[发明专利]互信应用系统间身份认证方法

说明书

技术领域

本发明涉及计算机信息安全领域，尤其涉及一种互信应用系统间身份认证方法。

背景技术

随着全球信息化和Internet技术的迅速发展， 系统间的相互协作越来越多，统一管理互信应用系统是全球信息化发展的必然趋势。统一管理互信应用系统能够提供或整合互信应用系统内部的多种信息系统，并以统一的用户界面方式提供给用户，为企业的管理者、应用提供商和用户提供统一的服务接入点。

目前计算机及网络系统中采用单点登录（Single Sign-On，简称SSO）模型，解决用户在互信应用系统之间一次登录就能访问其他授权的应用系统的问题。单点登录认证有许多优越性，使用户不必记下过多的登录口令，间接减少了口令泄露的几率；减少了用户等待返回认证结果的时间，促进工作效率的提升；能够提高应用系统的安全性，减少安全风险。

身份认证就是证实用户真实身份的真实性。在现实系统中，每个成员都有一个与之对应的数字身份，凭借它来防止非法用户通过身份欺诈访问系统资源。身份认证中常用的安全技术包括密码技术、消息摘要、数字签名和数字证书等。

安全的身份认证是所有应用系统的入口，统一管理平台所整合的互信应用系统往往具有相对独立的身份认证和授权机制，这使得软件平台和用户必须面对安全机制的多样性和异构性，从而导致用户身份严重不一致，用户信息无法统一，系统授权管理复杂等问题。因此研究设计出一种有效的、实用的且具有安全强度的互信应用系统间身份认证方法，具有重要的现实意义。

发明内容

本发明要解决的技术问题在于针对现有技术中的缺陷，提供一种互信应用系统间身份认证方法。

本发明解决其技术问题所采用的技术方案是：

一种互信应用系统间身份认证方法,包括以下步骤：

1）用户登录应用系统A时，应用系统A根据用户输入的账号和密码完成身份认证；

2）应用系统A将用户账号、密码和应用系统A的标识发送给认证系统，由认证系统将上述信息包装为用户票根返回给应用系统A，并保存在应用系统A的公共变量中；

所述应用系统A的标识为系统A的appKey；

3）当用户登录应用系统A后，需要访问第三方互信应用系统B，则应用系统A将自身的标识、应用系统B的服务URL及保存在应用系统A的公共变量中的用户票根，提交认证系统获取临时服务票据；应用系统A将临时服务票据提交应用系统B；

所述应用系统B与应用系统A为互信系统，所述各互信应用系统以appKey作为自身的唯一标识，各互信应用系统通过appKey和appSecret确认对方身份，appSecret是与appKey对应的一个密钥；

所述临时服务票据是在互信系统间身份认证时，用于验证的服务票据，临时生成，使用过后立刻作废；

所述应用系统B的服务URL为应用系统B的请求的URL；

4）应用系统B利用认证系统提供的验证URL，向认证系统提交应用系统B的标识及临时服务票据，在认证系统进行用户的身份认证；

所述认证系统用于为第三方互信系统B提供的一个在线票据验证URL，供第三方互信系统调用完成用户临时服务票据的验证，该验证URL包含操作方法及参数；

5）认证系统完成应用系统B提交的身份认证后，销毁产生的临时服务票据；

6）认证系统认证通过后，向应用系统B返回用户信息，则应用系统B允许用户访问；认证失败则应用系统B禁止用户访问；

7）认证系统销毁步骤2）中利用账号和密码包装的票根TGT。

本发明中的认证系统用于:1.生成包装用户票根 2.生成临时服务票据 3.验证服务票据。

按上述方案，步骤1）中系统A运用单点登录技术，客户端将用户初次登录系统时输入的账号和密码包装为安全上下文，服务器端则根据安全上下文以及安全机制来检测该用户是否有权访问系统。

按上述方案，步骤2)中认证系统使用票据机制完成身份认证，认证过程中以TGT（Ticket Granting Ticket）票根绑定用户信息，并颁发应用系统间身份认证凭证临时服务票据ST（Service Ticket），临时服务票据ST验证成功后即失效且其有效期为60秒，保证认证过程的安全性。

按上述方案，步骤3)中每个应用系统配备标识信息appKey作为互信应用系统间的唯一标识，认证系统与各应用系统共享该标识信息。