CN112600813B - 一种基于ukey的多应用统一认证方法 - Google Patents
一种基于ukey的多应用统一认证方法 Download PDFInfo
- Publication number
- CN112600813B CN112600813B CN202011421209.7A CN202011421209A CN112600813B CN 112600813 B CN112600813 B CN 112600813B CN 202011421209 A CN202011421209 A CN 202011421209A CN 112600813 B CN112600813 B CN 112600813B
- Authority
- CN
- China
- Prior art keywords
- authentication
- user
- ukey
- application
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开一种基于UKEY的多应用统一认证方法,所述方法包括:通过认证中心接收用户通过登录页面发起的认证请求,调用认证中间件与UKEY进行通信,校验用户的认证请求,校验通过后,通知安全凭证模块生成用户对应的安全凭证;通过应用认证代理接收一个或多个应用***的用户身份认证请求,从安全凭证模块中获取当前用户的安全凭证;利用用户的安全凭证向管理中心下发获取身份信息的请求,获取请求结果并为应用***提供所需的用户身份信息数据。本发明通过管理中心管理应用***和用户信息,用户的授权、安全凭证等等身份信息由应用认证代理负责提供,从而隔离用户认证步骤、减少应用***与认证中心间交互,安全可靠地保障信息***的认证过程。
Description
技术领域
本发明本属于涉密信息***领域,具体涉及一种基于UKEY的多应用统一认证方法。
背景技术
随着互联网行业的技术发展,推动涉密信息***的业务应用功能不断增多,比如调度***、支付***、多媒体平台等等,当用户需要使用多个***时,每次均需要输入账号密码进行验证,给用户带来了很多的不方便。
通常的做法是通过单点登录机制实现用户一次登录应用***后,多个应用***共享会话信息,解决多次登录的问题。如用户访问应用***A时,会跳转到认证中心进行登录,登录完毕后返回给用户一个已认证的安全凭据,用户再次访问应用***B时,将安全凭据传递给B,B将该凭据传递到认证中心进行再次校验,完成应用***间的切换。
现有技术在解决用户重复登录问题的基础上,存在着以下两个方面的局限性:
在网络通信层面上,增加了多个应用***与认证中心的交互过程,间接导致认证服务器的性能问题;
在安全性层面上,用户认证产生的安全凭据参与到应用***间的信息交互,在应用层面上,存在着抓包解密的风险。
发明内容
有鉴于此,本发明提出了一种基于UKEY的多应用统一认证方法,用于解决现有技术中多个应用***与认证中心交互时交互流程过多带来安全性降低的问题。
本发明公开一种基于UKEY的多应用统一认证方法,所述方法包括:
通过认证中心接收用户通过登录页面发起的认证请求,调用认证中间件与UKEY进行通信,校验用户的认证请求,校验通过后,通知安全凭证模块生成用户对应的安全凭证;
通过应用认证代理接收一个或多个应用***的用户身份认证请求,从安全凭证模块中获取当前用户的安全凭证;
利用用户的安全凭证向管理中心下发获取身份信息的请求,获取请求结果并为应用***提供所需的用户身份信息数据。
优选的,所述认证中间件用于搭建认证中心到UKEY的通信通道,所述调用认证中间件与UKEY进行通信,校验用户的认证请求具体包括:
认证中间件监控到UKEY设备***/拔出时,扫描所述UKEY设备,读取本地服务配置表,获取UKEY唯一标识、UKEY生产厂商及其他信息,更新UKEY列表;所述本地服务配置表用于记录UKEY生产厂商、UKEY驱动库路径、UKEY驱动对应的适配库路径之间的映射关系;
认证中间件接收认证中心发送的身份认证请求,根据UKEY唯一标识从UKEY列表中索引UKEY,定位UKEY对应的通信通道,将请求转发至UKEY驱动适配库,若UKEY未认证,通过UKEY设备驱动处理的身份认证请求,将身份认证请求结果返回认证中心,若UKEY已认证,直接通过认证。
优选的,所述安全凭证模块用于生成并记录已通过认证用户的安全凭证,维护各安全凭证的生命周期,当用户的安全凭证生命周期结束时,通知认证中心针对该用户的安全凭证进行移除;所述用户的安全凭证生命周期结束是指用户通过应用***登出或安全凭证超时。
优选的,所述管理中心用于记录并维护用户身份信息与应用***之间的关联关系,并通过管理页面接收应用认证代理发送的获取身份信息的请求,基于用户安全凭证认证结果反馈请求结果。
优选的,所述管理中心具体包括应用管理中心和身份管理中心,应用管理中心和身份管理中心中记录了用户身份信息与应用***之间的关联关系。
优选的,所述通过应用认证代理接收一个或多个应用***的用户身份认证请求,从安全凭证模块中获取当前用户的安全凭证具体包括:
接收应用***的用户身份认证请求,尝试从安全凭证模块中读取当前用户的安全凭证;
如果当前用户的安全凭证已过期,返回失败,通知应用***重定向至登录页面;如果当前用户的安全凭证未过期,获取到对应用户的安全凭证。
优选的,应用认证代理利用对应用户的安全凭证向管理中心发送获取身份信息请求;管理中心通过管理页面向认证中心发送验证安全凭证的请求,收到认证中心反馈的验证通过通知后,管理中心通过管理页面返回用户身份信息数据至应用认证代理,应用认证代理为应用***返回对应的的用户身份信息数据。
本发明相对于现有技术具有以下有益效果:
本发明通过管理中心管理应用***和用户信息,实现了多种应用的统一认证授权管理,能够维护用户登录的生命周期;应用***无需关注***认证的过程,用户的授权、安全凭证等等身份信息由应用认证代理负责提供,从而达到隔离用户认证步骤、减少应用***与认证中心间交互的效果,提高认证服务器的性能同时减少用户认证产生的安全凭据参与到应用***间的信息交互,减少了被抓包风险,安全可靠地保障信息***的认证过程。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明基于UKEY的多应用认证***结构示意图;
图2为本发明基于UKEY的多应用认证方法流程示意图。
具体实施方式
下面将结合本发明实施方式,对本发明实施方式中的技术方案进行清楚、完整地描述,显然,所描述的实施方式仅仅是本发明一部分实施方式,而不是全部的实施方式。基于本发明中的实施方式,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施方式,都属于本发明保护的范围。
请参阅图1,本发明的一种基于UKEY的多应用统一认证***机构示意图,所述***包括:认证中心1、安全凭证模块2、应用认证代理3、管理中心4、认证中间件5;
认证中心1,用于接收用户通过登录页面发起的认证请求,调用认证中间件与UKEY进行通信,校验用户的认证请求,校验通过后,通知安全凭证模块生成用户对应的安全凭证;
安全凭证模块2,用于记录已通过认证用户的安全凭证,维护各安全凭证的生命周期;当用户的安全凭证生命周期结束时,通知认证中心针对该用户的安全凭证进行移除;所述用户的安全凭证生命周期结束是指用户通过应用***登出或安全凭证超时。
应用认证代理3,用于集中处理所有应用***的用户身份认证请求,验证用户的安全凭证,利用用户的安全凭证向管理中心下发获取身份信息的请求,获取请求结果并为应用***提供所需的用户身份信息数据;
凭证获取单元,用于接收应用***的用户身份认证请求,尝试从安全凭证模块中读取当前用户的安全凭证,如果当前用户的安全凭证已过期,返回失败,通知应用***重定向至登录页面;如果当前用户的安全凭证未过期,获取到对应用户的安全凭证;
数据反馈单元,利用对应用户的安全凭证向管理中心下发获取身份信息请求,获取请求结果;所述请求结果为管理中心通过管理页面向认证中心发送验证安全凭证的请求,从认证中心获取的验证结果为通过后为应用***返回的用户身份信息数据。
管理中心4,用于记录并维护用户身份信息与应用***之间的关联关系,通过管理页面接收应用认证代理发送的获取身份信息的请求,基于用户安全凭证认证结果反馈请求结果。所述管理中心具体包括应用管理中心和身份管理中心,应用管理中心和身份管理中心中记录了用户身份信息与应用***之间的关联关系。
认证中间件5,用于搭建认证中心到UKEY的通信通道,作为认证中心与UKEY设备的连接桥梁。所述认证中间件具体包括:调度单元5-1、监控单元5-2、通信组件5-3;
调度单元5-1,用于构建UKEY内存数据结构,构建并维护UKEY列表和服务配置表,记录关于身份权限的认证状态,接收认证中心的接口请求和监控模块的通知,作出相应调度处理;所述调度模块具体包括:
服务配置表子单元,用于定时检查和更新服务配置表,所述服务配置表用于记录UKEY生产厂商、UKEY驱动库路径、UKEY驱动对应的适配库路径之间的映射关系;
UKEY列表子单元,用于接收到监控模块的UKEY设备***/拔出通知时,通过通信组件扫描UKEY,读取服务配置表,获取UKEY唯一标识、UKEY生产厂商及其他信息,更新UKEY列表;
应用交互子单元,用于通过接口的形式与认证中心交互,接收认证中心发送的身份认证请求,根据UKEY唯一标识从UKEY列表中索引UKEY,定位UKEY对应的通信通道,将请求发送至UKEY驱动适配库,若UKEY未认证,获取通过UKEY设备驱动处理的身份认证请求结果,将所述请求结果返回认证中心,若UKEY已认证,直接通过认证。
监控单元5-2,用于监控UKEY设备插拔,有UKEY***或拔出时,通知调度模块;
通信组件5-3,用于集成UKEY设备驱动,形成相应的适配库,实现与UKEY设备的COS***进行对接通信。
请参阅图2,在图1所示***的基础上,本发明提出一种基于UKEY的多应用统一认证方法,所述方法包括:
S1、管理员通过管理页面对管理中心进行应用***和用户身份的相关配置;
S2、用户通过登录页面发起认证请求,认证中心接收用户通过登录页面发起的认证请求,调用认证中间件与UKEY进行通信,校验用户的认证请求,校验通过后,通知安全凭证模块生成用户对应的安全凭证;
认证中间件用于搭建认证中心到UKEY的通信通道,所述调用认证中间件与UKEY进行通信,校验用户的认证请求具体包括:
认证中间件监控到UKEY设备***/拔出时,扫描所述UKEY设备,读取本地服务配置表,获取UKEY唯一标识、UKEY生产厂商及其他信息,更新UKEY列表;所述本地服务配置表用于记录UKEY生产厂商、UKEY驱动库路径、UKEY驱动对应的适配库路径之间的映射关系;
认证中间件接收认证中心发送的身份认证请求,根据UKEY唯一标识从UKEY列表中索引UKEY,定位UKEY对应的通信通道,将请求转发至UKEY驱动适配库,若UKEY未认证,通过UKEY设备驱动处理的身份认证请求,将身份认证请求结果返回认证中心,若UKEY已认证,直接通过认证。具体的,所述安全凭证模块用于生成并记录已通过认证用户的安全凭证,维护各安全凭证的生命周期,当用户的安全凭证生命周期结束时,通知认证中心针对该用户的安全凭证进行移除;所述用户的安全凭证生命周期结束是指用户通过应用***登出或安全凭证超时。
S3、通过应用认证代理接收一个或多个应用***的用户身份认证请求,从安全凭证模块中获取当前用户的安全凭证;
具体的,接收应用***的用户身份认证请求,尝试从安全凭证模块中读取当前用户的安全凭证;如果当前用户的安全凭证已过期,返回失败,通知应用***重定向至登录页面;如果当前用户的安全凭证未过期,获取到对应用户的安全凭证。
S4、利用用户的安全凭证向管理中心下发获取身份信息的请求,获取请求结果并为应用***提供所需的用户身份信息数据。
本发明通过所述管理中心记录并维护用户身份信息与应用***之间的关联关系,管理中心并通过管理页面接收应用认证代理发送的获取身份信息的请求,基于用户安全凭证认证结果向应用认证代理反馈请求结果。具体的,利用对应用户的安全凭证向管理中心发送身份信息请求,获取请求结果;所述管理中心包括应用管理中心和身份管理中心,并记录了用户身份信息与应用***之间的关联关系;所述请求结果为管理中心通过管理页面向认证中心发送验证安全凭证的请求,收到认证中心反馈的验证通过通知后,管理中心通过管理页面为应用***返回的用户身份信息数据。
本发明提供一种基于UKEY的多应用统一认证方法,能够维护用户登录的生命周期,应用***无需关注***认证的过程,用户的授权、安全凭证等身份信息由应用认证代理负责提供,用户的安全凭证不参与不通应用***之间的交互过程,不通应用***的认证互不影响,从而隔离用户认证步骤、减少应用***与认证中心间交互,安全可靠地保障信息***的认证过程。
本发明方法实施例和***实施例是对应的,各个实施例之间可相互参照,方法实施例简述之处,参阅***实施例即可。
以上所述仅为本发明的较佳实施方式而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (6)
1.一种基于UKEY的多应用统一认证方法,其特征在于,所述方法包括:
通过认证中心接收用户通过登录页面发起的认证请求,调用认证中间件与UKEY进行通信,校验用户的认证请求,校验通过后,通知安全凭证模块生成用户对应的安全凭证;
通过应用认证代理接收一个或多个应用***的用户身份认证请求,从安全凭证模块中获取当前用户的安全凭证;
利用用户的安全凭证向管理中心下发获取身份信息的请求,获取请求结果并为应用***提供所需的用户身份信息数据;
所述认证中间件用于搭建认证中心到UKEY的通信通道,所述调用认证中间件与UKEY进行通信,校验用户的认证请求具体包括:
认证中间件监控到UKEY设备***/拔出时,扫描所述UKEY设备,读取本地服务配置表,获取UKEY唯一标识、UKEY生产厂商及其他信息,更新UKEY列表;所述本地服务配置表用于记录UKEY生产厂商、UKEY驱动库路径、UKEY驱动对应的适配库路径之间的映射关系;
认证中间件接收认证中心发送的身份认证请求,根据UKEY唯一标识从UKEY列表中索引UKEY,定位UKEY对应的通信通道,将请求转发至UKEY驱动适配库,若UKEY未认证,通过UKEY设备驱动处理的身份认证请求,将身份认证请求结果返回认证中心,若UKEY已认证,直接通过认证。
2.根据权利要求1所述基于UKEY的多应用统一认证方法,其特征在于,所述安全凭证模块用于生成并记录已通过认证用户的安全凭证,维护各安全凭证的生命周期,当用户的安全凭证生命周期结束时,通知认证中心针对该用户的安全凭证进行移除;所述用户的安全凭证生命周期结束是指用户通过应用***登出或安全凭证超时。
3.根据权利要求1所述基于UKEY的多应用统一认证方法,其特征在于,所述管理中心用于记录并维护用户身份信息与应用***之间的关联关系,并通过管理页面接收应用认证代理发送的获取身份信息的请求,基于用户安全凭证认证结果向应用认证代理反馈请求结果。
4.根据权利要求3所述基于UKEY的多应用统一认证方法,其特征在于,所述管理中心具体包括应用管理中心和身份管理中心,应用管理中心和身份管理中心分别记录了应用***信息结合用户身份信息,以及它们之间的关联关系。
5.根据权利要求3所述基于UKEY的多应用统一认证方法,其特征在于,所述通过应用认证代理接收一个或多个应用***的用户身份认证请求,从安全凭证模块中获取当前用户的安全凭证具体包括:
接收应用***的用户身份认证请求,尝试从安全凭证模块中读取当前用户的安全凭证;
如果当前用户的安全凭证已过期,返回失败,通知应用***重定向至登录页面;如果当前用户的安全凭证未过期,获取到对应用户的安全凭证。
6.根据权利要求5所述基于UKEY的多应用统一认证方法,其特征在于,利用用户的安全凭证向管理中心下发获取身份信息的请求,获取请求结果并为应用***提供所需的用户身份信息数据具体包括:
应用认证代理利用对应用户的安全凭证向管理中心发送获取身份信息请求;管理中心通过管理页面向认证中心发送验证安全凭证的请求,收到认证中心反馈的验证通过通知后,管理中心通过管理页面返回用户身份信息数据至应用认证代理,应用认证代理为应用***返回对应的用户身份信息数据。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011421209.7A CN112600813B (zh) | 2020-12-08 | 2020-12-08 | 一种基于ukey的多应用统一认证方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011421209.7A CN112600813B (zh) | 2020-12-08 | 2020-12-08 | 一种基于ukey的多应用统一认证方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112600813A CN112600813A (zh) | 2021-04-02 |
| CN112600813B true CN112600813B (zh) | 2023-03-28 |
Family
ID=75188760
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011421209.7A Active CN112600813B (zh) | 2020-12-08 | 2020-12-08 | 一种基于ukey的多应用统一认证方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112600813B (zh) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101902327A (zh) * | 2009-06-01 | 2010-12-01 | ***通信集团公司 | 一种实现单点登录的方法、设备及其*** |
| CN105225072A (zh) * | 2015-11-05 | 2016-01-06 | 浪潮(北京)电子信息产业有限公司 | 一种多应用***的访问管理方法及*** |
| CN110493352A (zh) * | 2019-08-30 | 2019-11-22 | 南京联创互联网技术有限公司 | 一种基于web中间件的统一网关服务***及其服务方法 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104506499B (zh) * | 2014-12-11 | 2018-10-30 | 歌尔股份有限公司 | 单点登录应用***的方法及装置 |
| CN104573464A (zh) * | 2014-12-30 | 2015-04-29 | 北京工业大学 | 一种基于usb控制器的办公终端***可重入方法 |
| CN107770139B (zh) * | 2016-08-23 | 2020-05-19 | 北京计算机技术及应用研究所 | 基于第三方usbkey设备的samba身份认证方法 |
| CN107180172A (zh) * | 2017-04-19 | 2017-09-19 | 上海海加网络科技有限公司 | 一种基于USBKey数字证书认证的IPSAN访问控制方法及装置 |
| US10715513B2 (en) * | 2017-06-30 | 2020-07-14 | Microsoft Technology Licensing, Llc | Single sign-on mechanism on a rich client |
| CN111698312B (zh) * | 2020-06-08 | 2022-10-21 | 中国建设银行股份有限公司 | 基于开放平台的业务处理方法、装置、设备和存储介质 |
-
2020
- 2020-12-08 CN CN202011421209.7A patent/CN112600813B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101902327A (zh) * | 2009-06-01 | 2010-12-01 | ***通信集团公司 | 一种实现单点登录的方法、设备及其*** |
| CN105225072A (zh) * | 2015-11-05 | 2016-01-06 | 浪潮(北京)电子信息产业有限公司 | 一种多应用***的访问管理方法及*** |
| CN110493352A (zh) * | 2019-08-30 | 2019-11-22 | 南京联创互联网技术有限公司 | 一种基于web中间件的统一网关服务***及其服务方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112600813A (zh) | 2021-04-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108901022B (zh) | 一种微服务统一鉴权方法及网关 | |
| CN112468481B (zh) | 一种基于CAS的单页和多页web应用身份集成认证方法 | |
| JP4927361B2 (ja) | ネットワーク・アクセスを制御するシステムおよび方法 | |
| CN101647254B (zh) | 用于为终端设备提供服务的方法和*** | |
| CN111355713B (zh) | 一种代理访问方法、装置、代理网关及可读存储介质 | |
| US20060218628A1 (en) | Method and system for enhanced federated single logout | |
| JP4543322B2 (ja) | 仲介サーバ、第2の認証サーバ、これらの動作方法、及び通信システム | |
| CN102201915A (zh) | 一种基于单点登录的终端认证方法和装置 | |
| KR20070083965A (ko) | 멀티미디어 멀티캐스팅 인증 방법 및 시스템 | |
| CN101662496B (zh) | 一种利用点对点技术实现文件共享的***及方法 | |
| JP2018522323A (ja) | 音声通信処理方法及びシステム、電子装置、並びに記憶媒体 | |
| JP2009282561A (ja) | ユーザ認証システム、ユーザ認証方法およびプログラム | |
| EP3851983B1 (en) | Authorization method, auxiliary authorization component, management server and computer readable medium | |
| CN113225351A (zh) | 一种请求处理方法、装置、存储介质及电子设备 | |
| CN104796408A (zh) | 单点直播登录方法及单点直播登录装置 | |
| US20090249461A1 (en) | Business management system | |
| CN115065703A (zh) | 物联网***及其认证与通信方法、相关设备 | |
| CN110247905A (zh) | 基于Token的安全鉴权方式的数据存储备份方法和*** | |
| CN112600813B (zh) | 一种基于ukey的多应用统一认证方法 | |
| CN111245791B (zh) | 一种通过反向代理实现管理和it服务的单点登录方法 | |
| CN116055137A (zh) | 物联网***认证授权适配***、方法、装置及存储介质 | |
| JP6527576B2 (ja) | ローカル情報を取得するための方法、機器、及びシステム | |
| CN112434276A (zh) | 一种基于ukey的自适应身份识别*** | |
| CN104426890B (zh) | 基于b/s架构的网元访问方法和*** | |
| CN113765876B (zh) | 报表处理软件的访问方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |