基于人脸识别的堡垒机令牌自动授权方法、装置、设备及存储介质与流程

1.本发明涉及软件测试领域，具体而言，涉及一种基于人脸识别的堡垒机令牌自动授权方法、装置、设备及存储介质。


背景技术：

2.堡垒机是一种运维安全审计系统在银行系统应用比较广泛。通过堡垒机可实现对运维人员身份验证及授权控制，所有需要访问服务器的运维人员都需要先通过登录堡垒机进入到访问服务器，堡垒机可对所有管理用户的操作进行记录。
3.现有堡垒机令牌授权渠道可分为两种：
4.1、通过线上流程申请令牌：对生产系统进行操作前，通过线上流程申请令牌权限，经过审批后，堡垒机自动为指定人员下发对应系统访问权限，人员使用授权令牌登录生产系统。
5.2、应急现场服务台人员下发应急令牌：应急时，服务台人员下发各处室保障组独立的实物应急令牌，令牌中包含本组负责运维的全部应用系统的root权限，通过应急令牌登录堡垒机进行应急操作。
6.现有堡垒机令牌授权渠道可分为两种：1、通过线上流程申请令牌，在使用时，存在人员借用令牌登录的风险；2、应急现场服务台人员下发令牌，缺陷是因应急情况紧急，为保证快速恢复生产系统服务，应急现场无门禁控制，导致人员身份无法核验，存在人员冒领令牌，进而对生产系统恶意破坏的严重安全风险；各组实物令牌需要额外人员负责管理，存在遗失等管理不当的风险。
7.随着科技的发展，人脸识别技术已经迅速发展并广泛应用于各行各业。本发明的目的是通过将人脸识别技术运用到堡垒机用户核验并实现人员自动签到及令牌授权的设计中，提升生产系统访问安全性，同时大幅提高了令牌精准授权的效率。提供一种基于人脸识别的堡垒机用户身份核验方式，并实现堡垒机令牌自动授权登录的方法，通过电脑终端的摄像设备，定期获取人脸部特征，精准匹配人员信息，在非应急情况下，线上授权通过后，在登录生产系统是，会使用人脸识别核验操作人信息，核验通过后快速完成堡垒机令牌登录，解决了人员借用令牌的问题；在应急情况下，通过指定区域内通过人脸识别核验操作人信息，核验通过后快速完成堡垒机令牌自动授权登录，以解决现有堡垒机令牌冒领及借用的问题。


技术实现要素：

8.本发明实施例提供一种基于人脸识别的堡垒机令牌自动授权方法、装置、设备及存储介质，可以提供完整的基于人脸识别的堡垒机令牌自动授权方法。
9.一种基于人脸识别的堡垒机令牌自动授权方法，具体包括非应急情况执行方法以及应急情况执行方法，所述非应急情况执行方法具体步骤包括：
10.s101、线上完成生产系统令牌的申请和审批；
11.s102、审批通过后，操作人员到达核心安全区域；
12.s103、使用申请通过的令牌登录终端；
13.s104、利用红外线高清摄像头对人脸进行拍摄，获取人脸信息；
14.s105、从获取的用户脸部图像中，提取用户的多个脸部的特征值；
15.s106、与已审批工单中的操作人员进行对比，判断是否为授权人员，当是授权人员时执行步骤s107，当不是授权人员时执行步骤s108；
16.s107、堡垒机自动授权及登录；
17.s108、收回令牌权限，记录违规人员图像信息。
18.所述应急情况执行方法具体步骤包括：
19.p101、应急人员到达应急现场，通过固定的人脸监控设备完成签到；
20.p102、比对通过后，自动下发应急令牌权限至个人；
21.p103、通过签到下发的授权令牌登录终端；
22.p104、利用红外线高清摄像头对人脸进行拍摄，获取人脸信息；
23.p105、从获取的用户脸部图像中，提取用户的多个脸部的特征值；
24.p106、与已签到的应急人员进行比对，是否为授权人员，当是授权人员时执行步骤p107，当不是授权人员时执行步骤p108；
25.p107、堡垒机自动授权及登录；
26.p108、收回令牌权限，记录违规人员图像信息。
27.可选地，一种基于人脸识别的堡垒机令牌自动授权装置，包括线上审批模块，令牌，人脸采集模块以及堡垒机；
28.线上审批模块，用于线上完成生产系统令牌的申请和审批；
29.令牌，用于电脑终端登录的身份验证；
30.人脸采集模块，包括红外高清摄像头，用于采集用户的脸部特征值；
31.堡垒机，基于令牌以及人脸采集模块进行登入人员的身份验证。
32.可选地，一种电子设备，包括：处理器、存储介质和总线，所述存储介质存储有所述处理器可执行的机器可读指令，当所述电子设备运行时，所述处理器与所述存储介质之间通过总线通信，所述处理器执行所述机器可读指令，以执行时执行基于人脸识别的堡垒机令牌自动授权方法的步骤。
33.可选地，所述存储介质上存储有计算机程序，所述计算机程序被处理器运行时执行基于人脸识别的堡垒机令牌自动授权方法的步骤。
34.本发明的有益效果：本发明通过人脸识别的方式，定期获取人员脸部特征，精准匹配人员信息，核验通过后快速完成堡垒机令牌自动授权登录，避免堡垒机令牌冒领及借用的问题出现，极大增强了生产系统访问过程的安全保障，实现堡垒机应急令牌快速精准下发，大幅提升数据中心整体令牌的授权效率。
附图说明
35.为了更清楚地说明本发明实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本发明的某些实施例，因此不应被看作是对
范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。
36.图1示出了本发明实施例的方法流程图一。
37.图2示出了本发明实施例的方法流程图二。
38.图3示出了本发明中电子设备的结构框图。
39.图4示出了本发明中装置的结构框图。
具体实施方式
40.为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，应当理解，本发明中附图仅起到说明和描述的目的，并不用于限定本发明的保护范围。另外，应当理解，示意性的附图并未按实物比例绘制。本发明中使用的流程图示出了根据本发明的一些实施例实现的操作。应该理解，流程图的操作可以不按顺序实现，没有逻辑的上下文关系的步骤可以反转顺序或者同时实施。此外，本领域技术人员在本发明内容的指引下，可以向流程图添加一个或多个其他操作，也可以从流程图中移除一个或多个操作。
41.另外，本发明所描述的实施例仅仅是本发明的一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。因此，以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围，而是仅仅表示本发明的选定实施例。基于本发明的实施例，本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。
42.需要说明的是，本发明实施例中将会用到术语“包括”，用于指出其后所声明的特征的存在，但并不排除增加其它的特征。还应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。在本发明的描述中，还需要说明的是，术语“第一”、“第二”、“第三”等仅用于区分描述，而不能理解为指示或暗示相对重要性。
43.本发明实施例
44.如图1
‑
2所示，本发明中基于人脸识别的堡垒机令牌自动授权方法，具体包括非应急情况执行方法以及应急情况执行方法，所述非应急情况执行方法具体步骤包括：
45.s101、线上完成生产系统令牌的申请和审批；
46.s102、审批通过后，操作人员到达核心安全区域；
47.s103、使用申请通过的令牌登录终端；
48.s104、利用红外线高清摄像头对人脸进行拍摄，获取人脸信息；
49.s105、从获取的用户脸部图像中，提取用户的多个脸部的特征值；
50.s106、与已审批工单中的操作人员进行对比，判断是否为授权人员，当是授权人员时执行步骤s107，当不是授权人员时执行步骤s108；
51.s107、堡垒机自动授权及登录；
52.s108、收回令牌权限，记录违规人员图像信息。
53.所述应急情况执行方法具体步骤包括：
54.p101、应急人员到达应急现场，通过固定的人脸监控设备完成签到；
55.p102、比对通过后，自动下发应急令牌权限至个人；
56.p103、通过签到下发的授权令牌登录终端；
57.p104、利用红外线高清摄像头对人脸进行拍摄，获取人脸信息；
58.p105、从获取的用户脸部图像中，提取用户的多个脸部的特征值；
59.p106、与已签到的应急人员进行比对，是否为授权人员，当是授权人员时执行步骤p107，当不是授权人员时执行步骤p108；
60.p107、堡垒机自动授权及登录；
61.p108、收回令牌权限，记录违规人员图像信息。
62.如图3所示，该电子设备5可以包括：处理器501、存储介质502和总线503，存储介质502存储有处理器501可执行的机器可读指令，当终端设备运行时，处理器501与存储介质502之间通过总线503通信，处理器501执行机器可读指令，以执行时执行如前述实施例中所述的深度学习模型训练方法的步骤。具体实现方式和技术效果类似，在此不再赘述。
63.一种存储介质，其上存储有计算机程序，所述计算机程序被处理器运行时执行基于人脸识别的堡垒机令牌自动授权方法的步骤。
64.一种基于人脸识别的堡垒机令牌自动授权装置，包括线上审批模块11，令牌12，人脸采集模块13以及堡垒机14；
65.线上审批模块11，用于线上完成生产系统令牌的申请和审批；
66.令牌12，用于电脑终端登录的身份验证；
67.人脸采集模块13，包括红外高清摄像头，用于采集用户的脸部特征值；
68.堡垒机14，基于令牌12以及人脸采集模块13进行登入人员的身份验证。
69.以上仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求的保护范围为准。