CN101399671A - 一种跨域认证方法及其系统 - Google Patents
一种跨域认证方法及其系统 Download PDFInfo
- Publication number
- CN101399671A CN101399671A CNA2008102268457A CN200810226845A CN101399671A CN 101399671 A CN101399671 A CN 101399671A CN A2008102268457 A CNA2008102268457 A CN A2008102268457A CN 200810226845 A CN200810226845 A CN 200810226845A CN 101399671 A CN101399671 A CN 101399671A
- Authority
- CN
- China
- Prior art keywords
- user
- authentication
- domain
- identity
- identity authorization
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明公开了一种跨域认证方法及其系统,属于计算机技术领域。本发明方法包括:访问请求依次由目标域的应用系统和身份认证系统,域定位系统直至用户域的身份认证系统检测缓存中是否存在认证信息,是则直接提取;否则在用户域的身份认证系统进行身份认证,缓存认证信息后发送至目标域的身份认证系统;由其缓存后发送至应用系统;缓存并确认可否访问。本发明系统包括:一个域定位系统,一个或多个身份认证系统,一个域只包含一个身份认证系统,每个域包括一个或多个应用系统,每个应用系统上均含有一个认证状态过滤插件。本发明信任关系层次清晰,易于管理;功能全面,适用范围较广;支持灵活简便的跨域访问控制。
Description
技术领域
本发明涉及一种跨域认证方法及其系统,属于计算机技术领域。
背景技术
随着技术的不断革新以及网络规模的不断扩大,分布式环境下的各种应用层出不穷,而其相应的安全需求也变得越来越复杂。分布式系统由一个个孤立的安全域通过网络互联而形成,每个信任域管理着本地的资源和用户。当用户跨域访问资源的时候,由于访问主体、资源客体以及认证服务分别属于不同的信任域,需要解决该环境中身份标识、信任建立和跨域互操作等各种问题。而传统的身份认证解决方案显然已经无法应对这种新的安全需求和安全挑战,跨域身份认证成为安全保障的重要内容。同时,随着人们对于隐私问题的重视不断提高,如何提高对用户隐私的保护同时又不降低系统的安全性能,是认证系统设计人员面临的一大挑战。
由于认证与被保护的应用本身没有业务上的联系,把认证作为一个单独的功能提取出来,构建一套独立的认证系统为多个应用提供服务是安全领域的一种发展趋势。因此,认证系统的设计应充分考虑其通用性与灵活性。它应该能够适用于各种异构平台,提供对访问控制、授权管理等其他安全保护机制的支持,同时其内部功能可以自由裁剪,以适应于各种不同的应用场景。
目前,较为典型的基于Web的认证解决方案包括耶鲁大学提出的统一认证服务(CAS,Central Authentication Service)系统和美国Internet2项目的Shibboleth中间件系统。
耶鲁大学提出的统一认证服务CAS是一个比较典型的认证与应用分离的解决方案。它提供了一套独立的,适用于分布式环境下的,兼容各种异构平台的单域认证系统。它在需要保护的应用系统中插入CAS客户端插件,由CAS服务器端作为认证中心,通过票据验证为多个应用系统提供统一认证服务,让用户可以一次登录多次访问。但是它只能解决单域环境下的统一认证、单点登录问题,无法满足跨域认证的要求,也没有考虑用户的隐私保护等需求。
美国Internet2项目的Shibboleth中间件系统用于各个大学之间建立信任关系以及共享Web资源。Shibboleth可以实现跨信任域的单点登录,并且采用基于属性的授权框架,因此也应用于网格解决虚拟组织之间的身份认证以及资源管理问题。它采用安全断言标记语言(SAML,Security Assertion Markup Language)在多个信任域之间提供身份认证服务,并且有隐私性保护的解决方案。然而,Shibboleth本身不提供认证功能,常见的做法是结合CAS与Shibboleth来提供完整的认证及身份管理功能。
Shibboleth的一个主要的问题在于,在Shibboleth体系中,所谓的域只针对于用户,而不包括被保护的应用资源,所以在跨域访问的场景下,被保护资源实际上没有其所属的信任域,而是同时归属于多个信任域,如图1所示。这种解决方案在很多场景下是不适合的,如对于一个组织——公司或大学,其内部包含多个资源或应用系统,它们只能信任其所在的组织——即本地信任域。如果某些资源需要与外域用户共享,应该由其信任域来统一管理,并与外域建立信任关系。
发明内容
本发明的目的之一在于克服现有技术中存在的问题,提供一种跨域认证整体解决方案,包括跨域认证方法及其系统。
具体来说,本发明技术方案包括下列几个重要方面:
一、基本跨域认证方法
用户跨域访问资源时,目标域对用户进行跨域认证的基本方法如下所述:
1.用户域的某个用户访问目标域的某个应用系统,该系统检测用户是否经过认证,如果是,则直接从缓存中获得用户信息,允许访问;否则,缓存用户请求信息,交由目标域的身份认证系统对用户进行身份认证;
2.目标域的身份认证系统检测用户是否已认证过,如果是,就转到步骤6;如果否,就交由域定位系统来确定用户所属身份域;
3.域定位系统通过其维护的信息确定用户所在的域或由用户选择其用户域后,将用户交由用户域的身份认证系统来进行认证;
4.用户域的身份认证系统检测用户是否已认证过,如果是,就从缓存中获得用户认证信息;如果否,就由用户选择一种系统支持的认证方式进行认证,比如通过输入用户名密码的方式,或者通过PKI证书的方式;认证通过后,缓存用户认证信息,并将该认证信息发送至目标域的身份认证系统。在此过程中,可检查该用户是否与目标域建立过身份联合,如果有就在认证信息中发送身份联合涉及的联合假名,否则,直接发送用户名;
5.目标域的身份认证系统验证用户域发送的用户认证信息是否可信。验证通过,判断用户身份是否为联合身份。如果是,就根据联合身份提取用户在本域的认证信息并缓存,否则直接缓存用户在用户域的认证信息;
6.目标域以可信方式将用户认证信息发送给用户要访问的应用系统;
7.应用系统获得用户认证信息,解析并验证,如果验证通过则缓存用户认证信息,并允许用户访问,否则提示用户身份认证失败,跨域资源访问流程结束。
其中,对于步骤4,在非身份联合的情况下,用户域的身份认证系统发送的认证信息中可用一个用户假名替换真正的用户名,以保护用户隐私。步骤6中目标域的身份认证系统也类似。
在该方案中,用户认证信息需要在不同组织的身份认证系统之间以及组织内部的身份认证系统与应用系统之间通过可信方式传递。传递方式可以选择多种不同的形式来实现,在B/S应用模式下可以选择在HTTPS保护下采用安全断言标记语言(SAML)标准作为认证信息的发布形式,组织之间以及组织内部的信任通过PKI体系来保证。在C/S应用模式下,如果采用对称密钥体系来建立信任关系可直接对认证信息加密进行传输,如果采用PKI体系可以选择加密信道下对认证信息进行签名的方式传送。
二、跨域认证方法中的用户属性查询
以上过程中用户的认证信息只考虑用户身份信息(如,用户名)。而当用户访问资源时,还需要进一步获得用户属性才能判断是否允许其访问。对于用户属性信息,可以有以下两种方法进行查询。
属性查询方法一:在认证过程中,用户属性随用户身份信息一同在认证信息中发布,一次性获得用户的所有属性。
属性查询方法二,当认证后的用户访问某个应用系统时,它根据用户身份信息向本域的身份认证系统查询需要的属性。如果是外域用户,本域身份认证系统再向外域查询该属性。
