多级认证方法和多级认证系统的制作方法

文档序号:7696043阅读:211来源:国知局
导航: X技术> 最新专利>电子通信装置的制造及其应用技术
专利名称:多级认证方法和多级认证系统的制作方法
技术领域
本发明涉及网络安全技术,尤其涉及一种多级认证方法和多级认证系统。
背景技术
随着互联网和企业信息化的不断发展,用来实现统一认证和单点登录
(Single Sign On,以下简称SSO)的身份认证技术也随之快速发展。
现有技术主要有三种身份认证方式。 一个是基于传输层的统一身份认证 方法。在该方法中,用户首先在各种应用系统处采用统一账号进行登录,然 后所有的应用系统都向统一身份认证服务器发送验证请求,得到响应消息后 应用系统再决定是否提供服务给用户。但是,该方法没有单点登录的功能即 再次访问时需要重新登录,而只是进行统一认证。另一个是基于应用层超文 本传输协议(Hypertext Transfer Protocol,以下简称HTTP)传输的统一身份认 证及单点登录方法。在该方法中,统一身份认证服务器和服务提供者之间是 通过应用层HTTP协议建立通信管道, 一般要使用HTTP重定向来完成通信, 而单点登录一般都采用不安全的Cookie技术来实现,体系结构中服务提供商 的服务器一般都只能是web服务器。再一个是基于简单对象访问协议(Simple Object Access Protocol,以下简称SOAP )传输的统一身份认证及单点登录 方法。在该方法中,统一身份认证服务器与服务提供者之间是采用SOAP传 输来建立通信管道。该方法完全基于XML技术,采用安全断言标记语言 (Security Assertion Markup Language,以下简称SAML)协议的形式来规 定统一身份认证服务器和服务提供者之间交换的消息。
但是,现有技术是存在缺陷的。如果遇到诸如修改本地Cookie值之类的 攻击时,应用基于Cookie的SSO可能会无法登陆或被人冒名登陆;如果有 恶意者通过攻击域名系统(DomainName System,以下简称DNS )服务器来劫持浏览器时,Cookie将会被发送到其他的服务器上,从而使得用户信息 被窃取;恶意者可以通过劫持数据包或者利用破解算法或是找到调用接口在 外部调用算法接口来窃取用户登录信息;由于使用SSO进行统一登陆,当有 新系统接入或是兼容旧系统时,需要对登录功能模块做较大调整,从而导致 效率和稳定性降低,不能灵活扩展。

发明内容
本发明的目的是针对现有技术的缺陷,提供一种多级认证方法和多级认 证系统,以达到认证方式安全,扩展灵活以及单点登录、统一服务的效果。
为实现上述目的,本发明提供了一种多级认证方法,包括
对接收到的资源访问请求进行第一多级校验,校验成功后返回访问凭证 索引和相应的地址信息;
根据接收的访问凭证索引进行第二多级校验,校验成功后返回所述地址 信息所对应的资源数据。
为实现上述目的,本发明还提供了一种多级认证系统,包括
第一校验模块,用于对接收到的资源访问请求进行第一多级校验,校验 成功后返回访问凭证索引和相应的地址信息;
第二校验模块,用于根据接收的访问凭证索引进行第二多级校验,校验 成功后返回所述相应的地址信息所对应的资源数据。
由上述技术方案可知,本发明通过向用户终端返回访问凭证索引而不是 访问凭证,能够提高用户访问信息的安全性。由于采用了多级认证,能够支 持多个认证系统的接入和移除,在不改变现有的校验方式的情况下接入更多 的子系统资源,并使这些子系统资源能够采用自己的校验方式进行校验,从 而达到扩展灵活的效果,在用户终端通过第 一多级校验后再访问子系统资源 的时候不需要重新校验,从而达到单点登录,统一服务的效果。
