CN111353163A - 确定访问权限的方法、装置及存储介质 - Google Patents
确定访问权限的方法、装置及存储介质 Download PDFInfo
- Publication number
- CN111353163A CN111353163A CN201811583009.4A CN201811583009A CN111353163A CN 111353163 A CN111353163 A CN 111353163A CN 201811583009 A CN201811583009 A CN 201811583009A CN 111353163 A CN111353163 A CN 111353163A
- Authority
- CN
- China
- Prior art keywords
- access
- user
- dangerous
- determining
- event
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 47
- 230000009471 action Effects 0.000 claims description 95
- 230000000977 initiatory effect Effects 0.000 claims description 47
- 238000012163 sequencing technique Methods 0.000 claims description 26
- 238000012790 confirmation Methods 0.000 claims description 9
- 238000012545 processing Methods 0.000 claims description 6
- 230000010365 information processing Effects 0.000 abstract description 2
- 230000000875 corresponding effect Effects 0.000 description 123
- 238000007726 management method Methods 0.000 description 78
- 230000006399 behavior Effects 0.000 description 16
- 238000004891 communication Methods 0.000 description 15
- 238000012937 correction Methods 0.000 description 13
- 238000004458 analytical method Methods 0.000 description 12
- 238000010586 diagram Methods 0.000 description 8
- 230000006870 function Effects 0.000 description 8
- 230000003287 optical effect Effects 0.000 description 5
- 238000004590 computer program Methods 0.000 description 4
- 230000008569 process Effects 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 230000001276 controlling effect Effects 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 231100001261 hazardous Toxicity 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Automation & Control Theory (AREA)
- Storage Device Security (AREA)
Abstract
本申请公开了一种确定访问权限的方法、装置及存储介质,属于信息处理技术领域。所述方法包括:当接收到访问请求时,获取用户信用值,然后根据获取到的用户信用值确定与用户标识对应的当前访问权限。由于用户信用值用于指示用户标识对应的用户发起的访问事件对数据服务器的安全造成的威胁程度,因此,在本申请实施例中,随着用户标识对应的用户对数据服务器发起的访问事件的进行,用户标识对应的用户信用值是在动态变化的,而不是固定不变的。因此,用户标识对应的用户在不同时间发起的访问请求时,该用户的当前访问权限也是动态变化的,提高了确定访问权限的灵活性。
Description
技术领域
本申请涉及信息处理技术领域,特别涉及一种确定访问权限的方法、装置及存储介质。
背景技术
目前,企业的表格和文档等数据对象通常存储在数据服务器中,数据服务器与权限管理服务器连接,并由权限管理服务器对用户的访问请求进行管理,以保证具有访问权限的用户可以访问数据服务器中的数据对象,而不具有访问权限的用户不可以访问数据服务器中的数据对象。因此,权限管理服务器如何确定用户的访问权限,将直接影响数据服务器的安全性。
相关技术中,权限管理服务器中存储有权限列表,因此,当权限管理服务器接收到针对数据服务器中的某个数据对象的访问请求时,根据访问请求中携带的用户标识,确定该用户标识是否在权限列表中。如果该用户标识在权限列表中,则确定该用户标识对应的用户具有访问该数据对象的权限。如果该用户标识不在权限列表中,则确定该用户标识对应的用户不具有访问该数据对象的权限。
上述用户的访问权限是根据权限列表确定的,而权限列表通常是由管理人员配置并存储在权限管理服务器中的,在配置完该权限列表之后,各个用户的访问权限即被指定,导致确定用户的访问权限的方法比较单一,影响了确定访问权限的灵活性。
发明内容
本申请提供了一种确定访问权限的方法、装置及存储介质,可以提高确定访问权限的灵活性。所述技术方案如下:
第一方面,提供了一种确定访问权限的方法,该方法包括:接收访问请求,访问请求中携带用户标识;根据用户标识获取用户信用值,用户信用值用于指示用户标识对应的用户发起的访问事件对数据服务器的安全造成的威胁程度;根据获取到的用户信用值确定用户标识对应的当前访问权限。
在本申请中,接收到访问请求时,获取用户信用值,然后根据获取到的用户信用值确定与用户标识对应的当前访问权限。由于用户信用值用于指示用户标识对应的用户发起的访问事件对数据服务器的安全造成的威胁程度,因此,在本申请中,随着用户标识对应的用户对数据服务器发起的访问事件的进行,用户标识对应的用户信用值是在动态变化的,而不是固定不变的。因此,用户标识对应的用户在不同时间发起的访问请求时,该用户的当前访问权限也是动态变化的,提高了确定访问权限的灵活性。
可选地,根据用户标识获取用户信用值之前,还包括:为用户标识配置初始用户信用值;在配置初始用户信用值之后,每隔第一时长根据用户标识获取多条访问日志,多条访问日志用于记录用户标识对应的用户在当前时间之前发起的所有访问事件;根据多条访问日志对初始用户信用值进行更新;其中,获取到的用户信用值是在接收到访问请求之前最近一次对初始用户信用值进行更新之后得到的用户信用值。
为了提高获取用户信用值的效率,进而提高确定用户访问权限的效率,在本申请中,在为用户标识配置初始用户信用值之后,每隔第一时长根据当前事前之前的所有访问事件对初始信用值进行更新,以便于在需要获取用户信用值时,直接从已经更新之后的用户信用值中获取用户信用值,缩短了获取用户信用值所需的时间。
可选地,根据多条访问日志对初始用户信用值进行更新,包括:根据多条访问日志,确定用户标识对应的用户在当前时间之前发起的n个危险访问事件,危险访问事件是指对数据服务器的安全造成威胁的访问事件,n为大于或等于1的正整数;确定n个危险访问事件中每个危险访问事件的动作风险值和/或设备风险值,每个危险访问事件的动作风险值用于描述每个危险访问事件中涉及到的访问动作的风险值,每个危险访问事件的设备风险值用于描述每个危险访问事件中涉及到的设备的风险值;根据n个危险访问事件中每个危险访问事件的动作风险值和/或设备风险值,确定用户标识对应的信用损耗值;将初始用户信用值和用户标识对应的信用损耗值之间的差值确定为更新之后的用户信用值。
在本申请中,在每次更新初始用户信用值时,可以根据用户当前时间之前发起的危险访问事件对初始用户信用值进行更新,以使更新之后的用户信用值能够更加准确地指示户标识对应的用户发起的访问事件对数据服务器的安全造成的威胁程度。
可选地,n为大于或等于2的正整数;根据n个危险访问事件中每个危险访问事件的动作风险值和设备风险值,确定用户标识对应的信用损耗值,包括:将n个危险访问事件按照发起时间从早到晚的顺序进行排序;对于排序结果中的第i个危险访问事件,确定排序结果中前i个危险访问事件中每个危险访问事件的动作风险值之间的加和,并确定排序结果中前i个危险访问事件中每个危险访问事件的设备风险值之间的加和,将得到的两个加和的总和与i-1之间的比值确定为第i个危险访问事件对应的信用损耗值,i为大于或等于2且小于或等于n的正整数;将排序结果中的第二个危险访问事件至第n个危险访问事件中每个危险访问事件对应的信用损耗值的加和确定为用户标识对应的信用损耗值。
当用户当前时间之前发起的危险访问事件的数量为多个时,由于每个危险访问事件可能并不是一个独立的事件,因此,在本申请中,可以按照上述方式确定用户标识对应的信用损耗值,以使确定出的信用损耗值可以体现不同危险访问事件之前的关联,进而提高了更新后的用户信用值的准确性。
可选地,针对每个危险访问事件配置有初始动作风险值;确定n个危险访问事件中每个危险访问事件的动作风险值,包括:对于排序结果中的第i个危险访问事件,确定第i个危险访问事件的动作风险值分别排序结果中前i-1个危险访问事件中每个危险访问事件的动作风险值之间的加和,得到i-1个第一类加和,并确定第i个危险访问事件的设备风险值分别与排序结果中前i-1个危险访问事件中每个危险访问事件的设备风险值之间的加和,得到i-1个第二类加和,将i-1个第一类加和与i-1个第二类加和的总和与i-1之间的比值确定为第i个危险访问事件对应的信用损耗值,i为大于或等于2且小于或等于n的正整数。
如果两个危险访问事件同时发生对数据服务器的安全造成的威胁程度会骤然变大时,则可以按照上述方式确定每个危险访问事件的动作风险值,提高了更新后的用户信用值的准确性。
可选地,每条访问日志对应一个访问事件;根据多条访问日志,确定用户标识对应的用户在当前时间之前发起的n个危险访问事件,包括:对于多条访问日志中的第一访问日志,确定第一访问日志中的至少一个关键词,第一访问日志为多条访问日志中的一个;如果确定的至少一个关键词与目标关键词集合包括的至少一个关键词匹配成功,则将第一访问日志对应的访问事件确定为一个危险访问事件,目标关键词集合为存储的多个关键词集合中的一个,多个关键词集合中每个关键词集合包括至少一个关键词,且每个关键词集合指示一个危险访问事件。
在本申请中,可以按照关键词识别的方式从多条访问日志中确定用户发起的危险访问事件,提高了识别危险访问事件的准确率。
可选地,如果确定的至少一个关键词与目标关键词集合包括的至少一个关键词匹配成功,则将第一访问日志对应的访问事件确定为一个危险访问事件,包括:如果确定的至少一个关键词与目标关键词集合包括的至少一个关键词匹配成功,则确定第一访问日志对应的访问事件的发起时间;如果第一访问日志对应的访问事件的发起时间和当前时间之间的差值小于或等于第三时长,则将第一访问日志对应的访问事件确定为一个危险访问事件。
在本申请中,针对访问事件还可以设置有效期,当访问事件在有效期内时,才会将该访问事件用于确定是否是危险访问事件,进一步提高了确定出的用户信用值的准确性。
可选地,根据获取到的用户信用值确定用户标识对应的当前访问权限,包括:获取目标权限策略,目标权限策略包括多个信用值区间和多个访问权限,每个信用值区间对应一个访问权限,多个访问权限包括拒绝访问、同意访问、管理人员确认后访问;从多个信用值区间中查找包含获取到的用户信用值的信用值区间;将查找到的信用值区间对应的访问权限确定为用户标识对应的当前访问权限。
在本申请中,可以针对不同的信用值区间设置不同的访问权限,进一步提高了确定用户访问权限的灵活性。
可选地,访问请求还携带有数据对象标识;获取目标权限策略,包括:确定与数据对象标识对应的数据对象类型;从多个第一类权限策略中查找与确定的数据对象类型对应的第一类权限策略,并将查找到的第一类权限策略作为目标权限策略,多个第一类权限策略中每个第一类权限策略对应一个数据对象类型。
具体地,可以针对不同类型的数据对象设置不同的权限策略,,进一步提高了确定用户访问权限的灵活性。
可选地,获取第一权限策略,包括:确定与用户标识对应的用户类型;从多个第二类权限策略中查找与确定的用户类型对应的第二类权限策略,并将查找到的第二类权限策略作为目标权限策略,多个第二类权限策略中每个第二类权限策略对应一个用户类型。
具体地,可以针对不同类型的用户设置不同的权限策略,,进一步提高了确定用户访问权限的灵活性。
第二方面,提供了一种确定访问权限的装置,所述确定访问权限的装置具有实现上述第一方面中确定访问权限的方法行为的功能。所述确定访问权限的装置包括至少一个模块,该至少一个模块用于实现上述第一方面所提供的确定访问权限的方法。
第三方面,提供了一种确定访问权限的装置,所述确定访问权限的装置的结构中包括处理器和存储器,所述存储器用于存储支持确定访问权限的装置执行上述第一方面所提供的确定访问权限的方法的程序,以及存储用于实现上述第一方面所提供的确定访问权限的方法所涉及的数据。所述处理器被配置为用于执行所述存储器中存储的程序。所述存储设备的操作装置还可以包括通信总线,该通信总线用于该处理器与存储器之间建立连接。
第四方面,提供了一种计算机可读存储介质,所述计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行上述第一方面所述的确定访问权限的方法。
第五方面,提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述第一方面所述的确定访问权限的方法。
上述第二方面、第三方面、第四方面和第五方面所获得的技术效果与第一方面中对应的技术手段获得的技术效果近似,在这里不再赘述。
附图说明
图1是本申请实施例提供的一种确定访问权限的系统架构图;
图2是本申请实施例提供的另一种确定访问权限的系统架构图;
图3是本申请实施例提供的一种计算机设备的结构示意图;
图4是本申请实施例提供的一种确定访问权限的方法流程图;
图5是本申请实施例提供的一种更新用户信用值的方法流程图;
图6是本申请实施例提供的另一种更新用户信用值的方法流程图;
图7是本申请实施例提供的一种确定访问权限的装置示意图;
图8是本申请实施例提供的另一种确定访问权限的装置示意图;
图9是本申请实施例提供的一种更新模块示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,下面将结合附图对本申请实施方式作进一步地详细描述。
图1是本申请实施例提供的一种确定访问权限的系统架构图。如图1所示,该系统100包括数据服务器101、权限管理服务器102、日志采集服务器103和至少一个用户设备104。
数据服务器101和权限管理服务器102之间通过无线或有线方式连接以进行通信。权限管理服务器102与日志采集服务器103之间通过无线或有线方式连接以进行通信。权限管理服务器102和至少一个用户设备104中的每个用户设备104之间通过无线或有线方式连接以进行通信。日志采集服务器103和至少一个用户设备104中的每个用户设备104之间通过无线或有线方式连接以进行通信。日志采集服务器103还和数据服务器101之间通过无线或有线方式连接以进行通信。
其中,对于至少一个用户设备104中任一用户设备104,该用户设备104可以向权限管理服务器102发送针对数据服务器101的访问请求。权限管理服务器102用于对该用户设备104发送的访问请求进行权限判断,如果确定当前有权限访问,则将该访问请求转发给数据服务器101,以实现该用户设备104对数据服务器101的访问。如果权限管理服务器102确定当前没有权限访问,则向该用户设备104发送拒绝访问提示信息,以提示用户当前没有权限访问数据服务器101。
可选地,如图2所示,至少一个用户设备104中的每个用户设备104可以不与权限管理服务器102连接,而是与数据服务器101之间通过无线或有线方式连接以进行通信,其他连接关系和图1相同,在此不再一一说明。
此时,对于至少一个用户设备104中任一用户设备104,该用户设备104可以直接向数据服务器101发送访问请求。当数据服务器101接收到该访问请求时,将该访问请求转发给权限管理服务器101。权限管理服务器102用于对该访问请求进行权限判断,如果确定当前有权限访问,则向数据服务器101发送有权限提示信息,以实现该用户设备104对数据服务器101的访问。如果权限管理服务器102确定当前没有权限访问,则向数据服务器101发送无权限提示信息,以使数据服务器101向该用户设备发送拒绝访问提示信息,以提示用户当前没有权限访问数据服务器101。
另外,如图1或图2所示,权限管理服务器102中包括鉴权模块1021、权限策略管理模块1022、信用管理模块1023、自动校正模块1024和用户行为分析模块1025。
鉴权模块1021用于接收访问请求,然后向权限策略管理模块1022发送权限获取请求。权限策略管理模块1022在接收到权限获取请求时,向信用管理模块1023发送用户信用值获取请求。信用管理模块1023接收到用户信用值获取请求时,获取与访问请求对应的用户信用值,并将获取的用户信用值返回给权限策略管理模块1022,权限策略管理模块1022根据接收到的用户信用值确定当前访问权限,并将确定的当前访问权限返回给鉴权模块1021。鉴权模块1021根据接收到的当前访问权限确定是否将访问请求转发给数据服务器,或确定向数据服务器101发送有权限提示信息还是无权限提示信息。
另外,日志采集服务器103用于根据每个用户设备104中的操作信息和数据服务器101中的操作信息记录至少一个用户设备104中每个用户设备104对应的用户发起的访问事件,并以访问日志的方式记录每个访问事件。用户行为分析模块1025用于周期性地从日志采集服务器103中获取多条访问日志,并对多条访问日志进行分析,以确定用户发起的危险访问事件,并将危险访问事件的相关信息发送给自动校正模块1024。自动校正模块1024用于根据危险访问事件的相关信息对用户信用值进行校正,并将校正之后的用户信用值发送给信用管理模块1023,以使信用管理模块1023对存储的用户信用值进行更新。
其中,上述各个模块的具体功能将在下述方法实施例中进行详细的解释说明,在此先不一一展开阐述。
上述数据服务器101、权限管理服务器102、日志采集服务器103仅仅是根据其实现的功能来命名的,具体实现时,也可以采用其他的名称,本申请实施例在此不做具体限定。比如,数据服务器101也可以称为数据对象服务器101、权限管理服务器102也可以称为权限策略中心等等。
另外,权限管理服务器102和日志采集服务器103可以为两个独立的服务器,当然,权限管理服务器102和日志采集服务器103也可以集成在一个服务器中,由一个服务器来实现图1或图2中的权限管理服务器102和日志采集服务器103的功能。同样地,数据服务器101和权限管理服务器102可以为两个独立的服务器,当然,数据服务器101和权限管理服务器102也可以集成在一个服务器中,由一个服务器来实现图1或图2中的数据服务器101和权限管理服务器102的功能。
图3是本申请实施例提供的一种计算机设备的结构示意图。图1或图2中权限管理服务器102可以通过图3所示的计算机设备来实现。参见图3,该计算机设备包括至少一个处理器301,通信总线302、存储器303以及至少一个通信接口304。
处理器301可以是一个通用中央处理器(central processing unit,CPU)、微处理器、特定应用集成电路(application-specific integrated circuit,ASIC)或一个或多个用于控制本申请方案程序执行的集成电路。
通信总线302可包括一通路,在上述组件之间传送信息。
存储器303可以是只读存储器(read-only memory,ROM)或可存储静态信息和指令的其它类型的静态存储设备,随机存取存储器(random access memory,RAM)或者可存储信息和指令的其它类型的动态存储设备,也可以是电可擦可编程只读存储器(electricallyerasable programmable read-only memory,EEPROM)、只读光盘(compact disc read-only memory,CD-ROM)或其它光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其它磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其它介质,但不限于此。存储器303可以是独立存在,通过通信总线302与处理器301相连接。存储器303也可以和处理器301集成在一起。
通信接口304,使用任何收发器一类的装置,用于与其它设备或通信网络通信,如以太网,无线接入网(RAN),无线局域网(wireless local area networks,WLAN)等。
在具体实现中,作为一种实施例,计算机设备可以包括多个处理器,例如图3中所示的处理器301和处理器305。这些处理器中的每一个可以是一个单核(single-CPU)处理器,也可以是一个多核(multi-CPU)处理器。这里的处理器可以指一个或多个设备、电路、和/或用于处理数据(例如计算机程序指令)的处理核。
在具体实现中,作为一种实施例,计算机设备还可以包括输出设备306和输入设备307。输出设备306和处理器301通信,可以以多种方式来显示信息。例如,输出设备306可以是液晶显示器(liquid crystal display,LCD)、发光二级管(light emitting diode,LED)显示设备、阴极射线管(cathode ray tube,CRT)显示设备或投影仪(projector)等。输入设备307和处理器301通信,可以以多种方式接收用户的输入。例如,输入设备307可以是鼠标、键盘、触摸屏设备或传感设备等。
上述的计算机设备可以是一个通用计算机设备或者是一个专用计算机设备。在具体实现中,计算机设备可以是台式机、便携式电脑、网络服务器、掌上电脑(PersonalDigital Assistant,PDA)、移动手机、平板电脑、无线终端设备、通信设备或者嵌入式设备。本申请实施例不限定计算机设备的类型。
其中,存储器303用于存储执行本申请方案的程序代码,并由处理器301来控制执行。处理器301用于执行存储器303中存储的程序代码。程序代码中可以包括一个或多个软件模块。图1或图2中权限管理服务器102可以通过处理器301以及存储器303中的程序代码中的一个或多个软件模块,来确定用于开发应用的数据。
图4是本申请实施例提供的一种确定访问权限的方法流程图,应用于图1或图2所示的权限策略服务器,如图4所示,该方法包括如下步骤:
步骤401:接收访问请求,访问请求中携带用户标识。
如图1所示,对于至少一个用户设备中任一用户设备,当该用户设备检测到用户需要访问数据服务器中的某个数据对象时,该用户设备向权限管理服务器中的鉴权模块发送访问请求,该访问请求中携带用户标识。
可选地,如图2所示,对于至少一个用户设备中任一用户设备,当该用户设备检测到用户需要访问数据服务器中的某个数据对象时,该用户设备向数据服务器发送访问请求,数据服务器将该访问请求转发给权限管理服务器中的鉴权模块。
其中,用户标识用于唯一标识一个用户。比如,当数据服务求为企业中部署的数据服务器时,该用户标识可以为员工姓名、或者员工工号等信息。可选地,用户标识还可以为发送访问请求的用户设备的媒体访问控制(media access control,MAC)地址等信息。
另外,访问请求中还可以携带数据对象标识,用于指示用户当前需要访问的数据对象为数据服务器中存储的哪一条数据对象。
步骤402:根据该用户标识获取用户信用值,用户信用值用于指示该用户标识对应的用户发起的访问事件对数据服务器的安全造成的威胁程度。
如图1或图2所示,当鉴权模块接收到访问请求时,向权限策略管理模块发送权限获取请求。权限策略模块中存储权限策略,权限策略用于记录用户信用值和访问权限之间的对应关系,因此当权限策略管理模块接收到权限获取请求时,需要先向信用管理模块发送用户信用值获取请求,该用户信用值获取请求中携带访问请求中的用户标识。信用管理模块中存储有不同的用户标识中每个用户标识的用户信用值,因此,当信用管理模块接收到用户信用值获取请求时,可以从存储的多个用户信用值中获取与访问请求中携带的用户标识对应的用户信用值,并将获取的用户信用值返回给权限策略管理模块,以使权限策略管理模块根据下述步骤403确定与访问请求中携带的用户标识对应的当前访问权限。
其中,信用管理模块中的存储的用户信用值可以是周期性地更新的,关于信用管理模块中的存储的用户信用值的更新过程将在下述实施例中详细说明,在此先不展开阐述。此时,步骤401中获取到的用户信用值是在接收到访问请求之前最近一次对进行更新之后得到的用户信用值。
步骤403:根据获取到的用户信用值确定该用户标识对应的当前访问权限。
当权限策略管理模块获取到用户信用值时,可以基于存储的权限策略确定该用户标识对应的当前访问权限。另外,为了提高确定的访问权限的灵活性,可以针对不同的信用值区间设置不同的访问权限,以便于权限策略管理模块可以灵活地确定该用户标识对应的当前访问权限。因此,在一种可能的实现方式中,步骤403具体可以为:获取目标权限策略,目标权限策略包括多个信用值区间和多个访问权限,每个信用值区间对应一个访问权限,多个访问权限包括拒绝访问、同意访问、管理人员确认后访问;从多个信用值区间中查找包含获取到的用户信用值的信用值区间;将查找到的信用值区间对应的访问权限确定为用户标识对应的当前访问权限。
其中,权限策略管理模块中可以仅仅存储一个权限策略,此时权限策略管理模块在确定当前访问权限时,直接将存储的权限策略作为目标权限策略即可。可选地,由于不同类型的数据对象的安全级别可能不同,因此在本申请实施例中,还可以针对不同类型的数据对象设置不同类型的权限策略。此时,上述获取目标权限策略的实现方式可以为:确定与访问请求中携带的数据对象标识对应的数据对象类型;从多个第一类权限策略中查找与确定的数据对象类型对应的第一类权限策略,并将查找到的第一类权限策略作为目标权限策略,多个第一类权限策略中每个第一类权限策略对应一个数据对象类型。
可选地,在企业中,不同类型的用户的可访问范围也可能不同。比如,正式员工的可访问范围通常要大于合作方员工的可访问范围。其中,可访问范围是指用户可以访问的数据对象的范围。因此,在本申请实施例中,还可以针对不同类型的用户设置不同类型的权限策略。此时,上述获取目标权限策略的实现方式可以为:确定与该用户标识对应的用户类型;从多个第二类权限策略中查找与确定的用户类型对应的第二类权限策略,并将查找到的第二类权限策略作为目标权限策略,多个第二类权限策略中每个第二类权限策略对应一个用户类型。
其中,上述两种实现方式可以单独使用,当然也可以同时使用。也即是,在权限策略管理模块中可以仅仅存储针对不同类型的数据对象设置的不同权限策略,也可以仅仅存储针对不同类型的用户设置的不同权限策略,也可以同时存储上述多个第一类权限策略和多个第二类权限策略。当权限策略管理模块中同时存储上述多个第一类权限策略和多个第二类权限策略时,权限策略管理模块可以根据用户标识和数据对象标识确定目标权限策略。
比如,下述表1是本申请实施例提供的一种权限策略表,如表1所示,用户类型包括“正式员工”和“合作方员工”两种类型。数据对象类型包括“配置库类型”和“密级数据对象类型”,其中,“配置库类型”对应的数据对象通常是指企业中部署的数据库,“密级数据对象类型”对应的数据对象是指数据库中需要保密的数据对象。
表1
如表1所示,当用户类型为“正式员工”,假设确定出的数据对象标识为“配置库类型”。如果该用户的用户信用值小于80分,那么当前访问权限为“拒绝访问”。如果该用户的用户信用值大于或等于80分且小于90分,那么当前访问权限为“需要主管确认后同意访问”。如果该用户的用户信用值大于或等于90分,那么当前访问权限为“同意访问”。
又如表1所示,当用户类型为“正式员工”,假设确定出的数据对象标识为“密级数据对象”。如果该用户的用户信用值小于80分,那么当前访问权限为“拒绝访问”。如果该用户的用户信用值大于或等于80分且小于90分,那么当前访问权限为“需要主管确认后同意访问”。如果该用户的用户信用值大于或等于90分,那么当前访问权限为“需要主管确认后同意访问”。
又如表1所示,当用户类型为“合作方员工”,假设确定出的数据对象标识为“配置库类型”。如果该用户的用户信用值小于90分,那么当前访问权限为“拒绝访问”。如果该用户的用户信用值大于或等于90分,那么当前访问权限为“需要主管确认后同意访问”。
又如表1所示,当用户类型为“合作方员工”,假设确定出的数据对象标识为“密级数据对象”。由于允许合作方员工访问需要保密的数据对象存在一定的风险,因此,如果该用户的用户信用值小于90分,那么当前访问权限为“拒绝访问”。如果该用户的用户信用值大于或等于90分,那么当前访问权限仍为“拒绝访问”。
当权限策略管理模块根据上述步骤403确定出当前访问权限时,权限策略管理模块将确定出的当前访问权限返回给鉴权模块,由鉴权模块根据确定出的当前访问权限执行下一步操作。
比如,当确定出的当前访问权限为“同意访问”时,如图1所示,鉴权模块则将访问请求转发给数据服务器,以使用户可以继续访问数据服务器。或者,如图2所示,鉴权模块向数据服务器发送有权限提示信息,以使用户可以继续访问数据服务器。
又比如,当确定出的当前访问权限为“拒绝访问”时,如图1所示,鉴权模块则向发送访问请求的用户设备返回拒绝访问提示信息,以提示用户当前没有权限访问数据服务器。或者,如图2所示,鉴权模块向数据服务器发送无权限提示信息,以提示数据服务器该用户当前没有权限访问数据服务器。
又比如,当确定出的当前访问权限为“需要主管确认后同意访问”时,如图1所示,鉴权模块则向主管对应的设备发送审批提示信息,以提示对应的主管对该访问请求进行审批。如果权限策略管理模块接收到该设备发送的审批通过消息时,则将访问请求转发给数据服务器,以使用户可以继续访问数据服务器。如果权限策略管理模块没有接收到该设备发送的审批通过消息,则向发送访问请求的用户设备返回拒绝访问提示信息,以提示用户当前没有权限访问数据服务器。或者,如图2所示,鉴权模块向数据服务器发送审批提信息,数据服务器可以将该审批提信息转发给主管对应的设备,以按照上述方式对用户的访问权限进行审批。
在本申请实施例中,接收到访问请求时,获取用户信用值,然后根据获取到的用户信用值确定与用户标识对应的当前访问权限。由于用户信用值用于指示用户标识对应的用户发起的访问事件对数据服务器的安全造成的威胁程度,因此,在本申请实施例中,随着用户标识对应的用户对数据服务器发起的访问事件的进行,用户标识对应的用户信用值是在动态变化的,而不是固定不变的。因此,用户标识对应的用户在不同时间发起的访问请求时,该用户的当前访问权限也是动态变化的,提高了确定访问权限的灵活性。
上述图4所示的实施例用于解释说明如何根据访问请求确定当前访问权限。由图4所示的实施例中的步骤402可知,信用管理模块中存储有不同的用户标识中每个用户标识的用户信用值,且信用管理模块中的存储的用户信用值可以是周期性地更新的。因此,接下里对本申请实施例中的更新用户信用值的过程进行详细解释说明。
图5是本申请实施例提供的一种更新用户信用值的方法流程图,应用于图1或图2所示的权限策略服务器,如图5所示,该方法包括如下步骤:
步骤501:为用户标识配置初始用户信用值。
在本申请实施例中,可以在初始化每个用户标识时为每个用户标识配置初始用户信用值。其中,初始化每个用户标识可以是指在权限管理服务器中注册每个用户标识时。比如,对于针对企业部署的权限管理服务器和数据服务器,对于任一员工,在该员工入职时,为该员工指定一个用户标识,在权限管理服务器中注册该用户标识,并为该用户标识配置一个初始用户信用值。其中,在权限管理服务器中注册该用户标识,也即是,在权限管理服务器中添加该用户标识。
上述初始用户信用值是设置的一个数值。比如,该初始用户信用值可以为100分、90分等。另外,为用户标识配置初始用户信用值可以由图1或图2中的信用管理模块来配置。
需要说明的是,对于初始化之后的任一用户标识,均可通过步骤501至步骤503确定与该用户标识对应的用户信用值,并周期性地对用户信用值进行更新。在本申请实施例中,仅以步骤501中的用户标识为例进行说明,其他用户标识的用户信用值的更新方法均可以参考步骤501至步骤504,在此不再一一展开说明。
步骤502:在配置初始用户信用值之后,每隔第一时长根据该用户标识获取多条访问日志,多条访问日志用于记录该用户标识对应的用户在当前时间之前发起的所有访问事件。
由于用户发起访问事件是实时进行的,如果在用户每次发起访问事件时,都对该用户的用户信用值进行更新,这样将导致权限管理服务器的开销较大,从而影响权限管理服务器的性能,因此,在本申请实施例中,可以周期性地对步骤501中的用户标识对应的初始用户信用值进行更新。
在一种可能的实现方式中,对于步骤501中的用户标识,用户行为分析模块可以每隔第一时长向日志采集服务器发送日志获取请求,该日志获取请求中携带该用户标识。当日志采集服务器接收到该日志获取请求时,从存储的访问日志中获取与该用户标识对应的访问日志,得到多条访问日志,并将得到的多条访问日志发送给用户行为分析模块,由用户行为分析模块和自动校正模块通过下述步骤503实现对初始用户信用值的更新。
其中,第一时长为设置的时长,第一时长可以为1天、1小时或5小时等等。另外,日志采集服务器在每次接收到一条日志获取请求时,获取的多条访问日志均是指用于记录用户标识对应的用户在当前时间之前发起的所有访问事件,也即是,在每次对该用户标识的初始用户信用值进行更新时,都需要根据该用户标识对应的用户在当前时间之前发起的所有访问事件进行更新。
比如,该用户标识在9月1日被注册到权限管理服务器,第一时长为1天,那么在9月2日需要根据该用户标识对应的用户在9月1日至9月2日内发起的访问事件对初始用户信用值进行更新。在9月3日需要根据该用户标识对应的用户在9月1日至9月3日内发起的访问事件对初始用户信用值进行更新。在9月4日需要根据该用户标识对应的用户在9月1日至9月4日内发起的访问事件对初始用户信用值进行更新等等。
步骤503:根据多条访问日志对初始用户信用值进行更新。
在本申请实施例中,如果用户发起的访问事件可能对数据服务器的安全造成威胁,可以将该访问事件成为危险访问事件。并且如果用户发起了危险访问事件,表明该用户的访问行为可能对数据服务器的安全造成威胁,因此需要调整该用户的用户信用值,以避免该用户在后续继续发起危险访问事件。因此,在一种可能的实现方式中,如图6所示,步骤503可以通过以下几个步骤实现:
步骤5031:根据多条访问日志,确定该用户标识对应的用户在当前时间之前发起的n个危险访问事件,危险访问事件是指对数据服务器的安全造成威胁的访问事件,n为大于或等于1的正整数。
在本申请实施例中,每条访问日志对应一个访问事件。对于任意一条访问日志,可以通过关键词识别的方式确定该访问日志对应的访问事件是否是危险访问事件。因此,在一种可能的实现方式中,步骤5031具体可以为:对于多条访问日志中的第一访问日志,用户行为分析模块确定第一访问日志中的至少一个关键词,第一访问日志为多条访问日志中的一个;如果确定的至少一个关键词与目标关键词集合包括的至少一个关键词匹配成功,用户行为分析模块则将第一访问日志对应的访问事件确定为一个危险访问事件。
其中,目标关键词集合为存储的多个关键词集合中的一个,多个关键词集合中每个关键词集合包括至少一个关键词,且每个关键词集合指示一个危险访问事件。也即是,在本申请实施例中,用户行为分析模块中存储有用于指示不同的危险访问事件的不同关键词集合。另外,每个关键词集合还可以称为一个高危动作模型。
另外,确定的至少一个关键词与目标关键词集合包括的至少一个关键词匹配成功可以是指:确定的至少一个关键词中属于目标关键词集合包括的至少一个关键词的比例大于参考比例。比如,确定出的至少一个关键词的数量为10,参考比例为0.6,如果确定出的10个关键词中有7个关键词属于目标关键词集合中的关键词,由于7/10大于0.6,因此可以确定该确定的至少一个关键词与目标关键词集合包括的至少一个关键词匹配成功。
另外,由于发起时间距离当前时间较近的访问事件最能代表用户最近的访问行为,如果根据用户最近的访问行为更新用户信用值,可以提高确定的访问权限的灵活性。因此,在一种可能的实现方式中,如果确定的至少一个关键词与目标关键词集合包括的至少一个关键词匹配成功,则将第一访问日志对应的访问事件确定为一个危险访问事件具体可以为:如果确定的至少一个关键词与目标关键词集合包括的至少一个关键词匹配成功,则确定第一访问日志对应的访问事件的发起时间;如果第一访问日志对应的访问事件的发起时间和当前时间之间的差值小于或等于第三时长,则将第一访问日志对应的访问事件确定为一个危险访问事件。
其中,第三时长为预先设置的时长,第三时长可以为1天、一周或一个月等。另外,在本申请实施例中,第三时长还可以称为日志有效期。此时,对于任一访问日志,在该访问日志的至少一个关键词与目标关键词集合包括的至少一个关键词匹配成功之后,还需判断该访问日志对应的访问事件的发起时间是否在对应的日志有效期内,如果在,才会将该访问日志对应的访问事件确定为一个危险访问事件。如果不在,则不会将该访问日志对应的访问事件确定为一个危险访问事件。
在本申请实施例中,可以针对所有的访问事件设置一个日志有效期,当然还可以针对不同的访问事件设置不同的日志有效期。比如,如表2所示,对包括访问动作“对外部人员发送数据”的访问事件设置的日志有效期为1周,对包括访问动作“申请绝密文档权限”的访问事件设置的日志有效期为1月,对包括访问动作“下载超过1G的数据”的访问事件设置的日志有效期为1月等等。
步骤5032:确定n个危险访问事件中每个危险访问事件的动作风险值和/或设备风险值,每个危险访问事件的动作风险值用于描述每个危险访问事件中涉及到的访问动作的风险值,每个危险访问事件的设备风险值用于描述每个危险访问事件中涉及到的设备的风险值。
在申请实施例中,可以只根据每个危险访问事件的动作风险值对用户信用值进行更新。也可以根据只根据每个危险访问事件的设备风险值对用户信用值进行更新。当然,也可以同时根据每个危险访问事件的动作风险值和每个危险访问事件的设备风险值对用户信用值进行更新。本申请实施例对此不做具体限定。当根据每个危险访问事件的动作风险值和每个危险访问事件的设备风险值对用户信用值进行更新时,需要确定n个危险访问事件中每个危险访问事件的动作风险值和设备风险值。
在一种可能的实现方式中,用户行为分析模块中预先针对不同的访问动作存储有初始动作风险值,并且针对不同的设备存储有不同的设备风险值。因此,在步骤5032中,确定n个危险访问事件中每个危险访问事件的动作风险值和设备风险值的实现方式可以为:对于n个危险访问事件中任一危险访问事件,用户行为分析模块确定该危险访问事件涉及的访问动作和设备,然后根据确定的访问动作从存储的多个初始动作风险值中获取对应的动作风险值,并根据确定的设备从存储的多个设备风险值中获取对应的设备风险值,将获取的初始动作风险值作为与该危险访问事件对应的动作风险值,并将获取的设备风险值作为与该危险访问事件对应的设备风险值。
表2是本申请实施例提供的一种动作风险值表。如表2所示,动作编号1对应的访问动作为“对外部人员发送数据”。动作编号2对应的访问动作为“申请绝密文档权限”。动作编号3对应的访问动作为“下载超过1G的数据”。针对1号访问动作配置的初始动作风险值为5。针对2号访问动作配置的初始动作风险值为3。针对3号访问动作配置的初始动作风险值为3。其中,表2提供的动作风险值表仅仅是举例说明,并不构成对本申请实施例中针对不同的访问动作存储有初始动作风险值的限定。
表2
表3
| 设备编号 | 设备名称 | 设备风险值 |
| 1 | ××网站 | 3 |
| 2 | 便携机 | 2 |
| 3 | 手机 | 3 |
| 4 | 其他 | 0 |
表3是本申请实施例提供的一种设备风险值表。如表3所示,设备编号1对应的设备为“××网站”。设备编号2对应的设备为“便携机”。设备编号3对应的设备为“手机”。设备编号4对应的设备为“其他”。针对1号设备配置的设备风险值为3。针对2号设备配置的设备风险值为2。针对3号设备配置的设备风险值为3。针对4号设备配置的设备风险值为0。其中,表3提供的设备风险值表仅仅是举例说明,并不构成对本申请实施例中针对不同的设备存储有不同的设备风险值的限定。
在上述实现方式中,在从存储的多个初始动作风险值查找到与某个危险访问事件对应的初始动作风险值时,可以直接将查找到的初始动作风险值作为该危险访问事件的动作风险值。可选地,在本申请实施例中,针对某些危险访问事件还可以配置关联危险访问事件。对于这些危险访问事件中的任一危险访问事件,当在该危险访问事件的前后关联危险访问事件被发起时,对数据服务器的安全造成的威胁会骤然增大,因此这种情况下,需要将获取的初始动作风险值进行处理,再将处理之后的动作风险值作为该危险访问事件的动作风险值。
此时,在一种可能的实现方式中,确定n个危险访问事件中每个危险访问事件的动作风险值具体可以为:对于n个危险访问事件中的第一危险访问事件,如果针对第一危险访问事件配置有关联危险访问事件,且在第一危险访问事件的发起时间之前或之后的第二时长内关联危险访问事件被用户发起,则获取第一危险访问事件和关联危险访问事件之间的风险加权系数,第一危险访问事件为多个危险访问事件中的一个;将第一危险访问事件的初始动作风险值和风险加权系数之间的乘积确定为第一危险访问事件的动作风险值。
其中,第二时长也称为关联发生时间段。如表2所示,针对2号访问动作对应的危险访问事件配置有关联危险访问事件,关联危险访问事件中的访问动作为1号访问动作,且设置的第二时长为1天,设置的风险加权系数为3。针对3号访问动作对应的危险访问事件配置有关联危险访问事件,关联危险访问事件中的访问动作为1号访问动作,且设置的第二时长为1周,设置的风险加权系数为2。
比如,当第一危险访问事件中的访问动作为表2中的2号访问动作时,如果在第一危险访问事件的发起时间之前或之后一天内存在访问动作为1号访问动作的访问事件被发起,此时,第一危险访问事件的动作风险值则为3×3=9。
另外,当用户行为分析模块根据步骤5032确定出n个危险访问事件中每个危险访问事件的动作风险值和/或设备风险值时,用户行为分析模块将确定出的n个危险访问事件中每个危险访问事件的动作风险值和/或设备风险值发送给自动校正模块,由自动校正模块根据下述步骤5033和步骤5034对初始用户信用值进行更新。
步骤5033:根据n个危险访问事件中每个危险访问事件的动作风险值和/或设备风险值,确定该用户标识对应的信用损耗值。
由步骤5032可知,在申请实施例中,可以只根据每个危险访问事件的动作风险值对用户信用值进行更新。也可以根据只根据每个危险访问事件的设备风险值对用户信用值进行更新。当然,也可以同时根据每个危险访问事件的动作风险值和每个危险访问事件的设备风险值对用户信用值进行更新。下面以根据每个危险访问事件的动作风险值和每个危险访问事件的设备风险值对用户信用值进行更新的实现方式举例进行说明,其他实现方式均可参考该实现方式。
在一种可能的实现方式中,当n为大于或等于2的正整数时,此时,步骤根据n个危险访问事件中每个危险访问事件的动作风险值和设备风险值,确定用户标识对应的信用损耗值具体可以为:自动校正模块将n个危险访问事件按照发起时间从早到晚的顺序进行排序;对于排序结果中的第i个危险访问事件,自动校正模块确定第i个危险访问事件的动作风险值分别排序结果中前i-1个危险访问事件中每个危险访问事件的动作风险值之间的加和,得到i-1个第一类加和,并确定第i个危险访问事件的设备风险值分别与排序结果中前i-1个危险访问事件中每个危险访问事件的设备风险值之间的加和,得到i-1个第二类加和,自动校正模块将i-1个第一类加和与i-1个第二类加和的总和与i-1之间的比值确定为第i个危险访问事件对应的信用损耗值,i为大于或等于2且小于或等于n的正整数。
通过上述确定信用损耗值的实现方式,自动校正模块将每个危险访问事件与在该危险访问事件之前发起的危险访问事件进行了联系,以提高确定的用户信用值的准确性。
可选地,自动校正模块也可以直接将所有危险访问时间的动作风险值和设备风险值直接相加,将加和作为与用户标识对应的信用损耗值,本申请实施例在此不做具体限定。
另外,当n为1时,表明当前只存在一个危险访问事件,此时自动校正模块只需将该危险访问事件的动作风险值和设备风险值进行相加,即可得到与用户标识对应的信用损耗值。
步骤5034:将初始用户信用值和该用户标识对应的信用损耗值之间的差值确定为更新之后的用户信用值。
由于用户标识对应的信用损耗值可以用于指示用户发起的访问事件对数据服务器的安全形成的威胁的程度,因此,自动校正模块可以直接按照步骤5034对初始用户信用值进行更新。自动校正模块在对初始用户信用值进行更新之后,将更新之后的用户信用值发送给信用管理模块,以使信用管理模块更新与该用户标识对应的用户信用值。因此,图4所示的实施例中,步骤402获取到的用户信用值是在接收到访问请求之前最近一次对初始用户信用值进行更新之后得到的用户信用值。
为了便于理解,下面举例对上述步骤5031至步骤5034进行进一步解释说明。
比如,为某个用户标识配置的初始用户信用值为90分。在配置了初始信用值之后,该用户标识对应的用户在9月2日发起了访问事件,访问事件为“申请了绝密文档到便携机”。在9月2日还发起了另一访问事件,访问事件为“对外发送数据”。假设第一时长为1天,那么在9月3日,需要对这两个访问事件进行分析,以更新初始用户信用值。为了后续便于说明,将访问事件“申请了绝密文档到便携机”称为1号访问事件,将访问事件“对外发送数据”称为2号访问事件。
根据步骤5031,确定出1号访问事件中的至少一个关键词与多个关键词集合中的一个关键词集合匹配成功,并且2号访问事件中的至少一个关键词也与多个关键词集合中的一个关键词集合匹配成功。由表2可知,1号访问事件中包括的访问动作“申请绝密文档权限”的日志有效期为1月,因此,将1号访问事件确定为一个危险访问事件。并且,由表2可知,2号访问事件中包括的访问动作“对外部人员发送数据”的日志有效期为1周,因此,将2号访问事件确定为一个危险访问事件。
对于1号访问事件,根据表2可知,1号访问事件的初始动作风险值为3、设备风险值为2。但是1号访问事件的发起事件之前或者会后1天内还发生了存在关联的2号访问事件,因此,1号访问事件的动作风险值为3×3=9。对于2号访问事件,根据表2和表3可知,1号访问事件的动作风险值为5、设备风险值为0。因此,根据5033和步骤5034可以该用户标识更新之后的用户信用值为:
其中,C为此次该用户标识更新之后的用户信用值。
又比如,在上述9月3日之后,该用户标识对应的用户在9月29日发起了访问事件,访问事件为“在××网站下载超过1G的数据”。在9月30日还发起了另一访问事件,访问事件为“对外发送数据”。那么在10月1日,需要对这10月1日之前发起的四个访问事件进行分析,以更新初始用户信用值。为了后续便于说明,将9月29日发起的访问事件“在××网站下载超过1G的数据”称为3号访问事件,将9月30日发起的访问事件“对外发送数据”称为4号访问事件。
根据步骤5031,确定出1号访问事件中的至少一个关键词与多个关键词集合中的一个关键词集合匹配成功、2号访问事件中的至少一个关键词也与多个关键词集合中的一个关键词集合匹配成功、3号访问事件中的至少一个关键词也与多个关键词集合中的一个关键词集合匹配成功、4号访问事件中的至少一个关键词也与多个关键词集合中的一个关键词集合匹配成功。
由表2可知,1号访问事件中包括的访问动作“申请绝密文档权限”的日志有效期为1月,因此,将1号访问事件确定为一个危险访问事件。由表2可知,2号访问事件中包括的访问动作“对外部人员发送数据”的日志有效期为1周,因此,不能将2号访问事件确定为一个危险访问事件。由表2可知,3号访问事件中包括的访问动作“下载超过1G的数据”的日志有效期为3个月,因此,将3号访问事件确定为一个危险访问事件。由表2可知,4号访问事件中包括的访问动作“对外部人员发送数据”的日志有效期为1周,因此,将3号访问事件确定为一个危险访问事件。也即是,根据上述步骤5031,确定出3个危险访问事件,分别为1号访问事件、3号访问事件和4号访问事件。
对于1号访问事件,根据表2可知,1号访问事件的初始动作风险值为3、设备风险值为2。虽然1号访问事件的发起事之后1天内还发生了存在关联的2号访问事件,但是由于2号访问事件已经失效,因此,1号访问事件的动作风险值仍为3。对于3号访问事件,根据表2和表3可知,3号访问事件的初始动作风险值为3、设备风险值为3。但是3号访问事件的发起事件之后1周内还发生了存在关联的4号访问事件,因此,3号访问事件的动作风险值为3×2=6。对于4号访问事件,根据表2和表3可知,4号访问事件的动作风险值为5、设备风险值为0。因此,根据5033和步骤5034可以该用户标识更新之后的用户信用值为:
其中,C为此次该用户标识更新之后的用户信用值。
在本申请实施例中,权限管理服务器根据访问日志周期性地更新与各个用户标识对应的用户信用值,以便于后续可以快速获取最近一次更新之后的用户信用值,提高了确定访问权限的效率。
另外,在本申请实施例中,权限管理服务器也可以在每次接收到访问请求时,再按照上述图5所示的实施例确定用户信用值,也可以在用户标识对应的用户每次发起一个访问事件时,按照上述图5所示的实施例更新用户信用值,本申请实施例在此不做具体限定。
图7是本申请实施例提供的一种确定访问权限的装置,如图7所示,该装置700包括接收模块701、第一获取模块702和确定模块703:
接收模块701,用于执行图4所示实施例中的步骤401;
第一获取模块702,用于执行图4所示实施例中的步骤402;
确定模块703,用于执行图4所示实施例中的步骤403。
可选地,如图8所示,该装置700还包括配置模块704、第二获取模块705和更新模块706:
配置模块704,用于执行图5所示实施例中的步骤501;
第二获取模块705,用于执行图5所示实施例中的步骤502;
更新模块706,用于执行图5所示实施例中的步骤503;
其中,获取到的用户信用值是在接收到访问请求之前最近一次对初始用户信用值进行更新之后得到的用户信用值。
可选地,如图9所示,更新模块706包括第一确定单元7061、第二确定单元7062、第三确定单元7063和第四确定单元7064:
第一确定单元7061,用于执行图6实施例中的步骤5031;
第二确定单元7062,用于执行图6实施例中的步骤5032;
第三确定单元7063,用于执行图6实施例中的步骤5033;
第四确定单元7064,用于执行图6实施例中的步骤5034。
可选地,n为大于或等于2的正整数;
第三确定单元7063,具体用于:
将n个危险访问事件按照发起时间从早到晚的顺序进行排序;
对于排序结果中的第i个危险访问事件,确定第i个危险访问事件的动作风险值分别排序结果中前i-1个危险访问事件中每个危险访问事件的动作风险值之间的加和,得到i-1个第一类加和,并确定第i个危险访问事件的设备风险值分别与排序结果中前i-1个危险访问事件中每个危险访问事件的设备风险值之间的加和,得到i-1个第二类加和,将i-1个第一类加和与i-1个第二类加和的总和与i-1之间的比值确定为第i个危险访问事件对应的信用损耗值,i为大于或等于2且小于或等于n的正整数;
将排序结果中的第二个危险访问事件至第n个危险访问事件中每个危险访问事件对应的信用损耗值的加和确定为用户标识对应的信用损耗值。
可选地,针对每个危险访问事件配置有初始动作风险值;
第二确定单元7062,具体用于:
对于n个危险访问事件中的第一危险访问事件,如果针对第一危险访问事件配置有关联危险访问事件,且在第一危险访问事件的发起时间之前或之后的第二时长内关联危险访问事件被用户发起,则获取第一危险访问事件和关联危险访问事件之间的风险加权系数,第一危险访问事件为多个危险访问事件中的一个;
将第一危险访问事件的初始动作风险值和风险加权系数之间的乘积确定为第一危险访问事件的动作风险值。
可选地,每条访问日志对应一个访问事件;
第一确定单元7061,具体用于:
对于多条访问日志中的第一访问日志,确定第一访问日志中的至少一个关键词,第一访问日志为多条访问日志中的一个;
如果确定的至少一个关键词与目标关键词集合包括的至少一个关键词匹配成功,则将第一访问日志对应的访问事件确定为一个危险访问事件,目标关键词集合为存储的多个关键词集合中的一个,多个关键词集合中每个关键词集合包括至少一个关键词,且每个关键词集合指示一个危险访问事件。
可选地,第一确定单元7061,具体用于:
如果确定的至少一个关键词与目标关键词集合包括的至少一个关键词匹配成功,则确定第一访问日志对应的访问事件的发起时间;
如果第一访问日志对应的访问事件的发起时间和当前时间之间的差值小于或等于第三时长,则将第一访问日志对应的访问事件确定为一个危险访问事件。
可选地,确定模块703包括:
获取单元,用于获取目标权限策略,目标权限策略包括多个信用值区间和多个访问权限,每个信用值区间对应一个访问权限,多个访问权限包括拒绝访问、同意访问、管理人员确认后访问;
查找单元,用于从多个信用值区间中查找包含获取到的用户信用值的信用值区间;
第五确定单元,用于将查找到的信用值区间对应的访问权限确定为用户标识对应的当前访问权限。
可选地,访问请求还携带有数据对象标识;
获取单元,具体用于:
确定与数据对象标识对应的数据对象类型;
从多个第一类权限策略中查找与确定的数据对象类型对应的第一类权限策略,并将查找到的第一类权限策略作为目标权限策略,多个第一类权限策略中每个第一类权限策略对应一个数据对象类型。
可选地,获取单元,具体用于:
确定与用户标识对应的用户类型;
从多个第二类权限策略中查找与确定的用户类型对应的第二类权限策略,并将查找到的第二类权限策略作为目标权限策略,多个第二类权限策略中每个第二类权限策略对应一个用户类型。
在本申请实施例中,接收到访问请求时,获取用户信用值,然后根据获取到的用户信用值确定与用户标识对应的当前访问权限。由于用户信用值用于指示用户标识对应的用户发起的访问事件对数据服务器的安全造成的威胁程度,因此,在本申请实施例中,随着用户标识对应的用户对数据服务器发起的访问事件的进行,用户标识对应的用户信用值是在动态变化的,而不是固定不变的。因此,用户标识对应的用户在不同时间发起的访问请求时,该用户的当前访问权限也是动态变化的,提高了确定访问权限的灵活性。
需要说明的是:上述实施例提供的确定访问权限的装置在确定访问权限时,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将设备的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。另外,上述实施例提供的确定访问权限的装置与确定访问权限的方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意结合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机指令时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如:同轴电缆、光纤、数据用户线(digital subscriber line,DSL))或无线(例如:红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如:软盘、硬盘、磁带)、光介质(例如:数字通用光盘(digital versatile disc,DVD))、或者半导体介质(例如:固态硬盘(solid state disk,SSD))等。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上所述为本申请提供的实施例,并不用以限制本申请,凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (22)
1.一种确定访问权限的方法,其特征在于,所述方法包括:
接收访问请求,所述访问请求中携带用户标识;
根据所述用户标识获取用户信用值,所述用户信用值用于指示所述用户标识对应的用户发起的访问事件对数据服务器的安全造成的威胁程度;
根据获取到的用户信用值确定所述用户标识对应的当前访问权限。
2.如权利要求1所述的方法,其特征在于,所述根据所述用户标识获取用户信用值之前,还包括:
为所述用户标识配置初始用户信用值;
在配置所述初始用户信用值之后,每隔第一时长根据所述用户标识获取多条访问日志,所述多条访问日志用于记录所述用户标识对应的用户在当前时间之前发起的所有访问事件;
根据所述多条访问日志对所述初始用户信用值进行更新;
其中,所述获取到的用户信用值是在接收到所述访问请求之前最近一次对所述初始用户信用值进行更新之后得到的用户信用值。
3.如权利要求2所述的方法,其特征在于,所述根据所述多条访问日志对所述初始用户信用值进行更新,包括:
根据所述多条访问日志,确定所述用户标识对应的用户在所述当前时间之前发起的n个危险访问事件,所述危险访问事件是指对所述数据服务器的安全造成威胁的访问事件,所述n为大于或等于1的正整数;
确定所述n个危险访问事件中每个危险访问事件的动作风险值和/或设备风险值,每个危险访问事件的动作风险值用于描述每个危险访问事件中涉及到的访问动作的风险值,每个危险访问事件的设备风险值用于描述每个危险访问事件中涉及到的设备的风险值;
根据所述n个危险访问事件中每个危险访问事件的动作风险值和/或设备风险值,确定所述用户标识对应的信用损耗值;
将所述初始用户信用值和所述用户标识对应的信用损耗值之间的差值确定为更新之后的用户信用值。
4.如权利要求3所述的方法,其特征在于,所述n为大于或等于2的正整数;
所述根据所述n个危险访问事件中每个危险访问事件的动作风险值和设备风险值,确定所述用户标识对应的信用损耗值,包括:
将所述n个危险访问事件按照发起时间从早到晚的顺序进行排序;
对于排序结果中的第i个危险访问事件,确定所述第i个危险访问事件的动作风险值分别排序结果中前i-1个危险访问事件中每个危险访问事件的动作风险值之间的加和,得到i-1个第一类加和,并确定所述第i个危险访问事件的设备风险值分别与排序结果中前i-1个危险访问事件中每个危险访问事件的设备风险值之间的加和,得到i-1个第二类加和,将所述i-1个第一类加和与所述i-1个第二类加和的总和与i-1之间的比值确定为所述第i个危险访问事件对应的信用损耗值,所述i为大于或等于2且小于或等于n的正整数;
将排序结果中的第二个危险访问事件至第n个危险访问事件中每个危险访问事件对应的信用损耗值的加和确定为所述用户标识对应的信用损耗值。
5.如权利要求3或4所述的方法,其特征在于,针对每个危险访问事件配置有初始动作风险值;
所述确定所述n个危险访问事件中每个危险访问事件的动作风险值,包括:
对于所述n个危险访问事件中的第一危险访问事件,如果针对所述第一危险访问事件配置有关联危险访问事件,且在所述第一危险访问事件的发起时间之前或之后的第二时长内所述关联危险访问事件被所述用户发起,则获取所述第一危险访问事件和所述关联危险访问事件之间的风险加权系数,所述第一危险访问事件为所述多个危险访问事件中的一个;
将所述第一危险访问事件的初始动作风险值和所述风险加权系数之间的乘积确定为所述第一危险访问事件的动作风险值。
6.如权利要求3至5任一所述的方法,其特征在于,每条访问日志对应一个访问事件;
所述根据所述多条访问日志,确定所述用户标识对应的用户在所述当前时间之前发起的n个危险访问事件,包括:
对于所述多条访问日志中的第一访问日志,确定所述第一访问日志中的至少一个关键词,所述第一访问日志为所述多条访问日志中的一个;
如果确定的至少一个关键词与目标关键词集合包括的至少一个关键词匹配成功,则将所述第一访问日志对应的访问事件确定为一个危险访问事件,所述目标关键词集合为存储的多个关键词集合中的一个,所述多个关键词集合中每个关键词集合包括至少一个关键词,且每个关键词集合指示一个危险访问事件。
7.如权利要求6所述的方法,其特征在于,所述如果确定的至少一个关键词与目标关键词集合包括的至少一个关键词匹配成功,则将所述第一访问日志对应的访问事件确定为一个危险访问事件,包括:
如果确定的至少一个关键词与目标关键词集合包括的至少一个关键词匹配成功,则确定所述第一访问日志对应的访问事件的发起时间;
如果所述第一访问日志对应的访问事件的发起时间和当前时间之间的差值小于或等于第三时长,则将所述第一访问日志对应的访问事件确定为一个危险访问事件。
8.如权利要求1至7任一所述的方法,其特征在于,所述根据获取到的用户信用值确定所述用户标识对应的当前访问权限,包括:
获取目标权限策略,所述目标权限策略包括多个信用值区间和多个访问权限,每个信用值区间对应一个访问权限,所述多个访问权限包括拒绝访问、同意访问、管理人员确认后访问;
从所述多个信用值区间中查找包含所述获取到的用户信用值的信用值区间;
将查找到的信用值区间对应的访问权限确定为所述用户标识对应的当前访问权限。
9.如权利要求8所述的方法,其特征在于,所述访问请求还携带有数据对象标识;
所述获取目标权限策略,包括:
确定与所述数据对象标识对应的数据对象类型;
从多个第一类权限策略中查找与确定的数据对象类型对应的第一类权限策略,并将查找到的第一类权限策略作为所述目标权限策略,所述多个第一类权限策略中每个第一类权限策略对应一个数据对象类型。
10.如权利要求8所述的方法,其特征在于,所述获取第一权限策略,包括:
确定与所述用户标识对应的用户类型;
从多个第二类权限策略中查找与确定的用户类型对应的第二类权限策略,并将查找到的第二类权限策略作为所述目标权限策略,所述多个第二类权限策略中每个第二类权限策略对应一个用户类型。
11.一种确定访问权限的装置,其特征在于,所述装置包括:
接收模块,用于接收访问请求,所述访问请求中携带用户标识;
第一获取模块,用于根据所述用户标识获取用户信用值,所述用户信用值用于指示所述用户标识对应的用户发起的访问事件对数据服务器的安全造成的威胁程度;
确定模块,用于根据获取到的用户信用值确定所述用户标识对应的当前访问权限。
12.如权利要求11所述的装置,其特征在于,所述装置还包括:
配置模块,用于为所述用户标识配置初始用户信用值;
第二获取模块,用于在配置所述初始用户信用值之后,每隔第一时长根据所述用户标识获取多条访问日志,所述多条访问日志用于记录所述用户标识对应的用户在当前时间之前发起的所有访问事件;
更新模块,用于根据所述多条访问日志对所述初始用户信用值进行更新;
其中,所述获取到的用户信用值是在接收到所述访问请求之前最近一次对所述初始用户信用值进行更新之后得到的用户信用值。
13.如权利要求12所述的装置,其特征在于,所述更新模块包括:
第一确定单元,用于根据所述多条访问日志,确定所述用户标识对应的用户在所述当前时间之前发起的n个危险访问事件,所述危险访问事件是指对所述数据服务器的安全造成威胁的访问事件,所述n为大于或等于1的正整数;
第二确定单元,用于确定所述n个危险访问事件中每个危险访问事件的动作风险值和/或设备风险值,每个危险访问事件的动作风险值用于描述每个危险访问事件中涉及到的访问动作的风险值,每个危险访问事件的设备风险值用于描述每个危险访问事件中涉及到的设备的风险值;
第三确定单元,用于根据所述n个危险访问事件中每个危险访问事件的动作风险值和/或设备风险值,确定所述用户标识对应的信用损耗值;
第四确定单元,用于将所述初始用户信用值和所述用户标识对应的信用损耗值之间的差值确定为更新之后的用户信用值。
14.如权利要求13所述的装置,其特征在于,所述n为大于或等于2的正整数;
所述第三确定单元,具体用于:
将所述n个危险访问事件按照发起时间从早到晚的顺序进行排序;
对于排序结果中的第i个危险访问事件,确定所述第i个危险访问事件的动作风险值分别排序结果中前i-1个危险访问事件中每个危险访问事件的动作风险值之间的加和,得到i-1个第一类加和,并确定所述第i个危险访问事件的设备风险值分别与排序结果中前i-1个危险访问事件中每个危险访问事件的设备风险值之间的加和,得到i-1个第二类加和,将所述i-1个第一类加和与所述i-1个第二类加和的总和与i-1之间的比值确定为所述第i个危险访问事件对应的信用损耗值,所述i为大于或等于2且小于或等于n的正整数;
将排序结果中的第二个危险访问事件至第n个危险访问事件中每个危险访问事件对应的信用损耗值的加和确定为所述用户标识对应的信用损耗值。
15.如权利要求13或14所述的装置,其特征在于,针对每个危险访问事件配置有初始动作风险值;
所述第二确定单元,具体用于:
对于所述n个危险访问事件中的第一危险访问事件,如果针对所述第一危险访问事件配置有关联危险访问事件,且在所述第一危险访问事件的发起时间之前或之后的第二时长内所述关联危险访问事件被所述用户发起,则获取所述第一危险访问事件和所述关联危险访问事件之间的风险加权系数,所述第一危险访问事件为所述多个危险访问事件中的一个;
将所述第一危险访问事件的初始动作风险值和所述风险加权系数之间的乘积确定为所述第一危险访问事件的动作风险值。
16.如权利要求13至15任一所述的装置,其特征在于,每条访问日志对应一个访问事件;
所述第一确定单元,具体用于:
对于所述多条访问日志中的第一访问日志,确定所述第一访问日志中的至少一个关键词,所述第一访问日志为所述多条访问日志中的一个;
如果确定的至少一个关键词与目标关键词集合包括的至少一个关键词匹配成功,则将所述第一访问日志对应的访问事件确定为一个危险访问事件,所述目标关键词集合为存储的多个关键词集合中的一个,所述多个关键词集合中每个关键词集合包括至少一个关键词,且每个关键词集合指示一个危险访问事件。
17.如权利要求16所述的装置,其特征在于,所述第一确定单元,具体用于:
如果确定的至少一个关键词与目标关键词集合包括的至少一个关键词匹配成功,则确定所述第一访问日志对应的访问事件的发起时间;
如果所述第一访问日志对应的访问事件的发起时间和当前时间之间的差值小于或等于第三时长,则将所述第一访问日志对应的访问事件确定为一个危险访问事件。
18.如权利要求11至17任一所述的装置,其特征在于,所述确定模块包括:
获取单元,用于获取目标权限策略,所述目标权限策略包括多个信用值区间和多个访问权限,每个信用值区间对应一个访问权限,所述多个访问权限包括拒绝访问、同意访问、管理人员确认后访问;
查找单元,用于从所述多个信用值区间中查找包含所述获取到的用户信用值的信用值区间;
第五确定单元,用于将查找到的信用值区间对应的访问权限确定为所述用户标识对应的当前访问权限。
19.如权利要求18所述的装置,其特征在于,所述访问请求还携带有数据对象标识;
所述获取单元,具体用于:
确定与所述数据对象标识对应的数据对象类型;
从多个第一类权限策略中查找与确定的数据对象类型对应的第一类权限策略,并将查找到的第一类权限策略作为所述目标权限策略,所述多个第一类权限策略中每个第一类权限策略对应一个数据对象类型。
20.如权利要求18所述的装置,其特征在于,所述获取单元,具体用于:
确定与所述用户标识对应的用户类型;
从多个第二类权限策略中查找与确定的用户类型对应的第二类权限策略,并将查找到的第二类权限策略作为所述目标权限策略,所述多个第二类权限策略中每个第二类权限策略对应一个用户类型。
21.一种确定访问权限的装置,其特征在于,所述装置包括存储器和处理器;
所述存储器用于存储支持所述装置执行权利要求1-10任一项所述的方法的程序,以及存储用于实现权利要求1-10任一项所述的方法所涉及的数据;
所述处理器被配置为用于执行所述存储器中存储的程序。
22.一种计算机可读存储介质,所述计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行权利要求1-10任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811583009.4A CN111353163A (zh) | 2018-12-24 | 2018-12-24 | 确定访问权限的方法、装置及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811583009.4A CN111353163A (zh) | 2018-12-24 | 2018-12-24 | 确定访问权限的方法、装置及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111353163A true CN111353163A (zh) | 2020-06-30 |
Family
ID=71193748
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811583009.4A Pending CN111353163A (zh) | 2018-12-24 | 2018-12-24 | 确定访问权限的方法、装置及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111353163A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111901334A (zh) * | 2020-07-27 | 2020-11-06 | 费希敏 | 一种相关联设备访问权限设置系统及方法 |
| CN113127849A (zh) * | 2021-03-14 | 2021-07-16 | 曹庆恒 | 一种隐私信息使用方法及系统、计算机可读存储介质 |
| CN114021195A (zh) * | 2021-11-15 | 2022-02-08 | 国网区块链科技(北京)有限公司 | 基于信用值的数据共享权限控制方法及装置 |
| CN115374426A (zh) * | 2022-08-23 | 2022-11-22 | 中国电信股份有限公司 | 访问控制方法、装置、设备及存储介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105357217A (zh) * | 2015-12-02 | 2016-02-24 | 北京北信源软件股份有限公司 | 基于用户行为分析的数据盗取风险评估方法和系统 |
| CN106254329A (zh) * | 2016-07-30 | 2016-12-21 | 南阳理工学院 | 用于保护计算机网络安全的方法 |
| CN106570689A (zh) * | 2015-10-10 | 2017-04-19 | 阿里巴巴集团控股有限公司 | 一种权限验证方法和设备 |
| CN107122669A (zh) * | 2017-04-28 | 2017-09-01 | 北京北信源软件股份有限公司 | 一种评估数据泄露风险的方法和装置 |
| CN107302546A (zh) * | 2017-08-16 | 2017-10-27 | 北京奇虎科技有限公司 | 大数据平台安全访问系统、方法及电子设备 |
| CN108304704A (zh) * | 2018-02-07 | 2018-07-20 | 平安普惠企业管理有限公司 | 权限控制方法、装置、计算机设备和存储介质 |
| CN108521405A (zh) * | 2018-03-20 | 2018-09-11 | 咪咕文化科技有限公司 | 一种风险管控方法、装置及存储介质 |
-
2018
- 2018-12-24 CN CN201811583009.4A patent/CN111353163A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106570689A (zh) * | 2015-10-10 | 2017-04-19 | 阿里巴巴集团控股有限公司 | 一种权限验证方法和设备 |
| CN105357217A (zh) * | 2015-12-02 | 2016-02-24 | 北京北信源软件股份有限公司 | 基于用户行为分析的数据盗取风险评估方法和系统 |
| CN106254329A (zh) * | 2016-07-30 | 2016-12-21 | 南阳理工学院 | 用于保护计算机网络安全的方法 |
| CN107122669A (zh) * | 2017-04-28 | 2017-09-01 | 北京北信源软件股份有限公司 | 一种评估数据泄露风险的方法和装置 |
| CN107302546A (zh) * | 2017-08-16 | 2017-10-27 | 北京奇虎科技有限公司 | 大数据平台安全访问系统、方法及电子设备 |
| CN108304704A (zh) * | 2018-02-07 | 2018-07-20 | 平安普惠企业管理有限公司 | 权限控制方法、装置、计算机设备和存储介质 |
| CN108521405A (zh) * | 2018-03-20 | 2018-09-11 | 咪咕文化科技有限公司 | 一种风险管控方法、装置及存储介质 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111901334A (zh) * | 2020-07-27 | 2020-11-06 | 费希敏 | 一种相关联设备访问权限设置系统及方法 |
| CN111901334B (zh) * | 2020-07-27 | 2021-07-23 | 北京神州慧安科技有限公司 | 一种相关联设备访问权限设置系统及方法 |
| CN113452795A (zh) * | 2020-07-27 | 2021-09-28 | 费希敏 | 一种相关联设备访问权限设置系统 |
| CN113127849A (zh) * | 2021-03-14 | 2021-07-16 | 曹庆恒 | 一种隐私信息使用方法及系统、计算机可读存储介质 |
| CN114021195A (zh) * | 2021-11-15 | 2022-02-08 | 国网区块链科技(北京)有限公司 | 基于信用值的数据共享权限控制方法及装置 |
| CN115374426A (zh) * | 2022-08-23 | 2022-11-22 | 中国电信股份有限公司 | 访问控制方法、装置、设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10579803B1 (en) | System and method for management of application vulnerabilities | |
| US10313329B2 (en) | On-demand service security system and method for managing a risk of access as a condition of permitting access to the on-demand service | |
| CN111353163A (zh) | 确定访问权限的方法、装置及存储介质 | |
| US8832840B2 (en) | Mobile application security and management service | |
| US10511632B2 (en) | Incremental security policy development for an enterprise network | |
| US11003718B2 (en) | Systems and methods for enabling a global aggregated search, while allowing configurable client anonymity | |
| US9148435B2 (en) | Establishment of a trust index to enable connections from unknown devices | |
| US20180173517A1 (en) | Operating system update management for enrolled devices | |
| CN111736853B (zh) | 灰度发布方法、装置、设备及存储介质 | |
| US10333918B2 (en) | Automated system identification, authentication, and provisioning | |
| US20190229922A1 (en) | Authentication and authorization using tokens with action identification | |
| US20120030757A1 (en) | Login initiated scanning of computing devices | |
| EP3468145B1 (en) | Automated vulnerability grouping | |
| CN107196951A (zh) | 一种hdfs系统防火墙的实现方法和防火墙系统 | |
| US10650153B2 (en) | Electronic document access validation | |
| US9355270B2 (en) | Security configuration systems and methods for portal users in a multi-tenant database environment | |
| US11157643B2 (en) | Systems and methods for delegating access to a protected resource | |
| CN112887284A (zh) | 一种访问认证方法和装置 | |
| US8898753B1 (en) | On-demand service security system and method for managing a risk of access as a condition of permitting access to the on-demand service | |
| CN108683672B (zh) | 一种权限管理的方法及装置 | |
| KR101672962B1 (ko) | 적응형 단말기 소프트웨어 관리 시스템 및 이에 의한 단말기 소프트웨어 관리 방법 | |
| CN109783058B (zh) | 用户身份码生成方法、装置、计算机设备及存储介质 | |
| CN108712450B (zh) | DDoS攻击的防护方法及系统 | |
| US11843544B2 (en) | System and method for controlling access to project data and to computing resources therefor | |
| US20210294909A1 (en) | Real-time escalation and managing of user privileges for computer resources in a network computing environment |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200630 |