專利名稱::基于面向服務(wù)架構(gòu)認(rèn)證服務(wù)代理的信息門戶單點(diǎn)登錄和訪問系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
:本發(fā)明涉及一種適用于對(duì)信息門戶進(jìn)行整合的、基于面向服務(wù)架構(gòu)認(rèn)證服務(wù)代理的、信息門戶單點(diǎn)登錄和訪問系統(tǒng),該信息門戶單點(diǎn)登錄和訪問系統(tǒng)屬于IPC分類中的電通信
技術(shù)領(lǐng)域:
。技術(shù)背景隨著萬維網(wǎng)的普及與發(fā)展,現(xiàn)代Web應(yīng)用已成為現(xiàn)代人所不可或缺的信息交流平臺(tái),而信息門戶更是重中之重。信息門戶是一種Web應(yīng)用技術(shù),它將不同應(yīng)用系統(tǒng)1(ApplicationSystem,AS)集成在一個(gè)統(tǒng)一的入口,為用戶提供多元、集中、快捷的信息服務(wù),其涉及內(nèi)容管理、數(shù)據(jù)集成、單點(diǎn)登錄(SingleSignOn,SSO)等多方面的內(nèi)容,其中單點(diǎn)登錄是必須首先解決的問題。單點(diǎn)登錄技術(shù)的核心思想是在信息門戶與應(yīng)用系統(tǒng)之間建立一種身份映射關(guān)系,用戶只需在信息門戶的認(rèn)證服務(wù)端進(jìn)行登錄,則在該次登錄有效期內(nèi)無需再次登錄就可以訪問信息門戶內(nèi)的多個(gè)應(yīng)用系統(tǒng)。目前,隨著信息門戶應(yīng)用領(lǐng)域的蓬勃發(fā)展,已相繼推出了一些商業(yè)化、成熟的SSO機(jī)制,如微軟的NETPassport單點(diǎn)登錄服務(wù),其為中央統(tǒng)籌式的登錄服務(wù)器,保存著用戶的登錄信息和個(gè)人信息,用戶只要在NETPassport單點(diǎn)登錄服務(wù)上進(jìn)行一次登錄,即可訪問Passport的合作站點(diǎn)。但其核心的認(rèn)證服務(wù)器和用戶信息服務(wù)器都由微軟壟斷,技術(shù)細(xì)節(jié)沒有遵循統(tǒng)一標(biāo)準(zhǔn)且不對(duì)外公開,無法進(jìn)行進(jìn)一步推廣。自由聯(lián)盟LibertySSO機(jī)制,其認(rèn)證流程依賴于安全斷言標(biāo)記語言(SecurityAssertionMarkupLanguage,SAML),需要信息門戶和其中整合的AS都能夠理解基于SAML的認(rèn)證信息,其本身復(fù)雜度過高,使用不易。綜上所述,現(xiàn)有SSO機(jī)制存在如下缺陷(1)編程接口復(fù)雜,開放度低,整合時(shí)需對(duì)AS進(jìn)行大范圍改造;(2)對(duì)于采用不同技術(shù)的AS往往存在可移植性差的問題;(3)現(xiàn)有的SSO機(jī)制由于其自身的高復(fù)雜性,在信息門戶的AS頻繁變動(dòng)時(shí)不能夠?qū)ζ溥M(jìn)行快速整合。另一方面,面向服務(wù)架構(gòu)(Service-OrientedArchitecture,SOA)是一種重要的架構(gòu)模型,它可以根據(jù)需求對(duì)松散耦合的粗粒度應(yīng)用組件進(jìn)行分布式部署、組合和使用。SOA具有松散耦合、可重用、標(biāo)準(zhǔn)化等特征,在很多領(lǐng)域都得到了廣泛和有效的應(yīng)用。因此,能否借助SOA的思想,來解決現(xiàn)有SSO機(jī)制存在的缺陷,是一個(gè)很重要的問題。
發(fā)明內(nèi)容為了解決現(xiàn)有門戶應(yīng)用系統(tǒng)整合復(fù)雜、開放度低等缺陷,本發(fā)明提出一種結(jié)構(gòu)簡單、松散耦合、快速靈活、完善通用、輕量級(jí)的基于面向服務(wù)架構(gòu)認(rèn)證服務(wù)代理的信息門戶單點(diǎn)登錄和訪問系統(tǒng)。所述的單點(diǎn)登錄采用了數(shù)據(jù)封裝和服務(wù)封裝策略,開放度高;通過引入服務(wù)代理將身份認(rèn)證的相關(guān)功能從應(yīng)用系統(tǒng)中獨(dú)立出來,并由服務(wù)代理來控制用戶單點(diǎn)登錄和系統(tǒng)訪問請(qǐng)求,有效的降低了應(yīng)用系統(tǒng)整合復(fù)雜度,提高了門戶整合性能。本發(fā)明基于面向服務(wù)架構(gòu)認(rèn)證服務(wù)代理的信息門戶單點(diǎn)登錄和訪問系統(tǒng),包括有應(yīng)用系統(tǒng)(3)、用戶瀏覽器(4),以及基于面向服務(wù)架構(gòu)的認(rèn)證服務(wù)端(1)和認(rèn)證服務(wù)代理(2);所述的認(rèn)證服務(wù)端(1)用于提供單點(diǎn)登錄服務(wù);其由認(rèn)證服務(wù)端數(shù)據(jù)結(jié)構(gòu)集(11)、認(rèn)證服務(wù)端原子服務(wù)集(12)和認(rèn)證服務(wù)端輔助服務(wù)集(13)組成,認(rèn)證服務(wù)端數(shù)據(jù)結(jié)構(gòu)集(11)用于承載單點(diǎn)登錄執(zhí)行過程中交換的數(shù)據(jù);認(rèn)證服務(wù)端原子服務(wù)集(12)通過響應(yīng)認(rèn)證服務(wù)代理(2)的調(diào)用請(qǐng)求,從而完成單點(diǎn)登錄和對(duì)應(yīng)用系統(tǒng)(3)的訪問;認(rèn)證服務(wù)端輔助服務(wù)集(13)用于(A)維護(hù)所述認(rèn)證服務(wù)端(1)單點(diǎn)登錄中的局部用戶角色映射LURM、全局用戶身份信息GUII,(B)輔助完成單點(diǎn)登錄和對(duì)應(yīng)用系統(tǒng)(3)的訪問;所述的認(rèn)證服務(wù)代理(2)是基于面向服務(wù)架構(gòu)的,通過調(diào)用認(rèn)證服務(wù)端(1)提供的單點(diǎn)登錄服務(wù),使得用戶通過用戶瀏覽器(4)能夠使用單點(diǎn)登錄服務(wù)進(jìn)行登錄,并實(shí)現(xiàn)對(duì)應(yīng)用系統(tǒng)(3)的訪問。認(rèn)證服務(wù)端數(shù)據(jù)結(jié)構(gòu)集(11)是一個(gè)八元組D?!狝SID,PRID,ARID,UIT,URT,UTS,GUII,LURM},ASID表示應(yīng)用系統(tǒng)編號(hào),PRID表示門戶角色編號(hào),ARID表示應(yīng)用系統(tǒng)角色編號(hào),UIT表示用戶身份令牌,URT表示用戶角色令牌,UTS表示用戶令牌存根,GUII表示全局用戶身份信息,LURM表示局部用戶角色映射。認(rèn)證服務(wù)端原子服務(wù)集(12)是一個(gè)五元組S。^{serviceUITF,serviceUITV,serviceUFPC,servicePMRF,serviceUITI},serviceUITF表示用戶身份令牌獲取服務(wù),serviceUITV表示用戶身份令牌驗(yàn)證服務(wù),serviceUFPC表示用戶一級(jí)權(quán)限校驗(yàn)服務(wù),servicePMRF表示門戶映射角色獲取服務(wù),serviceUITI表示身份令牌廢棄服務(wù)。認(rèn)證服務(wù)端輔助服務(wù)集(13)是一個(gè)六元組A。—serviceUGIF,serviceUIS,servicePRF,serviceURMR,serviceASIQ,serviceASIR},serviceUGIF表示用戶全局身份獲取服務(wù),serviceUIS表示用戶信息同步服務(wù),servicePRF表示針對(duì)應(yīng)用系統(tǒng)ASID的門戶角色PRID的獲取服務(wù),serviceURMR表示用戶角色映射注冊(cè)服務(wù),serviceASIQ表示認(rèn)證服務(wù)調(diào)用接口査詢服務(wù),serviceASIR表示認(rèn)證服務(wù)調(diào)用接口注冊(cè)服務(wù)。本發(fā)明基于面向服務(wù)架構(gòu)認(rèn)證服務(wù)代理的信息門戶單點(diǎn)登錄和訪問系統(tǒng)的設(shè)計(jì)特點(diǎn)在于(D對(duì)認(rèn)證服務(wù)端1采用了數(shù)據(jù)封裝和服務(wù)封裝策略,使本發(fā)明信息門戶單點(diǎn)登錄和訪問系統(tǒng)的開放度高,編程接口簡單;②在本發(fā)明信息門戶單點(diǎn)登錄和訪問系統(tǒng)中引入認(rèn)證服務(wù)代理2,使得身份認(rèn)證從應(yīng)用系統(tǒng)3中獨(dú)立出來,由認(rèn)證服務(wù)代理2調(diào)用認(rèn)證服務(wù)端1中的原子服務(wù)來完成,從而降低了本發(fā)明系統(tǒng)的整合的復(fù)雜度;③在執(zhí)行單點(diǎn)登錄過程中通過認(rèn)證服務(wù)代理2與認(rèn)證服務(wù)端1的請(qǐng)求一訪問模式,有利于應(yīng)用系統(tǒng)3的整合和更新;④將單點(diǎn)登錄封裝為多個(gè)原子服務(wù)集,各服務(wù)間耦合度低,從而可以對(duì)各原子服務(wù)獨(dú)立地進(jìn)行更新和維護(hù);⑤本發(fā)明提供的輕量級(jí)單點(diǎn)登錄服務(wù),有利于信息門戶在動(dòng)態(tài)松耦合環(huán)境下實(shí)現(xiàn)快速整合。圖l是用戶通過本發(fā)明的認(rèn)證代理服務(wù)進(jìn)行登錄、訪問應(yīng)用系統(tǒng)的簡示圖。圖2是本發(fā)明認(rèn)證服務(wù)端的結(jié)構(gòu)框圖。圖3是本發(fā)明認(rèn)證服務(wù)端在執(zhí)行單點(diǎn)登錄的流程圖。圖中l(wèi).認(rèn)證服務(wù)端ll.認(rèn)證服務(wù)端數(shù)據(jù)結(jié)構(gòu)集12.認(rèn)證服務(wù)端原子服務(wù)集13.認(rèn)證服務(wù)端輔助服務(wù)集2.認(rèn)證服務(wù)代理3.應(yīng)用系統(tǒng)具體實(shí)施方式下面將結(jié)合附圖對(duì)本發(fā)明做進(jìn)一步的詳細(xì)說明。本發(fā)明是一種基于面向服務(wù)架構(gòu)認(rèn)證服務(wù)代理的信息門戶單點(diǎn)登錄及訪問系統(tǒng),包括有基于面向服務(wù)架構(gòu)的認(rèn)證服務(wù)端1、認(rèn)證服務(wù)代理2和應(yīng)用系統(tǒng)3。所述的認(rèn)證服務(wù)代理2是基于面向服務(wù)架構(gòu)的,通過調(diào)用認(rèn)證服務(wù)端1提供的單點(diǎn)登錄服務(wù),使得用戶通過用戶瀏覽器4能夠使用單點(diǎn)登錄服務(wù)進(jìn)行登錄,并實(shí)現(xiàn)對(duì)應(yīng)用系統(tǒng)3的訪問。在本發(fā)明中,所述的應(yīng)用系統(tǒng)3為互聯(lián)網(wǎng)絡(luò)中的用于管理、分析、發(fā)布信息等的應(yīng)用系統(tǒng)。在本發(fā)明中,所述的認(rèn)證服務(wù)代理2是用于調(diào)用所述的認(rèn)證服務(wù)端1中的單點(diǎn)登錄服務(wù),起到用戶與應(yīng)用系統(tǒng)3的橋梁作用。由于所述的認(rèn)證服務(wù)端1中采用了數(shù)據(jù)封裝和服務(wù)封裝策略,針對(duì)用戶的單點(diǎn)登錄和訪問的開放度較高;在執(zhí)行單點(diǎn)登錄過程中通過所述的認(rèn)證服務(wù)代理2與所述的認(rèn)證服務(wù)端1的請(qǐng)求一訪問模式,有利于所述的應(yīng)用系統(tǒng)3的整合和更新,真正實(shí)現(xiàn)了松散耦合。在本發(fā)明中,所述的認(rèn)證服務(wù)端1用于提供單點(diǎn)登錄服務(wù)。所述的單點(diǎn)登錄服務(wù)設(shè)計(jì)為多個(gè)原子服務(wù)集,各服務(wù)間耦合度低,從而可以對(duì)各原子服務(wù)獨(dú)立地進(jìn)行更新和維護(hù),體現(xiàn)了所述的認(rèn)證服務(wù)端1具有快速靈活性。在本發(fā)明中,(參見圖l所示)用戶通過用戶瀏覽器4登錄時(shí),首先經(jīng)認(rèn)證服務(wù)代理2通過調(diào)用原子服務(wù)進(jìn)入認(rèn)證服務(wù)端1實(shí)現(xiàn)單點(diǎn)登錄;然后即可訪問應(yīng)用系統(tǒng)3,根據(jù)多個(gè)權(quán)限范圍的設(shè)置應(yīng)用系統(tǒng)可以有,如A應(yīng)用系統(tǒng)31、B應(yīng)用系統(tǒng)32……N應(yīng)用系統(tǒng)33。在本發(fā)明中,(參見圖2所示)認(rèn)證服務(wù)端1由認(rèn)證服務(wù)端數(shù)據(jù)結(jié)構(gòu)集11、認(rèn)證服務(wù)端原子服務(wù)集12和認(rèn)證服務(wù)端輔助服務(wù)集13組成;認(rèn)證服務(wù)端數(shù)據(jù)結(jié)構(gòu)集11用于承載單點(diǎn)登錄執(zhí)行過程中交換的數(shù)據(jù);認(rèn)證服務(wù)端原子服務(wù)集12通過響應(yīng)認(rèn)證服務(wù)代理2的調(diào)用請(qǐng)求,從而完成單點(diǎn)登錄和對(duì)應(yīng)用系統(tǒng)3的訪問;認(rèn)證服務(wù)端輔助服務(wù)集13用于(A)維護(hù)單點(diǎn)登錄中的LURM、GUII,(B)輔助完成單點(diǎn)登錄和對(duì)應(yīng)用系統(tǒng)3的訪問。認(rèn)證服務(wù)端數(shù)據(jù)結(jié)構(gòu)集11是一個(gè)八元組D。={ASID,PRID,ARID,UIT,URT,UTS,GUII,LURM},ASID表示應(yīng)用系統(tǒng)編號(hào),PRID表示門戶角色編號(hào),ARID表示應(yīng)用系統(tǒng)角色編號(hào),UIT表示用戶身份令牌,URT表示用戶角色令牌,UTS表示用戶令牌存根,GUII表示全局用戶身份信息,LURM表示局部用戶角色映射。在本發(fā)明中,認(rèn)證服務(wù)端數(shù)據(jù)結(jié)構(gòu)集ll采用數(shù)據(jù)封裝模式,有利于信息門戶單點(diǎn)登錄和訪問,提高了本發(fā)明系統(tǒng)的開放度。ASID:代表應(yīng)用系統(tǒng)3中的A應(yīng)用系統(tǒng)31、B應(yīng)用系統(tǒng)32……N應(yīng)用系統(tǒng)33在信息門戶中的唯一標(biāo)識(shí),簡稱應(yīng)用系統(tǒng)編號(hào)。PRID:用以標(biāo)識(shí)門戶角色。簡稱門戶角色編號(hào)。ARID:用以標(biāo)識(shí)應(yīng)用系統(tǒng)的角色編號(hào),該角色編號(hào)包含有應(yīng)用系統(tǒng)3中的A應(yīng)用系統(tǒng)31、B應(yīng)用系統(tǒng)32……N應(yīng)用系統(tǒng)33在信息門戶中的應(yīng)用系統(tǒng)編號(hào),簡稱應(yīng)用系統(tǒng)角色編號(hào)。UIT:用以標(biāo)識(shí)用戶是否處于已登錄狀態(tài),是以當(dāng)前時(shí)間的毫秒級(jí)單位為基礎(chǔ)生成的一個(gè)32位隨機(jī)字符串,在用戶通過認(rèn)證服務(wù)代理2進(jìn)行身份驗(yàn)證后由認(rèn)證服務(wù)端1生成,簡稱用戶身份令牌。URT:說明已登錄用戶所具備的門戶角色信息,是用戶擁有的門戶角色編號(hào)PRID所組成的數(shù)組,該數(shù)組結(jié)構(gòu)為URT-(PRID"PRID2,…,PRIDn},簡稱用戶角色令牌。UTS:用以標(biāo)識(shí)用戶身份令牌UIT和用戶角色令牌URT的有效性,在用戶登錄后由認(rèn)證服務(wù)端1生成并保存,其格式為UTS-(用戶名,UIT,URT},簡稱用戶令牌存根。GUII:用以標(biāo)識(shí)用戶身份信息,其格式為GUII—用戶名,用戶登錄密碼},簡稱全局用戶身份信息。LURM:用以維護(hù)門戶角色編號(hào)PRID與應(yīng)用系統(tǒng)角色編號(hào)ARID之間的映射,其格式為LURM={PRID,ASID,ARID},簡稱局部用戶角色映射。認(rèn)證服務(wù)端原子服務(wù)集12是一個(gè)五元組3。={serviceUITF,serviceUITV,serviceUFPC,servicePMRF,serviceUITU,serviceUITF表示用戶身份令牌獲取服務(wù),serviceUITV表示用戶身份令牌驗(yàn)證服務(wù),serviceUFPC表示用戶一級(jí)權(quán)限校驗(yàn)服務(wù),servicePMRF表示門戶映射角色獲取服務(wù),serviceUITI表示身份令牌廢棄服務(wù)。serviceUITF:用于(A)對(duì)全局用戶身份信息GUII進(jìn)行驗(yàn)證用戶身份;(B)對(duì)身份驗(yàn)證通過的用戶授予用戶身份令牌UIT;(C)對(duì)授予用戶身份令牌UIT的用戶釆用自動(dòng)順序碼生成方式產(chǎn)生用戶令牌存根UTS,并將用戶令牌存根UTS保存在認(rèn)證服務(wù)端。在本發(fā)明中,對(duì)用戶輸入的全局用戶身份信息GUII(用戶名和用戶登錄密碼)進(jìn)行驗(yàn)證,并根據(jù)驗(yàn)證結(jié)果決定是否授予UIT,若是則授予用戶身份令牌UIT,并生成用戶令牌存根UTS保存在認(rèn)證服務(wù)端,若否,則返回?zé)o效的UIT。該服務(wù)的輸入為GUII,輸出為UIT。簡稱用戶身份令牌獲取服務(wù)。serviceUITV:用以驗(yàn)證用戶所持有的用戶身份令牌UIT的有效性。針對(duì)用戶所持有的用戶身份令牌UIT,根據(jù)用戶令牌存根UTS檢驗(yàn)UIT的有效性并返回檢驗(yàn)結(jié)果。輸入為用戶身份令牌UIT,輸出為布爾值驗(yàn)證結(jié)果。簡稱用戶身份令牌驗(yàn)證服務(wù)。serviceUFPC:用以檢驗(yàn)用戶對(duì)請(qǐng)求的應(yīng)用系統(tǒng)3中是否具備入口訪問權(quán)限。負(fù)責(zé)根據(jù)用戶身份令牌UIT和用戶令牌存根UTS取得用戶角色令牌URT,結(jié)合應(yīng)用系統(tǒng)編號(hào)ASID,檢驗(yàn)用戶是否對(duì)所請(qǐng)求的應(yīng)用系統(tǒng)3具備入口訪問權(quán)。輸入為用戶身份令牌UIT和應(yīng)用系統(tǒng)編號(hào)ASID,輸出為布爾值驗(yàn)證結(jié)果。簡稱用戶一級(jí)權(quán)限校驗(yàn)服務(wù)。servicePMRF:用以取得門戶角色映射到對(duì)應(yīng)的應(yīng)用系統(tǒng)3中的角色。根據(jù)用戶所持有的UIT和UTS取得URT、GUII、LURM,并結(jié)合ASID進(jìn)行求積,取得門戶角色映射到該應(yīng)用系統(tǒng)的角色。輸入為用戶身份令牌UIT和應(yīng)用系統(tǒng)編號(hào)ASID,輸出為對(duì)應(yīng)應(yīng)用系統(tǒng)的內(nèi)部角色編號(hào)數(shù)組(ARIDi,ARID2,,ARIDn}。簡稱門戶映射角色獲取服務(wù)。serviceUITI:將用戶當(dāng)前持有的用戶身份令牌UIT標(biāo)記為無效。根據(jù)用戶當(dāng)前持有的UIT,廢棄URT、UTS、UIT。輸入為用戶身份令牌UIT,簡稱身份令牌廢棄服務(wù)。認(rèn)證服務(wù)端輔助服務(wù)集13是一個(gè)六元組Ao={serviceUGIF,serviceUIS,servicePRF,serviceURMR,serviceASIQ,serviceASIR},serviceUGIF表示用戶全局身份獲取服務(wù),serviceUIS表示用戶信息同步服務(wù),servicePRF表示針對(duì)應(yīng)用系統(tǒng)ASID的門戶角色PRID的獲取服務(wù),serviceURMR表示用戶角色映射注冊(cè)服務(wù),serviceASIQ表示認(rèn)證服務(wù)調(diào)用接口査詢服務(wù),serviceASIR表示認(rèn)證服務(wù)調(diào)用接口注冊(cè)服務(wù)。serviceUGIF:獲取用戶在門戶中的身份信息。根據(jù)用戶持有的UIT和UTS取得對(duì)應(yīng)的用戶名,再根據(jù)用戶名取得GUII。輸入為用戶當(dāng)前持有的用戶身份令牌UIT,輸出為全局用戶身份信息GUII。簡稱用戶全局身份獲取服務(wù)。serviceUIS:取出對(duì)指定應(yīng)用系統(tǒng)具備訪問權(quán)限的全部用戶的全局身份信息GUII,并保存到指定應(yīng)用系統(tǒng)中。根據(jù)ASID,取出對(duì)該應(yīng)用系統(tǒng)具備入口訪問權(quán)的用戶的GUII并保存。輸入為應(yīng)用系統(tǒng)編號(hào)ASID。簡稱用戶信息同步服務(wù)。servicePRF:取出對(duì)指定應(yīng)用系統(tǒng)具備訪問權(quán)限的門戶角色信息。根據(jù)ASID取出門戶中對(duì)指定ASID的應(yīng)用系統(tǒng)具備入口訪問權(quán)的全部角色信息。輸入為應(yīng)用系統(tǒng)編號(hào)ASID,輸出為門戶角色信息。簡稱應(yīng)用系統(tǒng)門戶角色獲取服務(wù)。serviceURMR:注冊(cè)從門戶角色到應(yīng)用系統(tǒng)角色的映射。豐艮據(jù)指定的ASID、ARID、.門戶角色編號(hào)PRID,對(duì)用戶角色映射LURM進(jìn)行注冊(cè)或變更,即維護(hù)認(rèn)證服務(wù)端數(shù)據(jù)結(jié)構(gòu)集11中的LURM元素。輸入為應(yīng)用系統(tǒng)編號(hào)ASID、ARID、PRID,輸出為布爾值執(zhí)行結(jié)果。簡稱用戶角色映射注冊(cè)服務(wù)。serviceASIQ:査詢特定的認(rèn)證服務(wù)調(diào)用接口。事先約定的認(rèn)證服務(wù)調(diào)用接口編號(hào),取出認(rèn)證服務(wù)調(diào)用接口編號(hào)所對(duì)應(yīng)的認(rèn)證服務(wù)調(diào)用接口描述,當(dāng)認(rèn)證代理2調(diào)用認(rèn)證服務(wù)端1提供的原子服務(wù)接口失敗時(shí),認(rèn)證代理2可以調(diào)用該服務(wù)重新獲得認(rèn)證服務(wù)端1所提供的原子服務(wù)的調(diào)用接口。輸入為認(rèn)證服務(wù)調(diào)用接口編號(hào),輸出為認(rèn)證服務(wù)調(diào)用接口描述。簡稱認(rèn)證服務(wù)調(diào)用接口査詢服務(wù)。serviceASIR:對(duì)認(rèn)證服務(wù)調(diào)用接口編號(hào)進(jìn)行注冊(cè)或變更。將進(jìn)行過修改的認(rèn)證服務(wù)調(diào)用接口描述和編號(hào)注冊(cè),并返回動(dòng)作的執(zhí)行結(jié)果。當(dāng)修改了認(rèn)證服務(wù)端1提供的原子服務(wù)接口時(shí),可以通過調(diào)用該服務(wù)實(shí)現(xiàn)修改后原子服務(wù)接口的自動(dòng)注冊(cè)和變更。輸入為希望注冊(cè)或更改的認(rèn)證服務(wù)調(diào)用接口描述和編號(hào),輸出為布爾值執(zhí)行結(jié)果。簡稱認(rèn)證服務(wù)調(diào)用接口注冊(cè)服務(wù)。在本發(fā)明中,用戶通過用戶瀏覽器4進(jìn)行單點(diǎn)登錄訪問應(yīng)用系統(tǒng)3的執(zhí)行步驟為(參見圖3所示)系統(tǒng)初始化后,信息門戶提供一個(gè)單一登錄入口,用戶通過所述登錄入口輸入GUII(用戶名和密碼)請(qǐng)求進(jìn)行登錄后進(jìn)入步驟101;步驟101:認(rèn)證服務(wù)代理2截獲所述GUII請(qǐng)求后,調(diào)用serviceUITF,并將GUII傳遞給認(rèn)證服務(wù)端1,執(zhí)行步驟102;步驟102:認(rèn)證服務(wù)端1執(zhí)行認(rèn)證服務(wù)serviceUITF,并對(duì)GUII進(jìn)行驗(yàn)證;所述GUII驗(yàn)證通過后,(A)生成UIT、URT、UTS;(B)保存URT和UTS;(C)發(fā)送UIT給認(rèn)證服務(wù)代理2,執(zhí)行步驟103;如果GUII驗(yàn)證不通過,則返回?zé)o效的UIT給認(rèn)證服務(wù)代理2;步驟103:認(rèn)證服務(wù)代理2判斷返回的無效UIT是否有效?否,返回開始狀態(tài);是,執(zhí)行步驟104;步驟104:用戶通過用戶瀏覽器4發(fā)送訪問請(qǐng)求給指定應(yīng)用系統(tǒng),執(zhí)行步驟105;在本發(fā)明中,指定應(yīng)用系統(tǒng)是指用戶發(fā)送訪問請(qǐng)求給應(yīng)用系統(tǒng)3中的A應(yīng)用系統(tǒng)31或者A應(yīng)用系統(tǒng)31、B應(yīng)用系統(tǒng)32或者A應(yīng)用系統(tǒng)31、B應(yīng)用系統(tǒng)32……N應(yīng)用系統(tǒng)33(參見圖l所示)。所述訪問請(qǐng)求是指帶有編號(hào)的指定應(yīng)用系統(tǒng),表達(dá)形式可以為ASIDw,N表示指定應(yīng)用系統(tǒng)的編號(hào)。例如,用戶通過用戶瀏覽器4需要訪問B應(yīng)用系統(tǒng)32,則發(fā)送的訪問請(qǐng)求則為ASIDB或者ASID32。為了簡述方便,下文的指定應(yīng)用系統(tǒng)用B應(yīng)用系統(tǒng)32代替。步驟105:認(rèn)證服務(wù)代理2截獲所述的訪問請(qǐng)求,調(diào)用serviceUITV,并將用戶的全局身份令牌UIT傳遞給認(rèn)證服務(wù)端1;認(rèn)證服務(wù)端1執(zhí)行serviceUITV來驗(yàn)證UIT的有效性,并返回UIT給認(rèn)證服務(wù)代理2,執(zhí)行步驟106;步驟106:認(rèn)證服務(wù)代理2判斷UIT是否有效,否,返回開始狀態(tài);是,執(zhí)行步驟107;步驟107:認(rèn)證服務(wù)代理2調(diào)用serviceUFPC,并將serviceUFPC輸出給認(rèn)證服務(wù)端1;認(rèn)證服務(wù)端1執(zhí)行serviceUFPC來驗(yàn)證用戶是否具有訪問B應(yīng)用系統(tǒng)32的權(quán)限,并將該訪問權(quán)限返回給認(rèn)證服務(wù)代理2,執(zhí)行步驟108;步驟108:認(rèn)證服務(wù)代理2對(duì)步驟107中的訪問權(quán)限與閾值進(jìn)行比較后,輸出(A)用戶具有訪問權(quán)限,執(zhí)行步驟109;(B)不具有訪問權(quán)限,執(zhí)行步驟llla;在本發(fā)明中,閾值為"1"表示用戶不具有訪問權(quán)限,閾值為"0"表示用戶具有訪問權(quán)限。步驟llla:用于提示用戶無權(quán)訪問,并執(zhí)行步驟114;步驟109:認(rèn)證服務(wù)代理2判斷是否緩存用戶在B應(yīng)用系統(tǒng)32中的角色編號(hào),艮卩URT;是,則執(zhí)行步驟110;否,則執(zhí)行步驟901;步驟901:認(rèn)證服務(wù)代理2調(diào)用servicePMRF來將UIT和ASIDB,發(fā)送至認(rèn)證服務(wù)端1,執(zhí)行步驟902;步驟902:認(rèn)證服務(wù)端1從認(rèn)證服務(wù)端數(shù)據(jù)結(jié)構(gòu)集11中獲得LURM,并執(zhí)行servicePMRF后得到在B應(yīng)用系統(tǒng)32中的角色編號(hào),并將所述角色編號(hào)發(fā)送給認(rèn)證服務(wù)代理2;認(rèn)證服務(wù)代理2對(duì)接收的所述角色編號(hào)進(jìn)行緩存后執(zhí)行步驟110;步驟110:認(rèn)證服務(wù)代理2將緩存的所述角色編號(hào)發(fā)送給B應(yīng)用系統(tǒng)32,執(zhí)行步驟111;步驟111:B應(yīng)用系統(tǒng)32根據(jù)URT檢驗(yàn)用戶對(duì)B應(yīng)用系統(tǒng)32的訪問請(qǐng)求操作是否具備權(quán)限;否,執(zhí)行步驟llla;是,執(zhí)行步驟114;步驟llla:用于提示用戶無權(quán)訪問,并執(zhí)行步驟114;步驟112:B應(yīng)用系統(tǒng)32響應(yīng)用戶的訪問請(qǐng)求,從而達(dá)到用戶實(shí)現(xiàn)單點(diǎn)登錄B應(yīng)用系統(tǒng)32。步驟113:詢問用戶是否再次登錄應(yīng)用系統(tǒng)3中的其它應(yīng)用系統(tǒng),若"是"則執(zhí)行步驟104;若"否"則執(zhí)行步驟114;步驟114:認(rèn)證服務(wù)代理2調(diào)用serviceUITI,并將用戶的全局身份令牌UIT發(fā)送給認(rèn)證服務(wù)端1;認(rèn)證服務(wù)端1執(zhí)行身份認(rèn)證服務(wù)serviceUITI后,將用戶身份令牌UIT廢棄,并將廢棄確認(rèn)指令發(fā)送給認(rèn)證服務(wù)代理2。本發(fā)明基于面向服務(wù)架構(gòu)認(rèn)證服務(wù)代理的信息門戶單點(diǎn)登錄和訪問系統(tǒng)中各模塊的具體設(shè)計(jì)理念為一、認(rèn)證服務(wù)設(shè)計(jì)認(rèn)證服務(wù)端提供的SSO服務(wù)是整個(gè)機(jī)制的核心。其中權(quán)限管理、安全策略和原子服務(wù)劃分是SSO服務(wù)設(shè)計(jì)的重點(diǎn)。下面將分別從這三個(gè)方面對(duì)認(rèn)證服務(wù)設(shè)計(jì)進(jìn)行闡述。1、權(quán)限管理策略應(yīng)用系統(tǒng)AS中用戶權(quán)限的分配極其嚴(yán)格。門戶系統(tǒng)中集成的AS在業(yè)務(wù)邏輯和工作流程上的差異通常會(huì)以最直觀的方式反映到權(quán)限劃分上。在本發(fā)明中以降低AS整合難度和門戶權(quán)限管理復(fù)雜度,提髙本發(fā)明系統(tǒng)的靈活性和可復(fù)用性為目標(biāo),設(shè)計(jì)了以二次鑒權(quán)制度為主、角色映射管理制度為輔的權(quán)限管理策略。二次鑒權(quán)制度指將單個(gè)AS視作一個(gè)門戶資源,門戶角色僅負(fù)責(zé)提供用戶對(duì)于AS的入口訪問權(quán),用戶在AS中的權(quán)限由AS另行分配、管理。本發(fā)明系統(tǒng)權(quán)限管理策略通過采用二次鑒權(quán)制度,避免在門戶中對(duì)AS的權(quán)限管理進(jìn)行過多干涉。伹二次鑒權(quán)制度中,新增的門戶用戶存在權(quán)限空白期——即新增用戶具備可提供AS入口訪問權(quán)的門戶角色,但其不具備AS內(nèi)部角色的時(shí)間段。本發(fā)明系統(tǒng)采用角色映射管理制度來解決權(quán)限空白期問題。角色映射管理制度指在門戶角色和AS內(nèi)部角色之間建立映射關(guān)系。用戶在訪問AS時(shí)根據(jù)其所持有的門戶角色和角色映射之積,得出對(duì)應(yīng)的AS內(nèi)部角色。如此,用戶一旦具備對(duì)AS的入口訪問權(quán)也就同時(shí)具備了一定的AS內(nèi)部角色,從而彌補(bǔ)二次鑒權(quán)制度中新增門戶用戶存在權(quán)限空白期的不足。通過權(quán)限管理策略進(jìn)行力又限管理,在本系統(tǒng)中避免了由于權(quán)限問題導(dǎo)致的對(duì)AS和門戶的修改,同時(shí)對(duì)用戶在門戶和子系統(tǒng)中的權(quán)限一致性提供了保障。2、安全策略設(shè)計(jì)鑒于本發(fā)明系統(tǒng)中的基本數(shù)據(jù)結(jié)構(gòu)所裝載信息均為敏感信息,安全要求高,故本發(fā)明系統(tǒng)安全策略除依賴于具體實(shí)現(xiàn)的安全框架外,還需實(shí)現(xiàn)以下兩種安全策略(1)利用安全套接層(SecureSocketLayer:SSL)協(xié)議保證傳輸安全AS內(nèi)嵌的服務(wù)代理在調(diào)用認(rèn)證服務(wù)時(shí)必須出示認(rèn)證服務(wù)端頒發(fā)的SSL數(shù)字證書,否則視作非法調(diào)用。(2)利用非對(duì)稱加密保證數(shù)據(jù)元素級(jí)安全采用RSA非對(duì)稱加密算法與AES對(duì)稱加密算法相結(jié)合的方式,對(duì)服務(wù)代理和認(rèn)證服務(wù)端交互過程中傳輸?shù)臄?shù)據(jù)結(jié)構(gòu)進(jìn)行加密。具體步驟為①服務(wù)代理發(fā)出服務(wù)調(diào)用請(qǐng)求時(shí),生成一對(duì)RSA非對(duì)稱密鑰,并將公鑰附在請(qǐng)求信息中;②認(rèn)證服務(wù)端發(fā)送響應(yīng)數(shù)據(jù)時(shí),生成AES對(duì)稱密鑰,先用AES對(duì)稱密鑰對(duì)響應(yīng)數(shù)據(jù)加密,再用服務(wù)代理提供的RSA公鑰將AES密鑰加密,將響應(yīng)數(shù)據(jù)和加密后的AES密鑰一并發(fā)送給服務(wù)代理;③服務(wù)代理先使用RSA私鑰將AES密鑰解密,再用AES密鑰將響應(yīng)數(shù)據(jù)解密。以上安全策略可有效地保證機(jī)制在數(shù)據(jù)傳輸級(jí)別和數(shù)據(jù)元素級(jí)別的數(shù)據(jù)安全。在實(shí)際運(yùn)用中可與機(jī)制的具體實(shí)現(xiàn)所提供的安全框架共同保護(hù)機(jī)制的信息安全。3、原子服務(wù)劃分本發(fā)明系統(tǒng)以降低門戶整合難度,提髙門戶靈活性為目標(biāo),以SOA思想為指導(dǎo),將單點(diǎn)登錄分解成為一組原子服務(wù),這組原子服務(wù)對(duì)外提供統(tǒng)一、通用的調(diào)用接口供AS中的認(rèn)證代理調(diào)用,實(shí)現(xiàn)SSO功能。為了保證原子服務(wù)的原子性和完整性,在對(duì)本發(fā)明系統(tǒng)認(rèn)證流程進(jìn)行原子服務(wù)劃分時(shí),需滿足單一性原則一個(gè)原子服務(wù)只能包括唯一一次認(rèn)證代理與認(rèn)證服務(wù)端之間的請(qǐng)求/響應(yīng)通信;完備性原則一個(gè)原子服務(wù)對(duì)認(rèn)證代理的一次調(diào)用請(qǐng)求而言應(yīng)該是功能完備的,不能與其它原子服務(wù)在功能上有所交叉。二、本發(fā)明系統(tǒng)認(rèn)證代理設(shè)計(jì)在本發(fā)明系統(tǒng)中,AS通過認(rèn)證代理調(diào)用SSO服務(wù)。由于結(jié)合SOA思想的本發(fā)明系統(tǒng)所設(shè)計(jì)的認(rèn)證服務(wù)具備統(tǒng)一、通用的調(diào)用接口,故認(rèn)證代理的工作僅限于結(jié)合AS的具體實(shí)現(xiàn)情況將認(rèn)證服務(wù)的調(diào)用接口轉(zhuǎn)化為AS可直接使用的形式。<table>tableseeoriginaldocumentpage16</column></row><table>權(quán)利要求1.一種基于面向服務(wù)架構(gòu)認(rèn)證服務(wù)代理的信息門戶單點(diǎn)登錄和訪問系統(tǒng),包括有應(yīng)用系統(tǒng)(3)、用戶瀏覽器(4),其特征在于還包括有基于面向服務(wù)架構(gòu)的認(rèn)證服務(wù)端(1)和認(rèn)證服務(wù)代理(2);所述的認(rèn)證服務(wù)端(1)用于提供單點(diǎn)登錄服務(wù);其由認(rèn)證服務(wù)端數(shù)據(jù)結(jié)構(gòu)集(11)、認(rèn)證服務(wù)端原子服務(wù)集(12)和認(rèn)證服務(wù)端輔助服務(wù)集(13)組成,認(rèn)證服務(wù)端數(shù)據(jù)結(jié)構(gòu)集(11)用于承載單點(diǎn)登錄執(zhí)行過程中交換的數(shù)據(jù);認(rèn)證服務(wù)端原子服務(wù)集(12)通過響應(yīng)認(rèn)證服務(wù)代理(2)的調(diào)用請(qǐng)求,從而完成單點(diǎn)登錄和對(duì)應(yīng)用系統(tǒng)(3)的訪問;認(rèn)證服務(wù)端輔助服務(wù)集(13)用于(A)維護(hù)所述認(rèn)證服務(wù)端(1)單點(diǎn)登錄中的局部用戶角色映射LURM、全局用戶身份信息GUII,(B)輔助完成單點(diǎn)登錄和對(duì)應(yīng)用系統(tǒng)(3)的訪問;所述的認(rèn)證服務(wù)代理(2)是基于面向服務(wù)架構(gòu)的,通過調(diào)用認(rèn)證服務(wù)端(1)提供的單點(diǎn)登錄服務(wù),使得用戶通過用戶瀏覽器(4)能夠使用單點(diǎn)登錄服務(wù)進(jìn)行登錄,并實(shí)現(xiàn)對(duì)應(yīng)用系統(tǒng)(3)的訪問。2、根據(jù)權(quán)利要求1所述的信息門戶單點(diǎn)登錄和訪問系統(tǒng),其特征在于:應(yīng)用系統(tǒng)(3)包括有根據(jù)不同權(quán)限范圍設(shè)置的如A應(yīng)用系統(tǒng)(31)、B應(yīng)用系統(tǒng)(32)……N應(yīng)用系統(tǒng)(33)。3、根據(jù)權(quán)利要求1所述的信息門戶單點(diǎn)登錄和訪問系統(tǒng),其特征在于認(rèn)證服務(wù)端數(shù)據(jù)結(jié)構(gòu)集(11)是一個(gè)八元組D。-仏SID,PRID,ARID,UIT,URT,UTS,GUII,LURM},ASID表示應(yīng)用系統(tǒng)編號(hào),PRID表示門戶角色編號(hào),ARID表示應(yīng)用系統(tǒng)角色編號(hào),UIT表示用戶身份令牌,URT表示用戶角色令牌,UTS表示用戶令牌存根,GUII表示全局用戶身份信息,LURM表示局部用戶角色映射。4、根據(jù)權(quán)利要求1所述的信息門戶單點(diǎn)登錄和訪問系統(tǒng),其特征在于認(rèn)證服務(wù)端原子服務(wù)集(12)是一個(gè)五元組S。={serviceUITF,serviceUITV,serviceUFPC,servicePMRF,serviceUITI},serviceUITF表示用戶身份令牌獲取服務(wù),serviceUITV表示用戶身份令牌驗(yàn)證服務(wù),serviceUFPC表示用戶一級(jí)權(quán)限校驗(yàn)服務(wù),servicePMRF表示門戶映射角色獲取服務(wù),serviceUITI表示身份令牌廢棄服務(wù)。5、根據(jù)^i利要求l所述的信息門戶單點(diǎn)登錄和訪問系統(tǒng),其特征在于認(rèn)證服務(wù)端輔助服務(wù)集(13)是一個(gè)六元組Ao-(serviceUGIF,serviceUIS,servicePRF,serviceURMR,serviceASIQ,serviceASIR},serviceUGIF表示用戶全局身份獲取服務(wù),serviceUIS表示用戶信息同步服務(wù),servicePRF表示針對(duì)應(yīng)用系統(tǒng)ASID的門戶角色PRID的獲取服務(wù),serviceURMR表示用戶角色映射注冊(cè)服務(wù),serviceASIQ表示認(rèn)證服務(wù)調(diào)用接口查詢服務(wù),serviceASIR表示認(rèn)證服務(wù)調(diào)用接口注冊(cè)服務(wù)。6、根據(jù)權(quán)利要求1或2所述的信息門戶單點(diǎn)登錄和訪問系統(tǒng),其特征在于用戶通過用戶瀏覽器(4)進(jìn)行單點(diǎn)登錄訪問應(yīng)用系統(tǒng)(3)的執(zhí)行步驟為系統(tǒng)初始化后,信息門戶提供一個(gè)單一登錄入口,用戶通過所述登錄入口輸入GUII請(qǐng)求進(jìn)行登錄后進(jìn)入步驟101;步驟101:認(rèn)證服務(wù)代理(2)截獲所述GUII請(qǐng)求后,調(diào)用serviceUITF,并將GUII傳遞給認(rèn)證服務(wù)端(1),執(zhí)行步驟102;步驟102:認(rèn)證服務(wù)端(1)執(zhí)行認(rèn)證服務(wù)serviceUITF,并對(duì)GUII進(jìn)行驗(yàn)證;所述GUII驗(yàn)證通過后,(A)生成UIT、URT、UTS;(B)保存URT和UTS;(C)發(fā)送UIT給認(rèn)證服務(wù)代理(2),執(zhí)行步驟103;如果GUII驗(yàn)證不通過,則返回?zé)o效的UIT給認(rèn)證服務(wù)代理(2);步驟103:認(rèn)證服務(wù)代理(2)判斷返回的無效UIT是否有效?否,返回開始狀態(tài);是,執(zhí)行步驟104;步驟104:用戶通過用戶瀏覽器(4)發(fā)送訪問請(qǐng)求給B應(yīng)用系統(tǒng)(32),執(zhí)行步驟105;步驟105:認(rèn)證服務(wù)代理(2)截獲所述的訪問請(qǐng)求,調(diào)用serviceUITV,并將用戶的全局身份令牌UIT傳遞給認(rèn)證服務(wù)端(1);認(rèn)證服務(wù)端(1)執(zhí)行serviceUITV來驗(yàn)證UIT的有效性,并返回UIT給認(rèn)證服務(wù)代理(2),執(zhí)行步驟106;步驟106:認(rèn)證服務(wù)代理(2)判斷UIT是否有效,否,返回開始狀態(tài);是,執(zhí)行步驟107;步驟107:認(rèn)證服務(wù)代理(2)調(diào)用serviceUFPC,并將serviceUFPC輸出給認(rèn)證服務(wù)端(1);認(rèn)證服務(wù)端(1)執(zhí)行serviceUFPC來驗(yàn)證用戶是否具有訪問B應(yīng)用系統(tǒng)(32)的權(quán)限,并將該訪問權(quán)限返回給認(rèn)證服務(wù)代理(2),執(zhí)行步驟108;步驟108:認(rèn)證服務(wù)代理(2)對(duì)步驟107中的訪問權(quán)限與閾值進(jìn)行比較后,輸出(A)用戶具有訪問權(quán)限,執(zhí)行步驟109;(B)不具有訪問權(quán)限,執(zhí)行步驟llla;步驟llla:用于提示用戶無權(quán)訪問,并執(zhí)行步驟114;步驟109:認(rèn)證服務(wù)代理(2)判斷是否緩存用戶在B應(yīng)用系統(tǒng)(32)中的角色編號(hào),即URT;是,則執(zhí)行步驟110;否,則執(zhí)行步驟901;步驟901:認(rèn)證服務(wù)代理(2)調(diào)用servicePMRF來將UIT和ASIDB,發(fā)送至認(rèn)證服務(wù)端(1),執(zhí)行步驟902;步驟902:認(rèn)證服務(wù)端(1)從認(rèn)證服務(wù)端數(shù)據(jù)結(jié)構(gòu)集(11)中獲得LURM,并執(zhí)行servicePMRF后得到在B應(yīng)用系統(tǒng)(32)中的角色編號(hào),并將所述角色編號(hào)發(fā)送給認(rèn)證服務(wù)代理(2);認(rèn)證服務(wù)代理(2)對(duì)接收的所述角色編號(hào)進(jìn)行緩存后執(zhí)行步驟110;步驟110:認(rèn)證服務(wù)代理(2)將緩存的所述角色編號(hào)發(fā)送給B應(yīng)用系統(tǒng)(32),執(zhí)行步驟lll;步驟lll:B應(yīng)用系統(tǒng)(32)根據(jù)URT檢驗(yàn)用戶對(duì)B應(yīng)用系統(tǒng)(32)的訪問請(qǐng)求操作是否具備權(quán)限;否,執(zhí)行步驟llla;是,執(zhí)行步驟114;步驟llla:用于提示用戶無權(quán)訪問,并執(zhí)行步驟114;步驟112:B應(yīng)用系統(tǒng)(32)響應(yīng)用戶的訪問請(qǐng)求,從而達(dá)到用戶實(shí)現(xiàn)單點(diǎn)登錄B應(yīng)用系統(tǒng)(32);步驟113:詢問用戶是否再次登錄應(yīng)用系統(tǒng)(3)中的其它應(yīng)用系統(tǒng),若"是"則執(zhí)行步驟104;若"否"則執(zhí)行步驟114;步驟114:認(rèn)證服務(wù)代理(2)調(diào)用serviceUITI,并將用戶的全局身份令牌UIT發(fā)送給認(rèn)證服務(wù)端(1);認(rèn)證服務(wù)端(1)執(zhí)行身份認(rèn)證服務(wù)serviceUITI后,將用戶身份令牌UIT廢棄,并將廢棄確認(rèn)指令發(fā)送給認(rèn)證服務(wù)代理(2)。7、根據(jù)權(quán)利要求6所述的信息門戶單點(diǎn)登錄和訪問系統(tǒng),其特征在于步驟108中的閾值"1"和"0",閾值為"1"表示用戶不具有訪問權(quán)限,閾值為"0"表示用戶具有訪問權(quán)限。全文摘要本發(fā)明公開了一種基于面向服務(wù)架構(gòu)認(rèn)證服務(wù)代理的信息門戶單點(diǎn)登錄和訪問系統(tǒng),包括有基于面向服務(wù)架構(gòu)的認(rèn)證服務(wù)端(1)、認(rèn)證服務(wù)代理(2)、應(yīng)用系統(tǒng)(3)和用戶瀏覽器(4)。認(rèn)證服務(wù)端(1)由認(rèn)證服務(wù)端數(shù)據(jù)結(jié)構(gòu)集(11)、認(rèn)證服務(wù)端原子服務(wù)集(12)和認(rèn)證服務(wù)端輔助服務(wù)集(13)組成,認(rèn)證服務(wù)端數(shù)據(jù)結(jié)構(gòu)集(11)用于承載單點(diǎn)登錄執(zhí)行過程中交換的數(shù)據(jù);認(rèn)證服務(wù)端原子服務(wù)集(12)通過響應(yīng)認(rèn)證服務(wù)代理(2)的調(diào)用請(qǐng)求,從而完成單點(diǎn)登錄和對(duì)應(yīng)用系統(tǒng)(3)的訪問;認(rèn)證服務(wù)端輔助服務(wù)集(13)用于(A)維護(hù)所述認(rèn)證服務(wù)端(1)單點(diǎn)登錄中的局部用戶角色映射LURM、全局用戶身份信息GUII,(B)輔助完成單點(diǎn)登錄和對(duì)應(yīng)用系統(tǒng)(3)的訪問。文檔編號(hào)H04L9/32GK101277193SQ20081010575公開日2008年10月1日申請(qǐng)日期2008年5月5日優(yōu)先權(quán)日2008年5月5日發(fā)明者品張,歡李,璋熊,辛羅,蒲菊華,輝陳申請(qǐng)人:北京航空航天大學(xué)