技術領域

本發明涉及計算機信息安全領域，尤其涉及一種互信應用系統間身份認證方法。

背景技術

隨著全球信息化和Internet技術的迅速發展，?系統間的相互協作越來越多，統一管理互信應用系統是全球信息化發展的必然趨勢。統一管理互信應用系統能夠提供或整合互信應用系統內部的多種信息系統，并以統一的用戶界面方式提供給用戶，為企業的管理者、應用提供商和用戶提供統一的服務接入點。

目前計算機及網絡系統中采用單點登錄（Single?Sign-On，簡稱SSO）模型，解決用戶在互信應用系統之間一次登錄就能訪問其他授權的應用系統的問題。單點登錄認證有許多優越性，使用戶不必記下過多的登錄口令，間接減少了口令泄露的幾率；減少了用戶等待返回認證結果的時間，促進工作效率的提升；能夠提高應用系統的安全性，減少安全風險。

身份認證就是證實用戶真實身份的真實性。在現實系統中，每個成員都有一個與之對應的數字身份，憑借它來防止非法用戶通過身份欺詐訪問系統資源。身份認證中常用的安全技術包括密碼技術、消息摘要、數字簽名和數字證書等。

安全的身份認證是所有應用系統的入口，統一管理平臺所整合的互信應用系統往往具有相對獨立的身份認證和授權機制，這使得軟件平臺和用戶必須面對安全機制的多樣性和異構性，從而導致用戶身份嚴重不一致，用戶信息無法統一，系統授權管理復雜等問題。因此研究設計出一種有效的、實用的且具有安全強度的互信應用系統間身份認證方法，具有重要的現實意義。

發明內容

本發明要解決的技術問題在于針對現有技術中的缺陷，提供一種互信應用系統間身份認證方法。

本發明解決其技術問題所采用的技術方案是：

一種互信應用系統間身份認證方法,包括以下步驟：

1）用戶登錄應用系統A時，應用系統A根據用戶輸入的賬號和密碼完成身份認證；

2）應用系統A將用戶賬號、密碼和應用系統A的標識發送給認證系統，由認證系統將上述信息包裝為用戶票根返回給應用系統A，并保存在應用系統A的公共變量中；

所述應用系統A的標識為系統A的appKey；

3）當用戶登錄應用系統A后，需要訪問第三方互信應用系統B，則應用系統A將自身的標識、應用系統B的服務URL及保存在應用系統A的公共變量中的用戶票根，提交認證系統獲取臨時服務票據；應用系統A將臨時服務票據提交應用系統B；

所述應用系統B與應用系統A為互信系統，所述各互信應用系統以appKey作為自身的唯一標識，各互信應用系統通過appKey和appSecret確認對方身份，appSecret是與appKey對應的一個密鑰；

所述臨時服務票據是在互信系統間身份認證時，用于驗證的服務票據，臨時生成，使用過后立刻作廢；

所述應用系統B的服務URL為應用系統B的請求的URL；

4）應用系統B利用認證系統提供的驗證URL，向認證系統提交應用系統B的標識及臨時服務票據，在認證系統進行用戶的身份認證；

所述認證系統用于為第三方互信系統B提供的一個在線票據驗證URL，供第三方互信系統調用完成用戶臨時服務票據的驗證，該驗證URL包含操作方法及參數；

5）認證系統完成應用系統B提交的身份認證后，銷毀產生的臨時服務票據；

6）認證系統認證通過后，向應用系統B返回用戶信息，則應用系統B允許用戶訪問；認證失敗則應用系統B禁止用戶訪問；

7）認證系統銷毀步驟2）中利用賬號和密碼包裝的票根TGT。

本發明中的認證系統用于:1.生成包裝用戶票根?2.生成臨時服務票據?3.驗證服務票據。

按上述方案，步驟1）中系統A運用單點登錄技術，客戶端將用戶初次登錄系統時輸入的賬號和密碼包裝為安全上下文，服務器端則根據安全上下文以及安全機制來檢測該用戶是否有權訪問系統。

按上述方案，步驟2)中認證系統使用票據機制完成身份認證，認證過程中以TGT（Ticket?Granting?Ticket）票根綁定用戶信息，并頒發應用系統間身份認證憑證臨時服務票據ST（Service?Ticket），臨時服務票據ST驗證成功后即失效且其有效期為60秒，保證認證過程的安全性。

按上述方案，步驟3)中每個應用系統配備標識信息appKey作為互信應用系統間的唯一標識，認證系統與各應用系統共享該標識信息。