一种基于虚拟身份的认证鉴权方法、装置以及处理系统
文献发布时间:2024-04-18 20:02:18
技术领域
本申请涉及网络安全领域,具体涉及一种基于虚拟身份的认证鉴权方法、装置以及处理系统。
背景技术
在公司内部,或者说在公司的网络架构中,为了保障网络访问的可行度,通常会配置认证系统,每一个用户在访问网络的时候,都需要对其用户身份进行确认,通过确认后的用户才可可以获得网络的访问权限。
通常确认方式包含有源认证方式(web版用户名密码认证、短信认证、AD认证等)以及无源认证方式(互联Oauth认证、微信认证、企业微信认证等)。
这对于访问网络的用户的确认方式已经足够丰富,但本申请发明人发现,从安全的角度看,不管有源认证方式还是无源认证方式都还是存在一定程度的安全风险,如果一旦认证信息泄露,那么任何一个攻击者都可以模拟用户身份获取相应网络访问权限,进行其网络攻击。
发明内容
本申请提供了一种基于虚拟身份的认证鉴权方法、装置以及处理系统,用于在虚拟身份验证的基础上,引入多层级的访问控制,可以有效提高攻击者进行身份仿冒的代价,从而可以提高认证鉴权效果,降低安全风险,提高网络安全。
第一方面,本申请提供了一种基于虚拟身份的认证鉴权方法,方法包括:
确定当前用户登录的目标虚拟身份,其中,目标虚拟身份包含在不同用户预设的虚拟身份登录范围中;
从系统上预先配置的不同类型的虚拟身份所对应的不同访问控制策略中,确定目标虚拟身份匹配的目标访问控制策略;
基于目标访问控制策略,对当前用户进行访问控制。
结合本申请第一方面,在本申请第一方面第一种可能的实现方式中,确定当前用户登录的目标虚拟身份,包括:
向当前用户展示虚拟身份登录页面,其中,虚拟身份登录页面展示有不同虚拟身份登录方式;
在通过当前用户通过目标虚拟身份登录方式发起的登录请求后,由网关设备从当前用户的终端设备或者从当前用户的终端设备所涉及的网络流量中,采集登录请求对应的目标虚拟身份。
结合本申请第一方面,在本申请第一方面第二种可能的实现方式中,确定当前用户登录的目标虚拟身份,包括:
由网关设备从当前用户的终端设备或者从当前用户的终端设备所涉及的网络流量中,采集对应的目标虚拟身份。
结合本申请第一方面第二种可能的实现方式,在本申请第一方面第三种可能的实现方式中,由网关设备从当前用户的终端设备或者从当前用户的终端设备所涉及的网络流量中,采集对应的目标虚拟身份,包括:
由网关设备从当前用户的终端设备或者从当前用户的终端设备所涉及的网络流量中,持续采集对应的目标虚拟身份。
结合本申请第一方面,在本申请第一方面第四种可能的实现方式中,虚拟身份登录范围包括邮箱类、社交通讯类和web类login,其中,有:
邮箱类虚拟身份对应第一等级的访问控制策略,开放产品服务器和互联网的访问权限;
社交通讯类虚拟身份对应第二等级的访问控制策略,开放文档服务器、产品服务器和互联网的访问权限;
web类login虚拟身份对应第三等级的访问控制策略,开放生产服务器、文档服务器、产品服务器和互联网的访问权限。
结合本申请第一方面第四种可能的实现方式,在本申请第一方面第五种可能的实现方式中,方法还包括:
校验当前用户登录的、在公司网络架构内配置的用户账号后,向当前用户开放互联网的访问权限。
结合本申请第一方面第四种可能的实现方式,在本申请第一方面第六种可能的实现方式中,方法还包括:
监测当前用户登录的最高等级的虚拟身份的最新登录时间点与当前时间点之间的时长跨度是否超过预设时长跨度;
若是,则将最高等级的虚拟身份的访问权限降低访问权限。
第二方面,本申请提供了一种基于虚拟身份的认证鉴权装置,装置包括:
确定单元,用于确定当前用户登录的目标虚拟身份,其中,目标虚拟身份包含在不同用户预设的虚拟身份登录范围中;
匹配单元,用于从系统上预先配置的不同类型的虚拟身份所对应的不同访问控制策略中,确定目标虚拟身份匹配的目标访问控制策略;
访问控制单元,用于基于目标访问控制策略,对当前用户进行访问控制。
结合本申请第二方面,在本申请第二方面第一种可能的实现方式中,确定单元,具体用于:
向当前用户展示虚拟身份登录页面,其中,虚拟身份登录页面展示有不同虚拟身份登录方式;
在通过当前用户通过目标虚拟身份登录方式发起的登录请求后,由网关设备从当前用户的终端设备或者从当前用户的终端设备所涉及的网络流量中,采集登录请求对应的目标虚拟身份。
结合本申请第二方面,在本申请第二方面第二种可能的实现方式中,确定单元,具体用于:
由网关设备从当前用户的终端设备或者从当前用户的终端设备所涉及的网络流量中,采集对应的目标虚拟身份。
结合本申请第二方面第二种可能的实现方式,在本申请第二方面第三种可能的实现方式中,确定单元,具体用于:
由网关设备从当前用户的终端设备或者从当前用户的终端设备所涉及的网络流量中,持续采集对应的目标虚拟身份。
结合本申请第二方面,在本申请第二方面第四种可能的实现方式中,虚拟身份登录范围包括邮箱类、社交通讯类和web类login,其中,有:
邮箱类虚拟身份对应第一等级的访问控制策略,开放产品服务器和互联网的访问权限;
社交通讯类虚拟身份对应第二等级的访问控制策略,开放文档服务器、产品服务器和互联网的访问权限;
web类login虚拟身份对应第三等级的访问控制策略,开放生产服务器、文档服务器、产品服务器和互联网的访问权限。
结合本申请第二方面第四种可能的实现方式,在本申请第二方面第五种可能的实现方式中,访问控制单元,还用于:
校验当前用户登录的、在公司网络架构内配置的用户账号后,向当前用户开放互联网的访问权限。
结合本申请第二方面第四种可能的实现方式,在本申请第二方面第六种可能的实现方式中,访问控制单元,还用于:
监测当前用户登录的最高等级的虚拟身份的最新登录时间点与当前时间点之间的时长跨度是否超过预设时长跨度;
若是,则将最高等级的虚拟身份的访问权限降低访问权限。
第三方面,本申请提供了一种处理系统,包括处理器和存储器,存储器中存储有计算机程序,处理器调用存储器中的计算机程序时执行本申请第一方面或者本申请第一方面任一种可能的实现方式提供的方法。
第四方面,本申请提供了一种计算机可读存储介质,计算机可读存储介质存储有多条指令,指令适于处理器进行加载,以执行本申请第一方面或者本申请第一方面任一种可能的实现方式提供的方法。
从以上内容可得出,本申请具有以下的有益效果:
针对于基于用户身份的访问控制,本申请在应用虚拟身份验证的基础上,对于不同虚拟身份配置有对应的不同访问控制策略,以此即使当前用户的某一个虚拟身份的认证信息被盗取,也只能得到有限的访问范围,而不是如现有技术中直接开放所有的访问范围,如此通过该多层级的访问控制,可以有效提高攻击者进行身份仿冒的代价,从而可以提高认证鉴权效果,降低安全风险,提高网络安全。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请基于虚拟身份的认证鉴权方法的一种流程示意图;
图2为本申请认证鉴权处理的一种信令流程图;
图3为本申请认证鉴权处理架构的一种架构示意图;
图4为本申请基于虚拟身份的认证鉴权装置的一种结构示意图;
图5为本申请处理系统的一种结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或模块的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或模块,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或模块。在本申请中出现的对步骤进行的命名或者编号,并不意味着必须按照命名或者编号所指示的时间/逻辑先后顺序执行方法流程中的步骤,已经命名或者编号的流程步骤可以根据要实现的技术目的变更执行次序,只要能达到相同或者相类似的技术效果即可。
本申请中所出现的模块的划分,是一种逻辑上的划分,实际应用中实现时可以有另外的划分方式,例如多个模块可以结合成或集成在另一个系统中,或一些特征可以忽略,或不执行,另外,所显示的或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,模块之间的间接耦合或通信连接可以是电性或其他类似的形式,本申请中均不作限定。并且,作为分离部件说明的模块或子模块可以是也可以不是物理上的分离,可以是也可以不是物理模块,或者可以分布到多个电路模块中,可以根据实际的需要选择其中的部分或全部模块来实现本申请方案的目的。
在介绍本申请提供的基于虚拟身份的认证鉴权方法之前,首先介绍本申请所涉及的背景内容。
本申请提供的基于虚拟身份的认证鉴权方法、装置以及计算机可读存储介质,可应用于处理系统,用于在虚拟身份验证的基础上,引入多层级的访问控制,可以有效提高攻击者进行身份仿冒的代价,从而可以提高认证鉴权效果,降低安全风险,提高网络安全。
本申请提及的基于虚拟身份的认证鉴权方法,其执行主体可以为基于虚拟身份的认证鉴权装置,或者集成了该基于虚拟身份的认证鉴权装置的处理系统。其中,基于虚拟身份的认证鉴权装置可以采用硬件或者软件的方式实现,处理系统可以是单独的设备,也可以是设备集群,可以涉及到服务器、物理主机、网络节点设备等不同类型的处理设备。
作为一个实例,执行本申请所提供的基于虚拟身份的认证鉴权方法的处理系统,具体可以为公司内部、公司网络架构中专门负责认证鉴权这一功能服务的网络节点,典型的如认证网关设备,如此对于公司内部的用户访问行为,可以进行直接有效的访问控制。
下面,开始介绍本申请提供的基于虚拟身份的认证鉴权方法。
首先,参阅图1,图1示出了本申请基于虚拟身份的认证鉴权方法的一种流程示意图,本申请提供的基于虚拟身份的认证鉴权方法,具体可包括如下步骤S101至步骤S103:
步骤S101,确定当前用户登录的目标虚拟身份,其中,目标虚拟身份包含在不同用户预设的虚拟身份登录范围中;
可以理解的是,本申请所处的应用场景或者说网络架构中,应用有基于用户身份的访问控制,具体来说,是针对用户的虚拟身份来展开访问控制。
对此,用户在进行相关的网络访问行为时,则需要登录其虚拟身份,以供访问控制的数据处理所需。
其中,需要说明的是,所谓的虚拟身份,并不是传统的公司内部使用的用户基础信息,用户基础信息如个人姓名、手机号、工号或者公司OA系统账号等,这些信息在公司内部通常存在开放性质并且是传统认证使用的用户身份信息,而在该情况下,虚拟身份指的是用户在网络环境中使用的替代身份,若是不告知虚拟身份背后的用户的真实信息,是难以或者说无法与用户的真实身份关联上的。
如此,虚拟身份通常是处于公司内部网络架构以外的网络环境中配置的,典型的社交平台上使用的虚拟身份。
因此,本申请所涉及的虚拟身份,也可以用在公司内部网络环境以外的外部网络环境中配置的替代身份来理解。虚拟身份的更改通常是用户的个人行为(可能有公司代替用户进行更新特殊的情况,该情况往往是告知了用户或者用户允许的),但是,虚拟身份的更改需要在公司内部网络环境以外的外部网络环境中进行,因为外部网络环境已经不是可公司可以自主进行操作的公司内部网络了,也如此,在预先记录(供后续验证使用,以确定是否属于用户的虚拟身份)的情况下,虚拟身份对于公司内部人员(用户),具有高可信度的特点,可以认定为虚拟身份与用户个人之间具有唯一的绑定关系,可供本申请所聚焦的访问控制使用。
对于用户预先记录的、供后续匹配真实用户的不同虚拟身份,还可以通过名片夹等形式的文件进行存储,如此可以形成立体的网络用户身份展示效果,此外,对于存储的虚拟身份,还可以进行加密处理,以保障数据安全性。
步骤S102,从系统上预先配置的不同类型的虚拟身份所对应的不同访问控制策略中,确定目标虚拟身份匹配的目标访问控制策略;
容易看出,本申请对虚拟身份进行了归类处理,并对每一类的虚拟身份预先确定了访问权限,并以访问控制策略的形式配置,其中,对于每一类的虚拟身份,通常涉及多个的虚拟身份,当然,也不排除只有一个虚拟身份的情况。
如此,在确定了当前用户登录的目标虚拟身份后,则可以确定其所属的类型,并从预先配置的访问控制策略中,确定与其类型匹配的目标访问控制策略。
其中,对于当前用户登录的目标虚拟身份的类型的确定处理,既可以通过目标虚拟身份在名称或者在身份信息中的相关类型标识来实现,也可以实时进行归类处理,具体采取何种确定方式是比较灵活的,本申请并不做具体限制。
步骤S103,基于目标访问控制策略,对当前用户进行访问控制。
可以理解的是,对于本申请针对不同类型的虚拟身份配置的不同访问控制策略,其对应了不同的访问权限、不同的访问范围,同一个真实用户,登录的虚拟身份不同的话,则可以形成加载不同访问控制策略的情况,由此,形成多层级的、灵活的访问控制,即使某一个虚拟身份的认证信息(包括用户账号密码等用户信息)被盗取,很显然,也只能获得对应虚拟身份类型的访问权限,而不能一下子获得同一用户的所有访问权限,而对于真实用户而言,则需要登录更多类型的虚拟身份,才可以获得更多的访问权限,这就意味着只有真实用户才可能全部触发成功其存在的全部虚拟身份。
对于访问控制的具体执行,则可以交由网络架构中的网关设备等设备进行差异化地访问控制。
在该情况下,对比传统在有源认证方式或无源认证方式的基础上设置为单次或两次的认证方式,则可以更加有效地确认终端身份(用户登录的设备或者说用户侧设备通常为终端设备),从而保障对应身份网络访问权限的安全赋予,真正实现了身份可信度越高,对应身份获取的网络权限越高的目标,可以大大增加攻击者的攻击代价,有效保障网络安全。
从图1所示实施例可看出,针对于基于用户身份的访问控制,本申请在应用虚拟身份验证的基础上,对于不同虚拟身份配置有对应的不同访问控制策略,以此即使当前用户的某一个虚拟身份的认证信息被盗取,也只能得到有限的访问范围,而不是如现有技术中直接开放所有的访问范围,如此通过该多层级的访问控制,可以有效提高攻击者进行身份仿冒的代价,从而可以提高认证鉴权效果,降低安全风险,提高网络安全。
继续对上述图1所示实施例的各个步骤及其在实际应用中可能的实现方式进行详细阐述。
对于如何获取当前用户登录的目标虚拟身份,本申请结合实际应用,也给出了以下两种具体实现方案。
作为一种示例性的实施例,步骤S10确定当前用户登录的目标虚拟身份的过程中,具体可以包括:
向当前用户展示虚拟身份登录页面,其中,虚拟身份登录页面展示有不同虚拟身份登录方式;
在通过当前用户通过目标虚拟身份登录方式发起的登录请求后,由网关设备从当前用户的终端设备或者从当前用户的终端设备所涉及的网络流量中,采集登录请求对应的目标虚拟身份。
可以理解,在传统涉及到身份验证或者用户登录的情况下,会向用户展示相应的登录页面,对此,本申请也可以通过这类方式,通过应用程序(Application,APP)或者web服务等用户访问渠道,向当前用户展示相应的虚拟身份登录页面,其中,对应于本申请涉及到不同类型的虚拟身份,页面中会展示有不同的虚拟身份登录方式,用来提示当前用户可以选择相应的虚拟身份进行登录操作。
如此,在当前用户选定了所要登录的虚拟身份并触发对应的登录请求后,则在通过登录验证后,可以在用户侧终端中(通过终端插件实现或者由终端主动上报)或者网络架构中传输的网络流量中采集到对应的目标虚拟身份。
作为又一种示例性的实现方式,本申请还引入了用户无感知的虚拟身份采集机制,对应的,步骤S101确定当前用户登录的目标虚拟身份的过程中,具体可以包括:
由网关设备从当前用户的终端设备或者从当前用户的终端设备所涉及的网络流量中,采集对应的目标虚拟身份。
可以理解,相较于上面的虚拟身份采集方式,此处设置中并不需要涉及到由登录页面来触发,从而可以在用户登录环节或者用户正常访问过程中,都能随实际需求灵活进行虚拟身份的采集,这对于用户而言,显然,避免了额外的用户操作,可以保持原来的网络使用习惯,可以提高用户使用体验;对于终端而言,相较于展示登录页面的设置,可以认为没有任何的其他附属开销;对于系统而言,则可以在默认存在虚拟身份采集功能的情况下,在后台进行无感知的虚拟身份采集工作,如此兼顾用户使用体验和功能服务效果,同时也可以实现对于攻击者而言更加黑盒化(更难以着手信息的盗取)的效果,加强其攻击代价。
此外,从此处所涉及的虚拟身份采集机制中还可以看出来的是,本申请所进行的虚拟身份采集处理,并不一定只局限在一个时间点,具体来说,还可以具有持续性的特点,即,可以持续采集用户处于登录状态的虚拟身份,如此,持续地、动态地进行认证鉴权,更具灵活性和安全性。
对应的,作为又一种示例性的实施例,前面实施例中由网关设备从当前用户的终端设备或者从当前用户的终端设备所涉及的网络流量中,采集对应的目标虚拟身份,具体可以包括:
由网关设备从当前用户的终端设备或者从当前用户的终端设备所涉及的网络流量中,持续采集对应的目标虚拟身份。
进一步的,对于本申请所涉及的不同类型的虚拟身份,或者说,虚拟身份登录范围,本申请也给出了具体的配套方案。
具体的,作为又一种示例性的实施例,本申请虚拟身份登录范围可以包括邮箱类、社交通讯类和web类login,其中,有:
1)邮箱类虚拟身份对应第一等级的访问控制策略,开放产品服务器和互联网的访问权限;
2)社交通讯类虚拟身份对应第二等级的访问控制策略,开放文档服务器、产品服务器和互联网的访问权限;
3)web类login(web类)虚拟身份对应第三等级的访问控制策略,开放生产服务器、文档服务器、产品服务器和互联网的访问权限。
从上面不同等级的访问控制策略设置中可以看出,本申请将基于虚拟身份的访问控制分为了具体3个层次,最底层的邮箱类虚拟身份在获得互联网访问权限的基础上,多了产品服务器的访问权限,中层的社交通讯类虚拟身份多了产品服务器的访问权限,高层的web类login虚拟身份继续多了生成服务器的访问权限,
以“张三”用户为例,其邮箱类虚拟身份可以涉及到不同的邮箱,如zhangsan@abc.com、zhangsan@163.com、zhangsan@126.com等,其社交通讯类虚拟身份可以涉及到不同的社交通讯平台,如QQ、微博、微信、钉钉等平台的用户账号,其web类login虚拟身份可以涉及不同的web登录服务,如手机号、邮箱等。
当“张三”用户使用pad登录邮箱zhangsan@abc.com处理工作之后,可以访问到产品服务器;当“张三”用户使用pad登录QQ或者微信之后,可以访问文档服务器;当“张三”用户使用pad登录公司web OA系统之后,可以访问生产服务器。
此外,也可以看出的是,高级类别的虚拟用户所能获得的访问权限,还可以直接覆盖低级类别的虚拟用户所能获得的访问权限。
此外,应当理解的是,本申请所处的场景用户可以通过公司网络,或者说在公司的网络架构的范围内,登录其个人的虚拟身份,以此通过基于虚拟身份的访问控制机制来增加机器感知中用户的可信度,并以此调节用户的访问权限,该处理机制还可以与原有的/传统的认证机制相结合,例如若是通过传统的认证(登录在公司网络架构内配置的用户账号并通过校验)后,则可以开放基础的网络访问权限,而不会涉及如上面需要更高用户可信度才可访问的相关服务器。
对此,作为又一种示例性的实施例,本申请方法还可以包括:
校验当前用户登录的、在公司网络架构内配置的用户账号后,向当前用户开放互联网的访问权限。
可以理解,对于传统的认证处理(使用的均是域账号和密码,泄露的风险较高),本申请只赋予了基于的网络访问权限(互联网的访问权限),而未赋予软件开发/维护工作可涉及的服务器的访问权限,由此可以在软件开发/维护应用场景下,通过引入的基于虚拟用户的认证鉴权处理,实现灵活且高效的认证鉴权效果,保障网络安全。
对于以上的方案内容,还可以图2示出的本申请认证鉴权处理的一种信令流程图和图3示出的本申请认证鉴权处理架构的一种架构示意图来进行更为形象的理解。
其中,从图3还可以看出的是,本申请方案可以交由网关设备来执行,并且,还可以配置有容灾双活机制,正常由主网关设备来进行工作,当主网关设备出现故障或者异常时,切换至副网关设备来继续进行工作,以提高业务连续性。
此外,针对于上述多层级的访问权限控制机制,本申请还可以考虑引入时间衰退机制,具体的,作为又一种示例性的实施例,本申请方法还可以包括:
监测当前用户登录的最高等级的虚拟身份的最新登录时间点与当前时间点之间的时长跨度是否超过预设时长跨度;
若是,则将最高等级的虚拟身份的访问权限降低访问权限。
可以理解,此处预设时长跨度的具体跨度,是可以灵活设置的,例如8小时、12小时、24小时等,降低访问权限的设置中,既可以是直接取消访问任何服务器的访问权限,也可以是降低至下一等级的虚拟身份的访问权限,从而,可以等待当前用户重新登录相应等级或者最高等级的虚拟身份来恢复对应的访问权限。
此外,在监控时长跨度的基础上,本申请还可以继续引入隔天降低访问权限的设置,以此继续增强基于时间衰退机制的访问权限调节效果,其中,在应用隔天降低访问权限的设置时,还可以检测最高等级的虚拟身份的最新登录时间点与当前时间点之间的时长跨度是否处于忽略时长跨度范围内,若处于,则可以在认定为刚登陆不久的情况下无需执行隔天降低访问权限的操作,例如,若是晚上11点多进行登录,则在不到1小时时长跨度的情况下就会到达晚上12点,该情况就可以不用对访问权限进行降级。
对对于此处实施例,显然,可以有助于动态地对用户通过登录的虚拟身份的访问权限进行约束,以强制性地促使用户重新登录获取对应的访问权限,而不是已经一经登录就可以持续获得相应虚拟身份的访问权限,此举也可以继续提高攻击者的攻击代价,进一步提高本申请所涉及认证鉴权处理的安全性。
以上是本申请提供的基于虚拟身份的认证鉴权方法的介绍,为便于更好的实施本申请提供的基于虚拟身份的认证鉴权方法,本申请还从功能模块角度提供了一种基于虚拟身份的认证鉴权装置。
参阅图4,图4为本申请基于虚拟身份的认证鉴权装置的一种结构示意图,在本申请中,基于虚拟身份的认证鉴权装置400具体可包括如下结构:
确定单元401,用于确定当前用户登录的目标虚拟身份,其中,目标虚拟身份包含在不同用户预设的虚拟身份登录范围中;
匹配单元402,用于从系统上预先配置的不同类型的虚拟身份所对应的不同访问控制策略中,确定目标虚拟身份匹配的目标访问控制策略;
访问控制单元403,用于基于目标访问控制策略,对当前用户进行访问控制。
在一种示例性的实施例中,确定单元401,具体用于:
向当前用户展示虚拟身份登录页面,其中,虚拟身份登录页面展示有不同虚拟身份登录方式;
在通过当前用户通过目标虚拟身份登录方式发起的登录请求后,由网关设备从当前用户的终端设备或者从当前用户的终端设备所涉及的网络流量中,采集登录请求对应的目标虚拟身份。
在又一种示例性的实施例中,确定单元401,具体用于:
由网关设备从当前用户的终端设备或者从当前用户的终端设备所涉及的网络流量中,采集对应的目标虚拟身份。
在又一种示例性的实施例中,确定单元401,具体用于:
由网关设备从当前用户的终端设备或者从当前用户的终端设备所涉及的网络流量中,持续采集对应的目标虚拟身份。
在又一种示例性的实施例中,虚拟身份登录范围包括邮箱类、社交通讯类和web类login,其中,有:
邮箱类虚拟身份对应第一等级的访问控制策略,开放产品服务器和互联网的访问权限;
社交通讯类虚拟身份对应第二等级的访问控制策略,开放文档服务器、产品服务器和互联网的访问权限;
web类login虚拟身份对应第三等级的访问控制策略,开放生产服务器、文档服务器、产品服务器和互联网的访问权限。
在又一种示例性的实施例中,访问控制单元403,还用于:
校验当前用户登录的、在公司网络架构内配置的用户账号后,向当前用户开放互联网的访问权限。
在又一种示例性的实施例中,访问控制单元403,还用于:
监测当前用户登录的最高等级的虚拟身份的最新登录时间点与当前时间点之间的时长跨度是否超过预设时长跨度;
若是,则将最高等级的虚拟身份的访问权限降低访问权限。
本申请还从硬件结构角度提供了一种处理系统,处理系统具体可以包括如网关设备等类型的处理设备,为方便说明,将其作为一个整体,当成一种设备来对待,参阅图5,图5示出了本申请处理系统的一种结构示意图,具体的,本申请处理系统可包括处理器501、存储器502以及输入输出设备503,处理器501用于执行存储器502中存储的计算机程序时实现如图1对应实施例中基于虚拟身份的认证鉴权方法的各步骤;或者,处理器501用于执行存储器502中存储的计算机程序时实现如图4对应实施例中各单元的功能,存储器502用于存储处理器501执行上述图1对应实施例中基于虚拟身份的认证鉴权方法所需的计算机程序。
示例性的,计算机程序可以被分割成一个或多个模块/单元,一个或者多个模块/单元被存储在存储器502中,并由处理器501执行,以完成本申请。一个或多个模块/单元可以是能够完成特定功能的一系列计算机程序指令段,该指令段用于描述计算机程序在计算机装置中的执行过程。
处理系统可包括,但不仅限于处理器501、存储器502、输入输出设备503。本领域技术人员可以理解,示意仅仅是处理系统的示例,并不构成对处理系统的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件,例如处理系统还可以包括网络接入设备、总线等,处理器501、存储器502、输入输出设备503等通过总线相连。
处理器501可以是中央处理单元(Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等,处理器是处理系统的控制中心,利用各种接口和线路连接整个设备的各个部分。
存储器502可用于存储计算机程序和/或模块,处理器501通过运行或执行存储在存储器502内的计算机程序和/或模块,以及调用存储在存储器502内的数据,实现计算机装置的各种功能。存储器502可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序等;存储数据区可存储根据处理系统的使用所创建的数据等。此外,存储器可以包括高速随机存取存储器,还可以包括非易失性存储器,例如硬盘、内存、插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(SecureDigital,SD)卡,闪存卡(Flash Card)、至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。
处理器501用于执行存储器502中存储的计算机程序时,具体可实现以下功能:
确定当前用户登录的目标虚拟身份,其中,目标虚拟身份包含在不同用户预设的虚拟身份登录范围中;
从系统上预先配置的不同类型的虚拟身份所对应的不同访问控制策略中,确定目标虚拟身份匹配的目标访问控制策略;
基于目标访问控制策略,对当前用户进行访问控制。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的基于虚拟身份的认证鉴权装置、处理系统及其相应单元的具体工作过程,可以参考如图1对应实施例中基于虚拟身份的认证鉴权方法的说明,具体在此不再赘述。
本领域普通技术人员可以理解,上述实施例的各种方法中的全部或部分步骤可以通过指令来完成,或通过指令控制相关的硬件来完成,该指令可以存储于一计算机可读存储介质中,并由处理器进行加载和执行。
为此,本申请提供一种计算机可读存储介质,其中存储有多条指令,该指令能够被处理器进行加载,以执行本申请如图1对应实施例中基于虚拟身份的认证鉴权方法的步骤,具体操作可参考如图1对应实施例中基于虚拟身份的认证鉴权方法的说明,在此不再赘述。
其中,该计算机可读存储介质可以包括:只读存储器(Read Only Memory,ROM)、随机存取记忆体(Random Access Memory,RAM)、磁盘或光盘等。
由于该计算机可读存储介质中所存储的指令,可以执行本申请如图1对应实施例中基于虚拟身份的认证鉴权方法的步骤,因此,可以实现本申请如图1对应实施例中基于虚拟身份的认证鉴权方法所能实现的有益效果,详见前面的说明,在此不再赘述。
以上对本申请提供的基于虚拟身份的认证鉴权方法、装置、处理系统以及计算机可读存储介质进行了详细介绍,本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。