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。


图1为本发明多级认^〖正方法第一实施例的流程图2为本发明多级认证方法第二实施例用户登录的流程图3为本发明多级认证方法第二实施例第一多级校验的流程图4为本发明多级认证方法第二实施例第二多级校验的流程图5为本发明多级认证系统第一实施例的结构框图6为本发明多级认证系统第二实施例的结构框图。
具体实施例方式
图1为本发明多级认证方法第一实施例的流程图。如图1所示,该方法 包括
步骤101、对接收到的资源访问请求进行第一多级校验,校验成功后返 回访问凭证索? 1和相应的地址信息;
本次多级校验是针对该资源访问请求中携带的与用户登录信息对应的用 户的合法身份进行校验,也就是判断该用户是否已经登录成功,且校验过程 为逐级校验。该校验过程可以为登录认证服务器对接收到的资源访问请求 进行第一多级校验,在校验失败后,登录认证服务器就向用户终端反馈资源 访问请求失败信息,即说明该用户还没有成功登录;如果校验成功,说明该 用户已经成功登录,则向用户终端返回访问凭证索引以及与该用户的访问权 限对应的地址信息。该访问凭证索引与该用户的访问凭证是对应的,该地址 信息就是该用户有权访问的资源的地址信息。此处向用户终端返回访问凭证 索引信息而不是直接返回访问凭证,因此用户终端在登录认证服务器中存储 的访问凭证是唯一的,而用户终端在每次向登录认证服务器发送资源访问请 求时所使用的访问凭证索引是变化的,因此,能够提供认证的安全性。
步骤103、根据接收的访问凭证索引进行第二多级校验,校验成功后返 回该地址信息所对应的资源lt据。用户终端在访问上述地址信息想要获取与该地址信息对应的资源数据 时,会将访问凭证索引以及该地址信息同时发送给单点登录服务器,然后单 点登录服务器即根据该访问凭证索引进行第二多级校验,在校验失败时向用 户终端反馈校验失败信息,如果校验成功,则将与该地址信息对应的资源数 据反馈给用户终端。第二多级校验的过程事实上就是用户终端所需访问的系
的过程。当系统资源中集成了多个子系统资源,则各个子系统资源均可以采 用与自己向匹配的校验方式对用户的访问权限进行校验。
用户访问信息的安全性。由于采用了多级认证,能够支持多个认证系统的接 入和移除,在不改变现有的校验方式的情况下接入更多的子系统资源,并使 这些子系统资源能够采用自己的校验方式进行校验,从而达到扩展灵活的效 果,在用户终端通过第 一多级校验后再访问子系统资源的时候不需要重新校 验,从而达到单点登录,统一服务的效果。
图2-图4为本发明多级认证方法第二实施例的流程图。本发明多级认 证方法第二实施例包括用户终端登录获取用户令牌以及资源标识列表的过 程、用户终端获取访问子系统的访问凭证索引的过程以及在访问子系统时对
图2为本发明多级认证方法第二实施例用户终端登录的流程图。如图2 所示,该图即为用户终端根据用户登录信息获取用户令牌和资源标识列表的 流程图。用户登录的过程包括
步骤201、用户终端将用户登录信息发送给登录认证服务器。 该用户登录信息包括用户名、密码以及用户终端的本地信息。该本地信 息既可以为用户终端的IP地址,也可以为用户终端的MAC地址。需要说明的 是,在用户终端向登录认证服务器传输用户登录信息前,可以采用安全套接 层(Secure Socket Layer,以下简称SSL)协议对用户名、密码以及用户 终端的本地信息进行加密处理。步骤203、登录认证服务器从用户信息数据库中获取与该用户登录信息 对应的用户信息并根据该用户信息对用户身份进行校验,
步骤205、判断校验是否成功,如果成功则执行步骤207,否则执行步骤
209。
步骤207、生成用户凭证,根据用户凭证获取用户凭证索引,根据该用
户凭证索引生成用户令牌。
步骤209、登录认证服务器向用户终端反馈校验失败信息。
生成用户令牌的过程即为对用户凭证索引加密的过程,该过程也可采用
SSL协议进行。
步骤211、登录认证服务器从用户信息数据库中获取与用户登录信息对 应的资源标识列表。
资源的标识,在后续用户终端可以通过发送该标识登录与该标识对应的子系 统进行进一 步的认证。
步骤213、登录认证服务器将该用户令牌和该资源标识列表发送给用户终端。
步骤215、用户终端在浏览器緩存中设置与本次登录对应的进程内 Cookie。
此处在浏览器緩存内设置进程内Cookie,能够使生成Cookie与用户终 端的本地信息直接关联,从而使得从其它用户终端上移植过来的Cookie都是 非法的,同时在浏览器的緩存中保留的Cookie是一个索引,因此即使一台机 器在不同的时刻登录,其产生的索引值也是不相同的,有效地解决了 Cookie 的修改替换问题。
中,由于用户终端发送的用户名和密码均采用SSL加密后的字符串,因此无 法解密,同时在生成用户令牌的过程中还要使用用户终端的本地信息,能够 将该用户令牌与用户终端的本地信息绑定,而且返回给用户终端的用户令牌只是用户身份凭证的索引值而非用户身份凭证,因此,能够有效地避免用户 身份凭证被网络劫持,有效防范DNS攻击,保证了用户信息的安全性。
图3为本发明多级认证方法第二实施例第一多级校验的流程图。如图3 所示,该第一多级校验的流程图包括
步骤301、用户终端向登录认证服务器发送资源访问请求。
在用户终端已经成功登录系统时,用户终端就要使用该系统中的子系统 资源,于是用户终端就要向登录认证服务器发送资源访问请求,请求访问子 系统资源,在该资源访问请求中携带了图2中生成的用户令牌和资源标识。 该资源标识即为资源标识列表中的某一个标识,该标识与用户终端需要访问 的地址信息相对应。
步骤303、登录认证服务器对用户令牌进行校验。
步骤305、根据校验结果进行判断,如果校验成功则执行步骤307,否则 执行步骤309;
判断,如果校验成功就代表已经成功登录,即可对该用户令牌进行解密,获 取该用户令牌中的用户凭证索引,如果校验不成功则说明用户终端还没有成 功登录上层系统,向用户终端发送用户令牌校验失败信息即通知用户终端重 新登录。
步骤309、登录认证服务器向用户终端返回用户令牌校验失败信息
步骤311、判断校验是否成功,如果成功则执行步骤313,否则执行步骤
315。
在图2中用户终端登录注册时即可获取用户凭证,该用户凭证就存储在 登录认证服务器中,步骤307中对该用户凭证进行校验即为将根据用户令牌 获取的用户凭证与登录认证服务器中的用户凭证进行比对,如果存在这样的 用户凭证则说明用户身份是合法的。步骤313、登录认证服务器从用户信息数据库中获取与该用户凭证对应 的地址信息,生成访问凭证,并将该访问凭证索引和地址信息发送给用户终 端。
步骤315、登录认证服务器向用户终端返回用户凭证校验失败信息。
在步骤311校验成功时,登录认证服务器就从用户信息数据库中获取与 该用户凭证的权限相符合的资源地址信息。该地址信息即为与用户终端发送 的资源列表中需要访问的资源标识对应的地址信息。同时还要生成用户有权 限访问该子系统的访问凭证,并将该访问凭证所对应的访问凭证索引和地址 信息发送给用户终端。
在上述第一校验的过程中, 一共使用了两级校验。首先,对用户令牌的 校验保证了资源访问请求必须从已经成功登录的合法的用户终端发送而来, 由于该用户令牌中以经包括了用户终端的本地信息,因此能够防止其它用户 终端篡改或使用本用户终端的合法信息;其次,在用户令牌校验成功后对进 一步对用户凭证进行校验,即与服务器中保存的用户信息进行校验,能够进 一步提高身份认证的可靠性。
图4为本发明多级认证方法第二实施例第二多级校验的流程图。如图4 所示,该第二多级校验包括
步骤401、用户终端向单点登录代理服务器发送地址信息以及访问凭证 索引。
户终端向单点登录代理服务器发送地址信息即为请求访问与该地址信息对应 的资源数据,在发送的同时还要发送用户终端的访问凭证索引,该访问凭证 索引即为用户终端在当前所要访问的子系统中的身份凭证。
步骤403、单点登录代理服务器根据该访问凭证索引判断是否存在与该 访问凭证索引对应的访问凭证,如果不存在则执行步骤405,否则执行步骤 407。
该判断过程即为单点登录服务器对该访问凭证索引进行校验,查询该用户终端的访问凭证索引是否有效即当前单点登录代理服务器中是否存在该访 问凭证索引。
步骤405、单点登录代理服务器向用户终端返回访问失败信息。 步骤407、单点登录服务器根据访问凭证索引对访问凭证进行校验。 步骤409、判断校验是否成功,如果失败则执行步骤411,否则执行步骤
413。
步骤411、向用户终端返回访问失败信息。
步骤413、单点登录服务器从用户信息数据库中获取用户权限信息,并 向用户终端返回与用户权限信息对应的资源数据。
步骤415、单点登录代理服务器删除访问凭证索引。
在单点登录服务器向用户终端返回对应的资源数据后,单点登录代理服 务器要将本次访问子系统资源的访问凭证索引。在下次访问时又使用的是不
同的访问凭证索引,因此能够提高系统资源的访问安全性。
在上述第二多级校验的过程中,也使用了两级校验。用户在访问子系统
高用户访问信息的安全性。在传输该访问凭证索引的过程中也可以使用SSL 协议对该访问凭证索引进行加密以提高传输安全性。由于采用的是多级认证 的方式,因此单点登录代理服务器可以无缝接入任意子系统,在用户需要访 问该子系统的时候该子系统就可以采用自己的校验方式对用户访问凭证进行 校验,扩展十分方便灵活。
综上可知,本发明多级认证方法使生成的Cookie与用户终端的本地信息 直接关联,这样任何从其他用户终端上移植过来的cookie都是非法的,而且 可以有效的避免被网络劫持,同时在整个过程中传输的都是凭证的索引值, 该索引值为动态生成,因此,即使是同一台机器在不同时期登陆,产生的索 引值都不同,从而有效解决了 Cookie的修改替换问题。在传输的过程中,可 以对用户名、密码以及各个索引应用SSL进行加密传输,可以防范DNS攻击。 该方法支持多个认证系统的接入,可以无缝的把登陆认证或是系统校验的权限交接给各个子系统,这样使接入到认证系统的子系统无"i仑接入还是移除都 非常灵活。而且,在用户终端通过第一多级校验后,再访问子系统资源的时 候不需要重新校验,从而达到单点登录,统一服务的效果。图5为本发明多级认证系统第一实施例的结构框图。如图5所示,该系统包括第一校验模块1和第二校验模块2。第一校验模块1对接收到的资 源访问请求进行第一多级校验,校验成功后返回访问凭证索? 1和相应的地址 信息;第二校验模块2根据接收的访问凭证索引进行第二多级校验,校验成 功后返回相应的地址信息所对应的资源数据。具体地,第一校验模块1对接收到的资源访问请求进行第一多级校验, 在校验失败后,第一校验模块1就向用户终端反馈资源访问请求失败信息, 即说明该用户还没有成功登录;如果校验成功,说明该用户已经成功登录, 则向用户终端返回访问凭证索引以及与该用户的访问权限对应的地址信息。 该访问凭证索引与该用户的访问凭证是对应的,该地址信息就是该用户有权返回访问凭证,因此用户终端在第一校验模块l中存储的访问凭证是唯一的, 而用户终端在每次向登录认证服务器发送资源访问请求时所使用的访问凭证 索引是变化的,因此,能够提供认证的安全性。用户终端在访问上述地址信息想要获取与该地址信息对应的资源数据 时,会将访问凭证索引以及该地址信息同时发送给第二校验模块2,然后第 二校验模块2根据该访问凭证索引进行第二多级校验,在校验失败时向用户 终端反馈校验失败信息,如果校验成功,则将与该地址信息对应的资源数据 反馈给用户终端。第二校验模块2的校验过程事实上就是用户终端所需访问校验的过程。当系统资源中集成了多个子系统资源,则各个子系统资源均可本实施例第一校验模块向用户终端返回访问凭证索引而不是访问凭证, 提高了用户访问信息的安全性。第二校验模块支持多个认证系统的接入和移除,在不改变现有的校验方式的情况下接入更多的子系统资源,并使这些子 系统资源能够采用自己的校验方式进行校验,从而达到扩展灵活的效果,在 用户终端通过第 一校验模块的校验后再访问子系统资源的时候不需要重新校 验,从而达到单点登录,统一服务的效果。图6为本发明多级认证系统第二实施例的结构框图。如图6所示,该系统包括第一校验模块1和第二校验模块2。第一校验模块1对接收到的资 源访问请求进行第一多级校验,校验成功后返回访问凭证索;1和相应的地址 信息;第二校验模块2根据接收的访问凭证索引进行第二多级校验,校验成 功后返回相应的地址信息所对应的资源数据。该系统还包括用户终端3和 用户信息数据库4。用户终端3向第一校验模块1发送资源访问请求,并在 第一校验模块1校验成功时向第二校验模块2发送访问凭证索引;用户信息 数据库4中存储了第一校验模块1进行第一多级校验所需的用户信息以及第 二校验模块2完成第二校验后向用户终端3返回的与地址信息对应的资源数 据。该第一校验模块1可以进一步包括登录校验单元10和认证校验单元 11 。登录校验单元10对用户终端3发送的用户令牌进行校验,校验成功时从 用户令牌中获取用户凭证索引;认证校验单元11根据该用户凭证索引对用户 凭证进行校验,校验成功时从用户信息数据库4中获取相应的地址信息,生 成访问凭证,并将该访问凭证索引和相应的地址信息发送给用户终端3。该 第二校验模块2可以进一步包括单点登录代理单元20和单点登录服务单元 21。单点登录代理单元20根据访问凭证索引判断是否存在与该访问凭证索引 对应的访问凭证;单点登录服务单元21在存在访问凭证时对该访问凭证进行 校验,在校验成功时从用户信息数据库4中获取用户权限信息,并向用户终 端3返回与用户权限信息对应的资源数据。具体地,用户终端3将用户登录信息发送给第一校验模块1中的登录校 验单元IO。该用户登录信息包括用户名、密码以及用户终端的本地信息。该 本地信息既可以为用户终端的IP地址,也可以为用户终端的MAC地址。需要 说明的是,在用户终端向登录认证服务器传输用户登录信息前,可以采用SSL协议对用户名、密码以及用户终端的本地信息进行加密处理。登录校验单元IO从用户信息数据库4中获取与该用户登录信息对应的用户信息并根据该用 户信息对用户身份进行校验,如果校验失败向用户终端3反馈校验失败信息, 否则,认证校验单元11生成用户凭证,根据用户凭证获取用户凭证索引,根 据该用户凭证索引生成用户令牌。生成用户令牌的过程即为对用户凭证索引 加密的过程,该过程也可采用SSL协议进行。登录校验单元IO从用户信息数 据库4中获:f又与用户登录信息对应的资源标识列表。该资源标识列表中包括 与该用户的访问权限匹配的所有可以访问的系统资源的标识,在后续用户终 端可以通过发送该标识登录与该标识对应的子系统进行进一步的认证。最后, 登录校验单元10将该用户令牌和该资源标识列表发送给用户终端3。此时用 户终端3可以在浏览器緩存中设置与本次登录对应的进程内Cookie,该设置 能够使生成的Cookie与用户终端的本地信息直接关联,从而使得从其它用户 终端上移植过来的Cookie都是非法的,同时在浏览器的緩存中保留的Cookie 是一个索引,因此即使一台机器在不同的时刻登录,其产生的索引值也是不 相同的,有效地解决了 Cookie的修改替换问题。上述用户终端从登录认证服务器获取用户令牌和资源标识列表的方法 中,由于用户终端发送的用户名和密码均采用SSL加密后的字符串,因此无 法解密,同时在生成用户令牌的过程中还要使用用户终端的本地信息,能够 将该用户令牌与用户终端的本地信息绑定,而且返回给用户终端的用户令牌 只是用户身份凭证的索引值而非用户身份凭证,因此,能够有效地避免用户 身份凭证被网络劫持,有效防范DNS攻击,保证了用户信息的安全性。在用户终端3获取用户令牌和资源标识列表后,再向登录校验单元10发 送资源访问请求。在用户终端已经成功登录系统时,用户终端就要使用该系统中的子系统 资源,于是用户终端就要向登录认证服务器发送资源访问请求,请求访问子 系统资源。该资源标识即为资源标识列表中的某一个标识,该标识与用户终 端需要访问的地址信息相对应。然后,登录校验单元IO对用户令牌进行校验,校验失败则向用户终端3返回用户令牌校验失败信息,否则认证校验单元11从用户令牌中获取用户凭 证索引并根据用户凭证索引对用户凭证进行校验。判断,如果校验成功就代表已经成功登录,即可对该用户令牌进行解密,获 取该用户令牌中的用户凭证索引,如果校验不成功则说明用户终端还没有成功登录上层系统,向用户终端3发送用户令牌校验失败信息即通知用户终端 3重新登录。凭证校验失败信息,否则登录校验单元10从用户信息数据库4中获取与该用 户凭证对应的地址信息,生成访问凭证,并将该访问凭证索引和地址信息发 送给用户终端3。在用户终端3登录注册时即可获取用户凭证,该用户凭证就存储在认证 校验模块ll中,在校验时,认证校验模块11将根据用户令牌获取的用户凭 证与其存储的用户凭证进行比对,如果存在这样的用户凭证则说明用户身份 是合法的。然后登录校验模块10就从用户信息数据库4中获取与该用户凭证 的权限相符合的资源地址信息。该地址信息即为与用户终端发送的资源列表 中需要访问的资源标识对应的地址信息。同时还要生成用户有权限访问该子 系统的访问凭证,并将该访问凭证所对应的访问凭证索引和地址信息发送给 用户终端3。在用户终端3获取访问凭证后就要进一步使用子系统资源数据。首先, 用户终端3向第二校验模块2中的单点登录代理单元20发送地址信息以及访 问凭证索引。用户终端3向单点登录代理单元20发送地址信息即为请求访问与该地址信息 对应的资源数据,在发送的同时还要发送用户终端的访问凭证索引,该访问 凭证索引即为用户终端3在当前所要访问的子系统中的身份凭证。然后,单点登录代理单元20根据该访问凭证索引判断是否存在与该访问 凭证索引对应的访问凭证,如果不存在则向用户终端3返回访问失败信息, 否则单点登录服务单元21根据访问凭证索引对访问凭证进行校验。如果校验失败则向用户终端3返回访问失败信息,否则,单点登录服务单元21从用户 信息数据库4中获取用户权限信息,并向用户终端3返回与用户权限信息对 应的资源数据。最后,单点登录代理单元还要删除访问凭证索引。在单点登 录服务器向用户终端返回对应的资源数据后,单点登录代理服务器要将本次 访问子系统资源的访问凭证索引。在下次访问时又使用的是不同的访问凭证 索引,因此能够提高系统资源的访问安全性。综上可知,本发明多级认证系统采用第 一校验模块和第二校验模块进行 多级校验,使生成的Cookie与用户终端的本地信息直接关联,这样任何从其 他用户终端上移植过来的cookie都是非法的,而且可以有效的避免^皮网络劫 持,同时在整个过程中传输的都是凭证的索引值,该索引值为动态生成,因 此,即使是同一台机器在不同时期登陆,产生的索引值都不同,从而有效解 决了 Cookie的修改替换问题。在传输的过程中,可以对用户名、密码以及各 个索引应用SSL进行加密传输,可以防范DNS攻击。该系统由于对子系统访 问权限的校验为逐级进行,因此支持多个认证系统的接入,可以无缝的把登 陆认证或是系统校验的权限交接给各个子系统,这样使接入到认证系统的子 系统无论接入还是移除都非常灵活。而且,在用户终端通过第一多级校验后, 再访问子系统资源的时候不需要重新校验,从而达到单点登录,统一服务的 效果。最后应说明的是以上实施例仅用以说明本发明的技术方案而非对其进行 限制,尽管参照较佳实施例对本发明进行了详细的说明,本领域的普通技术 人员应当理解其依然可以对本发明的技术方案进行修改或者等同替换,而 这些修改或者等同替换亦不能使修改后的技术方案脱离本发明技术方案的精 神和范围。
权利要求
1、一种多级认证方法,其特征在于,包括对接收到的资源访问请求进行第一多级校验,校验成功后返回访问凭证索引和相应的地址信息;根据接收的访问凭证索引进行第二多级校验,校验成功后返回所述地址信息所对应的资源数据。
2、 根据权利要求1所述的多级认证方法,其特征在于,所述对接收到的 资源访问请求进行第一多级校验之前包括用户终端发送资源访问请求,所 述资源访问请求中携带用户令牌和资源标识。
3、 根据权利要求2所述的多级认证方法,其特征在于,所述用户终端发 送资源访问请求之前包括所述用户终端根据用户登录信息获取所述用户令牌和所述资源标识列 表,所述用户登录信息包括用户名、密码以及所述用户终端的本地信息。
4、 根据权利要求3所述的多级认证方法,其特征在于,所述用户终端根 据用户登录信息获取所述用户令牌和所述资源标识列表之后包括所述用户终端在浏览器緩存中设置与本次登录对应的进程内Cookie。
5、 根据权利要求4所述的多级认证方法,其特征在于,所述返回访问凭 证索引和相应的地址信息之后包括用户终端接收所述访问凭证索引和相应的地址信息。
6、 根据权利要求5所述的多级认证方法,其特征在于,所述根据接收的 访问凭证索《I进行第二多级校验之前包括所述用户终端发送所述相应的地址信息以及所述访问凭证索引。
7、 根据权利要求6所述的多级认证方法,其特征在于,所述用户终端根 据用户登录信息获取所述用户令牌和所述资源标识列表具体为从用户信息数据库中获取与所述用户登录信息对应的用户信息,根据所 述用户信息对用户身份进行校验,校验成功时生成用户凭证,根据所述用户凭证获取用户凭证索引,根据所述用户凭证索引生成所述用户令牌,并从所 述用户信息数据库中获取与所述用户登录信息对应的所述资源标识列表,并 将所述用户令牌和所述资源标识列表发送给所述用户终端。
8、 根据权利要求7所述的多级认证方法,其特征在于,所述对接收到的 资源访问请求进行第 一多级校验具体为对所述用户令牌进行校验,校验成功时从所述用户令牌中获取所述用户 凭证索引,根据所述用户凭证索引对所述用户凭证进行校验,校验成功时从
9、 根据权利要求6所述的多级认证方法,其特征在于,所述根据接收的 访问凭证索51进行第二多级校验具体为根据所述访问凭证索引判断是否存在与所述访问凭证索引对应的访问凭 证,在存在时对所述访问凭证进行校验,在校验成功时从所述用户信息数据 库中获取用户权限信息,并向所述用户终端返回与所述用户权限信息对应的 资源数据。
10、 根据权利要求1所述的多级认证方法,其特征在于,所述返回所述 相应的地址信息所对应的资源数据之后还包括删除所述访问凭证索引。
11、 一种多级认证系统,其特征在于,包括第一校验模块,用于对接收到的资源访问请求进行第一多级校验,校验 成功后返回访问凭证索引和相应的地址信息;第二校验模块,用于根据接收的访问凭证索引进行第二多级校验,校验 成功后返回所述相应的地址信息所对应的资源数据。
12、 根据权利要求11所述的多级认证系统,其特征在于,还包括 用户终端,用于向所述第一校验模块发送资源访问请求,并在所述第一校验模块校验成功时向第二校验模块发送所述访问凭证索引;用户信息数据库,用于存储所述第 一校验模块进行第 一多级校验所需的用户信息以及第二校验模块完成第二校验后向所述用户终端返回的与所述地 址信息对应的资源数据。
13、 根据权利要求12所述的多级认证系统,其特征在于,所述第一校验 模块包括登录校验单元,用于对所述用户终端发送的用户令牌进行校验,校验成 功时从所述用户令牌中获取所述用户凭证索引;认证校验单元,用于根据所述用户凭证索引对用户凭证进行校验,校验 成功时从用户信息数据库中获取所述相应的地址信息,生成访问凭证,并将 所述访问凭证索引和所述相应的地址信息发送给所述用户终端。
14、 根据权利要求12所述的多级认证系统,其特征在于,所述第二校验 模块包括单点登录代理单元,用于根据所述访问凭证索引判断是否存在与所述访 问凭证索引对应的访问凭证;单点登录服务单元,用于在存在所述访问凭证时对所述访问凭证进行校 验,在校验成功时从所述用户信息数据库中获取用户权限信息,并向所述用 户终端返回与所述用户权P艮信息对应的资源数据。
全文摘要
本发明公开了一种多级认证方法和多级认证系统,方法包括对接收到的资源访问请求进行第一多级校验,校验成功后返回访问凭证索引和相应的地址信息;根据接收的访问凭证索引进行第二多级校验,校验成功后返回所述地址信息所对应的资源数据。系统包括第一校验模块,用于对接收到的资源访问请求进行第一多级校验,校验成功后返回访问凭证索引和相应的地址信息;第二校验模块,用于根据接收的访问凭证索引进行第二多级校验,校验成功后返回所述相应的地址信息所对应的资源数据。本发明达到认证方式安全,扩展灵活以及单点登录、统一服务的效果。
文档编号H04L9/32GK101335626SQ20081011787
公开日2008年12月31日 申请日期2008年8月6日 优先权日2008年8月6日
发明者佳 彭 申请人:中国网通集团宽带业务应用国家工程实验室有限公司
完整全部详细技术资料下载
  • 该技术已申请专利。仅供学习研究,如用于商业用途,请联系技术所有人。
  • 技术研发人员:彭佳
  • 技术所有人:中国网通集团宽带业务应用国家工程实验室有限公司
  • 我是此专利的发明人
相关技术
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1
精彩留言,会给你点赞!
多级分销系统相关技术
多级代理管理系统相关技术
多级分销管理系统相关技术
多级会员佣金系统源码相关技术
多级下线推广系统源码相关技术
php多级代理商系统相关技术
多级代理管理系统源码相关技术

使用协议| 关于我们| 联系X技术

© 2008-2024 【X技术】 版权所有,并保留所有权利。津ICP备16005673号-2