CN1588853A - 一种基于网络的统一认证方法及*** - Google Patents
一种基于网络的统一认证方法及*** Download PDFInfo
- Publication number
- CN1588853A CN1588853A CN 200410070910 CN200410070910A CN1588853A CN 1588853 A CN1588853 A CN 1588853A CN 200410070910 CN200410070910 CN 200410070910 CN 200410070910 A CN200410070910 A CN 200410070910A CN 1588853 A CN1588853 A CN 1588853A
- Authority
- CN
- China
- Prior art keywords
- network
- login
- certificate server
- string
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 31
- 238000012545 processing Methods 0.000 claims description 19
- 238000004891 communication Methods 0.000 claims description 8
- 238000012217 deletion Methods 0.000 claims description 7
- 230000037430 deletion Effects 0.000 claims description 7
- 238000007689 inspection Methods 0.000 claims description 5
- 238000007726 management method Methods 0.000 description 22
- 238000005516 engineering process Methods 0.000 description 6
- 238000012423 maintenance Methods 0.000 description 6
- 238000012795 verification Methods 0.000 description 6
- 238000010586 diagram Methods 0.000 description 4
- 230000008676 import Effects 0.000 description 3
- 230000008859 change Effects 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 210000000056 organ Anatomy 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 description 1
Images
Landscapes
- Computer And Data Communications (AREA)
Abstract
本发明提供一种基于网络的统一认证方法及***,涉及网络通信技术。通过网络把认证服务器、用户终端、业务子***相联接,用户在认证服务器上仅进行身份的认证,并通过认证服务器重新定向到用户所选择的业务子***,在目标业务子***进行权限检查,通过提供一种认证方法及***,使所有的柜员进行统一的认证,方便快捷的进行安全管理,并且可以方便的进行整个安全认证***的升级而不需要为每一个子***升级,在认证服务器上只做身份验证而不做权限检查,这一点也避免了复杂而庞大的权限整合,实现了整个***的低耦合。
Description
技术领域
本发明涉及网络通信技术,其特别涉及网络中的认证,具体的讲是一种基于网络的统一认证方法及***。
背景技术
在计算机技术和网络通信技术迅猛发展的今天,各政府机构、企事业单位或者其它具有分支机构的组织大都建立了内部的通信网络,为其内部各部门之间的通信提供了保障。即便是没有建立内部网络的单位,借助互联网也可以实现其内部各部门之间的通信。
然而,无论是基于内部网络的内部通信,还是利用互联网络的内部通信,均面临着***安全、***维护等问题的困扰。因为,对于一个大型企业的内部网络而言,特别是银行等金融企业的内部网络,由于其在广泛的地理范围内具有很多的分支机构,各种内部信息分布于众多独立的相互之间不兼容的区域管理***中,且这些信息被置于众多的内部人员的管理之下,所以在进行内部通信时,通信者或说访问者的身份认证,访问鉴权都是非常关键的,只有具有合法身份的人才能进行与其访问权限相符的通信。
为了解决网络中的认证与鉴权的问题,许多企业(特别是银行)往往采取使其内部各子***各自进行认证和鉴权的方法,这种认证鉴权的方法至少存在以下弊端:1)在对安全***进行升级时,往往要对每个子***分别升级,这不仅浪费人力物力,并且会出现短时间内的子***的停用,难以实施有效的信息安全管理,同时大大的增加了管理费用。尤其是当***、部门撤销或合并、组织扩大或缩小规模等情况出现时,这一问题更加突出甚至难以解决。2)访问者必须面对多个子***需要重复输入帐号、口令等信息的情况,不仅烦琐,更重要的是容易出现口令丢失,给***和用户造成损失。因此,对于所述的进行内部通信的网络而言,急需一个统一的、具有较高安全性的、易维护的身份认证和鉴权***,以保证所述内部通信的安全和便利。
为了实现统一的认证和鉴权***,中国专利01132904.1提供了一种服务器登陆***及方法,其中包括:服务器接收由用户输入的一使用者识别数据与一功能项目,且输出包括此使用者识别数据、相应此服务器的一服务器码、以及相应此功能项目的一功能项目码的一认证消息给认证平台。然后,认证平台依据接收到的认证消息的使用者识别数据、服务器码、以及功能项目码与相应此使用者端的一存取权表进行一检查程序,并输出相应此检查程序的一认证结果给服务器。之后,服务器便可以据此认证结果允许此使用者端进行使用或是拒绝此使用者端存取此功能项目。该技术的缺点是,所有的认证、鉴权、核实功能项目码与服务器码的工作都由认证服务器承担,加大了认证服务器的工作负荷。当提出认证的用户数量庞大时,对认证服务器的配置将要求很高,否则会影响运行速度。
中国专利01145575.6,也提供了一种宽带网络认证、授权和计费的方法,其中包括:当用户通过拨号或Telnet接入集中器后,接入集中器提示用户输入用户和密码,并把用户输入的信息发送至AAA Server进行认证,如果认证成功则接入集中器建立一个动态的访问控制列表(ACL),授权用户访问所述接入集中器初始化时未授权用户访问的网络,同时接入集中器发送计费信息给AAA Server,然后看是检测欲用户的连接,如果检测到该用户的连接已断,则删除上述已建立的动态访问控制列表(ACL),发送计费结束信息,本方法提高了协议效率,降低了协议的复杂度,但是该技术的缺点是,要在集中器上建立访问列表,并且要实时监控用户连接状态,这样会加大集中器和认证服务器之间的数据流量。受网络带宽的影响,还容易造成一些***稳定性上的隐患。
发明内容
本发明的目的在于提供一种认证方法及***,以实现对所有用户统一的安全认证以降低整个安全***的冗余。
本发明的技术方案为:
一种基于网络的统一认证方法,在一个由登录终端和多个业务站点构成的通信***中,所述的登录终端与所述的业务站点之间通过网络进行通信;其特征在于,在所述的网络中至少联入一个认证服务器,在所述服务器的数据库中存储有所述登录终端的认证信息,且该认证服务器提供一个集中的内部入口(inner portal)网站;在所述的业务站点的数据库中存储有自身的业务数据和所述登录终端的鉴权信息,并通过一认证服务器管理终端对认证服务器内部的信息进行管理;
在所述的登录终端与某一业务站点进行通信时,执行以下步骤:
所述登录终端通过自身浏览器向所述的认证服务器发登录请求信息;
所述的认证服务器对接收到的登录请求信息进行包括认证在内的处理,若所述的认证合法,则建立该登录终端本次登录的对话(session)信息,向该登录终端的浏览器返回包含有各业务站点路由信息的主页面;
所述的登录终端对所述的各业务站点路由信息进行任意选择;
当所述的登录终端选定某业务站点后,所述的认证服务器为该登录终端产生一个包括用户名的加密串作为询问字符串(QUERY_STRING),同时更新自身数据库相关信息,所述的认证服务器将登陆请求重新链接(redirect)到所述被选定的站点,使所述的登录终端与所述被选定的站点直接建立连接,并在该被选定的站点验证包含用户名在内的加密串,如果该加密串有效,进行业务站点的登录并在该业务站点进行存取权限检查,该业务站点保留该加密串和对该加密串进行签名的签名串;然后与所述的登陆终端进行符合其存取权限的通信,并提供相关的业务数据;
若所述的认证请求信息非法,则提示重发认证请求信息。
所述登录终端的认证信息包括用户名和密码。
所述登录终端的鉴权信息包括用户名和该用户名所对应的访问权限信息。
所述的认证服务器对接收到的登录请求信息进行的处理包括所述的认证服务器检查该终端的登录方式标志。
所述的登录方式标志包括通过键盘的登录方式和磁条登录方式。
所述的磁条登录方式是通过客户端控件驱动磁卡读写器,进行磁条读写。
所述的包括用户名的加密串作为询问字符串包括服务器地址(SERVERURL),加密串(SSISAuth),签名串(SSISign)。
所述的服务器地址包括认证服务器地址,站点地址。
所述的加密串还包括认证时间戳。
所述的加密串使用所述被选定的站点的公钥进行加密。
所述的加密串使用Base64进行编码。
所述的签名串是对加密串的明文进行的签名,签名的步骤为:先使用MD5计算明文的散列值,然后使用所述认证服务器的私钥加密,再使用Base64进行编码。
所述的认证服务器更新自身数据库相关信息为更新所述认证服务器数据库中的对话信息,业务子***的名称,登录服务器地址,联接建立时间,日志记录。
在所述的认证服务器管理终端进行维护各内部***信息,站点的添加、删除、站点公钥的更新,密钥管理,包括密钥的更新和日志管理。
所述的认证服务器管理终端维护的各内部***信息包括,专业***名称、登录URL、建立时间、备注等。
所述的网络为广域网络。
所述的网络为局域网和企业内部网络。
一种基于网络的统一认证***,其特征在于包括:至少一认证服务器,复数个业务站点服务器,用户登录终端,认证服务器管理终端;
所述的用户登录终端、所述的认证服务器、所述的复数个业务站点服务器、认证服务器管理终端通过网络相联接;
其中,所述的用户登录终端通过一登录逻辑电路向所述的认证服务器发出登录请求;
所述的认证服务器的认证处理逻辑电路对接收到的登录请求信息进行包括认证在内的处理,若所述的认证合法,则建立该登录终端本次登录的对话(session)信息,向该登录终端的登录逻辑电路返回包含有各业务站点路由信息的主页面;
当所述的登录终端选定某业务站点服务器后,所述的认证服务器的认证处理逻辑电路为该登录终端产生一个包括用户名的加密串作为询问字符串(QUERY_STRING),同时更新自身数据库相关信息,所述的认证服务器将用户登陆终端重新链接(redirect)到所述被选定的站点服务器,使所述的登录终端与所述被选定的站点服务器直接建立连接,并在该被选定的站点服务器的验证逻辑电路内验证包含用户名在内的加密串,如果该加密串有效,进行业务站点的登录并在该业务站点进行存取权限检查,该业务站点服务器保留该加密串和对该加密串进行签名的签名串;然后与所述的登陆终端进行符合其存取权限的通信,并提供相关的业务数据;
若所述的认证请求信息非法,则认证处理逻辑电路提示重发认证请求信息。
所述登录终端的认证信息包括用户名和密码。
所述登录终端的鉴权信息包括用户名和该用户名所对应的访问权限信息。
所述的认证服务器的认证处理逻辑电路检测所述的认证服务器检查该终端的登录方式标志。
所述的登录方式标志包括普通用户名、密码的登录方式和磁条登录方式。
所述的磁条登录方式是通过客户端控件驱动磁卡读写器,进行磁条读写。
所述认证逻辑电路产生包括用户名的加密串作为询问字符串包括服务器地址(SERVERURL),加密串(SSISAuth),签名串(SSISign)。
所述的服务器地址包括认证服务器地址,站点地址。
所述的加密串还包括认证时间戳。
所述的认证逻辑电路使用所述被选定的站点的公钥对加密串进行加密。
所述的认证逻辑电路使用Base64对加密串进行编码。
所述的认证逻辑电路对加密串的明文进行签名,签名的步骤为:先使用MD5计算明文的散列值,然后使用所述认证服务器的私钥加密,再使用Base64进行编码。
所述的认证服务器更新自身数据库相关信息为更新所述认证服务器数据库中的对话信息,业务子***的名称,登录服务器地址,联接建立时间,日志记录。
所述的认证服务器管理终端包括一管理逻辑电路,该逻辑电路维护各内部***信息,站点的添加、删除、站点公钥的更新,密钥管理,包括密钥的更新和日志管理。
所述的认证服务器管理逻辑电路维护的各内部***信息包括,专业***名称、登录URL、建立时间、备注等。
所述的网络为广域网络。
所述的网络为局域网络和企业内部网络。
本发明的效果在于,通过提供一种认证方法及***,使所有的柜员进行统一的认证,方便快捷的进行安全管理,并且可以方便的进行整个安全认证***的升级而不需要为每一个子***升级,在认证服务器上只做身份验证而不做权限检查,这一点也避免了复杂而庞大的权限整合,实现了整个***的低耦合。
附图说明
图1为本发明方法应用于银行***的逻辑图;
图2为本发明***的逻辑图;
图3为本发明的工作流程图。
具体实施方式
以下结合附图说明本发明的具体实施方式。
如图1所示,本发明以在银行***中的应用作为说明。在认证服务器的数据库中存储的柜员信息包括柜员号、密码、地区代码、行级别、类别(用于区分登录认证服务器后可进行的操作)、所属部门(可用于区分专业***)、岗位及物理人的相关信息(如姓名、性别、身份证号码等),不含柜员在不同***中的实际权限。当银行柜员通过浏览器请求认证服务器,输入若干位柜员密码(数据库中加密保存),其中,柜员号由认证服务器统一分配,按地区代码流水,总行、省行遵照统一新编的地区代码设置,或是通过磁卡读写器对柜员的磁卡进行读写,并把这些信息以POST方式提交认证服务器,认证服务器认证柜员号、密码以及磁条信息(只进行身份验证,不进行权限的核查),客户验证有效继续,否则登录失败,提示柜员重新输入用户名和密码;在认证服务器建立该柜员本次登录的对话(session)信息,向浏览器返回认证服务器主页面(不对该柜员所属业务***作判断),柜员可对各***进行任意选择,柜员选定某站点A,认证服务器为该柜员产生一个包括用户名的加密串作为询问字符串QUERY_STRING,该字串包括认证服务器地址和站点地址,登录标志和退出标志,加密串,签名串,其中,加密串包括用户名和认证时间戳,并用站点A的公钥进行加密(只有该站才能接密),并用Base64进行编码;签名串对加密串明文进行签名(先用MD5计算明文的散列值,然后使用认证服务器的私钥加密,该私钥使用三重DES:Triple DES加密,在使用Base64进行编码)。同时更新数据库相关信息,认证服务器将请求重新链接redirect到相应站点A,柜员终端与站点A直接建立连接,并在站点A验证包括用户名的加密串,站点A先对SSIAuth做Base64解码,然后使用自己的私钥解密SSIAuth得到明文(即柜员号),然后验证签名SSISign(先做Base64解码,然后使用认证服务器的公钥解密,再对SSIAuth的明文使用MD5计算散列值,比较这两个结果是否相同),如果有效,进行业务子***的登录(在这里进行权限检查),该站点A保留该加密串SSIAuth和对该加密串进行签名的签名串SSISign;站点A验证加密串如果无效,则柜员重新链接回认证服务器,以实现访问其他业务子***的要求;柜员退出认证服务器时重新请求链接回认证服务器并退出,当柜员从认证服务器退出后,不影响已经处于登录状态的其他站点,如果柜员想登录其他业务子***,则必须重新登录统一认证服务器,认证服务器从数据库中删除该柜员本次登录的对应信息,重新登录认证服务器后,该柜员在认证服务器上存有的原SESSION信息将丢失,认证服务器重新为其产生认证信息。在认证服务器主页面选择签退,根据柜员登录方式标志,浏览器驱动读卡器进行划卡;认证服务器从数据库中删除该柜员本次登录对应的信息,并记日志。
对于认证服务器管理包括以下管理功能,包括
维护站点(各内部***)信息,包括站点的添加、删除、站点公钥的更新等,主要信息项:专业***名称、登录URL、建立时间、备注等。
密钥管理,包括密钥的更新等。
日志管理。
其中,柜员分为A:认证***管理柜员——在认证***管理、签发柜员的柜员,并可进行认证服务器管理;只存在于认证服务器上;B:业务***管理柜员——在各内部***中开设、维护***内柜员的柜员,在认证服务器上有查询本业务***范围柜员信息的功能;存在于认证服务器及相应的业务***中;(实为特殊的C类柜员,可视为各业务***原有的相应级别根柜员)C:业务柜员——各业务***中的业务柜员,存在于认证服务器及相应的业务***中;由相应级别的A类柜员从认证服务器签发,再由相应级别的B类柜员将其设置入业务***。
认证服务器柜员销户机制:
a.由A类柜员通过认证服务器销户功能对所辖柜员进行销户(如该柜员离职),该柜员号失效,删除柜员信息,此柜员号可再次使用;
b.和各业***关系:在认证服务器上做销户,无论各专业***是否还存在该柜员号,此柜员号都无法再登录内部***;业务流程上,应是该柜员在各专业***首先做出注销,柜员销户信息的存留都由各专业***自行处理;
认证服务器柜员维护功能:
a.由A类柜员通过认证服务器柜员维护功能来进行对所辖柜员的认证信息维护(如柜员的专业调动等),可对除柜员号以外的其他信息作出修改、可进行柜员的密码重置;
b.和各专业***关系:只是柜员认证信息的调整,并不影响各专业***,若是专业调动,则需在原***中销户,在新***中开户,认证服务器中的柜员信息无实质变化(可能调整所属部门);
下面结合图2说明本发明***的实施例。
当银行柜员通过柜员终端的登录逻辑电路向认证服务器发出登录请求,输入用户名和密码或是通过磁卡读写器对柜员的磁卡进行读写,并把这些信息以POST方式提交认证服务器的认证处理逻辑电路,该逻辑电路认证柜员号、密码以及磁条信息(只进行身份验证,不进行权限的核查),如果登录失败,登录逻辑电路提示柜员重新输入用户名和密码;否则客户验证有效继续,在认证服务器建立该柜员本次登录的对话(session)信息,向登录逻辑电路返回认证服务器主页面(不对该柜员所属业务***作判断),柜员可对各***进行任意选择,柜员选定某站点A,认证服务器认证处理逻辑电路为该柜员产生一个包括用户名的加密串作为询问字符串QUERY_STRING,该字串包括认证服务器地址和站点地址,登录标志和退出标志,加密串,签名串,其中,加密串包括用户名和认证时间戳,并用站点A的公钥进行加密(只有该站才能接密),并用Base64进行编码;签名串对加密串明文进行签名(先用MD5计算明文的散列值,然后使用认证服务器的私钥加密,该私钥使用三重DES:TripleDES加密,在使用Base64进行编码)。同时更新数据库相关信息,认证服务器将请求重新链接redirect到相应站点A,柜员终端与站点A直接建立连接,并在站点A的验证逻辑电路验证包括用户名的加密串,站点A的验证逻辑电路先对SSIAuth做Base64解码,然后使用自己的私钥解密SSIAuth得到明文(即柜员号),然后验证签名SSISign(先做Ba se64解码,然后使用认证服务器的公钥解密,再对SSIAuth的明文使用MD5计算散列值,比较这两个结果是否相同),如果有效,进行业务子***的登录(在这里进行权限检查),该站点A保留该加密串SSIAuth和对该加密串进行签名的签名串SSISign;若站点A的验证逻辑电路验证加密串如果无效,则柜员重新链接回认证服务器,以实现访问其他业务子***的要求;当柜员想要退出认证服务器时重新请求链接回认证服务器并退出,当柜员从认证服务器退出后,不影响已经处于登录状态的其他站点,如果柜员想登录其他业务子***,则必须重新登录统一认证服务器,认证服务器的认证处理逻辑电路从数据库中删除该柜员本次登录的对应信息,重新登录认证服务器后,该柜员在认证服务器数据库中存有的原SESSION信息将丢失,认证服务器的认证处理逻辑电路重新为其产生认证信息。在认证服务器主页面选择签退,根据柜员登录方式标志,柜员终端登录逻辑电路驱动读卡器进行划卡;认证服务器的认证处理逻辑电路从数据库中删除该柜员本次登录对应的信息,并记日志。
对于认证服务器管理端的管理逻辑电路包括以下管理功能,包括
维护站点(各内部***)信息,包括站点的添加、删除、站点公钥的更新等,主要信息项:专业***名称、登录URL、建立时间、备注等。
密钥管理,包括密钥的更新等。
日志管理。
如图3所示为本发明的工作流程图。(1)柜员通过浏览器请求认证服务器;(2)认证服务器首先检查该请求传入的询问字符串(QUERY_STRING),并对其进行验证,若身份有效,则直接转到(5);(3)认证服务器要求柜员输入登录信息,浏览器将该信息提交认证服务器,认证服务器检查该柜员的登录方式标志;(4)认证服务器认证客户信息,有效则继续,否则登录失败,提示柜员重新输入用户名和密码;(5)建立该柜员本次登录的对话(session)信息,向浏览器返回认证服务器主页面,柜员可对所需要的子服务***进行任意选择;(6)柜员选定某站点A,认证服务器为该柜员产生一个包括用户名的加密串作为询问字符串QUERY_STRING,同时更新数据库相关信息;(7)认证服务器将请求重新链接(redirect)到相应站点A;(8)柜员与站点A直接建立连接,并在站点A验证包括用户名的加密串,如果该加密串有效,进行业务子***的登录并在该子***进行存取权限检查,该站点A保留该加密串SSIAuth和对该加密串进行签名的签名串SSISign;如果站点A验证加密串无效,则柜员重新链接回认证服务器,并回到步骤(2),以实现进入其他业务子***的要求;(9)柜员重新请求链接回认证服务器并退出,在认证服务器从数据库中删除该柜员本次登录的对应信息。
以上具体实施方式仅限于说明本发明,而非用于限制本发明。
Claims (34)
1.一种基于网络的统一认证方法,在一个由登录终端和多个业务站点构成的通信***中,所述的登录终端与所述的业务站点之间通过网络进行通信;其特征在于,在所述的网络中至少联入一个认证服务器,在所述服务器的数据库中存储有所述登录终端的认证信息,且该认证服务器提供一个集中的内部入口(inner portal)网站;在所述的业务站点的数据库中存储有自身的业务数据和所述登录终端的鉴权信息,并通过一认证服务器管理终端对认证服务器内部的信息进行管理;
在所述的登录终端与某一业务站点进行通信时,执行以下步骤:
所述登录终端通过自身浏览器向所述的认证服务器发登录请求信息;
所述的认证服务器对接收到的登录请求信息进行包括认证在内的处理,若所述的认证合法,则建立该登录终端本次登录的对话(session)信息,向该登录终端的浏览器返回包含有各业务站点路由信息的主页面;
所述的登录终端对所述的各业务站点路由信息进行任意选择;
当所述的登录终端选定某业务站点后,所述的认证服务器为该登录终端产生一个包括用户名的加密串作为询问字符串(QUERY_STRING),同时更新自身数据库相关信息,所述的认证服务器将登陆请求重新链接(redirect)到所述被选定的站点,使所述的登录终端与所述被选定的站点直接建立连接,并在该被选定的站点验证包含用户名在内的加密串,如果该加密串有效,进行业务站点的登录并在该业务站点进行存取权限检查,该业务站点保留该加密串和对该加密串进行签名的签名串;然后与所述的登陆终端进行符合其存取权限的通信,并提供相关的业务数据;
若所述的认证请求信息非法,则提示重发认证请求信息。
2.根据权利要求1所述的一种基于网络的统一认证方法,其特征在于,所述登录终端的认证信息包括用户名和密码。
