CN108076077A - 一种会话控制方法及装置 - Google Patents
一种会话控制方法及装置 Download PDFInfo
- Publication number
- CN108076077A CN108076077A CN201610983110.3A CN201610983110A CN108076077A CN 108076077 A CN108076077 A CN 108076077A CN 201610983110 A CN201610983110 A CN 201610983110A CN 108076077 A CN108076077 A CN 108076077A
- Authority
- CN
- China
- Prior art keywords
- client
- session
- user
- server
- single sign
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/143—Termination or inactivation of sessions, e.g. event-controlled end of session
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
Abstract
一种会话控制方法及装置,单点登录服务器接收用户的第一单点登录客户端发送的第一会话注销请求,所述第一会话注销请求包括第一服务票据;所述单点登录服务器获取所述第一服务票据对应的所述身份认证凭证,并删除所述单点登录服务器保存的所述身份认证凭证;所述单点登录服务器将第一会话注销响应发送给所述第一单点登录客户端,以使所述第一单点登录客户端中断第一会话。本发明实施例中单点登录客户端判断出用户存在非法操作时,单点登录服务器能够彻底中断用户会话,从而实现单点登录服务器对用户非法操作的管理。
Description
技术领域
本发明涉及通信领域,尤其涉及一种会话控制方法及装置。
背景技术
单点登录(Single Sign On,SSO)技术利用单点登录服务器的认证功能,使得用户通过SSO服务器的一次认证后,可以访问不同的应用系统,即不同的单点登录客户端,而不需要在各个SSO客户端重新认证,即重新输入用户名和密码。应用系统包括企业资源计划(Enterprise Resource Planning,ERP)系统、自动化办公(Office Automation,OA)系统以及客户关系管理(Customer relationship management,CRM)系统等。
当一个用户通过浏览器第一次访问单点登录客户端时,会被单点登录客户端重定向到单点登录服务器中进行认证。单点登录服务器根据该用户提供的用户名和密码进行身份校验,如果通过校验,则为该用户生成身份认证凭据(Ticket Granting Ticket,TGT),并根据TGT生成一个服务票据(Service ticket,ST),将该TGT和ST返回给该用户的浏览器,该用户的浏览器的cookie中会保存该TGT。浏览器将该ST重定向到单点登录客户端,单点登录客户端将该ST发送到单点登录服务器进行校验。ST完成校验后,该用户可以通过浏览器登陆该单点登录客户端。该用户通过浏览器访问其他单点登录客户端时,访问请求中会携带TGT作为身份认证的凭证,其他单点登录客户端会把访问请求中的TGT重定向到单点登录服务器进行校验。单点登录服务器校验TGT仍然有效,可以免用户认证(免输入用户名和密码),并生成另一个ST返回给该其他单点登录客户端。当用户退出时,通过浏览器向单点登录服务器发送退出请求,单点登录服务器才会自动注销所有单点登录客户端的会话。
然而,传统方式中,单点登录客户端发现用户存在非法操作时,只能删除自己与用户的会话,用户保存在单点登录服务器上的TGT仍然有效,且用户浏览器的cookie中仍然保存有TGT,这样用户仍然可以在免认证(即免输入用户名和密码)的情况下,访问该单点登录客户端或其他单点登录客户端。也就是,该单点登录客户端判断出用户进行非法操作时,并不能彻底中断用户访问应用系统。
发明内容
本申请提供一种会话控制方法和设备,在单点登录客户端判断出用户有非法操作时,可以让单点登录服务器中断用户会话,用户需要重新认证才可以访问该单点登录客户端。
第一方面提供一种会话控制方法,包括:单点登录服务器接收用户的第一单点登录客户端发送的第一会话注销请求,所述第一会话注销请求包括第一服务票据,所述第一服务票据为所述单点登录服务器基于所述用户的身份认证凭证为所述第一单点登录客户端生成,并用于标识所述第一单点登录客户端;所述身份认证凭证为所述单点登录服务器对所述用户的身份进行认证时为所述用户生成,并用于标识所述用户;所述单点登录服务器获取所述第一服务票据对应的所述身份认证凭证,并删除所述单点登录服务器保存的所述身份认证凭证;所述单点登录服务器将第一会话注销响应发送给所述第一单点登录客户端,以使所述第一单点登录客户端中断第一会话。这样,单点登录服务器中断第一会话,从而防止用户非法操作对第一单点登录客户端的攻击,提高单点登录系统的安全性。
在第一方面第一种可能的实现方式中,所述方法还包括:所述单点登录服务器获取所述身份认证凭证对应的第二服务票据;所述单点登录服务器向所述第二服务票据对应的第二单点登录客户端发送会话注销指示消息,以使所述第二单点登录客户端中断第二会话。这样,单点登录服务器中断第二会话,从而进一步提高单点登录系统的安全性。
在第一方面第二种可能的实现方式中,所述第一会话注销请求还包括所述第一服务票据的优先级,所述方法还包括:所述单点登录服务器获取所述身份认证凭证对应的第二服务票据;当所述第二服务票据的优先级低于所述第一服务票据的优先级时,所述单点登录服务器向所述第二服务票据对应的第二单点登录客户端发送会话注销指示消息,以使所述第二单点登录客户端中断第二会话。这样,单点登录服务器还能够中断服务票据优先级低的会话,从而进一步提高单点登录系统的安全性。
