CN103701823A - 单点登录方法和装置 - Google Patents
单点登录方法和装置 Download PDFInfo
- Publication number
- CN103701823A CN103701823A CN201310752424.9A CN201310752424A CN103701823A CN 103701823 A CN103701823 A CN 103701823A CN 201310752424 A CN201310752424 A CN 201310752424A CN 103701823 A CN103701823 A CN 103701823A
- Authority
- CN
- China
- Prior art keywords
- certificate
- user
- usbkey
- cas
- management module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明提供了一种单点登录方法,包括以下步骤:用户通过证书管理模块向CA中心申请证书;CA中心将证书发送给证书管理模块;证书管理模块将证书写入用户的USBKey;用户向CAS发出登录请求;CAS向证书认证模块申请认证;证书认证模块从USBKey中读出证书信息,并对用户进行认证;以及证书认证模块将认证结果返回给CAS。利用本发明的单点登录方法能够克服现有技术的缺陷,通过基于CA和USBKey的单点登录方法,不仅能够实现单点登录,而且增强了单点登录系统的安全性。因此,保证用户密码及个人信息的安全性,从而为用户提供了更安全的工作环境。
Description
技术领域
本发明总体上涉及计算机领域,更具体地,涉及单点登录方法和装置。
背景技术
单点登录技术实现了多个应用系统中用户只需要登录一次就可以访问所有相互信任的应用系统,单点登录技术是目前比较流行的企业业务整合的解决方案之一。
在现有技术中,单点登录开源框架有CAS,该框架默认实现了使用用户名密码的单点登录方式。CAS系统,只是实现了用户名、密码的认证方式,该CAS系统在一定程度上实现了单点登录的功能。
然而,由于用户名、密码认证方式过于简单,有可能导致密码劫持、中间人攻击等问题,导致非合法用户通过认证,导致各系统的安全性无法得到保证。
发明内容
针对以上现有技术中用户名、密码认证方式过于简单,有可能导致密码劫持、中间人攻击等缺陷,本发明提供了能够解决上述缺陷的提供了单点登录方法和装置。
本发明提供了一种单点登录方法,包括以下步骤:用户通过证书管理模块向CA中心申请证书;CA中心将证书发送给证书管理模块;证书管理模块将证书写入用户的USBKey;用户向CAS发出登录请求;CAS向证书认证模块申请认证;证书认证模块从USBKey中读出证书信息,并对用户进行认证;以及证书认证模块将认证结果返回给CAS。
优选地,USBKey中内置单片机或智能卡芯片,用于存储用户的私钥以及证书信息。
优选地,USBKey中内置公钥算法,用于实现对用户的身份认证。
本发明还提供了一种单点登录装置,包括:证书申请模块,用于通过证书管理模块向CA中心申请证书,其中,CA中心将证书发送给证书管理模块,证书管理模块将证书写入用户的USBKey;登录请求模块,用于向CAS发出登录请求,其中,CAS向证书认证模块申请认证;证书认证模块,用于从USBKey中读出证书信息,并将认证结果返回给CAS。
优选地,USBKey中内置单片机或智能卡芯片,用于存储用户的私钥以及证书信息。
优选地,USBKey中内置公钥算法,用于实现对用户的身份认证。
利用本发明的技术方案能够克服现有技术的缺陷,通过CA和USBKey的单点登录方法和装置,不仅能够实现单点登录,而且增强了单点登录装置的安全性。因此,保证用户密码及个人信息的安全性,从而为用户提供了更安全的工作环境。
附图说明
当结合附图进行阅读时,根据下面详细的描述可以更好地理解本发明。应该强调的是,根据工业中的标准实践,各种部件没有被按比例绘制。实际上,为了清楚的讨论,各种部件的尺寸可以被任意增加或减少。
图1是根据本发明的示例性实施例的单点登录方法的流程图;
图2是根据本发明的示例性实施例的单点登录装置的结构框图;以及
图3是根据本发明的示例性实施例的单点登录装置的具体结构框图。
具体实施方式
为了实施本发明的不同部件,以下描述提供了许多不同的实施例或示例。以下描述元件和布置的特定示例以简化本发明。当然这些仅仅是示例并不打算限定。再者,以下描述中第一部件形成在第二部件上可包括其中第一和第二部件以直接接触形成的实施例,并且也可包括其中额外的部件形成插入到第一和第二部件中的实施例,使得第一和第二部件不直接接触。为了简明和清楚,可以任意地以不同的尺寸绘制各种部件。
图1是根据本发明的示例性实施例的单点登录方法的流程图。
参照图1,单点登录方法100包括:步骤102,在该步骤中用户通过证书管理模块向CA中心申请证书。CA(Certificate Authority),认证中心,它是采用PKI(Public Key Infrastructure)公开密钥基础架构技术,专门提供网络身份认证服务,负责签发和管理数字证书,且具有权威性和公正性的第三方信任机构。具体地,用户首先将申请证书的命令发送给证书管理模块证书管理模块,证书管理模块接收到申请证书的命令以后,向CA中心发送申请证书的信息。在步骤104中,CA中心将证书发送给证书管理模块。CA中心从证书管理模块接收到申请证书的信息以后,作为响应,将证书发送给证书管理模块。在步骤106中,证书管理模块将证书写入用户的USBKey。USB Key是一种USB接口的硬件设备。它内置单片机或智能卡芯片,有一定的存储空间,可以存储用户的私钥以及数字证书,利用USBKey内置的公钥算法实现对用户身份的认证。在一个实施例中,USBKey中内置单片机或智能卡芯片,用于存储用户的私钥以及证书信息。具体地,证书管理模块从CA中心接收到证书以后,将该证书写入用户的USBKey中并进行存储,以便于稍后的用户认证。
此外,单点登录方法100还包括:步骤108,用户向CAS发出登录请求。CAS(Central Authentication Service),是Yale大学发起的一个开源项目,旨在为Web应用系统提供一种可靠的单点登录方法。具体地,当用户要登录CAS时,向CAS发送登录请求。在步骤110中,CAS向证书认证模块申请认证。具体地,CAS在接收到用户的登录请求以后,向证书认证模块发送申请认证的信息。在步骤112中,证书认证模块从USBKey中读出证书信息,并对用户进行认证。在一实施例中,USBKey中内置公钥算法,用于实现对用户的身份认证。具体地,证书认证模块在接收到申请认证的信息以后,从USBKey中读取证书信息,并根据使用的CA系统,对用户进行认证。在步骤114中,证书认证模块将认证结果返回给CAS。具体地,当证书认证模块完成对用户的认证以后,将认证结果返回给CAS,从而完成用户登录CAS的认证。
利用本发明的实施例的单点登录方法,用户基于CA和USBKey,不需要多次登录除CA之外的其他系统,就可以自动登录其他系统,简化了用户的操作步骤。此外,通过CA和USBKey的单点登录方法,不仅能够实现单点登录,而且增强了单点登录的安全性。因此,保证用户密码及个人信息的安全性,从而为用户提供了更安全的工作环境。
图2是根据本发明的示例性实施例的单点登录装置的结构框图。
单点登录装置200包括:证书申请模块202,用于通过证书管理模块向CA中心申请证书,其中,CA中心将证书发送给证书管理模块,证书管理模块将证书写入用户的USBKey。具体地,证书申请模块202通过证书管理模块向CA中心申请证书。CA中心在接收到申请证书的信息以后,将证书发送给证书管理模块,随后,证书管理模块将证书写入用户的USBKey并进行存储。其中,USBKey中内置单片机或智能卡芯片,用于存储用户的私钥以及证书信息。
单点登录装置200还包括登录请求模块204,用于向CAS发出登录请求,其中,CAS向证书认证模块申请认证。具体地,登录请求模块204向CAS发出登录请求,CAS在接收到该登录请求以后,向证书认证模块申请认证。
单点登录装置200还包括证书认证模块206,用于从USBKey中读出证书信息,并将认证结果返回给CAS。USBKey中内置公钥算法,用于实现对用户的身份认证。具体地,证书认证模块206从CAS接收到申请认证的请求以后,从USBKey中读出先前存储的证书信息,然后,证书认证模块206根据使用CA对用户进行认证,最后,将认证结果返回给CAS。
利用本发明的实施例的单点登录装置,用户基于CA和USBKey,不需要多次登录除CA之外的其他系统,就可以自动登录这些其他系统,简化了用户的操作步骤。此外,通过CA和USBKey的单点登录装置,不仅能够实现单点登录,而且增强了单点登录装置的安全性。因此,保证用户密码及个人信息的安全性,从而为用户提供了更安全的工作环境。
图3是根据本发明的示例性实施例的单点登录装置的具体结构框图。
在具体实例中,在第1步骤中,用户通过证书管理模块申请证书;在第2步骤中,证书管理模块向CA中心申请证书;在第3步骤中,CA中心将证书发送给证书管理模块;在第4步骤中,证书管理模块将证书写入用户的USBKey;在第5步骤中,用户向CAS发出登录请求;在第6步骤中,CAS向证书认证模块申请用户认证;在第7步骤中,证书认证模块从USBKey中读出证书信息;在第8和9步骤中,根据使用CA对用户进行认证;最后,证书认证模块将认证结果返回给CAS。
利用本发明的实施例的单点登录装置和方法,用户基于CA和USBKey,不需要多次登录除CA之外的其他系统,就可以自动登录其他系统,简化了用户的操作步骤。此外,通过CA和USBKey的单点登录装置和方法,不仅能够实现单点登录,而且增强了单点登录装置的安全性。因此,保证用户密码及个人信息的安全性,从而为用户提供了更安全的工作环境。
上面论述了若干实施例的部件,使得本领域普通技术人员可以更好地理解本发明的各个方面。本领域普通技术人员应该理解,可以很容易地使用本发明作为基础来设计或更改其他用于达到与这里所介绍实施例相同的目的和/或实现相同优点的处理和结构。本领域普通技术人员也应该意识到,这种等效构造并不背离本发明的精神和范围,并且在不背离本发明的精神和范围的情况下,可以进行多种变化、替换以及改变。
Claims (6)
1.一种单点登录方法,其特征在于,包括以下步骤:
用户通过证书管理模块向CA中心申请证书;
所述CA中心将所述证书发送给所述证书管理模块;
所述证书管理模块将证书写入所述用户的USBKey;
所述用户向CAS发出登录请求;
所述CAS向证书认证模块申请认证;
所述证书认证模块从所述USBKey中读出证书信息,并对用户进行认证;以及
所述证书认证模块将认证结果返回给所述CAS。
2.根据权利要求1所述的方法,其特征在于,所述USBKey中内置单片机或智能卡芯片,用于存储所述用户的私钥以及所述证书信息。
3.根据权利要求2所述的方法,其特征在于,所述USBKey中内置公钥算法,用于实现对所述用户的身份认证。
4.一种单点登录装置,其特征在于,包括:
证书申请模块,用于通过证书管理模块向CA中心申请证书,其中,所述CA中心将所述证书发送给所述证书管理模块,所述证书管理模块将证书写入所述用户的USBKey;
登录请求模块,用于向CAS发出登录请求,其中,所述CAS向证书认证模块申请认证;
所述证书认证模块,用于从所述USBKey中读出证书信息,并将认证结果返回给所述CAS。
5.根据权利要求4所述的装置,其特征在于,所述USBKey中内置单片机或智能卡芯片,用于存储所述用户的私钥以及所述证书信息。
6.根据权利要求5所述的装置,其特征在于,所述USBKey中内置公钥算法,用于实现对所述用户的身份认证。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310752424.9A CN103701823A (zh) | 2013-12-31 | 2013-12-31 | 单点登录方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310752424.9A CN103701823A (zh) | 2013-12-31 | 2013-12-31 | 单点登录方法和装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103701823A true CN103701823A (zh) | 2014-04-02 |
Family
ID=50363219
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310752424.9A Pending CN103701823A (zh) | 2013-12-31 | 2013-12-31 | 单点登录方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103701823A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104378210A (zh) * | 2014-11-26 | 2015-02-25 | 成都卫士通信息安全技术有限公司 | 跨信任域的身份认证方法 |
| CN105430014A (zh) * | 2015-12-30 | 2016-03-23 | 福建亿榕信息技术有限公司 | 一种单点登录方法及其系统 |
| CN106131082A (zh) * | 2016-08-30 | 2016-11-16 | 姚锋 | 一种利用智能硬件实现的一次认证方法及其系统 |
| CN106357629A (zh) * | 2016-08-31 | 2017-01-25 | 天津灵创智恒软件技术有限公司 | 基于数字证书的智能终端身份认证与单点登录系统及方法 |
-
2013
- 2013-12-31 CN CN201310752424.9A patent/CN103701823A/zh active Pending
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104378210A (zh) * | 2014-11-26 | 2015-02-25 | 成都卫士通信息安全技术有限公司 | 跨信任域的身份认证方法 |
| CN104378210B (zh) * | 2014-11-26 | 2018-01-26 | 成都卫士通信息安全技术有限公司 | 跨信任域的身份认证方法 |
| CN105430014A (zh) * | 2015-12-30 | 2016-03-23 | 福建亿榕信息技术有限公司 | 一种单点登录方法及其系统 |
| CN105430014B (zh) * | 2015-12-30 | 2019-04-23 | 福建亿榕信息技术有限公司 | 一种单点登录方法及其系统 |
| CN106131082A (zh) * | 2016-08-30 | 2016-11-16 | 姚锋 | 一种利用智能硬件实现的一次认证方法及其系统 |
| CN106131082B (zh) * | 2016-08-30 | 2019-02-15 | 姚锋 | 一种利用智能硬件实现的一次认证方法及其系统 |
| CN106357629A (zh) * | 2016-08-31 | 2017-01-25 | 天津灵创智恒软件技术有限公司 | 基于数字证书的智能终端身份认证与单点登录系统及方法 |
| CN106357629B (zh) * | 2016-08-31 | 2021-10-26 | 天津灵创智恒软件技术有限公司 | 基于数字证书的智能终端身份认证与单点登录系统及方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Lundkvist et al. | Uport: A platform for self-sovereign identity | |
| EP3439230B1 (en) | Method and device for registering biometric identity and authenticating biometric identity | |
| KR102004840B1 (ko) | 유비쿼터스 환경에서 인증 | |
| US8806205B2 (en) | Apparatus for and method of multi-factor authentication among collaborating communication devices | |
| US8613067B2 (en) | Single sign on with multiple authentication factors | |
| CN102420690B (zh) | 一种工业控制系统中身份与权限的融合认证方法及系统 | |
| CN107070667A (zh) | 身份认证方法、用户设备和服务器 | |
| US11757640B2 (en) | Non-fungible token authentication | |
| US11025592B2 (en) | System, method and computer-accessible medium for two-factor authentication during virtual private network sessions | |
| US10715327B1 (en) | Software credential token issuance based on hardware credential token | |
| US20150038118A1 (en) | Method for verifying the identity of a user of a communicating terminal and associated system | |
| CN103684797B (zh) | 用户和用户终端设备的关联认证方法及系统 | |
| CN109756446A (zh) | 一种车载设备的访问方法和系统 | |
| CN109067785A (zh) | 集群认证方法、装置 | |
| CN109981287A (zh) | 一种代码签名方法及其存储介质 | |
| CN103414699A (zh) | 客户端证书认证方法、服务器和客户端 | |
| US20190297071A1 (en) | Managing security credentials | |
| CN107634834A (zh) | 一种基于多终端多场景的可信身份认证方法 | |
| El Madhoun et al. | A cloud-based secure authentication protocol for contactless-nfc payment | |
| CN110351265A (zh) | 一种基于jwt的认证鉴权方法、计算机可读介质及系统 | |
| CN104202170A (zh) | 一种基于标识的身份认证系统和方法 | |
| US20170104748A1 (en) | System and method for managing network access with a certificate having soft expiration | |
| US20190007218A1 (en) | Second dynamic authentication of an electronic signature using a secure hardware module | |
| CN103701823A (zh) | 单点登录方法和装置 | |
| JP2015194879A (ja) | 認証システム、方法、及び提供装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20140402 |
|
| RJ01 | Rejection of invention patent application after publication |