一种智能安全认证鉴权方法、装置及存储介质与流程

1.本技术涉及虚拟化系统认证鉴权领域，尤其涉及一种智能安全认证鉴权方法、装置及存储介质。


背景技术：

2.随着云计算时代的到来，作为云计算发展必不可少的一个关键环节，虚拟化系统的安全越发重要，而认证鉴权作为虚拟化系统的重要组成部分，不安全的认证鉴权方案不仅给虚拟化系统的计算资源、存储资源、网络资源带来威胁，甚至充当黑客网络攻击工具带来严重的后果。因此，安全的认证鉴权方案是虚拟化系统安全、稳定、可靠运行必不可少的技术，对推动整个云计算行业的发展发挥着重要作用。
3.当前对于虚拟云主要流行的鉴权方案是rbac系统认证鉴权方案，rbac系统认证鉴权方案通过将用户与角色关联，角色与权限关联，用户角色之间、角色权限之间一般是多对多的关系。其鉴权方式主要是验证用户提供的帐户信息是否为系统授信的帐户信息，一旦验证通过即可拥有权限，一旦非法获取系统授信的账户信息，便可以在权限许可范围内随便访问操作虚拟化系统，虚拟化系统安全性低。通常用户一些行为习惯也给虚拟化系统带来威胁，如喜欢最大化授权，可能在使用过程中误执行高危操作容易，如过度建立账号或僵尸账户致使账户管理漏洞易被盗用，给虚拟化系统安全带来严重的威胁。
4.本方案主要解决系统账号信息被盗用，多余账号或僵尸账户被非法使用的一种设计，通过本方案，能够在原认证鉴权安全策略基础上提供智能的安全策略，对虚拟化系统进行安全加固。


技术实现要素：

5.为了解决上述技术问题或者至少部分地解决上述技术问题，本技术提供一种智能安全认证鉴权方法、装置及存储介质。
6.第一方面，本技术提供一种智能安全认证鉴权方法，包括：
7.调用帐户行为画像中数据并与预设规则配合或者预设条件规则形成触发条件；
8.目标帐户访问操作虚拟化系统时，根据目标帐户信息确定对应的目标帐户行为画像，由目标帐户行为画像形成目标触发条件；
9.监测目标帐户当前请求，并根据目标触发条件分析目标帐户当前请求是否触发认证鉴权机制，是则执行所触发的认证鉴权机制：
10.判断目标帐户当前请求是否满足预设的启动多因子认证机制的条件，是则启动多因子认证机制；
11.判断目标帐户当前请求是否满足预设的启动多重认证机制的条件，是则启动多重认证机制；
12.判断目标帐户当前请求是否满足预设的启动多重鉴权机制的条件，是则启动多重鉴权机制；
13.判断目标帐户当前请求是否满足预设的启动复核鉴权机制的条件，是则启动复核鉴权机制。
14.更进一步地，收集帐户访问操作虚拟化系统的行为数据，收集的行为数据包括帐户登录日志、请求访问日志、操作日志、审计日志的内容和帐户授权信息；通过大数据技术对账户行为数据进行分析挖掘，归纳得到包括账户登录设备、ip地址、通常操作时间、账户常用资源及资源类型、帐户执行操作及频率和授权数据的账户行为画像。
15.更进一步地，调用帐户行为画像中数据并与预设规则配合形成应用在账户登录认证过程中的触发条件：
16.当目标帐户当前登录所使用登录设备、所使用的ip地址和时刻与目标帐户行为画像中调取的任一对应数据不一致时，启动多因子认证机制；
17.调用帐户行为画像中数据并与预设规则配合形成或通过预设条件规则形成包含关联关系的触发条件，包含关联关系的触发条件应用在在账户操作和访问认证鉴权过程中，所述关联关系包含：
18.多重认证机制、多重鉴权机制和复核鉴权机制与资源的关联，
19.多重认证机制、多重鉴权机制和复核鉴权机制与操作的关联，
20.目标帐户执行被关联的操作或访问被关联资源时启动对应的机制。
21.更进一步地，关联关系的具体内容包括：根据帐户行为画像中帐户所执行过的操作确定帐户未执行的操作或根据所访问过的资源确定帐户未访问的资源，将帐户执行未执行的操作或访问未访问的资源的请求关联多重认证机制、多重鉴权机制和复核鉴权机制中的任一种或几种；
22.根据帐户行为画像中授权数据确定帐户未授权过的帐户，将给未授权过的帐户授权的请求关联多重认证机制、多重鉴权机制和复核鉴权机制中的任一种或几种；
23.预先设置高危请求的范围，将高危请求关联多重认证机制、多重鉴权机制和复核鉴权机制中的任一种或几种；
24.预先设置异常请求情景，将异常请求情景关联多重认证机制、多重鉴权机制和复核鉴权机制中的任一种或几种。
25.更进一步地，启动多因子认证机制向用户提供账户口令认证方式，还向用户提供邮箱认证方式、短信认证方式、密钥设备认证方式中的至少一种或几种的组合；用户通过多因子认证机制提供的全部认证方式后允许登录虚拟化系统。
26.更进一步地，复核鉴权机制预先设定了为帐户授权的高级帐户；
27.验证触发复核鉴权机制的目标帐户是否满足rbac权限，
28.不满足rbac权限，则拒绝执行目标帐户触发复核鉴权机制的请求，
29.满足rbac权限，则向对应的高级帐户请求权限，
30.若高级帐户授权目标帐户，则执行目标帐户触发复核鉴权机制的请求，
31.若高级帐户拒绝授权目标帐户，则拒绝执行目标帐户触发复核鉴权机制的请求。
32.更进一步地，多重认证机制被目标帐户请求触发启动时，再次认证触发多重认证机制的目标帐户的帐户口令，认证通过则允许执行触发多重认证机制的请求，否则拒绝执行触发多重认证机制的请求。
33.更进一步地，多重鉴权机制被目标帐户请求触发启动时，
34.验证触发多重鉴权机制的目标帐户是否满足rbac权限，
35.不满足rbac权限，则拒绝执行目标帐户触发多重鉴权机制的请求，
36.满足rbac权限，则通过目标帐户的邮箱或短信发送激活操作链接，
37.判断目标帐户的用户通过邮箱或短信激活所述激活操作链接，
38.是则执行目标帐户触发多重鉴权机制的请求；
39.否则拒绝执行目标帐户触发多重鉴权机制的请求。
40.第二方面，本技术提供一种实现智能安全认证鉴权的装置，包括：
41.采集模块，所述采集模块用于收集帐户访问操作虚拟化系统的行为数据；
42.数据分析模块，所述数据分析模块用于分析采集的行为数据生成账户行为画像；
43.条件配置模块，所述条件配置模块用于调用帐户行为画像中数据并与预设规则配合或者通过预设条件规则形成触发条件；
44.监测模块，监测模块用于监测账户当前请求；
45.认证鉴权控制模块，所述认证鉴权控制模块根据触发条件分析账户当前请求是否触发认证鉴权机制，启动当前请求启动所触发的认证鉴权机制。
46.第三方面，本技术提供一种所述实现智能安全认证鉴权方法的存储介质存储至少一条指令，从所述实现智能安全认证鉴权方法的存储介质读取并执行所述指令实现所述智能安全认证鉴权方法。
47.本技术实施例提供的上述技术方案与现有技术相比具有如下优点：
48.本技术通过对各个账户的行为数据进行采集分析形成账户行为画像，利用账户行为画像和预设的规则形成触发条件，或者直接利于预设的条件规则形成触发条件；根据触发条件分析账户当前请求以执行多因子认证机制、多重认证机制、多重鉴权机制以及复核鉴权机制中的任意一种或几种，与现有单采用rbac认证鉴权方案控制账户访问的方式相比，能够有效识别账户的异常访问、异常操作，当账户进行异常访问、异常操作时，通过相应的认证鉴权方式对账户进行进一步验证，能够有效防止账号被非法盗用后用于入侵损害虚拟化系统。
49.利用多因子认证机制、多重认证机制、多重鉴权机制和复核鉴权机制相互配合，鉴权认证方式多样，黑客不容易掌握规律而进行突破，加固虚拟化系统的安全性。
50.利用多因子认证机制、多重认证机制、多重鉴权机制和复核鉴权机制相互配合能够有效避免账户因失误而执行高危操作，对虚拟化系统造成损害。
附图说明
51.此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本发明的实施例，并与说明书一起用于解释本发明的原理。
52.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，对于本领域普通技术人员而言，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
53.图1为本技术实施例提供的智能安全认证鉴权方法流程图；
54.图2为本技术实施例提供的多重鉴权机制所执行过程的流程图；
55.图3为本技术实施例提供的复核鉴权机制所执行过程的流程图；
56.图4为本技术实施例提供的实现智能安全认证鉴权的装置的示意图。
具体实施方式
57.为使本技术实施例的目的、技术方案和优点更加清楚，下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本技术的一部分实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本技术保护的范围。
58.需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
59.实施例1
60.参阅图1所示，本技术实施例提供一种智能安全认证鉴权方法，包括：
61.s100，在虚拟化系统中监控采集账户访问操作虚拟化系统的行为数据。通过收集的行为数据包括帐户登录日志、请求访问日志、操作日志、审计日志的内容和帐户授权信息，实现采集账户访问操作虚拟化系统的行为数据。
62.s200，通过大数据技术对每个账户的账户行为数据进行分析挖掘形成账户行为画像。具体的，通过大数据技术归纳账户的行为数据得到包括账户登录设备、ip地址、通常操作时间、账户常用资源及资源类型、帐户执行操作及频率和授权数据的账户行为画像。
63.s300，调用帐户行为画像中数据并与预设规则配合或者预设条件规则形成触发条件；
64.具体实施过程中，调用帐户行为画像中数据并与预设规则配合形成应用在账户登录认证过程中的触发条件：
65.从目标账户的目标账户行为画像中获取近期登录所使用的登录设备、所使用的ip地址和登录时间段；分别与目标账户当前登录所使用登录设备、所使用的ip地址和时刻对比，当目标帐户当前登录所使用登录设备、所使用的ip地址和时刻与目标帐户行为画像中调取的任一对应数据不一致时，启动多因子认证机制。
66.调用帐户行为画像中数据并与预设规则配合形成包含关联关系的触发条件或通过预设条件规则来形成包含关联关系的触发条件应用在在账户操作和访问认证鉴权过程中，其中，关联关系包含：
67.多重认证机制、多重鉴权机制和复核鉴权机制与资源的关联，
68.多重认证机制、多重鉴权机制和复核鉴权机制与操作的关联。
69.包含关联关系的触发条件表现为：目标帐户执行被关联的操作或访问被关联资源时启动对应的机制。
70.具体实施过程中，调用帐户行为画像中数据并与预设规则配合形成的关联关系包括：
71.根据帐户行为画像中帐户所执行过的操作确定帐户未执行的操作，将帐户执行未执行的操作的请求关联多重认证机制、多重鉴权机制和复核鉴权机制中的任一种或几种；
72.根据帐户行为画像中帐户所访问过的资源确定帐户未访问的资源，将帐户访问未访问过的资源的请求关联多重认证机制、多重鉴权机制和复核鉴权机制中的任一种或几种；
73.根据帐户行为画像中授权数据确定帐户未授权过的帐户，将给未授权过的帐户授权的请求关联多重认证机制、多重鉴权机制和复核鉴权机制中的任一种或几种。
74.预设的条件规则形成的关联关系包括：
75.预先设置高危请求的范围，将高危请求关联多重认证机制、多重鉴权机制和复核鉴权机制中的任一种或几种；如将删除虚拟系统重要文件的请求列未高危请求之一，当账户请求删除虚拟系统重要文件时，触发多重认证机制、多重鉴权机制和复核鉴权机制中的任一种或几种进行认证鉴权。
76.预先设置异常请求情景，将异常请求情景关联多重认证机制、多重鉴权机制和复核鉴权机制中的任一种或几种；如将高于设定频率在读取虚拟系统中指定文件的情景列为异常请求情景，黑客在入侵虚拟系统时，获取虚拟系统中信息往往通过脚本爬取下载虚拟系统中的内容，爬取下载的过程往往涉及高频读取过程，当监测发生高频读取指定文件时，多重认证机制、多重鉴权机制和复核鉴权机制中的任一种或几种进行认证鉴权。
77.s400，目标帐户访问操作虚拟化系统时，根据目标帐户信息确定对应的目标帐户行为画像，由目标帐户行为画像形成目标触发条件。
78.s500，监测目标帐户当前请求，并根据目标触发条件分析目标帐户当前请求是否触发认证鉴权机制，是则执行触发的认证鉴权机制，具体的包括：
79.判断目标帐户当前请求是否满足预设的启动多因子认证机制的条件，是则启动多因子认证机制；具体的，启动多因子认证机制向用户提供账户口令认证方式，还向用户提供邮箱认证方式、短信认证方式、密钥设备认证方式中的至少一种或几种的组合；用户通过多因子认证机制提供的全部认证方式后允许登录虚拟化系统。
80.判断目标帐户当前请求是否满足预设的启动多重认证机制的条件，是则启动多重认证机制；具体的，多重认证机制被目标帐户请求触发启动时，再次认证触发多重认证机制的目标帐户的帐户口令，认证通过则允许执行触发多重认证机制的请求，否则拒绝执行触发多重认证机制的请求。
81.判断目标帐户当前请求是否满足预设的启动多重鉴权机制的条件，是则启动多重鉴权机制。
82.具体的，参阅图2所示，多重鉴权机制的流程包括：
83.s10，多重鉴权机制被目标帐户请求触发启动时，
84.s20，验证触发多重鉴权机制的目标帐户是否满足rbac权限，
85.不满足rbac权限，则执行s30，满足rbac权限，则执行s40，
86.s30，拒绝执行目标帐户触发多重鉴权机制的请求，
87.s40，通过目标帐户的邮箱或短信发送激活操作链接，
88.s50,判断目标帐户的用户通过邮箱或短信激活所述激活操作链接，是则执行s60，否则执行s30。
89.s60，目标帐户触发多重鉴权机制的请求。
90.判断目标帐户当前请求是否满足预设的启动复核鉴权机制的条件，是则启动复核
鉴权机制。
91.具体的，参阅图3所示，复核鉴权机制的流程包括：
92.s1，复核鉴权机制预先设定了为帐户授权的高级帐户；具体的，一种可行的方式是预先设定高级账户所负责的请求，当账户请求由目标高级账户所负责的请求时，则由目标高级账户向账户提供复核鉴权权限。
93.s2，目标帐户请求触发启动多重鉴权机制，
94.s3，验证触发复核鉴权机制的目标帐户是否满足rbac权限，
95.不满足rbac权限，则执行s4，满足rbac权限，则执行s5，
96.s4，拒绝执行目标帐户触发复核鉴权机制的请求，
97.s5，向对应的高级帐户请求权限，
98.s6，判断对应的高级账户是否授权目标账户复核鉴权权限，
99.若高级帐户授权目标帐户，则执行s7，若高级帐户拒绝授权目标帐户，则执行s4；
100.s7，执行目标帐户触发复核鉴权机制的请求。
101.本技术通过对各个账户的行为数据进行采集分析形成账户行为画像，利用账户行为画像和预设的规则形成触发条件，或者直接利于预设的条件规则形成触发条件；根据触发条件分析账户当前请求以执行多因子认证机制、多重认证机制、多重鉴权机制以及复核鉴权机制中的任意一种或几种，与现有单采用rbac认证鉴权方案控制账户访问的方式相比，能够有效识别账户的异常访问、异常操作，当账户进行异常访问、异常操作时，通过相应的认证鉴权方式对账户进行进一步验证，能够有效防止账号被非法盗用后用于入侵损害虚拟化系统。
102.利用多因子认证机制、多重认证机制、多重鉴权机制和复核鉴权机制相互配合，鉴权认证方式多样，黑客不容易掌握规律而进行突破，加固虚拟化系统的安全性。
103.利用多因子认证机制、多重认证机制、多重鉴权机制和复核鉴权机制相互配合能够有效避免账户因失误而执行高危操作，对虚拟化系统造成损害。
104.实施例2
105.参阅图4所示，本技术实施例提供一种实现智能安全认证鉴权的装置，包括：
106.采集模块，所述采集模块用于收集帐户访问操作虚拟化系统的行为数据；
107.数据分析模块，所述数据分析模块用于分析采集的行为数据生成账户行为画像；
108.条件配置模块，所述条件配置模块用于调用帐户行为画像中数据并与预设规则配合或者通过预设条件规则形成触发条件；
109.监测模块，监测模块用于监测账户当前请求；
110.认证鉴权控制模块，所述认证鉴权控制模块根据触发条件分析账户当前请求是否触发认证鉴权机制，启动当前请求启动所触发的认证鉴权机制。
111.实施例3
112.本技术实施例提供一种实现智能安全认证鉴权方法的存储介质，所述实现智能安全认证鉴权方法的存储介质存储至少一条指令，从所述实现智能安全认证鉴权方法的存储介质读取并执行所述指令实现所述智能安全认证鉴权方法。
113.在本发明所提供的实施例中，应该理解到，所揭露的装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为
一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。
114.所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
115.另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。
116.以上所述仅是本发明的具体实施方式，使本领域技术人员能够理解或实现本发明。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其它实施例中实现。因此，本发明将不会被限制于本文所示的这些实施例，而是要符合与本文所申请的原理和新颖特点相一致的最宽的范围。