本发明专利技术公开了一种采用双因子的统一身份认证方法及系统,属于身份认证服务技术领域,解决了常规统一身份认证系统保密性不足的问题。该方法包括用户输入并登录第一因子,系统校验并判定第一因子是否登录成功;系统对第一因子的有效期进行判定;用户输入并登录第二因子,系统校验并判定第二因子是否登录成功;系统对第二因子的有效期进行判定;系统进行统一身份认证过程。本发明专利技术通过结合双因子认证和统一身份认证,提供更高的安全保障;通过第二因子超时重新登录的策略,避免无人值守时设备被他人登录的安全隐患。他人登录的安全隐患。他人登录的安全隐患。
【技术实现步骤摘要】
一种采用双因子的统一身份认证方法及系统
[0001]本专利技术属于身份认证服务
,具体地,涉及一种采用双因子的统一身份认证方法及系统。
技术介绍
[0002]SSO(Single Sign On,单点登录)是在多个系统中只要登录一次,就可以用已登录的身份访问多个系统,避免了每次访问不同的系统都要重新登录的弊端,比如在学校登录OA系统,再打开科研系统和教务系统,都会实现自动登录。CAS(Central Authentication Service,中央认证服务),也称为统一身份认证,是实现SSO的一个开源项目,其在多个系统中使用一个相同的统一身份认证来实现,利用CAS实现SSO可以一定程度上降低开发和维护的成本。
[0003]常规的CAS能够满足统一用户管理和实现单点登录等传统需求,但是常规的CAS无法在传统需求的基础上满足用户的登录安全问题,比如公开号CN113132302A的专利,因为常规的CAS采用FA(Factor Authentication,单因子认证),FA是一种安全认证过程。因子(Factor)指的是秘密信息、个人物品或生物特征,秘密信息包括密码等,个人物品包括身份证和钥匙等,生物特征包括指纹、面部、声纹和虹膜等,在FA中用户只需提供一种因子来证明自己的身份,存在常规的统一身份认证安全性不足的问题。
[0004]2FA(2Factor Authentication,双因子认证)也是一种安全认证过程,在2FA中用户需提供两种不同的因子来证明自己的身份,2FA比FA提供更高的安全保障,因此可以得出CAS采用2FA登录的安全性更高。
技术实现思路
[0005]为解决现有技术中存在的上述问题,本专利技术的目的在于提供一种采用双因子的统一身份认证方法。
[0006]本专利技术的目的可以通过以下技术方案实现:
[0007]一种采用双因子的统一身份认证方法,包括以下步骤:
[0008]S1:用户输入并登录第一因子,系统校验并判定第一因子是否登录成功,若登录失败,则重复登录直至成功;
[0009]S2:自所述步骤S1中第一因子成功登录的时间起,记录为第一因子的有效期,系统对第一因子的有效期进行判定,若第一因子的有效期小于或等于10分钟,则判定第一因子有效并执行后续步骤,若第一因子的有效期大于10分钟,则判定第一因子失效并执行步骤S1重新登录;
[0010]S3:在步骤S2判定第一因子有效的前提下,用户输入并登录第二因子,系统校验并判定第二因子是否登录成功,若登录成功,则系统计算并发送给用户TGT(Ticket Granting Ticket,登录票据),所述TGT为所述服务器端生成的登录票据,再执行后续步骤,若登录失败,则重新执行步骤S1直至登录成功;
[0011]S4:自所述步骤S3中第二因子成功登录的时间起,记录为第二因子的有效期,系统对第二因子的有效期进行判定,若第二因子的有效期小于或等于60分钟,则判定第二因子有效并执行后续步骤,若第二因子的有效期大于60分钟,则判定第二因子失效并执行步骤S3重新登录;
[0012]S5:在步骤S4判定第二因子有效的前提下,系统判定设备是否存在锁屏或连续10分钟没有被用户操作的情况,若不存在,则执行后续步骤,若存在,则重新执行步骤S3直至登录成功;
[0013]S6:在步骤S5判定设备不存在锁屏或连续10分钟没有被用户操作的情况前提下,系统进行统一身份认证过程。
[0014]作为本专利技术的一种优选技术方案:所述第一因子包括用户名和密码;所述第二因子为生物特征,所述生物特征至少包括指纹特征、面部特征、声纹特征和虹膜特征中的一种。
[0015]作为本专利技术的一种优选技术方案,所述步骤S6包括:
[0016]S601:系统返回第三方服务;
[0017]S602:用户点击第三方服务进行跳转;
[0018]S603:系统校验并判定所述步骤S3的TGT是否正确,若不正确,则系统的浏览器提示第三方服务不能访问,并终止流程;若正确,则系统产生ST(Service Ticket,服务票据),所述ST为所述服务器端生成的服务票据,并携带ST重定向到第三方服务的单点登录接口;
[0019]S604:在步骤S603判定所述步骤S3的TGT正确的前提下,第三方服务获取ST;
[0020]S605:系统判定ST是否生效,若生效,系统的浏览器进入第三方服务,并终止流程;若不生效,则系统的浏览器提示错误,并终止流程。
[0021]一种采用双因子的统一身份认证系统,该系统应用于所述的一种采用双因子的统一身份认证方法,包括服务器端和至少一个客户端;所述客户端由所述用户通过所述浏览器访问。
[0022]作为本专利技术的一种优选技术方案:所述第三方服务包括至少一个具体业务,所述具体业务与所述客户端一一对应。
[0023]作为本专利技术的一种优选技术方案:所述TGT用于授权所述用户通过所述客户端登录所述第三方服务。
[0024]作为本专利技术的一种优选技术方案:所述ST用于授权所述用户通过所述客户端访问所述具体业务。
[0025]与现有技术相比,本专利技术的有益效果是:
[0026]通过结合双因子认证和中央认证服务,提供更高的安全保障;通过第二因子超时重新登录的策略,避免无人值守时设备被他人登录的安全隐患。
附图说明
[0027]为了便于本领域技术人员理解,下面结合附图对本专利技术作进一步的说明。
[0028]图1为本专利技术一实施例的流程图;
[0029]图2为在本专利技术中第一因子的有效期的示意图;
[0030]图3为在本专利技术中第二因子的有效期的示意图;
[0031]图4为本专利技术另一实施例的流程图。
具体实施方式
[0032]下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本专利技术保护的范围。
[0033]请参阅图1,一种采用双因子的统一身份认证方法,包括以下步骤:
[0034]S1:用户输入并登录第一因子,系统校验并判定第一因子是否登录成功,若登录失败,则重复登录直至成功;
[0035]S2:自所述步骤S1中第一因子成功登录的时间起,记录为第一因子的有效期,系统对第一因子的有效期进行判定,若第一因子的有效期小于或等于10分钟,则判定第一因子有效并执行后续步骤,若第一因子的有效期大于10分钟,则判定第一因子失效并执行步骤S1重新登录;
[0036]S3:在步骤S2判定第一因子有效的前提下,用户输入并登录第二因子,系统校验并判定第二因子是否登录成功,若登录成功,则系统计算并发送给用户TGT(Ticket Granting Ticket,登录票据),所述TGT为所述服务器端生成的登录票据,再执行S4,若登录失本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种采用双因子的统一身份认证方法,其特征在于,包括以下步骤:S1:用户输入并登录第一因子,系统校验并判定第一因子是否登录成功,若登录失败,则重复登录直至成功;S2:自所述步骤S1中第一因子成功登录的时间起,记录为第一因子的有效期,系统对第一因子的有效期进行判定,若第一因子的有效期小于或等于10分钟,则判定第一因子有效并执行后续步骤,若第一因子的有效期大于10分钟,则判定第一因子失效并执行步骤S1重新登录;S3:在步骤S2判定第一因子有效的前提下,用户输入并登录第二因子,系统校验并判定第二因子是否登录成功,若登录成功,则系统计算并发送给用户TGT,所述TGT为所述服务器端生成的登录票据,再执行后续步骤,若登录失败,则重新执行步骤S1直至登录成功;S4:自所述步骤S3中第二因子成功登录的时间起,记录为第二因子的有效期,系统对第二因子的有效期进行判定,若第二因子的有效期小于或等于60分钟,则判定第二因子有效并执行后续步骤,若第二因子的有效期大于60分钟,则判定第二因子失效并执行步骤S3重新登录;S5:在步骤S4判定第二因子有效的前提下,系统判定设备是否存在锁屏或连续10分钟没有被用户操作的情况,若不存在,则执行后续步骤,若存在,则重新执行步骤S3直至登录成功;S6:在步骤S5判定设备不存在锁屏或连续10分钟没有被用户操作的情况前提下,系统进行统一身份认证过程。2.根据权利要求1所述的一种采用双因子的统一身份认证方法,其特征在于:所述第一因子包括用户名和密码;所述第二因子为生物特征,...
【专利技术属性】
技术研发人员:赵风君,丁子涵,张晓丹,田炜达,黄湘妮,
申请(专利权)人:广州东方电科自动化有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。