CN102624720B - 一种身份认证的方法、装置和系统 - Google Patents
一种身份认证的方法、装置和系统 Download PDFInfo
- Publication number
- CN102624720B CN102624720B CN201210053547.9A CN201210053547A CN102624720B CN 102624720 B CN102624720 B CN 102624720B CN 201210053547 A CN201210053547 A CN 201210053547A CN 102624720 B CN102624720 B CN 102624720B
- Authority
- CN
- China
- Prior art keywords
- server
- time password
- user
- authentication
- identity information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 52
- 238000012795 verification Methods 0.000 claims description 131
- 238000012545 processing Methods 0.000 claims description 19
- 238000004891 communication Methods 0.000 claims description 8
- 238000010276 construction Methods 0.000 claims description 7
- 230000004044 response Effects 0.000 claims description 6
- 238000005516 engineering process Methods 0.000 description 8
- 230000008569 process Effects 0.000 description 8
- 238000010586 diagram Methods 0.000 description 5
- 230000009286 beneficial effect Effects 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 3
- 238000013475 authorization Methods 0.000 description 2
- 230000011664 signaling Effects 0.000 description 2
- 238000000638 solvent extraction Methods 0.000 description 2
- 230000002123 temporal effect Effects 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 230000004913 activation Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
Landscapes
- Information Transfer Between Computers (AREA)
- Telephonic Communication Services (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种身份认证的方法、装置和系统。本发明实施例采用由登录装置获取并保存用户身份信息,然后在接收到用户发起的针对某一个服务器的服务访问请求时,将保存的用户身份信息发送给该服务器进行身份验证,以获取一次性口令,最后根据该一次性口令构造参数以启动客户端,以便客户端向服务器发起携带一次性口令的服务请求,以实现访问该服务器的目的。本方案可以在保证身份认证的安全性的同时,实现单点登录的功能。
Description
技术领域
本发明涉及通信技术领域,具体涉及一种身份认证的方法、装置和系统。
背景技术
随着信息技术(IT,Information Technology)的发展,身份认证技术的应用也越来越普遍,为了提高身份认证的安全性的情况的发生,现有技术中提出一次性口令的身份认证技术,具体可以如下:
步骤1、用户通过一次性口令生成系统,比如通过RSA token(基于令牌的RSA加密算法)卡或软件系统等方式获取一次性口令(OTP,One Time Password);
步骤2、用户在系统登录入口输入用户身份和一次性口令以登录服务器;
步骤3、系统登录入口发送用户登录请求给服务器,其中,用户登录请求携带用户身份和一次性口令;
步骤4、服务器校验用户身份,若校验通过,则执行步骤5,否则,若检验不通过,则返回用户身份校验失败的提示给用户;
步骤5、服务器在身份校验通过后,向一次性口令校验系统校验一次性口令的正确性;
步骤6、一次性口令校验系统对一次性口令进行检验,若检验通过,则返回校验正确的通知消息给服务器,若检验不通过,则返回检验错误的知消息给服务器;
步骤7、若接收到一次性口令校验系统所返回的校验正确的通知消息,则服务器提供服务,供用户进行操作;若接收到一次性口令校验系统所返回的校验失败的通知消息,则服务器发送一次性口令错误的提示消息给用户。
在对现有技术的研究和实践过程中,本发明的发明人发现,虽然一次性口令的身份认证方法可以提高身份认证的安全性,但是在用户需要访问多个服务时,需要多次输入用户身份信息及一次性口令,不方便用户使用,特别是随着基础设施的不断完善和发展,各企业会自主开发或者购买若干个彼此相互隔离的应用系统,若每登录一个系统都需要重新再获取并输入一次一次性口令,将十分费时且不便。
发明内容
本发明实施例提供一种身份认证的方法、装置和系统,以保证身份认证的安全性的同时,实现单点登录(SSO,Single Sign On)的功能。
单点登录的技术,即在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。
一种身份认证的方法,包括:
获取并保存用户身份信息;
响应于用户发起的服务访问请求,向与所述服务访问请求对应的服务器发送携带有所述用户的用户身份信息的代理认证请求,以进行身份验证;
接收服务器在身份验证通过后,返回的一次性口令;
根据所述一次性口令构造参数以启动客户端,以便所述客户端向所述服务器发起携带所述一次性口令的服务请求。
一种身份认证的方法,包括:
接收登录装置发送的携带有用户身份信息的代理认证请求;
根据预置的安全认证策略对所述用户身份信息进行身份验证;
在身份验证通过时,生成一次性口令并向登录装置返回一次性口令,并保存所述一次性口令和用户身份信息的关联关系;
接收客户端发送的携带所述一次性口令服务请求;
对所述一次性口令进行校验;
在所述一次性口令校验通过时,根据所述一次性口令和用户身份信息的关联关系获取所述一次性口令对应的用户身份信息,向客户端返回用户身份信息对应的用户可访问的服务,并将所述一次性口令置为无效。
一种登录装置,包括:
获取单元,用于获取并保存用户身份信息;
处理单元,用于响应于用户发起的服务访问请求,向与所述服务访问请求对应的服务器发送携带有所述用户的用户身份信息的代理认证请求,以进行身份验证;
验证结果接收单元,用于接收服务器在身份验证通过后,返回的一次性口令;
启动单元,用于根据所述一次性口令构造参数以启动客户端,以便所述客户端向所述服务器发起携带所述一次性口令的服务请求。
一种服务器,包括:
身份信息接收单元,用于接收登录装置发送的携带有用户身份信息的代理认证请求;
身份验证单元,用于根据预置的安全认证策略对所述用户身份信息进行身份验证;
口令发送单元,用于在身份验证通过时,生成一次性口令并向登录装置返回一次性口令,并保存所述一次性口令和用户身份信息的关联关系;
服务请求接收单元,用于接收客户端发送的携带所述一次性口令的服务请求;
口令校验单元,用于对所述一次性口令进行校验;
处理单元,用于在所述一次性口令校验通过时,根据所述一次性口令和用户身份信息的关联关系获取所述一次性口令对应的用户身份信息,向所述客户端返回用户身份信息对应的用户可访问的服务,并将所述一次性口令置为无效。
一种通信系统,包括终端设备和本发明实施例提供的任一种服务器,所述终端设备包括本发明实施例提供的任一种登录装置和客户端;
所述客户端由登录装置根据一次性口令构造参数来启动,并在启动之后,利用所述一次性口令向服务器发起服务请求。
一种终端设备,包括客户端和本发明实施例提供的任一种登录装置;
所述客户端由登录装置根据一次性口令构造参数来启动,并在启动之后,利用所述一次性口令向服务器发起服务请求。
本发明实施例采用由登录装置获取并保存用户身份信息,然后在接收到用户发起的针对某一个服务器的服务访问请求时,将保存的用户身份信息发送给该服务器进行身份验证,以获取一次性口令,最后根据该一次性口令构造参数以启动客户端,以便客户端向服务器发起携带一次性口令的服务请求,以实现访问该服务器的目的。由于登录装置在获取到用户身份信息之后,可以保存用户身份信息,并在用户发起服务访问请求时,自动地获取一次性口令并进行登录,所以在本方案中,用户只需要输入一次用户身份信息,就可以访问不同的服务器,这相对于现有技术中,用户在访问不同的服务器时都需要重新输入一次用户身份信息而言,大大方便了用户的操作,而且,由于该方案一次性口令的验证方式,所以,身份验证的安全性也较好,也就是说,本方案可以在保证身份认证的安全性的同时,实现单点登录的功能。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的身份认证的方法的流程图;
图2是本发明实施例提供的身份认证的方法的另一流程图;
图3a是本发明实施例提供的身份认证的方法的又一流程图;
图3b是本发明实施例提供的身份认证的方法的场景示意图;
图4a是本发明实施例提供的身份认证的方法的又一流程图;
图4b是本发明实施例提供的身份认证的方法的又一场景示意图;
图5是本发明实施例提供的登录装置的结构示意图;
图6a是本发明实施例提供的服务器的结构示意图;
图6b是本发明实施例提供的服务器的结构示意图;
图7是本发明实施例提供的通信系统的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例提供一种身份认证的方法、装置和系统。以下分别进行详细说明。
实施例一、
本实施例将从登录装置的角度进行描述,该登录装置可以集成在操作系统中,比如具体可以集成在手机、平板、便携电脑、个人数字处理PDA或其他终端设备等等的操作系统中。为了描述方便,在本发明实施例中,将该登录装置称为入口(Portal)。
一种身份认证的方法,包括:获取并保存用户身份信息,响应于用户发起的服务访问请求,向与该服务访问请求对应的服务器发送携带有该用户的用户身份信息的代理认证请求,以进行身份验证,接收服务器在身份验证通过时返回的一次性口令,根据该一次性口令构造参数,以启动客户端,以便该客户端利用一次性口令向服务器发起服务请求。
参见图1,具体流程可以如下:
101、获取并保存用户身份信息。
例如,具体可以接收用户输入的用户身份信息,然后保存该用户身份信息。即,在操作系统用户身份认证成功后,由Portal根据登录操作系统的用户信息自动获取用户身份信息,使用Portal时,用户直接使用而不需要再次输入用户身份信息。
需说明的是,如果系统中存在有集中的认证中心,即存在认证、授权和记账(AAA,Authentication,Authorization,Accounting)系统,则为了节省信令流程,此时还可以请求认证中心对该用户身份信息进行验证,以便确认该用户是否有访问服务的权限,如果有访问权限,才接收用户发起的服务访问请求,否则,则拒绝用户的访问,流程结束。即,在获取并保存用户身份信息之后,方法还可以包括:
根据用户身份信息发送用户身份校验请求给认证中心,以便认证中心对用户身份信息进行校验,若接收到认证中心返回的表示校验通过的消息,则构造用户可访问服务的入口;若接收到认证中心返回的表示校验不通过的消息,则返回拒绝访问的消息给用户。
102、响应于用户发起的服务访问请求,向与该服务访问请求对应的服务器发送携带有该用户的用户身份信息的代理认证请求,以进行身份验证,若验证通过,则执行步骤103,若验证不通过,则可以不动作,也可以执行步骤104。
例如,具体可以响应于用户通过该构造的用户可访问服务的入口发起的服务访问请求,向与该服务访问请求对应的服务器发送携带有该用户的用户身份信息的代理认证请求,以进行身份验证。
其中,服务器具体可以为网页(web,website)服务器或其他类型的服务器(server),等等。
其中,可以由服务器直接进行身份验证,也可以对认证方式进行扩展,比如通过认证中心进行身份验证,例如,具体可以如下:
向与该服务访问请求对应的服务器发送携带有所该用户的用户身份信息的代理认证请求,以便服务器进行身份验证;或者,
向与该服务访问请求对应的服务器发送携带有所该用户的用户身份信息的代理认证请求,以便服务器通过认证中心进行身份验证。
比如,服务器在接收到代理认证请求后,可以向认证中心发送携带了用户身份信息的用户身份校验请求,然后接收认证中心返回的验证结果,若验证结果指示验证通过,则执行步骤103,若验证结果指示验证不通过,则执行步骤104其中。其中,认证中心进行身份验证的相关技术具体可参见现有技术,在此不再赘述。
103、在身份验证通过时,接收服务器返回的一次性口令,然后执行步骤105。
其中,该一次性口令由服务器生成,具体的生成方法,可以参见现有技术,在此不再赘述。
104、在身份验证不通过时,可以接收服务器返回的拒绝访问的消息,流程结束。
105、根据步骤103中得到的一次性口令构造参数以启动客户端,以便该客户端向服务器发起携带一次性口令的服务请求。其中,客户端根据服务系统(服务系统可以包括服务器和客户端)结构类型而定,比如,具体可以为GUI(对应server)或浏览器(对应web服务器)等。
其中,对应不同类型的服务系统,启动的方式有所不同,例如,具体可以如下:
(1)如果服务系统为客户端/服务器(C/S,Client/Server)结构,则可以将服务器信息和该一次性口令作为参数,以启动该服务器对应的图形用户界面(GUI,GraphicalUser Interface),以便该GU向服务器发起携带一次性口令的服务请求;或者,
(2)如果服务系统为浏览器/服务器(B/S,Browser/Server)结构,则可以根据服务器信息和该一次性口令构造一个临时的统一资源定位符(URL,Universal ResourceLocator),以启动浏览器,以便该启动的浏览器向服务器发起携带一次性口令的服务请求。
此后,服务器在接收到服务请求后,将会校验该一次性口令的有效性,比如校验是否是本系统颁发的一次性口令,该一次性口令是否已被使用、或者该一次性口令是否已经过期等,如果校验失败,比如不是本系统颁发的一次性口令、该一次性口令已经被使用、或者该一次性口令已经过期等等,则返回拒绝访问的错误信息;如果校验成功,则获取该一次性口令对应的用户身份信息,返回用户身份信息对应的用户可访问的服务给客户端,并将该一次性口令置为无效。
由上可知,本实施例采用由登录装置获取并保存用户身份信息,然后在接收到用户发起的针对某一个服务器的服务访问请求时,将保存的用户身份信息发送给该服务器进行身份验证,以获取一次性口令,最后根据该一次性口令构造参数以启动客户端,以便客户端向服务器发起携带一次性口令的服务请求,以实现访问该服务器的目的。由于登录装置在获取到用户身份信息之后,可以保存用户身份信息,并在用户发起服务访问请求时,自动地获取一次性口令并进行登录,所以在本方案中,用户只需要输入一次用户身份信息,就可以访问不同的服务器,这相对于现有技术中,用户在访问不同的服务器时都需要重新输入一次用户身份信息而言,大大方便了用户的操作,而且,由于该方案采用一次性口令的验证方式,所以,身份验证的安全性也较好,也就是说,本方案可以在保证身份认证的安全性的同时,实现单点登录的功能。
实施例二、
本实施例将从服务系统中的服务器的角度进行描述。其中,该服务系统指的是可以为用户提供某种服务,并供用户进行操作的系统;服务器中的服务器指的是在该系统中用于管理资源并提供服务的设备,比如,该服务器具体可以为网页(web,website)服务器或服务器(server)等。
一种身份认证的方法,包括:接收登录装置发送的携带有用户身份信息的代理认证请求,根据预置的安全认证策略对该代理认证请求中的用户身份信息进行身份验证,在身份验证通过时,生成一次性口令并向登录装置返回一次性口令,并保存该一次性口令和用户身份信息的关联关系,接收客户端发送的携带一次性口令的服务请求,对一次性口令进行校验,在该一次性口令校验通过时,获取该一次性口令对应的用户身份信息,根据该一次性口令和用户身份信息的关联关系向客户端返回用户身份信息对应的用户可访问的服务,并将该一次性口令置为无效。
参见图2,具体流程可以如下:
201、接收登录装置发送的携带有用户身份信息的代理认证请求;其中,登录装置具体可参见实施例,在此不再赘述。
202、根据预置的安全认证策略对步骤201接收到的用户身份信息进行身份验证,如果验证通过,则执行步骤203,如果验证不通过,则可以不动作,或者,也可以执行步骤204;例如,具体可以如下:
(1)由服务器对用户身份信息进行身份验证;或者,
(2)由服务器向认证中心发送携带用户身份信息的用户身份校验请求,以便认证中心根据该用户身份信息进行身份验证;接收认证中心返回的身份验证结果,其中,身份验证结果指示身份验证通过或不通过,即身份验证结果具体为指示身份验证通过的身份验证结果,或指示身份验证不通过的身份验证结果。
其中,安全认证策略可以根据实际应用的需求进行设置,具体可以是预置的,也可以是用户通过人机交互接口进行动态配置。
203、在身份验证通过时,生成一次性口令,向登录装置返回该一次性口令,并保存该一次性口令和用户身份信息的关联关系,然后执行步骤205。
204、若身份验证不通过,则可以向登录装置返回拒绝访问的消息,流程结束。
205、接收客户端发送的携带一次性口令的服务请求。
206、对该一次性口令进行校验,比如校验是否是本系统颁发的一次性口令,该一次性口令是否已被使用、或者该一次性口令是否已经过期等,如果校验失败,比如不是本系统颁发的一次性口令、该一次性口令已经被使用、或者该一次性口令已经过期等等,则可以不动作,也可以执行步骤208;如果校验成功,则执行步骤207。
207、若该一次性口令校验通过,则根据该一次性口令和用户身份信息的关联关系获取与该一次性口令对应的用户身份信息,向客户端返回用户身份信息对应的用户可访问的服务,并将所述一次性口令置为无效。
208、若对一次性口令校验不通过,则可以向客户端返回拒绝访问的消息。
由上可知,本实施例采用由登录装置获取并保存用户身份信息,并在用户发起针对某一个服务器的服务访问请求时,由服务器接收登录装置发送的用户身份信息,然后对该用户身份信息进行身份验证,在验证通过时生成一次性口令,并将该一次性口令提供给登录装置,以便登录装置根据该一次性口令构造参数以启动客户端,然后接收客户端向服务器发起的携带一次性口令的服务请求,以便后续提供相应的服务给用户。由于登录装置在获取到用户身份信息之后,可以保存用户身份信息,并在用户发起服务访问请求时,自动地获取一次性口令并进行登录,所以在本方案中,用户只需要输入一次用户身份信息,就可以访问不同的服务器,这相对于现有技术中,用户在访问不同的服务器时都需要重新输入一次用户身份信息而言,大大方便了用户的操作,而且,由于该方案采用一次性口令的验证方式,所以,身份验证的安全性也较好,也就是说,本方案可以在保证身份认证的安全性的同时,实现单点登录的功能。
根据实施例一和实施例二所描述的方法,以下将在实施例三和实施例四中举例作进一步详细说明。
实施例三、
在本实施例中,将以由服务器直接对用户身份信息进行验证为例进行说明。
其中,该登录装置具体可以通过一段代码来实现,为了描述方便,在本实施例中,将该登录装置称为Portal,该Portal可以嵌入到操作系统中。
参见图3a和图3b,该身份认证方法的流程具体可以如下:
301、用户输入用户身份信息,比如输入用户名和密码等信息,触发Portal的启动。
302、Portal保存用户身份信息,比如保存用户输入的用户名和密码等信息。
其中,Portal在保存身份信息时,可以使用安全措施,以保证用户身份信息的安全。
303、用户在需要访问具体的服务时,在Portal中发起服务访问请求。
304、Portal接收到用户发起的服务访问请求后,根据用户需要访问的服务,将保存的用户身份信息携带在代理认证请求中,发送给相应的服务系统中的服务器,比如相应的web服务器或其他类型的服务器(server),以请求一次性口令,参见图3b。
例如,如果服务器1提供有服务A,则当用户需要访问服务A时,Portal将会把保存的用户身份信息发送给服务器1;同理,如果服务器2提供有服务B,则当用户需要访问服务B时,Portal将会把保存的用户身份信息发送给服务器2,以此类推,等等。
需说明的是,如果用户访问完服务A后,还想继续访问别的服务,比如服务B,则此时只需返回执行步骤304~步骤312即可。
其中,为了提高用户身份的安全性,具体可以采用安全套接层(SSL,SecureSockets Layer)通道的方式来传递用户身份信息。
305、服务器(如web服务器或server)根据自身的安全认证策略,对接收到的用户身份信息进行验证,若验证通过,则表示用户可以访问该服务,于是执行步骤306,若验证不通过,则表示用户不可以访问该服务,于是可以执行步骤307。
306、若身份验证通过,则服务器(如web服务器或server)生成一次性口令,发送一次性口令给Portal,并保存一次性口令同用户身份信息的关联关系。
307、若身份验证不通过,则服务器(比如web服务器或server)可以不动作,也可以返回拒绝访问的消息给Portal,以提示用户错误信息。
308、Portal如果获取不到一次性口令,比如接收到服务器返回的拒绝访问的消息,或者,由于网络的问题导致没有接收到一次性口令,则可以提示用户无权限访问该服务。如果Portal获取到该一次性口令,则根据获取到的一次性口令构造参数以启动该服务器对应的客户端,以便该客户端向服务器发起携带一次性口令的服务请求。
其中,对应不同类型的服务器,启动的方式有所不同,例如,参见图3b,具体可以如下:
(1)如果服务器为客户端/服务器结构,则Portal可以将服务器信息和该一次性口令作为参数,以启动该服务器对应的GUI,以便GUI向server发起携带一次性口令的服务请求;或者,
(2)如果服务器为浏览器/服务器结构,则Portal可以根据服务器信息和该一次性口令构造一个临时的URL,以启动浏览器,以便该浏览器向web服务器发起携带一次性口令的服务请求。
309、客户端(如浏览器或GUI)向服务器发起携带一次性口令的服务请求。
310、服务器(比如web服务器或server)在接收到服务请求后,对该一次性口令进行校验,比如校验是否是本系统颁发的一次性口令,该一次性口令是否已被使用、或者该一次性口令是否已经过期等,如果校验失败,比如不是本系统颁发的一次性口令、该一次性口令已经被使用、或者该一次性口令已经过期等等,则可以不动作,也可以返回拒绝访问的消息给客户端,客户端可以提示用户出错,比如提示用户一次性口令错误或不可以访问等信息;如果校验成功,则执行步骤311。
311、服务器根据保存的一次性口令同用户身份信息的关联关系,获取与步骤310中校验成功的一次性口令对应的用户身份信息,返回用户身份信息对应的用户可访问的服务给客户端,并将所述一次性口令置为无效。
312、客户端根据服务器返回的服务,展示最终的操作界面给用户,以便用户进行操作。
由上可知,本实施例采用由Portal获取并保存用户身份信息,然后在接收到用户发起的针对某一个服务器的服务访问请求时,将保存的用户身份信息发送给该服务器进行身份验证,以获取一次性口令,最后根据该一次性口令构造参数以启动客户端,以便客户端向服务器发起携带一次性口令的服务请求,以实现访问该服务器的目的。由于Portal在获取到用户身份信息之后,可以保存用户身份信息,并在用户发起服务访问请求时,自动地获取一次性口令并进行登录,所以在本方案中,用户只需要输入一次用户身份信息,就可以访问不同的服务器,这相对于现有技术中,用户在访问不同的服务器时都需要重新输入一次用户身份信息而言,大大方便了用户的操作,而且,由于该方案采用一次性口令的验证方式,具有临时性和一次性的特点,所以,身份验证的安全性也较好,也就是说,本方案可以在保证身份认证的安全性的同时,不需要用户手工干预,实现单点登录的功能。
实施例四、
在本实施例中,将以服务器通过认证中心,比如AAA系统对用户身份信息进行验证为例进行说明,这种方式有利于对用户进行集中管理和认证。
其中,该登录装置具体可以通过一段代码来实现,为了描述方便,在本实施例中,将该登录装置称为Portal,该Portal可以嵌入到操作系统中。
参见图4a和图4b(其中,图4b中的虚线部分为与实施例三的方案,即图3b的不同之处),该身份认证方法的流程具体可以如下:
401、用户输入用户身份信息,比如输入用户名和密码等信息,触发Portal的启动。
402、Portal将用户身份信息发送向认证中心,以进行身份验证,如果验证通过,则表示允许访问,返回身份验证结果,其中,身份验证结果指示身份验证通过或不通过。此外,如果身份验证通过,还可以返回当前用户可访问的服务信息,比如返回访问服务列表,以供用户进行选择。
403、Portal接收到认证中心返回的身份验证结果后,如果该身份验证结果指示身份验证通过,则Portal构造用户可访问服务的入口(比如如果步骤402中接收到了“当前用户可访问的服务信息”,则此时可以根据该当前用户可访问的服务信息构造用户可访问服务的入口),并保存用户的身份信息。
其中,Portal在保存身份信息时,可以使用安全措施,保证用户身份信息的安全。
如果接收到认证中心指示身份验证不通过的校验结果,则不允许用户使用Portal。
404、需要访问具体的服务时,通过Portal中所构造的用户可访问服务的入口发起服务访问请求。
405、Portal接收到用户发起的服务访问请求后,根据用户需要访问的服务,将保存的用户身份信息携带在代理认证请求中,发送给相应的服务器,比如相应的web服务器或server,以请求一次性口令,参见图4b。
例如,如果服务器1提供有服务A,则当用户需要访问服务A时,Portal将会把保存的用户身份信息发送给服务器1;同理,如果服务器2提供有服务B,则当用户需要访问服务B时,Portal将会把保存的用户身份信息发送给服务器2,以此类推,等等。
需说明的是,如果用户访问完服务A后,还想继续访问别的服务,比如服务B,则此时只需返回执行步骤405~步骤413即可。
其中,为了提高用户身份的安全性,具体可以采用SSL通道的方式来传递用户身份信息。
406、服务器(如web服务器或server)向认证中心发送身份校验请求,其中,该身份校验请求携带用户身份信息。
407、认证中心对用户身份信息进行验证,并返回验证结果,若验证结果指示验证通过,则执行步骤408,若验证结果指示验证不通过,则执行步骤409。其中,认证中心进行身份验证的相关技术具体可参见现有技术,在此不再赘述。
408、服务器(如web服务器或server)在接收到认证中心返回的指示身份验证通过的验证结果之后,服务器生成一次性口令,发送一次性口令给Portal,并保存一次性口令同用户身份信息的关联关系。
409、服务器(如web服务器或server)在接收到认证中心返回的指示身份验证不通过的验证结果之后,可以不动作,或者,也可以返回拒绝访问的消息给Portal,以提示用户错误信息。
410、Portal如果获取不到一次性口令,比如接收到服务器返回的拒绝访问的消息,或者,由于网络的问题导致没有接收到一次性口令,则可以提示用户无权限访问该服务。如果Portal获取到该一次性口令,则根据获取到的一次性口令构造参数以启动服务器对应的客户端,以便该客户端向服务器发起携带一次性口令的服务请求。
其中,对应不同类型的服务系统,启动的方式有所不同,例如,参见图4b,具体可以如下:
(1)如果服务系统为客户端/服务器结构,则Portal可以将服务器信息和该一次性口令作为参数,以启动该服务器对应的GUI,以便该GUI向server发起携带一次性口令的服务请求;或者,
(2)如果服务系统为浏览器/服务器结构,则Portal可以根据服务器信息和该一次性口令构造一个临时的URL,以启动浏览器,以便该浏览器向web服务器发起携带一次性口令的服务请求。
411、客户端(如浏览器或GUI)向服务器发起携带一次性口令的服务请求。
412、服务器(比如web服务器或server)在接收到服务请求后,对该一次性口令进行校验,比如校验是否是本系统颁发的一次性口令,该一次性口令是否已被使用、或者该一次性口令是否已经过期等,如果校验失败,比如不是本系统颁发的一次性口令、该一次性口令已经被使用、或者该一次性口令已经过期等等,则可以不动作,也可以向客户端返回拒绝访问的消息;如果校验成功,则执行步骤413。
413、服务器根据保存的根据保存的一次性口令同用户身份信息的关联关系,获取与步骤412中校验成功的一次性口令对应的用户身份信息,返回用户身份信息对应的用户可访问的服务给客户端,并将所述一次性口令置为无效。
414、客户端根据服务器返回的服务,展示最终的操作界面给用户,以便用户进行操作。
由上可知,本实施例除了可以实现与实施例三同样的有益效果之外,由于是通过认证中心(比如AAA系统)对用户的身份信息进行验证,所以有利于对用户进行集中的管理和控制,可以提高管理效率。
实施例五、
为了更好地实施以上方法,本发明实施例还相应地提供一种登录装置,该登录装置具体可以通过一段代码来实现,在本发明实施例中称为“Portal”。该登录装置可以通过独立的实体来实现,也可以集成在操作系统中。
如图5所示,该登录装置可以包括获取单元501、处理单元502、验证结果接收单元503和启动单元504;
获取单元501,用于获取并保存用户身份信息;例如,具体可以接收用户输入的用户身份信息,然后保存该用户身份信息,其中,用户身份信息具体可以包括用户名和密码等信息。
处理单元502,用于响应于用户发起的服务访问请求,向与该服务访问请求对应的服务器发送携带有所述用户的用户身份信息的代理认证请求,以进行身份验证;
验证结果接收单元503,用于接收服务器在身份验证通过时,返回的一次性口令;
其中,该一次性口令由服务器生成,具体的生成方法,可以参见现有技术,在此不再赘述。
启动单元504,用于根据验证结果接收单元503接收到的一次性口令构造参数以启动客户端,以便该客户端向服务器发起携带该一次性口令的服务请求。
此外,验证结果接收单元503,还用于在身份验证不通过时,接收服务器返回的拒绝访问的消息。
需说明的是,如果系统中存在有集中的认证中心,即存在AAA系统,则为了节省信令流程,此时还可以请求认证中心对该用户身份信息进行验证,以便确认该用户是否有访问服务的权限,如果有访问权限,才接收用户发起的服务访问请求(即执行步骤102),否则,则拒绝用户的访问,流程结束。即该登录装置还可以包括发送单元:
发送单元,可以用于向认证中心发送携带用户身份信息(即获取单元501获取到的用户身份信息)的用户身份校验请求给认证中心,以便认证中心对用户身份信息进行校验,在接收到认证中心返回的表示校验通过的消息时,构造用户可访问服务的入口。
此外,该发送单元,还可以用于在接收到认证中心返回的表示校验不通过的消息时,向用户返回拒绝访问的消息。
则此时,处理单元502,具体可以用于响应于用户通过构造的用户可访问服务的入口发起的服务访问请求,向与该服务访问请求对应的服务器发送携带有用户身份信息的代理认证请求,以进行身份验证。
其中,可以由服务器直接进行身份验证,也可以对认证方式进行扩展,比如通过认证中心进行身份验证,例如,具体可以如下:
处理单元502,具体用于向与该服务访问请求对应的服务器发送携带有该用户的用户身份信息的代理认证请求,以便服务器进行身份验证;或者,
处理单元502,具体用于向与该服务访问请求对应的服务器发送携带有该用户的用户身份信息的代理认证请求,以便服务器通过认证中心进行身份验证。比如,服务器在接收到服务访问请求后,可以发送携带了用户身份信息的用户身份校验请求给认证中心,然后接收认证中心返回的验证结果。其中,认证中心进行身份验证的相关技术具体可参见现有技术,在此不再赘述。
其中,对应不同类型的服务系统(服务系统可以包括服务器和客户端),启动单元504对客户端的启动的方式会有所不同,例如,具体可以如下:
(1)如果服务系统为客户端/服务器(C/S,Client/Server)结构,则可以将服务器信息和该一次性口令作为参数,以启动该服务器对应的GUI,然后由该GUI向服务器发起携带该一次性口令的服务请求。即:
启动单元504,具体可以用于在服务器为客户端/服务器结构时,将服务器信息和一次性口令作为参数,以启动该服务器对应的GUI,以便该GU向该服务器发起携带该一次性口令的服务请求。
(2)如果服务系统为浏览器/服务器(B/S,Browser/Server)结构,则可以根据服务器信息和该一次性口令构造一个临时的URL,以启动浏览器,然后由该浏览器向服务器发起携带该一次性口令的服务请求。即:
启动单元504,具体用于在该服务器为浏览器/服务器结构时,根据服务器信息和一次性口令构造一个临时的URL,以启动浏览器,以便该浏览器向服务器发起携带该一次性口令的服务请求。
此后,服务器在接收到服务请求后,将会校验该一次性口令的有效性,比如校验是否是本系统颁发的一次性口令,该一次性口令是否已被使用、或者该一次性口令是否已经过期等,如果校验失败,比如不是本系统颁发的一次性口令、该一次性口令已经被使用、或者该一次性口令已经过期等等,则返回拒绝访问的错误信息;如果校验成功,则获取与该一次性口令对应的用户身份信息,向客户端返回用户身份信息对应的用户可访问的服务,并将该一次性口令置为无效。
需说明的是,该登录装置的结构除了上述的划分方式之外,还可以有其他的划分方式;具体实施时,以上各个单元可以通过独立的实体来实现,也可以进行任意组合,作为同一或若干个实体来实现。
以上各个单元的具体实施可参见前面的方法实施例,在此不再赘述。
该登录装置具体可以是手机,平板,便携电脑、个人数字处理PDA等等,也可以作为一个模块集成在手机,平板,便携电脑、个人数字处理PDA中。
由上可知,本实施例的登录装置的获取单元501可以获取并保存用户身份信息,然后在处理单元502接收到用户发起的针对某一个服务器的服务访问请求时,由处理单元502将保存的用户身份信息发送给该服务器进行身份验证,以获取一次性口令,最后由启动单元504根据该一次性口令构造参数以启动客户端,以便客户端向服务器发起携带该一次性口令的服务请求,以实现访问该服务器的目的。由于登录装置在获取到用户身份信息之后,可以保存用户身份信息,并在用户发起服务访问请求时,自动地获取一次性口令并进行登录,所以在本方案中,用户只需要输入一次用户身份信息,就可以访问不同的服务器,这相对于现有技术中,用户在访问不同的服务器时都需要重新输入一次用户身份信息而言,大大方便了用户的操作,而且,由于该方案采用一次性口令的验证方式,所以,身份验证的安全性也较好,也就是说,本方案可以在保证身份认证的安全性的同时,实现单点登录的功能。
实施例六、
相应的,本发明实施例还提供一种服务器,可以作为本发明实施例所提供身份认证方法中的服务器,如图6a所示,该服务器可以包括身份信息接收单元601、身份验证单元602、口令发送单元603、服务请求接收单元604、口令校验单元605和处理单元606;
身份信息接收单元601,用于接收登录装置发送的用户身份信息的代理认证请求;
身份验证单元602,用于根据预置的安全认证策略对身份信息接收单元601接收到的代理认证请求中的用户身份信息进行身份验证;
口令发送单元603,用于身份验证单元602确定身份验证通过时,生成一次性口令,向登录装置返回一次性口令,并保存该一次性口令和用户身份信息的关联关系;
服务请求接收单元604,用于接收客户端利用该一次性口令发送的服务请求;
口令校验单元605,用于对所述一次性口令进行校验;
处理单元606,用于在口令校验单元605确定一次性口令校验通过时,根据保存的一次性口令和用户身份信息的关联关系,获取与该校验通过的一次性口令对应的用户身份信息,向客户端返回用户身份信息对应的用户可访问的服务,并将该一次性口令置为无效。
此外,处理单元606,还可以用于在口令校验单元605确定一次性口令校验不通过时,向客户端返回拒绝访问的消息。
其中,口令校验单元605在对一次性口令进行校验时,具体可以校验当前的一次性口令是否是本系统颁发的一次性口令、校验当前的一次性口令是否已被使用、以及校验当前的一次性口令是否已经过期等,如果该一次性口令不是本系统颁发的一次性口令、或者该一次性口令已经被使用、或者该一次性口令已经过期等等,则确定校验失败(即校验不通过),此时处理单元606可以不动作,也可以返回拒绝访问的消息给客户端;如果该一次性口令是本系统颁发的一次性口令、且该一次性口令没有被使用过、且该一次性口令没有过期,则确定校验成功(即校验通过),则此时处理单元606可以获取与该一次性口令对应的用户身份信息,向客户端返回用户身份信息对应的用户可访问的服务,并将该一次性口令置为无效。
如图6b所示,该服务器还可以包括拒绝单元607;
拒绝单元607,用于在身份验证单元602确定身份验证不通过时,向登录装置返回拒绝访问的消息。
其中,具体可以由服务器自身直接对用户身份信息进行身份验证,也可以由其他的系统,比如认证中心,即AAA系统来对用户身份信息进行身份验证。即:
身份验证单元602,具体可以用于对身份信息接收单元601接收到的用户身份信息进行身份验证;或者,
身份验证单元602,具体可以用于向认证中心发送携带用户身份信息的用户身份校验请求,以便认证中心根据该用户身份信息进行身份验证;接收认证中心返回的身份验证结果,其中,身份验证结果指示身份验证通过或不通过。
需说明的是,该服务器的结构除了上述的划分方式之外,还可以有其他的划分方式;具体实施时,以上各个单元可以通过独立的实体来实现,也可以进行任意组合,作为同一或若干个实体来实现。
以上各个单元的具体实施可参见前面的方法实施例,在此不再赘述。
该服务器具体可以为web服务器或其他的服务器(server)等。
由上可知,本实施例采用由登录装置获取并保存用户身份信息,并在用户发起针对某一个服务器(比如服务器)的服务访问请求时,由服务器的身份信息接收单元601接收登录装置发送的用户身份信息,然后由身份验证单元602对该用户身份信息进行身份验证,在验证通过时由口令发送单元603生成一次性口令,并将该一次性口令提供给登录装置,以便登录装置根据该一次性口令构造参数以启动客户端,然后由服务请求接收单元604接收客户端向服务器发起携带一次性口令的服务请求,以便后续提供相应的服务给用户。由于登录装置在获取到用户身份信息之后,可以保存用户身份信息,并在用户发起服务访问请求时,自动地获取一次性口令并进行登录,所以在本方案中,用户只需要输入一次用户身份信息,就可以访问不同的服务器,这相对于现有技术中,用户在访问不同的服务器时都需要重新输入一次用户身份信息而言,大大方便了用户的操作,而且,由于该方案采用一次性口令的验证方式,所以,身份验证的安全性也较好,也就是说,本方案可以在保证身份认证的安全性的同时,实现单点登录的功能。
实施例七、
相应的,本发明实施例还提供一种通信系统,包括终端设备和本发明实施例提供的任一种服务器,该终端设备包括客户端和本发明实施例提供的任一种登录装置。其中,登录装置和服务器的具体说明可参见实施例五和实施例六,在此不再赘述。
客户端,由登录装置根据一次性口令构造参数来启动,并在启动之后,利用所述一次性口令向服务器发起服务请求。
该客户端,还可以用于在一次性口令校验不通过时,接收服务器702返回的拒绝访问的消息。
其中,该客户端具体可以为GUI或浏览器。
例如,参见图7,该通信系统可以包括终端设备701和服务器702;其中,服务器702的数量为至少一个。
终端设备701,用于获取并保存用户身份信息,响应于用户发起的服务访问请求,向与服务访问请求对应的服务器702发送携带有所述用户的用户身份信息的代理认证请求,以进行身份验证,接收服务器702在身份验证通过时返回的一次性口令,根据该一次性口令构造参数以启动客户端,由客户端向服务器702发起携带一次性口令的服务请求。
服务器702,用于接收终端设备701发送的携带有用户身份信息的代理认证请求,根据预置的安全认证策略对该接收到的用户身份信息进行身份验证,在身份验证通过时,生成并返回一次性口令给终端设备701,并保存该一次性口令和用户身份信息的关联关系,接收客户端发送的携带一次性口令的服务请求,对该一次性口令进行校验,在该一次性口令校验通过时,获取与该一次性口令对应的用户身份信息,向客户端返回用户身份信息对应的用户可访问的服务,并将该一次性口令置为无效。
其中,服务器702,还用于在身份验证不通过时,向终端设备701发送拒绝访问的消息;
则此时,终端设备701,还可以用于在身份验证不通过时,接收服务器702返回的拒绝访问的消息。
此外,服务器702,还可以用于在对一次性口令校验不通过时,向客户端返回拒绝访问的消息。
其中,可以由服务器702自身直接对用户身份信息进行身份验证,也可以对认证方式进行扩展,比如通过认证中心进行身份验证,即具体可以采用如下任意一种方式:
(1)由服务器702自身直接对用户身份信息进行身份验证;
终端设备701,具体可以向与该服务访问请求对应的服务器702发送携带用户身份信息的代理认证请求;
则此时,服务器702,具体可以用于直接对该用户身份信息进行身份验证;
或者,(2)通过认证中心对用户身份信息进行身份验证;
终端设备701,具体可以用于向与该服务访问请求对应的服务器702发送代理认证请求,其中,该代理认证请求中携带保存的用户身份信息;
则此时,服务器702,具体可以用于向认证中心发送携带用户身份信息的用户身份校验请求,以便认证中心根据所述用户身份信息进行身份验证;接收认证中心返回的身份验证结果,其中,身份验证结果指示身份验证通过或不通过。
其中,认证中心进行身份验证的相关技术具体可参见现有技术,在此不再赘述。
如果是通过认证中心对用户身份进行认证的话,则在登录装置获取到用户身份信息之后,还可以请求认证中心对该用户身份信息进行验证,以便确认该用户是否有访问服务的权限,如果有访问权限,才接收用户发起的服务访问请求(即执行步骤102),否则,则拒绝用户的访问;即:
终端设备701,具体还可以用于根据用户身份信息向认证中心发送用户身份校验请求,以便认证中心对用户身份信息进行校验;若接收到认证中心返回的表示校验通过的消息,则构造用户可访问服务的入口;若接收到认证中心返回的表示校验不通过的消息,则向用户返回拒绝访问的消息。
此后,终端设备701可以通过该构造的用户可访问服务的入口来接收用户发起的服务访问请求。
需说明的是,该通信系统除了包括上述终端设备701和服务器702之外,还可以包括其他设备,比如一次性口令生成系统、和/或认证中心。
一次性口令生成系统,用于在服务器702的请求下,生成一次性口令,并将生成的一次性口令提供给服务器702。
认证中心,即AAA系统,用于对用户身份信息进行认证,并将认证结果通知给终端设备701或服务器702。
以上各个设备的具体实施可参见前面的实施例,在此不再赘述。
需要说明的是,本发明实施例的终端设备701具体可以是手机,平板,便携电脑、个人数字处理PDA等等。
由上可知,本实施例的通信系统采用由终端设备701获取并保存用户身份信息,然后在接收到用户发起的针对某一个服务器702的服务访问请求时,将保存的用户身份信息发送给该服务器702进行身份验证,以获取一次性口令,最后根据该一次性口令构造参数以启动客户端,以便客户端向服务器702发起携带一次性口令的服务请求,以实现访问该服务器702的目的。由于终端设备701在获取到用户身份信息之后,可以保存用户身份信息,并在用户发起服务访问请求时,自动地获取一次性口令并进行登录,所以在本方案中,用户只需要输入一次用户身份信息,就可以访问不同的服务器,这相对于现有技术中,用户在访问不同的服务器702时都需要重新输入一次用户身份信息而言,大大方便了用户的操作,而且,由于该方案采用一次性口令的验证方式,所以,身份验证的安全性也较好,也就是说,本方案可以在保证身份认证的安全性的同时,实现单点登录的功能。
实施例八、
相应的,本发明实施例还提供一种终端设备,包括客户端和本发明实施例提供的任一种登录装置。其中,登录装置具体可参见前面的实施例,在此不再赘述。
其中,客户端由登录装置根据一次性口令构造参数来启动,并在启动之后,利用所述一次性口令向服务器发起服务请求,详见前面的实施例,在此不再赘述。
该客户端具体可以为GUI或浏览器,详见前面的实施例。
该终端设备具体可以为手机,平板,便携电脑、个人数字处理PDA等等。
由于该终端设备中包括了本发明实施例提供的登录装置,所以同样可以实现上述登录装置的有益效果,在此不再赘述。
综上所述,本发明上述实施例中,所采用的身份认证的方案与现有的各个身份验证协议具有如下区别:
(1)与kerberos(指网络认证协议,Network Authentication Protocol)协议认证方案的区别,如下:
kerberos协议认证方案需要专门的认证服务器,比如密钥分发中心(KDC,KeyDistribute Center)生成标签(ticket),用于标识用户身份;其中,ticket在传输过程中需要使用公钥基础设施(PKI,Public Key Infrastructure)机制来保证ticket传输的安全。
而本发明实施例所提供的方案在扩展认证服务器时,只需要认证服务器能够认证用户名和密码即可,而不需要专门的认证服务器,适用较为广泛。
(2)与安全断言标记语言(SAML,Security Assertion Markup Language)协议认证方案的区别,如下:
SAML协议认证方案无代理的过程,只是由需访问服务器(Server Provider)转发认证请求至断言方(Identity Provider)进行认证身份;
(3)与RSA(指RSA公钥加密算法)机制认证方案的区别,如下:
RSA机制认证方案需要根据物理的标记(token,)卡生成临时码,并且需要服务器能够认证token卡临时码。每次认证都需要用户输入token卡中的临时码,较为不便。
而本发明实施例所提供的方案在用户输入一次性口令后,就不需要再输入任何信息,极为便利;与此同时,还可以使用该一次性口令构造URL以启动浏览器,或者,使用该一次性口令作为参数启动GUI,从而通过浏览器或GUI访问服务器,可以防止重放攻击(ReplayAttacks);其中,所谓重放攻击又称重播攻击、回放攻击或新鲜性攻击(FreshnessAttacks),是指攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的,主要用于身份认证过程,破坏认证的正确性。
本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:只读存储器(ROM,Read Only Memory)、随机存取记忆体(RAM,RandomAccess Memory)、磁盘或光盘等。
以上对本发明实施例所提供的一种身份认证的方法、装置和系统进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (17)
1.一种身份认证的方法,应用于登录装置,其特征在于,包括:
获取并保存用户身份信息;
响应于用户发起的服务访问请求,向与所述服务访问请求对应的服务器发送携带有所述用户的用户身份信息的代理认证请求,以进行身份验证;
接收服务器在身份验证通过后,返回的一次性口令;
根据所述一次性口令构造参数启动客户端,以便所述客户端向所述服务器发起携带所述一次性口令的服务请求;
其中,所述根据所述一次性口令构造参数启动客户端,以便所述客户端利用所述一次性口令向所述服务器发起服务请求,具体为:
如果服务系统为客户端/服务器C/S结构,则将服务器信息和所述一次性口令作为参数,启动图形用户界面,以便所述图形用户界面向所述服务器发起携带所述一次性口令的服务请求;或者,
如果服务系统为浏览器/服务器B/S结构,则根据服务器信息和所述一次性口令构造一个临时的统一资源定位符URL,启动浏览器,以便所述浏览器向所述服务器发起携带所述一次性口令的服务请求。
2.根据权利要求1所述的方法,其特征在于,所述向与所述服务访问请求对应的服务器发送携带有所述用户的用户身份信息的代理认证请求,以进行身份验证,具体为:
向与所述服务访问请求对应的服务器发送携带有所述用户的用户身份信息的代理认证请求,以便所述服务器进行身份验证;或者,
向与所述服务访问请求对应的服务器发送携带有所述用户的用户身份信息的代理认证请求,以便所述服务器通过认证中心进行身份验证。
3.根据权利要求2所述的方法,其特征在于,所述获取并保存用户身份信息之后,还包括:
向所述认证中心发送携带所述用户身份信息的用户身份校验请求,以便认证中心对所述用户身份信息进行校验;
若接收到认证中心返回的表示校验通过的消息,则构造用户可访问服务的入口;
若接收到认证中心返回的表示校验不通过的消息,则向用户返回拒绝访问的消息。
4.根据权利要求3所述的方法,其特征在于,所述响应于用户发起的服务访问请求,向与所述服务访问请求对应的服务器发送携带有所述用户身份信息的代理认证请求,以进行身份验证包括:
响应于用户通过构造的用户可访问服务的入口发起的服务访问请求,向与所述服务访问请求对应的服务器发送携带有所述用户身份信息的代理认证请求,以进行身份验证。
5.一种身份认证的方法,应用于服务器,其特征在于,包括:
接收登录装置发送的携带有用户身份信息的代理认证请求;
根据安全认证策略对所述代理认证请求中携带的用户身份信息进行身份验证;
在身份验证通过时,生成一次性口令并向所述登录装置返回所述一次性口令,并保存所述一次性口令和用户身份信息的关联关系;
接收客户端发送的携带所述一次性口令的服务请求;
对所述一次性口令进行校验;
在所述一次性口令校验通过时,根据一次性口令和用户身份信息的关联关系获取与所述一次性口令对应的用户身份信息,向所述客户端返回所述用户身份信息对应的用户可访问的服务,并将所述一次性口令置为无效;
其中,所述携带所述一次性口令的服务请求是在服务系统为客户端/服务器C/S结构时,由所述登录装置将服务器信息和所述一次性口令作为参数,启动图形用户界面向所述服务器发起的,或者,
所述携带所述一次性口令的服务请求是在服务系统为浏览器/服务器B/S结构时,由所述登录装置根据服务器信息和所述一次性口令构造一个临时的统一资源定位符URL,启动浏览器向所述服务器发起的。
6.根据权利要求5所述的方法,其特征在于,还包括:
若对一次性口令校验不通过,则向所述客户端返回拒绝访问的消息。
7.根据权利要求5所述的方法,其特征在于,还包括:
若身份验证不通过,则向所述登录装置返回拒绝访问的消息。
8.根据权利要求5至7任一项所述的方法,其特征在于,所述根据安全认证策略对所述用户身份信息进行身份验证,包括:
由服务器对所述用户身份信息进行身份验证;或者,
由服务器向认证中心发送携带用户身份信息的用户身份校验请求,以便认证中心根据所述用户身份信息进行身份验证;接收认证中心返回的身份验证结果,所述身份验证结果指示身份验证通过或不通过。
9.一种登录装置,其特征在于,包括:
获取单元,用于获取并保存用户身份信息;
处理单元,用于响应于用户发起的服务访问请求,向与所述服务访问请求对应的服务器发送携带有所述用户的用户身份信息的代理认证请求,以进行身份验证;
验证结果接收单元,用于接收服务器在身份验证通过后,返回的一次性口令;
启动单元,用于根据所述一次性口令构造参数启动客户端,以便所述客户端向所述服务器发起携带所述一次性口令的服务请求;
其中,所述启动单元,具体用于在服务系统为客户端/服务器C/S结构时,将服务器信息和所述一次性口令作为参数,启动图形用户界面,以便所述图形用户界面向所述服务器发起携带所述一次性口令的服务请求;或者,
所述启动单元,具体用于在服务系统为浏览器/服务器B/S结构时,根据服务器信息和所述一次性口令构造一个临时的统一资源定位符URL,启动浏览器,以便所述浏览器向所述服务器发起携带所述一次性口令的服务请求。
10.根据权利要求9所述的登录装置,其特征在于,
所述处理单元,具体用于向与所述服务访问请求对应的服务器发送携带有所述用户的用户身份信息的代理认证请求,以便服务器进行身份验证;或者,向与所述服务访问请求对应的服务器发送携带有所述用户的用户身份信息的代理认证请求,以便服务器通过认证中心进行身份验证。
11.根据权利要求9或10所述的登录装置,其特征在于,还包括:
发送单元,用于向认证中心发送携带所述用户身份信息的用户身份校验请求,以便认证中心对用户身份信息进行校验,在接收到认证中心返回的表示校验通过的消息时,构造用户可访问服务的入口;在接收到认证中心返回的表示校验不通过的消息时,向用户返回拒绝访问的消息;
其中,所述处理单元,具体用于响应于用户通过构造的用户可访问服务的入口发起的服务访问请求,向与所述服务访问请求对应的服务器发送携带有所述用户身份信息的代理认证请求,以进行身份验证。
12.一种服务器,其特征在于,包括:
代理认证请求接收单元,用于接收登录装置发送的携带有用户身份信息的代理认证请求;
身份验证单元,用于根据安全认证策略对所述用户身份信息进行身份验证;
口令发送单元,用于在身份验证通过时,生成一次性口令并向所述登录装置返回所述一次性口令,并保存所述一次性口令和用户身份信息的关联关系;
服务请求接收单元,用于接收客户端发送的携带所述一次性口令的服务请求;
口令校验单元,用于对所述一次性口令进行校验;
处理单元,用于在所述一次性口令校验通过时,根据所述一次性口令和用户身份信息的关联关系获取与所述一次性口令对应的用户身份信息,向所述客户端返回所述用户身份信息对应的用户可访问的服务,并将所述一次性口令置为无效;
其中,所述携带所述一次性口令的服务请求是在服务系统为客户端/服务器C/S结构时,由所述登录装置将服务器信息和所述一次性口令作为参数,启动图形用户界面向所述服务器发起的,或者,
所述携带所述一次性口令的服务请求是在服务系统为浏览器/服务器B/S结构时,由所述登录装置根据服务器信息和所述一次性口令构造一个临时的统一资源定位符URL,启动浏览器向所述服务器发起的。
13.根据权利要求12所述的服务器,其特征在于,
所述处理单元,还用于在对一次性口令校验不通过时,向客户端返回拒绝访问的消息。
14.根据权利要求12或13所述的服务器,其特征在于,
所述身份验证单元,具体用于对所述用户身份信息进行身份验证;或者,
所述身份验证单元,具体用于向认证中心发送携带用户身份信息的用户身份校验请求,以便认证中心根据所述用户身份信息进行身份验证;接收认证中心返回的身份验证结果,所述身份验证结果指示身份验证通过或不通过。
15.一种通信系统,其特征在于,包括终端设备和权利要求12至14所述的任一种服务器,所述终端设备包括客户端和权利要求9至11所述的任一种登录装置;
所述客户端由登录装置根据一次性口令构造参数来启动,并在启动之后,利用所述一次性口令向所述服务器发起服务请求。
16.一种终端设备,其特征在于,包括客户端和权利要求9至11所述的任一种登录装置;
所述客户端由登录装置根据一次性口令构造参数来启动,并在启动之后,利用所述一次性口令向服务器发起服务请求。
17.根据权利要求16所述的终端设备,其特征在于,
所述客户端具体为图形用户界面或浏览器。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210053547.9A CN102624720B (zh) | 2012-03-02 | 2012-03-02 | 一种身份认证的方法、装置和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210053547.9A CN102624720B (zh) | 2012-03-02 | 2012-03-02 | 一种身份认证的方法、装置和系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102624720A CN102624720A (zh) | 2012-08-01 |
CN102624720B true CN102624720B (zh) | 2017-04-12 |
Family
ID=46564405
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201210053547.9A Active CN102624720B (zh) | 2012-03-02 | 2012-03-02 | 一种身份认证的方法、装置和系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102624720B (zh) |
Families Citing this family (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103701595B (zh) * | 2012-09-27 | 2018-09-21 | 西门子公司 | 用于登录认证的系统、方法和装置 |
CN102957706A (zh) * | 2012-11-14 | 2013-03-06 | 苏州薇思雨软件科技有限公司 | 一种数据服务器的安全防破解方法 |
