点对点模式下单点登录方法

摘要

本发明涉及一种点对点模式下单点登录方法，与现有的基于客户服务器模式的单点登录方法不同，该方法实现以用户证书有效期管理用户单点登录生命周期，用户单次认证多次登录，该方法完成应用系统和身份认证服务器的相互认证，初始化通信双方的共享密钥，建立客户和应用系统之间的安全通道。通过身份认证服务器和应用系统间的相互认证，使得任何一个应用系统都可以独立进行身份认证，弱化中央身份认证服务器的地位，避免传统客户/服务器模式单点故障的弱点，具有系统运行成本低、效率高、安全性能好的特点。

说明书

技术领域

本发明涉及一种点对点模式下单点登录方法。

背景技术

目前企业建设的应用系统越来越多，各个应用系统都包含独立的用户认证和授权模块。首先，各个应用系统的模块维护用户信息可能存在很大差异，阻碍了用户信息的共享。其次，用户需要记忆不同应用系统的登录口令，定期更新所有可访问应用系统的口令。最后，每个系统都开发独立的认证和授权模块导致投资浪费和延误工期。将应用系统的认证和授权统一管理，实现单点登录成为企业信息化建设的发展趋势。

单点登录的发展主要经历了两个阶段，二次填表和票据阶段。二次填表技术通过代理网关代理客户填写应用系统的用户名和口令，向应用系统提交认证。二次填表技术鲜明特点是各应用系统维护独立的用户名和口令，采用该技术实现单点登录要求原有系统的改造较少，具有低入侵性。但是该方法以代理网关为中心，要求所有的应用系统必须通过代理网关实现单点登录，容易造成代理网关的性能瓶颈和单点失败，口令需要多次传递导致口令泄露。票据技术在全系统采用单一用户名和口令，用户通过认证后以票据作为用户登录应用系统的身份凭证，票据认证的典型代表有Kerberos和CAS。但是在Kerberos和CAS中客户登录应用系统需要频繁经过身份认证服务器的认证，没有实现以票据的有效期作为客户的生命周期。Kerberos中客户访问应用系统需要经过认证和授权两步实现，没有实现认证和授权统一管理，增加信息传输和处理时间。CAS要求应用系统必须信任身份认证服务器，降低了安全性。Kerberos和CAS实现单点登录都具有典型的客户/服务器特点。

发明内容

本发明的目的就是提供一种系统运行成本低、效率高、安全性能好的点对点模式下单点登录方法。

本发明的点对点模式下单点登录方法，涉及客户(Client)、身份认证服务器(Server)、门户(Portal)和应用系统(Application)四个组件间的交互，客户访问使用点对点认证方法接入门户应用的处理过程分为以下步骤：

步骤a，客户使用身份认证服务器的公钥加密客户的身份标识、客户名、密码、应用系统标识和随机数，然后将加密后的消息发送给身份认证服务器；

步骤b，身份认证服务器使用自己的私钥对收到的消息进行解密，得到客户的身份标识、客户名、密码、应用系统标识和随机数，如果客户访问门户系统，身份认证服务器使用客户的公钥对客户身份标识和随机数进行加密；使用门户的公钥对门户标识、门户颁发给客户的证书和随机数进行加密；使用应用系统的公钥对应用系统标识、应用系统颁发给客户的证书和随机数进行加密，然后把这些加密后的消息串接后返回给客户；

步骤c，客户用门户公钥对客户标识、会话密钥、随机数进行加密，将加密后的信息、门户颁发的客户证书和应用系统颁发的客户证书发送给门户；

步骤d，门户使用私钥对客户传送的消息解密，判断门户颁发的客户证书的有效性，使用应用系统的公钥对门户标识、门户和应用系统之间的会话密钥、随机数以及应用系统颁发的客户证书进行加密后发送给应用系统；

步骤e，应用系统使用门户的公钥对应用标识和随机数加密后发送给门户，实现门户对应用系统的验证；

步骤f，门户使用客户的公钥对门户标识和随机数加密后发送给客户，实现客户对门户的验证；

步骤g，应用系统使用身份认证服务器的公钥将应用标识和随机数发送给身份认证服务器，身份认证服务器收到消息后进行解密，判断解密后的随机数是否和步骤b中的随机数相同，以此来验证应用系统的合法性；

步骤h，身份认证服务器使用应用系统的公钥将身份认证服务器的标识和随机数加密后发送给应用系统，应用系统收到消息后进行解密，判断解密后的随机数是否和步骤g中的随机数相同，以此来验证身份认证服务器的合法性。

本发明的点对点模式下单点登录方法，具有以下特点：

1、首先以客户为中心直接访问应用系统点对点认证，而不像基于“二次填表技术”的认证方法那样以反向代理为中心，所有的单点登录都必须通过反向代理，点对点认证以证书来代表客户身份并管理客户生命周期，无需每次访问应用系统都经过身份认证服务器的认证，减轻了身份认证服务器的负担，有助于提高系统运行的效率；

2、实现身份认证服务器和应用系统的双向认证，点对点认证中，验证双方使用公钥加密随机数来实现双方身份的验证，与其它单点登录技术相比，可以实现客户与身份认证服务器的双向验证，增加了安全性；

3、设置客户和应用系统的初始会话密钥，设置了客户和门户系统之间的初始会话密钥，设置了门户和应用系统之间的初始会话密钥，在客户和应用系统之间建立了安全通道，使用会话密钥加密与公钥体制相比具有加密速度快的优点，有利于降低系统运行开销。

附图说明

图1为本发明的结构及流程图。

具体实施方式

参看图1，应用系统A1已经接入到门户P中，当客户C需要访问应用系统A1时，客户C首先访问身份认证服务器S，获得相应证书，客户C把证书传递给门户P，门户P将证书发送给应用系统A1，应用系统A1根据证书中标记的客户角色对用户进行授权，门户P和应用系统A1根据证书标记的开始时间和结束时间判断用户持有的证书是否有效，管理用户的生命周期。

完整的登陆过程分为8个步骤：

步骤1，客户C使用身份认证服务器S的公钥加密客户的身份标识C、客户名、密码、应用系统A1和随机数N_CS，然后将加密后的消息发送给身份认证服务器。

EK_S{S，Username，Password，A1，N_CS}

步骤2，身份认证服务器S使用自己的私钥对收到的消息进行解密，得到客户的身份标识C、客户名、密码、应用系统A1和随机数N_CS。如果客户访问门户系统，身份认证服务器S使用客户C的公钥对客户身份标识C和随机数N_AM1进行加密，使用门户的公钥对门户标识P、门户颁发给客户的证书Cert<P，C，R_P，T1，T2>和随机数N_SP进行加密，使用A1的公钥对应用系统标识A1、A1颁发给客户C的证书Cert<A1，C，R，T1，T2>和随机数N_SA1进行加密，将这些加密后的消息串接后返回给客户C。

EK_C{C，N_CS}CredentialOf Portal CredentialsCredentialOfPortal＝EK_P{C，Cert<P，C，R，T1，T2>，N_SP}

Credentials＝EK_A1{C，Cert<A1，C，R_A1，T1，T2>，N_SA1}……E_KAM{AM，Cert<AM，C，R_AM，1，T2>，N_SAM}

步骤3，客户使用门户公钥对客户标识C、会话密钥K_CP、随机数N_CP进行加密，将加密后的信息和身份认证服务器S返回的CredentialOfPortal和Credentials发送给门户P。

EK_P{C，K_CP，N_CP}，CredentialOfPortal，Credentials

步骤4，门户P使用私钥对客户C传送的信息解密，判断客户门户颁发给客户证书的有效性。使用应用系统A1的公钥对门户标识P、门户和应用系统A1之间的会话密钥K_PA1、随机机数N_PA1以及应用系统颁发给客户的证书进行加密后发送给应用系统A1。

EK_A1{P，K_PA1，N_PA1}，EK_A1{C，Cert<A1，C，R_A1，T1，T2>，N_SA1}

步骤5，应用系统使用门户的公钥对应用系统标识A1和随机数N_PA1加密后发送给门户实现门户对应用系统A1的验证。

EK_P{A1，N_PA1}

步骤6，门户使用客户的公钥对门户标识P和随机数N_CP加密后发送给客户，实现客户对门户的验证。

EK_C{P，N_CP}

步骤7，应用系统A1使用服务器的公钥将应用系统标识A1和随机数N_SA1发送给服务器S，服务器收到信息后进行解密，判断随机数是否和步骤2中的随机数相同，以此来验证应用系统A1的合法性。

EK_S{A1，N_SA1}

步骤8，身份认证服务器S使用应用系统A1的公钥将标识S和随机数N_SA1发送给应用系统A1，应用系统A1收到信息后进行解密，判断随机数是否和步骤7中的随机数相同，以此来验证身份认证服务器S的合法性。