CN111447194A - 一种利用数字证书增强单点登录安全性的方法 - Google Patents

一种利用数字证书增强单点登录安全性的方法 Download PDF

Info

Publication number
CN111447194A
CN111447194A CN202010208157.9A CN202010208157A CN111447194A CN 111447194 A CN111447194 A CN 111447194A CN 202010208157 A CN202010208157 A CN 202010208157A CN 111447194 A CN111447194 A CN 111447194A
Authority
CN
China
Prior art keywords
client
single sign
certificate
application
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202010208157.9A
Other languages
English (en)
Other versions
CN111447194B (zh
Inventor
陈磊
掌晓愚
高冬其
张启涛
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Koal Software Co ltd
Original Assignee
Koal Software Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Koal Software Co ltd filed Critical Koal Software Co ltd
Priority to CN202010208157.9A priority Critical patent/CN111447194B/zh
Publication of CN111447194A publication Critical patent/CN111447194A/zh
Application granted granted Critical
Publication of CN111447194B publication Critical patent/CN111447194B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明公开的一种利用数字证书增强单点登录安全性的方法,使用公私钥和数字证书替代单点登录过程中的1张主票据(登录票据)和N张从票据(应用票据),其利用数字证书+非对称密钥来完成验证客户端是否有权持有某类信息,来解决单点登录票据被劫持或非法获取时仍然保证应用可以验证客户端是否有权持有这些票据的安全性问题,使得本方案的票据具备不可复制性,极大地提高了单点登录登录的安全性。

Description

一种利用数字证书增强单点登录安全性的方法
技术领域
本发明涉及网络技术领域,特别涉及一种利用数字证书增强单点登录安全性的方法。
背景技术
常见的单点登录(SSO)协议(如OAuth2,CAS等),采用票据(Token或Ticket)作为登录凭证。
在单点登录过程中,客户端与SSO服务端及各个应用服务之间,存在1+N张票据。其中与SSO服务器之间使用的票据可称为主票据(或称登录票据),比如CAS协议中,客户端会持有一个名为TGC的Cookie用于标识自身的已登录状态;而在OAuth2协议中一般使用WebSession的Cookie来标识已登录状态。
客户端访问应用时会使用一张由SSO服务器发放的从票据(也称应用票据),这在CAS协议中被称为ST(Service Ticket),而在OAuth2协议中被定义为Ticket。访问每个应用都需要一张独立的应用票据,如果有N个应用就有N张应用票据。
但不论是主票据(登录票据)还是从票据(应用票据),都可以被复制,从而被攻击者冒用。
本专利的主要创新点就是使用公私钥和数字证书替代单点登录过程中的1张主票据(登录票据)和N张从票据(应用票据),其利用数字证书+非对称密钥来完成验证客户端是否有权持有某类信息,来解决单点登录票据被劫持或非法获取时仍然保证应用可以验证客户端是否有权持有这些票据的安全性问题,使得本方案的票据具备不可复制性,极大地提高了单点登录登录的安全性。
发明内容
本发明所要解决的技术问题在于针对现有单点登录协议协议(如OAuth2,CAS等)中采用票据作为登录凭证所存在的问题而提供一种利用数字证书增强单点登录安全性的方法。使用公私钥和数字证书替代单点登录过程中的1张主票据(登录票据)和N张从票据(应用票据),并具备不可复制性,极大地提高了单点登录登录的安全性。
本发明所要解决的技术问题可以通过以下技术方案来实现:
一种利用数字证书增强单点登录安全性的方法,包括如下步骤:
步骤一:客户端在单点登录前,在客户端中产生一对临时非对称密钥对;
步骤二:客户端将客户端标识、用户的认证信息与步骤一所产生的一对临时非对称密钥对中的公钥一并提交到单点登录服务器,并用步骤一所产生的一对临时非对称密钥对中的私钥对所有提交的客户端标识和用户的认证信息进行签名形成登录信息;
步骤三:单点登录服务器对步骤二的登录信息进行验证并获得用户标识,验证成功后抽取登录信息中的所述步骤一所产生的一对临时非对称密钥对中的公钥对客户端所提交的登录信息验证签名;
步骤四:单点登录服务器将抽取所述步骤一所产生的一对临时非对称密钥对中的公钥与客户端标识、用户标识一并转交CA服务器,所述CA服务器收到后,签发有效期与本步骤中的单点登录会话有效期相同的主证书给单点登录服务器;所述主证书包含登录会话信息;
步骤五:单点登录服务器在完成客户端登录验证后,将包含登录会话信息的主证书发回客户端,完成单点登录服务登录;
步骤六:每新登录一个应用,都需要新生成一对临时非对称密钥对;
步骤七:客户端提交步骤五获得的主证书和所述步骤六所产生的一对临时非对称密钥对中的私钥签名访问单点登录服务器,并提交新登录应用的应用标识和所述步骤一所产生的一对临时非对称密钥对中的公钥;
步骤八:单点登录服务器验证客户端所提交的主证书和所述步骤六所产生的一对临时非对称密钥对中的私钥签名,完成登录验证,并检查用户是否拥有访问客户端提交的应用标识的授权;
步骤九:单点登录服务器从客户端提交的主证书提取户用标识和客户端标识,与客户端提交的应用标识一并转交CA服务器,所述CA服务器收到后,签发有效期与本步骤中的单点登录会话有效期相同的从证书给单点登录服务器;
步骤十:单点登录服务器在完成客户端登录验证和应用授权后,将包含应用登录授权的从证书发回客户端;
步骤十一:客户端获得此从证书后,使用此从证书和所对应的私钥,发起对应用的访问;
步骤十二:客户端提交从证书访问应用后,应用或应用前置网关验证客户端所提交的从证书和所对应的私钥签名,并基于从证书的有效期设置应用会话的有效期,完成应用登录。
在本发明的一个优选实施例中,在所述主证书有效期内每再访问一个新应用时,即再重复步骤六至步骤十二;所述主证书失效或单点登录会话失效时,即从步骤一重新开始。
在本发明的一个优选实施例中,所述主证书包含客户端标识、用户标识和会话标识;所述从证书包含客户端标识、用户信息和应用标识。
在本发明的一个优选实施例中,所述主证书为登录证书,所述从证书为应用证书。
在本发明的一个优选实施例中,所述用户的认证信息包含密码、短信验证码、人脸信息、USBKey签名中的一种或任意两种以上的组合。
在本发明的一个优选实施例中,所述临时非对称密钥对由客户端内的内存或者密码模块来生成。
由于采用了如上的技术方案,本发明使用公私钥和数字证书替代SSO过程中的1张主票据(登录票据)和N张从票据(应用票据),即使被窃取,也由于缺少私钥而无法被冒用。本发明私钥本身可以使用沙盒等技术隔离,或采用安全性更好的密码设备来保证安全性,本发明私钥的保护不在本发明的讨论范围内。本发明解决了单点登录票据被窃取后的冒用问题,极大提高了各类单点登录协议的安全性。
附图说明
图1为本发明利用数字证书增强单点登录安全性的方法步骤二的流程示意图。
图2为本发明利用数字证书增强单点登录安全性的方法步骤四的流程示意图。
图3为本发明利用数字证书增强单点登录安全性的方法步骤五的流程示意图。
图4为本发明利用数字证书增强单点登录安全性的方法步骤七的流程示意图。
图5为本发明利用数字证书增强单点登录安全性的方法步骤九的流程示意图。
图6为本发明利用数字证书增强单点登录安全性的方法步骤十的流程示意图。
图7为本发明利用数字证书增强单点登录安全性的方法步骤十一的流程示意图。
具体实施方式
以下结合附图和具体实施方式来进一步描述本发明。
一种利用数字证书增强单点登录安全性的方法,包括如下步骤:
步骤一:客户端在单点登录前,在客户端中产生一对临时非对称密钥对;
步骤二:参见图1,客户端将客户端标识、用户的认证信息与步骤一所产生的一对临时非对称密钥对中的公钥一并提交到单点登录服务器,并用步骤一所产生的一对临时非对称密钥对中的私钥对所有提交的客户端标识和用户的认证信息进行签名形成登录信息;
步骤三:单点登录服务器对步骤二的登录信息进行验证并获得用户标识,验证成功后抽取登录信息中的步骤一所产生的一对临时非对称密钥对中的公钥对客户端所提交的登录信息验证签名;
步骤四:参见图2,单点登录服务器将抽取步骤一所产生的一对临时非对称密钥对中的公钥与客户端标识、用户标识一并转交CA服务器,所述CA服务器收到后,签发有效期与单点登录会话有效期相同的主证书(登录证书)给单点登录服务器;主证书包含登录会话信息;
步骤五:参见图3,单点登录服务器在完成客户端登录验证后,将包含登录会话信息的主证书(登录证书)发回客户端,完成单点登录服务登录;
步骤六:每新登录一个应用,都需要新生成一对临时非对称密钥对;
步骤七:参见图4,客户端提交步骤五获得的主证书(登录证书)和步骤六所产生的一对临时非对称密钥对中的私钥签名访问单点登录服务器,并提交新登录应用的应用标识和步骤六新生成的公钥;
步骤八:单点登录服务器验证客户端所提交的主证书(登录证书)和步骤六所产生的一对临时非对称密钥对中的私钥签名,完成登录验证,并检查用户是否拥有访问客户端提交的应用标识的授权;
步骤九:参见图5,单点登录服务器从客户端提交的主证书(登录证书)提取户用标识和客户端标识,与客户端提交的应用标识一并转交CA服务器,所述CA服务器收到后,签发有效期与单点登录会话有效期相同的从证书(应用证书)给单点登录服务器;
步骤十:参见图6,单点登录服务器在完成客户端登录验证和应用授权后,将包含应用登录授权的从证书(应用证书)发回客户端;
步骤十一:参见图7,客户端获得此从证书(应用证书)后,使用此从证书(应用证书)和所对应的私钥,发起对应用的访问;
步骤十二:客户端提交从证书(应用证书)访问应用后,应用或应用前置网关验证客户端所提交的从证书(应用证书)和私钥签名,并基于从证书(应用证书)的有效期设置应用会话的有效期,完成应用登录。
在主证书(登录证书)有效期内每再访问一个新应用时,即再重复步骤六至步骤十二。主证书(登录证书)失效或单点登录会话失效时,即从步骤一重新开始。
以上显示和描述了本发明的基本原理和主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。

Claims (6)

1.一种利用数字证书增强单点登录安全性的方法,其特征在于,包括如下步骤:
步骤一:客户端在单点登录前,在客户端中产生一对临时非对称密钥对;
步骤二:客户端将客户端标识、用户的认证信息与步骤一所产生的一对临时非对称密钥对中的公钥一并提交到单点登录服务器,并用步骤一所产生的一对临时非对称密钥对中的私钥对所有提交的客户端标识和用户的认证信息进行签名形成登录信息;
步骤三:单点登录服务器对步骤二的登录信息进行验证并获得用户标识,验证成功后抽取登录信息中的所述步骤一所产生的一对临时非对称密钥对中的公钥对客户端所提交的登录信息验证签名;
步骤四:单点登录服务器将抽取所述步骤一所产生的一对临时非对称密钥对中的公钥与客户端标识、用户标识一并转交CA服务器,所述CA服务器收到后,签发有效期与本步骤中的单点登录会话有效期相同的主证书给单点登录服务器;所述主证书包含登录会话信息;
步骤五:单点登录服务器在完成客户端登录验证后,将包含登录会话信息的主证书发回客户端,完成单点登录服务登录;
步骤六:每新登录一个应用,都需要新生成一对临时非对称密钥对;
步骤七:客户端提交步骤五获得的主证书和所述步骤六所产生的一对临时非对称密钥对中的私钥签名访问单点登录服务器,并提交新登录应用的应用标识和所述步骤一所产生的一对临时非对称密钥对中的公钥;
步骤八:单点登录服务器验证客户端所提交的主证书和所述步骤六所产生的一对临时非对称密钥对中的私钥签名,完成登录验证,并检查用户是否拥有访问客户端提交的应用标识的授权;
步骤九:单点登录服务器从客户端提交的主证书提取户用标识和客户端标识,与客户端提交的应用标识一并转交CA服务器,所述CA服务器收到后,签发有效期与本步骤中的单点登录会话有效期相同的从证书给单点登录服务器;
步骤十:单点登录服务器在完成客户端登录验证和应用授权后,将包含应用登录授权的从证书发回客户端;
步骤十一:客户端获得此从证书后,使用此从证书和所对应的私钥,发起对应用的访问;
步骤十二:客户端提交从证书访问应用后,应用或应用前置网关验证客户端所提交的从证书和所对应的私钥签名,并基于从证书的有效期设置应用会话的有效期,完成应用登录。
2.如权利要求1一种利用数字证书增强单点登录安全性的方法,其特征在于,在所述主证书有效期内每再访问一个新应用时,即再重复步骤六至步骤十二;所述主证书失效或单点登录会话失效时,即从步骤一重新开始。
3.如权利要求1一种利用数字证书增强单点登录安全性的方法,其特征在于,所述主证书包含客户端标识、用户标识和会话标识;所述从证书包含客户端标识、用户信息和应用标识。
4.如权利要求1至3任一项权利要求所述的一种利用数字证书增强单点登录安全性的方法,其特征在于,所述主证书为登录证书,所述从证书为应用证书。
5.如权利要求1一种利用数字证书增强单点登录安全性的方法,其特征在于,所述用户的认证信息包含密码、短信验证码、人脸信息、USBKey签名中的一种或任意两种以上的组合。
6.如权利要求1一种利用数字证书增强单点登录安全性的方法,其特征在于,在本发明的一个优选实施例中,所述临时非对称密钥对由客户端内的内存或者密码模块来生成。
CN202010208157.9A 2020-03-23 2020-03-23 一种利用数字证书增强单点登录安全性的方法 Active CN111447194B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010208157.9A CN111447194B (zh) 2020-03-23 2020-03-23 一种利用数字证书增强单点登录安全性的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010208157.9A CN111447194B (zh) 2020-03-23 2020-03-23 一种利用数字证书增强单点登录安全性的方法

Publications (2)

Publication Number Publication Date
CN111447194A true CN111447194A (zh) 2020-07-24
CN111447194B CN111447194B (zh) 2022-03-29

Family

ID=71653386

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010208157.9A Active CN111447194B (zh) 2020-03-23 2020-03-23 一种利用数字证书增强单点登录安全性的方法

Country Status (1)

Country Link
CN (1) CN111447194B (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020144119A1 (en) * 2001-03-29 2002-10-03 Ibm Corporation Method and system for network single sign-on using a public key certificate and an associated attribute certificate
CN1547343A (zh) * 2003-12-17 2004-11-17 上海市高级人民法院 一种基于数字证书的单点登录方法
CN102111410A (zh) * 2011-01-13 2011-06-29 中国科学院软件研究所 一种基于代理的单点登录方法及***
CN103560888A (zh) * 2013-11-05 2014-02-05 江苏先安科技有限公司 一种基于数字证书实现集成多个应用***统一认证登录的方法
CN107819564A (zh) * 2016-09-10 2018-03-20 湖南移商动力网络技术有限公司 一种基于公开密钥基础设施的单点登录***的设计方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020144119A1 (en) * 2001-03-29 2002-10-03 Ibm Corporation Method and system for network single sign-on using a public key certificate and an associated attribute certificate
CN1547343A (zh) * 2003-12-17 2004-11-17 上海市高级人民法院 一种基于数字证书的单点登录方法
CN102111410A (zh) * 2011-01-13 2011-06-29 中国科学院软件研究所 一种基于代理的单点登录方法及***
CN103560888A (zh) * 2013-11-05 2014-02-05 江苏先安科技有限公司 一种基于数字证书实现集成多个应用***统一认证登录的方法
CN107819564A (zh) * 2016-09-10 2018-03-20 湖南移商动力网络技术有限公司 一种基于公开密钥基础设施的单点登录***的设计方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
张旋: "一种基于证书的单点登录方案设计", 《信息技术》 *

Also Published As

Publication number Publication date
CN111447194B (zh) 2022-03-29

Similar Documents

Publication Publication Date Title
CN1777096B (zh) 用于口令保护的方法和设备
US7793340B2 (en) Cryptographic binding of authentication schemes
CN102017578B (zh) 用于在令牌与验证器之间进行认证的网络助手
US6732270B1 (en) Method to authenticate a network access server to an authentication server
CN108616504B (zh) 一种基于物联网的传感器节点身份认证***及方法
KR20190114434A (ko) 블록체인 기반의 권한 인증 방법, 단말 및 이를 이용한 서버
US10263782B2 (en) Soft-token authentication system
US20090106548A1 (en) Method for controlling secured transactions using a single physical device, corresponding physical device, system and computer program
CN110636051B (zh) 一种基于多用户ca数字证书的区块链交易方法
MX2012011105A (es) Autoridad de certificado.
KR20190114432A (ko) 블록체인 기반의 권한 인증 방법, 단말 및 이를 이용한 서버
KR20190114433A (ko) 블록체인 기반의 권한 인증 방법, 단말 및 이를 이용한 서버
CN107294725A (zh) 一种多服务器环境下的三因素认证方法
KR20210095093A (ko) 탈중앙화 아이디 앱을 이용하여 인증 서비스를 제공하는 방법 및 이를 이용한 탈중앙화 아이디 인증 서버
WO2014069985A1 (en) System and method for identity-based entity authentication for client-server communications
EP2827529B1 (en) Method, device, and system for identity authentication
CN111224784A (zh) 一种基于硬件可信根的角色分离的分布式认证授权方法
CN112383401B (zh) 一种提供身份鉴别服务的用户名生成方法及***
CN113259350A (zh) 一种基于密钥生成算法的密码学用户授权认证***
KR20210095061A (ko) 탈중앙화 아이디 앱을 이용하여 인증 서비스를 제공하는 방법 및 이를 이용한 탈중앙화 아이디 인증 서버
US20090055917A1 (en) Authentication method and authentication system using the same
EP2359525B1 (en) Method for enabling limitation of service access
CN111447194B (zh) 一种利用数字证书增强单点登录安全性的方法
EP3178073B1 (en) Security management system for revoking a token from at least one service provider terminal of a service provider system
CN111723347B (zh) 身份认证方法、装置、电子设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CB03 Change of inventor or designer information

Inventor after: Chen Lei

Inventor after: Zhang Xiaoyu

Inventor after: Gao Dongqi

Inventor after: Zhang Qitao

Inventor after: Zhu Litong

Inventor after: Zhu Feng

Inventor after: Qiu Yuan

Inventor after: Zhao Weiming

Inventor before: Chen Lei

Inventor before: Zhang Xiaoyu

Inventor before: Gao Dongqi

Inventor before: Zhang Qitao

CB03 Change of inventor or designer information