CN105812350B - 一种跨平台单点登录*** - Google Patents
一种跨平台单点登录*** Download PDFInfo
- Publication number
- CN105812350B CN105812350B CN201610087728.1A CN201610087728A CN105812350B CN 105812350 B CN105812350 B CN 105812350B CN 201610087728 A CN201610087728 A CN 201610087728A CN 105812350 B CN105812350 B CN 105812350B
- Authority
- CN
- China
- Prior art keywords
- application platform
- user
- platform
- main application
- identity authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种跨平台单点登录***,该***包括:主应用平台和次应用平台均具有其对应的唯一数字标识;用户端运行需要用户身份认证的主应用平台;数据库管理服务器完成用户首次登录主应用平台的用户身份认证的流程,如果用户身份认证成功,则生成主应用平台的授权标识并获取允许单点登录的主应用平台和次应用平台的数字标识对应关系表,若主应用平台和次应用平台的数字标识存在允许单点登录的对应关系,则通过主应用平台的授权标识登录次应用平台并获取次应用平台的操作权限;认证服务器,用于存储允许单点登录的主应用平台和次应用平台的数字标识对应关系表,本发明提供的***,能够确保用于跨平台单点登录的授权信息的安全性。
Description
【技术领域】
本发明涉及云计算安全技术领域,尤其涉及一种跨平台单点登录***。
【背景技术】
云计算环境具有资源集中、用户海量、有偿按需服务等特点,云端存储了大量的用户敏感数据,一旦用户身份被仿冒,就很容易造成隐私和敏感数据的泄露,而70%的数据泄漏是通过外部的输入源带进***的,所以为了保证云服务的安全,必须对进入***的用户身份和其他输入源的身份有较强的认证。身份认证是其他安全策略的基础,也是其他安全策略实现其安全功能的前提条件。随着云计算的不断成熟,提供的服务也越来越多,这些服务分布在不同的服务器,分布在不同机构的域中,每个服务都有属于自己的数据库,用户通过云终端登录虚拟桌面访问每一个服务时需要提供用户名密码或其他认证方式,在切换服务时进行越来越多的登录。这种相对分散繁琐的身份认证机制对用户造成极大的精神负担,为了减轻负担,用户可能将密码设置成容易记住的如纯数字或字母等,甚至对各种认证设置相同的密码,或者将复杂密码记录在纸上贴在工作台上,这些做法会降低***的整体安全性,密码被非法截获的可能性增加,使***容易被破解或攻击从而造成不必要的损失。对管理员来说,被迫管理越来越多的身份,对用户职责权限的维护也需要花费大量的时间进行调整。因此云环境下建立跨域的单点登录***,实现一处登录,即单点登录SSO(SingleSign-on),让用户能够通过一次登录访问云计算环境中不同域的网络资源,从而减轻用户和管理员的负担。
目前实现单点登录的模型主要有网关模型、代理模型和令牌模型三种,对应于这三种模型,目前有一些比较成熟的单点登录解决方案,如微软的Passport、IBM的WebSphere Portal Server、CAS,但它们有着不同的侧重点,适合于不同的平台与架构,***比较复杂,缺乏灵活性,而且价格和学习成本都比较高。
无论采取上述哪种模型,都需要记录和鉴别首次登录成功的认证信息,由于不同平台的用户登录认证信息并不相同,因此,为了实现在不改变用户的登录信息的 前提下能够登录不同的平台,最常用的一种实现方式是通过设置一个独立的SSO认证服务器,将用户的登录信息统一存储在SSO认证服务器中的用户管理***中,由统一的用户管理***完成用户通过登录入口进入其它应用平台的全部登录过程,具体为:当用户应用程序APP首次访问云计算环境中的一个平台时,首先通过SSO认证服务器的完成登录认证,如果登录成功,会返回一个认证标识,用户应用程序APP在访问云计算环境中的另一个平台时,会直接将认证标识提交给所述另一个平台,所述另一个平台会将该认证标识提交给SSO认证服务器进行验证,如果验证成功,用户APP则可直接访问所述另一个平台,而无需再次进行用户登录的全部过程。而不同平台的操作权限则由各个平台负责,从而实现了统一存储、分布授权。
虽然这种通过统一的用户管理***完成登录过程的方式实现了用户APP实现跨平台单点登录,但存在下述安全性问题:
用户APP在SSO认证服务器首次登录认证成功后,其返回的认证标识存在被截获的风险,一旦该认证标识被其他用户截获,则其他用户可以容易地伪装成原用户,并能利用该认证标识访问云计算环境中任何被授权的平台,从而给原用户带来不可预料的安全性风险。
【发明内容】
为了解决现有技术中的上述问题,本发明提出了一种新的基于云计算环境的跨平台单点登录***,包括:数据库管理服务器、认证服务器、用户端、主应用平台和次应用平台;
所述主应用平台和次应用平台均具有其对应的唯一数字标识;
用户端运行需要用户身份认证的主应用平台;
所述数据库管理服务器完成用户首次登录所述主应用平台的用户身份认证的流程,如果用户身份认证成功,则生成所述主应用平台的授权标识并获取允许单点登录的主应用平台和次应用平台的数字标识对应关系表,若所述主应用平台和次应用平台的数字标识存在允许单点登录的对应关系,则通过所述主应用平台的授权标识登录所述次应用平台并获取所述次应用平台的操作权限;
所述认证服务器,用于存储所述允许单点登录的主应用平台和次应用平台的数字标识对应关系表。
优选的,当用户端可通过主应用平台的授权标识访问次应用平台时,由所述次应用平台对所述用户端的操作权限进行授权。
优选的,所述数据库管理服务器完成用户首次登录所述主应用平台的用户身份认证的流程包括以下步骤:
(1)用户端发送用户名、登录密码和用户端唯一数字标识;
(2)数据库管理服务器检测所述用户名、登录密码与唯一数字标识是否与用户注册时保存的所述用户名、登录密码和唯一数字标识完全对应一致;
(3)如果完全对应一致,则用户身份认证成功;否则,认证失败。
优选的,所述操作权限至少包括以下至少一种:读取平台文件、写入平台文件、删除平台文件、修改平台文件。
【附图说明】
此处所说明的附图是用来提供对本发明的进一步理解,构成本申请的一部分,但并不构成对本发明的不当限定,在附图中:
图1是现有技术中实现的云环境下单点登录的***框架图。
【具体实施方式】
下面将结合附图以及具体实施例来详细说明本发明,其中的示意性实施例以及说明仅用来解释本发明,但并不作为对本发明的不当限定。
一种跨平台单点登录***,如图1所示,包括:数据库管理服务器、认证服务器、用户端、主应用平台和次应用平台;
所述主应用平台和次应用平台均具有其对应的唯一数字标识;
用户端运行需要用户身份认证的主应用平台;
所述数据库管理服务器完成用户首次登录所述主应用平台的用户身份认证的流程,如果用户身份认证成功,则生成所述主应用平台的授权标识并获取允许单点登录的主应用平台和次应用平台的数字标识对应关系表,若所述主应用平台和次应用 平台的数字标识存在允许单点登录的对应关系,则通过所述主应用平台的授权标识登录所述次应用平台并获取所述次应用平台的操作权限;
所述认证服务器,用于存储所述允许单点登录的主应用平台和次应用平台的数字标识对应关系表。
当用户端可通过主应用平台的授权标识访问次应用平台时,由所述次应用平台对所述用户端的操作权限进行授权。
具体的,所述数据库管理服务器完成用户首次登录所述主应用平台的用户身份认证的流程包括以下步骤:
(1)用户端发送用户名、登录密码和用户端唯一数字标识;
(2)数据库管理服务器检测所述用户名、登录密码与唯一数字标识是否与用户注册时保存的所述用户名、登录密码和唯一数字标识完全对应一致;
(3)如果完全对应一致,则用户身份认证成功;否则,认证失败。
所述操作权限至少包括以下至少一种:读取平台文件、写入平台文件、删除平台文件、修改平台文件。
本领域普通技术人员可以理解上述实施例的全部或部分步骤可以使用计算机程序流程来实现,所述计算机程序可以存储于一计算机可读存储介质中,所述计算机程序在相应的硬件平台上(如***、设备、装置、器件等)执行,在执行时,包括方法实施例的步骤之一或其组合。可选地,上述实施例的全部或部分步骤也可以使用集成电路来实现,这些步骤可以被分别制作成一个个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。上述实施例中的装置/功能模块/功能单元可以采用通用的计算装置来实现,它们可以集中在单个的计算装置上,也可以分布在多个计算装置所组成的网络上。上述实施例中的装置/功能模块/功能单元以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。上述提到的计算机可读取存储介质可以是只读存储器,磁盘或光盘等。
Claims (1)
1.一种跨平台单点登录***,其特征在于,包括:数据库管理服务器、认证服务器、用户端、主应用平台和次应用平台;
所述主应用平台和次应用平台均具有其对应的唯一数字标识;
用户端运行需要用户身份认证的主应用平台;
所述数据库管理服务器完成用户首次登录所述主应用平台的用户身份认证的流程,如果用户身份认证成功,则生成所述主应用平台的授权标识并获取允许单点登录的主应用平台和次应用平台的数字标识对应关系表,若所述主应用平台和次应用平台的数字标识存在允许单点登录的对应关系,则通过所述主应用平台的授权标识登录所述次应用平台并获取所述次应用平台的操作权限;
所述认证服务器,用于存储所述允许单点登录的主应用平台和次应用平台的数字标识对应关系表;
当用户端可通过主应用平台的授权标识访问次应用平台时,由所述次应用平台对所述用户端的操作权限进行授权;
所述数据库管理服务器完成用户首次登录所述主应用平台的用户身份认证的流程包括以下步骤:
(1)用户端发送用户名、登录密码和用户端唯一数字标识;
(2)数据库管理服务器检测所述用户名、登录密码与唯一数字标识是否与用户注册时保存的所述用户名、登录密码和唯一数字标识完全对应一致;
(3)如果完全对应一致,则用户身份认证成功;否则,认证失败;
所述操作权限至少包括以下至少一种:读取平台文件、写入平台文件、删除平台文件、修改平台文件。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610087728.1A CN105812350B (zh) | 2016-02-03 | 2016-02-03 | 一种跨平台单点登录*** |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610087728.1A CN105812350B (zh) | 2016-02-03 | 2016-02-03 | 一种跨平台单点登录*** |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105812350A CN105812350A (zh) | 2016-07-27 |
CN105812350B true CN105812350B (zh) | 2020-05-19 |
Family
ID=56466448
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610087728.1A Expired - Fee Related CN105812350B (zh) | 2016-02-03 | 2016-02-03 | 一种跨平台单点登录*** |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105812350B (zh) |
Families Citing this family (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106936853B (zh) * | 2017-04-26 | 2020-12-29 | 河海大学 | 基于面向***集成的跨域单点登录***进行跨域单点登录的方法 |
CN108156159A (zh) * | 2017-12-27 | 2018-06-12 | 质数链网科技成都有限公司 | 一种多应用***登陆方法以及区块链分布式总账*** |
CN108809957A (zh) * | 2018-05-23 | 2018-11-13 | 广东微校信息科技有限公司 | 一种防止伪造微信企业号访问请求的方法 |
CN109302446B (zh) * | 2018-08-15 | 2022-10-25 | 广州市保伦电子有限公司 | 跨平台访问方法、装置、电子设备及存储介质 |
CN109598114B (zh) * | 2018-11-23 | 2021-07-09 | 金色熊猫有限公司 | 跨平台统一用户账户管理方法及*** |
CN109977788A (zh) * | 2019-03-03 | 2019-07-05 | 湖北无垠智探科技发展有限公司 | 一种无人机航摄影像一体化处理平台 |
CN110149211B (zh) * | 2019-05-15 | 2023-04-07 | 杭州朗和科技有限公司 | 服务鉴权方法、服务鉴权装置、介质以及电子设备 |
CN110519296B (zh) * | 2019-09-17 | 2021-10-15 | 焦点科技股份有限公司 | 一种异构web***的单点登录与登出方法 |
CN112995112A (zh) * | 2019-12-17 | 2021-06-18 | 江苏太湖慧云数据***有限公司 | 一种跨云管理平台的资源管理方法 |
CN111832005B (zh) * | 2020-07-15 | 2023-09-05 | 中国工商银行股份有限公司 | 应用授权方法、应用授权装置和电子设备 |
Family Cites Families (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7426642B2 (en) * | 2002-11-14 | 2008-09-16 | International Business Machines Corporation | Integrating legacy application/data access with single sign-on in a distributed computing environment |
CN101193027A (zh) * | 2006-11-28 | 2008-06-04 | 深圳市永兴元科技有限公司 | 一种整合异构***的单点登录***及方法 |
CN101159557B (zh) * | 2007-11-21 | 2010-09-29 | 华为技术有限公司 | 单点登录的方法、装置及*** |
CN101202753B (zh) * | 2007-11-29 | 2010-11-17 | 中国电信股份有限公司 | 一种客户端访问插件应用***的方法和装置 |
CN102082775A (zh) * | 2009-11-27 | 2011-06-01 | ***通信集团公司 | 一种用户身份管理方法、装置和*** |
US20130086669A1 (en) * | 2011-09-29 | 2013-04-04 | Oracle International Corporation | Mobile application, single sign-on management |
CN102377788B (zh) * | 2011-12-13 | 2014-06-25 | 方正国际软件有限公司 | 单点登录***及其单点登录方法 |
CN103188237A (zh) * | 2011-12-30 | 2013-07-03 | 盛大计算机(上海)有限公司 | 单点登录***及方法 |
CN102624737B (zh) * | 2012-03-27 | 2015-05-06 | 武汉理工大学 | 单点登录***中针对Form身份鉴别的单点登录集成方法 |
CN103716292A (zh) * | 2012-09-29 | 2014-04-09 | 西门子公司 | 一种跨域的单点登录的方法和设备 |
CN104065674A (zh) * | 2013-03-18 | 2014-09-24 | 联想(北京)有限公司 | 终端设备以及信息处理方法 |
CN103248699B (zh) * | 2013-05-16 | 2014-07-16 | 广西中烟工业有限责任公司 | 一种单点登录信息***的多账号处理方法 |
CN103905201B (zh) * | 2014-03-28 | 2017-02-15 | 北界无限(北京)软件有限公司 | 主应用与多个从属应用的交互方法及装置 |
CN105024975B (zh) * | 2014-04-23 | 2019-02-26 | 腾讯科技(北京)有限公司 | 账号登录的方法、装置及*** |
CN104468592B (zh) * | 2014-12-12 | 2017-10-31 | 北京百度网讯科技有限公司 | 登录方法和登录*** |
-
2016
- 2016-02-03 CN CN201610087728.1A patent/CN105812350B/zh not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
CN105812350A (zh) | 2016-07-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105812350B (zh) | 一种跨平台单点登录*** | |
US10432608B2 (en) | Selectively enabling multi-factor authentication for managed devices | |
CN105577835B (zh) | 一种基于云计算的跨平台单点登录*** | |
US10187374B2 (en) | Multi-factor authentication for managed applications using single sign-on technology | |
JP6625636B2 (ja) | サービスとしてのアイデンティティインフラストラクチャ | |
US9769152B2 (en) | Attribute-based access control | |
US20190199707A1 (en) | Using a service-provider password to simulate f-sso functionality | |
CN103249045B (zh) | 一种身份识别的方法、装置和*** | |
CN105429999B (zh) | 基于云平台的统一身份认证*** | |
US20150281225A1 (en) | Techniques to operate a service with machine generated authentication tokens | |
US10938572B2 (en) | Revocable biometric-based keys for digital signing | |
CN104836803B (zh) | 基于session机制的单点登录方法 | |
CN106452772B (zh) | 终端认证方法和装置 | |
CN103384198B (zh) | 一种基于邮箱的用户身份认证服务方法和*** | |
CN104468553A (zh) | 一种公共账号登录的方法、装置及*** | |
WO2014048749A1 (en) | Inter-domain single sign-on | |
CN110417820A (zh) | 单点登录***的处理方法、装置及可读存储介质 | |
CN106850612A (zh) | 一种面向云化***的密码管理方法及*** | |
CN110247758A (zh) | 密码管理的方法、装置及密码管理器 | |
CN106921616A (zh) | 一种单点登录方法及装置 | |
CN106603567B (zh) | 一种web管理员的登录管理方法及装置 | |
CN106529216B (zh) | 一种基于公共存储平台的软件授权***及软件授权方法 | |
CN107682321A (zh) | 一种sdn控制器集群单点登录的方法及装置 | |
Herrera-Cubides et al. | Towards the Construction of a User Unique Authentication Mechanism on LMS Platforms through Model‐Driven Engineering (MDE) | |
US12015606B2 (en) | Virtual machine provisioning and directory service management |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20200519 Termination date: 20220203 |