本技術(shù)涉及數(shù)據(jù)處理，具體而言，涉及一種基于身份中樞的身份認(rèn)證方法及裝置。

背景技術(shù)：

1、隨著現(xiàn)代信息技術(shù)的快速發(fā)展，在用戶訪問系統(tǒng)資源時往往需要對用戶的權(quán)限進(jìn)行管理，來保障訪問安全。

2、目前，主要通過基于角色的訪問控制(rbac)和基于屬性的訪問控制(abac)兩種廣泛使用的訪問控制模型對用戶進(jìn)行靜態(tài)權(quán)限管理。

3、但是，針對目前這兩種訪問控制模型，身份認(rèn)證過程的靈活性一般，且安全策略多為靜態(tài)設(shè)置，難以適應(yīng)快速變化的安全需求和安全威脅，此外，缺少持續(xù)認(rèn)證機制，難以實時調(diào)整用戶的訪問權(quán)限，使得系統(tǒng)的安全性一般。

技術(shù)實現(xiàn)思路

1、有鑒于此，本技術(shù)的目的在于提供一種基于身份中樞的身份認(rèn)證方法及裝置，能夠通過基于策略組件調(diào)用功能組件對訪問主體的身份信息進(jìn)行持續(xù)性認(rèn)證，并根據(jù)認(rèn)證結(jié)果調(diào)整訪問主體對應(yīng)的訪問權(quán)限，實現(xiàn)了更加動態(tài)和自適應(yīng)的身份認(rèn)證機制，提高了身份認(rèn)證過程的靈活性，可以適應(yīng)快速變化的安全需求和安全威脅，且可以對用戶的身份進(jìn)行持續(xù)認(rèn)證，進(jìn)一步提高了靈活性和系統(tǒng)安全。

2、第一方面，本技術(shù)實施例提供了一種基于身份中樞的身份認(rèn)證方法，應(yīng)用于身份認(rèn)證系統(tǒng)，所述身份認(rèn)證系統(tǒng)包括訪問客體、策略組件和功能組件；所述方法包括：

3、響應(yīng)于訪問主體對所述訪問客體發(fā)起訪問請求，基于所述策略組件調(diào)用所述功能組件，以基于所述訪問主體的身份信息對所述訪問主體進(jìn)行持續(xù)性認(rèn)證，并根據(jù)認(rèn)證結(jié)果調(diào)整所述訪問主體對應(yīng)的訪問權(quán)限；其中，所述身份信息至少包括用戶身份、設(shè)備身份、應(yīng)用身份和服務(wù)身份；

4、響應(yīng)于所述訪問客體對所述策略組件發(fā)送資源請求，基于所述資源請求判斷所述資源請求是否合法；

5、若是，則控制所述訪問主體基于所述訪問請求訪問對應(yīng)的所述訪問客體的目標(biāo)資源；其中，所述訪問客體的目標(biāo)資源的不同數(shù)據(jù)源至少包括數(shù)據(jù)、設(shè)備、信息系統(tǒng)、應(yīng)用軟件、服務(wù)和功能接口。

6、在一種可能的實施方式中，所述策略組件包括策略執(zhí)行點和策略判決點；所述策略判決點包括策略引擎和策略管理器；所述基于所述訪問主體的身份信息對所述訪問主體進(jìn)行持續(xù)性認(rèn)證，得到對應(yīng)的認(rèn)證結(jié)果，包括：

7、響應(yīng)于所述訪問主體將所述訪問請求發(fā)送至所述策略執(zhí)行點，所述策略執(zhí)行點將所述訪問請求轉(zhuǎn)發(fā)至所述策略判決點進(jìn)行驗證；

8、所述策略判決點根據(jù)所述策略管理器中的策略信息和所述身份信息對所述訪問請求做出決策，以分配對應(yīng)的決策結(jié)果；

9、所述策略執(zhí)行點基于所述策略判決點的所述決策結(jié)果執(zhí)行相應(yīng)的訪問控制操作。

10、在一種可能的實施方式中，所述方法還包括：

11、判斷所述訪問客體是否符合預(yù)設(shè)的目標(biāo)重新認(rèn)證條件；

12、若是，則基于所述策略判決點和所述策略執(zhí)行點，對所述訪問客體進(jìn)行重新認(rèn)證，以保證主體身份持續(xù)可信。

13、在一種可能的實施方式中，所述方法還包括：

14、對所述訪問客體的不同數(shù)據(jù)源的目標(biāo)資源進(jìn)行關(guān)聯(lián)并分析，對所述訪問主體的信任度進(jìn)行持續(xù)評估，得到所述訪問主體的信用評分；

15、基于所述信用評分動態(tài)調(diào)整所述訪問主體的訪問權(quán)限。

16、在一種可能的實施方式中，所述對所述訪問主體的信任度進(jìn)行持續(xù)評估，得到所述訪問主體的信用評分，包括：

17、實時獲取所述訪問客體多維度的行為數(shù)據(jù)，基于所述行為數(shù)據(jù)構(gòu)建所述訪問客體的行為特征庫；其中，所述多維度的行為數(shù)據(jù)至少包括登錄頻率、使用習(xí)慣、操作模式；

18、基于所述行為特征庫和預(yù)設(shè)的機器學(xué)習(xí)算法識別出所述訪問客體的異常行為，并基于所述異常行為實時確定所述訪問主體的信任評分；其中，所述異常行為是與預(yù)設(shè)的正常行為模式顯著偏離的異常行為。

19、在一種可能的實施方式中，所述功能組件包括環(huán)境感知組件；所述方法還包括：

20、基于所述環(huán)境感知組件實時持續(xù)監(jiān)測所述訪問主體的操作環(huán)境；

21、基于所述操作環(huán)境和所述行為數(shù)據(jù)持續(xù)調(diào)整所述訪問主體的訪問權(quán)限。

22、在一種可能的實施方式中，所述方法還包括：

23、獲取所述訪問主體的用戶屬性；其中，所述用戶屬性至少包括用戶角色、部門；

24、基于所述用戶屬性和所述操作環(huán)境調(diào)整所述訪問主體的訪問權(quán)限。

25、第二方面，本技術(shù)實施例還提供了一種基于身份中樞的身份認(rèn)證裝置，應(yīng)用于身份認(rèn)證系統(tǒng)，所述身份認(rèn)證系統(tǒng)包括訪問客體、策略組件和功能組件；所述身份認(rèn)證裝置包括：

26、第一認(rèn)證模塊，用于響應(yīng)于訪問主體對所述訪問客體發(fā)起訪問請求，基于所述策略組件調(diào)用所述功能組件，以基于所述訪問主體的身份信息對所述訪問主體進(jìn)行持續(xù)性認(rèn)證，并根據(jù)認(rèn)證結(jié)果調(diào)整所述訪問主體對應(yīng)的訪問權(quán)限；其中，所述身份信息至少包括用戶身份、設(shè)備身份、應(yīng)用身份和服務(wù)身份；

27、第一判斷模塊，用于響應(yīng)于所述訪問客體對所述策略組件發(fā)送資源請求，基于所述資源請求判斷所述資源請求是否合法；

28、訪問模塊，用于若是，則控制所述訪問主體基于所述訪問請求訪問對應(yīng)的所述訪問客體的目標(biāo)資源；其中，所述訪問客體的目標(biāo)資源的不同數(shù)據(jù)源至少包括數(shù)據(jù)、設(shè)備、信息系統(tǒng)、應(yīng)用軟件、服務(wù)和功能接口。

29、在一種可能的實施方式中，所述策略組件包括策略執(zhí)行點和策略判決點；所述策略判決點包括策略引擎和策略管理器；所述第一認(rèn)證模塊，具體用于：

30、響應(yīng)于所述訪問主體將所述訪問請求發(fā)送至所述策略執(zhí)行點，所述策略執(zhí)行點將所述訪問請求轉(zhuǎn)發(fā)至所述策略判決點進(jìn)行驗證；

31、所述策略判決點根據(jù)所述策略管理器中的策略信息和所述身份信息對所述訪問請求做出決策，以分配對應(yīng)的決策結(jié)果；

32、所述策略執(zhí)行點基于所述策略判決點的所述決策結(jié)果執(zhí)行相應(yīng)的訪問控制操作。

33、在一種可能的實施方式中，所述基于身份中樞的身份認(rèn)證裝置，還包括：

34、第二判斷模塊，用于判斷所述訪問客體是否符合預(yù)設(shè)的目標(biāo)重新認(rèn)證條件；

35、第二認(rèn)證模塊，用于若是，則基于所述策略判決點和所述策略執(zhí)行點，對所述訪問客體進(jìn)行重新認(rèn)證，以保證主體身份持續(xù)可信。

36、在一種可能的實施方式中，所述基于身份中樞的身份認(rèn)證裝置，還包括：

37、評估模塊，用于對所述訪問客體的不同數(shù)據(jù)源的目標(biāo)資源進(jìn)行關(guān)聯(lián)并分析，對所述訪問主體的信任度進(jìn)行持續(xù)評估，得到所述訪問主體的信用評分；

38、第一調(diào)整模塊，用于基于所述信用評分動態(tài)調(diào)整所述訪問主體的訪問權(quán)限。

39、在一種可能的實施方式中，所述評估模塊，具體用于：

40、實時獲取所述訪問客體多維度的行為數(shù)據(jù)，基于所述行為數(shù)據(jù)構(gòu)建所述訪問客體的行為特征庫；其中，所述多維度的行為數(shù)據(jù)至少包括登錄頻率、使用習(xí)慣、操作模式；

41、基于所述行為特征庫和預(yù)設(shè)的機器學(xué)習(xí)算法識別出所述訪問客體的異常行為，并基于所述異常行為實時確定所述訪問主體的信任評分；其中，所述異常行為是與預(yù)設(shè)的正常行為模式顯著偏離的異常行為。

42、在一種可能的實施方式中，所述功能組件包括環(huán)境感知組件；所述基于身份中樞的身份認(rèn)證裝置，還包括：

43、監(jiān)測模塊，用于基于所述環(huán)境感知組件實時持續(xù)監(jiān)測所述訪問主體的操作環(huán)境；

44、第二調(diào)整模塊，用于基于所述操作環(huán)境和所述行為數(shù)據(jù)持續(xù)調(diào)整所述訪問主體的訪問權(quán)限。

45、在一種可能的實施方式中，所述基于身份中樞的身份認(rèn)證裝置，還包括：

46、獲取模塊，用于獲取所述訪問主體的用戶屬性；其中，所述用戶屬性至少包括用戶角色、部門；

47、第三調(diào)整模塊，用于基于所述用戶屬性和所述操作環(huán)境調(diào)整所述訪問主體的訪問權(quán)限。

48、第三方面，本技術(shù)實施例提供了一種電子設(shè)備，包括：處理器、存儲介質(zhì)和總線，所述存儲介質(zhì)存儲有所述處理器可執(zhí)行的機器可讀指令，當(dāng)電子設(shè)備運行時，所述處理器與所述存儲介質(zhì)之間通過總線通信，所述處理器執(zhí)行所述機器可讀指令，以執(zhí)行如第一方面任一項所述的基于身份中樞的身份認(rèn)證方法的步驟。

49、第四方面，本技術(shù)實施例提供了一種計算機可讀存儲介質(zhì)，所述計算機可讀存儲介質(zhì)上存儲有計算機程序，所述計算機程序被處理器運行時執(zhí)行第一方面任一項所述的基于身份中樞的身份認(rèn)證方法的步驟。

50、本技術(shù)實施例提供的一種基于身份中樞的身份認(rèn)證方法及裝置，響應(yīng)于訪問主體對訪問客體發(fā)起訪問請求，基于策略組件調(diào)用功能組件，以基于訪問主體的身份信息對訪問主體進(jìn)行持續(xù)性認(rèn)證，并根據(jù)認(rèn)證結(jié)果調(diào)整訪問主體對應(yīng)的訪問權(quán)限，響應(yīng)于訪問客體對策略組件發(fā)送資源請求，基于資源請求判斷資源請求是否合法，若是，則控制訪問主體基于訪問請求訪問對應(yīng)的訪問客體的目標(biāo)資源，本技術(shù)，通過基于策略組件調(diào)用功能組件對訪問主體的身份信息進(jìn)行持續(xù)性認(rèn)證，并根據(jù)認(rèn)證結(jié)果調(diào)整訪問主體對應(yīng)的訪問權(quán)限，實現(xiàn)了更加動態(tài)和自適應(yīng)的身份認(rèn)證機制，提高了身份認(rèn)證過程的靈活性，可以適應(yīng)快速變化的安全需求和安全威脅，且可以對用戶的身份進(jìn)行持續(xù)認(rèn)證，進(jìn)一步提高了靈活性和系統(tǒng)安全。

51、為使本技術(shù)的上述目的、特征和優(yōu)點能更明顯易懂，下文特舉較佳實施例，并配合所附附圖，作詳細(xì)說明如下。