地址信息发送给所述用户终端;
单点登录代理服务器根据所述用户终端发送的访问凭证索引判断是否存在与所述访问凭证索引对应的访问凭证,在存在时对所述访问凭证进行校验,在校验成功时从所述用户信息数据库中获取用户权限信息,并向所述用户终端返回与所述用户权限信息对应的资源数据,所述资源数据与所述地址信息对应。
为实现上述目的,本发明还提供了一种多级认证系统,包括:
第一校验模块,用于对用户终端发送的资源访问请求中携带的用户令牌进行校验,校验成功时从所述用户令牌中获取用户凭证索引,根据所述用户凭证索引对用户凭证进行校验,校验成功时从用户信息数据库中获取与所述用户凭证对应的地址信息,生成访问凭证,并将访问凭证索引和所述地址信息发送给所述用户终端;
第二校验模块,用于根据所述用户终端发送的访问凭证索引判断是否存在与所述访问凭证索引对应的访问凭证,在存在时对所述访问凭证进行校验,在校验成功时从所述用户信息数据库中获取用户权限信息,并向所述用户终端返回与所述用户权限信息对应的资源数据,所述资源数据与所述地址信息对应。
由上述技术方案可知,本发明通过向用户终端返回访问凭证索引而不是访问凭证,能够提高用户访问信息的安全性。由于采用了多级认证,能够支持多个认证系统的接入和移除,在不改变现有的校验方式的情况下接入更多的子系统资源,并使这些子系统资源能够采用自己的校验方式进行校验,从而达到扩展灵活的效果,在用户终端通过第一多级校验后再访问子系统资源的时候不需要重新校验,从而达到单点登录,统一服务的效果。
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
附图说明
图1为本发明多级认证方法第一实施例的流程图;
图2为本发明多级认证方法第二实施例用户登录的流程图;
图3为本发明多级认证方法第二实施例第一多级校验的流程图;
图4为本发明多级认证方法第二实施例第二多级校验的流程图;
图5为本发明多级认证系统第一实施例的结构框图;
图6为本发明多级认证系统第二实施例的结构框图。
具体实施方式
图1为本发明多级认证方法第一实施例的流程图。如图1所示,该方法包括:
步骤101、对接收到的资源访问请求进行第一多级校验,校验成功后返回访问凭证索引和相应的地址信息;
本次多级校验是针对该资源访问请求中携带的与用户登录信息对应的用户的合法身份进行校验,也就是判断该用户是否已经登录成功,且校验过程为逐级校验。该校验过程可以为:登录认证服务器对接收到的资源访问请求进行第一多级校验,在校验失败后,登录认证服务器就向用户终端反馈资源访问请求失败信息,即说明该用户还没有成功登录;如果校验成功,说明该用户已经成功登录,则向用户终端返回访问凭证索引以及与该用户的访问权限对应的地址信息。该访问凭证索引与该用户的访问凭证是对应的,该地址信息就是该用户有权访问的资源的地址信息。此处向用户终端返回访问凭证索引信息而不是直接返回访问凭证,因此用户终端在登录认证服务器中存储的访问凭证是唯一的,而用户终端在每次向登录认证服务器发送资源访问请求时所使用的访问凭证索引是变化的,因此,能够提供认证的安全性。
步骤103、根据接收的访问凭证索引进行第二多级校验,校验成功后返回该地址信息所对应的资源数据。
用户终端在访问上述地址信息想要获取与该地址信息对应的资源数据时,会将访问凭证索引以及该地址信息同时发送给单点登录服务器,然后单点登录服务器即根据该访问凭证索引进行第二多级校验,在校验失败时向用户终端反馈校验失败信息,如果校验成功,则将与该地址信息对应的资源数据反馈给用户终端。第二多级校验的过程事实上就是用户终端所需访问的系统资源中的子系统资源采用自己的校验方式对用户终端的访问权限进行校验的过程。当系统资源中集成了多个子系统资源,则各个子系统资源均可以采用与自己向匹配的校验方式对用户的访问权限进行校验。
本实施例通过向用户终端返回访问凭证索引而不是访问凭证,能够提高用户访问信息的安全性。由于采用了多级认证,能够支持多个认证系统的接入和移除,在不改变现有的校验方式的情况下接入更多的子系统资源,并使这些子系统资源能够采用自己的校验方式进行校验,从而达到扩展灵活的效果,在用户终端通过第一多级校验后再访问子系统资源的时候不需要重新校验,从而达到单点登录,统一服务的效果。
图2-图4为本发明多级认证方法第二实施例的流程图。本发明多级认证方法第二实施例包括用户终端登录获取用户令牌以及资源标识列表的过程、用户终端获取访问子系统的访问凭证索引的过程以及在访问子系统时对用户令牌以及与访问凭证索引对应的访问凭证的校验过程。
图2为本发明多级认证方法第二实施例用户终端登录的流程图。如图2所示,该图即为用户终端根据用户登录信息获取用户令牌和资源标识列表的流程图。用户登录的过程包括:
步骤201、用户终端将用户登录信息发送给登录认证服务器。
该用户登录信息包括用户名、密码以及用户终端的本地信息。该本地信息既可以为用户终端的IP地址,也可以为用户终端的MAC地址。需要说明的是,在用户终端向登录认证服务器传输用户登录信息前,可以采用安全套接层(Secure Socket Layer,以下简称:SSL)协议对用户名、密码以及用户终端的本地信息进行加密处理。
步骤203、登录认证服务器从用户信息数据库中获取与该用户登录信息对应的用户信息并根据该用户信息对用户身份进行校验,
步骤205、判断校验是否成功,如果成功则执行步骤207,否则执行步骤209。
步骤207、生成用户凭证,根据用户凭证获取用户凭证索引,根据该用户凭证索引生成用户令牌。
步骤209、登录认证服务器向用户终端反馈校验失败信息。
生成用户令牌的过程即为对用户凭证索引加密的过程,该过程也可采用SSL协议进行。
步骤211、登录认证服务器从用户信息数据库中获取与用户登录信息对应的资源标识列表。
该资源标识列表中包括与该用户的访问权限匹配的所有可以访问的系统资源的标识,在后续用户终端可以通过发送该标识登录与该标识对应的子系统进行进一步的认证。
步骤213、登录认证服务器将该用户令牌和该资源标识列表发送给用户终端。
步骤215、用户终端在浏览器缓存中设置与本次登录对应的进程内Cookie。
此处在浏览器缓存内设置进程内Cookie,能够使生成Cookie与用户终端的本地信息直接关联,从而使得从其它用户终端上移植过来的Cookie都是非法的,同时在浏览器的缓存中保留的Cookie是一个索引,因此即使一台机器在不同的时刻登录,其产生的索引值也是不相同的,有效地解决了Cookie的修改替换问题。
上述用户终端从登录认证服务器获取用户令牌和资源标识列表的方法中,由于用户终端发送的用户名和密码均采用SSL加密后的字符串,因此无法解密,同时在生成用户令牌的过程中还要使用用户终端的本地信息,能够将该用户令牌与用户终端的本地信息绑定,而且返回给用户终端的用户令牌 只是用户身份凭证的索引值而非用户身份凭证,因此,能够有效地避免用户身份凭证被网络劫持,有效防范DNS攻击,保证了用户信息的安全性。
图3为本发明多级认证方法第二实施例第一多级校验的流程图。如图3所示,该第一多级校验的流程图包括:
步骤301、用户终端向登录认证服务器发送资源访问请求。
在用户终端已经成功登录系统时,用户终端就要使用该系统中的子系统资源,于是用户终端就要向登录认证服务器发送资源访问请求,请求访问子系统资源,在该资源访问请求中携带了图2中生成的用户令牌和资源标识。该资源标识即为资源标识列表中的某一个标识,该标识与用户终端需要访问的地址信息相对应。
步骤303、登录认证服务器对用户令牌进行校验。
步骤305、根据校验结果进行判断,如果校验成功则执行步骤307,否则执行步骤309;
对用户令牌进行校验的过程即为对用户是否已经成功登录上层系统进行判断,如果校验成功就代表已经成功登录,即可对该用户令牌进行解密,获取该用户令牌中的用户凭证索引,如果校验不成功则说明用户终端还没有成功登录上层系统,向用户终端发送用户令牌校验失败信息即通知用户终端重新登录。
步骤307、登录认证服务器从用户令牌中获取用户凭证索引并根据用户凭证索引对用户凭证进行校验。
步骤309、登录认证服务器向用户终端返回用户令牌校验失败信息。
步骤311、判断校验是否成功,如果成功则执行步骤313,否则执行步骤315。
在图2中用户终端登录注册时即可获取用户凭证,该用户凭证就存储在登录认证服务器中,步骤307中对该用户凭证进行校验即为将根据用户令牌获取的用户凭证与登录认证服务器中的用户凭证进行比对,如果存在这样的用户凭证则说明用户身份是合法的。
步骤313、登录认证服务器从用户信息数据库中获取与该用户凭证对应的地址信息,生成访问凭证,并将该访问凭证索引和地址信息发送给用户终端。
步骤315、登录认证服务器向用户终端返回用户凭证校验失败信息。
在步骤311校验成功时,登录认证服务器就从用户信息数据库中获取与该用户凭证的权限相符合的资源地址信息。该地址信息即为与用户终端发送的资源列表中需要访问的资源标识对应的地址信息。同时还要生成用户有权限访问该子系统的访问凭证,并将该访问凭证所对应的访问凭证索引和地址信息发送给用户终端。
在上述第一校验的过程中,一共使用了两级校验。首先,对用户令牌的校验保证了资源访问请求必须从已经成功登录的合法的用户终端发送而来,由于该用户令牌中以经包括了用户终端的本地信息,因此能够防止其它用户终端篡改或使用本用户终端的合法信息;其次,在用户令牌校验成功后对进一步对用户凭证进行校验,即与服务器中保存的用户信息进行校验,能够进一步提高身份认证的可靠性。
图4为本发明多级认证方法第二实施例第二多级校验的流程图。如图4所示,该第二多级校验包括:
步骤401、用户终端向单点登录代理服务器发送地址信息以及访问凭证索引。
用户终端在完成了用户令牌校验和用户凭证校验后即可访问子系统。用户终端向单点登录代理服务器发送地址信息即为请求访问与该地址信息对应的资源数据,在发送的同时还要发送用户终端的访问凭证索引,该访问凭证索引即为用户终端在当前所要访问的子系统中的身份凭证。
