一种基于数字证书实现集成多个应用系统统一认证登录的方法
【专利摘要】本发明公开了一种基于数字证书实现集成多个应用系统统一认证登录的方法,为用户签发合法的数字证书,使用数字证书认证的方式替代原有的用户名和口令的认证方式;建立统一认证平台,对各个信息应用系统提供统一认证服务;信息应用系统接入,登录验证和授权,完成统一认证登录。使用本发明的方法,提高了信息应用系统的安全性,减少了用户用户名和口令早泄露造成的损失,数字证书的签名保证了信息应用系统中操作的可追溯性;通过建立统一认证平台,使得用户信息资源集中共享,便于管理和维护;基于OAuth2.0协议,提供开放接口,使得接入新的信息应用系统变得简单;提供了统一认证登录、单点登录功能,方便用户操作,提高工作效率。
【专利说明】一种基于数字证书实现集成多个应用系统统一认证登录的方法
【技术领域】
[0001]本发明一般应用于公开密钥基础设施系统(PKI)领域,为集成一个或多个基于数字证书的应用系统实现统一认证登录、单点登录提供一种轻量级的更高效,安全,快捷的方式。
【背景技术】
[0002]X509是由ITU-T推荐的一个国际标准,X.509定义了一个已经被广泛接受的PKI基础,它包括数据格式和通过由证书机构签发的数字证书来进行分发公钥的过程。
[0003]X509数字证书是指由可信任证书签发组织对特定公钥和数据信息进行签名的数据。
[0004]众所周知,每一项技术的发展和应用都会经历一个过程,信息化技术的发展也是如此。在计算机技术发展和应用的过程中,许多大型企业、公司、事业单位、政府部门都会先后使用大量的信息应用系统来不断解决或满足业务、运营方面的需求。由于历史性原因,这些信息应用系统往往都是各自分散、独立的运行,彼此间业务和权限不交叉,如果要使用不同信息应用系统的业务,就需要登录不同的信息应用系统。因此,在经过一段时间的信息化后,这些大型企业、公司、事业单位、政府部门都会面临无法对已有的大量的信息应用系统进行统一集中管理的问题,记录每个信息应用系统的账号和口令才给系统使用者带来了不少的麻烦。随着安全意识的提高,越来越多的用户也意识到账号和口令这种认证模式容易被破解,并不安全。
[0005]OAuthl.0已经在IETF尘埃落定,编号是RFC5849。这也标志着OAuth已经正式成为互联网标准协议。OAuth (开放授权)是一个开放标准,允许用户让第三方应用访问该用户在某一网站上存储的私密的资源(如照片,视频,联系人列表),而无需将用户名和密码提供给第三方应用。0Auth2.0早已经开始讨论和建立的草案。0Auth2.0很可能是下一代的“用户验证和授权”标准。现在百度开放平台,腾讯开放平台等大部分的开放平台都是使用的0Auth2.0协议作为支撑。
[0006]现有技术的缺点:现在已经有一些技术手段能够在一定程度上改善或者部分解决许多大型企业、公司、事业单位、政府部门所面临的急需集成原有分散和独立的信息应用信息的难题,但这些技术手段存在如下几个问题:
[0007]—、现有单点登录技术,主要目的在于解决多个应用系统中用户只需登录一次就可以访问所有相互信任的应用系统的问题,但其局限性也是明显的:即应用场景大多适用于用户的认证信息是用户名和口令的方式,对于应用系统需要使用数字证书登录的,往往不支持。
[0008]二、基于用户名和口令的方式存在很大的安全问题。近年来,互联网已经发生了多起系统用户名和口令信息泄露的事故,特别是最近的天涯账号泄露事件和CSDN账号泄露事件,再次暴露出这种认证方式的简单不安全。从技术手段上讲,用户名和口令这种方式,很容易被破解或窃取,而且无法追溯使用者的真实身份,更无法进行责任定位与追究。
[0009]三、现有方案往往采用对权限的集中管理,却是以牺牲系统良好的扩展性为代价。这样,一旦企业、公司、事业单位、政府部门需要集成更多的外部信息应用系统时,需要再次修改现有系统以及对外部信息应用系统做改造,十分不便。特别是当外部信息应用系统仅需要统一登录功能并要求权限独立时,现有方案将无能为力。
【发明内容】
[0010]本发明的目的:针对许多大型企业、公司、事业单位、政府部门所面临集成多个分散而独立的信息应用系统的问题,本发明提出一种基于数字证书实现集成多个应用系统统一认证登录的方法,可有效的解决上述的问题。
[0011]为实现上述目的,本发明的技术方案是:一种基于数字证书实现集成多个应用系统统一认证登录的方法,方法至少包括:
[0012]一、使用数字证书认证的方式替代原有的用户名和口令的认证方式。数字证书的私钥从生成到销毁都是在USB Key中完成,不会被导出或者复制,保护私钥的PIN 口令也仅仅证书持有者知道,其安全性得到最大程度的保护。
[0013]二、建立统一认证平台。。统一认证平台采用数字证书作为用户信息,基于证书验证,对各个信息应用系统提供统一认证服务、单点登录服务并提供开放接口(Open API)。每次在统一认证平台进行统一认证登录时,都要验证用户的数字证书以及数字签名,验证通过后才能进入正常的业务流程。
[0014]三、信息应用系统接入,登录验证和授权,完成统一认证登录。各信息应用系统按照统一认证平台提供的0Auth2.0协议要求,申请appid和appkey,然后修改应用系统登录模块,加入“使用数字证书账号登录”按钮。
[0015]用户在各信息应用系统登录页面点击“使用数字证书账号登录”按钮,页面将跳转至统一认证平台的登录页面,用户使用数字证书登录成功后,统一认证平台跳转至“确认并授权”页面,由用户确认并授权后,该信息应用系统将获得访问用户信息的权限,页面跳转至信息应用系统,完成统一认证登录,进入正常的业务流程。
[0016]本发明的有益效果是:本发明使用数字证书认证的方式替代传统的用户名和口令方式,既提高了信息应用系统的安全性,减少了因用户用户名和口令早泄露造成的损失,同时由于数字证书具备的签名不可抵赖特性,保证了信息应用系统中操作的可追溯性,便于追究责任。通过建立统一认证平台,使得用户信息资源集中共享,便于管理和维护;基于0Auth2.0协议,提供开放接口,使得接入新的信息应用系统变得简单;提供了统一认证登录、单点登录功能,方便用户操作,提高工作效率。
【专利附图】
【附图说明】
[0017]图1为本发明的信息应用系统申请接入统一认证平台流程。
[0018]图2为本发明的统一认证登录流程图。
[0019]图3为本发明的单点登录流程图。
【具体实施方式】[0020]下面结合附图和具体实施例对本发明进行进一步详细的说明。
[0021]如图1所示,为本发明的信息应用系统申请接入统一认证平台流程。
[0022]一、使用数字证书认证的方式替代原有的用户名和口令的认证方式。对于没有数字证书的用户,引导用户到合法的CA机构申请签发数字证书,对已有数字证书的用户只需要将数字证书与原有信息应用系统中用户名和口令做选择性绑定即可。
[0023]二、建立统一认证平台,对各个信息应用系统提供统一认证服务。统一认证平台认证的流程严格遵循0Auth2.0协议,同时对信息应用系统提供开放接口(Open API)。统一认证平台采用数字证书作为用户信息,每次在统一认证平台进行统一认证登录时,都要验证用户的数字证书以及数字签名,验证通过后才能进入正常的业务流程。
[0024]统一认证平台主要通过以下方式实现:
[0025]I)证书验证
[0026]每张登录的证书在登录的时候,按照流程设计,必须提交签名,统一认证平台会验证签名是否合法,同时验证该数字证书是否合法,包括验证有效期、验证CA机构签名、验证证书注销列表等。
[0027]2)统一认证服务
[0028]统一认证平台为所有接入到统一认证平台的信息应用系统提供统一认证服务。在接入到统一认证平台的信息应用系统的登录页面,点击“使用数字证书登录”按钮,页面就会跳转到统一认证平台进行统一认证,认证成功后,跳转回信息应用系统。
[0029]3)单点登录,如图3所示本发明的单点登录流程图
[0030]统一认证平台为所有接入到统一认证平台的信息应用系统提供单点登录功能服务。只要登录统一认证平台成功后,就可以在已经接入的信息应用系统中切换,不需要多次重复认证登录。
[0031]4)提供开放接口(Open API)
[0032]经过授权的信息应用系统可以通过统一认证平台提供的开放接口,获得开放的诸多功能,例如:经过证书用户授权后,信息应用系统可以获取证书用户的详细信息,证书扩展属性信息等。
[0033]三、信息应用系统接入,进行登录验证和授权,完成统一认证登录。信息应用系统接入,进行登录验证和授权,完成统一认证登录主要包括以下步骤,如图2所示,统一认证登录流程图:
[0034]I)由信息应用系统申请接入统一认证平台,获得对应的appid和appkey,以保证后续认证流程中可正确的对信息应用系统与用户进行验证与授权。
[0035]2)在信息应用系统上设置统一认证登录的入口,即加入“使用数字证书登录”按钮。
[0036]3)用户登录认证和授权。用户在信息应用系统的登录入口,点击“使用数字证书登录”按钮后,页面跳转到统一认证平台的登录入口,用户使用数字证书进行登录认证。登录成功后,弹出授权页面,引导用户对该信息应用系统进行授权。
[0037]4)登录和授权完成后,跳转回信息应用系统。如果用户成功登录并授权,则跳转到应用信息系统的回调地址,该回调地址由信息应用系统自行设置。
[0038]5)获取用户证书信息及证书扩展属性信息。用户成功登录后,信息应用系统可通过统一认证平台的开放接口发送请求获取用户证书信息及证书扩展属性信息,以便进入正常的业务流程。
[0039]以上实施例只是对于本发明的部分功能进行描述,但实施例和附图并不是用来限定本发明的。在不脱离本发明之精神和范围内,所做的任何等效变化或润饰,同样属于本发明之保护范围。因此本发明的保护范围应当以本申请的权利要求所界定的内容为标准。
【权利要求】
1.一种基于数字证书实现集成多个应用系统统一认证登录的方法,其特征在于: 步骤一、使用数字证书认证的方式替代原有的用户名和口令的认证方式; 步骤二、建立统一认证平台,对各个信息应用系统提供统一认证服务; 步骤三、信息应用系统接入,登录验证和授权,完成统一认证登录。
2.根据权利要求1所述的基于数字证书实现集成多个应用系统统一认证登录的方法,其特征在于: 步骤一中,对没有数字证书的用户,引导用户到合法的CA机构申请签发数字证书;对原有的用户名和口令的用户已有数字证书的,将已有数字证书和原有的用户名和口令做绑定。
3.根据权利要求1所述的基于数字证书实现集成多个应用系统统一认证登录的方法,其特征在于: 步骤二中,统一认证平台采用数字证书作为用户信息,,每次在统一认证平台进行统一认证登录时,需要验证 用户的数字证书以及数字签名,验证通过后才能进入正常的业务流程。
4.根据权利要求3所述的基于数字证书实现集成多个应用系统统一认证登录的方法,其特征在于: 步骤二中,统一认证平台实现方式: (1)证书验证:每张登录的证书在登录的时候,按照流程设计提交签名,统一认证平台验证签名是否合法,同时验证该数字证书是否合法,包括验证有效期、验证CA机构签名、验证证书注销列表; (2)统一认证服务:统一认证平台为所有接入到统一认证平台的信息应用系统提供统一认证服务,在接入到统一认证平台的信息应用系统的登录页面,点击“使用数字证书登录”按钮,页面就会跳转到统一认证平台进行统一认证,认证成功后,跳转回信息应用系统; (3)单点登录:统一认证平台为所有接入到统一认证平台的信息应用系统提供单点登录功能服务,只要登录统一认证平台成功后,即可在已经接入的信息应用系统中切换,不需要多次重复认证登录。 (4)提供开放接口:经过授权的信息应用系统通过统一认证平台提供的开放接口,获得开放的诸多功能,经过证书用户授权后,信息应用系统获取证书用户的详细信息,证书扩展属性信息。
5.根据权利要求1所述的基于数字证书实现集成多个应用系统统一认证登录的方法,其特征在于: 步骤三中,各信息应用系统按照统一认证平台提供的OAuth协议要求,申请appid和appkey,然后修改应用系统登录模块,加入“使用数字证书账号登录”按钮。
6.根据权利要求5所述的基于数字证书实现集成多个应用系统统一认证登录的方法,其特征在于: 步骤三中,用户在各信息应用系统登录页面点击“使用数字证书账号登录”按钮,页面将跳转至统一认证平台的登录页面,用户使用数字证书登录成功后,统一认证平台跳转至“确认并授权”页面,由用户确认并授权后,该信息应用系统将获得访问用户信息的权限,页面跳转至信息应用系统,完成统一认证登录,进入正常的业务流程。
7.根据权利要求1、5或6所述的基于数字证书实现集成多个应用系统统一认证登录的方法,其特征在于: 步骤三中统一认证登陆具体步骤为: (1)由信息应用系统申请接入统一认证平台,获得对应的appid和appkey,以保证后续认证流程中可正确的对信息应用系统与用户进行验证与授权; (2)在信息应用系统上设置统一认证登录的入口,加入“使用数字证书登录”按钮; (3)用户登录认证和授权,用户在信息应用系统的登录入口,点击“使用数字证书登录”按钮后,页面跳转到统一认证平台的登录入口,用户使用数字证书进行登录认证,登录成功后,弹出授权页面,引导用户对该信息应用系统进行授权; (4)登录和授权完成后,跳转回信息应用系统,如果用户成功登录并授权,则跳转到应用信息系统的回调地址,该回调地址由信息应用系统自行设置; (5)获取用户证书信息 及证书扩展属性信息,用户成功登录后,信息应用系统可通过统一认证平台的开放接口发送请求获取用户证书信息及证书扩展属性信息,进入正常的业务流程。
【文档编号】H04L9/32GK103560888SQ201310542169
【公开日】2014年2月5日 申请日期:2013年11月5日 优先权日:2013年11月5日
【发明者】王杰勋, 李业兵, 庄昱垚 申请人:江苏先安科技有限公司