CN1738241A - 基于远程分布式组件的身份认证的安全控制方法 - Google Patents
基于远程分布式组件的身份认证的安全控制方法 Download PDFInfo
- Publication number
- CN1738241A CN1738241A CN 200510025481 CN200510025481A CN1738241A CN 1738241 A CN1738241 A CN 1738241A CN 200510025481 CN200510025481 CN 200510025481 CN 200510025481 A CN200510025481 A CN 200510025481A CN 1738241 A CN1738241 A CN 1738241A
- Authority
- CN
- China
- Prior art keywords
- authentication
- user
- server
- long
- distance distribution
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
一种基于远程分布式组件的身份认证的安全控制的方法,属于信息技术领域。利用现有的、经过企业验证的远程分布式组件系统,结合CA应用,建立使用企业级应用系统的用户的身份认证的安全控制机制,用户利用CA颁发的数字证书,向身份认证服务器进行身份认证,并在身份认证服务器得到的授权信息,得到使用应用系统的许可。本发明方法解决因身份认证应用而带来的安全问题,进而避免安全问题所导致的应用生命周期缩短,并控制为解决安全问题而带来的安全成本。
Description
技术领域
本发明涉及一种身份认证的安全控制的方法。具体地说,是一种基于远程分布式组件的身份认证的安全控制方法。属于信息技术领域。
背景技术
分布式组件对象模式是在目前应用最广的组件技术的基础上发展而来的,利用了组件软件技术的,将大而复杂的软件应用分成一系列的可先行实现、易于开发、理解和调整的软件单元,并在Internet上扩展组件应用。远程分布组件具有缩短开发时间、降低集成费用、开发更具灵性和开放跨平台的优势,简化了企业应用的开发过程。基于远程分布式组件的身份认证旨在构架一个灵活、安全、可靠的身份认证体系,它利用分布式组件对象的技术,在服务器上建立身份认证的分布式可复用组件,为各类应用提供统一集中的身份认证环境。
经文献检索发现,美国Sun Microsystems公司的JAAS技术规范文档说明:基于Java验证和授权服务定义对运行程序的用户的进行验证的应用访问接口,作为解决企业级应用系统身份认证问题的一种技术,并没有对身份认证安全机制做太多的考虑。大量已投入使用的基于“用户名+口令”的身份认证方式的安全性非常弱,用户名和口令易被窃取而导致损失;而且“用户名+口令”的认证方式用户使用起来也非常不方便,用户常常需要记住复杂的用户名和口令。同时,应用系统的中的数据信息在互联网上以明文的形式传送,极易被非法用户窃听而造成重要信息的泄漏。
发明内容
本发明的目的在于针对现有技术中的不足和缺陷,提供一种基于远程分布式组件的身份认证的安全控制方法,使其利用CA(Certificate Authority)对用户身份认证的身份认证的安全控制方法,解决企业级应用系统身份认证应用没有安全控制、用户的身份没有安全保护而带来的安全问题,进而避免安全问题所导致的应用生命周期缩短,并控制为解决安全问题而带来的安全成本。
本发明是通过以下技术方案实现的,本发明利用现有的、经过企业验证的远程分布式组件系统,结合CA应用,建立使用企业级应用系统的用户的身份认证的安全控制机制,用户利用CA颁发的数字证书,向身份认证服务器进行身份认证,并在身份认证服务器得到的授权信息,得到使用应用系统的许可。
所述的企业级应用系统,为其提供安全的访问服务,包括:
(1)从用户名+口令的登录认证方式升级到数字证书认证方式;
(2)利用分布式组件,使不同的应用系统可使用统一的认证方式,可实现单点登录。
(3)对重要的信息进行信息加密(RSA)传输和保存;
(4)对不可抵赖信息进行数字签名;
(5)对企业级应用系统进行保护,防止非法访问。
所述的使用企业级应用系统,用户在使用之前,必须得到企业级应用系统的数字证书,用户通过数字证书得到应用系统的使用许可,许可包含用户的身份信息及其得到的授权信息。
所述的向身份认证服务器进行身份认证,是利用远程分布式组件技术,构建安全认证组件,并把它部署到应用服务器,负责对用户的身份认证。
所述的向身份认证服务器进行身份认证,需要构建客户端代理插件,负责读取用户证书,并与服务器上的安全认证组件的安全身份认证之间通讯。
所述的身份认证,在用户发布登陆请求,发出自己的公钥证书时,服务器上的安全认证组件产生一个随机数据给客户端代理插件,用户用自己的私钥对随机数据进行加密并将加密所得值返回给服务器,与服务器上的安全认证组件验证用户的公钥证书,然后提取公钥解密该加密值,最后比对原随机数据,如果比对成功,通过用户的身份认证,分配应用系统的使用许可。
所述的许可包含用户的身份信息及其得到的授权信息。
本发明方法的主要技术点在于利用分布式组件技术,结合CA(CertificateAuthority)应用,建立使用企业级应用系统的用户的身份认证的安全控制机制,保证了身份认证的安全性和不可抵赖性。从应用的角度看,利用现有的、经过企业验证的分布式组件技术,使不同的应用系统可使用统一的认证方式,可实现单点登录。从安全的角度看,CA(Certificate Authority)应用,增加了利用数字证书进行的身份认证,通过可靠的加密机制来实现身份认证的安全性和不可抵赖性。
与现有技术相比,本发明的优点是:(1)更安全和方便的身份认证方式:消除了“用户名+口令”的传统登录方式带来的系统安全性问题,保证身份认证的安全性和准确性。(2)对关键信息加密传输和存储:使用本方法后,关键信息以密文的形式传输和存储,即使是系统管理员,也看不到此部分信息,只有拥有对应证书和私钥的用户才能看到此关键信息。(3)系统安装和使用都很简单:本软件将数字证书这一“复杂”的工具隐藏在系统后台,使用者不需要了解关于CA的任何知识就能方便的使用。在系统的安装上,普通的管理员按照说明书就能完成,极大的降低了技术门槛。(4)对已有的系统进行安全升级极为简单:使用本方法后,惟一改变就是将应用系统的用户名和口令换成公司企业级CA签发的用户证书。(5)可支持多种证书存储介质:e-Key、USB棒、IC卡、磁盘。可以根据应用系统情况酌情选择。(6)使用的加密算法符合国家密码委员会的规定,支持大的CA系统。
具体实施方式
下面结合本发明在“数据交换系统”中的应用,提供一个实施例对本发明进行说明。
首先对数据交换系统和应用分别做简要说明。
数据交换系统是为企业级应用系统中各类应用系统的数据交换提供一个统一的、规范化的、遵循XML标准的应用数据交换系统,为企业级应用系统中各类应用系统提供信息共享和数据整合的手段。数据交换系统是一种完成交易转接功能的交换中心应用软件,为一个或多个应用系统提供相互间完全的、安全的数据交换服务。系统采用模块化结构设计,既能很容易的连接外部网络,也能很容易地连接其它的应用系统,并能方便地在系统中增加新设备,或增加新的应用项目,在应用时,数据交换系统将企业的各个应用系统有机地连接在一起,实现数据格式转换、数据传输路由选择、存储转发处理、数据交换管理等功能。该系统采用J2EE技术实现,采用Weblogic作为消息服务器,采用MS SQL SERVER数据库作为数据交换中心的数据库服务器。客户端采用JAVA SWING技术实现。
具体的实施过程如下:
(1)构建企业级CA系统,负责给颁发和管理数字证书。公共数据交换中心的CA系统是业务系统使用许可库,许可库在数据交换中心的数据库服务器上。业务系统使用许可库包含业务系统的基本信息和数据交换中心为它生成的证书等信息。
(2)构建安全认证组件,并把它部署到应用服务器,负责对业务系统的身份进行认证。
(3)构建业务系统客户端代理插件,负责读取用户证书,并与服务器上的安全认证组件的安全身份认证之间通讯。
(4)对客户端认证进行一定的修改。
上述实施例保持了身份认证的功能,增加了身份认证的安全保证。从开发量和应用的体系结构两方面看,应用的变动都很小,因而开发周期也很短。从应用的角度看,利用现有的、经过企业验证的分布式组件技术,使不同的应用系统可使用统一的认证方式,可实现单点登录。从安全的角度看,CA(CertificateAuthority)应用,增加了利用数字证书进行的身份认证,通过可靠的加密机制来实现身份认证的安全性和不可抵赖性。
Claims (7)
1、一种基于远程分布式组件的身份认证的安全控制的方法,其特征在于,利用现有的、经过企业验证的远程分布式组件系统,结合CA应用,建立使用企业级应用系统的用户的身份认证的安全控制机制,用户利用CA颁发的数字证书,向身份认证服务器进行身份认证,并在身份认证服务器得到的授权信息,得到使用应用系统的许可。
2、根据权利要求1所述的在基于远程分布式组件的身份认证的安全控制的方法,其特征是,所述的企业级应用系统,为其提供安全的访问服务,包括:
(1)从用户名+口令的登录认证方式升级到数字证书认证方式;
(2)利用分布式组件,使不同的应用系统可使用统一的认证方式,可实现单点登录;
(3)对重要的信息进行信息加密(RSA)传输和保存;
(4)对不可抵赖信息进行数字签名;
(5)对企业级应用系统进行保护,防止非法访问。
3、根据权利要求1或者2所述的在基于远程分布式组件的身份认证的安全控制的方法,其特征是,所述的使用企业级应用系统,用户在使用之前,必须得到企业级应用系统的数字证书,用户通过数字证书得到应用系统的使用许可,许可包含用户的身份信息及其得到的授权信息。
4、根据权利要求1所述的在基于远程分布式组件的身份认证的安全控制的方法,其特征是,所述的向身份认证服务器进行身份认证,是利用远程分布式组件技术,构建安全认证组件,并把它部署到应用服务器,负责对用户的身份认证。
5、根据权利要求1或者4所述的在基于远程分布式组件的身份认证的安全控制的方法,其特征是,所述的向身份认证服务器进行身份认证,需要构建客户端代理插件,负责读取用户证书,并与服务器上的安全认证组件的安全身份认证之间通讯。
6、根据权利要求5所述的在基于远程分布式组件的身份认证的安全控制的方法,其特征是,所述的身份认证,在用户发布登陆请求,发出自己的公钥证书时,服务器上的安全认证组件产生一个随机数据给客户端代理插件,用户用自己的私钥对随机数据进行加密并将加密所得值返回给服务器,与服务器上的安全认证组件验证用户的公钥证书,然后提取公钥解密该加密值,最后比对原随机数据,如果比对成功,通过用户的身份认证,分配应用系统的使用许可。
7、根据权利要求1所述的在基于远程分布式组件的身份认证的安全控制的方法,其特征是,所述的许可包含用户的身份信息及其得到的授权信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200510025481 CN1738241A (zh) | 2005-04-28 | 2005-04-28 | 基于远程分布式组件的身份认证的安全控制方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200510025481 CN1738241A (zh) | 2005-04-28 | 2005-04-28 | 基于远程分布式组件的身份认证的安全控制方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN1738241A true CN1738241A (zh) | 2006-02-22 |
Family
ID=36080910
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 200510025481 Pending CN1738241A (zh) | 2005-04-28 | 2005-04-28 | 基于远程分布式组件的身份认证的安全控制方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1738241A (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102412969A (zh) * | 2011-11-14 | 2012-04-11 | 深圳市深信服电子科技有限公司 | 远程使用证书与密钥进行认证的方法、装置及系统 |
| CN102420808A (zh) * | 2011-06-30 | 2012-04-18 | 南京中兴软创科技股份有限公司 | 一种在电信网上营业厅实现单点登录的方法 |
| CN102468961A (zh) * | 2010-11-18 | 2012-05-23 | 卓望数码技术(深圳)有限公司 | 一种分布式企业认证鉴权方法、系统及嵌入终端 |
| CN103097970A (zh) * | 2010-08-19 | 2013-05-08 | Abb技术有限公司 | 用于对机器人控制器提供安全远程访问的系统和方法 |
| CN104468532A (zh) * | 2014-11-19 | 2015-03-25 | 成都卫士通信息安全技术有限公司 | 一种跨多级网络边界的网络资源访问接入控制方法 |
| CN105530250A (zh) * | 2015-12-09 | 2016-04-27 | 美的集团股份有限公司 | 家用电器的鉴权激活方法和系统 |
-
2005
- 2005-04-28 CN CN 200510025481 patent/CN1738241A/zh active Pending
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103097970A (zh) * | 2010-08-19 | 2013-05-08 | Abb技术有限公司 | 用于对机器人控制器提供安全远程访问的系统和方法 |
| CN103097970B (zh) * | 2010-08-19 | 2015-10-21 | Abb技术有限公司 | 用于对机器人控制器提供安全远程访问的系统和方法 |
| CN102468961A (zh) * | 2010-11-18 | 2012-05-23 | 卓望数码技术(深圳)有限公司 | 一种分布式企业认证鉴权方法、系统及嵌入终端 |
| CN102420808A (zh) * | 2011-06-30 | 2012-04-18 | 南京中兴软创科技股份有限公司 | 一种在电信网上营业厅实现单点登录的方法 |
| CN102420808B (zh) * | 2011-06-30 | 2014-07-23 | 南京中兴软创科技股份有限公司 | 一种在电信网上营业厅实现单点登录的方法 |
| CN102412969A (zh) * | 2011-11-14 | 2012-04-11 | 深圳市深信服电子科技有限公司 | 远程使用证书与密钥进行认证的方法、装置及系统 |
| CN102412969B (zh) * | 2011-11-14 | 2014-11-05 | 深圳市深信服电子科技有限公司 | 远程使用证书与密钥进行认证的方法、装置及系统 |
| CN104468532A (zh) * | 2014-11-19 | 2015-03-25 | 成都卫士通信息安全技术有限公司 | 一种跨多级网络边界的网络资源访问接入控制方法 |
| CN105530250A (zh) * | 2015-12-09 | 2016-04-27 | 美的集团股份有限公司 | 家用电器的鉴权激活方法和系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109918878B (zh) | 一种基于区块链的工业物联网设备身份认证及安全交互方法 | |
| CN108390851B (zh) | 一种用于工业设备的安全远程控制系统及方法 | |
| EP2661855B1 (en) | Method and apparatus for on-site authorisation | |
| CN109687965B (zh) | 一种保护网络中用户身份信息的实名认证方法 | |
| EP1582950A2 (en) | Digital rights management system and method | |
| US20150039896A1 (en) | System and method for pool-based identity generation and use for service access | |
| CN104580250A (zh) | 一种基于安全芯片进行可信身份认证的系统和方法 | |
| CN106936588B (zh) | 一种硬件控制锁的托管方法、装置及系统 | |
| CN101841525A (zh) | 安全接入方法、系统及客户端 | |
| RU2011153984A (ru) | Доверенный администратор достоверности (tim) | |
| CN104125226A (zh) | 一种锁定和解锁应用的方法、装置及系统 | |
| CN103152179A (zh) | 一种适用于多应用系统的统一身份认证方法 | |
| CN106533693B (zh) | 轨道车辆监控检修系统的接入方法和装置 | |
| CN102377788A (zh) | 单点登录系统及其单点登录方法 | |
| CN112543184B (zh) | 一种基于区块链的设备认证激活方法 | |
| Aung et al. | Ethereum-based emergency service for smart home system: Smart contract implementation | |
| CN1738241A (zh) | 基于远程分布式组件的身份认证的安全控制方法 | |
| CN111435390A (zh) | 一种配电终端运维工具安全防护方法 | |
| CN105471901A (zh) | 一种工业信息安全认证系统 | |
| CN102404112A (zh) | 一种可信终端接入认证方法 | |
| CN110795765B (zh) | 一种基于u盾的个人移动区块链操作系统 | |
| CN114091009B (zh) | 利用分布式身份标识建立安全链接的方法 | |
| CN114866346A (zh) | 一种基于分散式的密码服务平台 | |
| CN104735064A (zh) | 一种标识密码系统中标识安全撤销并更新的方法 | |
| CN201976122U (zh) | 以usb key为证书介质的内外网接入认证系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |