CN109190341A - 一种登录管理系统和方法 - Google Patents
一种登录管理系统和方法 Download PDFInfo
- Publication number
- CN109190341A CN109190341A CN201810832303.8A CN201810832303A CN109190341A CN 109190341 A CN109190341 A CN 109190341A CN 201810832303 A CN201810832303 A CN 201810832303A CN 109190341 A CN109190341 A CN 109190341A
- Authority
- CN
- China
- Prior art keywords
- authentication
- logging
- access request
- key
- login management
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title abstract description 24
- 238000009826 distribution Methods 0.000 claims abstract description 37
- 238000007726 management method Methods 0.000 claims description 92
- 230000000875 corresponding effect Effects 0.000 claims description 15
- 230000002596 correlated effect Effects 0.000 claims description 3
- 238000005516 engineering process Methods 0.000 abstract description 3
- 238000010586 diagram Methods 0.000 description 7
- 230000006870 function Effects 0.000 description 6
- 238000003860 storage Methods 0.000 description 5
- 238000004364 calculation method Methods 0.000 description 3
- OTZZZISTDGMMMX-UHFFFAOYSA-N 2-(3,5-dimethylpyrazol-1-yl)-n,n-bis[2-(3,5-dimethylpyrazol-1-yl)ethyl]ethanamine Chemical compound N1=C(C)C=C(C)N1CCN(CCN1C(=CC(C)=N1)C)CCN1C(C)=CC(C)=N1 OTZZZISTDGMMMX-UHFFFAOYSA-N 0.000 description 1
- 241000962514 Alosa chrysochloris Species 0.000 description 1
- 241001269238 Data Species 0.000 description 1
- 108010014172 Factor V Proteins 0.000 description 1
- 241001441724 Tetraodontidae Species 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000010485 coping Effects 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
- G06F21/46—Structures or tools for the administration of authentication by designing passwords or checking the strength of passwords
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Information Transfer Between Computers (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明属于计算机技术领域,尤其涉及一种登录管理系统和方法。所述登录管理系统包括:客户端插件、登录管理服务器以及认证服务器;所述客户端插件用于拦截客户端发出的对业务系统的第一访问请求,并将所述第一访问请求修改为指向所述业务系统的登录管理服务器的第二访问请求;所述登录管理服务器用于接收所述第二访问请求,并判断所述第二访问请求中是否包含登录凭证;若所述第二访问请求中包含所述登录凭证,则根据所述登录凭证向所述客户端的用户开放所述业务系统的登录权限;所述认证服务器用于根据所述登录凭证分配请求为所述客户端的用户分配登录凭证,并将分配的所述登录凭证发送至所述登录管理服务器。
Description
技术领域
本发明属于计算机技术领域,尤其涉及一种登录管理系统和方法。
背景技术
企业内部,一般都有很多的业务系统为用户提供相应的管理和IT服务。这些不同的业务系统往往是在不同的时期建设起来的,运行在不同的平台上,每个业务系统都会有自己的安全体系和身份认证方式,当用户需要使用到多个业务系统时,进入每个业务系统都需要重新进行登录,耗费大量的时间,严重影响用户的工作效率。
发明内容
有鉴于此,本发明实施例提供了一种登录管理系统和方法,以解决现有的登录管理系统登录耗时较多,严重影响用户的工作效率的问题。
本发明实施例的第一方面提供了一种登录管理系统,可以包括:客户端插件、登录管理服务器以及认证服务器;
所述客户端插件用于拦截客户端发出的对业务系统的第一访问请求,并将所述第一访问请求修改为指向所述业务系统的登录管理服务器的第二访问请求;
所述登录管理服务器用于接收所述第二访问请求,并判断所述第二访问请求中是否包含登录凭证;若所述第二访问请求中包含所述登录凭证,则根据所述登录凭证向所述客户端的用户开放所述业务系统的登录权限;若所述第二访问请求中不包含所述登录凭证,则向所述认证服务器发送登录凭证分配请求;
所述认证服务器用于根据所述登录凭证分配请求为所述客户端的用户分配登录凭证,并将分配的所述登录凭证发送至所述登录管理服务器;
所述登录管理服务器还用于根据分配的所述登录凭证向所述客户端的用户开放所述业务系统的登录权限。
本发明实施例的第二方面提供了一种登录管理方法,可以包括:
客户端插件拦截客户端发出的对业务系统的第一访问请求,并将所述第一访问请求修改为指向所述业务系统的登录管理服务器的第二访问请求;
登录管理服务器接收所述第二访问请求,并判断所述第二访问请求中是否包含登录凭证;若所述第二访问请求中包含所述登录凭证,则根据所述登录凭证向所述客户端的用户开放所述业务系统的登录权限;若所述第二访问请求中不包含所述登录凭证,则向认证服务器发送登录凭证分配请求;
所述认证服务器根据所述登录凭证分配请求为所述客户端的用户分配登录凭证,并将分配的所述登录凭证发送至所述登录管理服务器;
所述登录管理服务器根据分配的所述登录凭证向所述客户端的用户开放所述业务系统的登录权限。
本发明实施例与现有技术相比存在的有益效果是:本发明实施例通过认证服务器为用户分配在业务系统间通用的登录凭证,用户通过客户端访问某一业务系统时,客户端插件拦截并修改客户端对该业务系统的访问请求,使该访问请求指向该业务系统的登录管理服务器,登录管理服务器对该访问请求进行判断,若其中包含了登录凭证,则直接为该用户开放该业务系统的登录权限,无需该用户再通过输入用户名、密码等方式进行登录验证,若其中不包含登录凭证(例如,在初始状态下,认证服务器尚未为该用户分配登录凭证),则向认证服务器发送登录凭证分配请求,由认证服务器为该用户分配登录凭证。通过这样的方式,用户可以使用自己的登录凭证直接登录各个业务系统,而无需每次均进行登录验证,节省了大量的时间,提高了工作效率。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其它的附图。
图1为本发明实施例中一种登录管理系统的一个实施例的示意图;
图2为本发明实施例中一种登录管理方法的一个实施例的示意流程图;
图3为将第一访问请求修改为指向业务系统的登录管理服务器的第二访问请求的示意流程图;
图4为本发明实施例中一种登录管理服务器的一个实施例结构图;
图5为本发明实施例中一种认证服务器的一个实施例结构图;
图6为本发明实施例中一种登录管理服务器的示意框图。
图7为本发明实施例中一种认证管理服务器的示意框图。
具体实施方式
为使得本发明的发明目的、特征、优点能够更加的明显和易懂,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,下面所描述的实施例仅仅是本发明一部分实施例,而非全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
请参阅图1,本发明实施例中一种登录管理系统的一个实施例可以包括:客户端插件、登录管理服务器以及认证服务器。
所述客户端插件可以预装在每个用户的客户端上,也可以由用户根据实际需求从指定的服务器中下载安装,例如,对于在日常工作中一般只使用到一个或两个业务系统的用户而言,使用常规的登录方法已能满足其需求,则无需额外下载安装该客户端插件,而对于在日常工作中经常会使用到较多个业务系统的用户而言,若要实现免登录访问这些业务系统的功能,则需要在自己的客户端下载并安装该客户端插件。
所述登录管理服务器用于用户登录业务系统的过程进行管理,一般地,每个业务系统均有一个唯一对应的登录管理服务器,需要注意的是,这里所说的“一个”是逻辑上的概念,而不是物理上的概念,例如,某个业务系统可能有多台物理上的服务器来实现登录管理的功能,但是,对外只提供一个唯一的虚拟的服务器标识,对于外部而言,则可以将其整体视作一个逻辑上的登录管理服务器。
所述认证服务器用于为用户分配登录凭证,各个业务系统共享同一个认证服务器,该登录凭证可以在各个业务系统间通用,通过该登录凭证即可使用户在无需通过输入用户名、密码等信息的情况下直接登录到各个业务系统中。与登录管理服务器类似,此处所说的“一个”也是逻辑上的概念。
如图2所示,本发明实施例中一种登录管理方法的一个实施例可以包括:
步骤S201、客户端插件拦截客户端发出的对业务系统的第一访问请求,并将所述第一访问请求修改为指向所述业务系统的登录管理服务器的第二访问请求。
如图3所示,所述步骤S201具体可以包括:
步骤S2011、提取所述第一访问请求中的统一资源定位符。
一般地,当用户需要对某一业务系统进行访问时,则会通过客户端向该业务系统发送HTTP请求,也即所述第一访问请求,在该第一访问请求中包括了该业务系统中的一个统一资源定位符(Uniform Resource Locator,URL),统一资源定位符是对可以从互联网上得到的资源的位置和访问方法的一种简洁的表示,是互联网上标准资源的地址。互联网上的每个文件都有一个唯一的URL,它包含的信息指出文件的位置以及浏览器应该怎么处理它。需要注意的是,由于业务系统中往往包含了众多的文件资源,因此一个业务系统中也有多个URL,用户具体需要访问其中的哪一个文件资源,则在所述第一访问请求中携带哪一个文件资源的URL。
步骤S2012、根据所述统一资源定位符中预设的第一字段的取值确定与所述统一资源定位符对应的业务系统。
在本实施例中,同一业务系统中各个文件资源的URL可以使用相同的前缀,也即所述第一字段,例如,业务系统1(ServiceSystem1)中的A文件资源的URL可以为:http://ServiceSystem1.com/AfileSource.html,其中的B文件资源的URL可以为:http://ServiceSystem1.com/BfileSource.html,使用了相同的前缀ServiceSystem1,可以将该字段作为业务系统的标识,确定出对应的业务系统。
步骤S2013、将所述统一资源定位符中预设的第二字段的取值修改为预设的替换值,所述替换值用于指示所述业务系统的登录管理服务器。
在本实施例中,同一业务系统中各个文件资源的URL可以使用不同的后缀,也即所述第二字段,来指示各自具体的文件资源。例如,业务系统1中的A文件资源的URL可以为:http://ServiceSystem1.com/AfileSource.html,其中的用于指示A文件资源的字段AfileSource即为所述第二字段。如果直接使用该URL访问业务系统1,则业务系统1会对用户进行登录验证,只有当用户输入账号、密码通过验证后才能对业务系统1进行访问,因此,在本实施例中,通过所述客户端插件将第二字段的取值修改为预设的替换值,而该替换值指向所述业务系统的登录管理服务器,从而可以绕开常规的登录验证流程,由登录管理服务器进行相应的登录管理。所述替换值可以根据实际情况进行设置,例如,可以使用sso作为指示登录管理服务器的替换值,将上述URL修改为http://ServiceSystem1.com/sso.html,修改过URL的访问请求即为所述第二访问请求。
通过客户端插件的上述过程,完成了对于初始访问请求的修改,将访问请求将指向了所述业务系统的登录管理服务器,绕开了常规的登录验证流程,再通过登录管理服务器的后续处理实现对所述业务系统的直接访问。
步骤S202、所述登录管理服务器接收所述第二访问请求,并判断所述第二访问请求中是否包含登录凭证。
若所述第二访问请求中不包含所述登录凭证,则执行步骤S203及其后续步骤,若所述第二访问请求中包含所述登录凭证,则执行步骤S205。
步骤S203、所述登录管理服务器向所述认证服务器发送登录凭证分配请求。
在初始状态下,所述认证服务器尚未为用户分配过登录凭证,因此在所述第二访问请求中不会包含所述登录凭证,在这种情况下,所述登录管理服务器会向所述认证服务器发送登录凭证分配请求,以使所述认证服务器为该用户分配登录凭证。
步骤S204、所述认证服务器根据所述登录凭证分配请求为所述客户端的用户分配登录凭证,并将分配的所述登录凭证发送至所述登录管理服务器。
具体地,所述认证服务器首先从所述登录凭证分配请求中获取用户数据,然后获取当前系统时间,并将所述当前系统时间作为凭证创建时间,再对所述用户数据和所述凭证创建时间进行加密处理,得到与所述用户对应的登录凭证。
一种具体地加密处理过程可以是基于预设的密钥和预设的第一加密算法对所述用户数据进行加密以生成第一加密结果,基于预设的第二加密算法对所述凭证创建时间加密以生成第二加密结果,将所述第一加密结果和所述第二加密结果合成为一个字符串,基于预设的第三加密算法对该字符串加密处理,得到与所述用户对应的登录凭证。
例如,密钥为KEY,凭证创建时间为CreateTime,则按照上述步骤加密处理后得到的结果为:
EncData=EncAlg3((EncAlg1(KEY,UserInfo)||EncAlg2(CreateTime))
其中,UserInfo为用户数据,EncData为加密处理后得到的结果,也即与所述用户对应的登录凭证,“||”为字符串连接符,用于将两个字符串连接成一个字符串,EncAlg1为第一加密算法、EncAlg2为第二加密算法、EncAlg3为第三加密算法,本实施例中所使用的加密算法包括但不限于DES、3DES、TDEA、Blowfish、RC2、RC4、RC5、IDEA、SKIPJACK、AES、BASE64等对称加密算法,以及RSA、Elgamal、Rabin、D-H、ECC非对称加密算法。可以根据实际情况进行选择,优选地,所述第一加密算法可以是AES算法,第二加密算法和第三加密算法可以是BASE64算法。
在生成所述登录凭证之后,一方面,所述认证服务器可以将所述登录凭证发送至所述客户端,以使客户端在后续对业务系统的访问请求中加入该登录凭证,另一方面,所述认证服务器可以将所述登录凭证发送至所述登录管理服务器,以使所述登录管理服务器根据所述登录凭证向所述客户端的用户开放所述业务系统的登录权限。
步骤S205、所述登录管理服务器根据所述登录凭证向所述客户端的用户开放所述业务系统的登录权限。
具体地,所述登录管理服务器首先对所述登录凭证进行解密处理,获取所述登录凭证中包含的用户数据和凭证创建时间。
对所述登录凭证进行解密处理的过程实质上是对上述加密过程的一个逆运算。以EncData=EncAlg3((EncAlg1(KEY,UserInfo)||EncAlg2(CreateTime))为例,则解密时,按照如下过程:
按照EncAlg3.decode(EncData)运算,并将运算结果拆分为加密用户数据EncUserInfo和加密凭证创建时间EncCreateTime,再经过如下运算得到其中包含的用户数据UserInfo和凭证创建时间CreateTime:
UserInfo=EncAlg1.decode(KEY,EncUserInfo)
CreateTime=EncAlg2.decode(EncCreateTime)
其中,EncAlg1.decode为第一加密算法的逆运算,EncAlg2.decode为第二加密算法的逆运算,EncAlg3.decode为第三加密算法的逆运算。
在完成解密之后,将所述登录凭证中包含的用户数据与所述第二访问请求中包含的用户数据进行比对。
若所述登录凭证中包含的用户数据与所述第二访问请求中包含的用户数据不一致,则判定本次登录失败。
若所述登录凭证中包含的用户数据与所述第二访问请求中包含的用户数据一致,则计算请求接收时间与所述凭证创建时间之间的时间差,所述请求接收时间为所述登录管理服务器接收到所述第二访问请求的时间。若所述请求接收时间与所述凭证创建时间之间的时间差大于或等于预设的阈值,则判定本次登录失败;若所述请求接收时间与所述凭证创建时间之间的时间差小于预设的阈值,则向所述客户端的用户开放所述业务系统的登录权限。
所述阈值可以根据实际情况进行设置,例如,可以将其设置为10分钟、30分钟、1小时、2小时或者其它取值,但需要注意的是,该阈值取值越小,则登录凭证的更新频率越快,计算量越大,资源消耗也较多,反之,该阈值取值越大,则登录凭证的更新频率越慢,计算量越小,资源消耗也较少,需要根据具体情景对这两者进行权衡。
进一步地,为了提高整个系统的安全性,在本发明实施例的一种可能实现中,所述认证服务器还可以每隔预设的时间间隔生成一个密钥。
具体地,获取当前时间cTime以及预设的基准时间bTime,并根据下式计算可变因子:
V=(cTime-bTime)÷bTime
从预设的随机发生器中获取一个随机字符串SEED,根据下式对该可变因子V以及随机字符串SEED进行处理,得到密钥KEY:
KEY=HOTP(SEED,V)||HOTP(SEED,V+1)
HOTP(K,C)=(HASH(K,C)&0x7FFFFFFF)mod 10d
其中,HASH为预设的哈希函数,将SEED和V分别作为K、C值带入上述公式计算得到HOTP(SEED,V)和HOTP(SEED,V+1)。采用所述哈希函数进行运算,会得到一个20字节40位的十六进制数字,mod为取余运算,与10的d次方模运算得到d位的一个数字口令,也即所述密钥。
在生成密钥后,所述认证服务器使用该密钥进行上述加密过程,并将所述密钥发送至所述登录管理服务器。
所述登录管理服务器在接收到密钥后,将该密钥添加入预设的密钥序列中,并将所述密钥序列中接收时间最早的密钥从所述密钥序列中删除,当进行解密处理时,按照所述密钥序列中各个密钥的优先级从高到低的顺序依次进行解密处理,直至解密成功为止,若遍历完所述密钥序列中的各个密钥,仍未解密成功,则判定解密失败,其中,密钥的优先级与密钥的接收时间负相关,也即密钥的接收时间越早,则其优先级越低,反之,若密钥的接收时间越晚,则其优先级越高。
例如,假设所述密钥序列的长度为4,也即所述登录管理服务器会保存最近接收到的4个密钥,按照接收时间从早到晚的顺序依次排列为:密钥1、密钥2、密钥3和密钥4,当所述登录管理服务器接收到所述认证服务器最新生成的密钥5后,则会将密钥1从该密钥序列中删除,并将密钥5添加入该密钥序列,此时的密钥序列按照接收时间从早到晚的顺序依次排列为:密钥2、密钥3、密钥4和密钥5,当需要进行解密时,首先使用接收时间最晚,优先级最高的密钥5,若未能成功解密,则使用接收时间次晚,优先级次高的密钥4,依次类推。
所述密钥序列的长度可以由上述阈值(即请求接收时间与凭证创建时间之间的时间差的阈值)和认证服务器生成密钥的时间间隔来确定,例如,可以根据下式计算所述密钥序列的长度:
SerialNum=Ceil(Threshold÷Interval)
其中,Threshold为所述阈值,Interval为所述时间间隔,Ceil为向上取整函数,SerialNum为所述密钥序列的长度。
综上所述,本发明实施例通过认证服务器为用户分配在业务系统间通用的登录凭证,用户通过客户端访问某一业务系统时,客户端插件拦截并修改客户端对该业务系统的访问请求,使该访问请求指向该业务系统的登录管理服务器,登录管理服务器对该访问请求进行判断,若其中包含了登录凭证,则直接为该用户开放该业务系统的登录权限,无需该用户再通过输入用户名、密码等方式进行登录验证,若其中不包含登录凭证(例如,在初始状态下,认证服务器尚未为该用户分配登录凭证),则向认证服务器发送登录凭证分配请求,由认证服务器为该用户分配登录凭证。通过这样的方式,用户可以使用自己的登录凭证直接登录各个业务系统,而无需每次均进行登录验证,例如,用户首先访问业务系统A,初始状态下用户尚没有登录凭证,因此在登录管理服务器对访问请求进行判断后,会请求认证服务器为其分配登录凭证,用户凭借该登录凭证顺利登录业务系统A,接着,用户继续访问业务系统B和业务系统C,此时的访问请求中都将携带登录凭证,可以直接登录这些业务系统,节省了大量的时间,提高了工作效率。
应理解,上述实施例中各步骤的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本发明实施例的实施过程构成任何限定。
图4示出了本发明实施例提供的一种登录管理服务器的一个实施例结构图,所述登录管理服务器可以包括:
登录凭证判断模块401,用于接收访问请求,并判断所述访问请求中是否包含登录凭证;
分配请求发送模块402,用于向认证服务器发送登录凭证分配请求;
登录权限开放模块403,用于根据所述登录凭证向客户端的用户开放业务系统的登录权限;
进一步地,所述登录权限开放模块可以包括:
解密处理单元,用于对所述登录凭证进行解密处理,获取所述登录凭证中包含的用户数据和凭证创建时间;
用户数据对比单元,用于将所述登录凭证中包含的用户数据与所述第二访问请求中包含的用户数据进行比对;
时间差计算单元,用于若所述登录凭证中包含的用户数据与所述第二访问请求中包含的用户数据一致,则计算请求接收时间与所述凭证创建时间之间的时间差,所述请求接收时间为所述登录管理服务器接收到所述第二访问请求的时间;
登录权限开放单元,用于若所述请求接收时间与所述凭证创建时间之间的时间差小于预设的阈值,则向所述客户端的用户开放所述业务系统的登录权限。
进一步地,所述登录管理服务器还可以包括:
密钥管理模块,用于将接收到的密钥添加入预设的密钥序列中,并将所述密钥序列中接收时间最早的密钥从所述密钥序列中删除,当进行解密处理时,按照所述密钥序列中各个密钥的优先级从高到低的顺序依次进行解密处理,直至解密成功为止,若遍历完所述密钥序列中的各个密钥,仍未解密成功,则判定解密失败,其中,密钥的优先级与密钥的接收时间负相关。
图5示出了本发明实施例提供的一种认证服务器的一个实施例结构图,所述认证服务器可以包括:
登录凭证分配模块501,用于根据所述登录凭证分配请求为所述客户端的用户分配登录凭证,并将分配的所述登录凭证发送至所述登录管理服务器;
用户数据获取模块502,用于从所述登录凭证分配请求中获取用户数据;
凭证创建时间确定模块503,用于获取当前系统时间,并将所述当前系统时间作为凭证创建时间;
加密处理模块504,用于对所述用户数据和所述凭证创建时间进行加密处理,得到与所述用户对应的登录凭证,并将所述登录凭证发送至所述客户端。
进一步地,所述认证服务器还可以包括:
密钥生成模块,用于每隔预设的时间间隔生成一个密钥,并将所述密钥发送至所述登录管理服务器;
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的装置,模块和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述或记载的部分,可以参见其它实施例的相关描述。
图6示出了本发明实施例提供的一种登录管理服务器的示意框图,为了便于说明,仅示出了与本发明实施例相关的部分。
在本实施例中,所述登录管理服务器6可包括:处理器60、存储器61以及存储在所述存储器61中并可在所述处理器60上运行的计算机可读指令62。所述处理器60执行所述计算机可读指令62时实现上述各个登录管理方法实施例中由所述登录管理服务器实施的步骤。
图7示出了本发明实施例提供的一种认证服务器的示意框图,为了便于说明,仅示出了与本发明实施例相关的部分。
在本实施例中,所述认证服务器7可包括:处理器70、存储器71以及存储在所述存储器71中并可在所述处理器70上运行的计算机可读指令72。所述处理器70执行所述计算机可读指令72时实现上述各个登录管理方法实施例中由所述认证服务器实施的步骤。
所述处理器可以是中央处理单元(Central Processing Unit,CPU),还可以是其它通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其它可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
所述存储器可以是内部存储单元,例如硬盘或内存。所述存储器也可以是外部存储设备,例如插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(SecureDigital,SD)卡,闪存卡(Flash Card)等。进一步地,所述存储器还可以既包括内部存储单元也包括外部存储设备。所述存储器用于存储所述计算机可读指令以及其它指令和数据。所述存储器还可以用于暂时地存储已经输出或者将要输出的数据。
在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干计算机可读指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储计算机可读指令的介质。
以上所述实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种登录管理系统,其特征在于,包括:客户端插件、登录管理服务器以及认证服务器;
所述客户端插件用于拦截客户端发出的对业务系统的第一访问请求,并将所述第一访问请求修改为指向所述业务系统的登录管理服务器的第二访问请求;
所述登录管理服务器用于接收所述第二访问请求,并判断所述第二访问请求中是否包含登录凭证;若所述第二访问请求中包含所述登录凭证,则根据所述登录凭证向所述客户端的用户开放所述业务系统的登录权限;若所述第二访问请求中不包含所述登录凭证,则向所述认证服务器发送登录凭证分配请求;
所述认证服务器用于根据所述登录凭证分配请求为所述客户端的用户分配登录凭证,并将分配的所述登录凭证发送至所述登录管理服务器;
所述登录管理服务器还用于根据分配的所述登录凭证向所述客户端的用户开放所述业务系统的登录权限。
2.根据权利要求1所述的登录管理系统,其特征在于,所述将所述第一访问请求修改为指向所述业务系统的登录管理服务器的第二访问请求包括:
提取所述第一访问请求中的统一资源定位符;
根据所述统一资源定位符中预设的第一字段的取值确定与所述统一资源定位符对应的业务系统;
将所述统一资源定位符中预设的第二字段的取值修改为预设的替换值,所述替换值用于指示所述业务系统的登录管理服务器。
3.根据权利要求1所述的登录管理系统,其特征在于,所述根据所述登录凭证向所述客户端的用户开放所述业务系统的登录权限包括:
对所述登录凭证进行解密处理,获取所述登录凭证中包含的用户数据和凭证创建时间;
将所述登录凭证中包含的用户数据与所述第二访问请求中包含的用户数据进行比对;
若所述登录凭证中包含的用户数据与所述第二访问请求中包含的用户数据一致,则计算请求接收时间与所述凭证创建时间之间的时间差,所述请求接收时间为所述登录管理服务器接收到所述第二访问请求的时间;
若所述请求接收时间与所述凭证创建时间之间的时间差小于预设的阈值,则向所述客户端的用户开放所述业务系统的登录权限。
4.根据权利要求1所述的登录管理系统,其特征在于,所述根据所述登录凭证分配请求为所述客户端的用户分配登录凭证包括:
从所述登录凭证分配请求中获取用户数据;
获取当前系统时间,并将所述当前系统时间作为凭证创建时间;
对所述用户数据和所述凭证创建时间进行加密处理,得到与所述用户对应的登录凭证,并将所述登录凭证发送至所述客户端。
5.根据权利要求1至4中任一项所述的登录管理系统,其特征在于,所述认证服务器还用于每隔预设的时间间隔生成一个密钥,并将所述密钥发送至所述登录管理服务器;
所述登录管理服务器还用于将接收到的密钥添加入预设的密钥序列中,并将所述密钥序列中接收时间最早的密钥从所述密钥序列中删除,当进行解密处理时,按照所述密钥序列中各个密钥的优先级从高到低的顺序依次进行解密处理,直至解密成功为止,若遍历完所述密钥序列中的各个密钥,仍未解密成功,则判定解密失败,其中,密钥的优先级与密钥的接收时间负相关。
6.一种登录管理方法,其特征在于,包括:
客户端插件拦截客户端发出的对业务系统的第一访问请求,并将所述第一访问请求修改为指向所述业务系统的登录管理服务器的第二访问请求;
所述登录管理服务器接收所述第二访问请求,并判断所述第二访问请求中是否包含登录凭证;若所述第二访问请求中包含所述登录凭证,则根据所述登录凭证向所述客户端的用户开放所述业务系统的登录权限;若所述第二访问请求中不包含所述登录凭证,则向认证服务器发送登录凭证分配请求;
所述认证服务器根据所述登录凭证分配请求为所述客户端的用户分配登录凭证,并将分配的所述登录凭证发送至所述登录管理服务器;
所述登录管理服务器根据分配的所述登录凭证向所述客户端的用户开放所述业务系统的登录权限。
7.根据权利要求6所述的登录管理方法,其特征在于,所述将所述第一访问请求修改为指向所述业务系统的登录管理服务器的第二访问请求包括:
提取所述第一访问请求中的统一资源定位符;
根据所述统一资源定位符中预设的第一字段的取值确定与所述统一资源定位符对应的业务系统;
将所述统一资源定位符中预设的第二字段的取值修改为预设的替换值,所述替换值用于指示所述业务系统的登录管理服务器。
8.根据权利要求6所述的登录管理方法,其特征在于,所述根据所述登录凭证向所述客户端的用户开放所述业务系统的登录权限包括:
对所述登录凭证进行解密处理,获取所述登录凭证中包含的用户数据和凭证创建时间;
将所述登录凭证中包含的用户数据与所述第二访问请求中包含的用户数据进行比对;
若所述登录凭证中包含的用户数据与所述第二访问请求中包含的用户数据一致,则计算请求接收时间与所述凭证创建时间之间的时间差,所述请求接收时间为所述登录管理服务器接收到所述第二访问请求的时间;
若所述请求接收时间与所述凭证创建时间之间的时间差小于预设的阈值,则向所述客户端的用户开放所述业务系统的登录权限。
9.根据权利要求6所述的登录管理方法,其特征在于,所述根据所述登录凭证分配请求为所述客户端的用户分配登录凭证包括:
从所述登录凭证分配请求中获取用户数据;
获取当前系统时间,并将所述当前系统时间作为凭证创建时间;
对所述用户数据和所述凭证创建时间进行加密处理,得到与所述用户对应的登录凭证,并将所述登录凭证发送至所述客户端。
10.根据权利要求6至9中任一项所述的登录管理方法,其特征在于,还包括:
所述认证服务器每隔预设的时间间隔生成一个密钥,并将所述密钥发送至所述登录管理服务器;
所述登录管理服务器将接收到的密钥添加入预设的密钥序列中,并将所述密钥序列中接收时间最早的密钥从所述密钥序列中删除,当进行解密处理时,按照所述密钥序列中各个密钥的优先级从高到低的顺序依次进行解密处理,直至解密成功为止,若遍历完所述密钥序列中的各个密钥,仍未解密成功,则判定解密失败,其中,密钥的优先级与密钥的接收时间负相关。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810832303.8A CN109190341B (zh) | 2018-07-26 | 2018-07-26 | 一种登录管理系统和方法 |
PCT/CN2018/104966 WO2020019420A1 (zh) | 2018-07-26 | 2018-09-11 | 一种登录管理系统、方法、服务器及计算机可读存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810832303.8A CN109190341B (zh) | 2018-07-26 | 2018-07-26 | 一种登录管理系统和方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109190341A true CN109190341A (zh) | 2019-01-11 |
CN109190341B CN109190341B (zh) | 2024-03-15 |
Family
ID=64937448
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810832303.8A Active CN109190341B (zh) | 2018-07-26 | 2018-07-26 | 一种登录管理系统和方法 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN109190341B (zh) |
WO (1) | WO2020019420A1 (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112395586A (zh) * | 2019-08-15 | 2021-02-23 | 奇安信安全技术(珠海)有限公司 | 文件访问的控制方法及装置、系统、存储介质、电子装置 |
CN112711697A (zh) * | 2020-12-25 | 2021-04-27 | 河南工业和信息化职业学院 | 一种便于操作的电子信息查询系统 |
CN113722693A (zh) * | 2021-09-09 | 2021-11-30 | 国网福建省电力有限公司漳州供电公司 | 基于生物识别的rpa平台登录方法、系统、设备和存储介质 |
CN113852471A (zh) * | 2021-11-30 | 2021-12-28 | 武汉天喻信息产业股份有限公司 | 一种基于资源受限场景的数据通信方法及装置 |
CN114465806A (zh) * | 2022-02-21 | 2022-05-10 | 深圳市世强元件网络有限公司 | 多方数据接入安全管理方法及系统 |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112039851B (zh) * | 2020-08-07 | 2021-09-21 | 郑州阿帕斯数云信息科技有限公司 | 服务器登录方法、系统及装置 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101277234A (zh) * | 2007-03-28 | 2008-10-01 | 华为技术有限公司 | 一种家庭网络及登录方法 |
CN102201915A (zh) * | 2010-03-22 | 2011-09-28 | 中国移动通信集团公司 | 一种基于单点登录的终端认证方法和装置 |
CN103685282A (zh) * | 2013-12-18 | 2014-03-26 | 飞天诚信科技股份有限公司 | 一种基于单点登录的身份认证方法 |
CN105391734A (zh) * | 2015-12-10 | 2016-03-09 | 布比(北京)网络技术有限公司 | 一种安全登录系统及方法、登录服务器和认证服务器 |
CN106576041A (zh) * | 2014-06-27 | 2017-04-19 | 林建华 | 客户端与服务器之间相互验证的方法 |
WO2017107956A1 (zh) * | 2015-12-23 | 2017-06-29 | 北京奇虎科技有限公司 | 一种数据处理方法、客户端和服务器 |
CN108023874A (zh) * | 2017-11-15 | 2018-05-11 | 平安科技(深圳)有限公司 | 单点登录的校验装置、方法及计算机可读存储介质 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101193027A (zh) * | 2006-11-28 | 2008-06-04 | 深圳市永兴元科技有限公司 | 一种整合异构系统的单点登录系统及方法 |
CN102801713A (zh) * | 2012-07-23 | 2012-11-28 | 中国联合网络通信集团有限公司 | 网站登录方法、系统和访问管理平台 |
CN102984169A (zh) * | 2012-12-11 | 2013-03-20 | 中广核工程有限公司 | 单点登录方法、设备及系统 |
-
2018
- 2018-07-26 CN CN201810832303.8A patent/CN109190341B/zh active Active
- 2018-09-11 WO PCT/CN2018/104966 patent/WO2020019420A1/zh active Application Filing
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101277234A (zh) * | 2007-03-28 | 2008-10-01 | 华为技术有限公司 | 一种家庭网络及登录方法 |
CN102201915A (zh) * | 2010-03-22 | 2011-09-28 | 中国移动通信集团公司 | 一种基于单点登录的终端认证方法和装置 |
CN103685282A (zh) * | 2013-12-18 | 2014-03-26 | 飞天诚信科技股份有限公司 | 一种基于单点登录的身份认证方法 |
CN106576041A (zh) * | 2014-06-27 | 2017-04-19 | 林建华 | 客户端与服务器之间相互验证的方法 |
CN105391734A (zh) * | 2015-12-10 | 2016-03-09 | 布比(北京)网络技术有限公司 | 一种安全登录系统及方法、登录服务器和认证服务器 |
WO2017107956A1 (zh) * | 2015-12-23 | 2017-06-29 | 北京奇虎科技有限公司 | 一种数据处理方法、客户端和服务器 |
CN108023874A (zh) * | 2017-11-15 | 2018-05-11 | 平安科技(深圳)有限公司 | 单点登录的校验装置、方法及计算机可读存储介质 |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112395586A (zh) * | 2019-08-15 | 2021-02-23 | 奇安信安全技术(珠海)有限公司 | 文件访问的控制方法及装置、系统、存储介质、电子装置 |
CN112711697A (zh) * | 2020-12-25 | 2021-04-27 | 河南工业和信息化职业学院 | 一种便于操作的电子信息查询系统 |
CN113722693A (zh) * | 2021-09-09 | 2021-11-30 | 国网福建省电力有限公司漳州供电公司 | 基于生物识别的rpa平台登录方法、系统、设备和存储介质 |
CN113852471A (zh) * | 2021-11-30 | 2021-12-28 | 武汉天喻信息产业股份有限公司 | 一种基于资源受限场景的数据通信方法及装置 |
CN113852471B (zh) * | 2021-11-30 | 2022-04-01 | 武汉天喻信息产业股份有限公司 | 一种基于资源受限场景的数据通信方法及装置 |
CN114465806A (zh) * | 2022-02-21 | 2022-05-10 | 深圳市世强元件网络有限公司 | 多方数据接入安全管理方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN109190341B (zh) | 2024-03-15 |
WO2020019420A1 (zh) | 2020-01-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109190341A (zh) | 一种登录管理系统和方法 | |
US20200204530A1 (en) | Self-encrypting key management system | |
TWI567582B (zh) | 用以管理使用者認證之方法,裝置,及系統 | |
CN112671720B (zh) | 一种云平台资源访问控制的令牌构造方法、装置及设备 | |
US8977857B1 (en) | System and method for granting access to protected information on a remote server | |
CN107750363A (zh) | 保护与硬件加速器的通信以增加工作流安全性 | |
CN103188248A (zh) | 基于单点登录的身份认证系统及方法 | |
CN109691010B (zh) | 用于数据传输的系统和方法 | |
CN112688773A (zh) | 一种令牌的生成和校验方法及装置 | |
CN113407627A (zh) | 一种基于区块链的智能医疗网络系统及医疗数据共享方法 | |
CN114143108B (zh) | 一种会话加密方法、装置、设备及存储介质 | |
CN113221184A (zh) | 一种基于区块链网络的物联网系统及装置 | |
CN111460400A (zh) | 一种数据处理方法、装置及计算机可读存储介质 | |
CN111988262B (zh) | 认证方法、装置及服务器、存储介质 | |
CN110839035A (zh) | 路径访问控制的方法、装置、计算机设备及存储介质 | |
JP2018523388A (ja) | セキュアな製品識別及び検証のための難読化又はランダム化の強化 | |
Muthurajan et al. | An elliptic curve based schnorr cloud security model in distributed environment | |
Moghaddam et al. | Applying a single sign-on algorithm based on cloud computing concepts for SaaS applications | |
US11139969B2 (en) | Centralized system for a hardware security module for access to encryption keys | |
CN116866333A (zh) | 一种加密文件传输方法、装置、电子设备及存储介质 | |
EP3001346A1 (en) | Directory service device, client device, key cloud system, method thereof, and program | |
US20210288790A1 (en) | Secure private key distribution between endpoint instances | |
US10530635B2 (en) | Pluggable control system for fallback website access | |
Ranjith et al. | Intelligence based authentication-authorization and auditing for secured data storage | |
Tyagi et al. | A framework for data storage security in cloud |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |