一种身份认证方法、装置、电子设备及存储介质与流程

1.本技术涉及终端安全技术领域，具体而言，涉及一种身份认证方法、装置、电子设备及存储介质。


背景技术：

2.企业引入堡垒机之后，直接通过单点登录就能对资产进行运维，一旦堡垒机系统的账号密码泄露，用户可以运维权限内任意资产。即使堡垒机提供运维审计功能，可以事后追溯，对于一些敏感资产，造成的损失也是不可逆的，因此加强敏感资产单点登录认证过程，杜绝敏感资产可能被恶意访问非常必要。


技术实现要素：

3.本技术实施例的目的在于提供一种身份认证方法、装置、电子设备及存储介质，需要多人协同认证授权才能对敏感资产进行运维，有效保证了敏感资产的安全性，解决了现有方法运维人员自己认证造成的敏感资产被恶意访问的问题。
4.本技术实施例提供了一种身份认证方法，应用于运维审计系统，所述方法包括：
5.接收运维人员发送的运维请求；
6.基于所述运维请求获取预设的资产认证配置；
7.基于所述认证配置产生多条运维认证工单并发送至对应的认证人员；
8.判断在预设时间段内是否所有认证人员完成了认证，并将认证结果返回至所述运维人员。
9.在上述实现过程中，对于运维审计系统管理的敏感资产，采用多人协同认证授权的方式，只有所有认证人员在规定时间年内完成了认证才能对敏感资产进行运维，该方法降低了敏感资产账号口令丢失被破解以及被盗窃时，资产能够轻易被恶意访问进行破坏性操作，最大限度保证了敏感资产的安全性，解决了现有方法运维人员自己认证造成的敏感资产被恶意访问的问题。
10.进一步地，在所述基于所述运维请求获取预设的资产认证配置的步骤之前，所述方法还包括：
11.接收管理员创建的资产的账号、密码、认证方式和认证人员人数；
12.基于所述资产生成唯一标识符；
13.接收认证终端采集的认证人员的认证信息；
14.接收管理员设置的资产授权信息。
15.在上述实现过程中，对资产进行资产认证配置，添加认证方式并通过不同的采集设备采集不同的认证信息，赋予运维人员操作权限，从而实现对资产的认证配置，便于后续进行多人协同运维认证。
16.进一步地，所述接收认证终端采集的认证人员的认证信息，包括：
17.获取第一认证人员的指纹信息；
18.获取第二认证人员的绑定手机号信息，以进行短信认证；
19.获取第三认证人员的人脸信息，以进行人脸识别认证；
20.获取第四认证人员的ukey信息。
21.在上述实现过程中，认证方式包括指纹认证、短信认证、人脸认证和ukey等方式，不同的认证方式对应不同的认证人员，使得访问权限分配更加细粒度化，进而保证了资产的安全性。
22.进一步地，基于所述认证配置产生多条运维认证工单并发送至对应的认证人员，包括：
23.基于所述认证人员的认证方式生成对应的运维认证工单；
24.将所述运维认证工单与所述唯一标识符绑定；
25.将绑定后的运维认证工单发送至对应的认证人员。
26.在上述实现过程中，不同的资产对应不同的唯一标识符，可通过唯一标识符识别对应的运维认证工单，并且不同的认证方式对应不同的运维认证工单，具有针对性，从而实现了多种认证方式协同认证的认证模式。
27.进一步地，所述判断在预设时间段内是否所有认证人员完成了认证，并将认证结果返回至所述运维人员，包括：
28.判断唯一标识符所关联的所述运维认证工单的认证状态；
29.若所有运维认证工单在预设时间段内均完成认证，则发送敏感资产的账号和密码至所述运维人员。
30.在上述实现过程中，通过运维认证工单的审批状态来判断认证状态，只有所有关联的认证人员均完成了认证才能允许运维人员进行运维，从而极大限度的保证了资产的安全性。
31.进一步地，所述判断在预设时间段内是否所有认证人员完成了认证，并将认证结果返回至所述运维人员，包括：
32.判断唯一标识符所关联的所述运维认证工单的认证状态；
33.若任意运维认证工单在预设时间段内没有完成认证，则发送拒绝运维指令至所述运维人员。
34.在上述实现过程中，只要一个认证人员没有在规定时间内完成认证，则拒绝该次运维请求，极大限度的保证了资产的安全性。
35.本技术实施例还提供一种身份认证装置，应用于运维审计系统，所述装置包括：
36.请求接收模块，用于接收运维人员发送的运维请求；
37.认证配置获取模块，用于基于所述运维请求获取预设的资产认证配置；
38.工单发送模块，用于基于所述认证配置产生多条运维认证工单并发送至对应的认证人员；
39.判断模块，用于判断在预设时间段内是否所有认证人员完成了认证，并将认证结果返回至所述运维人员。
40.在上述实现过程中，对于运维审计系统管理的敏感资产，采用多人协同认证授权的方式，只有所有认证人员在规定时间年内完成了认证才能对敏感资产进行运维，该方法降低了敏感资产账号口令丢失被破解以及被盗窃时，资产能够轻易被恶意访问进行破坏性
操作，最大限度保证了敏感资产的安全性，解决了现有方法运维人员自己认证造成的敏感资产被恶意访问的问题。
41.进一步地，所述装置还包括认证配置模块，所述认证配置模块用于：
42.接收管理员创建的资产的账号、密码、认证方式和认证人员人数；
43.基于所述资产生成唯一标识符；
44.接收认证终端采集的认证人员的认证信息；
45.接收管理员设置的资产授权信息。
46.在上述实现过程中，对资产进行资产认证配置，添加认证方式并通过不同的采集设备采集不同的认证信息，赋予运维人员操作权限，从而实现对资产的认证配置，便于后续进行多人协同运维认证。
47.本技术实施例还提供一种电子设备，所述电子设备包括存储器以及处理器，所述存储器用于存储计算机程序，所述处理器运行计算机程序以使所述电子设备执行上述中任一项所述的身份认证方法。
48.本技术实施例还提供一种可读存储介质，所述可读存储介质中存储有计算机程序指令，所述计算机程序指令被一处理器读取并运行时，执行上述中任一项所述的身份认证方法。
附图说明
49.为了更清楚地说明本技术实施例的技术方案，下面将对本技术实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本技术的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。
50.图1为本技术实施例提供的一种身份认证方法的流程图；
51.图2为本技术实施例提供的运维审计系统资产运维多人共同认证实现流程图；
52.图3为本技术实施例提供的资产认证配置流程图；
53.图4为本技术实施例提供的运维认证工单生成流程图；
54.图5为本技术实施例提供的认证结果判断过程流程图；
55.图6为本技术实施例提供的身份认证装置的结构框图；
56.图7为本技术实施例提供的另一种身份认证装置的结构框图；
57.图8为本技术实施例提供的运维审计系统的结构框图。
58.图标：
59.100-请求接收模块；200-认证配置获取模块；210-认证配置模块；300-工单发送模块；301-工单生成模块；302-绑定模块；303-运维工单发送模块；400-判断模块；401-认证状态判断模块；402-第一指令发送模块；403-第二指令发送模块。
具体实施方式
60.下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行描述。
61.应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。同时，在本技术的
描述中，术语“第一”、“第二”等仅用于区分描述，而不能理解为指示或暗示相对重要性。
62.实施例1
63.请参看图1，图1为本技术实施例提供的一种身份认证方法的流程图。该方法应用于运维审计系统中，用于敏感资产运维时运维人员的身份认证。
64.运维资产时身份认证采用多人共同认证的方式，使得运维审计系统的资产访问权限分配更加细粒度化，从而提升了敏感资产的安全性，实现安全能力的大幅提升。
65.该方法具体包括以下步骤：
66.步骤s100：接收运维人员发送的运维请求；
67.步骤s200：基于所述运维请求获取预设的资产认证配置；
68.步骤s300：基于所述认证配置产生多条运维认证工单并发送至对应的认证人员；
69.步骤s400：判断在预设时间段内是否所有认证人员完成了认证，并将认证结果返回至所述运维人员。
70.对于运维审计系统管理的敏感资产，采用多人协同认证授权的方式，只有所有认证人员在规定时间年内完成了认证才能对敏感资产进行运维，该方法降低了敏感资产账号口令丢失被破解以及被盗窃时，资产能够轻易被恶意访问进行破坏性操作，最大限度保证了敏感资产的安全性，解决了现有方法运维人员自己认证造成的敏感资产被恶意访问的问题。
71.如图2所示，为运维审计系统资产运维多人共同认证实现流程图。其中，如图3所示，为资产认证配置流程图，在基于所述运维请求获取预设的资产认证配置的步骤之前，所述方法还包括：
72.步骤s211：接收管理员创建的资产的账号、密码、认证方式和认证人员人数；
73.管理员在创建敏感资产时，除了资产账号本身账号密码设置外，还需要配置运维时需哪些人进行共同认证，同时设置认证方式和认证人员。
74.步骤s212：基于所述资产生成唯一标识符；
75.步骤s213：接收认证终端采集的认证人员的认证信息；
76.获取第一认证人员的指纹信息；
77.获取第二认证人员的绑定手机号信息，以进行短信认证；
78.获取第三认证人员的人脸信息，以进行人脸识别认证；
79.获取第四认证人员的ukey信息，其中，ukey指的是一种通过usb(通用串行总线接口)直接与计算机相连、具有密码验证功能、可靠高速的小型存储设备。
80.管理员在创建敏感资产时，还要根据认证方式采集对应的认证信息，例如认证人员a采集指纹信息，认证人员b设置短信认证，绑定手机号信息等，还有人脸识别认证、ukey信息认证等，还包括其他移动端认证方式，对于具体的认证方式，在此不做任何限定。
81.步骤s214：接收管理员设置的资产授权信息。
82.管理人员赋予运维人员对敏感资产的运维权限。
83.如图4所示，为运维认证工单生成流程图，步骤s300具体包括以下步骤：
84.步骤s301：基于所述认证人员的认证方式生成对应的运维认证工单；
85.步骤s302：将所述运维认证工单与所述唯一标识符绑定；
86.步骤s303：将绑定后的运维认证工单发送至对应的认证人员。
87.运维人员在运维权限内的敏感资产时，会产生一个唯一sessionid(唯一标识符)，运维审计系统管理模块根据资产配置的认证信息产生多条运维认证工单，并和sessionid绑定，发送到需要进行认证的认证人员进行认证。
88.例如，配置了上述的认证人员a，b进行认证，则会产生两个运维认证工单，运维认证工单是根据设置的认证人员以及认证人员的认证方式产生的。认证人员a点击运维认证工单进行指纹信息的录取，认证人员b点击运维认证工单进行短信认证。
89.如图5所示，为认证结果判断过程流程图，步骤s400具体可以包括以下步骤：
90.步骤s401：判断唯一标识符所关联的所述运维认证工单的认证状态；
91.步骤s402：若所有运维认证工单在预设时间段内均完成认证，则发送敏感资产的账号和密码至所述运维人员。
92.步骤s403：若任意运维认证工单在预设时间段内没有完成认证，则发送拒绝运维指令至所述运维人员。
93.在认证人员进行认证期间，运维人员界面会提示等待审批认证。在规定时间内，每当有认证人员完成认证，系统管理模块均会判断认证状态，主要判断同一个sessionid相关的运维认证工单的审批状态。若所有相关的运维认证工单均完成认证，则允许运维人员运维。
94.运维模块根据预先配置的资产账号的账号密码连接到运维设备，运维人员即可对资产进行运维；若存在一个运维认证工单认证失败，则拒绝该次运维请求。
95.该方法将资产运维身份认证过程由运维人员自身进行口令认证转换为多个认证人员共同完成，避免了普通口令丢失，被破解以及被盗窃之后资产被恶意操作造成不可逆的损失的情况，提升了敏感资产的安全性。
96.该方法中，任何人不能单独访问资产，系统将资产访问权限更加细粒度化，运维人员需要借助其他认证人员的认证才能访问。
97.实施例2
98.本技术实施例提供一种身份认证装置，应用于运维审计系统，具体应用于运维审计系统的系统管理模块，如图6所示，为身份认证装置的结构框图，所述装置包括但不限于：
99.请求接收模块100，用于接收运维人员发送的运维请求；
100.认证配置获取模块200，用于基于所述运维请求获取预设的资产认证配置；
101.工单发送模块300，用于基于所述认证配置产生多条运维认证工单并发送至对应的认证人员；
102.判断模块400，用于判断在预设时间段内是否所有认证人员完成了认证，并将认证结果返回至所述运维人员。
103.对于运维审计系统管理的敏感资产，采用多人协同认证授权的方式，只有所有认证人员在规定时间年内完成了认证才能对敏感资产进行运维，该方法降低了敏感资产账号口令丢失被破解以及被盗窃时，资产能够轻易被恶意访问进行破坏性操作，最大限度保证了敏感资产的安全性，解决了现有方法运维人员自己认证造成的敏感资产被恶意访问的问题。
104.如图7所示，为另一种身份认证装置的结构框图，在图5基础上，该装置还包括认证配置模块210，认证配置模块210用于：
105.接收管理员创建的资产的账号、密码、认证方式和认证人员人数；
106.基于所述资产生成唯一标识符；
107.接收认证终端采集的认证人员的认证信息；
108.接收管理员设置的资产授权信息。
109.对资产进行资产认证配置，添加认证方式并通过不同的采集设备采集不同的认证信息，赋予运维人员操作权限，从而实现对资产的认证配置，便于后续进行多人协同运维认证。
110.工单发送模块300包括：
111.工单生成模块301，用于基于所述认证人员的认证方式生成对应的运维认证工单；
112.绑定模块302，用于将所述运维认证工单与所述唯一标识符绑定；
113.运维工单发送模块303，用于将绑定后的运维认证工单发送至对应的认证人员。
114.不同的资产对应不同的唯一标识符，可通过唯一标识符识别对应的运维认证工单，并且不同的认证方式对应不同的运维认证工单，具有针对性，从而实现了多种认证方式协同认证的认证模式。
115.判断模块400包括：
116.认证状态判断模块401，用于判断唯一标识符所关联的所述运维认证工单的认证状态；
117.第一指令发送模块402，用于若所有运维认证工单在预设时间段内均完成认证，则发送敏感资产的账号和密码至所述运维人员；
118.第二指令发送模块403，用于若任意运维认证工单在预设时间段内没有完成认证，则发送拒绝运维指令至所述运维人员。
119.通过运维认证工单的审批状态来判断认证状态，只有所有关联的认证人员均完成了认证才能允许运维人员进行运维，从而极大限度的保证了资产的安全性。
120.只要一个认证人员没有在规定时间内完成认证，则拒绝该次运维请求，极大限度的保证了资产的安全性。
121.本技术实施例还提供一种运维审计系统，包括系统管理模块、采集模块、认证终端和运维模块，如图8所示，为运维审计系统的结构框图，其中：
122.在系统管理模块添加管理的敏感资产并配置敏感资产的认证方式。通过不同采集设备采集不同的认证信息，例如采集模块包括但不限于指纹采集、人脸采集、ukey采集和移动端信息采集；在系统管理模块对运维人员赋予操作权限。
123.运维人员运维资产时，系统管理模块根据资产配置的认证信息，生成多条运维认证工单，推送到需要认证的认证终端进行认证。
124.需要认证的用户点击运维认证工单，通过各种认证终端进行认证；全部通过认证后，系统管理模块调用运维模块，通过运维模块对敏感资产进行运维。
125.该系统采用由多人员通过多种认证方式共同进行多种认证以完成认证的认证方式，代替由运维人员自己完成认证的认证方式，最大程度地保证了资产的安全性。
126.该系统对于敏感资产设置多人共同授权的认证方式，从而降低敏感资产账号口令丢失，被破解以及被盗窃时，资产能轻易被恶意访问进行破坏性操作。
127.该系统的侧重点在于，在运维审计系统管理的敏感资产时，在运维过程中多人员
协同认证在身份认证场景中的应用，其中，提出敏感资产运维必须通过多人共同完成认证，才可进行登录运维，最大程度保证了敏感资产的安全性。
128.本技术实施例还提供一种电子设备，所述电子设备包括存储器以及处理器，所述存储器用于存储计算机程序，所述处理器运行计算机程序以使所述电子设备执行实施例1所述的身份认证方法。
129.本技术实施例还提供一种可读存储介质，所述可读存储介质中存储有计算机程序指令，所述计算机程序指令被一处理器读取并运行时，执行实施例1所述的身份认证方法。
130.在本技术所提供的几个实施例中，应该理解到，所揭露的装置和方法，也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，附图中的流程图和框图显示了根据本技术的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现方式中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。
131.另外，在本技术各个实施例中的各功能模块可以集成在一起形成一个独立的部分，也可以是各个模块单独存在，也可以两个或两个以上模块集成形成一个独立的部分。
132.所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本技术的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本技术各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-only memory)、随机存取存储器(ram，random access memory)、磁碟或者光盘等各种可以存储程序代码的介质。
133.以上所述仅为本技术的实施例而已，并不用于限制本技术的保护范围，对于本领域的技术人员来说，本技术可以有各种更改和变化。凡在本技术的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本技术的保护范围之内。应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。
134.以上所述，仅为本技术的具体实施方式，但本技术的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本技术揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本技术的保护范围之内。因此，本技术的保护范围应所述以权利要求的保护范围为准。
135.需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备
所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。