专利名称:一种多应用系统对用户身份进行认证的方法
技术领域:
本发明涉及一种对用户身份进行认证的方法,尤其是一种多应用 系统对用户身份进行认证的方法。
背景技术:
随着企业业务的发展,企业业务应用系统数量迅速增加。目前, 对用户的身伤^人证分别由各个业务应用系统完成,因此,为了访问不
同的应用系统,用户必须分别在不同的应用系统--输入自身的用户
凭证。在应用系统数量迅速增加和市场化迅猛发展的情况下,这种管 理模式的弊端日益显现,尤其是在应用系统成倍增加的情况下,这种 弊端表现得尤为突出。此外,由于每个应用系统都建立自成体系的登 录控制方法,当需要更换用户登录策略时,必须针对各个目标应用一 一入手完成相关的改造或升级工作,无法实现登录控制的有效重用, 从而增加了系统的开发成本和开发周期,加大了生产成本,并且对信 息安全构成了严重威胁。
发明内容
本发明要解决的技术问题是提供一种能实现对用户身份的统一认 证的多应用系统对用户身份进行认证的方法。
本发明解决其技术问题所采用的技术方案是
一种多应用系统对用户身份进行认证的方法,包括以下步骤
1.1用户要访问的应用系统将所述应用系统的认证请求^发送 给统一认证服务系统;
1. 2所述统一认证月l务系统获得所述i人证请求^t后对所述用户 进行认证,并将认证响应^IL^送给所述应用系统;
1. 3所述应用系统根据所述认证响应M允许所述用户对其进行 访问。
上述方案中,所述步骤1. 2包括以下步骤 2.1所述统一认证服务系统获得述认证请求参数; 2.2所述用户尝试登陆所述统一认证服务系统,若登陆成功,则 保存登陆标记后进入步骤2. 3,否则所述用户重新执行所述步骤2. 2;
2.3所述统一认证服务系统获得所述认证响应参数,并将所述i人 证响应^ _送给所述应用系统
上述方案中,所述步骤2. 2中,所述用户根据所述统一认证服务 系统应用的认证模式采用相应的方式尝试登陆,所述认证模式包括 LDAP (Lightweight Directory Access Protocol,轻量级目录访问协 议)认证模式、证书认证模式、802. lx认证才莫式、^^体访问控制子层 地址绑定认证模式、硬盘序列号绑定认iit^莫式、密码策略认iit4莫式及 用户安全性检查i人iit^莫式。
上述方案中,所述认证请求参数通过所述应用系统与所述统一认 证服务系统的共享密钥加密后传输给所述统一认证服务系统,所述统 一认证服务系统通过所述共享密钥对其解密后获得所述认证请求参 数;所述统一认证服务器对所述用户进行认证后,所述认证响应M 通过所述共享密钥加密后传输给所述应用系统,所述应用系统通过所
述共享密钥对其解密后获得所述认证响应Wt。
上述方案中,所述认证请求参数包括所述应用系统的服务器网络 地址、所述应用系统的服务标识号及所述认证请求的有效时间长度。
上述方案中,所述认证响应参数包括所述应用系统的服务器网络 地址、所述应用系统的服务标识号、所述用户访问所述应用系统的标 识号及所述认证响应的有效时间长度。
上述方案中,所述应用系统与所述统一iUiJ5l务系统的共享密钥 是所述统一认证服务系统为所述应用系统单独分配的,所述应用系统 定时在所述统一认证服务系统获取。
上述方案中,所述步骤l. l前,所述应用系统判断所述用户是否 访问过本系统,若所述用户未访问过本系统,则进入所述步骤1.1, 否则,所述应用系统直接允许所述用户对其进行访问。
本发明的有益效果主要表现在本发明提供的技术方案应用统一 的身份认证系统为多个应用系统提供统一的身伤4人证,认证方式灵活 多样,实现了对用户的集中管理,增强了多应用系统对需求和市场变 化的适应能力。
图1为本发明多应用系统对用户身份进行认证的方法流程图。
具体实施例方式
下面结合附图对本发明作进一步的描述。
参照图1,当用户要访问多应用系统中某一应用系统时,该应用 系统首先需对用户身份进行认证,其包括以下步骤
步骤101:该应用系统判断用户是否访问过本系统,若用户未访 问过本系统,则进入步骤102,否则,该应用系统直接允许用户对其 进行访问。
步骤102:该应用系统将认证请求M发送给统一认证服务系统; 其中,认证请求M包括该应用系统的服务器网络地址、该应用系统 的服务标识号及本次认证请求的有效时间长度;认证请求>|^:通过该 应用系统与统一认证服务系统的共享密钥加密后传输给统一认证服务 系统;
步骤103:统一认证服务系统通过与该应用系统的共享密钥对接 收到的加密后的认证请求^t解密后获得认证请求^^:;
步骤104:用户根据统一认证服务系统应用的认ii^漠式采用相应 的方式尝试登陆统一认证服务系统,若登陆成功,则保存登陆标记后 进入步骤105,否则用户重新执行本步骤;其中,统一认证服务系统
的认iiMt式包括以下几种
1、 LDAP认证模式
本模式为统一认证服务系统提供的缺省认证方式,使用LDAP认证 方式,用户名与口令是存储在指定的LDAP目录中;当 一个用户登录时, 提供的用户名与口令若与该LDAP目录中指定子树中某一个用户记录 的用户名与口令相同,则认证成功,登录者具有LDAP目录中该用户记 录对应的身份;
2、 证书认iiD漠式
4^莫式使用X509v3数字证书,只要客户端可以提供X509v3数字 证书,系统允许其登录;可以配置用户的个人数字证书必须和目录服 务器中存储的证书相同,并与证书回收列表比较以确保个人证书是有
效的;
3、 802. lx认W莫式
统一认证服务系统应用;^f莫式时,采用802. lx认证协议对用户进 行认证;
4、 MAC (Media Access Control,媒体访问控制子层)地址绑定
统一认证服务系统应用;^漠式时,需要验证用户的用户名和密码 以及用户终端的MAC地址信息;只有当用户名、密码和MAC地址信息 都通过^Ht之后,用户才能通过认证;
5、 硬盘序列号绑定^人ii^莫式
统一认证服务系统应用本模式时,需要發汪用户的用户名和密码 以及用户终端的硬盘序列号信息;只有当用户名、密码和硬盘序列号 信息都通过一睑证之后,用户才能通过认证;
6、 密码策略认证模式
统一认证服务系统应用扣漠式时,用户第一次登录时,需要修改 账号的默认口令;口令到期(至少每90天)后,统一认证服务系统能 够强制用户进行修改,并与最近5次内的口令(或者它们的密文)进 行比较,确保更新后的口令不和最近5次内使用口令相同;
7、 用户安全性检查认iiE^莫式
统一认证服务系统应用本才莫式时,系统将用户终端的安全软件的 安装及运行状态作为认证方式;例如,只有安装了 TC0或者SYGATE 软件并运行状态正常的用户才有可能通过认证;
步骤105:用户登陆统一认证服务系统后,系统获得认证响应参 数,并将认证响应Wt通过统一认证服务系统和该应用系统的共享密钥加密后传输给该应用系统;其中,认证响应Wt包括该应用系统的 月l务器网络地址、该应用系统的月l务标识号、用户访问该应用系统的 标识号及认证响应的有效时间长度;
步骤106:该应用系统通过与统一认证服务系统的共享密钥对接 收到的加密后的认证响应M解密后获得认证响应M, ^中包括 用户访问该应用系统的标识号,因此,该应用系统据此允许用户对其 进行访问。
上述流程中,该应用系统与统一认证服务系统的共享密钥是统一 认证服务系统为该应用系统单独分配的,该应用系统定时在统一认证 服务系统获取。统一认证服务系统为多应用系统中各个应用系统分配 不同的共享密钥,由各个应用系统分别定时在统一认证服务系统获取。
权利要求
1、一种多应用系统对用户身份进行认证的方法,其特征在于,包括以下步骤1.1用户要访问的应用系统将所述应用系统的认证请求参数发送给统一认证服务系统;1.2所述统一认证服务系统获得所述认证请求参数后对所述用户进行认证,并将认证响应参数发送给所述应用系统;1.3所述应用系统根据所述认证响应参数允许所述用户对其进行访问。
2 、如权利要求1所述的多应用系统对用户身份进行认证的方法, 其特征在于,所述步骤1.2包括以下步骤2.1所述统一认证服务系统获得述认证请求参数;2.2所述用户尝试登陆所述统一认证服务系统,若登陆成功,则保存登陆标记后进入步骤2.3,否则所述用户重新执行所述步骤2.2; 2.3所述统一认证服务系统获得所述认证响应参数,并将所述认证响应^L^送给所述应用系统。
3 、如权利要求2所迷的多应用系统对用户身份进行认证的方法, 其特征在于所述步骤2,2中,所述用户根据所述统一认证服务系统 应用的认ii^莫式采用相应的方式尝试登陆,所述认iiD漠式包括轻量级 目录访问协议认iiMi式、证书认iiMi式、802.1x认iit^莫式、媒体访问 控制子层地址绑定认ijMt式、硬盘序列号绑定认ii^莫式、密码策略认 证模式及用户安全性检查认证模式。
4、如权利要求1至3其中之一所述的多应用系统对用户身份进行 认证的方法,其特征在于所述认证请求l^t通过所述应用系统与所 述统一认证服务系统的共享密钥加密后传输给所述统一认证服务系 统,所述统一认证服务系统通过所述共享密钥对其解密后获得所述认 证请求^lt;所述统一认证服务器对所述用户进行认证后,所述认证 响应参数通过所述共享密钥加密后传输给所述应用系统,所述应用系 统通过所述共享密钥对其解密后获得所述认证响应M。
5 、如权利要求4所述的多应用系统对用户身份进行认证的方法, 其特征在于所述认证请求参数包括所述应用系统的服务器网络地址、 所述应用系统的服务标识号及所述认证请求的有效时间长度。
6、如权利要求5所述的多应用系统对用户身份进行认证的方法, 其特征在于所述认证响应参数包括所述应用系统的服务器网络地址、 所述应用系统的月l务标识号、所述用户访问所述应用系统的标识号及 所述认证响应的有效时间长度。
7 、如权利要求6所述的多应用系统对用户身份进行认证的方法, 其特征在于所述应用系统与所述统一认证服务系统的共享密钥是所 述统一认证服务系统为所述应用系统单独分配的,所述应用系统定时 在所述统一认证服务系统获取。
8 、如权利要求7所述的多应用系统对用户身份进行认证的方法, 其特征在于所述步骤1.1前,所述应用系统判断所述用户是否访问 过本系统,若所述用户未访问过本系统,则itX所述步骤l.l,否则, 所述应用系统直接允许所述用户对其进行访问。
全文摘要
本发明公开了一种多应用系统对用户身份进行认证的方法,首先,用户要访问的应用系统将所述应用系统的认证请求参数发送给统一认证服务系统;然后,所述统一认证服务系统获得所述认证请求参数后对所述用户进行认证,并将认证响应参数发送给所述应用系统;最后,所述应用系统根据所述认证响应参数允许所述用户对其进行访问。本发明所述技术方案在多应用系统中实现了对用户身份的统一认证。
文档编号H04L9/32GK101183940SQ20071012496
公开日2008年5月21日 申请日期2007年12月11日 优先权日2007年12月11日
发明者刘亚军, 徐红明, 杨景慧, 勇 郭 申请人:中兴通讯股份有限公司