一种单点登录系统的制作方法
【专利摘要】本实用新型公开了一种单点登录系统,用于实现通过安全芯片来完成单点登录的核心功能,提高单点登录的安全性。所述方法包括:网络端,用于根据接收到的令牌请求消息生成令牌响应消息,并将所述令牌响应消息返回至安全装置;对应用程序对应的身份认证信息进行认证;安全装置,与所述网络端连接,用于存储用户在所述认证服务器上的注册信息。本实用新型使得单点登录的过程不再全部由应用程序完成,而是由安全装置来完成与安全性相关的核心功能,从而使其他恶意软件无法窃取、破坏或篡改注册信息等核心数据,更无法对安全操作的登录过程进行干预或破坏,避免了使用软件实现单点登录带来的各类安全隐患,提高了单点登录的安全性。
【专利说明】
一种单点登录系统
技术领域
[0001]本实用新型涉及通信技术领域,尤其涉及一种单点登录系统。
【背景技术】
[0002]为保证只有合法的用户才能使用相关资源或功能,资源服务器需要在提供服务之前对用户的身份进行认证。而由于当前智能手机中应用程序的不断丰富,因此存在大量不同的应用程序都要进行用户身份认证,如果众多的应用程序都各自使用一套自有的身份认证方案,将导致用户需要维护多个账号,并频繁的参与身份认证,带来操作上很大的不便和安全上的隐患,单点登录方案是目前解决该问题中常用的一种安全机制。通过使用单点登录机制,各应用中的认证功能可以统一整合,简化用户使用时的复杂度,提高身份认证的安全性。当采用单点登录后,用户访问多个应用、服务或资源时,无需重复进行登录等操作,系统可以自行完成对用户身份的认证。
[0003]现有的单点登录方法中,手机上的单点登录功能集成在某一应用程序中,所有的安全计算和存储都是软件实现的。实现过程如下:当有应用A需要进行身份认证时,调用具备单点登录功能的应用B;应用B将使用存储在手机内存中的密码、应用密钥等信息组成令牌请求消息,并发送至认证服务器;认证服务器验证请求合法后,下发令牌响应信息;应用B解析该响应信息获得令牌,并保存在手机内存中;将访问地址重定到应用A对应的资源服务器,使用内存中的令牌实现身份认证;资源服务器与认证服务器交互确认用户身份,完成单点登录。
[0004]可见,现有的单点登录方法由于所有处理都是由具备单点登录功能的应用软件实现,因此在整个单点登录过程中,认证过程中所有消息的生成和解析全部通过软件实现;用户的密码、应用的密钥和令牌等重要数据都保存在手机内存中;对数据的所有安全保护操作也是由软件在手机内存中完成实现。所以,这些作为身份认证的核心数据和操作都缺乏足够的安全防护隔离措施,很可能被其他恶意应用软件所窃取、破坏或修改,造成身份认证的失败或身份被冒用等后果,进而导致用户的重要数据信息被窃取或者被破坏等危害,当用户为具备较高权限的特殊用户时,甚至可能带来重大的社会或经济危害。
【实用新型内容】
[0005]本实用新型实施例提供一种单点登录系统,用于实现通过安全芯片来完成单点登录的核心功能,提高单点登录的安全性。
[0006]一种单点登录系统,包括:
[0007]网络端,用于根据接收到的令牌请求消息生成令牌响应消息,并将所述令牌响应消息返回至安全装置;对应用程序对应的身份认证信息进行认证;
[0008]安全装置,与所述网络端连接,用于存储用户在所述认证服务器上的注册信息;当接收到生成用于登录应用程序的令牌请求消息的信息时,根据所述注册信息生成所述令牌请求消息,并将所述令牌请求消息发送给所述网络端;当接收到所述网络端发送的与所述令牌请求消息相对应的令牌响应消息时,对所述令牌响应消息进行解析,获得所述应用程序的登录令牌;根据所述登录令牌生成所述应用程序对应的身份认证信息。
[0009]本实用新型实施例的一些有益效果可以包括:
[0010]上述单点登录系统,通过安全装置与网络端之间的信息交互,使得单点登录的过程不再全部由应用程序完成,而是由安全装置来完成与安全性相关的核心功能,且核心数据如注册信息等都存储在安全装置中,而不是手机内存中,从而使其他恶意软件无法窃取、破坏或篡改注册信息等核心数据,更无法对安全操作的登录过程进行干预或破坏,避免了使用软件实现单点登录带来的各类安全隐患,提高了单点登录的安全性。
[0011]在一个实施例中,所述网络端包括:
[0012]认证服务器,与安全装置连接,用于根据接收到的令牌请求消息生成令牌响应消息,并将所述令牌响应消息返回至所述安全装置;
[0013]资源服务器,与所述安全装置和所述认证服务器连接,用于对所述应用程序对应的身份认证信息进行认证。
[0014]在一个实施例中,所述安全装置包括终端和安全芯片。
[0015]该实施例中,通过安全芯片使得单点登录的核心功能不再全部由软件完成,且核心数据如注册信息等都存储在安全装置中,而不是手机内存中,从而使其他恶意软件无法窃取、破坏或篡改注册信息等核心数据,更无法对安全操作的登录过程进行干预或破坏,减少了用户身份被冒用等安全隐患出现的可能性,提高了单点登录的安全性。
[0016]在一个实施例中,所述安全芯片内嵌于所述终端内部。
[0017]该实施例中,通过将安全芯片内嵌于终端内部,使得用户使用终端进行单点登录时更加安全。
[0018]在一个实施例中,所述安全芯片上设有第一通信接口,所述终端上设有与所述第一通信接口配对连接的第二通信接口。
[0019]该实施例中,通过将安全芯片和终端利用通信接口配对连接,使得终端和安全芯片的连接简单方便,只需将安全芯片封装成终端上的通信接口形态,直接插入手机的通信接口即可实现连接。
[0020]本实用新型的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本实用新型而了解。本实用新型的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
[0021]下面通过附图和实施例,对本实用新型的技术方案做进一步的详细描述。
【附图说明】
[0022]附图用来提供对本实用新型的进一步理解,并且构成说明书的一部分,与本实用新型的实施例一起用于解释本实用新型,并不构成对本实用新型的限制。在附图中:
[0023]图1为本实用新型实施例中一种单点登录系统的框图;
[0024]图2为本实用新型实施例中一种单点登录系统的框图;
[0025]图3为本实用新型实施例中一种单点登录系统工作的流程图。
【具体实施方式】
[0026]以下结合附图对本实用新型的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本实用新型,并不用于限定本实用新型。
[0027]图1为本实用新型实施例中一种单点登录系统的框图。如图1所示,该单点登录系统1包括:
[0028]网络端11,用于根据接收到的令牌请求消息生成令牌响应消息,并将令牌响应消息返回至安全装置12;对应用程序对应的身份认证信息进行认证。
[0029]其中,注册信息包括密钥、证书、用户的身份认证信息等。
[0030]安全装置12,与网络端11连接,用于存储用户在认证服务器上的注册信息;当接收到生成用于登录应用程序的令牌请求消息的信息时,根据注册信息生成令牌请求消息,并将令牌请求消息发送给网络端11;当接收到网络端11发送的与令牌请求消息相对应的令牌响应消息时,对令牌响应消息进行解析,获得应用程序的登录令牌;根据登录令牌生成应用程序对应的身份认证信息。
[0031]本实用新型实施例的一些有益效果可以包括:
[0032]上述单点登录系统,通过安全装置与网络端之间的信息交互,使得单点登录的过程不再全部由应用程序完成,而是由安全装置来完成与安全性相关的核心功能,且核心数据如注册信息等都存储在安全装置中,而不是手机内存中,从而使其他恶意软件无法窃取、破坏或篡改注册信息等核心数据,更无法对安全操作的登录过程进行干预或破坏,减少了用户身份被冒用等安全隐患出现的可能性,提高了单点登录的安全性。
[0033]在一个实施例中,如图2所示,网络端11包括:
[0034]认证服务器111,与安全装置12连接,用于根据接收到的令牌请求消息生成令牌响应消息,并将令牌响应消息返回至安全装置。
[0035]该认证服务器111可由多台服务器联合工作实现。
[0036]资源服务器112,与安全装置12和认证服务器111连接,用于对应用程序对应的身份认证信息进行认证。
[0037]当用户使用单点登录功能登录应用程序时,资源服务器112能够与该应用程序进行通信,并对通过安全装置12返回的身份认证信息进行认证。
[0038]在一个实施例中,安全装置12包括终端和安全芯片。
[0039]其中,终端可以是移动电话,计算机,数字广播终端,消息收发设备,游戏控制台,平板设备,医疗设备,健身设备,个人数字助理等。
[0040]终端和安全芯片的连接有以下两种方式:
[0041]方式一、安全芯片内嵌于终端内部。
[0042]该方式一需要对终端进行重新设计改造,将安全芯片集成在终端内。因此,用户使用包含安全芯片的终端进行单点登录的过程更加安全。
[0043]方式二、安全芯片和终端通过各自外设的通信接口连接。
[0044]采用该方式二连接时,安全芯片上设有第一通信接口,终端上设有与第一通信接口配对连接的第二通信接口。
[0045]其中,通信接口包括但不限于TF卡(S卩MicroSD卡)接口、SIM( SubscriberIdentity Module,客户识别模块)卡接口和耳机接口等。
