單點登錄方法和裝置制造方法
【專利摘要】本發(fā)明提供了一種單點登錄方法��,包括以下步驟:用戶通過證書管理模塊向CA中心申請證書�����;CA中心將證書發(fā)送給證書管理模塊;證書管理模塊將證書寫入用戶的USBKey�;用戶向CAS發(fā)出登錄請求;CAS向證書認(rèn)證模塊申請認(rèn)證��;證書認(rèn)證模塊從USBKey中讀出證書信息�,并對用戶進(jìn)行認(rèn)證�;以及證書認(rèn)證模塊將認(rèn)證結(jié)果返回給CAS����。利用本發(fā)明的單點登錄方法能夠克服現(xiàn)有技術(shù)的缺陷,通過基于CA和USBKey的單點登錄方法�����,不僅能夠?qū)崿F(xiàn)單點登錄�����,而且增強了單點登錄系統(tǒng)的安全性�����。因此���,保證用戶密碼及個人信息的安全性���,從而為用戶提供了更安全的工作環(huán)境。
【專利說明】單點登錄方法和裝置
【技術(shù)領(lǐng)域】
[0001]本發(fā)明總體上涉及計算機領(lǐng)域��,更具體地���,涉及單點登錄方法和裝置�����。
【背景技術(shù)】
[0002]單點登錄技術(shù)實現(xiàn)了多個應(yīng)用系統(tǒng)中用戶只需要登錄一次就可以訪問所有相互信任的應(yīng)用系統(tǒng)�,單點登錄技術(shù)是目前比較流行的企業(yè)業(yè)務(wù)整合的解決方案之一。
[0003]在現(xiàn)有技術(shù)中���,單點登錄開源框架有CAS���,該框架默認(rèn)實現(xiàn)了使用用戶名密碼的單點登錄方式。CAS系統(tǒng)�����,只是實現(xiàn)了用戶名����、密碼的認(rèn)證方式,該CAS系統(tǒng)在一定程度上實現(xiàn)了單點登錄的功能��。
[0004]然而���,由于用戶名�����、密碼認(rèn)證方式過于簡單���,有可能導(dǎo)致密碼劫持、中間人攻擊等問題����,導(dǎo)致非合法用戶通過認(rèn)證,導(dǎo)致各系統(tǒng)的安全性無法得到保證�����。
【發(fā)明內(nèi)容】
[0005]針對以上現(xiàn)有技術(shù)中用戶名�����、密碼認(rèn)證方式過于簡單�����,有可能導(dǎo)致密碼劫持��、中間人攻擊等缺陷,本發(fā)明提供了能夠解決上述缺陷的提供了單點登錄方法和裝置�����。
[0006]本發(fā)明提供了一種單點登錄方法��,包括以下步驟:用戶通過證書管理模塊向CA中心申請證書���;CA中心將證書發(fā)送給證書管理模塊���;證書管理模塊將證書寫入用戶的USBKey ;用戶向CAS發(fā)出登錄請求;CAS向證書認(rèn)證模塊申請認(rèn)證�;證書認(rèn)證模塊從USBKey中讀出證書信息,并對用戶進(jìn)行認(rèn)證�;以及證書認(rèn)證模塊將認(rèn)證結(jié)果返回給CAS。
[0007]優(yōu)選地�����,USBKey中內(nèi)置單片機或智能卡芯片����,用于存儲用戶的私鑰以及證書信息。
[0008]優(yōu)選地����,USBKey中內(nèi)置公鑰算法,用于實現(xiàn)對用戶的身份認(rèn)證��。
[0009]本發(fā)明還提供了一種單點登錄裝置��,包括:證書申請模塊�����,用于通過證書管理模塊向CA中心申請證書�����,其中���,CA中心將證書發(fā)送給證書管理模塊�����,證書管理模塊將證書寫入用戶的USBKey ;登錄請求模塊���,用于向CAS發(fā)出登錄請求,其中�,CAS向證書認(rèn)證模塊申請認(rèn)證����;證書認(rèn)證模塊�,用于從USBKey中讀出證書信息,并將認(rèn)證結(jié)果返回給CAS�����。
[0010]優(yōu)選地�,USBKey中內(nèi)置單片機或智能卡芯片,用于存儲用戶的私鑰以及證書信息��。
[0011]優(yōu)選地����,USBKey中內(nèi)置公鑰算法,用于實現(xiàn)對用戶的身份認(rèn)證�����。
[0012]利用本發(fā)明的技術(shù)方案能夠克服現(xiàn)有技術(shù)的缺陷����,通過CA和USBKey的單點登錄方法和裝置,不僅能夠?qū)崿F(xiàn)單點登錄�,而且增強了單點登錄裝置的安全性�����。因此����,保證用戶密碼及個人信息的安全性����,從而為用戶提供了更安全的工作環(huán)境����。
【專利附圖】
【附圖說明】
[0013]當(dāng)結(jié)合附圖進(jìn)行閱讀時,根據(jù)下面詳細(xì)的描述可以更好地理解本發(fā)明����。應(yīng)該強調(diào)的是,根據(jù)工業(yè)中的標(biāo)準(zhǔn)實踐���,各種部件沒有被按比例繪制�。實際上�,為了清楚的討論,各種部件的尺寸可以被任意增加或減少��。
[0014]圖1是根據(jù)本發(fā)明的示例性實施例的單點登錄方法的流程圖;[0015]圖2是根據(jù)本發(fā)明的示例性實施例的單點登錄裝置的結(jié)構(gòu)框圖��;以及
[0016]圖3是根據(jù)本發(fā)明的示例性實施例的單點登錄裝置的具體結(jié)構(gòu)框圖�����。
【具體實施方式】
[0017]為了實施本發(fā)明的不同部件�,以下描述提供了許多不同的實施例或示例。以下描述元件和布置的特定示例以簡化本發(fā)明�。當(dāng)然這些僅僅是示例并不打算限定。再者�����,以下描述中第一部件形成在第二部件上可包括其中第一和第二部件以直接接觸形成的實施例�,并且也可包括其中額外的部件形成插入到第一和第二部件中的實施例,使得第一和第二部件不直接接觸���。為了簡明和清楚���,可以任意地以不同的尺寸繪制各種部件。
[0018]圖1是根據(jù)本發(fā)明的示例性實施例的單點登錄方法的流程圖����。
[0019]參照圖1��,單點登錄方法100包括:步驟102�,在該步驟中用戶通過證書管理模塊向CA中心申請證書�����。CA (Certificate Authority),認(rèn)證中心��,它是米用PKI (Public KeyInfrastructure)公開密鑰基礎(chǔ)架構(gòu)技術(shù),專門提供網(wǎng)絡(luò)身份認(rèn)證服務(wù),負(fù)責(zé)簽發(fā)和管理數(shù)字證書��,且具有權(quán)威性和公正性的第三方信任機構(gòu)���。具體地,用戶首先將申請證書的命令發(fā)送給證書管理模塊證書管理模塊��,證書管理模塊接收到申請證書的命令以后�,向CA中心發(fā)送申請證書的信息。在步驟104中�,CA中心將證書發(fā)送給證書管理模塊。CA中心從證書管理模塊接收到申請證書的信息以后����,作為響應(yīng),將證書發(fā)送給證書管理模塊�����。在步驟106中,證書管理模塊將證書寫入用戶的USBKey���。USB Key是一種USB接口的硬件設(shè)備���。它內(nèi)置單片機或智能卡芯片,有一定的存儲空間�����,可以存儲用戶的私鑰以及數(shù)字證書���,利用USBKey內(nèi)置的公鑰算法實現(xiàn)對用戶身份的認(rèn)證�����。在一個實施例中��,USBKey中內(nèi)置單片機或智能卡芯片����,用于存儲用戶的私鑰以及證書信息。具體地���,證書管理模塊從CA中心接收到證書以后�,將該證書寫入用戶的USBKey中并進(jìn)行存儲�,以便于稍后的用戶認(rèn)證。
[0020]此外,單點登錄方法100還包括:步驟108,用戶向CAS發(fā)出登錄請求�。CAS (CentralAuthentication Service),是Yale大學(xué)發(fā)起的一個開源項目��,旨在為Web應(yīng)用系統(tǒng)提供一種可靠的單點登錄方法���。具體地�,當(dāng)用戶要登錄CAS時��,向CAS發(fā)送登錄請求��。在步驟110中��,CAS向證書認(rèn)證模塊申請認(rèn)證��。具體地��,CAS在接收到用戶的登錄請求以后��,向證書認(rèn)證模塊發(fā)送申請認(rèn)證的信息�。在步驟112中,證書認(rèn)證模塊從USBKey中讀出證書信息�,并對用戶進(jìn)行認(rèn)證。在一實施例中�����,USBKey中內(nèi)置公鑰算法��,用于實現(xiàn)對用戶的身份認(rèn)證����。具體地,證書認(rèn)證模塊在接收到申請認(rèn)證的信息以后�,從USBKey中讀取證書信息,并根據(jù)使用的CA系統(tǒng)���,對用戶進(jìn)行認(rèn)證�����。在步驟114中��,證書認(rèn)證模塊將認(rèn)證結(jié)果返回給CAS���。具體地����,當(dāng)證書認(rèn)證模塊完成對用戶的認(rèn)證以后����,將認(rèn)證結(jié)果返回給CAS,從而完成用戶登錄CAS的認(rèn)證��。
[0021]利用本發(fā)明的實施例的單點登錄方法����,用戶基于CA和USBKey,不需要多次登錄除CA之外的其他系統(tǒng)���,就可以自動登錄其他系統(tǒng)���,簡化了用戶的操作步驟�。此外,通過CA和USBKey的單點登錄方法�,不僅能夠?qū)崿F(xiàn)單點登錄,而且增強了單點登錄的安全性����。因此���,保證用戶密碼及個人信息的安全性,從而為用戶提供了更安全的工作環(huán)境��。
[0022]圖2是根據(jù)本發(fā)明的示例性實施例的單點登錄裝置的結(jié)構(gòu)框圖��。
[0023]單點登錄裝置200包括:證書申請模塊202��,用于通過證書管理模塊向CA中心申請證書���,其中���,CA中心將證書發(fā)送給證書管理模塊,證書管理模塊將證書寫入用戶的USBKey����。具體地,證書申請模塊202通過證書管理模塊向CA中心申請證書����。CA中心在接收到申請證書的信息以后,將證書發(fā)送給證書管理模塊�,隨后��,證書管理模塊將證書寫入用戶的USBKey并進(jìn)行存儲����。其中��,USBKey中內(nèi)置單片機或智能卡芯片�����,用于存儲用戶的私鑰以及證書彳目息����。
[0024]單點登錄裝置200還包括登錄請求模塊204,用于向CAS發(fā)出登錄請求���,其中�����,CAS向證書認(rèn)證模塊申請認(rèn)證��。具體地,登錄請求模塊204向CAS發(fā)出登錄請求,CAS在接收到該登錄請求以后��,向證書認(rèn)證模塊申請認(rèn)證。
[0025]單點登錄裝置200還包括證書認(rèn)證模塊206���,用于從USBKey中讀出證書信息��,并將認(rèn)證結(jié)果返回給CAS�����。USBKey中內(nèi)置公鑰算法�����,用于實現(xiàn)對用戶的身份認(rèn)證�����。具體地���,證書認(rèn)證模塊206從CAS接收到申請認(rèn)證的請求以后,從USBKey中讀出先前存儲的證書信息�����,然后���,證書認(rèn)證模塊206根據(jù)使用CA對用戶進(jìn)行認(rèn)證�,最后,將認(rèn)證結(jié)果返回給CAS��。
[0026]利用本發(fā)明的實施例的單點登錄裝置���,用戶基于CA和USBKey����,不需要多次登錄除CA之外的其他系統(tǒng)�����,就可以自動登錄這些其他系統(tǒng)�����,簡化了用戶的操作步驟���。此外��,通過CA和USBKey的單點登錄裝置����,不僅能夠?qū)崿F(xiàn)單點登錄,而且增強了單點登錄裝置的安全性����。因此�,保證用戶密碼及個人信息的安全性,從而為用戶提供了更安全的工作環(huán)境�����。
[0027]圖3是根據(jù)本發(fā)明的示例性實施例的單點登錄裝置的具體結(jié)構(gòu)框圖�����。
[0028]在具體實例中���,在第1步驟中�����,用戶通過證書管理模塊申請證書��;在第2步驟中���,證書管理模塊向CA中心申請證書���;在第3步驟中,CA中心將證書發(fā)送給證書管理模塊�;在第4步驟中,證書管理模塊將證書寫入用戶的USBKey ;在第5步驟中�����,用戶向CAS發(fā)出登錄請求���;在第6步驟中�����,CAS向證書認(rèn)證模塊申請用戶認(rèn)證�����;在第7步驟中�����,證書認(rèn)證模塊從USBKey中讀出證書信息���;在第8和9步驟中�,根據(jù)使用CA對用戶進(jìn)行認(rèn)證�����;最后����,證書認(rèn)證模塊將認(rèn)證結(jié)果返回給CAS����。
[0029]利用本發(fā)明的實施例的單點登錄裝置和方法,用戶基于CA和USBKey��,不需要多次登錄除CA之外的其他系統(tǒng)�����,就可以自動登錄其他系統(tǒng)���,簡化了用戶的操作步驟�����。此外�����,通過CA和USBKey的單點登錄裝置和方法�,不僅能夠?qū)崿F(xiàn)單點登錄,而且增強了單點登錄裝置的安全性�����。因此���,保證用戶密碼及個人信息的安全性���,從而為用戶提供了更安全的工作環(huán)境。
[0030]上面論述了若干實施例的部件�����,使得本領(lǐng)域普通技術(shù)人員可以更好地理解本發(fā)明的各個方面�����。本領(lǐng)域普通技術(shù)人員應(yīng)該理解�����,可以很容易地使用本發(fā)明作為基礎(chǔ)來設(shè)計或更改其他用于達(dá)到與這里所介紹實施例相同的目的和/或?qū)崿F(xiàn)相同優(yōu)點的處理和結(jié)構(gòu)。本領(lǐng)域普通技術(shù)人員也應(yīng)該意識到���,這種等效構(gòu)造并不背離本發(fā)明的精神和范圍���,并且在不背離本發(fā)明的精神和范圍的情況下,可以進(jìn)行多種變化��、替換以及改變�。
【權(quán)利要求】
1.一種單點登錄方法�,其特征在于,包括以下步驟:用戶通過證書管理模塊向CA中心申請證書���;所述CA中心將所述證書發(fā)送給所述證書管理模塊����;所述證書管理模塊將證書寫入所述用戶的USBKey �����;所述用戶向CAS發(fā)出登錄請求���;所述CAS向證書認(rèn)證模塊申請認(rèn)證�����;所述證書認(rèn)證模塊從所述USBKey中讀出證書信息��,并對用戶進(jìn)行認(rèn)證���;以及所述證書認(rèn)證模塊將認(rèn)證結(jié)果返回給所述CAS�����。
2.根據(jù)權(quán)利要求1所述的方法��,其特征在于����,所述USBKey中內(nèi)置單片機或智能卡芯片��,用于存儲所述用戶的私鑰以及所述證書信息���。
3.根據(jù)權(quán)利要求2所述的方法�,其特征在于��,所述USBKey中內(nèi)置公鑰算法,用于實現(xiàn)對所述用戶的身份認(rèn)證�。
4.一種單點登錄裝置,其特征在于���,包括:證書申請模塊����,用于通過證書管理模塊向CA中心申請證書�,其中,所述CA中心將所述證書發(fā)送給所述證書管理模塊���,所述證書管理模塊將證書寫入所述用戶的USBKey ���;登錄請求模塊��,用于向CAS發(fā)出登錄請求�,其中,所述CAS向證書認(rèn)證模塊申請認(rèn)證����;所述證書認(rèn)證模塊,用于從所述USBKey中讀出證書信息�,并將認(rèn)證結(jié)果返回給所述CAS�。
5.根據(jù)權(quán)利要求4所述的裝置����,其特征在于,所述USBKey中內(nèi)置單片機或智能卡芯片�,用于存儲所述用戶的私鑰以及所述證書信息。
6.根據(jù)權(quán)利要求5所述的裝置���,其特征在于�,所述USBKey中內(nèi)置公鑰算法�,用于實現(xiàn)對所述用戶的身份認(rèn)證。
【文檔編號】H04L9/32GK103701823SQ201310752424
【公開日】2014年4月2日 申請日期:2013年12月31日 優(yōu)先權(quán)日:2013年12月31日
【發(fā)明者】唐煥煥, 王軍林, 唐明, 徐博, 成書晟 申請人:曙光云計算技術(shù)有限公司