技術領域

本發明涉及基于考評服務平臺的跨域認證方法。

背景技術

跨域認證就是指登錄的用戶在不同域內之間數據訪問的認證。近年來，隨著WEB技術的不斷發展，從域A訪問域B中的信息，越來越簡單，同時也帶來了巨大的安全隱患，如何防止其他域的惡意訪問，杜絕系統信息的泄漏和損壞，同時也要允許合法域進行訪問，跨域的安全訪問成為了大規模分布式環境，特別是多域環境下的必然需求。

目前，一個域的實體在跨域訪問其他信任域的實體的時候，跨域認證普遍采取的方法是由受訪問的實體所在的信任域的認證服務器直接對訪問實體進行跨域身份認證。其中，同構域采用同種認證體制的信任域，異構域采用不同種類的認證體制的信任域。現有的認證體制有PKI(public?Key?Infrastructure，公開密鑰基礎設施)認證體制、Kerberos認證體制、IBC(Identity-Based?Cryptography，基于身份的認證體制)認證體制等。對于跨同構域的認證，比如基于PKI認證體制的信任域A向基于PKI認證體制的信任域B進行跨域認證時，這時，就需要建立一條從目標證書到認證方之間的一條或多條候選的證書路徑，證書路徑中的每個證書都要被檢查和驗證，這樣，交叉證書路徑處理的過程就非常復雜，從而使認證服務器在驗證非本域用戶的證書過程變得繁瑣和低效。對于跨異構域的認證，由于不同的信任域，那它們之間的認證體制也不一樣，不兼容，這就導致用戶的身份憑證形式不同，例如PKI使用身份證書，Kerberos采用票據形式。所以，當認證服務器在直接驗證非本域身份憑證的時候，認證服務器需要對身份憑證的形式進行轉換，這樣，就使得認證服務器在驗證非本域的用戶憑證的過程也變得繁瑣。

發明內容

本發明針對跨域認證中認證服務器在驗證非本域用戶憑證式的繁瑣低效的問題，提供一種基于考評服務平臺的跨域認證方法。

本發明解決其技術問題的關鍵點是：基于考評服務平臺的跨域認證方法，其不同點在于：在至少包括兩個信任域內，當第一域訪問第二個域，執行以下步驟：

步驟1）：用戶登錄系統，驗證通過登錄成功；

步驟2）：將登錄用戶的基本信息序列化，再通過MD5加密算法將序列化后的用戶信息字節流保存到第一域A的Cookie中；

步驟3）：當第一域A請求第二個域B時，獲取第一域A的Cookie中的key值；

步驟4）：將第一域A的Cookie中的key值經過MD5解密，然后反序列化，反序列化是將序列化后的用戶信息字節流轉化為用戶對象；

步驟5）：判斷反序列化后的用戶信息是否合法，如果合法，則允許跨域，反之不允許跨域，跳轉系統錯誤頁面。

本發明方法的有益效果：MD5加密，是一種加密算法，全稱是“消息摘要算法”（Message-Digest?Algorithm?version.5），它是當前公認的強度最高的加密算法，MD5將任意長度的“字節串”映射為一個128bit的大整數，并且是通過該128bit反推原始字符串是困難的，即使看到源程序和算法描述，也無法將一個MD5的值變換回原始的字符串，從數學原理上說，是因為原始的字符串有無窮多個。本發明將用戶信息序列化成字節流在通過MD5加密算法提高了系統的安全性；通過判斷Cookie中的信息來驗證跨域是否成功，更加簡單和安全。

附圖說明

圖1是本發明實施例步驟1）-步驟2）的流程示意圖；

圖2是本發明實施例步驟3-步驟5）的流程示意圖。

具體實施方式

參見圖1-圖2，本發明具體實施例基于考評服務平臺的跨域認證方法，其不同點在于：在至少包括兩個信任域內，當第一域訪問第二個域，執行以下步驟：

步驟1）：用戶登錄系統，驗證通過登錄成功；

步驟2）：將登錄用戶的基本信息序列化，序列化是指將對象狀態轉換為可保持或傳輸的格式的過程，在序列化過程中，對象的公共字段和私有字段以及類的名稱都被轉換為字節流；再通過MD5加密算法將序列化后的用戶信息字節流保存到第一域A的Cookie中；