亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

多級認證方法和多級認證系統(tǒng)的制作方法

文檔序號:7696043閱讀:249來源:國知局
專利名稱:多級認證方法和多級認證系統(tǒng)的制作方法
技術(shù)領(lǐng)域
本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù),尤其涉及一種多級認證方法和多級認證系統(tǒng)。
背景技術(shù)
隨著互聯(lián)網(wǎng)和企業(yè)信息化的不斷發(fā)展,用來實現(xiàn)統(tǒng)一認證和單點登錄
(Single Sign On,以下簡稱SSO)的身份認證技術(shù)也隨之快速發(fā)展。
現(xiàn)有技術(shù)主要有三種身份認證方式。 一個是基于傳輸層的統(tǒng)一身份認證 方法。在該方法中,用戶首先在各種應(yīng)用系統(tǒng)處采用統(tǒng)一賬號進行登錄,然 后所有的應(yīng)用系統(tǒng)都向統(tǒng)一身份認證服務(wù)器發(fā)送驗證請求,得到響應(yīng)消息后 應(yīng)用系統(tǒng)再決定是否提供服務(wù)給用戶。但是,該方法沒有單點登錄的功能即 再次訪問時需要重新登錄,而只是進行統(tǒng)一認證。另一個是基于應(yīng)用層超文 本傳輸協(xié)議(Hypertext Transfer Protocol,以下簡稱HTTP)傳輸?shù)慕y(tǒng)一身份認 證及單點登錄方法。在該方法中,統(tǒng)一身份認證服務(wù)器和服務(wù)提供者之間是 通過應(yīng)用層HTTP協(xié)議建立通信管道, 一般要使用HTTP重定向來完成通信, 而單點登錄一般都采用不安全的Cookie技術(shù)來實現(xiàn),體系結(jié)構(gòu)中服務(wù)提供商 的服務(wù)器一般都只能是web服務(wù)器。再一個是基于簡單對象訪問協(xié)議(Simple Object Access Protocol,以下簡稱SOAP )傳輸?shù)慕y(tǒng)一身份認證及單點登錄 方法。在該方法中,統(tǒng)一身份認證服務(wù)器與服務(wù)提供者之間是采用SOAP傳 輸來建立通信管道。該方法完全基于XML技術(shù),采用安全斷言標記語言 (Security Assertion Markup Language,以下簡稱SAML)協(xié)議的形式來規(guī) 定統(tǒng)一身份認證服務(wù)器和服務(wù)提供者之間交換的消息。
但是,現(xiàn)有技術(shù)是存在缺陷的。如果遇到諸如修改本地Cookie值之類的 攻擊時,應(yīng)用基于Cookie的SSO可能會無法登陸或被人冒名登陸;如果有 惡意者通過攻擊域名系統(tǒng)(DomainName System,以下簡稱DNS )服務(wù)器來劫持瀏覽器時,Cookie將會被發(fā)送到其他的服務(wù)器上,從而使得用戶信息 被竊取;惡意者可以通過劫持數(shù)據(jù)包或者利用破解算法或是找到調(diào)用接口在 外部調(diào)用算法接口來竊取用戶登錄信息;由于使用SSO進行統(tǒng)一登陸,當(dāng)有 新系統(tǒng)接入或是兼容舊系統(tǒng)時,需要對登錄功能模塊做較大調(diào)整,從而導(dǎo)致 效率和穩(wěn)定性降低,不能靈活擴展。

發(fā)明內(nèi)容
本發(fā)明的目的是針對現(xiàn)有技術(shù)的缺陷,提供一種多級認證方法和多級認 證系統(tǒng),以達到認證方式安全,擴展靈活以及單點登錄、統(tǒng)一服務(wù)的效果。
為實現(xiàn)上述目的,本發(fā)明提供了一種多級認證方法,包括
對接收到的資源訪問請求進行第一多級校驗,校驗成功后返回訪問憑證 索引和相應(yīng)的地址信息;
根據(jù)接收的訪問憑證索引進行第二多級校驗,校驗成功后返回所述地址 信息所對應(yīng)的資源數(shù)據(jù)。
為實現(xiàn)上述目的,本發(fā)明還提供了一種多級認證系統(tǒng),包括
第一校驗?zāi)K,用于對接收到的資源訪問請求進行第一多級校驗,校驗 成功后返回訪問憑證索引和相應(yīng)的地址信息;
第二校驗?zāi)K,用于根據(jù)接收的訪問憑證索引進行第二多級校驗,校驗 成功后返回所述相應(yīng)的地址信息所對應(yīng)的資源數(shù)據(jù)。
由上述技術(shù)方案可知,本發(fā)明通過向用戶終端返回訪問憑證索引而不是 訪問憑證,能夠提高用戶訪問信息的安全性。由于采用了多級認證,能夠支 持多個認證系統(tǒng)的接入和移除,在不改變現(xiàn)有的校驗方式的情況下接入更多 的子系統(tǒng)資源,并使這些子系統(tǒng)資源能夠采用自己的校驗方式進行校驗,從 而達到擴展靈活的效果,在用戶終端通過第 一多級校驗后再訪問子系統(tǒng)資源 的時候不需要重新校驗,從而達到單點登錄,統(tǒng)一服務(wù)的效果。
下面通過附圖和實施例,對本發(fā)明的技術(shù)方案做進一步的詳細描述。


圖1為本發(fā)明多級認^〖正方法第一實施例的流程圖2為本發(fā)明多級認證方法第二實施例用戶登錄的流程圖3為本發(fā)明多級認證方法第二實施例第一多級校驗的流程圖4為本發(fā)明多級認證方法第二實施例第二多級校驗的流程圖5為本發(fā)明多級認證系統(tǒng)第一實施例的結(jié)構(gòu)框圖6為本發(fā)明多級認證系統(tǒng)第二實施例的結(jié)構(gòu)框圖。
具體實施例方式
圖1為本發(fā)明多級認證方法第一實施例的流程圖。如圖1所示,該方法 包括
步驟101、對接收到的資源訪問請求進行第一多級校驗,校驗成功后返 回訪問憑證索? 1和相應(yīng)的地址信息;
本次多級校驗是針對該資源訪問請求中攜帶的與用戶登錄信息對應(yīng)的用 戶的合法身份進行校驗,也就是判斷該用戶是否已經(jīng)登錄成功,且校驗過程 為逐級校驗。該校驗過程可以為登錄認證服務(wù)器對接收到的資源訪問請求 進行第一多級校驗,在校驗失敗后,登錄認證服務(wù)器就向用戶終端反饋資源 訪問請求失敗信息,即說明該用戶還沒有成功登錄;如果校驗成功,說明該 用戶已經(jīng)成功登錄,則向用戶終端返回訪問憑證索引以及與該用戶的訪問權(quán) 限對應(yīng)的地址信息。該訪問憑證索引與該用戶的訪問憑證是對應(yīng)的,該地址 信息就是該用戶有權(quán)訪問的資源的地址信息。此處向用戶終端返回訪問憑證 索引信息而不是直接返回訪問憑證,因此用戶終端在登錄認證服務(wù)器中存儲 的訪問憑證是唯一的,而用戶終端在每次向登錄認證服務(wù)器發(fā)送資源訪問請 求時所使用的訪問憑證索引是變化的,因此,能夠提供認證的安全性。
步驟103、根據(jù)接收的訪問憑證索引進行第二多級校驗,校驗成功后返 回該地址信息所對應(yīng)的資源lt據(jù)。用戶終端在訪問上述地址信息想要獲取與該地址信息對應(yīng)的資源數(shù)據(jù) 時,會將訪問憑證索引以及該地址信息同時發(fā)送給單點登錄服務(wù)器,然后單 點登錄服務(wù)器即根據(jù)該訪問憑證索引進行第二多級校驗,在校驗失敗時向用 戶終端反饋校驗失敗信息,如果校驗成功,則將與該地址信息對應(yīng)的資源數(shù) 據(jù)反饋給用戶終端。第二多級校驗的過程事實上就是用戶終端所需訪問的系
的過程。當(dāng)系統(tǒng)資源中集成了多個子系統(tǒng)資源,則各個子系統(tǒng)資源均可以采 用與自己向匹配的校驗方式對用戶的訪問權(quán)限進行校驗。
用戶訪問信息的安全性。由于采用了多級認證,能夠支持多個認證系統(tǒng)的接 入和移除,在不改變現(xiàn)有的校驗方式的情況下接入更多的子系統(tǒng)資源,并使 這些子系統(tǒng)資源能夠采用自己的校驗方式進行校驗,從而達到擴展靈活的效 果,在用戶終端通過第 一多級校驗后再訪問子系統(tǒng)資源的時候不需要重新校 驗,從而達到單點登錄,統(tǒng)一服務(wù)的效果。
圖2-圖4為本發(fā)明多級認證方法第二實施例的流程圖。本發(fā)明多級認 證方法第二實施例包括用戶終端登錄獲取用戶令牌以及資源標識列表的過 程、用戶終端獲取訪問子系統(tǒng)的訪問憑證索引的過程以及在訪問子系統(tǒng)時對
圖2為本發(fā)明多級認證方法第二實施例用戶終端登錄的流程圖。如圖2 所示,該圖即為用戶終端根據(jù)用戶登錄信息獲取用戶令牌和資源標識列表的 流程圖。用戶登錄的過程包括
步驟201、用戶終端將用戶登錄信息發(fā)送給登錄認證服務(wù)器。 該用戶登錄信息包括用戶名、密碼以及用戶終端的本地信息。該本地信 息既可以為用戶終端的IP地址,也可以為用戶終端的MAC地址。需要說明的 是,在用戶終端向登錄認證服務(wù)器傳輸用戶登錄信息前,可以采用安全套接 層(Secure Socket Layer,以下簡稱SSL)協(xié)議對用戶名、密碼以及用戶 終端的本地信息進行加密處理。步驟203、登錄認證服務(wù)器從用戶信息數(shù)據(jù)庫中獲取與該用戶登錄信息 對應(yīng)的用戶信息并根據(jù)該用戶信息對用戶身份進行校驗,
步驟205、判斷校驗是否成功,如果成功則執(zhí)行步驟207,否則執(zhí)行步驟
209。
步驟207、生成用戶憑證,根據(jù)用戶憑證獲取用戶憑證索引,根據(jù)該用
戶憑證索引生成用戶令牌。
步驟209、登錄認證服務(wù)器向用戶終端反饋校驗失敗信息。
生成用戶令牌的過程即為對用戶憑證索引加密的過程,該過程也可采用
SSL協(xié)議進行。
步驟211、登錄認證服務(wù)器從用戶信息數(shù)據(jù)庫中獲取與用戶登錄信息對 應(yīng)的資源標識列表。
資源的標識,在后續(xù)用戶終端可以通過發(fā)送該標識登錄與該標識對應(yīng)的子系 統(tǒng)進行進一 步的認證。
步驟213、登錄認證服務(wù)器將該用戶令牌和該資源標識列表發(fā)送給用戶終端。
步驟215、用戶終端在瀏覽器緩存中設(shè)置與本次登錄對應(yīng)的進程內(nèi) Cookie。
此處在瀏覽器緩存內(nèi)設(shè)置進程內(nèi)Cookie,能夠使生成Cookie與用戶終 端的本地信息直接關(guān)聯(lián),從而使得從其它用戶終端上移植過來的Cookie都是 非法的,同時在瀏覽器的緩存中保留的Cookie是一個索引,因此即使一臺機 器在不同的時刻登錄,其產(chǎn)生的索引值也是不相同的,有效地解決了 Cookie 的修改替換問題。
中,由于用戶終端發(fā)送的用戶名和密碼均采用SSL加密后的字符串,因此無 法解密,同時在生成用戶令牌的過程中還要使用用戶終端的本地信息,能夠 將該用戶令牌與用戶終端的本地信息綁定,而且返回給用戶終端的用戶令牌只是用戶身份憑證的索引值而非用戶身份憑證,因此,能夠有效地避免用戶 身份憑證被網(wǎng)絡(luò)劫持,有效防范DNS攻擊,保證了用戶信息的安全性。
圖3為本發(fā)明多級認證方法第二實施例第一多級校驗的流程圖。如圖3 所示,該第一多級校驗的流程圖包括
步驟301、用戶終端向登錄認證服務(wù)器發(fā)送資源訪問請求。
在用戶終端已經(jīng)成功登錄系統(tǒng)時,用戶終端就要使用該系統(tǒng)中的子系統(tǒng) 資源,于是用戶終端就要向登錄認證服務(wù)器發(fā)送資源訪問請求,請求訪問子 系統(tǒng)資源,在該資源訪問請求中攜帶了圖2中生成的用戶令牌和資源標識。 該資源標識即為資源標識列表中的某一個標識,該標識與用戶終端需要訪問 的地址信息相對應(yīng)。
步驟303、登錄認證服務(wù)器對用戶令牌進行校驗。
步驟305、根據(jù)校驗結(jié)果進行判斷,如果校驗成功則執(zhí)行步驟307,否則 執(zhí)行步驟309;
判斷,如果校驗成功就代表已經(jīng)成功登錄,即可對該用戶令牌進行解密,獲 取該用戶令牌中的用戶憑證索引,如果校驗不成功則說明用戶終端還沒有成 功登錄上層系統(tǒng),向用戶終端發(fā)送用戶令牌校驗失敗信息即通知用戶終端重 新登錄。
步驟309、登錄認證服務(wù)器向用戶終端返回用戶令牌校驗失敗信息
步驟311、判斷校驗是否成功,如果成功則執(zhí)行步驟313,否則執(zhí)行步驟
315。
在圖2中用戶終端登錄注冊時即可獲取用戶憑證,該用戶憑證就存儲在 登錄認證服務(wù)器中,步驟307中對該用戶憑證進行校驗即為將根據(jù)用戶令牌 獲取的用戶憑證與登錄認證服務(wù)器中的用戶憑證進行比對,如果存在這樣的 用戶憑證則說明用戶身份是合法的。步驟313、登錄認證服務(wù)器從用戶信息數(shù)據(jù)庫中獲取與該用戶憑證對應(yīng) 的地址信息,生成訪問憑證,并將該訪問憑證索引和地址信息發(fā)送給用戶終 端。
步驟315、登錄認證服務(wù)器向用戶終端返回用戶憑證校驗失敗信息。
在步驟311校驗成功時,登錄認證服務(wù)器就從用戶信息數(shù)據(jù)庫中獲取與 該用戶憑證的權(quán)限相符合的資源地址信息。該地址信息即為與用戶終端發(fā)送 的資源列表中需要訪問的資源標識對應(yīng)的地址信息。同時還要生成用戶有權(quán) 限訪問該子系統(tǒng)的訪問憑證,并將該訪問憑證所對應(yīng)的訪問憑證索引和地址 信息發(fā)送給用戶終端。
在上述第一校驗的過程中, 一共使用了兩級校驗。首先,對用戶令牌的 校驗保證了資源訪問請求必須從已經(jīng)成功登錄的合法的用戶終端發(fā)送而來, 由于該用戶令牌中以經(jīng)包括了用戶終端的本地信息,因此能夠防止其它用戶 終端篡改或使用本用戶終端的合法信息;其次,在用戶令牌校驗成功后對進 一步對用戶憑證進行校驗,即與服務(wù)器中保存的用戶信息進行校驗,能夠進 一步提高身份認證的可靠性。
圖4為本發(fā)明多級認證方法第二實施例第二多級校驗的流程圖。如圖4 所示,該第二多級校驗包括
步驟401、用戶終端向單點登錄代理服務(wù)器發(fā)送地址信息以及訪問憑證 索引。
戶終端向單點登錄代理服務(wù)器發(fā)送地址信息即為請求訪問與該地址信息對應(yīng) 的資源數(shù)據(jù),在發(fā)送的同時還要發(fā)送用戶終端的訪問憑證索引,該訪問憑證 索引即為用戶終端在當(dāng)前所要訪問的子系統(tǒng)中的身份憑證。
步驟403、單點登錄代理服務(wù)器根據(jù)該訪問憑證索引判斷是否存在與該 訪問憑證索引對應(yīng)的訪問憑證,如果不存在則執(zhí)行步驟405,否則執(zhí)行步驟 407。
該判斷過程即為單點登錄服務(wù)器對該訪問憑證索引進行校驗,查詢該用戶終端的訪問憑證索引是否有效即當(dāng)前單點登錄代理服務(wù)器中是否存在該訪 問憑證索引。
步驟405、單點登錄代理服務(wù)器向用戶終端返回訪問失敗信息。 步驟407、單點登錄服務(wù)器根據(jù)訪問憑證索引對訪問憑證進行校驗。 步驟409、判斷校驗是否成功,如果失敗則執(zhí)行步驟411,否則執(zhí)行步驟
413。
步驟411、向用戶終端返回訪問失敗信息。
步驟413、單點登錄服務(wù)器從用戶信息數(shù)據(jù)庫中獲取用戶權(quán)限信息,并 向用戶終端返回與用戶權(quán)限信息對應(yīng)的資源數(shù)據(jù)。
步驟415、單點登錄代理服務(wù)器刪除訪問憑證索引。
在單點登錄服務(wù)器向用戶終端返回對應(yīng)的資源數(shù)據(jù)后,單點登錄代理服 務(wù)器要將本次訪問子系統(tǒng)資源的訪問憑證索引。在下次訪問時又使用的是不
同的訪問憑證索引,因此能夠提高系統(tǒng)資源的訪問安全性。
在上述第二多級校驗的過程中,也使用了兩級校驗。用戶在訪問子系統(tǒng)
高用戶訪問信息的安全性。在傳輸該訪問憑證索引的過程中也可以使用SSL 協(xié)議對該訪問憑證索引進行加密以提高傳輸安全性。由于采用的是多級認證 的方式,因此單點登錄代理服務(wù)器可以無縫接入任意子系統(tǒng),在用戶需要訪 問該子系統(tǒng)的時候該子系統(tǒng)就可以采用自己的校驗方式對用戶訪問憑證進行 校驗,擴展十分方便靈活。
綜上可知,本發(fā)明多級認證方法使生成的Cookie與用戶終端的本地信息 直接關(guān)聯(lián),這樣任何從其他用戶終端上移植過來的cookie都是非法的,而且 可以有效的避免被網(wǎng)絡(luò)劫持,同時在整個過程中傳輸?shù)亩际菓{證的索引值, 該索引值為動態(tài)生成,因此,即使是同一臺機器在不同時期登陸,產(chǎn)生的索 引值都不同,從而有效解決了 Cookie的修改替換問題。在傳輸?shù)倪^程中,可 以對用戶名、密碼以及各個索引應(yīng)用SSL進行加密傳輸,可以防范DNS攻擊。 該方法支持多個認證系統(tǒng)的接入,可以無縫的把登陸認證或是系統(tǒng)校驗的權(quán)限交接給各個子系統(tǒng),這樣使接入到認證系統(tǒng)的子系統(tǒng)無"i侖接入還是移除都 非常靈活。而且,在用戶終端通過第一多級校驗后,再訪問子系統(tǒng)資源的時 候不需要重新校驗,從而達到單點登錄,統(tǒng)一服務(wù)的效果。圖5為本發(fā)明多級認證系統(tǒng)第一實施例的結(jié)構(gòu)框圖。如圖5所示,該系統(tǒng)包括第一校驗?zāi)K1和第二校驗?zāi)K2。第一校驗?zāi)K1對接收到的資 源訪問請求進行第一多級校驗,校驗成功后返回訪問憑證索? 1和相應(yīng)的地址 信息;第二校驗?zāi)K2根據(jù)接收的訪問憑證索引進行第二多級校驗,校驗成 功后返回相應(yīng)的地址信息所對應(yīng)的資源數(shù)據(jù)。具體地,第一校驗?zāi)K1對接收到的資源訪問請求進行第一多級校驗, 在校驗失敗后,第一校驗?zāi)K1就向用戶終端反饋資源訪問請求失敗信息, 即說明該用戶還沒有成功登錄;如果校驗成功,說明該用戶已經(jīng)成功登錄, 則向用戶終端返回訪問憑證索引以及與該用戶的訪問權(quán)限對應(yīng)的地址信息。 該訪問憑證索引與該用戶的訪問憑證是對應(yīng)的,該地址信息就是該用戶有權(quán)返回訪問憑證,因此用戶終端在第一校驗?zāi)Kl中存儲的訪問憑證是唯一的, 而用戶終端在每次向登錄認證服務(wù)器發(fā)送資源訪問請求時所使用的訪問憑證 索引是變化的,因此,能夠提供認證的安全性。用戶終端在訪問上述地址信息想要獲取與該地址信息對應(yīng)的資源數(shù)據(jù) 時,會將訪問憑證索引以及該地址信息同時發(fā)送給第二校驗?zāi)K2,然后第 二校驗?zāi)K2根據(jù)該訪問憑證索引進行第二多級校驗,在校驗失敗時向用戶 終端反饋校驗失敗信息,如果校驗成功,則將與該地址信息對應(yīng)的資源數(shù)據(jù) 反饋給用戶終端。第二校驗?zāi)K2的校驗過程事實上就是用戶終端所需訪問校驗的過程。當(dāng)系統(tǒng)資源中集成了多個子系統(tǒng)資源,則各個子系統(tǒng)資源均可本實施例第一校驗?zāi)K向用戶終端返回訪問憑證索引而不是訪問憑證, 提高了用戶訪問信息的安全性。第二校驗?zāi)K支持多個認證系統(tǒng)的接入和移除,在不改變現(xiàn)有的校驗方式的情況下接入更多的子系統(tǒng)資源,并使這些子 系統(tǒng)資源能夠采用自己的校驗方式進行校驗,從而達到擴展靈活的效果,在 用戶終端通過第 一校驗?zāi)K的校驗后再訪問子系統(tǒng)資源的時候不需要重新校 驗,從而達到單點登錄,統(tǒng)一服務(wù)的效果。圖6為本發(fā)明多級認證系統(tǒng)第二實施例的結(jié)構(gòu)框圖。如圖6所示,該系統(tǒng)包括第一校驗?zāi)K1和第二校驗?zāi)K2。第一校驗?zāi)K1對接收到的資 源訪問請求進行第一多級校驗,校驗成功后返回訪問憑證索;1和相應(yīng)的地址 信息;第二校驗?zāi)K2根據(jù)接收的訪問憑證索引進行第二多級校驗,校驗成 功后返回相應(yīng)的地址信息所對應(yīng)的資源數(shù)據(jù)。該系統(tǒng)還包括用戶終端3和 用戶信息數(shù)據(jù)庫4。用戶終端3向第一校驗?zāi)K1發(fā)送資源訪問請求,并在 第一校驗?zāi)K1校驗成功時向第二校驗?zāi)K2發(fā)送訪問憑證索引;用戶信息 數(shù)據(jù)庫4中存儲了第一校驗?zāi)K1進行第一多級校驗所需的用戶信息以及第 二校驗?zāi)K2完成第二校驗后向用戶終端3返回的與地址信息對應(yīng)的資源數(shù) 據(jù)。該第一校驗?zāi)K1可以進一步包括登錄校驗單元10和認證校驗單元 11 。登錄校驗單元10對用戶終端3發(fā)送的用戶令牌進行校驗,校驗成功時從 用戶令牌中獲取用戶憑證索引;認證校驗單元11根據(jù)該用戶憑證索引對用戶 憑證進行校驗,校驗成功時從用戶信息數(shù)據(jù)庫4中獲取相應(yīng)的地址信息,生 成訪問憑證,并將該訪問憑證索引和相應(yīng)的地址信息發(fā)送給用戶終端3。該 第二校驗?zāi)K2可以進一步包括單點登錄代理單元20和單點登錄服務(wù)單元 21。單點登錄代理單元20根據(jù)訪問憑證索引判斷是否存在與該訪問憑證索引 對應(yīng)的訪問憑證;單點登錄服務(wù)單元21在存在訪問憑證時對該訪問憑證進行 校驗,在校驗成功時從用戶信息數(shù)據(jù)庫4中獲取用戶權(quán)限信息,并向用戶終 端3返回與用戶權(quán)限信息對應(yīng)的資源數(shù)據(jù)。具體地,用戶終端3將用戶登錄信息發(fā)送給第一校驗?zāi)K1中的登錄校 驗單元IO。該用戶登錄信息包括用戶名、密碼以及用戶終端的本地信息。該 本地信息既可以為用戶終端的IP地址,也可以為用戶終端的MAC地址。需要 說明的是,在用戶終端向登錄認證服務(wù)器傳輸用戶登錄信息前,可以采用SSL協(xié)議對用戶名、密碼以及用戶終端的本地信息進行加密處理。登錄校驗單元IO從用戶信息數(shù)據(jù)庫4中獲取與該用戶登錄信息對應(yīng)的用戶信息并根據(jù)該用 戶信息對用戶身份進行校驗,如果校驗失敗向用戶終端3反饋校驗失敗信息, 否則,認證校驗單元11生成用戶憑證,根據(jù)用戶憑證獲取用戶憑證索引,根 據(jù)該用戶憑證索引生成用戶令牌。生成用戶令牌的過程即為對用戶憑證索引 加密的過程,該過程也可采用SSL協(xié)議進行。登錄校驗單元IO從用戶信息數(shù) 據(jù)庫4中獲:f又與用戶登錄信息對應(yīng)的資源標識列表。該資源標識列表中包括 與該用戶的訪問權(quán)限匹配的所有可以訪問的系統(tǒng)資源的標識,在后續(xù)用戶終 端可以通過發(fā)送該標識登錄與該標識對應(yīng)的子系統(tǒng)進行進一步的認證。最后, 登錄校驗單元10將該用戶令牌和該資源標識列表發(fā)送給用戶終端3。此時用 戶終端3可以在瀏覽器緩存中設(shè)置與本次登錄對應(yīng)的進程內(nèi)Cookie,該設(shè)置 能夠使生成的Cookie與用戶終端的本地信息直接關(guān)聯(lián),從而使得從其它用戶 終端上移植過來的Cookie都是非法的,同時在瀏覽器的緩存中保留的Cookie 是一個索引,因此即使一臺機器在不同的時刻登錄,其產(chǎn)生的索引值也是不 相同的,有效地解決了 Cookie的修改替換問題。上述用戶終端從登錄認證服務(wù)器獲取用戶令牌和資源標識列表的方法 中,由于用戶終端發(fā)送的用戶名和密碼均采用SSL加密后的字符串,因此無 法解密,同時在生成用戶令牌的過程中還要使用用戶終端的本地信息,能夠 將該用戶令牌與用戶終端的本地信息綁定,而且返回給用戶終端的用戶令牌 只是用戶身份憑證的索引值而非用戶身份憑證,因此,能夠有效地避免用戶 身份憑證被網(wǎng)絡(luò)劫持,有效防范DNS攻擊,保證了用戶信息的安全性。在用戶終端3獲取用戶令牌和資源標識列表后,再向登錄校驗單元10發(fā) 送資源訪問請求。在用戶終端已經(jīng)成功登錄系統(tǒng)時,用戶終端就要使用該系統(tǒng)中的子系統(tǒng) 資源,于是用戶終端就要向登錄認證服務(wù)器發(fā)送資源訪問請求,請求訪問子 系統(tǒng)資源。該資源標識即為資源標識列表中的某一個標識,該標識與用戶終 端需要訪問的地址信息相對應(yīng)。然后,登錄校驗單元IO對用戶令牌進行校驗,校驗失敗則向用戶終端3返回用戶令牌校驗失敗信息,否則認證校驗單元11從用戶令牌中獲取用戶憑 證索引并根據(jù)用戶憑證索引對用戶憑證進行校驗。判斷,如果校驗成功就代表已經(jīng)成功登錄,即可對該用戶令牌進行解密,獲 取該用戶令牌中的用戶憑證索引,如果校驗不成功則說明用戶終端還沒有成功登錄上層系統(tǒng),向用戶終端3發(fā)送用戶令牌校驗失敗信息即通知用戶終端 3重新登錄。憑證校驗失敗信息,否則登錄校驗單元10從用戶信息數(shù)據(jù)庫4中獲取與該用 戶憑證對應(yīng)的地址信息,生成訪問憑證,并將該訪問憑證索引和地址信息發(fā) 送給用戶終端3。在用戶終端3登錄注冊時即可獲取用戶憑證,該用戶憑證就存儲在認證 校驗?zāi)Kll中,在校驗時,認證校驗?zāi)K11將根據(jù)用戶令牌獲取的用戶憑 證與其存儲的用戶憑證進行比對,如果存在這樣的用戶憑證則說明用戶身份 是合法的。然后登錄校驗?zāi)K10就從用戶信息數(shù)據(jù)庫4中獲取與該用戶憑證 的權(quán)限相符合的資源地址信息。該地址信息即為與用戶終端發(fā)送的資源列表 中需要訪問的資源標識對應(yīng)的地址信息。同時還要生成用戶有權(quán)限訪問該子 系統(tǒng)的訪問憑證,并將該訪問憑證所對應(yīng)的訪問憑證索引和地址信息發(fā)送給 用戶終端3。在用戶終端3獲取訪問憑證后就要進一步使用子系統(tǒng)資源數(shù)據(jù)。首先, 用戶終端3向第二校驗?zāi)K2中的單點登錄代理單元20發(fā)送地址信息以及訪 問憑證索引。用戶終端3向單點登錄代理單元20發(fā)送地址信息即為請求訪問與該地址信息 對應(yīng)的資源數(shù)據(jù),在發(fā)送的同時還要發(fā)送用戶終端的訪問憑證索引,該訪問 憑證索引即為用戶終端3在當(dāng)前所要訪問的子系統(tǒng)中的身份憑證。然后,單點登錄代理單元20根據(jù)該訪問憑證索引判斷是否存在與該訪問 憑證索引對應(yīng)的訪問憑證,如果不存在則向用戶終端3返回訪問失敗信息, 否則單點登錄服務(wù)單元21根據(jù)訪問憑證索引對訪問憑證進行校驗。如果校驗失敗則向用戶終端3返回訪問失敗信息,否則,單點登錄服務(wù)單元21從用戶 信息數(shù)據(jù)庫4中獲取用戶權(quán)限信息,并向用戶終端3返回與用戶權(quán)限信息對 應(yīng)的資源數(shù)據(jù)。最后,單點登錄代理單元還要刪除訪問憑證索引。在單點登 錄服務(wù)器向用戶終端返回對應(yīng)的資源數(shù)據(jù)后,單點登錄代理服務(wù)器要將本次 訪問子系統(tǒng)資源的訪問憑證索引。在下次訪問時又使用的是不同的訪問憑證 索引,因此能夠提高系統(tǒng)資源的訪問安全性。綜上可知,本發(fā)明多級認證系統(tǒng)采用第 一校驗?zāi)K和第二校驗?zāi)K進行 多級校驗,使生成的Cookie與用戶終端的本地信息直接關(guān)聯(lián),這樣任何從其 他用戶終端上移植過來的cookie都是非法的,而且可以有效的避免^皮網(wǎng)絡(luò)劫 持,同時在整個過程中傳輸?shù)亩际菓{證的索引值,該索引值為動態(tài)生成,因 此,即使是同一臺機器在不同時期登陸,產(chǎn)生的索引值都不同,從而有效解 決了 Cookie的修改替換問題。在傳輸?shù)倪^程中,可以對用戶名、密碼以及各 個索引應(yīng)用SSL進行加密傳輸,可以防范DNS攻擊。該系統(tǒng)由于對子系統(tǒng)訪 問權(quán)限的校驗為逐級進行,因此支持多個認證系統(tǒng)的接入,可以無縫的把登 陸認證或是系統(tǒng)校驗的權(quán)限交接給各個子系統(tǒng),這樣使接入到認證系統(tǒng)的子 系統(tǒng)無論接入還是移除都非常靈活。而且,在用戶終端通過第一多級校驗后, 再訪問子系統(tǒng)資源的時候不需要重新校驗,從而達到單點登錄,統(tǒng)一服務(wù)的 效果。最后應(yīng)說明的是以上實施例僅用以說明本發(fā)明的技術(shù)方案而非對其進行 限制,盡管參照較佳實施例對本發(fā)明進行了詳細的說明,本領(lǐng)域的普通技術(shù) 人員應(yīng)當(dāng)理解其依然可以對本發(fā)明的技術(shù)方案進行修改或者等同替換,而 這些修改或者等同替換亦不能使修改后的技術(shù)方案脫離本發(fā)明技術(shù)方案的精 神和范圍。
權(quán)利要求
1、一種多級認證方法,其特征在于,包括對接收到的資源訪問請求進行第一多級校驗,校驗成功后返回訪問憑證索引和相應(yīng)的地址信息;根據(jù)接收的訪問憑證索引進行第二多級校驗,校驗成功后返回所述地址信息所對應(yīng)的資源數(shù)據(jù)。
2、 根據(jù)權(quán)利要求1所述的多級認證方法,其特征在于,所述對接收到的 資源訪問請求進行第一多級校驗之前包括用戶終端發(fā)送資源訪問請求,所 述資源訪問請求中攜帶用戶令牌和資源標識。
3、 根據(jù)權(quán)利要求2所述的多級認證方法,其特征在于,所述用戶終端發(fā) 送資源訪問請求之前包括所述用戶終端根據(jù)用戶登錄信息獲取所述用戶令牌和所述資源標識列 表,所述用戶登錄信息包括用戶名、密碼以及所述用戶終端的本地信息。
4、 根據(jù)權(quán)利要求3所述的多級認證方法,其特征在于,所述用戶終端根 據(jù)用戶登錄信息獲取所述用戶令牌和所述資源標識列表之后包括所述用戶終端在瀏覽器緩存中設(shè)置與本次登錄對應(yīng)的進程內(nèi)Cookie。
5、 根據(jù)權(quán)利要求4所述的多級認證方法,其特征在于,所述返回訪問憑 證索引和相應(yīng)的地址信息之后包括用戶終端接收所述訪問憑證索引和相應(yīng)的地址信息。
6、 根據(jù)權(quán)利要求5所述的多級認證方法,其特征在于,所述根據(jù)接收的 訪問憑證索《I進行第二多級校驗之前包括所述用戶終端發(fā)送所述相應(yīng)的地址信息以及所述訪問憑證索引。
7、 根據(jù)權(quán)利要求6所述的多級認證方法,其特征在于,所述用戶終端根 據(jù)用戶登錄信息獲取所述用戶令牌和所述資源標識列表具體為從用戶信息數(shù)據(jù)庫中獲取與所述用戶登錄信息對應(yīng)的用戶信息,根據(jù)所 述用戶信息對用戶身份進行校驗,校驗成功時生成用戶憑證,根據(jù)所述用戶憑證獲取用戶憑證索引,根據(jù)所述用戶憑證索引生成所述用戶令牌,并從所 述用戶信息數(shù)據(jù)庫中獲取與所述用戶登錄信息對應(yīng)的所述資源標識列表,并 將所述用戶令牌和所述資源標識列表發(fā)送給所述用戶終端。
8、 根據(jù)權(quán)利要求7所述的多級認證方法,其特征在于,所述對接收到的 資源訪問請求進行第 一多級校驗具體為對所述用戶令牌進行校驗,校驗成功時從所述用戶令牌中獲取所述用戶 憑證索引,根據(jù)所述用戶憑證索引對所述用戶憑證進行校驗,校驗成功時從
9、 根據(jù)權(quán)利要求6所述的多級認證方法,其特征在于,所述根據(jù)接收的 訪問憑證索51進行第二多級校驗具體為根據(jù)所述訪問憑證索引判斷是否存在與所述訪問憑證索引對應(yīng)的訪問憑 證,在存在時對所述訪問憑證進行校驗,在校驗成功時從所述用戶信息數(shù)據(jù) 庫中獲取用戶權(quán)限信息,并向所述用戶終端返回與所述用戶權(quán)限信息對應(yīng)的 資源數(shù)據(jù)。
10、 根據(jù)權(quán)利要求1所述的多級認證方法,其特征在于,所述返回所述 相應(yīng)的地址信息所對應(yīng)的資源數(shù)據(jù)之后還包括刪除所述訪問憑證索引。
11、 一種多級認證系統(tǒng),其特征在于,包括第一校驗?zāi)K,用于對接收到的資源訪問請求進行第一多級校驗,校驗 成功后返回訪問憑證索引和相應(yīng)的地址信息;第二校驗?zāi)K,用于根據(jù)接收的訪問憑證索引進行第二多級校驗,校驗 成功后返回所述相應(yīng)的地址信息所對應(yīng)的資源數(shù)據(jù)。
12、 根據(jù)權(quán)利要求11所述的多級認證系統(tǒng),其特征在于,還包括 用戶終端,用于向所述第一校驗?zāi)K發(fā)送資源訪問請求,并在所述第一校驗?zāi)K校驗成功時向第二校驗?zāi)K發(fā)送所述訪問憑證索引;用戶信息數(shù)據(jù)庫,用于存儲所述第 一校驗?zāi)K進行第 一多級校驗所需的用戶信息以及第二校驗?zāi)K完成第二校驗后向所述用戶終端返回的與所述地 址信息對應(yīng)的資源數(shù)據(jù)。
13、 根據(jù)權(quán)利要求12所述的多級認證系統(tǒng),其特征在于,所述第一校驗 模塊包括登錄校驗單元,用于對所述用戶終端發(fā)送的用戶令牌進行校驗,校驗成 功時從所述用戶令牌中獲取所述用戶憑證索引;認證校驗單元,用于根據(jù)所述用戶憑證索引對用戶憑證進行校驗,校驗 成功時從用戶信息數(shù)據(jù)庫中獲取所述相應(yīng)的地址信息,生成訪問憑證,并將 所述訪問憑證索引和所述相應(yīng)的地址信息發(fā)送給所述用戶終端。
14、 根據(jù)權(quán)利要求12所述的多級認證系統(tǒng),其特征在于,所述第二校驗 模塊包括單點登錄代理單元,用于根據(jù)所述訪問憑證索引判斷是否存在與所述訪 問憑證索引對應(yīng)的訪問憑證;單點登錄服務(wù)單元,用于在存在所述訪問憑證時對所述訪問憑證進行校 驗,在校驗成功時從所述用戶信息數(shù)據(jù)庫中獲取用戶權(quán)限信息,并向所述用 戶終端返回與所述用戶權(quán)P艮信息對應(yīng)的資源數(shù)據(jù)。
全文摘要
本發(fā)明公開了一種多級認證方法和多級認證系統(tǒng),方法包括對接收到的資源訪問請求進行第一多級校驗,校驗成功后返回訪問憑證索引和相應(yīng)的地址信息;根據(jù)接收的訪問憑證索引進行第二多級校驗,校驗成功后返回所述地址信息所對應(yīng)的資源數(shù)據(jù)。系統(tǒng)包括第一校驗?zāi)K,用于對接收到的資源訪問請求進行第一多級校驗,校驗成功后返回訪問憑證索引和相應(yīng)的地址信息;第二校驗?zāi)K,用于根據(jù)接收的訪問憑證索引進行第二多級校驗,校驗成功后返回所述相應(yīng)的地址信息所對應(yīng)的資源數(shù)據(jù)。本發(fā)明達到認證方式安全,擴展靈活以及單點登錄、統(tǒng)一服務(wù)的效果。
文檔編號H04L9/32GK101335626SQ20081011787
公開日2008年12月31日 申請日期2008年8月6日 優(yōu)先權(quán)日2008年8月6日
發(fā)明者佳 彭 申請人:中國網(wǎng)通集團寬帶業(yè)務(wù)應(yīng)用國家工程實驗室有限公司
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點贊!
1