一种单点登录方法、系统以及登录服务平台

1.一种单点登录方法，其特征在于，所述单点登录方法包括：
客户端根据预先从登录服务平台获取的令牌标识和令牌序列号生成用户令牌，所述用户令牌包括令牌标识以及经过使用登录服务平台公钥进行加密的令牌序列号；
所述客户端使用所述用户令牌访问应用服务器，所述用户令牌只能使用一次；
所述应用服务器向所述登录服务平台请求对所述用户令牌进行鉴权，所述鉴权包括，所述登录服务平台使用所述登录服务平台私钥对所述用户令牌进行解密得到所述令牌序列号，与根据所述令牌标识查找到的令牌序列号进行比对，无误则鉴权成功，鉴权成功则使所述客户端访问成功。
2.如权利要求1所述的单点登录方法，其特征在于，所述客户端根据预先从登录服务平台获取的令牌标识和令牌序列号生成用户令牌之前还包括：
所述客户端生成令牌密钥；
向登录服务平台发送登录信息，所述登录信息包括用户标识信息和经过使用登录服务平台公钥进行加密的所述令牌密钥；
从所述登录服务平台获取初始令牌，所述初始令牌包括令牌标识和经过所述令牌密钥加密的令牌序列号；
使用所述令牌密钥对初始令牌解密得到所述令牌序列号；
储存所述令牌标识和令牌序列号。
3.如权利要求2所述的单点登录方法，其特征在于，所述客户端向登录服务平台发送登录信息包括：
客户端向用户身份源服务器发送用户信息，所述用户信息包括用户标识和经过使用登录服务平台公钥进行加密的所述令牌密钥；
所述用户身份源服务器向登录服务平台发送登录信息，所述登录信息包括用户标识信息和经过使用登录服务平台公钥进行加密的所述令牌密钥，所述用户标识信息包括用户标识和用户源标识。
4.如权利要求3所述的单点登录方法，其特征在于，所述向登录服务平台发送登录信息后还包括：
所述登录服务平台获取所述登录信息后，对所述用户标识信息进行鉴权；
所述登录服务平台鉴权成功后使用登录服务平台私钥对所述登录信息解密得到所述令牌密钥；
生成并返回所述初始令牌，所述初始令牌包括令牌标识和经过所述令牌密钥加密的令牌序列号。
5.如权利要求2所述的单点登录方法，其特征在于，所述使用所述令牌密钥对初始令牌解密得到所述令牌序列号后，删除所述令牌密钥。
6.如权利要求2所述的单点登录方法，其特征在于，所述单点登录方法还包括：
所述登录服务平台预设所述初始令牌和所述用户令牌的有效时间。
7.一种登录服务平台，其特征在于，所述登录服务平台包括：
登录信息获取单元，用于获取登录信息，所述登录信息包括用户标识信息和经过使用登录服务平台公钥进行加密的令牌密钥；
私钥解密单元，用于使用登录服务平台私钥对获取到的包含经过使用登录服务平台公钥进行加密的内容的信息进行解密；
初始令牌发放单元，用于生成令牌标识和令牌序列号，并使用通过私钥解密单元解密后得到的所述令牌密钥对令牌序列号进行加密，向客户端返回初始令牌，所述初始令牌包括所述令牌标识和经过加密的令牌序列号；
用户令牌获取单元，用于从应用服务器获取用户令牌，所述用户令牌包括令牌标识以及经过使用登录服务平台公钥进行加密的令牌序列号；
令牌鉴权单元，用于对获取到的所述令牌标识和经过私钥解密单元解密得到的令牌序列号进行鉴权，所述鉴权包括，所述登录服务平台使用所述登录服务平台私钥对所述用户令牌进行解密得到所述令牌序列号，与根据所述令牌标识查找到的令牌序列号进行比对，并将鉴权结果返回所述应用服务器。
8.如权利要求7所述的登录服务平台，其特征在于，所述登录服务平台还包括：
用户标识鉴权单元，用于对所述登录信息获取单元获取到的登录信息中的用户标识信息进行鉴权，鉴权成功则通知私钥解密单元对登录信息进行解密。
9.一种单点登录系统，其特征在于，所述单点登录系统包括客户端、登录服务平台以及应用服务器，其中：
所述客户端用于生成令牌密钥，使用登录服务平台公钥对所述令牌密钥进行加密，将用户标识信息和所述经过加密的令牌密钥发送出去；获取所述登录服务平台返回的初始令牌，使用所述令牌密钥对所述初始令牌进行解密得到令牌标识和令牌序列号，使用登录服务平台公钥对所述令牌序列号进行加密，使用用户令牌访问所述应用服务器，所述用户令牌包括令牌标识与经过加密的令牌序列号；
所述登录服务平台用于获取所述用户标识信息和经过加密的令牌密钥，使用登录服务平台私钥解密得到所述令牌密钥，生成令牌标识和令牌序列号，使用所述令牌密钥对令牌序列号进行加密，向客户端返回初始令牌，所述初始令牌包括所述令牌标识和经过加密的令牌序列号；从应用服务器获取用户令牌，使用登录服务平台私钥对所述用户令牌进行解密得到令牌标识和令牌序列号，对所述令牌标识和令牌序列号进行鉴权，所述鉴权包括，所述登录服务平台使用所述登录服务平台私钥对所述用户令牌进行解密得到所述令牌序列号，与根据所述令牌标识查找到的令牌序列号进行比对，并将鉴权结果返回给所述应用服务器；
所述应用服务器用于从所述客户端获取用户令牌，转发给所述登录服务平台请求鉴权，并根据登录服务平台返回的鉴权结果通过或拒绝客户端的访问请求。
10.如权利要求9所述的单点登录系统，其特征在于，所述单点登录系统还包括：
用户身份源服务器，用于储存用户的用户标识和用户源标识，获取用户的用户信息，所述用户信息包括用户标识和经过使用登录服务平台公钥进行加密的令牌密钥，向登录服务平台发送登录信息，所述登录信息包括用户标识、用户源标识以及经过使用登录服务平台公钥进行加密的令牌密钥。

一种单点登录方法、系统以及登录服务平台\n技术领域\n[0001] 本发明涉及通信领域，尤其涉及一种单点登录方法、系统以及登录服务平台。\n背景技术\n[0002] 单点登录(Single Sign On，SSO)是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应用系统。它包括可以将这次主要的登录映射到其他应用中用于同一个用户的登录的机制。\n[0003] 现有的SSO都是基于静态令牌方式，由用户到SSO服务器上申请令牌，客户端携带该令牌去访问其他授信服务；这种申请到的令牌由SSO服务器端产生，之后在一定时间段内可以使用多次。一旦令牌被非法窃取，就会造成用户授信的应用系统被非法侵入。这个问题在静态令牌的方式下比较难得到解决；如果静态令牌如果只能使用1次，就需要用户每次登陆就需要去SSO服务器上申请静态令牌，造成SSO服务器的压力主要是在用户申请令牌的动作上，并且每次申请令牌的时间也会增加用户每次单点登陆SSO的总等待时间，严重影响用户体验。\n发明内容\n[0004] 有鉴于此，本发明实施例提供了一种单点登录方法，通过客户端生成动态令牌进行访问，实现了安全快速的SSO访问机制。\n[0005] 本发明实施例提供了一种单点登录方法，所述单点登录方法包括：\n[0006] 客户端根据预先从登录服务平台获取的令牌标识和令牌序列号生成用户令牌，所述用户令牌包括令牌标识以及经过使用登录服务平台公钥进行加密的令牌序列号；\n[0007] 所述客户端使用所述用户令牌访问应用服务器，所述用户令牌只能使用一次；\n[0008] 所述应用服务器向所述登录服务平台请求对所述用户令牌进行鉴权，鉴权成功则使所述客户端访问成功。\n[0009] 相应地，本发明实施例还提供了一种登录服务平台，所述登录服务平台包括：\n[0010] 登录信息获取单元，用于获取登录信息，所述登录信息包括用户标识信息和经过使用登录服务平台公钥进行加密的令牌密钥；\n[0011] 私钥解密单元，用于使用登录服务平台私钥对获取到的包含经过使用登录服务平台公钥进行加密的内容的信息进行解密；\n[0012] 初始令牌发放单元，用于生成令牌标识和令牌序列号，并使用通过私钥解密单元解密后得到的所述令牌密钥对令牌序列号进行加密，向客户端返回初始令牌，所述初始令牌包括所述令牌标识和经过加密的令牌序列号；\n[0013] 用户令牌获取单元，用于从应用服务器获取用户令牌，所述用户令牌包括令牌标识以及经过使用登录服务平台公钥进行加密的令牌序列号；\n[0014] 令牌鉴权单元，用于对获取到的所述令牌标识和经过私钥解密单元解密得到的令牌序列号进行鉴权，并将鉴权结果返回所述应用服务器。\n[0015] 相应地，本发明实施例还提供了一种单点登录系统，所述单点登录系统包括客户端、登录服务平台以及应用服务器，其中：\n[0016] 所述客户端用于生成令牌密钥，使用登录服务平台公钥对所述令牌密钥进行加密，将用户标识信息和所述经过加密的令牌密钥发送出去；获取所述登录服务平台返回的初始令牌，使用所述令牌密钥对所述初始令牌进行解密得到令牌标识和令牌序列号，使用登录服务平台公钥对所述令牌序列号进行加密，使用所述用户令牌访问所述应用服务器，所述用户令牌包括令牌标识与经过加密的令牌序列号；\n[0017] 所述登录服务平台用于获取所述用户标识信息和经过加密的令牌密钥，使用登录服务平台私钥解密得到所述令牌密钥，生成令牌标识和令牌序列号，使用所述令牌密钥对令牌序列号进行加密，向客户端返回初始令牌，所述初始令牌包括所述令牌标识和经过加密的令牌序列号；从应用服务器获取用户令牌，使用登录服务平台私钥对所述用户令牌进行解密得到令牌标识和令牌序列号，对所述令牌标识和令牌序列号进行鉴权，并将鉴权结果返回给所述应用服务器；\n[0018] 所述应用服务器用于从所述客户端获取用户令牌，转发给所述登录服务平台请求鉴权，并根据登录服务平台返回的鉴权结果通过或拒绝客户端的访问请求。\n[0019] 本发明实施例通过获取登录服务平台的初始令牌，根据该初始令牌生成动态的用户令牌并用来访问应用服务器，该用户令牌失效短，仅能使用一次，实现了安全SSO访问，增强了用户体验。\n附图说明\n[0020] 图1为本发明实施例中一种单点登录系统的结构组成示意图；\n[0021] 图2为本发明实施例中一种登录服务平台的结构组成示意图；\n[0022] 图3为本发明实施例一实现单点登录的方法流程示意图；\n[0023] 图4为本发明实施例二实现单点登录的方法流程示意图。\n具体实施方式\n[0024] 下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。\n[0025] 图1为本发明实施例中一种单点登录系统的结构组成示意图，如图1所示该单点登录系统至少包括客户端10、登录服务平台20以及应用服务器30，其中：\n[0026] 客户端10用于生成令牌密钥，使用登录服务平台公钥对所述令牌密钥进行加密，将用户标识信息和所述经过加密的令牌密钥发送出去；获取登录服务平台20返回的初始令牌，使用所述令牌密钥对所述初始令牌进行解密得到令牌标识和令牌序列号，使用登录服务平台公钥对所述令牌序列号进行加密，使用所述用户令牌访问所述应用服务器30，所述用户令牌包括令牌标识与经过加密的令牌序列号。具体地，所述令牌密钥为一个对称密钥使用该令牌密钥加密的内容可以使用同一令牌密钥进行解密，而使用所述登录服务平台公钥对所述令牌密钥进行加密为非对称加密，对端只有使用对应的登录服务平台私钥才能对加密内容进行解密阅读。所述用户标帜信息包括用户标帜，客户端也可以将用户标识与令牌密钥一同加密并发送出去。用户端从登录服务平台返回的初始令牌可以包括令牌标识、用户标识以及经过使用所述令牌密钥加密后的用户标识和令牌序列号。所述用户令牌除了包括令牌标识和经过非对称加密的令牌序列号之外，还可以包括用户标识、经过非对称加密的用户标识和时间戳，所述用户令牌生成后具有可设置的有效时间(例如60秒)，当超时则该用户令牌失效，该用户令牌仅支持客户端访问一次应用服务器，使用一次后用户令牌失效。\n[0027] 登录服务平台20用于获取所述用户标识信息和经过加密的令牌密钥，使用登录服务平台私钥解密得到所述令牌密钥，生成令牌标识和令牌序列号，使用所述令牌密钥对令牌序列号进行加密，向客户端10返回初始令牌，所述初始令牌包括所述令牌标识和经过加密的令牌序列号；从应用服务器30获取用户令牌，使用登录服务平台私钥对所述用户令牌进行解密得到令牌标识和令牌序列号，对所述令牌标识和令牌序列号进行鉴权，并将鉴权结果返回给所述应用服务器30。具体地，所述初始令牌除了包括所述令牌标识和经过加密的令牌序列号，还可以包括用户标识和经过所述令牌密钥加密后的用户标识。\n[0028] 应用服务器30用于从所述客户端10获取用户令牌，转发给所述登录服务平台20请求鉴权，并根据登录服务平台20返回的鉴权结果通过或拒绝客户端的访问请求。\n[0029] 进一步地，单点登录系统还可以包括用户身份源服务器40，用于储存用户的用户标识和用户源标识，从客户端10获取用户信息，所述用户信息包括用户标识和经过使用登录服务平台公钥进行加密的令牌密钥，查找用户的用户源标识，向登录服务平台20发送登录信息，所述登录信息包括用户标识、用户源标识以及经过使用登录服务平台公钥进行加密的令牌密钥。所述用户源标识为登录服务平台为用户身份源服务器的接入用户预先分配的，登录服务平台可以对该用户源标识进行鉴权。\n[0030] 图2为本发明实施例中一种登录服务平台的结构组成示意图，如图所示该登录服务平台包括登录信息获取单元201、私钥解密单元202、初始令牌发放单元203以及用户令牌获取单元204，其中：\n[0031] 登录信息获取单元201，用于获取登录信息，所述登录信息包括用户标识信息和经过使用登录服务平台公钥进行加密的令牌密钥，所述用户标识信息可以包括用户标识。\n[0032] 私钥解密单元202，用于使用登录服务平台私钥对获取到的包含经过使用登录服务平台公钥进行加密的内容的信息进行解密；\n[0033] 初始令牌发放单元203，用于生成令牌标识和令牌序列号，并使用通过私钥解密单元解密后得到的所述令牌密钥对令牌序列号进行加密，向客户端返回初始令牌，所述初始令牌包括所述令牌标识和经过加密的令牌序列号；\n[0034] 用户令牌获取单元204，用于从应用服务器获取用户令牌，所述用户令牌包括令牌标识以及经过使用登录服务平台公钥进行加密的令牌序列号；\n[0035] 令牌鉴权单元205，用于对获取到的所述令牌标识和经过私钥解密单元解密得到的令牌序列号进行鉴权，并将鉴权结果返回所述应用服务器。具体地，令牌鉴权单元205可以首先根据获取到的令牌标识查找对应的令牌序列号，然后将查找到的令牌序列号与经过私钥解密单元解密得到的令牌序列号进行比较，一致则鉴权成功。\n[0036] 进一步地，该登录服务平台还可以包括用户标识鉴权单元206，用于对所述登录信息获取单元获取到的登录信息中的用户标识信息进行鉴权，鉴权成功则通知私钥解密单元对登录信息进行解密。具体地，所述用户标识信息可以包括用户标识和用户源标识，所述用户源标识是登录服务平台预先为用户分配的，所述用户标识鉴权单元206可以对所述用户源标识进行鉴权。\n[0037] 图3为本发明实施例一实现单点登录的方法流程示意图，如图所示该方法流程包括：\n[0038] 步骤S301，客户端根据预先从登录服务平台获取的令牌标识和令牌序列号生成用户令牌，所述用户令牌包括令牌标识以及经过使用登录服务平台公钥进行加密的令牌序列号。具体地，客户端可以预先请求从登录服务平台获取一个初始令牌并进行安全储存，初始令牌包括令牌标识和令牌序列号，该初始令牌具有预设的有效期，例如24小时，在该初始令牌有效期内，客户端都可以根据初始令牌中的令牌标识和令牌序列号生成所述用户令牌。所述用户令牌除了包括令牌标识以及经过使用登录服务平台公钥进行非对称加密的令牌序列号外，还可以包括用户标识、经过使用登录服务平台公钥进行非对称加密的用户标识和时间戳。其中所述登录服务平台公钥是公开的，对应的私钥存于登录服务平台中，第三方无法获取私钥。进一步地所述用户令牌生成后具有可设置的有效时间(例如60秒)，从生成时开始计算，若超时则该用户令牌失效，该用户令牌仅支持客户端访问一次应用服务器，使用一次后用户令牌失效。\n[0039] 步骤S302，所述客户端使用所述用户令牌访问应用服务器，所述用户令牌只能使用一次。具体地，客户端向应用服务器发送携带所述用户令牌的访问请求，发送后所述用户令牌失效，不管成功与否若需重新访问该应用服务器或需访问其他的应用服务器，则需重新执行步骤S301。\n[0040] 步骤S303，所述应用服务器向所述登录服务平台请求对所述用户令牌进行鉴权，鉴权成功则使所述客户端访问成功。具体地，所述应用服务器获取到所述携带用户令牌的访问请求后，将所述用户令牌发往登录服务平台请求鉴权，登录服务平台使用登录服务平台私钥对用户令牌进行解密得到令牌序列号，与根据令牌标识查找到的令牌序列号进行比对，无误则鉴权成功，向应用服务器返回鉴权结果，应用服务器即通过客户端的访问请求。\n[0041] 图4为本发明实施例二实现单点登录的方法流程示意图，如图所示该方法流程包括：\n[0042] 步骤S401，所述客户端生成令牌密钥Ktoken。\n[0043] 步骤S402，客户端向登录服务平台发送登录信息，所述登录信息包括用户标识信息和经过使用登录服务平台公钥进行加密的所述令牌密钥。具体地，客户端可以直接将登录信息发送给登录服务平台，登录信息至少包括用户标识信息UID和经过使用登录服务平台公钥Kpub_sso进行加密的所述令牌密钥ERsa(Kpub_sso，Ktoken)。客户端还可以首先登录用户身份源服务器，后者从客户端获取ERsa(Kpub_sso，Ktoken)和UID后，查找到用户的源标识USID后向登录服务平台发送登录信息，此处的登录信息至少包括用户标识信息和经过使用登录服务平台公钥进行加密的所述令牌密钥，其中用户标识信息包括UID和USID。所述用户源标识为登录服务平台预先为接入用户身份源服务器的用户分配的，可以在登录服务平台上进行鉴权。\n[0044] 步骤S403，客户端从所述登录服务平台获取初始令牌，所述初始令牌包括令牌标识和经过所述令牌密钥加密的令牌序列号。具体地，所述登录服务器获取了登录信息后，可选的首先对登录信息中的用户标识信息中USID进行鉴权，鉴权成功后使用登录服务平台私钥Kpri_sso对登录信息中的加密内容进行解密，得到所述令牌密钥Ktoken，登录服务平台进而生成初始令牌TokenInit，所述初始令牌TokenInit至少包括令牌标识KTID和经过使用令牌密钥Ktoken进行对称加密的令牌序列号EAes(Ktoken，SN)，还可以包括用户标识UID和经过对称加密的用户标识EAes(Ktoken，UID)，客户端获取登录服务平台返回的初始令牌TokenInit。\n[0045] 步骤S404客户端使用所述令牌密钥对初始令牌解密得到所述令牌序列号。具体地，客户端获取到令牌标识KTID，使用Ktoken对初始令牌TokenInit进行解密得到令牌序列号SN。\n[0046] 步骤S405，客户端储存所述令牌标识和令牌序列号。具体地，客户端安全储存所述令牌标识KTID和令牌序列号SN后删除令牌密钥Stoken。在预设初始令牌时效内(例如\n24小时)该令牌标识KTID和令牌标识SN都是有效的。\n[0047] 步骤S406，客户端根据从登录服务平台获取的令牌标识和令牌序列号生成用户令牌，所述用户令牌包括令牌标识以及经过使用登录服务平台公钥进行加密的令牌序列号。\n具体地，客户端使用登录服务平台公钥Kpub_sso对所述令牌序列号SN进行非对称加密得到ERsa(Kpub_sso，SN)，客户端生成用户令牌TokenUser，所述用户令牌TokenUser至少包括令牌标识KTID和ERsa(Kpub_sso，SN)，还可以包括用户标识和经过登录服务平台公钥Kpub_sso进行非对称加密的用户标识和时间戳ERsa(Kpub_sso，UID|Ltime)。进一步地根据初始令牌TokenInit中令牌标识KTID和令牌序列号SN的有效时间，客户端在该有效时间内都可以使用KTID和SN生成用户令牌TokenUser。所述用户令牌TokenUser具有一个较短的时限(例如60秒)，超过该时限未使用则TokenUser失效。\n[0048] 步骤S407，所述客户端使用所述用户令牌访问应用服务器，所述用户令牌只能使用一次。具体地，客户端向应用服务器发送携带所述用户令牌TokenUser的访问请求，发送后所述用户令牌失效TokenUser，不管成功与否若需重新访问该应用服务器或需访问其他的应用服务器，则需重新执行步骤S406。\n[0049] 步骤S408，所述应用服务器向所述登录服务平台请求对所述用户令牌进行鉴权，鉴权成功则使所述客户端访问成功。具体地，所述应用服务器获取到所述携带用户令牌TokenUser的访问请求后，将所述用户令牌TokenUser发往登录服务平台请求鉴权，登录服务平台使用登录服务平台私钥Kpri_sso对用户令牌TokenUser进行解密得到令牌序列号SN，与根据令牌标识KTID查找到的令牌序列号SN进行比对，无误则鉴权成功，向应用服务器返回鉴权结果，应用服务器即通过客户端的访问请求。\n[0050] 本发明实施例通过获取登录服务平台的初始令牌，根据该初始令牌生成动态的用户令牌并用来访问应用服务器，该用户令牌失效短，仅能使用一次，实现了安全SSO访问，增强了用户体验。\n[0051] 通过上述实施例的描述，本领域普通技术人员可以理解实现上述实施例的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一计算机可读取介质中，该程序在执行时，可包括如上述各方法的实施例的的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory，ROM)或随机存储记忆体(Random Access Memory，RAM)等。\n[0052] 以上所揭露的仅为本发明较佳实施例而已，当然不能以此来限定本发明之权利范围，因此依本发明权利要求所作的等同变化，仍属于发明所涵盖的范围。