一种智能安全认证鉴权方法、装置及存储介质制造方法及图纸

本申请监测目标帐户的当前请求；目标帐户访问操作虚拟化系统时，根据目标帐户信息确定对应的目标帐户行为画像；根据目标帐户行为画像对比目标帐户当前请求：判断目标帐户当前请求是否满足预设的启动多因子认证机制的条件，是则启动多因子认证机制；判断目标帐户当前请求是否满足预设的启动多重认证机制的条件，是则启动多重认证机制；判断目标帐户当前请求是否满足预设的启动多重鉴权机制的条件，是则启动多重鉴权机制；判断目标帐户当前请求是否满足预设的启动复核鉴权机制的条件，是则启动复核鉴权机制。本申请能够识别账户异常操作访问，通过多种认证鉴权方式对账户进行验证保护虚拟化系统。虚拟化系统。虚拟化系统。

【技术实现步骤摘要】
一种智能安全认证鉴权方法、装置及存储介质


[0001]本申请涉及虚拟化系统认证鉴权领域，尤其涉及一种智能安全认证鉴权方法、装置及存储介质。

技术介绍

[0002]随着云计算时代的到来，作为云计算发展必不可少的一个关键环节，虚拟化系统的安全越发重要，而认证鉴权作为虚拟化系统的重要组成部分，不安全的认证鉴权方案不仅给虚拟化系统的计算资源、存储资源、网络资源带来威胁，甚至充当黑客网络攻击工具带来严重的后果。因此，安全的认证鉴权方案是虚拟化系统安全、稳定、可靠运行必不可少的技术，对推动整个云计算行业的发展发挥着重要作用。
[0003]当前对于虚拟云主要流行的鉴权方案是RBAC系统认证鉴权方案，RBAC系统认证鉴权方案通过将用户与角色关联，角色与权限关联，用户角色之间、角色权限之间一般是多对多的关系。其鉴权方式主要是验证用户提供的帐户信息是否为系统授信的帐户信息，一旦验证通过即可拥有权限，一旦非法获取系统授信的账户信息，便可以在权限许可范围内随便访问操作虚拟化系统，虚拟化系统安全性低。通常用户一些行为习惯也给虚拟化系统带来威胁，如喜欢最大化授权，可能在使用过程中误执行高危操作容易，如过度建立账号或僵尸账户致使账户管理漏洞易被盗用，给虚拟化系统安全带来严重的威胁。
[0004]本方案主要解决系统账号信息被盗用，多余账号或僵尸账户被非法使用的一种设计，通过本方案，能够在原认证鉴权安全策略基础上提供智能的安全策略，对虚拟化系统进行安全加固。

技术实现思路

[0005]为了解决上述技术问题或者至少部分地解决上述技术问题，本申请提供一种智能安全认证鉴权方法、装置及存储介质。
[0006]第一方面，本申请提供一种智能安全认证鉴权方法，包括：
[0007]调用帐户行为画像中数据并与预设规则配合或者预设条件规则形成触发条件；
[0008]目标帐户访问操作虚拟化系统时，根据目标帐户信息确定对应的目标帐户行为画像，由目标帐户行为画像形成目标触发条件；
[0009]监测目标帐户当前请求，并根据目标触发条件分析目标帐户当前请求是否触发认证鉴权机制，是则执行所触发的认证鉴权机制：
[0010]判断目标帐户当前请求是否满足预设的启动多因子认证机制的条件，是则启动多因子认证机制；
[0011]判断目标帐户当前请求是否满足预设的启动多重认证机制的条件，是则启动多重认证机制；
[0012]判断目标帐户当前请求是否满足预设的启动多重鉴权机制的条件，是则启动多重鉴权机制；
[0013]判断目标帐户当前请求是否满足预设的启动复核鉴权机制的条件，是则启动复核鉴权机制。
[0014]更进一步地，收集帐户访问操作虚拟化系统的行为数据，收集的行为数据包括帐户登录日志、请求访问日志、操作日志、审计日志的内容和帐户授权信息；通过大数据技术对账户行为数据进行分析挖掘，归纳得到包括账户登录设备、IP地址、通常操作时间、账户常用资源及资源类型、帐户执行操作及频率和授权数据的账户行为画像。
[0015]更进一步地，调用帐户行为画像中数据并与预设规则配合形成应用在账户登录认证过程中的触发条件：
[0016]当目标帐户当前登录所使用登录设备、所使用的IP地址和时刻与目标帐户行为画像中调取的任一对应数据不一致时，启动多因子认证机制；
[0017]调用帐户行为画像中数据并与预设规则配合形成或通过预设条件规则形成包含关联关系的触发条件，包含关联关系的触发条件应用在在账户操作和访问认证鉴权过程中，所述关联关系包含：
[0018]多重认证机制、多重鉴权机制和复核鉴权机制与资源的关联，
[0019]多重认证机制、多重鉴权机制和复核鉴权机制与操作的关联，
[0020]目标帐户执行被关联的操作或访问被关联资源时启动对应的机制。
[0021]更进一步地，关联关系的具体内容包括：根据帐户行为画像中帐户所执行过的操作确定帐户未执行的操作或根据所访问过的资源确定帐户未访问的资源，将帐户执行未执行的操作或访问未访问的资源的请求关联多重认证机制、多重鉴权机制和复核鉴权机制中的任一种或几种；
[0022]根据帐户行为画像中授权数据确定帐户未授权过的帐户，将给未授权过的帐户授权的请求关联多重认证机制、多重鉴权机制和复核鉴权机制中的任一种或几种；
[0023]预先设置高危请求的范围，将高危请求关联多重认证机制、多重鉴权机制和复核鉴权机制中的任一种或几种；
[0024]预先设置异常请求情景，将异常请求情景关联多重认证机制、多重鉴权机制和复核鉴权机制中的任一种或几种。
[0025]更进一步地，启动多因子认证机制向用户提供账户口令认证方式，还向用户提供邮箱认证方式、短信认证方式、密钥设备认证方式中的至少一种或几种的组合；用户通过多因子认证机制提供的全部认证方式后允许登录虚拟化系统。
[0026]更进一步地，复核鉴权机制预先设定了为帐户授权的高级帐户；
[0027]验证触发复核鉴权机制的目标帐户是否满足RBAC权限，
[0028]不满足RBAC权限，则拒绝执行目标帐户触发复核鉴权机制的请求，
[0029]满足RBAC权限，则向对应的高级帐户请求权限，
[0030]若高级帐户授权目标帐户，则执行目标帐户触发复核鉴权机制的请求，
[0031]若高级帐户拒绝授权目标帐户，则拒绝执行目标帐户触发复核鉴权机制的请求。
[0032]更进一步地，多重认证机制被目标帐户请求触发启动时，再次认证触发多重认证机制的目标帐户的帐户口令，认证通过则允许执行触发多重认证机制的请求，否则拒绝执行触发多重认证机制的请求。
[0033]更进一步地，多重鉴权机制被目标帐户请求触发启动时，
[0034]验证触发多重鉴权机制的目标帐户是否满足RBAC权限，
[0035]不满足RBAC权限，则拒绝执行目标帐户触发多重鉴权机制的请求，
[0036]满足RBAC权限，则通过目标帐户的邮箱或短信发送激活操作链接，
[0037]判断目标帐户的用户通过邮箱或短信激活所述激活操作链接，
[0038]是则执行目标帐户触发多重鉴权机制的请求；
[0039]否则拒绝执行目标帐户触发多重鉴权机制的请求。
[0040]第二方面，本申请提供一种实现智能安全认证鉴权的装置，包括：
[0041]采集模块，所述采集模块用于收集帐户访问操作虚拟化系统的行为数据；
[0042]数据分析模块，所述数据分析模块用于分析采集的行为数据生成账户行为画像；
[0043]条件配置模块，所述条件配置模块用于调用帐户行为画像中数据并与预设规则配合或者通过预设条件规则形成触发条件；
[0044]监测模块，监测模块用于监测账户当前请求；
[0045]认证鉴权控制模块，所述认证鉴权控制模块根据触发条件分析账户当前请求是否触发认证鉴权机制，启动当前请求启动所触发的认证鉴权机制。
[0046]第三方面，本申本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种智能安全认证鉴权方法，其特征在于，包括：调用帐户行为画像中数据并与预设规则配合或者预设条件规则形成触发条件；目标帐户访问操作虚拟化系统时，根据目标帐户信息确定对应的目标帐户行为画像，由目标帐户行为画像形成目标触发条件；监测目标帐户当前请求，并根据目标触发条件分析目标帐户当前请求是否触发认证鉴权机制，是则执行所触发的认证鉴权机制：判断目标帐户当前请求是否满足预设的启动多因子认证机制的条件，是则启动多因子认证机制；判断目标帐户当前请求是否满足预设的启动多重认证机制的条件，是则启动多重认证机制；判断目标帐户当前请求是否满足预设的启动多重鉴权机制的条件，是则启动多重鉴权机制；判断目标帐户当前请求是否满足预设的启动复核鉴权机制的条件，是则启动复核鉴权机制。2.根据权利要求1所述智能安全认证鉴权方法，其特征在于，收集帐户访问操作虚拟化系统的行为数据，收集的行为数据包括帐户登录日志、请求访问日志、操作日志、审计日志的内容和帐户授权信息；通过大数据技术对账户行为数据进行分析挖掘，归纳得到账户行为画像，行为画像包括账户登录设备、IP地址、通常操作时间、账户常用资源及资源类型、帐户执行操作及频率和授权数据。3.根据权利要求1所述智能安全认证鉴权方法，其特征在于，调用帐户行为画像中数据并与预设规则配合形成应用在账户登录认证过程中的触发条件：当目标帐户当前登录所使用登录设备、所使用的IP地址和时刻与目标帐户行为画像中调取的任一对应数据不一致时，启动多因子认证机制；调用帐户行为画像中数据并与预设规则配合形成或通过预设条件规则形成包含关联关系的触发条件，包含关联关系的触发条件应用在在账户操作和访问认证鉴权过程中，所述关联关系包含：多重认证机制、多重鉴权机制和复核鉴权机制与资源的关联，多重认证机制、多重鉴权机制和复核鉴权机制与操作的关联，目标帐户执行被关联的操作或访问被关联资源时启动对应的机制。4.根据权利要求3所述智能安全认证鉴权方法，其特征在于，关联关系的具体内容包括：根据帐户行为画像中帐户所执行过的操作确定帐户未执行的操作或根据所访问过的资源确定帐户未访问的资源，将帐户执行未执行的操作或访问未访问的资源的请求关联多重认证机制、多重鉴权机制和复核鉴权机制中的任一种或几种；根据帐户行为画像中授权数据确定帐户未授权过的帐户，将给未授权过的帐户授权的请求关联多重认证机制、多重鉴权机制和复核鉴权机制中的任一种或几种；预先设置高危请求的范围，将高危请求关联多重认证机制、多重鉴权机制和复核鉴权机制中的任一种或几...

【专利技术属性】
技术研发人员：王永超，
申请(专利权)人：济南浪潮数据技术有限公司，
类型：发明
国别省市：