CN107819570A - 一种基于可变Cookie的跨域单点登录方法 - Google Patents

一种基于可变Cookie的跨域单点登录方法 Download PDF

Info

Publication number
CN107819570A
CN107819570A CN201610813414.5A CN201610813414A CN107819570A CN 107819570 A CN107819570 A CN 107819570A CN 201610813414 A CN201610813414 A CN 201610813414A CN 107819570 A CN107819570 A CN 107819570A
Authority
CN
China
Prior art keywords
domain
cross
ookie
variable
method based
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201610813414.5A
Other languages
English (en)
Inventor
余漫游
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Changsha Dry Network Technology Co Ltd
Original Assignee
Changsha Dry Network Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Changsha Dry Network Technology Co Ltd filed Critical Changsha Dry Network Technology Co Ltd
Priority to CN201610813414.5A priority Critical patent/CN107819570A/zh
Publication of CN107819570A publication Critical patent/CN107819570A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0846Network architectures or network communication protocols for network security for authentication of entities using passwords using time-dependent-passwords, e.g. periodically changing passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0877Generation of secret information including derivation or calculation of cryptographic keys or passwords using additional device, e.g. trusted platform module [TPM], smartcard, USB or hardware security module [HSM]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)

Abstract

一种基于可变Cookie的跨域单点登录方法,该方法涉及计算机过程与设计领域,其内容包括,针对单点登录中的跨域身份认证问题,提出了一种基于可变Cookie的方案解决跨域单点登录,使用随机数字生成票据,并作为传统加密算法的会话密钥对客户端的Cookie进行加密,采用现代加密算法在异域***之间安全传递票据,每次认证产生新的票据并更新异域应用***的Cookie。通过对票据产生和传输以及Cookie加密和常见攻击的安全性分析,可以实现跨域单点登录的功能并保证身份认证安全可信。

Description

一种基于可变Cookie的跨域单点登录方法
技术领域
本发明涉及一种单点登录方法,尤其涉及一种一种基于可变Cookie的跨域单点登录方法。
背景技术
处理异域内不同的信息管理***之间无法进行数据同步和共享的一个有效办法是应用***集成,并对数据资源进行整合以及对用户进行访问控制,由于大部分信息管理***都采用用户名和密码的认证方式,并且有自己独立的身份认证模块和机制,这就使得用户需要记忆多个账号和口令,使得无法对用户进行统一认身份证和授权,单点登录(single sign on,SSO)使处于分布式环境中的用户,只需进行一次登录,即可获得所有所需访问信息***的授权,而不必在各个信息***再次登录来确认身份;实现SSO的典型模型有经纪人模型、代理模型、代理和经纪人模型、网关模型和令牌模型,具体的解决方案和应用产品有微软的Passort、IBM的WebSphere Portal Server等,这些方案虽然能够较好地实现单点登录,但存在***复杂、不够灵活等缺点;
实现单点登录的一个重要安全因素是对用户登录信息进行认证时,保证信息的完整性和可信性,基于以上分析,本文提出一种基于 可变加密Cookie的跨域单点登录方案,每次认证后更新密钥并对Cookie加密,使密钥“一次认证,一次变化”从而保障传递数据的保密和可信。
发明内容
一种基于可变Cookie的跨域单点登录方法,其特征在于,门户***,门户***对所有提供服务的业务***用户提供统一的单点登录入口和登录验证,并包含这些业务***的链接列表,门户***的数据库已建立能所处在不同域的应用***用户相关联的全局用户ID列表,关键字为能被所有应用***所识别的用户名,密码经过MD5加密:
(1)登录入口模块:为用户提供统一的登录入口页面,根据用户输入的用户名和密码信息进行验证;
(2)登录验证模块:验证用户的登录信息,如果用户通过验证,则记录用户用户名、登录时间等信息进入门户***数据库,同时调用认证管理***的发放令牌模块生成一个令牌。用户登录以后,可以看到 业务***链接列表,当用户选择进入其中某一个时,通过链接定向到所选***;
一种基于可变Cookie的跨域单点登录方法,其特征在于,业务验证***,业务验证***是在每一个应用管理信息***自身认证模块基础上新增的模块,只为在本***登录过和在门户***登录过的用户提供服务,并且拥有自己非对称加密算法的加密密钥和解密密钥对,包括3个模块:向认证管理***发送验证请求和处理认证管理***响应以及生成加密Cookie。
一种基于可变Cookie的跨域单点登录方法,其特征在于,认证管理***,认证管理***包括两个模块:令牌管理模块和可信任域列表模块,令牌管理模块主要实现令牌生成、发放、验证和更新功能,验证令牌时需要验证应用***所在域的信任关系以及用户登录状态,包括全局用户ID。
为提高整个单点登录***的可移植性和可扩 展 性,方案的所有的功能模块均封装成Webservice服务接口,通过WSDL
分别描述,门户***和其他业务***通过SOAP消息与相应的接口进行交互。
一种基于可变Cookie的跨域单点登录方法,其特征在于,单域登录,用户在未登录情况下访问应用***A(假设域名为A.com):
(1)用户访问应用***A,发送数据操作请求;
(2)应用***A对用户进行Cookie有效性检查,发现用户未登录。携带域名以重定向的方式向认证管理***发送验证请求;
(3)认证管理***遍历可信任域列表并检查票据,发现域名可信任,但不存在票据,验证不成功,认证管理***重定向用户客户端到门户***统一登录入口,用户输入用户名和密码进行登录;
(4)门户***登录验证模块调用Webservice接口验证用户输入的用户名和加密密码的登录信息,和数据库比对成功后,访问认证管理***的发放令牌模块Webservice接口申请创建一个票据;
(5)认证管理***生成一个票据,然后使用应用***A的公开加密钥加密该票据并返回给应用***A,同时记录用户访问应用***A的登录状态;
(6)应用***A使用自己保密的解密密钥获得票据,解析出门户***登录的用户ID,并查询获得本***对应的用户名,同时将票据作为传统加密算法的密钥产生本域的加密Cookie,保存在用户的客户端,同时响应数据操作请求。
一种基于可变Cookie的跨域单点登录方法,其特征在于,跨域登录,用户已经在应用***A登录,此时要访问应用***B(假设域名为 B.com):
(1)用户访问应用***B,请求数据操作服务;
(2)应用***B的验证***发现用户未在本***登录,向认证管理***请求验证;
(3)认证管理***查询数据库验证应用***B所在域名的可信任关系,同时遍历票据列表,发现用户在应用***A登录,然后重定向到应用***A;
(4)应用***A读取客户端Cookie内容,使用当前的票据对Cookie进行解密和有效性检验;
(5)应用***A向认证***发送认证请求申请生成一个新的票据;
(6)认证管理***生成新的票据并向应用***B响应有效声明,同时把新产生的票据加密后返回给应用***B;
(7)应用***B得到有效声明,解密获得更新后的票据,并使用该票据作为密钥将用户信息写入本域的Cookie并加密,同时向用户提供数据操作服务;
(8)认证管理***向应用***A返回更新后的票据,并发出更新Cookie及票据指令;
(9)应用***A使用新的票据更新客户端本域的Cookie,延长Cookie有效期。

Claims (5)

1.一种基于可变Cookie的跨域单点登录方法,其特征在于,门户***,门户***对所有提供服务的业务***用户提供统一的单点登录入口和登录验证,并包含这些业务***的链接列表。
2.一种基于可变Cookie的跨域单点登录方法,其特征在于,业务验证***,业务验证***是在每一个应用管理信息***自身认证模块基础上新增的模块。
3.一种基于可变Cookie的跨域单点登录方法,其特征在于,认证管理***,认证管理***包括两个模块:令牌管理模块和可信任域列表模块。
4.一种基于可变Cookie的跨域单点登录方法,其特征在于,单域登录,用户在未登录情况下访问应用***A(假设域名为A.com)。
5.一种基于可变Cookie的跨域单点登录方法,其特征在于,用户已经在应用***A登录,此时要访问应用***B(假设域名为 B.com)。
CN201610813414.5A 2016-09-10 2016-09-10 一种基于可变Cookie的跨域单点登录方法 Pending CN107819570A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610813414.5A CN107819570A (zh) 2016-09-10 2016-09-10 一种基于可变Cookie的跨域单点登录方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610813414.5A CN107819570A (zh) 2016-09-10 2016-09-10 一种基于可变Cookie的跨域单点登录方法

Publications (1)

Publication Number Publication Date
CN107819570A true CN107819570A (zh) 2018-03-20

Family

ID=61600314

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610813414.5A Pending CN107819570A (zh) 2016-09-10 2016-09-10 一种基于可变Cookie的跨域单点登录方法

Country Status (1)

Country Link
CN (1) CN107819570A (zh)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108809957A (zh) * 2018-05-23 2018-11-13 广东微校信息科技有限公司 一种防止伪造微信企业号访问请求的方法
CN109194683A (zh) * 2018-09-30 2019-01-11 北京金山云网络技术有限公司 登陆信息处理方法、装置及客户端
CN109688114A (zh) * 2018-12-10 2019-04-26 迈普通信技术股份有限公司 单点登录方法、认证服务器及应用服务器
CN110351304A (zh) * 2019-07-31 2019-10-18 深圳市钱海网络技术有限公司 一种不同***间的一键切换登录实现方法及装置
CN110765443A (zh) * 2019-10-24 2020-02-07 深圳前海环融联易信息科技服务有限公司 单点登录的方法、装置、计算机设备及存储介质
CN111404946A (zh) * 2020-03-19 2020-07-10 北京比特安索信息技术有限公司 基于浏览器的账户认证方法及服务器

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108809957A (zh) * 2018-05-23 2018-11-13 广东微校信息科技有限公司 一种防止伪造微信企业号访问请求的方法
CN109194683A (zh) * 2018-09-30 2019-01-11 北京金山云网络技术有限公司 登陆信息处理方法、装置及客户端
CN109688114A (zh) * 2018-12-10 2019-04-26 迈普通信技术股份有限公司 单点登录方法、认证服务器及应用服务器
CN109688114B (zh) * 2018-12-10 2021-07-06 迈普通信技术股份有限公司 单点登录方法、认证服务器及应用服务器
CN110351304A (zh) * 2019-07-31 2019-10-18 深圳市钱海网络技术有限公司 一种不同***间的一键切换登录实现方法及装置
CN110351304B (zh) * 2019-07-31 2021-12-07 深圳市钱海网络技术有限公司 一种不同***间的一键切换登录实现方法及装置
CN110765443A (zh) * 2019-10-24 2020-02-07 深圳前海环融联易信息科技服务有限公司 单点登录的方法、装置、计算机设备及存储介质
CN111404946A (zh) * 2020-03-19 2020-07-10 北京比特安索信息技术有限公司 基于浏览器的账户认证方法及服务器

Similar Documents

Publication Publication Date Title
US9871791B2 (en) Multi factor user authentication on multiple devices
US20220255931A1 (en) Domain unrestricted mobile initiated login
CN110048848B (zh) 通过被动客户端发送会话令牌的方法、***和存储介质
US8997196B2 (en) Flexible end-point compliance and strong authentication for distributed hybrid enterprises
US11102191B2 (en) Enabling single sign-on authentication for accessing protected network services
JP6527179B2 (ja) パラメータベースのキー導出
CN107819570A (zh) 一种基于可变Cookie的跨域单点登录方法
WO2017028804A1 (zh) 一种Web实时通信平台鉴权接入方法及装置
US20080263644A1 (en) Federated authorization for distributed computing
KR20050013559A (ko) 제휴 환경에서 사용자에 의해 결정된 인증 및 단일 사인온을 위한 방법 및 시스템
CN107872455A (zh) 一种跨域单点登录***及其方法
US11716312B1 (en) Platform for optimizing secure communications
Bazaz et al. A review on single sign on enabling technologies and protocols
CN102893575A (zh) 借助于ipsec和ike第1版认证的一次性密码
Bharill et al. A secure key for cloud using threshold cryptography in Kerberos
JP7145308B2 (ja) コンピューティング環境でオンプレミスの秘密を複製する安全な方法
Binu et al. A mobile based remote user authentication scheme without verifier table for cloud based services
Lahmer et al. Towards a virtual domain based authentication on MapReduce
Algaradi et al. Big data security: a progress study of current user authentication schemes
Milenković et al. Using Kerberos protocol for single sign-on in identity management systems
Dietz et al. Hardening Persona-Improving Federated Web Login.
Goel Access Control and Authorization Techniques wrt Client Applications
You et al. Research and design of web single sign-on scheme
Balaji et al. Web-Based System—Authentication to Single Log-on to Several Applications
Nagar et al. A secure authenticate framework for cloud computing environment

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
WD01 Invention patent application deemed withdrawn after publication
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20180320