一种单点登录方法及装置、存储介质及电子设备与流程

1.本发明涉及数据处理技术领域，特别涉及一种单点登录方法及装置、存储介质及电子设备。


背景技术：

2.各大集团和企业的内部，为了便于对用户进行管理和维护，通常采用单点登录的集成身份管理技术，对集团内容的业务系统的用户身份进行统一管理，用户在单点登录后即可使用集团或是企业内部的所有系统。
3.目前的单点登录方法在应用的过程中，通常存在弱口令等安全威胁，导致登录过程中用户的数据有泄露的风险。


技术实现要素：

4.有鉴于此，本发明提供一种单点登录方法及装置、存储介质及电子设备，本发明可以对客户端提供的登录认证数据中的风险数据进行处理，并对会话信道进行加固，从而提高单点登录的防御力，避免用户的数据泄露。
5.为实现上述目的，本发明实施例提供如下技术方案：
6.一种单点登录方法，包括：
7.当客户端发起单点登录请求时，获取与所述单点登录请求对应的登录认证数据；
8.识别所述登录认证数据中的风险数据；
9.使用预设的混淆加固方法对所述登录认证数据中的风险数据进行处理，得到与所述登录认证数据对应的安全认证数据；
10.对与预设的认证协议对应的会话信道进行加固，得到安全信道；
11.通过所述安全信道将所述安全认证数据传输至与所述单点登录请求对应的数据系统，使得所述数据系统应用所述安全认证数据对所述客户端进行身份认证，并在所述客户端的身份通过认证时，完成所述客户端在所述数据系统的单点登录。
12.上述的方法，可选的，所述识别所述登录认证数据中的风险数据，包括：
13.识别所述登录认证数据中的弱口令和敏感路径；
14.将所述弱口令和敏感路径确定为所述登录认证数据中的风险数据。
15.上述的方法，可选的，所述混淆加固方法包括js混淆加固方法。
16.上述的方法，可选的，所述对与预设的认证协议对应的会话信道进行加固，得到安全信道，包括：
17.使用canny算子识别所述会话信道的边缘薄弱数据；
18.使用所述混淆加固方法对所述边缘薄弱数据进行处理，得到安全信道。
19.上述的方法，可选的，所述数据系统应用所述安全认证数据对所述客户端进行身份认证，包括：
20.所述数据系统中的域控制器对所述安全认证数据进行解析，获取所述安全认证数
据中的认证信息；
21.确定与所述客户端对应的身份信息；
22.判断所述认证信息和所述身份信息是否一致；
23.当所述认证信息和所述身份信息一致时，确定所述客户端的身份通过认证；
24.当所述认证信息和所述身份信息不一致时，确定所述客户端的身份未通过认证。
25.一种单点登录装置，包括：
26.获取单元，用于当客户端发起单点登录请求时，获取与所述单点登录请求对应的登录认证数据；
27.识别单元，用于识别所述登录认证数据中的风险数据；
28.处理单元，用于使用预设的混淆加固方法对所述登录认证数据中的风险数据进行处理，得到与所述登录认证数据对应的安全认证数据；
29.加固单元，用于对与预设的认证协议对应的会话信道进行加固，得到安全信道；
30.传输单元，用于通过所述安全信道将所述安全认证数据传输至与所述单点登录请求对应的数据系统，使得所述数据系统应用所述安全认证数据对所述客户端进行身份认证，并在所述客户端的身份通过认证时，完成所述客户端在所述数据系统的单点登录。
31.上述的装置，可选的，所述识别单元，包括：
32.第一识别子单元，用于识别所述登录认证数据中的弱口令和敏感路径；
33.第一确定子单元，用于将所述弱口令和敏感路径确定为所述登录认证数据中的风险数据。
34.上述的装置，可选的，所述混淆加固方法包括js混淆加固方法。
35.上述的装置，可选的，所述加固单元，包括：
36.第二识别子单元，用于使用canny算子识别所述会话信道的边缘薄弱数据；
37.处理子单元，用于使用所述混淆加固方法对所述边缘薄弱数据进行处理，得到安全信道。
38.上述的装置，可选的，所述传输单元，包括：
39.解析子单元，用于所述数据系统中的域控制器对所述安全认证数据进行解析，获取所述安全认证数据中的认证信息；
40.第二确定子单元，用于确定与所述客户端对应的身份信息；
41.判断子单元，用于判断所述认证信息和所述身份信息是否一致；
42.第三确定子单元，用于当所述认证信息和所述身份信息一致时，确定所述客户端的身份通过认证；
43.第四确定子单元，用于当所述认证信息和所述身份信息不一致时，确定所述客户端的身份未通过认证。
44.一种存储介质，所述存储介质包括存储的指令，其中，在所述执行运行时控制所述存储介质所在的设备执行如上所述的单点登录方法。
45.一种电子设备，包括存储器，以及一个或者一个以上的指令，其中一个或者一个以上指令存储于存储器中，且经配置以由一个或者一个以上处理器执行如上所述的单点登录方法。
46.与现有技术相比，本发明具有以下优点：
47.本发明提供一种单点登录方法及装置、存储介质及电子设备，包括：获取与客户端发起的单点登录请求对应的登录认证数据；使用预设的混淆加固方法对登录认证数据中的风险数据进行处理，得到与登录认证数据对应的安全认证数据；对与预设的认证协议对应的会话信道进行加固，得到安全信道；通过安全信道将安全认证数据传输至与单点登录请求对应的数据系统，使得数据系统应用安全认证数据对客户端进行身份认证，并在客户端的身份通过认证时，完成客户端在所述数据系统的单点登录。本发明通过对登录认证数据中的风险数据进行处理，从而得到安全系数更高的安全认证数据，再对会话信道进行加固，从而得到难以被攻破的安全信道，由此，有效提高了单点登录的安全性，提高单点登录的防御力，有效避免被攻破，防止用户的数据泄露。
附图说明
48.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。
49.图1为本发明实施例提供的一种单点登录方法的方法流程图；
50.图2为本发明实施例提供的识别登录认证数据中的风险数据的方法流程图；
51.图3为本发明实施例提供的对于预设的认证协议对应的会话通信进行加固，得到安全信道的方法流程图；
52.图4为本发明实施例提供的数据系统应用安全认证数据对客户端机型身份认证的方法流程图；
53.图5为本发明实施例提供的一种单点登录装置的结构示意图；
54.图6为本发明实施例提供的一种电子设备的结构示意图。
具体实施方式
55.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
56.在本技术中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
57.目前大型集团企业的内部，为了便于对用户进行管理维护，通常采用单点登录的集成身份管理技术，对集团内部的业务系统用户身份进行统一管理。在windows平台上目前常用的单点登录协议，单点登录协议具体如：ntlm (nt lan manager，问询/应答身份验证协议)、kerberos等。kerberos作为一种广发应用的具备加密功能的协议，已广泛采用，但也面临一些越发凸显的安全威胁，导致目前应用的单点登录协议容易被攻破，导致用户登录
所使用的数据有泄露的风险。
58.现有的单点登录方法，无法在bs架构端，实现对用户的密码拼接、跨路径访问的安全监测加固检查，内部用户会存在无意间设置弱口令，跨目录访问敏感未授信信息等违规操作，导致用户的数据容易泄露。应用本发明提供的方法，对弱口令、敏感目录地址等，使用js混淆加固方法进行加固，然后在 kerberos协议认证中，通过对信道数据的canny算子识别，发现潜在的安全隐患点，并对隐患点进行二次加固后，再使用kerberos协议进行身份认证，从而提供安全性更高的单点登录过程，防止用户的数据泄露。
59.本发明可用于众多通用或专用的计算装置环境或配置中。例如：个人计算机、服务器计算机、手持设备或便携式设备、平板型设备、多处理器装置、包括以上任何装置或设备的分布式计算环境等等，本发明可以应用在测试系统中。本发明实施例提供的方法可以应用于使用单点登录协议的平台，该平台中包含用户使用的客户端以及多个数据系统，优选的，当用户登录其中一个数据系统时，用户即可登录该平台的所有数据系统。
60.参照图1，为本发明实施例提供的一种单点登录方法的方法流程图，具体说明如下所述。
61.s101、当客户端发起单点登录请求时，获取与单点登录请求对应的登录认证数据。
62.当用户有登录需求时，使用客户端发起单点登录请求，此时需要对单点登录请求进行解析，进而获取单点登录请求中的登录认证数据。
63.优选的，登录认证数据中包含用户的登录账号、该登录账号的密码等信息、请求登录所使用的路径等信息。
64.s102、识别登录认证数据中的风险数据。
65.由于有时候用户会存在一些违规、存在风险的操作，这容易导致别人使用这些风险进行攻击，也因为这些风险增大了攻击成功的概率。因此，需要从登录认证数据中识别出这些风险数据。
66.参照图2，为本发明实施例提供的识别登录认证数据中的风险数据的方法流程图，具体说明如下所述。
67.s201、识别登录认证数据中的弱口令和敏感路径。
68.s202、将弱口令和敏感路径确定为登录认证数据中的风险数据。
69.需要说明的是，可以使用字典监测的方法识别登录认证数据中的弱口令和敏感路径，需要说明的是，弱口令可以为满足预设规则的密码，示例性的，密码的长度太短、密码为纯数字、密码为纯字母时，均可以将该密码确定为弱口令，进一步的，弱口令还可以是安全等级未达到预设等级的密码，对密码的安全等级进行评估可以从密码的字符数、密码中的字符类型数进行评估，优选的，不同的字符数区间有不同的安全等级，例如字符数区间[6，9]的安全等级为1，字符数区间[10，15]的安全等级为2，字符数区间[16，20]的安全等级为3；不同的字符类型数有不同的安全等级，例如字符类型数为1时的安全等级为1，字符类型数为2时的安全等级为3，字符类型数为3时的安全等级为5；最后根据密码的字符数确定的安全等级以及根据密码的字符类型数确定的安全等级相加，即可得到密码的安全等级。
[0070]
优选的，敏感路径可以为用户通过存在风险的网站发送登录请求的地址。
[0071]
s103、使用预设的混淆加固方法对登录认证数据中的风险数据进行处理，得到与登录认证数据对应的安全认证数据。
[0072]
需要说明的是，预设的混淆加固方法可以是js混淆加固方法，通过使用混淆加固方法对登录认证数据中的风险数据进行处理，以便对登录认证数据进行强化保护，进而得到安全认证数据。
[0073]
s104、对与预设的认证协议对应的会话信道进行加固，得到安全信道。
[0074]
参照图3，为本发明实施例提供的对于预设的认证协议对应的会话通信进行加固，得到安全信道的方法流程图，具体说明如下所述。
[0075]
s301、使用canny算子识别会话信道的边缘薄弱数据。
[0076]
使用canny算子对会话信道的信道数据进行分析，从而可以得到会话信道的边缘薄弱点的数据，这类数据即为边缘薄弱数据。
[0077]
s302、使用混淆加固方法对边缘薄弱数据进行处理，得到安全信道。
[0078]
优选的，此处的混淆加固方法为js混淆加固方法，通过使用混淆加固方法对边缘薄弱数据进行处理从而对会话信道进行加固，从而可以得到安全信道。
[0079]
本发明通过对信道和客户端提供的数据进行双重加固，从而可以有效的防御攻击，提高防御力，保证认证的安全。
[0080]
s105、通过安全信道将所述安全认证数据传输至与单点登录请求对应的数据系统，使得数据系统应用安全认证数据对客户端进行身份认证，并在客户端的身份通过认证时，完成客户端在数据系统的单点登录。
[0081]
本发明实施例提供的方法中，当客户端发起单点登录请求时，获取与单点登录请求对应的登录认证数据；识别登录认证数据中的风险数据；使用预设的混淆加固方法对登录认证数据中的风险数据进行处理，得到与登录认证数据对应的安全认证数据；对与预设的认证协议对应的会话信道进行加固，得到安全信道；通过安全信道将安全认证数据传输至与单点登录请求对应的数据系统，使得数据系统应用安全认证数据对客户端进行身份认证，并在客户端的身份通过认证时，完成客户端在所述数据系统的单点登录。本发明通过对登录认证数据中的风险数据进行处理，从而得到安全系数更高的安全认证数据，再对会话信道进行加固，从而得到难以被攻破的安全信道，由此，有效提高了单点登录的安全性，提高单点登录对攻击的防御力，有效避免被攻破，防止用户的数据泄露。
[0082]
参照图4，为本发明实施例提供的数据系统应用安全认证数据对客户端机型身份认证的方法流程图，具体说明如下所述。
[0083]
s401、数据系统中的域控制器对安全认证数据进行解析，获取安全认证数据中的认证信息。
[0084]
优选的，数据系统中存在域控制器，域控制器中包含多个用户的身份信息，身份信息均为用户预留的信息。
[0085]
使用域控制器对安全认证数据进行解析，从而获取安全认证数据中的认证信息。
[0086]
s402、确定与客户端对应的身份信息。
[0087]
域控制器在各个身份信息中确定与客户端对应的身份信息，优选的，可以根据客户端的标识进行确定。
[0088]
s403、判断认证信息和身份信息是否一致；当认证信息和身份信息一致时，执行s404；当认证信息和身份信息不一致时，执行s405。
[0089]
将认证信息和身份信息进行对比，从而判断认证信息和身份信息是否一致。
[0090]
s404、确定客户端的身份通过认证。
[0091]
s405、确定客户端的身份未通过认证。
[0092]
本发明对客户端的身份进行认证，在客户端的身份通过认证后，可以确定客户端登录了数据系统，由此，客户端可以访问该数据系统，以及访问与该数据系统属于同一平台的其他系统的数据。
[0093]
本发明实施例提供的方法中，通过字典库比对和canny算子边缘识别监测，对薄弱数据和会话信道使用js混淆加固，从而大大提高了kerberos认证流程的安全性。具体如：当用户端发起单点登录认证时，使用字典监测方法，识别弱口令和敏感路径，然后对其使用js混淆加固方法，对数据进行强化保护；在 kerberos协议信道传输中，使用canny算子识别分析信道数据的边缘薄弱点，然后再次使用js混淆加固方法，增强会话安全性；继续经过kerberos协议完成域控的用户身份认证，该单点认证流程可以应该用于对kerberos协议的单点登录系统，基于对bs架构的访问方式，综合使用字典库、canny边缘监测识别等方法，发掘弱口令和数据会话，再使用js混淆加固方法对其进行保护，确保全流程身份认证信息的安全性。
[0094]
与图1相对应的，本发明实施例还提供一种单点登录装置，该装置用于支持图1所示的方法的具体实现，优选的，该装置可以配置于使用单点登录协议的平台。
[0095]
参照图5，为本发明实施例提供的一种单点登录装置的结构示意图，具体说明如下所述。
[0096]
获取单元501，用于当客户端发起单点登录请求时，获取与所述单点登录请求对应的登录认证数据；
[0097]
识别单元502，用于识别所述登录认证数据中的风险数据；
[0098]
处理单元503，用于使用预设的混淆加固方法对所述登录认证数据中的风险数据进行处理，得到与所述登录认证数据对应的安全认证数据；
[0099]
加固单元504，用于对与预设的认证协议对应的会话信道进行加固，得到安全信道；
[0100]
传输单元505，用于通过所述安全信道将所述安全认证数据传输至与所述单点登录请求对应的数据系统，使得所述数据系统应用所述安全认证数据对所述客户端进行身份认证，并在所述客户端的身份通过认证时，完成所述客户端在所述数据系统的单点登录。
[0101]
本发明实施例提供的装置中，当客户端发起单点登录请求时，获取与单点登录请求对应的登录认证数据；识别登录认证数据中的风险数据；使用预设的混淆加固方法对登录认证数据中的风险数据进行处理，得到与登录认证数据对应的安全认证数据；对与预设的认证协议对应的会话信道进行加固，得到安全信道；通过安全信道将安全认证数据传输至与单点登录请求对应的数据系统，使得数据系统应用安全认证数据对客户端进行身份认证，并在客户端的身份通过认证时，完成客户端在所述数据系统的单点登录。本发明通过对登录认证数据中的风险数据进行处理，从而得到安全系数更高的安全认证数据，再对会话信道进行加固，从而得到难以被攻破的安全信道，由此，有效提高了单点登录的安全性，提高单点登录对攻击的防御力，有效避免被攻破，防止用户的数据泄露。
[0102]
本发明实施例提供的另一装置中，该装置的识别单元502，包括：
[0103]
第一识别子单元，用于识别所述登录认证数据中的弱口令和敏感路径；
[0104]
第一确定子单元，用于将所述弱口令和敏感路径确定为所述登录认证数据中的风险数据。
[0105]
本发明实施例提供的另一装置中，该装置的所述混淆加固方法包括js混淆加固方法。
[0106]
本发明实施例提供的另一装置中，该装置的所述加固单元504，包括：
[0107]
第二识别子单元，用于使用canny算子识别所述会话信道的边缘薄弱数据；
[0108]
处理子单元，用于使用所述混淆加固方法对所述边缘薄弱数据进行处理，得到安全信道。
[0109]
本发明实施例提供的另一装置中，该装置的所述传输单元505，包括：
[0110]
解析子单元，用于所述数据系统中的域控制器对所述安全认证数据进行解析，获取所述安全认证数据中的认证信息；
[0111]
第二确定子单元，用于确定与所述客户端对应的身份信息；
[0112]
判断子单元，用于判断所述认证信息和所述身份信息是否一致；
[0113]
第三确定子单元，用于当所述认证信息和所述身份信息一致时，确定所述客户端的身份通过认证；
[0114]
第四确定子单元，用于当所述认证信息和所述身份信息不一致时，确定所述客户端的身份未通过认证。
[0115]
本发明实施例还提供了一种存储介质，所述存储介质包括存储的指令，其中，在所述指令运行时控制所述存储介质所在的设备执行上述单点登录方法。
[0116]
本发明实施例还提供了一种电子设备，其结构示意图如图6所示，具体包括存储器601，以及一个或者一个以上的指令602，其中一个或者一个以上指令602存储于存储器601中，且经配置以由一个或者一个以上处理器603 执行所述一个或者一个以上指令602进行以下操作：
[0117]
获取单元，用于当客户端发起单点登录请求时，获取与所述单点登录请求对应的登录认证数据；
[0118]
识别单元，用于识别所述登录认证数据中的风险数据；
[0119]
处理单元，用于使用预设的混淆加固方法对所述登录认证数据中的风险数据进行处理，得到与所述登录认证数据对应的安全认证数据；
[0120]
加固单元，用于对与预设的认证协议对应的会话信道进行加固，得到安全信道；
[0121]
传输单元，用于通过所述安全信道将所述安全认证数据传输至与所述单点登录请求对应的数据系统，使得所述数据系统应用所述安全认证数据对所述客户端进行身份认证，并在所述客户端的身份通过认证时，完成所述客户端在所述数据系统的单点登录。
[0122]
需要说明的是，本发明提供的一种单点登录方法及装置、存储介质及电子设备可用于人工智能领域、区块链领域、分布式领域、云计算领域、大数据领域、物联网领域、移动互联领域、网络安全领域、芯片领域、虚拟现实领域、增强现实领域、全息技术领域、量子计算领域、量子通信领域、量子测量领域、数字孪生领域或金融领域。上述仅为示例，并不对本发明提供的一种单点登录方法及装置、存储介质及电子设备的应用领域进行限定。
[0123]
上述各个实施例的具体实施过程及其衍生方式，均在本发明的保护范围之内。
[0124]
本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部
分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于系统或系统实施例而言，由于其基本相似于方法实施例，所以描述得比较简单，相关之处参见方法实施例的部分说明即可。以上所描述的系统及系统实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。
[0125]
专业人员还可以进一步意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。
[0126]
对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其它实施例中实现。因此，本发明将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。