CN105430014A - 一种单点登录方法及其系统 - Google Patents

一种单点登录方法及其系统 Download PDF

Info

Publication number
CN105430014A
CN105430014A CN201511017547.3A CN201511017547A CN105430014A CN 105430014 A CN105430014 A CN 105430014A CN 201511017547 A CN201511017547 A CN 201511017547A CN 105430014 A CN105430014 A CN 105430014A
Authority
CN
China
Prior art keywords
cas
newticket
web browser
information
service end
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201511017547.3A
Other languages
English (en)
Other versions
CN105430014B (zh
Inventor
倪时龙
林振天
陈又咏
谢海强
蔡清远
李汝佳
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujian Yirong Information Technology Co Ltd
Original Assignee
Fujian Yirong Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujian Yirong Information Technology Co Ltd filed Critical Fujian Yirong Information Technology Co Ltd
Priority to CN201511017547.3A priority Critical patent/CN105430014B/zh
Publication of CN105430014A publication Critical patent/CN105430014A/zh
Application granted granted Critical
Publication of CN105430014B publication Critical patent/CN105430014B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明提供一种单点登录系统及方法,所述系统包括一访问模块、一重定向模块、一登录模块、一加密模块和一认证模块,所述方法包括:Web浏览器访问CAS客户端,CAS客户端获取Web浏览器中的认证信息NewTicket进行认证;所述NewTicket由CAS服务端根据Web首次登录时的信息生成并连同CAS服务端公钥存储于Web浏览器供下次认证,所述NewTicket包括Ticket和签名信息,所述签名信息由Ticket转换处理后再用CAS服务端的私钥加密得到,在认证时,由CAS客户端用CAS服务端公钥对NewTicket中的签名信息解密得到签名内容,比对签名内容与经转换处理后的Ticket是否一致,若是,则认证成功;否则,认证失败。本发明实现CAS客户端自行校验以及双向认证机制,大大降低对CAS服务端的依赖度的同时提高安全性。

Description

一种单点登录方法及其系统
技术领域
本发明涉及计算机网络信息安全技术领域,尤其涉及一种单点登录方法及其系统。
背景技术
单点登录(SingleSignOn),简称为SSO,是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统,单点登录是一种授权机制和统一认证,目前该技术领域常用的技术CAS(CentralAuthenticationService)是Yale大学发起的一个开源项目,旨在提供稳定可靠的单点登录解决方案,CAS客户端与受保护的客户端应用部署在一起,以过滤方式保护Web应用的受保护资源,如图1所示,现有CAS(CentralAuthenticationService)的基本验证过程包括:
步骤1、CAS客户端(即图1中的CASClient)Web浏览器发起请求,Web浏览器过滤从客户端过来的每一个Web请求,并访问CAS客户端;
步骤2、CAS客户端分析HTTP请求中是否包含请求ServiceTicket,如果没有,则说明该用户是没有经过认证的,CAS客户端会重定向用户请求到CAS服务端,并传递Service(要访问的目的资源地址)给CAS服务端;
步骤3、用户进行登录操作,提供证书进行认证;
步骤4、在用户提供了正确的证书后,CAS服务端随机产生一个相当长度、唯一、不可伪造的ServiceTicket,并缓存以待将来验证,并且重定向用户到Service所在地址(附带步骤3中产生的ServiceTicket),并为Web浏览器设置一个TicketGrantedCookie(TGC);
步骤5、CAS客户端在拿到Service和新产生的Ticket过后,与CAS服务端进行身份核实;
步骤6、CAS服务端返回用户信息,完成验证,确保ServiceTicket的合法性。
上述CAS验证方式,存在以下不足:
1、在实际环境应用中经常会部署几百甚至上千台应用服务节点,因为CAS本身验证机制的原因,出于安全考虑所有业务链接均要经过CAS服务端的验证,为了认证Ticket串的真实性和获取必要用户信息,需要数次向CAS服务端发起请求,这种高耦合的设计模式致使CAS服务端交互过于频繁,且业务模块对CAS服务端高度依赖,一旦CAS服务端异常,所有的业务模块均会受到影响;
2、CAS服务认证的只是其颁发的Ticket串,黑客很容易仿造或窃取其Ticket串,并在其他机器上进行重放攻击,造成信息的泄露,安全性不够。
发明内容
本发明要解决的技术问题之一,在于提供一种单点登录方法,通过非对称密钥实现CAS客户端自行校验,大大降低对CAS服务端的依赖度,同时,实现双向认证机制,提高安全性。
本发明要解决的技术问题之一是这样实现的:一种单点登录方法,包括如下步骤:
步骤1、通过Web浏览器访问CAS客户端;
步骤2、通过CAS客户端检测所述Web浏览器是否含有认证信息NewTicket,若是,则进入步骤5,直接进行认证;否则,跳回到浏览器,由Web浏览器重定向到CAS服务端,进入步骤3;
步骤3、通过Web浏览器进行用户登录,若用户登录账户和密码正确,则进入步骤4,否则,退出认证;
步骤4、通过CAS服务端根据Web浏览器传来的信息生成认证信息NewTicket,并将认证信息NewTicket与CAS服务端公钥存于Web浏览器,用于下次Web浏览器访问CAS客户端时直接进行认证,所述认证信息NewTicket包括Ticket和签名信息,所述签名信息由Ticket经过一转换方式进行处理后再用CAS服务端的私钥进行加密得到;
步骤5、通过CAS客户端获取Web浏览器中的认证信息NewTicket,根据CAS服务端公钥对认证信息NewTicket中的签名信息进行解密得到签名内容,并采用所述转换方式对认证信息NewTicket中的Ticket进行处理,若签名内容与处理后的Ticket一致,则认证成功,进入应用界面;否则,认证失败,退出认证。
进一步的,所述Ticket信息包括版本信息、创建时间、过期时间、浏览器端的设备信息、随机混淆码和用户核心传输数据。
进一步的,步骤6、在Web浏览器需要获取存于CAS服务端中的信息时,所述Web浏览器通过向CAS客户端发起访问,由CAS客户端向CAS服务端发起请求,所述CAS服务端获取Web浏览器的认证信息NewTicket,根据CAS服务端公钥对认证信息NewTicket中的签名信息进行解密得到签名内容,并采用所述转换方式对认证信息NewTicket中的Ticket进行处理,若签名内容与处理后的Ticket一致且Ticket中的设备信息与发起请求的浏览器端的设备信息一致,则认证成功,获取CAS服务端信息返回给Web浏览器;否则,认证失败,退出认证。
进一步的,所述转换方式为哈希散列SHA-1处理。
进一步的,所述认证信息NewTicket在传输过程中采用base64方式进行加密。
本发明要解决的技术问题之二,在于提供一种单点登录系统,通过非对称密钥实现CAS客户端自行校验,大大降低对CAS服务端的依赖度,同时,实现双向认证机制,提高安全性。
本发明要解决的技术问题之二是这样实现的:一种单点登录系统,包括一访问模块、一重定向模块、一登录模块、一加密模块和一认证模块;
所述访问模块,用于通过Web浏览器访问CAS客户端;
所述重定向模块,用于通过CAS客户端检测所述Web浏览器是否含有认证信息NewTicket,若是,则执行认证模块,直接进行认证;否则,跳回到浏览器,由Web浏览器重定向到CAS服务端,执行登录模块;
所述登录模块,用于通过Web浏览器进行用户登录,若用户登录账户和密码正确,则执行加密模块,否则,退出认证;
所述加密模块,用于通过CAS服务端根据Web浏览器传来的信息生成认证信息NewTicket,并将认证信息NewTicket与CAS服务端公钥存于Web浏览器,用于下次Web浏览器访问CAS客户端时直接进行认证,所述认证信息NewTicket包括Ticket和签名信息,所述签名信息由Ticket经过一转换方式进行处理后再用CAS服务端的私钥进行加密得到;
所述认证模块,用于通过CAS客户端获取Web浏览器中的认证信息NewTicket,根据CAS服务端公钥对认证信息NewTicket中的签名信息进行解密得到签名内容,并采用所述转换方式对认证信息NewTicket中的Ticket进行处理,若签名内容与处理后的Ticket一致,则认证成功,进入应用界面;否则,认证失败,退出认证。
进一步的,所述Ticket信息包括版本信息、创建时间、过期时间、浏览器端的设备信息、随机混淆码和用户核心传输数据。
进一步的,所述系统还包括一双向认证模块,用于在Web浏览器需要获取存于CAS服务端中的信息时,所述Web浏览器通过向CAS客户端发起访问,由CAS客户端向CAS服务端发起请求,所述CAS服务端获取Web浏览器的认证信息NewTicket,根据CAS服务端公钥对认证信息NewTicket中的签名信息进行解密得到签名内容,并采用所述转换方式对认证信息NewTicket中的Ticket进行处理,若签名内容与处理后的Ticket一致且Ticket中的浏览器端的设备信息与发起请求的浏览器端的设备信息一致,则认证成功,获取CAS服务端信息返回给Web浏览器;否则,认证失败,退出认证。
进一步的,所述转换方式为哈希散列SHA-1处理。
进一步的,所述认证信息NewTicket在传输过程中采用base64方式进行加密。
本发明具有如下优点:
1、通过引入非对称密钥算法实现CAS客户端的自行校验,减少了CAS客户端与CAS服务器之间的频繁交互,降低了对CAS服务器的依赖度,增强了系统的稳定性;
2、CAS客户端在首次登录后,将浏览器端的设备信息加入到Ticket串中作为CAS服务器对CAS客户端信任的依据,当CAS客户端需要访问CAS服务端信息时,通过CAS服务端验证浏览器端的设备信息并通过CAS客户端验证CAS服务端的数据的完整性,实现双向验证机制,大大提高了安全性;
3、在通过Ticket串中加入版本信息和随机混淆码,增加了暴力破解的难度;
4、NewTicket在传输过程中采用base64加密方式,二进制转成字节流,增加了传输效率。
附图说明
下面参照附图结合实施例对本发明作进一步的说明。
图1为现有技术中单点登录基本验证过程原理图。
图2为本发明单点登录基本验证过程原理图。
图3为本发明一种单点登录方法执行流程图。
图4为本发明一种单点登录系统框图。
图5为本发明中NewTicket信息组成示意图。
图6为本发明中NewTicket中签名信息的形成过程示意图。
具体实施方式
如图2和图3所示,一种单点登录方法,包括如下步骤:
步骤1、通过Web浏览器访问CAS客户端(图2中的CASclient即CAS客户端);
步骤2、通过CAS客户端检测所述Web浏览器是否含有认证信息NewTicket,若是,则进入步骤5,直接进行认证;否则,跳回到浏览器,由Web浏览器重定向到CAS服务端,进入步骤3;
步骤3、通过Web浏览器进行用户登录,若用户登录账户和密码正确,则进入步骤4,否则,退出认证;
步骤4、通过CAS服务端根据Web浏览器传来的信息生成认证信息NewTicket,并将认证信息NewTicket与CAS服务端公钥存于Web浏览器,用于下次Web浏览器访问CAS客户端时直接进行认证,所述认证信息NewTicket包括Ticket和签名信息,所述Ticket信息包括版本信息、创建时间、过期时间、Web浏览器端的设备信息、随机混淆码和用户核心传输数据,所述签名信息由Ticket经过哈希散列SHA-1处理后再用CAS服务端的私钥进行加密得到;
步骤5、通过CAS客户端获取Web浏览器中的认证信息NewTicket,根据CAS服务端公钥对认证信息NewTicket中的签名信息进行解密得到签名内容,并采用哈希散列SHA-1对认证信息NewTicket中的Ticket进行处理,若签名内容与经哈希散列SHA-1处理后的Ticket一致,则认证成功,进入应用界面;否则,认证失败,退出认证;
步骤6、在Web浏览器需要获取存于CAS服务端中的信息时,所述Web浏览器通过向CAS客户端发起访问,由CAS客户端向CAS服务端发起请求,所述CAS服务端获取Web浏览器的认证信息NewTicket,根据CAS服务端公钥对认证信息NewTicket中的签名信息进行解密得到签名内容,并采用哈希散列SHA-1对认证信息NewTicket中的Ticket进行处理,若签名内容与经过哈希散列SHA-1处理后的Ticket一致且Ticket中的设备信息与发起请求的Web浏览器端的设备信息一致,则认证成功,获取CAS服务端信息返回给Web浏览器;否则,认证失败,退出认证。
其中,所述认证信息NewTicket在传输过程中采用base64方式进行加密。
如图4所示,一种单点登录系统,包括一访问模块、一重定向模块、一登录模块、一加密模块、一认证模块和一双向认证模块;
所述访问模块,用于通过Web浏览器访问CAS客户端;
所述重定向模块,用于通过CAS客户端检测所述Web浏览器是否含有认证信息NewTicket,若是,则执行认证模块,直接进行认证;否则,跳回到浏览器,由Web浏览器重定向到CAS服务端,执行登录模块;
所述登录模块,用于通过Web浏览器进行用户登录,若用户登录账户和密码正确,则执行加密模块,否则,退出认证;
所述加密模块,用于通过CAS服务端根据Web浏览器传来的信息生成认证信息NewTicket,并将认证信息NewTicket与CAS服务端公钥存于Web浏览器,用于下次Web浏览器访问CAS客户端时直接进行认证,所述认证信息NewTicket包括Ticket和签名信息,所述Ticket信息包括版本信息、创建时间、过期时间、Web浏览器端的设备信息、随机混淆码和用户核心传输数据,所述签名信息由Ticket经过哈希散列SHA-1处理后再用CAS服务端的私钥进行加密得到;
所述认证模块,用于通过CAS客户端获取Web浏览器中的认证信息NewTicket,根据CAS服务端公钥对认证信息NewTicket中的签名信息进行解密得到签名内容,并采用哈希散列SHA-1对认证信息NewTicket中的Ticket进行处理,若签名内容与经哈希散列SHA-1处理后的Ticket一致,则认证成功,进入应用界面;否则,认证失败,退出认证;
所述双向认证模块,用于在Web浏览器需要获取存于CAS服务端中的信息时,所述Web浏览器通过向CAS客户端发起访问,由CAS客户端向CAS服务端发起请求,所述CAS服务端获取Web浏览器的认证信息NewTicket,根据CAS服务端公钥对认证信息NewTicket中的签名信息进行解密得到签名内容,并采用哈希散列SHA-1对认证信息NewTicket中的Ticket进行处理,若签名内容与经过哈希散列SHA-1处理后的Ticket一致且Ticket中的设备信息与发起请求的浏览器端的设备信息一致,则认证成功,获取CAS服务端信息返回给Web浏览器;否则,认证失败,退出认证。
其中,所述认证信息NewTicket在传输过程中采用base64方式进行加密。
下面结合一具体实施例对本发明做进一步说明:
如图2、图5和图6所示,一种单点登录方法,包括:
步骤1、通过Web浏览器访问CAS客户端;
步骤2、通过CAS客户端检测所述Web浏览器是否含有带认证信息NewTicket的cookie,若是,则进入步骤5,直接进行认证;否则,跳回到浏览器,由Web浏览器重定向到CAS服务端,进入步骤3;
步骤3、通过Web浏览器将用户信息发送给CAS服务端进行用户登录,若用户登录账户和密码正确,则进入步骤4,否则,退出认证;
步骤4、通过CAS服务端根据Web浏览器传来的信息生成认证信息NewTicket,并将认证信息NewTicket与CAS服务端公钥存于Web浏览器的cookie中,用于下次Web浏览器访问CAS客户端时直接进行认证,如图5所示,所述认证信息NewTicket由Ticket和签名信息组成,所述Ticket根据Web浏览器传来的信息生成的,所述Web浏览器传来的信息中包括账户信息,如图6所示,所述Ticket具体包括4位版本信息、8位创建时间、8位过期时间、8位浏览器端的设备信息(设备信息可以为浏览器端的IP地址或MAC地址等唯一标识该设备的信息)、4位随机混淆码和可变长度的用户核心传输数据,所述签名信息由Ticket先经过哈希散列SHA-1处理后,再用CAS服务端的私钥进行加密得到,所述认证信息NewTicket在数据传输过程中通过base64加密方式进行加密;
其中,在CAS服务端中生成认证信息NewTicket并进行base64加密传输的公式如下:
Ticket=版本号+创建时间+过期时间+浏览器端的设备信息+随机混淆码+用户核心传输数据(所述用户核心传输数据包括用户验证信息中的账户信息);
签名信息=服务端私钥(SHA-1(Ticket));
NewTicket=Ticket+签名信息;
NewTicket=base64Encode(NewTicket);
步骤5、通过CAS客户端获取Web浏览器中的cookie,从而获得NewTicket,根据CAS服务端公钥对NewTicket中的签名信息进行解密得到签名内容,并采用哈希散列SHA-1对NewTicket中的Ticket进行处理,若签名内容与经哈希散列SHA-1处理后的Ticket一致,则认证成功,进入应用界面;否则,认证失败,退出认证;
其中,在CAS客户端中认证CAS服务端的解密公式如下:
NewTicket=base64Decode(NewTicket);
Ticket=NewTicket-签名信息;
签名内容=服务端公钥(签名信息);
若签名内容=SHA-1(Ticket),则表示在传输的过程中数据未经过篡改,认证成功,否则,判为认证失败;
步骤6、在Web浏览器需要获取存于CAS服务端中的信息时,因为CAS服务端通常存储一些比较敏感的信息,所以如果Web浏览器要访问这些比较敏感的信息时,就需要通过CAS客户端从CAS服务端获取敏感信息,为保证信息的安全性,通过进行双向认证提高安全系数,具体的,所述Web浏览器通过向CAS客户端发起访问,再由CAS客户端向CAS服务端发起请求,所述CAS服务端获取Web浏览器的cookie,从而获得NewTicket,根据CAS服务端公钥对NewTicket中的签名信息进行解密得到签名内容,并采用哈希散列SHA-1对NewTicket中的Ticket进行处理,若签名内容与经过哈希散列SHA-1处理后的Ticket一致且Ticket中的设备信息与发起请求的浏览器端的设备信息一致,则认证成功,获取CAS服务端信息返回给Web浏览器;否则,认证失败,退出认证;
其中,CAS服务端认证CAS客户端解密公式如下:
NewTicket=base64Decode(NewTicket);
Ticket=NewTicket-签名信息;
签名内容=服务端公钥(签名信息);
若签名内容=SHA-1(Ticket)且浏览器端的设备信息=请求的客户端信息,则表示在传输的过程中数据未经过篡改,请求的客户端信息也未经篡改,则CAS服务端证实了CAS客户端,并获取CAS服务端信息返回给Web浏览器。
本发明通过引入非对称密钥算法实现CAS客户端的自行校验,减少了CAS客户端与CAS服务器之间的频繁交互,降低了对CAS服务器的依赖度,增强了系统的稳定性,且CAS客户端首次登录后,将浏览器端的设备信息加入到Ticket串中作为CAS服务器对CAS客户端信任的依据,当CAS客户端需要访问CAS服务端信息时,CAS客户端通过非对称算法校验CAS服务端的数据的完整性的同时,CAS服务端验证浏览器端的设备信息,实现双向验证机制,大大提高了安全性;同时,在Ticket串中加入4位版本信息和4位随机混淆码,进一步可以增加了暴力破解的难度,另外,NewTicket在传输过程中采用base64加密方式,二进制转成字节流,增加了传输效率。
虽然以上描述了本发明的具体实施方式,但是熟悉本技术领域的技术人员应当理解,我们所描述的具体的实施例只是说明性的,而不是用于对本发明的范围的限定,熟悉本领域的技术人员在依照本发明的精神所作的等效的修饰以及变化,都应当涵盖在本发明的权利要求所保护的范围内。

Claims (10)

1.一种单点登录方法,其特征在于:包括如下步骤:
步骤1、通过Web浏览器访问CAS客户端;
步骤2、通过CAS客户端检测所述Web浏览器是否含有认证信息NewTicket,若是,则进入步骤5,直接进行认证;否则,跳回到浏览器,由Web浏览器重定向到CAS服务端,进入步骤3;
步骤3、通过Web浏览器进行用户登录,若用户登录账户和密码正确,则进入步骤4,否则,退出认证;
步骤4、通过CAS服务端根据Web浏览器传来的信息生成认证信息NewTicket,并将认证信息NewTicket与CAS服务端公钥存于Web浏览器,用于下次Web浏览器访问CAS客户端时直接进行认证,所述认证信息NewTicket包括Ticket和签名信息,所述签名信息由Ticket经过一转换方式进行处理后再用CAS服务端的私钥进行加密得到;
步骤5、通过CAS客户端获取Web浏览器中的认证信息NewTicket,根据CAS服务端公钥对认证信息NewTicket中的签名信息进行解密得到签名内容,并采用所述转换方式对认证信息NewTicket中的Ticket进行处理,若签名内容与处理后的Ticket一致,则认证成功,进入应用界面;否则,认证失败,退出认证。
2.根据权利要求1所述的一种单点登录方法,其特征在于:所述Ticket信息包括版本信息、创建时间、过期时间、浏览器端的设备信息、随机混淆码和用户核心传输数据。
3.根据权利要求2所述的一种单点登录方法,其特征在于:所述方法还包括步骤6、在Web浏览器需要获取存于CAS服务端中的信息时,所述Web浏览器通过向CAS客户端发起访问,由CAS客户端向CAS服务端发起请求,所述CAS服务端获取Web浏览器的认证信息NewTicket,根据CAS服务端公钥对认证信息NewTicket中的签名信息进行解密得到签名内容,并采用所述转换方式对认证信息NewTicket中的Ticket进行处理,若签名内容与处理后的Ticket一致且Ticket中的设备信息与发起请求的浏览器端的设备信息一致,则认证成功,获取CAS服务端信息返回给Web浏览器;否则,认证失败,退出认证。
4.根据权利要求1所述的一种单点登录方法,其特征在于:所述转换方式为哈希散列SHA-1处理。
5.根据权利要求1所述的一种单点登录方法,其特征在于:所述认证信息NewTicket在传输过程中采用base64方式进行加密。
6.一种单点登录系统,其特征在于:包括一访问模块、一重定向模块、一登录模块、一加密模块和一认证模块;
所述访问模块,用于通过Web浏览器访问CAS客户端;
所述重定向模块,用于通过CAS客户端检测所述Web浏览器是否含有认证信息NewTicket,若是,则执行认证模块,直接进行认证;否则,跳回到浏览器,由Web浏览器重定向到CAS服务端,执行登录模块;
所述登录模块,用于通过Web浏览器进行用户登录,若用户登录账户和密码正确,则执行加密模块,否则,退出认证;
所述加密模块,用于通过CAS服务端根据Web浏览器传来的信息生成认证信息NewTicket,并将认证信息NewTicket与CAS服务端公钥存于Web浏览器,用于下次Web浏览器访问CAS客户端时直接进行认证,所述认证信息NewTicket包括Ticket和签名信息,所述签名信息由Ticket经过一转换方式进行处理后再用CAS服务端的私钥进行加密得到;
所述认证模块,用于通过CAS客户端获取Web浏览器中的认证信息NewTicket,根据CAS服务端公钥对认证信息NewTicket中的签名信息进行解密得到签名内容,并采用所述转换方式对认证信息NewTicket中的Ticket进行处理,若签名内容与处理后的Ticket一致,则认证成功,进入应用界面;否则,认证失败,退出认证。
7.根据权利要求6所述的一种单点登录系统,其特征在于:所述Ticket信息包括版本信息、创建时间、过期时间、浏览器端的设备信息、随机混淆码和用户核心传输数据。
8.根据权利要求7所述的一种单点登录系统,其特征在于:所述系统还包括一双向认证模块,用于在Web浏览器需要获取存于CAS服务端中的信息时,所述Web浏览器通过向CAS客户端发起访问,由CAS客户端向CAS服务端发起请求,所述CAS服务端获取Web浏览器的认证信息NewTicket,根据CAS服务端公钥对认证信息NewTicket中的签名信息进行解密得到签名内容,并采用所述转换方式对认证信息NewTicket中的Ticket进行处理,若签名内容与处理后的Ticket一致且Ticket中的设备信息与发起请求的浏览器端的设备信息一致,则认证成功,获取CAS服务端信息返回给Web浏览器;否则,认证失败,退出认证。
9.根据权利要求6所述的一种单点登录系统,其特征在于:所述转换方式为哈希散列SHA-1处理。
10.根据权利要求6所述的一种单点登录系统,其特征在于:所述认证信息NewTicket在传输过程中采用base64方式进行加密。
CN201511017547.3A 2015-12-30 2015-12-30 一种单点登录方法及其系统 Active CN105430014B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201511017547.3A CN105430014B (zh) 2015-12-30 2015-12-30 一种单点登录方法及其系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201511017547.3A CN105430014B (zh) 2015-12-30 2015-12-30 一种单点登录方法及其系统

Publications (2)

Publication Number Publication Date
CN105430014A true CN105430014A (zh) 2016-03-23
CN105430014B CN105430014B (zh) 2019-04-23

Family

ID=55507955

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201511017547.3A Active CN105430014B (zh) 2015-12-30 2015-12-30 一种单点登录方法及其系统

Country Status (1)

Country Link
CN (1) CN105430014B (zh)

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108200060A (zh) * 2018-01-03 2018-06-22 深圳壹账通智能科技有限公司 基于web子系统的单点登录验证方法、服务器及存储介质
CN109472123A (zh) * 2018-11-05 2019-03-15 用友网络科技股份有限公司 一种云服务集成第三方单点登录用户中心的方法及系统
CN109639711A (zh) * 2018-12-29 2019-04-16 成都康赛信息技术有限公司 一种基于私有链会话id的分布式cas认证方法
CN109756343A (zh) * 2019-01-31 2019-05-14 平安科技(深圳)有限公司 数字签名的认证方法、装置、计算机设备和存储介质
CN110035035A (zh) * 2018-01-12 2019-07-19 北京新媒传信科技有限公司 一种单点登录的二次认证方法及系统
CN110266640A (zh) * 2019-05-13 2019-09-20 平安科技(深圳)有限公司 单点登录防篡改方法、装置、计算机设备及存储介质
CN111404946A (zh) * 2020-03-19 2020-07-10 北京比特安索信息技术有限公司 基于浏览器的账户认证方法及服务器
CN112422528A (zh) * 2020-11-03 2021-02-26 北京锐安科技有限公司 客户端的登录方法、装置、系统、电子设备和存储介质
US11121863B1 (en) 2020-03-12 2021-09-14 Oracle International Corporation Browser login sessions via non-extractable asymmetric keys

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103701823A (zh) * 2013-12-31 2014-04-02 曙光云计算技术有限公司 单点登录方法和装置
CN104394141A (zh) * 2014-11-21 2015-03-04 南京邮电大学 一种基于分布式文件系统的统一认证方法
CN104468749A (zh) * 2014-11-23 2015-03-25 国云科技股份有限公司 一种实现点net客户端与cas集成单点登录的方法
CN104539615A (zh) * 2014-12-29 2015-04-22 中国南方电网有限责任公司 基于cas的级联认证方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103701823A (zh) * 2013-12-31 2014-04-02 曙光云计算技术有限公司 单点登录方法和装置
CN104394141A (zh) * 2014-11-21 2015-03-04 南京邮电大学 一种基于分布式文件系统的统一认证方法
CN104468749A (zh) * 2014-11-23 2015-03-25 国云科技股份有限公司 一种实现点net客户端与cas集成单点登录的方法
CN104539615A (zh) * 2014-12-29 2015-04-22 中国南方电网有限责任公司 基于cas的级联认证方法

Cited By (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108200060B (zh) * 2018-01-03 2020-07-14 深圳壹账通智能科技有限公司 基于web子系统的单点登录验证方法、服务器及存储介质
CN108200060A (zh) * 2018-01-03 2018-06-22 深圳壹账通智能科技有限公司 基于web子系统的单点登录验证方法、服务器及存储介质
CN110035035B (zh) * 2018-01-12 2021-09-17 北京新媒传信科技有限公司 一种单点登录的二次认证方法及系统
CN110035035A (zh) * 2018-01-12 2019-07-19 北京新媒传信科技有限公司 一种单点登录的二次认证方法及系统
CN109472123A (zh) * 2018-11-05 2019-03-15 用友网络科技股份有限公司 一种云服务集成第三方单点登录用户中心的方法及系统
CN109639711A (zh) * 2018-12-29 2019-04-16 成都康赛信息技术有限公司 一种基于私有链会话id的分布式cas认证方法
CN109756343A (zh) * 2019-01-31 2019-05-14 平安科技(深圳)有限公司 数字签名的认证方法、装置、计算机设备和存储介质
CN109756343B (zh) * 2019-01-31 2021-07-20 平安科技(深圳)有限公司 数字签名的认证方法、装置、计算机设备和存储介质
CN110266640A (zh) * 2019-05-13 2019-09-20 平安科技(深圳)有限公司 单点登录防篡改方法、装置、计算机设备及存储介质
WO2020228278A1 (zh) * 2019-05-13 2020-11-19 平安科技(深圳)有限公司 单点登录防篡改方法、装置、计算机设备及存储介质
CN110266640B (zh) * 2019-05-13 2021-11-05 平安科技(深圳)有限公司 单点登录防篡改方法、装置、计算机设备及存储介质
US11121863B1 (en) 2020-03-12 2021-09-14 Oracle International Corporation Browser login sessions via non-extractable asymmetric keys
CN111404946A (zh) * 2020-03-19 2020-07-10 北京比特安索信息技术有限公司 基于浏览器的账户认证方法及服务器
CN111404946B (zh) * 2020-03-19 2023-06-06 北京比特安索信息技术有限公司 基于浏览器的账户认证方法及服务器
CN112422528A (zh) * 2020-11-03 2021-02-26 北京锐安科技有限公司 客户端的登录方法、装置、系统、电子设备和存储介质
CN112422528B (zh) * 2020-11-03 2022-10-14 北京锐安科技有限公司 客户端的登录方法、装置、系统、电子设备和存储介质

Also Published As

Publication number Publication date
CN105430014B (zh) 2019-04-23

Similar Documents

Publication Publication Date Title
CN105430014A (zh) 一种单点登录方法及其系统
CN106209749B (zh) 单点登录方法及装置、相关设备和应用的处理方法及装置
AU2009200629B2 (en) Method and apparatus for securely invoking a rest API
WO2017028804A1 (zh) 一种Web实时通信平台鉴权接入方法及装置
US7653713B2 (en) Method of measuring round trip time and proximity checking method using the same
KR101563828B1 (ko) 신뢰성있는 인증 및 로그온을 위한 방법 및 장치
US8321924B2 (en) Method for protecting software accessible over a network using a key device
TW200402981A (en) Methods for remotely changing a communications password
WO2017042023A1 (en) Method of managing credentials in a server and a client system
CN102946314A (zh) 一种基于浏览器插件的客户端用户身份认证方法
CN112491881A (zh) 跨平台单点登录方法、系统、电子设备及存储介质
CN103685187A (zh) 一种按需转换ssl认证方式以实现资源访问控制的方法
EP2908493B1 (en) Secure communication systems
CN106330829A (zh) 一种采用中间件实现单点登录的方法和系统
CN101420302A (zh) 安全认证方法和设备
CN102868531A (zh) 一种网络交易认证系统和网络交易认证方法
US10211992B1 (en) Secure certificate pinning in user provisioned networks
CN117081736A (zh) 密钥分发方法、密钥分发装置、通信方法及通信装置
CN107566393A (zh) 一种基于受信任证书的动态权限验证系统及方法
CN110830413B (zh) 通信方法、客户端、服务器、通信装置和系统
CN114844644A (zh) 资源请求方法、装置、电子设备及存储介质
KR101572598B1 (ko) Sso 인증 시스템 기반 인증 정보 재전송 공격에 안전한 사용자 인증 방법
CN114070568A (zh) 数据处理方法、装置、电子设备和存储介质
CN110912857B (zh) 移动应用间共享登录的方法、存储介质
Deeptha et al. Extending OpenID connect towards mission critical applications

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant