认证方法及认证平台与流程
本申请涉及认证技术,具体涉及一种认证方法及认证平台。
背景技术:
随着信息化建设的发展,网络用户诸如单位和企业使用的业务系统逐渐增多。网络用户如企业员工具有访问业务系统的权限,也具有通过网络接入设备访问网络的权限。相关技术中,网络用户如企业员工在访问业务系统的情况下需要进行认证,在访问网络的情况下也需要进行认证,也即员工对业务系统的访问和对网络的访问需要分别进行认证。这种分别认证的方案,一方面比较繁琐,无法为员工带来良好的访问体验。另一方面,认证需要员工输入预先设置好的登录信息(账号和密码),登录信息过多,无形当中会加重业务系统和网络接入设备的资源负担。
技术实现要素:
为解决现有存在的技术问题,本申请实施例提供一种认证方法及认证平台。
本申请实施例的技术方案是这样实现的:
本申请实施例提供一种认证方法,应用于认证平台中,所述方法包括:
接收第一消息,所述第一消息表征为终端对目标访问设备的访问请求;
在所述访问请求中未携带用于允许所述终端进行所述访问的免认证信息或携带的免认证信息无效的情况下,对所述终端进行身份认证;
在所述终端的身份认证通过的情况下,为所述终端生成共享票据,将所述共享票据作为所述终端的免认证信息;所述共享票据能够免除所述终端对所述目标访问设备进行访问时的认证。
上述方案中,所述方法还包括:
在所述访问请求中携带所述共享票据的情况下,
对所述共享票据的有效性进行认证;
认证通过时,发送认证通过通知消息至所述目标访问设备;或者发送所述共享票据至所述目标访问设备;其中,所述认证通过通知消息或所述共享票据可使所述目标访问设备允许所述终端直接进行访问。
上述方案中,所述目标访问设备包括网络接入设备,相应的,所述接收第一消息,包括:
接收所述网络接入设备发送的所述第一消息,其中所述网络接入设备在所述终端向所述网络接入设备发送网络访问请求的情况下进行所述第一消息的发送;
相应的,在为所述终端生成共享票据之后,所述方法还包括:
至少发送所述共享票据至所述网络接入设备,所述共享票据能够使所述网络接入设备允许所述终端直接进行网络访问。
上述方案中,所述方法还包括:
发送所述共享票据至所述终端;
在发送所述共享票据至所述终端的情况下,所述共享票据被所述终端携带并对业务系统进行访问;认证平台对所述终端携带的所述共享票据进行有效性认证,在所述认证平台对所述终端携带的所述共享票据认证通过的情况下,所述业务系统允许所述终端直接进行访问。
上述方案中,所述目标访问设备包括业务系统,相应的,所述接收第一消息,包括:
接收所述业务系统发送的所述第一消息,其中所述业务系统在所述终端向所述业务系统发送业务访问请求的情况下进行所述第一消息的发送;
相应的,在为所述终端生成共享票据之后,所述方法还包括:
至少发送所述共享票据至所述业务系统,所述共享票据能够使所述业务系统允许所述终端直接进行业务访问。
上述方案中,所述方法还包括:
发送所述共享票据至所述终端;
在发送所述共享票据至所述终端的情况下,所述共享票据被所述终端携带并通过网络接入设备进行网络访问;认证平台对所述终端携带的所述共享票据进行有效性认证,在所述认证平台对所述终端携带的所述共享票据认证通过的情况下,所述网络接入设备允许所述终端直接进行网络访问。
上述方案中,所述目标访问设备包括活动目录域设备,相应的,所述接收第一消息,包括:
接收所述活动目录域设备发送的第一消息,其中所述活动目录域设备在所述终端向所述活动目录域设备发送对接请求的情况下进行所述第一消息的发送;
相应的,在为所述终端生成共享票据之后,所述方法还包括:
至少发送所述共享票据至所述活动目录域设备,所述共享票据能够使所述活动目录域设备允许所述终端对接通过。
上述方案中,所述终端进行访问的业务系统的数量为至少两个;
在所述共享票据能够免除所述终端对所述至少两个业务系统的第一业务系统进行业务访问时的认证情况下,
接收第二消息,所第二消息表征为终端对所述至少两个业务系统中的第二业务系统进行访问的业务访问请求;
获得为所述终端生成的共享票据;
对获得的共享票据的有效性进行认证;
认证通过时,发送认证通过通知消息至所述第二业务系统,所述认证通过通知消息可使所述第二业务系统允许所述终端直接进行访问。
上述方案中,在所述共享票据能够免除所述终端对所述至少两个业务系统的第一业务系统进行业务访问时的认证情况下,所述方法还包括:
基于所述共享票据,生成登录标识,所述登录标识表征为所述终端已登录过所述至少两个业务系统的其中至少一个业务系统;
相应的,所述获得为所述终端生成的共享票据包括:
基于所述终端的登录标识,获得共享票据。
上述方案中,在接收第一消息之前,所述方法还包括:
获得针对所述终端的注册请求;
基于所述注册请求,获得所述终端的身份标识信息并存储;
相应的,所述对所述终端进行身份认证,包括:
判断是否存储有所述终端的身份标识信息;
判断为是的情况下,对所述终端的身份认证通过。
上述方案中,所述方法还包括:
获得针对所述终端的注销请求;
基于所述终端的注销请求,删除存储的所述终端的身份标识信息。
上述方案中,所述方法还包括:
针对终端对目标访问设备的访问,获得日志数据;
基于所述日志数据,对所述终端的访问进行审计,得到审计结果。
本申请实施例提供一种认证平台,包括:
接收单元,用于接收第一消息,所述第一消息表征为终端对目标访问设备的访问请求;
判断单元,用于判断所述访问请求中是否携带用于允许所述终端进行所述访问的免认证信息或判断携带的免认证信息无效的情况下;
第一认证单元,用于在判断为未携带所述共享票据或携带的免认证信息无效的情况下,对所述终端进行身份认证;
生成单元,用于在所述终端的身份认证通过的情况下,为所述终端生成共享票据,将所述共享票据作为所述终端的免认证信息;所述共享票据能够免除所述终端对所述目标访问设备进行访问时的认证。
本申请实施例提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现前述任一认证方法的步骤。
本申请实施例提供一种认证平台,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现前述任一认证方法的步骤。
本申请实施例提供一种认证方法及认证平台,其中所述方法包括:接收第一消息,所述第一消息表征为终端对目标访问设备的访问请求;在所述访问请求中未携带用于允许所述终端进行所述访问的免认证信息或携带的免认证信息无效的情况下,对所述终端进行身份认证;在所述终端的身份认证通过的情况下,为所述终端生成共享票据,将所述共享票据作为所述终端的免认证信息;所述共享票据能够免除所述终端对所述目标访问设备进行访问时的认证。
本申请实施例中,基于共享票据在不需要用户分别输入认证信息的情况下即可实现对业务系统的成功访问和对网络的成功访问,避免了用户对认证信息的多次输入,提高了用户的访问体验,减轻了业务系统和网络接入设备的资源负担,提高访问效率。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请实施例认证方法实施例的实现流程示意图一;
图2为本申请实施例认证方法实施例的实现流程示意图二;
图3为本申请实施例认证方法实施例的实现流程示意图三;
图4为本申请实施例认证方法实施例的实现流程示意图四;
图5为本申请实施例认证方法的具体实现示意图一;
图6为本申请实施例单点登录方法的实现示意图;
