CN104580184B - 互信应用***间身份认证方法 - Google Patents
互信应用***间身份认证方法 Download PDFInfo
- Publication number
- CN104580184B CN104580184B CN201410840512.9A CN201410840512A CN104580184B CN 104580184 B CN104580184 B CN 104580184B CN 201410840512 A CN201410840512 A CN 201410840512A CN 104580184 B CN104580184 B CN 104580184B
- Authority
- CN
- China
- Prior art keywords
- application system
- user
- verification
- authentication
- application
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Storage Device Security (AREA)
Abstract
本发明公开了一种互信应用***间身份认证方法,包括以下步骤:应用***A根据用户输入完成身份认证;应用***A将用户信息和***A的标识发送给认证***,由认证***包装为用户票根返回给应用***A;当用户需要访问第三方互信应用***B,则应用***A将自身的标识、应用***B的服务URL及应用***A的用户票根,提交认证***获取临时服务票据,并提交应用***B;应用***B利用认证***提供的验证URL,向认证***提交应用***B的标识及临时服务票据,进行用户的身份认证;认证***完成应用***B提交的身份认证后,销毁产生的临时服务票据。本发明当用户已登录***A时,希望访问***B,则不需要登录操作,直接进入***B,提高了用户体验。
Description
技术领域
本发明涉及计算机信息安全领域,尤其涉及一种互信应用***间身份认证方法。
背景技术
随着全球信息化和Internet技术的迅速发展, ***间的相互协作越来越多,统一管理互信应用***是全球信息化发展的必然趋势。统一管理互信应用***能够提供或整合互信应用***内部的多种信息***,并以统一的用户界面方式提供给用户,为企业的管理者、应用提供商和用户提供统一的服务接入点。
目前计算机及网络***中采用单点登录(Single Sign-On,简称SSO)模型,解决用户在互信应用***之间一次登录就能访问其他授权的应用***的问题。单点登录认证有许多优越性,使用户不必记下过多的登录口令,间接减少了口令泄露的几率;减少了用户等待返回认证结果的时间,促进工作效率的提升;能够提高应用***的安全性,减少安全风险。
身份认证就是证实用户真实身份的真实性。在现实***中,每个成员都有一个与之对应的数字身份,凭借它来防止非法用户通过身份欺诈访问***资源。身份认证中常用的安全技术包括密码技术、消息摘要、数字签名和数字证书等。
安全的身份认证是所有应用***的入口,统一管理平台所整合的互信应用***往往具有相对独立的身份认证和授权机制,这使得软件平台和用户必须面对安全机制的多样性和异构性,从而导致用户身份严重不一致,用户信息无法统一,***授权管理复杂等问题。因此研究设计出一种有效的、实用的且具有安全强度的互信应用***间身份认证方法,具有重要的现实意义。
发明内容
本发明要解决的技术问题在于针对现有技术中的缺陷,提供一种互信应用***间身份认证方法。
本发明解决其技术问题所采用的技术方案是:
一种互信应用***间身份认证方法,包括以下步骤:
1)用户登录应用***A时,应用***A根据用户输入的账号和密码完成身份认证;
2)应用***A将用户账号、密码和应用***A的标识发送给认证***,由认证***将上述信息包装为用户票根返回给应用***A,并保存在应用***A的公共变量中;
所述应用***A的标识为***A的appKey;
3)当用户登录应用***A后,需要访问第三方互信应用***B,则应用***A将自身的标识、应用***B的服务URL及保存在应用***A的公共变量中的用户票根,提交认证***获取临时服务票据;应用***A将临时服务票据提交应用***B;
所述应用***B与应用***A为互信***,所述各互信应用***以appKey作为自身的唯一标识,各互信应用***通过appKey和appSecret确认对方身份,appSecret是与appKey对应的一个密钥;
所述临时服务票据是在互信***间身份认证时,用于验证的服务票据,临时生成,使用过后立刻作废;
所述应用***B的服务URL为应用***B的请求的URL;
4)应用***B利用认证***提供的验证URL,向认证***提交应用***B的标识及临时服务票据,在认证***进行用户的身份认证;
所述认证***用于为第三方互信***B提供的一个在线票据验证URL,供第三方互信***调用完成用户临时服务票据的验证,该验证URL包含操作方法及参数;
5)认证***完成应用***B提交的身份认证后,销毁产生的临时服务票据;
6)认证***认证通过后,向应用***B返回用户信息,则应用***B允许用户访问;认证失败则应用***B禁止用户访问;
7)认证***销毁步骤2)中利用账号和密码包装的票根TGT。
本发明中的认证***用于:1.生成包装用户票根 2.生成临时服务票据 3.验证服务票据。
按上述方案,步骤1)中***A运用单点登录技术,客户端将用户初次登录***时输入的账号和密码包装为安全上下文,服务器端则根据安全上下文以及安全机制来检测该用户是否有权访问***。
按上述方案,步骤2)中认证***使用票据机制完成身份认证,认证过程中以TGT(Ticket Granting Ticket)票根绑定用户信息,并颁发应用***间身份认证凭证临时服务票据ST(Service Ticket),临时服务票据ST验证成功后即失效且其有效期为60秒,保证认证过程的安全性。
按上述方案,步骤3)中每个应用***配备标识信息appKey作为互信应用***间的唯一标识,认证***与各应用***共享该标识信息。
按上述方案,本方法中,应用***与认证***间以Restful Web Services服务的形式交互,使用HTTPS协议保证认证过程的安全性,所有HTTPS请求以及服务器响应信息都要通过SSL协议加密和解密,包括应用***向认证***请求的URL以及所有在应用***与认证***之间传输的数据等。
本发明产生的有益效果是:
1.互信应用***间的身份认证方法采用票据机制,票据在应用***间的传递和共享不会使用户的账号和密码等敏感信息明文传递,即互信应用***间无需使用用户的账号和密码就可以完成身份认证。
2.互信应用***间的身份认证方法采用Restful Web Services架构,通过URL就可以定位相应REST资源,并对其进行相应的CRUD操作,使信息资源的处理变得更加简单,使用HTTPS协议保证认证过程的安全性。因此,C/S架构、B/S架构软件均可使用该认证***完成互信应用***间的身份认证。
附图说明
下面将结合附图及实施例对本发明作进一步说明,附图中:
图1是本发明实施例的方法流程示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
如图1所示,本发明实例提供一种互信应用***间身份认证方法,该方法包括以下几个步骤:
(1)该认证方法适用于互信应用***间的身份认证,各互信应用***以appKey作为自身的唯一标识,各互信应用***通过appKey和appSecret(appSecret是与appKey对应的一个密钥)确认对方身份,确认对方为互信应用***后才能对用户进行身份认证;
(2)认证***为第三方互信***提供一个在线validateTicket URL,供第三方互信***完成用户票据的验证。该validateTicket URL需提交参数appKey、appSecret、ST及serviceUrl,其中appKey为自身标识,appSecret为与appKey对应密钥,ST(ServiceTicket)为访问互信***临时服务票据,serviceUrl为***的服务URL;
(3)用户初次登录***A时,***A将自身标识信息appKey、appSecret和用户身份信息username、password通过HTTPS提交认证***validateUser URL。validateUser URL验证用户身份成功后获取用户票根TGT(Ticket Granting Ticket);
(4)获取用户票根TGT后,通过HTTPS将自身标识信息appKey、appSecret和获取用户票根TGT、serviceUrl发送getServiceTicket URL,获取临时服务票据ST;
(5)当用户登录***A后,需要访问第三方互信***B时,则***A将自身标识信息appKey、appSecret和(4)中产生的临时票据ST、serviceUrl等作为身份凭证,***B调用***A提供的validateTicket URL,完成用户的身份认证;
(6)认证***认证通过后,向***B返回用户信息,则***B允许用户访问;认证失败则禁止用户访问应用***B;
(7)访问结束后通过HTTPS将自身标识信息appKey、appSecret和用户票根TGT发送logout URL,销毁用户票根TGT。
应当理解的是,对本领域普通技术人员来说,可以根据上述说明加以改进或变换,而所有这些改进和变换都应属于本发明所附权利要求的保护范围。
Claims (5)
1.一种互信应用***间身份认证方法,其特征在于,包括以下步骤:
1)用户登录应用***A时,应用***A根据用户输入的账号和密码完成身份认证;
2)应用***A将用户账号、密码和***A的标识发送给认证***,由认证***将上述信息包装为用户票根返回给应用***A,并保存在应用***A的公共变量中;所述***A的标识为***A的appKey;
3)当用户登录应用***A后,需要访问第三方互信应用***B,则应用***A将自身的标识、应用***B的服务URL及保存在应用***A的公共变量中的用户票根,提交认证***获取临时服务票据;应用***A将临时服务票据提交应用***B;
所述应用***B与应用***A为互信***,所述各互信应用***以appKey作为自身的唯一标识,各互信应用***通过appKey和appSecret确认对方身份,appSecret是与appKey对应的一个密钥;
所述临时服务票据在互信***间身份认证时,用于验证的服务票据,临时生成,使用过后立刻作废;
所述***B的服务URL为***B的请求的URL;
4)应用***B利用认证***提供的验证URL,向认证***提交应用***B的标识及临时服务票据,在认证***进行用户的身份认证;
所述认证***用于为第三方互信***B提供的一个在线票据验证URL,供第三方互信***调用完成用户临时服务票据的验证,该验证URL包含操作方法及参数;
5)认证***完成应用***B提交的身份认证后,销毁产生的临时服务票据;
6)认证***认证通过后,向应用***B返回用户账号信息,则应用***B允许用户访问;认证失败则应用***B禁止用户访问;
7)认证***销毁步骤2)中利用账号和密码包装的票根TGT。
2.根据权利要求1所述的认证方法,其特征在于,步骤1)中***A运用单点登录技术,客户端将用户初次登录***时输入的账号和密码包装为安全上下文,服务器端则根据安全上下文以及安全机制来检测该用户是否有权访问***。
3.根据权利要求1所述的认证方法,其特征在于,步骤2)中认证***使用票据机制完成身份认证,认证过程中以TGT票根绑定用户账号、密码和***A的标识,并颁发应用***间身份认证凭证临时服务票据ST,临时服务票据ST验证成功后即失效且其有效期为60秒,保证认证过程的安全性。
4.根据权利要求1所述的认证方法,其特征在于,步骤3)中每个应用***配备标识信息appKey作为互信应用***间的唯一标识,认证***与各应用***共享该标识信息。
5.根据权利要求1至4所述的任一认证方法,其特征在于,认证方法中,应用***与认证***间以Restful Web Services服务的形式交互,使用HTTPS协议保证认证过程的安全性,所有HTTPS请求以及服务器响应信息都要通过SSL协议加密和解密,包括应用***向认证***请求的URL以及所有在应用***与认证***之间传输的数据。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410840512.9A CN104580184B (zh) | 2014-12-29 | 2014-12-29 | 互信应用***间身份认证方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410840512.9A CN104580184B (zh) | 2014-12-29 | 2014-12-29 | 互信应用***间身份认证方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104580184A CN104580184A (zh) | 2015-04-29 |
| CN104580184B true CN104580184B (zh) | 2017-12-22 |
Family
ID=53095365
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410840512.9A Active CN104580184B (zh) | 2014-12-29 | 2014-12-29 | 互信应用***间身份认证方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104580184B (zh) |
Families Citing this family (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106209749B (zh) * | 2015-05-08 | 2020-09-25 | 阿里巴巴集团控股有限公司 | 单点登录方法及装置、相关设备和应用的处理方法及装置 |
| CN106296330A (zh) * | 2015-06-11 | 2017-01-04 | 阿里巴巴集团控股有限公司 | 账号信息处理方法及装置 |
| CN105141580B (zh) * | 2015-07-27 | 2019-01-11 | 天津灵创智恒软件技术有限公司 | 一种基于ad域的资源访问控制方法 |
| CN105262762A (zh) * | 2015-10-30 | 2016-01-20 | 四川省宁潮科技有限公司 | 一种基于三角稳固法则的服务认证方法 |
| US10496808B2 (en) | 2016-10-25 | 2019-12-03 | Apple Inc. | User interface for managing access to credentials for use in an operation |
| CN106506498B (zh) * | 2016-11-07 | 2020-07-28 | 安徽四创电子股份有限公司 | 一种***间数据调用授权认证方法 |
| CN109547472B (zh) * | 2018-12-24 | 2021-07-27 | 中国科学院数据与通信保护研究教育中心 | 一种可隐藏用户登录轨迹的单点登录方法 |
| CN110034933B (zh) * | 2018-12-25 | 2023-06-09 | ***股份有限公司 | 跨***用户互信认证方法及跨***用户互信认证*** |
| US10698701B1 (en) | 2019-06-01 | 2020-06-30 | Apple Inc. | User interface for accessing an account |
| CN110798456A (zh) * | 2019-10-22 | 2020-02-14 | 北京天融信网络安全技术有限公司 | Sslvpn的认证方法及内网资源访问和数据获取方法 |
| US11601419B2 (en) | 2020-06-21 | 2023-03-07 | Apple Inc. | User interfaces for accessing an account |
| CN111935159A (zh) * | 2020-08-13 | 2020-11-13 | 工银科技有限公司 | 多***间互信认证方法、装置及*** |
| CN114338057B (zh) * | 2020-09-27 | 2023-09-08 | 腾讯科技(深圳)有限公司 | 基于第三方鉴权的登录方法、装置、设备和存储介质 |
| CN114553573B (zh) * | 2022-02-23 | 2024-05-28 | 中国工商银行股份有限公司 | 身份认证方法及装置 |
| CN115118454B (zh) * | 2022-05-25 | 2023-06-30 | 四川中电启明星信息技术有限公司 | 一种基于移动应用的级联认证***及认证方法 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1812403A (zh) * | 2005-01-28 | 2006-08-02 | 广东省电信有限公司科学技术研究院 | 一种跨管理域实现身份认证的单点登录方法 |
| CN1897523A (zh) * | 2006-06-26 | 2007-01-17 | 北京金山软件有限公司 | 一种实现单点登录的***及方法 |
| CN1946022A (zh) * | 2006-10-31 | 2007-04-11 | 华为技术有限公司 | 转接第三方登陆的方法、***及第三方网站、业务服务器 |
| CN101159557A (zh) * | 2007-11-21 | 2008-04-09 | 华为技术有限公司 | 单点登录的方法、装置及*** |
| CN101355527A (zh) * | 2008-08-15 | 2009-01-28 | 深圳市中兴移动通信有限公司 | 一种跨域名单点登录的实现方法 |
| CN103312505A (zh) * | 2013-04-08 | 2013-09-18 | 河海大学 | 一种易用的单点登录实现的构建方法 |
-
2014
- 2014-12-29 CN CN201410840512.9A patent/CN104580184B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1812403A (zh) * | 2005-01-28 | 2006-08-02 | 广东省电信有限公司科学技术研究院 | 一种跨管理域实现身份认证的单点登录方法 |
| CN1897523A (zh) * | 2006-06-26 | 2007-01-17 | 北京金山软件有限公司 | 一种实现单点登录的***及方法 |
| CN1946022A (zh) * | 2006-10-31 | 2007-04-11 | 华为技术有限公司 | 转接第三方登陆的方法、***及第三方网站、业务服务器 |
| CN101159557A (zh) * | 2007-11-21 | 2008-04-09 | 华为技术有限公司 | 单点登录的方法、装置及*** |
| CN101355527A (zh) * | 2008-08-15 | 2009-01-28 | 深圳市中兴移动通信有限公司 | 一种跨域名单点登录的实现方法 |
| CN103312505A (zh) * | 2013-04-08 | 2013-09-18 | 河海大学 | 一种易用的单点登录实现的构建方法 |
Non-Patent Citations (1)
| Title |
|---|
| 基于改进的RBAC模型和CAS的单点登录设计与实现;徐升龙;《东北师范大学》;20111231;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104580184A (zh) | 2015-04-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104580184B (zh) | 互信应用***间身份认证方法 | |
| JP6012125B2 (ja) | 問い合わせ型トランザクションによる強化された2chk認証セキュリティ | |
| US7747856B2 (en) | Session ticket authentication scheme | |
| AU2020419017B2 (en) | Secure online access control to prevent identification information misuse | |
| US8997196B2 (en) | Flexible end-point compliance and strong authentication for distributed hybrid enterprises | |
| TW202117603A (zh) | 二維條碼的處理方法、裝置及系統 | |
| TW201741922A (zh) | 一種基於生物特徵的安全認證方法及裝置 | |
| CN102801808B (zh) | 一种面向WebLogic的Form身份鉴别的单点登录集成方法 | |
| CN112000951B (zh) | 一种访问方法、装置、***、电子设备及存储介质 | |
| CN104579681B (zh) | 互信应用***间身份认证*** | |
| TW201424316A (zh) | 使用瀏覽器認證線上交易的方法 | |
| CN101479987A (zh) | 生物测定凭证验证框架 | |
| US11665156B2 (en) | Method and system for securely authenticating a user by an identity and access service using a pictorial code and a one-time code | |
| US20170104592A1 (en) | Intermediary organization account asset protection via an encoded physical mechanism | |
| CN102170354A (zh) | 集中账号密码认证生成*** | |
| WO2014042992A2 (en) | Establishing and using credentials for a common lightweight identity | |
| CN109672675A (zh) | 一种基于OAuth2.0的密码服务中间件的WEB认证方法 | |
| CN101448001A (zh) | 一种实现wap手机银行交易安全控制的***及方法 | |
| CN111832005B (zh) | 应用授权方法、应用授权装置和电子设备 | |
| CN113312664B (zh) | 用户数据授权方法及用户数据授权*** | |
| KR102012262B1 (ko) | 키 관리 방법 및 fido 소프트웨어 인증장치 | |
| KR20150011293A (ko) | 인스턴트 메신저를 이용한 생체인증 전자서명 서비스 방법 | |
| CN100377525C (zh) | 流媒体业务服务实现方法、业务提供***及运营支撑*** | |
| AU2018214492A1 (en) | Authentication server, authentication system, and authentication method | |
| US20060059111A1 (en) | Authentication method for securely disclosing confidential information over the internet |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |