[发明专利]支持多协议、多方式的安全可靠身份认证方法及装置

权利要求书

1.一种支持多协议、多方式的安全可靠身份认证方法，其特征在于，该方法是将各业务系统与具有用户身份认证、会话管理、证书管理及策略管理的功能的集成平台进行身份认证，实现用户身份的统一校验，为各业务系统提供单点认证登录服务，让新接入的业务系统通过简单配置即可快速接入；同时通过输出统一标准的接口及规范，提供可信的安全认证功能给各业务系统集成，快速完成各业务系统的单点认证改造；

其中，用户身份认证过程具体如下：

将业务系统及对应的认证方式进行接入，同时提供统一的认证入口；

业务系统访问时，会跳转到统一认证入口，按照业务系统要求的认证方式进行认证；

用户输入认证完成后，用户身份认证模块按照业务系统接入的认证方式从后端完成对应的身份认证；

身份认证完成后，将认证结果返回给业务系统；

各业务系统拿到认证结果再映射到自身业务系统的用户账户；

会话管理具有如下功能：

①、支持对用户登录时的会话管理，能够与单点登录模块实现跨域的单点登录功能；

②、管理用户的HTTP会话、提供会话数据的存储、分配会话标识,并通过使用cookie或URL重写来跟踪与每个客户端请求相关的会话标识；

③、支持以多种方法存储会话相关的信息，支持HTTP Session固化到数据库中或进行内存到内存的复制；

④、支持Session级故障恢复：当应用程序服务器接收与当前内存中不存在的会话标识相关联的请求时,通过访问外部存储获取必需的会话状态,从而支持Session级故障恢复；

证书管理具有如下功能：

①、支持基于证书的SSL，用户选择通过SSL或HTTPS的认证协议来满足身份认证需求，实现高强度的身份认证功能；

②、对证书链、证书有效期及证书状态进行验证；

策略管理支持用户登录时的安全策略管理，安全策略包括IP地址控制策略、会话有效期策略、登录次数策略、是否重复登录策略及审计策略；

其中，IP地址控制策略支持配置固定IP及域名登录，同时能够配置IP段进行控制；

会话有效期策略通过配置会话有效时长控制用户在线时长；

登录次数策略通过配置用户每天允许登录的最大次数控制用户的登录；

是否重复登录策略控制用户是否允许在不同终端同时登录；

审计策略通过控制用户定期修改密码等保障用户账号安全；

认证方式包括活动目录LDAP身份认证、数字证书CA身份认证、数据库身份认证、指纹设备认证以及多种认证协议；其中，认证协议包括SSL协议及HTTP协议。

2.一种支持多协议、多方式的安全可靠身份认证装置，其特征在于，该装置包括，

认证单元，用于用户身份认证；

会话管理单元，用于管理用户的HTTP会话、提供会话数据的存储及分配会话标识，并通过使用cookie或URL重写来跟踪与每个客户端请求相关的会话标识；

证书管理单元，用于支持基于证书的SSL，用户选择通过SSL或HTTPS的认证协议来满足身份认证需求，实现高强度的身份认证功能；同时还用于对证书链、证书有效期及证书状态进行验证；

策略管理单元，用于支持用户登录时的安全策略管理；

其中，认证单元工作过程具体如下：

(1)、将业务系统及对应的认证方式进行接入，同时提供统一的认证入口；

(2)、业务系统访问时，会跳转到统一认证入口，按照业务系统要求的认证方式进行认证；

(3)、用户输入认证完成后，用户身份认证模块按照业务系统接入的认证方式从后端完成对应的身份认证；

(4)、身份认证完成后，将认证结果返回给业务系统；

(5)、各业务系统拿到认证结果再映射到自身业务系统的用户账户；

会话管理单元具有如下功能：

①、支持对用户登录时的会话管理，能够与单点登录模块实现跨域的单点登录功能；

②、支持以多种方法存储会话相关的信息；

③、支持HTTP Session固化到数据库中或进行内存到内存的复制；

④、支持Session级故障恢复：当应用程序服务器接收与当前内存中不存在的会话标识相关联的请求时,通过访问外部存储获取必需的会话状态,从而支持Session级故障恢复；

所述安全策略包括IP地址控制策略、会话有效期策略、登录次数策略、是否重复登录策略及审计策略；

其中，IP地址控制策略支持配置固定IP及域名登录，同时能够配置IP段进行控制；会话有效期策略通过配置会话有效时长控制用户在线时长；

登录次数策略通过配置用户每天允许登录的最大次数控制用户的登录；

是否重复登录策略控制用户是否允许在不同终端同时登录；

审计策略通过控制用户定期修改密码等保障用户账号安全；

该装置的工作过程具体如下：

(一)、用户访问业务系统，浏览器地址从业务系统跳转到统一认证入口；

(二)、用户输入认证信息，点击登录发起认证；

(三)、请求发送到服务端认证中心的认证单元进行认证，认证中心的身份认证模块接收到认证信息，解析出认证信息中的系统标识等信息；

(四)、根据解析出的信息调用策略管理单元，查看是否有配置安全策略；其中，安全策略包括IP地址控制策略、会话有效期策略、登录次数策略、是否重复登录策略及审计策略；

若有配置，则执行步骤(五)；

(五)、判断是否满足安全策略要求：

①、若不满足安全策略要求，则返回认证失败；

②、若满足安全策略要求，则执行步骤(六)；

(六)、根据配置的认证方式进行认证，判断是否需要证书：

若需证书认证，则执行步骤(七)；

(七)、调用证书管理的证书认证，并判断是否认证成功：

①、若认证成功，则返回认证成功，跳转到业务系统；

②、若认证失败，则提示认证失败，保持在统一认证入口，等待用户进一步操作。