CN112653676A - 一种跨认证系统的身份认证方法和设备 - Google Patents
一种跨认证系统的身份认证方法和设备 Download PDFInfo
- Publication number
- CN112653676A CN112653676A CN202011463425.8A CN202011463425A CN112653676A CN 112653676 A CN112653676 A CN 112653676A CN 202011463425 A CN202011463425 A CN 202011463425A CN 112653676 A CN112653676 A CN 112653676A
- Authority
- CN
- China
- Prior art keywords
- authentication system
- user
- independent
- application system
- independent authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Power Engineering (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Information Transfer Between Computers (AREA)
- Storage Device Security (AREA)
Abstract
本说明书一个或多个实施例提供一种跨认证系统的身份认证方法和设备,建立集中认证系统,分别与各独立认证系统连接,每个独立认证系统分别与集中认证系统之间通过相互认证建立互信关系。用户跨认证系统登录其他独立认证系统下的应用系统时:被请求应用系统收到跨认证系统的用户登录请求后,被请求应用系统所连接的独立认证系统通过集中认证系统向用户登录的应用系统所连接的独立认证系统请求获取该用户的登录信息;被请求应用系统所连接的独立认证系统通过登录信息认证用户身份以使用户登录被请求应用系统。本发明在各独立认证系统之间建立集中认证系统,通过系统互信机制,在跨认证系统的应用系统之间实现了跨认证系统的身份认证。
Description
技术领域
本说明书一个或多个实施例涉及身份认证技术领域,尤其涉及一种跨认证系统的身份认证方法和设备。
背景技术
大部分的应用系统都采用账号和密码的认证方式,不同的应用系统有自己独立的身份认证模块和机制,无法对同一用户进行统一认身份证和授权,这就使得用户需要记忆多个账号和口令,并在登录不同的应用系统时频繁输入账号和口令。
单点登录提供了一种机制,在分布式环境中,各个应用系统均与同一个认证系统连接,用户只需在任一应用系统进行一次登录,即可获得所有所需访问应用系统的授权,而不必在各个应用系统再次登录来确认身份。
但是,现有技术仅能满足在一个认证系统连接的应用系统之间进行单点登录,涉及到跨认证系统的应用系统时,则无法实现。
发明内容
有鉴于此,本说明书一个或多个实施例的目的在于提出一种跨认证系统的身份认证方法和设备,以解决现有技术仅能满足在一个认证系统连接的应用系统之间进行单点登录,涉及到跨认证系统的应用系统时,则无法实现的问题。
基于上述目的,本说明书一个或多个实施例提供了一种跨认证系统的身份认证方法,
建立集中认证系统,分别与各独立认证系统连接;每个所述独立认证系统连接有若干应用系统;
并包括至少如下步骤:
每个所述独立认证系统分别与所述集中认证系统之间通过相互认证建立互信关系;
用户跨认证系统登录其他独立认证系统下的应用系统时,至少包括如下步骤:
被请求应用系统收到跨认证系统的用户登录请求后,所述被请求应用系统所连接的独立认证系统通过所述集中认证系统向所述用户登录的应用系统所连接的独立认证系统请求获取该用户的登录信息;
所述被请求应用系统所连接的独立认证系统通过所述登录信息认证所述用户身份以使所述用户登录所述被请求应用系统。
可选的,所述每个所述独立认证系统分别与所述集中认证系统之间通过相互认证建立互信关系,包括:
对于每个所述独立认证系统,至少包括如下步骤:
该独立认证系统生成第一随机信息,并将所述第一随机信息发送至所述集中认证系统;
所述集中认证系统生成第二随机信息,并将所述第二随机信息和所述第一随机信息发送至该独立认证系统;
该独立认证系统验证所述第一随机信息,如果正确,则认定所述集中认证系统可信,并将所述第二随机信息发送至所述集中认证系统;
所述集中认证系统验证所述第二随机信息,如果正确,则认定该独立认证系统可信。
可选的,所述被请求应用系统收到跨认证系统的用户登录请求后,所述被请求应用系统所连接的独立认证系统通过所述集中认证系统向所述用户登录的应用系统所连接的独立认证系统请求获取该用户的登录信息,包括:
所述被请求应用系统所连接的独立认证系统向所述集中认证系统申请票据;
所述集中认证系统生成所述票据,并将所述票据发送给所述被请求应用系统所连接的独立认证系统和所述用户登录的应用系统所连接的独立认证系统;
所述被请求应用系统所连接的独立认证系统和所述用户登录的应用系统所连接的独立认证系统根据所述票据生成会话密钥;
所述被请求应用系统所连接的独立认证系统和所述用户登录的应用系统所连接的独立认证系统使用所述会话密钥进行所述登录信息的传输。
可选的,所述被请求应用系统所连接的独立认证系统和所述用户登录的应用系统所连接的独立认证系统根据所述票据生成的所述会话密钥相同。
可选的,所述票据包括:
预设长度的随机数和所述被请求应用系统所连接的独立认证系统向所述集中认证系统申请票据的时间信息。
可选的,所述第一随机信息和所述第二随机信息均以签名形式发送。
可选的,所述被请求应用系统所连接的独立认证系统和所述用户登录的应用系统所连接的独立认证系统使用所述会话密钥进行所述登录信息的传输,包括:
所述用户登录的应用系统所连接的独立认证系统使用所述会话密钥对所述登录信息进行加密,并传送给所述被请求应用系统所连接的独立认证系统;
所述被请求应用系统所连接的独立认证系统接收到加密的登录信息后,使用所述会话密钥对所述加密的登录信息进行解密,得到所述登录信息。
可选的,还包括:
存储所述会话密钥到所述被请求应用系统所连接的独立认证系统和所述用户登录的应用系统所连接的独立认证系统;
在所述被请求应用系统所连接的独立认证系统和所述用户登录的应用系统所连接的独立认证系统之间传输登录信息时直接使用所述会话密钥。
可选的,在所述被请求应用系统所连接的独立认证系统通过所述登录信息认证所述用户身份以使所述用户登录所述被请求应用系统之后,还包括:
销毁所述会话密钥和所述票据。
基于同一发明构思,本说明书一个或多个实施例提供了一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上所述的方法。
从上面所述可以看出,本说明书一个或多个实施例提供的跨认证系统的身份认证方法和设备,建立集中认证系统,分别与各独立认证系统连接,每个独立认证系统分别与集中认证系统之间通过相互认证建立互信关系。用户跨认证系统登录其他独立认证系统下的应用系统时:被请求应用系统收到跨认证系统的用户登录请求后,被请求应用系统所连接的独立认证系统通过集中认证系统向用户登录的应用系统所连接的独立认证系统请求获取该用户的登录信息;被请求应用系统所连接的独立认证系统通过登录信息认证用户身份以使用户登录被请求应用系统。本发明在各独立认证系统之间建立集中认证系统,通过系统互信机制,在跨认证系统的应用系统之间实现了跨认证系统的身份认证。
附图说明
为了更清楚地说明本说明书一个或多个实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本说明书一个或多个实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本说明书一个或多个实施例提供的跨认证系统的身份认证方法的一种流程示意图;
图2为本说明书一个或多个实施例提供的互信关系的建立方法的一种流程示意图;
图3为本说明书一个或多个实施例提供的跨认证系统的登录信息的获取方法的一种流程示意图;
图4为本说明书一个或多个实施例提供的一种更为具体的电子设备硬件结构示意图。
具体实施方式
为使本公开的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本公开进一步详细说明。
需要说明的是,除非另外定义,本说明书一个或多个实施例使用的技术术语或者科学术语应当为本公开所属领域内具有一般技能的人士所理解的通常意义。本说明书一个或多个实施例中使用的“第一”、“第二”以及类似的词语并不表示任何顺序、数量或者重要性,而只是用来区分不同的组成部分。“包括”或者“包含”等类似的词语意指出现该词前面的元件或者物件涵盖出现在该词后面列举的元件或者物件及其等同,而不排除其他元件或者物件。“连接”或者“相连”等类似的词语并非限定于物理的或者机械的连接,而是可以包括电性的连接,不管是直接的还是间接的。“上”、“下”、“左”、“右”等仅用于表示相对位置关系,当被描述对象的绝对位置改变后,则该相对位置关系也可能相应地改变。
如背景技术部分所述,大部分的应用系统都采用账号和密码的认证方式,不同的应用系统有自己独立的身份认证模块和机制,无法对同一用户进行统一认身份证和授权,这就使得用户需要记忆多个账号和口令,并在登录不同的应用系统时频繁输入账号和口令。单点登录机制的出现,部分解决了这一问题。
单点登录提供了一种机制,处于分布式环境中的用户,只需进行一次登录,即可获得所有所需访问应用系统的授权,而不必在各个应用系统再次登录来确认身份。
作为一个示例,一个独立认证系统连接有若干应用系统,该独立认证系统管理与其连接的所有应用系统的身份认证工作和跨应用系统身份认证工作,提供跨应用系统身份认证服务。
基于单点登录的机制,用户只需在该独立认证系统管理的任意一个应用系统进行一次登录,通过该独立认证系统,即可获得该独立认证系统管理的所有应用系统的授权,而不必在各个应用系统再次登录来确认身份。也就是说,用户只要能够成功登录与该独立认证系统连接的任意一个应用系统,即可通过该独立认证系统,实现不需要再次输入任何账号信息和密码信息就可以登录与该独立认证系统连接的其他应用系统。
与该独立认证系统连接的不同应用系统的账号信息和密码信息可以是相同的,也可以是不同的。该不同应用系统可以是同域的,也可以是跨域的。其中,当一个请求URL(Uniform Resource Locator,统一资源定位器)的协议、域名、端口三者之间任意一个与当前页面URL不同即为跨域。在万维网中,每一信息资源都有统一的且在网上唯一的地址,该地址就叫URL,它是万维网的统一资源定位标志,就是指网络地址。
上述身份认证过程是在一个独立认证系统连接的不同应用系统之间实现的,该独立认证系统连接的所有应用系统的跨应用系统身份认证工作均归属于该独立认证系统管理。那么,假设存在两个以上的独立认证系统,每个独立认证系统均连接有若干应用系统,每个独立认证系统分别管理其相对应的独立认证系统连接的所有应用系统的跨应用系统身份认证工作,提供跨应用系统身份认证服务,当一个独立认证系统连接的应用系统上已经登录的用户需要访问另一个独立认证系统连接的应用系统时,上述的单点登录机制,显然不能满足这个需求。
也就是说,现有技术仅能满足在一个认证系统连接的应用系统之间进行单点登录,涉及到跨认证系统的应用系统时,则无法实现。
为了方便表述,将已经登录的应用系统记作已登录应用系统,与已登录应用系统连接的独立认证系统记作已登录独立认证系统,相应的,将被请求登录的应用系统记作被请求应用系统,与被请求应用系统连接的独立认证系统记作被请求独立认证系统。
申请人在实现本公开的过程中发现,如果在已登录独立认证系统和被请求独立认证系统之间建立互信连接,用户即可像访问已登录独立认证系统管理的其他应用系统一样访问被请求独立认证系统管理的应用系统。申请人又发现,如果仅存在两个独立认证系统,建立这两个独立认证系统之间的互信连接是简明方便的,但是如果存在较多数量的独立认证系统,按照上述的思路,就需要在所有的独立认证系统两两之间建立互信连接,这样显然是繁琐复杂的,所以,申请人创造性的在不同的独立认证系统之间设计了集中认证系统,以沟通所有的独立认证系统。
以下,通过具体的实施例进一步详细说明本公开的技术方案。
基于上述目的,本说明书一个或多个实施例提供了一种跨认证系统的身份认证方法,图1为本说明书一个或多个实施例提供的跨认证系统的身份认证方法的一种流程示意图,跨认证系统的身份认证方法包括:
S110、建立集中认证系统,分别与各独立认证系统连接。
对于各独立认证系统,可选的,每个所述独立认证系统连接有若干应用系统。
不同的与该独立认证系统连接的应用系统的账号和密码信息可以是相同的,也可以是不同的。不同的应用系统可以是同域的,也可以是跨域的。其中,当一个请求URL(Uniform Resource Locator,统一资源定位器)的协议、域名、端口三者之间任意一个与当前页面URL不同即为跨域。在万维网中,每一信息资源都有统一的且在网上唯一的地址,该地址就叫URL,它是万维网的统一资源定位标志,就是指网络地址。
在用户请求登录一应用系统时,该应用系统请求与其连接的独立认证系统验证该用户的身份,具体的,查找该独立认证系统中是否存在该用户的登录信息,若该独立认证系统中存在该用户的登录信息,即认为该用户通过身份验证,允许该用户登录该应用系统。
每个独立认证系统连接有若干应用系统,在用户没有登录该独立认证系统连接的应用系统中的任意一个时,该独立认证系统中不存在该用户的登录信息,当用户登录任一应用系统时,需要输入登录信息例如账号和密码信息,该独立认证系统验证该登录信息,若验证通过,即允许该用户登录该应用系统。在用户已经登录该独立认证系统连接的应用系统中的至少一个时,该独立认证系统中存在该用户的登录信息,当用户登录其他与该独立认证系统连接的应用系统中的任意一个应用系统时,直接登录,用户无需再次输入登录信息。
并包括至少如下步骤:
S120、每个所述独立认证系统分别与所述集中认证系统之间通过相互认证建立互信关系。
参照图2,本说明书一个或多个实施例,对于每个所述独立认证系统,至少包括如下步骤:
S210、该独立认证系统生成第一随机信息,并将所述第一随机信息发送至所述集中认证系统。
作为一个可选的实施例,所述第一随机信息以签名形式发送。
S220、所述集中认证系统生成第二随机信息,并将所述第二随机信息和所述第一随机信息发送至该独立认证系统。
作为一个可选的实施例,所述第二随机信息和所述第一随机信息以签名形式发送。
S230、该独立认证系统验证所述第一随机信息,如果正确,则认定所述集中认证系统可信,并将所述第二随机信息发送至所述集中认证系统。
作为一个可选的实施例,所述第二随机信息以签名形式发送。
S240所述集中认证系统验证所述第二随机信息,如果正确,则认定该独立认证系统可信。
作为一个可选的实施例,若认证成功,认证管理系统发送建立互信关系成功的信息到该独立认证系统;若认证失败,重新建立互信关系。
用户跨认证系统登录其他独立认证系统下的应用系统时,至少包括如下步骤:
S130、被请求应用系统收到跨认证系统的用户登录请求后,所述被请求应用系统所连接的独立认证系统通过所述集中认证系统向所述用户登录的应用系统所连接的独立认证系统请求获取该用户的登录信息。
本说明书一个或多个实施例,提供一应用系统列表,列表中包括所有能够建立互信关系的独立认证系统连接的所有应用系统。
作为一个可选的实施例,集中认证系统连接的独立认证系统连接的每个应用系统可以提供该应用列表,用户可以选择该应用列表中的任意一个应用系统作为请求登录的应用系统。可选的,用户也可以直接输入请求登录的应用系统的网络地址。
按照前述的应用系统和与其连接的独立认证系统的交互方式,应用系统收到用户的登录请求后,会请求与其连接的独立认证系统验证该用户的身份,显然,因为该用户是在其他独立认证系统登录的,所以,本地的独立认证系统不存在该用户的登录信息,但是该用户已经登录的应用系统连接的独立认证系统是存在该用户的登录信息的,所以被请求应用系统所连接的独立认证系统通过集中认证系统向用户登录的应用系统所连接的独立认证系统请求获取该用户的登录信息。
参照图3,本说明书一个或多个实施例,被请求应用系统所连接的独立认证系统通过集中认证系统向用户登录的应用系统所连接的独立认证系统请求获取该用户的登录信息,包括:
S310、所述被请求应用系统所连接的独立认证系统向所述集中认证系统申请票据。
S320、所述集中认证系统生成所述票据,并将所述票据发送给所述被请求应用系统所连接的独立认证系统和所述用户登录的应用系统所连接的独立认证系统。
作为一个可选的实施例,所述票据包括:预设长度的随机数和所述被请求应用系统所连接的独立认证系统向所述集中认证系统申请票据的时间信息。
票据由一预设长度的随机数和被请求应用系统所连接的独立认证系统向集中认证系统申请票据的时间信息组成。可选的,按照预设的数学变换规则,将所述票据进行加密变换。
被请求应用系统所连接的独立认证系统向集中认证系统申请票据的时间信息与用户请求登录被请求应用系统时的操作行为有关,属于随机信息。为了安全和方便,可以把一个随机数直接视为受高级密钥加密过的初级密钥。因此,作为两个随机数进行数学变换后的票据难以伪造和破解,并且票据两次相同的概率几乎为零,加上在进行可信任连接以及票据传输时都带有时间参数,可有效抵御重放攻击。票据的传输是在系统双方建立互信关系之后进行,根据非对称加密算法的原理,可以保障票据的可信性。
S330、所述被请求应用系统所连接的独立认证系统和所述用户登录的应用系统所连接的独立认证系统根据所述票据生成会话密钥,并使用所述会话密钥进行所述登录信息的传输。
作为一个可选的实施例,所述被请求应用系统所连接的独立认证系统和所述用户登录的应用系统所连接的独立认证系统根据所述票据生成的所述会话密钥相同。
会话密钥由被请求应用系统所连接的独立认证系统和用户登录的应用系统所连接的独立认证系统双方自行产生,网络中传输的只是包含用于产生会话密钥的票据,会话密钥根本不在网络中传输,提高了密钥的安全性,可以有效阻止用户信息窃听。
S340、所述被请求应用系统所连接的独立认证系统和所述用户登录的应用系统所连接的独立认证系统使用所述会话密钥进行所述登录信息的传输。
作为一个可选的实施例,包括:
所述用户登录的应用系统所连接的独立认证系统使用所述会话密钥对所述登录信息进行加密,并传送给所述被请求应用系统所连接的独立认证系统;
所述被请求应用系统所连接的独立认证系统接收到加密的登录信息后,使用所述会话密钥对所述加密的登录信息进行解密,得到所述登录信息。
S140、所述被请求应用系统所连接的独立认证系统通过所述登录信息认证所述用户身份以使所述用户登录所述被请求应用系统。
此时,被请求应用系统所连接的独立认证系统中已经获取到该用户的登录信息,基于前述规则,相当于该用户的身份已经通过验证,所以,允许该用户登录该应用系统。
若用户登录失败,则重复进行S130到S140,同时,作为一个可选的实施例,每个应用系统提供有登录入口,登录入口接收用户输入登录信息例如账号和密码信息,通过与该应用系统连接的独立认证系统进行验证,如果验证通过,则允许该用户登录该应用系统。
作为一个可选的实施例,存储所述会话密钥到所述被请求应用系统所连接的独立认证系统和所述用户登录的应用系统所连接的独立认证系统;
在所述被请求应用系统所连接的独立认证系统和所述用户登录的应用系统所连接的独立认证系统之间传输登录信息时直接使用所述会话密钥。
作为一个可选的实施例,在所述被请求应用系统所连接的独立认证系统通过所述登录信息认证所述用户身份以使所述用户登录所述被请求应用系统之后,还包括:
销毁所述会话密钥和所述票据。
可选的,每次获取登录信息开始后产生新的票据和会话密钥,结束后销毁票据和会话密钥,实现一次一密,提高了密钥的安全性,可以有效阻止用户信息窃听。
上述存储票据、会话密钥的方案和销毁票据、会话密钥的方案,分别是从便捷性和安全性两个方面考虑,用户可以根据实际需求选择对应的方案,以及,作为一个可选的实施例,可以在预设的时间段内存储票据、会话密钥,在预设的时间后销毁票据、会话密钥,以同时兼顾便捷性和安全性,都在本发明的方案范围内。
本说明书一个或多个实施例提供的跨认证系统的身份认证方法和设备,建立集中认证系统,分别与各独立认证系统连接,每个独立认证系统分别与集中认证系统之间通过相互认证建立互信关系。用户跨认证系统登录其他独立认证系统下的应用系统时:被请求应用系统收到跨认证系统的用户登录请求后,被请求应用系统所连接的独立认证系统通过集中认证系统向用户登录的应用系统所连接的独立认证系统请求获取该用户的登录信息;被请求应用系统所连接的独立认证系统通过登录信息认证用户身份以使用户登录被请求应用系统。本发明在各独立认证系统之间建立集中认证系统,通过系统互信机制,在跨认证系统的应用系统之间实现了跨认证系统的身份认证。
需要说明的是,本说明书一个或多个实施例的方法可以由单个设备执行,例如一台计算机或服务器等。本实施例的方法也可以应用于分布式场景下,由多台设备相互配合来完成。在这种分布式场景的情况下,这多台设备中的一台设备可以只执行本说明书一个或多个实施例的方法中的某一个或多个步骤,这多台设备相互之间会进行交互以完成所述的方法。
需要说明的是,上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
基于同一发明构思,与上述任意实施例方法相对应的,本说明书一个或多个实施例还提供了一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上任意一实施例所述的跨认证系统的身份认证方法。
图4示出了本实施例所提供的一种更为具体的电子设备硬件结构示意图,该设备可以包括:处理器1010、存储器1020、输入/输出接口1030、通信接口1040和总线1050。其中处理器1010、存储器1020、输入/输出接口1030和通信接口1040通过总线1050实现彼此之间在设备内部的通信连接。
处理器1010可以采用通用的CPU(Central Processing Unit,中央处理器)、微处理器、应用专用集成电路(Application Specific Integrated Circuit,ASIC)、或者一个或多个集成电路等方式实现,用于执行相关程序,以实现本说明书实施例所提供的技术方案。
存储器1020可以采用ROM(Read Only Memory,只读存储器)、RAM(Random AccessMemory,随机存取存储器)、静态存储设备,动态存储设备等形式实现。存储器1020可以存储操作系统和其他应用程序,在通过软件或者固件来实现本说明书实施例所提供的技术方案时,相关的程序代码保存在存储器1020中,并由处理器1010来调用执行。
输入/输出接口1030用于连接输入/输出模块,以实现信息输入及输出。输入输出/模块可以作为组件配置在设备中(图中未示出),也可以外接于设备以提供相应功能。其中输入设备可以包括键盘、鼠标、触摸屏、麦克风、各类传感器等,输出设备可以包括显示器、扬声器、振动器、指示灯等。
通信接口1040用于连接通信模块(图中未示出),以实现本设备与其他设备的通信交互。其中通信模块可以通过有线方式(例如USB、网线等)实现通信,也可以通过无线方式(例如移动网络、WIFI、蓝牙等)实现通信。
总线1050包括一通路,在设备的各个组件(例如处理器1010、存储器1020、输入/输出接口1030和通信接口1040)之间传输信息。
需要说明的是,尽管上述设备仅示出了处理器1010、存储器1020、输入/输出接口1030、通信接口1040以及总线1050,但是在具体实施过程中,该设备还可以包括实现正常运行所必需的其他组件。此外,本领域的技术人员可以理解的是,上述设备中也可以仅包含实现本说明书实施例方案所必需的组件,而不必包含图中所示的全部组件。
上述实施例的电子设备用于实现前述任一实施例中相应的跨认证系统的身份认证方法,并且具有相应的方法实施例的有益效果,在此不再赘述。
基于同一发明构思,与上述任意实施例方法相对应的,本说明书一个或多个实施例还提供了一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令用于使所述计算机执行如上任一实施例所述的跨认证系统的身份认证方法。
本实施例的计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。
上述实施例的存储介质存储的计算机指令用于使所述计算机执行如上任一实施例所述的跨认证系统的身份认证方法,并且具有相应的方法实施例的有益效果,在此不再赘述。
所属领域的普通技术人员应当理解:以上任何实施例的讨论仅为示例性的,并非旨在暗示本公开的范围(包括权利要求)被限于这些例子;在本公开的思路下,以上实施例或者不同实施例中的技术特征之间也可以进行组合,步骤可以以任意顺序实现,并存在如上所述的本说明书一个或多个实施例的不同方面的许多其它变化,为了简明它们没有在细节中提供。
另外,为简化说明和讨论,并且为了不会使本说明书一个或多个实施例难以理解,在所提供的附图中可以示出或可以不示出与集成电路(IC)芯片和其它部件的公知的电源/接地连接。此外,可以以框图的形式示出装置,以便避免使本说明书一个或多个实施例难以理解,并且这也考虑了以下事实,即关于这些框图装置的实施方式的细节是高度取决于将要实施本说明书一个或多个实施例的平台的(即,这些细节应当完全处于本领域技术人员的理解范围内)。在阐述了具体细节(例如,电路)以描述本公开的示例性实施例的情况下,对本领域技术人员来说显而易见的是,可以在没有这些具体细节的情况下或者这些具体细节有变化的情况下实施本说明书一个或多个实施例。因此,这些描述应被认为是说明性的而不是限制性的。
尽管已经结合了本公开的具体实施例对本公开进行了描述,但是根据前面的描述,这些实施例的很多替换、修改和变型对本领域普通技术人员来说将是显而易见的。例如,其它存储器架构(例如,动态RAM(DRAM))可以使用所讨论的实施例。
本说明书一个或多个实施例旨在涵盖落入所附权利要求的宽泛范围之内的所有这样的替换、修改和变型。因此,凡在本说明书一个或多个实施例的精神和原则之内,所做的任何省略、修改、等同替换、改进等,均应包含在本公开的保护范围之内。
Claims (10)
1.一种跨认证系统的身份认证方法,其特征在于,
建立集中认证系统,分别与各独立认证系统连接;每个所述独立认证系统连接有若干应用系统;
并包括至少如下步骤:
每个所述独立认证系统分别与所述集中认证系统之间通过相互认证建立互信关系;
用户跨认证系统登录其他独立认证系统下的应用系统时,至少包括如下步骤:
被请求应用系统收到跨认证系统的用户登录请求后,所述被请求应用系统所连接的独立认证系统通过所述集中认证系统向所述用户登录的应用系统所连接的独立认证系统请求获取该用户的登录信息;
所述被请求应用系统所连接的独立认证系统通过所述登录信息认证所述用户身份以使所述用户登录所述被请求应用系统。
2.根据权利要求1所述的方法,其特征在于,所述每个所述独立认证系统分别与所述集中认证系统之间通过相互认证建立互信关系,包括:
对于每个所述独立认证系统,至少包括如下步骤:
该独立认证系统生成第一随机信息,并将所述第一随机信息发送至所述集中认证系统;
所述集中认证系统生成第二随机信息,并将所述第二随机信息和所述第一随机信息发送至该独立认证系统;
该独立认证系统验证所述第一随机信息,如果正确,则认定所述集中认证系统可信,并将所述第二随机信息发送至所述集中认证系统;
所述集中认证系统验证所述第二随机信息,如果正确,则认定该独立认证系统可信。
3.根据权利要求1所述的方法,其特征在于,所述被请求应用系统收到跨认证系统的用户登录请求后,所述被请求应用系统所连接的独立认证系统通过所述集中认证系统向所述用户登录的应用系统所连接的独立认证系统请求获取该用户的登录信息,包括:
所述被请求应用系统所连接的独立认证系统向所述集中认证系统申请票据;
所述集中认证系统生成所述票据,并将所述票据发送给所述被请求应用系统所连接的独立认证系统和所述用户登录的应用系统所连接的独立认证系统;
所述被请求应用系统所连接的独立认证系统和所述用户登录的应用系统所连接的独立认证系统根据所述票据生成会话密钥;
所述被请求应用系统所连接的独立认证系统和所述用户登录的应用系统所连接的独立认证系统使用所述会话密钥进行所述登录信息的传输。
4.根据权利要求3所述的方法,其特征在于,所述被请求应用系统所连接的独立认证系统和所述用户登录的应用系统所连接的独立认证系统根据所述票据生成的所述会话密钥相同。
5.根据权利要求3所述的方法,其特征在于,所述票据包括:
预设长度的随机数和所述被请求应用系统所连接的独立认证系统向所述集中认证系统申请票据的时间信息。
6.根据权利要求2所述的方法,其特征在于,所述第一随机信息和所述第二随机信息均以签名形式发送。
7.根据权利要求3所述的方法,其特征在于,所述被请求应用系统所连接的独立认证系统和所述用户登录的应用系统所连接的独立认证系统使用所述会话密钥进行所述登录信息的传输,包括:
所述用户登录的应用系统所连接的独立认证系统使用所述会话密钥对所述登录信息进行加密,并传送给所述被请求应用系统所连接的独立认证系统;
所述被请求应用系统所连接的独立认证系统接收到加密的登录信息后,使用所述会话密钥对所述加密的登录信息进行解密,得到所述登录信息。
8.根据权利要求3所述的方法,其特征在于,还包括:
存储所述会话密钥到所述被请求应用系统所连接的独立认证系统和所述用户登录的应用系统所连接的独立认证系统;
在所述被请求应用系统所连接的独立认证系统和所述用户登录的应用系统所连接的独立认证系统之间传输登录信息时直接使用所述会话密钥。
9.根据权利要求3所述的方法,其特征在于,在所述被请求应用系统所连接的独立认证系统通过所述登录信息认证所述用户身份以使所述用户登录所述被请求应用系统之后,还包括:
销毁所述会话密钥和所述票据。
10.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至9任意一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011463425.8A CN112653676B (zh) | 2020-12-11 | 2020-12-11 | 一种跨认证系统的身份认证方法和设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011463425.8A CN112653676B (zh) | 2020-12-11 | 2020-12-11 | 一种跨认证系统的身份认证方法和设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112653676A true CN112653676A (zh) | 2021-04-13 |
| CN112653676B CN112653676B (zh) | 2023-05-02 |
Family
ID=75353811
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011463425.8A Active CN112653676B (zh) | 2020-12-11 | 2020-12-11 | 一种跨认证系统的身份认证方法和设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112653676B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115021989A (zh) * | 2022-05-25 | 2022-09-06 | 国家工业信息安全发展研究中心 | 工业互联网异构标识解析体系互信互认方法及系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060048212A1 (en) * | 2003-07-11 | 2006-03-02 | Nippon Telegraph And Telephone Corporation | Authentication system based on address, device thereof, and program |
| CN102299802A (zh) * | 2011-09-02 | 2011-12-28 | 深圳中兴网信科技有限公司 | 一种跨域的单点登录实现方法 |
| US20120317630A1 (en) * | 2011-06-07 | 2012-12-13 | Richard Goldberg | Remote login arrangement for heterogeneous systems using centralized authentication |
| CN103780618A (zh) * | 2014-01-22 | 2014-05-07 | 西南交通大学 | 一种基于访问授权票据的跨异构域身份认证及会话密钥协商方法 |
-
2020
- 2020-12-11 CN CN202011463425.8A patent/CN112653676B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060048212A1 (en) * | 2003-07-11 | 2006-03-02 | Nippon Telegraph And Telephone Corporation | Authentication system based on address, device thereof, and program |
| US20120317630A1 (en) * | 2011-06-07 | 2012-12-13 | Richard Goldberg | Remote login arrangement for heterogeneous systems using centralized authentication |
| CN102299802A (zh) * | 2011-09-02 | 2011-12-28 | 深圳中兴网信科技有限公司 | 一种跨域的单点登录实现方法 |
| CN103780618A (zh) * | 2014-01-22 | 2014-05-07 | 西南交通大学 | 一种基于访问授权票据的跨异构域身份认证及会话密钥协商方法 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115021989A (zh) * | 2022-05-25 | 2022-09-06 | 国家工业信息安全发展研究中心 | 工业互联网异构标识解析体系互信互认方法及系统 |
