[发明专利]支持跨网络区域多终端多凭证的身份认证和鉴权系统

说明书

本发明公开了支持跨网络区域多终端多凭证的身份认证和鉴权系统，既能实现统一身份认证，又能防止从低安全级别系统登录后可以直接访问高安全级别系统的隐患，且满足不同安全级别系统的不同安全控制需求。其技术方案为：采用统一身份认证的实现方式，每个系统有各自的凭证，在跨系统访问时，通过已有系统的凭证生成目标系统的凭证，生成规则可以按照系统的安全级别灵活配置；认证维度多样化，不仅仅是凭据合法性校验，还支持网络区域、设备类型和凭据类型的校验，可以满足不同安全级别系统多样化的认证需求；认证和鉴权的处理相分离，通过安全级别挂钩，让管理员通过简单的配置即可满足系统复杂场景下细粒度的权限控制需求。

技术领域

本发明涉及身份认证和用户授权策略的应用技术，具体涉及一种支持跨网络区域多终端多凭证的身份认证和鉴权系统。

背景技术

近年来，随着微服务概念的推广，越来越多的企业开始实践微服务架构，对企业内部系统进行微服务化改造，数字化转型也成为很多企业内部系统改造升级的战略目标。数字化转型的核心要点之一就是要整合一切可以利用的资源，包括数据资源和服务资源，而数据和服务资源整合共享的基础就是统一身份认证SSO和用户授权策略。

SSO即Single Sign On，意为单点登录，一次登录，全部访问。用户在身份认证服务器上登录一次以后，即可获得访问单点登录系统中其他关联系统的权限，这意味着企业平台涉及的多个系统接入单点登录后，用户只需要登录一次即可访问所有互相信任的系统。

目前市场上实现SSO的方案比较多，如CAS、OAuth、JWT等。

Oauth即Open Authorization，是一种安全、开放的用户验证和授权标准，允许用户让第三方系统访问该用户在某一系统上存储的私密资源，而无需将用户名和密码提供给第三方系统。

CAS即Central Authentication Service，意为中央认证服务，是目前比较成熟的单点登录方案，包含CAS Server和CAS Client两部分。CAS Server独立部署，负责用户认证工作；CAS Client负责处理对客户端受保护资源的访问请求，需要登录时，重定向到CASServer。图1是CAS基本的认证处理过程。

JWT即Json Web Token，是基于json的开放标准的token，用于实现分布式站点的单点登录。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息，以便于资源服务器获取资源，该token也可以直接被用于认证。

但是，SSO方案只解决了企业平台的多个系统只需要登录一次就可以访问所有互相信任的系统的问题。在实际需求场景中，企业平台的多个系统可能部署在不同的网络区域，具备不同的安全级别，理论上，通过低安全级别系统产生的登录凭据不应该具备访问较高安全级别系统的能力，因此不能简单的将这些系统接入SSO。另外，系统里的不同资源，对登录凭证的要求可能不一样，有些资源只需要密码登录即可访问，而有些资源则需要证书才能访问。对于这些需求场景，传统的SSO方案显然是无法满足的。

发明内容

以下给出一个或多个方面的简要概述以提供对这些方面的基本理解。此概述不是所有构想到的方面的详尽综览，并且既非旨在指认出所有方面的关键性或决定性要素亦非试图界定任何或所有方面的范围。其唯一的目的是要以简化形式给出一个或多个方面的一些概念以为稍后给出的更加详细的描述之序。

本发明的目的在于解决上述问题，提供了一种支持跨网络区域多终端多凭证的身份认证和鉴权系统，既能实现统一身份认证，又能防止从低安全级别系统登录后可以直接访问高安全级别系统的隐患，并通过多维度认证方式控制，灵活配置系统登录所涉及到的网络区域、终端设备、凭据类型，从而满足不同安全级别系统的不同安全控制需求。