基于数字证书的智能终端身份认证与单点登录系统及方法与流程

本发明属于信息技术领域和应用领域，可用于实现应用系统的智能终端单点登录，即智能终端只需登录单点登录服务器就可以访问所有相互信任的应用系统。

背景技术：

用户身份认证是指通过一定的手段，完成对用户身份的确认，即确认当前所声称为某种身份的用户，确实是所声称的用户。身份认证是安全的第一道大门，是各种安全措施可以发挥作用的前提。最常见的身份认证方式有账号和密码认证方式。随着企业和机构引入各式各样的信息化系统，用户和管理员需要维护多个信息系统的账号和密码，影响日常的工作效率。用户希望一次登录可以访问企业的各个信息系统，因此资源单点登录技术应运而生。单点登录是一种统一认证和授权机制，指访问同一服务器不同应用中的受保护资源的同一用户，只需要登录一次，即通过一个应用中的安全验证后，再访问其他应用中的受保护资源时，不再需要重新登录验证。

目前智能终端的使用已经相当普及，智能手机和平板电脑的使用已经进入千家万户。而且智能终端和智能卡的匹配度又相当高，几乎所有的智能终端都能连接智能卡。这也为使用智能终端来进行移动办公和管理带来了极大的便利。

但是现有的智能终端不具备身份认证和单点登录的功能，因此，如何在智能终端上使用智能卡实现身份认证，以使得身份认证更加安全；以及如何展现用户可以访问的授权资源，很好的适用于手机屏幕较小的特点，更加友 好、便捷的展现用户的授权资源；还有获取资源列表如何在智能终端上实现单点登录成为本领域技术人员亟待解决的技术问题。

本发明就是在上述背景下针对以上问题而提出来的。

技术实现要素：

有鉴于此，本发明旨在提出一种解决上述问题的基于数字证书的智能终端身份认证与单点登录系统及方法。

为达到上述目的，本发明的技术方案是这样实现的：

一种基于数字证书的智能终端身份认证与单点登录系统，包括智能终端、智能卡、终端应用程序、身份认证服务器、资源授权服务器、资源服务器和单点登录服务器，所述智能终端内部的所述终端应用程序通过所述智能卡与所述身份认证服务器进行身份认证，身份认证通过后，所述终端应用程序携带认证后返回的票据信息访问单点登录服务器，登录成功后，所述单点登录服务器返回该用户授权资源的票据，所述终端应用程序携带登录后返回的授权资源票据信息访问资源授权服务器，所述资源授权服务器与所述单点登录服务器进行票据交互后，返回授权资源列表给所述终端应用程序，授权资源列表中的某一资源后，终端应用程序和单点登录服务器及单点登录服务器与所述资源服务器之间进行票据交互后，将相应的资源通过所述终端应用程序呈现给所述智能终端。

所述智能终端为Android或IOS手机，所述智能卡为蓝牙式或音频式的智能密码钥匙或智能SD卡，所述终端应用程序为Android/IOS APP。

实现一种基于数字证书的智能终端身份认证与单点登录的方法，包括如下步骤：

一、搭建服务器：所述服务器包括认证服务器、资源授权服务器、单点 登录服务器；

二、为智能终端安装终端应用程序；

三、智能终端身份认证；

四、获取授权资源列表；

五、单点登录访问业务流程。

所述认证服务器具有身份认证服务的接口，确保认证服务器能实现管理员制证、发证的功能；

将所述资源授权服务器与认证服务器整合，实现通过认证服务器的返回信息能访问资源授权服务器获取资源列表，确保管理员能对资源进行授权与操作；

所述单点登录服务器，实现私有SSO票据服务、私有SSO票据信息，确保能实现票据的发放与兑换。

所述终端应用程序包括确保能通过应用程序连接智能卡读取数字证书，并且能访问认证服务器进行签名认证的认证部分应用程序；还包括确保能访问授权资源服务器，并向验证通过的用户展现授权资源列表的应用程序；还包括确保能通过资源列表应用程序访问单点登录服务器并获取票据，并实现票据的兑换，最终实现单点登录的应用程序。

所述智能终端身份认证的具体步骤如下：管理员通过认证服务器制证并导入到用户智能卡，注册并创建用户；用户通过智能终端上的APP应用程序连接智能卡读取证书，向认证服务器发起认证请求，认证服务器返回随机数，APP对随机数及用户名摘要签名后发给认证服务器验证，认证服务器返回验证结果，确定身份认证是否成功。

获取资源列表的具体步骤如下：用户使用从网关服务器获取到的该用户 的授权信息去访问授权资源服务器；授权资源服务器通过用户名返回该用户的授权资源列表，APP将结果展示出来。

单点登录访问业务的具体流程如下：用户通过APP门户显示的资源列表访问某一资源时，通过点击资源列表，APP门户携带用户的认证信息向单点登录服务器申请该资源的单点登录票据；单点登录服务器认证用户的信息后，返回该授权资源的票据；APP门户调用第三方资源访问软件携带该票据去访问该授权资源；该资源又将该票据与单点登录服务进行兑换，得到该用户对应的授权资源账号，进而成功地访问该资源。

相对于现有技术，本发明所述的一种基于数字证书的智能终端身份认证与单点登录系统及方法具有以下优势：

1.安全性：通过智能终端读取智能卡的数字证书来完成身份认证，并且身份认证时和票据的兑换时都加入随机数签名防止重放攻击。基于APP“门户”的证书身份认证后，展示授权资源，更加的保证了安全性。

2.便捷性：通过APP资源门户很友好的展示了用户所能访问的授权资源，单点登录时基于APP“门户”而非浏览器重定向的形式，更加便捷的实现单点登录。

附图说明

构成本发明的一部分的附图用来提供对本发明的进一步理解，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1是本发明的总体框架图(阐述了基于智能终端数字证书的身份认证与单点登录技术的具体层次：用户通过智能终端上的应用程序和智能卡访问资源列表(门户)和认证服务器，通过身份认证和单点登录后能够访问具体的业务)；

图2是本发明总体的流程图(描述了一次完整的身份认证和单点登录访问资源的流程：用户通过智能终端上连接智能卡，通过应用程序访问认证服务器和资源服务器，获取到资源列表(门户)，再通过资源列表(门户)访问单点登录服务器获取到具体授权资源的票据，然后资源向单点登录服务器兑换票据，实现用户对资源的访问)；

图3是本发明身份认证的流程图(用户首先通过智能终端上的应用程序访问认证服务器请求认证，认证服务器返回一个随机数，应用程序通过读取智能卡中的数字证书，并用数字证书签名随机数后的信息去访问认证服务器，认证服务器验证信息成功后返回该用户的授权信息。智能终端上的APP保存该授权信息)；

图4是本发明授权资源列表的流程图(用户通过身份认证后，会得到认证服务器返回的该用户的授权信息，应用程序携带该授权信息去单点登录服务器获取访问授权资源列表(门户)的票据，单点登录服务器返回票据，然后智能终端APP携带票据去访问资源服务器，资源服务器向单点登录服务器兑换票据，然后向APP返回授权资源列表(门户))；

图5是实现单点登录的流程图(APP获取到授权资源列表后，用户点击某一具体的资源，应用程序就去访问单点登录服务器，单点登录服务器返回这一授权资源的票据，应用程序携带票据访问该资源，资源向单点登录服务器兑换票据，得到用户的授权信息，然后用户就可以操作资源，这样就实现了单点登录)。

具体实施方式

需要说明的是，在不冲突的情况下，本发明中的实施例及实施例中的特征可以相互组合。

下面将参考附图并结合实施例来详细说明本发明。

本发明的基本思想是：智能终端通过智能卡中的数字证书，来完成身份认证、资源授权等功能，最终实现单点登录。基于智能终端和智能卡的数字证书认证技术实现身份认证。通过授权资源列表获取票据和兑换票据的方法实现单点登录。基于智能卡实现身份认证、智能终端获取资源列表(资源门户)、通过资源列表访问单点登录服务器获取票据、私有SSO(Single Sign On，即单点登录)票据服务、私有SSO票据信息。

具体实施步骤如下：见图2。

搭建服务器：

a.部署认证服务器，设计身份认证服务的接口，确保网认证服务器能实现管理员给普通用户制证的功能。

b.部署资源服务器，将资源服务器与认证服务器整合，实现通过认证服务器的返回信息能访问资源服务器获取资源列表(资源门户)。确保管理员能对资源进行授权与操作。

c.部署单点登录服务器，实现私有SSO(Single Sign On，即单点登录)票据服务、私有SSO票据信息。确保能实现票据的发放与兑换。

安装智能终端APP：

a.APP应用的身份认证部分：确保能通过APP连接智能卡读取数字证书并对服务器数据进行签名(添加)，并且能访问认证服务器进行签名认证。

b.APP应用的获取资源列表(资源门户)：确保能访问资源服务器，并向身份认证(替换)通过的用户展现授权资源列表。

c.APP应用的单点登录部分：确保能通过资源门户访问单点登录服务器并获取票据，并实现票据的兑换。最终实现单点登录。

验证系统整体功能：

a.身份认证的功能：管理员通过认证服务器制证并导入到用户智能卡，注册并创建用户。用户通过智能终端上的APP连接智能卡读取证书，向认证服务器发起认证请求，认证服务器返回随机数，APP对随机数及用户名摘要签名后发给认证服务器验证，认证服务器返回验证结果。

b.获取资源列表功能：用户使用从网关服务器获取到的该用户的授权信息去访问资源服务器；资源服务器通过用户名返回该用户的授权资源列表(资源门户)，APP将结果展示出来。

c.单点登录功能：用户能通过资源门户访问资源，APP能访问单点登录服务器取得票据，并携带票据去访问资源，实现票据的兑换，最终实现单点登录。

本发明对比已有技术具有以下创新点：

授权资源展示方式的创新：基于智能终端较小的屏幕，设计为APP“门户”的形式，更友好的向用户展示授权资源，用户能通过门户实现授权资源的单点登录。

单点登录实现方式的创新：基于APP“门户”而非浏览器的形式访问单点登录服务器，采用的是模拟浏览器的重定向方式，实现身份认证与授权资源的单点登录。

本发明是一种基于数字证书的智能终端身份认证与单点登录方法，该方法的实现需要如下构件：智能终端(如Android/IOS手机)、智能卡(如蓝牙式/音频式的智能密码钥匙/智能SD卡)、终端应用程序(Android/IOS APP)、身份认证服务、资源授权服务、单点登录服务，其特征是：基于智能卡证书的智能终端身份认证、智能终端APP门户展示授权资源、基于智能终端APP门户的单点登录，实现认证用户通过智能终端APP来单点登录访问授权资源。

基于智能卡证书的智能终端身份认证，即智能终端通过智能卡的公钥证 书表明身份和对应的私钥签名证实身份，进而实现智能终端用户的身份认证，主要包括如下两个过程：

a.管理员的用户管理：基于用户的智能卡证书来创建并管理用户；

b.用户的身份认证：用户使用智能终端提交基于智能卡证书的请求认证，并使用私钥来签名认证服务器所返回的随机数，这种应答/挑战模式可以防止可能的重放攻击,最后获取并缓存身份认证服务返回的认证结果。

智能终端APP门户展示授权资源，即智能终端使用单点登录服务提供的票据访问资源授权服务，并在智能终端APP门户显示授权资源信息，主要涉及如下几个过程：

a.管理员的资源管理：注册资源业务、管理资源账号、给用户授权资源账号；

b.用户授权资源的APP门户展示：用户凭借身份认证服务返回的认证信息，访问单点登录服务，获取并提交资源授权服务的访问票据，资源授权服务向单点登录服务器兑换票据，待核实用户身份后返回用户的授权资源信息，并通过智能终端APP门户展示。

基于智能终端APP门户的单点登录，具体的实现流程是：用户通过APP门户显示的资源列表访问某一资源时，通过点击资源列表，APP门户携带用户的认证信息向单点登录服务申请该资源的单点登录票据；单点登录服务认证用户的信息后，返回该授权资源的票据；APP门户调用第三方资源访问软件(如浏览器)携带该票据去访问该授权资源；该资源又将该票据与单点登录服务进行兑换，得到该用户对应的授权资源账号，进而成功地访问该资源；由于获取票据和兑换票据都是在后台进行的，对用户不可见，这样每次访问资源时就不需要进行登录验证，这样就实现了单点登录。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本 发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。