[发明专利]一种跨域认证方法及其系统

权利要求书

1.一种跨域认证方法，包括下列步骤：

a.用户向目标域中的目标应用系统发送访问请求；

b.所述目标应用系统检测其缓存中是否存在该用户的认证信息，若是，则允许访问；若否，则交由该目标域的身份认证系统进行认证；

c.所述目标域的身份认证系统检测其缓存中是否存在该用户的认证信息，若是，则将其发送至所述目标应用系统后执行步骤g；若否，则由域定位系统作后续处理；

d.所述域定位系统根据其维护的信息确定用户域或由用户选择用户域后，交由用户域的身份认证系统进行认证；

e.所述用户域的身份认证系统检测其缓存中是否存在该用户的认证信息，若是，则从缓存中获得该认证信息；若否，则由用户选择系统支持的认证方式进行身份认证，获得并缓存用户认证信息；所述用户域的身份认证系统将认证信息发送至目标域的身份认证系统；

f.所述目标域的身份认证系统缓存该认证信息，并将其发送至所述目标应用系统；

g.所述目标应用系统缓存该认证信息，确认该认证信息可信后允许用户访问。

2.如权利要求1所述的跨域认证方法，其特征在于，所述认证信息包括用户名，且，

在步骤e中，用户域的身份认证系统在将认证信息发送至目标域的身份认证系统前，查询该用户是否建立联合身份，若是，则将认证信息中的用户名替换成对应的联合假名；

其中，所述联合身份通过分别在目标域和用户域的身份认证系统中储存包含本域用户名，联合假名和对方域的域标识的数据组合而建立。

3.如权利要求1所述的跨域认证方法，其特征在于，所述认证信息包括用户名，且，

在步骤e中，用户域的身份认证系统在将认证信息发送至目标域的身份认证系统前，建立并维护和所述用户名对应的假名，然后将认证信息中的用户名替换成所述的假名。

4.如权利要求1所述的跨域认证方法，其特征在于，所述认证信息包括用户的属性信息。

5.如权利要求1所述的跨域认证方法，其特征在于，所述认证信息包括用户名，且在步骤g之后，还包括下列步骤：

h.用户请求访问所述目标应用系统上的资源；

i.所述目标应用系统检测其缓存中是否存在该用户的特定属性的属性信息，若是，则获取所述属性信息后判断是否允许访问；若否，则交由目标域的身份认证系统查询所述属性信息；

j.目标域的身份认证系统将所述特定属性映射为用户域对应的属性后向用户域的身份认证系统查询所述用户域属性；

k.用户域的身份认证系统获得所述用户域属性的属性信息后将其发送给目标域的身份认证系统；

l.目标域的身份认证系统将收到的属性信息转化为本域应用系统所需的目标域属性信息，并将其发送给所述应用系统；

m.所述应用系统根据所述目标域属性信息判断是否允许访问。

6.一种跨域认证系统，包括一个域定位系统，和该域定位系统数据连接的一个或多个身份认证系统，以及一个或多个应用系统，每个应用系统上均含有一个认证状态过滤插件，其特征在于，各个身份认证系统只和该身份认证系统所在的域内部的一个或多个应用系统数据连接，一个域只包含一个身份认证系统；

其中，

身份认证系统负责本域内的用户认证及认证信息维护，包括认证管理构件和可插拔认证构件；

认证管理构件提供认证的整体框架，负责Web层信息的处理，以及各个构件的组装及调用，完成用户身份认证的主体功能；

可插拔认证构件实现对用户的认证，支持多种认证方式；

认证状态过滤插件实现用户访问请求的过滤；

域定位系统实现各域的身份认证系统之间的相互定位，并维护用户的用户域列表。

7.如权利要求6所述的跨域认证系统，其特征在于，身份认证系统还包括属性查询构件，其接受查询请求并查询用户的各项属性。

8.如权利要求6所述的跨域认证系统，其特征在于，身份认证系统还包括匿名访问构件，其实现用户假名的生成，维护用户名和假名之间的对应列表，提供用户名和假名查询。

9.如权利要求6所述的跨域认证系统，其特征在于，身份认证系统还包括身份联合构件，其实现用户在各域间的身份联合，以及身份联合关系的删除和查询。