CN114024682A - 跨域单点登录方法、服务设备及认证设备 - Google Patents
跨域单点登录方法、服务设备及认证设备 Download PDFInfo
- Publication number
- CN114024682A CN114024682A CN202111107796.7A CN202111107796A CN114024682A CN 114024682 A CN114024682 A CN 114024682A CN 202111107796 A CN202111107796 A CN 202111107796A CN 114024682 A CN114024682 A CN 114024682A
- Authority
- CN
- China
- Prior art keywords
- access
- identity
- authentication
- subject
- certificate
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
Abstract
本发明提供了一种跨域单点登录方法、服务设备及认证设备,该方法包括:接收访问主体发送的第一访问请求;若第一访问请求中不包含访问主体的身份凭证,则向第一认证设备发送身份认证请求,其中第一认证设备是访问主体所属域的认证设备,以使得第一认证设备获取访问主体的登录信息,并根据访问主体的登录信息对访问主体的身份进行验证,验证通过后向访问主体签发身份凭证;根据第一访问请求判断是否与访问主体处于同一个域内;若与访问主体处于同一个域内,则身份认证请求中还包含第一数字证书,以使得第一认证设备根据第一数字证书对服务设备的身份进行验证,其中,第一数字证书为服务设备的数字证书。本发明能够提高单点登录系统的安全性。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种跨域单点登录方法、服务设备及认证设备。
背景技术
在信息化的初期,用户使用的系统较少,只需要记住一两个系统登录身份和密码即可。随着信息化过程的不断深化,用户接触的系统越来越多,由于这些系统各自有独立的认证和授权体系,用户必须同时记住多个身份和密码,造成使用上的困扰。
为解决上述问题,单点登录技术应运而生。它允许用户只登陆一次,即可使用系统中所有已授权的应用系统,具有方便高效的特点。同时结合统一认证机制和统一用户管理功能,可提高系统的安全性,降低运维开销。在实际部署中,应用系统通常都采用B/S架构,拥有各自的域名,涉及到多个域的访问主体、应用服务设备和认证设备的信息交互,存在安全性较低的问题。
发明内容
有鉴于此,本发明提供了一种跨域单点登录方法、服务设备及认证设备,能够解决现有跨域单点登录系统安全性低的问题。
第一方面,本发明实施例提供了一种跨域单点登录方法,包括:接收访问主体发送的第一访问请求;
若所述第一访问请求中不包含所述访问主体的身份凭证,则向第一认证设备发送身份认证请求,其中所述第一认证设备是所述访问主体所属域的认证设备,以使得所述第一认证设备获取所述访问主体的登录信息,并根据所述访问主体的登录信息对所述访问主体的身份进行验证,验证通过后向所述访问主体签发身份凭证;
根据所述第一访问请求判断是否与所述访问主体处于同一个域内,若与所述访问主体处于同一个域内,则所述身份认证请求中还包含第一数字证书,以使得所述第一认证设备根据所述第一数字证书对所述服务设备的身份进行验证,其中,所述第一数字证书为所述服务设备的数字证书。
在一种可能的实现方式中,该方法还包括:若与所述访问主体处于不同的域内,接收所述访问主体在获取身份凭证后发送的第二访问请求,所述第二访问请求中包含所述访问主体的身份凭证;
将所述访问主体的身份凭证和所述第一数字证书发送至第二认证设备,以使得所述第二认证设备对所述访问主体的身份以及所述服务设备的身份进行验证,其中,所述第二认证设备是所述服务设备所属域的认证设备。
第二方面,本发明实施例提供了另一种跨域单点登录方法,该方法应用于一种认证设备,该方法包括:
接收服务设备发送的第一身份认证请求,所述第一身份认证请求中包含第一数字证书,所述第一数字证书为所述服务设备的数字证书;
根据所述第一数字证书对所述服务设备的身份进行验证,若验证失败,则向请求访问所述服务设备的第一访问主体发送告警消息,所述告警消息用于指示所述第一访问主体所述服务设备的身份没有通过验证。
在一种可能的实现方式中,所述第一身份认证请求还用于请求对所述第一访问主体的身份进行验证,所述第一访问主体与所述认证设备属于同一个域,该方法还包括:
获取所述第一访问主体的登录信息,根据所述登录信息对所述第一访问主体的身份进行验证;
若验证通过,则向所述第一访问主体发送身份凭证,所述第一访问主体的身份凭证包括第二数字证书和签名信息,所述第二数字证书为所述认证设备的数字证书。
在一种可能的实现方式中,在所述获取所述第一访问主体的登录信息之前,该方法还包括:
接收所述第一访问主体发送的连接请求,将所述第二数字证书信息发送至所述第一访问主体,以使得所述第一访问主体根据所述第二数字证书信息对所述认证设备的身份进行验证。
在一种可能的实现方式中,在则向所述第一访问主体发送身份凭证之前,该方法还包括:
获取所述第一访问主体的公钥和所述第一访问主体支持的多种加密算法;
通过预设策略在所述多种加密算法中选择一种加密算法作为目标加密算法,通过所述第一访问主体的公钥加密后,将所述目标加密算法发送至所述第一访问主体,以使得所述第一访问主体通过所述目标加密算法获取通话密钥;
接收所述第一访问主体加密后的通话密钥,解密后获得所述通话密钥;
通过所述通话密钥对所述第一访问主体的身份凭证进行加密后,发送至所述第一访问主体。
在一种可能的实现方式中,该方法还包括:
接收服务设备发送的第二身份认证请求,所述第二身份认证请求中包含第二访问主体的身份凭证;
获取所述第二访问主体的身份凭证中的签名信息;
若根据所述第二访问主体的身份凭证中的签名信息判断所述第二访问主体的身份凭证是由自身签发的,则确定所述第二访问主体的身份合法。
在一种可能的实现方式中,该方法还包括:
若根据所述第二访问主体的身份凭证中的签名信息判断所述第二访问主体的身份凭证是由其他认证设备签发的,则获取所述第二访问主体的身份凭证中的数字证书;
若通过所述第二访问主体的身份凭证中的数字证书判断所述其他认证设备的身份合法,则确定所述第二访问主体的身份合法。
第三方面,本发明实施例提供了一种服务设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如上第一方面或第一方面的任一种可能的实现方式所述方法的步骤。
第四方面,本发明实施例提供了一种认证设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如上第二方面或第二方面的任一种可能的实现方式所述方法的步骤。
本发明实施例与现有技术相比存在的有益效果是:
本发明实施例通过服务设备所属域的认证设备对服务设备的身份进行验证,避免了应用系统或业务系统为非法网站时对用户的攻击,提高了单点登录系统的安全性。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的一种跨域单点登录方法的实现流程图;
图2是本发明实施例提供的另一种跨域单点登录系统的示意图;
图3是本发明实施例提供的另一种跨域单点登录方法的实现流程图;
图4是本发明实施例提供的另一种跨域单点登录方法的实现流程图;
图5是本发明实施例提供的一种跨域单点登录装置的结构示意图;
图6是本发明实施例提供的一种跨域单点登录装置的结构示意图;
图7是本发明实施例提供的一种服务设备或认证设备的示意图。
具体实施方式
以下描述中,为了说明而不是为了限定,提出了诸如特定系统结构、技术之类的具体细节,以便透彻理解本发明实施例。然而,本领域的技术人员应当清楚,在没有这些具体细节的其它实施例中也可以实现本发明。在其它情况中,省略对众所周知的系统、装置、电路以及方法的详细说明,以免不必要的细节妨碍本发明的描述。
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图通过具体实施例来进行说明。
参见图1,其示出了本发明实施例提供的跨域单点登录方法的实现流程图,详述如下:
在步骤S101中、接收访问主体发送的第一访问请求。
如图2所示,本发明实施例应用于一种跨域单点登录系统,该系统中包括至少两个安全域,每个安全域包括认证设备、多个服务设备和多个访问主体。
在本发明实施例中,执行主体为服务设备,一个服务设备对应一个应用系统,为需要访问该应用系统的访问主体,如用户浏览器或WS客户端等提供服务。
对于任一服务设备,该服务设备所属域中的访问主体,以及其他域的访问主体,都可以向该服务设备发送访问请求。举例来说,如图2所示,域A中的服务设备A1,本域中的访问主体,如访问主体1至访问主体n,都可以向服务设备A1发送访问请求,其他域中的访问主体,如域B中的访问主体n+1至访问主体m,也都可以向服务设备A1发送访问请求。
在步骤S102中、若第一访问请求中不包含访问主体的身份凭证,则向第一认证设备发送身份认证请求,其中第一认证设备是访问主体所属域的认证设备,以使得第一认证设备获取访问主体的登录信息,并根据访问主体的登录信息对访问主体的身份进行验证,验证通过后向访问主体签发身份凭证。
以图2中的服务设备A1为例进行说明,若接收到访问主体发送的第一访问请求后,服务设备A1首先判断第一访问请求中是否包含访问主体的身份凭证,在本发明实施例中,访问主体的访问凭证,是访问主体的身份被认证成功后,由访问主体所属域的认证设备签发给该访问主体的身份凭证,如票据或身份断言等。
若第一访问请求中没有访问主体的身份凭证,说明该访问主体没有获取其所属域的认证设备签发的身份凭证,则向该访问主体所属域的认证设备发送身份认证请求,以使得该访问主体所属域的认证设备验证该访问主体的身份。
在步骤S103中、根据第一访问请求判断是否与访问主体处于同一个域内,若与访问主体处于同一个域内,则身份认证请求中还包含第一数字证书,以使得第一认证设备根据第一数字证书对服务设备的身份进行验证,其中,第一数字证书为服务设备的数字证书。
此时存在两种情况,一种情况是服务设备与访问主体处于相同的域,结合图2,如服务设备为服务设备A1,访问主体为访问主体1;另一种情况是服务设备与访问主体处于不同的域内,如服务设备为服务设备A1,访问主体为访问主体m。
在本发明实施例中,若服务设备与访问主体处于同一个域内,如访问主体为访问主体1,服务设备为服务设备A1,其所属域的认证设备都是认证设备A。当服务设备A1向认证设备A发送身份认证请求,请求对访问主体1的身份进行验证时,同时将自身的数字证书发送至认证设备A。
认证设备A通过服务设备A1的数字证书进行验证,在一种可能的实现方式中,认证设备A只有在确定服务设备A1的身份合法后,再验证访问主体1的身份,否则直接向访问主体1发送告警信息,用于指示服务设备A1为非法设备,避免了钓鱼网站对用户的非法攻击。
进一步的,若与访问主体处于不同的域内,接收访问主体在获取身份凭证后发送的第二访问请求,第二访问请求中包含访问主体的身份凭证;将访问主体的身份凭证和第一数字证书发送至第二认证设备,以使得第二认证设备对访问主体的身份以及服务设备的身份进行验证,其中,第二认证设备是服务设备所属域的认证设备。
若服务设备与访问主体处于不同的域,如服务设备为服务设备A1,访问主体为访问主体m,当服务设备A1接收到访问主体m发送的第一访问请求后,判断该访问请求中不包含访问主体m的身份凭证,此时,服务设备A1向访问主体m所属域,即域B的认证设备B发送身份认证请求。若认证设备B验证访问主体m的身份合法,向访问主体m签发身份凭证,访问主体m向服务设备A1发送携带身份凭证的第二访问请求。服务设备A1向其所属域的认证设备,即认证设备A发送访问主体m的身份凭证和自身的数字证书,使得认证设备A对访问主体m的身份凭证和自身的身份证书进行验证,避免钓鱼网站对用户的攻击,提高了跨域单点登录系统的安全性。
本发明通过对每个服务设备,如应用服务器或业务服务器发放数字证书,当用户访问该服务设备所提供的网站时,通过该服务设备所属域的认证设备对该服务设备的合法性进行认证,避免了非法网站对用户的攻击,提高了单点登录系统的安全性。
图3示出了本发明实施例提供的另一种跨域单点登录方法的实现流程图,详述如下:
在步骤S301中、接收服务设备发送的第一身份认证请求,第一身份认证请求中包含第一数字证书,第一数字证书为服务设备的数字证书。
本发明实施例所提供的方法应用于一种如图2所示的跨域单点登录系统。
跨域单点登录系统中的服务设备,在向访问主体提供服务之前,需要将自身的数字证书发送至自身所属域的认证设备,只有认证设备认证其属于合法的服务设备,该服务设备才能向用户提供服务,避免钓鱼网站对用户的攻击。
在步骤S302中、根据第一数字证书对服务设备的身份进行验证,若验证失败,则向请求访问服务设备的第一访问主体发送告警消息,告警消息用于指示第一访问主体服务设备的身份没有通过验证。
进一步的,第一身份认证请求还用于请求对第一访问主体的身份进行验证,第一访问主体与认证设备属于同一个域,该方法还包括:获取第一访问主体的登录信息,根据登录信息对第一访问主体的身份进行验证;若验证通过,则向第一访问主体发送身份凭证,第一访问主体的身份凭证包括第二数字证书和签名信息,第二数字证书为认证设备的数字证书。
举例来说,结合图2,服务设备A1接收到访问主体1发送的访问请求后,判断该访问请求中没有携带访问主体1的身份凭证,则向认证设备A发送身份认证请求,该身份认证请求中包含服务设备A1的数字证书,认证设备A通过服务设备A1的数字证书对服务设备A1的身份进行验证,并根据访问主体1的登录信息,对访问主体1的身份进行验证,若验证通过,则向访问主体1发送身份凭证,该访问凭证中包括认证设备A的数字证书和签名信息。
为进一步保证跨域单点的登录系统的安全性,访问主体还需要对认证设备的可靠性进行验证,在获取第一访问主体的登录信息之前,该方法还包括:接收第一访问主体发送的连接请求,将第二数字证书信息发送至第一访问主体,以使得第一访问主体根据第二数字证书信息对认证设备的身份进行验证。
访问主体通过鉴别认证设备的数字证书,确定其证书是可信任第三方CA所发,并比较证书的域名和公钥是否与证书相关信息一致,鉴别通过则认可认证设备的合法身份,向认证设备发送登录信息,鉴别失败则向用户显示认证设备不可信任的警告。
当访问主体获取到其所属域的认证设备发送的身份凭证后,携带该身份凭证再次访问服务设备,服务设备向自身所属域的认证设备认证该访问的身份。
下面以访问主体为第二访问主体为例进行说明,此时存在如下两种情况。
第一种情况:第二访问主体与其所要访问的服务设备属于同一个域,此时,该方法包括:接收服务设备发送的第二身份认证请求,第二身份认证请求中包含第二访问主体的身份凭证;获取第二访问主体的身份凭证中的签名信息;若根据第二访问主体的身份凭证中的签名信息判断第二访问主体的身份凭证是由自身签发的,则确定第二访问主体的身份合法。
举例来说,第二访问主体为访问主体2,其要访问的服务设备为服务设备A1,访问主体2通过认证设备A获取身份凭证,该身份凭证中包括认证设A的数字证书和签名信息。访问主体2获取身份凭证后再次向服务设备A1发送访问请求,携带自身的身份凭证,服务设备A1向认证设备A发送身份认证请求,认证设备A判断访问主体2的身份凭证的签名信息是自身的签名信息,则判断访问主体2合法。
第二种情况,第二访问主体与其所要访问的服务设备属于不同的域,此时,该方法包括:若根据第二访问主体的身份凭证中的签名信息判断第二访问主体的身份凭证是由其他认证设备签发的,则获取第二访问主体的身份凭证中的数字证书;若通过第二访问主体的身份凭证中的数字证书判断其他认证设备的身份合法,则确定第二访问主体的身份合法。
举例来说,第二访问主体为访问主体2,其要访问的服务设备为服务设备B1,访问主体2通过认证设备A获取身份凭证,该身份凭证中包括认证设A的数字证书和签名信息。访问主体2获取身份凭证后再次向服务设备B1发送访问请求,携带自身的身份凭证,服务设备B1向认证设备B发送身份认证请求,认证设备B判断访问主体2的身份凭证的签名信息不是自身的签名信息,而是认证设备A的签名,则获取认证设备A的数字证书,判断认证设备A是否合法。若判断认证设备A合法,则认可认证设备A为访问主体2签发的身份凭证,即认可访问主体2的合法身份。
本发明通过对每个服务设备,如应用服务器或业务服务器发放数字证书,当用户访问该服务设备所提供的网站时,通过该服务设备所属域的认证设备对该服务设备的合法性进行认证,避免了非法网站对用户的攻击,提高了单点登录系统的安全性。
进一步的,为避免访问设备与认证设备之间传输的数据遭到攻击,以进一步提高跨域单点登录系统的安全性,在认证设备向访问主体发送身份凭证之前,本发明实施例还提供了一种跨域单点登录方法,结合图4,该方法还包括:
在步骤S401中,获取第一访问主体的公钥和第一访问主体支持的多种加密算法。
在步骤S402中,通过预设策略在多种加密算法中选择一种加密算法作为目标加密算法,通过第一访问主体的公钥加密后,将目标加密算法发送至第一访问主体,以使得第一访问主体通过目标加密算法获取通话密钥。
在步骤S403,接收第一访问主体加密后的通话密钥,解密后获得通话密钥。
在步骤S404中,通过通话密钥对第一访问主体的身份凭证进行加密后,发送至第一访问主体。
通过这种方法,访问主体与认证设备之间通过通话密钥进行通话,避免了访问主体与认证设备进行数据传输的过程中数据被篡改的可能性,进一步提高了跨域单点登录系统的安全性。
应理解,上述实施例中各步骤的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本发明实施例的实施过程构成任何限定。
以下为本发明的装置实施例,对于其中未详尽描述的细节,可以参考上述对应的方法实施例。
图5示出了本发明实施例提供的跨域单点登录装置的结构示意图,为了便于说明,仅示出了与本发明实施例相关的部分,详述如下:
如图5所示,跨域单点登录装置5包括:接收模块51和判断模块52;
接收模块51,用于接收访问主体发送的第一访问请求;
判断模块52,用于若第一访问请求中不包含访问主体的身份凭证,则向第一认证设备发送身份认证请求,其中第一认证设备是访问主体所属域的认证设备,以使得第一认证设备获取访问主体的登录信息,并根据访问主体的登录信息对访问主体的身份进行验证,验证通过后向访问主体签发身份凭证;
判断模块52还用于,根据第一访问请求判断是否与访问主体处于同一个域内,若与访问主体处于同一个域内,则身份认证请求中还包含第一数字证书,以使得第一认证设备根据第一数字证书对服务设备的身份进行验证,其中,第一数字证书为服务设备的数字证书。
