单点登录系统及方法、业务管理系统及单点登录中间系统

摘要

本发明公开了一种单点登录系统及方法、业务管理系统及单点登录中间系统，单点登录系统中包括至少一个业务管理系统以及至少一个应用系统，还包括单点登录中间系统，业务管理系统根据与单点登录中间系统预先约定的第一加密密钥，对用户的用户信息进行加密后发送给单点登录中间系统，单点登录中间系统根据与用户请求访问的应用系统预先约定的第二加密密钥，对解密得到的用户信息进行加密，并将加密后的用户信息发送给该应用系统，该应用系统根据解密得到的用户信息为上述用户提供业务。采用本发明技术方案，解决了现有技术中存在的应用系统管理与每个业务管理系统之间的加密密钥耗费了较多的系统资源，导致应用系统为用户提供业务的效率较低的问题。

说明书

技术领域

本发明涉及通信技术领域，特别涉及一种单点登录系统及方法、业务管理系统及单点登录中间系统。

背景技术

通常每个独立的应用系统都会有各自的安全体系和用户身份认证系统，用户访问每个应用系统都需要进行登录，这不仅在系统管理上存在很大的困难，在安全方面也有重大隐患。为了解决上述问题，现有技术提出了单点登录(SSO，Single Sign On)技术，用户只需要登录一次就可以访问多个应用系统，例如当用户第一次访问应用系统1时，应用系统1引导用户到自身的认证单元1中进行登录，认证单元1根据用户提供的登录信息进行身份认证，若通过认证，则为该用户分配用于标识认证通过的认证标识，并将分配的认证标识返回给该用户，用户访问应用系统2时，向应用系统2发送认证单元1返回的认证标识，应用系统2将用户发送的认证标识发送到自身的认证单元2进行认证，认证单元2基于与认证单元1的通信，对认证标识的合法性进行认证，若通过认证，则该用户就不需要再次登录，而是直接访问应用系统2。

在互联网环境下，通常将用户订购的所有业务所归属的多个应用系统集成在一个业务管理系统中，如图1所示，即一个业务管理系统11对应多个应用系统12，因此可以将图1所示的单点登录系统称为一对多单点登录系统，该单点登录系统可以在业务管理系统11上集中向用户提供订购的所有业务，以方便用户的使用。

如图2所示，为现有技术中用户基于图1所示的一对多单点登录系统进行单点登录的方法流程图，其具体处理过程如下：

步骤21，业务管理系统接收到用户输入的用户标识和密码后，对该用户进行身份认证；

步骤22，若业务管理系统对用户的身份认证结果为认证通过，则为该用户分配认证标识，其中分配的认证标识与该用户的用户标识和业务订购信息对应；

步骤23，若用户需要访问应用系统1，则该用户在业务管理系统上点击应用系统1对应的网页(Web)链接；

步骤24，业务管理系统将为该用户分配的认证标识发送给应用系统1；

步骤25，应用系统1根据与业务管理系统预先约定的加密密钥对接收到的认证标识进行加密，并将加密后的认证标识发送给业务管理系统；

步骤26，业务管理系统根据与应用系统1预先约定的加密密钥对接收到的认证标识进行解密，并判断解密后得到的认证标识是否为该业务管理系统为用户分配的认证标识；

步骤27，若步骤26的判断结果为是，则业务管理系统在存储的认证标识、用户标识和业务订购信息的对应关系中，查找与该认证标识对应的业务订购信息；

步骤28，业务管理系统将查找到的业务订购信息发送给应用系统1；

步骤29，应用系统1根据接收到的业务订购信息，为该用户提供对应的业务。

在上述处理过程中，为了防止网络截取和黑客攻击，需要业务管理系统对应用系统进行鉴权操作，即步骤24～26的操作，若步骤26的判断结果为是，则业务管理系统对应用系统对应用系统1的鉴权结果为鉴权通过，若步骤26的判断结果为否，则业务管理系统对应用系统对应用系统1的鉴权结果为鉴权不通过。

在实际使用过程中，还存在多对多的单点登录系统，如图3所示，即多个业务管理系统31对应多个应用系统32。

在多对多单点登录系统中，每个应用系统均与多个业务管理系统对应，用户可以通过多个业务管理系统访问应用系统，此时每个应用系统与每个业务管理系统之间都预先约定了一个加密密钥，若多对多单点登录系统中存在N个业务管理系统，则应用系统在接收到每个业务管理系统发送的认证标识后，在管理的N个加密密钥中查找该业务管理系统对应的加密密钥，然后根据查找到的加密密钥对认证标识进行加密，也就是说应用系统在为用户提供业务外，还要管理与每个业务管理系统之间的加密密钥，而应用系统的系统资源有限，管理与每个业务管理系统之间的加密密钥耗费了较多的系统资源，这就使得应用系统为用户提供业务的效率较低。

发明内容

本发明实施例提供一种单点登录系统及方法，用以解决现有技术中存在的应用系统管理与每个业务管理系统之间的加密密钥耗费了较多的系统资源，导致应用系统为用户提供业务的效率较低的问题。

相应的、本发明实施例还提供一种业务管理系统及单点登录中间系统。

本发明实施例技术方案如下：

一种单点登录系统，包括至少一个业务管理系统以及至少一个应用系统，还包括单点登录中间系统，其中：业务管理系统，用于在接收到用户发送的访问请求消息后，确定该用户的用户信息，以及根据与单点登录中间系统预先约定的第一加密密钥，对该用户的用户信息进行加密后发送给单点登录中间系统；单点登录中间系统，用于根据所述第一加密密钥对接收到的用户信息进行解密，以及确定所述用户请求访问的应用系统，根据与确定出的应用系统预先约定的第二加密密钥，对解密得到的用户信息进行加密，并将加密后的用户信息发送给确定出的所述应用系统；应用系统，用于根据所述第二加密密钥对接收到的用户信息进行解密后，根据解密得到的用户信息为所述用户提供业务。

一种单点登录方法，该方法包括步骤：业务管理系统在接收用户发送的访问请求消息后，确定该用户的用户信息；以及根据与单点登录中间系统预先约定的第一加密密钥，对该用户的用户信息进行加密后发送给单点登录中间系统；所述单点登录中间系统根据所述第一加密密钥对接收到的用户信息进行解密；以及确定所述用户请求访问的应用系统；以及根据与确定出的应用系统预先约定的第二加密密钥，对解密得到的用户信息进行加密；并将加密后的用户信息发送给确定出的所述应用系统；所述应用系统根据所述第二加密密钥对接收到的用户信息进行解密后，根据解密得到的用户信息为所述用户提供业务。

一种业务管理系统，包括：第一接收单元，用于接收用户发送的访问请求消息；第一确定单元，用于在第一接收单元接收到用户发送的访问请求消息后，确定该用户的用户信息；加密单元，用于根据与单点登录中间系统预先约定的第一加密密钥，对第一确定单元确定出的用户信息进行加密；第一发送单元，用于将加密单元加密后的用户信息发送给单点登录中间系统。

一种单点登录中间系统，包括：第一接收单元，用于接收业务管理系统发送的加密后的用户信息；第一解密单元，用于根据与所述业务管理系统预先约定的第一加密密钥，对第一接收单元接收到的用户信息进行解密；第一确定单元，用于确定用户请求访问的应用系统；第一加密单元，用于根据与第一确定单元确定出的应用系统预先约定的第二加密密钥，对第一解密单元解密得到的用户信息进行加密；第一发送单元，用于将第一加密单元加密后的用户信息发送给第一确定单元确定出的所述应用系统。

本发明实施例技术方案中，单点登录系统不仅包括至少一个业务管理系统以及至少一个应用系统，还包括单点登录中间系统，其中业务管理系统在接收到用户发送的访问请求消息后，确定该用户的用户信息，以及根据与单点登录中间系统预先约定的第一加密密钥，对该用户的用户信息进行加密后发送给单点登录中间系统，单点登录中间系统根据上述第一加密密钥对接收到的用户信息进行解密，以及根据与用户请求访问的应用系统预先约定的第二加密密钥，对解密得到的用户信息进行加密，并将加密后的用户信息发送给该应用系统，该应用系统根据上述第二加密密钥对接收到的用户信息进行解密后，根据解密得到的用户信息为上述用户提供业务，由此可见，单点登录中间系统负责与各个业务管理系统进行交互，来获取用户的用户信息，而各应用系统只需要与单点登录中间系统预先约定一个加密密钥，只要管理该加密密钥即可，这就节省了应用系统的系统资源，有效地提高了应用系统为用户提供业务的效率。

附图说明

图1为现有技术中，一对多单点登录系统结构示意图；

图2为现有技术中，基于一对多单点登录系统的单点登录方法流程示意图；

图3为现有技术中，多对多单点登录系统结构示意图；

图4为本发明实施例中，单点登录系统结构示意图；

图5为本发明实施例中，单点登录方法流程示意图；

图6为本发明实施例中，业务管理系统结构示意图；

图7为本发明实施例中，单点登录中间系统结构示意图。

具体实施方式

下面结合各个附图对本发明实施例技术方案的主要实现原理、具体实施方式及其对应能够达到的有益效果进行详细地阐述。

如图4所示，为本发明实施例中单点登录系统结构示意图，本发明实施例中的单点登录系统包括至少一个业务管理系统41、单点登录中间系统42和至少一个应用系统43，其中：

业务管理系统41，用于在接收到用户发送的访问请求消息后，确定该用户的用户信息，以及根据与单点登录中间系统42预先约定的第一加密密钥，对该用户的用户信息进行加密后发送给单点登录中间系统42；

单点登录中间系统42，用于根据上述第一加密密钥对接收到的用户信息进行解密，以及确定用户请求访问的应用系统43，根据与确定出的应用系统43预先约定的第二加密密钥，对解密得到的用户信息进行加密，并将加密后的用户信息发送给确定出的应用系统43；

应用系统43，用于根据上述第二加密密钥对接收到的用户信息进行解密后，根据解密得到的用户信息为上述用户提供业务。

由上述处理过程可知，本发明实施例技术方案中，单点登录系统不仅包括至少一个业务管理系统以及至少一个应用系统，还包括单点登录中间系统，其中业务管理系统在接收到用户发送的访问请求消息后，确定该用户的用户信息，以及根据与单点登录中间系统预先约定的第一加密密钥，对该用户的用户信息进行加密后发送给单点登录中间系统，单点登录中间系统根据上述第一加密密钥对接收到的用户信息进行解密，以及根据与用户请求访问的应用系统预先约定的第二加密密钥，对解密得到的用户信息进行加密，并将加密后的用户信息发送给该应用系统，该应用系统根据上述第二加密密钥对接收到的用户信息进行解密后，根据解密得到的用户信息为上述用户提供业务，由此可见，单点登录中间系统负责与各个业务管理系统进行交互，来获取用户的用户信息，而各应用系统只需要与单点登录中间系统预先约定一个加密密钥，只要管理该加密密钥即可，这就节省了应用系统的系统资源，有效地提高了应用系统为用户提供业务的效率。

基于图4所示的单点登录系统，本发明实施例提出一种单点登录方法，如图5所示，其具体处理过程如下：

步骤51，业务管理系统在接收到用户发送的访问请求消息后，确定该用户的用户信息；

用户将用户标识和用户密码发送给业务管理系统后，业务管理系统在存储的各个用户标识中，确定是否存在用户发送的用户标识，在确定出存在用户发送的用户标识后，在存储的用户标识和用户密码的对应关系中，查找与用户发送的用户标识对应的用户密码，将查找到的用户密码与用户发送的用户密码进行比较，若比结果为一致，则确定通过对该用户的身份认证。

若该用户后续需要访问该单点登录系统中的某个应用系统，则该用户向业务管理系统发送访问请求消息，该访问请求中携带有用户请求访问的应用系统的系统标识，例如，业务管理系统管理应用系统1、应用系统2和应用系统3，业务管理系统提供的Web链接1的名称中包含应用系统1的系统标识，业务管理系统提供的Web链接2的名称中包含应用系统2的系统标识，业务管理系统提供的Web链接3的名称中包含应用系统3的系统标识，其中Web链接1、Web链接2和Web链接3对应的地址均为单点登录中间系统的地址，用户若需要访问应用系统1，则该用户可以在业务管理系统提供的Web链接1、Web链接2和Web链接3中，点击Web链接1，即向业务管理系统发送包含应用系统1的系统标识的访问请求消息，业务管理系统确定用户请求访问应用系统1。

若用户的用户信息为用户标识信息，而用户发送的访问请求消息中携带有用户的用户标识信息，则业务管理系统可以直接根据接收到的访问请求消息确定用户的用户信息。

步骤52，业务管理系统根据与单点登录中间系统预先约定的第一加密密钥，对该用户的用户信息进行加密后发送给单点登录中间系统；

本发明实施例中，每个业务管理系统和单点登录中间系统之间均预先约定了一个加密密钥，业务管理系统在接收到访问请求消息后，可以首先确定该用户的用户信息，然后直接根据与单点登录中间系统预先约定的第一加密密钥，对确定出的用户信息进行加密后发送给单点登录中间系统；

此外，业务管理系统在对该用户的用户信息进行加密前，还可以进一步对单点登录中间系统进行鉴权，具体为：

业务管理系统在确定通过对该用户的身份认证后，为该用户分配第一认证标识，后续在接收到该用户发送的访问请求消息后，将该第一认证标识发送给单点登录中间系统，单点登录中间系统根据与该业务管理系统预先约定的第一加密密钥，对接收到的第一认证标识进行加密后，发送给该业务管理系统，该业务管理系统根据上述第一加密密钥对接收到的第一认证标识进行解密，然后确定解密得到的第一认证标识是否与为该用户分配的第一认证标识一致，若一致，则确认对单点登录中间系统的鉴权结果为鉴权通过，那么业务管理系统根据第一加密密钥对该用户的用户信息进行加密后发送给单点登录中间系统，若不一致，则确认对单点登录中间系统的鉴权结果为鉴权不通过，则业务管理系统可以向该单点登录中间系统发送鉴权不通过消息。

其中，若业务管理系统根据第一加密密钥对用户信息进行加密前还要对单点登录中间系统进行鉴权，则确定用户的用户信息的过程可以但不限于为下述：

首先根据解密得到的第一认证标识，在第一认证标识和用户信息的对应关系中，查找该用户的用户信息，根据第一加密密钥，对查找到的用户信息进行加密。

其中业务管理系统可以但不限于将第一认证标识携带在超文本传输协议(HTTP，Hypertext Transfer Protocol)消息中发送给单点登录中间系统。例如，业务管理系统为用户分配的第一认证标识为token1，且单点登录中间系统对应的Web链接为Http://www.abc.com，则业务管理系统可以以Http://www.abc.com？token1＝xxxxxx的形式将token1发送给单点登录中间系统，单点登录中间系统在接收到该HTTP消息后，以HTTP响应消息的方式将加密后的第一认证标识发送给该业务管理系统，该业务管理系统也可以在确定出解密得到的第一认证标识与为该用户分配的第一认证标识一致后，将加密后的用户信息以HTTP响应消息的方式发送给单点登录中间系统。

步骤53，单点登录中间系统根据上述第一加密密钥对接收到的用户信息进行解密；

步骤54，单点登录中间系统确定上述用户请求访问的应用系统；

单点登录中间系统在对接收到的用户信息进行解密后，需要确定用户请求访问的应用系统，这样才能将用户信息发送给该应用系统，其中本发明实施例中，单点登录中间系统确定用户请求访问的应用系统可以为下述两种实施情况，具体为：

第一种实施情况，业务管理系统向单点登录中间系统发送访问请求消息中携带的系统标识，单点登录中间系统根据接收到的系统标识，确定该用户请求访问的应用系统，例如，应用系统1对应的系统标识为“1”，则该HTTP消息可以为：Http://www.abc.com？ID＝1，业务管理系统可以但不限于将系统标识和第一认证标识一起携带在HTTP消息中发送给单点登录中间系统，则该HTTP消息可以为：Http://www.abc.com？token1＝xxxxxx？ID＝1，业务管理系统也可以将系统标识单独发送给单点登录中间系统，可以在发送第一标识信息之前，也可以发送第一认证标识信息之后；

第二种实施情况，业务管理系统根据接收到的系统标识，在系统标识和单点登录中间系统中接收端口的端口标识的对应关系中，查找与接收到的系统标识对应的端口标识，然后业务管理系统将加密后的用户信息，发送到与查找到的端口标识对应的端口，单点登录中间系统确定接收到用户信息的端口对应的端口标识，然后根据确定出的端口标识，在端口标识和系统标识的对应关系中，查找与确定出的端口标识对应的系统标识，根据查找到的系统标识，确定用户请求访问的应用系统。

针对上述第二种实施情况，每个应用系统的系统标识均对应单点登录中间系统的一个接收端口的端口标识，其中该对应关系可以但不限于如下表所示：

此外，业务管理系统在发送第一认证标识时，也可以发送到查找到的端口标识对应的端口中，那么单点登录中间系统就可以根据接收第一认证标识的接收端口对应的端口标识，确定用户请求访问的应用系统。

步骤55，根据与确定出的应用系统预先约定的第二加密密钥，对解密得到的用户信息进行加密；

本发明实施例中，单点登录中间系统在对用户的用户信息进行加密前，还可以进一步对用户请求访问的应用系统进行鉴权，具体为：

单点登录中间系统为该用户分配第二认证标识，然后将分配的第二认证标识发送给确定出的应用系统，该应用系统根据与单点登录中间系统预先约定的第二加密密钥，对接收到的第二认证标识进行加密后，发送给单点登录中间系统，单点登录中间系统根据第二加密密钥对接收到的第二认证标识进行解密，然后确定解密得到的第二认证标识与为上述用户分配的第二认证标识是否一致，若一致，则确认对该应用系统的鉴权结果为鉴权通过，那么单点登录中间系统根据第二加密密钥对该用户的用户信息进行加密后发送给该应用系统，若不一致，则确认对该应用系统的鉴权结果为鉴权不通过，则单点登录中间系统可以向该应用系统发送鉴权不通过消息。

步骤56，单点登录中间系统将加密后的用户信息发送给上述应用系统；

步骤57，上述应用系统根据第二加密密钥对接收到的用户信息进行解密后，根据解密得到的用户信息为上述用户提供业务。

本发明实施例中，单点登录系统中的每个应用系统与单点登录中间系统之间均预先约定了一个加密密钥，每个应用系统只需要管理该加密密钥即可，应用系统在接收到单点登录中间系统发送的加密后的用户信息后，根据与单点登录预先约定的加密密钥，对接收到的用户信息进行解密。

其中本发明实施例中的用户信息可以为用户标识信息，也可以为用户的业务订购信息，还可以为用户标识信息和用户的业务订购信息。

若应用系统接收到的用户信息为用户的业务订购信息，即业务订购信息存储在业务管理系统中，由于业务订购信息指示了用户已订购的业务，那么该应用系统可以直接根据解密后得到的业务订购信息，确定该用户已订购的业务，进一步确定需要为该用户提供的业务，并将确定出的业务提供给该用户。

若应用系统接收到的用户信息为用户标识信息，即业务订购信息存储在应用系统中，则该应用系统根据解密得到的用户标识信息，在存储的用户标识信息和业务订购信息的对应关系中，查找该用户的业务订购信息，根据查找到的业务订购信息，确定该用户已订购的业务，进一步确定需要为该用户提供的业务，并将确定出的业务提供给该用户。

由于现有的单点登录方法中，应用系统需要与多个业务管理系统维持多个加密密钥，而多个业务管理系统在地理位置上是分布于不同的地方，所以应用系统要以线下方式与多个业务管理系统保持加密密钥的同步，这就使得应用系统在管理上非常不方便，本发明实施例提出的单点登录方法中，应用系统只需要维持与单点登录中间系统的一个加密密钥即可，这就有效地提高了应用系统管理的便利性。

本发明实施例提出一种业务管理系统，如图6所示，包括第一接收单元61、第一确定单元62、加密单元63和第一发送单元64，其中：

第一接收单元61，用于接收用户发送的访问请求消息；

第一确定单元62，用于在第一接收单元61接收到用户发送的访问请求消息后，确定该用户的用户信息；

加密单元63，用于根据与单点登录中间系统预先约定的第一加密密钥，对第一确定单元62确定出的用户信息进行加密；

第一发送单元64，用于将加密单元63加密后的用户信息发送给单点登录中间系统。

较佳地，上述业务管理系统还包括分配单元、第二发送单元、第二接收单元、解密单元和第二确定单元，其中：

分配单元，用于为该用户分配第一认证标识；

第二发送单元，用于在加密单元63对用户信息进行加密前，将分配单元分配的第一认证标识发送给单点登录中间系统；

第二接收单元，用于接收单点登录中间系统发送的加密后的第一认证标识；

解密单元，用于根据与上述业务管理系统预先约定的第一加密密钥，对第二接收单元接收到的第一认证标识进行解密；

第二确定单元，用于确定解密单元解密得到的第一认证标识与分配单元为该用户分配的第一认证标识一致。

更佳地，第一确定单元62根据解密单元解密得到的第一认证标识，在第一认证标识和用户信息的对应关系中，查找该用户的用户信息。

较佳地，第一接收单元61接收到的访问请求消息中携带有该用户请求访问的应用系统的系统标识。

更佳地，上述业务管理系统还包括第三发送单元，用于将第一接收单元61接收到的系统标识发送给单点登录中间系统。

更佳地，第一发送单元64具体包括查找模块和发送模块，其中：

查找模块，用于根据第一接收单元61接收到的系统标识，在系统标识和单点登录中间系统中接收端口的端口标识的对应关系中，查找与接收到的系统标识对应的端口标识；

发送模块，用于将加密单元63加密后的用户信息，发送到与查找模块查找到的端口标识对应的端口。

本发明实施例提出一种单点登录中间系统，如图7所示，包括第一接收单元71、第一解密单元72、第一确定单元73、第一加密单元74和第一发送单元75，其中：

第一接收单元71，用于接收业务管理系统发送的加密后的用户信息；

第一解密单元72，用于根据与上述业务管理系统预先约定的第一加密密钥，对第一接收单元71接收到的用户信息进行解密；

第一确定单元73，用于确定用户请求访问的应用系统；

第一加密单元74，用于根据与第一确定单元73确定出的应用系统预先约定的第二加密密钥，对第一解密单元72解密得到的用户信息进行加密；

第一发送单元75，用于将第一加密单元74加密后的用户信息发送给第一确定单元73确定出的应用系统。

较佳地，上述单点登录中间系统还包括第二接收单元和第二加密单元，其中：

第二接收单元，用于接收业务管理系统发送的第一认证标识；

第二加密单元，用于根据与上述业务管理系统预先约定的第一加密密钥，对接收到的第一认证标识进行加密后，发送给上述业务管理系统。

较佳地，上述单点登录中间系统还包括分配单元、第二发送单元、第三接收单元、第二解密单元和第二确定单元，其中：

分配单元，用于第一加密单元对第一解密单元解密得到的用户信息进行加密前，为该用户分配第二认证标识；

第二发送单元，用于将分配单元分配的第二认证标识发送给第一确定单元73确定出的应用系统；

第三接收单元，用于接收该应用系统发送的加密后的第二认证标识；

第二解密单元，用于根据与该应用系统预先约定的第二加密密钥，对第三接收单元接收到的第二认证标识进行解密；

第二确定单元，用于确定第二解密单元解密得到的第二认证标识与分配单元为该用户分配的第二认证标识一致。

较佳地，第一确定单元73具体包括接收模块和第一确定模块，其中：

接收模块，用于接收上述业务管理系统发送的系统标识；

第一确定模块，用于根据接收模块接收到的系统标识，确定用户请求访问的应用系统。

较佳地，第一确定单元73具体包括第二确定模块、查找模块和第三确定模块，其中：

第二确定模块，用于确定第一接收单元71接收上述用户信息的端口对应的端口标识；

查找模块，用于根据第二确定模块确定出的端口标识，在端口标识和系统标识的对应关系中，查找与确定出的端口标识对应的系统标识；

第三确定模块，用于根据查找模块查找到的系统标识，确定该用户请求访问的应用系统。

显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。