[发明专利]一种跨域身份认证票据转换方法

说明书

本发明实施例提供的一种跨域身份认证票据转换方法，应用于至少两个域的认证系统，接收第一域中用户的注册信息并向用户发送注册成功的信息；第一域中的认证服务器，用于用户发送的根据验证请求对用户进行验证生成票据反馈给用户；第二域中的应用服务器，用于第一域中用户携带票据发送的访问请求进行解签名；在第一域为可信域的情况下，对该解签名按照约定的验证访问转换规则进行验证转换，以使用户访问第二域的资源。本发明当其他域收到该域的角色访问请求时，不需要再次返回该域中进行身份验证，直接在他自身域中进行角色身份验证，从而减少了交互的时间；此外，还能够提供跨域角色映射，为跨域用户直接赋予在新域中的角色，提高用户访问效率。

技术领域

本发明属于跨域身份认证技术领域，具体涉及一种跨域身份认证票据转换方法。

背景技术

身份验证又称“验证”、“鉴权”，是指通过一定的手段，完成对用户身份的确认。身份验证的方法有很多，基本上可分为：基于共享密钥的身份验证、基于生物学特征的身份验证和基于公开密钥加密算法的身份验证。

基于共享密钥的身份验证是指服务器端和用户共同拥有一个或一组密码。当用户需要进行身份验证时，用户通过输入或通过保管有密码的设备提交由用户和服务器共同拥有的密码。服务器在收到用户提交的密码后，检查用户所提交的密码是否与服务器端保存的密码一致，如果一致，就判断用户为合法用户。如果用户提交的密码与服务器端所保存的密码不一致时，则判定身份验证失败。基于生物学特征的身份验证是指基于每个人身体上独一无二的特征，如指纹、虹膜等。基于公开密钥加密算法的身份验证是指通信中的双方分别持有公开密钥和私有密钥，由其中的一方采用私有密钥对特定数据进行加密，而对方采用公开密钥对数据进行解密，如果解密成功，就认为用户是合法用户，否则就认为是身份验证失败。而现有技术奖上述方法应用在跨域身份验证过程中。

跨域身份认证与访问控制技术目前在国际上已经有大量的认证与授权协议被应用，例如：Kerberos协议(RFC4121)是由麻省理工学院于20世纪80年代对单点登录(SSO)思想的早期实践。它以发放授权访问票据的形式实现统一认证。Kerberos协议对于跨网际、以及多个认证服务之间的认证支持不足。Kerberos协议本质上是一个安全认证协议，不支持多个异构的认证服务之间传递认证信息。

SAML(SecurityAssertionMarkupLanguage)安全断言标记语言,基于XML格式，用于在不同安全域间交换认证和授权数据。SAML标准能确保认证信息的安全交换，无需更改原有的安全认证协议。选用SAML作为安全标记规范，绑定已有的传输协议(考虑已有认证服务、服务门户的多样化)来可以构建统一身份认证体系。通过扩展SAML规范，支持中心化模型实现信任的传递。

OpenID是一个以用户为中心的身份识别框架，用户使用支持OpenID协议的网站即OpenID认证服务器，使身份信息对应于一个唯一的URL。虽然实现了单点登录，却要求服务提供商信任庞杂多样的第三方OpenID认证服务器。

Shibboleth是基于SAML等规范的Web开源认证系统，支持各类Web资源的安全访问和共享。Shibboleth认证体系主要由身份提供者(IdentityProvider，IdP)、服务提供者(ServiceProvider，SP)和身份发现中心(WhereAreYouFrom，也称为DiscoveryService)组成。其中，IdP主要提供用户属性信息管理、单点登录服务、身份认证服务、属性信息查询和验证服务等功能。SP主要提供资源信息存储和管理、接收用户访问请求，处理和重定向用户的请求断言，处理属性信息等功能。Shibboleth通过建立用户所属机构与SP之间的信任关系来实现用户身份的跨域认证。

上述技术能够支持同一信任域中的不同操作系统、不同协议间的互认互信，而在跨域身份验证时当前域的用户访问其他域，其他域自己本身或通过第三方中心需要返回当前域确认用户是否来着于当前域进行角色的身份验证，这样将增加时间成本。

发明内容