CN115118454A - 一种基于移动应用的级联认证系统及认证方法 - Google Patents
一种基于移动应用的级联认证系统及认证方法 Download PDFInfo
- Publication number
- CN115118454A CN115118454A CN202210574658.8A CN202210574658A CN115118454A CN 115118454 A CN115118454 A CN 115118454A CN 202210574658 A CN202210574658 A CN 202210574658A CN 115118454 A CN115118454 A CN 115118454A
- Authority
- CN
- China
- Prior art keywords
- cascade
- authentication system
- mobile application
- application
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提出一种基于移动应用的级联认证系统及认证方法,首先用户利用移动门户返回的申请授权码向一级认证系统申请应用密钥;其次,级联申请单元向移动应用返回级联票;然后,移动应用携带级联票前往二级认证系统进行身份信息确认,并向一级认证系统发送身份信息校验请求;级联票校验单元完成级联票校验,级联身份校验单元完成用户登录身份信息核实后;最后,二级认证系统将得到的身份信息和级联票返回给一级认证系统,一级认证系统返回给移动应用,级联登录完成,结合了移动应用登录认证特点,提供面向移动应用的级联认证,提出了一套支撑级联认证安全措施,解决了移动应用的级联登录问题,可支撑大多数移动应用的级联登录场景,并确保其安全性。
Description
技术领域
本发明涉及信息技术领域,具体地说,涉及一种基于移动应用的级联认证系统及认证方法。
背景技术
中央认证服务CAS是主流的单点登录SSO开源解决方案,主要实现基于B/S结构的应用系统用户单点登录SSO,交互协议主要基于http及安全的https。传统的单点登录SSO技术只能支撑用户在同一个部署单位内的业务系统单点登录SSO,无法实现跨部署单位(域)的单点登录SSO。
对于集成的系统来讲,中央认证服务CAS充当第三方的认证平台(认证服务端),通过在用户浏览器中维持一个自身的存储在用户本地终端上的数据Cookie(如CAS.COM),来支撑各业务系统跨域的认证。
原生的中央认证服务CAS技术提供的单点登录SSO认证过程如下:
一、用户访问系统A,系统A内置中央认证服务CAS客户端发现内置的中央认证服务CAS客户端组件会拦截用户请求,并检查用户会话有效性。如果会话有效,则允许访问;如果会话无效,则将用户请求转发至服务端,进入下一步。
二、中央认证服务CAS服务端检测用户客户端是否存储了身份票TGC(即中央认证服务CAS系统的存储在用户本地终端上的数据Cookie),如果有则说明已经登陆过,则自动为客户端生成用于访问业务系统使用的服务票ST,并将请求再次转发到业务系统端。业务系统根据第一步的描述再次进行服务票ST和会话校验。但如果检测到客户端没有身份票TGC,服务端将会展现登陆界面,要求用户提供身份凭证,并进入下一步。
三、用户提供凭证,中央认证服务CAS服务器对凭证进行验证,验证通过则为客户端生成身份票TGC,同时产生服务票ST,然后将请求转发到业务系统。此时用户将成功进入系统,并建立有效的会话Session。
原生的中央认证服务CAS技术体统的单点登录SSO认证机制可支撑本部署单位(域) 范围内的WEB系统单点登录,需要客户端系统都集成于同一套中央认证服务CAS服务端。对于集团公司,通常会建设统一移动门户,移动应用开发上架需要遵循统一的移动开发规范。这会涉及到应用授权问题,而应用授权业界使用最多的是OAuth2.0协议。但存在两个问题:一是中央认证服务CAS技术主要面向WEB端,无法应对移动应用的一些使用场景。二是无法支撑在同一集团公司多级部署时,存在多个中央认证服务CAS服务端的单点登录场景。
发明内容
本发明针对现有技术无法应对移动应用的一些使用场景和无法支撑在同一集团公司多级部署时存在多个中央认证服务CAS服务端的单点登录场景的问题,本发明提出一种基于移动应用的级联认证系统及认证方法,首先用户利用移动门户返回的申请授权码向一级认证系统申请应用密钥;其次,级联申请单元向移动应用返回级联票;然后,前往二级认证系统进行身份信息确认,并向一级认证系统发送身份信息校验请求;级联票校验单元完成级联票校验,级联身份校验单元完成用户登录身份信息核实后;最后,二级认证系统将得到的身份信息和级联票返回给一级认证系统,一级认证系统返回给移动应用,级联登录完成,解决了移动应用的级联登录问题,可支撑大多数移动应用的级联登录场景,并确保其安全性。
本发明具体实现内容如下:
本发明提出一种基于移动应用的级联认证方法,用于位于一级认证系统的集成域的移动用户访问二级认证系统的集成域,包括以下步骤:
步骤1:用户访问移动应用,向移动门户申请授权码;
步骤2:移动应用使用得到的授权码向一级认证系统申请应用密钥;
步骤3:移动应用向一级认证系统提交应用密钥,一级认证系统向移动应用返回级联票;
步骤4:移动应用携带级联票访问移动应用后台,请求登录,移动应用后台携带级联票前往二级认证系统进行身份信息确认,并向一级认证系统发送身份信息校验请求;
步骤5:一级认证系统收到身份校验请求后对移动应用后台携带的级联票进行校验,核实用户登录时的身份信息,若核实成功向二级认证系统返回身份信息;
步骤6:二级认证系统根据得到的身份信息完成身份确认后,将得到的身份信息和级联票返回给一级认证系统,一级认证系统返回给移动应用,级联登录完成。
为了更好地实现本发明,进一步地,在进行步骤1前还需进行操作:首先用户登录一级认证系统,获取用户在一级认证系统的用户数据和应用配置,所述用户数据包括用户标识、用户姓名、单位标识、用户级联编码,所述应用配置包括应用标识、应用名称;然后将获取的用户数据与二级认证系统的用户数据和应用配置统一。
为了更好地实现本发明,进一步地,所述步骤3的具体操作为:在一级认证系统新增一个基于HTTPS协议的级联票据申请接口,移动应用向一级认证系统提交应用密钥、应用标识、用户标识、单位标识信息至一级认证系统的级联票据申请接口,级联票申请接口根据提交的应用密钥、应用标识、用户标识和单位标识信息生成相应的级联票返回给移动应用。
为了更好地实现本发明,进一步地,所述步骤4的具体操作为:在二级认证系统新增一个基于HTTPS协议的级联身份校验接口,移动应用携带级联票申请接口生成的级联票访问移动应用后台,并向移动应用后台发送登录请求,移动应用后台携带级联票前往二级认证系统的级联身份校验接口进行身份信息确认,二级认证系统发现移动应用后台携带的级联票向一级认证系统发送身份校验请求。
为了更好地实现本发明,进一步地,所述步骤5的具体操作为:在一级认证系统新增一个基于HTTPS协议的级联票据检验接口,一级认证系统收到身份校验请求后对移动应用后台携带的级联票进行校验,若级联票有效,一级认证系统调用二级认证系统的级联身份校验接口,传入用户标识信息和级联编码,二级认证系统首先核实级联编码的完整性,然后通过级联编码核实本地身份库中对应的用户信息,若核实无误则向二级认证系统返回身份信息,否则失败。
为了更好地实现本发明,进一步地,在进行步骤1前还需进行操作:在一级认证系统中进行级联可信范围配置,在一级认证系统中注册二级单元名称、二级认证系统IP信息。
为了更好地实现本发明,进一步地,所述步骤5中一级认证系统在进行级联票据校验的校验操作包括对二级认证系统的合法性进行校验、对级联票的有效性进行校验和对用户的身份信息进行校验。
为了更好地实现本发明,进一步地,所述对级联票的有效性进行校验的具体操作为:在级联票存储于缓存中的有效时长内检查级联票在缓存中是否存在。
为了更好地实现本发明,进一步地,所述对二级认证系统的合法性进行校验的具体操作为:一级认证系统获取二级认证系统的IP信息,并判断IP地址是否在级联可信范围内,若不存在则直接返回失败。
为了更好地实现本发明,进一步地,所述步骤5中进行级联身份校验时,将级联编码通过国密算法SM3进行编码。
本发明基于上述提出的一种基于移动应用的级联认证方法,为了更好地实现本发明,进一步地,本发明还提出一种基于移动应用的级联认证系统,包括一级认证系统、二级认证系统、级联申请单元、级联校验单元、级联身份校验单元;
所述级联申请单元设置在一级认证系统,用于根据用户利用授权码向一级认证系统生成的应用密钥向移动应用返回级联票;
所述级联校验单元设置在一级认证系统,用于将移动应用携带的级联票进行校验,并将身份信息返回给二级认证系统;
所述级联身份校验单元设置在二级认证系统,用于对用户的身份信息进行确认,并将身份信息和级联票通过一级认证系统返回用户。
本发明具有以下有益效果:
(1)本发明结合了移动应用登录认证特点,提供面向移动应用的级联认证,提出了一套支撑级联认证安全措施,且不限于中央认证服务CAS系统,其他认证系统均可适用;
(2)本发明通过级联准入与身份核查双重校验确保两级统一权限的安全交互,进行强化了级联过程的安全性。通过中央认证服务CAS服务注册机制与证书互信机制,确保通信安全可控。通过对安全级联编码引入和安全强化,可有效避免越权访问;
(3)本发明通过与OAuth2.0授权码的有效结合,解决了移动应用的级联登录问题,可支撑大多数移动应用的级联登录场景,并确保其安全性;
(4)本发明将移动应用普遍使用的OAuth2.0协议与认证系统的结合,通过与移动门户授权码机制结合,将授权码作为用户认证的关键要素,认证过程形成完整闭环。认证系统通过调用移动门户对授权码进行核实,确认授权码有效才进入后续步骤,各个要素环环相扣,形成闭环。
附图说明
图1为传统的中央认证服务CAS系统集成域分布图;
图2为本发明进行级联认证的流程示意图;
图3为本发明级联认证登录流程示意图。
具体实施方式
为了更清楚地说明本发明实施例的技术方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,应当理解,所描述的实施例仅仅是本发明的一部分实施例,而不是全部的实施例,因此不应被看作是对保护范围的限定。基于本发明中的实施例,本领域普通技术工作人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本发明的描述中,需要说明的是,除非另有明确的规定和限定,术语“设置”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;也可以是直接相连,也可以是通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
认证集成域:只一个应用群,群中的应用都集成于同一套认证系统。
多级部署:在大型集团公司的应用架构中,存在一些业务系统采用分级/分单位部署,例如总部和各分子公司均单独部署。
级联认证:当集团公司中存在多级部署的情况,各单位又独立建设了认证系统,存在多个集成域。用户需要跨集成域访问移动应用,就属于级联认证场景。总部:一级认证系统;二级单位:二级认证系统。
实施例1:
本发明提出一种基于移动应用的级联认证方法,用于位于一级认证系统的集成域的移动用户访问二级认证系统的集成域,包括以下步骤:
步骤1:用户访问移动应用,向移动门户申请授权码;
步骤2:移动应用使用得到的授权码向一级认证系统申请应用密钥;
步骤3:移动应用向一级认证系统提交应用密钥,一级认证系统向移动应用返回级联票;
步骤4:移动应用携带级联票访问移动应用后台,请求登录,移动应用后台携带级联票前往二级认证系统进行身份信息确认,并向一级认证系统发送身份信息校验请求;
步骤5:一级认证系统收到身份校验请求后对移动应用后台携带的级联票进行校验,核实用户登录时的身份信息,若核实成功向二级认证系统返回身份信息;
步骤6:二级认证系统根据得到的身份信息完成身份确认后,将得到的身份信息和级联票返回给一级认证系统,一级认证系统返回给移动应用,级联登录完成。
工作原理:首先集成系统需要先向移动门户申请授权码,再用户授权码向一级认证服务申请级联票;同时,一级认证系统在对级联票校验过程中,再调用二级认证服务的核实用户身份,最后,二级认证系统根据得到的身份信息完成身份确认后,将得到的身份信息和级联票返回给一级认证系统,一级认证系统返回给移动应用,级联登录完成,解决了移动应用的级联登录问题,可支撑大多数移动应用的级联登录场景,并确保其安全性。
实施例2:
本实施例在上述实施例1的基础上,提出一种基于移动应用的级联认证系统,包括一级认证系统、二级认证系统、级联申请单元、级联校验单元、级联身份校验单元;
所述级联申请单元设置在一级认证系统,用于根据用户利用授权码向一级认证系统生成的应用密钥向移动应用返回级联票;
所述级联校验单元设置在一级认证系统,用于将移动应用携带的级联票进行校验,并将身份信息返回给二级认证系统;
所述级联身份校验单元设置在二级认证系统,用于对用户的身份信息进行确认,并将身份信息和级联票通过一级认证系统返回用户。
工作原理:首先用户利用移动门户返回的申请授权码向一级认证系统申请应用密钥;其次,级联申请单元向移动应用返回级联票;然后,前往二级认证系统进行身份信息确认,并向一级认证系统发送身份信息校验请求;级联票校验单元完成级联票校验,级联身份校验单元完成用户登录身份信息核实后;最后,二级认证系统将得到的身份信息和级联票返回给一级认证系统,一级认证系统返回给移动应用,级联登录完成,解决了移动应用的级联登录问题,可支撑大多数移动应用的级联登录场景,并确保其安全性。
本实施例的其他部分与上述实施例1相同,故不再赘述。
实施例3:
本实施例在上述实施例1-2任一项的基础上,如图2所示,对已登录移动门户、已持有一级认证系统提供的用户数据、应用配置以及级联编码信息进行级联认证的过程进行详细说明。
所述用户数据包括用户标识、用户姓名、单位标识、用户级联编码,所述应用配置包括应用标识、应用名称。
工作原理:本实施例则提出了一种基于移动应用的级联认证方法,假设移动应用A、移动应用B集成在认证系统甲,移动应用C、移动应用D集成在认证系统乙,那么,移动应用A、移动应用B之间可以实现单一登录,移动应用C、移动应用D可以实现单一登录。移动应用A、移动应用B、移动应用C、移动应用D之间均需实现单一登录,那么认证系统甲、认证系统乙之间需要有一种认证互认机制,该机制可支撑本部署单位(域)范围内的WEB系统单点登录,需要客户端系统都集成于同一套中央认证服务CAS服务端。但存在两个问题:一是中央认证服务CAS技术主要面向WEB端,无法应对移动应用的一些使用场景。二是无法支撑在同一集团公司多级部署时,存在多个中央认证服务CAS服务端的单点登录场景。
对于集团公司,通常会建设统一移动门户,移动应用开发上架需要遵循统一的移动开发规范。这会涉及到应用授权问题,而应用授权业界使用最多的是OAuth2.0协议。针对该特点,本方法将结合OAuth2.0实现移动应用的级联认证,首先集成系统需要先向移动门户申请授权码(Authorization Code),再用户授权码向一级认证服务申请级联票(CascadeTicket);同时,一级认证服务在对级联票校验过程中,要完成两个确认工作,首先检查二级认证服务是否在级联可信范围内,如果是可信的,再调用二级认证服务的级联身份校验接口核实用户身份。
本实施例在Web认证系统基础上,针对移动应用的特点进行扩展。假设有一级认证系统集成域、二级认证系统集成域,用户位于一级认证系统集成域,但需要访问二级认证系统集成域应用。本方案在一级认证系统新增基于HTTPS协议的级联票申请接口、基于 HTTPS协议的级联票校验接口两个接口,级联票申请接口用于颁发级联票,级联票校验用于处理级联请求。在二级认证系统新增一个基于HTTPS协议的级联身份校验接口,用于一级认证系统向二级认证系统核实用户身份。
从用户在移动门户中点击移动应用图标开始,直至移动应用级联登录成功的过程具体包括以下步骤:
第一步:移动应用已获得移动门户授权,此处的移动门户以移动微信为例进行说明;
根据OAuth2.0协议,移动应用需要先获得移动门户授权,才能经由移动门户正常使用移动应用APP。授权过程如下:
用户访问移动应用并在移动应用中选择通过移动门户登录,移动门户判断应用是否已具有已授权,如果未授权,移动门户向用户申请访问权限,用户确认后,返回授权码;
第二步:移动应用申请登录票
①移动应用使用授权码、应用标识以及必要安全校验信息,向一级认证系统获取应用密钥;其中,应用标识APPID为移动应用在认证系统中唯一标识,用于区分是哪个业务系统,应用密钥secret为每个应用颁发一个的密钥;
②一级认证系统对应用信息进行确认,若确认是合法应用,则向移动应用返回应用密钥;
③移动应用向一级认证系统申请级联票,提交应用密钥、应用标识、用户标识以及单位标识信息,生成级联票并返回给移动应用,其中,用户标识为用户的唯一标识为用户账号或ID,单位标识用于标识二级单位,应用标识为移动应用在认证系统中唯一标识,用于区分是哪个业务系,是在业务系统与认证系统集成时,认证系统线下提供给业务系统;级联票是由认证系统生成的随机字符串,它关联了用户的基本信息包括用户标识、用户姓名、单位标识等;
第三步:移动应用使用级联完成登录
①移动应用携带级联票访问后台资源,请求登录;APP后台携带级联票、后台资源链接,前往二级认证系统进行身份确认,二级认证系统发现级联票,调用一级认证系统的级联票据校验接口;
前提:一级认证系统中进行级联可信范围配置,二级单位需事先在总部注册,才能级联访问功能。注册信息主要包括二级单位名称、二级认证系统IP等。
②一级认证在进行级联票据校验时,会执行以下三个步骤:
安全步骤1:核心二级认证系统的合法性。一级认证获取二级认证系统的IP,并判断 IP地址是否在级联可信范围,如不存在则直接返回失败。
安全步骤2:核实级联票有效性。即检查票据在缓存中是否存在,级联票是存储于缓存中,具有一定的有效期,通常为1-2小时,如果发生安全问题,也可能级联票可能被主动注销。
安全步骤3:核实登录用户身份。一级认证系统调用二级认证系统级联身份校验接口,传入用户ID、级联编码,二级认证系统先核实级联编码的完整性,通过实现下发并存储于本地的消息摘要,检查数据完整性,在通过级联编码查询本地身份库对应的用户信息,级联编码用于标识用户在整个集团公司的唯一性,通过其他可信通道确保全集团的用户数据一致性,由于级联编码终身不可变,级联编码与校验码不在同步范围内;如果用户状态正常且拥有对应系统的访问权限则返回用户信息,否则失败;
③二级认证系统完成校验后,将匹配得到的用户信息以及级联票经由一级认证系统,返回给移动应用,移动应用得到用户信息,级联登录完成。
将移动应用普遍使用的OAuth2.0协议与认证系统相结合,通过与移动门户授权码机制结合,将授权码作为用户认证的关键要素,认证过程形成完整闭环。认证系统通过调用移动门户对授权码进行核实,确认授权码有效才进入后续步骤,各个要素环环相扣,形成闭环。
本实施例的其他部分与上述实施例1-2任一项相同,故不再赘述。
实施例4:
本实施例在上述实施例1-2任一项的基础上,对步骤5中进行级联身份校验时,将级联编码票通过国密算法SM3进行编码的过程进行详细说明。
工作原理:本实施例将级联票通过国密算法SM3进行编码具体包括以下步骤:
步骤S1:校验码的生成:一级认证系统将用户的账号、级联编码等关键字段,使用国密消息摘要算法SM3,生成校验码;
步骤S2:一级认证系统通过可信渠道,将校验码下发至二级认证系统,二级认证系统本地存储;
步骤S3:校验码的使用:二级认证系统级联身份校验过程中,会首先检查数据的完整性,如果发现被破坏则级联登录直接失败。
首先,两个认证系统需要建立互信机制。二级认证系统首先需要在一级认证系统中注册,只有在可信范围内的二级认证系统才能使用级联认证功能,并相互导入证书,通信过程中基于证书采用HTTPS协议进行通信。
此外,两级认证系统拥有本侧的权威身份数据,认证结果以本地数据为准。因此,在认证过程中,一级认证系统与二级认证系统通信进行级联身份校验。级联编码的校验不能用简单字符串比较,如果只是字符,黑客很容易使用高账号级联编码替换原本只是低权限的用户,形成越权攻击。因此,将编码通过国密算法SM3进行完整性保护,组织非法篡改,避免任意修改用户的级联编码信息,导致账号盗用,实现了级联准入与身份核查双重校验确保两级认证系统的安全交互。
用国密算法SM3进行编码时ID、登录账号、级联编码、校验码的具体对应关系如表1所示。
表1ID、登录账号、级联编码、校验码对应关系表
| ID | 登录账号 | 级联编码 | 校验码 |
| 10000 | XiaoMing | 1900201 | 480eb54452f63abfa7f2eb0ffb1c62fe |
本实施例的其他部分与上述实施例1-3任一项相同,故不再赘述。
实施例5:
本实施例在上述实施例1-4任一项的基础上,以中央认证服务CAS系统为例,对本方案进行详细说明。
工作原理:如图1所示,原生的中央认证服务CAS技术提供的单点登录SSO认证过程如下:
一、用户访问系统A,系统A内置中央认证服务CAS客户端发现内置的中央认证服务CAS客户端组件会拦截用户请求,并检查用户会话有效性。如果会话有效,则允许访问;如果会话无效,则将用户请求转发至服务端,进入下一步。
二、中央认证服务CAS服务端检测用户客户端是否存储了身份票TGC(即中央认证服务CAS系统的存储在用户本地终端上的数据Cookie),如果有则说明已经登陆过,则自动为客户端生成用于访问业务系统使用的服务票ST,并将请求再次转发到业务系统端。业务系统根据第一步的描述再次进行服务票ST和会话校验。但如果检测到客户端没有身份票TGC,服务端将会展现登陆界面,要求用户提供身份凭证,并进入下一步。
三、用户提供凭证,中央认证服务CAS服务器对凭证进行验证,验证通过则为客户端生成身份票TGC,同时产生服务票ST,然后将请求转发到业务系统。此时用户将成功进入系统,并建立有效的会话Session。
原生的中央认证服务CAS技术体统的单点登录SSO认证机制可支撑本部署单位(域) 范围内的WEB系统单点登录,需要客户端系统都集成于同一套中央认证服务CAS服务端。对于集团公司,通常会建设统一移动门户,移动应用开发上架需要遵循统一的移动开发规范。这会涉及到应用授权问题,而应用授权业界使用最多的是OAuth2.0协议。但存在两个问题:一是中央认证服务CAS技术主要面向WEB端,无法应对移动应用的一些使用场景。二是无法支撑在同一集团公司多级部署时,存在多个中央认证服务CAS服务端的单点登录场景。
本实施例在在中央认证服务CAS系统的基础上,在中央认证服务CAS系统服务端组件上进行了扩展。假设有中央认证服务CAS系统服务端A集成域、中央认证服务CAS系统服务端B集成域,用户位于中央认证服务CAS系统服务端A集成域,但需要访问中央认证服务CAS系统服务端B集成域的移动应用。本方案在中央认证服务CAS服务端A新增级联票据校验接口和级联票据申请接口,请求需携带服务器跳转地址,专门处理级联请求。在中央认证服务CAS系统服务端B新增一个基于HTTP协议的级联校验接口,用于中央认证服务CAS系统服务端A调用向中央认证服务CAS系统服务端B核实用户身份。
整体处理步骤如下:
一、级联票据校验处理
1、中央认证服务CAS系统客户端携带密钥secret、级联票申请接口,中央认证服务CAS系统服务端A首先检查请求地址的合法性,如果在允许范围内,进入下一步,否则拒绝请求。中央认证服务CAS系统服务端A核实票据有效性,如果无效拒绝请求,否则进入下一步。
二、身份核实
2、中央认证服务CAS系统服务端A,将用户账号、级联编码以及对应的完整性校验信息发送给中央认证服务CAS系统服务端B,中央认证服务CAS系统服务端B首先检查数据完整性,如不完整则放弃该请求,否则进入下一步;中央认证服务CAS系统服务端B 取出级联编码,匹配本地用户并检查用户状态,如果匹配数为一个并且状态正常,进入下一步,否则放弃请求。中央认证服务CAS系统服务端B返回用户信息给中央认证服务CAS 系统服务端A。
如图3所示,从用户在移动门户中点击移动应用图标开始,直至移动应用级联登录成功的全过程具体包括以下步骤:
第一步:移动应用申请权码
前提条件:用户首先登录移动门户,移动门户已持有用户信息。
①用户点击移动应用,移动应用发现用户是未登录状态,因此向移动门户申请授权码 Authorization Code;
②移动门户对移动应用进行确认,若确认是合法应用,则颁发授权码Authorization Code 并将其返回给移动应用。
第二步:移动应用申请登录票
前提条件:移动应用已持有授权码Authorization Code
①移动应用使用授权码Authorization Code、应用ID即APPID以及必要安全校验信息,向中央认证服务CAS系统二获取应用的密钥secret,该密钥每个应用颁发一个;
②CAS系统二对应用信息进行确认,若确认是合法应用,则向移动应用返回授权码Authorization Code、应用IDAPPID以及密钥secret,密钥secret在后续接口交互中均需携带;
③移动应用向CAS系统二申请票据,提交密钥secret、应用ID即APPID、账号以及省ID信息,统一权限平台对用户信息进行确认后,生成登录票,并将票据信息ticket返回给移动应用。
第三步:移动应用使用登录票完成登录
①移动应用携带票据信息ticket访问移动应用后台,请求登录;移动应用APP后台携带票据信息ticket,前往中央认证服务CAS系统一进行身份确认,票据信息ticket由中央认证服务CAS系统二颁发,中央认证服务CAS系统一并无法验证,因此调用中央认证服务CAS系统二的级联票据校验接口;
②中央认证服务CAS系统二首先判断请求来源是否在允许访问的范围内,如不存在则返回失败;接下来会校验票据信息ticket,确认无误后并取出用户信息,将校验结果与用户信息一并返回;其中,用户信息中包含了重要的级联编码信息;
③中央认证服务CAS系统首先校验级联编码的完整性,若无问题则使用级联编码匹配本地用户,将匹配得到的用户信息以及票据信息ticket返回给移动应用后台。移动应用后台将用户信息返回给移动应用前段,登录完成。
本实施例将移动应用普遍使用的OAuth2.0协议与中央认证服务CAS架构的结合,通过与移动门户授权码机制结合,将授权码作为用户认证的关键要素,认证过程形成完整闭环。统一权限平台通过调用i国网接口对授权码进行核实,确认授权码有效才进入后续步骤,各个要素环环相扣,形成闭环。
级联准入与身份核查双重校验确保两级中央认证服务CAS服务端的安全交互,首先,两个认证系统需要建立互信机制。中央认证服务CAS服务端首先需要在另一侧服务端中注册,并相互导入证书,通信过程中基于证书采用HTTPS协议进行通信。
此外,两级中央认证服务CAS服务端拥有本侧的权威身份数据,颁发票据的中央认证服务CAS服务端前需要另一侧通过级联编码对身份进行校验。级联编码的校验不能用简单字符串比较,如果只是字符,黑客很容易使用高账号级联编码替换原本只是低权限的用户,形成越权攻击。因此,将编码通过国密算法SM3进行完整性保护,组织非法篡改,避免任意修改用户的级联编码信息,导致账号盗用。
本实施例的其他部分与上述实施例1-4任一项相同,故不再赘述。
以上所述,仅是本发明的较佳实施例,并非对本发明做任何形式上的限制,凡是依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化,均落入本发明的保护范围之内。
Claims (11)
1.一种基于移动应用的级联认证方法,用于位于一级认证系统的集成域的移动用户访问二级认证系统的集成域,其特征在于,包括以下步骤:
步骤1:用户访问移动应用,向移动门户申请授权码;
步骤2:移动应用使用得到的授权码向一级认证系统申请应用密钥;
步骤3:移动应用向一级认证系统提交应用密钥,一级认证系统向移动应用返回级联票;
步骤4:移动应用携带级联票访问移动应用后台,请求登录,移动应用后台携带级联票前往二级认证系统进行身份信息确认,并向一级认证系统发送身份信息校验请求;
步骤5:一级认证系统收到身份校验请求后对移动应用后台携带的级联票进行级联身份校验,核实用户登录时的身份信息,若核实成功向二级认证系统返回身份信息;
步骤6:二级认证系统根据得到的身份信息完成身份确认后,将得到的身份信息和级联票返回给一级认证系统,一级认证系统返回给移动应用,级联登录完成。
2.如权利要求1所述的一种基于移动应用的级联认证方法,其特征在于,在进行步骤1前还需进行操作:首先用户登录一级认证系统,获取用户在一级认证系统的用户数据和应用配置,所述用户数据包括用户标识、用户姓名、单位标识、用户级联编码,所述应用配置包括应用标识、应用名称;然后将获取的用户数据与二级认证系统的用户数据和应用配置统一。
3.如权利要求2所述的一种基于移动应用的级联认证方法,其特征在于,所述步骤3的具体操作为:在一级认证系统新增一个基于HTTPS协议的级联票据申请接口,移动应用向一级认证系统提交应用密钥、应用标识、用户标识、单位标识信息至一级认证系统的级联票据申请接口,级联票申请接口根据提交的应用密钥、应用标识、用户标识和单位标识信息生成相应的级联票返回给移动应用。
4.如权利要求3所述的一种基于移动应用的级联认证方法,其特征在于,所述步骤4的具体操作为:在二级认证系统新增一个基于HTTPS协议的级联身份校验接口,移动应用携带级联票申请接口生成的级联票访问移动应用后台,并向移动应用后台发送登录请求,移动应用后台携带级联票前往二级认证系统的级联身份校验接口进行身份信息确认,二级认证系统发现移动应用后台携带的级联票向一级认证系统发送身份校验请求。
5.如权利要求4所述的一种基于移动应用的级联认证方法,其特征在于,所述步骤5的具体操作为:在一级认证系统新增一个基于HTTPS协议的级联票据检验接口,一级认证系统收到身份校验请求后对移动应用后台携带的级联票进行校验,若级联票有效,一级认证系统调用二级认证系统的级联身份校验接口,传入用户标识信息和用户级联编码,二级认证系统首先核实用户级联编码的完整性,然后通过用户级联编码核实本地身份库中对应的用户信息,若核实无误则向二级认证系统返回身份信息,否则失败。
6.如权利要求1所述的一种基于移动应用的级联认证方法,其特征在于,在进行步骤1前还需进行操作:在一级认证系统中进行级联可信范围配置,在一级认证系统中注册二级单元名称、二级认证系统IP信息。
7.如权利要求6所述的一种基于移动应用的级联认证方法,其特征在于,所述步骤5中一级认证系统在进行级联票校验的校验操作包括对二级认证系统的合法性进行校验、对级联票的有效性进行校验和对用户的身份信息进行校验。
8.如权利要求7所述的一种基于移动应用的级联认证方法,其特征在于,所述对级联票的有效性进行校验的具体操作为:在级联票存储于缓存中的有效时长内检查级联票在缓存中是否存在。
9.如权利要求7所述的一种基于移动应用的级联认证方法,其特征在于,所述对二级认证系统的合法性进行校验的具体操作为:一级认证系统获取二级认证系统的IP信息,并判断IP地址是否在级联可信范围内,若不存在则直接返回失败。
10.如权利要求1-9任一项所述的一种基于移动应用的级联认证方法,其特征在于,所述步骤5中进行级联身份校验时,将用户级联编码通过国密算法SM3进行编码。
11.一种基于移动应用的级联认证系统,其特征在于,包括一级认证系统、二级认证系统、级联申请单元、级联校验单元、级联身份校验单元;
所述级联申请单元设置在一级认证系统,用于根据用户利用授权码向一级认证系统生成的应用密钥向移动应用返回级联票;
所述级联校验单元设置在一级认证系统,用于将移动应用携带的级联票进行校验,并将身份信息返回给二级认证系统;
所述级联身份校验单元设置在二级认证系统,用于对用户的身份信息进行确认,并将身份信息和级联票通过一级认证系统返回用户。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210574658.8A CN115118454B (zh) | 2022-05-25 | 2022-05-25 | 一种基于移动应用的级联认证系统及认证方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210574658.8A CN115118454B (zh) | 2022-05-25 | 2022-05-25 | 一种基于移动应用的级联认证系统及认证方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115118454A true CN115118454A (zh) | 2022-09-27 |
| CN115118454B CN115118454B (zh) | 2023-06-30 |
Family
ID=83327047
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210574658.8A Active CN115118454B (zh) | 2022-05-25 | 2022-05-25 | 一种基于移动应用的级联认证系统及认证方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115118454B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116155631A (zh) * | 2023-04-21 | 2023-05-23 | 四川中电启明星信息技术有限公司 | 一种企业级的正反向级联认证方法及系统 |
Citations (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101222335A (zh) * | 2008-02-02 | 2008-07-16 | 国电信息中心 | 一种应用系统间的级联认证方法及装置 |
| CN101626369A (zh) * | 2008-07-11 | 2010-01-13 | 中国移动通信集团公司 | 一种单点登录方法、设备及系统 |
| CN102739660A (zh) * | 2012-06-16 | 2012-10-17 | 华南师范大学 | 一种单点登录系统的密钥交换方法 |
| US20130145170A1 (en) * | 2011-12-01 | 2013-06-06 | International Business Machines Corporation | Cross system secure logon |
| CN103237235A (zh) * | 2013-03-18 | 2013-08-07 | 中国科学院信息工程研究所 | 一种面向云电视终端身份认证实现方法及系统 |
| CN104301418A (zh) * | 2014-10-23 | 2015-01-21 | 西安未来国际信息股份有限公司 | 一种基于saml的跨域单点登录系统及登录方法 |
| CN104539615A (zh) * | 2014-12-29 | 2015-04-22 | 中国南方电网有限责任公司 | 基于cas的级联认证方法 |
| CN104580184A (zh) * | 2014-12-29 | 2015-04-29 | 华中师范大学 | 互信应用系统间身份认证方法 |
| CN106209749A (zh) * | 2015-05-08 | 2016-12-07 | 阿里巴巴集团控股有限公司 | 单点登录方法及装置、相关设备和应用的处理方法及装置 |
| CN106534143A (zh) * | 2016-11-28 | 2017-03-22 | 上海斐讯数据通信技术有限公司 | 一种跨应用认证授权的方法和系统 |
| CN107508837A (zh) * | 2017-09-28 | 2017-12-22 | 山东浪潮通软信息科技有限公司 | 一种基于智能密码钥匙认证的跨平台异构系统登录方法 |
| US20180077143A1 (en) * | 2016-09-09 | 2018-03-15 | Microsoft Technology Licensing, Llc. | Cross-platform single sign-on accessibility of a productivity application within a software as a service platform |
| CN110661812A (zh) * | 2019-10-10 | 2020-01-07 | 国网山东省电力公司信息通信公司 | 一种基于区块链的级联认证系统 |
| CN110677376A (zh) * | 2018-07-03 | 2020-01-10 | 中国电信股份有限公司 | 认证方法、相关设备和系统及计算机可读存储介质 |
| CN112468481A (zh) * | 2020-11-23 | 2021-03-09 | 西安西热电站信息技术有限公司 | 一种基于CAS的单页和多页web应用身份集成认证方法 |
| CN112491881A (zh) * | 2020-11-26 | 2021-03-12 | 中国人寿保险股份有限公司 | 跨平台单点登录方法、系统、电子设备及存储介质 |
| CN112822675A (zh) * | 2021-01-11 | 2021-05-18 | 北京交通大学 | 面向MEC环境的基于OAuth2.0的单点登录机制 |
| WO2022006472A1 (en) * | 2020-07-01 | 2022-01-06 | Fp Complete Corporation | A system and method for configuring and deploying software infrastructure |
-
2022
- 2022-05-25 CN CN202210574658.8A patent/CN115118454B/zh active Active
Patent Citations (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101222335A (zh) * | 2008-02-02 | 2008-07-16 | 国电信息中心 | 一种应用系统间的级联认证方法及装置 |
| CN101626369A (zh) * | 2008-07-11 | 2010-01-13 | 中国移动通信集团公司 | 一种单点登录方法、设备及系统 |
| US20130145170A1 (en) * | 2011-12-01 | 2013-06-06 | International Business Machines Corporation | Cross system secure logon |
| CN102739660A (zh) * | 2012-06-16 | 2012-10-17 | 华南师范大学 | 一种单点登录系统的密钥交换方法 |
| CN103237235A (zh) * | 2013-03-18 | 2013-08-07 | 中国科学院信息工程研究所 | 一种面向云电视终端身份认证实现方法及系统 |
| CN104301418A (zh) * | 2014-10-23 | 2015-01-21 | 西安未来国际信息股份有限公司 | 一种基于saml的跨域单点登录系统及登录方法 |
| CN104539615A (zh) * | 2014-12-29 | 2015-04-22 | 中国南方电网有限责任公司 | 基于cas的级联认证方法 |
| CN104580184A (zh) * | 2014-12-29 | 2015-04-29 | 华中师范大学 | 互信应用系统间身份认证方法 |
| CN106209749A (zh) * | 2015-05-08 | 2016-12-07 | 阿里巴巴集团控股有限公司 | 单点登录方法及装置、相关设备和应用的处理方法及装置 |
| US20180077143A1 (en) * | 2016-09-09 | 2018-03-15 | Microsoft Technology Licensing, Llc. | Cross-platform single sign-on accessibility of a productivity application within a software as a service platform |
| CN106534143A (zh) * | 2016-11-28 | 2017-03-22 | 上海斐讯数据通信技术有限公司 | 一种跨应用认证授权的方法和系统 |
| CN107508837A (zh) * | 2017-09-28 | 2017-12-22 | 山东浪潮通软信息科技有限公司 | 一种基于智能密码钥匙认证的跨平台异构系统登录方法 |
| CN110677376A (zh) * | 2018-07-03 | 2020-01-10 | 中国电信股份有限公司 | 认证方法、相关设备和系统及计算机可读存储介质 |
| CN110661812A (zh) * | 2019-10-10 | 2020-01-07 | 国网山东省电力公司信息通信公司 | 一种基于区块链的级联认证系统 |
| WO2022006472A1 (en) * | 2020-07-01 | 2022-01-06 | Fp Complete Corporation | A system and method for configuring and deploying software infrastructure |
| CN112468481A (zh) * | 2020-11-23 | 2021-03-09 | 西安西热电站信息技术有限公司 | 一种基于CAS的单页和多页web应用身份集成认证方法 |
| CN112491881A (zh) * | 2020-11-26 | 2021-03-12 | 中国人寿保险股份有限公司 | 跨平台单点登录方法、系统、电子设备及存储介质 |
| CN112822675A (zh) * | 2021-01-11 | 2021-05-18 | 北京交通大学 | 面向MEC环境的基于OAuth2.0的单点登录机制 |
Non-Patent Citations (2)
| Title |
|---|
| X. ZHOU: ""\"A Certificate Authority Domain-based Cross-domain Authentication Scheme for Virtual Enterprise Using Identity Based Encryption"", 《2021 7TH INTERNATIONAL CONFERENCE ON BIG DATA COMPUTING AND COMMUNICATIONS (BIGCOM)》 * |
| 赵华等: ""统一身份认证在跨区域信息化企业中的设计"", 《计算机与现代化》 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116155631A (zh) * | 2023-04-21 | 2023-05-23 | 四川中电启明星信息技术有限公司 | 一种企业级的正反向级联认证方法及系统 |
| CN116155631B (zh) * | 2023-04-21 | 2023-07-28 | 四川中电启明星信息技术有限公司 | 一种企业级的正反向级联认证方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115118454B (zh) | 2023-06-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8869253B2 (en) | Electronic system for securing electronic services | |
| JP6716745B2 (ja) | ブロックチェーン基盤の権限認証方法、端末及びこれを利用したサーバ | |
| US8904519B2 (en) | Shared registration system multi-factor authentication | |
| CN102006299B (zh) | 一种面向可信互联网的基于实体标识的身份认证方法及系统 | |
| US20090240936A1 (en) | System and method for storing client-side certificate credentials | |
| CN108684041A (zh) | 登录认证的系统和方法 | |
| US20210234850A1 (en) | System and method for accessing encrypted data remotely | |
| CN108111518B (zh) | 一种基于安全密码代理服务器的单点登录方法及系统 | |
| CN114301617A (zh) | 多云应用网关的身份认证方法、装置、计算机设备及介质 | |
| KR20050053967A (ko) | 시간 동기 기반 일회용 비밀번호를 이용한 인증시스템 및인증방법 | |
| JP2009118110A (ja) | 認証システムのメタデータプロビジョニング方法、システム、そのプログラムおよび記録媒体 | |
| CN115118454B (zh) | 一种基于移动应用的级联认证系统及认证方法 | |
| CN112383401B (zh) | 一种提供身份鉴别服务的用户名生成方法及系统 | |
| KR20200125279A (ko) | 블록 체인기반의 사용자 인증 방법, 시스템 | |
| KR20130039745A (ko) | 인증 연동 시스템 및 방법 | |
| KR100750214B1 (ko) | 공인 인증서를 이용한 로그인 방법 | |
| JP2004070814A (ja) | サーバセキュリティ管理方法及び装置並びにプログラム | |
| CN102594812B (zh) | 网络电视动态网络id认证方法和系统 | |
| CN111723347B (zh) | 身份认证方法、装置、电子设备及存储介质 | |
| KR20190114424A (ko) | 블록체인 기반의 통합 로그인 방법, 단말 및 이를 이용한 서버 | |
| CN109684818A (zh) | 一种防止机主登录密码泄露的跨终端式的服务器登录方法 | |
| CN115242511B (zh) | 一种多环境应用管理平台及管理方法 | |
| KR101499965B1 (ko) | 티켓을 이용하여 보안 정보를 인증하고 보호하는 방법 | |
| Misbahuddin et al. | A Unique-ID based Usable Multi-Factor Authentication Scheme for e-Services | |
| CN117081825A (zh) | 一种应用系统的认证漫游方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |