(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210685459.4 (22)申请日 2022.06.17 (71)申请人 浪潮软件股份有限公司 地址 271000 山东省泰安市东 岳大街527号 浪潮科技园 (72)发明人 庄绪东　赵绍祥　 (74)专利代理 机构 济南信达专利事务所有限公 司 37100 专利代理师 郗艳荣 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/32(2006.01) H04L 67/51(2022.01) (54)发明名称 基于国密算法的平台与入住应用间信息共 享的方法及系统 (57)摘要 本发明特别涉及一种基于国密算法的平台 与入住应用间信息共享的方法及系统。 该基于国 密算法的平台与入住应用间信息共享的方法及 系统， 包括基于国密SM4算法实现SA ML2.0方式平 台与入住应用间认证及信息共享与基于国密SM4 算法实现OAuth2.0授权码方式平台与入住应用 间认证及信息共享两部分。 该基于国密算法的平 台与入住应用间信息共享的方法及系统， 实现了 应用快速集成和 信息安全共享， 在保障了各应用 平台服务独立、 数据独立的同时， 实现了安全的 应用互认、 资源 共享与能力开 放。 权利要求书3页 说明书6页 附图1页 CN 115189919 A 2022.10.14 CN 115189919 A 1.一种基于国密算法的平台与入住应用间信息共享的方法， 其特征在于： 包括以下两 部分： (1)基于国密SM4 算法实现SAML2.0方式平台与入住应用间认证及信息共享； (2)基于国密SM4 算法实现OAuth2.0授权码方式平台与入住应用间认证及信息共享。 2.根据权利要求1所述的基于国密算法的平台与入住应用间信息共享的方法， 其特征 在于： 所述第(1)部分中， 用户信息根据国密SM4算法加密后共享， 实现SAML2.0方式平台与 入住应用之间单点 集成， 通过入住应用直接提供应用服 务。 3.根据权利要求1所述的基于国密算法的平台与入住应用间信息共享的方法， 其特征 在于： 所述第(2)部分中， 用户信息根据国密SM4算法加密后共享， 实现OAuth2.0开放授权方 式平台与入住应用之间单点 集成， 通过入住应用直接提供应用服 务。 4.根据权利要求2所述的基于国密算法的平台与入住应用间信息共享的方法， 其特征 在于： 所述第(1)部分的实现步骤 入下： 步骤S1： SAML2.0方式平台维护 入住应用的应用信息， 包括应用展示信息和应用回调地 址， 并生成应用秘钥； 步骤S2： 入住应用作 为服务提供者SP， 当用户请求服务提供者信息时， 服务提供者SP将 SAML认证请求发送到身份认证服 务者IDP， 用于鉴别用户身份； 步骤S3： SAML2.0方式平台作为身份认证服务者IDP， 提供SAML身份认证服务； 若身份认 证成功， 身份认证服务者IDP按SAML断言语 法组装用户信息， 对组装的整体信息使用步骤S1 生成的应用秘钥作为加密秘钥， 使用国密S M4加密算法加密， 生成SAML响应信息返回服务提 供者SP； 步骤S4： 服务提供者SP获取到SAML响应信息， 使用步骤S1的应用秘钥进行解密， 在入住 应用内校验获取到的身份信息， 若 校验成功， 则入住应用与SAML2.0方式平台实现应用单点 集成， 通过入住应用直接提供应用服 务。 5.根据权利要求3所述的基于国密算法的平台与入住应用间信息共享的系统， 其特征 在于： 所述第(2)部分的实现步骤 入下： 步骤S1： OAuth2.0授权码方式平台维护入住应用的应用信息， 包括应用展示信息和应 用回调地址， 并生成应用秘钥； 步骤S2： 入住应用作 为客户端与OAuth2.0授权码方式平台中的资源服务器和授权服务 器， 基于OAuth授权码模式进行应用信息校验， 获取授权码； 步骤S3： OAuth2.0授权码方式平台作为授权服务器验证应用信息及请求携带的授权 码， 颁发令牌To ken； 步骤S4： 入住应用获取到令牌Token后， 携 带令牌请求OAuth2.0授权码方式平台用户信 息； 步骤S5： OAuth2.0授权码方式平台校验令牌Token通过后， 对用户信息使用步骤S1生成 的秘钥作为加密秘钥， 使用国密SM4加密算法加密， 将加密信息返回； 步骤S6： 入住应用对获取的响应结果使用步骤S1的应用秘钥进行解密， 对获取到的身 份信息在入住应用内校验， 若校验成功， 则入住应用与OAuth2.0授权码方式平 台实现应用 单点集成， 通过入住应用直接提供应用服 务。 6.一种基于国密算法的平台与入住应用间信息共享的系统， 其特征在于： 包括SAML2.0权　利　要　求　书 1/3 页 2 CN 115189919 A 2方式平台， 入住应用和用户端； 所述SAML2.0方式平台作为身份认证服务者IDP， 包括资源与秘钥管理模块， 身份认证 模块和用户信息加密模块， 负责生成应用秘钥， 身份认证服 务和用户信息加密服 务； 所述入住应用作为服务提供者SP， 包括认证请求发送模块， 解密模块和身份校验模块， 负责提供SAML认证请求发送服 务， 解密服 务和身份信息验证校验服 务。 7.根据权利要求6所述的基于国密算法的平台与入住应用间信息共享的系统， 其特征 在于： 所述资源与秘钥管理模块负责维护入住应用的应用信息， 包括应用展示信息和应用 回调地址， 并生成应用秘钥； 所述身份认证模块负责提供SAML身份认证服务， 若身份认证成功， 身份认证模块按 SAML断言语法组装用户信息， 所述用户信息加密模块使用资源与秘钥管理模块生 成的应用 秘钥作为加密秘钥， 使用国密S M4加密算法对组装的整体信息进 行加密， 生 成SAML响应信息 返回入住应用； 所述认证请求发送模块负责在用户请求服务提供者信 息时， 将SAML认证请求发送到身 份认证服 务， 用于鉴别用户身份； 所述解密模块负责在收到SAML响应信息时， 使用资源与秘钥管理模块生成的应用秘钥 对用户信息进行解密； 所述身份校验模块负责校获取到的身份信息， 若校验成功， 则 入住应用与SAML2.0方式 平台实现应用单点 集成， 通过入住应用直接提供应用服 务。 8.一种基于国密算法的平台与入住应用间信息共享的系统， 其特征在于： 包括 OAuth2.0授权码方式方式平台， 入住应用和用户端； 所述OAuth2.0授权码方式平台作为身份认证服务者IDP， 包括秘钥管理模块， 资源服务 器， 授权服 务器和用户信息加密模块， 负责生成应用秘钥， 校验服 务和用户信息加密服 务； 所述入住应用作为服务提供者SP， 包括认证请求模块， 解密模块和信息校验模块， 负责 提供认证请求 服务， 解密服 务和身份信息验证校验服 务。 9.根据权利要求8所述的基于国密算法的平台与入住应用间信息共享的系统， 其特征 在于： 所述资源服 务器负责维护入住应用的应用信息， 包括应用展示信息和应用回调地址； 所述秘钥管理模块负责生成应用秘钥； 所述授权服 务器负责基于OAuth授权码模式进行应用信息校验： 1)校验入住应用发送的应用信息， 生成授权码， 并将生成的授权码发放给入住应用； 2)校验入住应用发送的授权码， 生成令牌； 并生成的令牌发放给入住应用； 3)校验令牌， 若检验通过， 则所述用户信息加密模块使用秘钥管理模块生成的应用秘 钥作为加密秘钥， 使用国密SM4加密算法对用户信息进行加密， 将加密信息返回入住应用； 所述认证请求模块作为客户端访问资源服务器和授权服务器， 负责获取授权码和令 牌： 1)向授权服 务器发送应用信息， 获取授权码； 2)向授权服 务器发送应用信息和授权码， 获取令牌； 3)携带令牌， 向授权服 务器请求获取用户信息； 所述解密模块负责在收到加密信 息后， 使用秘钥管理模块生成的应用秘钥对加密信 息 进行解密， 得到身份信息；权　利　要　求　书 2/3 页 3 CN 115189919 A 3