[发明专利]互信应用系统间身份认证系统

说明书

技术领域

本发明属于计算机应用学科领域，尤其是互信应用系统间身份认证系统。

背景技术

随着全球信息化和Internet技术的迅速发展， 系统间的相互协作越来越多，统一管理互信应用系统是全球信息化发展的必然趋势。统一管理互信应用系统能够提供或整合互信应用系统内部的多种信息系统，并以统一的用户界面方式提供给用户，为企业的管理者、应用提供商和用户提供统一的服务接入点。

目前计算机及网络系统中采用单点登录（Single Sign-On，简称SSO）模型，解决用户在互信应用系统之间一次登录就能访问其他授权的应用系统的问题。单点登录认证有许多优越性，使用户不必记下过多的登录口令，间接减少了口令泄露的几率；减少了用户等待返回认证结果的时间，促进工作效率的提升；能够提高应用系统的安全性，减少安全风险。

身份认证就是证实用户真实身份的真实性。在现实系统中，每个成员都有一个与之对应的数字身份，凭借它来防止非法用户通过身份欺诈访问系统资源。身份认证中常用的安全技术包括密码技术、消息摘要、数字签名和数字证书等。

安全的身份认证是所有应用系统的入口，统一管理平台所整合的互信应用系统往往具有相对独立的身份认证和授权机制，这使得软件平台和用户必须面对安全机制的多样性和异构性，从而导致用户身份严重不一致，用户信息无法统一，系统授权管理复杂等问题。因此研究设计出一种有效的、实用的且具有安全强度的互信应用系统间身份认证方法，具有重要的现实意义。

发明内容

本发明要解决的技术问题在于针对现有技术中的缺陷，提供一种互信应用系统间身份认证系统。

本发明解决其技术问题所采用的技术方案是：一种互信应用系统间身份认证系统，包括：

用户管理模块，用于保存和维护用户信息，所述用户信息包括用户注册的账号和密码信息；

登录验证模块，用于验证由应用系统A发出的用户账号和密码的有效性；若验证通过，将账号和密码和应用系统A的标识包装为票根TGT（Ticket Granting Ticket），并返回该票根TGT给应用系统A；应用系统A为用户注册的应用系统；

所述应用系统A的标识为系统A的appKey和appSecret；

获取票据模块，用于根据应用系统A发送的用户票根TGT、应用系统A的标识信息appKey和appSecret、用户需要访问的第三方互信应用系统B的服务URL包装为访问应用系统A的票据ST（Service Ticket），并返回ST给应用系统A；

其中应用系统A和应用系统B为互信系统，所述各互信应用系统以appKey作为自身的唯一标识，各互信应用系统通过标识信息appKey和appSecret确认对方身份，appSecret是与appKey对应的一个密钥；

验证票据模块，用于根据应用系统B提交的票据ST及应用系统B的标识信息appKey和appSecret验证票据ST的有效性；认证后，向应用系统B返回允许用户访问或禁止用户访问信息；所述应用系统B提交的票据ST由应用系统A提交给应用系统B；

退出登录模块，用于销毁登录验证模块中利用账号和密码包装的票根TGT。

按上述方案，所述用户管理模块、登录验证模块、获取票据模块、验证票据模块、退出登录模块均采用Restful Web Services架构。

采用Restful Web Services架构显著的优势是：1）统一接口，就是指REST通过统一的链接接口对相应资源进行操作，这里的资源是指REST将网络上所有的信息都抽取成为某种资源。REST以URI来确定资源，其充分地发挥了HTTP本身具备的分布式特性，将HTTP提供的四种基本方法(GET、POST、PUT及DELETE)分别对应资源的一种操作(查询、创建、修改及删除)；2）无状态性，即要求通信必须建立在无状态的基础之上,也就是每次request请求应该包含此次请求的所有信息。这样当此次request请求出现局部错误时,不会涉及到request历史,只需对当前的request进行相应的处理即可。同时,这样也有利于对资源的释放。当然,这是在需要发送相应的重复数据开销的基础上得到的,有时会对效率产生影响。

按上述方案，所述用户管理模块提供包括用户注册服务、修改用户信息服务、用户查询服务和用户删除服务在内的功能。

按上述方案，所述登录验证模块、获取票据模块、验证票据模块、退出登录模块中，在各互信应用系统间传递票据均使用单点登录系统中的票据机制。