[0046]该实施例中,安全芯片在单点登录过程中,用于存储用户在认证服务器上的注册信息,并对该注册信息进行加密和签名保护;在接收到生成用于登录应用程序的令牌请求消息的信息时,根据存储的注册信息生成令牌请求消息,同时,还用于对令牌响应消息进行解析,从而获得用户登录应用程序的登录令牌。可见,安全芯片完成了单点登录过程中的核心功能,使得单点登录的核心功能不再全部由软件完成,且核心数据如注册信息等都存储在安全芯片中,而不是手机内存中,从而使其他恶意软件无法窃取、破坏或篡改注册信息等核心数据,更无法对安全操作的登录过程进行干预或破坏,减少了用户身份被冒用等安全隐患出现的可能性,提高了单点登录的安全性。
[0047]以下说明上述实施例中的单点登录系统的工作原理。
[0048]图3为本实用新型实施例中一种单点登录系统工作的流程图。在该实施例中,单点登录系统包括网络端和安全装置,其中,网络端包括资源服务器和认证服务器,安全装置包括终端和安全芯片,终端和安全芯片通过可配对连接的通信接口连接。如图3所示,该单点登录系统工作时包括以下步骤S301-S310。
[0049]在步骤S301中,当用户发出注册请求时,认证服务器将用户的注册信息发送给安全芯片;其中,注册信息包括密钥、证书和认证信息等。
[0050]在步骤S302中,安全芯片对用户的注册信息进行加密并存储。
[0051]在步骤S303中,当用户通过终端上的第一应用请求单点登录时,第一应用调用终端上安装的第二应用。
[0052]其中,第一应用为使用单点登录功能进行身份认证的终端应用程序;第二应用具备单点登录功能,其存在形式可以是系统服务、普通应用程序或普通后台服务等。
[0053]在步骤S304中,第二应用向安全芯片发出生成令牌请求消息的信息。
[0054]在步骤S305中,安全芯片根据预存的注册信息生成令牌请求消息,并将令牌请求消息发送给第二应用,由第二应用将令牌请求消息转发给认证服务器。
[0055]在步骤S306中,认证服务器对接收到的令牌请求消息进行认证,并在认证通过后生成令牌响应消息,将令牌响应消息发送给第二应用,由第二应用将令牌响应消息发送给安全芯片。
[0056]在步骤S307中,安全芯片对令牌响应消息进行解析,获得登录令牌,并根据该登录令牌生成第一应用对应的身份认证信息,将该身份认证信息返回给第二应用。
[0057]在步骤S308中,第二应用将身份认证信息发送给第一应用。
[0058]在步骤S309中,第一应用使用身份认证信息登录资源服务器,通过资源服务器和认证服务器对该身份认证信息进行认证。
[0059]在步骤S310中,当认证通过时,登录第一应用。
[0060]本实施例中,通过单点登录系统中的安全芯片与网络端之间的信息交互,使得单点登录的过程不再全部由应用程序完成,而是由安全芯片来完成与安全性相关的核心功能,且核心数据如注册信息等都存储在安全芯片中,而不是手机内存中,从而使其他恶意软件无法窃取、破坏或篡改注册信息等核心数据,更无法对安全操作的登录过程进行干预或破坏,避免了使用软件实现单点登录带来的各类安全隐患,提高了单点登录的安全性。
[0061]显然,本领域的技术人员可以对本实用新型进行各种改动和变型而不脱离本实用新型的精神和范围。这样,倘若本实用新型的这些修改和变型属于本实用新型权利要求及其等同技术的范围之内,则本实用新型也意图包含这些改动和变型在内。
【主权项】
1.一种单点登录系统,其特征在于,包括: 网络端,用于根据接收到的令牌请求消息生成令牌响应消息,并将所述令牌响应消息返回至安全装置;对应用程序对应的身份认证信息进行认证; 安全装置,与所述网络端连接,用于存储用户在所述认证服务器上的注册信息;当接收到生成用于登录应用程序的令牌请求消息的信息时,根据所述注册信息生成所述令牌请求消息,并将所述令牌请求消息发送给所述网络端;当接收到所述网络端发送的与所述令牌请求消息相对应的令牌响应消息时,对所述令牌响应消息进行解析,获得所述应用程序的登录令牌;根据所述登录令牌生成所述应用程序对应的身份认证信息。2.根据权利要求1所述的单点登录系统,其特征在于,所述网络端包括: 认证服务器,与安全装置连接,用于根据接收到的令牌请求消息生成令牌响应消息,并将所述令牌响应消息返回至所述安全装置; 资源服务器,与所述安全装置和所述认证服务器连接,用于对所述应用程序对应的身份认证信息进行认证。3.根据权利要求1所述的单点登录系统,其特征在于,所述安全装置包括终端和安全芯片。4.根据权利要求3所述的单点登录系统,其特征在于,所述安全芯片内嵌于所述终端内部。5.根据权利要求3所述的单点登录系统,其特征在于,所述安全芯片上设有第一通信接口,所述终端上设有与所述第一通信接口配对连接的第二通信接口。
【文档编号】H04L29/06GK205545355SQ201620114674
【公开日】2016年8月31日
【申请日】2016年2月4日
【发明人】刘衍斐, 周昕, 刘光耀, 陈妍
【申请人】公安部第研究所, 公安部第一研究所, 北京中盾安全技术开发公司