一种基于WEB服务的统一身份认证方法及系统平台技术方案

本发明专利技术公开了一种基于WEB服务的统一身份认证方法，包括：身份服务系统从安全目录系统获取认证身份认证所需信息；用户请求身份服务系统完成身份认证，身份服务系统获取用户请求的凭证，依托身份凭证系统，根据获取的身份认证所需信息，完成对用户的身份认证；用户向身份服务系统请求获取令牌，身份服务系统根据对用户的身份认证结果生成用户身份令牌并向用户发放；用户利用身份令牌发送访问应用资源请求；信任控制设备对用户进行身份验证和鉴权通过后，把访问应用资源请求发送到应用系统；用户访问应用系统并操作。通过本方案，通过令牌进行单点登录，实现一次认证，全网通行，避免重复认证。

A unified authentication method and system platform based on WEB services

The invention discloses a unified method of identity authentication based on WEB services include: service access authentication system identity authentication system from the security catalog information required to complete the authentication request; user identity service system, service system to obtain user request identity certificate, identity certificate system based on identity authentication, according to obtain the required information. Complete the authentication of the user; the user to request the token identity service system, service system based on the identity authentication of users the user identity token generation and payment to the user; the user using the identity token access application sends resource request; trust control devices to authenticate users and after the authentication, access to application resources request sent to the application system; user access and operation application system. Through this scheme, a single sign on by token is carried out to realize one authentication, the whole network is passed and the authentication is avoided.

【技术实现步骤摘要】
一种基于WEB服务的统一身份认证方法及系统平台
本专利技术涉及计算机数据安全管理领域，具体涉及一种基于WEB服务的统一身份认证方法和装置。
技术介绍
信息时代电子商务发展越来越快，很多企业都朝着电商迈进，企业的外部结构和内部结构更加紧密关联，甚至融为一体。这种转变深刻影响着企业的内部作业流程和企业的组织机构，而且这种影响反映在企业跟客户的交流，如商务谈判等。信息时代随着市场竞争越来越厉害，市场条件快速变化，企业必须以创新、灵活、效率作为战略，企业自身业务应该更加自动化、简单化、多元化，使得内部结构和外部结构一体化，所以这种需求需要企业各种应用之间应该系统集成，使满足当前所有需求。企业的应用集成能够将硬件平台、应用软件支撑、各种技术标准、业务流程联合起来，在多个应用支撑平台中实现系统集成，使信息交流和信息共享更加简单、方便。使得满足企业业务功能的需求，如管理各种业务流程并进行实时监控分析，在不同的企业业务系统间或者跨域应用系统互通时管理信息流实现，并提供安全保障。这种应用集成对企业的意义重大。WebService技术的出现，使得企业间的应用集成如分布式应用，更加容易和简单，它的优势在于实现简单通用性强，就是把软件的复用提高到整个Internet这个层面上，如果你有个应用程序通过WebService发布，那么不仅仅是公司内部可用(可以是其他的C/S或者B/S的应用程序)，其他连到Internet上的公司也可以使用。现有技术中需要集成的若干个应用系统本身都由自己的身份认证系统，用户得知道登陆不同应用系统的用户名和口令，能正常使用，但不好维护，且安全性难以保证。现有技术存在以下缺点：1、为每个应用系统开发一套独立的身份认证系统，会造成信息冗余和资源浪费，不仅增加信息管理成本，而且给运维工作加强难度；2、用户在使用不同应用系统时，每次都得知道用户名和口令，操作非常繁琐；3、用户为了方便、简单，经常会将多个系统中的口令设置为简短的数字或者英文字母，这样泄露了用户身份信息，而且威胁应用系统的安全性。随着应用系统数量的不断增加，以及诸多应用系统的独立开发、离散运作的状态带来了各种问题，比如一些重要的用户信息(尤其是敏感数据，如登陆应用系统的账号和口令)在网上明文传输，遭受黑客攻击的可能性非常大；还有，用户在使用多个应用系统时要重复输入帐号、口令等信息，不仅繁琐，而且容易出现口令丢失，而一旦口令丢失就会造成不可估量的损失；另外，应用系统各自维护一套用户数据，存在系统间数据和信息冗余，维护繁琐等问题。这样的状态既给应用系统用户带来了众多不便，也使技术支持单位压力大，更甚者存在严重的安全隐患。软件开发进入到了系统集成和资源整合的第二阶段，而作为整合的基础首先需要一个全网统一的用户身份。因此，信息系统急需要一个具有较高安全控制的统一身份认证系统，以保证数据一致、安全、使用和管理方便。开发本系统的目的就是要解决不同的网络应用系统认证方式不统一的问题，期望提供一种方便、安全的身份认证方法，且集中管理，让用户只要统一的认证方式进行单点登录就可以有权访问所有应用系统。系统设计的主要思想就是提供一个应用系统的集中统一认证标准和用户管理接口，通过制定相应的集中认证技术规范，来实现所有新建系统用户认证的统一集中化管理，做到真正意义的集中认证。实现各应用系统的“集中认证”，需要具备以下几个特点:1、完善的用户管理机制:需要一套完善的用户管理和权限分配机制，管理应用系统的各个用户；2、异构特性:兼容各个应用系统平台，做到良好的对接；3、安全性:信息和数据的存放及和各个应用系统的信息传递都要保证安全可靠；4、稳定性:建立完善的运行保障机制保证该应用系统稳定可靠运行。
技术实现思路
为解决上述技术问题，本专利技术提供了一种基于WEB服务的统一身份认证方法，包括以下步骤：1)在网络信任系统配置身份认证相关信息及认证策略服务信息，并发布到安全目录系统；2)身份服务系统从安全目录系统获取认证身份认证所需信息；3)用户请求身份服务系统完成身份认证，身份服务系统获取用户凭证，并根据获取的认证身份认证所需信息，完成对用户的身份认证；4)用户向身份服务系统请求获取令牌，身份服务系统根据对用户的身份认证结果向用户发放身份令牌；5)用户利用身份令牌发送访问应用资源的请求；6)对用户进行身份验证和鉴权通过后，把访问应用资源的请求发送到应用系统；7)用户访问应用系统并操作。根据本专利技术的实施例，优选的，所述步骤1)中的身份认证相关信息包括：认证服务信息、用户绑定信息、策略服务信息以及所需的其他配置信息；所述步骤2)中身份认证所需信息包括：认证服务信息、用户绑定信息、信任控制设备信息、认证保障信息以及所需的其他配置信息。根据本专利技术的实施例，优选的，所述步骤5)用户利用身份令牌发送访问应用资源的请求包括：5.1)用户将访问应用资源的请求和身份令牌发送到信任控制设备；根据本专利技术的实施例，优选的，所述步骤6)对用户进行身份验证和鉴权通过后，把访问应用资源的请求发送到应用系统，具体包括：6.1)信任控制设备验证身份令牌的有效性及相关属性信息；6.2)信任控制设备对用户的身份验证通过；6.3)信任控制设备请求策略服务系统提供访问控制权限；6.4)策略服务系统鉴权成功后，返回响应，信任控制设备把访问应用资源的请求发送到应用系统。根据本专利技术的实施例，优选的，其中，所述身份服务系统、策略服务系统、信任控制设备以及应用系统之间身份信息的流转通过用户的网络信任号进行标识，即作为身份传递载体的身份令牌中用户的标识ID采用网络信任管理系统维护的网络信任号。为解决上述技术问题，本专利技术提供了一种基于WEB服务的统一身份认证系统平台，包括：用户凭证管理系统、网络信任管理系统、安全目录系统、身份服务系统、策略服务系统及信任控制设备(访问控制网关)；其中，在网络信任系统配置身份认证相关信息，并发布到安全目录系统；身份服务系统从安全目录系统获取认证身份认证所需信息；用户通过客户端请求身份服务系统完成身份认证，身份服务系统获取用户请求的凭证，依托用户凭证管理系统，根据获取的认证身份认证所需信息，完成对用户的身份认证；客户端向身份服务系统请求获取令牌，身份服务系统根据对用户的身份认证结果，生成用户身份令牌，发放给用户；客户端利用身份令牌发送访问应用资源的请求；对用户进行身份验证和鉴权通过后，把访问应用资源的请求发送到应用系统。根据本专利技术的实施例，优选的，根据权利要求6所述的系统平台，所述身份认证相关信息包括：认证服务信息、用户绑定信息、策略服务信息以及所需的其他配置信息；所述身份认证所需信息包括：认证服务信息、用户绑定信息、信任控制设备信息、认证保障信息以及所需的其他配置信息。根据本专利技术的实施例，优选的，根据权利要求6所述的系统平台，所述客户端利用身份令牌发送访问应用资源的请求包括：将访问应用资源的请求和身份令牌发送到信任控制设备；根据本专利技术的实施例，优选的，根据权利要求6所述的系统平台，还系统平台还包括一个信任控制设备和策略服务系统，所述信任控制设备验证身份令牌的有效性及相关属性信息；所述信任控制设备对用户的身份验证通过后，所述信任控制设备请求策略服务模块提供访问控制权限，所述策略服务模块鉴权成功后，返回响本文档来自技高网...

【技术保护点】
一种基于WEB服务的统一身份认证方法，包括以下步骤：1)在网络信任系统配置身份认证相关信息及认证策略服务信息，并发布到安全目录系统；2)身份服务系统从安全目录系统获取认证身份认证所需信息；3)用户请求身份服务系统完成身份认证，身份服务系统获取用户凭证，并根据获取的认证身份认证所需信息及所述认证策略服务信息，完成对用户的身份认证；4)用户向身份服务系统请求获取令牌，身份服务系统根据对用户的身份认证结果向用户发放身份令牌；5)用户利用身份令牌发送访问应用资源的请求；6)对用户进行身份验证和鉴权通过后，把访问应用资源的请求发送到应用系统；7)用户访问应用系统并操作。

【技术特征摘要】
1.一种基于WEB服务的统一身份认证方法，包括以下步骤：1)在网络信任系统配置身份认证相关信息及认证策略服务信息，并发布到安全目录系统；2)身份服务系统从安全目录系统获取认证身份认证所需信息；3)用户请求身份服务系统完成身份认证，身份服务系统获取用户凭证，并根据获取的认证身份认证所需信息及所述认证策略服务信息，完成对用户的身份认证；4)用户向身份服务系统请求获取令牌，身份服务系统根据对用户的身份认证结果向用户发放身份令牌；5)用户利用身份令牌发送访问应用资源的请求；6)对用户进行身份验证和鉴权通过后，把访问应用资源的请求发送到应用系统；7)用户访问应用系统并操作。2.根据权利要求1所述的方法，所述步骤1)中的身份认证相关信息包括：认证服务信息、用户绑定信息、策略服务信息以及所需的其他配置信息；所述步骤2)中身份认证所需信息包括：认证服务信息、用户绑定信息、信任控制设备信息、认证保障信息以及所需的其他配置信息。3.根据权利要求1所述的方法，所述步骤5)用户利用身份令牌发送访问应用资源的请求包括：5.1)用户将访问应用资源的请求和身份令牌发送到信任控制设备。4.根据权利要求1所述的方法，所述步骤6)对用户进行身份验证和鉴权通过后，把访问应用资源的请求发送到应用系统，具体包括：6.1)信任控制设备验证身份令牌的有效性及相关属性信息；6.2)信任控制设备对用户的身份验证通过；6.3)信任控制设备请求策略服务系统提供访问控制权限；6.4)策略服务系统鉴权成功后，返回响应，信任控制设备把访问应用资源的请求发送到应用系统。5.根据权利要求4所述的方法，其中，所述身份服务系统、策略服务系统、信任控制设备以及应用系统之间身份信息的流转通过用户的网络信任号进行标识，即作为身份传递载体的身份令牌中用户的标识ID采用网络信任管理系统维护的网络信任号。6.一种基于WEB服务的统一身份认证系统平台，包括：用户凭证管理系统、网络信任管理系统、安全目录系...

【专利技术属性】
技术研发人员：李成日，喻波，王志海，魏力，
申请(专利权)人：北京明朝万达科技股份有限公司，
类型：发明
国别省市：北京,11