3.根据权利要求1所述的一种基于网络的统一认证方法,其特征在于,所述登录终端的鉴权信息包括用户名和该用户名所对应的访问权限信息。
4.根据权利要求1所述的一种基于网络的统一认证方法,其特征在于,所述的认证服务器对接收到的登录请求信息进行的处理包括所述的认证服务器检查该终端的登录方式标志。
5.根据权利要求1、4所述的一种基于网络的统一认证方法,其特征在于,所述的登录方式标志包括通过键盘的登录方式和磁条登录方式。
6.根据权利要求5所述的一种基于网络的统一认证方法,其特征在于,所述的磁条登录方式是通过客户端控件驱动磁卡读写器,进行磁条读写。
7.根据权利要求1所述的一种基于网络的统一认证方法,其特征在于,所述的包括用户名的加密串作为询问字符串包括服务器地址(SERVERURL),加密串(SSISAuth),签名串(SSISign)。
8.根据权利要求7所述的一种基于网络的统一认证方法,其特征在于,所述的服务器地址包括认证服务器地址,站点地址。
9.根据权利要求7所述的一种基于网络的统一认证方法,其特征在于,所述的加密串还包括认证时间戳。
10.根据权利要求9所述的一种基于网络的统一认证方法,其特征在于,所述的加密串使用所述被选定的站点的公钥进行加密。
11.根据权利要求1、7、9、10任意一项所述的一种基于网络的统一认证方法,其特征在于,所述的加密串使用Base64进行编码。
12.根据权利要求1所述的一种基于网络的统一认证方法,其特征在于,所述的签名串是对加密串的明文进行的签名,签名的步骤为:先使用MD5计算明文的散列值,然后使用所述认证服务器的私钥加密,再使用Base64进行编码。
13.根据权利要求1所述的一种基于网络的统一认证方法,其特征在于,所述的认证服务器更新自身数据库相关信息为更新所述认证服务器数据库中的对话信息,业务子***的名称,登录服务器地址,联接建立时间,日志记录。
14.根据权利要求1所述的一种基于网络的统一认证方法,其特征在于,在所述的认证服务器管理终端进行维护各内部***信息,站点的添加、删除、站点公钥的更新,密钥管理,包括密钥的更新和日志管理。
15.根据权利要求1所述的一种基于网络的统一认证方法,其特征在于,所述的认证服务器管理终端维护的各内部***信息包括,专业***名称、登录URL、建立时间、备注等。
16.根据权利要求1所述的一种基于网络的统一认证方法,其特征在于,所述的网络为广域网络。
17.根据权利要求1所述的一种基于网络的统一认证方法,其特征在于,所述的网络为局域网和企业内部网络。
18.一种基于网络的统一认证***,其特征在于包括:至少一认证服务器,复数个业务站点服务器,用户登录终端,认证服务器管理终端;
所述的用户登录终端、所述的认证服务器、所述的复数个业务站点服务器、认证服务器管理终端通过网络相联接;
其中,所述的用户登录终端通过一登录逻辑电路向所述的认证服务器发出登录请求;
所述的认证服务器的认证处理逻辑电路对接收到的登录请求信息进行包括认证在内的处理,若所述的认证合法,则建立该登录终端本次登录的对话(session)信息,向该登录终端的登录逻辑电路返回包含有各业务站点路由信息的主页面;
当所述的登录终端选定某业务站点服务器后,所述的认证服务器的认证处理逻辑电路为该登录终端产生一个包括用户名的加密串作为询问字符串(QUERY_STRING),同时更新自身数据库相关信息,所述的认证服务器将用户登陆终端重新链接(redirect)到所述被选定的站点服务器,使所述的登录终端与所述被选定的站点服务器直接建立连接,并在该被选定的站点服务器的验证逻辑电路内验证包含用户名在内的加密串,如果该加密串有效,进行业务站点的登录并在该业务站点进行存取权限检查,该业务站点服务器保留该加密串和对该加密串进行签名的签名串;然后与所述的登陆终端进行符合其存取权限的通信,并提供相关的业务数据;
若所述的认证请求信息非法,则认证处理逻辑电路提示重发认证请求信息。
19.根据权利要求18所述的一种基于网络的统一认证***,其特征在于,所述登录终端的认证信息包括用户名和密码。
20.根据权利要求18所述的一种基于网络的统一认证***,其特征在于,所述登录终端的鉴权信息包括用户名和该用户名所对应的访问权限信息。
21.根据权利要求18所述的一种基于网络的统一认证***,其特征在于,所述的认证服务器的认证处理逻辑电路检测所述的认证服务器检查该终端的登录方式标志。
22.根据权利要求21所述的一种基于网络的统一认证***,其特征在于,所述的登录方式标志包括普通用户名、密码的登录方式和磁条登录方式。
23.根据权利要求22所述的一种基于网络的统一认证***,其特征在于,所述的磁条登录方式是通过客户端控件驱动磁卡读写器,进行磁条读写。
24.根据权利要求18所述的一种基于网络的统一认证***,其特征在于,所述认证逻辑电路产生包括用户名的加密串作为询问字符串包括服务器地址(SERVERURL),加密串(SSISAuth),签名串(SSISign)。
25.根据权利要求24所述的一种基于网络的统一认证***,其特征在于,所述的服务器地址包括认证服务器地址,站点地址。
26.根据权利要求24所述的一种基于网络的统一认证***,其特征在于,所述的加密串还包括认证时间戳。
27.根据权利要求18所述的一种基于网络的统一认证***,其特征在于,所述的认证逻辑电路使用所述被选定的站点的公钥对加密串进行加密。
28.根据权利要求18、24、26、27任意一项所述的一种基于网络的统一认证***,其特征在于,所述的认证逻辑电路使用Base64对加密串进行编码。
29.根据权利要求18所述的一种基于网络的统一认证***,其特征在于,所述的认证逻辑电路对加密串的明文进行签名,签名的步骤为:先使用MD5计算明文的散列值,然后使用所述认证服务器的私钥加密,再使用Base64进行编码。
30.根据权利要求18所述的一种基于网络的统一认证***,其特征在于,所述的认证服务器更新自身数据库相关信息为更新所述认证服务器数据库中的对话信息,业务子***的名称,登录服务器地址,联接建立时间,日志记录。
31.根据权利要求18所述的一种基于网络的统一认证***,其特征在于,所述的认证服务器管理终端包括一管理逻辑电路,该逻辑电路维护各内部***信息,站点的添加、删除、站点公钥的更新,密钥管理,包括密钥的更新和日志管理。
32.根据权利要求18、31所述的一种基于网络的统一认证***,其特征在于,所述的认证服务器管理逻辑电路维护的各内部***信息包括,专业***名称、登录URL、建立时间、备注。
33.根据权利要求18所述的一种基于网络的统一认证***,其特征在于,所述的网络为广域网络。
34.根据权利要求18所述的一种基于网络的统一认证***,其特征在于,所述的网络为局域网络和企业内部网络。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2004100709103A CN100397814C (zh) | 2004-07-13 | 2004-07-13 | 一种基于网络的统一认证方法及*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2004100709103A CN100397814C (zh) | 2004-07-13 | 2004-07-13 | 一种基于网络的统一认证方法及*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1588853A true CN1588853A (zh) | 2005-03-02 |
| CN100397814C CN100397814C (zh) | 2008-06-25 |
Family
ID=34604548
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2004100709103A Expired - Lifetime CN100397814C (zh) | 2004-07-13 | 2004-07-13 | 一种基于网络的统一认证方法及*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100397814C (zh) |
Cited By (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101719238A (zh) * | 2009-11-30 | 2010-06-02 | 中国建设银行股份有限公司 | 一种统一身份管理、认证和授权的方法及*** |
| CN101047504B (zh) * | 2006-03-29 | 2010-06-09 | 腾讯科技(深圳)有限公司 | 一种网站登录认证方法及认证*** |
| CN1937662B (zh) * | 2005-09-21 | 2010-12-08 | 中兴通讯股份有限公司 | 一种电信语音增值业务中用户统一认证的方法 |
| CN101919221A (zh) * | 2007-11-26 | 2010-12-15 | Csp-斯卡尔创新信息和通信技术公司 | 用于属于不同机构的用户的无需证书复制的认证方法 |
| CN101127599B (zh) * | 2006-08-18 | 2011-05-04 | 华为技术有限公司 | 一种身份和权限认证方法及***以及一种生物处理单元 |
| CN101136915B (zh) * | 2007-10-16 | 2011-08-10 | 中兴通讯股份有限公司 | 一种实现多业务统一安全认证的方法和*** |
| CN102455777A (zh) * | 2010-10-26 | 2012-05-16 | 技嘉科技股份有限公司 | 具有无线连接功能的***装置及其运作方法 |
| CN102509030A (zh) * | 2009-09-25 | 2012-06-20 | 郭敏 | 一种利用单散函数隐性保存数据关系和识别账户的方法 |
| CN102546770A (zh) * | 2011-12-26 | 2012-07-04 | 中兴通讯股份有限公司 | 一种统一管理账户的方法及第三方账户管理*** |
| CN101621527B (zh) * | 2009-08-21 | 2012-07-11 | 杭州华三通信技术有限公司 | VPN中基于Portal的安全认证的实现方法、***和设备 |
| CN102684884A (zh) * | 2012-05-24 | 2012-09-19 | 杭州华三通信技术有限公司 | 一种Portal Web服务器及其防止伪造下线请求的方法 |
| CN101420416B (zh) * | 2007-10-22 | 2013-03-13 | ***通信集团公司 | 身份管理平台、业务服务器、登录***及方法、联合方法 |
| CN103023921A (zh) * | 2012-12-27 | 2013-04-03 | 中国建设银行股份有限公司 | 一种认证接入方法和认证*** |
| CN101296371B (zh) * | 2007-04-23 | 2013-06-05 | 华为技术有限公司 | Iptv终端、iptv***及iptv业务的实现方法 |
| CN105337967A (zh) * | 2015-10-16 | 2016-02-17 | 晶赞广告(上海)有限公司 | 实现用户登录目标服务器的方法、***和中心服务器 |
| CN105933347A (zh) * | 2016-06-29 | 2016-09-07 | 天脉聚源(北京)传媒科技有限公司 | 一种获取应用程序中的数据资源的方法及装置 |
| CN109474435A (zh) * | 2018-12-12 | 2019-03-15 | ***通信集团江苏有限公司 | 多个业务接力认证的方法、装置、设备、***及介质 |
| CN109542816A (zh) * | 2018-10-29 | 2019-03-29 | 中国电子科技集团公司第二十九研究所 | 一种基于分布式***的服务总线构造方法 |
| CN110868301A (zh) * | 2019-11-07 | 2020-03-06 | 浪潮软件股份有限公司 | 一种基于国密算法的身份认证***及方法 |
| CN111030996A (zh) * | 2014-10-24 | 2020-04-17 | 华为技术有限公司 | 一种访问资源的方法及装置 |
| CN113327359A (zh) * | 2017-12-29 | 2021-08-31 | 创新先进技术有限公司 | 通行检测方法、装置以及*** |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI775460B (zh) * | 2021-06-01 | 2022-08-21 | 重量科技股份有限公司 | 具隱私保護的風險資訊交換系統及方法 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1403948A (zh) * | 2001-09-04 | 2003-03-19 | 神达电脑股份有限公司 | 服务器登录***及方法 |
| JP4449288B2 (ja) * | 2001-10-31 | 2010-04-14 | ヤマハ株式会社 | 認証方法およびその装置 |
| CN100463479C (zh) * | 2001-12-25 | 2009-02-18 | 中兴通讯股份有限公司 | 一种宽带网络认证、授权和计费的方法 |
-
2004
- 2004-07-13 CN CNB2004100709103A patent/CN100397814C/zh not_active Expired - Lifetime
Cited By (30)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1937662B (zh) * | 2005-09-21 | 2010-12-08 | 中兴通讯股份有限公司 | 一种电信语音增值业务中用户统一认证的方法 |
| CN101047504B (zh) * | 2006-03-29 | 2010-06-09 | 腾讯科技(深圳)有限公司 | 一种网站登录认证方法及认证*** |
| CN101127599B (zh) * | 2006-08-18 | 2011-05-04 | 华为技术有限公司 | 一种身份和权限认证方法及***以及一种生物处理单元 |
| CN101296371B (zh) * | 2007-04-23 | 2013-06-05 | 华为技术有限公司 | Iptv终端、iptv***及iptv业务的实现方法 |
| CN101136915B (zh) * | 2007-10-16 | 2011-08-10 | 中兴通讯股份有限公司 | 一种实现多业务统一安全认证的方法和*** |
| CN101420416B (zh) * | 2007-10-22 | 2013-03-13 | ***通信集团公司 | 身份管理平台、业务服务器、登录***及方法、联合方法 |
| CN101919221B (zh) * | 2007-11-26 | 2015-09-30 | Csp-斯卡尔创新信息和通信技术公司 | 用于属于不同机构的用户的无需证书复制的认证方法 |
| CN101919221A (zh) * | 2007-11-26 | 2010-12-15 | Csp-斯卡尔创新信息和通信技术公司 | 用于属于不同机构的用户的无需证书复制的认证方法 |
| CN101621527B (zh) * | 2009-08-21 | 2012-07-11 | 杭州华三通信技术有限公司 | VPN中基于Portal的安全认证的实现方法、***和设备 |
| CN102509030A (zh) * | 2009-09-25 | 2012-06-20 | 郭敏 | 一种利用单散函数隐性保存数据关系和识别账户的方法 |
| CN101719238A (zh) * | 2009-11-30 | 2010-06-02 | 中国建设银行股份有限公司 | 一种统一身份管理、认证和授权的方法及*** |
| CN102455777B (zh) * | 2010-10-26 | 2015-05-27 | 技嘉科技股份有限公司 | 具有无线连接功能的***装置及其运作方法 |
| CN102455777A (zh) * | 2010-10-26 | 2012-05-16 | 技嘉科技股份有限公司 | 具有无线连接功能的***装置及其运作方法 |
| CN102546770B (zh) * | 2011-12-26 | 2015-05-27 | 中兴通讯股份有限公司 | 一种统一管理账户的方法及第三方账户管理*** |
| CN102546770A (zh) * | 2011-12-26 | 2012-07-04 | 中兴通讯股份有限公司 | 一种统一管理账户的方法及第三方账户管理*** |
| CN102684884A (zh) * | 2012-05-24 | 2012-09-19 | 杭州华三通信技术有限公司 | 一种Portal Web服务器及其防止伪造下线请求的方法 |
| CN102684884B (zh) * | 2012-05-24 | 2016-08-03 | 杭州华三通信技术有限公司 | 一种Portal Web服务器及其防止伪造下线请求的方法 |
| CN103023921A (zh) * | 2012-12-27 | 2013-04-03 | 中国建设银行股份有限公司 | 一种认证接入方法和认证*** |
| CN111030996A (zh) * | 2014-10-24 | 2020-04-17 | 华为技术有限公司 | 一种访问资源的方法及装置 |
| US11812264B2 (en) | 2014-10-24 | 2023-11-07 | Huawei Cloud Computing Technologies Co., Ltd. | Resource access method and apparatus |
