CN107819570A - 一种基于可变Cookie的跨域单点登录方法 - Google Patents
一种基于可变Cookie的跨域单点登录方法 Download PDFInfo
- Publication number
- CN107819570A CN107819570A CN201610813414.5A CN201610813414A CN107819570A CN 107819570 A CN107819570 A CN 107819570A CN 201610813414 A CN201610813414 A CN 201610813414A CN 107819570 A CN107819570 A CN 107819570A
- Authority
- CN
- China
- Prior art keywords
- domain
- cross
- ookie
- variable
- method based
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
- H04L63/0846—Network architectures or network communication protocols for network security for authentication of entities using passwords using time-dependent-passwords, e.g. periodically changing passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0877—Generation of secret information including derivation or calculation of cryptographic keys or passwords using additional device, e.g. trusted platform module [TPM], smartcard, USB or hardware security module [HSM]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
Abstract
一种基于可变Cookie的跨域单点登录方法,该方法涉及计算机过程与设计领域,其内容包括,针对单点登录中的跨域身份认证问题,提出了一种基于可变Cookie的方案解决跨域单点登录,使用随机数字生成票据,并作为传统加密算法的会话密钥对客户端的Cookie进行加密,采用现代加密算法在异域***之间安全传递票据,每次认证产生新的票据并更新异域应用***的Cookie。通过对票据产生和传输以及Cookie加密和常见攻击的安全性分析,可以实现跨域单点登录的功能并保证身份认证安全可信。
Description
技术领域
本发明涉及一种单点登录方法,尤其涉及一种一种基于可变Cookie的跨域单点登录方法。
背景技术
处理异域内不同的信息管理***之间无法进行数据同步和共享的一个有效办法是应用***集成,并对数据资源进行整合以及对用户进行访问控制,由于大部分信息管理***都采用用户名和密码的认证方式,并且有自己独立的身份认证模块和机制,这就使得用户需要记忆多个账号和口令,使得无法对用户进行统一认身份证和授权,单点登录(single sign on,SSO)使处于分布式环境中的用户,只需进行一次登录,即可获得所有所需访问信息***的授权,而不必在各个信息***再次登录来确认身份;实现SSO的典型模型有经纪人模型、代理模型、代理和经纪人模型、网关模型和令牌模型,具体的解决方案和应用产品有微软的Passort、IBM的WebSphere Portal Server等,这些方案虽然能够较好地实现单点登录,但存在***复杂、不够灵活等缺点;
实现单点登录的一个重要安全因素是对用户登录信息进行认证时,保证信息的完整性和可信性,基于以上分析,本文提出一种基于 可变加密Cookie的跨域单点登录方案,每次认证后更新密钥并对Cookie加密,使密钥“一次认证,一次变化”从而保障传递数据的保密和可信。
发明内容
一种基于可变Cookie的跨域单点登录方法,其特征在于,门户***,门户***对所有提供服务的业务***用户提供统一的单点登录入口和登录验证,并包含这些业务***的链接列表,门户***的数据库已建立能所处在不同域的应用***用户相关联的全局用户ID列表,关键字为能被所有应用***所识别的用户名,密码经过MD5加密:
(1)登录入口模块:为用户提供统一的登录入口页面,根据用户输入的用户名和密码信息进行验证;
(2)登录验证模块:验证用户的登录信息,如果用户通过验证,则记录用户用户名、登录时间等信息进入门户***数据库,同时调用认证管理***的发放令牌模块生成一个令牌。用户登录以后,可以看到 业务***链接列表,当用户选择进入其中某一个时,通过链接定向到所选***;
一种基于可变Cookie的跨域单点登录方法,其特征在于,业务验证***,业务验证***是在每一个应用管理信息***自身认证模块基础上新增的模块,只为在本***登录过和在门户***登录过的用户提供服务,并且拥有自己非对称加密算法的加密密钥和解密密钥对,包括3个模块:向认证管理***发送验证请求和处理认证管理***响应以及生成加密Cookie。
一种基于可变Cookie的跨域单点登录方法,其特征在于,认证管理***,认证管理***包括两个模块:令牌管理模块和可信任域列表模块,令牌管理模块主要实现令牌生成、发放、验证和更新功能,验证令牌时需要验证应用***所在域的信任关系以及用户登录状态,包括全局用户ID。
为提高整个单点登录***的可移植性和可扩 展 性,方案的所有的功能模块均封装成Webservice服务接口,通过WSDL
分别描述,门户***和其他业务***通过SOAP消息与相应的接口进行交互。
一种基于可变Cookie的跨域单点登录方法,其特征在于,单域登录,用户在未登录情况下访问应用***A(假设域名为A.com):
(1)用户访问应用***A,发送数据操作请求;
(2)应用***A对用户进行Cookie有效性检查,发现用户未登录。携带域名以重定向的方式向认证管理***发送验证请求;
(3)认证管理***遍历可信任域列表并检查票据,发现域名可信任,但不存在票据,验证不成功,认证管理***重定向用户客户端到门户***统一登录入口,用户输入用户名和密码进行登录;
(4)门户***登录验证模块调用Webservice接口验证用户输入的用户名和加密密码的登录信息,和数据库比对成功后,访问认证管理***的发放令牌模块Webservice接口申请创建一个票据;
(5)认证管理***生成一个票据,然后使用应用***A的公开加密钥加密该票据并返回给应用***A,同时记录用户访问应用***A的登录状态;
(6)应用***A使用自己保密的解密密钥获得票据,解析出门户***登录的用户ID,并查询获得本***对应的用户名,同时将票据作为传统加密算法的密钥产生本域的加密Cookie,保存在用户的客户端,同时响应数据操作请求。
一种基于可变Cookie的跨域单点登录方法,其特征在于,跨域登录,用户已经在应用***A登录,此时要访问应用***B(假设域名为 B.com):
(1)用户访问应用***B,请求数据操作服务;
(2)应用***B的验证***发现用户未在本***登录,向认证管理***请求验证;
(3)认证管理***查询数据库验证应用***B所在域名的可信任关系,同时遍历票据列表,发现用户在应用***A登录,然后重定向到应用***A;
(4)应用***A读取客户端Cookie内容,使用当前的票据对Cookie进行解密和有效性检验;
(5)应用***A向认证***发送认证请求申请生成一个新的票据;
(6)认证管理***生成新的票据并向应用***B响应有效声明,同时把新产生的票据加密后返回给应用***B;
(7)应用***B得到有效声明,解密获得更新后的票据,并使用该票据作为密钥将用户信息写入本域的Cookie并加密,同时向用户提供数据操作服务;
(8)认证管理***向应用***A返回更新后的票据,并发出更新Cookie及票据指令;
(9)应用***A使用新的票据更新客户端本域的Cookie,延长Cookie有效期。
Claims (5)
1.一种基于可变Cookie的跨域单点登录方法,其特征在于,门户***,门户***对所有提供服务的业务***用户提供统一的单点登录入口和登录验证,并包含这些业务***的链接列表。
2.一种基于可变Cookie的跨域单点登录方法,其特征在于,业务验证***,业务验证***是在每一个应用管理信息***自身认证模块基础上新增的模块。
3.一种基于可变Cookie的跨域单点登录方法,其特征在于,认证管理***,认证管理***包括两个模块:令牌管理模块和可信任域列表模块。
4.一种基于可变Cookie的跨域单点登录方法,其特征在于,单域登录,用户在未登录情况下访问应用***A(假设域名为A.com)。
5.一种基于可变Cookie的跨域单点登录方法,其特征在于,用户已经在应用***A登录,此时要访问应用***B(假设域名为 B.com)。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610813414.5A CN107819570A (zh) | 2016-09-10 | 2016-09-10 | 一种基于可变Cookie的跨域单点登录方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610813414.5A CN107819570A (zh) | 2016-09-10 | 2016-09-10 | 一种基于可变Cookie的跨域单点登录方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN107819570A true CN107819570A (zh) | 2018-03-20 |
Family
ID=61600314
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610813414.5A Pending CN107819570A (zh) | 2016-09-10 | 2016-09-10 | 一种基于可变Cookie的跨域单点登录方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107819570A (zh) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108809957A (zh) * | 2018-05-23 | 2018-11-13 | 广东微校信息科技有限公司 | 一种防止伪造微信企业号访问请求的方法 |
CN109194683A (zh) * | 2018-09-30 | 2019-01-11 | 北京金山云网络技术有限公司 | 登陆信息处理方法、装置及客户端 |
CN109688114A (zh) * | 2018-12-10 | 2019-04-26 | 迈普通信技术股份有限公司 | 单点登录方法、认证服务器及应用服务器 |
CN110351304A (zh) * | 2019-07-31 | 2019-10-18 | 深圳市钱海网络技术有限公司 | 一种不同***间的一键切换登录实现方法及装置 |
CN110765443A (zh) * | 2019-10-24 | 2020-02-07 | 深圳前海环融联易信息科技服务有限公司 | 单点登录的方法、装置、计算机设备及存储介质 |
CN111404946A (zh) * | 2020-03-19 | 2020-07-10 | 北京比特安索信息技术有限公司 | 基于浏览器的账户认证方法及服务器 |
-
2016
- 2016-09-10 CN CN201610813414.5A patent/CN107819570A/zh active Pending
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108809957A (zh) * | 2018-05-23 | 2018-11-13 | 广东微校信息科技有限公司 | 一种防止伪造微信企业号访问请求的方法 |
