专利名称:基于私有协议的统一身份认证方法
技术领域:
本发明涉及一种统一身份认证的方法,更具体的说,涉及一种基于私有协议的统一身份认证的方法,属于互联网用户身份标识与认证领域。
背景技术:
企业信息化的发展,大致都经历了网络基础建设阶段、应用系统建设阶段,目前正面临着平台应用整合的建设阶段。企业在进行信息化的不同阶段建设了许多不同的应用系统,有B/S架构的,也有C/S架构的,各系统之间相互独立,同一用户访问不同系统必须要重复进行多次系统登录,而且不同系统之间资源和信息无法做到互访和共享,导致工作效率非常低下。单点登录统一身份认证技术完美的解决了上述问题,通过统一身份认证方式,用户只需要登录一次就可以访问所有相互信任的应用系统。它包括可以将这次主要的登录映射到其他应用中用于同一个用户的登录的机制。它能够较为理想的实现用户信息集中统一管理,但是,用户及其账号的管理较为复杂,系统存在一定的风险。
发明内容
本发明所要解决的技术问题是,克服现有技术的缺点,提供一种用户及其账号的集中便捷管理,降低跨平台系统风险的基于私有协议的统一身份认证的方法。为了解决以上技术问题,本发明提供基于私有协议的统一身份认证方法,所述方法应用于第三方系统和应用平台之间,包含如下步骤
㈠第三方系统接入应用平台,具体按以下步骤进行
⑴第三方系统和应用平台分别提供两个URL地址,用于处理第三方系统发送的请求信息,并根据处理结果,返回对应的响应状态代码;
⑵第三方系统预接入应用平台时,第三方系统向应用平台发送经过加密处理的请求数据包,请求接入;
⑶应用平台接收请求数据包,进行解密,根据请求内容提供统一身份认证环境的信息和接口信息;
⑷第三方系统获取应用平台的统一身份认证环境信息和接口信息,完成接入; ㈡第三方系统接入应用平台后,第三方系统的用户按照以下两种方式处理①无需独立用户的第三方系统的用户处理方法;②需要独立用户的第三方系统的处理方法; 所述①无需独立用户的第三方系统的用户处理方法具体按以下步骤进行 i第三方系统接入应用平台时,如果没有自身的用户信息,直接使用平台的用户信息; 如果有一定数量的用户但不需要保留,则将用户信息完全导入到平台中,使用平台的用户 fn息;
平台用户访问第三方系统的受限信息,第三方系统判断会话状态缓存表中是否存在当前用户登录的会话信息,如果存在,则继续访问;如果不存在,调用统一身份认证的组件接口,检查用户在应用平台的会话标识是否有效,如果有效,则继续访问,同时更新第三方系统的会话状态缓存表;如果无效,则定向用户到统一身份认证中的统一登录界面完成登录后,继续访问;
所述②需要独立用户的第三方系统的处理方法具体按以下步骤进行 I需要独立用户的第三方系统接入应用平台,如果应用平台用户可以访问第三方系统,第三方系统用户不可以访问平台,则进行步骤(II),如果应用平台用户的第三方系统用
户可以互相访问,则进行步骤(111);
II对于应用平台用户可以访问第三方系统,第三方系统用户不可以访问平台的情况, 使用“用户账号关联绑定”的方式解决,即在第三方应用系统内实现和维护应用平台用户和本系统自身用户账号之间的关联关系;
III对于应用平台用户的第三方系统用户可以互相访问的情况,第三方系统将用户信
息封装成组件,由应用平台的统一身份认证中心对第三方系统的用户进行管理,当第三方系统发送身份验证请求时,统一身份认证中心根据用户提交的身份标识,调用对应的访问方法,完成验证过程。本发明进一步限定的技术方案是所述的第三方系统接入应用平台步骤中,步骤 (2)中发送的请求数据包的参数包括经过签名和对称加密处理的接口参数和对上述接口参数进行不对称加密后的数据。进一步的,所述的第三方系统接入应用平台步骤中,步骤(3)中统一身份认证环境的信息包括第三方系统的服务代码,应用平台测试服务器和实际服务器的接口请求地址, 应用平台测试服务器和实际服务器的公钥证书,第三方系统的测试用证书和第三方系统的正式证书。进一步的,所述的第三方系统接入应用平台步骤中,步骤(3)中的接口信息包括 SSO服务器的身份验证请求接口、第三方应用系统的身份验证响应接口、SSO服务器的单点注销接口、SSO服务器的用户状态心跳接口、第三方应用系统的单点注销接口。进一步的,所述的第三方系统用户的处理步骤中,步骤(II )中应用“用户账号关联绑定”的方法为应用平台的用户第一次访问第三方应用系统时,第三方系统显示帐号绑定的界面,询问当前用户是否已经具有该第三方系统的登录帐号,如果有,则提示用户输入登录信息,登录成功后,将应用平台账户和第三方系统用户绑定,在第三方系统内建立关联关系;如果没有,则不建立关联关系。本发明的有益效果是本发明提供的基于私有协议的统一身份认证方法,使用私有协议的单点登录统一身份认证接口,实现用户只需登录一次即可进入多个系统,无需重复登录验证,方便快捷,并且降低了安全风险,提升了应用效率,在企业信息化的发展过程中,起到至关重要的作用。
图1为本发明的无需独立用户的第三方系统接入应用平台方法的流程图; 图2为本发明的需要独立用户的第三方系统接入应用平台方法的流程图。
具体实施例方式实施例1
本实施例提供的一种基于私有协议的统一身份认证方法,所述方法应用于第三方系统和应用平台之间,包含如下步骤
㈠第三方系统接入应用平台,具体按以下步骤进行
⑴第三方系统和应用平台分别提供两个URL地址,用于处理第三方系统发送的请求信息,并根据处理结果,返回对应的响应状态代码;
⑵第三方系统预接入应用平台时,第三方系统向应用平台发送经过加密处理的请求数据包,请求接入;
请求数据包的参数包括经过签名和对称加密处理的接口参数和对上述接口参数进行不对称加密后的数据。第三方系统通过HTTP-POST或HTTP-GET方式,向应用平台发送请求时,请求的参数必须包含下述两个参数
sso_request 经过签名和加密处理后的接口参数的内容。具体请求的参数内容使用发送方的私钥进行签名,并使用随机生成的对称加密密钥加密处理;
sso_secret 使用接收方的公钥,对上述加密ssc^request参数值时使用的对称加密密钥信息进行不对称加密后的内容。⑶应用平台接收请求数据包,进行解密,根据请求内容提供统一身份认证环境的信息和接口信息;
其中,统一身份认证环境的信息包括
第三方系统的服务代码表示每个第三方应用系统的唯一代码; 应用平台测试服务器和实际服务器的接口请求地址; 应用平台测试服务器和实际服务器的公钥证书;
第三方系统的测试用证书由应用平台提供的和SSO测试服务器通讯时使用的包含私钥信息的X. 509证书和私钥证书使用密码,仅用于和SSO测试服务器进行通讯,待正式接入时,应用平台会重新颁发给该系统可用的正式证书;
第三方系统的正式证书由应用平台CA颁发的包含私钥信息的χ. 509证书以及私钥证书使用密码,如果该第三方系统已经基于PKI/RSA体系,并且具有自己的私钥证书,只需在向平台进行接入注册时,向平台提供其公钥证书即可,无须应用平台CA单独颁发,该证书以及证书使用密码通过其他方式或途径单独提供给服务提供商,以确保密钥的安全。接口信息包括SS0服务器的身份验证请求接口、第三方应用系统的身份验证响应接口、SSO服务器的单点注销接口、SSO服务器的用户状态心跳接口、第三方应用系统的单点注销接口。⑷第三方系统获取应用平台的统一身份认证环境信息和接口信息,完成接入;
以上所有发送和接收的信息中,身份验证请求和响应的接口参数都必须被发送方进行签名,并由接收方进行验证,对接口参数的签名是为了防止未经授权的第三方篡改原始请求fe息。信息发送过程中,使用H(CS#1中定义的RSASSA-PKCSl-vl_5签名算法,使用SHA-I 作为EMSA-PKCSl-vl_5的散列算法,签名方使用自己的χ. 509私钥证书对经过正常化处理后的接口参数字符串进行签名,接收方使用发送方的X. 509公钥对签名数据进行验证。给信息加密时,使用对称加密算法和不对称加密算法,对请求参数的内容进行加密保护。即,使用随机生成的对称加密密钥,对sS0_requeSt内容进行加密,并将密钥作为 sso_secret参数值;使用不对称加密算法对ss0_secret中的对称密钥进行加密。在接收到请求方发送的请求信息时,接收方使用请求参数加密描述的相反过程, 对请求参数进行解密,再使用接口参数签名描述的过程对接口参数签名进行验证。㈡第三方系统接入应用平台后,第三方系统的用户按照以下两种方式处理①无需独立用户的第三方系统的用户处理方法;②需要独立用户的第三方系统的处理方法;
所述①无需独立用户的第三方系统的用户处理方法具体按以下步骤进行,流程图如图 1所示
i第三方系统接入应用平台时,如果没有自身的用户信息,直接使用平台的用户信息; 如果有一定数量的用户但不需要保留,则将用户信息完全导入到平台中,使用平台的用户 fn息;
平台用户访问第三方系统的受限信息,第三方系统判断会话状态缓存表中是否存在当前用户登录的会话信息,如果存在,则继续访问;如果不存在,调用统一身份认证的组件接口,检查用户在应用平台的会话标识是否有效,如果有效,则继续访问,同时更新第三方系统的会话状态缓存表;如果无效,则定向用户到统一身份认证中的统一登录界面完成登录后,继续访问。所述②需要独立用户的第三方系统的处理方法具体按以下步骤进行,流程图如图 2所示
I需要独立用户的第三方系统接入应用平台,如果应用平台用户可以访问第三方系统,第三方系统用户不可以访问平台,则进行步骤(II),如果应用平台用户的第三方系统用
户可以互相访问,则进行步骤(III。II对于应用平台用户可以访问第三方系统,第三方系统用户不可以访问平台的情况,使用“用户账号关联绑定”的方式解决,即在第三方应用系统内实现和维护应用平台用户和本系统自身用户账号之间的关联关系。“用户账号关联绑定”的方法为应用平台的用户第一次访问第三方应用系统时, 第三方系统显示帐号绑定的界面,询问当前用户是否已经具有该第三方系统的登录帐号, 如果有,则提示用户输入登录信息,登录成功后,将应用平台账户和第三方系统用户绑定, 在第三方系统内建立关联关系;如果没有,则不建立关联关系。III对于应用平台用户的第三方系统用户可以互相访问的情况,第三方系统将用
户信息封装成组件,由应用平台的统一身份认证中心对第三方系统的用户进行管理,当第三方系统发送身份验证请求时,统一身份认证中心根据用户提交的身份标识,调用对应的访问方法,完成验证过程。除上述实施例外,本发明还可以有其他实施方式。凡采用等同替换或等效变换形成的技术方案,均落在本发明要求的保护范围。
权利要求
1.基于私有协议的统一身份认证方法,其特征在于所述方法应用于第三方系统和应用平台之间,包含如下步骤㈠第三方系统接入应用平台,具体按以下步骤进行⑴第三方系统和应用平台分别提供两个URL地址,用于处理第三方系统发送的请求信息,并根据处理结果,返回对应的响应状态代码;⑵第三方系统预接入应用平台时,第三方系统向应用平台发送经过加密处理的请求数据包,请求接入;⑶应用平台接收请求数据包,进行解密,根据请求内容提供统一身份认证环境的信息和接口信息;⑷第三方系统获取应用平台的统一身份认证环境信息和接口信息,完成接入; ㈡第三方系统接入应用平台后,第三方系统的用户按照以下两种方式处理①无需独立用户的第三方系统的用户处理方法;②需要独立用户的第三方系统的处理方法; 所述①无需独立用户的第三方系统的用户处理方法具体按以下步骤进行 i第三方系统接入应用平台时,如果没有自身的用户信息,直接使用平台的用户信息; 如果有一定数量的用户但不需要保留,则将用户信息完全导入到平台中,使用平台的用户 fn息; 平台用户访问第三方系统的受限信息,第三方系统判断会话状态缓存表中是否存在当前用户登录的会话信息,如果存在,则继续访问;如果不存在,调用统一身份认证的组件接口,检查用户在应用平台的会话标识是否有效,如果有效,则继续访问,同时更新第三方系统的会话状态缓存表;如果无效,则定向用户到统一身份认证中的统一登录界面完成登录后,继续访问;所述②需要独立用户的第三方系统的处理方法具体按以下步骤进行 I需要独立用户的第三方系统接入应用平台,如果应用平台用户可以访问第三方系统,第三方系统用户不可以访问平台,则进行步骤(II),如果应用平台用户的第三方系统用户可以互相访问,则进行步骤(ΙΠ);II对于应用平台用户可以访问第三方系统,第三方系统用户不可以访问平台的情况, 使用“用户账号关联绑定”的方式解决,即在第三方应用系统内实现和维护应用平台用户和本芊统自身用户账号之间的关联关系;m对于应用平台用户的第三方系统用户可以互相访问的情况,第三方系统将用户信息封装成组件,由应用平台的统一身份认证中心对第三方系统的用户进行管理,当第三方系统发送身份验证请求时,统一身份认证中心根据用户提交的身份标识,调用对应的访问方法,完成验证过程。
2.根据权利要求1所述的基于私有协议的统一身份认证方法,其特征在于所述的第三方系统接入应用平台步骤中,步骤(2)中发送的请求数据包的参数包括经过签名和对称加密处理的接口参数和对上述接口参数进行不对称加密后的数据。
3.根据权利要求1所述的基于私有协议的统一身份认证方法,其特征在于所述的第三方系统接入应用平台步骤中,步骤(3)中统一身份认证环境的信息包括第三方系统的服务代码,应用平台测试服务器和实际服务器的接口请求地址,应用平台测试服务器和实际服务器的公钥证书,第三方系统的测试用证书和第三方系统的正式证书。
4.根据权利要求1所述的基于私有协议的统一身份认证方法,其特征在于所述的第三方系统接入应用平台步骤中,步骤(3)中的接口信息包括SSO服务器的身份验证请求接口、第三方应用系统的身份验证响应接口、SSO服务器的单点注销接口、SSO服务器的用户状态心跳接口、第三方应用系统的单点注销接口。
5.根据权利要求1所述的基于私有协议的统一身份认证方法,其特征在于所述的第三方系统用户的处理步骤中,步骤(II)中应用“用户账号关联绑定”的方法为应用平台的用户第一次访问第三方应用系统时,第三方系统显示帐号绑定的界面,询问当前用户是否已经具有该第三方系统的登录帐号,如果有,则提示用户输入登录信息,登录成功后,将应用平台账户和第三方系统用户绑定,在第三方系统内建立关联关系;如果没有,则不建立关联关系。
全文摘要
本发明公开了基于私有协议的统一身份认证方法,所述方法应用于第三方系统和应用平台之间,包含如下步骤第三方系统接入应用平台,处理接入信息,完成接入。完成接入之后,需要对第三方系统的用户做两种方式处理无需独立用户的第三方系统接入应用平台的用户处理方法和需要独立用户的第三方系统接入应用平台的用户处理方法。所述方法实现用户只需登录一次即可进入多个系统,无需重复登录验证,方便快捷,并且降低了安全风险,提升了应用效率,在企业信息化的发展过程中,起到至关重要的作用。
文档编号H04L29/06GK102315945SQ201110320299
公开日2012年1月11日 申请日期2011年10月20日 优先权日2011年10月20日
发明者周刚, 惠志本, 戴超, 汤卫锋, 田又丰, 许云龙 申请人:江苏三源教育实业有限公司