技術領域

本發明屬于信息安全領域，尤其涉及一種基于單點登錄的身份認證方法。

背景技術

單點登錄(Single?Sign?On，簡稱SSO)是目前比較流行的服務于企業業務整合的解決方案之一。單點登錄的定義是在多個應用系統中，用戶只需要通過一次身份認證，即登錄一次就可以訪問所有相互信任的應用系統。

目前身份認證技術得到越來越廣泛的應用，特別是在企業應用環境下，希望一次驗證就可以登錄權限范圍內的所有應用系統，而不是每次登錄一個系統都需要輸入一次登錄信息。因此，如何將單點登錄應用到身份認證技術中是信息安全領域中面臨的技術問題。

發明內容

針對現有技術中存在的問題，本發明提出了一種基于單點登錄的身份認證方法。

本發明采用了如下技術方案：一種基于單點登錄的身份認證方法，包括：

步驟S1：客戶端收到用戶的訪問請求時，判斷是否緩存有該用戶的一個加密的客戶端身份憑證，是則根據客戶端信息組成第二認證信息，并用緩存的第一會話密鑰加密所述第二認證信息，客戶端根據緩存的加密的客戶端身份憑證、加密的第二認證信息、客戶端信息和要訪問的服務信息組成第二請求包并發送給認證服務器，然后執行步驟S4；否則提示用戶輸入登錄信息，當接收到用戶輸入的登錄信息后，用所述登錄信息中的用戶登錄密鑰加密當前時間值得到第一認證信息，根據所述登錄信息中的用戶名生成客戶端信息，根據所述客戶端信息、當前時間值、授權服務端信息和所述第一認證信息生成第一請求包發送給認證服務器，然后執行步驟S2；

步驟S2：認證服務器接收到第一請求包，根據從所述第一請求包中獲取的第一認證信息、一個時間值、授權服務端信息和客戶端信息驗證客戶端是否合法，若合法則生成第一會話密鑰，根據第一會話密鑰、客戶端信息和第一時間戳組成客戶端身份憑證，并用預設密鑰加密所述客戶端身份憑證，根據客戶端信息在數據庫中查找得到與之對應的用戶登錄密鑰，將第一會話密鑰用用戶登錄密鑰加密，根據加密后的第一會話密鑰和加密后的客戶端身份憑證生成第一響應包發送給客戶端，若不合法則生成包含登錄失敗信息的第一響應包發送給客戶端；

步驟S3：客戶端根據接收到的第一響應包中包含的數據判斷是否登錄成功，是則從所述第一響應包中獲取加密的客戶端身份憑證和加密的第一會話密鑰，客戶端用用戶登錄密鑰對加密的第一會話密鑰解密得到第一會話密鑰，并將所述加密的客戶端身份憑證和所述第一會話密鑰與當前用戶關聯并緩存，當所述客戶端身份憑證失效時所述客戶端自動銷毀緩存的所述加密的客戶端身份憑證和所述第一會話密鑰；根據客戶端信息組成第二認證信息，并用第一會話密鑰加密所述第二認證信息，客戶端根據加密的客戶端身份憑證、加密的第二認證信息、客戶端信息和要訪問的服務信息組成第二請求包并發送給認證服務器，然后執行步驟S4，否則返回執行步驟S1所述提示用戶輸入登錄信息；

步驟S4：認證服務器接收到第二請求包，根據從所述第二請求包中獲取的加密的客戶端身份憑證、加密的第二認證信息、客戶端信息和要訪問的服務信息，以及用預設密鑰解密所述加密的客戶端身份憑證得到的第一會話密鑰、客戶端信息和第一時間戳，驗證所述客戶端身份憑證是否有效和所述客戶端是否合法，若驗證所述客戶端身份憑證有效且所述客戶端合法則生成第二會話密鑰，根據要訪問的服務信息在數據庫中查找到服務端登錄密鑰，根據第二會話密鑰、客戶端信息和第二時間戳組成訪問票據，并用服務端登錄密鑰加密所述訪問票據，將第二會話密鑰用第一會話密鑰加密，根據加密后的第二會話密鑰和加密后的訪問票據生成第二響應包發送給客戶端，否則生成包含訪問失敗信息的第二響應包發送給客戶端；

步驟S5：客戶端接收到第二響應包，判斷所述第二響應包中是否存在加密的訪問票據，是則從所述第二響應包中獲取加密的第二會話密鑰和加密的訪問票據，用第一會話密鑰解密加密的第二會話密鑰得到第二會話密鑰，根據客戶端信息組成第三認證信息并用第二會話密鑰加密，根據加密的訪問票據和加密的第三認證信息生成第三請求包并發送給要訪問的服務所在的服務端，然后執行步驟S6，否則返回執行步驟S1所述提示用戶輸入登錄信息；