CN110955903B - 基于智能图计算的隐私资源权限控制方法、装置及设备 - Google Patents

Abstract

本说明书实施例公开了一种基于智能图计算的隐私资源权限控制方法、装置和设备，其中，所述方法在接收权限控制请求后，所述权限控制请求用于请求控制目标组织中的人员访问所述目标组织中的隐私资源的权限；获取针对所述目标组织构建的异构图，所述异构图的节点表示对象，所述异构图的边表示对象之间的关系，所述对象包括所述目标组织中的人员、权限、隐私资源和包含权限的权限实体；基于所述异构图，确定处理所述权限控制请求所需的对象关系信息；基于所述对象关系信息，处理所述权限控制请求。

Description

基于智能图计算的隐私资源权限控制方法、装置及设备

技术领域

本申请涉及计算机技术领域，尤其涉及一种基于智能图计算的隐私资源权限控制方法、装置及设备。

背景技术

在拥有需要保护的隐私资源(或资产)的企业或其他组织机构中，合理地给员工分配隐私资源的访问权限，及时地回收闲置权限，可以有效避免员工滥用权限，从而有效防止机构的隐私数据发生泄露。

目前，员工权限生命周期的管理，如权限赋予和回收，大多依赖管理员制定的多层级的人工审批流程和回收流程完成，操作繁琐，效率低下。

发明内容

本说明书实施例提供了一种基于智能图计算的隐私资源权限控制方法、装置及设备，以提高权限管理的效率。

为解决上述技术问题，本说明书实施例是这样实现的：

第一方面，提出了一种基于智能图计算的隐私资源权限控制方法，包括：

接收权限控制请求，所述权限控制请求用于请求控制目标组织中的人员访问所述目标组织中的隐私资源的权限；

获取针对所述目标组织构建的异构图，所述异构图的节点表示对象，所述异构图的边表示对象之间的关系，所述对象包括所述目标组织中的人员、权限、隐私资源和包含权限的权限实体；

基于所述异构图，确定处理所述权限控制请求所需的对象关系信息；

基于所述对象关系信息，处理所述权限控制请求。

第二方面，提出了一种基于智能图计算的隐私资源权限控制装置，包括：

接收模块，用于接收权限控制请求，所述权限控制请求用于请求控制目标组织中的人员访问所述目标组织中的隐私资源的权限；

获取模块，用于获取针对所述目标组织构建的异构图，所述异构图的节点表示对象，所述异构图的边表示对象之间的关系，所述对象包括所述目标组织中的人员、权限、隐私资源和包含权限的权限实体；

第一确定模块，用于基于所述异构图，确定处理所述权限控制请求所需的对象关系信息；

处理模块，用于基于所述对象关系信息，处理所述权限控制请求。

第三方面，提出了一种电子设备，包括：

处理器；以及

被安排成存储计算机可执行指令的存储器，所述可执行指令在被执行时使所述处理器执行以下操作：

接收权限控制请求，所述权限控制请求用于请求控制目标组织中的人员访问所述目标组织中的隐私资源的权限；

获取针对所述目标组织构建的异构图，所述异构图的节点表示对象，所述异构图的边表示对象之间的关系，所述对象包括所述目标组织中的人员、权限、隐私资源和包含权限的权限实体；

基于所述异构图，确定处理所述权限控制请求所需的对象关系信息；

基于所述对象关系信息，处理所述权限控制请求。

第四方面，提出了一种计算机可读存储介质，所述计算机可读存储介质存储一个或多个程序，所述一个或多个程序当被包括多个应用程序的电子设备执行时，使得所述电子设备执行以下操作：

接收权限控制请求，所述权限控制请求用于请求控制目标组织中的人员访问所述目标组织中的隐私资源的权限；

获取针对所述目标组织构建的异构图，所述异构图的节点表示对象，所述异构图的边表示对象之间的关系，所述对象包括所述目标组织中的人员、权限、隐私资源和包含权限的权限实体；

基于所述异构图，确定处理所述权限控制请求所需的对象关系信息；

基于所述对象关系信息，处理所述权限控制请求。

由以上本说明书实施例提供的技术方案可见，本说明书实施例提供的方案至少具备如下一种技术效果：可以在接收到权限控制请求之后，基于针对目标组织构建的异构图进行图计算，确定处理所述权限控制请求所需的对象关系信息，然后基于计算出的对象关系信息处理所述权限控制请求，从而实现权限的自动化控制而不依赖人工操作，因此可以提高权限管理效率。

附图说明

此处所说明的附图用来提供对本申请的进一步理解，构成本申请的一部分，本申请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定。在附图中：

图1是本说明书实施例提供的一种基于智能图计算的隐私资源权限控制方法的流程示意图之一。

图2是本说明书实施例提供的异构图的一种示意图。

图3是本说明书实施例提供的一种基于智能图计算的隐私资源权限控制方法的流程示意图之二。

图4是本说明书实施例提供的一种电子设备的结构示意图。

图5是本说明书实施例提供的一种基于智能图计算的隐私资源权限控制装置的结构示意图之一。

图6是本说明书实施例提供的一种基于智能图计算的隐私资源权限控制装置的结构示意图之二。

具体实施方式

为使本申请的目的、技术方案和优点更加清楚，下面将结合本申请具体实施例及相应的附图对本申请技术方案进行清楚、完整地描述。显然，所描述的实施例仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

为提高权限管理的效率，本说明书实施例提供一种基于智能图计算的隐私资源权限控制方法及装置。本说明书实施例提供的基于智能图计算的隐私资源权限控制方法及装置可以由电子设备执行，例如终端设备或服务端设备。换言之，所述方法可以由安装在终端设备或服务端设备的软件或硬件来执行。所述服务端包括但不限于：单台服务器、服务器集群、云端服务器或云端服务器集群等。

本说明书实施例提供的一种基于智能图计算的隐私资源权限控制方法及装置，可用于对目标组织中的人员访问该目标组织中的隐私资源的权限进行管理。

图(Graph)，是表示表示对象之间的关联关系的一种抽象数据结果，使用节点(Vertex)和边(Edge)进行描述。图计算，是以图作为数据模型来表达问题并予以解决的过程。图算法，是指利用特制的线条算图求得答案的一种渐变算法。

目标组织，可以是需要进行权限管理任一组织机构，如企业、政府部门、学校等；目标组织中的人员包括目标组织中的领导、员工以及外来访客等各类人员。

目标组织的隐私资源是指该组织不愿意被其成员或其成员以外的人员无障碍或随便知晓的资源。目标组织中的隐私资源(或资产)包括无形的隐私数据资源和有形的隐私设备(如存储设备、测试设备、检验设备等)等需要保护的资源中的至少一种。

图1是本说明书的一个实施例提供的基于智能图计算的隐私资源权限控制方法的流程示意图，如图1所示，该方法可以包括：

步骤102、接收权限控制请求，所述权限控制请求用于请求控制目标组织中的人员访问所述目标组织中的隐私资源的权限。

该权限控制请求可以是针对目标组织中的一个人员的一项权限的，也可以是针对目标组织中的多个人员的多项权限的。可以理解，当该权限控制请求是针对多个人员的多项权限时，可以实现权限的批量自动化控制，从而更好的提高权限管理效率。

其中，权限控制请求包括但不限于：权限回收请求、权限授予请求和权限审批请求中的至少一种。

在一种情况下，所述接收权限控制请求，包括：接收来用户客户端的权限控制请求，也即该权限控制请求由目标组织中的人员在用户客户端触发，以满足目标组织中人员请求授予或审批某项权限的需求。

在另一种情况下，所述接收权限控制请求，包括：接收按照预设规则自动触发的权限控制请求。比如按照一定的时间间隔/周期自动触发权限回收请求，以实现闲置权限的自动回收。或者如，按照一定的时间间隔/周期自动触发权限授予请求，以实现针对某一类型的人员的批量自动赋权。

步骤104、获取针对所述目标组织构建的异构图，所述异构图的节点表示对象，所述异构图的边表示对象之间的关系，所述对象包括所述目标组织中的人员、权限、隐私资源和包含权限的权限实体。

可选地，在步骤104之前，图1所示的方法还可包括：基于第一数据和第二数据中的至少一种，构建所述异构图。其中，第一数据是当前采集的包含所述对象的属性信息及所述对象之间的关系信息的当前数据，第一数据可以认为是目标组织在当前时刻产生的实时数据。第二数据是包含所述对象的属性信息及所述对象之间的关系信息的历史数据，第二数据可以认为是离线存储的目标组织在预设历史时段内产生的数据。

一般情况下，可以基于第一数据实时构建所述异构图。具体可以采用Blink或Kepler等流式大数据计算服务获取第一数据，并依据第一数据确定节点的数据、边的数据以及节点和边的映射关系数据，然后将确定出的这些数据导入分布式图数据库(如Geabase)，最后由分布式图数据库基于这些数据生成所述异构图。

在另一种情况下，在基于第一数据构建的所述异构图不够稳定或缺少部分节点数据或边数据的情况下，可以基于第一数据和第二数据构建所述异构图。具体的，一方面，可以采用Blink或Kepler等流式大数据计算服务获取第一数据，并依据第一数据确定节点的数据、边的数据以及节点和边的映射关系数据，然后将确定出的这些数据导入分布式图数据库。另一方面，可以采用大数据计算服务(Max Compute，原名Open Data ProcessingService，简称，ODPS)获取第二数据，并依据第二数据计算节点的数据、边的数据以及节点和边的映射关系数据，然后将确定出的这些数据也导入分布式图数据库。最后由分布式图数据库基于前两方面导入的数据生成所述异构图。

在本说明书实施例中，针对目标组织构建的异构图中的对象包括但不限于人员、权限、隐私资源和包含权限的权限实体。其中，权限可以理解为是进行权限控制的最小单元，实际的权限控制是针对权限实体的，权限实体是对权限进行封装得到的，下文会结合图2举例说明，此处按下不表。

在本说明书实施例中，针对目标组织构建的异构图中的对象之间的关系可以包括但不限于：人员对权限的访问关系、人员对隐私资源的访问关系、人员与权限之间的授权关系、权限实体之间的授权关系、权限对隐私资源的覆盖关系、人员间的组织架构关系以及权限与权限实体间的依赖关系中的一种或多种。

图2示出了本说明书实施例提供的针对目标组织构建的异构图的一种示意图。如图2所示，该异构图包除了包括人员21、权限22和隐私资源23这三种对象外，还包括岗位24、角色25、用户组26、产品供应(Product Supply，PS)部门27和业务部门28等对权限22封装而得到的权限实体。其中，岗位可以是类似研发工程师、架构工程师、人事专员等这样的传统意义上的岗位，角色可以是特殊职位的人员的称呼，如管理员、部门经理、总工程师等，业务部门可以是销售业务部门、售后业务部门等。

在图2所示的异构图中，对象之间的关系包括：人员21对权限22的访问关系，人员21与权限22之间的授权关系，人员21对隐私资源23的访问关系，人员21分别与岗位24、角色25、用户组26、PS部门27以及业务部门28等权限实体之间的授权关系，权限22分别与岗位24、角色25、用户组26、PS部门27以及业务部门28等权限实体之间的依赖关系(具体为包含关系，即权限实体包含权限)，以及，岗位24、角色25、用户组26、PS部门27和业务部门28等权限实体之间的依赖关系(具体为包含关系)，等等，此处不一一列举。

可选地，如图2所示，本说明书实施例提供的异构图中还可以包括对象的属性信息。下表1列出了图2所示的异构图中的对象的属性信息，详见表1。

表1

可选地，如图2所示，本说明书实施例提供的异构图中的边还有权重，连接两个对象的边的权重可以依据这两个对象间的关系的紧密程度确定。

应理解，目标组织的异构图中的对象、对象的属性信息、对象间的关系以及连接对象的边的权重中任意一个，都可以作为自动控制目标组织中的权限的依据。本说明书实施例提供的正是依据针对目标组织构建的异构图中的这些信息，实现了对目标组织中的权限的自动化控制，从而提高权限管理效率。

步骤106、基于所述异构图，确定处理所述权限控制请求所需的对象关系信息。

本说明书实施例在于，构建针对目标组织的异构图，然后依据该异构图对目标组织中的人员访问该组织中的隐私资源的权限进行自动控制。在一种具体的应用场景下，可以基于异构图，确定处理权限控制请求所需的对象关系信息，也即通过图计算从异构图中查询出处理权限控制请求所需的对象关系信息，然后依据查询到的对象关系信息处理权限控制请求。

其中，在目标组织的异构图中包括人员、权限、隐私资源和包含权限的权限实体，以及包括人员对权限的访问关系、人员对隐私资源的访问关系、人员与权限之间的授权关系、权限实体之间的授权关系、权限对隐私资源的覆盖关系、人员间的组织架构关系以及权限与权限实体间的依赖关系的情况下，步骤106确定出的对象关系信息可以包括但不限于以下信息中的至少一种：人员对权限的访问关系信息、人员对隐私资源的访问关系信息、人员与权限之间的授权关系信息、权限实体之间的授权关系信息、权限对隐私资源的覆盖关系信息、人员间的组织架构关系信息以及权限与权限实体间的依赖关系信息。

步骤108、基于所述对象关系信息，处理所述权限控制请求。

权限控制请求可以是包括很多种，下面分别以权限控制请求为权限回收请求、权限授予请求和权限审批请求为例，对基于对象关系信息处理所述权限控制请求进行说明。

第一个例子

所述权限控制请求为权限回收请求，其中，所述基于所述对象关系信息，处理所述权限控制请求，包括：基于所述对象关系信息确定符合预设回收条件的目标权限并回收。

具体来说，所述对象关系信息可以包括：目标组织中的人员对至少一个权限的访问关系信息。当所述对象关系信息包括目标组织中的人员对多个权限的访问关系信息时，可以实现闲置权限的批量回收，从而提高权限管理效率。相应的，所述基于所述对象关系信息确定符合预设回收条件的目标权限并回收，可以包括：基于目标组织中的人员对所述至少一个权限的访问关系信息，确定所述至少一个权限被访问的频次和/或所述至少一个权限的授权审批链路等；然后将所述至少一个权限中被访问的频次低于预设值的权限确定为目标权限并回收，或者，将所述至少一个权限中授权审批链路不符合预设规定的权限确定为目标权限并回收。

可以理解，在上述具体的例子中，“被访问的频次低于预设值”和“授权审批链路不符合预设规定”即为预设回收条件。

可以理解，通过第一个例子，可以实现权限的自动回收，从而提高权限管理效率。

第二个例子

所述权限控制请求为目标人员获取访问目标隐私资源的目标权限的授权请求，其中，所述基于所述对象关系信息，处理所述权限控制请求，包括：当基于所述对象关系信息确定所述目标人员符合授予所述目标权限的条件时，向所述目标人员赋予所述目标权限。

具体来说，所述对象关系信息可以包括：目标权限与目标隐私资源的覆盖关系信息、以及目标人员与包含目标权限的权限实体之间的授权关系信息。相应的，所述当基于所述对象关系信息确定所述目标人员符合授予所述目标权限的条件时，向所述目标人员赋予所述目标权限，可以包括：当基于所述对象关系信息确定所述目标权限覆盖了所述目标隐私资源、所述目标人员获得了包含所述目标权限的权限实体的授权时，向所述目标人员赋予所述目标权限。

可以理解，通过第二个例子，可以在接收到授权请求后自动赋权，从而提高权限管理效率。

第三个例子

所述权限控制请求为目标人员申请访问目标隐私资源的目标权限的审批请求，其中，所述基于所述对象关系信息，处理所述权限控制请求，包括：当基于所述对象关系信息确定所述目标人员符合预设审批条件时，通过所述审批请求。

具体来说，所述对象关系信息可以包括：目标权限与目标隐私资源的覆盖关系信息、以及目标人员与包含目标权限的权限实体之间的授权关系信息。相应的，所述当基于所述对象关系信息确定所述目标人员符合预设审批条件时，通过所述审批请求，可以包括：当基于所述对象关系信息确定所述目标权限覆盖了所述目标隐私资源、所述目标人员具有包含所述目标权限的权限实体的授权时，通过所述审批请求。

可以理解，通过第三个例子，可以在接收到授权请求后自动赋权，从而提高权限管理效率。

可选地，在上述第一个例子、第二个例子和第三个例子中任一例子中，步骤102具体可以包括：接收按照预设规则自动触发的权限控制请求。比如，在第一个例子中，可以按照一定的时间间隔/周期自动触发权限回收请求，以实现闲置权限的自动回收。或者如，在第二个例子中，按照一定的时间间隔/周期自动触发授权请求，以实现针对某一类型的人员的批量自动赋权。抑或，在第三个例子中，按照一定的时间间隔/周期自动触发权限审批请求，以实现针对某一类型的人员的批量审批。

可选地，在步骤108之后，图1所示的方法还可以包括：根据对所述权限控制请求的处理结果，更新所述异构图。可以理解，在对所述权限控制请求进行处理后，目标组织的异构图中的对象或对象间的关系有可能发生了变化，因此可以进一步地对所述异构图进行更新，具体的更新方式可以是，确定发生变化的对象及对象间的关系数据并导入分布式图数据库，然后由分布式图数据库输出更新后的异构图。

本说明书实施例提供的一种基于智能图计算的隐私资源权限控制方法，可以在接收到权限控制请求之后，基于针对目标组织构建的异构图进行图计算，确定处理所述权限控制请求所需的对象关系信息，然后基于计算出的对象关系信息处理所述权限控制请求，从而实现权限的自动化控制而不依赖人工操作，因此可以提高权限管理效率。

此外，可以理解，由于在构建出针对目标组织的异构图后，利用图计算自动从异构图中查询出与权限管理相关的对象关系信息，可以给出判断权限回收、授予及审批是否符合实际情况及是否合理的依据，因此还可以有效地防止权限的滥用、乱用，达到深入贯彻目标组织中的人员获得的权限符合权限粒度最小化的目的，进而有效保护目标组织的核心隐私资源的安全。

再有，异构图容易被扩展，因此，当目标组织中的对象发生更改、添加或删除时，可以通过实时更新异构图而反映出来，使得权限控制能够依据最新的对象关系信息进行，从而进一步提高权限控制的合理性。

图3示出了本说明书的另一实施例提供的一种基于智能图计算的隐私资源权限控制方法的流程示意图。如图3所示，该实施例与图1所示的实施例的不同之处在于，在步骤104之后，该方法还可以包括：

步骤110、基于预设图算法，从所述异构图中确定出属于同一群组的人员，其中，所述预设图算法包括但不限于社区发现算法或社区提纯算法。

例如，基于预设图算法从所述异构图中挖掘出处于相同岗位且属于同一部门的多个员工。

可选的，步骤104中获取的异构图中边具有权重，在步骤110中，具体可以基于预设图算法和所述异构图中的边的权重，从所述异构图中确定出属于同一群组的人员。其中，一个边的权重，代表了该边所表示的关系对社区发现的影响，一般来说，边的权重越大，对社区发现的影响越大，反之则越小。

步骤112、确定所述群组中的人员的通用权限。

例如，通用权限可以是对相同敏感级别的隐私资源的访问权限等。其中，隐私资源的不同敏感级别，代表不同的保护等级。

步骤114、将所述通用权限赋予所述群组中的人员。

通过本说明书实施例，可以实现自动批量赋权目的，从而提高授权效率。

以上是对本说明书提供的方法实施例的说明，下面对本说明书提供的电子设备进行介绍。

图4是本说明书的一个实施例提供的电子设备的结构示意图。请参考图4，在硬件层面，该电子设备包括处理器，可选地还包括内部总线、网络接口、存储器。其中，存储器可能包含内存，例如高速随机存取存储器(Random-Access Memory，RAM)，也可能还包括非易失性存储器(non-volatile memory)，例如至少1个磁盘存储器等。当然，该电子设备还可能包括其他业务所需要的硬件。

处理器、网络接口和存储器可以通过内部总线相互连接，该内部总线可以是ISA(Industry Standard Architecture，工业标准体系结构)总线、PCI(PeripheralComponent Interconnect，外设部件互连标准)总线或EISA(Extended Industry StandardArchitecture，扩展工业标准结构)总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示，图4中仅用一个双向箭头表示，但并不表示仅有一根总线或一种类型的总线。

存储器，用于存放程序。具体地，程序可以包括程序代码，所述程序代码包括计算机操作指令。存储器可以包括内存和非易失性存储器，并向处理器提供指令和数据。

处理器从非易失性存储器中读取对应的计算机程序到内存中然后运行，在逻辑层面上形成基于智能图计算的隐私资源权限控制装置。处理器，执行存储器所存放的程序，并具体用于执行以下操作：

接收权限控制请求，所述权限控制请求用于请求控制目标组织中的人员访问所述目标组织中的隐私资源的权限；

获取针对所述目标组织构建的异构图，所述异构图的节点表示对象，所述异构图的边表示对象之间的关系，所述对象包括所述目标组织中的人员、权限、隐私资源和包含权限的权限实体；

基于所述异构图，确定处理所述权限控制请求所需的对象关系信息；

基于所述对象关系信息，处理所述权限控制请求。

上述如本说明书图1所示实施例揭示的基于智能图计算的隐私资源权限控制方法可以应用于处理器中，或者由处理器实现。处理器可能是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器可以是通用处理器，包括中央处理器(CentralProcessing Unit，CPU)、网络处理器(Network Processor，NP)等；还可以是数字信号处理器(Digital Signal Processor，DSP)、专用集成电路(Application Specific IntegratedCircuit，ASIC)、现场可编程门阵列(Field－Programmable Gate Array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本说明书一个或多个实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本说明书一个或多个实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器，处理器读取存储器中的信息，结合其硬件完成上述方法的步骤。

该电子设备还可执行图1的基于智能图计算的隐私资源权限控制方法，本说明书在此不再赘述。

当然，除了软件实现方式之外，本说明书的电子设备并不排除其他实现方式，比如逻辑器件抑或软硬件结合的方式等等，也就是说以下处理流程的执行主体并不限定于各个逻辑单元，也可以是硬件或逻辑器件。

本说明书实施例还提出了一种计算机可读存储介质，该计算机可读存储介质存储一个或多个程序，该一个或多个程序包括指令，该指令当被包括多个应用程序的便携式电子设备执行时，能够使该便携式电子设备执行图1所示实施例的方法，并具体用于执行以下操作：

接收权限控制请求，所述权限控制请求用于请求控制目标组织中的人员访问所述目标组织中的隐私资源的权限；

获取针对所述目标组织构建的异构图，所述异构图的节点表示对象，所述异构图的边表示对象之间的关系，所述对象包括所述目标组织中的人员、权限、隐私资源和包含权限的权限实体；

基于所述异构图，确定处理所述权限控制请求所需的对象关系信息；

基于所述对象关系信息，处理所述权限控制请求。

如图5所示，本说明书的一个实施例提供了一种基于智能图计算的隐私资源权限控制装置，在一种软件实施方式中，该基于智能图计算的隐私资源权限控制装置500可包括：接收模块501、获取模块502、第一确定模块503和处理模块504。

接收模块501，用于接收权限控制请求，所述权限控制请求用于请求控制目标组织中的人员访问所述目标组织中的隐私资源的权限。

在一种情况下，接收模块501，可用于接收来用户客户端的权限控制请求，也即该权限控制请求由目标组织中的人员在用户客户端触发，以满足目标组织中人员请求授予或审批某项权限的需求。

在另一种情况下，接收模块501，可用于接收按照预设规则自动触发的权限控制请求。

获取模块502，用于获取针对所述目标组织构建的异构图，所述异构图的节点表示对象，所述异构图的边表示对象之间的关系，所述对象包括所述目标组织中的人员、权限、隐私资源和包含权限的权限实体。

可选地，图5所示的组织500还可包括：图构建模块，用于基于第一数据和第二数据中的至少一种，构建所述异构图。其中，第一数据是当前采集的包含所述对象的属性信息及所述对象之间的关系信息的当前数据，第一数据可以认为是目标组织在当前时刻产生的实时数据。第二数据是包含所述对象的属性信息及所述对象之间的关系信息的历史数据，第二数据可以认为是离线存储的目标组织在预设历史时段内产生的数据。

一般情况下，图构建模块可以基于第一数据实时构建所述异构图。具体可以采用Blink或Kepler等流式大数据计算服务获取第一数据，并依据第一数据确定节点的数据、边的数据以及节点和边的映射关系数据，然后将确定出的这些数据导入分布式图数据库(如Geabase)，最后由分布式图数据库基于这些数据生成所述异构图。

在另一种情况下，在基于第一数据构建的所述异构图不够稳定或缺少部分节点数据或边数据的情况下，图构建模块可以基于第一数据和第二数据构建所述异构图。具体的，一方面，可以采用Blink或Kepler等流式大数据计算服务获取第一数据，并依据第一数据确定节点的数据、边的数据以及节点和边的映射关系数据，然后将确定出的这些数据导入分布式图数据库。另一方面，可以采用大数据计算服务(MaxCompute，原名OpenDataProcessingService，简称，ODPS)获取第二数据，并依据第二数据计算节点的数据、边的数据以及节点和边的映射关系数据，然后将确定出的这些数据也导入分布式图数据库。最后由分布式图数据库基于前两方面导入的数据生成所述异构图。

在本说明书实施例中，针对目标组织构建的异构图中的对象包括但不限于人员、权限、隐私资源和包含权限的权限实体。其中，权限可以理解为是进行权限控制的最小单元，实际的权限控制是针对权限实体的，权限实体是对权限进行封装得到的。

在本说明书实施例中，针对目标组织构建的异构图中的对象之间的关系可以包括但不限于：人员对权限的访问关系、人员对隐私资源的访问关系、人员与权限之间的授权关系、权限实体之间的授权关系、权限对隐私资源的覆盖关系、人员间的组织架构关系以及权限与权限实体间的依赖关系中的一种或多种。

第一确定模块503，用于基于所述异构图，确定处理所述权限控制请求所需的对象关系信息。

本说明书实施例在于，构建针对目标组织的异构图，然后依据该异构图对目标组织中的人员访问该组织中的隐私资源的权限进行自动控制。在一种具体的应用场景下，可以基于异构图，确定处理权限控制请求所需的对象关系信息，也即通过图计算从异构图中查询出处理权限控制请求所需的对象关系信息，然后依据查询到的对象关系信息处理权限控制请求。

其中，在目标组织的异构图中包括人员、权限、隐私资源和包含权限的权限实体，以及包括人员对权限的访问关系、人员对隐私资源的访问关系、人员与权限之间的授权关系、权限实体之间的授权关系、权限对隐私资源的覆盖关系、人员间的组织架构关系以及权限与权限实体间的依赖关系的情况下，第一确定模块503确定出的对象关系信息可以包括但不限于以下信息中的至少一种：人员对权限的访问关系信息、人员对隐私资源的访问关系信息、人员与权限之间的授权关系信息、权限实体之间的授权关系信息、权限对隐私资源的覆盖关系信息、人员间的组织架构关系信息以及权限与权限实体间的依赖关系信息。

处理模块504，用于基于所述对象关系信息，处理所述权限控制请求。

权限控制请求可以是包括很多种，下面分别以权限控制请求为权限回收请求、权限授予请求和权限审批请求为例，对基于对象关系信息处理所述权限控制请求进行说明。

第一个例子

所述权限控制请求为权限回收请求，处理模块504，可用于基于所述对象关系信息确定符合预设回收条件的目标权限并回收。

具体来说，所述对象关系信息可以包括：目标组织中的人员对至少一个权限的访问关系信息。当所述对象关系信息包括目标组织中的人员对多个权限的访问关系信息时，可以实现闲置权限的批量回收，从而提高权限管理效率。相应的，处理模块504可用于：基于目标组织中的人员对所述至少一个权限的访问关系信息，确定所述至少一个权限被访问的频次和/或所述至少一个权限的授权审批链路等；然后将所述至少一个权限中被访问的频次低于预设值的权限确定为目标权限并回收，或者，将所述至少一个权限中授权审批链路不符合预设规定的权限确定为目标权限并回收。

可以理解，在上述具体的例子中，“被访问的频次低于预设值”和“授权审批链路不符合预设规定”即为预设回收条件。

可以理解，通过第一个例子，可以实现权限的自动回收，从而提高权限管理效率。

第二个例子

所述权限控制请求为目标人员获取访问目标隐私资源的目标权限的授权请求，处理模块504，可用于当基于所述对象关系信息确定所述目标人员符合授予所述目标权限的条件时，向所述目标人员赋予所述目标权限。

具体来说，所述对象关系信息可以包括：目标权限与目标隐私资源的覆盖关系信息、以及目标人员与包含目标权限的权限实体之间的授权关系信息。相应的，处理模块504具体可用于：当基于所述对象关系信息确定所述目标权限覆盖了所述目标隐私资源、所述目标人员获得了包含所述目标权限的权限实体的授权时，向所述目标人员赋予所述目标权限。

可以理解，通过第二个例子，可以在接收到授权请求后自动赋权，从而提高权限管理效率。

第三个例子

所述权限控制请求为目标人员申请访问目标隐私资源的目标权限的审批请求，处理模块504，可用于当基于所述对象关系信息确定所述目标人员符合预设审批条件时，通过所述审批请求。

具体来说，所述对象关系信息可以包括：目标权限与目标隐私资源的覆盖关系信息、以及目标人员与包含目标权限的权限实体之间的授权关系信息。相应的，处理模块504具体可用于：当基于所述对象关系信息确定所述目标权限覆盖了所述目标隐私资源、所述目标人员具有包含所述目标权限的权限实体的授权时，通过所述审批请求。

可以理解，通过第三个例子，可以在接收到授权请求后自动赋权，从而提高权限管理效率。

可选地，在上述第一个例子、第二个例子和第三个例子中任一例子中，接收模块501具体可用于：接收按照预设规则自动触发的权限控制请求。

可选地，图5所示的组织还可以包括：异构图更新模块，用于在所述处理模块处理所述权限控制请求之后，根据对所述权限控制请求的处理结果，更新所述异构图。可以理解，在对所述权限控制请求进行处理后，目标组织的异构图中的对象或对象间的关系有可能发生了变化，因此可以进一步地对所述异构图进行更新，具体的更新方式可以是，确定发生变化的对象及对象间的关系数据并导入分布式图数据库，然后由分布式图数据库输出更新后的异构图。

本说明书实施例提供的一种基于智能图计算的隐私资源权限控制装置，可以在接收到权限控制请求之后，基于针对目标组织构建的异构图进行图计算，确定处理所述权限控制请求所需的对象关系信息，然后基于计算出的对象关系信息处理所述权限控制请求，从而实现权限的自动化控制而不依赖人工操作，因此可以提高权限管理效率。

此外，可以理解，由于在构建出针对目标组织的异构图后，利用图计算自动从异构图中查询出与权限管理相关的对象关系信息，可以给出判断权限回收、授予及审批是否符合实际情况及是否合理的依据，因此还可以有效地防止权限的滥用、乱用，达到深入贯彻目标组织中的人员获得的权限符合权限粒度最小化的目的，进而有效保护目标组织的核心隐私资源的安全。

再有，异构图容易被扩展，因此，当目标组织中的对象发生更改、添加或删除时，可以通过实时更新异构图而反映出来，使得权限控制能够依据最新的对象关系信息进行，从而进一步提高权限控制的合理性。

图6示出了本说明书的另一实施例提供的一种基于智能图计算的隐私资源权限控制装置的结构示意图。如图6所示，该实施例与图5所示的实施例的不同之处在于，该装置除了包括接收模块501和获取模块502，还可以包括第二确定模块505、第三确定模块506和批量授权模块507。

第二确定模块505，用于基于预设图算法，从所述异构图中确定出属于同一群组的人员，其中，所述预设图算法包括但不限于社区发现算法或社区提纯算法。

可选的，获取模块502获取的异构图中边具有权重，第二确定模块505具体可以基于预设图算法和所述异构图中的边的权重，从所述异构图中确定出属于同一群组的人员。其中，一个边的权重，代表了该边所表示的关系对社区发现的影响，一般来说，边的权重越大，对社区发现的影响越大，反之则越小。

第三确定模块506，用于确定所述群组中的人员的通用权限。

批量授权模块507，用于将所述通用权限赋予所述群组中的人员。

通过本说明书实施例，可以实现自动批量赋权目的，从而提高授权效率。

需要说明的是，基于智能图计算的隐私资源权限控制装置500能够实现图1的方法实施例的方法，具体可参考图1所示实施例的基于生成对抗网络的广告图片处理方法，不再赘述。

上述对本说明书特定实施例进行了描述，其它实施例在所附权利要求书的范围内。在一些情况下，在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外，在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中，多任务处理和并行处理也是可以的或者可能是有利的。

本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于装置实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

总之，以上所述仅为本说明书的较佳实施例而已，并非用于限定本说明书的保护范围。凡在本说明书一个或多个实施例的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本说明书一个或多个实施例的保护范围之内。

上述实施例阐明的系统、装置、模块或单元，具体可以由计算机芯片或实体实现，或者由具有某种功能的产品来实现。一种典型的实现设备为计算机。具体的，计算机例如可以为个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任何设备的组合。

计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitorymedia)，如调制的数据信号和载波。

还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制时，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。

本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于系统实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

Claims (14)

1.一种基于智能图计算的隐私资源权限控制方法，包括：

接收权限控制请求，所述权限控制请求用于请求控制目标组织中的人员访问所述目标组织中的隐私资源的权限，所述权限控制请求包括权限回收请求、权限授予请求和权限审批请求中的至少一种；

获取针对所述目标组织构建的异构图，所述异构图的节点表示对象，所述异构图的边表示对象之间的关系，所述对象包括所述目标组织中的人员、权限、隐私资源和包含权限的权限实体；

基于所述异构图，确定处理所述权限控制请求所需的对象关系信息；

基于所述对象关系信息，处理所述权限控制请求。

2.根据权利要求1所述的方法，所述异构图中还包括对象的属性信息，在所述获取针对所述目标组织构建的异构图之前，所述方法还包括：

基于第一数据和第二数据中的至少一种，构建所述异构图；

其中，所述第一数据是当前采集的包含所述对象的属性信息及所述对象之间的关系信息的当前数据，所述第二数据是包含所述对象的属性信息及所述对象之间的关系信息的历史数据。

3.根据权利要求2所述的方法，在所述基于所述对象关系信息，处理所述权限控制请求后，还包括：

根据对所述权限控制请求的处理结果，更新所述异构图。

4.根据权利要求1-3任一项所述的方法，

所述异构图中的对象间的关系包括：人员对权限的访问关系、人员对隐私资源的访问关系、人员与权限之间的授权关系、权限实体之间的授权关系、权限对隐私资源的覆盖关系、人员间的组织架构关系以及权限与权限实体间的依赖关系。

5.根据权利要求4所述的方法，

所述对象关系信息包括以下至少一种：人员对权限的访问关系信息、人员对隐私资源的访问关系信息、人员与权限之间的授权关系信息、权限实体之间的授权关系信息、权限对隐私资源的覆盖关系信息、人员间的组织架构关系信息以及权限与权限实体间的依赖关系信息。

6.根据权利要求5所述的方法，所述权限控制请求为权限回收请求，其中，所述基于所述对象关系信息，处理所述权限控制请求，包括：

基于所述对象关系信息确定符合预设回收条件的目标权限并回收。

7.根据权利要求5所述的方法，所述权限控制请求为目标人员获取访问目标隐私资源的目标权限的授权请求，其中，所述基于所述对象关系信息，处理所述权限控制请求，包括：

当基于所述对象关系信息确定所述目标人员符合授予所述目标权限的条件时，向所述目标人员赋予所述目标权限。

8.根据权利要求5所述的方法，所述权限控制请求为目标人员申请访问目标隐私资源的目标权限的审批请求，其中，所述基于所述对象关系信息，处理所述权限控制请求，包括：

当基于所述对象关系信息确定所述目标人员符合预设审批条件时，通过所述审批请求。

9.根据权利要求6-8任一项所述的方法，

其中，所述接收权限控制请求，包括：

接收按照预设规则自动触发的权限控制请求。

10.根据权利要求1所述的方法，还包括：

基于预设图算法，从所述异构图中确定出属于同一群组的人员，所述预设图算法包括社区发现算法或社区提纯算法；

确定所述群组中的人员的通用权限；

将所述通用权限赋予所述群组中的人员。

11.根据权利要求10所述的方法，所述异构图中的边具有权重，其中，所述基于预设图算法，从所述异构图中确定出属于同一群组的人员，包括：

基于预设图算法和所述异构图中的边的权重，从所述异构图中确定出属于同一群组的人员。

12.一种基于智能图计算的隐私资源权限控制装置，包括：

接收模块，用于接收权限控制请求，所述权限控制请求用于请求控制目标组织中的人员访问所述目标组织中的隐私资源的权限，所述权限控制请求包括权限回收请求、权限授予请求和权限审批请求中的至少一种；

获取模块，用于获取针对所述目标组织构建的异构图，所述异构图的节点表示对象，所述异构图的边表示对象之间的关系，所述对象包括所述目标组织中的人员、权限、隐私资源和包含权限的权限实体；

第一确定模块，用于基于所述异构图，确定处理所述权限控制请求所需的对象关系信息；

处理模块，用于基于所述对象关系信息，处理所述权限控制请求。

13.一种电子设备，包括：

处理器；以及

被安排成存储计算机可执行指令的存储器，所述可执行指令在被执行时使所述处理器执行以下操作：

接收权限控制请求，所述权限控制请求用于请求控制目标组织中的人员访问所述目标组织中的隐私资源的权限，所述权限控制请求包括权限回收请求、权限授予请求和权限审批请求中的至少一种；

获取针对所述目标组织构建的异构图，所述异构图的节点表示对象，所述异构图的边表示对象之间的关系，所述对象包括所述目标组织中的人员、权限、隐私资源和包含权限的权限实体；

基于所述异构图，确定处理所述权限控制请求所需的对象关系信息；

基于所述对象关系信息，处理所述权限控制请求。

14.一种计算机可读存储介质，所述计算机可读存储介质存储一个或多个程序，所述一个或多个程序当被包括多个应用程序的电子设备执行时，使得所述电子设备执行以下操作：

接收权限控制请求，所述权限控制请求用于请求控制目标组织中的人员访问所述目标组织中的隐私资源的权限，所述权限控制请求包括权限回收请求、权限授予请求和权限审批请求中的至少一种；

获取针对所述目标组织构建的异构图，所述异构图的节点表示对象，所述异构图的边表示对象之间的关系，所述对象包括所述目标组织中的人员、权限、隐私资源和包含权限的权限实体；

基于所述异构图，确定处理所述权限控制请求所需的对象关系信息；

基于所述对象关系信息，处理所述权限控制请求。

Images