CN104579681B - 互信应用系统间身份认证系统 - Google Patents
互信应用系统间身份认证系统 Download PDFInfo
- Publication number
- CN104579681B CN104579681B CN201410834718.0A CN201410834718A CN104579681B CN 104579681 B CN104579681 B CN 104579681B CN 201410834718 A CN201410834718 A CN 201410834718A CN 104579681 B CN104579681 B CN 104579681B
- Authority
- CN
- China
- Prior art keywords
- application system
- user
- bill
- module
- mutual trust
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Storage Device Security (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种互信应用系统间身份认证系统,该系统包括:用户管理模块,用于保存和维护用户信息;登录验证模块,用于验证由应用系统A发出的用户账号和密码的有效性;若验证通过,将账号和密码和应用系统A的标识包装为票根TGT;获取票据模块,用于将应用系统A发送的用户票根TGT、应用系统A的标识信息appKey和appSecret、用户需要访问的第三方互信应用系统B的服务URL包装为访问应用系统A的票据ST;验证票据模块,用于根据应用系统B提交的票据ST及应用系统B的标识信息appKey和appSecret验证票据ST的有效性;退出登录模块:销毁票根TGT。本发明当用户已登录系统A时,希望访问系统B,则不需要登录操作,直接进入系统B,提高了用户体验。
Description
技术领域
本发明属于计算机应用学科领域,尤其是互信应用系统间身份认证系统。
背景技术
随着全球信息化和Internet技术的迅速发展, 系统间的相互协作越来越多,统一管理互信应用系统是全球信息化发展的必然趋势。统一管理互信应用系统能够提供或整合互信应用系统内部的多种信息系统,并以统一的用户界面方式提供给用户,为企业的管理者、应用提供商和用户提供统一的服务接入点。
目前计算机及网络系统中采用单点登录(Single Sign-On,简称SSO)模型,解决用户在互信应用系统之间一次登录就能访问其他授权的应用系统的问题。单点登录认证有许多优越性,使用户不必记下过多的登录口令,间接减少了口令泄露的几率;减少了用户等待返回认证结果的时间,促进工作效率的提升;能够提高应用系统的安全性,减少安全风险。
身份认证就是证实用户真实身份的真实性。在现实系统中,每个成员都有一个与之对应的数字身份,凭借它来防止非法用户通过身份欺诈访问系统资源。身份认证中常用的安全技术包括密码技术、消息摘要、数字签名和数字证书等。
安全的身份认证是所有应用系统的入口,统一管理平台所整合的互信应用系统往往具有相对独立的身份认证和授权机制,这使得软件平台和用户必须面对安全机制的多样性和异构性,从而导致用户身份严重不一致,用户信息无法统一,系统授权管理复杂等问题。因此研究设计出一种有效的、实用的且具有安全强度的互信应用系统间身份认证方法,具有重要的现实意义。
发明内容
本发明要解决的技术问题在于针对现有技术中的缺陷,提供一种互信应用系统间身份认证系统。
本发明解决其技术问题所采用的技术方案是:一种互信应用系统间身份认证系统,包括:
用户管理模块,用于保存和维护用户信息,所述用户信息包括用户注册的账号和密码信息;
登录验证模块,用于验证由应用系统A发出的用户账号和密码的有效性;若验证通过,将账号和密码和应用系统A的标识包装为票根TGT(Ticket Granting Ticket),并返回该票根TGT给应用系统A;应用系统A为用户注册的应用系统;
所述应用系统A的标识为系统A的appKey和appSecret;
获取票据模块,用于根据应用系统A发送的用户票根TGT、应用系统A的标识信息appKey和appSecret、用户需要访问的第三方互信应用系统B的服务URL包装为访问应用系统A的票据ST(Service Ticket),并返回ST给应用系统A;
其中应用系统A和应用系统B为互信系统,所述各互信应用系统以appKey作为自身的唯一标识,各互信应用系统通过标识信息appKey和appSecret确认对方身份,appSecret是与appKey对应的一个密钥;
验证票据模块,用于根据应用系统B提交的票据ST及应用系统B的标识信息appKey和appSecret验证票据ST的有效性;认证后,向应用系统B返回允许用户访问或禁止用户访问信息;所述应用系统B提交的票据ST由应用系统A提交给应用系统B;
退出登录模块,用于销毁登录验证模块中利用账号和密码包装的票根TGT。
按上述方案,所述用户管理模块、登录验证模块、获取票据模块、验证票据模块、退出登录模块均采用Restful Web Services架构。
采用Restful Web Services架构显著的优势是:1)统一接口,就是指REST通过统一的链接接口对相应资源进行操作,这里的资源是指REST将网络上所有的信息都抽取成为某种资源。REST以URI来确定资源,其充分地发挥了HTTP本身具备的分布式特性,将HTTP提供的四种基本方法(GET、POST、PUT及DELETE)分别对应资源的一种操作(查询、创建、修改及删除);2)无状态性,即要求通信必须建立在无状态的基础之上,也就是每次request请求应该包含此次请求的所有信息。这样当此次request请求出现局部错误时,不会涉及到request历史,只需对当前的request进行相应的处理即可。同时,这样也有利于对资源的释放。当然,这是在需要发送相应的重复数据开销的基础上得到的,有时会对效率产生影响。
按上述方案,所述用户管理模块提供包括用户注册服务、修改用户信息服务、用户查询服务和用户删除服务在内的功能。
按上述方案,所述登录验证模块、获取票据模块、验证票据模块、退出登录模块中,在各互信应用系统间传递票据均使用单点登录系统中的票据机制。
传递票据的过程包括:登录验证模块提交账号、密码、所属应用系统标识到认证系统,获取绑定用户信息的TGT(Ticket Granting Ticket)票根;获取票据模块提交TGT票根、所访问应用系统标识到认证系统,获取访问应用系统票据ST(Service Ticket);验证票据模块提交票据ST、应用系统标识到认证系统,验证用户是否具有访问权限;退出登录模块销毁TGT。
按上述方案,所述每个应用系统配备的标识appKey为互信应用系统间的唯一标识,身份认证系统与各应用系统共享该标识信息。
按上述方案,所述获取票据模块产生的票据ST有效期为60秒,并在验证票据模块中验证成功后即失效。
本发明产生的有益效果是:
1.互信应用系统间的身份认证采用票据机制,票据在应用系统间的传递和共享不会使用户的账号和密码等敏感信息明文传递,即互信应用系统间无需使用用户的账号和密码就可以完成身份认证。
2.互信应用系统间的身份认证方法采用Restful Web Services架构,通过URL就可以定位相应REST资源,并对其进行相应的CRUD操作,使信息资源的处理变得更加简单,使用HTTPS协议保证认证过程的安全性。因此,C/S架构、B/S架构软件均可使用该认证系统完成互信应用系统间的身份认证。
附图说明
下面将结合附图及实施例对本发明作进一步说明,附图中:
图1是本发明实施例的结构示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
如图1所示,一种互信应用系统间身份认证系统,包括:
用户管理模块,用于保存和维护用户信息,所述用户信息包括用户注册的账号和密码信息;
用户管理模块提供包括用户注册服务、修改用户信息服务、用户查询服务和用户删除服务在内的功能;
登录验证模块,用于验证由应用系统A发出的用户账号和密码的有效性;若验证通过,将账号和密码和应用系统A的标识包装为票根TGT(Ticket Granting Ticket),并返回该票根TGT给应用系统A;应用系统A为用户注册的应用系统;
所述应用系统A的标识为系统A的appKey和appSecret;
获取票据模块,用于根据应用系统A发送的用户票根TGT、应用系统A的标识信息appKey和appSecret、用户需要访问的第三方互信应用系统B的服务URL包装为访问应用系统A的票据ST(Service Ticket),并返回ST给应用系统A;
其中应用系统A和应用系统B为互信系统,所述各互信应用系统以appKey作为自身的唯一标识,各互信应用系统通过标识信息appKey和appSecret确认对方身份,appSecret是与appKey对应的一个密钥;每个应用系统配备的标识appKey为互信应用系统间的唯一标识,身份认证系统与各应用系统共享该标识信息;
验证票据模块,用于根据应用系统B提交的票据ST及应用系统B的标识信息appKey和appSecret验证票据ST的有效性;认证后,向应用系统B返回允许用户访问或禁止用户访问信息;所述应用系统B提交的票据ST由应用系统A提交给应用系统B;
退出登录模块,用于销毁利用账号和密码包装的票根TGT。
上述用户管理模块、登录验证模块、获取票据模块、验证票据模块、退出登录模块均采用Restful Web Services架构。
采用Restful Web Services架构显著的优势是:1)统一接口,就是指REST通过统一的链接接口对相应资源进行操作,这里的资源是指REST将网络上所有的信息都抽取成为某种资源。REST以URI来确定资源,其充分地发挥了HTTP本身具备的分布式特性,将HTTP提供的四种基本方法(GET、POST、PUT及DELETE)分别对应资源的一种操作(查询、创建、修改及删除);2)无状态性,即要求通信必须建立在无状态的基础之上,也就是每次request请求应该包含此次请求的所有信息。这样当此次request请求出现局部错误时,不会涉及到request历史,只需对当前的request进行相应的处理即可。同时,这样也有利于对资源的释放。当然,这是在需要发送相应的重复数据开销的基础上得到的,有时会对效率产生影响。
本发明中,登录验证模块、获取票据模块、验证票据模块、退出登录模块在工作时,在各互信应用系统间传递票据使用单点登录系统中的票据机制。
传递票据的过程包括:登录验证模块提交账号、密码、所属应用系统标识到认证系统,获取绑定用户信息的TGT(Ticket Granting Ticket)票根;获取票据模块提交TGT票根、所访问应用系统标识到认证系统,获取访问应用系统票据ST(Service Ticket);验证票据模块提交票据ST、应用系统标识到认证系统,验证用户是否具有访问权限;退出登录模块销毁TGT。
应当理解的是,对本领域普通技术人员来说,可以根据上述说明加以改进或变换,而所有这些改进和变换都应属于本发明所附权利要求的保护范围。
Claims (6)
1.一种互信应用系统间身份认证系统,包括:
用户管理模块,用于保存和维护用户信息,所述用户信息包括用户注册的账号和密码信息;
登录验证模块,用于验证由应用系统A发出的用户账号和密码的有效性;若验证通过,将账号和密码和应用系统A的标识包装为票根TGT,并返回该票根TGT给应用系统A;应用系统A为用户注册的应用系统;
所述应用系统A的标识为系统A的appKey和appSecret;
获取票据模块,用于将应用系统A发送的用户票根TGT、应用系统A的标识信息appKey和appSecret以及用户需要访问的第三方互信应用系统B的服务URL包装为访问应用系统A的票据ST,并返回ST给应用系统A;
其中应用系统A和应用系统B为互信系统,所述各互信应用系统以appKey作为自身的唯一标识,各互信应用系统通过标识信息appKey和appSecret确认对方身份,appSecret是与appKey对应的一个密钥;
验证票据模块,用于根据应用系统B提交的票据ST及应用系统B的标识信息appKey和appSecret验证票据ST的有效性;认证后,向应用系统B返回允许用户访问或禁止用户访问信息;所述应用系统B提交的票据ST由应用系统A提交给应用系统B;
退出登录模块:销毁登录验证模块中利用账号和密码包装的票根TGT。
2.根据权利要求1所述的身份认证系统,其特征在于,所述用户管理模块、登录验证模块、获取票据模块、验证票据模块、退出登录模块均采用Restful Web Services架构。
3.根据权利要求1所述的身份认证系统,其特征在于,所述用户管理模块提供包括用户注册服务、修改用户信息服务、用户查询服务和用户删除服务在内的功能。
4.根据权利要求1所述的身份认证系统,其特征在于,所述登录验证模块、获取票据模块、验证票据模块、退出登录模块中,在各互信应用系统间传递票据均使用单点登录系统中的票据机制。
5.根据权利要求1所述的身份认证系统,其特征在于,所述每个应用系统配备的标识appKey为互信应用系统间的唯一标识,身份认证系统与各应用系统共享该标识信息。
6.根据权利要求1所述的身份认证系统,其特征在于,所述获取票据模块产生的票据ST有效期为60秒,并在验证票据模块中验证成功后即失效。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410834718.0A CN104579681B (zh) | 2014-12-29 | 2014-12-29 | 互信应用系统间身份认证系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410834718.0A CN104579681B (zh) | 2014-12-29 | 2014-12-29 | 互信应用系统间身份认证系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN104579681A CN104579681A (zh) | 2015-04-29 |
CN104579681B true CN104579681B (zh) | 2018-04-20 |
Family
ID=53094960
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201410834718.0A Active CN104579681B (zh) | 2014-12-29 | 2014-12-29 | 互信应用系统间身份认证系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN104579681B (zh) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105141580B (zh) * | 2015-07-27 | 2019-01-11 | 天津灵创智恒软件技术有限公司 | 一种基于ad域的资源访问控制方法 |
CN107294916B (zh) * | 2016-03-31 | 2019-10-08 | 北京神州泰岳软件股份有限公司 | 单点登录方法、单点登录终端及单点登录系统 |
CN110582769A (zh) * | 2019-07-11 | 2019-12-17 | 深圳市鹰硕技术有限公司 | 一种单账号多身份登录方法、装置、服务器及存储介质 |
CN112929391B (zh) * | 2021-03-15 | 2023-03-31 | 浪潮云信息技术股份公司 | 一种基于单点登录实现跨平台身份认证的方法 |
CN113660204B (zh) * | 2021-07-09 | 2024-01-23 | 北京航天云路有限公司 | 一种实现统一集成绑定服务的方法 |
CN113660284B (zh) * | 2021-08-26 | 2023-02-21 | 贵州电子商务云运营有限责任公司 | 一种基于票据的分布式认证方法 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101350717A (zh) * | 2007-07-18 | 2009-01-21 | 中国移动通信集团公司 | 一种通过即时通信软件登录第三方服务器的方法及系统 |
CN103312505A (zh) * | 2013-04-08 | 2013-09-18 | 河海大学 | 一种易用的单点登录实现的构建方法 |
CN103384198A (zh) * | 2013-06-03 | 2013-11-06 | 华中科技大学 | 一种基于邮箱的用户身份认证服务方法和系统 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DK2885904T3 (en) * | 2012-08-03 | 2018-08-06 | Onespan Int Gmbh | PROCEDURE FOR USER-EASY AUTHENTICATION AND DEVICE USING A MOBILE APPLICATION FOR AUTHENTICATION |
-
2014
- 2014-12-29 CN CN201410834718.0A patent/CN104579681B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101350717A (zh) * | 2007-07-18 | 2009-01-21 | 中国移动通信集团公司 | 一种通过即时通信软件登录第三方服务器的方法及系统 |
CN103312505A (zh) * | 2013-04-08 | 2013-09-18 | 河海大学 | 一种易用的单点登录实现的构建方法 |
CN103384198A (zh) * | 2013-06-03 | 2013-11-06 | 华中科技大学 | 一种基于邮箱的用户身份认证服务方法和系统 |
Also Published As
Publication number | Publication date |
---|---|
CN104579681A (zh) | 2015-04-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104579681B (zh) | 互信应用系统间身份认证系统 | |
CN104580184A (zh) | 互信应用系统间身份认证方法 | |
CN105917630B (zh) | 使用单点登录自举到检查代理的重定向 | |
CN104021333B (zh) | 移动安全表袋 | |
US8875166B2 (en) | Method and cloud security framework for implementing tenant license verification | |
CN102281286B (zh) | 分布式混合企业的灵活端点顺从和强认证的方法和系统 | |
CN102801808B (zh) | 一种面向WebLogic的Form身份鉴别的单点登录集成方法 | |
US9147062B2 (en) | Renewal of user identification information | |
TW201830280A (zh) | 信任登錄方法、伺服器及系統 | |
US8275985B1 (en) | Infrastructure to secure federated web services | |
CN107786571A (zh) | 一种用户统一认证的方法 | |
CN107733861A (zh) | 一种基于企业级内外网环境的无密码登录实现方法 | |
CN107835176A (zh) | 一种基于eID的网络身份认证方法及平台 | |
CN103384198B (zh) | 一种基于邮箱的用户身份认证服务方法和系统 | |
CN102170354A (zh) | 集中账号密码认证生成系统 | |
CN108206821A (zh) | 一种身份认证的方法及系统 | |
JP6572750B2 (ja) | 認証制御プログラム、認証制御装置、及び認証制御方法 | |
CN105141580B (zh) | 一种基于ad域的资源访问控制方法 | |
CN109150800A (zh) | 一种登录访问方法、系统和存储介质 | |
CN102209046A (zh) | 网络资源整合系统及方法 | |
CN113312664B (zh) | 用户数据授权方法及用户数据授权系统 | |
CN106357629A (zh) | 基于数字证书的智能终端身份认证与单点登录系统及方法 | |
CN107070894A (zh) | 一种基于企业云服务平台的软件集成方法 | |
CN106850612A (zh) | 一种面向云化系统的密码管理方法及系统 | |
JP2007280393A (ja) | コンピューターログインをコントロールする装置およびその方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |