[发明专利]一种跨域认证方法和系统

权利要求书

1.一种跨域认证的方法，包括至少两个信任域，其特征在于，建立不同 信任域中的认证服务器之间基于公开密钥基础设施PKI认证体系的信任关 系，

当第一信任域中的第一实体跨域访问第二信任域中的第二实体时，所述 方法包括：

步骤A：所述第一信任域中的第一认证服务器对所述第一实体进行身份 认证，并将认证结果发送给所述第二信任域中的第二认证服务器；

步骤B：所述第二认证服务器利用预先建立的所述基于PKI认证体系的 信任关系验证所述第一认证服务器是否合法，合法则执行步骤C，否则结束；

步骤C：所述第二认证服务器判断接收到的所述认证结果是否为认证通 过，是则跨域认证成功，否则跨域认证失败；

其中，所述建立不同信任域中的认证服务器之间基于PKI认证体系的信 任关系具体为：将不同信任域中的认证服务器归属于基于PKI认证体系中 的同一个信任认证中心CA，所述信任认证中心CA为所述认证服务器颁发 证书。

2.如权利要求1所述的跨域认证方法，其特征在于，所述建立不同信任 域中认证服务器之间基于PKI认证体系的信任关系之后还包括利用所述信 任关系在属于不同信任域中的认证服务器之间建立会话密钥的步骤，相应 的，

步骤A还包括：所述第一认证服务器将第一认证服务器标识发送给第二 认证服务器；

步骤B中所述第二认证服务器利用预先建立的所述基于PKI认证体系的 信任关系验证所述第一认证服务器是否合法的步骤具体为：所述第二认证服 务器依据所述第一认证服务器标识查找是否有与所述第一认证服务器标识 对应的会话密钥，是则所述第一认证服务器为合法。

3.如权利要求1-2中任一项所述的跨域认证方法，其特征在于，步骤C 跨域认证成功后还包括在所述第二认证服务器上记录所述第一实体被认证 成功的信息的步骤；

相应的，步骤A之前还包括：所述第二实体在接收到所述第一实体的跨 域访问请求后，判断所述第二认证服务器上是否记录有所述第一实体被认证 成功的信息的步骤，是则跨域认证成功，结束；否则执行步骤A。

4.如权利要求1-2中任一项所述的跨域认证方法，其特征在于，所述步 骤B之前还包括所述第二认证服务器对所述第二实体进行身份认证的步骤。

5.一种跨域认证的系统，包括至少两个信任域，其特征在于，所述系统 包括：

信任关系建立模块，用于建立不同信任域中的认证服务器之间基于公开 密钥基础设施PKI认证体系的信任关系；

第一域认证模块，用于当第一信任域中的第一实体跨域访问第二信任域 中的第二实体时，所述第一信任域中的第一认证服务器对所述第一实体进行 身份认证，并将认证结果发送给跨域认证模块；

PKI认证模块，用于所述第二认证服务器利用所述信任关系建立模块建 立的所述基于PKI认证体系的信任关系验证所述第一认证服务器的合法性；

跨域认证模块，用于当所述PKI认证模块验证所述第一认证服务器为合 法时，所述第二认证服务器判断接收到的所述认证结果是否为认证通过，是 则跨域认证成功，否则跨域认证失败；

其中，所述信任关系建立模块具体用于将不同信任域中的认证服务器归 属于基于PKI认证体系中的同一个信任认证中心CA，所述信任认证中心 CA为所述认证服务器颁发证书。

6.如权利要求5所述的跨域认证系统，其特征在于，所述信任关系建立 模块还包括会话密钥建立单元，用于利用所述信任关系在所述不同信任域中 的认证服务器之间建立会话密钥，相应的，

所述第一域认证模块还包括标识发送单元，用于所述第一认证服务器将 第一认证服务器标识发送给第二认证服务器；

所述PKI认证模块具体用于所述第二认证服务器依据所述标识发送单元 发送来的第一认证服务器标识查找是否有与所述第一认证服务器标识对应 的会话密钥，来验证所述第一认证服务器的合法性。