[发明专利]一种跨域身份认证票据转换方法

权利要求书

1.一种跨域身份认证票据转换方法，应用于至少两个域的认证系统，每个域的认证系统包括应用服务器以及认证服务器，其特征在于，所跨域身份认证票据转换方法包括：

第一域中的应用服务器，用于接收第一域中用户的注册信息，并向用户发送注册成功的信息；

第一域中的认证服务器，用于接收用户在注册成功后发送的验证请求，并根据验证请求对用户进行验证，生成票据反馈给用户；

第二域中的应用服务器，用于接收第一域中用户携带票据发送的访问请求，并将访问请求转发至第二域的认证服务器；

第二域中的认证服务器，用于对所述访问请求中的票据进行解签名，在第一域为可信域的情况下，对该解签名按照第一域与第二域中约定的验证访问转换规则进行验证转换，以使用户根据验证结果访问第二域的资源。

2.根据权利要求1所述的跨域身份认证票据转换方法，其特征在于，所述注册成功的信息包括用户在第一域中的对内角色以及对内角色相应的权限。

3.根据权利要求2所述的跨域身份认证票据转换方法，其特征在于，所述第一域中的认证服务器，用于接收用户在注册成功后发送的验证请求，并根据验证请求对用户进行验证，生成票据反馈给用户包括：

第一域中的认证服务器，用于接收用户在注册成功后发送包含身份信息以及注册成功的信息的验证请求；根据验证请求对用户进行验证以及确定该用户对内角色对应的对外角色，将对外角色以及身份信息进行加密作为票据反馈给用户。

4.根据权利要求3所述的一种跨域身份认证票据转换方法，其特征在于，第一域中的认证服务器，用于将验证结果通过RSA或者ECC私钥加密将验证结果中第一域的对内角色转换为对外角色。

5.根据权利要求3所述的跨域身份认证票据转换方法，其特征在于，所述验证访问转换规则包括每个域中的验证服务器验证其他域票据所使用的为其他域私钥对应的公钥，以及每个域的对内角色域与其他域的对内角色之间的对应关系。

6.根据权利要求5所述的跨域身份认证票据转换方法，其特征在于，所述第二域中的认证服务器，用于对所述访问请求中的票据进行解签名，在第一域为可信域的情况下，对该解签名按照第一域与第二域中约定的验证访问转换规则进行验证转换，以使用户根据验证结果访问第二域的资源包括：

第二域中的认证服务器，用于对所述访问请求中的票据以公钥的形式解签名以确认该票据发送的域，并判断该票据来源的第一域是否为可信域，如果是，则确认发送该票据的用户是否存在不良记录；如果发送该票据的用户不存在不良记录，则判断该用户票据中的对外角色是否为第一域对外发布的角色；如果是对外分布的角色，则根据该用户票据中的对外角色确定用户在第二域的对外角色；根据用户在第二域的对外角色确定该用户在第二域的对内角色，并分配给该用户；生成验证成功结果的发送给第二域的应用服务器；

第二域的应用服务器，将验证成功结果发送至发送给发送票据的用户，以使该用户按照第二域分配的对内角色访问第二域中相应权限的资源。

7.根据权利要求6所述的跨域身份认证票据转换方法，其特征在于，在所述判断该票据来源的第一域是否为可信域之后，所述跨域身份认证票据转换方法还包括：

如果该票据来源的第一域不是可信域，则发送验证失败的结果通过应用服务器反馈给发送票据的用户。

8.根据权利要求6所述的跨域身份认证票据转换方法，其特征在于，所述确认发送该票据的用户是否存在不良记录包括：

查询第二域的黑名单，以确定发送票据的用户的身份信息是否存在，如果存在则确定发送票据的用户在第二域中存在不良记录；

如果不存在，则确认发送票据的用户在第二域中不存在不良记录；

如果发送该票据的用户在第二域中存在不良记录，则发送验证失败的结果通过应用服务器反馈给发送票据的用户。