CN105721412A - 多系统间的身份认证方法及装置 - Google Patents
多系统间的身份认证方法及装置 Download PDFInfo
- Publication number
- CN105721412A CN105721412A CN201510354188.4A CN201510354188A CN105721412A CN 105721412 A CN105721412 A CN 105721412A CN 201510354188 A CN201510354188 A CN 201510354188A CN 105721412 A CN105721412 A CN 105721412A
- Authority
- CN
- China
- Prior art keywords
- user
- authentication center
- confidential information
- message
- log
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/41—User authentication where a single sign-on provides access to a plurality of computers
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C9/00—Individual registration on entry or exit
- G07C9/30—Individual registration on entry or exit not involving the use of a pass
- G07C9/32—Individual registration on entry or exit not involving the use of a pass in combination with an identity check
- G07C9/33—Individual registration on entry or exit not involving the use of a pass in combination with an identity check by means of a password
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1073—Registration or de-registration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3297—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
- H04L63/0846—Network architectures or network communication protocols for network security for authentication of entities using passwords using time-dependent-passwords, e.g. periodically changing passwords
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Multimedia (AREA)
- Storage Device Security (AREA)
Abstract
本发明实施例提供一种多系统间的身份认证方法及装置,用以通过认证中心实现用户在多系统间登录时的身份认证,从而既保证了认证过程的安全性,又避免各个系统之间需要事先约定好协议的繁琐。所述方法,包括:认证中心接收到第一系统发送的用户请求登录该第一系统的消息后,对用户登录第一系统进行判决控制,当确定用户可以登录第一系统时,将用户的用户信息,以及对用户信息进行加密后得到的加密信息发送给第一系统;认证中心当收到第二系统发送的用户请求登录该第二系统的消息时,若该消息中携带加密信息,则当确定第二系统为第一系统的可信系统时,对该加密信息进行解密,并将解密后得到的用户信息返回给第二系统。
Description
技术领域
本发明实施例涉及通信技术领域,尤其涉及一种多系统间的身份认证方法及装置。
背景技术
身份认证也称为身份验证或身份鉴别,是指在计算机及计算机网络系统中确认操作者身份的过程,从而确定该用户是否具有对某种资源的访问和使用权限,进而使计算机和网络系统的访问策略能够可靠、有效地执行,防止攻击者假冒合法用户获得资源的访问权限,保证系统和数据的安全,以及授权访问者的合法利益。
目前身份认证这一领域诞生很多协议,随之也衍生出很多应用。其中关于单点登录,即当用户在任意一个系统通过认证后,其他系统均能识别其身份。
然而,现有技术中的单点登录均要求各系统需在同一个二级域名范围内,例如:a.letv.com与b.letv.com在同一二级域名范围,或是各个系统之间要事先约定好协议,才能实现用户的单点登录,这就造成了每增加一个系统,均需知晓事先约定的单点登录认证协议,因此导致不利于系统的增加与删除。
发明内容
