本發明公開了一種基于云計算的跨平臺單點登錄系統，該系統包括：至少一臺數據庫管理服務器、至少一臺認證服務器、至少一個用戶端，至少兩個應用平臺和一個云計算平臺，利用云計算平臺計算對跨平臺單點登錄的授權信息進行與跨平臺次數關聯的計算，并與用戶端應用程序計算的結果比較，以確保用于跨平臺單點登錄的授權信息的安全性。

【技術領域】

本發明涉及云計算安全技術領域，尤其涉及一種基于云計算的跨平臺單點登錄系統。

【背景技術】

云計算環境具有資源集中、用戶海量、有償按需服務等特點，云端存儲了大量的用戶敏感數據，一旦用戶身份被仿冒，就很容易造成隱私和敏感數據的泄露，而70％的數據泄漏是通過外部的輸入源帶進系統的，所以為了保證云服務的安全，必須對進入系統的用戶身份和其他輸入源的身份有較強的認證。身份認證是其他安全策略的基礎，也是其他安全策略實現其安全功能的前提條件。隨著云計算的不斷成熟，提供的服務也越來越多，這些服務分布在不同的服務器，分布在不同機構的域中，每個服務都有屬于自己的數據庫，用戶通過云終端登錄虛擬桌面訪問每一個服務時需要提供用戶名密碼或其他認證方式，在切換服務時進行越來越多的登錄。這種相對分散繁瑣的身份認證機制對用戶造成極大的精神負擔，為了減輕負擔，用戶可能將密碼設置成容易記住的如純數字或字母等，甚至對各種認證設置相同的密碼，或者將復雜密碼記錄在紙上貼在工作臺上，這些做法會降低系統的整體安全性，密碼被非法截獲的可能性增加，使系統容易被破解或攻擊從而造成不必要的損失。對管理員來說，被迫管理越來越多的身份，對用戶職責權限的維護也需要花費大量的時間進行調整。因此云環境下建立跨域的單點登錄系統，實現一處登錄，即單點登錄SSO(SingleSign-on)，讓用戶能夠通過一次登錄訪問云計算環境中不同域的網絡資源，從而減輕用戶和管理員的負擔。

目前實現單點登錄的模型主要有網關模型、代理模型和令牌模型三種，對應于這三種模型，目前有一些比較成熟的單點登錄解決方案，如微軟的Passport、IBM的WebSphere Portal Server、CAS，但它們有著不同的側重點，適合于不同的平臺與架構，系統比較復雜，缺乏靈活性，而且價格和學習成本都比較高。

無論采取上述哪種模型，都需要記錄和鑒別首次登錄成功的認證信息，由于不同平臺的用戶登錄認證信息并不相同，因此，為了實現在不改變用戶的登錄信息的前提下能夠登錄不同的平臺，最常用的一種實現方式是通過設置一個獨立的SSO認證服務器，將用戶的登錄信息統一存儲在SSO認證服務器中的用戶管理系統中，由統一的用戶管理系統完成用戶通過登錄入口進入其它應用平臺的全部登錄過程，具體為：當用戶應用程序APP首次訪問云計算環境中的一個平臺時，首先通過SSO認證服務器的完成登錄認證，如果登錄成功，會返回一個認證標識，用戶應用程序APP在訪問云計算環境中的另一個平臺時，會直接將認證標識提交給所述另一個平臺，所述另一個平臺會將該認證標識提交給SSO認證服務器進行驗證，如果驗證成功，用戶APP則可直接訪問所述另一個平臺，而無需再次進行用戶登錄的全部過程。而不同平臺的操作權限則由各個平臺負責，從而實現了統一存儲、分布授權。

雖然這種通過統一的用戶管理系統完成登錄過程的方式實現了用戶APP實現跨平臺單點登錄，但存在下述安全性問題：

用戶APP在SSO認證服務器首次登錄認證成功后，其返回的認證標識存在被截獲的風險，一旦該認證標識被其他用戶截獲，則其他用戶可以容易地偽裝成原用戶，并能利用該認證標識訪問云計算環境中任何被授權的平臺，從而給原用戶帶來不可預料的安全性風險。

【發明內容】

為了解決現有技術中的上述問題，本發明提出了一種新的基于云計算環境的跨平臺單點登錄系統，包括：至少一臺數據庫管理服務器、至少一臺認證服務器、至少一個用戶端，至少兩個應用平臺和一個云計算平臺，其中，所述數據庫管理服務器具有唯一數字標識A，

所述用戶端運行需要用戶身份認證的用戶應用程序APP，且所述用戶APP具有唯一數字標識B；