专利名称:一种统一身份认证的实现方法
技术领域:
本发明属于身份认证领域,特别涉及一种应用于用户身份认证用户与统一身份管
理的实现方法。
背景技术:
指纹是人体独一无二的特征,每个人(包括指纹在内)皮肤纹路在图案、断点和交 叉点上各不相同,也就是说,是唯一的,并且终生不变。依靠这种唯一性和稳定性,我们就可 以把一个人同他的指纹对应起来,通过比较他的指纹和预先保存的指纹进行比较,就可以 验证他的真实身份,这就是指纹识别技术。并且人类指纹的复杂度足以提供用于鉴别身份 的足够特征,如果我们想要增加可靠性,我们只需登记更多的指纹,鉴别更多的手指,最多 可以多达十个,而每一个指纹都是独一无二的;扫描指纹的速度很快,使用非常方便。
采用统一身份认证技术可提供一种安全的用户身份认证机制,不仅能识别用户身 份,而且能方便地实现跨域自动识别用户身份,即用户在跨域访问资源时,只需出示一次身 份凭证就可以实现安全登录多个域从而访问资源的功能。它的机制是"单点登录、全网漫 游",用户访问系统作一次身份认证,随后就可以对所有被授权的网络资源进行无缝访问, 而不需要多次输入的认证信息。这种登陆方式,减少了在不同系统中登录耗费的时间;避免 了处理和保存多套系统用户的认证信息;减少了系统管理员管理用户权限的时间;增加了 管理的便利性,可以通过直接禁止和删除用户来取消该用户对所有系统资源的访问权限; 大大增加系统的安全性。 目录服务是一种特殊的数据库,可以用来保存描述性的、基于属性的信息,并且支 持复杂的过滤搜索能力,目录背优化为针对大量的查找或者搜索操作进行快速的响应,它 们可以具有大范围复制信息的功能,以便提高可用性和可靠性,同时縮短响应时间。基于目 录服务的统一身份认证系统的主要目标是在企业网现有的系统基础上,通过制定相应的集 中认证技术规范,实现一个以目录为核心的管理框架。该框架将为不同应用系统得信息管 理提供一个统一的平台,建立基于目录服务的各种应用服务的接口。最终实现所有系统用 户认证的统一集中优化管理。建立目录服务去的主要目的之一就是为用户提供信息服务。 目录服务器的建立完成了数据的结构设计和存储,接下来的工作就是实现一个目录服务器 信息系统,用来提供目录服务中存储的信息。系统日常维护主要指对用户信息的管理,虽然 相对简单,但是比较繁琐,重复性工作较多,由管理员完成,在部署系统的前期对所有已接 入的子系统都需要进行有一定工作量的二次开发,有的甚至需要重新构建权限与访问控制 部分。
发明内容
本发明的目的是提供一种应用于接入不同开发与运行程度子系统,实现对子系统 的灵活接入的实现方法,使被接入的子系统不需要进行大量的二次开发工作,就能直接快 速的接入到统一身份认证系统中,从而大大减少了软件项目实施成本,加速了软件项目的使用。该方法在现有的统一身份认证方式的应用软件的改进与创新,从而能够根据用户的 需求与现有子系统以及未来子系统灵活接入,满足用户不同系统的接入与开发需求。
根据上述发明意图,本发明所采用的技术方案如下 —种应用于用户身份认证具有灵活登录功能与灵活子系统接入的服务,其特征在 于,该服务包括 —身份校验模块所述身份校验模块接收和校验用户的登录请求,并根据登录情 况反馈登录信息、调用指纹对比模块或将用户信息交付访问控制模块; —指纹对比模块所述指纹对比模块根据身份校验模块发出的用户指纹信息,在 用户指纹库中进行对比,并将对比结果返回身份校验模块; —目录服务模块所述目录服务模块从身份校验模块获得用户帐户信息,在目录 访问库中组织收到的用户所拥有的子系统访问权限,同时将用户信息发送给帐号关联模 块; —帐号关联模块所述帐号关联模块从目录访问控制模块获得用户信息,在帐号 关联库中,获得用户子系统帐户与口令,发送给子系统预登录模块; —子系统预登录模块;所述子系统预登录模块从目录访问控制模块与帐号关联模 块中分别获用户子系统访问权限与子系统帐户与口令,调用不同的子系统登录接口,完成 子系统预登录; 本发明的有益效果为支持自动识别用户登录方式的功能,在同样的登录界面,用 户可以使用用户名与密码,用户名与指纹以及单独指纹登录的方式,同时还可以限制用户 只能使用某种登录方式;在统一身份管理时,可以通过目录服务完成系统接管子系统内用 户的操作权限;也可以用帐号关联方式,将用户在该子系统内的操作权限交付子系统管理, 而统一身份认证系统只负责限制该用户对子系统的访问,两种权限管理是并存的,实现对 用户身份管理的灵活控制。减少对于子系统首次接入的二次开发量,实现系统的快速部署, 快速上线使用。
以下结合附图和具体实施方式
来进一步说明本发明。
图1是本发明的身份认证与系统登录过程的结构框图。
图2是本发明实现方法的流程图。
具体实施例方式
为使本发明实现的技术特征与功效易于明白了解,下面结合具体图示,进一步阐 述本发明。
图1所示,本发明所述的统一身份认证系统包括身份校验模块、指纹对比模块、
目录服务模块、帐号关联模块、子系统预登录模块5五部分。其具体实施方案如下 图2所示,本发明在实际应用中,在系统安装完毕后,由系统管理员完成子系统注
册与接入,同时完成子系统目录服务的定义,子系统关联方式的定义。然后由系统管理员根
据子系统访问权限,设置不同的子系统访问用户组,至此完成系统的管理部署。在系统用户
注册后,由系统管理员采集用户的指纹信息,根据注册用户的身份,分配用户到不同的用户
4组,同时完成用户对应关联子系统的关联信息,用户对应子系统目录服务信息会由系统自 动完成。此步骤需要户在场完成。至此完成系统部署与用户注册。 在一个用户登录过程中,用户访问端向身份校验模块发送用户登录请求与登录信 息;身份校验模块接收信息后,根据用户提交信息进行身份校验,成功则向目录服务模块发 送用户信息;目录服务模块在收到用户信息后从目录服务器中获得用户目录服务属性与权 限,同时转发用户与关联子系统信息到帐号关联模块;用户关联模块根据用户关联数据库 中的用户关联信息,以及子系统登录接口规则,组合用户关联登录信息;完成两个步骤后, 将用户目录服务属性与用户关联登录信息发送给子系统预登录模块完成子系统登录,实现 用户统一身份认证。 以上是本发明方法的实施方式之一,对于本领域内的一般技术人员,不花费创造 性的劳动,在上述实施例的基础上可以做多种变化,同样能够实现本发明的目的。但是,这 种变化显然应该在本发明的权利要求书的保护范围内。
权利要求
一身份校验模块所述身份校验模块接收和校验用户的登录请求,并根据登录情况反馈登录信息、调用指纹对比模块或将用户信息交付访问控制模块;
1. 一身份校验模块所述身份校验模块接收和校验用户的登录请求,并根据登录情况 反馈登录信息、调用指纹对比模块或将用户信息交付访问控制模块;
2. —指纹对比模块所述指纹对比模块根据身份校验模块发出的用户指纹信息,在用 户指纹库中进行对比,并将对比结果返回身份校验模块; >
3. —目录服务模块所述目录服务模块从身份校验模块获得用户帐户信息,在目录访 问库中组织收到的用户所拥有的子系统访问权限,同时将用户信息发送给帐号关联模块;
4. 一帐号关联模块所述帐号关联模块从目录访问控制模块获得用户信息,在帐号关 联库中,获得用户子系统帐户与口令,发送给子系统预登录模块;
5. —子系统预登录模块;所述子系统预登录模块从目录访问控制模块与帐号关联模 块中分别获用户子系统访问权限与子系统帐户与口令,调用不同的子系统登录接口,完成 子系统预登录。
全文摘要
一种统一身份认证的实现方法,用户访问端向身份校验模块发送用户登录请求与登录信息;身份校验模块接收信息后,根据用户提交信息进行身份校验,成功则向目录服务模块发送用户信息;目录服务模块在收到用户信息后从目录服务器中获得用户目录服务属性与权限,同时转发用户与关联子系统信息到帐号关联模块;用户关联模块根据用户关联数据库中的用户关联信息,以及子系统登录接口规则,组合用户关联登录信息;完成两个步骤后,将用户目录服务属性与用户关联登录信息发送给子系统预登录模块完成子系统登录,实现用户统一身份认证。
文档编号H04L9/32GK101741558SQ20081020259
公开日2010年6月16日 申请日期2008年11月12日 优先权日2008年11月12日
发明者刘冰妍, 李元凯, 毛珺, 章玉宇, 袁智忠, 顾卫东, 黄金煌 申请人:上海长江数码科技有限公司;长江计算机(集团)公司