技術領域

本發明涉及信息安全技術領域，具體地涉及用戶登錄各個系統時的身份認證方法。

背景技術

隨著信息化的深入，用戶享受越來越多便利的同時需要記住越來越多的系統密碼。一個典型的企業網絡往往具備營銷、各類生產信息系統、計費網關、郵件、辦公自動化、財務、門戶網站、檔案管理、信息查詢、論壇、FTP系統等等十幾個服務系統。各個系統越來越傾向于B/S結構，一般來說，在網內任何一臺機器上，只要知道相應密碼，就可以隨時隨處進入系統閱覽相關信息甚至操作信息或者業務。如何按照安全規范管理每個人的用戶名、密碼，就變成了信息系統安全中最最關鍵的一環。而這一環的影響因素是“人”，員工對于安全的敏感度和安全規則的執行度決定了一個系統的程度。如果有一個關鍵員工對于自己的密碼不負責，不認真，那么，這個企業采購了再多的安全設備、投入了再多的安全投資，系統都有致命的缺陷，系統都是不安全的。

另外，按照安全的密碼原則，每個用戶對于自己使用的各個系統都必須選取不同的密碼(這里的“各個”系統的數量往往是十幾個)；而且密碼必須定期更換；密碼的長度必須超過8位，并且是不易猜測的數字、字母組合；密碼最好靠記憶，最好不要寫、存儲在任何不安全的地方。這樣的要求幾乎沒有人可以做到。大家采取的方式往往是所有系統都長期使用一個一成不變的簡單好記的密碼，時間一長往往會被人猜到或者看到，造成泄密，造成整個系統的不安全。那么，無論系統架構、硬件設備上考慮了再高級別的系統安全，系統都是不安全的。

并且，目前有很多應用對密碼的傳輸是不加密的，比如大部分網站類應用或者最常應用的outlook。對于不加密的密碼，只要是在同一網絡中，使用某些隨處可以下載的軟件就可以監聽竊取，為網絡帶來了極大的安全隱患。而由于大多用戶對于十幾個系統采用的都是一個密碼，所以，一旦一個明文傳輸的密碼被竊取，其他的加密傳輸密碼的系統也隨即失去了加密的意義。

另外，目前采用的“單點登陸”系統需要對用戶的各個應用系統進行代碼的修改、升級，因此產生的巨額費用使很多單位僅僅能選擇部分主要系統實施單點登陸，而用戶往往在其他未實施單點登陸的系統中采用相同的密碼，因為其他系統的泄密而影響到實施了單點登陸的所有系統，是一個巨大的安全漏洞。此外“單點登陸”等于使用一個密碼代替所有密碼，也不符合通用的安全規范。

采用“硬件密碼存儲+隨機產生校驗碼”的方式也同樣遇到前面提到的各個應用系統代碼升級引起的費用問題。此外，隨機產生的校驗碼需要用戶不停的記憶，大多數人不容易記住隨機生成的校驗碼就會記錄在紙上、手機中或者其他存儲設備中，也不符合通用的安全規范。

發明內容

本發明所要解決的技術問題是：提供一種代理式身份認證方法，該方法代理用戶的身份認證行為，負責替用戶自動登陸各個子系統。同時，身份認證信息采用加密方式傳輸，避免了被網絡竊聽的可能。

為了解決上述技術問題，本發明包括以下步驟：(1)將用戶的身份認證信息加密存儲在服務器上，并在用戶需要登陸的各個子系統上設置代理認證的代理端，代理端主動檢測任何存在的身份認證請求，一旦檢測到，則執行下一步；(2)對比身份認證請求人所加載的安全策略是否和準備接入的系統中的安全策略一致，若對比結果為否，則下載更新安全策略，繼續步驟(2)；(3)若步驟(2)中的對比結果為是，則驗證身份認證請求人的身份是否合法，若驗證結果為否，則結束認證過程，若驗證結果為是，則發送身份認證請求給代理認證的服務器，服務器將屬于準備接入系統的身份認證信息以加密的方式傳輸給該系統的代理端，由代理端解密后輸入身份認證信息，進行權限驗證，若通過權限驗證，則允許登錄，否則認證失敗，認證過程結束。

根據本發明，由于采用了代理用戶身份認證行為的方法，用戶無需記住各個系統的不同密碼，也不用使用同一個密碼代替所有密碼，身份認證信息采用加密方式傳輸，避免了被網絡竊聽的可能，同時不斷更新安全策略，從而進一步提高了系統的安全性和可靠性。

附圖說明

圖1為本發明代理式身份認證方法的流程圖。

具體實施方式