步骤403、单点登录代理服务器根据该访问凭证索引判断是否存在与该访问凭证索引对应的访问凭证,如果不存在则执行步骤405,否则执行步骤407。
该判断过程即为单点登录服务器对该访问凭证索引进行校验,查询该用 户终端的访问凭证索引是否有效即当前单点登录代理服务器中是否存在该访问凭证索引。
步骤405、单点登录代理服务器向用户终端返回访问失败信息。
步骤407、单点登录服务器根据访问凭证索引对访问凭证进行校验。
步骤409、判断校验是否成功,如果失败则执行步骤411,否则执行步骤413。
步骤411、向用户终端返回访问失败信息。
步骤413、单点登录服务器从用户信息数据库中获取用户权限信息,并向用户终端返回与用户权限信息对应的资源数据。
步骤415、单点登录代理服务器删除访问凭证索引。
在单点登录服务器向用户终端返回对应的资源数据后,单点登录代理服务器要将本次访问子系统资源的访问凭证索引。在下次访问时又使用的是不同的访问凭证索引,因此能够提高系统资源的访问安全性。
在上述第二多级校验的过程中,也使用了两级校验。用户在访问子系统资源时向单点登录代理服务器发送的是访问凭证索引而非访问凭证,能够提高用户访问信息的安全性。在传输该访问凭证索引的过程中也可以使用SSL协议对该访问凭证索引进行加密以提高传输安全性。由于采用的是多级认证的方式,因此单点登录代理服务器可以无缝接入任意子系统,在用户需要访问该子系统的时候该子系统就可以采用自己的校验方式对用户访问凭证进行校验,扩展十分方便灵活。
综上可知,本发明多级认证方法使生成的Cookie与用户终端的本地信息直接关联,这样任何从其他用户终端上移植过来的cookie都是非法的,而且可以有效的避免被网络劫持,同时在整个过程中传输的都是凭证的索引值,该索引值为动态生成,因此,即使是同一台机器在不同时期登陆,产生的索引值都不同,从而有效解决了Cookie的修改替换问题。在传输的过程中,可以对用户名、密码以及各个索引应用SSL进行加密传输,可以防范DNS攻击。该方法支持多个认证系统的接入,可以无缝的把登陆认证或是系统校验的权 限交接给各个子系统,这样使接入到认证系统的子系统无论接入还是移除都非常灵活。而且,在用户终端通过第一多级校验后,再访问子系统资源的时候不需要重新校验,从而达到单点登录,统一服务的效果。
图5为本发明多级认证系统第一实施例的结构框图。如图5所示,该系统包括:第一校验模块1和第二校验模块2。第一校验模块1对接收到的资源访问请求进行第一多级校验,校验成功后返回访问凭证索引和相应的地址信息;第二校验模块2根据接收的访问凭证索引进行第二多级校验,校验成功后返回相应的地址信息所对应的资源数据。
具体地,第一校验模块1对接收到的资源访问请求进行第一多级校验,在校验失败后,第一校验模块1就向用户终端反馈资源访问请求失败信息,即说明该用户还没有成功登录;如果校验成功,说明该用户已经成功登录,则向用户终端返回访问凭证索引以及与该用户的访问权限对应的地址信息。该访问凭证索引与该用户的访问凭证是对应的,该地址信息就是该用户有权访问的资源的地址信息。此处向用户终端返回访问凭证索引信息而不是直接返回访问凭证,因此用户终端在第一校验模块1中存储的访问凭证是唯一的,而用户终端在每次向登录认证服务器发送资源访问请求时所使用的访问凭证索引是变化的,因此,能够提供认证的安全性。
用户终端在访问上述地址信息想要获取与该地址信息对应的资源数据时,会将访问凭证索引以及该地址信息同时发送给第二校验模块2,然后第二校验模块2根据该访问凭证索引进行第二多级校验,在校验失败时向用户终端反馈校验失败信息,如果校验成功,则将与该地址信息对应的资源数据反馈给用户终端。第二校验模块2的校验过程事实上就是用户终端所需访问的系统资源中的子系统资源采用自己的校验方式对用户终端的访问权限进行校验的过程。当系统资源中集成了多个子系统资源,则各个子系统资源均可以采用与自己向匹配的校验方式对用户的访问权限进行校验。
本实施例第一校验模块向用户终端返回访问凭证索引而不是访问凭证,提高了用户访问信息的安全性。第二校验模块支持多个认证系统的接入和移 除,在不改变现有的校验方式的情况下接入更多的子系统资源,并使这些子系统资源能够采用自己的校验方式进行校验,从而达到扩展灵活的效果,在用户终端通过第一校验模块的校验后再访问子系统资源的时候不需要重新校验,从而达到单点登录,统一服务的效果。
图6为本发明多级认证系统第二实施例的结构框图。如图6所示,该系统包括:第一校验模块1和第二校验模块2。第一校验模块1对接收到的资源访问请求进行第一多级校验,校验成功后返回访问凭证索引和相应的地址信息;第二校验模块2根据接收的访问凭证索引进行第二多级校验,校验成功后返回相应的地址信息所对应的资源数据。该系统还包括:用户终端3和用户信息数据库4。用户终端3向第一校验模块1发送资源访问请求,并在第一校验模块1校验成功时向第二校验模块2发送访问凭证索引;用户信息数据库4中存储了第一校验模块1进行第一多级校验所需的用户信息以及第二校验模块2完成第二校验后向用户终端3返回的与地址信息对应的资源数据。该第一校验模块1可以进一步包括:登录校验单元10和认证校验单元11。登录校验单元10对用户终端3发送的用户令牌进行校验,校验成功时从用户令牌中获取用户凭证索引;认证校验单元11根据该用户凭证索引对用户凭证进行校验,校验成功时从用户信息数据库4中获取相应的地址信息,生成访问凭证,并将该访问凭证索引和相应的地址信息发送给用户终端3。该第二校验模块2可以进一步包括:单点登录代理单元20和单点登录服务单元21。单点登录代理单元20根据访问凭证索引判断是否存在与该访问凭证索引对应的访问凭证;单点登录服务单元21在存在访问凭证时对该访问凭证进行校验,在校验成功时从用户信息数据库4中获取用户权限信息,并向用户终端3返回与用户权限信息对应的资源数据。
具体地,用户终端3将用户登录信息发送给第一校验模块1中的登录校验单元10。该用户登录信息包括用户名、密码以及用户终端的本地信息。该本地信息既可以为用户终端的IP地址,也可以为用户终端的MAC地址。需要说明的是,在用户终端向登录认证服务器传输用户登录信息前,可以采用SSL 协议对用户名、密码以及用户终端的本地信息进行加密处理。登录校验单元10从用户信息数据库4中获取与该用户登录信息对应的用户信息并根据该用户信息对用户身份进行校验,如果校验失败向用户终端3反馈校验失败信息,否则,认证校验单元11生成用户凭证,根据用户凭证获取用户凭证索引,根据该用户凭证索引生成用户令牌。生成用户令牌的过程即为对用户凭证索引加密的过程,该过程也可采用SSL协议进行。登录校验单元10从用户信息数据库4中获取与用户登录信息对应的资源标识列表。该资源标识列表中包括与该用户的访问权限匹配的所有可以访问的系统资源的标识,在后续用户终端可以通过发送该标识登录与该标识对应的子系统进行进一步的认证。最后,登录校验单元10将该用户令牌和该资源标识列表发送给用户终端3。此时用户终端3可以在浏览器缓存中设置与本次登录对应的进程内Cookie,该设置能够使生成的Cookie与用户终端的本地信息直接关联,从而使得从其它用户终端上移植过来的Cookie都是非法的,同时在浏览器的缓存中保留的Cookie是一个索引,因此即使一台机器在不同的时刻登录,其产生的索引值也是不相同的,有效地解决了Cookie的修改替换问题。
上述用户终端从登录认证服务器获取用户令牌和资源标识列表的方法中,由于用户终端发送的用户名和密码均采用SSL加密后的字符串,因此无法解密,同时在生成用户令牌的过程中还要使用用户终端的本地信息,能够将该用户令牌与用户终端的本地信息绑定,而且返回给用户终端的用户令牌只是用户身份凭证的索引值而非用户身份凭证,因此,能够有效地避免用户身份凭证被网络劫持,有效防范DNS攻击,保证了用户信息的安全性。
在用户终端3获取用户令牌和资源标识列表后,再向登录校验单元10发送资源访问请求。
在用户终端已经成功登录系统时,用户终端就要使用该系统中的子系统资源,于是用户终端就要向登录认证服务器发送资源访问请求,请求访问子系统资源。该资源标识即为资源标识列表中的某一个标识,该标识与用户终端需要访问的地址信息相对应。
然后,登录校验单元10对用户令牌进行校验,校验失败则向用户终端3返回用户令牌校验失败信息,否则认证校验单元11从用户令牌中获取用户凭证索引并根据用户凭证索引对用户凭证进行校验。
对用户令牌进行校验的过程即为对用户是否已经成功登录上层系统进行判断,如果校验成功就代表已经成功登录,即可对该用户令牌进行解密,获取该用户令牌中的用户凭证索引,如果校验不成功则说明用户终端还没有成功登录上层系统,向用户终端3发送用户令牌校验失败信息即通知用户终端3重新登录。
如果认证校验单元11对用户凭证进行校验失败则向用户终端3返回用户凭证校验失败信息,否则登录校验单元10从用户信息数据库4中获取与该用户凭证对应的地址信息,生成访问凭证,并将该访问凭证索引和地址信息发送给用户终端3。
在用户终端3登录注册时即可获取用户凭证,该用户凭证就存储在认证校验模块11中,在校验时,认证校验模块11将根据用户令牌获取的用户凭证与其存储的用户凭证进行比对,如果存在这样的用户凭证则说明用户身份是合法的。然后登录校验模块10就从用户信息数据库4中获取与该用户凭证的权限相符合的资源地址信息。该地址信息即为与用户终端发送的资源列表中需要访问的资源标识对应的地址信息。同时还要生成用户有权限访问该子系统的访问凭证,并将该访问凭证所对应的访问凭证索引和地址信息发送给用户终端3。
在用户终端3获取访问凭证后就要进一步使用子系统资源数据。首先,用户终端3向第二校验模块2中的单点登录代理单元20发送地址信息以及访问凭证索引。
