CN103813334A - 权限控制方法和权限控制装置 - Google Patents
权限控制方法和权限控制装置 Download PDFInfo
- Publication number
- CN103813334A CN103813334A CN201410063062.7A CN201410063062A CN103813334A CN 103813334 A CN103813334 A CN 103813334A CN 201410063062 A CN201410063062 A CN 201410063062A CN 103813334 A CN103813334 A CN 103813334A
- Authority
- CN
- China
- Prior art keywords
- user
- confidence values
- terminal
- described user
- preset value
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明提供了一种权限控制方法和一种权限控制装置,其中,所述权限控制方法,包括:监测用户对终端的操作;根据预存的用户行为数据可信值定义,确定所述用户的操作所对应的可信值;根据所述用户的操作所对应的可信值确定所述用户对所述终端的操作权限。通过本发明的技术方案,对用户在终端上的操作进行监测,分析用户的行为,并判断操作用户是否为可信用户,根据判断结果控制用户对终端的操作行为,可减少可信用户的认证次数,并进一步提高安全性能。
Description
技术领域
本发明涉及通信技术领域,具体而言,涉及一种权限控制方法和一种权限控制装置。
背景技术
目前,随着智能终端(手机、平板电脑等等)的广泛使用,智能终端中存储着大量的用户隐私信息,因此智能终端的信息安全成为备受关注的问题。
常用的管理应用及信息的认证方法就是设置一个账号和对应的密码,通过账号和密码的验证来实现信息加密。用户在使用终端时,在登陆框中输入账号和密码,只要通过后台验证无误后,终端就会开放所有操作权限。此种对信息进行加密的方式,密码很容易被人为破解或遭受木马程序的攻击而被破解,造成用户的隐私信息泄露。
在相关技术中还有一种方案是为不同的应用设置不同等级的权限,这样会造成用户在每次使用时都需要进行权限验证,造成不停地进行权限验证的效果验证方法不够灵活,用户体验太差。
因此,如何在保证终端安全性的前提下,减少验证步骤成为亟待解决的技术问题。
发明内容
本发明正是基于上述问题,提出了一种新的权限控制技术,监测并分析用户对终端的操作行为,根据分析结果自动控制用户的权限。
有鉴于此,根据本发明的一个方面,提出了一种权限控制方法,包括:监测用户对终端的操作;根据预存的用户行为数据可信值定义,确定所述用户的操作所对应的可信值;根据所述用户的操作所对应的可信值确定所述用户对所述终端的操作权限。
在该技术方案中,通过监测用户对终端的操作并根据用户的操作确定该用户的可信值,使得终端根据可信值自动识别是否需要第二次密码认证并开放相应的权限,与相关技术中相比,该技术方案可灵活的根据用户的操作行为确定可信值,根据可信值确定用户的可信度,对可信用户开放所有权限,不需要重复的进行第二次密码认证,简化了操作步骤。
其中,第一预设值根据用户对终端信息的安全性要求可以自由设定。在允许范围内设定的第一预设值越大,用户提升为可信用户就越困难,也即获得终端所有权限越困难,信息的安全性越高。
在上述技术方案中,优选地,所述用户行为数据可信值定义包括操作类型、每一操作类型对应的可信权重以及每一操作类型对应的认证级别;根据所述用户的操作所对应的可信值确定所述终端用户的可信值;在所述用户的可信值大于第一预设值时,确定所述用户为可信用户,并开放所述终端的所有操作权限。
在该技术方案中,通过预先定义操作类型、每一种操作类型对应的可信权重以及每一种操作类型对应的认证级别,可以在用户对终端进行各项操作时,根据预置的用户行为数据可信值定义可方便获取相应操作的权重,计算相应操作的可信值。同时,通过定义各项操作的权重,可以将重要的操作设置较高的权重,更加智能的识别用户的可信度。例如:回复电话和输入密码正确的权重较高,拨打陌生电话的权重较低。而且各项操作都有对应的认证级别,在相应的认证级别通过后才可以进行相应的操作,获取可信分数。也就是说,在用户的操作得到终端的认可时,就可以为该用户加分,相反,如果用户的操作不能得到终端的认可,则不会为该用户加分,从而动态判断用户是否是可信用户。
在上述技术方案中,优选地,根据所述可信权重计算出用户在执行相应操作后所获得的可信分数;将所述用户执行的所有操作所对应的可信分数相加,得到所述用户的可信值。
在该技术方案中,通过将用户各项操作的可信分数相加得到用户的可信值,可以使终端根据可信值智能的识别该用户的可信度,而且根据用户对终端的不同操作,可信值动态变化,有效的保护用户的隐私。
在上述技术方案中,优选地,在所述用户的可信值小于等于第一预设值且大于第二预设值时,确定所述用户为可疑用户,并开放所述终端的部分操作权限;在所述用户的可信值小于等于所述第二预设值时,确定所述用户为不可信用户,限制所述用户对所述终端的所有可控制操作行为,其中,所述第一预设值大于所述第二预设值。
在该技术方案中,通过可信值与第一预设值和第二预设值的比较,将用户分为可信用户、可疑用户和不可信用户三种类型,对不同类型的用户开放相应的操作权限,对可信用户开放所有权限不需要重复的进行认证,对可疑用户开放部分权限,需要更多的验证才可以获取所有的权限,有效的保护用户的隐私。如果是不可信用户,则禁止使用该终端,提高终端的安全性能。
其中,第一预设值和第二预设值根据用户对终端信息的安全性要求设定,只需保证第一预设值大于第二预设值。
在上述技术方案中,优选地,还包括:在确定所述用户为可疑用户时,启用所述用户对所述终端的操作权限的二级认证;在所述用户通过所述二级认证时,获取对所述终端进行相应操作的权限。
在该技术方案中,通过对可疑用户进行第二次密码认证,验证通过开放所有的权限,可以避免可信用户因为某次输入错误密码或者其他误操作而被降级为可疑用户进而被限制部分应用的权限。相应地,如果可疑用户多次输入第二次密码错误,则将该用户降级为不可信用户。
具体来说:在第一次通过用户名和密码验证后,只对用户开放安全级别最低的应用,用户只能使用、查看终端部分应用和信息。根据用户对终端部分应用的操作确定用户的可信值,可信值大于第一预设值为可信用户,会开放所有终端权限;可信值小于等于第一预设值大于第二预设值为可以用户,会开放终端的部分操作权限,例如仅可以使用浏览器、闹铃等应用;可信值小于等于第二预设值为不可信用户,限制对终端的操作权限。对于可信用户和可疑用户,其可信值随用户对终端的操作动态的变化。
例如:对于可信用户,如果用户在使用应用程序过程中出现多次错误,比如wifi密码验证多次错误等,则根据密码验证错误的权重重新确定相应的可信分数,得到新的可信值,该可信用户可能降为可疑用户,则提升权限管理,禁止访问安全级别高的应用和操作,比如禁止访问图片、存储器等。如果用户使用过程中没有出现密码验证错误,并有正确连接配件、打电话、回复短信等操作,则认定用户为可信用户,默认开启所有权限,不需要输入第二次密码验证。同样地,可疑用户根据操作的可信分数也可以升级为可信用户或降级为不可信用户。
根据本发明的另一方面,还提出了一种权限控制装置,包括:监测单元,用于监测用户对终端的操作;判断单元,连接至所述监测单元,用于根据预存的用户行为数据可信值定义,确定所述用户的操作所对应的可信值;权限控制单元,用于根据所述用户的操作所对应的可信值确定所述用户对所述终端的操作权限。
在该技术方案中,通过监测用户对终端的操作并根据用户的操作确定该用户的可信值,使得终端根据可信值自动识别是否需要第二次密码认证并开放相应的权限,与相关技术中相比,该技术方案可灵活的根据用户的操作行为确定可信值,根据可信值确定用户的可信度,对可信用户开放所有权限,不需要重复的进行第二次密码认证,简化了操作步骤。
其中,第一预设值根据用户对终端信息的安全性要求可以自由设定。在允许范围内设定的第一预设值越大,用户提升为可信用户就越困难,也即获得终端所有权限越困难,信息的安全性越高。
在上述技术方案中,优选地,所述用户行为数据可信值定义包括操作类型、每一操作类型对应的可信权重以及每一操作类型对应的认证级别;所述判断单元还用于根据所述用户的操作所对应的可信值确定所述终端用户的可信值;所述权限控制单元在所述用户的可信值大于第一预设值时,确定所述用户为可信用户,并开放所述终端的所有操作权限。
在该技术方案中,通过预先定义操作类型、每一种操作类型对应的可信权重以及每一种操作类型对应的认证级别,可以在用户对终端进行各项操作时,根据预置的用户行为数据可信值定义可方便获取相应操作的权重,计算相应操作的可信值。同时,通过定义各项操作的权重,可以将重要的操作设置较高的权重,更加智能的识别用户的可信度。例如:回复电话和输入密码正确的权重较高,拨打陌生电话的权重较低。而且各项操作都有对应的认证级别,在相应的认证级别通过后才可以进行相应的操作,获取可信分数。也就是说,在用户的操作得到终端的认可时,就可以为该用户加分,相反,如果用户的操作不能得到终端的认可,则不会为该用户加分,从而动态判断用户是否是可信用户。
在上述技术方案中,优选地,所述判断单元包括:第一计算单元,根据所述可信权重计算出用户在执行相应操作后所获得的可信分数;第二计算单元,将所述用户执行的所有操作所对应的可信分数相加,得到所述用户的可信值。
在该技术方案中,通过将用户各项操作的可信分数相加得到用户的可信值,可以使终端根据可信值智能的识别该用户的可信度,而且根据用户对终端的不同操作,可信值动态变化,有效的保护用户的隐私。
在上述技术方案中,优选地,所述权限控制单元还用于在所述用户的可信值小于等于第一预设值且大于第二预设值时,确定所述用户为可疑用户,并开放所述终端的部分操作权限,以及在所述用户的可信值小于等于所述第二预设值时,确定所述用户为不可信用户,限制所述用户对所述终端的所有可控制操作行为,其中,所述第一预设值大于所述第二预设值。
在该技术方案中,通过可信值与第一预设值和第二预设值的比较,将用户分为可信用户、可疑用户和不可信用户三种类型,对不同类型的用户开放相应的操作权限,对可信用户开放所有权限不需要重复的进行认证,对可疑用户开放部分权限,需要更多的验证才可以获取所有的权限,有效的保护用户的隐私。如果是不可信用户,则禁止使用该终端,提高终端的安全性能。
其中,第一预设值和第二预设值根据用户对终端信息的安全性要求设定,只需保证第一预设值大于第二预设值。
在上述技术方案中,优选地,所述权限控制单元还用于在确定所述用户为可疑用户时,启用所述用户对所述终端的操作权限的二级认证,在所述用户通过所述二级认证时,获取对所述终端进行相应操作的权限。
在该技术方案中,通过对可疑用户进行第二次密码认证,验证通过开放所有的权限,可以避免可信用户因为某次输入错误密码或者其他误操作而被降级为可疑用户进而被限制部分应用的权限。相应地,如果可疑用户多次输入第二次密码错误,则将该用户降级为不可信用户。
具体来说:在第一次通过用户名和密码验证后,只对用户开放安全级别最低的应用,用户只能使用、查看终端部分应用和信息。根据用户对终端部分应用的操作确定用户的可信值,可信值大于第一预设值为可信用户,会开放所有终端权限;可信值小于等于第一预设值大于第二预设值为可以用户,会开放终端的部分操作权限,例如仅可以使用浏览器、闹铃等应用;可信值小于等于第二预设值为不可信用户,限制对终端的操作权限。对于可信用户和可疑用户,其可信值随用户对终端的操作动态的变化。
例如:对于可信用户,如果用户在使用应用程序过程中出现多次错误,比如wifi密码验证多次错误等,则根据密码验证错误的权重重新确定相应的可信分数,得到新的可信值,该可信用户可能降为可疑用户,则提升权限管理,禁止访问安全级别高的应用和操作,比如禁止访问图片、存储器等。如果用户使用过程中没有出现密码验证错误,并有正确连接配件、打电话、回复短信等操作,则认定用户为可信用户,默认开启所有权限,不需要输入第二次密码验证。同样地,可疑用户根据操作的可信分数也可以升级为可信用户或降级为不可信用户。
附图说明
图1示出了根据本发明的一个实施例的权限控制方法的示意流程图;
图2示出了根据本发明的一个实施例的二级密码认证方法的示意流程图;
图3示出了根据本发明的一个实施例的权限控制装置的结构示意图;
图4示出了根据本发明的一个实施例的权限控制装置的内部架构示意图。
具体实施方式
为了能够更清楚地理解本发明的上述目的、特征和优点,下面结合附图和具体实施方式对本发明进行进一步的详细描述。需要说明的是,在不冲突的情况下,本申请的实施例及实施例中的特征可以相互组合。
在下面的描述中阐述了很多具体细节以便于充分理解本发明,但是,本发明还可以采用其他不同于在此描述的其他方式来实施,因此,本发明的保护范围并不受下面公开的具体实施例的限制。
图1示出了根据本发明的一个实施例的权限控制方法的示意流程图。
如图1所示,根据本发明的一个实施例的权限控制方法,包括:步骤102,监测用户对终端的操作;步骤104,根据预存的用户行为数据可信值定义,确定所述用户的操作所对应的可信值;步骤106,根据所述用户的操作所对应的可信值确定所述用户对所述终端的操作权限。
在该技术方案中,通过监测用户对终端的操作并根据用户的操作确定该用户的可信值,使得终端根据可信值自动识别是否需要第二次密码认证并开放相应的权限,与相关技术中相比,该技术方案可灵活的根据用户的操作行为确定可信值,根据可信值确定用户的可信度,对可信用户开放所有权限,不需要重复的进行第二次密码认证,简化了操作步骤。
其中,第一预设值根据用户对终端信息的安全性要求可以自由设定。在允许范围内设定的第一预设值越大,用户提升为可信用户就越困难,也即获得终端所有权限越困难,信息的安全性越高。
在上述技术方案中,优选地,所述用户行为数据可信值定义包括操作类型、每一操作类型对应的可信权重以及每一操作类型对应的认证级别;根据所述用户的操作所对应的可信值确定所述终端用户的可信值;在所述用户的可信值大于第一预设值时,确定所述用户为可信用户,并开放所述终端的所有操作权限。
在该技术方案中,通过预先定义操作类型、每一种操作类型对应的可信权重以及每一种操作类型对应的认证级别,可以在用户对终端进行各项操作时,根据预置的用户行为数据可信值定义可方便获取相应操作的权重,计算相应操作的可信值。同时,通过定义各项操作的权重,可以将重要的操作设置较高的权重,更加智能的识别用户的可信度。如表2所示,回复电话和输入密码正确的权重较高,拨打陌生电话的权重较低。而且各项操作都有对应的认证级别(如表2所示),在相应的认证级别通过后才可以进行相应的操作,获取可信分数。也就是说,在用户的操作得到终端的认可时,就可以为该用户加分,相反,如果用户的操作不能得到终端的认可,则不会为该用户加分,从而动态判断用户是否是可信用户。
作为一种较为具体的实施例,以手机终端为例进行说明。
根据安全级别不同,定义不同的安全策略、认证方式及安全模式。如表1所示。
表1
一级密码认证,可通过基本的数字或图像密码输入,用户密码输入正确后只能使用或查看部分应用和信息,开启一级密码认证后的安全模式,后台运行用户行为分析。
二级密码认证,通过指纹、声纹及眼纹等安全级别更高的生物识别让用户进一步认证。
操作类型、每一种操作类型对应的可信权重以及每一种操作类型对应的认证级别如表2所示。
| 用户操作 | 可信权重 | 密码认证 |
| 回复电话 | 30% | 一级 |
| 连接配件 | 30% | 一级 |
| 拨打陌生电话 | 5% | 一级 |
| 发送短信 | 5% | 一级 |
| 正确连接网络 | 10% | 一级 |
| 错误连接网络 | 0 | 一级 |
| 输入密码错误 | 0 | 一级 |
| 输入密码正确 | 30% | 一级 |
| 访问通讯录 | 10% | 一级 |
| 访问相册 | 10% | 二级 |
表2
在上述技术方案中,优选地,根据所述可信权重计算出用户在执行相应操作后所获得的可信分数;将所述用户执行的所有操作所对应的可信分数相加,得到所述用户的可信值。
在该技术方案中,通过将用户各项操作的可信分数相加得到用户的可信值,可以使终端根据可信值智能的识别该用户的可信度,而且根据用户对终端的不同操作,可信值动态变化,有效的保护用户的隐私。
在上述技术方案中,优选地,在所述用户的可信值小于等于第一预设值且大于第二预设值时,确定所述用户为可疑用户,并开放所述终端的部分操作权限;在所述用户的可信值小于等于所述第二预设值时,确定所述用户为不可信用户,限制所述用户对所述终端的所有可控制操作行为,其中,所述第一预设值大于所述第二预设值。
在该技术方案中,通过可信值与第一预设值和第二预设值的比较,将用户分为可信用户、可疑用户和不可信用户三种类型,对不同类型的用户开放相应的操作权限,对可信用户开放所有权限不需要重复的进行认证,对可疑用户开放部分权限,需要更多的验证才可以获取所有的权限,有效的保护用户的隐私。如果是不可信用户,则禁止使用该终端,提高终端的安全性能。
其中,第一预设值和第二预设值根据用户对终端信息的安全性要求设定,只需保证第一预设值大于第二预设值。
在上述技术方案中,优选地,还包括:在确定所述用户为可疑用户时,启用所述用户对所述终端的操作权限的二级认证;在所述用户通过所述二级认证时,获取对所述终端进行相应操作的权限。
在该技术方案中,通过对可疑用户进行第二次密码认证,验证通过开放所有的权限,可以避免可信用户因为某次输入错误密码或者其他误操作而被降级为可疑用户进而被限制部分应用的权限。相应地,如果可疑用户多次输入第二次密码错误,则将该用户降级为不可信用户。
具体来说:在第一次通过用户名和密码验证后,只对用户开放安全级别最低的应用,用户只能使用、查看终端部分应用和信息。根据用户对终端部分应用的操作确定用户的可信值,可信值大于第一预设值为可信用户,会开放所有终端权限;可信值小于等于第一预设值大于第二预设值为可以用户,会开放终端的部分操作权限,例如仅可以使用浏览器、闹铃等应用;可信值小于等于第二预设值为不可信用户,限制对终端的操作权限。对于可信用户和可疑用户,其可信值随用户对终端的操作动态的变化。
例如:对于可信用户,如果用户在使用应用程序过程中出现多次错误,比如wifi密码验证多次错误等,则根据密码验证错误的权重重新确定相应的可信分数,得到新的可信值,该可信用户可能降为可疑用户,则提升权限管理,禁止访问安全级别高的应用和操作,比如禁止访问图片、存储器等。如果用户使用过程中没有出现密码验证错误,并有正确连接配件、打电话、回复短信等操作,则认定用户为可信用户,默认开启所有权限,不需要输入第二次密码验证。同样地,可疑用户根据操作的可信分数也可以升级为可信用户或降级为不可信用户。
图2示出了根据本发明的一个实施例的二级密码认证方法的示意流程图。
如图2所示,根据本发明的一个实施例的二级密码认证方法的流程,包括:
步骤202,用户第一次密码验证通过,进入系统。
步骤204,在用户通过第一次密码验证进入系统后,开启安全级别最低的用户操作权限。
步骤206,监测用户的操作,进行用户行为分析,确定用户的可信值。
步骤208,根据行为分析确定的可信值,判断用户是否为可信用户,是可信用户则转向步骤214,否则转向步骤210。
步骤210,对于不可信用户开启二级密码认证。
步骤212,判断用户的二级密码认证是否通过,通过二级密码认证转向步骤214,否则不开放更多的权限。
步骤214,用户为可信用户或者不可信用户通过二级密码认证,则开放相应权限。
图3示出了根据本发明的一个实施例的权限控制装置的结构示意图。
如图3所示,根据本发明的一个实施例的权限控制装置300,包括:监测单元302,用于监测用户对终端的操作;判断单元304,连接至所述监测单元302,用于根据预存的用户行为数据可信值定义,确定所述用户的操作所对应的可信值;权限控制单元306,用于根据所述用户的操作所对应的可信值确定所述用户对所述终端的操作权限。
在该技术方案中,通过监测用户对终端的操作并根据用户的操作确定该用户的可信值,使得终端根据可信值自动识别是否需要第二次密码认证并开放相应的权限,与相关技术中相比,该技术方案可灵活的根据用户的操作行为确定可信值,根据可信值确定用户的可信度,对可信用户开放所有权限,不需要重复的进行第二次密码认证,简化了操作步骤。
其中,第一预设值根据用户对终端信息的安全性要求可以自由设定。在允许范围内设定的第一预设值越大,用户提升为可信用户就越困难,也即获得终端所有权限越困难,信息的安全性越高。
在上述技术方案中,优选地,所述用户行为数据可信值定义包括操作类型、每一操作类型对应的可信权重以及每一操作类型对应的认证级别;权限控制单元306在所述用户的可信值大于第一预设值时,确定所述用户为可信用户,并开放所述终端的所有操作权限。
在该技术方案中,通过预先定义操作类型、每一种操作类型对应的可信权重以及每一种操作类型对应的认证级别,可以在用户对终端进行各项操作时,根据预置的用户行为数据可信值定义可方便获取相应操作的权重,计算相应操作的可信值。同时,通过定义各项操作的权重,可以将重要的操作设置较高的权重,更加智能的识别用户的可信度。例如:回复电话和输入密码正确的权重较高,拨打陌生电话的权重较低。而且各项操作都有对应的认证级别,在相应的认证级别通过后才可以进行相应的操作,获取可信分数。也就是说,在用户的操作得到终端的认可时,就可以为该用户加分,相反,如果用户的操作不能得到终端的认可,则不会为该用户加分,从而动态判断用户是否是可信用户。
在上述技术方案中,优选地,所述判断单元304包括:第一计算单元3042,根据所述可信权重计算出用户在执行相应操作后所获得的可信分数;第二计算单元3044,将所述用户执行的所有操作所对应的可信分数相加,得到所述用户的可信值。
在该技术方案中,通过将用户各项操作的可信分数相加得到用户的可信值,可以使终端根据可信值智能的识别该用户的可信度,而且根据用户对终端的不同操作,可信值动态变化,有效的保护用户的隐私。
在上述技术方案中,优选地,所述权限控制单元306还用于在所述用户的可信值小于等于第一预设值且大于第二预设值时,确定所述用户为可疑用户,并开放所述终端的部分操作权限,以及在所述用户的可信值小于等于所述第二预设值时,确定所述用户为不可信用户,限制所述用户对所述终端的所有可控制操作行为,其中,所述第一预设值大于所述第二预设值。
在该技术方案中,通过可信值与第一预设值和第二预设值的比较,将用户分为可信用户、可疑用户和不可信用户三种类型,对不同类型的用户开放相应的操作权限,对可信用户开放所有权限不需要重复的进行认证,对可疑用户开放部分权限,需要更多的验证才可以获取所有的权限,有效的保护用户的隐私。如果是不可信用户,则禁止使用该终端,提高终端的安全性能。其中,第一预设值和第二预设值根据用户对终端信息的安全性要求设定,只需保证第一预设值大于第二预设值。
在上述技术方案中,优选地,所述权限控制单元306还用于在确定所述用户为可疑用户时,启用所述用户对所述终端的操作权限的二级认证,在所述用户通过所述二级认证时,获取对所述终端进行相应操作的权限。
在该技术方案中,通过对可疑用户进行第二次密码认证,验证通过开放所有的权限,可以避免可信用户因为某次输入错误密码或者其他误操作而被降级为可疑用户进而被限制部分应用的权限。相应地,如果可疑用户多次输入第二次密码错误,则将该用户降级为不可信用户。
具体来说:在第一次通过用户名和密码验证后,只对用户开放安全级别最低的应用,用户只能使用、查看终端部分应用和信息。根据用户对终端部分应用的操作确定用户的可信值,可信值大于第一预设值为可信用户,会开放所有终端权限;可信值小于等于第一预设值大于第二预设值为可以用户,会开放终端的部分操作权限,例如仅可以使用浏览器、闹铃等应用;可信值小于等于第二预设值为不可信用户,限制对终端的操作权限。对于可信用户和可疑用户,其可信值随用户对终端的操作动态的变化。
例如:对于可信用户,如果用户在使用应用程序过程中出现多次错误,比如wifi密码验证多次错误等,则根据密码验证错误的权重重新确定相应的可信分数,得到新的可信值,该可信用户可能降为可疑用户,则提升权限管理,禁止访问安全级别高的应用和操作,比如禁止访问图片、存储器等。如果用户使用过程中没有出现密码验证错误,并有正确连接配件、打电话、回复短信等操作,则认定用户为可信用户,默认开启所有权限,不需要输入第二次密码验证。同样地,可疑用户根据操作的可信分数也可以升级为可信用户或降级为不可信用户。
图4示出了根据本发明的一个实施例的权限控制装置的内部架构示意图。
如图4所示,根据本发明的一个实施例的权限控制装置的内部架构主要包括处理器单元402、安全控制模块404、密码验证模块406、用户行为分析模块408、行为数据库410。
处理器单元402,与安全控制模块404、密码验证模块406、用户行为分析模块408进行数据交互和处理分析。
系统安全控制模块404(对应于图3中的权限控制单元306),负责安全机制的调度和运行,管理各应用的安全权限,接受用户行为分析模块408的数据,判断是否开启二级密码认证。
密码验证模块406,完成用户名与密码的匹配和验证。
用户行为分析模块408(对应于图3中的判断单元304),一直在后台运行,跟踪用户的行为,并动态分析是否为可信用户,将分析后的数据发送至系统安全控制模块404。
行为数据库410,预先定义并存储了带有可信权重的行为数据,包括连接配件行为、回复电话、拨打陌生电话、发送短信、正确连接网络、错误连接网络、输入密码错误、输入密码正确、访问通讯录、访问相册等,即在图3所示的权限控制装置300中预置的用户行为数据可信值定义。
以上结合附图详细说明了本发明的技术方案,对用户在终端上的操作进行监测,分析用户的操作行为,根据分析结果来判断当前操作用户是否为可信用户,根据判断结果动态控制用户对终端的操作权限,例如可根据用户的可信等级来确定是否智能开启二级密码认证,避免多次输入二级密码的繁琐操作。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种权限控制方法,其特征在于,包括:
监测用户对终端的操作;
根据预存的用户行为数据可信值定义,确定所述用户的操作所对应的可信值;
根据所述用户的操作所对应的可信值确定所述用户对所述终端的操作权限。
2.根据权利要求1所述的权限控制方法,其特征在于,所述用户行为数据可信值定义包括操作类型、每一操作类型对应的可信权重以及每一操作类型对应的认证级别;
所述根据所述用户的操作所对应的可信值确定所述用户对所述终端的操作权限的步骤,具体为:
根据所述用户的操作所对应的可信值确定所述终端用户的可信值;
在所述用户的可信值大于第一预设值时,确定所述用户为可信用户,并开放所述终端的所有操作权限。
3.根据权利要求2所述的权限控制方法,其特征在于,根据所述可信权重计算出用户在执行相应操作后所获得的可信分数;
将所述用户执行的所有操作所对应的可信分数相加,得到所述用户的可信值。
4.根据权利要求2或3所述的权限控制方法,其特征在于,在所述用户的可信值小于等于所述第一预设值且大于第二预设值时,确定所述用户为可疑用户,并开放所述终端的部分操作权限;
在所述用户的可信值小于等于所述第二预设值时,确定所述用户为不可信用户,限制所述用户对所述终端的所有可控制操作行为,其中,所述第一预设值大于所述第二预设值。
5.根据权利要求4所述的权限控制方法,其特征在于,还包括:在确定所述用户为可疑用户时,启用所述用户对所述终端的操作权限的二级认证。
6.一种权限控制装置,其特征在于,包括:
监测单元,用于监测用户对终端的操作;
判断单元,连接至所述监测单元,用于根据预存的用户行为数据可信值定义,确定所述用户的操作所对应的可信值;
权限控制单元,用于根据所述用户的操作所对应的可信值确定所述用户对所述终端的操作权限。
7.根据权利要求6所述的权限控制装置,其特征在于,所述用户行为数据可信值定义包括操作类型、每一操作类型对应的可信权重以及每一操作类型对应的认证级别;
所述判断单元还用于根据所述用户的操作所对应的可信值确定所述终端用户的可信值;
所述权限控制单元在所述用户的可信值大于第一预设值时,确定所述用户为可信用户,并开放所述终端的所有操作权限。
8.根据权利要求7所述的权限控制装置,其特征在于,所述判断单元包括:
第一计算单元,根据所述可信权重计算出用户在执行相应操作后所获得的可信分数;
第二计算单元,将所述用户执行的所有操作所对应的可信分数相加,得到所述用户的可信值。
9.根据权利要求7或8所述的权限控制装置,其特征在于,所述权限控制单元还用于在所述用户的可信值小于等于第一预设值且大于第二预设值时,确定所述用户为可疑用户,并开放所述终端的部分操作权限,以及在所述用户的可信值小于等于所述第二预设值时,确定所述用户为不可信用户,限制所述用户对所述终端的所有可控制操作行为,其中,所述第一预设值大于所述第二预设值。
10.根据权利要求9所述的权限控制装置,其特征在于,所述权限控制单元还用于在确定所述用户为可疑用户时,启用所述用户对所述终端的操作权限的二级认证。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410063062.7A CN103813334A (zh) | 2014-02-24 | 2014-02-24 | 权限控制方法和权限控制装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410063062.7A CN103813334A (zh) | 2014-02-24 | 2014-02-24 | 权限控制方法和权限控制装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103813334A true CN103813334A (zh) | 2014-05-21 |
Family
ID=50709430
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410063062.7A Pending CN103813334A (zh) | 2014-02-24 | 2014-02-24 | 权限控制方法和权限控制装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103813334A (zh) |
Cited By (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104038508A (zh) * | 2014-07-02 | 2014-09-10 | 携程计算机技术(上海)有限公司 | 网站账户访问权限的设置系统及方法 |
| CN104077516A (zh) * | 2014-06-26 | 2014-10-01 | 华为技术有限公司 | 一种生物认证方法及终端 |
| CN105353641A (zh) * | 2015-12-16 | 2016-02-24 | 江苏嘉泽建设有限公司 | 一种智能家居控制系统 |
| CN105376265A (zh) * | 2014-07-24 | 2016-03-02 | 阿里巴巴集团控股有限公司 | 一种网络耗尽性资源的使用方法及装置 |
| CN105827641A (zh) * | 2016-05-13 | 2016-08-03 | 沃通电子认证服务有限公司 | 情景感知型动态统一认证方法及系统 |
| CN105959319A (zh) * | 2016-07-13 | 2016-09-21 | 南阳理工学院 | 一种数据安全传输方法及装置 |
| CN106161445A (zh) * | 2016-07-13 | 2016-11-23 | 南阳理工学院 | 一种计算机信息安全控制方法及装置 |
| CN106209844A (zh) * | 2016-07-13 | 2016-12-07 | 国网河南省电力公司南阳供电公司 | 电力安全通讯方法 |
| CN106209848A (zh) * | 2016-07-13 | 2016-12-07 | 国网河南省电力公司南阳供电公司 | 电力通信方法及装置 |
| CN106209847A (zh) * | 2016-07-13 | 2016-12-07 | 国网河南省电力公司南阳供电公司 | 电力数据传输方法及装置 |
| CN106254322A (zh) * | 2016-07-27 | 2016-12-21 | 南阳理工学院 | 一种英语教学数据传输方法及装置 |
| CN106254329A (zh) * | 2016-07-30 | 2016-12-21 | 南阳理工学院 | 用于保护计算机网络安全的方法 |
| CN106302409A (zh) * | 2016-07-30 | 2017-01-04 | 国网河南省电力公司南阳供电公司 | 跨安全区的电力数据传输方法 |
| CN106412909A (zh) * | 2016-10-19 | 2017-02-15 | 广东欧珀移动通信有限公司 | 一种设备连接的方法及装置 |
| CN106548342A (zh) * | 2015-09-22 | 2017-03-29 | 阿里巴巴集团控股有限公司 | 一种可信设备确定方法及装置 |
| CN106570689A (zh) * | 2015-10-10 | 2017-04-19 | 阿里巴巴集团控股有限公司 | 一种权限验证方法和设备 |
| CN107305603A (zh) * | 2016-04-20 | 2017-10-31 | 中兴通讯股份有限公司 | 一种启动应用程序的方法及装置 |
| CN107347077A (zh) * | 2017-08-30 | 2017-11-14 | 郑州云海信息技术有限公司 | 一种基于用户权限的软件安全保护方法及设备 |
| CN107703941A (zh) * | 2017-10-10 | 2018-02-16 | 湖州华科信息咨询有限公司 | 一种用于车辆自动控速的方法和装置 |
| CN107846482A (zh) * | 2017-11-03 | 2018-03-27 | 赛尔网络有限公司 | 域名备案子系统及应用其的域名管理系统 |
| CN109815685A (zh) * | 2019-01-18 | 2019-05-28 | 新华网股份有限公司 | 用户权限管理方法、装置、电子设备及可读存储介质 |
| CN110211583A (zh) * | 2019-05-31 | 2019-09-06 | 北京声赫科技有限公司 | 一种基于智能线控的语音交互方法以及语音交互设备 |
| CN115021967A (zh) * | 2022-05-06 | 2022-09-06 | 中国电信股份有限公司 | 工业数据授权方法、装置、电子设备和存储介质 |
| CN118656787A (zh) * | 2024-08-16 | 2024-09-17 | 深圳妙月科技有限公司 | 应用于物联网一卡通平台的多模态识别方法及系统 |
-
2014
- 2014-02-24 CN CN201410063062.7A patent/CN103813334A/zh active Pending
Cited By (31)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104077516A (zh) * | 2014-06-26 | 2014-10-01 | 华为技术有限公司 | 一种生物认证方法及终端 |
| WO2015197008A1 (zh) * | 2014-06-26 | 2015-12-30 | 华为技术有限公司 | 一种生物认证方法及终端 |
| CN104077516B (zh) * | 2014-06-26 | 2018-04-27 | 华为技术有限公司 | 一种生物认证方法及终端 |
| CN104038508A (zh) * | 2014-07-02 | 2014-09-10 | 携程计算机技术(上海)有限公司 | 网站账户访问权限的设置系统及方法 |
| CN105376265A (zh) * | 2014-07-24 | 2016-03-02 | 阿里巴巴集团控股有限公司 | 一种网络耗尽性资源的使用方法及装置 |
| CN105376265B (zh) * | 2014-07-24 | 2019-04-02 | 阿里巴巴集团控股有限公司 | 一种网络耗尽性资源的使用方法及装置 |
| CN106548342A (zh) * | 2015-09-22 | 2017-03-29 | 阿里巴巴集团控股有限公司 | 一种可信设备确定方法及装置 |
| CN106548342B (zh) * | 2015-09-22 | 2023-07-04 | 创新先进技术有限公司 | 一种可信设备确定方法及装置 |
| CN106570689A (zh) * | 2015-10-10 | 2017-04-19 | 阿里巴巴集团控股有限公司 | 一种权限验证方法和设备 |
| CN105353641A (zh) * | 2015-12-16 | 2016-02-24 | 江苏嘉泽建设有限公司 | 一种智能家居控制系统 |
| CN107305603A (zh) * | 2016-04-20 | 2017-10-31 | 中兴通讯股份有限公司 | 一种启动应用程序的方法及装置 |
| CN105827641A (zh) * | 2016-05-13 | 2016-08-03 | 沃通电子认证服务有限公司 | 情景感知型动态统一认证方法及系统 |
| CN106161445A (zh) * | 2016-07-13 | 2016-11-23 | 南阳理工学院 | 一种计算机信息安全控制方法及装置 |
| CN106209848A (zh) * | 2016-07-13 | 2016-12-07 | 国网河南省电力公司南阳供电公司 | 电力通信方法及装置 |
| CN105959319A (zh) * | 2016-07-13 | 2016-09-21 | 南阳理工学院 | 一种数据安全传输方法及装置 |
| CN106209844A (zh) * | 2016-07-13 | 2016-12-07 | 国网河南省电力公司南阳供电公司 | 电力安全通讯方法 |
| CN106209847A (zh) * | 2016-07-13 | 2016-12-07 | 国网河南省电力公司南阳供电公司 | 电力数据传输方法及装置 |
| CN106254322A (zh) * | 2016-07-27 | 2016-12-21 | 南阳理工学院 | 一种英语教学数据传输方法及装置 |
| CN106302409A (zh) * | 2016-07-30 | 2017-01-04 | 国网河南省电力公司南阳供电公司 | 跨安全区的电力数据传输方法 |
| CN106254329A (zh) * | 2016-07-30 | 2016-12-21 | 南阳理工学院 | 用于保护计算机网络安全的方法 |
| CN106412909B (zh) * | 2016-10-19 | 2019-09-27 | 广东欧珀移动通信有限公司 | 一种设备连接的方法及装置 |
| CN106412909A (zh) * | 2016-10-19 | 2017-02-15 | 广东欧珀移动通信有限公司 | 一种设备连接的方法及装置 |
| CN107347077A (zh) * | 2017-08-30 | 2017-11-14 | 郑州云海信息技术有限公司 | 一种基于用户权限的软件安全保护方法及设备 |
| CN107703941A (zh) * | 2017-10-10 | 2018-02-16 | 湖州华科信息咨询有限公司 | 一种用于车辆自动控速的方法和装置 |
| CN107846482B (zh) * | 2017-11-03 | 2021-06-18 | 赛尔网络有限公司 | 域名备案子系统及应用其的域名管理系统 |
| CN107846482A (zh) * | 2017-11-03 | 2018-03-27 | 赛尔网络有限公司 | 域名备案子系统及应用其的域名管理系统 |
| CN109815685A (zh) * | 2019-01-18 | 2019-05-28 | 新华网股份有限公司 | 用户权限管理方法、装置、电子设备及可读存储介质 |
| CN110211583A (zh) * | 2019-05-31 | 2019-09-06 | 北京声赫科技有限公司 | 一种基于智能线控的语音交互方法以及语音交互设备 |
| CN110211583B (zh) * | 2019-05-31 | 2021-07-16 | 北京声赫科技有限公司 | 一种基于智能线控的语音交互方法以及语音交互设备 |
| CN115021967A (zh) * | 2022-05-06 | 2022-09-06 | 中国电信股份有限公司 | 工业数据授权方法、装置、电子设备和存储介质 |
| CN118656787A (zh) * | 2024-08-16 | 2024-09-17 | 深圳妙月科技有限公司 | 应用于物联网一卡通平台的多模态识别方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103813334A (zh) | 权限控制方法和权限控制装置 | |
| US9524388B2 (en) | System and method for enforcing a policy for an authenticator device | |
| US9361451B2 (en) | System and method for enforcing a policy for an authenticator device | |
| US11818129B2 (en) | Communicating with client device to determine security risk in allowing access to data of a service provider | |
| US10445487B2 (en) | Methods and apparatus for authentication of joint account login | |
| US10044761B2 (en) | User authentication based on user characteristic authentication rules | |
| WO2017197974A1 (zh) | 一种基于生物特征的安全认证方法、装置及电子设备 | |
| US9565212B2 (en) | Secure mobile framework | |
| US8868921B2 (en) | Methods and systems for authenticating users over networks | |
| US10785230B1 (en) | Monitoring security of a client device to provide continuous conditional server access | |
| US20180219851A1 (en) | Method and system for authentication | |
| US8990906B2 (en) | Methods and systems for replacing shared secrets over networks | |
| KR20160009698A (ko) | 이중 인증 시스템과 방법 | |
| KR20160097323A (ko) | Nfc 인증 메커니즘 | |
| US10735398B1 (en) | Rolling code authentication techniques | |
| AU2013205396A1 (en) | Methods and Systems for Conducting Smart Card Transactions | |
| WO2017166689A1 (zh) | 一种隐私保护的方法及装置 | |
| US9801061B2 (en) | Multi-factor user authentication based on decoy security questions | |
| KR20130103537A (ko) | 사용자 계정 회복 | |
| CN105721425A (zh) | 一种信息处理方法及电子设备 | |
| CN109246062B (zh) | 一种基于浏览器插件的认证方法及系统 | |
| US10735409B2 (en) | Authenication stick | |
| CN105722084A (zh) | 基于嵌入式用户身份识别模块的鉴权方法和终端 | |
| KR20210011577A (ko) | 심툴킷과 애플릿을 이용한 개인 정보 인증 장치 및 방법 | |
| EP3337125B1 (en) | Authenticating for an enterprise service |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20140521 |
|
| RJ01 | Rejection of invention patent application after publication |