[发明专利]用于保持用户认证会话的方法和装置

说明书

本公开的实施例公开了用于保持用户认证会话的方法和装置。该方法的一具体实施方式包括：与认证服务端进行密钥协商，得到第一公共密钥；将账号凭证通过第一公共密钥加密后生成认证会话请求，并将认证会话请求发送给认证服务端；接收认证服务端发送的经第一公共密钥加密的第一认证会话凭证报文；使用第一公共密钥对加密后的第一认证会话凭证报文进行解密，得到第一刷新凭证报文和第一认证凭证报文签名，其中，第一认证凭证报文签名是通过认证服务端的私钥对第一认证凭证报文加密得到的。该实施方式提高了报文的安全性和应用服务的验签效率。

技术领域

本公开的实施例涉及计算机技术领域，具体涉及用于保持用户认证会话的方法和装置。

背景技术

在分布式系统中，认证会话保持是指在无状态的应用服务器上的一种保持用户认证状态的机制，用户只需要通过客户端登录到统一认证系统输入认证报文信息，登录成功后，在一段时间内可以通过的认证会话凭证报文信息请求分布式系统的任何应用服务，应用服务向统一认证系统发送校验凭证报文的真实性请求。如果校验不通过，应用服务则控制不让客户端访问；如果通过，应用服务在本地备份保存报文信息，后续客户端再次请求时可以认为客户端与服务器之间交互过程的安全性，在不同的应用服务器上响应客户端时，也可以根据凭证报文信息进行访问控制。

上述技术方案存在以下几个缺点：1、如果用户认证会话有效期设置的很长，由于认证会话凭证报文保持不变，且所有的业务请求报文都包含凭证报文，一旦业务系统泄露了认证报文，则窃取者很容易伪造客户端向业务服务发起非法的请求。2、应用服务需要请求统一认证服务进行真实性校验，消耗了应用服务的网络资源导致性能下降，尽管可以采用本地缓存方式，但是同样面临缓存同步问题，在用户收回认证凭证时，由于无法同步应用服务的缓存导致访问控制失效。3、用户的认证会话报文中存在用户信息，因为没有进行加密处理，导致用户信息泄露。

发明内容

本公开的实施例提出了用于保持用户认证会话的方法和装置。

第一方面，本公开的实施例提供了一种用于保持用户认证会话的方法，应用于客户端，包括：与认证服务端进行密钥协商，得到第一公共密钥；将账号凭证通过所述第一公共密钥加密后生成认证会话请求，并将所述认证会话请求发送给所述认证服务端；接收所述认证服务端发送的经所述第一公共密钥加密的第一认证会话凭证报文；使用所述第一公共密钥对所述加密后的第一认证会话凭证报文进行解密，得到第一刷新凭证报文和第一认证凭证报文签名，其中，所述第一认证凭证报文签名是通过所述认证服务端的私钥对第一认证凭证报文加密得到的。

在一些实施例中，该方法还包括：与应用服务端进行密钥协商，得到第二公共密钥；组装包括第一认证凭证报文签名的业务报文；使用第二公共密钥对业务报文加密后生成业务请求；将业务请求发送给应用服务端。

在一些实施例中，该方法还包括：响应于接收到应用服务端返回的因超时导致的业务请求失败消息，向认证服务端发送续期请求，其中，续期请求包括通过第一公共密钥加密的第一刷新凭证报文；接收认证服务端发送的经第一公共密钥加密的第二认证会话凭证报文；使用第一公共密钥对加密的第二认证会话凭证报文进行解密，得到第二刷新凭证报文和第二认证凭证报文签名，其中，第二认证凭证报文签名是通过认证服务端的私钥对第二认证凭证报文加密得到的。

在一些实施例中，该方法还包括：响应于接收到退出请求，将失效的刷新凭证报文通过第一公共密钥加密后生成终止请求；将终止请求发送给认证服务端；响应于接收到认证服务端发送的终止成功消息，通过第一公共密钥对终止成功消息解密后，得到失效的刷新凭证报文；删除失效的刷新凭证报文和对应的失效的认证凭证报文签名。