����,步驟206,具體包括:步驟402:基于獲取的本地終端數(shù)據(jù)����,進(jìn)行AES加密處理;步驟404:加密處理后��,進(jìn)行簽名處理,將獲取的密文和簽名打包發(fā)送給第三方系統(tǒng)�;步驟406:將第三方系統(tǒng)獲取的接收包進(jìn)行解包處理,獲得密文和簽名�;基于密文的摘要,用發(fā)送方的公鑰對接收的數(shù)字簽名進(jìn)行RSA解密處理����;步驟408:當(dāng)RSA解密所得生成值預(yù)設(shè)時(shí)間戳?xí)r,將該RSA解密后的本地終端數(shù)據(jù)設(shè)置到瀏覽器中�����,建立起瀏覽器和第三方系統(tǒng)之間的會話�。在該技術(shù)方案中,在增強(qiáng)了單點(diǎn)登錄的安全性后��,對于實(shí)施過程基本上沒有增加工作��,只需把通用標(biāo)準(zhǔn)的SSO組件放入支持單點(diǎn)登錄的第三方系統(tǒng)中即可����。
[0040]本發(fā)明的技術(shù)方案,基于現(xiàn)有技術(shù)存在的缺陷��,提供了一種基于網(wǎng)關(guān)的對企業(yè)外部系統(tǒng)安全�����、易實(shí)施的單點(diǎn)登錄方案���,即一種針對無法對目標(biāo)應(yīng)用進(jìn)行修改的外部系統(tǒng)(如政府網(wǎng)站����,互聯(lián)網(wǎng)郵箱)的單點(diǎn)登錄(SSO)的方案���,也是一種保證安全����、不改變原來應(yīng)用系統(tǒng)源碼�、不需要在第三方系統(tǒng)放置組件、方便實(shí)施的單點(diǎn)登錄方案��。
[0041]本發(fā)明的技術(shù)方案���,旨在提出一種單點(diǎn)登錄解決方案�,這種方案能夠不僅能夠不破壞和修改原來應(yīng)用系統(tǒng)的代碼���,也不需要在第三方系統(tǒng)中放置組件�����,支持快速方便的實(shí)施����,還可以保證實(shí)施之后的安全性。
_2] 本發(fā)明技術(shù)方案中涉及的一些概念和組件解釋: 第三方系統(tǒng):指需要接入SSO的業(yè)務(wù)系統(tǒng)���。
[0043]門戶:打開第三方系統(tǒng)的入口�。
[0044]用戶憑證表=Portal數(shù)據(jù)庫的一張表�,保存門戶用戶和第三方系統(tǒng)用戶的映射關(guān)系和第三方系統(tǒng)的登錄名、密碼等���。
[0045]憑證收集頁=Portal提供的��,在用戶首次打開第三方系統(tǒng)或者第三方系統(tǒng)的密碼有修改時(shí)����,即Portal的用戶憑證表與第三方的數(shù)據(jù)庫中存儲用戶名密碼的表不對應(yīng)時(shí)�,顯示出來給用戶輸入用戶密碼的頁面。
[0046]HttpClient =Apache提供的開源的支持HTTP協(xié)議的客戶端編程工具包�。
[0047]AES:—個(gè)用于保護(hù)電子數(shù)據(jù)的對稱加密算法,匯聚了強(qiáng)安全性、高性能��、高效率��、易用和靈活等優(yōu)點(diǎn)�����。
[0048]SHA:安全哈希算法(Secure Hash Algorithm)主要用做數(shù)字簽名��。該算法是把一串輸入碼(稱為預(yù)映射或信息)轉(zhuǎn)化為長度較短�、位數(shù)固定的輸出序列即散列值(也稱為信息摘要或信息認(rèn)證代碼)�。
[0049]RSA:目前最有影響力的非對稱密碼算法,它能夠抵抗到目前為止已知的絕大多數(shù)密碼攻擊����,RSA算法是第一個(gè)能同時(shí)用于加密和數(shù)字簽名的算法,也易于理解和操作�,本發(fā)明的技術(shù)方案用RSA進(jìn)行數(shù)字簽名。
[0050]Cookie:網(wǎng)站為了辨別用戶身份�����、進(jìn)行sess1n跟蹤而儲存在用戶本地終端上的數(shù)據(jù)����,分為會話Cookie和永久Cookie�����,本發(fā)明的技術(shù)方案所指的Cookie都是只得會話Cookie����。
[0051]SSO網(wǎng)關(guān):部署在企業(yè)內(nèi)部網(wǎng)絡(luò)的一個(gè)網(wǎng)關(guān)�����,使第三方系統(tǒng)獲得SSO能力��。
[0052]本發(fā)明技術(shù)方案的原理:
對于方案一�,由于其實(shí)施過程需要對第三方系統(tǒng)做源碼級別的改動,風(fēng)險(xiǎn)較大�、實(shí)施困難,我們不采用這種方案���。本發(fā)明的技術(shù)方案主要在方案二的基礎(chǔ)上�����,在不影響其實(shí)施的快捷性基礎(chǔ)上���,對其安全性能進(jìn)行�����、改進(jìn)���。
[0053]在WEB開發(fā)中��,服務(wù)器會為每個(gè)用戶瀏覽器創(chuàng)建一個(gè)會話對象(sess1n對象)�����,sess1n創(chuàng)建出來后����,會把sess1n的id號,以cookie的形式回寫給客戶端瀏覽器��,以后用戶每訪問服務(wù)器的時(shí)候都會將這個(gè)cookie帶上����,這樣就通過這個(gè)Cookie保持了客戶端和服務(wù)器之間的會話。
[0054]本發(fā)明的技術(shù)方案采用“Portal端模擬登錄建立會話”+ “網(wǎng)關(guān)Cookie改寫”的方式來進(jìn)行會話漂移���,從而達(dá)到單點(diǎn)登錄和安全性的目標(biāo)�。首先Portal的HttpClient和第三方應(yīng)用系統(tǒng)建立起會話,得到Cookie之后將其加密傳給第三方應(yīng)用系統(tǒng)���,傳輸過程中經(jīng)過SSO網(wǎng)關(guān)�,由網(wǎng)關(guān)解密Cookie并發(fā)送給服務(wù)器及瀏覽器����。這樣就達(dá)到了瀏覽器和第三方應(yīng)用系統(tǒng)之間安全的建立會話的目的。對于第三方系統(tǒng)沒有做代碼級別的修改���,也不需要在第三方系統(tǒng)上放置組件��。參見圖7和圖8��。
[0055]本發(fā)明的技術(shù)方案的單點(diǎn)登錄的主要過程:
⑴用戶在Portal中打開第三方系統(tǒng)�。
[0056]⑵Portal去用戶憑證表中根據(jù)當(dāng)前Portal用戶��、第三方系統(tǒng)編碼取對應(yīng)的憑證����。
[0057]⑶如果成功取得憑證,則到(5)�,否則在Portal中打開憑證制作頁面�����。
[0058]⑷用戶在憑證制作頁面輸入第三方系統(tǒng)的用戶名和密碼�。
[0059](5)用HttpClient模擬登錄第三方系統(tǒng)���,進(jìn)行Cookie的收集���,如果收集到,則至Ij下一步�,否則到⑶重新進(jìn)行憑證制作�。
[0060](6)對收集到的Cookie進(jìn)行加密和簽名,將加密和簽名后的值作為參數(shù)加入到第三方系統(tǒng)的URL后面���,獲得一個(gè)新的URL����。通知用戶的瀏覽器重定向到新的URL
TCP包經(jīng)過SSO網(wǎng)關(guān)�����,由SSO網(wǎng)關(guān)對帶有參數(shù)的URL進(jìn)行簽名驗(yàn)證���,驗(yàn)證通過則對Cookie解密后發(fā)送到服務(wù)器��。服務(wù)器返回的包經(jīng)過SSO網(wǎng)關(guān)時(shí)設(shè)置到用戶的瀏覽器中��,如果驗(yàn)證不通過��,返回給用戶不安全的提示�。參見圖9。
[0061]憑證制作���、Cookie收集�����、Cookie加密簽名���、Cookie驗(yàn)證解密是本發(fā)明的技術(shù)方案的關(guān)鍵步驟,下面詳細(xì)介紹這三個(gè)方面���。
[0062]憑證制作:憑證制作過程和【背景技術(shù)】中的方案二的過程是一樣的���,不是本發(fā)明的技術(shù)方案關(guān)注的重點(diǎn),不在贅述��。需要注意的是,為保證安全性��,用戶憑證表中的用戶密碼存是經(jīng)過高級加密標(biāo)準(zhǔn)(Advanced Encrypt1n Standard��,簡稱AES)加密后的密文�����。
[0063]Cookie收集:在此階段首先取得用戶憑證庫第三方系統(tǒng)的用戶名�����、密碼和第三方系統(tǒng)的配置表里的用戶名字段名���、密碼字段名����、登錄地址等配置信息���,并對其密碼進(jìn)行AES解密,然后用HttpClient模擬登錄到取得的登錄地址���,如果收到了成功信息��,則獲得當(dāng)前的會話Cookie�。Cookie,有時(shí)也用其復(fù)數(shù)形式Cookies�����,指某些網(wǎng)站為了辨別用戶身份��、進(jìn)行sess1n跟蹤而儲存在用戶本地終端上的數(shù)據(jù)(通常經(jīng)過加密)�。
[0064]在此階段,在收集到Cookie的同時(shí)��,實(shí)質(zhì)上是建立了 HttpClient對象和第三方系統(tǒng)之間的Sess1n���。下面的工作就是讓用戶的瀏覽器也與第三方系統(tǒng)也擁有這個(gè)Sess1n�,要達(dá)到這個(gè)目的就要將此收集的Cookie轉(zhuǎn)移到用戶瀏覽器中����。參見圖10。
[0065]Cookie加密�����、簽名:收集到的Cookie需要通過網(wǎng)關(guān)傳送給第三方系統(tǒng)��,再傳遞給瀏覽器。
[0066]Cookie傳送給第三方系統(tǒng)的通用SSO組件過程中是要通過網(wǎng)絡(luò)的����,就需要首先對Cookie進(jìn)行加密,本發(fā)明的技術(shù)方案采用AES作為Cookie的加密算法�,加密后的密文enc=AES (Cookie)。
[0067]將Cookie進(jìn)行AES加密后���,還需要進(jìn)行簽名���。簽名之后能有效防止截獲加密Cookie的之后的偽裝登錄。首先用SHA算法生成加密密文的摘要�,digestl=SHA (enc),然后