应用访问鉴权方法、装置、计算机设备和存储介质与流程

本技术涉及计算机，特别是涉及一种应用访问鉴权方法、装置、计算机设备和存储介质。

背景技术：

1、随着计算机技术的发展，出现了零信任系统技术，零信任系统默认不信任企业网络内外的任何人、设备和系统，并基于身份认证和授权重新构建访问控制的基础，从而确保身份可信、设备可信、应用可信以及链路可信。

2、传统技术中，通常基于业务流程编写对应的业务代码，这些业务代码用于实现应用访问鉴权，当应用访问鉴权通过后就可以授权应用进行访问。

3、然而，由于上述业务代码与业务流程关联紧密，每个单独的业务流程通常均需要设置对应的业务代码，这样在业务流程数量较多的场景下，零信任系统的业务代码数量同样也会较多，其中任意一个业务流程发生改变，则相应的业务代码也需要进行更新，而业务代码频繁地更新会影响零信任系统的运行稳定性。

技术实现思路

1、基于此，有必要针对上述技术问题，提供一种能够提升零信任系统的运行稳定性的应用访问鉴权方法、装置、计算机设备和计算机可读存储介质。

2、第一方面，本技术提供了一种应用访问鉴权方法。所述方法包括：

3、响应于目标应用的鉴权请求，获取所述目标应用对应的应用标识信息；

4、将所述应用标识信息读入预设第一规则引擎组件，并通过运行所述预设第一规则引擎组件，对所述目标应用进行应用身份验证；

5、若应用身份验证通过，则构建所述目标应用的目标访问嵌入特征，其中，所述目标访问嵌入特征用于表征所述目标应用请求访问过程的特征信息；

6、将所述目标访问嵌入特征读入预设第二规则引擎组件，并通过运行所述预设第二规则引擎组件，检测所述目标应用对应的应用信任评分；

7、根据所述应用信任评分，对所述目标应用进行应用访问鉴权。

8、在其中一个实施例中，所述构建所述目标应用的目标访问嵌入特征，包括：

9、获取所述目标应用在当前请求访问过程中产生的各访问特征信息；根据各所述访问特征信息，生成第一嵌入特征；获取所述目标应用在历史请求访问过程中产生的各第二嵌入特征，其中，所述第二嵌入特征用于表征所述目标应用在历史请求页面过程中的访问特征信息；将所述第一嵌入特征和各所述第二嵌入特征进行聚合，得到所述目标访问嵌入特征。

10、在其中一个实施例中， 所述访问特征信息至少包括访问时间、应用ip地址、应用登陆浏览器类型、计算机网络状态、应用访问内容类型以及应用终端环境信息中的一种或者多种。

11、在其中一个实施例中，所述预设第一规则引擎组件包括第一事件规则组件，所述应用标识信息包括用户标识和应用标识；所述将所述应用标识信息作为第一事件信息读入预设第一规则引擎组件，并通过运行所述预设第一规则引擎组件，对所述目标应用进行应用身份验证，包括：

12、将所述用户标识和所述应用标识作为第一事件信息读入所述第一事件规则组件，通过运行所述第一事件规则组件，验证所述目标应用是否命中异常应用名单；若所述目标应用命中异常应用名单，则确定应用身份验证不通过；若所述目标应用未命中异常应用名单，则确定应用身份验证通过。

13、在其中一个实施例中，所述预设第一规则引擎组件包括第二事件规则组件，所述应用标识信息包括应用地址信息；所述将所述应用标识信息作为第一事件信息读入预设第一规则引擎组件，并通过运行所述预设第一规则引擎组件，对所述目标应用进行应用身份验证，包括：

14、将所述应用地址信息作为第二事件信息读入所述第二事件规则组件，通过运行所述第二事件规则组件，验证所述目标应用是否命中风险地址名单；若所述目标应用命中风险地址名单，则确定应用身份验证不通过；若所述目标应用未命中风险地址名单，则确定应用身份验证通过。

15、在其中一个实施例中，所述预设第一规则引擎组件包括第一事件规则组件和第二事件规则组件，所述应用标识信息包括用户标识、应用标识和应用地址信息；所述将所述应用标识信息作为第一事件信息读入预设第一规则引擎组件，并通过运行所述预设第一规则引擎组件，对所述目标应用进行应用身份验证，包括：

16、将所述用户标识和所述应用标识作为第一事件信息读入所述第一事件规则组件，通过运行所述第一事件规则组件，验证所述目标应用是否命中异常应用名单；若所述目标应用命中异常应用名单，则确定应用身份验证不通过；若所述目标应用未命中异常应用名单，则将所述应用地址信息作为第二事件信息读入所述第二事件规则组件，通过运行所述第二事件规则组件，验证所述目标应用是否命中风险地址名单；若所述目标应用命中风险地址名单，则确定应用身份验证不通过；若所述目标应用未命中风险地址名单，则确定应用身份验证通过。

17、在其中一个实施例中，所述根据所述应用信任评分，对所述目标应用进行应用访问鉴权，包括：

18、根据所述应用信任评分，确定所述目标应用对应的信任等级；若所述信任等级处于预设第一信任等级，则向所述目标应用反馈允许访问的第一反馈信息；若所述信任等级处于预设第二信任等级，则向所述目标应用反馈需要进行二次认证的第二反馈信息；若所述信任等级处于预设第三信任等级，则向所述目标应用反馈禁止访问的第三反馈信息。

19、第二方面，本技术还提供了一种应用访问鉴权装置。所述装置包括：

20、请求响应模块，用于响应于目标应用的鉴权请求，获取所述目标应用对应的应用标识信息；

21、身份验证模块，用于将所述应用标识信息读入预设第一规则引擎组件，并通过运行所述预设第一规则引擎组件，对所述目标应用进行应用身份验证；

22、嵌入特征构建模块，用于若应用身份验证通过，则构建所述目标应用的目标访问嵌入特征，其中，所述目标访问嵌入特征用于表征所述目标应用请求访问过程的特征信息；

23、应用信任评分模块，用于将所述目标访问嵌入特征读入预设第二规则引擎组件，并通过运行所述预设第二规则引擎组件，检测所述目标应用对应的应用信任评分；

24、鉴权模块，用于根据所述应用信任评分，对所述目标应用进行应用访问鉴权。

25、第三方面，本技术还提供了一种计算机设备。所述计算机设备包括存储器和处理器，所述存储器存储有计算机程序，所述处理器执行所述计算机程序时实现以下步骤：

26、响应于目标应用的鉴权请求，获取所述目标应用对应的应用标识信息；

27、将所述应用标识信息读入预设第一规则引擎组件，并通过运行所述预设第一规则引擎组件，对所述目标应用进行应用身份验证；

28、若应用身份验证通过，则构建所述目标应用的目标访问嵌入特征，其中，所述目标访问嵌入特征用于表征所述目标应用请求访问过程的特征信息；

29、将所述目标访问嵌入特征读入预设第二规则引擎组件，并通过运行所述预设第二规则引擎组件，检测所述目标应用对应的应用信任评分；

30、根据所述应用信任评分，对所述目标应用进行应用访问鉴权。

31、第四方面，本技术还提供了一种计算机可读存储介质。所述计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现以下步骤：

32、响应于目标应用的鉴权请求，获取所述目标应用对应的应用标识信息；

33、将所述应用标识信息读入预设第一规则引擎组件，并通过运行所述预设第一规则引擎组件，对所述目标应用进行应用身份验证；

34、若应用身份验证通过，则构建所述目标应用的目标访问嵌入特征，其中，所述目标访问嵌入特征用于表征所述目标应用请求访问过程的特征信息；

35、将所述目标访问嵌入特征读入预设第二规则引擎组件，并通过运行所述预设第二规则引擎组件，检测所述目标应用对应的应用信任评分；

36、根据所述应用信任评分，对所述目标应用进行应用访问鉴权。

37、上述应用访问鉴权方法、装置、计算机设备和存储介质，通过响应于目标应用的鉴权请求，获取所述目标应用对应的应用标识信息；将所述应用标识信息读入预设第一规则引擎组件，并通过运行所述预设第一规则引擎组件，对所述目标应用进行应用身份验证，这样实现了以规则引擎的方式将应用访问鉴权过程中的应用身份验证流程与业务代码进行解耦；若应用身份验证通过，则构建所述目标应用的目标访问嵌入特征，其中，所述目标访问嵌入特征用于表征所述目标应用请求访问过程的特征信息；将所述目标访问嵌入特征读入预设第二规则引擎组件，并通过运行所述预设第二规则引擎组件，检测所述目标应用对应的应用信任评分，这样实现了以规则引擎的方式将应用访问鉴权过程中的应用信任评分过程与业务代码进行解耦，从而本技术可以实现将应用访问鉴权的整个业务过程与代码进行分离，所有的应用访问鉴权流程均可以共用预设第一规则引擎组件和预设第二规则引擎组件，因此可以避免由于零信任系统的业务代码数量过多导致业务代码频繁更新的情况发生，可以提升零信任系统的运行稳定性。