结合第一方面第二种可能的实现方式,在第一方面第三种可能的实现方式中,所述方法还包括:所述单点登录服务器为所述第一单点登录客户端生成所述第一服务票据时,为所述第一服务票据分配优先级;所述单点登录服务器为所述第二单点登录客户端生成所述第二服务票据时,为所述第二服务票据分配优先级。
第二方面提供一种会话控制方法,包括:单点登录客户端确定用户通过浏览器访问所述单点登录客户端存在非法操作时,获取所述用户与所述单点登录客户端之间的第一会话对应的第一服务票据;所述第一服务票据为单点登录服务器基于所述用户的身份认证凭证为所述单点登录客户端生成,并用于标识所述单点登录客户端;所述身份认证凭证为所述单点登录服务器对所述用户的身份进行认证时为所述用户生成,并用于标识所述用户;将第一会话注销请求发送给所述单点登录服务器,其中,所述第一会话注销请求包括所述第一服务票据;接收所述单点登录服务器发送的第一会话注销响应;根据所述第一会话注销响应,将所述第一会话中断。这样,单点登录服务器可以中断第一会话,提高单点登录的安全性。
在第二方面第一种可能的实现方式中,所述非法操作包括用户的越权操作、注入攻击以及异常操作频率。
第三方面提供一种会话控制装置,用于单点登录服务器中,所述装置包括发送单元、处理单元以及接收单元;其中,所述接收单元,用于接收用户的第一单点登录客户端发送的第一会话注销请求,所述第一会话注销请求包括第一服务票据;所述第一服务票据为单点登录服务器基于所述用户的身份认证凭证为所述第一单点登录客户端生成,并用于标识所述第一单点登录客户端;所述身份认证凭证为所述单点登录服务器对所述用户的身份进行认证时为所述用户生成,并用于标识所述用户;所述处理单元,用于获取所述第一服务票据对应的所述身份认证凭证,并删除所述单点登录服务器保存的所述身份认证凭证;所述发送单元,用于将第一会话注销响应发送给所述第一单点登录客户端,以使所述第一单点登录客户端中断第一会话。这样可以中断第一会话,从而防止用户非法操作对第一单点登录客户端的攻击,提高单点登录系统的安全性。
第四方面提供一种会话控制装置,用于单点登录客户端中,所述装置包括发送单元、处理单元以及接收单元;其中,所述处理单元,用于确定用户通过浏览器访问所述单点登录客户端存在非法操作时,获取所述用户与所述单点登录客户端之间的第一会话对应的第一服务票据;所述第一服务票据为单点登录服务器基于所述用户的身份认证凭证为所述单点登录客户端生成,并用于标识所述单点登录客户端;所述身份认证凭证为所述单点登录服务器对所述用户的身份进行认证时为所述用户生成,并用于标识所述用户;所述发送单元,用于将第一会话注销请求发送给所述单点登录服务器,其中,所述第一会话注销请求包括所述第一服务票据;所述接收单元还用于,接收所述单点登录服务器发送的第一会话注销响应;所述处理单元,根据所述第一会话注销响应,将所述第一会话中断。这样可以中断第一会话,从而防止用户非法操作对第一单点登录客户端的攻击,提高单点登录系统的安全性。
第五方面提供的一种单点登录服务器,包括通信接口、处理器以及存储器;其中,所述通信接口、所述处理器以及所述存储器通过总线相互连接,所述处理器用于:
接收用户的第一单点登录客户端发送的第一会话注销请求,所述第一会话注销请求包括第一服务票据,所述第一服务票据为所述单点登录服务器基于所述用户的身份认证凭证为所述第一单点登录客户端生成,并用于标识所述第一单点登录客户端;所述身份认证凭证为所述单点登录服务器对所述用户的身份进行认证时为所述用户生成,并用于标识所述用户;
获取所述第一服务票据对应的所述身份认证凭证,并删除所述单点登录服务器保存的所述身份认证凭证;
将第一会话注销响应发送给所述第一单点登录客户端,以使所述第一单点登录客户端中断第一会话。
第六方面提供的一种单点登录客户端,包括通信接口、处理器以及存储器;其中,所述通信接口、所述处理器以及所述存储器通过总线相互连接,所述处理器用于:
确定用户通过浏览器访问所述单点登录客户端存在非法操作时,获取所述用户与所述单点登录客户端之间的第一会话对应的第一服务票据;所述第一服务票据为单点登录服务器基于所述用户的身份认证凭证为所述单点登录客户端生成,并用于标识所述单点登录客户端;所述身份认证凭证为所述单点登录服务器对所述用户的身份进行认证时为所述用户生成,并用于标识所述用户;
将第一会话注销请求发送给所述单点登录服务器,其中,所述第一会话注销请求包括所述第一服务票据;
接收所述单点登录服务器发送的第一会话注销响应;
根据所述第一会话注销响应,将所述第一会话中断。
本申请中单点登录客户端判断出用户存在非法操作时,单点登录客户端向单点登录服务器发送注销会话请求,单点登录服务器删除本地保存的所述用户的身份认证凭证,达到彻底中断该单点登录客户端本地用户会话的目的,从而提高单点登录系统的安全性。
附图说明
图1为现有技术中一种单点登录的流程示意图;
图2为本发明实施例提供的一种会话控制方法的流程示意图;
图3为本发明实施例提供的一种会话控制方法的流程示意图;
图4为本发明实施例提供的一种会话控制装置的结构示意图;
图5为本发明实施例提供的一种会话控制装置的结构示意图;
图6为本发明实施例提供的一种单点登录服务器的结构示意图;
图7为本发明实施例提供的一种单点登录客户端的结构示意图。
具体实施方式
在本发明实施例中使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本发明。在本发明实施例和所附权利要求书中所使用的单数形式的“一种”,“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。还应当理解的是,本文中的“第一”、“第二”也旨在叙述时对技术名词作区分,便于读者理解,不应理解对技术名词的限定。
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。
图1为现有技术中用户单点登录的流程示意图。用户通过浏览器访问应用系统提供的Web服务,并且通过浏览器向SSO服务器提交用户名和密码。应用系统部署在独立的服务器,并且和SSO客户端集成部署,提供独立的Web服务。SSO客户端拦截来自浏览器的访问请求,判断用户是否经过认证,并校验服务票据(Service Ticket,ST)的合法性。SSO服务器,部署在独立的服务器上,提供单点登录和单点退出服务。SSO服务器校验来自浏览器的请求,并为用户生成身份认证凭证(Ticket Granting Ticket,TGT),同时为SSO客户端生成ST。TGT用于标识用户。ST用于标识SSO客户端,具体来说,用于标识用户与该SSO客户端(应用系统)之间的会话。
如图1所示,用户通过浏览器可以访问多个SSO客户端,用户在浏览器上输入身份信息,即用户名和密码;SSO服务器通过用户的身份信息认证后,为用户生成唯一的TGT。用户在访问不同的SSO客户端时,用户通过浏览器向其中一个SSO客户端发出访问请求,SSO客户端重定向到SSO服务器进行TGT的验证;TGT通过验证后,用户就可以在免认证(免输入用户名和密码)的情况下,访问其他的SSO客户端。
需要说明的是,浏览器、SSO客户端以及SSO服务器之间可以通过HTTP或者HTTPS协议进行通信。一个单点登录体系中,包括多个用户、多个SSO客户端以及一个SSO服务器。SSO服务器为每位用户生成唯一的TGT,同时保存该TGT。一个用户可以访问不同的SSO客户端,SSO服务器为该用户访问的每个SSO客户端生成一个ST,同时保存TGT以及多个STs的对应关系。用户通过浏览器访问SSO客户端,浏览器与SSO客户端之间建立会话,SSO客户端保存会话与ST之间的对应关系。以下本发明实施例中以一个用户访问单点登录系统中的应用为例来说明,并不作为对本发明的限定。
图2为本发明实施例提供的一种会话控制方法的流程示意图。如图2所示,该方法包括步骤S201-S211。
S201,用户通过浏览器将访问请求消息发送给SSO客户端。
S202,SSO客户端判断本地没有和浏览器建立会话,将该请求消息重定向到浏览器,并携带该SSO客户端的优先级。
SSO客户端的优先级用于标识SSO客户端上该用户会话的优先级,该SSO客户端的优先级是SSO服务器为该SSO客户端分配的优先级,可用于标识该SSO客户端的安全级别。
S203,浏览器重定向到SSO服务器,并发送TGT请求认证消息。
S204,SSO服务器判断该TGT请求消息中并没有TGT或TGT错误,将返回登录页面。
需要说明的是,用户保存在浏览器cookie中的TGT有时效,当用户在TGT的时效外进行TGT的认证时,TGT是错误的,将返回登录页面。本发明实施例对TGT的失效不进行详细说明。
S205,用户通过浏览器输入用户名和密码,请求SSO服务器认证。
S206,SSO服务器认证成功,为该用户生成TGT,并根据TGT为该SSO客户端生成ST,返回ST和TGT给该浏览器。SSO服务器会保存TGT和ST的对应关系。
S207,浏览器重定向到SSO客户端,携带ST。
S208,SSO客户端向SSO服务器请求交易ST的合法性。
S209,SSO服务器确定该ST合法,并将ST已登陆的消息发送给SSO客户端。
S210,SSO客户端创建会话,并保存ST和会话之间的对应关系。
S211,SSO客户端确定登陆成功,将浏览器重定向到用户请求访问的地址。
当用户再次登录该SSO客户端或其他受SSO服务器信任的SSO客户端时,S203中TGT认证成功,会直接执行S206-S211,用户不需要重新输入用户名和密码。需要说明的是,SSO服务器保存了该用户的TGT、多个ST以及多个ST的优先级之间的对应关系。一个会话对应一个ST,一个ST对应一个ST的优先级。
图3为本发明实施例提供的一种会话控制流程示意图。该方法包括S301-S306。
S301,第一SSO客户端确定用户存在非法操作,获取第一会话对应的第一ST;并向SSO服务器发送第一会话注销请求,所述第一会话注销请求中包括所述第一ST。
用户的非法操作包括用户的越权操作、注入攻击以及异常操作频率,本发明实施例对此不作限定。
第一SSO客户端保存了第一会话与第一ST之间的对应关系,当第一SSO客户端判断出用户存在非法操作时,获取第一会话对应的第一ST。第一会话是用户通过浏览器与所述第一SSO客户端建立的会话。
S302,SSO服务器获取所述第一ST对应的TGT,并获取TGT对应的第二ST,其中,第二ST的优先级比第一ST的优先级低。
SSO服务器上可能保存了多个TGTs,每个TGT标识一个用户。每个用户的TGT又可以对应多个STs。SSO服务器可以保存一个TGT和多个STs之间的对应关系。SSO服务器收到所述第一会话注销请求后,从所述第一会话注销请求中获取所述第一ST,然后在本地查询,获取第一ST对应的TGT。在另外一个例子中,SSO服务器还获取该TGT对应的第二ST。同时,还可以获得第一ST的优先级和第二ST的优先级,其中,第二ST的优先级低于第一ST的优先级。
第二ST对应第二SSO客户端。
S303,SSO服务器向第二ST对应的第二SSO客户端发送会话注销指示消息,以使第二SSO客户端注销第二会话。
由于第二ST的优先级低于第一ST的优先级,因此由较高优先级的第一SSO客户端触发的会话注销,也会使得SSO服务器向第二SSO客户端发送会话注销指示消息,使得第二SSO客户端根据会话注销指示消息注销第二会话。单点登录服务器可以获取用户的TGT对应的所有ST,例如还有第三ST(第三SSO客户端),并中断所有的ST对应的会话。
S304,SSO服务器删除所述用户的TGT。
优先级比第一服务票据的优先级高的其他服务票据所对应的SSO客户端上的会话可以不注销。但是,用户下一次通过浏览器与任何一个单点登录客户端建立会话时,由于所述用户保存在SSO服务器的TGT已经删除,故用户同样需要输入用户名和密码。
