身份认证方法、装置、电子设备及存储介质

技术领域

本发明涉及网络安全技术领域，尤其涉及一种身份认证方法、装置、电子设备及存储介质。

背景技术

随着计算机网络技术迅速发展，可以通过各种网络应用获取大量的信息资源和服务，但也伴随着信息安全问题。互联网的发展促使信息网络化的不断深入和扩展，这使得社会的开放程度进一步加大。利用信息安全技术来保护用户的信息、企业的信息、电子商务等应用的安全已经成为互联网发展的关键问题。

由于企业规模发展，导致企业人员结构、内部互联网技术(Internet Technology，以下简称“IT”)应用都会变得复杂。例如，有的应用来自总公司，有的来自分公司，而各应用的认证源来自不同的身份源。由此可见，企业应用的安全认证变得极其复杂。

然而，传统的认证方法无法很好地解决这个问题，针对不同的认证需求，传统的认证方法有时候需要做大量重复的认证策略设置，而且还有可能因为策略疏漏而导致安全问题。

发明内容

针对现有技术存在的问题，本发明实施例提供一种身份认证方法、装置、电子设备及存储介质。

具体地，本发明实施例提供了如下技术方案：

第一方面，本发明实施例提供一种身份认证方法，包括：

确定访问用户的用户标签、访问应用的应用标签和所述访问用户所处环境的访问环境标签中的一种或多种；

根据所述用户标签、所述应用标签和所述访问环境标签中的一种或多种，确定与所述访问用户匹配的认证策略；其中，所述认证策略包括是否进行主体认证以及在确定进行主体认证时的主体认证的类型，和/或，是否进行增强认证以及在确定进行增强认证时的增强认证的类型。

进一步地，所述用户标签包括用户属性信息，所述用户属性信息包括用户类别和/或用户角色；

和/或，

所述应用标签包括应用属性信息，所述应用属性信息包括应用类别和/或应用安全等级；

和/或，

所述访问环境标签包括访问环境信息，所述访问环境信息包括访问时间和/或访问地点。

进一步地，根据所述用户标签、所述应用标签和所述访问环境标签中的一种或多种，确定与所述访问用户匹配的认证策略，包括：

根据用户类别和/或用户角色、应用类别和/或应用安全等级，以及，访问时间和/或访问地点中的一种或多种，查询预设配置规则，确定是否进行主体认证以及在确定进行主体认证时的主体认证的类型，和/或，是否进行增强认证以及在确定进行增强认证时的增强认证的类型；

其中，所述预设配置规则中配置有各用户类别和/或用户角色，在各访问时间和/或访问地点，访问各应用类别和/或应用安全等级的应用时，对应的主体认证需求和/或增强认证需求，以及，对应的主体认证的类型和/或增强认证的类型。

进一步地，在根据用户类别和/或用户角色、应用类别和/或应用安全等级，以及，访问时间和/或访问地点中的一种或多种，查询预设配置规则，确定是否进行主体认证以及在确定进行主体认证时的主体认证的类型，和/或，是否进行增强认证以及在确定进行增强认证时的增强认证的类型之前，所述方法还包括：

生成和/或更新所述预设配置规则的步骤，具体包括：

根据预设安全认证规范中限定的各用户类别和/或用户角色，在各访问时间和/或访问地点，访问各应用类别和/或应用安全等级的应用时，对应的主体认证需求和/或增强认证需求，以及，对应的主体认证的类型和/或增强认证的类型，生成和/或更新所述预设配置规则。

进一步地，所述主体认证的类型包括：中央认证服务CAS、轻量目录访问协议LDAP、身份认证授权协议OIDC和授权开放网络协议OAuth中的一种或多种；

和/或，

所述增强认证的类型包括：短信验证、动态口令、人脸识别、虹膜识别、指纹识别和声纹认证中的一种或多种。

进一步地，所述应用安全等级包括普通安全等级和/或敏感安全等级。

第二方面，本发明实施例提供一种身份认证装置，包括：

获取单元，用于确定访问用户的用户标签、访问应用的应用标签和所述访问用户所处环境的访问环境标签中的一种或多种；

匹配单元，用于根据所述用户标签、所述应用标签和所述访问环境标签中的一种或多种，确定与所述访问用户匹配的认证策略；其中，所述认证策略包括是否进行主体认证以及在确定进行主体认证时的主体认证的类型，和/或，是否进行增强认证以及在确定进行增强认证时的增强认证的类型。

第三方面，本发明实施例提供一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如第一方面所述身份认证方法的步骤。

第四方面，本发明实施例提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如第一方面所述身份认证方法的步骤。

第五方面，本发明实施例提供一种计算机程序产品，其上存储有可执行指令，该指令被处理器执行时使处理器实现如第一方面所述身份认证方法的步骤。

本发明实施例提供的身份认证方法、装置、电子设备及存储介质，根据用户标签、应用标签和访问环境标签中的一种或多种，确定是否进行主体认证以及在确定进行主体认证时的主体认证的类型，和/或，是否进行增强认证以及在确定进行增强认证时的增强认证的类型。本发明实施例基于用户标签、应用标签和访问环境标签中的一种或多种进行访问用户主体认证和/或增强认证的确定，从而可以为不同用户在不同的访问环境下访问不同的应用匹配合适的认证策略。由此可见，本发明实施例能够提供一种统一的身份认证方式，使得复杂场景下的身份认证变得简单、准确和可靠，从而可以很好地解决传统认证模型面对多身份源场景时需要做大量重复的认证策略以及还有可能存在的因为策略疏漏而导致的安全问题。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明第一个实施例提供的身份认证方法的流程示意图；

图2是本发明一实施例提供的身份认证模型的结构示意图；

图3是本发明一实施例提供的访问CAS身份源应用根据不同的应用标签使用不同的认证策略示意图；

图4是本发明一实施例提供的访问LDAP身份源应用根据不同的应用标签使用不同的认证策略示意图；

图5是本发明第二个实施例提供的身份认证装置的结构示意图；

图6是本发明第三个实施例提供的电子设备的结构示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

图1是本发明第一个实施例提供的身份认证方法的流程示意图，该身份认证方法可应用于零信任系统，如图1所示，本发明第一个实施例提供的身份认证方法，包括如下步骤：

步骤110、确定访问用户的用户标签、访问应用的应用标签和访问用户所处环境的访问环境标签中的一种或多种。

在本步骤中，需要说明的是，身份认证是证实实体对象的数字身份与物理身份是否一致的过程。例如，用户登录支付宝账户时，需要输入用户名和密码进行身份认证，才能访问对应的支付宝账户。因此，用户访问应用时通过身份认证能够有效防止应用的信息资源被非授权使用，保障信息资源的安全。然而，随着企业规模发展，企业人员结构、内部IT应用都会变得复杂，公司内部各个应用的认证源来自不同的身份源，因此访问不同应用时需要使用不同的方式。例如，总公司财务人员访问财务软件时只需通过中央认证服务(Central Authentication Service，以下简称“CAS认证”)，即可访问财务软件；然而分公司财务人员访问财务软件时除了需要通过CAS认证外，还需要输入短信动态码验证，才可访问财务软件。传统的身份认证方式需要针对总公司财务人员和分公司财务人员这两个不同的身份，对财务软件重复设置认证策略，此外，在这个过程中还有可能会因为认证策略的疏漏而导致非授权用户能够访问应用，进而造成信息资源的泄漏。为解决该问题，本实施例提供了一种身份认证方法，本实施例基于用户标签、应用标签和访问环境标签中的一种或多种进行访问用户主体认证和/或增强认证的确定，从而可以为不同用户在不同的访问环境下访问不同的应用匹配合适的认证策略。也即，本实施例提供了一种统一的身份认证方式，使得复杂场景下的身份认证变得简单、准确和可靠，从而可以很好地解决传统认证模型面对多身份源场景时需要做大量重复的认证策略以及还有可能存在的因为策略疏漏而导致的安全问题。

在本步骤中，访问用户的用户标签可以指：访问用户的属性信息，例如，访问用户所在的组织机构(例如，财务部人员、事业部人员，分公司人员等)，访问用户的角色(例如，总裁、监管人员、实习生、管培生)等。

在本步骤中，访问应用的应用标签可以指：应用类型(例如，财务应用、OA应用、开发应用A1、开发应用A2、运维应用B1、运维应用B2等)、应用安全等级(例如，普通安全等级(1级、II级、III级等)和敏感安全等级(例如，敏感I级、敏感II级、敏感III级等))等。

在本步骤中，访问用户所处环境的访问环境标签可以指：访问时间(例如，工作时间、非工作时间、预设指定时间段例如上午9:00-12：00等)、访问地点(工作地点、非工作地点、预设指定地点例如上海等)等。

在本实施例中，需要说明的是，通过确定访问用户的用户标签、访问应用的应用标签和访问用户所处环境的访问环境标签一种或多种，以便于后续基于用户标签、应用标签和访问环境标签中的一种或多种，确定与访问用户精确匹配的认证策略。

步骤120、根据用户标签、应用标签和访问环境标签中的一种或多种，确定与访问用户匹配的认证策略；其中，认证策略包括是否进行主体认证以及在确定进行主体认证时的主体认证的类型，和/或，是否进行增强认证以及在确定进行增强认证时的增强认证的类型。

在本步骤中，需要说明的是，步骤101获取的是用户的访问信息，该访问信息中包括用户标签、应用标签和访问环境标签中的一种或多种，在步骤101成功获取用户的访问信息后，本步骤可以基于这些访问信息，确定与访问用户匹配的认证策略。

此外，本实施例提供的的身份认证方法可应用于零信任系统，零信任就是不相信任何人，除非网络明确知道访问的身份信息，否则不允许进入。本实施例通过对用户标签、应用标签和访问环境标签中的一种或多种进行识别、访问控制、跟踪实现全面的身份化，因而尤其适用于零信任系统。

具体来说，在本实施例中，根据用户标签、应用标签和访问环境标签中的一种或多种，确定与访问用户匹配的认证策略，至少包括下面七种可选择方案，下面分别一一进行介绍：

①当用户的访问信息中只包括用户标签时，此时可以根据用户标签，确定与访问用户匹配的第一认证策略。

在本实现方案中，在根据用户标签，确定与访问用户匹配的第一认证策略时，可以通过查询第一预设配置规则的方式确定与访问用户匹配的第一认证策略。

举例来说，所述第一预设配置规则中可以配置有各用户类别和/或用户角色，访问各应用时，对应的主体认证需求和/或增强认证需求，以及，对应的主体认证的类型和/或增强认证的类型。例如，所述第一预设配置规则中配置有财务人员访问财务应用时只对应有主体认证需求，但没有增强认证需求，且对应的主体认证的类型为CAS认证。同时，所述第一预设配置规则中配置有财务人员访问除财务应用以外的其他第一类应用(例如为软件安全类应用)时同时对应有主体认证需求和增强认证需求，且对应的主体认证的类型为CAS认证，增强认证的类型为动态口令。同时，所述第一预设配置规则中配置有财务人员访问除财务应用以外的其他第二类应用(例如为资料查询类应用)时只对应有增强认证需求，且对应的增强认证的类型为人脸识别认证。需要说明的是，上述只是以举例的方式对第一预设配置规则中包含的内容进行了说明。可以理解的是，实际上，第一预设配置规则中不仅仅包含有与财务人员匹配的认证策略，其还包含了与其他用户类别和/或用户角色匹配的认证策略。例如，还包含有与IT部人员对应的认证策略，以及与分公司人员时对应的认证策略，以及与实习生对应的认证策略等等。

可以理解的是，在本实现方案中，确定的认证策略包括三种，分别为：只进行主体认证、只进行增强认证、同时进行主体认证和增强认证。

由此可见，在本实现方案中，可以为不同访问用户匹配合适的认证策略，从而能够满足不同访问用户针对某些应用需要进行主体认证、需要进行增强认证，以及，同时需要进行主体认证+增强认证的安全认证需求。

②当用户的访问信息只包括应用标签时，此时可以根据应用标签，确定与访问用户匹配的第二认证策略。

在本实现方案中，在根据应用标签，确定与访问用户匹配的第二认证策略时，可以通过查询第二预设配置规则的方式确定与访问用户匹配的第二认证策略。

举例来说，所述第二预设配置规则中可以配置有用户访问各应用类别和/或应用安全等级的应用时，对应的主体认证需求和/或增强认证需求，以及，对应的主体认证的类型和/或增强认证的类型。例如，所述第二预设配置规则中配置有用户访问OA应用(第一应用类别的应用)时只对应有主体认证需求，但没有增强认证需求，且对应的主体认证的类型为CAS认证。同时，所述第二预设配置规则中还配置有用户访问财务应用(第二应用类别的应用)时同时对应有主体认证需求和增强认证需求，且对应的主体认证的类型为CAS认证，增强认证的类型为动态口令。同时，所述第二预设配置规则中配置有用户访问资料查询类应用(第三应用类别的应用)时只对应有增强认证需求，且对应的增强认证的类型为人脸识别认证。又如，所述第二预设配置规则中配置有用户访问普通安全等级的应用时只对应有主体认证需求，但没有增强认证需求，且对应的主体认证的类型为CAS认证。同时，所述第二预设配置规则中还配置有用户访问敏感安全等级的应用时同时对应有主体认证需求和增强认证需求，且对应的主体认证的类型为CAS认证，增强认证的类型为人脸识别。又如，所述第二预设配置规则中配置有用户访问安全等级为敏感安全等级的安全防护应用时同时对应有主体认证需求和增强认证需求，且对应的主体认证的类型为LDAP认证，增强认证的类型为声纹识别。需要说明的是，上述只是以举例的方式对第二预设配置规则中包含的内容进行了说明。可以理解的是，实际上，第二预设配置规则中不仅仅包含有与OA应用、财务应用、资料查询类应用、普通安全等级的应用、敏感安全等级的应用、敏感安全等级的安全防护应用对应的认证策略，其还包含了与其他应用类别和/或应用安全等级的认证策略。例如，当访问应用为开发应用A1时对应的认证策略，当访问应用为普通安全等级的开发应用A1时对应的认证策略，当访问应用为敏感安全等级的开发应用A1时对应的认证策略等等。

可以理解的是，在本实现方案中，确定的认证策略包括三种，分别为：只进行主体认证、只进行增强认证、同时进行主体认证和增强认证。

由此可见，在本实现方案中，可以为不同类别的应用或不同安全等级的应用匹配合适的认证策略，从而能够满足访问不同应用时需要进行主体认证、需要进行增强认证，以及，同时需要进行主体认证+增强认证的安全认证需求。

③当用户的访问信息只包括访问环境标签时，此时可以根据访问环境标签，确定与访问用户匹配的第三认证策略。

在本实现方案中，在根据访问环境标签，确定与访问用户匹配的第三认证策略时，可以通过查询第三预设配置规则的方式确定与访问用户匹配的第三认证策略。

举例来说，所述第三预设配置规则中可以配置有在各访问时间和/或访问地点时，对应的主体认证需求和/或增强认证需求，以及，对应的主体认证的类型和/或增强认证的类型。例如，所述第三预设配置规则中配置有在工作时间访问应用时只对应有主体认证需求，但没有增强认证需求，且对应的主体认证的类型为CAS认证。同时，所述第三预设配置规则中还配置有在非工作时间访问应用时同时对应有主体认证需求和增强认证需求，且对应的主体认证的类型为CAS认证，增强认证的类型为短信认证。又如，所述第三预设配置规则中配置有在工作地点访问应用时只对应有主体认证需求，且对应的主体认证的类型为CAS认证。同时，所述第三预设配置规则中还配置有在非工作地点访问应用时同时对应有主体认证需求和增强认证需求，且对应的主体认证的类型为CAS认证，增强认证的类型为人脸识别认证。又如，所述第三预设配置规则中配置有在工作时间以及在工作地点访问应用时只对应有主体认证需求，且对应的主体认证的类型为CAS认证。同时，所述第三预设配置规则中还配置有在非工作地点或非工作时间访问应用时同时对应有主体认证需求和增强认证需求，且对应的主体认证的类型为CAS认证，增强认证的类型为人脸识别认证。需要说明的是，上述只是以举例的方式对第三预设配置规则中包含的内容进行了说明。

可以理解的是，在本实现方案中，确定的认证策略包括三种，分别为：只进行主体认证、只进行增强认证、同时进行主体认证和增强认证。

由此可见，在本实现方案中，可以根据访问环境标签为访问用户匹配合适的认证策略，从而能够满足在不同的访问环境下进行主体认证、进行增强认证，以及，同时进行主体认证+增强认证的安全认证需求。

④当用户的访问信息中包括用户标签和应用标签时，此时可以根据用户标签和应用标签，确定与访问用户匹配的第四认证策略。

在本实现方案中，在根据用户标签和应用标签，确定与访问用户匹配的第四认证策略时，可以通过查询第四预设配置规则的方式确定与访问用户匹配的第四认证策略。

举例来说，所述第四预设配置规则中可以配置有各用户类别和/或用户角色，应用类别和/或应用安全等级，访问各应用时，对应的主体认证需求和/或增强认证需求，以及，在确定进行主体认证时对应的主体认证的类型和/或在确定进行增强认证时对应的增强认证的类型。例如，所述第四预设配置规则中配置有财务人员访问财务应用时只对应有主体认证需求，但没有增强认证需求，且对应的主体认证的类型为CAS认证。同时，所述第四预设配置规则中配置有事业部人员访问财务应用时同时对应有主体认证需求和增强认证需求，且对应的主体认证的类型为CAS认证，增强认证的类型为动态口令。又如，所述第四预设配置规则中配置有事业部人员访问资料查询类应用时只对应有增强认证需求，且对应的增强认证的类型为人脸识别认证。需要说明的是，上述只是以举例的方式对第四预设配置规则中包含的内容进行了说明。可以理解的是，实际上，第四预设配置规则中不仅仅包含有与财务人员访问财务应用、事业部人员访问财务应用，以及事业部人员访问资料查询类应用匹配的认证策略，其还包含了与各用户类别和/或用户角色，以及各应用类别和/或应用安全等级匹配的认证策略。例如，当事业部人员访问OA应用时对应的认证策略，当财务人员访问开发应用A1时对应的认证策略，当财务人员访问普通安全等级应用时对应的认证策略等等。

可以理解的是，在本实现方案中，确定的认证策略包括三种，分别为：只进行主体认证、只进行增强认证、同时进行主体认证和增强认证。

由此可见，在本实现方案中，可以根据用户标签和应用标签，为访问用户匹配合适的认证策略，从而能够满足不同类型的访问用户访问不同应用时需要进行主体认证、增强认证，以及，同时进行主体认证+增强认证的安全认证需求。

⑤当用户的访问信息中包括用户标签和访问环境标签时，此时可以根据用户标签和访问环境标签，确定与访问用户匹配的第五认证策略。

在本实现方案中，在根据用户标签和访问环境标签，确定与访问用户匹配的第五认证策略时，可以通过查询第五预设配置规则的方式确定与访问用户匹配的第五认证策略。

举例来说，所述第五预设配置规则中可以配置有各用户类别和/或用户角色，在各访问时间和/或访问地点进行访问时，对应的主体认证需求和/或增强认证需求，以及，对应的主体认证的类型和/或增强认证的类型。例如，所述第五预设配置规则中配置有财务人员在工作时间访问应用时只对应有主体认证需求，但没有增强认证需求，且对应的主体认证的类型为CAS认证。同时，所述第五预设配置规则中配置有财务人员在非工作时间访问应用时同时对应有主体认证需求和增强认证需求，且对应的主体认证的类型为CAS认证，增强认证的类型为动态口令。同时，所述第五预设配置规则中配置有财务人员在指定地点(如总公司上海)访问应用时只对应有增强认证需求，且对应的增强认证的类型为人脸识别认证。需要说明的是，上述只是以举例的方式对第五预设配置规则中包含的内容进行了说明。可以理解的是，实际上，第五预设配置规则中不仅仅包含有与财务人员在工作时间、财务人员在非工作时间、以及财务人员在指定地点匹配的认证策略，其包含了与各用户类别和/或用户角色，在各访问时间和/或访问地点的认证策略。例如，当财务人员在非工作地点访问应用时对应的认证策略，当事业部人员在工作时间访问应用时对应的认证策略，当事业部人员在非工作时间访问应用时对应的认证策略等等。

可以理解的是，在本实现方案中，确定的认证策略包括三种，分别为：只进行主体认证、只进行增强认证、同时进行主体认证和增强认证。

由此可见，在本实现方案中，可以根据用户标签和访问环境标签为不同类别的访问用户在不同的访问环境下匹配合适的认证策略，从而能够满足不同类别的访问用户在不同的访问环境下进行访问时需要进行主体认证、需要进行增强认证，以及，同时需要进行主体认证+增强认证的安全认证需求。

⑥当用户的访问信息包括应用标签和访问环境标签时，此时可以根据应用标签和访问环境标签，确定与访问用户匹配的第六认证策略。

在本实现方案中，在根据应用标签和访问环境标签，确定与访问用户匹配的第六认证策略时，可以通过查询第六预设配置规则的方式确定与访问用户匹配的第六认证策略。

举例来说，所述第六预设配置规则中可以配置有在各访问时间和/或访问地点，访问各应用类别和/或应用安全等级的应用时，对应的主体认证需求和/或增强认证需求，以及，对应的主体认证的类型和/或增强认证的类型。例如，所述第六预设配置规则中配置有在工作时间访问OA应用时只对应有主体认证需求，但没有增强认证需求，且对应的主体认证的类型为CAS认证。同时，所述第六预设配置规则中配置有在工作时间访问财务应用时同时对应有主体认证需求和增强认证需求，且对应的主体认证的类型为CAS认证，增强认证的类型为动态口令。同时，所述第六预设配置规则中配置有在指定地点(如总公司上海)访问OA应用时只对应有增强认证需求，且对应的增强认证的类型为人脸识别认证。需要说明的是，上述只是以举例的方式对第六预设配置规则中包含的内容进行了说明。可以理解的是，实际上，第六预设配置规则中不仅仅包含有与在工作时间访问OA应用、在工作时间访问财务应用、以及在指定地点访问OA应用的认证策略，其包含了与各应用类别和/或应用安全等级，访问时间和/或访问地点的认证策略。例如，当在非工作时间访问开发应用A1时对应的认证策略，当在工作时间访问普通安全等级应用时对应的认证策略，当在工作时间访问敏感安全等级应用时对应的认证策略等等。

可以理解的是，在本实现方案中，确定的认证策略包括三种，分别为：只进行主体认证、只进行增强认证、同时进行主体认证和增强认证。

由此可见，在本实现方案中，可以为根据应用标签和访问环境标签为访问用户匹配合适的认证策略，从而能够满足不同访问环境下访问不同应用时需要进行主体认证、需要进行增强认证，以及，同时需要进行主体认证+增强认证的安全认证需求。

⑦当用户的访问信息中包括用户标签、应用标签和访问环境标签时，此时可以根据用户标签、应用标签和访问环境标签，确定与访问用户匹配的第七认证策略。

在本实现方案中，在根据用户标签、应用标签和访问环境标签，确定与访问用户匹配的第七认证策略时，可以通过查询第七预设配置规则的方式确定与访问用户匹配的第七认证策略。

举例来说，所述第七预设配置规则中可以配置有各用户类别和/或用户角色，在各访问时间和/或访问地点，访问各应用类别和/或应用安全等级的应用时，对应的主体认证需求和/或增强认证需求，以及，对应的主体认证的类型和/或增强认证的类型。例如，所述第七预设配置规则中配置有财务人员在工作时间访问财务应用时只对应有主体认证需求，但没有增强认证需求，且对应的主体认证的类型为CAS认证。同时，所述第七预设配置规则中配置有事业部人员在非工作时间访问财务应用时同时对应有主体认证需求和增强认证需求，且对应的主体认证的类型为CAS认证，增强认证的类型为动态口令。同时，所述第七预设配置规则中配置有财务人员在指定地点(如总公司上海)访问财务应用时只对应有增强认证需求，且对应的增强认证的类型为人脸识别认证。需要说明的是，上述只是以举例的方式对第七预设配置规则中包含的内容进行了说明。可以理解的是，实际上，第七预设配置规则中不仅仅包含有与财务人员在工作时间访问财务应用、事业部人员在非工作时间访问财务应用、以及财务人员在指定地点访问财务应用匹配的认证策略，其包含了与各用户类别和/或用户角色，应用类别和/或应用安全等级，访问时间和/或访问地点匹配的认证策略。例如，当财务人员在非工作地点访问开发应用A1时对应的认证策略，当事业部人员在工作时间访问普通安全等级应用时对应的认证策略，当事业部人员在非工作时间访问敏感安全等级应用时对应的认证策略等等。

可以理解的是，在本实现方案中，确定的认证策略包括三种，分别为：只进行主体认证、只进行增强认证、同时进行主体认证和增强认证。

由此可见，在本实现方案中，可以根据用户标签、应用标签和访问环境标签为访问用户匹配合适的认证策略，从而能够满足不同访问用户，在不同访问环境下，访问不同应用时需要进行主体认证、需要进行增强认证，以及，同时需要进行主体认证+增强认证的安全认证需求。

由此可见，本实施例可以根据实际需求，依据用户标签、应用标签和访问环境标签中的一种或多种，进行访问用户主体认证和/或增强认证的确定，从而可以为不同用户，和/或，在不同的访问环境下，和/或，访问不同的应用匹配合适的认证策略，使得复杂场景下的身份认证变得简单、准确和可靠，从而可以很好地解决传统认证模型面对多身份源场景时需要做大量重复的认证策略以及还有可能存在的因为策略疏漏而导致的安全问题。

图2是本发明一实施例提供的身份认证模型的结构示意图，如图2所示，访问主体(用户)在访问客体(应用)时，认证策略基于主体属性标签、客体属性标签，以及访问环境，配置对应的认证策略。

根据图2可知，不同的用户，在不同的访问环境下，访问不同的应用时，需要对应不同的认证策略，这里的认证策略包括主体认证(也即图2中的主认证)和增强认证(也即图2中的辅助认证)中的任意一种或两种。举例来说，用户组A(主体属性标签)在非工作时间，非工作地点，访问安全等级为4(客体属性标签)的XX应用(客体属性标签)时，主认证使用CAS认证，辅助认证使用动态口令认证。

由此可见，本发明实施例提供的身份认证方法，可以应用于零信任系统，根据用户标签、应用标签和访问环境标签中的一种或多种，确定是否进行主体认证以及在确定进行主体认证时的主体认证的类型，和/或，是否进行增强认证以及在确定进行增强认证时的增强认证的类型。本发明实施例基于用户标签、应用标签和访问环境标签中的一种或多种进行访问用户主体认证和/或增强认证的确定，从而可以为不同用户在不同的访问环境下访问不同的应用匹配合适的认证策略，使得复杂场景下的身份认证变得简单、准确和可靠，从而可以很好地解决传统认证模型面对多身份源场景时需要做大量重复的认证策略以及还有可能存在的因为策略疏漏而导致的安全问题。

基于上述实施例的内容，作为一种可选实施例，用户标签包括用户属性信息，所述用户属性信息包括用户类别和/或用户角色；

和/或，

应用标签包括应用属性信息，应用属性信息包括应用类别和/或应用安全等级；

和/或，

访问环境标签包括访问环境信息，访问环境信息包括访问时间和/或访问地点。

在本实施例中，用户标签包括用户属性信息，这里的用户属性信息包括三种情况，分别为：

①用户类别。其中，用户类别可以根据用户所在的组织机构进行区分，例如，财务部的人员，事业部的人员、沈阳分公司的人员等。

②用户角色。其中，用户角色可以根据用户所起的作用进行角色定位，例如，总裁、第三方监管人员、企业流动人员、实习生、管培生等。

③用户类别+用户角色。其中，用户类别可以根据用户所在的组织机构进行区分，用户角色可以根据用户所起的作用进行角色定位，例如，沈阳分公司的实习生。可以理解的是，通过用户类别+用户角色的用户属性设置，可以更为精准地为指定用户群体配置合适的认证策略，从而实现用户身份的准确验证。例如，假设安全认证需求为：欲使沈阳分公司的实习生在访问所有应用时，同时采用主体认证和增强认证的认证方式，则可以通过用户类型+用户角色的方式为沈阳分公司的实习生配置相应的认证策略，以满足安全认证需求。

在本实施例中，需要说明的是，用户角色和用户类别不是一个概念，用户角色可以根据用户所起的作用进行定位，例如，总裁、第三方监管人员、企业流动人员、实习生、管培生等。用户角色可以为同时具备多个用户类别的用户，也可以为不属于任一用户类别的用户。例如总裁、实习生、管培生等既可以是同时属于多个部门的用户，也可以是不属于任一部门的用户。需要说明的是，对于不同的用户角色，根据需要可以为其配置合适的认证策略。

在本实施例中，应用标签包括应用属性信息，这里的应用属性信息包括三种情况，分别为：

①应用类别。其中，应用类别可以根据应用的功能进行区分，例如，财务应用，OA应用、开发应用A1、开发应用A2等。

②应用安全等级。其中，应用安全等级可以根据应用的防护要求等级进行区分，例如，普通安全等级、敏感安全等级等。

③应用类别+应用安全等级。其中，应用类别可以根据应用的功能进行区分，应用安全等级可以根据应用的防护要求等级进行区分，例如，敏感安全等级的财务应用。可以理解的是，通过应用类别+应用安全等级的应用属性设置，可以更为精准地为指定应用群体配置合适的认证策略，从而实现指定应用的准确验证。例如，假设安全认证需求为：欲使所有人员在访问敏感安全等级的财务应用时，同时采用主体认证和增强认证的认证方式，则可以通过应用类别+应用安全等级的方式为敏感安全等级的财务应用配置相应的认证策略，以满足安全认证需求。

在本实施例中，访问环境标签包括访问环境信息，这里的访问环境信息包括三种情况，分别为：

①访问时间。其中，访问时间可以根据用户访问应用的时间进行区分，例如，工作时间、非工作时间、预设指定时间段如上午9：00-12：00等。

②访问地点。其中，访问地点可以根据用户访问应用的地点进行区分，例如，工作地点、非工作地点、预设指定地点如上海等。

③访问时间+访问地点。其中，访问时间可以根据用户访问应用的时间进行区分，访问地点可以根据用户访问应用的地点进行区分，例如，所有人员在非工作时间非工作地点访问任何应用。可以理解的是，通过访问时间+访问地点的访问环境设置，可以更为精准地为指定访问环境群体配置合适的认证策略，从而实现指定访问环境的准确验证。例如，假设安全认证需求为：欲使所有人员在非工作时间非工作地点访问任何应用时，同时采用主体认证和增强认证的认证方式，则可以通过访问时间+访问地点的方式为非工作时间及非工作地点配置相应的认证策略，以满足安全认证需求。

本发明实施例提供的身份认证方法，根据用户类别和/或用户角色、应用类别和/或应用安全等级、和访问时间和/或访问地点中的一种或多种进行访问用户主体认证和/或增强认证的确定，从而可以为不同用户在不同的访问环境下访问不同的应用匹配合适的认证策略，使得复杂场景下的身份认证变得简单、准确和可靠，从而可以很好地解决传统认证模型面对多身份源场景时需要做大量重复的认证策略以及还有可能存在的因为策略疏漏而导致的安全问题。

基于上述实施例的内容，作为一种可选实施例，根据用户标签、应用标签和访问环境标签中的一种或多种，确定与访问用户匹配的认证策略，包括：

根据用户类别和/或用户角色、应用类别和/或应用安全等级，以及，访问时间和/或访问地点中的一种或多种，查询预设配置规则，确定是否进行主体认证以及在确定进行主体认证时的主体认证的类型，和/或，是否进行增强认证以及在确定进行增强认证时的增强认证的类型；

其中，预设配置规则中配置有各用户类别和/或用户角色，在各访问时间和/或访问地点，访问各应用类别和/或应用安全等级的应用时，对应的主体认证需求和/或增强认证需求，以及，对应的主体认证的类型和/或增强认证的类型。

在本实施例中，可以根据用户类别、用户角色、应用类别、应用安全等级、访问时间和访问地点中的一种或多种，查询预设配置规则，确定是否进行主体认证以及在确定进行主体认证时主体认证的类型，和/或，是否进行增强认证以及在确定进行增强认证时增强认证的类型；

其中，预设配置规则中配置有各用户类别、各用户角色，在各访问时间、各访问地点，访问各应用类别、各应用安全等级的应用时，对应的主体认证需求以及主体认证的类型，和/或，对应的增强认证需求以及增强认证的类型。

在本实施例中，由于各种组合情况比较多，故此处不再一一举例说明，下面以几个常见的场景进行举例说明。

①根据用户类别以及应用类别，查询第一预设用户/应用配置规则，确定是否进行主体认证以及在确定进行主体认证时主体认证的类型，和/或，是否进行增强认证以及在确定进行增强认证时增强认证的类型。

举例来说，财务人员访问财务应用时，查询第一预设用户/应用配置规则，若第一预设用户/应用配置规则中配置有财务人员在访问财务应用时只对应有主体认证需求，但没有增强认证需求，且对应的主体认证的类型为CAS认证，则确定财务人员访问财务应用时的认证策略为：CAS主体认证。同时，事业部人员访问财务应用时，查询第一预设用户/应用配置规则，若第一预设用户/应用配置规则中配置有事业部人员访问财务应用时，同时对应有主体认证需求和增强认证需求，且对应的主体认证的类型为CAS认证，增强认证的类型为动态口令，则确定事业部人员访问财务应用时的认证策略为：CAS主体认证+动态口令增强认证。同时，财务人员访问资料查询类应用时，若第一预设用户/应用配置规则中配置有财务人员访问资料查询类应用时只对应有增强认证需求，且对应的增强认证的类型为人脸识别认证，则确定财务人员访问资料查询类应用时的认证策略为：人脸识别增强认证。

②根据用户类别、应用类别以及应用安全等级，查询第二预设用户/应用配置规则，确定是否进行主体认证以及在确定进行主体认证时主体认证的类型，和/或，是否进行增强认证以及在确定进行增强认证时增强认证的类型。

举例来说，事业部人员访问普通安全等级的OA应用时，查询第二预设用户/应用配置规则，若第二预设用户/应用配置规则中配置有事业部人员访问普通安全等级的OA应用时只对应有主体认证需求，但没有增强认证需求，且对应的主体认证的类型为CAS认证，则确定事业部人员访问普通安全等级的OA应用时的认证策略为：CAS主体认证。同时，事业部人员访问敏感安全等级的财务应用时，查询第二预设用户/应用配置规则，若第二预设用户/应用配置规则中配置有事业部人员访问敏感安全等级的财务应用时，同时对应有主体认证需求和增强认证需求，且对应的主体认证的类型为CAS认证，增强认证的类型为动态口令，则确定事业部人员访问敏感安全等级的财务应用时的认证策略为：CAS主体认证+动态口令增强认证。同时，财务人员访问普通安全等级的资料查询类应用时，若第二预设用户/应用配置规则中配置有财务人员访问普通安全等级的资料查询类应用时只对应有增强认证需求，且对应的增强认证的类型为人脸识别认证，则确定财务人员访问普通安全等级的资料查询类应用时的认证策略为：人脸识别增强认证。

③根据用户类别、应用类别、应用安全等级，以及，访问时间，查询第一预设用户/应用/环境配置规则，确定是否进行主体认证以及在确定进行主体认证时主体认证的类型，和/或，是否进行增强认证以及在确定进行增强认证时增强认证的类型。

举例来说，事业部人员在工作时间访问普通安全等级的OA应用时，查询第一预设用户/应用/环境配置规则，若第一预设用户/应用/环境配置规则中配置有事业部人员在工作时间访问普通安全等级的OA应用时只对应有主体认证需求，但没有增强认证需求，且对应的主体认证的类型为CAS认证，则确定事业部人员在工作时间访问普通安全等级的OA应用时的认证策略为：CAS主体认证。同时，事业部人员在非工作时间访问敏感安全等级的财务应用时，查询第一预设用户/应用/环境配置规则，若第一预设用户/应用/环境配置规则中配置有事业部人员在非工作时间访问敏感安全等级的财务应用时，同时对应有主体认证需求和增强认证需求，且对应的主体认证的类型为CAS认证，增强认证的类型为动态口令，则确定事业部人员在非工作时间访问敏感安全等级的财务应用时的认证策略为：CAS主体认证+动态口令增强认证。同时，财务人员在工作时间访问普通安全等级的资料查询类应用时，若第一预设用户/应用/环境配置规则中配置有财务人员在工作时间访问普通安全等级的资料查询类应用时只对应有增强认证需求，且对应的增强认证的类型为人脸识别认证，则确定财务人员在工作时间访问普通安全等级的资料查询类应用时的认证策略为：人脸识别增强认证。

④根据用户类别、应用安全等级、访问时间以及访问地点，查询第二预设用户/应用/环境配置规则，确定是否进行主体认证以及在确定进行主体认证时主体认证的类型，和/或，是否进行增强认证以及在确定进行增强认证时增强认证的类型；

举例来说，事业部人员在工作时间工作地点访问普通安全等级的应用时，查询第二预设用户/应用/环境配置规则，若第二预设用户/应用/环境配置规则中配置有事业部人员在工作时间工作地点访问普通安全等级的应用时只对应有主体认证需求，但没有增强认证需求，且对应的主体认证的类型为CAS认证，则确定事业部人员在工作时间工作地点访问普通安全等级的应用时的认证策略为：CAS主体认证。同时，事业部人员在非工作时间非工作地点访问敏感安全等级的应用时，查询第二预设用户/应用/环境配置规则，若第二预设用户/应用/环境配置规则中配置有事业部人员在非工作时间非工作地点访问敏感安全等级的应用时，同时对应有主体认证需求和增强认证需求，且对应的主体认证的类型为CAS认证，增强认证的类型为动态口令，则确定事业部人员在非工作时间非工作地点访问敏感安全等级的应用时的认证策略为：CAS主体认证+动态口令增强认证。同时，财务人员在工作时间指定地点访问普通安全等级的应用时，若第二预设用户/应用/环境配置规则中配置有财务人员在工作时间指定地点访问普通安全等级的应用时只对应有增强认证需求，且对应的增强认证的类型为人脸识别认证，则确定财务人员在工作时间指定地点访问普通安全等级的应用时的认证策略为：人脸识别增强认证。

本发明实施例提供的身份认证方法，根据用户类别和/或用户角色、应用类别和/或应用安全等级、和访问时间和/或访问地点中的一种或多种进行访问用户主体认证和/或增强认证的确定，从而可以为不同用户在不同的访问环境下访问不同的应用匹配合适的认证策略，使得复杂场景下的身份认证变得简单、准确和可靠，从而可以很好地解决传统认证模型面对多身份源场景时需要做大量重复的认证策略以及还有可能存在的因为策略疏漏而导致的安全问题。

基于上述实施例的内容，作为一种可选实施例，在根据用户类别和/或用户角色、应用类别和/或应用安全等级，以及，访问时间和/或访问地点中的一种或多种，查询预设配置规则，确定是否进行主体认证以及在确定进行主体认证时主体认证的类型，和/或，是否进行增强认证以及在确定进行增强认证时增强认证的类型之前，还包括：

生成和/或更新所述预设配置规则的步骤，具体包括：

根据预设安全认证规范中限定的各用户类别和/或用户角色，在各访问时间和/或访问地点，访问各应用类别和/或应用安全等级的应用时，对应的主体认证需求和/或增强认证需求，以及，对应的主体认证的类型和/或增强认证的类型，生成和/或更新所述预设配置规则。

在本实施例中，在根据用户类别、用户角色、应用类别、应用安全等级、访问时间和访问地点中的一种或多种，查询预设配置规则，确定是否进行主体认证以及在确定进行主体认证时主体认证的类型，和/或，是否进行增强认证以及在确定进行增强认证时增强认证的类型之前，可以根据预设安全认证规范中限定的各用户类别和/或用户角色，在各访问时间和/或访问地点，访问各应用类别和/或应用安全等级的应用时，对应的主体认证需求和/或增强认证需求，以及，对应的主体认证的类型和/或增强认证的类型，生成和/或更新所述预设配置规则。

其中，预设安全认证规范中限定有各用户类别、各用户角色，在各访问时间、各访问地点，访问各应用类别、各应用安全等级的应用时，对应的主体认证需求以及主体认证的类型，以及，对应的增强认证需求以及增强认证的类型。

在本实施例中，由于各种组合情况比较多，故此处不再一一举例说明，下面以几个常见的场景进行举例说明。

①根据第一预设安全认证规范中限定的用户类别访问各应用类别的应用时，对应的主体认证需求以及主体认证的类型，以及，对应的增强认证需求以及增强认证的类型，生成预设配置规则、或更新预设配置规则、或生成+更新预设配置规则。

举例来说，第一预设安全认证规范中限定有财务人员访问财务应用时，只对应有主体认证需求，但没有增强认证需求，且对应的主体认证的类型为CAS认证，则可以根据第一预设安全认证规范中限定的财务人员访问财务应用时对应的认证策略生成预设配置规则；同时，第一预设安全认证规范中限定有事业部人员访问财务应用时，同时对应有主体认证需求和增强认证需求，且对应的主体认证的类型为CAS认证，增强认证的类型为动态口令，则可以根据第一预设安全认证规范中限定的事业部人员访问财务应用时对应的认证策略更新预设配置规则。

②根据第二预设安全认证规范中限定的用户类别，访问各应用类别以及应用安全等级的应用时，对应的主体认证需求以及主体认证的类型，以及，对应的增强认证需求以及增强认证的类型，生成预设配置规则、或更新预设配置规则、或生成+更新预设配置规则。

举例来说，第二预设安全认证规范中限定有事业部人员访问普通安全等级的OA应用时，只对应有主体认证需求，但没有增强认证需求，且对应的主体认证的类型为CAS认证，则可以根据第二预设安全认证规范中限定的事业部人员访问普通安全等级的OA应用时对应的认证策略生成预设配置规则；同时，第二预设安全认证规范中限定有事业部人员访问敏感安全等级的财务应用时，同时对应有主体认证需求和增强认证需求，且对应的主体认证的类型为CAS认证，增强认证的类型为动态口令，则可以根据第二预设安全认证规范中限定的事业部人员访问敏感安全等级的财务应用时对应的认证策略更新预设配置规则。

③根据第三预设安全认证规范中限定的用户类别，在访问时间访问各应用类别、应用安全等级的应用时，对应的主体认证需求以及主体认证的类型，以及，对应的增强认证需求以及增强认证的类型，生成预设配置规则、或更新预设配置规则、或生成+更新预设配置规则。

举例来说，第三预设安全认证规范中限定有事业部人员在工作时间访问普通安全等级的OA应用时，只对应有主体认证需求，但没有增强认证需求，且对应的主体认证的类型为CAS认证，则可以根据第三预设安全认证规范中限定的事业部人员在工作时间访问普通安全等级的OA应用时对应的认证策略生成预设配置规则；同时，第二预设安全认证规范中限定有事业部人员在非工作时间访问敏感安全等级的财务应用时，对应有主体认证需求和增强认证需求，且对应的主体认证的类型为CAS认证，增强认证的类型为动态口令，则可以根据第三预设安全认证规范中限定的事业部人员在非工作时间访问敏感安全等级的财务应用时对应的认证策略更新预设配置规则。

④根据第四预设安全认证规范中限定的用户类别、在访问时间以及访问地点，访问各应用安全等级的应用时，对应的主体认证需求以及主体认证的类型，以及，对应的增强认证需求以及增强认证的类型，生成预设配置规则、或更新预设配置规则、或生成+更新预设配置规则。

举例来说，第四预设安全认证规范中限定有事业部人员在工作时间工作地点访问普通安全等级的应用时，只对应有主体认证需求，但没有增强认证需求，且对应的主体认证的类型为CAS认证，则可以根据第四预设安全认证规范中限定的事业部人员在工作时间工作地点访问普通安全等级的应用时对应的认证策略生成预设配置规则；第四预设安全认证规范中限定有事业部人员在非工作时间非工作地点访问敏感安全等级的应用时，同时对应有主体认证需求和增强认证需求，且对应的主体认证的类型为CAS认证，增强认证的类型为动态口令，则可以根据第四预设安全认证规范中限定的事业部人员在非工作时间非工作地点访问敏感安全等级的应用时对应的认证策略更新预设配置规则。

本发明实施例提供的身份认证方法，根据预设安全认证规范，生成和/或更新预设配置规则，从而可以准确为不同用户在不同的访问环境下访问不同的应用匹配合适的认证策略，使得复杂场景下的身份认证变得简单、准确和可靠，从而可以很好地解决传统认证模型面对多身份源场景时需要做大量重复的认证策略以及还有可能存在的因为策略疏漏而导致的安全问题。

基于上述实施例的内容，作为一种可选实施例，主体认证的类型包括：中央认证服务CAS、轻量目录访问协议LDAP、身份认证授权协议OIDC和授权开放网络协议OAuth中的一种或多种；

和/或，

增强认证的类型包括：短信验证、动态口令、人脸识别、虹膜识别、指纹识别和声纹认证中的一种或多种。

在本实施例中，需要说明的是，中央认证服务(Central AuthenticationService，CAS认证)是为应用提供可信身份认证的单点登录系统，具有很好的兼容性与安全性，可以广泛应用于各大高校等大型组织，能很好地完成大量系统的对接与大量人员的使用。轻量目录访问协议(Lightweight Directory Access Protocol，LDAP认证)主要是改变原有的认证策略，使得需要的软件应用都通过LDAP服务器进行认证，在统一身份认证后，用户的所有信息都存储在服务器中，终端用户在需要使用公司内部应用的时候，都需要通过服务器进行认证，因此，LDAP认证适用于企业用户使用，通过LDAP认证，能较好地管理员工在公司各系统之间的授权与访问。身份认证授权协议(Open ID Connect，OIDC认证)使用OAuth的授权服务器来为第三方客户端提供用户的身份认证，并把对应的身份认证信息传递给客户端，且可以适用于各种类型的客户端(比如服务端应用，移动APP，JS应用)。授权开放网络协议(Open Authorization，OAuth认证)允许用户让第三方网站访问该用户在某一网站上存储的信息和资源，如账户信息，照片，联系人等，而不需要给第三方网站提供某一网站上的账户和密码，因此能广泛应用于互联网中，基于大企业的巨大用户量，能减少小网站的注册推广成本，并且能做到更加便捷的资源共享。

在本实施例中，认证策略包括三种可选择方案：

①认证策略为主体认证，主体认证的类型包括：CAS认证、LDAP认证、OIDC认证和OAuth认证中的一种或多种。例如，主体认证类型可以只选择CAS认证一种，也可以选择CAS认证+OAuth认证组合的方式。

②认证策略为增强认证，增强认证的类型包括：短信验证、动态口令、人脸识别、虹膜识别、指纹识别和声纹认证中的一种或多种。例如，增强认证可以只选择短信验证一种，也可以选择短信验证+人脸识别组合的方式。

③认证策略为主体认证+增强认证，图3是本发明一实施例提供的访问CAS身份源应用根据不同的应用标签使用不同的认证策略示意图，如图3所示，财务应用和OA应用使用CAS认证登录，其中财务应用为敏感应用，因此访问时，需要进行主体认证+增强认证，主体认证方式为CAS认证，增强认证方式为短信认证，而OA应用只需进行主体认证(CAS认证)。图4是本发明一实施例提供的访问LDAP身份源应用根据不同的应用标签使用不同的认证策略示意图，如图4所示，运维应用B1和运维应用B2，使用LDAP认证登录，其中运维应用B2为敏感应用，访问时，需要进行主体认证+增强认证，主体认证方式为LDAP认证，增强认证方式为动态口令，而运维应用B1只需进行主体认证(LDAP认证)。

本发明实施例提供的身份认证方法，根据用户标签、应用标签和访问环境标签中的一种或多种，确定是否进行主体认证以及在确定进行主体认证时的主体认证的类型，和/或，是否进行增强认证以及在确定进行增强认证时的增强认证的类型，从而可以为不同用户在不同的访问环境下访问不同的应用匹配合适的认证策略。由此可见，本发明实施例能够提供一种统一的身份认证方式，使得复杂场景下的身份认证变得简单、准确和可靠，从而可以很好地解决传统认证模型面对多身份源场景时需要做大量重复的认证策略以及还有可能存在的因为策略疏漏而导致的安全问题。

基于上述实施例的内容，作为一种可选实施例，应用安全等级包括普通安全等级和/或敏感安全等级。

在本实施例中，由于不同应用所具有的信息保护能力要求不同，对于敏感应用如财务应用，需要较高的安全等级，例如敏感安全等级。而对于普通应用如OA应用，普通安全等级即可满足访问需求。因此，本实施例可以根据不同应用的信息保护能力要求，进行应用安全等级的划分，并根据划分后的安全等级确定对应的认证策略。

在本实施例中，需要说明的是，普通安全等级还可以进一步细分等级，例如普通安全等级I级，普通安全等级II级，普通安全等级III级等。同理，敏感安全等级也可以进一步细分等级，例如敏感I级，敏感II级，敏感III级等。

对于不同的安全等级，对应的认证策略不同，例如，对于普通安全等级，可能只需要主体认证，而对于敏感安全等级，在进行主体认证之外，还需要进一步进行增强认证。此外，在某些需求下，对于普通安全等级中较高的等级(如普通安全等级III级)，为了保证认证的安全性，可以采用主体认证+简易增强认证的方式，其中简易增强认证可以包括短信认证或口令认证。而对于某些敏感安全等级中较高的等级(如敏感III级)，为了进一步保证认证的安全性，需要采用主体认证+多重复杂增强认证的方式，其中，多重复杂增强认证的方式可以包括人脸识别认证、指纹识别认证以及声纹识别认证，也即对于某些敏感安全等级中较高的等级，同时需要通过上述多重复杂增强认证方式认证才可认证成功。

本发明实施例提供的身份认证方法，通过将不同应用进行安全等级分类，从而可以为不同安全等级的应用匹配合适的认证策略，使得复杂场景下的身份认证变得简单、准确和可靠，从而可以很好地解决传统认证模型面对多身份源场景时需要做大量重复的认证策略以及还有可能存在的因为策略疏漏而导致的安全问题。

图5是本发明第二个实施例提供的身份认证装置的结构示意图，该身份认证装置可应用于零信任系统，如图5所示，本发明第二个实施例提供的身份认证装置，包括：

获取单元510，用于确定访问用户的用户标签、访问应用的应用标签和所述访问用户所处环境的访问环境标签中的一种或多种；

匹配单元520，用于根据用户标签、应用标签和访问环境标签中的一种或多种，确定与访问用户匹配的认证策略；其中，认证策略包括是否进行主体认证以及在确定进行主体认证时的主体认证的类型，和/或，是否进行增强认证以及在确定进行增强认证时的增强认证的类型。

其中，用户标签包括用户属性信息，所述用户属性信息包括用户类别和/或用户角色；和/或，所述应用标签包括应用属性信息，所述应用属性信息包括应用类别和/或应用安全等级；和/或，所述访问环境标签包括访问环境信息，所述访问环境信息包括访问时间和/或访问地点。

其中，匹配单元520，具体用于：

根据用户类别和/或用户角色、应用类别和/或应用安全等级，以及，访问时间和/或访问地点中的一种或多种，查询预设配置规则，确定是否进行主体认证以及在确定进行主体认证时的主体认证的类型，和/或，是否进行增强认证以及在确定进行增强认证时的增强认证的类型；

其中，所述预设配置规则中配置有各用户类别和/或用户角色，在各访问时间和/或访问地点，访问各应用类别和/或应用安全等级的应用时，对应的主体认证需求和/或增强认证需求，和/或，对应的主体认证的类型和/或增强认证的类型。

在匹配单元520执行上述步骤之前，还包括设置单元，用于生成和/或更新所述预设配置规则，具体包括：

根据预设安全认证规范中限定的各用户类别和/或用户角色，在各访问时间和/或访问地点，访问各应用类别和/或应用安全等级的应用时，对应的主体认证需求和/或增强认证需求，以及，对应的主体认证的类型和/或增强认证的类型，生成和/或更新所述预设配置规则。

此外，所述主体认证的类型包括：中央认证服务CAS、轻量目录访问协议LDAP、身份认证授权协议OIDC和授权开放网络协议OAuth中的一种或多种；和/或，所述增强认证的类型包括：短信验证、动态口令、人脸识别、虹膜识别、指纹识别和声纹认证中的一种或多种。所述应用安全等级包括普通安全等级和/或敏感安全等级。

本实施例所述的身份认证装置可以用于执行上述第一个实施例所述的身份认证方法，其原理和技术效果类似，此处不再详述。

图6是本发明第三个实施例提供的电子设备的结构示意图，如图6所示，该电子设备可以包括：处理器(processor)610、通信接口(CommunicationsInterface)620、存储器(memory)630和通信总线640，其中，处理器610，通信接口620，存储器630通过通信总线640完成相互间的通信。处理器610可以调用存储器630中的逻辑指令，以执行身份认证方法，该方法包括：确定访问用户的用户标签、访问应用的应用标签和所述访问用户所处环境的访问环境标签中的一种或多种；根据用户标签、应用标签和访问环境标签中的一种或多种，确定与访问用户匹配的认证策略；其中，认证策略包括是否进行主体认证以及在确定进行主体认证时的主体认证的类型，和/或，是否进行增强认证以及在确定进行增强认证时的增强认证的类型。

此外，上述的存储器630中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-OnlyMemory)、随机存取存储器(RAM，RandomAccessMemory)、磁碟或者光盘等各种可以存储程序代码的介质。

另一方面，本发明实施例还提供一种计算机程序产品，所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序，所述计算机程序包括程序指令，当所述程序指令被计算机执行时，计算机能够执行上述各方法实施例所提供的身份认证方法，该方法包括：确定访问用户的用户标签、访问应用的应用标签和所述访问用户所处环境的访问环境标签中的一种或多种；根据用户标签、应用标签和访问环境标签中的一种或多种，确定与访问用户匹配的认证策略；其中，认证策略包括是否进行主体认证以及在确定进行主体认证时的主体认证的类型，和/或，是否进行增强认证以及在确定进行增强认证时的增强认证的类型。

又一方面，本发明实施例还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现以执行上述各实施例提供的身份认证方法，该方法包括：确定访问用户的用户标签、访问应用的应用标签和所述访问用户所处环境的访问环境标签中的一种或多种；根据用户标签、应用标签和访问环境标签中的一种或多种，确定与访问用户匹配的认证策略；其中，认证策略包括是否进行主体认证以及在确定进行主体认证时的主体认证的类型，和/或，是否进行增强认证以及在确定进行增强认证时的增强认证的类型。

以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下，即可以理解并实施。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件。基于这样的理解，上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如ROM/RAM、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。

最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。