(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210039368.3 (22)申请日 2022.01.13 (71)申请人 中国科学院信息 工程研究所 地址 100093 北京市海淀区闵庄路甲89号 (72)发明人 刘成业　毛锐　王妍　杨海天　 (74)专利代理 机构 北京路浩知识产权代理有限 公司 11002 专利代理师 谭云 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/32(2006.01) (54)发明名称 跨域单点登录方法及装置 (57)摘要 本发明提供一种跨域单点登录方法及 装置， 方法包括： 接收用户端所在第一安全域跨域发起 的单点登录访问请求； 基于自动信任协商机制与 第一安全域 建立信任关系； 基于单点登录访问请 求向用户端发起授权请求， 接收用户端基于授权 请求向身份提供方申请的授权码； 利用授权码向 身份提供方 发送访问令牌申请请求， 接收身份提 供方基于访问令牌申请请求返回的访问令牌； 利 用访问令牌向身份提供方申请第一安全域用户 端的用户身份信息， 并接收身份提供方返回的用 户身份信息； 基于身份信息完成单点登录。 本发 明通过自动信任协商机制逐步建立信任关系， 有 效避免风险集中和单次暴露较多隐私信息， 从而 有效提升安全域内的自治性和隐私性。 权利要求书2页 说明书11页 附图4页 CN 114553480 A 2022.05.27 CN 114553480 A 1.一种跨 域单点登录方法， 其特 征在于， 包括： 接收用户端所在第一 安全域跨域发起的单点登录访问请求； 基于自动信任协商机制与所述第一 安全域建立信任关系； 基于所述单点登录访问请求向所述用户端发起授权请求， 接收所述用户端基于所述授 权请求向身份提供 方申请的授权码； 利用所述授权码向所述身份提供方发送访问令牌申请请求， 接收所述身份提供方基于 所述访问令牌申请 请求返回的访问令牌； 利用所述访问令牌向所述身份提供方申请所述第 一安全域用户端的用户身份信 息， 并 接收所述身份提供 方返回的用户身份信息； 基于所述身份信息 完成单点登录 。 2.根据权利要求1所述的跨域单点登录方法， 其特征在于， 所述基于自动信任协商机制 与所述第一 安全域建立信任关系， 包括： 接收所述第一安全域发起的信任关系建立请求， 其中， 所述信任关系建立请求是所述 第一安全域基于自动信任协商机制检查存在历史信任凭证后生成的； 根据所述信任关系建立请求对所述历史信任凭证进行凭证校验， 且基于所述校验成 功， 生成信任关系； 基于所述信任关系生成信任凭证， 并将所述信任关系发送至所述第 一安全域生成信任 凭证， 以与所述第一 安全域建立信任关系。 3.根据权利要求2所述的跨域单点登录方法， 其特征在于， 所述根据所述信任关系建立 请求对所述历史信任凭证进行 校验， 还包括： 基于所述校验失败， 根据访 问控制策略， 向所述第一安全域发送第一属性证书出示请 求； 接收所述第一安全域基于所述第一属性证书出示请求返回的属性证书， 其中， 所述属 性证书是 所述第一 安全域基于所述第一属性证书出示请求 查找、 且通过证书验证得到的。 4.根据权利要求3所述的跨域单点登录方法， 其特征在于， 在所述向所述第 一安全域发 送第一属性证书出示请求之后， 还 包括： 接收所述第 一安全域基于所述第 一属性证书出示请求返回的第 二属性证书出示请求， 其中， 所述第二属性证书 出示请求是所述第一安全域基于所述第一属性证书 出示请求对属 性证书进行证书校验、 且未通过 所述证书校验后基于所述访问控制策略生成的； 基于所述第 二属性证书出示请求， 查找相应证书， 并判断其是否为空或非敏感证书， 若 是， 则直接出示； 否则， 重新向所述第一 安全域发送所述第一属性证书出示请求。 5.根据权利要求2所述的跨域单点登录方法， 其特征在于， 在所述接收所述第 一安全域 基于存储有历史信任凭证发起的信任关系建立请求之前， 包括： 所述第一 安全域向限流组件申请令牌， 并接收所述限流组件发挥的令牌； 所述第一 安全域基于所述令牌 跨域发起信任关系建立请求。 6.根据权利要求1所述的跨域单点登录方法， 其特征在于， 所述方法， 还包括： 基于加解 密组件， 对与所述第一 安全域之间的交 互信息进行加解密。 7.一种跨 域单点登录装置， 其特 征在于， 包括： 请求接收模块， 接收用户端所在第一 安全域跨域发起的单点登录访问请求；权　利　要　求　书 1/2 页 2 CN 114553480 A 2信任建立模块， 基于自动信任协商机制与所述第一 安全域建立信任关系； 授权码获取模块， 基于所述单点登录访 问请求向所述用户端发起授权请求， 接收所述 用户端基于所述授权请求向身份提供 方申请的授权码； 访问令牌获取模块， 利用所述授权码向所述身份提供方发送访 问令牌申请请求， 接收 所述身份提供 方基于所述访问令牌申请 请求返回的访问令牌； 身份信息获取模块， 利用所述访问令牌向所述身份提供方申请所述第 一安全域用户端 的用户身份信息， 并接收所述身份提供 方返回的用户身份信息； 单点登录模块， 基于所述身份信息 完成单点登录 。 8.一种电子设备， 包括存储器、 处理器及存储在所述存储器上并可在所述处理器上运 行的计算机程序， 其特征在于， 所述处理器执行所述程序时实现如权利要求1至6任一项所 述跨域单点登录方法的步骤。 9.一种非暂态计算机可读存储介质， 其上存储有计算机程序， 其特征在于， 所述计算机 程序被处 理器执行时实现如权利要求1至 6任一项所述 跨域单点登录方法的步骤。 10.一种计算机程序产品， 包括计算机程序， 其特征在于， 所述计算机程序被处理器执 行时实现如权利要求1至 6任一项所述 跨域单点登录方法的步骤。权　利　要　求　书 2/2 页 3 CN 114553480 A 3