专利名称:在门户/系统之间实现单点登录的方法及其系统的制作方法
技术领域:
本发明涉及互联网及移动互联网的用户门户/系统(Portal)的登录方法及其系统,更具体地,本发明涉及在不同门户/系统之间实现单点登录的方法及系统,其中,用户在登录一个门户/系统后,无须再次进行登录操作,就可以访问其它门户/系统。
背景技术:
单点登录(SSOSingle Sign On)技术主要用于实现“单点登陆、一网通行”,例如,用户登陆某一门户/系统后,在门户/系统中点击某一其它链接,则重定向到其它系统,此时通过SSO接口,可以避免用户再次输入帐号/密码来进行再次登陆。即,用户只要在门户/系统中登陆一次,就可以通过该门户/系统访问所有实现SSO的其它相关授权系统。
目前实现SSO的技术主要有两种一种是利用自动化登录技术来屏蔽用户登录不同系统的过程;一种是采用具有SSO功能的协议来完成。无论采用上述技术中的哪一种技术来实现SSO,都需要完成一个共同的过程,即,最初的登录过程。
第一种现有技术采用自动化登录技术,即,屏蔽用户登录目标系统的过程。其中,用户在最初使用目标系统的时候,需要输入用户名和口令(或者其它认证方式),之后,当用户通过该目标系统访问其它系统时,该自动化技术能够通过一些脚本自动为用户输入口令和用户名,而整个登录过程用户不参与。这种方式对目标系统较为透明,能够通过客户端脚本语言(如javascript、vbscript等)完成对绝大多数目标系统的登录过程。但是登录脚本的编写比较复杂,同时对客户端浏览器有一定要求,例如,需要其支持Cookie(由web服务器创建的并存储在客户端本地的文本信息称之为Cookie)。在移动互联网中,由于手机浏览器目前实现支持Cookie的能力不一致,因此,大多数手机还不能完全支持Cookie。而且由于Cookie数据放在客户端,用户终端本地的其它程序可以读取所述Cookie数据,因此,这种布置安全性比较差。
第二种技术采用具有SSO功能的网络协议。例如,典型的具有SSO功能的网络协议是Kerberos协议。通过Kerberos协议,能够采用票据(ticket-granting ticket)方式来访问多个目标系统,其中,在由认证服务器认证用户之后,服务器为用户产生一张票,用户可以凭借这张票来访问所有授权的系统。这种技术是目前普遍采用的一种单点登录技术。例如,采用所述技术的示例性系统如图1所示。
但是,第二种技术也具有缺点。该技术需要对目标系统或目标服务进行Kerberos化,即需要系统支持Kerberos协议。这限制所述技术对一些封闭系统的应用(例如,网络设备上的应用)。例如,目前在很多网络设备上都不支持Kerberos认证,并且由于Kerberos协议中的消息无法穿透防火墙,因此,这些限制条件就限制了Kerberos协议往往只能应用于一个组织的内部。然而,许多门户/系统是提供给公网上的广大用户进行访问的,这其中必然涉及到防火墙。如果SSO协议无法穿透防火墙,则其应用的范围明显受到限制。
因此,需要一种新的技术方案来解决上述现有技术中的问题。
发明内容
为了解决上述问题,本发明设计了一种用于单点登录的技术。
根据本发明的第一方面,提供了一种用于在门户之间实现单点登录的方法,包括以下步骤第一门户对用户进行验证并建立与用户的第一会话;用户在第一门户中点击对第二门户的访问链接;第一门户产生包含用户身份认证信息的第一消息,并将该第一消息传递给第二门户;以及第二门户根据第一消息中的用户身份认证信息确定该用户已经被验证,并建立与该用户的第二会话以允许该用户访问第二门户。
在本发明的第一方面的一个实施例中,所述方法还包括以下步骤如果用户在访问第一门户之前访问第二门户,则第二门户将重定向到第一门户来验证所述用户。
在本发明的第一方面的另一个实施例中,所述方法还包括以下步骤第二门户在第一会话的生存周期内发送会话保持消息给第一门户以维持第一会话。
在本发明的第一方面的另一个实施例中,所述方法还包括以下步骤采用DES算法和MD5算法来对第一消息进行加密和解密。
在本发明的第一方面的另一个实施例中,所述方法还包括以下步骤第一门户通过用户名和密码来验证所述用户。
在本发明的第一方面的另一个实施例中,所述方法还包括以下步骤第一门户通过用户的MSISDN来验证所述用户。
在本发明的第一方面的另一个实施例中,所述第一消息是以HTTP协议格式的。
根据本发明的第二方面,提供了一种用于在门户之间实现单点登录的系统,包括第一门户,其被配置成对用户进行验证,建立与该用户的用户终端的第一会话,产生包含用户身份认证信息的第一消息,并将该第一消息传递给第二门户;第二门户,其被配置成根据第一消息中的用户身份认证信息确定该用户已经被验证,并建立与该用户的用户终端的第二会话以允许该用户访问第二门户;以及用户终端,其被配置成访问所述门户。
在本发明的第二方面的一个实施例中,第二门户还被配置成在用户在访问第一门户之前访问第二门户的情况下重定向到第一门户,以便让第一门户验证所述用户。
在本发明的第二方面的另一个实施例中,第二门户还被配置成在第一会话的生存周期内发送会话保持消息给第一门户,以便维持第一会话。
在本发明的第二方面的另一个实施例中,第一门户被配置成采用DES算法和MD5算法来对第一消息进行加密,以及第二门户被配置成采用DES算法和MD5算法来对第一消息进行解密。
在本发明的第二方面的另一个实施例中,第一门户还被配置成通过用户名和密码来验证所述用户。
在本发明的第二方面的另一个实施例中,第一门户还被配置成通过用户的MSISDN来验证所述用户。
在本发明的第二方面的另一个实施例中,所述第一消息是以HTTP协议格式的。
根据本发明的技术方案具有广泛的适用性。本发明的技术方案与现有技术不同。在根据本发明的技术方案中,用户在门户网站进行认证之后,认证的结果信息保存在后台(例如第一门户)中,并在第一门户中实现对其它门户的登录;而在现有技术中,Coockie和票据都是保存在用户终端中的,并且每次登录都是从终端直接向目标系统登录。由于所有控制逻辑都在后台执行,即,在第一门户中执行对其它门户的访问认证,因此,根据本发明的技术方案对于用户终端没有特殊要求,其可以适用于互联网以及移动互联网应用。另外,根据本发明的SSO消息采用公知的标准通信协议,例如HTTP协议,因此,其可以穿透防火墙,从而能够在公共网络上应用本发明。因此,根据本发明的技术方法的设备支持程度高。
另外,根据本发明的技术方案,通过定时发送会话保持信息,可以使得在用户访问其它门户期间,其在第一门户中的会话一直处于激活状态,此时用户在其它门户中的会话也是激活的,这样用户就可以任意访问各个门户,而不需要多次认证。
此外,根据本发明的技术方案还具有很高的安全性。在根据本发明的技术方案中,用户认证信息保存在系统的后台,并采用加密协议,例如MD5、DES(Data Encryption Standard)等来对所传递的消息进行加密,从而保证了用户信息的安全。
此外,由于采用现有的通信协议以及加密算法,并且只要能够传递SSO消息,就能够实现本发明的技术方案,因此,根据本发明的技术方案实现简单。
参照附图,根据下面的详细描述,可以更加清楚地理解本发明,其中图1是根据现有技术的示例性单点登录系统的示意图。
图2是根据本发明的多个门户/系统的总体系统架构。
图3描述了根据本发明的用户会话保持的过程。
图4是示出根据本发明的一个实施例的单点登录方法的流程图。
图5是示出根据本发明的另一个实施例的单点登录方法的流程图。
具体事实方式为了简明和清楚起见,附图中的单元不必按照比例来进行绘制,并且在不同附图中,相同参考标记表示相同的单元。此外,为了描述的简明以及不会在不必要的方面使得本发明模糊,而省略了关于公知步骤和单元的描述和细节。
本领域的普通技术人员应该明白,前面的一般描述和下面的详细描述是对发明进行举例和说明的,而不是为了对本发明进行限制的。
下面通过例子来说明本发明的技术方案。
根据本发明的SSO单点登录方法是基于公知的国际标准协议的,其采用门户/系统之间的用户会话(Session)的方式,实现不同门户/系统之间的单点登录,并保持用户在上述门户/系统中的激活状态。
根据本发明的方法实现的单点登录是完全通过由门户/系统来实现的,对于用户的客户端浏览器无任何额外的要求。而且,门户/系统之间的消息格式采用公知的国际标准协议,这样使得对设备的支持程度很高。另外,利用现有的、成熟的算法来对消息内容进行加密,从而令根据本发明的系统实现变得容易。另外,本发明还可以应用在互联网和移动互联网等领域,从而真正实现互联网与移动互联网业务的融合。
在图2中示出了根据本发明的多个门户/系统的总体系统架构,所述总体系统本架构用于构建根据本发明的SSO系统。如图2所示,在一个实施例中,根据本发明的系统包括用户终端、门户A和门户B。其中,用户终端首先访问门户A,并随后通过门户A访问门户B。为了说明的简单而仅示出了门户B,本领域的普通技术人员应当理解,根据本发明的系统还可以包括多个与门户B类似的其它门户,其中,用户终端可以通过门户A来访问所述其它门户。
根据本发明的系统中的网络实体及其功能如下。
门户A用户首先进行访问的门户系统,其为用户提供身份认证功能,并产生SSO消息。其它门户系统从门户A获取用户身份信息。门户A是网络内所有其它门户/系统的认证入口门户。在互联网环境下,门户A提供用户登录界面,在移动互联网环境下,门户A可以提供后台隐式登录。门户A根据用户UserID产生SSO消息,并采用DES加密算法对UserID进行加密,以防止用户信息在传输过程中泄露。门户A在将所有SSO消息的系统应用字段进行MD5摘要计算之后再传递给门户B,以防止用户信息在消息传递过程中被篡改。
门户B用户通过门户A访问的其它门户系统。门户B通过SSO接口从门户A获取用户身份信息,避免用户再次登录,从而给用户单点登录全网通行的良好体验。如果用户首先访问的是门户B,此时门户B不能从门户A获取用户身份信息,则门户B会调用门户A的登录界面,以让用户进行登录。门户B从门户A获取到SSO消息,并对所有SSO消息的系统应用字段进行MD5摘要计算,以判断其中的数据是否被篡改过,并对SSO消息的系统应用字段进行DES解密,以提取出其中的所有数据。
用户终端用户访问系统所使用的客户端。例如,在互联网情况下是用户电脑中的浏览器,以及在移动互联网情况下是用户手机中的WAP浏览器。例如,在移动互联网中,用户终端会携带用户用户身份信息。
其中,UserID用于表明用户的身份信息,在互联网环境下是用户手工输入的注册帐号,以及在移动互联网情况下是用户终端浏览器中携带的MSISDN号码。会话A是用户在门户A中产生的会话,其表明用户已经登录并访问门户A。会话B是用户在门户B中产生的会话,其表明用户已经登录并访问门户B。
下面将参照图2来说明根据本发明的方法的主要流程。根据本发明的方法的流程如下。
1.用户访问门户/系统(以下简称为门户)A,门户A在收到用户访问请求后对用户进行验证,产生用户会话A。
2.用户通过在门户A中点击到门户B的链接来访问门户B。门户A产生SSO消息,其中,该SSO消息内包含有经加密的用户身份认证信息。门户A将所述SSO消息传递给门户B。
3.门户B根据所述SSO消息来获取用户的身份信息。如果门户B能够成功地获取用户身份信息,则在门户B内产生用户的会话B。可选地,在一个实施例中,如果门户B不能够成功地获取用户身份信息,则这表明用户尚未在门户A中进行登录,例如,用户在尚未在门户A中进行登录的情况下访问门户B。在这种情况下,门户B可以通过门户A提示用户进行系统登录。
4.当在门户B内产生用户会话B之后,用户就可以不必再次登录而直接访问门户B了。
5.用户在访问门户B时,门户B的系统后台定时向门户A发送会话保持消息,以使得用户在门户A中的会话A的生命周期得以延续。
综上所述,本方法通过在多个系统中采用SSO消息和通用加密算法的方式,使用户在多个系统中的会话相关联,并对相关联的会话进行声明周期的管理,从而实现了以下过程用户在登录一个系统之后可以访问其它授权的相关系统而无需重新登录。
根据本发明的技术方案具有以下优点1.对用户终端没有特殊的限制要求。在根据本发明的技术方案中,所有控制逻辑都在系统后台实现,即,用户在门户网站(门户A)中进行认证之后,认证的信息被保存在系统的后台中,即,门户A中,并且在门户A中实现对其它门户的登录。而在现有技术中,Coockie和票据等都是保存在终端中的,并且每次登录都是从终端直接向目标系统登录。因此,这样根据本发明的技术即能适用于互联网门户/系统系统,也适用于移动互联网(WAP)门户/系统系统。
2.SSO消息可以在多个系统间传递,这样只需一个系统实现了用户认证,其它系统不需要实现用户认证,只要获取到用户SSO消息即可。降低了对系统的要求,减少系统成本。
3.系统间的SSO消息传递采用目前广为采用的国际标准协议HTTP,可以很好的穿透防火墙,从而可以应用在提供公网服务的门户/系统上。
4.SSO消息采用在通讯系统中广泛使用的DES加密算法与MD5摘要技术,该算法拥有极强的安全性,并且算法应用成熟,这样就增加了系统数据在传播途径中的安全性。
门户A收到用户的HTTP请求后,根据用户信息生成SSO消息,所述SSO消息的参数格式可以采用XML形式。下面示出了SSO消息的参数格式的一个例子<?xml version=“1.0”?>
<SSOMessage version=”1.0”>
<SSOParas>
<SessionID>SessionA</SessionID>
<MSISDN>MSISDN</MSISDN>
<EchoURL>EchoURL</EchoURL>
<Timeout>Timeout</Timeout>
<TimeStamp>YYMMDDHHMMSS</TimeStamp>
<Authenticator>Authenticator</Authenticator>
</SSOParas>
</SSOMessage>
其中,对所述消息参数进行说明如下
表1
用户会话保持当用户在门户A与门户B分别产生会话A和会话B之后,由于会话具有一定的时效性,即,如果会话A的有效期为T1分钟,则经过了T1分钟之后,如果用户不继续访问门户A,则会话A将自动结束。为了防止在用户继续访问门户B时,用户在门户A的会话A结束,需要门户B定时向门户A发送会话保持消息。
门户B向门户A请求保持会话时所采用的目标URL为http://EchoURL?SessionID=session id。
其中,参数EchoURL表示门户A接收会话保持消息的URL,此URL由门户A提供,门户B向这个URL发送会话保持消息。参数sessionid是SessionA。
下面参照图3具体描述根据本发明的用户会话保持的过程,其中,假设已经在门户A和门户B中分别建立会话A和会话B。
1)门户B定时发送会话保持消息给门户A,其中,发送的时间间隔不得大于T1分钟。在门户B所发送的消息中,采取一定的措施来保护门户B的数据,例如,门户B采用MD5算法对消息内的数据进行摘要计算,以防止消息在传输过程中被修改。
2)门户A接收到会话保持消息后,首先对消息中的数据进行MD5摘要计算,并与传过来的摘要进行对比,以检查数据在传送过程中是否被修改。如果检查结果表明数据正确,则门户A会根据请求中的sessionid参数对用户会话SessionA进行延迟,然后向门户B发出消息响应。
当在实际应用系统中使用本发明方法时,将会涉及到以下两种情况,具体如下1.用户首先登录门户A,然后访问其它系统;2.用户尚未登录过门户A,直接访问其它系统。
下面结合图4和5,通过示例性的实施例,针对上面所述的两种情况进行讨论。其中,为了说明的简单起见,假设系统中存在两个门户(门户A和门户B)。但是,本领域普通技术人员应当理解,根据本发明的系统不限于仅包括两个门户,而是可以根据需要包括多个门户。
示例1用户首先登录门户A,然后访问其它系统在这个示例性的实施例中,用户先访问门户A,在门户A产生会话信息,然后用户访问门户B,门户A通过传递SSO消息使门户B获取用户身份信息,从而实现单点登录。下面参照图4具体描述所述过程。
1)用户首先访问门户A系统。在互联网应用的情况下,用户可以手工输入UserID和密码进行登录。另外,在移动互联网应用的情况下,门户A在HTTP访问请求的头部中检取用户MSISDN作为UserID,然后自动在后台进行登录。
2)门户A调用后台数据对用户身份进行合法性认证。如果所述认证成功,则在门户A系统中产生用户会话SessionA。
3)如果经过认证,用户为合法用户,则在用户终端出现门户/系统的相应页面,例如门户A的首页。
4)用户在门户A的页面中点击到门户B的链接。
5)门户A根据用户身份信息生成SSOMessage消息。
门户A可以首先采用DES加密算法对包括UserID、SessionA在内的所有数据进行加密,然后对SSO消息中的所有系统应用字段进行MD5摘要计算,并把摘要数据也放入SSO消息中。
6)门户A将SSO消息传递给门户B。
7)门户B对SSOMessage消息进行解析。门户B首先对SSO消息中的所有系统应用字段进行MD5摘要计算,然后,将计算的结果与SSO消息中的摘要进行比较。如果比较结果一致,则这说明所接收的数据没有被篡改,如果比较结果不一致,则这说明所接收的数据是错误的或者已经被篡改了。然后,门户B根据与门户A事先达成一致的密钥(ShareKey)对SSO消息中的系统应用字段进行DES解密,从而得到用户身份信息。在这种情况下,门户B可以得知用户已经通过门户A的身份认证,即,该用户是合法用户。接着,门户B为该用户产生会话SessionB。
8)门户B返回SSO响应消息给门户A,该SSO响应消息中包含用户在门户B中产生的会话SessionB。
9)本领域的普通技术人员可以知道,在某些情况下,可能会由于某些原因而导致SSO响应消息失败。
10)如果返回SSO响应消息失败,则门户A给用户返回相应的失败提示页面。
11)返回SSO响应消息成功。
12)如果返回SSO响应消息成功,则门户A发起页面重定向操作。
13)门户A将用户终端页面重定向到门户B,并自动发起对门户B页面的访问请求。
14)门户B为用户终端返回相应的访问页面。
示例2用户尚未登录过门户A,而直接访问其它系统用户首先访问门户B,如果用户事先没有进行过登录,则门户B通知门户A让用户进行登录。在互联网环境下,门户A在用户终端弹出登录页面让用户进行登录。另外,在移动互联网环境下,门户A可以自动获取UserID(用户MSISDN)并在后台进行用户登录。然后,门户A通过传递SSO消息使门户B获取用户身份信息,以实现单点登录。
下面参照图5具体描述所述过程。
1)用户通过用户终端直接访问门户B系统。
2)门户B判断用户是否已经登录。如果门户B中已经包含有用户身份信息,则这表明用户已经通过认证,可以继续进行访问。
3)如果门户B系统中没有用户身份信息,则这表明用户没有进行过登录,需要对用户进行认证。于是,门户B将用户终端页面重定向到门户A登录页面。在进行重定向时以BackUrl代表用户在门户B的访问位置。
4)用户访问经重定向的门户A登录页面。
5)在互联网环境下,门户A返回用户终端登录页面。另外,在移动互联网环境下,门户A不需要显示登录页面,可以直接从HTTP请求的头部获取用户MSISDN作为UserID。
6)在互联网环境下,用户手工输入UserID和密码,以便向门户A进行登录。在移动互联网环境下,门户A可以自动在后台进行登录。
7)门户A调用后台数据对用户身份进行合法性认证。如果认证成功,则在门户A中产生用户会话SessionA。
8)如果门户A对用户的身份认证没有成功,则返回错误提示页面给用户终端。
9)门户A根据用户身份信息生成SSOMessage消息。
门户A首先采用DES加密算法对包括UserID、SessionA在内的所有数据进行加密,然后对SSO消息中的所有系统应用字段进行MD5摘要计算,并把摘要数据也放入SSO消息中。
10)门户A将SSO消息传递给门户B。
11)门户B对接收的SSOMessage消息进行解析。门户B首先对SSO消息中的所有系统应用字段进行MD5摘要计算,然后将计算结果与SSO消息中的摘要进行比较。如果比较结果一致,则这说明所接收的数据没有被篡改;如果比较结果不一致,则这说明所接收的数据是错误的或者已经被篡改了。然后,根据与门户A事先达成一致的密钥(ShareKey)对SSO消息中的系统应用字段进行DES解密,从而得到用户身份信息。在这种情况下,门户B可以得知用户已经通过门户A的身份认证,即,该用户是合法用户。接着,门户B为该用户产生会话SessionB。
12)门户B返回SSO响应消息给门户A,该SSO响应消息中包含用户在门户B中产生的会话SessionB。
13)门户A根据参数BackURL发起页面重定向操作。
14)门户A将用户终端页面重定向到门户B的BackUrl,以继续进行用户先前对门户B页面的访问请求。
15)门户B为用户终端返回相应的访问页面。
可以通过各种方式来实现本发明的方法及系统。例如,可以通过软件、硬件、固件以及其任意组合来实现本发明的方法及系统。上面描述方法步骤的顺序仅是为了说明性的目的而采用的,除非明确的说明,否则,本发明的方法的步骤不限于上面具体描述的顺序。另外,在某些实施例中,本发明还可以体现为在记录介质上所记录的程序,其包括用于实现根据本发明的方法的机器可读指令。
尽管上面已经通过例子对本发明的特定实施例进行了详细描述,但是,本领域的普通技术人员应当理解,上述例子仅是说明性的而并非是对本发明的限制。本领域的普通技术人员应当明白,在不脱离本发明的精神和范围的情况下,可以对上述实施例做出修改。本发明的范围由所附的权利要求来限定。
权利要求
1.一种用于在门户之间实现单点登录的方法,包括以下步骤第一门户对用户进行验证并建立与用户的第一会话;用户在第一门户中点击对第二门户的访问链接;第一门户产生包含用户身份认证信息的第一消息,并将该第一消息传递给第二门户;以及第二门户根据第一消息中的用户身份认证信息确定该用户已经被验证,并建立与该用户的第二会话以允许该用户访问第二门户。
2.根据权利要求1所述的方法,还包括以下步骤如果用户在访问第一门户之前访问第二门户,则第二门户将重定向到第一门户来验证所述用户。
3.根据权利要求1所述的方法,还包括以下步骤第二门户在第一会话的生存周期内发送会话保持消息给第一门户以维持第一会话。
4.根据权利要求1所述的方法,还包括以下步骤采用DES算法和MD5算法来对第一消息进行加密和解密。
5.根据权利要求1所述的方法,还包括以下步骤第一门户通过用户名和密码来验证所述用户。
6.根据权利要求1所述的方法,还包括以下步骤第一门户通过用户的MSISDN来验证所述用户。
7.根据权利要求1所述的方法,其中,所述第一消息是以HTTP协议格式的。
8.一种用于在门户之间实现单点登录的系统,包括第一门户,其被配置成对用户进行验证,建立与该用户的用户终端的第一会话,产生包含用户身份认证信息的第一消息,并将该第一消息传递给第二门户;第二门户,其被配置成根据第一消息中的用户身份认证信息确定该用户已经被验证,并建立与该用户的用户终端的第二会话以允许该用户访问第二门户;以及用户终端,其被配置成访问所述门户。
9.根据权利要求8所述的系统,其中,第二门户还被配置成在用户在访问第一门户之前访问第二门户的情况下重定向到第一门户,以便让第一门户验证所述用户。
10.根据权利要求8所述的系统,其中,第二门户还被配置成在第一会话的生存周期内发送会话保持消息给第一门户,以便维持第一会话。
11.根据权利要求8所述的系统,其中,第一门户被配置成采用DES算法和MD5算法来对第一消息进行加密,以及第二门户被配置成采用DES算法和MD5算法来对第一消息进行解密。
12.根据权利要求8所述的系统,其中,第一门户还被配置成通过用户名和密码来验证所述用户。
13.根据权利要求8所述的系统,其中,第一门户还被配置成通过用户的MSISDN来验证所述用户。
14.根据权利要求8所述的系统,其中,所述第一消息是以HTTP协议格式的。
全文摘要
本发明公开了一种用于在门户之间实现单点登录的方法和系统。所述方法包括以下步骤第一门户对用户进行验证并建立与用户的第一会话;用户在第一门户中点击对第二门户的访问链接;第一门户产生包含用户身份认证信息的第一消息,并将该第一消息传递给第二门户;以及第二门户根据第一消息中的用户身份认证信息确定该用户已经被验证,并建立与该用户的第二会话以允许该用户访问第二门户。
文档编号H04Q7/38GK101075875SQ200710112108
公开日2007年11月21日 申请日期2007年6月14日 优先权日2007年6月14日
发明者吴树敏, 黄振华 申请人:中国电信股份有限公司