[发明专利]一种跨域认证方法及其系统

说明书

技术领域

本发明涉及一种跨域认证方法及其系统，属于计算机技术领域。

背景技术

随着技术的不断革新以及网络规模的不断扩大，分布式环境下的各种应用层出不穷，而其相应的安全需求也变得越来越复杂。分布式系统由一个个孤立的安全域通过网络互联而形成，每个信任域管理着本地的资源和用户。当用户跨域访问资源的时候，由于访问主体、资源客体以及认证服务分别属于不同的信任域，需要解决该环境中身份标识、信任建立和跨域互操作等各种问题。而传统的身份认证解决方案显然已经无法应对这种新的安全需求和安全挑战，跨域身份认证成为安全保障的重要内容。同时，随着人们对于隐私问题的重视不断提高，如何提高对用户隐私的保护同时又不降低系统的安全性能，是认证系统设计人员面临的一大挑战。

由于认证与被保护的应用本身没有业务上的联系，把认证作为一个单独的功能提取出来，构建一套独立的认证系统为多个应用提供服务是安全领域的一种发展趋势。因此，认证系统的设计应充分考虑其通用性与灵活性。它应该能够适用于各种异构平台，提供对访问控制、授权管理等其他安全保护机制的支持，同时其内部功能可以自由裁剪，以适应于各种不同的应用场景。

目前，较为典型的基于Web的认证解决方案包括耶鲁大学提出的统一认证服务(CAS，Central Authentication Service)系统和美国Internet2项目的Shibboleth中间件系统。

耶鲁大学提出的统一认证服务CAS是一个比较典型的认证与应用分离的解决方案。它提供了一套独立的，适用于分布式环境下的，兼容各种异构平台的单域认证系统。它在需要保护的应用系统中插入CAS客户端插件，由CAS服务器端作为认证中心，通过票据验证为多个应用系统提供统一认证服务，让用户可以一次登录多次访问。但是它只能解决单域环境下的统一认证、单点登录问题，无法满足跨域认证的要求，也没有考虑用户的隐私保护等需求。

美国Internet2项目的Shibboleth中间件系统用于各个大学之间建立信任关系以及共享Web资源。Shibboleth可以实现跨信任域的单点登录，并且采用基于属性的授权框架，因此也应用于网格解决虚拟组织之间的身份认证以及资源管理问题。它采用安全断言标记语言(SAML，Security Assertion Markup Language)在多个信任域之间提供身份认证服务，并且有隐私性保护的解决方案。然而，Shibboleth本身不提供认证功能，常见的做法是结合CAS与Shibboleth来提供完整的认证及身份管理功能。

Shibboleth的一个主要的问题在于，在Shibboleth体系中，所谓的域只针对于用户，而不包括被保护的应用资源，所以在跨域访问的场景下，被保护资源实际上没有其所属的信任域，而是同时归属于多个信任域，如图1所示。这种解决方案在很多场景下是不适合的，如对于一个组织——公司或大学，其内部包含多个资源或应用系统，它们只能信任其所在的组织——即本地信任域。如果某些资源需要与外域用户共享，应该由其信任域来统一管理，并与外域建立信任关系。

发明内容

本发明的目的之一在于克服现有技术中存在的问题，提供一种跨域认证整体解决方案，包括跨域认证方法及其系统。

具体来说，本发明技术方案包括下列几个重要方面：

一、基本跨域认证方法

用户跨域访问资源时，目标域对用户进行跨域认证的基本方法如下所述：

1.用户域的某个用户访问目标域的某个应用系统，该系统检测用户是否经过认证，如果是，则直接从缓存中获得用户信息，允许访问；否则，缓存用户请求信息，交由目标域的身份认证系统对用户进行身份认证；

2.目标域的身份认证系统检测用户是否已认证过，如果是，就转到步骤6；如果否，就交由域定位系统来确定用户所属身份域；

3.域定位系统通过其维护的信息确定用户所在的域或由用户选择其用户域后，将用户交由用户域的身份认证系统来进行认证；

4.用户域的身份认证系统检测用户是否已认证过，如果是，就从缓存中获得用户认证信息；如果否，就由用户选择一种系统支持的认证方式进行认证，比如通过输入用户名密码的方式，或者通过PKI证书的方式；认证通过后，缓存用户认证信息，并将该认证信息发送至目标域的身份认证系统。在此过程中，可检查该用户是否与目标域建立过身份联合，如果有就在认证信息中发送身份联合涉及的联合假名，否则，直接发送用户名；