图7为本申请实施例认证平台的身份管理功能示意图一;
图8为本申请实施例认证平台的身份管理功能示意图二;
图9为本申请实施例认证平台的审计管理功能示意图;
图10为本申请实施例认证平台实现认证方法的原理示意图;
图11为本申请实施例应用场景示意图一;
图12为本申请实施例应用场景示意图二;
图13为本申请实施例应用场景示意图三;
图14为本申请实施例应用场景示意图四;
图15为本申请实施例认证平台的组成结构示意图;
图16为本申请实施例认证平台的硬件构成示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚明白,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行。并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
可以理解,随着网络用户的发展,其业务系统和网络接入设备将会多样化,这些逐渐增多的业务系统和网络设备,加重了网络用户的管理难题。以网络用户为企业为例比如认证繁琐、运维工作量大,登录账号不安全等问题。具体的,企业员工对业务系统的访问和对网络的访问需要分别进行认证的方案,将带来以下的几处问题:
第一点,需要多次认证,用户体验差。内网员工接入网络(访问互联网或移动办公接入)需要1次认证,再访问业务系统还需要1次或多次认证,用户体验差,影响工作效率。
第二点,网络接入设备和业务系统各自维护一套用户身份体系(登录时需要使用的用户名和密码),二者的用户身份体系形成信息孤岛。在人员入职时需要开通多个账号,人员变更时需要调整多个账号权限,人员离职时需要注销多个账号,给企业管理人员带来了繁重的运维工作量。
第三点,对于业务系统来说,其访问也能存在不安全的问题。比如在员工离职的情况下,需要在各个业务系统上进行账号的回收操作,一旦有遗漏的账号,将会导致离职后仍然可以访问业务系统,为企业的信息安全埋下了安全隐患。
可以理解,前述为在网络用户为企业的情况下存在的一些问题,除此之外,其他以团体为单位的网络用户如公司、集团等或者以个人为单元的网络用户也可能存在如上的技术问题,本申请实施例的技术目的之一在于解决如上的技术问题,以提升用户的使用体验。
本申请实施例中的认证方法和认证平台,能够对业务系统或对网络进行访问的终端生成共享票据,基于该共享票据实现终端对业务系统访问的免认证以及对网络访问的免认证。无需对业务系统的访问和对网络的访问分别进行认证,避免了用户对认证信息(如账号和密码等登录信息)的多次输入,提高了用户的访问体验,减轻了业务系统和网络接入设备的资源负担。此外,基于共享票据在不需要用户分别输入认证信息的情况下即可实现对业务系统的成功访问和对网络的成功访问,无需等待用户进行认证信息的输入,能够提高访问效率。
本申请实施例提供认证方法的一种实施例,应用于认证平台中,如图1所示,所述方法包括:
步骤(s,step)101:接收第一消息,所述第一消息表征为终端对目标访问设备的访问请求;
本步骤中,在具体实现上,所述第一消息表征为终端对业务系统进行访问的业务访问请求,也可以表征为终端通过网络接入设备进行访问的网络访问请求,还可以表征为终端向活动目录域设备(ad,activedirectory)发送对接请求。也即目标访问设备可以为业务系统、网络接入设备和/或ad设备。
s102:在所述访问请求中未携带用于允许所述终端进行所述访问的免认证信息或携带的免认证信息无效的情况下,对所述终端进行身份认证;
s103:在所述终端的身份认证通过的情况下,为所述终端生成共享票据,将所述共享票据作为所述终端的免认证信息;所述共享票据能够免除所述终端对目标访问设备进行访问时的认证。
在具体实现上,共享票据可作为一种业务系统和网络接入设备均可使用的免认证信息,为业务系统和网络接入设备可共享的免认证信息。共享票据的存在可使得在终端访问业务系统和/或网络接入设备的情况下,无需业务系统和/或网络接入设备对终端进行认证即可允许终端进行访问。
可以理解,执行s101~s103的主体为认证平台。本申请实施例中,认证平台接收终端对业务系统进行访问的业务访问请求或通过网络接入设备进行访问的网络访问请求,在访问请求中未携带用于允许终端进行业务访问或网络访问的免认证信息或携带的免认证信息无效的情况下,对终端进行身份认证,在终端的身份认证通过的情况下,为终端生成作为终端的免认证信息的共享票据。基于该共享票据终端可实现后续对业务系统访问的免认证以及对网络访问的免认证。无需对业务系统的访问和对网络的访问分别进行认证,避免了用户对认证信息的多次输入,提高了用户的访问体验,减轻了业务系统和网络接入设备的资源负担。此外,基于共享票据在不需要用户分别输入认证信息的情况下即可实现对业务系统的成功访问和对网络的成功访问,无需等待用户进行认证信息的输入,能够提高访问效率。
可以理解,为便于终端对业务系统和/或通过网络接入设备对网络的免认证访问,在认证平台为终端生成共享票据的情况下,认证平台可将生成的共享票据发送至目标访问设备;也可以不发送共享票据至目标访问设备,但反馈可用于通知目标访问设备无需进行终端身份的认证、允许直接进行访问的通知消息。还可以发送共享票据至终端,以令终端对共享票据进行携带并在后续访问过程中无需进行身份认证。
本申请实施例提供认证方法的又一实施例,应用于认证平台中,如图2所示,所述方法包括:
s201:接收第一消息,所述第一消息表征为终端对目标访问设备的访问请求;
s202:在所述访问请求中携带所述共享票据的情况下,对所述共享票据的有效性进行认证;
s203:认证通过时,发送认证通过通知消息至目标访问设备;或者发送所述共享票据至所述目标访问设备;其中,所述认证通过通知消息或所述共享票据可使所述目标访问设备允许所述终端直接进行访问。
可以理解,执行s201~s203的主体为认证平台。本申请实施例中,认证平台接收第一消息,在访问请求中携带共享票据的情况下,对共享票据的有效性进行认证,认证通过时,发送通知消息至目标访问设备或者发送共享票据至目标访问设备,该认证通过通知消息或共享票据可使业务系统和网络接入设备允许终端直接进行访问。也即免除终端对认证信息的输入,基于共享票据实现免认证,提高了用户的访问体验,减轻了业务系统和网络接入设备的资源负担。此外,无需用户进行认证信息的输入,可提升访问效率。
本申请实施例提供认证方法的再一实施例,应用于认证平台中,如图3所示,所述目标访问设备为网络接入设备的情况下,所述方法包括:
s301:接收所述网络接入设备发送的所述第一消息,其中所述网络接入设备在所述终端向所述网络接入设备发送网络访问请求的情况下进行所述第一消息的发送;
s302:在所述访问请求中未携带用于允许所述终端进行所述访问的免认证信息或携带的免认证信息无效的情况下,对所述终端进行身份认证;
s303:在所述终端的身份认证通过的情况下,为所述终端生成共享票据,将所述共享票据作为所述终端的免认证信息;
s304:发送所述共享票据至所述终端及所述网络接入设备;
s305:在发送所述共享票据至所述网络接入设备的情况下,所述共享票据能够使所述网络接入设备允许所述终端直接进行网络访问;
s306:在发送所述共享票据至所述终端的情况下,所述共享票据被所述终端携带并对所述业务系统进行访问;认证平台对所述终端携带的所述共享票据进行有效性认证,在所述认证平台对所述终端携带的所述共享票据认证通过的情况所述业务系统允许所述终端直接进行访问。
可以理解,在s301~s306中,为终端向网络接入设备发送网络访问请求的情况下,认证平台接收的由网络接入设备发送的第一消息,在访问请求中未携带用于允许终端进行网络访问的免认证信息或携带的免认证信息无效的情况下,对终端进行身份认证,在终端的身份认证通过的情况下,为终端生成作为终端的免认证信息的共享票据,发送共享票据至终端及网络接入设备。基于该共享票据终端可实现后续对业务系统访问的免认证以及对网络访问的免认证。无需对业务系统的访问和对网络的访问分别进行认证,避免了用户对认证信息的多次输入,提高了用户的访问体验,减轻了业务系统和网络接入设备的资源负担。此外,无需用户进行认证信息的输入,可提高访问效率。其中,s305和s306无严格的先后顺序还可以同时进行。
本申请实施例提供认证方法的又一实施例,应用于认证平台中,如图4所示,所述目标访问设备为业务系统,所述方法包括:
s401:接收所述业务系统发送的所述第一消息,其中所述业务系统在所述终端向所述业务系统发送业务访问请求的情况下进行所述第一消息的发送;
s402:在所述访问请求中未携带用于允许所述终端进行所述访问的免认证信息或携带的免认证信息无效的情况下,对所述终端进行身份认证;
s403:在所述终端的身份认证通过的情况下,为所述终端生成共享票据,将所述共享票据作为所述终端的免认证信息;
s404:发送所述共享票据至所述终端及所述业务系统;
s405:在发送所述共享票据至所述业务系统的情况下,所述共享票据能够使所述业务系统允许所述终端直接进行业务访问;
s406:在发送所述共享票据至所述终端的情况下,所述共享票据被所述终端携带并通过所述网络接入设备进行网络访问;认证平台对所述终端携带的所述共享票据进行有效性认证,在所述认证平台对所述终端携带的所述共享票据认证通过的情况所述网络接入设备允许所述终端直接进行网络访问。
可以理解,在s401~s406中,为终端向业务系统发送业务访问请求的情况下,认证平台接收的由业务系统发送的第一消息,在访问请求中未携带用于允许终端进行业务访问的免认证信息或携带的免认证信息无效的情况下,对终端进行身份认证,在终端的身份认证通过的情况下,为终端生成作为终端的免认证信息的共享票据,发送共享票据至终端及业务系统。基于该共享票据终端可实现后续对业务系统访问的免认证以及对网络访问的免认证。无需对业务系统的访问和对网络的访问分别进行认证,避免了用户对认证信息的多次输入,提高了用户的访问体验,减轻了业务系统和网络接入设备的资源负担。此外,无需用户进行认证信息的输入,可提高访问效率。其中,s405和s406无严格的先后顺序还可以同时进行。
可以理解,前述s301~s306以及s401~s406的区别在于认证平台接收到的第一消息来源于不同的设备,s301~s306来源于网络接入设备,并将生成的共享票据发送至终端及网络接入设备。s401~s406来源于业务系统,并将生成的共享票据发送至终端及业务系统。不论是s301~s306还是s401~s406基于共享票据终端均可实现对业务系统访问的免认证以及对网络访问的免认证。提高了用户的访问体验,提高了访问效率。
可以理解,在前述方案应用于企业、单位或公司内部的情况下,为保证内部数据访问的安全性,通常会设置有ad设备,终端要接入企业内部需要先与ad设备进行通信,完成企业内部的网络对接,本申请实施例可在对接过程中实现对终端的共享票据的生成。具体的,在所述目标访问设备为ad设备的情况下,所述接收第一消息,包括:接收ad设备发送的第一消息,其中ad设备在所述终端向所述ad设备发送对接请求的情况下进行所述第一消息的发送;相应的,在为所述终端生成共享票据之后,所述方法还包括:至少发送所述共享票据至所述ad设备,所述共享票据能够使所述ad设备允许所述终端对接通过。与ad设备对接通过的终端方可允许其对企业内的业务系统和网络接入设备进行访问。
在一个可选的实施例中,所述终端进行访问的业务系统的数量为至少两个;
在所述共享票据能够免除所述终端对所述至少两个业务系统的第一业务系统进行业务访问时的认证情况下,接收第二消息,所第二消息表征为终端对所述至少两个业务系统中的第二业务系统进行访问的业务访问请求;获得共享票据;对获得的共享票据的有效性进行认证;认证通过时,发送认证通过通知消息至所述第二业务系统和网络接入设备,所述认证通过通知消息可使所述第二业务系统允许所述终端直接进行访问。本可选方案中,为通过共享票据实现在该终端在多个业务系统中的单点登录方案。可以理解,单点登录方案即为同一终端在一个业务系统登录成功的情况下即可无需输入登录至其他业务系统的登录信息即可实现自动登录进而实现对其它业务系统的访问。这种基于共享票据实现的单点登录方案,无需用户频繁输入登录信息即实现成功登录,可大大提升用户使用体验。
在一个可选的实施例中,在所述共享票据能够免除所述终端对所述至少两个业务系统的第一业务系统进行业务访问时的认证情况下,所述方法还包括:
基于所述共享票据,生成登录标识,所述登录标识表征为所述终端已登录过所述至少两个业务系统的其中至少一个业务系统;相应的,所述获得共享票据包括:基于登录标识,获得共享票据。本可选方案中,认证平台基于共享票据对已经登录过至少两个业务系统的至少一个业务系统的终端进行标识,标识其已经登录过业务系统了,在其登录其它业务系统的情况下,基于登录标识进行共享票据的获取,并在共享票据有效的情况下实现终端对其它业务系统的直接登录。
可以理解,在实际应用中,在地理位置上来看,终端可划分为内网终端和外网终端。如位于企业或单位内部进行业务访问或网络访问的终端为内网终端,从企业或单位外部进行业务访问或网络访问的终端为外网终端。在终端为外网终端的情况下,认证平台通过建立的传输通道进行该终端的身份认证;并通过传输通道发送共享票据至外网终端。也即本申请实施例提供的认证方法适用于内网终端,也适用于外网终端。对于外网终端来说,认证平台可通过建立的传输通道与其进行通信。也就是说,本申请实施例中的认证平台生成的共享票据不仅可以使得内网终端实现对业务系统访问的免认证以及对网络访问的免认证,还可以使外网终端实现对业务系统访问的免认证以及对网络访问的免认证。
可以理解,本申请实施例中的认证平台可对终端进行身份管理,如实现对终端的注册和注销。其中,注册的方案是:在认证平台接收第一消息之前,所述方法还包括:获得针对所述终端的注册请求;基于所述注册请求,获得所述终端的身份标识信息并存储;相应的,所述对所述终端进行身份认证(s402),包括:判断是否存储有所述终端的身份标识信息;判断为是的情况下,对所述终端的身份认证通过。注销的方案是:获得针对所述终端的注销请求;基于所述终端的注销请求,删除存储的所述终端的身份标识信息。此外,本申请实施例中的认证平台还可以:针对终端对目标访问设备的访问,获得日志数据;基于所述日志数据,对所述终端的访问进行审计,得到审计结果。针对审计结果发现出错情况。可见,本申请实施例中的认证平台除了具有生成共享票据,对共享票据进行验证的功能之外,还可以对终端身份的生命周期进行管理如注册和注销等,对终端的访问进行审计等功能,认证平台的功能并非单一化,而是多样化。
下面结合附图及具体实施例对本申请作进一步详细的说明。
结合图5所示,以用户a为企业员工,通过其终端a先进行网络访问再进行业务访问为例,
s501:用户a想要上网,在终端a上进入网络浏览器,终端a向网络接入设备发送网络访问请求;
在实际应用中,网络接入设备可以是交换机、无线控制器(ac,wirelessaccesspointcontroller)等。
s502:网络接入设备检测终端a的网络访问请求中是否携带有免认证信息;
该免认证信息可以是能够免除网络接入设备和业务系统对终端a进行访问认证的信息如共享票据。
如果未携带有免认证信息,则执行s503;
如果携带有免验证信息,则执行s510;
s503:网络接入设备将未携带有免认证信息的该网络访问请求发送至认证平台;继续执行s504;
相当于网络接入设备将未携带有免认证信息的该网络访问请求重定向至认证平台。
s504:认证平台向终端a发起认证请求,将认证页面呈现至终端a;用户a通过终端a输入预设设置好的账号和密码;继续执行s505;
s505:认证平台认证输入的账号和密码是否正确,正确的情况下,视为用户的身份认证通过;继续执行s506;
可以理解,由于认证平台为企业内部的设备,在认证平台认证用户通过终端输入的账号和密码为正确的情况下,认为该用户为企业员工即为合法用户,其具有进行网络访问和业务访问的权限。
s506:认证平台为终端a生成对应的共享票据,将该共享票据作为终端a后续进行网络访问和业务访问的免认证信息;继续执行s507;
本步骤中,可以理解,认证平台为不同的终端生成对应的共享票据;该共享票据具体可以为令牌环(token)。考虑到为同一终端生成的共享票据具有一定的有效期,在该有效期间内该终端可使用处于有效期的共享票据进行网络访问或业务访问的免认证。
s507:认证平台将为终端a生成的共享票据发送至终端a和网络接入设备;继续s508和s509;
本步骤中,还可以不发共享票据至网络接入设备,发送一个用于通知网络接入设备可不对终端进行身份认证的通知消息。
s508:网络接入设备在接收到认证平台为终端a生成的共享票据的情况下,无需对其进行再次登录验证,允许终端a直接进行网络访问;流程结束。
本领域技术人员应该可以理解,s508和s509无严格的先后顺序,还可以同时进行。
s509:终端a接收认证平台为其生成的共享票据;在想要访问业务系统的情况下,终端a向业务系统如业务系统1发送业务访问请求,该业务访问请求中携带终端接收到的共享票据,业务系统1将携带有共享票据的业务访问请求重定向至认证平台;继续执行s510;
s510:认证平台对终端a携带的共享票据进行有效性认证;
进一步的,可认为是对共享票据是否超过有效期进行认证。假定为终端a生成的共享票据的有效期为2天,如果未超过该有效期则认证平台认为该共享票据的有效性认证通过。此外,有效性认证还包括认证平台对该终端a携带的共享票据是否是为终端a生成的共享票据进行验证也即对终端a携带的共享票据的真实性进行认证。在终端a携带的共享票据是为终端a生成的共享票据的情况下,认为真实性认证通过。
在有效性认证通过的情况下,发送认证通过通知消息,执行s511;
在有效性认证未通过的情况下,流程结束、或者返回s504以令认证平台重新为终端a进行共享票据的分配。
其中,可以理解,有效性认证未通过可以是终端a携带的共享票据超过有效期,还可以是共享票据超过有效期及终端a携带的共享票据不是认证平台为终端a生成的共享票据也即共享票据为不真实票据。需要说明的是,在认证平台为各个终端生成一对应的共享票据的情况下,认证平台会将各终端及为各终端生成的共享票据进行对应记录。在进行真实性认证的情况下,将请求中携带的共享票据与记录的为该终端a生成的共享票据进行比对,比对为相同时,确认请求中携带的共享票据为真实票据,否则确认为不真实票据。
s511:业务系统接收认证通过通知消息,如终端a想要访问的业务系统1无需对终端a进行再次登录验证,允许终端a直接进行业务访问;流程结束。
在s501~s511所示的方案中,以终端a先进行网络访问再进行业务访问为例进行的说明,在终端a的网络访问请求中未携带共享票据或携带的共享票据失效的情况下,对终端进行身份认证,在终端的身份认证通过的情况下,为终端生成新的共享票据,实现终端a对网络访问的免认证以及对业务系统访问的免认证。无需对终端进行多次认证,仅需要对终端进行一次认证(如s504和s505所示的用户身份认证),即可实现对网络的成功访问以及对业务系统的成功访问,可大大减少用户输入认证信息的次数,提高其使用体验和访问效率。此外,网络接入设备和业务系统也避免了由于用户多次输入账号和密码而导致的资源处理负担重的问题。在终端a的网络访问请求中携带共享票据且携带的共享票据有效的情况下,基于该未失效的共享票据,终端a对网络访问的免认证以及对业务系统访问的免认证。
在s501~s511所示的方案中,以终端a先进行网络访问再进行业务访问为例进行的说明,此外也可以以终端a先对业务系统进行业务访问再进行网络访问为例进行本申请实施例的认证方法的说明。以终端a先对业务系统进行业务访问再进行网络访问为例的主要实现过程与s501~s511所示的方案大致相同,不同的是:
s501变为s501’:用户a想要访问业务系统,终端a向业务系统、具体是业务系统1发送网络访问请求;
s502变为s502’:业务系统1检测终端a的网络访问请求中是否携带有免认证信息;
如果未携带有免认证信息,则执行前述s503;
如果携带有免验证信息,则执行前述s510;
相应的,s507变为s507’:认证平台将为终端a生成的共享票据发送至终端a和业务系统1;继续s508’和s509’;
本步骤中,还可以不发共享票据至业务系统1,发送一个用于通知业务系统1可不对终端进行身份认证的通知消息。
s508变为s508’:业务系统1接收认证通过通知消息,在接收到认证平台为终端a生成的共享票据的情况下,无需对其进行再次登录验证,允许终端a直接进行业务访问;流程结束。
本领域技术人员应该可以理解,s508’和s509’无严格的先后顺序,还可以同时进行。
s509变为s509’:终端a接收认证平台为其生成的共享票据;在想要进行网络访问的情况下,终端a向网络接入设备如ac发送业务访问请求,该业务访问请求中携带终端接收到的共享票据,ac将携带有共享票据的业务访问请求重定向至认证平台;继续执行s510。
在s501’~s511所示的方案中,以终端a先进行业务访问再进行网络访问为例进行的说明,前述方案中基于共享票据即可实现终端a对网络访问的免认证以及对业务系统访问的免认证。无需对终端进行多次认证,仅需要对终端进行一次认证,即可实现对网络的成功访问以及对业务系统的成功访问,可大大减少用户输入认证信息的次数,提高其使用体验和访问效率。
通过前述方案可知,本申请实施例中终端可基于认证平台为其生成的共享票据实现业务访问和网络访问的免验证。且共享票据具有一定的有效期,在超过有效期的情况下,会自动地被删除,不占用认证平台的存储空间。此外,认证平台每隔一定时间为同一终端更新共享票据(生成新的共享票据),也即针对同一终端共享票据为变化的,如此便可保证访问安全性。在企业或单位中,这种基于共享票据进行身份免认证的方案,在员工入职或变更时仅设置一个账号和密码即可,人员离职时仅注销这个账号和密码,大大减轻了企业管理人员的运维工作量。无需网络接入设备和业务系统各自维护一套用户身份体系。此外,在员工离职的情况下,设置一个账号和密码便于回收,不会造成遗漏,也可避免离职后仍然可以访问业务系统这种情况的发生,提高了访问安全性。
本领域技术人员应该而知,企业或单位内部通常为多个业务系统,比如按照部门进行划分的业务系统如人力资源应用系统、研发部门应用系统、财务应用系统等。本申请实施例中可基于共享票据实现终端在多个业务系统中的单点登录方案。可以理解,单点登录方案即为同一终端在一个业务系统登录成功的情况下即可无需输入登录至其他业务系统的登录信息即可实现自动登录进而实现对其它业务系统的访问。这种基于共享票据实现的单点登录方案,可大大提升用户使用体验。具体的基于共享票据实现终端在多个业务系统中的单点登录方案如图6所示。
s601:用户a通过终端a访问业务系统、具体是业务系统1,也即终端a向业务系统1发送业务访问请求;
假定本步骤中为用户a通过终端a进行首次业务访问。可以理解为用户a通过浏览页进行业务系统的首次登录。
s602:业务系统1检测该业务访问请求中未携带免认证信息-共享票据,将该业务访问请求发送至认证平台;
其中将该业务访问请求发送至认证平台相当于将业务访问请求重定向到认证平台。
s603:认证平台在该业务访问请求中未携带免认证信息-共享票据的情况下,向终端a发起认证请求,将认证页面呈现至终端a;用户a通过终端a输入预设设置好的账号和密码;继续执行s604;
s604:认证平台认证输入的账号和密码是否正确,正确的情况下,视为用户的首次身份认证通过;
在一个可选的方案中,s603和s604的方案可视为认证平台首次进行用户身份认证的方案,此外还可以在首次身份认证通过的情况下,执行以下步骤(用户生物信息的认证过程):认证平台将多因子认证页面呈现至终端a;终端a启动能够采集到用户生理特征的器件如摄像头、指纹识别模块及虹膜识别模块,通过这些器件对用户的生理参数如脸部图像、指纹和/或虹膜进行采集,终端a将采集结果发送至认证平台,认证平台通过终端a采集的信息对用户a再次进行身份认证,采集信息与认证平台预先存储的该用户a的脸部图像、指纹和/或虹膜一致的情况下,认为身份认证通过。
s605:认证平台为终端a生成对应的共享票据,将该共享票据作为终端a后续对各个业务系统进行业务访问的免认证信息;
s606:认证平台将为终端a生成的共享票据发送至终端a和业务系统1;
s607:业务系统1在接收到认证平台为终端a生成的共享票据的情况下,无需对其进行再次登录验证,允许终端a直接进行业务访问;流程结束。
s608:终端a接收认证平台为其生成的共享票据;在后续想要访问业务系统的情况下,终端a向业务系统如业务系统2发送业务访问请求(第二消息),该业务访问请求中携带终端接收到的共享票据,业务系统2将携带有共享票据的业务访问请求重定向至认证平台;
本领域技术人员应该可以理解,s607和s608无严格的先后顺序,还可以同时进行。
s609:认证平台接收业务访问请求,并对终端a携带的共享票据进行有效性认证;
在有效性认证通过的情况下,执行s610;
在有效性认证未通过的情况下,流程结束、或者返回s601将该终端对业务系统2的访问作为首次访问以令认证平台对终端a进行共享票据的分配。
s610:业务系统2无需对终端a进行再次登录验证,允许终端a直接进行业务访问;流程结束。
前述方案中,在s604认证平台对用户a的身份认证通过后,认证平台把为终端a生成的共享票据加载到终端浏览器的cookie中,以标记用户已经登录过企业的业务系统。可以理解,将共享票据加载到终端浏览器的cookie可认为为对登录标识的生成。终端a再访问业务系统2的情况下,认证平台还可从cookie中获取到用户已经登录的有效票据信息,获取到有效票据信息也即为终端a生成的共享票据,认证平台可认为该终端已经被业务系统认证过,在有效性认证通过后,不再弹出认证页面,直接放行,从而实现终端在不同业务系统上的单点登录。
本申请实施例中单点登录方案可采用的协议包括但不局限于开放授权(oauth)2.0、安全断言标记语言(saml)2.0、认证协议(oidc,openidconnect)、中央认证服务(cas,centralauthenticationservice)、跨域身份验证(jwt)、密码代填等。
前面方案中,实现了基于共享票据的单点登录,终端这种基于共享票据实现对不同业务系统的单点登录,无需用户在各个业务系统中输入登录信息即实现对各个业务系统的成功登录,可大大提升用户使用体验和访问效率。
本申请实施例中的认证平台除了具有为终端生成共享票据的功能之外,还具有如下功能:
功能一:认证平台可统一用户源,该用户源可认为用户、或用户使用的终端;并为有登录或访问需求的用户进行共享票据的生成。
结合图7所示,认证平台可从企业内部的hr(人力资源)应用系统、ad域服务器、api平台读取用户信息。还可以为有登录或访问需求的用户进行共享票据的生成,并提供给网络接入设备和业务系统。
功能二:认证平台具有根据用户/终端的角色控制其权限的作用;
用户利用终端访问业务系统时,将业务访问请求重定向到认证平台上进行鉴权,认证平台会根据用户/终端的角色判断其是否有访问该业务系统资源的权限,决定该终端是否可以访问该业务系统资源。如果根据用户/终端的角色判断其不具有访问该业务系统资源的权限,则不允许其访问该资源。如果根据用户/终端的角色判断其具有访问该业务系统资源的权限,则允许其访问该资源。其中,用户的角色可基于用户在企业或单位内部所处的部门而进行划分,还可以基于用户在企业或单位内部所处的级别如普通员工、管理层员工进行划分。用户的角色可基于用户自身的特性如性别、年龄等进行划分。可以理解前述为从不同维度对用户进行的角色划分。
结合图8所示,在实际应用中,认证平台对企业员工的应用权限的管理包含基于角色的授权管理和基于用户/组的授权管理。其中,基于角色的授权管理可以将用户按照级别进行划分后,授予不同级别的用户不同的访问权限如级别高的用户其访问权限高于级别低的用户。基于用户组的授权管理可以将用户按照所处的部门进行划分后,授予不同部门的用户不同的访问权限如研发部门的用户可访问研发应用系统、人力部门的用户访问人力资源应用系统。
在功能一和二中,本申请实施例中的认证平台可对外提供轻量级目录访问协议(ldap,lightweightdirectoryaccessprotocol)服务、远程用户拨号认证系统(radius)服务、数据库导出服务、api导出服务等,实现全网用户的统一供给,同时对接上游hr系统、可实现用户的新增、删除、修改等操作的自动同步,从而实现用户的全生命周期管理。
可以理解,在企业内部出现新的终端用户(有新员工入职)的情况下,该新终端向认证平台发送注册请求,认证平台接收该注册请求,读取该终端的身份标识信息如手机号并存储;后续在对终端进行身份认证过程中:认证平台判断是否存储有待认证终端的身份标识信息;如果存储有该终端的身份标识,则认为该终端的身份认证通过。当然,在企业内部的终端用户离职的情况下,认证平台还可实现对该离职终端的注销。具体的,该离职终端向认证平台发送注销请求,认证平台接收该终端的注销请求,删除存储的该终端的身份标识信息。如此认证平台不会再存储该终端的身份标识,即使该用户在离职后想要访问企业内部的业务系统但因为认证平台无法识别其为合法用户,故不会为其生成共享票据自然地,该终端无法访问到企业内部,大大提高了数据访问的安全性。
功能三:结合图9所示,认证平台还可实现对认证日志、鉴权日志、操作日志等日志数据的审计分析,可以实现对登录口令(用户名和/或密码)异常、异地登录(较短时间内在两个不同的城市登录)、异常时段登录(如在非工作时间进行登录)等行为分析。此外,认证平台还可将审计日志按照用户需求进行过滤并生成报表,该报表可为任何合理的格式如csv(comma-separatedvalues)。
可以理解,认证日志在认证平台对终端的身份进行认证的过程中产生。鉴权日志在认证平台对共享票据的有效性进行认证的过程中产生。操作日志为在运维人员在配置、管理该认证日志的过程中产生。
综上所述,本申请实施例中的认证方法及认证平台具有如下优势:
本方案基于共享票据,可将网络认证和业务认证相结合,通过共享票据对用户进行1次认证即可接入网络,也可实现对业务系统的访问,无需二次认证,可提高良好的认证体验。结合图10所示,网络认证和业务认证相结合,在用户发起网络访问请求或发起业务访问请求时,将网络访问请求重定向到认证平台,在未携带免认证信息或免认证信息无效的情况下,认证平台生成共享票据并下发。终端在访问业务系统和访问网络时,均带上共享票据进行访问,如果共享票据有效则业务系统和网络接入设备放通访问,从而实现网络认证和业务认证的统一。通过生成的共享票据,实现了信息在网络侧和业务系统侧的共享,仅需用户认证1次即可接入网络和业务系统,无需二次认证就可以访问。
此外,基于共享票据可实现终端在各个业务系统中的单点登录,无需在各个业务平台输入登录信息即可实现对业务系统的访问。通过认证平台实现对业务系统的集中式授权管理,可做到对不同角色的用户授权不同的访问权限,以保证资源访问的安全性。认证平台可对认证日志、鉴权日志、操作日志等日志数据进行记录并输出,可实现对业务访问权限的可视化,以及为用户提供认证异常行为分析。
本领域技术人员应该而知,在实际应用中,不同企业的网络接入设备的布置不同,企业员工通过其终端的类型也不尽相同,如终端可以为笔记本电脑、pc、台式电脑、一体机等,还可以是手机、平板电脑(pad)、智能穿戴设备如智能手表、智能手环等。下面结合实际应用中的网络接入设备的布置情况和/或终端类型的不同(应用场景1至4)进行本申请实施例的如何基于共享票据进行业务请求和网络请求的免认证的实现过程的相关说明。
一应用场景:本应用场景中,结合图11所示,以网络接入设备包括ac和虚拟专用网络(vpn,virtualprivatenetworks)设备、企业员工包括内网用户(该用户使用的终端为内网终端)和外网用户(该用户使用的终端为外网终端)为例,
针对内网终端,ac作为网络接入设备,在接收到内网终端发送的网络访问请求的情况下,如果内网终端的网络访问请求中未携带免认证信息如共享票据,则将网络访问请求重定向至认证平台,由认证平台对该内网终端进行用户身份认证并在认证通过的情况下为该终端生成共享票据,并下发共享票据至终端及ac,ac基于该共享票据允许其进行直接访问无需再认证其身份。如果网络访问请求中已携带共享票据,认证平台根据共享票据是否有效的两种判断结果进行相应处理。以上描述请具体参见前述的s501~s511所示的方案。以上为内网终端先通过ac进行的网络访问再进行业务访问,如果内网终端先进行的业务访问再进行的网络访问,则请参见前述的s501’~s511所示的方案。可以理解,内网终端可通过网络接入设备进行外网(internet),也可以访问企业内网。
针对外网终端,可以理解,外网终端即为本企业员工位于企业外部位置对本企业的网络进行访问和/或对本企业的业务系统进行访问时使用的终端。为方便外网终端对本企业的访问,建立访问通道-传输通道。本应用场景中在接收到外网终端对企业的访问请求的情况下,vpn设备建立vpn隧道,将其视为外网终端访问本企业的传输通道。在外网终端发送对企业的访问请求的情况下,将vpn作为网络接入设备,如果网络访问请求中未携带免认证信息,如共享票据,则将网络访问请求重定向至认证平台。如果网络访问请求中已携带共享票据,认证平台对共享票据是否有效性进行判断,并根据共享票据是否有效的判断结果进行相应处理。其中,可以理解,外网终端与企业内部的ac、认证平台及业务系统之间的通信均通过vpn隧道实现,例如认证平台为外网终端生成的共享票据可通过vpn隧道发送至外网终端;外网终端携带共享票据通过vpn隧道对业务系统进行业务访问等。以上描述请具体参见前述的s501~s511所示的方案。以上为外网终端先通过进行的内网访问再进行业务访问,如果外网终端先进行的业务访问再进行的内网访问,则请参见前述的s501’~s511所示的方案。
综上所述,本应用场景中,仅需要认证平台对内网终端和/或外网终端进行一次认证即可基于认证平台生成的共享票据进行后续终端访问网络和访问业务系统的免认证,提升用户认证体验性,提高工作效率。可以理解,认证平台生成的共享票据不仅可以使得内网终端实现后续对业务系统访问的免认证以及对网络访问的免认证,还可以利用vpn隧道使外网终端实现后续对业务系统访问的免认证以及对网络访问的免认证。可以理解,内网终端和外网终端对企业的业务系统的访问均为单点登录,无需用户多次输入认证信息,企业的业务系统也无需进行频繁认证,减轻了资源处理负担。其中,认证平台供给用户给ac、vpn及业务系统,实现全网用户源统一管理,实现用户生命周期管理,降低运维成本。
又一应用场景:本应用场景中,结合图12所示,以网络接入设备为企业移动管理平台(emm)平台,员工利用手机端app的实现对企业访问和业务系统的访问为例,认证平台通过openldap方式将从全网收集到的用户信息同步到emm平台;手机端安装awork应用。
用户对手机端的awork应用进行操作如进行点击,产生网络访问请求或业务访问请求并发送至emm平台。emm平台与认证平台进行oauth2认证对接,将访问请求重定向至认证平台。认证平台根据访问请求中是否携带共享票据进行相应的处理,具体的处理过程请参见前述的s501~s511和s501’~s511所示方案的相关说明。其中,针对认证平台为该手机生成的共享票据发送至emm平台,由emm平台发送至手机。对于发布到awork应用商店中的任意一个应用如办公app1、办公app2,在终端通过这些应用进行业务访问时需要携带共享票据,也即终端向app1应用对应的业务系统1进行业务访问时,发起业务访问请求,业务访问请求中携带该共享票据。认证平台对该共享票据进行认证,认证通过的情况下发送认证通过通知消息至业务系统1,业务系统1对该手机直接放行,无需再进行认证。可以理解,手机基于携带的共享票据实现了后续对业务系统的访问的免认证。此外,awork应用商店中的应用集成了单点登录接口(sdk软件工具包),可基于共享票据实现业务系统的单点登录。其中,具体的单点登录过程请参见前述的s601~s610,重复之处不赘述。
再一应用场景:本应用场景中,结合图13所示,以网络接入设备为交换机为例,在交换机上开启门户(portal)协议。在用户通过终端向交换机发送网络访问请求的情况下,交换机将该请求重定向到认证平台,认证平台按照前述的s501~s511的相关内容进行处理。认证平台向交换机发送认证平台为终端发送的共享票据或认证共享票据的通过通知消息,交换机基于接收的共享票据或认证通过通知消息,对该终端进行放行无需进行身份认证,终端访问互联网。终端接收认证平台为其生成的共享票据,在后续访问企业的业务系统的情况下携带该共享票据,认证平台在认证该共享票据有效的情况下实现免认证登录。可以理解,终端在企业的多个业务系统中的登录为单点登录。前述的认证平台的认证可认为是认证平台联动交换机的portal认证,实现了网络认证和业务认证的认证统一,实现1次认证即可无需再认证,便可入网和访问业务系统。
再一应用场景:本应用场景中,结合图14所示,以网络接入设备为ac为例,结合活动目录(ad,activedirectory)域设备(服务器和工作站的集合)的对接过程,pc在登录至企业业务系统和/或通过ac设备进行网络访问之前,需要先执行终端与ad域设备的对接流程。pc登录时,对接ad域,ad域设备将pc上的客户端agent封装成用户上线包报文,发送给认证平台。认证平台对其进行认证,在其输入账号和密码正确的情况下,身份认证通过,为该pc生成共享票据,发送共享票据至ad域设备,终端与ad域设备对接成功。在对接成功的情况下,方可允许终端对企业内部的业务系统和/或ac设备进行访问。认证平台将该共享票据与pc的设备信息如媒体接入控制地址(mac)/网际协议(ip)地址等可标识设备唯一性的信息进行绑定。认证平台将该终端的共享票据发送至ac,ac直接放行无需对该终端进行认证。其中,认证平台将该共享票据与pc的mac/ip地址等进行绑定可视为前述的认证平台为终端生成登录标识的方案。以方便后续终端对业务系统进行访问。
pc接入ad域名、登录至ad域设备,再访问业务系统,向业务系统发起业务访问请求,业务系统将该请求重定向至认证平台。认证平台读取发起该请求的pc的设备信息如mac),从绑定的信息中基于该pc的设备信息查找为该pc生成的共享票据,查询到共享票据并进行有效性认证,在认证有效的情况下,将认证通过通知消息发送至业务系统,业务系统接收到该通知,无需对该pc进行认证,直接放行,允许其访问。可以理解,本应用场景中,pc登录ad域设备后,再通过ac访问网络,ac不需要进行再次身份认证直接放行。认证平台联动ad域设备,仅需对pc用户接入域进行1次认证,再访问业务系统和网络均可不认证。
以上为适用实际应用中企业内部的网络部署、具体是网络接入设备的部署而灵活实现本申请实施例中的基于共享票据实现后续终端对网络访问和业务访问的免认证。大大提升了用户的认证体验。
本申请实施例还提供一种认证平台,如图15所示,所述认证平台包括:接收单元11、判断单元12、认证单元13、生成单元14及发送单元15;其中,
接收单元11,用于接收第一消息,所述第一消息表征为终端对目标访问设备的访问请求;
判断单元12,用于判断所述访问请求中是否携带用于允许所述终端进行所述访问的免认证信息或判断携带的免认证信息无效的情况下;
第一认证单元13,用于在判断为未携带所述共享票据或携带的免认证信息无效的情况下,对所述终端进行身份认证;
生成单元14,用于在所述终端的身份认证通过的情况下,为所述终端生成共享票据,将所述共享票据作为所述终端的免认证信息;所述共享票据能够免除所述终端对所述目标访问设备进行访问时的认证。
发送单元15,用于至少发送所述共享票据。
在一个可选的实施例中,所述平台还包括第二认证单元,用于在所述访问请求中携带所述共享票据的情况下,对所述共享票据的有效性进行认证;相应的,所述发送单元15,用于发送认证通过通知消息至所述目标访问设备;或者发送所述共享票据至所述目标访问设备;其中,所述认证通过通知消息或所述共享票据可使所述目标访问设备允许所述终端直接进行访问。
在一个可选的实施例中,所述目标访问设备为网络接入设备,相应的,所述接收单元11,用于接收网络接入设备发送的所述第一消息,其中所述网络接入设备在所述终端向所述网络接入设备发送所述网络访问请求的情况下进行所述第一消息的发送;发送单元15,用于发送所述共享票据至所述终端及所述网络接入设备。其中,在所述发送单元15在发送所述共享票据至所述网络接入设备的情况下,所述共享票据能够使所述网络接入设备允许所述终端直接进行网络访问;在所述发送单元15发送所述共享票据至所述终端的情况下,所述共享票据被所述终端携带并对所述业务系统进行访问;认证平台、具体是第一认证单元13对所述终端携带的所述共享票据进行有效性认证,在所述认证平台、具体是第一认证单元13对所述终端携带的所述共享票据认证通过的情况所述业务系统允许所述终端直接进行访问。
在一个可选的实施例中,所述目标访问设备为业务系统,相应的,所述接收单元11,用于接收所述业务系统发送的所述第一消息,其中所述业务系统在所述终端向所述业务系统发送所述业务访问请求的情况下进行所述第一消息的发送;相应的,所述发送单元15,用于发送所述共享票据至所述终端及所述网络接入设备。其中,在所述发送单元15发送所述共享票据至所述业务系统的情况下,所述共享票据能够使所述业务系统允许所述终端直接进行业务访问。在所述发送单元15发送所述共享票据至所述终端的情况下,所述共享票据被所述终端携带并通过所述网络接入设备进行网络访问;认证平台、具体是第一认证单元13对所述终端携带的所述共享票据进行有效性认证,在所述认证平台、具体是第一认证单元13对所述终端携带的所述共享票据认证通过的情况所述网络接入设备允许所述终端直接进行网络访问。
在一个可选的实施例中,所述目标访问设备为活动目录域设备,相应的,所述接收单元11,用于接收所述活动目录域设备发送的第一消息,其中所述活动目录域设备在所述终端向所述活动目录域设备发送对接请求的情况下进行所述第一消息的发送;相应的,在为所述终端生成共享票据之后,所述发送单元15至少发送所述共享票据至所述活动目录域设备,所述共享票据能够使所述活动目录域设备允许所述终端对接通过。
在一个可选的实施例中,所述终端进行访问的业务系统的数量为至少两个;在所述共享票据能够免除所述终端对所述至少两个业务系统的第一业务系统进行业务访问时的认证情况下,
所述接收单元11,还用于接收第二消息,所第二消息表征为终端对所述至少两个业务系统中的第二业务系统进行访问的业务访问请求;
获得单元,用于获得为所述终端生成的共享票据;
第一认证单元13,用于对获得的共享票据的有效性进行认证;
发送单元15,用于在第一认证单元13认证通过时,发送认证通过通知消息至所述第二业务系统和网络接入设备,所述认证通过通知消息可使所述第二业务系统允许所述终端直接进行访问。
在一个可选的实施例中,在所述共享票据能够免除所述终端对所述至少两个业务系统的第一业务系统进行业务访问时的认证情况下,
生成单元14,用于基于所述共享票据,生成登录标识,所述登录标识表征为所述终端已登录过所述至少两个业务系统的其中至少一个业务系统;
获得单元,还用于基于所述终端的登录标识,获得共享票据。
在一个可选的实施例中,所述终端包括内网终端和外网终端;在所述终端为外网终端的情况下,所述认证平台通过建立的传输通道进行所述终端的身份认证;并通过所述传输通道发送所述共享票据至所述外网终端。
在一个可选的实施例中,所述接收单元11,还用于获得针对所述终端的注册请求;存储单元,用于基于所述注册请求,获得所述终端的身份标识信息并存储;相应的,第一认证单元13判断是否存储有所述终端的身份标识信息;判断为是的情况下,对所述终端的身份认证通过。
在一个可选的实施例中,所述接收单元11,还用于获得针对所述终端的注销请求;所述认证平台的删除单元,还用于基于所述终端的注销请求,删除存储的所述终端的身份标识信息。
所述认证平台还包括审计单元,用于针对终端对目标访问设备的访问,获得日志数据;基于所述日志数据,对所述终端的访问进行审计,得到审计结果。
可以理解,所述认证平台中的判断单元12、认证单元13、生成单元14、删除单元、审计单元、获得单元在实际应用中均可由认证平台的中央处理器(cpu,centralprocessingunit)、数字信号处理器(dsp,digitalsignalprocessor)、微控制单元(mcu,microcontrollerunit)或可编程门阵列(fpga,field-programmablegatearray)实现。所述认证平台中的接收单元11和发送单元15,在实际应用中可通过通信模组(包含:基础通信套件、通信模块、标准化接口和协议等)及收发天线实现。
需要说明的是,本申请实施例的认证平台,由于该认证平台解决问题的原理与前述的认证方法相似,因此,认证平台的实施过程及实施原理均可以参见前述方法的实施过程及实施原理描述,重复之处不再赘述。
本申请实施例还提供一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时至少用于执行图1至图14任一所示方法的步骤。所述计算机可读存储介质具体可以为存储器。所述存储器可以为如图16所示的存储器62。
本申请实施例还提供了一种终端。图16为本申请实施例的认证平台的硬件结构示意图,如图16所示,认证平台包括:用于进行数据传输的通信组件63、至少一个处理器61和用于存储能够在处理器61上运行的计算机程序的存储器62。终端中的各个组件通过总线系统64耦合在一起。可理解,总线系统64用于实现这些组件之间的连接通信。总线系统64除包括数据总线之外,还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见,在图16中将各种总线都标为总线系统64。
其中,所述处理器61执行所述计算机程序时至少执行图1至图14任一所示方法的步骤。
可以理解,存储器62可以是易失性存储器或非易失性存储器,也可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(rom,readonlymemory)、可编程只读存储器(prom,programmableread-onlymemory)、可擦除可编程只读存储器(eprom,erasableprogrammableread-onlymemory)、电可擦除可编程只读存储器(eeprom,electricallyerasableprogrammableread-onlymemory)、磁性随机存取存储器(fram,ferromagneticrandomaccessmemory)、快闪存储器(flashmemory)、磁表面存储器、光盘、或只读光盘(cd-rom,compactdiscread-onlymemory);磁表面存储器可以是磁盘存储器或磁带存储器。易失性存储器可以是随机存取存储器(ram,randomaccessmemory),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的ram可用,例如静态随机存取存储器(sram,staticrandomaccessmemory)、同步静态随机存取存储器(ssram,synchronousstaticrandomaccessmemory)、动态随机存取存储器(dram,dynamicrandomaccessmemory)、同步动态随机存取存储器(sdram,synchronousdynamicrandomaccessmemory)、双倍数据速率同步动态随机存取存储器(ddrsdram,doubledataratesynchronousdynamicrandomaccessmemory)、增强型同步动态随机存取存储器(esdram,enhancedsynchronousdynamicrandomaccessmemory)、同步连接动态随机存取存储器(sldram,synclinkdynamicrandomaccessmemory)、直接内存总线随机存取存储器(drram,directrambusrandomaccessmemory)。本申请实施例描述的存储器62旨在包括但不限于这些和任意其它适合类型的存储器。
上述本申请实施例揭示的方法可以应用于处理器61中,或者由处理器61实现。处理器61可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器61中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器61可以是通用处理器、dsp,或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。处理器61可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的方法的步骤,可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于存储介质中,该存储介质位于存储器62,处理器61读取存储器62中的信息,结合其硬件完成前述方法的步骤。
在示例性实施例中,认证平台可以被一个或多个应用专用集成电路(asic,applicationspecificintegratedcircuit)、dsp、可编程逻辑器件(pld,programmablelogicdevice)、复杂可编程逻辑器件(cpld,complexprogrammablelogicdevice)、fpga、通用处理器、控制器、mcu、微处理器(microprocessor)、或其他电子元件实现,用于执行前述的认证方法。
在本申请所提供的几个实施例中,应该理解到,所揭露的设备和方法,可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,如:多个单元或组件可以结合,或可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性的、机械的或其它形式的。
上述作为分离部件说明的单元可以是、或也可以不是物理上分开的,作为单元显示的部件可以是、或也可以不是物理单元,即可以位于一个地方,也可以分布到多个网络单元上;可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。
另外,在本申请各实施例中的各功能单元可以全部集成在一个处理单元中,也可以是各单元分别单独作为一个单元,也可以两个或两个以上单元集成在一个单元中;上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:移动存储设备、只读存储器(rom,read-onlymemory)、随机存取存储器(ram,randomaccessmemory)、磁碟或者光盘等各种可以存储程序代码的介质。
或者,本申请上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本申请各个实施例所述方法的全部或部分。而前述的存储介质包括:移动存储设备、rom、ram、磁碟或者光盘等各种可以存储程序代码的介质。
本申请所提供的几个方法实施例中所揭露的方法,在不冲突的情况下可以任意组合,得到新的方法实施例。
本申请所提供的几个产品实施例中所揭露的特征,在不冲突的情况下可以任意组合,得到新的产品实施例。
本申请所提供的几个方法或设备实施例中所揭露的特征,在不冲突的情况下可以任意组合,得到新的方法实施例或设备实施例。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。
- 还没有人留言评论。精彩留言会获得点赞!