專利名稱：一種基于saml的單點登錄模式設(shè)計的認(rèn)證平臺的制作方法
技術(shù)領(lǐng)域：
本發(fā)明涉及單點登錄模式設(shè)計的認(rèn)證平臺，特別涉及基于SAML的單點登錄模式設(shè)計的認(rèn)證平臺。
背景技術(shù)：
隨著信息技術(shù)和網(wǎng)絡(luò)技術(shù)在企業(yè)中的廣泛應(yīng)用，很多企業(yè)擁有各種各樣的應(yīng)用系統(tǒng)和業(yè)務(wù)系統(tǒng)，如OA系統(tǒng)，CRM客戶管理系統(tǒng)，財務(wù)系統(tǒng)等。這些應(yīng)用系統(tǒng)所涵蓋的功能，服務(wù)能為用戶帶來諸多好處。每個業(yè)務(wù)平臺都有ー套獨立的身份驗證機(jī)制。用戶信息沒有采用集中管理，造成用戶信息重復(fù)錄入，管理混亂；用戶需要記憶多個業(yè)務(wù)平臺的帳號、密碼，在不同應(yīng)用平臺登錄時需進(jìn)行多次輸入用戶名和密碼的繁瑣操作，這給用戶帶來極大的不便，嚴(yán)重影響了用戶體驗的同時降低了系統(tǒng)的使用效率。

發(fā)明內(nèi)容
本發(fā)明的目的是為了提高用戶體驗，提高系統(tǒng)的使用效率，實現(xiàn)在各應(yīng)用平臺進(jìn)行統(tǒng)ー認(rèn)證鑒權(quán)，從而實現(xiàn)用戶的單點登錄。在用戶身份憑證有效期內(nèi)，都不需要再次進(jìn)行認(rèn)證，用戶不需要記憶多個平臺的用戶帳號、密碼，省去多次輸入用戶名和密碼的繁瑣操作，實現(xiàn)“一次登陸，隨處訪問”的目標(biāo)。為此，本發(fā)明提出一種單點登錄系統(tǒng)按企業(yè)系統(tǒng)需求規(guī)劃構(gòu)建的統(tǒng)一身份認(rèn)證平臺，為企業(yè)用戶在各業(yè)務(wù)系統(tǒng)提供統(tǒng)ー的身份認(rèn)證和綜合安全服務(wù)，以實現(xiàn)平臺與平臺之間的信息交互，資源共享。為用戶提供多祥化的服務(wù)的同時省掉了重復(fù)登錄的操作，實現(xiàn)ー次登陸、隨處訪問的目標(biāo)。在受信任的平臺之間是統(tǒng)一授權(quán)和身份認(rèn)證，用戶只需輸入一次賬號和密碼，可在身份憑證有效期內(nèi)可隨處訪問。認(rèn)證中心與網(wǎng)站平臺的信息信息傳輸是通過數(shù)字簽名加密，用戶與平臺之間的網(wǎng)絡(luò)傳輸通過SSL加密。其中統(tǒng)ー認(rèn)證平臺具有以下功能統(tǒng)ー授權(quán)——認(rèn)證平臺為用戶統(tǒng)ー頒發(fā)數(shù)字簽名證書，作為用戶訪問平臺及各應(yīng)用系統(tǒng)的憑據(jù)，并對用戶訪問應(yīng)用系統(tǒng)的權(quán)限進(jìn)行授權(quán)。認(rèn)證接ロ——完善的認(rèn)證接ロ，讓多種應(yīng)用系統(tǒng)可以方便地通過接ロ使用本地認(rèn)證系統(tǒng)，統(tǒng)一認(rèn)證用戶身份。身份認(rèn)證——用戶在訪問平臺及各應(yīng)用系統(tǒng)時，都使用相同的憑據(jù)(即用戶的賬戶和密碼)證明其身份的真實性。單點登錄——用戶在通過平臺認(rèn)證后，可直接訪問已授權(quán)的各應(yīng)用系統(tǒng)，實現(xiàn)不同應(yīng)用系統(tǒng)的身份認(rèn)證共享，從而達(dá)到多應(yīng)用系統(tǒng)的單點登錄。數(shù)據(jù)共享一認(rèn)證平臺存儲了用戶的基本信息，所有應(yīng)用系統(tǒng)均可以充分利用這些信息，減少用戶信息的重復(fù)錄入。安全通道一平臺提供兩種安全通道ー種是應(yīng)用層安全通道，一種是網(wǎng)絡(luò)層安全通道。它們?yōu)閼?yīng)用之間提供安全的傳輸通道，保證其中傳輸?shù)臄?shù)據(jù)的安全性。、
為實現(xiàn)上述目的，本發(fā)明采用如下技術(shù)方案一種基于SAML的單點登錄模式設(shè)計的認(rèn)證平臺，由登錄模塊和認(rèn)證模塊兩個模塊共同完成，其中登錄模塊基于SAML2. 0協(xié)議使用兩種SAML格式的票據(jù)，分別是單點登錄票據(jù)和獲取單點登錄票據(jù)的請求票據(jù)，認(rèn)證模塊采用的是SSL的握手協(xié)議方式或PKI數(shù)字簽名證書認(rèn)證方式。本發(fā)明的有益效果在于，提高了用戶的工作效率，減少操作時間，降低用戶管理的復(fù)雜度，有效提升了用戶體驗。


圖I為申請請求票據(jù)的流程圖；圖2為驗證登錄票據(jù)的流程圖；圖3為登錄流程圖；圖4為登出流程圖；圖5為業(yè)務(wù)平臺到認(rèn)證中心之間數(shù)據(jù)傳送的簽名和驗證流程圖；圖6為認(rèn)證中心到業(yè)務(wù)平臺之間數(shù)據(jù)傳送的簽名和驗證流程圖。
具體實施例方式下面結(jié)合附圖和實施例對本發(fā)明作進(jìn)ー步詳細(xì)的說明。統(tǒng)ー認(rèn)證平臺完成用戶票據(jù)生成、會話管理、身份驗證、票據(jù)查詢、日志管理、加密算法、單點登錄和登出等功能，這些功能都是由登錄模塊和認(rèn)證模塊兩個模塊共同完成的。登錄模塊是決定著用戶是否可以登錄以及他們可以訪問哪些資源。它通過安全地管理用戶身份標(biāo)識并自動對業(yè)務(wù)平臺提交正確的用戶標(biāo)識來完成本功能。它簡化了最終用戶的登錄過程，通過引入數(shù)字證書或數(shù)字簽名等技術(shù)完成對用戶票據(jù)的認(rèn)證，減少了各種密碼、ロ令等信息的管理工作量，并增強(qiáng)了總體應(yīng)用的安全性。其中登錄模塊有會話管理、票據(jù)管理和日志管理等幾個主要功能組成。會話管理登錄會話信息管理，提供對用戶訪問的會話(Session)管理功能，保存用戶登錄應(yīng)用操作時所需要的信息。保證每個登錄用戶，都會保留一個與其唯一對應(yīng)的會話，利用共享會話(Session)功能，實現(xiàn)單點登錄。即用戶訪問其他受信業(yè)務(wù)平臺時無需用戶再次進(jìn)行登錄。票據(jù)管理票據(jù)管理負(fù)責(zé)為登錄用戶生成票據(jù)及票據(jù)注銷。用戶身份經(jīng)過認(rèn)證模塊驗證后，認(rèn)證模塊會將結(jié)果返回給登錄模塊，系統(tǒng)收到到返回結(jié)果后會賦予其相應(yīng)的票據(jù)，持有該 票據(jù)，用戶就可以通過此票據(jù)能正確的進(jìn)入目標(biāo)業(yè)務(wù)平臺。當(dāng)用戶被注銷退出后，票據(jù)也會隨之失效，以防止其再次進(jìn)入系統(tǒng)，保證系統(tǒng)的安全。統(tǒng)ー認(rèn)證平臺基于SAML2. 0協(xié)議使用兩種SAML格式的票據(jù)，分別是單點登錄票據(jù)和獲取單點登錄票據(jù)的請求票據(jù)。用戶通過認(rèn)證平臺登錄，輸入用戶信息后根據(jù)輸入的用戶信息和其他控制信息，產(chǎn)生符合SAML2. 0格式的票據(jù)內(nèi)容，并簽名；同時鑒于安全性考慮對于用戶簽名不應(yīng)采用明文傳輸，而應(yīng)該采取一定的密鑰算法對票據(jù)進(jìn)行簽名加密。單點登錄平臺使用兩種SAML2. O格式票據(jù)，分別是SSO Ticket——單點登錄票據(jù)Ticket Granting Ticket-獲取單點登錄請求票據(jù)單點登錄的票據(jù)具有記錄用戶信息的功能部件，可以實現(xiàn)用戶在一次登錄后對各種應(yīng)用系統(tǒng)進(jìn)行訪 問而不需要再次輸入驗證信息，即滿足對于不同用戶在不同應(yīng)用系統(tǒng)的需求，并且能夠滿足安全需求的情況下，通過票據(jù)對用戶身份信息進(jìn)行驗證。為了認(rèn)證信息存儲的完備性、存儲的方便性、處理的方便性等應(yīng)對單點登錄票據(jù)進(jìn)行標(biāo)準(zhǔn)化要求，該系統(tǒng)中單點登錄票據(jù)基于SAML2. 0標(biāo)準(zhǔn)，井根據(jù)集團(tuán)自身需求進(jìn)行擴(kuò)展。具體要求如下 附帶簽名的數(shù)據(jù)結(jié)構(gòu)； 包含用戶身份信息、有效期、IP地址信息、屬性信息、認(rèn)證主體信息等數(shù)據(jù)； 包含票據(jù)有效期，防止票據(jù)冒用； 簽名信息保障票據(jù)不可修改、不可抵賴； 使用通信加密，加密票據(jù)中包含會話數(shù)據(jù)，以此防止票據(jù)冒用。如果用戶需要訪問應(yīng)用平臺A，若判斷沒有登錄情況下會重定向到認(rèn)證中心進(jìn)行登錄。認(rèn)證中心首先使用單點登錄會話數(shù)據(jù)申請功能，獲取單點登錄請求票據(jù)。此功能會根據(jù)用戶的請求消息提供的WD，應(yīng)用平臺URL，請求時間等格式獲取單點登錄的請求票據(jù)。通過認(rèn)證平臺的鑒權(quán)后，驗證其票據(jù)信息合法性；從中獲取申請數(shù)據(jù)包時間和本地時間進(jìn)行匹配驗證，防止申請包的過期重發(fā)；驗證數(shù)據(jù)庫中的相關(guān)記錄，然后才生成相應(yīng)的請求票據(jù)信息，存儲在認(rèn)證中心的會話表中，并返回請求票據(jù)給用戶。如圖I所示，申請請求票據(jù)的流程如下I、用戶輸入賬戶、密碼、圖形驗證碼或短信驗證碼等信息提交給統(tǒng)ー認(rèn)證中心處理。2、登錄模塊檢查用戶提交過來的信息格式。3、登錄模塊發(fā)出認(rèn)證請求道認(rèn)證模塊對用戶信息進(jìn)行鑒權(quán)。4、認(rèn)證模塊鑒權(quán)完畢后將返回認(rèn)證結(jié)果給登錄模塊。5、登錄模塊根據(jù)認(rèn)證模塊返回的認(rèn)證成功結(jié)果生成請求票據(jù)。統(tǒng)ー認(rèn)證中心在驗證通過數(shù)字簽名加密票據(jù)的合法性后，重置單點登錄會話表的相應(yīng)數(shù)據(jù)的有效性，返回檢查結(jié)果生成登錄票據(jù)，完成了單點登錄的整個流程。驗證登錄票據(jù)的流程如下I、業(yè)務(wù)平臺A攜帶查詢依據(jù)(請求票據(jù))請求統(tǒng)ー認(rèn)證中心平臺。2、經(jīng)校驗請求票據(jù)的合法性后，返回登錄票據(jù)給業(yè)務(wù)平臺A。3、業(yè)務(wù)平臺A驗證加密后的用戶身份票據(jù)憑證和會話數(shù)據(jù)。4、驗證通過后完成單點登錄。單點登錄認(rèn)證系統(tǒng)為各業(yè)務(wù)平臺提供了認(rèn)證服務(wù)。現(xiàn)描述用戶訪問各業(yè)務(wù)平臺過程中各相關(guān)系統(tǒng)之間的處理流程，其中包括用戶登錄流程、用戶登出流程。各業(yè)務(wù)平臺實現(xiàn)單點登錄流程總體思路是“用戶在認(rèn)證中心登錄成功后，則可任意訪問其他受信任的業(yè)務(wù)平臺。用戶登出則由認(rèn)證中心通知各業(yè)務(wù)平臺登出”。用戶登錄成功后的信息保存在認(rèn)證中心的登錄服務(wù)模塊的單點登錄會話中。登錄服務(wù)為用戶生成ー個查詢依據(jù)，登錄服務(wù)模塊通過瀏覽器重定向(SAML-AuthnResponse)到對應(yīng)的業(yè)務(wù)平臺。如圖3所示，其登錄流程為I、用戶訪問網(wǎng)站A，判斷沒有登錄重定向到統(tǒng)ー認(rèn)證中心。2、用戶提交相關(guān)信息后，認(rèn)證中心對用戶的信息進(jìn)行鑒權(quán)，生成請求票據(jù)。3、認(rèn)證中心將生成的請求票據(jù)返回給網(wǎng)站A。4、網(wǎng)站A根據(jù)用戶的查詢依據(jù)向統(tǒng)ー認(rèn)證中心發(fā)出提取登錄票據(jù)的請求。5、統(tǒng)ー認(rèn)證中心根據(jù)用戶申請票據(jù)的依據(jù)生成登錄票據(jù)，并將登錄票據(jù)返回給網(wǎng)站A。6、網(wǎng)站A檢查登錄票據(jù)，若發(fā)現(xiàn)是無效的登錄票據(jù)則顯示錯誤信息，否則根據(jù)用戶提供的權(quán)限提供服務(wù)，完成單點登錄。如圖4所示，其登出流程為I、用戶從網(wǎng)站A請求登出(認(rèn)證中心的登錄模塊接收到登出請求)；2、認(rèn)證中心登錄服務(wù)模塊檢查用戶的登錄信息，并使登錄會話失效。3、認(rèn)證中心登錄模塊檢查該用戶在其他業(yè)務(wù)平臺的登錄情況，然后依次發(fā)出登出請求(SAML-LogoutRequest),并等待處理結(jié)果。4、等該用戶所登錄過的業(yè)務(wù)平臺的登出操作完成后，認(rèn)證中心回復(fù)網(wǎng)站A登出結(jié)果(SAML-LogoutResponse)。5、網(wǎng)站A受到登出結(jié)果后，做用戶登出本網(wǎng)站的處理，清除用戶登錄會話。認(rèn)證模塊是確認(rèn)用戶身份是否合法，鑒權(quán)，然后才允許訪問授權(quán)的應(yīng)用系統(tǒng)，以達(dá)到安全登錄和訪問的目的。認(rèn)證模塊主要由認(rèn)證服務(wù)和授權(quán)服務(wù)組成。認(rèn)證服務(wù)身份認(rèn)證是權(quán)限控制的基礎(chǔ)。統(tǒng)ー認(rèn)證平臺提供了對用戶的密碼驗證和短信隨機(jī)碼驗證的雙向身份驗證，可采用的是SSL的握手協(xié)議方式或PKI數(shù)字簽名證書認(rèn)證方式。在用戶身份通過驗證后，就可以獲得系統(tǒng)頒發(fā)的票據(jù)，憑借此票據(jù)，用戶能夠訪問受SSO保護(hù)的應(yīng)用系統(tǒng)。授權(quán)服務(wù)通過集中的授權(quán)服務(wù)擺脫了以往復(fù)雜繁瑣的ACL權(quán)限分配方式，實現(xiàn)了基于角色的權(quán)限管理模型，可以根據(jù)用戶身份和現(xiàn)有應(yīng)用資源建立對應(yīng)的訪問權(quán)限。用戶登錄業(yè)務(wù)平臺后，統(tǒng)ー認(rèn)證中心會自動賦予其相應(yīng)的權(quán)限，用戶就可以順利的訪問權(quán)限范圍內(nèi)的各種應(yīng)用系統(tǒng)和資源。統(tǒng)ー認(rèn)證平臺需要統(tǒng)ー管理用戶信息，用戶在各系統(tǒng)只有ー個唯一的標(biāo)識。數(shù)據(jù)庫存儲了所有關(guān)于用戶、組、資源、應(yīng)用、登錄參數(shù)和訪問控制規(guī)則等信息。支持LDAP以及關(guān)系型數(shù)據(jù)庫等。、
由于SAML在兩個擁有共享用戶的站點間建立了信任關(guān)系，所以安全性是需考慮的ー個非常重要的因素。保護(hù)SAML源站點和目標(biāo)站點之間通信的安全，源站點和目標(biāo)站點之間的所有通信都需要經(jīng)過加密。為確保參與SAML交互的雙方站點都能驗證對方的身份，統(tǒng)ー認(rèn)證中心與各業(yè)務(wù)平臺的通訊可使用數(shù)字簽名加密完成，確保系統(tǒng)的傳輸安全。為了確保用戶信息和統(tǒng)ー認(rèn)證中心平臺以及各業(yè)務(wù)平臺的安全性，需要對用戶身份憑證的安全性提出如下方案I)使用SSL 3. 0保證身份認(rèn)證憑證的消息完整性和消息保密性；2)使用SSL 3. 0技術(shù)和XML簽名技術(shù)保證身份認(rèn)證憑證的驗證請求；3)使用SSL 3. 0保證身份認(rèn)證憑證的消息完整性和消息保密性；使用SSL 3. 0安全技術(shù)和XML簽名技術(shù)保證身份認(rèn)證憑證的驗證請求與返回結(jié)果的消息完整性和不可篡改。用戶瀏覽器訪問統(tǒng)ー認(rèn)證中心或訪問各業(yè)務(wù)平臺傳送身份認(rèn)證憑證的通信過程采用SSL通道進(jìn)行加密傳輸。I)用戶在瀏覽器中輸入用戶名/密碼提交到登錄服務(wù)器的通信過程采用SSL通道進(jìn)行加密傳輸；2)用戶攜帶用戶請求票據(jù)訪問業(yè)務(wù)平臺系統(tǒng)的通信過程采用SSL通道進(jìn)行加密傳輸；3)簽名加密算法shal_DSA，DSA 密鑰位數(shù) 1024(2048)；4)證書保存格式X. 509。公共密鑰基礎(chǔ)設(shè)施PKI使得廣大公眾能夠使用像數(shù)字簽名和XML加密這樣的技術(shù)。數(shù)字簽名和XML加密的核心是密鑰，密鑰用于數(shù)字簽署文檔和驗證簽名，也用于加密和解密過程。對于數(shù)字簽名來說，發(fā)送方不能抵賴，接收方步能偽造。圖5給出了業(yè)務(wù)平臺到認(rèn)證中心之間數(shù)據(jù)傳送的簽名和驗證流程，圖6給出了認(rèn)證中心到業(yè)務(wù)平臺之間數(shù)據(jù)傳送的簽名和驗證流程。從以上簽名流程可以看出，在單點登錄系統(tǒng)中，由于統(tǒng)ー認(rèn)證平臺和業(yè)務(wù)平臺之前存在雙向的數(shù)據(jù)交互，需要進(jìn)行雙向的簽名，毎次交互，系統(tǒng)需要使用到兩種密鑰 統(tǒng)ー認(rèn)證中心的公鑰和私鑰只有ー套，業(yè)務(wù)平臺接入時認(rèn)證中心將公鑰發(fā)放給各平臺，私鑰由認(rèn)證中心保管使用。 業(yè)務(wù)平臺的公鑰和私鑰每個業(yè)務(wù)平臺ー套，公鑰由認(rèn)證中心保管使用，私鑰由各業(yè)務(wù)平臺保管使用。單點登錄技術(shù)和身份授權(quán)兩者是相輔相成的，授權(quán)是單點登錄的核心技木。沒有身份認(rèn)證的訪問授權(quán)是不安全的，沒有訪問授權(quán)的身份認(rèn)證時沒有意義的。本發(fā)明采用的技術(shù)是基于SAML的單點登錄模式設(shè)計的認(rèn)證平臺中心，并通過自定義的票據(jù)格式設(shè)計，實現(xiàn)了信息的安全傳輸?；赟AML的XML格式保存的用戶信息還基于KPI電子簽名技術(shù)認(rèn)證。該單點登錄系統(tǒng)采用了 SAML架構(gòu)和協(xié)議，采用対稱的加密方式對用戶信息進(jìn)行加密，使得系統(tǒng)性能和呑吐能力大大提高。其次，本系統(tǒng)還加入了審計功能，并在每次驗證 請求時都會對用戶的行為進(jìn)行記錄，可以詳細(xì)的分析用戶行為，有利于業(yè)務(wù)的推廣。以上所述僅為本發(fā)明的較佳實施例，并不用于限制本發(fā)明，凡在本發(fā)明的精神和原則之內(nèi)所作定的任何修改、等同替換和改進(jìn)等，都應(yīng)包含在本發(fā)明保護(hù)范圍之內(nèi)。
權(quán)利要求
1.一種基于SAML的單點登錄模式設(shè)計的認(rèn)證平臺，由登錄模塊和認(rèn)證模塊兩個模塊共同完成，其特征在于，所述的登錄模塊基于SAML2. O協(xié)議使用兩種SAML格式的票據(jù)，分別是單點登錄票據(jù)和獲取單點登錄票據(jù)的請求票據(jù)，所述的認(rèn)證模塊采用的是SSL的握手協(xié)議方式或PKI數(shù)字簽名證書認(rèn)證方式。
2.如權(quán)利要求I所述的認(rèn)證平臺，其特征在干，申請請求票據(jù)的流程如下 1)用戶輸入賬戶、密碼、圖形驗證碼或短信驗證碼等信息提交給統(tǒng)ー認(rèn)證中心處理； 2)登錄模塊檢查用戶提交過來的信息格式； 3)登錄模塊發(fā)出認(rèn)證請求道認(rèn)證模塊對用戶信息進(jìn)行鑒權(quán)； 4)認(rèn)證模塊鑒權(quán)完畢后將返回認(rèn)證結(jié)果給登錄模塊； 5)登錄模塊根據(jù)認(rèn)證模塊返回的認(rèn)證成功結(jié)果生成請求票據(jù)。
3.如權(quán)利要求I所述的認(rèn)證平臺，其特征在干，驗證單點登錄票據(jù)的流程如下 1)業(yè)務(wù)平臺A攜帶請求票據(jù)請求統(tǒng)ー認(rèn)證中心平臺； 2)校驗請求票據(jù)的合法性后，返回登錄票據(jù)給業(yè)務(wù)平臺A； 3)業(yè)務(wù)平臺A驗證加密后的用戶身份票據(jù)憑證和會話數(shù)據(jù)； 4)驗證通過后完成單點登錄。
4.如權(quán)利要求I所述的認(rèn)證平臺，其特征在于，登錄流程為 1)用戶訪問網(wǎng)站A，判斷沒有登錄重定向到統(tǒng)ー認(rèn)證中心； 2)用戶提交相關(guān)信息后，認(rèn)證中心對用戶的信息進(jìn)行鑒權(quán)，生成請求票據(jù)； 3)認(rèn)證中心將生成的請求票據(jù)返回給網(wǎng)站A; 4)網(wǎng)站A根據(jù)用戶的查詢依據(jù)向統(tǒng)ー認(rèn)證中心發(fā)出提取登錄票據(jù)的請求； 5)統(tǒng)ー認(rèn)證中心根據(jù)用戶申請票據(jù)的依據(jù)生成登錄票據(jù)，并將登錄票據(jù)返回給網(wǎng)站A ； 6)網(wǎng)站A檢查登錄票據(jù)，若發(fā)現(xiàn)是無效的登錄票據(jù)則顯示錯誤信息，否則根據(jù)用戶提供的權(quán)限提供服務(wù)，完成單點登錄。
5.如權(quán)利要求I所述的認(rèn)證平臺，其特征在于，登出流程為 1)用戶從網(wǎng)站A請求登出，認(rèn)證中心的登錄模塊接收到登出請求； 2)認(rèn)證中心登錄服務(wù)模塊檢查用戶的登錄信息，并使登錄會話失效； 3)認(rèn)證中心登錄模塊檢查該用戶在其他業(yè)務(wù)平臺的登錄情況，然后依次發(fā)出登出請求，并等待處理結(jié)果； 4)等該用戶所登錄過的業(yè)務(wù)平臺的登出操作完成后，認(rèn)證中心回復(fù)網(wǎng)站A登出結(jié)果； 5)網(wǎng)站A受到登出結(jié)果后，做用戶登出本網(wǎng)站的處理，清除用戶登錄會話。
全文摘要
本發(fā)明公開了一種基于SAML的單點登錄模式設(shè)計的認(rèn)證平臺，由登錄模塊和認(rèn)證模塊兩個模塊共同完成，登錄模塊基于SAML2.0協(xié)議使用兩種SAML格式的票據(jù)，分別是單點登錄票據(jù)和獲取單點登錄票據(jù)的請求票據(jù)，認(rèn)證模塊采用的是SSL的握手協(xié)議方式或PKI數(shù)字簽名證書認(rèn)證方式。本發(fā)明實現(xiàn)了在各應(yīng)用平臺進(jìn)行統(tǒng)一認(rèn)證鑒權(quán)，從而實現(xiàn)用戶的單點登錄。在用戶身份憑證有效期內(nèi)，都不需要再次進(jìn)行認(rèn)證，用戶不需要記憶多個平臺的用戶帳號、密碼，省去多次輸入用戶名和密碼的繁瑣操作，實現(xiàn)“一次登陸，隨處訪問”的目標(biāo)，提高了用戶的工作效率，減少操作時間，降低用戶管理的復(fù)雜度，有效提升了用戶體驗。
文檔編號H04L29/06GK102655494SQ20111004843
公開日2012年9月5日 申請日期2011年3月1日 優(yōu)先權(quán)日2011年3月1日
發(fā)明者李偉, 溫文全 申請人:廣州從興電子開發(fā)有限公司