專利名稱:一種基于數(shù)字證書的單點登錄方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種基于數(shù)字證書的單點登錄實現(xiàn)方法,可用于多應(yīng)用系統(tǒng)之間實現(xiàn)安全單點登錄,屬于信息安全技術(shù)領(lǐng)域。
背景技術(shù):
為了實現(xiàn)企業(yè)的信息化、電子商務(wù)和其他需求,越來越多的信息系統(tǒng)在網(wǎng)上出現(xiàn),這些企業(yè)的網(wǎng)絡(luò)用戶和系統(tǒng)管理員不得不面對下面這些問題1.用戶需要使用其中的任何一個企業(yè)應(yīng)用的時候都需要做一次身份認證,而且每一次認證使用的認證信息(用戶名和密碼)不能保證一致;2.系統(tǒng)管理員需要對每一個系統(tǒng)設(shè)置一種單獨的安全策略,而且需要為每個系統(tǒng)中的用戶單獨授權(quán)以保證他們不能訪問他們沒有被授權(quán)訪問的網(wǎng)絡(luò)資源。因此,以前使用的登錄系統(tǒng),需要給每一臺機器上的系統(tǒng),甚至是每臺機器上的每個應(yīng)用,準(zhǔn)備一套用戶管理系統(tǒng)和系統(tǒng)用戶授權(quán)策略??紤]到互操作的可操作性和安全問題,SSO單點登錄將一個企業(yè)內(nèi)部所有域中的用戶登錄和用戶帳號集中到一起管理,起到了.減少用戶在不同系統(tǒng)中登錄耗費的時間,以及用戶登錄出錯的可能性;在實現(xiàn)安全的同時避免了處理和保存多套系統(tǒng)用戶的認證信息;減少了系統(tǒng)管理員增加、刪除用戶和修改用戶權(quán)限的時間;增加了安全性,系統(tǒng)管理員也有了更好的方法管理用戶,包括可以通過直接禁止和刪除用戶來取消該用戶對所有系統(tǒng)資源的訪問權(quán)限等明顯效果SSO(Single Sign-On)直譯為一次登錄,也稱單點登錄。SSO的機制就是在企業(yè)網(wǎng)絡(luò)用戶訪問企業(yè)網(wǎng)站時作一次身份認證,隨后就可以對所有被授權(quán)的網(wǎng)絡(luò)資源進行無縫訪問,而不需要多次輸入自己的認證信息。SSO可以提高網(wǎng)絡(luò)用戶的工作效率,降低系統(tǒng)出錯幾率。SSO單點登錄的好處顯而易見但是比較難于實現(xiàn)。目前,SSO單點登錄主要是由各家中間件提供商在提供應(yīng)用服務(wù)器集群時提供一種認證信息共享機制,各家廠商提供的實現(xiàn)方式也不一樣,IBM公司的WebSphere應(yīng)用服務(wù)器是通過cookies記錄認證信息。BEA公司的WebLogic應(yīng)用服務(wù)器通過session共享技術(shù)實現(xiàn)認證信息的共享。國內(nèi)深圳金蝶的apusic應(yīng)用服務(wù)器采用和BEA公司基本一致的技術(shù)。其中,cookie是由Web站點發(fā)送到登錄用戶瀏覽器的一塊數(shù)據(jù),可以儲存在用戶的計算機內(nèi)作為匿名標(biāo)記,用來標(biāo)識用戶的計算機,這要求客戶允許在自己的計算機上接受存放cookie。Session也稱會話,它最主要的作用就是可以針對某一個用戶的特殊連接,建立一個私人變量,且這個變量可以在不同的頁面之間進行傳遞。然而,不論采用session共享技術(shù)還是通過cookies記錄認證信息,都存在不易保存、容易丟失的問題。session耗用資源,通常還具有時效性,一旦超時,信息就會全部丟失;而cookies只能應(yīng)用于接受cookie的瀏覽器上,有相當(dāng)?shù)木窒扌?。為了克服這些不足,本發(fā)明提出了一種有效的實現(xiàn)方法,使得用戶認證信息可以安全有效地在不同應(yīng)用系統(tǒng)之間傳遞,從而實現(xiàn)SSO單點登錄。
發(fā)明內(nèi)容
本發(fā)明的目的在于針對單點登錄時用戶認證信息不易保存、傳輸?shù)葐栴},提出一種采用數(shù)字證書、公/私鑰技術(shù)相結(jié)合,對用戶的登錄信息進行加密,實現(xiàn)加密后的信息在應(yīng)用系統(tǒng)之間有效安全地傳遞方法,從而使用戶認證信息安全有效地在不同應(yīng)用系統(tǒng)之間傳遞,實現(xiàn)SSO單點登錄。
實現(xiàn)單點登錄的最大難點在于保存用戶的登錄信息,并將其安全地傳送到各個應(yīng)用系統(tǒng),再根據(jù)用戶在各應(yīng)用系統(tǒng)的的訪問權(quán)限,控制用戶對受保護資源的訪問。保護信息安全最簡單有效的辦法無過于加密,本發(fā)明方法采用數(shù)字證書、公/私鑰技術(shù)相結(jié)合,對用戶登錄信息進行加密,加密后,信息就可以在應(yīng)用系統(tǒng)之間安全傳遞。本發(fā)明所提出的基于數(shù)字證書的單點登錄實現(xiàn)方法如下適用環(huán)境1.系統(tǒng)中有多個不同的應(yīng)用系統(tǒng),各系統(tǒng)有各自不同的軟硬件運行環(huán)境,本發(fā)明方法中假定各應(yīng)用系統(tǒng)均運行在獨立的應(yīng)用服務(wù)器上,用戶可以通過客戶端/瀏覽器訪問應(yīng)用系統(tǒng);2.每個用戶擁有自己的數(shù)字證書eKey(eKey中包括用戶的身份證書、簽名私鑰、加密算法);3.每個用戶有訪問不同應(yīng)用系統(tǒng)的權(quán)限,且在不同系統(tǒng)中有不同的訪問權(quán)限,這些權(quán)限信息都儲存在統(tǒng)一的系統(tǒng)數(shù)據(jù)庫中;4.本發(fā)明的環(huán)境中有一臺邏輯存在的登錄服務(wù)器,負責(zé)實現(xiàn)用戶的登錄功能,且實際中該登錄服務(wù)器可以與各應(yīng)用服務(wù)器共享相同的硬件設(shè)備;5.本發(fā)明的環(huán)境中還有一臺證書服務(wù)器,負責(zé)管理所有數(shù)字證書。
實現(xiàn)方法a.CA中心為每個應(yīng)用服務(wù)器頒發(fā)一套服務(wù)器證書,并相應(yīng)地生成一對公/私鑰對,證書與公/私鑰對存放在各應(yīng)用服務(wù)器上,僅用作標(biāo)識服務(wù)器身份及服務(wù)器端加解密;b.用戶訪問瀏覽器/客戶端上的登錄界面,向登錄服務(wù)器發(fā)出登錄請求;c.登錄服務(wù)器端收到請求后,生成一個隨機字符串,發(fā)向瀏覽器/客戶端,要求登錄者對這個字符串進行簽名;
d.瀏覽器/客戶端要求登錄者提供數(shù)字證書eKey;e.瀏覽器/客戶端調(diào)用數(shù)字證書eKey提供的接口,將隨機字符串簽名;f.瀏覽器/客戶端將簽名及登錄者的身份證書發(fā)送到登錄服務(wù)器端;g.登錄服務(wù)器先校驗用戶的簽名是否有效,如果驗證通過,說明用戶信息傳送過程中未被篡改;h.登錄服務(wù)器再校驗用戶證書是否有效,如果證書有效,可從證書中取出用戶的唯一標(biāo)識,并根據(jù)唯一標(biāo)識定位系統(tǒng)數(shù)據(jù)庫中的用戶權(quán)限信息;i.登錄服務(wù)器根據(jù)用戶權(quán)限信息構(gòu)造用戶登錄各應(yīng)用系統(tǒng)的代理主界面,代理主界面將提供所有應(yīng)用系統(tǒng)入口,并根據(jù)用戶權(quán)限確定用戶是否可以進入各應(yīng)用系統(tǒng);j.用戶發(fā)出訪問某應(yīng)用系統(tǒng)的請求;k.登錄服務(wù)器驗證用戶訪問該系統(tǒng)的權(quán)限信息;1.登錄服務(wù)器驗證用戶訪問該系統(tǒng)的權(quán)限通過后,從系統(tǒng)數(shù)據(jù)庫中取出該用戶的用戶名、口令,再到該系統(tǒng)所在的應(yīng)用服務(wù)器上獲取服務(wù)器證書及服務(wù)器公鑰;m.登錄服務(wù)器將登錄用戶的用戶名、口令、身份證書、被請求的應(yīng)用服務(wù)器證書等四種信息,用被請求的應(yīng)用服務(wù)器的服務(wù)器公鑰加密,形成登錄密文;n.登錄服務(wù)器將登錄密文發(fā)送到被請求的應(yīng)用服務(wù)器;o.應(yīng)用服務(wù)器用本服務(wù)器的私鑰解密登錄密文,獲得登錄用戶的用戶名、口令、身份證書等信息,同時將登錄密文保存在本服務(wù)器上;
p.應(yīng)用服務(wù)器根據(jù)用戶的身份證書從系統(tǒng)數(shù)據(jù)庫中獲得登錄用戶的用戶名、口令;q.應(yīng)用服務(wù)器將從系統(tǒng)數(shù)據(jù)庫中獲得登錄用戶的用戶名、口令與從登錄密文中解密獲得的用戶名、口令,相比對后,比對一致的用戶登錄成功,允許用戶訪問;r.應(yīng)用服務(wù)器根據(jù)從系統(tǒng)數(shù)據(jù)庫中獲得的用戶權(quán)限,準(zhǔn)許用戶訪問授權(quán)資源;s.用戶從正在訪問的應(yīng)用系統(tǒng)切換到另一應(yīng)用系統(tǒng)時,點擊“退出”按鈕,退出程序就可開始運行;t.退出程序從本服務(wù)器上取出保存的登錄密文,解密出用戶的用戶名、口令、身份證書,再用本服務(wù)器的私鑰加密,形成退出密文;u.應(yīng)用服務(wù)器將退出密文發(fā)送到登錄服務(wù)器,發(fā)出退出請求;v.登錄服務(wù)器用該應(yīng)用服務(wù)器的公鑰解密退出密文,獲得用戶的用戶名、口令、身份證書;w.登錄服務(wù)器重復(fù)步驟h,再校驗用戶證書是否有效,如果證書有效,可從證書中取出用戶的唯一標(biāo)識,并根據(jù)唯一標(biāo)識定位系統(tǒng)數(shù)據(jù)庫中的用戶權(quán)限信息,重新構(gòu)造登錄代理主界面,允許用戶訪問其他應(yīng)用系統(tǒng),而無須再次輸入登錄名、口令。
本發(fā)明方法應(yīng)用數(shù)字證書及公/私鑰技術(shù)實現(xiàn)多應(yīng)用系統(tǒng)的單點登錄,用戶信息以密文形式在多應(yīng)用系統(tǒng)間傳遞、存儲,安全可靠,既避免了session技術(shù)中由于session過期導(dǎo)致的用戶信息丟失,也解決了cookies技術(shù)中用戶拒絕cookies而受到的限制。用戶可一次登錄,在多系統(tǒng)之間運行,無須重復(fù)輸入登錄信息,在滿足使用方便的同時保障了安全性,具有很高的示范作用和推廣價值。本發(fā)明方法特別適用于對已有多應(yīng)用系統(tǒng)進行安全改造,原有應(yīng)用系統(tǒng)通過用戶名/口令控制登錄的功能仍然保留,在此基礎(chǔ)上增加數(shù)字證書身份認證,改造工作量小,改造后用戶在多應(yīng)用系統(tǒng)之間切換,無須重復(fù)校驗身份,真正實現(xiàn)了“一次登錄,到處漫游”,是一種安全實用,簡單方便的SSO單點登錄實現(xiàn)方法。
圖1為本發(fā)明方法軟件登錄界面示意圖。其中,1-登錄界面。
圖2為本發(fā)明方法軟件登錄代理主界面示意圖。其中,2-軟件登錄代理主界面。
圖3為本發(fā)明方法軟件應(yīng)用系統(tǒng)主界面示意圖。其中,3-軟件應(yīng)用系統(tǒng)登錄代理主界面。
圖4為本發(fā)明實現(xiàn)多應(yīng)用系統(tǒng)單點登錄方法流程圖。其中,4-開始;5-用戶發(fā)出登錄請求;6-登錄服務(wù)器隨機生成一段文字下傳到客戶端;7-客戶端用登錄者私鑰對隨機文字簽名并將自己的證書號一并發(fā)給登錄服務(wù)器;8-登錄服務(wù)器校驗簽名是否成功;9-拒絕登錄;10-登錄服務(wù)器校驗證書是否有效;11-拒絕登錄;12-登錄服務(wù)器獲取用戶訪問各應(yīng)用系統(tǒng)的權(quán)限,構(gòu)造登錄代理界面;13-用戶發(fā)出訪問某應(yīng)用系統(tǒng)的請求;14-登錄服務(wù)器校驗用戶訪問該系統(tǒng)的權(quán)限;15-拒絕訪問;16-登錄服務(wù)器將用戶名、口令、身份證書等信息用被請求訪問的服務(wù)器公鑰加密傳送給應(yīng)用服務(wù)器;17-應(yīng)用服務(wù)器解密出用戶名、口令等信息;18-應(yīng)用系統(tǒng)用戶名、口令校驗;19-拒絕訪問;20-使用系統(tǒng);21-退出系統(tǒng);22-應(yīng)用服務(wù)器將用戶的用戶名、口令、身份證書用本服務(wù)器的私鑰加密,發(fā)送到登錄服務(wù)器;23-登錄服務(wù)器解密出用戶名、口令、身份證書。
具體實施例方式
下面結(jié)合附圖詳細說明本發(fā)明實施例。
實施例采用本方法實現(xiàn)多個不同應(yīng)用系統(tǒng)之間單點登錄,首先假定各應(yīng)用系統(tǒng)原已存在,且均采用驗證用戶名、口令的方法進行登錄校驗。方法開始4后,用戶訪問登錄界面1,瀏覽器向登錄服務(wù)器發(fā)出登錄請求,登錄服務(wù)器生成隨機字符串S,并將隨機字符串S發(fā)回瀏覽器,提示用戶對隨機字符串S進行簽名,用戶提供數(shù)字證書eKey,輸入口令,數(shù)字證書eKey中采用HASH算法對字符串S進行簽名,獲得登錄密文E1,瀏覽器將登錄密文E1及用戶的身份證書發(fā)送到登錄服務(wù)器,服務(wù)器解密密文E1,驗證簽名及證書,驗證通過后訪問系統(tǒng)數(shù)據(jù)庫,構(gòu)造該用戶的權(quán)限信息,進而依據(jù)權(quán)限信息構(gòu)造系統(tǒng)登錄代理主界面2,以及各應(yīng)用系統(tǒng)明暗程度不同,暗示用戶是否可訪問該系統(tǒng)。用戶選擇要訪問的應(yīng)用系統(tǒng)后,發(fā)出訪問請求,登錄服務(wù)器驗證用戶的訪問權(quán)限,驗證通過后,從系統(tǒng)數(shù)據(jù)庫中取出用戶名、口令,與用戶證書一起用被請求的應(yīng)用服務(wù)器公鑰加密,形成訪問密文E2,發(fā)送至該應(yīng)用服務(wù)器,應(yīng)用服務(wù)器首先將訪問密文保存在本服務(wù)器上,再用自己的私鑰解密密文E2,獲得原始的用戶名、口令及用戶證書,然后用用戶名、口令做訪問校驗,校驗通過后用戶就可以訪問該應(yīng)用系統(tǒng)中自己被授權(quán)的資源,如應(yīng)用系統(tǒng)主界面3所示。用戶需要切換應(yīng)用系統(tǒng)時,點擊“退出”,退出程序取出保存的訪問密文E2,解密后獲得用戶的用戶名、口令、身份證書,再將這些信息用本服務(wù)器的私鑰加密,形成退出密文E3,發(fā)送給登錄服務(wù)器,登錄服務(wù)器用應(yīng)用服務(wù)器公鑰解密密文E3,獲得用戶的用戶名、口令、身份證書,再驗證用戶的證書、構(gòu)造登錄代理主界面,這樣用戶就又返回了系統(tǒng)登錄代理主界面2,可以再進行訪問其他應(yīng)用系統(tǒng)。多個不同應(yīng)用系統(tǒng)之間單點登錄具體流程如下方法開始4后,用戶發(fā)出登錄請求5,登錄服務(wù)器隨機生成一段文字,下傳到客戶端6,客戶端用登錄者私鑰對隨機文字簽名,并將自己的證書號一并發(fā)給登錄服務(wù)器7,登錄服務(wù)器校驗簽名是否成功8,如果不成功,則拒絕登錄9,如果簽名成功,登錄服務(wù)器校驗證書是否有效10,如果不成功,則拒絕登錄11,如果成功,登錄服務(wù)器獲取用戶訪問各應(yīng)用系統(tǒng)的權(quán)限,構(gòu)造登錄代理界面12。接著,用戶發(fā)出訪問某應(yīng)用系統(tǒng)的請求13,登錄服務(wù)器校驗用戶訪問該系統(tǒng)的權(quán)限14,如果不成功,則拒絕訪問15,如果成功,登錄服務(wù)器將用戶名、口令、身份證書等信息用被請求訪問的服務(wù)器公鑰加密傳送給應(yīng)用服務(wù)器16,應(yīng)用服務(wù)器解密出用戶名、口令等信息17,并由應(yīng)用系統(tǒng)對用戶名、口令校驗18,如果不成功,則拒絕訪問19,如果成功,則使用系統(tǒng)20。退出使用系統(tǒng)21時,應(yīng)用服務(wù)器將用戶的用戶名、口令、身份證書用本服務(wù)器的私鑰加密,發(fā)送到登錄服務(wù)器22,登錄服務(wù)器解密出用戶名、口令、身份證書23,再傳給登錄服務(wù)器校驗證書是否有效10。方法整個流程完整有效。采用本發(fā)明方法,用戶只需一次登錄,在不同應(yīng)用系統(tǒng)之間切換時,無須重新輸入用戶名和口令等驗證信息,這些信息被安全地加密保存,在各系統(tǒng)之間傳輸,既不會丟失,也不會泄密,對客戶端也沒有任何特殊要求,而且實現(xiàn)起來對原有的應(yīng)用系統(tǒng)無須做大量的改動,簡單易行,具有很好的推廣價值。
權(quán)利要求
1.一種基于數(shù)字證書的單點登錄實現(xiàn)方法,包括采用的數(shù)字證書、公/私鑰技術(shù)、登錄信息加密以及適用環(huán)境系統(tǒng)中有多個不同的應(yīng)用系統(tǒng),各系統(tǒng)有各自不同的軟硬件運行環(huán)境,并假定各應(yīng)用系統(tǒng)均運行在獨立的應(yīng)用服務(wù)器上,用戶可以通過客戶端/瀏覽器訪問應(yīng)用系統(tǒng);每個用戶擁有自己的用戶身份證書、簽名私鑰、加密算法的數(shù)字證書eKey;每個用戶有訪問不同應(yīng)用系統(tǒng)的權(quán)限,且在不同系統(tǒng)中有不同的訪問權(quán)限,權(quán)限信息儲存在統(tǒng)一的系統(tǒng)數(shù)據(jù)庫中;環(huán)境中有一臺邏輯存在的登錄服務(wù)器,負責(zé)實現(xiàn)用戶登錄功能,且實際中該登錄服務(wù)器可以與各應(yīng)用服務(wù)器共享相同的硬件設(shè)備;環(huán)境中還有一臺證書服務(wù)器,負責(zé)管理所有的數(shù)字證書,其特征在于單點登錄實現(xiàn)方法如下a.CA中心為每個應(yīng)用服務(wù)器頒發(fā)一套服務(wù)器證書,并相應(yīng)地生成一對公/私鑰對,證書與公/私鑰對存放在各應(yīng)用服務(wù)器上,僅用作標(biāo)識服務(wù)器身份及服務(wù)器端加解密;b.用戶訪問瀏覽器/客戶端上的登錄界面,向登錄服務(wù)器發(fā)出登錄請求;c.登錄服務(wù)器端收到請求后,生成一個隨機字符串,發(fā)向瀏覽器/客戶端,要求登錄者對這個字符串進行簽名;d.瀏覽器/客戶端要求登錄者提供數(shù)字證書eKey;e.瀏覽器/客戶端調(diào)用數(shù)字證書eKey提供的接口,將隨機字符串簽名;f.瀏覽器/客戶端將簽名及登錄者的身份證書發(fā)送到登錄服務(wù)器端;g.登錄服務(wù)器先校驗用戶的簽名是否有效,如果驗證通過,說明用戶信息傳送過程中未被篡改;h.登錄服務(wù)器再校驗用戶證書是不是有效,如果證書有效,可從證書中取出用戶的唯一標(biāo)識,并根據(jù)唯一標(biāo)識定位系統(tǒng)數(shù)據(jù)庫中的用戶權(quán)限信息;i.登錄服務(wù)器根據(jù)用戶權(quán)限信息構(gòu)造用戶登錄各應(yīng)用系統(tǒng)的代理主界面,代理主界面將提供所有應(yīng)用系統(tǒng)入口,并根據(jù)用戶權(quán)限確定用戶是否可以進入各應(yīng)用系統(tǒng);j.用戶發(fā)出訪問某應(yīng)用系統(tǒng)的請求;k.登錄服務(wù)器驗證用戶訪問該系統(tǒng)的權(quán)限信息;l.登錄服務(wù)器驗證用戶訪問該系統(tǒng)的權(quán)限通過后,從系統(tǒng)數(shù)據(jù)庫中取出該用戶的用戶名、口令,再到該系統(tǒng)所在的應(yīng)用服務(wù)器上獲取服務(wù)器證書及服務(wù)器公鑰;m.登錄服務(wù)器將登錄用戶的用戶名、口令、身份證書、被請求的應(yīng)用服務(wù)器證書等四樣信息,用被請求的應(yīng)用服務(wù)器的服務(wù)器公鑰加密,形成登錄密文;n.登錄服務(wù)器將登錄密文發(fā)送到被請求的應(yīng)用服務(wù)器;o.應(yīng)用服務(wù)器用本服務(wù)器的私鑰解密登錄密文,獲得登錄用戶的用戶名、口令、身份證書等信息,同時將登錄密文保存在本服務(wù)器上;p.應(yīng)用服務(wù)器根據(jù)用戶的身份證書從系統(tǒng)數(shù)據(jù)庫中獲得登錄用戶的用戶名、口令;q.應(yīng)用服務(wù)器將從系統(tǒng)數(shù)據(jù)庫中獲得登錄用戶的用戶名、口令與從登錄密文中解密獲得的用戶名、口令,相比對后,比對一致的用戶登錄成功,允許用戶訪問;r.應(yīng)用服務(wù)器根據(jù)從系統(tǒng)數(shù)據(jù)庫中獲得的用戶權(quán)限,準(zhǔn)許用戶訪問授權(quán)資源;s.用戶要從正在訪問的應(yīng)用系統(tǒng)切換到另一應(yīng)用系統(tǒng)時,點擊“退出”按鈕,退出程序就可開始運行;t.退出程序從本服務(wù)器上取出保存的登錄密文,解密出用戶的用戶名、口令、身份證書,再用本服務(wù)器的私鑰加密,形成退出密文;u.應(yīng)用服務(wù)器將退出密文發(fā)送到登錄服務(wù)器,發(fā)出退出請求;v.登錄服務(wù)器用該應(yīng)用服務(wù)器的公鑰解密退出密文,獲得用戶的用戶名、口令、身份證書;w.登錄服務(wù)器重復(fù)步驟h,再校驗用戶證書是否有效,如果證書有效,可從證書中取出用戶的唯一標(biāo)識,并根據(jù)唯一標(biāo)識定位系統(tǒng)數(shù)據(jù)庫中的用戶權(quán)限信息,重新構(gòu)造登錄代理主界面,允許用戶訪問其他應(yīng)用系統(tǒng),而無須再次輸入登錄名、口令。
全文摘要
本發(fā)明涉及一種基于數(shù)字證書的單點登錄實現(xiàn)方法。通過在應(yīng)用服務(wù)器存放數(shù)字證書及公/私鑰對,利用服務(wù)器公/私鑰,將用戶信息加密保存應(yīng)用于多應(yīng)用系統(tǒng)之間,實現(xiàn)安全單點登錄,安全可靠。既避免了由于session過期導(dǎo)致的用戶信息丟失,也解決了用戶拒絕cookies而受到的限制。用戶可一次登錄,無須重復(fù)輸入登錄信息,使用方便安全,具有很高的示范作用和推廣價值。本發(fā)明方法特別適用于對已有多應(yīng)用系統(tǒng)的安全改造,且原應(yīng)用系統(tǒng)通過用戶名/口令控制登錄的功能仍然保留。增加數(shù)字證書身份認證,改造工作量小。改造后,用戶在多應(yīng)用系統(tǒng)之間切換,無須重復(fù)校驗身份,真正實現(xiàn)了“一次登錄,到處漫游”,是一種安全實用,簡單方便的單點登錄實現(xiàn)方法。
文檔編號H04L9/32GK1547343SQ20031010948
公開日2004年11月17日 申請日期2003年12月17日 優(yōu)先權(quán)日2003年12月17日
發(fā)明者顧建榮 申請人:上海市高級人民法院