国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      單一登入方法

      文檔序號:7918613閱讀:309來源:國知局
      專利名稱:單一登入方法
      技術(shù)領(lǐng)域
      本發(fā)明是有關(guān)于一種登入方法,尤其涉及一種單一登入方法。
      背景技術(shù)
      單一登入(Single Sign-On,簡稱為SSO)機(jī)制是指多個應(yīng)用系統(tǒng)(applications)經(jīng)過集成之后,使用者只要經(jīng)過一次身份認(rèn)證(通常為帳號/密碼)登入后,即可使用這些應(yīng)用系統(tǒng)的服務(wù),而不必在每切換到一個應(yīng)用系統(tǒng)時就要再做一次登入動作。在這里,應(yīng)用系統(tǒng)是為了某種特定的用途而被開發(fā)的軟件,它可以是一個特定的程序,也可以是一個由眾多獨(dú)立程序組成的龐大的軟件系統(tǒng),如ERP(企業(yè)資源計劃)、CRM (客戶關(guān)系管理)系統(tǒng)。
      以企業(yè)信息入口網(wǎng)站(Enterprise Information Portal,簡稱為EIP)為例,其集成多個應(yīng)用系統(tǒng)的服務(wù),如新聞瀏覽、收發(fā)電子郵件、行事歷、專案計劃管理、ERP、 CRM等應(yīng)用系統(tǒng),如果沒有SSO機(jī)制,使用者在進(jìn)入各應(yīng)用系統(tǒng)前都必須執(zhí)行登入動作以進(jìn)行身份認(rèn)證,相當(dāng)不便。所以,對使用者而言,SSO機(jī)制可以減少多次身份認(rèn)證所花費(fèi)的時間,還可以避免同時保有多個身份認(rèn)證信息而產(chǎn)生混淆的可能性;對管理者而言,能通過單一的維護(hù)機(jī)制來管理帳號的變化,減少維護(hù)的成本。
      SSO機(jī)制對于Web應(yīng)用系統(tǒng)已有解決方案,目前的做法通常是將所有Web應(yīng)用系統(tǒng)集成到一個伺服器,由所述伺服器在驗證身份認(rèn)證信息成功后產(chǎn)生登入鑰匙(SignOnKey,簡稱為SOK)并設(shè)定到使用者端的Cookie,用來表示已經(jīng)登入,而后通過網(wǎng)頁瀏覽的機(jī)制來存取Cookie中的登入鑰匙,使用者不必在每切換到一個Web應(yīng)用系統(tǒng)時就要再做一次登入動作。但是,目前這樣的SSO機(jī)制對于Non-Web應(yīng)用系統(tǒng)不能達(dá)到預(yù)期的效果,這是因為Non-Web應(yīng)用系統(tǒng)無法以瀏覽器進(jìn)行網(wǎng)頁的瀏覽、操作,導(dǎo)致無法取得Cookie中的登入鑰匙,也就不能達(dá)到SSO的效果。有一種做法是將Non-Web應(yīng)用系統(tǒng)加以Web化,但這樣必須去修改原Non-Web應(yīng)用系統(tǒng),既花費(fèi)時間金錢還可能產(chǎn)生原本沒有的錯誤(bug)。在這里,Web應(yīng)用系統(tǒng)是一種可通過瀏覽器瀏覽操作的應(yīng)用系統(tǒng),其使用者接口為超文本(hypertext)可由網(wǎng)頁瀏覽器顯示;而Non-Web應(yīng)用系統(tǒng)不是通過瀏覽器執(zhí)行的應(yīng)用系統(tǒng),例如以VB、 C/C++、 Delphi...等程序語言所發(fā)展的應(yīng)用系統(tǒng)。
