(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN113612770A(43)申请公布日2021.11.05(21)申请号202110880949.5(22)申请日2021.08.02(71)申请人中国科学院深圳先进技术研究院地址518055广东省深圳市南山区深圳大学城学苑大道1068号(72)发明人戴思佳宁立张涌(74)专利代理机构深圳市科进知识产权代理事务所(普通合伙)44316代理人魏毅宏(51)Int.Cl.H04L29/06(2006.01)H04L9/32(2006.01)权利要求书2页说明书7页附图4页(54)发明名称一种跨域安全交互方法、系统、终端以及存储介质(57)摘要本申请涉及一种跨域安全交互方法、系统、终端以及存储介质。所述方法包括：构建第三方代理认证中心，通过所述第三方代理认证中心向支持跨域访问的系统签发数字证书，并向所述系统下的设备签发背书凭证；通过所述第三方代理认证中心利用属性映射方法生成源域内请求访问的系统的属性证书，所述请求访问的系统利用属性证书向目标域内被请求访问的系统发送访问请求；通过所述第三方代理认证中心根据访问请求和属性证书对请求访问的系统进行身份验证，如果验证通过，建立所述源域内请求访问的系统与目标域内被请求访问的系统的跨域安全交互。本申请实施例实现了异构系统之间一对多的跨域身份验证，提高了访问效率和跨域访问控制的安全性。CN113612770ACN113612770A权利要求书1/2页1.一种跨域安全交互方法，其特征在于，包括：构建第三方代理认证中心，通过所述第三方代理认证中心向支持跨域访问的系统签发数字证书，并向所述系统下的设备签发背书凭证；通过所述第三方代理认证中心利用属性映射方法生成源域内请求访问的系统的属性证书，所述请求访问的系统利用属性证书向目标域内被请求访问的系统发送访问请求；所述访问请求中包括背书凭证；通过所述第三方代理认证中心根据访问请求和属性证书对请求访问的系统进行身份验证，如果验证通过，建立所述源域内请求访问的系统与目标域内被请求访问的系统的跨域安全交互。2.根据权利要求1所述的跨域安全交互方法，其特征在于，所述向支持跨域访问的系统签发数字证书，并向所述系统下的设备签发背书凭证具体为：识别请求接入所述第三方代理认证中心的系统信息，向支持跨域访问的系统签发数字证书；接收所述系统下的设备发送的注册请求，并对所述注册请求进行解析后，根据所述系统的认证方式向所述设备签发背书凭证。3.根据权利要求2所述的跨域安全交互方法，其特征在于，所述向设备签发背书凭证具体包括：解析所述设备的注册请求，验证设备的用户身份信息以及注册请求是否合法，如何合法，查询所述设备期待访问的目标域信息，并生成一对密钥，根据所述密钥和用户身份信息生成背书凭证；使用所述数字证书中的密钥对背书凭证进行数字签名；将所述背书凭证、数字签名以及私钥签发给设备，并将所述背书凭证签发记录写入到第三方代理认证中心；所述背书凭证中包括设备的唯一身份标识、凭证出具系统的标识、凭证出具系统的名称、凭证出具系统的认证方式、设备认证结果、凭证有效时间以及时间戳、数字签名、期待访问的目标域系统标识、目标域内被请求访问的系统支持的属性操作以及与设备加密通信的密钥。4.根据权利要求1至3任一项所述的跨域安全交互方法，其特征在于，所述属性证书中包括设备的身份信息、密钥信息，唯一的证书序列号、证书的有效使用期限、属性信息、使用域、签发单位、签发单位的公钥信息以及证书类型；所述访问请求中包括设备的唯一身份标识、请求访问的内容、请求支持的操作、请求访问的有效期和时间戳以及背书凭证。5.根据权利要求4所述的跨域安全交互方法，其特征在于，所述通过第三方代理认证中心利用属性映射方法生成源域内请求访问的系统的属性证书具体包括：构造属性表存储模块，所述属性表存储模块用于存储域与域之间的属性转换关系；构造属性映射表，所述属性映射表用于记录源域和目标域的所有属性，以及属性间的相互映射关系；在属性映射服务模块构造缓冲区，通过所述缓冲区存储常用域间的属性映射表；利用所述属性映射表对属性证书进行属性映射，如果属性映射表对应可完全映射，则2CN113612770A权利要求书2/2页代表支持跨域访问以及同步修改操作；如果属性映射表对应不能映射，则代表不能进行跨域访问；如果属性映射表部分映射，则代表可进行跨域访问但不能进行修改操作。6.根据权利要求5所述的跨域安全交互方法，其特征在于，所述通过所述第三方代理认证中心根据访问请求和属性证书对请求访问的系统进行身份验证还包括：通过所述目标域内被请求访问的系统对所述访问请求和属性证书进行解析；所述解析过程包括：对所述访问请求进行解析，查看所述访问请求的时间戳和请求内容；通过所述第三方代理认证中心查