CN117272280A

CN117272280A - 一种基于账号的生命周期管理方法及系统

Info

Publication number: CN117272280A
Application number: CN202311214617.9A
Authority: CN
Inventors: 张凌; 王毅睿; 吕军伟; 普艳萍; 何文云; 孔超
Original assignee: Zhongtongfu Network Information Technology Co ltd
Current assignee: Zhongtongfu Network Information Technology Co ltd
Priority date: 2023-09-19
Filing date: 2023-09-19
Publication date: 2023-12-22
Anticipated expiration: 2043-09-19
Also published as: CN117272280B

Abstract

本发明公开了一种基于账号的生命周期管理方法及系统，包括主账号和子账号的创建和管理，每一个用户拥有一个主账号和至少一个子账号，且子账号与主账号相互关联后才能正常登入；对于主账号和子账号的生命周期管理具体操作方法为：通过主账号实现对多个子账号进行账号的新增、删除、冻结等操作，通过主账号对子账号稽核一人多账号、用户权限和高频登录账号；管理员可直接通过对每个用户的唯一主账号进行统一管理；本发明通过主账号管理和监控该主账号下的子账号，及时关停人员账号和减少关联错误率来提升企业整体的业务安全系数，并且提高了管理效率。

Description

一种基于账号的生命周期管理方法及系统

技术领域

本发明涉及一种信息安全技术领域，尤其涉及一种基于账号的生命周期管理方法及系统。

背景技术

在现代社会，人们常常需要在各种不同的系统中拥有账号以进行各种操作和交互。然而，由于账号繁多，账号管理的效率和安全性常常受到限制，并且随着公司的发展，企业内部应用和人员数量会不断增加。不断的员工入职、离职，人员组织架构频繁调整，企业内部的应用账号体系错综复杂，管理员手动操作账号的工作量陡增。同时，缺乏统一的账号管理控制方案也会给企业安全生产带来隐患，经常出现员工离职但是应用账号未关停的安全风险案例，以及出现手机号码更换未及时删除相应的账号，导致该手机号被运营商重新投入卖给其他人使用时，造成信息泄露的风险。

因此通过建设统一账号生命周期管理平台以及管理方法将用户的唯一身份信息(如身份证)作为主账号的创建和验证，同时通过主账号管理和监控该主账号下的子账号，及时关停人员账号和减少关联错误率来提升企业整体的业务安全系数，通过利用主账号关联子账号，可以通过主账号负责对子账号的新增、删除、修改，和稽核一人多账号、用户权限和高频登录账号等监控，对于企业提高账号管理的效率和安全性具有重要意义。

发明内容

本发明的目的在于：针对现有技术的不足，现提出一种基于账号的生命周期管理方法及系统，利用主账户对其名下每一个子账户的创建到注销的全过程进行管理和控制。

本发明的技术方案如下：

本发明公开了一种基于账号的生命周期管理方法，包括主账号和子账号的创建和管理，每一个用户拥有一个主账号和至少一个子账号，且子账号与主账号相互关联后才能正常登入；对于主账号和子账号的生命周期管理具体操作方法为：

自动新增账号，根据用户的层级，判断该用户能使用的系统以及权限进行配置，判断该用户唯一身份信息下是否存在主账号，如果没有主账号，则先创建主账号再创建子账号，若存在主账号，则在该主账号下根据申请创建子账号；并且主账号邀请子账号建立关联关系，主账号确认后，与主账号建立关联关系可正常登入使用；

自动删除账号，接收到用户注销账号请求主账号将该子账号设置为禁用暂删除状态并保留一个月，且一个月后未收到该账号的恢复请求，解除该子账号与主账号的关联并自动删除该子账号；

自动冻结账号，用户在登录以及使用过程中主账号检测到异常，则直接冻结该子账号以及主账号，并发送检测异常信息以及所属用户联系方式到管理员处，等待管理员进一步确认是否取消冻结或者直接进行删除；

用户变更，主账号根据用户权限状态进行子账号的暂时冻结和变更确认，确认变更之后，新用户将该账号转入其主账号下，并重新设置用户名和登录密码，但是账号内容不变。

以上方法，通过在主账号下创建子账号，并且将子账号与主账号相关联，实现主账号对其名下所有的子账号进行统一管理，只要一个子账号出现问题，随即冻结主账号，让其名下其余子账号也登录不了，进一步保证信息的安全性。

进一步地，所述自动新增账户的具体步骤为：

S1、用户输入创建账号的基本信息，包括用户名、登录账号、用户真实身份信息和所在岗位；

S2、收到请求之后，校验用户账号是否在不能创建账号的清单中，若在，则驳回请求，若不在，继续下一步；

S3、判断该用户唯一身份信息下是否存在主账号；主账号和子账号之间通过用户唯一身份信息进行搜索，唯一身份信息包括身份证号或护照号，唯一身份信息结合统一码编码表得到主账号用户名；子账号每一次的建立必须通过唯一身份信息和面部识别进行核查；

S4、根据用户输入的基本信息通过用户分类分级规则给用户分级，分配子账号所能够拥有的权限。

进一步地，所述子账号与主账号存在三种状态：关联确认中、已建立关联、已解除关联和变更确认中；其中只有已建立关联的子账号才能正常登入。

进一步地，所述用户分类分级规则为根据用户的所在岗位和职位进行等级的划分，所在等级设置有相对应的权限，等级越高权限越大；所述权限包括能够访问的子账号所属系统信息和主账号所能查询的权限。

进一步地，所述异常包括一人多账号稽核、用户权限稽核、长时间未登录和高频登录账号稽核；通过身份验证和关联算法发现是否存在一人多账号的情况，主账号作为唯一值关联多个子账号，根据主账号查询到用户所有子账号，自动检验用户在从系统里拥有的子账号数量以及监控多个子账号的操作；通过用户操作以及所述从系统判断权限是否超出；通过登录日志和行为分析，对账号登录频率和位置进行稽核，判断是否长时间未登录和高频登录账号的情况。

进一步地，所述长时间未登录和高频登录账号稽核的方法具体为：

设定高频登录的阈值和异常登录的行为特征，识别出高频登录账号；

通过分析账号的登录日志，包括登录IP和登录时间，利用机器学习算法识别出异常登录行为；

通过实时监控和定期分析账号的登录情况，发现并处理异常登录账号。

本发明还公开了一种基于账号的生命周期管理系统，包括账号管理平台、主系统和子系统，所述主系统连接账号管理平台，子系统连接主系统，主系统内设置有规则引擎和系统接口；

所述主系统作为总的登录接口，通过主账号的登录进入，管理其下所关联的所有子账号，监控子账号的登录以及操作状态，对子账号进行冻结和删除的操作；

所述子系统通过主账号的内的子账号进行跳转进入的系统，一个用户根据权限可通过子账号进入多个子系统，子系统与主系统之间建立关联关系；

所述账号管理平台通过API或SDK连接各个主系统，管理员通过账号管理平台对主账号进行统一管理；

所述规则引擎用于根据用户的申请请求以及用户账号操作过程进行规则化定制，通过与规则进行正则匹配的方式来识别不符合规则的行为，并与多个系统和账号管理平台相连通；

所述系统接口通过配置系统接口信息，与各个系统的规则引擎数据进行交互，根据规则引擎的判断以及账号管理平台发出的指令完成自动新增账号、自动删除账号、自动冻结账号和用户变更的操作。

以上结构，通过账号管理平台统一管理所有主账号，包括主账号的冻结状态等，还可以查看主账号的一些申请，例如解冻申请、删除申请和变更申请等，账号管理平台上还可以查看到主账号所属用户的基本信息，包括用户名、联系方式，便于管理员能够第一时间发送信息进行验证和核查。

进一步地，所述规则引擎为可灵活配置的规则引擎，根据不同部门不同场景进行规则设置，包括用户层级判断、所属层级权限分配、登录次数、登录IP和操作过程所涉及的权限范围，根据不同规则的触发条件执行不同动作。

进一步地，所述账号管理平台为管理员操作界面，可以转移权限对外提供服务，还可以通过后台监控操作流程。

与现有的技术相比本发明的有益效果是：

1、本发明通过主账号实现对多个子账号的统一管理，通过自动化的方式实现账号的新增、删除、冻结等操作，稽核一人多账号、用户权限和高频登录账号，同时通过主账号管理和监控该主账号下的子账号，及时关停人员账号和减少关联错误率来提升企业整体的业务安全系数，并且提高了管理效率。

2、本发明通过管理员直接管理主账号，方便了账号的统一管理，以及对于每一个用户实现精准监控，防止信息泄露。

3、本发明通过结合了身份验证、关联关系分析、权限稽核和高频登录账号稽核等多项技术，实现全方位、综合性的账号管理功能，能够保护用户账号的安全和数据的隐私。

附图说明

图1为本发明的账号的生命周期管理方法流程示意图；

图2为本发明账号的生命周期管理系统结构示意图；

具体实施方式

需要说明的是，术语“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

下面结合实施例对本发明的技术方案做进一步的详细描述。

本发明公开了一种基于账号的生命周期管理方法，账号生命周期管理是指对一个账号从创建到注销的全过程进行管理和控制。账号生命周期管理通常包括以下几个方面：创建账号：在需要使用账号登录的系统或应用中创建账号，包含分配唯一的用户名和密码等基础信息。访问控制：对用户账号进行权限控制，根据账号所属角色或组织，提供对应的访问权限，确保账号只能访问其所分配的资源。账号使用：账号在正常使用过程中需要被管理和监控，包括账号的登录活动、操作行为、访问日志等。账号权限变更：根据业务需求或岗位变动，对账号的权限进行变更，包括添加、修改或删除账号的访问权限。账号禁用或注销：当账号不再需要或存在安全风险时，需要及时禁用或注销账号，停止其访问系统或应用的权限。账号审计和监控：对账号生命周期管理过程进行审计和监控，确保账号的使用符合规范和安全策略。密码管理：定期要求账号用户更新密码，要求复杂度强的密码，并确保密码的安全存储和传输。高频登录账号稽核：程序能够分析和检测账号的登录频率和位置，发现并稽核出异常活动和非正常登录的情况，及时发现并防范账号被盗用的风险。通过对账号生命周期进行管理，可以减少安全风险、提高系统安全性，同时也能够更好地满足业务需求，避免僵化的权限设置。

如图1所示，基于账号生命周期管理方法，本发明具体包括主账号和子账号的创建和管理，每一个用户拥有一个主账号和至少一个子账号，子账号与主账号存在三种状态：关联确认中、已建立关联、已解除关联和变更确认中，且子账号与主账号已建立关联才能正常登入；在这里可以直接使用主账号的“邀请关联账号”功能，将主账号与子账号建立关联关系，完成该主、子账号关联后，可由主账号统一管理同一名下子账号的信息，从而降低企业管理成本，具体操作方法为：

发出邀请：主账号会向待关联的子账号发起邀请；待关联的子账号将收到站内信、短信或邮件通知，需要确认关联。

确认邀请：子账号登录“用户中心”后，进入“主账号-子账号关联”，可以点击“拒绝”或“确认邀请”；

同意邀请：子账号可以查看具体的关联内容，包括同步登录信息以及操作信息给关联的主账号等内容；

关联展示：登录主账号“用户中心”，进入“账号关联”，查看跟所有名下子账号建立关联关系的状态，包括关联确认中、已建立关联或已解除关联等状态以及各个子账号的权限范围。

对于主账号和子账号的生命周期管理具体操作方法为：

自动新增账号，根据用户的层级，判断该用户能使用的系统以及权限进行配置，判断该用户唯一身份信息下是否存在主账号，如果没有主账号，则先创建主账号再创建子账号，若存在主账号，则在该主账号下根据申请创建子账号；并且主账号邀请子账号建立关联关系，主账号确认后，与主账号建立关联关系可正常登入使用；子账号的建立同样需要进行个人实名认证才可以申请，便于与同一人名下的主账号进行绑定，方便企业对账号的管理，主账号每个用户拥有唯一一个，在该主账户下创建子账户还需要进行同一手机号或邮箱验证，保证子账号创建的安全。

自动删除账号，接收到用户注销账号请求主账号将该子账号设置为禁用暂删除状态并保留一个月，且一个月后未收到该账号的恢复请求，解除该子账号与主账号的关联并自动删除该子账号；若是要进行主账户的删除，则需要管理员进行操作。

用户变更，用户离职或调岗，主账号根据用户权限状态进行子账号的暂时冻结和变更确认，确认变更之后，新用户将该账号转入其主账号下，并重新设置用户名和登录密码，但是账号内容不变，即下一个接替他的人，可以看到之前属于他的数据。

自动新增账户的具体步骤为：

用户分类分级规则为根据用户的所在岗位和职位进行等级的划分，所在等级设置有相对应的权限，等级越高权限越大；所述权限包括能够访问的子账号所属系统信息和主账号所能查询的权限。

异常包括一人多账号稽核、用户权限稽核、长时间未登录和高频登录账号稽核；通过身份验证和关联算法发现是否存在一人多账号的情况，主账号作为唯一值关联多个子账号，根据主账号查询到用户所有子账号，自动检验用户在从系统里拥有的子账号数量以及监控多个子账号的操作；通过用户操作以及所述从系统判断权限是否超出；通过登录日志和行为分析，对账号登录频率和位置进行稽核，判断是否长时间未登录和高频登录账号的情况；长时间未登录和高频登录账号稽核的方法具体为：

如图2所示，本发明公开了一种基于账号的生命周期管理系统，包括账号管理平台、主系统和子系统，所述主系统连接账号管理平台，子系统连接主系统，主系统内设置有规则引擎和系统接口；

主系统作为总的登录接口，通过主账号的登录进入，管理其下所关联的所有子账号，监控子账号的登录以及操作状态，对子账号进行冻结和删除的操作；

子系统通过主账号的内的子账号进行跳转进入的系统，一个用户根据权限可通过子账号进入多个子系统，子系统与主系统之间建立关联关系；

账号管理平台通过API或SDK连接各个主系统，管理员通过账号管理平台对主账号进行统一管理；账号管理平台为管理员操作界面，可以转移权限对外提供服务，还可以通过后台监控操作流程。

规则引擎用于根据用户的申请请求以及用户账号操作过程进行规则化定制，通过与规则进行正则匹配的方式来识别不符合规则的行为，并与多个系统和账号管理平台相连通；规则引擎为可灵活配置的规则引擎，根据不同部门不同场景进行规则设置，包括用户层级判断、所属层级权限分配、登录次数、登录IP和操作过程所涉及的权限范围，根据不同规则的触发条件执行不同动作。

系统接口通过配置系统接口信息，与各个系统的规则引擎数据进行交互，根据规则引擎的判断以及账号管理平台发出的指令完成自动新增账号、自动删除账号、自动冻结账号和用户变更的操作。

本申请的具体实施方式，其描述较为具体和详细，但并不能因此而理解为对本申请保护范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本申请技术方案构思的前提下，还可以做出若干变形和改进，这些都属于本申请的保护范围。

Claims

1.一种基于账号的生命周期管理方法，其特征在于，包括主账号和子账号的创建和管理，每一个用户拥有一个主账号和至少一个子账号，且子账号与主账号相互关联后才能正常登入；对于主账号和子账号的生命周期管理具体操作方法为：

2.根据权利要求1所述的一种基于账号的生命周期管理方法，其特征在于，所述自动新增账户的具体步骤为：

3.根据权利要求1所述的一种基于账号的生命周期管理方法，其特征在于，所述子账号与主账号存在三种状态：关联确认中、已建立关联、已解除关联和变更确认中；其中只有已建立关联的子账号才能正常登入。

4.根据权利要求2所述的一种基于账号的生命周期管理方法，其特征在于，所述用户分类分级规则为根据用户的所在岗位和职位进行等级的划分，所在等级设置有相对应的权限，等级越高权限越大；所述权限包括能够访问的子账号所属系统信息和主账号所能查询的权限。

5.根据权利要求1所述的一种基于账号的生命周期管理方法，其特征在于，所述异常包括一人多账号稽核、用户权限稽核、长时间未登录和高频登录账号稽核；通过身份验证和关联算法发现是否存在一人多账号的情况，主账号作为唯一值关联多个子账号，根据主账号查询到用户所有子账号，自动检验用户在子系统里拥有的子账号数量以及监控多个子账号的操作；通过用户操作以及所述子系统判断权限是否超出；通过登录日志和行为分析，对账号登录频率和位置进行稽核，判断是否长时间未登录和高频登录账号的情况。

6.根据权利要求1所述的一种基于账号的生命周期管理方法，其特征在于，所述管理员拥有全部权限，能够查看所有主账号的信息，包括主账号的用户名、手机号码、状态、角色以及操作。

7.根据权利要求5所述的一种基于账号的生命周期管理方法，其特征在于，所述长时间未登录和高频登录账号稽核的方法具体为：

8.一种基于账号的生命周期管理系统，其特征在于，包括账号管理平台、主系统和子系统，所述主系统连接账号管理平台，子系统连接主系统，主系统内设置有规则引擎和系统接口；

9.根据权利要求8所述的一种基于账号的生命周期管理系统，其特征在于，所述规则引擎为可灵活配置的规则引擎，根据不同部门不同场景进行规则设置，包括用户层级判断、所属层级权限分配、登录次数、登录IP和操作过程所涉及的权限范围，根据不同规则的触发条件执行不同动作。

10.根据权利要求8所述的一种基于账号的生命周期管理系统，其特征在于，所述账号管理平台为管理员操作界面，可以转移权限对外提供服务，还可以通过后台监控操作流程。