CN101938465B - 基于webservice认证的方法及系统 - Google Patents

基于webservice认证的方法及系统 Download PDF

Info

Publication number
CN101938465B
CN101938465B CN 201010225399 CN201010225399A CN101938465B CN 101938465 B CN101938465 B CN 101938465B CN 201010225399 CN201010225399 CN 201010225399 CN 201010225399 A CN201010225399 A CN 201010225399A CN 101938465 B CN101938465 B CN 101938465B
Authority
CN
China
Prior art keywords
user
information
service server
authentication
service
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN 201010225399
Other languages
English (en)
Other versions
CN101938465A (zh
Inventor
崔俊生
邓向冬
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Planning Institute of Radio and Television of the State Administration of Radio and Television
Original Assignee
ACADEMY OF BROADCASTING AND TV PLANNING SARFT
BEIJING TIDYCAST Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ACADEMY OF BROADCASTING AND TV PLANNING SARFT, BEIJING TIDYCAST Co Ltd filed Critical ACADEMY OF BROADCASTING AND TV PLANNING SARFT
Priority to CN 201010225399 priority Critical patent/CN101938465B/zh
Publication of CN101938465A publication Critical patent/CN101938465A/zh
Application granted granted Critical
Publication of CN101938465B publication Critical patent/CN101938465B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Computer And Data Communications (AREA)
  • Storage Device Security (AREA)

Abstract

本发明的实施例提出了一种基于webservice认证的方法,包括以下步骤:用户输入用户名称和口令,向认证服务设备发送信息,指示所述用户需要请求的业务;所述认证服务设备向所述用户发送反馈信息,所述反馈信息通过所述认证服务设备与所述用户共享的密钥进行加密;所述用户利用用户输入的口令生成的解密密钥解密所述反馈信息,以及所述用户根据所述反馈信息访问相应的业务服务器,所述业务服务器对所述用户进行认证。本发明实施例另一方面还提出了一种基于webservice认证的系统。本发明提出的上述方案,通过第三方的认证机制,统一对用户的单点登录进行安全认证,实现用户以一个用户名密码安全地对多个webservice服务器的访问。

Description

基于webservice认证的方法及系统
技术领域
本发明涉及网络通信领域,具体而言,本发明涉及基于webservice认证的方法及系统。
背景技术
webservice是由企业发布的完成其特定商务需求的在线应用服务,其他公司或应用软件能够通过Internet来访问并使用这项在线服务。它是一种构建应用程序的普遍模型,可以在任何支持网络通信的操作系统中实施运行,它是自包含、自描述、模块化的应用,可以发布、定位、通过web调用的应用程序。具体而言,webservice是一个应用组件,它逻辑性的为其他应用程序提供数据与服务。各应用程序通过网络协议和规定的一些标准数据格式,例如HTTP(Hypertext Transfer Protocol,超文本传输协议)、XML(Extensible Markup Language,可扩展标记语言)、SOAP(Simple ObjectAccess Protocol,简单对象访问协议)等来访问webservice,通过webservice内部执行得到所需结果。webservice可以执行从简单的请求到复杂商务处理的任何功能。一旦部署以后,其他webservice应用程序可以发现并调用它部署的服务。
目前,现在电视台内广泛是由基于webservice的MSB(Media ServiceBus,媒体服务总线)来集成多个厂家的系统,其中每一个厂家都提供不止一个webservice服务。同时为了管理方便,又需要实现单点登录,但是由于webservice协议没有提供可以实现基于多webservice服务的单点登录机制,因此一些厂家就提供了基于LDAP(Lightweight Directory AccessProtocol,轻量目录访问协议)服务的、用户名、密码明码传输的认证单点登录机制,具体如图1所示:
第一个消息是客户端通过SOAP发送明码的用户、密码;
第二消息认证服务器返回一个令牌token;
第三个消息是客户端可以发送这个token去获取服务;
第四个消息是webservice服务去认证服务器验证此token的合法性。
所谓单点登录是指用户在一个程序登录一次后,访问任何有授权的服务都不需再输入口令。但是,上述机制存在以下问题:
用户名、密码是明码传输,很容易在传输环节被获取,而且系统本身有消息的日志功能,有系统维护权限的人员可以通过消息获得其他人的用户名和密码;
token没有时间标记,没有防御重放攻击的能力。
从上面可以总结得出,目前webservice的认证方案一般都是基于http协议的认证,而基于http协议的认证只能实现单个webservice服务的认证,即每个webservice服务需要保存一份用户名、密码、权限等信息,不能实现多个webservice服务的统一认证。
在webservice调用时调用的参数是在XML文件中的文本文件,很容易被截获,发生用户口令窃用或者重放攻击。
同时鉴于webservice调用的SOAP封装是在HTTP协议上传输,因此webservice对于基于状态的调用支持并不友好。而且如果一个程序需要多次请求一个或者多个需认证的服务,而每一个服务独自维护一个用户权限列表,则需要程序的用户多次输入不同的用户名和口令,同时需维护不同服务的登录状态。这使得用户使用中需要根据不同的服务输入不同口令,造成用户使用极为不便,而且使得系统的权限管理极为复杂。
因此,有必要提出一种高效安全的单点登录的安全认证方案,实现用户对服务器的访问。
发明内容
本发明的目的旨在至少解决上述技术缺陷之一,特别对通过第三方的认证机制,统一对用户的单点登录进行安全认证,实现用户对服务器的访问。
为了达到上述目的,本发明的实施例一方面提出了一种基于webservice认证的方法,包括以下步骤:
用户输入用户名称和口令,向认证服务设备发送信息,指示所述用户需要请求的业务;所述认证服务设备向所述用户发送反馈信息,所述反馈信息通过所述认证服务设备与所述用户共享的密钥进行加密;所述用户利用用户输入的口令生成的解密密钥解密所述反馈信息,以及所述用户根据所述反馈信息访问相应的业务服务器,所述业务服务器对所述用户进行认证。
本发明实施例另一方面还提出了一种基于webservice认证的系统,包括认证服务设备、业务服务器以及至少一个用户,
所述用户,用于接收用户名称和口令,向所述认证服务设备发送信息,指示所述用户需要请求的业务,以及利用用户输入的口令生成的解密密钥解密认证服务设备发送的反馈信息;所述认证服务设备,用于向所述用户发送反馈信息,所述反馈信息通过所述认证服务设备与所述用户共享的密钥进行加密;所述业务服务器,用于当所述用户根据所述反馈信息访问所述业务服务器时,所述业务服务器对所述用户进行认证。
本发明提出的上述方案,通过第三方的认证机制,统一对用户的单点登录进行安全认证,实现用户用一个用户名密码安全对多个webservice服务的访问。此外,本发明提出的上述方案,可以通过软件库,分别部署在客户端、认证服务设备、webservice服务器上,作为插件很容易的部署在系统上,对现有系统的改动很小,不会影响系统的兼容性,而且实现简单、高效。
本发明附加的方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
本发明上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解,其中:
图1为现有技术中的认证机制;
图2为本发明实施例基于webservice认证的方法流程图;
图3为本发明实施例基于webservice认证的系统结构示意图;
图4为用户注册示意图;
图5为服务请求认证示意图。
具体实施方式
下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,仅用于解释本发明,而不能解释为对本发明的限制。
本发明提出认证方案的基本原理是基于第三方信任的机制,为了便于理,便于理解拟人化说明如下,其中甲相当于认证服务设备,乙相当于访问业务的用户,丙相当于业务服务器:
(1)甲、乙、丙三人,乙信任甲,且乙与甲共享一个其他人所不知的密钥,使用该密钥封装的信息,除甲乙二人可以打开看到真实内容外,甲乙二人以外任何人不能看到该真实内容,除非有人知道甲、乙二人共享的密钥;同样丙信任甲,且丙与甲共享一个其他人所不知的密钥,该密钥封装信息的内容也只有丙与甲才可以看到其真实的内容;甲可以控制乙对丙的访问权限;
(2)乙请向丙请求服务前,乙告诉甲“我要向丙请求服务”;
(3)甲用甲、乙共享的密钥封装一个信息返回给乙,该信息包括如下信息:
(a)用甲、丙共享密钥封装的信息,该信息包括内容有乙的身份信息、乙请求丙服务内容的信息、暂时分配一个乙与丙共享的会话密钥、该共享会话密钥的过期时间等;
(b)乙请求丙服务内容的信息、暂时分配一个乙与丙共享的会话密钥、该共享会话密钥的过期时间;
(4)乙用甲、乙共享的密钥读取信息中内容,并且把以下信息发送给丙:
(a)乙从信息中读取的甲用甲与丙共享密钥封装的信息;
(b)不封装的乙的名称、当前时间、请求的服务;
(c)用甲分配的由乙与丙共享的会话密钥封装的信息,信息内的信息有当前时间等;
(5)丙用甲与丙共享的密钥读取通过乙转述的信息内容,得到乙与丙的暂时共享会话密钥及过期时间,还有乙请求的业务、乙的名字、乙请求的服务;
(6)丙用乙与丙的暂时共享密钥得到乙请求时的当前时间,丙通过比较不封装的乙的名称、当前时间、请求的服务与封装乙的名称、当前时间、请求的服务是否相同,来判断发送该消息的“乙”是否是真正的乙,而且是经过甲授权的乙。
基于上述原理,为了实现本发明之目的,如图2所示,本发明公开了一种基于webservice认证的方法,包括以下步骤:
步骤S110:用户向认证服务设备发送信息指示需要请求的业务。
在步骤S110中,用户向认证服务设备发送信息,指示用户需要请求的业务。
如果一个程序需要多次请求一个或者多个需认证的服务,用户可以一次性向认证服务设备发送信息,指示用户需要请求的业务,其后完成统一的认证。这样不需要每一个服务独自维护一个用户权限列表,也不需要用户多次输入不同的用户名和口令,不需要维护不同服务的登录状态,系统的权限管理也能简单化
步骤S120:认证服务设备向用户发送经过加密的反馈信息。
在步骤S120中,认证服务设备向用户发送反馈信息,反馈信息通过认证服务设备与用户共享的密钥进行加密。
具体而言,反馈信息包括:认证服务设备发送给业务服务器的信息,以及用户访问业务服务器的配置信息。
其中,认证服务设备发送给业务服务器的信息通过认证服务设备与业务服务器共享的密钥进行加密。
认证服务设备发送给业务服务器的信息包括以下一种或多种信息:
用户的身份信息,用户向业务服务器请求业务的信息,暂时分配的用户与业务服务器共享的会话密钥,以及用户与业务服务器共享的会话密钥的过期时间;
用户访问业务服务器的配置信息包括以下一种或多种信息:用户向业务服务器请求业务的信息,暂时分配的用户与业务服务器共享的会话密钥,以及用户与业务服务器共享的会话密钥的过期时间。
步骤S130:业务服务器对访问的用户进行认证。
在步骤S130中,用户根据所述反馈信息访问相应的业务服务器,业务服务器对用户进行认证。
具体而言,用户根据反馈信息访问相应的业务服务器包括:
用户向业务服务器转发认证服务设备发送给业务服务器的信息;
用户的身份信息,当前的时间信息,以及用户向业务服务器请求业务的信息;
通过暂时分配的用户与业务服务器共享的会话密钥会话加密的当前时间信息。
业务服务器对用户进行认证包括:
业务服务器通过认证服务设备与业务服务器共享的密钥读取认证服务设备通过用户转发给业务服务器的信息,以及通过用户与业务服务器共享的会话密钥读取当前时间信息;
将通过密钥获取的信息与没经过密钥加密的信息作比较,判断用户是否为合法用户。
