CN111245795A - 一种保护企业信息资产的单点登录方法 - Google Patents

Abstract

发明名称一种保护企业信息资产的单点登录方法摘要一种保护企业信息资产的单点登录方法，属于企业的员工单点登录内部应用网站的方法，其特征在于，是在一个由用户端、反向代理服务器、单点登录服务器和有限个应用网站组成的平台上实现的，对具有不同授权权限的用户按照基于用户个性特点设置的权限识别码判定用户的身份及权限，对与不同权限的用户设定一套基于用户身份认证码的单点登录凭证和对应的应用网站的用户凭证码，以统一设定的用户请求格式构成用户请求，登录权限由反向代理服务器导入对应的单点登录服务器和登录应用网站，本发明具有保密性强成本低的优点。

Description

一种保护企业信息资产的单点登录方法

技术领域

一种保护企业信息资产的单点登录方法涉及计算机技术领域，具体地，涉及一种保护企业信息资产的单点登录方法。

背景技术

在企业中，一般有很多的应用系统为其提供管理和IT服务，随着企业的成长和信息的技术的发展，会有更多的系统加入。在传统的分散用户认证管理中，每个业务系统独立做用户的认证工作，用户就需要记住大量的用户名和密码，每进入一个系统都要进行登录，给用户带来了麻烦，同时也加大了系统管理员的认证管理和维护工作。单点登录（SSO）提供一种机制让不同的应用系统迅速得到统一的认证功能 , 实现全局、安全的软件环境。在实现SSO的系统中，用户只需进行一次主动的登录操作即可获得所需访问的应用系统和资源的授权，不必多次输入用户名和密码来确定用户身份。

通过单点登录方式，员工无需使用应用系统的用户名密码进行登录，但是目前的单点登录方案没有考虑密码集中管理的问题，仍然存在员工使用弱密码或重复密码存在安全漏洞、员工离职拒绝移交公司第三方平台账户影响企业运营的情况发生，而且在登录过程中，单点登录系统会将应用系统的密码下发到用户浏览器，被用户设备获取，使用户有能力绕开单点登录系统直接登录应用系统。

用友网络科技股份有限公司申请的专利“单点登录装置和方法”(专利申请号：201510521720.7，公布号CN 105049448 A)中提供了一种单点登录装置，包括 ：本地终端数据收集单元，用于基于预设用户的配置信息，对获取的配置信息进行处理后，获取本地终端数据 ；会话建立单元，用于基于获取的本地终端数据，进行安全性处理后，建立起浏览器和第三方系统之间的会话。本发明还提供了一种单点登录方法。通过本发明的技术方案，可以在现有的单点登录方式基础上，充分利用单对象类型完成多对象类型的单点登录，建立多对象类型参与的面向复杂类型单点登录的通用、统一登录思路。该方法存在的不足之处是：企业无法对密码进行集中管理，密码填充需要在员工的浏览器上进去，员工有能力获取应用系统密码，自行登录应用系统。

平安万家医疗投资管理有限责任公司申请的专利“单点登录子系统的登出方法及系统”(专利申请号：201811527453.4 ，公布号CN 109831408A) 中提供了一种单点登录子系统的登出方法及系统。本发明实施例通过第一客户端对单点登录相关子系统中的第一子系统发起访问请求前，读取浏览器存储的第一访问标识和第一客户端本地存储的第二访问标识，判断第一访问标识与第二访问标识是否一致，若不一致则退出第一子系统，第一客户端是单点登录相关子系统中非第一个成功登出的客户端，利用客户端本地的访问标识的失效与否确定是否登出，不需要与CAS服务器进行网络交互，因此不受网络延迟或网络故障的影响，使得即使在网络延迟或网络故障时客户端仍然能够登出单点登录相关子系统，一定程度上解决了现有技术中由于网络原因导致的单点登录子系统的客户端登出不及时或无法登出的问题。该发明的问题在于在客户端进行登出判断无法解决用户客户端被攻击修改的风险，也无法解决用户已登录的设备被他人获取，用户需要阻止他人以自己的登录身份操作的问题。

北京神州泰岳软件股份有限公司申请的专利“单点登录方法、单点登录终端及单点登录系统” （专利申请号：201610201252.X，公布号CN 107294916B)中公开了一种单点登录方法及其终端、系统。本发明方法包括：第一平台接收登录的主账号信息，并提交至认证中心进行验证，验证通过后生成根票据；在接收到指示一集成至第一平台并且属于第二平台的集成应用打开的指令时，将根票据和集成应用的标识提交至认证中心；判断主账号信息是否绑定了用于集成应用登录的从账号；如果判定为已绑定，则获取从账号，向第一平台返回子票据；所述第一平台利用接收到的子票据单点登录所述集成应用；认证中心验证所述子票据通过，将从账号返回给所述集成应用，单点登录成功。根据本发明，单点登录不受平台限制，便于统一多平台的登录账号，使得单点登录更为灵活，利于推广。该专利的问题在于，单点登录装置中缺少提高单点登录安全性的内容，缺乏提高用户鉴别能力和完善单点登录系统日志审核能力的内容。

福建亿榕信息技术有限公司、国网信息通信产业集团有限公司、国网信通亿力科技有限责任公司申请的专利一种单点登录方法（专利申请号：201811383988.9，公布号109639649A) 提供了一种单点登录方法，包括如下步骤：步骤S10、客户端登录权限服务器；步骤S20、权限服务器创建一用于身份验证的第一令牌以及一用于会话刷新保持的第二令牌并进行保存；步骤S30权限服务器将第一令牌以及第二令牌发送给客户端；客户端将第一令牌以及第二令牌存储至Cookies中；步骤S40、客户端利用Cookies访问资源服务器。本发明的优点在于：提高了单点登录的安全性以及对会话保持进行有效控制。该方法的问题在于：至少控制了权限服务器的令牌安全性，没有对用户是否使用权限服务器进行限制，存储安全漏洞。

为保护企业资产，避免因为用户数据泄露造成的企业信息泄露，需要一种安全的单点登录方法，能够避免用户访问企业内部应用网站的密码等安全信息泄露，防止第三方绕开单点登录系统直接访问应用服务器，同时，为降低推广成本，该方法无需在客户端进行安装配置，也无需改动原有的应用网站。

发明内容

一种保护企业信息资产的单点登录方法公开了一种保护企业信息资产的单点登录方法，其目的通过单点登录来加强用户对企业资源的访问控制。

一种保护企业信息资产的单点登录方法，其特征在于，是在一个企业应用网络单点登录服务系统中依次按下述步骤实现的：

步骤（1）构建一个所述的系统，

包括：用户端、反向代理服务器、单点登录服务器、有限个企业应用网站和一个用户单点登录日志总数据库，其中：

用户端是一台移动终端或主机，用于向所述反向代理服务器提出用户单点登录请求简称用户请求。

反向代理服务器，包括第一控制器、用户身份识别码比较器、用户授权登录权限识别比较器、简称用户权限识别码比较器，人脸图像比较器及用户请求比较器，用于从个性化的用户身份、授权权限、用户人脸三个不同的要素去识别企业员工，最终按综合识别结果确定出授权的和非授权用户。

单点登录服务器按权限不同分为两个，分别用于确认不同授权的用户单点登录相应的服务器时，其单点登录用户凭证Token简称Token的可靠性。

企业应用网站，有N个，编号为n=1，2，3，···，N，内部设有供不同权限用户使用的信息存储区域，在用户凭证Token已确认时，确认本次请求中的用户登录期望的企业应用网站的用户凭证Cookies的正确性。

用户单点登录日志总数据库，包括人脸图像识别日志数据库、单点登录用户凭证日志数据库简称Token库、企业应用网站用户登录凭证日志数据库简称Cookies库，此外还有一个用户请求日志数据库，都采用日志矩阵形式保存。

人脸图像识别日志矩阵行代表不同用户依次登录的日期，列代表用身份识别码或用户名，矩阵元素是登录用户的人脸识别的结果，用符号“+”表示人脸图像相符，用符号“-”表示人脸图像不相符。

Token日志矩阵，行代表不同用户每次登录的日期，列代表不同用户的身份识别码或用户名，矩阵元素为Token。

Cookies日志矩阵，行代表不同用户依次登录的日期，列代表用身份识别码或用户名，矩阵元素为带有企业应用网站编号的Cookies。

用户请求日志矩阵，行列代表的内容和上述其他日志矩阵相同，矩阵元素为用户单点登录请求。

步骤（2）系统初始化步骤如下：

步骤（2.1）设定一个用于用户识别和用户登录权限识别的树形三级识别码体系。

第1级，由用户出生日期、用户企业的工资卡号，依次串联构成的原始识别函数，形成用户身份识别码，构成三级识别码树的根。

第2级，由用户身份识别码和用户权限识别码形成的中间节点，用户权限识别码由表示未授权用户的身份识别码，前缀为权限标志符加上权限截止日期的用户身份识别码两者串连组成。

第3级，为叶子节点，共有两个，一个是用户单点登录凭证Token，另一个是应用网站的用户登录凭证Cookies，分别由用户身份识别码经不同的哈希函数计算得到，而与用户是否授权无关。

步骤（2.2）系统清零，

步骤（2.3）反向代理服务器执行以下初始化操作。

步骤（2.3.1）设立用户单点登录请求的格式，包括用户名，出生日期，工资卡号，用户部门编码，用户请求登录日期简称登录日期，用户身份识别码，用户授权识别码，单点登录服务器的用户凭证Token，简称用户凭证Token，用户期待登录的企业网站在企业的编号，和企业应用网站的用户凭证Cookies简称用户Cookies，其中身份识别码、用户凭证Token、用户凭证Cookies、用户名、工资卡号，用户的终端编号由代理服务器按不同用户先填入，余下的用户名、登录日期、期待登录的网站缺失。

步骤（2.3.2），当用户首次发出单点登录请求时，向该登录用户下发用户请求的格式，为<用户名、登录日期、期待登录网站、用户身份识别码、用户授权识别码、用户凭证Token、用户凭证Cookies、用户部门编号>。

步骤（2.3.3）用户根据步骤（2.3.2）的用户请求格式，填写后返回反向代理服务器，形成用户原始请求。

步骤（2.3.4）反向代理服务器收到期待用户原始请求后，应发往用户单点登录日志总数据库中各分数据库存档。

步骤（3）系统依次按下述步骤实现用户单点登录企业应用网站。

步骤（3.1）反向代理服务器把用户原始登录请求后的首次登录请求，连同用户请求日志数据库，提取的原始请求，一起输入到反向代理服务器。

步骤（3.2）相继识别用户身份和授权权限。

比较所述的两项请求中的身份识别码。

若相同则继续判断首次请求中的身份识别码有无前缀，若无前缀则进入人脸识别，且结果与原始请求中的人脸图像识别也相同，则属于非授权用户，便把用户请求输入到非授权单点登录服务器。

若身份识别码不相同，将所述用户首次请求退回用户浏览器，告知需要重新提交用户请求。

若身份识别码相同，且前缀有授权标志，而且人脸识别图像也与原始请求中的一致，则判断为授权用户，把用户请求输入到授权单点登录服务器。

若用户身份识别码相同，且前缀有授权标志，但人脸图像识别与原始请求的不一致则判断两次请求所述用户请求人不一致，则将请求返回给用户单点登录服务器重新登录。

步骤（3.3）单点登录服务器的用户凭证识别，两个所述不同的单点登录服务器分别比较用户原始请求，比较请求中的两个用户凭证Token是否相同。

如果相同都将进行步骤（3.4），

若不同，则把用户首次请求中的Token改为原始请求中的Token，执行步骤（3.4）。

步骤（3.4）用户登录期望的企业应用网站。

步骤（3.4.1）对应不同授权权限的用户，相应的单点登录服务器向用户期望的前缀为网站编号的企业应用网站发出登录请求。

步骤（3.4.2），步骤（3.4.1）中的单点登录服务器收到步骤（3.4.1）中的企业应用网站的用户Cookies后发给反向代理服务器。

步骤（3.4.3）反向代理服务器用步骤（3.4.2）中所述的用户凭证Cookies直接登录用户期待的企业应用网站，同时通知用户浏览器连接所述用户Cookies重新登录。

附图说明

图1是本发明实施例的企业应用网络单点登录服务系统系统结构框图。

图2是本发明实施例的企业应用网络单点登录服务系统实现流程图。

图3是本发明实施例的企业应用网络单点登录服务系统中树形三级识别码体系示意图。

图4是本发明实施例的企业应用网络单点登录服务系统中用户单点登录日志总数据库示意图。

图5是本发明实施例的企业应用网络单点登录服务系统中单点登录服务器的请求判断流程示意图。

图6是本发明实施例的企业应用网络单点登录服务系统中反向代理服务器的请求判断流程示意图。

具体实施方式

为实现所述目标，如图2所示步骤实现企业应用网络单点登录服务系统：

步骤（1）如图1所示构建一个所述的系统，

包括：用户端、反向代理服务器、单点登录服务器、有限个企业应用网站和一个用户单点登录日志总数据库，其中：

图中用户浏览器为用户端是一台移动终端或主机，用于向所述反向代理服务器提出用户单点登录请求简称用户请求。

反向代理服务器，包括第一控制器、用户身份识别码比较器、用户授权登录权限识别比较器、简称用户权限识别码比较器，人脸图像比较器及用户请求比较器，用于从个性化的用户身份、授权权限、用户人脸三个不同的要素去识别企业员工，最终按综合识别结果确定出授权的和非授权用户。

单点登录服务器按权限不同分为两个，分别用于确认不同授权的用户单点登录相应的服务器时，其单点登录用户凭证Token简称Token的可靠性。

企业应用网站，有N个，编号为n=1，2，3，···，N，内部设有供不同权限用户使用的信息存储区域，在用户凭证Token已确认时，确认本次请求中的用户登录期望的企业应用网站的用户凭证Cookies的正确性。

用户单点登录日志总数据库，包括人脸图像识别日志数据库、单点登录用户凭证日志数据库简称Token库、企业应用网站用户登录凭证日志数据库简称Cookies库，此外还有一个用户请求日数据库，都采用日志矩阵形式保存，如图4所示：

人脸图像识别日志矩阵行代表不同用户依次登录的日期，列代表用身份识别码或用户名，矩阵元素是登录用户的人脸识别的结果，用符号“+”表示人脸图像相符，用符号“-”表示人脸图像不相符。

Token日志矩阵，行代表不同用户每次登录的日期，列代表不同用户的身份识别码或用户名，矩阵元素为Token。

Cookies日志矩阵，行代表不同用户依次登录的日期，列代表用身份识别码或用户名，矩阵元素为带有企业应用网站编号的Cookies。

用户请求日志矩阵，行列代表的内容和上述其他日志矩阵相同，矩阵元素为用户单点登录请求。

步骤（2）系统初始化步骤如下：

步骤（2.1）设定一个用于用户识别和用户登录权限识别的树形三级识别码体系，如图3所示。

第1级，由用户出生日期、用户企业的工资卡号，依次串联构成的原始识别函数，形成用户身份识别码，构成三级识别码树的根。

第2级，由用户身份识别码和用户权限识别码形成的中间节点，用户权限识别码由表示未授权用户的身份识别码，前缀为权限标志符加上权限截止日期的用户身份识别码两者串连组成。

第3级，为叶子节点，共有两个，一个是用户单点登录凭证Token，另一个是应用网站的用户登录凭证Cookies，分别由用户身份识别码经不同的哈希函数计算得到，而与用户是否授权无关。

步骤（2.2）系统清零，

步骤（2.3）反向代理服务器执行以下初始化操作。

步骤（2.3.1）设立用户单点登录请求的格式，包括用户名，出生日期，工资卡号，用户部门编码，用户请求登录日期简称登录日期，用户身份识别码，用户授权识别码，单点登录服务器的用户凭证Token，简称用户凭证Token，用户期待登录的企业网站在企业的编号，和企业应用网站的用户凭证Cookies简称用户Cookies，其中身份识别码、用户凭证Token、用户凭证Cookies、用户名、工资卡号，用户的终端编号由代理服务器按不同用户先填入，余下的用户名、登录日期、期待登录的网站缺失。

步骤（2.3.2），当用户首次发出单点登录请求时，向该登录用户下发用户请求的格式，为<用户名、登录日期、期待登录网站、用户身份识别码、用户授权识别码、用户凭证Token、用户凭证Cookies、用户部门编号>。

步骤（2.3.3）用户根据步骤（2.3.2）的用户请求格式，填写后返回反向代理服务器，形成用户原始请求。

步骤（2.3.4）反向代理服务器收到期待用户原始请求后，应发往用户单点登录日志总数据库中各分数据库存档。

步骤（3）如图6所示，系统依次按下述步骤实现用户单点登录企业应用网站。

步骤（3.1）反向代理服务器把用户原始登录请求后的首次登录请求，连同用户请求日志数据库，提取的原始请求，一起输入到反向代理服务器。

步骤（3.2）相继识别用户身份和授权权限。

比较所述的两项请求中的身份识别码。

若相同则继续判断首次请求中的身份识别码有无前缀，若无前缀则进入人脸识别，且结果与原始请求中的人脸图像识别也相同，则属于非授权用户，便把用户请求输入到非授权单点登录服务器。

若身份识别码不相同，将所述用户首次请求退回用户浏览器，告知需要重新提交用户请求。

若身份识别码相同，且前缀有授权标志，而且人脸识别图像也与原始请求中的一致，则判断为授权用户，把用户请求输入到授权单点登录服务器。

若用户身份识别码相同，且前缀有授权标志，但人脸图像识别与原始请求的不一致则判断两次请求所述用户请求人不一致，则将请求返回给用户单点登录服务器重新登录。

步骤（3.3）如图5所示，单点登录服务器的用户凭证识别，两个所述不同的单点登录服务器分别比较用户原始请求，比较请求中的两个用户凭证Token是否相同。

如果相同都将进行步骤（3.4），

若不同，则把用户首次请求中的Token改为原始请求中的Token，执行步骤（3.4）。

步骤（3.4）用户登录期望的企业应用网站。

步骤（3.4.1）对应不同授权权限的用户，相应的单点登录服务器向用户期望的前缀为网站编号的企业应用网站发出登录请求。

步骤（3.4.2），步骤（3.4.1）中的单点登录服务器收到步骤（3.4.1）中的企业应用网站的用户Cookies后发给反向代理服务器。

步骤（3.4.3）反向代理服务器用步骤（3.4.2）中所述的用户凭证Cookies直接登录用户期待的企业应用网站，同时通知用户浏览器连接所述用户Cookies重新登录。

Claims (1)

1.一种保护企业信息资产的单点登录方法，其特征在于，是在一个企业应用网络单点登录服务系统中依次按下述步骤实现的：

步骤（1）构建一个所述的系统：

包括：用户端、反向代理服务器、单点登录服务器、有限个企业应用网站和一个用户单点登录日志总数据库，其中：

用户端是一台移动终端或主机，用于向所述反向代理服务器提出用户单点登录请求简称用户请求；

反向代理服务器，包括第一控制器、用户身份识别码比较器、用户授权登录权限识别比较器、简称用户权限识别码比较器，人脸图像比较器及用户请求比较器，用于从个性化的用户身份、授权权限、用户人脸三个不同的要素去识别企业员工，最终按综合识别结果确定出授权的和非授权用户；

单点登录服务器按权限不同分为两个，分别用于确认不同授权的用户单点登录相应的服务器时，其单点登录用户凭证Token简称Token的可靠性；

企业应用网站，有N个，编号为n=1，2，3，···，N，内部设有供不同权限用户使用的信息存储区域，在用户凭证Token已确认时，确认本次请求中的用户登录期望的企业应用网站的用户凭证Cookies的正确性；

用户单点登录日志总数据库，包括人脸图像识别日志数据库、单点登录用户凭证日志数据库简称Token库、企业应用网站用户登录凭证日志数据库简称Cookies库，此外还有一个用户请求日志数据库，都采用日志矩阵形式保存；

人脸图像识别日志矩阵行代表不同用户依次登录的日期，列代表用身份识别码或用户名，矩阵元素是登录用户的人脸识别的结果，用符号“+”表示人脸图像相符，用符号“-”表示人脸图像不相符；

Token日志矩阵，行代表不同用户每次登录的日期，列代表不同用户的身份识别码或用户名，矩阵元素为Token；

Cookies日志矩阵，行代表不同用户依次登录的日期，列代表用身份识别码或用户名，矩阵元素为带有企业应用网站编号的Cookies；

用户请求日志矩阵，行列代表的内容和上述其他日志矩阵相同，矩阵元素为用户单点登录请求；

步骤（2）系统初始化步骤如下：

步骤（2.1）设定一个用于用户识别和用户登录权限识别的树形三级识别码体系；

第1级，由用户出生日期、用户企业的工资卡号，依次串联构成的原始识别函数，形成用户身份识别码，构成三级识别码树的根；

第2级，由用户身份识别码和用户权限识别码形成的中间节点，用户权限识别码由表示未授权用户的身份识别码，前缀为权限标志符加上权限截止日期的用户身份识别码两者串连组成；

第3级，为叶子节点，共有两个，一个是用户单点登录凭证Token，另一个是应用网站的用户登录凭证Cookies，分别由用户身份识别码经不同的哈希函数计算得到，而与用户是否授权无关；

步骤（2.2）系统清零；

步骤（2.3）反向代理服务器执行以下初始化操作：

步骤（2.3.1）设立用户单点登录请求的格式，包括用户名，出生日期，工资卡号，用户部门编码，用户请求登录日期简称登录日期，用户身份识别码，用户授权识别码，单点登录服务器的用户凭证Token，简称用户凭证Token，用户期待登录的企业网站在企业的编号，和企业应用网站的用户凭证Cookies简称用户Cookies，其中身份识别码、用户凭证Token、用户凭证Cookies、用户名、工资卡号，用户的终端编号由代理服务器按不同用户先填入，余下的用户名、登录日期、期待登录的网站缺失；

步骤（2.3.2），当用户首次发出单点登录请求时，向该登录用户下发用户请求的格式，为<用户名、登录日期、期待登录网站、用户身份识别码、用户授权识别码、用户凭证Token、用户凭证Cookies、用户部门编号>；

步骤（2.3.3）用户根据步骤（2.3.2）的用户请求格式，填写后返回反向代理服务器，形成用户原始请求；

步骤（2.3.4）反向代理服务器收到期待用户原始请求后，应发往用户单点登录日志总数据库中各分数据库存档；

步骤（3）系统依次按下述步骤实现用户单点登录企业应用网站：

步骤（3.1）反向代理服务器把用户原始登录请求后的首次登录请求，连同用户请求日志数据库，提取的原始请求，一起输入到反向代理服务器；

步骤（3.2）相继识别用户身份和授权权限：

比较所述的两项请求中的身份识别码：

若相同则继续判断首次请求中的身份识别码有无前缀，若无前缀则进入人脸识别，且结果与原始请求中的人脸图像识别也不相同，则属于非授权用户，便把用户请求输入到非授权单点登录服务器；

若身份识别码不相同，将所述用户首次请求退回用户浏览器，告知需要重新提交用户请求；

若身份识别码相同，且前缀有授权标志，而且人脸识别图像也与原始请求中的一致，则判断为授权用户，把用户请求输入到授权单点登录服务器；

若用户身份识别码相同，且前缀有授权标志，但人脸图像识别与原始请求的不一致则判断两次请求所述用户请求人不一致，则将请求返回给用户单点登录服务器重新登录；

步骤（3.3）单点登录服务器的用户凭证识别，

两个所述不同的单点登录服务器分别比较用户原始请求，比较请求中的两个用户凭证Token是否相同；

如果相同都将进行步骤（3.4）；

若不同，则把用户首次请求中的Token改为原始请求中的Token，执行步骤（3.4）；

步骤（3.4）用户登录期望的企业应用网站：

步骤（3.4.1）对应不同授权权限的用户，相应的单点登录服务器向用户期望的前缀为网站编号的企业应用网站发出登录请求；

步骤（3.4.2），步骤（3.4.1）中的单点登录服务器收到步骤（3.4.1）中的企业应用网站的用户Cookies后发给反向代理服务器；

步骤（3.4.3）反向代理服务器用步骤（3.4.2）中所述的用户凭证Cookies直接登录用户期待的企业应用网站，同时通知用户浏览器连接所述用户Cookies重新登录。

Images