CN109194683A (zh) * | 2018-09-30 | 2019-01-11 | 北京金山云网络技术有限公司 | 登陆信息处理方法、装置及客户端 |
CN109688114A (zh) * | 2018-12-10 | 2019-04-26 | 迈普通信技术股份有限公司 | 单点登录方法、认证服务器及应用服务器 |
CN109688114B (zh) * | 2018-12-10 | 2021-07-06 | 迈普通信技术股份有限公司 | 单点登录方法、认证服务器及应用服务器 |
CN110351304A (zh) * | 2019-07-31 | 2019-10-18 | 深圳市钱海网络技术有限公司 | 一种不同***间的一键切换登录实现方法及装置 |
CN110351304B (zh) * | 2019-07-31 | 2021-12-07 | 深圳市钱海网络技术有限公司 | 一种不同***间的一键切换登录实现方法及装置 |
CN110765443A (zh) * | 2019-10-24 | 2020-02-07 | 深圳前海环融联易信息科技服务有限公司 | 单点登录的方法、装置、计算机设备及存储介质 |
CN111404946A (zh) * | 2020-03-19 | 2020-07-10 | 北京比特安索信息技术有限公司 | 基于浏览器的账户认证方法及服务器 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9871791B2 (en) | Multi factor user authentication on multiple devices | |
US20220255931A1 (en) | Domain unrestricted mobile initiated login | |
CN110048848B (zh) | 通过被动客户端发送会话令牌的方法、***和存储介质 | |
US8997196B2 (en) | Flexible end-point compliance and strong authentication for distributed hybrid enterprises | |
US11102191B2 (en) | Enabling single sign-on authentication for accessing protected network services | |
JP6527179B2 (ja) | パラメータベースのキー導出 | |
CN107819570A (zh) | 一种基于可变Cookie的跨域单点登录方法 | |
WO2017028804A1 (zh) | 一种Web实时通信平台鉴权接入方法及装置 | |
US20080263644A1 (en) | Federated authorization for distributed computing | |
KR20050013559A (ko) | 제휴 환경에서 사용자에 의해 결정된 인증 및 단일 사인온을 위한 방법 및 시스템 | |
CN107872455A (zh) | 一种跨域单点登录***及其方法 | |
US11716312B1 (en) | Platform for optimizing secure communications | |
Bazaz et al. | A review on single sign on enabling technologies and protocols | |
CN102893575A (zh) | 借助于ipsec和ike第1版认证的一次性密码 | |
Bharill et al. | A secure key for cloud using threshold cryptography in Kerberos | |
JP7145308B2 (ja) | コンピューティング環境でオンプレミスの秘密を複製する安全な方法 | |
Binu et al. | A mobile based remote user authentication scheme without verifier table for cloud based services | |
Lahmer et al. | Towards a virtual domain based authentication on MapReduce | |
Algaradi et al. | Big data security: a progress study of current user authentication schemes | |
Milenković et al. | Using Kerberos protocol for single sign-on in identity management systems | |
Dietz et al. | Hardening Persona-Improving Federated Web Login. | |
Goel | Access Control and Authorization Techniques wrt Client Applications | |
You et al. | Research and design of web single sign-on scheme | |
Balaji et al. | Web-Based System—Authentication to Single Log-on to Several Applications | |
Nagar et al. | A secure authenticate framework for cloud computing environment |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
WD01 | Invention patent application deemed withdrawn after publication | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20180320 |