一種跨域的單點登錄的方法和設備的制作方法
【專利摘要】本發(fā)明公開一種跨域的單點登錄方法和設備。該方法包括:第一域的單點登錄發(fā)起方將通過第一域認證的用戶的單點登錄認證信息發(fā)送給第二域的單點登錄中心;在所述單點登錄認證信息認證通過后,所述單點登錄發(fā)起方從所述第二域的單點登錄中心接收所述用戶的跨域單點登錄認證信息,其中,所述跨域單點登錄認證信息中包含有所述第二域的單點登錄中心的簽名信息;所述單點登錄發(fā)起方向第二域的單點登錄接收方發(fā)送所述跨域單點登錄認證信息。采用本發(fā)明方案能夠?qū)崿F(xiàn)跨域的單點登錄,且易于部署,無需對現(xiàn)有系統(tǒng)進行過多改動。
【專利說明】一種跨域的單點登錄的方法和設備
【技術(shù)領域】
[0001]本發(fā)明涉及一種進行單點登錄的方法和設備,特別涉及一種跨域的單點登錄方法和設備。
【背景技術(shù)】
[0002]目前,在大型企業(yè)中,隨著應用系統(tǒng)與信息技術(shù)的發(fā)展,常常需要用戶從一個應用系統(tǒng)切換到另一個應用系統(tǒng)中。在登錄到每個應用系統(tǒng)時,需要用戶輸入用戶名和密碼進行登錄。由于每個應用系統(tǒng)登錄時都需要輸入用戶名和密碼,使得工作效率很低,并且由于用戶需要記憶多個密碼,所以很多用戶會使用相同的密碼,從而降低了應用系統(tǒng)的安全性。
[0003]單點登錄(Single sign-on, SS0)機制的出現(xiàn)很好地解決了上述問題。SSO機制使得在多個應用系統(tǒng)中,用戶只需要登錄一次就可以訪問所有相互信任的應用系統(tǒng)。它是目前比較流行的企業(yè)業(yè)務整合的解決方案之一。
[0004]目前已經(jīng)提出了多種實現(xiàn)SSO機制的解決方案。這些解決方案大體可分為兩大類,即,密碼同步方案和票據(jù)方案。
[0005]在密碼同步方案中,SSO處理模塊預先在一個數(shù)據(jù)庫中存儲用于用戶的一個主密碼和與之對應的用于多個應用系統(tǒng)的多個從密碼。當用戶輸入主密碼時,先由SSO處理模塊將其翻譯成針對特定應用系統(tǒng)的從密碼,再利用從密碼完成相應的認證過程。這樣,用戶通過輸入一個主密碼就可以訪問多個應用系統(tǒng)。
[0006]在票據(jù)方案中,當用戶第一次登錄,例如訪問應用系統(tǒng)I的時候,根據(jù)用戶提供的登錄信息,SSO認證服務器對用戶進行身份效驗,如果用戶的身份通過了效驗,SSO認證服務器返回給用戶一個票據(jù)(ticket)。當用戶第二次登錄,例如再訪問應用系統(tǒng)2的時候,這個ticket會被攜帶在登錄請求中,作為用戶認證的憑據(jù),應用系統(tǒng)2接收到該登錄請求之后會把ticket送到SSO認證服務器進行效驗,以檢查ticket的合法性。如果通過效驗,用戶就可以在不用再次輸入用戶名和密碼的情況下訪問應用系統(tǒng)2 了。
[0007]但在大型企業(yè)和機構(gòu)中,一般都包括多層次的組織機構(gòu),每個組織機構(gòu)都有自己獨立的應用系統(tǒng)和信任的認證中心。例如,一個大企業(yè)一般都有總部組織機構(gòu)、省級組織機構(gòu),甚至還有市級組織機構(gòu),這些組織機構(gòu)都不在同一個認證域中,也即這些組織機構(gòu)都有各自信任的認證中心。如果一個已登錄省級組織機構(gòu)的用戶想要獲取總部組織機構(gòu)的學習系統(tǒng)中的資料,該用戶須輸入針對總部組織機構(gòu)的用戶名和密碼登錄到總部組織機構(gòu)后,才能獲取該學習系統(tǒng)中的資料。
[0008]因此,現(xiàn)有技術(shù)中還需要一種支持跨域的單點登錄方案。
【發(fā)明內(nèi)容】
[0009]有鑒于此,本發(fā)明的一個目的在于提供一種用于單點登錄的方案,用以實現(xiàn)跨域的單點登錄。
[0010]本發(fā)明的另一個目的在于提供一種易于部署的跨域單點登錄機制,而無需對現(xiàn)有系統(tǒng)進行過多改動。
[0011]根據(jù)本發(fā)明實施例的一個方面,提供一種用于單點登錄的方法,包括:
[0012]第一域的單點登錄發(fā)起方將通過第一域認證的用戶的單點登錄認證信息發(fā)送給第二域的單點登錄中心;
[0013]在所述單點登錄認證信息認證通過后,所述單點登錄發(fā)起方從所述第二域的單點登錄中心接收所述用戶的跨域單點登錄認證信息,其中,所述跨域單點登錄認證信息中包含有所述第二域的單點登錄中心的簽名信息;
[0014]所述單點登錄發(fā)起方向第二域的單點登錄接收方發(fā)送所述跨域單點登錄認證信
肩、O
[0015]在本發(fā)明實施方式中,由于能夠由第二域的單點登錄中心對用戶的單點登錄認證信息進行認證并簽名,而第二域中單點登錄中心被第二域中的單點登錄接收方信任,因此可以實現(xiàn)第二域中的單點登錄接收方對用戶身份的認證,從而實現(xiàn)了跨域的單點登錄,滿足大型企業(yè)和具有多層次組織機構(gòu)的要求,提高了工作效率,并且本發(fā)明實施方式易于部署,在提高用戶的體驗的同時,還可以促進大眾化的商業(yè)系統(tǒng)發(fā)展。
[0016]優(yōu)選地,所述單點登錄發(fā)起方向第二域的單點登錄接收方發(fā)送所述跨域單點登錄認證信息之前,還包括:
[0017]所述單點登錄發(fā)起方對所述跨域單點登錄認證信息進行加密處理.[0018]在本發(fā)明實施方式中,由于對傳輸?shù)目?域單點登錄認證信息進行加密處理,從而提高了傳輸跨域單點登錄認證信息過程中的安全性,同時進一步提高了單點登錄的安全性。
[0019]優(yōu)選地,所述單點登錄發(fā)起方將通過第一域認證的用戶的單點登錄認證信息發(fā)送給第二域的單點登錄中心之前,還包括:
[0020]所述單點登錄發(fā)起方向第一域中的單點登錄中心申請所述單點登錄認證信息,所述單點登錄認證信息中包含有所述用戶的認證級別。
[0021]在本發(fā)明實施方式中,由于增加了認證級別,在用戶的認證級別高于應用系統(tǒng)的認證級別后,才允許用戶訪問應用系統(tǒng),從而完善了整體系統(tǒng)的性能。比如對于一些特殊的系統(tǒng)(比如財務系統(tǒng)等),只有特定用戶才能訪問,所以針對這些系統(tǒng)可以設定較高的認證級別,從而保證認證級別較低的用戶無法訪問。
[0022]優(yōu)選地,在所述單點登錄發(fā)起方從所述第二域的單點登錄中心接收所述用戶的跨域單點登錄認證信息時,所述單點登錄發(fā)起方還從所述第二域的單點登錄中心接收所述用戶的會話標識;
[0023]在所述單點登錄發(fā)起方向第二域的單點登錄接收方發(fā)送所述跨域單點登錄認證信息時,還向所述第二域的單點登錄接收方發(fā)送所述會話標識。
[0024]在本發(fā)明實施方式中,由于加入了會話標識,在收到的會話標識通過認證后,才允許用戶訪問應用系統(tǒng),可以防止重放攻擊,從而提高了跨域單點登錄的安全性,為用戶提供了更安全的網(wǎng)絡環(huán)境,提高了用戶體驗。
[0025]優(yōu)選地,所述單點登錄發(fā)起方向第二域的單點登錄接收方發(fā)送所述會話標識之前,還包括:
[0026]所述單點登錄發(fā)起方對所述會話標識進行加密處理。[0027]在本發(fā)明實施方式中,由于對傳輸?shù)臅挊俗R進行加密處理,從而提高了傳輸會話標識過程中的安全性,同時進一步提高了單點登錄的安全性。
[0028]根據(jù)本發(fā)明實施例的另一個方面,提供了一種用于單點登錄的設備,該設備包括:
[0029]發(fā)送模塊,用于將通過第一域認證的用戶的單點登錄認證信息發(fā)送給第二域的單點登錄中心;
[0030]接收模塊,用于在所述單點登錄認證信息認證通過后,所述單點登錄發(fā)起方從所述第二域的單點登錄中心接收所述用戶的跨域單點登錄認證信息,其中,所述跨域單點登錄認證信息中包含有所述第二域的單點登錄中心的簽名信息;
[0031]處理模塊,用于向第二域的單點登錄接收方發(fā)送所述跨域單點登錄認證信息。
【專利附圖】
【附圖說明】
[0032]下文將以明確易懂的方式通過對優(yōu)選實施方式的說明并結(jié)合附圖來對本發(fā)明上述特性、技術(shù)特征、優(yōu)點及其實施方式予以進一步說明,其中:
[0033]圖1A為本發(fā)明實施方式用于單點登錄的方法流程圖;
[0034]圖1B為本發(fā)明實施方式的第一種進行跨域單點登錄的方法流程圖;
[0035]圖2為本發(fā)明實施方式的第二種進行跨域單點登錄的方法流程圖;
[0036]圖3為本發(fā)明實施方式的第三種進行跨域單點登錄的方法流程圖;
[0037]圖4為本發(fā)明實施方式的應用環(huán)境示意圖;
[0038]圖5A為本發(fā)明實施方式的第四種進行跨域單點登錄的方法流程圖;
[0039]圖5B為本發(fā)明實施方式單點登錄認證信息的結(jié)構(gòu)示意圖;
[0040]圖5C為本發(fā)明實施方式的單點登錄示意圖;
[0041]圖6為本發(fā)明實施方式的用于單點登錄的設備結(jié)構(gòu)示意圖。
【具體實施方式】
[0042]如圖1A所示,本發(fā)明實施方式用于單點登錄的方法包括下列步驟:
[0043]第一域的單點登錄發(fā)起方將通過第一域認證的用戶的單點登錄認證信息發(fā)送給第二域的單點登錄中心;
[0044]在所述單點登錄認證信息認證通過后,所述單點登錄發(fā)起方從所述第二域的單點登錄中心接收所述用戶的跨域單點登錄認證信息,其中,所述跨域單點登錄認證信息中包含有所述第二域的單點登錄中心的簽名信息;
[0045]所述單點登錄發(fā)起方向第二域的單點登錄接收方發(fā)送所述跨域單點登錄認證信
肩、O
[0046]在本發(fā)明的實施例中,單點登錄發(fā)起方向第二域的單點登錄接收方發(fā)送所述跨域單點登錄認證信息,以用于使第二域的單點登錄接收方在跨域單點登錄認證信息認證通過后允許用戶訪問。
[0047]這里可以由第二域的單點登錄接收方對跨域單點登錄認證信息中包含的所述第二域的單點登錄中心的簽名信息進行認證,也可以由第二域的單點登錄中心對跨域單點登錄認證信息中包含的所述第二域的單點登錄中心的簽名信息進行認證并將結(jié)果告知第二域的單點登錄接收方。
[0048]為了提高傳輸?shù)陌踩?,第一域的單點登錄發(fā)起方可以對所述跨域單點登錄認證信息進行加密處理,然后將加密處理后的跨域單點登錄認證信息向第二域的單點登錄接收方發(fā)送。則第二域的單點登錄接收方對加密處理后的跨域單點登錄認證信息進行解密處理,得到跨域單點登錄認證信息。
[0049]通過第一域認證的用戶的單點登錄認證信息中可以包含有所述用戶的認證級別。相應的,單點登錄發(fā)起方可向第二域的單點登錄接收方發(fā)送包含用戶認證級別的跨域單點登錄認證信息,用于通知所述第二域的單點登錄接收方對用戶的認證級別進行認證,并在認證通過后允許用戶訪問。
[0050]優(yōu)選地,在單點登錄發(fā)起方從第二域的單點登錄中心接收用戶的跨域單點登錄認證信息時,單點登錄發(fā)起方還從第二域的單點登錄中心接收用戶的會話標識;在單點登錄發(fā)起方向第二域的單點登錄接收方發(fā)送跨域單點登錄認證信息時,還向第二域的單點登錄接收方發(fā)送所述會話標識。第二域的單點登錄接收方在會話標識認證通過后才允許用戶訪問。由于攻擊者不能獲知會話標識,即使其竊取了單點登錄認證信息,也無法訪問單點登錄接收方,從而能夠防止攻擊者實施重放攻擊,提高了網(wǎng)絡的安全性。
[0051]同樣地,單點登錄發(fā)起方還可對所述會話標識進行加密處理;而第二域的單點登錄接收方對加密處理的會話標識相應進行解密處理。
[0052]本發(fā)明實施方式中的第一域的單點登錄發(fā)起方可以是用戶終端,比如瀏覽器或其它具有單點登錄功能的客戶端;也可以是具有單點登錄功能的應用系統(tǒng),如門戶設備。用戶可以通過多種方式實現(xiàn)單點登錄。例如,用戶可以通過輸入用戶名和密碼而成功登錄到應用系統(tǒng)A上,即完成一次登錄。然后,用戶再點擊應用系統(tǒng)A頁面上提供的超級鏈接而請求訪問應用系統(tǒng)B。這時,發(fā)出訪問請求的應用系統(tǒng)A稱作單點登錄發(fā)起方,而接收訪問請求的應用系統(tǒng)B則稱為單點登錄接收方。可選地,用戶還可以直接通過其具有SSO功能的用戶終端向單點登錄中心進行認證(即完成一次登錄),且在認證成功后由其終端直接請求訪問各個應用系統(tǒng)。在這種情況下,發(fā)出訪問請求的用戶終端稱作單點登錄發(fā)起方,而接收該訪問請求的各個應用系統(tǒng)稱作單點登錄接收方。進一步,任何一個已經(jīng)成功認證了用戶身份的應用系統(tǒng)都可以作為單點登錄發(fā)起方,來請求訪問另一個應用系統(tǒng),即單點登錄接收方。
[0053]下面以第一域的單點登錄發(fā)起方為門戶設備為例對本發(fā)明的實施方式進行說明,在該實施例中,客戶端可以為用戶的瀏覽器。第一域的單點登錄發(fā)起方是用戶終端的實施方式與下述實施例的技術(shù)原理相同,本領域的技術(shù)人員可以參照下述實施例進行適應性的改動。
[0054]如圖1B所示,本發(fā)明實施方式的第一種進行跨域單點登錄的方法包括下列步驟:
[0055]步驟101、用戶通過其客戶端向處于第一域的門戶設備發(fā)送請求登錄的信息;
[0056]步驟102、處于第一域的門戶設備收到客戶端的請求登錄的信息后,在用戶的身份驗證通過后,向處于第一域的單點登錄中心請求獲取用戶的單點登錄認證信息(SS0ticket);
[0057]步驟103、第一域中的單點登錄中心將用戶的單點登錄認證信息返回給第一域的門戶設備;
[0058]步驟104、用戶通過其客戶端向處于第一域中的門戶設備發(fā)送請求訪問第二域的應用系統(tǒng);
[0059]步驟105、第一域中的門戶設備將用戶的單點登錄認證信息發(fā)送給第二域中的單點登錄中心;
[0060]步驟106、第二域中的單點登錄中心對收到的單點登錄認證信息進行認證,在認證通過后,將第二域的簽名信息(signature)置于單點登錄認證信息中;
[0061]步驟107、第二域中的單點登錄中心將含有第二域的簽名信息的單點登錄認證信息返回給第一域中的門戶設備;
[0062]步驟108、第一域中的門戶設備將含有第二域的簽名信息的單點登錄認證信息發(fā)送給第二域中的應用系統(tǒng);
[0063]步驟109、第二域中的應用系統(tǒng)對收到的單點登錄認證信息中的第二域的簽名信息進行認證;
[0064]步驟110、第二域中的應用系統(tǒng)在單點登錄認證信息中的第二域的簽名信息認證通過后,允許用戶訪問應用系統(tǒng)。
[0065]在步驟102中,第一域中的門戶設備向處于第一域的單點登錄中心請求用戶的單點登錄認證信息時,可以將用戶標識發(fā)送給第一域的單點登錄中心;相應的,步驟103中,第一域的單點登錄中心可以將該用戶標識對應的用戶的認證級別置于用戶的單點登錄認證信息中。
[0066]從而在步驟108中,第一域的門戶設備可以將包含有用戶認證級別的單點登錄認證信息發(fā)送給第二域中的應用系統(tǒng)。
[0067]第一域中的門戶設備可以根據(jù)步驟104中客戶端發(fā)送的訪問請求確定單點登錄的接收方處在第一域還是第二域??蛻舳税l(fā)送的訪問請求中可以包含請求訪問的URL地址,也可以包含待訪問應用系統(tǒng)的標識,還可以包含其它能夠確定單點登錄接收方的信息。如果客戶端請求訪問一個URL地址,則第一域中的門戶設備可以根據(jù)該URL地址判斷該URL地址是否與其處在同一認證域;如果客戶端發(fā)送請求中包含被訪問應用系統(tǒng)的標識,則第一域中的門戶設備可以根據(jù)應用系統(tǒng)標識和認證域的對應關(guān)系,確定需要訪問的應用系統(tǒng)屬于哪個認證域。
[0068]在步驟105中,第一域中的門戶設備還可以將用戶需要訪問的應用系統(tǒng)的標識(APP ID)發(fā)送給第二域中的單點登錄中心,供第二域中的單點登錄中心確定被訪問的應用系統(tǒng)。
[0069]在步驟106中,第二域中的單點登錄中心對收到的單點登錄認證信息進行認證時,可對單點登錄認證信息中第一域的簽名信息進行認證,在認證通過后,如果單點登錄認證信息中有單點登錄認證信息創(chuàng)建時間和單點登錄認證信息到期時間,則第二域中的單點登錄中心還可對單點登錄認證信息創(chuàng)建時間和單點登錄認證信息到期時間進行認證,查看該單點登錄認證信息是否還有效。
[0070]單點登錄認證信息中除了簽名信息,根據(jù)需要還可以包括其他能夠?qū)τ脩魡吸c登錄認證信息的合法性進行驗證的信息,則第二域中的單點登錄中心還可以根據(jù)該信息對單點登錄認證信息進行驗證。
[0071]為了進一步提高跨域單點登錄的安全性,在單點登錄中增加了會話標識(SessionID)。圖2為本發(fā)明實施方式的第二種進行跨域單點登錄的方法,其中步驟201?步驟205與圖1中的步驟101?步驟105相同,在此不再贅述,這里只介紹不同之處:
[0072]步驟206、第二域中的單點登錄中心對收到的單點登錄認證信息進行認證,在認證通過后,將第二域的簽名信息置于單點登錄認證信息中,并為用戶分配一個會話標識;
[0073]步驟207、第二域中的單點登錄中心將含有第二域的簽名信息的單點登錄認證信息和會話標識返回給第一域中的門戶設備;
[0074]步驟208、第一域中的門戶設備將含有第二域的簽名信息的單點登錄認證信息和會話標識返回給客戶端;
[0075]步驟209、客戶端將收到的跨域單點登錄認證信息和會話標識發(fā)送給第二域中的應用系統(tǒng);
[0076]步驟210、第二域中的應用系統(tǒng)將跨域單點登錄認證信息和會話標識發(fā)送給第二域中的單點登錄中心;
[0077]步驟211、第二域中的單點登錄中心對跨域的單點登錄認證信息和會話標識進行認證,并在步驟212中返回認證結(jié)果;
[0078]步驟213、第二域中的應用系統(tǒng)在認證通過后允許用戶訪問應用系統(tǒng)。
[0079]在本實施例中,根據(jù)實際的需求,在步驟208和209中,第一域的門戶設備可以使用URL重定向和HTTP POST的方式通過客戶端將用戶的跨域單點登錄信息發(fā)送給第二域中的應用系統(tǒng)。
[0080]會話標識可以是一個隨機生成的數(shù)字或時間戳,也可以是其他能夠唯一標識一個會話的信息。由于攻擊者不能獲知會話標識,也就無法訪問應用系統(tǒng),從而提高了網(wǎng)絡的安全環(huán)境。
[0081]其中,會話標識也可以不隨單點登錄認證信息傳輸,只要保證在步驟210之前第二域中的應用系統(tǒng)能夠收到會話標識即可。
[0082]為了提高會話標識在傳輸中的安全性,優(yōu)選地,步驟208中,第一域中的門戶設備對會話標識進行加密處理,并將加密處理后的會話標識返回給客戶端;相應的,步驟209中,客戶端將加密處理后的會話標識發(fā)送給第二域中的應用系統(tǒng);步驟210中,第二域中的應用系統(tǒng)對收到的加密處理后的會話標識進行解密處理。
[0083]圖3為本發(fā)明實施方式的第三種進行跨域單點登錄的方法,其中除步驟303及步驟309不同以外,其余與圖1中的相應步驟相同,在此不再贅述,這里只介紹不同之處:
[0084]步驟303、第一域中的單點登錄中心請求將包含用戶認證級別的單點登錄認證信息返回給第一域中的門戶設備;
[0085]步驟309、第二域中的應用系統(tǒng)在單點登錄認證信息中的第二域的簽名信息認證通過,且用戶的認證級別滿足應用系統(tǒng)的認證級別后,允許用戶訪問應用系統(tǒng)。
[0086]認證級別根據(jù)需要可以劃分多個級別,比如認證級別是“O”表示:靜態(tài)口令認證;認證級別是“I”表示:一次性口令認證;認證級別是“2”表示:證書認證。當然,還可以根據(jù)具體需要劃分更多的認證級別。步驟303中,第一域中的單點登錄中心根據(jù)用戶的認證方式確定對應的認證級別。比如用戶采用一次性口令登錄成功,則確定用戶認證級別是“I”。
[0087]不同的應用系統(tǒng)可能有不同的認證級別。如果應用系統(tǒng)需要的認證級別是“一次性口令認證”,對于通過“靜態(tài)口令認證”的用戶不能訪問應用系統(tǒng),對于通過“一次性口令認證”或“證書認證”的用戶能訪問應用系統(tǒng)。[0088]下面以圖4的應用環(huán)境為例,對本發(fā)明實施方式進行說明。
[0089]如圖5A所示,本發(fā)明實施方式的第四種進行跨域單點登錄的方法中,單點登錄認證信息的結(jié)構(gòu)可以參見圖5B,具體步驟包括:
[0090]步驟501、客戶端向省級門戶設備(Provincial Portal)發(fā)送請求登錄的信息;
[0091]步驟502、省級門戶設備向省級單點登錄中心(Provincial SS0)請求獲取用戶的單點登錄認證信息;
[0092]步驟503、省級單點登錄中心將包含用戶認證級別的單點登錄認證信息返回給省級門戶設備;
[0093]步驟504、客戶端向省級門戶設備發(fā)送請求訪問總部應用系統(tǒng)的信息;
[0094]步驟505、省級門戶設備將用戶的單點登錄認證信息發(fā)送給總部的單點登錄中心,并申請會話標識;
[0095]步驟506、總部的單點登錄中心對收到的單點登錄認證信息進行認證,在認證通過后,將總部的簽名信息置于單點登錄認證信息中;
[0096]步驟507、總部的單點登錄中心為用戶分配一個會話標識;
[0097]步驟508、總部的單點登錄中心將含有總部簽名信息的單點登錄認證信息和會話標識返回給省級門戶設備;
[0098]步驟509、省級門戶設備對單點登錄認證信息進行升級,將用戶的單點登錄認證信息更新為含有總部簽名的單點登錄認證信息;
[0099]步驟510、省級門戶設備對會話標識進行加密處理;
[0100]步驟511、省級門戶設備將加密處理后的會話標識和單點登錄認證信息返回給客戶端;
[0101]步驟512、客戶端將加密處理后的會話標識和單點登錄認證信息發(fā)送給總部的應用系統(tǒng);
[0102]步驟513、總部的應用系統(tǒng)對收到的會話標識進行解密處理;
[0103]步驟514、總部的應用系統(tǒng)對收到的單點登錄認證信息中的總部的簽名信息進行認證;
[0104]步驟515、總部的應用系統(tǒng)在總部的簽名信息認證通過后,將會話標識發(fā)送給總部的單點登錄中心;
[0105]步驟516、總部的單點登錄中心對會話標識進行認證;
[0106]步驟517、總部的單點登錄中心返回認證結(jié)果;
[0107]步驟518、總部的應用系統(tǒng)根據(jù)認證結(jié)果在確定會話標識認證通過后,對用戶的認證級別和應用系統(tǒng)的認證級別進行比較;
[0108]步驟519、總部的應用系統(tǒng)在用戶的認證級別滿足應用系統(tǒng)的認證級別后,允許用戶訪問應用系統(tǒng)。
[0109]下面以圖5C的應用環(huán)境為例,對本發(fā)明實施方式進行說明。
[0110]1、一個用戶訪問省級門戶網(wǎng)站,并通過認證;
[0111]2、省級門戶網(wǎng)站通過省級單點登錄中心,實現(xiàn)用戶的單點登錄;
[0112]3、用戶單點登錄到ERP (企業(yè)資源規(guī)劃系統(tǒng))系統(tǒng);
[0113]4、用戶希望單點登錄到位于總部的一個學習系統(tǒng)中,省級門戶網(wǎng)站通過總部的單點登錄中心申請到含有總部的簽名信息的單點登錄認證信息和會話標識;
[0114]5、用戶根據(jù)含有總部的簽名信息的單點登錄認證信息和會話標識就可以單點登錄到總部的學習系統(tǒng)中。
[0115]基于同一發(fā)明構(gòu)思,本發(fā)明實施例中還提供了一種與用于單點登錄的方法對應的用于單點登錄的設備,由于該設備解決問題的原理與用于單點登錄的方法相似,因此該設備的實施方式可以參見根據(jù)本發(fā)明方法的實施例,重復之處不再贅述。
[0116]如圖6所示,發(fā)明實施方式的用于單點登錄的設備包括:發(fā)送模塊61、接收模塊62和處理模塊63。
[0117]發(fā)送模塊61,用于將通過第一域認證的用戶的單點登錄認證信息發(fā)送給第二域的單點登錄中心;
[0118]接收模塊62,用于在所述單點登錄認證信息認證通過后,所述單點登錄發(fā)起方從所述第二域的單點登錄中心接收所述用戶的跨域單點登錄認證信息,其中,所述跨域單點登錄認證信息中包含有所述第二域的單點登錄中心的簽名信息;
[0119]處理模塊63,用于向第二域的單點登錄接收方發(fā)送所述跨域單點登錄認證信息。
[0120]優(yōu)選地,所述設備還包括:第一加密模塊64:用于在所述處理模塊63向第二域的單點登錄接收方發(fā)送所述跨域單點登錄認證信息之前,對所述跨域單點登錄認證信息進行加密處理。
[0121]優(yōu)選地,發(fā)送模塊61還用于:將通過第一域認證的用戶的單點登錄認證信息發(fā)送給第二域的單點登錄中心之前,向第一域中的單點登錄中心申請所述單點登錄認證信息,所述單點登錄認證信息中包含有所述用戶的認證級別。
[0122]優(yōu)選地,接收模塊62還用于:在從所述第二域的單點登錄中心接收所述用戶的跨域單點登錄認證信息時,還從所述第二域的單點登錄中心接收所述用戶的會話標識;處理模塊63還用于在向第二域的單點登錄接收方發(fā)送所述跨域單點登錄認證信息時,還向所述第二域的單點登錄接收方發(fā)送所述會話標識。
[0123]優(yōu)選地,所述設備還包括:第二加密模塊65:用于在所述處理模塊63向第二域的單點登錄接收方發(fā)送所述會話標識之前,對所述會話標識進行加密處理。
[0124]需要說明的是,上述各流程和各系統(tǒng)結(jié)構(gòu)圖中不是所有的步驟和模塊都是必須的,可以根據(jù)實際的需要忽略某些步驟或模塊。各步驟的執(zhí)行順序不是固定的,可以根據(jù)需要進行調(diào)整。上述各實施例中描述的系統(tǒng)結(jié)構(gòu)可以是物理結(jié)構(gòu),也可以是邏輯結(jié)構(gòu),即,有些模塊可能由同一物理實體實現(xiàn),或者,有些模塊可能分由多個物理實體實現(xiàn),或者,可以由多個獨立設備中的某些部件共同實現(xiàn)。
[0125]以上各實施例中,硬件單元可以通過機械方式或電氣方式實現(xiàn)。例如,一個硬件單元可以包括永久性專用的電路或邏輯(如專門的處理器,F(xiàn)PGA或ASIC)來完成相應操作。硬件單元還可以包括可編程邏輯或電路(如通用處理器或其它可編程處理器),可以由軟件進行臨時的設置以完成相應操作。具體的實現(xiàn)方式(機械方式、或?qū)S玫挠谰眯噪娐?、或者臨時設置的電路)可以基于成本和時間上的考慮來確定。
[0126]本發(fā)明還提供了 一種機器可讀介質(zhì),存儲用于使一機器執(zhí)行如本文所述的用于單點登錄的方法的指令。具體地,可以提供配有存儲介質(zhì)的系統(tǒng)或者裝置,在該存儲介質(zhì)上存儲著實現(xiàn)上述實施例中任一實施例的功能的軟件程序代碼,且使該系統(tǒng)或者裝置的計算機(或CPU或MPU)讀出并執(zhí)行存儲在存儲介質(zhì)中的程序代碼。
[0127]在這種情況下,從存儲介質(zhì)讀取的程序代碼本身可實現(xiàn)上述實施例中任何一項實施例的功能,因此程序代碼和存儲程序代碼的存儲介質(zhì)構(gòu)成了本發(fā)明的一部分。
[0128]用于提供程序代碼的存儲介質(zhì)實施例包括軟盤、硬盤、磁光盤、光盤(如CD-ROM、CD-R、CD-RW、DVD-ROM、DVD-RAM、DVD-RW、DVD+RW)、磁帶、非易失性存儲卡和 ROM??蛇x擇地,可以由通信網(wǎng)絡從服務器計算機上下載程序代碼。
[0129]此外,應該清楚的是,不僅可以通過執(zhí)行計算機所讀出的程序代碼,而且可以通過基于程序代碼的指令使計算機上操作的操作系統(tǒng)等來完成部分或者全部的實際操作,從而實現(xiàn)上述實施例中任意一項實施例的功能。
[0130]此外,可以理解的是,將由存儲介質(zhì)讀出的程序代碼寫到插入計算機內(nèi)的擴展板中所設置的存儲器中或者寫到與計算機相連接的擴展單元中設置的存儲器中,隨后基于程序代碼的指令使安裝在擴展板或者擴展單元上的CPU等來執(zhí)行部分和全部實際操作,從而實現(xiàn)上述實施例中任一實施例的功能。
[0131]上文通過附圖和優(yōu)選實施方式對本發(fā)明進行了詳細展示和說明,然而本發(fā)明不限于這些已揭示的實施方式,本領域技術(shù)人員從中推導出來的其它方案也在本發(fā)明的保護范圍之內(nèi)。
【權(quán)利要求】
1.一種用于單點登錄的方法,該方法包括: 第一域的單點登錄發(fā)起方將通過第一域認證的用戶的單點登錄認證信息發(fā)送給第二域的單點登錄中心; 在所述單點登錄認證信息認證通過后,所述單點登錄發(fā)起方從所述第二域的單點登錄中心接收所述用戶的跨域單點登錄認證信息,其中,所述跨域單點登錄認證信息中包含有所述第二域的單點登錄中心的簽名信息; 所述單點登錄發(fā)起方向第二域的單點登錄接收方發(fā)送所述跨域單點登錄認證信息。
2.如權(quán)利要求1所述的方法,其特征在于,所述單點登錄發(fā)起方向第二域的單點登錄接收方發(fā)送所述跨域單點登錄認證信息之前,還包括: 所述單點登錄發(fā)起方對所述跨域單點登錄認證信息進行加密處理。
3.如權(quán)利要求1所述的方法,其特征在于,所述單點登錄發(fā)起方將通過第一域認證的用戶的單點登錄認證信息發(fā)送給第二域的單點登錄中心之前,還包括: 所述單點登錄發(fā)起方向第一域中的單點登錄中心申請所述單點登錄認證信息,所述單點登錄認證信息中包含有所述用戶的認證級別。
4.如權(quán)利要求1所述的方法,其特征在于,在所述單點登錄發(fā)起方從所述第二域的單點登錄中心接收所述用戶的跨域單點登錄認證信息時,所述單點登錄發(fā)起方還從所述第二域的單點登錄中心接收所述用戶的會話標識; 在所述單點登錄發(fā)起方向第二域的單點登錄接收方發(fā)送所述跨域單點登錄認證信息時,還向所述第二域的單點登錄接收方發(fā)送所述會話標識。`
5.如權(quán)利要求4所述的方法,其特征在于,所述單點登錄發(fā)起方向第二域的單點登錄接收方發(fā)送所述會話標識之前,還包括: 所述單點登錄發(fā)起方對所述會話標識進行加密處理。
6.如權(quán)利要求1至5任一所述的方法,其特征在于,所述單點登錄認證信息為單點登錄票據(jù)。
7.一種用于單點登錄的設備,該設備包括: 發(fā)送模塊,用于將通過第一域認證的用戶的單點登錄認證信息發(fā)送給第二域的單點登錄中心; 接收模塊,用于在所述單點登錄認證信息認證通過后,所述單點登錄發(fā)起方從所述第二域的單點登錄中心接收所述用戶的跨域單點登錄認證信息,其中,所述跨域單點登錄認證信息中包含有所述第二域的單點登錄中心的簽名信息; 處理模塊,用于向第二域的單點登錄接收方發(fā)送所述跨域單點登錄認證信息。
8.如權(quán)利要求7所述的設備,其特征在于,所述設備還包括: 第一加密模塊,用于在所述處理模塊向第二域的單點登錄接收方發(fā)送所述跨域單點登錄認證信息之前,對所述跨域單點登錄認證信息進行加密處理。
9.如權(quán)利要求7所述的設備,其特征在于,所述發(fā)送模塊還用于: 將通過第一域認證的用戶的單點登錄認證信息發(fā)送給第二域的單點登錄中心之前,向第一域中的單點登錄中心申請所述單點登錄認證信息,所述單點登錄認證信息中包含有所述用戶的認證級別。
10.如權(quán)利要求7所述的設備,其特征在于,所述接收模塊還用于:在從所述第二域的單點登錄中心接收所述用戶的跨域單點登錄認證信息時,還從所述第二域的單點登錄中心接收所述用戶的會話標識; 所述處理模塊還用于在向第二域的單點登錄接收方發(fā)送所述跨域單點登錄認證信息時,還向所述第二域的單點登錄接收方發(fā)送所述會話標識。
11.如權(quán)利要求10所述的設備,其特征在于,所述設備還包括: 第二加密模塊,用于在所述處理模塊向第二域的單點登錄接收方發(fā)送所述會話標識之前,對所述會話標識進行 加密處理。
【文檔編號】H04L29/06GK103716292SQ201210379442
【公開日】2014年4月9日 申請日期:2012年9月29日 優(yōu)先權(quán)日:2012年9月29日
【發(fā)明者】劉彥, 劉康, 黃琛 申請人:西門子公司