本发明专利技术公开一种基于UKEY的多应用统一认证方法,所述方法包括:通过认证中心接收用户通过登录页面发起的认证请求,调用认证中间件与UKEY进行通信,校验用户的认证请求,校验通过后,通知安全凭证模块生成用户对应的安全凭证;通过应用认证代理接收一个或多个应用系统的用户身份认证请求,从安全凭证模块中获取当前用户的安全凭证;利用用户的安全凭证向管理中心下发获取身份信息的请求,获取请求结果并为应用系统提供所需的用户身份信息数据。本发明专利技术通过管理中心管理应用系统和用户信息,用户的授权、安全凭证等等身份信息由应用认证代理负责提供,从而隔离用户认证步骤、减少应用系统与认证中心间交互,安全可靠地保障信息系统的认证过程。
【技术实现步骤摘要】
一种基于UKEY的多应用统一认证方法
本专利技术本属于涉密信息系统领域,具体涉及一种基于UKEY的多应用统一认证方法。
技术介绍
随着互联网行业的技术发展,推动涉密信息系统的业务应用功能不断增多,比如调度系统、支付系统、多媒体平台等等,当用户需要使用多个系统时,每次均需要输入账号密码进行验证,给用户带来了很多的不方便。通常的做法是通过单点登录机制实现用户一次登录应用系统后,多个应用系统共享会话信息,解决多次登录的问题。如用户访问应用系统A时,会跳转到认证中心进行登录,登录完毕后返回给用户一个已认证的安全凭据,用户再次访问应用系统B时,将安全凭据传递给B,B将该凭据传递到认证中心进行再次校验,完成应用系统间的切换。现有技术在解决用户重复登录问题的基础上,存在着以下两个方面的局限性:在网络通信层面上,增加了多个应用系统与认证中心的交互过程,间接导致认证服务器的性能问题;在安全性层面上,用户认证产生的安全凭据参与到应用系统间的信息交互,在应用层面上,存在着抓包解密的风险。
技术实现思路
有鉴于此,本专利技术提出了一种基于UKEY的多应用统一认证方法,用于解决现有技术中多个应用系统与认证中心交互时交互流程过多带来安全性降低的问题。本专利技术公开一种基于UKEY的多应用统一认证方法,所述方法包括:通过认证中心接收用户通过登录页面发起的认证请求,调用认证中间件与UKEY进行通信,校验用户的认证请求,校验通过后,通知安全凭证模块生成用户对应的安全凭证;通过应用认证代理接收一个或多个应用系统的用户身份认证请求,从安全凭证模块中获取当前用户的安全凭证;利用用户的安全凭证向管理中心下发获取身份信息的请求,获取请求结果并为应用系统提供所需的用户身份信息数据。优选的,所述认证中间件用于搭建认证中心到UKEY的通信通道,所述调用认证中间件与UKEY进行通信,校验用户的认证请求具体包括:认证中间件监控到UKEY设备插入/拔出时,扫描所述UKEY设备,读取本地服务配置表,获取UKEY唯一标识、UKEY生产厂商及其他信息,更新UKEY列表;所述本地服务配置表用于记录UKEY生产厂商、UKEY驱动库路径、UKEY驱动对应的适配库路径之间的映射关系;认证中间件接收认证中心发送的身份认证请求,根据UKEY唯一标识从UKEY列表中索引UKEY,定位UKEY对应的通信通道,将请求转发至UKEY驱动适配库,若UKEY未认证,通过UKEY设备驱动处理的身份认证请求,将身份认证请求结果返回认证中心,若UKEY已认证,直接通过认证。优选的,所述安全凭证模块用于生成并记录已通过认证用户的安全凭证,维护各安全凭证的生命周期,当用户的安全凭证生命周期结束时,通知认证中心针对该用户的安全凭证进行移除;所述用户的安全凭证生命周期结束是指用户通过应用系统登出或安全凭证超时。优选的,所述管理中心用于记录并维护用户身份信息与应用系统之间的关联关系,并通过管理页面接收应用认证代理发送的获取身份信息的请求,基于用户安全凭证认证结果反馈请求结果。优选的,所述管理中心具体包括应用管理中心和身份管理中心,应用管理中心和身份管理中心中记录了用户身份信息与应用系统之间的关联关系。优选的,所述通过应用认证代理接收一个或多个应用系统的用户身份认证请求,从安全凭证模块中获取当前用户的安全凭证具体包括:接收应用系统的用户身份认证请求,尝试从安全凭证模块中读取当前用户的安全凭证;如果当前用户的安全凭证已过期,返回失败,通知应用系统重定向至登录页面;如果当前用户的安全凭证未过期,获取到对应用户的安全凭证。优选的,应用认证代理利用对应用户的安全凭证向管理中心发送获取身份信息请求;管理中心通过管理页面向认证中心发送验证安全凭证的请求,收到认证中心反馈的验证通过通知后,管理中心通过管理页面返回用户身份信息数据至应用认证代理,应用认证代理为应用系统返回对应的的用户身份信息数据。本专利技术相对于现有技术具有以下有益效果:本专利技术通过管理中心管理应用系统和用户信息,实现了多种应用的统一认证授权管理,能够维护用户登录的生命周期;应用系统无需关注系统认证的过程,用户的授权、安全凭证等等身份信息由应用认证代理负责提供,从而达到隔离用户认证步骤、减少应用系统与认证中心间交互的效果,提高认证服务器的性能同时减少用户认证产生的安全凭据参与到应用系统间的信息交互,减少了被抓包风险,安全可靠地保障信息系统的认证过程。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本专利技术基于UKEY的多应用认证系统结构示意图;图2为本专利技术基于UKEY的多应用认证方法流程示意图。具体实施方式下面将结合本专利技术实施方式,对本专利技术实施方式中的技术方案进行清楚、完整地描述,显然,所描述的实施方式仅仅是本专利技术一部分实施方式,而不是全部的实施方式。基于本专利技术中的实施方式,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施方式,都属于本专利技术保护的范围。请参阅图1,本专利技术的一种基于UKEY的多应用统一认证系统机构示意图,所述系统包括:认证中心1、安全凭证模块2、应用认证代理3、管理中心4、认证中间件5;认证中心1,用于接收用户通过登录页面发起的认证请求,调用认证中间件与UKEY进行通信,校验用户的认证请求,校验通过后,通知安全凭证模块生成用户对应的安全凭证;安全凭证模块2,用于记录已通过认证用户的安全凭证,维护各安全凭证的生命周期;当用户的安全凭证生命周期结束时,通知认证中心针对该用户的安全凭证进行移除;所述用户的安全凭证生命周期结束是指用户通过应用系统登出或安全凭证超时。应用认证代理3,用于集中处理所有应用系统的用户身份认证请求,验证用户的安全凭证,利用用户的安全凭证向管理中心下发获取身份信息的请求,获取请求结果并为应用系统提供所需的用户身份信息数据;凭证获取单元,用于接收应用系统的用户身份认证请求,尝试从安全凭证模块中读取当前用户的安全凭证,如果当前用户的安全凭证已过期,返回失败,通知应用系统重定向至登录页面;如果当前用户的安全凭证未过期,获取到对应用户的安全凭证;数据反馈单元,利用对应用户的安全凭证向管理中心下发获取身份信息请求,获取请求结果;所述请求结果为管理中心通过管理页面向认证中心发送验证安全凭证的请求,从认证中心获取的验证结果为通过后为应用系统返回的用户身份信息数据。管理中心4,用于记录并维护用户身份信息与应用系统之间的关联关系,通过管理页面接收应用认证代理发送的获取身份信息的请求,基于用户安全凭证认证结果反馈请求结果。所述管理中心具体包括应用管理中心和身份管理中心,应用管理中心本文档来自技高网...
【技术保护点】
1.一种基于UKEY的多应用统一认证方法,其特征在于,所述方法包括:/n通过认证中心接收用户通过登录页面发起的认证请求,调用认证中间件与UKEY进行通信,校验用户的认证请求,校验通过后,通知安全凭证模块生成用户对应的安全凭证;/n通过应用认证代理接收一个或多个应用系统的用户身份认证请求,从安全凭证模块中获取当前用户的安全凭证;/n利用用户的安全凭证向管理中心下发获取身份信息的请求,获取请求结果并为应用系统提供所需的用户身份信息数据。/n
【技术特征摘要】
1.一种基于UKEY的多应用统一认证方法,其特征在于,所述方法包括:
通过认证中心接收用户通过登录页面发起的认证请求,调用认证中间件与UKEY进行通信,校验用户的认证请求,校验通过后,通知安全凭证模块生成用户对应的安全凭证;
通过应用认证代理接收一个或多个应用系统的用户身份认证请求,从安全凭证模块中获取当前用户的安全凭证;
利用用户的安全凭证向管理中心下发获取身份信息的请求,获取请求结果并为应用系统提供所需的用户身份信息数据。
2.根据权利要求1所述基于UKEY的多应用统一认证方法,其特征在于,所述认证中间件用于搭建认证中心到UKEY的通信通道,所述调用认证中间件与UKEY进行通信,校验用户的认证请求具体包括:
认证中间件监控到UKEY设备插入/拔出时,扫描所述UKEY设备,读取本地服务配置表,获取UKEY唯一标识、UKEY生产厂商及其他信息,更新UKEY列表;所述本地服务配置表用于记录UKEY生产厂商、UKEY驱动库路径、UKEY驱动对应的适配库路径之间的映射关系;
认证中间件接收认证中心发送的身份认证请求,根据UKEY唯一标识从UKEY列表中索引UKEY,定位UKEY对应的通信通道,将请求转发至UKEY驱动适配库,若UKEY未认证,通过UKEY设备驱动处理的身份认证请求,将身份认证请求结果返回认证中心,若UKEY已认证,直接通过认证。
3.根据权利要求1所述基于UKEY的多应用统一认证方法,其特征在于,所述安全凭证模块用于生成并记录已通过认证用户的安全凭证,维护各安全凭证的生命周期,当用户的安全凭证生命周期结束时,通知认证中心针对该用户的安全凭证进行移除;...
【专利技术属性】
技术研发人员:周显敬,刘虎,汪寒雨,沈人杰,
申请(专利权)人:武汉卓尔信息科技有限公司,
类型:发明
国别省市:湖北;42
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。