TW201438451A

TW201438451A - 以代理伺服整合後端服務認證之方法與系統

Info

Publication number: TW201438451A
Application number: TW102109438A
Authority: TW
Inventors: Zi-Jun Huang; Yong-Sen Xin
Original assignee: Chunghwa Telecom Co Ltd
Priority date: 2013-03-18
Filing date: 2013-03-18
Publication date: 2014-10-01
Also published as: TWI527419B

Abstract

本發明係揭露一種以代理伺服整合後端服務認證之方法與系統，係透過本發明之代理伺服系統提供一終端裝置自動登入一應用系統，使得該終端裝置經本發明之代理伺服系統認證後，即可直接連線該應用系統，並可保持登入狀態，且該終端裝置毋須另外進行帳號密碼登入驗證也毋須取得該應用系統的帳號密碼。

Description

以代理伺服整合後端服務認證之方法與系統

本發明係關於一種服務認證之方法與系統，特別係一種以代理伺服整合後端服務認證之方法與系統。

電子化服務普及後，組織常建立諸多應用系統，各應用系統都有其身分驗證機制，造成在使用不同的應用系統時，必須不斷進行身分驗證，其重複性的登入步驟，非常麻煩。因此，單一簽入(Single Sign On,SSO)理念因應而生，透過身分驗證機制的集中管理，讓終端裝置只需通過一次身分驗證，就能登入使用經整合後的各個應用系統，不再需要重複登入，能大幅提高應用系統操作的便利性。但單一簽入的本質是在協助使用者端進行多個應用系統之帳號密碼管理，其作法多係透過單一簽入系統預先記錄應用系統的帳號密碼，如單一登入管理方法及系統(台灣公開號：201209625)，其作法係由一單一簽入系統預先編輯各應用系統的登入網址及該網址的登入認證信息資料，並於使用者端的使用者介面生成關聯至該認證信息資料的快捷鍵，使用者端僅需觸發該快捷鍵，該單一簽入系統即可自動依據與該快捷鍵所關聯到的應用系統登入網址及該網址的登入認證信息資料，提供使用者端自動登入該應用系統。但此作法必須在使用者端有取得應用系統帳號密碼的情況下才能進行，並且單一簽入系統亦必須將使用者端登入應用系統的帳號密碼紀錄於該單一簽入系統中。

於使用者端終端裝置安裝帳號密碼管理程式亦是簡化使用者端身分驗證的常用方法，如管理網站登入資訊之系統與方法(台灣專利公告號：567427)，於使用者端安裝一應用程式，該應用程式可以儲存管理使用者端登入網站的登入資訊，當使用者端欲連線登入網站時，則該應用程式可以透過所儲存的登入資訊自動登入網站。但此作法的缺點在於使用者端必須安裝應用程式，當使用者端終端裝置升級或更換時，應用程式必須重新安裝，而且，此作法缺乏對角色權限控管，應用程式只是儲存管理使用者登入資訊，並提供快速登入網站功能，卻無法依不同的使用者端提供登入網站的不同權限以做進一步管理。

另外，現行使用服務代理系統簡化身分驗證的方法，如路徑映射整合網路之服務代理系統(台灣專利公告號：I271973)，該服務代理系統提供一單一入口對外服務，並根據一個事先定義的表格，在表格內定義出路徑與資源(網址)的關係，當使用者端連線要求服務時，則服務代理系統會根據表格的定義，代理向後端資源提出服務要求，在取得回應的內容後，再將內容傳送給使用者端。此作法主要係透過對網路工作狀態(Session)的管理而達成整合服務與身分驗證的目的，由服務代理系統與後端資源建立Session，且服務代理系統亦與使用者端建立Session，透過兩Session互相關連達到身分關證的目的，但服務代理系統可與後端資源建立Session的基礎是源自後端資源信任來自服務代理系統的連線，否則使用者端必須透過服務代理系統於後端應用系統再進行認證。

綜上所述，透過單一簽入系統預先紀錄應用系統的帳號密碼，則必須在使用者端有取得應用系統帳號密碼的情況下才能進行；於使用者端終端裝置安裝帳號密碼管理程式之作法，於使用者端必須安裝應用程式，且缺乏對角色權限控管；現行服務代理系統多以使用路徑映射整合網站方式完成代理身分驗證，其認證處理之技術係透過Session管理達成，且必須建立在後端資源信任來自服務代理系統的連線的基礎上。

有鑑於上述舊有習知技術之諸多缺點，乃亟思加以改良創新，並基於對資訊系統演進的了解，經過縝密的資料研蒐、評估考量、測試驗證與改良，終於成功研發完成本發明「以代理伺服整合後端服務認證之方法與系統」。

本發明之目的在提供一種以代理伺服整合後端服務認證之方法與系統，其透過一代理伺服系統提供一終端裝置自動登入一應用系統，使得該終端裝置經本發明之代理伺服整合後端服務認證系統認證後，即可連線該應用系統，並可保持登入狀態，且該終端裝置毋須另外進行帳號密碼登入驗證也毋須取得該應用系統的帳號密碼。

根據本發明之一目的係提供一種以代理伺服整合後端服務認證之系統，用以提供一終端裝置自動登入一應用系統，其包括一映射轉址管理模組、一帳號對映管理模組、一應用系統登入網址管理模組、一自動登入模組、以及一過濾包裝模組；其中該映射轉址管理模組，用以管理一映射轉址資料，並儲存於一映射轉址資料庫；該帳號對映管理模組，用以管理該終端裝置登入該應用系統之帳號密碼資料與角色權限，並儲存於一網址與帳號對映資料庫；該應用系統登入網址管理模組，用以管理一應用系統登入網址，並儲存於該網址與帳號對映資料庫；該自動登入模組，用以認證該終端裝置，並提供該終端裝置認證登入與連線該應用系統；該過濾包裝模組用以接收該終端裝置透過通訊協定請求連線該應用系統之一請求訊息，並依該請求訊息讀取映射轉址資料庫資料及呼叫該自動登入模組進行處理，並將請求訊息之處理結果回傳該終端裝置。

本發明之一種以代理伺服整合後端服務認證之系統，其作法是透過該過濾包裝模組接收該終端裝置透過通訊協定請求連線該應用系統之一請求訊息，並依請求訊息過濾分類並進行處理；當該過濾包裝模組接收到該請求訊息帶有一裝置認證憑證，則呼叫該自動登入模組進行認證登入該應用系統，則該自動登入模組將代理該終端裝置與該應用系統進行認證，於該網址與帳號對映資料庫讀取該終端裝置登入該應用系統之帳號密碼資料，並代理該終端裝置連線該應用系統進行認證，若認證通過則該自動登入模組取得該應用系統回傳之一應用系統認證憑證，由該過濾包裝模組將該應用系統認證憑證回傳該終端裝置，若認證失敗則產生認證失敗訊息，由該過濾包裝模組將認證失敗訊息回傳該終端裝置；當該過濾包裝模組接收到該請求訊息帶有該應用系統認證憑證，則依請求訊息查詢該映射轉址資料庫資料，以取得該終端裝置擬連線之該應用系統之實際網址，並將該終端裝置轉址連線該應用系統；當該過濾包裝模組接收到該請求訊息未帶有裝置認證憑證與應用系統認證憑證，則呼叫該自動登入模組進行終端裝置認證，若認證通過則產生該裝置認證憑證，由該過濾包裝模組將該裝置認證憑證回傳該終端裝置，若認證失敗則產生認證失敗訊息，由該過濾包裝模組將認證失敗訊息回傳該終端裝置。

根據本發明之一目的所提供之一種以代理伺服整合後端服務認證之方法，其步驟為：該代理伺服系統接收該終端裝置透過通訊協定請求連線該應用系統之一請求訊息；當該請求訊息帶有一裝置認證憑證，該代理伺服系統則代理該終端裝置與該應用系統進行認證，並將認證通過所取得之一應用系統認證憑證回傳該終端裝置，其中該終端裝置登入該應用系統之帳號密碼資料，以及該應用系統之登入網址均儲存於一網址與帳號對映資料庫；當該請求訊息未帶有該裝置認證憑證，該代理伺服系統進行該終端裝置認證，認證通過後則產生該裝置認證憑證並回傳該終端裝置。

其中，當該請求訊息帶有一裝置認證憑證時，該代理伺服系統代理該終端裝置與該應用系統進行認證並將認證通過所取得之應用系統認證憑證回傳該終端裝置之步驟改為：對於該終端裝置所請求連線之該應用系統，該代理伺服系統於該映射轉址資料庫讀取該應用系統之映射轉址資料；該代理伺服系統於該網址與帳號對映資料庫讀取該應用系統登入網址；若所讀取之該應用系統之映射轉址資料為該應用系統登入網址，則該代理伺服系統代理該終端裝置與該應用系統進行認證，並將認證通過所取得之應用系統認證憑證回傳該終端裝置；若所讀取之該應用系統之映射轉址資料不為該應用系統登入網址，則該代理伺服系統透過通訊協定將該終端裝置連線轉址至該應用系統網址，其中該應用系統映射轉址資料儲存於一映射轉址資料庫。

本發明所提供的一種以代理伺服整合後端服務認證之方法與系統，與現行的方法與系統相較，具備了以下優點：

1.本發明毋須於終端裝置安裝應用程式，終端裝置透過本發明連線應用系統，可輕易達到整合身份驗證之目的。

2.本發明統一管理各終端裝置使用應用系統之帳號密碼，終端裝置毋須取得應用系統帳號密碼，本發明對服務提供者而言，可以迅速包裝新應用系統成為總體服務之一部分。

3.本發明可依角色設定終端裝置使用應用系統，非常彈性，例如；依終端裝置帳號之屬性值邏輯關係對應應用系統之角色權限，讓多個同性質終端裝置帳號可使用應用系統的同一帳號進行應用系統操作，也可以是各個終端裝置帳號均擁有專屬的應用系統帳號，但擁有相同的應用系統角色權限。

100‧‧‧終端裝置

200‧‧‧代理伺服整合後端服務認證之系統

210‧‧‧過濾包裝模組

220‧‧‧自動登入模組

230‧‧‧映射轉址管理模組

240‧‧‧帳號對映管理模組

250‧‧‧應用系統登入網址管理模組

260‧‧‧映射轉址資料庫

270‧‧‧網址與帳號對映資料庫

300‧‧‧應用系統

S401~S413‧‧‧代理伺服整合後端服務認證之方法之步驟流程

S501~S507‧‧‧代理伺服整合後端服務認證之方法之應用系統認證案例示意圖

第1圖為本發明一種以代理伺服整合後端服務認證之系統架構圖。

第2圖為本發明一種以代理伺服整合後端服務認證之方法步驟流程圖。

第3圖為本發明一種以代理伺服整合後端服務認證之方法應用系統認證案例示意圖。

本發明之目的在提供一種以代理伺服整合後端服務認證之方法與系統，用以提供一終端裝置自動登入一應用系統，使得該終端裝置經本發明之代理伺服整合後端服務認證系統認證後，即可連線該應用系統，並可保持登入狀態，且該終端裝置毋須另外進行帳號密碼登入驗證也毋須取得該應用系統的帳號密碼。

本發明之一實施例可參照第1圖之系統架構圖，本發明之目的在提供一種以代理伺服整合後端服務認證之系統200，其包括一過濾包裝模組210、一自動登入模組220、一映射轉址管理模組230、一帳號對映管理模組240、以及一應用系統登入網址管理模組250；其中，該映射轉址管理模組230用以管理一映射轉址資料，並儲存於一映射轉址資料庫260；該帳號對映管理模組240用以管理該終端裝置100之帳號密碼資料、該終端裝置100登入該應用系統300之帳號密碼資料與角色權限，並儲存於一網址與帳號對映資料庫270；該應用系統登入網址管理模組250用以管理一應用系統登入網址，並儲存於該網址與帳號對映資料庫270；該自動登入模組220用以認證該終端裝置100，並提供該終端裝置100認證登入與連線該應用系統300；該過濾包裝模組210用以接收該終端裝置100透過通訊協定請求連線該應用系統300之一請求訊息，並依該請求訊息讀取映射轉址資料庫260資料及呼叫該自動登入模組220，並將請求回應結果回傳該終端裝置100；其中，該通訊協定可為超文件傳輸協定(Hyper Text Transfer Protocol,HTTP)、超文件傳輸安全協定(Hyper Text Transfer Protocol Security,HTTPS)或網際網路通訊協定。

其中，該過濾包裝模組210包含一請求訊息分類處理單元以及一請求訊息結果回應單元，分別說明如下：

1.請求訊息分類處理單元：用以依請求訊息過濾分類並進行處理如下：該請求訊息分類處理單元於接收到該請求訊息帶有一裝置認證憑證，則呼叫該自動登入模組220進行認證登入該應用系統300；該請求訊息分類處理單元於接收到該請求訊息帶有一應用系統認證憑證，則依請求訊息查詢該映射轉址資料庫資料260，轉址連線該應用系統300；該請求訊息分類處理單元所接收到之請求訊息未帶有該裝置認證憑證與該應用系統認證憑證，則呼叫該自動登入模組220進行終端裝置100認證。

2.請求訊息結果回應單元：用以將該請求訊息之處理結果包裝為該回應結果訊息回傳該終端裝置100，其中該回應結果訊息可為裝置認證憑證、應用系統認證憑證、連線應用系統訊息或錯誤訊息。

其中，該自動登入模組220包含一裝置認證單元以及一應用系統認證登入單元，分別說明如下：

1.裝置認證單元：用以認證該終端裝置100，其係輸出一裝置認證畫面提供該終端裝置進行身份驗證，並於該終端裝置認證通過後產生裝置認證憑證，由該過濾包裝模組210將該裝置認證憑證回傳該終端裝置100。

2.應用系統認證登入單元：用以代理該終端裝置100與該應用系統300進行認證，應用系統認證登入單元於該網址與帳號對映資料庫270讀取該終端裝置100登入該應用系統300之帳號密碼資料，並連線該應用系統300進行認證，應用系統認證登入單元於代理該終端裝置100通過該應用系統300認證後取得應用系統認證憑證，由該過濾包裝模組210將該應用系統認證憑證回傳該終端裝置100。

其中，該映射轉址管理模組230係輸出一映射轉址管理畫面，提供新增、修改、刪除該應用系統300之映射轉址資料，並儲存於該映射轉址資料庫260。

其中，該帳號對映管理模組240係輸出一應用系統帳號對映管理畫面，提供新增、修改、刪除該終端裝置100登入該應用系統300之角色權限與帳號密碼資料，並儲存於該網址與帳號對映資料庫270；其中，該帳號對映管理模組240提供依該終端裝置100之帳號屬性值設定該終端裝置100登入該應用系統300之角色權限之對應關係，使得不同的終端裝置若其終端裝置帳號屬性值邏輯相同，則擁有相同的角色權限。

其中，該應用系統登入網址管理模組250係輸出一應用系統登入網址管理畫面，提供新增、修改、刪除該應用系統登入網址，並儲存於該網址與帳號對映資料庫270。

本發明所提供的一種以代理伺服整合後端服務認證之方法，係透過一代理伺服系統提供一終端裝置自動登入一應用系統，其步驟流程圖可參照第2圖，其步驟如下：該代理伺服系統接收該終端裝置透過通訊協定請求連線該應用系統之一請求訊息S401；該代理伺服系統檢視該請求訊息是否帶有一裝置認證憑證S402，當該請求訊息帶有裝置認證憑證，該代理伺服系統則代理該終端裝置與該應用系統進行認證，其中該終端裝置登入該應用系統之帳號密碼資料，以及該應用系統之登入網址均儲存於一網址與帳號對映資料庫；當該請求訊息未帶有該裝置認證憑證，該代理伺服系統進行該終端裝置認證S412。

其中，當該請求訊息帶有裝置認證憑證，該代理伺服系統則代理該終端裝置與該應用系統進行認證之步驟如下：對於該終端裝置所請求連線之該應用系統，該代理伺服系統於該映射轉址資料庫讀取該應用系統之映射轉址資料S403，若該映射轉址資料庫不存在該應用系統之映射轉址資料，則該代理伺服系統將錯誤訊息回傳該終端裝置S404；該代理伺服系統於該網址與帳號對映資料庫讀取該應用系統登入網址，並檢視該映射轉址資料是否為該應用系統登入網址S405；當所讀取之該應用系統之映射轉址資料為該應用系統登入網址，於該網址與帳號對映資料庫讀取該終端裝置登入該應用系統之角色權限與帳號密碼資料S406，若該網址與帳號對映資料庫不存在對應之應用系統之角色權限與帳號密碼資料，則該代理伺服系統將錯誤訊息回傳該終端裝置S404；若該網址與帳號對映資料庫存在對應之應用系統之角色權限與帳號密碼資料，則該代理伺服系統連線該應用系統並以該終端裝置登入該應用系統之帳號密碼資料進行認證S407，若認證通過則產生該應用系統認證憑證，若認證失敗則產生一認證失敗訊息S408；當所讀取之該應用系統之映射轉址資料不為該應用系統登入網址，則該代理伺服系統透過通訊協定將該終端裝置連線轉址至該應用系統網址S410。

本發明所提供的一種以代理伺服整合後端服務認證之方法，其應用系統認證案例示意圖可參照第3圖，說明如下：S501：代理伺服系統RP接收到終端裝置Client1以HTTPS通訊協定連線登入，代理伺服系統RP驗證終端裝置Client1通過身分認證，其中，代理伺服系統RP之網址為www.rp.com.tw，終端裝置Client1之帳號屬性值為|(uid=CHT)(&(role=ABC)(！group=XYZ)))，該帳號屬性值邏輯規則為帳號識別碼不為CHT，或帳號角色識別碼等於ABC且群組識別碼不為XYZ；S502：代理伺服系統RP接收到終端裝置Client1以HTTPS通訊協定請求連線應用系統AP1，其中，該請求訊息www.abc.com.tw/AP1/login.html？sessionId=F0EA68BD83969B858F6F292159BE48D7，包含裝置認證憑證sessionId=F0EA68BD83969B858F6F292159BE48D7與連線應用系統之URI為/AP1；S503：代理伺服系統RP於映射轉址資料庫取得應用系統AP1之映射轉址資料為http：//10.0.0.101/theAP1/login.htm；S504：代理伺服系統RP於網址與帳號對映資料庫取得應用系統登入網址為http：//10.0.0.101/theAP1/login.do； S505：代理伺服系統RP依終端裝置Client1之帳號屬性值，於網址與帳號對映資料庫取得該終端裝置登入應用系統AP1之帳號密碼為xxx/yyy；S506：代理伺服系統RP以代理終端裝置Client1之帳號密碼xxx/yyy連線應用系統AP1進行登入驗證；S507：代理伺服系統RP成功登入應用系統AP1並取得應用系統認證憑證，代理伺服系統RP將應用系統認證憑證回傳終端裝置Client1。

上列詳細說明乃針對本發明之一可行實施例進行具體說明，惟該實施例並非用以限制本發明之專利範圍，凡未脫離本發明技藝精神所為之等效實施或變更，均應包含於本案之專利範圍中。

綜上所述，本案不僅於技術思想上確屬創新，並具備習用之傳統方法所不及之上述多項功效，已充分符合新穎性及進步性之法定發明專利要件，爰依法提出申請，懇請貴局核准本件發明專利申請案，以勵發明，至感德便。