| US11082848B2 (en) | 2014-10-24 | 2021-08-03 | Huawei Technologies Co., Ltd. | Resource access method and apparatus |
| CN105337967A (zh) * | 2015-10-16 | 2016-02-17 | 晶赞广告(上海)有限公司 | 实现用户登录目标服务器的方法、***和中心服务器 |
| CN105337967B (zh) * | 2015-10-16 | 2018-09-11 | 晶赞广告(上海)有限公司 | 实现用户登录目标服务器的方法、***和中心服务器 |
| CN105933347B (zh) * | 2016-06-29 | 2019-03-19 | 天脉聚源(北京)传媒科技有限公司 | 一种获取应用程序中的数据资源的方法及装置 |
| CN105933347A (zh) * | 2016-06-29 | 2016-09-07 | 天脉聚源(北京)传媒科技有限公司 | 一种获取应用程序中的数据资源的方法及装置 |
| CN113327359A (zh) * | 2017-12-29 | 2021-08-31 | 创新先进技术有限公司 | 通行检测方法、装置以及*** |
| CN109542816A (zh) * | 2018-10-29 | 2019-03-29 | 中国电子科技集团公司第二十九研究所 | 一种基于分布式***的服务总线构造方法 |
| CN109542816B (zh) * | 2018-10-29 | 2021-05-18 | 中国电子科技集团公司第二十九研究所 | 一种基于分布式***的服务总线构造方法 |
| CN109474435A (zh) * | 2018-12-12 | 2019-03-15 | ***通信集团江苏有限公司 | 多个业务接力认证的方法、装置、设备、***及介质 |
| CN110868301A (zh) * | 2019-11-07 | 2020-03-06 | 浪潮软件股份有限公司 | 一种基于国密算法的身份认证***及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN100397814C (zh) | 2008-06-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100397814C (zh) | 一种基于网络的统一认证方法及*** | |
| US11550895B2 (en) | Systems and mechanism to control the lifetime of an access token dynamically based on access token use | |
| CN111783075B (zh) | 基于密钥的权限管理方法、装置、介质及电子设备 | |
| CN108989346B (zh) | 基于账号隐匿的第三方有效身份托管敏捷认证访问方法 | |
| US8327421B2 (en) | System and method for identity consolidation | |
| US10491588B2 (en) | Local and remote access apparatus and system for password storage and management | |
| US20230379160A1 (en) | Non-fungible token authentication | |
| CN107733861A (zh) | 一种基于企业级内外网环境的无密码登录实现方法 | |
| CN105556894A (zh) | 网络连接自动化 | |
| CN103152179A (zh) | 一种适用于多应用***的统一身份认证方法 | |
| US10904233B2 (en) | Protection from data security threats | |
| CN102685093A (zh) | 一种基于移动终端的身份认证***及方法 | |
| CN103986584A (zh) | 基于智能设备的双因子身份验证方法 | |
| Singh et al. | SQL injection: Types, methodology, attack queries and prevention | |
| CN106488452A (zh) | 一种结合指纹的移动终端安全接入认证方法 | |
| CN101588352B (zh) | 一种确保操作环境安全的方法及*** | |
| US9258118B1 (en) | Decentralized verification in a distributed system | |
| CN106533693B (zh) | 轨道车辆监控检修***的接入方法和装置 | |
| CN107770192A (zh) | 在多***中身份认证的方法和计算机可读存储介质 | |
| CN102143131B (zh) | 用户注销方法及认证服务器 | |
| CN101873333A (zh) | 基于银行***的企业数据维护方法、装置及*** | |
| CN109462572B (zh) | 基于加密卡和UsbKey的多因子认证方法、***、存储介质及安全网关 | |
| CN112383401B (zh) | 一种提供身份鉴别服务的用户名生成方法及*** | |
| CN1956375A (zh) | 一种基于网络的动态口令身份认证方法及*** | |
| CN110175439A (zh) | 用户管理方法、装置、设备及计算机可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CX01 | Expiry of patent term |
Granted publication date: 20080625 |