一种基于保持身份认证的移动运维认证方法、网关与流程

1.本发明属于网络安全领域，具体涉及一种基于保持身份认证的移动运维认证方法及网关。


背景技术：

2.现有移动式运维网关通常通过现运维人员、usb－key、网关三者进行绑定，并通过dpi深度识别技术检测终端设备连接端口的pps、流量和带宽信息，根据检测信息判断终端设备基础运行状态，并发送至集中运维管理平台，通过集中运维管理平台对以上检测信息进行综合分析，图形化展示设备高级运行状态，在出现故障时，实现对外场设备的准入控制与运维管理功能，全面解决了外场设备的安全访问控制难题，以及前端设备的精细化运维管理的问题。
3.但现有安全运维网关的仅涉及接入认证，但对于安全级别更高的移动式堡垒机在使用时是有必要监视实时的使用者。在使用者因个人原因暂时离开屏幕前时，应考虑对设备的锁定处理，防止被不法分子乘虚而入。


技术实现要素：

4.为解决操作者离开移动式运维网关期间的安全认证的问题，在本发明的第一方面提供了一种基于保持身份认证的移动运维认证方法，包括：构建已认证通过的操作人员的安全审计可达树；基于人脸识别技术判断已认证的当前操作人员离开网关的时长，并根据其确定是否启动dpi检测；利用dpi检测和安全审计可达树，对当前网关的操作人员进行安全审计，并根据审计结果采取不同的认证保持策略。
5.在本发明的一些实施例中，所述基于人脸识别技术判断已认证的当前操作人员离开网关的时长，并根据其确定是否启动dpi检测包括：实时对当前操作人员进行目标检测，并从当前操作人员离开预设区域且持续时间超过第一阈值时开始计算时长；根据所述时长确定是否启动dpi检测。
6.进一步的，所述根据所述时长确定是否启动dpi检测包括：若所述时长超过第二阈值，则启动dpi检测。
7.在本发明的一些实施例中，所述利用dpi检测和安全审计可达树，对当前网关的操作人员进行安全审计，并根据安全审计结果采取不同的认证保持策略包括：利用dpi检测网关接入设备连接端口的pps、流量和带宽信息，判断当前网关的操作人员是否取得前一已认证的操作人员的授权；根据当前操作人员和前一已认证的操作人员的安全审计可达树，对当前操作人员进行安全审计，并根据安全审计结果采取不同的认证保持策略。
8.进一步的，所述根据当前操作人员和前一已认证的操作人员的安全审计可达树，对当前操作人员进行安全审计，并根据安全审计结果采取不同的认证保持策略包括：若当前操作人员获得前一已认证的操作人员授权，则根据前一已认证的操作人员权限和当前操作人员的权限进行认证；否则，根据当前操作人员的权限进行认证。
9.在上述的实施例中，所述构建已认证通过的操作人员的安全审计可达树包括：获取已认证通过的操作人员的历史安全审计信息，所述安全审计信息至少包括操作权限、操作对象和操作行为；以每个操作人员的在网关上的用户名为节点，其与其他操作人员的继承和被继承关系，构建第一可达树；根据每个操作人员在网关上的操作权限确定其操作对象，基于操作行为和马尔科夫链构建第二可达树。
10.本发明的第二方面，提供了一种基于保持身份认证的移动运维认证网关，包括：构建模块，用于构建已认证通过的操作人员的安全审计可达树；确定模块，用于基于人脸识别技术判断已认证的当前操作人员离开网关的时长，并根据其确定是否启动dpi检测；审计模块，用于利用dpi检测和安全审计可达树，对当前网关的操作人员进行安全审计，并根据审计结果采取不同的认证保持策略。
11.进一步的，所述确定模块包括：计算单元，用于实时对当前操作人员进行目标检测，并从当前操作人员离开预设区域且持续时间超过第一阈值时开始计算时长；确定单元，用于根据所述时长确定是否启动dpi检测。
12.本发明的第三方面，提供了一种电子设备，包括：一个或多个处理器；存储装置，用于存储一个或多个程序，当所述一个或多个程序被所述一个或多个处理器执行，使得所述一个或多个处理器实现本发明在第一方面提供的基于保持身份认证的移动运维认证方法。
13.本发明的第四方面，提供了一种计算机可读介质，其上存储有计算机程序，其中，所述计算机程序被处理器执行时实现本发明在第一方面提供的基于保持身份认证的移动运维认证方法。
14.本发明的有益效果是：
15.本发明通过目标检测和安全审计可达树对操作人员进行身份识别和验证，并采取不同的认证策略，从而提高了操作人员离开时移动运维网关的安全性和灵活性。
附图说明
16.图1为本发明的一些实施例中的基于保持身份认证的移动运维认证方法的基本流程示意图；
17.图2为本发明的一些实施例中的基于保持身份认证的移动运维认证方法的步骤s200具体流程示意图；
18.图3为本发明的一些实施例中的基于保持身份认证的移动运维认证方法的步骤s300具体流程示意图；
19.图4为本发明的一些实施例中的基于保持身份认证的移动运维认证网关的结构示意图；
20.图5为本发明的一些实施例中的电子设备的结构示意图。
具体实施方式
21.以下结合附图对本发明的原理和特征进行描述，所举实例只用于解释本发明，并非用于限定本发明的范围。
22.参考图1，在本发明的第一方面，提供了一种基于保持身份认证的移动运维认证方法，包括：s100.构建已认证通过的操作人员的安全审计可达树；s200.基于人脸识别技术判
断已认证的当前操作人员离开网关的时长，并根据其确定是否启动dpi检测；s300.利用dpi检测和安全审计可达树，对当前网关的操作人员进行安全审计，并根据审计结果采取不同的认证保持策略。
23.参考图2，在本发明的一些实施例的步骤s200中，所述基于人脸识别技术判断已认证的当前操作人员离开网关的时长，并根据其确定是否启动dpi检测包括：s201.实时对当前操作人员进行目标检测，并从当前操作人员离开预设区域且持续时间超过第一阈值时开始计算时长；s202.根据所述时长确定是否启动dpi检测。
24.具体地，通过安装在移动网关的视觉传感器(摄像头或光学感光元件)获取操作人员的实时图像，并根据目标识别技术确定操作人员离开距离；以及确定操作人员是否发生改变，操作人员与预设授权信息数据库中的操作人员是否匹配；并根据上述信息确定第一阈值和第二阈值；在一些运维场景中，例如，确定光纤传输故障时，需要单人多次操作或多人协作，此时操作人员的改变不应改变网关的授权权限和认证策略。
25.进一步的，在步骤s202中，所述根据所述时长确定是否启动dpi检测包括：若所述时长超过第二阈值，则启动dpi检测。
26.dpi检测可以结合深度学习技术，识别每个操作人员的运维步骤操作序列；运维步骤操作还可进行在更细粒度的细化，以更精确地识别每个操作人员，从而确定操作人员的身份，以及操作权限。
27.参考图3，在本发明的一些实施例的步骤s300中，所述利用dpi检测和安全审计可达树，对当前网关的操作人员进行安全审计，并根据安全审计结果采取不同的认证保持策略包括：s301.利用dpi检测网关接入设备连接端口的pps、流量和带宽信息，判断当前网关的操作人员是否取得前一已认证的操作人员的授权；s302.根据当前操作人员和前一已认证的操作人员的安全审计可达树，对当前操作人员进行安全审计，并根据安全审计结果采取不同的认证保持策略。
28.进一步的，在步骤s302中，所述根据当前操作人员和前一已认证的操作人员的安全审计可达树，对当前操作人员进行安全审计，并根据安全审计结果采取不同的认证保持策略包括：若当前操作人员获得前一已认证的操作人员授权，则根据前一已认证的操作人员权限和当前操作人员的权限进行认证；否则，根据当前操作人员的权限进行认证。
29.在上述的实施例中的步骤s100，所述构建已认证通过的操作人员的安全审计可达树包括：s101.获取已认证通过的操作人员的历史安全审计信息，所述安全审计信息至少包括操作权限、操作对象和操作行为；s102.以每个操作人员的在网关上的用户名为节点，其与其他操作人员的继承和被继承关系，构建第一可达树；s103.根据每个操作人员在网关上的操作权限确定其操作对象，基于操作行为和马尔科夫链构建第二可达树。可选的，以每个操作人员的在网关上的用户名为节点，其与其他操作人员的继承和被继承关系，利用齐诺多面体构建第一可达树。
30.实施例2
31.参考图4，本发明的第二方面，提供了一种基于保持身份认证的移动运维认证网关1，包括：构建模块11，用于构建已认证通过的操作人员的安全审计可达树；确定模块12，用于基于人脸识别技术判断已认证的当前操作人员离开网关的时长，并根据其确定是否启动dpi检测；审计模块13，用于利用dpi检测和安全审计可达树，对当前网关的操作人员进行安
全审计，并根据审计结果采取不同的认证保持策略。
32.进一步的，所述确定模块12包括：计算单元，用于实时对当前操作人员进行目标检测，并从当前操作人员离开预设区域且持续时间超过第一阈值时开始计算时长；确定单元，用于根据所述时长确定是否启动dpi检测。
33.实施例3
34.参考图5，本发明的第三方面，提供了一种电子设备，包括：一个或多个处理器；存储装置，用于存储一个或多个程序，当所述一个或多个程序被所述一个或多个处理器执行，使得所述一个或多个处理器实现本发明在第一方面的方法。
35.电子设备500可以包括处理装置(例如中央处理器、图形处理器等)501，其可以根据存储在只读存储器(rom)502中的程序或者从存储装置508加载到随机访问存储器(ram)503中的程序而执行各种适当的动作和处理。在ram503中，还存储有电子设备500操作所需的各种程序和数据。处理装置501、rom 502以及ram 503通过总线504彼此相连。输入/输出(i/o)接口505也连接至总线504。
36.通常以下装置可以连接至i/o接口505：包括例如触摸屏、触摸板、键盘、鼠标、摄像头、麦克风、加速度计、陀螺仪等的输入装置506；包括例如液晶显示器(lcd)、扬声器、振动器等的输出装置507；包括例如硬盘等的存储装置508；以及通信装置509。通信装置509可以允许电子设备500与其他设备进行无线或有线通信以交换数据。虽然图5示出了具有各种装置的电子设备500，但是应理解的是，并不要求实施或具备所有示出的装置。可以替代地实施或具备更多或更少的装置。图5中示出的每个方框可以代表一个装置，也可以根据需要代表多个装置。
37.特别地，根据本公开的实施例，上文参考流程图描述的过程可以被实现为计算机软件程序。例如，本公开的实施例包括一种计算机程序产品，其包括承载在计算机可读介质上的计算机程序，该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中，该计算机程序可以通过通信装置509从网络上被下载和安装，或者从存储装置508被安装，或者从rom502被安装。在该计算机程序被处理装置501执行时，执行本公开的实施例的方法中限定的上述功能。需要说明的是，本公开的实施例所描述的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、光纤、便携式紧凑磁盘只读存储器(cd－rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开的实施例中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本公开的实施例中，计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读信号介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输，
包括但不限于：电线、光缆、rf(射频)等等，或者上述的任意合适的组合。
38.上述计算机可读介质可以是上述电子设备中所包含的；也可以是单独存在，而未装配入该电子设备中。上述计算机可读介质承载有一个或者多个计算机程序，当上述一个或者多个程序被该电子设备执行时，使得该电子设备：
39.可以以一种或多种程序设计语言或其组合来编写用于执行本公开的实施例的操作的计算机程序代码，程序设计语言包括面向对象的程序设计语言—诸如java、smalltalk、c++、python，还包括常规的过程式程序设计语言—诸如“c”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中，远程计算机可以通过任意种类的网络——包括局域网(lan)或广域网(wan)——连接到用户计算机，或者，可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
40.附图中的流程图和框图，图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。需要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。
41.以上所述仅为本发明的较佳实施例，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。