CN101277193A - 基于面向服务架构认证服务代理的信息门户单点登录和访问*** - Google Patents
基于面向服务架构认证服务代理的信息门户单点登录和访问*** Download PDFInfo
- Publication number
- CN101277193A CN101277193A CNA2008101057529A CN200810105752A CN101277193A CN 101277193 A CN101277193 A CN 101277193A CN A2008101057529 A CNA2008101057529 A CN A2008101057529A CN 200810105752 A CN200810105752 A CN 200810105752A CN 101277193 A CN101277193 A CN 101277193A
- Authority
- CN
- China
- Prior art keywords
- user
- service
- application system
- authentication service
- certificate server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明公开了一种基于面向服务架构认证服务代理的信息门户单点登录和访问***,包括有基于面向服务架构的认证服务端(1)、认证服务代理(2)、应用***(3)和用户浏览器(4)。认证服务端(1)由认证服务端数据结构集(11)、认证服务端原子服务集(12)和认证服务端辅助服务集(13)组成,认证服务端数据结构集(11)用于承载单点登录执行过程中交换的数据;认证服务端原子服务集(12)通过响应认证服务代理(2)的调用请求,从而完成单点登录和对应用***(3)的访问;认证服务端辅助服务集(13)用于(A)维护所述认证服务端(1)单点登录中的局部用户角色映射LURM、全局用户身份信息GUII,(B)辅助完成单点登录和对应用***(3)的访问。
Description
技术领域
本发明涉及一种适用于对信息门户进行整合的、基于面向服务架构认证服务代理的、信息门户单点登录和访问***,该信息门户单点登录和访问***属于IPC分类中的电通信技术领域。
背景技术
随着万维网的普及与发展,现代Web应用已成为现代人所不可或缺的信息交流平台,而信息门户更是重中之重。信息门户是一种Web应用技术,它将不同应用***(Application System,AS)集成在一个统一的入口,为用户提供多元、集中、快捷的信息服务,其涉及内容管理、数据集成、单点登录(Single Sign On,SSO)等多方面的内容,其中单点登录是必须首先解决的问题。单点登录技术的核心思想是在信息门户与应用***之间建立一种身份映射关系,用户只需在信息门户的认证服务端进行登录,则在该次登录有效期内无需再次登录就可以访问信息门户内的多个应用***。
目前,随着信息门户应用领域的蓬勃发展,已相继推出了一些商业化、成熟的SSO机制,如微软的NET Passport单点登录服务,其为中央统筹式的登录服务器,保存着用户的登录信息和个人信息,用户只要在NET Passport单点登录服务上进行一次登录,即可访问Passport的合作站点。但其核心的认证服务器和用户信息服务器都由微软垄断,技术细节没有遵循统一标准且不对外公开,无法进行进一步推广。自由联盟Liberty SSO机制,其认证流程依赖于安全断言标记语言(SecurityAssertion Markup Language,SAML),需要信息门户和其中整合的AS都能够理解基于SAML的认证信息,其本身复杂度过高,使用不易。综上所述,现有SSO机制存在如下缺陷:
(1)编程接口复杂,开放度低,整合时需对AS进行大范围改造;
(2)对于采用不同技术的AS往往存在可移植性差的问题;
(3)现有的SSO机制由于其自身的高复杂性,在信息门户的AS频繁变动时不能够对其进行快速整合。
另一方面,面向服务架构(Service-Oriented Architecture,SOA)是一种重要的架构模型,它可以根据需求对松散耦合的粗粒度应用组件进行分布式部署、组合和使用。SOA具有松散耦合、可重用、标准化等特征,在很多领域都得到了广泛和有效的应用。因此,能否借助SOA的思想,来解决现有SSO机制存在的缺陷,是一个很重要的问题。
发明内容
为了解决现有门户应用***整合复杂、开放度低等缺陷,本发明提出一种结构简单、松散耦合、快速灵活、完善通用、轻量级的基于面向服务架构认证服务代理的信息门户单点登录和访问***。所述的单点登录采用了数据封装和服务封装策略,开放度高;通过引入服务代理将身份认证的相关功能从应用***中独立出来,并由服务代理来控制用户单点登录和***访问请求,有效的降低了应用***整合复杂度,提高了门户整合性能。
本发明基于面向服务架构认证服务代理的信息门户单点登录和访问***,包括有应用***(3)、用户浏览器(4),以及基于面向服务架构的认证服务端(1)和认证服务代理(2);
所述的认证服务端(1)用于提供单点登录服务;其由认证服务端数据结构集(11)、认证服务端原子服务集(12)和认证服务端辅助服务集(13)组成,认证服务端数据结构集(11)用于承载单点登录执行过程中交换的数据;认证服务端原子服务集(12)通过响应认证服务代理(2)的调用请求,从而完成单点登录和对应用***(3)的访问;认证服务端辅助服务集(13)用于(A)维护所述认证服务端(1)单点登录中的局部用户角色映射LURM、全局用户身份信息GUII,(B)辅助完成单点登录和对应用***(3)的访问;
所述的认证服务代理(2)是基于面向服务架构的,通过调用认证服务端(1)提供的单点登录服务,使得用户通过用户浏览器(4)能够使用单点登录服务进行登录,并实现对应用***(3)的访问。
认证服务端数据结构集(11)是一个八元组D0={ASID,PRID,ARID,UIT,URT,UTS,GUII,LURM},ASID表示应用***编号,PRID表示门户角色编号,ARID表示应用***角色编号,UIT表示用户身份令牌,URT表示用户角色令牌,UTS表示用户令牌存根,GUII表示全局用户身份信息,LURM表示局部用户角色映射。
认证服务端原子服务集(12)是一个五元组S0={serviceUITF,serviceUITV,serviceUFPC,servicePMRF,serviceUITI},serviceUITF表示用户身份令牌获取服务,serviceUITV表示用户身份令牌验证服务,serviceUFPC表示用户一级权限校验服务,servicePMRF表示门户映射角色获取服务,serviceUITI表示身份令牌废弃服务。
认证服务端辅助服务集(13)是一个六元组A0={serviceUGIF,serviceUIS,servicePRF,serviceURMR,serviceASIQ,serviceASIR},serviceUGIF表示用户全局身份获取服务,serviceUIS表示用户信息同步服务,servicePRF表示针对应用***ASID的门户角色PRID的获取服务,serviceURMR表示用户角色映射注册服务,serviceASIQ表示认证服务调用接口查询服务,serviceASIR表示认证服务调用接口注册服务。
本发明基于面向服务架构认证服务代理的信息门户单点登录和访问***的设计特点在于:
①对认证服务端1采用了数据封装和服务封装策略,使本发明信息门户单点登录和访问***的开放度高,编程接口简单;
②在本发明信息门户单点登录和访问***中引入认证服务代理2,使得身份认证从应用***3中独立出来,由认证服务代理2调用认证服务端1中的原子服务来完成,从而降低了本发明***的整合的复杂度;
③在执行单点登录过程中通过认证服务代理2与认证服务端1的请求-访问模式,有利于应用***3的整合和更新;
④将单点登录封装为多个原子服务集,各服务间耦合度低,从而可以对各原子服务独立地进行更新和维护;
⑤本发明提供的轻量级单点登录服务,有利于信息门户在动态松耦合环境下实现快速整合。
附图说明
图1是用户通过本发明的认证代理服务进行登录、访问应用***的简示图。
图2是本发明认证服务端的结构框图。
图3是本发明认证服务端在执行单点登录的流程图。
图中: 1.认证服务端 11.认证服务端数据结构集12.认证服务端原子服务集 13.认证服务端辅助服务集2.认证服务代理 3.应用***
具体实施方式
下面将结合附图对本发明做进一步的详细说明。
本发明是一种基于面向服务架构认证服务代理的信息门户单点登录及访问***,包括有基于面向服务架构的认证服务端1、认证服务代理2和应用***3。所述的认证服务代理2是基于面向服务架构的,通过调用认证服务端1提供的单点登录服务,使得用户通过用户浏览器4能够使用单点登录服务进行登录,并实现对应用***3的访问。
在本发明中,所述的应用***3为互联网络中的用于管理、分析、发布信息等的应用***。
在本发明中,所述的认证服务代理2是用于调用所述的认证服务端1中的单点登录服务,起到用户与应用***3的桥梁作用。由于所述的认证服务端1中采用了数据封装和服务封装策略,针对用户的单点登录和访问的开放度较高;在执行单点登录过程中通过所述的认证服务代理2与所述的认证服务端1的请求-访问模式,有利于所述的应用***3的整合和更新,真正实现了松散耦合。
在本发明中,所述的认证服务端1用于提供单点登录服务。所述的单点登录服务设计为多个原子服务集,各服务间耦合度低,从而可以对各原子服务独立地进行更新和维护,体现了所述的认证服务端1具有快速灵活性。
在本发明中,(参见图1所示)用户通过用户浏览器4登录时,首先经认证服务代理2通过调用原子服务进入认证服务端1实现单点登录;然后即可访问应用***3,根据多个权限范围的设置应用***可以有,如A应用***31、B应用***32……N应用***33。
在本发明中,(参见图2所示)认证服务端1由认证服务端数据结构集11、认证服务端原子服务集12和认证服务端辅助服务集13组成;
认证服务端数据结构集11用于承载单点登录执行过程中交换的数据;
认证服务端原子服务集12通过响应认证服务代理2的调用请求,从而完成单点登录和对应用***3的访问;
认证服务端辅助服务集13用于(A)维护单点登录中的LURM、GUII,(B)辅助完成单点登录和对应用***3的访问。
认证服务端数据结构集11是一个八元组D0={ASID,PRID,ARID,UIT,URT,UTS,GUII,LURM},ASID表示应用***编号,PRID表示门户角色编号,ARID表示应用***角色编号,UIT表示用户身份令牌,URT表示用户角色令牌,UTS表示用户令牌存根,GUII表示全局用户身份信息,LURM表示局部用户角色映射。在本发明中,认证服务端数据结构集11采用数据封装模式,有利于信息门户单点登录和访问,提高了本发明***的开放度。
ASID:代表应用***3中的A应用***31、B应用***32……N应用***33在信息门户中的唯一标识,简称:应用***编号。
PRID:用以标识门户角色。简称:门户角色编号。
ARID:用以标识应用***的角色编号,该角色编号包含有应用***3中的A应用***31、B应用***32……N应用***33在信息门户中的应用***编号,简称应用***角色编号。
UIT:用以标识用户是否处于已登录状态,是以当前时间的毫秒级单位为基础生成的一个32位随机字符串,在用户通过认证服务代理2进行身份验证后由认证服务端1生成,简称:用户身份令牌。
URT:说明已登录用户所具备的门户角色信息,是用户拥有的门户角色编号PRID所组成的数组,该数组结构为:URT={PRID1,PRID2,…,PRIDn},简称:用户角色令牌。
UTS:用以标识用户身份令牌UIT和用户角色令牌URT的有效性,在用户登录后由认证服务端1生成并保存,其格式为:UTS={用户名,UIT,URT},简称:用户令牌存根。
GUII:用以标识用户身份信息,其格式为:GUII={用户名,用户登录密码},简称:全局用户身份信息。
LURM:用以维护门户角色编号PRID与应用***角色编号ARID之间的映射,其格式为:LURM={PRID,ASID,ARID},简称:局部用户角色映射。
认证服务端原子服务集12是一个五元组S0={serviceUITF,serviceUITV,serviceUFPC,servicePMRF,serviceUITI},serviceUITF表示用户身份令牌获取服务,serviceUITV表示用户身份令牌验证服务,serviceUFPC表示用户一级权限校验服务,servicePMRF表示门户映射角色获取服务,serviceUITI表示身份令牌废弃服务。
serviceUITF:用于(A)对全局用户身份信息GUII进行验证用户身份;(B)对身份验证通过的用户授予用户身份令牌UIT;(C)对授予用户身份令牌UIT的用户采用自动顺序码生成方式产生用户令牌存根UTS,并将用户令牌存根UTS保存在认证服务端。在本发明中,对用户输入的全局用户身份信息GUII(用户名和用户登录密码)进行验证,并根据验证结果决定是否授予UIT,若是则授予用户身份令牌UIT,并生成用户令牌存根UTS保存在认证服务端,若否,则返回无效的UIT。该服务的输入为GUII,输出为UIT。简称:用户身份令牌获取服务。
serviceUITV:用以验证用户所持有的用户身份令牌UIT的有效性。针对用户所持有的用户身份令牌UIT,根据用户令牌存根UTS检验UIT的有效性并返回检验结果。输入为用户身份令牌UIT,输出为布尔值验证结果。简称:用户身份令牌验证服务。
serviceUFPC:用以检验用户对请求的应用***3中是否具备入口访问权限。负责根据用户身份令牌UIT和用户令牌存根UTS取得用户角色令牌URT,结合应用***编号ASID,检验用户是否对所请求的应用***3具备入口访问权。输入为用户身份令牌UIT和应用***编号ASID,输出为布尔值验证结果。简称:用户一级权限校验服务。
servicePMRF:用以取得门户角色映射到对应的应用***3中的角色。根据用户所持有的UIT和UTS取得URT、GUII、LURM,并结合ASID进行求积,取得门户角色映射到该应用***的角色。输入为用户身份令牌UIT和应用***编号ASID,输出为对应应用***的内部角色编号数组{ARID1,ARID2,…,ARIDn}。简称:门户映射角色获取服务。
serviceUITI:将用户当前持有的用户身份令牌UIT标记为无效。根据用户当前持有的UIT,废弃URT、UTS、UIT。输入为用户身份令牌UIT,简称:身份令牌废弃服务。
认证服务端辅助服务集13是一个六元组A0={serviceUGIF,serviceUIS,servicePRF,serviceURMR,serviceASIQ,serviceASIR},serviceUGIF表示用户全局身份获取服务,serviceUIS表示用户信息同步服务,servicePRF表示针对应用***ASID的门户角色PRID的获取服务,serviceURMR表示用户角色映射注册服务,serviceASIQ表示认证服务调用接口查询服务,serviceASIR表示认证服务调用接口注册服务。
serviceUGIF:获取用户在门户中的身份信息。根据用户持有的UIT和UTS取得对应的用户名,再根据用户名取得GUII。输入为用户当前持有的用户身份令牌UIT,输出为全局用户身份信息GUII。简称:用户全局身份获取服务。
serviceUIS:取出对指定应用***具备访问权限的全部用户的全局身份信息GUII,并保存到指定应用***中。根据ASID,取出对该应用***具备入口访问权的用户的GUII并保存。输入为应用***编号ASID。简称:用户信息同步服务。
servicePRF:取出对指定应用***具备访问权限的门户角色信息。根据ASID取出门户中对指定ASID的应用***具备入口访问权的全部角色信息。输入为应用***编号ASID,输出为门户角色信息。简称:应用***门户角色获取服务。
serviceURMR:注册从门户角色到应用***角色的映射。根据指定的ASID、ARID、门户角色编号PRID,对用户角色映射LURM进行注册或变更,即维护认证服务端数据结构集11中的LURM元素。输入为应用***编号ASID、ARID、PRID,输出为布尔值执行结果。简称:用户角色映射注册服务。
serviceASIQ:查询特定的认证服务调用接口。事先约定的认证服务调用接口编号,取出认证服务调用接口编号所对应的认证服务调用接口描述,当认证代理2调用认证服务端1提供的原子服务接口失败时,认证代理2可以调用该服务重新获得认证服务端1所提供的原子服务的调用接口。输入为认证服务调用接口编号,输出为认证服务调用接口描述。简称:认证服务调用接口查询服务。
serviceASIR:对认证服务调用接口编号进行注册或变更。将进行过修改的认证服务调用接口描述和编号注册,并返回动作的执行结果。当修改了认证服务端1提供的原子服务接口时,可以通过调用该服务实现修改后原子服务接口的自动注册和变更。输入为希望注册或更改的认证服务调用接口描述和编号,输出为布尔值执行结果。简称:认证服务调用接口注册服务。
在本发明中,用户通过用户浏览器4进行单点登录访问应用***3的执行步骤为(参见图3所示):
***初始化后,信息门户提供一个单一登录入口,用户通过所述登录入口输入GUII(用户名和密码)请求进行登录后进入步骤101;
步骤101:认证服务代理2截获所述GUII请求后,调用serviceUITF,并将GUII传递给认证服务端1,执行步骤102;
步骤102:认证服务端1执行认证服务serviceUITF,并对GUII进行验证;所述GUII验证通过后,(A)生成UIT、URT、UTS;(B)保存URT和UTS;(C)发送UIT给认证服务代理2,执行步骤103;如果GUII验证不通过,则返回无效的UIT给认证服务代理2;
步骤103:认证服务代理2判断返回的无效UIT是否有效?否,返回开始状态;是,执行步骤104;
步骤104:用户通过用户浏览器4发送访问请求给指定应用***,执行步骤105;在本发明中,指定应用***是指用户发送访问请求给应用***3中的A应用***31或者A应用***31、B应用***32或者A应用***31、B应用***32……N应用***33(参见图1所示)。所述访问请求是指带有编号的指定应用***,表达形式可以为ASIDN,N表示指定应用***的编号。例如,用户通过用户浏览器4需要访问B应用***32,则发送的访问请求则为ASIDB或者ASID32。为了简述方便,下文的指定应用***用B应用***32代替。
步骤105:认证服务代理2截获所述的访问请求,调用serviceUITV,并将用户的全局身份令牌UIT传递给认证服务端1;认证服务端1执行serviceUITV来验证UIT的有效性,并返回UIT给认证服务代理2,执行步骤106;
步骤106:认证服务代理2判断UIT是否有效,否,返回开始状态;是,执行步骤107;
步骤107:认证服务代理2调用serviceUFPC,并将serviceUFPC输出给认证服务端1;认证服务端1执行serviceUFPC来验证用户是否具有访问B应用***32的权限,并将该访问权限返回给认证服务代理2,执行步骤108;
步骤108:认证服务代理2对步骤107中的访问权限与阈值进行比较后,输出(A)用户具有访问权限,执行步骤109;(B)不具有访问权限,执行步骤111a;在本发明中,阈值为“1”表示用户不具有访问权限,阈值为“0”表示用户具有访问权限。
步骤111a:用于提示用户无权访问,并执行步骤114;
步骤109:认证服务代理2判断是否缓存用户在B应用***32中的角色编号,即URT;是,则执行步骤110;否,则执行步骤901;
步骤901:认证服务代理2调用servicePMRF来将UIT和ASIDB,发送至认证服务端1,执行步骤902;
步骤902:认证服务端1从认证服务端数据结构集11中获得LURM,并执行servicePMRF后得到在B应用***32中的角色编号,并将所述角色编号发送给认证服务代理2;认证服务代理2对接收的所述角色编号进行缓存后执行步骤110;
步骤110:认证服务代理2将缓存的所述角色编号发送给B应用***32,执行步骤111;
步骤111:B应用***32根据URT检验用户对B应用***32的访问请求操作是否具备权限;否,执行步骤111a;是,执行步骤114;
步骤111a:用于提示用户无权访问,并执行步骤114;
步骤112:B应用***32响应用户的访问请求,从而达到用户实现单点登录B应用***32。
步骤113:询问用户是否再次登录应用***3中的其它应用***,若“是”则执行步骤104;若“否”则执行步骤114;
步骤114:认证服务代理2调用serviceUITI,并将用户的全局身份令牌UIT发送给认证服务端1;认证服务端1执行身份认证服务serviceUITI后,将用户身份令牌UIT废弃,并将废弃确认指令发送给认证服务代理2。
本发明基于面向服务架构认证服务代理的信息门户单点登录和访问***中各模块的具体设计理念为:
一、认证服务设计
认证服务端提供的SSO服务是整个机制的核心。其中权限管理、安全策略和原子服务划分是SSO服务设计的重点。下面将分别从这三个方面对认证服务设计进行阐述。
1、权限管理策略
应用***AS中用户权限的分配极其严格。门户***中集成的AS在业务逻辑和工作流程上的差异通常会以最直观的方式反映到权限划分上。在本发明中以降低AS整合难度和门户权限管理复杂度,提高本发明***的灵活性和可复用性为目标,设计了以二次鉴权制度为主、角色映射管理制度为辅的权限管理策略。
二次鉴权制度:指将单个AS视作一个门户资源,门户角色仅负责提供用户对于AS的入口访问权,用户在AS中的权限由AS另行分配、管理。本发明***权限管理策略通过采用二次鉴权制度,避免在门户中对AS的权限管理进行过多干涉。但二次鉴权制度中,新增的门户用户存在权限空白期——即新增用户具备可提供AS入口访问权的门户角色,但其不具备AS内部角色的时间段。本发明***采用角色映射管理制度来解决权限空白期问题。
角色映射管理制度:指在门户角色和AS内部角色之间建立映射关系。用户在访问AS时根据其所持有的门户角色和角色映射之积,得出对应的AS内部角色。如此,用户一旦具备对AS的入口访问权也就同时具备了一定的AS内部角色,从而弥补二次鉴权制度中新增门户用户存在权限空白期的不足。
通过权限管理策略进行权限管理,在本***中避免了由于权限问题导致的对AS和门户的修改,同时对用户在门户和子***中的权限一致性提供了保障。
2、安全策略设计
鉴于本发明***中的基本数据结构所装载信息均为敏感信息,安全要求高,故本发明***安全策略除依赖于具体实现的安全框架外,还需实现以下两种安全策略:
(1)利用安全套接层(Secure Socket Layer:SSL)协议保证传输安全
AS内嵌的服务代理在调用认证服务时必须出示认证服务端颁发的SSL数字证书,否则视作非法调用。
(2)利用非对称加密保证数据元素级安全
采用RSA非对称加密算法与AES对称加密算法相结合的方式,对服务代理和认证服务端交互过程中传输的数据结构进行加密。具体步骤为:①服务代理发出服务调用请求时,生成一对RSA非对称密钥,并将公钥附在请求信息中;②认证服务端发送响应数据时,生成AES对称密钥,先用AES对称密钥对响应数据加密,再用服务代理提供的RSA公钥将AES密钥加密,将响应数据和加密后的AES密钥一并发送给服务代理;③服务代理先使用RSA私钥将AES密钥解密,再用AES密钥将响应数据解密。
以上安全策略可有效地保证机制在数据传输级别和数据元素级别的数据安全。在实际运用中可与机制的具体实现所提供的安全框架共同保护机制的信息安全。
3、原子服务划分
本发明***以降低门户整合难度,提高门户灵活性为目标,以SOA思想为指导,将单点登录分解成为一组原子服务,这组原子服务对外提供统一、通用的调用接口供AS中的认证代理调用,实现SSO功能。为了保证原子服务的原子性和完整性,在对本发明***认证流程进行原子服务划分时,需满足:
单一性原则:一个原子服务只能包括唯一一次认证代理与认证服务端之间的请求/响应通信;
完备性原则:一个原子服务对认证代理的一次调用请求而言应该是功能完备的,不能与其它原子服务在功能上有所交叉。
二、本发明***认证代理设计
在本发明***中,AS通过认证代理调用SSO服务。由于结合SOA思想的本发明***所设计的认证服务具备统一、通用的调用接口,故认证代理的工作仅限于结合AS的具体实现情况将认证服务的调用接口转化为AS可直接使用的形式。
本发明中,引用字母的简写与全称,以及中文意义见下表:
简写 | 全称 | 中文意义 |
ASID | Application System ID | 应用服务***编号 |
PRID | Portal Role ID | 门户角色编号 |
ARID | Application Role ID | 应用***角色编号 |
UIT | User Identity Token | 用户身份令牌 |
URT | User Role Token | 用户角色令牌 |
UTS | User Token Stub | 用户令牌存根 |
GUII | Global User Identity Info | 全局用户身份信息 |
LURM | Local User Role Mapping | 局部用户角色映射 |
serviceUITF | User Identity Token Fetching | 用户身份令牌获取服务 |
serviceUITV | User Identity Token Validation | 用户身份令牌验证服务 |
serviceUFPC | User First Privilege Check | 用户一级权限校验服务 |
servicePMRF | Portal Mapping Role Fetching | 门户映射角色获取服务 |
serviceUITI | User Identity Token Invalidation | 身份令牌废弃服务 |
serviceUGIF | User Global Identity Fetching | 用户全局身份获取服务 |
serviceUIS | User Information Synchronization | 用户信息同步服务 |
servicePRF | Portal Role Fetching | 门户角色获取服务 |
serviceURMR | User Role Mapping Registration | 用户角色映射注册服务 |
serviceASIQ | Authorization Service InterfaceQuery | 认证服务调用接口查询服务 |
serviceASIR | Authorization Service InterfaceRegistration | 认证服务调用接口注册服务 |
Claims (7)
1、一种基于面向服务架构认证服务代理的信息门户单点登录和访问***,包括有应用***(3)、用户浏览器(4),其特征在于:还包括有基于面向服务架构的认证服务端(1)和认证服务代理(2);
所述的认证服务端(1)用于提供单点登录服务;其由认证服务端数据结构集(11)、认证服务端原子服务集(12)和认证服务端辅助服务集(13)组成,认证服务端数据结构集(11)用于承载单点登录执行过程中交换的数据;认证服务端原子服务集(12)通过响应认证服务代理(2)的调用请求,从而完成单点登录和对应用***(3)的访问;认证服务端辅助服务集(13)用于(A)维护所述认证服务端(1)单点登录中的局部用户角色映射LURM、全局用户身份信息GUII,(B)辅助完成单点登录和对应用***(3)的访问;
所述的认证服务代理(2)是基于面向服务架构的,通过调用认证服务端(1)提供的单点登录服务,使得用户通过用户浏览器(4)能够使用单点登录服务进行登录,并实现对应用***(3)的访问。
2、根据权利要求1所述的信息门户单点登录和访问***,其特征在于:应用***(3)包括有根据不同权限范围设置的如A应用***(31)、B应用***(32)……N应用***(33)。
3、根据权利要求1所述的信息门户单点登录和访问***,其特征在于:认证服务端数据结构集(11)是一个八元组D0={ASID,PRID,ARID,UIT,URT,UTS,GUII,LURM},ASID表示应用***编号,PRID表示门户角色编号,ARID表示应用***角色编号,UIT表示用户身份令牌,URT表示用户角色令牌,UTS表示用户令牌存根,GUII表示全局用户身份信息,LURM表示局部用户角色映射。
4、根据权利要求1所述的信息门户单点登录和访问***,其特征在于:认证服务端原子服务集(12)是一个五元组S0={serviceUITF,serviceUITV,serviceUFPC,servicePMRF,serviceUITI},serviceUITF表示用户身份令牌获取服务,serviceUITV表示用户身份令牌验证服务,serviceUFPC表示用户一级权限校验服务,servicePMRF表示门户映射角色获取服务,serviceUITI表示身份令牌废弃服务。
5、根据权利要求1所述的信息门户单点登录和访问***,其特征在于:认证服务端辅助服务集(13)是一个六元组A0={serviceUGIF,serviceUIS,servicePRF,serviceURMR,serviceASIQ,serviceASIR},serviceUGIF表示用户全局身份获取服务,serviceUIS表示用户信息同步服务,servicePRF表示针对应用***ASID的门户角色PRID的获取服务,serviceURMR表示用户角色映射注册服务,serviceASIQ表示认证服务调用接口查询服务,serviceASIR表示认证服务调用接口注册服务。
6、根据权利要求1或2所述的信息门户单点登录和访问***,其特征在于:用户通过用户浏览器(4)进行单点登录访问应用***(3)的执行步骤为:
***初始化后,信息门户提供一个单一登录入口,用户通过所述登录入口输入GUII请求进行登录后进入步骤101;
步骤101:认证服务代理(2)截获所述GUII请求后,调用serviceUITF,并将GUII传递给认证服务端(1),执行步骤102;
步骤102:认证服务端(1)执行认证服务serviceUITF,并对GUII进行验证;所述GUII验证通过后,(A)生成UIT、URT、UTS;(B)保存URT和UTS;(C)发送UIT给认证服务代理(2),执行步骤103;如果GUII验证不通过,则返回无效的UIT给认证服务代理(2);
步骤103:认证服务代理(2)判断返回的无效UIT是否有效?否,返回开始状态;是,执行步骤104;
步骤104:用户通过用户浏览器(4)发送访问请求给B应用***(32),执行步骤105;
步骤105:认证服务代理(2)截获所述的访问请求,调用serviceUITV,并将用户的全局身份令牌UIT传递给认证服务端(1);认证服务端(1)执行serviceUITV来验证UIT的有效性,并返回UIT给认证服务代理(2),执行步骤106;
步骤106:认证服务代理(2)判断UIT是否有效,否,返回开始状态;是,执行步骤107;
步骤107:认证服务代理(2)调用serviceUFPC,并将serviceUFPC输出给认证服务端(1);认证服务端(1)执行serviceUFPC来验证用户是否具有访问B应用***(32)的权限,并将该访问权限返回给认证服务代理(2),执行步骤108;
步骤108:认证服务代理(2)对步骤107中的访问权限与阈值进行比较后,输出(A)用户具有访问权限,执行步骤109;(B)不具有访问权限,执行步骤111a;
步骤111a:用于提示用户无权访问,并执行步骤114;
步骤109:认证服务代理(2)判断是否缓存用户在B应用***(32)中的角色编号,即URT;是,则执行步骤110;否,则执行步骤901;
步骤901:认证服务代理(2)调用servicePMRF来将UIT和ASIDB,发送至认证服务端(1),执行步骤902;
步骤902:认证服务端(1)从认证服务端数据结构集(11)中获得LURM,并执行servicePMRF后得到在B应用***(32)中的角色编号,并将所述角色编号发送给认证服务代理(2);认证服务代理(2)对接收的所述角色编号进行缓存后执行步骤110;
步骤110:认证服务代理(2)将缓存的所述角色编号发送给B应用***(32),执行步骤111;
步骤111:B应用***(32)根据URT检验用户对B应用***(32)的访问请求操作是否具备权限;否,执行步骤111a;是,执行步骤114;
步骤111a:用于提示用户无权访问,并执行步骤114;
步骤112:B应用***(32)响应用户的访问请求,从而达到用户实现单点登录B应用***(32);
步骤113:询问用户是否再次登录应用***(3)中的其它应用***,若“是”则执行步骤104;若“否”则执行步骤114;
步骤114:认证服务代理(2)调用serviceUITI,并将用户的全局身份令牌UIT发送给认证服务端(1);认证服务端(1)执行身份认证服务serviceUITI后,将用户身份令牌UIT废弃,并将废弃确认指令发送给认证服务代理(2)。
7、根据权利要求6所述的信息门户单点登录和访问***,其特征在于:步骤108中的阈值“1”和“0”,阈值为“1”表示用户不具有访问权限,阈值为“0”表示用户具有访问权限。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNA2008101057529A CN101277193A (zh) | 2008-05-05 | 2008-05-05 | 基于面向服务架构认证服务代理的信息门户单点登录和访问*** |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNA2008101057529A CN101277193A (zh) | 2008-05-05 | 2008-05-05 | 基于面向服务架构认证服务代理的信息门户单点登录和访问*** |
Publications (1)
Publication Number | Publication Date |
---|---|
CN101277193A true CN101277193A (zh) | 2008-10-01 |
Family
ID=39996233
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNA2008101057529A Pending CN101277193A (zh) | 2008-05-05 | 2008-05-05 | 基于面向服务架构认证服务代理的信息门户单点登录和访问*** |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101277193A (zh) |
Cited By (32)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101958881A (zh) * | 2009-07-17 | 2011-01-26 | ***通信集团湖北有限公司 | 一种服务群访问控制方法、装置及*** |
CN102306247A (zh) * | 2011-08-17 | 2012-01-04 | 广州启生信息技术有限公司 | 一种基于医生在线交互的网络客服及通行证管理*** |
CN102457376A (zh) * | 2010-10-29 | 2012-05-16 | 中兴通讯股份有限公司 | 一种云计算服务统一认证的方法和*** |
CN102739628A (zh) * | 2011-04-14 | 2012-10-17 | 英业达股份有限公司 | 应用程序端登录验证***及其方法 |
WO2012139482A1 (zh) * | 2011-04-15 | 2012-10-18 | 北京百度网讯科技有限公司 | 网络百科用户管理***及应用的访问方法 |
CN102801808A (zh) * | 2012-07-30 | 2012-11-28 | 武汉理工大学 | 一种面向WebLogic的Form身份鉴别的单点登录集成方法 |
CN101645021B (zh) * | 2009-06-18 | 2012-12-12 | 广东金宇恒科技有限公司 | Java应用服务器下多***的单点登录整合方法 |
CN101764806B (zh) * | 2009-12-31 | 2012-12-26 | 卓望数码技术(深圳)有限公司 | 一种单点登录方法、***以及登录服务平台 |
CN103209168A (zh) * | 2013-01-30 | 2013-07-17 | 广东欧珀移动通信有限公司 | 一种实现单点登录的方法和*** |
CN103227799A (zh) * | 2013-05-13 | 2013-07-31 | 山东临沂烟草有限公司 | 基于多应用***统一用户管理及单点登陆平台的实现方法 |
CN103595713A (zh) * | 2013-11-08 | 2014-02-19 | 红云红河烟草(集团)有限责任公司 | 企业身份信息统一管理和鉴别平台 |
CN103617485A (zh) * | 2013-11-15 | 2014-03-05 | 中国航空无线电电子研究所 | 统一权限管理部署*** |
CN104396290A (zh) * | 2012-07-02 | 2015-03-04 | Sk普兰尼特有限公司 | 单一证书服务***及其操作方法 |
CN104506542A (zh) * | 2014-12-29 | 2015-04-08 | 深圳中兴网信科技有限公司 | 安全认证方法和安全认证*** |
CN104821944A (zh) * | 2015-04-28 | 2015-08-05 | 广东小天才科技有限公司 | 一种混合加密的网络数据安全方法及*** |
CN105847220A (zh) * | 2015-01-14 | 2016-08-10 | 北京神州泰岳软件股份有限公司 | 一种认证方法、***和服务平台 |
CN106230850A (zh) * | 2016-08-26 | 2016-12-14 | 芜湖创易科技有限公司 | 一种统一身份认证平台 |
CN106878455A (zh) * | 2017-03-16 | 2017-06-20 | 北京中电普华信息技术有限公司 | 一种基于互联网的服务信息的获取方法和服务器 |
CN107147496A (zh) * | 2017-04-28 | 2017-09-08 | 广东网金控股股份有限公司 | 一种面向服务技术框架下不同应用间统一授权认证的方法 |
CN107566473A (zh) * | 2017-08-28 | 2018-01-09 | 南京南瑞继保电气有限公司 | 一种电力二次***设备核查方法 |
CN108200099A (zh) * | 2011-09-29 | 2018-06-22 | 甲骨文国际公司 | 移动应用、身份关系管理 |
CN109033803A (zh) * | 2018-08-28 | 2018-12-18 | 南京南瑞信息通信科技有限公司 | 一种基于门户app的移动微应用登录管理方法 |
CN109587148A (zh) * | 2018-12-11 | 2019-04-05 | 上海宜延电子商务有限公司 | 一种数据计算客户端、数据计算服务器及数据计算*** |
CN109905365A (zh) * | 2019-01-14 | 2019-06-18 | 江苏第二师范学院(江苏省教育科学研究院) | 一种可分布式部署的单点登录及服务授权***和方法 |
CN110213223A (zh) * | 2019-03-21 | 2019-09-06 | 腾讯科技(深圳)有限公司 | 业务管理方法、装置、***、计算机设备和存储介质 |
CN110278179A (zh) * | 2018-03-15 | 2019-09-24 | 阿里巴巴集团控股有限公司 | 单点登录方法、装置和***以及电子设备 |
CN111143814A (zh) * | 2019-12-30 | 2020-05-12 | 武汉佰钧成技术有限责任公司 | 单点登录方法、微服务接入平台及存储介质 |
CN111240863A (zh) * | 2020-01-10 | 2020-06-05 | 无锡华云数据技术服务有限公司 | 数据通信方法、装置、微前端***及存储介质 |
CN111355713A (zh) * | 2020-02-20 | 2020-06-30 | 深信服科技股份有限公司 | 一种代理访问方法、装置、代理网关及可读存储介质 |
US10813002B2 (en) | 2013-07-18 | 2020-10-20 | Convida Wireless, Llc | Capillary device charging |
CN112182522A (zh) * | 2019-07-05 | 2021-01-05 | 北京地平线机器人技术研发有限公司 | 访问控制方法和装置 |
CN116405573A (zh) * | 2023-06-07 | 2023-07-07 | 北京集度科技有限公司 | 基于面向服务架构的***、通信方法、计算机程序产品 |
-
2008
- 2008-05-05 CN CNA2008101057529A patent/CN101277193A/zh active Pending
Cited By (46)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101645021B (zh) * | 2009-06-18 | 2012-12-12 | 广东金宇恒科技有限公司 | Java应用服务器下多***的单点登录整合方法 |
CN101958881A (zh) * | 2009-07-17 | 2011-01-26 | ***通信集团湖北有限公司 | 一种服务群访问控制方法、装置及*** |
CN101958881B (zh) * | 2009-07-17 | 2013-12-04 | ***通信集团湖北有限公司 | 一种服务群访问控制方法、装置及*** |
CN101764806B (zh) * | 2009-12-31 | 2012-12-26 | 卓望数码技术(深圳)有限公司 | 一种单点登录方法、***以及登录服务平台 |
CN102457376A (zh) * | 2010-10-29 | 2012-05-16 | 中兴通讯股份有限公司 | 一种云计算服务统一认证的方法和*** |
CN102457376B (zh) * | 2010-10-29 | 2016-02-10 | 中兴通讯股份有限公司 | 一种云计算服务统一认证的方法和*** |
CN102739628A (zh) * | 2011-04-14 | 2012-10-17 | 英业达股份有限公司 | 应用程序端登录验证***及其方法 |
WO2012139482A1 (zh) * | 2011-04-15 | 2012-10-18 | 北京百度网讯科技有限公司 | 网络百科用户管理***及应用的访问方法 |
CN102306247A (zh) * | 2011-08-17 | 2012-01-04 | 广州启生信息技术有限公司 | 一种基于医生在线交互的网络客服及通行证管理*** |
CN108200099B (zh) * | 2011-09-29 | 2019-09-17 | 甲骨文国际公司 | 移动应用、身份关系管理 |
US10621329B2 (en) | 2011-09-29 | 2020-04-14 | Oracle International Corporation | Mobile application, resource management advice |
CN108200099A (zh) * | 2011-09-29 | 2018-06-22 | 甲骨文国际公司 | 移动应用、身份关系管理 |
CN104396290A (zh) * | 2012-07-02 | 2015-03-04 | Sk普兰尼特有限公司 | 单一证书服务***及其操作方法 |
CN104396290B (zh) * | 2012-07-02 | 2018-07-10 | Sk普兰尼特有限公司 | 单一证书服务***及其操作方法 |
CN102801808A (zh) * | 2012-07-30 | 2012-11-28 | 武汉理工大学 | 一种面向WebLogic的Form身份鉴别的单点登录集成方法 |
CN102801808B (zh) * | 2012-07-30 | 2014-11-05 | 武汉理工大学 | 一种面向WebLogic的Form身份鉴别的单点登录集成方法 |
CN103209168A (zh) * | 2013-01-30 | 2013-07-17 | 广东欧珀移动通信有限公司 | 一种实现单点登录的方法和*** |
CN103227799A (zh) * | 2013-05-13 | 2013-07-31 | 山东临沂烟草有限公司 | 基于多应用***统一用户管理及单点登陆平台的实现方法 |
US10813002B2 (en) | 2013-07-18 | 2020-10-20 | Convida Wireless, Llc | Capillary device charging |
US11736968B2 (en) | 2013-07-18 | 2023-08-22 | Interdigital Patent Holdings, Inc. | Capillary device charging |
CN103595713A (zh) * | 2013-11-08 | 2014-02-19 | 红云红河烟草(集团)有限责任公司 | 企业身份信息统一管理和鉴别平台 |
CN103617485A (zh) * | 2013-11-15 | 2014-03-05 | 中国航空无线电电子研究所 | 统一权限管理部署*** |
CN104506542A (zh) * | 2014-12-29 | 2015-04-08 | 深圳中兴网信科技有限公司 | 安全认证方法和安全认证*** |
CN105847220A (zh) * | 2015-01-14 | 2016-08-10 | 北京神州泰岳软件股份有限公司 | 一种认证方法、***和服务平台 |
CN104821944A (zh) * | 2015-04-28 | 2015-08-05 | 广东小天才科技有限公司 | 一种混合加密的网络数据安全方法及*** |
CN106230850A (zh) * | 2016-08-26 | 2016-12-14 | 芜湖创易科技有限公司 | 一种统一身份认证平台 |
CN106878455A (zh) * | 2017-03-16 | 2017-06-20 | 北京中电普华信息技术有限公司 | 一种基于互联网的服务信息的获取方法和服务器 |
CN106878455B (zh) * | 2017-03-16 | 2020-09-29 | 北京中电普华信息技术有限公司 | 一种基于互联网的服务信息的获取方法和服务器 |
CN107147496A (zh) * | 2017-04-28 | 2017-09-08 | 广东网金控股股份有限公司 | 一种面向服务技术框架下不同应用间统一授权认证的方法 |
CN107566473A (zh) * | 2017-08-28 | 2018-01-09 | 南京南瑞继保电气有限公司 | 一种电力二次***设备核查方法 |
CN110278179A (zh) * | 2018-03-15 | 2019-09-24 | 阿里巴巴集团控股有限公司 | 单点登录方法、装置和***以及电子设备 |
CN110278179B (zh) * | 2018-03-15 | 2021-08-10 | 阿里巴巴集团控股有限公司 | 单点登录方法、装置和***以及电子设备 |
CN109033803A (zh) * | 2018-08-28 | 2018-12-18 | 南京南瑞信息通信科技有限公司 | 一种基于门户app的移动微应用登录管理方法 |
CN109587148A (zh) * | 2018-12-11 | 2019-04-05 | 上海宜延电子商务有限公司 | 一种数据计算客户端、数据计算服务器及数据计算*** |
CN109905365B (zh) * | 2019-01-14 | 2020-10-09 | 江苏第二师范学院(江苏省教育科学研究院) | 一种可分布式部署的单点登录及服务授权***和方法 |
CN109905365A (zh) * | 2019-01-14 | 2019-06-18 | 江苏第二师范学院(江苏省教育科学研究院) | 一种可分布式部署的单点登录及服务授权***和方法 |
CN110213223A (zh) * | 2019-03-21 | 2019-09-06 | 腾讯科技(深圳)有限公司 | 业务管理方法、装置、***、计算机设备和存储介质 |
CN110213223B (zh) * | 2019-03-21 | 2022-03-01 | 腾讯科技(深圳)有限公司 | 业务管理方法、装置、***、计算机设备和存储介质 |
CN112182522A (zh) * | 2019-07-05 | 2021-01-05 | 北京地平线机器人技术研发有限公司 | 访问控制方法和装置 |
CN111143814A (zh) * | 2019-12-30 | 2020-05-12 | 武汉佰钧成技术有限责任公司 | 单点登录方法、微服务接入平台及存储介质 |
CN111143814B (zh) * | 2019-12-30 | 2022-06-21 | 武汉佰钧成技术有限责任公司 | 单点登录方法、微服务接入平台及存储介质 |
CN111240863A (zh) * | 2020-01-10 | 2020-06-05 | 无锡华云数据技术服务有限公司 | 数据通信方法、装置、微前端***及存储介质 |
CN111240863B (zh) * | 2020-01-10 | 2024-02-06 | 无锡华云数据技术服务有限公司 | 数据通信方法、装置、微前端***及存储介质 |
CN111355713A (zh) * | 2020-02-20 | 2020-06-30 | 深信服科技股份有限公司 | 一种代理访问方法、装置、代理网关及可读存储介质 |
CN116405573B (zh) * | 2023-06-07 | 2023-08-15 | 北京集度科技有限公司 | 基于面向服务架构的***、通信方法、计算机程序产品 |
CN116405573A (zh) * | 2023-06-07 | 2023-07-07 | 北京集度科技有限公司 | 基于面向服务架构的***、通信方法、计算机程序产品 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101277193A (zh) | 基于面向服务架构认证服务代理的信息门户单点登录和访问*** | |
US10055561B2 (en) | Identity risk score generation and implementation | |
US9386015B2 (en) | Security model for industrial devices | |
US9300653B1 (en) | Delivery of authentication information to a RESTful service using token validation scheme | |
Gopalakrishnan | Cloud computing identity management | |
US9391978B2 (en) | Multiple access authentication | |
US20180234464A1 (en) | Brokered authentication with risk sharing | |
Sun et al. | A billion keys, but few locks: the crisis of web single sign-on | |
CN101242272B (zh) | 基于移动代理和断言的网格跨域安全平台的实现方法 | |
CN102801808B (zh) | 一种面向WebLogic的Form身份鉴别的单点登录集成方法 | |
US8275985B1 (en) | Infrastructure to secure federated web services | |
CN105141580B (zh) | 一种基于ad域的资源访问控制方法 | |
Guija et al. | Identity and access control for micro-services based 5G NFV platforms | |
CN107070894A (zh) | 一种基于企业云服务平台的软件集成方法 | |
Zhang et al. | A model of workflow-oriented attributed based access control | |
Nacer et al. | A distributed authentication model for composite Web services | |
US8543810B1 (en) | Deployment tool and method for managing security lifecycle of a federated web service | |
Emig et al. | Identity as a service–towards a service-oriented identity management architecture | |
CN110189440A (zh) | 一种基于区块链的智能锁监管设备及其方法 | |
JP6037460B2 (ja) | サービス提供装置、プログラム、及び、方法 | |
Chen et al. | Design of web service single sign-on based on ticket and assertion | |
Gao et al. | An OAuth2. 0-based unified authentication system for secure services in the smart campus environment | |
CN109218329A (zh) | 一种使用NetData-Auth用户认证框架进行认证的方法和*** | |
Chen et al. | Cloud service platform of electronic identity in cyberspace | |
Pimenta et al. | GlobaliD-Privacy Concerns on a Federated Identity Provider Associated with the Users' National Citizen's Card |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
WD01 | Invention patent application deemed withdrawn after publication |
Open date: 20081001 |