如图3所示,本发明还公开了一种基于webservice认证的系统,包括认证服务设备110、业务服务器120以及至少一个用户130。
其中,用户130用于向认证服务设备110发送信息,指示用户130需要请求的业务。
认证服务设备110用于向用户130发送反馈信息,反馈信息通过认证服务设备110与用户130共享的密钥进行加密。
其中,反馈信息包括:认证服务设备110发送给业务服务器120的信息,以及用户130访问业务服务器120的配置信息。
而且,认证服务设备110通过用户转发给业务服务器120的信息通过认证服务设备110与业务服务器120共享的密钥进行加密。
认证服务设备110发送给业务服务器120的信息包括以下一种或多种信息:
用户130的身份信息,用户130向业务服务器120请求业务的信息,暂时分配的用户130与业务服务器120共享的会话密钥,以及用户130与业务服务器120共享的会话密钥的过期时间;
用户130访问业务服务器120的配置信息包括以下一种或多种信息:用户130向业务服务器120请求业务的信息,暂时分配的用户130与业务服务器120共享的会话密钥,以及用户130与业务服务器120共享的会话密钥的过期时间。
业务服务器120用于当用户130根据反馈信息访问业务服务器120时,业务服务器120对用户130进行认证。
具体而言,用户130根据反馈信息访问相应的业务服务器120包括:
用户130向业务服务器120转发认证服务设备110发送给业务服务器120的信息;
用户130的身份信息,当前的时间信息,以及用户130向业务服务器120请求业务的信息;
通过暂时分配的用户130与业务服务器120共享的会话密钥加密的当前时间信息。
业务服务器120对用户130进行认证包括:
业务服务器120通过认证服务设备110与业务服务器120共享的密钥读取认证服务设备110通过用户130转发给业务服务器120的信息,以及通过用户130与业务服务器120共享的会话密钥读取当前时间信息;
将通过密钥获取的信息与没经过密钥加密的信息作比较,判断用户130是否为合法用户130。
本发明提出的上述方法或设备,通过第三方的认证机制,统一对用户的单点登录进行安全认证,实现用户对服务器的访问。此外,本发明提出的上述方法或设备,可以通过软件库,分别部署在客户端、认证服务设备、webservice服务器上,作为插件很容易的部署在系统上,对现有系统的改动很小,不会影响系统的兼容性,而且实现简单、高效。
为了进一步阐述本发明,下面结合具体的例子,对本发明的具体应用做进一步阐述。
统一认证方案中有以下角色,如图4所示,分别定义如下:
用户:使用系统某一个功能的自然人或者一个程序,每一个用户都有一个用户名和登录口令,此用户名和登录口令在认证服务器经过认证;
客户端:是服务的客户端,用户通过客户端访问系统服务,用户在访问系统服务前,需要输入用户名和登录口令进行认证,图4中没示出。为了便于理解本发明,在后面的叙述中特意将用户和客户端分开,即用户指代人,客户端指代用户使用的终端,因此,这里的用户加客户端的完成的功能,等同于前面描述的用户、用户130的功能。
服务:提供服务的已经运行的程序。
认证服务设备:提供第三方信任的认证程序或设备。
系统中用户去认证服务器进行注册,注册内容必须包括用户名和登录口令这两个基本要素。同时对网络系统中每一个服务也要分配用户名和登录口令,并进行注册。
在认证服务器上可以配置用户对各个服务的访问权限。
这样针对每一个合法用户或者服务,在认证服务器上都有一个用户名和登录口令,这个用户名和登录口令对这有认证服务器和用户本身知道,其他用户和服务不能获得,即除认证服务器外,其他服务不能获得用户的登录口令。
在注册完成后,就可以进行统一认证服务。认证流程图如图2所示,具体流程包括:
(1)用户进入客户端程序时输入用户的名称和口令;
(2)客户端程序把用户名称和可能申请的服务以及申请服务的过期时间等信息生成“认证请求消息”,并发送给认证服务;
(3)认证服务查找用户是否存在,如果存在,读取用户口令,用散列后的用户口令作为密钥加密以下信息,生成“认证请求相应消息”并返回给客户端程序:
a)客户端认证信息;
b)检查用户是否具有请求服务的权限,如果具有权限,用被请求服务的口令散列后的密钥加密请求信息;
(4)客户端程序使用用户输入的口令,散列生成解密密钥解密“认证请求相应消息”,确认用户输入的口令是否正确,并且得到服务请求响应信息,根据响应信息有无可以判断用户对该服务是否具有访问权限。
(5)当用户需要访问服务时,生成“服务请求认证消息”,发送给服务程序,服务程序通过散列本身的口令生成的密码解密“服务请求认证消息”,从而判断请求是否有效。
认证流程中各个消息的严谨的形式化表达如下所述。
作为本发明的实施例,符号定义如下:
H(m):对数据m取SHA1散列,返回SHA1摘要值;
Ck(m):使用密钥k加密数据m,加密算法为AES 128,采用ECB方式加密,如果m不能被16整除,使用空格补齐;返回加密后的密文;
Dk(m):使用密钥k解密数据m,机密算法为AES128,m的加密方式采用ECB,解密后去掉明文末尾空格并返回;
UP:用户的登录口令,User Password;
SP:服务的登录口令,Service Password;
Sid:会话ID(SESSION_ID),8个字节的数字和字母的组合;
SK:会话密钥(SESSION_KEY),
UN:用户名User Name,不能含有空格、“,”字符;
SN:服务命名Service Name,不能含有空格、“,”字符;
ET:过期时间(Expire Time),字符格式的YYYY:MM:DD:HH:MM:SS
CT:当前时间(Current Time),字符格式的YYYY:MM:DD:HH:MM:SS(x,y):用“,”连接两个字符串x和y,输出为“x,y”;
BC(x):对数据x进行BASE64编码;
BD(x):对数据x进行基于BASE64的解码。
Rn:n个随机的0到9之间数,组成的随机数序列,使用ASCII编码字符串
认证请求消息
客户端向认证服务器发起认证请求,认证请求包括:客户端的用户名、客户端需要访问的服务的用户名列表、此次认证请求访问每个服务的有效期限;
认证请求消息的逻辑结构为
Figure GDA00002228115500101
认证响应消息
认证服务器接收到客户端的认证请求后,检查USER_NAME用户是否存在,如果存在则检查该用户的请求服务是否存在。然后返回认证响应消息给客户端。
认证响应消息的逻辑结构为
Figure GDA00002228115500102
服务请求认证消息
客户端获得认证响应消息后可以通过以下步骤计算:
CH(UP)(BC(CH(SP)(BC(SK),ET,UN)),BC(SK))=BD(BC(CH(UP)(BC(CH(SP)(BC(SK),ET,UN)),BC(SK))))
(BC(CH(SP)(BC(SK),ET,UN,Sid)),BC(SK))=DH(UP)(CH(UP)(BC(SK),ET,UN)),BC(SK)))SK=BD(BC(SK))
(R,Sid_A)=DH(UP)(CH(UP)(Rn,Sid_A))
客户端首先根据认证相应消息中Sid-A与(R,Sid_A)中Sid-A判断用户输入口令是否正确,根据设置如果用户输入的口令不正确,客户端可以禁止用户登录进行到客户端中。
当用户需要向某一个服务请求服务时,客户端根据需要请求服务的SN,找到对应的BC(CH(SP)(BC(SK),ET,UN,Sid))与SK。客户端向服务器发出带有以下认证内容的服务请求认证消息,服务请求认证消息内容的逻辑结构为:
(UN,CT,Sid,BC(CH(SP)(BC(SK),ET,UN,Sid))),BC(CSK(CT,R8)))
服务程序对服务请求认证消息的处理
服务程序获得认证内容后,进行以下运算
CH(SP)(BC(SK),ET,UN,Sid))=BD(BC(CH(SP)(BC(SK),ET,UN,Sid))))(BC(SK),ET,UN,Sid))=DH(SP)(CH(SP)(BC(SK),ET,UN,Sid)))
SK=BD(BC(SK))
(CSK(CT,R8))=BD(BC(CSK(CT,R8)))
(CT,R8)=DH(SK)(CSK(CT,R8))
服务器进行以上运算后,进行客户端认证:比较明码传输的CT与解密后的CT、明码传输的Sid与解密后的Sid、明码传输的UN与解密后的UN,如果全部相同则通过认证,否则不能通过认证。
在通过客户端认证后,要检查是否存在重放攻击:要验证CT与服务器当前时间的差别,如果差别超过5分钟则不能通过验证,如果CT与服务器时间当前差别不超过5分钟,但是在5分钟内接收到2个Sid、R8相同的认证内容,则认为是重放攻击,第二个不能通过认证。
认证消息的schema定义
为了使基于webservice系统的统一认证的灵活性,本统一认证方案并没有规定wsdl的接口,只是定义了统一认证方案的消息,任何webservice的接口可以包含这些消息。消息的schema定义如下:
Figure GDA00002228115500111
Figure GDA00002228115500121
Figure GDA00002228115500131
Figure GDA00002228115500141
本领域普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,该程序在执行时,包括方法实施例的步骤之一或其组合。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理模块中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。
上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。

Claims (12)

1.一种基于webservice认证的方法,其特征在于,包括以下步骤:
用户输入用户名称和口令,向认证服务设备发送认证请求信息,指示所述用户需要请求的业务;
所述认证服务设备向所述用户发送反馈信息,所述反馈信息通过所述认证服务设备与所述用户共享的密钥进行加密;
所述用户利用用户输入的口令生成的解密密钥解密所述反馈信息,以及所述用户根据所述反馈信息访问相应的业务服务器,所述业务服务器对所述用户进行认证。
2.如权利要求1所述的基于webservice认证的方法,其特征在于,所述反馈信息包括:所述认证服务设备发送给所述业务服务器的信息,以及所述用户访问所述业务服务器的配置信息。
3.如权利要求2所述的基于webservice认证的方法,其特征在于,所述认证服务设备发送给所述业务服务器的信息通过所述认证服务设备与所述业务服务器共享的密钥进行加密。
4.如权利要求3所述的基于webservice认证的方法,其特征在于,所述认证服务设备发送给所述业务服务器的信息包括以下一种或多种信息:
所述用户的身份信息,所述用户向所述业务服务器请求业务的信息,暂时分配的所述用户与所述业务服务器共享的会话密钥,以及所述用户与所述业务服务器共享的会话密钥的过期时间;
所述用户访问所述业务服务器的配置信息包括以下一种或多种信息:
所述用户向所述业务服务器请求业务的信息,暂时分配的所述用户与所述业务服务器共享的会话密钥,以及所述用户与所述业务服务器共享的会话密钥的过期时间。
5.如权利要求4所述的基于webservice认证的方法,其特征在于,所述用户根据所述反馈信息访问相应的业务服务器包括:
所述用户向所述业务服务器转发所述认证服务设备发送给所述业务服务器的信息;
所述用户向所述业务服务器不加密的发送所述用户的身份信息,当前的时间信息,以及所述用户向所述业务服务器请求业务的信息;
所述用户向所述业务服务器发送通过暂时分配的所述用户与所述业务服务器共享的会话密钥加密的当前时间信息。
6.如权利要求5所述的基于webservice认证的方法,其特征在于,所述业务服务器对所述用户进行认证包括:
所述业务服务器通过所述认证服务设备与所述业务服务器共享的密钥读取所述认证服务设备通过用户转发给所述业务服务器的信息,以及通过所述用户与所述业务服务器共享的会话密钥读取当前时间信息;
将通过密钥获取的信息与没经过密钥加密的信息作比较,判断所述用户是否为合法用户,其中没经过密钥加密的信息是指所述用户向所述业务服务器不加密的发送所述用户的身份信息,当前的时间信息,以及所述用户向所述业务服务器请求业务的信息。
7.一种基于webservice认证的系统,其特征在于,包括认证服务设备、业务服务器以及至少一个用户,
所述用户,用于接收用户名称和口令,向所述认证服务设备发送认证请求信息,指示所述用户需要请求的业务,以及利用用户输入的口令生成的解密密钥解密认证服务设备发送的反馈信息;
所述认证服务设备,用于向所述用户发送反馈信息,所述反馈信息通过所述认证服务设备与所述用户共享的密钥进行加密;
所述业务服务器,用于当所述用户根据所述反馈信息访问所述业务服务器时,所述业务服务器对所述用户进行认证。
8.如权利要求7所述的基于webservice认证的系统,其特征在于,所述反馈信息包括:所述认证服务设备发送给所述业务服务器的信息,以及所述用户访问所述业务服务器的配置信息。
9.如权利要求8所述的基于webservice认证的系统,其特征在于,所述认证服务设备通过用户转发给所述业务服务器的信息通过所述认证服务设备与所述业务服务器共享的密钥进行加密。
10.如权利要求9所述的基于webservice认证的系统,其特征在于,所述认证服务设备通过用户转发给所述业务服务器的信息包括以下一种或多种信息:
所述用户的身份信息,所述用户向所述业务服务器请求业务的信息,暂时分配的所述用户与所述业务服务器共享的会话密钥,以及所述用户与所述业务服务器共享的会话密钥的过期时间;
所述用户访问所述业务服务器的配置信息包括以下一种或多种信息:所述用户向所述业务服务器请求业务的信息,暂时分配的所述用户与所述业务服务器共享的会话密钥,以及所述用户与所述业务服务器共享的会话密钥的过期时间。
11.如权利要求10所述的基于webservice认证的系统,其特征在于,所述用户根据所述反馈信息访问相应的业务服务器包括:
所述用户向所述业务服务器转发所述认证服务设备发送给所述业务服务器的信息;
所述用户向所述业务服务器不加密的发送所述用户的身份信息,当前的时间信息,以及所述用户向所述业务服务器请求业务的信息;
所述用户向所述业务服务器发送通过暂时分配的所述用户与所述业务服务器共享的会话密钥加密的当前时间信息。
12.如权利要求11所述的基于webservice认证的系统,其特征在于,所述业务服务器对所述用户进行认证包括:
所述业务服务器通过所述认证服务设备与所述业务服务器共享的密钥读取所述认证服务设备通过用户转发给所述业务服务器的信息,以及通过所述用户与所述业务服务器共享的会话密钥读取当前时间信息;
将通过密钥获取的信息与没经过密钥加密的信息作比较,判断所述用户是否为合法用户,其中没经过密钥加密的信息是指所述用户向所述业务服务器不加密的发送所述用户的身份信息,当前的时间信息,以及所述用户向所述业务服务器请求业务的信息。
CN 201010225399 2010-07-05 2010-07-05 基于webservice认证的方法及系统 Active CN101938465B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN 201010225399 CN101938465B (zh) 2010-07-05 2010-07-05 基于webservice认证的方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN 201010225399 CN101938465B (zh) 2010-07-05 2010-07-05 基于webservice认证的方法及系统

Publications (2)

Publication Number Publication Date
CN101938465A CN101938465A (zh) 2011-01-05
CN101938465B true CN101938465B (zh) 2013-05-01

Family

ID=43391596

Family Applications (1)

Application Number Title Priority Date Filing Date
CN 201010225399 Active CN101938465B (zh) 2010-07-05 2010-07-05 基于webservice认证的方法及系统

Country Status (1)

Country Link
CN (1) CN101938465B (zh)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106254386B (zh) * 2011-09-20 2019-07-05 中兴通讯股份有限公司 一种信息处理方法和名字映射服务器
CN103634265B (zh) * 2012-08-20 2019-01-11 腾讯科技(深圳)有限公司 安全认证的方法、设备及系统
CN103795692B (zh) * 2012-10-31 2017-11-21 中国电信股份有限公司 开放授权方法、系统与认证授权服务器
CN104753881B (zh) * 2013-12-30 2019-03-26 格尔软件股份有限公司 一种基于软件数字证书和时间戳的WebService安全认证访问控制方法
CN105357196A (zh) * 2015-11-03 2016-02-24 北京铭嘉实咨询有限公司 网络登录方法与系统
CN107317787A (zh) * 2016-04-26 2017-11-03 北京京东尚科信息技术有限公司 服务授信方法、设备及系统
CN109413093A (zh) * 2018-11-23 2019-03-01 北京金山云网络技术有限公司 一种操作处理方法、装置、电子设备、存储介质及系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101060520A (zh) * 2006-04-21 2007-10-24 盛趣信息技术(上海)有限公司 基于Token的SSO认证系统
CN101155033A (zh) * 2006-09-26 2008-04-02 中兴通讯股份有限公司 一种确认客户端身份的方法
CN101222335A (zh) * 2008-02-02 2008-07-16 国电信息中心 一种应用系统间的级联认证方法及装置
CN101304318A (zh) * 2008-07-04 2008-11-12 任少华 安全的网络认证系统和方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7975139B2 (en) * 2001-05-01 2011-07-05 Vasco Data Security, Inc. Use and generation of a session key in a secure socket layer connection

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101060520A (zh) * 2006-04-21 2007-10-24 盛趣信息技术(上海)有限公司 基于Token的SSO认证系统
CN101155033A (zh) * 2006-09-26 2008-04-02 中兴通讯股份有限公司 一种确认客户端身份的方法
CN101222335A (zh) * 2008-02-02 2008-07-16 国电信息中心 一种应用系统间的级联认证方法及装置
CN101304318A (zh) * 2008-07-04 2008-11-12 任少华 安全的网络认证系统和方法

Also Published As

Publication number Publication date
CN101938465A (zh) 2011-01-05

Similar Documents

Publication Publication Date Title
CN103685282B (zh) 一种基于单点登录的身份认证方法
US7100054B2 (en) Computer network security system
CN101507233B (zh) 用于提供对于应用程序和基于互联网的服务的可信单点登录访问的方法和设备
US7313816B2 (en) Method and system for authenticating a user in a web-based environment
EP1927211B1 (en) Authentication method and apparatus utilizing proof-of-authentication module
US5818936A (en) System and method for automically authenticating a user in a distributed network system
JP4863777B2 (ja) 通信処理方法及びコンピュータ・システム
US7150038B1 (en) Facilitating single sign-on by using authenticated code to access a password store
CN101938465B (zh) 基于webservice认证的方法及系统
US20050108575A1 (en) Apparatus, system, and method for faciliating authenticated communication between authentication realms
US8001588B2 (en) Secure single sign-on authentication between WSRP consumers and producers
EP2391083B1 (en) Method for realizing authentication center and authentication system
KR101753859B1 (ko) 서버 및 이에 의한 스마트홈 환경의 관리 방법, 스마트홈 환경의 가입 방법 및 스마트 기기와의 통신 세션 연결 방법
KR101452708B1 (ko) Ce 장치 관리 서버, ce 장치 관리 서버를 이용한drm 키 발급 방법, 및 그 방법을 실행하기 위한프로그램 기록매체
CN101510877A (zh) 单点登录方法和系统、通信装置
IL189131A (en) Distributed single sign-on service
JP5602165B2 (ja) ネットワーク通信を保護する方法および装置
JP2004509399A (ja) ネットワークにわたって配布されるオブジェクトを保護するためのシステム
CN102377788A (zh) 单点登录系统及其单点登录方法
US9954853B2 (en) Network security
CN102055766B (zh) 一种Webservice服务的管理方法和系统
JP2016521029A (ja) セキュリティ管理サーバおよびホームネットワークを備えるネットワークシステム、およびそのネットワークシステムにデバイスを含めるための方法
CN102629928A (zh) 一种基于公共密钥的互联网彩票系统安全链路实施方法
KR100993333B1 (ko) 인터넷 접속 도구를 고려한 사용자 인증 방법 및 시스템
CN116318637A (zh) 设备安全入网通信的方法和系统

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C53 Correction of patent of invention or patent application
CB02 Change of applicant information

Address after: 100045 Beijing city Xicheng District zhenwumiao two No. 9 layer 10 audio archive

Applicant after: BEIJING TIDYCAST Co.,Ltd.

Applicant after: ACADEMY OF BROADCASTING PLANNING, SARFT

Address before: 100045 Beijing city Xicheng District zhenwumiao two No. 9 layer 10 audio archive

Applicant before: Beijing Guangdian Tiandi Information Consulting Co.,Ltd.

Applicant before: ACADEMY OF BROADCASTING PLANNING, SARFT

COR Change of bibliographic data

Free format text: CORRECT: APPLICANT; FROM: BEIJING GUANGDIAN TIANDI INFORMATION CONSULTATION CO., LTD. TO: BEIJING GUANGDIAN TIANDI TECHNOLOGY CO., LTD.

C14 Grant of patent or utility model
GR01 Patent grant
CP01 Change in the name or title of a patent holder
CP01 Change in the name or title of a patent holder

Address after: 10 / F, No.9 audio video archive, Zhenwu temple, Xicheng District, Beijing 100045

Patentee after: BEIJING TIDYCAST Co.,Ltd.

Patentee after: RADIO AND TELEVISION PLANNING INSTITUTE, STATE ADMINISTRATION OF PRESS, PUBLICATION, RADIO, FILM AND TELEVISION

Address before: 10 / F, No.9 audio video archive, Zhenwu temple, Xicheng District, Beijing 100045

Patentee before: BEIJING TIDYCAST Co.,Ltd.

Patentee before: ACADEMY OF BROADCASTING PLANNING, SARFT

Address after: 10 / F, No.9 audio video archive, Zhenwu temple, Xicheng District, Beijing 100045

Patentee after: BEIJING TIDYCAST Co.,Ltd.

Patentee after: Planning Institute of Radio and Television of the State Administration of Radio and Television

Address before: 10 / F, No.9 audio video archive, Zhenwu temple, Xicheng District, Beijing 100045

Patentee before: BEIJING TIDYCAST Co.,Ltd.

Patentee before: RADIO AND TELEVISION PLANNING INSTITUTE, STATE ADMINISTRATION OF PRESS, PUBLICATION, RADIO, FILM AND TELEVISION