(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211009513.X (22)申请日 2022.08.23 (71)申请人 江苏云涌电子科技股份有限公司 地址 225300 江苏省泰州市海陵区泰安路 16号 (72)发明人 戴凯　罗辉　 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种基于TCM的单次登录访问多个应用的方 法 (57)摘要 本发明公开了一种基于TCM的单次登录访问 多个应用的方法， 通过CA服务器判断确认访问的 TCM设备是否有登录信息， 再验证其用用户名和 密码是否正确， 然后 在CA服务器中写入存在有效 登录的标志位， 再登入系统其它应用服务器， 经 过系列验签操作并通过后， 实现用户单次登录访 问多个应用。 本发明实现了TCM设备单次登录即 可安全访问不同的应用程序， 用户使用既便利， 又安全， 具有很强的推广应用价 值。 权利要求书1页 说明书4页 附图2页 CN 115412323 A 2022.11.29 CN 115412323 A 1.一种基于TC M的单次登录访问多个 应用的方法， 其特 征在于， 包括以下步骤： 1)TCM设备访问第一应用服务器时， 第一应用服务器向CA服务器确定是否存在有效登 录信息； 如果不存在有效登录信息， 则返回用户登录界面， 此时需要用户输入用户名和密 码； 2)第一应用服务器向用户信息服务器确定所述第一应用服务器的用户名和密码是否 正确， 如果 正确， 则成功登录第一应用服 务器； 3)登录成功后， 第一应用服务器向所述CA服务器中写入已存在有效登录的标志位， 并 在CA服务器中存 储有效登录信息； 4)登录所述第 一应用服务器之外的任一其他应用服务器时， 其他应用服务器检测到CA 服务器中已设置有效登录标志 位， 则将所述TCM 设备对应的有效登录信息进 行验签， 如果验 签通过， 则正常访问所述其他应用服务器； 如再需要访问当前应用服务器之外的应用服务 器时， 则重复本步骤4)， 从而实现用户单次登录访问多个 应用。 2.根据权利要求1所述的基于TCM的单次登录访 问多个应用的方法， 其特征在于： 所述 步骤3)中有效登录信息由四个字段 组成， 格式为： 服务器名称+TCM 设备序列号 +用户名密码 密文+用户名密码签名； 其中所述用户名密码密文是使用TCM设备公钥加密， 所述用户名密 码签名是使用TC M设备私钥签名。 3.根据权利要求2所述的基于TCM的单次登录访 问多个应用的方法， 其特征在于： 将所 述TCM设备对应的有效登录信息进行验签的方法为： 首先， 将所述有效登录信息中的TCM设备序列号使用CA服务器签名， 再使用TCM设备中 内置的CA服务器证书进 行验签， 如果验签通过， 则表示有效登录信息中的TCM设备序列号与 TCM设备中的设备序列号 一致； 然后， 再使用所述TCM设备私钥解密所述有效登录信息中的用户名与密码， 再将解密出 来的用户名与密码与用户信息服务器中对应的应用服务器中的用户名与密码比较； 如果一 致， 则表示有效登录信息是合法 的， 再使用CA服务器中对应TCM设备序列号的TCM设备证书 进行验签， 如果验签通过， 表明用户名和密码没有被更改， 此时正常访问所述其他应用服务 器。 4.根据权利要求3所述的基于TCM的单次登录访 问多个应用的方法， 其特征在于： 所述 第一应用服 务器是Web服 务器、 FTP服 务器、 文件服 务器、 邮件服 务器中的任意 一种。 5.根据权利要求4所述的基于TCM的单次登录访 问多个应用的方法， 其特征在于： 所述 用户服务器是用来存 储对应应用服务器的用户名和密码。权　利　要　求　书 1/1 页 2 CN 115412323 A 2一种基于 TCM的单次登录访 问多个应用的方 法 技术领域 [0001]本发明涉及可信计算技术领域， 具体是一种基于TCM的单次登录访问多个应用的 方法。 背景技术 [0002]随着企业的发展， 系统应用相应增多， 相关人员在操作不同的系统应用时， 需要多 次登录， 而且每个系统的账号都不一样， 增加了操作人员的冗余操作。 与此同时， 账号密码 还容易泄露被非法使用， 无法溯源。 只在一个系统登陆， 便可以同时使用其他系统应用， 并 保证使用过程中账号密码的安全性以及操作的可溯源性， 是一个需要解决的问题。 [0003]中 国 专 利 公 开 了 一 种 基 于 数 字 证 书 的 单 点 登 录 方 法 ，申 请 号 为 CN200310109481.1。 该专利 通过在应用服务器存放数字证书及 公/私钥对， 利用服务器公/ 私钥， 将用户信息加密保存应用于多应用系统之间， 实现安全单点登录， 安全可靠。 既避免 了由于session过期导致的用户信息丢失， 也解决了用户拒绝cookies而受到的限制。 用户 可一次登录， 无须重复输入登录信息， 实现了 “一次登录， 到处漫游 ”。 但是， 申请人认为， 该 专利的技术方案是每个应用服务器颁 发一套证书， 可以看出签名和验签都是从证书中导出 公私钥进 行签名和验签。 而公私钥对没有做保护， 存在泄露风险， 这样会存在被泄露 冒用的 风险。 且步骤t中在登录其他应用服务器时， 需要 先退出， 再用本地服务器私钥加密， 形成退 出密文， 这样 操作繁琐。 发明内容 [0004]本发明针对以上技术问题， 提供一种基于TCM的单次登录访问多个应用的方法， 所 采取的技 术方案如下： [0005]一种基于TC M的单次登录访问多个 应用的方法， 包括以下步骤： [0006]1)TCM设备访问第一应用服务器时， 第一应用服务器向CA服务器确定是否存在有 效登录信息； 如果不存在 有效登录信息， 则返回用户登录界面， 此时需要用户输入用户名和 密码； [0007]2)第一应用服务器向用户信息服务器确定所述第一应用服务器的用户名和密码 是否正确， 如果 正确， 则成功登录第一应用服 务器； [0008]3)登录成功后， 第一应用服务器向所述CA服务器中写入已存在有效登录的标志 位， 并在CA服 务器中存 储有效登录信息； [0009]4)登录所述第一应用服务器之外的任一其他应用服务器时， 其他应用服务器检测 到CA 服务器中已设置有效登录标志位， 则将所述TCM设备对应的有效登录信息进行验签， 如果验签通过， 则正常访问所述其他应用服务器； 如再需要访问当前应用服务器之外的应 用服务器时， 则重复本步骤， 从而实现用户单次登录访问多个 应用。 [0010]进一步地， 所述步骤3)中有效登录信息由四个字段组成， 格式为： 服务器名称+TCM 设备序列号+用户名密码密文+用户名密码签名； 其中所述用户名密码密文是使用TCM设备说　明　书 1/4 页 3 CN 115412323 A 3