      由于大部分企業(yè)的舊系統(tǒng)(legacy system)仍有很多Non-Web應(yīng)用系統(tǒng),因此很需要一種SSO機(jī)制,在不影響原有Non-Web應(yīng)用系統(tǒng)架構(gòu)下,讓使用者只要經(jīng)過一次身份認(rèn)證登入后,即可在Web應(yīng)用系統(tǒng)及/或Non-Web應(yīng)用系統(tǒng)之間切換時不必再做任何登入動作。

      發(fā)明內(nèi)容
      本發(fā)明的目的在于提供一種單一登入方法,在不影響原有Non-Web應(yīng)用系統(tǒng)架構(gòu)下達(dá)到Web及Non-Web應(yīng)用系統(tǒng)之間的單一登入效果。
      為了達(dá)成上述目的與其他目的,本發(fā)明提供了一種單一登入方法,適用于一單一登入系統(tǒng),所述單一登入系統(tǒng)包括用戶端計算機(jī)、單一登入伺服器以及驗證伺服器,且用戶端計算機(jī)中安裝Non-Web應(yīng)用系統(tǒng)。在此方法中,在以一身份認(rèn)證信息第一次成功登入單一登入系統(tǒng)后,單一登入伺服器產(chǎn)生一登入鑰匙并存放在用戶端計算才幾中,接下來即可在Web及Non-Web應(yīng)用系統(tǒng)之間切換而不必再次登入。首先,在網(wǎng)頁上點擊與Non-Web應(yīng)用系統(tǒng)有關(guān)的超鏈接,以啟動超鏈接所鏈接到的JNLP文件產(chǎn)生程序,JNLP文件產(chǎn)生程序在單一登入伺服器中執(zhí)行。接著,JNLP文件產(chǎn)生程序動態(tài)產(chǎn)生一 JNLP文件,并4爪取用戶端計算機(jī)中的登入鑰匙作為JNLP文件的參數(shù)。用戶端計算機(jī)會讀取JNLP文件,以觸發(fā)安裝在用戶端計算機(jī)的Java Web Start應(yīng)用程序。然后,用戶端計算機(jī)從單一登入伺服器下載一啟動程序,并在用戶端計算機(jī)中執(zhí)行啟動程序,啟動程序?qū)⒂蒍NLP文件取得的登入鑰匙通過一網(wǎng)絡(luò)服務(wù)(web service)向單一登入伺服器要求驗證。若驗證成功,則單一登入伺服器將經(jīng)過認(rèn)證后的身份認(rèn)證信息回傳到用戶端計算機(jī)。最后,啟動程序以經(jīng)過認(rèn)證后的身份認(rèn)證信息登入并啟動Non-Web應(yīng)用系統(tǒng)。
      本發(fā)明在已登入此單一登入系統(tǒng)而在用戶端計算機(jī)上設(shè)置有登入鑰匙的情形下,因采用Java Web Start技術(shù)而能在網(wǎng)頁瀏覽器顯示的網(wǎng)頁上點擊與Non-Web應(yīng)用系統(tǒng)有關(guān)的超鏈接之后,動態(tài)產(chǎn)生JNLP文件且加入登入鑰匙作為一參數(shù),進(jìn)而在用戶端計算機(jī)上執(zhí)行啟動程序,通過網(wǎng)絡(luò)服務(wù)安全機(jī)制傳送登入鑰匙到單 一登入伺服器配合驗證伺服器進(jìn)行驗證并回傳驗證結(jié)果,驗證成
      功則得以登入并啟動Non-Web應(yīng)用系統(tǒng)。因此,在不影響原有Non-Web應(yīng)用系統(tǒng)架構(gòu)下達(dá)到Web及Non-Web應(yīng)用系統(tǒng)之間的單一登入效果。


      圖1為依照本發(fā)明一實施例所繪示的單一登入系統(tǒng)的方塊圖2A及圖2B為依照本發(fā)明一實施例所繪示的單一登入方法的流程圖,顯示使用者預(yù)備登入一 Web應(yīng)用系統(tǒng)的各個步驟;
      圖3A及圖3B為依照本發(fā)明 一 實施例所繪示的單一登入方法的流程圖,顯示使用者預(yù)備登入一 Non-Web應(yīng)用系統(tǒng)的各個步驟。
      附圖標(biāo)記說明100-單一登入(SSO)系統(tǒng);110-用戶端計算機(jī);112-網(wǎng)頁瀏覽器;114-Cookie; 116-Non-Web應(yīng)用系統(tǒng);120-網(wǎng)頁伺服器;126-Web應(yīng)用系統(tǒng);130-單一登入(SSO)伺服器;132-JNLP文件產(chǎn)生程序;134-啟動程序;140-驗證伺服器;200-網(wǎng)絡(luò);S201-請求Web應(yīng)用系統(tǒng)的登入頁面;S203-重導(dǎo)到SSO系統(tǒng)的登入頁面;S205-判斷是否第一次登入;S207-第一次登入,要求輸入帳號/密碼;S209-輸入帳號/密碼;S211-請求驗證帳號/密碼;S213-驗證;S215-驗證結(jié)果;S217-驗證成功,產(chǎn)生SOK和ST; S219-將SOK寫入Cookie; S221-將ST回傳;S223-請求驗證ST/Web應(yīng)用系統(tǒng)的網(wǎng)址;S225-驗證;S227-驗證成功,將帳號回傳;S229-登入Web應(yīng)用系統(tǒng);S231-重導(dǎo)到Web應(yīng)用系統(tǒng)登入后首頁;S301-點擊網(wǎng)頁上Non-Web應(yīng)用系統(tǒng)的超鏈接導(dǎo)到網(wǎng)頁伺服器;S303-導(dǎo)到JNLP文件產(chǎn)生程序;S305-JNLP文件產(chǎn)生程序抓取Cookie中的SOK; S307-將SOK作為參數(shù)加入產(chǎn)生的JNLP文件;S309-網(wǎng)頁瀏覽器讀取JNLP文件而觸發(fā)JWS;S311-下載啟動程序;S313-執(zhí)行啟動程序;S315-取得SSO伺服器的公鑰;S317-產(chǎn)生對稱加密用的SK; S319-以公鑰加密SOK及SK; S321-傳送加密后的SOK及SK; S323-用SSO伺服器的私鑰解密;S325-請求驗證SOK; S327-驗證;S329-驗證結(jié)果;S331-驗證成功,以SK加密帳號;S333-傳送加密后的帳號;S335-解密取得帳號,以此帳號登入Non-Web應(yīng)用系統(tǒng)。
      具體實施例方式
      以下結(jié)合附圖,對發(fā)明上述的和另外的技術(shù)特征和優(yōu)點作更詳細(xì)的說明。圖1為依照本發(fā)明一實施例所繪示的單一登入系統(tǒng)的方塊圖。請參照圖1,
      6本發(fā)明的單一登入(SSO)系統(tǒng)100包括用戶端計算機(jī)110、網(wǎng)頁伺服器120、單 一登入(SSO)伺服器130以及驗證伺服器140,彼此之間通過網(wǎng)絡(luò)200相連接。 雖然本實施例中SSO系統(tǒng)100包括一臺用戶端計算機(jī)110、一臺網(wǎng)頁伺服器120、 一臺SSO伺服器130以及一臺驗證伺服器140,但并非僅限于此;例如,本發(fā) 明的SSO系統(tǒng)可以包括多臺用戶端計算機(jī)以及多臺網(wǎng)頁伺服器,這些用戶端計 算機(jī)可以分別提供各自的使用者進(jìn)行單一登入動作,而這些網(wǎng)頁伺服器可以分 別掛載(plug in)不同的Web應(yīng)用系統(tǒng),讓使用者通過網(wǎng)絡(luò)使用不同的Web應(yīng)用 系統(tǒng)。另夕卜,網(wǎng)絡(luò)200可以是互聯(lián)網(wǎng)(Internet)/企業(yè)內(nèi)部網(wǎng)絡(luò)(Intranet)/企業(yè)外部 網(wǎng)絡(luò)(Extranet)、區(qū)域網(wǎng)絡(luò)/廣域網(wǎng)絡(luò),但并非僅限于此。
      所述用戶端計算機(jī)110為安裝有用戶端程序(client)的本地端計算機(jī)。在這 里,計算機(jī)為根據(jù)一系列指令來對數(shù)據(jù)進(jìn)行處理的機(jī)器,如個人計算機(jī)、行動 電話、個人數(shù)字助理(PDA)等;用戶端程序為安裝在如用戶端計算機(jī)110的本地 端計算機(jī)上,為使用者提供本地服務(wù)的程序,如網(wǎng)頁瀏覽器112;用戶端程序通 過網(wǎng)絡(luò)與伺服端程序(server)互相配合運(yùn)行,其中伺服端程序安裝在如伺服器 120、 130、 140的遠(yuǎn)端計算機(jī)上,管理資源并為使用者提供服務(wù)的程序,如微軟 公司的IIS伺服端程序。另外,用戶端計算機(jī)110還可安裝有Non-Web應(yīng)用系 統(tǒng)116。
      所述網(wǎng)頁伺服器120為管理Web應(yīng)用系統(tǒng)126的網(wǎng)頁元件(如登入頁面等) 和回應(yīng)所述網(wǎng)頁瀏覽器112的請求的計算機(jī)。在本實施例中,所述Web應(yīng)用系 統(tǒng)126掛載到所述網(wǎng)頁伺服器120上,因此使用者可借著所述網(wǎng)頁瀏覽器112 通過網(wǎng)絡(luò)200溝通網(wǎng)頁伺服器120,進(jìn)而遠(yuǎn)端操作所述Web應(yīng)用系統(tǒng)126,但并 不僅限于此;例如,所述Web應(yīng)用系統(tǒng)126可放在專門的應(yīng)用系統(tǒng)伺服器 (application server)。所述SSO伺服器130為管理所述SSO系統(tǒng)100的網(wǎng)頁元件 (如登入頁面、JNLP文件產(chǎn)生程序132、啟動程序134等)和回應(yīng)所述網(wǎng)頁瀏覽 器112的請求的計算機(jī)。在本實施例中,所述SSO伺服器130將配合所述驗證 伺服器140對使用者輸入的身份認(rèn)證信息(如帳號/密碼)進(jìn)行驗證。
      圖2A~圖3B為依照本發(fā)明實施例所繪示的單一登入方法的流程圖,適用 于圖1所示的SSO系統(tǒng)100。其中,圖2A及圖2B以Pl P4相連接,顯示使 用者預(yù)備登入一 Web應(yīng)用系統(tǒng)的各個步驟;而圖3A及圖3B以Ql Q4相連接, 顯示使用者預(yù)備登入一 Non-Web應(yīng)用系統(tǒng)的各個步驟。
      請先同時參照圖1、圖2A及圖2B,使用者預(yù)備登入Web應(yīng)用系統(tǒng)126。使用者通過所述用戶端計算機(jī)110的網(wǎng)頁瀏覽器112的操作,如直接輸入所述
      Web應(yīng)用系統(tǒng)126的URL(或稱為網(wǎng)頁地址、網(wǎng)址),使所述網(wǎng)頁瀏覽器112向 所述網(wǎng)頁伺服器120請求所述Web應(yīng)用系統(tǒng)126的登入頁面(S201)。所述網(wǎng)頁 伺服器120接收到所述網(wǎng)頁瀏覽器112的請求后,并不會將所述Web應(yīng)用系統(tǒng) 126的登入頁面導(dǎo)向所述網(wǎng)頁瀏覽器112顯示,而是重導(dǎo)到所述SSO系統(tǒng)100 的登入頁面(S203),此時相當(dāng)于所述網(wǎng)頁瀏覽器112向所述SSO伺月良器130請 求放在所述SSO祠服器130的SSO系統(tǒng)100的登入頁面。所述SSO伺服器130 判斷使用者是否第一次登入所述SSO系統(tǒng)100 (S205),若是則將所述SSO系統(tǒng) 100的登入頁面導(dǎo)向所述網(wǎng)頁瀏覽器112顯示,要求使用者輸入身份認(rèn)證信息, 在本實施例為帳號/密碼(S207)。
      當(dāng)使用者輸入帳號/密碼(S209)之后,SSO伺服器130向驗證伺服器140請 求驗證使用者輸入的帳號/密碼(S211)。驗證伺服器140對此帳號/密碼進(jìn)行驗證 (S213),此時驗證伺服器140需要向用來管理使用者身份認(rèn)證信息的數(shù)據(jù)庫(圖 中未繪示,如Oracle、 SQL Server等等)要求驗證。SSO伺服器130接收驗證伺 服器140回傳的驗證結(jié)果(S215),若驗證結(jié)果為驗證失敗,則SSO伺服器130 將驗證失敗的網(wǎng)頁導(dǎo)向網(wǎng)頁瀏覽器112顯示;若驗證結(jié)果表示驗證成功,則SSO 伺服器130產(chǎn)生一登入鑰匙(Sign On Key,簡稱為SOK)及一服務(wù)票據(jù)(Service Ticket,簡稱為ST)(S217),其中登入鑰匙(SOK)例如是依據(jù)使用者帳號、SSO伺 服器130的網(wǎng)址、鑰匙有效時間等信息編碼后的字串,用以提供是否已登入SSO 系統(tǒng)100的驗證;而服務(wù)票據(jù)(ST)例如是依據(jù)登入鑰匙(SOK)、Web應(yīng)用系統(tǒng)126 的名稱或網(wǎng)址等信息編碼后的字串,用以提供登入Web應(yīng)用系統(tǒng)126的驗證, 且可據(jù)以向SSO伺服器130請求其它Web應(yīng)用系統(tǒng)的服務(wù)票據(jù)(ST)而達(dá)成SSO 效果。SSO伺服器130將此登入鑰匙(SOK)寫入到用戶端計算機(jī)110中網(wǎng)頁瀏覽 器112的臨時文本文件Cookie 114 (S219),并將此服務(wù)票據(jù)(ST)回傳到網(wǎng)頁伺服 器120 (S221),即將此服務(wù)票據(jù)(ST)當(dāng)作參數(shù)加在Web應(yīng)用系統(tǒng)126的URL后 面來回4專。
      系統(tǒng)126,但是為了防止第三者在將此服務(wù)票據(jù)(ST)回傳到網(wǎng)頁伺服器120的時 候通過在URL后面加入其它服務(wù)票據(jù)(ST),進(jìn)而非法取得其它Web應(yīng)用系統(tǒng)的 使用權(quán)限,因此在網(wǎng)頁伺服器120取得此服務(wù)票據(jù)(ST)之后,必須先向SSO伺 服器130請求驗證(S223)。 SSO伺服器130對服務(wù)票據(jù)(ST)及其相應(yīng)的Web應(yīng)用系統(tǒng)126的名稱或網(wǎng)址進(jìn)行驗證(S225),若驗證失敗,則SSO伺服器130將 驗證失敗的網(wǎng)頁導(dǎo)向網(wǎng)頁瀏覽器112顯示;若驗證成功,則SSO伺服器130回 傳前述第一次登入使用者所輸入且經(jīng)過驗證成功的帳號到網(wǎng)頁伺服器120 (S227),網(wǎng)頁伺服器120將以此帳號登入Web應(yīng)用系統(tǒng)126 (S229),并將Web 應(yīng)用系統(tǒng)126登入后的首頁重導(dǎo)到網(wǎng)頁瀏覽器112顯示(S231),此時使用者可通 過網(wǎng)頁瀏覽器112以此帳號操作Web應(yīng)用系統(tǒng)126。
      在此必須說明,圖2A及圖2B所示僅是本發(fā)明的單一登入方法在使用者預(yù) 備登入一 Web應(yīng)用系統(tǒng)126的一實施例,但并非僅限于此。事實上,只要第一 次登入后可產(chǎn)生登入鑰匙(SOK)且登入鑰匙(SOK)可通過網(wǎng)絡(luò)流通散播的單一登 入方法均適用于本發(fā)明。另外,在步驟S207、 S209、 S211由于會傳送帳號/密 碼,因此必須采用如SSL、 TLS等的網(wǎng)絡(luò)安全傳輸協(xié)議來傳送信息。
      請再同時參照圖1、圖3A及圖3B,在已登入SSO系統(tǒng)100的前提下,即 SSO系統(tǒng)100已產(chǎn)生有登入鑰匙(SOK),使用者預(yù)備登入Non-Web應(yīng)用系統(tǒng)116。 使用者在網(wǎng)頁瀏覽器112所顯示的網(wǎng)頁上點擊與Non-Web應(yīng)用系統(tǒng)116有關(guān)的 超鏈接(hyperlink),這個超鏈接將鏈接導(dǎo)到一網(wǎng)頁伺服器,例如是網(wǎng)頁伺服器120 (S301),接著這個網(wǎng)頁伺服器120再將這個鏈接導(dǎo)到SSO伺服器130的JNLP 文件產(chǎn)生程序132 (S303),其中JNLP為Java Network Launching Protocol (Java 網(wǎng)絡(luò)載入?yún)f(xié)議)的簡稱。JNLP文件產(chǎn)生程序132其實是一個在伺服器上執(zhí)行的程 序(servlet),用以動態(tài)產(chǎn)生JNLP文件,而JNLP文件用以觸發(fā)本地端計算機(jī)的 Java Web Start (簡稱JWS)應(yīng)用程序。
      當(dāng)使用者借著用戶端計算機(jī)110的網(wǎng)頁瀏覽器112對網(wǎng)頁伺服器12 0進(jìn)行 要求時,網(wǎng)頁瀏覽器112會對網(wǎng)頁伺服器120送出一些信息,如表單、Cookie 等信息,這些信息將會儲存在網(wǎng)頁伺服器120的Request物件中。當(dāng)網(wǎng)頁伺服器 120將鏈接導(dǎo)到SSO伺服器130,這些網(wǎng)頁瀏覽器112送出的信息會跟著傳送并 儲存在SSO伺服器130的R叫uest物件中。因此,在JNLP文件產(chǎn)生程序132 產(chǎn)生JNLP文件的過程中,就可以借著Request物件的操作而從SSO伺服器130 的Request物件所包含的Cookie中取得登入鑰匙(SOK),此相當(dāng)于JNLP文件產(chǎn) 生程序132從用戶端計算機(jī)110抓取Cookie 114中的登入鑰匙(SOK)(S305),將 其作為一個參數(shù)加入JNLP文件中(S307)。接著網(wǎng)頁瀏覽器112自動讀取JNLP 文件而觸發(fā)用戶端計算機(jī)110的JWS應(yīng)用程序(S309), JWS應(yīng)用程序接著從SSO 伺服器130下載一啟動程序134 (S311)暫存在用戶端計算機(jī)110,并執(zhí)行此啟動程序134(S3B)。此時啟動程序134已借著JNLP文件取得登入鑰匙(SOK),接 下來啟動程序134將通過網(wǎng)絡(luò)服務(wù)安全(web service security)機(jī)制向SSO伺服器 130請求驗證登入鑰匙(SOK),驗證成功則得以登入并啟動Non-Web應(yīng)用系統(tǒng) 116而不需要使用者再進(jìn)行一次登入動作,達(dá)到SSO效果。
      以下將詳細(xì)說明啟動程序134通過網(wǎng)絡(luò)服務(wù)安全機(jī)制向SSO伺服器130請 求驗證登入鑰匙(SOK),驗證成功則得以登入并啟動Non-Web應(yīng)用系統(tǒng)116。首
      這個公鑰是公開而可供下載,任何要傳送到SSO伺服器130的信息均可以此公 鑰加密,SSO伺服器130接收到以此公鑰加密的信息后再以其私鑰解密即可取 得此信息,這個私鑰則是不公開而只有SSO伺服器130擁有。
      接著,用戶端計算機(jī)110隨機(jī)產(chǎn)生作對稱加密用的對稱鑰匙(SessionKey, 簡稱為SK)(S317),這個對稱鑰匙(SK)將連同登入鑰匙(SOK)以SSO伺服器130 的公鑰加密(S319)后再回傳給SSO伺服器130 (S321)。再來,SSO伺服器130 用SSO伺服器130的私鑰解密取得對稱鑰匙(SK)及登入鑰匙(SOK)(S323),此時 用戶端計算機(jī)110及SSO伺服器130都擁有對稱鑰匙(SK),因此SSO伺服器130 可以此對稱鑰匙(SK)加密信息后再傳送到用戶端計算機(jī)110,用戶端計算機(jī)110 就可以此對稱鑰匙(SK)解密而取得SSO伺服器130傳送的信息。
      SSO伺服器130用私鑰解密后還會取得登入鑰匙(SOK),其會向驗證伺服器 140請求驗證此登入鑰匙(SOK)(S325)。驗證伺服器140對登入鑰匙(SOK)進(jìn)行驗 證(S327)后將驗證結(jié)果回傳SSO祠服器130 (S329),若驗證結(jié)果為驗證失敗,則 SSO伺服器130將驗證失敗的網(wǎng)頁導(dǎo)向網(wǎng)頁瀏覽器112顯示;若驗證結(jié)果表示 驗證成功,表示使用者已經(jīng)輸入帳號/密碼成功登入過SSO系統(tǒng)100,因此SSO 伺服器130將此認(rèn)證后的帳號以對稱鑰匙(SK)加密(S331),然后回傳到用戶端計 算機(jī)110(S333)。最后,用戶端計算機(jī)IIO再以對稱鑰匙(SK)解密取得此認(rèn)證后 的巾長號,以此巾艮號登入用戶端計算才幾110上的Non-Web應(yīng)用系統(tǒng)116。
      綜上所述,本發(fā)明在已登入SSO系統(tǒng)100而在用戶端計算機(jī)110上設(shè)置有 登入鑰匙(SOK)的情形下,因采用Java Web Start技術(shù)而能在網(wǎng)頁瀏覽器112顯 示的網(wǎng)頁上點擊與Non-Web應(yīng)用系統(tǒng)116有關(guān)的超鏈接之后,動態(tài)產(chǎn)生JNLP 文件且加入登入鑰匙(SOK)作為一參數(shù),進(jìn)而在用戶端計算機(jī)110上執(zhí)行啟動程 序134,通過網(wǎng)絡(luò)服務(wù)安全機(jī)制傳送登入鑰匙(SOK)到SSO伺服器130配合驗證 伺服器140進(jìn)行驗證并回傳驗證結(jié)果,驗證成功則得以登入并啟動Non-Web應(yīng)用系統(tǒng)116。因此,在不影響原有Non-Web應(yīng)用系統(tǒng)架構(gòu)下達(dá)到Web及Non-Web 應(yīng)用系統(tǒng)之間的單一登入效果。
      以上說明對發(fā)明而言只是說明性的,而非限制性的,本領(lǐng)域普通技術(shù)人員 理解,在不脫離以下所附權(quán)利要求所限定的精神和范圍的情況下,可做出許多 修改,變化,或等效,但都將落入本發(fā)明的保護(hù)范圍內(nèi)。
      權(quán)利要求
      1、一種單一登入方法,適用于一單一登入系統(tǒng),所述單一登入系統(tǒng)包括一用戶端計算機(jī)、一單一登入伺服器以及一驗證伺服器,所述用戶端計算機(jī)中安裝一Non-Web應(yīng)用系統(tǒng),其特征在于,所述單一登入方法包括在以一身份認(rèn)證信息第一次成功登入所述單一登入系統(tǒng)后,所述單一登入伺服器產(chǎn)生一登入鑰匙并存放在所述用戶端計算機(jī)中;在網(wǎng)頁上點擊與所述Non-Web應(yīng)用系統(tǒng)有關(guān)的一超鏈接,以啟動所述超鏈接所鏈接到的一JNLP文件產(chǎn)生程序,所述JNLP文件產(chǎn)生程序在所述單一登入伺服器中執(zhí)行;所述JNLP文件產(chǎn)生程序動態(tài)產(chǎn)生一JNLP文件,并抓取所述用戶端計算機(jī)中的登入鑰匙作為所述JNLP文件的參數(shù);所述用戶端計算機(jī)讀取所述JNLP文件,以觸發(fā)安裝在所述用戶端計算機(jī)的Java Web Start應(yīng)用程序;所述用戶端計算機(jī)從所述單一登入伺服器下載一啟動程序,并在所述用戶端計算機(jī)中執(zhí)行所述啟動程序;所述啟動程序?qū)⒂伤鯦NLP文件取得的所述登入鑰匙通過一網(wǎng)絡(luò)服務(wù)向所述單一登入伺服器要求驗證,若驗證成功,則所述單一登入伺服器將經(jīng)過認(rèn)證后的所述身份認(rèn)證信息回傳到所述用戶端計算機(jī);以及所述啟動程序以經(jīng)過認(rèn)證后的所述身份認(rèn)證信息登入并啟動所述Non-Web應(yīng)用系統(tǒng)。
      2、 如權(quán)利要求1所述的單一登入方法,其特征在于,所述網(wǎng)絡(luò)服務(wù)包括 所述用戶端計算機(jī)從所述單一登入伺服器下載取得所述單一登入伺服器的公鑰;所述用戶端計算機(jī)隨機(jī)產(chǎn)生作對稱加密用的一對稱鑰匙;所述用戶端計算機(jī)以所述單一登入伺服器的公鑰加密所述對稱鑰匙及所述 登入鑰匙后密后回傳給所述單 一登入伺服器;所述單一登入伺服器以所述單一登入伺服器的私鑰解密,取得所述對稱鑰 匙及所述登入鑰匙;以及所述單一登入伺服器向所述驗證伺服器請求驗證所述登入鑰匙,若驗證成 功,則以所述對稱鑰匙加密取得驗證的身份認(rèn)證信息并回傳給到所述用戶端計算機(jī),而所述用戶端計算機(jī)以所述對稱鑰匙解密取得經(jīng)過認(rèn)證后的身份認(rèn)證信自
      3、 如權(quán)利要求1所述的單一登入方法,其特征在于,所述用戶端計算機(jī)包括個人計算機(jī)、行動電話或個人數(shù)字助理。
      4、 如權(quán)利要求1所述的單一登入方法,其特征在于,所述登入鑰匙存放在所述用戶端計算機(jī)的Cookie中。
      5、 如權(quán)利要求1所述的單一登入方法,其特征在于,所述身份認(rèn)證信息包括帳號及密碼。
      全文摘要
      本發(fā)明提供了一種適用于單一登入系統(tǒng)的單一登入方法,所述單一登入系統(tǒng)包括用戶端計算機(jī)、單一登入伺服器以及驗證伺服器,且用戶端計算機(jī)中安裝Non-Web應(yīng)用系統(tǒng)。在已登入此單一登入系統(tǒng)而在用戶端計算機(jī)上設(shè)置有登入鑰匙的情形下,因采用Java Web Start技術(shù)而能在網(wǎng)頁瀏覽器顯示的網(wǎng)頁上點擊與Non-Web應(yīng)用系統(tǒng)有關(guān)的超鏈接之后,動態(tài)產(chǎn)生JNLP文件且加入登入鑰匙作為一參數(shù),進(jìn)而在用戶端計算機(jī)上執(zhí)行啟動程序,通過網(wǎng)絡(luò)服務(wù)安全機(jī)制傳送登入鑰匙到單一登入伺服器配合驗證伺服器進(jìn)行驗證并回傳驗證結(jié)果,驗證成功則得以登入并啟動Non-Web應(yīng)用系統(tǒng)。因此,在不影響原有Non-Web應(yīng)用系統(tǒng)架構(gòu)下達(dá)到Web及Non-Web應(yīng)用系統(tǒng)之間的單一登入效果。
      文檔編號H04L29/06GK101656714SQ20081014629
      公開日2010年2月24日 申請日期2008年8月18日 優(yōu)先權(quán)日2008年8月18日
      發(fā)明者曾信誠 申請人:鼎新電腦股份有限公司
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評論。精彩留言會獲得點贊!
      1