本發(fā)明屬于信息技術(shù)領(lǐng)域和應(yīng)用領(lǐng)域，可用于實(shí)現(xiàn)應(yīng)用系統(tǒng)的智能終端單點(diǎn)登錄，即智能終端只需登錄單點(diǎn)登錄服務(wù)器就可以訪問所有相互信任的應(yīng)用系統(tǒng)。

背景技術(shù)：

用戶身份認(rèn)證是指通過一定的手段，完成對(duì)用戶身份的確認(rèn)，即確認(rèn)當(dāng)前所聲稱為某種身份的用戶，確實(shí)是所聲稱的用戶。身份認(rèn)證是安全的第一道大門，是各種安全措施可以發(fā)揮作用的前提。最常見的身份認(rèn)證方式有賬號(hào)和密碼認(rèn)證方式。隨著企業(yè)和機(jī)構(gòu)引入各式各樣的信息化系統(tǒng)，用戶和管理員需要維護(hù)多個(gè)信息系統(tǒng)的賬號(hào)和密碼，影響日常的工作效率。用戶希望一次登錄可以訪問企業(yè)的各個(gè)信息系統(tǒng)，因此資源單點(diǎn)登錄技術(shù)應(yīng)運(yùn)而生。單點(diǎn)登錄是一種統(tǒng)一認(rèn)證和授權(quán)機(jī)制，指訪問同一服務(wù)器不同應(yīng)用中的受保護(hù)資源的同一用戶，只需要登錄一次，即通過一個(gè)應(yīng)用中的安全驗(yàn)證后，再訪問其他應(yīng)用中的受保護(hù)資源時(shí)，不再需要重新登錄驗(yàn)證。

目前智能終端的使用已經(jīng)相當(dāng)普及，智能手機(jī)和平板電腦的使用已經(jīng)進(jìn)入千家萬戶。而且智能終端和智能卡的匹配度又相當(dāng)高，幾乎所有的智能終端都能連接智能卡。這也為使用智能終端來進(jìn)行移動(dòng)辦公和管理帶來了極大的便利。

但是現(xiàn)有的智能終端不具備身份認(rèn)證和單點(diǎn)登錄的功能，因此，如何在智能終端上使用智能卡實(shí)現(xiàn)身份認(rèn)證，以使得身份認(rèn)證更加安全；以及如何展現(xiàn)用戶可以訪問的授權(quán)資源，很好的適用于手機(jī)屏幕較小的特點(diǎn)，更加友 好、便捷的展現(xiàn)用戶的授權(quán)資源；還有獲取資源列表如何在智能終端上實(shí)現(xiàn)單點(diǎn)登錄成為本領(lǐng)域技術(shù)人員亟待解決的技術(shù)問題。

本發(fā)明就是在上述背景下針對(duì)以上問題而提出來的。

技術(shù)實(shí)現(xiàn)要素：

有鑒于此，本發(fā)明旨在提出一種解決上述問題的基于數(shù)字證書的智能終端身份認(rèn)證與單點(diǎn)登錄系統(tǒng)及方法。

為達(dá)到上述目的，本發(fā)明的技術(shù)方案是這樣實(shí)現(xiàn)的：

一種基于數(shù)字證書的智能終端身份認(rèn)證與單點(diǎn)登錄系統(tǒng)，包括智能終端、智能卡、終端應(yīng)用程序、身份認(rèn)證服務(wù)器、資源授權(quán)服務(wù)器、資源服務(wù)器和單點(diǎn)登錄服務(wù)器，所述智能終端內(nèi)部的所述終端應(yīng)用程序通過所述智能卡與所述身份認(rèn)證服務(wù)器進(jìn)行身份認(rèn)證，身份認(rèn)證通過后，所述終端應(yīng)用程序攜帶認(rèn)證后返回的票據(jù)信息訪問單點(diǎn)登錄服務(wù)器，登錄成功后，所述單點(diǎn)登錄服務(wù)器返回該用戶授權(quán)資源的票據(jù)，所述終端應(yīng)用程序攜帶登錄后返回的授權(quán)資源票據(jù)信息訪問資源授權(quán)服務(wù)器，所述資源授權(quán)服務(wù)器與所述單點(diǎn)登錄服務(wù)器進(jìn)行票據(jù)交互后，返回授權(quán)資源列表給所述終端應(yīng)用程序，授權(quán)資源列表中的某一資源后，終端應(yīng)用程序和單點(diǎn)登錄服務(wù)器及單點(diǎn)登錄服務(wù)器與所述資源服務(wù)器之間進(jìn)行票據(jù)交互后，將相應(yīng)的資源通過所述終端應(yīng)用程序呈現(xiàn)給所述智能終端。

所述智能終端為Android或IOS手機(jī)，所述智能卡為藍(lán)牙式或音頻式的智能密碼鑰匙或智能SD卡，所述終端應(yīng)用程序?yàn)锳ndroid/IOS APP。

實(shí)現(xiàn)一種基于數(shù)字證書的智能終端身份認(rèn)證與單點(diǎn)登錄的方法，包括如下步驟：

一、搭建服務(wù)器：所述服務(wù)器包括認(rèn)證服務(wù)器、資源授權(quán)服務(wù)器、單點(diǎn) 登錄服務(wù)器；

二、為智能終端安裝終端應(yīng)用程序；

三、智能終端身份認(rèn)證；

四、獲取授權(quán)資源列表；

五、單點(diǎn)登錄訪問業(yè)務(wù)流程。

所述認(rèn)證服務(wù)器具有身份認(rèn)證服務(wù)的接口，確保認(rèn)證服務(wù)器能實(shí)現(xiàn)管理員制證、發(fā)證的功能；

將所述資源授權(quán)服務(wù)器與認(rèn)證服務(wù)器整合，實(shí)現(xiàn)通過認(rèn)證服務(wù)器的返回信息能訪問資源授權(quán)服務(wù)器獲取資源列表，確保管理員能對(duì)資源進(jìn)行授權(quán)與操作；

所述單點(diǎn)登錄服務(wù)器，實(shí)現(xiàn)私有SSO票據(jù)服務(wù)、私有SSO票據(jù)信息，確保能實(shí)現(xiàn)票據(jù)的發(fā)放與兌換。

所述終端應(yīng)用程序包括確保能通過應(yīng)用程序連接智能卡讀取數(shù)字證書，并且能訪問認(rèn)證服務(wù)器進(jìn)行簽名認(rèn)證的認(rèn)證部分應(yīng)用程序；還包括確保能訪問授權(quán)資源服務(wù)器，并向驗(yàn)證通過的用戶展現(xiàn)授權(quán)資源列表的應(yīng)用程序；還包括確保能通過資源列表應(yīng)用程序訪問單點(diǎn)登錄服務(wù)器并獲取票據(jù)，并實(shí)現(xiàn)票據(jù)的兌換，最終實(shí)現(xiàn)單點(diǎn)登錄的應(yīng)用程序。

所述智能終端身份認(rèn)證的具體步驟如下：管理員通過認(rèn)證服務(wù)器制證并導(dǎo)入到用戶智能卡，注冊(cè)并創(chuàng)建用戶；用戶通過智能終端上的APP應(yīng)用程序連接智能卡讀取證書，向認(rèn)證服務(wù)器發(fā)起認(rèn)證請(qǐng)求，認(rèn)證服務(wù)器返回隨機(jī)數(shù)，APP對(duì)隨機(jī)數(shù)及用戶名摘要簽名后發(fā)給認(rèn)證服務(wù)器驗(yàn)證，認(rèn)證服務(wù)器返回驗(yàn)證結(jié)果，確定身份認(rèn)證是否成功。

獲取資源列表的具體步驟如下：用戶使用從網(wǎng)關(guān)服務(wù)器獲取到的該用戶 的授權(quán)信息去訪問授權(quán)資源服務(wù)器；授權(quán)資源服務(wù)器通過用戶名返回該用戶的授權(quán)資源列表，APP將結(jié)果展示出來。

單點(diǎn)登錄訪問業(yè)務(wù)的具體流程如下：用戶通過APP門戶顯示的資源列表訪問某一資源時(shí)，通過點(diǎn)擊資源列表，APP門戶攜帶用戶的認(rèn)證信息向單點(diǎn)登錄服務(wù)器申請(qǐng)?jiān)撡Y源的單點(diǎn)登錄票據(jù)；單點(diǎn)登錄服務(wù)器認(rèn)證用戶的信息后，返回該授權(quán)資源的票據(jù)；APP門戶調(diào)用第三方資源訪問軟件攜帶該票據(jù)去訪問該授權(quán)資源；該資源又將該票據(jù)與單點(diǎn)登錄服務(wù)進(jìn)行兌換，得到該用戶對(duì)應(yīng)的授權(quán)資源賬號(hào)，進(jìn)而成功地訪問該資源。

相對(duì)于現(xiàn)有技術(shù)，本發(fā)明所述的一種基于數(shù)字證書的智能終端身份認(rèn)證與單點(diǎn)登錄系統(tǒng)及方法具有以下優(yōu)勢(shì)：

1.安全性：通過智能終端讀取智能卡的數(shù)字證書來完成身份認(rèn)證，并且身份認(rèn)證時(shí)和票據(jù)的兌換時(shí)都加入隨機(jī)數(shù)簽名防止重放攻擊?；贏PP“門戶”的證書身份認(rèn)證后，展示授權(quán)資源，更加的保證了安全性。

2.便捷性：通過APP資源門戶很友好的展示了用戶所能訪問的授權(quán)資源，單點(diǎn)登錄時(shí)基于APP“門戶”而非瀏覽器重定向的形式，更加便捷的實(shí)現(xiàn)單點(diǎn)登錄。

附圖說明

構(gòu)成本發(fā)明的一部分的附圖用來提供對(duì)本發(fā)明的進(jìn)一步理解，本發(fā)明的示意性實(shí)施例及其說明用于解釋本發(fā)明，并不構(gòu)成對(duì)本發(fā)明的不當(dāng)限定。在附圖中：

圖1是本發(fā)明的總體框架圖(闡述了基于智能終端數(shù)字證書的身份認(rèn)證與單點(diǎn)登錄技術(shù)的具體層次：用戶通過智能終端上的應(yīng)用程序和智能卡訪問資源列表(門戶)和認(rèn)證服務(wù)器，通過身份認(rèn)證和單點(diǎn)登錄后能夠訪問具體的業(yè)務(wù))；

圖2是本發(fā)明總體的流程圖(描述了一次完整的身份認(rèn)證和單點(diǎn)登錄訪問資源的流程：用戶通過智能終端上連接智能卡，通過應(yīng)用程序訪問認(rèn)證服務(wù)器和資源服務(wù)器，獲取到資源列表(門戶)，再通過資源列表(門戶)訪問單點(diǎn)登錄服務(wù)器獲取到具體授權(quán)資源的票據(jù)，然后資源向單點(diǎn)登錄服務(wù)器兌換票據(jù)，實(shí)現(xiàn)用戶對(duì)資源的訪問)；

圖3是本發(fā)明身份認(rèn)證的流程圖(用戶首先通過智能終端上的應(yīng)用程序訪問認(rèn)證服務(wù)器請(qǐng)求認(rèn)證，認(rèn)證服務(wù)器返回一個(gè)隨機(jī)數(shù)，應(yīng)用程序通過讀取智能卡中的數(shù)字證書，并用數(shù)字證書簽名隨機(jī)數(shù)后的信息去訪問認(rèn)證服務(wù)器，認(rèn)證服務(wù)器驗(yàn)證信息成功后返回該用戶的授權(quán)信息。智能終端上的APP保存該授權(quán)信息)；

圖4是本發(fā)明授權(quán)資源列表的流程圖(用戶通過身份認(rèn)證后，會(huì)得到認(rèn)證服務(wù)器返回的該用戶的授權(quán)信息，應(yīng)用程序攜帶該授權(quán)信息去單點(diǎn)登錄服務(wù)器獲取訪問授權(quán)資源列表(門戶)的票據(jù)，單點(diǎn)登錄服務(wù)器返回票據(jù)，然后智能終端APP攜帶票據(jù)去訪問資源服務(wù)器，資源服務(wù)器向單點(diǎn)登錄服務(wù)器兌換票據(jù)，然后向APP返回授權(quán)資源列表(門戶))；

圖5是實(shí)現(xiàn)單點(diǎn)登錄的流程圖(APP獲取到授權(quán)資源列表后，用戶點(diǎn)擊某一具體的資源，應(yīng)用程序就去訪問單點(diǎn)登錄服務(wù)器，單點(diǎn)登錄服務(wù)器返回這一授權(quán)資源的票據(jù)，應(yīng)用程序攜帶票據(jù)訪問該資源，資源向單點(diǎn)登錄服務(wù)器兌換票據(jù)，得到用戶的授權(quán)信息，然后用戶就可以操作資源，這樣就實(shí)現(xiàn)了單點(diǎn)登錄)。

具體實(shí)施方式

需要說明的是，在不沖突的情況下，本發(fā)明中的實(shí)施例及實(shí)施例中的特征可以相互組合。

下面將參考附圖并結(jié)合實(shí)施例來詳細(xì)說明本發(fā)明。

本發(fā)明的基本思想是：智能終端通過智能卡中的數(shù)字證書，來完成身份認(rèn)證、資源授權(quán)等功能，最終實(shí)現(xiàn)單點(diǎn)登錄?；谥悄芙K端和智能卡的數(shù)字證書認(rèn)證技術(shù)實(shí)現(xiàn)身份認(rèn)證。通過授權(quán)資源列表獲取票據(jù)和兌換票據(jù)的方法實(shí)現(xiàn)單點(diǎn)登錄?；谥悄芸▽?shí)現(xiàn)身份認(rèn)證、智能終端獲取資源列表(資源門戶)、通過資源列表訪問單點(diǎn)登錄服務(wù)器獲取票據(jù)、私有SSO(Single Sign On，即單點(diǎn)登錄)票據(jù)服務(wù)、私有SSO票據(jù)信息。

具體實(shí)施步驟如下：見圖2。

搭建服務(wù)器：

a.部署認(rèn)證服務(wù)器，設(shè)計(jì)身份認(rèn)證服務(wù)的接口，確保網(wǎng)認(rèn)證服務(wù)器能實(shí)現(xiàn)管理員給普通用戶制證的功能。

b.部署資源服務(wù)器，將資源服務(wù)器與認(rèn)證服務(wù)器整合，實(shí)現(xiàn)通過認(rèn)證服務(wù)器的返回信息能訪問資源服務(wù)器獲取資源列表(資源門戶)。確保管理員能對(duì)資源進(jìn)行授權(quán)與操作。

c.部署單點(diǎn)登錄服務(wù)器，實(shí)現(xiàn)私有SSO(Single Sign On，即單點(diǎn)登錄)票據(jù)服務(wù)、私有SSO票據(jù)信息。確保能實(shí)現(xiàn)票據(jù)的發(fā)放與兌換。

安裝智能終端APP：

a.APP應(yīng)用的身份認(rèn)證部分：確保能通過APP連接智能卡讀取數(shù)字證書并對(duì)服務(wù)器數(shù)據(jù)進(jìn)行簽名(添加)，并且能訪問認(rèn)證服務(wù)器進(jìn)行簽名認(rèn)證。

b.APP應(yīng)用的獲取資源列表(資源門戶)：確保能訪問資源服務(wù)器，并向身份認(rèn)證(替換)通過的用戶展現(xiàn)授權(quán)資源列表。

c.APP應(yīng)用的單點(diǎn)登錄部分：確保能通過資源門戶訪問單點(diǎn)登錄服務(wù)器并獲取票據(jù)，并實(shí)現(xiàn)票據(jù)的兌換。最終實(shí)現(xiàn)單點(diǎn)登錄。

驗(yàn)證系統(tǒng)整體功能：

a.身份認(rèn)證的功能：管理員通過認(rèn)證服務(wù)器制證并導(dǎo)入到用戶智能卡，注冊(cè)并創(chuàng)建用戶。用戶通過智能終端上的APP連接智能卡讀取證書，向認(rèn)證服務(wù)器發(fā)起認(rèn)證請(qǐng)求，認(rèn)證服務(wù)器返回隨機(jī)數(shù)，APP對(duì)隨機(jī)數(shù)及用戶名摘要簽名后發(fā)給認(rèn)證服務(wù)器驗(yàn)證，認(rèn)證服務(wù)器返回驗(yàn)證結(jié)果。

b.獲取資源列表功能：用戶使用從網(wǎng)關(guān)服務(wù)器獲取到的該用戶的授權(quán)信息去訪問資源服務(wù)器；資源服務(wù)器通過用戶名返回該用戶的授權(quán)資源列表(資源門戶)，APP將結(jié)果展示出來。

c.單點(diǎn)登錄功能：用戶能通過資源門戶訪問資源，APP能訪問單點(diǎn)登錄服務(wù)器取得票據(jù)，并攜帶票據(jù)去訪問資源，實(shí)現(xiàn)票據(jù)的兌換，最終實(shí)現(xiàn)單點(diǎn)登錄。

本發(fā)明對(duì)比已有技術(shù)具有以下創(chuàng)新點(diǎn)：

授權(quán)資源展示方式的創(chuàng)新：基于智能終端較小的屏幕，設(shè)計(jì)為APP“門戶”的形式，更友好的向用戶展示授權(quán)資源，用戶能通過門戶實(shí)現(xiàn)授權(quán)資源的單點(diǎn)登錄。

單點(diǎn)登錄實(shí)現(xiàn)方式的創(chuàng)新：基于APP“門戶”而非瀏覽器的形式訪問單點(diǎn)登錄服務(wù)器，采用的是模擬瀏覽器的重定向方式，實(shí)現(xiàn)身份認(rèn)證與授權(quán)資源的單點(diǎn)登錄。

本發(fā)明是一種基于數(shù)字證書的智能終端身份認(rèn)證與單點(diǎn)登錄方法，該方法的實(shí)現(xiàn)需要如下構(gòu)件：智能終端(如Android/IOS手機(jī))、智能卡(如藍(lán)牙式/音頻式的智能密碼鑰匙/智能SD卡)、終端應(yīng)用程序(Android/IOS APP)、身份認(rèn)證服務(wù)、資源授權(quán)服務(wù)、單點(diǎn)登錄服務(wù)，其特征是：基于智能卡證書的智能終端身份認(rèn)證、智能終端APP門戶展示授權(quán)資源、基于智能終端APP門戶的單點(diǎn)登錄，實(shí)現(xiàn)認(rèn)證用戶通過智能終端APP來單點(diǎn)登錄訪問授權(quán)資源。

基于智能卡證書的智能終端身份認(rèn)證，即智能終端通過智能卡的公鑰證 書表明身份和對(duì)應(yīng)的私鑰簽名證實(shí)身份，進(jìn)而實(shí)現(xiàn)智能終端用戶的身份認(rèn)證，主要包括如下兩個(gè)過程：

a.管理員的用戶管理：基于用戶的智能卡證書來創(chuàng)建并管理用戶；

b.用戶的身份認(rèn)證：用戶使用智能終端提交基于智能卡證書的請(qǐng)求認(rèn)證，并使用私鑰來簽名認(rèn)證服務(wù)器所返回的隨機(jī)數(shù)，這種應(yīng)答/挑戰(zhàn)模式可以防止可能的重放攻擊,最后獲取并緩存身份認(rèn)證服務(wù)返回的認(rèn)證結(jié)果。

智能終端APP門戶展示授權(quán)資源，即智能終端使用單點(diǎn)登錄服務(wù)提供的票據(jù)訪問資源授權(quán)服務(wù)，并在智能終端APP門戶顯示授權(quán)資源信息，主要涉及如下幾個(gè)過程：

a.管理員的資源管理：注冊(cè)資源業(yè)務(wù)、管理資源賬號(hào)、給用戶授權(quán)資源賬號(hào)；

b.用戶授權(quán)資源的APP門戶展示：用戶憑借身份認(rèn)證服務(wù)返回的認(rèn)證信息，訪問單點(diǎn)登錄服務(wù)，獲取并提交資源授權(quán)服務(wù)的訪問票據(jù)，資源授權(quán)服務(wù)向單點(diǎn)登錄服務(wù)器兌換票據(jù)，待核實(shí)用戶身份后返回用戶的授權(quán)資源信息，并通過智能終端APP門戶展示。

基于智能終端APP門戶的單點(diǎn)登錄，具體的實(shí)現(xiàn)流程是：用戶通過APP門戶顯示的資源列表訪問某一資源時(shí)，通過點(diǎn)擊資源列表，APP門戶攜帶用戶的認(rèn)證信息向單點(diǎn)登錄服務(wù)申請(qǐng)?jiān)撡Y源的單點(diǎn)登錄票據(jù)；單點(diǎn)登錄服務(wù)認(rèn)證用戶的信息后，返回該授權(quán)資源的票據(jù)；APP門戶調(diào)用第三方資源訪問軟件(如瀏覽器)攜帶該票據(jù)去訪問該授權(quán)資源；該資源又將該票據(jù)與單點(diǎn)登錄服務(wù)進(jìn)行兌換，得到該用戶對(duì)應(yīng)的授權(quán)資源賬號(hào)，進(jìn)而成功地訪問該資源；由于獲取票據(jù)和兌換票據(jù)都是在后臺(tái)進(jìn)行的，對(duì)用戶不可見，這樣每次訪問資源時(shí)就不需要進(jìn)行登錄驗(yàn)證，這樣就實(shí)現(xiàn)了單點(diǎn)登錄。

以上所述僅為本發(fā)明的較佳實(shí)施例而已，并不用以限制本發(fā)明，凡在本 發(fā)明的精神和原則之內(nèi)，所作的任何修改、等同替換、改進(jìn)等，均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。