专利名称:一种在不同系统间自动认证识别用户身份并且登录的方法
技术领域:
本发明涉及通讯及计算机领域,特别是在多系统中对用户身份认证的方法及其装置。
背景技术:
随着网络技术的发展进步,各种通讯网络的服务系统的不断壮大,加上各操作系 统和编程语言的进化,很多网络服务系统已经形成一个庞大的系统群落。 一个网络服 务系统(父系统)由若干系统(子系统)组成,其中子系统多种多样,开发技术也是日新 月异、千姿百态。
目前现有技术中,用户客户端访问网络服务系统,各个系统采取混合数据认证的 方法,即将用户信息分布在不同的子系统,各个子系统分别认证。在使用过程中,需 要设计各个子系统之间的传输装置,用户数据加密、解密装置以及系统间数据同步控 制装置。
而本发明就是针对该种情况进行处理和解决。
经检索,本技术领域多系统间登陆的方法和装置己公开了如下相关技术
200710177884.8《单点登录的方法、装置及系统》、200610157138.8《一种整合异构系 统的单点登录系统及方法》、200610065558.3《一种在系统间实现单次登录的方法及 系统》、200510072981.1《一种统一认证的实现方法》。本发明创造不同于上述各技术 方案,本发明公开了一种在不同系统间自动认证识别用户身份并且自动登陆的方法及 其装置。
发明内容
本发明提供了一种在不同网络和系统间自动认证识别用户身份并且自动登录的 方法及其装置,该方法解决了不同体系结构、不同语言环境、不同操作系统、不同应 用环境情况下,单点登录多系统统一认证的兼容性的问题,使得多系统间用户无感觉 访问,增加用户的满意度,降低系统的负荷和增强安全度。
本发明方法包括
A. 用户在子系统F登录,本步骤A包含如下的步骤 Al.子系统P随机算出一个永不重复的特殊标记,并进行加密.
A2.子系统P给用户访问的客户端设置上该加密后的特殊标记信息,以标志用户身份.
A3.子系统将加密的特殊标记信息发送给用户数据认证中心 A4.用户数据认证中心接收到子系统P发送的加密的用户特殊标记信息,进行解密.
A5.用户数据认证中心将解密的用户特殊标记信息存储起来,跟该用户数据相对 应,以备查询.
B. 用户访问子系统R,子系统R将用户访问客户端携带的特殊标记信息进行解密。
C. 子系统R将解密的用户特殊标记信息发送给用户数据认证中心的传输装置。
D. 用户数据认证中心接收到子系统R发来的用户标记信息,本步骤D包含如下步骤 Dl.根据用户标记信息在用户数据中心进行査询。步骤D1包含如下步骤
Dll.如果未有发现有符合标记信息的査询结果,执行步骤D2。
D12.发现有符合标记信息的查询结果,则执行步骤E。 D2.将査询不到标记信息的情况状态发送给子系统R。 D3.子系统R执行显示用户登录界面操作。
E. 将査询到的符合认证规范的用户数据信息,通过用户数据认证中心的加密装置发 送给子系统R。
F. 子系统R接收到加密的用户数据信息,用子系统R的加密装置进行解密。
G. 子系统将R用户状态设置为已经登录,并且临时存储上用户的账户数据
本发明提供一种用于互联网业务的服务认证系统,本系统包括 特殊标记信息产生装置,用以产生特殊的标记信息,用以发生随机的、永不重复
的标记信息,用以区分用户身份。
数据加解密装置对所有数据进行加密,包括设定在客户访问客户端的特殊标记
信息加密和传输过程中的数据加密和解密。
数据传输装置,用以子系统和用户认证中心之间的数据的传递输送。 用户信息认证装置用提供的用户标记信息,进行査询处理认证,用以确认用户
的身份。
用户信息存储装置利用大型容灾级别的高性能存储装置存放用户的身份数据和 密钥等核心数据。
所述用户信息存储装置包括如下装置
信息录入装置由其他子系统发送来搜集、录入信息数据。
数据存储装置存储各种用户的身份信息、登录信息、特殊标记状态、密钥等相 关资料数据。
信息査询装置用各种关键条件组合,以査询用户的身份信息、登录信息、特殊 标记状态、密钥等等数据。
本发明装置有益效果如下
由于本发明装置将用户在一个子系统登录的数据存储在中心认证服务器上,并且 将用户的数据进行加密标记,定义了各个子系统通讯加密的协议,确保了认证通讯过 程的安全可靠。由于采取了中心数据认证方式来确认用户身份和识别各种用户相关信 息的查询,大幅度减少了各个子系统之间数据传输的环节和数据处理过程,从而降低 了系统的复杂度,提高了整个系统的稳定性和安全性。
并且系统使用的是隐蔽性安全统一认证的过程,让用户的操作过程简便舒适,减 少了对用户的打扰,这就提高了用户的满意度,用户的感觉会更加友好。同时用户的 身份信息存放在中心服务器且,且得到了最高级别的安全保护,避免了用户身份被盗 用或者被其他系统误认证的可能性。
图1A为基本结构示意图
图1B为用户信息存储装置示意图
图1C为用户认证装置结构示意图
图2为用户认证方法详细示意图
具体实施例方式
为了解决现有技术中,多网络条件下多系统对用户认证过程的重复工作、流程繁 琐、故障率高等问题,本发明将任意子系统登录的客户的信息存储在中心认证服务器, 并且让客户端携带上特殊加密标记信息,只要让子系统共享加密算法,就可以使得任 何子系统都能根据这个特殊加密标记从中心认证服务器取得用户的登录数据,使得用
户自动无缝登录或者退出访问各个子系统。
本实施例以电子商务为例。说明电子商务系统中,用户在访问多点子系统时候, 只需要登录一次,各子系统自动无缝登录的方法。
参见图1A,本实施例中的单点子系统包括特殊标记信息产生装置(下面简称标 记装置),数据加解密装置。
标记装置,用于发生唯一序列码,是每次用户访问,用以识别用户临时身份的唯 一的序列码。根据这个序列码,就可以在用户认证中心查询到用户的登录信息和身份 信息等数据。唯一序列码产生规则是首先用当前年、月、日、小时、分钟、秒和微
秒,和12位长度随机数进行字符串拼接,然后根据一个随机数进行MD5运算,得出
来的数字可以保证永远不重复。
数据加解密装置,用于加密特殊标记信息和传输过程中的数据信息。加密算法采 用256位DES算法,保证数据的安全性,DES适合大文本容量的数据加密。具体步 骤
1. 密钥。双方密钥采用统一的公开双密钥算法。分为数据密钥和公共密钥。数据 密钥指加密解密用户信息等数据的密钥;公共密钥指用来算出数据密钥的密钥。整个 系统约定一套数据密钥算法,然后根据公共密钥再算出数据密钥。具体如下
1) 双方的数据密钥采用日期相关。利用如下格式YYYY-MM-DD。每天更换一 次。所以所有子服务器系统时间必须每小时与时间服务器同步一次,保证认证的时间 和算法的统一。解密时,需要根据发送时间进行数据密钥的计算。
2) 数据密钥跟接收双方的系统的序列编号相关。如果系统A向系统B发送数据, 系统A的编号000A,系统B编号000B,则密钥包含了 000A和000B的信息。
3) 公共密钥,采用专人保管,定期更换的方式。具体是每天由l个人采用另外套 随机生成器生成一套公共密钥,然后更新到中心服务器密钥装置上。
4) 密钥长度不小于256位。
2. 公共密钥的接收与获取。
(l)首先,到了约定时间后,子系统向中心认证服务器发送获取密钥请求,并且发 送利用旧公共密钥加密过的请求码,同时判断
(l.l)如果该子系统第一次发送这个旧密钥,并且用旧密钥进行解密正确,则确认 以后发送新的密钥。(1.2) 如果该子系统已经发送过这个旧密钥,则拒绝请求,直接抛弃,因为该请求 不合法。
(1.3) 如果如果该子系统第一次发送这个旧密钥,但是用旧密钥解密不正确,则拒 绝请求,请求不合法。
(2)数据的加密与解密
加密子系统A向子系统B发送数据时,首先根据当然时间日期和公共密钥计 算出数据密钥。然后里面数据密钥对传输的数据进行DES加密,然后加上数据密钥 计算时候的时间戳,打包压缩发送给子系统B。
解密子系统B接收数据时,首先进行解压缩,然后根据数据包的时间戳信息 和公共密钥计算出数据密钥,然后利用DES加密算法进行反向进行解密。
参见图1B,所述用户信息存储装置,包括数据存储装置、信息录入装置和信息 査询装置。
所述数据存储装置,是中心认证服务器的核心所在,它存储了所有的相关信息, 包括用户的基本数据信息,用户的登录信息,子系统的状态信息,认证结果信息和各 种日志信息。数据存储装置,以数据库为核心,采用大型企业级关系数据库Oracle 和容灾的双备份措施,保障数据的安全。数据存储装置还包括一个同步装置,进行远 程异地的备份认证数据中心的容灾备份,将无法预料的不可抗拒力造成的损失降低到 最低。另外为了安全,数据存储装置还有一个日志记录装置,所有对数据存储装置的 操作都会被单独的记录,包括了操作进程号,用户和操作前的数据,影响到的数据等 等。
信息录入装置,是录入、采集各种数据的窗口。他采用统一的数据格式,利用 xmlrpc进行远程提交。详细操作如下
1) 子系统A发送用户Mr.zhang的信息到中心认证服务器
2) 中心认证服务器将用户Mr.zhang的信息传输给信息录入装置。
3) 信息录入装置首先向数据存储装置査询,数据存储装置中是否有用户 Mr.zhang的信息
① 如果没有,则进行数据插入操作,同时记录下自身操作的日志。
② 如果有Mr. zhang的信息,则自动对比数据,如果数据不一致,则更新不一 致的部分,同时记录下自身操作的日志。
信息查询装置,是给各个系统査询数据的装置。它利用xmlrpc接口与其他子系 统进行交互。详细过程如下
1) 子系统B通过加密装置査询用户Mr.zhang的登录信息,发送数据到中心 认证服务器。
2) 中心认证服务器将子系统B传送来的信息进行处理,发送给信息查询装置。
3) 信息査询装置接收到数据,开始进行安全处理
① 是否是合法的査询请求,合法的要求必须是子系统传递来的,同时符合下
面几种传递类型是否已经登录,是否是有该用户,是否被封锁(限制用 户名),是否是限制地址,是否是特别登记用户,和预留扩展查询请求编 号1-10。如果不合法,直接拒绝数据,不返回任何数据包。
② 是否是过期请求。由于网络等因素影响,很可能让请求延迟,甚至过期。 设定过期时间为1分钟。由于各个系统之间的时间是同步的,所以延时的 计算就非常精确。超时达到1分钟,则自动拒绝请求,不返回任何数据包。 因为等待1分钟以上的请求在瞬息即变的多网络情况下是没有意义的。
③ 请求周期是否正常。查询装置会记录每个系统每个帐户请求的周期和次 数,对于请求次数过于频繁的客户端进行限制查询。请求次数的频繁判断
的阀值为可调的,范围是100次/分钟到0.1次/分钟。阀值越大,限制越
小(越宽松)。如果含有异常,直接返回异常代码 请求的数据内容是否正常。査询装置会检査请求的内容,包括用户名,帐
户名,email地址和用户密码,是否符合规范法律,是否存在恶意攻击和 不健康的词汇。这里会定义一批搜集到的限制词汇数据表,并且会不断地 更新,以便进行过滤。如果含有异常词汇或者数据不正常,直接返回异常 代码。
⑤请求的数据包长度是否合适。因为是査询数据,所以请求的数据包解压縮 以后总长度不能超过500K字节。如果超过直接放弃请求,不返回任何数 据包。
4) 进入数据存储装置,向Oracle数据库进行査询。查询装置所用的Oracle 数据库帐户是受限制的只读査询帐户,这样子避免了不可预测的査询数据
注入式攻击。查询到的结果传送给中心认证服务器。
5) 中心认证服务器将结果进行加密,打包发送给子系统B.
6) 关于上述xmlrpc协议,有特殊的约定格式,符合约定格式的才可以进行 通讯。
参见图1C,所述整个系统是建立在不通网络环境下的多个子系统之上,用户可以 在子系统A、子系统B、子系统C等等任意子系统只登录一次即可随意的访问其他系 统。这其中的认证过程是无缝对接的,用户不会有任何感觉。用户体验会达到一种全 系统统一融合的完美感觉。
本发明的完整详细流程参见图2:
如图2所述,用户Mr.Zhang访问子系统A,进行注册时。子系统A会把Mr.Zhang 的信息发送给中心认证服务器,中心认证服务器会将数据传输给信息存储装置,然后 存储进数据库中。接着用户Mr.Zhang在系统A登录,子系统A会
1. 向中心认证服务器査询用户Mr.Zhang是否存在,判断用户Mr.Zhang是否 合法,中心认证服务器会向其信息査询装置査询,然后将结果返回给子系 统A。
2. 子系统A会利用特殊标记信息产生装置和加密装置加密后,在用户 Mr.Zhang的访问客户端设置上特殊标记,并且向中心认证服器发送数据和 特殊标记数据告知用户Mr.Zhang的状态是已经在系统A登录。
3. 中心认证服务器接收到数据以进行解密,然后将Mr.Zhang的特殊标记数 据存储入认证中心。认证中心会将数据经过处理以后发送给数据存储装 置。
4. 数据存储装置将进行安全合法性校验以后进行,将数据存入Oracle的高速 临时缓冲表中,以备查询。并且向日志记录表写下此次操作和内容。
至此, 一个完整的用户登录过程完成。用户Mr.Zhang可以自由访问其他子系统 了。
如图2所述,用户Mr.Zhang访问子系统B时候。子系统B:
1. 子系统B提取出用户Mr.Zhag的访问客户端加密特殊标记信息,然后用解 密装置进行解密处理。判断是否是符合前述的加密规则的数据。
2. 子系统B向中心认证服务器发出査询请求,将用户Mr.Zhang的特殊标记
信息加密发送给中心认证服务器,以査询用户Mr.Zhang是否登录。
3. 中心认证服务器接收到数据,进行解密,判断是否是符合安全规则的数据 请求。如果符合安全规范,则将信息传输给信息查询装置,査询用户 Mr.Zhang的登录状态。
4. 信息査询装置接收到查询的请求,向数据存储装置的数据库发出査询的请 求,然后将结果返回给中心认证服务器。
5. 中心认证服务器再将结果加密传输给子系统B,用户Mr.Zhang的登录状态 表示为已经登录。
6. 子系统B解密接收到的信息以后,判断用户Mr.Zhang己经登录。在用户 Mr.Zhang的访问客户端标记上本系统已经登录的临时标志位。
至此用户Mr.Zhang在没有感觉的情况下已经自动登录到了子系统B, 一个完整 的切换登录的过程完成。
如图2所述,用户Mr.Zhang在访问子系统C以后,退出系统
1. 子系统C会提取用户Mr.Zhang访问客户端的加密特殊标记信息,然后用 解密装置进行解密处理。判断是否是符合前述的加密规则的数据。
2. 子系统C向中心认证服务器发送用户退出请求,将用户Mr.Zhang的 Mr.Zhang的特殊标记信息加密发送给中心认证服务器。
3. 中心认证服务器解密子系统C发送来的信息,并且判断是否符合安全规则。 如果符合则向数据录入装置发出删除用户Mr.Zhang的登录信息的请求。
4. 数据录入装置接收到删除请求以后会进行一个安全的判定。是否是合法的 删除请求。如果是,则向Oracle发出请求删除用户Mr.Zhang的登录信息, 并且在日志表中记录下来这次操作的结果和用户Mr.Zhang的上次登录信 息。并且将结果返回给信息录入装置,信息录入装置再将结果发给认证中 心服务器。认证中心服务器再将结果发送给子系统C.
5. 子系统C.收到确认信息以后,在用户Mr.Zhang的访问客户端删除任何相 关的登录标记信息。
至此整个退出过程完成,用户Mr.Zhang再访问任何子系统的时候都需要重新登录。
由于本发明对用户访问多系统时候做了隐蔽式的统一登录处理,采用了高安全
性、高效率的登录认证过程,大大降低了用户操作的复杂度,提高了用户的满意程度 和系统的健壮性。同时由于采取了统一的数据中心,用户在登录和査询的过程中,就 避免了欺诈,偷窃数据等不安全的事件,并且使得数据的管理方便可靠安全。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精 祌和范围。这样,倘若对本发明的这些修改和变型属于本发明权利要求及其等同技术 的范围之内,则本发明也意图包含这些改动和变型在内。
权利要求
1、一种在不同网络和系统间自动认证识别用户身份并且登录的方法,其特征在于,包括以下步骤A. 在用户通过网络访问子系统,并且被标记上随机产生唯一的加密的特殊标记信息,子系统将该信息发送给认证中心的装置;B. 用户在访问其他子系统的时候,其他子系统会根据用户访问客户端携带的唯一的加密的特殊标记信息向认证中心查询该用户的信息,得到认证结果。
2、 根据权利要求1所述的不同网络和系统间自动认证识别用户身份并且登录的方法,其特征在于,访问客户端包括浏览器客户端、桌面电脑应用程序客户端、嵌入 式设备客户端、移动设备客户端、车载客户端。
3、 根据权利要求2所述的不同网络和系统间自动认证识别用户身份并且登录的方法,其特征在于,不同网络是指互联网、以太广域网、以太局域网、基于IP协议 的移动通讯网络。
4、 根据权利要求1、 2或3所述的不同网络和系统自动认证识别用户身份并且登录的方法,其特征在于,步骤A包括如下步骤Al.首先随机产生唯一特殊标记信息,并将其加密,标识在用户的访问客户端上;A2.将随机产生唯一特殊标记的信息和用户数据发送给认证中心,认证中心将该数据存储起来。
5、 根据权利要求4所述的不同网络和系统间自动认证识别用户身份并且登录的方法,其特征在于,所述特殊标记信息是随机算出的一个永不重复的特殊标记;认证 中心接收到加密的用户特殊信息标记信息,进行解密后存储起来。
6、 根据权利要求5所述的不同网络和系统间自动认证识别用户身份并且登录的方法,其特征在于,步骤B括如下步骤Bl.用户访问其他子系统,其他子系统将用户访问客户端携带的特殊标记信息进行解密;B2.用户数据认证中心根据接收到的其他子系统通过网络发来的用户标记信息,在用户数据中心进行査询;B3.若未发现有符合标记信息的査询结果,则其他子系统执行显示用户登录界 面操作;若发现有符合标记信息的査询结果,则其他子系统将用户状态设置为 己经登录。
7、 一种用于多种网络业务的服务认证系统,它包括特殊标记信息产生装置用以产生特殊的标记信息,用以发生随机的、永不重复 的标记信息,用以区分用户身份;数据加解密装置对所有数据进行加密,包括设定在访问客户端的特殊标记信息 加密和传输过程中的数据加密和解密;数据传输装置用以子系统和用户认证中心之间的数据的传递输送;用户信息认证装置用提供的用户标记信息,进行查询处理认证,用以确认用户 的身份;用户信息存储装置利用大型容灾级别的高性能存储装置存放用户的身份数据和 密钥等核心数据。
8、 根据权利要求7所述的用于多种网络业务的服务认证系统,其特征在于 所述用户信息存储装置,包括-信息录入装置由其他子系统发送来搜集、录入信息数据; 数据存储装置存储各种用户的身份信息、登录信息、特殊标记状态、密钥 等相关资料数据;信息査询装置用各种关键条件组合,以查询用户的身份信息、登录信息、 特殊标记状态、密钥等数据。
9、 根据权利要求8所述的用于多种网络业务的服务认证系统,其特征在于 所述信息录入装置,包括发送用户信息到中心认证服务器单元; 中心认证服务器将用户信息传输给信息录入单元; 査询数据存储装置中是否有用户信息的单元; 记录自身操作日志单元。
10、 根据权利要求8所述的用于多种网络业务的服务认证系统,其特征在于 所述数据存储装置,还包括一个同步装置,进行远程异地的备份认证数据中心进 行容灾备份;还包括一个日志记录装置,所有对数据存储装置的操作都会被单独的记 录,包括了操作进程号,用户和操作前的数据,影响到的数据等等。
11、根据权利要求8所述的用于多种网络业务的服务认证系统,其特征在于 所述信息查询装置,包括查询用户的登录信息发送到中心认证服务器单元; 中心认证服务器将信息处理后发送给信息查询单元;安全处理单元判断是否是合法的査询请求、是否是过期请求、请求周期是 否正常、请求的数据内容是否正常、请求的数据包长度是否合适; 进入数据存储装置向数据库进行査询单元; 中心认证服务器将査询结果进行加密后发送单元。
全文摘要
本发明公开了一种在多网络条件下,不同系统间自动认证识别用户身份并且登录的方法及其装置。在方法中,已经登录某一系统的用户,通过网络访问其他系统的时候,其他系统会自动启动用户特征识别认证模块;根据加密过的用户特定的特征识别信息进行解密,向用户数据中心提出查询申请;用户数据中心接到查询申请以后,会自动在相关的数据库里面进行查询;如果发现相关的用户,会将用户的数据发送给查询发起系统的用户特征识别认证模块;用户特征识别认证模块则会自动将用户的授权状态设置为已经在本系统登录。该装置包括判断用户是否为合法安全用户的装置,用于设置用户授权状态的设置装置,用户验证用户数据的装置和用于加解密用户数据的装置。
文档编号H04L9/32GK101388774SQ20081015503
公开日2009年3月18日 申请日期2008年10月24日 优先权日2008年10月24日
发明者阳 付, 成俊杰 申请人:焦点科技股份有限公司