CN113420282B - 一种跨站点的单点登录方法和装置 - Google Patents

Abstract

本发明公开了一种跨站点的单点登录方法和装置，方法包括：将用户信息从第一站点同步到第二站点，在第二站点解析用户信息以创建或更新与用户信息相对应的用户；在第二站点基于用户信息为用户生成专属证书，并引导用户导入和激活专属证书，其中专属证书中存储有用户信息；通过第一站点从用户接收激活的专属证书和登录凭证请求，并响应于第一站点成功验证专属证书而从第一站点向用户发送单点登录凭证；通过第二站点从用户接收激活的专属证书和单点登录凭证，并响应于第二站点成功验证专属证书和单点登录凭证而通过第二站点生成的用户会话完成单点登录。本发明能够在不改变单点登录凭证的机制下降低单点登录场景被攻击的概率，提升***安全性。

Description

一种跨站点的单点登录方法和装置

技术领域

本发明涉及网络安全领域，更具体地，特别是指一种跨站点的单点登录方法和装置。

背景技术

本发明涉及到基于Session(会话)的单点登录和证书认证领域，通常来说，每个单独的***都会有自己的安全体系和身份认证***。随着局内业务应用***越来越多，对于某一局内用户，在不同的业务应用***中会有多个账户，而且在不同应用***间切换，需要不停的登录注销，比较烦琐。这样的局面不仅给管理上带来了很大的困难，在安全方面也埋下了重大的隐患。因此有了单点登录方案的产生，但是目前市面上所使用的单点登录，在安全方面，现有技术的老项目都是使用的增加Ticket(单点登录凭证)的时效性来维护安全性，这种在别人劫持了Ticket之后，攻击者就可以使用Ticket来登录***，这样就会导致***安全问题。并且对于老项目来说，如果引入新技术来解决单点登录，又会增加改造量。

针对现有技术中单点登录凭证被劫持将造成安全隐患的问题，目前尚无有效的解决方案。

发明内容

有鉴于此，本发明实施例的目的在于提出一种跨站点的单点登录方法和装置，能够在不改变单点登录凭证的机制下降低单点登录场景被攻击的概率，提升***安全性。

基于上述目的，本发明实施例的第一方面提供了一种跨站点的单点登录方法，包括执行以下步骤：

将用户信息从第一站点同步到第二站点，在第二站点解析用户信息以创建或更新与用户信息相对应的用户；

在第二站点基于用户信息为用户生成专属证书，并引导用户导入和激活专属证书，其中专属证书中存储有用户信息；

通过所述第一站点从所述用户接收激活的专属证书和登录凭证请求，并响应于第一站点成功验证专属证书而从第一站点向用户发送单点登录凭证；

通过所述第二站点从所述用户接收激活的专属证书和单点登录凭证，并响应于第二站点成功验证专属证书和单点登录凭证而通过第二站点生成的用户会话完成单点登录。

在一些实施方式中，将用户信息从第一站点同步到第二站点包括以下至少之一：

响应于确定第一站点中的用户信息发生变更，而将发生变更的用户信息通过报文接口实时同步到第二站点；

每间隔第一同步周期，就将第一站点在第一同步周期内的用户信息的变化量通过文件同步到第二站点，并在第二站点根据变化量未被实时同步的部分更新用户信息；

每间隔第二同步周期，就将第一站点的所有用户信息通过文件同步到第二站点，并在第二站点覆盖更新用户信息，其中第二同步周期大于第一同步周期。

在一些实施方式中，引导用户导入和激活专属证书包括：使用户将专属证书导入用户的浏览器的证书管理，并重新启动浏览器以激活专属证书；

通过所述第一站点从所述用户接收激活的专属证书和登录凭证请求包括：由用户使用浏览器将登录凭证请求发送到第一站点；

通过所述第二站点从所述用户接收激活的专属证书和单点登录凭证包括：由用户使用浏览器将单点登录凭证发送到第二站点。

在一些实施方式中，第一站点或第二站点成功验证专属证书包括验证以下至少之一：专属证书是否存在、用户的身份和专属证书中携带的用户信息是否匹配、用户的身份在***中是否合法、专属证书中携带的用户信息的正确性。

在一些实施方式中，第二站点成功验证专属证书和单点登录凭证包括：第二站点先验证专属证书，并响应于专属证书验证成功而进一步地验证单点登录凭证；响应于专属证书验证失败而直接停止验证。

在一些实施方式中，还包括：第二站点还基于用户信息发生变化而为用户更新专属证书；在用户导入和激活专属证书后，还重新导入和激活更新过的专属证书。

在一些实施方式中，单点登录凭证中具有经加密存储的用户的登录信息，登录信息包括用户名、账号、密码。

在一些实施方式中，单点登录凭证具有有效寿命；第二站点成功验证单点登录凭证包括：第二站点解密单点登录凭证，确认单点登录凭证中存储的登录信息正确，并且确认单点登录凭证在被验证期间处于其有效寿命之内。

在一些实施方式中，还包括：响应于用户确定单点登录凭证的有效寿命耗尽，而重新将激活的专属证书和登录凭证请求发送到第一站点，以获取具有有效寿命的单点登录凭证。

本发明实施例的第二方面提供了一种装置，包括：

处理器；

控制器，存储有处理器可运行的程序代码，处理器在运行程序代码时执行以下步骤：

将用户信息从第一站点同步到第二站点，在第二站点解析用户信息以创建或更新与用户信息相对应的用户；

在第二站点基于用户信息为用户生成专属证书，并引导用户导入和激活专属证书，其中专属证书中存储有用户信息；

通过所述第一站点从所述用户接收激活的专属证书和登录凭证请求，并响应于第一站点成功验证专属证书而从第一站点向用户发送单点登录凭证；

通过所述第二站点从所述用户接收激活的专属证书和单点登录凭证，并响应于第二站点成功验证专属证书和单点登录凭证而通过第二站点生成的用户会话完成单点登录。

在一些实施方式中，将用户信息从第一站点同步到第二站点包括以下至少之一：

响应于确定第一站点中的用户信息发生变更，而将发生变更的用户信息通过报文接口实时同步到第二站点；

每间隔第一同步周期，就将第一站点在第一同步周期内的用户信息的变化量通过文件同步到第二站点，并在第二站点根据变化量未被实时同步的部分更新用户信息；

每间隔第二同步周期，就将第一站点的所有用户信息通过文件同步到第二站点，并在第二站点覆盖更新用户信息，其中第二同步周期大于第一同步周期。

在一些实施方式中，引导用户导入和激活专属证书包括：使用户将专属证书导入用户的浏览器的证书管理，并重新启动浏览器以激活专属证书；

通过所述第一站点从所述用户接收激活的专属证书和登录凭证请求包括：由用户使用浏览器将登录凭证请求发送到第一站点；

通过所述第二站点从所述用户接收激活的专属证书和单点登录凭证包括：由用户使用浏览器将单点登录凭证发送到第二站点。

在一些实施方式中，第一站点或第二站点成功验证专属证书包括验证以下至少之一：专属证书是否存在、用户的身份和专属证书中携带的用户信息是否匹配、用户的身份在***中是否合法、专属证书中携带的用户信息的正确性。

在一些实施方式中，第二站点成功验证专属证书和单点登录凭证包括：第二站点先验证专属证书，并响应于专属证书验证成功而进一步地验证单点登录凭证；响应于专属证书验证失败而直接停止验证。

在一些实施方式中，步骤还包括：第二站点还基于用户信息发生变化而为用户更新专属证书；在用户导入和激活专属证书后，还重新导入和激活更新过的专属证书。

在一些实施方式中，单点登录凭证中具有经加密存储的用户的登录信息，登录信息包括用户名、账号、密码。

在一些实施方式中，单点登录凭证具有有效寿命；第二站点成功验证单点登录凭证包括：第二站点解密单点登录凭证，确认单点登录凭证中存储的登录信息正确，并且确认单点登录凭证在被验证期间处于其有效寿命之内。

在一些实施方式中，步骤还包括：响应于用户确定单点登录凭证的有效寿命耗尽，而重新将激活的专属证书和登录凭证请求发送到第一站点，以获取具有有效寿命的单点登录凭证。

本发明具有以下有益技术效果：本发明实施例提供的跨站点的单点登录方法和装置，通过将用户信息从第一站点同步到第二站点，在第二站点解析用户信息以创建或更新与用户信息相对应的用户；在第二站点基于用户信息为用户生成专属证书，并引导用户导入和激活专属证书，其中专属证书中存储有用户信息；通过所述第一站点从所述用户接收激活的专属证书和登录凭证请求，并响应于第一站点成功验证专属证书而从第一站点向用户发送单点登录凭证；通过所述第二站点从所述用户接收激活的专属证书和单点登录凭证，并响应于第二站点成功验证专属证书和单点登录凭证而通过第二站点生成的用户会话完成单点登录的技术方案，能够在不改变单点登录凭证的机制下降低单点登录场景被攻击的概率，提升***安全性。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明提供的跨站点的单点登录方法的流程示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚明白，以下结合具体实施例，并参照附图，对本发明实施例进一步详细说明。

需要说明的是，本发明实施例中所有使用“第一”和“第二”的表述均是为了区分两个相同名称非相同的实体或者非相同的参量，可见“第一”“第二”仅为了表述的方便，不应理解为对本发明实施例的限定，后续实施例对此不再一一说明。

基于上述目的，本发明实施例的第一个方面，提出了一种在不改变单点登录凭证的机制下降低单点登录场景被攻击的概率，提升***安全性的跨站点的单点登录方法的一个实施例。图1示出的是本发明提供的跨站点的单点登录方法的流程示意图。

所述的跨站点的单点登录方法，如图1所示，包括执行以下步骤：

步骤S101，将用户信息从第一站点同步到第二站点，在第二站点解析用户信息以创建或更新与用户信息相对应的用户；

步骤S103，在第二站点基于用户信息为用户生成专属证书，并引导用户导入和激活专属证书，其中专属证书中存储有用户信息；

步骤S105，通过所述第一站点从所述用户接收激活的专属证书和登录凭证请求，并响应于第一站点成功验证专属证书而从第一站点向用户发送单点登录凭证；

步骤S107，通过所述第二站点从所述用户接收激活的专属证书和单点登录凭证，并响应于第二站点成功验证专属证书和单点登录凭证而通过第二站点生成的用户会话完成单点登录。

本发明提出一种基于Session会话机制的单点登录和证书认证并行方案。该技术分为基于Session会话机制的单点登录方案和证书认证方案。基于Session会话机制的单点登录和和证书认证并行方案，主要包含用户信息同步、Ticket生成、证书下载、证书验证、Ticket校验和用户Session会话信息获取封装。首先第三方***需要将可进行单点登录的用户信息同步给本***，本***会保存同步过来的用户信息，并创建改用户，然后本***会为每个用户生成专属证书，提供下载路径给需要单点登录的用户，用户需要将证书导入到浏览器的证书管理中，并且重启浏览器让证书生效。然后第三方***用户在进行Ticket获取的操作时，会携带提供给用户并且已导入浏览器的本地证书校验，如果没有证书是不能进行Ticket获取的，若证书校验成功，才可以正常的获取Ticket。用户获取完Ticket之后，就可以携带获取到的Ticket和本地证书去进行单点登录，在进行单点登录时，首先会进行证书校验，证书校验失败的是不能进行Ticket校验的，证书校验成功的，就会进行下一步的Ticket校验。Ticket校验成功之后，就会获取该用户的用户信息，生成Session，并且存入Session中，然后重定向地址到本***中，至此完成了单点登录。单点登录和证书验证并行的方案极大的加强了***的安全性，降低了单点登录场景被攻击的概率。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，可以通过计算机程序来指令相关硬件来完成，所述的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体(ROM) 或随机存储记忆体(RAM)等。所述计算机程序的实施例，可以达到与之对应的前述任意方法实施例相同或者相类似的效果。

在一些实施方式中，将用户信息从第一站点同步到第二站点包括以下至少之一：

响应于确定第一站点中的用户信息发生变更，而将发生变更的用户信息通过报文接口实时同步到第二站点；

每间隔第一同步周期，就将第一站点在第一同步周期内的用户信息的变化量通过文件同步到第二站点，并在第二站点根据变化量未被实时同步的部分更新用户信息；

每间隔第二同步周期，就将第一站点的所有用户信息通过文件同步到第二站点，并在第二站点覆盖更新用户信息，其中第二同步周期大于第一同步周期。

在一些实施方式中，引导用户导入和激活专属证书包括：使用户将专属证书导入用户的浏览器的证书管理，并重新启动浏览器以激活专属证书；

通过所述第一站点从所述用户接收激活的专属证书和登录凭证请求包括：由用户使用浏览器将登录凭证请求发送到第一站点；

通过所述第二站点从所述用户接收激活的专属证书和单点登录凭证包括：由用户使用浏览器将单点登录凭证发送到第二站点。

在一些实施方式中，第一站点或第二站点成功验证专属证书包括验证以下至少之一：专属证书是否存在、用户的身份和专属证书中携带的用户信息是否匹配、用户的身份在***中是否合法、专属证书中携带的用户信息的正确性。

在一些实施方式中，第二站点成功验证专属证书和单点登录凭证包括：第二站点先验证专属证书，并响应于专属证书验证成功而进一步地验证单点登录凭证；响应于专属证书验证失败而直接停止验证。

结合这里的公开所描述的各种示例性逻辑块、模块、电路和算法步骤可以被实现为电子硬件、计算机软件或两者的组合。为了清楚地说明硬件和软件的这种可互换性，已经就各种示意性组件、方块、模块、电路和步骤的功能对其进行了一般性的描述。这种功能是被实现为软件还是被实现为硬件取决于具体应用以及施加给整个***的设计约束。本领域技术人员可以针对每种具体应用以各种方式来实现所述的功能，但是这种实现决定不应被解释为导致脱离本发明实施例公开的范围。

在一些实施方式中，方法还包括：第二站点还基于用户信息发生变化而为用户更新专属证书；在用户导入和激活专属证书后，还重新导入和激活更新过的专属证书。

在一些实施方式中，单点登录凭证中具有经加密存储的用户的登录信息，登录信息包括用户名、账号、密码。

在一些实施方式中，单点登录凭证具有有效寿命；第二站点成功验证单点登录凭证包括：第二站点解密单点登录凭证，确认单点登录凭证中存储的登录信息正确，并且确认单点登录凭证在被验证期间处于其有效寿命之内。

在一些实施方式中，方法还包括：响应于用户确定单点登录凭证的有效寿命耗尽，而重新将激活的专属证书和登录凭证请求发送到第一站点，以获取具有有效寿命的单点登录凭证。

本文所述的计算机可读存储介质(例如，存储器)可以是易失性存储器或非易失性存储器，或者可以包括易失性存储器和非易失性存储器两者。作为例子而非限制性的，非易失性存储器可以包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦写可编程ROM (EEPROM)或快闪存储器。易失性存储器可以包括随机存取存储器(RAM)，该RAM可以充当外部高速缓存存储器。作为例子而非限制性的，RAM可以以多种形式获得，比如同步RAM(DRAM)、动态RAM(DRAM)、同步 DRAM(SDRAM)、双数据速率SDRAM(DDR SDRAM)、增强SDRAM (ESDRAM)、同步链路DRAM(SLDRAM)、以及直接Rambus RAM(DRRAM)。所公开的方面的存储设备意在包括但不限于这些和其它合适类型的存储器。

下面根据具体实施例进一步阐述本发明的具体实施方式。本发明实施例可分用户信息同步、Ticket获取、证书校验、Ticket校验、证书管理和 Session生成6个方面来阐述。

用户信息同步主要采用接口对接方式，获取第三方***提供的需要进行单点登录的用户信息，存入本***数据库中。现有的基于Session的单点登录方案，一般都是根据Ticket的时效性保证安全，Ticket的生命周期一般设置为一分钟，下次在进行单点登录就要重新获取Ticket，这种方案虽然可以避免大概率的安全攻击，但是还是存在很大的漏洞，因此考虑采用给每位用户颁发证书，让用户将证书导入浏览器中，在进行单点登录的时候携带证书去校验，所以Ticket获取以及Ticket校验都是和证书校验并行进行，在进行获取Ticket和Ticket校验的时候会先校验本地证书，如果本地证书不存在就不会进入Ticket获取和Ticket校验，避免了Ticket获取服务被外部恶意攻击，也同样避免了Ticket被劫持后，攻击者利用Ticket登录进本***。通过这种方式可以极大的增加跨站式单点登录的安全性。若校验失败就会单点登录失败，Ticket和证书校验成功之后就会生成Session，并将用户的信息以及正常登录Session中应该存储的信息获取出来，保存到 Session中，然后重定向到本***的首页，至此就完成了单点登录。

基于Session单点登录和证书认证并行的跨站式登录优化方案，主要优化就是在Ticket校验和Ticket获取的时候增加个人专属证书校验，防止 Ticket劫持攻击和Ticket获取服务被攻击的产生。通过以上优化方案，无论从研发角度和用户使用角度都增强了软件的安全性，保障了用户个人财产安全，极大的保障了基于Session会话机制的跨站式单点登录的安全性。为用户提供更好的保障。

具体来说，用户同步服务包含用户实时同步、日增量同步和月全量同步，在三重保障下，保障用户会被同步到本***中，此部分包含本***用户同步给第三方和第三方***用户同步给本***，同步可以是双向的，同步完成之后，如果该用户在***中不存在，就会为该用户在本***中创建一个新的用户。第三方***同步用户信息给本***，包含实时同步、日增量文件同步和月全量文件同步，本***解析用户信息，存入数据库，为此用户在本***中生成可操作用户。对于用户实时同步会采用报文接口的方式，在用户进行新增、删除、修改的时候，触发同步操作，同步用户信息到本***。对于用户的日增量同步，会把今日进行新增、修改和删除的用户信息同步到本***，本***会对判断这些信息是否已经实时同步，如果没有就会把用户信息 同步修改。对于月全量同步，是将所有需要进行单点登录的用户信息，同步给本***，采用文件同步方式，本***解析文件，覆盖本地保存的第三方需要进行单点登录的用户信息。通过这三种方式，可以极强的保障用户信息的正确性。

证书管理服务会根据用户的信息，生成此用户的专属证书，提供用户下载，用户下载完成之后需要导入到浏览器本地，在进行Ticket获取和验证的时候会携带证书一起加入校验。用户可以通过该服务，新增、更新、删除和下载自己的证书，如果证书更新完毕之后需要重新导入到浏览器中。用户的证书包含有此用户的信息，用户证书的校验就是对是否存在证书，以及证书信息是否和要进行单点登录的用户匹配。

通过证书管理服务，给用户生成包含用户信息的专属证书，例如包含用户名、来源***、账号、密码、手机号等，用户如果修改了用户信息也可以重新生成证书，提供用户获取证书的入口，用户在同步完成信息之后就会去获取证书，不然无法通过证书验证，用户获取到证书之后，导入到本地浏览器之中，然后重启浏览器让证书生效。

证书校验服务会对请求中所携带的证书进行校验，主要包含对证书是否存在进行校验、对单点登录用户和证书携带信息中的用户进行匹配校验、对证书携带的用户是否在***中存在进行校验和对用户信息的正确性进行校验。加入证书校验服务之后，单点登录的安全性得到了极大的保障。

Ticket获取服务就是为了获取单点登录的凭证，此凭证包含用户的用户名、账号、密码以及其他的必须信息，通过加密之后提供给第三方***，当然在此也会给Ticket加上时效性，比如限时一分钟时效。在一分钟过后此Ticket就不可以被使用。Ticket会被存入***数据库中，待验证的时候使用。

第三方***携带用户信息，比如用户名账号等，进行Ticket获取。在请求服务的过程中，会携带上用户的专属证书，若未携带证书，结束请求服务，告知错误。若存在证书，就会获取证书中的信息，判断是否未此用户的专属证书，如果是通过验证；如果不是，告知错误，让使用正确的用户重新获取，或者让用户去更新证书，重新下载导入。证书校验通过之后会获取用户的信息加密之后生成Ticket，返回给第三方***。

Ticket校验服务会识别第三方***登录所携带的Ticket并判断是否有效，若Ticket是有效的，就会通过密钥将Ticket解密，获取封装的用户信息。对于获取到的用户信息，***会进行校验，判断在本***中是否存在，如果存在就会根据这些用户信息去获取用户正常登录的时候所必须的信息，生成Session并且存入Session中，然后重定向浏览器到***首页，***判断到此用户已经存在可用Session之后就会直接跳过登录操作进入首页服务。

此外，根据本发明实施例公开的方法还可以被实现为由CPU执行的计算机程序，该计算机程序可以存储在计算机可读存储介质中。在该计算机程序被CPU执行时，执行本发明实施例公开的方法中限定的上述功能。上述方法步骤以及***单元也可以利用控制器以及用于存储使得控制器实现上述步骤或单元功能的计算机程序的计算机可读存储介质实现。

从上述实施例可以看出，本发明实施例提供的跨站点的单点登录方法，将用户信息从第一站点同步到第二站点，在第二站点解析用户信息以创建或更新与用户信息相对应的用户；在第二站点基于用户信息为用户生成专属证书，并引导用户导入和激活专属证书，其中专属证书中存储有用户信息；通过所述第一站点从所述用户接收激活的专属证书和登录凭证请求，并响应于第一站点成功验证专属证书而从第一站点向用户发送单点登录凭证；通过所述第二站点从所述用户接收激活的专属证书和单点登录凭证，并响应于第二站点成功验证专属证书和单点登录凭证而通过第二站点生成的用户会话完成单点登录的技术方案，能够在不改变单点登录凭证的机制下降低单点登录场景被攻击的概率，提升***安全性。

需要特别指出的是，上述跨站点的单点登录方法的各个实施例中的各个步骤均可以相互交叉、替换、增加、删减，因此，这些合理的排列组合变换之于跨站点的单点登录方法也应当属于本发明的保护范围，并且不应将本发明的保护范围局限在所述实施例之上。

基于上述目的，本发明实施例的第二个方面，提出了一种在不改变单点登录凭证的机制下降低单点登录场景被攻击的概率，提升***安全性的跨站点的单点登录装置的一个实施例。装置包括：

处理器；

控制器，存储有处理器可运行的程序代码，处理器在运行程序代码时执行以下步骤：

将用户信息从第一站点同步到第二站点，在第二站点解析用户信息以创建或更新与用户信息相对应的用户；

在第二站点基于用户信息为用户生成专属证书，并引导用户导入和激活专属证书，其中专属证书中存储有用户信息；

通过所述第一站点从所述用户接收激活的专属证书和登录凭证请求，并响应于第一站点成功验证专属证书而从第一站点向用户发送单点登录凭证；

通过所述第二站点从所述用户接收激活的专属证书和单点登录凭证，并响应于第二站点成功验证专属证书和单点登录凭证而通过第二站点生成的用户会话完成单点登录。

结合这里的公开所描述的方法或算法的步骤可以直接包含在硬件中、由处理器执行的软件模块中或这两者的组合中。软件模块可以驻留在RAM 存储器、快闪存储器、ROM存储器、EPROM存储器、EEPROM存储器、寄存器、硬盘、可移动盘、CD-ROM、或本领域已知的任何其它形式的存储介质中。示例性的存储介质被耦合到处理器，使得处理器能够从该存储介质中读取信息或向该存储介质写入信息。在一个替换方案中，所述存储介质可以与处理器集成在一起。处理器和存储介质可以驻留在ASIC中。ASIC可以驻留在用户终端中。在一个替换方案中，处理器和存储介质可以作为分立组件驻留在用户终端中。

在一些实施方式中，将用户信息从第一站点同步到第二站点包括以下至少之一：

响应于确定第一站点中的用户信息发生变更，而将发生变更的用户信息通过报文接口实时同步到第二站点；

每间隔第一同步周期，就将第一站点在第一同步周期内的用户信息的变化量通过文件同步到第二站点，并在第二站点根据变化量未被实时同步的部分更新用户信息；

每间隔第二同步周期，就将第一站点的所有用户信息通过文件同步到第二站点，并在第二站点覆盖更新用户信息，其中第二同步周期大于第一同步周期。

在一些实施方式中，引导用户导入和激活专属证书包括：使用户将专属证书导入用户的浏览器的证书管理，并重新启动浏览器以激活专属证书；

通过所述第一站点从所述用户接收激活的专属证书和登录凭证请求包括：由用户使用浏览器将登录凭证请求发送到第一站点；

通过所述第二站点从所述用户接收激活的专属证书和单点登录凭证包括：由用户使用浏览器将单点登录凭证发送到第二站点。

在一些实施方式中，第一站点或第二站点成功验证专属证书包括验证以下至少之一：专属证书是否存在、用户的身份和专属证书中携带的用户信息是否匹配、用户的身份在***中是否合法、专属证书中携带的用户信息的正确性。

在一些实施方式中，第二站点成功验证专属证书和单点登录凭证包括：第二站点先验证专属证书，并响应于专属证书验证成功而进一步地验证单点登录凭证；响应于专属证书验证失败而直接停止验证。

在一个或多个示例性设计中，所述功能可以在硬件、软件、固件或其任意组合中实现。如果在软件中实现，则可以将所述功能作为一个或多个指令或代码存储在计算机可读介质上或通过计算机可读介质来传送。计算机可读介质包括计算机存储介质和通信介质，该通信介质包括有助于将计算机程序从一个位置传送到另一个位置的任何介质。存储介质可以是能够被通用或专用计算机访问的任何可用介质。作为例子而非限制性的，该计算机可读介质可以包括RAM、ROM、EEPROM、CD-ROM或其它光盘存储设备、磁盘存储设备或其它磁性存储设备，或者是可以用于携带或存储形式为指令或数据结构的所需程序代码并且能够被通用或专用计算机或者通用或专用处理器访问的任何其它介质。此外，任何连接都可以适当地称为计算机可读介质。例如，如果使用同轴线缆、光纤线缆、双绞线、数字用户线路(DSL)或诸如红外线、无线电和微波的无线技术来从网站、服务器或其它远程源发送软件，则上述同轴线缆、光纤线缆、双绞线、DSL或诸如红外线、无线电和微波的无线技术均包括在介质的定义。如这里所使用的，磁盘和光盘包括压缩盘(CD)、激光盘、光盘、数字多功能盘(DVD)、软盘、蓝光盘，其中磁盘通常磁性地再现数据，而光盘利用激光光学地再现数据。上述内容的组合也应当包括在计算机可读介质的范围内。

在一些实施方式中，步骤还包括：第二站点还基于用户信息发生变化而为用户更新专属证书；在用户导入和激活专属证书后，还重新导入和激活更新过的专属证书。

在一些实施方式中，单点登录凭证中具有经加密存储的用户的登录信息，登录信息包括用户名、账号、密码。

在一些实施方式中，单点登录凭证具有有效寿命；第二站点成功验证单点登录凭证包括：第二站点解密单点登录凭证，确认单点登录凭证中存储的登录信息正确，并且确认单点登录凭证在被验证期间处于其有效寿命之内。

在一些实施方式中，步骤还包括：响应于用户确定单点登录凭证的有效寿命耗尽，而重新将激活的专属证书和登录凭证请求发送到第一站点，以获取具有有效寿命的单点登录凭证。

本发明例公开所述的装置、设备等可为各种电子终端设备，例如手机、个人数字助理(PDA)、平板电脑(PAD)、智能电视等，也可以是大型终端设备，如服务器等，因此本发明实施例公开的保护范围不应限定为某种特定类型的装置、设备。本发明实施例公开所述的客户端可以是以电子硬件、计算机软件或两者的组合形式应用于上述任意一种电子终端设备中。

从上述实施例可以看出，本发明实施例提供的跨站点的单点登录装置，将用户信息从第一站点同步到第二站点，在第二站点解析用户信息以创建或更新与用户信息相对应的用户；在第二站点基于用户信息为用户生成专属证书，并引导用户导入和激活专属证书，其中专属证书中存储有用户信息；通过所述第一站点从所述用户接收激活的专属证书和登录凭证请求，并响应于第一站点成功验证专属证书而从第一站点向用户发送单点登录凭证；通过所述第二站点从所述用户接收激活的专属证书和单点登录凭证，并响应于第二站点成功验证专属证书和单点登录凭证而通过第二站点生成的用户会话完成单点登录的技术方案，能够在不改变单点登录凭证的机制下降低单点登录场景被攻击的概率，提升***安全性。

需要特别指出的是，上述装置的实施例采用了所述跨站点的单点登录方法的实施例来具体说明各模块的工作过程，本领域技术人员能够很容易想到，将这些模块应用到所述跨站点的单点登录方法的其他实施例中。当然，由于所述跨站点的单点登录方法实施例中的各个步骤均可以相互交叉、替换、增加、删减，因此，这些合理的排列组合变换之于所述装置也应当属于本发明的保护范围，并且不应将本发明的保护范围局限在所述实施例之上。

最后需要说明的是，本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，可以通过计算机程序来指令相关硬件来完成，所述的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体(ROM)或随机存储记忆体(RAM)等。所述计算机程序的实施例，可以达到与之对应的前述任意方法实施例相同或者相类似的效果。

以上是本发明公开的示例性实施例，但是应当注意，在不背离权利要求限定的本发明实施例公开的范围的前提下，可以进行多种改变和修改。根据这里描述的公开实施例的方法权利要求的功能、步骤和/或动作不需以任何特定顺序执行。此外，尽管本发明实施例公开的元素可以以个体形式描述或要求，但除非明确限制为单数，也可以理解为多个。

所属领域的普通技术人员应当理解：以上任何实施例的讨论仅为示例性的，并非旨在暗示本发明实施例公开的范围(包括权利要求)被限于这些例子；在本发明实施例的思路下，以上实施例或者不同实施例中的技术特征之间也可以进行组合，并存在如上所述的本发明实施例的不同方面的许多其它变化，为了简明它们没有在细节中提供。因此，凡在本发明实施例的精神和原则之内，所做的任何省略、修改、等同替换、改进等，均应包含在本发明实施例的保护范围之内。

Claims (10)

1.一种跨站点的单点登录方法，其特征在于，包括执行以下步骤：

将用户信息从第一站点同步到第二站点，在所述第二站点解析所述用户信息以创建或更新与所述用户信息相对应的用户；

在所述第二站点基于所述用户信息为所述用户生成专属证书，并引导所述用户导入和激活所述专属证书，其中所述专属证书中存储有所述用户信息；

通过所述第一站点从所述用户接收激活的所述专属证书和登录凭证请求，并响应于所述第一站点成功验证所述专属证书而从所述第一站点向所述用户发送单点登录凭证；

通过所述第二站点从所述用户接收激活的所述专属证书和所述单点登录凭证，并响应于所述第二站点成功验证所述专属证书和所述单点登录凭证而通过所述第二站点生成的用户会话完成单点登录。

2.根据权利要求1所述的方法，其特征在于，将用户信息从第一站点同步到第二站点包括以下至少之一：

响应于确定所述第一站点中的所述用户信息发生变更，而将发生变更的所述用户信息通过报文接口实时同步到所述第二站点；

每间隔第一同步周期，就将所述第一站点在所述第一同步周期内的所述用户信息的变化量通过文件同步到所述第二站点，并在所述第二站点根据所述变化量未被实时同步的部分更新所述用户信息；

每间隔第二同步周期，就将所述第一站点的所有所述用户信息通过文件同步到所述第二站点，并在所述第二站点覆盖更新所述用户信息，其中所述第二同步周期大于所述第一同步周期。

3.根据权利要求1所述的方法，其特征在于，引导所述用户导入和激活所述专属证书包括：使所述用户将所述专属证书导入所述用户的浏览器的证书管理，并重新启动所述浏览器以激活所述专属证书；

通过所述第一站点从所述用户接收激活的所述专属证书和登录凭证请求包括：由所述用户使用所述浏览器将所述登录凭证请求发送到所述第一站点；

通过所述第二站点从所述用户接收激活的所述专属证书和所述单点登录凭证包括：由所述用户使用所述浏览器将所述单点登录凭证发送到所述第二站点。

4.根据权利要求1所述的方法，其特征在于，所述第一站点或所述第二站点成功验证所述专属证书包括验证以下至少之一：所述专属证书是否存在、所述用户的身份和所述专属证书中携带的所述用户信息是否匹配、所述用户的身份在***中是否合法、所述专属证书中携带的所述用户信息的正确性。

5.根据权利要求4所述的方法，其特征在于，所述第二站点成功验证所述专属证书和所述单点登录凭证包括：所述第二站点先验证所述专属证书，并响应于所述专属证书验证成功而进一步地验证所述单点登录凭证；响应于所述专属证书验证失败而直接停止验证。

6.根据权利要求1所述的方法，其特征在于，还包括：所述第二站点还基于所述用户信息发生变化而为所述用户更新所述专属证书；在所述用户导入和激活所述专属证书后，还重新导入和激活更新过的所述专属证书。

7.根据权利要求1所述的方法，其特征在于，所述单点登录凭证中具有经加密存储的所述用户的登录信息，所述登录信息包括用户名、账号、密码。

8.根据权利要求7所述的方法，其特征在于，所述单点登录凭证具有有效寿命；所述第二站点成功验证所述单点登录凭证包括：所述第二站点解密所述单点登录凭证，确认所述单点登录凭证中存储的所述登录信息正确，并且确认所述单点登录凭证在被验证期间处于其有效寿命之内。

9.根据权利要求8所述的方法，其特征在于，还包括：响应于所述用户确定所述单点登录凭证的有效寿命耗尽，而重新将激活的所述专属证书和登录凭证请求发送到所述第一站点，以获取具有有效寿命的所述单点登录凭证。

10.一种跨站点的单点登录装置，其特征在于，包括：

处理器；

控制器，存储有所述处理器可运行的程序代码，所述处理器在运行所述程序代码时执行以下步骤：

将用户信息从第一站点同步到第二站点，在所述第二站点解析所述用户信息以创建或更新与所述用户信息相对应的用户；

在所述第二站点基于所述用户信息为所述用户生成专属证书，并引导所述用户导入和激活所述专属证书，其中所述专属证书中存储有所述用户信息；

通过所述第一站点从所述用户接收激活的所述专属证书和登录凭证请求，并响应于所述第一站点成功验证所述专属证书而从所述第一站点向所述用户发送单点登录凭证；

通过所述第二站点从所述用户接收激活的所述专属证书和所述单点登录凭证，并响应于所述第二站点成功验证所述专属证书和所述单点登录凭证而通过所述第二站点生成的用户会话完成单点登录。

Images