[发明专利]一种去中心化式点对点统一认证方法

说明书

本发明提供了一种去中心化式的点对点统一认证方法，属于信息安全与交互技术领域。本发明充分发挥业务系统的已经实现的认证逻辑，通过设计点对点身份信任协议，在完成自身身份认证的基础上，可以把认证信息安全地传递到对等系统中，形成身份信息传递的网络，不仅在业务系统间实现了安全、快捷的认证过程，同时解决了中心化式统一认证的各类问题，达到提高效率、降低成本的目的，也避免了中心式认证服务器压力过大的问题。

技术领域

本发明属于信息安全与交互技术领域，特别涉及一种去中心化式点对点统一认证方法。

背景技术

随着信息技术的发展，许多业务部门都建立了各类信息系统，并且大部分已经建立了基于标准协议(如OAUTH2.0)的统一身份认证服务.这种“中心化”式的统一认证体系需要部署独立的认证服务器。

这种传统的统一认证体系剥夺了各个业务系统自身的认证逻辑，由统一认证服务器作为认证中心代理完成用户身份认证过程，并将认证结果返回到业务系统，从而实现单点登录功能.这种中心化式的统一认证方式具有以下问题：

(1)认证中心服务器压力巨大.由于所有业务系统需要都从认证中心验证用户身份，完成登录过程，即使认证中心采用缓存等技术手段缓解压力，仍然很难保证其稳定性，一旦认证中心崩溃，将导致整个校园业务系统的瘫痪，带来十分严重的损失；

(2)业务系统二次开发量大.以广泛采用的CAS平台为例，即使基于标准协议，每个业务系统都必须进行大量的二次开发和对接配置工作，系统改造的工作量很大；

(3)必须单独建设、部署、维护统一认证服务器，带来了额外的人力、物力、财力成本。

发明内容

为了解决上述问题，本发明提出了一种去中心化式的点对点统一认证方法，充分发挥业务系统的已经实现的认证逻辑，通过设计点对点身份信任协议，在完成自身身份认证的基础上，可以把认证信息安全地传递到对等系统中，形成身份信息传递的网络。

一种去中心化式点对点统一认证方法，包括以下步骤：

步骤1，用户登录第一站点，第一站点服务器端根据用户的身份信息生成信任票据，并将所述信任票据与身份信息对应保存在所述第一站点的映射表中；

步骤2，所述第一站点将所述信任票据回送至用户客户端；

步骤3，登录所述第一站点后，用户通过超链接或跳转的方式访问第二站点资源，发送访问请求至所述第二站点，其中，所述访问请求包括访问来源第一站点、用户的信任票据；

步骤4，所述第二站点接收所述访问请求，将用户的信任票据发送至访问来源第一站点进行身份验证；

步骤5，所述第一站点根据所述第二站点发送的信任票据，在第一站点的映射表中查询与所述第二站点发送的信任票据对应的身份信息，并发送至所述第二站点；

步骤6，所述第二站点接收所述第一站点发送的身份信息，完成用户在所述第二站点的身份认证。

进一步地，所述步骤1包括以下流程：

步骤11，用户以身份信息UID登录到第一站点A；

步骤12，所述第一站点服务器端生成用户的信任票据TK，其中，TK＝hash(sessionID)，hash为hash运算，session ID为用户的标识串；

步骤13，所述第一站点将用户的身份信息UID和用户的信任票据TK一一对应保存至第一站点的映射表UTMap_A中。

进一步地，所述步骤2包括以下流程：

所述第一站点将用户的信任票据TK发送至该信任票据对应的用户客户端。

进一步地，所述步骤3包括以下流程：