一種基于數(shù)字證書實現(xiàn)集成多個應(yīng)用系統(tǒng)統(tǒng)一認(rèn)證登錄的方法
【專利摘要】本發(fā)明公開了一種基于數(shù)字證書實現(xiàn)集成多個應(yīng)用系統(tǒng)統(tǒng)一認(rèn)證登錄的方法，為用戶簽發(fā)合法的數(shù)字證書，使用數(shù)字證書認(rèn)證的方式替代原有的用戶名和口令的認(rèn)證方式；建立統(tǒng)一認(rèn)證平臺，對各個信息應(yīng)用系統(tǒng)提供統(tǒng)一認(rèn)證服務(wù)；信息應(yīng)用系統(tǒng)接入，登錄驗證和授權(quán)，完成統(tǒng)一認(rèn)證登錄。使用本發(fā)明的方法，提高了信息應(yīng)用系統(tǒng)的安全性，減少了用戶用戶名和口令早泄露造成的損失，數(shù)字證書的簽名保證了信息應(yīng)用系統(tǒng)中操作的可追溯性；通過建立統(tǒng)一認(rèn)證平臺，使得用戶信息資源集中共享，便于管理和維護；基于OAuth2.0協(xié)議，提供開放接口，使得接入新的信息應(yīng)用系統(tǒng)變得簡單；提供了統(tǒng)一認(rèn)證登錄、單點登錄功能，方便用戶操作，提高工作效率。
【專利說明】一種基于數(shù)字證書實現(xiàn)集成多個應(yīng)用系統(tǒng)統(tǒng)一認(rèn)證登錄的方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明一般應(yīng)用于公開密鑰基礎(chǔ)設(shè)施系統(tǒng)(PKI)領(lǐng)域，為集成一個或多個基于數(shù)字證書的應(yīng)用系統(tǒng)實現(xiàn)統(tǒng)一認(rèn)證登錄、單點登錄提供一種輕量級的更高效，安全，快捷的方式。
【背景技術(shù)】
[0002]X509是由ITU-T推薦的一個國際標(biāo)準(zhǔn)，X.509定義了一個已經(jīng)被廣泛接受的PKI基礎(chǔ)，它包括數(shù)據(jù)格式和通過由證書機構(gòu)簽發(fā)的數(shù)字證書來進行分發(fā)公鑰的過程。
[0003]X509數(shù)字證書是指由可信任證書簽發(fā)組織對特定公鑰和數(shù)據(jù)信息進行簽名的數(shù)據(jù)。
[0004]眾所周知，每一項技術(shù)的發(fā)展和應(yīng)用都會經(jīng)歷一個過程，信息化技術(shù)的發(fā)展也是如此。在計算機技術(shù)發(fā)展和應(yīng)用的過程中，許多大型企業(yè)、公司、事業(yè)單位、政府部門都會先后使用大量的信息應(yīng)用系統(tǒng)來不斷解決或滿足業(yè)務(wù)、運營方面的需求。由于歷史性原因，這些信息應(yīng)用系統(tǒng)往往都是各自分散、獨立的運行，彼此間業(yè)務(wù)和權(quán)限不交叉，如果要使用不同信息應(yīng)用系統(tǒng)的業(yè)務(wù)，就需要登錄不同的信息應(yīng)用系統(tǒng)。因此，在經(jīng)過一段時間的信息化后，這些大型企業(yè)、公司、事業(yè)單位、政府部門都會面臨無法對已有的大量的信息應(yīng)用系統(tǒng)進行統(tǒng)一集中管理的問題，記錄每個信息應(yīng)用系統(tǒng)的賬號和口令才給系統(tǒng)使用者帶來了不少的麻煩。隨著安全意識的提高，越來越多的用戶也意識到賬號和口令這種認(rèn)證模式容易被破解，并不安全。
[0005]OAuthl.0已經(jīng)在IETF塵埃落定，編號是RFC5849。這也標(biāo)志著OAuth已經(jīng)正式成為互聯(lián)網(wǎng)標(biāo)準(zhǔn)協(xié)議。OAuth (開放授權(quán))是一個開放標(biāo)準(zhǔn)，允許用戶讓第三方應(yīng)用訪問該用戶在某一網(wǎng)站上存儲的私密的資源(如照片，視頻，聯(lián)系人列表)，而無需將用戶名和密碼提供給第三方應(yīng)用。0Auth2.0早已經(jīng)開始討論和建立的草案。0Auth2.0很可能是下一代的“用戶驗證和授權(quán)”標(biāo)準(zhǔn)?，F(xiàn)在百度開放平臺，騰訊開放平臺等大部分的開放平臺都是使用的0Auth2.0協(xié)議作為支撐。
[0006]現(xiàn)有技術(shù)的缺點:現(xiàn)在已經(jīng)有一些技術(shù)手段能夠在一定程度上改善或者部分解決許多大型企業(yè)、公司、事業(yè)單位、政府部門所面臨的急需集成原有分散和獨立的信息應(yīng)用信息的難題，但這些技術(shù)手段存在如下幾個問題:
[0007]—、現(xiàn)有單點登錄技術(shù)，主要目的在于解決多個應(yīng)用系統(tǒng)中用戶只需登錄一次就可以訪問所有相互信任的應(yīng)用系統(tǒng)的問題，但其局限性也是明顯的:即應(yīng)用場景大多適用于用戶的認(rèn)證信息是用戶名和口令的方式，對于應(yīng)用系統(tǒng)需要使用數(shù)字證書登錄的，往往不支持。
[0008]二、基于用戶名和口令的方式存在很大的安全問題。近年來，互聯(lián)網(wǎng)已經(jīng)發(fā)生了多起系統(tǒng)用戶名和口令信息泄露的事故，特別是最近的天涯賬號泄露事件和CSDN賬號泄露事件，再次暴露出這種認(rèn)證方式的簡單不安全。從技術(shù)手段上講，用戶名和口令這種方式，很容易被破解或竊取，而且無法追溯使用者的真實身份，更無法進行責(zé)任定位與追究。
[0009]三、現(xiàn)有方案往往采用對權(quán)限的集中管理，卻是以犧牲系統(tǒng)良好的擴展性為代價。這樣，一旦企業(yè)、公司、事業(yè)單位、政府部門需要集成更多的外部信息應(yīng)用系統(tǒng)時，需要再次修改現(xiàn)有系統(tǒng)以及對外部信息應(yīng)用系統(tǒng)做改造，十分不便。特別是當(dāng)外部信息應(yīng)用系統(tǒng)僅需要統(tǒng)一登錄功能并要求權(quán)限獨立時，現(xiàn)有方案將無能為力。

【發(fā)明內(nèi)容】

[0010]本發(fā)明的目的:針對許多大型企業(yè)、公司、事業(yè)單位、政府部門所面臨集成多個分散而獨立的信息應(yīng)用系統(tǒng)的問題，本發(fā)明提出一種基于數(shù)字證書實現(xiàn)集成多個應(yīng)用系統(tǒng)統(tǒng)一認(rèn)證登錄的方法，可有效的解決上述的問題。
[0011]為實現(xiàn)上述目的，本發(fā)明的技術(shù)方案是:一種基于數(shù)字證書實現(xiàn)集成多個應(yīng)用系統(tǒng)統(tǒng)一認(rèn)證登錄的方法,方法至少包括:
[0012]一、使用數(shù)字證書認(rèn)證的方式替代原有的用戶名和口令的認(rèn)證方式。數(shù)字證書的私鑰從生成到銷毀都是在USB Key中完成，不會被導(dǎo)出或者復(fù)制，保護私鑰的PIN 口令也僅僅證書持有者知道，其安全性得到最大程度的保護。
[0013]二、建立統(tǒng)一認(rèn)證平臺。。統(tǒng)一認(rèn)證平臺采用數(shù)字證書作為用戶信息，基于證書驗證，對各個信息應(yīng)用系統(tǒng)提供統(tǒng)一認(rèn)證服務(wù)、單點登錄服務(wù)并提供開放接口(Open API)。每次在統(tǒng)一認(rèn)證平臺進行統(tǒng)一認(rèn)證登錄時，都要驗證用戶的數(shù)字證書以及數(shù)字簽名，驗證通過后才能進入正常的業(yè)務(wù)流程。
[0014]三、信息應(yīng)用系統(tǒng)接入，登錄驗證和授權(quán)，完成統(tǒng)一認(rèn)證登錄。各信息應(yīng)用系統(tǒng)按照統(tǒng)一認(rèn)證平臺提供的0Auth2.0協(xié)議要求，申請appid和appkey,然后修改應(yīng)用系統(tǒng)登錄模塊，加入“使用數(shù)字證書賬號登錄”按鈕。
[0015]用戶在各信息應(yīng)用系統(tǒng)登錄頁面點擊“使用數(shù)字證書賬號登錄”按鈕，頁面將跳轉(zhuǎn)至統(tǒng)一認(rèn)證平臺的登錄頁面，用戶使用數(shù)字證書登錄成功后，統(tǒng)一認(rèn)證平臺跳轉(zhuǎn)至“確認(rèn)并授權(quán)”頁面，由用戶確認(rèn)并授權(quán)后，該信息應(yīng)用系統(tǒng)將獲得訪問用戶信息的權(quán)限，頁面跳轉(zhuǎn)至信息應(yīng)用系統(tǒng)，完成統(tǒng)一認(rèn)證登錄，進入正常的業(yè)務(wù)流程。
[0016]本發(fā)明的有益效果是:本發(fā)明使用數(shù)字證書認(rèn)證的方式替代傳統(tǒng)的用戶名和口令方式，既提高了信息應(yīng)用系統(tǒng)的安全性，減少了因用戶用戶名和口令早泄露造成的損失，同時由于數(shù)字證書具備的簽名不可抵賴特性，保證了信息應(yīng)用系統(tǒng)中操作的可追溯性，便于追究責(zé)任。通過建立統(tǒng)一認(rèn)證平臺，使得用戶信息資源集中共享，便于管理和維護；基于0Auth2.0協(xié)議，提供開放接口，使得接入新的信息應(yīng)用系統(tǒng)變得簡單；提供了統(tǒng)一認(rèn)證登錄、單點登錄功能，方便用戶操作，提高工作效率。
【專利附圖】

【附圖說明】
[0017]圖1為本發(fā)明的信息應(yīng)用系統(tǒng)申請接入統(tǒng)一認(rèn)證平臺流程。
[0018]圖2為本發(fā)明的統(tǒng)一認(rèn)證登錄流程圖。
[0019]圖3為本發(fā)明的單點登錄流程圖。
【具體實施方式】[0020]下面結(jié)合附圖和具體實施例對本發(fā)明進行進一步詳細(xì)的說明。
[0021]如圖1所示，為本發(fā)明的信息應(yīng)用系統(tǒng)申請接入統(tǒng)一認(rèn)證平臺流程。
[0022]一、使用數(shù)字證書認(rèn)證的方式替代原有的用戶名和口令的認(rèn)證方式。對于沒有數(shù)字證書的用戶，引導(dǎo)用戶到合法的CA機構(gòu)申請簽發(fā)數(shù)字證書，對已有數(shù)字證書的用戶只需要將數(shù)字證書與原有信息應(yīng)用系統(tǒng)中用戶名和口令做選擇性綁定即可。
[0023]二、建立統(tǒng)一認(rèn)證平臺，對各個信息應(yīng)用系統(tǒng)提供統(tǒng)一認(rèn)證服務(wù)。統(tǒng)一認(rèn)證平臺認(rèn)證的流程嚴(yán)格遵循0Auth2.0協(xié)議，同時對信息應(yīng)用系統(tǒng)提供開放接口(Open API)。統(tǒng)一認(rèn)證平臺采用數(shù)字證書作為用戶信息，每次在統(tǒng)一認(rèn)證平臺進行統(tǒng)一認(rèn)證登錄時，都要驗證用戶的數(shù)字證書以及數(shù)字簽名，驗證通過后才能進入正常的業(yè)務(wù)流程。
[0024]統(tǒng)一認(rèn)證平臺主要通過以下方式實現(xiàn):
[0025]I)證書驗證
[0026]每張登錄的證書在登錄的時候，按照流程設(shè)計，必須提交簽名，統(tǒng)一認(rèn)證平臺會驗證簽名是否合法，同時驗證該數(shù)字證書是否合法，包括驗證有效期、驗證CA機構(gòu)簽名、驗證證書注銷列表等。
[0027]2)統(tǒng)一認(rèn)證服務(wù)
[0028]統(tǒng)一認(rèn)證平臺為所有接入到統(tǒng)一認(rèn)證平臺的信息應(yīng)用系統(tǒng)提供統(tǒng)一認(rèn)證服務(wù)。在接入到統(tǒng)一認(rèn)證平臺的信息應(yīng)用系統(tǒng)的登錄頁面，點擊“使用數(shù)字證書登錄”按鈕，頁面就會跳轉(zhuǎn)到統(tǒng)一認(rèn)證平臺進行統(tǒng)一認(rèn)證，認(rèn)證成功后，跳轉(zhuǎn)回信息應(yīng)用系統(tǒng)。
[0029]3)單點登錄，如圖3所示本發(fā)明的單點登錄流程圖
[0030]統(tǒng)一認(rèn)證平臺為所有接入到統(tǒng)一認(rèn)證平臺的信息應(yīng)用系統(tǒng)提供單點登錄功能服務(wù)。只要登錄統(tǒng)一認(rèn)證平臺成功后，就可以在已經(jīng)接入的信息應(yīng)用系統(tǒng)中切換，不需要多次重復(fù)認(rèn)證登錄。
[0031]4)提供開放接口(Open API)
[0032]經(jīng)過授權(quán)的信息應(yīng)用系統(tǒng)可以通過統(tǒng)一認(rèn)證平臺提供的開放接口，獲得開放的諸多功能，例如:經(jīng)過證書用戶授權(quán)后，信息應(yīng)用系統(tǒng)可以獲取證書用戶的詳細(xì)信息，證書擴展屬性信息等。
[0033]三、信息應(yīng)用系統(tǒng)接入，進行登錄驗證和授權(quán)，完成統(tǒng)一認(rèn)證登錄。信息應(yīng)用系統(tǒng)接入，進行登錄驗證和授權(quán)，完成統(tǒng)一認(rèn)證登錄主要包括以下步驟，如圖2所示，統(tǒng)一認(rèn)證登錄流程圖:
[0034]I)由信息應(yīng)用系統(tǒng)申請接入統(tǒng)一認(rèn)證平臺，獲得對應(yīng)的appid和appkey,以保證后續(xù)認(rèn)證流程中可正確的對信息應(yīng)用系統(tǒng)與用戶進行驗證與授權(quán)。
[0035]2)在信息應(yīng)用系統(tǒng)上設(shè)置統(tǒng)一認(rèn)證登錄的入口，即加入“使用數(shù)字證書登錄”按鈕。
[0036]3)用戶登錄認(rèn)證和授權(quán)。用戶在信息應(yīng)用系統(tǒng)的登錄入口，點擊“使用數(shù)字證書登錄”按鈕后，頁面跳轉(zhuǎn)到統(tǒng)一認(rèn)證平臺的登錄入口，用戶使用數(shù)字證書進行登錄認(rèn)證。登錄成功后，彈出授權(quán)頁面，引導(dǎo)用戶對該信息應(yīng)用系統(tǒng)進行授權(quán)。
[0037]4)登錄和授權(quán)完成后，跳轉(zhuǎn)回信息應(yīng)用系統(tǒng)。如果用戶成功登錄并授權(quán)，則跳轉(zhuǎn)到應(yīng)用信息系統(tǒng)的回調(diào)地址，該回調(diào)地址由信息應(yīng)用系統(tǒng)自行設(shè)置。
[0038]5)獲取用戶證書信息及證書擴展屬性信息。用戶成功登錄后，信息應(yīng)用系統(tǒng)可通過統(tǒng)一認(rèn)證平臺的開放接口發(fā)送請求獲取用戶證書信息及證書擴展屬性信息，以便進入正常的業(yè)務(wù)流程。
[0039]以上實施例只是對于本發(fā)明的部分功能進行描述，但實施例和附圖并不是用來限定本發(fā)明的。在不脫離本發(fā)明之精神和范圍內(nèi)，所做的任何等效變化或潤飾，同樣屬于本發(fā)明之保護范圍。因此本發(fā)明的保護范圍應(yīng)當(dāng)以本申請的權(quán)利要求所界定的內(nèi)容為標(biāo)準(zhǔn)。
【權(quán)利要求】
1.一種基于數(shù)字證書實現(xiàn)集成多個應(yīng)用系統(tǒng)統(tǒng)一認(rèn)證登錄的方法，其特征在于: 步驟一、使用數(shù)字證書認(rèn)證的方式替代原有的用戶名和口令的認(rèn)證方式； 步驟二、建立統(tǒng)一認(rèn)證平臺，對各個信息應(yīng)用系統(tǒng)提供統(tǒng)一認(rèn)證服務(wù)； 步驟三、信息應(yīng)用系統(tǒng)接入，登錄驗證和授權(quán)，完成統(tǒng)一認(rèn)證登錄。
2.根據(jù)權(quán)利要求1所述的基于數(shù)字證書實現(xiàn)集成多個應(yīng)用系統(tǒng)統(tǒng)一認(rèn)證登錄的方法，其特征在于: 步驟一中，對沒有數(shù)字證書的用戶，引導(dǎo)用戶到合法的CA機構(gòu)申請簽發(fā)數(shù)字證書；對原有的用戶名和口令的用戶已有數(shù)字證書的，將已有數(shù)字證書和原有的用戶名和口令做綁定。
3.根據(jù)權(quán)利要求1所述的基于數(shù)字證書實現(xiàn)集成多個應(yīng)用系統(tǒng)統(tǒng)一認(rèn)證登錄的方法，其特征在于: 步驟二中，統(tǒng)一認(rèn)證平臺采用數(shù)字證書作為用戶信息，，每次在統(tǒng)一認(rèn)證平臺進行統(tǒng)一認(rèn)證登錄時，需要驗證 用戶的數(shù)字證書以及數(shù)字簽名，驗證通過后才能進入正常的業(yè)務(wù)流程。
4.根據(jù)權(quán)利要求3所述的基于數(shù)字證書實現(xiàn)集成多個應(yīng)用系統(tǒng)統(tǒng)一認(rèn)證登錄的方法，其特征在于: 步驟二中，統(tǒng)一認(rèn)證平臺實現(xiàn)方式: (1)證書驗證:每張登錄的證書在登錄的時候，按照流程設(shè)計提交簽名，統(tǒng)一認(rèn)證平臺驗證簽名是否合法，同時驗證該數(shù)字證書是否合法，包括驗證有效期、驗證CA機構(gòu)簽名、驗證證書注銷列表； (2)統(tǒng)一認(rèn)證服務(wù):統(tǒng)一認(rèn)證平臺為所有接入到統(tǒng)一認(rèn)證平臺的信息應(yīng)用系統(tǒng)提供統(tǒng)一認(rèn)證服務(wù)，在接入到統(tǒng)一認(rèn)證平臺的信息應(yīng)用系統(tǒng)的登錄頁面，點擊“使用數(shù)字證書登錄”按鈕，頁面就會跳轉(zhuǎn)到統(tǒng)一認(rèn)證平臺進行統(tǒng)一認(rèn)證，認(rèn)證成功后，跳轉(zhuǎn)回信息應(yīng)用系統(tǒng)； (3)單點登錄:統(tǒng)一認(rèn)證平臺為所有接入到統(tǒng)一認(rèn)證平臺的信息應(yīng)用系統(tǒng)提供單點登錄功能服務(wù)，只要登錄統(tǒng)一認(rèn)證平臺成功后，即可在已經(jīng)接入的信息應(yīng)用系統(tǒng)中切換，不需要多次重復(fù)認(rèn)證登錄。 (4)提供開放接口:經(jīng)過授權(quán)的信息應(yīng)用系統(tǒng)通過統(tǒng)一認(rèn)證平臺提供的開放接口，獲得開放的諸多功能，經(jīng)過證書用戶授權(quán)后，信息應(yīng)用系統(tǒng)獲取證書用戶的詳細(xì)信息，證書擴展屬性信息。
5.根據(jù)權(quán)利要求1所述的基于數(shù)字證書實現(xiàn)集成多個應(yīng)用系統(tǒng)統(tǒng)一認(rèn)證登錄的方法，其特征在于: 步驟三中，各信息應(yīng)用系統(tǒng)按照統(tǒng)一認(rèn)證平臺提供的OAuth協(xié)議要求，申請appid和appkey，然后修改應(yīng)用系統(tǒng)登錄模塊，加入“使用數(shù)字證書賬號登錄”按鈕。
6.根據(jù)權(quán)利要求5所述的基于數(shù)字證書實現(xiàn)集成多個應(yīng)用系統(tǒng)統(tǒng)一認(rèn)證登錄的方法，其特征在于: 步驟三中，用戶在各信息應(yīng)用系統(tǒng)登錄頁面點擊“使用數(shù)字證書賬號登錄”按鈕，頁面將跳轉(zhuǎn)至統(tǒng)一認(rèn)證平臺的登錄頁面，用戶使用數(shù)字證書登錄成功后，統(tǒng)一認(rèn)證平臺跳轉(zhuǎn)至“確認(rèn)并授權(quán)”頁面，由用戶確認(rèn)并授權(quán)后，該信息應(yīng)用系統(tǒng)將獲得訪問用戶信息的權(quán)限，頁面跳轉(zhuǎn)至信息應(yīng)用系統(tǒng)，完成統(tǒng)一認(rèn)證登錄，進入正常的業(yè)務(wù)流程。
7.根據(jù)權(quán)利要求1、5或6所述的基于數(shù)字證書實現(xiàn)集成多個應(yīng)用系統(tǒng)統(tǒng)一認(rèn)證登錄的方法，其特征在于: 步驟三中統(tǒng)一認(rèn)證登陸具體步驟為: (1)由信息應(yīng)用系統(tǒng)申請接入統(tǒng)一認(rèn)證平臺，獲得對應(yīng)的appid和appkey,以保證后續(xù)認(rèn)證流程中可正確的對信息應(yīng)用系統(tǒng)與用戶進行驗證與授權(quán)； (2)在信息應(yīng)用系統(tǒng)上設(shè)置統(tǒng)一認(rèn)證登錄的入口，加入“使用數(shù)字證書登錄”按鈕； (3)用戶登錄認(rèn)證和授權(quán)，用戶在信息應(yīng)用系統(tǒng)的登錄入口，點擊“使用數(shù)字證書登錄”按鈕后，頁面跳轉(zhuǎn)到統(tǒng)一認(rèn)證平臺的登錄入口，用戶使用數(shù)字證書進行登錄認(rèn)證，登錄成功后，彈出授權(quán)頁面，引導(dǎo)用戶對該信息應(yīng)用系統(tǒng)進行授權(quán)； (4)登錄和授權(quán)完成后，跳轉(zhuǎn)回信息應(yīng)用系統(tǒng)，如果用戶成功登錄并授權(quán)，則跳轉(zhuǎn)到應(yīng)用信息系統(tǒng)的回調(diào)地址，該回調(diào)地址由信息應(yīng)用系統(tǒng)自行設(shè)置； (5)獲取用戶證書信息 及證書擴展屬性信息，用戶成功登錄后，信息應(yīng)用系統(tǒng)可通過統(tǒng)一認(rèn)證平臺的開放接口發(fā)送請求獲取用戶證書信息及證書擴展屬性信息，進入正常的業(yè)務(wù)流程。
【文檔編號】H04L9/32GK103560888SQ201310542169
【公開日】2014年2月5日 申請日期:2013年11月5日 優(yōu)先權(quán)日:2013年11月5日
【發(fā)明者】王杰勛, 李業(yè)兵, 莊昱垚 申請人:江蘇先安科技有限公司