[发明专利]一种网站登录认证方法

说明书

技术领域

本发明涉及通信系统，尤其涉及一种网站登录认证方法及对应的认证及票据发放服务器（Authority And Grant Service，AGS）和认证系统。

背景技术

目前微软提供了一种实现网站无密码登录的passport认证体系，用户通过其进行登录可以实现在所有微软passport网络网站上的无密码登录。认证原理为：服务提供者网站安装微软的passport软件开发工具包；用户访问服务提供者网站时，自动重定向到passport.com 进行认证；浏览器在passport.com 域名下保存一个在浏览器进程内、有限时间内有效的Cookie, 以便实现后续网站的免密码登录。Passport认证体系包括：用户启动终端浏览器向服务提供者网站发送访问请求；服务提供者网站通过HTTP协议向用户终端返回重定向指令，指示用户终端重定向到passport登录服务器；用户终端向passport登录服务器发起认证请求；passport登录服务器认证通过后向用户终端返回认证响应；用户终端再次向服务提供者网站发起访问请求；服务提供者网站提供用户终端请求的服务，向用户终端下发访问内容。

上述微软的Passport认证体系具有如下缺点：

需要服务提供者安装微软的passport软件开发工具包，限制服务提供者所使用的平台必须为微软操作系统。

用户身份的识别依赖浏览器的Cookie保存机制，通常为了安全性起见，Passport的Cookie的有效时间只是在该浏览器进程的生存周期内，当浏览器关闭之后，Cookie就会丢失，用户再次用浏览器访问服务提供者网站时，需要重新登录认证。

用户身份标识（Cookie）的安全性由浏览器保证，因此存在误配置浏览器，或者由于浏览器本身的BUG ，导致Cookie 被泄漏的危险。

现有技术中，还有一种Kerberos认证体系， Kerberos认证体系中，因为验证服务器与发证服务器分离，且使用者终端与验证服务器、发证服务器之间无持久连接，所以所有的服务许可证的有效时间完全依赖服务许可证中的时间戳（Timestamp）来做判断，如果Timestamp过期，则用户需要重新向验证服务器获取一个新的许可证，重复上述流程。因此，Kerberos认证过程较复杂，当服务许可证中的Timestamp 过期时，需要使用者终端再次与验证服务器、发证服务器进行连接，有司能因为连接失败造成通信中断，给用户使用造成困扰。

发明内容

本发明要解决的技术问题在于，针对现有技术存在的缺陷，提供一种网站登录认证方法，该方法包括下列步骤，

S1、客户端装置向网站发起登录请求，获取网站返回的网站标识信息，登录认证及票据发放服务器AGS，将用户账号、密码及所述网站标识信息提交给所述AGS进行鉴权；

S2、鉴权通过后，所述AGS根据所述网站标识信息采用与该网站约定的唯一加密密钥，为所述客户端装置生成登录该网站的服务票据和包含会话密钥的在线会话记录；并将生成的所述服务票据和会话密钥发送给所述客户端装置；

S3、所述客户端装置使用所述服务票据登录所述网站；并将所述会话密钥保存在本地，周期使用所述会话密钥与所述AGS进行认证通信，史新与所述AGS之问的在线会话。

实施本发明的网站登录认证方法，具有以下有益效果：客户端装置只需登陆一次AGS，即可获得多个网站的登陆服务票据，减小认证过程的复杂性。 

具体实施方式

本发明提供一种网站登录认证方法，包括下列步骤，

S1、客户端装置向网站发起登录请求，获取网站返回的网站标识信息，登录认证及票据发放服务器AGS，将用户账号、密码及所述网站标识信息提交给所述AGS进行鉴权；

S2、鉴权通过后，所述AGS根据所述网站标识信息采用与该网站约定的唯一加密密钥，为所述客户端装置生成登录该网站的服务票据和包含会话密钥的在线会话记录；并将生成的所述服务票据和会话密钥发送给所述客户端装置；

S3、所述客户端装置使用所述服务票据登录所述网站；并将所述会话密钥保存在本地，周期使用所述会话密钥与所述AGS进行认证通信，史新与所述AGS之问的在线会话。