[发明专利]一种跨域认证方法和系统

说明书

技术领域

本发明涉及网络安全领域，特别涉及一种跨域认证方法和系统。

背景技术

当前大规模分布式网络环境中，处于不同域中的企业、机构之间出现了 越来越多的业务往来，隶属于不同信任域的用户进行跨域信息交互和访问也 越来越多。

目前，实体A在跨域访问其他信任域中的实体B时，跨域认证普遍采用 的解决方法是由实体B所在信任域的认证服务器直接对实体A进行跨域身份 认证。其中，同构域为采用同种认证体制的信任域，异构域为采用不同种认 证体制的信任域。现有的认证体制包括PKI(Public Key Infrastructure， 公开密钥基础设施)认证体制、Kerberos认证体制、IBC(Identity-Based Cryptography，基于身份的认证体制)认证体制等。

其中，对于跨同构域的认证中，比如基于PKI认证体制的信任域A向基 于PKI认证体制的信任域B进行跨域认证时，需要建立从目标证书到认证方 信任锚之间的一条或多条候选的证书路径(或称为证书链)，证书路径中的每 一个证书都需要被检查和验证，这种交叉证书路径处理的过程非常复杂，使 得认证服务器在直接验证非本域用户证书的过程变得繁琐低效。

另外，对于跨异构域的认证中，由于不同信任域之间的认证体制互不兼 容，导致用户的身份凭证形式不同，例如PKI中采用身份证书，Kerberos中 采用票据形式等。所以认证服务器在直接验证非本域用户身份凭证时，认证 服务器识别身份凭证时需要对身份凭证的形式进行转换，同样，也使得认证 服务器在直接验证非本域用户凭证的过程变得繁琐低效。

发明内容

本发明提供的跨域认证的方法和系统，以解决跨域认证中认证服务器在 直接验证非本域用户凭证时繁琐低效的问题。

一方面，提供了一种跨域认证方法，包括至少两个信任域，建立不同信 任域中的认证服务器之间基于公开密钥基础设施PKI认证体系的信任关系， 当第一信任域中的第一实体跨域访问第二信任域中的第二实体时，所述方法 包括：

步骤A：所述第一信任域中的第一认证服务器对所述第一实体进行身份 认证，并将认证结果发送给所述第二信任域中的第二认证服务器；

步骤B：所述第二认证服务器利用预先建立的所述基于PKI认证体系的 信任关系验证所述第一认证服务器是否合法，合法则执行步骤C，否则结束；

步骤C：所述第二认证服务器判断接收到的所述认证结果是否为认证通 过，是则跨域认证成功，否则跨域认证失败。

另一方面，还提供了一种跨域认证系统，包括至少两个信任域，所述系 统包括：

信任关系建立模块，用于建立不同信任域中的认证服务器之间基于公开 密钥基础设施PKI认证体系的信任关系；

第一域认证模块，用于当第一信任域中的第一实体跨域访问第二信任域 中的第二实体时，所述第一信任域中的第一认证服务器对所述第一实体进行 身份认证，并将认证结果发送给跨域认证模块；

PKI认证模块，用于所述第二认证服务器利用所述信任关系建立模块建 立的所述基于PKI认证体系的信任关系验证所述第一认证服务器的合法性；

跨域认证模块，用于当所述PKI认证模块验证所述第一认证服务器为合 法时，所述第二认证服务器判断接收到的所述认证结果是否为认证通过，是 则跨域认证成功，否则跨域认证失败。

上述第一信任域、第二信任域，第一认证服务器、第二认证服务器，和 第一实体、第二实体是为了区分不同的信任域、认证服务器和实体而进行的 标识，与顺序先后没有关系。同理，对于第二信任域中的第二实体向第一信 任域中的第一实体进行跨域访问时，是一样的。

本发明提供的跨域认证方法和系统的有益效果是：通过在不同信任域中 的认证服务器之间建立基于PKI认证体系的信任关系，不同信任域中的两个 认证服务器之间利用这种互相信任的关系传送认证结果实现跨域认证，从而 解决了跨同构域认证中交叉证书路径处理复杂的问题，及跨异构域中认证服 务器认证不同形式的身份凭证时需要对身份凭证的形式进行转换的问题，从 而简化了跨域认证流程，提高了跨域认证效率；进一步的，本发明还可以在 首次跨域访问成功后，将认证成功的信息记录在第二认证服务器上，这样当 第一实体想再次跨域访问第二实体时，就可以直接进行跨域访问，而无需再 进行跨域认证，实现了透明高效的跨域单点访问。

附图说明