域内设备的用户认证方法及装置与流程

本发明涉及网络通信领域，尤其涉及域内设备的用户认证方法及装置。

背景技术：

在对大型信息系统进行网络安全防护时，通常需要根据需要对系统内部的不同设备的安全需求进行不同等级的保护。而采用安全域技术，技术人员可以根据安全等级或安全需求对同样网络系统内的服务器或用户终端等设备进行归并分组，将所有相同安全等级或具有相同安全需求的设备划入同一安全域内，并采用同样的安全策略对同一安全域进行控制，从而简化网络安全防护的复杂度。

为实现采用同样的安全策略对同一安全域进行控制，在现有安全域技术中通常会为每一个安全域设置一个统一认证平台，从而构成由统一认证平台和域内设备构成的安全域系统。在安全域系统外的用户需要访问该安全域系统中的某一个域内设备时，需要向该统一认证平台提交登陆信息；统一认证平台在接收到用户提交的登陆信息后，将该登录信息转发至该域内设备；该域内设备在接收到该登陆信息后，使用该登陆信息进行用户验证，验证该用户是否具有该域内设备的访问权限；当该用户具有该域内设备的访问权限时，该域内设备才处理来自该用户的跳转访问请求。

在很多应用场景下，用户常常需要连续访问同一安全域内的多个域内设备，因用户跳转访问多个域内设备的情况常常出现。而采用现有技术，用户每访问一个域内设备就需要在该安全域的统一认证平台提交一次登陆信息，如果用户对一个域内设备访问结束，跳转访问另一个域内设备，就需要再次向统一认证平台提交登陆信息，如果用户需要连续跳转访问多个域内设备，就需要多次向统一认证平台提交登陆信息。多次向统一认证平台提交登陆信息，会增加登陆信息泄露的风险。

技术实现要素：

本发明实施例提供了域内设备的用户认证方法及装置，以解决采用现有技术完成用户验证，登陆信息泄露风险高的问题。

第一方面，本发明实施例提供了一种用户验证方法，该方法包括：在接收到用户的跳转访问请求后，向统一认证平台发送与所述用户相对应的用户票据申请；接收所述统一认证平台根据所述用户票据申请发送的用户漫游票据；验证所述用户漫游票据是否为合法漫游票据；当所述用户漫游票据为合法漫游票据时，获取已保存在所述统一认证平 台中且与所述用户相对应的登陆信息；使用所述登陆信息完成用户验证。

结合第一方面，在第一方面第一种可能的实现方式中，在向统一认证平台发送与所述用户相对应的用户票据申请之前还包括：接收所述用户通过域内的其他设备发送的跳转访问请求。

结合第一方面或第一方面第一种可能的实现方式，在第一方面第二种可能的实现方式中，所述验证所述用户漫游票据是否为合法漫游票据包括：从所述用户漫游票据中解析出资源指示信息，所述资源指示信息用于指示用户欲访问的指定资源；检测域内设备是否具有所述指定资源；所述当所述用户漫游票据为合法漫游票据时，获取已保存在所述统一认证平台中且与所述用户相对应的登陆信息包括：在所述域内设备具有所述指定资源时，获取已保存在所述统一认证平台中且与所述用户相对应的登陆信息。

结合第一方面第二种可能的实现方式，在第一方面第三种可能的实现方式中，在检测域内设备是否具有所述指定资源之前还包括：向统一认证平台发送用于请求统一认证平台校验所述资源指示信息是否正确的校验请求；所述检测域内设备是否具有所述指定资源包括：在接收到统一认证平台发送的所述资源指示信息解析正确的校验结果后，检测域内设备是否具有所述指定资源。

结合第一方面，在第一方面第四种可能的实现方式中，所述获取已保存在所述统一认证平台中且与所述用户相对应的登陆信息包括：通过所述统一认证平台的登陆信息查询接口获取所述登陆信息。

第二方面，本发明实施例还提供了另一种域内设备的用户验证方法，包括：接收与用户相对应的用户票据申请，所述用户票据申请由所述域内设备在接收到用户的跳转访问请求后发送；根据所述用户票据申请确定与所述用户对应的用户漫游票据；将所述用户漫游票据发送至所述域内设备；在接收到所述域内设备的登陆信息获取请求后，向所述域内设备发送已保存在统一认证平台中且与所述用户相对应的登陆信息，以使所述域内设备使用所述登陆信息完成用户验证，其中，所述登陆信息获取请求由所述域内设备在判定所述用户漫游票据为合法漫游票据后生成。

结合第二方面，在第二方面第一种可能的实现方式中，在将所述用户漫游票据发送至所述域内设备之后还包括：接收域内设备发送的资源指示信息校验请求，所述资源指示信息由所述域内设备对所述用户漫游票据解析得出；根据所述指示信息校验请求对所述资源指示信息进行校验，得到校验结果；向所述域内设备对发送所述校验结果。

结合第二方面或第二方面第一种可能的实现方式，在第二方面第二种可能的实现方 式中，所述向所述域内设备发送已保存在统一认证平台中且与所述用户相对应的登陆信息包括：通过登陆信息查询接口向所述域内设备发送所述登陆信息。

第三方面，本发明实施例还提供了一种域内设备的用户验证装置，包括：申请单元，用于在接收到用户的跳转访问请求后，向统一认证平台发送与所述用户相对应的用户票据申请；接收单元，用于接收所述统一认证平台根据所述用户票据申请发送的用户漫游票据；验证单元，用于验证所述用户漫游票据是否为合法漫游票据；获取单元，用于当所述用户漫游票据为合法漫游票据时，获取已保存在所述统一认证平台中且与所述用户相对应的登陆信息；完成单元，用于使用所述登陆信息完成用户验证。

第四方面，本发明实施例还提供了一种域内设备的用户验证装置，包括：接收单元，用于接收与用户相对应的用户票据申请，所述用户票据申请由所述域内设备在接收到用户的跳转访问请求后发送；确定单元，用于根据所述用户票据申请确定与所述用户对应的用户漫游票据；票据发送单元，用于将所述用户漫游票据发送至所述域内设备；信息发送单元，用于在接收到所述域内设备的登陆信息获取请求后，向所述域内设备发送已保存在统一认证平台中且与所述用户相对应的登陆信息，以使所述域内设备使用所述登陆信息完成用户验证，其中，所述登陆信息获取请求由所述域内设备在判定所述用户漫游票据为合法漫游票据后生成。

本发明实施例中，在接收到用户的跳转访问请求后，向统一认证平台发送与所述用户相对应的用户票据申请；接收所述统一认证平台根据所述用户票据申请发送的用户漫游票据；验证所述用户漫游票据是否为合法漫游票据；当所述用户漫游票据为合法漫游票据时，获取与所述用户相对应且已保存在所述统一认证平台中的登陆信息；使用所述登陆信息完成用户验证。采用本实施例，域内设备在接收到用户的跳转访问请求后，可以在漫游票据合法的情况下，从统一认证平台中获取登陆信息，从而避免用户在跳转访问多个域内设备时，多次向统一认证平台提交登陆信息，降低登陆信息泄露的风险。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，对于本领域普通技术人员而言，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明域内设备的用户验证方法一个实施例的流程示意图；

图2为本发明域内设备的用户验证方法另一个实施例的流程示意图；

图3为本发明域内设备的用户验证装置一个实施例的结构示意图；

图4为本发明域内设备的用户验证装置另一个实施例的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整的描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

在本发明实施例中，票据是指按照规定格式形成的具有认证作用的信息载体，票据所承载的信息及其所承载信息的形式可以按照需要进行设置。

在本发明实施例中，统一认证平台及域内设备可以是服务器等实体设备，也可以是虚拟机等虚拟设备。在同一个安全域系统中，可以有部分设备为实体设备而另一部分为虚拟设备。

参见图1，为本发明域内设备的用户验证方法一个实施例的流程示意图。该实施例所示的方法可以由域内设备执行。如图1所示，该方法可以包括如下步骤：

步骤101，在接收到用户的跳转访问请求后，向统一认证平台发送与所述用户相对应的用户票据申请。

域内设备可以首先接收用户的跳转访问请求，其中，该用户可以是普通用户，也可以是登陆信息已经预先保存在所述统一认证平台中的用户，该跳转访问请求可以由用户通过域内的其他设备发送，也可以由用户通过统一认证平台发送。所述统一认证平台可以是集中资产认证平台或者集中资产认证平台中具有认证功能的组件。跳转访问请求通过域内的其他设备直接发送到该域内设备，可以简化跳转访问请求的处理流程，降低统一认证平台的资源消耗。

在接收到该跳转访问请求后，域内设备可以生成一个用户票据申请。根据安全策略的不同，该用户票据申请的内容也不相同。为便于统一认证平台生成或查找对应的用户漫游票据，该用户票据申请可以包括该用户的用户名；为便于统一认证平台根据预设安全策略进行策略控制，该用户票据申请中还可以包括该跳转访问请求由何处跳转而来等信息。

步骤102，接收所述统一认证平台根据所述用户票据申请发送的用户漫游票据。

统一认证平台可以在符合预定安全策略的情况下，根据用户票据申请向域内设备发送用户漫游票据。其中，所述用户漫游票据可以由统一认证平台预先生成。根据安全策 略及预设票据格式的不同，所述用户漫游票据所包含的内容也可以不相同。

为便于域内设备验证所述用户漫游票据是否为合法漫游票据，避免漫游票据发送错误或用户的跳转访问请求发送错误带来的安全隐患，所述用户漫游票据可以包含至少一组资源指示信息，该资源指示信息用于指示指定资源，所述指定资源可以是域内设备上保存的全部资源，也可以是所述域内设备上保存的部分资源。所述指定资源的形式可以域内设备所存储的数据、域内设备的数据处理资源、域内设备的信号发送资源等。为进一步减少安全隐患，所用户漫游票据中还可以包括所述用户的用户标识、密码、验证信息等其他信息。

步骤103，验证所述用户漫游票据是否为合法漫游票据。

根据所述用户漫游票据内容的不同，域内设备可以采用不同的方式验证所述用户漫游票据的合法性，从而确定所述用户漫游票据是否为合法漫游票据。

在预先已经确定所述用户漫游票据携带资源指示信息时，域内设备可以首先解析出资源指示信息，然后检测自身是否具有所述指定资源。如果域内设备经过检测确定自身具有所述资源指示信息所指示的指定资源，说明所述用户漫游票据为合法漫游票据，即所述跳转访问请求得到了正确的转发，并且转发过程符合预定安全策略。

为进一步提高安全性，防止攻击者利用伪造的用户漫游票据危害系统安全，域内设备在从所述用户漫游票据中解析出资源指示信息之后，还可以向统一认证平台发送用于请求统一认证平台校验所述资源指示信息是否正确的校验请求；并且在接收到统一认证平台发送的所述资源指示信息解析正确的校验结果后，检测域内设备是否具有所述指定资源。具体来说，域内设备可以将解析出来所有资源指示信息通过校验请求发送至所述统一认证平台，或者也可以将资源指示信息的数字摘要通过校验请求发送至所述统一认证平台。

步骤104，当所述用户漫游票据为合法漫游票据时，获取与所述用户相对应且已保存在所述统一认证平台中的登陆信息。

当经过安全验证确认所述用户漫游票据为合法漫游票据时，域内设备可以获取与所述用户相对应且已保存在所述统一认证平台中的登陆信息。具体来说，当域内设备经过安全验证确认所述用户漫游票据为合法漫游票据时，可以生成登陆信息获取请求并将该登陆信息获取请求发送至统一认证平台，该登陆信息获取请求用于请求获取与所述用户相对应且已保存在所述统一认证平台中的登陆信息。当所述统一认证平台具有登陆信息查询接口时，域内设备可以通过该登陆信息查询接口获取所述登陆信息。通过用户漫游 票据的合法性校验过程，可以避免用户漫游票据为伪造票据，或用户漫游票据传输、解析错误造成等造成的安全问题。

步骤105，使用所述登陆信息完成用户验证。

域内设备在获取到所述登陆信息后，使用所述登陆信息完成用户验证。域内设备使用登陆信息完成验证的方式可以参见现有用户验证技术，在此就不再赘述。

在本实施例中，在接收到用户的跳转访问请求后，向统一认证平台发送与所述用户相对应的用户票据申请；接收所述统一认证平台根据所述用户票据申请发送的用户漫游票据；验证所述用户漫游票据是否为合法漫游票据；当所述用户漫游票据为合法漫游票据时，获取与所述用户相对应且已保存在所述统一认证平台中的登陆信息；使用所述登陆信息完成用户验证。采用本实施例，域内设备在接收到用户的跳转访问请求后，可以在漫游票据合法的情况下，从统一认证平台中获取登陆信息，从而避免用户在跳转访问域内的多个设备时，多次向统一认证平台提交登陆信息，降低登陆信息泄露的风险。

参见图2，为本发明域内设备的用户验证方法另一个实施例的流程图。该实施例所示的方法可以由统一认证平台执行。如图2所示，该方法可以包括如下步骤：

步骤201，接收与用户相对应的用户票据申请，所述用户票据申请由所述域内设备在接收到用户的跳转访问请求后发送。

统一认证平台接收用户票据申请，用户票据申请所包含的内容可以参见前述实施例，在此就不再赘述。

步骤202，根据所述用户票据申请确定与所述用户对应的用户漫游票据。

统一认证平台接收到所述用户票据申请后，可以生成与所述用户对应的用户漫游票据，或者也可以从预先已经生成的漫游票据中获取与该用户对应的用户漫游票据。所述用户漫游票据所包含的具体内容可以参见前述实施例，在此就不再赘述。

步骤203，将所述用户漫游票据发送至所述域内设备。

在所述用户漫游票据确定之后，统一认证平台可以将所述用户漫游票据发送至所述域内设备。

步骤204，在接收到所述域内设备的登陆信息获取请求后，向所述域内设备发送已保存在统一认证平台中且与所述用户相对应的登陆信息，以使所述域内设备使用所述登陆信息完成用户验证在，其中，所述登陆信息获取请求由所述域内设备在判定所述用户 漫游票据为合法漫游票据后生成。

域内设备在接收到所述用户漫游票据后，可以验证所述用户漫游票据是否为合法漫游票据。域内设备验证所述用户漫游票据是否为合法漫游票据的具体方式可以参见前述实施例。当域内设备为验证所述用户漫游票据是否为合法漫游票据，而向统一认证平台发送资源指示信息校验请求时，统一认证平台可以根据所述资源指示信息校验请求对所述资源指示信息进行校验得到校验结果；并向所述域内设备发送所述校验结果。

根据校验请求所携带的内容不同，统一认证平台也可以采用不同的方式对所述资源指示信息进行验证。具体来说，当所述校验请求携带有资源指示信息时，统一认证平台可以直接对资源指示信息进行验证；当所述校验请求携带有资源指示信息的数字摘要时，统一认证平台可以将校验请求携带的数字摘要与自身所保存资源指示信息的数字摘要进行比对，从而完成资源指示信息的验证。

当域内设备经过安全验证确认所述用户漫游票据为合法漫游票据时，可以生成登陆信息获取请求并将该登陆信息获取请求发送至统一认证平台，该登陆信息获取请求用于请求获取所述登陆信息。统一认证平台在接收到域内设备的登陆信息获取请求后，可以通过登陆信息查询接口向所述域内设备发送所述登陆信息。

从上述实施例可以看出，接收与用户相对应的用户票据申请，所述用户票据申请由所述域内设备在接收到用户的跳转访问请求后发送；根据所述用户票据申请确定与所述用户对应的用户漫游票据；将所述用户漫游票据发送至所述域内设备；在接收到所述域内设备的登陆信息获取请求后，向所述域内设备发送已保存在统一认证平台中且与所述用户相对应的登陆信息，以使所述域内设备使用所述登陆信息完成用户验证。采用本实施例，统一认证平台可以根据域内设备发送的用户票据申请向所述域内设备发送漫游票据，并在接收到所述域内设备的登陆信息获取请求后，向所述域内设备发送已保存在统一认证平台中且与所述用户相对应的登陆信息。

与本发明域内设备的用户验证方法相对应，本发明还提供了域内设备的用户验证装置。

参见图3，为本发明域内设备的用户验证装置一个实施例的结构示意图。本实施例中的用户验证装置可以设置在域内设备上，用于执行图1所示的用户验证方法。

如图3所示，该用户验证装置包括：申请单元301，接收单元302，验证单元303，获取单元304，完成单元305。

其中，申请单元301，用于在接收到用户的跳转访问请求后，向统一认证平台发送 与所述用户相对应的用户票据申请；接收单元302，用于接收所述统一认证平台根据所述用户票据申请发送的用户漫游票据；验证单元303，用于验证所述用户漫游票据是否为合法漫游票据；获取单元304，用于当所述用户漫游票据为合法漫游票据时，获取已保存在所述统一认证平台中且与所述用户相对应的登陆信息；完成单元305，用于使用所述登陆信息完成用户验证。

可选的，所述接收单元302，还用于接收所述用户通过域内的其他设备发送的跳转访问请求。

可选的，所述验证单元303可以包括：解析子单元，用于从所述用户漫游票据中解析出资源指示信息，所述资源指示信息用于指示用户欲访问的指定资源；检测子单元，用于检测域内设备是否具有所述指定资源；所述获取单元304，具体用于在所述域内设备具有所述指定资源时，获取已保存在所述统一认证平台中且与所述用户相对应的登陆信息。

可选的，所述验证单元303还可以包括：发送子单元，用于向统一认证平台发送用于请求统一认证平台校验所述资源指示信息是否正确的校验请求；所述检测子单元，具体用于在接收到统一认证平台发送的所述资源指示信息解析正确的校验结果后，检测域内设备是否具有所述指定资源。

可选的，所述获取单元304，具体用于通过所述统一认证平台的登陆信息查询接口获取所述登陆信息。

采用本实施例，域内设备在接收到用户的跳转访问请求后，可以在漫游票据合法的情况下，从统一认证平台中获取登陆信息，从而避免用户在跳转访问多个域内设备时，多次向统一认证平台提交登陆信息，降低登陆信息泄露的风险。

参见图4，为本发明域内设备的用户验证装置另一个实施例的结构示意图。本实施例中的用户验证装置可以设置在统一认证平台上，用于执行图2所示的用户验证方法。

如图4所示，该用户验证装置包括：接收单元401，确定单元402，票据发送单元403，信息发送单元404。

其中，接收单元401，用于接收与用户相对应的用户票据申请，所述用户票据申请由所述域内设备在接收到用户的跳转访问请求后发送；确定单元402，用于根据所述用户票据申请确定与所述用户对应的用户漫游票据；票据发送单元403，用于将所述用户漫游票据发送至所述域内设备；信息发送单元404，用于在接收到所述域内设备的登陆信息获取请求后，向所述域内设备发送已保存在统一认证平台中且与所述用户相对应的 登陆信息，以使所述域内设备使用所述登陆信息完成用户验证，其中，所述登陆信息获取请求由所述域内设备在判定所述用户漫游票据为合法漫游票据后生成。

可选的，所述验证装置可以包括验证单元及结果发送单元，所述接收单元401还可以用于接收域内设备发送的资源指示信息校验请求，所述资源指示信息由所述域内设备对所述用户漫游票据解析得出；所述验证单元，用于根据所述指示信息校验请求对所述资源指示信息进行校验，得到校验结果；所述结果发送单元，用于向所述域内设备对发送所述校验结果。

可选的，所述信息发送单元404，具体用于通过登陆信息查询接口向所述域内设备发送所述登陆信息。

采用本实施例，统一认证平台可以根据域内设备发送的用户票据申请向所述域内设备发送漫游票据，并在接收到所述域内设备的登陆信息获取请求后，向所述域内设备发送已保存在统一认证平台中且与所述用户相对应的登陆信息。

本领域的技术人员可以清楚地了解到本发明实施例中的技术可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解，本发明实施例中的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在存储介质中，如ROM/RAM、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。

本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于装置实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

以上所述的本发明实施方式，并不构成对本发明保护范围的限定。任何在本发明的精神和原则之内所作的修改、等同替换和改进等，均应包含在本发明的保护范围之内。