本发明专利技术提供了一种安全访问方法、系统、设备及介质,其中,安全访问方法包括:基于认证策略对用户的身份进行验证;获取通过认证的用户的身份实体属性,根据身份实体属性确定用户的系统权限;采集用户的帐户信息、当前设备状态及行为属性;根据用户信息、当前设备状态及行为属性得到用户的用户权限;以及根据系统权限和用户权限对用户进行权限控制,权限控制包括允许用户进行访问、限制用户访问或拒绝用户访问。本发明专利技术基于零信任主要原理和软件研发环境,设置认证策略、设定系统权限再进行用户权限评估,实现了访问权限的动态更新,保障研发环境的安全使用。环境的安全使用。环境的安全使用。
【技术实现步骤摘要】
安全访问方法、系统、设备及介质
[0001]本专利技术涉及网络安全
,尤其涉及一种安全访问方法、系统、设备及介质,可用于软件研发环境。
技术介绍
[0002]零信任网络(亦称零信任架构)概念最早是John Kindervag(约翰
·
金德维格)于2010年提出的,开始几年并未得到广泛关注。随着高级威胁和内部风险层出不穷,云计算、大数据、移动互联网的飞速发展,远程办公、企业异地分支等的大量应用,网络边界的物理界限越来越模糊。另外,传统网络的安全短板日益明显。2017年9月,美国发生了史上最大的用户数据安全事件,造成美国1.43亿人的个人信息安全问题。美国最大的移动运营商Verizon报告分析指出,81%的黑客可轻而易举地获得数据的访问权限,成功网络安全问题。根据《2018Insider Threat Report》显示,内部威胁是造成网络安全的第二大原因。因此,零信任网络的内生驱动力持续加强。
[0003]谷歌在2011年启动BeyondCorp计划,于2017年成功完成,为零信任在大型、新型网络的实践提供了参考架构。在BeyondCorp计划中,访问只依赖于设备和用户凭证,而与用户所处的网络位置无关。美国网络安全厂商PaloAlto利用其下一代防火墙产品,实现了零信任网络架构。另一家美国网络安全厂商Cyxtera提出了AppGateSDP方案,实现了CSA的SDP架构。其他网络安全和IT厂商,如Symantec、Cisco、VMWare等,相继推出了自己的零信任产品或架构。随着各大厂商的进入与推进,零信任在业界持续升温,在RSAC2019年展会达到高潮。零信任网络是在不依赖网络传输层物理安全机制的前提下,有效保护网络通信和业务访问。
[0004]零信任,即对任何事务均建立在不信任的基础之上。中心思想是不应自动信任内部或外部的任何事物,应在授权前对任何试图接入系统的事物进行验证。本专利技术针对软件研发环境的安全问题,提出了一种基于零信任架构的安全访问方法。
技术实现思路
[0005]鉴于上述问题,本专利技术提供了一种安全访问方法、系统、设备、介质及程序产品。
[0006]根据本专利技术的第一方面,提供了一种安全访问方法,包括:基于认证策略对用户的身份进行验证;获取通过认证的用户的身份实体属性,根据身份实体属性确定用户的系统权限;采集用户的帐户信息、当前设备状态及行为属性;根据用户信息、当前设备状态及行为属性得到用户的用户权限;以及根据系统权限和用户权限对用户进行权限控制,权限控制包括允许用户进行访问、限制用户访问或拒绝用户访问。
[0007]根据本专利技术的实施例,基于认证策略对用户的身份进行验证包括:选取多因子认证项目进行密码认证,其中,多因子认证项目包括系统邮箱和社交帐户,社交帐户包括用户的至少一个的社交帐户;若密码认证未通过或基于认证策略检测未通过,则对用户进行二次认证,其中,认证策略包括强制密码策略、密码超期策略及超期未登陆策略。
[0008]根据本专利技术的实施例,若密码认证未通过或基于认证策略检测未通过,则对用户进行二次认证包括:若密码认证未通过,则进行二次认证;若密码认证通过,则按照强制密码策略对密码的位数及符号种类进行第一检测,若第一检测未通过则进行二次认证;若密码认证通过,则按照密码超期策略对密码的累计使用时间进行第二检测,若第二检测未通过则进行二次认证;若密码认证通过,则按照超期未登陆策略对用户的登陆时间及历史登陆时间进行第三检测,若第三检测未通过则进行二次认证。
[0009]根据本专利技术的实施例,获取通过认证的用户的身份实体属性,根据身份实体属性确定用户的系统权限包括:生成系统权限表,其中,根据工具类别和测试类型生成测试环境系统权限表,根据人员角色和平台工具生成集成环境系统权限表,根据编程语言和开发项目生成开发环境系统权限表;根据身份实体属性确认对应的系统权限表,以确定系统权限。
[0010]根据本专利技术的实施例,根据用户信息、当前设备状态及行为属性得到用户的用户权限包括:根据用户信息、当前设备状态及行为属性计算风险值th;根据风险值th匹配用户权限。
[0011]根据本专利技术的实施例,进行二次认证包括:向安全设备发送验证码;填写验证码进行验证码验证;若验证码验证正确则选择安全信息问题答案;若安全信息问题答案正确则判断用户通过二次认证。
[0012]本专利技术的第二方面提供了一种安全访问系统,包括:验证模块,用于基于认证策略对用户的身份进行验证;系统权限模块,用于获取通过认证的用户的身份实体属性,根据身份实体属性确定用户的系统权限;采集模块,用于采集用户的帐户信息、当前设备状态及行为属性;用户权限模块,用于根据用户信息、当前设备状态及行为属性得到用户的用户权限;以及权限控制模块,用于根据系统权限和用户权限对用户进行权限控制,权限控制包括允许用户进行访问、限制用户访问或拒绝用户访问。
[0013]本专利技术的第三方面提供了一种电子设备,包括:一个或多个处理器;存储器,用于存储一个或多个程序,其中,当所述一个或多个程序被所述一个或多个处理器执行时,使得一个或多个处理器执行上述安全访问方法。
[0014]本专利技术的第四方面还提供了一种计算机可读存储介质,其上存储有可执行指令,该指令被处理器执行时使处理器执行上述安全访问方法。
[0015]本专利技术的第五方面还提供了一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现上述安全访问方法。
附图说明
[0016]通过以下参照附图对本专利技术实施例的描述,本专利技术的上述内容以及其他目的、特征和优点将更为清楚,在附图中:
[0017]图1示意性示出了根据本专利技术实施例的安全访问方法、系统、设备、介质和程序产品的应用场景图;
[0018]图2示意性示出了根据本专利技术实施例的安全访问方法的流程图;
[0019]图3示意性示出了根据本专利技术实施例的用户身份验证的流程图;
[0020]图4示意性示出了根据本专利技术实施例的不同环境的权限控制流程图;
[0021]图5示意性示出了根据本专利技术实施例的用户权限的评估模型;
[0022]图6示意性示出了根据本专利技术实施例的安全访问装置的结构框图;以及
[0023]图7示意性示出了根据本专利技术实施例的适于实现安全访问方法的电子设备的方框图。
具体实施方式
[0024]以下,将参照附图来描述本专利技术的实施例。但是应该理解,这些描述只是示例性的,而并非要限制本专利技术的范围。在下面的详细描述中,为便于解释,阐述了许多具体的细节以提供对本专利技术实施例的全面理解。然而,明显地,一个或多个实施例在没有这些具体细节的情况下也可以被实施。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本专利技术的概念。
[0025]在此使用的术语仅仅是为了描述具体实施例,而并非意在限制本专利技术。在此使用的术语“包括”、“包含”等表明了所述特征、步骤、操作和/或部件的存在,但是并不排除存在或添加一个或多个其他本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种安全访问方法,包括:基于认证策略对用户的身份进行验证;获取通过认证的用户的身份实体属性,根据所述身份实体属性确定所述用户的系统权限;采集所述用户的帐户信息、当前设备状态及行为属性;根据所述用户信息、当前设备状态及行为属性得到所述用户的用户权限;以及根据所述系统权限和所述用户权限对所述用户进行权限控制,所述权限控制包括允许所述用户进行访问、限制所述用户访问或拒绝所述用户访问。2.根据权利要求1所述的安全访问方法,所述基于认证策略对用户的身份进行验证包括:选取多因子认证项目进行密码认证,其中,所述多因子认证项目包括系统邮箱和社交帐户,所述社交帐户包括所述用户的至少一个的社交帐户;若所述密码认证未通过或基于所述认证策略检测未通过,则对所述用户进行二次认证,其中,所述认证策略包括强制密码策略、密码超期策略及超期未登陆策略。3.根据权利要求2所述的安全访问方法,所述若所述密码认证未通过或基于所述认证策略检测未通过,则对所述用户进行二次认证包括:若所述密码认证未通过,则进行所述二次认证;若所述密码认证通过,则按照所述强制密码策略对所述密码的位数及符号种类进行第一检测,若所述第一检测未通过则进行所述二次认证;若所述密码认证通过,则按照所述密码超期策略对所述密码的累计使用时间进行第二检测,若所述第二检测未通过则进行所述二次认证;若所述密码认证通过,则按照所述超期未登陆策略对所述用户的登陆时间及历史登陆时间进行第三检测,若所述第三检测未通过则进行所述二次认证。4.根据权利要求1所述的安全访问方法,所述获取通过认证的用户的身份实体属性,根据所述身份实体属性确定所述用户的系统权限包括:生成系统权限表,其中,根据工具类别和测试类型生成测试环境系统权限表,根据人员角色和平台工...
【专利技术属性】
技术研发人员:吕泓卓,黄友俊,李星,吴建平,
申请(专利权)人:赛尔网络有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。