CN102082666A - 单点登录***及方法、业务管理***及单点登录中间*** - Google Patents
单点登录***及方法、业务管理***及单点登录中间*** Download PDFInfo
- Publication number
- CN102082666A CN102082666A CN2009102415535A CN200910241553A CN102082666A CN 102082666 A CN102082666 A CN 102082666A CN 2009102415535 A CN2009102415535 A CN 2009102415535A CN 200910241553 A CN200910241553 A CN 200910241553A CN 102082666 A CN102082666 A CN 102082666A
- Authority
- CN
- China
- Prior art keywords
- sign
- user
- user profile
- business management
- management system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种单点登录***及方法、业务管理***及单点登录中间***,单点登录***中包括至少一个业务管理***以及至少一个应用***,还包括单点登录中间***,业务管理***根据与单点登录中间***预先约定的第一加密密钥,对用户的用户信息进行加密后发送给单点登录中间***,单点登录中间***根据与用户请求访问的应用***预先约定的第二加密密钥,对解密得到的用户信息进行加密,并将加密后的用户信息发送给该应用***,该应用***根据解密得到的用户信息为上述用户提供业务。采用本发明技术方案,解决了现有技术中存在的应用***管理与每个业务管理***之间的加密密钥耗费了较多的***资源,导致应用***为用户提供业务的效率较低的问题。
Description
技术领域
本发明涉及通信技术领域,特别涉及一种单点登录***及方法、业务管理***及单点登录中间***。
背景技术
通常每个独立的应用***都会有各自的安全体系和用户身份认证***,用户访问每个应用***都需要进行登录,这不仅在***管理上存在很大的困难,在安全方面也有重大隐患。为了解决上述问题,现有技术提出了单点登录(SSO,Single Sign On)技术,用户只需要登录一次就可以访问多个应用***,例如当用户第一次访问应用***1时,应用***1引导用户到自身的认证单元1中进行登录,认证单元1根据用户提供的登录信息进行身份认证,若通过认证,则为该用户分配用于标识认证通过的认证标识,并将分配的认证标识返回给该用户,用户访问应用***2时,向应用***2发送认证单元1返回的认证标识,应用***2将用户发送的认证标识发送到自身的认证单元2进行认证,认证单元2基于与认证单元1的通信,对认证标识的合法性进行认证,若通过认证,则该用户就不需要再次登录,而是直接访问应用***2。
在互联网环境下,通常将用户订购的所有业务所归属的多个应用***集成在一个业务管理***中,如图1所示,即一个业务管理***11对应多个应用***12,因此可以将图1所示的单点登录***称为一对多单点登录***,该单点登录***可以在业务管理***11上集中向用户提供订购的所有业务,以方便用户的使用。
如图2所示,为现有技术中用户基于图1所示的一对多单点登录***进行单点登录的方法流程图,其具体处理过程如下:
步骤21,业务管理***接收到用户输入的用户标识和密码后,对该用户进行身份认证;
步骤22,若业务管理***对用户的身份认证结果为认证通过,则为该用户分配认证标识,其中分配的认证标识与该用户的用户标识和业务订购信息对应;
步骤23,若用户需要访问应用***1,则该用户在业务管理***上点击应用***1对应的网页(Web)链接;
步骤24,业务管理***将为该用户分配的认证标识发送给应用***1;
步骤25,应用***1根据与业务管理***预先约定的加密密钥对接收到的认证标识进行加密,并将加密后的认证标识发送给业务管理***;
步骤26,业务管理***根据与应用***1预先约定的加密密钥对接收到的认证标识进行解密,并判断解密后得到的认证标识是否为该业务管理***为用户分配的认证标识;
步骤27,若步骤26的判断结果为是,则业务管理***在存储的认证标识、用户标识和业务订购信息的对应关系中,查找与该认证标识对应的业务订购信息;
步骤28,业务管理***将查找到的业务订购信息发送给应用***1;
步骤29,应用***1根据接收到的业务订购信息,为该用户提供对应的业务。
在上述处理过程中,为了防止网络截取和黑客攻击,需要业务管理***对应用***进行鉴权操作,即步骤24~26的操作,若步骤26的判断结果为是,则业务管理***对应用***对应用***1的鉴权结果为鉴权通过,若步骤26的判断结果为否,则业务管理***对应用***对应用***1的鉴权结果为鉴权不通过。
在实际使用过程中,还存在多对多的单点登录***,如图3所示,即多个业务管理***31对应多个应用***32。
在多对多单点登录***中,每个应用***均与多个业务管理***对应,用户可以通过多个业务管理***访问应用***,此时每个应用***与每个业务管理***之间都预先约定了一个加密密钥,若多对多单点登录***中存在N个业务管理***,则应用***在接收到每个业务管理***发送的认证标识后,在管理的N个加密密钥中查找该业务管理***对应的加密密钥,然后根据查找到的加密密钥对认证标识进行加密,也就是说应用***在为用户提供业务外,还要管理与每个业务管理***之间的加密密钥,而应用***的***资源有限,管理与每个业务管理***之间的加密密钥耗费了较多的***资源,这就使得应用***为用户提供业务的效率较低。
发明内容
本发明实施例提供一种单点登录***及方法,用以解决现有技术中存在的应用***管理与每个业务管理***之间的加密密钥耗费了较多的***资源,导致应用***为用户提供业务的效率较低的问题。
相应的、本发明实施例还提供一种业务管理***及单点登录中间***。
本发明实施例技术方案如下:
一种单点登录***,包括至少一个业务管理***以及至少一个应用***,还包括单点登录中间***,其中:业务管理***,用于在接收到用户发送的访问请求消息后,确定该用户的用户信息,以及根据与单点登录中间***预先约定的第一加密密钥,对该用户的用户信息进行加密后发送给单点登录中间***;单点登录中间***,用于根据所述第一加密密钥对接收到的用户信息进行解密,以及确定所述用户请求访问的应用***,根据与确定出的应用***预先约定的第二加密密钥,对解密得到的用户信息进行加密,并将加密后的用户信息发送给确定出的所述应用***;应用***,用于根据所述第二加密密钥对接收到的用户信息进行解密后,根据解密得到的用户信息为所述用户提供业务。
一种单点登录方法,该方法包括步骤:业务管理***在接收用户发送的访问请求消息后,确定该用户的用户信息;以及根据与单点登录中间***预先约定的第一加密密钥,对该用户的用户信息进行加密后发送给单点登录中间***;所述单点登录中间***根据所述第一加密密钥对接收到的用户信息进行解密;以及确定所述用户请求访问的应用***;以及根据与确定出的应用***预先约定的第二加密密钥,对解密得到的用户信息进行加密;并将加密后的用户信息发送给确定出的所述应用***;所述应用***根据所述第二加密密钥对接收到的用户信息进行解密后,根据解密得到的用户信息为所述用户提供业务。
一种业务管理***,包括:第一接收单元,用于接收用户发送的访问请求消息;第一确定单元,用于在第一接收单元接收到用户发送的访问请求消息后,确定该用户的用户信息;加密单元,用于根据与单点登录中间***预先约定的第一加密密钥,对第一确定单元确定出的用户信息进行加密;第一发送单元,用于将加密单元加密后的用户信息发送给单点登录中间***。
一种单点登录中间***,包括:第一接收单元,用于接收业务管理***发送的加密后的用户信息;第一解密单元,用于根据与所述业务管理***预先约定的第一加密密钥,对第一接收单元接收到的用户信息进行解密;第一确定单元,用于确定用户请求访问的应用***;第一加密单元,用于根据与第一确定单元确定出的应用***预先约定的第二加密密钥,对第一解密单元解密得到的用户信息进行加密;第一发送单元,用于将第一加密单元加密后的用户信息发送给第一确定单元确定出的所述应用***。
本发明实施例技术方案中,单点登录***不仅包括至少一个业务管理***以及至少一个应用***,还包括单点登录中间***,其中业务管理***在接收到用户发送的访问请求消息后,确定该用户的用户信息,以及根据与单点登录中间***预先约定的第一加密密钥,对该用户的用户信息进行加密后发送给单点登录中间***,单点登录中间***根据上述第一加密密钥对接收到的用户信息进行解密,以及根据与用户请求访问的应用***预先约定的第二加密密钥,对解密得到的用户信息进行加密,并将加密后的用户信息发送给该应用***,该应用***根据上述第二加密密钥对接收到的用户信息进行解密后,根据解密得到的用户信息为上述用户提供业务,由此可见,单点登录中间***负责与各个业务管理***进行交互,来获取用户的用户信息,而各应用***只需要与单点登录中间***预先约定一个加密密钥,只要管理该加密密钥即可,这就节省了应用***的***资源,有效地提高了应用***为用户提供业务的效率。
附图说明
图1为现有技术中,一对多单点登录***结构示意图;
图2为现有技术中,基于一对多单点登录***的单点登录方法流程示意图;
图3为现有技术中,多对多单点登录***结构示意图;
图4为本发明实施例中,单点登录***结构示意图;
图5为本发明实施例中,单点登录方法流程示意图;
图6为本发明实施例中,业务管理***结构示意图;
图7为本发明实施例中,单点登录中间***结构示意图。
具体实施方式
下面结合各个附图对本发明实施例技术方案的主要实现原理、具体实施方式及其对应能够达到的有益效果进行详细地阐述。
如图4所示,为本发明实施例中单点登录***结构示意图,本发明实施例中的单点登录***包括至少一个业务管理***41、单点登录中间***42和至少一个应用***43,其中:
业务管理***41,用于在接收到用户发送的访问请求消息后,确定该用户的用户信息,以及根据与单点登录中间***42预先约定的第一加密密钥,对该用户的用户信息进行加密后发送给单点登录中间***42;
单点登录中间***42,用于根据上述第一加密密钥对接收到的用户信息进行解密,以及确定用户请求访问的应用***43,根据与确定出的应用***43预先约定的第二加密密钥,对解密得到的用户信息进行加密,并将加密后的用户信息发送给确定出的应用***43;
应用***43,用于根据上述第二加密密钥对接收到的用户信息进行解密后,根据解密得到的用户信息为上述用户提供业务。
由上述处理过程可知,本发明实施例技术方案中,单点登录***不仅包括至少一个业务管理***以及至少一个应用***,还包括单点登录中间***,其中业务管理***在接收到用户发送的访问请求消息后,确定该用户的用户信息,以及根据与单点登录中间***预先约定的第一加密密钥,对该用户的用户信息进行加密后发送给单点登录中间***,单点登录中间***根据上述第一加密密钥对接收到的用户信息进行解密,以及根据与用户请求访问的应用***预先约定的第二加密密钥,对解密得到的用户信息进行加密,并将加密后的用户信息发送给该应用***,该应用***根据上述第二加密密钥对接收到的用户信息进行解密后,根据解密得到的用户信息为上述用户提供业务,由此可见,单点登录中间***负责与各个业务管理***进行交互,来获取用户的用户信息,而各应用***只需要与单点登录中间***预先约定一个加密密钥,只要管理该加密密钥即可,这就节省了应用***的***资源,有效地提高了应用***为用户提供业务的效率。
基于图4所示的单点登录***,本发明实施例提出一种单点登录方法,如图5所示,其具体处理过程如下:
步骤51,业务管理***在接收到用户发送的访问请求消息后,确定该用户的用户信息;
用户将用户标识和用户密码发送给业务管理***后,业务管理***在存储的各个用户标识中,确定是否存在用户发送的用户标识,在确定出存在用户发送的用户标识后,在存储的用户标识和用户密码的对应关系中,查找与用户发送的用户标识对应的用户密码,将查找到的用户密码与用户发送的用户密码进行比较,若比结果为一致,则确定通过对该用户的身份认证。
若该用户后续需要访问该单点登录***中的某个应用***,则该用户向业务管理***发送访问请求消息,该访问请求中携带有用户请求访问的应用***的***标识,例如,业务管理***管理应用***1、应用***2和应用***3,业务管理***提供的Web链接1的名称中包含应用***1的***标识,业务管理***提供的Web链接2的名称中包含应用***2的***标识,业务管理***提供的Web链接3的名称中包含应用***3的***标识,其中Web链接1、Web链接2和Web链接3对应的地址均为单点登录中间***的地址,用户若需要访问应用***1,则该用户可以在业务管理***提供的Web链接1、Web链接2和Web链接3中,点击Web链接1,即向业务管理***发送包含应用***1的***标识的访问请求消息,业务管理***确定用户请求访问应用***1。
若用户的用户信息为用户标识信息,而用户发送的访问请求消息中携带有用户的用户标识信息,则业务管理***可以直接根据接收到的访问请求消息确定用户的用户信息。
步骤52,业务管理***根据与单点登录中间***预先约定的第一加密密钥,对该用户的用户信息进行加密后发送给单点登录中间***;
本发明实施例中,每个业务管理***和单点登录中间***之间均预先约定了一个加密密钥,业务管理***在接收到访问请求消息后,可以首先确定该用户的用户信息,然后直接根据与单点登录中间***预先约定的第一加密密钥,对确定出的用户信息进行加密后发送给单点登录中间***;
此外,业务管理***在对该用户的用户信息进行加密前,还可以进一步对单点登录中间***进行鉴权,具体为:
业务管理***在确定通过对该用户的身份认证后,为该用户分配第一认证标识,后续在接收到该用户发送的访问请求消息后,将该第一认证标识发送给单点登录中间***,单点登录中间***根据与该业务管理***预先约定的第一加密密钥,对接收到的第一认证标识进行加密后,发送给该业务管理***,该业务管理***根据上述第一加密密钥对接收到的第一认证标识进行解密,然后确定解密得到的第一认证标识是否与为该用户分配的第一认证标识一致,若一致,则确认对单点登录中间***的鉴权结果为鉴权通过,那么业务管理***根据第一加密密钥对该用户的用户信息进行加密后发送给单点登录中间***,若不一致,则确认对单点登录中间***的鉴权结果为鉴权不通过,则业务管理***可以向该单点登录中间***发送鉴权不通过消息。
其中,若业务管理***根据第一加密密钥对用户信息进行加密前还要对单点登录中间***进行鉴权,则确定用户的用户信息的过程可以但不限于为下述:
首先根据解密得到的第一认证标识,在第一认证标识和用户信息的对应关系中,查找该用户的用户信息,根据第一加密密钥,对查找到的用户信息进行加密。
其中业务管理***可以但不限于将第一认证标识携带在超文本传输协议(HTTP,Hypertext Transfer Protocol)消息中发送给单点登录中间***。例如,业务管理***为用户分配的第一认证标识为token1,且单点登录中间***对应的Web链接为Http://www.abc.com,则业务管理***可以以Http://www.abc.com?token1=xxxxxx的形式将token1发送给单点登录中间***,单点登录中间***在接收到该HTTP消息后,以HTTP响应消息的方式将加密后的第一认证标识发送给该业务管理***,该业务管理***也可以在确定出解密得到的第一认证标识与为该用户分配的第一认证标识一致后,将加密后的用户信息以HTTP响应消息的方式发送给单点登录中间***。
步骤53,单点登录中间***根据上述第一加密密钥对接收到的用户信息进行解密;
步骤54,单点登录中间***确定上述用户请求访问的应用***;
单点登录中间***在对接收到的用户信息进行解密后,需要确定用户请求访问的应用***,这样才能将用户信息发送给该应用***,其中本发明实施例中,单点登录中间***确定用户请求访问的应用***可以为下述两种实施情况,具体为:
第一种实施情况,业务管理***向单点登录中间***发送访问请求消息中携带的***标识,单点登录中间***根据接收到的***标识,确定该用户请求访问的应用***,例如,应用***1对应的***标识为“1”,则该HTTP消息可以为:Http://www.abc.com?ID=1,业务管理***可以但不限于将***标识和第一认证标识一起携带在HTTP消息中发送给单点登录中间***,则该HTTP消息可以为:Http://www.abc.com?token1=xxxxxx?ID=1,业务管理***也可以将***标识单独发送给单点登录中间***,可以在发送第一标识信息之前,也可以发送第一认证标识信息之后;
第二种实施情况,业务管理***根据接收到的***标识,在***标识和单点登录中间***中接收端口的端口标识的对应关系中,查找与接收到的***标识对应的端口标识,然后业务管理***将加密后的用户信息,发送到与查找到的端口标识对应的端口,单点登录中间***确定接收到用户信息的端口对应的端口标识,然后根据确定出的端口标识,在端口标识和***标识的对应关系中,查找与确定出的端口标识对应的***标识,根据查找到的***标识,确定用户请求访问的应用***。
针对上述第二种实施情况,每个应用***的***标识均对应单点登录中间***的一个接收端口的端口标识,其中该对应关系可以但不限于如下表所示:
此外,业务管理***在发送第一认证标识时,也可以发送到查找到的端口标识对应的端口中,那么单点登录中间***就可以根据接收第一认证标识的接收端口对应的端口标识,确定用户请求访问的应用***。
步骤55,根据与确定出的应用***预先约定的第二加密密钥,对解密得到的用户信息进行加密;
本发明实施例中,单点登录中间***在对用户的用户信息进行加密前,还可以进一步对用户请求访问的应用***进行鉴权,具体为:
单点登录中间***为该用户分配第二认证标识,然后将分配的第二认证标识发送给确定出的应用***,该应用***根据与单点登录中间***预先约定的第二加密密钥,对接收到的第二认证标识进行加密后,发送给单点登录中间***,单点登录中间***根据第二加密密钥对接收到的第二认证标识进行解密,然后确定解密得到的第二认证标识与为上述用户分配的第二认证标识是否一致,若一致,则确认对该应用***的鉴权结果为鉴权通过,那么单点登录中间***根据第二加密密钥对该用户的用户信息进行加密后发送给该应用***,若不一致,则确认对该应用***的鉴权结果为鉴权不通过,则单点登录中间***可以向该应用***发送鉴权不通过消息。
步骤56,单点登录中间***将加密后的用户信息发送给上述应用***;
步骤57,上述应用***根据第二加密密钥对接收到的用户信息进行解密后,根据解密得到的用户信息为上述用户提供业务。
本发明实施例中,单点登录***中的每个应用***与单点登录中间***之间均预先约定了一个加密密钥,每个应用***只需要管理该加密密钥即可,应用***在接收到单点登录中间***发送的加密后的用户信息后,根据与单点登录预先约定的加密密钥,对接收到的用户信息进行解密。
其中本发明实施例中的用户信息可以为用户标识信息,也可以为用户的业务订购信息,还可以为用户标识信息和用户的业务订购信息。
若应用***接收到的用户信息为用户的业务订购信息,即业务订购信息存储在业务管理***中,由于业务订购信息指示了用户已订购的业务,那么该应用***可以直接根据解密后得到的业务订购信息,确定该用户已订购的业务,进一步确定需要为该用户提供的业务,并将确定出的业务提供给该用户。
若应用***接收到的用户信息为用户标识信息,即业务订购信息存储在应用***中,则该应用***根据解密得到的用户标识信息,在存储的用户标识信息和业务订购信息的对应关系中,查找该用户的业务订购信息,根据查找到的业务订购信息,确定该用户已订购的业务,进一步确定需要为该用户提供的业务,并将确定出的业务提供给该用户。
由于现有的单点登录方法中,应用***需要与多个业务管理***维持多个加密密钥,而多个业务管理***在地理位置上是分布于不同的地方,所以应用***要以线下方式与多个业务管理***保持加密密钥的同步,这就使得应用***在管理上非常不方便,本发明实施例提出的单点登录方法中,应用***只需要维持与单点登录中间***的一个加密密钥即可,这就有效地提高了应用***管理的便利性。
本发明实施例提出一种业务管理***,如图6所示,包括第一接收单元61、第一确定单元62、加密单元63和第一发送单元64,其中:
第一接收单元61,用于接收用户发送的访问请求消息;
第一确定单元62,用于在第一接收单元61接收到用户发送的访问请求消息后,确定该用户的用户信息;
加密单元63,用于根据与单点登录中间***预先约定的第一加密密钥,对第一确定单元62确定出的用户信息进行加密;
第一发送单元64,用于将加密单元63加密后的用户信息发送给单点登录中间***。
较佳地,上述业务管理***还包括分配单元、第二发送单元、第二接收单元、解密单元和第二确定单元,其中:
分配单元,用于为该用户分配第一认证标识;
第二发送单元,用于在加密单元63对用户信息进行加密前,将分配单元分配的第一认证标识发送给单点登录中间***;
第二接收单元,用于接收单点登录中间***发送的加密后的第一认证标识;
解密单元,用于根据与上述业务管理***预先约定的第一加密密钥,对第二接收单元接收到的第一认证标识进行解密;
第二确定单元,用于确定解密单元解密得到的第一认证标识与分配单元为该用户分配的第一认证标识一致。
更佳地,第一确定单元62根据解密单元解密得到的第一认证标识,在第一认证标识和用户信息的对应关系中,查找该用户的用户信息。
较佳地,第一接收单元61接收到的访问请求消息中携带有该用户请求访问的应用***的***标识。
更佳地,上述业务管理***还包括第三发送单元,用于将第一接收单元61接收到的***标识发送给单点登录中间***。
更佳地,第一发送单元64具体包括查找模块和发送模块,其中:
查找模块,用于根据第一接收单元61接收到的***标识,在***标识和单点登录中间***中接收端口的端口标识的对应关系中,查找与接收到的***标识对应的端口标识;
发送模块,用于将加密单元63加密后的用户信息,发送到与查找模块查找到的端口标识对应的端口。
本发明实施例提出一种单点登录中间***,如图7所示,包括第一接收单元71、第一解密单元72、第一确定单元73、第一加密单元74和第一发送单元75,其中:
第一接收单元71,用于接收业务管理***发送的加密后的用户信息;
第一解密单元72,用于根据与上述业务管理***预先约定的第一加密密钥,对第一接收单元71接收到的用户信息进行解密;
第一确定单元73,用于确定用户请求访问的应用***;
第一加密单元74,用于根据与第一确定单元73确定出的应用***预先约定的第二加密密钥,对第一解密单元72解密得到的用户信息进行加密;
第一发送单元75,用于将第一加密单元74加密后的用户信息发送给第一确定单元73确定出的应用***。
较佳地,上述单点登录中间***还包括第二接收单元和第二加密单元,其中:
第二接收单元,用于接收业务管理***发送的第一认证标识;
第二加密单元,用于根据与上述业务管理***预先约定的第一加密密钥,对接收到的第一认证标识进行加密后,发送给上述业务管理***。
较佳地,上述单点登录中间***还包括分配单元、第二发送单元、第三接收单元、第二解密单元和第二确定单元,其中:
分配单元,用于第一加密单元对第一解密单元解密得到的用户信息进行加密前,为该用户分配第二认证标识;
第二发送单元,用于将分配单元分配的第二认证标识发送给第一确定单元73确定出的应用***;
第三接收单元,用于接收该应用***发送的加密后的第二认证标识;
第二解密单元,用于根据与该应用***预先约定的第二加密密钥,对第三接收单元接收到的第二认证标识进行解密;
第二确定单元,用于确定第二解密单元解密得到的第二认证标识与分配单元为该用户分配的第二认证标识一致。
较佳地,第一确定单元73具体包括接收模块和第一确定模块,其中:
接收模块,用于接收上述业务管理***发送的***标识;
第一确定模块,用于根据接收模块接收到的***标识,确定用户请求访问的应用***。
较佳地,第一确定单元73具体包括第二确定模块、查找模块和第三确定模块,其中:
第二确定模块,用于确定第一接收单元71接收上述用户信息的端口对应的端口标识;
查找模块,用于根据第二确定模块确定出的端口标识,在端口标识和***标识的对应关系中,查找与确定出的端口标识对应的***标识;
第三确定模块,用于根据查找模块查找到的***标识,确定该用户请求访问的应用***。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (21)
1.一种单点登录***,包括至少一个业务管理***以及至少一个应用***,其特征在于,还包括单点登录中间***,其中:
业务管理***,用于在接收到用户发送的访问请求消息后,确定该用户的用户信息,以及根据与单点登录中间***预先约定的第一加密密钥,对该用户的用户信息进行加密后发送给单点登录中间***;
单点登录中间***,用于根据所述第一加密密钥对接收到的用户信息进行解密,以及确定所述用户请求访问的应用***,根据与确定出的应用***预先约定的第二加密密钥,对解密得到的用户信息进行加密,并将加密后的用户信息发送给确定出的所述应用***;
应用***,用于根据所述第二加密密钥对接收到的用户信息进行解密后,根据解密得到的用户信息为所述用户提供业务。
2.一种单点登录方法,其特征在于,包括:
业务管理***在接收用户发送的访问请求消息后,确定该用户的用户信息;以及
根据与单点登录中间***预先约定的第一加密密钥,对该用户的用户信息进行加密后发送给单点登录中间***;
所述单点登录中间***根据所述第一加密密钥对接收到的用户信息进行解密;以及
确定所述用户请求访问的应用***;以及
根据与确定出的应用***预先约定的第二加密密钥,对解密得到的用户信息进行加密;并
将加密后的用户信息发送给确定出的所述应用***;
所述应用***根据所述第二加密密钥对接收到的用户信息进行解密后,根据解密得到的用户信息为所述用户提供业务。
3.如权利要求2所述的单点登录方法,其特征在于,业务管理***在对该用户的用户信息进行加密前,还包括:
业务管理***将为该用户分配的第一认证标识发送给单点登录中间***;
单点登录中间***根据与所述业务管理***预先约定的第一加密密钥,对接收到的第一认证标识进行加密后,发送给所述业务管理***;
业务管理***根据所述第一加密密钥对接收到的第一认证标识进行解密;以及
确定解密得到的第一认证标识与为所述用户分配的第一认证标识一致。
4.如权利要求3所述的单点登录方法,其特征在于,业务管理***确定该用户的用户信息,具体为:
业务管理***根据解密得到的第一认证标识,在第一认证标识和用户信息的对应关系中,查找该用户的用户信息。
5.如权利要求2所述的单点登录方法,其特征在于,单点登录中间***在对解密得到的用户信息进行加密前,还包括:
单点登录中间***将为该用户分配的第二认证标识发送给确定出的应用***;
所述应用***根据与所述单点登录中间***预先约定的第二加密密钥,对接收到的第二认证标识进行加密后,发送给所述单点登录中间***;
所述单点登录中间***根据所述第二加密密钥对接收到的第二认证标识进行解密;以及
确定解密得到的第二认证标识与为所述用户分配的第二认证标识一致。
6.如权利要求2所述的单点登录方法,其特征在于,业务管理***接收到的访问请求消息中携带有所述用户请求访问的应用***的***标识。
7.如权利要求6所述的单点登录方法,其特征在于,所述单点登录中间***确定所述用户请求访问的应用***,具体包括:
所述单点登录中间***接收所述业务管理***发送的***标识;以及
根据接收到的***标识,确定所述用户请求访问的应用***。
8.如权利要求6所述的单点登录方法,其特征在于,业务管理***将加密后的用户信息发送给单点登录中间***,具体包括:
业务管理***根据接收到的***标识,在***标识和单点登录中间***中接收端口的端口标识的对应关系中,查找与接收到的***标识对应的端口标识;以及
将加密后的用户信息,发送到与查找到的端口标识对应的端口;
所述单点登录中间***确定所述用户请求访问的应用***,具体包括:
所述单点登录中间***确定接收到用户信息的端口对应的端口标识;
根据确定出的端口标识,在端口标识和***标识的对应关系中,查找与确定出的端口标识对应的***标识;并
根据查找到的***标识,确定所述用户请求访问的应用***。
9.如权利要求2所述的单点登录方法,其特征在于,所述用户信息为用户标识信息和/或用户的业务订购信息。
10.如权利要求9所述的单点登录方法,其特征在于,若所述用户信息为用户标识信息,则所述应用***根据解密得到的用户信息为所述用户提供业务,具体包括:
所述应用***根据解密得到的用户标识信息,在存储的用户标识信息和业务订购信息的对应关系中,查找所述用户的业务订购信息;以及
根据查找到的业务订购信息,确定需要为所述用户提供的业务;并
将确定出的业务提供给所述用户。
11.一种业务管理***,其特征在于,包括:
第一接收单元,用于接收用户发送的访问请求消息;
第一确定单元,用于在第一接收单元接收到用户发送的访问请求消息后,确定该用户的用户信息;
加密单元,用于根据与单点登录中间***预先约定的第一加密密钥,对第一确定单元确定出的用户信息进行加密;
第一发送单元,用于将加密单元加密后的用户信息发送给单点登录中间***。
12.如权利要求11所述的业务管理***,其特征在于,还包括:
分配单元,用于为该用户分配第一认证标识;
第二发送单元,用于在第一加密单元对用户信息进行加密前,将分配单元分配的第一认证标识发送给单点登录中间***;
第二接收单元,用于接收单点登录中间***发送的加密后的第一认证标识;
解密单元,用于根据与所述业务管理***预先约定的第一加密密钥,对第二接收单元接收到的第一认证标识进行解密;
第二确定单元,用于确定解密单元解密得到的第一认证标识与为所述用户分配的第一认证标识一致。
13.如权利要求12所述的业务管理***,其特征在于,第一确定单元根据解密单元解密得到的第一认证标识,在第一认证标识和用户信息的对应关系中,查找该用户的用户信息。
14.如权利要求11所述的业务管理***,其特征在于,第一接收单元接收到的访问请求消息中携带有所述用户请求访问的应用***的***标识。
15.如权利要求14所述的业务管理***,其特征在于,还包括:
第三发送单元,用于将第一接收单元接收到的***标识发送给单点登录中间***。
16.如权利要求14所述的业务管理***,其特征在于,第一发送单元具体包括:
查找模块,用于根据第一接收单元接收到的***标识,在***标识和单点登录中间***中接收端口的端口标识的对应关系中,查找与接收到的***标识对应的端口标识;
发送模块,用于将加密单元加密后的用户信息,发送到与查找模块查找到的端口标识对应的端口。
17.一种单点登录中间***,其特征在于,包括:
第一接收单元,用于接收业务管理***发送的加密后的用户信息;
第一解密单元,用于根据与所述业务管理***预先约定的第一加密密钥,对第一接收单元接收到的用户信息进行解密;
第一确定单元,用于确定用户请求访问的应用***;
第一加密单元,用于根据与第一确定单元确定出的应用***预先约定的第二加密密钥,对第一解密单元解密得到的用户信息进行加密;
第一发送单元,用于将第一加密单元加密后的用户信息发送给第一确定单元确定出的所述应用***。
18.如权利要求17所述的单点登录中间***,其特征在于,还包括:
第二接收单元,用于接收业务管理***发送的第一认证标识;
第二加密单元,用于根据与所述业务管理***预先约定的第一加密密钥,对接收到的第一认证标识进行加密后,发送给所述业务管理***。
19.如权利要求17所述的单点登录中间***,其特征在于,还包括:
分配单元,用于第一加密单元对第一解密单元解密得到的用户信息进行加密前,为该用户分配第二认证标识;
第二发送单元,用于将分配单元分配的第二认证标识发送给第一确定单元确定出的应用***;
第三接收单元,用于接收所述应用***发送的加密后的第二认证标识;
第二解密单元,用于根据与所述应用***预先约定的第二加密密钥,对第三接收单元接收到的第二认证标识进行解密;
第二确定单元,用于确定第二解密单元解密得到的第二认证标识与分配单元为所述用户分配的第二认证标识一致。
20.如权利要求17所述的单点登录中间***,其特征在于,第一确定单元具体包括:
接收模块,用于接收所述业务管理***发送的***标识;
第一确定模块,用于根据接收模块接收到的***标识,确定用户请求访问的应用***。
21.如权利要求17所述的单点登录中间***,其特征在于,第一确定单元具体包括:
第二确定模块,用于确定第一接收单元接收所述用户信息的端口对应的端口标识;
查找模块,用于根据第二确定模块确定出的端口标识,在端口标识和***标识的对应关系中,查找与确定出的端口标识对应的***标识;
第三确定模块,用于根据查找模块查找到的***标识,确定所述用户请求访问的应用***。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200910241553A CN102082666B (zh) | 2009-11-26 | 2009-11-26 | 单点登录***及方法、业务管理***及单点登录中间*** |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200910241553A CN102082666B (zh) | 2009-11-26 | 2009-11-26 | 单点登录***及方法、业务管理***及单点登录中间*** |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102082666A true CN102082666A (zh) | 2011-06-01 |
CN102082666B CN102082666B (zh) | 2012-10-03 |
Family
ID=44088425
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN200910241553A Expired - Fee Related CN102082666B (zh) | 2009-11-26 | 2009-11-26 | 单点登录***及方法、业务管理***及单点登录中间*** |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102082666B (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104065616A (zh) * | 2013-03-20 | 2014-09-24 | ***通信集团公司 | 单点登录方法和*** |
CN104320394A (zh) * | 2014-10-24 | 2015-01-28 | 华迪计算机集团有限公司 | 单点登录的实现方法和*** |
CN104599111A (zh) * | 2015-02-11 | 2015-05-06 | 中国农业银行股份有限公司 | 一种业务管理方法及装置 |
CN107040918A (zh) * | 2016-02-03 | 2017-08-11 | 上海方付通商务服务有限公司 | 一种应用安全的增强方法、***、及具有该***的客户端 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1323508C (zh) * | 2003-12-17 | 2007-06-27 | 上海市高级人民法院 | 一种基于数字证书的单点登录方法 |
CN1812403A (zh) * | 2005-01-28 | 2006-08-02 | 广东省电信有限公司科学技术研究院 | 一种跨管理域实现身份认证的单点登录方法 |
-
2009
- 2009-11-26 CN CN200910241553A patent/CN102082666B/zh not_active Expired - Fee Related
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104065616A (zh) * | 2013-03-20 | 2014-09-24 | ***通信集团公司 | 单点登录方法和*** |
CN104065616B (zh) * | 2013-03-20 | 2017-06-20 | ***通信集团公司 | 单点登录方法和*** |
CN104320394A (zh) * | 2014-10-24 | 2015-01-28 | 华迪计算机集团有限公司 | 单点登录的实现方法和*** |
CN104599111A (zh) * | 2015-02-11 | 2015-05-06 | 中国农业银行股份有限公司 | 一种业务管理方法及装置 |
CN107040918A (zh) * | 2016-02-03 | 2017-08-11 | 上海方付通商务服务有限公司 | 一种应用安全的增强方法、***、及具有该***的客户端 |
CN107040918B (zh) * | 2016-02-03 | 2021-03-09 | 上海方付通商务服务有限公司 | 一种应用安全的增强方法、***、及具有该***的客户端 |
Also Published As
Publication number | Publication date |
---|---|
CN102082666B (zh) | 2012-10-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8484480B2 (en) | Transmitting information using virtual input layout | |
US11134069B2 (en) | Method for authorizing access and apparatus using the method | |
US8527748B2 (en) | System and method for hosting encrypted monitoring data | |
US20070101145A1 (en) | Framework for obtaining cryptographically signed consent | |
US20120254622A1 (en) | Secure Access to Electronic Devices | |
CN101772024B (zh) | 一种用户身份确定方法及装置和*** | |
EP2475194B1 (en) | Service access method, system and device based on wlan access authentication | |
CN101405759A (zh) | 用户中心私人数据管理的方法和设备 | |
US7472123B2 (en) | Server device, communication device, and program for managing contents usage | |
CN102377788A (zh) | 单点登录***及其单点登录方法 | |
EP1548614B1 (en) | Storage service | |
CN102209046A (zh) | 网络资源整合***及方法 | |
CN106031097A (zh) | 业务处理方法及装置 | |
CN102082666B (zh) | 单点登录***及方法、业务管理***及单点登录中间*** | |
US10412057B2 (en) | Service access method and system, and apparatus | |
US20230299973A1 (en) | Service registration method and device | |
KR20010025938A (ko) | 인터넷에서 암호화·인증기술을 이용한 보안메일시스템 | |
CN101198015A (zh) | 数字电视认证***及其加密方法 | |
CN102714653A (zh) | 用于访问私人数字内容的***和方法 | |
CN100499649C (zh) | 一种实现安全联盟备份和切换的方法 | |
KR101880999B1 (ko) | 사물 인터넷 네트워크의 엔드 투 엔드 데이터 암호화 시스템 및 방법 | |
CN110035061A (zh) | 服务器托管信息处理方法及*** | |
JP5178128B2 (ja) | 通信システム | |
JP2005108153A (ja) | 車両用情報サービスシステム | |
CN111885510A (zh) | 一种考勤方法、考勤客户端和考勤*** |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20121003 Termination date: 20211126 |
|
CF01 | Termination of patent right due to non-payment of annual fee |