CN1805336A - 面向asp模式的单一登录方法及系统 - Google Patents
面向asp模式的单一登录方法及系统 Download PDFInfo
- Publication number
- CN1805336A CN1805336A CN 200510001926 CN200510001926A CN1805336A CN 1805336 A CN1805336 A CN 1805336A CN 200510001926 CN200510001926 CN 200510001926 CN 200510001926 A CN200510001926 A CN 200510001926A CN 1805336 A CN1805336 A CN 1805336A
- Authority
- CN
- China
- Prior art keywords
- user
- asp
- authentication
- module
- application
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明公开了一种面向ASP模式的单一登录方法,该单一登录方法实现了ASP应用平台内不同应用系统间以及不同ASP应用平台间的单一登录。该单一登录方法以LDAP协议和SMAL规范为基础。本发明还公开了面向ASP模式的实现单一登录的系统,该系统包括安全信息存储模块、域安全服务器、可信第三方认证中心和管理配置工具四个部分。本发明解决了ASP模式下异构安全系统间认证和授权结果共享及单一登录的问题。
Description
技术领域
本发明涉及ASP模式下异构安全系统间的认证问题,更具体地说,本发明涉及ASP模式下实现同一ASP平台中不同应用系统间及不同ASP平台间单一登录的方法及系统。
背景技术
在互联网环境下,以电子政务、电子商务为代表的基于互联网的分布式计算得到了快速的应用与发展。应用服务提供商(Application Service Provider,简称ASP)的概念逐渐引起人们的注意,基于XML、Web服务和Portal技术的ASP应用平台和应用软件服务成为企业信息化与电子商务的一种发展趋势。
ASP应用平台能够通过互联网提供或整合企业内部的多种信息系统,如办公自动化、电子邮件、协作平台等,并以统一的用户界面方式提供给用户使用,为企业相关的管理者、应用提供商和用户提供统一的服务接入点。使得企业和个人客户都能够得到并负担得起最合适的应用软件,而无需自己构建、运营和管理应用基础设施,也无需关心这些应用所带来的技术问题。
从ASP应用平台模式可以看出,它具有如下特征:一对多服务:ASP运营商的相同或者类似的套装服务软件提供给多个客户,用户如果需要访问不同的客户,需要登录不同的系统,如邮件、各种应用服务器等进行访问;以应用为中心:ASP运营商提供并管理的是软件应用,这种服务不同于包含完整的企业业务托管的业务流程外包,也不同于着重网络和服务器管理的基本托管服务;集中管理:ASP运营商从同一地点集中管理不同客户软件,客户各自远程使用软件。
ASP应用平台出于对所整合的多种应用系统安全性的考虑,往往具有相对独立的身份认证和授权机制,这使得ASP应用平台和用户必须面对安全机制的多样性和异构性,从而导致如下问题:
1、用户重复登录问题
随着ASP应用平台整合和提供的应用服务种类的增多,用户需要登录不同的应用系统。传统的认证机制是基于用户名/密码的,采用分散的用户管理。这就迫使用户必须在每个系统中具有独立的用户名和密码,进入系统时需要重新提交身份标识,通过系统的认证。大量的用户名、密码使得用户为了记住它们,或者选择简单信息作为口令,或者在多个系统选择一致的口令,降低了系统的安全性,增大了安全隐患。
2、系统授权管理复杂问题
ASP应用平台提供的应用系统具有独立的身份认证机制,对于管理者而言,需要对多个用户数据库进行管理,包括用户帐号的建立,用户离开组织时,各系统帐号的注销等。另外,由于各个ASP应用平台的安全策略也是独立、分布存储的,因此造成用户权限管理复杂等问题。
3、安全信息的互操作性问题
多个不同的ASP平台或者同一平台内的不同应用系统,如果具有异构的认证机制并需要协作完成任务时,用户需要跨越平台或系统的边界进行多次身份认证和授权。因此,用户的认证结果需要被传递并被接收者理解,才能达到单一登录的目的。
基于以上的原因,人们迫切需要改变传统的认证方式,设计出一种高效、安全的认证机制,从而简化访问ASP应用的过程。由于单一登录具有提高工作效率、有效管理、增强系统安全性等特点,因此,统一的用户和安全策略管理、统一认证授权、安全域内(指同一ASP平台中的不同应用系统之间)和安全域间(指不同的ASP平台间)的单一登录成为ASP应用平台急需解决的问题。
发明内容
鉴于上述原因,本发明的目的是提供一种面向ASP模式的基于LDAP协议和SAML规范的实现ASP应用平台内各系统间以及ASP应用平台间单一登录的方法及系统。
为实现上述目的,本发明采用以下技术方案:一种面向ASP模式的单一登录方法,该单一登录方法实现了ASP应用平台内不同应用系统间的单一登录,它包括以下步骤:
A、用户访问ASP应用平台内的遗留应用系统
(1)、用户登录ASP应用服务平台,将用户在各系统的帐号提供给ASP应用服务平台的域安全服务器;
域安全服务器将用户在ASP应用服务平台的帐号与用户在域内应用系统的帐号之间进行帐号联合,生成帐号联合信息,即建立一种联合关系Fed(A,P);
(2)、域安全服务器进行身份认证,将帐号联合信息存储到LDAP目录服务器中,使得域内每个用户拥有唯一的身份标识以及该标识向应用系统用户标识的映射关系;
(3)、用户访问ASP应用平台内的遗留应用系统;
(4)、遗留应用系统的认证模块向域安全服务器请求用户在遗留应用系统的账号信息;
(5)、域安全服务器根据预先制定的账号联合信息,将相应账号返回给遗留应用系统的认证模块;
(6)、遗留应用系统的认证模块对用户进行身份认证,完成用户访问遗留应用系统的身份认证;
B、用户访问ASP应用平台内的新增应用系统
(1)、用户访问ASP应用平台内的新增应用系统;
ASP应用服务平台的新增应用系统的管理员发布新增系统授权策略,即系统具有的角色、对应的权限;ASP应用服务平台的域安全服务器的管理员通过用户管理工具,为用户制定在新增应用具有的角色,从而为用户分配相应的权限;
(2)、新增应用系统的认证模块向域安全服务器请求用户U在新增应用系统PN的账号信息;
(3)、ASP应用平台的域安全服务器根据管理员预先制定的安全策略和用户的角色指派,生成相应的SAML授权声明;
(4)、ASP应用平台的域安全服务器将SAML授权声明返回给新增应用系统的授权执行模块;
(5)、新增应用系统的授权执行模块根据SAML授权声明,对用户做出访问控制。
一种面向ASP模式的单一登录方法,该单一登录方法实现了ASP应用平台间的单一登录,它包括以下步骤:
A、用户首先访问第一个ASPA应用平台
①用户访问ASPA应用平台;
②ASPA应用平台将用户重定向到可信第三方认证中心进行全局登录;
③用户在可信第三方认证中心登录;
④由可信第三方认证中心进行身份认证,由可信第三方认证中心根据认证结果为用户生成SAML认证声明及票据,并建立相应的会话;
⑤可信第三方认证中心将用户重定向到ASPA应用平台,并携带可信第三方认证中心颁发的票据,携带票据是为了防止重放攻击;
⑥ASPA根据得到的票据向可信第三方认证中心请求票据对应的完整的SAML认证声明;
⑦可信第三方认证中心将完整的SAML认证声明提供给ASPA应用平台的认证模块;
⑧ASPA应用平台的认证模块根据SAML认证声明的内容,对用户进行身份认证;
B、用户访问第二个ASPB应用平台
①用户访问ASPB应用平台;
②ASPB应用平台将用户重定向到可信第三方认证中心;
③可信第三方认证中心根据当前用户的会话信息,为用户生成认证声明及对应的票据;
④并将用户重定向到ASPB应用平台,携带可信第三方认证中心颁发的票据;
⑤ASPB应用平台根据得到的票据向可信第三方认证中心请求票据对应的完整的SAML认证声明;
⑥可信第三方认证中心将完整的SAML认证声明提供给ASPB应用平台的认证模块;
⑦ASPB应用平台的认证模块根据SAML认证声明的内容,对用户进行身份认证,从而达到用户只在第三方认证中心登录一次,就可以在ASPA和ASPB进行访问。
一种面向ASP模式的单一登录系统,它包括安全信息存储模块、域安全服务器、可信第三方认证中心和管理配置工具四个部分;
安全信息存储模块包括LDAP服务器和目录服务访问接口;LDAP服务器采用LDAP目录服务方式集中存储一个安全域内用户帐号信息和安全策略;目录服务访问接口用于访问LDAP服务器的接口,它封装了对于目录服务各种条目及其属性进行操作的应用程序接口API;
域安全服务器是实现安全域内不同应用系统间单一登录的核心部件,用于安全域用户的身份认证、身份映射、自动为安全域内遗留应用系统的认证模块传递用户的帐号信息、为新增应用系统的授权执行模块传递用户在新增应用的授权结果;
可信第三方认证中心是实现安全域间单一登录的核心部件,用于完成对全局用户进行统一身份认证,为用户构造SAML认证声明,并颁发声明对应的票据,对认证声明进行存储和管理,以及响应各安全域的对票据对应声明的查询;
管理配置工具主要实现对帐号联合信息的定制,新增应用访问控制策略的定制,以及用户的身份映射策略的定制以及用户管理的功能。
所述域安全服务器包括五个功能模块:身份认证模块、身份映射模块、票据解析处理模块、认证代理模块和授权代理模块;
身份认证模块:根据目录服务中存储的用户帐号信息,完成对安全域用户的身份验证。支持通过票据的全局用户登录,也支持直接在本地登录;身份映射模块:根据预先制定的身份映射策略,完成将全局用户身份(即可信第三放所担保的用户身份)映射成为安全域用户身份,身份映射策略可以动态的制定;
票据解析处理模块:验证认证中心为用户颁发的访问其它安全域的身份认证声明所对应的票据是否有效,验证有效性的规则通过管理工具进行配置;
认证代理模块:结合目录服务中预先存储的帐号联合信息,自动的将用户的认证信息传递给遗留应用的身份认证模块,对用户进行身份认证,向用户屏蔽登录过程;
授权代理模块:根据新增应用管理员预先制定的新增应用授权策略,自动为当前安全域用户生成授权声明,并自动的传递给新增应用的授权执行模块,对用户作出访问控制。
所述可信第三方认证中心包括五个功能模块:全局身份认证模块、担保服务模块、用户管理模块、认证声明存储和管理模块、全局用户身份数据库模块;
全局身份认证模块:负责对用户进行全局的身份认证,通过与全局用户身份数据库模块中的信息进行对比,验证用户是否为合法的全局用户;
担保服务模块:根据全局身份认证的结果,为用户生成证明其全局身份的SAML认证声明以及与声明对应的票据,传递给其它安全域的身份认证模块;
用户管理模块:负责维护全局用户的信息,主要是用户的帐号信息。
认证声明存储和管理模块:负责对于担保服务所生成的认证声明进行维护,包括增、删、改、查等操作;
全局用户身份数据库模块:用于存储全局用户的帐号信息,用于对用户进行全局身份认证。
本发明具有以下特点:
1、采用LDAP目录服务集中管理域内用户信息和安全策略,设计目录服务Schema,以标准的接口对信息进行统一访问和管理,为集中式身份认证和授权提供了基础。
2、采用基于XML的SAML语言进行安全域间认证、授权结果的标准化表示和传递,支持异构安全系统间的信息互操作。
3、在安全域内,通过统一的身份验证和授权操作,简化授权管理复杂性。
4、利用Web服务技术实现认证中心核心功能,使系统具有良好的互操作性和可移植性。
附图说明
图1为本发明面向ASP模式的单一登录机制示意图
图2为本发明实现ASP应用平台内单一登录的工作过程示意图
图3为ASP应用平台间身份担保机制示意图
图4为本发明实现不同ASP应用平台间单一登录的工作过程示意图
图5为本发明实现单一登录系统结构示意图
图6为本发明域安全服务器结构示意图
图7为本发明域安全服务器工作原理图
图8为本发明认证中心工作原理图
图9为本发明实施例应用场景示意图
具体实施方式
为了解决ASP应用平台内各应用系统间(安全域内)以及ASP应用平台间(安全域间)的单一登录问题,本发明提出了一种基于LDAP协议和SAML规范的单一登录方法,并在该方法基础上构建了实现上述方法的单一登录系统。
所谓单一登录是指当用户需要访问一个分布式环境中各个不同应用系统提供的服务时,只需要在环境中登录一次,则这次登录的结果将根据需要传播到各个应用系统中,而不需要用户在每个应用系统处重新登录。
本发明提出的单一登录方法是以LDAP技术和SAML技术为基础实现的。LDAP(Lightweight Directory Access protocol)是一种轻量级目录访问协议,是跨平台的标准Internet协议。采用LDAP协议访问的目录服务称为LDAP目录服务。目录服务是一种特殊的数据库,一般指存储网络资源的特殊数据库,它将分布式环境中的网络资源如用户、应用系统和设备等对象统一组织起来,提供单一的逻辑视图,允许用户透明的访问。由于目录服务具有层次化的存储模型,可扩展的模式(Schema),适用于存储具有组织结构的人员信息。因此,本发明采用LDAP目录服务,将ASP应用平台内的用户信息和安全策略有机组织起来,如用户信任状、角色、ASP应用平台的身份映射策略、授权策略、新增应用的角色和权限制定策略等,为集中式身份认证和授权提供基础,也解决了ASP模式下安全域内安全信息整合和管理复杂的问题。
LDAP目录服务是基于条目(Entry)的目录服务,条目按照层次化方式组织目录树,它自上而下划分为四个分支:ASP应用平台的用户,平台的角色,角色对应的权限,域中的新增应用,其中权限分支的描述采用RBAC(基于角色的访问控制)授权模型。用户分支存储ASP应用平台的所有用户条目。平台角色分支,存储用户对应的角色条目。角色对应的权限分支,存储角色对应的权限条目。这三个分支的信息能够对用户进行集中的身份认证和访问控制。新增应用分支,存储新增应用条目,存在两个分支:角色分支代表新增应用具有的角色,权限分支代表角色对应的权限。该分支用于对用户在ASP应用平台内新增应用的做出访问控制决策。每个条目具有所代表对象(ObjectClass)的多个属性,如用户条目包括用户ID,密码,帐号联合信息等属性,新增应用条目包括应用ID,名称等属性。以上LDAP条目构成了ASP应用平台完整的帐号和安全策略表示,成为统一认证和授权的基础。
SAML规范(Security Assertion Marked Language)也称安全声明标记语言,是国际标准化组织OASIS于2002年发布的一种基于XML的语言,它支持三种类型的安全声明,即认证声明、授权声明和属性声明,旨在为认证和授权服务提供标准化的安全信息描述和共享机制,使得不同企业的安全系统间能够通过共享有关用户、交易等安全信息,实现互操作。因此,适用于描述和共享异构认证系统间认证和授权的结果。
在ASP应用模式下,由于历史或技术等各种原因,各个安全域所采用的认证机制存在不一致性,从而导致身份描述信息各不相同。为了保证良好的可扩展性和互操作性,需要一种通用的、独立于具体应用系统认证机制的表述方式来描述用户身份。由于SAML语言具有良好的可扩展性和强大的描述能力,可适用多种认证机制,并且受到标准化组织和公司的广泛支持,并被业界广泛采用。因此,本发明采用SAML语言描述和共享ASP应用平台下异构认证系统间的认证和授权结果,实现异构安全系统间安全信息的互操作。
图1为本发明提供的面向ASP模式基于LDAP和SAML技术的单一登录机制示意图。如图所示,它使用LDAP目录服务在一个安全域内(ASP应用平台内)整合安全信息,保证ASP应用平台内不同应用系统的安全信息的统一存储访问、集中认证和授权,解决授权管理复杂性的问题;利用SAML在不同的安全域间(不同ASP应用平台间)传递认证结果,保证不同ASP应用平台的异构认证系统见安全信息的共享,解决安全信息互操作的问题,从而达到安全域内与安全域间统一的单一登录目的。需要说明的是,安全域是指具有独立一致安全策略的可管理范围,由于一个ASP应用平台具有独立的安全策略,所以一个ASP应用平台就是一个安全域。
下面结合图1、图2、图4详细叙述本发明如何解决安全域内和安全域间两种类型的单一登录问题。
为了便于叙述,首先给出面向ASP模式的单一登录机制参与者主体的定义:
1)定义1:单一登录参与主体包含三类:U,ASP,AC。其中:
U代表用户,UC指普通用户,UM指ASP应用平台管理员和平台内各系统管理员;
ASP代表基于门户的企业ASP应用软件平台;
AC代表企业之间的可信第三方认证中心。
2)定义2:ASP应用软件平台由一个五元组表示(DS,LS,PAE,PAO,P)。其中:
DS(Domain Security Server)为域安全服务器,完成ASP平台内集中的身份认证和授权服务以及认证授权结果的自动传递;
LS(LDAP Server)为域LDAP目录服务器,集中存储ASP应用平台内的用户信息和安全策略;
PAE代表认证代理,代替用户向应用系统进行身份认证,对用户屏蔽认证过程;
PAO代表授权代理,根据预订义的授权策略,将用户的授权信息自动传递给应用系统的访问控制模块,对用户进行访问控制;
P代表运行于ASP应用平台的应用系统,其中PL指遗留系统,PN指新增系统。
下面分别介绍安全域内和安全域间单一登录方法。
(一)ASP应用平台内不同应用系统间的单一登录方法
安全域内的应用系统分为两种类型:遗留应用系统(自身具有身份认证和授权机制)和新增应用系统(部署到单一登录系统的新开发系统,不必具有身份认证和授权模块,将这部分工作委托给单一登录系统)。安全域内单一登录系统的目标是:为用户在遗留应用系统的账号建立联合关系,代替用户将认证信息传递给遗留应用系统的身份认证模块;对用户要访问的新增应用做出授权决定,传递给新增应用的授权执行模块。ASP应用平台内的域安全服务器主要完成三项工作:帐号联合、认证代理和授权代理。
帐号联合是指ASP应用平台的域安全服务器将用户在一个安全域A的帐号与用户在域内应用系统P的帐号之间建立一种联合关系Fed(A,P),并进行存储的过程。
认证代理是指当用户在安全域A登录后访问应用PL时,ASP应用平台的域安全服务器根据预先制定的用户U的帐号联合关系Fed(A,PL),自动的将用户在PL的帐号传递给PL的认证模块,向用户屏蔽登录和认证的过程。
授权代理是指当新增应用PN部署到ASP应用平台中时,将身份认证和授权工作委托给单一登录系统,ASP应用平台的域安全服务器根据管理员预先制定的新增应用系统的访问控制策略,生成标准的授权声明,传递给新增应用PN的授权执行模块,新增应用PN只需要具有授权结果的解析功能。
依据上述的机制定义,假设WEB应用A代表遗留应用PL,WEB应用B代表新增应用PN,用户需要访问WEB应用A和WEB应用B,则用户U在ASP应用平台内的应用系统PL和PN间实现单一登录的方法,如图2所示:
1、用户U访问ASP应用平台内的遗留应用系统PL
(1)、用户U登录ASP应用服务平台,将用户在各系统的帐号提供给ASP应用服务平台的域安全服务器DSA;
域安全服务器DSA将用户在一个安全域A(一个ASP应用服务平台)的帐号与用户在域内应用系统P的帐号之间进行帐号联合,生成帐号联合信息,即建立一种联合关系Fed(A,P);
(2)、域安全服务器DSA进行身份认证,将帐号联合信息存储到LDAP目录服务器LSA中,使得域内每个用户拥有唯一的身份标识以及该标识向应用系统用户标识的映射关系;
(3)、用户U访问ASP应用平台内的遗留应用系统PL;
(4)、遗留应用PL的认证模块向域安全服务器DSA请求用户U在遗留应用系统PL的账号信息;
(5)、域安全服务器DSA根据预先制定的账号联合信息,将相应账号返回给遗留应用系统PL的认证模块;
(6)、遗留应用系统PL的认证模块对用户进行身份认证,完成用户U访问遗留应用系统PL的身份认证;
2、用户U访问ASP应用平台内的新增应用系统PN
(1)、用户U访问ASP应用平台内的新增应用系统PN;
ASP应用服务平台的新增应用PN的管理员发布新增系统授权策略,即系统具有的角色、对应的权限;ASP应用服务平台的域安全服务器DSA的管理员通过用户管理工具,为用户U制定在新增应用PN具有的角色,从而为用户U分配相应的权限;
(2)、新增应用系统PN的认证模块向域安全服务器DSA请求用户U在新增应用系统PN的账号信息;
(3)、ASP应用平台的域安全服务器DSA根据管理员预先制定的安全策略和用户的角色指派,生成相应的SAML授权声明;
(4)、域安全服务器DSA将SAML授权声明返回给新增应用PN的授权执行模块;
(5)、新增应用PN的授权执行模块根据SAML授权声明,对用户做出访问控制。
通过该机制,ASP应用平台能够为遗留应用提供账号联合和存储,为新增应用提供访问控制决策,以及平台内安全信息的自动传递,从而实现安全域内集中的身份认证和访问控制,并达到单一登录的目的。
(二)ASP应用平台间的单一登录方法
随着企业间联盟的形成,用户的一次业务往往需要跨越不同的ASP应用平台,从而带来安全域间的单一登录问题,这种情况下关键要解决认证和授权结果在安全域间共享和传递的问题。假设ASPA和ASPB分别代表分布式环境中两个独立的安全域(ASP应用平台),ASPA和ASPB通过发布各自的信任策略,并得到对方的信任策略,达到彼此之间的信任关系的建立。
在ASP应用平台间实现单一登录的过程中,有两个核心过程:身份担保和身份映射过程。
如图3所示,身份担保过程是指:如果A、B是分布式环境中任意两个安全域,U为任意一个用户,用户U在安全域A认证过身份之后,要访问安全域B时,无需再次向安全域B提交用户名/口令等认证信息来表明自己的身份,而只需要由安全域A向B来证明(担保)U的身份,从而实现用户身份在不同安全域之间的传递。
身份映射过程是指:假设A为任意一个安全域,用户U为任何一个全局用户,身份映射是指将全局用户U的身份映射成为安全域A中用户身份的过程。
假设ASPA和ASPB分别代表分布式环境中的两个独立安全域(ASP应用平台),彼此之间通过发布各自的信任策略,并得到对方的信任策略建立了信任关系。用户U需要访问ASPA和ASPB两个应用平台,其单一登录过程如图4所示借助可信第三方认证中心完成,方法如下:
1、用户首先访问ASPA应用平台
①用户访问ASPA应用平台;
②ASPA应用平台将用户重定向到可信第三方认证中心AC进行全局登录;
③用户在可信第三方认证中心AC登录;
④由可信第三方认证中心AC进行身份认证,由可信第三方认证中心AC根据认证结果为用户生成SAML认证声明及票据(对于声明的引用),并建立相应的会话;
⑤可信第三方认证中心AC将用户重定向到ASPA应用平台,并携带可信第三方认证中心AC颁发的票据,携带票据是为了防止重放攻击;
⑥ASPA根据得到的票据向可信第三方认证中心AC请求票据对应的完整的SAML认证声明;
⑦可信第三方认证中心AC将完整的SAML认证声明提供给ASPA应用平台的认证模块;
⑧ASPA应用平台的认证模块根据SAML认证声明的内容,对用户进行身份认证;
2、用户访问ASPB应用平台
①用户访问ASPB应用平台;
②ASPB应用平台将用户重定向到可信第三方认证中心AC;
③可信第三方认证中心AC根据当前用户的会话信息,为用户生成认证声明及对应的票据;
④并将用户重定向到ASPB应用平台,携带可信第三方认证中心AC颁发的票据;
⑤ASPB应用平台根据得到的票据向可信第三方认证中心AC请求票据对应的完整的SAML认证声明;
⑥可信第三方认证中心AC将完整的SAML认证声明提供给ASPB应用平台的认证模块;
⑦ASPB应用平台的认证模块根据SAML认证声明的内容,对用户进行身份认证,从而达到用户只在AC登录一次,就可以在ASPA和ASPB进行访问。
在上述机制中,可信第三方认证中心为不同的ASP应用平台进行集中的身份认证和身份担保,并将认证结果以认证声明和票据的形式在安全域间进行传递,实现了安全信息的共享,从而使得用户在不同的安全域间实现单一登录。
为实现上述ASP应用平台内不同应用系统间的单一登录以及不同ASP应用平台间的单一登录,本发明构建了面向ASP模式的单一登录系统(SingleSign-on System for ASP Pattern,简称ASPSSO)。
如图5所示,该面向ASP模式的单一登录系统包括安全信息存储模块、域安全服务器、可信第三方认证中心和管理配置工具四个核心部分。
安全信息存储模块包括LDAP服务器和目录服务访问接口。LDAP服务器采用LDAP目录服务方式集中存储一个安全域内用户帐号信息和安全策略,如用户在安全域的帐号和帐号联合信息、身份映射策略和新增系统的授权策略等。目录服务访问接口,封装对于目录服务各种条目及其属性进行操作的应用程序接口API,便于系统其它部分对目录内容进行访问。本发明选用Java命名和目录接口(Java Naming Directory interface,简称JNDI)封装对目录服务的访问接口。JND是Sun公司组织开发的是一套API,它向Java应用程序提供目录和命名功能,独立于特定的目录服务实现,为引用程序提供统一的方式来访问各种目录服务。Java应用开发者只需要采用JNDI就可以与LDAP目录服务器进行通讯。
域安全服务器主要进行安全域用户的身份认证、身份映射、自动为安全域内遗留应用的认证模块传递用户的帐号信息、为新增应用的授权执行模块传递用户在新增应用的授权结果等操作,是实现安全域内不同应用系统间单一登录的核心部件。如图6所示,域安全服务器从总体上可以划分为五个功能模块:身份认证模块、身份映射模块、票据解析处理模块、认证代理模块和授权代理模块。
身份认证模块:根据目录服务中存储的用户帐号信息,完成对安全域用户的身份验证。支持通过票据的全局用户登录,也支持直接在本地登录。身份映射模块:根据预先制定的身份映射策略,完成将全局用户身份(即可信第三放所担保的用户身份)映射成为安全域用户身份,身份映射策略可以动态的制定。
票据解析处理模块:验证认证中心为用户颁发的访问其它安全域的身份认证声明所对应的票据是否有效,验证有效性的规则通过管理工具进行配置。
认证代理模块:结合目录服务中预先存储的帐号联合信息,自动的将用户的认证信息传递给遗留应用的身份认证模块,对用户进行身份认证,向用户屏蔽登录过程。其中,采用HTTP报文的侦听工具TCPListener,预先捕获正常情况下,用户访问应用时的HTTP认证信息的格式,然后根据帐号联合信息,将用户在遗留应用的帐号信息自动的填充到HTTP报文中,最后将响应的HTTP报文传递给遗留应用的认证模块,对用户进行身份认证。
授权代理模块:根据新增应用管理员预先制定的新增应用授权策略,自动为当前安全域用户生成授权声明,并自动的传递给新增应用的授权执行模块,对用户作出访问控制,授权策略采用RBAC授权模型进行描述。
域安全服务器的工作原理是对安全域内单一登录处理过程的反映。如图7所示,我们按照对请求进行处理的模块将处理过程划分为三个阶段,每个阶段由相应的功能实体承担特定的活动,为了清晰的体现各个活动之间的交互关系,我们采用UML的活动图来描述在一次单一登录过程中所发生的活动,进而阐明域安全服务器的工作原理。
图中的所有的活动由域安全服务器的各个组成部分完成,下面我们将结合在各个层次中活动所发生的先后调用关系以及执行各个活动的功能实体来说明域安全服务器的工作原理:
票据处理阶段:是域安全服务器工作的起始阶段,其中的活动主要由票据处理模块承担。票据处理模块获取用户的身份信息后,判断认证信息类型,如果是用户名、口令认证方式,则直接对用户进行本地身份认证;如果是票据认证方式,则从SAML票据中取得担保服务的访问点和声明ID,并根据身份担保票据向担保服务取得完整的认证声明,从声明中取得用户的全局身份,将该身份交给身份认证和身份映射阶段的活动进行处理。
身份认证和身份映射阶段:身份认证模块主要支持两种方式的认证,即用户名、口令认证方式和票据认证方式。如果是前者,则直接与目录服务中的认证信息进行匹配,验证用户是否是合法的安全域用户;如果是票据认证方式,则调用身份映射模块,将担保服务颁发声明中的全局身份标识转化成安全域用户的身份标识,验证用户身份的合法性。
认证和授权结果自动传递阶段:经过验证的用户访问遗留应用时,认证代理模块根据用户的帐号联合信息,自动构造HTTP认证报文,传递给遗留应用的身份认证模块;访问新增应用时,授权代理模块根据预先制定的访问控制策略,自动构造授权声明,传递给新增应用的授权执行模块。
可信第三方认证中心主要完成对全局用户进行统一身份认证,为用户构造SAML认证声明,并颁发声明对应的票据,对认证声明进行存储和管理,以及响应各安全域的对票据对应声明的查询。
安全域间单一登录的核心问题是不同安全域之间的信任,本发明采用信任关系相对简单的集中式信任方式,引入可信第三方认证中心作为向其他安全域担保用户身份的核心模块。如图5所示,认证中心从总体上可以划分为五个功能模块:全局身份认证模块、担保服务模块、用户管理模块、认证声明存储和管理模块、全局用户身份数据库模块。
全局身份认证模块:负责对用户进行全局的身份认证,通过与全局用户身份数据库模块中的信息进行对比,验证用户是否为合法的全局用户。
担保服务模块:根据全局身份认证的结果,为用户生成证明其全局身份的SAML认证声明以及与声明对应的票据,传递给其它安全域的身份认证模块。为了避免集中式认证方式单点失败的可能性,本文将认证中心以Web服务的形式实现,一旦认证中心出现故障,可以立即移植到其它的Web服务运行环境中。
用户管理模块负责维护全局用户的信息,主要是用户的帐号信息。
认证声明存储和管理模块负责对于担保服务所生成的认证声明进行维护,包括增、删、改、查等操作。
全局用户身份数据库模块用于存储全局用户的帐号信息,用于对用户进行全局身份认证。
图8为认证中心的工作原理图。我们采用UML活动图结合各个模块中活动所发生的先后调用关系以及执行各个活动的功能实体,说明认证中心的工作原理,认证中心的工作过程分为三个阶段,每个阶段由相应的功能实体承担特定的活动:
全局身份认证阶段:是认证中心工作的起始阶段,其中的活动主要由全局身份认证模块承担。全局身份认证模块获取用户的身份信息后,与存储的账号信息进行匹配。如果通过身份验证,转入身份担保阶段;否则标记认证失败。
身份担保阶段:本阶段的活动主要由担保服务模块承担。首先,对于通过身份认证的用户,通过调用SAML的API包,为用户生成表示认证结果的身份认证声明;同时为了防止声明被滥用,将包含声明ID和担保服务访问点的声明所对应的票据返回给用户。当用户持有票据查找对应的完整声明时,为用户返回对应认证声明。
其他安全域的身份认证阶段:本阶段的活动主要由各个安全域的身份认证模块承担。认证模块得到身份担保模块的担保票据之后,解析出声明的ID,向担保服务请求具有该ID的完整声明,并根据返回的声明确定用户的全局身份,并根据身份映射策略,将全局用户映射成为本地用户,对用户进行本地的身份认证。
管理配置工具主要实现对帐号联合信息的定制,新增应用访问控制策略的定制,以及用户的身份映射策略的定制以及用户管理的功能。
为系统管理员提供的辅助工具,通过友好的界面使管理员更容易的配置和方便的操作ASPSSO系统。
帐号联合信息的定制是为了达到单一登录系统自动的将用户在遗留应用的帐号传递给遗留应用的认证模块的目的。需要预先将用户在一个安全域的帐号与用户在该安全域内不同应用的帐号之间建立一种联合关系,并存储在目录服务中,方便认证代理自动的将用户在遗留应用的帐号传递给应用的认证模块。
由于一个安全域的用户通常会发生动态的变化,用户具有的权限也会发生变化,单一登录系统的管理员需要对使用系统的用户进行管理和维护。用户管理模块提供安全域用户的添加、删除、修改等功能,为系统管理员执行用户管理功能提供支持。
管理工具主要用于制定两种类型的策略。一种是安全域用户的身份映射策略;另一种是新增应用的访问控制策略。身份映射策略是在不同的安全域间实现身份转换的前提,通过一个身份映射表,将全局用户映射成为本地用户。同时,由于部署在单一登录系统中的新增应用,将访问控制工作委托给单一登录系统来做,所以新增应用的管理员需要预先制定新增应用的访问控制策略,并存储在安全域的目录服务中,供单一登录系统的授权代理模块自动的生成授权声明,并传递给新增应用的授权执行模块。策略的制定主要包含新增应用具有的角色、角色对应的权限,以及安全域用户在新增应用具有的角色。
面向ASP模式的单一登录系统的目的是为ASP模式下的应用服务提供商和最终用户提供安全信息整合、安全信息互操作、便于管理维护等功能。因此,我们在面向ASP模式的单一登录系统的基础上,为联合生产力(UP)开发了应用实例(如图12所示)来解决ASP运行环境内应用间的单一登录问题和ASP运行环境间的单一登录问题,以体现和检验面向ASP模式的单一登录系统的实际运作能力。
联合生产力的主要职能是为中小企业提供各种软件服务(如办公自动化系统,邮件系统,有偿信息服务等)。因此,我们为联合生产力公司构建了基于Portal技术的ASP应用平台,作为中小企业访问各应用系统的门户。
该应用场景由最终用户、两个ASP应用平台,可信第三方认证中心和分别部署在两个ASP平台上的四个应用系统组成。通过此应用实例,体现了单一登录系统在如下几个方面对ASP应用软件平台提供了有力的支持:
ASP应用平台的安全信息整合:对于每一个ASP运行平台的用户帐号信息和安全策略,采用目录服务进行整合,使其成为安全域内身份认证和授权的基础。
ASP应用平台间的信息互操作:不同的安全域间采用基于XML语言的SAML语言交换认证和授权结果,保证安全域间的安全信息交换。
ASP应用平台间集中式的身份认证:这部分功能是可信第三方认证中心提供的功能,为了避免集中式认证方式所带来的单点失败的可能性,我们将认证中心以Web Service的方式实现,并将其部署到Web Service运行环境中,为各个不同的安全域用户担保身份。
安全保障机制:在ASP应用平台与可信第三方认证中心之间、认证中心的认证服务与担保服务的之间引入安全保障机制,保证数据传输的机密性、完整性和不可否认性。同时目录服务自身通过目录认证和目录授权保证信息存储安全性。
灵活的管理配置:单一登录系统提供相关的管理、配置功能,管理员和最终用户通过管理、配置模块对系统进行配置,增强了系统的灵活性。
下面介绍该应用实例的工作过程,可以简单描述为:用户在认证中心登录一次,则既可以访问ASP应用平台1中的应用系统,也可以访问ASP应用平台2中的应用系统。此过程具体表现为如下的步骤:
1、在两个ASP应用平台中,管理员利用帐号联合工具分别配置用户的帐号联合信息,同时利用新增应用授权策略制定工具,制定平台内新增应用的角色和权限,并为用户指定角色;
2、用户访问ASP应用平台1,如果希望直接登录,则直接输入用户名、口令即可;如果希望进行不同ASP应用平台间的单一登录,则选择在认证中心登录;
3、用户输入自己在认证中心的用户名、口令,进行身份认证。认证中心的担保服务为经过身份认证的用户生成认证声明,并将声明对应的票据返回给ASP应用平台1的身份认证模块;
4、ASP应用平台1得到票据,向认证中心的担保服务请求票据对应的完整认证声明;
5、认证中心查询认证声明存储库,将请求的声明返回给ASP应用平台1;
6、ASP应用平台1的身份认证模块,验证声明的有效性后,从声明中取得用户的全局身份,映射成为本地身份,验证用户是否为合法用户;
7、用户访问ASP应用平台1的有偿信息服务应用,单一登录系统会跟据预先设置的帐号联合信息,将帐号自动传递给有偿信息服务系统的身份认证模块。对于远程教育系统的访问流程也是同样的;
8、用户访问ASP应用平台2,同样选择认证中心登录。认证中心确定用户已经登录过,则直接为用户生成认证声明,接下来的处理步骤同步骤4-7。
Claims (5)
1、一种面向ASP模式的单一登录方法,该单一登录方法实现了ASP应用平台内不同应用系统间的单一登录,其特征在于:它包括以下步骤:
A、用户访问ASP应用平台内的遗留应用系统
(1)、用户登录ASP应用服务平台,将用户在各系统的帐号提供给ASP应用服务平台的域安全服务器;
域安全服务器将用户在ASP应用服务平台的帐号与用户在域内应用系统的帐号之间进行帐号联合,生成帐号联合信息,即建立一种联合关系Fed(A,P);
(2)、域安全服务器进行身份认证,将帐号联合信息存储到LDAP目录服务器中,使得域内每个用户拥有唯一的身份标识以及该标识向应用系统用户标识的映射关系;
(3)、用户访问ASP应用平台内的遗留应用系统;
(4)、遗留应用系统的认证模块向域安全服务器请求用户在遗留应用系统的账号信息;
(5)、域安全服务器根据预先制定的账号联合信息,将相应账号返回给遗留应用系统的认证模块;
(6)、遗留应用系统的认证模块对用户进行身份认证,完成用户访问遗留应用系统的身份认证;
B、用户访问ASP应用平台内的新增应用系统
(1)、用户访问ASP应用平台内的新增应用系统;
ASP应用服务平台的新增应用系统的管理员发布新增系统授权策略,即系统具有的角色、对应的权限;ASP应用服务平台的域安全服务器的管理员通过用户管理工具,为用户制定在新增应用具有的角色,从而为用户分配相应的权限;
(2)、新增应用系统的认证模块向域安全服务器请求用户U在新增应用系统PN的账号信息;
(3)、ASP应用平台的域安全服务器根据管理员预先制定的安全策略和用户的角色指派,生成相应的SAML授权声明;
(4)、ASP应用平台的域安全服务器将SAML授权声明返回给新增应用系统的授权执行模块;
(5)、新增应用系统的授权执行模块根据SAML授权声明,对用户做出访问控制。
2、一种面向ASP模式的单一登录方法,该单一登录方法实现了ASP应用平台间的单一登录,其特征在于:它包括以下步骤:
A、用户首先访问第一个ASPA应用平台
①用户访问ASPA应用平台;
②ASPA应用平台将用户重定向到可信第三方认证中心进行全局登录;
③用户在可信第三方认证中心登录;
④由可信第三方认证中心进行身份认证,由可信第三方认证中心根据认证结果为用户生成SAML认证声明及票据,并建立相应的会话;
⑤可信第三方认证中心将用户重定向到ASPA应用平台,并携带可信第三方认证中心颁发的票据,携带票据是为了防止重放攻击;
⑥ASPA根据得到的票据向可信第三方认证中心请求票据对应的完整的SAML认证声明;
⑦可信第三方认证中心将完整的SAML认证声明提供给ASPA应用平台的认证模块;
⑧ASPA应用平台的认证模块根据SAML认证声明的内容,对用户进行身份认证;
B、用户访问第二个ASPB应用平台
①用户访问ASPB应用平台;
②ASPB应用平台将用户重定向到可信第三方认证中心;
③可信第三方认证中心根据当前用户的会话信息,为用户生成认证声明及对应的票据;
④并将用户重定向到ASPB应用平台,携带可信第三方认证中心颁发的票据;
⑤ASPB应用平台根据得到的票据向可信第三方认证中心请求票据对应的完整的SAML认证声明;
⑥可信第三方认证中心将完整的SAML认证声明提供给ASPB应用平台的认证模块;
⑦ASPB应用平台的认证模块根据SAML认证声明的内容,对用户进行身份认证,从而达到用户只在第三方认证中心登录一次,就可以在ASPA和ASPB进行访问。
3、一种面向ASP模式的单一登录系统,其特征在于:它包括安全信息存储模块、域安全服务器、可信第三方认证中心和管理配置工具四个部分;
安全信息存储模块包括LDAP服务器和目录服务访问接口;LDAP服务器采用LDAP目录服务方式集中存储一个安全域内用户帐号信息和安全策略;目录服务访问接口用于访问LDAP服务器的接口,它封装了对于目录服务各种条目及其属性进行操作的应用程序接口API;
域安全服务器是实现安全域内不同应用系统间单一登录的核心部件,用于安全域用户的身份认证、身份映射、自动为安全域内遗留应用系统的认证模块传递用户的帐号信息、为新增应用系统的授权执行模块传递用户在新增应用的授权结果;
可信第三方认证中心是实现安全域间单一登录的核心部件,用于完成对全局用户进行统一身份认证,为用户构造SAML认证声明,并颁发声明对应的票据,对认证声明进行存储和管理,以及响应各安全域的对票据对应声明的查询;
管理配置工具主要实现对帐号联合信息的定制,新增应用访问控制策略的定制,以及用户的身份映射策略的定制以及用户管理的功能。
4、根据权利要求3所述的一种面向ASP模式的单一登录系统,其特征在于:所述域安全服务器包括五个功能模块:身份认证模块、身份映射模块、票据解析处理模块、认证代理模块和授权代理模块;
身份认证模块:根据目录服务中存储的用户帐号信息,完成对安全域用户的身份验证。支持通过票据的全局用户登录,也支持直接在本地登录;身份映射模块:根据预先制定的身份映射策略,完成将全局用户身份(即可信第三放所担保的用户身份)映射成为安全域用户身份,身份映射策略可以动态的制定;
票据解析处理模块:验证认证中心为用户颁发的访问其它安全域的身份认证声明所对应的票据是否有效,验证有效性的规则通过管理工具进行配置;
认证代理模块:结合目录服务中预先存储的帐号联合信息,自动的将用户的认证信息传递给遗留应用的身份认证模块,对用户进行身份认证,向用户屏蔽登录过程;
授权代理模块:根据新增应用管理员预先制定的新增应用授权策略,自动为当前安全域用户生成授权声明,并自动的传递给新增应用的授权执行模块,对用户作出访问控制。
5、根据权利要求3所述的一种面向ASP模式的单一登录系统,其特征在于:所述可信第三方认证中心包括五个功能模块:全局身份认证模块、担保服务模块、用户管理模块、认证声明存储和管理模块、全局用户身份数据库模块;
全局身份认证模块:负责对用户进行全局的身份认证,通过与全局用户身份数据库模块中的信息进行对比,验证用户是否为合法的全局用户;
担保服务模块:根据全局身份认证的结果,为用户生成证明其全局身份的SAML认证声明以及与声明对应的票据,传递给其它安全域的身份认证模块;
用户管理模块:负责维护全局用户的信息,主要是用户的帐号信息。
认证声明存储和管理模块:负责对于担保服务所生成的认证声明进行维护,包括增、删、改、查等操作;
全局用户身份数据库模块:用于存储全局用户的帐号信息,用于对用户进行全局身份认证。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN 200510001926 CN1805336A (zh) | 2005-01-12 | 2005-01-12 | 面向asp模式的单一登录方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN 200510001926 CN1805336A (zh) | 2005-01-12 | 2005-01-12 | 面向asp模式的单一登录方法及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN1805336A true CN1805336A (zh) | 2006-07-19 |
Family
ID=36867202
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN 200510001926 Pending CN1805336A (zh) | 2005-01-12 | 2005-01-12 | 面向asp模式的单一登录方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN1805336A (zh) |
Cited By (23)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101232373B (zh) * | 2007-01-26 | 2010-12-08 | 同济大学 | 基于asp模式的网络化制造安全集成系统 |
CN102025741A (zh) * | 2010-12-07 | 2011-04-20 | 中国科学院软件研究所 | 一种两层架构的可信身份服务平台及其构建方法 |
CN101754219B (zh) * | 2009-12-28 | 2011-12-07 | 中国人民解放军信息工程大学 | 标识分配和分离存储方法、标识替换传输方法及系统 |
CN102387052A (zh) * | 2010-09-06 | 2012-03-21 | 中商商业发展规划院有限公司 | 农村流通管理服务平台集成系统与方法 |
CN101453475B (zh) * | 2009-01-06 | 2012-07-04 | 中国人民解放军信息工程大学 | 一种授权管理系统及方法 |
CN101656714B (zh) * | 2008-08-18 | 2012-12-05 | 鼎新电脑股份有限公司 | 单一登入方法 |
CN102843256A (zh) * | 2012-05-11 | 2012-12-26 | 摩卡软件(天津)有限公司 | 一种基于轻型目录访问协议(ldap)的it系统管理方法 |
CN101420416B (zh) * | 2007-10-22 | 2013-03-13 | 中国移动通信集团公司 | 身份管理平台、业务服务器、登录系统及方法、联合方法 |
CN103067332A (zh) * | 2011-10-18 | 2013-04-24 | 深圳市快播科技有限公司 | 一种游戏一帐通实现方法和系统 |
CN103067337A (zh) * | 2011-10-19 | 2013-04-24 | 中兴通讯股份有限公司 | 一种身份联合的方法、IdP、SP及系统 |
CN103179089A (zh) * | 2011-12-21 | 2013-06-26 | 富泰华工业(深圳)有限公司 | 在不同软件开发平台之间访问验证身份的系统及方法 |
CN103188295A (zh) * | 2011-12-28 | 2013-07-03 | 上海格尔软件股份有限公司 | 一种对用户和应用完全透明的web单点登录方法 |
CN103338194A (zh) * | 2013-03-06 | 2013-10-02 | 中国电力科学研究院 | 一种基于信誉度评估的跨安全域访问控制系统和方法 |
CN103348652A (zh) * | 2010-12-06 | 2013-10-09 | 交互数字专利控股公司 | 具有域信任评估和域策略管理功能的智能卡 |
CN103617485A (zh) * | 2013-11-15 | 2014-03-05 | 中国航空无线电电子研究所 | 统一权限管理部署系统 |
CN103716285A (zh) * | 2012-09-29 | 2014-04-09 | 西门子公司 | 一种单点登录方法、代理服务器及系统 |
CN104751046A (zh) * | 2013-12-25 | 2015-07-01 | 中国移动通信集团公司 | 一种应用程序的用户认证方法及移动终端设备 |
CN105141580A (zh) * | 2015-07-27 | 2015-12-09 | 天津灵创智恒软件技术有限公司 | 一种基于ad域的资源访问控制方法 |
CN106506521A (zh) * | 2016-11-28 | 2017-03-15 | 腾讯科技(深圳)有限公司 | 资源访问控制方法和装置 |
CN107016525A (zh) * | 2017-02-22 | 2017-08-04 | 日照市融资担保股份有限公司 | 一种担保服务业务系统 |
CN107925877A (zh) * | 2015-06-23 | 2018-04-17 | 华睿泰科技有限责任公司 | 用于集中式配置和认证的系统和方法 |
CN112364336A (zh) * | 2020-11-18 | 2021-02-12 | 深圳航天智慧城市系统技术研究院有限公司 | 数据库的统一权限管理方法、装置、设备和计算机可读存储介质 |
CN112925766A (zh) * | 2021-03-01 | 2021-06-08 | 北京滴普科技有限公司 | 一种数据安全管控装置、系统、方法及其可读存储介质 |
-
2005
- 2005-01-12 CN CN 200510001926 patent/CN1805336A/zh active Pending
Cited By (35)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101232373B (zh) * | 2007-01-26 | 2010-12-08 | 同济大学 | 基于asp模式的网络化制造安全集成系统 |
CN101420416B (zh) * | 2007-10-22 | 2013-03-13 | 中国移动通信集团公司 | 身份管理平台、业务服务器、登录系统及方法、联合方法 |
CN101656714B (zh) * | 2008-08-18 | 2012-12-05 | 鼎新电脑股份有限公司 | 单一登入方法 |
CN101453475B (zh) * | 2009-01-06 | 2012-07-04 | 中国人民解放军信息工程大学 | 一种授权管理系统及方法 |
CN101754219B (zh) * | 2009-12-28 | 2011-12-07 | 中国人民解放军信息工程大学 | 标识分配和分离存储方法、标识替换传输方法及系统 |
CN102387052A (zh) * | 2010-09-06 | 2012-03-21 | 中商商业发展规划院有限公司 | 农村流通管理服务平台集成系统与方法 |
CN102387052B (zh) * | 2010-09-06 | 2013-09-25 | 中商商业发展规划院有限公司 | 农村流通管理服务平台集成系统与方法 |
CN103348652B (zh) * | 2010-12-06 | 2016-09-28 | 交互数字专利控股公司 | 具有域信任评估和域策略管理功能的智能卡 |
US9363676B2 (en) | 2010-12-06 | 2016-06-07 | Interdigital Patent Holdings, Inc. | Smart card with domain-trust evaluation and domain policy management functions |
CN103348652A (zh) * | 2010-12-06 | 2013-10-09 | 交互数字专利控股公司 | 具有域信任评估和域策略管理功能的智能卡 |
CN102025741A (zh) * | 2010-12-07 | 2011-04-20 | 中国科学院软件研究所 | 一种两层架构的可信身份服务平台及其构建方法 |
CN102025741B (zh) * | 2010-12-07 | 2013-06-05 | 中国科学院软件研究所 | 一种两层架构的可信身份服务平台及其构建方法 |
CN103067332A (zh) * | 2011-10-18 | 2013-04-24 | 深圳市快播科技有限公司 | 一种游戏一帐通实现方法和系统 |
CN103067337B (zh) * | 2011-10-19 | 2017-02-15 | 中兴通讯股份有限公司 | 一种身份联合的方法、IdP、SP及系统 |
CN103067337A (zh) * | 2011-10-19 | 2013-04-24 | 中兴通讯股份有限公司 | 一种身份联合的方法、IdP、SP及系统 |
CN103179089A (zh) * | 2011-12-21 | 2013-06-26 | 富泰华工业(深圳)有限公司 | 在不同软件开发平台之间访问验证身份的系统及方法 |
CN103188295A (zh) * | 2011-12-28 | 2013-07-03 | 上海格尔软件股份有限公司 | 一种对用户和应用完全透明的web单点登录方法 |
CN102843256B (zh) * | 2012-05-11 | 2015-01-07 | 摩卡软件(天津)有限公司 | 一种基于轻型目录访问协议(ldap)的it系统管理方法 |
CN102843256A (zh) * | 2012-05-11 | 2012-12-26 | 摩卡软件(天津)有限公司 | 一种基于轻型目录访问协议(ldap)的it系统管理方法 |
CN103716285A (zh) * | 2012-09-29 | 2014-04-09 | 西门子公司 | 一种单点登录方法、代理服务器及系统 |
CN103338194A (zh) * | 2013-03-06 | 2013-10-02 | 中国电力科学研究院 | 一种基于信誉度评估的跨安全域访问控制系统和方法 |
CN103338194B (zh) * | 2013-03-06 | 2016-04-20 | 国家电网公司 | 一种基于信誉度评估的跨安全域访问控制系统和方法 |
CN103617485A (zh) * | 2013-11-15 | 2014-03-05 | 中国航空无线电电子研究所 | 统一权限管理部署系统 |
CN104751046A (zh) * | 2013-12-25 | 2015-07-01 | 中国移动通信集团公司 | 一种应用程序的用户认证方法及移动终端设备 |
CN104751046B (zh) * | 2013-12-25 | 2018-11-23 | 中国移动通信集团公司 | 一种应用程序的用户认证方法及移动终端设备 |
CN107925877A (zh) * | 2015-06-23 | 2018-04-17 | 华睿泰科技有限责任公司 | 用于集中式配置和认证的系统和方法 |
CN107925877B (zh) * | 2015-06-23 | 2021-07-13 | 华睿泰科技有限责任公司 | 用于集中式配置和认证的系统和方法 |
CN105141580A (zh) * | 2015-07-27 | 2015-12-09 | 天津灵创智恒软件技术有限公司 | 一种基于ad域的资源访问控制方法 |
CN105141580B (zh) * | 2015-07-27 | 2019-01-11 | 天津灵创智恒软件技术有限公司 | 一种基于ad域的资源访问控制方法 |
CN106506521A (zh) * | 2016-11-28 | 2017-03-15 | 腾讯科技(深圳)有限公司 | 资源访问控制方法和装置 |
US10757106B2 (en) | 2016-11-28 | 2020-08-25 | Tencent Technology (Shenzhen) Company Limited | Resource access control method and device |
CN107016525A (zh) * | 2017-02-22 | 2017-08-04 | 日照市融资担保股份有限公司 | 一种担保服务业务系统 |
CN112364336A (zh) * | 2020-11-18 | 2021-02-12 | 深圳航天智慧城市系统技术研究院有限公司 | 数据库的统一权限管理方法、装置、设备和计算机可读存储介质 |
CN112925766A (zh) * | 2021-03-01 | 2021-06-08 | 北京滴普科技有限公司 | 一种数据安全管控装置、系统、方法及其可读存储介质 |
CN112925766B (zh) * | 2021-03-01 | 2024-02-20 | 北京滴普科技有限公司 | 一种数据安全管控装置、系统、方法及其可读存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN1805336A (zh) | 面向asp模式的单一登录方法及系统 | |
CN1787435A (zh) | 提供访问联合资源的令牌 | |
CN1725680A (zh) | 联合用户生命周期管理的信任基础结构支持的方法和系统 | |
US7552222B2 (en) | Single system user identity | |
CN1726690A (zh) | 用于异构型联合环境中的本机认证协议的方法和系统 | |
CN1946023A (zh) | 用于接入网关的认证和授权体系结构 | |
CN1633650A (zh) | 用户认证方法及用户认证系统 | |
CN1535515A (zh) | 用于服务器安全和权限处理的系统和方法 | |
CN1745356A (zh) | 单一签名安全服务访问 | |
CN1521978A (zh) | 与异类联合体环境中验证声明相关的拥有证明操作用方法和系统 | |
CN1732465A (zh) | 在异构联合环境中统一注销的方法和系统 | |
US20120266228A1 (en) | Secure management of user rights during accessing of external systems | |
CN1701573A (zh) | 远程访问虚拟专用网络中介方法和中介装置 | |
CN1688953A (zh) | 用于动态用户认证的方法和设备 | |
CN1568475A (zh) | 有关用户档案接入控制的系统及一种方法 | |
CN1437812A (zh) | 对设置参数层进行组织及组合以生成与通讯网络相关的实体的整体文件 | |
CN1906600A (zh) | 计算实用工具的分级资源管理 | |
CN104255007A (zh) | Oauth框架 | |
CN1901448A (zh) | 通信网络中接入认证的系统及实现方法 | |
CN100345408C (zh) | 通过校验条件管理资源访问和使用的方法及相应使用条件 | |
CN1741525A (zh) | 一种媒体发布系统及方法 | |
Uzunov et al. | Security solution frames and security patterns for authorization in distributed, collaborative systems | |
CN1293409A (zh) | 电子表获取方法电子表系统和存储电子表获取程序的介质 | |
CN1178428C (zh) | 家庭网络中实现资源共享时的服务租用与授权方法 | |
Demchenko et al. | Policy based access control in dynamic Grid-based collaborative environment |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C12 | Rejection of a patent application after its publication | ||
RJ01 | Rejection of invention patent application after publication |
Open date: 20060719 |