專利名稱:基于應(yīng)用層身份信息同步單點(diǎn)登錄方法
技術(shù)領(lǐng)域:
本發(fā)明涉及基于應(yīng)用層身份信息同步單點(diǎn)登錄方法���,它是通過應(yīng)用層完成應(yīng)用系
統(tǒng)與目錄之間的身份信息同步,從而實(shí)現(xiàn)用戶單點(diǎn)登錄��。
背景技術(shù):
隨著國(guó)內(nèi)經(jīng)濟(jì)實(shí)力提升�,企業(yè)的信息系統(tǒng)越來越多,用戶需要記錄大量的系統(tǒng)賬 號(hào)和口令�,維護(hù)這些賬號(hào)和口令給用戶帶來了諸多不便,特別是企業(yè)門戶系統(tǒng)的建設(shè)����,需要 實(shí)現(xiàn)接入系統(tǒng)的單點(diǎn)登錄。單點(diǎn)登錄實(shí)現(xiàn)主要是集中存儲(chǔ)身份信息��,然后代替用戶填寫應(yīng) 用系統(tǒng)的身份信息(用戶名和口令)�����,用戶一次可以登錄有權(quán)訪問的應(yīng)用系統(tǒng)�。當(dāng)用戶身 份信息更改時(shí)��,需要將目錄中集中存放的身份信息同步到業(yè)務(wù)應(yīng)用系統(tǒng)中�,保持目錄和業(yè) 務(wù)應(yīng)用系統(tǒng)身份信息一致���。當(dāng)前大多數(shù)目錄采用的數(shù)據(jù)庫(kù)層同步目錄創(chuàng)建同步驅(qū)動(dòng)�,由驅(qū) 動(dòng)同步數(shù)據(jù)至數(shù)據(jù)庫(kù)中間表��,再由中間表通過同步觸發(fā)器將數(shù)據(jù)傳送給業(yè)務(wù)應(yīng)用系統(tǒng)用戶 表�����。 從目錄建設(shè)實(shí)際情況�,采用數(shù)據(jù)庫(kù)層同步方式,目錄建設(shè)開發(fā)周期比較長(zhǎng)���,目錄與 集成的業(yè)務(wù)應(yīng)用系統(tǒng)緊密耦合�����,不利于推廣和維護(hù)。另外�,數(shù)據(jù)庫(kù)層同步方式在數(shù)據(jù)發(fā)生變 動(dòng)后立即將更新后的身份信息同步到業(yè)務(wù)系統(tǒng),用戶重新登錄系統(tǒng)時(shí)發(fā)生用戶信息的改變 即可�����,也就是使用更新用戶身份信息。
發(fā)明內(nèi)容
本發(fā)明的目的是提供一種基于應(yīng)用層身份信息同步單點(diǎn)登錄方法����,該方法區(qū)別于 當(dāng)前中心身份信息管理系統(tǒng)通過驅(qū)動(dòng)將用戶身份信息同步至業(yè)務(wù)應(yīng)用系統(tǒng)數(shù)據(jù)庫(kù),是基于 應(yīng)用層實(shí)現(xiàn)用戶登錄時(shí)���,中心身份信息管理系統(tǒng)同步用戶身份信息至業(yè)務(wù)應(yīng)用系統(tǒng)數(shù)據(jù)庫(kù) 的方法���。 本發(fā)明的基于應(yīng)用層身份信息同步單點(diǎn)登錄方法,涉及訪問代理服務(wù)器���、認(rèn)證服 務(wù)器����、目錄服務(wù)器��、應(yīng)用層及數(shù)據(jù)庫(kù)����,它包括三個(gè)流程統(tǒng)一目錄驗(yàn)證、業(yè)務(wù)應(yīng)用驗(yàn)證�����、身份 信息同步,具體步驟如下 步驟a:用戶發(fā)出訪問受保護(hù)業(yè)務(wù)應(yīng)用系統(tǒng)資源頁(yè)面的請(qǐng)求��,訪問代理服務(wù)器初 始化保護(hù)資源的頁(yè)面����,并將請(qǐng)求重定向至認(rèn)證服務(wù)器,同時(shí)傳遞給認(rèn)證服務(wù)器與用戶請(qǐng)求 資源相關(guān)的契約�����; 步驟b :訪問代理服務(wù)器和客戶端瀏覽器建立會(huì)話����,客戶端瀏覽器發(fā)送一個(gè)請(qǐng)求 至訪問代理服務(wù)器的登錄鏈接,該請(qǐng)求被訪問代理服務(wù)器重定向至認(rèn)證服務(wù)器的登錄頁(yè) 面�; 步驟C :用戶在登錄頁(yè)面中輸入目錄中登錄名和密碼等身份信息,該身份信息被 認(rèn)證服務(wù)器發(fā)送至目錄服務(wù)器認(rèn)證��,認(rèn)證成功后����,訪問代理服務(wù)器保持該用戶會(huì)話�,并向業(yè) 務(wù)應(yīng)用系統(tǒng)傳輸用戶身份信息�; 步驟d:業(yè)務(wù)應(yīng)用系統(tǒng)獲取登錄用戶身份信息��,并在本數(shù)據(jù)庫(kù)中驗(yàn)證���,如本數(shù)據(jù)庫(kù)無該用戶身份信息數(shù)據(jù)��,則添加�,否則發(fā)起目錄服務(wù)器用戶身份信息認(rèn)證請(qǐng)求����; 步驟e :業(yè)務(wù)應(yīng)用系統(tǒng)將沒有通過系統(tǒng)認(rèn)證的用戶身份信息發(fā)送至目錄服務(wù)器,
驗(yàn)證該用戶身份信息的合法性����; 步驟f :用戶身份信息第二次在目錄服務(wù)器中驗(yàn)證并被確認(rèn)合法后,業(yè)務(wù)應(yīng)用系 統(tǒng)同步用戶密碼等不一致的身份信息至本數(shù)據(jù)庫(kù)���; 步驟g:業(yè)務(wù)應(yīng)用定期比較目錄服務(wù)器與本數(shù)據(jù)庫(kù)用戶身份信息異同����,禁用目錄 服務(wù)器中已經(jīng)禁用或刪除的用戶數(shù)據(jù)����。 本發(fā)明的基于應(yīng)用層身份信息同步單點(diǎn)登錄方法�����,擇時(shí)二次驗(yàn)證用戶身份信息����, 通過應(yīng)用層標(biāo)準(zhǔn)接口方式同步用戶身份信息�����,它同數(shù)據(jù)庫(kù)層身份信息同步相比具有以下優(yōu) 點(diǎn) 1����、獨(dú)立于應(yīng)用系統(tǒng)的數(shù)據(jù)庫(kù),減少數(shù)據(jù)庫(kù)層面的耦合度�;
2、不需要單獨(dú)開發(fā)身份信息的驅(qū)動(dòng)���,降低投入費(fèi)用和開發(fā)周期��; 3�����、將即時(shí)信息同步改變?yōu)槭褂眯畔⑼?,成批更新身份信息,提高?shù)據(jù)庫(kù)的更新 效率和降低服務(wù)器的負(fù)載�; 4�、通過邏輯判斷代理服務(wù)器真?zhèn)危治鍪欠翊嬖诘谌吖?��,降低業(yè)務(wù)應(yīng)用和代 理服務(wù)器之間的契約要求�����。
圖1為本發(fā)明總體架構(gòu)圖��; 圖2為用戶通過單點(diǎn)登錄應(yīng)用系統(tǒng)的邏輯流程圖���。
具體實(shí)施方式
名稱解釋 (p,l, p,2)@Point :站點(diǎn)Point的參數(shù)1 (p,l)禾口參數(shù)2 (p,2) ; [(p,l���, para2)@point] ��, App :站點(diǎn)Point存儲(chǔ)App的參數(shù)1 (paral)禾口參數(shù)2(para2) ;Response : 響應(yīng)用戶請(qǐng)求����; Insert :在業(yè)務(wù)應(yīng)用系統(tǒng)中添加新用戶;
Update :業(yè)務(wù)應(yīng)用系統(tǒng)更新用戶身份信息
Reject :拒絕用戶請(qǐng)求��; 圖1是本發(fā)明的邏輯結(jié)構(gòu)��,主要包含三個(gè)部分統(tǒng)一 目錄驗(yàn)證(Verify艦D)�����、業(yè)務(wù) 應(yīng)用驗(yàn)證(VerifytAS)���、身份信息同步(SynID@AS)��。用如下形式表示完成的功能和應(yīng)用模 塊之間的關(guān)系 第一部分統(tǒng)一目錄驗(yàn)證(Verify艦D) 用戶發(fā)出訪問受保護(hù)業(yè)務(wù)應(yīng)用系統(tǒng)資源頁(yè)面的請(qǐng)求�����,訪問代理服務(wù)器初始化保護(hù) 資源的頁(yè)面��,并將請(qǐng)求重定向認(rèn)證服務(wù)器�,同時(shí)傳遞給認(rèn)證服務(wù)器與用戶請(qǐng)求資源相關(guān)的 契約����。訪問代理服務(wù)器告知瀏覽器初始化一個(gè)特殊會(huì)話,瀏覽器發(fā)送一個(gè)請(qǐng)求至訪問代理 服務(wù)器的登錄鏈接��,該請(qǐng)求被訪問代理服務(wù)器重定向至認(rèn)證服務(wù)器的登錄頁(yè)面。用戶輸入 身份信息�����,如果通過目錄服務(wù)器認(rèn)證��,該用戶身份信息進(jìn)入"Verify@AS"驗(yàn)證����,如果認(rèn)證失 敗����,訪問請(qǐng)求被拒絕;<formula>formula see original document page 5</formula> 第二部分業(yè)務(wù)應(yīng)用驗(yàn)證(Verify@AS) 業(yè)務(wù)應(yīng)用系統(tǒng)驗(yàn)證由訪問代理服務(wù)器傳送的用戶身份信息合法性�。如果本數(shù)據(jù)庫(kù) 中用戶身份信息與訪問代理服務(wù)器傳輸值保持一致,訪問用戶合法��,業(yè)務(wù)應(yīng)用系統(tǒng)返回請(qǐng) 求資源��。如果驗(yàn)證不成功�����,用戶身份信息進(jìn)入"SynlDtAS"驗(yàn)證���;
<formula>formula see original document page 5</formula>
第三部分身份信息同步(SynID@AS) 業(yè)務(wù)應(yīng)用系統(tǒng)判斷數(shù)據(jù)庫(kù)中用戶登錄名與由訪問代理服務(wù)器中獲取的用戶登錄
名(以下稱為"代理用戶名"同時(shí)稱由代理服務(wù)器獲取的密碼為"代理密碼")是否一致�。在
"代理用戶名"和"代理密碼"值同目錄服務(wù)器中所存的用戶名和密碼值一致的情況下,如果
"代理用戶名與目錄服務(wù)器中用戶登錄名不一致��,業(yè)務(wù)應(yīng)用系統(tǒng)插入用戶身份信息至本數(shù)
據(jù)庫(kù)中�;"代理用戶名"與本數(shù)據(jù)庫(kù)中用戶登錄名一致,但"代理密碼"與目錄服務(wù)器中用戶
密碼不一致���,業(yè)務(wù)應(yīng)用系統(tǒng)將本數(shù)據(jù)庫(kù)中密碼重置為新密碼�。"代理用戶名"和"代理密碼"
與目錄服務(wù)器中用戶名和用戶密碼都不一致����,該用戶身份信息被業(yè)務(wù)應(yīng)用系統(tǒng)認(rèn)定為源于
偽造訪問代理服務(wù)器,從而丟棄�。
<formula>formula see original document page 5</formula>
權(quán)利要求
一種基于應(yīng)用層身份信息同步單點(diǎn)登錄方法,涉及訪問代理服務(wù)器�����、認(rèn)證服務(wù)器�����、目錄服務(wù)器�、應(yīng)用層及數(shù)據(jù)庫(kù)����,其特征在于它包括三個(gè)流程統(tǒng)一目錄驗(yàn)證�、業(yè)務(wù)應(yīng)用驗(yàn)證、身份信息同步�,具體步驟如下步驟a用戶發(fā)出訪問受保護(hù)業(yè)務(wù)應(yīng)用系統(tǒng)資源頁(yè)面的請(qǐng)求,訪問代理服務(wù)器初始化保護(hù)資源的頁(yè)面�����,并將請(qǐng)求重定向認(rèn)證服務(wù)器��,同時(shí)傳遞給認(rèn)證服務(wù)器與用戶請(qǐng)求資源相關(guān)的契約���;步驟b訪問代理服務(wù)器和客戶端瀏覽器建立會(huì)話,客戶端瀏覽器發(fā)送一個(gè)請(qǐng)求至訪問代理服務(wù)器的登錄鏈接�����,該請(qǐng)求被訪問代理服務(wù)器重定向至認(rèn)證服務(wù)器的登錄頁(yè)面���;步驟c用戶在登錄頁(yè)面中輸入目錄中登錄名和密碼等身份信息�����,該身份信息被認(rèn)證服務(wù)器發(fā)送至目錄服務(wù)器認(rèn)證���,認(rèn)證成功后���,訪問代理服務(wù)器保持該用戶會(huì)話,并向業(yè)務(wù)應(yīng)用系統(tǒng)傳輸用戶身份信息����;步驟d業(yè)務(wù)應(yīng)用系統(tǒng)獲取登錄用戶身份信息,并在本數(shù)據(jù)庫(kù)中驗(yàn)證����,如本數(shù)據(jù)庫(kù)無該用戶身份信息數(shù)據(jù),則添加�����,否則發(fā)起目錄服務(wù)器用戶身份信息認(rèn)證請(qǐng)求��;步驟e業(yè)務(wù)應(yīng)用系統(tǒng)將沒有通過系統(tǒng)認(rèn)證的用戶身份信息發(fā)送至目錄服務(wù)器����,驗(yàn)證該用戶身份信息的合法性;步驟f用戶身份信息第二次在目錄服務(wù)器中驗(yàn)證并被確認(rèn)合法后�,業(yè)務(wù)應(yīng)用系統(tǒng)同步用戶密碼等不一致的身份信息至本數(shù)據(jù)庫(kù)����;步驟g業(yè)務(wù)應(yīng)用定期比較目錄服務(wù)器與本數(shù)據(jù)庫(kù)用戶身份信息異同�����,禁用目錄服務(wù)器中已經(jīng)禁用或刪除的用戶數(shù)據(jù)���。
全文摘要
本發(fā)明公開了一種基于應(yīng)用層身份信息同步單點(diǎn)登錄方法�����,該方法包括三個(gè)流程�����,統(tǒng)一目錄驗(yàn)證、業(yè)務(wù)應(yīng)用驗(yàn)證����、身份信息同步,用戶需先通過目錄驗(yàn)證后�,在訪問代理服務(wù)器、應(yīng)用層����、數(shù)據(jù)庫(kù)��、目錄服務(wù)器之間實(shí)現(xiàn)業(yè)務(wù)應(yīng)用驗(yàn)證和身份信息同步���,從而實(shí)現(xiàn)新增用戶(更改用戶身份信息)的操作。該方法的主要優(yōu)點(diǎn)是獨(dú)立于應(yīng)用系統(tǒng)的數(shù)據(jù)庫(kù)�����,減少數(shù)據(jù)庫(kù)層面的耦合度����;不需要單獨(dú)開發(fā)身份信息的驅(qū)動(dòng),降低投入費(fèi)用和開發(fā)周期��;將即時(shí)信息同步改變?yōu)槭褂眯畔⑼?�,成批更新身份信息���,提高?shù)據(jù)庫(kù)的更新效率和降低服務(wù)器的負(fù)載�����;通過邏輯判斷代理服務(wù)器真?zhèn)?��,分析是否存在第三者攻擊���,降低業(yè)務(wù)應(yīng)用和代理服務(wù)器之間的契約要求。
文檔編號(hào)H04L29/06GK101729540SQ20091018660
公開日2010年6月9日 申請(qǐng)日期2009年12月2日 優(yōu)先權(quán)日2009年12月2日
發(fā)明者劉顯明, 梁鍇, 陶振文, 馬勇 申請(qǐng)人:江西省電力信息通訊有限公司