CN104579681B - 互信应用***间身份认证*** - Google Patents
互信应用***间身份认证*** Download PDFInfo
- Publication number
- CN104579681B CN104579681B CN201410834718.0A CN201410834718A CN104579681B CN 104579681 B CN104579681 B CN 104579681B CN 201410834718 A CN201410834718 A CN 201410834718A CN 104579681 B CN104579681 B CN 104579681B
- Authority
- CN
- China
- Prior art keywords
- application system
- user
- bill
- module
- mutual trust
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种互信应用***间身份认证***,该***包括:用户管理模块,用于保存和维护用户信息;登录验证模块,用于验证由应用***A发出的用户账号和密码的有效性;若验证通过,将账号和密码和应用***A的标识包装为票根TGT;获取票据模块,用于将应用***A发送的用户票根TGT、应用***A的标识信息appKey和appSecret、用户需要访问的第三方互信应用***B的服务URL包装为访问应用***A的票据ST;验证票据模块,用于根据应用***B提交的票据ST及应用***B的标识信息appKey和appSecret验证票据ST的有效性;退出登录模块:销毁票根TGT。本发明当用户已登录***A时,希望访问***B,则不需要登录操作,直接进入***B,提高了用户体验。
Description
技术领域
本发明属于计算机应用学科领域,尤其是互信应用***间身份认证***。
背景技术
随着全球信息化和Internet技术的迅速发展, ***间的相互协作越来越多,统一管理互信应用***是全球信息化发展的必然趋势。统一管理互信应用***能够提供或整合互信应用***内部的多种信息***,并以统一的用户界面方式提供给用户,为企业的管理者、应用提供商和用户提供统一的服务接入点。
目前计算机及网络***中采用单点登录(Single Sign-On,简称SSO)模型,解决用户在互信应用***之间一次登录就能访问其他授权的应用***的问题。单点登录认证有许多优越性,使用户不必记下过多的登录口令,间接减少了口令泄露的几率;减少了用户等待返回认证结果的时间,促进工作效率的提升;能够提高应用***的安全性,减少安全风险。
身份认证就是证实用户真实身份的真实性。在现实***中,每个成员都有一个与之对应的数字身份,凭借它来防止非法用户通过身份欺诈访问***资源。身份认证中常用的安全技术包括密码技术、消息摘要、数字签名和数字证书等。
安全的身份认证是所有应用***的入口,统一管理平台所整合的互信应用***往往具有相对独立的身份认证和授权机制,这使得软件平台和用户必须面对安全机制的多样性和异构性,从而导致用户身份严重不一致,用户信息无法统一,***授权管理复杂等问题。因此研究设计出一种有效的、实用的且具有安全强度的互信应用***间身份认证方法,具有重要的现实意义。
发明内容
本发明要解决的技术问题在于针对现有技术中的缺陷,提供一种互信应用***间身份认证***。
本发明解决其技术问题所采用的技术方案是:一种互信应用***间身份认证***,包括:
用户管理模块,用于保存和维护用户信息,所述用户信息包括用户注册的账号和密码信息;
登录验证模块,用于验证由应用***A发出的用户账号和密码的有效性;若验证通过,将账号和密码和应用***A的标识包装为票根TGT(Ticket Granting Ticket),并返回该票根TGT给应用***A;应用***A为用户注册的应用***;
所述应用***A的标识为***A的appKey和appSecret;
获取票据模块,用于根据应用***A发送的用户票根TGT、应用***A的标识信息appKey和appSecret、用户需要访问的第三方互信应用***B的服务URL包装为访问应用***A的票据ST(Service Ticket),并返回ST给应用***A;
其中应用***A和应用***B为互信***,所述各互信应用***以appKey作为自身的唯一标识,各互信应用***通过标识信息appKey和appSecret确认对方身份,appSecret是与appKey对应的一个密钥;
验证票据模块,用于根据应用***B提交的票据ST及应用***B的标识信息appKey和appSecret验证票据ST的有效性;认证后,向应用***B返回允许用户访问或禁止用户访问信息;所述应用***B提交的票据ST由应用***A提交给应用***B;
退出登录模块,用于销毁登录验证模块中利用账号和密码包装的票根TGT。
按上述方案,所述用户管理模块、登录验证模块、获取票据模块、验证票据模块、退出登录模块均采用Restful Web Services架构。
采用Restful Web Services架构显著的优势是:1)统一接口,就是指REST通过统一的链接接口对相应资源进行操作,这里的资源是指REST将网络上所有的信息都抽取成为某种资源。REST以URI来确定资源,其充分地发挥了HTTP本身具备的分布式特性,将HTTP提供的四种基本方法(GET、POST、PUT及DELETE)分别对应资源的一种操作(查询、创建、修改及删除);2)无状态性,即要求通信必须建立在无状态的基础之上,也就是每次request请求应该包含此次请求的所有信息。这样当此次request请求出现局部错误时,不会涉及到request历史,只需对当前的request进行相应的处理即可。同时,这样也有利于对资源的释放。当然,这是在需要发送相应的重复数据开销的基础上得到的,有时会对效率产生影响。
按上述方案,所述用户管理模块提供包括用户注册服务、修改用户信息服务、用户查询服务和用户删除服务在内的功能。
按上述方案,所述登录验证模块、获取票据模块、验证票据模块、退出登录模块中,在各互信应用***间传递票据均使用单点登录***中的票据机制。
传递票据的过程包括:登录验证模块提交账号、密码、所属应用***标识到认证***,获取绑定用户信息的TGT(Ticket Granting Ticket)票根;获取票据模块提交TGT票根、所访问应用***标识到认证***,获取访问应用***票据ST(Service Ticket);验证票据模块提交票据ST、应用***标识到认证***,验证用户是否具有访问权限;退出登录模块销毁TGT。
按上述方案,所述每个应用***配备的标识appKey为互信应用***间的唯一标识,身份认证***与各应用***共享该标识信息。
按上述方案,所述获取票据模块产生的票据ST有效期为60秒,并在验证票据模块中验证成功后即失效。
本发明产生的有益效果是:
1.互信应用***间的身份认证采用票据机制,票据在应用***间的传递和共享不会使用户的账号和密码等敏感信息明文传递,即互信应用***间无需使用用户的账号和密码就可以完成身份认证。
2.互信应用***间的身份认证方法采用Restful Web Services架构,通过URL就可以定位相应REST资源,并对其进行相应的CRUD操作,使信息资源的处理变得更加简单,使用HTTPS协议保证认证过程的安全性。因此,C/S架构、B/S架构软件均可使用该认证***完成互信应用***间的身份认证。
附图说明
下面将结合附图及实施例对本发明作进一步说明,附图中:
图1是本发明实施例的结构示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
如图1所示,一种互信应用***间身份认证***,包括:
用户管理模块,用于保存和维护用户信息,所述用户信息包括用户注册的账号和密码信息;
用户管理模块提供包括用户注册服务、修改用户信息服务、用户查询服务和用户删除服务在内的功能;
登录验证模块,用于验证由应用***A发出的用户账号和密码的有效性;若验证通过,将账号和密码和应用***A的标识包装为票根TGT(Ticket Granting Ticket),并返回该票根TGT给应用***A;应用***A为用户注册的应用***;
所述应用***A的标识为***A的appKey和appSecret;
获取票据模块,用于根据应用***A发送的用户票根TGT、应用***A的标识信息appKey和appSecret、用户需要访问的第三方互信应用***B的服务URL包装为访问应用***A的票据ST(Service Ticket),并返回ST给应用***A;
其中应用***A和应用***B为互信***,所述各互信应用***以appKey作为自身的唯一标识,各互信应用***通过标识信息appKey和appSecret确认对方身份,appSecret是与appKey对应的一个密钥;每个应用***配备的标识appKey为互信应用***间的唯一标识,身份认证***与各应用***共享该标识信息;
验证票据模块,用于根据应用***B提交的票据ST及应用***B的标识信息appKey和appSecret验证票据ST的有效性;认证后,向应用***B返回允许用户访问或禁止用户访问信息;所述应用***B提交的票据ST由应用***A提交给应用***B;
退出登录模块,用于销毁利用账号和密码包装的票根TGT。
上述用户管理模块、登录验证模块、获取票据模块、验证票据模块、退出登录模块均采用Restful Web Services架构。
采用Restful Web Services架构显著的优势是:1)统一接口,就是指REST通过统一的链接接口对相应资源进行操作,这里的资源是指REST将网络上所有的信息都抽取成为某种资源。REST以URI来确定资源,其充分地发挥了HTTP本身具备的分布式特性,将HTTP提供的四种基本方法(GET、POST、PUT及DELETE)分别对应资源的一种操作(查询、创建、修改及删除);2)无状态性,即要求通信必须建立在无状态的基础之上,也就是每次request请求应该包含此次请求的所有信息。这样当此次request请求出现局部错误时,不会涉及到request历史,只需对当前的request进行相应的处理即可。同时,这样也有利于对资源的释放。当然,这是在需要发送相应的重复数据开销的基础上得到的,有时会对效率产生影响。
本发明中,登录验证模块、获取票据模块、验证票据模块、退出登录模块在工作时,在各互信应用***间传递票据使用单点登录***中的票据机制。
传递票据的过程包括:登录验证模块提交账号、密码、所属应用***标识到认证***,获取绑定用户信息的TGT(Ticket Granting Ticket)票根;获取票据模块提交TGT票根、所访问应用***标识到认证***,获取访问应用***票据ST(Service Ticket);验证票据模块提交票据ST、应用***标识到认证***,验证用户是否具有访问权限;退出登录模块销毁TGT。
应当理解的是,对本领域普通技术人员来说,可以根据上述说明加以改进或变换,而所有这些改进和变换都应属于本发明所附权利要求的保护范围。
Claims (6)
1.一种互信应用***间身份认证***,包括:
用户管理模块,用于保存和维护用户信息,所述用户信息包括用户注册的账号和密码信息;
登录验证模块,用于验证由应用***A发出的用户账号和密码的有效性;若验证通过,将账号和密码和应用***A的标识包装为票根TGT,并返回该票根TGT给应用***A;应用***A为用户注册的应用***;
所述应用***A的标识为***A的appKey和appSecret;
获取票据模块,用于将应用***A发送的用户票根TGT、应用***A的标识信息appKey和appSecret以及用户需要访问的第三方互信应用***B的服务URL包装为访问应用***A的票据ST,并返回ST给应用***A;
其中应用***A和应用***B为互信***,所述各互信应用***以appKey作为自身的唯一标识,各互信应用***通过标识信息appKey和appSecret确认对方身份,appSecret是与appKey对应的一个密钥;
验证票据模块,用于根据应用***B提交的票据ST及应用***B的标识信息appKey和appSecret验证票据ST的有效性;认证后,向应用***B返回允许用户访问或禁止用户访问信息;所述应用***B提交的票据ST由应用***A提交给应用***B;
退出登录模块:销毁登录验证模块中利用账号和密码包装的票根TGT。
2.根据权利要求1所述的身份认证***,其特征在于,所述用户管理模块、登录验证模块、获取票据模块、验证票据模块、退出登录模块均采用Restful Web Services架构。
3.根据权利要求1所述的身份认证***,其特征在于,所述用户管理模块提供包括用户注册服务、修改用户信息服务、用户查询服务和用户删除服务在内的功能。
4.根据权利要求1所述的身份认证***,其特征在于,所述登录验证模块、获取票据模块、验证票据模块、退出登录模块中,在各互信应用***间传递票据均使用单点登录***中的票据机制。
5.根据权利要求1所述的身份认证***,其特征在于,所述每个应用***配备的标识appKey为互信应用***间的唯一标识,身份认证***与各应用***共享该标识信息。
6.根据权利要求1所述的身份认证***,其特征在于,所述获取票据模块产生的票据ST有效期为60秒,并在验证票据模块中验证成功后即失效。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410834718.0A CN104579681B (zh) | 2014-12-29 | 2014-12-29 | 互信应用***间身份认证*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410834718.0A CN104579681B (zh) | 2014-12-29 | 2014-12-29 | 互信应用***间身份认证*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104579681A CN104579681A (zh) | 2015-04-29 |
| CN104579681B true CN104579681B (zh) | 2018-04-20 |
Family
ID=53094960
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410834718.0A Active CN104579681B (zh) | 2014-12-29 | 2014-12-29 | 互信应用***间身份认证*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104579681B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105141580B (zh) * | 2015-07-27 | 2019-01-11 | 天津灵创智恒软件技术有限公司 | 一种基于ad域的资源访问控制方法 |
| CN107294916B (zh) * | 2016-03-31 | 2019-10-08 | 北京神州泰岳软件股份有限公司 | 单点登录方法、单点登录终端及单点登录*** |
| WO2021003751A1 (zh) * | 2019-07-11 | 2021-01-14 | 深圳市鹰硕技术有限公司 | 一种单账号多身份登录方法、装置、服务器及存储介质 |
| CN112929391B (zh) * | 2021-03-15 | 2023-03-31 | 浪潮云信息技术股份公司 | 一种基于单点登录实现跨平台身份认证的方法 |
| CN113660204B (zh) * | 2021-07-09 | 2024-01-23 | 北京航天云路有限公司 | 一种实现统一集成绑定服务的方法 |
| CN113660284B (zh) * | 2021-08-26 | 2023-02-21 | 贵州电子商务云运营有限责任公司 | 一种基于票据的分布式认证方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101350717A (zh) * | 2007-07-18 | 2009-01-21 | ***通信集团公司 | 一种通过即时通信软件登录第三方服务器的方法及*** |
| CN103312505A (zh) * | 2013-04-08 | 2013-09-18 | 河海大学 | 一种易用的单点登录实现的构建方法 |
| CN103384198A (zh) * | 2013-06-03 | 2013-11-06 | 华中科技大学 | 一种基于邮箱的用户身份认证服务方法和*** |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DK2885904T3 (en) * | 2012-08-03 | 2018-08-06 | Onespan Int Gmbh | PROCEDURE FOR USER-EASY AUTHENTICATION AND DEVICE USING A MOBILE APPLICATION FOR AUTHENTICATION |
-
2014
- 2014-12-29 CN CN201410834718.0A patent/CN104579681B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101350717A (zh) * | 2007-07-18 | 2009-01-21 | ***通信集团公司 | 一种通过即时通信软件登录第三方服务器的方法及*** |
| CN103312505A (zh) * | 2013-04-08 | 2013-09-18 | 河海大学 | 一种易用的单点登录实现的构建方法 |
| CN103384198A (zh) * | 2013-06-03 | 2013-11-06 | 华中科技大学 | 一种基于邮箱的用户身份认证服务方法和*** |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104579681A (zh) | 2015-04-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104579681B (zh) | 互信应用***间身份认证*** | |
| CN104580184A (zh) | 互信应用***间身份认证方法 | |
| CN105917630B (zh) | 使用单点登录自举到检查代理的重定向 | |
| CN104021333B (zh) | 移动安全表袋 | |
| US8875166B2 (en) | Method and cloud security framework for implementing tenant license verification | |
| CN108600203A (zh) | 基于Cookie的安全单点登录方法及其统一认证服务*** | |
| US9147062B2 (en) | Renewal of user identification information | |
| TW201830280A (zh) | 信任登錄方法、伺服器及系統 | |
| CN102281286A (zh) | 用于分布式混合企业的灵活端点顺从和强认证 | |
| US8275985B1 (en) | Infrastructure to secure federated web services | |
| CN107786571A (zh) | 一种用户统一认证的方法 | |
| CN107835176A (zh) | 一种基于eID的网络身份认证方法及平台 | |
| CN103384198B (zh) | 一种基于邮箱的用户身份认证服务方法和*** | |
| CN108206821A (zh) | 一种身份认证的方法及*** | |
| CN107294916A (zh) | 单点登录方法、单点登录终端及单点登录*** | |
| CN102655494A (zh) | 一种基于saml的单点登录模式设计的认证平台 | |
| JP6572750B2 (ja) | 認証制御プログラム、認証制御装置、及び認証制御方法 | |
| CN102801808A (zh) | 一种面向WebLogic的Form身份鉴别的单点登录集成方法 | |
| CN105141580B (zh) | 一种基于ad域的资源访问控制方法 | |
| CN106911627A (zh) | 一种基于eID的真实身份安全控制方法及其*** | |
| CN113312664B (zh) | 用户数据授权方法及用户数据授权*** | |
| CN106357629A (zh) | 基于数字证书的智能终端身份认证与单点登录***及方法 | |
| CN107070894A (zh) | 一种基于企业云服务平台的软件集成方法 | |
| CN106850612A (zh) | 一种面向云化***的密码管理方法及*** | |
| US20170104748A1 (en) | System and method for managing network access with a certificate having soft expiration |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |