本发明涉及计算机,具体为一种自助申请零信任资源并自动授权的方法和系统。
背景技术:
1、零信任,思路是构建一个安全登录认证体系,即在默认情况下不信任网络内部和外部的任何人、设备、系统和应用,而是在基于身份认证和授权访问控制的基础上去接收可信结点的数据和请求,可以进一步提高内外网同步登录的安全性,相比传统的方式增加了系统结点之间相互认证和校验的操作,这些操作可以让系统得知收到的请求是否来自于可信的站点,进一步降低了攻击者伪造请求欺骗系统的可能性。
2、现有技术中,目前最常用的零信任资源授权方式为人工授权,其具体步骤为:
3、(1)零信任管理员在零信任管理端配置资源,一般包括资源名称、资源类型、访问方式等
4、(2)资源申请者通过工单、零信任客户端等渠道向零信任管理员申请某资源的访问权限
5、(3)零信任管理员接收到资源访问请求后,根据条件,人为判断是否给该用户授权
6、(4)若授权则该用户可以访问其申请的权限,反之,则不允许访问
7、(5)用户在资源访问结束后,通知零信任管理员,零信任管理员手动收回该用户权限。
8、但是,上述方法实现简单,但鉴于是人工操作,可能会有如下问题,(1)同时有大量资源访问请求时,零信任管理员工作量随之增大(2)用户资源访问权限申请时间不固定,为保证功能可用,需要安排零信任管理员值班,增加了人力成本支出(3)人工授权时可能会对某些条件判断错误,进而导致授权出现错误,出现安全风险(4)资源访问权限的回收发起动作完全依赖于用户的反馈,零信任管理员不可控,若长时间不回收资源访问权限,容易造成安全风险(5)若同时存在多个零信任设备需要管理,人工授权方式容易造成混乱。
技术实现思路
1、本发明的目的在于提供一种自助申请零信任资源并自动授权的方法和系统,以解决上述背景技术中提出的问题。
2、为实现上述目的,本发明提供如下技术方案:一种自助申请零信任资源并自动授权的方法,所述方法包括以下步骤:
3、在后台管理模块中配置资源、账号、资源与region_code的绑定关系,维护好资源与region对应关系;
4、自动申请资源访问权限;
5、申请零信任资源访问结束后,自动收回权限。
6、优选的,在后台管理模块中配置资源、账号、资源与region_code的绑定关系包括资源管理:
7、包括资源同步,资源查询,资源列表展示,其中资源同步为:在零信任服务器中增加的资源,需要同步到后台管理模块,若同时管理多个零信任服务器,资源同步操作则会将多个零信任服务中资源同步到数据库中,同时增加type字段做区分。
8、优选的,在后台管理模块中配置资源、账号、资源与region_code的绑定关系包括账号管理:
9、包括账号同步,账号查询和账号列表展示,其中账号同步逻辑与资源同步逻辑类似:在零信任服务器中增加的账号,需要同步到后台管理模块,若同时管理多个零信任服务器,账号同步操作则会将多个零信任服务中账号同步到数据库中,同时增加type字段做区分,同一用户在多个零信任服务器中的账号一般保存相同的手机号或邮箱。
10、优选的,自动申请资源访问权限的流程如下:
11、步骤1用户访问授权申请模块页面,页面调用后端接口,通过token获取当前登录人邮箱后,通过邮箱调用核心授权模块用户账号列表接口,获取邮箱绑定的所有零信任账号,是否可以获取到账号信息与后台管理模块配置的账号是否展示字段、账号状态有关,若获取不到零信任账号则不允许申请资源的访问权限;
12、步骤2用户选择列表中零信任账号,前端页面通过账号id,调用核心授权模块的账号已拥有权限接口;
13、步骤3核心授权模块接收到步骤2请求后,首先判断零信任账号是否存在,若不存在则直接返回空,若存在,则根据账号类型,访问不同的零信任服务器获取该账号已申请的资源访问权限列表,并返回给用户授权申请模块;
14、步骤4用户授权申请模块,前端页面根据region_code、当前零信任账号调用后端可申请资源权限列表接口;
15、步骤5核心授权模块接收到步骤4所述请求后,首先判断零信任账号是否存在,若不存在则直接返回空,若存在,则根据账号类型,查询数据库,获取region_code对应的资源列表,并返回给用户授权申请模块;
16、步骤6用户在授权申请模块页面,根据步骤3、步骤5返回结果,选择需要申请的资源和需要去除的资源后,组装参数,调用核心授权模块更新账号权限接口,更新用户权限;
17、步骤7核心授权模块接收到上述请求后,首先判断所请求资源是否全部属于可申请资源范围内,若不属于,则认为,账号申请了不允许申请的权限,直接返回错误结果;其次判断所选资源和region_code的对应关系是否有效,若无效,则返回错误结果;最后判断零信任账号是否存在,若不存在则直接返错误结果;若存在,则根据账号类型,调用不同的零信任服务器,更新该账号的资源访问情况,记录新增的请求结果到数据库,并将结果返回给授权申请模块。
18、优选的,申请零信任资源访问结束后,自动收回权限的流程如下:
19、资源访问结束后,自动发送mq消息,消息体中包含region_code、申请时间、申请账号信息;
20、核心授权模块监听mq消息队列,有新消息时,根据消息内容中region_code、申请时间、申请账号查找账号新增账号资源访问的请求日志,若日志不存在,则忽略mq消息;
21、若新增账号资源访问的请求日志存在,则根据日志记录的region_code、账号信息组装删除资源访问的参数,根据账号类型,调用不同的零信任服务器,更新账号的资源访问情况,同时将删除的结果记录到数据库中;
22、由此完成了自动回收权限的动作。
23、一种自助申请零信任资源并自动授权系统,所述系统包括零信任服务器、核心授权模块、后台管理模块以及授权申请模块;
24、零信任服务器向核心授权模块发送请求时,需要做限制来源ip、限制访问端口、通过ak/sk等安全配置;
25、核心授权模块与各零信任服务器做数据交互同时通过数据库查询相关信息;
26、后台管理模块管理各零信任资源、各零信任账号、授权日志查询功能;
27、授权申请模块调用核心授权模块提供的接口,向资源权限请求者展示账号列表、展示可申请资源列表、申请资源功能。
28、优选的,核心授权模块的功能包括零信任账号查询、零信任账号现有权限查询、账号可申请权限查询、更新零信任账号拥有资源、提供对外的接口访问。
29、与现有技术相比,本发明的有益效果是:
30、本发明提出的自助申请零信任资源并自动授权的方法和系统,通过数据库字段区分不同设备的资源、账号,让资源访问请求申请者自助提申请,系统自动判断是否授权,并记录授权日志,后在资源需要回收时,根据授权日志,自动回收资源的方法,该方法完全自动化操作,减少了零信任管理员人工授权的工作量、减少了人力成本,且同时支持多个零信任设备的资源访问授权,并提供了授权日志查询、多零信任设备资源管理、多零信任设备用户管理等功能,更加灵活、安全。
1.一种自助申请零信任资源并自动授权的方法,其特征在于:所述方法包括以下步骤:
2.根据权利要求1所述的一种自助申请零信任资源并自动授权的方法,其特征在于:在后台管理模块中配置资源、账号、资源与region_code的绑定关系包括资源管理:
3.根据权利要求1所述的一种自助申请零信任资源并自动授权的方法,其特征在于:在后台管理模块中配置资源、账号、资源与region_code的绑定关系包括账号管理:
4.根据权利要求1所述的一种自助申请零信任资源并自动授权的方法,其特征在于:自动申请资源访问权限的流程如下:
5.根据权利要求1所述的一种自助申请零信任资源并自动授权的方法,其特征在于:申请零信任资源访问结束后,自动收回权限的流程如下:
6.一种根据权利要求1-5任意一项所述的自助申请零信任资源并自动授权的方法的自助申请零信任资源并自动授权系统,其特征在于:所述系统包括零信任服务器、核心授权模块、后台管理模块以及授权申请模块;
7.根据权利要求6所述的一种自助申请零信任资源并自动授权系统,其特征在于:核心授权模块的功能包括零信任账号查询、零信任账号现有权限查询、账号可申请权限查询、更新零信任账号拥有资源、提供对外的接口访问。