本发明实施例提供了一种多系统间的身份认证方法及装置,用以通过认证中心实现用户在多系统间登录时的身份认证,从而既保证了认证过程的安全性,又避免各个系统之间需要事先约定好协议的繁琐,由于认证过程均由认证中心完成,使得认证协议对各个系统透明,进而使得系统的增加和删除更加便捷。
在认证中心侧,本发明实施例提供的一种多系统间的身份认证方法,包括:
认证中心接收到第一系统发送的用户请求登录所述第一系统的消息后,对所述用户登录所述第一系统进行判决控制,当确定所述用户可以登录所述第一系统时,将所述用户的用户信息进行加密后得到的加密信息发送给所述第一系统;
所述认证中心当收到第二系统发送的所述用户请求登录所述第二系统的消息时,若所述消息中携带所述加密信息,则当确定所述第二系统为所述第一系统的可信系统时,对所述加密信息进行解密,并将解密后得到的用户信息返回给所述第二系统,其中,所述消息中包含所述第一系统发送的加密信息。
在任一系统侧,本发明实施例提供的一种多系统间的身份认证方法,包括:
第一系统根据接收到的用户请求登录的消息时,向认证中心发送所述用户请求登录所述第一系统的消息,用以请求所述认证中心对所述用户登录所述第一系统进行判决控制;
所述第一系统当接收到所述认证中心发送的所述认证中心对所述用户的信息进行加密后得到的加密信息时,保存所述加密信息;并在接收到该用户登录第二系统的请求时,将所述加密信息发送给所述第二系统。
与上述认证中心侧的方法相对应的,在认证中心侧,本发明实施例提供的一种多系统间的身份认证装置,包括:
第一单元,用于接收到第一系统发送的用户请求登录所述第一系统的消息后,对所述用户登录所述第一系统进行判决控制,当确定所述用户可以登录所述第一系统时,将所述用户的用户信息进行加密后得到的加密信息发送给所述第一系统;
第二单元,用于当收到第二系统发送的所述用户请求登录所述第二系统的消息时,若所述消息中携带所述加密信息,则当确定所述第二系统为所述第一系统的可信系统时,对所述加密信息进行解密,并将解密后得到的用户信息返回给所述第二系统,其中,所述消息中包含所述第一系统发送的加密信息。
与上述任一系统侧的方法相对应的,在任一系统侧,本发明实施例提供的一种多系统间的身份认证装置,包括:
登录跳转单元,用于当接收到的用户请求登录的消息时,向认证中心发送所述用户请求登录第一系统的消息,用以请求所述认证中心对所述用户登录所述第一系统进行判决控制;
加密信息处理单元,用于当接收到所述认证中心发送的所述认证中心对所述用户的信息进行加密后得到的加密信息时,保存所述加密信息;并在接收到该用户登录第二系统的请求时,将所述加密信息发送给所述第二系统。
本发明实施例提供的一种多系统间的身份认证方法及装置,在认证中心接收到第一系统发送的用户请求登录所述第一系统的消息后,通过认证中心对所述用户登录所述第一系统进行判决控制,当确定所述用户可以登录所述第一系统时,将所述用户的用户信息进行加密后得到的加密信息发送给所述第一系统,所述认证中心当收到第二系统发送的所述用户请求登录所述第二系统的消息时,若所述消息中携带所述加密信息,则当确定所述第二系统为所述第一系统的可信系统时,对所述加密信息进行解密,并将解密后得到的用户信息返回给所述第二系统,其中,所述消息中包含所述第一系统发送的加密信息,从而通过认证中心实现了用户在多系统间登录时的身份认证,既保证了认证过程的安全性,又避免了各个系统之间需要事先约定好协议的繁琐,由于认证过程均由认证中心完成,使得认证协议对各个系统透明,进而使得系统的增加和删除更加便捷。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的认证中心侧的一种多系统间的身份认证方法的流程示意图;
图2为本发明实施例提供的系统侧的一种多系统间的身份认证方法的流程示意图;
图3为本发明实施例提供的系统A在认证中心注册的流程示意图;
图4为本发明实施例提供的系统B在认证中心注册的流程示意图;
图5为本发明实施例提供的系统A与系统B在认证中心绑定可信系统的流程示意图;
图6为本发明实施例提供的用户登录系统A并跳转至系统B时序图;
图7为本发明实施例提供的认证中心侧的一种多系统间的身份认证装置的结构示意图;
图8为本发明实施例提供的系统侧的一种多系统间的身份认证装置的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例提供的技术方案,涉及二侧实体,分别为认证中心、系统。其中,认证中心可以是网络侧独立存在的服务器或者是终端侧的用户设备;各个系统也可以是网络侧独立存在的服务器,也可以是一个服务器上的不同应用系统,也可以是手机、电脑、PAD等终端设备上运行的不同应用、亦或是终端设备和远程服务器组成的系统。在登陆系统之前,用户需要在系统上进行用户名、密码等注册,并将注册信息发送至认证中心进行保存。各侧实体相互之间的交互可以是有线形式的交互,也可以是无线形式的交互。本发明实施例中所述的系统,即用户真正登录时所访问的系统,可水平扩展,即系统的个数可以随意扩展,如从2个系统扩展到更多个系统。所述的认证中心,是系统间的连接中枢,从各系统登录的用户都需通过认证中心完成。认证中心存储了用户的用户名、密码等认证所需信息;此外,也存储了连接认证中心的各系统的信息。
下面结合附图对本发明实施例提供的技术方案进行介绍。
