一種單點(diǎn)登錄方法、登錄發(fā)起終端、目標(biāo)終端和驗(yàn)證中心的制作方法

文檔序號(hào)：7719731閱讀：203來(lái)源：國(guó)知局

導(dǎo)航： X技術(shù)> 最新專利>電子通信裝置的制造及其應(yīng)用技術(shù)

專利名稱：一種單點(diǎn)登錄方法、登錄發(fā)起終端、目標(biāo)終端和驗(yàn)證中心的制作方法
技術(shù)領(lǐng)域：
本發(fā)明涉及通信領(lǐng)域中管理信息系統(tǒng)技術(shù)，具體地，涉及一種單點(diǎn)登錄方法、登錄發(fā)起終端、目標(biāo)終端和驗(yàn)證中心。
背景技術(shù)：
單點(diǎn)登錄是指用戶在正確通過一次認(rèn)證鑒別后，在后續(xù)的登錄認(rèn)證過程中不需輸入用戶名和密碼進(jìn)行身份鑒別，而可以直接訪問的技術(shù)。一般常見的單點(diǎn)登錄技術(shù)有密碼代填技術(shù)和單點(diǎn)登錄票據(jù)方式。為了實(shí)現(xiàn)單點(diǎn)登錄功能，不管采用密碼代填技術(shù)還是票據(jù) 方式，登錄發(fā)起終端與目標(biāo)終端之間都必須傳遞登錄數(shù)據(jù)。目前通用的單點(diǎn)登錄數(shù)據(jù)傳遞技術(shù)一般有密碼代填模式下的數(shù)據(jù)傳遞、通過域內(nèi)Cookie傳遞票據(jù)和通過統(tǒng)一資源定位符(Uniform Resource Locator,以下簡(jiǎn)稱URL)跳轉(zhuǎn)傳遞票據(jù)。其中，在跨域的應(yīng)用部署環(huán) 境下，密碼代填單點(diǎn)登錄方式和通過Cookie傳遞票據(jù)的單點(diǎn)登錄方式不可行。通過URL跳轉(zhuǎn)傳遞票據(jù)可以在跨域的應(yīng)用部署環(huán)境下正常的傳遞票據(jù)數(shù)據(jù)完成單點(diǎn)登錄，但是并不能很好抵御票據(jù)截獲和重發(fā)攻擊。申請(qǐng)?zhí)枮?00810105752. 9的申請(qǐng)文件公布了一種基于URL跳轉(zhuǎn)傳遞票據(jù)的單點(diǎn)登錄方式，能夠解決跨域URL跳轉(zhuǎn)傳遞票據(jù)的單點(diǎn)登錄過程中所面臨的安全問題，該實(shí)現(xiàn)方式的缺陷是在整個(gè)網(wǎng)絡(luò)中都采用安全超文本傳輸協(xié)議(Hypertext Transfer Protocol over Secure Socket Layer,以下簡(jiǎn)稱HTTPS) 通信，需要重新評(píng)估應(yīng)用、服務(wù)器、網(wǎng)絡(luò)設(shè)備等相關(guān)軟硬件是否能夠承受HTTPS所帶來(lái)的急增的密碼運(yùn)算及網(wǎng)絡(luò)通信開銷，以及由此可能導(dǎo)致的軟硬件升級(jí)。現(xiàn)有技術(shù)中的URL跳轉(zhuǎn)傳遞票據(jù)技術(shù)有些不能實(shí)現(xiàn)跨域的單點(diǎn)登錄，有些即使實(shí) 現(xiàn)了跨域的單點(diǎn)登錄但仍存在安全隱患，如不能很好抵御票據(jù)截獲和重發(fā)攻擊。

發(fā)明內(nèi)容
本發(fā)明的第一目的是提出一種單點(diǎn)登錄方法，能夠在跨域的應(yīng)用部署環(huán)境下，實(shí) 現(xiàn)安全的單點(diǎn)登錄。本發(fā)明的第二目的是提出一種登錄發(fā)起終端，能夠在跨域的應(yīng)用部署環(huán)境下實(shí)現(xiàn) 安全的單點(diǎn)登錄。本發(fā)明的第三目的是提出一種登錄目標(biāo)終端，能夠在跨域的應(yīng)用部署環(huán)境下實(shí)現(xiàn) 安全的單點(diǎn)登錄。本發(fā)明的第四目的是提出一種驗(yàn)證中心，能夠在跨域的應(yīng)用部署環(huán)境下實(shí)現(xiàn)安全的單點(diǎn)登錄。為實(shí)現(xiàn)上述第一目的，根據(jù)本發(fā)明的一個(gè)方面，提供了一種單點(diǎn)登錄方法，包括登錄發(fā)起終端獲取單點(diǎn)登錄的驗(yàn)證信息以及跨域的目標(biāo)終端對(duì)應(yīng)的會(huì)話數(shù)據(jù)；登錄發(fā)起終端向目標(biāo)終端發(fā)送包含所述驗(yàn)證信息和會(huì)話數(shù)據(jù)的訪問請(qǐng)求；目標(biāo)終端根據(jù)訪問請(qǐng)求驗(yàn)證會(huì)話數(shù)據(jù)的有效性，并在有效時(shí)解析驗(yàn)證信息并獲取登錄用戶的用戶數(shù)據(jù)；登錄用戶登錄目標(biāo)終端。
優(yōu)選地，登錄發(fā)起終端獲取單點(diǎn)登錄的驗(yàn)證信息以及跨域的目標(biāo)終端對(duì)應(yīng)的會(huì)話數(shù)據(jù)具體可以包括登錄發(fā)起終端向驗(yàn)證中心發(fā)送包含目標(biāo)終端的申請(qǐng)?jiān)L問請(qǐng)求；驗(yàn)證中心根據(jù)申請(qǐng)?jiān)L問請(qǐng)求隨機(jī)產(chǎn)生一登錄發(fā)起終端登錄目標(biāo)終端的會(huì)話數(shù)據(jù)以及會(huì)話數(shù)據(jù)的驗(yàn)證時(shí)間信息，驗(yàn)證中心將該會(huì)話數(shù)據(jù)返回給登錄發(fā)起終端。優(yōu)選地，目標(biāo)終端根據(jù)訪問請(qǐng)求驗(yàn)證會(huì)話數(shù)據(jù)的有效性具體可以包括目標(biāo)終端根據(jù)訪問請(qǐng)求獲得會(huì)話數(shù)據(jù)；目標(biāo)終端將會(huì)話數(shù)據(jù)發(fā)送至驗(yàn)證中心進(jìn)行驗(yàn)證；當(dāng)訪問請(qǐng)求中的會(huì)話數(shù)據(jù)與驗(yàn)證中心發(fā)送的會(huì)話數(shù)據(jù)一致，且在驗(yàn)證時(shí)間信息對(duì)應(yīng)的驗(yàn)證時(shí)間內(nèi)時(shí)，驗(yàn)證中心驗(yàn)證登錄發(fā)起終端的會(huì)話數(shù)據(jù)有效，并向目標(biāo)終端返回為有效的驗(yàn)證結(jié)果。優(yōu)選地，目標(biāo)終端根據(jù)訪問請(qǐng)求驗(yàn)證會(huì)話數(shù)據(jù)的有效性具體還可以包括目標(biāo)終端接收驗(yàn)證中心發(fā)送的會(huì)話數(shù)據(jù)以及驗(yàn)證時(shí)間信息；目標(biāo)終端根據(jù)訪問請(qǐng)求獲得會(huì)話數(shù) 據(jù)，并根據(jù)驗(yàn)證中心發(fā)送的會(huì)話數(shù)據(jù)以及驗(yàn)證時(shí)間信息對(duì)訪問請(qǐng)求中的會(huì)話數(shù)據(jù)進(jìn)行有效性驗(yàn)證；當(dāng)訪問請(qǐng)求中的會(huì)話數(shù)據(jù)與驗(yàn)證中心發(fā)送的會(huì)話數(shù)據(jù)一致，且在驗(yàn)證時(shí)間信息對(duì) 應(yīng)的驗(yàn)證時(shí)間內(nèi)時(shí)，目標(biāo)終端驗(yàn)證登錄發(fā)起終端的會(huì)話數(shù)據(jù)有效。為實(shí)現(xiàn)上述第二目的，根據(jù)本發(fā)明的另一個(gè)方面，提供了一種登錄發(fā)起終端，包括獲取模塊，用于獲取單點(diǎn)登錄的驗(yàn)證信息以及跨域的目標(biāo)終端對(duì)應(yīng)的會(huì)話數(shù)據(jù)；發(fā)送模塊，用于向目標(biāo)終端發(fā)送攜帶有所述驗(yàn)證信息和會(huì)話數(shù)據(jù)的訪問請(qǐng)求。優(yōu)選地，還可以包括打包模塊，用于與目標(biāo)終端約定的協(xié)議對(duì)驗(yàn)證信息和會(huì)話數(shù) 據(jù)進(jìn)行打包；加密模塊，用于通過與目標(biāo)終端約定的加密算法對(duì)打包后的數(shù)據(jù)進(jìn)行加密，并將加密后的數(shù)據(jù)發(fā)送至發(fā)送模塊；約定的協(xié)議可以包括H(CS7或XML協(xié)議；約定的加密算法可以包括對(duì)稱加密算法或非對(duì)稱加密算法或數(shù)字信封加密算法等。為實(shí)現(xiàn)上述第三目的，根據(jù)本發(fā)明的另一個(gè)方面，提供了一種登錄目標(biāo)終端，包括接收模塊，用于接收登錄發(fā)起終端發(fā)送的包含驗(yàn)證信息和會(huì)話數(shù)據(jù)的訪問請(qǐng)求；驗(yàn)證模塊，用于根據(jù)訪問請(qǐng)求驗(yàn)證會(huì)話數(shù)據(jù)的有效性；解析模塊，用于在會(huì)話數(shù)據(jù)有效時(shí)，對(duì)驗(yàn) 證信息進(jìn)行解析，獲取登錄用戶數(shù)據(jù)。優(yōu)選地，驗(yàn)證模塊可以包括解密子模塊，用于通過與登錄發(fā)起終端約定的加密算法對(duì)驗(yàn)證信息和會(huì)話數(shù)據(jù)進(jìn)行解密；解包子模塊，用于通過與登錄發(fā)起終端約定的協(xié)議對(duì) 解密后的數(shù)據(jù)進(jìn)行解包，獲得驗(yàn)證信息和會(huì)話數(shù)據(jù)；接口子模塊，用于將該會(huì)話數(shù)據(jù)發(fā)送至驗(yàn)證中心，并接收驗(yàn)證中心返回的驗(yàn)證結(jié)果。優(yōu)選地，接收模塊還可以用于接收驗(yàn)證中心發(fā)送的會(huì)話數(shù)據(jù)和驗(yàn)證時(shí)間信息，驗(yàn) 證模塊還可以用于根據(jù)驗(yàn)證中心發(fā)送的會(huì)話數(shù)據(jù)和驗(yàn)證時(shí)間信息來(lái)驗(yàn)證登錄發(fā)起終端發(fā) 送的會(huì)話數(shù)據(jù)的有效性。為實(shí)現(xiàn)上述第四目的，根據(jù)本發(fā)明的另一個(gè)方面，提供了一種驗(yàn)證中心，包括接收模塊，用于接收登錄發(fā)起終端發(fā)送的包含目標(biāo)終端的申請(qǐng)?jiān)L問請(qǐng)求；生成下發(fā)模塊，用于根據(jù)申請(qǐng)?jiān)L問請(qǐng)求產(chǎn)生一登錄發(fā)起終端登錄目標(biāo)終端的會(huì)話數(shù)據(jù)以及會(huì)話數(shù)據(jù)的驗(yàn)證時(shí) 間信息，并將會(huì)話數(shù)據(jù)發(fā)送給登錄發(fā)起終端。其中，接收模塊還可以接收目標(biāo)終端發(fā)送的會(huì)話數(shù)據(jù)，驗(yàn)證中心還可以包括驗(yàn)證模塊，用于根據(jù)生成下發(fā)模塊驗(yàn)證目標(biāo)終端發(fā)送的會(huì)話數(shù)據(jù)的有效性，并向目標(biāo)終端返回驗(yàn)證結(jié)果。本發(fā)明各實(shí)施例的單點(diǎn)登錄方法、登錄發(fā)起終端、目標(biāo)終端和驗(yàn)證中心，在用戶需要登錄目標(biāo)終端，如跨域的目標(biāo)終端時(shí)，由驗(yàn)證中心向登錄發(fā)起終端下發(fā)有關(guān)該次登錄的會(huì)話數(shù)據(jù)和驗(yàn)證信息(如票據(jù)等)，登錄發(fā)起終端在訪問目標(biāo)終端時(shí)，向目標(biāo)終端發(fā)送包含該會(huì)話數(shù)據(jù)和驗(yàn)證信息的訪問請(qǐng)求，由目標(biāo)終端驗(yàn)證會(huì)話數(shù)據(jù)的有效性，只有在會(huì)話數(shù)據(jù) 有效時(shí)，才解析票據(jù)等驗(yàn)證信息獲得用戶數(shù)據(jù)，之后用戶登錄目標(biāo)終端。本發(fā)明可以由驗(yàn)證中心生成每次跳轉(zhuǎn)登錄目標(biāo)終端的會(huì)話數(shù)據(jù)，在驗(yàn)證會(huì)話數(shù)據(jù)有效時(shí)才允許用戶登錄目標(biāo) 終端，既可以滿足跨域傳遞票據(jù)的要求，同時(shí)滿足了通信上的安全性要求。本發(fā)明的其它特征和優(yōu)點(diǎn)將在隨后的說明書中闡述，并且，部分地從說明書中變得顯而易見，或者通過實(shí)施本發(fā)明而了解。本發(fā)明的目的和其他優(yōu)點(diǎn)可通過在所寫的說明書、權(quán)利要求書、以及附圖中所特別指出的結(jié)構(gòu)來(lái)實(shí)現(xiàn)和獲得。下面通過附圖和實(shí)施例，對(duì)本發(fā)明的技術(shù)方案做進(jìn)一步的詳細(xì)描述。

附圖用來(lái)提供對(duì)本發(fā)明的進(jìn)一步理解，并且構(gòu)成說明書的一部分，與本發(fā)明的實(shí) 施例一起用于解釋本發(fā)明，并不構(gòu)成對(duì)本發(fā)明的限制。在附圖中圖1為根據(jù)本發(fā)明單點(diǎn)登錄方法的實(shí)施例一流程圖；圖2為根據(jù)本發(fā)明單點(diǎn)登錄方法的實(shí)施例二流程圖；圖3為根據(jù)本發(fā)明單點(diǎn)登錄方法的實(shí)施例三流程圖；圖4為根據(jù)本發(fā)明單點(diǎn)登錄方法的應(yīng)用系統(tǒng)架構(gòu)示意圖；圖5為根據(jù)本發(fā)明登錄發(fā)起終端實(shí)施例的內(nèi)部結(jié)構(gòu)示意圖；圖6為根據(jù)本發(fā)明登錄目標(biāo)終端實(shí)施例的內(nèi)部結(jié)構(gòu)示意圖；圖7為根據(jù)本發(fā)明登錄驗(yàn)證中心實(shí)施例的內(nèi)部結(jié)構(gòu)示意圖。
具體實(shí)施例方式以下結(jié)合附圖對(duì)本發(fā)明的優(yōu)選實(shí)施例進(jìn)行說明，應(yīng)當(dāng)理解，此處所描述的優(yōu)選實(shí) 施例僅用于說明和解釋本發(fā)明，并不用于限定本發(fā)明。圖1為根據(jù)本發(fā)明單點(diǎn)登錄方法的實(shí)施例一流程圖。如圖1所示，本實(shí)施例包括步驟S102、登錄發(fā)起終端獲取單點(diǎn)登錄的驗(yàn)證信息以及跨域的目標(biāo)終端對(duì)應(yīng)的會(huì) 話數(shù)據(jù)；步驟S104、登錄發(fā)起終端向目標(biāo)終端發(fā)送包含驗(yàn)證信息和會(huì)話數(shù)據(jù)的訪問請(qǐng)求；步驟S106、目標(biāo)終端根據(jù)訪問請(qǐng)求驗(yàn)證會(huì)話數(shù)據(jù)的有效性，并在有效時(shí)解析驗(yàn)證信息并獲取登錄用戶數(shù)據(jù)；步驟S108、登錄用戶登錄目標(biāo)終端。本發(fā)明的單點(diǎn)登錄方法，在用戶需要登錄目標(biāo)終端時(shí)，由驗(yàn)證中心向登錄發(fā)起終端下發(fā)有關(guān)該次登錄的會(huì)話數(shù)據(jù)和驗(yàn)證信息，登錄發(fā)起終端在訪問目標(biāo)終端時(shí)，向目標(biāo)終端發(fā)送包含該會(huì)話數(shù)據(jù)和驗(yàn)證信息的訪問請(qǐng)求，由目標(biāo)終端驗(yàn)證會(huì)話數(shù)據(jù)的有效性，只有在會(huì)話數(shù)據(jù)有效時(shí)，才解析驗(yàn)證信息獲取用戶數(shù)據(jù)，之后用戶登錄目標(biāo)終端。本發(fā)明實(shí)施例在驗(yàn)證會(huì)話數(shù)據(jù)有效時(shí)才允許用戶登錄目標(biāo)終端，既滿足了跨域傳遞票據(jù)的要求，同時(shí)滿足了通信上的安全性要求。圖2為根據(jù)本發(fā)明單點(diǎn)登錄方法的實(shí)施例二流程圖。如圖2所示，本實(shí)施例包括
步驟S202、登錄發(fā)起終端獲取驗(yàn)證中心下發(fā)的驗(yàn)證信息；在訪問登錄發(fā)起終端之后，用戶在需要訪問目標(biāo)終端時(shí)，登錄發(fā)起終端可以通過靜態(tài)密碼認(rèn)證、動(dòng)態(tài)密碼認(rèn)證或其他方式獲取驗(yàn)證中心下發(fā)的驗(yàn)證信息，實(shí)際應(yīng)用中，還可以通過證書認(rèn)證、生物特征認(rèn)證等方式獲取驗(yàn)證信息。在實(shí)際應(yīng)用中，驗(yàn)證中心可以為票據(jù) 中心，驗(yàn)證信息可以為票據(jù)中心簽發(fā)的票據(jù)；步驟S204、登錄發(fā)起終端向驗(yàn)證中心發(fā)送申請(qǐng)?jiān)L問請(qǐng)求；登錄發(fā)起終端通過該申請(qǐng)?jiān)L問請(qǐng)求向驗(yàn)證中心請(qǐng)求訪問跨域的目標(biāo)終端對(duì)應(yīng)的會(huì)話數(shù)據(jù)，該申請(qǐng)?jiān)L問請(qǐng)求中攜帶有上述驗(yàn)證信息；步驟S206、驗(yàn)證中心向登錄發(fā)起終端返回會(huì)話數(shù)據(jù)；驗(yàn)證中心根據(jù)該申請(qǐng)?jiān)L問請(qǐng)求產(chǎn)生(可以是隨機(jī)產(chǎn)生)一該登錄發(fā)起終端登錄該目標(biāo)終端的會(huì)話數(shù)據(jù)和該會(huì)話數(shù)據(jù)的驗(yàn)證時(shí)間信息，在本地存儲(chǔ)該會(huì)話數(shù)據(jù)和驗(yàn)證時(shí)間信息以及兩者之間的對(duì)應(yīng)關(guān)系，具體存儲(chǔ)格式可參見下表1，并將產(chǎn)生的會(huì)話數(shù)據(jù)返回給登錄發(fā)起終端(也稱登錄發(fā)起方或發(fā)起方)。該會(huì)話數(shù)據(jù)可以為數(shù)字、字母或其他可見非可見字符組成的不定長(zhǎng)度的字符串，驗(yàn)證時(shí)間信息是指會(huì)話數(shù)據(jù)的有效時(shí)間，比如驗(yàn)證中心針對(duì) 某單點(diǎn)登錄會(huì)話數(shù)據(jù)的創(chuàng)建時(shí)間為11時(shí)，產(chǎn)生了標(biāo)識(shí)為1234的會(huì)話數(shù)據(jù)，驗(yàn)證中心設(shè)置的會(huì)話數(shù)據(jù)的有效期為5分鐘，則該會(huì)話數(shù)據(jù)在11時(shí)5分之前是有效的，驗(yàn)證中心將存儲(chǔ)標(biāo) 識(shí)為1234的會(huì)話數(shù)據(jù)和會(huì)話數(shù)據(jù)的創(chuàng)建時(shí)間的對(duì)應(yīng)關(guān)系，將標(biāo)識(shí)為1234的會(huì)話數(shù)據(jù)返回給登錄發(fā)起終端；表1會(huì)話數(shù)據(jù)的存儲(chǔ)格式表名稱注釋數(shù)據(jù)類型SSO—TIKID SSO—SESSION ID S SOJNRID S SO—APPID SSOJJID SSO—CREATE TIME SSO_STATUS票據(jù)的ID 會(huì)話數(shù)據(jù)或者會(huì)話數(shù)據(jù)標(biāo)識(shí) 登錄發(fā)起方的標(biāo)識(shí) 登錄目標(biāo)方的標(biāo)識(shí) 用戶的標(biāo)識(shí)信息單點(diǎn)登錄會(huì)話數(shù)據(jù)的創(chuàng)建時(shí) 間狀態(tài)(0表示有效，1表示無(wú) 效)VARCHAR(64) VARCHAR(64) VARCHAR(64) VARCHAR(64) VARCHAR(64) TIME INT步驟S208、登錄發(fā)起終端對(duì)驗(yàn)證信息和會(huì)話數(shù)據(jù)進(jìn)行打包；登錄發(fā)起終端對(duì)驗(yàn)證信息和會(huì)話數(shù)據(jù)進(jìn)行打包，打包可以采用PKCS7或可擴(kuò)展標(biāo) 記語(yǔ)言(Extensible Markup Language,以下簡(jiǎn)稱XML)等方式，之后可以采用對(duì)稱、非對(duì)稱、數(shù)字信封或其他與目標(biāo)終端約定的加密算法對(duì)打包數(shù)據(jù)進(jìn)行保護(hù)；步驟S210、登錄發(fā)起終端可以通過HTTP協(xié)議向登錄目標(biāo)終端(也稱登錄目標(biāo)終端、登錄目標(biāo)方或目標(biāo)方)發(fā)送訪問請(qǐng)求；該訪問請(qǐng)求中攜帶有打包加密后的驗(yàn)證信息和會(huì)話數(shù)據(jù)；步驟S212、目標(biāo)終端根據(jù)與登錄發(fā)起終端約定的加密算法解密接收到的數(shù)據(jù)(如數(shù)字信封或?qū)ΨQ算法等)，獲得打包的驗(yàn)證信息和會(huì)話數(shù)據(jù)。通過與發(fā)起終端相同的協(xié)議進(jìn)行解包，如通過PKCS7或XML協(xié)議對(duì)解密后的打包數(shù)據(jù)進(jìn)行解包，獲得驗(yàn)證信息和會(huì)話數(shù) 據(jù)，如通過XML協(xié)議中的標(biāo)記區(qū)分?jǐn)?shù)據(jù)中哪部分是驗(yàn)證信息，哪部分是會(huì)話數(shù)據(jù)。目標(biāo)終端將解包后獲得的會(huì)話數(shù)據(jù)發(fā)送到驗(yàn)證中心，由驗(yàn)證中心驗(yàn)證會(huì)話數(shù)據(jù)的有效性；步驟S214、驗(yàn)證中心驗(yàn)證會(huì)話數(shù)據(jù)的有效性，在驗(yàn)證為有效后設(shè)置該會(huì)話數(shù)據(jù)無(wú) 效，如將表1某會(huì)話數(shù)據(jù)中的“SS0_STATUS”設(shè)置為“失效”；當(dāng)該會(huì)話數(shù)據(jù)與驗(yàn)證中心發(fā)送的會(huì)話數(shù)據(jù)一致，且在驗(yàn)證時(shí)間信息對(duì)應(yīng)的驗(yàn)證時(shí) 間內(nèi)時(shí)，驗(yàn)證中心驗(yàn)證該會(huì)話數(shù)據(jù)有效。比如驗(yàn)證中心在11時(shí)3分接收到標(biāo)識(shí)為1234的會(huì)話數(shù)據(jù)，驗(yàn)證中心根據(jù)存儲(chǔ)的對(duì)應(yīng)關(guān)系得知在11時(shí)5分之前該會(huì)話數(shù)據(jù)都是有效的。驗(yàn)證中心在驗(yàn)證該會(huì)話數(shù)據(jù)有效之后，將本地存儲(chǔ)的該會(huì)話數(shù)據(jù)狀態(tài)設(shè)置為“無(wú) 效”，這樣即使該會(huì)話數(shù)據(jù)被截獲，在再次接收到該會(huì)話數(shù)據(jù)時(shí)，也可以判定該會(huì)話數(shù)據(jù)無(wú) 效，有效抵御了會(huì)話數(shù)據(jù)的截獲和重發(fā)攻擊。驗(yàn)證中心還可以根據(jù)會(huì)話數(shù)據(jù)登錄目標(biāo)方的標(biāo)識(shí)和當(dāng)前會(huì)話數(shù)據(jù)登錄發(fā)起方的標(biāo)識(shí)等對(duì)會(huì)話數(shù)據(jù)進(jìn)行進(jìn)一步驗(yàn)證；步驟S216、驗(yàn)證中心向目標(biāo)終端返回驗(yàn)證結(jié)果；步驟S218、如果驗(yàn)證結(jié)果為“有效”，則目標(biāo)終端根據(jù)驗(yàn)證信息獲取用戶數(shù)據(jù)，否則會(huì)話數(shù)據(jù)無(wú)效，則目標(biāo)終端拒絕用戶的訪問，同時(shí)返回“會(huì)話數(shù)據(jù)驗(yàn)證失敗”提示給登錄發(fā) 起終端；目標(biāo)終端接收到驗(yàn)證中心返回的為“有效”的驗(yàn)證結(jié)果后，解析驗(yàn)證信息，獲取用戶數(shù)據(jù)，例如驗(yàn)證信息可以是票據(jù)中心發(fā)送的票據(jù)，則發(fā)起終端向目標(biāo)終端的會(huì)話數(shù)據(jù)經(jīng) 驗(yàn)證有效后，對(duì)票據(jù)進(jìn)行驗(yàn)證以獲取登錄用戶數(shù)據(jù)；步驟S220、用戶單點(diǎn)登錄成功，之后，用戶就可以直接訪問目標(biāo)終端。本發(fā)明實(shí)施例提供的單點(diǎn)登錄方法在用戶需要訪問目標(biāo)終端時(shí)，登錄發(fā)起終端不但從驗(yàn)證中心獲取驗(yàn)證信息，同時(shí)還獲取會(huì)話數(shù)據(jù)，目標(biāo)終端在驗(yàn)證了會(huì)話數(shù)據(jù)的有效性之后，根據(jù)驗(yàn)證信息獲取用戶身份數(shù)據(jù)。其中，會(huì)話數(shù)據(jù)在經(jīng)過驗(yàn)證之后就被設(shè)置為無(wú)效，并且本實(shí)施例還提供了傳輸過程中打包和加密等過程，從而有效抵御了傳遞會(huì)話數(shù)據(jù)過程中的被截獲數(shù)據(jù)、重發(fā)攻擊的安全風(fēng)險(xiǎn)，提高了安全性。本發(fā)明提供的單點(diǎn)登錄方法可以實(shí) 現(xiàn)跨域異構(gòu)平臺(tái)間的互聯(lián)互通，具有抗重發(fā)攻擊、安全性高的特點(diǎn)，并且現(xiàn)有業(yè)務(wù)系統(tǒng)只需做少量改動(dòng)即可支持該方法，實(shí)施部署方便。上述實(shí)施例步驟212中，目標(biāo)終端是到在驗(yàn)證中心驗(yàn)證會(huì)話數(shù)據(jù)的有效性，但具體應(yīng)用時(shí)，目標(biāo)終端還可以直接驗(yàn)證會(huì)話數(shù)據(jù)的有效性，如果由目標(biāo)終端直接驗(yàn)證會(huì)話數(shù) 據(jù)的有效性，驗(yàn)證中心需要把會(huì)話數(shù)據(jù)的相關(guān)信息發(fā)送給目標(biāo)終端，具體可參加圖3相關(guān) 說明。圖3為根據(jù)本發(fā)明單點(diǎn)登錄方法的實(shí)施例三流程圖，本實(shí)施例為由目標(biāo)終端驗(yàn)證會(huì)話數(shù)據(jù)的有效性，具體包括步驟S302、登錄發(fā)起終端獲取驗(yàn)證中心下發(fā)的驗(yàn)證信息；
在訪問登錄發(fā)起終端之后，用戶在需要訪問目標(biāo)終端時(shí)，登錄發(fā)起終端可以通過靜態(tài)密碼認(rèn)證、動(dòng)態(tài)密碼認(rèn)證或其他方式獲取驗(yàn)證中心下發(fā)的驗(yàn)證信息。在實(shí)際應(yīng)用中，驗(yàn) 證中心可以為票據(jù)中心，驗(yàn)證中心下發(fā)的驗(yàn)證信息可以為票據(jù)中心簽發(fā)的票據(jù)；步驟S304、登錄發(fā)起終端向驗(yàn)證中心發(fā)送申請(qǐng)?jiān)L問請(qǐng)求；登錄發(fā)起終端通過該申請(qǐng)?jiān)L問請(qǐng)求向驗(yàn)證中心請(qǐng)求訪問跨域的目標(biāo)終端對(duì)應(yīng)的會(huì)話數(shù)據(jù)，該申請(qǐng)?jiān)L問請(qǐng)求中攜帶有上述驗(yàn)證信息；步驟S306、驗(yàn)證中心向登錄發(fā)起終端返回會(huì)話數(shù)據(jù)，并向目標(biāo)終端返回會(huì)話數(shù)據(jù) 和驗(yàn)證時(shí)間信息；驗(yàn)證中心根據(jù)該申請(qǐng)?jiān)L問請(qǐng)求產(chǎn)生一該登錄發(fā)起終端登錄該目標(biāo)終端的會(huì)話數(shù) 據(jù)和該會(huì)話數(shù)據(jù)的驗(yàn)證時(shí)間信息，在本地存儲(chǔ)該會(huì)話數(shù)據(jù)和驗(yàn)證時(shí)間信息以及兩者之間的對(duì)應(yīng)關(guān)系，返回給登錄發(fā)起終端，具體可參見步驟S206。不同的是，驗(yàn)證中心還需將會(huì)話數(shù) 據(jù)以及驗(yàn)證時(shí)間信息等返回給目標(biāo)終端。該會(huì)話數(shù)據(jù)可以為數(shù)字、字母或其他可見非可見字符組成的不定長(zhǎng)度的字符串，驗(yàn)證時(shí)間信息是指會(huì)話數(shù)據(jù)的有效時(shí)間，比如驗(yàn)證中心根據(jù)表1中會(huì)話數(shù)據(jù)的創(chuàng)建時(shí)間，以及驗(yàn)證中心設(shè)置的會(huì)話數(shù)據(jù)的有效期(可以為5分鐘)，判斷會(huì)話數(shù)據(jù)的有效性，驗(yàn)證中心將會(huì)話數(shù)據(jù)返回給登錄發(fā)起終端，將會(huì)話數(shù)據(jù)以及驗(yàn)證時(shí)間信息等(如表1所示的存儲(chǔ)數(shù)據(jù))發(fā)送給目標(biāo)終端；步驟S308、登錄發(fā)起終端對(duì)驗(yàn)證信息和會(huì)話數(shù)據(jù)進(jìn)行打包；登錄發(fā)起終端可以采用PKCS7或XML等方式對(duì)驗(yàn)證信息和會(huì)話數(shù)據(jù)進(jìn)行打包，之后可以采用對(duì)稱、非對(duì)稱、數(shù)字信封或其他與目標(biāo)終端約定的加密算法對(duì)打包數(shù)據(jù)進(jìn)行保護(hù)；步驟S310、登錄發(fā)起終端通過HTTP協(xié)議向目標(biāo)終端發(fā)送訪問請(qǐng)求；該訪問請(qǐng)求中攜帶有打包后的驗(yàn)證信息和會(huì)話數(shù)據(jù)；步驟S312、目標(biāo)終端驗(yàn)證會(huì)話數(shù)據(jù)的有效性；目標(biāo)終端根據(jù)與登錄發(fā)起終端約定的加密算法解密打包后的數(shù)據(jù)，并按照打包的協(xié)議(PKCS7或XML協(xié)議)對(duì)解密后的數(shù)據(jù)進(jìn)行解包，并驗(yàn)證會(huì)話數(shù)據(jù)的有效性，比如目標(biāo) 終端在11時(shí)3分接收到標(biāo)識(shí)為1234的會(huì)話數(shù)據(jù)，目標(biāo)終端根據(jù)存儲(chǔ)的對(duì)應(yīng)關(guān)系得知在11 時(shí)5分之前該會(huì)話數(shù)據(jù)都是有效的。目標(biāo)終端在驗(yàn)證該會(huì)話數(shù)據(jù)有效之后，將本地存儲(chǔ)的該會(huì)話數(shù)據(jù)狀態(tài)設(shè)置為“無(wú)效”，這樣即使該會(huì)話數(shù)據(jù)被截獲，在再次接收到該會(huì)話數(shù)據(jù)時(shí)，也可以判定該會(huì)話數(shù)據(jù)無(wú)效，抵御了會(huì)話數(shù)據(jù)的截獲和重發(fā)攻擊；步驟S314、驗(yàn)證有效后，目標(biāo)終端解析驗(yàn)證信息，獲取用戶身份數(shù)據(jù)；目標(biāo)終端在驗(yàn)證了該會(huì)話數(shù)據(jù)的有效性之后，由于可以通過XML解包后獲得驗(yàn)證信息，則對(duì)驗(yàn)證信息可以進(jìn)一步驗(yàn)證和解析以獲取用戶數(shù)據(jù)(用戶名、帳號(hào)等用戶數(shù)據(jù))。例如，驗(yàn)證信息可以為票據(jù)中心(驗(yàn)證中心)簽發(fā)的票據(jù)，一般為安全起見，驗(yàn)證信息還可以包括用登錄用戶私鑰加密的電子簽名，目標(biāo)終端驗(yàn)證會(huì)話數(shù)據(jù)有效后，用登錄用戶的公鑰驗(yàn)證電子簽名是否正確以進(jìn)一步抵御非票據(jù)用戶的安全性攻擊，并在電子簽名驗(yàn)證正確后獲得用戶數(shù)據(jù)，現(xiàn)有技術(shù)中對(duì)于票據(jù)的驗(yàn)證方式有多種，在此不舉例說明；步驟S316、單點(diǎn)登錄成功，之后，用戶就可以直接訪問目標(biāo)終端。本發(fā)明實(shí)施例提供的單點(diǎn)登錄方法在用戶需要訪問目標(biāo)終端時(shí)，登錄發(fā)起終端不但從驗(yàn)證中心獲取驗(yàn)證信息，同時(shí)還獲取會(huì)話數(shù)據(jù)，目標(biāo)終端在驗(yàn)證了會(huì)話數(shù)據(jù)的有效性之后，解析驗(yàn)證信息獲取用戶身份數(shù)據(jù)。其中，會(huì)話數(shù)據(jù)在經(jīng)過驗(yàn)證之后就被設(shè)置為無(wú)效，從而有效抵御了傳遞會(huì)話數(shù)據(jù)過程中的被截獲數(shù)據(jù)、重發(fā)攻擊的安全風(fēng)險(xiǎn)。本發(fā)明提供的單點(diǎn)登錄方法可以實(shí)現(xiàn)跨域異構(gòu)平臺(tái)間的互聯(lián)互通，具有抗重發(fā)攻擊、安全性高的特點(diǎn)，并且現(xiàn)有業(yè)務(wù)系統(tǒng)只需做少量改動(dòng)即可支持該方法，實(shí)施部署方便。下面結(jié)合圖4所示的系統(tǒng)架構(gòu)對(duì)本發(fā)明提供的單點(diǎn)登錄方法進(jìn)行詳細(xì)介紹，如圖 4所示，有3個(gè)跨域的業(yè)務(wù)系統(tǒng)及票據(jù)中心，跨域的業(yè)務(wù)系統(tǒng)為業(yè)務(wù)系統(tǒng)1、業(yè)務(wù)系統(tǒng)2、業(yè)務(wù) 系統(tǒng)3。根據(jù)本發(fā)明提供的單點(diǎn)登錄方法，用戶在通過任一業(yè)務(wù)系統(tǒng)(登錄發(fā)起終端)的認(rèn)證并獲得票據(jù)中心簽發(fā)的單點(diǎn)登錄票據(jù)后，就可直接訪問其它業(yè)務(wù)系統(tǒng)(登錄目標(biāo)終端)，并實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)間的漫游。該單點(diǎn)登錄方法流程如下1、用戶登錄業(yè)務(wù)系統(tǒng)1，認(rèn)證通過獲取了票據(jù)中心簽發(fā)的單點(diǎn)登錄票據(jù)；2、用戶點(diǎn)擊業(yè)務(wù)系統(tǒng)1頁(yè)面上的相應(yīng)鏈接，請(qǐng)求訪問業(yè)務(wù)系統(tǒng)2 ；3、業(yè)務(wù)系統(tǒng)1攜帶票據(jù)到票據(jù)中心，申請(qǐng)?jiān)L問業(yè)務(wù)系統(tǒng)2的會(huì)話數(shù)據(jù)；4、票據(jù)中心產(chǎn)生針對(duì)業(yè)務(wù)系統(tǒng)2的會(huì)話數(shù)據(jù)，在本地存儲(chǔ)后返回給業(yè)務(wù)系統(tǒng)1 ；5、業(yè)務(wù)系統(tǒng)1對(duì)票據(jù)和會(huì)話數(shù)據(jù)打包并加密，攜帶打包加密后的數(shù)據(jù)訪問業(yè)務(wù)系統(tǒng)2 ；6、業(yè)務(wù)系統(tǒng)2解密和解包接收到的數(shù)據(jù)，得到會(huì)話數(shù)據(jù)并到票據(jù)中心驗(yàn)證系統(tǒng)1 會(huì)話數(shù)據(jù)的有效性，驗(yàn)證成功后用戶單點(diǎn)登錄成功；7、用戶可點(diǎn)擊業(yè)務(wù)系統(tǒng)2頁(yè)面上的相應(yīng)鏈接，訪問業(yè)務(wù)系統(tǒng)3，以與上述步驟1-6 類似的過程實(shí)現(xiàn)單點(diǎn)登錄漫游。綜上所述，本實(shí)施例提供的單點(diǎn)登錄方法可支持業(yè)務(wù)系統(tǒng)間的單點(diǎn)登錄漫游，提升了用戶體驗(yàn)，方便了業(yè)務(wù)系統(tǒng)的推廣。圖5為根據(jù)本發(fā)明登錄發(fā)起終端實(shí)施例的內(nèi)部結(jié)構(gòu)示意圖，如圖5所示，該登錄發(fā) 起終端包括獲取模塊50，用于獲取單點(diǎn)登錄的驗(yàn)證信息以及跨域的目標(biāo)終端對(duì)應(yīng)的會(huì)話數(shù) 據(jù)；發(fā)送模塊51，用于向目標(biāo)終端發(fā)送攜帶有上述驗(yàn)證信息和會(huì)話數(shù)據(jù)的訪問請(qǐng)求。其中，本實(shí)施的獲取模塊50進(jìn)一步可以包括申請(qǐng)?jiān)L問請(qǐng)求單元52，用于向驗(yàn)證中心發(fā)送包含目標(biāo)終端的申請(qǐng)?jiān)L問請(qǐng)求；接收單元53，用于接收驗(yàn)證中心下發(fā)的對(duì)應(yīng)該目標(biāo)終端的會(huì)話數(shù)據(jù)。本實(shí)施還可以包括打包模塊，用于與目標(biāo)終端約定的協(xié)議對(duì)獲取模塊中接收單元53中的驗(yàn)證信息和會(huì)話數(shù)據(jù)進(jìn)行打包；其中約定的協(xié)議可以包括H(CS7或XML協(xié)議，具體打包過程可參見圖2-圖3方法實(shí)施例的相關(guān)文字說明。本實(shí)施還可以包括加密模塊，用于通過與目標(biāo)終端約定的加密算法對(duì)打包后的數(shù)據(jù)進(jìn)行加密，約定的加密算法包括對(duì)稱加密算法或非對(duì)稱加密算法或數(shù)字信封加密算法等，具體加密過程可參見圖2-圖3方法實(shí)施例的相關(guān)文字說明，并將加密后的數(shù)據(jù)發(fā)送至發(fā)送模塊51。附加的打包模塊和加密模塊可以保證數(shù)據(jù)傳輸?shù)陌踩院涂煽啃浴１緦?shí)施例提供的登錄發(fā)起終端在用戶需要訪問目標(biāo)終端時(shí)，登錄發(fā)起終端不但從驗(yàn)證中心獲取驗(yàn)證信息，同時(shí)還獲取會(huì)話數(shù)據(jù)。用戶在需要訪問目標(biāo)終端時(shí)，登錄發(fā)起終端不僅向目標(biāo)終端發(fā)送驗(yàn)證信息，同時(shí)還發(fā)送會(huì)話數(shù)據(jù)。會(huì)話數(shù)據(jù)能夠有效地抵御信息傳遞過程中的被截獲、重發(fā) 攻擊的安全風(fēng)險(xiǎn)，并且只需要對(duì)現(xiàn)有登錄發(fā)起終端做少量改動(dòng)即可，實(shí)施部署方便。圖6為根據(jù)本發(fā)明登錄目標(biāo)終端實(shí)施例的內(nèi)部結(jié)構(gòu)示意圖，如圖6所示，該登錄目標(biāo)終端包括接收模塊60，用于接收登錄發(fā)起終端發(fā)送的包含驗(yàn)證信息和會(huì)話數(shù)據(jù)的訪問請(qǐng) 求；驗(yàn)證模塊61，用于根據(jù)該訪問請(qǐng)求驗(yàn)證會(huì)話數(shù)據(jù)的有效性；解析模塊62，用于在會(huì)話數(shù)據(jù)有效時(shí)，對(duì)驗(yàn)證信息進(jìn)行解析，獲取登錄用戶數(shù)據(jù)。其中，登錄目標(biāo)終端可以通過驗(yàn)證中心來(lái)驗(yàn)證會(huì)話數(shù)據(jù)的有效性，驗(yàn)證模塊61進(jìn) 一步可以包括解密子模塊，用于通過與登錄發(fā)起終端約定的加密算法對(duì)驗(yàn)證信息和會(huì)話數(shù)據(jù)進(jìn)行解密；解包子模塊，用于通過與登錄發(fā)起終端約定的協(xié)議對(duì)解密后的數(shù)據(jù)進(jìn)行解包，獲得驗(yàn)證信息和會(huì)話數(shù)據(jù)；接口子模塊，用于將會(huì)話數(shù)據(jù)發(fā)送至驗(yàn)證中心，并接收驗(yàn)證中心返回的該會(huì)話數(shù)據(jù)的驗(yàn)證結(jié)果。其中，登錄目標(biāo)終端還可以通過圖3所示方法實(shí)施例方式直接驗(yàn)證會(huì)話數(shù)據(jù)(如會(huì)話數(shù)據(jù)以及會(huì)話數(shù)據(jù)是否在驗(yàn)證時(shí)間內(nèi))的有效性，此時(shí)，接收模塊60還用于接收驗(yàn)證中心發(fā)送的會(huì)話數(shù)據(jù)和驗(yàn)證時(shí)間信息，具體數(shù)據(jù)可參見表1 ；驗(yàn)證模塊61還可以根據(jù)驗(yàn)證中心發(fā)送的會(huì)話數(shù)據(jù)和驗(yàn)證時(shí)間信息來(lái)驗(yàn)證登錄發(fā)起終端發(fā)送的會(huì)話數(shù)據(jù)的有效性。在驗(yàn) 證了會(huì)話數(shù)據(jù)為有效后，驗(yàn)證模塊61將本地的該會(huì)話數(shù)據(jù)設(shè)置為無(wú)效，這樣即使該會(huì)話數(shù) 據(jù)被截獲，在再次接收到該會(huì)話數(shù)據(jù)時(shí)，也可以判定該會(huì)話數(shù)據(jù)無(wú)效，有效抵御了會(huì)話數(shù)據(jù) 的截獲和重發(fā)攻擊。本實(shí)施例提供的登錄目標(biāo)終端在用戶需要訪問目標(biāo)終端時(shí)，接收登錄發(fā)起終端的訪問請(qǐng)求，對(duì)登錄發(fā)起終端的會(huì)話數(shù)據(jù)進(jìn)行驗(yàn)證，在驗(yàn)證了會(huì)話數(shù)據(jù)的有效性后，才接受用戶訪問。其中，登錄目標(biāo)終端可以通過驗(yàn)證中心來(lái)驗(yàn)證會(huì)話數(shù)據(jù)的有效性，也可以直接驗(yàn)證會(huì)話數(shù)據(jù)的有效性，在驗(yàn)證了會(huì)話數(shù)據(jù)的有效性后，將該會(huì)話數(shù)據(jù)設(shè)置為無(wú)效，這樣能夠有效地抵御信息傳遞過程中的被截獲、重發(fā)攻擊的安全風(fēng)險(xiǎn)。本發(fā)明提供的登錄目標(biāo)終端可以實(shí)現(xiàn)跨域異構(gòu)平臺(tái)間的互聯(lián)互通，具有抗重發(fā)攻擊、安全性高的特點(diǎn)，只需要對(duì)現(xiàn)有登錄目標(biāo)終端做少量改動(dòng)即可，實(shí)施部署方便。圖7為根據(jù)本發(fā)明驗(yàn)證中心實(shí)施例的內(nèi)部結(jié)構(gòu)示意圖，如圖7所示，該驗(yàn)證中心包括接收模塊70，用于接收登錄發(fā)起終端發(fā)送的包含目標(biāo)終端的申請(qǐng)?jiān)L問請(qǐng)求；生成下發(fā)模塊71，用于根據(jù)申請(qǐng)?jiān)L問請(qǐng)求產(chǎn)生一登錄發(fā)起終端登錄該目標(biāo)終端的會(huì)話數(shù)據(jù)以及該會(huì)話數(shù)據(jù)的驗(yàn)證時(shí)間信息，并將該會(huì)話數(shù)據(jù)發(fā)送給登錄發(fā)起終端。驗(yàn)證時(shí) 間信息可以是表1中會(huì)話數(shù)據(jù)的創(chuàng)建時(shí)間信息，但實(shí)際還可以根據(jù)創(chuàng)建時(shí)間直接將有效期進(jìn)行存儲(chǔ)，如創(chuàng)建時(shí)間為11時(shí)，則有效期為當(dāng)日11時(shí)5分，只存儲(chǔ)11時(shí)5分的有效期，而不是如表1中，存儲(chǔ)創(chuàng)建時(shí)間11時(shí)。其中，接收模塊70還可以接收目標(biāo)終端發(fā)送的會(huì)話數(shù)據(jù)，這時(shí)驗(yàn)證中心還可以包括驗(yàn)證模塊72，用于驗(yàn)證該會(huì)話數(shù)據(jù)的有效性，并向目標(biāo)終端返回驗(yàn)證結(jié)果。其中，驗(yàn)證中心在驗(yàn)證了會(huì)話數(shù)據(jù)為有效后，將該會(huì)話數(shù)據(jù)設(shè)置為無(wú)效，這樣即使該會(huì)話數(shù)據(jù)被截獲，在再次接收到該會(huì)話數(shù)據(jù)時(shí)，也可以判定該會(huì)話數(shù)據(jù)無(wú)效，有效抵御了會(huì)話數(shù)據(jù)的截獲和重發(fā)攻擊。本發(fā)明實(shí)施例提供的驗(yàn)證中心在用戶需要訪問目標(biāo)終端時(shí)，產(chǎn)生一登錄發(fā)起終端登錄該目標(biāo)終端的會(huì)話數(shù)據(jù)以及該會(huì)話數(shù)據(jù)的驗(yàn)證時(shí)間信息，并在接收到登錄目標(biāo)終端發(fā) 送的會(huì)話數(shù)據(jù)后，根據(jù)之前所存儲(chǔ)的會(huì)話數(shù)據(jù)以及會(huì)話數(shù)據(jù)的驗(yàn)證時(shí)間信息對(duì)接收到的會(huì) 話數(shù)據(jù)進(jìn)行驗(yàn)證，在驗(yàn)證了會(huì)話數(shù)據(jù)為有效后，將該會(huì)話數(shù)據(jù)設(shè)置為無(wú)效，可以有效地抵御信息傳遞過程中的被截獲、重發(fā)攻擊的安全風(fēng)險(xiǎn)。本發(fā)明提供的驗(yàn)證中心可以實(shí)現(xiàn)跨域異構(gòu)平臺(tái)間的互聯(lián)互通，具有抗重發(fā)攻擊、安全性高的特點(diǎn)，只需要對(duì)現(xiàn)有驗(yàn)證中心做少量改動(dòng)即可，實(shí)施部署方便。本發(fā)明能有多種不同形式的具體實(shí)施方式
，上面以圖1-圖7為例結(jié)合附圖對(duì)本發(fā) 明的技術(shù)方案作舉例說明，這并不意味著本發(fā)明所應(yīng)用的具體實(shí)例只能局限在特定的流程或?qū)嵤├Y(jié)構(gòu)中，本領(lǐng)域普通技術(shù)人員應(yīng)當(dāng)了解，上文所提供的具體實(shí)施方案只是多種優(yōu) 選用法中的一些示例。本領(lǐng)域普通技術(shù)人員可以理解實(shí)現(xiàn)上述方法實(shí)施例的全部或部分步驟可以通過程序指令相關(guān)的硬件來(lái)完成，前述的程序可以存儲(chǔ)于一計(jì)算機(jī)可讀取存儲(chǔ)介質(zhì)中，該程序在執(zhí)行時(shí)，執(zhí)行包括上述方法實(shí)施例的步驟；而前述的存儲(chǔ)介質(zhì)包括R0M、RAM、磁碟或者光盤等各種可以存儲(chǔ)程序代碼的介質(zhì)。最后應(yīng)說明的是以上所述僅為本發(fā)明的優(yōu)選實(shí)施例而已，并不用于限制本發(fā)明，盡管參照前述實(shí)施例對(duì)本發(fā)明進(jìn)行了詳細(xì)的說明，對(duì)于本領(lǐng)域的技術(shù)人員來(lái)說，其依然可以對(duì)前述各實(shí)施例所記載的技術(shù)方案進(jìn)行修改，或者對(duì)其中部分技術(shù)特征進(jìn)行等同替換。凡在本發(fā)明的精神和原則之內(nèi)，所作的任何修改、等同替換、改進(jìn)等，均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。
權(quán)利要求
1.一種單點(diǎn)登錄方法，其特征在于，包括登錄發(fā)起終端獲取單點(diǎn)登錄的驗(yàn)證信息以及跨域的目標(biāo)終端對(duì)應(yīng)的會(huì)話數(shù)據(jù)；所述登錄發(fā)起終端向所述目標(biāo)終端發(fā)送包含所述驗(yàn)證信息和會(huì)話數(shù)據(jù)的訪問請(qǐng)求；所述目標(biāo)終端根據(jù)所述訪問請(qǐng)求驗(yàn)證所述會(huì)話數(shù)據(jù)的有效性，并在有效時(shí)解析所述驗(yàn) 證信息并獲取登錄用戶的用戶數(shù)據(jù)；所述登錄用戶登錄所述目標(biāo)終端。
2.根據(jù)權(quán)利要求1所述的單點(diǎn)登錄方法，其特征在于，所述登錄發(fā)起終端獲取單點(diǎn)登錄的驗(yàn)證信息以及跨域的目標(biāo)終端對(duì)應(yīng)的會(huì)話數(shù)據(jù)包括所述登錄發(fā)起終端向驗(yàn)證中心發(fā)送包含所述目標(biāo)終端的申請(qǐng)?jiān)L問請(qǐng)求；所述驗(yàn)證中心根據(jù)所述申請(qǐng)?jiān)L問請(qǐng)求隨機(jī)產(chǎn)生一所述登錄發(fā)起終端登錄所述目標(biāo)終端的會(huì)話數(shù)據(jù)以及所述會(huì)話數(shù)據(jù)的驗(yàn)證時(shí)間信息；所述驗(yàn)證中心將所述會(huì)話數(shù)據(jù)返回給所述登錄發(fā)起終端。
3.根據(jù)權(quán)利要求2所述的單點(diǎn)登錄方法，其特征在于，所述目標(biāo)終端根據(jù)所述訪問請(qǐng) 求驗(yàn)證所述會(huì)話數(shù)據(jù)的有效性包括所述目標(biāo)終端根據(jù)所述訪問請(qǐng)求獲得所述會(huì)話數(shù)據(jù)；所述目標(biāo)終端將所述會(huì)話數(shù)據(jù)發(fā)送至所述驗(yàn)證中心進(jìn)行驗(yàn)證；當(dāng)所述訪問請(qǐng)求中的會(huì)話數(shù)據(jù)與所述驗(yàn)證中心發(fā)送的會(huì)話數(shù)據(jù)一致，且在所述驗(yàn)證時(shí) 間信息對(duì)應(yīng)的驗(yàn)證時(shí)間內(nèi)時(shí)，所述驗(yàn)證中心驗(yàn)證所述登錄發(fā)起終端的會(huì)話數(shù)據(jù)有效，并向所述目標(biāo)終端返回為有效的驗(yàn)證結(jié)果。
4.根據(jù)權(quán)利要求3所述的單點(diǎn)登錄方法，其特征在于，所述驗(yàn)證中心驗(yàn)證所述登錄發(fā) 起終端的會(huì)話數(shù)據(jù)有效之后還包括所述驗(yàn)證中心將所述會(huì)話數(shù)據(jù)設(shè)置為無(wú)效。
5.根據(jù)權(quán)利要求2所述的單點(diǎn)登錄方法，其特征在于，所述目標(biāo)終端根據(jù)所述訪問請(qǐng) 求驗(yàn)證所述會(huì)話數(shù)據(jù)的有效性包括所述目標(biāo)終端接收所述驗(yàn)證中心發(fā)送的會(huì)話數(shù)據(jù)以及所述驗(yàn)證時(shí)間信息；所述目標(biāo)終端根據(jù)所述訪問請(qǐng)求獲得所述會(huì)話數(shù)據(jù)，并根據(jù)所述驗(yàn)證中心發(fā)送的會(huì)話數(shù)據(jù)以及驗(yàn)證時(shí)間信息對(duì)所述訪問請(qǐng)求中的會(huì)話數(shù)據(jù)進(jìn)行有效性驗(yàn)證；當(dāng)所述訪問請(qǐng)求中的會(huì)話數(shù)據(jù)與所述驗(yàn)證中心發(fā)送的會(huì)話數(shù)據(jù)一致，且在所述驗(yàn)證時(shí) 間信息對(duì)應(yīng)的驗(yàn)證時(shí)間內(nèi)時(shí)，所述目標(biāo)終端驗(yàn)證所述登錄發(fā)起終端的會(huì)話數(shù)據(jù)有效。
6.根據(jù)權(quán)利要求1-5中任一項(xiàng)所述的單點(diǎn)登錄方法，其特征在于，所述登錄發(fā)起終端獲取單點(diǎn)登錄的驗(yàn)證信息以及跨域的目標(biāo)終端對(duì)應(yīng)的會(huì)話數(shù)據(jù)包括所述登錄發(fā)起終端通過靜態(tài)密碼認(rèn)證、動(dòng)態(tài)密碼認(rèn)證方式獲取驗(yàn)證中心簽發(fā)的單點(diǎn)登錄的驗(yàn)證信息。
7.根據(jù)權(quán)利要求1-5中任一項(xiàng)所述的單點(diǎn)登錄方法，其特征在于，所述登錄發(fā)起終端向所述目標(biāo)終端發(fā)送包含所述驗(yàn)證信息和會(huì)話數(shù)據(jù)的訪問請(qǐng)求包括所述登錄發(fā)起終端采用與所述目標(biāo)終端約定的協(xié)議對(duì)驗(yàn)證信息和會(huì)話數(shù)據(jù)進(jìn)行打包，并通過與所述目標(biāo)終端約定的加密算法對(duì)打包后的數(shù)據(jù)進(jìn)行加密；所述登錄發(fā)起終端向所述目標(biāo)終端發(fā)送包含所述加密后數(shù)據(jù)的訪問請(qǐng)求。
8.根據(jù)權(quán)利要求7所述的單點(diǎn)登錄方法，其特征在于，所述約定的協(xié)議包括PKCS7或XML協(xié)議；所述約定的加密算法包括對(duì)稱加密算法或非對(duì)稱加密算法或數(shù)字信封加密算法。
9.根據(jù)權(quán)利要求1-5中任一項(xiàng)所述的單點(diǎn)登錄方法，其特征在于，所述驗(yàn)證信息為票據(jù)中心對(duì)所述登錄發(fā)起終端簽發(fā)的票據(jù)。
10.一種登錄發(fā)起終端，其特征在于，包括獲取模塊，用于獲取單點(diǎn)登錄的驗(yàn)證信息以及跨域的目標(biāo)終端對(duì)應(yīng)的會(huì)話數(shù)據(jù)；發(fā)送模塊，用于向所述目標(biāo)終端發(fā)送包含所述驗(yàn)證信息和會(huì)話數(shù)據(jù)的訪問請(qǐng)求。
11.根據(jù)權(quán)利要求10所述的登錄發(fā)起終端，其特征在于，還包括打包模塊，用于與所述目標(biāo)終端約定的協(xié)議對(duì)驗(yàn)證信息和會(huì)話數(shù)據(jù)進(jìn)行打包；加密模塊，用于通過與所述目標(biāo)終端約定的加密算法對(duì)打包后的數(shù)據(jù)進(jìn)行加密，并將加密后的數(shù)據(jù)發(fā)送至所述發(fā)送模塊；所述約定的協(xié)議包括PKCS7或XML協(xié)議，所述約定的加密算法包括對(duì)稱加密算法或非對(duì)稱加密算法或數(shù)字信封加密算法。
12.—種登錄目標(biāo)終端，其特征在于，包括接收模塊，用于接收登錄發(fā)起終端發(fā)送的包含驗(yàn)證信息和會(huì)話數(shù)據(jù)的訪問請(qǐng)求；驗(yàn)證模塊，用于根據(jù)所述訪問請(qǐng)求驗(yàn)證所述會(huì)話數(shù)據(jù)的有效性；解析模塊，用于在所述會(huì)話數(shù)據(jù)有效時(shí)，對(duì)所述驗(yàn)證信息進(jìn)行解析，獲取登錄用戶數(shù)據(jù)。
13.根據(jù)權(quán)利要求12所述的登錄目標(biāo)終端，其特征在于，所述驗(yàn)證模塊包括解密子模塊，用于通過與所述登錄發(fā)起終端約定的加密算法對(duì)驗(yàn)證信息和會(huì)話數(shù)據(jù)進(jìn) 行解密；解包子模塊，用于通過與所述登錄發(fā)起終端約定的協(xié)議對(duì)解密后的數(shù)據(jù)進(jìn)行解包，獲得驗(yàn)證信息和會(huì)話數(shù)據(jù)；接口子模塊，用于將所述會(huì)話數(shù)據(jù)發(fā)送至驗(yàn)證中心，并接收所述驗(yàn)證中心返回的所述會(huì)話數(shù)據(jù)的驗(yàn)證結(jié)果。
14.根據(jù)權(quán)利要求12所述的登錄目標(biāo)終端，其特征在于，所述接收模塊，還用于接收驗(yàn)證中心發(fā)送的會(huì)話數(shù)據(jù)和驗(yàn)證時(shí)間信息；所述驗(yàn)證模塊，用于根據(jù)所述驗(yàn)證中心發(fā)送的會(huì)話數(shù)據(jù)和驗(yàn)證時(shí)間信息驗(yàn)證所述登錄發(fā)起終端發(fā)送的會(huì)話數(shù)據(jù)的有效性，并將驗(yàn)證結(jié)果返回所述解析模塊。
15.一種驗(yàn)證中心，其特征在于，包括接收模塊，用于接收登錄發(fā)起終端發(fā)送的包含目標(biāo)終端的申請(qǐng)?jiān)L問請(qǐng)求；生成下發(fā)模塊，用于根據(jù)所述申請(qǐng)?jiān)L問請(qǐng)求產(chǎn)生一所述登錄發(fā)起終端登錄所述目標(biāo)終端的會(huì)話數(shù)據(jù)以及所述會(huì)話數(shù)據(jù)的驗(yàn)證時(shí)間信息，并將所述會(huì)話數(shù)據(jù)發(fā)送給所述登錄發(fā)起終端。
16.根據(jù)權(quán)利要求15所述的驗(yàn)證中心，其特征在于，所述接收模塊還用于接收目標(biāo)終端發(fā)送的會(huì)話數(shù)據(jù)；所述驗(yàn)證中心還包括驗(yàn)證模塊，用于根據(jù)所述生成下發(fā)模塊驗(yàn)證所述目標(biāo)終端發(fā)送的會(huì)話數(shù)據(jù)的有效性，并向所述目標(biāo)終端返回驗(yàn)證結(jié)果。
全文摘要
本發(fā)明公開了一種單點(diǎn)登錄方法、登錄發(fā)起終端、目標(biāo)終端和驗(yàn)證中心，其中，該單點(diǎn)登錄方法包括登錄發(fā)起終端獲取單點(diǎn)登錄的驗(yàn)證信息以及跨域的目標(biāo)終端對(duì)應(yīng)的會(huì)話數(shù)據(jù)；登錄發(fā)起終端向目標(biāo)終端發(fā)送包含驗(yàn)證信息和會(huì)話數(shù)據(jù)的訪問請(qǐng)求；目標(biāo)終端根據(jù)該訪問請(qǐng)求驗(yàn)證會(huì)話數(shù)據(jù)的有效性，并在有效時(shí)解析該驗(yàn)證信息并獲取登錄用戶數(shù)據(jù)；登錄用戶登錄該目標(biāo)終端。本發(fā)明各實(shí)施例由于隨機(jī)生成單點(diǎn)登錄的會(huì)話數(shù)據(jù)，因此，能夠在跨域的應(yīng)用部署環(huán)境下，抵御單點(diǎn)登錄的截獲和重發(fā)攻擊。
文檔編號(hào)H04L29/08GK102045329SQ20091023615
公開日2011年5月4日申請(qǐng)日期2009年10月22日優(yōu)先權(quán)日2009年10月22日
發(fā)明者馮運(yùn)波, 康小強(qiáng), 王春平, 王盟, 陳江鋒, 高翔申請(qǐng)人:中國(guó)移動(dòng)通信集團(tuán)公司

完整全部詳細(xì)技術(shù)資料下載

該技術(shù)已申請(qǐng)專利。僅供學(xué)習(xí)研究，如用于商業(yè)用途，請(qǐng)聯(lián)系技術(shù)所有人。
技術(shù)研發(fā)人員：高翔;康小強(qiáng);馮運(yùn)波;陳江鋒;王春平;王盟
技術(shù)所有人：中國(guó)移動(dòng)通信集團(tuán)公司
我是此專利的發(fā)明人

該領(lǐng)域下的技術(shù)專家
如您需求助技術(shù)專家，請(qǐng)點(diǎn)此查看客服電話進(jìn)行咨詢。
1、王老師：1.數(shù)字信號(hào)處理 2.傳感器技術(shù)及應(yīng)用 3.機(jī)電一體化產(chǎn)品開發(fā) 4.機(jī)械工程測(cè)試技術(shù) 5.逆向工程技術(shù)研究
2、王老師：1.機(jī)器人 2.嵌入式控制系統(tǒng)開發(fā)
3、孫老師：1.振動(dòng)信號(hào)時(shí)頻分析理論與測(cè)試系統(tǒng)設(shè)計(jì) 2.汽車檢測(cè)系統(tǒng)設(shè)計(jì) 3.汽車電子控制系統(tǒng)設(shè)計(jì)
4、畢老師：機(jī)構(gòu)動(dòng)力學(xué)與控制
5、袁老師：1.計(jì)算機(jī)視覺 2.無(wú)線網(wǎng)絡(luò)及物聯(lián)網(wǎng)
如您是高校老師，可以點(diǎn)此聯(lián)系我們加入專家?guī)臁?/a>

相關(guān)技術(shù)

網(wǎng)友詢問留言已有0條留言

還沒有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊！

精彩留言，會(huì)給你點(diǎn)贊！

單點(diǎn)登錄相關(guān)技術(shù)

sso單點(diǎn)登錄相關(guān)技術(shù)

sso單點(diǎn)登錄系統(tǒng)相關(guān)技術(shù)

一種單點(diǎn)登錄方法、登錄發(fā)起終端、目標(biāo)終端和驗(yàn)證中心的制作方法

一種單點(diǎn)登錄方法、登錄發(fā)起終端、目標(biāo)終端和驗(yàn)證中心的制作方法