在一种可能的实现方式中,判断模块52还用于:若与访问主体处于不同的域内,接收访问主体在获取身份凭证后发送的第二访问请求,第二访问请求中包含访问主体的身份凭证;
将访问主体的身份凭证和第一数字证书发送至第二认证设备,以使得第二认证设备对访问主体的身份以及服务设备的身份进行验证,其中,第二认证设备是服务设备所属域的认证设备。
本发明通过对每个服务设备,如应用服务器或业务服务器发放数字证书,当用户访问该服务设备所提供的网站时,通过该服务设备所属域的认证设备对该服务设备的合法性进行认证,避免了非法网站对用户的攻击,提高了单点登录系统的安全性。
本实施例提供的跨域单点登录装置,可用于执行上述图1所对应的跨域单点登录方法实施例,其实现原理和技术效果类似,本实施例此处不再赘述。
图6示出了本发明实施例提供的另一种跨域单点登录装置的结构示意图,为了便于说明,仅示出了与本发明实施例相关的部分,详述如下:
如图6所示,跨域单点登录装置6包括:接收模块61和验证模块62;
接收模块61,用于接收服务设备发送的第一身份认证请求,第一身份认证请求中包含第一数字证书,第一数字证书为服务设备的数字证书;
验证模块62,用于根据第一数字证书对服务设备的身份进行验证,若验证失败,则向请求访问服务设备的第一访问主体发送告警消息,告警消息用于指示第一访问主体服务设备的身份没有通过验证。
在一种可能的实现方式中,第一身份认证请求还用于请求对第一访问主体的身份进行验证,第一访问主体与认证设备属于同一个域,验证模块62还用于:
获取第一访问主体的登录信息,根据登录信息对第一访问主体的身份进行验证;
若验证通过,则向第一访问主体发送身份凭证,第一访问主体的身份凭证包括第二数字证书和签名信息,第二数字证书为认证设备的数字证书。
在一种可能的实现方式中,接收模块61还用于:接收第一访问主体发送的连接请求,将第二数字证书信息发送至第一访问主体,以使得第一访问主体根据第二数字证书信息对认证设备的身份进行验证。
在一种可能的实现方式中,验证模块62还用于:
获取第一访问主体的公钥和第一访问主体支持的多种加密算法;
通过预设策略在多种加密算法中选择一种加密算法作为目标加密算法,通过第一访问主体的公钥加密后,将目标加密算法发送至第一访问主体,以使得第一访问主体通过目标加密算法获取通话密钥;
接收第一访问主体加密后的通话密钥,解密后获得通话密钥;
通过通话密钥对第一访问主体的身份凭证进行加密后,发送至第一访问主体。
在一种可能的实现方式中,接收模块61还用于接收服务设备发送的第二身份认证请求,第二身份认证请求中包含第二访问主体的身份凭证;
验证模块62还用于:获取第二访问主体的身份凭证中的签名信息;
若根据第二访问主体的身份凭证中的签名信息判断第二访问主体的身份凭证是由自身签发的,则确定第二访问主体的身份合法。
在一种可能的实现方式中,验证模块62还用于:若根据第二访问主体的身份凭证中的签名信息判断第二访问主体的身份凭证是由其他认证设备签发的,则获取第二访问主体的身份凭证中的数字证书;
若通过第二访问主体的身份凭证中的数字证书判断其他认证设备的身份合法,则确定第二访问主体的身份合法。
本发明通过对每个服务设备,如应用服务器或业务服务器发放数字证书,当用户访问该服务设备所提供的网站时,通过该服务设备所属域的认证设备对该服务设备的合法性进行认证,避免了非法网站对用户的攻击,提高了单点登录系统的安全性。
本实施例提供的跨域单点登录装置,可用于执行上述图3或图4所对应的跨域单点登录方法实施例,其实现原理和技术效果类似,本实施例此处不再赘述。
图7是本发明一实施例提供的服务设备或认证设备的示意图。如图7所示,该实施例的服务设备或认证设备7包括:处理器70、存储器71以及存储在所述存储器71中并可在所述处理器70上运行的计算机程序72。所述处理器70执行所述计算机程序72时实现上述各个跨域单点登录方法实施例中的步骤,例如图7用于表示服务设备时,实现图1所示的步骤101至步骤103。或者,所述处理器70执行所述计算机程序72时实现上述各装置实施例中各模块/单元的功能,例如当图7用于表示服务设备时,实现图5所示单元51至52的功能。
示例性的,所述计算机程序72可以被分割成一个或多个模块/单元,所述一个或者多个模块/单元被存储在所述存储器71中,并由所述处理器70执行,以完成本发明。所述一个或多个模块/单元可以是能够完成特定功能的一系列计算机程序指令段,该指令段用于描述所述计算机程序72在所述服务设备或认证设备7中的执行过程。
服务设备可以是跨域单点登录系统中的业务服务器、应用服务器等,认证设备可以是跨域单点登录系统中的认证服务器、身份验证服务器等。所述服务设备或认证设备7可包括,但不仅限于,处理器70、存储器71。本领域技术人员可以理解,图7仅仅是服务设备或认证设备7的示例,并不构成对服务设备或认证设备7的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件,例如所述服务设备或认证设备还可以包括输入输出设备、网络接入设备、总线等。
所称处理器70可以是中央处理单元(Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
所述存储器71可以是所述服务设备或认证设备7的内部存储单元,例如服务设备或认证设备7的硬盘或内存。所述存储器71也可以是所述服务设备或认证设备7的外部存储设备,例如所述服务设备或认证设备7上配备的插接式硬盘,智能存储卡(Smart MediaCard,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。进一步地,所述存储器71还可以既包括所述服务设备或认证设备7的内部存储单元也包括外部存储设备。所述存储器71用于存储所述计算机程序以及所述服务设备或认证设备所需的其他程序和数据。所述存储器71还可以用于暂时地存储已经输出或者将要输出的数据。
所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,仅以上述各功能单元、模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能单元、模块完成,即将所述装置的内部结构划分成不同的功能单元或模块,以完成以上描述的全部或者部分功能。实施例中的各功能单元、模块可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中,上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。另外,各功能单元、模块的具体名称也只是为了便于相互区分,并不用于限制本申请的保护范围。上述系统中单元、模块的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述或记载的部分,可以参见其它实施例的相关描述。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
在本发明所提供的实施例中,应该理解到,所揭露的装置/服务设备或认证设备和方法,可以通过其它的方式实现。例如,以上所描述的装置/服务设备或认证设备实施例仅仅是示意性的,例如,所述模块或单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通讯连接可以是通过一些接口,装置或单元的间接耦合或通讯连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实现上述实施例方法中的全部或部分流程,也可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一计算机可读存储介质中,该计算机程序在被处理器执行时,可实现上述各个跨域单点登录方法实施例的步骤。其中,所述计算机程序包括计算机程序代码,所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括:能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、电载波信号、电信信号以及软件分发介质等。需要说明的是,所述计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减,例如在某些司法管辖区,根据立法和专利实践,计算机可读介质不包括是电载波信号和电信信号。
以上所述实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围,均应包含在本发明的保护范围之内。
Claims (10)
1.一种跨域单点登录方法,其特征在于,该方法应用于一种服务设备,包括:
接收访问主体发送的第一访问请求;
若所述第一访问请求中不包含所述访问主体的身份凭证,则向第一认证设备发送身份认证请求,其中所述第一认证设备是所述访问主体所属域的认证设备,以使得所述第一认证设备获取所述访问主体的登录信息,并根据所述访问主体的登录信息对所述访问主体的身份进行验证,验证通过后向所述访问主体签发身份凭证;
根据所述第一访问请求判断是否与所述访问主体处于同一个域内,若与所述访问主体处于同一个域内,则所述身份认证请求中还包含第一数字证书,以使得所述第一认证设备根据所述第一数字证书对所述服务设备的身份进行验证,其中,所述第一数字证书为所述服务设备的数字证书。
2.根据权利要求1所述的方法,其特征在于,该方法还包括:
若与所述访问主体处于不同的域内,接收所述访问主体在获取身份凭证后发送的第二访问请求,所述第二访问请求中包含所述访问主体的身份凭证;
将所述访问主体的身份凭证和所述第一数字证书发送至第二认证设备,以使得所述第二认证设备对所述访问主体的身份以及所述服务设备的身份进行验证,其中,所述第二认证设备是所述服务设备所属域的认证设备。
3.一种跨域单点登录方法,其特征在于,该方法应用于一种认证设备,该方法包括:
接收服务设备发送的第一身份认证请求,所述第一身份认证请求中包含第一数字证书,所述第一数字证书为所述服务设备的数字证书;
根据所述第一数字证书对所述服务设备的身份进行验证,若验证失败,则向请求访问所述服务设备的第一访问主体发送告警消息,所述告警消息用于指示所述第一访问主体所述服务设备的身份没有通过验证。
4.根据权利要求3所述的方法,其特征在于,所述第一身份认证请求还用于请求对所述第一访问主体的身份进行验证,所述第一访问主体与所述认证设备属于同一个域,该方法还包括:
获取所述第一访问主体的登录信息,根据所述登录信息对所述第一访问主体的身份进行验证;
若验证通过,则向所述第一访问主体发送身份凭证,所述第一访问主体的身份凭证包括第二数字证书和签名信息,所述第二数字证书为所述认证设备的数字证书。
5.根据权利要求4所述的方法,其特征在于,在所述获取所述第一访问主体的登录信息之前,该方法还包括:
接收所述第一访问主体发送的连接请求,将所述第二数字证书信息发送至所述第一访问主体,以使得所述第一访问主体根据所述第二数字证书信息对所述认证设备的身份进行验证。
6.根据权利要求4所述的方法,其特征在于,在则向所述第一访问主体发送身份凭证之前,该方法还包括:
获取所述第一访问主体的公钥和所述第一访问主体支持的多种加密算法;
通过预设策略在所述多种加密算法中选择一种加密算法作为目标加密算法,通过所述第一访问主体的公钥加密后,将所述目标加密算法发送至所述第一访问主体,以使得所述第一访问主体通过所述目标加密算法获取通话密钥;
接收所述第一访问主体加密后的通话密钥,解密后获得所述通话密钥;
通过所述通话密钥对所述第一访问主体的身份凭证进行加密后,发送至所述第一访问主体。
7.根据权利要求4所述的方法,其特征在于,该方法还包括:
接收服务设备发送的第二身份认证请求,所述第二身份认证请求中包含第二访问主体的身份凭证;
获取所述第二访问主体的身份凭证中的签名信息;
若根据所述第二访问主体的身份凭证中的签名信息判断所述第二访问主体的身份凭证是由自身签发的,则确定所述第二访问主体的身份合法。
8.根据权利要求7所述的方法,其特征在于,该方法还包括:
若根据所述第二访问主体的身份凭证中的签名信息判断所述第二访问主体的身份凭证是由其他认证设备签发的,则获取所述第二访问主体的身份凭证中的数字证书;
若通过所述第二访问主体的身份凭证中的数字证书判断所述其他认证设备的身份合法,则确定所述第二访问主体的身份合法。
9.一种服务设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如上的权利要求1或2所述方法的步骤。
10.一种认证设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如上的权利要求3至8任一项所述方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111107796.7A CN114024682A (zh) | 2021-09-22 | 2021-09-22 | 跨域单点登录方法、服务设备及认证设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111107796.7A CN114024682A (zh) | 2021-09-22 | 2021-09-22 | 跨域单点登录方法、服务设备及认证设备 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114024682A true CN114024682A (zh) | 2022-02-08 |
Family
ID=80054793
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111107796.7A Pending CN114024682A (zh) | 2021-09-22 | 2021-09-22 | 跨域单点登录方法、服务设备及认证设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114024682A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114900336A (zh) * | 2022-04-18 | 2022-08-12 | 中国航空工业集团公司沈阳飞机设计研究所 | 一种应用系统跨单位安全共享方法及系统 |
-
2021
- 2021-09-22 CN CN202111107796.7A patent/CN114024682A/zh active Pending
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114900336A (zh) * | 2022-04-18 | 2022-08-12 | 中国航空工业集团公司沈阳飞机设计研究所 | 一种应用系统跨单位安全共享方法及系统 |
CN114900336B (zh) * | 2022-04-18 | 2023-07-07 | 中国航空工业集团公司沈阳飞机设计研究所 | 一种应用系统跨单位安全共享方法及系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11831642B2 (en) | Systems and methods for endpoint management | |
US8091120B2 (en) | Adaptive authentication methods, systems, devices, and computer program products | |
CN108684041B (zh) | 登录认证的系统和方法 | |
CN106452782A (zh) | 为终端设备生成安全通信信道的方法和系统 | |
CN104767731A (zh) | 一种Restful移动交易系统身份认证防护方法 | |
WO2018089136A1 (en) | System and method for transparent multi-factor authentication and security posture checking | |
US11424915B2 (en) | Terminal registration system and terminal registration method with reduced number of communication operations | |
CN112235301B (zh) | 访问权限的验证方法、装置和电子设备 | |
CN114021103A (zh) | 基于身份认证的单点登录方法、装置、终端及存储介质 | |
CN107040501B (zh) | 基于平台即服务的认证方法和装置 | |
CN110572392A (zh) | 一种基于Hyperledger网络的身份认证方法 | |
CN114024682A (zh) | 跨域单点登录方法、服务设备及认证设备 | |
CN112699404A (zh) | 一种校验权限的方法、装置、设备及存储介质 | |
CN108900595B (zh) | 访问云存储服务器数据的方法、装置、设备及计算介质 | |
Tiwari et al. | Design and Implementation of Enhanced Security Algorithm for Hybrid Cloud using Kerberos | |
CN111538973A (zh) | 基于国密算法的个人授权访问控制系统 | |
CN112738005A (zh) | 访问处理方法、装置、系统、第一认证服务器及存储介质 | |
CN105743883B (zh) | 一种网络应用的身份属性获取方法及装置 | |
WO2021170049A1 (zh) | 一种访问行为的记录方法、装置 | |
CN113468591A (zh) | 数据访问方法、系统、电子设备及计算机可读存储介质 | |
CN113591053A (zh) | 通用性的移动设备基于生物信息的识别方法及系统 | |
KR101936941B1 (ko) | 생체인증을 이용한 전자결재 시스템, 방법 및 프로그램 | |
CN112333173B (zh) | 基于数据提供方的数据传送方法、系统、设备及存储介质 | |
CN113556365B (zh) | 认证结果数据传输系统、方法及装置 | |
CN110532741B (zh) | 个人信息授权方法、认证中心及服务提供方 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |