专利名称:一种实现单点登录的方法及系统的制作方法
技术领域:
本发明属于移动通讯领域,尤其涉及一种实现单点登录的方法及系统。
背景技术:
随着移动通讯技术的发展,以及对移动数据业务需求的不断增加,用户移 动终端通过移动运营商提供的包括掌上证券、无线备份、无线小秘、全球定位
系统(Global Positioning System, GPS )导航等在内的各种无线业务平台,可以 使用更多的无线应用业务。
目前,4艮多无线应用系统都由一 系列分布在不同服务器上的子业务系统组 成,按照现有方式,用户访问每个子业务应用系统时都需要进行登录身份认证, 服务提供商需要对每个子业务系统设置一种单独的安全策略,而且需要为每个 子系统中的用户单独授权以使他们不能访问未授权的服务业务,这不仅极大的 降低了用户使用系统业务的效率,同时也增加了网络服务器系统的负担。
发明内容
本发明实施例的目的在于提供一种实现单点登录的方法,旨在解决现有技 术中用户移动终端在登录系统中每个子系统无线应用系统业务都要进行身份认 证,降低了用户使用无线业务的效率及增加了系统服务器的负担的问题。
本发明实施例是这样实现的, 一种实现单点登录的方法,所述方法包括如 下步骤
鉴权服务器接收用户终端发送的鉴权请求,对用户进行身份认证; 若通过认证,鉴权服务器向票据服务器发送票据生成请求,票据服务器生 成与所述用户身份相对应的票据,并将所述票据回传至用户终端,所述票据包
含有与所述用户身份相对应的业务权限信息;
多个业务服务器中任一业务服务器接收所述用户终端发送的包含有票据的
业务请求数据,并向票据服务器发送票据验证请求,所述用户终端发送的票据 经由存储于用户终端中的私钥加密;
票据服务器调用与所述用户身份相对应的公钥对所接收到的票据进行解 密,读取业务权限信息并验证其业务权限和时效性,并将结果发送给所述业务 服务器;及
业务服务器接收-睑^t结果,进行业务处理。
本发明实施例的另一目的在于提供实现单点登录的系统,其特征在于,所 述系统包括
鉴权服务器,用于接收用户终端发送的鉴权请求,对用户进行身份认证, 若通过认证,向票据服务器发送票据生成请求;
多个业务服务器,用于接收所述用户终端发送的业务请求数据,向票据服 务器发送票据验证请求,所述业务请求中包含有经由所述用户私钥加密的票据, 并在接收到票据服务器的验证结果后,进行业务处理;'
票据服务器, 一方面用于接收鉴权服务器发送的票据生成请求生成与所述 用户身份相对应的票据并将所述票据回传至用户终端;另 一方面用于在接收到 业务服务器发送的票据-验证请求时,调用与所述用户身份相对应的公钥对所接 收到的票据进行解密,读取业务权限信息并验证其业务权限和时效性,并将结 果发送给所述业务服务器。
在本发明实施例中,针对拥有多个业务服务器的无线应用系统,通过票据 服务器统一验证用户的业务权限及时效性,并利用基于数字证书的加密体系实 现了无线应用系统的单点登录,使用户只用登录一次即可使用多个业务,不必 重复登录进行身份验证。从而提高了用户使用无线应用系统业务的效率及安全 性,同时减轻了系统服务器的负担。
图l是本发明实施例提供的实现单点登录系统的构架图2是本发明实施例提供的实现单点登录的方法流程图。
具体实施例方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实 施例,对本发明进^f亍进一步详细说明。应当理解,此处所描述的具体实施例仅 仅用以解释本发明,并不用于限定本发明。
在本发明实施例中,用户移动终端成功登录鉴权服务器后生成业务服务器 的票据,当用户移动终端在访问业务服务器时,业务服务器通过票据服务器检 验用户的业务权限及时效性,从而实现了系统的单点登录。
图1示出了本发明实施例提供的实现单点登录系统的构架,包括移动终端 设备、无线网络、鉴权服务器、票据服务器、公钥数据服务器及业务服务器(至
少1个以上),详述如下
移动终端设备,通过无线网络注册无线业务或登录使用无线业务。 作为本发明的一个实施例,当移动终端用户注册开通无线应用系统中的任 何一个无线业务(比如掌上证券、无线备份、无线小秘、GPS导航等)时, 无线应用系统会记录用户的用户信息,包括用户名和密码,以及用户注册的所中。
