基于考評服務(wù)平臺的跨域認(rèn)證方法
【專利摘要】本發(fā)明涉及基于考評服務(wù)平臺的跨域認(rèn)證方法，其不同點(diǎn)在于：在至少包括兩個信任域內(nèi)，當(dāng)?shù)谝挥蛟L問第二個域，執(zhí)行以下步驟：步驟1）：用戶登錄系統(tǒng)；步驟2）：將登錄用戶的基本信息序列化，再通過MD5加密算法將序列化后的用戶信息字節(jié)流保存到第一域A的Cookie中；步驟3）：當(dāng)?shù)谝挥駻請求第二個域B時，獲取第一域A的Cookie中的key值；步驟4）：將第一域A的Cookie中的key值經(jīng)過MD5解密，然后反序列化，反序列化是將序列化后的用戶信息字節(jié)流轉(zhuǎn)化為用戶對象；步驟5）：判斷反序列化后的用戶信息是否合法，如果合法，則允許跨域，反之不允許跨域，跳轉(zhuǎn)系統(tǒng)錯誤頁面。本發(fā)明將用戶信息序列化成字節(jié)流在通過MD5加密算法提高了系統(tǒng)的安全性；通過判斷Cookie中的信息來驗(yàn)證跨域是否成功，更加簡單和安全。
【專利說明】基于考評服務(wù)平臺的跨域認(rèn)證方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及基于考評服務(wù)平臺的跨域認(rèn)證方法。
【背景技術(shù)】
[0002]跨域認(rèn)證就是指登錄的用戶在不同域內(nèi)之間數(shù)據(jù)訪問的認(rèn)證。近年來，隨著WEB技術(shù)的不斷發(fā)展，從域A訪問域B中的信息，越來越簡單，同時也帶來了巨大的安全隱患，如何防止其他域的惡意訪問，杜絕系統(tǒng)信息的泄漏和損壞，同時也要允許合法域進(jìn)行訪問，跨域的安全訪問成為了大規(guī)模分布式環(huán)境，特別是多域環(huán)境下的必然需求。
[0003]目前，一個域的實(shí)體在跨域訪問其他信任域的實(shí)體的時候，跨域認(rèn)證普遍采取的方法是由受訪問的實(shí)體所在的信任域的認(rèn)證服務(wù)器直接對訪問實(shí)體進(jìn)行跨域身份認(rèn)證。其中，同構(gòu)域采用同種認(rèn)證體制的信任域，異構(gòu)域采用不同種類的認(rèn)證體制的信任域?，F(xiàn)有的認(rèn)證體制有PKI (public Key Infrastructure,公開密鑰基礎(chǔ)設(shè)施)認(rèn)證體制、Kerberos認(rèn)證體制、IBC(Identity-Based Cryptography,基于身份的認(rèn)證體制)認(rèn)證體制等。對于跨同構(gòu)域的認(rèn)證，比如基于PKI認(rèn)證體制的信任域A向基于PKI認(rèn)證體制的信任域B進(jìn)行跨域認(rèn)證時，這時，就需要建立一條從目標(biāo)證書到認(rèn)證方之間的一條或多條候選的證書路徑，證書路徑中的每個證書都要被檢查和驗(yàn)證，這樣，交叉證書路徑處理的過程就非常復(fù)雜，從而使認(rèn)證服務(wù)器在驗(yàn)證非本域用戶的證書過程變得繁瑣和低效。對于跨異構(gòu)域的認(rèn)證，由于不同的信任域，那它們之間的認(rèn)證體制也不一樣，不兼容，這就導(dǎo)致用戶的身份憑證形式不同，例如PKI使用身份證書，Kerberos采用票據(jù)形式。所以，當(dāng)認(rèn)證服務(wù)器在直接驗(yàn)證非本域身份憑證的時候，認(rèn)證服務(wù)器需要對身份憑證的形式進(jìn)行轉(zhuǎn)換，這樣，就使得認(rèn)證服務(wù)器在驗(yàn)證非本域的用戶憑證的過程也變得繁瑣。

【發(fā)明內(nèi)容】

[0004]本發(fā)明針對跨域認(rèn)證中認(rèn)證服務(wù)器在驗(yàn)證非本域用戶憑證式的繁瑣低效的問題，提供一種基于考評服務(wù)平臺的跨域認(rèn)證方法。
[0005]本發(fā)明解決其技術(shù)問題的關(guān)鍵點(diǎn)是:基于考評服務(wù)平臺的跨域認(rèn)證方法，其不同點(diǎn)在于:在至少包括兩個信任域內(nèi)，當(dāng)?shù)谝挥蛟L問第二個域，執(zhí)行以下步驟:
步驟I):用戶登錄系統(tǒng)，驗(yàn)證通過登錄成功；
步驟2):將登錄用戶的基本信息序列化，再通過MD5加密算法將序列化后的用戶信息字節(jié)流保存到第一域A的Cookie中；
步驟3):當(dāng)?shù)谝挥駻請求第二個域B時,獲取第一域A的Cookie中的key值；
步驟4):將第一域A的Cookie中的key值經(jīng)過MD5解密，然后反序列化，反序列化是將序列化后的用戶信息字節(jié)流轉(zhuǎn)化為用戶對象；
步驟5):判斷反序列化后的用戶信息是否合法，如果合法，則允許跨域，反之不允許跨域，跳轉(zhuǎn)系統(tǒng)錯誤頁面。
[0006]本發(fā)明方法的有益效果:MD5加密，是一種加密算法，全稱是“消息摘要算法”(Message-Digest Algorithm version.5),它是當(dāng)前公認(rèn)的強(qiáng)度最高的加密算法,MD5將任意長度的“字節(jié)串”映射為一個128bit的大整數(shù)，并且是通過該128bit反推原始字符串是困難的，即使看到源程序和算法描述，也無法將一個MD5的值變換回原始的字符串，從數(shù)學(xué)原理上說，是因?yàn)樵嫉淖址袩o窮多個。本發(fā)明將用戶信息序列化成字節(jié)流在通過MD5加密算法提高了系統(tǒng)的安全性；通過判斷Cookie中的信息來驗(yàn)證跨域是否成功，更加簡單和安全。
【專利附圖】

【附圖說明】
[0007]圖1是本發(fā)明實(shí)施例步驟I)-步驟2)的流程示意圖；
圖2是本發(fā)明實(shí)施例步驟3-步驟5)的流程示意圖。
【具體實(shí)施方式】
[0008]參見圖1-圖2，本發(fā)明具體實(shí)施例基于考評服務(wù)平臺的跨域認(rèn)證方法，其不同點(diǎn)在于:在至少包括兩個信任域內(nèi)，當(dāng)?shù)谝挥蛟L問第二個域，執(zhí)行以下步驟:
步驟I):用戶登錄系統(tǒng)，驗(yàn)證通過登錄成功；
步驟2):將登錄用戶的基本信息序列化，序列化是指將對象狀態(tài)轉(zhuǎn)換為可保持或傳輸?shù)母袷降倪^程，在序列化過程中，對象的公共字段和私有字段以及類的名稱都被轉(zhuǎn)換為字節(jié)流；再通過MD5加密算法將序列化后的用戶信息字節(jié)流保存到第一域A的Cookie中；MD5加密，是一種加密算法,全稱是“消息摘要算法”(Message-Digest Algorithmversion.5)，它是當(dāng)前公認(rèn)的強(qiáng)度最高的加密算法，MD5將任意長度的“字節(jié)串”映射為一個128bit的大整數(shù)，并且是通過該128bit反推原始字符串是困難的，即使你看到源程序和算法描述，也無法將一個MD5的值變換回原始的字符串，從數(shù)學(xué)原理上說，是因?yàn)樵嫉淖址袩o窮多個。將用戶信息序列化成字節(jié)流在通過MD5加密算法提高了系統(tǒng)的安全性；步驟3):當(dāng)?shù)谝挥駻請求第二個域B時,獲取第一域A的Cookie中的key值；
步驟4):將第一域A的Cookie中的key值經(jīng)過MD5解密，然后反序列化，反序列化是將序列化后的用戶信息字節(jié)流轉(zhuǎn)化為用戶對象；
步驟5):判斷反序列化后的用戶信息是否合法，如果合法，則允許跨域，反之不允許跨域，跳轉(zhuǎn)系統(tǒng)錯誤頁面。
以上內(nèi)容是結(jié)合具體的實(shí)施方式對本發(fā)明所作的進(jìn)一步詳細(xì)說明，不能認(rèn)定本發(fā)明的具體實(shí)施只局限于這些說明。對于本發(fā)明所屬【技術(shù)領(lǐng)域】的普通技術(shù)人員來說，在不脫離本發(fā)明構(gòu)思的前提下，還可以做出若干簡單推演或替換，都應(yīng)當(dāng)視為屬于本發(fā)明的保護(hù)范圍。
【權(quán)利要求】
1.基于考評服務(wù)平臺的跨域認(rèn)證方法，其特征在于:在至少包括兩個信任域內(nèi)，當(dāng)?shù)谝挥蛟L問第二個域，執(zhí)行以下步驟: 步驟I):用戶登錄系統(tǒng)，驗(yàn)證通過登錄成功； 步驟2):將登錄用戶的基本信息序列化，再通過MD5加密算法將序列化后的用戶信息字節(jié)流保存到第一域A的Cookie中； 步驟3):當(dāng)?shù)谝挥駻請求第二個域B時,獲取第一域A的Cookie中的key值； 步驟4):將第一域A的Cookie中的key值經(jīng)過MD5解密，然后反序列化，反序列化是將序列化后的用戶信息字節(jié)流轉(zhuǎn)化為用戶對象； 步驟5):判斷反序列化后的用戶信息是否合法，如果合法，則允許跨域，反之不允許跨域，跳轉(zhuǎn)系統(tǒng)錯誤頁面。
【文檔編號】H04L9/32GK103731269SQ201310710884
【公開日】2014年4月16日 申請日期:2013年12月20日 優(yōu)先權(quán)日:2013年12月20日
【發(fā)明者】不公告發(fā)明人 申請人:湖北安標(biāo)信息技術(shù)有限公司