在跨域的情况下,每个域所定义的用户属性可能存在不同的情况,需要采取措施来使不同域可以彼此解析对方的属性,从而在不改变本域资源访问控制策略的前提下,实现对外域用户的访问控制。
本发明在以上跨域认证方法的基础上,通过以下方法实现跨域属性查询:每个域的身份认证系统维护与其他域之间的属性映射列表。该列表指明了本域中的属性对应于外域的哪个属性及其属性值之间的映射。在跨域查询用户属性时,通过该列表进行不同域间属性的转换。下面以属性查询方法二为例,具体介绍该属性查询的方法:
1、当用户域的用户访问目标域的应用系统上的资源R时,该应用系统需要判断用户是否拥有目标域的属性AttrA。它根据当前访问用户的身份信息向目标域的身份认证系统发出对属性AttrA的查询请求;
2、目标域的身份认证系统收到属性查询请求后,检查是否有该用户的这个属性的缓存,如果有就直接回复。如果没有,就检查用户是本域的还是外域的。对于外域用户,从属性映射列表中查找对应于AttrA的用户域中属性的名称,如AttrB,然后向用户域的IAS发出对该用户的属性AttrB的查询。对于本域用户,则直接进行本地查询。
3、用户域的身份认证系统收到目标域发来的属性查询请求后,进行本地查询,得到用户的AttrB属性的值,缓存该信息并返回给目标域。
4、目标域的身份认证系统收到回复后,根据属性映射列表将属性AttrB转化为AttrA回复给应用系统,并对其进行缓存。
5、目标域的应用系统收到回复后,根据用户的属性AttrA的值进行访问控制,判断用户是否能够访问。
和现有技术相比,本发明的跨域认证方法具有如下优势:
1、信任关系层次清晰,易于管理。本发明的跨域认证方法将被保护资源划归为域管理的范畴,在一个信任域内,由一个身份认证系统来负责管理并认证本域内用户的身份,同时它也负责检验本地资源需要的外域用户的身份信息。不同域之间的信任关系只在身份认证系统之间建立。其信任结构如图2所示。这样,域的数量或信任关系发生的变化对被保护资源而言是透明的。相比Shibboleth系统,本发明采用的系统模型更为合理,信任关系更为简单,易维护,易管理;
2、功能全面,适用范围广。本发明的跨域认证方法提供了对跨域访问过程中需要的跨域身份认证、单点登录、跨域属性查询、身份联合等多个功能的解决方法,能够充分满足实际应用的各种需求;
3、支持灵活简便的跨域访问控制。本发明的跨域属性查询方法使得每个域不需要修改其自身原有的访问控制策略,就可以实现对跨域用户的访问控制,且管理简单,只需维护属性映射列表。
三、跨域认证系统
本发明针对B/S应用模式,根据以上跨域认证方法的核心思想给出了一套跨域认证中间件系统。它由身份认证系统(IAS,Identity Authentication System),认证状态过滤插件(ASF,Authentication State Filter),以及域定位系统(DLS,Domain Location System)三部分组成。其中,身份认证系统与域定位系统是独立的Web应用系统,认证状态过滤插件作用于被保护的应用系统(SP,Service Provider)。整个系统中,一个IAS负责一个域内的资源及用户身份认证,IAS之间在DLS的辅助下实现对用户的跨域认证。该系统的网络拓扑结构如图3所示。
1.身份认证系统(IAS):IAS是一个独立的Web应用系统,负责本域内的用户身份信息与属性信息管理,对其管理的信任域内的用户进行身份认证,向其他域提供用户认证状态查询与身份属性信息查询等功能。同时维护用户的认证状态,提供单点登录功能。其中,用户认证信息采用安全断言标记语言(SAML)中规定的断言标准格式进行发布。
该子系统内部包含下列功能构件:
a.认证管理构件(AMC,Authentication Management Component):该构件是整个IAS的核心构件,提供了认证的整体框架,主要负责Web层信息的处理,以及各个构件的组装及调用,完成用户身份认证的主体功能。它的主体功能由两个模块组成,包括HTTP请求处理模块以及认证结果发布模块。请求处理模块,负责处理外界转发来的用户请求,根据请求的不同,进行不同的处理。同时它为每个用户维护一个用户对象,记录用户信息,并与用户维持会话状态,以记录用户认证状态,实现单点登录。认证结果发布模块从请求处理模块获得用户对象,然后分别检查身份联合构件,属性查询构件以及匿名访问构件是否启用,如果启用就调用它们对用户对象中的信息进行更新,然后调用SAML断言构件将用户的信息封装为认证断言的形式发布。
b.可插拔认证构件(PAC,Pluggable Authentication Component):该构件负责对用户的身份进行认证。它包括认证Servlet与核心认证模块两部分。认证Servlet负责Web层与用户的交互。核心认证模块实现认证的主体功能,它默认支持传统的口令认证和X.509证书认证两种认证方式,并且支持各种类型的数据库。如果用户采用默认认证方式,只需要配置数据库参数就可以快速实现认证系统与数据库的对接。用户也可以自行扩展该模块的认证接口,以支持其他新的认证方式。此外,用户也可以通过增加过滤器的方式来实现与其他非Web形式的认证方式的集成,如Kerberos等。
c.SAML断言构件(SAC,SAML Assertion Component):该构件负责SAML断言的封装解析,以及对SAML Artifact的查询。它将用户认证信息封装为SAML断言的形式,根据断言请求方的身份决定采用SAML Artifact形式还是POST Form形式进行最后的封装。断言请求方可以通过WebService的方式来对SAML Artifact进行查询。
d.属性查询构件(ARC,Attribute Request Component):该构件负责维护本域与其他信任域之间的属性映射列表,并提供对用户属性的查询服务。该构件接收属性查询请求(包含用户名及属性列表)后,首先检查匿名访问构件是否启用,如果是就调用该构件获取用户真名。然后检查本地是否有属性的缓存,如果有则直接发布SAML属性断言。如果没有,则检查用户所属域。如果是外域用户,根据外域IAS的标识,查询属性映射列表获得外域对应属性名称,然后通过WebService的方式向用户身份域的IAS发出属性查询请求,获得结果后将其转换为本域对应的属性并缓存。如果是查询本地信任域的用户属性,则直接进行本地属性查询,并对查询结果进行缓存。这里的本地属性查询可选择两种方式实现。一是实例化本地属性查询接口,二是与授权管理系统结合,采用SAML属性查询的标准接口定义,利用WebService的方式来调用授权管理提供的属性查询服务。鉴于属性查询是同属于身份管理与授权管理的范畴,用户可以采用自己的授权管理系统来负责用户的属性查询,所以在不启用匿名访问构件的前提下,用户可在系统配置中选择不启用该构件。
e.匿名访问构件(AAC,Anonymous Access Component):该构件负责维护“用户名—用户假名”信息列表,提供用户真假名转换查询服务,是实现用户隐私保护的主要环节。该构件可在系统配置中选择是否启用。
f.身份联合构件(IFC,Identity Federation Component):该构件主要负责用户联合身份的建立、删除,联合身份查询以及真实身份查询。它通过Web页面与用户交互,完成联合身份的建立与删除。该构件可在系统配置中选择是否启用。
以上构件中,属性查询构件(ARC)、匿名访问(AAC)与身份联合构件(IFC)可以由用户根据实际的应用场景,选择是否启用,体现了本发明的一大特点——系统功能任意裁剪。完整的IAS子系统的结构组成如图4所示。
2.认证状态过滤插件(ASF):ASF是作用于被保护的应用系统端(SP)的插件。该插件的核心是一个过滤器,它的主要功能是过滤用户的访问请求,如果是未认证用户,就将用户定向到所在信任域的身份认证系统(IAS)。用户通过认证后,该构件验证IAS发回的认证断言,如果验证通过就记录该用户的登录状态以及认证信息,则用户再一次访问这个SP时,可以不必再次登录。该插件内部包括了SAML断言构件SAC,用来对IAS发布的断言进行解析。经过该插件过滤的用户请求中包含经过认证后的用户名或用户假名,以及在认证过程中获得的属性信息。
3.域定位系统(DLS):DLS主要负责为各信任域的IAS服务器之间进行彼此定位,为各域用户提供其身份认证域的选择,并重定向用户请求。DLS通过维持与用户的会话状态,记录用户的选择,从而辅助实现跨域访问时的单点登录。如果用户系统不存在跨域认证的需求,只应用于单域管理模式,可以不安装该子系统,只需安装身份认证系统(IAS)以及认证状态过滤构件(ASF),这一点也体现了本发明的跨域认证系统具有灵活组装,适应多种环境的特点。
以上描述的身份认证系统、认证状态过滤构件以及域定位系统组成了本发明所要提供的跨域认证中间件系统。它可以灵活的与应用系统进行结合,通过在实际物理环境中搭建一套该系统来保护应用系统的安全。这是一种传统的系统应用模式。
除此之外,该系统还可以搭建于可信第三方,向应用系统提供托管式认证服务。应用系统无需专门搭建认证系统,只需向可信第三方注册并申请托管式认证服务,就可以对用户进行身份验证。这是一种适应于SOA架构开发的系统应用模式。在这种应用模式下,托管服务由可信第三方搭建身份认证子系统IAS来实现,同时需要引入两个独立的构件:认证服务管理构件(ASMC,Authentication service Management Component)以及身份管理构件(IMC,Identity Management Component)。认证服务管理构件ASMC,负责整个托管服务的管理,包括应用系统的注册与审核,认证服务的添加与删除,应用系统间的信任联盟的建立与维护等。身份管理构件IMC负责对用户身份信息的管理,可以选择两种模式:用户注册型与管理员添加型,同时应用系统可以自由定义用户身份信息包含的属性名称及类型。这两个构件主要负责提供服务注册、注销以及认证过程之前的一些管理功能,整个认证服务的主体过程是由上面介绍的IAS中的其他构件来提供的。
根据托管程度的不同,应用系统可以根据自身需要,选择三种托管模式:跨域互联托管,认证托管以及身份管理托管。
■跨域互联托管是指,应用系统可以自由选择与哪些系统建立信任关系,形成信任联盟,同时它还可以选择互联模式:单向互联还是双向互联。在双向互联模式下,应用系统既允许其他信任系统的用户访问自己的资源,也支持自己的用户访问其他系统的资源。单向互联模式下,应用系统不支持自己的用户访问其他系统的资源。在跨域互联托管模式下,应用系统自己完成对本系统内用户的身份认证,然后可信第三方将其认证结果转化为通用凭证,从而联盟内其他用户可以识别该用户身份。该模式适用于已成熟的只能工作于单域模式下的应用系统。
■认证托管是指,应用系统自己维护用户身份管理,但将认证交由可信第三方来处理。这里应用系统可以选择单域认证或跨域认证,前者可信第三方只为应用系统提供其内部用户的认证功能,后者在认证的基础上,同时增加了跨域互联托管服务。该模式适用于新开发的应用系统,但用户数据已经存在的情况。
■身份管理托管是指,应用系统将身份管理、认证都交由可信第三方来管理。对于身份管理,应用系统可以选择两种方式:用户自己注册或者系统管理员添加。当用户访问应用系统时,可信第三方不仅提供认证结果,还提供用户属性信息的查询。该模式适用于一个全新的应用系统。
本发明的跨域认证中间件系统具有如下特点:
1.从系统功能的角度而言,该系统可提供跨域访问过程中需要的跨域认证、跨域单点登录、用户匿名访问、用户属性查询、身份联合等功能,能够充分满足实际应用对跨域认证系统提出的各种需求。
2.从系统设计的角度而言,该系统秉承中间件系统的设计原则,采用“认证系统+认证插件”的分布式架构,实现了认证与业务相分离的目标,并采用安全断言标记语言作为认证结果的发布形态,具有良好的通用性,可以与各种平台下的应用系统无缝结合。同时它采用了构件组装技术实现,使得整个系统具有非常大的灵活性。它可以根据具体应用场景的不同,实现系统功能的自由裁剪,包括是否提供用户匿名、是否提供属性查询、是否提供身份联合,而整个系统也可以选择工作于跨域模式还是单域模式下。
3.从系统应用的角度而言,该系统一方面可以与具体的应用系统相结合,由管理员搭建一套实际的系统来保护应用系统的安全,另一方面,该系统也可采用SOA的设计思想,搭建于可信第三方,向应用系统提供托管式认证服务,应用系统无需专门搭建认证系统,只需向可信第三方注册并申请托管式认证服务,就可以对用户进行身份验证。采用服务的模式,避免了系统管理人员对认证系统的维护,任何对认证系统的升级或修改对应用系统而言都是透明的,从而更进一步简化了系统建设的成本。
附图说明
图1表示现有技术中Shibboleth系统的信任体系结构。
图2表示本发明跨域认证方法采用的信任体系结构。
图3表示本发明跨域认证系统的网络拓扑结构。
图4表示本发明身份认证系统的结构组成。
图5表示本发明跨域认证方法具体流程。
图6表示为本发明身份认证系统的AMC构件请求处理模块的内部流程。
图7表示本发明身份认证系统的AMC构件认证结果发布模块的内部流程。
具体实施方式
下面通过具体实施例结合附图对本发明作更详细的说明。
一、跨域认证方法
本实施例基于如下的情景设定,域A与域B建立互信关系,允许各自用户跨域访问对方资源。现有域B的某用户,希望通过浏览器访问位于域A的应用系统SPA,SPA要求对其进行身份认证。因此,在该设定中,域B为用户域,域A为目标域。
图5显示了该用户跨域认证的整个流程,具体内容如下:
1、位于域B的用户向域A的SPA发送访问请求;
2、位于SPA上的ASFA构件截获该请求,判断用户会话状态,若有会话,则直接获取相应的用户信息,然后完成认证,否则缓存用户访问请求,将用户重定向至域A的身份认证系统IASA,重定向消息包含两个参数(SPID,ASID),其中SPID为SPA在域A的标识符,ASID是用户本次访问SPA的唯一标识;
3、域A的IASA子系统接收到由本域ASFA转来的用户请求,判断用户会话状态,如果有会话信息,就直接调用本地AMC构件发布认证断言,再次将用户重定向至SPA中的ASFA构件,转至步骤7;如果没有会话信息且DLS服务已开启,就缓存请求中的(SPID,ASID),然后将用户重定向至DLS服务,重定向信息为新的二元组(IASID,AIID),其中IASID为IASA的唯一标示符,AIID是用户本次访问IASA的唯一标识,并转到步骤4;否则,就表示该域只支持单域认证,直接将请求转至本域的PAC构件对用户进行认证,然后将带有认证信息的用户请求发给AMC构件,转至步骤6;
4、DLS接到用户请求后,检测是否有该用户的所属域信息,如果没有就让用户选择其所属的用户域(步骤3-1),并记录;如果有就直接提取用户的身份管理域信息,然后把用户重定向到其选择的用户域内的IAS进行处理,这里假设用户选择域B;
5、域B的IASB接到用户请求,判断请求来自其信任的域,获取其IASID,然后判断用户的会话状态,如果有会话信息,就提取本地缓存的用户对象,直接调用本地的AMC构件发布认证断言;如果没有,就调用本地的PAC构件对用户进行认证(步骤5-1),并记录用户信息,调用AMC构件发布认证断言;然后根据配置文件中记录的IASA的信息,将用户重定向至IASA;
6、域A的IASA接到转发来的用户请求,判断是由域B的IASB重定向来的用户请求后,解析IASB发布的认证断言,缓存其中的用户信息,调用本地AMC构件发布认证断言,然后根据请求中的AIID从缓存中提取步骤2中记录的初始请求参数(SPID,ASID),根据SPID从配置文件中获得SPA的信息,将用户重定向至SPA;
7、SPA中的ASFA构件对由IASA转发来的用户请求进行处理,解析其中IASA发布的认证断言,认证通过,则允许用户进行访问,同时缓存用户信息。跨域认证处理流程结束。
其中,AMC构件内部处理流程分为两个部分,分别由HTTP请求处理模块以及认证结果发布模块来完成。
HTTP请求处理模块的内部流程如图6所示,具体内容如下:
1、检查用户会话状态,如果有会话信息,就从缓存中获取用户对象,转至步骤3;如果没有,转至步骤2;
2、检查用户请求中包含的参数,判断请求类型:
如果请求中含有本地PAC构件提供的认证信息,就为该用户建立一个用户对象,记录用户信息,并根据请求中包含的SPID还是IASID来判断认证断言是向本地SP发布还是向外域IAS发布,然后转至步骤3;
如果请求中包含外域发布的认证断言,就调用SAC组件解析断言,为该用户维护一个用户对象,记录用户信息,同时根据请求中返回的AIID,从缓存中获取之前该用户请求的SPID和ASID,并标记断言发布类型为向本域SP发布;然后检查是否为身份联合用户,如果不是,标识用户为外域,转至步骤3;如果是,就检查本地身份联合构件是否开启,如果没有,就通知用户域本地不支持身份联合;如果开启,就调用身份联合构件,查询该用户在本地信息,更新用户对象信息,转至步骤3;
如果请求中没有上述两种认证信息,就检查请求中包含SPID还是IASID,即判断是本地SP转发来的用户请求还是外域IAS转发来的。如果是前者,就缓存请求中的(SPID,ASID),并生成新的用户访问标识(AIID),然后将用户重定向至DLS服务,重定向信息包括(IASID,AIID),其中IASID为本域IAS的唯一标示符。如果是后者,就转到本地PAC构件处理该用户请求;
3、输出用户对象,断言发布类型以及断言依赖方的标识(SPID或IASID).。
HTTP请求处理模块处理结束后,AMC构件将用户请求及用户对象交给认证结果发布模块进行后续处理。其内部流程如图7所示,具体内容如下:
①.根据断言发布类型进行判断,如果是向本域SP发布,就转至步骤③,如果是向外域IAS发布,就转至步骤②;
②.检查身份联合构件IFC是否启用。如果启用,就调用该构件,查询用户与外域的关联假名,生成新的用户对象,转至步骤⑤;如果未启用IFC,转至步骤③;
③.检查匿名访问构件AAC是否启用,如果启用,就调用AAC构件,它负责接收AMC构件发送来的用户对象,根据其中的用户名,生成相对应的假名,并在缓存中维护一个真名-假名列表,然后更新该用户对象信息;
④.检查属性查询构件ARC是否启用,如果启用,则调用该构件。它根据断言依赖方标识(SPID或IASID)以及用户对象,检查是否已预先建立了与这个依赖方对应的属性查询列表,如果有,就按该属性查询列表查询用户属性,并更新用户对象。如果没有,则不进行操作;
⑤.调用SAML断言组件,根据用户对象内的信息生成认证断言,该断言使用该域的私钥进行签名;
⑥.根据断言依赖方标识从配置文件中获取相应实体的信息,将认证断言加入用户请求,并重定向至该实体。
二、用户联合身份的建立及使用过程
本实施例中的用户联合身份的建立及使用是由身份联合组件IFC提供。其具体实施场景为,用户在两个域:域A和域B同时拥有身份信息,为了在跨域访问资源时实现身份的自由转换,该用户需要在两个身份间建立联合关系,具体过程如下:
1、用户访问域A的身份联合服务,使用其在域A中的身份UIDA进行认证;
2、认证通过后,身份联合服务询问用户域进行身份联合的目标域;
3、用户选择目标域B,域A的身份联合服务生成一个假名PSEU,并向身份联合数据库内添加一条记录,该记录包含目标域标识DIDB,UIDA和PSEU,然后将用户请求转发至域B的身份联合服务,请求内包含域A的标识DIDA和PSEU;
4、用户使用其在域B中的身份UIDB进行认证;
5、认证通过后,域B内的身份联合服务在身份联合数据库中添加一条记录,包含域A的标识DIDA,UIDB和PSEU,然后将用户重定向回域A;
6、域A向用户返回身份联合成功的响应,身份联合建立过程结束。
用户使用联合身份进行访问的具体过程如下:
1、当用户访问域A时,如果用户已经在域B登录,则域B的AMC构件调用IFC构件检查用户与域A的联合身份,然后获取联合假名PSEU,并用概率加密算法进行加密,更新用户对象中的联合假名信息。然后AMC构件发布认证断言,将用户重定向至域A。
2、域A的AMC构件接到用户请求,从中获得域B发布的认证断言,解析并判断是否为身份联合用户。如果是,就调用IFC构件,对断言中的加密后假名进行解密,然后查询数据库,获得用户真名,建立用户对象,记录用户信息。将用户对象交给AMC构件继续处理。
Claims (9)
1.一种跨域认证方法,包括下列步骤:
a.用户向目标域中的目标应用系统发送访问请求;
b.所述目标应用系统检测其缓存中是否存在该用户的认证信息,若是,则允许访问;若否,则交由该目标域的身份认证系统进行认证;
c.所述目标域的身份认证系统检测其缓存中是否存在该用户的认证信息,若是,则将其发送至所述目标应用系统后执行步骤g;若否,则由域定位系统作后续处理;
d.所述域定位系统根据其维护的信息确定用户域或由用户选择用户域后,交由用户域的身份认证系统进行认证;
e.所述用户域的身份认证系统检测其缓存中是否存在该用户的认证信息,若是,则从缓存中获得该认证信息;若否,则由用户选择系统支持的认证方式进行身份认证,获得并缓存用户认证信息;所述用户域的身份认证系统将认证信息发送至目标域的身份认证系统;
f.所述目标域的身份认证系统缓存该认证信息,并将其发送至所述目标应用系统;
g.所述目标应用系统缓存该认证信息,确认该认证信息可信后允许用户访问。
2.如权利要求1所述的跨域认证方法,其特征在于,所述认证信息包括用户名,且,
在步骤e中,用户域的身份认证系统在将认证信息发送至目标域的身份认证系统前,查询该用户是否建立联合身份,若是,则将认证信息中的用户名替换成对应的联合假名;
其中,所述联合身份通过分别在目标域和用户域的身份认证系统中储存包含本域用户名,联合假名和对方域的域标识的数据组合而建立。
3.如权利要求1所述的跨域认证方法,其特征在于,所述认证信息包括用户名,且,
在步骤e中,用户域的身份认证系统在将认证信息发送至目标域的身份认证系统前,建立并维护和所述用户名对应的假名,然后将认证信息中的用户名替换成所述的假名。
4.如权利要求1所述的跨域认证方法,其特征在于,所述认证信息包括用户的属性信息。
5.如权利要求1所述的跨域认证方法,其特征在于,所述认证信息包括用户名,且在步骤g)之后,还包括下列步骤:
h.用户请求访问所述目标应用系统上的资源;
i.所述目标应用系统检测其缓存中是否存在该用户的特定属性的属性信息,若是,则获取所述属性信息后判断是否允许访问;若否,则交由目标域的身份认证系统查询所述属性信息;
j.目标域的身份认证系统将所述特定属性映射为用户域对应的属性后向用户域的身份认证系统查询所述用户域属性;
k.用户域的身份认证系统获得所述用户域属性的属性信息后将其发送给目标域的身份认证系统;
1.目标域的身份认证系统将收到的属性信息转化为本域应用系统所需的目标域属性信息,并将其发送给所述应用系统;
m.所述应用系统根据所述目标域属性信息判断是否允许访问。
6.一种跨域认证系统,包括一个域定位系统,和该域定位系统数据连接的一个或多个身份认证系统,以及一个或多个应用系统,每个应用系统上均含有一个认证状态过滤插件,其特征在于,各个身份认证系统只和该身份认证系统所在的域内部的一个或多个应用系统数据连接,一个域只包含一个身份认证系统;
其中,
身份认证系统负责本域内的用户认证及认证信息维护,包括认证管理构件和可插拔认证构件;
认证管理构件提供认证的整体框架,负责各构件的组装与调用;
可插拔认证构件实现对用户的认证,支持多种认证方式;
认证状态过滤插件实现用户访问请求的过滤;
域定位系统实现各域的身份认证系统之间的相互定位,并维护用户的用户域列表。
7.如权利要求6所述的跨域认证系统,其特征在于,身份认证系统还包括属性查询构件,其接受查询请求并查询用户的各项属性。
8.如权利要求6所述的跨域认证系统,其特征在于,身份认证系统还包括匿名访问构件,其实现用户假名的生成,维护用户名和假名之间的对应列表,提供用户名和假名查询。
9.如权利要求6所述的跨域认证系统,其特征在于,身份认证系统还包括身份联合构件,其实现用户在各域间的身份联合,以及身份联合关系的删除和查询。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008102268457A CN101399671B (zh) | 2008-11-18 | 2008-11-18 | 一种跨域认证方法及其系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008102268457A CN101399671B (zh) | 2008-11-18 | 2008-11-18 | 一种跨域认证方法及其系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101399671A true CN101399671A (zh) | 2009-04-01 |
| CN101399671B CN101399671B (zh) | 2011-02-02 |
Family
ID=40517953
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008102268457A Expired - Fee Related CN101399671B (zh) | 2008-11-18 | 2008-11-18 | 一种跨域认证方法及其系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101399671B (zh) |
Cited By (43)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102045166A (zh) * | 2009-10-13 | 2011-05-04 | 中国移动通信集团福建有限公司 | 单点登录的方法及系统 |
| CN102215107A (zh) * | 2010-04-12 | 2011-10-12 | 中兴通讯股份有限公司 | 一种实现身份管理互操作的方法及系统 |
| CN102299802A (zh) * | 2011-09-02 | 2011-12-28 | 深圳中兴网信科技有限公司 | 一种跨域的单点登录实现方法 |
| CN102316080A (zh) * | 2010-06-30 | 2012-01-11 | 百度在线网络技术(北京)有限公司 | 支持中心认证服务在同一主域下的匿名验证功能 |
| CN102823218A (zh) * | 2010-02-19 | 2012-12-12 | 诺基亚公司 | 用于身份联合网关的方法和装置 |
| CN102857501A (zh) * | 2012-08-28 | 2013-01-02 | 曙光信息产业(北京)有限公司 | 一种用户身份认证系统及其认证方法 |
| WO2013040957A1 (zh) * | 2011-09-20 | 2013-03-28 | 中兴通讯股份有限公司 | 单点登录的方法、系统和信息处理方法、系统 |
| CN103209168A (zh) * | 2013-01-30 | 2013-07-17 | 广东欧珀移动通信有限公司 | 一种实现单点登录的方法和系统 |
| CN103312675A (zh) * | 2012-03-13 | 2013-09-18 | 中国科学院软件研究所 | 一种面向属性保护的数字身份服务方法及其系统 |
| CN103414684A (zh) * | 2013-06-05 | 2013-11-27 | 华南理工大学 | 一种单点登录方法及系统 |
| CN103795530A (zh) * | 2012-10-31 | 2014-05-14 | 华为技术有限公司 | 一种跨域控制器认证的方法、装置及主机 |
| CN103929422A (zh) * | 2014-04-08 | 2014-07-16 | 北京工业大学 | 基于sdn的可信域间安全认证协议 |
| US8910300B2 (en) | 2010-12-30 | 2014-12-09 | Fon Wireless Limited | Secure tunneling platform system and method |
| CN104281801A (zh) * | 2014-10-28 | 2015-01-14 | 杭州东方通信软件技术有限公司 | 单点登录控制方法和装置 |
| CN102045329B (zh) * | 2009-10-22 | 2015-02-04 | 中国移动通信集团公司 | 一种单点登录方法、登录发起终端、目标终端和验证中心 |
| US9125170B2 (en) | 2006-04-12 | 2015-09-01 | Fon Wireless Limited | Linking existing Wi-Fi access points into unified network |
| CN105187426A (zh) * | 2015-09-06 | 2015-12-23 | 北京京东尚科信息技术有限公司 | 用于基于认证信息实现跨域访问的方法和系统 |
| CN105472613A (zh) * | 2016-01-15 | 2016-04-06 | 上海斐讯数据通信技术有限公司 | 认证请求接收方法和系统及用户端和ap |
| CN105991602A (zh) * | 2015-02-26 | 2016-10-05 | 北京神州泰岳信息安全技术有限公司 | 数据访问方法及数据访问系统 |
| CN106161361A (zh) * | 2015-04-03 | 2016-11-23 | 北京神州泰岳软件股份有限公司 | 一种跨域资源的访问方法及装置 |
| CN106169053A (zh) * | 2015-05-18 | 2016-11-30 | 株式会社理光 | 信息处理装置、信息处理方法以及信息处理系统 |
| CN106341428A (zh) * | 2016-11-21 | 2017-01-18 | 航天信息股份有限公司 | 一种跨域访问控制方法和系统 |
| CN103873237B (zh) * | 2012-12-17 | 2017-02-08 | 上海格尔软件股份有限公司 | 基于pki体系的应用系统相互之间用户公钥证书查询方法 |
| CN106856476A (zh) * | 2015-12-08 | 2017-06-16 | 佳能株式会社 | 授权服务器和认证协作系统 |
| US9826102B2 (en) | 2006-04-12 | 2017-11-21 | Fon Wireless Limited | Linking existing Wi-Fi access points into unified network for VoIP |
| CN108055137A (zh) * | 2017-12-25 | 2018-05-18 | 山东渔翁信息技术股份有限公司 | 身份认证方法及装置 |
| CN108304207A (zh) * | 2018-03-01 | 2018-07-20 | 上海找钢网信息科技股份有限公司 | 混合app应用程序的资源更新方法及系统 |
| CN108476216A (zh) * | 2016-03-31 | 2018-08-31 | 甲骨文国际公司 | 用于集成事务中间件平台与集中式访问管理器用于在企业级计算环境中的单点登录的系统和方法 |
| CN108989270A (zh) * | 2017-06-02 | 2018-12-11 | 华为技术有限公司 | 认证方法、设备以及系统 |
| CN109145039A (zh) * | 2017-12-25 | 2019-01-04 | 北极星云空间技术股份有限公司 | 一种适用于联邦制工作流集成的ui桥接的方法 |
| CN109450890A (zh) * | 2018-11-02 | 2019-03-08 | 北京京东金融科技控股有限公司 | 单点登录的方法和装置 |
| CN110086784A (zh) * | 2019-04-10 | 2019-08-02 | 广州热点软件科技股份有限公司 | 访问认证方法、系统、装置、设备和存储介质 |
| CN110502880A (zh) * | 2019-07-30 | 2019-11-26 | 同济大学 | 一种基于属性聚合的异构身份关联方法 |
| CN110769001A (zh) * | 2019-11-01 | 2020-02-07 | 北京天融信网络安全技术有限公司 | 一种跨域认证方法和跨域访问方法 |
| CN111010376A (zh) * | 2019-11-28 | 2020-04-14 | 国网河南省电力公司信息通信公司 | 基于主从链的物联网认证系统及方法 |
| CN111062837A (zh) * | 2019-10-30 | 2020-04-24 | 安徽皖新金智教育科技有限公司 | 一种基于校园的智能管理系统及其方法 |
| CN111193712A (zh) * | 2019-12-03 | 2020-05-22 | 云深互联(北京)科技有限公司 | 一种基于企业浏览器的代理访问方法和装置 |
| CN111355745A (zh) * | 2020-03-12 | 2020-06-30 | 西安电子科技大学 | 基于边缘计算网络架构的跨域身份认证方法 |
| CN111447282A (zh) * | 2020-03-31 | 2020-07-24 | 北京百度网讯科技有限公司 | 用于确定传输路径的方法和装置 |
| CN113259394A (zh) * | 2021-07-05 | 2021-08-13 | 北京小鸟科技股份有限公司 | 基于路由计算的跨域用户认证方法、系统、设备 |
| WO2021184219A1 (zh) * | 2020-03-17 | 2021-09-23 | Oppo广东移动通信有限公司 | 连接云端的方法和终端设备 |
| WO2023010608A1 (zh) * | 2021-08-02 | 2023-02-09 | 中国科学院深圳先进技术研究院 | 一种跨域安全交互方法、系统、终端以及存储介质 |
| CN117407855A (zh) * | 2023-12-14 | 2024-01-16 | 四川数产范式科技有限公司 | 基于维度投影的统一用户认证方法、系统、设备及介质 |
-
2008
- 2008-11-18 CN CN2008102268457A patent/CN101399671B/zh not_active Expired - Fee Related
Cited By (73)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10728396B2 (en) | 2006-04-12 | 2020-07-28 | Fon Wireless Limited | Unified network of Wi-Fi access points |
| US9826102B2 (en) | 2006-04-12 | 2017-11-21 | Fon Wireless Limited | Linking existing Wi-Fi access points into unified network for VoIP |
| US9125170B2 (en) | 2006-04-12 | 2015-09-01 | Fon Wireless Limited | Linking existing Wi-Fi access points into unified network |
| US10291787B2 (en) | 2006-04-12 | 2019-05-14 | Fon Wireless Limited | Unified network of Wi-Fi access points |
| CN102045166B (zh) * | 2009-10-13 | 2014-07-02 | 中国移动通信集团福建有限公司 | 单点登录的方法及系统 |
| CN102045166A (zh) * | 2009-10-13 | 2011-05-04 | 中国移动通信集团福建有限公司 | 单点登录的方法及系统 |
| CN102045329B (zh) * | 2009-10-22 | 2015-02-04 | 中国移动通信集团公司 | 一种单点登录方法、登录发起终端、目标终端和验证中心 |
| US9660975B2 (en) | 2010-02-19 | 2017-05-23 | Nokia Technologies Oy | Method and apparatus for identity federation gateway |
| CN102823218B (zh) * | 2010-02-19 | 2016-09-21 | 诺基亚技术有限公司 | 用于身份联合网关的方法和装置 |
| CN102823218A (zh) * | 2010-02-19 | 2012-12-12 | 诺基亚公司 | 用于身份联合网关的方法和装置 |
| US9325693B2 (en) | 2010-02-19 | 2016-04-26 | Nokia Technologies Oy | Method and apparatus for identity federation gateway |
| US10257183B2 (en) | 2010-02-19 | 2019-04-09 | Nokia Technologies Oy | Method and apparatus for identity federation gateway |
| CN102215107A (zh) * | 2010-04-12 | 2011-10-12 | 中兴通讯股份有限公司 | 一种实现身份管理互操作的方法及系统 |
| CN102215107B (zh) * | 2010-04-12 | 2015-09-16 | 中兴通讯股份有限公司 | 一种实现身份管理互操作的方法及系统 |
| CN102316080A (zh) * | 2010-06-30 | 2012-01-11 | 百度在线网络技术(北京)有限公司 | 支持中心认证服务在同一主域下的匿名验证功能 |
| CN102316080B (zh) * | 2010-06-30 | 2016-06-01 | 百度在线网络技术(北京)有限公司 | 支持中心认证服务在同一主域下的匿名验证功能 |
| US8910300B2 (en) | 2010-12-30 | 2014-12-09 | Fon Wireless Limited | Secure tunneling platform system and method |
| US9015855B2 (en) | 2010-12-30 | 2015-04-21 | Fon Wireless Limited | Secure tunneling platform system and method |
| CN102299802A (zh) * | 2011-09-02 | 2011-12-28 | 深圳中兴网信科技有限公司 | 一种跨域的单点登录实现方法 |
| CN106254386B (zh) * | 2011-09-20 | 2019-07-05 | 中兴通讯股份有限公司 | 一种信息处理方法和名字映射服务器 |
| CN103023856B (zh) * | 2011-09-20 | 2018-07-13 | 中兴通讯股份有限公司 | 单点登录的方法、系统和信息处理方法、系统 |
| CN106254386A (zh) * | 2011-09-20 | 2016-12-21 | 中兴通讯股份有限公司 | 一种信息处理方法和名字映射服务器 |
| CN103023856A (zh) * | 2011-09-20 | 2013-04-03 | 中兴通讯股份有限公司 | 单点登录的方法、系统和信息处理方法、系统 |
| WO2013040957A1 (zh) * | 2011-09-20 | 2013-03-28 | 中兴通讯股份有限公司 | 单点登录的方法、系统和信息处理方法、系统 |
| CN103312675B (zh) * | 2012-03-13 | 2016-05-18 | 中国科学院软件研究所 | 一种面向属性保护的数字身份服务方法及其系统 |
| CN103312675A (zh) * | 2012-03-13 | 2013-09-18 | 中国科学院软件研究所 | 一种面向属性保护的数字身份服务方法及其系统 |
| CN102857501A (zh) * | 2012-08-28 | 2013-01-02 | 曙光信息产业(北京)有限公司 | 一种用户身份认证系统及其认证方法 |
| CN103795530B (zh) * | 2012-10-31 | 2017-11-03 | 华为技术有限公司 | 一种跨域控制器认证的方法、装置及主机 |
| CN103795530A (zh) * | 2012-10-31 | 2014-05-14 | 华为技术有限公司 | 一种跨域控制器认证的方法、装置及主机 |
| CN103873237B (zh) * | 2012-12-17 | 2017-02-08 | 上海格尔软件股份有限公司 | 基于pki体系的应用系统相互之间用户公钥证书查询方法 |
| CN103209168A (zh) * | 2013-01-30 | 2013-07-17 | 广东欧珀移动通信有限公司 | 一种实现单点登录的方法和系统 |
| CN103414684A (zh) * | 2013-06-05 | 2013-11-27 | 华南理工大学 | 一种单点登录方法及系统 |
| CN103929422A (zh) * | 2014-04-08 | 2014-07-16 | 北京工业大学 | 基于sdn的可信域间安全认证协议 |
| CN103929422B (zh) * | 2014-04-08 | 2017-01-25 | 北京工业大学 | 基于sdn的可信域间安全认证协议 |
| CN104281801B (zh) * | 2014-10-28 | 2018-07-13 | 杭州东方通信软件技术有限公司 | 单点登录控制方法和装置 |
| CN104281801A (zh) * | 2014-10-28 | 2015-01-14 | 杭州东方通信软件技术有限公司 | 单点登录控制方法和装置 |
| CN105991602A (zh) * | 2015-02-26 | 2016-10-05 | 北京神州泰岳信息安全技术有限公司 | 数据访问方法及数据访问系统 |
| CN106161361A (zh) * | 2015-04-03 | 2016-11-23 | 北京神州泰岳软件股份有限公司 | 一种跨域资源的访问方法及装置 |
| CN106161361B (zh) * | 2015-04-03 | 2018-10-02 | 北京神州泰岳软件股份有限公司 | 一种跨域资源的访问方法及装置 |
| CN106169053A (zh) * | 2015-05-18 | 2016-11-30 | 株式会社理光 | 信息处理装置、信息处理方法以及信息处理系统 |
| US10114959B2 (en) | 2015-05-18 | 2018-10-30 | Ricoh Company, Ltd. | Information processing apparatus, information processing method, and information processing system |
| CN105187426A (zh) * | 2015-09-06 | 2015-12-23 | 北京京东尚科信息技术有限公司 | 用于基于认证信息实现跨域访问的方法和系统 |
| CN105187426B (zh) * | 2015-09-06 | 2018-05-04 | 北京京东尚科信息技术有限公司 | 用于基于认证信息实现跨域访问的方法和系统 |
| CN106856476A (zh) * | 2015-12-08 | 2017-06-16 | 佳能株式会社 | 授权服务器和认证协作系统 |
| CN106856476B (zh) * | 2015-12-08 | 2020-10-30 | 佳能株式会社 | 授权服务器和认证协作系统 |
| CN105472613A (zh) * | 2016-01-15 | 2016-04-06 | 上海斐讯数据通信技术有限公司 | 认证请求接收方法和系统及用户端和ap |
| CN105472613B (zh) * | 2016-01-15 | 2020-06-19 | 上海斐讯数据通信技术有限公司 | 认证请求接收方法和系统及用户端和ap |
| CN108476216B (zh) * | 2016-03-31 | 2021-01-22 | 甲骨文国际公司 | 用于集成事务中间件平台与集中式访问管理器用于在企业级计算环境中的单点登录的系统和方法 |
| CN108476216A (zh) * | 2016-03-31 | 2018-08-31 | 甲骨文国际公司 | 用于集成事务中间件平台与集中式访问管理器用于在企业级计算环境中的单点登录的系统和方法 |
| CN106341428A (zh) * | 2016-11-21 | 2017-01-18 | 航天信息股份有限公司 | 一种跨域访问控制方法和系统 |
| CN108989270A (zh) * | 2017-06-02 | 2018-12-11 | 华为技术有限公司 | 认证方法、设备以及系统 |
| CN109145039A (zh) * | 2017-12-25 | 2019-01-04 | 北极星云空间技术股份有限公司 | 一种适用于联邦制工作流集成的ui桥接的方法 |
| CN108055137A (zh) * | 2017-12-25 | 2018-05-18 | 山东渔翁信息技术股份有限公司 | 身份认证方法及装置 |
| CN108304207A (zh) * | 2018-03-01 | 2018-07-20 | 上海找钢网信息科技股份有限公司 | 混合app应用程序的资源更新方法及系统 |
| CN109450890A (zh) * | 2018-11-02 | 2019-03-08 | 北京京东金融科技控股有限公司 | 单点登录的方法和装置 |
| CN110086784B (zh) * | 2019-04-10 | 2021-09-14 | 广州热点软件科技股份有限公司 | 访问认证方法、系统、装置、设备和存储介质 |
| CN110086784A (zh) * | 2019-04-10 | 2019-08-02 | 广州热点软件科技股份有限公司 | 访问认证方法、系统、装置、设备和存储介质 |
| CN110502880A (zh) * | 2019-07-30 | 2019-11-26 | 同济大学 | 一种基于属性聚合的异构身份关联方法 |
| CN111062837A (zh) * | 2019-10-30 | 2020-04-24 | 安徽皖新金智教育科技有限公司 | 一种基于校园的智能管理系统及其方法 |
| CN110769001B (zh) * | 2019-11-01 | 2022-05-17 | 北京天融信网络安全技术有限公司 | 一种跨域认证方法和跨域访问方法 |
| CN110769001A (zh) * | 2019-11-01 | 2020-02-07 | 北京天融信网络安全技术有限公司 | 一种跨域认证方法和跨域访问方法 |
| CN111010376A (zh) * | 2019-11-28 | 2020-04-14 | 国网河南省电力公司信息通信公司 | 基于主从链的物联网认证系统及方法 |
| CN111010376B (zh) * | 2019-11-28 | 2022-01-21 | 国网河南省电力公司信息通信公司 | 基于主从链的物联网认证系统及方法 |
| CN111193712A (zh) * | 2019-12-03 | 2020-05-22 | 云深互联(北京)科技有限公司 | 一种基于企业浏览器的代理访问方法和装置 |
| CN111355745A (zh) * | 2020-03-12 | 2020-06-30 | 西安电子科技大学 | 基于边缘计算网络架构的跨域身份认证方法 |
| WO2021184219A1 (zh) * | 2020-03-17 | 2021-09-23 | Oppo广东移动通信有限公司 | 连接云端的方法和终端设备 |
| CN111447282A (zh) * | 2020-03-31 | 2020-07-24 | 北京百度网讯科技有限公司 | 用于确定传输路径的方法和装置 |
| CN111447282B (zh) * | 2020-03-31 | 2022-06-07 | 北京百度网讯科技有限公司 | 用于确定传输路径的方法和装置 |
| CN113259394A (zh) * | 2021-07-05 | 2021-08-13 | 北京小鸟科技股份有限公司 | 基于路由计算的跨域用户认证方法、系统、设备 |
| CN113259394B (zh) * | 2021-07-05 | 2021-09-28 | 北京小鸟科技股份有限公司 | 基于路由计算的跨域用户认证方法、系统、设备 |
| WO2023010608A1 (zh) * | 2021-08-02 | 2023-02-09 | 中国科学院深圳先进技术研究院 | 一种跨域安全交互方法、系统、终端以及存储介质 |
| CN117407855A (zh) * | 2023-12-14 | 2024-01-16 | 四川数产范式科技有限公司 | 基于维度投影的统一用户认证方法、系统、设备及介质 |
| CN117407855B (zh) * | 2023-12-14 | 2024-02-09 | 四川数产范式科技有限公司 | 基于维度投影的统一用户认证方法、系统、设备及介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101399671B (zh) | 2011-02-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101399671B (zh) | 一种跨域认证方法及其系统 | |
| CN102638454B (zh) | 一种面向http身份鉴别协议的插件式单点登录集成方法 | |
| CN100542092C (zh) | 分布式多级安全访问控制方法 | |
| CN109936569A (zh) | 一种基于以太坊区块链的去中心化数字身份登录管理系统 | |
| US10182074B2 (en) | Techniques for virtual representational state transfer (REST) interfaces | |
| KR100953092B1 (ko) | Sso서비스 방법 및 시스템 | |
| CN100461667C (zh) | 与异类联合体环境中验证声明相关的拥有证明操作方法和设备 | |
| JP5205380B2 (ja) | アプリケーションおよびインターネットベースのサービスに対する信頼されるシングル・サインオン・アクセスを提供するための方法および装置 | |
| US9172541B2 (en) | System and method for pool-based identity generation and use for service access | |
| CN106911627B (zh) | 一种基于eID的真实身份安全控制方法及其系统 | |
| CN106534199B (zh) | 大数据环境下基于xacml和saml的分布式系统认证与权限管理平台 | |
| US8938789B2 (en) | Information processing system, method for controlling information processing system, and storage medium | |
| JP5292712B2 (ja) | 認証連携システム、中継装置、認証連携方法および認証連携プログラム | |
| Madsen et al. | Federated identity management for protecting users from ID theft | |
| CN101321064A (zh) | 一种基于数字证书技术的信息系统的访问控制方法及装置 | |
| CN104539615A (zh) | 基于cas的级联认证方法 | |
| CN102025495A (zh) | 基于saml2.0的身份认证和管理 | |
| US20160212123A1 (en) | System and method for providing a certificate by way of a browser extension | |
| KR20050054081A (ko) | 보안 정보 통합 관리 시스템 및 그 방법 | |
| JP4847483B2 (ja) | 個人属性情報提供システムおよび個人属性情報提供方法 | |
| Pinter et al. | Towards a multi-party, blockchain-based identity verification solution to implement clear name laws for online media platforms | |
| CN108243164B (zh) | 一种电子政务云计算跨域访问控制方法和系统 | |
| Chen et al. | Design of web service single sign-on based on ticket and assertion | |
| Xiaorong | Cross-domain authentication model in SOA based on enterprise service bus | |
| Milenković et al. | Using Kerberos protocol for single sign-on in identity management systems |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20110202 Termination date: 20171118 |