專利名稱:一種跨管理域?qū)崿F(xiàn)身份認證的單點登錄方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種網(wǎng)絡(luò)用戶的身份認證的方法,確切地說,涉及一種基于Cookie的跨管理域?qū)崿F(xiàn)身份認證的單點登錄方法,屬于通信或互聯(lián)網(wǎng)應(yīng)用技術(shù)領(lǐng)域。
背景技術(shù):
目前,有一種比較典型的跨管理域的單點登錄方法得到了普遍的應(yīng)用,也就是基于個人數(shù)字證書的方法。用戶首先在一個權(quán)威公正的第三方機構(gòu)(即CA中心)申請其簽發(fā)的個人數(shù)字證書,并將該證書保存在用戶計算機中。當(dāng)用戶訪問管理域A網(wǎng)站時,管理域A網(wǎng)站會讀取用戶計算機上的個人證書,如果該管理域信任該證書的頒發(fā)機構(gòu)(即CA中心)的話,則可以讀取證書中的用戶身份信息,從而辨別出用戶身份;同理,用戶訪問另一個管理域B網(wǎng)站時,管理域B網(wǎng)站也可以識別用戶身份。
上述這種方法,在一定程度上滿足了用戶登錄系統(tǒng)時必須要對其身份進行鑒權(quán)和確認的需求,但是存在不足之處首先,用戶需要下載證書。對于互聯(lián)網(wǎng)的眾多用戶來說,每個人的電腦知識和操作技能參差不齊,而下載和安裝證書又是一個比較復(fù)雜的電腦操作過程,需要一定的專業(yè)知識。如果采用證書方式,必然會導(dǎo)致大量用戶放棄該項安裝操作,從而阻礙了業(yè)務(wù)推廣。另外,該證書是靜態(tài)地保存在用戶計算機上的,缺乏移動性。如果用戶在其他計算機上訪問網(wǎng)站時,則需要再次下載和安裝證書,為用戶帶來很大的不便。
發(fā)明內(nèi)容
有鑒于此,本發(fā)明的目的是提供一種跨管理域?qū)崿F(xiàn)身份認證的單點登錄方法,該方法相當(dāng)簡單方便,不僅降低了用戶的使用難度,提高了易用性,而且,具有很好的移動性,無論用戶使用自己或他人的計算機,都可以隨時隨地進行身份鑒權(quán)和確認。
為了達到上述目的,本發(fā)明提供了一種跨管理域?qū)崿F(xiàn)身份認證的單點登錄方法,該方法包括下列步驟(1)公共認證中心網(wǎng)站在接收到用戶要求登錄的請求后,向該用戶返回輸入命令,要求輸入其身份認證信息;(2)公共認證中心接收到用戶輸入的身份認證信息后,將接收到的身份認證信息與原先保存的用戶身份信息進行對比,如果兩者相同,則完成認證,執(zhí)行后續(xù)步驟;否則,認證失敗,給該用戶返回認證失敗信息,結(jié)束該流程;(3)公共認證中心生成一個表示用戶身份的令牌,并對該令牌進行加密處理,以使該信息只能被公共認證中心解密讀取,然后將該令牌寫入到用戶瀏覽器中的臨時文本文件cookie中;(4)當(dāng)用戶訪問一個管理域網(wǎng)站時,該管理域網(wǎng)站的認證系統(tǒng)通過超級文本傳輸協(xié)議HTTP(Hyper Text Transfer Protocol)中的重定向Redirect命令將用戶瀏覽器重定向至公共認證中心;(5)公共認證中心讀取該用戶瀏覽器中的令牌,在解密處理后,讀取該用戶身份信息,以識別該用戶身份;(6)公共認證中心將用戶瀏覽器重定向,使得該瀏覽器回到該管理域的認證系統(tǒng);此時附帶有該用戶身份信息,并傳遞給該管理域的認證系統(tǒng);(7)該管理域的認證系統(tǒng)獲得該用戶身份信息,則識別了該用戶身份,無需該用戶再次輸入其身份認證信息,實現(xiàn)了單點登錄。
所述步驟中的身份認證信息至少包括用戶賬號和用戶密碼。
所述步驟(3)中的令牌是計算機用戶訪問網(wǎng)站所必需的憑證,即只有當(dāng)計算機用戶具備對網(wǎng)站進行訪問所需的令牌,該訪問才能夠成功;否則,該訪問會被所訪問的網(wǎng)站拒絕。
所述令牌的分配、保存和檢查都由公共認證中心統(tǒng)一管理。
所述令牌的格式至少包括令牌標(biāo)識,該令牌標(biāo)識是公共認證中心統(tǒng)一分配的、包含該用戶身份信息、用于唯一標(biāo)識該令牌的字符串。
所述用戶瀏覽器中的臨時文本文件cookie中存儲的是該用戶的身份認證信息或該身份認證信息的索引。
本發(fā)明是一種基于Cookie的跨管理域?qū)崿F(xiàn)身份認證的單點登錄方法,其優(yōu)點是不需要用戶下載和安裝數(shù)字證書,只要一次性地在公共認證中心輸入該用戶的身份認證信息,就可以隨時隨地使用任意一臺計算機,訪問相關(guān)網(wǎng)站,享受單點登錄功能。該方法大大簡化了用戶的操作,為用戶提供了一種簡單、便利、非常容易操作的登錄注冊使用流程和界面,具有很好的應(yīng)用前景。
圖1是本發(fā)明方法的一個實施例的信息交互時序圖。
具體實施例方式
為使本發(fā)明的目的、技術(shù)方案和優(yōu)點更加清楚,下面結(jié)合附圖和實施例對本發(fā)明作進一步的詳細描述。
參見圖1,具體介紹本發(fā)明作為一種跨管理域?qū)崿F(xiàn)身份認證的單點登錄方法的實施例的各個操作步驟1、一個用戶訪問公共認證中心網(wǎng)站(www.auth.com.cn),要求登錄注冊;2、公共認證中心要求該用戶輸入至少包括用戶賬號和用戶密碼的身份認證信息;3、該用戶輸入身份認證信息賬號=a,密碼=password;4、公共認證中心對接收到的認證信息(“賬號=a,密碼=password”)與其原先保存的用戶身份認證信息(賬號=a,密碼=password)進行對比處理,因為兩者信息完全一致,則通過認證,確認當(dāng)前用戶就是原來的用戶a,繼續(xù)執(zhí)行后續(xù)操作步驟;如果兩者信息不相符合,則認證失敗,公共認證中心就給該用戶返回認證失敗信息,結(jié)束該流程;
5、公共認證中心生成一個表示該用戶身份的令牌,該令牌是一個由公共認證中心統(tǒng)一分配、用于唯一標(biāo)識該令牌、并包含該用戶身份信息的字符串,例如至少包括以下信息“account=‘a(chǎn)’,ExpireTime=‘2005010120:30:00’”;再對該令牌進行加密后,將加密生成的字符串“qJzGEh6hESZDVJeCnFPGuxzaiB7NLQM3......”寫入到用戶瀏覽器中的臨時文本文件cookie中;6、此后,當(dāng)用戶訪問另一個管理域A網(wǎng)站(www.a.com.cn)時;7、管理域A網(wǎng)站的認證系統(tǒng)通過HTTP協(xié)議的Redirect命令將該用戶瀏覽器重定向至公共認證中心;8、公共認證中心讀取該用戶瀏覽器中的加密后的令牌”qJzGEh6hESZDVJeCnFPGuxzaiB7NLQM3......”,并進行解密后,讀出其中包含該用戶身份信息的字符串信息“account=‘a(chǎn)’,ExpireTime=‘2005010120:30:00’”,即讀出了用戶身份信息為用戶a,識別了該用戶的身份;9、公共認證中心將用戶瀏覽器重定向,使用戶瀏覽器回到管理域A的認證系統(tǒng),同時將該用戶身份信息“account=‘a(chǎn)’”作為傳遞參數(shù),傳遞給管理域A的認證系統(tǒng);10、管理域A的認證系統(tǒng)獲得該用戶身份信息,則識別了用戶身份為用戶a;在上述過程中,不需要用戶再次輸入身份認證信息,實現(xiàn)了單點登錄。
本發(fā)明的方法已經(jīng)由申請人進行了實施試驗,試驗是成功的,完全實現(xiàn)了發(fā)明目的。
權(quán)利要求
1.一種跨管理域?qū)崿F(xiàn)身份認證的單點登錄方法,其特征在于包括下列步驟(1)公共認證中心網(wǎng)站在接收到用戶要求登錄的請求后,向該用戶返回輸入命令,要求輸入其身份認證信息;(2)公共認證中心接收到用戶輸入的身份認證信息后,將接收到的身份認證信息與原先保存的用戶身份信息進行對比,如果兩者相同,則完成認證,執(zhí)行后續(xù)步驟;否則,認證失敗,給該用戶返回認證失敗信息,結(jié)束該流程;(3)公共認證中心生成一個表示用戶身份的令牌,并對該令牌進行加密處理,以使該信息只能被公共認證中心解密讀取,然后將該令牌寫入到用戶瀏覽器中的臨時文本文件cookie中;(4)當(dāng)用戶訪問一個管理域網(wǎng)站時,該管理域網(wǎng)站的認證系統(tǒng)通過超級文本傳輸協(xié)議HTTP中的重定向Redirect命令將用戶瀏覽器重定向至公共認證中心;(5)公共認證中心讀取該用戶瀏覽器中的令牌,在解密處理后,讀取該用戶身份信息,以識別該用戶身份;(6)公共認證中心將用戶瀏覽器重定向,使得該瀏覽器回到該管理域的認證系統(tǒng);此時附帶有該用戶身份信息,并傳遞給該管理域的認證系統(tǒng);(7)該管理域的認證系統(tǒng)獲得該用戶身份信息,則識別了該用戶身份,無需該用戶再次輸入其身份認證信息,實現(xiàn)了單點登錄。
2.根據(jù)權(quán)利要求1所述的實現(xiàn)身份認證的單點登錄方法,其特征在于所述步驟中的身份認證信息至少包括用戶賬號和用戶密碼。
3.根據(jù)權(quán)利要求1所述的實現(xiàn)身份認證的單點登錄方法,其特征在于所述步驟(3)中的令牌是計算機用戶訪問網(wǎng)站所必需的憑證,即只有當(dāng)計算機用戶具備對網(wǎng)站進行訪問所需的令牌,該訪問才能夠成功;否則,該訪問會被所訪問的網(wǎng)站拒絕。
4.根據(jù)權(quán)利要求3所述的實現(xiàn)身份認證的單點登錄方法,其特征在于所述令牌的分配、保存和檢查都由公共認證中心統(tǒng)一管理。
5.根據(jù)權(quán)利要求3所述的實現(xiàn)身份認證的單點登錄方法,其特征在于所述令牌的格式至少包括令牌標(biāo)識,該令牌標(biāo)識是公共認證中心統(tǒng)一分配的、包含該用戶身份信息、用于唯一標(biāo)識該令牌的字符串。
6.根據(jù)權(quán)利要求1所述的實現(xiàn)身份認證的單點登錄方法,其特征在于所述用戶瀏覽器中的臨時文本文件cookie中存儲的是該用戶的身份認證信息或該身份認證信息的索引。
全文摘要
一種跨管理域?qū)崿F(xiàn)身份認證的單點登錄方法,用戶登錄公共認證中心網(wǎng)站和輸入身份認證信息后,由公共認證中心生成一個表示該用戶身份的令牌,并對令牌進行加密,以使只有公共認證中心才能解密讀取該令牌;再將該令牌寫入用戶瀏覽器中的臨時文本文件cookie中。以后,用戶訪問其它管理域網(wǎng)站時,由該網(wǎng)站的認證系統(tǒng)將用戶瀏覽器重定向至公共認證中心,由公共認證中心識別該用戶身份后,再將用戶瀏覽器重定向回到該管理域的認證系統(tǒng),同時將該用戶身份信息傳遞給該管理域的認證系統(tǒng)進行確認,實現(xiàn)單點登錄。該方法不需用戶下載和安裝數(shù)字證書,只要一次登錄公共認證中心網(wǎng)站后,就可使用任意一臺計算機訪問其它網(wǎng)站,簡化用戶操作,有很好的應(yīng)用前景。
文檔編號H04L29/06GK1812403SQ200510004918
公開日2006年8月2日 申請日期2005年1月28日 優(yōu)先權(quán)日2005年1月28日
發(fā)明者陸立, 梁容文, 楊新章, 唐宏, 徐雄 申請人:廣東省電信有限公司科學(xué)技術(shù)研究院