專(zhuān)利名稱(chēng):一種提高單次登錄系統(tǒng)安全的方法、系統(tǒng)及裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及互聯(lián)網(wǎng)技術(shù)�����,尤其涉及一種提高單次登錄(SSO: Single Sign-on)系統(tǒng)安全的方法�、系統(tǒng)及裝置。
背景技術(shù):
目前���,在互聯(lián)網(wǎng)技術(shù)中��,單次登錄技術(shù)由于其允許用戶簡(jiǎn)單便捷地訪問(wèn) 互聯(lián)網(wǎng)的優(yōu)點(diǎn)而得到了發(fā)展�����。
sso技術(shù)的實(shí)施����,實(shí)現(xiàn)了用戶只需在首次申請(qǐng)sso系統(tǒng)的應(yīng)用服務(wù)時(shí) 驗(yàn)證一次身份(即證明自身身份)���,之后再申請(qǐng)基于同一 sso系統(tǒng)的任意 一個(gè)應(yīng)用服務(wù)時(shí)�����,無(wú)需另外驗(yàn)證身份�,就可方便、快捷地訪問(wèn)該應(yīng)用服務(wù)����。
參見(jiàn)圖l,圖l為現(xiàn)有技術(shù)中利用sso系統(tǒng)實(shí)現(xiàn)登錄驗(yàn)證的流程示意圖����。 在圖1中,當(dāng)用戶客戶端首次訪問(wèn)基于某一個(gè)sso系統(tǒng)的任意一個(gè)應(yīng)用服 務(wù)時(shí)�,若該用戶客戶端沒(méi)有對(duì)應(yīng)該sso系統(tǒng)的授權(quán)票據(jù),則該應(yīng)用服務(wù)對(duì)
應(yīng)的應(yīng)用服務(wù)器要求用戶輸入登錄信息如用戶名和密碼�����,在用戶輸入登錄信
息如用戶名和密碼之后���,如圖1所示�����,該流程包括以下步驟
步驟101,應(yīng)用服務(wù)器將用戶輸入的登錄信息發(fā)送到SSO系統(tǒng)��。 具體地�,應(yīng)用服務(wù)器將用戶輸入的登錄信息發(fā)送到SSO中的票據(jù)發(fā)放中心���。
步驟102�,票據(jù)發(fā)放中心將該登錄信息轉(zhuǎn)發(fā)給身份認(rèn)證中心��,并在身份 認(rèn)證中心對(duì)該登錄信息驗(yàn)證成功時(shí)�,執(zhí)行步驟103。
其中�����,身份認(rèn)證中心存儲(chǔ)有用戶注冊(cè)該應(yīng)用服務(wù)時(shí)所對(duì)應(yīng)的注冊(cè)信息�, 這樣,在身份認(rèn)證中心接收到票據(jù)發(fā)放中心轉(zhuǎn)發(fā)的登錄信息時(shí)�����,判斷自身存 儲(chǔ)的注冊(cè)信息中的登錄信息與當(dāng)前接收的登錄信息是否一致����,如一致,則確
定-驗(yàn)證該登錄信息成功��。
步驟103,票據(jù)發(fā)放中心發(fā)送票據(jù)申請(qǐng)請(qǐng)求給SSO系統(tǒng)中的票據(jù)認(rèn)證中
步驟104,票據(jù)認(rèn)證中心根據(jù)接收的票據(jù)申請(qǐng)請(qǐng)求�����,產(chǎn)生對(duì)應(yīng)的可作為
驗(yàn)證信息的授權(quán)票據(jù)����。
其中,該授權(quán)票據(jù)包括兩個(gè)副本��,這兩個(gè)副本相互一致或?qū)?yīng)��,票據(jù)認(rèn)
證中心存儲(chǔ)其中的 一個(gè)票據(jù)副本��。
步驟105����,票據(jù)認(rèn)證中心將另一個(gè)票據(jù)副本發(fā)送給票據(jù)發(fā)放中心。
步驟106���,票據(jù)發(fā)放中心將該票據(jù)副本發(fā)送給用戶客戶端���。
步驟107,用戶客戶端存儲(chǔ)接收的票據(jù)副本,在該用戶客戶端后續(xù)申請(qǐng)
基于該SSO系統(tǒng)的任意一個(gè)應(yīng)用服務(wù)時(shí)�����,發(fā)送應(yīng)用服務(wù)請(qǐng)求給票據(jù)認(rèn)證中
心進(jìn)行認(rèn)證����。
其中���,該應(yīng)用服務(wù)請(qǐng)求中攜帶用戶客戶端存儲(chǔ)的票據(jù)副本�����。
步驟108����,票據(jù)認(rèn)證中心根據(jù)自身存儲(chǔ)的票據(jù)副本���,對(duì)當(dāng)前接收的應(yīng)用
服務(wù)請(qǐng)求中攜帶的票據(jù)副本進(jìn)行驗(yàn)證�����,若驗(yàn)證成功��,則發(fā)送驗(yàn)證成功的通知
給應(yīng)用服務(wù)器�����。該通知中攜帶允許該應(yīng)用服務(wù)器提供對(duì)應(yīng)的應(yīng)用服務(wù)的信 自
可見(jiàn)�,現(xiàn)有的利用sso系統(tǒng)實(shí)現(xiàn)登錄驗(yàn)證的過(guò)程中,都是由票據(jù)認(rèn)證
中心直接驗(yàn)證應(yīng)用服務(wù)請(qǐng)求����。這樣,就存在一個(gè)問(wèn)題�����,比如���,若票據(jù)認(rèn)證中
心當(dāng)前接收的應(yīng)用服務(wù)請(qǐng)求包含黑客偽照的不安全票據(jù)如DoS攻擊等信息��, 這樣�����,就相當(dāng)于SSO系統(tǒng)中的票據(jù)認(rèn)證中心直接承受了該不安全票據(jù)如DoS 攻擊�,如果SSO系統(tǒng)被擊倒�,則導(dǎo)致此SSO系統(tǒng)的所有應(yīng)用服務(wù)癱瘓。
發(fā)明內(nèi)容
本發(fā)明提供了一種提高單次登錄系統(tǒng)安全的方法、系統(tǒng)及裝置��,以便提 高SSO系統(tǒng)的安全�。
本發(fā)明所提供的一種提高單次登錄系統(tǒng)安全的方法,包括
應(yīng)用服務(wù)器接收用戶客戶端發(fā)來(lái)的攜帶驗(yàn)證信息的應(yīng)用服務(wù)請(qǐng)求�,根據(jù)獲 取的對(duì)應(yīng)所述用戶客戶端的驗(yàn)證信息對(duì)應(yīng)用服務(wù)請(qǐng)求中攜帶的驗(yàn)證信息進(jìn)行校
驗(yàn),在校驗(yàn)成功時(shí)�����,發(fā)送該當(dāng)前接收的應(yīng)用服務(wù)請(qǐng)求給單次登錄SSO系統(tǒng)�����; SSO系統(tǒng)接收到應(yīng)用服務(wù)請(qǐng)求后���,發(fā)送允許提供應(yīng)用服務(wù)的通知給應(yīng)用服務(wù)器。
本發(fā)明提供的一種提高單次登錄系統(tǒng)安全的系統(tǒng)�����,包括用戶客戶端�����、應(yīng) 用服務(wù)器和單次登錄系統(tǒng);其中���,
所述用戶客戶端用于發(fā)送攜帶驗(yàn)證信息的應(yīng)用服務(wù)請(qǐng)求給所述應(yīng)用服務(wù)
器��;
所述應(yīng)用服務(wù)器用于接收所述應(yīng)用服務(wù)請(qǐng)求�,根據(jù)獲取的對(duì)應(yīng)所述用戶客 戶端的驗(yàn)證信息對(duì)應(yīng)用服務(wù)請(qǐng)求中攜帶的驗(yàn)證信息進(jìn)行校驗(yàn)�,在校驗(yàn)成功時(shí), 發(fā)送該當(dāng)前接收的應(yīng)用服務(wù)請(qǐng)求給單次登錄系統(tǒng)��;
所述單次登錄系統(tǒng)用于接收到應(yīng)用服務(wù)請(qǐng)求后��,發(fā)送允許提供應(yīng)用服務(wù)的 通知給所述應(yīng)用服務(wù)器����。
本發(fā)明提供的一種應(yīng)用服務(wù)器,包括第一接收單元����、第一獲取單元和校 驗(yàn)單元;其中�,
所述第一接收單元用于接收用戶客戶端發(fā)來(lái)的攜帶驗(yàn)證信息的應(yīng)用服務(wù)請(qǐng) 求,并接收SSO系統(tǒng)所發(fā)送的允許提供應(yīng)用服務(wù)的通知����;
所述第 一獲取單元用于獲取對(duì)應(yīng)所述用戶客戶端的驗(yàn)證信息�����;
所述校驗(yàn)單元用于根據(jù)所述第一獲取單元獲取的驗(yàn)證信息對(duì)所述第一接收 單元接收的應(yīng)用服務(wù)請(qǐng)求中攜帶的驗(yàn)證信息進(jìn)行校驗(yàn)����,在校驗(yàn)成功時(shí)�,發(fā)送該 當(dāng)前接收的應(yīng)用服務(wù)請(qǐng)求給SSO系統(tǒng)。
本發(fā)明提供的一種單次登錄系統(tǒng)�����,包括
第二接收單元��,用于在應(yīng)用服務(wù)器對(duì)當(dāng)前接收的應(yīng)用服務(wù)請(qǐng)求中攜帶的驗(yàn) 證信息校驗(yàn)成功后����,接收該應(yīng)用服務(wù)器發(fā)送的應(yīng)用服務(wù)請(qǐng)求���;
通知單元���,用于根據(jù)所述第二接收單元接收的應(yīng)用服務(wù)請(qǐng)求,發(fā)送允許提 供應(yīng)用服務(wù)的通知給應(yīng)用服務(wù)器����。
從上述方案可以看出�����,本發(fā)明提供的一種提高單次登錄系統(tǒng)安全的方 法�、系統(tǒng)�����、應(yīng)用服務(wù)器及單次登錄系統(tǒng)�。其中,該方法通過(guò)應(yīng)用服務(wù)器接收 用戶客戶端發(fā)來(lái)的攜帶驗(yàn)證信息的應(yīng)用服務(wù)請(qǐng)求��,根據(jù)獲取的對(duì)應(yīng)所述用戶
客戶端的驗(yàn)證信息對(duì)應(yīng)用服務(wù)請(qǐng)求中攜帶的驗(yàn)證信息進(jìn)行校驗(yàn)��,在校驗(yàn)成功
時(shí)����,發(fā)送該當(dāng)前接收的應(yīng)用服務(wù)請(qǐng)求給單次登錄SSO系統(tǒng);SSO系統(tǒng)接收 到應(yīng)用服務(wù)請(qǐng)求后���,發(fā)送允許提供應(yīng)用服務(wù)的通知給應(yīng)用服務(wù)器����。可見(jiàn)�����,本 發(fā)明先由應(yīng)用服務(wù)器直接對(duì)當(dāng)前接收的應(yīng)用服務(wù)請(qǐng)求進(jìn)行校驗(yàn)�,在校驗(yàn)成功 后,再將該接收的應(yīng)用服務(wù)請(qǐng)求發(fā)送給SSO系統(tǒng)進(jìn)行驗(yàn)證��,相比于現(xiàn)有技 術(shù)直接將應(yīng)用服務(wù)請(qǐng)求發(fā)送SSO系統(tǒng)�,大大提高了 SSO系統(tǒng)的安全。
此外��,本發(fā)明先由應(yīng)用服務(wù)器直接對(duì)當(dāng)前接收的應(yīng)用服務(wù)請(qǐng)求進(jìn)行校 驗(yàn)����,相比于現(xiàn)有技術(shù)直接將應(yīng)用服務(wù)請(qǐng)求發(fā)送SSO系統(tǒng),可以減輕SSO系
統(tǒng)驗(yàn)證所有應(yīng)用服務(wù)請(qǐng)求的壓力�,使sso系統(tǒng)"專(zhuān)注"于有效請(qǐng)求,進(jìn)而提
升了 sso系統(tǒng)所支撐的所有應(yīng)用服務(wù)對(duì)應(yīng)的在線用戶的容量����。
圖1為現(xiàn)有技術(shù)中利用SSO系統(tǒng)實(shí)現(xiàn)登錄驗(yàn)證的流程示意圖�; 圖2為本發(fā)明實(shí)施例提供的提高單次登錄系統(tǒng)安全的工作流程圖; 圖3為本發(fā)明實(shí)施例提供的提高單次登錄系統(tǒng)安全的詳細(xì)工作流程圖��; 圖4為本發(fā)明實(shí)施例提供的提高單次登錄系統(tǒng)安全的另一詳細(xì)工作流 程圖5為本發(fā)明實(shí)施例中提高單次登錄系統(tǒng)安全的系統(tǒng)結(jié)構(gòu)圖; 圖6為本發(fā)明實(shí)施例中應(yīng)用服務(wù)器的一種結(jié)構(gòu)圖�; 圖7為本發(fā)明實(shí)施例中單次登錄系統(tǒng)的一種結(jié)構(gòu)圖。
具體實(shí)施例方式
本發(fā)明實(shí)施例提供的 一種提高單次登錄系統(tǒng)安全的方法�,主要是利用應(yīng)用 服務(wù)器接收用戶客戶端發(fā)來(lái)的攜帶驗(yàn)證信息的應(yīng)用服務(wù)請(qǐng)求,根據(jù)獲取的對(duì)應(yīng)
所述用戶客戶端的驗(yàn)證信息對(duì)應(yīng)用服務(wù)請(qǐng)求中攜帶的驗(yàn)證信息進(jìn)行校驗(yàn)����,在校
驗(yàn)成功時(shí),發(fā)送該當(dāng)前接收的應(yīng)用服務(wù)請(qǐng)求給單次登錄SSO系統(tǒng)��;SSO系統(tǒng)接 收到應(yīng)用服務(wù)請(qǐng)求后���,發(fā)送允許提供應(yīng)用服務(wù)的通知給應(yīng)用服務(wù)器����。采用本發(fā) 明�,可以實(shí)現(xiàn)先由應(yīng)用服務(wù)器直接對(duì)當(dāng)前接收的應(yīng)用服務(wù)請(qǐng)求進(jìn)行校驗(yàn),而不 是現(xiàn)有技術(shù)中的由SSO系統(tǒng)直接驗(yàn)證用戶客戶端發(fā)送的應(yīng)用服務(wù)請(qǐng)求�,進(jìn)而提 高了SSO系統(tǒng)的安全。并且���,本發(fā)明中����,利用應(yīng)用服務(wù)器對(duì)當(dāng)前接收的應(yīng)用服 務(wù)請(qǐng)求進(jìn)行校驗(yàn),也能節(jié)省SSO系統(tǒng)的性能資源�。
為使本發(fā)明的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚明白��,下面結(jié)合實(shí)施例和 附圖���,對(duì)本發(fā)明進(jìn)一步詳細(xì)說(shuō)明��。
參見(jiàn)圖2���,圖2為本發(fā)明實(shí)施例中提供的提高單次登錄系統(tǒng)安全的工作 流程圖。如圖2所示�,該工作流程可包括以下步驟
步驟201 ,應(yīng)用服務(wù)器接收用戶客戶端發(fā)來(lái)的攜帶驗(yàn)證信息的應(yīng)用服務(wù) 請(qǐng)求�����。
步驟202���,應(yīng)用服務(wù)器根據(jù)獲取的對(duì)應(yīng)所述用戶客戶端的驗(yàn)證信息對(duì)應(yīng) 用服務(wù)請(qǐng)求中攜帶的驗(yàn)證信息進(jìn)行校驗(yàn)���,在校驗(yàn)成功時(shí),執(zhí)行步驟203��。
這里�,應(yīng)用服務(wù)器根據(jù)獲取的驗(yàn)證信息對(duì)應(yīng)用服務(wù)請(qǐng)求中攜帶的驗(yàn)證信 息校驗(yàn)失敗時(shí),可直接過(guò)濾掉當(dāng)前接收的應(yīng)用服務(wù)請(qǐng)求����。
步驟203,應(yīng)用服務(wù)器發(fā)送該當(dāng)前接收的應(yīng)用服務(wù)請(qǐng)求給SSO系統(tǒng)
步驟204, SSO系統(tǒng)接收到應(yīng)用服務(wù)請(qǐng)求后�����,發(fā)送允許提供應(yīng)用服務(wù)的 通知給應(yīng)用服務(wù)器����。
如此,用戶可直接訪問(wèn)到該應(yīng)用服務(wù)器提供的各種應(yīng)用服務(wù)���。
為使本發(fā)明實(shí)施例的技術(shù)方案和優(yōu)點(diǎn)更加清楚明白��,下面對(duì)本發(fā)明實(shí)施 例提供的驗(yàn)證登錄信息的方法進(jìn)行詳細(xì)描述
參見(jiàn)圖3��,圖3為本發(fā)明實(shí)施例提供的提高單次登錄系統(tǒng)安全的方法的 詳細(xì)工作流程圖�����。在用戶客戶端發(fā)送應(yīng)用服務(wù)請(qǐng)求之前發(fā)送的登錄信息經(jīng)身
份認(rèn)證中心驗(yàn)證成功后�����,如圖3所示��,該流程包括以下步驟
步驟301, SSO系統(tǒng)產(chǎn)生對(duì)應(yīng)所述登錄信息的第一預(yù)驗(yàn)證信息��。
這里����,第一預(yù)驗(yàn)證信息可為表示用戶客戶端的身份以及用戶客戶端當(dāng)前
登錄狀態(tài)的信息,其中�,該第一預(yù)驗(yàn)證信息可以為一個(gè)ID值。
優(yōu)選地���,為便于后續(xù)的驗(yàn)證操作�,該第一預(yù)驗(yàn)證信息可包括兩個(gè)副本��, 這兩個(gè)副本是一致的或——對(duì)應(yīng)的�����。其中一個(gè)副本發(fā)放給用戶客戶端�,由用
戶客戶端保留,優(yōu)選地,如果用戶客戶端后續(xù)申請(qǐng)的應(yīng)用服務(wù)一般是web 應(yīng)用服務(wù)��,則可將該其中 一個(gè)副本保存在瀏覽器中的文本文件(Cookie )中���。 另一個(gè)副本會(huì)存放在SSO系統(tǒng)中,具體地�����,可以采用節(jié)(Session)的形式 存放在SSO系統(tǒng)中����。這里,之所以采用Session的形式存放另一個(gè)副本在 SSO系統(tǒng)中��,是因?yàn)橛脩艨蛻舳松暾?qǐng)的應(yīng)用服務(wù)(例如網(wǎng)頁(yè))是一種無(wú)狀態(tài) 的連接程序�����,應(yīng)用服務(wù)器(例如Web服務(wù)器)無(wú)法得知用戶的瀏覽狀態(tài)��, 利用Session來(lái)記錄用戶的有關(guān)身份信息���,以供后續(xù)的用戶再次以此身份對(duì) web服務(wù)器提供要求時(shí)進(jìn)行確認(rèn)�����。
此外�,第一預(yù)驗(yàn)證信息可以有多種形式,如可以為授權(quán)票據(jù)(ticket,可 簡(jiǎn)稱(chēng)為票據(jù))�����,或者數(shù)字簽名等���。
步驟302�, SSO系統(tǒng)按照預(yù)設(shè)定的規(guī)則變換自身產(chǎn)生的第一預(yù)驗(yàn)證信息�����, 得到驗(yàn)證信息����,將該驗(yàn)證信息發(fā)送給應(yīng)用服務(wù)器。
這里���,為節(jié)省性能資源�����,優(yōu)選地�,可將上述發(fā)放給用戶客戶端的副本中 的第一預(yù)驗(yàn)證信息按照預(yù)設(shè)定的規(guī)則進(jìn)行變換,得到驗(yàn)證信息�,將該驗(yàn)證信 息發(fā)送給應(yīng)用服務(wù)器。
這里�����,預(yù)設(shè)定的規(guī)則可以有多種形式��,如可以為加密算法���,也可以為直 接變換第一預(yù)驗(yàn)證信息中某一位或多位為預(yù)先設(shè)定的字符等形式,比如��,預(yù) 設(shè)定的規(guī)則為將第一預(yù)驗(yàn)證信息的最后一位變換為字符"0"���。
步驟303,應(yīng)用服務(wù)器接收并存儲(chǔ)該SSO系統(tǒng)發(fā)來(lái)的驗(yàn)證信息���,并將接 收的驗(yàn)證信息發(fā)送給用戶客戶端。
步驟304,用戶客戶端存儲(chǔ)接收的驗(yàn)證信息��,在申請(qǐng)基于該SSO系統(tǒng)的 任意一個(gè)或一個(gè)以上的應(yīng)用服務(wù)時(shí)���,將該驗(yàn)證信息攜帶在應(yīng)用服務(wù)請(qǐng)求中發(fā) 送給所述應(yīng)用服務(wù)器�。
這里,可將基于該sso系統(tǒng)的所有應(yīng)用服務(wù)稱(chēng)為該sso系統(tǒng)的應(yīng)用集.
群����。如此,步驟304中的用戶客戶端申請(qǐng)基于該SSO系統(tǒng)的任意一個(gè)或一 個(gè)以上的應(yīng)用服務(wù)具體為用戶客戶端申請(qǐng)?jiān)揝SO系統(tǒng)的應(yīng)用集群中的任 意一個(gè)或一個(gè)以上的應(yīng)用服務(wù)����。
步驟305,應(yīng)用服務(wù)器判斷當(dāng)前接收到的應(yīng)用服務(wù)請(qǐng)求中所攜帶的驗(yàn)證信息 是否與所存儲(chǔ)的來(lái)自SSO系統(tǒng)發(fā)送的驗(yàn)證信息相對(duì)應(yīng)�,如果是,執(zhí)行步驟306���, 否則����,直接過(guò)濾掉當(dāng)前接收的應(yīng)用服務(wù)請(qǐng)求��。
這里��,應(yīng)用服務(wù)器判斷當(dāng)前接收到的應(yīng)用服務(wù)請(qǐng)求中所攜帶的驗(yàn)證信息是 否與所存儲(chǔ)的來(lái)自SSO系統(tǒng)發(fā)送的-3^i正信息相對(duì)應(yīng)具體可為應(yīng)用服務(wù)器判斷 當(dāng)前接收到的應(yīng)用服務(wù)請(qǐng)求中所攜帶的驗(yàn)證信息與所存儲(chǔ)的來(lái)自SSO系統(tǒng)發(fā)送 的驗(yàn)證信息中的每一位是否都對(duì)應(yīng)����,如果是�����,則執(zhí)行步驟306,否則����,直接過(guò) 濾掉當(dāng)前接收的應(yīng)用服務(wù)請(qǐng)求����。
本發(fā)明實(shí)施例中,為節(jié)省應(yīng)用服務(wù)器的性能資源��,應(yīng)用服務(wù)器也可只判 斷當(dāng)前接收到的應(yīng)用服務(wù)請(qǐng)求中攜帶的驗(yàn)證信息中是否存在SSO系統(tǒng)對(duì)自 身產(chǎn)生的第一預(yù)驗(yàn)證信息進(jìn)行變換時(shí)所發(fā)生變換的各個(gè)位對(duì)應(yīng)的信息����,具體 實(shí)現(xiàn)時(shí)���,步驟302可替換為SSO系統(tǒng)按照預(yù)設(shè)定的規(guī)則變換自身產(chǎn)生的第 一預(yù)驗(yàn)證信息�,發(fā)送針對(duì)自身產(chǎn)生的第一預(yù)驗(yàn)證信息中發(fā)生變換的各個(gè)位的 信息給應(yīng)用服務(wù)器�。步驟303可替換為應(yīng)用服務(wù)器接收并存儲(chǔ)該SSO系 統(tǒng)發(fā)來(lái)的信息。步驟304不變����,但在步驟304之前��,并在SSO系統(tǒng)按照預(yù) 設(shè)定的規(guī)則變換自身產(chǎn)生的第一預(yù)驗(yàn)證信息之后��,還可包括SSO系統(tǒng)將按 照預(yù)設(shè)定的規(guī)則變換自身產(chǎn)生的第 一預(yù)驗(yàn)證信息所得到的驗(yàn)證信息發(fā)送給 用戶客戶端���。步驟305可替換為應(yīng)用服務(wù)器判斷當(dāng)前接收到的應(yīng)用服務(wù)請(qǐng) 求中所攜帶的驗(yàn)證信息中是否存在SSO系統(tǒng)對(duì)產(chǎn)生的第一預(yù)驗(yàn)證信息進(jìn)行 變換時(shí)發(fā)生變換的各個(gè)位所對(duì)應(yīng)的信息,如果是�����,執(zhí)行步驟306,否則���,直 接過(guò)濾掉當(dāng)前接收的應(yīng)用服務(wù)請(qǐng)求�。
比如����,若上述替換后的步驟302中SSO系統(tǒng)發(fā)送針對(duì)自身產(chǎn)生的第一 預(yù)驗(yàn)證信息中發(fā)生變換的各個(gè)位的信息為將SSO系統(tǒng)產(chǎn)生的第一預(yù)驗(yàn)證信
息的最后一位變換為字符"0",則在替換后的步驟305中���,應(yīng)用服務(wù)器判 斷當(dāng)前接收到的應(yīng)用服務(wù)請(qǐng)求中攜帶的驗(yàn)證信息中的最后一位是否為字符 "0"��,是則執(zhí)行步驟306���,否則�,直接過(guò)濾掉當(dāng)前接收的應(yīng)用服務(wù)請(qǐng)求���。 可見(jiàn)��,本實(shí)施例中�,應(yīng)用服務(wù)器首先對(duì)當(dāng)前接收的應(yīng)用服務(wù)請(qǐng)求中攜帶 的驗(yàn)證信息進(jìn)行了 一個(gè)預(yù)認(rèn)證����。
步驟306,應(yīng)用服務(wù)器將當(dāng)前校驗(yàn)成功的應(yīng)用服務(wù)請(qǐng)求發(fā)送給SSO系統(tǒng)��。
本實(shí)施例中�,為了進(jìn)一步提高應(yīng)用服務(wù)的可靠性,SSO系統(tǒng)可在接收到 應(yīng)用服務(wù)請(qǐng)求后�,執(zhí)行步驟307中的對(duì)該接收的應(yīng)用服務(wù)請(qǐng)求中的驗(yàn)證信息 進(jìn)行驗(yàn)證的操作。當(dāng)然�,SSO系統(tǒng)也可以不對(duì)應(yīng)用服務(wù)請(qǐng)求中的驗(yàn)證信息進(jìn) 行驗(yàn)證���,直接執(zhí)行步驟308����,這需要具體情況具體分析���。
步驟307�, SSO系統(tǒng)對(duì)該接收的應(yīng)用服務(wù)請(qǐng)求中的-險(xiǎn)證信息進(jìn)行驗(yàn)證, 在驗(yàn)證成功時(shí)�,執(zhí)行步驟3 08 。
這里���,步驟307具體可為SSO系統(tǒng)提取所述應(yīng)用服務(wù)器發(fā)送的應(yīng)用服 務(wù)請(qǐng)求所攜帶的驗(yàn)證信息���,并獲取該驗(yàn)證信息變換之前對(duì)應(yīng)的第 一預(yù)驗(yàn)證信 息,判斷該第一預(yù)驗(yàn)證信息是否與自身產(chǎn)生的第一預(yù)驗(yàn)證信息相對(duì)應(yīng)���,如果 是�����,則驗(yàn)證成功���,執(zhí)行步驟308。當(dāng)然�,若SSO系統(tǒng)對(duì)該接收的應(yīng)用服務(wù)請(qǐng) 求驗(yàn)證失敗,則確定當(dāng)前該接收的應(yīng)用服務(wù)請(qǐng)求無(wú)效�����,這樣,SSO系統(tǒng)可發(fā) 送拒絕提供應(yīng)用服務(wù)的通知給上述應(yīng)用服務(wù)器��,如此��,用戶客戶端不能申請(qǐng) 到上述應(yīng)用服務(wù)器對(duì)應(yīng)的應(yīng)用服務(wù)�。
其中,若上述SSO系統(tǒng)產(chǎn)生的第一預(yù)驗(yàn)證信息包括兩個(gè)副本�,這兩個(gè)副本 是一致的或一一對(duì)應(yīng)的,其中一個(gè)副本發(fā)放給用戶客戶端���,由用戶客戶端保留��, 并且�����,該用戶客戶端保留的副本中的信息為SSO系統(tǒng)對(duì)第一預(yù)驗(yàn)證信息進(jìn)行變 換所得到的驗(yàn)證信息��,另一個(gè)副本會(huì)存放在SSO系統(tǒng)中�����,該SSO系統(tǒng)中存儲(chǔ) 的副本中的第一預(yù)驗(yàn)證信息沒(méi)有發(fā)生變換,則SSO系統(tǒng)判斷獲取的變換之前的 第一預(yù)驗(yàn)證信息是否與自身所存儲(chǔ)的副本中的第一預(yù)驗(yàn)證信息相對(duì)應(yīng),如果是����, 則確定對(duì)該接收的應(yīng)用服務(wù)請(qǐng)求驗(yàn)證成功,執(zhí)行步驟308�。
步驟308, SSO系統(tǒng)發(fā)送允許提供應(yīng)用服務(wù)的通知給應(yīng)用服務(wù)器��。
應(yīng)用服務(wù)請(qǐng)求進(jìn)行校驗(yàn)�����,在校驗(yàn)成功時(shí)�����,才發(fā)送該應(yīng)用服務(wù)請(qǐng)求(該應(yīng)用服務(wù) 請(qǐng)求中攜帶驗(yàn)證信息如授權(quán)票據(jù))給SSO系統(tǒng)�����,這樣���,相比于現(xiàn)有技術(shù)直接將 應(yīng)用服務(wù)請(qǐng)求發(fā)送SSO系統(tǒng)�����,大大提高了 SSO系統(tǒng)的安全���。并且��,采用本發(fā) 明實(shí)施例���,即使應(yīng)用服務(wù)器當(dāng)前接收的應(yīng)用服務(wù)請(qǐng)求中包含黑客嘗試偽造的信 息,因?yàn)閼?yīng)用服務(wù)器先執(zhí)行校驗(yàn)當(dāng)前接收的應(yīng)用服務(wù)請(qǐng)求����,故這些攻擊會(huì)首先 在應(yīng)用服務(wù)器中得到消耗,這樣����,到達(dá)SSO系統(tǒng)后,該不安全攻擊的影響就會(huì) 降低�����,進(jìn)而有效防止直接針對(duì)SSO系統(tǒng)平臺(tái)的單純的不安全攻擊����。當(dāng)然,若上 述應(yīng)用服務(wù)器承受不了攻擊而癱瘓���,也只是影響此應(yīng)用服務(wù)器所對(duì)應(yīng)的應(yīng)用服 務(wù)��,而不會(huì)影響基于sso系統(tǒng)的其他應(yīng)用服務(wù)的正常運(yùn)行��。
需要說(shuō)明的是�,上述按照預(yù)設(shè)定的規(guī)則變換第一預(yù)驗(yàn)證信息��,將變換后得 到的驗(yàn)證信息發(fā)送給用戶客戶端�����,以及將驗(yàn)證信息發(fā)送給應(yīng)用服務(wù)器的操作主
要是利用sso系統(tǒng)執(zhí)行的���。本發(fā)明實(shí)施例中���,也可以由應(yīng)用服務(wù)器執(zhí)行上述類(lèi) 似的操作,具體可參見(jiàn)圖4�����。
圖4為本發(fā)明實(shí)施例提供的提高單次登錄系統(tǒng)安全的方法的另一詳細(xì) 工作流程圖�;在用戶客戶端發(fā)送應(yīng)用服務(wù)請(qǐng)求之前發(fā)送的登錄信息經(jīng)身份認(rèn) 證中心驗(yàn)證成功后,如圖4所示���,該流程包括以下步驟
步驟401�, SSO系統(tǒng)產(chǎn)生對(duì)應(yīng)所述登錄信息的第二預(yù)驗(yàn)證信息,將該產(chǎn)生 的第二預(yù)驗(yàn)證信息發(fā)送給應(yīng)用服務(wù)器�����。
步驟402�����,應(yīng)用服務(wù)器接收并存儲(chǔ)SSO系統(tǒng)發(fā)送的對(duì)應(yīng)用戶客戶端的第二 預(yù)驗(yàn)證信息�。
步驟403,應(yīng)用服務(wù)器按照預(yù)設(shè)定的規(guī)則對(duì)來(lái)自SSO系統(tǒng)的第二預(yù)驗(yàn)證信 息進(jìn)行變換,得到驗(yàn)證信息����,將該驗(yàn)證信息發(fā)送給對(duì)應(yīng)的用戶客戶端。
步驟404��,用戶客戶端存儲(chǔ)接收的驗(yàn)證信息�����,在申請(qǐng)基于該SSO系統(tǒng)的任 意一個(gè)或一個(gè)以上的應(yīng)用服務(wù)時(shí)�,將該驗(yàn)證信息攜帶在應(yīng)用服務(wù)請(qǐng)求中發(fā)送給 所述應(yīng)用服務(wù)器。
步驟405 ���,應(yīng)用服務(wù)器判斷應(yīng)用服務(wù)請(qǐng)求中攜帶的驗(yàn)證信息是否與對(duì)所存儲(chǔ) 的來(lái)自SSO系統(tǒng)的第二預(yù)驗(yàn)證信息進(jìn)行變換所得到的驗(yàn)證信息相對(duì)應(yīng)�,如果是, 則校驗(yàn)成功��,執(zhí)行步驟406��,否則�,直接過(guò)濾掉當(dāng)前接收的應(yīng)用服務(wù)請(qǐng)求�。
步驟406,應(yīng)用服務(wù)器獲取當(dāng)前接收的應(yīng)用服務(wù)請(qǐng)求中攜帶的驗(yàn)證信息所 對(duì)應(yīng)的變換之前的第二預(yù)驗(yàn)證信息,并更新應(yīng)用服務(wù)請(qǐng)求��,將更新后的應(yīng)用服 務(wù)請(qǐng)求發(fā)送給單次登錄SSO系統(tǒng)����。
上述更新應(yīng)用服務(wù)請(qǐng)求具體可為應(yīng)用服務(wù)器將應(yīng)用服務(wù)請(qǐng)求中攜帶的 驗(yàn)證信息更新為該獲取的第二預(yù)^r證信息。
本實(shí)施例中���,為了進(jìn)一步提高應(yīng)用服務(wù)的可靠性���,SSO系統(tǒng)可在接收到 應(yīng)用服務(wù)請(qǐng)求后,執(zhí)行步驟407�����。當(dāng)然,SSO系統(tǒng)也可以不執(zhí)行步驟407, 直接執(zhí)行步驟408,這需要具體情況具體分析�。
步驟407, SSO系統(tǒng)對(duì)該接收的應(yīng)用服務(wù)請(qǐng)求中的驗(yàn)證信息進(jìn)行驗(yàn)證�, 在驗(yàn)證成功時(shí),執(zhí)行步驟408��。
SSO系統(tǒng)對(duì)該接收的應(yīng)用服務(wù)請(qǐng)求中的驗(yàn)證信息進(jìn)行驗(yàn)證具體可為SSO 系統(tǒng)提取所述應(yīng)用服務(wù)器發(fā)送的應(yīng)用服務(wù)請(qǐng)求所攜帶的第二預(yù)驗(yàn)證信息����,判斷 該第二預(yù)驗(yàn)證信息是否與自身產(chǎn)生的第二預(yù)驗(yàn)證信息相對(duì)應(yīng),如果是�,則驗(yàn)證
成功,執(zhí)行步驟408��。當(dāng)然����,若SSO系統(tǒng)對(duì)該接收的應(yīng)用服務(wù)請(qǐng)求驗(yàn)證失敗, 則確定當(dāng)前該接收的應(yīng)用服務(wù)請(qǐng)求無(wú)效��,這樣��,SSO系統(tǒng)可發(fā)送拒絕提供應(yīng)用 服務(wù)的通知給上述應(yīng)用服務(wù)器�����,如此,用戶客戶端不能申請(qǐng)到上述應(yīng)用服務(wù)器 對(duì)應(yīng)的應(yīng)用服務(wù)����。
步驟408, SSO系統(tǒng)發(fā)送允許提供應(yīng)用服務(wù)的通知給應(yīng)用服務(wù)器����。 至此,實(shí)現(xiàn)了本發(fā)明實(shí)施例中提高單次登錄系統(tǒng)安全的方法���。 下面對(duì)本發(fā)明實(shí)施例中提供的提高單次登錄系統(tǒng)安全的系統(tǒng)進(jìn)行描述。 參見(jiàn)圖5��,圖5為本發(fā)明實(shí)施例中提高單次登錄系統(tǒng)安全的系統(tǒng)結(jié)構(gòu)圖����, 如圖5所示,該系統(tǒng)包括用戶客戶端501�����、應(yīng)用服務(wù)器502和單次登錄系統(tǒng) 503���。
其中���,用戶客戶端501用于發(fā)送攜帶驗(yàn)證信息的應(yīng)用服務(wù)請(qǐng)求給應(yīng)用服務(wù)
器502����。
這里��,上述驗(yàn)證信息可以有多種形式�,如可以為授權(quán)票據(jù)(ticket,可簡(jiǎn) 稱(chēng)為票據(jù)),或者數(shù)字簽名等��。
應(yīng)用服務(wù)器502用于接收所述應(yīng)用服務(wù)請(qǐng)求��,根據(jù)獲取的對(duì)應(yīng)所述用戶客 戶端501的驗(yàn)證信息對(duì)應(yīng)用服務(wù)請(qǐng)求中攜帶的驗(yàn)證信息進(jìn)行校驗(yàn)�,在校驗(yàn)成功 時(shí),發(fā)送該當(dāng)前接收的應(yīng)用服務(wù)請(qǐng)求給單次登錄系統(tǒng)503���。
單次登錄系統(tǒng)503用于接收到應(yīng)用服務(wù)請(qǐng)求后���,發(fā)送允許提供應(yīng)用服務(wù)的 通知給應(yīng)用服務(wù)器502。
具體實(shí)現(xiàn)時(shí)����,應(yīng)用服務(wù)器的結(jié)構(gòu)可有多種方式,參見(jiàn)圖6,圖6為本發(fā)明 實(shí)施例中應(yīng)用服務(wù)器的一種結(jié)構(gòu)圖�。如圖6所示,該應(yīng)用服務(wù)器可包括第一 接收單元601 ����、第 一獲取單元602和校驗(yàn)單元603。
其中��,第一接收單元601用于接收用戶客戶端發(fā)來(lái)的攜帶驗(yàn)證信息的應(yīng)用 服務(wù)請(qǐng)求�����,并在接收SSO系統(tǒng)在接收到應(yīng)用服務(wù)請(qǐng)求后所發(fā)送的允許提供應(yīng)用 服務(wù)的通知����。
第 一獲取單元602用于獲取對(duì)應(yīng)所述用戶客戶端的-瞼證信息��。
校驗(yàn)單元603用于根據(jù)第一獲取單元602獲取的驗(yàn)證信息對(duì)第一接收單元
601接收的應(yīng)用服務(wù)請(qǐng)求中攜帶的驗(yàn)證信息進(jìn)行校驗(yàn)�����,在校驗(yàn)成功時(shí)���,發(fā)送該
當(dāng)前接收的應(yīng)用服務(wù)請(qǐng)求給單次登錄SSO系統(tǒng)����。
優(yōu)選地�����,第一獲取單元602獲取SSO系統(tǒng)發(fā)送的驗(yàn)證信息,該驗(yàn)證信息為
SSO系統(tǒng)對(duì)自身產(chǎn)生的對(duì)應(yīng)用戶客戶端登陸信息的第一預(yù)驗(yàn)證信息進(jìn)行變換所
得到的信息����;
校驗(yàn)單元603判斷當(dāng)前接收到的應(yīng)用服務(wù)請(qǐng)求中所攜帶的驗(yàn)證信息是否與 所述第一獲取單元獲取的驗(yàn)證信息相對(duì)應(yīng),如果是��,則校驗(yàn)成功�����,執(zhí)行所述在 校驗(yàn)成功時(shí)�,發(fā)送該當(dāng)前接收的應(yīng)用服務(wù)請(qǐng)求給單次登錄SSO系統(tǒng)的操作。
優(yōu)選地�,第一獲取單元602獲取SSO系統(tǒng)產(chǎn)生的對(duì)應(yīng)用戶客戶端登陸信息 的第二預(yù)驗(yàn)證信息;
其中����,如圖6中的虛線所示,該應(yīng)用服務(wù)器進(jìn)一步可包括第一變換單元
604����。
第一變換單元604用于對(duì)SSO系統(tǒng)產(chǎn)生的對(duì)應(yīng)用戶客戶端登陸信息的第二 預(yù)驗(yàn)證信息進(jìn)行變換����,得到驗(yàn)證信息�����。
第 一獲取單元602獲取第一變換單元604得到的驗(yàn)證信息����。
校驗(yàn)單元603判斷所述用戶客戶端發(fā)送的應(yīng)用服務(wù)請(qǐng)求中攜帶的驗(yàn)證信息 是否與第一獲取單元602獲取的驗(yàn)證信息相對(duì)應(yīng),如果是����,則執(zhí)行發(fā)送該當(dāng)前 接收的應(yīng)用服務(wù)請(qǐng)求給單次登錄SSO系統(tǒng)的操作。
優(yōu)選地���,如圖6中的虛線所示,該應(yīng)用服務(wù)器進(jìn)一步可包括
第二獲取單元605用于在校驗(yàn)單元603判斷出當(dāng)前接收的應(yīng)用服務(wù)請(qǐng)求中 攜帶的驗(yàn)證信息與第一獲取單元602獲取的驗(yàn)證信息相對(duì)應(yīng)之后����,并在發(fā)送該 當(dāng)前接收的應(yīng)用服務(wù)請(qǐng)求給單次登錄SSO系統(tǒng)之前,獲取當(dāng)前接收的應(yīng)用服務(wù) 請(qǐng)求中攜帶的驗(yàn)證信息所對(duì)應(yīng)的變換之前的第二預(yù)驗(yàn)證信息���,將應(yīng)用服務(wù)請(qǐng)求 中攜帶的驗(yàn)證信息更新為該獲取第二預(yù)驗(yàn)證信息��,將更新后的應(yīng)用服務(wù)請(qǐng)求發(fā) 送給單次登錄SSO系統(tǒng)�����。
具體實(shí)現(xiàn)時(shí)����,單次登錄系統(tǒng)的結(jié)構(gòu)可有多種方式,參見(jiàn)圖7�����,圖7為本發(fā) 明實(shí)施例中單次登錄系統(tǒng)的一種結(jié)構(gòu)圖���。如圖7所示���,該單次登錄系統(tǒng)可包括 第二接收單元701和通知單元702。
其中��,第二接收單元701用于在應(yīng)用服務(wù)器對(duì)當(dāng)前接收的應(yīng)用服務(wù)請(qǐng)求中 攜帶的驗(yàn)證信息校驗(yàn)成功后��,接收該應(yīng)用服務(wù)器發(fā)送的應(yīng)用服務(wù)請(qǐng)求�����。
通知單元702用于根據(jù)第二接收單元701接收的應(yīng)用服務(wù)請(qǐng)求,發(fā)送允許 提供應(yīng)用服務(wù)的通知給應(yīng)用服務(wù)器���。
優(yōu)選地����,如圖7中的虛線所示�����,該單次登錄系統(tǒng)進(jìn)一步可包括驗(yàn)證信息 產(chǎn)生單元703和判斷單元704����。
其中,驗(yàn)證信息產(chǎn)生單元703用于產(chǎn)生對(duì)應(yīng)用戶客戶端登錄信息的第一預(yù) 驗(yàn)證信息����,對(duì)該第一預(yù)驗(yàn)證信息進(jìn)行變換,得到驗(yàn)證信息�����。
第二接收單元701接收的應(yīng)用服務(wù)請(qǐng)求中攜帶驗(yàn)證信息產(chǎn)生單元703得到 的馬全i正信息�。
判斷單元704用于提取第二接收單元701接收的應(yīng)用服務(wù)請(qǐng)求中所攜帶的 驗(yàn)證信息,并獲取該驗(yàn)證信息變換之前對(duì)應(yīng)的第一預(yù)驗(yàn)證信息��,判斷該第一預(yù) 驗(yàn)證信息是否與驗(yàn)證信息產(chǎn)生單元703產(chǎn)生的第一預(yù)驗(yàn)證信息相對(duì)應(yīng)���,如果是�����, 則執(zhí)行通知單元702發(fā)送允許提供應(yīng)用服務(wù)的通知給應(yīng)用服務(wù)器的操作��。
優(yōu)選地��,驗(yàn)證信息產(chǎn)生單元703還可用于產(chǎn)生對(duì)應(yīng)用戶客戶端登錄信息的 第二預(yù)驗(yàn)證信息�。
第二接收單元701接收的應(yīng)用服務(wù)請(qǐng)求中攜帶所述—瞼證信息產(chǎn)生單元得到 的第二預(yù)驗(yàn)證信息��。
判斷單元704提取所述應(yīng)用服務(wù)器發(fā)送的應(yīng)用服務(wù)請(qǐng)求所攜帶的第二預(yù)驗(yàn) 證信息����,判斷該第二預(yù)驗(yàn)證信息是否與驗(yàn)證信息產(chǎn)生單元703產(chǎn)生的第二預(yù)驗(yàn) 證信息相對(duì)應(yīng),如果是����,則執(zhí)行通知單元702發(fā)送允許提供應(yīng)用服務(wù)的通知給 應(yīng)用服務(wù)器的操作。
需要說(shuō)明的是���,本發(fā)明實(shí)施例中����,應(yīng)用服務(wù)器和單次登陸系統(tǒng)內(nèi)部中的各 個(gè)單元可以是物理功能單元,也可以是軟件功能單元����,并且各個(gè)單元還可進(jìn)行 細(xì)分或進(jìn)行合并,具體實(shí)現(xiàn)時(shí)�����,本領(lǐng)域普通技術(shù)人員可根據(jù)實(shí)際情況進(jìn)行處理���, 此處不再——列舉���。
可見(jiàn),本發(fā)明實(shí)施例提供的一種提高單次登錄系統(tǒng)安全的方法�、系統(tǒng)及裝 置,其中�����,該方法包括應(yīng)用服務(wù)器接收用戶客戶端發(fā)來(lái)的攜帶驗(yàn)證信息的應(yīng) 用服務(wù)請(qǐng)求,根據(jù)獲取的對(duì)應(yīng)所述用戶客戶端的驗(yàn)證信息對(duì)應(yīng)用服務(wù)請(qǐng)求中攜 帶的驗(yàn)證信息進(jìn)行校驗(yàn)�����,在校驗(yàn)成功時(shí)����,發(fā)送該當(dāng)前接收的應(yīng)用服務(wù)請(qǐng)求給單 次登錄SSO系統(tǒng)���;SSO系統(tǒng)接收到應(yīng)用服務(wù)請(qǐng)求后���,發(fā)送允許提供應(yīng)用服務(wù)的 通知給應(yīng)用服務(wù)器。采用本發(fā)明���,可以先由應(yīng)用服務(wù)器直接對(duì)當(dāng)前接收的應(yīng)用 服務(wù)請(qǐng)求進(jìn)行校驗(yàn)�����,在校驗(yàn)成功后�����,再將該接收的應(yīng)用服務(wù)請(qǐng)求發(fā)送給SSO系 統(tǒng)進(jìn)行驗(yàn)證��,相比于現(xiàn)有技術(shù)直接將應(yīng)用服務(wù)請(qǐng)求發(fā)送SSO系統(tǒng)���,大大提高了 SSO系統(tǒng)的安全�。
此外����,本發(fā)明先由應(yīng)用服務(wù)器直接對(duì)當(dāng)前接收的應(yīng)用服務(wù)請(qǐng)求進(jìn)行校
驗(yàn),相比于現(xiàn)有技術(shù)直接將應(yīng)用服務(wù)請(qǐng)求發(fā)送sso系統(tǒng)����,可以減輕sso系
統(tǒng)驗(yàn)證所有請(qǐng)求的壓力,使sso系統(tǒng)"專(zhuān)注"于有效請(qǐng)求的認(rèn)證�����,進(jìn)而提升 了 sso系統(tǒng)所支撐的所有應(yīng)用服務(wù)對(duì)應(yīng)的在線用戶的容量�。
以上所述的具體實(shí)施例,對(duì)本發(fā)明的目的�、技術(shù)方案和有益效果進(jìn)行了 進(jìn)一步詳細(xì)說(shuō)明,所應(yīng)理解的是��,以上所述僅為本發(fā)明的較佳實(shí)施例而已�, 并非用于限定本發(fā)明的保護(hù)范圍,凡在本發(fā)明的精神和原則之內(nèi)��,所作的任 何修改、等同替換���、改進(jìn)等�����,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。
權(quán)利要求
1��、一種提高單次登錄系統(tǒng)安全的方法�����,其特征在于�,該方法包括應(yīng)用服務(wù)器接收用戶客戶端發(fā)來(lái)的攜帶驗(yàn)證信息的應(yīng)用服務(wù)請(qǐng)求,根據(jù)獲取的對(duì)應(yīng)所述用戶客戶端的驗(yàn)證信息對(duì)應(yīng)用服務(wù)請(qǐng)求中攜帶的驗(yàn)證信息進(jìn)行校驗(yàn)��,在校驗(yàn)成功時(shí)���,發(fā)送該當(dāng)前接收的應(yīng)用服務(wù)請(qǐng)求給單次登錄SSO系統(tǒng)��;SSO系統(tǒng)接收到應(yīng)用服務(wù)請(qǐng)求后�����,發(fā)送允許提供應(yīng)用服務(wù)的通知給應(yīng)用服務(wù)器����。
2、 根據(jù)權(quán)利要求1所述的方法��,其特征在于�,應(yīng)用服務(wù)器獲取對(duì)應(yīng)所述用 戶客戶端的驗(yàn)證信息包括在所述用戶客戶端發(fā)送應(yīng)用服務(wù)請(qǐng)求之前發(fā)送的登錄信息經(jīng)身份認(rèn)證中心 驗(yàn)證成功后,SSO系統(tǒng)產(chǎn)生對(duì)應(yīng)所述登錄信息的第一預(yù)驗(yàn)證信息��,對(duì)該第一預(yù) 驗(yàn)證信息進(jìn)行變換��,得到所述驗(yàn)證信息�,將該驗(yàn)證信息發(fā)送給應(yīng)用服務(wù)器;應(yīng)用服務(wù)器接收并存儲(chǔ)該SSO系統(tǒng)發(fā)來(lái)的驗(yàn)證信息��,并將接收的驗(yàn)證信息 發(fā)送給用戶客戶端���;所述用戶客戶端存儲(chǔ)接收的驗(yàn)證信息�,在申請(qǐng)基于該SSO系統(tǒng)的任意一個(gè) 或一個(gè)以上的應(yīng)用服務(wù)時(shí)�,將該驗(yàn)證信息攜帶在應(yīng)用服務(wù)請(qǐng)求中發(fā)送給所述應(yīng) 用服務(wù)器。
3����、 根據(jù)權(quán)利要求2所述的方法���,其特征在于,所述應(yīng)用服務(wù)器根據(jù)獲取的 對(duì)應(yīng)所述用戶客戶端的驗(yàn)證信息對(duì)應(yīng)用服務(wù)請(qǐng)求中攜帶的驗(yàn)證信息進(jìn)行校驗(yàn)包 括應(yīng)用服務(wù)器判斷當(dāng)前接收到的應(yīng)用服務(wù)請(qǐng)求中所攜帶的驗(yàn)證信息是否與所 存儲(chǔ)的來(lái)自SSO系統(tǒng)發(fā)送的驗(yàn)證信息相對(duì)應(yīng)��,如果是�,則校驗(yàn)成功,執(zhí)行所述 在校驗(yàn)成功時(shí)��,發(fā)送該當(dāng)前接收的應(yīng)用服務(wù)請(qǐng)求給單次登錄SSO系統(tǒng)的操作�。
4、 根據(jù)權(quán)利要求1所述的方法����,其特征在于���,應(yīng)用服務(wù)器獲取對(duì)應(yīng)所述用 戶客戶端的驗(yàn)證信息包括在所述用戶客戶端發(fā)送應(yīng)用服務(wù)請(qǐng)求之前發(fā)送的登錄信息經(jīng)身份認(rèn)證中心 驗(yàn)證成功后�����,sso系統(tǒng)產(chǎn)生對(duì)應(yīng)所述登錄信息的第二預(yù)驗(yàn)證信息����,將該第二預(yù) 驗(yàn)證信息發(fā)送給應(yīng)用服務(wù)器�;所述應(yīng)用服務(wù)器接收并存儲(chǔ)SSO系統(tǒng)發(fā)送的第二預(yù)驗(yàn)證信息����,并對(duì)該第二 預(yù)驗(yàn)證信息進(jìn)行變換�����,得到所述驗(yàn)證信息���,將該驗(yàn)證信息發(fā)送給對(duì)應(yīng)的用戶客 戶端�����;所述用戶客戶端存儲(chǔ)接收的驗(yàn)證信息�,在申請(qǐng)基于該SSO系統(tǒng)的任意一個(gè) 或一個(gè)以上的應(yīng)用服務(wù)時(shí)��,將該驗(yàn)證信息攜帶在應(yīng)用服務(wù)請(qǐng)求中發(fā)送給所述應(yīng) 用服務(wù)器����。
5、 根據(jù)權(quán)利要求4所述的方法����,其特征在于,所述應(yīng)用服務(wù)器根據(jù)獲取的 對(duì)應(yīng)所述用戶客戶端的驗(yàn)證信息對(duì)應(yīng)用服務(wù)請(qǐng)求中攜帶的驗(yàn)證信息進(jìn)行校驗(yàn)包 括應(yīng)用服務(wù)器判斷應(yīng)用服務(wù)請(qǐng)求中攜帶的驗(yàn)證信息是否與對(duì)所存儲(chǔ)的來(lái)自 SSO系統(tǒng)的第二預(yù)驗(yàn)證信息進(jìn)行變換所得到的驗(yàn)證信息相對(duì)應(yīng)�,如果是����,則校 驗(yàn)成功����,執(zhí)行所述在校驗(yàn)成功時(shí),發(fā)送該當(dāng)前接收的應(yīng)用服務(wù)請(qǐng)求給單次登錄 SSO系統(tǒng)的操作��。
6�����、 根據(jù)權(quán)利要求3所述的方法���,其特征在于�����,在SSO系統(tǒng)接收到應(yīng)用服 務(wù)請(qǐng)求后,并在發(fā)送允許提供應(yīng)用服務(wù)的通知給應(yīng)用服務(wù)器之前���,進(jìn)一步包括SSO系統(tǒng)提取所述應(yīng)用服務(wù)器發(fā)送的應(yīng)用服務(wù)請(qǐng)求所攜帶的驗(yàn)證信息���,并 獲取該驗(yàn)證信息變換之前的第一預(yù)驗(yàn)證信息��,判斷該第一預(yù)驗(yàn)證信息是否與自 身產(chǎn)生的第一預(yù)驗(yàn)證信息相對(duì)應(yīng)����,如果是�,則執(zhí)行發(fā)送允許提供應(yīng)用服務(wù)的通 知給應(yīng)用服務(wù)器的操作。
7����、 根據(jù)權(quán)利要求5所述的方法,其特征在于��,應(yīng)用服務(wù)器在判斷出當(dāng)前接 收的應(yīng)用服務(wù)請(qǐng)求中攜帶的驗(yàn)證信息與對(duì)所存儲(chǔ)的來(lái)自SSO系統(tǒng)的第二預(yù)驗(yàn)證 信息進(jìn)行變換所得到的驗(yàn)證信息相對(duì)應(yīng)之后�����,并在發(fā)送該當(dāng)前接收的應(yīng)用服務(wù) 請(qǐng)求給單次登錄SSO系統(tǒng)之前���,進(jìn)一步包括應(yīng)用服務(wù)器獲取當(dāng)前接收的應(yīng)用服務(wù)請(qǐng)求中攜帶的驗(yàn)證信息變換之前的第 二預(yù)驗(yàn)證信息�,將應(yīng)用服務(wù)請(qǐng)求中攜帶的驗(yàn)證信息更新為該第二預(yù)驗(yàn)證信息��; 所述發(fā)送該當(dāng)前接收的應(yīng)用服務(wù)請(qǐng)求給單次登錄SSO系統(tǒng)包括將更新后的應(yīng)用服務(wù)請(qǐng)求發(fā)送給單次登錄SSO系統(tǒng)��;在SSO系統(tǒng)接收到應(yīng)用服務(wù)請(qǐng)求后���,并在發(fā)送允許提供應(yīng)用服務(wù)的通知給 應(yīng)用服務(wù)器之前��,進(jìn)一步包括SSO系統(tǒng)提取所述應(yīng)用服務(wù)器發(fā)送的應(yīng)用服務(wù)請(qǐng)求所攜帶的第二預(yù)驗(yàn)證信 息���,判斷該第二預(yù)驗(yàn)證信息是否與自身產(chǎn)生的第二預(yù)驗(yàn)證信息相對(duì)應(yīng)�,如果是��, 則執(zhí)行發(fā)送允許提供應(yīng)用服務(wù)的通知給應(yīng)用服務(wù)器的操作����。
8、 一種提高單次登錄系統(tǒng)安全的系統(tǒng)����,其特征在于,該系統(tǒng)包括用戶客 戶端��、應(yīng)用服務(wù)器和單次登錄系統(tǒng)����;其中�����,所述用戶客戶端用于發(fā)送攜帶驗(yàn)證信息的應(yīng)用服務(wù)請(qǐng)求給所述應(yīng)用服務(wù)器;所述應(yīng)用服務(wù)器用于接收所述應(yīng)用服務(wù)請(qǐng)求���,根據(jù)獲取的對(duì)應(yīng)所述用戶客 戶端的驗(yàn)證信息對(duì)應(yīng)用服務(wù)請(qǐng)求中攜帶的驗(yàn)證信息進(jìn)行校驗(yàn)����,在校驗(yàn)成功時(shí)���, 發(fā)送該當(dāng)前接收的應(yīng)用服務(wù)請(qǐng)求給單次登錄系統(tǒng)����;所述單次登錄系統(tǒng)用于接收到應(yīng)用服務(wù)請(qǐng)求后����,發(fā)送允許提供應(yīng)用服務(wù)的 通知給所述應(yīng)用服務(wù)器。
9�、 一種應(yīng)用服務(wù)器,其特征在于��,該應(yīng)用服務(wù)器包括第一接收單元���、第 一獲取單元和校驗(yàn)單元�����;其中���,所述第一接收單元用于接收用戶客戶端發(fā)來(lái)的攜帶驗(yàn)證信息的應(yīng)用服務(wù)請(qǐng)求�����,并接收SSO系統(tǒng)所發(fā)送的允許提供應(yīng)用服務(wù)的通知���;所述第 一獲取單元用于獲取對(duì)應(yīng)所述用戶客戶端的-瞼證信息; 所述校驗(yàn)單元用于根據(jù)所述第一獲取單元獲取的驗(yàn)證信息對(duì)所述第一接收單元接收的應(yīng)用服務(wù)請(qǐng)求中攜帶的驗(yàn)證信息進(jìn)行校驗(yàn)��,在校驗(yàn)成功時(shí)�,發(fā)送該當(dāng)前接收的應(yīng)用服務(wù)請(qǐng)求給SSO系統(tǒng)。
10����、 根據(jù)權(quán)利要求9所述的應(yīng)用服務(wù)器,其特征在于�,所述第一獲取單元 獲取SSO系統(tǒng)發(fā)送的驗(yàn)證信息,該驗(yàn)證信息為SSO系統(tǒng)對(duì)自身產(chǎn)生的對(duì)應(yīng)用 戶客戶端登陸信息的第 一預(yù)驗(yàn)證信息進(jìn)行變換所得到的信息����; 所述校驗(yàn)單元判斷當(dāng)前接收到的應(yīng)用服務(wù)請(qǐng)求中所攜帶的驗(yàn)證信息是否與 所述第一獲取單元獲取的驗(yàn)證信息相對(duì)應(yīng)���,如果是����,則校驗(yàn)成功,執(zhí)行所述在校驗(yàn)成功時(shí)����,發(fā)送該當(dāng)前接收的應(yīng)用服務(wù)請(qǐng)求給單次登錄sso系統(tǒng)的操作。
11�����、 根據(jù)權(quán)利要求9所述的應(yīng)用服務(wù)器�,其特征在于,該應(yīng)用服務(wù)器進(jìn)一 步包括第一變換單元�;其中,所述第一變換單元用于對(duì)SSO系統(tǒng)產(chǎn)生的對(duì)應(yīng)用戶客戶端登陸信息的第二預(yù)驗(yàn)證信息進(jìn)行變換�,得到驗(yàn)證信息;所述第一獲取單元獲取所述第一變換單元得到的驗(yàn)證信息���; 所述校驗(yàn)單元判斷所述用戶客戶端發(fā)送的應(yīng)用服務(wù)請(qǐng)求中攜帶的驗(yàn)證信息是否與所述第一獲取單元獲取的驗(yàn)證信息相對(duì)應(yīng)�,如果是��,則執(zhí)行發(fā)送該當(dāng)前接收的應(yīng)用服務(wù)請(qǐng)求給單次登錄SSO系統(tǒng)的操作。
12���、 根據(jù)權(quán)利要求11所述的應(yīng)用服務(wù)器���,其特征在于,該應(yīng)用服務(wù)器進(jìn)一 步包括第二獲取單元��;其中�,所述第二獲取單元用于在所述校驗(yàn)單元判斷出當(dāng)前接收的應(yīng)用服務(wù)請(qǐng)求中 攜帶的驗(yàn)證信息與所述第一獲取單元獲取的驗(yàn)證信息相對(duì)應(yīng)之后,并在發(fā)送該 當(dāng)前接收的應(yīng)用服務(wù)請(qǐng)求給單次登錄SSO系統(tǒng)之前���,獲取當(dāng)前接收的應(yīng)用服務(wù) 請(qǐng)求中攜帶的驗(yàn)證信息所對(duì)應(yīng)的變換之前的第二預(yù)驗(yàn)證信息����,將應(yīng)用服務(wù)請(qǐng)求 中攜帶的驗(yàn)證信息更新為該第二預(yù)驗(yàn)證信息�����,將更新后的應(yīng)用服務(wù)請(qǐng)求發(fā)送給 SSO系統(tǒng)�。
13、 一種單次登錄系統(tǒng)�,其特征在于,該單次登錄系統(tǒng)包括第二接收單元�����,用于在應(yīng)用服務(wù)器對(duì)當(dāng)前接收的應(yīng)用服務(wù)請(qǐng)求中攜帶的驗(yàn) 證信息校驗(yàn)成功后,接收該應(yīng)用服務(wù)器發(fā)送的應(yīng)用服務(wù)請(qǐng)求���;通知單元,用于根據(jù)所述第二接收單元接收的應(yīng)用服務(wù)請(qǐng)求�,發(fā)送允許提 供應(yīng)用服務(wù)的通知給應(yīng)用服務(wù)器。
14����、 根據(jù)權(quán)利要求13所述的單次登錄系統(tǒng),其特征在于�,該單次登錄系統(tǒng) 進(jìn)一步包括驗(yàn)證信息產(chǎn)生單元和判斷單元;其中�,所述驗(yàn)證信息產(chǎn)生單元用于產(chǎn)生對(duì)應(yīng)用戶客戶端登錄信息的第 一預(yù)驗(yàn)證信 息,對(duì)該第一預(yù)驗(yàn)證信息進(jìn)行變換�����,得到驗(yàn)證信息��;所述第二接收單元接收的應(yīng)用服務(wù)請(qǐng)求中攜帶所述驗(yàn)證信息產(chǎn)生單元得到 的驗(yàn)證信息����;所述判斷單元用于提取所述第二接收單元接收的應(yīng)用服務(wù)請(qǐng)求中所攜帶的 驗(yàn)證信息���,并獲取該驗(yàn)證信息變換之前對(duì)應(yīng)的第一預(yù)驗(yàn)證信息,判斷該第一預(yù) 驗(yàn)證信息是否與所述驗(yàn)證信息產(chǎn)生單元產(chǎn)生的第 一預(yù)驗(yàn)證信息相對(duì)應(yīng)����,如果是, 則執(zhí)行所述通知單元發(fā)送允許提供應(yīng)用服務(wù)的通知給應(yīng)用服務(wù)器的操作���。
15����、根據(jù)權(quán)利要求13所述的單次登錄系統(tǒng)���,其特征在于����,該單次登錄系統(tǒng) 進(jìn)一步包括驗(yàn)證信息產(chǎn)生單元和判斷單元�;其中,所述驗(yàn)證信息產(chǎn)生單元用于產(chǎn)生對(duì)應(yīng)用戶客戶端登錄信息的第二預(yù)驗(yàn)證信自.所述第二接收單元接收的應(yīng)用服務(wù)請(qǐng)求中攜帶所述驗(yàn)證信息產(chǎn)生單元得到 的第二預(yù)^r證信息�����;所述判斷單元提取所述應(yīng)用服務(wù)器發(fā)送的應(yīng)用服務(wù)請(qǐng)求所攜帶的第二預(yù)驗(yàn) 證信息�����,判斷該第二預(yù)驗(yàn)證信息是否與所述驗(yàn)證信息產(chǎn)生單元產(chǎn)生的第二預(yù)驗(yàn) 證信息相對(duì)應(yīng),如果是�,則執(zhí)行所述通知單元發(fā)送允許提供應(yīng)用服務(wù)的通知給 應(yīng)用服務(wù)器的操作。
全文摘要
本發(fā)明公開(kāi)了一種提高單次登錄系統(tǒng)安全的方法����、系統(tǒng)及裝置����,其中,該方法包括應(yīng)用服務(wù)器接收用戶客戶端發(fā)來(lái)的攜帶驗(yàn)證信息的應(yīng)用服務(wù)請(qǐng)求��,根據(jù)獲取的對(duì)應(yīng)所述用戶客戶端的驗(yàn)證信息對(duì)應(yīng)用服務(wù)請(qǐng)求中攜帶的驗(yàn)證信息進(jìn)行校驗(yàn)��,在校驗(yàn)成功時(shí)���,發(fā)送該當(dāng)前接收的應(yīng)用服務(wù)請(qǐng)求給單次登錄SSO系統(tǒng)���;SSO系統(tǒng)接收到應(yīng)用服務(wù)請(qǐng)求后,發(fā)送允許提供應(yīng)用服務(wù)的通知給應(yīng)用服務(wù)器��。采用本發(fā)明����,可以先由應(yīng)用服務(wù)器直接對(duì)當(dāng)前接收的應(yīng)用服務(wù)請(qǐng)求進(jìn)行校驗(yàn)�,在校驗(yàn)成功后�,再將該接收的應(yīng)用服務(wù)請(qǐng)求發(fā)送給SSO系統(tǒng),相比于現(xiàn)有技術(shù)直接將應(yīng)用服務(wù)請(qǐng)求發(fā)送SSO系統(tǒng)�,大大提高了SSO系統(tǒng)的安全。
文檔編號(hào)H04L29/06GK101360107SQ20081014935
公開(kāi)日2009年2月4日 申請(qǐng)日期2008年9月19日 優(yōu)先權(quán)日2008年9月19日
發(fā)明者賴(lài)志勇 申請(qǐng)人:騰訊科技(深圳)有限公司