CN116094849A - 应用访问鉴权方法、装置、计算机设备和存储介质 - Google Patents
应用访问鉴权方法、装置、计算机设备和存储介质 Download PDFInfo
- Publication number
- CN116094849A CN116094849A CN202310378247.6A CN202310378247A CN116094849A CN 116094849 A CN116094849 A CN 116094849A CN 202310378247 A CN202310378247 A CN 202310378247A CN 116094849 A CN116094849 A CN 116094849A
- Authority
- CN
- China
- Prior art keywords
- application
- target
- access
- target application
- preset
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Abstract
本申请涉及一种应用访问鉴权方法、装置、计算机设备和存储介质。所述方法包括:响应于目标应用的鉴权请求,获取所述目标应用对应的应用标识信息;将所述应用标识信息读入预设第一规则引擎组件,并通过运行所述预设第一规则引擎组件,对所述目标应用进行应用身份验证;若应用身份验证通过,则构建所述目标应用的目标访问嵌入特征,其中,所述目标访问嵌入特征用于表征所述目标应用请求访问过程的特征信息;将所述目标访问嵌入特征读入预设第二规则引擎组件,并通过运行所述预设第二规则引擎组件,检测所述目标应用对应的应用信任评分;根据所述应用信任评分,对所述目标应用进行应用访问鉴权。采用本方法能够提升零信任系统的运行稳定性。
Description
技术领域
本申请涉及计算机技术领域,特别是涉及一种应用访问鉴权方法、装置、计算机设备和存储介质。
背景技术
随着计算机技术的发展,出现了零信任系统技术,零信任系统默认不信任企业网络内外的任何人、设备和系统,并基于身份认证和授权重新构建访问控制的基础,从而确保身份可信、设备可信、应用可信以及链路可信。
传统技术中,通常基于业务流程编写对应的业务代码,这些业务代码用于实现应用访问鉴权,当应用访问鉴权通过后就可以授权应用进行访问。
然而,由于上述业务代码与业务流程关联紧密,每个单独的业务流程通常均需要设置对应的业务代码,这样在业务流程数量较多的场景下,零信任系统的业务代码数量同样也会较多,其中任意一个业务流程发生改变,则相应的业务代码也需要进行更新,而业务代码频繁地更新会影响零信任系统的运行稳定性。
发明内容
基于此,有必要针对上述技术问题,提供一种能够提升零信任系统的运行稳定性的应用访问鉴权方法、装置、计算机设备和计算机可读存储介质。
第一方面,本申请提供了一种应用访问鉴权方法。所述方法包括:
响应于目标应用的鉴权请求,获取所述目标应用对应的应用标识信息;
将所述应用标识信息读入预设第一规则引擎组件,并通过运行所述预设第一规则引擎组件,对所述目标应用进行应用身份验证;
若应用身份验证通过,则构建所述目标应用的目标访问嵌入特征,其中,所述目标访问嵌入特征用于表征所述目标应用请求访问过程的特征信息;
将所述目标访问嵌入特征读入预设第二规则引擎组件,并通过运行所述预设第二规则引擎组件,检测所述目标应用对应的应用信任评分;
根据所述应用信任评分,对所述目标应用进行应用访问鉴权。
在其中一个实施例中,所述构建所述目标应用的目标访问嵌入特征,包括:
获取所述目标应用在当前请求访问过程中产生的各访问特征信息;根据各所述访问特征信息,生成第一嵌入特征;获取所述目标应用在历史请求访问过程中产生的各第二嵌入特征,其中,所述第二嵌入特征用于表征所述目标应用在历史请求页面过程中的访问特征信息;将所述第一嵌入特征和各所述第二嵌入特征进行聚合,得到所述目标访问嵌入特征。
在其中一个实施例中, 所述访问特征信息至少包括访问时间、应用IP地址、应用登陆浏览器类型、计算机网络状态、应用访问内容类型以及应用终端环境信息中的一种或者多种。
在其中一个实施例中,所述预设第一规则引擎组件包括第一事件规则组件,所述应用标识信息包括用户标识和应用标识;所述将所述应用标识信息作为第一事件信息读入预设第一规则引擎组件,并通过运行所述预设第一规则引擎组件,对所述目标应用进行应用身份验证,包括:
将所述用户标识和所述应用标识作为第一事件信息读入所述第一事件规则组件,通过运行所述第一事件规则组件,验证所述目标应用是否命中异常应用名单;若所述目标应用命中异常应用名单,则确定应用身份验证不通过;若所述目标应用未命中异常应用名单,则确定应用身份验证通过。
在其中一个实施例中,所述预设第一规则引擎组件包括第二事件规则组件,所述应用标识信息包括应用地址信息;所述将所述应用标识信息作为第一事件信息读入预设第一规则引擎组件,并通过运行所述预设第一规则引擎组件,对所述目标应用进行应用身份验证,包括:
将所述应用地址信息作为第二事件信息读入所述第二事件规则组件,通过运行所述第二事件规则组件,验证所述目标应用是否命中风险地址名单;若所述目标应用命中风险地址名单,则确定应用身份验证不通过;若所述目标应用未命中风险地址名单,则确定应用身份验证通过。
在其中一个实施例中,所述预设第一规则引擎组件包括第一事件规则组件和第二事件规则组件,所述应用标识信息包括用户标识、应用标识和应用地址信息;所述将所述应用标识信息作为第一事件信息读入预设第一规则引擎组件,并通过运行所述预设第一规则引擎组件,对所述目标应用进行应用身份验证,包括:
将所述用户标识和所述应用标识作为第一事件信息读入所述第一事件规则组件,通过运行所述第一事件规则组件,验证所述目标应用是否命中异常应用名单;若所述目标应用命中异常应用名单,则确定应用身份验证不通过;若所述目标应用未命中异常应用名单,则将所述应用地址信息作为第二事件信息读入所述第二事件规则组件,通过运行所述第二事件规则组件,验证所述目标应用是否命中风险地址名单;若所述目标应用命中风险地址名单,则确定应用身份验证不通过;若所述目标应用未命中风险地址名单,则确定应用身份验证通过。
在其中一个实施例中,所述根据所述应用信任评分,对所述目标应用进行应用访问鉴权,包括:
根据所述应用信任评分,确定所述目标应用对应的信任等级;若所述信任等级处于预设第一信任等级,则向所述目标应用反馈允许访问的第一反馈信息;若所述信任等级处于预设第二信任等级,则向所述目标应用反馈需要进行二次认证的第二反馈信息;若所述信任等级处于预设第三信任等级,则向所述目标应用反馈禁止访问的第三反馈信息。
第二方面,本申请还提供了一种应用访问鉴权装置。所述装置包括:
请求响应模块,用于响应于目标应用的鉴权请求,获取所述目标应用对应的应用标识信息;
身份验证模块,用于将所述应用标识信息读入预设第一规则引擎组件,并通过运行所述预设第一规则引擎组件,对所述目标应用进行应用身份验证;
嵌入特征构建模块,用于若应用身份验证通过,则构建所述目标应用的目标访问嵌入特征,其中,所述目标访问嵌入特征用于表征所述目标应用请求访问过程的特征信息;
应用信任评分模块,用于将所述目标访问嵌入特征读入预设第二规则引擎组件,并通过运行所述预设第二规则引擎组件,检测所述目标应用对应的应用信任评分;
鉴权模块,用于根据所述应用信任评分,对所述目标应用进行应用访问鉴权。
第三方面,本申请还提供了一种计算机设备。所述计算机设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现以下步骤:
响应于目标应用的鉴权请求,获取所述目标应用对应的应用标识信息;
将所述应用标识信息读入预设第一规则引擎组件,并通过运行所述预设第一规则引擎组件,对所述目标应用进行应用身份验证;
若应用身份验证通过,则构建所述目标应用的目标访问嵌入特征,其中,所述目标访问嵌入特征用于表征所述目标应用请求访问过程的特征信息;
将所述目标访问嵌入特征读入预设第二规则引擎组件,并通过运行所述预设第二规则引擎组件,检测所述目标应用对应的应用信任评分;
根据所述应用信任评分,对所述目标应用进行应用访问鉴权。
第四方面,本申请还提供了一种计算机可读存储介质。所述计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现以下步骤:
响应于目标应用的鉴权请求,获取所述目标应用对应的应用标识信息;
将所述应用标识信息读入预设第一规则引擎组件,并通过运行所述预设第一规则引擎组件,对所述目标应用进行应用身份验证;
若应用身份验证通过,则构建所述目标应用的目标访问嵌入特征,其中,所述目标访问嵌入特征用于表征所述目标应用请求访问过程的特征信息;
将所述目标访问嵌入特征读入预设第二规则引擎组件,并通过运行所述预设第二规则引擎组件,检测所述目标应用对应的应用信任评分;
根据所述应用信任评分,对所述目标应用进行应用访问鉴权。
上述应用访问鉴权方法、装置、计算机设备和存储介质,通过响应于目标应用的鉴权请求,获取所述目标应用对应的应用标识信息;将所述应用标识信息读入预设第一规则引擎组件,并通过运行所述预设第一规则引擎组件,对所述目标应用进行应用身份验证,这样实现了以规则引擎的方式将应用访问鉴权过程中的应用身份验证流程与业务代码进行解耦;若应用身份验证通过,则构建所述目标应用的目标访问嵌入特征,其中,所述目标访问嵌入特征用于表征所述目标应用请求访问过程的特征信息;将所述目标访问嵌入特征读入预设第二规则引擎组件,并通过运行所述预设第二规则引擎组件,检测所述目标应用对应的应用信任评分,这样实现了以规则引擎的方式将应用访问鉴权过程中的应用信任评分过程与业务代码进行解耦,从而本申请可以实现将应用访问鉴权的整个业务过程与代码进行分离,所有的应用访问鉴权流程均可以共用预设第一规则引擎组件和预设第二规则引擎组件,因此可以避免由于零信任系统的业务代码数量过多导致业务代码频繁更新的情况发生,可以提升零信任系统的运行稳定性。
附图说明
图1为一个实施例中应用访问鉴权方法的流程示意图;
图2为一个实施例中构建目标应用的目标访问嵌入特征的流程示意图;
图3为一个实施例中对目标应用进行应用身份验证的流程示意图;
图4为一个实施例中应用访问鉴权的业务流程示意图;
图5为一个实施例中应用访问鉴权装置的结构框图;
图6为一个实施例中计算机设备的内部结构图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
在一个实施例中,如图1所示,提供了一种应用访问鉴权方法,本实施例以该方法应用于终端进行举例说明,可以理解的是,该方法也可以应用于服务器,还可以应用于包括终端和服务器的系统,并通过终端和服务器的交互实现。本实施例中,该方法包括以下步骤:
步骤202,响应于目标应用的鉴权请求,获取目标应用对应的应用标识信息。
作为一种示例,目标应用可以为请求进行登陆的应用,鉴权请求为请求鉴定登陆权限的请求,应用标识信息可以为标识应用身份的信息,例如应用的登陆地址、应用的名称、应用的类型标识以及登陆应用的用户名等。
一些实施例中,步骤202可以包括:若拦截到目标应用发送的访问请求,则生成访问请求对应的鉴权请求,响应于目标应用的鉴权请求,从鉴权请求中提取目标应用对应的应用标识信息。
作为一种示例,可以通过网关拦截目标应用发送的访问请求,然后由网关将访问请求作为鉴权请求转发给零信任系统。
步骤204,将应用标识信息读入预设第一规则引擎组件,并通过运行预设第一规则引擎组件,对目标应用进行应用身份验证。
作为一种示例,预设第一规则引擎组件可以为基于规则引擎设置好的事件规则,用于对应用进行应用身份验证;事件规则可以为用于实现特定事件功能的代码模块,在事件规则中读入事件信息,即可实现在代码模块中插入对应的变量,从而在插入变量后的代码模块即可以运行,用于实现对应的特定事件功能,其中,该特定事件功能可以为应用身份验证或者检测应用信任评分等。
一些实施例中,步骤204可以包括:将应用标识信息作为事件信息读入预设第一规则引擎组件,得到身份验证事件规则组件,身份验证事件规则组件用于实现对目标应用进行应用身份验证的事件功能;通过运行身份验证事件规则组件,对目标应用进行应用身份验证,即验证目标应用的身份是否合法。
步骤206,若应用身份验证通过,则构建目标应用的目标访问嵌入特征,其中,目标访问嵌入特征用于表征目标应用请求访问过程的特征信息。
作为一种示例,目标访问嵌入特征可以为预设维度的特征向量,用于表征目标应用请求访问过程的特征信息,例如目标访问嵌入特征可以为Embedding向量。
一些实施例中,步骤206可以包括:若应用身份验证通过,则获取目标应用在当前请求访问过程中产生的各访问特征信息;对各访问特征信息进行特征提取,得到目标应用对应的目标访问嵌入特征。
作为一种示例,获取各访问特征信息中的访问特征值,将各访问特征值拼接为预设维度的特征向量,得到目标访问嵌入特征,
步骤208,将目标访问嵌入特征读入预设第二规则引擎组件,并通过运行预设第二规则引擎组件,检测目标应用对应的应用信任评分。
作为一种示例,预设第二规则引擎组件可以为基于规则引擎设置好的事件规则,用于检测应用的应用信任评分,即基于目标访问嵌入特征计算目标应用的应用信任评分。
作为一种示例,本实施例中可以基于预设评分模型来根据目标访问嵌入特征计算应用信任评分,该预设评分模型可以为机器学习模型,相应地,预设第二规则组件作为预设评分模型对应的具体计算组件。
步骤208包括:将目标嵌入访问特征作为事件信息读入预设第二规则引擎组件,得到第二事件规则组件,第二事件规则组件则用于实现检测目标应用的应用信任评分的事件功能;通过运行第二事件规则组件,检测目标应用对应的应用信任评分。
步骤210,根据应用信任评分,对目标应用进行应用访问鉴权。
一些实施例中,步骤210可以包括:根据应用信任评分,确定目标应用对应的信任等级;根据信任等级,确定是否允许目标应用进行访问。例如假设可以设置应用信任评分高于80分时信任等级为A,此时允许目标应用进行访问,设置应用信用评分不高于80分时信任等级为B,此时不允许目标应用进行访问。
上述应用访问鉴权方法中,通过响应于目标应用的鉴权请求,获取目标应用对应的应用标识信息;将应用标识信息读入预设第一规则引擎组件,并通过运行预设第一规则引擎组件,对目标应用进行应用身份验证,这样实现了以规则引擎的方式将应用访问鉴权过程中的应用身份验证流程与业务代码进行解耦;若应用身份验证通过,则构建目标应用的目标访问嵌入特征,其中,目标访问嵌入特征用于表征目标应用请求访问过程的特征信息;将目标访问嵌入特征读入预设第二规则引擎组件,并通过运行预设第二规则引擎组件,检测目标应用对应的应用信任评分,这样实现了以规则引擎的方式将应用访问鉴权过程中的应用信任评分过程与业务代码进行解耦,从而本申请可以实现将应用访问鉴权的整个业务过程与代码进行分离,所有的应用访问鉴权流程均可以共用预设第一规则引擎组件和预设第二规则引擎组件,因此可以避免由于零信任系统的业务代码数量过多导致业务代码频繁更新的情况发生,可以提升零信任系统的运行稳定性。
在一个实施例中,根据应用信任评分,对目标应用进行应用访问鉴权,包括:
根据应用信任评分,确定目标应用对应的信任等级;若信任等级处于预设第一信任等级,则向目标应用反馈允许访问的第一反馈信息;若信任等级处于预设第二信任等级,则向目标应用反馈需要进行二次认证的第二反馈信息;若信任等级处于预设第三信任等级,则向目标应用反馈禁止访问的第三反馈信息。
作为一种示例,根据所有的历史应用信任评分以及预设评分权重占比,确定第一评分范围、第二评分范围和第三评分范围;若应用信任评分处于第一评分范围,则确定信任等级处于预设第一信任等级,向目标应用反馈允许访问的第一反馈信息;若应用信任评分处于第二评分范围,则确定信任等级处于预设第二信任等级,向目标应用反馈二次认证的第二反馈信息,其中,二次认证可以为短信验证或者安全校验码验证等;若应用信任评分处于第三评分范围,则确定信任等级处于预设第三信任等级,向目标应用反馈禁止访问的第三反馈信息。
作为一种示例,根据预设评分权重占比,将所有的历史应用信任评分划分为第一评分集合、第二评分集合以及第三评分集合,其中,第一评分集合中的评分大于第二评分集合中的评分,第二评分集合中的评分大于第三评分集合中的评分;将第一评分集合所处的评分范围作为第一评分范围,将第二评分集合所处的评分范围作为第二评分范围,将第三评分集合所处的评分范围作为第三评分范围,例如假设可以将所有的历史应用信任评分按照预设权重占比40%、40%以及20%进行划分,得到第一评分集合(评分大于80)、第二评分集合(评分大于60且不大于80)、第三评分集合(评分不大于60),则第一评分范围为大于80且不大于100,第二评分范围为大于60且不大于80,第三评分范围为不大于60。
本实施例通过预设评分权重占比,可以灵活调整第一评分范围、第二评分范围以及第三评分范围,使得评分范围设置的更为合理,再通过应用信任评分以及评分范围确定目标应用对应的信任等级,可以提升信任等级评定的准确度,使得根据更准确的信任等级,可以准确向目标反馈对应的反馈信息,保证应用访问鉴权的准确度。
在一个实施例中,如图2所示,构建目标应用的目标访问嵌入特征,包括:
步骤302,获取目标应用在当前请求访问过程中产生的各访问特征信息。
作为一种示例,访问特征信息可以为访问时间、应用IP地址、应用登陆浏览器类型、计算机网络状态、应用访问内容类型以及应用终端环境信息中的一种或者多种。访问时间可以为网关拦截到应用的访问请求的时间;应用IP地址为应用所在网络设备的IP地址;应用登陆浏览器类型为应用所在浏览器的类型,例如是应用可以通过浏览器A请求访问页面,也可以通过浏览器B请求访问页面;计算机网络状态用于表征计算机的网络是否处于安全网络状态;应用访问内容类型用于标识访问内容的隐私性,例如应用访问内容类型包括A、B以及C三类,其中A类的访问内容隐私性较高,因此只有a类应用或者用户才能访问,B类的访问内容隐私性次之,因此a或者b类应用或者用户才能访问,C类的访问内容隐私性最低,因此a、b以及c类应用或者用户均能访问;应用终端环境信息为应用所在终端设备系统的环境信息,具体可以为终端设备系统存在的待修改漏洞数、终端设备系统存在的待升级的安全组件数以及终端设备系统剩余内存等信息。
步骤304,根据各访问特征信息,生成第一嵌入特征。
作为一种示例,访问特征信息可以访问特征值,该访问特征值可以为访问时间值、应用所在终端具体地IP地址、应用登陆浏览器类型的类型标签、计算机网络状态的状态标签、应用访问内容类型的类型标签、应用终端环境中的系统漏洞数等。
作为一种示例,将各访问特征值进行拼接,得到拼接向量;基于预设的特征变换模型,将拼接向量转换为预设维度的特征向量,得到第一嵌入特征。
步骤306,获取目标应用在历史请求访问过程中产生的各第二嵌入特征,其中,第二嵌入特征用于表征目标应用在历史请求页面过程中的访问特征信息。
需要说明的是,本实施例中目标应用过去的时间中每一次请求进行鉴权时都会产生对应的嵌入特征,可以将这些历史请求访问过程中产生的嵌入特征为第二嵌入特征,第二嵌入特征用于表征目标应用在历史请求页面过程中的访问特征信息,从而第一嵌入特征和各第二嵌入特征会构成嵌入特征序列。
目标应用在零信任系统中信任评分是随机时间的推移而实时变化的,即随着目标应用在多次的请求访问过程中,目标应用的应用信任评分会实时变化,例如当目标应用连续10次被成功允许访问页面,则目标应用的应用信任评分会相应提高,当目标应用连续10次被禁止允许访问页面,则目标应用的应用信任评分会相应降低;因此目标应用的应用信任评分是随着多次鉴权过程而发生变化的累积结果,目标应用的应用信任评分不但和本次鉴权过程产生的访问特征信息有关,还会与过去一段时间内历史鉴权过程产生的访问特征信息有关。
步骤308,将第一嵌入特征和各第二嵌入特征进行聚合,得到目标访问嵌入特征。
作为一种示例,步骤308包括:按照目标应用访问时间的先后顺序,将第一嵌入特征和第二嵌入特征进行顺序拼接,得到目标访问嵌入特征。
作为一种示例,步骤308包括:对各第二嵌入特征进行加权求平均,得到平均嵌入特征;将平均嵌入特征和第一嵌入特征进行拼接,得到目标访问嵌入特征。
本实施例中,通过获取目标应用在当前请求访问过程中产生的各访问特征信息;根据各访问特征信息,生成第一嵌入特征,可以实现将当前请求访问过程中产生的访问特征信息提取为第一嵌入特征;然后获取目标应用在历史请求访问过程中产生的各第二嵌入特征,其中,第二嵌入特征用于表征目标应用在历史请求页面过程中的访问特征信息;将第一嵌入特征和各第二嵌入特征进行聚合,得到目标访问嵌入特征,这样本实施例中实现了根据当前请求访问过程中产生的访问特征信息,以及历史请求访问过程中产生的访问特征信息来生成目标访问嵌入特征,使得目标访问嵌入特征中蕴含的特征信息更加丰富,从而使得根据目标访问嵌入特征检测目标应用的应用信任评分的依据更加充足,可以提升应用信任评分的准确度。
在一个实施例中,预设第一规则引擎组件包括第一事件规则组件,应用标识信息包括用户标识和应用标识;将应用标识信息作为第一事件信息读入预设第一规则引擎组件,并通过运行预设第一规则引擎组件,对目标应用进行应用身份验证,包括:
将用户标识和应用标识作为第一事件信息读入第一事件规则组件,通过运行第一事件规则组件,验证目标应用是否命中异常应用名单;若目标应用命中异常应用名单,则确定应用身份验证不通过;若目标应用未命中异常应用名单,则确定应用身份验证通过。
作为一种示例,将用户标识和应用标识作为第一事件信息读入第一事件规则组件,得到异常名单策略组件,异常名单策略组件用于检测目标应用是否命中异常应用名单;通过运行异常名单策略组件,在异常应用名单中检索用户标识和应用标识共同对应的异常名单应用,若检索成功,则确定目标应用命中异常应用名单,应用身份验证不通过;若检索失败,则确定目标应用未命中异常应用名单,应用身份验证通过。
本实施例通过将用户标识和应用标识作为第一事件信息读入第一事件规则组件,通过运行第一事件规则组件验证目标应用是否命中异常应用名单,可以对目标应用进行身份验证,使得在计算应用信任评分之前可以预先筛选掉属于异常应用名单的目标应用,实现利用异常名单策略以及信任评分策略的双重机制来进行鉴权的目的,可以节约针对于异常名单应用的应用信任评分计算过程,提升应用访问鉴权的效率以及准确度。
在一个实施例中,预设第一规则引擎组件包括第二事件规则组件,应用标识信息包括应用地址信息;将应用标识信息作为第一事件信息读入预设第一规则引擎组件,并通过运行预设第一规则引擎组件,对目标应用进行应用身份验证,包括:
将应用地址信息作为第二事件信息读入第二事件规则组件,通过运行第二事件规则组件,验证目标应用是否命中风险地址名单;若目标应用命中风险地址名单,则确定应用身份验证不通过;若目标应用未命中风险地址名单,则确定应用身份验证通过。
作为一种示例,将应用地址信息作为第二事件信息读入第二事件规则组件,得到风险地址策略组件;风险地址策略组件用于检测目标应用是否命中风险地址名单;通过运行风险地址策略组件,在风险地址名单中检索是否存在目标应用的应用地址信息;若存在,则确定目标应用命中风险地址名单,应用身份验证不通过,若不存在,则确定目标应用未命中风险地址名单,应用身份验证通过。其中,应用地址信息可以为目标应用所处终端的IP地址。
本实施例通过将应用地址信息作为第二事件信息读入第二事件规则组件,通过运行第二事件规则组件验证目标应用是否命中风险地址名单,可以对目标应用进行身份验证,使得在计算应用信任评分之前可以预先筛选掉属于风险地址名单的目标应用,实现利用风险地址策略以及信任评分策略的双重机制来进行鉴权的目的,可以节约针对于属于风险地址的目标应用的应用信任评分计算过程,提升应用访问鉴权的效率以及准确度。
在一个实施例中,参照图3,预设第一规则引擎组件包括第一事件规则组件和第二事件规则组件,应用标识信息包括用户标识、应用标识和应用地址信息;将应用标识信息作为第一事件信息读入预设第一规则引擎组件,并通过运行预设第一规则引擎组件,对目标应用进行应用身份验证,包括:
步骤402,将用户标识和应用标识作为第一事件信息读入第一事件规则组件,通过运行第一事件规则组件,验证目标应用是否命中异常应用名单。
步骤404,若目标应用命中异常应用名单,则确定应用身份验证不通过。
步骤406,若目标应用未命中异常应用名单,则将应用地址信息作为第二事件信息读入第二事件规则组件,通过运行第二事件规则组件,验证目标应用是否命中风险地址名单。
步骤408,若目标应用命中风险地址名单,则确定应用身份验证不通过。
步骤410,若目标应用未命中风险地址名单,则确定应用身份验证通过。
作为一种示例,步骤402至步骤410包括:将用户标识和应用标识作为第一事件信息读入第一事件规则组件,得到异常名单策略组件,异常名单策略组件用于检测目标应用是否命中异常应用名单;通过运行异常名单策略组件,在异常应用名单中检索用户标识和应用标识共同对应的异常名单应用,若检索成功,则确定目标应用命中异常应用名单,应用身份验证不通过;若检索失败,则确定目标应用未命中异常应用名单,将应用地址信息作为第二事件信息读入第二事件规则组件,得到风险地址策略组件;风险地址策略组件用于检测目标应用是否命中风险地址名单;通过运行风险地址策略组件,在风险地址名单中检索是否存在目标应用的应用地址信息;若存在,则确定目标应用命中风险地址名单,应用身份验证不通过,若不存在,则确定目标应用未命中风险地址名单,应用身份验证通过。
本实施例通过将用户标识和应用标识作为第一事件信息读入第一事件规则组件,通过运行第一事件规则组件验证目标应用是否命中异常应用名单,可以对目标应用进行身份验证,使得在计算应用信任评分之前可以预先筛选掉属于异常应用名单的目标应用;并通过将应用地址信息作为第二事件信息读入第二事件规则组件,通过运行第二事件规则组件验证目标应用是否命中风险地址名单,可以对目标应用进行身份验证,使得在计算应用信任评分之前可以预先筛选掉属于风险地址名单的目标应用,因此实现了利用异常名单策略、风险地址策略以及信任评分策略的三重机制来进行鉴权的目的,可以节约针对于异常名单应用以及风险地址应用的应用信任评分计算过程,提升应用访问鉴权的效率以及准确度。
在一个实施例中,参照图4,图4为本实施例中应用访问鉴权的业务流程示意图,应用访问鉴权方法包括:
响应于目标应用的鉴权请求,获取目标应用对应的应用标识信息,应用标识信息包括用户标识、应用标识和应用地址信息;将用户标识和应用标识作为第一事件信息读入第一事件规则组件,得到异常名单策略组件,异常名单策略组件用于检测目标应用是否命中异常应用名单;通过运行异常名单策略组件,在异常应用名单中检索用户标识和应用标识共同对应的异常名单应用,若检索成功,则确定目标应用命中异常应用名单,应用身份验证不通过;若检索失败,则确定目标应用未命中异常应用名单,将应用地址信息作为第二事件信息读入第二事件规则组件,得到风险地址策略组件;风险地址策略组件用于检测目标应用是否命中风险地址名单;通过运行风险地址策略组件,在风险地址名单中检索是否存在目标应用的应用地址信息;若存在,则确定目标应用命中风险地址名单,应用身份验证不通过,若不存在,则确定目标应用未命中风险地址名单,应用身份验证通过,并获取目标应用在当前请求访问过程中产生的各访问特征信息;对各访问特征信息进行特征提取,获取目标应用在当前请求访问过程中产生的各访问特征信息;根据各访问特征信息,生成第一嵌入特征;获取目标应用在历史请求访问过程中产生的各第二嵌入特征,其中,第二嵌入特征用于表征目标应用在历史请求页面过程中的访问特征信息;将第一嵌入特征和各第二嵌入特征进行聚合,得到目标访问嵌入特征;将目标嵌入访问特征作为事件信息读入预设第二规则引擎组件,得到第二事件规则组件,第二事件规则组件则用于实现检测目标应用的应用信任评分的事件功能;通过运行第二事件规则组件,检测目标应用对应的应用信任评分;根据所有的历史应用信任评分以及预设评分权重占比,确定第一评分范围、第二评分范围和第三评分范围;若应用信任评分处于第一评分范围,则确定信任等级处于预设第一信任等级,向目标应用反馈允许访问的第一反馈信息;若应用信任评分处于第二评分范围,则确定信任等级处于预设第二信任等级,向目标应用反馈二次认证的第二反馈信息,其中,二次认证可以为短信验证或者安全校验码验证等;若应用信任评分处于第三评分范围,则确定信任等级处于预设第三信任等级,向目标应用反馈禁止访问的第三反馈信息。
本实施例通过利用异常名单策略、风险地址策略以及信任评分策略的三重机制来进行应用访问鉴权,可以节约针对于异常名单应用以及风险地址应用的应用信任评分计算过程,提升应用访问鉴权的效率以及准确度,且在计算应用信任评分时根据当前请求访问过程中产生的访问特征信息,以及历史请求访问过程中产生的访问特征信息来生成目标访问嵌入特征,使得目标访问嵌入特征中蕴含的特征信息更加丰富,从而使得根据目标访问嵌入特征检测目标应用的应用信任评分的依据更加充足,可以进一步提升应用信任评分的准确度;另外还实现了以规则引擎的方式将应用访问鉴权的整个业务过程与代码进行分离,所有的应用访问鉴权流程均可以共用预设第一规则引擎组件和预设第二规则引擎组件,因此可以避免由于零信任系统的业务代码数量过多导致业务代码频繁更新的情况发生,可以提升零信任系统的运行稳定性。
应该理解的是,虽然如上所述的各实施例所涉及的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,如上所述的各实施例所涉及的流程图中的至少一部分步骤可以包括多个步骤或者多个阶段,这些步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
基于同样的发明构思,本申请实施例还提供了一种用于实现上述所涉及的应用访问鉴权方法的应用访问鉴权装置。该装置所提供的解决问题的实现方案与上述方法中所记载的实现方案相似,故下面所提供的一个或多个应用访问鉴权装置实施例中的具体限定可以参见上文中对于应用访问鉴权方法的限定,在此不再赘述。
在一个实施例中,如图5所示,提供了一种应用访问鉴权装置,包括:请求响应模块502、身份验证模块504、嵌入特征构建模块506、应用信任评分模块508和鉴权模块510,其中:
请求响应模块502,用于响应于目标应用的鉴权请求,获取所述目标应用对应的应用标识信息。
身份验证模块504,用于将所述应用标识信息读入预设第一规则引擎组件,并通过运行所述预设第一规则引擎组件,对所述目标应用进行应用身份验证。
嵌入特征构建模块506,用于若应用身份验证通过,则构建所述目标应用的目标访问嵌入特征,其中,所述目标访问嵌入特征用于表征所述目标应用请求访问过程的特征信息。
应用信任评分模块508,用于将所述目标访问嵌入特征读入预设第二规则引擎组件,并通过运行所述预设第二规则引擎组件,检测所述目标应用对应的应用信任评分。
鉴权模块510,用于根据所述应用信任评分,对所述目标应用进行应用访问鉴权。
在其中一个实施例中,所述嵌入特征构建模块506还用于:
获取所述目标应用在当前请求访问过程中产生的各访问特征信息;根据各所述访问特征信息,生成第一嵌入特征;获取所述目标应用在历史请求访问过程中产生的各第二嵌入特征,其中,所述第二嵌入特征用于表征所述目标应用在历史请求页面过程中的访问特征信息;将所述第一嵌入特征和各所述第二嵌入特征进行聚合,得到所述目标访问嵌入特征。
在其中一个实施例中,所述访问特征信息至少包括访问时间、应用IP地址、应用登陆浏览器类型、计算机网络状态、应用访问内容类型以及应用终端环境信息中的一种或者多种。
在其中一个实施例中,所述预设第一规则引擎组件包括第一事件规则组件,所述应用标识信息包括用户标识和应用标识;所述身份验证模块504还用于:
将所述用户标识和所述应用标识作为第一事件信息读入所述第一事件规则组件,通过运行所述第一事件规则组件,验证所述目标应用是否命中异常应用名单;若所述目标应用命中异常应用名单,则确定应用身份验证不通过;若所述目标应用未命中异常应用名单,则确定应用身份验证通过。
在其中一个实施例中,所述预设第一规则引擎组件包括第二事件规则组件,所述应用标识信息包括应用地址信息;所述身份验证模块504还用于:
将所述应用地址信息作为第二事件信息读入所述第二事件规则组件,通过运行所述第二事件规则组件,验证所述目标应用是否命中风险地址名单;若所述目标应用命中风险地址名单,则确定应用身份验证不通过;若所述目标应用未命中风险地址名单,则确定应用身份验证通过。
在其中一个实施例中,所述预设第一规则引擎组件包括第一事件规则组件和第二事件规则组件,所述应用标识信息包括用户标识、应用标识和应用地址信息;所述身份验证模块504还用于:
将所述用户标识和所述应用标识作为第一事件信息读入所述第一事件规则组件,通过运行所述第一事件规则组件,验证所述目标应用是否命中异常应用名单;若所述目标应用命中异常应用名单,则确定应用身份验证不通过;若所述目标应用未命中异常应用名单,则将所述应用地址信息作为第二事件信息读入所述第二事件规则组件,通过运行所述第二事件规则组件,验证所述目标应用是否命中风险地址名单;若所述目标应用命中风险地址名单,则确定应用身份验证不通过;若所述目标应用未命中风险地址名单,则确定应用身份验证通过。
在其中一个实施例中,所述鉴权模块510还用于:
根据所述应用信任评分,确定所述目标应用对应的信任等级;若所述信任等级处于预设第一信任等级,则向所述目标应用反馈允许访问的第一反馈信息;若所述信任等级处于预设第二信任等级,则向所述目标应用反馈需要进行二次认证的第二反馈信息;若所述信任等级处于预设第三信任等级,则向所述目标应用反馈禁止访问的第三反馈信息。
上述应用访问鉴权装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是服务器,其内部结构图可以如图6所示。该计算机设备包括通过系统总线连接的处理器、存储器和网络接口。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质和内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储应用访问鉴权数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种应用访问鉴权方法。
本领域技术人员可以理解,图6中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,提供了一种计算机设备,包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现以下步骤:
响应于目标应用的鉴权请求,获取所述目标应用对应的应用标识信息;将所述应用标识信息读入预设第一规则引擎组件,并通过运行所述预设第一规则引擎组件,对所述目标应用进行应用身份验证;若应用身份验证通过,则构建所述目标应用的目标访问嵌入特征,其中,所述目标访问嵌入特征用于表征所述目标应用请求访问过程的特征信息;将所述目标访问嵌入特征读入预设第二规则引擎组件,并通过运行所述预设第二规则引擎组件,检测所述目标应用对应的应用信任评分;根据所述应用信任评分,对所述目标应用进行应用访问鉴权。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
获取所述目标应用在当前请求访问过程中产生的各访问特征信息;根据各所述访问特征信息,生成第一嵌入特征;获取所述目标应用在历史请求访问过程中产生的各第二嵌入特征,其中,所述第二嵌入特征用于表征所述目标应用在历史请求页面过程中的访问特征信息;将所述第一嵌入特征和各所述第二嵌入特征进行聚合,得到所述目标访问嵌入特征;所述访问特征信息至少包括访问时间、应用IP地址、应用登陆浏览器类型、计算机网络状态、应用访问内容类型以及应用终端环境信息中的一种或者多种。
在一个实施例中,所述预设第一规则引擎组件包括第一事件规则组件,所述应用标识信息包括用户标识和应用标识;处理器执行计算机程序时还实现以下步骤:
将所述用户标识和所述应用标识作为第一事件信息读入所述第一事件规则组件,通过运行所述第一事件规则组件,验证所述目标应用是否命中异常应用名单;若所述目标应用命中异常应用名单,则确定应用身份验证不通过;若所述目标应用未命中异常应用名单,则确定应用身份验证通过。
在一个实施例中,所述预设第一规则引擎组件包括第二事件规则组件,所述应用标识信息包括应用地址信息;处理器执行计算机程序时还实现以下步骤:
将所述应用地址信息作为第二事件信息读入所述第二事件规则组件,通过运行所述第二事件规则组件,验证所述目标应用是否命中风险地址名单;若所述目标应用命中风险地址名单,则确定应用身份验证不通过;若所述目标应用未命中风险地址名单,则确定应用身份验证通过。
在一个实施例中,所述预设第一规则引擎组件包括第一事件规则组件和第二事件规则组件,所述应用标识信息包括用户标识、应用标识和应用地址信息;处理器执行计算机程序时还实现以下步骤:
将所述用户标识和所述应用标识作为第一事件信息读入所述第一事件规则组件,通过运行所述第一事件规则组件,验证所述目标应用是否命中异常应用名单;若所述目标应用命中异常应用名单,则确定应用身份验证不通过;若所述目标应用未命中异常应用名单,则将所述应用地址信息作为第二事件信息读入所述第二事件规则组件,通过运行所述第二事件规则组件,验证所述目标应用是否命中风险地址名单;若所述目标应用命中风险地址名单,则确定应用身份验证不通过;若所述目标应用未命中风险地址名单,则确定应用身份验证通过。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
根据所述应用信任评分,确定所述目标应用对应的信任等级;若所述信任等级处于预设第一信任等级,则向所述目标应用反馈允许访问的第一反馈信息;若所述信任等级处于预设第二信任等级,则向所述目标应用反馈需要进行二次认证的第二反馈信息;若所述信任等级处于预设第三信任等级,则向所述目标应用反馈禁止访问的第三反馈信息。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现以下步骤:
响应于目标应用的鉴权请求,获取所述目标应用对应的应用标识信息;将所述应用标识信息读入预设第一规则引擎组件,并通过运行所述预设第一规则引擎组件,对所述目标应用进行应用身份验证;若应用身份验证通过,则构建所述目标应用的目标访问嵌入特征,其中,所述目标访问嵌入特征用于表征所述目标应用请求访问过程的特征信息;将所述目标访问嵌入特征读入预设第二规则引擎组件,并通过运行所述预设第二规则引擎组件,检测所述目标应用对应的应用信任评分;根据所述应用信任评分,对所述目标应用进行应用访问鉴权。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
获取所述目标应用在当前请求访问过程中产生的各访问特征信息;根据各所述访问特征信息,生成第一嵌入特征;获取所述目标应用在历史请求访问过程中产生的各第二嵌入特征,其中,所述第二嵌入特征用于表征所述目标应用在历史请求页面过程中的访问特征信息;将所述第一嵌入特征和各所述第二嵌入特征进行聚合,得到所述目标访问嵌入特征;所述访问特征信息至少包括访问时间、应用IP地址、应用登陆浏览器类型、计算机网络状态、应用访问内容类型以及应用终端环境信息中的一种或者多种。
在一个实施例中,所述预设第一规则引擎组件包括第一事件规则组件,所述应用标识信息包括用户标识和应用标识;计算机程序被处理器执行时还实现以下步骤:
将所述用户标识和所述应用标识作为第一事件信息读入所述第一事件规则组件,通过运行所述第一事件规则组件,验证所述目标应用是否命中异常应用名单;若所述目标应用命中异常应用名单,则确定应用身份验证不通过;若所述目标应用未命中异常应用名单,则确定应用身份验证通过。
在一个实施例中,所述预设第一规则引擎组件包括第二事件规则组件,所述应用标识信息包括应用地址信息;计算机程序被处理器执行时还实现以下步骤:
将所述应用地址信息作为第二事件信息读入所述第二事件规则组件,通过运行所述第二事件规则组件,验证所述目标应用是否命中风险地址名单;若所述目标应用命中风险地址名单,则确定应用身份验证不通过;若所述目标应用未命中风险地址名单,则确定应用身份验证通过。
在一个实施例中,所述预设第一规则引擎组件包括第一事件规则组件和第二事件规则组件,所述应用标识信息包括用户标识、应用标识和应用地址信息;计算机程序被处理器执行时还实现以下步骤:
将所述用户标识和所述应用标识作为第一事件信息读入所述第一事件规则组件,通过运行所述第一事件规则组件,验证所述目标应用是否命中异常应用名单;若所述目标应用命中异常应用名单,则确定应用身份验证不通过;若所述目标应用未命中异常应用名单,则将所述应用地址信息作为第二事件信息读入所述第二事件规则组件,通过运行所述第二事件规则组件,验证所述目标应用是否命中风险地址名单;若所述目标应用命中风险地址名单,则确定应用身份验证不通过;若所述目标应用未命中风险地址名单,则确定应用身份验证通过。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
根据所述应用信任评分,确定所述目标应用对应的信任等级;若所述信任等级处于预设第一信任等级,则向所述目标应用反馈允许访问的第一反馈信息;若所述信任等级处于预设第二信任等级,则向所述目标应用反馈需要进行二次认证的第二反馈信息;若所述信任等级处于预设第三信任等级,则向所述目标应用反馈禁止访问的第三反馈信息。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、数据库或其它介质的任何引用,均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-OnlyMemory,ROM)、磁带、软盘、闪存、光存储器、高密度嵌入式非易失性存储器、阻变存储器(ReRAM)、磁变存储器(Magnetoresistive Random Access Memory,MRAM)、铁电存储器(Ferroelectric Random Access Memory,FRAM)、相变存储器(Phase Change Memory,PCM)、石墨烯存储器等。易失性存储器可包括随机存取存储器(Random Access Memory,RAM)或外部高速缓冲存储器等。作为说明而非局限,RAM可以是多种形式,比如静态随机存取存储器(Static Random AccessMemory,SRAM)或动态随机存取存储器(Dynamic RandomAccess Memory,DRAM)等。本申请所提供的各实施例中所涉及的数据库可包括关系型数据库和非关系型数据库中至少一种。非关系型数据库可包括基于区块链的分布式数据库等,不限于此。本申请所提供的各实施例中所涉及的处理器可为通用处理器、中央处理器、图形处理器、数字信号处理器、可编程逻辑器、基于量子计算的数据处理逻辑器等,不限于此。
需要说明的是,本申请所涉及的用户信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于分析的数据、存储的数据、展示25 的数据等),均为经用户授权或者经过各方充分授权的信息和数据,且相关数据的收集、使用和处理需要遵守相关国家和地区的相关法律法规和标准。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本申请专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请的保护范围应以所附权利要求为准。
Claims (10)
1.一种应用访问鉴权方法,其特征在于,所述方法包括:
响应于目标应用的鉴权请求,获取所述目标应用对应的应用标识信息;
将所述应用标识信息读入预设第一规则引擎组件,并通过运行所述预设第一规则引擎组件,对所述目标应用进行应用身份验证;
若应用身份验证通过,则构建所述目标应用的目标访问嵌入特征,其中,所述目标访问嵌入特征用于表征所述目标应用请求访问过程的特征信息;
将所述目标访问嵌入特征读入预设第二规则引擎组件,并通过运行所述预设第二规则引擎组件,检测所述目标应用对应的应用信任评分;
根据所述应用信任评分,对所述目标应用进行应用访问鉴权。
2.根据权利要求1所述的方法,其特征在于,所述构建所述目标应用的目标访问嵌入特征,包括:
获取所述目标应用在当前请求访问过程中产生的各访问特征信息;
根据各所述访问特征信息,生成第一嵌入特征;
获取所述目标应用在历史请求访问过程中产生的各第二嵌入特征,其中,所述第二嵌入特征用于表征所述目标应用在历史请求页面过程中的访问特征信息;
将所述第一嵌入特征和各所述第二嵌入特征进行聚合,得到所述目标访问嵌入特征。
3.根据权利要求2所述的方法,其特征在于,所述访问特征信息至少包括访问时间、应用IP地址、应用登陆浏览器类型、计算机网络状态、应用访问内容类型以及应用终端环境信息中的一种或者多种。
4.根据权利要求1所述的方法,其特征在于,所述预设第一规则引擎组件包括第一事件规则组件,所述应用标识信息包括用户标识和应用标识;
所述将所述应用标识信息作为第一事件信息读入预设第一规则引擎组件,并通过运行所述预设第一规则引擎组件,对所述目标应用进行应用身份验证,包括:
将所述用户标识和所述应用标识作为第一事件信息读入所述第一事件规则组件,通过运行所述第一事件规则组件,验证所述目标应用是否命中异常应用名单;
若所述目标应用命中异常应用名单,则确定应用身份验证不通过;
若所述目标应用未命中异常应用名单,则确定应用身份验证通过。
5.根据权利要求1所述的方法,其特征在于,所述预设第一规则引擎组件包括第二事件规则组件,所述应用标识信息包括应用地址信息;
所述将所述应用标识信息作为第一事件信息读入预设第一规则引擎组件,并通过运行所述预设第一规则引擎组件,对所述目标应用进行应用身份验证,包括:
将所述应用地址信息作为第二事件信息读入所述第二事件规则组件,通过运行所述第二事件规则组件,验证所述目标应用是否命中风险地址名单;
若所述目标应用命中风险地址名单,则确定应用身份验证不通过;
若所述目标应用未命中风险地址名单,则确定应用身份验证通过。
6.根据权利要求1所述的方法,其特征在于,所述预设第一规则引擎组件包括第一事件规则组件和第二事件规则组件,所述应用标识信息包括用户标识、应用标识和应用地址信息;
所述将所述应用标识信息作为第一事件信息读入预设第一规则引擎组件,并通过运行所述预设第一规则引擎组件,对所述目标应用进行应用身份验证,包括:
将所述用户标识和所述应用标识作为第一事件信息读入所述第一事件规则组件,通过运行所述第一事件规则组件,验证所述目标应用是否命中异常应用名单;
若所述目标应用命中异常应用名单,则确定应用身份验证不通过;
若所述目标应用未命中异常应用名单,则将所述应用地址信息作为第二事件信息读入所述第二事件规则组件,通过运行所述第二事件规则组件,验证所述目标应用是否命中风险地址名单;
若所述目标应用命中风险地址名单,则确定应用身份验证不通过;
若所述目标应用未命中风险地址名单,则确定应用身份验证通过。
7.根据权利要求1所述的方法,其特征在于,所述根据所述应用信任评分,对所述目标应用进行应用访问鉴权,包括:
根据所述应用信任评分,确定所述目标应用对应的信任等级;
若所述信任等级处于预设第一信任等级,则向所述目标应用反馈允许访问的第一反馈信息;
若所述信任等级处于预设第二信任等级,则向所述目标应用反馈需要进行二次认证的第二反馈信息;
若所述信任等级处于预设第三信任等级,则向所述目标应用反馈禁止访问的第三反馈信息。
8.一种应用访问鉴权装置,其特征在于,所述装置包括:
请求响应模块,用于响应于目标应用的鉴权请求,获取所述目标应用对应的应用标识信息;
身份验证模块,用于将所述应用标识信息读入预设第一规则引擎组件,并通过运行所述预设第一规则引擎组件,对所述目标应用进行应用身份验证;
嵌入特征构建模块,用于若应用身份验证通过,则构建所述目标应用的目标访问嵌入特征,其中,所述目标访问嵌入特征用于表征所述目标应用请求访问过程的特征信息;
应用信任评分模块,用于将所述目标访问嵌入特征读入预设第二规则引擎组件,并通过运行所述预设第二规则引擎组件,检测所述目标应用对应的应用信任评分;
鉴权模块,用于根据所述应用信任评分,对所述目标应用进行应用访问鉴权。
9.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至7中任一项所述的方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至7中任一项所述的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310378247.6A CN116094849B (zh) | 2023-04-11 | 2023-04-11 | 应用访问鉴权方法、装置、计算机设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310378247.6A CN116094849B (zh) | 2023-04-11 | 2023-04-11 | 应用访问鉴权方法、装置、计算机设备和存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN116094849A true CN116094849A (zh) | 2023-05-09 |
| CN116094849B CN116094849B (zh) | 2023-06-09 |
Family
ID=86212426
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310378247.6A Active CN116094849B (zh) | 2023-04-11 | 2023-04-11 | 应用访问鉴权方法、装置、计算机设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116094849B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116708039A (zh) * | 2023-08-07 | 2023-09-05 | 深圳竹云科技股份有限公司 | 基于零信任单包认证的访问方法、装置及系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20180083943A1 (en) * | 2016-09-19 | 2018-03-22 | International Business Machines Corporation | Geolocation dependent variable authentication |
| CN111488598A (zh) * | 2020-04-09 | 2020-08-04 | 腾讯科技(深圳)有限公司 | 访问控制方法、装置、计算机设备和存储介质 |
| CN112073400A (zh) * | 2020-08-28 | 2020-12-11 | 腾讯科技(深圳)有限公司 | 一种访问控制方法、系统、装置及计算设备 |
| CN114297708A (zh) * | 2021-12-27 | 2022-04-08 | 奇安信科技集团股份有限公司 | 访问控制方法、装置、设备和存储介质 |
| CN115189897A (zh) * | 2021-03-23 | 2022-10-14 | 腾讯科技(深圳)有限公司 | 零信任网络的访问处理方法、装置、电子设备及存储介质 |
-
2023
- 2023-04-11 CN CN202310378247.6A patent/CN116094849B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20180083943A1 (en) * | 2016-09-19 | 2018-03-22 | International Business Machines Corporation | Geolocation dependent variable authentication |
| CN111488598A (zh) * | 2020-04-09 | 2020-08-04 | 腾讯科技(深圳)有限公司 | 访问控制方法、装置、计算机设备和存储介质 |
| CN112073400A (zh) * | 2020-08-28 | 2020-12-11 | 腾讯科技(深圳)有限公司 | 一种访问控制方法、系统、装置及计算设备 |
| CN115189897A (zh) * | 2021-03-23 | 2022-10-14 | 腾讯科技(深圳)有限公司 | 零信任网络的访问处理方法、装置、电子设备及存储介质 |
| CN114297708A (zh) * | 2021-12-27 | 2022-04-08 | 奇安信科技集团股份有限公司 | 访问控制方法、装置、设备和存储介质 |
Non-Patent Citations (2)
| Title |
|---|
| VIVIN KRISHNAN等: "Zero Trust-Based Adaptive Authentication using Composite Attribute Set", 2021 IEEE 3RD PHD COLLOQUIUM ON ETHICALLY DRIVEN INNOVATION AND TECHNOLOGY FOR SOCIETY (PHD EDITS), pages 1 - 2 * |
| 薛朝晖;向敏;: "零信任安全模型下的数据中心安全防护研究", 通信技术, no. 06, pages 204 - 208 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116708039A (zh) * | 2023-08-07 | 2023-09-05 | 深圳竹云科技股份有限公司 | 基于零信任单包认证的访问方法、装置及系统 |
| CN116708039B (zh) * | 2023-08-07 | 2023-11-21 | 深圳竹云科技股份有限公司 | 基于零信任单包认证的访问方法、装置及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN116094849B (zh) | 2023-06-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10924514B1 (en) | Machine learning detection of fraudulent validation of financial institution credentials | |
| CN110177108B (zh) | 一种异常行为检测方法、装置及验证系统 | |
| Vastel et al. | {Fp-Scanner}: The Privacy Implications of Browser Fingerprint Inconsistencies | |
| JP6698056B2 (ja) | 異常な事象を検出するシステム及び方法 | |
| CN108256322B (zh) | 安全测试方法、装置、计算机设备和存储介质 | |
| CN110602135B (zh) | 网络攻击处理方法、装置以及电子设备 | |
| CN110602029A (zh) | 一种用于识别网络攻击的方法和系统 | |
| CN113711559B (zh) | 检测异常的系统和方法 | |
| CN116094849B (zh) | 应用访问鉴权方法、装置、计算机设备和存储介质 | |
| CN113949579B (zh) | 网站攻击防御方法、装置、计算机设备及存储介质 | |
| CN111159482A (zh) | 数据校验方法及系统 | |
| Alidoosti et al. | Evaluating the web‐application resiliency to business‐layer DoS attacks | |
| CN112702410B (zh) | 一种基于区块链网络的评估系统、方法及相关设备 | |
| CN116094847B (zh) | 蜜罐识别方法、装置、计算机设备和存储介质 | |
| CN116346488B (zh) | 一种越权访问的检测方法及装置 | |
| CN111967043B (zh) | 确定数据相似度的方法、装置、电子设备及存储介质 | |
| US20220255962A1 (en) | Systems and methods for creation, management, and storage of honeyrecords | |
| CN117407862A (zh) | 应用程序防护方法、装置、计算机设备和存储介质 | |
| CN116909785A (zh) | 异常事件的处理方法、装置、设备、存储介质和程序产品 | |
| CN114238966A (zh) | 基于沙箱矩阵的文件检测方法、装置、设备和存储介质 | |
| CN114117371A (zh) | 访问权限检测方法、装置、计算机设备和存储介质 | |
| CN114880637A (zh) | 账户风险的验证方法、装置、计算机设备和存储介质 | |
| CN117932332A (zh) | 资源转移策略模型的训练方法及资源转移方法 | |
| CN117132283A (zh) | 识别方法、装置、计算机设备、存储介质和程序产品 | |
| CN117955730A (zh) | 一种身份认证方法、产品、设备及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |