(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111572560.0 (22)申请日 2021.12.21 (71)申请人 航天信息股份有限公司 地址 100195 北京市海淀区杏石口路甲18 号 (72)发明人 赵永宽　 (74)专利代理 机构 北京工信联合知识产权代理 有限公司 1 1266 代理人 刘海蓉 (51)Int.Cl. H04L 9/40(2022.01) H04L 67/02(2022.01) (54)发明名称 一种支持WEB互认证的方法及系统 (57)摘要 本发明公开了一种支持WEB互认证的方法及 系统， 该方法包括： 从多个中央认证服务中选定 预定中央认证服务作为信任桥； 根据所述信任桥 和其他中央认证服务， 确定注册信息； 当用户登 录成功后， 通过回调地址和票据传递的方式同时 实现信任桥的登录， 写入用户cookie信息； 当用 户访问其他中央认 证服务时， 根据用户cookie信 息， 查询所述信任桥的登录情况。 从而实现了多 个CAS中心之间的认 证互信互通。 原理简单易懂， 技术上容易实现； 代码改造量小， 改造成本低； 对 用户友好， 整个过程无感知， 提升用户体验。 权利要求书1页 说明书5页 附图4页 CN 114422187 A 2022.04.29 CN 114422187 A 1.一种支持WEB互认证的方法， 其特 征在于， 包括： 从多个中央认证服 务中选定预定中央认证服 务作为信任桥； 根据所述信任桥和其 他中央认证服 务， 确定注 册信息； 当用户登录成功后， 通过回调地址和票据传递的方式同时实现信任桥的登录， 写入用 户cookie信息； 当用户访问其 他中央认证服 务时， 根据用户co okie信息， 查询所述信任桥的登录情况。 2.根据权利要求1所述的方法， 其特征在于， 根据所述信任桥和其他中央认证服务， 确 定注册信息， 包括： 所述其他中央认证服 务在所述信任桥注 册， 所述信任桥记录注 册信息。 3.根据权利要求1所述的方法， 其特征在于， 当用户登录成功后， 通过回调地址和票据 传递的方式同时实现信任桥的登录， 写入用户co okie信息， 包括： 当用户在特定中央认证服务输入用户名+口令登录成功后， 通过回调地址和票据传递 的方式同时实现信任桥的登录， 写入用户co okie信息。 4.根据权利要求1所述的方法， 其特征在于， 当用户访 问其他中央认证服务时， 根据用 户cookie信息， 查询所述信任桥的登录情况， 包括： 当用户访问其 他中央认证服 务时， 判断用户co okie信息查询所述信任桥是否已登录； 若所述信任桥已登录， 则用户无需再次登录 。 5.一种支持WEB互认证的系统， 其特 征在于， 包括： 选定信任桥模块， 用于从多个中央认证服 务中选定预定中央认证服 务作为信任桥； 确定注册信息模块， 用于根据所述信任桥和其 他中央认证服 务， 确定注 册信息； 写入cookie信息模块， 用于当用户登录成功后， 通过回调地址和票据传递的方式同时 实现信任桥的登录， 写入用户co okie信息； 查询登录情况模块， 用于当用户访问其他中央认证服务时， 根据用户cookie信息， 查询 所述信任桥的登录情况。 6.根据权利要求5所述的系统， 其特 征在于， 确定注 册信息模块， 包括： 确定注册信息子模块， 用于所述其他中央认证服务在所述信任桥注册， 所述信任桥记 录注册信息。 7.根据权利要求5所述的系统， 其特 征在于， 写入co okie信息模块， 包括： 写入cookie信息子模块， 用于当用户在特定中央认证服务输入用户名+口令登录成功 后， 通过回调地址和票据传递的方式同时实现信任桥的登录， 写入用户co okie信息。 8.根据权利要求5所述的系统， 其特 征在于， 查询登录情况模块， 包括： 判断信任桥子模块， 用于当用户访问其他中央认证服务时， 判断用户cookie信息查询 所述信任桥是否已登录； 无需登录 子模块， 用于若所述信任桥已登录， 则用户无需再次登录 。权　利　要　求　书 1/1 页 2 CN 114422187 A 2一种支持WEB互认证的方 法及系统 技术领域 [0001]本发明涉及中央认证服务技术领域， 并且更具体地， 涉及一种支持WEB互认证的方 法及系统。 背景技术 [0002]CAS是Central  Authentication Service的缩写， 即中央认证服务， 是一种独立开 放指令协议。 CAS是耶鲁大学(Yale  University)发起的一个开源项目， 旨在为Web应用系统 提供一种可靠的单点登录方法。 从结构上看， CAS包含两个部分： CAS  Server和CAS  Client (即使用CAS  Server的业务应用系统)。 CAS  Server需要独立部署， CAS  Server负责完成对 用户的认证工作， 会为用户签发两个重要的票据： 登录票据(TGT)和服务票据(ST)来 实现认 证过程,CAS  Server需要独立部署。 CAS  Client负责处理对客户端受保护资源的访问请求， 需要对请求方进行身份认证时， 重定向到CAS  Server进行认证。 对于访问受保护资源的每 个Web请求， CAS  Client会分析该请求的Http请求中是否包含ServiceTicket(服务票据， 由 CAS Server发出用于标识目标服务)。 CAS  Client与受保护的客户端应用部署在一起， 需要 登录时， 重 定向到CAS Server。 [0003]CAS的核心是其Ticket以及在Ticket之上的一系列操作。 CAS 的主要票据有TGT、 TGC、 ST。 TGT(Ticket Grangting  Ticket)是CAS为用户签发的登录票据， 拥有了TGT， 用户就 可以证明自己在CAS成功登录过， TGT存放在CAS  Serve端； TGC(Ticket ‑granting  cookie) 是以Cookie形式放到浏览器端， 与CAS  Server端TGT 一一对应， 是CAS  Server用来明确用户 身份的凭证。 ST(ServiceT icket)是CAS为用户签发的访问某一服务票据。 用户访问service 时， service发现用户没有ST， 则要求用户去CAS获取ST。 用户向CAS发出获取ST的请求， 如果 用户的请求中包含cookie， 则CAS 会以此cookie值为key查询缓存中有无TGT， 如果存在TGT， 则用此TGT签发一个ST， 返回给用户。 用户凭借ST去访问service， service拿ST去CAS验证， 验证通过后， 允许用户访问资源。 [0004]实际应用时， 会遇到这样的场景： a、 有一个国家认证中心、 各省市有自己的认证中 心； b、 这些认证中心彼此是独立的； c、 需要一种方法实现认证互通， 即在某 一个认证中心登 录认证后， 其它认证中心也承认其登录信息， 不用再次登录认证。 [0005]现有的通用的CAS认证中心方案 显然不能满足上述应用场景。 发明内容 [0006]根据本发明， 提供了一种支持WEB互认证的方法及系统， 以解决现有技术中存在的 通用的CAS认证中心方案 显然不能满足上述应用场景的技 术问题。 [0007]根据本发明的第一个方面， 提供了一种支持WEB互认证的方法， 包括： [0008]从多个中央认证服 务中选定预定中央认证服 务作为信任桥； [0009]根据所述信任桥和其 他中央认证服 务， 确定注 册信息； [0010]当用户登录成功后， 通过回调地址和票据传递的方式同时实现信任桥的登录， 写说　明　书 1/5 页 3 CN 114422187 A 3