基於私有協議的統一身份認證方法
2023-04-24 05:16:21 2
專利名稱:基於私有協議的統一身份認證方法
技術領域:
本發明涉及一種統一身份認證的方法,更具體的說,涉及一種基於私有協議的統一身份認證的方法,屬於網際網路用戶身份標識與認證領域。
背景技術:
企業信息化的發展,大致都經歷了網絡基礎建設階段、應用系統建設階段,目前正面臨著平臺應用整合的建設階段。企業在進行信息化的不同階段建設了許多不同的應用系統,有B/S架構的,也有C/S架構的,各系統之間相互獨立,同一用戶訪問不同系統必須要重複進行多次系統登錄,而且不同系統之間資源和信息無法做到互訪和共享,導致工作效率非常低下。單點登錄統一身份認證技術完美的解決了上述問題,通過統一身份認證方式,用戶只需要登錄一次就可以訪問所有相互信任的應用系統。它包括可以將這次主要的登錄映射到其他應用中用於同一個用戶的登錄的機制。它能夠較為理想的實現用戶信息集中統一管理,但是,用戶及其帳號的管理較為複雜,系統存在一定的風險。
發明內容
本發明所要解決的技術問題是,克服現有技術的缺點,提供一種用戶及其帳號的集中便捷管理,降低跨平臺系統風險的基於私有協議的統一身份認證的方法。為了解決以上技術問題,本發明提供基於私有協議的統一身份認證方法,所述方法應用於第三方系統和應用平臺之間,包含如下步驟
㈠第三方系統接入應用平臺,具體按以下步驟進行
⑴第三方系統和應用平臺分別提供兩個URL地址,用於處理第三方系統發送的請求信息,並根據處理結果,返回對應的響應狀態代碼;
⑵第三方系統預接入應用平臺時,第三方系統向應用平臺發送經過加密處理的請求數據包,請求接入;
⑶應用平臺接收請求數據包,進行解密,根據請求內容提供統一身份認證環境的信息和接口信息;
⑷第三方系統獲取應用平臺的統一身份認證環境信息和接口信息,完成接入; ㈡第三方系統接入應用平臺後,第三方系統的用戶按照以下兩種方式處理①無需獨立用戶的第三方系統的用戶處理方法;②需要獨立用戶的第三方系統的處理方法; 所述①無需獨立用戶的第三方系統的用戶處理方法具體按以下步驟進行 i第三方系統接入應用平臺時,如果沒有自身的用戶信息,直接使用平臺的用戶信息; 如果有一定數量的用戶但不需要保留,則將用戶信息完全導入到平臺中,使用平臺的用戶 fn息;
平臺用戶訪問第三方系統的受限信息,第三方系統判斷會話狀態緩存表中是否存在當前用戶登錄的會話信息,如果存在,則繼續訪問;如果不存在,調用統一身份認證的組件接口,檢查用戶在應用平臺的會話標識是否有效,如果有效,則繼續訪問,同時更新第三方系統的會話狀態緩存表;如果無效,則定向用戶到統一身份認證中的統一登錄界面完成登錄後,繼續訪問;
所述②需要獨立用戶的第三方系統的處理方法具體按以下步驟進行 I需要獨立用戶的第三方系統接入應用平臺,如果應用平臺用戶可以訪問第三方系統,第三方系統用戶不可以訪問平臺,則進行步驟(II),如果應用平臺用戶的第三方系統用
戶可以互相訪問,則進行步驟(111);
II對於應用平臺用戶可以訪問第三方系統,第三方系統用戶不可以訪問平臺的情況, 使用「用戶帳號關聯綁定」的方式解決,即在第三方應用系統內實現和維護應用平臺用戶和本系統自身用戶帳號之間的關聯關係;
III對於應用平臺用戶的第三方系統用戶可以互相訪問的情況,第三方系統將用戶信
息封裝成組件,由應用平臺的統一身份認證中心對第三方系統的用戶進行管理,當第三方系統發送身份驗證請求時,統一身份認證中心根據用戶提交的身份標識,調用對應的訪問方法,完成驗證過程。本發明進一步限定的技術方案是所述的第三方系統接入應用平臺步驟中,步驟 (2)中發送的請求數據包的參數包括經過籤名和對稱加密處理的接口參數和對上述接口參數進行不對稱加密後的數據。進一步的,所述的第三方系統接入應用平臺步驟中,步驟(3)中統一身份認證環境的信息包括第三方系統的服務代碼,應用平臺測試伺服器和實際伺服器的接口請求地址, 應用平臺測試伺服器和實際伺服器的公鑰證書,第三方系統的測試用證書和第三方系統的正式證書。進一步的,所述的第三方系統接入應用平臺步驟中,步驟(3)中的接口信息包括 SSO伺服器的身份驗證請求接口、第三方應用系統的身份驗證響應接口、SSO伺服器的單點註銷接口、SSO伺服器的用戶狀態心跳接口、第三方應用系統的單點註銷接口。進一步的,所述的第三方系統用戶的處理步驟中,步驟(II )中應用「用戶帳號關聯綁定」的方法為應用平臺的用戶第一次訪問第三方應用系統時,第三方系統顯示帳號綁定的界面,詢問當前用戶是否已經具有該第三方系統的登錄帳號,如果有,則提示用戶輸入登錄信息,登錄成功後,將應用平臺帳戶和第三方系統用戶綁定,在第三方系統內建立關聯關係;如果沒有,則不建立關聯關係。本發明的有益效果是本發明提供的基於私有協議的統一身份認證方法,使用私有協議的單點登錄統一身份認證接口,實現用戶只需登錄一次即可進入多個系統,無需重複登錄驗證,方便快捷,並且降低了安全風險,提升了應用效率,在企業信息化的發展過程中,起到至關重要的作用。
圖1為本發明的無需獨立用戶的第三方系統接入應用平臺方法的流程圖; 圖2為本發明的需要獨立用戶的第三方系統接入應用平臺方法的流程圖。
具體實施例方式實施例1
本實施例提供的一種基於私有協議的統一身份認證方法,所述方法應用於第三方系統和應用平臺之間,包含如下步驟
㈠第三方系統接入應用平臺,具體按以下步驟進行
⑴第三方系統和應用平臺分別提供兩個URL地址,用於處理第三方系統發送的請求信息,並根據處理結果,返回對應的響應狀態代碼;
⑵第三方系統預接入應用平臺時,第三方系統向應用平臺發送經過加密處理的請求數據包,請求接入;
請求數據包的參數包括經過籤名和對稱加密處理的接口參數和對上述接口參數進行不對稱加密後的數據。第三方系統通過HTTP-POST或HTTP-GET方式,向應用平臺發送請求時,請求的參數必須包含下述兩個參數
sso_request 經過籤名和加密處理後的接口參數的內容。具體請求的參數內容使用發送方的私鑰進行籤名,並使用隨機生成的對稱加密密鑰加密處理;
sso_secret 使用接收方的公鑰,對上述加密ssc^request參數值時使用的對稱加密密鑰信息進行不對稱加密後的內容。⑶應用平臺接收請求數據包,進行解密,根據請求內容提供統一身份認證環境的信息和接口信息;
其中,統一身份認證環境的信息包括
第三方系統的服務代碼表示每個第三方應用系統的唯一代碼; 應用平臺測試伺服器和實際伺服器的接口請求地址; 應用平臺測試伺服器和實際伺服器的公鑰證書;
第三方系統的測試用證書由應用平臺提供的和SSO測試伺服器通訊時使用的包含私鑰信息的X. 509證書和私鑰證書使用密碼,僅用於和SSO測試伺服器進行通訊,待正式接入時,應用平臺會重新頒發給該系統可用的正式證書;
第三方系統的正式證書由應用平臺CA頒發的包含私鑰信息的χ. 509證書以及私鑰證書使用密碼,如果該第三方系統已經基於PKI/RSA體系,並且具有自己的私鑰證書,只需在向平臺進行接入註冊時,向平臺提供其公鑰證書即可,無須應用平臺CA單獨頒發,該證書以及證書使用密碼通過其他方式或途徑單獨提供給服務提供商,以確保密鑰的安全。接口信息包括SS0伺服器的身份驗證請求接口、第三方應用系統的身份驗證響應接口、SSO伺服器的單點註銷接口、SSO伺服器的用戶狀態心跳接口、第三方應用系統的單點註銷接口。⑷第三方系統獲取應用平臺的統一身份認證環境信息和接口信息,完成接入;
以上所有發送和接收的信息中,身份驗證請求和響應的接口參數都必須被發送方進行籤名,並由接收方進行驗證,對接口參數的籤名是為了防止未經授權的第三方篡改原始請求fe息。信息發送過程中,使用H(CS#1中定義的RSASSA-PKCSl-vl_5籤名算法,使用SHA-I 作為EMSA-PKCSl-vl_5的散列算法,籤名方使用自己的χ. 509私鑰證書對經過正常化處理後的接口參數字符串進行籤名,接收方使用發送方的X. 509公鑰對籤名數據進行驗證。給信息加密時,使用對稱加密算法和不對稱加密算法,對請求參數的內容進行加密保護。即,使用隨機生成的對稱加密密鑰,對sS0_requeSt內容進行加密,並將密鑰作為 sso_secret參數值;使用不對稱加密算法對ss0_secret中的對稱密鑰進行加密。在接收到請求方發送的請求信息時,接收方使用請求參數加密描述的相反過程, 對請求參數進行解密,再使用接口參數籤名描述的過程對接口參數籤名進行驗證。㈡第三方系統接入應用平臺後,第三方系統的用戶按照以下兩種方式處理①無需獨立用戶的第三方系統的用戶處理方法;②需要獨立用戶的第三方系統的處理方法;
所述①無需獨立用戶的第三方系統的用戶處理方法具體按以下步驟進行,流程圖如圖 1所示
i第三方系統接入應用平臺時,如果沒有自身的用戶信息,直接使用平臺的用戶信息; 如果有一定數量的用戶但不需要保留,則將用戶信息完全導入到平臺中,使用平臺的用戶 fn息;
平臺用戶訪問第三方系統的受限信息,第三方系統判斷會話狀態緩存表中是否存在當前用戶登錄的會話信息,如果存在,則繼續訪問;如果不存在,調用統一身份認證的組件接口,檢查用戶在應用平臺的會話標識是否有效,如果有效,則繼續訪問,同時更新第三方系統的會話狀態緩存表;如果無效,則定向用戶到統一身份認證中的統一登錄界面完成登錄後,繼續訪問。所述②需要獨立用戶的第三方系統的處理方法具體按以下步驟進行,流程圖如圖 2所示
I需要獨立用戶的第三方系統接入應用平臺,如果應用平臺用戶可以訪問第三方系統,第三方系統用戶不可以訪問平臺,則進行步驟(II),如果應用平臺用戶的第三方系統用
戶可以互相訪問,則進行步驟(III。II對於應用平臺用戶可以訪問第三方系統,第三方系統用戶不可以訪問平臺的情況,使用「用戶帳號關聯綁定」的方式解決,即在第三方應用系統內實現和維護應用平臺用戶和本系統自身用戶帳號之間的關聯關係。「用戶帳號關聯綁定」的方法為應用平臺的用戶第一次訪問第三方應用系統時, 第三方系統顯示帳號綁定的界面,詢問當前用戶是否已經具有該第三方系統的登錄帳號, 如果有,則提示用戶輸入登錄信息,登錄成功後,將應用平臺帳戶和第三方系統用戶綁定, 在第三方系統內建立關聯關係;如果沒有,則不建立關聯關係。III對於應用平臺用戶的第三方系統用戶可以互相訪問的情況,第三方系統將用
戶信息封裝成組件,由應用平臺的統一身份認證中心對第三方系統的用戶進行管理,當第三方系統發送身份驗證請求時,統一身份認證中心根據用戶提交的身份標識,調用對應的訪問方法,完成驗證過程。除上述實施例外,本發明還可以有其他實施方式。凡採用等同替換或等效變換形成的技術方案,均落在本發明要求的保護範圍。
權利要求
1.基於私有協議的統一身份認證方法,其特徵在於所述方法應用於第三方系統和應用平臺之間,包含如下步驟㈠第三方系統接入應用平臺,具體按以下步驟進行⑴第三方系統和應用平臺分別提供兩個URL地址,用於處理第三方系統發送的請求信息,並根據處理結果,返回對應的響應狀態代碼;⑵第三方系統預接入應用平臺時,第三方系統向應用平臺發送經過加密處理的請求數據包,請求接入;⑶應用平臺接收請求數據包,進行解密,根據請求內容提供統一身份認證環境的信息和接口信息;⑷第三方系統獲取應用平臺的統一身份認證環境信息和接口信息,完成接入; ㈡第三方系統接入應用平臺後,第三方系統的用戶按照以下兩種方式處理①無需獨立用戶的第三方系統的用戶處理方法;②需要獨立用戶的第三方系統的處理方法; 所述①無需獨立用戶的第三方系統的用戶處理方法具體按以下步驟進行 i第三方系統接入應用平臺時,如果沒有自身的用戶信息,直接使用平臺的用戶信息; 如果有一定數量的用戶但不需要保留,則將用戶信息完全導入到平臺中,使用平臺的用戶 fn息; 平臺用戶訪問第三方系統的受限信息,第三方系統判斷會話狀態緩存表中是否存在當前用戶登錄的會話信息,如果存在,則繼續訪問;如果不存在,調用統一身份認證的組件接口,檢查用戶在應用平臺的會話標識是否有效,如果有效,則繼續訪問,同時更新第三方系統的會話狀態緩存表;如果無效,則定向用戶到統一身份認證中的統一登錄界面完成登錄後,繼續訪問;所述②需要獨立用戶的第三方系統的處理方法具體按以下步驟進行 I需要獨立用戶的第三方系統接入應用平臺,如果應用平臺用戶可以訪問第三方系統,第三方系統用戶不可以訪問平臺,則進行步驟(II),如果應用平臺用戶的第三方系統用戶可以互相訪問,則進行步驟(ΙΠ);II對於應用平臺用戶可以訪問第三方系統,第三方系統用戶不可以訪問平臺的情況, 使用「用戶帳號關聯綁定」的方式解決,即在第三方應用系統內實現和維護應用平臺用戶和本芊統自身用戶帳號之間的關聯關係;m對於應用平臺用戶的第三方系統用戶可以互相訪問的情況,第三方系統將用戶信息封裝成組件,由應用平臺的統一身份認證中心對第三方系統的用戶進行管理,當第三方系統發送身份驗證請求時,統一身份認證中心根據用戶提交的身份標識,調用對應的訪問方法,完成驗證過程。
2.根據權利要求1所述的基於私有協議的統一身份認證方法,其特徵在於所述的第三方系統接入應用平臺步驟中,步驟(2)中發送的請求數據包的參數包括經過籤名和對稱加密處理的接口參數和對上述接口參數進行不對稱加密後的數據。
3.根據權利要求1所述的基於私有協議的統一身份認證方法,其特徵在於所述的第三方系統接入應用平臺步驟中,步驟(3)中統一身份認證環境的信息包括第三方系統的服務代碼,應用平臺測試伺服器和實際伺服器的接口請求地址,應用平臺測試伺服器和實際伺服器的公鑰證書,第三方系統的測試用證書和第三方系統的正式證書。
4.根據權利要求1所述的基於私有協議的統一身份認證方法,其特徵在於所述的第三方系統接入應用平臺步驟中,步驟(3)中的接口信息包括SSO伺服器的身份驗證請求接口、第三方應用系統的身份驗證響應接口、SSO伺服器的單點註銷接口、SSO伺服器的用戶狀態心跳接口、第三方應用系統的單點註銷接口。
5.根據權利要求1所述的基於私有協議的統一身份認證方法,其特徵在於所述的第三方系統用戶的處理步驟中,步驟(II)中應用「用戶帳號關聯綁定」的方法為應用平臺的用戶第一次訪問第三方應用系統時,第三方系統顯示帳號綁定的界面,詢問當前用戶是否已經具有該第三方系統的登錄帳號,如果有,則提示用戶輸入登錄信息,登錄成功後,將應用平臺帳戶和第三方系統用戶綁定,在第三方系統內建立關聯關係;如果沒有,則不建立關聯關係。
全文摘要
本發明公開了基於私有協議的統一身份認證方法,所述方法應用於第三方系統和應用平臺之間,包含如下步驟第三方系統接入應用平臺,處理接入信息,完成接入。完成接入之後,需要對第三方系統的用戶做兩種方式處理無需獨立用戶的第三方系統接入應用平臺的用戶處理方法和需要獨立用戶的第三方系統接入應用平臺的用戶處理方法。所述方法實現用戶只需登錄一次即可進入多個系統,無需重複登錄驗證,方便快捷,並且降低了安全風險,提升了應用效率,在企業信息化的發展過程中,起到至關重要的作用。
文檔編號H04L29/06GK102315945SQ201110320299
公開日2012年1月11日 申請日期2011年10月20日 優先權日2011年10月20日
發明者周剛, 惠志本, 戴超, 湯衛鋒, 田又豐, 許雲龍 申請人:江蘇三源教育實業有限公司