本發明屬于通信、網絡安全技術領域，具體涉及一種基于路由計算的跨域用戶認證方法、系統、設備，旨在解決現有的用戶認證過于中心化且無法做到跨系統認證，導致認證風險系數大、認證效率低的問題。本系統方法包括當客戶端接收到用戶的登錄指令后，向當前域認證服務器發起token認證請求；當前域認證服務器根據所述目標域的地址，判斷用戶是否屬于當前域，如果屬于，則進行本域認證；否則，當前域認證服務器通過路由算法計算出目標域的可達路徑；根據可達路徑，當前域認證服務器轉發token認證請求到目標域認證服務器，進行跨域認證。本發明實現了用戶認證去中心化以及跨域認證，降低了認證風險，并提高了認證效率。

技術領域

本發明屬于通信、網絡安全技術領域，具體涉及一種基于路由計算的跨域用戶認證方法、系統、設備。

背景技術

隨著信息技術的發展，人們對信息技術的依賴越來越強，在政府機關，軍隊、公安以及大型企業集團等，有成百上千個應用系統，為了簡化管理和操作，通過單點登錄系統實現一次登錄，就能訪問多個應用系統的功能，具體工作過程為：接收單點登錄客戶端發送的登錄請求信息，登錄請求信息中攜帶有用戶ID、登錄密碼及應用系統的標識信息；根據用戶ID以及標識信息確定本地用戶信息庫中是否存在與登錄密碼對應的密碼加密方式；若確定本地用戶信息庫中不存在與登錄密碼對應的密碼加密方式，則根據預設加密方式規則庫確定登錄密碼的密碼加密方式，并用確定后的密碼加密方式對登錄密碼進行加密；驗證加密后的登錄密碼是否正確；若加密后的登錄密碼正確，則向單點登錄客戶端發送登錄成功的提示信息。通過單點登錄大大的提高了工作效率。

但單點登錄也存在以下問題：1）認證功能是中心化的，認證中心必須持有所有用戶的信息。一旦認證中心出現問題，會影響整個系統的認證功能。如果產生數據泄露，那么也將泄露所有的用戶信息；2）可以登錄的用戶必須是系統內存在的用戶，對于跨系統的用戶，不能支持登錄?；诖耍景l明提出了一種基于路由計算的跨域用戶認證方法。

發明內容

為了解決現有技術中的上述問題，即為了解決現有的用戶認證過于中心化且無法做到跨系統認證，導致認證風險系數大、認證效率低的問題，本發明第一方面，提出了一種基于路由計算的跨域用戶認證方法，該方法包括：

S10，當客戶端接收到用戶的登錄指令后，向當前域認證服務器發起token認證請求；所述token認證請求包括用戶的賬戶、密碼及實際歸屬的域，即目標域；

S20，當前域認證服務器根據所述目標域的地址，判斷用戶是否屬于當前域，如果屬于，則在當前域內對用戶輸入的賬戶、密碼進行認證處理，認證成功則直接登錄，本域認證結束；如果不屬于，則跳轉S30；

S30，當前域認證服務器通過路由算法計算出目標域的可達路徑；根據所述可達路徑，當前域認證服務器轉發token認證請求到目標域認證服務器，在目標域內對用戶輸入的賬戶、密碼進行認證處理，并把token認證信息返回給當前域認證服務器，當前域認證服務器緩存token認證信息，并判斷是否認證成功，若成功則直接登錄，跨域認證結束。

在一些優選的實施方式中，在本域認證/跨域認證后還包括刷新認證步驟，具體為：

根據token認證信息獲取用戶信息；所述用戶信息包括用戶的賬戶、用戶名及用戶所歸屬的域；

根據所述用戶信息，判斷用戶是否屬于當前域，如果屬于，則根據refresh token刷新token的憑證，并返回token認證信息給客戶端，刷新認證結束；

如果不屬于當前域，則當前域轉發刷新認證請求到目標域，目標域根據refreshtoken刷新token的憑證，將token認證信息返回給當前域，緩存至當前域，并發送給客戶端，刷新認證結束。

在一些優選的實施方式中，“當前域認證服務器通過路由算法計算出目標域的可達路徑”，其方法為：結合各域之間的路由信息，通過最短路徑算法計算出當前域認證服務器與目標域之間的最短通信路徑，作為可達路徑。