CN103685282B (zh) * | 2013-12-18 | 2016-08-24 | 飞天诚信科技股份有限公司 | 一种基于单点登录的身份认证方法 |
CN104038474A (zh) * | 2014-05-09 | 2014-09-10 | 深信服网络科技(深圳)有限公司 | 互联网访问的检测方法及装置 |
CN104135482A (zh) * | 2014-08-07 | 2014-11-05 | 浪潮(北京)电子信息产业有限公司 | 一种认证方法及装置、服务器 |
TWI548249B (zh) * | 2014-08-08 | 2016-09-01 | 蓋特資訊系統股份有限公司 | 安全資料驗證方法、系統與電腦可讀取儲存媒體 |
CN105100096B (zh) * | 2015-07-17 | 2018-07-31 | 小米科技有限责任公司 | 验证方法和装置 |
CN107025397B (zh) * | 2016-01-29 | 2020-09-04 | 阿里巴巴集团控股有限公司 | 身份信息的获取方法和装置 |
CN107070880A (zh) * | 2017-02-16 | 2017-08-18 | 济南浪潮高新科技投资发展有限公司 | 一种单点登录的方法及系统、一种认证中心服务器 |
CN107590662B (zh) * | 2017-11-03 | 2021-01-15 | 中国银行股份有限公司 | 一种调用网银系统的认证方法及认证服务器、系统 |
CN107707570A (zh) * | 2017-11-13 | 2018-02-16 | 山东省农村信用社联合社 | 跨域单点登录集成方法和系统 |
CN108040090A (zh) * | 2017-11-27 | 2018-05-15 | 上海上实龙创智慧能源科技股份有限公司 | 一种多Web的系统整合方法 |
CN110781465B (zh) * | 2019-10-18 | 2022-04-19 | 中电科技(北京)股份有限公司 | 基于可信计算的bmc远程身份验证方法及系统 |
CN115333792A (zh) * | 2019-12-31 | 2022-11-11 | 华为云计算技术有限公司 | 一种身份认证方法、装置及相关设备 |
CN113114464B (zh) * | 2020-01-13 | 2023-10-27 | 中国移动通信集团重庆有限公司 | 统一安全管理系统及身份认证方法 |
CN111355713B (zh) * | 2020-02-20 | 2022-09-30 | 深信服科技股份有限公司 | 一种代理访问方法、装置、代理网关及可读存储介质 |
CN114928840B (zh) * | 2022-06-16 | 2023-10-13 | 中国联合网络通信集团有限公司 | 一种身份验证方法、装置及存储介质 |
CN116049802B (zh) * | 2023-03-31 | 2023-07-18 | 深圳竹云科技股份有限公司 | 应用单点登陆方法、系统、计算机设备和存储介质 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102111410A (zh) * | 2011-01-13 | 2011-06-29 | 中国科学院软件研究所 | 一种基于代理的单点登录方法及系统 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1288765B1 (en) * | 2001-09-04 | 2007-11-21 | Telefonaktiebolaget LM Ericsson (publ) | Universal authentication mechanism |
-
2012
- 2012-03-02 CN CN201210053547.9A patent/CN102624720B/zh active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102111410A (zh) * | 2011-01-13 | 2011-06-29 | 中国科学院软件研究所 | 一种基于代理的单点登录方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN102624720A (zh) | 2012-08-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102624720B (zh) | 一种身份认证的方法、装置和系统 | |
CN102201915B (zh) | 一种基于单点登录的终端认证方法和装置 | |
US10523678B2 (en) | System and method for architecture initiated network access control | |
RU2718237C2 (ru) | Системы и способы для аутентификации онлайнового пользователя с использованием сервера безопасной авторизации | |
TWI725958B (zh) | 雲端主機服務權限控制方法、裝置和系統 | |
US8769289B1 (en) | Authentication of a user accessing a protected resource using multi-channel protocol | |
US9083703B2 (en) | Mobile enterprise smartcard authentication | |
CN112822675B (zh) | 面向MEC环境的基于OAuth2.0的单点登录机制 | |
KR101459802B1 (ko) | 암호화 증명의 재검증에 기반을 둔 인증 위임 | |
US9166969B2 (en) | Session certificates | |
CN103475666B (zh) | 一种物联网资源的数字签名认证方法 | |
US20140337955A1 (en) | Authentication and authorization with a bundled token | |
WO2018205997A1 (zh) | 一种用于连接无线接入点的方法与设备 | |
US20150149766A1 (en) | System and methods for facilitating authentication of an electronic device accessing plurality of mobile applications | |
CN103139200A (zh) | 一种web service单点登录的方法 | |
CN112491776B (zh) | 安全认证方法及相关设备 | |
WO2014048749A1 (en) | Inter-domain single sign-on | |
KR20130109322A (ko) | 통신 시스템에서 사용자 인증을 대행하는 장치 및 방법 | |
CN111147525A (zh) | 基于api网关的认证方法、系统、服务器和存储介质 | |
CN108111518B (zh) | 一种基于安全密码代理服务器的单点登录方法及系统 | |
CN109962892A (zh) | 一种登录应用的认证方法及客户端、服务器 | |
CN113901429A (zh) | 多租户系统的访问方法及装置 | |
US9298903B2 (en) | Prevention of password leakage with single sign on in conjunction with command line interfaces | |
KR20180034199A (ko) | 싱글 사인 온 서비스 기반의 상호 인증 방법 및 시스템 | |
CN114500074B (zh) | 单点系统安全访问方法、装置及相关设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |