[发明专利]多级认证方法和多级认证系统

说明书

技术领域

本发明涉及网络安全技术，尤其涉及一种多级认证方法和多级认证系统。 

背景技术

随着互联网和企业信息化的不断发展，用来实现统一认证和单点登录(Single Sign On，以下简称：SSO)的身份认证技术也随之快速发展。 

现有技术主要有三种身份认证方式。一个是基于传输层的统一身份认证方法。在该方法中，用户首先在各种应用系统处采用统一账号进行登录，然后所有的应用系统都向统一身份认证服务器发送验证请求，得到响应消息后应用系统再决定是否提供服务给用户。但是，该方法没有单点登录的功能即再次访问时需要重新登录，而只是进行统一认证。另一个是基于应用层超文本传输协议(Hypertext Transfer Protocol，以下简称：HTTP)传输的统一身份认证及单点登录方法。在该方法中，统一身份认证服务器和服务提供者之间是通过应用层HTTP协议建立通信管道，一般要使用HTTP重定向来完成通信，而单点登录一般都采用不安全的Cookie技术来实现，体系结构中服务提供商的服务器一般都只能是web服务器。再一个是基于简单对象访问协议(SimpleObject Access Protocol，以下简称：SOAP)传输的统一身份认证及单点登录方法。在该方法中，统一身份认证服务器与服务提供者之间是采用SOAP传输来建立通信管道。该方法完全基于XML技术，采用安全断言标记语言(Security Assertion Markup Language，以下简称：SAML)协议的形式来规定统一身份认证服务器和服务提供者之间交换的消息。 

但是，现有技术是存在缺陷的。如果遇到诸如修改本地Cookie值之类的攻击时，应用基于Cookie的SSO可能会无法登陆或被人冒名登陆；如果有恶意者通过攻击域名系统(Domain Name System，以下简称：DNS)服务器来劫持浏览器时，Cookie将会被发送到其他的服务器上，从而使得用户信息被窃取；恶意者可以通过劫持数据包或者利用破解算法或是找到调用接口在外部调用算法接口来窃取用户登录信息；由于使用SSO进行统一登陆，当有新系统接入或是兼容旧系统时，需要对登录功能模块做较大调整，从而导致效率和稳定性降低，不能灵活扩展。

发明内容

本发明的目的是针对现有技术的缺陷，提供一种多级认证方法和多级认证系统，以达到认证方式安全，扩展灵活以及单点登录、统一服务的效果。 

为实现上述目的，本发明提供了一种多级认证方法，包括： 

登录认证服务器对用户终端发送的资源访问请求中携带的用户令牌进行校验，校验成功时从所述用户令牌中获取用户凭证索引，根据所述用户凭证索引对用户凭证进行校验，校验成功时从用户信息数据库中获取与所述用户凭证对应的地址信息，生成访问凭证，并将访问凭证索引和所述地址信息发送给所述用户终端； 

单点登录代理服务器根据所述用户终端发送的访问凭证索引判断是否存在与所述访问凭证索引对应的访问凭证，在存在时对所述访问凭证进行校验，在校验成功时从所述用户信息数据库中获取用户权限信息，并向所述用户终端返回与所述用户权限信息对应的资源数据，所述资源数据与所述地址信息对应。 

为实现上述目的，本发明还提供了一种多级认证系统，包括： 

第一校验模块，用于对用户终端发送的资源访问请求中携带的用户令牌进行校验，校验成功时从所述用户令牌中获取用户凭证索引，根据所述用户凭证索引对用户凭证进行校验，校验成功时从用户信息数据库中获取与所述用户凭证对应的地址信息，生成访问凭证，并将访问凭证索引和所述地址信息发送给所述用户终端； 

第二校验模块，用于根据所述用户终端发送的访问凭证索引判断是否存在与所述访问凭证索引对应的访问凭证，在存在时对所述访问凭证进行校验，在校验成功时从所述用户信息数据库中获取用户权限信息，并向所述用户终端返回与所述用户权限信息对应的资源数据，所述资源数据与所述地址信息对应。 

由上述技术方案可知，本发明通过向用户终端返回访问凭证索引而不是访问凭证，能够提高用户访问信息的安全性。由于采用了多级认证，能够支持多个认证系统的接入和移除，在不改变现有的校验方式的情况下接入更多的子系统资源，并使这些子系统资源能够采用自己的校验方式进行校验，从而达到扩展灵活的效果，在用户终端通过第一多级校验后再访问子系统资源的时候不需要重新校验，从而达到单点登录，统一服务的效果。 

下面通过附图和实施例，对本发明的技术方案做进一步的详细描述。 

附图说明