[发明专利]互信应用系统间身份认证方法

权利要求书

1.一种互信应用系统间身份认证方法，其特征在于，包括以下步骤：

1）用户登录应用系统A时，应用系统A根据用户输入的账号和密码完成身份认证；

2）应用系统A将用户账号、密码和系统A的标识发送给认证系统，由认证系统将上述信息包装为用户票根返回给应用系统A，并保存在应用系统A的公共变量中；所述系统A的标识为系统A的appKey；

3）当用户登录应用系统A后，需要访问第三方互信应用系统B，则应用系统A将自身的标识、应用系统B的服务URL及保存在应用系统A的公共变量中的用户票根，提交认证系统获取临时服务票据；应用系统A将临时服务票据提交应用系统B；

所述应用系统B与应用系统A为互信系统，所述各互信应用系统以appKey作为自身的唯一标识，各互信应用系统通过appKey和appSecret确认对方身份，appSecret是与appKey对应的一个密钥；

所述临时服务票据在互信系统间身份认证时，用于验证的服务票据，临时生成，使用过后立刻作废；

所述系统B的服务URL为系统B的请求的URL；

 4）应用系统B利用认证系统提供的验证URL，向认证系统提交应用系统B的标识及临时服务票据，在认证系统进行用户的身份认证；

所述认证系统用于为第三方互信系统B提供的一个在线票据验证URL，供第三方互信系统调用完成用户临时服务票据的验证，该验证URL包含操作方法及参数；

5）认证系统完成应用系统B提交的身份认证后，销毁产生的临时服务票据；

6）认证系统认证通过后，向应用系统B返回用户信息，则应用系统B允许用户访问；认证失败则应用系统B禁止用户访问；

7）认证系统销毁步骤2）中利用账号和密码包装的票根TGT。

2.根据权利要求1所述的认证方法，其特征在于，步骤1）中系统A运用单点登录技术，客户端将用户初次登录系统时输入的账号和密码包装为安全上下文，服务器端则根据安全上下文以及安全机制来检测该用户是否有权访问系统。

3.根据权利要求1所述的认证方法，其特征在于，步骤2)中认证系统使用票据机制完成身份认证，认证过程中以TGT（Ticket Granting Ticket）票根绑定用户信息，并颁发应用系统间身份认证凭证临时服务票据ST（Service Ticket），临时服务票据ST验证成功后即失效且其有效期为60秒，保证认证过程的安全性。

4.根据权利要求1所述的认证方法，其特征在于，步骤3)中每个应用系统配备标识信息appKey作为互信应用系统间的唯一标识，认证系统与各应用系统共享该标识信息。

5.根据权利要求1至4所述的任一认证方法，其特征在于，认证方法中，应用系统与认证系统间以Restful Web Services服务的形式交互，使用HTTPS协议保证认证过程的安全性，所有HTTPS请求以及服务器响应信息都要通过SSL协议加密和解密，包括应用系统向认证系统请求的URL以及所有在应用系统与认证系统之间传输的数据。