CN107819564A - 一种基于公开密钥基础设施的单点登录系统的设计方法 - Google Patents
一种基于公开密钥基础设施的单点登录系统的设计方法 Download PDFInfo
- Publication number
- CN107819564A CN107819564A CN201610813420.0A CN201610813420A CN107819564A CN 107819564 A CN107819564 A CN 107819564A CN 201610813420 A CN201610813420 A CN 201610813420A CN 107819564 A CN107819564 A CN 107819564A
- Authority
- CN
- China
- Prior art keywords
- authentication
- public key
- login
- user
- key infrastructure
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000013461 design Methods 0.000 title claims abstract description 23
- 238000000034 method Methods 0.000 title claims abstract description 23
- 230000006854 communication Effects 0.000 claims description 6
- 238000004891 communication Methods 0.000 claims description 5
- 238000005516 engineering process Methods 0.000 abstract description 3
- 230000007246 mechanism Effects 0.000 description 6
- 230000005540 biological transmission Effects 0.000 description 5
- 238000012795 verification Methods 0.000 description 3
- 230000002457 bidirectional effect Effects 0.000 description 1
- 238000000151 deposition Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000009897 systematic effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/006—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving public key infrastructure [PKI] trust models
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
Abstract
一种基于公开密钥基础设施的单点登录系统的设计方法,其内容包括,本方法研究了一种安全性高、应用范围广的单点登录系统.通过使用公开密钥基础设施和中间件技术,设计并实现了一种基于公开密钥基础设施的单点登录系统.通过实现授权应用登录代理、基于安全套接字层(SSL)协议的身份认证及登录凭证库的集中管理,能够完成对授权应用的安全、透明登录,构建了独立的认证机构(CA),不需要对现有应用做任何改动,就能实现一个安全、透明、使用方便的单点登录系统。
Description
技术领域
本发明涉及一种单点登录系统的设计方法,尤其涉及一种基于公开密钥基础设施的单点登录系统的设计方法。
背景技术
单点登录系统通过一次身份验证,可以透明登录所有授权应用,使用单点登录系统的意义如下:
①自动完成用户对应用的登录:只要用户点击授权应用图标,可以即时访问该应用系统,由于不需要用户手动输入用户名和口令,提高了用户工作效率;
②减少用户等待时间:不会因密码被忘记或被窃取增加等待时间,直接改进业务过程,并提高系统性能;
③利用强认证机制对用户进行基本身份验证,提高了登录的安全性;
④提高整体安全性并降低风险,通过单点登录系统访问应用,实际上相当于增加了对用户身份验证的另一种验证方式,即采用双重验证方式,对每个用户的密码信息加密存储在中心库中,增加了系统的安全性,由于二级登录由系统自动完成,登录的口令可以设计得相当复杂,这使得黑客进行口令猜测攻击变得困难;
目前有多种单点登录系统,如Novell公司的SSO系统,Microsoft公司在Windows2000中集成的单点登录系统等,这些系统的主要问题在于只能在本公司产品环境中实现单点登录功能,对于其他公司的各种授权应用,不能将其集成进来,实现单点登录,因此应用范围具有局限性;
为了实现安全性高,应用范围广,容易实施的单点登录系统,采用了如下设计思想:
①采用中间件技术支持对二级授权应用的登录;
②对登录凭证库进行集中管理;
③使用基于PKI的身份认证机制;
系统的实现关键点在于:①操作方便、安全性能高的客户端;②可靠的用户身份验证机制;③登录凭证库的管理和安全传输;
其中用户身份的认证机制是整个系统的核心,几种典型的身份认证机制如下:基于令牌的身份认证,基于Kerberos的身份认证,基于PKI的身份认证.本系统采用了X.509的三向认证机制;
通过本系统的实现,解决了在PKI基础上的门户控制和单点登录问题,是PKI的一个典型应用。
发明内容
一种基于公开密钥基础设施的单点登录系统的设计方法,其特征在于, KSSO系统的整体结构和运行过程,主要包括客户端用户操作界面、客户端登录代理、身份认证服务器、二级登录凭证库、LDAP目录服务器、SSL通信、KSSO认证机构几个部分。
二级登录凭证指的是登录具有登录窗口应用所需的信息,如用户名、口令等信息.LDAP目录服务器用来保存用户的数字证书、证书注销列表以及用户的信息,用PSSO表示KSSO客户端程序,KSSO系统运行流程设计如下:
①输入用户名和基本登录密码(私钥库密码);
②与身份认证服务器进行SSL握手,PSSO与身份认证服务器进行相互身份认证;
③身份认证服务器利用该用户证书的主题名在数据库中查找该用户的二级登录凭证库数据;
④身份认证服务器将该用户的二级登录凭证库数据加密后传给PSSO;
⑤ PSSO将二级登录凭证库解密后,用自己产生的对称密钥重新加密,保存到缓存器中;
⑥根据该凭证库所拥有的授权应用的名称,在PSSO授权应用主窗口中显示出所有授权应用的图标;
⑦启动某授权应用,根据该授权应用所对应的登录凭证,提取出用户名、口令、登录框ID等登录凭证参数;
⑧监测该授权应用登录框的出现,当其出现后,自动将用户名和口令填入,并自动提交,透明地完成二级登录过程。
一种基于公开密钥基础设施的单点登录系统的设计方法,其特征在于,基于X.509证书的身份认证,在KSSO的设计中,由身份认证服务器对每个用户的身份进行验证并传送通过验证的用户的二级登录凭证库。
KSSO采用对等认证方式:即服务器端需要对客户端的身份进行认证,同时客户端也需要对服务器端的身份进行认证,其具体流程如下所示,对用户身份的认证过程如下:
①要求客户端提供数字证书;
②收到客户端发来的数字证书后,从传送的证书中获得相关信息;
③验证证书的有效性;
④若该证书有效,则提取出该证书主题名;
⑤通过用户数字证书的主题名在数据库中查找该用户的二级登录凭证库,将其加密后传送到客户端。
一种基于公开密钥基础设施的单点登录系统的设计方法,其特征在于,授权应用登录凭证的获取和使用,客户端应用程序的登录界面有多种方式,比如有基于Windows的登录窗口,有基于IE浏览器网页的登录界面,有基于Unix/Linux的登录窗口,有基于命令行的登录方式,要自动实现授权应用的登录过程,必须首先得到授权应用的登录凭证,这里登录凭证包括两个方面的内容:①用户名和口令;②完成自动登录所需要的登录窗口的特征信息(比如窗口标题,口令输入框ID等)。
KSSO目前实现了两种授权应用代理:基于Windows登录窗口的登录代理和基于IE浏览器网页的登录代理。
对于基于IE浏览器网页的登录凭证的获得方式有两种:手动和自动,
手动方式利用登录凭证建立向导完成,通过输入网页URL、用户名、口令建立该网页的登录凭证;
自动方式由PSSO自动完成:当浏览器打开某一个网页后,PSSO自动分析该网页中是否有用户名和口令输入框,并检测是否用户已经输入了用户名和口令,若用户输入了用户名和口令,则马上弹出对话框,提示用户是否保存该网页的登录凭证;
当授权应用的登录凭证已经建立好后,可以通过PSSO自动完成授权应用的登录。
一种基于公开密钥基础设施的单点登录系统的设计方法,其特征在于,用户注册,新用户在使用KSSO系统之前,首先需要在系统中进行注册,身份认证服务器通过验证用户的身份,根据本地的授权策略,决定是否允许该用户进行注册,若允许,则建立该用户的初始凭证库信息,并在LDAP目录服务器中登记该用户项。
本系统使用LDAP目录服务器保存所有用户的X.509数字证书和个人身份信息,以及证书注销列表;
二级登录凭证库用于存放每个用户的二级登录凭证信息,这里二级登录凭证库存放在SQL Server数据库中;
一种基于公开密钥基础设施的单点登录系统的设计方法,其特征在于,客户端与身份认证服务器的通信,SSL通信模块在KSSO系统中处于核心地位,它主要实现两个功能:①协助完成客户端和服务器端的双向身份认证;②完成用户二级登录凭证库的加密传输。
本系统利用SSL协议完成客户端与身份认证服务器的安全通信,并在其上层设计了应用层通信协议。
客户端与身份认证服务器建立SSL连接后,需要进行应用层的数据传送:凭证库数据的接收,凭证库数据的发送,注册请求,注册响应为此,设计了一个专用的应用层通信协议;
该应用层协议有两种报文类型:数据报文和控制报文,其中数据报文用于传送凭证库数据,控制报文用于传送握手消息以及通信过程中的警告消息。
一种基于公开密钥基础设施的单点登录系统的设计方法,其特征在于, KSSO认证机构(CA),KSSO认证机构用于给用户签发数字证书,并用于完成数字证书的注销、管理、查询等工作,这一部分是KSSO系统中一个比较独立的模块。
Claims (6)
1. 一种基于公开密钥基础设施的单点登录系统的设计方法,其特征在于, KSSO系统的整体结构和运行过程,主要包括客户端用户操作界面、客户端登录代理、身份认证服务器、二级登录凭证库、LDAP目录服务器、SSL通信、KSSO认证机构几个部分。
2.一种基于公开密钥基础设施的单点登录系统的设计方法,其特征在于,基于X.509证书的身份认证,在KSSO的设计中,由身份认证服务器对每个用户的身份进行验证并传送通过验证的用户的二级登录凭证库。
3.一种基于公开密钥基础设施的单点登录系统的设计方法,其特征在于,授权应用登录凭证的获取和使用,客户端应用程序的登录界面有多种方式,比如有基于Windows的登录窗口,有基于IE浏览器网页的登录界面,有基于Unix/Linux的登录窗口,有基于命令行的登录方式要,自动实现授权应用的登录过程,必须首先得到授权应用的登录凭证。
4.一种基于公开密钥基础设施的单点登录系统的设计方法,其特征在于,用户注册,新用户在使用KSSO系统之前,首先需要在系统中进行注册。
5.一种基于公开密钥基础设施的单点登录系统的设计方法,其特征在于,客户端与身份认证服务器的通信,SSL通信模块在KSSO系统中处于核心地位。
6.一种基于公开密钥基础设施的单点登录系统的设计方法,其特征在于, KSSO认证机构(CA),KSSO认证机构用于给用户签发数字证书,并用于完成数字证书的注销、管理、查询等工作。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610813420.0A CN107819564A (zh) | 2016-09-10 | 2016-09-10 | 一种基于公开密钥基础设施的单点登录系统的设计方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610813420.0A CN107819564A (zh) | 2016-09-10 | 2016-09-10 | 一种基于公开密钥基础设施的单点登录系统的设计方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107819564A true CN107819564A (zh) | 2018-03-20 |
Family
ID=61600321
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610813420.0A Pending CN107819564A (zh) | 2016-09-10 | 2016-09-10 | 一种基于公开密钥基础设施的单点登录系统的设计方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107819564A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109033791A (zh) * | 2018-07-13 | 2018-12-18 | 北京惠朗时代科技有限公司 | 一种通过pki登录用印系统的安全用印方法 |
| CN110287682A (zh) * | 2019-07-01 | 2019-09-27 | 北京芯盾时代科技有限公司 | 一种登录方法、装置及系统 |
| CN111447194A (zh) * | 2020-03-23 | 2020-07-24 | 格尔软件股份有限公司 | 一种利用数字证书增强单点登录安全性的方法 |
-
2016
- 2016-09-10 CN CN201610813420.0A patent/CN107819564A/zh active Pending
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109033791A (zh) * | 2018-07-13 | 2018-12-18 | 北京惠朗时代科技有限公司 | 一种通过pki登录用印系统的安全用印方法 |
| CN110287682A (zh) * | 2019-07-01 | 2019-09-27 | 北京芯盾时代科技有限公司 | 一种登录方法、装置及系统 |
| CN111447194A (zh) * | 2020-03-23 | 2020-07-24 | 格尔软件股份有限公司 | 一种利用数字证书增强单点登录安全性的方法 |
| CN111447194B (zh) * | 2020-03-23 | 2022-03-29 | 格尔软件股份有限公司 | 一种利用数字证书增强单点登录安全性的方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP2359576B1 (en) | Domain based authentication scheme | |
| US10116644B1 (en) | Network access session detection to provide single-sign on (SSO) functionality for a network access control device | |
| CN102638454B (zh) | 一种面向http身份鉴别协议的插件式单点登录集成方法 | |
| EP2304616B1 (en) | Method and system for single sign on with dynamic authentication levels | |
| CN102624737B (zh) | 单点登录系统中针对Form身份鉴别的单点登录集成方法 | |
| US8412156B2 (en) | Managing automatic log in to internet target resources | |
| US20040003287A1 (en) | Method for authenticating kerberos users from common web browsers | |
| CN101420416B (zh) | 身份管理平台、业务服务器、登录系统及方法、联合方法 | |
| US20150082411A1 (en) | Method of enabling a user to access a website using overlay authentication | |
| CN103986584A (zh) | 基于智能设备的双因子身份验证方法 | |
| CN111131301A (zh) | 一种统一鉴权授权方案 | |
| CN101902327A (zh) | 一种实现单点登录的方法、设备及其系统 | |
| WO2014048749A1 (en) | Inter-domain single sign-on | |
| CN103414684A (zh) | 一种单点登录方法及系统 | |
| CN102801808A (zh) | 一种面向WebLogic的Form身份鉴别的单点登录集成方法 | |
| Madsen et al. | Federated identity management for protecting users from ID theft | |
| CN104702562B (zh) | 终端融合业务接入方法、系统与终端 | |
| US10601809B2 (en) | System and method for providing a certificate by way of a browser extension | |
| CN104579681B (zh) | 互信应用系统间身份认证系统 | |
| CN108243164B (zh) | 一种电子政务云计算跨域访问控制方法和系统 | |
| CN107819564A (zh) | 一种基于公开密钥基础设施的单点登录系统的设计方法 | |
| KR101839049B1 (ko) | 서버단 세션 관리 방식 및 쿠키 정보 공유 방식을 병행 지원하는 싱글 사인온 인증 방법 | |
| KR101186695B1 (ko) | 연합 쿠키를 이용한 id 연합 기반의 사이트 연동 방법 | |
| JP6240102B2 (ja) | 認証システム、認証鍵管理装置、認証鍵管理方法および認証鍵管理プログラム | |
| CN105577667A (zh) | 多帐号一键登录及认证机制 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20180320 |