CN108256299A - 一种控制权限的方法和装置 - Google Patents
一种控制权限的方法和装置 Download PDFInfo
- Publication number
- CN108256299A CN108256299A CN201611240571.8A CN201611240571A CN108256299A CN 108256299 A CN108256299 A CN 108256299A CN 201611240571 A CN201611240571 A CN 201611240571A CN 108256299 A CN108256299 A CN 108256299A
- Authority
- CN
- China
- Prior art keywords
- role
- permission
- control
- daily record
- control authority
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/18—File system types
- G06F16/1805—Append-only file systems, e.g. using logs or journals to store data
- G06F16/1815—Journaling file systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2216/00—Indexing scheme relating to additional aspects of information retrieval not explicitly covered by G06F16/00 and subgroups
- G06F2216/03—Data mining
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Databases & Information Systems (AREA)
- Automation & Control Theory (AREA)
- Data Mining & Analysis (AREA)
- Medical Informatics (AREA)
- Storage Device Security (AREA)
Abstract
一种控制权限的方法,所述方法包括:针对角色挖掘角色对应的日志,调整执行控制权限操作的权限;以角色中的个体对象为基准,周期性分析调整后的日志,更新执行控制权限操作的权限。本发明实施例还公开一种控制权限的装置,能够避免权限过剩,实现角色和人员的权限最小化控制。
Description
技术领域
本发明涉及计算机领域,尤其涉及一种控制权限的方法和装置。
背景技术
为了达到信息安全的目标,各种信息安全技术的使用必须遵守一些基本的原则。其中最基本,也是最重要的一项就是权限最小化原则。在法律和相关安全策略允许的前提下,为满足工作需要,仅被授予访问信息的适当权限,过度的权限申请或下放,都隐藏着很大的安全隐患。
由于需要管控的资源较多、用户数量大且类别繁杂,传统的主体、权限分配方式已经不再适用。为了便于更好且系统化的管理,当前被认可且采用最多的是基于角色的权限分配方法,即用户对应角色,角色对应权限清单。
根据使用需求抽象出一系列的角色,再对各个角色进行权限划分。授权操作时,直接对用户进行角色划分即可,这样属于同一角色的用户群体,具有相同的权限列表。
然而,由于是人工规划且对应的是各个群体,所以很难达到权限最小化要求;而且,有些权限的使用率较低。因此,存在比较严重的权限过剩情况。
发明内容
本发明实施例提供了一种控制权限的方法,能够避免权限过剩,实现角色和人员的权限最小化控制。
本发明实施例还提供了一种控制权限的装置,能够避免权限过剩,实现角色和人员的权限最小化控制。
一种控制权限的方法,所述方法包括:
针对角色挖掘角色对应的日志,调整执行控制权限操作的权限;
以角色中的个体对象为基准,周期性分析调整后的日志,更新执行控制权限操作的权限。
可选的,所述挖掘角色对应的日志,包括:
通过Apriori算法挖掘角色对应的日志。
可选的,所述针对角色挖掘角色对应的日志,调整执行控制权限操作的权限,包括:
针对角色挖掘角色对应的日志得到频繁项集集合;
移出受权限控制且存在于频繁项集集合的权限。
可选的,所述针对角色挖掘角色对应的日志,调整执行控制权限操作的权限,包括:
针对角色挖掘角色对应的日志得到频繁项集集合;
纳入不受权限控制且不存在于频繁项集集合的权限。
可选的,所述以角色中的个体对象为基准,周期性分析调整后的日志,更新执行控制权限操作的权限,包括:
以角色中的个体对象为基准,周期性分析调整后的日志得到控权列表;
移出受权限控制且不存在于控权列表的权限。
可选的,所述以角色中的个体对象为基准,周期性分析调整后的日志,更新执行控制权限操作的权限,包括:
以角色中的个体对象为基准,周期性分析调整后的日志得到控权列表;
纳入不受权限控制且存在于控权列表的权限。
一种控制权限的装置,所述装置包括:
角色模块,用于针对角色挖掘角色对应的日志,调整执行控制权限操作的权限;
对象模块,用于以角色中的个体对象为基准,周期性分析调整后的日志,更新执行控制权限操作的权限。
可选的,所述角色模块,还用于通过Apriori算法挖掘角色对应的日志。
可选的,所述角色模块,还用于针对角色挖掘角色对应的日志得到频繁项集集合;移出受权限控制且存在于频繁项集集合的权限。
可选的,所述角色模块,还用于针对角色挖掘角色对应的日志得到频繁项集集合;纳入不受权限控制且不存在于频繁项集集合的权限。
可选的,所述对象模块,还用于以角色中的个体对象为基准,周期性分析调整后的日志得到控权列表;移出受权限控制且不存在于控权列表的权限。
可选的,所述对象模块,还用于以角色中的个体对象为基准,周期性分析调整后的日志得到控权列表;纳入不受权限控制且存在于控权列表的权限。
从上述技术方案中可以看出,在本发明实施例中针对角色挖掘角色对应的日志,调整执行控制权限操作的权限;以角色中的个体对象为基准,周期性分析调整后的日志,更新执行控制权限操作的权限。从两个方面即角色和角色中的个体对象即人员,操控执行控制权限操作的权限,能够避免权限过剩,实现了角色和人员的权限最小化控制。
附图说明
从下面结合附图对本发明的具体实施方式的描述中可以更好地理解本发明其中,相同或相似的附图标记表示相同或相似的特征。
图1为本发明实施例一控制权限的方法流程示意图;
图2为本发明实施例一调整执行控制权限操作的权限的流程示意图;
图3为本发明实施例一通过Apriori算法挖掘角色对应的日志的流程示意图;
图4为本发明实施例一控制权限的装置结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点表达得更加清楚明白,下面结合附图及具体实施例对本发明再作进一步详细的说明。
在本发明实施例中,从两个方面操控执行控制权限操作的权限,针对角色挖掘角色对应的日志,调整执行控制权限操作的权限;以角色中的个体对象为基准,周期性分析调整后的日志,更新执行控制权限操作的权限。因此,能够避免权限过剩,实现角色和人员的权限最小化控制。
参见图1为控制权限的方法流程示意图,具体包括以下步骤:
101、针对角色挖掘角色对应的日志,调整执行控制权限操作的权限。
角色对应的日志包括访问日志和操作日志。每个角色具有权限列表。相同的角色,所对应的权限列表是相同的。权限列表中包括该角色相对应的权限。
不论是针对角色还是针对角色中的个体对象,需要对权限执行控制权限操作,称该权限为执行控制权限操作的权限。控制权限操作包括控权操作和去控操作。控权操作是纳入金库管控的权限。当需要访问纳入金库管控的权限时,则进行金库申请即可访问。去控操作是将处于金库管控的权限移出金库管控。移出金库管控的权限为普通管控的权限。
具体来说,以客户关系管理(CRM)主机管理员角色情况进行说明,参见表1 CRM主机管理员角色拥有对如下主机的访问权限:
表1
拥有该角色的人员共6名,一个审计周期内(一季度)对主机的日志如表2所示:
表2
| 用户 | 主机A1 | 主机A2 | 主机A3 | 主机A4 | 主机A5 | 主机A6 |
| S1 | 34 | 0 | 67 | 0 | 0 | 28 |
| S2 | 0 | 0 | 0 | 17 | 43 | 0 |
| S3 | 28 | 8 | 7 | 0 | 0 | 0 |
| S4 | 45 | 0 | 0 | 0 | 0 | 38 |
| S5 | 33 | 1 | 59 | 0 | 0 | 32 |
| S6 | 42 | 0 | 0 | 0 | 28 | 30 |
参见图2为调整执行控制权限操作的权限的流程示意图,具体包括:
1011、针对角色挖掘角色对应的日志。
针对角色可以采用数据挖掘算法挖掘角色对应的日志。数据挖掘算法是根据数据创建数据挖掘模型的一组试探法和计算。数据挖掘算法包括决策树、期望最大化、Apriori和FP-Tree等算法。
在本发明技术方案中可以通过Apriori算法挖掘角色对应的日志。采用Apriori算法能够保证所获得的频繁项集的准确性。
下面简要介绍一下Apriori算法。
Apriori算法使用一种称为逐层搜索的迭代方法,其中k项集用于探索(k+1)项集。
首先,通过扫描数据库,累计每个项的计数,并收集满足最小支持度的项,找出频繁1项集的集合。该集合记为L1。使用L1找出频繁2项集的集合L2,使用L2找出L3,如此下去,直到不能再找到频繁k项集。找出每个Lk需要一次数据库的完整扫描。
其中项的集合称为项集。包含k个项的项集称为k-项集。如集合{computer,ativirus_software}是一个二项集。项集中包含项集的事务数,简称为项集的支持度。
支持度公式如下:
如果项集I的支持度满足预定义的最小支持度阈值,则I是频繁项集。
利用Apriori算法挖掘的频繁项集具有先验性质,即频繁项集的所有非空子集也一定是频繁的。因此,能够保证所获得的频繁项集的准确性。
下面通过使用Lk-1找出Lk(其中k≥2)的过程来理解先验性质,过程分为连接步和剪枝步。
(1)连接步:为了找Lk,通过Lk-1与自己连接产生候选k-项集的集合,该候选k项集记为Ck。如果Lk-1的前(k-2)个项相同,则Lk-1的元素是可连接的。如Lk-1中的两个元素L1和L2可以执行连接操作的条件是(l1[1]=l2[1])∧(l1[2]=l2[2])∧…∧(l1[k-2]=l2[k-2])∧(l1[k-1]<12[k-1])。
(2)剪枝步:Ck是Lk的超集,即它的成员可能不是频繁的,但是所有频繁的k-项集都在Ck中。因此可以通过扫描数据库,通过计算每个k-项集的支持度来得到Lk。为了减少计算量,可以使用Apriori性质,即如果一个k-项集的(k-1)-子集不在Lk-1中,则该候选不可能是频繁的,可以直接从Ck删除。
通过运算分析,依据Apriori算法分析表2得出(一季度)对主机的访问数据集D如下(其中S1代表用户S1,A1代表主机A1,每行代表一个事务):
表3
| 用户 | 主机 |
| S1 | A1,A3,A6 |
| S2 | A4,A5 |
| S3 | A1,A2,A3 |
| S4 | A1,A6 |
| S5 | A1,A2,A3,A6 |
| S6 | A1,A5,A6 |
参见图3为Apriori算法挖掘角色对应的日志的流程示意图,具体包括:
(1)在Apriori算法的第一次迭代时,每个项都是候选1项集的集合C1的成员。Apriori算法简单地扫描所有的事务,对每个项的出现次数计数。
(2)假设最小支持度计数为2,可以确定频繁1项集的集合L1。它由满足最小支持度的候选1项集组成。在图3的数据中,C1中的所有候选都满足最小支持度。
(3)为了发现频繁2项集的集合L2,算法使用连接L1和L2产生候选2项集的集合C2。(在剪枝步,没有候选从C2中删除,因为这些候选的每个子集也是频繁的)
(4)从C2中确定满足最小支持度2的集合L2。
(5)重复步骤(3)、(4),直到Cn=空集,Apriori算法终止,满足最小支持度为2的频繁项集为{A1,A2,A3}、{A1,A3,A6}。(这两个频繁项集的子集也都是频繁集)
从而得到频繁项集集合A:{A1,A2,A3}、{A1,A3,A6}。
频繁项集集合即访问量较多的集合。对于频繁项集集合A中的各主机的访问应不受权限控制。
1012、调整执行控制权限操作的权限。
针对角色挖掘角色对应的日志得到频繁项集集合,即频繁项集集合A。
依据频繁项集集合调整执行控制权限操作的权限,具体包括去控操作和控权操作。
去控操作:
去控操作是将处于金库管控的权限移出金库管控。一般来说,角色从未访问过或访问频繁度很低的权限,将上述权限纳入到金库管控。当极少数人员需要进行操作时,只需简单的走一下金库申请即可。
具体的,移出受权限控制且存在于频繁项集集合的权限。
示例:对于频繁项集集合A,将已经纳入到金库管控的权限移出管控,进行去控操作后,执行控制权限操作的权限变成普通管控的权限。
控权操作:
具体的,纳入不受权限控制且不存在于频繁项集集合的权限。
示例:通过该角色对应的权限列表清单与频繁项集集合A做差集比对,得到不在频繁项集集合A中的权限集合B(即主机A4,A5),然后将该角色对主机A4,A5的访问权限分别纳入金库管控。
对于普通管控,即角色可以随时访问;对于金库管控,通过金库申请即可进行访问。
102、以角色中的个体对象为基准,周期性分析调整后的日志,更新执行控制权限操作的权限。
角色中包括一个或多个个体对象,例如:CRM主机管理员角色包括S1、S2、S3、S4、S5和S6,共计6个用户,即个体对象为用户。以角色中的个体对象为基准,在调整后的日志的基础上周期性分析,以更新执行控制权限操作的权限。
在一个周期内(一季度)对主机的访问情况如表4所示:
表4
| 用户 | 主机A1 | 主机A2 | 主机A3 | 主机A4 | 主机A5 | 主机A6 |
| S1 | 34 | 0 | 67 | 0 | 0 | 28 |
| S2 | 0 | 0 | 0 | 17 | 43 | 0 |
| S3 | 28 | 8 | 7 | 0 | 0 | 0 |
| S4 | 45 | 0 | 0 | 0 | 0 | 38 |
| S5 | 33 | 1 | 59 | 0 | 0 | 32 |
| S6 | 42 | 0 | 0 | 0 | 28 | 30 |
通过分析,控权列表如表5所示:
表5
| 用户 | 未访问主机清单 | 需纳入管控清单 |
| S1 | A2,A4,A5 | A2 |
| S2 | A1,A2,A3,A6 | A1,A2,A3,A6 |
| S3 | A4,A5,A6 | A6 |
| S4 | A2,A3,A4,A5 | A2,A3 |
| S5 | A4,A5 | |
| S6 | A2,A3,A4 | A2,A3 |
更新执行控制权限操作的权限,具体包括去控操作和控权操作。
去控操作:
分析调整后的日志得到控权列表即表5,由于个别人员访问主机频繁,故单独把这些人员对该权限的访问控制进行去控操作。控权列表即需要纳入管控的权限列表。
示例:由于A4,A5主机,针对角色已经纳入权限管控。但由于本周期中用户S2对A4、A5;用户S6对A5访问活跃度增高,则将用户S2访问A4、A5,以及用户S6访问A5的行为进行去控操作,即上述访问不再走金库管控,但其他用户依旧需要走金库管控。
控权操作:
分析调整后的日志得到控权列表即表5,由于个别人员存在未访问主机,故单独把这些人员对该权限的访问控制进行控权操作。即,纳入不受权限控制且存在于控权列表的权限。
示例:由于针对角色挖掘中,对管理员角色访问A4,A5主机的权限,已经纳入到金库管控,故这里在控权操作时,对A4,A5的访问控权就不需要再处理,否则,会造成重复控权情况。
针对于个体对象,具体的周期性针对人员进行去控操作。
去控操作是针对上个周期调整后的日志,则结合本周期的控权列表更新执行控制权限操作的权限。
具体的,上个周期纳入控权列表未在本周期控权列表中,且受权限控制,即为去控操作的对象。上个周期未纳入控权列表在本周期纳入控权列表中,且不受权限控制,即为控权操作的对象。
综上,上述技术方案中从两个方面操控执行控制权限操作的权限,针对角色挖掘角色对应的日志,调整执行控制权限操作的权限;在以角色调整的基础上,基于角色中的个体对象,周期性分析以更新执行控制权限操作的权限。也就是说并非一次性调整,而是周期性的调整。这样做,不仅实现了角色的权限最小化控制,而且也实现了针对个体对象的权限最小化控制。
在图1技术方案的基础上,可以周期性执行步骤101和102,即在又一个周期内()二季度执行,具体包括:
又一个周期内(二季度)对主机的日志如表6所示:
表6
| 用户 | 主机A1 | 主机A2 | 主机A3 | 主机A4 | 主机A5 | 主机A6 |
| S1 | 36 | 0 | 65 | 3 | 0 | 34 |
| S2 | 0 | 0 | 48 | 9 | 0 | 25 |
| S3 | 30 | 21 | 39 | 0 | 0 | 0 |
| S4 | 39 | 0 | 0 | 0 | 0 | 46 |
| S5 | 30 | 19 | 55 | 0 | 0 | 29 |
| S6 | 41 | 0 | 0 | 0 | 56 | 40 |
101、针对角色挖掘角色对应的日志,调整执行控制权限操作的权限。
通过分析得出(二季度)对主机的访问数据集D如表7(其中S1代表用户S1,A1代表主机A1,每行代表一个事务)所示:
表7
| 用户 | 主机 |
| S1 | A1,A3,A4,A6 |
| S2 | A3,A4,A6 |
| S3 | A1,A2,A3 |
| S4 | A1,A6 |
| S5 | A1,A2,A3,A6 |
| S6 | A1,A5,A6 |
通过Apriori算法挖掘表6,对一个审计周期内的操作情况进行分析,得到频繁项集集合B(具体推演过程,详见步骤101):{A1,A2,A3}、{A1,A3,A6}和{A3,A4,A6}。
去控操作:
对已经纳入权限管控即受权限控制且本周期存在于频繁项集集合B中的权限,移出权限管控。
示例:对于频繁项集集合B,将已经纳入到金库管控的权限移出权限管控,变成普通管控。即:该角色对主机A4的访问权限将进行去控操作)。
控权操作:
纳入不受权限控制且本周期不存在于频繁项集集合B的权限。
示例:通过该角色对应的表7与频繁项集集合B做差集比对,得到不在频繁项集集合B中的权限(即主机5),由于主机A5上个周期已经纳入金库管控,故这里不再做控权操作。
102、以角色中的个体对象为基准,周期性分析调整后的日志,更新执行控制权限操作的权限。
一个审计周期内(二季度)对主机的访问情况如表8所示:
表8
| 用户 | 主机A1 | 主机A2 | 主机A3 | 主机A4 | 主机A5 | 主机A6 |
| S1 | 36 | 0 | 65 | 3 | 0 | 34 |
| S2 | 0 | 0 | 48 | 9 | 0 | 25 |
| S3 | 30 | 21 | 39 | 0 | 0 | 0 |
| S4 | 39 | 0 | 0 | 0 | 0 | 46 |
| S5 | 30 | 19 | 55 | 0 | 0 | 29 |
| S6 | 41 | 0 | 0 | 0 | 56 | 40 |
通过分析,控权列表如表9所示:
表9
去控操作:
分析调整后的日志得到控权列表即表9,由于个别人员访问主机频繁,故单独把这些人员对该权限的访问控制进行去控操作。
示例:由于A5主机,针对角色已纳入权限管控,但由于本次运算周期中用户S6对A5访问活跃度增高,故将用户S6访问A5的行为进行去控操作,由于上个运算周期已经处理过,故本周期不再处理。
参见表10所示:
表10
针对表10将用户S2访问A3,A6的操作进行去控操作,去控操作后即可转为普通管控。
控权操作:
分析调整后的日志得到控权列表即表9,由于个别人员存在未访问主机,故单独把这些人员对该权限的访问控制进行控权操作。即,纳入不受权限控制且存在于控权列表的权限。
示例:由于针对角色挖掘中,对管理员角色访问A5主机的权限,已经纳入到金库管控,故这里在控权操作时,对A5的访问控权就不需要再处理,否则,会造成重复控权情况。
针对于个体对象,具体的周期性针对人员进行去控操作。
去控操作是针对上个周期调整后的日志,则结合本周期的控权列表更新执行控制权限操作的权限。
具体的,上个周期纳入控权列表未在本周期控权列表中,且受权限控制,即为去控操作的对象。上个周期未纳入控权列表在本周期纳入控权列表中,且不受权限控制,即为控权操作的对象。
将控权列表表10中用户及对应的权限管控分别纳入到金库管控中(即用户S3、S4、S5、S6对A4主机的访问操作)。
对上个周期纳入控权操作的权限,由于个别人员对上述权限访问频繁,故单独把这些人员对该权限的访问控制进行去控操作。
比如:由于上个周期A4,A5主机,已经纳入权限管控,但由于上个周期中用户S2对A4、A5,用户S6对A5访问活跃度增高,故将用户S2访问A4、A5,用户S6访问A5的行为进行去控操作。
本周期中:
由于A4主机在频繁项集中,故用户S2对A4的单独去控已经无意义,可以移除该权限;由于A5主机存在于用户S2的未访问主机列表中,故需要把用户S2访问A5主机的单独去控权限移除掉,恢复对应A5主机访问控制。
可见,周期性执行步骤101和102可以及时更新执行控制权限操作的权限。进一步保证了角色和人员的权限最小化控制。
参见图4为控制权限的装置结构示意图,该装置与实施例一中方法相对应。具体包括:角色模块401和对象模块402。
角色模块401,用于针对角色挖掘角色对应的日志,调整执行控制权限操作的权限;
对象模块402,用于以角色中的个体对象为基准,周期性分析调整后的日志,更新执行控制权限操作的权限。
具体的,角色模块401,还用于通过Apriori算法挖掘角色对应的日志。具体可以参见步骤101中的内容。
每个角色具有权限列表。相同的角色,所对应的权限列表是相同的。权限列表中包括该角色相对应的权限。
不论是针对角色还是针对角色中的个体对象,需要对权限执行控制权限操作,称该权限为执行控制权限操作的权限。控制权限操作包括控权操作和去控操作。控权操作是纳入金库管控的权限。当需要访问纳入金库管控的权限时,则进行金库申请即可访问。去控操作是将处于金库管控的权限移出金库管控。移出金库管控的权限为普通管控的权限。
具体的,角色模块401,还用于针对角色挖掘角色对应的日志得到频繁项集集合;移出受权限控制且存在于频繁项集集合的权限。
具体的,角色模块401,还用于针对角色挖掘角色对应的日志得到频繁项集集合;纳入不受权限控制且不存在于频繁项集集合的权限。
具体的,对象模块402,还用于以角色中的个体对象为基准,周期性分析调整后的日志得到控权列表;移出受权限控制且不存在于控权列表的权限。
具体的,对象模块402,还用于以角色中的个体对象为基准,周期性分析调整后的日志得到控权列表;纳入不受权限控制且存在于控权列表的权限。
实施例一控制权限的装置技术效果与对应的实施例一中方法实施例相同,在此不再赘述。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使对应技术方案的本质脱离本发明各实施例技术方案的范围。
Claims (12)
1.一种控制权限的方法,其特征在于,所述方法包括:
针对角色挖掘角色对应的日志,调整执行控制权限操作的权限;
以角色中的个体对象为基准,周期性分析调整后的日志,更新执行控制权限操作的权限。
2.根据权利要求1所述控制权限的方法,其特征在于,所述挖掘角色对应的日志,包括:
通过Apriori算法挖掘角色对应的日志。
3.根据权利要求1或2所述控制权限的方法,其特征在于,所述针对角色挖掘角色对应的日志,调整执行控制权限操作的权限,包括:
针对角色挖掘角色对应的日志得到频繁项集集合;
移出受权限控制且存在于频繁项集集合的权限。
4.根据权利要求1或2所述控制权限的方法,其特征在于,所述针对角色挖掘角色对应的日志,调整执行控制权限操作的权限,包括:
针对角色挖掘角色对应的日志得到频繁项集集合;
纳入不受权限控制且不存在于频繁项集集合的权限。
5.根据权利要求1所述控制权限的方法,其特征在于,所述以角色中的个体对象为基准,周期性分析调整后的日志,更新执行控制权限操作的权限,包括:
以角色中的个体对象为基准,周期性分析调整后的日志得到控权列表;
移出受权限控制且不存在于控权列表的权限。
6.根据权利要求1所述控制权限的方法,其特征在于,所述以角色中的个体对象为基准,周期性分析调整后的日志,更新执行控制权限操作的权限,包括:
以角色中的个体对象为基准,周期性分析调整后的日志得到控权列表;
纳入不受权限控制且存在于控权列表的权限。
7.一种控制权限的装置,其特征在于,所述装置包括:
角色模块,用于针对角色挖掘角色对应的日志,调整执行控制权限操作的权限;
对象模块,用于以角色中的个体对象为基准,周期性分析调整后的日志,更新执行控制权限操作的权限。
8.根据权利要求7所述控制权限的装置,其特征在于,所述角色模块,还用于通过Apriori算法挖掘角色对应的日志。
9.根据权利要求7所述控制权限的装置,其特征在于,所述角色模块,还用于针对角色挖掘角色对应的日志得到频繁项集集合;移出受权限控制且存在于频繁项集集合的权限。
10.根据权利要求7所述控制权限的装置,其特征在于,所述角色模块,还用于针对角色挖掘角色对应的日志得到频繁项集集合;纳入不受权限控制且不存在于频繁项集集合的权限。
11.根据权利要求7所述控制权限的装置,其特征在于,所述对象模块,还用于以角色中的个体对象为基准,周期性分析调整后的日志得到控权列表;移出受权限控制且不存在于控权列表的权限。
12.根据权利要求7所述控制权限的装置,其特征在于,所述对象模块,还用于以角色中的个体对象为基准,周期性分析调整后的日志得到控权列表;纳入不受权限控制且存在于控权列表的权限。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611240571.8A CN108256299A (zh) | 2016-12-28 | 2016-12-28 | 一种控制权限的方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611240571.8A CN108256299A (zh) | 2016-12-28 | 2016-12-28 | 一种控制权限的方法和装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN108256299A true CN108256299A (zh) | 2018-07-06 |
Family
ID=62719554
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201611240571.8A Pending CN108256299A (zh) | 2016-12-28 | 2016-12-28 | 一种控制权限的方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108256299A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109726187A (zh) * | 2019-01-02 | 2019-05-07 | 北京信息科技大学 | 一种面向Hadoop的自适应权限控制方法及装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102156833A (zh) * | 2011-04-12 | 2011-08-17 | 华中科技大学 | 基于角色的访问控制模型构建系统 |
| CN103581198A (zh) * | 2013-11-13 | 2014-02-12 | 浙江中烟工业有限责任公司 | 基于Apriori算法的安全日志分析方法 |
| US20140196104A1 (en) * | 2013-01-04 | 2014-07-10 | Interntional Business Machines Corporation | Generating role-based access control policies based on discovered risk-averse roles |
| CN104598778A (zh) * | 2013-10-30 | 2015-05-06 | 中国移动通信集团江苏有限公司 | 权限调度方法及装置 |
| CN105991310A (zh) * | 2015-02-02 | 2016-10-05 | 中国移动通信集团河北有限公司 | 基于用户行为的账号权限调整方法及装置 |
-
2016
- 2016-12-28 CN CN201611240571.8A patent/CN108256299A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102156833A (zh) * | 2011-04-12 | 2011-08-17 | 华中科技大学 | 基于角色的访问控制模型构建系统 |
| US20140196104A1 (en) * | 2013-01-04 | 2014-07-10 | Interntional Business Machines Corporation | Generating role-based access control policies based on discovered risk-averse roles |
| CN104598778A (zh) * | 2013-10-30 | 2015-05-06 | 中国移动通信集团江苏有限公司 | 权限调度方法及装置 |
| CN103581198A (zh) * | 2013-11-13 | 2014-02-12 | 浙江中烟工业有限责任公司 | 基于Apriori算法的安全日志分析方法 |
| CN105991310A (zh) * | 2015-02-02 | 2016-10-05 | 中国移动通信集团河北有限公司 | 基于用户行为的账号权限调整方法及装置 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109726187A (zh) * | 2019-01-02 | 2019-05-07 | 北京信息科技大学 | 一种面向Hadoop的自适应权限控制方法及装置 |
| CN109726187B (zh) * | 2019-01-02 | 2021-04-09 | 北京信息科技大学 | 一种面向Hadoop的自适应权限控制方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Ludwig et al. | Ibm federated learning: an enterprise framework white paper v0. 1 | |
| Cohen | All-distances sketches, revisited: HIP estimators for massive graphs analysis | |
| Ahmad et al. | A k-mean clustering algorithm for mixed numeric and categorical data | |
| Aggarwal et al. | A condensation approach to privacy preserving data mining | |
| Li et al. | Graph-based privacy-preserving data publication | |
| Mir et al. | Dp-where: Differentially private modeling of human mobility | |
| CN104967620B (zh) | 一种基于属性访问控制策略的访问控制方法 | |
| CN109543445B (zh) | 一种基于条件概率分布的隐私保护数据发布方法 | |
| Colantonio et al. | A cost-driven approach to role engineering | |
| Avent et al. | Automatic discovery of privacy-utility pareto fronts | |
| Bento et al. | The proximal point method for locally Lipschitz functions in multiobjective optimization with application to the compromise problem | |
| CN114631088A (zh) | 自主分区数据库表 | |
| Ong et al. | Adaptive histogram-based gradient boosted trees for federated learning | |
| Bui et al. | A decision tree learning approach for mining relationship-based access control policies | |
| Banik et al. | On the power of Fisher's combination test for two stage sampling in the presence of nuisance parameters | |
| CN108459965A (zh) | 一种结合用户反馈和代码依赖的软件可追踪生成方法 | |
| Wu et al. | Efficient algorithms to optimize diffusion processes under the independent cascade model | |
| CN108256299A (zh) | 一种控制权限的方法和装置 | |
| Xie et al. | Differential privacy stochastic gradient descent with adaptive privacy budget allocation | |
| CN105976170A (zh) | 一种自动生成工作计划的方法及装置 | |
| Batra et al. | Incremental maintenance of abac policies | |
| Pednault | Transform regression and the kolmogorov superposition theorem | |
| Pan et al. | An approach for hierarchical RBAC reconfiguration with minimal perturbation | |
| Jain | Introduction to data mining techniques | |
| Vavilis et al. | Role mining with missing values |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180706 |