一种树状拓扑认证系统群的实现方法和装置与流程

1.本发明涉及信息化系统技术领域，尤指一种树状拓扑认证系统群的实现方法和装置。


背景技术：

2.随着各行各业信息化系统的复杂度不断提升，业务应用软件根据高内聚低耦合的原则，逐步被拆分为多个子应用系统，各应用系统均需要对用户进行认证鉴权，统一认证服务就是不可或缺的一部分。在各子应用系统集成统一登录认证系统后，使用户在访问不同应用时只需要登陆一次，即可访问所有系统，避免了重复登录，达到更好的用户体验。
3.当前应用系统的统一认证，普遍使用jasig-认证系统(central authentice service)中央单点统一认证。如图2所示：用户第一次访问应用通过认证系统中央认证登录过程。如图3所示：用户已登陆过认证系统而访问另一应用的过程。认证系统的基本认证过程是：
4.1、用户访问应用服务器a，由于此时并未授权，应用服务器a引导用户直接访问认证服务器
5.2、认证服务器发现用户并未登陆过，要求用户登录。用户登陆后发放tgt(ticket granted ticket)，即授权票据，表明用户已经获得了认证服务的认证授权。
6.3、认证服务器发现用户原先是先访问的某应用服务器a，会使用用户的tgt，签发针对上述应用服务器a的st(service ticket)，即服务票据，并返还给用户。
7.4、用户拿到这个st后再次访问上述应用服务器a。
8.5、上述应用服务器a发现用户有st，便拿着st向认证服务器校验该票据的有效性，即询问认证服务器是否是为本身这个应用服务所签发。
9.6、认证服务器返回st校验结果给上述应用服务器a，应用服务器a将用户会话置于受信任队列，向用户提供后续应用服务。
10.7、此时，用户再次访问另一个应用系统b时，由于此时用户会话不在b的受信任列表里，b依然会引导用户直接访问认证服务器。
11.8、此时，认证服务器发现用户已经存在tgt，表示用户已经登陆过，直接会针对应用系统b发放另一个新的st，返回给用户，用户即可通过该st去访问应用服务器b，避免了二次登陆。
12.从上述流程可以看出，一旦两个应用服务都对接好认证系统系统后，认证系统系统可以实现让用户登陆一次，即可跨应用获取资源的效果。认证系统由于向内封闭票据的认证和签发过程，对外只能获取到一个已绑定特定应用服务的serviceticket，且st仅能够被校验一次，这使得其签发的票据就如一张特定电影院的电影票，一旦进入这个特定电影院的校验过程，随即失效，是非常安全的，这是其认证业务上的优点。但针对认证系统中央统一认证来说，其票据的缓存和发放是集中在认证服务器的，一旦这个服务器的票据缓存节点或认证节点出现异常，会导致认证系统出现“单点故障”，这是其稳定性的缺点。
13.同时，也正是因为认证系统的认证内闭，使得对外开放包容进行级联式登录认证受到限制。例如在某生产环境下，已经存在他方的统一认证服务认证系统，需要我方认证系统认证服务去集成的时候，两个认证系统服务针对同一个浏览器，仅能识别自己签发的tgt票据，无法形成“通兑tgt票据”。在许多历史实战场景中，往往需要他方认证系统认证被迫直接传递用户名和密码等信息给我方认证系统系统后形成我方认可的tgt票据，以实现两个认证系统下应用系统的无缝访问。虽然这种数据传输是经过加密的，但依然会存在一定的安全隐患，且认证系统的单点故障导致的不稳定性依然会使得业务中断。


技术实现要素：

14.本发明提供一种树状拓扑认证系统群的实现方法和装置，克服上述问题。
15.本发明提供的技术方案如下：
16.一方面，本发明提供一种树状拓扑认证系统群的实现方法，包括：
17.当本机认证系统接收到应用的认证访问信号时，判断是否存在第三方认证系统；
18.若存在第三方认证系统，则所述本机认证系统要求浏览器迁转所述应用跳转第三方认证系统；
19.当所述应用经所述浏览器向所述第三方认证系统提供登录凭证且登录成功后，所述本机认证系统获取所述第三方签发的st；
20.当所述本机认证系统向所述第三方认证系统校验所述st后，生成所述本机认证系统的tgt并与所述第三方的认证系统的st进行绑定；
21.通过所述本机认证系统基于所述本机系统的tgt向所述应用签发应用侧st；
22.当所述应用获取到所述本机认证系统的应用侧st向所述本机认证系统发起校验且成功后，为所述浏览器提供服务。
23.在一些实施例中，还包括：当所述本机认证系统作为所述应用的中央认证系统时，对所述应用直接进行认证。
24.在一些实施例中，还包括：当所述本机认证系统以所述第三方认证系统为中央认证系统时，所述本机认证系统为应用系统与所述第三方认证系统进行对接。
25.在一些实施例中，还包括：当所述第三方认证系统登出所述应用的认证流程后，所述本机认证系统的tgt与绑定的所述第三方的st同步注销。
26.在一些实施例中，包括：当存在一个以上的认证服务时，所述本机认证系统进行单向的认证级联。
27.在一些实施例中，本发明还提供一种树状拓扑认证系统群的实现装置，包括：多个本机认证系统，每个所述本机认证系统包括：
28.判断模块，用于当接收到本机认证系统接收到应用的认证访问信号时，判断是否存在第三方认证系统；
29.迁转模块，用于若不存在第三方认证系统，则所述本机认证系统要求浏览器提供登录凭证并迁转所述应用跳转第三方认证系统；
30.获取模块，用于当所述应用经所述浏览器向所述第三方认证系统提供登录凭证且登录成功后，所述本机认证系统获取所述第三方签发的st；
31.绑定模块，用于当所述本机认证系统向所述第三方认证系统校验所述st后，生成
所述本机认证系统的tgt并与所述第三方的认证系统的st进行绑定；
32.签发模块，用于通过所述本机认证系统基于所述本机系统的tgt向所述应用签发应用侧st；
33.检验模块，用于当所述应用获取到所述本机认证系统的应用侧st向所述本机认证系统发起校验且成功后，为所述浏览器提供服务。
34.在一些实施例中，所述本机认证系统还用于当所述本机认证系统作为所述应用的中央认证系统时，对所述应用直接进行认证。
35.在一些实施例中，所述本机认证系统还用于当所述本机认证系统以所述第三方认证系统为中央认证系统时，所述本机认证系统为应用系统与所述第三方认证系统进行对接。
36.在一些实施例中，所述本机认证系统还用于当所述第三方认证系统登出所述应用的认证流程后，所述本机认证系统的tgt与绑定的所述第三方的st同步注销。
37.在一些实施例中，所述本机认证系统还用于当存在一个以上的认证服务时，所述本机认证系统进行单向的认证级联。
38.本发明提供的一种树状拓扑认证系统群的实现方法和装置至少具有以下一种有益效果：
39.本发明可以实现因一个认证网络群里的某个节点断链后，依然可以实现基于其它网络中的节点认证，基本消灭单点登录中的“单点”故障，做到“各自为证”，又“相互联通”。
40.本发明可以安全的向三方认证系统进行集成组网。
41.本发明可以实现类似于“集团组织认证中心-子公司分公司认证中心-各部门业务认证中心“的这种三级(多级)认证系统挂接，彼此授信，却可以各自授权的场景。
附图说明
42.下面结合附图和具体实施方式对本发明作进一步详细说明：
43.图1是本发明的一种树状拓扑认证系统群的实现方法的一个实施例的示意图；
44.图2是用户第一次访问应用通过认证系统中央认证登录过程的示意图；
45.图3是用户已登陆过认证系统而访问另一应用的过程的示意图；
46.图4是改造前的单一认证系统场景示意的示意图；
47.图5是本发明的tas体系下多认证系统经改造后的场景示意的示意图；
48.图6是本发明的认证系统改造后用户第一次访问我方认证系统下某应用的登录过程示意图。
具体实施方式
49.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
50.为使图面简洁，各图中只示意性地表示出了与本发明相关的部分，它们并不代表其作为产品的实际结构。另外，以使图面简洁便于理解，在有些图中具有相同结构或功能的
部件，仅示意性地绘示了其中的一个，或仅标出了其中的一个。在本文中，“一个”不仅表示“仅此一个”，也可以表示“多于一个”的情形。
51.还应当进一步理解，在本技术说明书和所附权利要求书中使用的术语“和/或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合，并且包括这些组合。
52.在本文中，需要说明的是，除非另有明确的规定和限定，术语“安装”、“相连”、“连接”应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通。对于本领域的普通技术人员而言，可以具体情况理解上述术语在本发明中的具体含义。
53.另外，在本技术的描述中，术语“第一”、“第二”等仅用于区分描述，而不能理解为指示或暗示相对重要性。
54.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对照附图说明本发明的具体实施方式。显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图，并获得其他的实施方式。
55.在一个实施例中，如图1所示，一方面，本发明提供一种树状拓扑认证系统群的实现方法，包括：
56.s101当本机认证系统接收到应用的认证访问信号时，判断是否存在第三方认证系统；
57.s102若存在第三方认证系统，则所述本机认证系统要求浏览器迁转所述应用跳转第三方认证系统；
58.s103当所述应用经所述浏览器向所述第三方认证系统提供登录凭证且登录成功后，所述本机认证系统获取所述第三方签发的st；
59.s104当所述本机认证系统向所述第三方认证系统校验所述st后，生成所述本机认证系统的tgt并与所述第三方的认证系统的st进行绑定；
60.s105通过所述本机认证系统基于所述本机系统的tgt向所述应用签发应用侧st；
61.s106当所述应用获取到所述本机认证系统的应用侧st向所述本机认证系统发起校验且成功后，为所述浏览器提供服务。
62.另外，若不存在第三方认证系统，则所述本级认证系统要求浏览器提供登录凭证并认证。
63.示例性的，针对上述中央认证系统存在的特点，我们发现原耶鲁大学提出的jasig开源工程，对cas基于票据的认证流程实现是相当安全的，这个特性是其最大优势。而在cas的原始流程中，面对三方独立认证系统，因为多个认证系统并存时相互没有授权，都当自己为唯一授权机构，彼此没有信任机制，导致原有流程不够开放。即背景信息中表述的认证系统都是自闭的，cas中第一个c是center的代表，意为中央或者中心性，并不向他方认证系统开放。
64.为此，我们发明并公开一种改造方式，以改良其流程的对外包容性，从而实现某些特定需求场景。
65.例如现行存在两个cas认证服务，一个是“他方”提供，一个是“我方”提供，他们彼
此是无法互融的，我们做如下改造，其基本过程：
66.1、将我方cas服务依然当做我方各内部应用的认证中心，这是cas系统原本就具备的能力；同时，我们将我方cas对他方cas当做一个普通的应用系统，与他方cas进行对接，对接方式见2。
67.2、当某应用迁转跳转我方cas发起认证时，我方cas先行判断他方cas是否存在，若存在，执行3；若不存在，则我方cas直接要求浏览器提供登录凭证，进而保留原有的cas认证流程.
68.3、我方cas(作为他方cas的一个应用系统)迁转用户直接跳转他方cas，用户经浏览器向他方cas提供登录凭证，登录成功后，按照他方cas的认证流程，我方cas将获取到他方cas签发的st。
69.4、我方cas向他方cas校验该st后，生成我方cas的tgt并与他方cas的st进行绑定(将来一旦他方cas登出，我方tgt会根据绑定的他方st同步注销)
70.5、我方cas基于tgt向2中访问的某应用签发应用侧st。
71.6、某应用获取到我方cas的st向我方cas发起校验，成功后提供服务。
72.改造前的cas是一个星状认证关系，而认证服务器是这个星状拓扑的中心，称为centrol中央认证服务。
73.如图4所示，改造前的单一cas场景示意(箭头表示认证对接方向)。
74.而本发明改造后的cas系统，由于其同时具有server(面向应用系统)和client(面向他方cas)的双重身份，当存在多于1个cas服务的时候，可以进行单向的认证级联，就如单项矢量组成的有向图可以串行或者树形组合，我们把这种单向认证级联暂定为“挂接”。
75.例如，本发明部署多个cas认证系统服务，除了选择一个cas不挂接任何其他cas外，其余cas系统均只挂接一个cas服务，这样对整个认证体系可以形成一个树状认证拓扑，我们给它起名叫做tas(tree-like authenticate service)树状认证系统，我们把运行tas形成的整个体系叫做“认证树系统群”。
76.如图5所示：tas体系下多cas经改造后的场景示意(箭头表示认证对接方向)。
77.此时，认证客户端如果可以同时保持几个认证节点的配置，一旦认证系统群中某个节点损坏，可以通过其它网群节点认证，即实现了中央认证服务的热备效果。
78.同时，如果认证网中某个节点并非我们主导建设，我们依然可以基于它的认证方式进行组网，实现我方向他三方的认证，落地特定场景的认证需求。
79.本发明可以实现因一个认证网络群里的某个节点断链后，依然可以实现基于其它网络中的节点认证，基本消灭单点登录中的“单点”故障，做到“各自为证”，又“相互联通”。本发明可以安全的向三方认证系统进行集成组网。本发明可以实现类似于“集团组织认证中心-子公司分公司认证中心-各部门业务认证中心“的这种三级(多级)认证系统挂接，彼此授信，却可以各自授权的场景。
80.在一个实施例中，还包括：当所述本机认证系统作为所述应用的中央认证系统时，对所述应用直接进行认证。
81.在一个实施例中，还包括：当所述本机认证系统以所述第三方认证系统为中央认证系统时，所述本机认证系统为应用系统与所述第三方认证系统进行对接。
82.每个认证中心可以作为中央cas也可以作为子cas，通过判断是否存在第三方cas
确定自己是中央cas还是子cas。
83.比如那个实施例，我如果给一个省部署，我给省厅的和地市的系统部署的cas都是一样的。只不过地市的cas会挂到省厅的cas服务下面。然后省厅的cas访问的用户权限数据是省厅的数据平台，地市的是访问自己平台。省里原则上涵盖所有地市的数据，所以对于本市的用户登录，数据是通的。而如果异地城市打开本市系统的时候，它会认为是“游客特权”，这个时候市内系统面向游客有什么功能开放什么功能就行了，但是不用“再次登录”。
84.数据上，子cas能够鉴权的数据，父cas一定都能涵盖，反之不一定，对于父cas鉴权通过而回到子级cas不认识的用户，就是访客。这个恰恰解决了一个话题，比如a市的人登录a市系统，通过a市cas给他授权可能是“管理员”。他到b市的时候，b市cas不会让他再次登陆的，但已经给他一个“游客”身份。他可以无缝去访问b市系统了，整个过程通过省级cas跳了一次，但是他无法察觉。三个cas这样级联后，就能达到这个效果。
85.在传统技术中，a市的人去访问b市系统的话，必须要到b市再去登陆一次，因为a和b两个cas是独立的。
86.在一个实施例中，还包括：当所述第三方认证系统登出所述应用的认证流程后，所述本机认证系统的tgt与绑定的所述第三方的st同步注销。
87.在一个实施例中，包括：当存在一个以上的认证服务时，所述本机认证系统进行单向的认证级联。
88.在一个实施例中，本发明还提供一种树状拓扑认证系统群的实现装置，包括：多个本机认证系统，每个所述本机认证系统包括：
89.判断模块，用于当接收到本机认证系统接收到应用的认证访问信号时，判断是否存在第三方认证系统；
90.迁转模块，用于若不存在第三方认证系统，则所述本机认证系统要求浏览器提供登录凭证并迁转所述应用跳转第三方认证系统；
91.获取模块，用于当所述应用经所述浏览器向所述第三方认证系统提供登录凭证且登录成功后，所述本机认证系统获取所述第三方签发的st；
92.绑定模块，用于当所述本机认证系统向所述第三方认证系统校验所述st后，生成所述本机认证系统的tgt并与所述第三方的认证系统的st进行绑定；
93.签发模块，用于通过所述本机认证系统基于所述本机系统的tgt向所述应用签发应用侧st；
94.检验模块，用于当所述应用获取到所述本机认证系统的应用侧st向所述本机认证系统发起校验且成功后，为所述浏览器提供服务。
95.在一个实施例中，所述本机认证系统还用于当所述本机认证系统作为所述应用的中央认证系统时，对所述应用直接进行认证。
96.在一个实施例中，所述本机认证系统还用于当所述本机认证系统以所述第三方认证系统为中央认证系统时，所述本机认证系统为应用系统与所述第三方认证系统进行对接。
97.在一个实施例中，所述本机认证系统还用于当所述第三方认证系统登出所述应用的认证流程后，所述本机认证系统的tgt与绑定的所述第三方的st同步注销。
98.在一个实施例中，所述本机认证系统还用于当存在一个以上的认证服务时，所述
本机认证系统进行单向的认证级联。
99.本发明可以实现因一个认证网络群里的某个节点断链后，依然可以实现基于其它网络中的节点认证，基本消灭单点登录中的“单点”故障，做到“各自为证”，又“相互联通”。本发明可以安全的向三方认证系统进行集成组网。本发明可以实现类似于“集团组织认证中心-子公司分公司认证中心-各部门业务认证中心“的这种三级(多级)认证系统挂接，彼此授信，却可以各自授权的场景。
100.本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本技术的范围。
101.在本技术所提供的实施例中，应该理解到，所揭露的装置和方法，可以通过其他的方式实现。示例性的，以上所描述的系统实施例仅仅是示意性的，示例性的，所述模块或单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，示例性的，多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通讯连接可以是通过一些接口，装置或单元的间接耦合或通讯连接，可以是电性、机械或其他的形式。
102.所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
103.另外，在本技术各个实施例中的各功能单元可能集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。
104.应当说明的是，上述实施例均可根据需要自由组合。以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。