CN117857221A - 一种针对远程服务平台的权限管理方法及系统 - Google Patents
一种针对远程服务平台的权限管理方法及系统 Download PDFInfo
- Publication number
- CN117857221A CN117857221A CN202410257150.4A CN202410257150A CN117857221A CN 117857221 A CN117857221 A CN 117857221A CN 202410257150 A CN202410257150 A CN 202410257150A CN 117857221 A CN117857221 A CN 117857221A
- Authority
- CN
- China
- Prior art keywords
- access
- behavior
- identity verification
- authentication
- authority
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000007726 management method Methods 0.000 title claims abstract description 57
- 238000012795 verification Methods 0.000 claims abstract description 174
- 238000000034 method Methods 0.000 claims abstract description 47
- 230000008569 process Effects 0.000 claims abstract description 33
- 230000006399 behavior Effects 0.000 claims description 130
- 230000006378 damage Effects 0.000 claims description 25
- 238000004422 calculation algorithm Methods 0.000 claims description 12
- 238000011156 evaluation Methods 0.000 claims description 7
- 239000004576 sand Substances 0.000 claims description 5
- 238000004364 calculation method Methods 0.000 claims description 4
- 230000002159 abnormal effect Effects 0.000 claims description 3
- 230000005856 abnormality Effects 0.000 claims description 3
- 230000003313 weakening effect Effects 0.000 claims description 3
- 230000006870 function Effects 0.000 description 9
- 238000007796 conventional method Methods 0.000 description 6
- 238000012360 testing method Methods 0.000 description 5
- 238000004590 computer program Methods 0.000 description 4
- 238000013461 design Methods 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 238000004088 simulation Methods 0.000 description 3
- 238000009825 accumulation Methods 0.000 description 2
- 238000013459 approach Methods 0.000 description 2
- 238000003491 array Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 230000002708 enhancing effect Effects 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 206010000117 Abnormal behaviour Diseases 0.000 description 1
- 230000003044 adaptive effect Effects 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 230000000052 comparative effect Effects 0.000 description 1
- 230000010485 coping Effects 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 230000003867 tiredness Effects 0.000 description 1
- 208000016255 tiredness Diseases 0.000 description 1
Landscapes
- Storage Device Security (AREA)
Abstract
本发明涉及权限管理技术领域,公开了一种针对远程服务平台的权限管理方法及系统,包括:获取远程服务平台中用户的访问需求,并采集用户的身份验证信息;将所述访问需求和所述身份验证信息传输到中间网络;通过所述中间网络模拟本地网络的访问过程;在访问行为不在权限内时,利用多重身份验证,实现远程的权限调整。显著提高了身份验证的准确性和安全性。通过模拟用户在本地网络的访问行为,可以在不影响实际网络的情况下评估潜在的安全风险,有效预防数据泄露和未授权访问。为远程服务平台提供了一个安全、灵活且高效的权限管理方法。这不仅提高了安全性和风险管理能力,还优化了用户体验,使其成为适应当前数字化趋势的理想选择。
Description
技术领域
本发明涉及权限管理技术领域,具体为一种针对远程服务平台的权限管理方法及系统。
背景技术
随着远程服务平台的普及,安全性成为主要挑战。特别是在身份验证和权限管理方面,需要确保只有授权用户才能访问敏感数据和服务。用户对远程服务的需求多样化,需要灵活的权限管理系统来满足不同用户的特定需求。在远程服务中保护数据免受未授权访问或破坏行为是一个重要问题。
传统的安全措施已不足以应对新的威胁,在当前数字化、网络化的工作环境中,对于高级安全措施和灵活的权限管理方法的迫切需求。
发明内容
鉴于上述存在的问题,提出了本发明。
因此,本发明解决的技术问题是:现有的权限管理方法存在安全性低、无法应对信息被恶意销毁等问题。
为解决上述技术问题,本发明提供如下技术方案:一种针对远程服务平台的权限管理方法,包括:
获取远程服务平台中用户的访问需求,并采集用户的身份验证信息;
将所述访问需求和所述身份验证信息传输到中间网络;
通过所述中间网络模拟本地网络的访问过程,若访问行为在权限范围内且访问行为不存在销毁行为时,对本地网络按照中间网络模拟的访问过程执行访问;若访问行为在权限范围内但访问行为存在销毁行为时,所述中间网络保存访问前本地网络的数据内容,并且保存的数据内容仅允许本地网络进行销毁;
在访问行为不在权限内时,利用多重身份验证,实现远程的权限调整。
作为本发明所述的针对远程服务平台的权限管理方法的一种优选方案,其中:所述访问需求包括,在用户通过远程服务平台进行访问时,向用户问询即将执行的访问行为是否在预设的访问权限内;
若即将执行的访问行为在访问权限内,则进行单次身份验证;
若即将执行的访问行为不在访问权限内,则进行多重身份验证,并对远程服务平台远程访问的权限进行调整;
所述单次身份验证包括,通过在本地网络中预设的身份验证方式进行的身份验证;
所述多重身份验证包括,将所述单次身份验证作为第一次的身份验证,验证结束后继续利用其他身份验证方式进行验证;
所述其他身份验证方式包括,预设固定内容的验证类型、生物信息的验证类型以及设备验证类型,每种类型中设置多种身份验证方式。
作为本发明所述的针对远程服务平台的权限管理方法的一种优选方案,其中:所述多重身份验证还包括,通过在本地网络中预设n种除所述单次身份验证之外的身份验证方式,通过选择算法进行身份验证方式的选择,若连续三次验证结果为验证未通过,则所述远程服务平台发送异常登录信息至与本地网络关联的移动设备,同时终止本次访问,当与本地网络关联的移动设备取消异常后,所述远程服务平台允许再次访问;
所述选择算法的具体步骤包括:
初始化累计后的可信度CL=0;
通过随机选择获取身份验证方式,在随机选择时,保证新选择的身份验证方式与前一次的身份验证方式的类型不同,若经过两次身份验证后,则保证新选择的身份验证方式与前两次的身份验证方式的类型不同;
记录每次身份验证的可信度:
;
其中,Ci表示第i次验证的可信度,i≥2;A表示身份验证的验证标准;a表示输入的身份验证信息;S表示当前身份验证方式;SW表示生物信息的验证类型;SB表示设备验证类型;f(A,a)和g(A,a)表示可信度评估函数;
;
;
其中,min(A,a)表示去除a中的被替换字符后,A和a中的最小字符长度;max(A,a)表示A和a中最长的字符长度;
对于g(A,a),若验证标准与输入的身份验证信息完全一致,则判定为验证通过;若输入的身份验证信息存在遗漏字符或重复字符或替换字符,且错误率不超过80%,则判定为待验证;若未满足验证通过的判定,同时不满足待验证判定,则判定为验证未通过;
对所述可信度进行累计:
;
其中,CL表示累计后的可信度;I表示最大验证次数,且I≥3;
预先设定整数阈值N,N≤I,在计算CL时,将CL与N进行比较;若CL>N,则所述多重身份验证通过;若到达最大验证次数i后,仍不满足CL>N,则所述多重身份验证不通过。
作为本发明所述的针对远程服务平台的权限管理方法的一种优选方案,其中:通过所述单次身份验证后,用户在所述中间网络中进行访问行为;
所述中间网络在被访问的过程中,对用户的访问行为进行监控,并对监控的行为是否超过权限进行界定;
若所述访问行为在权限内,则通过所述中间网络的访问行为,对本地网络中数据内容进行同步。
作为本发明所述的针对远程服务平台的权限管理方法的一种优选方案,其中:所述中间网络包括,通过远程服务平台的中间网络复制本地网络的数据信息,并根据复制的数据信息,在中间网络中进行沙盘环境的建立;
在复制所述数据信息时,仅复制访问权限内的数据信息;在越权访问时,通过多重身份验证后,复制权限更新后访问权限内的数据信息;
用户在所述中间网络的访问过程中,若访问行为在权限范围内,则对用户访问行为的数据安全进行识别,当访问行为不存在销毁行为时,对本地网络按照中间网络模拟的访问过程执行访问;当访问行为存在销毁行为时,所述中间网络保存访问前本地网络的数据内容,并且保存的数据内容仅允许本地网络进入所述中间网络后进行销毁;若访问行为超出权限,则中止访问进行所述多重身份验证,从而对权限进行调整,在调整完成后恢复访问过程。
作为本发明所述的针对远程服务平台的权限管理方法的一种优选方案,其中:在所述中间网络进行访问过程中,当访问行为超出权限时,若用户在超出权限前进行权限调整的申请,则直接进行多重身份验证;若用户在超出权限前未进行权限调整的申请,则在进行多重身份验证时,对访问身份进行质疑;
所述对访问身份进行质疑包括,在所述多重身份验证时进行难度升级:
将可信度评估函数g(A,a)中,判定为待验证的输出结果削减至0;同时对累计后的可信度进行减弱,表示为:
;
其中,表示权重,用于表示越权行为的可疑程度;
权重的计算具体过程包括:
设定特征集F={f1,f2,...,fk};
使用聚类算法在特征集F 上建立正常行为模式;
设定未越权行为的中心C={c1,c2,...,ck};
对于一个给定的越权行为实例B={b1,b2,...,bk},计算其与正常行为模式中心C的欧几里得距离:
;
其中,fk 表示一个行为特征,ck表示特征fk在正常行为模式中的平均值,bk表示越权行为实例中的特征值;
;
其中,D表示越权行为的欧几里得距离,D0表示未越权行为的最大欧几里得距离;
当所有Ci都为1时,若>N,则使用/>对累计后的可信度进行减弱;若/>≤N,则令/>=1,通过对身份验证方式的定向重复验证,执行身份验证;
所述对身份验证方式的定向重复验证包括,当进行身份验证的类型为固定内容的验证类型时,则正常进行身份验证;当进行身份验证的类型为生物信息的验证类型时,则通过两次重复验证的方式进行身份验证,只有在两次验证结果都通过时,才判定验证通过,否则判定本轮执行的身份验证结果为不通过;当进行身份验证的类型为设备验证类型时,远程服务平台向验证设备发送两次设备验证信息,并根据两次验证的顺序,只有在两次验证结果都通过时,才判定验证通过,否则判定本轮执行的身份验证结果为不通过。
作为本发明所述的针对远程服务平台的权限管理方法的一种优选方案,其中:对权限的管理包括,本地网络能够自定义设置权限,通过本地网络进行权限调整时,在每种类型的身份验证方式中随机选择一个,从而得到三种身份验证方式,利用选择的三种身份验证方式进行验证,验证通过后,通过本地网络对权限进行调整;
通过远程服务平台的访问需求进行远程的权限调整,具体为:利用多重身份验证,打开远程服务平台中进行权限远程调整的权限,根据远程调整的权限范围,进行远程的权限调整。
一种计算机设备,包括:存储器和处理器;所述存储器存储有计算机程序,其特征在于:所述处理器执行所述计算机程序时实现本发明中任一项所述的方法的步骤。
一种计算机可读存储介质,其上存储有计算机程序,其特征在于:所述计算机程序被处理器执行时实现本发明中任一项所述的方法的步骤。
本发明的有益效果:本发明提供的针对远程服务平台的权限管理方法,结合多种验证方式,显著提高了身份验证的准确性和安全性。通过模拟用户在本地网络的访问行为,可以在不影响实际网络的情况下评估潜在的安全风险,有效预防数据泄露和未授权访问。为远程服务平台提供了一个安全、灵活且高效的权限管理方法。这不仅提高了安全性和风险管理能力,还优化了用户体验,使其成为适应当前数字化趋势的理想选择。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本发明第一个实施例提供的一种针对远程服务平台的权限管理方法的整体流程图。
具体实施方式
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合说明书附图对本发明的具体实施方式做详细的说明,显然所描述的实施例是本发明的一部分实施例,而不是全部实施例。基于本发明中的实施例,本领域普通人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明的保护的范围。
实施例1
参照图1,为本发明的一个实施例,提供了一种针对远程服务平台的权限管理方法,包括:
S1:获取远程服务平台中用户的访问需求,并采集用户的身份验证信息;
进一步的,所述访问需求包括,在用户通过远程服务平台进行访问时,向用户问询即将执行的访问行为是否在预设的访问权限内;若即将执行的访问行为在访问权限内,则进行单次身份验证;若即将执行的访问行为不在访问权限内,则进行多重身份验证,并对远程服务平台远程访问的权限进行调整。通过询问用户将执行的访问行为是否在其预设的访问权限内,确保所有访问行为都得到适当的授权。这有助于防止未授权的访问和潜在的安全风险。对于在权限范围内的访问行为,实施单次身份验证,旨在提供快速且足够的安全保障,以便用户能够高效地访问所需资源。对于不在权限范围内的访问行为,实施多重身份验证,增加安全层级,确保只有经过严格验证的用户才能访问或修改权限设置。
所述单次身份验证包括,通过在本地网络中预设的身份验证方式进行的身份验证;所述多重身份验证包括,将所述单次身份验证作为第一次的身份验证,验证结束后继续利用其他身份验证方式进行验证。结合固定内容验证、生物信息验证和设备验证等多种身份验证方式,提高验证过程的安全性和准确性。这种多元化的验证方法可以有效防止身份盗用和其他安全威胁。通过在验证过程中结合不同类型的验证方式,旨在提供既安全又不过度繁琐的用户体验。
要知道的是,其他身份验证方式包括,预设固定内容的验证类型、生物信息的验证类型以及设备验证类型,每种类型中设置多种身份验证方式。
S2:将所述访问需求和所述身份验证信息传输到中间网络;通过所述中间网络模拟本地网络的访问过程,若访问行为在权限范围内且访问行为不存在销毁行为时,对本地网络按照中间网络模拟的访问过程执行访问;若访问行为在权限范围内但访问行为存在销毁行为时,所述中间网络保存访问前本地网络的数据内容,并且保存的数据内容仅允许本地网络进行销毁。
进一步的,通过所述单次身份验证后,用户在所述中间网络中进行访问行为;所述中间网络在被访问的过程中,对用户的访问行为进行监控,并对监控的行为是否超过权限进行界定;若所述访问行为在权限内,则通过所述中间网络的访问行为,对本地网络中数据内容进行同步。
要说的是,在中间网络中监控用户的访问行为,目的是实时监测和预防潜在的安全威胁。通过监控,系统能够及时发现非授权访问或异常行为,从而采取相应的安全措施。对用户行为是否超过权限的界定,旨在确保用户操作不会越权,防止用户访问或修改他们无权访问的数据,增强整个系统的安全性。最重要的是,通过在中间网络中进行访问行为的模拟和监控,可以减少直接对本地网络操作的风险。这种隔离机制有助于保护本地网络免受潜在的破坏性操作的影响。
再进一步的,所述中间网络包括,通过远程服务平台的中间网络复制本地网络的数据信息,并根据复制的数据信息,在中间网络中进行沙盘环境的建立;在复制所述数据信息时,仅复制访问权限内的数据信息;在越权访问时,通过多重身份验证后,复制权限更新后访问权限内的数据信息。通过在中间网络中创建沙盘环境,可以将用户的访问行为隔离在一个安全的测试环境中,从而保护本地网络免受潜在的恶意操作或配置错误的影响。这种设计减少了用户直接与本地网络交互的风险,特别是在处理敏感或关键数据时。通过复制访问权限内的数据信息,确保在中间网络中模拟的数据与用户实际拥有权限访问的数据一致,从而提高了模拟测试的准确性和相关性。在用户权限更新后,复制新权限范围内的数据信息,确保用户访问的是最新且相关的数据,这有助于提高工作效率和数据处理的准确性。同时,通过这种方式能够实现数据信息的保护,这样在外界恶意获取本地网络信息时,仅能获取到已复制的数据信息,而在权限外的数据信息是无法被复制的,从而保证了数据的安全。
用户在所述中间网络的访问过程中,若访问行为在权限范围内,则对用户访问行为的数据安全进行识别,当访问行为不存在销毁行为时,对本地网络按照中间网络模拟的访问过程执行访问;当访问行为存在销毁行为时,所述中间网络保存访问前本地网络的数据内容,并且保存的数据内容仅允许本地网络进入所述中间网络后进行销毁;若访问行为超出权限,则中止访问进行所述多重身份验证,从而对权限进行调整,在调整完成后恢复访问过程。
要知道的是,这里说的“销毁行为”指代删除或篡改、替换等行为,在检测到销毁行为时,中间网络保存访问前的数据状态,这为数据的恢复提供了可能,减少了数据丢失的风险。通过在中间网络中先行模拟用户的访问行为,特别是潜在的销毁行为,可以预防对本地网络数据的意外或恶意损坏。当用户的访问行为超出权限时,系统会中止访问并进行多重身份验证,以调整用户权限。这种动态调整机制使权限管理更加灵活和适应性强。系统能够及时检测和响应权限违规行为,确保只有授权用户才能执行敏感操作。
S3:在访问行为不在权限内时,利用多重身份验证,实现远程的权限调整。
进一步的,多重身份验证包括,通过在本地网络中预设n种除所述单次身份验证之外的身份验证方式,通过选择算法进行身份验证方式的选择,若连续三次验证结果为验证未通过(如果连续三次的验证结果都是不通过,那就说明进行身份验证的访问,用户大概率是恶意访问),则所述远程服务平台发送异常登录信息至与本地网络关联的移动设备,同时终止本次访问,当与本地网络关联的移动设备取消异常后,所述远程服务平台允许再次访问。
所述选择算法的具体步骤包括:
初始化累计后的可信度CL=0;
通过随机选择获取身份验证方式,在随机选择时,保证新选择的身份验证方式与前一次的身份验证方式的类型不同(通过这样的方式,能够保证每连续三次进行身份验证时,这三种身份验证方式都是不同的,这样的多样化可以有效防止某一验证方式的潜在弱点被利用,从而增强整体的安全性,同时,通过变换身份验证方式,可以减少用户在重复进行同一验证方式时的厌倦感,提高用户体验。随机选择验证方式使得攻击者难以预测下一步的验证方法,增加了安全防护的复杂度)。
记录每次身份验证的可信度:
;
其中,Ci表示第i次验证的可信度,i≥2;A表示身份验证的验证标准;a表示输入的身份验证信息;S表示当前身份验证方式;SW表示生物信息的验证类型;SB表示设备验证类型;f(A,a)和g(A,a)表示可信度评估函数。
;
;
其中,min(A,a)表示去除a中的被替换字符后,A和a中的最小字符长度;max(A,a)表示A和a中最长的字符长度。
对于g(A,a),若验证标准与输入的身份验证信息完全一致,则判定为验证通过;若输入的身份验证信息存在遗漏字符或重复字符或替换字符,且错误率不超过80%(此处数值可自定义设置),则判定为待验证;若未满足验证通过的判定,同时不满足待验证判定,则判定为验证未通过。要知道的是,当可信度评估函数g,判定为待验证时,输出结果为小数;而对于设定的阈值N则是整数阈值,也就是说,对于单个输出结果是待验证,对于可信度的累积几乎无影响,因为它并不能影响是否大于N。若多个输出结果是待验证,可以使两个输出结果进行累积,累积结果必然大于1,也就是说会对阈值N的比较产生影响。因为待验证的输出结果表示,验证信息大部分是正确的;可能因为按键失误原因导致,身份验证结果不正确。此时给予一定的信任指标,这个信任指标是可以进行累计的,而累计的信任指标才会对累计后的可信度产生实质性的影响。
对所述可信度进行累计:
;
其中,CL表示累计后的可信度;I表示最大验证次数,且I≥3。
预先设定整数阈值N,N≤I,在计算CL时,将CL与N进行比较;若CL>N,则所述多重身份验证通过;若到达最大验证次数i后,仍不满足CL>N,则所述多重身份验证不通过。
在所述中间网络进行访问过程中,当访问行为超出权限时,若用户在超出权限前进行权限调整的申请,则直接进行多重身份验证;若用户在超出权限前未进行权限调整的申请,则在进行多重身份验证时,对访问身份进行质疑。允许用户在需要更高权限时事先申请,这通常是正常的业务需求。直接进行多重身份验证可以快速响应这些合法的权限需求。如果用户在没有预先申请的情况下尝试访问超出其权限的资源,这可能是一个安全风险的信号。在这种情况下,对访问身份进行质疑,增加验证难度,是一种预防潜在非授权访问的安全措施。对于未预申请权限调整的用户,增强验证过程可以有效防止恶意用户或攻击者越权访问敏感数据或系统功能。对于合理的权限调整需求,通过简化的验证流程可以提高用户体验和业务处理效率。
所述对访问身份进行质疑包括,在所述多重身份验证时进行难度升级:
将可信度评估函数g(A,a)中,判定为待验证的输出结果削减至0;同时对累计后的可信度进行减弱,表示为:
;
其中,表示权重,用于表示越权行为的可疑程度。
权重的计算具体过程包括:
设定特征集F={f1,f2,...,fk},这些特征可以是数据的分类特征、访问频率、时段、持续时间、访问的数据类型等。
使用聚类算法在特征集F 上建立正常行为模式。这意味着通过分析大量用户数据来确定哪些行为模式被视为正常或典型。
设定未越权行为的中心C={c1,c2,...,ck},确定每个特征在正常行为模式中的平均值或中心点,这些中心点{c1,c2,...,ck}代表了正常行为的标准。
对于一个给定的越权行为实例B={b1,b2,...,bk},计算其与正常行为模式中心C的欧几里得距离:
;
其中,fk表示一个行为特征,ck表示特征fk在正常行为模式中的平均值,bk表示越权行为实例中的特征值。
;
其中,D表示越权行为的欧几里得距离,D0表示未越权行为的最大欧几里得距离。
要知道的是,聚类算法属于较为成熟的算法,我们通过利用这种算法能够有效分析越权行为偏离正常权限的程度,因为在进行远程访问时,一般都会是熟悉本地网络设置的,偏离程度越大说明越可能不是本人,更加值得引起关注。
当所有Ci都为1时,若>N,则使用/>对累计后的可信度进行减弱;若/>≤N,则令/>=1,通过对身份验证方式的定向重复验证,执行身份验证。需要说明的是,如果在所有的Ci都为1时,仍然无法满足/>>N,无论如何都无法通过身份验证,那么就说明此时权重的设置是极为不合理的。而权重不合理时,将权重等于一,也就是说,取消权重对可信度累计的影响。但是系统对于访问者身份存在质疑,那么就需要通过增加身份验证的方式,来消除质疑。
要知道的是,所述对身份验证方式的定向重复验证包括,当进行身份验证的类型为固定内容的验证类型时,则正常进行身份验证;当进行身份验证的类型为生物信息的验证类型时,则通过两次重复验证的方式进行身份验证,只有在两次验证结果都通过时,才判定验证通过,否则判定本轮执行的身份验证结果为不通过;当进行身份验证的类型为设备验证类型时,远程服务平台向验证设备发送两次设备验证信息,并根据两次验证的顺序,只有在两次验证结果都通过时,才判定验证通过,否则判定本轮执行的身份验证结果为不通过。
再进一步的,对权限的管理包括,本地网络能够自定义设置权限,通过本地网络进行权限调整时,在每种类型的身份验证方式中随机选择一个,从而得到三种身份验证方式,利用选择的三种身份验证方式进行验证,验证通过后,通过本地网络对权限进行调整。通过远程服务平台的访问需求进行远程的权限调整,具体为:利用多重身份验证,打开远程服务平台中进行权限远程调整的权限,根据远程调整的权限范围,进行远程的权限调整。
要说的是,允许通过本地网络设置自定义的权限,这提供了更高的灵活性,使得权限管理可以根据具体的业务需求和安全策略进行定制。而在本地进行权限修改时,身份验证方式设定并不是非常复杂,仅进行较为基础的身份验证方式。而进行远程的权限调整时,则必然需要复杂的身份验证方式,这样才能保证“权限修改”这一权限的安全性。在当前的远程工作和管理环境中,能够远程调整权限是非常重要的。这样的设计使得管理员无需在本地即可进行有效的权限管理。随着远程工作的普及,远程权限管理变得尤为关键。这种设计支持了灵活且安全的远程工作环境。
另一方面,本实施例还提供了一种针对远程服务平台的权限管理系统,其包括:
采集模块,获取远程服务平台中用户的访问需求,并采集用户的身份验证信息;将所述访问需求和所述身份验证信息传输到中间网络。
平台管理模块,通过所述中间网络模拟本地网络的访问过程,若访问行为在权限范围内且访问行为不存在销毁行为时,对本地网络按照中间网络模拟的访问过程执行访问;若访问行为在权限范围内但访问行为存在销毁行为时,所述中间网络保存访问前本地网络的数据内容,并且保存的数据内容仅允许本地网络进行销毁。
权限调整模块,在访问行为不在权限内时,利用多重身份验证,实现远程的权限调整。
以上功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
在流程图中表示或在此以其他方式描述的逻辑和/或步骤,例如,可以被认为是用于实现逻辑功能的可执行指令的定序列表,可以具体实现在任何计算机可读介质中,以供指令执行系统、装置或设备(如基于计算机的系统、包括处理器的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统)使用,或结合这些指令执行系统、装置或设备而使用。就本说明书而言,“计算机可读介质”可以是任何可以包含、存储、通信、传播或传输程序以供指令执行系统、装置或设备或结合这些指令执行系统、装置或设备而使用的装置。
计算机可读介质的更具体的示例(非穷尽性列表)包括以下:具有一个或多个布线的电连接部(电子装置)、便携式计算机盘盒(磁装置)、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编辑只读存储器(EPROM或闪速存储器)、光纤装置以及便携式光盘只读存储器(CDROM)。另外,计算机可读介质甚至可以是可在其上打印所述程序的纸或其他合适的介质,因为可以例如通过对纸或其他介质进行光学扫描,接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得所述程序,然后将其存储在计算机存储器中。
应当理解,本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
实施例2
以下,为本发明的一个实施例,提供了一种针对远程服务平台的权限管理方法,为了验证本发明的有益效果,通过经济效益计算和仿真实验进行科学论证。
通过本发明和传统方法,在一段时间内的对比测试得到表1。
表1数据对比表
通过表1可以看出,在传统权限管理中,安全事件(如数据泄露、未授权访问)的发生率假设为10%,而在本发明中,由于增强的安全措施,这一比率降低到3%。传统方法下的用户满意度假设为70%,而本发明由于改进的用户体验,这一比率提高到90%。在传统方法中,管理效率假设为60%,而本发明通过自动化和智能化的管理提高到85%。传统方法下的审计和合规性满足率假设为65%,而本发明中提高到95%。传统方法下的风险管理效果假设为75%,而本发明中提高到95%。在传统方法中,数据一致性错误率假设为5%,而本发明中降低到1%。传统方法下的系统响应时间假设为10秒,而本发明中缩短到4秒。综上,本发明在应用上的各个方面都优于传统方法的权限管理。
通过恶意篡改数据、恶意窃取数据以及未在权限内访问行为的测试,具体如表2所示。
表2测试结果表
通过表2能够看出本发明通过对恶意篡改、恶意删除数据等行为的数据备份,能够实现数据的完全恢复,同时不影响核心数据的内容。本发明通过对中间网络的沙盘模型的建立,防止窃取本地网络中的核心数据,因为通过本发明的中间网络,仅能获取到权限以内的数据,而权限以外的数据是无法被复制的,所以也无法被窃取,保证了数据的安全性,同时也保证了核心数据不被影响。最后,本发明通过对权限的识别以及对权限的调整,能够保证访问者在权限内进行其访问行为。
应说明的是,以上实施例仅用以说明本发明的技术方案而非限制,尽管参照较佳实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明技术方案的精神和范围,其均应涵盖在本发明的权利要求范围当中。
Claims (6)
1.一种针对远程服务平台的权限管理方法,其特征在于,包括:
获取远程服务平台中用户的访问需求,并采集用户的身份验证信息;
将所述访问需求和所述身份验证信息传输到中间网络;
通过所述中间网络模拟本地网络的访问过程,若访问行为在权限范围内且访问行为不存在销毁行为时,对本地网络按照中间网络模拟的访问过程执行访问;若访问行为在权限范围内但访问行为存在销毁行为时,所述中间网络保存访问前本地网络的数据内容,并且保存的数据内容仅允许本地网络进行销毁;
若访问行为不在权限内,利用多重身份验证,实现远程的权限调整;
所述访问需求包括,在用户通过远程服务平台进行访问时,向用户问询即将执行的访问行为是否在预设的访问权限内以及是否存在销毁行为;
若即将执行的访问行为在访问权限内,则进行单次身份验证;
若即将执行的访问行为不在访问权限内,则进行多重身份验证,并对远程服务平台远程访问的权限进行调整;
所述单次身份验证包括,通过在本地网络中预设的身份验证方式进行的身份验证;
所述多重身份验证包括,将所述单次身份验证作为第一次的身份验证,验证结束后继续利用其他身份验证方式进行验证;
所述其他身份验证方式包括,预设固定内容的验证类型、生物信息的验证类型以及设备验证类型,每种类型中设置多种身份验证方式;
所述多重身份验证还包括,通过在本地网络中预设n种除所述单次身份验证之外的身份验证方式,通过选择算法进行身份验证方式的选择,若连续三次验证结果为验证未通过,则所述远程服务平台发送异常登录信息至与本地网络关联的移动设备,同时终止本次访问,当与本地网络关联的移动设备取消异常后,所述远程服务平台允许再次访问;
所述选择算法的具体步骤包括:
初始化累计后的可信度CL=0;
通过随机选择获取身份验证方式,在随机选择时,保证新选择的身份验证方式与前一次的身份验证方式的类型不同,若经过两次身份验证后,则保证新选择的身份验证方式与前两次的身份验证方式的类型不同;
记录每次身份验证的可信度:
;
其中,Ci表示第i次验证的可信度,i≥2;A表示身份验证的验证标准;a表示输入的身份验证信息;S表示当前身份验证方式;SW表示生物信息的验证类型;SB表示设备验证类型;f(A,a)和g(A,a)表示可信度评估函数;
;
;
其中,min(A,a)表示去除a中的被替换字符后,A和a中的最小字符长度;max(A,a)表示A和a中最长的字符长度;
对于g(A,a),若验证标准与输入的身份验证信息完全一致,则判定为验证通过;若输入的身份验证信息存在遗漏字符或重复字符或替换字符,且错误率不超过80%,则判定为待验证;若未满足验证通过的判定,同时不满足待验证判定,则判定为验证未通过;
对所述可信度进行累计:
;
其中,CL表示累计后的可信度;I表示最大验证次数,且I≥3;
预先设定整数阈值N,N≤I,在计算CL时,将CL与N进行比较;若CL>N,则所述多重身份验证通过;若到达最大验证次数I后,仍不满足CL>N,则所述多重身份验证不通过。
2.如权利要求1所述的针对远程服务平台的权限管理方法,其特征在于:通过所述单次身份验证后,用户在所述中间网络中进行访问行为;
所述中间网络在被访问的过程中,对用户的访问行为进行监控,并对监控的行为是否超过权限进行界定;
若所述访问行为在权限内,则通过所述中间网络的访问行为,对本地网络中数据内容进行同步。
3.如权利要求2所述的针对远程服务平台的权限管理方法,其特征在于:所述中间网络包括,通过远程服务平台的中间网络复制本地网络的数据信息,并根据复制的数据信息,在中间网络中进行沙盘环境的建立;
在复制所述数据信息时,仅复制访问权限内的数据信息;在越权访问时,通过多重身份验证后,复制权限更新后访问权限内的数据信息;
用户在所述中间网络的访问过程中,若访问行为在权限范围内,则对用户访问行为的数据安全进行识别,当访问行为不存在销毁行为时,对本地网络按照中间网络模拟的访问过程执行访问;当访问行为存在销毁行为时,所述中间网络保存访问前本地网络的数据内容,并且保存的数据内容仅允许本地网络进入所述中间网络后进行销毁;若访问行为超出权限,则中止访问进行所述多重身份验证,从而对权限进行调整,在调整完成后恢复访问过程。
4.如权利要求3所述的针对远程服务平台的权限管理方法,其特征在于:在所述中间网络进行访问过程中,当访问行为超出权限时,若用户在超出权限前进行权限调整的申请,则直接进行多重身份验证;若用户在超出权限前未进行权限调整的申请,则在进行多重身份验证时,对访问身份进行质疑;
所述对访问身份进行质疑包括,在所述多重身份验证时进行难度升级:
将可信度评估函数g(A,a)中,判定为待验证的输出结果削减至0;同时对累计后的可信度进行减弱,表示为:
;
其中,表示权重,用于表示越权行为的可疑程度;
权重的计算具体过程包括:
设定特征集F={f1,f2,...,fk};
使用聚类算法在特征集F 上建立正常行为模式;
设定未越权行为的中心C={c1,c2,...,ck};
对于一个给定的越权行为实例B={b1,b2,...,bk},计算其与正常行为模式中心C 的欧几里得距离:
;
其中,fk 表示一个行为特征,ck表示特征fk在正常行为模式中的平均值,bk表示越权行为实例中的特征值;
;
其中,D表示越权行为的欧几里得距离,D0表示未越权行为的最大欧几里得距离;
当所有Ci都为1时,若>N,则使用/>对累计后的可信度进行减弱;若/>≤N,则令/>=1,通过对身份验证方式的定向重复验证,执行身份验证;
所述对身份验证方式的定向重复验证包括,当进行身份验证的类型为固定内容的验证类型时,则正常进行身份验证;当进行身份验证的类型为生物信息的验证类型时,则通过两次重复验证的方式进行身份验证,只有在两次验证结果都通过时,才判定验证通过,否则判定本轮执行的身份验证结果为不通过;当进行身份验证的类型为设备验证类型时,远程服务平台向验证设备发送两次设备验证信息,并根据两次验证的顺序,只有在两次验证结果都通过时,才判定验证通过,否则判定本轮执行的身份验证结果为不通过。
5.如权利要求4所述的针对远程服务平台的权限管理方法,其特征在于:对权限的管理包括,本地网络能够自定义设置权限,通过本地网络进行权限调整时,在每种类型的身份验证方式中随机选择一个,从而得到三种身份验证方式,利用选择的三种身份验证方式进行验证,验证通过后,通过本地网络对权限进行调整;
通过远程服务平台的访问需求进行远程的权限调整,具体为:利用多重身份验证,打开远程服务平台中进行权限远程调整的权限,根据远程调整的权限范围,进行远程的权限调整。
6.一种采用如权利要求1-5任一所述方法的针对远程服务平台的权限管理系统,其特征在于:
采集模块,获取远程服务平台中用户的访问需求,并采集用户的身份验证信息;将所述访问需求和所述身份验证信息传输到中间网络;
平台管理模块,通过所述中间网络模拟本地网络的访问过程,若访问行为在权限范围内且访问行为不存在销毁行为时,对本地网络按照中间网络模拟的访问过程执行访问;若访问行为在权限范围内但访问行为存在销毁行为时,所述中间网络保存访问前本地网络的数据内容,并且保存的数据内容仅允许本地网络进行销毁;
权限调整模块,在访问行为不在权限内时,利用多重身份验证,实现远程的权限调整。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202410257150.4A CN117857221B (zh) | 2024-03-07 | 一种针对远程服务平台的权限管理方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202410257150.4A CN117857221B (zh) | 2024-03-07 | 一种针对远程服务平台的权限管理方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN117857221A true CN117857221A (zh) | 2024-04-09 |
| CN117857221B CN117857221B (zh) | 2024-06-04 |
Family
ID=
Citations (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10135835B1 (en) * | 2018-03-19 | 2018-11-20 | Cyberark Software Ltd. | Passwordless and decentralized identity verification |
| CN111935096A (zh) * | 2020-07-15 | 2020-11-13 | 广东电网有限责任公司 | 一种用于网络安全产品的测试系统、测试方法及存储介质 |
| CN111935095A (zh) * | 2020-07-15 | 2020-11-13 | 广东电网有限责任公司 | 一种源代码泄露监控方法、装置及计算机存储介质 |
| CN114186253A (zh) * | 2021-12-10 | 2022-03-15 | 上海淇玥信息技术有限公司 | 一种基于双重验证的权限管理方法、装置和电子设备 |
| CN114679338A (zh) * | 2022-05-26 | 2022-06-28 | 山东林天信息科技有限责任公司 | 一种基于网络安全态势感知的网络风险评估方法 |
| CN114978584A (zh) * | 2022-04-12 | 2022-08-30 | 深圳市蔚壹科技有限公司 | 基于单位单元的网络安全防护安全方法及系统 |
| CN115086042A (zh) * | 2022-06-17 | 2022-09-20 | 深圳微众信用科技股份有限公司 | 用户身份认证方法、用户身份认证系统及计算机存储介质 |
| CN115118422A (zh) * | 2022-03-10 | 2022-09-27 | 西安邮电大学 | 一种未披露漏洞的群智协同共享抗泄露系统及方法 |
| CN115563620A (zh) * | 2022-09-26 | 2023-01-03 | 深圳市金泉和科技有限公司 | 面向智慧教育平台的可信安全方法及安全防护系统 |
| WO2023000413A1 (zh) * | 2021-07-22 | 2023-01-26 | 中国科学院深圳先进技术研究院 | 一种自适应跨域访问认证方法、系统、终端以及存储介质 |
| CN115733681A (zh) * | 2022-11-14 | 2023-03-03 | 贵州商学院 | 一种防止数据丢失的数据安全管理平台 |
| CN116248277A (zh) * | 2023-03-10 | 2023-06-09 | 深圳市骏捷安全技术有限公司 | 用于物联网设备认证加密的零信任安全处理方法及系统 |
| CN116455668A (zh) * | 2023-05-06 | 2023-07-18 | 东南大学 | 零信任网络环境下用户信任度量方法与系统 |
| CN116545731A (zh) * | 2023-05-29 | 2023-08-04 | 中科天御(苏州)科技有限公司 | 一种基于时间窗动态切换的零信任网络访问控制方法及系统 |
| CN116881981A (zh) * | 2023-09-06 | 2023-10-13 | 深圳奥联信息安全技术有限公司 | 一种基于证书的数字签名系统及方法 |
| CN117040896A (zh) * | 2023-09-05 | 2023-11-10 | 重庆埃迪加信息技术有限公司 | 一种物联网管理方法及物联网管理平台 |
| CN117176402A (zh) * | 2023-08-17 | 2023-12-05 | 麒麟软件有限公司 | 一种操作系统平台的统一身份认证方法、装置及介质 |
| CN117201060A (zh) * | 2023-06-12 | 2023-12-08 | 广西电网有限责任公司电力科学研究院 | 零信任访问主体身份认证授权访问资源方法及相关装置 |
| CN117216740A (zh) * | 2023-10-08 | 2023-12-12 | 杭州奇念网络信息科技有限公司 | 一种基于区块链技术的数字身份认证方法 |
| CN117527348A (zh) * | 2023-11-08 | 2024-02-06 | 西安辰本电子科技有限公司 | 一种网络信息安全评估测试系统 |
Patent Citations (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10135835B1 (en) * | 2018-03-19 | 2018-11-20 | Cyberark Software Ltd. | Passwordless and decentralized identity verification |
| CN111935096A (zh) * | 2020-07-15 | 2020-11-13 | 广东电网有限责任公司 | 一种用于网络安全产品的测试系统、测试方法及存储介质 |
| CN111935095A (zh) * | 2020-07-15 | 2020-11-13 | 广东电网有限责任公司 | 一种源代码泄露监控方法、装置及计算机存储介质 |
| WO2023000413A1 (zh) * | 2021-07-22 | 2023-01-26 | 中国科学院深圳先进技术研究院 | 一种自适应跨域访问认证方法、系统、终端以及存储介质 |
| CN114186253A (zh) * | 2021-12-10 | 2022-03-15 | 上海淇玥信息技术有限公司 | 一种基于双重验证的权限管理方法、装置和电子设备 |
| CN115118422A (zh) * | 2022-03-10 | 2022-09-27 | 西安邮电大学 | 一种未披露漏洞的群智协同共享抗泄露系统及方法 |
| CN114978584A (zh) * | 2022-04-12 | 2022-08-30 | 深圳市蔚壹科技有限公司 | 基于单位单元的网络安全防护安全方法及系统 |
| CN114679338A (zh) * | 2022-05-26 | 2022-06-28 | 山东林天信息科技有限责任公司 | 一种基于网络安全态势感知的网络风险评估方法 |
| CN115086042A (zh) * | 2022-06-17 | 2022-09-20 | 深圳微众信用科技股份有限公司 | 用户身份认证方法、用户身份认证系统及计算机存储介质 |
| CN115563620A (zh) * | 2022-09-26 | 2023-01-03 | 深圳市金泉和科技有限公司 | 面向智慧教育平台的可信安全方法及安全防护系统 |
| CN115733681A (zh) * | 2022-11-14 | 2023-03-03 | 贵州商学院 | 一种防止数据丢失的数据安全管理平台 |
| CN116248277A (zh) * | 2023-03-10 | 2023-06-09 | 深圳市骏捷安全技术有限公司 | 用于物联网设备认证加密的零信任安全处理方法及系统 |
| CN116455668A (zh) * | 2023-05-06 | 2023-07-18 | 东南大学 | 零信任网络环境下用户信任度量方法与系统 |
| CN116545731A (zh) * | 2023-05-29 | 2023-08-04 | 中科天御(苏州)科技有限公司 | 一种基于时间窗动态切换的零信任网络访问控制方法及系统 |
| CN117201060A (zh) * | 2023-06-12 | 2023-12-08 | 广西电网有限责任公司电力科学研究院 | 零信任访问主体身份认证授权访问资源方法及相关装置 |
| CN117176402A (zh) * | 2023-08-17 | 2023-12-05 | 麒麟软件有限公司 | 一种操作系统平台的统一身份认证方法、装置及介质 |
| CN117040896A (zh) * | 2023-09-05 | 2023-11-10 | 重庆埃迪加信息技术有限公司 | 一种物联网管理方法及物联网管理平台 |
| CN116881981A (zh) * | 2023-09-06 | 2023-10-13 | 深圳奥联信息安全技术有限公司 | 一种基于证书的数字签名系统及方法 |
| CN117216740A (zh) * | 2023-10-08 | 2023-12-12 | 杭州奇念网络信息科技有限公司 | 一种基于区块链技术的数字身份认证方法 |
| CN117527348A (zh) * | 2023-11-08 | 2024-02-06 | 西安辰本电子科技有限公司 | 一种网络信息安全评估测试系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104954350B (zh) | 账号信息保护方法和系统 | |
| US11899808B2 (en) | Machine learning for identity access management | |
| CN109299135A (zh) | 基于识别模型的异常查询识别方法、识别设备及介质 | |
| CN108683652A (zh) | 一种基于行为权限的处理网络攻击行为的方法及装置 | |
| JP2005526311A (ja) | データベースシステムを監視するための方法および装置 | |
| CN108287987A (zh) | 数据管理方法、装置、设备及可读存储介质 | |
| CN109684833B (zh) | 使程序危险行为模式适应用户计算机系统的系统和方法 | |
| CN111159762B (zh) | 一种强制访问控制下的主体可信验证方法及系统 | |
| US20210264038A1 (en) | Flexible risk assessment and management system for integrated risk and value analysis | |
| KR102213460B1 (ko) | 머신러닝을 이용한 소프트웨어 화이트리스트 생성 시스템 및 방법 | |
| CN116962076A (zh) | 基于区块链的物联网零信任系统 | |
| CN117857221B (zh) | 一种针对远程服务平台的权限管理方法及系统 | |
| CN110958236A (zh) | 基于风险因子洞察的运维审计系统动态授权方法 | |
| CN117857221A (zh) | 一种针对远程服务平台的权限管理方法及系统 | |
| CN113627808B (zh) | 配电网第三方智能电力物联设备安全测评方法及系统 | |
| CN115277228A (zh) | 一种分层网络中的数据访问防御方法及系统 | |
| CN115017480A (zh) | 一种基于智能化控制的计算机安全防护管控系统 | |
| KR20220121744A (ko) | 빅데이터 및 인공지능 기반의 IoT 기기조작위험감지 및 이상행위방지 방법 및 이를 수행하는 IoT 모니터링 시스템 | |
| CN113422776A (zh) | 一种面向信息网络安全的主动防御方法及系统 | |
| CN112541168A (zh) | 一种数据的防窃取方法、系统及存储介质 | |
| CN105912945A (zh) | 一种操作系统安全加固装置及运行方法 | |
| CN111079123A (zh) | 一种计算机限制非授权摄像的系统及方法 | |
| CN117354060B (zh) | 一种针对云计算IaaS层漏洞检测方法、系统和介质 | |
| CN112905961A (zh) | 一种用于计算机软件保护的网络通讯方法 | |
| CN114035784B (zh) | 一种通过图形和规则集来定义验证码流程的方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant |