CN112653673B - 基于单点登录的多因素认证方法和系统 - Google Patents

Abstract

本说明书一个或多个实施例提供一种基于单点登录的多因素认证方法和系统，用户在终端浏览器上成功登录第一应用系统后，认证服务器生成票据TGT并将第一认证因子列表存储在TGT中；用户在终端浏览器上访问第二应用系统时，认证服务器遍历第二认证因子列表，判断所述第二认证因子列表中是否存在不包含在第一认证因子列表中的待验证认证因子，若存在执行强制校验；将经过强制校验的认证因子列表与第一认证因子列表合并并存储在用户票据TGT中，完成用户票据TGT中已验证认证因子列表的更新。本发明在生成ST重定向Cas Client之前系统会发起对未验证的认证因子的强制校验，以及后续认证因子的更新处理，为高风险级别系统实现单点登录提供安全可靠的多因素认证方案。

Description

基于单点登录的多因素认证方法和系统

技术领域

本说明书一个或多个实施例涉及技术领域计算机网络信息安全技术领域，尤其涉及一种基于单点登录的多因素认证方法和系统。

背景技术

CAS(Central Authentication Service)中央认证服务，是一种针对万维网的单点登录协议。它的目的是允许一个用户访问多个应用程序，而只需提供一次凭证(如用户名和密码)。它还允许web应用程序在没有获得用户的安全凭据(如密码)的情况下对用户进行身份验证。“CAS”也指实现了该协议的软件包。

单点登录(Single Sign On)，简称为SSO，是目前比较流行的企业业务整合的解决方案之一，多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应用系统。

从密码学理论上说，用于身份认证主要有三方面要素：一是需要用户记忆的身份认证内容，例如密码或身份证号码等；二是用户拥有认证硬件，例如USB Key，智能卡(以下简称IC卡)，磁卡等；三是用户本身拥有的唯一特征，例如指纹、瞳孔、声音等。单独来看，每个要素独立存在时，都有其脆弱性。而把多种要素结合起来，实现多重要素认证，可以有效提高系统访问控制的安全性，就是多因素认证。

CAS原生单点登录实现，仅支持用户首次登录时用户名+密码或自定义验证因素验证用户身份，在生成ST重定向Cas Client之前没有针对由多因素认证需求的系统检查用户未验证的认证因子并发起补充认证，以及后续认证因子更新处理。因此，需要多因素认证的系统接入认证服务器单点登录时，可绕过多因素校验，存在安全风险。

发明内容

有鉴于此，本说明书一个或多个实施例的目的在于提出一种基于单点登录的多因素认证方法和系统，为多因素认证需求系统提供安全的多因素认证。

基于上述目的，本说明书一个或多个实施例提供了一种基于单点登录的多因素认证方法，包括：

用户在终端浏览器上成功登录第一应用系统后，认证服务器Cas Server生成用户票据TGT并将用户已验证的所述第一应用系统的第一认证因子列表存储在TGT中，得到已验证认证因子列表；

用户在所述终端浏览器上访问第二应用系统时，认证服务器Cas Server遍历所述第二应用系统的第二认证因子列表，判断所述第二认证因子列表中是否存在不包含在所述第一认证因子列表中的待验证认证因子，若存在则将所述待验证认证因子列表存储在认证服务器Cas Server的缓存中并执行强制校验，若不存在则继续登录操作；

将经过所述强制校验的待验证认证因子列表与所述第一认证因子列表合并并存储在用户票据TGT中，完成用户票据TGT中已验证认证因子列表的更新。

基于同一发明构思，本说明书一个或多个实施例提供了一种基于单点登录的多因素认证系统，包括终端浏览器和服务器，

其中，用户在终端浏览器上成功登录第一应用系统后，认证服务器Cas Server生成用户票据TGT并将用户已验证的所述第一应用系统的第一认证因子列表存储在TGT中，得到已验证认证因子列表；

用户在所述终端浏览器上访问第二应用系统时，认证服务器Cas Server遍历所述第二应用系统的第二认证因子列表，判断所述第二认证因子列表中是否存在不包含在所述第一认证因子列表中的待验证认证因子，若存在则将所述待验证认证因子列表存储在认证服务器Cas Server缓存中并执行强制校验，若不存在则继续登录操作；

将经过所述强制校验的待验证认证因子列表与所述第一认证因子列表合并并存储在用户票据TGT中，完成用户票据TGT中已验证认证因子列表的更新。

基于同一发明构思，本说明书一个或多个实施例还提供了一种电子设备，包括存储器、处理器及存储在所述存储器上并可由所述处理器执行的计算机程序，所述处理器执行所述计算机程序时实现如上任意一项所述的方法。

基于同一发明构思，本说明书一个或多个实施例还提供了一种非暂态计算机可读存储介质，所述非暂态计算机可读存储介质存储计算机指令，所述计算机指令在被计算机执行时使所述计算机执行如上任一所述的方法。

从上面所述可以看出，本说明书一个或多个实施例提供的基于单点登录的多因素认证方法和系统，在生成ST重定向Cas Client之前系统会发起对未验证的认证因子的强制校验，以及后续认证因子的更新处理，避免需要多因素认证系统登录时出现绕过校验直接登录的风险，生成ST前校验认证因子，增加验证步骤，确保ST和TGT的安全性，从而为高风险级别系统实现单点登录提供安全可靠的多因素认证方案。

附图说明

为了更清楚地说明本说明书一个或多个实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本说明书一个或多个实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本说明书一个或多个实施例的多因素认证方法的流程示意图；

图2为本说明书一个或多个实施例的单点登录机制的示意图；

图3为本说明书一个或多个实施例的电子设备硬件结构示意图。

具体实施方式

为使本公开的目的、技术方案和优点更加清楚明白，以下结合具体实施例，并参照附图，对本公开进一步详细说明。

需要说明的是，除非另外定义，本说明书一个或多个实施例使用的技术术语或者科学术语应当为本公开所属领域内具有一般技能的人士所理解的通常意义。本说明书一个或多个实施例中使用的“第一”、“第二”以及类似的词语并不表示任何顺序、数量或者重要性，而只是用来区分不同的组成部分。“包括”或者“包含”等类似的词语意指出现该词前面的元件或者物件涵盖出现在该词后面列举的元件或者物件及其等同，而不排除其他元件或者物件。“连接”或者“相连”等类似的词语并非限定于物理的或者机械的连接，而是可以包括电性的连接，不管是直接的还是间接的。

CAS协议涉及到至少三个方面：客户端Web浏览器、Web应用请求的身份验证和CAS服务器。当客户端访问应用程序，请求身份验证时，应用程序重定向到CAS。CAS验证客户端是否被授权，通常通过在数据库用户身份进行检查。如果身份验证成功，CAS令客户端返回到应用程序，并传递身份验证票据(ST)。然后，应用程序通过安全连接连接CAS，并提供自己的服务标识和验证票据。之后CAS给出了关于特定用户是否已成功通过身份验证的应用程序授信信息。

TGT(Ticket Granting ticket)，可以认为是Cas Server根据为用户生成的一张票据，存在Cas Server端.

ST(Service ticket)，由TGT生成的一次性票据，Cas Server颁发给Cas Client的票据，用于验证，只能用一次。

Cas Client，应用服务器，在终端用户和需要受到保护的网络资源中间发挥作用。当一个用户想要访问某个资源的时候，将请求发送到认证管理服务器进行认证。

Cas Server，认证服务器，负责接收多因素认证请求及验证、多因素认证管理工作，一个强大的多因素认证服务器应支持多种多因素认证设备，并能够方便与企业IT基础设施融合，包括前端网络设备及业务系统的接入，以及后端的帐号系统如AD、LDAP等，并具备高可靠性及高安全性特点。

如背景技术部分所述，现有单点登录机制仅支持用户首次登录时用户名、密码或自定义验证因素验证用户身份，在生成ST重定向Cas Client之前没有针对由多因素认证需求的系统检查用户未验证的认证因子，并发起强制补充认证，以及后续认证因子更新处理。因此，高风险级别系统接入认证服务器单点登录时存在安全风险。

有鉴于此，本说明书一个或多个实施例提供了一种基于单点登录的多因素认证方法，用户在终端浏览器上成功登录第一应用系统后，认证服务器Cas Server生成用户票据TGT并将第一认证因子列表存储在TGT中，得到已验证认证因子列表；用户在所述终端浏览器上访问第二应用系统时，认证服务器Cas Server遍历所述第二认证因子列表，判断所述第二认证因子列表中是否存在不包含在所述第一认证因子列表中的待验证认证因子，若存在则将所述待验证认证因子列表存储在认证服务器Cas Server的缓存中并执行强制校验，若不存在则继续登录操作；将经过所述强制校验的待验证认证因子列表与所述第一认证因子列表合并并存储在用户票据TGT中，完成用户票据TGT中已验证认证因子列表的更新。

可见，本说明书一个或多个实施例的多因素认证方法能够完善CAS单点登录机制，对于高风险系统的多因素认证因子实施强制校验，重定向到应用登录界面提示用户进行未验证认证因子的校验，验证成功后更新TGT中的已验证认证因子列表。这种认证因子强制校验以及更新机制能为多因素认证需求系统提供安全的单点登录功能。

以下，通过具体的实施例来详细说明本说明书一个或多个实施例的技术方案。

参考图1，本说明书一个实施例的基于单点登录的多因素认证方法，包括以下步骤：

步骤S101、用户在终端浏览器上成功登录第一应用系统后，认证服务器CasServer生成用户票据TGT并将用户已验证的所述第一应用系统的第一认证因子列表存储在TGT中，得到已验证认证因子列表。所述第一认证因子列表包括静态密码认证因子、动态口令认证因子、指纹认证因子、证书认证因子、短信验证码认证因子中的至少一个。

参考图2，本实施例中，用户在终端浏览器上登录第一应用系统的具体步骤如下：

1-1、用户在浏览器上请求访问第一应用系统；

1-2、第一应用系统判断此时用户未登录，重定向到Cas Server做登录验证并传递Service(即第一应用系统的访问地址)；

1-3、Cas Server判断TGT不存在，用户首次登录，引导重定向到登录页面：

a)首先获取第一应用系统配置的所有认证因子，即为第一认证因子列表，本实施例中，设定第一认证因子列表包括静态密码认证因子和动态口令认证因子；

b)将第一认证因子列表存储到Cas Server服务器缓存中，并在登录界面展示所有待验证认证因子列表，等待用户验证。

1-4、用户输入身份信息提交验证。

1-5、Cas Server验证用户身份，此处认证服务器Cas Server验证所有待验证认证因子：

a)从登录界面获取待验证认证因子列表及用户输入内容，从Cas Server服务器缓存中获取第一认证因子列表，判断前端传入待验证认证因子列表和第一认证因子列表是否一致，若一致则继续用户输入验证，若不一致则提示操作错误返回登录页面；

b)遍历所有第一认证因子列表，针对每一种认证因子调用相应认证服务予以验证，若存在任意一种因子验证失败，则返回错误信息到登录界面，若全部验证成功则下一步骤，本步骤中，验证静态密码信息和动态口令。

1-6、身份验证成功后Cas Server服务端生成TGT对象并将用户已验证的第一应用系统所有认证因子存储在TGT对象属性字段中：

a)Cas Server创建TGT对象，此处在原有对象中添加属性“已验证认证因子列表”；

b)将步骤1-5验证成功的第一认证因子列表赋值到TGT属性“已验证认证因子列表”中，本步骤中“已验证认证因子列表”包括静态密码认证因子和动态口令认证因子；

c)将TGT对象存储在Cas Server服务器缓存中。

1-7、生成ST前校验认证因子：

a)获取第一认证因子列表作为待验证认证因子列表，本步骤中为静态密码认证因子和动态口令认证因子；

b)获取TGT中已验证认证因子列表；

c)遍历待验证认证因子列表，判断每个认证因子是否包含在已验证认证因子列表中，如包含在内则从待验证认证因子列表中移除，遍历结束后，得到第一最终待验证认证因子列表；

d)第一最终待验证认证因子列表若为空，则继续生成ST处理，若非空，则将第一最终待验证认证因子列表存储在服务器缓存中并跳转登录页要求用户再次验证。步骤1-4及1-5已验证第一应用系统的所有认证因子，故得到第一最终待验证认证因子列表为空，继续生成ST流程。

