專利名稱:多級(jí)認(rèn)證方法和多級(jí)認(rèn)證系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù),尤其涉及一種多級(jí)認(rèn)證方法和多級(jí)認(rèn)證系統(tǒng)。
背景技術(shù):
隨著互聯(lián)網(wǎng)和企業(yè)信息化的不斷發(fā)展,用來(lái)實(shí)現(xiàn)統(tǒng)一認(rèn)證和單點(diǎn)登錄
(Single Sign On,以下簡(jiǎn)稱SSO)的身份認(rèn)證技術(shù)也隨之快速發(fā)展。
現(xiàn)有技術(shù)主要有三種身份認(rèn)證方式。 一個(gè)是基于傳輸層的統(tǒng)一身份認(rèn)證 方法。在該方法中,用戶首先在各種應(yīng)用系統(tǒng)處采用統(tǒng)一賬號(hào)進(jìn)行登錄,然 后所有的應(yīng)用系統(tǒng)都向統(tǒng)一身份認(rèn)證服務(wù)器發(fā)送驗(yàn)證請(qǐng)求,得到響應(yīng)消息后 應(yīng)用系統(tǒng)再?zèng)Q定是否提供服務(wù)給用戶。但是,該方法沒(méi)有單點(diǎn)登錄的功能即 再次訪問(wèn)時(shí)需要重新登錄,而只是進(jìn)行統(tǒng)一認(rèn)證。另一個(gè)是基于應(yīng)用層超文 本傳輸協(xié)議(Hypertext Transfer Protocol,以下簡(jiǎn)稱HTTP)傳輸?shù)慕y(tǒng)一身份認(rèn) 證及單點(diǎn)登錄方法。在該方法中,統(tǒng)一身份認(rèn)證服務(wù)器和服務(wù)提供者之間是 通過(guò)應(yīng)用層HTTP協(xié)議建立通信管道, 一般要使用HTTP重定向來(lái)完成通信, 而單點(diǎn)登錄一般都采用不安全的Cookie技術(shù)來(lái)實(shí)現(xiàn),體系結(jié)構(gòu)中服務(wù)提供商 的服務(wù)器一般都只能是web服務(wù)器。再一個(gè)是基于簡(jiǎn)單對(duì)象訪問(wèn)協(xié)議(Simple Object Access Protocol,以下簡(jiǎn)稱SOAP )傳輸?shù)慕y(tǒng)一身份認(rèn)證及單點(diǎn)登錄 方法。在該方法中,統(tǒng)一身份認(rèn)證服務(wù)器與服務(wù)提供者之間是采用SOAP傳 輸來(lái)建立通信管道。該方法完全基于XML技術(shù),采用安全斷言標(biāo)記語(yǔ)言 (Security Assertion Markup Language,以下簡(jiǎn)稱SAML)協(xié)議的形式來(lái)規(guī) 定統(tǒng)一身份認(rèn)證服務(wù)器和服務(wù)提供者之間交換的消息。
但是,現(xiàn)有技術(shù)是存在缺陷的。如果遇到諸如修改本地Cookie值之類的 攻擊時(shí),應(yīng)用基于Cookie的SSO可能會(huì)無(wú)法登陸或被人冒名登陸;如果有 惡意者通過(guò)攻擊域名系統(tǒng)(DomainName System,以下簡(jiǎn)稱DNS )服務(wù)器來(lái)劫持瀏覽器時(shí),Cookie將會(huì)被發(fā)送到其他的服務(wù)器上,從而使得用戶信息 被竊?。粣阂庹呖梢酝ㄟ^(guò)劫持?jǐn)?shù)據(jù)包或者利用破解算法或是找到調(diào)用接口在 外部調(diào)用算法接口來(lái)竊取用戶登錄信息;由于使用SSO進(jìn)行統(tǒng)一登陸,當(dāng)有 新系統(tǒng)接入或是兼容舊系統(tǒng)時(shí),需要對(duì)登錄功能模塊做較大調(diào)整,從而導(dǎo)致 效率和穩(wěn)定性降低,不能靈活擴(kuò)展。
發(fā)明內(nèi)容
本發(fā)明的目的是針對(duì)現(xiàn)有技術(shù)的缺陷,提供一種多級(jí)認(rèn)證方法和多級(jí)認(rèn) 證系統(tǒng),以達(dá)到認(rèn)證方式安全,擴(kuò)展靈活以及單點(diǎn)登錄、統(tǒng)一服務(wù)的效果。
為實(shí)現(xiàn)上述目的,本發(fā)明提供了一種多級(jí)認(rèn)證方法,包括
對(duì)接收到的資源訪問(wèn)請(qǐng)求進(jìn)行第一多級(jí)校驗(yàn),校驗(yàn)成功后返回訪問(wèn)憑證 索引和相應(yīng)的地址信息;
根據(jù)接收的訪問(wèn)憑證索引進(jìn)行第二多級(jí)校驗(yàn),校驗(yàn)成功后返回所述地址 信息所對(duì)應(yīng)的資源數(shù)據(jù)。
為實(shí)現(xiàn)上述目的,本發(fā)明還提供了一種多級(jí)認(rèn)證系統(tǒng),包括
第一校驗(yàn)?zāi)K,用于對(duì)接收到的資源訪問(wèn)請(qǐng)求進(jìn)行第一多級(jí)校驗(yàn),校驗(yàn) 成功后返回訪問(wèn)憑證索引和相應(yīng)的地址信息;
第二校驗(yàn)?zāi)K,用于根據(jù)接收的訪問(wèn)憑證索引進(jìn)行第二多級(jí)校驗(yàn),校驗(yàn) 成功后返回所述相應(yīng)的地址信息所對(duì)應(yīng)的資源數(shù)據(jù)。
由上述技術(shù)方案可知,本發(fā)明通過(guò)向用戶終端返回訪問(wèn)憑證索引而不是 訪問(wèn)憑證,能夠提高用戶訪問(wèn)信息的安全性。由于采用了多級(jí)認(rèn)證,能夠支 持多個(gè)認(rèn)證系統(tǒng)的接入和移除,在不改變現(xiàn)有的校驗(yàn)方式的情況下接入更多 的子系統(tǒng)資源,并使這些子系統(tǒng)資源能夠采用自己的校驗(yàn)方式進(jìn)行校驗(yàn),從 而達(dá)到擴(kuò)展靈活的效果,在用戶終端通過(guò)第 一多級(jí)校驗(yàn)后再訪問(wèn)子系統(tǒng)資源 的時(shí)候不需要重新校驗(yàn),從而達(dá)到單點(diǎn)登錄,統(tǒng)一服務(wù)的效果。
下面通過(guò)附圖和實(shí)施例,對(duì)本發(fā)明的技術(shù)方案做進(jìn)一步的詳細(xì)描述。
圖1為本發(fā)明多級(jí)認(rèn)^〖正方法第一實(shí)施例的流程圖2為本發(fā)明多級(jí)認(rèn)證方法第二實(shí)施例用戶登錄的流程圖3為本發(fā)明多級(jí)認(rèn)證方法第二實(shí)施例第一多級(jí)校驗(yàn)的流程圖4為本發(fā)明多級(jí)認(rèn)證方法第二實(shí)施例第二多級(jí)校驗(yàn)的流程圖5為本發(fā)明多級(jí)認(rèn)證系統(tǒng)第一實(shí)施例的結(jié)構(gòu)框圖6為本發(fā)明多級(jí)認(rèn)證系統(tǒng)第二實(shí)施例的結(jié)構(gòu)框圖。
具體實(shí)施例方式
圖1為本發(fā)明多級(jí)認(rèn)證方法第一實(shí)施例的流程圖。如圖1所示,該方法 包括
步驟101、對(duì)接收到的資源訪問(wèn)請(qǐng)求進(jìn)行第一多級(jí)校驗(yàn),校驗(yàn)成功后返 回訪問(wèn)憑證索? 1和相應(yīng)的地址信息;
本次多級(jí)校驗(yàn)是針對(duì)該資源訪問(wèn)請(qǐng)求中攜帶的與用戶登錄信息對(duì)應(yīng)的用 戶的合法身份進(jìn)行校驗(yàn),也就是判斷該用戶是否已經(jīng)登錄成功,且校驗(yàn)過(guò)程 為逐級(jí)校驗(yàn)。該校驗(yàn)過(guò)程可以為登錄認(rèn)證服務(wù)器對(duì)接收到的資源訪問(wèn)請(qǐng)求 進(jìn)行第一多級(jí)校驗(yàn),在校驗(yàn)失敗后,登錄認(rèn)證服務(wù)器就向用戶終端反饋資源 訪問(wèn)請(qǐng)求失敗信息,即說(shuō)明該用戶還沒(méi)有成功登錄;如果校驗(yàn)成功,說(shuō)明該 用戶已經(jīng)成功登錄,則向用戶終端返回訪問(wèn)憑證索引以及與該用戶的訪問(wèn)權(quán) 限對(duì)應(yīng)的地址信息。該訪問(wèn)憑證索引與該用戶的訪問(wèn)憑證是對(duì)應(yīng)的,該地址 信息就是該用戶有權(quán)訪問(wèn)的資源的地址信息。此處向用戶終端返回訪問(wèn)憑證 索引信息而不是直接返回訪問(wèn)憑證,因此用戶終端在登錄認(rèn)證服務(wù)器中存儲(chǔ) 的訪問(wèn)憑證是唯一的,而用戶終端在每次向登錄認(rèn)證服務(wù)器發(fā)送資源訪問(wèn)請(qǐng) 求時(shí)所使用的訪問(wèn)憑證索引是變化的,因此,能夠提供認(rèn)證的安全性。
步驟103、根據(jù)接收的訪問(wèn)憑證索引進(jìn)行第二多級(jí)校驗(yàn),校驗(yàn)成功后返 回該地址信息所對(duì)應(yīng)的資源lt據(jù)。用戶終端在訪問(wèn)上述地址信息想要獲取與該地址信息對(duì)應(yīng)的資源數(shù)據(jù) 時(shí),會(huì)將訪問(wèn)憑證索引以及該地址信息同時(shí)發(fā)送給單點(diǎn)登錄服務(wù)器,然后單 點(diǎn)登錄服務(wù)器即根據(jù)該訪問(wèn)憑證索引進(jìn)行第二多級(jí)校驗(yàn),在校驗(yàn)失敗時(shí)向用 戶終端反饋校驗(yàn)失敗信息,如果校驗(yàn)成功,則將與該地址信息對(duì)應(yīng)的資源數(shù) 據(jù)反饋給用戶終端。第二多級(jí)校驗(yàn)的過(guò)程事實(shí)上就是用戶終端所需訪問(wèn)的系
的過(guò)程。當(dāng)系統(tǒng)資源中集成了多個(gè)子系統(tǒng)資源,則各個(gè)子系統(tǒng)資源均可以采 用與自己向匹配的校驗(yàn)方式對(duì)用戶的訪問(wèn)權(quán)限進(jìn)行校驗(yàn)。
用戶訪問(wèn)信息的安全性。由于采用了多級(jí)認(rèn)證,能夠支持多個(gè)認(rèn)證系統(tǒng)的接 入和移除,在不改變現(xiàn)有的校驗(yàn)方式的情況下接入更多的子系統(tǒng)資源,并使 這些子系統(tǒng)資源能夠采用自己的校驗(yàn)方式進(jìn)行校驗(yàn),從而達(dá)到擴(kuò)展靈活的效 果,在用戶終端通過(guò)第 一多級(jí)校驗(yàn)后再訪問(wèn)子系統(tǒng)資源的時(shí)候不需要重新校 驗(yàn),從而達(dá)到單點(diǎn)登錄,統(tǒng)一服務(wù)的效果。
圖2-圖4為本發(fā)明多級(jí)認(rèn)證方法第二實(shí)施例的流程圖。本發(fā)明多級(jí)認(rèn) 證方法第二實(shí)施例包括用戶終端登錄獲取用戶令牌以及資源標(biāo)識(shí)列表的過(guò) 程、用戶終端獲取訪問(wèn)子系統(tǒng)的訪問(wèn)憑證索引的過(guò)程以及在訪問(wèn)子系統(tǒng)時(shí)對(duì)
圖2為本發(fā)明多級(jí)認(rèn)證方法第二實(shí)施例用戶終端登錄的流程圖。如圖2 所示,該圖即為用戶終端根據(jù)用戶登錄信息獲取用戶令牌和資源標(biāo)識(shí)列表的 流程圖。用戶登錄的過(guò)程包括
步驟201、用戶終端將用戶登錄信息發(fā)送給登錄認(rèn)證服務(wù)器。 該用戶登錄信息包括用戶名、密碼以及用戶終端的本地信息。該本地信 息既可以為用戶終端的IP地址,也可以為用戶終端的MAC地址。需要說(shuō)明的 是,在用戶終端向登錄認(rèn)證服務(wù)器傳輸用戶登錄信息前,可以采用安全套接 層(Secure Socket Layer,以下簡(jiǎn)稱SSL)協(xié)議對(duì)用戶名、密碼以及用戶 終端的本地信息進(jìn)行加密處理。步驟203、登錄認(rèn)證服務(wù)器從用戶信息數(shù)據(jù)庫(kù)中獲取與該用戶登錄信息 對(duì)應(yīng)的用戶信息并根據(jù)該用戶信息對(duì)用戶身份進(jìn)行校驗(yàn),
步驟205、判斷校驗(yàn)是否成功,如果成功則執(zhí)行步驟207,否則執(zhí)行步驟
209。
步驟207、生成用戶憑證,根據(jù)用戶憑證獲取用戶憑證索引,根據(jù)該用
戶憑證索引生成用戶令牌。
步驟209、登錄認(rèn)證服務(wù)器向用戶終端反饋校驗(yàn)失敗信息。
生成用戶令牌的過(guò)程即為對(duì)用戶憑證索引加密的過(guò)程,該過(guò)程也可采用
SSL協(xié)議進(jìn)行。
步驟211、登錄認(rèn)證服務(wù)器從用戶信息數(shù)據(jù)庫(kù)中獲取與用戶登錄信息對(duì) 應(yīng)的資源標(biāo)識(shí)列表。
資源的標(biāo)識(shí),在后續(xù)用戶終端可以通過(guò)發(fā)送該標(biāo)識(shí)登錄與該標(biāo)識(shí)對(duì)應(yīng)的子系 統(tǒng)進(jìn)行進(jìn)一 步的認(rèn)證。
步驟213、登錄認(rèn)證服務(wù)器將該用戶令牌和該資源標(biāo)識(shí)列表發(fā)送給用戶終端。
步驟215、用戶終端在瀏覽器緩存中設(shè)置與本次登錄對(duì)應(yīng)的進(jìn)程內(nèi) Cookie。
此處在瀏覽器緩存內(nèi)設(shè)置進(jìn)程內(nèi)Cookie,能夠使生成Cookie與用戶終 端的本地信息直接關(guān)聯(lián),從而使得從其它用戶終端上移植過(guò)來(lái)的Cookie都是 非法的,同時(shí)在瀏覽器的緩存中保留的Cookie是一個(gè)索引,因此即使一臺(tái)機(jī) 器在不同的時(shí)刻登錄,其產(chǎn)生的索引值也是不相同的,有效地解決了 Cookie 的修改替換問(wèn)題。
中,由于用戶終端發(fā)送的用戶名和密碼均采用SSL加密后的字符串,因此無(wú) 法解密,同時(shí)在生成用戶令牌的過(guò)程中還要使用用戶終端的本地信息,能夠 將該用戶令牌與用戶終端的本地信息綁定,而且返回給用戶終端的用戶令牌只是用戶身份憑證的索引值而非用戶身份憑證,因此,能夠有效地避免用戶 身份憑證被網(wǎng)絡(luò)劫持,有效防范DNS攻擊,保證了用戶信息的安全性。
圖3為本發(fā)明多級(jí)認(rèn)證方法第二實(shí)施例第一多級(jí)校驗(yàn)的流程圖。如圖3 所示,該第一多級(jí)校驗(yàn)的流程圖包括
步驟301、用戶終端向登錄認(rèn)證服務(wù)器發(fā)送資源訪問(wèn)請(qǐng)求。
在用戶終端已經(jīng)成功登錄系統(tǒng)時(shí),用戶終端就要使用該系統(tǒng)中的子系統(tǒng) 資源,于是用戶終端就要向登錄認(rèn)證服務(wù)器發(fā)送資源訪問(wèn)請(qǐng)求,請(qǐng)求訪問(wèn)子 系統(tǒng)資源,在該資源訪問(wèn)請(qǐng)求中攜帶了圖2中生成的用戶令牌和資源標(biāo)識(shí)。 該資源標(biāo)識(shí)即為資源標(biāo)識(shí)列表中的某一個(gè)標(biāo)識(shí),該標(biāo)識(shí)與用戶終端需要訪問(wèn) 的地址信息相對(duì)應(yīng)。
步驟303、登錄認(rèn)證服務(wù)器對(duì)用戶令牌進(jìn)行校驗(yàn)。
步驟305、根據(jù)校驗(yàn)結(jié)果進(jìn)行判斷,如果校驗(yàn)成功則執(zhí)行步驟307,否則 執(zhí)行步驟309;
判斷,如果校驗(yàn)成功就代表已經(jīng)成功登錄,即可對(duì)該用戶令牌進(jìn)行解密,獲 取該用戶令牌中的用戶憑證索引,如果校驗(yàn)不成功則說(shuō)明用戶終端還沒(méi)有成 功登錄上層系統(tǒng),向用戶終端發(fā)送用戶令牌校驗(yàn)失敗信息即通知用戶終端重 新登錄。
步驟309、登錄認(rèn)證服務(wù)器向用戶終端返回用戶令牌校驗(yàn)失敗信息
步驟311、判斷校驗(yàn)是否成功,如果成功則執(zhí)行步驟313,否則執(zhí)行步驟
315。
在圖2中用戶終端登錄注冊(cè)時(shí)即可獲取用戶憑證,該用戶憑證就存儲(chǔ)在 登錄認(rèn)證服務(wù)器中,步驟307中對(duì)該用戶憑證進(jìn)行校驗(yàn)即為將根據(jù)用戶令牌 獲取的用戶憑證與登錄認(rèn)證服務(wù)器中的用戶憑證進(jìn)行比對(duì),如果存在這樣的 用戶憑證則說(shuō)明用戶身份是合法的。步驟313、登錄認(rèn)證服務(wù)器從用戶信息數(shù)據(jù)庫(kù)中獲取與該用戶憑證對(duì)應(yīng) 的地址信息,生成訪問(wèn)憑證,并將該訪問(wèn)憑證索引和地址信息發(fā)送給用戶終 端。
步驟315、登錄認(rèn)證服務(wù)器向用戶終端返回用戶憑證校驗(yàn)失敗信息。
在步驟311校驗(yàn)成功時(shí),登錄認(rèn)證服務(wù)器就從用戶信息數(shù)據(jù)庫(kù)中獲取與 該用戶憑證的權(quán)限相符合的資源地址信息。該地址信息即為與用戶終端發(fā)送 的資源列表中需要訪問(wèn)的資源標(biāo)識(shí)對(duì)應(yīng)的地址信息。同時(shí)還要生成用戶有權(quán) 限訪問(wèn)該子系統(tǒng)的訪問(wèn)憑證,并將該訪問(wèn)憑證所對(duì)應(yīng)的訪問(wèn)憑證索引和地址 信息發(fā)送給用戶終端。
在上述第一校驗(yàn)的過(guò)程中, 一共使用了兩級(jí)校驗(yàn)。首先,對(duì)用戶令牌的 校驗(yàn)保證了資源訪問(wèn)請(qǐng)求必須從已經(jīng)成功登錄的合法的用戶終端發(fā)送而來(lái), 由于該用戶令牌中以經(jīng)包括了用戶終端的本地信息,因此能夠防止其它用戶 終端篡改或使用本用戶終端的合法信息;其次,在用戶令牌校驗(yàn)成功后對(duì)進(jìn) 一步對(duì)用戶憑證進(jìn)行校驗(yàn),即與服務(wù)器中保存的用戶信息進(jìn)行校驗(yàn),能夠進(jìn) 一步提高身份認(rèn)證的可靠性。
圖4為本發(fā)明多級(jí)認(rèn)證方法第二實(shí)施例第二多級(jí)校驗(yàn)的流程圖。如圖4 所示,該第二多級(jí)校驗(yàn)包括
步驟401、用戶終端向單點(diǎn)登錄代理服務(wù)器發(fā)送地址信息以及訪問(wèn)憑證 索引。
戶終端向單點(diǎn)登錄代理服務(wù)器發(fā)送地址信息即為請(qǐng)求訪問(wèn)與該地址信息對(duì)應(yīng) 的資源數(shù)據(jù),在發(fā)送的同時(shí)還要發(fā)送用戶終端的訪問(wèn)憑證索引,該訪問(wèn)憑證 索引即為用戶終端在當(dāng)前所要訪問(wèn)的子系統(tǒng)中的身份憑證。
步驟403、單點(diǎn)登錄代理服務(wù)器根據(jù)該訪問(wèn)憑證索引判斷是否存在與該 訪問(wèn)憑證索引對(duì)應(yīng)的訪問(wèn)憑證,如果不存在則執(zhí)行步驟405,否則執(zhí)行步驟 407。
該判斷過(guò)程即為單點(diǎn)登錄服務(wù)器對(duì)該訪問(wèn)憑證索引進(jìn)行校驗(yàn),查詢?cè)撚脩艚K端的訪問(wèn)憑證索引是否有效即當(dāng)前單點(diǎn)登錄代理服務(wù)器中是否存在該訪 問(wèn)憑證索引。
步驟405、單點(diǎn)登錄代理服務(wù)器向用戶終端返回訪問(wèn)失敗信息。 步驟407、單點(diǎn)登錄服務(wù)器根據(jù)訪問(wèn)憑證索引對(duì)訪問(wèn)憑證進(jìn)行校驗(yàn)。 步驟409、判斷校驗(yàn)是否成功,如果失敗則執(zhí)行步驟411,否則執(zhí)行步驟
413。
步驟411、向用戶終端返回訪問(wèn)失敗信息。
步驟413、單點(diǎn)登錄服務(wù)器從用戶信息數(shù)據(jù)庫(kù)中獲取用戶權(quán)限信息,并 向用戶終端返回與用戶權(quán)限信息對(duì)應(yīng)的資源數(shù)據(jù)。
步驟415、單點(diǎn)登錄代理服務(wù)器刪除訪問(wèn)憑證索引。
在單點(diǎn)登錄服務(wù)器向用戶終端返回對(duì)應(yīng)的資源數(shù)據(jù)后,單點(diǎn)登錄代理服 務(wù)器要將本次訪問(wèn)子系統(tǒng)資源的訪問(wèn)憑證索引。在下次訪問(wèn)時(shí)又使用的是不
同的訪問(wèn)憑證索引,因此能夠提高系統(tǒng)資源的訪問(wèn)安全性。
在上述第二多級(jí)校驗(yàn)的過(guò)程中,也使用了兩級(jí)校驗(yàn)。用戶在訪問(wèn)子系統(tǒng)
高用戶訪問(wèn)信息的安全性。在傳輸該訪問(wèn)憑證索引的過(guò)程中也可以使用SSL 協(xié)議對(duì)該訪問(wèn)憑證索引進(jìn)行加密以提高傳輸安全性。由于采用的是多級(jí)認(rèn)證 的方式,因此單點(diǎn)登錄代理服務(wù)器可以無(wú)縫接入任意子系統(tǒng),在用戶需要訪 問(wèn)該子系統(tǒng)的時(shí)候該子系統(tǒng)就可以采用自己的校驗(yàn)方式對(duì)用戶訪問(wèn)憑證進(jìn)行 校驗(yàn),擴(kuò)展十分方便靈活。
綜上可知,本發(fā)明多級(jí)認(rèn)證方法使生成的Cookie與用戶終端的本地信息 直接關(guān)聯(lián),這樣任何從其他用戶終端上移植過(guò)來(lái)的cookie都是非法的,而且 可以有效的避免被網(wǎng)絡(luò)劫持,同時(shí)在整個(gè)過(guò)程中傳輸?shù)亩际菓{證的索引值, 該索引值為動(dòng)態(tài)生成,因此,即使是同一臺(tái)機(jī)器在不同時(shí)期登陸,產(chǎn)生的索 引值都不同,從而有效解決了 Cookie的修改替換問(wèn)題。在傳輸?shù)倪^(guò)程中,可 以對(duì)用戶名、密碼以及各個(gè)索引應(yīng)用SSL進(jìn)行加密傳輸,可以防范DNS攻擊。 該方法支持多個(gè)認(rèn)證系統(tǒng)的接入,可以無(wú)縫的把登陸認(rèn)證或是系統(tǒng)校驗(yàn)的權(quán)限交接給各個(gè)子系統(tǒng),這樣使接入到認(rèn)證系統(tǒng)的子系統(tǒng)無(wú)"i侖接入還是移除都 非常靈活。而且,在用戶終端通過(guò)第一多級(jí)校驗(yàn)后,再訪問(wèn)子系統(tǒng)資源的時(shí) 候不需要重新校驗(yàn),從而達(dá)到單點(diǎn)登錄,統(tǒng)一服務(wù)的效果。圖5為本發(fā)明多級(jí)認(rèn)證系統(tǒng)第一實(shí)施例的結(jié)構(gòu)框圖。如圖5所示,該系統(tǒng)包括第一校驗(yàn)?zāi)K1和第二校驗(yàn)?zāi)K2。第一校驗(yàn)?zāi)K1對(duì)接收到的資 源訪問(wèn)請(qǐng)求進(jìn)行第一多級(jí)校驗(yàn),校驗(yàn)成功后返回訪問(wèn)憑證索? 1和相應(yīng)的地址 信息;第二校驗(yàn)?zāi)K2根據(jù)接收的訪問(wèn)憑證索引進(jìn)行第二多級(jí)校驗(yàn),校驗(yàn)成 功后返回相應(yīng)的地址信息所對(duì)應(yīng)的資源數(shù)據(jù)。具體地,第一校驗(yàn)?zāi)K1對(duì)接收到的資源訪問(wèn)請(qǐng)求進(jìn)行第一多級(jí)校驗(yàn), 在校驗(yàn)失敗后,第一校驗(yàn)?zāi)K1就向用戶終端反饋資源訪問(wèn)請(qǐng)求失敗信息, 即說(shuō)明該用戶還沒(méi)有成功登錄;如果校驗(yàn)成功,說(shuō)明該用戶已經(jīng)成功登錄, 則向用戶終端返回訪問(wèn)憑證索引以及與該用戶的訪問(wèn)權(quán)限對(duì)應(yīng)的地址信息。 該訪問(wèn)憑證索引與該用戶的訪問(wèn)憑證是對(duì)應(yīng)的,該地址信息就是該用戶有權(quán)返回訪問(wèn)憑證,因此用戶終端在第一校驗(yàn)?zāi)Kl中存儲(chǔ)的訪問(wèn)憑證是唯一的, 而用戶終端在每次向登錄認(rèn)證服務(wù)器發(fā)送資源訪問(wèn)請(qǐng)求時(shí)所使用的訪問(wèn)憑證 索引是變化的,因此,能夠提供認(rèn)證的安全性。用戶終端在訪問(wèn)上述地址信息想要獲取與該地址信息對(duì)應(yīng)的資源數(shù)據(jù) 時(shí),會(huì)將訪問(wèn)憑證索引以及該地址信息同時(shí)發(fā)送給第二校驗(yàn)?zāi)K2,然后第 二校驗(yàn)?zāi)K2根據(jù)該訪問(wèn)憑證索引進(jìn)行第二多級(jí)校驗(yàn),在校驗(yàn)失敗時(shí)向用戶 終端反饋校驗(yàn)失敗信息,如果校驗(yàn)成功,則將與該地址信息對(duì)應(yīng)的資源數(shù)據(jù) 反饋給用戶終端。第二校驗(yàn)?zāi)K2的校驗(yàn)過(guò)程事實(shí)上就是用戶終端所需訪問(wèn)校驗(yàn)的過(guò)程。當(dāng)系統(tǒng)資源中集成了多個(gè)子系統(tǒng)資源,則各個(gè)子系統(tǒng)資源均可本實(shí)施例第一校驗(yàn)?zāi)K向用戶終端返回訪問(wèn)憑證索引而不是訪問(wèn)憑證, 提高了用戶訪問(wèn)信息的安全性。第二校驗(yàn)?zāi)K支持多個(gè)認(rèn)證系統(tǒng)的接入和移除,在不改變現(xiàn)有的校驗(yàn)方式的情況下接入更多的子系統(tǒng)資源,并使這些子 系統(tǒng)資源能夠采用自己的校驗(yàn)方式進(jìn)行校驗(yàn),從而達(dá)到擴(kuò)展靈活的效果,在 用戶終端通過(guò)第 一校驗(yàn)?zāi)K的校驗(yàn)后再訪問(wèn)子系統(tǒng)資源的時(shí)候不需要重新校 驗(yàn),從而達(dá)到單點(diǎn)登錄,統(tǒng)一服務(wù)的效果。圖6為本發(fā)明多級(jí)認(rèn)證系統(tǒng)第二實(shí)施例的結(jié)構(gòu)框圖。如圖6所示,該系統(tǒng)包括第一校驗(yàn)?zāi)K1和第二校驗(yàn)?zāi)K2。第一校驗(yàn)?zāi)K1對(duì)接收到的資 源訪問(wèn)請(qǐng)求進(jìn)行第一多級(jí)校驗(yàn),校驗(yàn)成功后返回訪問(wèn)憑證索;1和相應(yīng)的地址 信息;第二校驗(yàn)?zāi)K2根據(jù)接收的訪問(wèn)憑證索引進(jìn)行第二多級(jí)校驗(yàn),校驗(yàn)成 功后返回相應(yīng)的地址信息所對(duì)應(yīng)的資源數(shù)據(jù)。該系統(tǒng)還包括用戶終端3和 用戶信息數(shù)據(jù)庫(kù)4。用戶終端3向第一校驗(yàn)?zāi)K1發(fā)送資源訪問(wèn)請(qǐng)求,并在 第一校驗(yàn)?zāi)K1校驗(yàn)成功時(shí)向第二校驗(yàn)?zāi)K2發(fā)送訪問(wèn)憑證索引;用戶信息 數(shù)據(jù)庫(kù)4中存儲(chǔ)了第一校驗(yàn)?zāi)K1進(jìn)行第一多級(jí)校驗(yàn)所需的用戶信息以及第 二校驗(yàn)?zāi)K2完成第二校驗(yàn)后向用戶終端3返回的與地址信息對(duì)應(yīng)的資源數(shù) 據(jù)。該第一校驗(yàn)?zāi)K1可以進(jìn)一步包括登錄校驗(yàn)單元10和認(rèn)證校驗(yàn)單元 11 。登錄校驗(yàn)單元10對(duì)用戶終端3發(fā)送的用戶令牌進(jìn)行校驗(yàn),校驗(yàn)成功時(shí)從 用戶令牌中獲取用戶憑證索引;認(rèn)證校驗(yàn)單元11根據(jù)該用戶憑證索引對(duì)用戶 憑證進(jìn)行校驗(yàn),校驗(yàn)成功時(shí)從用戶信息數(shù)據(jù)庫(kù)4中獲取相應(yīng)的地址信息,生 成訪問(wèn)憑證,并將該訪問(wèn)憑證索引和相應(yīng)的地址信息發(fā)送給用戶終端3。該 第二校驗(yàn)?zāi)K2可以進(jìn)一步包括單點(diǎn)登錄代理單元20和單點(diǎn)登錄服務(wù)單元 21。單點(diǎn)登錄代理單元20根據(jù)訪問(wèn)憑證索引判斷是否存在與該訪問(wèn)憑證索引 對(duì)應(yīng)的訪問(wèn)憑證;單點(diǎn)登錄服務(wù)單元21在存在訪問(wèn)憑證時(shí)對(duì)該訪問(wèn)憑證進(jìn)行 校驗(yàn),在校驗(yàn)成功時(shí)從用戶信息數(shù)據(jù)庫(kù)4中獲取用戶權(quán)限信息,并向用戶終 端3返回與用戶權(quán)限信息對(duì)應(yīng)的資源數(shù)據(jù)。具體地,用戶終端3將用戶登錄信息發(fā)送給第一校驗(yàn)?zāi)K1中的登錄校 驗(yàn)單元IO。該用戶登錄信息包括用戶名、密碼以及用戶終端的本地信息。該 本地信息既可以為用戶終端的IP地址,也可以為用戶終端的MAC地址。需要 說(shuō)明的是,在用戶終端向登錄認(rèn)證服務(wù)器傳輸用戶登錄信息前,可以采用SSL協(xié)議對(duì)用戶名、密碼以及用戶終端的本地信息進(jìn)行加密處理。登錄校驗(yàn)單元IO從用戶信息數(shù)據(jù)庫(kù)4中獲取與該用戶登錄信息對(duì)應(yīng)的用戶信息并根據(jù)該用 戶信息對(duì)用戶身份進(jìn)行校驗(yàn),如果校驗(yàn)失敗向用戶終端3反饋校驗(yàn)失敗信息, 否則,認(rèn)證校驗(yàn)單元11生成用戶憑證,根據(jù)用戶憑證獲取用戶憑證索引,根 據(jù)該用戶憑證索引生成用戶令牌。生成用戶令牌的過(guò)程即為對(duì)用戶憑證索引 加密的過(guò)程,該過(guò)程也可采用SSL協(xié)議進(jìn)行。登錄校驗(yàn)單元IO從用戶信息數(shù) 據(jù)庫(kù)4中獲:f又與用戶登錄信息對(duì)應(yīng)的資源標(biāo)識(shí)列表。該資源標(biāo)識(shí)列表中包括 與該用戶的訪問(wèn)權(quán)限匹配的所有可以訪問(wèn)的系統(tǒng)資源的標(biāo)識(shí),在后續(xù)用戶終 端可以通過(guò)發(fā)送該標(biāo)識(shí)登錄與該標(biāo)識(shí)對(duì)應(yīng)的子系統(tǒng)進(jìn)行進(jìn)一步的認(rèn)證。最后, 登錄校驗(yàn)單元10將該用戶令牌和該資源標(biāo)識(shí)列表發(fā)送給用戶終端3。此時(shí)用 戶終端3可以在瀏覽器緩存中設(shè)置與本次登錄對(duì)應(yīng)的進(jìn)程內(nèi)Cookie,該設(shè)置 能夠使生成的Cookie與用戶終端的本地信息直接關(guān)聯(lián),從而使得從其它用戶 終端上移植過(guò)來(lái)的Cookie都是非法的,同時(shí)在瀏覽器的緩存中保留的Cookie 是一個(gè)索引,因此即使一臺(tái)機(jī)器在不同的時(shí)刻登錄,其產(chǎn)生的索引值也是不 相同的,有效地解決了 Cookie的修改替換問(wèn)題。上述用戶終端從登錄認(rèn)證服務(wù)器獲取用戶令牌和資源標(biāo)識(shí)列表的方法 中,由于用戶終端發(fā)送的用戶名和密碼均采用SSL加密后的字符串,因此無(wú) 法解密,同時(shí)在生成用戶令牌的過(guò)程中還要使用用戶終端的本地信息,能夠 將該用戶令牌與用戶終端的本地信息綁定,而且返回給用戶終端的用戶令牌 只是用戶身份憑證的索引值而非用戶身份憑證,因此,能夠有效地避免用戶 身份憑證被網(wǎng)絡(luò)劫持,有效防范DNS攻擊,保證了用戶信息的安全性。在用戶終端3獲取用戶令牌和資源標(biāo)識(shí)列表后,再向登錄校驗(yàn)單元10發(fā) 送資源訪問(wèn)請(qǐng)求。在用戶終端已經(jīng)成功登錄系統(tǒng)時(shí),用戶終端就要使用該系統(tǒng)中的子系統(tǒng) 資源,于是用戶終端就要向登錄認(rèn)證服務(wù)器發(fā)送資源訪問(wèn)請(qǐng)求,請(qǐng)求訪問(wèn)子 系統(tǒng)資源。該資源標(biāo)識(shí)即為資源標(biāo)識(shí)列表中的某一個(gè)標(biāo)識(shí),該標(biāo)識(shí)與用戶終 端需要訪問(wèn)的地址信息相對(duì)應(yīng)。然后,登錄校驗(yàn)單元IO對(duì)用戶令牌進(jìn)行校驗(yàn),校驗(yàn)失敗則向用戶終端3返回用戶令牌校驗(yàn)失敗信息,否則認(rèn)證校驗(yàn)單元11從用戶令牌中獲取用戶憑 證索引并根據(jù)用戶憑證索引對(duì)用戶憑證進(jìn)行校驗(yàn)。判斷,如果校驗(yàn)成功就代表已經(jīng)成功登錄,即可對(duì)該用戶令牌進(jìn)行解密,獲 取該用戶令牌中的用戶憑證索引,如果校驗(yàn)不成功則說(shuō)明用戶終端還沒(méi)有成功登錄上層系統(tǒng),向用戶終端3發(fā)送用戶令牌校驗(yàn)失敗信息即通知用戶終端 3重新登錄。憑證校驗(yàn)失敗信息,否則登錄校驗(yàn)單元10從用戶信息數(shù)據(jù)庫(kù)4中獲取與該用 戶憑證對(duì)應(yīng)的地址信息,生成訪問(wèn)憑證,并將該訪問(wèn)憑證索引和地址信息發(fā) 送給用戶終端3。在用戶終端3登錄注冊(cè)時(shí)即可獲取用戶憑證,該用戶憑證就存儲(chǔ)在認(rèn)證 校驗(yàn)?zāi)Kll中,在校驗(yàn)時(shí),認(rèn)證校驗(yàn)?zāi)K11將根據(jù)用戶令牌獲取的用戶憑 證與其存儲(chǔ)的用戶憑證進(jìn)行比對(duì),如果存在這樣的用戶憑證則說(shuō)明用戶身份 是合法的。然后登錄校驗(yàn)?zāi)K10就從用戶信息數(shù)據(jù)庫(kù)4中獲取與該用戶憑證 的權(quán)限相符合的資源地址信息。該地址信息即為與用戶終端發(fā)送的資源列表 中需要訪問(wèn)的資源標(biāo)識(shí)對(duì)應(yīng)的地址信息。同時(shí)還要生成用戶有權(quán)限訪問(wèn)該子 系統(tǒng)的訪問(wèn)憑證,并將該訪問(wèn)憑證所對(duì)應(yīng)的訪問(wèn)憑證索引和地址信息發(fā)送給 用戶終端3。在用戶終端3獲取訪問(wèn)憑證后就要進(jìn)一步使用子系統(tǒng)資源數(shù)據(jù)。首先, 用戶終端3向第二校驗(yàn)?zāi)K2中的單點(diǎn)登錄代理單元20發(fā)送地址信息以及訪 問(wèn)憑證索引。用戶終端3向單點(diǎn)登錄代理單元20發(fā)送地址信息即為請(qǐng)求訪問(wèn)與該地址信息 對(duì)應(yīng)的資源數(shù)據(jù),在發(fā)送的同時(shí)還要發(fā)送用戶終端的訪問(wèn)憑證索引,該訪問(wèn) 憑證索引即為用戶終端3在當(dāng)前所要訪問(wèn)的子系統(tǒng)中的身份憑證。然后,單點(diǎn)登錄代理單元20根據(jù)該訪問(wèn)憑證索引判斷是否存在與該訪問(wèn) 憑證索引對(duì)應(yīng)的訪問(wèn)憑證,如果不存在則向用戶終端3返回訪問(wèn)失敗信息, 否則單點(diǎn)登錄服務(wù)單元21根據(jù)訪問(wèn)憑證索引對(duì)訪問(wèn)憑證進(jìn)行校驗(yàn)。如果校驗(yàn)失敗則向用戶終端3返回訪問(wèn)失敗信息,否則,單點(diǎn)登錄服務(wù)單元21從用戶 信息數(shù)據(jù)庫(kù)4中獲取用戶權(quán)限信息,并向用戶終端3返回與用戶權(quán)限信息對(duì) 應(yīng)的資源數(shù)據(jù)。最后,單點(diǎn)登錄代理單元還要?jiǎng)h除訪問(wèn)憑證索引。在單點(diǎn)登 錄服務(wù)器向用戶終端返回對(duì)應(yīng)的資源數(shù)據(jù)后,單點(diǎn)登錄代理服務(wù)器要將本次 訪問(wèn)子系統(tǒng)資源的訪問(wèn)憑證索引。在下次訪問(wèn)時(shí)又使用的是不同的訪問(wèn)憑證 索引,因此能夠提高系統(tǒng)資源的訪問(wèn)安全性。綜上可知,本發(fā)明多級(jí)認(rèn)證系統(tǒng)采用第 一校驗(yàn)?zāi)K和第二校驗(yàn)?zāi)K進(jìn)行 多級(jí)校驗(yàn),使生成的Cookie與用戶終端的本地信息直接關(guān)聯(lián),這樣任何從其 他用戶終端上移植過(guò)來(lái)的cookie都是非法的,而且可以有效的避免^皮網(wǎng)絡(luò)劫 持,同時(shí)在整個(gè)過(guò)程中傳輸?shù)亩际菓{證的索引值,該索引值為動(dòng)態(tài)生成,因 此,即使是同一臺(tái)機(jī)器在不同時(shí)期登陸,產(chǎn)生的索引值都不同,從而有效解 決了 Cookie的修改替換問(wèn)題。在傳輸?shù)倪^(guò)程中,可以對(duì)用戶名、密碼以及各 個(gè)索引應(yīng)用SSL進(jìn)行加密傳輸,可以防范DNS攻擊。該系統(tǒng)由于對(duì)子系統(tǒng)訪 問(wèn)權(quán)限的校驗(yàn)為逐級(jí)進(jìn)行,因此支持多個(gè)認(rèn)證系統(tǒng)的接入,可以無(wú)縫的把登 陸認(rèn)證或是系統(tǒng)校驗(yàn)的權(quán)限交接給各個(gè)子系統(tǒng),這樣使接入到認(rèn)證系統(tǒng)的子 系統(tǒng)無(wú)論接入還是移除都非常靈活。而且,在用戶終端通過(guò)第一多級(jí)校驗(yàn)后, 再訪問(wèn)子系統(tǒng)資源的時(shí)候不需要重新校驗(yàn),從而達(dá)到單點(diǎn)登錄,統(tǒng)一服務(wù)的 效果。最后應(yīng)說(shuō)明的是以上實(shí)施例僅用以說(shuō)明本發(fā)明的技術(shù)方案而非對(duì)其進(jìn)行 限制,盡管參照較佳實(shí)施例對(duì)本發(fā)明進(jìn)行了詳細(xì)的說(shuō)明,本領(lǐng)域的普通技術(shù) 人員應(yīng)當(dāng)理解其依然可以對(duì)本發(fā)明的技術(shù)方案進(jìn)行修改或者等同替換,而 這些修改或者等同替換亦不能使修改后的技術(shù)方案脫離本發(fā)明技術(shù)方案的精 神和范圍。
權(quán)利要求
1、一種多級(jí)認(rèn)證方法,其特征在于,包括對(duì)接收到的資源訪問(wèn)請(qǐng)求進(jìn)行第一多級(jí)校驗(yàn),校驗(yàn)成功后返回訪問(wèn)憑證索引和相應(yīng)的地址信息;根據(jù)接收的訪問(wèn)憑證索引進(jìn)行第二多級(jí)校驗(yàn),校驗(yàn)成功后返回所述地址信息所對(duì)應(yīng)的資源數(shù)據(jù)。
2、 根據(jù)權(quán)利要求1所述的多級(jí)認(rèn)證方法,其特征在于,所述對(duì)接收到的 資源訪問(wèn)請(qǐng)求進(jìn)行第一多級(jí)校驗(yàn)之前包括用戶終端發(fā)送資源訪問(wèn)請(qǐng)求,所 述資源訪問(wèn)請(qǐng)求中攜帶用戶令牌和資源標(biāo)識(shí)。
3、 根據(jù)權(quán)利要求2所述的多級(jí)認(rèn)證方法,其特征在于,所述用戶終端發(fā) 送資源訪問(wèn)請(qǐng)求之前包括所述用戶終端根據(jù)用戶登錄信息獲取所述用戶令牌和所述資源標(biāo)識(shí)列 表,所述用戶登錄信息包括用戶名、密碼以及所述用戶終端的本地信息。
4、 根據(jù)權(quán)利要求3所述的多級(jí)認(rèn)證方法,其特征在于,所述用戶終端根 據(jù)用戶登錄信息獲取所述用戶令牌和所述資源標(biāo)識(shí)列表之后包括所述用戶終端在瀏覽器緩存中設(shè)置與本次登錄對(duì)應(yīng)的進(jìn)程內(nèi)Cookie。
5、 根據(jù)權(quán)利要求4所述的多級(jí)認(rèn)證方法,其特征在于,所述返回訪問(wèn)憑 證索引和相應(yīng)的地址信息之后包括用戶終端接收所述訪問(wèn)憑證索引和相應(yīng)的地址信息。
6、 根據(jù)權(quán)利要求5所述的多級(jí)認(rèn)證方法,其特征在于,所述根據(jù)接收的 訪問(wèn)憑證索《I進(jìn)行第二多級(jí)校驗(yàn)之前包括所述用戶終端發(fā)送所述相應(yīng)的地址信息以及所述訪問(wèn)憑證索引。
7、 根據(jù)權(quán)利要求6所述的多級(jí)認(rèn)證方法,其特征在于,所述用戶終端根 據(jù)用戶登錄信息獲取所述用戶令牌和所述資源標(biāo)識(shí)列表具體為從用戶信息數(shù)據(jù)庫(kù)中獲取與所述用戶登錄信息對(duì)應(yīng)的用戶信息,根據(jù)所 述用戶信息對(duì)用戶身份進(jìn)行校驗(yàn),校驗(yàn)成功時(shí)生成用戶憑證,根據(jù)所述用戶憑證獲取用戶憑證索引,根據(jù)所述用戶憑證索引生成所述用戶令牌,并從所 述用戶信息數(shù)據(jù)庫(kù)中獲取與所述用戶登錄信息對(duì)應(yīng)的所述資源標(biāo)識(shí)列表,并 將所述用戶令牌和所述資源標(biāo)識(shí)列表發(fā)送給所述用戶終端。
8、 根據(jù)權(quán)利要求7所述的多級(jí)認(rèn)證方法,其特征在于,所述對(duì)接收到的 資源訪問(wèn)請(qǐng)求進(jìn)行第 一多級(jí)校驗(yàn)具體為對(duì)所述用戶令牌進(jìn)行校驗(yàn),校驗(yàn)成功時(shí)從所述用戶令牌中獲取所述用戶 憑證索引,根據(jù)所述用戶憑證索引對(duì)所述用戶憑證進(jìn)行校驗(yàn),校驗(yàn)成功時(shí)從
9、 根據(jù)權(quán)利要求6所述的多級(jí)認(rèn)證方法,其特征在于,所述根據(jù)接收的 訪問(wèn)憑證索51進(jìn)行第二多級(jí)校驗(yàn)具體為根據(jù)所述訪問(wèn)憑證索引判斷是否存在與所述訪問(wèn)憑證索引對(duì)應(yīng)的訪問(wèn)憑 證,在存在時(shí)對(duì)所述訪問(wèn)憑證進(jìn)行校驗(yàn),在校驗(yàn)成功時(shí)從所述用戶信息數(shù)據(jù) 庫(kù)中獲取用戶權(quán)限信息,并向所述用戶終端返回與所述用戶權(quán)限信息對(duì)應(yīng)的 資源數(shù)據(jù)。
10、 根據(jù)權(quán)利要求1所述的多級(jí)認(rèn)證方法,其特征在于,所述返回所述 相應(yīng)的地址信息所對(duì)應(yīng)的資源數(shù)據(jù)之后還包括刪除所述訪問(wèn)憑證索引。
11、 一種多級(jí)認(rèn)證系統(tǒng),其特征在于,包括第一校驗(yàn)?zāi)K,用于對(duì)接收到的資源訪問(wèn)請(qǐng)求進(jìn)行第一多級(jí)校驗(yàn),校驗(yàn) 成功后返回訪問(wèn)憑證索引和相應(yīng)的地址信息;第二校驗(yàn)?zāi)K,用于根據(jù)接收的訪問(wèn)憑證索引進(jìn)行第二多級(jí)校驗(yàn),校驗(yàn) 成功后返回所述相應(yīng)的地址信息所對(duì)應(yīng)的資源數(shù)據(jù)。
12、 根據(jù)權(quán)利要求11所述的多級(jí)認(rèn)證系統(tǒng),其特征在于,還包括 用戶終端,用于向所述第一校驗(yàn)?zāi)K發(fā)送資源訪問(wèn)請(qǐng)求,并在所述第一校驗(yàn)?zāi)K校驗(yàn)成功時(shí)向第二校驗(yàn)?zāi)K發(fā)送所述訪問(wèn)憑證索引;用戶信息數(shù)據(jù)庫(kù),用于存儲(chǔ)所述第 一校驗(yàn)?zāi)K進(jìn)行第 一多級(jí)校驗(yàn)所需的用戶信息以及第二校驗(yàn)?zāi)K完成第二校驗(yàn)后向所述用戶終端返回的與所述地 址信息對(duì)應(yīng)的資源數(shù)據(jù)。
13、 根據(jù)權(quán)利要求12所述的多級(jí)認(rèn)證系統(tǒng),其特征在于,所述第一校驗(yàn) 模塊包括登錄校驗(yàn)單元,用于對(duì)所述用戶終端發(fā)送的用戶令牌進(jìn)行校驗(yàn),校驗(yàn)成 功時(shí)從所述用戶令牌中獲取所述用戶憑證索引;認(rèn)證校驗(yàn)單元,用于根據(jù)所述用戶憑證索引對(duì)用戶憑證進(jìn)行校驗(yàn),校驗(yàn) 成功時(shí)從用戶信息數(shù)據(jù)庫(kù)中獲取所述相應(yīng)的地址信息,生成訪問(wèn)憑證,并將 所述訪問(wèn)憑證索引和所述相應(yīng)的地址信息發(fā)送給所述用戶終端。
14、 根據(jù)權(quán)利要求12所述的多級(jí)認(rèn)證系統(tǒng),其特征在于,所述第二校驗(yàn) 模塊包括單點(diǎn)登錄代理單元,用于根據(jù)所述訪問(wèn)憑證索引判斷是否存在與所述訪 問(wèn)憑證索引對(duì)應(yīng)的訪問(wèn)憑證;單點(diǎn)登錄服務(wù)單元,用于在存在所述訪問(wèn)憑證時(shí)對(duì)所述訪問(wèn)憑證進(jìn)行校 驗(yàn),在校驗(yàn)成功時(shí)從所述用戶信息數(shù)據(jù)庫(kù)中獲取用戶權(quán)限信息,并向所述用 戶終端返回與所述用戶權(quán)P艮信息對(duì)應(yīng)的資源數(shù)據(jù)。
全文摘要
本發(fā)明公開(kāi)了一種多級(jí)認(rèn)證方法和多級(jí)認(rèn)證系統(tǒng),方法包括對(duì)接收到的資源訪問(wèn)請(qǐng)求進(jìn)行第一多級(jí)校驗(yàn),校驗(yàn)成功后返回訪問(wèn)憑證索引和相應(yīng)的地址信息;根據(jù)接收的訪問(wèn)憑證索引進(jìn)行第二多級(jí)校驗(yàn),校驗(yàn)成功后返回所述地址信息所對(duì)應(yīng)的資源數(shù)據(jù)。系統(tǒng)包括第一校驗(yàn)?zāi)K,用于對(duì)接收到的資源訪問(wèn)請(qǐng)求進(jìn)行第一多級(jí)校驗(yàn),校驗(yàn)成功后返回訪問(wèn)憑證索引和相應(yīng)的地址信息;第二校驗(yàn)?zāi)K,用于根據(jù)接收的訪問(wèn)憑證索引進(jìn)行第二多級(jí)校驗(yàn),校驗(yàn)成功后返回所述相應(yīng)的地址信息所對(duì)應(yīng)的資源數(shù)據(jù)。本發(fā)明達(dá)到認(rèn)證方式安全,擴(kuò)展靈活以及單點(diǎn)登錄、統(tǒng)一服務(wù)的效果。
文檔編號(hào)H04L9/32GK101335626SQ20081011787
公開(kāi)日2008年12月31日 申請(qǐng)日期2008年8月6日 優(yōu)先權(quán)日2008年8月6日
發(fā)明者佳 彭 申請(qǐng)人:中國(guó)網(wǎng)通集團(tuán)寬帶業(yè)務(wù)應(yīng)用國(guó)家工程實(shí)驗(yàn)室有限公司