CN114268494A - 安全访问方法、系统、设备及介质 - Google Patents
安全访问方法、系统、设备及介质 Download PDFInfo
- Publication number
- CN114268494A CN114268494A CN202111579920.XA CN202111579920A CN114268494A CN 114268494 A CN114268494 A CN 114268494A CN 202111579920 A CN202111579920 A CN 202111579920A CN 114268494 A CN114268494 A CN 114268494A
- Authority
- CN
- China
- Prior art keywords
- user
- authority
- authentication
- access
- password
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明提供了一种安全访问方法、系统、设备及介质,其中,安全访问方法包括:基于认证策略对用户的身份进行验证;获取通过认证的用户的身份实体属性,根据身份实体属性确定用户的系统权限;采集用户的帐户信息、当前设备状态及行为属性;根据用户信息、当前设备状态及行为属性得到用户的用户权限;以及根据系统权限和用户权限对用户进行权限控制,权限控制包括允许用户进行访问、限制用户访问或拒绝用户访问。本发明基于零信任主要原理和软件研发环境,设置认证策略、设定系统权限再进行用户权限评估,实现了访问权限的动态更新,保障研发环境的安全使用。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种安全访问方法、系统、设备及介质,可用于软件研发环境。
背景技术
零信任网络(亦称零信任架构)概念最早是John Kindervag(约翰·金德维格)于2010年提出的,开始几年并未得到广泛关注。随着高级威胁和内部风险层出不穷,云计算、大数据、移动互联网的飞速发展,远程办公、企业异地分支等的大量应用,网络边界的物理界限越来越模糊。另外,传统网络的安全短板日益明显。2017年9月,美国发生了史上最大的用户数据安全事件,造成美国1.43亿人的个人信息安全问题。美国最大的移动运营商Verizon报告分析指出,81%的黑客可轻而易举地获得数据的访问权限,成功网络安全问题。根据《2018Insider Threat Report》显示,内部威胁是造成网络安全的第二大原因。因此,零信任网络的内生驱动力持续加强。
谷歌在2011年启动BeyondCorp计划,于2017年成功完成,为零信任在大型、新型网络的实践提供了参考架构。在BeyondCorp计划中,访问只依赖于设备和用户凭证,而与用户所处的网络位置无关。美国网络安全厂商PaloAlto利用其下一代防火墙产品,实现了零信任网络架构。另一家美国网络安全厂商Cyxtera提出了AppGateSDP方案,实现了CSA的SDP架构。其他网络安全和IT厂商,如Symantec、Cisco、VMWare等,相继推出了自己的零信任产品或架构。随着各大厂商的进入与推进,零信任在业界持续升温,在RSAC2019年展会达到高潮。零信任网络是在不依赖网络传输层物理安全机制的前提下,有效保护网络通信和业务访问。
零信任,即对任何事务均建立在不信任的基础之上。中心思想是不应自动信任内部或外部的任何事物,应在授权前对任何试图接入系统的事物进行验证。本发明针对软件研发环境的安全问题,提出了一种基于零信任架构的安全访问方法。
发明内容
鉴于上述问题,本发明提供了一种安全访问方法、系统、设备、介质及程序产品。
根据本发明的第一方面,提供了一种安全访问方法,包括:基于认证策略对用户的身份进行验证;获取通过认证的用户的身份实体属性,根据身份实体属性确定用户的系统权限;采集用户的帐户信息、当前设备状态及行为属性;根据用户信息、当前设备状态及行为属性得到用户的用户权限;以及根据系统权限和用户权限对用户进行权限控制,权限控制包括允许用户进行访问、限制用户访问或拒绝用户访问。
根据本发明的实施例,基于认证策略对用户的身份进行验证包括:选取多因子认证项目进行密码认证,其中,多因子认证项目包括系统邮箱和社交帐户,社交帐户包括用户的至少一个的社交帐户;若密码认证未通过或基于认证策略检测未通过,则对用户进行二次认证,其中,认证策略包括强制密码策略、密码超期策略及超期未登陆策略。
根据本发明的实施例,若密码认证未通过或基于认证策略检测未通过,则对用户进行二次认证包括:若密码认证未通过,则进行二次认证;若密码认证通过,则按照强制密码策略对密码的位数及符号种类进行第一检测,若第一检测未通过则进行二次认证;若密码认证通过,则按照密码超期策略对密码的累计使用时间进行第二检测,若第二检测未通过则进行二次认证;若密码认证通过,则按照超期未登陆策略对用户的登陆时间及历史登陆时间进行第三检测,若第三检测未通过则进行二次认证。
根据本发明的实施例,获取通过认证的用户的身份实体属性,根据身份实体属性确定用户的系统权限包括:生成系统权限表,其中,根据工具类别和测试类型生成测试环境系统权限表,根据人员角色和平台工具生成集成环境系统权限表,根据编程语言和开发项目生成开发环境系统权限表;根据身份实体属性确认对应的系统权限表,以确定系统权限。
根据本发明的实施例,根据用户信息、当前设备状态及行为属性得到用户的用户权限包括:根据用户信息、当前设备状态及行为属性计算风险值th;根据风险值th匹配用户权限。
根据本发明的实施例,进行二次认证包括:向安全设备发送验证码;填写验证码进行验证码验证;若验证码验证正确则选择安全信息问题答案;若安全信息问题答案正确则判断用户通过二次认证。
本发明的第二方面提供了一种安全访问系统,包括:验证模块,用于基于认证策略对用户的身份进行验证;系统权限模块,用于获取通过认证的用户的身份实体属性,根据身份实体属性确定用户的系统权限;采集模块,用于采集用户的帐户信息、当前设备状态及行为属性;用户权限模块,用于根据用户信息、当前设备状态及行为属性得到用户的用户权限;以及权限控制模块,用于根据系统权限和用户权限对用户进行权限控制,权限控制包括允许用户进行访问、限制用户访问或拒绝用户访问。
本发明的第三方面提供了一种电子设备,包括:一个或多个处理器;存储器,用于存储一个或多个程序,其中,当所述一个或多个程序被所述一个或多个处理器执行时,使得一个或多个处理器执行上述安全访问方法。
本发明的第四方面还提供了一种计算机可读存储介质,其上存储有可执行指令,该指令被处理器执行时使处理器执行上述安全访问方法。
本发明的第五方面还提供了一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现上述安全访问方法。
附图说明
通过以下参照附图对本发明实施例的描述,本发明的上述内容以及其他目的、特征和优点将更为清楚,在附图中:
图1示意性示出了根据本发明实施例的安全访问方法、系统、设备、介质和程序产品的应用场景图;
图2示意性示出了根据本发明实施例的安全访问方法的流程图;
图3示意性示出了根据本发明实施例的用户身份验证的流程图;
图4示意性示出了根据本发明实施例的不同环境的权限控制流程图;
图5示意性示出了根据本发明实施例的用户权限的评估模型;
图6示意性示出了根据本发明实施例的安全访问装置的结构框图;以及
图7示意性示出了根据本发明实施例的适于实现安全访问方法的电子设备的方框图。
具体实施方式
以下,将参照附图来描述本发明的实施例。但是应该理解,这些描述只是示例性的,而并非要限制本发明的范围。在下面的详细描述中,为便于解释,阐述了许多具体的细节以提供对本发明实施例的全面理解。然而,明显地,一个或多个实施例在没有这些具体细节的情况下也可以被实施。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本发明的概念。
在此使用的术语仅仅是为了描述具体实施例,而并非意在限制本发明。在此使用的术语“包括”、“包含”等表明了所述特征、步骤、操作和/或部件的存在,但是并不排除存在或添加一个或多个其他特征、步骤、操作或部件。
在此使用的所有术语(包括技术和科学术语)具有本领域技术人员通常所理解的含义,除非另外定义。应注意,这里使用的术语应解释为具有与本说明书的上下文相一致的含义,而不应以理想化或过于刻板的方式来解释。
在使用类似于“A、B和C等中至少一个”这样的表述的情况下,一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如,“具有A、B和C中至少一个的系统”应包括但不限于单独具有A、单独具有B、单独具有C、具有A和B、具有A和C、具有B和C、和/或具有A、B、C的系统等)。
图1示意性示出了根据本发明实施例的安全访问方法、系统、设备、介质及程序产品的应用场景图。
如图1所示,根据该实施例的应用场景100可以包括用户通过各自计算机设备对软件开发环境进行访问。网络103用以在终端设备101、102和服务器104之间提供通信链路的介质。网络103可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
用户可以使用终端设备101、102通过网络103与服务器104交互,以接收或发送消息等。终端设备101、102上可以安装有各种软件开发平台、软件测试平台等客户端。
终端设备101、102可以是具有显示屏并且支持软件开放或测试的各种计算机设备,包括但不限于膝上型便携计算机和台式计算机等等。
服务器104可以是提供各种服务的服务器,例如对用户利用终端设备101、102所提交的访问请求进行权限管理。后台管理服务器可以对接收到的用户的访问请求,并将处理结果(例如允许用户访问或拒绝用户访问)反馈给终端设备。
需要说明的是,本发明实施例所提供的安全访问方法一般可以由服务器104执行。相应地,本发明实施例所提供的安全访问装置一般可以设置于服务器104中。本发明实施例所提供的安全访问方法也可以由不同于服务器104且能够与终端设备101、102和/或服务器104通信的服务器或服务器集群执行。相应地,本发明实施例所提供的安全访问装置也可以设置于不同于服务器104且能够与终端设备101、102和/或服务器104通信的服务器或服务器集群中。
应该理解,图1中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端设备、网络和服务器。
以下将基于图1描述的场景,通过图2~图5对发明实施例的安全访问方法进行详细描述。
本发明的实施例提供了一种安全访问方法,目的在于解决对软件研发环境的访问权限的控制问题。本发明的方案基于软件研发的环境,提出了一种包含零信任构架的安全访问方法。零信任,即对任何事务均建立在不信任的基础之上。中心思想是不应自动信任内部或外部的任何事物,应在授权前对任何试图接入系统的事物进行验证。而本申请的零信任构架是适配于软件研发环境的,主要分为2个方面,一是基于认证策略的多维身份认证,一是通过系统权限和基于动态访问控制的用户权限来对访问权限的管理。其中,多维身份认证包括多因子认证的方法、认证策略的检测及二次认证。
图2示意性示出了根据本发明实施例的安全访问方法的流程图。
如图2所示,该实施例的安全访问方法包括操作S201~操作S205。
在操作S201,基于认证策略对用户的身份进行验证。
在操作S202,获取通过认证的用户的身份实体属性,根据身份实体属性确定用户的系统权限。
在操作S203,采集用户的帐户信息、当前设备状态及行为属性。
在操作S204,根据用户信息、当前设备状态及行为属性得到用户的用户权限。
在操作205,根据系统权限和用户权限对用户进行权限控制,权限控制包括允许用户进行访问、限制用户访问或拒绝用户访问。
在本发明的实施例中,在采集用户的帐户信息、当前设备状态及行为属性之前,可以获得用户的同意或授权。例如,在操作S203之前,可以向用户发出获取帐户信息、当前设备状态及行为属性的授权请求。在用户同意或授权可以获取用户信息的情况下,执行所述操作S203。
在本发明一具体的实施例中,用户为软件研发人员,其可通过开发客户端对处于服务器中的开发环境发送访问请求。在该访问请求发送之前,服务器需要对该用户进行身份验证,即对用户进行多种策略的密码认证。
在该身份认证完成之后,服务器获取用户的身份实体属性为研发人员。该身份实体属性即该用户的身份,例如研发人员、运维人员、发布配置管理员、测试人员、测试配置管理员。不同的身份实体属性对应不同的软件研发环境,其中,软件研发环境包括:开发环境、集成环境、测试环境。开发环境对应研发人员使用,其主要功能包括代码管理、代码开发、代码提交。集成环境对应运维人员和发布配置管理员使用,其主要功能包括发布版本控制、产品发布。测试环境对应测试人员和测试配置管理员使用,其主要功能包括远程测试、测试版本控制。
获取身份实体属性之后,根据不同的身份实体属性,确认其身份实体属性对应的软件研发环境对应的系统权限。例如身份实体属性为研发人员,于是得到了研发人员对应的开发环境的系统权限。系统权限是系统预设的权限等级,对应控制用户在系统中访问的权限的访问及预设的权限等级。例如,对于研发人员,其在开发环境中对于开发平台的访问的系统权限为安全访问,其系统权限等级用1表示;而对于代码版本管理的系统权限为禁止访问,其系统权限等级用3表示。
确认系统权限之后,通过获取用户的帐户信息、当前设备状态及行为属性来得到用户的用户权限,即通过实时采集信息的方式来更新用户的用户权限,即用户权限是动态更新的,而系统权限是预设的、不会动态更新的。最后,服务器基于系统权限和用户权限对用户进行权限控制,权限控制包括允许用户进行访问、限制用户访问或拒绝用户访问。例如,研发人员对于代码版本管理的系统权限为禁止访问,而其用户权限为允许用户访问,服务器对用户的权限控制为拒绝用户访问,即权限控制基于系统权限和用户权限联合控制。
本发明基于零信任主要原理和软件研发环境,根据是否信任对访问权限分为三类:安全访问、监控访问、限制访问。设定系统权限,再根据人员的操作行为进行用户权限动态评估,可以实时更新访问权限,保障研发环境的安全使用。
在本发明一实施例中,本发明的方案基于认证策略对用户的身份进行验证,包括:选取多因子认证项目进行密码认证,其中,多因子认证项目包括系统邮箱和社交帐户,社交帐户包括用户的至少一个的社交帐户;若密码认证未通过或基于认证策略检测未通过,则对用户进行二次认证,其中,认证策略包括强制密码策略、密码超期策略及超期未登陆策略。
若密码认证未通过或基于认证策略检测未通过,则对用户进行二次认证包括:若密码认证未通过,则进行二次认证;若密码认证通过,则按照强制密码策略对密码的位数及符号种类进行第一检测,若第一检测未通过则进行二次认证;若密码认证通过,则按照密码超期策略对密码的累计使用时间进行第二检测,若第二检测未通过则进行二次认证;若密码认证通过,则按照超期未登陆策略对用户的登陆时间及历史登陆时间进行第三检测,若第三检测未通过则进行二次认证。
本发明是针对软件研发环境的办公人员设置,针对不同的软件研发环境对应的办公人员,其在接入该软件研发环境之前,需要对其身份接入到统一的身份认证平台进行身份的验证。参见图3,图3示意性示出了根据本发明实施例的用户身份验证的流程图。首先,本发明的登陆账号采取多因子认证项目选择的方式进行,该多因子认证项目包括至少2个账户信息,即必选的一个系统邮箱帐号和可多选的至少一个的社交帐户。系统邮箱可为公司邮箱,社交账户可为私人邮箱或各种其他社交平台帐号。在选择至少2个账户信息的多因子认证项目后,用户输入密码进行密码认证。
其次,服务器对该密码进行检测,若密码认证失败,则进行二次认证;若密码认证成功,则基于认证策略对用户的安全行为进行检测,其中包括强制密码策略、密码超期策略及超期未登陆策略,分别对应的密码的强度、密码的累计使用时间及历史的登陆时间进行监控检测。具体的,一可选地实施例为:按照强制密码策略对密码的位数及符号种类进行检测,若位数及符号种类不合格则进行二次认证,不合格的情况可为密码的位数过少、符号种类过少,例如可具体设定为密码位数至少大于9位且密码至少包含两种符号;按照密码超期策略对密码的累计使用时间进行检测,若累计使用时间不合格则进行二次认证,并可于二次认证通过后提醒更改密码,其中,累计使用时间超过3个月,则可视为不合格;按照超期未登陆策略对用户的登陆时间及历史登陆时间进行检测,若历史登陆时间与登陆时间间隔大于预设超期期限,则进行二次认证,其中,历史登陆时间与登陆时间间隔大于3个月,则视为不合格。
在本发明又一实施例中,上述的二次认证包括:向安全设备发送验证码;填写所述验证码进行验证码验证;若所述验证码验证正确则选择安全信息问题答案;若所述安全信息问题答案正确则判断所述用户通过所述二次认证。可选地,安全设备可选为手机并通过手机号获取验证码进行安全设备的验证;安全信息问题包括对该用户常用的操作环境/使用语言/操作工具问题选答,以验证该帐户是否被常用人员登陆。
在本发明另一实施例中,本发明采取获取通过认证的用户的身份实体属性,根据身份实体属性确定用户的系统权限,包括:生成系统权限表,其中,根据工具类别和测试类型生成测试环境系统权限表,根据人员角色和平台工具生成集成环境系统权限表,根据编程语言和开发项目生成开发环境系统权限表;根据身份实体属性确认对应的系统权限表,以确定系统权限。
可选地,生成系统权限表,对软件研发环境进行多粒度功能控制,其中,下列系统权限分为安全访问、监控访问、限制访问,分别用1、2、3代表,如下表1、表2及表3所示。其中,安全访问代表用户有权访问,监控访问代表用户有权在受监控的条件下访问,限制访问代表用户无权访问。
表1为研发人员对应的开发环境系统权限表:
表1
表2为测试人员和测试配置管理员对应的测试环境系统权限表:
表2
| 工具类别/测试类型 | 功能测试 | 性能测试 | 安全测试 | 配置管理 |
| Web架构中间件 | 1 | 2 | 3 | 1 |
| C/S架构中间件 | 1 | 2 | 3 | 1 |
| 性能测试工具 | 3 | 1 | 3 | 2 |
| 代码审计工具 | 3 | 2 | 1 | 2 |
| 漏洞扫描工具 | 3 | 2 | 1 | 2 |
| 抓包测试工具 | 3 | 2 | 1 | 2 |
| 逆向功能测试 | 3 | 2 | 1 | 1 |
表3为运维人员和发布配置管理员对应的集成环境系统权限表:
表3
| 平台工具/人员角色 | 运维人员 | 发布配置管理员 |
| Web架构中间件 | 2 | 1 |
| C/S架构中间件 | 2 | 1 |
| 内部接口服务器 | 1 | 2 |
| 外部接口服务器 | 1 | 2 |
对于不同的访问人员和访问环境,不同组的人员访问研发环境协同工作流程如下,如图4所示:
1)研发人员通过访问开发环境时,根据权限完全访问部分开发环境,在开发环境里进行远程开发、代码管理以及对代码进行上传到测试区。
2)测试配置管理员根据权限限制访问测试配置区,将代码打标签后上传到测试环境;
3)测试人员根据权限完全访问测试环境,对测试代码进行测试,测试成功后将代码上传到发布配置区;
4)发布配置管理员根据权限限制访问发布配置区,对代码打标签后上传到集成环境;
5)运维人员根据权限完全访问集成环境,对系统进行发布。
本发明的系统权限可参考上述表1、表2及表3进行设置。在本发明的另一实施例中,根据用户信息、当前设备状态及行为属性可得到用户的用户权限,包括:根据用户信息、当前设备状态及行为属性计算风险值th;根据风险值th匹配用户权限。
参见图5,图5示意性示出了根据本发明实施例的用户权限的评估模型。用户权限评估模型根据用户权限的评估策略做动态监测检查并告警。模型的输入包括用户信息、设备状态、访问信息、行为属性等。用户信息包括用户ID、用户角色;设备状态包括已安装的操作系统及应用软件版本;行为属性包括访问时间、来源IP地址、来源地理位置等。其中,风险值th的计算公式如下:
th=0.3(F1(0.5f1+0.5f2)+F2(0.5p1+0.5p2)+F3(0.4k1+0.3k2+0.3k3))
F1为用户信息系数,f1为ID系数,f2为角色系数,F2为设备状态系数,p1为操作系统版本系数,p2为软件版本系数,F3为行为属性系数,k1为IP地址系数,k2为访问时间系数,k3为地理位置系数。计算th之前,采集当前的用户信息(F1)、设备状态(F2)以及行为属性(F3),与存储在服务器中的相应基准值进行比较,得到上述系数,将上述系数汇总输入服务器中分析所得的风险值th,并根据风险值th匹配用户权限。其中,当风险值th大于等于80%时,匹配得用户权限为安全访问,并记录为1;当风险值th大于等于60%,小于80%时,匹配得用户权限为监控访问,并记录为2;当风险值th小于60%时,匹配得用户权限为禁止访问,并记录为3,并进行告警处理,提醒用户有安全风险。
在本发明又一实施例中,根据系统权限和用户权限对用户进行权限控制,权限控制包括允许用户进行访问、限制用户访问或拒绝用户访问。其中,即当系统权限为1且用户权限为1时获得允许用户进行访问的权限控制命令;当系统权限为2或用户权限为2时获得限制用户访问的权限控制命令,即在监控的条件下限制用户的访问;当系统权限为3或用户权限为3时获得拒绝用户访问的权限控制命令。
基于上述安全访问方法,本发明还提供了一种安全访问系统。以下将结合图6对该系统进行详细描述。
图6示意性示出了根据本发明实施例的安全访问系统的结构框图。
如图6所示,该实施例的安全访问系统600包括验证模块601、系统权限模块602、采集模块603、用户权限模块604和权限控制模块605。
验证模块601,用于基于认证策略对用户的身份进行验证。在一实施例中,验证模块601可以用于执行前文描述的操作S201,在此不再赘述。
系统权限模块602,用于获取通过认证的用户的身份实体属性,根据身份实体属性确定用户的系统权限。在一实施例中,系统权限模块602可以用于执行前文描述的操作S202,在此不再赘述。
采集模块603,用于采集用户的帐户信息、当前设备状态及行为属性。在一实施例中,采集模块603可以用于执行前文描述的操作S203,在此不再赘述。
用户权限模块604,用于根据用户信息、当前设备状态及行为属性得到用户的用户权限。在一实施例中,用户权限模块604可以用于执行前文描述的操作S204,在此不再赘述。
权限控制模块605,用于根据系统权限和用户权限对用户进行权限控制,权限控制包括允许用户进行访问、限制用户访问或拒绝用户访问。在一实施例中,权限控制模块605可以用于执行前文描述的操作S205,在此不再赘述。
根据本发明的实施例,验证模块601、系统权限模块602、采集模块603、用户权限模块604和权限控制模块605中的任意多个模块可以合并在一个模块中实现,或者其中的任意一个模块可以被拆分成多个模块。或者,这些模块中的一个或多个模块的至少部分功能可以与其他模块的至少部分功能相结合,并在一个模块中实现。根据本发明的实施例,验证模块601、系统权限模块602、采集模块603、用户权限模块604和权限控制模块605中的至少一个可以至少被部分地实现为硬件电路,例如现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、片上系统、基板上的系统、封装上的系统、专用集成电路(ASIC),或可以通过对电路进行集成或封装的任何其他的合理方式等硬件或固件来实现,或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者,验证模块601、系统权限模块602、采集模块603、用户权限模块604和权限控制模块605中的至少一个可以至少被部分地实现为计算机程序模块,当该计算机程序模块被运行时,可以执行相应的功能。
图7示意性示出了根据本发明实施例的适于实现……方法的电子设备的方框图。
如图7所示,根据本发明实施例的电子设备700包括处理器701,其可以根据存储在只读存储器(ROM)702中的程序或者从存储部分708加载到随机访问存储器(RAM)703中的程序而执行各种适当的动作和处理。处理器701例如可以包括通用微处理器(例如CPU)、指令集处理器和/或相关芯片组和/或专用微处理器(例如,专用集成电路(ASIC))等等。处理器701还可以包括用于缓存用途的板载存储器。处理器701可以包括用于执行根据本发明实施例的方法流程的不同动作的单一处理单元或者是多个处理单元。
在RAM 703中,存储有电子设备700操作所需的各种程序和数据。处理器701、ROM702以及RAM 703通过总线704彼此相连。处理器701通过执行ROM 702和/或RAM 703中的程序来执行根据本发明实施例的方法流程的各种操作。需要注意,所述程序也可以存储在除ROM 702和RAM 703以外的一个或多个存储器中。处理器701也可以通过执行存储在所述一个或多个存储器中的程序来执行根据本发明实施例的方法流程的各种操作。
根据本发明的实施例,电子设备700还可以包括输入/输出(I/O)接口705,输入/输出(I/O)接口705也连接至总线704。电子设备700还可以包括连接至I/O接口705的以下部件中的一项或多项:包括键盘、鼠标等的输入部分706;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分707;包括硬盘等的存储部分708;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分709。通信部分709经由诸如因特网的网络执行通信处理。驱动器710也根据需要连接至I/O接口705。可拆卸介质711,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器710上,以便于从其上读出的计算机程序根据需要被安装入存储部分708。
本发明还提供了一种计算机可读存储介质,该计算机可读存储介质可以是上述实施例中描述的设备/系统/系统中所包含的;也可以是单独存在,而未装配入该设备/系统/系统中。上述计算机可读存储介质承载有一个或者多个程序,当上述一个或者多个程序被执行时,实现根据本发明实施例的方法。
根据本发明的实施例,计算机可读存储介质可以是非易失性的计算机可读存储介质,例如可以包括但不限于:便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本发明中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、系统或者器件使用或者与其结合使用。例如,根据本发明的实施例,计算机可读存储介质可以包括上文描述的ROM 702和/或RAM 703和/或ROM 702和RAM 703以外的一个或多个存储器。
本发明的实施例还包括一种计算机程序产品,其包括计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。当计算机程序产品在计算机系统中运行时,该程序代码用于使计算机系统实现本发明实施例所提供的安全访问方法。
在该计算机程序被处理器701执行时执行本发明实施例的系统/系统中限定的上述功能。根据本发明的实施例,上文描述的系统、系统、模块、单元等可以通过计算机程序模块来实现。
在一种实施例中,该计算机程序可以依托于光存储器件、磁存储器件等有形存储介质。在另一种实施例中,该计算机程序也可以在网络介质上以信号的形式进行传输、分发,并通过通信部分709被下载和安装,和/或从可拆卸介质711被安装。该计算机程序包含的程序代码可以用任何适当的网络介质传输,包括但不限于:无线、有线等等,或者上述的任意合适的组合。
在这样的实施例中,该计算机程序可以通过通信部分709从网络上被下载和安装,和/或从可拆卸介质711被安装。在该计算机程序被处理器701执行时,执行本发明实施例的系统中限定的上述功能。根据本发明的实施例,上文描述的系统、设备、系统、模块、单元等可以通过计算机程序模块来实现。
根据本发明的实施例,可以以一种或多种程序设计语言的任意组合来编写用于执行本发明实施例提供的计算机程序的程序代码,具体地,可以利用高级过程和/或面向对象的编程语言、和/或汇编/机器语言来实施这些计算程序。程序设计语言包括但不限于诸如Java,C++,python,“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
附图中的流程图和框图,图示了按照本发明各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
本领域技术人员可以理解,本发明的各个实施例和/或权利要求中记载的特征可以进行多种组合或/或结合,即使这样的组合或结合没有明确记载于本发明中。特别地,在不脱离本发明精神和教导的情况下,本发明的各个实施例和/或权利要求中记载的特征可以进行多种组合和/或结合。所有这些组合和/或结合均落入本发明的范围。
以上对本发明的实施例进行了描述。但是,这些实施例仅仅是为了说明的目的,而并非为了限制本发明的范围。尽管在以上分别描述了各实施例,但是这并不意味着各个实施例中的措施不能有利地结合使用。本发明的范围由所附权利要求及其等同物限定。不脱离本发明的范围,本领域技术人员可以做出多种替代和修改,这些替代和修改都应落在本发明的范围之内。
Claims (10)
1.一种安全访问方法,包括:
基于认证策略对用户的身份进行验证;
获取通过认证的用户的身份实体属性,根据所述身份实体属性确定所述用户的系统权限;
采集所述用户的帐户信息、当前设备状态及行为属性;
根据所述用户信息、当前设备状态及行为属性得到所述用户的用户权限;以及
根据所述系统权限和所述用户权限对所述用户进行权限控制,所述权限控制包括允许所述用户进行访问、限制所述用户访问或拒绝所述用户访问。
2.根据权利要求1所述的安全访问方法,所述基于认证策略对用户的身份进行验证包括:
选取多因子认证项目进行密码认证,其中,所述多因子认证项目包括系统邮箱和社交帐户,所述社交帐户包括所述用户的至少一个的社交帐户;
若所述密码认证未通过或基于所述认证策略检测未通过,则对所述用户进行二次认证,其中,所述认证策略包括强制密码策略、密码超期策略及超期未登陆策略。
3.根据权利要求2所述的安全访问方法,所述若所述密码认证未通过或基于所述认证策略检测未通过,则对所述用户进行二次认证包括:
若所述密码认证未通过,则进行所述二次认证;
若所述密码认证通过,则按照所述强制密码策略对所述密码的位数及符号种类进行第一检测,若所述第一检测未通过则进行所述二次认证;
若所述密码认证通过,则按照所述密码超期策略对所述密码的累计使用时间进行第二检测,若所述第二检测未通过则进行所述二次认证;
若所述密码认证通过,则按照所述超期未登陆策略对所述用户的登陆时间及历史登陆时间进行第三检测,若所述第三检测未通过则进行所述二次认证。
4.根据权利要求1所述的安全访问方法,所述获取通过认证的用户的身份实体属性,根据所述身份实体属性确定所述用户的系统权限包括:
生成系统权限表,其中,根据工具类别和测试类型生成测试环境系统权限表,根据人员角色和平台工具生成集成环境系统权限表,根据编程语言和开发项目生成开发环境系统权限表;
根据所述身份实体属性确认对应的所述系统权限表,以确定所述系统权限。
5.根据权利要求1所述的安全访问方法,所述根据所述用户信息、当前设备状态及行为属性得到所述用户的用户权限包括:
根据所述用户信息、当前设备状态及行为属性计算风险值th;
根据所述风险值th匹配所述用户权限。
6.根据权利要求3所述的安全访问方法,所述进行所述二次认证包括:
向安全设备发送验证码;
填写所述验证码进行验证码验证;
若所述验证码验证正确则选择安全信息问题答案;
若所述安全信息问题答案正确则判断所述用户通过所述二次认证。
7.一种安全访问系统,包括:
验证模块,用于基于认证策略对用户的身份进行验证;
系统权限模块,用于获取通过认证的用户的身份实体属性,根据所述身份实体属性确定所述用户的系统权限;
采集模块,用于采集所述用户的帐户信息、当前设备状态及行为属性;
用户权限模块,用于根据所述用户信息、当前设备状态及行为属性得到所述用户的用户权限;以及
权限控制模块,用于根据所述系统权限和所述用户权限对所述用户进行权限控制,所述权限控制包括允许所述用户进行访问、限制所述用户访问或拒绝所述用户访问。
8.一种电子设备,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
其中,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器执行根据权利要求1~6中任一项所述的方法。
9.一种计算机可读存储介质,其上存储有可执行指令,该指令被处理器执行时使处理器执行根据权利要求1~6中任一项所述的方法。
10.一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时实现根据权利要求1~6中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111579920.XA CN114268494A (zh) | 2021-12-22 | 2021-12-22 | 安全访问方法、系统、设备及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111579920.XA CN114268494A (zh) | 2021-12-22 | 2021-12-22 | 安全访问方法、系统、设备及介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114268494A true CN114268494A (zh) | 2022-04-01 |
Family
ID=80828752
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111579920.XA Pending CN114268494A (zh) | 2021-12-22 | 2021-12-22 | 安全访问方法、系统、设备及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114268494A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115002015A (zh) * | 2022-05-25 | 2022-09-02 | 携程旅游网络技术(上海)有限公司 | 终端设备的网络环境检测方法、系统、设备及介质 |
| CN115314405A (zh) * | 2022-05-28 | 2022-11-08 | 江苏安几科技有限公司 | 零信任网关用户动态评分方法及装置 |
| CN115514576A (zh) * | 2022-10-09 | 2022-12-23 | 中国南方电网有限责任公司 | 电力监控系统的访问身份认证方法、装置、设备和介质 |
| CN116662487A (zh) * | 2023-06-12 | 2023-08-29 | 杭州知汇云科技有限公司 | 一种文档数据访问管理方法及系统 |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9237146B1 (en) * | 2012-01-26 | 2016-01-12 | United Services Automobile Association | Quick-logon for computing device |
| CN109753772A (zh) * | 2018-11-29 | 2019-05-14 | 武汉极意网络科技有限公司 | 一种账户安全验证方法及系统 |
| CN110401655A (zh) * | 2019-07-23 | 2019-11-01 | 宿州星尘网络科技有限公司 | 基于用户和角色的访问控制权限管理系统 |
| CN110968848A (zh) * | 2018-09-29 | 2020-04-07 | 北京奇虎科技有限公司 | 基于用户的权限管理方法、装置及计算设备 |
| CN111079110A (zh) * | 2019-11-27 | 2020-04-28 | 国网辽宁省电力有限公司电力科学研究院 | 一种基于身份识别的电力系统网络安全防护方法、系统及装置 |
| CN112019560A (zh) * | 2020-09-07 | 2020-12-01 | 长沙誉联信息技术有限公司 | 一种端到端的零信任安全网关系统 |
| CN112055029A (zh) * | 2020-09-16 | 2020-12-08 | 全球能源互联网研究院有限公司 | 零信任电力物联网设备和用户实时信任度评估方法 |
| CN112653714A (zh) * | 2020-02-10 | 2021-04-13 | 深信服科技股份有限公司 | 一种访问控制方法、装置、设备及可读存储介质 |
| CN113536258A (zh) * | 2021-07-29 | 2021-10-22 | 中国建设银行股份有限公司 | 终端访问的控制方法及装置、存储介质及电子设备 |
| CN113612740A (zh) * | 2021-07-21 | 2021-11-05 | 腾讯科技(深圳)有限公司 | 权限管理方法、装置、计算机可读介质及电子设备 |
-
2021
- 2021-12-22 CN CN202111579920.XA patent/CN114268494A/zh active Pending
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9237146B1 (en) * | 2012-01-26 | 2016-01-12 | United Services Automobile Association | Quick-logon for computing device |
| CN110968848A (zh) * | 2018-09-29 | 2020-04-07 | 北京奇虎科技有限公司 | 基于用户的权限管理方法、装置及计算设备 |
| CN109753772A (zh) * | 2018-11-29 | 2019-05-14 | 武汉极意网络科技有限公司 | 一种账户安全验证方法及系统 |
| CN110401655A (zh) * | 2019-07-23 | 2019-11-01 | 宿州星尘网络科技有限公司 | 基于用户和角色的访问控制权限管理系统 |
| CN111079110A (zh) * | 2019-11-27 | 2020-04-28 | 国网辽宁省电力有限公司电力科学研究院 | 一种基于身份识别的电力系统网络安全防护方法、系统及装置 |
| CN112653714A (zh) * | 2020-02-10 | 2021-04-13 | 深信服科技股份有限公司 | 一种访问控制方法、装置、设备及可读存储介质 |
| CN112019560A (zh) * | 2020-09-07 | 2020-12-01 | 长沙誉联信息技术有限公司 | 一种端到端的零信任安全网关系统 |
| CN112055029A (zh) * | 2020-09-16 | 2020-12-08 | 全球能源互联网研究院有限公司 | 零信任电力物联网设备和用户实时信任度评估方法 |
| CN113612740A (zh) * | 2021-07-21 | 2021-11-05 | 腾讯科技(深圳)有限公司 | 权限管理方法、装置、计算机可读介质及电子设备 |
| CN113536258A (zh) * | 2021-07-29 | 2021-10-22 | 中国建设银行股份有限公司 | 终端访问的控制方法及装置、存储介质及电子设备 |
Non-Patent Citations (1)
| Title |
|---|
| 孙瑞;张正;: "基于多因素认证的零信任网络构建", 金陵科技学院学报, no. 01 * |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115002015A (zh) * | 2022-05-25 | 2022-09-02 | 携程旅游网络技术(上海)有限公司 | 终端设备的网络环境检测方法、系统、设备及介质 |
| CN115002015B (zh) * | 2022-05-25 | 2024-03-22 | 携程旅游网络技术(上海)有限公司 | 终端设备的网络环境检测方法、系统、设备及介质 |
| CN115314405A (zh) * | 2022-05-28 | 2022-11-08 | 江苏安几科技有限公司 | 零信任网关用户动态评分方法及装置 |
| CN115514576A (zh) * | 2022-10-09 | 2022-12-23 | 中国南方电网有限责任公司 | 电力监控系统的访问身份认证方法、装置、设备和介质 |
| CN116662487A (zh) * | 2023-06-12 | 2023-08-29 | 杭州知汇云科技有限公司 | 一种文档数据访问管理方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20240119129A1 (en) | Supervised learning system for identity compromise risk computation | |
| CN114268494A (zh) | 安全访问方法、系统、设备及介质 | |
| US11868039B1 (en) | System and method for continuous passwordless authentication across trusted devices | |
| US8327441B2 (en) | System and method for application attestation | |
| US20180033009A1 (en) | Method and system for facilitating the identification and prevention of potentially fraudulent activity in a financial system | |
| CN111935165B (zh) | 访问控制方法、装置、电子设备及介质 | |
| CN111416811B (zh) | 越权漏洞检测方法、系统、设备及存储介质 | |
| CN108200050A (zh) | 单点登录服务器、方法及计算机可读存储介质 | |
| US20160112397A1 (en) | Anomaly detection for access control events | |
| US20110247059A1 (en) | Methods and Apparatus for Role-Based Shared Access Control to a Protected System Using Reusable User Identifiers | |
| US9225744B1 (en) | Constrained credentialed impersonation | |
| CA2868741A1 (en) | Method and system for detecting unauthorized access to and use of network resources with targeted analytics | |
| US11368464B2 (en) | Monitoring resource utilization of an online system based on statistics describing browser attributes | |
| US20210075795A1 (en) | Dynamic privilege allocation based on cognitive multiple-factor evaluation | |
| US20200374314A1 (en) | Applying security policies to web traffic while maintaining privacy | |
| US9268917B1 (en) | Method and system for managing identity changes to shared accounts | |
| CN114553571A (zh) | 服务器管理方法、装置、电子设备及存储介质 | |
| US20200267146A1 (en) | Network analytics for network security enforcement | |
| US11605093B1 (en) | Security policy enforcement | |
| US11805418B2 (en) | System and method for location-based endpoint security | |
| Purba et al. | Assessing Privileged Access Management (PAM) using ISO 27001: 2013 Control | |
| US11729179B2 (en) | Systems and methods for data driven infrastructure access control | |
| US11855989B1 (en) | System and method for graduated deny list | |
| CN114285664A (zh) | 异常用户识别方法、系统、设备及介质 | |
| CN114491489A (zh) | 请求响应方法、装置、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |