一种安全登录验证方法、系统和存储介质技术方案

本发明专利技术提供一种安全登录验证方法、系统和存储介质，所述方法包括：构建可信网域；接收用户A的登录验证请求，其中所述登录验证请求至少包括用户身份信息和登录口令；基于登录口令进行第一次身份验证，待验证通过后，进入第二次身份验证阶段；将用户A的用户身份信息传入可信网域，由可信网域中的多个可信用户分别基于用户身份信息进行第二次身份验证，待第二次身份验证通过后，则授予用户A具有可信身份；由用户A基于可信身份请求授权进入可信网域，并准予接入可信网域中的多个业务系统。本发明专利技术能够减少用户重复的登录过程，提高工作效率；提升企业数字化管理水平，实现多系统的统一入口，提升登录安全性和用户体验感。提升登录安全性和用户体验感。提升登录安全性和用户体验感。

【技术实现步骤摘要】
一种安全登录验证方法、系统和存储介质


[0001]本专利技术涉及网络安全接入
，尤其涉及一种安全登录验证方法、系统和存储介质。

技术介绍

[0002]随着各个公司数字化转型的不断深入，公司信息资产不断增加，各大信息管理系统产生的个人待办信息没有统一入口，用户在处理日常待办时候入口多，工作繁琐，导致用户访问业务系统需反复的进行登录操作，不符合高效性的要求。
[0003]而且多个信息管理系统均各自管理本系统下的用户，那么会导致同一用户需要同时管理两个系统下的个人信息，同一用户需要记录多个系统的密码；用户在同一系统下的不同应用之间切换时，每切换一次就需要验证一次个人身份；用户为了保证个人身份安全性，需要为不同的系统设置多个账号等等一系列问题。这样同样会大大降低系统的安全性和用户体验。

技术实现思路

[0004]为了解决上述至少一个技术问题，本专利技术提出了一种安全登录验证方法、系统和存储介质，能够减少用户重复的登录过程，提高工作效率；提升企业数字化管理水平，实现多个信息系统的统一入口、统一待办，提升登录的安全性和用户体验感。
[0005]本专利技术第一方面提出了一种安全登录验证方法，所述方法包括：
[0006]构建可信网域，所述可信网域为多个拥有可信身份的用户以及多个业务系统提供安全运行环境；
[0007]接收用户A的登录验证请求，其中所述登录验证请求至少包括用户身份信息和登录口令；
[0008]基于登录口令进行第一次身份验证，待验证通过后，进入第二次身份验证阶段；
[0009]将用户A的用户身份信息传入可信网域，由可信网域中的多个可信用户分别基于用户身份信息进行第二次身份验证，待第二次身份验证通过后，则授予用户A具有可信身份；
[0010]由用户A基于可信身份请求授权进入可信网域，并准予接入可信网域中的多个业务系统。
[0011]本方案中，由可信网域中的多个可信用户分别基于用户身份信息进行第二次身份验证，具体包括：
[0012]由可信网域中的用户B对用户A的用户身份信息进行核实，产生身份核实结果M1；
[0013]由用户B采用自己的数字证书私钥签名身份核实结果M1，得到身份核实签名信息Q1；
[0014]当可信网域中的用户C接收身份核实签名信息Q1后，则进一步对用户A的用户身份信息进行核实，产生身份核实结果M2；
[0015]用户C采用自己的数字证书私钥签名身份核实结果M2，得到身份核实签名信息Q2，并将身份核实签名信息Q2链接到身份核实签名信息Q1上形成签名信息链；
[0016]自用户A的用户身份信息传入可信网域预设时间段后，则获取可信网域中关于用户A身份核实的所有签名信息链；
[0017]取签名信息链中最长的一个作为目标签名信息链，并统计目标签名信息链中核实身份通过与不通过的比例；
[0018]判断比例是否大于第一预设阈值，如果是，则第二次身份验证通过。
[0019]本方案中，统计目标签名信息链中核实身份通过与不通过的比例，具体包括：
[0020]预设可信网域中各个拥有可信身份的用户的职位或级别不同；
[0021]从目标签名信息链中获取所有签名用户，并基于各个签名用户的职位或级别，通过可信权威度转换表进行转换，得到各个签名用户的可信权威度；
[0022]将目标签名信息链中所有核实身份通过的签名用户的可信权威度进行累计，得到正向核实得分；
[0023]将目标签名信息链中所有核实身份未通过的签名用户的可信权威度进行累计，得到反向核实得分；
[0024]将正向核实得分除以反向核实得分，计算得到核实身份通过与不通过的比例。
[0025]本方案中，在将用户A的用户身份信息传入可信网域之前，所述方法还包括：
[0026]构建多个可信网域，每个可信网域分别对应多个业务系统；
[0027]获取用户A的用户身份信息；
[0028]分别将每个可信网域作为基准可信网域，逐一判断用户身份信息与基准可信网域，和用户身份信息与其他可信网域之间匹配差异度；
[0029]如果用户身份信息与基准可信网域更匹配，则对基准可信网域加一分；
[0030]待所有可信网域均完成两两比对后，统计每个可信网域的总得分，并按照总得分高低对多个可信网域进行排序；
[0031]将总得分最高的可信网域作为目标可信网域，并将用户身份信息传入目标可信网域。
[0032]本方案中，构建多个可信网域，具体包括：
[0033]获取所有业务系统的属性信息；
[0034]对每个业务系统的属性信息进行权限特征计算，得到每个业务系统的权限特征；
[0035]基于多个业务系统的权限特征并通过密度聚类算法进行计算，得到多个聚类组；
[0036]基于每个聚类组的多个业务系统，分别构建对应的可信网域。
[0037]本方案中，逐一判断用户身份信息与基准可信网域，和用户身份信息与其他可信网域之间匹配差异度，具体包括：
[0038]分别获取基准可信网域与其他可信网域的多个业务系统，以及每个业务系统的权限要求和业务事项；
[0039]获取基准可信网域中的最高权限要求R1以及其他可信网域的最高权限要求R2；
[0040]判断用户身份信息是否满足最高权限要求R1或最高权限要求R2，如果只满足最高权限要求R1，则直接判定用户身份信息与基准可信网域更匹配，如果只满足最高权限要求R2，则直接判定用户身份信息与其他可信网域更匹配，如果均满足，则进入下一步；
[0041]判断基准可信网域中每个业务系统的业务事项与用户身份信息的契合度，并选取契合度最高的业务事项，记为S1；
[0042]判断其他可信网域中每个业务系统的业务事项与用户身份信息的契合度，并选取契合度最高的业务事项，记为S2；
[0043]判断业务事项S1与用户身份信息的契合度是否高于业务事项S2与用户身份信息的契合度，如果高于，则判定用户身份信息与基准可信网域更匹配，反之，则判定用户身份信息与其他可信网域更匹配。
[0044]本专利技术第二方面还提出一种安全登录验证系统，包括存储器和处理器，所述存储器中包括一种安全登录验证方法程序，所述安全登录验证方法程序被所述处理器执行时实现如下步骤：
[0045]构建可信网域，所述可信网域为多个拥有可信身份的用户以及多个业务系统提供安全运行环境；
[0046]接收用户A的登录验证请求，其中所述登录验证请求至少包括用户身份信息和登录口令；
[0047]基于登录口令进行第一次身份验证，待验证通过后，进入第二次身份验证阶段；
[0048]将用户A的用户身份信息传入可信网域，由可信网域中的多个可信用户分别基于用户身份信息进行第二次身份验证，待第二次身份验证通过后，则授予用户A具有可信身份；
[0049]由用户A基于可信身份请求授权进入可信网域，并准予接入可信网域中的多个业务系统。
[0本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种安全登录验证方法，其特征在于，所述方法包括：构建可信网域，所述可信网域为多个拥有可信身份的用户以及多个业务系统提供安全运行环境；接收用户A的登录验证请求，其中所述登录验证请求至少包括用户身份信息和登录口令；基于登录口令进行第一次身份验证，待验证通过后，进入第二次身份验证阶段；将用户A的用户身份信息传入可信网域，由可信网域中的多个可信用户分别基于用户身份信息进行第二次身份验证，待第二次身份验证通过后，则授予用户A具有可信身份；由用户A基于可信身份请求授权进入可信网域，并准予接入可信网域中的多个业务系统。2.根据权利要求1所述的一种安全登录验证方法，其特征在于，由可信网域中的多个可信用户分别基于用户身份信息进行第二次身份验证，具体包括：由可信网域中的用户B对用户A的用户身份信息进行核实，产生身份核实结果M1；由用户B采用自己的数字证书私钥签名身份核实结果M1，得到身份核实签名信息Q1；当可信网域中的用户C接收身份核实签名信息Q1后，则进一步对用户A的用户身份信息进行核实，产生身份核实结果M2；用户C采用自己的数字证书私钥签名身份核实结果M2，得到身份核实签名信息Q2，并将身份核实签名信息Q2链接到身份核实签名信息Q1上形成签名信息链；自用户A的用户身份信息传入可信网域预设时间段后，则获取可信网域中关于用户A身份核实的所有签名信息链；取签名信息链中最长的一个作为目标签名信息链，并统计目标签名信息链中核实身份通过与不通过的比例；判断比例是否大于第一预设阈值，如果是，则第二次身份验证通过。3.根据权利要求2所述的一种安全登录验证方法，其特征在于，统计目标签名信息链中核实身份通过与不通过的比例，具体包括：预设可信网域中各个拥有可信身份的用户的职位或级别不同；从目标签名信息链中获取所有签名用户，并基于各个签名用户的职位或级别，通过可信权威度转换表进行转换，得到各个签名用户的可信权威度；将目标签名信息链中所有核实身份通过的签名用户的可信权威度进行累计，得到正向核实得分；将目标签名信息链中所有核实身份未通过的签名用户的可信权威度进行累计，得到反向核实得分；将正向核实得分除以反向核实得分，计算得到核实身份通过与不通过的比例。4.根据权利要求1所述的一种安全登录验证方法，其特征在于，在将用户A的用户身份信息传入可信网域之前，所述方法还包括：构建多个可信网域，每个可信网域分别对应多个业务系统；获取用户A的用户身份信息；分别将每个可信网域作为基准可信网域，逐一判断用户身份信息与基准可信网域，和用户身份信息与其他可信网域之间匹配差异度；
如果用户身份信息与基准可信网域更匹配，则对基准可信网域加一分；待所有可信网域均完成两两比对后，统计每个可信网域的总得分，并按照总得分高低对多个可信网域进行排序；将总得分最高的可信网域作为目标可信网域，并将用户身份信息传入目标可信网域。5.根据权利要求4所述的一种安全登录验证方法，其特征在于，构建多个可信网域，具体包括：获取所有业务系统的属性信息；对每个业务系统的属性信息进行权限特征计算，得到每个业务系统的权限特征；基于多个业务系统的权限特征并通过密度聚类算法进行计算，得到多个聚类组；基于每个聚类组的多个业务系统，分别构建对应的可信网域。6.根据权利要求4所述的一种安全登录验证方法，其特征在于，逐一判断用户身份信息与基准可信网域，和用户身份信息与其他可信网域之间匹配差异度，具体包括：分别获取基准可信网域与其他可信网域的多个业务...

【专利技术属性】
技术研发人员：沈伍强，龙震岳，张小陆，崔磊，沈桂泉，张金波，曾纪均，梁哲恒，杨朝谊，
申请(专利权)人：广东电网有限责任公司，
类型：发明
国别省市：