专利名称:一种整合异构系统的单点登录系统及方法
技术领域:
本发明涉及登录应用系统的身份验证技术,更具体地说,涉及一种整合
Internet应用系统和Microsoft Windows应用系统的单点登录系统及方法。
背景技术:
在我国各行业计算机应用越来越广泛和深入的情况下,各个企业、事业单 位将会使用越来越多的系统。这些应用系统有些采用的是面向Internet的运行 方式,有些则是本地应用程序运行方式。为了保证各自系统的安全,很多应用 系统都采用了身份验证机制。而且随着客户安全意识的普遍提高,对身份验证 的需求也会越来越多,也就是未来采用身份验证技术的应用系统也会越来越 多。目前,普遍采用的身份验证技术是用户名和密码验证的机制。
由于各个应用系统之间在身份验证机制上相对独立,容易导致如下的问
题
1. 随着应用系统的逐步增多,导致用户在实际使用过程中不得不面对大量 的用户名和密码,为了更好地记住这些用户名密码,要么用户被迫使用简单易 记的密码,或者在多个系统中使用完全相同的密码,这种做法既降低了系统的 安全性,也增加了系统的安全隐患。
2. 因为各个应用程序的身份验证机制相对独立,导致管理员要在每一个系 统中管理一套账号,大大增加了系统管理的工作量。 一旦有人员变动,就需要 做大量的重复单调的工作,容易造成不必要的失误。
3. 很多单位已经正在使用或者己经使用了统一的单点认证机制,但是有些 很久的应用系统,随着时间的推移,已经失去了售后服务的技术支持,无法再 进行此类相关的改造,但是因为工作需要,仍然需要使用统一的认证服务。
基于以上原因,人们迫切需要一种能够横跨多种架构和平台,并且不受现
有应用系统售后支持制约的统一的单点登录认证平台,以单点登录认证机制来 提高工作效率,降低管理难度和强度,增强系统安全性。
发明内容
本发明要解决的技术问题在于,针对现有技术的上述缺陷,提供一种整合 异构系统的单点登录系统及方法,实现了不同应用系统之间的统一登录功能。
本发明解决其技术问题所采用的技术方案是构造一种整合异构系统的单 点登录系统,所述单点登录系统包括
登录信息存储模块,其包括数据库服务器和数据访问接口,所述数据服务 器用于集中存放相关的用户账号信息和应用程序关联信息,所述数据访问接口 用于提供统一的存储服务器的API接口 ;
登录模块,为实现统一登录的核心部件,其用于认证用户的合法性、启动 应用程序、传输登录信息并使用预设的登录逻辑来保证登录信息传输的准确 性,并提供用于与外部系统的整合的开放式标准功能接口 API;
维护工具模块,其用于实现对目标应用程序的登录信息分析和提取,并对
登录信息进行维护和管理。
在本发明所述的整合异构系统的单点登录系统中,所述登录模块具体包
括
用户认证模块,其用于实现用户登录单点登录系统的身份验证功能,并支 持自动登录的功能;
身份映射模块,其用于实现单点登录用户和应用程序之间的身份映射关 系,通过所述登录信息存储模块中获取相关信息,完成单点登录用户到应用系
统用户的登录信息对照检索;
程序启动模块,其用于根据注册到系统中的程序信息,自动区分异构应用
系统,并根据系统特性选择相应的登录策略模块启动相关的应用系统程序;
登录策略模块,其使用脚本对应用系统的登录进行检测和判断,并发送身
份信息到合适的位置,完成系统的登录过程。
在本发明所述的整合异构系统的单点登录系统中,所述维护工具模块具体
包括
应用程序分析模块,其用于对需要加入所述单点登录系统的应用系统的登 录过程进行监控和分析,并将提取相应的登录信息和逻辑信息保存到所述单点 登录系统中;
登录信息管理模块,其用于对系统中登记的身份验证信息和应用系统的关 联关系进行维护和管理。
在本发明所述的整合异构系统的单点登录系统中,所述单点登录系统用于 整合面向Internet应用系统和Microsoft Windows桌面应用系统模式下不同系统 的统一登录。
本发明还同时公开了一种整合异构系统的单点登录系统的方法,提供一个 统一的单点登录平台,该方法包括下列步骤
a. 将登录所述单点登录平台的用户登录信息与登录其它应用系统中的用 户登录信息建立关联关系;
b. 所述单点登录平台根据预先定义的关联关系,启动需要登录的所述其 它应用系统程序,并由所述其它应用系统程序对所述步骤a中建立的关联关系 进行验证;
c. 若验证通过,成功登录到其它应用系统。
在本发明所述的整合异构系统的单点登录方法中,所述步骤a进一步包
括
al.将登录所述单点登录平台的用户名和密码与需要登录其它应用系统中 的登录帐号和密码发送给单点登录服务器;
a2.所述单点登录服务器根据登录所述单点登录平台的用户名和其它应用
系统中的登录帐号和密码建立关联关系,同时存储该用户登录到所述其它应用 系统中的登录帐号和密码信息。
在本发明所述的整合异构系统的单点登录方法中,所述其它应用系统包括 面向Internet应用系统和Microsoft Windows桌面应用系统。
实施本发明所述整合异构系统的单点登录系统及方法,采用通过单点登录 系统即可访问该单点登录系统涵盖范围内的所有应用系统,而不需要在每次使
用具体应用系统的时候都进行一次登录,因此具有以下效果
1、 非侵入式连接面向Internet的应用系统和面向Windows的应用系统,
原有系统无需任何改变就可以实现单点登录功能。
2、 采用独立研发的技术管理单点登录的用户登录信息,并提供标准统一 的应用程序接口 (Application Program Interface,简称API)存储接口以便进行 集中、统一访问和管理。
3、 采用登录策略来适应不同的应用系统和不同的登录方式。
4、 统一的身份验证和管理,降低管理成本。
下面将结合附图及实施例对本发明作进一步说明,附图中-
图1是本发明所述整合异构系统的单点登录系统的示意图2是本发明所述整合异构系统的单点登录方法的工作过程示意图3是本发明所述整合异构系统的单点登录系统的结构图4是本发明所述整合异构系统的单点登录系统的原理图5是本发明所述整合异构系统的单点登录系统的应用示意图。
具体实施例方式
如图l、图4所示, 一种整合异构系统的单点登录系统,包括登录信息存 储模块、登录模块和维护工具模块三个部分。
登录信息存储模块包括一个数据库服务器和数据访问接口。其中,数据库 服务器用于集中存放相关的用户帐号信息和应用程序关联信息;数据访问接口 提供统一的存储服务器的应用程序接口 (Application Program Interface,简称 API)。
登录模块是实现统一登录的核心部件,其用于认证用户的合法性、启动应 用程序、传输登录信息,并使用预设的登录逻辑来保证登录信息传输的准确性; 同时提供开放的标准的功能接口 API,以便与外部系统的整合。登录模块具体 又包括用户认证模块、身份映射模块、程序启动模块以及登录策略模块。其中,用户认证模块主要是实现用户登录单点登录系统的身份验证功能, 其支持自动登录功能。身份映射模块主要是实现单点登录用户和应用系统之间 的身份映射关系,通过登录信息存储模块中获取相关信息,完成单点登录用户 到应用系统用户的登录信息对照检索。程序启动模块根据注册到系统中的程序
信息,自动区分面向Internet的应用系统和面向Windows桌面应用系统,并根 据系统特性在登录策略模块中选择相应的登录策略后,启动相关的应用系统程 序。登录策略模块使用脚本对应系统的登录进行检测和判断,并发送身份信息 到合适的位置,完成系统的登录过程。
维护工具模块具体包括应用程序分析模块和登录信息管理模块。其中,
应用程序分析模块主要是对需要加入单点登录系统的应用系统的登录过程进 行监控和分析,并且将提取相应的登录信息和逻辑信息保存到单点登录系统 中。登录信息管理模块主要是对系统中登记的身份验证信息和应用系统的关联 关系进行维护和管理。
由此可知,在单点登录模块的管理下,用户在进行单点登录之后,通过单 点登录模块启动现有的异构系统程序,并在单点登录模块和应用程序之间传递 经过映射之后的登录信息,实现应用程序的本地登录。
需要说明的是本发明所述单点登录是指用户使用一个用户名和密码登录 一次,就可以访问在该单一登录系统涵盖范围内的所有应用系统,而不需要在 每次使用具体应用系统的时候都进行一次登录。下面就本发明所述整合异构系 统的单点登录的方法流程进行说明。
如图2、图3、图5所示, 一种整合异构系统的单点登录的方法,包括下
列步骤
首先,用户使用用户名Ua和密码Pa登录单点登录平台,将用户在面向 其他应用系统(例如面向Internet的应用系统WEBb和面向Windows桌面 应用系统WINb)的登录帐号Ub和密码Pb提供给单点登录服务器。
其次,单点登录服务器根据用户信息Ua和面向其他应用系统(例如-WEBb或WINb)建立关联关系(Ua, WEBb/WINb, Ub, Pb),同时存储该 用户在面向其他应用系统中的登录帐号和密码信息。
最后,用户通过单点登录平台启动面向其他应用系统程序(例如WEBb
或WINb),并根据预先定义的关联关系,单点登录平台将登录帐号Ub和密码 Pb提交给所启动的其他应用系统程序(例如WEBb或WINb)进行验证,即 实现单点登录用户到应用程序用户的身份映射关系。验证通过后,用户就可以 通过单点登录平台登录到其他应用系统(例如,可以登录到Internet应用系统 或Window应用系统)中。
此外,本发明提出的一种整合异构系统的单点登录方法基于独立研发的程 序调用接口定义(Single Sign-on Application Programming Interface, 简称 SSOAPI)和密码传输技术(Single Sign-on Information Transfer,简称SSIT)。
SSOAPI是系统对外开放的功能接口定义。通过统一的定义接口,所有的 外部程序可以加入并使用单点登录的全部功能,实现和单点登录系统的无缝结 合。本发明采用基于SSOAPI的接口定义,将异构的不同系统的用户信息和登 录策略统一组织和管理,如用户的登录信息、单点登录用户和应用系统本地用 户之间的帐户映射策略、不同应用系统的登录策略、不同应用系统的帐户管理 策略等等,为统一的身份认证提供了基本的框架,同时也解决了太多登录帐户 带来的管理问题。
SSIT是本发明为了解决单一登录平台和各种异构平台的应用程序之间正 确传输登录信息所采用的技术。SSIT脚本是本发明为了支持SSIT应用于不同 应用系统登录策略而定义的一种函数式的脚本语言,具有强大的描述能力、良 好的代码可阅读性和可扩展性。
虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多 变形和变化而不脱离本发明的精神,本发明的申请文件的权利要求包括这些变 形和变化。
权利要求
1、一种整合异构系统的单点登录系统,其特征在于,所述单点登录系统包括登录信息存储模块,其包括数据库服务器和数据访问接口,所述数据服务器用于集中存放相关的用户账号信息和应用程序关联信息,所述数据访问接口用于提供统一的存储服务器的应用程序接口;登录模块,为实现统一登录的核心部件,其用于认证用户的合法性、启动应用程序、传输登录信息并使用预设的登录逻辑来保证登录信息传输的准确性,并提供用于与外部系统的整合的开放式标准功能接口;维护工具模块,其用于实现对目标应用程序的登录信息分析和提取,并对登录信息进行维护和管理。
2、 根据权利要求1所述的整合异构系统的单点登录系统,其特征在于,所述登录模块具体包括用户认证模块,其用于实现用户登录单点登录系统的身份验证功能,并支持自动登录的功能;身份映射模块,其用于实现单点登录用户和应用程序之间的身份映射关 系,通过所述登录信息存储模块中获取相关信息,完成单点登录用户到应用系 统用户的登录信息对照检索;程序启动模块,其用于根据注册到系统中的程序信息,自动区分异构应用 系统,并根据系统特性选择相应的登录策略模块启动相关的应用系统程序;登录策略模块,其使用脚本对应用系统的登录进行检测和判断,并发送身 份信息到合适的位置,完成系统的登录过程。
3、 根据权利要求1或2所述的整合异构系统的单点登录系统,其特征在于,所述维护工具模块具体包括应用程序分析模块,其用于对需要加入所述单点登录系统的应用系统的登 录过程进行监控和分析,并将提取相应的登录信息和逻辑信息保存到所述单点登录系统中; 登录信息管理模块,其用于对系统中登记的身份验证信息和应用系统的关 联关系进行维护和管理。
4、 根据权利要求3所述的整合异构系统的单点登录系统,其特征在于, 所述单点登录系统用于整合面向Internet应用系统和Microsoft Windows桌面应 用系统模式下不同系统的统一登录。
5、 一种整合异构系统的单点登录系统的方法,其特征在于,提供一个统 一的单点登录平台,该方法包括下列步骤a. 将登录所述单点登录平台的用户登录信息与登录其它应用系统中的用 户登录信息建立关联关系;b. 所述单点登录平台根据预先定义的关联关系,启动需要登录的所述其 它应用系统程序,并由所述其它应用系统程序对所述步骤a中建立的关联关系 进行验证;c. 若验证通过,成功登录到其它应用系统。
6、 根据权利要求5所述的整合异构系统的单点登录系统的方法,其特征 在于,所述步骤a进一步包括al.将登录所述单点登录平台的用户名和密码与需要登录其它应用系统中 的登录帐号和密码发送给单点登录服务器;a2.所述单点登录服务器根据登录所述单点登录平台的用户名和其它应用 系统中的登录帐号和密码建立关联关系,同时存储该用户登录到所述其它应用 系统中的登录帐号和密码信息。
7、 根据权利要求5或6所述的整合异构系统的单点登录系统的方法,其特征在于,所述其它应用系统包括面向Internet应用系统和Microsoft Windows桌面应用系统。
全文摘要
本发明涉及一种整合异构系统的单点登录系统,所述单点登录系统包括登录信息存储模块,其包括数据库服务器和数据访问接口,所述数据服务器用于集中存放相关的用户账号信息和应用程序关联信息,所述数据访问接口用于提供统一的存储服务器的API接口;登录模块,为实现统一登录的核心部件,其用于认证用户的合法性、启动应用程序、传输登录信息并使用预设的登录逻辑来保证登录信息传输的准确性,并提供用于与外部系统的整合的开放式标准功能接口;维护工具模块,其用于实现对目标应用程序的登录信息分析和提取,并对登录信息进行维护和管理。有利于对用户进行集中、统一访问和管理,降低管理成本。
文档编号H04L12/28GK101193027SQ200610157138
公开日2008年6月4日 申请日期2006年11月28日 优先权日2006年11月28日
发明者张敬平, 蒋建波, 连樟文 申请人:深圳市永兴元科技有限公司