单点登录方法和装置

本发明总体上涉及计算机领域，更具体地，涉及单点登录方法和装置。

单点登录技术实现了多个应用系统中用户只需要登录一次就可以访问 所有相互信任的应用系统，单点登录技术是目前比较流行的企业业务整合 的解决方案之一。

在现有技术中，单点登录开源框架有CAS，该框架默认实现了使用用 户名密码的单点登录方式。CAS系统，只是实现了用户名、密码的认证方 式，该CAS系统在一定程度上实现了单点登录的功能。

然而，由于用户名、密码认证方式过于简单，有可能导致密码劫持、 中间人攻击等问题，导致非合法用户通过认证，导致各系统的安全性无法 得到保证。

针对以上现有技术中用户名、密码认证方式过于简单，有可能导致密 码劫持、中间人攻击等缺陷，本发明提供了能够解决上述缺陷的提供了单 点登录方法和装置。

本发明提供了一种单点登录方法，包括以下步骤：用户通过证书管理 模块向CA中心申请证书；CA中心将证书发送给证书管理模块；证书管理 模块将证书写入用户的USBKey；用户向CAS发出登录请求；CAS向证书 认证模块申请认证；证书认证模块从USBKey中读出证书信息，并对用户 进行认证；以及证书认证模块将认证结果返回给CAS。

优选地，USBKey中内置单片机或智能卡芯片，用于存储用户的私钥 以及证书信息。

优选地，USBKey中内置公钥算法，用于实现对用户的身份认证。

本发明还提供了一种单点登录装置，包括：证书申请模块，用于通过 证书管理模块向CA中心申请证书，其中，CA中心将证书发送给证书管理 模块，证书管理模块将证书写入用户的USBKey；登录请求模块，用于向 CAS发出登录请求，其中，CAS向证书认证模块申请认证；证书认证模块， 用于从USBKey中读出证书信息，并将认证结果返回给CAS。

优选地，USBKey中内置单片机或智能卡芯片，用于存储用户的私钥 以及证书信息。

优选地，USBKey中内置公钥算法，用于实现对用户的身份认证。

利用本发明的技术方案能够克服现有技术的缺陷，通过CA和USBKey 的单点登录方法和装置，不仅能够实现单点登录，而且增强了单点登录装 置的安全性。因此，保证用户密码及个人信息的安全性，从而为用户提供 了更安全的工作环境。

当结合附图进行阅读时，根据下面详细的描述可以更好地理解本发明。 应该强调的是，根据工业中的标准实践，各种部件没有被按比例绘制。实 际上，为了清楚的讨论，各种部件的尺寸可以被任意增加或减少。

图1是根据本发明的示例性实施例的单点登录方法的流程图；

图2是根据本发明的示例性实施例的单点登录装置的结构框图；以及

图3是根据本发明的示例性实施例的单点登录装置的具体结构框图。

为了实施本发明的不同部件，以下描述提供了许多不同的实施例或示 例。以下描述元件和布置的特定示例以简化本发明。当然这些仅仅是示例 并不打算限定。再者，以下描述中第一部件形成在第二部件上可包括其中 第一和第二部件以直接接触形成的实施例，并且也可包括其中额外的部件 形成插入到第一和第二部件中的实施例，使得第一和第二部件不直接接触。 为了简明和清楚，可以任意地以不同的尺寸绘制各种部件。

图1是根据本发明的示例性实施例的单点登录方法的流程图。

参照图1，单点登录方法100包括：步骤102，在该步骤中用户通过证 书管理模块向CA中心申请证书。CA（Certificate Authority），认证中心， 它是采用PKI（Public Key Infrastructure）公开密钥基础架构技术，专门提 供网络身份认证服务，负责签发和管理数字证书，且具有权威性和公正性 的第三方信任机构。具体地，用户首先将申请证书的命令发送给证书管理 模块证书管理模块，证书管理模块接收到申请证书的命令以后，向CA中 心发送申请证书的信息。在步骤104中，CA中心将证书发送给证书管理模 块。CA中心从证书管理模块接收到申请证书的信息以后，作为响应，将证 书发送给证书管理模块。在步骤106中，证书管理模块将证书写入用户的 USBKey。USB Key是一种USB接口的硬件设备。它内置单片机或智能卡 芯片，有一定的存储空间，可以存储用户的私钥以及数字证书，利用USB Key内置的公钥算法实现对用户身份的认证。在一个实施例中，USBKey 中内置单片机或智能卡芯片，用于存储用户的私钥以及证书信息。具体地， 证书管理模块从CA中心接收到证书以后，将该证书写入用户的USBKey 中并进行存储，以便于稍后的用户认证。

此外，单点登录方法100还包括：步骤108，用户向CAS发出登录请 求。CAS(Central Authentication Service)，是Yale大学发起的一个开源项目， 旨在为Web应用系统提供一种可靠的单点登录方法。具体地，当用户要登 录CAS时，向CAS发送登录请求。在步骤110中，CAS向证书认证模块 申请认证。具体地，CAS在接收到用户的登录请求以后，向证书认证模块 发送申请认证的信息。在步骤112中，证书认证模块从USBKey中读出证 书信息，并对用户进行认证。在一实施例中，USBKey中内置公钥算法， 用于实现对用户的身份认证。具体地，证书认证模块在接收到申请认证的 信息以后，从USBKey中读取证书信息，并根据使用的CA系统，对用户 进行认证。在步骤114中，证书认证模块将认证结果返回给CAS。具体地， 当证书认证模块完成对用户的认证以后，将认证结果返回给CAS，从而完 成用户登录CAS的认证。

利用本发明的实施例的单点登录方法，用户基于CA和USBKey，不需 要多次登录除CA之外的其他系统，就可以自动登录其他系统，简化了用 户的操作步骤。此外，通过CA和USBKey的单点登录方法，不仅能够实 现单点登录，而且增强了单点登录的安全性。因此，保证用户密码及个人 信息的安全性，从而为用户提供了更安全的工作环境。

图2是根据本发明的示例性实施例的单点登录装置的结构框图。

单点登录装置200包括：证书申请模块202，用于通过证书管理模块 向CA中心申请证书，其中，CA中心将证书发送给证书管理模块，证书管 理模块将证书写入用户的USBKey。具体地，证书申请模块202通过证书 管理模块向CA中心申请证书。CA中心在接收到申请证书的信息以后，将 证书发送给证书管理模块，随后，证书管理模块将证书写入用户的USBKey 并进行存储。其中，USBKey中内置单片机或智能卡芯片，用于存储用户 的私钥以及证书信息。

单点登录装置200还包括登录请求模块204，用于向CAS发出登录请 求，其中，CAS向证书认证模块申请认证。具体地，登录请求模块204向 CAS发出登录请求，CAS在接收到该登录请求以后，向证书认证模块申请 认证。

单点登录装置200还包括证书认证模块206，用于从USBKey中读出 证书信息，并将认证结果返回给CAS。USBKey中内置公钥算法，用于实 现对用户的身份认证。具体地，证书认证模块206从CAS接收到申请认证 的请求以后，从USBKey中读出先前存储的证书信息，然后，证书认证模 块206根据使用CA对用户进行认证，最后，将认证结果返回给CAS。

利用本发明的实施例的单点登录装置，用户基于CA和USBKey，不需 要多次登录除CA之外的其他系统，就可以自动登录这些其他系统，简化 了用户的操作步骤。此外，通过CA和USBKey的单点登录装置，不仅能 够实现单点登录，而且增强了单点登录装置的安全性。因此，保证用户密 码及个人信息的安全性，从而为用户提供了更安全的工作环境。

图3是根据本发明的示例性实施例的单点登录装置的具体结构框图。

在具体实例中，在第1步骤中，用户通过证书管理模块申请证书；在 第2步骤中，证书管理模块向CA中心申请证书；在第3步骤中，CA中心 将证书发送给证书管理模块；在第4步骤中，证书管理模块将证书写入用 户的USBKey；在第5步骤中，用户向CAS发出登录请求;在第6步骤中， CAS向证书认证模块申请用户认证；在第7步骤中，证书认证模块从 USBKey中读出证书信息；在第8和9步骤中，根据使用CA对用户进行认 证；最后，证书认证模块将认证结果返回给CAS。

利用本发明的实施例的单点登录装置和方法，用户基于CA和 USBKey，不需要多次登录除CA之外的其他系统，就可以自动登录其他系 统，简化了用户的操作步骤。此外，通过CA和USBKey的单点登录装置 和方法，不仅能够实现单点登录，而且增强了单点登录装置的安全性。因 此，保证用户密码及个人信息的安全性，从而为用户提供了更安全的工作 环境。

上面论述了若干实施例的部件，使得本领域普通技术人员可以更好地 理解本发明的各个方面。本领域普通技术人员应该理解，可以很容易地使 用本发明作为基础来设计或更改其他用于达到与这里所介绍实施例相同的 目的和/或实现相同优点的处理和结构。本领域普通技术人员也应该意识 到，这种等效构造并不背离本发明的精神和范围，并且在不背离本发明的 精神和范围的情况下，可以进行多种变化、替换以及改变。