一種多應用系統對用戶身份進行認證的方法

2023-05-29 10:56:41 1

專利名稱：一種多應用系統對用戶身份進行認證的方法
技術領域：
本發明涉及一種對用戶身份進行認證的方法，尤其是一種多應用 系統對用戶身份進行認證的方法。
背景技術：
隨著企業業務的發展，企業業務應用系統數量迅速增加。目前， 對用戶的身傷^人證分別由各個業務應用系統完成，因此，為了訪問不
同的應用系統，用戶必須分別在不同的應用系統--輸入自身的用戶
憑證。在應用系統數量迅速增加和市場化迅猛發展的情況下，這種管 理模式的弊端日益顯現，尤其是在應用系統成倍增加的情況下，這種 弊端表現得尤為突出。此外，由於每個應用系統都建立自成體系的登 錄控制方法，當需要更換用戶登錄策略時，必須針對各個目標應用一 一入手完成相關的改造或升級工作，無法實現登錄控制的有效重用， 從而增加了系統的開發成本和開發周期，加大了生產成本，並且對信 息安全構成了嚴重威脅。

發明內容
本發明要解決的技術問題是提供一種能實現對用戶身份的統一認 證的多應用系統對用戶身份進行認證的方法。
本發明解決其技術問題所採用的技術方案是
一種多應用系統對用戶身份進行認證的方法，包括以下步驟
1.1用戶要訪問的應用系統將所述應用系統的認證請求^發送 給統一認證服務系統；
1. 2所述統一認證月l務系統獲得所述i人證請求^t後對所述用戶 進行認證，並將認證響應^IL^送給所述應用系統；
1. 3所述應用系統根據所述認證響應M允許所述用戶對其進行 訪問。
上述方案中，所述步驟1. 2包括以下步驟 2.1所述統一認證服務系統獲得述認證請求參數； 2.2所述用戶嘗試登陸所述統一認證服務系統，若登陸成功，則 保存登陸標記後進入步驟2. 3,否則所述用戶重新執行所述步驟2. 2;
2.3所述統一認證服務系統獲得所述認證響應參數，並將所述i人 證響應^ _送給所述應用系統
上述方案中，所述步驟2. 2中，所述用戶根據所述統一認證服務 系統應用的認證模式採用相應的方式嘗試登陸，所述認證模式包括 LDAP (Lightweight Directory Access Protocol,輕量級目錄訪問協 議)認證模式、證書認證模式、802. lx認證才莫式、^^體訪問控制子層 地址綁定認證模式、硬碟序列號綁定認iit^莫式、密碼策略認iit4莫式及 用戶安全性檢查i人iit^莫式。
上述方案中，所述認證請求參數通過所述應用系統與所述統一認 證服務系統的共享密鑰加密後傳輸給所述統一認證服務系統，所述統 一認證服務系統通過所述共享密鑰對其解密後獲得所述認證請求參 數；所述統一認證伺服器對所述用戶進行認證後，所述認證響應M 通過所述共享密鑰加密後傳輸給所述應用系統，所述應用系統通過所
述共享密鑰對其解密後獲得所述認證響應Wt。
上述方案中，所述認證請求參數包括所述應用系統的伺服器網絡 地址、所述應用系統的服務標識號及所述認證請求的有效時間長度。
上述方案中，所述認證響應參數包括所述應用系統的伺服器網絡 地址、所述應用系統的服務標識號、所述用戶訪問所述應用系統的標 識號及所述認證響應的有效時間長度。
上述方案中，所述應用系統與所述統一iUiJ5l務系統的共享密鑰 是所述統一認證服務系統為所述應用系統單獨分配的，所述應用系統 定時在所述統一認證服務系統獲取。
上述方案中，所述步驟l. l前，所述應用系統判斷所述用戶是否 訪問過本系統，若所述用戶未訪問過本系統，則進入所述步驟1.1， 否則，所述應用系統直接允許所述用戶對其進行訪問。
本發明的有益效果主要表現在本發明提供的技術方案應用統一 的身份認證系統為多個應用系統提供統一的身傷4人證，認證方式靈活 多樣，實現了對用戶的集中管理，增強了多應用系統對需求和市場變 化的適應能力。


圖1為本發明多應用系統對用戶身份進行認證的方法流程圖。
具體實施例方式
下面結合附圖對本發明作進一步的描述。
參照圖1，當用戶要訪問多應用系統中某一應用系統時，該應用 系統首先需對用戶身份進行認證，其包括以下步驟
步驟101:該應用系統判斷用戶是否訪問過本系統，若用戶未訪 問過本系統，則進入步驟102，否則，該應用系統直接允許用戶對其 進行訪問。
步驟102:該應用系統將認證請求M發送給統一認證服務系統； 其中，認證請求M包括該應用系統的伺服器網絡地址、該應用系統 的服務標識號及本次認證請求的有效時間長度；認證請求>|^:通過該 應用系統與統一認證服務系統的共享密鑰加密後傳輸給統一認證服務 系統；
步驟103:統一認證服務系統通過與該應用系統的共享密鑰對接 收到的加密後的認證請求^t解密後獲得認證請求^^:;
步驟104:用戶根據統一認證服務系統應用的認ii^漠式採用相應 的方式嘗試登陸統一認證服務系統，若登陸成功，則保存登陸標記後 進入步驟105,否則用戶重新執行本步驟；其中，統一認證服務系統
的認iiMt式包括以下幾種
1、 LDAP認證模式
本模式為統一認證服務系統提供的預設認證方式，使用LDAP認證 方式，用戶名與口令是存儲在指定的LDAP目錄中；當 一個用戶登錄時， 提供的用戶名與口令若與該LDAP目錄中指定子樹中某一個用戶記錄 的用戶名與口令相同，則認證成功，登錄者具有LDAP目錄中該用戶記 錄對應的身份；
2、 證書認iiD漠式
4^莫式使用X509v3數字證書，只要客戶端可以提供X509v3數字 證書，系統允許其登錄；可以配置用戶的個人數字證書必須和目錄服 務器中存儲的證書相同，並與證書回收列表比較以確保個人證書是有
效的；
3、 802. lx認W莫式
統一認證服務系統應用;^f莫式時，採用802. lx認證協議對用戶進 行認證；
4、 MAC (Media Access Control,媒體訪問控制子層)地址綁定
統一認證服務系統應用;^漠式時，需要驗證用戶的用戶名和密碼 以及用戶終端的MAC地址信息；只有當用戶名、密碼和MAC地址信息 都通過^Ht之後，用戶才能通過認證；
5、 硬碟序列號綁定^人ii^莫式
統一認證服務系統應用本模式時，需要發汪用戶的用戶名和密碼 以及用戶終端的硬碟序列號信息；只有當用戶名、密碼和硬碟序列號 信息都通過一瞼證之後，用戶才能通過認證；
6、 密碼策略認證模式
統一認證服務系統應用扣漠式時，用戶第一次登錄時，需要修改 帳號的默認口令；口令到期(至少每90天)後，統一認證服務系統能 夠強制用戶進行修改，並與最近5次內的口令(或者它們的密文)進 行比較，確保更新後的口令不和最近5次內使用口令相同；
7、 用戶安全性檢查認iiE^莫式
統一認證服務系統應用本才莫式時，系統將用戶終端的安全軟體的 安裝及運行狀態作為認證方式；例如，只有安裝了 TC0或者SYGATE 軟體並運行狀態正常的用戶才有可能通過認證；
步驟105:用戶登陸統一認證服務系統後，系統獲得認證響應參 數，並將認證響應Wt通過統一認證服務系統和該應用系統的共享密鑰加密後傳輸給該應用系統；其中，認證響應Wt包括該應用系統的 月l務器網絡地址、該應用系統的月l務標識號、用戶訪問該應用系統的 標識號及認證響應的有效時間長度；
步驟106:該應用系統通過與統一認證服務系統的共享密鑰對接 收到的加密後的認證響應M解密後獲得認證響應M， ^中包括 用戶訪問該應用系統的標識號，因此，該應用系統據此允許用戶對其 進行訪問。
上述流程中，該應用系統與統一認證服務系統的共享密鑰是統一 認證服務系統為該應用系統單獨分配的，該應用系統定時在統一認證 服務系統獲取。統一認證服務系統為多應用系統中各個應用系統分配 不同的共享密鑰，由各個應用系統分別定時在統一認證服務系統獲取。
權利要求
1、一種多應用系統對用戶身份進行認證的方法，其特徵在於，包括以下步驟1.1用戶要訪問的應用系統將所述應用系統的認證請求參數發送給統一認證服務系統；1.2所述統一認證服務系統獲得所述認證請求參數後對所述用戶進行認證，並將認證響應參數發送給所述應用系統；1.3所述應用系統根據所述認證響應參數允許所述用戶對其進行訪問。
2 、如權利要求1所述的多應用系統對用戶身份進行認證的方法， 其特徵在於，所述步驟1.2包括以下步驟2.1所述統一認證服務系統獲得述認證請求參數；2.2所述用戶嘗試登陸所述統一認證服務系統，若登陸成功，則保存登陸標記後進入步驟2.3，否則所述用戶重新執行所述步驟2.2; 2.3所述統一認證服務系統獲得所述認證響應參數，並將所述認證響應^L^送給所述應用系統。
3 、如權利要求2所迷的多應用系統對用戶身份進行認證的方法， 其特徵在於所述步驟2,2中，所述用戶根據所述統一認證服務系統 應用的認ii^莫式採用相應的方式嘗試登陸，所述認iiD漠式包括輕量級 目錄訪問協議認iiMi式、證書認iiMi式、802.1x認iit^莫式、媒體訪問 控制子層地址綁定認ijMt式、硬碟序列號綁定認ii^莫式、密碼策略認 證模式及用戶安全性檢查認證模式。
4、如權利要求1至3其中之一所述的多應用系統對用戶身份進行 認證的方法，其特徵在於所述認證請求l^t通過所述應用系統與所 述統一認證服務系統的共享密鑰加密後傳輸給所述統一認證服務系 統，所述統一認證服務系統通過所述共享密鑰對其解密後獲得所述認 證請求^lt;所述統一認證伺服器對所述用戶進行認證後，所述認證 響應參數通過所述共享密鑰加密後傳輸給所述應用系統，所述應用系 統通過所述共享密鑰對其解密後獲得所述認證響應M。
5 、如權利要求4所述的多應用系統對用戶身份進行認證的方法， 其特徵在於所述認證請求參數包括所述應用系統的伺服器網絡地址、 所述應用系統的服務標識號及所述認證請求的有效時間長度。
6、如權利要求5所述的多應用系統對用戶身份進行認證的方法， 其特徵在於所述認證響應參數包括所述應用系統的伺服器網絡地址、 所述應用系統的月l務標識號、所述用戶訪問所述應用系統的標識號及 所述認證響應的有效時間長度。
7 、如權利要求6所述的多應用系統對用戶身份進行認證的方法， 其特徵在於所述應用系統與所述統一認證服務系統的共享密鑰是所 述統一認證服務系統為所述應用系統單獨分配的，所述應用系統定時 在所述統一認證服務系統獲取。
8 、如權利要求7所述的多應用系統對用戶身份進行認證的方法， 其特徵在於所述步驟1.1前，所述應用系統判斷所述用戶是否訪問 過本系統，若所述用戶未訪問過本系統，則itX所述步驟l.l，否則， 所述應用系統直接允許所述用戶對其進行訪問。
全文摘要
本發明公開了一種多應用系統對用戶身份進行認證的方法，首先，用戶要訪問的應用系統將所述應用系統的認證請求參數發送給統一認證服務系統；然後，所述統一認證服務系統獲得所述認證請求參數後對所述用戶進行認證，並將認證響應參數發送給所述應用系統；最後，所述應用系統根據所述認證響應參數允許所述用戶對其進行訪問。本發明所述技術方案在多應用系統中實現了對用戶身份的統一認證。
文檔編號H04L9/32GK101183940SQ20071012496
公開日2008年5月21日 申請日期2007年12月11日 優先權日2007年12月11日
發明者劉亞軍, 徐紅明, 楊景慧, 勇 郭 申請人:中興通訊股份有限公司