| 发明名称 | 一种面向HTTP身份鉴别协议的插件式单点登录集成方法 | ||
| 摘要 | 本发明涉及一种面向HTTP身份鉴别协议的插件式单点登录集成方法,该方法的单点登录系统包括Web服务组件、Web应用组件、单点登录HTTP插件、安全令牌处理页面、浏览器、身份服务系统、主帐户数据库、主从帐户绑定数据库,其中单点登录HTTP插件是关键,它基于Web服务组件提供的扩展机制插入到采用HTTP身份鉴别协议的Web服务组件的HTTP请求、响应处理通道中;当用户在身份服务系统登录后,该插件使用用户在Web应用系统上的帐户名、口令自动完成与Web服务组件的HTTP身份鉴别协议交互,使得用户无需输入Web应用系统中的帐户名、口令即能登录Web应用系统,从而达到单点登录的目的。采用本发明的方法实现单点登录无需改变系统原有的安全配置及功能。 | ||
| 申请公布号 | CN102638454A | 申请公布日期 | 2012.08.15 |
| 申请号 | CN201210067271.X | 申请日期 | 2012.03.14 |
| 申请人 | 武汉理工大学;北京天威诚信电子商务服务有限公司 | 发明人 | 龙毅宏;谢坤轩;郭浩平;王亚龙;吴志奇;唐志红;刘旭 |
| 分类号 | H04L29/06(2006.01)I;H04L29/08(2006.01)I | 主分类号 | H04L29/06(2006.01)I |
| 代理机构 | 武汉开元知识产权代理有限公司 42104 | 代理人 | 潘杰 |
| 主权项 | 一种面向HTTP身份鉴别协议的插件式单点登录集成方法,所述方法的单点登录系统包括Web服务组件、Web应用组件、单点登录HTTP插件、安全令牌处理页面、浏览器、身份服务系统、主帐户数据库、主从帐户绑定数据库,其特征在于:Web服务组件:为Web应用组件提供HTTP请求接收、响应传送功能,及其他相关的支撑功能,包括:接收用户浏览器提交的HTTP格式的服务请求,进行相应预处理后提交给Web应用组件进行处理,之后,将Web应用组件返回的处理结果,以HTTP响应的格式传送到用户浏览器;基于相应的安全配置,对用户进行身份鉴别、访问控制;维护用户的HTTP会话;Web应用组件:向用户提供特定应用服务的功能软件,通过相应的Web服务组件,接收用户通过浏览器提交的应用服务请求,完成相应处理后将处理结果通过Web服务组件返回到用户浏览器;所述Web应用组件和对应的所述Web服务组件构成了Web应用系统;所述Web应用系统至少有一个;所述Web应用系统通过一定的方式对用户进行身份鉴别,其中部分Web应用系统通过Web服务组件采用标准HTTP身份鉴别协议对用户进行身份鉴别;用户访问所述Web应用系统的受保护页面或资源,需要使用其在对应Web应用系统中的相应帐户完成身份鉴别后才能进行;所述标准HTTP身份鉴别协议包括但不限于HTTP Basic、Digest、NTLM、Negotiate面向Web的身份鉴别协议;单点登录HTTP插件:基于Web服务组件提供的扩展机制,插入到采用HTTP身份鉴别协议的Web应用系统的Web服务组件的HTTP请求、响应处理通道中实现单点登录功能的软件组件;所述单点登录 HTTP插件采用的插件机制能够拦截HTTP身份鉴别协议的请求、响应数据;所述单点登录HTTP插件在其所部署的Web服务组件上被配置为拦截所有的HTTP请求、响应,或者被配置为拦截所有提交到受安全保护的目录或路径的HTTP请求及其响应和提交到安全令牌处理页面所在目录或路径的HTTP请求及其响应;所述单点登录HTTP插件有相应的配置信息,用于设置与单点登录有关的信息,可选地,配置信息中包含如下内容:1)单点登录HTTP插件所在的Web应用系统中哪些Web页面目录或路径是受安全保护的;2)受安全保护的目录或路径所采用的HTTP身份鉴别协议是哪个或哪些,及相关的身份鉴别协议参数;3)所使用的HTTP身份鉴别的具体实施是否允许客户端主动发出鉴别和授权请求,即是否允许客户端浏览器在接收到响应状态码是“401”且包含WWW‑Authenticate头部的HTTP响应之前,主动提交包含Authorization头部的HTTP请求,请求服务器端对客户端用户进行身份鉴别和资源访问进行授权;安全令牌处理页面:在采用HTTP身份鉴别协议的Web应用系统的Web服务组件上部署的专门处理身份服务系统签发的证明用户身份的安全令牌的Web页面;所述安全令牌处理页面部署在Web服务组的非安全保护路径或目录,即通过浏览器提交HTTP请求到该处理页面的用户无需完成身份鉴别;浏览器:用户与Web应用系统交互的客户端,通过HTTP协议向Web服务组件传送HTTP请求,接收Web服务组件返回的HTTP响应并展现响应的内容;身份服务系统:提供用户在线身份鉴别服务的系统,基于用户身份凭证对用户进行在线身份鉴别,通过相应的单点登录协议并借助浏 览器向Web应用系统传送证明用户身份的安全令牌;所述身份服务系统签发的所述安全令牌的格式依赖于使用的单点登录协议,可以是SAML断言,或者WS‑Federation安全令牌,或者自定义的安全令牌;所述身份服务系统通过数字签名保证所签发的安全令牌的原发性、完整性;主帐户数据库:存放用户登录身份服务系统的主帐户信息,包括主帐户的帐户名、口令,或主帐户对应的数据证书的相关信息;所述主帐户指用户在所述身份服务系统进行身份鉴别时使用的帐户;所述主帐户数据库可以是独立的帐户数据库,也可以是某个应用系统的帐户数据库;主从帐户绑定数据库:保存用户主帐户与用户在Web应用系统的从帐户的对应或绑定关系,以及从帐户的口令;所述从帐户即指用户在某个特定Web应用系统的相应帐户;用户的主帐户与其在某个Web应用系统中的从帐户可以是同一个,也可以不同。 | ||
| 地址 | 430070 湖北省武汉市洪山区珞狮路122号 | ||