[发明专利]跨信任域的身份认证方法

摘要

本发明公开了一种跨信任域的身份认证方法，包括身份认证服务模块和认证终端模块；所述身份认证服务模块提供身份令牌的颁发服务和验证服务；所述身份令牌的颁发服务包括对身份令牌申请的受理、身份令牌的封装和身份令牌的颁发；所述身份令牌的验证服务提供基于挑战的身份令牌的验证，并以合法令牌为依据返回用户应用系统信息，并通过同步LDAP或CRL排除非法用户的身份令牌验证；所述认证终端模块包括身份令牌申请模块和客户端密码模块；所述身份令牌申请模块负责身份令牌的申请和维护；所述客户端密码模块提供客户端证书及密码运算。本发明实现了一处认证，全网访问，解决了当前存在的信任问题。

主权项

一种跨信任域的身份认证方法，包括身份认证服务模块和认证终端模块，其特征在于：所述身份认证服务模块提供身份令牌的颁发服务和验证服务；所述身份令牌的颁发服务包括对身份令牌申请的受理、身份令牌的封装和身份令牌的颁发；所述身份令牌的验证服务提供基于挑战的身份令牌的验证，并以合法令牌为依据返回用户应用系统信息，并通过同步LDAP或CRL排除非法用户的身份令牌验证；所述身份认证服务模块对外以基于SOA的方式为应用系统提供认证服务，具体步骤如下：步骤①：认证客户端登录认证服务器进行认证；步骤②：登录成功后，认证服务器向认证客户端下发令牌，令牌中包含用户的身份信息、证书信息、认证服务器的相关信息及证书，并由认证服务器私钥签名；步骤③：应用客户端请求访问应用服务器；步骤④：应用服务器通过自身程序产生一个随机数R，向应用客户端发起随机数挑战；步骤⑤：应用客户端通过调用认证客户端接口对应用服务器产生的随机数R进行签名，并获取步骤②中认证服务器下发给认证客户端的令牌；步骤⑥：认证客户端将步骤②中认证服务器下发给认证客户端的令牌和随机数R的签名值Sign(R)递交给应用客户端；步骤⑦：应用客户端将随机数R的签名值Sign(R)和令牌递交给应用服务器；步骤⑧：应用服务器通过webservice的API接口将随机数R、随机数签名值Sign(R)和令牌递交给认证服务器进行验证；步骤⑨：认证服务器通过预置的根证书链文件，验证令牌中标识签发本令牌的认证服务器证书的有效性，并根据管理员的授权判断是否信任该认证服务器签发的令牌；如果信任，则认证服务器从该证书中提取认证服务器公钥，验证该令牌的有效性，然后从令牌中提取用户公钥对步骤⑧中的信息进行验证并产生认证结果、将认证结果通过webservice返回给应用服务器；应用服务器对认证结果进行验证：如果在步骤⑨中，通过验证，则应用服务器从认证结果中提取用户信息用于自身的业务流程；所述认证终端模块包括身份令牌申请模块和客户端密码模块；所述身份令牌申请模块负责身份令牌的申请和维护；所述客户端密码模块提供客户端证书及密码运算。