| CN115021989B (zh) * | 2022-05-25 | 2023-03-10 | 国家工业信息安全发展研究中心 | 工业互联网异构标识解析体系互信互认方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112653676B (zh) | 2023-05-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10187797B2 (en) | Code-based authorization of mobile device | |
| CN106209749B (zh) | 单点登录方法及装置、相关设备和应用的处理方法及装置 | |
| US10085150B2 (en) | Authenticating mobile applications using policy files | |
| KR102313859B1 (ko) | 권한 위양 시스템, 그 제어 방법 및 클라이언트 | |
| CN112491881B (zh) | 跨平台单点登录方法、系统、电子设备及存储介质 | |
| WO2017028804A1 (zh) | 一种Web实时通信平台鉴权接入方法及装置 | |
| US10637650B2 (en) | Active authentication session transfer | |
| US9178868B1 (en) | Persistent login support in a hybrid application with multilogin and push notifications | |
| US9369286B2 (en) | System and methods for facilitating authentication of an electronic device accessing plurality of mobile applications | |
| US20130185210A1 (en) | Method and System for Making Digital Payments | |
| US9749130B2 (en) | Distributing keys for decrypting client data | |
| US10454917B2 (en) | Enabling single sign-on authentication for accessing protected network services | |
| CN105991614B (zh) | 一种开放授权、资源访问的方法及装置、服务器 | |
| CN108322416B (zh) | 一种安全认证实现方法、装置及系统 | |
| CN104426659A (zh) | 动态口令生成方法、认证方法及系统、相应设备 | |
| CN109286620B (zh) | 用户权限管理方法、系统、设备和计算机可读存储介质 | |
| CN113010874A (zh) | 登录认证方法、装置、电子设备及计算机可读存储介质 | |
| US8832812B1 (en) | Methods and apparatus for authenticating a user multiple times during a session | |
| US9154497B1 (en) | Maintaining accountability of a shared password among multiple users | |
| US8875244B1 (en) | Method and apparatus for authenticating a user using dynamic client-side storage values | |
| CN113505353A (zh) | 一种认证方法、装置、设备和存储介质 | |
| CN112653676B (zh) | 一种跨认证系统的身份认证方法和设备 | |
| EP3036674B1 (en) | Proof of possession for web browser cookie based security tokens | |
| CN115190483B (zh) | 一种访问网络的方法及装置 | |
| US20220417020A1 (en) | Information processing device, information processing method, and non-transitory computer readable storage medium |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |