[发明专利]跨信任域的身份认证方法

说明书

技术领域

本发明涉及信息网络中的身份认证技术领域，具体涉及一种跨信任域的身份认证方法，通过身份认证令牌，实现信任域内或跨信任域访问。

背景技术

当前在政务、商务等集团大网络环境中，很多时候存在不同的网络使用不同的信任体系，如不同的CA，不同的业务系统，当在各子网之间进行互访的时候，出于安全机制，都需要在各子网进行多次认证，存在很大的信息屏障，不方便各子网之间的信息共享与交互。

发明内容

为了克服现有技术的上述缺点，本发明提供了一种跨信任域的身份认证方法，实现一处认证，全网访问，解决了当前存在的信任问题。

本发明解决其技术问题所采用的技术方案是：一种跨信任域的身份认证方法，包括身份认证服务模块和认证终端模块；

所述身份认证服务模块提供身份令牌的颁发服务和验证服务；所述身份令牌的颁发服务包括对身份令牌申请的受理、身份令牌的封装和身份令牌的颁发；所述身份令牌的验证服务提供基于挑战的身份令牌的验证，并以合法令牌为依据返回用户应用系统信息，并通过同步LDAP或CRL排除非法用户的身份令牌验证；

所述认证终端模块包括身份令牌申请模块和客户端密码模块；所述身份令牌申请模块负责身份令牌的申请和维护；所述客户端密码模块提供客户端证书及密码运算。

与现有技术相比，本发明的积极效果是：本发明以PKI技术为核心，身份令牌为载体，基于Windows及Linux平台实现域内或域间身份认证及应用系统的单点登录。具有如下优点：

1)解决用户跨系统跨部门的身份漫游问题；

2)解决用户跨证书域的认证问题；

3)提供信任的传递能力；

4)解决协同型大型应用系统的认证问题；

5)规范应用系统的身份认证方式，简化应用系统身份认证开发过程；

6)实现多个应用系统之间的单点登录。

7)身份令牌的载体--认证客户端支持Windows平台及Linux平台。

8)身份令牌的跨软硬件平台、跨语言、可扩展性。

附图说明

本发明将通过例子并参照附图的方式说明，其中：

图1为应用系统对用户进行身份认证的流程图。

具体实施方式

本发明基于：

1、PKI的数字签名技术，实现身份令牌的签名，保证身份令牌的有效性，为跨域认证提供基础。

2、XML语言规范，实现身份令牌的封装，实现令牌跨平台、跨语言、可扩展。

3、WebService技术，实现跨软硬件平台、跨语言的身份令牌验证服务。

4、OPENID技术，实现身份认证协议的标准化。

5、COM技术，实现Window平台的令牌接口调用。

6、FireFox插件技术，实现Linux平台的令牌接口调用。

一种跨信任域的身份认证方法，包括：身份认证服务器的身份令牌颁发服务、令牌验证服务；基于Windows认证客户端的身份令牌申请模块、基于Windows的令牌调用COM接口；基于Linux认证客户端的身份令牌申请模块、基于linux的firefox令牌调用插件；客户端密码模块；其中：

身份令牌：类似于生活中的居民身份证，包括个人信息(加密、签名证书等)，签发者信息，签章(签发者的签名)，有效时间范围,身份令牌采用XML语言进行封装，让身份令牌具有跨平台、跨语言、可扩展性等高级特性。

身份令牌颁发服务：提供对身份令牌申请的受理，令牌的封装，令牌的颁发。

身份令牌验证服务：提供基于挑战的身份令牌的验证，并以合法令牌为依据返回用户应用系统信息的功能；并可以通过同步LDAP或CRL排除非法用户的身份令牌验证。

身份令牌申请模块：支持Windows及Linux平台，申请身份令牌，维护身份令牌，并实时检查令牌的有效期，保证身份令牌的可用。

基于Windows的令牌调用COM接口：提供基于Windows平台的令牌调用相关COM接口，方便基于Windows应用的跨语言令牌调用。

基于Linux的Firefox令牌调用插件：提供基于Linux平台下的令牌调用相关接口，方便基于Linux的应用调用。

客户端密码模块：提供客户端证书、提供签名验签等密码运算。