專利名稱:一種網(wǎng)站登錄認(rèn)證方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信系統(tǒng),尤其涉及一種網(wǎng)站登錄認(rèn)證方法及對應(yīng)的認(rèn)證及票據(jù)發(fā)放服務(wù)器(Authority And Grant Service,AGS)和認(rèn)證系統(tǒng)。
背景技術(shù):
目前微軟提供了一種實(shí)現(xiàn)網(wǎng)站無密碼登錄的passport認(rèn)證體系,用戶通過其進(jìn)行登錄可以實(shí)現(xiàn)在所有微軟passport網(wǎng)絡(luò)網(wǎng)站上的無密碼登錄。認(rèn)證原理為服務(wù)提供者網(wǎng)站安裝微軟的passport軟件開發(fā)工具包;用戶訪問服務(wù)提供者網(wǎng)站時(shí),自動重定向到 passport, com進(jìn)行認(rèn)證;瀏覽器在passport, com域名下保存一個(gè)在瀏覽器進(jìn)程內(nèi)、有限時(shí)間內(nèi)有效的Cookie,以便實(shí)現(xiàn)后續(xù)網(wǎng)站的免密碼登錄。Passport認(rèn)證體系包括用戶啟動終端瀏覽器向服務(wù)提供者網(wǎng)站發(fā)送訪問請求;服務(wù)提供者網(wǎng)站通過HTTP協(xié)議向用戶終端返回重定向指令,指示用戶終端重定向到passport登錄服務(wù)器;用戶終端向passport登錄服務(wù)器發(fā)起認(rèn)證請求;passport登錄服務(wù)器認(rèn)證通過后向用戶終端返回認(rèn)證響應(yīng);用戶終端再次向服務(wù)提供者網(wǎng)站發(fā)起訪問請求;服務(wù)提供者網(wǎng)站提供用戶終端請求的服務(wù),向用戶終端下發(fā)訪問內(nèi)容。上述微軟的I^assport認(rèn)證體系具有如下缺點(diǎn)
需要服務(wù)提供者安裝微軟的passport軟件開發(fā)工具包,限制服務(wù)提供者所使用的平臺必須為微軟操作系統(tǒng)。用戶身份的識別依賴瀏覽器的Cookie保存機(jī)制,通常為了安全性起見,Passport 的Cookie的有效時(shí)間只是在該瀏覽器進(jìn)程的生存周期內(nèi),當(dāng)瀏覽器關(guān)閉之后,Cookie就會丟失,用戶再次用瀏覽器訪問服務(wù)提供者網(wǎng)站時(shí),需要重新登錄認(rèn)證。用戶身份標(biāo)識(Cookie)的安全性由瀏覽器保證,因此存在誤配置瀏覽器,或者由于瀏覽器本身的BUG,導(dǎo)致Cookie被泄漏的危險(xiǎn)?,F(xiàn)有技術(shù)中,還有一種Kerberos認(rèn)證體系,Kerberos認(rèn)證體系中,因?yàn)轵?yàn)證服務(wù)器與發(fā)證服務(wù)器分離,且使用者終端與驗(yàn)證服務(wù)器、發(fā)證服務(wù)器之間無持久連接,所以所有的服務(wù)許可證的有效時(shí)間完全依賴服務(wù)許可證中的時(shí)間戳(Timestamp)來做判斷,如果 Timestamp過期,則用戶需要重新向驗(yàn)證服務(wù)器獲取一個(gè)新的許可證,重復(fù)上述流程。因此, Kerberos認(rèn)證過程較復(fù)雜,當(dāng)服務(wù)許可證中的Timestamp過期時(shí),需要使用者終端再次與驗(yàn)證服務(wù)器、發(fā)證服務(wù)器進(jìn)行連接,有司能因?yàn)檫B接失敗造成通信中斷,給用戶使用造成困擾。
發(fā)明內(nèi)容
本發(fā)明要解決的技術(shù)問題在于,針對現(xiàn)有技術(shù)存在的缺陷,提供一種網(wǎng)站登錄認(rèn)證方法,該方法包括下列步驟,
Si、客戶端裝置向網(wǎng)站發(fā)起登錄請求,獲取網(wǎng)站返回的網(wǎng)站標(biāo)識信息,登錄認(rèn)證及票據(jù)發(fā)放服務(wù)器AGS,將用戶賬號、密碼及所述網(wǎng)站標(biāo)識信息提交給所述AGS進(jìn)行鑒權(quán);52、鑒權(quán)通過后,所述AGS根據(jù)所述網(wǎng)站標(biāo)識信息采用與該網(wǎng)站約定的唯一加密密鑰, 為所述客戶端裝置生成登錄該網(wǎng)站的服務(wù)票據(jù)和包含會話密鑰的在線會話記錄;并將生成的所述服務(wù)票據(jù)和會話密鑰發(fā)送給所述客戶端裝置;
53、所述客戶端裝置使用所述服務(wù)票據(jù)登錄所述網(wǎng)站;并將所述會話密鑰保存在本地, 周期使用所述會話密鑰與所述AGS進(jìn)行認(rèn)證通信,史新與所述AGS之問的在線會話。實(shí)施本發(fā)明的網(wǎng)站登錄認(rèn)證方法,具有以下有益效果客戶端裝置只需登陸一次 AGS,即可獲得多個(gè)網(wǎng)站的登陸服務(wù)票據(jù),減小認(rèn)證過程的復(fù)雜性。
具體實(shí)施例方式本發(fā)明提供一種網(wǎng)站登錄認(rèn)證方法,包括下列步驟,
51、客戶端裝置向網(wǎng)站發(fā)起登錄請求,獲取網(wǎng)站返回的網(wǎng)站標(biāo)識信息,登錄認(rèn)證及票據(jù)發(fā)放服務(wù)器AGS,將用戶賬號、密碼及所述網(wǎng)站標(biāo)識信息提交給所述AGS進(jìn)行鑒權(quán);
52、鑒權(quán)通過后,所述AGS根據(jù)所述網(wǎng)站標(biāo)識信息采用與該網(wǎng)站約定的唯一加密密鑰, 為所述客戶端裝置生成登錄該網(wǎng)站的服務(wù)票據(jù)和包含會話密鑰的在線會話記錄;并將生成的所述服務(wù)票據(jù)和會話密鑰發(fā)送給所述客戶端裝置;
53、所述客戶端裝置使用所述服務(wù)票據(jù)登錄所述網(wǎng)站;并將所述會話密鑰保存在本地, 周期使用所述會話密鑰與所述AGS進(jìn)行認(rèn)證通信,史新與所述AGS之問的在線會話。該方法的具體流程為預(yù)先將用戶賬號U及密碼存儲到AGS中;且AGS與每一個(gè)網(wǎng)站預(yù)先約定一個(gè)唯一的加密密鑰;當(dāng)用戶通過客戶端裝置請求登錄網(wǎng)站時(shí),執(zhí)行如下登錄認(rèn)證過程步驟1、啟動客戶端裝置中的瀏覽器,向請求登錄的網(wǎng)站發(fā)起登錄請求;填入用戶賬號U,點(diǎn)擊網(wǎng)站登錄網(wǎng)頁上提供的“一鍵登錄”按鈕,請求登錄網(wǎng)站。步驟2、網(wǎng)站收到客戶端裝置發(fā)起的登錄請求后,向客戶端裝置返回AGS服務(wù)器的地址B,網(wǎng)站的驗(yàn)證接口地址C,網(wǎng)站的代號(標(biāo)識信息)D等信息。步驟3、發(fā)起登錄請求的客戶端裝置將網(wǎng)站返回的信息存儲在本地;客戶端裝置判斷自身是否已登錄到AGS中,如果沒有登錄到所述AGS 中,則登錄AGS,將用戶賬號U、密碼G及獲取的請求登錄的網(wǎng)站標(biāo)識信息D提交給所述AGS 。步驟4 ,AGs根據(jù)客戶端裝置提交的賬號U、密碼G以及本地預(yù)先存儲的用戶相關(guān)信息對用戶進(jìn)行鑒權(quán);當(dāng)鑒權(quán)通過后,根據(jù)網(wǎng)站標(biāo)識信息D采用與該網(wǎng)站約定的唯一加密密鑰 KS,為客戶端裝置生成登錄網(wǎng)站的服務(wù)票據(jù)Tickets ;Timestamp, Life等參數(shù)加密后的結(jié)果;Address為客戶端地址,Life票據(jù)有效周期;并生成一個(gè)包含會話密鑰(session Key )的在線會話記錄;并將該在線會話記錄存儲到一個(gè)在線會話列表中;在線會話記錄中可以包括session Key、賬號U、客戶端地址Address、登錄時(shí)間、最后活躍時(shí)間LastActive 等信息;AGS將生成的服務(wù)票據(jù)Tickets和會話密鑰session Key發(fā)送給客戶端裝置。步驟5、客戶端裝置使用Tickets登錄網(wǎng)站;網(wǎng)站使用與AGs約定的加密密鑰KS對服務(wù)票據(jù) Tickets進(jìn)行解密;當(dāng)服務(wù)票據(jù)中的時(shí)間戳Timestamp加上票據(jù)有效周期life大于當(dāng)前時(shí)間時(shí),判斷該服務(wù)票據(jù)有效,允許客戶端裝置登錄。步驟6、網(wǎng)站向客戶端裝置提供請求的服務(wù)業(yè)務(wù),發(fā)送相關(guān)業(yè)務(wù)內(nèi)容給客戶端裝置。實(shí)施本發(fā)明的網(wǎng)站登錄認(rèn)證方法,具有以下有益效果客戶端裝置只需登陸一次 AGS,即可獲得多個(gè)網(wǎng)站的登陸服務(wù)票據(jù),減小認(rèn)證過程的復(fù)雜性。本發(fā)明是通過一些實(shí)施例進(jìn)行描述的,本領(lǐng)域技術(shù)人員知悉,在不脫離本發(fā)明的精神和范圍的情況下,可以對這些特征和實(shí)施例進(jìn)行各種改變或等效替換。另外,在本發(fā)明的教導(dǎo)下,可以對這些特征和實(shí)施例進(jìn)行修改以適應(yīng)具體的情況及材料而不會脫離本發(fā)明的精神和范圍。因此,本發(fā)明不受此處所公開的具體實(shí)施例的限制,所有落入本申請的權(quán)利要求范圍內(nèi)的實(shí)施例都屬于本發(fā)明的保護(hù)范圍。
權(quán)利要求
1. 一種網(wǎng)站登錄認(rèn)證方法,其特征在于,包括下列步驟,S1、客戶端裝置向網(wǎng)站發(fā)起登錄請求,獲取網(wǎng)站返回的網(wǎng)站標(biāo)識信息,登錄認(rèn)證及票據(jù)發(fā)放服務(wù)器AGS,將用戶賬號、密碼及所述網(wǎng)站標(biāo)識信息提交給所述AGS進(jìn)行鑒權(quán);S2、鑒權(quán)通過后,所述AGS根據(jù)所述網(wǎng)站標(biāo)識信息采用與該網(wǎng)站約定的唯一加密密鑰, 為所述客戶端裝置生成登錄該網(wǎng)站的服務(wù)票據(jù)和包含會話密鑰的在線會話記錄;并將生成的所述服務(wù)票據(jù)和會話密鑰發(fā)送給所述客戶端裝置;S3、所述客戶端裝置使用所述服務(wù)票據(jù)登錄所述網(wǎng)站;并將所述會話密鑰保存在本地, 周期使用所述會話密鑰與所述AGS進(jìn)行認(rèn)證通信,史新與所述AGS之問的在線會話。
全文摘要
本發(fā)明提供一種網(wǎng)站登錄認(rèn)證方法,包括下列步驟,客戶端裝置向網(wǎng)站發(fā)起登錄請求,獲取網(wǎng)站返回的網(wǎng)站標(biāo)識信息,登錄認(rèn)證及票據(jù)發(fā)放服務(wù)器AGS,將賬號、密碼及網(wǎng)站標(biāo)識信息提交給AGS進(jìn)行鑒權(quán);鑒權(quán)通過后,AGS根據(jù)網(wǎng)站標(biāo)識信息采用與該網(wǎng)站約定的唯一加密密鑰,為客戶端生成登錄該網(wǎng)站的服務(wù)票據(jù)和在線會話記錄;并將生成的服務(wù)票據(jù)和會話密鑰發(fā)送給客戶端裝置;客戶端裝置使用服務(wù)票據(jù)登錄網(wǎng)站;并將會話密鑰保存在本地,周期使用會話密鑰與AGS進(jìn)行認(rèn)證通信,史新與AGS之問的在線會話。實(shí)施本發(fā)明的網(wǎng)站登錄認(rèn)證方法,具有以下有益效果客戶端裝置只需登陸一次AGS,即可獲得多個(gè)網(wǎng)站的登陸服務(wù)票據(jù),減小認(rèn)證過程的復(fù)雜性。
文檔編號H04L9/32GK102368765SQ20111029437
公開日2012年3月7日 申請日期2011年10月8日 優(yōu)先權(quán)日2011年10月8日
發(fā)明者滿超 申請人:大連高成網(wǎng)絡(luò)科技有限公司