作为本发明的一个实施例,所述的移动终端设备包括手机及个人数码助理 (Personal Digital Assistant, PDA)等。
无线网络,用于传输移动终端设备与无线应用业务系统之间的数据。 鉴权服务器,用于验证用户,在用户登录时对用户进行身份认证。 票据服务器,用于当用户成功登录鉴权服务器后根据用户的用户名查询该 用户对应的业务权限和时效性,并生成票据发送给用户移动终端设备,以及验
证用户访问业务服务器时业务服务器发送的加密票据中用户的业务权限和时效 性。
作为本发明的一个实施例,当用户登录系统时,如果鉴权服务器验证通过, 则向票据服务器发送生成票据请求。票据服务器收到请求后,根据用户的用户
名查询该用户对应的相关业务权限,并生成一个包含该用户所有业务权限信息 的票据,然后发送给移动终端设备。
作为本发明的一个实施例,当用户通过验证并访问业务服务器时,业务服 务器将收到的终端发送的加密票据及票据验证请求发送给票据服务器,票据服 务器读取公钥数据服务器中用户的公钥,并对所述的加密票据进行解密,验证 所述票据的业务权限和时效性,然后将验证结果返回给业务服务器。
公钥数据服务器,用于存储用户在注册时产生的用户的公钥数据。 业务服务器,用于提供无线应用业务,并在用户访问业务服务器时发送加 密票据及票据验证请求给票据服务器,通过验证后对用户的业务请求进行处理,
并将处理结果反馈给用户移动终端设备。
作为本发明的一个实施例,所述的无线业务为掌上证券、无线备份、无线
小秘或GPS导航等。
图2示出了本发明实施例提供的实现单点登录系统的方法流程,详述如下
1、 移动终端设备向鉴权服务器发送登录请求,所述的登录请求信息包括用 户的用户名及密码。
2、 鉴权服务器验证用户进行身份认证。
3、 如果-验证用户身份认证通过,则向票据服务器发送生成票据的请求,所 述的请求信息中包含用户的用户名。
4、 票据服务器收到请求后,根据用户的用户名查询数据库中该用户对应的 相关业务权限,并生成一个包含该用户的所有业务权限信息的票据,并从公钥 数据服务器中读取用户的公钥,通过公钥对所述的票据进行非对称加密。
作为本发明的 一个实施例,在所述的业务权限信息中还可以分别加入其对 应的时效性,如业务1:20070911—100000,表示该票据中业务1的有效性到2007 年09月11日IO点为止,各个业务服务器可以自由设置其票据的时效性。
作为本发明的一个实施例,所述的票据作为用户登录的重要信息,包含了 用户的业务权限及时效性等相关信息,为了防止票据在传输过程中被篡改或伪 造,票据服务器通过用户的公钥非对称加密桌据,以保证票据在传输给移动终 端设备的安全。
5、 将生成的加密票据发送给移动终端设备。
6、 移动终端i殳备将收到的加密票据用其私钥进^f亍解密,并用私钥对票据进 行加密,附带在业务请求数据包中发送给用户所要访问的业务服务器。
作为本发明的一个实施例,为了防止移动终端设备访问业务服务器时的票 据被篡改或仿造,移动终端设备在发送业务请求时会将所述的票据用私钥进行 加密,以保证票据在传输给业务服务器时的安全。
作为本发明的一个实施例,由于用户的公钥在用户注册时就已经生成并被 保存在系统服务器端的公钥数据服务器,在业务请求数据包中无须附带用户的 公钥。在移动终端设备发送力口密数据而不用发送公钥数据,从而起到减少移动 终端在无线网络中发送的数据量的作用,有效的提高了系统速度。
作为本发明的一个实施例,针对无线网络的不稳定性,移动终端设备在向 业务服务器发送业务请求数据时可以采取数据重发机制。当用户发送业务请求 数据后一段时间没有收到服务器端的反馈信息,重新发送业务请求数据。而重 发的次数可以根据需要自行设定。
7、 业务^I1务器在收到用户的业务请求数据后,将加密的票据及票据验证请 求发送给票据服务器,请求票据服务器对所述的加密票据进行验证。
8、 票据服务器收到加密的票据及票据验证请求后,从公钥数据服务器中读 取用户的公钥,对该票据进行解密。并读取其中的业务权限信息,验证其中业 务权限和时效性。
9、 票据服务器将验证结果返回给业务服务器。
10、 业务服务器收到票据验证结果后,如果通过验证便开始进行业务处理。
11、 业务服务器将业务处理结果发送给移动终端设备。
作为本发明的一个实施例,所述业务^I1务器为用户所要访问的任何一个业 务服务器。
在本发明实施例中,系统中加入了票据服务器及公钥数据服务器,用户成 功登录鉴权服务器后生成业务服务器的票据,生成的票据经过用户公钥的非对 称加密返回给终端,终端在访问业务服务器时发送私钥加密票据即可,业务服 务器才企验通过公钥数据服务器上存储的用户的公钥解密票据,读取票据信息即 可完成用户的业务权限验证,使用户只用登录一次即可使用多个已注册的业务。 从而实现了系统的单点登录,并且保证了系统登录的安全性。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发 明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明 的4呆护范围之内。
权利要求
1、一种实现单点登录的方法,其特征在于,所述方法包括如下步骤鉴权服务器接收用户移动终端发送的鉴权请求,对用户进行身份认证;若通过认证,鉴权服务器向票据服务器发送票据生成请求,票据服务器生成与所述用户身份相对应的票据,并将所述票据回传至用户终端,所述票据包含有与所述用户身份相对应的业务权限信息;多个业务服务器中任一业务服务器接收所述用户终端发送的包含有票据的业务请求数据,并向票据服务器发送票据验证请求,所述用户终端发送的票据经由存储于用户终端中的私钥加密;票据服务器调用与所述用户身份相对应的公钥对所接收到的票据进行解密,读取业务权限信息并验证其业务权限和时效性,并将结果发送给所述业务服务器;及业务服务器接收验证结果,进行业务处理。
2、 如权利要求l所述的方法,其特征在于,所述方法进一步包括步骤用 户终端向鉴权服务器发送鉴权请求。
3、 如权利要求l所述的方法,其特征在于,所述票据生成请求中包含有用 户名信息。
4、 如权利要求l所述的方法,其特征在于,所述公钥存储于公钥数据服务 器中。
5、 如权利要求l所述的方法,其特征在于,所述票据服务器向用户终端发 送的票据经由与所述用户身份相对应的公钥加密。
6、 一种实现单点登录的系统,其特征在于,所述系统包括 鉴权服务器,用于接收用户终端发送的鉴权请求,对用户进行身份认证,若通过认证,向票据服务器发送票据生成请求;多个业务服务器,用于接收所述用户终端发送的业务请求数据,向票据服 务器发送票据验证请求,所述业务请求中包含有经由所述用户私钥加密的票据, 并在接收到票据服务器的验证结果后,进行业务处理;票据服务器, 一方面用于接收鉴权服务器发送的票据生成请求生成与所述 用户身份相对应的票据并将所述票据回传至用户终端;另 一方面用于在接收到 业务服务器发送的票据验证请求时,调用与所述用户身份相对应的公钥对所接 收到的票据进行解密,读取业务权P艮信息并验证其业务权限和时效性,并将结 果发送给所述业务服务器。
7、 如权利要求6所述的系统,其特征在于,所述系统还包括用户终端, 用于发送鉴权请求和业务请求,并存储有与用户身份相对应的私钥。
8、 如权利要求6所述的系统,其特征在于,所述系统还包括公钥数据服 务器,用于存储用户注册时产生的用户的公钥。
9、 如权利要求6所述的系统,其特征在于,所述用户终端设备为手机或 PDA。
10、 如权利要求6所述的系统,其特征在于,所述无线业务为掌上证券、 无线备份、无线小秘或GPS导航。
全文摘要
本发明适用于移动通讯领域,提供了一种实现单点登录的方法及系统,所述方法包括如下步骤鉴权服务器接收用户移动终端发送的鉴权请求,对用户进行身份认证;若通过认证,票据服务器生成与所述用户身份相对应的票据,并将所述票据回传至用户移动终端;多个业务服务器中任一业务服务器接收所述用户移动终端发送的包含有票据的业务请求数据,并向票据服务器发送票据验证请求;票据服务器调用与所述用户身份相对应的公钥对所接收到的票据进行解密,读取业务权限信息并验证其业务权限和时效性,将结果发送给所述业务服务器;业务服务器接收验证结果,进行业务处理。本发明使用户只用登录一次即可使用多个已注册的无线业务,不必重复登录进行身份验证。
文档编号H04L9/28GK101207482SQ20071012506
公开日2008年6月25日 申请日期2007年12月13日 优先权日2007年12月13日
发明者王路谊 申请人:深圳市戴文科技有限公司