专利名称:单一认证授权管理系统及方法
技术领域:
本发明涉及一种认证授权技术,尤指一种多个应用系统的认证授权技术。
背景技术:
现有的Web服务登录解决方案是利用每个Web应用服务器对会话过程中用户信息的保存和客户端对Cookie的支持而达成的登录方案,其中Cookie是一种网络服务器传递给浏览器的信息。
用户在同一个浏览器第一次浏览其中任何一个Web服务器的时候,都需要输入一套该系统中存储的用户名和密码,导致两个明显的问题1.当一企业拥有多个应用系统时,由于每个系统都需要独立的一套用户名和密码数据,故系统工程师必须维护多套用户名和密码(包括修改用户名/密码和登录系统时的操作)。
2.由于不同Web应用服务之间的会话信息无法共享,用户在使用同一个浏览器每次首次登录一个网站时,必须重复地输入用户名和密码;而不论该用户名和密码是否是相同的或者该用户名和密码是否在同一个数据库中。
上述Web服务登录解决方案,其优点在于易于设计和实现,用户操作简单且得到大部分Web服务器的支持;缺点在于基于会话的安全性较低且无法在多个Web服务器之间实现统一认证授权后单一登录的功能。
台湾智慧财产局于2003年8月21日公告的公告编号为548592,名称为“应用程序单一登录系统与方法”的专利,其客户端计算机通过网络链接一应用程序服务器及一单一登录服务器。其中客户端计算机将应用程序登录信息登录帐号及登录密码送至单一登录服务器进行加密,然后单一登录服务器再将加密后的登录信息传送至客户端计算机,客户端计算机将其解密后,登录应用程序服务器,最后,客户端计算机再将登录信息传回单一登录服务器进行加密。
上述专利虽然安全性有所提高,但其单一登录服务器从本质意义上讲,只起到一个加密的作用,仍是无法解决在多个应用服务系统之间的统一认证授权,单一登录的功能。
针对先前技术的不足,急需解决多个应用服务系统的统一认证授权单一登录的问题。
发明内容首先对本发明中所涉及的相关术语说明如下。
Cookie,一条极为短小的信息,其能够被网站服务器自动地放置在一台计算机的硬盘中。通过Cookie网站服务器可以识别是否是第一次访问,或是再一次访问。
通用认证授权(UAAS)服务器是认证,授权和用户管理的入口。
重定向HTTP协议的重定向功能,每个Web网站服务器利用此项功能将每个用户的首次访问重定向到UAAS进行统一授权服务。
本发明的主要目的在于提供一种单一认证授权管理系统,其可以解决多个应用服务系统之间用户认证信息和用户授权信息整合的问题,实现用户登录一次即可访问多个应用服务系统的功能。
本发明揭露了一种单一认证授权管理系统。该系统包括有一UAAS服务器、多个网站服务器、多个客户端计算机。每个客户端计算机可通过网络登录到各个网站服务器浏览网页,其作为客户端应用程序的运行环境。多个网站服务器提供各类应用服务,如允许用户浏览某些网页内容,允许用户发表评论,对用户进行访问控制等。其连接有一网站服务器数据库,用于存储用户与网站服务器之间沟通的会话信息(Cookie)及用户的授权信息。其中客户端计算机利用一Cookie保存与一个网站服务器的会话信息,这一会话信息将会在不同网站之间浏览的过程中得到保留,例如网站服务器A的会话信息并不因为浏览了网站B后,再次回到网站服务器A时而丢失。所以,只要一次在UAAS服务器经过认证,就可以在会话信息中产生可供多次使用的认证信息。其中,认证信息是用户的身份标识,如正确的用户帐号和密码。UAAS服务器可集中对用户身份验证、集中授权对应用服务的访问及集中对用户进行管理,其包括有一认证装置和一授权装置,并连接有一数据库及一认证授权信息库。其中,认证装置用于对用户的身份认证;授权装置用于对用户进行授权,确认用户对应用系统的访问权限;数据库用于存储所有的用户群组及每一用户群组对多个网站服务器的访问权限,其中用户群组包括有管理员、普通用户等,每一用户群组拥有对每个网站服务器不同的访问权限;认证授权信息库用于存储认证信息及授权信息,其中认证信息包括用户帐号、用户密码,授权信息包括用户有效性身份验证及用户访问权限,其中有效性身份验证如用户数字证书及用户帐号及密码。
其中网站服务器还包括有一访问请求接收模块,用于接收客户端计算机发来的访问请求;一授权信息判断模块,用于网站服务器接收到一用户访问请求后,查询该网站服务器数据库,判断是否有该用户的授权信息;一重定向模块,用于将用户的访问请求重定向到UAAS服务器,包括重定向用户的认证请求;一授权信息接收模块,用于接收UAAS服务器发过来的用户的授权信息;一授权信息保存模块,用于将接收到的用户授权信息保存到网站服务器数据库中;一权限信息发送模块,用于将用户的访问权限发送到客户端计算机;一访问权限控制模块,用于网站服务器根据访问权限管控用户对网站的访问。
认证装置包括有一认证请求接收模块,用于接收网站服务器重定向过来的用户访问的认证请求;一认证信息判断模块,用于查询认证授权信息库,判断是否有该用户的认证信息,若有该用户的认证信息,则转到授权装置请求授权;一认证信息产生模块,用于当判断出没有该用户的认证信息后,为该用户产生认证信息;认证信息保存模块,用于将该认证信息保存在认证授权信息库中。
授权装置包括有一授权请求接收模块,用于接收认证装置转过来的授权请求;一访问权限产生模块,用于搜索数据库,查询该用户所属的用户群组,生成属于该用户的访问权限;一授权信息产生模块,用于产生该用户的授权信息;授权信息保存模块,用于将该授权信息保存在认证授权信息库中;一授权信息发送模块,用于将该授权信息发送到网站服务器数据库中。
本发明还提供一种单一认证授权管理方法。包括如下步骤(a)网站服务器接收客户端计算机发来的访问请求;(b)该网站服务器判断是否有该用户的授权信息,若有则转到步骤(i);(c)若没有该用户授权信息,则该网站服务器将访问请求重定向到UAAS服务器;(d)UAAS判断是否有该用户的认证信息,若没有则进行认证服务;(e)UAAS进行授权服务;(f)该网站服务器接收该用户的授权信息;(g)该网站服务器保存该授权信息;(h)该网站服务器发送该用户的访问权限到客户端计算机;(i)该网站服务器根据访问权限进行访问控制。
图1为本发明单一认证授权管理系统及方法的计算机网络架构图。
图2为本发明UAAS服务器功能架构图。
图3为本发明网站服务器的功能模块图。
图4为本发明认证装置的功能模块图。
图5为本发明授权装置的功能模块图。
图6为本发明单一认证授权管理系统的运作流程图。
图7为本发明认证装置的作业流程图。
图8为本发明授权装置的作业流程图。
具体实施方式在本实施例中,应用服务系统服务器以网站服务器为例。
参阅图1所示,是本发明单一认证授权管理系统的计算机网络架构图。分布式分布的多个客户端计算机1通过网络与多个网站服务器2及一UAAS服务器3相连。其中,客户端计算机1设置有浏览器,如Netscape Navigator或Microsoft Internet Explorer,可通过互联网登录到各个网站服务器浏览网页,其作为客户端应用程序的运行环境。
多个网站服务器2为提供不同类型服务的应用系统服务器,其中每个网站服务器2包括有一系列功能模块(如图3所示),用于完成由接收用户请求访问到根据其访问权限进行控制的功能。每一网站服务器2还通过数据库连接与一网站服务器数据库4相连。其中每个网站服务器数据库4用于存储用户访问该网站的授权信息,例如网站服务器A数据库存储的是用户对网站服务器A进行访问的授权信息,包括用户有效性身份验证及用户访问权限,其中有效性身份验证如用户数字证书及用户帐号及密码。
UAAS服务器3用于认证、授权和用户信息管理,包括有一认证装置及一授权装置(如图2所示)。其还通过数据库连接与一数据库5及一认证授权信息库6相连。其中数据库5用于存储所有的用户群组及每一用户群组对每个网站服务器的访问权限,其中用户群组包括有管理员、普通用户等,每一用户群组对每个网站服务器2拥有不同的访问权限;认证授权信息库6用于存储用户的认证信息及授权信息,其中认证信息包括用户帐号、用户密码,授权信息包括用户有效性身份验证及用户访问权限,其中有效性身份验证如用户数字证书及用户帐号及密码。
所述网络可以为企业内部网(Intranet)、互联网(Internet)或其它类型网络。所述数据库连接可为开放式数据库连接(Open DatabaseConnectivity,ODBC),或者Java数据库连接(Java DatabaseConnectivity,JDBC)。
参阅图2所示,是本发明所述的UAAS服务器3的功能架构图。该UAAS服务器3包括有一认证装置31、一授权装置32。其中认证装置31用于对用户进行身份认证,其包括有一系列功能模块图(如图4所示);授权装置32用于接收认证装置转来的授权请求,确认用户对应用系统的访问权限及发送用户的授权信息,其包括有一系列功能模块图(如图5所示)。
参阅图3所示,是本发明所述的网站服务器2的功能模块图。其包括有一访问请求接收模块21,用于接收客户端计算机1发来的访问请求;一授权信息判断模块22,用于查询网站服务器数据库4,判断是否有该用户的授权信息,该授权信息为存储于用户与网站服务器2的会话信息(Cookie)中;一重定向模块23,用于当授权信息判断模块判断出该用户没有该网站服务器2的授权信息时,将该用户的访问请求重定向到UAAS服务器3进行统一认证授权;一授权信息接收模块24,用于接收UAAS服务器3给该用户的授权信息;一授权信息保存模块25,用于将接收到的授权信息保存到网站服务器数据库4中;一权限信息发送模块26,用于将用户的访问权限发送到客户端计算机1;一访问权限控制模块27,用于网站服务器2根据用户的访问权限对用户的访问进行控制。
参阅图4所示,是本发明所述的认证装置31的功能模块图。其包括有一认证请求接收模块310,用于接收网站服务器2重定向过来的用户的认证请求;一认证信息判断模块311,用于查询认证授权信息库6,判断是否有该用户的认证信息,若有该用户的认证信息则转到授权装置32请求授权;一认证信息产生模块312,用于当判断出没有该用户的认证信息时,给该用户产生认证信息;一认证信息保存模块313,用于将认证信息保存于认证授权信息库6中。
参阅图5所示,是本发明所述的授权装置32的功能模块图。其包括有一授权请求接收模块321,用于接收认证装置31转过来的授权请求;一访问权限产生模块322,用于搜索数据库5,查询该用户所属的用户群组,生成属于该用户的访问权限;一授权信息产生模块323,用于给用户产生访问网站服务器2的授权信息;一授权信息保存模块324,用于将产生的授权信息保存于认证授权信息库6中;一授权信息发送模块325,用于将授权信息发送到网站服务器2。
参阅图6所示,是本发明单一认证授权管理系统的运作流程图。以网站服务器A为例。首先,网站服务器A通过访问请求接收模块21接收一客户端计算机1发出的访问请求,请求网站服务器A提供应用服务(步骤S601)。接着,授权信息判断模块22根据用户与网站服务器A之间的会话信息Cookie,搜索网站服务器A数据库4,判断是否有该用户的授权信息(步骤S602);若有则跳至步骤S607;若没有该用户的授权信息,则说明是该用户第一次访问网站服务器A,由重定向模块23将该用户的访问请求重定向到UAAS服务器3进行统一认证授权服务(步骤S603)。认证授权完毕,由授权信息接收模块24接收UAAS服务器3发来的授权信息用户有效性身份验证及用户的访问权限(步骤S604),并由授权信息保存模块25将其保存于网站服务器A的数据库中(步骤S605)。再由权限信息发送模块26将该用户的访问权限发送到客户端计算机1(步骤S606),用户根据该访问权限对网站服务器A进行访问。同时,网站服务器A通过访问权限控制模块27对该用户的访问进行控制(步骤S607)。
参阅图7所示,是本发明UAAS服务器3统一认证授权服务的认证装置31的作业流程图。首先,认证装置31通过认证请求接收模块310接收重定向模块23传送过来的用户认证请求(步骤S701)。然后由认证信息判断模块311查询认证授权信息库6,判断是否有该用户的认证信息(步骤S702),若有该用户的认证信息,则结束该认证流程,直接转到授权装置进行授权请求(如图8所示);若没有该用户的认证信息,则由认证信息产生模块312生成该用户的认证信息(步骤S703),并由认证信息保存模块313将其保存在认证授权信息库6中(步骤S704)。认证结束进入授权流程请求授权(如图8所示)。
参阅图8所示,是本发明UAAS服务器3统一认证授权服务的授权装置32之作业流程图。首先,由授权请求接收模块321接收认证装置31传过来的授权请求(步骤S801);然后由访问权限产生模块322搜索数据库5,查询该用户所属的用户群组,生成属于该用户的访问权限(步骤S802),再由授权信息产生模块323产生该用户的授权信息(步骤S803),最后,保存该用户的授权信息于认证授权信息库6中(步骤S804),由授权信息发送模块325将该授权信息发送到网站服务器A(步骤S805)。
权利要求
1.一种单一认证授权管理系统,其可应用于多个应用服务系统的统一认证授权,其特征在于,该系统包括有一通用认证授权服务器,透过网络相连接的多个客户端计算机及提供不同类型应用服务的多个应用系统服务器,其中通用认证授权服务器,其连结有一数据库及一认证授权信息库;应用系统服务器,其用于接收用户的访问请求,当判断出没有该用户的授权信息时,将该用户的访问请求重定向到通用认证授权服务器;所述通用认证授权服务器,其包括有一认证装置,用于接收用户身份认证请求及对用户进行身份认证及产生认证信息;一授权装置,用于接收认证装置传来的授权请求,确认用户对应用系统的访问权限,产生授权信息。
2.如权利要求1所述的单一认证授权管理系统,其特征在于,其中数据库用于存储所有的用户群组及每一用户群组拥有的访问权限。
3.如权利要求1所述的单一认证授权管理系统,其特征在于,其中认证授权信息库用于存储用户认证信息及用户授权信息。
4.如权利要求1所述的单一认证授权管理系统,其特征在于,其中认证信息指用户的身份标识。
5.如权利要求1所述的单一认证授权管理系统,其特征在于,其中授权信息指用户的有效性身份验证及用户访问权限。
6.如权利要求5所述的单一认证授权管理系统,其特征在于,其中有效性身份验证指用户数字证书及用户帐号及密码。
7.如权利要求1所述的单一认证授权管理系统,其特征在于,其中应用系统服务器包括有一访问请求接收模块,用于接收客户端计算机发来的访问请求;一授权信息判断模块,用于查询服务器数据库,判断是否有该用户的授权信息;一重定向模块,用于当授权信息判断模块判断出该用户没有该应用系统服务器的授权信息时,将该用户的访问重定向到通用认证授权服务器进行统一认证授权,形成认证信息及授权信息;一授权信息接收模块,用于接收通用认证授权服务器给该用户的授权信息;一授权信息保存模块,用于将接收到的授权信息保存到服务器数据库中;一权限发送模块,用于将用户的访问权限发送到客户端计算机;一访问权限控制模块,用于应用系统服务器根据用户的访问权限对用户的访问进行控制。
8.如权利要求1所述的单一认证授权管理系统,其特征在于,其中认证装置进一步包括一认证请求接收模块,用于接收应用系统服务器发来的用户的认证请求;一认证信息判断模块,用于查询认证授权信息库,判断是否有该用户的认证信息,若已有该用户的认证信息,则转入授权装置请求授权;一认证信息产生模块,用于产生该用户的认证信息;一认证信息保存模块,用于将产生的用户认证信息保存在认证授权信息库。
9.如权利要求1所述的单一认证授权管理系统,其特征在于,其中授权装置进一步包括一授权请求接收模块,用于接收认证装置转来的授权请求;一访问权限产生模块,用于搜索数据库,查询该用户所属的用户群组,生成属于该用户的访问权限;一授权信息产生模块,用于给用户产生访问应用系统服务器的授权信息;一授权信息保存模块,用于将产生的授权信息保存于认证授权信息库中;一授权信息发送模块,用于将授权信息发送到应用系统服务器。
10.如权利要求1所述的单一认证授权管理系统,其特征在于,其中该应用系统服务器为网站服务器。
11.如权利要求1所述的单一认证授权管理系统,其特征在于,其中该应用系统服务器为Client/Server架构的应用系统服务器。
12.一种单一认证授权管理方法,其适用于通过一通用认证授权服务器,在多个应用系统之间实现单一认证授权,其特征在于,该方法包括如下步骤应用系统服务器接收客户端计算机发来的服务请求;该应用系统服务器判断是否有该用户的授权信息;若没有该用户的授权信息,则将该用户的访问请求重定向到通用认证授权服务器,进行认证授权,生成认证信息及授权信息;该应用系统服务器接收并保存通用认证授权服务器对该用户的授权信息;该应用系统服务器发送授权信息给该用户;该应用系统服务器对该用户进行访问控制。
13.如权利要求12所述的单一认证授权管理方法,其特征在于,其中认证信息指用户帐号及用户密码。
14.如权利要求12所述的单一认证授权管理方法,其特征在于,其中授权信息指用户的有效性身份验证及用户访问权限。
15.如权利要求14所述的单一认证授权管理方法,其特征在于,其中有效性身份验证指用户数字证书及用户帐号及密码。
16.如权利要求12所述的单一认证授权管理方法,其特征在于,其中判断是否有该用户的授权信息尚包括一步骤若已经有该用户的授权信息,则该用户可直接访问该应用系统服务器。
17.如权利要求12所述的单一认证授权管理方法,其特征在于,其中在通用认证授权服务器进行统一认证授权包括认证过程和授权过程。
18.如权利要求17所述的单一认证授权管理方法,其特征在于,其中认证过程包括如下步骤通用认证授权服务器接收应用系统服务器发来的某用户的认证请求;该通用认证授权服务器查询认证授权信息库,判断是否有该用户的认证信息;若没有,则生成该用户的认证信息;该通用认证授权服务器保存该认证信息于认证授权信息库。
19.如权利要求18所述的单一认证授权管理方法,其特征在于,其中认证过程尚包括一步骤若认证授权信息库中已经有该用户的认证信息,则直接进入授权流程。
20.如权利要求17所述的单一认证授权管理方法,其中授权过程包括如下步骤通用认证授权服务器接收给用户授权的请求;该通用认证授权服务器产生该用户的访问权限;产生该用户的授权信息;该通用认证授权服务器保存该授权信息于认证授权信息库;该通用认证授权服务器发送该授权信息到应用系统服务器。
全文摘要
本发明揭露一种单一认证授权管理系统及方法。该系统包括有一通用认证授权服务器、多个不同服务类型的应用服务器、多个客户端计算机、一认证授权信息库及一数据库。本系统所完成的功能是提供一个统一的认证和授权服务接口,对用户进行集中式登记及进行用户身份验证;对已认证的用户,根据其访问权限对应用服务进行访问控制管理。本发明可实现多个应用系统在用户认证和授权方面的整合。
文档编号H04L9/32GK1627683SQ20031011255
公开日2005年6月15日 申请日期2003年12月9日 优先权日2003年12月9日
发明者李忠一, 叶建发, 谢跃书 申请人:鸿富锦精密工业(深圳)有限公司, 鸿海精密工业股份有限公司