S305,SSO服务器向第一SSO客户端发送第一会话注销响应。
S306,第一SSO客户端根据第一会话注销响应中断用户的第一会话。
步骤S305和S306可在步骤S303之前,之后或同时进行。
需要说明的是,ST的优先级对应SSO客户端的优先级,可用于标识SSO客户端的安全级别;优先级越高,安全级别越高。
在本发明实施例中,第一SSO客户端判断出用户存在非法操作时,不仅可以彻底中断本地第一SSO客户端的第一会话,提高单点登录系统的安全性;而且也可以彻底中断安全级别低于第一SSO客户端的第二SSO客户端的第二会话,进一步提高单点登录系统的安全性。
可以理解,可能还有其他SSO客户端向所述SSO服务器发送第二会话注销请求,其处理过程可参见上述图3所示步骤301-306。
下面以图4和图5为例,对本发明实例的装置进行说明。
图4为本发明实施例提供的一种会话控制装置的结构示意图。所述会话控制装置4用于单点登录客户端中。如图4所示,所述会话控制装置4包括发送单元41、处理单元42和接收单元43。
处理单元42,用于确定用户通过浏览器访问所述单点登录客户端存在非法操作时,获取所述用户与所述单点登录客户端之间的第一会话对应的第一服务票据;所述第一服务票据为单点登录服务器基于所述用户的身份认证凭证为所述单点登录客户端生成,并用于标识所述单点登录客户端;所述身份认证凭证为所述单点登录服务器对所述用户的身份进行认证时为所述用户生成,并用于标识所述用户。
发送单元41,用于将第一会话注销请求发送给所述单点登录服务器,其中,所述第一会话注销请求包括所述第一服务票据。
接收单元43,接收所述单点登录服务器发送的第一会话注销响应。
所述处理单元42还用于,根据所述第一会话注销响应,将所述第一会话中断。
在上述装置中,所述非法操作包括用户的越权操作、注入攻击以及异常操作频率。
本实施例中未尽之细节可参见图3所示会话控制方法中所述,在此不再赘述。
图5为本发明实施例提供的另一种会话控制装置的结构示意图。所述会话控制装置5用于单点登录服务器中。如图5所示,所述会话控制装置5包括发送单元51、处理单元52以及接收单元53。
接收单元53,用于接收用户的第一单点登录客户端发送的第一会话注销请求,所述第一会话注销请求包括第一服务票据;所述第一服务票据为所述单点登录服务器基于所述用户的身份认证凭证为所述第一单点登录客户端生成,并用于标识所述第一单点登录客户端;所述身份认证凭证为所述单点登录服务器对所述用户的身份进行认证时为所述用户生成,并用于标识所述用户。
处理单元52,用于获取所述第一服务票据对应的所述身份认证凭证,并删除所述单点登录服务器保存的所述身份认证凭证。
发送单元51,用于将第一会话注销响应发送给所述第一单点登录客户端,以使所述第一单点登录客户端中断其与所述用户之间的第一会话。
可选地,处理单元52,还用于获取所述身份认证凭证对应的第二服务票据;发送单元51,还用于向所述第二服务票据对应的第二单点登录客户端发送会话注销指示消息,以使所述第二单点登录客户端中断其与所述用户之间的第二会话。
可选地,处理单元52还用于,在为所述第一单点登录客户端生成所述第一服务票据时,为所述第一服务票据分配优先级;为所述第二单点登录客户端生成所述第二服务票据时,为所述第二服务票据分配优先级。相应地,处理单元52还用于在所述发送单元51向所述第二单点登录客户端发送所述会话注销指示消息之前,确定所述第二服务票据的优先级低于所述第一服务票据的优先级。
本实施例中未尽之细节可参见图3所示会话控制方法中所述,在此不再赘述。
下面以图6和图7为例,对本发明实施例中SSO服务器和SSO客户端进行说明。
图6为本发明实施例提供的一种单点登录客户端的结构示意图。如图6所示,单点登录客户端6包括通信接口61、处理器62以及存储器64。
所述通信接口61、所述处理器62以及所述存储器64通过总线63相互连接。所述总线63可以分为地址总线、数据总线、控制总线等。为便于表示,图6中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
所述处理器62用于:
确定用户通过浏览器访问所述单点登录客户端6存在非法操作时,获取所述用户与所述单点登录客户端之间的所述第一会话对应的第一服务票据;所述第一服务票据为单点登录服务器基于所述用户的身份认证凭证为所述单点登录客户端6生成,并用于标识所述单点登录客户端6;所述身份认证凭证为所述单点登录服务器对所述用户的身份进行认证时为所述用户生成,并用于标识所述用户;
将第一会话注销请求发送给所述单点登录服务器,其中,所述第一会话注销请求包括所述第一服务票据;
接收所述单点登录服务器发送的第一会话注销响应;
根据所述第一会话注销响应,将所述单点登录客户端6与所述用户之间的第一会话中断。
所述通信接口61用于与所述单点登录服务器进行通信。
所述存储器64可以包括易失性存储器(英文:volatile memory),例如随机存取存储器(英文:random-access memory,缩写:RAM);存储器也可以包括非易失性存储器(英文:non-volatile memory),例如快闪存储器(英文:flash memory),硬盘(英文:hard diskdrive,缩写:HDD)或固态硬盘(英文:solid-state drive,缩写:SSD);存储器64还可以包括上述种类的存储器的组合。
所述处理器62可以是中央处理器(英文:central processing unit,缩写:CPU),网络处理器(英文:network processor,缩写:NP)或者CPU和NP的组合。
处理器62还可以进一步包括硬件芯片。上述硬件芯片可以是专用集成电路(英文:application-specific integrated circuit,缩写:ASIC),可编程逻辑器件(英文:programmable logic device,缩写:PLD)或其组合。上述PLD可以是复杂可编程逻辑器件(英文:complex programmable logic device,缩写:CPLD),现场可编程逻辑门阵列(英文:field-programmable gate array,缩写:FPGA)等。
所述存储器64用于存储所述第一服务票据标识。
可选地,所述存储器64还用于存储程序指令,处理器62调用该存储器64中存储的程序指令,可以执行图3所示会话控制方法中的一个或多个步骤,或其中可选的实施方式,使得所述单点登录客户端6实现上述方法。
本实施例中未尽之细节可参见图3所示会话控制方法中所述,在此不再赘述。
图7为本发明实施例提供的一种单点登录服务器的结构示意图。如图7所示,该单点登录服务器7,包括通信接口71、处理器72以及存储器74。
所述通信接口71、所述处理器72以及所述存储器74通过总线73相互连接。所述总线73可以分为地址总线、数据总线、控制总线等。为便于表示,图7中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
所述处理器72用于:
接收用户的第一单点登录客户端发送的第一会话注销请求,所述第一会话注销请求包括第一服务票据,所述第一服务票据为所述单点登录服务器7基于所述用户的身份认证凭证为所述第一单点登录客户端生成,并用于标识所述第一单点登录客户端;所述身份认证凭证为所述单点登录服务器7对所述用户的身份进行认证时为所述用户生成,并用于标识所述用户;
获取所述第一服务票据对应的所述身份认证凭证,并删除所述单点登录服务器保存的所述身份认证凭证;
将第一会话注销响应发送给所述第一单点登录客户端,以使所述第一单点登录客户端中断第一会话。
所述存储器74可以包括易失性存储器(英文:volatile memory),例如随机存取存储器(英文:random-access memory,缩写:RAM);存储器也可以包括非易失性存储器(英文:non-volatile memory),例如快闪存储器(英文:flash memory),硬盘(英文:hard diskdrive,缩写:HDD)或固态硬盘(英文:solid-state drive,缩写:SSD);存储器74还可以包括上述种类的存储器的组合。
所述处理器72可以是中央处理器(英文:central processing unit,缩写:CPU),网络处理器(英文:network processor,缩写:NP)或者CPU和NP的组合。
处理器72还可以进一步包括硬件芯片。上述硬件芯片可以是专用集成电路(英文:application-specific integrated circuit,缩写:ASIC),可编程逻辑器件(英文:programmable logic device,缩写:PLD)或其组合。上述PLD可以是复杂可编程逻辑器件(英文:complex programmable logic device,缩写:CPLD),现场可编程逻辑门阵列(英文:field-programmable gate array,缩写:FPGA)等。
所述存储器74用于存储所述用户的TGT、多个STs以及每个ST的优先级,还有所述用户TGT与多个STs以及ST的优先级之间的对应关系。
可选地,所述存储器74还用于存储程序指令,处理器72调用该存储器74中存储的程序指令,可以执行图3所示会话控制方法中的一个或多个步骤,或其中可选的实施方式,使得所述单点登录服务器7实现上述方法。
本实施例中未尽之细节可参见图3所示会话控制方法中所述,在此不再赘述。
本发明实施例中,SSO客户端判断出用户的非法操作时,能够彻底中断该SSO客户端本地会话,提高单点登录系统的安全性;并且能够彻底中断比该SSO客户端优先级低的其他SSO客户端的会话,进一步提高单点登录系统的安全性。
专业人员应该还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
结合本文中所公开的实施例描述的方法的步骤可以用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
Claims (12)
1.一种会话控制方法,其特征在于,所述方法包括:
单点登录服务器接收用户的第一单点登录客户端发送的第一会话注销请求,所述第一会话注销请求包括第一服务票据,所述第一服务票据为所述单点登录服务器基于所述用户的身份认证凭证为所述第一单点登录客户端生成,并用于标识所述第一单点登录客户端;所述身份认证凭证为所述单点登录服务器对所述用户的身份进行认证时为所述用户生成,并用于标识所述用户;
所述单点登录服务器获取所述第一服务票据对应的所述身份认证凭证,并删除所述单点登录服务器保存的所述身份认证凭证;
所述单点登录服务器将第一会话注销响应发送给所述第一单点登录客户端,以使所述第一单点登录客户端中断第一会话。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
所述单点登录服务器获取所述身份认证凭证对应的第二服务票据;
所述单点登录服务器向所述第二服务票据对应的第二单点登录客户端发送会话注销指示消息,以使所述第二单点登录客户端中断第二会话。
3.根据权利要求1所述的方法,其特征在于,所述第一会话注销请求还包括所述第一服务票据的优先级,所述方法还包括:
所述单点登录服务器获取所述身份认证凭证对应的第二服务票据;
当所述第二服务票据的优先级低于所述第一服务票据的优先级时,所述单点登录服务器向所述第二服务票据对应的第二单点登录客户端发送会话注销指示消息,以使所述第二单点登录客户端中断第二会话。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
所述单点登录服务器为所述第一单点登录客户端生成所述第一服务票据时,为所述第一服务票据分配优先级;
所述单点登录服务器为所述第二单点登录客户端生成所述第二服务票据时,为所述第二服务票据分配优先级。
5.一种会话控制方法,其特征在于,所述方法包括:
单点登录客户端确定用户通过浏览器访问所述单点登录客户端存在非法操作时,获取所述用户与所述单点登录客户端之间的第一会话对应的第一服务票据;所述第一服务票据为单点登录服务器基于所述用户的身份认证凭证为所述单点登录客户端生成,并用于标识所述单点登录客户端;所述身份认证凭证为所述单点登录服务器对所述用户的身份进行认证时为所述用户生成,并用于标识所述用户;
将第一会话注销请求发送给所述单点登录服务器,其中,所述第一会话注销请求包括所述第一服务票据;
接收所述单点登录服务器发送的第一会话注销响应;
根据所述第一会话注销响应,将所述第一会话中断。
6.根据权利要求5所述的方法,其特征在于,所述非法操作包括用户的越权操作、注入攻击以及异常操作频率。
7.一种会话控制装置,用于单点登录服务器中,其特征在于,所述装置包括发送单元、处理单元以及接收单元;其中,
所述接收单元,用于接收用户的第一单点登录客户端发送的第一会话注销请求,所述第一会话注销请求包括第一服务票据;所述第一服务票据为单点登录服务器基于所述用户的身份认证凭证为所述第一单点登录客户端生成,并用于标识所述第一单点登录客户端;所述身份认证凭证为所述单点登录服务器对所述用户的身份进行认证时为所述用户生成,并用于标识所述用户;
所述处理单元,用于获取所述第一服务票据对应的所述身份认证凭证,并删除所述单点登录服务器保存的所述身份认证凭证;
所述发送单元,用于将第一会话注销响应发送给所述第一单点登录客户端,以使所述第一单点登录客户端中断第一会话。
8.根据权利要求7所述的装置,其特征在于,
所述处理单元,还用于获取所述身份认证凭证对应的第二服务票据;
所述发送单元,还用于向所述第二服务票据对应的第二单点登录客户端发送会话注销指示消息,以使所述第二单点登录客户端终端第二会话。
9.根据权利要求7所述的装置,其特征在于,
所述处理单元,还用于获取所述用户身份认证凭证对应的第二服务票据,其中,所述第一会话注销请求包括第一服务票据的优先级;
所述发送单元,还用于当所述第二服务票据的优先级低于所述第一服务票据的优先级时,向所述第二服务票据对应的第二单点登录客户端发送会话注销指示消息,以使所述第二单点登录客户端中断第二会话。
10.根据权利要求9所述的装置,其特征在于,
所述处理单元还用于,为所述第一单点登录客户端生成所述第一服务票据时,为所述第一服务票据分配优先级;
所述处理单元还用于,为所述第二单点登录客户端生成所述第二服务票据时,为所述第二服务票据分配优先级。
11.一种会话控制装置,用于单点登录客户端中,其特征在于,所述装置包括发送单元、处理单元以及接收单元;其中,
所述处理单元,用于确定用户通过浏览器访问所述单点登录客户端存在非法操作时,获取所述用户与所述单点登录客户端之间的第一会话对应的第一服务票据;所述第一服务票据为单点登录服务器基于所述用户的身份认证凭证为所述单点登录客户端生成,并用于标识所述单点登录客户端;所述身份认证凭证为所述单点登录服务器对所述用户的身份进行认证时为所述用户生成,并用于标识所述用户;
所述发送单元,用于将第一会话注销请求发送给所述单点登录服务器,其中,所述第一会话注销请求包括所述第一服务票据;
所述接收单元,接收所述单点登录服务器发送的第一会话注销响应;
所述处理单元还用于,根据所述第一会话注销响应,将所述第一会话中断。
12.根据权利要求11所述的装置,其特征在于,所述非法操作包括用户的越权操作、注入攻击以及异常操作频率。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610983110.3A CN108076077A (zh) | 2016-11-08 | 2016-11-08 | 一种会话控制方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610983110.3A CN108076077A (zh) | 2016-11-08 | 2016-11-08 | 一种会话控制方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN108076077A true CN108076077A (zh) | 2018-05-25 |
Family
ID=62154080
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610983110.3A Pending CN108076077A (zh) | 2016-11-08 | 2016-11-08 | 一种会话控制方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108076077A (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109831408A (zh) * | 2018-12-13 | 2019-05-31 | 平安万家医疗投资管理有限责任公司 | 单点登录子系统的登出方法及系统 |
| CN110647733A (zh) * | 2019-09-23 | 2020-01-03 | 江苏恒宝智能系统技术有限公司 | 一种基于指纹识别的身份认证方法和系统 |
| CN110855640A (zh) * | 2019-10-30 | 2020-02-28 | 北京市天元网络技术股份有限公司 | 基于cas的登录凭证销毁方法以及装置 |
| CN112020051A (zh) * | 2019-05-29 | 2020-12-01 | 中国移动通信集团重庆有限公司 | VoLTE业务注销方法、装置、设备及计算机存储介质 |
| CN112287326A (zh) * | 2020-09-28 | 2021-01-29 | 珠海大横琴科技发展有限公司 | 安全认证的方法及装置、电子设备、存储介质 |
| CN114257431A (zh) * | 2021-12-13 | 2022-03-29 | 以萨技术股份有限公司 | 一种登录会话管理方法、系统及存储介质 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040128393A1 (en) * | 2002-12-31 | 2004-07-01 | International Business Machines Corporation | Method and system for consolidated sign-off in a heterogeneous federated environment |
| US20040128392A1 (en) * | 2002-12-31 | 2004-07-01 | International Business Machines Corporation | Method and system for proof-of-possession operations associated with authentication assertions in a heterogeneous federated environment |
| US20060021018A1 (en) * | 2004-07-21 | 2006-01-26 | International Business Machines Corporation | Method and system for enabling trust infrastructure support for federated user lifecycle management |
| CN101232375A (zh) * | 2007-01-25 | 2008-07-30 | 富士施乐株式会社 | 单点登录系统、信息终端设备、单点登记服务器及方法 |
| CN102143131A (zh) * | 2010-08-02 | 2011-08-03 | 华为技术有限公司 | 用户注销方法及认证服务器 |
| CN102314551A (zh) * | 2010-07-09 | 2012-01-11 | 通用电气公司 | 用于传递远程上下文的系统和方法 |
| CN102497356A (zh) * | 2011-11-22 | 2012-06-13 | 北京信城通数码科技有限公司 | 一种互联网药品交易市场公共服务平台集成系统 |
| CN104063756A (zh) * | 2014-05-23 | 2014-09-24 | 国网辽宁省电力有限公司本溪供电公司 | 远程用电信息控制系统 |
| CN104580496A (zh) * | 2015-01-22 | 2015-04-29 | 深圳先进技术研究院 | 一种基于临时代理的虚拟机访问系统及服务器 |
-
2016
- 2016-11-08 CN CN201610983110.3A patent/CN108076077A/zh active Pending
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040128393A1 (en) * | 2002-12-31 | 2004-07-01 | International Business Machines Corporation | Method and system for consolidated sign-off in a heterogeneous federated environment |
| US20040128392A1 (en) * | 2002-12-31 | 2004-07-01 | International Business Machines Corporation | Method and system for proof-of-possession operations associated with authentication assertions in a heterogeneous federated environment |
| US20060021018A1 (en) * | 2004-07-21 | 2006-01-26 | International Business Machines Corporation | Method and system for enabling trust infrastructure support for federated user lifecycle management |
| CN101232375A (zh) * | 2007-01-25 | 2008-07-30 | 富士施乐株式会社 | 单点登录系统、信息终端设备、单点登记服务器及方法 |
| CN102314551A (zh) * | 2010-07-09 | 2012-01-11 | 通用电气公司 | 用于传递远程上下文的系统和方法 |
| CN102143131A (zh) * | 2010-08-02 | 2011-08-03 | 华为技术有限公司 | 用户注销方法及认证服务器 |
| CN102497356A (zh) * | 2011-11-22 | 2012-06-13 | 北京信城通数码科技有限公司 | 一种互联网药品交易市场公共服务平台集成系统 |
| CN104063756A (zh) * | 2014-05-23 | 2014-09-24 | 国网辽宁省电力有限公司本溪供电公司 | 远程用电信息控制系统 |
| CN104580496A (zh) * | 2015-01-22 | 2015-04-29 | 深圳先进技术研究院 | 一种基于临时代理的虚拟机访问系统及服务器 |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109831408A (zh) * | 2018-12-13 | 2019-05-31 | 平安万家医疗投资管理有限责任公司 | 单点登录子系统的登出方法及系统 |
| CN112020051A (zh) * | 2019-05-29 | 2020-12-01 | 中国移动通信集团重庆有限公司 | VoLTE业务注销方法、装置、设备及计算机存储介质 |
| CN112020051B (zh) * | 2019-05-29 | 2023-04-07 | 中国移动通信集团重庆有限公司 | VoLTE业务注销方法、装置、设备及计算机存储介质 |
| CN110647733A (zh) * | 2019-09-23 | 2020-01-03 | 江苏恒宝智能系统技术有限公司 | 一种基于指纹识别的身份认证方法和系统 |
| CN110647733B (zh) * | 2019-09-23 | 2022-04-08 | 恒宝股份有限公司 | 一种基于指纹识别的身份认证方法和系统 |
| CN110855640A (zh) * | 2019-10-30 | 2020-02-28 | 北京市天元网络技术股份有限公司 | 基于cas的登录凭证销毁方法以及装置 |
| CN112287326A (zh) * | 2020-09-28 | 2021-01-29 | 珠海大横琴科技发展有限公司 | 安全认证的方法及装置、电子设备、存储介质 |
| CN112287326B (zh) * | 2020-09-28 | 2024-05-24 | 珠海大横琴科技发展有限公司 | 安全认证的方法及装置、电子设备、存储介质 |
| CN114257431A (zh) * | 2021-12-13 | 2022-03-29 | 以萨技术股份有限公司 | 一种登录会话管理方法、系统及存储介质 |
| CN114257431B (zh) * | 2021-12-13 | 2024-04-30 | 以萨技术股份有限公司 | 一种登录会话管理方法、系统及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10454918B1 (en) | Method for SSO service using PKI based on blockchain networks, and device and server using the same | |
| US10122715B2 (en) | Enhanced multi factor authentication | |
| US10541991B2 (en) | Method for OAuth service through blockchain network, and terminal and server using the same | |
| CN108076077A (zh) | 一种会话控制方法及装置 | |
| CN105007280B (zh) | 一种应用登录方法和装置 | |
| US8954730B2 (en) | Establishing historical usage-based hardware trust | |
| CN109815656A (zh) | 登录认证方法、装置、设备及计算机可读存储介质 | |
| CN104158818B (zh) | 一种单点登录方法及系统 | |
| CN111355713B (zh) | 一种代理访问方法、装置、代理网关及可读存储介质 | |
| CN110032842B (zh) | 同时支持单点登录及第三方登录的方法和系统 | |
| KR102252086B1 (ko) | 블록체인 기반의 권한 인증 방법, 단말 및 이를 이용한 서버 | |
| CN112597472A (zh) | 单点登录方法、装置及存储介质 | |
| EP3685559B1 (en) | System and method for application session monitoring and control | |
| CN108880822A (zh) | 一种身份认证方法、装置、系统及一种智能无线设备 | |
| CN111062023B (zh) | 多应用系统实现单点登录的方法及装置 | |
| CN104734849A (zh) | 对第三方应用进行鉴权的方法及系统 | |
| US10397214B2 (en) | Collaborative sign-on | |
| US8595106B2 (en) | System and method for detecting fraudulent financial transactions | |
| CN106331003B (zh) | 一种云桌面上应用门户系统的访问方法及装置 | |
| Wu et al. | Design and implementation of cloud API access control based on OAuth | |
| CN104243488B (zh) | 一种跨网站服务器的登录认证方法 | |
| CN107172038B (zh) | 一种用于提供安全服务的信息处理方法、平台、组件及系统 | |
| WO2007099527A2 (en) | A method for serving a plurality of applications by a security token | |
| CN110869928A (zh) | 认证系统和方法 | |
| CN109861982A (zh) | 一种身份认证的实现方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180525 |