CN109165498A - 一种去中心化式点对点统一认证方法 - Google Patents
一种去中心化式点对点统一认证方法 Download PDFInfo
- Publication number
- CN109165498A CN109165498A CN201810860511.9A CN201810860511A CN109165498A CN 109165498 A CN109165498 A CN 109165498A CN 201810860511 A CN201810860511 A CN 201810860511A CN 109165498 A CN109165498 A CN 109165498A
- Authority
- CN
- China
- Prior art keywords
- website
- user
- point
- bill
- sent
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/41—User authentication where a single sign-on provides access to a plurality of computers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明提供了一种去中心化式的点对点统一认证方法,属于信息安全与交互技术领域。本发明充分发挥业务***的已经实现的认证逻辑,通过设计点对点身份信任协议,在完成自身身份认证的基础上,可以把认证信息安全地传递到对等***中,形成身份信息传递的网络,不仅在业务***间实现了安全、快捷的认证过程,同时解决了中心化式统一认证的各类问题,达到提高效率、降低成本的目的,也避免了中心式认证服务器压力过大的问题。
Description
技术领域
本发明属于信息安全与交互技术领域,特别涉及一种去中心化式点对点统一认证方法。
背景技术
随着信息技术的发展,许多业务部门都建立了各类信息***,并且大部分已经建立了基于标准协议(如OAUTH2.0)的统一身份认证服务.这种“中心化”式的统一认证体系需要部署独立的认证服务器。
这种传统的统一认证体系剥夺了各个业务***自身的认证逻辑,由统一认证服务器作为认证中心代理完成用户身份认证过程,并将认证结果返回到业务***,从而实现单点登录功能.这种中心化式的统一认证方式具有以下问题:
(1)认证中心服务器压力巨大.由于所有业务***需要都从认证中心验证用户身份,完成登录过程,即使认证中心采用缓存等技术手段缓解压力,仍然很难保证其稳定性,一旦认证中心崩溃,将导致整个校园业务***的瘫痪,带来十分严重的损失;
(2)业务***二次开发量大.以广泛采用的CAS平台为例,即使基于标准协议,每个业务***都必须进行大量的二次开发和对接配置工作,***改造的工作量很大;
(3)必须单独建设、部署、维护统一认证服务器,带来了额外的人力、物力、财力成本。
发明内容
为了解决上述问题,本发明提出了一种去中心化式的点对点统一认证方法,充分发挥业务***的已经实现的认证逻辑,通过设计点对点身份信任协议,在完成自身身份认证的基础上,可以把认证信息安全地传递到对等***中,形成身份信息传递的网络。
一种去中心化式点对点统一认证方法,包括以下步骤:
步骤1,用户登录第一站点,第一站点服务器端根据用户的身份信息生成信任票据,并将所述信任票据与身份信息对应保存在所述第一站点的映射表中;
步骤2,所述第一站点将所述信任票据回送至用户客户端;
步骤3,登录所述第一站点后,用户通过超链接或跳转的方式访问第二站点资源,发送访问请求至所述第二站点,其中,所述访问请求包括访问来源第一站点、用户的信任票据;
步骤4,所述第二站点接收所述访问请求,将用户的信任票据发送至访问来源第一站点进行身份验证;
步骤5,所述第一站点根据所述第二站点发送的信任票据,在第一站点的映射表中查询与所述第二站点发送的信任票据对应的身份信息,并发送至所述第二站点;
步骤6,所述第二站点接收所述第一站点发送的身份信息,完成用户在所述第二站点的身份认证。
进一步地,所述步骤1包括以下流程:
步骤11,用户以身份信息UID登录到第一站点A;
步骤12,所述第一站点服务器端生成用户的信任票据TK,其中,TK=hash(sessionID),hash为hash运算,session ID为用户的标识串;
步骤13,所述第一站点将用户的身份信息UID和用户的信任票据TK一一对应保存至第一站点的映射表UTMap_A中。
进一步地,所述步骤2包括以下流程:
所述第一站点将用户的信任票据TK发送至该信任票据对应的用户客户端。
进一步地,所述步骤3包括以下流程:
用户登录到所述第一站点A后,通过超链接或跳转的方式访问第二站点B的资源R,发送访问请求至所述第二站点B,其中,访问请求包括from=siteA、ticket=TK,from=siteA表示访问来源为第一站点A,ticket=TK为用户的信任票据。
进一步地,所述步骤4包括以下流程:
第二站点B接收用户的访问请求,将用户的信任票据TK发送至访问来源siteA进行身份验证。
进一步地,所述步骤5包括以下流程:
步骤51,所述第一站点A接收所述第二站点B发送的信任票据TK,在所述第一站点A的映射表UTMap_A中查询信任票据对应的用户身份信息;
步骤52,判断查询结果是否为空;
步骤53,当所述第一站点A的映射表UTMap_A中没有查询到所述第二站点B发送的信任票据TK对应的身份信息,表示该用户未登录或已退出第一站点A,所述第一站点A发送错误信息至所述第二站点B,所述第二站点B向用户发送错误信息并要求登录;
步骤54,当所述第一站点A在映射表UTMap_A中查询到所述第二站点B发送的信任票据TK对应的身份信息UID时,发送验证通过的身份信息UID至所述第二站点B。
进一步地,所述步骤6包括以下流程:
所述第二站点B接收所述第一站点A发送的身份信息UID,完成用户的身份信息UID在第二站点B的登录。
本发明的有益效果:本发明提供了一种去中心化式的点对点统一认证方法,充分发挥业务***的已经实现的认证逻辑,通过设计点对点身份信任协议,在完成自身身份认证的基础上,可以把认证信息安全地传递到对等***中,形成身份信息传递的网络,不仅在业务***间实现了安全、快捷的认证过程,同时解决了中心化式统一认证的各类问题,达到提高效率、降低成本的目的,也避免了中心式认证服务器压力过大的问题。
附图说明
图1为本发明的流程图。
图2为图1中步骤1的流程图。
图3为图1中步骤5的流程图。
具体实施方式
下面结合附图对本发明的实施例做进一步的说明。
请参阅图1,本发明提出的一种去中心化式的点对点统一认证方法,通过以下步骤实现:
步骤1,用户登录第一站点,第一站点服务器端根据用户的身份信息生成信任票据,并将所述信任票据与身份信息对应保存在所述第一站点的映射表中。
请参阅图2,步骤1通过以下流程实现:
步骤11,用户以身份信息UID登录到第一站点A。
本实施例中,HTTP本身是一种无状态的协议,WEB服务器为了保存用户信息,当用户登录成功后,会在服务器端生成记录用户会话状态的一个标识串,称为Session ID.在用户登录后访问***的整个过程中,该Session ID值是不变的,且每个用户的Session ID值不同。用户以账号UID成功登录站点A,地址为siteA。
步骤12,所述第一站点服务器端生成用户的信任票据TK,其中,TK=hash(sessionID),hash为hash运算,session ID为用户的标识串。
本实施例中,Session ID作为隐私数据,出于安全考虑,不能在***之间直接传递。在点对点认证体系中,将Session ID值进行hash运算后再传递,计算结果不可逆。该哈希值被称为“信任票据(TK,Trust ticket)”,即TK=hash(session ID)。典型的Hash算法可采用MD5或SHA1。每一个Session ID都有生命周期,当用户从***退出,或超时失效后,服务器将删除这些Session ID值,当然同时也就删除了对应的TK值。
步骤13,所述第一站点将用户的身份信息UID和用户的信任票据TK一一对应保存至第一站点的映射表UTMap_A中。
本实施例中,从Session ID的原理可以看出,存在TK与UID的一个映射,即每一个TK都对应唯一的UID,为了快速查询该映射关系,设计TK到UID的映射表UTMap,其中索引键Key=TK,查询结果值Value=UID。例如,UID=001的用户登录第一站点A后,生成TK=hash(session ID)=a1b2c3d4e5,则该记录在UTMap_A中存储结构如下表(一):
表(一)UTMap结构表
步骤2,所述第一站点将所述信任票据回送至用户客户端。
本实施例中,第一站点A将用户的信任票据TK发送至该信任票据对应的用户客户端,以便在跳转到下一站点时可以作为参数传递。
步骤3,登录所述第一站点后,用户通过超链接或跳转的方式访问第二站点资源,发送访问请求至所述第二站点,其中,所述访问请求包括访问来源第一站点、用户的信任票据。
本实施例中,用户登录到第一站点A后,通过超链接或跳转的方式访问第二站点B的资源R,发送访问请求至所述第二站点B,其中,访问请求包括from=siteA、ticket=TK,from=siteA表示访问来源为第一站点A,ticket=TK为用户的信任票据。
步骤4,所述第二站点接收所述访问请求,将用户的信任票据发送至访问来源第一站点进行身份验证。
本实施例中,第二站点B接收用户的访问请求,将用户的信任票据TK发送至访问来源siteA进行身份验证。
步骤5,所述第一站点根据所述第二站点发送的信任票据,在第一站点的映射表中查询与所述第二站点发送的信任票据对应的身份信息,并发送至所述第二站点。
请参阅图3,步骤5通过以下流程实现:
步骤51,所述第一站点A接收所述第二站点B发送的信任票据TK,在所述第一站点A的映射表UTMap_A中查询信任票据对应的用户身份信息。
本实施例中,将第二站点发送的信任票据TK,在访问来源第一站点A的映射表UTMap_A中查询与之对应的UID。
步骤52,判断查询结果是否为空。
本实施例中,定义find函数:
在映射表中查询TK对应的UID,当且仅当UTMap不存在指定的TK值(用户未登录或已退出)时,find(TK)=null,否则可直接查询得到对应的UID。
步骤53,当所述第一站点A的映射表UTMap_A中没有查询到所述第二站点B发送的信任票据TK对应的身份信息,表示该用户未登录或已退出第一站点A,所述第一站点A发送错误信息至所述第二站点B,所述第二站点B向用户发送错误信息并要求登录;
步骤54,当所述第一站点A在映射表UTMap_A中查询到所述第二站点B发送的信任票据TK对应的身份信息UID时,发送验证通过的身份信息UID至所述第二站点B。
步骤6,所述第二站点接收所述第一站点发送的身份信息,完成用户在所述第二站点的身份认证。
本实施例中,第二站点B接收所述第一站点A发送的身份信息UID,完成用户的身份信息UID在第二站点B的登录。根据用户UID在第二站点B的访问权限,确定用户能访问的资源。
在UID在第二站点B登录成功后,同样会在第二站点的映射表UTMap_B中生成并保存信任票据TKB值。当用户从第二站点B出发访问其他站点时,将按照完全相同的步骤实现统一认证.通过点对点认证方式,可以在多个业务***之间传递TK建立信任关系,从而实现用户自由地在各个业务***之间访问资源而无需重复登录。
点对点的架构使得每个站点都是认证服务的提供者,从而分摊了用户认证过程的负载,避免中心式认证服务器压力过大的问题.为了进一步提高安全性,可采用https协议代替http协议,实现票据信息在网络上的安全传递,但这并不影响整个认证步骤和逻辑。
本领域的普通技术人员将会意识到,这里所述的实施例是为了帮助读者理解本发明的原理,应被理解为本发明的保护范围并不局限于这样的特别陈述和实施例。本领域的普通技术人员可以根据本发明公开的这些技术启示做出各种不脱离本发明实质的其它各种具体变形和组合,这些变形和组合仍然在本发明的保护范围内。
Claims (7)
1.一种去中心化式点对点统一认证方法,其特征在于,包括以下步骤:
步骤1,用户登录第一站点,第一站点服务器端根据用户的身份信息生成信任票据,并将所述信任票据与身份信息对应保存在所述第一站点的映射表中;
步骤2,所述第一站点将所述信任票据回送至用户客户端;
步骤3,登录所述第一站点后,用户通过超链接或跳转的方式访问第二站点资源,发送访问请求至所述第二站点,其中,所述访问请求包括访问来源第一站点、用户的信任票据;
步骤4,所述第二站点接收所述访问请求,将用户的信任票据发送至访问来源第一站点进行身份验证;
步骤5,所述第一站点根据所述第二站点发送的信任票据,在第一站点的映射表中查询与所述第二站点发送的信任票据对应的身份信息,并发送至所述第二站点;
步骤6,所述第二站点接收所述第一站点发送的身份信息,完成用户在所述第二站点的身份认证。
2.如权利要求1所述的去中心化式点对点统一认证方法,其特征在于,所述步骤1包括以下流程:
步骤11,用户以身份信息UID登录到第一站点A;
步骤12,所述第一站点服务器端生成用户的信任票据TK,其中,TK=hash(sessionID),hash为hash运算,session ID为用户的标识串;
步骤13,所述第一站点将用户的身份信息UID和用户的信任票据TK一一对应保存至第一站点的映射表UTMap_A中。
3.如权利要求2所述的去中心化式点对点统一认证方法,其特征在于,所述步骤2包括以下流程:
所述第一站点将用户的信任票据TK发送至该信任票据对应的用户客户端。
4.如权利要求3所述的去中心化式点对点统一认证方法,其特征在于,所述步骤3包括以下流程:
用户登录到所述第一站点A后,通过超链接或跳转的方式访问第二站点B的资源R,发送访问请求至所述第二站点B,其中,访问请求包括from=siteA、ticket=TK,from=siteA表示访问来源为第一站点A,ticket=TK为用户的信任票据。
5.如权利要求4所述的去中心化式点对点统一认证方法,其特征在于,所述步骤4包括以下流程:
第二站点B接收用户的访问请求,将用户的信任票据TK发送至访问来源siteA进行身份验证。
6.如权利要求5所述的去中心化式点对点统一认证方法,其特征在于,所述步骤5包括以下流程:
步骤51,所述第一站点A接收所述第二站点B发送的信任票据TK,在所述第一站点A的映射表UTMap_A中查询信任票据对应的用户身份信息;
步骤52,判断查询结果是否为空;
步骤53,当所述第一站点A的映射表UTMap_A中没有查询到所述第二站点B发送的信任票据TK对应的身份信息,表示该用户未登录或已退出第一站点A,所述第一站点A发送错误信息至所述第二站点B,所述第二站点B向用户发送错误信息并要求登录;
步骤54,当所述第一站点A在映射表UTMap_A中查询到所述第二站点B发送的信任票据TK对应的身份信息UID时,发送验证通过的身份信息UID至所述第二站点B。
7.如权利要求6所述的去中心化式点对点统一认证方法,其特征在于,所述步骤6包括以下流程:
所述第二站点B接收所述第一站点A发送的身份信息UID,完成用户的身份信息UID在第二站点B的登录。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810860511.9A CN109165498A (zh) | 2018-08-01 | 2018-08-01 | 一种去中心化式点对点统一认证方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810860511.9A CN109165498A (zh) | 2018-08-01 | 2018-08-01 | 一种去中心化式点对点统一认证方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109165498A true CN109165498A (zh) | 2019-01-08 |
Family
ID=64898454
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810860511.9A Pending CN109165498A (zh) | 2018-08-01 | 2018-08-01 | 一种去中心化式点对点统一认证方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109165498A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113544669A (zh) * | 2019-03-18 | 2021-10-22 | 微软技术许可有限责任公司 | 跨去中心化身份和中心化身份的认证 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102710759A (zh) * | 2012-05-22 | 2012-10-03 | 中国联合网络通信集团有限公司 | Web服务器、业务登录方法及*** |
| CN104038503A (zh) * | 2014-06-24 | 2014-09-10 | 北京奇虎科技有限公司 | 跨网站登录的方法,装置和*** |
| US20160006629A1 (en) * | 2013-07-07 | 2016-01-07 | George Ianakiev | Appliance clearinghouse with orchestrated logic fusion and data fabric - architecture, system and method |
| CN105450637A (zh) * | 2015-11-09 | 2016-03-30 | 歌尔声学股份有限公司 | 多个应用***的单点登录方法及装置 |
| CN107359996A (zh) * | 2016-05-09 | 2017-11-17 | 阿里巴巴集团控股有限公司 | 多网站间的自动登录方法及装置 |
-
2018
- 2018-08-01 CN CN201810860511.9A patent/CN109165498A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102710759A (zh) * | 2012-05-22 | 2012-10-03 | 中国联合网络通信集团有限公司 | Web服务器、业务登录方法及*** |
| US20160006629A1 (en) * | 2013-07-07 | 2016-01-07 | George Ianakiev | Appliance clearinghouse with orchestrated logic fusion and data fabric - architecture, system and method |
| CN104038503A (zh) * | 2014-06-24 | 2014-09-10 | 北京奇虎科技有限公司 | 跨网站登录的方法,装置和*** |
| CN105450637A (zh) * | 2015-11-09 | 2016-03-30 | 歌尔声学股份有限公司 | 多个应用***的单点登录方法及装置 |
| CN107359996A (zh) * | 2016-05-09 | 2017-11-17 | 阿里巴巴集团控股有限公司 | 多网站间的自动登录方法及装置 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113544669A (zh) * | 2019-03-18 | 2021-10-22 | 微软技术许可有限责任公司 | 跨去中心化身份和中心化身份的认证 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101816653B1 (ko) | 스마트 컨트랙트 및 블록체인 데이터베이스를 사용하여 서비스 제공 서버에 의하여 제공되는 서비스를 이용하기 위한 사용자의 로그인 요청에 대하여 pki 기반의 인증을 통해 로그인을 대행하는 방법 및 이를 이용한 서버 | |
| CN109617698B (zh) | 发放数字证书的方法、数字证书颁发中心和介质 | |
| KR101816651B1 (ko) | Utxo 기반 프로토콜의 블록체인 데이터베이스를 사용하여 서비스 제공 서버에 의하여 제공되는 서비스를 이용하기 위한 사용자의 로그인 요청에 대하여 pki 기반의 인증을 통해 로그인을 대행하는 방법 및 이를 이용한 서버 | |
| CN110958111B (zh) | 一种基于区块链的电力移动终端身份认证机制 | |
| US7698736B2 (en) | Secure delegation using public key authentication | |
| CN100580610C (zh) | 动态网络中的安全链路管理方法 | |
| CN107122674B (zh) | 一种应用于运维审计***的oracle数据库的访问方法 | |
| US20020116619A1 (en) | Digital signature verification and program transmission | |
| US20110314533A1 (en) | Identity broker configured to authenticate users to host services | |
| CN103259663A (zh) | 一种云计算环境下的用户统一认证方法 | |
| Chen et al. | Bidm: a blockchain-enabled cross-domain identity management system | |
| EP2321760B1 (en) | Representing security identities using claims | |
| KR20170106515A (ko) | 다중 팩터 인증 기관 | |
| CN113779605A (zh) | 一种基于联盟链的工业互联网Handle标识体系解析认证方法 | |
| KR101816652B1 (ko) | Utxo 기반 프로토콜에서 머클 트리 구조를 사용하여 서비스 제공 서버에 의하여 제공되는 서비스를 이용하기 위한 사용자의 로그인 요청에 대하여 pki 기반의 인증을 통해 로그인을 대행하는 방법 및 이를 이용한 서버 | |
| US20200374137A1 (en) | Systems, methods, and storage media for permissioned delegation in a computing environment | |
| CN105429991A (zh) | 移动终端高效数据传输方法 | |
| CN109981287A (zh) | 一种代码签名方法及其存储介质 | |
| KR102356725B1 (ko) | 계층 블록체인을 이용한 인증 및 정책 관리 방법 | |
| CN109165498A (zh) | 一种去中心化式点对点统一认证方法 | |
| KR20200064017A (ko) | 블록체인 기법을 이용한 fido2.0 암호키를 생성하는 방법 | |
| US20220318356A1 (en) | User registration method, user login method and corresponding device | |
| KR20190114422A (ko) | 블록체인 기반의 통합 로그인 방법, 단말 및 이를 이용한 서버 | |
| TWI717071B (zh) | 憑證管理系統及其方法 | |
| CN116055051A (zh) | 一种基于区块链网络的数据处理方法及相关设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190108 |
|
| RJ01 | Rejection of invention patent application after publication |