(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210642446.9 (22)申请日 2022.06.08 (71)申请人 西安工业大 学 地址 710032 陕西省西安市金花北路4 号 (72)发明人 杜志强　张文东　傅妍芳　马益帆　 曹子建　黄牧鸿　李郓梁　刘亮鑫　 张嘉恒　 (74)专利代理 机构 西安嘉思特知识产权代理事 务所(普通 合伙) 6123 0 专利代理师 万艳艳 (51)Int.Cl. H04L 9/32(2006.01) H04L 9/40(2022.01) (54)发明名称 一种跨域身份认证票据转换方法 (57)摘要 本发明实施例提供的一种跨域身份认证票 据转换方法， 应用于至少两个域的认证系统， 接 收第一域中用户的注册信息并向用户发送注册 成功的信息； 第一域中的认证服务器， 用于用户 发送的根据验证请求对用户进行验证生成票据 反馈给用户； 第二域中的应用服务器， 用于第一 域中用户携带票据发送的访问请求进行解签名； 在第一域为可信域的情况下， 对 该解签名按照约 定的验证访问转换规则进行验证转换， 以使用户 访问第二域的资源。 本发明当其他域收到该域的 角色访问请求时， 不需要再次返回该域中进行身 份验证， 直接在他自身域中进行角色身份验证， 从而减少了交互的时间； 此外， 还能够提供跨域 角色映射， 为跨域用户直接赋予在新域中的角 色， 提高用户访问效率。 权利要求书2页 说明书9页 附图2页 CN 115118431 A 2022.09.27 CN 115118431 A 1.一种跨域身份认证票据转换方法， 应用于至少两个域的认证系统， 每个域的认证系 统包括应用服 务器以及认证服 务器， 其特 征在于， 所跨 域身份认证票据转换 方法包括： 第一域中的应用服务器， 用于接收第一域中用户的注册信息， 并向用户发送注册成功 的信息； 第一域中的认证服务器， 用于接收用户在注册成功后发送的验证请求， 并根据验证请 求对用户进行验证， 生成票据反馈给用户； 第二域中的应用服务器， 用于接收第一域中用户携带票据发送的访 问请求， 并将访 问 请求转发至第二 域的认证服 务器； 第二域中的认证服务器， 用于对所述访 问请求中的票据进行解签名， 在第一域为可信 域的情况下， 对该解签名按照第一域与第二域中约定的验证访问转换规则进行验证转换， 以使用户根据验证结果访问第二 域的资源。 2.根据权利要求1所述的跨域身份认证票据转换方法， 其特征在于， 所述注册成功的信 息包括用户在第一 域中的对内角色以及对内角色相应的权限。 3.根据权利要求2所述的跨域身份认证票据转换方法， 其特征在于， 所述第 一域中的认 证服务器， 用于接收用户在注册成功后发送的验证请求， 并根据验证请求对用户进 行验证， 生成票据反馈给用户包括： 第一域中的认证服务器， 用于接收用户在注册成功后发送包含身份信 息以及注册成功 的信息的验证请求； 根据验证请求对用户进 行验证以及确定该用户对内角色对应的对外角 色， 将对外角色以及身份信息进行加密作为 票据反馈给用户。 4.根据权利要求3所述的一种跨域身份认证票据转换方法， 其特征在于， 第 一域中的认 证服务器， 用于将验证结果通过RSA或者ECC私钥加密将验证结果中第一域的对内角色转换 为对外角色。 5.根据权利要求3所述的跨域身份认证票据转换方法， 其特征在于， 所述验证访问转换 规则包括每个域中的验证服务器验证其他域票据所使用的为其他域私钥对应的公钥， 以及 每个域的对内角色域与其 他域的对内角色之间的对应关系。 6.根据权利要求5所述的跨域身份认证票据转换方法， 其特征在于， 所述第 二域中的认 证服务器， 用于对所述访问请求中的票据进 行解签名， 在第一域为可信域的情况下， 对该解 签名按照第一域与第二域中约定的验证访问转换规则进行验证转换， 以使用户根据验证结 果访问第二 域的资源 包括： 第二域中的认证服务器， 用于对所述访问请求中的票据以公钥的形式解签名以确 认该 票据发送的域， 并判断该票据来源的第一域是否为可信域， 如果是， 则确认发送该票据的用 户是否存在不良记录； 如果发送该票据的用户不存在不良记录， 则判断该用户票据中的对 外角色是否为第一域对外发布的角色； 如果是对外分布的角色， 则根据该用户票据中的对 外角色确定用户在第二域的对外角色； 根据用户在第二域的对外角色确定该用户在第二域 的对内角色， 并分配给 该用户； 生成验证成功结果的发送给第二 域的应用服 务器； 第二域的应用服务器， 将验证成功结果发送至发送给发送票据的用户， 以使该用户按 照第二域分配的对内角色访问第二 域中相应权限的资源。 7.根据权利要求6所述的跨域身份认证票据转换方法， 其特征在于， 在所述判断该票据 来源的第一 域是否为可信域之后， 所述 跨域身份认证票据转换 方法还包括：权　利　要　求　书 1/2 页 2 CN 115118431 A 2如果该票据来源的第 一域不是可信域， 则发送验证失败的结果通过应用服务器反馈给 发送票据的用户。 8.根据权利要求6所述的跨域身份认证票据转换方法， 其特征在于， 所述确 认发送该票 据的用户是否存在不良记录包括： 查询第二域的黑名单， 以确定发送票据的用户的身份信息是否存在， 如果存在则确定 发送票据的用户在第二 域中存在不良记录； 如果不存在， 则确认发送票据的用户在第二 域中不存在不良记录； 如果发送该票据的用户在第 二域中存在不良记录， 则发送验证失败的结果通过应用服 务器反馈给发送票据的用户。 9.根据权利要求6所述的跨域身份认证票据转换方法， 其特征在于， 在所述判断该用户 票据中的对外角色是否为第一域对外发布的角色之前， 所述跨域身份认证票据转换方法还 包括： 在第二域中查找是否存在发送从第二域发送票据的用户身份信息， 如果存在， 则判断 该用户票据中的对外角色是否为第一 域对外发布的角色； 如果不存在， 将该用户发送票据中携带的身份信息存储在第二域中， 以便下一次进行 认证。 10.根据权利要求6所述的跨域身份认证票据转换方法， 其特征在于， 在所述判断该用 户票据中的对外角色是否为第一域对外发布的角色之后， 所述跨域身份认证票据转换方法 还包括： 如果该用户票据中的对外角色不为第 一域对外发布的角色， 则发送验证失败的结果通 过应用服 务器反馈给发送票据的用户。权　利　要　求　书 2/2 页 3 CN 115118431 A 3