参见图1,在认证中心侧,本发明实施例提供的一种多系统间的身份认证方法,包括:
S101、认证中心接收到第一系统发送的用户请求登录该第一系统的消息后,对用户登录第一系统进行判决控制,当确定用户可以登录第一系统时,将用户的用户信息进行加密后得到的加密信息发送给第一系统;
本发明实施例中各处所述的用户,可以理解为同一用户。
S102、认证中心当收到第二系统发送的用户请求登录该第二系统的消息时,若该消息中携带加密信息,则当确定第二系统为第一系统的可信系统时,对该加密信息进行解密,并将解密后得到的用户信息返回给第二系统,其中,所述消息中包含所述第一系统发送的加密信息。
需要说明的是,本发明实施例中所述的第一系统和第二系统,仅是为了区分不同的系统,并不能理解为本发明实施例提供的技术方案仅适用于两个系统的情况,对于更多个系统的情况,本发明实施例提供的技术方案同样适用。
通过该方法,认证中心接收到第一系统发送的用户请求登录该第一系统的消息后,对用户登录第一系统进行判决控制,当确定用户可以登录第一系统时,将用户的用户信息进行加密后得到的加密信息发送给第一系统,该加密信息中会携带用户是从第一系统登录的指示信息,使得收到该加密信息的系统,可以根据该加密信息确定该加密信息是与第一系统相对应的加密信息。认证中心当收到第二系统发送的用户请求登录该第二系统的消息时,若该消息中携带加密信息,则当确定第二系统为第一系统的可信系统时,对该加密信息进行解密,并将解密后得到的用户信息返回给第二系统,从而通过认证中心实现了用户在多系统间登录时的身份认证,既保证了认证过程的安全性,又避免了各个系统之间需要事先约定好协议的繁琐,由于认证过程均由认证中心完成,使得认证协议对各个系统透明,进而使得系统的增加和删除更加便捷。
可选地,认证中心接收到第一系统发送的用户请求登录该第一系统的消息之前,该方法还包括:
认证中心分别对第一系统和第二系统进行注册,当对第一系统注册成功时,生成第一系统的私钥和公钥;当对第二系统注册成功时,生成第二系统的私钥和公钥。
可选地,认证中心利用第一系统的私钥,对用户信息进行加密,利用第一系统的公钥,对加密信息进行解密。
当然,除此之外,还可以才有其他方式建立各个系统对应的密钥,用以进行多系统间的身份认证。
可选地,认证中心分别对第一系统和第二系统进行注册之后,认证中心接收到第一系统发送的用户请求登录该第一系统的消息之前,该方法还包括:
认证中心当接收到第一系统以及第二系统分别发送的请求与对方建立可信关系的请求时,建立第一系统与第二系统的绑定关系。
当然,除此之外,还可以才有其他方式建立第一系统与第二系统的绑定关系,例如可以预先在认证中心中建立一个或多个绑定关系列表,每个列表中指示的各个系统互为可信系统。
可选地,认证中心通过绑定关系确定第二系统与第一系统互为可信系统。
可选地,认证中心对用户登录第一系统进行判决控制,当确定用户可以登录第一系统时,将用户的用户信息,以及对用户信息进行加密后得到的加密信息发送给第一系统,具体包括:
认证中心当确定用户的登录名和密码均正确时,向第一系统发送临时用户名(client_id)和临时密码(client_secret);
认证中心当接收到第一系统通过临时用户名获取认证码的请求时,向第一系统发送认证码(authorization_code);
认证中心当接收到第一系统通过临时用户名、临时密码和认证码获取接入票据的请求时,向第一系统发送接入票据(access_token);
认证中心当接收到第一系统发送的接入票据时,将用户的用户信息,以及对用户信息进行加密后得到的加密信息发送给第一系统。
可选地,加密信息中还包括用户登录第一系统的时间信息(即时间戳);
认证中心在接收到第二系统发送的加密信息后,对加密信息进行解密后,当利用解密得到的用户登录第一系统的时间信息,确定用户登录第一系统未超时时,将解密后得到的用户信息返回给第二系统。
相应地,在任一系统侧,参见图2,本发明实施例提供的一种多系统间的身份认证方法,包括:
S201、第一系统当接收到用户设备发送的用户请求登录的消息时,向认证中心发送用户请求登录该第一系统的消息,用以请求认证中心对用户登录第一系统进行判决控制;
其中,第一系统接收用户登录请求的方式可以有多种,例如:
用户在第一系统发起操作,第一系统发现用户未登录,便会直接跳到认证系统;
或者,用户在第一系统未发起操作,直接从第一系统跳转到认证系统。
S202、所述第一系统当接收到所述认证中心发送的所述认证中心对所述用户的信息进行加密后得到的加密信息时,保存所述加密信息;并在接收到该用户登录第二系统的请求时,将所述加密信息发送给所述第二系统。
可选地,所述第二系统在接收到所述第一系统发送的加密信息后,将所述加密信息发送至所述认证中心;以及接收所述认证中心反馈的登录结果。
本发明实施例中,第一系统和第二系统可以是由同一服务器运行的软件系统,也可以是由同一用户设备运行的软件系统。
可选地,第一系统向认证中心发送用户请求登录该第一系统的消息之后,接收到认证中心发送的用户的用户信息以及加密信息之前,该方法还包括:
第一系统接收认证中心发送的临时用户名和临时密码;
第一系统通过临时用户名请求认证中心发送认证码;
第一系统当收到认证中心发送的认证码时,通过临时用户名、临时密码和认证码请求认证中心发送接入票据;
第一系统当收到认证中心发送的接入票据时,通过接入票据请求认证中心发送用户的用户信息。
下面从整个架构的层面描述本发明实施例提供的技术方案。
为简便起见,假设当前共有A、B两个系统,用户在系统A上登录,系统B需要感知用户已经登录。
如图3及图4所示,系统A和系统B需要实现用户登录的互相认证,首先系统A和系统B需要分别在认证中心注册。如图3所示,在系统A的注册过程中认证中心会生成系统A的公钥及私钥,并通知系统A注册成功,其中系统A的私钥用于加密在该系统A中登录的用户信息,系统A的公钥用于其他可信系统(例如系统B)解密用户信息。如图4所示,在系统B的注册过程中认证中心会生成系统B的公钥及私钥,并通知系统B注册成功,其中系统B的私钥用于加密在该系统B中登录的用户信息,系统B的公钥用于其他可信系统(例如系统A)解密用户信息。
系统A和系统B仅仅完成在认证中心的注册是不够的,如图5所示,系统A和系统B还需要提交绑定申请,这样认证系统会将系统A和系统B划入一个可信域中,这样系统A或系统B提出解密用户的用户信息的请求后,认证中心才可以使用对方的公钥进行解密。
为保证安全性,认证中心只接受安全超文本传输协议(HyperteXtTransferProtocoloverSecureSocketLayer,https)请求,且用户密码由认证中心存储,所有用户的登录请求都跳转至认证中心进行,用户登录成功后系统通过开放认证(OpenAuthorization,OAUTH)协议(OAUTH协议是面向用户资源的授权的一个安全、开放而又简易的标准),完成用户信息的获取。
图6显示了一个用户登录系统A并跳转至系统B的全部时序,参见图6,整个流程具体包括:
用户设备向系统A发起用户登录请求。
系统A将用户登录请求发送给认证中心,其中携带用户名和密码,以及重定向地址(redirect_uri);其中,redirect_uri是系统A的域名,表明该用户登录请求来自于系统A。
认证中心收到用户登录请求后,对用户名和密码进行核实,若匹配,则确认登录成功,并会生成一个临时的client_id及client_secret作为该用户的临时id及临时密码(这样做是保证用户的密码不被泄露),用以标识该用户,然后,根据重定向地址(redirect_uri),通知系统A用户登录成功,并且该通知中还携带client_id及client_secret。client_id及client_secret可以作为系统A的临时的访问id及访问密码(不返回真正的用户id及密码)。
按照OAUTH协议,系统A通过client_id向认证中心请求获取认证码(authorization_code);
认证中心根据client_id向系统A发送authorization_code;
系统A在认证码有效期内(默认为10分钟,例如网络支付时的短信验证码,具体时间可约定),通过client_id、client_secret及authorization_code,通过https请求从认证中心获取接入票据(access_token),该票据access_token以json格式(一种数据表示格式)返回给系统A,作为系统A请求获取用户信息的票据。
其中,client_id及client_secret为访问认证系统的临时用户名及密码(真的用户名及密码不使用,保证信息不被泄露),而authorization_code的作用类似于验证码,仅在一段时间内有效,更加保证了这一过程的安全性。
系统A向认证中心发送票据access_token;
认证中心根据该access_token获取用户信息,该用户信息包括:client_id及client_secret、以及用户名、用户性别、电话、Email等用户属性信息。
认证中心将用户信息,及当前时间戳,采用系统A的私钥进行加密,生成加密信息X,认证中心将加密信息X连同用户信息一起返回给系统A。
系统A收到用户信息,以及加密信息X后,有两种处理方式:一种是将加密信息X发给用户设备,由用户设备将加密信息X保存至本地,待用户需要登录系统B时,将加密信息X发给系统B;另一种是系统A提供系统B的访问链接,用户设备可以通过系统A发送系统B的登录请求,当系统A收到系统B的登录请求后,将加密信息X发给系统B。
图6中所示的用户跳转至系统B,即采取的是第二种方式,系统A提供系统B的访问链接,用户点击该链接后,用户设备可以通过系统A发送系统B的登录请求,当系统A收到系统B的登录请求后,将加密信息X发给系统B,此时系统A将X以参数形式传递给B(这部分是各系统中的约定,在系统中跳转时均需以https请求的方式发送该参数X,如用户未登录,该参数X为空)。
系统B收到加密信息X后,向认证中心发送询问用户是否在系统A已登录的请求消息;认证中心收到该请求消息后,查询是否存在系统A与系统B的绑定关系,若是,则确定系统A与系统B互为可信系统,则使用系统A的公钥对加密信息X进行解密,得到用户信息和时间戳信息,并根据时间戳判断用户在系统A的登录是否超时,若没有超时,则将用户信息发送给系统B,并通知系统B用户已在系统A登录。
其中,通过时间戳判断用户是否登录超时的操作是较佳的操作步骤,不是必需的,另外,认证中心在解密得到用户信息后,还可以进一步对该用户信息进行校验一下,若该解密后的用户信息与本地保存的同一用户的用户信息一致,则将该用户信息发给系统B。从而进一步保障了系统间登录的安全性。
由此可见,本发明实施例中提供的技术方案相比现有技术方案,有以下几点有益效果:
通过https协议,保证传输过程中密码不会泄露,且系统的密钥存储在认证中心,保证了认证过程中的安全性;
OAUTH协议可以做成语言工具包的形式,且单点登录的认证过程均由认证中心完成,保证了认证协议对系统透明;
系统的增加和删除变得更加容易,即系统可水平扩展。
与上述认证中心侧的方法相对应的,在认证中心侧,参见图7,本发明实施例提供的一种多系统间的身份认证装置,包括:
第一单元11,用于接收到第一系统发送的用户请求登录该第一系统的消息后,对用户登录第一系统进行判决控制,当确定用户可以登录第一系统时,将用户的用户信息进行加密后得到的加密信息发送给第一系统;
第二单元12,用于当收到第二系统发送的用户请求登录该第二系统的消息时,若该消息中携带加密信息,则当确定第二系统为第一系统的可信系统时,对该加密信息进行解密,并将解密后得到的用户信息返回给第二系统,其中,所述消息中包含所述第一系统发送的加密信息。
可选地,第一单元在接收到第一系统发送的用户请求登录该第一系统的消息之前,还用于:
分别对第一系统和第二系统进行注册,当对第一系统注册成功时,生成第一系统的私钥和公钥;当对第二系统注册成功时,生成第二系统的私钥和公钥。
可选地,第一单元利用第一系统的私钥,对用户信息进行加密,第二单元利用第一系统的公钥,对加密信息进行解密。
可选地,第一单元分别对第一系统和第二系统进行注册之后,接收到第一系统发送的用户请求登录该第一系统的消息之前,还用于:
当接收到第一系统以及第二系统分别发送的请求与对方建立可信关系的请求时,建立第一系统与第二系统的绑定关系。
可选地,第二单元通过绑定关系确定第二系统为第一系统的可信系统。
可选地,第一单元接收到第一系统发送的用户请求登录该第一系统的消息后,具体用于:
当确定用户的登录名和密码均正确时,向第一系统发送临时用户名和临时密码;
当接收到第一系统通过临时用户名获取认证码的请求时,向第一系统发送认证码;
当接收到第一系统通过临时用户名、临时密码和认证码获取接入票据的请求时,向第一系统发送接入票据;
当接收到第一系统发送的接入票据时,将用户的用户信息,以及对用户信息进行加密后得到的加密信息发送给第一系统。
可选地,加密信息中还包括用户登录第一系统的时间信息;
第二单元对加密信息进行解密后,当利用解密得到的用户登录第一系统的时间信息,确定用户登录第一系统未超时时,将解密后得到的用户信息返回给第二系统。
与上述任一系统侧的方法相对应的,在任一系统侧,参见图8,本发明实施例提供的一种多系统间的身份认证装置,包括:
登录跳转单元21,用于根据接收到的用户请求登录的消息时,向认证中心发送所述用户请求登录第一系统的消息,用以请求所述认证中心对所述用户登录所述第一系统进行判决控制;
加密信息处理单元22,用于当接收到所述认证中心发送的所述认证中心对所述用户的信息进行加密后得到的加密信息时,保存所述加密信息;并在接收到该用户登录第二系统的请求时,将所述加密信息发送给所述第二系统。
可选地,所述加密信息处理单元还用于在第二系统接收到所述第一系统发送的加密信息后,将所述加密信息发送至所述认证中心;以及接收所述认证中心反馈的登录结果。
可选地,登录跳转单元向认证中心发送用户请求登录该第一系统的消息之后,还用于:
接收认证中心发送的临时用户名和临时密码;
通过临时用户名请求认证中心发送认证码;
当收到认证中心发送的认证码时,通过临时用户名、临时密码和认证码请求认证中心发送接入票据;
当收到认证中心发送的接入票据时,通过接入票据请求认证中心发送用户的用户信息。
需要说明的是,本发明实施例中上述任一单元,均可以通过硬件处理器(hardwareprocessor)来实现相关功能。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (14)
1.一种多系统间的身份认证方法,其特征在于,所述方法包括:
认证中心接收到第一系统发送的用户请求登录所述第一系统的消息后,对所述用户登录所述第一系统进行判决控制,当确定所述用户可以登录所述第一系统时,将所述用户的用户信息进行加密后得到的加密信息发送给所述第一系统;
所述认证中心当收到第二系统发送的所述用户请求登录所述第二系统的消息时,若所述消息中携带所述加密信息,则当确定所述第二系统为所述第一系统的可信系统时,对所述加密信息进行解密,并将解密后得到的用户信息返回给所述第二系统,其中,所述消息中包含所述第一系统发送的加密信息。
2.根据权利要求1所述的方法,其特征在于,所述认证中心接收到第一系统发送的用户请求登录所述第一系统的消息之前,所述方法还包括:
所述认证中心分别对所述第一系统和第二系统进行注册,当对所述第一系统注册成功时,生成所述第一系统的私钥和公钥;当对所述第二系统注册成功时,生成所述第二系统的私钥和公钥;
所述认证中心利用所述第一系统的私钥,对所述用户信息进行加密,利用所述第一系统的公钥,对所述加密信息进行解密。
3.根据权利要求1所述的方法,其特征在于,所述认证中心分别对所述第一系统和第二系统进行注册之后,所述认证中心接收到第一系统发送的用户请求登录所述第一系统的消息之前,所述方法还包括:
所述认证中心当接收到所述第一系统以及所述第二系统分别发送的请求与对方建立可信关系的请求时,建立所述第一系统与所述第二系统的绑定关系。
4.根据权利要求3所述的方法,其特征在于,所述认证中心通过所述绑定关系确定所述第二系统为所述第一系统的可信系统。
5.根据权利要求1-4任一权项所述的方法,其特征在于,所述加密信息中还包括所述用户登录所述第一系统的时间信息;
所述认证中心对所述加密信息进行解密后,当利用解密得到的所述用户登录所述第一系统的时间信息,确定所述用户登录所述第一系统未超时时,将解密后得到的用户信息返回给所述第二系统。
6.一种多系统间的身份认证方法,其特征在于,所述方法包括:
第一系统当接收到的用户请求登录的消息时,向认证中心发送所述用户请求登录所述第一系统的消息,用以请求所述认证中心对所述用户登录所述第一系统进行判决控制;
所述第一系统当接收到所述认证中心发送的所述认证中心对所述用户的信息进行加密后得到的加密信息时,保存所述加密信息;并在接收到该用户登录第二系统的请求时,将所述加密信息发送给所述第二系统。
7.根据权利要求6所述的方法,其特征在于,所述第二系统在接收到所述第一系统发送的加密信息后,将所述加密信息发送至所述认证中心;以及接收所述认证中心反馈的登录结果。
8.一种多系统间的身份认证装置,其特征在于,所述装置包括:
第一单元,用于接收到第一系统发送的用户请求登录所述第一系统的消息后,对所述用户登录所述第一系统进行判决控制,当确定所述用户可以登录所述第一系统时,将所述用户的用户信息进行加密后得到的加密信息发送给所述第一系统;
第二单元,用于当收到第二系统发送的所述用户请求登录所述第二系统的消息时,若所述消息中携带所述加密信息,则当确定所述第二系统为所述第一系统的可信系统时,对所述加密信息进行解密,并将解密后得到的用户信息返回给所述第二系统,其中,所述消息中包含所述第一系统发送的加密信息。
9.根据权利要求8所述的装置,其特征在于,所述第一单元在接收到第一系统发送的用户请求登录所述第一系统的消息之前,还用于:
分别对所述第一系统和第二系统进行注册,当对所述第一系统注册成功时,生成所述第一系统的私钥和公钥;当对所述第二系统注册成功时,生成所述第二系统的私钥和公钥;
所述第一单元利用所述第一系统的私钥,对所述用户信息进行加密,所述第二单元利用所述第一系统的公钥,对所述加密信息进行解密。
10.根据权利要求8所述的装置,其特征在于,所述第一单元分别对所述第一系统和第二系统进行注册之后,接收到第一系统发送的用户请求登录所述第一系统的消息之前,还用于:
当接收到所述第一系统以及所述第二系统分别发送的请求与对方建立可信关系的请求时,建立所述第一系统与所述第二系统的绑定关系。
11.根据权利要求10所述的装置,其特征在于,所述第二单元通过所述绑定关系确定所述第二系统为所述第一系统的可信系统。
12.根据权利要求8-11任一权项所述的装置,其特征在于,所述加密信息中还包括所述用户登录所述第一系统的时间信息;
所述第二单元对所述加密信息进行解密后,当利用解密得到的所述用户登录所述第一系统的时间信息,确定所述用户登录所述第一系统未超时时,将解密后得到的用户信息返回给所述第二系统。
13.一种多系统间的身份认证装置,其特征在于,所述装置包括:
登录跳转单元,用于当接收到的用户请求登录的消息时,向认证中心发送所述用户请求登录第一系统的消息,用以请求所述认证中心对所述用户登录所述第一系统进行判决控制;
加密信息处理单元,用于当接收到所述认证中心发送的所述认证中心对所述用户的信息进行加密后得到的加密信息时,保存所述加密信息;并在接收到该用户登录第二系统的请求时,将所述加密信息发送给所述第二系统。
14.根据权利要求13所述的装置,其特征在于,所述加密信息处理单元还用于在第二系统接收到所述第一系统发送的加密信息后,将所述加密信息发送至所述认证中心;以及接收所述认证中心反馈的登录结果。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510354188.4A CN105721412A (zh) | 2015-06-24 | 2015-06-24 | 多系统间的身份认证方法及装置 |
| US15/069,045 US20160381001A1 (en) | 2015-06-24 | 2016-03-14 | Method and apparatus for identity authentication between systems |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510354188.4A CN105721412A (zh) | 2015-06-24 | 2015-06-24 | 多系统间的身份认证方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105721412A true CN105721412A (zh) | 2016-06-29 |
Family
ID=56144770
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510354188.4A Pending CN105721412A (zh) | 2015-06-24 | 2015-06-24 | 多系统间的身份认证方法及装置 |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US20160381001A1 (zh) |
| CN (1) | CN105721412A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106506498A (zh) * | 2016-11-07 | 2017-03-15 | 安徽四创电子股份有限公司 | 一种系统间数据调用授权认证方法 |
| CN107464105A (zh) * | 2017-09-15 | 2017-12-12 | 深圳天珑无线科技有限公司 | 装置支付交互认证方法及其系统 |
| CN107633392A (zh) * | 2017-09-15 | 2018-01-26 | 深圳天珑无线科技有限公司 | 装置退款交互认证方法及其系统 |
| CN109218329A (zh) * | 2018-10-16 | 2019-01-15 | 量子云未来(北京)信息科技有限公司 | 一种使用NetData-Auth用户认证框架进行认证的方法和系统 |
| CN114567475A (zh) * | 2022-02-23 | 2022-05-31 | 平安国际智慧城市科技股份有限公司 | 多系统登录的方法、装置、电子设备以及存储介质 |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11252250B1 (en) * | 2017-09-22 | 2022-02-15 | Amdocs Development Limited | System, method, and computer program for managing a plurality of heterogeneous services and/or a plurality of heterogeneous devices linked to at least one customer |
| CN109257342B (zh) | 2018-09-04 | 2020-05-26 | 阿里巴巴集团控股有限公司 | 区块链跨链的认证方法、系统、服务器及可读存储介质 |
| CN110519405A (zh) * | 2019-08-07 | 2019-11-29 | 彩讯科技股份有限公司 | 一种短链地址运营访问方法、装置、设备及存储介质 |
| CN111324335A (zh) * | 2020-01-04 | 2020-06-23 | 厦门二五八网络科技集团股份有限公司 | 一种小程序的创建方法及装置 |
| CN111243145B (zh) * | 2020-03-15 | 2021-10-22 | 腾讯科技(深圳)有限公司 | 一种处理访客信息的方法、装置、介质及电子设备 |
| CN116134857A (zh) * | 2020-06-29 | 2023-05-16 | 上海诺基亚贝尔股份有限公司 | 基于服务的管理框架的接入控制 |
| CN113329025B (zh) * | 2021-06-07 | 2022-06-28 | 中国电子科技集团公司第二十九研究所 | 基于软件授权嵌入式对称加密的记录数据保护方法及系统 |
| CN115102717B (zh) * | 2022-05-25 | 2023-10-27 | 杭州易和互联软件技术有限公司 | 一种基于用户体系的互联互通数据传递方法及系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101388774A (zh) * | 2008-10-24 | 2009-03-18 | 焦点科技股份有限公司 | 一种在不同系统间自动认证识别用户身份并且登录的方法 |
| CN101593333A (zh) * | 2008-05-28 | 2009-12-02 | 北京中食新华科技有限公司 | 电子商务信息安全处理方法 |
| CN103716292A (zh) * | 2012-09-29 | 2014-04-09 | 西门子公司 | 一种跨域的单点登录的方法和设备 |
-
2015
- 2015-06-24 CN CN201510354188.4A patent/CN105721412A/zh active Pending
-
2016
- 2016-03-14 US US15/069,045 patent/US20160381001A1/en not_active Abandoned
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101593333A (zh) * | 2008-05-28 | 2009-12-02 | 北京中食新华科技有限公司 | 电子商务信息安全处理方法 |
| CN101388774A (zh) * | 2008-10-24 | 2009-03-18 | 焦点科技股份有限公司 | 一种在不同系统间自动认证识别用户身份并且登录的方法 |
| CN103716292A (zh) * | 2012-09-29 | 2014-04-09 | 西门子公司 | 一种跨域的单点登录的方法和设备 |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106506498A (zh) * | 2016-11-07 | 2017-03-15 | 安徽四创电子股份有限公司 | 一种系统间数据调用授权认证方法 |
| CN106506498B (zh) * | 2016-11-07 | 2020-07-28 | 安徽四创电子股份有限公司 | 一种系统间数据调用授权认证方法 |
| CN107464105A (zh) * | 2017-09-15 | 2017-12-12 | 深圳天珑无线科技有限公司 | 装置支付交互认证方法及其系统 |
| CN107633392A (zh) * | 2017-09-15 | 2018-01-26 | 深圳天珑无线科技有限公司 | 装置退款交互认证方法及其系统 |
| CN107633392B (zh) * | 2017-09-15 | 2021-06-08 | 深圳天珑无线科技有限公司 | 装置退款交互认证方法及其系统 |
| CN109218329A (zh) * | 2018-10-16 | 2019-01-15 | 量子云未来(北京)信息科技有限公司 | 一种使用NetData-Auth用户认证框架进行认证的方法和系统 |
| CN114567475A (zh) * | 2022-02-23 | 2022-05-31 | 平安国际智慧城市科技股份有限公司 | 多系统登录的方法、装置、电子设备以及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20160381001A1 (en) | 2016-12-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105721412A (zh) | 多系统间的身份认证方法及装置 | |
| EP3641266B1 (en) | Data processing method and apparatus, terminal, and access point computer | |
| US11799656B2 (en) | Security authentication method and device | |
| JP6612358B2 (ja) | ネットワークアクセスデバイスをワイヤレスネットワークアクセスポイントにアクセスさせるための方法、ネットワークアクセスデバイス、アプリケーションサーバ、および不揮発性コンピュータ可読記憶媒体 | |
| US9954687B2 (en) | Establishing a wireless connection to a wireless access point | |
| CN102651739B (zh) | 登录验证方法、系统及im服务器 | |
| US9264420B2 (en) | Single sign-on for network applications | |
| US8532620B2 (en) | Trusted mobile device based security | |
| CN104767731B (zh) | 一种Restful移动交易系统身份认证防护方法 | |
| CN106034104B (zh) | 用于网络应用访问的验证方法、装置和系统 | |
| CN108243176B (zh) | 数据传输方法和装置 | |
| CN103944900A (zh) | 一种基于加密的跨站请求攻击防范方法及其装置 | |
| CN108833507B (zh) | 一种共享产品的授权认证系统及方法 | |
| KR20180095873A (ko) | 무선 네트워크 접속 방법 및 장치, 및 저장 매체 | |
| EP2879421B1 (en) | Terminal identity verification and service authentication method, system, and terminal | |
| WO2012151312A1 (en) | System and method for providing access credentials | |
| CN111770088A (zh) | 数据鉴权方法、装置、电子设备和计算机可读存储介质 | |
| CN106230838A (zh) | 一种第三方应用访问资源的方法和装置 | |
| CN105516163A (zh) | 一种登录方法及终端设备及通信系统 | |
| CN106161475B (zh) | 用户鉴权的实现方法和装置 | |
| FI128171B (en) | network authentication | |
| CN104580256A (zh) | 通过用户设备登录和验证用户身份的方法及设备 | |
| CN108011717A (zh) | 一种请求用户数据的方法、装置及系统 | |
| CN109218334A (zh) | 数据处理方法、装置、接入控制设备、认证服务器及系统 | |
| CN110138558B (zh) | 会话密钥的传输方法、设备及计算机可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20160629 |