CN117749536B - 一种零信任统一身份认证系统及构建方法 - Google Patents

Abstract

本发明公开了一种零信任统一身份认证系统及构建方法，本发明通过设置客户端模块采集当前预访问用户键入账号名称和账号密码，结合其过去所有次登录的同态元组链生成其本次登录的隐性同态序列码，在此过程中选定上一次登录的同态元组链为模板同态元组链，依据其内每个同态编号转换元祖中的元素，在其余次登录的同态元组链中获取其元素所在位置，并用账号密码中的数字字符对获取到的所有元素位置进行筛选剔除，通过这种方式，借助常用登录设备才有的同态元组链数据进行认证，更加的安全可靠，且在此基础上，将账号密码中包含的数字字符信息隐性的加入其中，同时替代了用密钥进行加密的方式避免了密钥丢失造成的身份信息验证数据泄露风险。

Description

一种零信任统一身份认证系统及构建方法

技术领域

本发明涉及身份认证技术领域，具体涉及一种零信任统一身份认证系统及构建方法。

背景技术

大中型企业会拥有几十个业务系统，各业务系统有独立的登录机制，操作人员需要记住多个业务系统的用户名/密码，容易遗忘或混淆；需要登录不同的业务系统，比较麻烦；如果要实现业务系统之间跳转，业务系统需要做较大的调整，开发工作量很大；

零信任是新一代的网络安全防护理念，默认不信任企业网络内外的任何人、设备和系统，基于身份认证和授权重新构建访问控制的信任基础，从而确保身份可信、设备可信、应用可信和链路可信；

现有的一种零信任统一身份认证平台，操作人员只需要使用一个地址、一套用户名/密码，进行一次登录认证，即可访问权限范围之内的所有业务系统，这固然极大地提高工作效率，提升用户体验，但也为账号密码的安全提出了很大的要求，其在对预登录用户的身份验证信息进行传输的过程中对其使用私钥进行加密，这样方式在网络传输过程中，如果密钥也同时需要传输，那么数据和密钥有可能被他人截获，且一端泄露了密钥都有可能造成第三方直接获取到解密后的身份信息验证数据，最终造成数据不安全的问题；

为了解决上述问题，本发明提出了一种解决方案。

发明内容

本发明的目的在于提供一种零信任统一身份认证系统及构建方法，为了解决现有技术中通过私钥加密如果密钥也同时需要传输，那么数据和密钥有可能被他人截获，且一端泄露了密钥都有可能造成第三方直接获取到解密后的身份信息验证数据，最终造成数据不安全的问题；

本发明的目的可以通过以下技术方案实现：

一种零信任统一身份认证系统，包括零信任平台和客户端模块；

零信任平台，用于向通过身份校验的预访问用户提供门户网站访问地址供给其访问对应的门户网站，所述零信任平台包括门户网站模块，所述门户网站模块中存储有所有通过平台管理人员资格审核后的门户网站的网站名称、访问地址和门户编号；

客户端模块，用于预访问用户访问登录零信任平台，客户端模块中存储有当前预访问用户过去所有次登录的同态元组链，一次登录的同态元组链中包括有若干同态链结点，一个所述同态链结点对应一个同态编号转换元组，一个同态编号转换元组中存储有若干个门户编号；

当前预访问用户键入账号名称和账号密码后由客户端模块对其进行获取，选定上一次登录的同态元组链为模板同态元组链，按照预设同态转换规则生成当前预访问用户本次登录的隐性同态序列码。

进一步的，所述生成当前预访问用户本次登录的隐性同态序列码的预设同态转换规则如下：

S11：获取客户端模块中存储的当前预访问用户过去所有次登录的同态元组链，并按照登录时刻距离当前时刻的远近顺序，从远到近依次将所有的同态元组链标记为H1、H2、...、Hh，h≥1，同时将同态元组链Hh标定为模板同态元组链；

S12：按照从左到右的顺序，将模板同态元组链中所有的同态链结点对应的同态编号转换元组依次标记为I1、I2、...、Ii，i≥1；

并同样按照从左到右的顺序，依次获取同态编号转换元组I1中包含的所有门户编号J1、J2、...、Jj，j≥1；

S13：获取当前预访问用户键入的账号密码中的所有数字字符，并按照键入的先后顺序，将所有的数字字符标记为Z1、Z2、...、Zz,z≥1；

S14：基于同态元组链H1，按照预设获取规则获取得到当前预访问用户本次登录的一组同态序列；

S15：按照S11到S14，基于同态元组链H1、H2、...、Hh-1得到当前预访问用户本次登录的h-1组同态序列；

所述客户端模块将h-1组同态序列进行混合打散，打散后将混合的h-1组同态序列进行拼接得到当前预访问用户本次登录的隐性同态序列码。

一种零信任统一身份认证构建方法，包括以下步骤：

步骤一：客户端模块对当前预访问用户键入的账号名称和账号密码进行采集；

步骤二：基于当前预访问用户过去所有次登录的同态元组链结合采集到的当前预登录用户键入的账号名称和账号密码按照预设同态转换规则生成当前预访问用户本次登录的隐性同态序列码，将其传输到安全认证模块；

步骤三：安全认证模块接收到当前预访问用户本次登录的隐性同态序列码后对其身份进行校验，校验通过后生成校验通过指令并将其传输到门户网站模块；

步骤四：门户网站模块接收到传输的校验通过指令后对身份校验通过后的预登录用户提供所有若干网站按钮，供给预登录用户进行点击访问对应的门户网站；

步骤五：当当前预访问用户点击登出按钮后，由门户网站模块按照预设生成规则生成当前预登录用户本次登录的同态元组链并将其分别传输到客户端模块和安全认证模块进行存储。

本发明的有益效果：

本发明通过设置客户端模块采集当前预访问用户键入账号名称和账号密码，结合其过去所有次登录的同态元组链生成其本次登录的隐性同态序列码，在此过程中选定上一次登录的同态元组链为模板同态元组链，依据其内每个同态编号转换元组中的元素，在其余次登录的同态元组链中获取其元素所在位置，并用账号密码中的数字字符对获取到的所有元素位置进行筛选剔除，通过这种方式，借助常用登录设备才有的同态元组链数据进行认证，更加的安全可靠，且在此基础上，将账号密码中包含的数字字符信息隐性的加入其中，使得到的隐性同态序列码具备唯一性和复杂性，即使密码泄露，也将无法破解隐性同态序列码，同时替代了用密钥进行加密的方式避免了密钥丢失造成的身份信息验证数据泄露风险。

附图说明

下面结合附图对本发明作进一步的说明。

图1是本发明的系统框图；

图2是本发明的方法流程图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

实施例一，如图1、2所示，一种零信任统一身份认证系统及构建方法，包括客户端模块和零信任平台；

所述客户端模块，用于预访问用户进行访问登录，所述客户端模块中存储有当前预访问用户过去所有次登录的同态元组链；

所述客户端模块获取当前预访问用户键入的账号名称和账号密码后按照预设同态转换规则生成当前预访问用户本次登录的隐性同态序列码，具体如下：

S11：获取客户端模块中存储的当前预访问用户过去所有次登录的同态元组链，并按照登录时刻距离当前时刻的远近顺序，从远到近依次登录时刻对应的同态元组链标记为H1、H2、...、Hh，h≥1，所述同态元组链H1对应的登录时刻距离当前时刻最远；

同时将同态元组链Hh，重新标定为模板同态元组链；

S12：按照从左到右的顺序，将模板同态元组链中所有的同态链结点对应的同态编号转换元组依次标记为I1、I2、...、Ii，i≥1；

并同样按照从左到右的顺序，依次获取同态编号转换元组I1中包含的所有门户编号J1、J2、...、Jj，j≥1；

S13：获取当前预访问用户键入的账号密码中的所有数字字符，并按照键入的先后顺序，将所有的数字字符标记为Z1、Z2、...、Zz,z≥1；

S14：按照预设获取规则获取得到当前预访问用户本次登录的一组同态序列；

S141：按照从左到右的顺序，首先遍历同态元组链H1的第一个同态链结点对应的同态编号转换元组中的所有元素，若其内存在和门户编号J1相同的元素，获取该元素在同态编号转换元组中的顺序；

若该元素在同态编号转换元组中的顺序和数字字符Z1、Z2、...、Zz中任意一个数字字符相同，则不作任何处理，反之，则将该元素在同态编号转换元组中的顺序，作为门户编号J1的一个同态数值；

如其内不存在和门户编号J1相同的元素，则暂不做处理；

S142：按照S141，按照从左到右的顺序，依次遍历同态元组链H1的所有同态链结点对应的同态编号转换元组中的所有元素，得到多个门户编号J1的同态数值，按照其获取的先后顺序，从先往后依次将多个门户编号J1的同态数值进行拼接得到门户编号J1基于同态元组链H1的同态数列；

S143：按照S141到S142，依次得到门户编号J1、J2、...、Jj基于同态元组链H1的同态数列并按照门户编号J1、J2、...、Jj的顺序，将其基于同态元组链H1的同态数列进行拼接得到当前预访问用户本次登录的一组同态序列；

S15：按照S11到S14计算获取依次得到门户编号J1、J2、...、Jj基于同态元组链H1、H2、...、Hh-1的同态数列，进而得到当前预访问用户本次登录的h-1组同态序列；

所述客户端模块将h-1组同态序列进行混合打散，打散后将混合的h-1组同态序列进行拼接得到当前预访问用户本次登录的隐性同态序列码并将其传输到零信任平台；

这里需要说明的是混合打散是以组的形式进行混合打散，即是将同态序列和同态序列之间进行混合、打散，在本实施例中，所述账号密码为由数字、字母和特殊字符构成的12-16位字符；

所述客户端模块将当前预访问用户本次登录的隐性同态序列码和账号名称一起传输到零信任平台，所述零信任平台，用于对预访问用户进行身份认证，并对认证通过的预访问用户提供门户网站入口地址供给其访问对应的门户网站，所述零信任平台包括安全认证模块和门户网站模块；

所述零信任平台接收到客户端模块传输的当前预访问用户本次登录的隐性同态序列码和账号名称后后将其传输到安全认证模块，所述安全认证模块按照预设校验规则对其进行身份校验，校验通过后，所述安全认证模块生成校验通过指令后将其传输到门户网站模块；

所述安全认证模块中存储有所有经过授权允许登录的授权用户在过去所有次登录的同态元组链和其用以登录平台的登录名称、登录密码；

所述预设校验规则如下：

所述安全认证模块依据接收到的当前预访问用户的账号名称在其内找到与其对应的登录密码，并按照S11到S15还原得到当前预访问用户本次用以进行校验的隐性同态序列码，将还原得到的隐性同态序列码和接收到的隐性同态序列码进行一致性校验，若一致，则校验通过；

所述门户网站模块中存储有门户网站信息表，所述门户网站信息表包含有所有通过平台管理人员资格审核后的门户网站的网站名称、访问地址和门户编号，在本发明的一个实施例中，所述门户网站信息表内所有门户网站的门户编号是依据平台管理人员审核其资格的时间先后顺序，从先往后从数字1开始依次顺延往后进行的排序；

在本发明的一个实施例中，所述平台管理人员通过审核门户网站内的内容和向用户提供的服务来对其进行资格审核；

所述门户网站模块接收到安全认证模块传输的校验通过指令后依据其内存储的若干个门户网站的网站名称和访问地址生成对应的若干个门户网站按钮将其显示给当前预访问用户，供给其进行点击选择；

在本实施例中，一个所述门户网站按钮上显示有该门户网站的网站名称，一个所述门户网站访问选项关联一个门户网站的访问地址，用户可以根据门户网站按钮上显示的网站名称选定对应的门户网站，通过点击选定的门户网站按钮，将会跳转到该门户网站按钮关联的门户网站的访问地址进行对应门户网站访问；

在本实施例中，用户通过点击其他门户网站访问选项来切换访问其他的门户网站；

在本实施例中，所述门户网站特指基于web开发的网站，因此其具有前端和后端，前端用于向客户展示网站页面、表单、按钮、图片等等可以与用户直接交互的部分，后端进行数据处理和逻辑处理部分；

当前预登录用户选定并点击预访问的门户网站按钮后，通过其关联的门户网站访问地址，跳转到对应门户网站进行访问，同时门户网站模块对其在该对应门户网站的交互信息进行记录；

实施例二，所述零信任平台为用户提供有登出按钮，当当前预访问用户点击登出按钮时，所述门户网站模块按照预设生成规则生成当前预访问用户本次登录的同态元组链，具体如下：

S21：获取当前预访问用户在本次登录过程中访问门户网站时触发的所有次数据交互事件，并按照数据交互时间触发的先后顺序，从先往后依次将所有次触发的数据交互时间标记为A1、A2、...、Aa，a≥1；

当前预访问用户通过在一个门户网站内进行某种行为，包括但不限于点击门户网站提供的按钮、视频、表单等，导致门户网站A1的前端和后端之间进行了一次数据交互即为触发了一次数据交互事件，这个过程可能涉及到从前端发送请求到后端，然后后端处理这些请求并返回相应的数据给前端；

举例说明，一个门户网站提供有跳转页面功能，用户提供点击跳转页面功能，由前端向后端发送跳转请求，然后后端接收到该请求后将对应跳转页面的HTML文件发送到前端，由前端对其进行渲染显示给该用户，即为触发了一次数据交互事件；

S22：按照预设筛选规则筛选获取同态转换元组F1、F2、...、Ff，具体如下：

S221：计算获取数据交互事件A1和A2触发时刻的时间间隔，将其重新标定为数据交互事件A1和A2的事件触发差值B1，则事件触发差值B1对应所属有两个数据交互事件，分别为数据交互事件A1和A2；

将数据交互事件A1作为事件触发差值B1的第一交互事件，将数据交互事件A2作为事件触发间隔差值B1的第二交互事件；

S222：按照S221，分别计算获取数据交互事件A1和A2、A2和A3、...、Aa-1和Aa的事件触发差值B1、B2、...、Bb；

S223：将事件触发差值B1、B2、...、Bb分别和P1进行大小比较，基于比较结果，得到多个同态元组，所述P1为预设事件触发差值比较阈值；

一个所述同态元组中包含有多个事件触发差值，一个所述同态元组中的多个事件触发差值满足条件，在事件触发差值B1、B2、...、Bb的排列中是连续的且都小于等于P1；

这里需要说明的是，同态元组中包含的多个事件触发差值是有序的，其是依据B1、B2、...、Bb的顺序在同态元组中从左到右进行排列的；

S224：依据得到的多个同态元组，分别将每个同态元组中包含的事件触发差值用其对应的第一交互事件和第二交互事件进行替换，并对替换后的多个同态元组进行去重，得到对应的多个同态转换元组，并依据每个同态转换元组中从左到右位于第一个元素对应的触发时刻距离当前时刻的远近顺序，从远到近，将这多个同态转换元组依次标记为F1、F2、...、Ff；

S23：针对同态转换元组F1，将其内包含的所有元素用其触发时当前预访问用户正在访问的门户网站的门户编号进行替换，得到其的同态编号转换元组G1；

S24：按照S23，依次得到同态转换元组F1、F2、...、Ff的同态编号转换元组G1、G2、...、Gf，并依据其生成当前预访问用户本次登录的同态元组链，所述当前预访问用户本次登录的同态元组链中包含有f个同态链结点，一个同态链结点对应一个同态编号转换元组；

这里需要说明的是，当前预访问用户本次登录的同态元组链中的同态链结点有顺序，从左到右，分别对应的是同态编号转换元组G1、G2、...、Gf；

所述门户网站模块将当前预访问用户本次登录的同态元组链分别传输到客户端模块和安全认证模块中进行安全存储；在说明书的描述中，参考术语“一个实施例”、“示例”、“具体示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不一定指的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。

以上内容仅仅是对本发明所作的举例和说明，所属本技术领域的技术人员对所描述的具体实施例做各种各样的修改或补充或采用类似的方式替代，只要不偏离发明或者超越本权利要求书所定义的范围，均应属于本发明的保护范围。

以上对本发明的一个实施例进行了详细说明，但所述内容仅为本发明的较佳实施例，不能被认为用于限定本发明的实施范围。凡依本发明申请范围所作的均等变化与改进等，均应仍归属于本发明的专利涵盖范围之内。

Claims (7)

1.一种零信任统一身份认证系统，其特征在于，包括零信任平台和客户端模块；

零信任平台，用于向通过身份校验的预访问用户提供门户网站访问地址供给其访问对应的门户网站，所述零信任平台包括门户网站模块，所述门户网站模块中存储有所有通过平台管理人员资格审核后的门户网站的网站名称、访问地址和门户编号；

客户端模块，用于预访问用户访问登录零信任平台，客户端模块中存储有当前预访问用户过去所有次登录的同态元组链，一次登录的同态元组链中包括有若干同态链结点，一个所述同态链结点对应一个同态编号转换元组，一个同态编号转换元组中存储有若干个门户编号；

当前预访问用户键入账号名称和账号密码后由客户端模块对其进行获取，选定上一次登录的同态元组链为模板同态元组链，按照预设同态转换规则生成当前预访问用户本次登录的隐性同态序列码，具体如下：

S11：获取客户端模块中存储的当前预访问用户过去所有次登录的同态元组链，并按照登录时刻距离当前时刻的远近顺序，从远到近依次将所有的同态元组链标记为H1、H2、...、Hh，h≥1，同时将同态元组链Hh标定为模板同态元组链；

S12：按照从左到右的顺序，将模板同态元组链中所有的同态链结点对应的同态编号转换元组依次标记为I1、I2、...、Ii，i≥1；

并同样按照从左到右的顺序，依次获取同态编号转换元组I1中包含的所有门户编号J1、J2、...、Jj，j≥1；

S13：获取当前预访问用户键入的账号密码中的所有数字字符，并按照键入的先后顺序，将所有的数字字符标记为Z1、Z2、...、Zz,z≥1；

S14：基于同态元组链H1，按照预设获取规则获取得到当前预访问用户本次登录的一组同态序列，具体如下：

S141：按照从左到右的顺序，首先遍历同态元组链H1的第一个同态链结点对应的同态编号转换元组中的所有元素，若其内存在和门户编号J1相同的元素，获取该元素在同态编号转换元组中的顺序，若该元素在同态编号转换元组中的顺序和数字字符Z1、Z2、...、Zz中任意一个数字字符相同，则不作任何处理，反之，则将该元素在同态编号转换元组中的顺序，作为门户编号J1的一个同态数值；

若其内不存在和门户编号J1相同的元素，则暂不做处理；

S142：按照S141，按照从左到右的顺序，依次遍历同态元组链H1的所有同态链结点对应的同态编号转换元组中的所有元素，得到多个门户编号J1的同态数值，按照其获取的先后顺序，从先往后依次将多个门户编号J1的同态数值进行拼接得到门户编号J1基于同态元组链H1的同态数列；

S143：按照S141到S142，依次得到门户编号J1、J2、...、Jj基于同态元组链H1的同态数列并按照门户编号J1、J2、...、Jj的顺序，将其基于同态元组链H1的同态数列进行拼接得到当前预访问用户本次登录的一组同态序列；

S15：按照S11到S14，基于同态元组链H1、H2、...、Hh-1得到当前预访问用户本次登录的h-1组同态序列；

所述客户端模块将h-1组同态序列进行混合打散，打散后将混合的h-1组同态序列进行拼接得到当前预访问用户本次登录的隐性同态序列码。

2.根据权利要求1所述的一种零信任统一身份认证系统，其特征在于，所述当前预访问用户的账号密码是由数字、字符和英文字母组成的12到16位字符。

3.根据权利要求1所述的一种零信任统一身份认证系统，其特征在于，零信任平台还包括安全认证模块，安全认证模块，用于对预登录用户进行身份校验，安全认证模块中存储有所有经过平台授权用户的登录名称、登录密码和过去所有次登录的同态元组链。

4.根据权利要求3所述的一种零信任统一身份认证系统，其特征在于，门户网站模块，对身份校验通过后的预登录用户提供所有若干网站按钮，供给预登录用户进行点击访问对应的门户网站。

5.根据权利要求1所述的一种零信任统一身份认证系统，其特征在于，零信任平台提供有登出按钮，当前预登录用户点击登出按钮后，由门户网站模块按照预设生成规则生成当前预登录用户本次登录的同态元组链，具体如下：

S21：获取当前预访问用户在本次登录过程中访问门户网站时触发的所有次数据交互事件，并按照数据交互时间触发的先后顺序，从先往后依次将所有次触发的数据交互时间标记为A1、A2、...、Aa，a≥1；

S22：按照预设筛选规则筛选获取同态转换元组F1、F2、...、Ff；

S23：针对同态转换元组F1，将其内包含的所有元素用其触发时当前预访问用户正在访问的门户网站的门户编号进行替换，得到其的同态编号转换元组G1；

S24：按照S23，依次得到同态转换元组F1、F2、...、Ff的同态编号转换元组G1、G2、...、Gf，并依据其生成当前预访问用户本次登录的同态元组链，所述当前预访问用户本次登录的同态元组链中包含有f个同态链结点，一个同态链结点对应一个同态编号转换元组；

当前预访问用户本次登录的同态元组链中的同态链结点有顺序，从左到右，分别对应的是同态编号转换元组G1、G2、...、Gf。

6.根据权利要求5所述的一种零信任统一身份认证系统，其特征在于，所述S22，筛选获取同态转换元组F1、F2、...、Ff的具体筛选规则如下：

S221：计算获取数据交互事件A1和A2触发时刻的时间间隔，将其重新标定为数据交互事件A1和A2的事件触发差值B1，则事件触发差值B1对应所属有两个数据交互事件，分别为数据交互事件A1和A2；

将数据交互事件A1作为事件触发差值B1的第一交互事件，将数据交互事件A2作为事件触发间隔差值B1的第二交互事件；

S222：按照S221，分别计算获取数据交互事件A1和A2、A2和A3、...、Aa-1和Aa的事件触发差值B1、B2、...、Bb；

S223：将事件触发差值B1、B2、...、Bb分别和P1进行大小比较，基于比较结果，得到多个同态元组，所述P1为预设事件触发差值比较阈值；

一个所述同态元组中包含有多个事件触发差值，一个所述同态元组中的多个事件触发差值满足条件，在事件触发差值B1、B2、...、Bb的排列中是连续的且都小于等于P1；

同态元组中包含的多个事件触发差值是有序的，其是依据B1、B2、...、Bb的顺序在同态元组中从左到右进行排列的；

S224：依据得到的多个同态元组，分别将每个同态元组中包含的事件触发差值用其对应的第一交互事件和第二交互事件进行替换，并对替换后的多个同态元组进行去重，得到对应的多个同态转换元组，并依据每个同态转换元组中从左到右位于第一个元素对应的触发时刻距离当前时刻的远近顺序，从远到近，将这多个同态转换元组依次标记为F1、F2、...、Ff。

7.一种零信任统一身份认证构建方法，应用于如权利要求1-6所述的一种零信任统一身份认证系统，其特征在于，该方法具体包括以下步骤：

步骤一：客户端模块对当前预访问用户键入的账号名称和账号密码进行采集；

步骤二：基于当前预访问用户过去所有次登录的同态元组链结合采集到的当前预登录用户键入的账号名称和账号密码按照预设同态转换规则生成当前预访问用户本次登录的隐性同态序列码，将其传输到安全认证模块；

步骤三：安全认证模块接收到当前预访问用户本次登录的隐性同态序列码后对其身份进行校验，校验通过后生成校验通过指令并将其传输到门户网站模块；

步骤四：门户网站模块接收到传输的校验通过指令后对身份校验通过后的预登录用户提供所有若干网站按钮，供给预登录用户进行点击访问对应的门户网站；

步骤五：当当前预访问用户点击登出按钮后，由门户网站模块按照预设生成规则生成当前预登录用户本次登录的同态元组链并将其分别传输到客户端模块和安全认证模块进行存储。