1-8、认证服务器Cas Client生成ST，并携带ST重定向到Cas Client。

1-9、第一应用系统的Cas Client根据双方约定密钥验证ST有效性，验证成功携带票据向Cas Server发起后端交互并获取当前登录用户信息；

1-10、第一应用系统登录成功。

本实施例中，在用户登录第一应用系统时，生成ST重定向到Cas Client前校验认证因子，能够有效确保ST票据的安全性，减少登录应用系统的风险，提供安全的单点登录机制。

步骤S102、用户在所述终端浏览器上访问第二应用系统时，认证服务器CasServer遍历所述第二应用系统的第二认证因子列表，判断所述第二认证因子列表中是否存在不包含在所述第一认证因子列表中的待验证认证因子，若存在则将所述待验证认证因子列表存储在认证服务器Cas Server的缓存中并执行强制校验，若不存在则继续登录操作。所述第二认证因子列表包括静态密码认证因子、动态口令认证因子、指纹认证因子、证书认证因子、短信验证码认证因子中的至少一个。

本实施例中，用户在相同的浏览器上请求登录第二应用系统的具体步骤如下：

2-1、用户在浏览器上请求访问第二应用系统；

2-2、第二应用系统判断此时用户未登录，重定向到Cas Server做登录验证并传递Service(即第二应用系统的访问地址)；

2-3、Cas Server判断TGT用户票据已存在(登录第一应用系统时生成)，执行认证因子校验步骤：

a)获取第二应用系统配置认证因子作为初始待验证认证因子列表，即第二认证因子列表，本实施例中，第二认证因子列表包括静态密码认证因子、指纹认证因子、证书认证因子；

b)获取TGT中已验证认证因子列表，本实施例中TGT中已验证认证因子列表包括静态密码认证因子和动态口令认证因子；

c)遍历第二认证因子列表，判断每个认证因子是否包含在已验证认证因子列表中，如包含在内，则将该认证因子从已验证认证因子列表移除，遍历结束后得到第二最终待验证认证因子列表，本实施例中，因为第二认证因子列表与已验证认证因子列表均包含静态密码认证因子，所以第二最终待验证认证因子列表包括指纹认证因子、证书认证因子；

d)判断第二最终待验证认证因子列表是否为空，若为空则继续生成ST处理，若非空则将第二最终待验证认证因子列表存储在服务器缓存中并跳转登录页要求用户再次验证最终待验证认证因子列表，本步骤中，需要用户继续进行指纹认证和证书认证。

2-4、Cas Server重定向到登录验证页，针对步骤2-3中得到的第二最终待验证认证因子列表要求用户进行验证。

2-5、用户输入验证信息并提交验证，本实施例中，用户需要进行指纹认证和证书认证。

2-6、Cas Server验证第二最终待验证认证因子列表：

a)从登录界面获取用户输入内容，从服务器缓存中获取第二最终待验证认证因子列表，判断前端传入待验证认证因子列表和服务器中缓存第二最终待验证认证因子列表是否一致，若一致则继续用户输入验证，若不一致则提示操作错误返回登录页面；

b)遍历所有待验证认证因子列表，针对每一种认证因子调用相应认证服务予以验证，若存在任意一种认证因子验证失败，则返回错误信息到登录界面，若全部验证成功则下一步骤。

本步骤中的强制校验机制能够避免用户登录高风险系统时绕过认证因子校验环节，大幅度降低登录应用系统的风险，提高登录安全性。

步骤S103、将经过所述强制校验的待验证认证因子列表与所述第一认证因子列表合并并存储在用户票据TGT中，完成用户票据TGT中已验证认证因子列表的更新，具体包括：

3-1、更新TGT中存储认证因子：

a)从服务器缓存中获取第二最终待验证认证因子列表；

b)获取TGT中已验证认证因子列表；

c)遍历第二最终待验证认证因子列表，判断每个待验证认证因子是否包含在TGT中已验证认证因子列表中，若不包含则将该待验证认证因子加入到待存储认证因子列表中，若包含则遍历继续；

d)将待存储认证因子列表与TGT中已验证认证因子列表合并，得到新的已验证认证因子列表，将新的已验证认证因子列表赋值给TGT中已验证认证因子列表属性，实现已验证认证因子列表更新，本实施例中，更新后的已验证认证因子列表为静态密码认证因子、动态口令认证因子、指纹认证因子、证书认证因子。

3-2、Cas Server为第二应用系统生成ST并重定向到第二应用系统；

3-3、第二应用系统的Cas Client根据双方约定密钥验证ST有效性，验证成功携带票据向Cas Server发起后端交互并获取当前登录用户信息；

3-4、第二应用系统登录成功。

本步骤中，更新存储在TGT中的已验证认证因子列表，能够在用户再次登录时避免重复认证，提高登录效率，同时保证单点登录的安全性。

基于步骤S101至S103完成多因素验证的单点登录机制。

可见，本实施例中，基于单点登录的多因素认证方法能够对于高风险系统的多因素认证因子实施强制校验，验证成功后更新TGT中的已验证认证因子列表，这种认证因子强制校验以及更新机制能为多因素认证需求系统提供安全的单点登录功能。

需要说明的是，本说明书一个或多个实施例的方法可以由单个设备执行，例如一台计算机或服务器等。本实施例的方法也可以应用于分布式场景下，由多台设备相互配合来完成。在这种分布式场景的情况下，这多台设备中的一台设备可以只执行本说明书一个或多个实施例的方法中的某一个或多个步骤，这多台设备相互之间会进行交互以完成所述的方法。

需要说明的是，上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下，在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外，在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中，多任务处理和并行处理也是可以的或者可能是有利的。

基于同一发明构思，与上述任意实施例方法相对应的，本说明书一个或多个实施例还提供了一种基于单点登录的多因素认证系统。

所述基于单点登录的多因素认证系统，包括终端浏览器和服务器，

其中，用户在终端浏览器上成功登录第一应用系统后，认证服务器Cas Server生成用户票据TGT并将用户已验证的所述第一应用系统的第一认证因子列表存储在TGT中，得到已验证认证因子列表；

用户在所述终端浏览器上访问第二应用系统时，认证服务器Cas Server遍历所述第二应用系统的第二认证因子列表，判断所述第二认证因子列表中是否存在不包含在所述第一认证因子列表中的待验证认证因子，若存在则将所述待验证认证因子列表存储在认证服务器Cas Server缓存中并执行强制校验，若不存在则继续登录操作；

将经过所述强制校验的待验证认证因子列表与所述第一认证因子列表合并并存储在用户票据TGT中，完成用户票据TGT中已验证认证因子列表的更新。

作为一个可选的实施例，所述第一认证因子列表包括静态密码认证因子、动态口令认证因子、指纹认证因子、证书认证因子、短信验证码认证因子中的至少一个；

所述第二认证因子列表包括静态密码认证因子、动态口令认证因子、指纹认证因子、证书认证因子、短信验证码认证因子中的至少一个。

作为一个可选的实施例，认证服务器Cas Server重定向到所述第二应用系统的登录验证页面，提示用户执行所述待验证认证因子的验证；

认证服务器Cas Server从所述第二应用系统的登录验证页面获取用户输入验证数据，判断所述用户输入验证数据是否与所述待验证认证因子列表一致，若一致则继续验证，若不一致则提示用户操作错误返回登录验证页面；

认证服务器Cas Server遍历所述待验证认证因子列表，针对每一种认证因子调用相应认证服务予以验证，若任一所述待验证认证因子验证失败，则返回错误信息到登录界面。

作为一个可选的实施例，所述将经过所述强制校验的待验证认证因子列表与所述第一认证因子列表合并并存储在用户票据TGT中，完成用户票据TGT中已验证认证因子列表的更新，还包括：

认证服务器Cas Server遍历所述待验证认证因子列表，判断每个待验证认证因子是否包含在所述已验证认证因子列表中，若未包含则将该待验证认证因子添加到所述已验证认证因子列表中，若包含则遍历继续。

作为一个可选的实施例，认证服务器Cas Server为所述第二应用系统生成ST票据并重定向到所述第二应用系统；

应用服务器Cas Client根据约定密钥验证所述ST票据有效性，验证成功后应用服务器Cas Client携带所述ST票据向认证服务器Cas Server发起后端交互并获取所述用户登录信息；

所述用户成功登录所述第二应用系统。

上述实施例的系统用于实现前述任一实施例中相应的基于单点登录的多因素认证方法，并且具有相应的方法实施例的有益效果，在此不再赘述。

基于同一发明构思，与上述任意实施例方法相对应的，本说明书一个或多个实施例还提供了一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现上任意一实施例所述的基于单点登录的多因素认证方法。

图3示出了本实施例所提供的一种更为具体的电子设备硬件结构示意图，该设备可以包括：处理器1010、存储器1020、输入/输出接口1030、通信接口1040和总线1050。其中处理器1010、存储器1020、输入/输出接口1030和通信接口1040通过总线1050实现彼此之间在设备内部的通信连接。

处理器1010可以采用通用的CPU(Central Processing Unit，中央处理器)、微处理器、应用专用集成电路(Application Specific Integrated Circuit，ASIC)、或者一个或多个集成电路等方式实现，用于执行相关程序，以实现本说明书实施例所提供的技术方案。

存储器1020可以采用ROM(Read Only Memory，只读存储器)、RAM(Random AccessMemory，随机存取存储器)、静态存储设备，动态存储设备等形式实现。存储器1020可以存储操作系统和其他应用程序，在通过软件或者固件来实现本说明书实施例所提供的技术方案时，相关的程序代码保存在存储器1020中，并由处理器1010来调用执行。

输入/输出接口1030用于连接输入/输出模块，以实现信息输入及输出。输入输出/模块可以作为组件配置在设备中(图中未示出)，也可以外接于设备以提供相应功能。其中输入设备可以包括键盘、鼠标、触摸屏、麦克风、各类传感器等，输出设备可以包括显示器、扬声器、振动器、指示灯等。

通信接口1040用于连接通信模块(图中未示出)，以实现本设备与其他设备的通信交互。其中通信模块可以通过有线方式(例如USB、网线等)实现通信，也可以通过无线方式(例如移动网络、WIFI、蓝牙等)实现通信。

总线1050包括一通路，在设备的各个组件(例如处理器1010、存储器1020、输入/输出接口1030和通信接口1040)之间传输信息。

需要说明的是，尽管上述设备仅示出了处理器1010、存储器1020、输入/输出接口1030、通信接口1040以及总线1050，但是在具体实施过程中，该设备还可以包括实现正常运行所必需的其他组件。此外，本领域的技术人员可以理解的是，上述设备中也可以仅包含实现本说明书实施例方案所必需的组件，而不必包含图中所示的全部组件。

上述实施例的电子设备用于实现前述任一实施例中相应的基于单点登录的多因素认证方法，并且具有相应的方法实施例的有益效果，在此不再赘述。

基于同一发明构思，与上述任意实施例方法相对应的，本说明书一个或多个实施例还提供了一种非暂态计算机可读存储介质，所述非暂态计算机可读存储介质存储计算机指令，所述计算机指令用于使所述计算机执行如上任一实施例所述的基于单点登录的多因素认证方法。

本实施例的计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带，磁带磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。

上述实施例的存储介质存储的计算机指令用于使所述计算机执行如上任一实施例所述的基于单点登录的多因素认证方法，并且具有相应的方法实施例的有益效果，在此不再赘述。

所属领域的普通技术人员应当理解：以上任何实施例的讨论仅为示例性的，并非旨在暗示本公开的范围(包括权利要求)被限于这些例子；在本公开的思路下，以上实施例或者不同实施例中的技术特征之间也可以进行组合，步骤可以以任意顺序实现，并存在如上所述的本说明书一个或多个实施例的不同方面的许多其它变化，为了简明它们没有在细节中提供。

另外，为简化说明和讨论，并且为了不会使本说明书一个或多个实施例难以理解，在所提供的附图中可以示出或可以不示出与集成电路(IC)芯片和其它部件的公知的电源/接地连接。此外，可以以框图的形式示出装置，以便避免使本说明书一个或多个实施例难以理解，并且这也考虑了以下事实，即关于这些框图装置的实施方式的细节是高度取决于将要实施本说明书一个或多个实施例的平台的(即，这些细节应当完全处于本领域技术人员的理解范围内)。在阐述了具体细节(例如，电路)以描述本公开的示例性实施例的情况下，对本领域技术人员来说显而易见的是，可以在没有这些具体细节的情况下或者这些具体细节有变化的情况下实施本说明书一个或多个实施例。因此，这些描述应被认为是说明性的而不是限制性的。

尽管已经结合了本公开的具体实施例对本公开进行了描述，但是根据前面的描述，这些实施例的很多替换、修改和变型对本领域普通技术人员来说将是显而易见的。例如，其它存储器架构(例如，动态RAM(DRAM))可以使用所讨论的实施例。

本说明书一个或多个实施例旨在涵盖落入所附权利要求的宽泛范围之内的所有这样的替换、修改和变型。因此，凡在本说明书一个或多个实施例的精神和原则之内，所做的任何省略、修改、等同替换、改进等，均应包含在本公开的保护范围之内。

Claims (10)

1.一种基于单点登录的多因素认证方法，其特征在于，包括：

用户在终端浏览器上成功登录第一应用系统后，认证服务器Cas Server生成用户票据TGT并将用户已验证的所述第一应用系统的第一认证因子列表存储在TGT中，得到已验证认证因子列表；

用户在所述终端浏览器上访问第二应用系统时，认证服务器Cas Server遍历所述第二应用系统的第二认证因子列表，判断所述第二认证因子列表中是否存在不包含在所述第一认证因子列表中的待验证认证因子，若存在则将所述待验证认证因子列表存储在认证服务器Cas Server的缓存中并执行强制校验，若不存在则继续登录操作；

将经过所述强制校验的待验证认证因子列表与所述第一认证因子列表合并并存储在用户票据TGT中，完成用户票据TGT中已验证认证因子列表的更新，包括：

从服务器缓存中获取第二最终待验证认证因子列表；

获取TGT中已验证认证因子列表；

遍历第二最终待验证认证因子列表，判断每个待验证认证因子是否包含在TGT中已验证认证因子列表中，若不包含则将该待验证认证因子加入到待存储认证因子列表中，若包含则遍历继续；

将待存储认证因子列表与TGT中已验证认证因子列表合并，得到新的已验证认证因子列表，将新的已验证认证因子列表赋值给TGT中已验证认证因子列表属性，实现已验证认证因子列表更新。

2.根据权利要求1所述的多因素认证方法，其特征在于，

所述第一认证因子列表包括静态密码认证因子、动态口令认证因子、指纹认证因子、证书认证因子、短信验证码认证因子中的至少一个；

所述第二认证因子列表包括静态密码认证因子、动态口令认证因子、指纹认证因子、证书认证因子、短信验证码认证因子中的至少一个。

3.根据权利要求1或2所述的多因素认证方法，其特征在于，所述判断所述第二认证因子列表中是否存在不包含在所述第一认证因子列表中的待验证认证因子，若存在则将所述待验证认证因子列表存储在认证服务器Cas Server的缓存中并执行强制校验，还包括：

认证服务器Cas Server重定向到所述第二应用系统的登录验证页面，提示用户执行所述待验证认证因子的验证；

认证服务器Cas Server从所述第二应用系统的登录验证页面获取用户输入验证数据，判断所述用户输入验证数据是否与所述待验证认证因子列表一致，若一致则继续验证，若不一致则提示用户操作错误返回登录验证页面；

认证服务器Cas Server遍历所述待验证认证因子列表，针对每一种认证因子调用相应认证服务予以验证，若任一所述待验证认证因子验证失败，则返回错误信息到登录界面。

4.根据权利要求1或2所述的多因素认证方法，其特征在于，所述将经过所述强制校验的待验证认证因子列表与所述第一认证因子列表合并并存储在用户票据TGT中，完成用户票据TGT中已验证认证因子列表的更新，还包括：

认证服务器Cas Server遍历所述待验证认证因子列表，判断每个待验证认证因子是否包含在所述已验证认证因子列表中，若未包含则将该待验证认证因子添加到所述已验证认证因子列表中，若包含则遍历继续。

5.根据权利要求1或2所述的多因素认证方法，其特征在于，还包括：

认证服务器Cas Server为所述第二应用系统生成ST票据并重定向到所述第二应用系统；

应用服务器Cas Client根据约定密钥验证所述ST票据有效性，验证成功后应用服务器Cas Client携带所述ST票据向认证服务器Cas Server发起后端交互并获取所述用户登录信息；

所述用户成功登录所述第二应用系统。

6.一种基于单点登录的多因素认证系统，其特征在于，包括终端浏览器和服务器，

其中，用户在终端浏览器上成功登录第一应用系统后，认证服务器Cas Server生成用户票据TGT并将用户已验证的所述第一应用系统的第一认证因子列表存储在TGT中，得到已验证认证因子列表；

用户在所述终端浏览器上访问第二应用系统时，认证服务器Cas Server遍历所述第二应用系统的第二认证因子列表，判断所述第二认证因子列表中是否存在不包含在所述第一认证因子列表中的待验证认证因子，若存在则将所述待验证认证因子列表存储在认证服务器Cas Server缓存中并执行强制校验，若不存在则继续登录操作；

将经过所述强制校验的待验证认证因子列表与所述第一认证因子列表合并并存储在用户票据TGT中，完成用户票据TGT中已验证认证因子列表的更新，包括：

从服务器缓存中获取第二最终待验证认证因子列表；

获取TGT中已验证认证因子列表；

遍历第二最终待验证认证因子列表，判断每个待验证认证因子是否包含在TGT中已验证认证因子列表中，若不包含则将该待验证认证因子加入到待存储认证因子列表中，若包含则遍历继续；

将待存储认证因子列表与TGT中已验证认证因子列表合并，得到新的已验证认证因子列表，将新的已验证认证因子列表赋值给TGT中已验证认证因子列表属性，实现已验证认证因子列表更新。

7.根据权利要求6所述的多因素认证系统，其特征在于，

所述第一认证因子列表包括静态密码认证因子、动态口令认证因子、指纹认证因子、证书认证因子、短信验证码认证因子中的至少一个；

所述第二认证因子列表包括静态密码认证因子、动态口令认证因子、指纹认证因子、证书认证因子、短信验证码认证因子中的至少一个。

8.根据权利要求6或7所述的多因素认证系统，其特征在于，

认证服务器Cas Server重定向到所述第二应用系统的登录验证页面，提示用户执行所述待验证认证因子的验证；

认证服务器Cas Server从所述第二应用系统的登录验证页面获取用户输入验证数据，判断所述用户输入验证数据是否与所述待验证认证因子列表一致，若一致则继续验证，若不一致则提示用户操作错误返回登录验证页面；

认证服务器Cas Server遍历所述待验证认证因子列表，针对每一种认证因子调用相应认证服务予以验证，若任一所述待验证认证因子验证失败，则返回错误信息到登录界面。

9.根据权利要求6或7所述的多因素认证系统，其特征在于，

所述将经过所述强制校验的待验证认证因子列表与所述第一认证因子列表合并并存储在用户票据TGT中，完成用户票据TGT中已验证认证因子列表的更新，还包括：

认证服务器Cas Server遍历所述待验证认证因子列表，判断每个待验证认证因子是否包含在所述已验证认证因子列表中，若未包含则将该待验证认证因子添加到所述已验证认证因子列表中，若包含则遍历继续。

10.根据权利要求6或7所述的多因素认证系统，其特征在于，还包括：

认证服务器Cas Server为所述第二应用系统生成ST票据并重定向到所述第二应用系统；

应用服务器Cas Client根据约定密钥验证所述ST票据有效性，验证成功后应用服务器Cas Client携带所述ST票据向认证服务器Cas Server发起后端交互并获取所述用户登录信息；

所述用户成功登录所述第二应用系统。

Images