CN1738241A - 基于远程分布式组件的身份认证的安全控制方法 - Google Patents

基于远程分布式组件的身份认证的安全控制方法 Download PDF

Info

Publication number
CN1738241A
CN1738241A CN 200510025481 CN200510025481A CN1738241A CN 1738241 A CN1738241 A CN 1738241A CN 200510025481 CN200510025481 CN 200510025481 CN 200510025481 A CN200510025481 A CN 200510025481A CN 1738241 A CN1738241 A CN 1738241A
Authority
CN
China
Prior art keywords
authentication
user
server
security control
long
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN 200510025481
Other languages
English (en)
Inventor
蒋兴浩
吴小寅
黄烨
樊帕璇
徐晓春
朱俊伟
邱晨明
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
SHANGHAI GOVERNMENT OFFICE INFORMATION CENTER
Shanghai Jiao Tong University
Original Assignee
SHANGHAI GOVERNMENT OFFICE INFORMATION CENTER
Shanghai Jiao Tong University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by SHANGHAI GOVERNMENT OFFICE INFORMATION CENTER, Shanghai Jiao Tong University filed Critical SHANGHAI GOVERNMENT OFFICE INFORMATION CENTER
Priority to CN 200510025481 priority Critical patent/CN1738241A/zh
Publication of CN1738241A publication Critical patent/CN1738241A/zh
Pending legal-status Critical Current

Links

Landscapes

  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

一种基于远程分布式组件的身份认证的安全控制的方法,属于信息技术领域。利用现有的、经过企业验证的远程分布式组件系统,结合CA应用,建立使用企业级应用系统的用户的身份认证的安全控制机制,用户利用CA颁发的数字证书,向身份认证服务器进行身份认证,并在身份认证服务器得到的授权信息,得到使用应用系统的许可。本发明方法解决因身份认证应用而带来的安全问题,进而避免安全问题所导致的应用生命周期缩短,并控制为解决安全问题而带来的安全成本。

Description

基于远程分布式组件的身份认证的安全控制方法
技术领域
本发明涉及一种身份认证的安全控制的方法。具体地说,是一种基于远程分布式组件的身份认证的安全控制方法。属于信息技术领域。
背景技术
分布式组件对象模式是在目前应用最广的组件技术的基础上发展而来的,利用了组件软件技术的,将大而复杂的软件应用分成一系列的可先行实现、易于开发、理解和调整的软件单元,并在Internet上扩展组件应用。远程分布组件具有缩短开发时间、降低集成费用、开发更具灵性和开放跨平台的优势,简化了企业应用的开发过程。基于远程分布式组件的身份认证旨在构架一个灵活、安全、可靠的身份认证体系,它利用分布式组件对象的技术,在服务器上建立身份认证的分布式可复用组件,为各类应用提供统一集中的身份认证环境。
经文献检索发现,美国Sun Microsystems公司的JAAS技术规范文档说明:基于Java验证和授权服务定义对运行程序的用户的进行验证的应用访问接口,作为解决企业级应用系统身份认证问题的一种技术,并没有对身份认证安全机制做太多的考虑。大量已投入使用的基于“用户名+口令”的身份认证方式的安全性非常弱,用户名和口令易被窃取而导致损失;而且“用户名+口令”的认证方式用户使用起来也非常不方便,用户常常需要记住复杂的用户名和口令。同时,应用系统的中的数据信息在互联网上以明文的形式传送,极易被非法用户窃听而造成重要信息的泄漏。
发明内容
本发明的目的在于针对现有技术中的不足和缺陷,提供一种基于远程分布式组件的身份认证的安全控制方法,使其利用CA(Certificate Authority)对用户身份认证的身份认证的安全控制方法,解决企业级应用系统身份认证应用没有安全控制、用户的身份没有安全保护而带来的安全问题,进而避免安全问题所导致的应用生命周期缩短,并控制为解决安全问题而带来的安全成本。
本发明是通过以下技术方案实现的,本发明利用现有的、经过企业验证的远程分布式组件系统,结合CA应用,建立使用企业级应用系统的用户的身份认证的安全控制机制,用户利用CA颁发的数字证书,向身份认证服务器进行身份认证,并在身份认证服务器得到的授权信息,得到使用应用系统的许可。
所述的企业级应用系统,为其提供安全的访问服务,包括:
(1)从用户名+口令的登录认证方式升级到数字证书认证方式;
(2)利用分布式组件,使不同的应用系统可使用统一的认证方式,可实现单点登录。
(3)对重要的信息进行信息加密(RSA)传输和保存;
(4)对不可抵赖信息进行数字签名;
(5)对企业级应用系统进行保护,防止非法访问。
所述的使用企业级应用系统,用户在使用之前,必须得到企业级应用系统的数字证书,用户通过数字证书得到应用系统的使用许可,许可包含用户的身份信息及其得到的授权信息。
所述的向身份认证服务器进行身份认证,是利用远程分布式组件技术,构建安全认证组件,并把它部署到应用服务器,负责对用户的身份认证。
所述的向身份认证服务器进行身份认证,需要构建客户端代理插件,负责读取用户证书,并与服务器上的安全认证组件的安全身份认证之间通讯。
所述的身份认证,在用户发布登陆请求,发出自己的公钥证书时,服务器上的安全认证组件产生一个随机数据给客户端代理插件,用户用自己的私钥对随机数据进行加密并将加密所得值返回给服务器,与服务器上的安全认证组件验证用户的公钥证书,然后提取公钥解密该加密值,最后比对原随机数据,如果比对成功,通过用户的身份认证,分配应用系统的使用许可。
所述的许可包含用户的身份信息及其得到的授权信息。
本发明方法的主要技术点在于利用分布式组件技术,结合CA(CertificateAuthority)应用,建立使用企业级应用系统的用户的身份认证的安全控制机制,保证了身份认证的安全性和不可抵赖性。从应用的角度看,利用现有的、经过企业验证的分布式组件技术,使不同的应用系统可使用统一的认证方式,可实现单点登录。从安全的角度看,CA(Certificate Authority)应用,增加了利用数字证书进行的身份认证,通过可靠的加密机制来实现身份认证的安全性和不可抵赖性。
与现有技术相比,本发明的优点是:(1)更安全和方便的身份认证方式:消除了“用户名+口令”的传统登录方式带来的系统安全性问题,保证身份认证的安全性和准确性。(2)对关键信息加密传输和存储:使用本方法后,关键信息以密文的形式传输和存储,即使是系统管理员,也看不到此部分信息,只有拥有对应证书和私钥的用户才能看到此关键信息。(3)系统安装和使用都很简单:本软件将数字证书这一“复杂”的工具隐藏在系统后台,使用者不需要了解关于CA的任何知识就能方便的使用。在系统的安装上,普通的管理员按照说明书就能完成,极大的降低了技术门槛。(4)对已有的系统进行安全升级极为简单:使用本方法后,惟一改变就是将应用系统的用户名和口令换成公司企业级CA签发的用户证书。(5)可支持多种证书存储介质:e-Key、USB棒、IC卡、磁盘。可以根据应用系统情况酌情选择。(6)使用的加密算法符合国家密码委员会的规定,支持大的CA系统。
具体实施方式
下面结合本发明在“数据交换系统”中的应用,提供一个实施例对本发明进行说明。
首先对数据交换系统和应用分别做简要说明。
数据交换系统是为企业级应用系统中各类应用系统的数据交换提供一个统一的、规范化的、遵循XML标准的应用数据交换系统,为企业级应用系统中各类应用系统提供信息共享和数据整合的手段。数据交换系统是一种完成交易转接功能的交换中心应用软件,为一个或多个应用系统提供相互间完全的、安全的数据交换服务。系统采用模块化结构设计,既能很容易的连接外部网络,也能很容易地连接其它的应用系统,并能方便地在系统中增加新设备,或增加新的应用项目,在应用时,数据交换系统将企业的各个应用系统有机地连接在一起,实现数据格式转换、数据传输路由选择、存储转发处理、数据交换管理等功能。该系统采用J2EE技术实现,采用Weblogic作为消息服务器,采用MS SQL SERVER数据库作为数据交换中心的数据库服务器。客户端采用JAVA SWING技术实现。
具体的实施过程如下:
(1)构建企业级CA系统,负责给颁发和管理数字证书。公共数据交换中心的CA系统是业务系统使用许可库,许可库在数据交换中心的数据库服务器上。业务系统使用许可库包含业务系统的基本信息和数据交换中心为它生成的证书等信息。
(2)构建安全认证组件,并把它部署到应用服务器,负责对业务系统的身份进行认证。
(3)构建业务系统客户端代理插件,负责读取用户证书,并与服务器上的安全认证组件的安全身份认证之间通讯。
(4)对客户端认证进行一定的修改。
上述实施例保持了身份认证的功能,增加了身份认证的安全保证。从开发量和应用的体系结构两方面看,应用的变动都很小,因而开发周期也很短。从应用的角度看,利用现有的、经过企业验证的分布式组件技术,使不同的应用系统可使用统一的认证方式,可实现单点登录。从安全的角度看,CA(CertificateAuthority)应用,增加了利用数字证书进行的身份认证,通过可靠的加密机制来实现身份认证的安全性和不可抵赖性。

Claims (7)

1、一种基于远程分布式组件的身份认证的安全控制的方法,其特征在于,利用现有的、经过企业验证的远程分布式组件系统,结合CA应用,建立使用企业级应用系统的用户的身份认证的安全控制机制,用户利用CA颁发的数字证书,向身份认证服务器进行身份认证,并在身份认证服务器得到的授权信息,得到使用应用系统的许可。
2、根据权利要求1所述的在基于远程分布式组件的身份认证的安全控制的方法,其特征是,所述的企业级应用系统,为其提供安全的访问服务,包括:
(1)从用户名+口令的登录认证方式升级到数字证书认证方式;
(2)利用分布式组件,使不同的应用系统可使用统一的认证方式,可实现单点登录;
(3)对重要的信息进行信息加密(RSA)传输和保存;
(4)对不可抵赖信息进行数字签名;
(5)对企业级应用系统进行保护,防止非法访问。
3、根据权利要求1或者2所述的在基于远程分布式组件的身份认证的安全控制的方法,其特征是,所述的使用企业级应用系统,用户在使用之前,必须得到企业级应用系统的数字证书,用户通过数字证书得到应用系统的使用许可,许可包含用户的身份信息及其得到的授权信息。
4、根据权利要求1所述的在基于远程分布式组件的身份认证的安全控制的方法,其特征是,所述的向身份认证服务器进行身份认证,是利用远程分布式组件技术,构建安全认证组件,并把它部署到应用服务器,负责对用户的身份认证。
5、根据权利要求1或者4所述的在基于远程分布式组件的身份认证的安全控制的方法,其特征是,所述的向身份认证服务器进行身份认证,需要构建客户端代理插件,负责读取用户证书,并与服务器上的安全认证组件的安全身份认证之间通讯。
6、根据权利要求5所述的在基于远程分布式组件的身份认证的安全控制的方法,其特征是,所述的身份认证,在用户发布登陆请求,发出自己的公钥证书时,服务器上的安全认证组件产生一个随机数据给客户端代理插件,用户用自己的私钥对随机数据进行加密并将加密所得值返回给服务器,与服务器上的安全认证组件验证用户的公钥证书,然后提取公钥解密该加密值,最后比对原随机数据,如果比对成功,通过用户的身份认证,分配应用系统的使用许可。
7、根据权利要求1所述的在基于远程分布式组件的身份认证的安全控制的方法,其特征是,所述的许可包含用户的身份信息及其得到的授权信息。
CN 200510025481 2005-04-28 2005-04-28 基于远程分布式组件的身份认证的安全控制方法 Pending CN1738241A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN 200510025481 CN1738241A (zh) 2005-04-28 2005-04-28 基于远程分布式组件的身份认证的安全控制方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN 200510025481 CN1738241A (zh) 2005-04-28 2005-04-28 基于远程分布式组件的身份认证的安全控制方法

Publications (1)

Publication Number Publication Date
CN1738241A true CN1738241A (zh) 2006-02-22

Family

ID=36080910

Family Applications (1)

Application Number Title Priority Date Filing Date
CN 200510025481 Pending CN1738241A (zh) 2005-04-28 2005-04-28 基于远程分布式组件的身份认证的安全控制方法

Country Status (1)

Country Link
CN (1) CN1738241A (zh)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102412969A (zh) * 2011-11-14 2012-04-11 深圳市深信服电子科技有限公司 远程使用证书与密钥进行认证的方法、装置及系统
CN102420808A (zh) * 2011-06-30 2012-04-18 南京中兴软创科技股份有限公司 一种在电信网上营业厅实现单点登录的方法
CN102468961A (zh) * 2010-11-18 2012-05-23 卓望数码技术(深圳)有限公司 一种分布式企业认证鉴权方法、系统及嵌入终端
CN103097970A (zh) * 2010-08-19 2013-05-08 Abb技术有限公司 用于对机器人控制器提供安全远程访问的系统和方法
CN104468532A (zh) * 2014-11-19 2015-03-25 成都卫士通信息安全技术有限公司 一种跨多级网络边界的网络资源访问接入控制方法
CN105530250A (zh) * 2015-12-09 2016-04-27 美的集团股份有限公司 家用电器的鉴权激活方法和系统

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103097970A (zh) * 2010-08-19 2013-05-08 Abb技术有限公司 用于对机器人控制器提供安全远程访问的系统和方法
CN103097970B (zh) * 2010-08-19 2015-10-21 Abb技术有限公司 用于对机器人控制器提供安全远程访问的系统和方法
CN102468961A (zh) * 2010-11-18 2012-05-23 卓望数码技术(深圳)有限公司 一种分布式企业认证鉴权方法、系统及嵌入终端
CN102420808A (zh) * 2011-06-30 2012-04-18 南京中兴软创科技股份有限公司 一种在电信网上营业厅实现单点登录的方法
CN102420808B (zh) * 2011-06-30 2014-07-23 南京中兴软创科技股份有限公司 一种在电信网上营业厅实现单点登录的方法
CN102412969A (zh) * 2011-11-14 2012-04-11 深圳市深信服电子科技有限公司 远程使用证书与密钥进行认证的方法、装置及系统
CN102412969B (zh) * 2011-11-14 2014-11-05 深圳市深信服电子科技有限公司 远程使用证书与密钥进行认证的方法、装置及系统
CN104468532A (zh) * 2014-11-19 2015-03-25 成都卫士通信息安全技术有限公司 一种跨多级网络边界的网络资源访问接入控制方法
CN105530250A (zh) * 2015-12-09 2016-04-27 美的集团股份有限公司 家用电器的鉴权激活方法和系统

Similar Documents

Publication Publication Date Title
CN108270571B (zh) 基于区块链的物联网身份认证系统及其方法
WO2021179449A1 (zh) 一种基于证书身份认证的拟态防御系统及证书签发方法
US9332002B1 (en) Authenticating and authorizing a user by way of a digital certificate
CN101159556B (zh) 基于组密钥服务器的共享加密文件系统中的密钥管理方法
CN101605137B (zh) 安全分布式文件系统
CN109687965B (zh) 一种保护网络中用户身份信息的实名认证方法
CN109936569A (zh) 一种基于以太坊区块链的去中心化数字身份登录管理系统
CN102377788B (zh) 单点登录系统及其单点登录方法
CN106713279B (zh) 一种视频终端身份认证系统
CN108737348A (zh) 一种基于区块链的智能合约的物联网设备访问控制方法
CN104580250A (zh) 一种基于安全芯片进行可信身份认证的系统和方法
CN105577665A (zh) 一种云环境下的身份和访问控制管理系统及方法
US20140013110A1 (en) Non-hierarchical infrastructure for managing twin-security keys of physical persons or of elements (igcp/pki)
CN103152179A (zh) 一种适用于多应用系统的统一身份认证方法
CN103248479A (zh) 云存储安全系统、数据保护以及共享方法
CN112528250A (zh) 通过区块链实现数据隐私和数字身份的系统及方法
CN101527634B (zh) 账户信息与证书绑定的系统和方法
CN101409619A (zh) 闪存卡及虚拟专用网密钥交换的实现方法
CN105516119A (zh) 基于代理重签名的跨域身份认证方法
CN102299793A (zh) 一种基于可信计算密码支撑平台的证书认证系统
CN109981287A (zh) 一种代码签名方法及其存储介质
Aung et al. Ethereum-based emergency service for smart home system: Smart contract implementation
CN109587100A (zh) 一种云计算平台用户认证处理方法及系统
CN102404112A (zh) 一种可信终端接入认证方法
CN104657856A (zh) 基于位置认证的智能移动客户端支付方法及服务器系统

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C02 Deemed withdrawal of patent application after publication (patent law 2001)
WD01 Invention patent application deemed withdrawn after publication