互信应用系统间身份认证方法.pdf

本发明公开了一种互信应用系统间身份认证方法，包括以下步骤：应用系统A根据用户输入完成身份认证；应用系统A将用户信息和系统A的标识发送给认证系统，由认证系统包装为用户票根返回给应用系统A；当用户需要访问第三方互信应用系统B，则应用系统A将自身的标识、应用系统B的服务URL及应用系统A的用户票根，提交认证系统获取临时服务票据，并提交应用系统B；应用系统B利用认证系统提供的验证URL，向认证系统提交应用系统B的标识及临时服务票据，进行用户的身份认证；认证系统完成应用系统B提交的身份认证后，销毁产生的临时服务票据。本发明当用户已登录系统A时，希望访问系统B，则不需要登录操作，直接进入系统B，提高了用户体验。

权利要求书1.  一种互信应用系统间身份认证方法，其特征在于，包括以下步骤：1）用户登录应用系统A时，应用系统A根据用户输入的账号和密码完成身份认证；2）应用系统A将用户账号、密码和系统A的标识发送给认证系统，由认证系统将上述信息包装为用户票根返回给应用系统A，并保存在应用系统A的公共变量中；所述系统A的标识为系统A的appKey；3）当用户登录应用系统A后，需要访问第三方互信应用系统B，则应用系统A将自身的标识、应用系统B的服务URL及保存在应用系统A的公共变量中的用户票根，提交认证系统获取临时服务票据；应用系统A将临时服务票据提交应用系统B；所述应用系统B与应用系统A为互信系统，所述各互信应用系统以appKey作为自身的唯一标识，各互信应用系统通过appKey和appSecret确认对方身份，appSecret是与appKey对应的一个密钥；所述临时服务票据在互信系统间身份认证时，用于验证的服务票据，临时生成，使用过后立刻作废；所述系统B的服务URL为系统B的请求的URL； 4）应用系统B利用认证系统提供的验证URL，向认证系统提交应用系统B的标识及临时服务票据，在认证系统进行用户的身份认证；所述认证系统用于为第三方互信系统B提供的一个在线票据验证URL，供第三方互信系统调用完成用户临时服务票据的验证，该验证URL包含操作方法及参数；5）认证系统完成应用系统B提交的身份认证后，销毁产生的临时服务票据；6）认证系统认证通过后，向应用系统B返回用户信息，则应用系统B允许用户访问；认证失败则应用系统B禁止用户访问；7）认证系统销毁步骤2）中利用账号和密码包装的票根TGT。2.  根据权利要求1所述的认证方法，其特征在于，步骤1）中系统A运用单点登录技术，客户端将用户初次登录系统时输入的账号和密码包装为安全上下文，服务器端则根据安全上下文以及安全机制来检测该用户是否有权访问系统。3.  根据权利要求1所述的认证方法，其特征在于，步骤2)中认证系统使用票据机制完成身份认证，认证过程中以TGT（Ticket Granting Ticket）票根绑定用户信息，并颁发应用系统间身份认证凭证临时服务票据ST（Service Ticket），临时服务票据ST验证成功后即失效且其有效期为60秒，保证认证过程的安全性。4.  根据权利要求1所述的认证方法，其特征在于，步骤3)中每个应用系统配备标识信息appKey作为互信应用系统间的唯一标识，认证系统与各应用系统共享该标识信息。5.  根据权利要求1至4所述的任一认证方法，其特征在于，认证方法中，应用系统与认证系统间以Restful Web Services服务的形式交互，使用HTTPS协议保证认证过程的安全性，所有HTTPS请求以及服务器响应信息都要通过SSL协议加密和解密，包括应用系统向认证系统请求的URL以及所有在应用系统与认证系统之间传输的数据。

说明书互信应用系统间身份认证方法
技术领域
本发明涉及计算机信息安全领域，尤其涉及一种互信应用系统间身份认证方法。
背景技术
随着全球信息化和Internet技术的迅速发展， 系统间的相互协作越来越多，统一管理互信应用系统是全球信息化发展的必然趋势。统一管理互信应用系统能够提供或整合互信应用系统内部的多种信息系统，并以统一的用户界面方式提供给用户，为企业的管理者、应用提供商和用户提供统一的服务接入点。
目前计算机及网络系统中采用单点登录（Single Sign-On，简称SSO）模型，解决用户在互信应用系统之间一次登录就能访问其他授权的应用系统的问题。单点登录认证有许多优越性，使用户不必记下过多的登录口令，间接减少了口令泄露的几率；减少了用户等待返回认证结果的时间，促进工作效率的提升；能够提高应用系统的安全性，减少安全风险。
身份认证就是证实用户真实身份的真实性。在现实系统中，每个成员都有一个与之对应的数字身份，凭借它来防止非法用户通过身份欺诈访问系统资源。身份认证中常用的安全技术包括密码技术、消息摘要、数字签名和数字证书等。
安全的身份认证是所有应用系统的入口，统一管理平台所整合的互信应用系统往往具有相对独立的身份认证和授权机制，这使得软件平台和用户必须面对安全机制的多样性和异构性，从而导致用户身份严重不一致，用户信息无法统一，系统授权管理复杂等问题。因此研究设计出一种有效的、实用的且具有安全强度的互信应用系统间身份认证方法，具有重要的现实意义。
发明内容
本发明要解决的技术问题在于针对现有技术中的缺陷，提供一种互信应用系统间身份认证方法。
本发明解决其技术问题所采用的技术方案是：
一种互信应用系统间身份认证方法,包括以下步骤：
1）用户登录应用系统A时，应用系统A根据用户输入的账号和密码完成身份认证；
2）应用系统A将用户账号、密码和应用系统A的标识发送给认证系统，由认证系统将上述信息包装为用户票根返回给应用系统A，并保存在应用系统A的公共变量中；
所述应用系统A的标识为系统A的appKey；
3）当用户登录应用系统A后，需要访问第三方互信应用系统B，则应用系统A将自身的标识、应用系统B的服务URL及保存在应用系统A的公共变量中的用户票根，提交认证系统获取临时服务票据；应用系统A将临时服务票据提交应用系统B；
所述应用系统B与应用系统A为互信系统，所述各互信应用系统以appKey作为自身的唯一标识，各互信应用系统通过appKey和appSecret确认对方身份，appSecret是与appKey对应的一个密钥；
所述临时服务票据是在互信系统间身份认证时，用于验证的服务票据，临时生成，使用过后立刻作废；
所述应用系统B的服务URL为应用系统B的请求的URL；
4）应用系统B利用认证系统提供的验证URL，向认证系统提交应用系统B的标识及临时服务票据，在认证系统进行用户的身份认证；
所述认证系统用于为第三方互信系统B提供的一个在线票据验证URL，供第三方互信系统调用完成用户临时服务票据的验证，该验证URL包含操作方法及参数；
5）认证系统完成应用系统B提交的身份认证后，销毁产生的临时服务票据；
6）认证系统认证通过后，向应用系统B返回用户信息，则应用系统B允许用户访问；认证失败则应用系统B禁止用户访问；
7）认证系统销毁步骤2）中利用账号和密码包装的票根TGT。
本发明中的认证系统用于:1.生成包装用户票根 2.生成临时服务票据 3.验证服务票据。
按上述方案，步骤1）中系统A运用单点登录技术，客户端将用户初次登录系统时输入的账号和密码包装为安全上下文，服务器端则根据安全上下文以及安全机制来检测该用户是否有权访问系统。
按上述方案，步骤2)中认证系统使用票据机制完成身份认证，认证过程中以TGT（Ticket Granting Ticket）票根绑定用户信息，并颁发应用系统间身份认证凭证临时服务票据ST（Service Ticket），临时服务票据ST验证成功后即失效且其有效期为60秒，保证认证过程的安全性。
按上述方案，步骤3)中每个应用系统配备标识信息appKey作为互信应用系统间的唯一标识，认证系统与各应用系统共享该标识信息。
按上述方案，本方法中，应用系统与认证系统间以Restful Web Services服务的形式交互，使用HTTPS协议保证认证过程的安全性，所有HTTPS请求以及服务器响应信息都要通过SSL协议加密和解密，包括应用系统向认证系统请求的URL以及所有在应用系统与认证系统之间传输的数据等。
本发明产生的有益效果是：
1.互信应用系统间的身份认证方法采用票据机制，票据在应用系统间的传递和共享不会使用户的账号和密码等敏感信息明文传递，即互信应用系统间无需使用用户的账号和密码就可以完成身份认证。
2.互信应用系统间的身份认证方法采用Restful Web Services架构，通过URL就可以定位相应REST资源，并对其进行相应的CRUD操作，使信息资源的处理变得更加简单，使用HTTPS协议保证认证过程的安全性。因此，C/S架构、B/S架构软件均可使用该认证系统完成互信应用系统间的身份认证。
附图说明
下面将结合附图及实施例对本发明作进一步说明，附图中：
图1是本发明实施例的方法流程示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白，以下结合实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明。
如图1所示，本发明实例提供一种互信应用系统间身份认证方法，该方法包括以下几个步骤：
（1）   该认证方法适用于互信应用系统间的身份认证，各互信应用系统以appKey作为自身的唯一标识，各互信应用系统通过appKey和appSecret（appSecret是与appKey对应的一个密钥）确认对方身份，确认对方为互信应用系统后才能对用户进行身份认证；
（2）   认证系统为第三方互信系统提供一个在线validateTicket URL，供第三方互信系统完成用户票据的验证。该validateTicket URL需提交参数appKey、appSecret、ST及serviceUrl，其中appKey为自身标识，appSecret为与appKey对应密钥，ST（Service Ticket）为访问互信系统临时服务票据，serviceUrl为系统的服务URL；
（3）   用户初次登录系统A时，系统A将自身标识信息appKey、appSecret和用户身份信息username、password通过HTTPS提交认证系统validateUser URL。validateUser URL验证用户身份成功后获取用户票根TGT（Ticket Granting Ticket）；
（4）   获取用户票根TGT后，通过HTTPS将自身标识信息appKey、appSecret和获取用户票根TGT、serviceUrl发送getServiceTicket URL，获取临时服务票据ST；
（5）   当用户登录系统A后，需要访问第三方互信系统B时，则系统A将自身标识信息appKey、appSecret和（4）中产生的临时票据ST、serviceUrl等作为身份凭证，系统B调用系统A提供的validateTicket URL，完成用户的身份认证；
（6）   认证系统认证通过后，向系统B返回用户信息，则系统B允许用户访问；认证失败则禁止用户访问应用系统B；
（7）   访问结束后通过HTTPS将自身标识信息appKey、appSecret和用户票根TGT发送logout URL，销毁用户票根TGT。
应当理解的是，对本领域普通技术人员来说，可以根据上述说明加以改进或变换，而所有这些改进和变换都应属于本发明所附权利要求的保护范围。