專利名稱:一種多應(yīng)用系統(tǒng)對用戶身份進行認證的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種對用戶身份進行認證的方法����,尤其是一種多應(yīng)用 系統(tǒng)對用戶身份進行認證的方法。
背景技術(shù):
隨著企業(yè)業(yè)務(wù)的發(fā)展����,企業(yè)業(yè)務(wù)應(yīng)用系統(tǒng)數(shù)量迅速增加。目前�����, 對用戶的身傷^人證分別由各個業(yè)務(wù)應(yīng)用系統(tǒng)完成�,因此,為了訪問不
同的應(yīng)用系統(tǒng)���,用戶必須分別在不同的應(yīng)用系統(tǒng)--輸入自身的用戶
憑證。在應(yīng)用系統(tǒng)數(shù)量迅速增加和市場化迅猛發(fā)展的情況下��,這種管 理模式的弊端日益顯現(xiàn)�����,尤其是在應(yīng)用系統(tǒng)成倍增加的情況下��,這種 弊端表現(xiàn)得尤為突出。此外���,由于每個應(yīng)用系統(tǒng)都建立自成體系的登 錄控制方法�,當需要更換用戶登錄策略時�,必須針對各個目標應(yīng)用一 一入手完成相關(guān)的改造或升級工作,無法實現(xiàn)登錄控制的有效重用�, 從而增加了系統(tǒng)的開發(fā)成本和開發(fā)周期,加大了生產(chǎn)成本�����,并且對信 息安全構(gòu)成了嚴重威脅����。
發(fā)明內(nèi)容
本發(fā)明要解決的技術(shù)問題是提供一種能實現(xiàn)對用戶身份的統(tǒng)一認 證的多應(yīng)用系統(tǒng)對用戶身份進行認證的方法。
本發(fā)明解決其技術(shù)問題所采用的技術(shù)方案是
一種多應(yīng)用系統(tǒng)對用戶身份進行認證的方法����,包括以下步驟
1.1用戶要訪問的應(yīng)用系統(tǒng)將所述應(yīng)用系統(tǒng)的認證請求^發(fā)送 給統(tǒng)一認證服務(wù)系統(tǒng);
1. 2所述統(tǒng)一認證月l務(wù)系統(tǒng)獲得所述i人證請求^t后對所述用戶 進行認證���,并將認證響應(yīng)^IL^送給所述應(yīng)用系統(tǒng)�;
1. 3所述應(yīng)用系統(tǒng)根據(jù)所述認證響應(yīng)M允許所述用戶對其進行 訪問��。
上述方案中,所述步驟1. 2包括以下步驟 2.1所述統(tǒng)一認證服務(wù)系統(tǒng)獲得述認證請求參數(shù)�����; 2.2所述用戶嘗試登陸所述統(tǒng)一認證服務(wù)系統(tǒng)���,若登陸成功��,則 保存登陸標記后進入步驟2. 3,否則所述用戶重新執(zhí)行所述步驟2. 2;
2.3所述統(tǒng)一認證服務(wù)系統(tǒng)獲得所述認證響應(yīng)參數(shù)��,并將所述i人 證響應(yīng)^ _送給所述應(yīng)用系統(tǒng)
上述方案中����,所述步驟2. 2中���,所述用戶根據(jù)所述統(tǒng)一認證服務(wù) 系統(tǒng)應(yīng)用的認證模式采用相應(yīng)的方式嘗試登陸���,所述認證模式包括 LDAP (Lightweight Directory Access Protocol,輕量級目錄訪問協(xié) 議)認證模式�����、證書認證模式�����、802. lx認證才莫式、^^體訪問控制子層 地址綁定認證模式�����、硬盤序列號綁定認iit^莫式����、密碼策略認iit4莫式及 用戶安全性檢查i人iit^莫式。
上述方案中����,所述認證請求參數(shù)通過所述應(yīng)用系統(tǒng)與所述統(tǒng)一認 證服務(wù)系統(tǒng)的共享密鑰加密后傳輸給所述統(tǒng)一認證服務(wù)系統(tǒng),所述統(tǒng) 一認證服務(wù)系統(tǒng)通過所述共享密鑰對其解密后獲得所述認證請求參 數(shù)�����;所述統(tǒng)一認證服務(wù)器對所述用戶進行認證后�,所述認證響應(yīng)M 通過所述共享密鑰加密后傳輸給所述應(yīng)用系統(tǒng),所述應(yīng)用系統(tǒng)通過所
述共享密鑰對其解密后獲得所述認證響應(yīng)Wt���。
上述方案中�����,所述認證請求參數(shù)包括所述應(yīng)用系統(tǒng)的服務(wù)器網(wǎng)絡(luò) 地址���、所述應(yīng)用系統(tǒng)的服務(wù)標識號及所述認證請求的有效時間長度���。
上述方案中,所述認證響應(yīng)參數(shù)包括所述應(yīng)用系統(tǒng)的服務(wù)器網(wǎng)絡(luò) 地址����、所述應(yīng)用系統(tǒng)的服務(wù)標識號、所述用戶訪問所述應(yīng)用系統(tǒng)的標 識號及所述認證響應(yīng)的有效時間長度���。
上述方案中�����,所述應(yīng)用系統(tǒng)與所述統(tǒng)一iUiJ5l務(wù)系統(tǒng)的共享密鑰 是所述統(tǒng)一認證服務(wù)系統(tǒng)為所述應(yīng)用系統(tǒng)單獨分配的�����,所述應(yīng)用系統(tǒng) 定時在所述統(tǒng)一認證服務(wù)系統(tǒng)獲取�����。
上述方案中����,所述步驟l. l前��,所述應(yīng)用系統(tǒng)判斷所述用戶是否 訪問過本系統(tǒng)�����,若所述用戶未訪問過本系統(tǒng)��,則進入所述步驟1.1��, 否則�����,所述應(yīng)用系統(tǒng)直接允許所述用戶對其進行訪問����。
本發(fā)明的有益效果主要表現(xiàn)在本發(fā)明提供的技術(shù)方案應(yīng)用統(tǒng)一 的身份認證系統(tǒng)為多個應(yīng)用系統(tǒng)提供統(tǒng)一的身傷4人證,認證方式靈活 多樣�,實現(xiàn)了對用戶的集中管理,增強了多應(yīng)用系統(tǒng)對需求和市場變 化的適應(yīng)能力�。
圖1為本發(fā)明多應(yīng)用系統(tǒng)對用戶身份進行認證的方法流程圖。
具體實施例方式
下面結(jié)合附圖對本發(fā)明作進一步的描述。
參照圖1�,當用戶要訪問多應(yīng)用系統(tǒng)中某一應(yīng)用系統(tǒng)時,該應(yīng)用 系統(tǒng)首先需對用戶身份進行認證�����,其包括以下步驟
步驟101:該應(yīng)用系統(tǒng)判斷用戶是否訪問過本系統(tǒng)�,若用戶未訪 問過本系統(tǒng),則進入步驟102����,否則,該應(yīng)用系統(tǒng)直接允許用戶對其 進行訪問�����。
步驟102:該應(yīng)用系統(tǒng)將認證請求M發(fā)送給統(tǒng)一認證服務(wù)系統(tǒng)��; 其中�����,認證請求M包括該應(yīng)用系統(tǒng)的服務(wù)器網(wǎng)絡(luò)地址���、該應(yīng)用系統(tǒng) 的服務(wù)標識號及本次認證請求的有效時間長度�����;認證請求>|^:通過該 應(yīng)用系統(tǒng)與統(tǒng)一認證服務(wù)系統(tǒng)的共享密鑰加密后傳輸給統(tǒng)一認證服務(wù) 系統(tǒng)��;
步驟103:統(tǒng)一認證服務(wù)系統(tǒng)通過與該應(yīng)用系統(tǒng)的共享密鑰對接 收到的加密后的認證請求^t解密后獲得認證請求^^:;
步驟104:用戶根據(jù)統(tǒng)一認證服務(wù)系統(tǒng)應(yīng)用的認ii^漠式采用相應(yīng) 的方式嘗試登陸統(tǒng)一認證服務(wù)系統(tǒng)�����,若登陸成功�����,則保存登陸標記后 進入步驟105,否則用戶重新執(zhí)行本步驟����;其中�,統(tǒng)一認證服務(wù)系統(tǒng)
的認iiMt式包括以下幾種
1、 LDAP認證模式
本模式為統(tǒng)一認證服務(wù)系統(tǒng)提供的缺省認證方式�����,使用LDAP認證 方式���,用戶名與口令是存儲在指定的LDAP目錄中�;當 一個用戶登錄時, 提供的用戶名與口令若與該LDAP目錄中指定子樹中某一個用戶記錄 的用戶名與口令相同����,則認證成功,登錄者具有LDAP目錄中該用戶記 錄對應(yīng)的身份��;
2�����、 證書認iiD漠式
4^莫式使用X509v3數(shù)字證書����,只要客戶端可以提供X509v3數(shù)字 證書,系統(tǒng)允許其登錄���;可以配置用戶的個人數(shù)字證書必須和目錄服 務(wù)器中存儲的證書相同�����,并與證書回收列表比較以確保個人證書是有
效的��;
3���、 802. lx認W莫式
統(tǒng)一認證服務(wù)系統(tǒng)應(yīng)用;^f莫式時����,采用802. lx認證協(xié)議對用戶進 行認證����;
4、 MAC (Media Access Control,媒體訪問控制子層)地址綁定
統(tǒng)一認證服務(wù)系統(tǒng)應(yīng)用;^漠式時�,需要驗證用戶的用戶名和密碼 以及用戶終端的MAC地址信息��;只有當用戶名�����、密碼和MAC地址信息 都通過^Ht之后�,用戶才能通過認證;
5���、 硬盤序列號綁定^人ii^莫式
統(tǒng)一認證服務(wù)系統(tǒng)應(yīng)用本模式時��,需要發(fā)汪用戶的用戶名和密碼 以及用戶終端的硬盤序列號信息�����;只有當用戶名�����、密碼和硬盤序列號 信息都通過一瞼證之后�����,用戶才能通過認證�;
6、 密碼策略認證模式
統(tǒng)一認證服務(wù)系統(tǒng)應(yīng)用扣漠式時��,用戶第一次登錄時����,需要修改 賬號的默認口令;口令到期(至少每90天)后�����,統(tǒng)一認證服務(wù)系統(tǒng)能 夠強制用戶進行修改��,并與最近5次內(nèi)的口令(或者它們的密文)進 行比較���,確保更新后的口令不和最近5次內(nèi)使用口令相同����;
7、 用戶安全性檢查認iiE^莫式
統(tǒng)一認證服務(wù)系統(tǒng)應(yīng)用本才莫式時���,系統(tǒng)將用戶終端的安全軟件的 安裝及運行狀態(tài)作為認證方式�����;例如��,只有安裝了 TC0或者SYGATE 軟件并運行狀態(tài)正常的用戶才有可能通過認證���;
步驟105:用戶登陸統(tǒng)一認證服務(wù)系統(tǒng)后����,系統(tǒng)獲得認證響應(yīng)參 數(shù),并將認證響應(yīng)Wt通過統(tǒng)一認證服務(wù)系統(tǒng)和該應(yīng)用系統(tǒng)的共享密鑰加密后傳輸給該應(yīng)用系統(tǒng)����;其中,認證響應(yīng)Wt包括該應(yīng)用系統(tǒng)的 月l務(wù)器網(wǎng)絡(luò)地址���、該應(yīng)用系統(tǒng)的月l務(wù)標識號��、用戶訪問該應(yīng)用系統(tǒng)的 標識號及認證響應(yīng)的有效時間長度�����;
步驟106:該應(yīng)用系統(tǒng)通過與統(tǒng)一認證服務(wù)系統(tǒng)的共享密鑰對接 收到的加密后的認證響應(yīng)M解密后獲得認證響應(yīng)M����, ^中包括 用戶訪問該應(yīng)用系統(tǒng)的標識號,因此�,該應(yīng)用系統(tǒng)據(jù)此允許用戶對其 進行訪問。
上述流程中���,該應(yīng)用系統(tǒng)與統(tǒng)一認證服務(wù)系統(tǒng)的共享密鑰是統(tǒng)一 認證服務(wù)系統(tǒng)為該應(yīng)用系統(tǒng)單獨分配的���,該應(yīng)用系統(tǒng)定時在統(tǒng)一認證 服務(wù)系統(tǒng)獲取。統(tǒng)一認證服務(wù)系統(tǒng)為多應(yīng)用系統(tǒng)中各個應(yīng)用系統(tǒng)分配 不同的共享密鑰���,由各個應(yīng)用系統(tǒng)分別定時在統(tǒng)一認證服務(wù)系統(tǒng)獲取���。
權(quán)利要求
1、一種多應(yīng)用系統(tǒng)對用戶身份進行認證的方法��,其特征在于��,包括以下步驟1.1用戶要訪問的應(yīng)用系統(tǒng)將所述應(yīng)用系統(tǒng)的認證請求參數(shù)發(fā)送給統(tǒng)一認證服務(wù)系統(tǒng);1.2所述統(tǒng)一認證服務(wù)系統(tǒng)獲得所述認證請求參數(shù)后對所述用戶進行認證�����,并將認證響應(yīng)參數(shù)發(fā)送給所述應(yīng)用系統(tǒng)�����;1.3所述應(yīng)用系統(tǒng)根據(jù)所述認證響應(yīng)參數(shù)允許所述用戶對其進行訪問�。
2 、如權(quán)利要求1所述的多應(yīng)用系統(tǒng)對用戶身份進行認證的方法���, 其特征在于��,所述步驟1.2包括以下步驟2.1所述統(tǒng)一認證服務(wù)系統(tǒng)獲得述認證請求參數(shù)��;2.2所述用戶嘗試登陸所述統(tǒng)一認證服務(wù)系統(tǒng)�,若登陸成功�����,則保存登陸標記后進入步驟2.3���,否則所述用戶重新執(zhí)行所述步驟2.2; 2.3所述統(tǒng)一認證服務(wù)系統(tǒng)獲得所述認證響應(yīng)參數(shù),并將所述認證響應(yīng)^L^送給所述應(yīng)用系統(tǒng)。
3 ���、如權(quán)利要求2所迷的多應(yīng)用系統(tǒng)對用戶身份進行認證的方法���, 其特征在于所述步驟2,2中,所述用戶根據(jù)所述統(tǒng)一認證服務(wù)系統(tǒng) 應(yīng)用的認ii^莫式采用相應(yīng)的方式嘗試登陸���,所述認iiD漠式包括輕量級 目錄訪問協(xié)議認iiMi式��、證書認iiMi式���、802.1x認iit^莫式、媒體訪問 控制子層地址綁定認ijMt式�����、硬盤序列號綁定認ii^莫式��、密碼策略認 證模式及用戶安全性檢查認證模式�����。
4���、如權(quán)利要求1至3其中之一所述的多應(yīng)用系統(tǒng)對用戶身份進行 認證的方法�,其特征在于所述認證請求l^t通過所述應(yīng)用系統(tǒng)與所 述統(tǒng)一認證服務(wù)系統(tǒng)的共享密鑰加密后傳輸給所述統(tǒng)一認證服務(wù)系 統(tǒng),所述統(tǒng)一認證服務(wù)系統(tǒng)通過所述共享密鑰對其解密后獲得所述認 證請求^lt;所述統(tǒng)一認證服務(wù)器對所述用戶進行認證后���,所述認證 響應(yīng)參數(shù)通過所述共享密鑰加密后傳輸給所述應(yīng)用系統(tǒng)����,所述應(yīng)用系 統(tǒng)通過所述共享密鑰對其解密后獲得所述認證響應(yīng)M���。
5 ���、如權(quán)利要求4所述的多應(yīng)用系統(tǒng)對用戶身份進行認證的方法, 其特征在于所述認證請求參數(shù)包括所述應(yīng)用系統(tǒng)的服務(wù)器網(wǎng)絡(luò)地址��、 所述應(yīng)用系統(tǒng)的服務(wù)標識號及所述認證請求的有效時間長度���。
6��、如權(quán)利要求5所述的多應(yīng)用系統(tǒng)對用戶身份進行認證的方法��, 其特征在于所述認證響應(yīng)參數(shù)包括所述應(yīng)用系統(tǒng)的服務(wù)器網(wǎng)絡(luò)地址、 所述應(yīng)用系統(tǒng)的月l務(wù)標識號�、所述用戶訪問所述應(yīng)用系統(tǒng)的標識號及 所述認證響應(yīng)的有效時間長度。
7 、如權(quán)利要求6所述的多應(yīng)用系統(tǒng)對用戶身份進行認證的方法���, 其特征在于所述應(yīng)用系統(tǒng)與所述統(tǒng)一認證服務(wù)系統(tǒng)的共享密鑰是所 述統(tǒng)一認證服務(wù)系統(tǒng)為所述應(yīng)用系統(tǒng)單獨分配的���,所述應(yīng)用系統(tǒng)定時 在所述統(tǒng)一認證服務(wù)系統(tǒng)獲取。
8 �、如權(quán)利要求7所述的多應(yīng)用系統(tǒng)對用戶身份進行認證的方法, 其特征在于所述步驟1.1前�,所述應(yīng)用系統(tǒng)判斷所述用戶是否訪問 過本系統(tǒng),若所述用戶未訪問過本系統(tǒng)�����,則itX所述步驟l.l����,否則, 所述應(yīng)用系統(tǒng)直接允許所述用戶對其進行訪問�。
全文摘要
本發(fā)明公開了一種多應(yīng)用系統(tǒng)對用戶身份進行認證的方法,首先�,用戶要訪問的應(yīng)用系統(tǒng)將所述應(yīng)用系統(tǒng)的認證請求參數(shù)發(fā)送給統(tǒng)一認證服務(wù)系統(tǒng);然后����,所述統(tǒng)一認證服務(wù)系統(tǒng)獲得所述認證請求參數(shù)后對所述用戶進行認證��,并將認證響應(yīng)參數(shù)發(fā)送給所述應(yīng)用系統(tǒng)�;最后���,所述應(yīng)用系統(tǒng)根據(jù)所述認證響應(yīng)參數(shù)允許所述用戶對其進行訪問����。本發(fā)明所述技術(shù)方案在多應(yīng)用系統(tǒng)中實現(xiàn)了對用戶身份的統(tǒng)一認證����。
文檔編號H04L9/32GK101183940SQ20071012496
公開日2008年5月21日 申請日期2007年12月11日 優(yōu)先權(quán)日2007年12月11日
發(fā)明者劉亞軍, 徐紅明, 楊景慧, 勇 郭 申請人:中興通訊股份有限公司