CN104598778A - 权限调度方法及装置 - Google Patents
权限调度方法及装置 Download PDFInfo
- Publication number
- CN104598778A CN104598778A CN201310529072.0A CN201310529072A CN104598778A CN 104598778 A CN104598778 A CN 104598778A CN 201310529072 A CN201310529072 A CN 201310529072A CN 104598778 A CN104598778 A CN 104598778A
- Authority
- CN
- China
- Prior art keywords
- authority
- account
- factor
- order
- scheduling
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明提供一种权限调度方法及装置,涉及权限控制技术领域,为解决现有静态设置权限调度方法,导致的管理人员工作负荷大、权限无法实现最优化和最小化调度的问题而设计。所述方法包括:获取包括权限使用频率的权限信息;根据所述权限信息及预设函数关系,计算权限调度因子;将所述权限调度因子与预设阀值进行比较,获得比较结果并根据所述比较结果所映射的预设调度指令,调度权限。所述权限调度方法及装置,实现了权限调度的智能化,使得权限的分配、召回等更加简单,更加符合用户需求且提高了信息安全。
Description
技术领域
本发明涉及权限控制技术领域,尤其涉及一种权限调度方法及装置。
背景技术
在业务支撑系统中,不同的账号分配有不同的权限。目前的权限调度主要是通过“账号-角色-权限”的映射关系,以静态化预设配置实现的。账号管理员对不同账号的授权,都是基于账号所对应的角色进行的。通常,同一类角色账号都拥有同样的权限,至于个别特殊的账号,则由管理人员进行手动设置。
现有技术虽然完成了对不同账号权限的调度,但是,在实际运用过程中存在以下问题:
第一、在现有的权限调度方法中,对于偶尔使用的权限一旦授权,除收回外随时都可以使用,若出现账号盗用等事件时,很容易导致重要权限被使用,造成信息安全性问题。
第二、在使用过程中,角色所对应的权限是由管理人员手动设置,故当每增加或删除一个权限,管理人员需在系统中手动的设置或删除角色与权限的映射关系,以便为不同的用户和账号设置权限。这种权限调度方法导致管理人员的工作量大,尤其是在现有的业务支撑系统发展很快,角色类型以及权限类型的新增和删除都很频繁,无疑将形成很大的工作量。
第三、在当前的权限控制过程中,一类角色授予了多个权限,归属于同一角色的不同账号可能所需用到的权限不同。具体的,如角色A对应于权限a、权限b以及权限c。用户1实际应用过程中,需经常使用权限a、偶尔使用权限b且不使用权限c;用户2实际应用过程中,经常使用权限b、偶尔使用权限c且不使用权限a;而系统在授权时,归属于同一角色A的用户1和用户2都具有上述三种权限。上述权限调度显然与权限最小化以及最优化的权限调度原则相违背。
发明内容
有鉴于此,本发明实施例的主要目的在于提供一种权限调度方法及装置,至少解决上述一个问题,以进一步实现权限的最小化和最优化调度,减少管理人员工作负荷,提高权限安全性。
为达到上述目的,本发明的技术方案是这样实现的:
本发明提供一种权限调度方法,所述方法包括:
获取包括权限使用频率的权限信息;
根据所述权限信息及预设函数关系,计算权限调度因子;
将所述权限调度因子与预设阀值进行比较,获得比较结果;
根据所述比较结果映射的预设调度指令调度权限。
优选地,所述权限信息还包括权限敏感度以及账户级别;
所述预设函数关系的数学表达式为F=∑(M*a,N*b,P*c);
其中,所述F为权限调度因子;
所述M为权限敏感度,所述a为所述M的权重;
所述N为账号级别,所述b为所述N的权重;
所述P为权限使用频率,所述c为所述P的权重。
优选地,
所述权限调度因子为用以权限召回的召回因子且所述预设阀值为召回阀值;
或
所述权限调度因子为用以在第一指定组账号间进行权限复制的传播因子且所述预设阀值为传播阀值。
优选地,当所述权限调度因子为所述召回因子时,所述方法还包括:
统计第二指定组内账号中已召回第一权限的账号数;
判断所述已召回第一权限的账号数占第二指定组账号总数的比值是否不小于移除阀值,
若是,则将所述第二指定组内账号中的第一权限全部召回。
优选地,所述方法还包括:
获取账号所归属的角色R、组织结构O以及账号一级管理员L;
依据公式S=∑(R*x,O*y,L*z),计算出分组因子S,其中所述x、y、z对应为R、O、Z的权重;
将S值相等的账号归为一组,形成所述第一指定组或所述第二指定组。
优选地,所述方法还包括:根据用户指示唤醒已召回权限。
优选地,所述根据用户指示唤醒已召回权限包括:
获取所述已召回权限的权限敏感度以及账号级别;
根所述权限敏感度、账号级别以及预设唤醒函数关系,计算唤醒因子;
根据所述唤醒因子与唤醒阀值的比较结果,向管理员或用户发送鉴权信息,
接收根据所述鉴权信息形成的鉴权反馈;
依据所述鉴权反馈唤醒权限。
本发明还提供了一种权限调度装置,所述装置包括:
权限信息获取单元,用以获取包括权限使用频率的权限信息;
计算单元,用以根据所述权限信息及预设函数关系,计算权限调度因子;
比较单元,用以将所述权限调度因子与预设阀值进行比较,获得比较结果;
调度单元,用以根据所述比较结果所映射的预设调度指令,调度权限。
优选地,所述权限信息还包括权限敏感度以及账户级别;
所述预设函数关系的数学表达式为F=∑(M*a,N*b,P*c);
其中,所述F为权限调度因子;
所述M为权限敏感度,所述a为所述M的权重;
所述N为账号级别,所述b为所述N的权重;
所述P为权限使用频率,所述c为所述P的权重。
优选地,
所述权限调度因子为用以权限召回的召回因子且所述预设阀值为召回阀值;
或
所述权限调度因子为用以在第一指定组账号间进行权限复制的传播因子且所述预设阀值为传播阀值。
优选地,所述装置还包括统计单元以及判断单元;所述调度单元包括召回子单元;
所述统计单元,用以当所述权限调度因子为所述召回因子时,统计第二指定组内账号中已召回第一权限的账号数;
所述判断单元,用以判断所述已召回第一权限的账号数占第二指定组账号总数的比值是否不小于移除阀值,
所述召回子单元,用以在已召回第一权限的账号数占第二指定组账号总数的比值不小于移除阀值时,将所述第二指定组内账号中的第一权限全部召回。
优选地,所述装置还包括指定形成单元;
所述权限信息获取单元,还用以获取账号所归属的角色R、组织结构O以及账号一级管理员L;
所述计算单元,还用以依据公式S=∑(R*x,O*y,L*z),计算出分组因子S,其中所述x、y、z对应为R、O、Z的权重;
所述指定形成单元,用以将S值相等的账号归为一组,形成第一指定组或第二指定组。
优选地,所述调度单元还包括用以根据用户指示将已召回权限唤醒的唤醒子单元。
优选地,所述权限信息获取单元用以获取已召回权限的权限敏感度及账号级别;
所述唤醒子单元包括:
计算模块,用以根所述权限敏感度、账号级别以及预设唤醒函数关系,计算唤醒因子;
鉴权信息发送模块,用以根据所述唤醒因子与唤醒阀值的比较结果,向管理员或用户发送鉴权信息;
鉴权反馈接收模块,用以接收根据所述鉴权信息形成的鉴权反馈,
唤醒模块,用以依据所述鉴权反馈唤醒权限。
本发明实施例所提供的权限调度方法及装置,相对于现有的权限调度方法,根据包括权限使用频率的权限信息,通过计算进行动态的权限调度,从而实现了权限的最小化和最优化调度;同时相对于手动设置降低了管理人员的工作量,实现了权限调度的实用、精简以及安全性要求。
附图说明
图1为本发明实施例一所述的权限调度方法的流程示意图;
图2为本发明实施例三中基于本发明权限调度方法的权限自动召回的流程示意图;
图3为本发明实施例三中基于本发明权限调度方法的权限自动传播的流程示意图;
图4为本发明实施例四所述的权限调度方法的流程示意图;
图5为本发明实施例七中基于本发明的所述的权限调度自动唤醒的流程示意图;
图6为本发明实施例八所述的权限调度装置的结构示意图;
图7为本发明实施例十所述的权限调度装置的结构示意图。
具体实施方式
下面结合说明书附图以及实施例对本发明所述的技术方案进行详细的阐述。
实施例一:
如图1所示,本实施例提供一种权限调度方法,所述方法包括:
步骤S110:获取包括权限使用频率的权限信息;
步骤S120:根据所述权限信息及预设函数关系,计算权限调度因子;
步骤S130:将所述权限调度因子与预设阀值进行比较,获得比较结果;
步骤S140:根据所述比较结果所映射的预设调度指令调度权限。
所述权限调度包括权限召回以及权限传播等权限调度行为,所述权限传播为权限的一种授权形式。
具体的,当账号A对应的权限a长时间未使用,则表示权限a的权限使用频率低,可将权限a召回,以免发生账号盗用等意外事件时,权限a被使用已形成更为严重的信息安全事件。
所述步骤S120中,所述权限信息作为所述预设函数关系的输入变量,通过函数关系计算得到一个权限调度因子。此处的函数关系可以是系数关系,所述系数不为0,特例为所述系数为1(即直接比较权限使用频率与阈值)。
具体的,当账号A对应的权限b频繁使用,则有可能表示权限b是一个与账号A同类型用户必须使用的权限,需要对于账号A同类型的或同角色的用户进行授权,在本实施例中,根据上述方法自动将权限传播复制到其他账号。相对于传统人工在同一类角色中添加权限的方法,智能化程度更高,更能及时的满足各类型账户的权限需求。
综合上述,本实施例提供了一种根据权限使用频率对权限进行召回或授权的权限自动调度方法,能提高权限安全性或及时为账号添加所需权限,且具有智能化程度高,操作简便等优点。
实施例二:
权限敏感度表征了权限的重要性,具体的,如账号所对应的缴费更改权限、用户身份变更权限等为敏感度较高,如申请开通业务的敏感度较低;敏感度越高,说明信息越重要,需要的安全性越高。
账号级别通常可以包括普通账号、管理账号以及超级账号,超级账号相对于管理账号的权限高,管理账号相对于普通账号的权限高。
对于不同的账号、不同的权限,根据权限使用频率召回或传播所设置的条件不同,才能实现更优化的权限调度,故本实施例在上一实施例的基础上,进一步的在所述权限信息中添加了权限敏感度以及用户级别,以更好的做出权限的调度。
通过权限敏感度、用户级别以及权限使用频率计算得到权限调度因子的方法有多种,所述预设调度函数关系也有多种,在本实施例中提供一种简便易行,函数关系清楚明了的预设调度关系的数学表达式。具体的,所述数学表达式为F=∑(M*a,N*b,P*c);
其中,所述F为权限调度因子;所述M为权限敏感度,所述a为所述M的权重;所述N为账号级别,所述b为所述N的权重;所述P为权限使用频率,所述c为所述P的权重。这里,所述a、b以及c都是预先设置的。
在具体实施时,具体变量M、N、P与F之间是正相关还是负相关,与对应权重的符号、F与预设阀值比较结果所映射的预设调度指令、以及M、N、P大小所表征的意义相关。具体的,当F不小于预设阀值时召回权限,P越大使用频率越高,则P与所述F呈负相关且c的符号为负;当F不小于预设阀值时召回权限且M越大表示信息越重要,则F与M呈正相关。
本实施例所述提供的函数关系式适用于所有级别的账号、所有的权限,具有适用度广的优点。
实施例三:
本实施例是在实施例一或实施例二的基础上,针对权限召回以及权限传播进行了具体设计。具体的:所述权限调度因子为用以权限召回的召回因子或用以在第一指定组账号间进行权限复制的传播因子。
以账号B及其对应的权限b为例,当所述权限调度因子为召回因子,则将召回因子与预设阀值(此时预设阀值为召回阀值)进行比较,根据比较结果判定是否召回账号B对应的权限b;具体的,当召回因子不小于召回阀值时,则召回权限b,账号B不再能使用权限b;当召回因子小于召回阀值时,则不召回权限b,账号B可继续使用权限b。
在上述阐述中,权限b以及账号B都仅是权限和账号的指代符,所述权限b可以是任意一种分配给账号B的权限;所述账号B可以是任意一个账号。
在具体的实施过程中,为了进一步提高系统的交互性,可以根据管理员的指令或系统的内置指令,在召回账号B的权限b之前,向管理员发送相应的提示信息,再根据管理员的提示反馈进行权限召回。具体的,所述提示信息可以是短信等消息,所述提示反馈是与所述提示信息相对应的。
为了便于业务支撑系统的优化管理,当召回权限b后,将对应权限b的召回字段修改为表征权限b已召回的标记状态。具体的,如对应每一个权限都设置一个召回标志位,当权限已召回,则在召回标志位记1。此处的1还可以替换成0,具体是1还是0可根据1或0所指代的信息来确认。其中,图2为基于本发明所述的权限调度方法的权限自动召回方法的流程示意图。
本实施例提供了一种自动召回账号不常使用的权限,从而避免出现账号泄露及账号盗用等账号安全事故时,导致严重的信息安全事件。通过权限召回可实现权限最小化及最优化授权,上述权限召回是全智能化的,管理员无需手动触发或进行权限设置的修改。
当所述权限调度因子为传播因子,则将传播因子与预设阀值(此时预设阀值为传播阀值)进行比较,根据比较结果判定是否召回账号C的权限c。
具体的,如计算出的传播因子大于传播阀值,则权限c在第一指定组内账号进行传播,所述账号C为第一指定组内的账号之一。所述第一指定组可以是归属于同一角色的所有账号,也可以是同一角色下的部分账号,还可以是根据指定需求特殊形成的账号集合。同样的,账号C以及权限c仅是一个指代符,具体可以是任意账户与任意一种权限。
在具体的实施过程中,为了方便管理员对权限调度的控制,在所述权限c复制传播给第一指定组内的其他账号之前,还向管理员发送传播提示信息,管理员根据所述传播提示信息回复传播反馈;再根据所述传播反馈确认是否继续进行权限c的传播复制。其中,所述传播提示信息可以是短信等消息。
权限传播后还包括在表示权限已传播的字段中进行标记,具体的,如传播标志位记1。其中,图3为基于本发明所述的权限调度方法的权限自动传播方法的流程示意图。
上述提供了一种基于本发明权限调度方法的权限自动传播方法,当需要给指定组的所有账号添加一个权限,无需管理员像现有技术一样进行角色与权限的映射关系的手动建立,而是会自动进行授权性的权限传播复制,具有减少了管理员工作量,提高了系统智能化的优点。
在具体的实施过程中,所述权限召回以及权限传播,都可以是实时进行或周期性进行的。
所述实时进行即实时根据权限信息的变更做出是否进行权限召回或权限传播的权限调度,采用实时进行能最大限度的实现权限调度的优化。
所述周期性进行即每一个固定的时间段,根据权限信息的更新进行一次权限是否召回或传播的处理。采用这种方法周期性的进行,仅需在指定时间点上的采集权限信息,并进行后续的步骤,从而降低了系统的工作负荷。
具体的采用哪种方式,可以在对安全性需求、系统的负荷能力等多方面因素综合考量之后决定。
实施例四:
如图4所示,本实施例提供一种权限调度方法,所述方法包括:
步骤S210:获取包括权限使用频率的权限信息;
步骤S220:根据所述权限信息及预设函数关系,计算召回因子;
步骤S230:将所述召回因子与召回阀值进行比较,获取比较结果
步骤S240:根据所述比较结果所映射的预设调度指令召回权限;
步骤S250:统计第二指定组内账号中已召回第一权限的账号数;
步骤S260:判断所述已召回第一权限的账号数占第二指定组账号总数的比值是否不小于移除阀值,其中所述比值即图4中所述的已召回比值u;
步骤S270:若所述步骤S260中的判断结果为是,则将所述第二指定组内账号中的第一权限全部召回。
若所述步骤S260中的判断结果为否,则不进行所述第二指定组内账号中的第一权限的全部召回。
本实施例提供了一种用于第二指定组内全部账号中某一权限全部召回的方法,上述方法适用于对于某一类账号该权限已经停止使用或极少数使用,为了实现授权最小化和最优化目的,对所有指定账号的权限召回。
相对于现有技术的需管理员通过手动设置的方式删除角色与权限的映射关系,本实施例显然更加智能,且能自动判定召回的时间,操作的对象(所述操作对象包括具体的账号和权限)。尤其是在权限新增、删除频繁的技术发展过程中,大大减少了管理人员的工作量。
实施例六:
本实施例是在实施例五的基础上的进一步改进,本实施例提供了一种优选的第一指定组或第二指定组形成的步骤,具体如下:
获取账号所归属的角色R、组织结构O以及账号一级管理员L;
依据公式S=∑(R*x,O*y,L*z),计算出分组因子S,其中所述x、y、z对应为R、O、Z的权重;
将S值相等的账号归为一组,形成第一指定组或第二指定组。
现有技术中都是以角色进行账号的粗细度划分,而在本实施例中提供了一种基于组的粗细度划分,考虑的因素不仅考虑了账号所对应的角色,还包括了账号所对应的组织结构以及账号一级管理员,从而划分更细。
作为权限召回以及权限传播所针对的操作单位,有利于实现授权的最优化和最小化。通过上述方法可知,同一组内账号的权限召回、唤醒以及传播都会影响到其他账号的权限调度,通过这种动态的相互影响,进一步的实现了权限最小化和最优化的自动调度。
实施例七:
本实施例基于实施例五或实施例六中所述的权限召回方法,进一步对权限召回做出了改进,具体为根据用户指示唤醒已召回权限的步骤S。通过步骤S的设置,当用户需要使用已召回权限时,通过唤醒还可以继续使用相应权限。故在不使用权限时召回权限,使用时唤醒权限;从而既保证了权限安全性,又保证了用户权限使用的便捷性。
所述根据用户指示唤醒已召回权限的步骤S包括以下子步骤:
步骤S.1:获取所述已召回权限的权限敏感度以及账号级别。
步骤S.2:根所述权限敏感度、账号级别以及预设唤醒函数关系,计算唤醒因子。
这里,所述预设唤醒函数关系可以采用唤醒因子F1=∑(M1*a1,N1*b1);其中M1为权限敏感度、N1为账号级别,所述a1为M1的影响度,所述b1为N1的敏感度。
在具体的实施过程中,所述预设唤醒函数关系有多种不局限上述公式。
在具体应用时,为了方便与权限召回以及权限传播保持一致,以方便系统的计算和优化管理,依然可以采用公式F=∑(M*a,N*b,P*c)。只是此时所述F表示唤醒因子,M依然表示权限敏感度、N依然表示账号级别,P依然表示权限使用频率;然而,此时P为固定值0;a为M唤醒权限的权重,b为N唤醒权限的权重,c可为任意值。
步骤S.3:根据所述唤醒因子与唤醒阀值的比较结果,向管理员或用户发送鉴权信息。
具体的,当唤醒因子大于预设唤醒阈值时向管理员发送鉴权信息,否则向用户发送鉴权信息;所述鉴权信息可以通过短信等消息通信方式进行发送(具体的如短信验证码)。
步骤S.4:接收根据所述鉴权信息形成的鉴权反馈;所述鉴权反馈为用户或管理员对所述鉴权信息的回复。
步骤S.5:依据所述鉴权反馈唤醒权限。
其中图5所示,为上述权限自动唤醒方法的一种实现流程之一。
采用这种方式进行权限唤醒,保证了用户可以获得已召回权限的继续使用,同时通过鉴权信息的处理保证了权限被召回的安全性,且根据安全性要求不同还包括管理员鉴权以及用户鉴权,能有效的防止不法分子的恶意操作。
综合上述,本发明所述的权限调度装置,可以应用于任意权限调度的场景下,尤其是适合应用于通信领域中通信用户的权限调度,具有自动实现权限最小化及最优化调度的特点,大大减少了管理人员的工作负荷,且提高了权限的安全性。
实施例八:
如图6所示,本实施例提供一种权限调度装置,所述装置包括:
权限信息获取单元110,用以获取包括权限使用频率的权限信息;
计算单元120,用以根据所述权限信息及预设函数关系,计算权限调度因子;
比较单元130,用以将所述权限调度因子与预设阀值进行比较,获得比较结果;
调度单元140,用以根据所述比较结果所映射的预设调度指令调度权限。
其中,所权限信息获取单元110的具体物理结构可以是一个信息采集器或一个信息接收结构。所获取的权限信息除了权限使用频率以外,还可以包括如账号级别、账号已有权限,所有权限的权限敏感度等信息。所述权限信息敏感度表征的是权限信息的重要性,敏感度越高信息越重要,信息泄露导致的信息安全问题将更严重。所述账号级别往往对应了一个账号所享有的权限,账号级别越高,在业务支撑系统中所能进行的操作就越多。上述权限信息可以直接或间接从业务支撑系统的权限池中获取。
所述计算单元120的具体物理结构可以是现有技术中任意一种计算器,其所接收的输入变量为权限信息获取单元110向其传输的权限信息。所述计算器根据预设函数关系,计算得出权限调度因子,并输出到比较单元130中。所述预设函数关系可以是实现表征权限信息与权限调度之间映射关系的任意表达式。
所述比较单元130的具体物理结构可以是比较器或包括比较器的逻辑电路等,从计算单元接收权限调度因子与预设阀值进行比较,并输出比较结果至调度单元140。
所述调度单元140接收所述比较结果后,进行权限调度。所述权限调度包括权限召回以及权限传播等操作。
所述装置的具体结构还可以是包括处理器、存储介质、通信接口以及传输总线的设备。所述存储介质上存储有软件或固件。运行所述软件或固件时可以实现本发明实施例一至实施例七其中任意一个实施例所述的权限调度方法。上述的权限信息获取单元110、计算单元120、比较单元130以及调度单元140可视为对所述装置的功能划分。所述处理器可以是中央处理器CPU、数字信号处理器DSP或单片机MCU或可编程阵列PLC。
在具体的实施过程中,选择具体哪一种结构可根据当前需求来定,在本实施例中优选为包括处理器、存储介质、通信接口以及传输总线的设备,这样方便集成在业务支撑系统的服务器上,从而兼容性更好。
综合上述,本实施例所述的物理装置提供了一种能自动实现权限优化调度的设备,减少了权限调度管理人员的工作量,提高了系统的安全性,且有利于达到权限最小化和最优化的目的。
在具体的实施过程中,所述预设函数关系有很多种,以下提供一种计算简便快捷,函数关系简单明了的预设函数关系。
所述预设函数关系可表达为F=∑(M*a,N*b,P*c);
其中,所述F为权限调度因子;
所述M为权限敏感度,所述a为所述M的权重;
所述N为权账号级别,所述b为所述N的权重;
所述P为权限使用频率,所述c为所述P的权重。
具体的,所述权限调度因子F可以为用以权限召回的召回因子或用以在第一指定组账号间进行权限复制的传播因子。对应于所述召回因子的预设调度阀值为召回阀值,对应于所述传播因子的预设调度阀值为传播阀值。
本实施例所述的装置采用上述函数关系实现权限召回以及权限传播,装置内部计算量小,用于计算的数据量少,计算简便且实现快捷。
实施例九:
本实施例所述的权限调度装置,在实施例八任意所述的技术方案上进行了改进,具体的,所述装置还包括统计单元以及判断单元;所述调度单元包括召回子单元;
所述统计单元,用以当所述权限调度因子为所述召回因子时,统计第二指定组内账号中已召回第一权限的账号数。
所述判断单元,用以判断所述已召回第一权限的账号数占第二指定组账号总数的比值是否不小于移除阀值。
所述召回子单元,用以在已召回第一权限的账号数占第二指定组账号总数的比值不小于移除阀值时,将所述第二指定组内账号中的第一权限全部召回。
具体的,如第二指定组总账号数位500,其中统计单元统计出已经召回第一权限的账号数为350,则所述比值为70%;若此时的删除阈值为60%,则判断单元可以判断出所述比值大于删除阈值,调度单元中的召回子单元则召回第二指定组中所有账号的第一权限。
由于第二指定组中大部分账号的第一权限已经被召回,说明第一权限在第二指定组账号中很少应用,召回以实现最小化和最优化授权,以增加系统安全。这种动态的根据当前使用频率等状况召回已授权的权限,避免了现有技术中管理人员根据个人经验实现权限的召回导致的工作量大、易出现人为因素错误等问题。
具体的,所述删除阈值的取值范围可以为大于50%,具体的如65%、70%等。
所述第一指定组或第二指定组都可以是某一个或多个角色中的账号组成;具体的如何形成一个粒度更小的指定组,以实现最小化和最优化授权,本实施例进行了以下改进。
所述装置还包括用于第一指定组及第二指定组形成的指定形成单元;
所述权限信息获取单元,还用以获取账号所归属的角色R、组织结构O以及账号一级管理员L;
所述计算单元,还用以依据公式S=∑(R*x,O*y,L*z),计算出分组因子S,其中所述x、y、z对应为R、O、Z的权重;
所述指定形成单元,用以将S值相等的账号归为一组,形成第一指定组或第二指定组。
由上述可知,此时角色仅是形成第一指定组和第二指定组参考因素之一,相对于现有技术中以角色为最小单位进行权限调度,显然以本实施例中所述组为最小单位进行权限调度,更容易实现权限的最小化和最优化调度。
当一个权限被召回,用户某一时间点又想使用已被召回权限,本实施例所述装置在所述调度单元中增设了权限唤醒子单元来实现已召回权限的唤醒,以满足用户需求。
唤醒子单元具体唤醒已召回权限的方式有多种,其自身以及所述装置中其他结构的连接方式也有多种,以下提供一种优选方式。
所述权限信息获取单元,用以获取已召回权限的权限敏感度及账号级别;
所述唤醒子单元包括计算模块、鉴权信息发送模块以及唤醒模块。
所述计算模块,用以根所述权限敏感度、账号级别以及预设唤醒函数关系,计算唤醒因子。
此处的唤醒函数关系同样也有多种,为了更好实现装置的简单化以及方便数据处理,所述唤醒函数关系依旧可以采用F=∑(M*a,N*b,P*c)。只是此时所述F所表示的唤醒因子,M依然表示权限敏感度、N依然表示账号级别,P依然表示权限使用频率然,且P为固定值0;a表示M唤醒权限的权重,b表示N唤醒权限的权重,c可为任意值。
所述鉴权信息发送模块,用以根据所述唤醒因子与唤醒阀值的比较结果,向管理员或用户发送鉴权信息。
其中,所述鉴权信息可以采用以短信形式发送,具体内容形式可以是短信验证码等。
所述鉴权反馈接收模块,用以接收根据所述鉴权信息形成的鉴权反馈。
所述唤醒模块,用以依据所述鉴权反馈唤醒权限。
本实施例所述的装置可以用于权限的自动召回、唤醒以及传播,智能化高,大大减少了人工操作,且进一步的优化了权限调度。
实施例十:
如图7所示,本实施例还提供了一个权限调度装置,所述装置可实现权限召回、权限唤醒以及权传播等功能,具体结构包括:
第一单元210,用以存储各角色组权限;
第二单元220,用以存储各账号权限;
第三单元230,用以存储各账号的当前权限信息;
具体的,包括每一权限的权限敏感度M、用户级别N、权限使用频率P,账号一级管理员L、组织机构O以及角色R等权限信息。具体的,数据储存形成可为账号与权限信息的映射关系表,且所述映射关系根据当前的权限调度实时更新;
第四单元240,用以存储了各种权限调度的预设函数关系及预设权重,从所述第三单元230中获取计算所需的权限信息,计算出召回因子、唤醒因子以及传播因子的任意一个或多个;
第五单元250,用以存储有召回阈值、唤醒阈值、传播阈值及移除阈值,接收所述第四单元240计算出的权限调度因子,选择相应的预设阈值进行比较;并根据比较结果调度账号权限或角色权限;
第六单元260,为收发接口,发送的信息至少包括鉴权信息。
所述的鉴权信息包括向管理员以及用户发送的信息。具体还可以用于权限召回、传播、唤醒以及其他权限调度信息的收发。所述收发接口可以是短信收发接口。
本实施例提供了一种可实现权限智能化调度的装置,用以上述本发明所述权限调度方法,降低了管理人员的工作负荷,优化了权限调度。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
Claims (14)
1.一种权限调度方法,其特征在于,所述方法包括:
获取包括权限使用频率的权限信息;
根据所述权限信息及预设函数关系,计算权限调度因子;
将所述权限调度因子与预设阀值进行比较,获得比较结果;
根据所述比较结果映射的预设调度指令调度权限。
2.根据权利要求1所述的权限调度方法,其特征在于,所述权限信息还包括权限敏感度以及账户级别;
所述预设函数关系的数学表达式为F=∑(M*a,N*b,P*c);
其中,所述F为权限调度因子;
所述M为权限敏感度,所述a为所述M的权重;
所述N为账号级别,所述b为所述N的权重;
所述P为权限使用频率,所述c为所述P的权重。
3.根据权利要求1所述的权限调度方法,其特征在于,
所述权限调度因子为用以权限召回的召回因子且所述预设阀值为召回阀值;
或
所述权限调度因子为用以在第一指定组账号间进行权限复制的传播因子且所述预设阀值为传播阀值。
4.根据权利要求3所述的权限调度方法,其特征在于,当所述权限调度因子为所述召回因子时,所述方法还包括:
统计第二指定组内账号中已召回第一权限的账号数;
判断所述已召回第一权限的账号数占第二指定组账号总数的比值是否不小于移除阀值,
若是,则将所述第二指定组内账号中的第一权限全部召回。
5.根据权利要求4所述的权限调度方法,其特征在于,所述方法还包括:
获取账号所归属的角色R、组织结构O以及账号一级管理员L;
依据公式S=∑(R*x,O*y,L*z),计算出分组因子S,其中所述x、y、z对应为R、O、Z的权重;
将S值相等的账号归为一组,形成所述第一指定组或所述第二指定组。
6.根据权利要求2至5任一项所述的权限调度方法,其特征在于,所述方法还包括:根据用户指示唤醒已召回权限。
7.根据权利要求6所述的权限调度方法,其特征在于,所述根据用户指示唤醒已召回权限包括:
获取所述已召回权限的权限敏感度以及账号级别;
根所述权限敏感度、账号级别以及预设唤醒函数关系,计算唤醒因子;
根据所述唤醒因子与唤醒阀值的比较结果,向管理员或用户发送鉴权信息,
接收根据所述鉴权信息形成的鉴权反馈;
依据所述鉴权反馈唤醒权限。
8.一种权限调度装置,其特征在于,所述装置包括:
权限信息获取单元,用以获取包括权限使用频率的权限信息;
计算单元,用以根据所述权限信息及预设函数关系,计算权限调度因子;
比较单元,用以将所述权限调度因子与预设阀值进行比较,获得比较结果;
调度单元,用以根据所述比较结果所映射的预设调度指令,调度权限。
9.根据权利要求8所述的权限调度装置,其特征在于,所述权限信息还包括权限敏感度以及账户级别;
所述预设函数关系的数学表达式为F=∑(M*a,N*b,P*c);
其中,所述F为权限调度因子;
所述M为权限敏感度,所述a为所述M的权重;
所述N为账号级别,所述b为所述N的权重;
所述P为权限使用频率,所述c为所述P的权重。
10.根据权利要求8所述的权限调度装置,其特征在于,
所述权限调度因子为用以权限召回的召回因子且所述预设阀值为召回阀值;
或
所述权限调度因子为用以在第一指定组账号间进行权限复制的传播因子且所述预设阀值为传播阀值。
11.根据权利要求10所述的权限调度装置,其特征在于,所述装置还包括统计单元以及判断单元;所述调度单元包括召回子单元;
所述统计单元,用以当所述权限调度因子为所述召回因子时,统计第二指定组内账号中已召回第一权限的账号数;
所述判断单元,用以判断所述已召回第一权限的账号数占第二指定组账号总数的比值是否不小于移除阀值,
所述召回子单元,用以在已召回第一权限的账号数占第二指定组账号总数的比值不小于移除阀值时,将所述第二指定组内账号中的第一权限全部召回。
12.根据权利要求11所述的权限调度装置,其特征在于,所述装置还包括指定形成单元;
所述权限信息获取单元,还用以获取账号所归属的角色R、组织结构O以及账号一级管理员L;
所述计算单元,还用以依据公式S=∑(R*x,O*y,L*z),计算出分组因子S,其中所述x、y、z对应为R、O、Z的权重;
所述指定形成单元,用以将S值相等的账号归为一组,形成第一指定组或第二指定组。
13.根据权利要求12所述的权限调度装置,其特征在于,所述调度单元还包括用以根据用户指示将已召回权限唤醒的唤醒子单元。
14.根据权利要求13所述的权限调度装置,其特征在于,所述权限信息获取单元用以获取已召回权限的权限敏感度及账号级别;
所述唤醒子单元包括:
计算模块,用以根所述权限敏感度、账号级别以及预设唤醒函数关系,计算唤醒因子;
鉴权信息发送模块,用以根据所述唤醒因子与唤醒阀值的比较结果,向管理员或用户发送鉴权信息;
鉴权反馈接收模块,用以接收根据所述鉴权信息形成的鉴权反馈,
唤醒模块,用以依据所述鉴权反馈唤醒权限。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310529072.0A CN104598778B (zh) | 2013-10-30 | 2013-10-30 | 权限调度方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310529072.0A CN104598778B (zh) | 2013-10-30 | 2013-10-30 | 权限调度方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN104598778A true CN104598778A (zh) | 2015-05-06 |
CN104598778B CN104598778B (zh) | 2018-03-23 |
Family
ID=53124556
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201310529072.0A Active CN104598778B (zh) | 2013-10-30 | 2013-10-30 | 权限调度方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN104598778B (zh) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108256299A (zh) * | 2016-12-28 | 2018-07-06 | 中国移动通信集团河北有限公司 | 一种控制权限的方法和装置 |
CN108377228A (zh) * | 2018-01-18 | 2018-08-07 | 网易(杭州)网络有限公司 | 一种权限管理方法及装置、服务器 |
CN108900534A (zh) * | 2017-08-03 | 2018-11-27 | 成都牵牛草信息技术有限公司 | 系统中设置邮箱内容和即时通讯内容的操作时间段的方法 |
CN110895607A (zh) * | 2018-09-13 | 2020-03-20 | 中兴通讯股份有限公司 | 权限智能提示的方法、设备和存储介质 |
CN110909328A (zh) * | 2019-11-20 | 2020-03-24 | 珠海格力电器股份有限公司 | 权限配置方法、装置、电子设备及存储介质 |
CN111160861A (zh) * | 2019-12-27 | 2020-05-15 | 支付宝(杭州)信息技术有限公司 | 一种业务权限的续签方法、装置以及设备 |
CN115242516A (zh) * | 2022-07-25 | 2022-10-25 | 北京自如信息科技有限公司 | 访问权限的管理方法、装置、设备及存储介质 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7086085B1 (en) * | 2000-04-11 | 2006-08-01 | Bruce E Brown | Variable trust levels for authentication |
CN101068440A (zh) * | 2007-05-30 | 2007-11-07 | 华为技术有限公司 | 一种用户授权值的控制方法和装置 |
US20080133414A1 (en) * | 2006-12-04 | 2008-06-05 | Samsung Electronics Co., Ltd. | System and method for providing extended domain management when a primary device is unavailable |
US20090025057A1 (en) * | 2005-02-18 | 2009-01-22 | Protegrity Corporation | Multi-Layer System for Privacy Enforcement and Monitoring of Suspicious Data Access Behavior |
CN102467624A (zh) * | 2010-11-10 | 2012-05-23 | 金蝶软件(中国)有限公司 | 一种软件许可回收与自动重新申请的方法及系统 |
CN102521530A (zh) * | 2011-10-21 | 2012-06-27 | 张国 | 一种许可证回收方法及系统 |
CN103269268A (zh) * | 2013-04-28 | 2013-08-28 | 苏州亿倍信息技术有限公司 | 一种信息安全的管理方法及系统 |
CN103299268A (zh) * | 2010-12-29 | 2013-09-11 | 凡诺尼斯系统有限公司 | 用于确定用户组对数据元素组的数据访问权限的方法及装置 |
-
2013
- 2013-10-30 CN CN201310529072.0A patent/CN104598778B/zh active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7086085B1 (en) * | 2000-04-11 | 2006-08-01 | Bruce E Brown | Variable trust levels for authentication |
US20090025057A1 (en) * | 2005-02-18 | 2009-01-22 | Protegrity Corporation | Multi-Layer System for Privacy Enforcement and Monitoring of Suspicious Data Access Behavior |
US20080133414A1 (en) * | 2006-12-04 | 2008-06-05 | Samsung Electronics Co., Ltd. | System and method for providing extended domain management when a primary device is unavailable |
CN101068440A (zh) * | 2007-05-30 | 2007-11-07 | 华为技术有限公司 | 一种用户授权值的控制方法和装置 |
CN102467624A (zh) * | 2010-11-10 | 2012-05-23 | 金蝶软件(中国)有限公司 | 一种软件许可回收与自动重新申请的方法及系统 |
CN103299268A (zh) * | 2010-12-29 | 2013-09-11 | 凡诺尼斯系统有限公司 | 用于确定用户组对数据元素组的数据访问权限的方法及装置 |
CN102521530A (zh) * | 2011-10-21 | 2012-06-27 | 张国 | 一种许可证回收方法及系统 |
CN103269268A (zh) * | 2013-04-28 | 2013-08-28 | 苏州亿倍信息技术有限公司 | 一种信息安全的管理方法及系统 |
Non-Patent Citations (1)
Title |
---|
唐卓等: "一种基于风险的多域互操作动态访问控制模型", 《计算机研究与发展》 * |
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108256299A (zh) * | 2016-12-28 | 2018-07-06 | 中国移动通信集团河北有限公司 | 一种控制权限的方法和装置 |
CN108900534A (zh) * | 2017-08-03 | 2018-11-27 | 成都牵牛草信息技术有限公司 | 系统中设置邮箱内容和即时通讯内容的操作时间段的方法 |
US11563746B2 (en) | 2017-08-03 | 2023-01-24 | Chengdu Qianniucao Information Technology Co., Ltd. | Method for configuring operating time period for mailbox content and instant messaging content in system |
CN108377228A (zh) * | 2018-01-18 | 2018-08-07 | 网易(杭州)网络有限公司 | 一种权限管理方法及装置、服务器 |
CN110895607A (zh) * | 2018-09-13 | 2020-03-20 | 中兴通讯股份有限公司 | 权限智能提示的方法、设备和存储介质 |
CN110895607B (zh) * | 2018-09-13 | 2023-09-29 | 中兴通讯股份有限公司 | 权限智能提示的方法、设备和存储介质 |
CN110909328A (zh) * | 2019-11-20 | 2020-03-24 | 珠海格力电器股份有限公司 | 权限配置方法、装置、电子设备及存储介质 |
CN110909328B (zh) * | 2019-11-20 | 2021-11-23 | 珠海格力电器股份有限公司 | 权限配置方法、装置、电子设备及存储介质 |
CN111160861A (zh) * | 2019-12-27 | 2020-05-15 | 支付宝(杭州)信息技术有限公司 | 一种业务权限的续签方法、装置以及设备 |
CN111160861B (zh) * | 2019-12-27 | 2022-06-03 | 蚂蚁胜信(上海)信息技术有限公司 | 一种业务权限的续签方法、装置以及设备 |
CN115242516A (zh) * | 2022-07-25 | 2022-10-25 | 北京自如信息科技有限公司 | 访问权限的管理方法、装置、设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN104598778B (zh) | 2018-03-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104598778A (zh) | 权限调度方法及装置 | |
CN103023963B (zh) | 一种用于云存储资源优化分配的方法 | |
Peng et al. | Optimization operation model coupled with improving water-transfer rules and hedging rules for inter-basin water transfer-supply systems | |
CN104778504A (zh) | 一种家庭用户智能家电的用电安排优化方法 | |
CN110912200B (zh) | 一种梯级水电站优化调度系统、方法及安全电网系统 | |
Li et al. | Energy-efficient fault-tolerant replica management policy with deadline and budget constraints in edge-cloud environment | |
CN103345415A (zh) | 管理定时器的终端节能方法和装置 | |
CN101771698A (zh) | 基于可扩展标记语言安全策略的网格访问控制方法 | |
CN114710563A (zh) | 一种集群节能方法及装置 | |
CN104184884A (zh) | 一种移动终端功耗的管控装置及方法、移动终端 | |
CN108879953A (zh) | 一种虚拟调峰发电厂系统及其智能硬件控制设备 | |
CN101860024A (zh) | 电力系统省地调一体化pas系统的实现方法 | |
CN109840141A (zh) | 基于云监控的线程控制方法、装置、电子设备及存储介质 | |
CN106095412A (zh) | 一种应用程序的关闭方法和装置 | |
US9323271B2 (en) | Electricity management apparatus and electricity management method | |
CN113450022A (zh) | 一种基于生活习惯的智能节能平衡方法与系统 | |
CN111817294B (zh) | 基于数学模型的电网供电控制系统、方法及设备 | |
CN103973784A (zh) | 一种云存储服务器资源有效利用方法 | |
CN115864642A (zh) | 基于配网多测控场景的通用测控终端架构设计方法及装置 | |
CN114963284A (zh) | 一种舒适度和峰谷电价自适应的户用电供暖智能群控方法 | |
CN204990384U (zh) | 智慧社区的政务管理系统 | |
CN114518798A (zh) | 设备集群的低功耗控制方法及装置 | |
CN110399216B (zh) | 一种整机箱功耗的分配方法、系统、装置及可读存储介质 | |
CN103440533B (zh) | 一种云制造模式下作业车间非瓶颈资源能力的界定方法 | |
CN114118869A (zh) | 台区侧家电负荷的调控方法、相关装置及计算机存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |