一种安全登录验证方法、系统和存储介质与流程

1.本发明涉及网络安全接入技术领域，尤其涉及一种安全登录验证方法、系统和存储介质。


背景技术：

2.随着各个公司数字化转型的不断深入，公司信息资产不断增加，各大信息管理系统产生的个人待办信息没有统一入口，用户在处理日常待办时候入口多，工作繁琐，导致用户访问业务系统需反复的进行登录操作，不符合高效性的要求。
3.而且多个信息管理系统均各自管理本系统下的用户，那么会导致同一用户需要同时管理两个系统下的个人信息，同一用户需要记录多个系统的密码；用户在同一系统下的不同应用之间切换时，每切换一次就需要验证一次个人身份；用户为了保证个人身份安全性，需要为不同的系统设置多个账号等等一系列问题。这样同样会大大降低系统的安全性和用户体验。


技术实现要素：

4.为了解决上述至少一个技术问题，本发明提出了一种安全登录验证方法、系统和存储介质，能够减少用户重复的登录过程，提高工作效率；提升企业数字化管理水平，实现多个信息系统的统一入口、统一待办，提升登录的安全性和用户体验感。
5.本发明第一方面提出了一种安全登录验证方法，所述方法包括：
6.构建可信网域，所述可信网域为多个拥有可信身份的用户以及多个业务系统提供安全运行环境；
7.接收用户a的登录验证请求，其中所述登录验证请求至少包括用户身份信息和登录口令；
8.基于登录口令进行第一次身份验证，待验证通过后，进入第二次身份验证阶段；
9.将用户a的用户身份信息传入可信网域，由可信网域中的多个可信用户分别基于用户身份信息进行第二次身份验证，待第二次身份验证通过后，则授予用户a具有可信身份；
10.由用户a基于可信身份请求授权进入可信网域，并准予接入可信网域中的多个业务系统。
11.本方案中，由可信网域中的多个可信用户分别基于用户身份信息进行第二次身份验证，具体包括：
12.由可信网域中的用户b对用户a的用户身份信息进行核实，产生身份核实结果m1；
13.由用户b采用自己的数字证书私钥签名身份核实结果m1，得到身份核实签名信息q1；
14.当可信网域中的用户c接收身份核实签名信息q1后，则进一步对用户a的用户身份信息进行核实，产生身份核实结果m2；
15.用户c采用自己的数字证书私钥签名身份核实结果m2，得到身份核实签名信息q2，并将身份核实签名信息q2链接到身份核实签名信息q1上形成签名信息链；
16.自用户a的用户身份信息传入可信网域预设时间段后，则获取可信网域中关于用户a身份核实的所有签名信息链；
17.取签名信息链中最长的一个作为目标签名信息链，并统计目标签名信息链中核实身份通过与不通过的比例；
18.判断比例是否大于第一预设阈值，如果是，则第二次身份验证通过。
19.本方案中，统计目标签名信息链中核实身份通过与不通过的比例，具体包括：
20.预设可信网域中各个拥有可信身份的用户的职位或级别不同；
21.从目标签名信息链中获取所有签名用户，并基于各个签名用户的职位或级别，通过可信权威度转换表进行转换，得到各个签名用户的可信权威度；
22.将目标签名信息链中所有核实身份通过的签名用户的可信权威度进行累计，得到正向核实得分；
23.将目标签名信息链中所有核实身份未通过的签名用户的可信权威度进行累计，得到反向核实得分；
24.将正向核实得分除以反向核实得分，计算得到核实身份通过与不通过的比例。
25.本方案中，在将用户a的用户身份信息传入可信网域之前，所述方法还包括：
26.构建多个可信网域，每个可信网域分别对应多个业务系统；
27.获取用户a的用户身份信息；
28.分别将每个可信网域作为基准可信网域，逐一判断用户身份信息与基准可信网域，和用户身份信息与其他可信网域之间匹配差异度；
29.如果用户身份信息与基准可信网域更匹配，则对基准可信网域加一分；
30.待所有可信网域均完成两两比对后，统计每个可信网域的总得分，并按照总得分高低对多个可信网域进行排序；
31.将总得分最高的可信网域作为目标可信网域，并将用户身份信息传入目标可信网域。
32.本方案中，构建多个可信网域，具体包括：
33.获取所有业务系统的属性信息；
34.对每个业务系统的属性信息进行权限特征计算，得到每个业务系统的权限特征；
35.基于多个业务系统的权限特征并通过密度聚类算法进行计算，得到多个聚类组；
36.基于每个聚类组的多个业务系统，分别构建对应的可信网域。
37.本方案中，逐一判断用户身份信息与基准可信网域，和用户身份信息与其他可信网域之间匹配差异度，具体包括：
38.分别获取基准可信网域与其他可信网域的多个业务系统，以及每个业务系统的权限要求和业务事项；
39.获取基准可信网域中的最高权限要求r1以及其他可信网域的最高权限要求r2；
40.判断用户身份信息是否满足最高权限要求r1或最高权限要求r2，如果只满足最高权限要求r1，则直接判定用户身份信息与基准可信网域更匹配，如果只满足最高权限要求r2，则直接判定用户身份信息与其他可信网域更匹配，如果均满足，则进入下一步；
41.判断基准可信网域中每个业务系统的业务事项与用户身份信息的契合度，并选取契合度最高的业务事项，记为s1；
42.判断其他可信网域中每个业务系统的业务事项与用户身份信息的契合度，并选取契合度最高的业务事项，记为s2；
43.判断业务事项s1与用户身份信息的契合度是否高于业务事项s2与用户身份信息的契合度，如果高于，则判定用户身份信息与基准可信网域更匹配，反之，则判定用户身份信息与其他可信网域更匹配。
44.本发明第二方面还提出一种安全登录验证系统，包括存储器和处理器，所述存储器中包括一种安全登录验证方法程序，所述安全登录验证方法程序被所述处理器执行时实现如下步骤：
45.构建可信网域，所述可信网域为多个拥有可信身份的用户以及多个业务系统提供安全运行环境；
46.接收用户a的登录验证请求，其中所述登录验证请求至少包括用户身份信息和登录口令；
47.基于登录口令进行第一次身份验证，待验证通过后，进入第二次身份验证阶段；
48.将用户a的用户身份信息传入可信网域，由可信网域中的多个可信用户分别基于用户身份信息进行第二次身份验证，待第二次身份验证通过后，则授予用户a具有可信身份；
49.由用户a基于可信身份请求授权进入可信网域，并准予接入可信网域中的多个业务系统。
50.本方案中，由可信网域中的多个可信用户分别基于用户身份信息进行第二次身份验证，具体包括：
51.由可信网域中的用户b对用户a的用户身份信息进行核实，产生身份核实结果m1；
52.由用户b采用自己的数字证书私钥签名身份核实结果m1，得到身份核实签名信息q1；
53.当可信网域中的用户c接收身份核实签名信息q1后，则进一步对用户a的用户身份信息进行核实，产生身份核实结果m2；
54.用户c采用自己的数字证书私钥签名身份核实结果m2，得到身份核实签名信息q2，并将身份核实签名信息q2链接到身份核实签名信息q1上形成签名信息链；
55.自用户a的用户身份信息传入可信网域预设时间段后，则获取可信网域中关于用户a身份核实的所有签名信息链；
56.取签名信息链中最长的一个作为目标签名信息链，并统计目标签名信息链中核实身份通过与不通过的比例；
57.判断比例是否大于第一预设阈值，如果是，则第二次身份验证通过。
58.本方案中，统计目标签名信息链中核实身份通过与不通过的比例，具体包括：
59.预设可信网域中各个拥有可信身份的用户的职位或级别不同；
60.从目标签名信息链中获取所有签名用户，并基于各个签名用户的职位或级别，通过可信权威度转换表进行转换，得到各个签名用户的可信权威度；
61.将目标签名信息链中所有核实身份通过的签名用户的可信权威度进行累计，得到
正向核实得分；
62.将目标签名信息链中所有核实身份未通过的签名用户的可信权威度进行累计，得到反向核实得分；
63.将正向核实得分除以反向核实得分，计算得到核实身份通过与不通过的比例。
64.本发明第三方面还提出一种计算机可读存储介质，所述计算机可读存储介质中包括一种安全登录验证方法程序，所述安全登录验证方法程序被处理器执行时，实现如上述的一种安全登录验证方法的步骤。
65.本发明提出的一种安全登录验证方法、系统和存储介质，能够减少用户重复的登录过程，提高工作效率；提升企业数字化管理水平，实现多个信息系统的统一入口、统一待办，提升登录的安全性和用户体验感。
66.本发明的附加方面和优点将在下面的描述部分中给出，部分将从下面的描述中变得明显，或通过本发明的实践了解到。
附图说明
67.图1示出了本发明一种安全登录验证方法的流程图；
68.图2示出了本发明一种安全登录验证系统的框图。
具体实施方式
69.为了能够更清楚地理解本发明的上述目的、特征和优点，下面结合附图和具体实施方式对本发明进行进一步的详细描述。需要说明的是，在不冲突的情况下，本技术的实施例及实施例中的特征可以相互组合。
70.在下面的描述中阐述了很多具体细节以便于充分理解本发明，但是，本发明还可以采用其他不同于在此描述的其他方式来实施，因此，本发明的保护范围并不受下面公开的具体实施例的限制。
71.图1示出了本发明一种安全登录验证方法的流程图。
72.如图1所示，本发明第一方面提出一种安全登录验证方法，所述方法包括：
73.s102，构建可信网域，所述可信网域为多个拥有可信身份的用户以及多个业务系统提供安全运行环境；
74.s104，接收用户a的登录验证请求，其中所述登录验证请求至少包括用户身份信息和登录口令；
75.s106，基于登录口令进行第一次身份验证，待验证通过后，进入第二次身份验证阶段；
76.s108，将用户a的用户身份信息传入可信网域，由可信网域中的多个可信用户分别基于用户身份信息进行第二次身份验证，待第二次身份验证通过后，则授予用户a具有可信身份；
77.s110，由用户a基于可信身份请求授权进入可信网域，并准予接入可信网域中的多个业务系统。
78.本发明将多个业务系统进行集成在同一个可信网域中，只要通过可信网域的登录验证过程，即可免登录进入该可信网域的多个业务系统，能够减少用户重复的登录过程，提
高工作效率；提升企业数字化管理水平，实现多个信息系统的统一入口、统一待办，提升登录的安全性和用户体验感。
79.同时，本发明通过双重登录验证方式能够有效提升了登录验证的安全性。在第二次身份验证过程中，引入去中心化验证方式，即由可信网域中多个拥有可信身份的用户对用户a进行验证，无需专门的授权验证系统，完全由可信网域中的可信用户对登录进入的其他用户进行自主验证，有效解决了因单一化的授权验证系统被攻击而导致非法登录的问题，进一步提升了登录验证的安全性。
80.根据本发明的实施例，由可信网域中的多个可信用户分别基于用户身份信息进行第二次身份验证，具体包括：
81.由可信网域中的用户b对用户a的用户身份信息进行核实，产生身份核实结果m1；
82.由用户b采用自己的数字证书私钥签名身份核实结果m1，得到身份核实签名信息q1；
83.当可信网域中的用户c接收身份核实签名信息q1后，则进一步对用户a的用户身份信息进行核实，产生身份核实结果m2；
84.用户c采用自己的数字证书私钥签名身份核实结果m2，得到身份核实签名信息q2，并将身份核实签名信息q2链接到身份核实签名信息q1上形成签名信息链；
85.自用户a的用户身份信息传入可信网域预设时间段后，则获取可信网域中关于用户a身份核实的所有签名信息链；
86.取签名信息链中最长的一个作为目标签名信息链，并统计目标签名信息链中核实身份通过与不通过的比例；
87.判断比例是否大于第一预设阈值，如果是，则第二次身份验证通过。
88.需要说明的是，当用户a将自己用户身份信息(如姓名、工号、人脸采集信息等)传入可信网域后，则可信网域中的其他用户则可以对用户身份信息进行证实是否属实，如果核对属实，并证实用户a确实属于公司或部门同事，则核对结果为通过，反之，则核对结果为未通过。
89.根据本发明的实施例，统计目标签名信息链中核实身份通过与不通过的比例，具体包括：
90.预设可信网域中各个拥有可信身份的用户的职位或级别不同；
91.从目标签名信息链中获取所有签名用户，并基于各个签名用户的职位或级别，通过可信权威度转换表进行转换，得到各个签名用户的可信权威度；
92.将目标签名信息链中所有核实身份通过的签名用户的可信权威度进行累计，得到正向核实得分；
93.将目标签名信息链中所有核实身份未通过的签名用户的可信权威度进行累计，得到反向核实得分；
94.将正向核实得分除以反向核实得分，计算得到核实身份通过与不通过的比例。
95.需要说明的是，在企业内部，基层员工与领导的可信权威度不同，通常可以将基层员工的可信权威度设定为数量级1，则各个职位的领导分别根据其职位高低在数量级1的基础上依次递增。基于此，可以构建可信权威度转换表。
96.可以理解，职位高的签名用户核对的可信权威度要高于职位低的签名用户核对的
可信权威度，本发明基于不同用户的可信权威度来优化计算比例，从而实现对用户身份的准确验证。
97.根据本发明的具体实施例，在得到各个签名用户的可信权威度之后，所述方法还包括：
98.统计历史每轮可信网域内各个签名用户的核实结果，并将其与第二次身份验证的最终验证结果进行比对；
99.如果比对一致，则在每个签名用户的基准分的基础上加一分，如果比对不一致，则在每个签名用户的基准分的基础上减一分；
100.经过对多个登录用户的多轮验证后，则统计可信网域内每个签名用户的总分；
101.将每个签名用户的总分除以基准分得到该签名用户的可信权威度浮动系数，将每个签名用户的可信权威度乘以可信权威度浮动系数得到动态可信权威度；
102.将所述动态可信权威作为对应签名用户的当前可信权威度。
103.可以理解，同一可信网域中的每个用户的基准分相同，优选为100分，但不信于此。
104.本发明则综合各个用户的评价准确度对其可信权威度进行优化，从而得到动态的可信权威度。
105.根据本发明的实施例，在将用户a的用户身份信息传入可信网域之前，所述方法还包括：
106.构建多个可信网域，每个可信网域分别对应多个业务系统；
107.获取用户a的用户身份信息；
108.分别将每个可信网域作为基准可信网域，逐一判断用户身份信息与基准可信网域，和用户身份信息与其他可信网域之间匹配差异度；
109.如果用户身份信息与基准可信网域更匹配，则对基准可信网域加一分；
110.待所有可信网域均完成两两比对后，统计每个可信网域的总得分，并按照总得分高低对多个可信网域进行排序；
111.将总得分最高的可信网域作为目标可信网域，并将用户身份信息传入目标可信网域。
112.需要说明的是，为了区分不同业务系统之间的登录权限，则需要基于多个业务系统分别搭建多个可信网域，且每个可信网域中支持对应的业务系统。在获取用户身份信息后，需要基于业务系统的权限判断该用户最适配落入哪个可信网域中。
113.根据本发明的实施例，构建多个可信网域，具体包括：
114.获取所有业务系统的属性信息；
115.对每个业务系统的属性信息进行权限特征计算，得到每个业务系统的权限特征；
116.基于多个业务系统的权限特征并通过密度聚类算法进行计算，得到多个聚类组；
117.基于每个聚类组的多个业务系统，分别构建对应的可信网域。
118.根据本发明的实施例，逐一判断用户身份信息与基准可信网域，和用户身份信息与其他可信网域之间匹配差异度，具体包括：
119.分别获取基准可信网域与其他可信网域的多个业务系统，以及每个业务系统的权限要求和业务事项；
120.获取基准可信网域中的最高权限要求r1以及其他可信网域的最高权限要求r2；
121.判断用户身份信息是否满足最高权限要求r1或最高权限要求r2，如果只满足最高权限要求r1，则直接判定用户身份信息与基准可信网域更匹配，如果只满足最高权限要求r2，则直接判定用户身份信息与其他可信网域更匹配，如果均满足，则进入下一步；
122.判断基准可信网域中每个业务系统的业务事项与用户身份信息的契合度，并选取契合度最高的业务事项，记为s1；
123.判断其他可信网域中每个业务系统的业务事项与用户身份信息的契合度，并选取契合度最高的业务事项，记为s2；
124.判断业务事项s1与用户身份信息的契合度是否高于业务事项s2与用户身份信息的契合度，如果高于，则判定用户身份信息与基准可信网域更匹配，反之，则判定用户身份信息与其他可信网域更匹配。
125.需要说明的是，本发明基于不同可信网域的业务系统的权限要求和业务事项进行差异性比对，从而判定用户身份信息更加与那个可信网域匹配。
126.根据本发明的具体实施例，所述方法还包括：
127.预设在可信网域h1的用户k预跨网访问请求可信网域h2中的业务系统；
128.由用户k向可信网域h2的业务系统请求服务；
129.可信网域h2接收到请求后，要求用户k进行身份验证，并将可信网域h1的公钥告知给用户k，并发送用户身份的挑战t1给用户k；
130.用户k生成验证可信网域h2的挑战t2和可信网域h2发来的挑战t1的答复td1，并使用相同的密钥对挑战t2和答复td1进行加密，得到密文，然后使用可信网域h1的公钥对密文和密钥进行加密生成身份认证信息，并发送给可信网域h2；
131.可信网域h2向可信网域h1证明自己的身份并发送用户k的身份认证信息；
132.可信网域h1采用自己的私钥解密身份认证信息，如果解密成功，则验证用户的来源合法性，生成可信网域h2的公钥与服务关联信息，并传递用户加密挑战的密钥给可信网域h2；
133.可信网域h2使用密钥解密所述密文，得到挑战t2与用户k对收到挑战t1的答复td1；根据答复td1验证用户身份合法性；根据用户的挑战t2生成挑战答复td2；
134.可信网域h2生成验证自己身份的信息，将其与挑战答复td2、可信网域h2的公钥与服务关联信息一并发送给用户k；
135.用户k根据挑战答复td2验证可信网域h2的来源合法性，根据可信网域h2的身份信息，以及可信网域h2的公钥与服务关联信息验证可信网域h2身份的合法性。
136.本发明支持用户进行跨网访问，则需要由用户所在的可信网域对预跨入的可信网域进行提供身份证明，从而提升了跨网访问的安全性。
137.图2示出了本发明一种安全登录验证系统的框图。
138.如图2所示，本发明第二方面还提出一种安全登录验证系统2，包括存储器21和处理器22，所述存储器中包括一种安全登录验证方法程序，所述安全登录验证方法程序被所述处理器执行时实现如下步骤：
139.构建可信网域，所述可信网域为多个拥有可信身份的用户以及多个业务系统提供安全运行环境；
140.接收用户a的登录验证请求，其中所述登录验证请求至少包括用户身份信息和登
录口令；
141.基于登录口令进行第一次身份验证，待验证通过后，进入第二次身份验证阶段；
142.将用户a的用户身份信息传入可信网域，由可信网域中的多个可信用户分别基于用户身份信息进行第二次身份验证，待第二次身份验证通过后，则授予用户a具有可信身份；
143.由用户a基于可信身份请求授权进入可信网域，并准予接入可信网域中的多个业务系统。
144.根据本发明的实施例，由可信网域中的多个可信用户分别基于用户身份信息进行第二次身份验证，具体包括：
145.由可信网域中的用户b对用户a的用户身份信息进行核实，产生身份核实结果m1；
146.由用户b采用自己的数字证书私钥签名身份核实结果m1，得到身份核实签名信息q1；
147.当可信网域中的用户c接收身份核实签名信息q1后，则进一步对用户a的用户身份信息进行核实，产生身份核实结果m2；
148.用户c采用自己的数字证书私钥签名身份核实结果m2，得到身份核实签名信息q2，并将身份核实签名信息q2链接到身份核实签名信息q1上形成签名信息链；
149.自用户a的用户身份信息传入可信网域预设时间段后，则获取可信网域中关于用户a身份核实的所有签名信息链；
150.取签名信息链中最长的一个作为目标签名信息链，并统计目标签名信息链中核实身份通过与不通过的比例；
151.判断比例是否大于第一预设阈值，如果是，则第二次身份验证通过。
152.根据本发明的实施例，统计目标签名信息链中核实身份通过与不通过的比例，具体包括：
153.预设可信网域中各个拥有可信身份的用户的职位或级别不同；
154.从目标签名信息链中获取所有签名用户，并基于各个签名用户的职位或级别，通过可信权威度转换表进行转换，得到各个签名用户的可信权威度；
155.将目标签名信息链中所有核实身份通过的签名用户的可信权威度进行累计，得到正向核实得分；
156.将目标签名信息链中所有核实身份未通过的签名用户的可信权威度进行累计，得到反向核实得分；
157.将正向核实得分除以反向核实得分，计算得到核实身份通过与不通过的比例。
158.本发明第三方面还提出一种计算机可读存储介质，所述计算机可读存储介质中包括一种安全登录验证方法程序，所述安全登录验证方法程序被处理器执行时，实现如上述的一种安全登录验证方法的步骤。
159.本发明提出的一种安全登录验证方法、系统和存储介质，能够减少用户重复的登录过程，提高工作效率；提升企业数字化管理水平，实现多个信息系统的统一入口、统一待办，提升登录的安全性和用户体验感。
160.在本技术所提供的几个实施例中，应该理解到，所揭露的设备和方法，可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的，例如，所述单元的划分，仅仅为
一种逻辑功能划分，实际实现时可以有另外的划分方式，如：多个单元或组件可以结合，或可以集成到另一个系统，或一些特征可以忽略，或不执行。另外，所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口，设备或单元的间接耦合或通信连接，可以是电性的、机械的或其它形式的。
161.上述作为分离部件说明的单元可以是、或也可以不是物理上分开的，作为单元显示的部件可以是、或也可以不是物理单元；既可以位于一个地方，也可以分布到多个网络单元上；可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。
162.另外，在本发明各实施例中的各功能单元可以全部集成在一个处理单元中，也可以是各单元分别单独作为一个单元，也可以两个或两个以上单元集成在一个单元中；上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能单元的形式实现。
163.本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括：移动存储设备、只读存储器(rom，read-only memory)、随机存取存储器(ram，random access memory)、磁碟或者光盘等各种可以存储程序代码的介质。
164.或者，本发明上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时，也可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例所述方法的全部或部分。而前述的存储介质包括：移动存储设备、rom、ram、磁碟或者光盘等各种可以存储程序代码的介质。
165.以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以所述权利要求的保护范围为准。