本实用新型专利技术公开了一种单点登录系统,用于实现通过安全芯片来完成单点登录的核心功能,提高单点登录的安全性。所述方法包括:网络端,用于根据接收到的令牌请求消息生成令牌响应消息,并将所述令牌响应消息返回至安全装置;对应用程序对应的身份认证信息进行认证;安全装置,与所述网络端连接,用于存储用户在所述认证服务器上的注册信息。本实用新型专利技术使得单点登录的过程不再全部由应用程序完成,而是由安全装置来完成与安全性相关的核心功能,从而使其他恶意软件无法窃取、破坏或篡改注册信息等核心数据,更无法对安全操作的登录过程进行干预或破坏,避免了使用软件实现单点登录带来的各类安全隐患,提高了单点登录的安全性。
【技术实现步骤摘要】
本技术涉及通信
,尤其涉及一种单点登录系统。
技术介绍
为保证只有合法的用户才能使用相关资源或功能,资源服务器需要在提供服务之前对用户的身份进行认证。而由于当前智能手机中应用程序的不断丰富,因此存在大量不同的应用程序都要进行用户身份认证,如果众多的应用程序都各自使用一套自有的身份认证方案,将导致用户需要维护多个账号,并频繁的参与身份认证,带来操作上很大的不便和安全上的隐患,单点登录方案是目前解决该问题中常用的一种安全机制。通过使用单点登录机制,各应用中的认证功能可以统一整合,简化用户使用时的复杂度,提高身份认证的安全性。当采用单点登录后,用户访问多个应用、服务或资源时,无需重复进行登录等操作,系统可以自行完成对用户身份的认证。现有的单点登录方法中,手机上的单点登录功能集成在某一应用程序中,所有的安全计算和存储都是软件实现的。实现过程如下:当有应用A需要进行身份认证时,调用具备单点登录功能的应用B;应用B将使用存储在手机内存中的密码、应用密钥等信息组成令牌请求消息,并发送至认证服务器;认证服务器验证请求合法后,下发令牌响应信息;应用B解析该响应信息获得令牌,并保存在手机内存中;将访问地址重定到应用A对应的资源服务器,使用内存中的令牌实现身份认证;资源服务器与认证服务器交互确认用户身份,完成单点登录。可见,现有的单点登录方法由于所有处理都是由具备单点登录功能的应用软件实现,因此在整个单点登录过程中,认证过程中所有消息的生成和解析全
部通过软件实现;用户的密码、应用的密钥和令牌等重要数据都保存在手机内存中;对数据的所有安全保护操作也是由软件在手机内存中完成实现。所以,这些作为身份认证的核心数据和操作都缺乏足够的安全防护隔离措施,很可能被其他恶意应用软件所窃取、破坏或修改,造成身份认证的失败或身份被冒用等后果,进而导致用户的重要数据信息被窃取或者被破坏等危害,当用户为具备较高权限的特殊用户时,甚至可能带来重大的社会或经济危害。
技术实现思路
本技术实施例提供一种单点登录系统,用于实现通过安全芯片来完成单点登录的核心功能,提高单点登录的安全性。一种单点登录系统,包括:网络端,用于根据接收到的令牌请求消息生成令牌响应消息,并将所述令牌响应消息返回至安全装置;对应用程序对应的身份认证信息进行认证;安全装置,与所述网络端连接,用于存储用户在所述认证服务器上的注册信息;当接收到生成用于登录应用程序的令牌请求消息的信息时,根据所述注册信息生成所述令牌请求消息,并将所述令牌请求消息发送给所述网络端;当接收到所述网络端发送的与所述令牌请求消息相对应的令牌响应消息时,对所述令牌响应消息进行解析,获得所述应用程序的登录令牌;根据所述登录令牌生成所述应用程序对应的身份认证信息。本技术实施例的一些有益效果可以包括:上述单点登录系统,通过安全装置与网络端之间的信息交互,使得单点登录的过程不再全部由应用程序完成,而是由安全装置来完成与安全性相关的核心功能,且核心数据如注册信息等都存储在安全装置中,而不是手机内存中,从而使其他恶意软件无法窃取、破坏或篡改注册信息等核心数据,更无法对安全操作的登录过程进行干预或破坏,避免了使用软件实现单点登录带来的各类安全隐患,提高了单点登录的安全性。在一个实施例中,所述网络端包括:认证服务器,与安全装置连接,用于根据接收到的令牌请求消息生成令牌响应消息,并将所述令牌响应消息返回至所述安全装置;资源服务器,与所述安全装置和所述认证服务器连接,用于对所述应用程序对应的身份认证信息进行认证。在一个实施例中,所述安全装置包括终端和安全芯片。该实施例中,通过安全芯片使得单点登录的核心功能不再全部由软件完成,且核心数据如注册信息等都存储在安全装置中,而不是手机内存中,从而使其他恶意软件无法窃取、破坏或篡改注册信息等核心数据,更无法对安全操作的登录过程进行干预或破坏,减少了用户身份被冒用等安全隐患出现的可能性,提高了单点登录的安全性。在一个实施例中,所述安全芯片内嵌于所述终端内部。该实施例中,通过将安全芯片内嵌于终端内部,使得用户使用终端进行单点登录时更加安全。在一个实施例中,所述安全芯片上设有第一通信接口,所述终端上设有与所述第一通信接口配对连接的第二通信接口。该实施例中,通过将安全芯片和终端利用通信接口配对连接,使得终端和安全芯片的连接简单方便,只需将安全芯片封装成终端上的通信接口形态,直接插入手机的通信接口即可实现连接。本技术的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本技术而了解。本技术的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。下面通过附图和实施例,对本技术的技术方案做进一步的详细描述。附图说明附图用来提供对本技术的进一步理解,并且构成说明书的一部分,与本技术的实施例一起用于解释本技术,并不构成对本技术的限
制。在附图中:图1为本技术实施例中一种单点登录系统的框图;图2为本技术实施例中一种单点登录系统的框图;图3为本技术实施例中一种单点登录系统工作的流程图。具体实施方式以下结合附图对本技术的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本技术,并不用于限定本技术。图1为本技术实施例中一种单点登录系统的框图。如图1所示,该单点登录系统10包括:网络端11,用于根据接收到的令牌请求消息生成令牌响应消息,并将令牌响应消息返回至安全装置12;对应用程序对应的身份认证信息进行认证。其中,注册信息包括密钥、证书、用户的身份认证信息等。安全装置12,与网络端11连接,用于存储用户在认证服务器上的注册信息;当接收到生成用于登录应用程序的令牌请求消息的信息时,根据注册信息生成令牌请求消息,并将令牌请求消息发送给网络端11;当接收到网络端11发送的与令牌请求消息相对应的令牌响应消息时,对令牌响应消息进行解析,获得应用程序的登录令牌;根据登录令牌生成应用程序对应的身份认证信息。本技术实施例的一些有益效果可以包括:上述单点登录系统,通过安全装置与网络端之间的信息交互,使得单点登录的过程不再全部由应用程序完成,而是由安全装置来完成与安全性相关的核心功能,且核心数据如注册信息等都存储在安全装置中,而不是手机内存中,从而使其他恶意软件无法窃取、破坏或篡改注册信息等核心数据,更无法对安全操作的登录过程进行干预或破坏,减少了用户身份被冒用等安全隐患出现的可能性,提高了单点登录的安全性。在一个实施例中,如图2所示,网络端11包括:认证服务器111,与安全装置12连接,用于根据接收到的令牌请求消息生
成令牌响应消息,并将令牌响应消息返回至安全装置。该认证服务器111可由多台服务器联合工作实现。资源服务器112,与安全装置12和认证服务器111连接,用于对应用程序对应的身份认证信息进行认证。当用户使用单点登录功能登录应用程序时,资源服务器112能够与该应用程序进行通信,并对通过安全装置12返回的身份认证信息进行认证。在一个实施例中,安全装置12包括终端和安全芯片。其中,终端可以是移动电话,计算机,数字广播终端,消本文档来自技高网...
【技术保护点】
一种单点登录系统,其特征在于,包括:网络端,用于根据接收到的令牌请求消息生成令牌响应消息,并将所述令牌响应消息返回至安全装置;对应用程序对应的身份认证信息进行认证;安全装置,与所述网络端连接,用于存储用户在所述认证服务器上的注册信息;当接收到生成用于登录应用程序的令牌请求消息的信息时,根据所述注册信息生成所述令牌请求消息,并将所述令牌请求消息发送给所述网络端;当接收到所述网络端发送的与所述令牌请求消息相对应的令牌响应消息时,对所述令牌响应消息进行解析,获得所述应用程序的登录令牌;根据所述登录令牌生成所述应用程序对应的身份认证信息。
【技术特征摘要】
1.一种单点登录系统,其特征在于,包括:网络端,用于根据接收到的令牌请求消息生成令牌响应消息,并将所述令牌响应消息返回至安全装置;对应用程序对应的身份认证信息进行认证;安全装置,与所述网络端连接,用于存储用户在所述认证服务器上的注册信息;当接收到生成用于登录应用程序的令牌请求消息的信息时,根据所述注册信息生成所述令牌请求消息,并将所述令牌请求消息发送给所述网络端;当接收到所述网络端发送的与所述令牌请求消息相对应的令牌响应消息时,对所述令牌响应消息进行解析,获得所述应用程序的登录令牌;根据所述登录令牌生成所述应用程序对应的身份认证信息。2.根据权利要求1...
【专利技术属性】
技术研发人员:刘衍斐,周昕,刘光耀,陈妍,
申请(专利权)人:公安部第一研究所,北京中盾安全技术开发公司,
类型:新型
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。