專(zhuān)利名稱(chēng):通用認(rèn)證授權(quán)服務(wù)系統(tǒng)及方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種認(rèn)證授權(quán)服務(wù)系統(tǒng)及方法���,特別是涉及一種集中對(duì)用戶(hù)進(jìn)行認(rèn)證授權(quán)服務(wù)的系統(tǒng)及方法��。
背景技術(shù):
隨著網(wǎng)絡(luò)環(huán)境及技術(shù)的成熟���,網(wǎng)絡(luò)通訊已成為人們生活的一部分?;诒Wo(hù)通訊資料的完整性及隱密性,人們逐漸發(fā)展出認(rèn)證授權(quán)技術(shù)以對(duì)其通訊資料內(nèi)容進(jìn)行保護(hù)���,從而防止非授權(quán)用戶(hù)對(duì)資料進(jìn)行竊取與竄改���。
現(xiàn)在的應(yīng)用軟件系統(tǒng)開(kāi)發(fā)平臺(tái)很多,大部分以各自獨(dú)有的或者部分重復(fù)的方式進(jìn)行認(rèn)證授權(quán)����,這樣不但會(huì)增加各個(gè)應(yīng)用軟件系統(tǒng)的負(fù)擔(dān),加重研發(fā)人員的開(kāi)發(fā)及維護(hù)的投入�����,難于達(dá)到統(tǒng)一的安全規(guī)范,還會(huì)導(dǎo)致用戶(hù)信息分散存儲(chǔ)��,用戶(hù)需要保存因不同應(yīng)用軟件系統(tǒng)而存在的多份訪(fǎng)問(wèn)控制信息�,比如用戶(hù)名稱(chēng)和密碼,從而造成用戶(hù)使用和維護(hù)信息方面的不便�。
臺(tái)灣智慧財(cái)產(chǎn)局于2002年1月11日公告的公告標(biāo)號(hào)為472929,名稱(chēng)為“分布式動(dòng)態(tài)配置實(shí)時(shí)多點(diǎn)認(rèn)證服務(wù)器裝置”的專(zhuān)利�,其安全模塊擔(dān)任資料加解密及基礎(chǔ)儲(chǔ)存的工作,多點(diǎn)控制器將資料傳送到多個(gè)安全模塊并接受每個(gè)安全模塊傳送的數(shù)據(jù)�,動(dòng)態(tài)配置模塊負(fù)責(zé)分配安全模塊,驗(yàn)證流程單元負(fù)責(zé)資料驗(yàn)證流程的工作��,認(rèn)證效能統(tǒng)計(jì)單元計(jì)算分析每個(gè)安全模塊的負(fù)載并產(chǎn)生分析統(tǒng)計(jì)報(bào)表�����,容錯(cuò)處理單元偵測(cè)安全模塊的狀態(tài)并隔離產(chǎn)生故障的安全模塊以確保系統(tǒng)的正常運(yùn)作����,利用分布式動(dòng)態(tài)配置實(shí)時(shí)多點(diǎn)方式達(dá)成系統(tǒng)安全認(rèn)證的目的。上述專(zhuān)利雖然提供了一種分布式動(dòng)態(tài)配置實(shí)時(shí)多點(diǎn)認(rèn)證服務(wù)器裝置����,安全性有所提高����,但是在復(fù)雜的多種類(lèi)型用戶(hù)環(huán)境下�,無(wú)法對(duì)各種應(yīng)用服務(wù)系統(tǒng)的訪(fǎng)問(wèn)進(jìn)行安全、有效�、統(tǒng)一及可行的認(rèn)證授權(quán)�。
所以需要提供一種通用認(rèn)證授權(quán)服務(wù)系統(tǒng)及方法,其可在分布式網(wǎng)絡(luò)中實(shí)現(xiàn)集中式用戶(hù)認(rèn)證授權(quán)服務(wù)��。
發(fā)明內(nèi)容本發(fā)明的主要目的在于提供一種通用認(rèn)證授權(quán)服務(wù)系統(tǒng)及方法�����,其可在分布式網(wǎng)絡(luò)中實(shí)現(xiàn)集中式用戶(hù)認(rèn)證授權(quán)服務(wù)�。該系統(tǒng)包括一通用認(rèn)證授權(quán)(UAAS)服務(wù)器、多個(gè)客戶(hù)端計(jì)算機(jī)及一數(shù)據(jù)庫(kù)���。UAAS服務(wù)器用于在分布式網(wǎng)絡(luò)中實(shí)現(xiàn)集中式用戶(hù)認(rèn)證授權(quán)服務(wù)���,其包括一認(rèn)證裝置及一授權(quán)裝置??蛻?hù)端計(jì)算機(jī)提供一交互式用戶(hù)界面,以便于用戶(hù)輸入用戶(hù)名稱(chēng)及密碼����,并獲得授權(quán)憑證及服務(wù)憑證����,其包括一授權(quán)憑證獲取裝置及一服務(wù)憑證獲取裝置�。數(shù)據(jù)庫(kù)用于存儲(chǔ)用戶(hù)列表、授權(quán)憑證及服務(wù)憑證�。上述用戶(hù)列表為多個(gè)用戶(hù)的信息列表,包括用戶(hù)名稱(chēng)��、用戶(hù)標(biāo)識(shí)�、密碼、創(chuàng)建時(shí)間�、有效時(shí)間及每一用戶(hù)對(duì)多個(gè)應(yīng)用服務(wù)系統(tǒng)的訪(fǎng)問(wèn)權(quán)限。上述用戶(hù)標(biāo)識(shí)是用戶(hù)在不同應(yīng)用服務(wù)系統(tǒng)中指向UAAS服務(wù)器的唯一指針�����,從而起到保持用戶(hù)在多個(gè)應(yīng)用服務(wù)系統(tǒng)中信息一致性的作用���。上述密碼必須以安全的方式使用����,不可以明文在數(shù)據(jù)庫(kù)中存儲(chǔ)�����;上述密碼必須以安全的方式傳輸,不可以明文在網(wǎng)絡(luò)上傳輸���。上述創(chuàng)建時(shí)間指用戶(hù)注冊(cè)到UAAS服務(wù)器時(shí)的時(shí)間����。上述有效時(shí)間指用戶(hù)可以訪(fǎng)問(wèn)多個(gè)應(yīng)用服務(wù)系統(tǒng)的時(shí)間���。上述訪(fǎng)問(wèn)權(quán)限指瀏覽、修改及管理等權(quán)限�。上述應(yīng)用服務(wù)系統(tǒng)為用戶(hù)提供各種不同類(lèi)型的應(yīng)用服務(wù),如各種網(wǎng)站服務(wù)器���。上述授權(quán)憑證是用戶(hù)通過(guò)認(rèn)證后獲得的相關(guān)憑證�,其為一個(gè)包括用戶(hù)名稱(chēng)�、用戶(hù)標(biāo)識(shí)、創(chuàng)建時(shí)間及有效時(shí)間的封包��。只有獲得授權(quán)憑證后�����,UAAS服務(wù)器才有可能為用戶(hù)提供授權(quán)服務(wù)。上述服務(wù)憑證是用戶(hù)通過(guò)授權(quán)后獲得的相關(guān)憑證���,其為一個(gè)包括用戶(hù)對(duì)多個(gè)應(yīng)用服務(wù)系統(tǒng)的訪(fǎng)問(wèn)權(quán)限的封包��。只有獲得服務(wù)憑證后��,用戶(hù)才有可能獲得對(duì)多個(gè)應(yīng)用服務(wù)系統(tǒng)進(jìn)行訪(fǎng)問(wèn)的權(quán)限�����。
認(rèn)證裝置用于在分布式網(wǎng)絡(luò)中對(duì)用戶(hù)的身份進(jìn)行識(shí)別和確認(rèn)�,并生成授權(quán)憑證�����,其包括一用戶(hù)名稱(chēng)接收模塊���,用于接收用戶(hù)利用用戶(hù)界面輸入的用戶(hù)名稱(chēng)��;一用戶(hù)名稱(chēng)判斷模塊���,用于根據(jù)數(shù)據(jù)庫(kù)中存儲(chǔ)的用戶(hù)列表,判斷上述接收的用戶(hù)名稱(chēng)在數(shù)據(jù)庫(kù)中是否存在;一授權(quán)憑證生成模塊����,用于根據(jù)數(shù)據(jù)庫(kù)中存儲(chǔ)的用戶(hù)列表,生成授權(quán)憑證�����;一授權(quán)憑證密文生成模塊����,用于將上述授權(quán)憑證加密,生成授權(quán)憑證密文��;一授權(quán)憑證密文發(fā)放模塊�,用于將上述授權(quán)憑證密文發(fā)送給授權(quán)憑證獲取裝置�。
授權(quán)憑證獲取裝置用于獲取上述認(rèn)證裝置所生成的授權(quán)憑證,其包括一授權(quán)憑證密文接收模塊����,用于接收授權(quán)憑證密文發(fā)放模塊所發(fā)送的授權(quán)憑證密文;一密碼接收模塊��,用于接收用戶(hù)利用用戶(hù)界面輸入的密碼���;一授權(quán)憑證密文解密模塊��,用于根據(jù)上述接收的密碼�����,將上述授權(quán)憑證密文解密���,并判斷解密是否成功��,如果解密成功�����,則表示上述輸入的密碼正確�����,同時(shí)獲得認(rèn)證裝置所生成的授權(quán)憑證����;一密鑰生成模塊����,用于生成密鑰;一授權(quán)憑證發(fā)放模塊,用于將上述授權(quán)憑證傳給授權(quán)裝置�,并將該授權(quán)憑證存儲(chǔ)于數(shù)據(jù)庫(kù)中。
授權(quán)裝置用于在分布式網(wǎng)絡(luò)中確認(rèn)用戶(hù)對(duì)多個(gè)應(yīng)用服務(wù)系統(tǒng)的訪(fǎng)問(wèn)權(quán)限��,并生成服務(wù)憑證��,其包括一授權(quán)憑證接收模塊�,用于接收授權(quán)憑證發(fā)放模塊傳來(lái)的授權(quán)憑證;授權(quán)憑證判斷模塊�,用于判斷上述接收的授權(quán)認(rèn)證的有效性,如果超過(guò)有效時(shí)間��,則表示授權(quán)憑證無(wú)效��;一訪(fǎng)問(wèn)權(quán)限判斷模塊�����,用于根據(jù)數(shù)據(jù)庫(kù)中存儲(chǔ)的用戶(hù)列表��,判斷用戶(hù)對(duì)多個(gè)應(yīng)用服務(wù)系統(tǒng)的訪(fǎng)問(wèn)權(quán)限���,如瀏覽、修改及管理等權(quán)限�����;一服務(wù)憑證生成模塊,用于根據(jù)上述訪(fǎng)問(wèn)權(quán)限���,生成服務(wù)憑證���;一服務(wù)憑證密文生成模塊,用于將上述服務(wù)憑證加密��,生成服務(wù)憑證密文�����;一服務(wù)憑證密文發(fā)放模塊���,用于將上述服務(wù)憑證密文發(fā)送給服務(wù)憑證獲取裝置��。
服務(wù)憑證獲取裝置用于獲取上述授權(quán)裝置所生成的服務(wù)憑證���,其包括一服務(wù)憑證密文接收模塊,用于接收服務(wù)憑證密文發(fā)放模塊所發(fā)送的服務(wù)憑證密文���;一密鑰獲取模塊��,用于獲取上述授權(quán)憑證獲取裝置生成的密鑰�����;一服務(wù)憑證密文解密模塊��,用于根據(jù)上述獲取的密鑰�,將上述服務(wù)憑證密文解密,以獲得授權(quán)裝置所生成的服務(wù)憑證�����,并將該服務(wù)憑證存儲(chǔ)于數(shù)據(jù)庫(kù)中���。
本發(fā)明還提供一種通用認(rèn)證授權(quán)服務(wù)方法�����,其中����,認(rèn)證方法包括以下步驟(a)認(rèn)證裝置接收用戶(hù)輸入的用戶(hù)名稱(chēng)���;(b)判斷上述用戶(hù)名稱(chēng)在數(shù)據(jù)庫(kù)中是否存在���;(c)如果用戶(hù)名稱(chēng)存在,生成授權(quán)憑證��;(d)將上述授權(quán)憑證加密���,生成授權(quán)憑證密文�����;(e)發(fā)送上述授權(quán)憑證密文至客戶(hù)端計(jì)算機(jī)�;(f)上述客戶(hù)端計(jì)算機(jī)接收上述授權(quán)憑證密文����;(g)接收用戶(hù)輸入的密碼;(h)根據(jù)上述密碼�,將上述授權(quán)憑證密文解密,以獲得上述授權(quán)憑證����,并判斷解密是否成功;(i)如果解密成功��,則生成密鑰�;(h)將上述授權(quán)憑證傳給授權(quán)裝置�����,并將授權(quán)憑證存儲(chǔ)于數(shù)據(jù)庫(kù)中����。
授權(quán)方法包括以下步驟(a)授權(quán)裝置接收上述客戶(hù)端計(jì)算機(jī)傳來(lái)的授權(quán)憑證��;(b)判斷上述授權(quán)憑證的有效性�;(c)如果授權(quán)憑證有效,判斷用戶(hù)對(duì)多個(gè)應(yīng)用服務(wù)系統(tǒng)的訪(fǎng)問(wèn)權(quán)限�;(d)根據(jù)上述訪(fǎng)問(wèn)權(quán)限,生成服務(wù)憑證���;(e)將上述服務(wù)憑證加密�����,生成服務(wù)憑證密文�;(f)發(fā)送上述服務(wù)憑證密文至客戶(hù)端計(jì)算機(jī)�����;(g)上述客戶(hù)端計(jì)算機(jī)接收上述服務(wù)憑證密文�����;(h)獲取上述授權(quán)憑證獲取裝置生成的密鑰����;(i)根據(jù)上述獲取的密鑰,將上述服務(wù)憑證密文解密�����,以獲得上述生成的服務(wù)憑證��,并將該服務(wù)憑證存儲(chǔ)于數(shù)據(jù)庫(kù)中�。
利用本發(fā)明,可安全��、高效的在分布式網(wǎng)絡(luò)中實(shí)現(xiàn)集中式用戶(hù)認(rèn)證授權(quán)服務(wù)���。
圖1是本發(fā)明通用認(rèn)證授權(quán)服務(wù)系統(tǒng)的硬件架構(gòu)圖�����。
圖2是本發(fā)明通用認(rèn)證授權(quán)服務(wù)系統(tǒng)的UAAS服務(wù)器的功能架構(gòu)圖�。
圖3是本發(fā)明通用認(rèn)證授權(quán)服務(wù)系統(tǒng)的客戶(hù)端計(jì)算機(jī)的功能架構(gòu)圖��。
圖4是本發(fā)明通用認(rèn)證授權(quán)服務(wù)系統(tǒng)的認(rèn)證裝置的功能模塊圖。
圖5是本發(fā)明通用認(rèn)證授權(quán)服務(wù)系統(tǒng)的授權(quán)憑證獲取裝置的功能模塊圖�����。
圖6是本發(fā)明通用認(rèn)證授權(quán)服務(wù)系統(tǒng)的授權(quán)裝置的功能模塊圖���。
圖7是本發(fā)明通用認(rèn)證授權(quán)服務(wù)系統(tǒng)的服務(wù)憑證獲取裝置的功能模塊圖���。
圖8是本發(fā)明通用認(rèn)證授權(quán)服務(wù)方法的認(rèn)證作業(yè)流程圖。
圖9是本發(fā)明通用認(rèn)證授權(quán)服務(wù)方法的授權(quán)作業(yè)流程圖����。
實(shí)施方式
如圖1所示,是本發(fā)明通用認(rèn)證授權(quán)服務(wù)系統(tǒng)的硬件架構(gòu)圖�。該系統(tǒng)包括一通用認(rèn)證授權(quán)(UAAS)服務(wù)器1、一網(wǎng)絡(luò)2�����、多個(gè)客戶(hù)端計(jì)算機(jī)3�����、一連接4及一數(shù)據(jù)庫(kù)5。其中分布式分布的多個(gè)客戶(hù)端計(jì)算機(jī)3利用網(wǎng)絡(luò)2與UAAS服務(wù)器1相連��,網(wǎng)絡(luò)2可以是一企業(yè)內(nèi)部網(wǎng)(Intranet)����,也可以是互聯(lián)網(wǎng)(Internet)或其它類(lèi)型通訊網(wǎng)絡(luò)。UAAS服務(wù)器1利用連接4與數(shù)據(jù)庫(kù)5相連�����,連接4是一種數(shù)據(jù)庫(kù)連接�����,如開(kāi)放式數(shù)據(jù)庫(kù)連接(Open Database Connectivity�,ODBC)���,或者Java數(shù)據(jù)庫(kù)連接(Java Database Connectivity����,JDBC)�����。
UAAS服務(wù)器1用于在分布式網(wǎng)絡(luò)中實(shí)現(xiàn)集中式用戶(hù)認(rèn)證授權(quán)服務(wù)?�?蛻?hù)端計(jì)算機(jī)3提供一交互式用戶(hù)界面���,以便于用戶(hù)輸入用戶(hù)名稱(chēng)及密碼���,并獲得授權(quán)憑證及服務(wù)憑證。數(shù)據(jù)庫(kù)5用于存儲(chǔ)用戶(hù)列表�����、授權(quán)憑證及服務(wù)憑證���。上述用戶(hù)列表為多個(gè)用戶(hù)的信息列表����,包括用戶(hù)名稱(chēng)����、用戶(hù)標(biāo)識(shí)、密碼����、創(chuàng)建時(shí)間��、有效時(shí)間及每一用戶(hù)對(duì)多個(gè)應(yīng)用服務(wù)系統(tǒng)(圖中未標(biāo)示)的訪(fǎng)問(wèn)權(quán)限���。上述用戶(hù)標(biāo)識(shí)是用戶(hù)在不同應(yīng)用服務(wù)系統(tǒng)中指向UAAS服務(wù)器的唯一指針,從而起到保持用戶(hù)在多個(gè)應(yīng)用服務(wù)系統(tǒng)中信息一致性的作用�����。上述密碼必須以安全的方式使用���,不可以明文在數(shù)據(jù)庫(kù)5中存儲(chǔ)����;上述密碼必須以安全的方式傳輸�,不可以明文在網(wǎng)絡(luò)2上傳輸��。上述創(chuàng)建時(shí)間指用戶(hù)注冊(cè)到UAAS服務(wù)器時(shí)的時(shí)間��。上述有效時(shí)間指用戶(hù)可以訪(fǎng)問(wèn)多個(gè)應(yīng)用服務(wù)系統(tǒng)的時(shí)間�����。上述訪(fǎng)問(wèn)權(quán)限為瀏覽���、修改及管理等權(quán)限���。上述應(yīng)用服務(wù)系統(tǒng)為用戶(hù)提供各種不同類(lèi)型的應(yīng)用服務(wù)��,如各種網(wǎng)站服務(wù)器��。上述授權(quán)憑證是用戶(hù)通過(guò)認(rèn)證后獲得的相關(guān)憑證���,其為一個(gè)包括用戶(hù)名稱(chēng)、用戶(hù)標(biāo)識(shí)�����、創(chuàng)建時(shí)間及有效時(shí)間的封包����。只有獲得授權(quán)憑證后,UAAS服務(wù)器才有可能為用戶(hù)提供授權(quán)服務(wù)�。上述服務(wù)憑證是用戶(hù)通過(guò)授權(quán)后獲得的相關(guān)憑證,其為一個(gè)包括用戶(hù)對(duì)多個(gè)應(yīng)用服務(wù)系統(tǒng)的訪(fǎng)問(wèn)權(quán)限的封包��。只有獲得服務(wù)憑證后��,用戶(hù)才有可能獲得對(duì)多個(gè)應(yīng)用服務(wù)系統(tǒng)進(jìn)行訪(fǎng)問(wèn)的權(quán)限�。
如圖2所示�,是本發(fā)明通用認(rèn)證授權(quán)服務(wù)系統(tǒng)的UAAS服務(wù)器1的功能架構(gòu)圖��。UAAS服務(wù)器1用于在分布式網(wǎng)絡(luò)中實(shí)現(xiàn)集中式用戶(hù)認(rèn)證授權(quán)服務(wù)����,其包括一認(rèn)證裝置10及一授權(quán)裝置11。其中�,認(rèn)證裝置10用于在分布式網(wǎng)絡(luò)中對(duì)用戶(hù)的身份進(jìn)行識(shí)別和確認(rèn),并生成授權(quán)憑證��,其包括一系列功能模塊(如圖4所示)�;授權(quán)裝置11用于在分布式網(wǎng)絡(luò)中確認(rèn)用戶(hù)對(duì)多個(gè)應(yīng)用服務(wù)系統(tǒng)的訪(fǎng)問(wèn)權(quán)限,并生成服務(wù)憑證�,其包括一系列功能模塊(如圖6所示)。
如圖3所示�����,是本發(fā)明通用認(rèn)證授權(quán)服務(wù)系統(tǒng)的客戶(hù)端計(jì)算機(jī)3的功能架構(gòu)圖��?�?蛻?hù)端計(jì)算機(jī)3提供一交互式用戶(hù)界面����,以便于用戶(hù)輸入用戶(hù)名稱(chēng)及密碼,并獲得授權(quán)憑證及服務(wù)憑證��,其包括一授權(quán)憑證獲取裝置30及一服務(wù)憑證獲取裝置31���。其中��,授權(quán)憑證獲取裝置30用于獲取認(rèn)證裝置10所生成的授權(quán)憑證��,其包括一系列功能模塊(如圖5所示)�����;服務(wù)憑證獲取裝置31用于獲取授權(quán)裝置11所生成的服務(wù)憑證����,其包括一系列功能模塊(如圖7所示)���。
如圖4所示�����,是本發(fā)明通用認(rèn)證授權(quán)服務(wù)系統(tǒng)的認(rèn)證裝置10的功能模塊圖�����。認(rèn)證裝置10用于在分布式網(wǎng)絡(luò)中對(duì)用戶(hù)的身份進(jìn)行識(shí)別和確認(rèn)���,并生成授權(quán)憑證�,其包括一用戶(hù)名稱(chēng)接收模塊100���、一用戶(hù)名稱(chēng)判斷模塊101�、一授權(quán)憑證生成模塊102����、一授權(quán)憑證密文生成模塊103及一授權(quán)憑證密文發(fā)放模塊104。其中���,用戶(hù)名稱(chēng)接收模塊100用于接收用戶(hù)利用用戶(hù)界面輸入的用戶(hù)名稱(chēng)�����。用戶(hù)名稱(chēng)判斷模塊101用于根據(jù)數(shù)據(jù)庫(kù)5中存儲(chǔ)的用戶(hù)列表�,判斷上述接收的用戶(hù)名稱(chēng)在數(shù)據(jù)庫(kù)5中是否存在��。授權(quán)憑證生成模塊102用于根據(jù)數(shù)據(jù)庫(kù)5中存儲(chǔ)的用戶(hù)列表�����,生成授權(quán)憑證�����。授權(quán)憑證密文生成模塊103用于將上述授權(quán)憑證加密����,生成授權(quán)憑證密文。授權(quán)憑證密文發(fā)放模塊104用于將上述授權(quán)憑證密文發(fā)送給授權(quán)憑證獲取裝置30����。
如圖5所示,是本發(fā)明通用認(rèn)證授權(quán)服務(wù)系統(tǒng)的授權(quán)憑證獲取裝置30的功能模塊圖���。授權(quán)憑證獲取裝置30用于獲取認(rèn)證裝置10所生成的授權(quán)憑證����,其包括一授權(quán)憑證密文接收模塊300�����、一密碼接收模塊301�、一授權(quán)憑證密文解密模塊302、一密鑰生成模塊303及一授權(quán)憑證發(fā)放模塊304���。其中���,授權(quán)憑證密文接收模塊300用于接收授權(quán)憑證密文發(fā)放模塊104所發(fā)送的授權(quán)憑證密文��。密碼接收模塊301用于接收用戶(hù)利用用戶(hù)界面輸入的密碼��。授權(quán)憑證密文解密模塊302用于根據(jù)上述接收的密碼���,將上述授權(quán)憑證密文解密,并判斷解密是否成功����,如果解密成功,則表示上述輸入的密碼正確����,同時(shí)獲得認(rèn)證裝置10所生成的授權(quán)憑證。密鑰生成模塊303用于生成密鑰��。授權(quán)憑證發(fā)放模塊304用于將上述授權(quán)憑證傳給授權(quán)裝置11����,并將該授權(quán)憑證存儲(chǔ)于數(shù)據(jù)庫(kù)5中。
如圖6所示��,是本發(fā)明通用認(rèn)證授權(quán)服務(wù)系統(tǒng)的授權(quán)裝置11的功能模塊圖�����。授權(quán)裝置11用于在分布式網(wǎng)絡(luò)中確認(rèn)用戶(hù)對(duì)多個(gè)應(yīng)用服務(wù)系統(tǒng)的訪(fǎng)問(wèn)權(quán)限����,并生成服務(wù)憑證,其包括一授權(quán)憑證接收模塊110�、一授權(quán)憑證判斷模塊111、一訪(fǎng)問(wèn)權(quán)限判斷模塊112�、一服務(wù)憑證生成模塊113、一服務(wù)憑證密文生成模塊114及一服務(wù)憑證密文發(fā)放模塊115����。其中,授權(quán)憑證接收模塊110用于接收授權(quán)憑證發(fā)放模塊304傳來(lái)的授權(quán)憑證�����。授權(quán)憑證判斷模塊111用于判斷上述接收的授權(quán)認(rèn)證的有效性�,如果超過(guò)有效時(shí)間,則表示授權(quán)憑證無(wú)效���。訪(fǎng)問(wèn)權(quán)限判斷模塊112用于根據(jù)數(shù)據(jù)庫(kù)5中存儲(chǔ)的用戶(hù)列表����,判斷用戶(hù)對(duì)多個(gè)應(yīng)用服務(wù)系統(tǒng)的訪(fǎng)問(wèn)權(quán)限,如瀏覽��、修改及管理等權(quán)限�。服務(wù)憑證生成模塊113用于根據(jù)上述訪(fǎng)問(wèn)權(quán)限,生成服務(wù)憑證����。服務(wù)憑證密文生成模塊114用于將上述服務(wù)憑證加密,生成服務(wù)憑證密文�����。服務(wù)憑證密文發(fā)放模塊115用于將上述服務(wù)憑證密文發(fā)送給服務(wù)憑證獲取裝置31���。
如圖7所示�����,是本發(fā)明通用認(rèn)證授權(quán)服務(wù)系統(tǒng)的服務(wù)憑證獲取裝置31的功能模塊圖��。服務(wù)憑證獲取裝置31用于獲取授權(quán)裝置11所生成的服務(wù)憑證����,其包括一服務(wù)憑證密文接收模塊310、一密鑰獲取模塊311及一服務(wù)憑證密文解密模塊312�����。其中�,服務(wù)憑證密文接收模塊310用于接收服務(wù)憑證密文發(fā)放模塊115所發(fā)送的服務(wù)憑證密文��。密鑰獲取模塊311用于獲取上述授權(quán)憑證獲取裝置30生成的密鑰���。服務(wù)憑證密文解密模塊312用于根據(jù)上述獲取的密鑰���,將上述服務(wù)憑證密文解密,以獲得授權(quán)裝置11所生成的服務(wù)憑證��,并將該服務(wù)憑證存儲(chǔ)于數(shù)據(jù)庫(kù)5中�。
如圖8所示,是本發(fā)明通用認(rèn)證授權(quán)服務(wù)方法的認(rèn)證作業(yè)流程圖���。首先���,用戶(hù)名稱(chēng)接收模塊100接收用戶(hù)利用用戶(hù)界面輸入的用戶(hù)名稱(chēng)(步驟S800)��,用戶(hù)名稱(chēng)判斷模塊101根據(jù)數(shù)據(jù)庫(kù)5中存儲(chǔ)的用戶(hù)列表�,判斷上述接收的用戶(hù)名稱(chēng)在數(shù)據(jù)庫(kù)5中是否存在(步驟S801)���。如果數(shù)據(jù)庫(kù)5中存在上述用戶(hù)名稱(chēng)�,授權(quán)憑證生成模塊102根據(jù)數(shù)據(jù)庫(kù)5中存儲(chǔ)的用戶(hù)列表��,生成授權(quán)憑證(步驟S802)����;如果數(shù)據(jù)庫(kù)5中不存在上述用戶(hù)名稱(chēng),則結(jié)束本流程��。然后�,授權(quán)憑證密文生成模塊103將上述授權(quán)憑證加密,生成授權(quán)憑證密文(步驟S803)�����,授權(quán)憑證密文發(fā)送模塊104將上述授權(quán)憑證密文發(fā)送給客戶(hù)端計(jì)算機(jī)3的授權(quán)憑證獲取裝置30(步驟S804)���,授權(quán)憑證獲取裝置30的授權(quán)憑證密文接收模塊300接收上述發(fā)送的授權(quán)憑證密文(步驟S805)��。然后�����,密碼接收模塊301接收用戶(hù)利用用戶(hù)界面輸入的密碼(步驟S806)�,授權(quán)憑證密文解密模塊302根據(jù)上述接收的密碼,將上述授權(quán)憑證密文解密(步驟S807)����,并判斷解密是否成功(步驟S808)。如果解密成功��,則獲得上述所生成的授權(quán)憑證����,密鑰生成模塊303生成密鑰(步驟S809)����;如果解密不成功,表示上述輸入的密碼不正確����,則結(jié)束本流程。最后���,授權(quán)憑證發(fā)放模塊304將上述授權(quán)憑證傳給授權(quán)裝置11����,并將該授權(quán)憑證存儲(chǔ)于數(shù)據(jù)庫(kù)5中(步驟S810)。
如圖9所示�����,是本發(fā)明通用認(rèn)證授權(quán)服務(wù)方法的授權(quán)作業(yè)流程圖����。首先,授權(quán)憑證接收模塊110接收授權(quán)憑證發(fā)放模塊304傳來(lái)的授權(quán)憑證(步驟S900)�,授權(quán)憑證判斷模塊111判斷上述接收的授權(quán)憑證的有效性(步驟S901)。如果在有效時(shí)間內(nèi)�,則表示上述授權(quán)憑證有效,訪(fǎng)問(wèn)權(quán)限判斷模塊112根據(jù)數(shù)據(jù)庫(kù)5中存儲(chǔ)的用戶(hù)列表�����,判斷用戶(hù)對(duì)多個(gè)應(yīng)用服務(wù)系統(tǒng)的訪(fǎng)問(wèn)權(quán)限(步驟S902)��;如果不在有效時(shí)間內(nèi)��,則表示上述授權(quán)憑證無(wú)效����,結(jié)束本流程����。然后�,服務(wù)憑證生成模塊113根據(jù)上述訪(fǎng)問(wèn)權(quán)限,生成服務(wù)憑證(步驟S903)�,服務(wù)憑證密文生成模塊114將上述服務(wù)憑證加密,生成服務(wù)憑證密文(步驟S904)�����,服務(wù)憑證密文發(fā)放模塊115將上述服務(wù)憑證密文發(fā)送給客戶(hù)端計(jì)算機(jī)3的服務(wù)憑證獲取裝置31(步驟S905)�����,服務(wù)憑證獲取裝置31的服務(wù)憑證密文接收模塊310接收上述發(fā)送的服務(wù)憑證密文(步驟S906)�。然后���,密鑰獲取模塊311獲取上述授權(quán)憑證獲取裝置30所生成的密鑰(步驟S907)�����。服務(wù)憑證密文解密模塊116根據(jù)上述獲取的密鑰�,將上述服務(wù)憑證密文解密���,以獲得上述生成的服務(wù)憑證��,并將該服務(wù)憑證存儲(chǔ)于數(shù)據(jù)庫(kù)5中(步驟S908)����。
權(quán)利要求
1.一種通用認(rèn)證授權(quán)服務(wù)系統(tǒng),其包括一通用認(rèn)證授權(quán)服務(wù)器����、多個(gè)客戶(hù)端計(jì)算機(jī)及一數(shù)據(jù)庫(kù),其特征在于通用認(rèn)證授權(quán)服務(wù)器用于在分布式網(wǎng)絡(luò)中實(shí)現(xiàn)集中式用戶(hù)認(rèn)證授權(quán)服務(wù)��,該通用認(rèn)證授權(quán)服務(wù)器包括一認(rèn)證裝置�,用于在分布式網(wǎng)絡(luò)中對(duì)用戶(hù)的身份進(jìn)行識(shí)別和確認(rèn),并生成授權(quán)憑證�;一授權(quán)裝置,用于在分布式網(wǎng)絡(luò)中確認(rèn)用戶(hù)對(duì)多個(gè)應(yīng)用服務(wù)系統(tǒng)的訪(fǎng)問(wèn)權(quán)限�����,并生成服務(wù)憑證�;客戶(hù)端計(jì)算機(jī)用于提供一交互式用戶(hù)界面,以便于用戶(hù)輸入用戶(hù)名稱(chēng)及密碼�����,并獲得授權(quán)憑證及服務(wù)憑證;及數(shù)據(jù)庫(kù)用于存儲(chǔ)用戶(hù)列表�����、授權(quán)憑證及服務(wù)憑證�����。
2.如權(quán)利要求1所述的通用認(rèn)證授權(quán)服務(wù)系統(tǒng)����,其特征在于,所述客戶(hù)端計(jì)算機(jī)包括一授權(quán)憑證獲取裝置�,用于獲取上述認(rèn)證裝置所生成的授權(quán)憑證。
3.如權(quán)利要求1所述的通用認(rèn)證授權(quán)服務(wù)系統(tǒng)�����,其特征在于����,所述客戶(hù)端計(jì)算機(jī)還包括一服務(wù)憑證獲取裝置�,用于獲取上述授權(quán)裝置所生成的服務(wù)憑證。
4.如權(quán)利要求1所述的通用認(rèn)證授權(quán)服務(wù)系統(tǒng)���,其特征在于����,所述用戶(hù)列表,其為多個(gè)用戶(hù)的信息列表�,包括用戶(hù)名稱(chēng)、用戶(hù)標(biāo)識(shí)�����、密碼����、創(chuàng)建時(shí)間、有效時(shí)間及每一用戶(hù)對(duì)多個(gè)應(yīng)用服務(wù)系統(tǒng)的訪(fǎng)問(wèn)權(quán)限����。
5.如權(quán)利要求1所述的通用認(rèn)證授權(quán)服務(wù)系統(tǒng),其特征在于�,所述授權(quán)憑證,是用戶(hù)通過(guò)認(rèn)證后獲得的相關(guān)憑證��,其為一個(gè)包括用戶(hù)名稱(chēng)�����、用戶(hù)標(biāo)識(shí)、創(chuàng)建時(shí)間及有效時(shí)間的封包�。
6.如權(quán)利要求1所述的通用認(rèn)證授權(quán)服務(wù)系統(tǒng),其特征在于��,所述服務(wù)憑證��,是用戶(hù)通過(guò)授權(quán)后獲得的相關(guān)憑證�,其為一個(gè)包括用戶(hù)對(duì)多個(gè)應(yīng)用服務(wù)系統(tǒng)的訪(fǎng)問(wèn)權(quán)限的封包。
7.如權(quán)利要求1所述的通用認(rèn)證授權(quán)服務(wù)系統(tǒng)����,其特征在于,所述認(rèn)證裝置包括一用戶(hù)名稱(chēng)接收模塊��,用于接收用戶(hù)輸入的用戶(hù)名稱(chēng)���;一用戶(hù)名稱(chēng)判斷模塊�����,用于根據(jù)數(shù)據(jù)庫(kù)中存儲(chǔ)的用戶(hù)列表,判斷上述接收的用戶(hù)名稱(chēng)在數(shù)據(jù)庫(kù)中是否存在�����;一授權(quán)憑證生成模塊,用于根據(jù)數(shù)據(jù)庫(kù)中存儲(chǔ)的用戶(hù)列表��,生成授權(quán)憑證�����;一授權(quán)憑證密文生成模塊�,用于將上述授權(quán)憑證加密,生成授權(quán)憑證密文��;及一授權(quán)憑證密文發(fā)放模塊�,用于將上述授權(quán)憑證密文發(fā)送給授權(quán)憑證獲取裝置。
8.如權(quán)利要求1所述的通用認(rèn)證授權(quán)服務(wù)系統(tǒng)����,其特征在于,所述授權(quán)裝置包括一授權(quán)憑證接收模塊�,用于接收授權(quán)憑證獲取裝置傳來(lái)的授權(quán)憑證;一授權(quán)憑證判斷模塊�����,用于判斷上述接收的授權(quán)認(rèn)證的有效性��;一訪(fǎng)問(wèn)權(quán)限判斷模塊,用于根據(jù)數(shù)據(jù)庫(kù)中存儲(chǔ)的用戶(hù)列表�,判斷用戶(hù)對(duì)多個(gè)應(yīng)用服務(wù)系統(tǒng)的訪(fǎng)問(wèn)權(quán)限;一服務(wù)憑證生成模塊����,用于根據(jù)上述訪(fǎng)問(wèn)權(quán)限,生成服務(wù)憑證���;一服務(wù)憑證密文生成模塊�����,用于將上述服務(wù)憑證加密����,生成服務(wù)憑證密文��;及一服務(wù)憑證密文發(fā)放模塊����,用于將上述服務(wù)憑證密文發(fā)送給服務(wù)憑證獲取裝置。
9.如權(quán)利要求2所述的通用認(rèn)證授權(quán)服務(wù)系統(tǒng)�,其特征在于,所述授權(quán)憑證獲取裝置包括一授權(quán)憑證密文接收模塊�����,用于接收上述發(fā)送的授權(quán)憑證密文�;一密碼接收模塊,用于接收用戶(hù)輸入的密碼����;一授權(quán)憑證密文解密模塊,用于根據(jù)上述接收的密碼�����,將上述授權(quán)憑證密文解密����,并判斷解密是否成功;一密鑰生成模塊���,用于生成密鑰����;及一授權(quán)憑證發(fā)放模塊�����,用于將上述授權(quán)憑傳給授權(quán)裝置,并將該授權(quán)憑證存儲(chǔ)于數(shù)據(jù)庫(kù)中����。
10.如權(quán)利要求3所述的通用認(rèn)證授權(quán)服務(wù)系統(tǒng),其特征在于���,所述服務(wù)憑證獲取裝置包括一服務(wù)憑證密文接收模塊����,用于接收上述發(fā)送的服務(wù)憑證密文�����;一密鑰獲取模塊�����,用于獲取上述授權(quán)憑證獲取裝置生成的密鑰��;及一服務(wù)憑證密文解密模塊����,用于根據(jù)上述獲取的密鑰,將上述服務(wù)憑證密文解密���,以獲得上述授權(quán)裝置所生成的服務(wù)憑證��,并將該服務(wù)憑證存儲(chǔ)于數(shù)據(jù)庫(kù)中���。
11.一種通用認(rèn)證授權(quán)服務(wù)方法,其特征在于�����,認(rèn)證方法包括以下步驟接收用戶(hù)輸入的用戶(hù)名稱(chēng)���;判斷上述用戶(hù)名稱(chēng)在數(shù)據(jù)庫(kù)中是否存在�����,如果用戶(hù)名稱(chēng)存在�,生成授權(quán)憑證��;將上述授權(quán)憑證加密����,生成授權(quán)憑證密文;發(fā)送上述授權(quán)憑證密文��;接收上述授權(quán)憑證密文;接收用戶(hù)輸入的密碼���;根據(jù)上述密碼���,將上述授權(quán)憑證密文解密,以獲得上述授權(quán)憑證�����,并判斷解密是否成功��,如果解密解密成功��,則生成密鑰�;及將上述授權(quán)憑傳給授權(quán)裝置,并將授權(quán)憑證存儲(chǔ)于數(shù)據(jù)庫(kù)中����。
12.如權(quán)利要求11所述的通用認(rèn)證授權(quán)服務(wù)方法,其特征在于�,所述授權(quán)憑證,是用戶(hù)通過(guò)認(rèn)證后獲得的相關(guān)憑證���,其為一個(gè)包括用戶(hù)名稱(chēng)�����、用戶(hù)標(biāo)識(shí)����、創(chuàng)建時(shí)間及有效時(shí)間的封包。
13.一種通用認(rèn)證授權(quán)服務(wù)方法�����,其特征在于����,授權(quán)方法包括以下步驟接收上述傳來(lái)的授權(quán)憑證��;判斷上述授權(quán)憑證的有效性���,如果授權(quán)憑證有效��,判斷用戶(hù)對(duì)多個(gè)應(yīng)用服務(wù)系統(tǒng)的訪(fǎng)問(wèn)權(quán)限���;根據(jù)上述訪(fǎng)問(wèn)權(quán)限,生成服務(wù)憑證;將上述服務(wù)憑證加密�����,生成服務(wù)憑證密文�����;發(fā)送上述服務(wù)憑證密文����;接收上述服務(wù)憑證密文;獲取上述生成的密鑰���;及根據(jù)上述獲取的密鑰��,將上述服務(wù)憑證密文解密����,以獲得上述生成的服務(wù)憑證����,并將該服務(wù)憑證存儲(chǔ)于數(shù)據(jù)庫(kù)中。
14.如權(quán)利要求13所述的通用認(rèn)證授權(quán)服務(wù)方法��,其特征在于,所述服務(wù)憑證�����,是用戶(hù)通過(guò)授權(quán)后獲得的相關(guān)憑證�����,其為一個(gè)包括用戶(hù)對(duì)多個(gè)應(yīng)用服務(wù)系統(tǒng)的訪(fǎng)問(wèn)權(quán)限的封包����。
全文摘要
一種通用認(rèn)證授權(quán)服務(wù)系統(tǒng)及方法,其可在分布式網(wǎng)絡(luò)中實(shí)現(xiàn)集中式用戶(hù)認(rèn)證授權(quán)服務(wù)����。該系統(tǒng)包括一通用認(rèn)證授權(quán)服務(wù)器���、多個(gè)客戶(hù)端計(jì)算機(jī)及一數(shù)據(jù)庫(kù)���。通用認(rèn)證授權(quán)服務(wù)器用于在分布式網(wǎng)絡(luò)中實(shí)現(xiàn)集中式用戶(hù)認(rèn)證授權(quán)服務(wù)。該通用認(rèn)證授權(quán)服務(wù)器包括一認(rèn)證裝置�����,用于在分布式網(wǎng)絡(luò)中對(duì)用戶(hù)的身份進(jìn)行識(shí)別和確認(rèn),并生成授權(quán)憑證����;一授權(quán)裝置,用于在分布式網(wǎng)絡(luò)中確認(rèn)用戶(hù)對(duì)多個(gè)應(yīng)用服務(wù)系統(tǒng)的訪(fǎng)問(wèn)權(quán)限�����,并生成服務(wù)憑證����。客戶(hù)端計(jì)算機(jī)提供一交互式用戶(hù)界面���,以便于用戶(hù)輸入用戶(hù)名稱(chēng)及密碼����,并獲得授權(quán)憑證及服務(wù)憑證����。數(shù)據(jù)庫(kù)用于存儲(chǔ)用戶(hù)列表、授權(quán)憑證及服務(wù)憑證�。利用本發(fā)明,可安全�、高效的在分布式網(wǎng)絡(luò)中實(shí)現(xiàn)集中式用戶(hù)認(rèn)證授權(quán)服務(wù)����。
文檔編號(hào)H04L12/22GK1635738SQ20031011768
公開(kāi)日2005年7月6日 申請(qǐng)日期2003年12月26日 優(yōu)先權(quán)日2003年12月26日
發(fā)明者李忠一, 葉建發(fā), 謝躍書(shū) 申請(qǐng)人:鴻富錦精密工業(yè)(深圳)有限公司, 鴻海精密工業(yè)股份有限公司