用户终端3在完成了用户令牌校验和用户凭证校验后即可访问子系统。用户终端3向单点登录代理单元20发送地址信息即为请求访问与该地址信息对应的资源数据,在发送的同时还要发送用户终端的访问凭证索引,该访问凭证索引即为用户终端3在当前所要访问的子系统中的身份凭证。
然后,单点登录代理单元20根据该访问凭证索引判断是否存在与该访问凭证索引对应的访问凭证,如果不存在则向用户终端3返回访问失败信息,否则单点登录服务单元21根据访问凭证索引对访问凭证进行校验。如果校验失败则向用户终端3返回访问失败信息,否则,单点登录服务单元21从用户信息数据库4中获取用户权限信息,并向用户终端3返回与用户权限信息对应的资源数据。最后,单点登录代理单元还要删除访问凭证索引。在单点登录服务器向用户终端返回对应的资源数据后,单点登录代理服务器要将本次访问子系统资源的访问凭证索引。在下次访问时又使用的是不同的访问凭证索引,因此能够提高系统资源的访问安全性。
综上可知,本发明多级认证系统采用第一校验模块和第二校验模块进行多级校验,使生成的Cookie与用户终端的本地信息直接关联,这样任何从其他用户终端上移植过来的cookie都是非法的,而且可以有效的避免被网络劫持,同时在整个过程中传输的都是凭证的索引值,该索引值为动态生成,因此,即使是同一台机器在不同时期登陆,产生的索引值都不同,从而有效解决了Cookie的修改替换问题。在传输的过程中,可以对用户名、密码以及各个索引应用SSL进行加密传输,可以防范DNS攻击。该系统由于对子系统访问权限的校验为逐级进行,因此支持多个认证系统的接入,可以无缝的把登陆认证或是系统校验的权限交接给各个子系统,这样使接入到认证系统的子系统无论接入还是移除都非常灵活。而且,在用户终端通过第一多级校验后,再访问子系统资源的时候不需要重新校验,从而达到单点登录,统一服务的效果。
最后应说明的是:以上实施例仅用以说明本发明的技术方案而非对其进行限制,尽管参照较佳实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对本发明的技术方案进行修改或者等同替换,而这些修改或者等同替换亦不能使修改后的技术方案脱离本发明技术方案的精神和范围。
Claims (8)
1.一种多级认证方法,其特征在于,包括:
登录认证服务器对用户终端发送的资源访问请求中携带的用户令牌进行校验,校验成功时从所述用户令牌中获取用户凭证索引,根据所述用户凭证索引对用户凭证进行校验,校验成功时从用户信息数据库中获取与所述用户凭证对应的地址信息,生成访问凭证,并将访问凭证索引和所述地址信息发送给所述用户终端;
单点登录代理服务器根据所述用户终端发送的访问凭证索引判断是否存在与所述访问凭证索引对应的访问凭证,在存在时对所述访问凭证进行校验,在校验成功时从所述用户信息数据库中获取用户权限信息,并向所述用户终端返回与所述用户权限信息对应的资源数据,所述资源数据与所述地址信息对应。
2.根据权利要求1所述的多级认证方法,其特征在于,所述登录认证服务器对用户终端发送的资源访问请求中携带的用户令牌进行校验之前包括:用户终端发送资源访问请求,所述资源访问请求中携带用户令牌和资源标识。
3.根据权利要求2所述的多级认证方法,其特征在于,所述用户终端发送资源访问请求之前包括:
所述用户终端根据用户登录信息获取所述用户令牌和资源标识列表,所述用户登录信息包括用户名、密码以及所述用户终端的本地信息。
4.根据权利要求3所述的多级认证方法,其特征在于,所述用户终端根据用户登录信息获取所述用户令牌和资源标识列表之后包括:
所述用户终端在浏览器缓存中设置与本次登录对应的进程内Cookie。
5.根据权利要求4所述的多级认证方法,其特征在于,所述用户终端根据用户登录信息获取所述用户令牌和资源标识列表具体为:
从用户信息数据库中获取与所述用户登录信息对应的用户信息,根据所述用户信息对用户身份进行校验,校验成功时生成用户凭证,根据所述用户凭证获取用户凭证索引,根据所述用户凭证索引生成所述用户令牌,并从所述用户信息数据库中获取与所述用户登录信息对应的所述资源标识列表,并将所述用户令牌和所述资源标识列表发送给所述用户终端。
6.根据权利要求1所述的多级认证方法,其特征在于,所述向所述用户终端返回与所述用户权限信息对应的资源数据之后还包括:删除所述访问凭证索引。
7.一种多级认证系统,其特征在于,包括:
第一校验模块,用于对用户终端发送的资源访问请求中携带的用户令牌进行校验,校验成功时从所述用户令牌中获取用户凭证索引,根据所述用户凭证索引对用户凭证进行校验,校验成功时从用户信息数据库中获取与所述用户凭证对应的地址信息,生成访问凭证,并将访问凭证索引和所述地址信息发送给所述用户终端;
第二校验模块,用于根据所述用户终端发送的访问凭证索引判断是否存在与所述访问凭证索引对应的访问凭证,在存在时对所述访问凭证进行校验,在校验成功时从所述用户信息数据库中获取用户权限信息,并向所述用户终端返回与所述用户权限信息对应的资源数据,所述资源数据与所述地址信息对应。
8.根据权利要求7所述的多级认证系统,其特征在于,还包括:
用户终端,用于向所述第一校验模块发送资源访问请求,并在所述第一校验模块校验成功时向第二校验模块发送所述访问凭证索引;
用户信息数据库,用于存储所述第一校验模块进行第一多级校验所需的用户信息以及第二校验模块向所述用户终端返回的与所述地址信息对应的资源数据。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008101178769A CN101335626B (zh) | 2008-08-06 | 2008-08-06 | 多级认证方法和多级认证系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008101178769A CN101335626B (zh) | 2008-08-06 | 2008-08-06 | 多级认证方法和多级认证系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101335626A CN101335626A (zh) | 2008-12-31 |
| CN101335626B true CN101335626B (zh) | 2011-05-18 |
Family
ID=40197963
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008101178769A Active CN101335626B (zh) | 2008-08-06 | 2008-08-06 | 多级认证方法和多级认证系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101335626B (zh) |
Families Citing this family (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102055764A (zh) * | 2010-12-30 | 2011-05-11 | 北京握奇数据系统有限公司 | 一种对业务系统的访问操作进行监控的方法及装置 |
| CN103188248A (zh) * | 2011-12-31 | 2013-07-03 | 卓望数码技术(深圳)有限公司 | 基于单点登录的身份认证系统及方法 |
| CN103795692B (zh) * | 2012-10-31 | 2017-11-21 | 中国电信股份有限公司 | 开放授权方法、系统与认证授权服务器 |
| CN103873454B (zh) * | 2012-12-18 | 2017-02-08 | 中国移动通信集团山东有限公司 | 一种认证方法及设备 |
| CN103209168B (zh) * | 2013-01-30 | 2017-03-08 | 广东欧珀移动通信有限公司 | 一种实现单点登录的方法和系统 |
| CN104077302B (zh) * | 2013-03-28 | 2017-07-25 | 中国银联股份有限公司 | 一种大用户量账户存储和检索及认证系统 |
| CN104125565A (zh) * | 2013-04-23 | 2014-10-29 | 中兴通讯股份有限公司 | 一种基于oma dm实现终端认证的方法、终端及服务器 |
| CN106464721B (zh) * | 2014-05-12 | 2019-09-24 | 微软技术许可有限责任公司 | 将公共云与专用网络资源连接的方法 |
| CN105323088A (zh) * | 2014-07-16 | 2016-02-10 | 中兴通讯股份有限公司 | 跳板处理方法及装置 |
| WO2016128568A1 (en) * | 2015-02-13 | 2016-08-18 | Yoti Ltd | Authentication of web content |
| CN105049427B (zh) * | 2015-06-29 | 2018-06-19 | 用友优普信息技术有限公司 | 应用系统登录账号的管理方法及装置 |
| KR102398167B1 (ko) * | 2015-07-02 | 2022-05-17 | 삼성전자주식회사 | 사용자 장치, 그것의 패스워드 설정 방법, 그리고 그것의 패스워드를 설정하고 확인하는 동작 방법 |
| CN107786489B (zh) * | 2016-08-24 | 2021-03-26 | 腾讯科技(深圳)有限公司 | 访问请求验证方法及装置 |
| CN108469972B (zh) * | 2017-02-20 | 2021-09-24 | 阿里巴巴集团控股有限公司 | 支持web页面中显示多窗口的方法和装置 |
| CN109831435B (zh) * | 2019-01-31 | 2021-06-01 | 广州银云信息科技有限公司 | 一种数据库操作方法、系统及代理服务器和存储介质 |
| CN110457944B (zh) * | 2019-08-02 | 2023-08-25 | 爱友智信息科技(苏州)有限公司 | 一种数据分享方法及系统 |
| CN114745145B (zh) * | 2021-01-07 | 2023-04-18 | 腾讯科技(深圳)有限公司 | 业务数据访问方法、装置和设备及计算机存储介质 |
| CN112953892B (zh) * | 2021-01-26 | 2022-04-19 | 浪潮通用软件有限公司 | 第三方系统的访问认证方法和装置 |
| CN113067797B (zh) * | 2021-02-01 | 2023-04-07 | 上海金融期货信息技术有限公司 | 支持跨网络区域多终端多凭证的身份认证和鉴权系统 |
| CN114567509B (zh) * | 2022-03-18 | 2024-04-30 | 上海派拉软件股份有限公司 | 一种Web应用访问系统及方法 |
| CN116599777B (zh) * | 2023-07-18 | 2023-09-26 | 北京睿芯高通量科技有限公司 | 一种多端多级认证、鉴权的方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1855814A (zh) * | 2005-04-29 | 2006-11-01 | 中国科学院计算机网络信息中心 | 一种安全的统一身份认证方案 |
| CN1960255A (zh) * | 2006-09-21 | 2007-05-09 | 上海交通大学 | 分布式多级安全访问控制方法 |
| CN101163000A (zh) * | 2006-10-13 | 2008-04-16 | 中兴通讯股份有限公司 | 一种二次认证方法及系统 |
-
2008
- 2008-08-06 CN CN2008101178769A patent/CN101335626B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1855814A (zh) * | 2005-04-29 | 2006-11-01 | 中国科学院计算机网络信息中心 | 一种安全的统一身份认证方案 |
| CN1960255A (zh) * | 2006-09-21 | 2007-05-09 | 上海交通大学 | 分布式多级安全访问控制方法 |
| CN101163000A (zh) * | 2006-10-13 | 2008-04-16 | 中兴通讯股份有限公司 | 一种二次认证方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101335626A (zh) | 2008-12-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101335626B (zh) | 多级认证方法和多级认证系统 | |
| CN106936853B (zh) | 基于面向系统集成的跨域单点登录系统进行跨域单点登录的方法 | |
| CN102201915B (zh) | 一种基于单点登录的终端认证方法和装置 | |
| CN101369893B (zh) | 一种对临时用户进行局域网络接入认证的方法 | |
| US8578462B2 (en) | Method and system for secure session management in a web farm | |
| JP4880699B2 (ja) | サービスアカウントを保護するための方法、システム、及び装置 | |
| CN103188207B (zh) | 一种跨域的单点登录实现方法及系统 | |
| US11792179B2 (en) | Computer readable storage media for legacy integration and methods and systems for utilizing same | |
| EP2552049A1 (en) | Authentication method, apparatus and system | |
| US9419974B2 (en) | Apparatus and method for performing user authentication by proxy in wireless communication system | |
| CN103475666A (zh) | 一种物联网资源的数字签名认证方法 | |
| WO2011144081A2 (zh) | 用户业务鉴权方法、系统及服务器 | |
| CN103023856A (zh) | 单点登录的方法、系统和信息处理方法、系统 | |
| CN104702562A (zh) | 终端融合业务接入方法、系统与终端 | |
| CN102970308A (zh) | 一种用户认证方法及服务器 | |
| CN103634111A (zh) | 单点登录方法和系统及单点登录客户端 | |
| KR20110103461A (ko) | 피어투피어 네트워크의 네트워크 노드들의 인증을 위한 방법 및 시스템 | |
| CN112929388B (zh) | 网络身份跨设备应用快速认证方法和系统、用户代理设备 | |
| CN102255904A (zh) | 一种通信网络以及对终端的认证方法 | |
| KR20050071768A (ko) | 원타임 패스워드 서비스 시스템 및 방법 | |
| RU2325774C2 (ru) | Способ распределения паролей | |
| US20100250607A1 (en) | Personal information management apparatus and personal information management method | |
| CN111817860B (zh) | 一种通信认证方法、装置、设备及存储介质 | |
| CN111723347B (zh) | 身份认证方法、装置、电子设备及存储介质 | |
| US8516563B2 (en) | Methods for authenticating a user without personal information and devices thereof |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| ASS | Succession or assignment of patent right |
Owner name: CHINA UNITED NETWORK TELECOMMUNICATION GROUP CO., Free format text: FORMER OWNER: UNICOM BROADBAND SERVICES APPLICATION NATIONAL ENGINEERING LABORATORY CO., LTD. Effective date: 20141125 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| C56 | Change in the name or address of the patentee |
Owner name: UNICOM BROADBAND SERVICES APPLICATION NATIONAL ENG Free format text: FORMER NAME: CHINA NET COMMUNICATION GROUP WIDEBAND APPLIANCE STATE ENGINEERING LAB CO., LTD. |
|
| CP03 | Change of name, title or address |
Address after: 100033 Beijing Finance Street, No. 21, Xicheng District Patentee after: UNICOM BROADBAND SERVICES APPLIC NAT ENGINEERING LAB Co.,Ltd. Address before: 100176 No. 1 Zhonghe street, Yizhuang economic and Technological Development Zone, Beijing Patentee before: CNC Broadband Business Applications National Engineering Laboratory Co.,Ltd. |
|
| TR01 | Transfer of patent right |
Effective date of registration: 20141125 Address after: 100033 Beijing Finance Street, No. 21, Xicheng District Patentee after: CHINA UNITED NETWORK COMMUNICATIONS GROUP Co.,Ltd. Address before: 100033 Beijing Finance Street, No. 21, Xicheng District Patentee before: UNICOM BROADBAND SERVICES APPLIC NAT ENGINEERING LAB Co.,Ltd. |