CN114090996A - 多方系统互信认证方法及装置 - Google Patents
多方系统互信认证方法及装置 Download PDFInfo
- Publication number
- CN114090996A CN114090996A CN202111397556.5A CN202111397556A CN114090996A CN 114090996 A CN114090996 A CN 114090996A CN 202111397556 A CN202111397556 A CN 202111397556A CN 114090996 A CN114090996 A CN 114090996A
- Authority
- CN
- China
- Prior art keywords
- browser
- fingerprint information
- information
- sending
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/32—User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/41—User authentication where a single sign-on provides access to a plurality of computers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种多方系统互信认证方法及装置,涉及云计算技术领域,该方法包括:提取用户登录第一系统时所处时间段的第一浏览器指纹信息;所述第一系统用于向第二系统发送请求授权令牌的申请信息;所述第二系统用于在批准所述申请信息后,将授权令牌,发送至第一系统;加载第一系统发送的定向链接,并通过定向链接将访问请求发送至第二系统;提取将访问请求发送至第二系统时的第二浏览器指纹信息;将第二浏览器指纹信息,发送至第二系统;所述第二系统还用于在确定第一浏览器指纹信息和第二浏览器指纹信息匹配时,授权访问请求,确认第一系统和第二系统的互信认证通过。本发明可提升多方系统间的互信认证的安全性和普适性。
Description
技术领域
本发明涉及云计算技术领域,尤其涉及多方系统互信认证方法及装置。
背景技术
本部分旨在为权利要求书中陈述的本发明实施例提供背景或上下文。此处的描述不因为包括在本部分中就承认是现有技术。
面向公众的Web服务,大多依赖多家供应商的系统间的共同协作才可完成。现阶段,一般采用基于单点登录(Single Sign-On,简称SSO)模型,来实现系统间的互信认证。
上述广泛使用的单点登录模型,可解决用户一次登录就能访问其他授权的互信应用系统的问题。但是,单点登录模型采用集中的统一的认证管理,需要多方系统间共享用户信息,由于某些第三方系统间用户体系差距较大,因此并不适用于松耦合的多个第三方应用系统互信场景,具有局限性;此外,因需要多系统间频繁地共享用户信息,也不利于保护用户隐私,而且上述信息共享的过程也难以保证安全性。
发明内容
本发明实施例提供一种多方系统互信认证方法,应用于浏览器端,用以提升多方系统间的互信认证的安全性和普适性,该方法包括:
接收:用户在第一系统的页面中,输入的对第二系统的访问请求;
提取用户登录第一系统时所处时间段的第一浏览器指纹信息;将第一浏览器指纹信息,经第一系统发送至第二系统;所述第一系统用于向第二系统发送请求授权令牌的申请信息;所述第二系统用于在批准所述申请信息后,将授权令牌,发送至第一系统;所述第一系统用于生成携带有授权令牌的定向链接;所述定向链接用于跳转至第二系统的页面;
加载第一系统发送的定向链接,并通过定向链接将访问请求发送至第二系统;
提取将访问请求发送至第二系统时的第二浏览器指纹信息;将第二浏览器指纹信息,发送至第二系统;所述第二系统还用于在确定第一浏览器指纹信息和第二浏览器指纹信息匹配时,授权访问请求,确认第一系统和第二系统的互信认证通过;
在第二系统授权访问请求后,显示第二系统的页面。
本发明实施例还提供一种多方系统互信认证装置,应用于浏览器端,用以提升多方系统间的互信认证的安全性和普适性,该装置包括:
访问请求接收模块,用于接收:用户在第一系统的页面中,输入的对第二系统的访问请求;
第一浏览器指纹信息提取模块,用于提取用户登录第一系统时所处时间段的第一浏览器指纹信息;将第一浏览器指纹信息,经第一系统发送至第二系统;所述第一系统用于向第二系统发送请求授权令牌的申请信息;所述第二系统用于在批准所述申请信息后,将授权令牌,发送至第一系统;所述第一系统用于生成携带有授权令牌的定向链接;所述定向链接用于跳转至第二系统的页面;
定向链接加载模块,用于加载第一系统发送的定向链接,并通过定向链接将访问请求发送至第二系统;
第二浏览器指纹信息提取模块,用于提取将访问请求发送至第二系统时的第二浏览器指纹信息;将第二浏览器指纹信息,发送至第二系统;所述第二系统还用于在确定第一浏览器指纹信息和第二浏览器指纹信息匹配时,授权访问请求,确认第一系统和第二系统的互信认证通过;
第二系统页面显示模块,用于在第二系统授权访问请求后,显示第二系统的页面。
本发明实施例还提供一种多方系统互信认证方法,应用于第一系统,用以提升多方系统间的互信认证的安全性和普适性,该方法包括:
在确认用户有权限登录第一系统时,授权用户对第一系统的登录请求;
接收并发出用户在第一系统的页面中,输入的对第二系统的访问请求;
接收浏览器提取的用户登录第一系统时所处时间段的第一浏览器指纹信息,并转发至第二系统;
向第二系统发送请求授权令牌的申请信息;所述第二系统用于在批准所述申请信息后,将授权令牌,发送至第一系统;
根据从第二系统接收的授权令牌,生成并发出携带有授权令牌的定向链接;所述定向链接用于供浏览器跳转至第二系统的页面;所述浏览器还用于:提取将访问请求发送至第二系统时的第二浏览器指纹信息;将第二浏览器指纹信息,发送至第二系统;所述第二系统还用于在确定第一浏览器指纹信息和第二浏览器指纹信息匹配时,授权访问请求,确认第一系统和第二系统的互信认证通过;在第二系统授权访问请求后,显示第二系统的页面。
本发明实施例还提供一种多方系统互信认证装置,应用于第一系统,用以提升多方系统间的互信认证的安全性和普适性,该装置包括:
登录请求授权模块,用于在确认用户有权限登录第一系统时,授权用户对第一系统的登录请求;
访问请求接收模块,用于接收并发出用户在第一系统的页面中,输入的对第二系统的访问请求;
第一浏览器指纹信息转发模块,用于接收浏览器提取的用户登录第一系统时所处时间段的第一浏览器指纹信息,并转发至第二系统;
申请信息发送模块,用于向第二系统发送请求授权令牌的申请信息;所述第二系统用于在批准所述申请信息后,将授权令牌,发送至第一系统;
定向链接生成模块,用于根据从第二系统接收的授权令牌,生成并发出携带有授权令牌的定向链接;所述定向链接用于供浏览器跳转至第二系统的页面;所述浏览器还用于:提取将访问请求发送至第二系统时的第二浏览器指纹信息;将第二浏览器指纹信息,发送至第二系统;所述第二系统还用于在确定第一浏览器指纹信息和第二浏览器指纹信息匹配时,授权访问请求,确认第一系统和第二系统的互信认证通过;在第二系统授权访问请求后,显示第二系统的页面。
本发明实施例还提供一种多方系统互信认证方法,应用于第二系统,用以提升多方系统间的互信认证的安全性和普适性,该方法包括:
接收浏览器端提取的、并经第一系统转发的第一浏览器指纹信息;所述浏览器端用于接收:用户在第一系统的页面中,输入的对第二系统的访问请求;提取用户登录第一系统时所处时间段的第一浏览器指纹信息;将第一浏览器指纹信息,经第一系统进行转发;所述第一系统用于向第二系统发送请求授权令牌的申请信息;
对从第一系统接收的申请信息进行验证,在验证通过时,将授权令牌,发送至第一系统;所述第一系统用于生成携带有授权令牌的定向链接;所述定向链接用于跳转至第二系统的页面;所述浏览器端还用于:加载第一系统发送的定向链接,并通过定向链接将访问请求发送至第二系统;提取将访问请求发送至第二系统时的第二浏览器指纹信息;
接收浏览器端发送的第二浏览器指纹信息;
在确定第一浏览器指纹信息和第二浏览器指纹信息匹配时,授权访问请求,确认第一系统和第二系统的互信认证通过;所述浏览器端还用于在第二系统授权访问请求后,显示第二系统的页面。
本发明实施例还提供一种多方系统互信认证装置,应用于第二系统,用以提升多方系统间的互信认证的安全性和普适性,该装置包括:
第一系统通信模块,用于接收浏览器端提取的、并经第一系统转发的第一浏览器指纹信息;所述浏览器端用于接收:用户在第一系统的页面中,输入的对第二系统的访问请求;提取用户登录第一系统时所处时间段的第一浏览器指纹信息;将第一浏览器指纹信息,经第一系统进行转发;所述第一系统用于向第二系统发送请求授权令牌的申请信息;
申请信息验证模块,用于对从第一系统接收的申请信息进行验证,在验证通过时,将授权令牌,发送至第一系统;所述第一系统用于生成携带有授权令牌的定向链接;所述定向链接用于跳转至第二系统的页面;所述浏览器端还用于:加载第一系统发送的定向链接,并通过定向链接将访问请求发送至第二系统;提取将访问请求发送至第二系统时的第二浏览器指纹信息;
浏览器端通信模块,用于接收浏览器端发送的第二浏览器指纹信息;
指纹信息匹配模块,用于在确定第一浏览器指纹信息和第二浏览器指纹信息匹配时,授权访问请求,确认第一系统和第二系统的互信认证通过;所述浏览器端还用于在第二系统授权访问请求后,显示第二系统的页面。
本发明实施例还提供一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述多方系统互信认证方法。
本发明实施例还提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现上述多方系统互信认证方法。
本发明实施例还提供一种计算机程序产品,所述计算机程序产品包括计算机程序,所述计算机程序被处理器执行时实现上述多方系统互信认证方法。
本发明实施例中,接收:用户在第一系统的页面中,输入的对第二系统的访问请求;提取用户登录第一系统时所处时间段的第一浏览器指纹信息;将第一浏览器指纹信息,经第一系统发送至第二系统;所述第一系统用于向第二系统发送请求授权令牌的申请信息;所述第二系统用于在批准所述申请信息后,将授权令牌,发送至第一系统;所述第一系统用于生成携带有授权令牌的定向链接;所述定向链接用于跳转至第二系统的页面;加载第一系统发送的定向链接,并通过定向链接将访问请求发送至第二系统;提取将访问请求发送至第二系统时的第二浏览器指纹信息;将第二浏览器指纹信息,发送至第二系统;所述第二系统还用于在确定第一浏览器指纹信息和第二浏览器指纹信息匹配时,授权访问请求,确认第一系统和第二系统的互信认证通过;在第二系统授权访问请求后,显示第二系统的页面,与现有技术中基于单点登录模型实现系统间互信认证的技术方案相比,通过第一系统和第二系统间授权令牌的交互,可有效实现多方系统间的互信认证,解决了现有技术下系统间互信认证需共享身份信息而易造成的用户隐私泄露问题,有利于保护用户隐私,保证了用户的信息安全;同时,因不再需要集中统一认证管理,从而可适用于松耦合的多个第三方应用系统互信场景,普适性高;进一步的,可通过浏览器指纹信息的提取,有助于验证不同系统的登录操作是否为同一用户和同一浏览器,有效保障了多方系统间互信认证的安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。在附图中:
图1为本发明实施例中一种多方系统互信认证方法的流程示意图;
图2为本发明实施例中一种多方系统互信认证装置的结构示意图;
图3为本发明实施例中一种多方系统互信认证方法的流程示意图;
图4为本发明实施例中一种多方系统互信认证装置的结构示意图;
图5为本发明实施例中一种多方系统互信认证方法的流程示意图;
图6为本发明实施例中一种多方系统互信认证装置的结构示意图;
图7为本发明实施例中一种多方系统互信认证方法的具体示例图;
图8为本发明实施例中一种多方系统互信认证方法的具体示例图;
图9为本发明实施例中一种多方系统互信认证方法的具体示例图;
图10为本发明实施例中用于多方系统互信认证的计算机设备示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚明白,下面结合附图对本发明实施例做进一步详细说明。在此,本发明的示意性实施例及其说明用于解释本发明,但并不作为对本发明的限定。
本发明实施例涉及下列名词,如下进行解释:
互信认证:随着互联网的发展,银行等企业提供的面向公众的互联网服务经常需要由多家供应商的系统共同协作完成的,用户经常需要从已登录的系统A(下文称之为原系统A)的页面访问其他系统B(下文称之为目标互信系统)提供的服务,为了实现这些系统服务对当前用户的身份及操作权限进行验证的需求,需要原系统A和目标互信系统之间通过交互协作,以确认用户身份及操作权限,即互信认证。
浏览器指纹信息:是一种通过使用多维信息对浏览器进行描述并定位的技术。该技术会用浏览器提供给开发者的接口直接或间接的对浏览器信息进行提取,如浏览器插件、字体、时区、操作系统、图像绘制特征提取等,在不同使用者的不同浏览器上,这些信息都有一些差别,两种信息完全相同的概率很小,当指纹信息不同时,可以判断不是来自于同一个浏览器。
目前,越来越多面向公众的Web服务依赖多家供应商的系统共同协作完成,设计一种适用于开放平台环境下的互信系统间的身份认证方式具有十分重要的现实意义。目前广泛使用的单点登录(Single Sign-On,简称SSO)模型,解决了用户一次登录就能访问其他授权的互信应用系统的问题。但是,单点登录模型采用集中的统一的认证管理,需要多方系统间共享用户信息,由于某些第三方系统间用户体系差距较大,因此并不适用于松耦合的多个第三方应用系统互信场景。
上述广泛使用的单点登录模型,可解决用户一次登录就能访问其他授权的互信应用系统的问题。但是,单点登录模型采用集中的统一的认证管理,需要多方系统间共享用户信息,由于某些第三方系统间用户体系差距较大,因此并不适用于松耦合的多个第三方应用系统互信场景,具有局限性;此外,因需要多系统间频繁地共享用户信息,也不利于保护用户隐私,而且上述信息共享的过程也难以保证安全性。
为了解决上述问题,本发明实施例提供一种多方系统互信认证方法,应用于浏览器端,用以提升多方系统间的互信认证的安全性和普适性,如图1所示,该方法包括:
步骤101:接收:用户在第一系统的页面中,输入的对第二系统的访问请求;
步骤102:提取用户登录第一系统时所处时间段的第一浏览器指纹信息;将第一浏览器指纹信息,经第一系统发送至第二系统;上述第一系统用于向第二系统发送请求授权令牌的申请信息;上述第二系统用于在批准上述申请信息后,将授权令牌,发送至第一系统;上述第一系统用于生成携带有授权令牌的定向链接;上述定向链接用于跳转至第二系统的页面;
步骤103:加载第一系统发送的定向链接,并通过定向链接将访问请求发送至第二系统;
步骤104:提取将访问请求发送至第二系统时的第二浏览器指纹信息;将第二浏览器指纹信息,发送至第二系统;上述第二系统还用于在确定第一浏览器指纹信息和第二浏览器指纹信息匹配时,授权访问请求,确认第一系统和第二系统的互信认证通过;
步骤105:在第二系统授权访问请求后,显示第二系统的页面。
具体实施时,首先接收:用户在第一系统的页面中,输入的对第二系统的访问请求。
实施例中,第一系统可为用户当前在浏览器端已登录的系统,第二系统可为用户在当前第一系统的页面中所点击的欲登录的其他系统,即目标互信系统。
具体实施时,在接收:用户在第一系统的页面中,输入的对第二系统的访问请求后,提取用户登录第一系统时所处时间段的第一浏览器指纹信息;将第一浏览器指纹信息,经第一系统发送至第二系统;上述第一系统用于向第二系统发送请求授权令牌的申请信息;上述第二系统用于在批准上述申请信息后,将授权令牌,发送至第一系统;上述第一系统用于生成携带有授权令牌的定向链接;上述定向链接用于跳转至第二系统的页面。
实施例中,将第一浏览器指纹信息,经第一系统发送至第二系统,可以包括:
生成对应第一浏览器指纹信息的二进制序列;
将对应第一浏览器指纹信息的二进制序列,经第一系统发送至第二系统。
在上述实施例中,上述第一浏览器指纹信息包括用户身份信息;
上述第一系统还用于:根据用户信息,确定该用户是否有权限访问第二系统;在确定用户有权限访问第二系统时,向第二系统请求授权令牌;在确定用户无权限访问第二系统时,发出用户无权限访问第二系统的告警信息;
上述多方系统互信认证,还可以包括:
接收并展示第一系统发出的告警信息。
在一个实施例中,上述提取第一浏览器指纹信息的步骤,可在用户的浏览器中运行,提取的浏览器指纹信息可以包括用户的身份令牌信息和浏览器指纹特征,其中,浏览器指纹特征可以包括浏览器版本信息、操作系统信息、网络地址、语言、屏幕色彩深度、屏幕分辨率、是否支持HTML5的一些特性、插件、Canvas指纹、WebGL指纹、字体、声纹等共43种能够标识访问者身份信息的指纹特征。
其中,Canvas指纹和WebGL指纹是对浏览器绘图能力的指纹信息提取。Canvas为基础的绘图功能,可使用该功能制作一些简单的绘图功能,不同浏览器的绘制结果将会不同,因此Canvas指纹可作为标识浏览器的指纹信息之一。
WebGL指纹是基于Canvas的一种绘图操作,它可以进行更更复杂的图像绘制功能,由于WebGL的引擎版本信息以及绘制结果在不同浏览器中结果不同,因此该信息也可以作为标识浏览器的指纹信息之一。
在上述实施例中,由于提取到的浏览器指纹信息是多维的,为了方便在后续步骤中判断两个浏览器指纹是否是同一个浏览器,可采用二进制转化算法,将上述多维的浏览器指纹信息,转换成一个二进制序列,且该二进制序列应该满足不容易伪造的条件。
现有技术下还存在一种方法实现系统间的互信认证,如基于OAuth2.0协议的认证方式,旨在解决用户、服务提供方和第三方应用三者之间的授权关系。其授权过程如下:
1.用户需要从当前系统页面访问第三方系统;
2.第三方系统需要向服务提供方请求临时令牌;
3.第三方系统获取此临时令牌后,用户被引导至服务提供方的授权页面;
4.授权成功后,用户被引导至第三方应用网站提供的返回地址;
5.第三方应用使用从服务提供方获取的临时令牌向服务提供方换取访问令牌;
6.服务提供方此时根据第三方应用提交的临时令牌和用户授权情况,对第三方应用授予相应的访问令牌
7.第三方应用携带从服务提供方获取的访问令牌,返回可操作的用户资源。
可见,OAuth2.0协议解决的问题是:用户允许第三方系统访问用户存放在服务提供方的资源。而多方系统互信认证方法需要解决的问题是:互信系统允许服务提供方的用户访问互信应用的资源。二者的目的并不相同。另一方面,依赖令牌进行身份验证,用户重定向第三方应用返回的新地址时,如果将新地址转发给他人或者被恶意第三方拦截,不能完全保证操作者及操作场景来自同一个用户,对于安全要求高的服务(如转账付款等),存在较高安全风险。
为了解决上述问题,本发明实施例在具体实施时,在提取用户登录第一系统时所处时间段的第一浏览器指纹信息;将第一浏览器指纹信息,经第一系统发送至第二系统后,加载第一系统发送的定向链接,并通过定向链接将访问请求发送至第二系统;提取将访问请求发送至第二系统时的第二浏览器指纹信息;将第二浏览器指纹信息,发送至第二系统;上述第二系统还用于在确定第一浏览器指纹信息和第二浏览器指纹信息匹配时,授权访问请求,确认第一系统和第二系统的互信认证通过。
实施例中,上述第二系统还用于:接收浏览器端经定向链接发送的访问请求所携带的授权令牌;对访问请求所携带的授权令牌进行有效性验证,在有效性验证通过时,发出提取第二浏览器指纹信息的通知信息;
提取第二浏览器指纹信息,可以包括:
在接收到第二系统发送的上述通知信息时,提取第二浏览器指纹信息。
在上述实施例中,上述第二系统还用于:在对授权令牌进行的有效性验证未通过时,发出访问请求所携带的授权令牌已失效的告警信息,并中止第一系统和第二系统的互信认证;
上述多方系统互信认证,还可以包括:
接收并展示第二系统发出的告警信息。
在上述实施例中,通过第一系统和第二系统间授权令牌的交互,可有效实现多方系统间的互信认证,解决了现有技术下系统间互信认证需共享身份信息而易造成的用户隐私泄露问题,有利于保护用户隐私,保证了用户的信息安全。
对比现有技术下基于OAuth2.0协议的认证方式实现系统间互信认证的方案相比,上述认证方案需要一个统一的互信认证系统,所有系统均需要与互信认证系统建立连接,对于第三方系统则存在改造难度大、实施风险高的问题。而依赖令牌的校验方式,并对令牌有效期有一定限制,可以保护用户名密码等敏感信息不在系统间传递。但互信跳转链接及令牌仍存在被转发或拦截的风险,对于安全性较高的应用,无法确保互信链接跳转由同一个操作者在同一个操作设备上进行。而本发明实施例因不再需要集中统一认证管理,从而可适用于松耦合的多个第三方应用系统互信场景,普适性高,因不需要设置统一的认证系统,互信系统之间建立安全通道绑定可信域,系统间互信在令牌的基础上,增加对浏览器指纹的验证,确保系统之间的互信链接跳转必须由同一个操作者在同一个操作设备上进行,保证安全性。
具体实施时,在提取将访问请求发送至第二系统时的第二浏览器指纹信息;将第二浏览器指纹信息,发送至第二系统后,在第二系统授权访问请求后,显示第二系统的页面。
在上述实施例中,可通过浏览器指纹信息的提取,有助于验证不同系统的登录操作是否为同一用户和同一浏览器,有效保障了多方系统间互信认证的安全性。
本发明实施例中,接收:用户在第一系统的页面中,输入的对第二系统的访问请求;提取用户登录第一系统时所处时间段的第一浏览器指纹信息;将第一浏览器指纹信息,经第一系统发送至第二系统;上述第一系统用于向第二系统发送请求授权令牌的申请信息;上述第二系统用于在批准上述申请信息后,将授权令牌,发送至第一系统;上述第一系统用于生成携带有授权令牌的定向链接;上述定向链接用于跳转至第二系统的页面;加载第一系统发送的定向链接,并通过定向链接将访问请求发送至第二系统;提取将访问请求发送至第二系统时的第二浏览器指纹信息;将第二浏览器指纹信息,发送至第二系统;上述第二系统还用于在确定第一浏览器指纹信息和第二浏览器指纹信息匹配时,授权访问请求,确认第一系统和第二系统的互信认证通过;在第二系统授权访问请求后,显示第二系统的页面,与现有技术中基于单点登录模型实现系统间互信认证的技术方案相比,通过第一系统和第二系统间授权令牌的交互,可有效实现多方系统间的互信认证,解决了现有技术下系统间互信认证需共享身份信息而易造成的用户隐私泄露问题,有利于保护用户隐私,保证了用户的信息安全;同时,因不再需要集中统一认证管理,从而可适用于松耦合的多个第三方应用系统互信场景,普适性高;进一步的,可通过浏览器指纹信息的提取,有助于验证不同系统的登录操作是否为同一用户和同一浏览器,有效保障了多方系统间互信认证的安全性。
对比现有技术下依赖于cookie进行系统间互信认证方案相比,现有技术可在同一个域下(两个页面协议、域名、端口均相同),在第一个系统页面中返回一个cookie,在第二个页面中携带该cookie进行验证,保证是同一个浏览器。但是cookie在浏览器端可以被禁用,且无法解决跨域的问题。而本发明实施例提供的方法,可应用于带浏览器指纹验证的多方系统间的互信认证,在使用授权令牌认证的基础上,通过浏览器指纹识别技术的应用,达到对操作用户及场景(浏览器)进行辅助验证的目的,因不需要统一的认证中心,不需要多方系统在同一个域下,不依赖浏览器cookie且支持跨域,有效地实现了针对同一个用户在多个信息交互系统的相互信任体系。
本发明实施例中还提供了一种多方系统互信认证装置,如下面的实施例上述。由于该装置解决问题的原理与多方系统互信认证方法相似,因此该装置的实施可以参见多方系统互信认证方法的实施,重复之处不再赘述。
本发明实施例还提供一种多方系统互信认证装置,应用于浏览器端,用以提升多方系统间的互信认证的安全性和普适性,如图2所示,该装置包括:
访问请求接收模块201,用于接收:用户在第一系统的页面中,输入的对第二系统的访问请求;
第一浏览器指纹信息提取模块202,用于提取用户登录第一系统时所处时间段的第一浏览器指纹信息;将第一浏览器指纹信息,经第一系统发送至第二系统;上述第一系统用于向第二系统发送请求授权令牌的申请信息;上述第二系统用于在批准上述申请信息后,将授权令牌,发送至第一系统;上述第一系统用于生成携带有授权令牌的定向链接;上述定向链接用于跳转至第二系统的页面;
定向链接加载模块203,用于加载第一系统发送的定向链接,并通过定向链接将访问请求发送至第二系统;
第二浏览器指纹信息提取模块204,用于提取将访问请求发送至第二系统时的第二浏览器指纹信息;将第二浏览器指纹信息,发送至第二系统;上述第二系统还用于在确定第一浏览器指纹信息和第二浏览器指纹信息匹配时,授权访问请求,确认第一系统和第二系统的互信认证通过;
第二系统页面显示模块205,用于在第二系统授权访问请求后,显示第二系统的页面。
在一个实施例中,第一浏览器指纹信息提取模块,具体用于:
生成对应第一浏览器指纹信息的二进制序列;
将对应第一浏览器指纹信息的二进制序列,经第一系统发送至第二系统。
在一个实施例中,上述第一浏览器指纹信息包括用户身份信息;
上述第一系统还用于:根据用户信息,确定该用户是否有权限访问第二系统;在确定用户有权限访问第二系统时,向第二系统请求授权令牌;在确定用户无权限访问第二系统时,发出用户无权限访问第二系统的告警信息;
上述装置,还可以包括,第一系统告警信息接收展示模块,用于:
接收并展示第一系统发出的告警信息。
在一个实施例中,上述第二系统还用于:接收浏览器端经定向链接发送的访问请求所携带的授权令牌;对访问请求所携带的授权令牌进行有效性验证,在有效性验证通过时,发出提取第二浏览器指纹信息的通知信息;
第二浏览器指纹信息提取模块,用于:
在接收到第二系统发送的上述通知信息时,提取第二浏览器指纹信息。
在一个实施例中,上述第二系统还用于:在对授权令牌进行的有效性验证未通过时,发出访问请求所携带的授权令牌已失效的告警信息,并中止第一系统和第二系统的互信认证;
上述装置,还可以包括,第二系统告警信息接收展示模块,用于:
接收并展示第二系统发出的告警信息。
本发明实施例还提供一种多方系统互信认证方法,应用于第一系统,用以提升多方系统间的互信认证的安全性和普适性,如图3所示,该方法包括:
步骤301:在确认用户有权限登录第一系统时,授权用户对第一系统的登录请求;
步骤302:接收并发出用户在第一系统的页面中,输入的对第二系统的访问请求;
步骤303:接收浏览器提取的用户登录第一系统时所处时间段的第一浏览器指纹信息,并转发至第二系统;
步骤304:向第二系统发送请求授权令牌的申请信息;上述第二系统用于在批准上述申请信息后,将授权令牌,发送至第一系统;
步骤305:根据从第二系统接收的授权令牌,生成并发出携带有授权令牌的定向链接;上述定向链接用于供浏览器跳转至第二系统的页面;上述浏览器还用于:提取将访问请求发送至第二系统时的第二浏览器指纹信息;将第二浏览器指纹信息,发送至第二系统;上述第二系统还用于在确定第一浏览器指纹信息和第二浏览器指纹信息匹配时,授权访问请求,确认第一系统和第二系统的互信认证通过;在第二系统授权访问请求后,显示第二系统的页面。
本发明实施例中,在确认用户有权限登录第一系统时,授权用户对第一系统的登录请求;接收并发出用户在第一系统的页面中,输入的对第二系统的访问请求;接收浏览器提取的用户登录第一系统时所处时间段的第一浏览器指纹信息,并转发至第二系统;向第二系统发送请求授权令牌的申请信息;所述第二系统用于在批准所述申请信息后,将授权令牌,发送至第一系统;根据从第二系统接收的授权令牌,生成并发出携带有授权令牌的定向链接;所述定向链接用于供浏览器跳转至第二系统的页面;所述浏览器还用于:提取将访问请求发送至第二系统时的第二浏览器指纹信息;将第二浏览器指纹信息,发送至第二系统;所述第二系统还用于在确定第一浏览器指纹信息和第二浏览器指纹信息匹配时,授权访问请求,确认第一系统和第二系统的互信认证通过;在第二系统授权访问请求后,显示第二系统的页面,与现有技术中基于单点登录模型实现系统间互信认证的技术方案相比,通过第一系统和第二系统间授权令牌的交互,可有效实现多方系统间的互信认证,解决了现有技术下系统间互信认证需共享身份信息而易造成的用户隐私泄露问题,有利于保护用户隐私,保证了用户的信息安全;同时,因不再需要集中统一认证管理,从而可适用于松耦合的多个第三方应用系统互信场景,普适性高;进一步的,可通过浏览器指纹信息的提取,有助于验证不同系统的登录操作是否为同一用户和同一浏览器,有效保障了多方系统间互信认证的安全性。
具体实施时,上述浏览器还用于:生成对应第一浏览器指纹信息的二进制序列;
接收浏览器提取的第一浏览器指纹信息,并转发至第二系统,可以包括:
接收浏览器生成的对应第一浏览器指纹信息的二进制序列,并转发至第二系统。
具体实施时,上述第一浏览器指纹信息包括用户身份信息;
上述多方系统互信认证,还可以包括:
根据用户信息,确定该用户是否有权限访问第二系统;在确定用户有权限访问第二系统时,向第二系统请求授权令牌;
在确定用户无权限访问第二系统时,发出用户无权限访问第二系统的告警信息;
上述浏览器,还用于:
接收并展示第一系统发出的通知信息或告警信息。
本发明实施例还提供一种多方系统互信认证装置,应用于第一系统,用以提升多方系统间的互信认证的安全性和普适性,如图4所示,该装置包括:
登录请求授权模块401,用于在确认用户有权限登录第一系统时,授权用户对第一系统的登录请求;
访问请求接收模块402,用于接收并发出用户在第一系统的页面中,输入的对第二系统的访问请求;
第一浏览器指纹信息转发模块403,用于接收浏览器提取的用户登录第一系统时所处时间段的第一浏览器指纹信息,并转发至第二系统;
申请信息发送模块404,用于向第二系统发送请求授权令牌的申请信息;上述第二系统用于在批准上述申请信息后,将授权令牌,发送至第一系统;
定向链接生成模块405,用于根据从第二系统接收的授权令牌,生成并发出携带有授权令牌的定向链接;上述定向链接用于供浏览器跳转至第二系统的页面;上述浏览器还用于:提取将访问请求发送至第二系统时的第二浏览器指纹信息;将第二浏览器指纹信息,发送至第二系统;上述第二系统还用于在确定第一浏览器指纹信息和第二浏览器指纹信息匹配时,授权访问请求,确认第一系统和第二系统的互信认证通过;在第二系统授权访问请求后,显示第二系统的页面。
在一个实施例中,上述浏览器还用于:生成对应第一浏览器指纹信息的二进制序列;
第一浏览器指纹信息转发模块,具体用于:
接收浏览器生成的对应第一浏览器指纹信息的二进制序列,并转发至第二系统。
在一个实施例中,上述第一浏览器指纹信息包括用户身份信息;
上述装置,还可以包括,用户权限确定模块,用于:
根据用户信息,确定该用户是否有权限访问第二系统;在确定用户有权限访问第二系统时,向第二系统请求授权令牌;
在确定用户无权限访问第二系统时,发出用户无权限访问第二系统的告警信息;
上述浏览器,还用于:
接收并展示第一系统发出的通知信息或告警信息。
本发明实施例还提供一种多方系统互信认证方法,应用于第二系统,用以提升多方系统间的互信认证的安全性和普适性,如图5所示,该方法包括:
步骤501:接收浏览器端提取的、并经第一系统转发的第一浏览器指纹信息;上述浏览器端用于接收:用户在第一系统的页面中,输入的对第二系统的访问请求;提取用户登录第一系统时所处时间段的第一浏览器指纹信息;将第一浏览器指纹信息,经第一系统进行转发;上述第一系统用于向第二系统发送请求授权令牌的申请信息;
步骤502:对从第一系统接收的申请信息进行验证,在验证通过时,将授权令牌,发送至第一系统;上述第一系统用于生成携带有授权令牌的定向链接;上述定向链接用于跳转至第二系统的页面;上述浏览器端还用于:加载第一系统发送的定向链接,并通过定向链接将访问请求发送至第二系统;提取将访问请求发送至第二系统时的第二浏览器指纹信息;
步骤503:接收浏览器端发送的第二浏览器指纹信息;
步骤504:在确定第一浏览器指纹信息和第二浏览器指纹信息匹配时,授权访问请求,确认第一系统和第二系统的互信认证通过;上述浏览器端还用于在第二系统授权访问请求后,显示第二系统的页面。
本发明实施例中,接收浏览器端提取的、并经第一系统转发的第一浏览器指纹信息;所述浏览器端用于接收:用户在第一系统的页面中,输入的对第二系统的访问请求;提取用户登录第一系统时所处时间段的第一浏览器指纹信息;将第一浏览器指纹信息,经第一系统进行转发;所述第一系统用于向第二系统发送请求授权令牌的申请信息;对从第一系统接收的申请信息进行验证,在验证通过时,将授权令牌,发送至第一系统;所述第一系统用于生成携带有授权令牌的定向链接;所述定向链接用于跳转至第二系统的页面;所述浏览器端还用于:加载第一系统发送的定向链接,并通过定向链接将访问请求发送至第二系统;提取将访问请求发送至第二系统时的第二浏览器指纹信息;接收浏览器端发送的第二浏览器指纹信息;在确定第一浏览器指纹信息和第二浏览器指纹信息匹配时,授权访问请求,确认第一系统和第二系统的互信认证通过;所述浏览器端还用于在第二系统授权访问请求后,显示第二系统的页面,与现有技术中基于单点登录模型实现系统间互信认证的技术方案相比,通过第一系统和第二系统间授权令牌的交互,可有效实现多方系统间的互信认证,解决了现有技术下系统间互信认证需共享身份信息而易造成的用户隐私泄露问题,有利于保护用户隐私,保证了用户的信息安全;同时,因不再需要集中统一认证管理,从而可适用于松耦合的多个第三方应用系统互信场景,普适性高;进一步的,可通过浏览器指纹信息的提取,有助于验证不同系统的登录操作是否为同一用户和同一浏览器,有效保障了多方系统间互信认证的安全性。
在上述实施例中,如图9所示,第二系统生成授权令牌,可采用多种方式用于令牌的发放和验证,如发送一个唯一的随机数作为令牌,或者经过密钥加密的字符串作为令牌等,在后续步骤中可利用保存在认证服务器端的令牌,或者经过对应的密钥解密的令牌来验证认证对象所提交的令牌是否有效。
具体实施时,上述浏览器端还用于生成对应第一浏览器指纹信息的二进制序列;
接收浏览器端提取的、并经第一系统转发的第一浏览器指纹信息,可以包括:
接收浏览器端提取的、并经第一系统转发的对应第一浏览器指纹信息的二进制序列。
在上述实施例中,在上述实施例中,由于提取到的浏览器指纹信息是多维的,为了方便判断两个浏览器指纹是否是同一个浏览器,浏览器端可通过二进制信息转化算法,将多维的指纹信息转换成一个二进制序列,且该二进制序列应该满足不容易伪造的条件。
而第二系统在接到上述第一浏览器指纹信息和第二浏览器指纹信息后,可按如下方式确定第一浏览器指纹信息和第二浏览器指纹信息是否匹配:
参见图,如通过两次浏览器指纹信息的时间戳,并与上述两个二进制序列进行异或操作,得到新的带时间戳信息的二进制序列,将互信跳转前后得到的两个带时间戳信息的二进制序列再进行异或操作,通过结果中0的位数即可以判断是否是同一个浏览器。
具体实施时,还可以包括:
接收浏览器端经定向链接发送的访问请求所携带的授权令牌;对授权令牌进行有效性验证,在有效性验证通过时,发出提取第二浏览器指纹信息的通知信息;上述浏览器端还用于在接收到第二系统发送的上述通知信息时,提取第二浏览器指纹信息。
具体实施时,还可以包括:
在对授权令牌进行的有效性验证未通过时,发出授权令牌已失效的告警信息,并中止第一系统和第二系统的互信认证;上述浏览器端还用于:接收并展示第二系统发出的告警信息。
本发明实施例还提供一种多方系统互信认证装置,应用于第二系统,用以提升多方系统间的互信认证的安全性和普适性,如图6所示,该装置包括:
第一系统通信模块601,用于接收浏览器端提取的、并经第一系统转发的第一浏览器指纹信息;上述浏览器端用于接收:用户在第一系统的页面中,输入的对第二系统的访问请求;提取用户登录第一系统时所处时间段的第一浏览器指纹信息;将第一浏览器指纹信息,经第一系统进行转发;上述第一系统用于向第二系统发送请求授权令牌的申请信息;
申请信息验证模块602,用于对从第一系统接收的申请信息进行验证,在验证通过时,将授权令牌,发送至第一系统;上述第一系统用于生成携带有授权令牌的定向链接;上述定向链接用于跳转至第二系统的页面;上述浏览器端还用于:加载第一系统发送的定向链接,并通过定向链接将访问请求发送至第二系统;提取将访问请求发送至第二系统时的第二浏览器指纹信息;
浏览器端通信模块603,用于接收浏览器端发送的第二浏览器指纹信息;
指纹信息匹配模块604,用于在确定第一浏览器指纹信息和第二浏览器指纹信息匹配时,授权访问请求,确认第一系统和第二系统的互信认证通过;上述浏览器端还用于在第二系统授权访问请求后,显示第二系统的页面。
在一个实施例中,上述浏览器端还用于生成对应第一浏览器指纹信息的二进制序列;
第一系统通信模块,具体用于:
接收浏览器端提取的、并经第一系统转发的对应第一浏览器指纹信息的二进制序列。
在一个实施例中,还可以包括:
有效性验证模块,用于:
接收浏览器端经定向链接发送的访问请求所携带的授权令牌;对授权令牌进行有效性验证,在有效性验证通过时,发出提取第二浏览器指纹信息的通知信息;上述浏览器端还用于在接收到第二系统发送的上述通知信息时,提取第二浏览器指纹信息。
在一个实施例中,还可以包括:
告警信息发送模块,用于:
在对授权令牌进行的有效性验证未通过时,发出授权令牌已失效的告警信息,并中止第一系统和第二系统的互信认证;上述浏览器端还用于:接收并展示第二系统发出的告警信息。
下面给出一个具体实例,来说明本发明的方法的具体应用,该实例中,第一系统可为原系统A,第二系统可为目标互信系统。
参见图7和图8,本实例可以包括如下步骤:
1.用户在浏览器端,成功登录并访问原系统A,之后用户可在原系统A的页面中点击按钮来访问目标互信系统;
2.在浏览器上运行浏览器指纹提取的程序,可提取出浏览器指纹信息,并携带该浏览器指纹以及访问目标互信系统的参数摘要(即上述的二进制序列,用于描述浏览器指纹信息),向原系统A申请授权;
3.在原系统A的后台服务器上运行授权申请的程序,首先接收用户的授权申请及上述参数摘要,进而判断当前用户是否有权限访问目标互信系统的服务:
如果判断无权限,返回浏览器无权限错误信息;
如判断有权限,向目标互信系统申请授权令牌;
4.目标互信系统在验证授权申请有效后,生成随机授权令牌,并以令牌为key,将浏览器指纹、请求参数摘要为value进行记录,并将授权令牌反馈原系统A;
5.原系统A生成含授权令牌的重定向跳转链接,并返回给浏览器;
6.浏览器打开重定向新链接携带授权令牌发送请求到目标互信系统;
7.目标互信系统身份验证模块验证令牌是否有效,
如果令牌无效或者超过有效期,返回未授权错误信息;
如果令牌有效,返回浏览器指纹辅助验证页面;
8.浏览器指纹提取模块重新采集浏览器指纹并提交到目标互信系统;
9.目标互信系统身份验证模块验证本次接收浏览器指纹与步骤4中记录的浏览器指纹进行对比,
如果指纹对比不一致,返回未授权错误信息;
如果指纹对比一致,验证通过返回服务页面。
上述实例的适用场景为:原系统需要访问多个互信系统的服务(此处的系统可能来自不同供应商,且可跨域);上述实例为了确保原系统与目标互信系统间跳转操作由同一个用户进行,可在令牌授权的基础上,叠加针对浏览器指纹的校验。怼比现有技术,上述实例具有如下优点:
1、可基于浏览器的指纹信息判断互信操作是否是同一个操作者及操作场景,安全性强;
多系统间基于令牌的认证,无需传递用户名密码等敏感信息,保护用户隐私;
2、没有统一的认证中心,认证方式灵活,便于扩展;
3、不依赖浏览器cookie,支持跨域。
上述实例在实际应用时,不同的系统间可组合使用,如以原系统A访问目标互信系统B,以原系统B访问目标互信系统C。在涉及上述场景时,可从任意一个原系统跳转到目标互信系统时的互信认证方法,通过上述授权令牌叠加浏览器指纹的方法,无需统一认证中心,不依赖cookie,支持跨域,安全性强。
下面给出一个具体实施例,来说明本发明的装置的具体应用,该实施例中,可以包括如下模块:
浏览器指纹提取模块:提取浏览器指纹特征,并对提取到的多维信息通过上述算法转换成一个二进制序列。
授权申请模块:原系统A接收到用户的授权申请后,先判断当前用户是否有权限访问目标互信系统,如果有权限则向第三方系统申请授权。
令牌生成模块:目标互信系统接收到授权申请时,根据相关参数判断是否发放令牌。
身份验证模块:当目标互信系统希望对访问者进行身份判断时,会先对身份令牌进行验证,如果验证成功再对前后两次采集的浏览器指纹进行验证,指纹一致的情况才可以成功访问
当然,可以理解的是,上述详细流程还可以有其他变化例,相关变化例均应落入本发明的保护范围。
本发明实施例提供一种用于实现上述多方系统互信认证方法中的全部或部分内容的计算机设备的实施例所述计算机设备具体包含有如下内容:
处理器(processor)、存储器(memory)、通信接口(Communications Interface)和总线;其中,所述处理器、存储器、通信接口通过所述总线完成相互间的通信;所述通信接口用于实现相关设备之间的信息传输;该计算机设备可以是台式计算机、平板电脑及移动终端等,本实施例不限于此。在本实施例中,该计算机设备可以参照实施例用于实现多方系统互信认证方法的实施例及用于实现多方系统互信认证装置的实施例进行实施,其内容被合并于此,重复之处不再赘述。
图10为本申请实施例的计算机设备1000的系统构成的示意框图。如图10所示,该计算机设备1000可以包括中央处理器1001和存储器1002;存储器1002耦合到中央处理器1001。值得注意的是,该图10是示例性的;还可以使用其他类型的结构,来补充或代替该结构,以实现电信功能或其他功能。
一实施例中,多方系统互信认证功能可以被集成到中央处理器1001中。其中,中央处理器1001可以被配置为进行如下控制:
接收:用户在第一系统的页面中,输入的对第二系统的访问请求;
提取用户登录第一系统时所处时间段的第一浏览器指纹信息;将第一浏览器指纹信息,经第一系统发送至第二系统;所述第一系统用于向第二系统发送请求授权令牌的申请信息;所述第二系统用于在批准所述申请信息后,将授权令牌,发送至第一系统;所述第一系统用于生成携带有授权令牌的定向链接;所述定向链接用于跳转至第二系统的页面;
加载第一系统发送的定向链接,并通过定向链接将访问请求发送至第二系统;
提取将访问请求发送至第二系统时的第二浏览器指纹信息;将第二浏览器指纹信息,发送至第二系统;所述第二系统还用于在确定第一浏览器指纹信息和第二浏览器指纹信息匹配时,授权访问请求,确认第一系统和第二系统的互信认证通过;
在第二系统授权访问请求后,显示第二系统的页面。
或,在确认用户有权限登录第一系统时,授权用户对第一系统的登录请求;
接收并发出用户在第一系统的页面中,输入的对第二系统的访问请求;
接收浏览器提取的用户登录第一系统时所处时间段的第一浏览器指纹信息,并转发至第二系统;
向第二系统发送请求授权令牌的申请信息;所述第二系统用于在批准所述申请信息后,将授权令牌,发送至第一系统;
根据从第二系统接收的授权令牌,生成并发出携带有授权令牌的定向链接;所述定向链接用于供浏览器跳转至第二系统的页面;所述浏览器还用于:提取将访问请求发送至第二系统时的第二浏览器指纹信息;将第二浏览器指纹信息,发送至第二系统;所述第二系统还用于在确定第一浏览器指纹信息和第二浏览器指纹信息匹配时,授权访问请求,确认第一系统和第二系统的互信认证通过;在第二系统授权访问请求后,显示第二系统的页面。
或,
接收浏览器端提取的、并经第一系统转发的第一浏览器指纹信息;所述浏览器端用于接收:用户在第一系统的页面中,输入的对第二系统的访问请求;提取用户登录第一系统时所处时间段的第一浏览器指纹信息;将第一浏览器指纹信息,经第一系统进行转发;所述第一系统用于向第二系统发送请求授权令牌的申请信息;
对从第一系统接收的申请信息进行验证,在验证通过时,将授权令牌,发送至第一系统;所述第一系统用于生成携带有授权令牌的定向链接;所述定向链接用于跳转至第二系统的页面;所述浏览器端还用于:加载第一系统发送的定向链接,并通过定向链接将访问请求发送至第二系统;提取将访问请求发送至第二系统时的第二浏览器指纹信息;
接收浏览器端发送的第二浏览器指纹信息;
在确定第一浏览器指纹信息和第二浏览器指纹信息匹配时,授权访问请求,确认第一系统和第二系统的互信认证通过;所述浏览器端还用于在第二系统授权访问请求后,显示第二系统的页面。
在另一个实施方式中,多方系统互信认证装置可以与中央处理器1001分开配置,例如可以将多方系统互信认证装置配置为与中央处理器1001连接的芯片,通过中央处理器的控制来实现多方系统互信认证功能。
如图10所示,该计算机设备1000还可以包括:通信模块1003、输入单元1004、音频处理器1005、显示器1006、电源1007。值得注意的是,计算机设备1000也并不是必须要包括图10中所示的所有部件;此外,计算机设备1000还可以包括图10中没有示出的部件,可以参考现有技术。
如图10所示,中央处理器1001有时也称为控制器或操作控件,可以包括微处理器或其他处理器装置和/或逻辑装置,该中央处理器1001接收输入并控制计算机设备1000的各个部件的操作。
其中,存储器1002,例如可以是缓存器、闪存、硬驱、可移动介质、易失性存储器、非易失性存储器或其它合适装置中的一种或更多种。可储存上述与失败有关的信息,此外还可存储执行有关信息的程序。并且中央处理器1001可执行该存储器1002存储的该程序,以实现信息存储或处理等。
输入单元1004向中央处理器1001提供输入。该输入单元1004例如为按键或触摸输入装置。电源1007用于向计算机设备1000提供电力。显示器1006用于进行图像和文字等显示对象的显示。该显示器例如可为LCD显示器,但并不限于此。
该存储器1002可以是固态存储器,例如,只读存储器(ROM)、随机存取存储器(RAM)、SIM卡等。还可以是这样的存储器,其即使在断电时也保存信息,可被选择性地擦除且设有更多数据,该存储器的示例有时被称为EPROM等。存储器1002还可以是某种其它类型的装置。存储器1002包括缓冲存储器1021(有时被称为缓冲器)。存储器1002可以包括应用/功能存储部1022,该应用/功能存储部1022用于存储应用程序和功能程序或用于通过中央处理器1001执行计算机设备1000的操作的流程。
存储器1002还可以包括数据存储部1023,该数据存储部1023用于存储数据,例如联系人、数字数据、图片、声音和/或任何其他由计算机设备使用的数据。存储器1002的驱动程序存储部1024可以包括计算机设备的用于通信功能和/或用于执行计算机设备的其他功能(如消息传送应用、通讯录应用等)的各种驱动程序。
通信模块1003即为经由天线1008发送和接收信号的发送机/接收机1003。通信模块(发送机/接收机)1003耦合到中央处理器1001,以提供输入信号和接收输出信号,这可以和常规移动通信终端的情况相同。
基于不同的通信技术,在同一计算机设备中,可以设置有多个通信模块1003,如蜂窝网络模块、蓝牙模块和/或无线局域网模块等。通信模块(发送机/接收机)1003还经由音频处理器1005耦合到扬声器1009和麦克风1010,以经由扬声器1009提供音频输出,并接收来自麦克风1010的音频输入,从而实现通常的电信功能。音频处理器1005可以包括任何合适的缓冲器、解码器、放大器等。另外,音频处理器1005还耦合到中央处理器1001,从而使得可以通过麦克风1010能够在本机上录音,且使得可以通过扬声器1009来播放本机上存储的声音。
本发明实施例还提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现上述多方系统互信认证方法。
本发明实施例还提供一种计算机程序产品,所述计算机程序产品包括计算机程序,所述计算机程序被处理器执行时实现上述多方系统互信认证方法。
本发明实施例中,接收浏览器端提取的、并经第一系统转发的第一浏览器指纹信息;所述浏览器端用于接收:用户在第一系统的页面中,输入的对第二系统的访问请求;提取用户登录第一系统时所处时间段的第一浏览器指纹信息;将第一浏览器指纹信息,经第一系统进行转发;所述第一系统用于向第二系统发送请求授权令牌的申请信息;对从第一系统接收的申请信息进行验证,在验证通过时,将授权令牌,发送至第一系统;所述第一系统用于生成携带有授权令牌的定向链接;所述定向链接用于跳转至第二系统的页面;所述浏览器端还用于:加载第一系统发送的定向链接,并通过定向链接将访问请求发送至第二系统;提取将访问请求发送至第二系统时的第二浏览器指纹信息;接收浏览器端发送的第二浏览器指纹信息;在确定第一浏览器指纹信息和第二浏览器指纹信息匹配时,授权访问请求,确认第一系统和第二系统的互信认证通过;所述浏览器端还用于在第二系统授权访问请求后,显示第二系统的页面,与现有技术中基于单点登录模型实现系统间互信认证的技术方案相比,通过第一系统和第二系统间授权令牌的交互,可有效实现多方系统间的互信认证,解决了现有技术下系统间互信认证需共享身份信息而易造成的用户隐私泄露问题,有利于保护用户隐私,保证了用户的信息安全;同时,因不再需要集中统一认证管理,从而可适用于松耦合的多个第三方应用系统互信场景,普适性高;进一步的,可通过浏览器指纹信息的提取,有助于验证不同系统的登录操作是否为同一用户和同一浏览器,有效保障了多方系统间互信认证的安全性。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述的具体实施例,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施例而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (27)
1.一种多方系统互信认证方法,其特征在于,应用于浏览器端,包括:
接收:用户在第一系统的页面中,输入的对第二系统的访问请求;
提取用户登录第一系统时所处时间段的第一浏览器指纹信息;将第一浏览器指纹信息,经第一系统发送至第二系统;所述第一系统用于向第二系统发送请求授权令牌的申请信息;所述第二系统用于在批准所述申请信息后,将授权令牌,发送至第一系统;所述第一系统用于生成携带有授权令牌的定向链接;所述定向链接用于跳转至第二系统的页面;
加载第一系统发送的定向链接,并通过定向链接将访问请求发送至第二系统;
提取将访问请求发送至第二系统时的第二浏览器指纹信息;将第二浏览器指纹信息,发送至第二系统;所述第二系统还用于在确定第一浏览器指纹信息和第二浏览器指纹信息匹配时,授权访问请求,确认第一系统和第二系统的互信认证通过;
在第二系统授权访问请求后,显示第二系统的页面。
2.如权利要求1所述的方法,其特征在于,将第一浏览器指纹信息,经第一系统发送至第二系统,包括:
生成对应第一浏览器指纹信息的二进制序列;
将对应第一浏览器指纹信息的二进制序列,经第一系统发送至第二系统。
3.如权利要求1所述的方法,其特征在于,所述第一浏览器指纹信息包括用户身份信息;
所述第一系统还用于:根据用户信息,确定该用户是否有权限访问第二系统;在确定用户有权限访问第二系统时,向第二系统请求授权令牌;在确定用户无权限访问第二系统时,发出用户无权限访问第二系统的告警信息;
所述方法,还包括:
接收并展示第一系统发出的告警信息。
4.如权利要求1所述的方法,其特征在于,所述第二系统还用于:接收浏览器端经定向链接发送的访问请求所携带的授权令牌;对访问请求所携带的授权令牌进行有效性验证,在有效性验证通过时,发出提取第二浏览器指纹信息的通知信息;
提取第二浏览器指纹信息,包括:
在接收到第二系统发送的所述通知信息时,提取第二浏览器指纹信息。
5.如权利要求4所述的方法,其特征在于,所述第二系统还用于:在对授权令牌进行的有效性验证未通过时,发出访问请求所携带的授权令牌已失效的告警信息,并中止第一系统和第二系统的互信认证;
所述方法,还包括:
接收并展示第二系统发出的告警信息。
6.一种多方系统互信认证装置,其特征在于,应用于浏览器端,包括:
访问请求接收模块,用于接收:用户在第一系统的页面中,输入的对第二系统的访问请求;
第一浏览器指纹信息提取模块,用于提取用户登录第一系统时所处时间段的第一浏览器指纹信息;将第一浏览器指纹信息,经第一系统发送至第二系统;所述第一系统用于向第二系统发送请求授权令牌的申请信息;所述第二系统用于在批准所述申请信息后,将授权令牌,发送至第一系统;所述第一系统用于生成携带有授权令牌的定向链接;所述定向链接用于跳转至第二系统的页面;
定向链接加载模块,用于加载第一系统发送的定向链接,并通过定向链接将访问请求发送至第二系统;
第二浏览器指纹信息提取模块,用于提取将访问请求发送至第二系统时的第二浏览器指纹信息;将第二浏览器指纹信息,发送至第二系统;所述第二系统还用于在确定第一浏览器指纹信息和第二浏览器指纹信息匹配时,授权访问请求,确认第一系统和第二系统的互信认证通过;
第二系统页面显示模块,用于在第二系统授权访问请求后,显示第二系统的页面。
7.如权利要求6所述的装置,其特征在于,第一浏览器指纹信息提取模块,具体用于:
生成对应第一浏览器指纹信息的二进制序列;
将对应第一浏览器指纹信息的二进制序列,经第一系统发送至第二系统。
8.如权利要求6所述的装置,其特征在于,所述第一浏览器指纹信息包括用户身份信息;
所述第一系统还用于:根据用户信息,确定该用户是否有权限访问第二系统;在确定用户有权限访问第二系统时,向第二系统请求授权令牌;在确定用户无权限访问第二系统时,发出用户无权限访问第二系统的告警信息;
所述装置,还包括,第一系统告警信息接收展示模块,用于:
接收并展示第一系统发出的告警信息。
9.如权利要求6所述的装置,其特征在于,所述第二系统还用于:接收浏览器端经定向链接发送的访问请求所携带的授权令牌;对访问请求所携带的授权令牌进行有效性验证,在有效性验证通过时,发出提取第二浏览器指纹信息的通知信息;
第二浏览器指纹信息提取模块,用于:
在接收到第二系统发送的所述通知信息时,提取第二浏览器指纹信息。
10.如权利要求9所述的装置,其特征在于,所述第二系统还用于:在对授权令牌进行的有效性验证未通过时,发出访问请求所携带的授权令牌已失效的告警信息,并中止第一系统和第二系统的互信认证;
所述装置,还包括,第二系统告警信息接收展示模块,用于:
接收并展示第二系统发出的告警信息。
11.一种多方系统互信认证方法,其特征在于,应用于第一系统,包括:
在确认用户有权限登录第一系统时,授权用户对第一系统的登录请求;
接收并发出用户在第一系统的页面中,输入的对第二系统的访问请求;
接收浏览器提取的用户登录第一系统时所处时间段的第一浏览器指纹信息,并转发至第二系统;
向第二系统发送请求授权令牌的申请信息;所述第二系统用于在批准所述申请信息后,将授权令牌,发送至第一系统;
根据从第二系统接收的授权令牌,生成并发出携带有授权令牌的定向链接;所述定向链接用于供浏览器跳转至第二系统的页面;所述浏览器还用于:提取将访问请求发送至第二系统时的第二浏览器指纹信息;将第二浏览器指纹信息,发送至第二系统;所述第二系统还用于在确定第一浏览器指纹信息和第二浏览器指纹信息匹配时,授权访问请求,确认第一系统和第二系统的互信认证通过;在第二系统授权访问请求后,显示第二系统的页面。
12.如权利要求11所述的方法,其特征在于,所述浏览器还用于:生成对应第一浏览器指纹信息的二进制序列;
接收浏览器提取的第一浏览器指纹信息,并转发至第二系统,包括:
接收浏览器生成的对应第一浏览器指纹信息的二进制序列,并转发至第二系统。
13.如权利要求11所述的方法,其特征在于,所述第一浏览器指纹信息包括用户身份信息;
所述方法,还包括:
根据用户信息,确定该用户是否有权限访问第二系统;在确定用户有权限访问第二系统时,向第二系统请求授权令牌;
在确定用户无权限访问第二系统时,发出用户无权限访问第二系统的告警信息;
所述浏览器,还用于:
接收并展示第一系统发出的通知信息或告警信息。
14.一种多方系统互信认证装置,其特征在于,应用于第一系统,包括:
登录请求授权模块,用于在确认用户有权限登录第一系统时,授权用户对第一系统的登录请求;
访问请求接收模块,用于接收并发出用户在第一系统的页面中,输入的对第二系统的访问请求;
第一浏览器指纹信息转发模块,用于接收浏览器提取的用户登录第一系统时所处时间段的第一浏览器指纹信息,并转发至第二系统;
申请信息发送模块,用于向第二系统发送请求授权令牌的申请信息;所述第二系统用于在批准所述申请信息后,将授权令牌,发送至第一系统;
定向链接生成模块,用于根据从第二系统接收的授权令牌,生成并发出携带有授权令牌的定向链接;所述定向链接用于供浏览器跳转至第二系统的页面;所述浏览器还用于:提取将访问请求发送至第二系统时的第二浏览器指纹信息;将第二浏览器指纹信息,发送至第二系统;所述第二系统还用于在确定第一浏览器指纹信息和第二浏览器指纹信息匹配时,授权访问请求,确认第一系统和第二系统的互信认证通过;在第二系统授权访问请求后,显示第二系统的页面。
15.如权利要求14所述的装置,其特征在于,所述浏览器还用于:生成对应第一浏览器指纹信息的二进制序列;
第一浏览器指纹信息转发模块,具体用于:
接收浏览器生成的对应第一浏览器指纹信息的二进制序列,并转发至第二系统。
16.如权利要求14所述的装置,其特征在于,所述第一浏览器指纹信息包括用户身份信息;
所述装置,还包括,用户权限确定模块,用于:
根据用户信息,确定该用户是否有权限访问第二系统;在确定用户有权限访问第二系统时,向第二系统请求授权令牌;
在确定用户无权限访问第二系统时,发出用户无权限访问第二系统的告警信息;
所述浏览器,还用于:
接收并展示第一系统发出的通知信息或告警信息。
17.一种多方系统互信认证方法,其特征在于,应用于第二系统,包括:
接收浏览器端提取的、并经第一系统转发的第一浏览器指纹信息;所述浏览器端用于接收:用户在第一系统的页面中,输入的对第二系统的访问请求;提取用户登录第一系统时所处时间段的第一浏览器指纹信息;将第一浏览器指纹信息,经第一系统进行转发;所述第一系统用于向第二系统发送请求授权令牌的申请信息;
对从第一系统接收的申请信息进行验证,在验证通过时,将授权令牌,发送至第一系统;所述第一系统用于生成携带有授权令牌的定向链接;所述定向链接用于跳转至第二系统的页面;所述浏览器端还用于:加载第一系统发送的定向链接,并通过定向链接将访问请求发送至第二系统;提取将访问请求发送至第二系统时的第二浏览器指纹信息;
接收浏览器端发送的第二浏览器指纹信息;
在确定第一浏览器指纹信息和第二浏览器指纹信息匹配时,授权访问请求,确认第一系统和第二系统的互信认证通过;所述浏览器端还用于在第二系统授权访问请求后,显示第二系统的页面。
18.如权利要求17所述的方法,其特征在于,所述浏览器端还用于生成对应第一浏览器指纹信息的二进制序列;
接收浏览器端提取的、并经第一系统转发的第一浏览器指纹信息,包括:
接收浏览器端提取的、并经第一系统转发的对应第一浏览器指纹信息的二进制序列。
19.如权利要求17所述的方法,其特征在于,还包括:
接收浏览器端经定向链接发送的访问请求所携带的授权令牌;对授权令牌进行有效性验证,在有效性验证通过时,发出提取第二浏览器指纹信息的通知信息;所述浏览器端还用于在接收到第二系统发送的所述通知信息时,提取第二浏览器指纹信息。
20.如权利要求19所述的方法,其特征在于,还包括:
在对授权令牌进行的有效性验证未通过时,发出授权令牌已失效的告警信息,并中止第一系统和第二系统的互信认证;所述浏览器端还用于:接收并展示第二系统发出的告警信息。
21.一种多方系统互信认证装置,其特征在于,应用于第二系统,包括:
第一系统通信模块,用于接收浏览器端提取的、并经第一系统转发的第一浏览器指纹信息;所述浏览器端用于接收:用户在第一系统的页面中,输入的对第二系统的访问请求;提取用户登录第一系统时所处时间段的第一浏览器指纹信息;将第一浏览器指纹信息,经第一系统进行转发;所述第一系统用于向第二系统发送请求授权令牌的申请信息;
申请信息验证模块,用于对从第一系统接收的申请信息进行验证,在验证通过时,将授权令牌,发送至第一系统;所述第一系统用于生成携带有授权令牌的定向链接;所述定向链接用于跳转至第二系统的页面;所述浏览器端还用于:加载第一系统发送的定向链接,并通过定向链接将访问请求发送至第二系统;提取将访问请求发送至第二系统时的第二浏览器指纹信息;
浏览器端通信模块,用于接收浏览器端发送的第二浏览器指纹信息;
指纹信息匹配模块,用于在确定第一浏览器指纹信息和第二浏览器指纹信息匹配时,授权访问请求,确认第一系统和第二系统的互信认证通过;所述浏览器端还用于在第二系统授权访问请求后,显示第二系统的页面。
22.如权利要求21所述的装置,其特征在于,所述浏览器端还用于生成对应第一浏览器指纹信息的二进制序列;
第一系统通信模块,具体用于:
接收浏览器端提取的、并经第一系统转发的对应第一浏览器指纹信息的二进制序列。
23.如权利要求21所述的装置,其特征在于,还包括:
有效性验证模块,用于:
接收浏览器端经定向链接发送的访问请求所携带的授权令牌;对授权令牌进行有效性验证,在有效性验证通过时,发出提取第二浏览器指纹信息的通知信息;所述浏览器端还用于在接收到第二系统发送的所述通知信息时,提取第二浏览器指纹信息。
24.如权利要求23所述的装置,其特征在于,还包括:
告警信息发送模块,用于:
在对授权令牌进行的有效性验证未通过时,发出授权令牌已失效的告警信息,并中止第一系统和第二系统的互信认证;所述浏览器端还用于:接收并展示第二系统发出的告警信息。
25.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至5、11至13、17至20任一所述方法。
26.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现权利要求1至5、11至13、17至20任一所述方法。
27.一种计算机程序产品,其特征在于,所述计算机程序产品包括计算机程序,所述计算机程序被处理器执行时实现权利要求1至5、11至13、17至20任一所述方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111397556.5A CN114090996A (zh) | 2021-11-23 | 2021-11-23 | 多方系统互信认证方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111397556.5A CN114090996A (zh) | 2021-11-23 | 2021-11-23 | 多方系统互信认证方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114090996A true CN114090996A (zh) | 2022-02-25 |
Family
ID=80303509
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111397556.5A Pending CN114090996A (zh) | 2021-11-23 | 2021-11-23 | 多方系统互信认证方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114090996A (zh) |
-
2021
- 2021-11-23 CN CN202111397556.5A patent/CN114090996A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111556006B (zh) | 第三方应用系统登录方法、装置、终端及sso服务平台 | |
WO2017028804A1 (zh) | 一种Web实时通信平台鉴权接入方法及装置 | |
US11764966B2 (en) | Systems and methods for single-step out-of-band authentication | |
KR101671351B1 (ko) | 통합 보안 엔진을 사용하는 웹 서비스 제공자를 위한 프라이버시 강화 키 관리 | |
CN108632253B (zh) | 基于移动终端的客户数据安全访问方法及装置 | |
KR101850677B1 (ko) | 웹사이트에 로그인하는 단말기가 모바일 단말기인지를 결정하기 위한 방법 및 시스템 | |
US20190228144A1 (en) | User device authentication | |
CN114679293A (zh) | 基于零信任安全的访问控制方法、设备及存储介质 | |
CN112131021B (zh) | 一种访问请求处理方法及装置 | |
CN108322416B (zh) | 一种安全认证实现方法、装置及系统 | |
CN112039826B (zh) | 应用于小程序端的登录方法和装置,电子设备,可读介质 | |
US9137224B2 (en) | System and method for secure remote access | |
CN111062023B (zh) | 多应用系统实现单点登录的方法及装置 | |
CN111669351B (zh) | 鉴权方法、业务服务器、客户端及计算机可读存储介质 | |
US11777942B2 (en) | Transfer of trust between authentication devices | |
CN111865882A (zh) | 一种微服务认证方法和系统 | |
CN113010874A (zh) | 登录认证方法、装置、电子设备及计算机可读存储介质 | |
CN111949959B (zh) | Oauth协议中的授权认证方法及装置 | |
CN111565179B (zh) | 身份校验方法、装置、电子设备及存储介质 | |
CN112507320A (zh) | 访问控制方法、装置、系统、电子设备和存储介质 | |
CN111444551A (zh) | 账户的注册与登录方法、装置、电子设备及可读存储介质 | |
CN116192483A (zh) | 认证鉴权方法、装置、设备及介质 | |
CN111147525A (zh) | 基于api网关的认证方法、系统、服务器和存储介质 | |
CN114844644A (zh) | 资源请求方法、装置、电子设备及存储介质 | |
CN112966242A (zh) | 一种用户名口令认证方法、装置、设备及可读存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |