CN113688416A - 一种权限处理方法及装置 - Google Patents

一种权限处理方法及装置 Download PDF

Info

Publication number
CN113688416A
CN113688416A CN202010421954.5A CN202010421954A CN113688416A CN 113688416 A CN113688416 A CN 113688416A CN 202010421954 A CN202010421954 A CN 202010421954A CN 113688416 A CN113688416 A CN 113688416A
Authority
CN
China
Prior art keywords
authorization
data
information
data object
target
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202010421954.5A
Other languages
English (en)
Inventor
李岩
杨波
张子良
孙亮
王俊华
李彦杰
高靖昆
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alibaba Group Holding Ltd
Original Assignee
Alibaba Group Holding Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alibaba Group Holding Ltd filed Critical Alibaba Group Holding Ltd
Priority to CN202010421954.5A priority Critical patent/CN113688416A/zh
Publication of CN113688416A publication Critical patent/CN113688416A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Automation & Control Theory (AREA)
  • Storage Device Security (AREA)

Abstract

本申请公开了一种权限处理方法,包括:获取针对目标数据对象的使用授权请求,其中,所述授权请求中包括数据请求用户的信息;获取发出所述使用授权请求的数据请求用户与所述目标数据对象之间的关联特征信息,其中,所述关联特征信息用于表征所述数据请求用户与所述目标数据对象之间的关联关系;根据所述关联特征信息,获得授权判定信息,其中,所述授权判定信息是对授权后风险进行量化后获得的信息,所述授权后风险是指授予所述数据请求用户使用所述目标数据对象的权限之后所存在的风险;根据所述授权判定信息,确定是否授予所述数据请求用户使用所述目标数据对象的权限。所述方法可以方便、快速的实现针对目标数据对象的权限处理。

Description

一种权限处理方法及装置
技术领域
本申请涉及计算机技术领域,具体涉及一种权限处理方法、装置、电子设备及存储设备。本申请同时涉及一种风险量化模型的获得方法、装置、电子设备及存储设备。本申请同时还涉及一种数据表的权限处理方法、装置、电子设备及存储设备。
背景技术
随着计算机技术的不断发展,尤其是数据库技术的不断发展,数据库中可以存储数万亿个数据表,并且,每天都可能存在数以千计的应用程序在对这些数据表进行数据分析,例如,产品推荐或反欺诈分析等,与之对应的,进行上述数据分析的应用程序还可能继续在该数据库中创建新的数据表。由此可知,正确使用的数据可能为人们生活带来极大便利,而数据的滥用将可能带来巨大的风险,例如,带来用户隐私泄露等问题。因此,在使用数据库中数据表的过程中,如何对数据请求用户通过计算设备发出的针对数据表的使用授权请求进行快速、有效的授权管理,越来越受到人们的重视。
目前,在处理数据请求用户通过计算设备发出的针对数据表的使用授权请求时,一般的权限处理方法有:基于角色的访问控制(RBAC,Role-Based AccessControl)或基于策略的访问控制(PBAC,Policy Based Access Control)等方法。
上述方法虽然可以在一定程度上实现对数据表的权限处理,然而,RBAC在具体实施时,一般需要由人工维护角色和用户关系、维护角色权限等,其存在维护困难、操作繁琐、授权管理不够方便的问题。PBAC是在RBAC的基础上,对RBAC进行改进而获得的一种访问控制方法,PBAC可以在用户预设的策略下,实现对数据表的权限处理;然而,PBAC中的策略需要由用户预设,其并不能随着数据表的变化而跟随变化,即,PBAC中预设的规则一般是由用户根据某一个特定的特征信息设置的,其忽略了特征信息之间的关联性,并且,在具体实施时,需要随着应用情况由人工进行策略的维护和更新,因此,PBAC同样存在维护困难、权限处理不够方便的问题。
以上以对数据表的权限处理为例,说明了现有技术中的权限处理方法所存在的问题;需要说明的是,在对数据表以外的其它数据对象,例如,在对数据文件的权限进行处理时,同样存在维护困难、不够方便的问题。
发明内容
本申请实施例提供一种权限处理方法,以解决现有技术在对数据对象进行权限处理时,存在的维护困难、不够方便的问题。
本申请实施例提供一种权限处理方法,包括:获取针对目标数据对象的使用授权请求,其中,所述授权请求中包括数据请求用户的信息;获取发出所述使用授权请求的数据请求用户与所述目标数据对象之间的关联特征信息,其中,所述关联特征信息用于表征所述数据请求用户与所述目标数据对象之间的关联关系;根据所述关联特征信息,获得授权判定信息,其中,所述授权判定信息是对授权后风险进行量化后获得的信息,所述授权后风险是指授予所述数据请求用户使用所述目标数据对象的权限之后所存在的风险;根据所述授权判定信息,确定是否授予所述数据请求用户使用所述目标数据对象的权限。
可选的,所述关联特征信息包括以下至少一种特征信息:第一关联特征信息、第二关联特征信息;其中,所述第一关联特征信息包括:用于表征所述数据请求用户与目标关联用户之间的关联关系的特征信息,所述目标关联用户为与所述目标数据对象之间存在关联关系的用户;所述第二关联特征信息包括:用于表征历史授权数据对象与所述目标数据对象之间的关联关系的特征信息,所述历史授权数据对象为所述数据请求用户已获得使用权限的数据对象。
可选的,所述根据所述关联特征信息,获得授权判定信息,包括:将所述关联特征信息输入到目标风险量化模型中,获得所述授权判定信息,其中,所述目标风险量化模型是用于根据所述关联特征信息,对所述授权后风险进行量化的模型。
可选的,所述目标风险量化模型通过以下方法获得:获取针对样本数据对象的样本使用授权请求,其中,所述样本数据对象与所述目标数据对象对应;获取与所述样本使用授权请求对应的授权通过信息,其中,所述授权通过信息用于表征是否授予发出所述样本使用授权请求的样本数据请求用户使用所述样本数据对象的权限;获取所述样本数据请求用户与所述样本数据对象之间的样本关联特征信息;根据所述样本关联特征信息和所述授权通过信息,获得训练样本数据;根据所述训练样本数据,获得所述目标风险量化模型。
可选的,所述样本授权请求以及所述授权通过信息,通过以下方法获得:获取针对历史授权请求的结果反馈数据;根据所述结果反馈数据,获取所述样本使用授权请求以及所述授权通过信息。
可选的,所述根据所述训练样本数据,获得所述目标风险量化模型,包括:获取待训练风险量化模型;根据所述训练样本数据,训练所述待训练风险量化模型,获得待确定风险量化模型;通过比较所述待确定风险量化模型和历史风险量化模型的性能数据,获得所述目标风险量化模型。
可选的,所述根据所述训练样本数据,训练所述待训练风险量化模型,获得待确定风险量化模型,包括:在通过所述训练样本数据训练所述待训练风险量化模型的过程中,调整所述待训练风险量化模型的参数,获得满足预设收敛条件的所述待确定风险量化模型。
可选的,所述根据所述授权判定信息,确定是否授予所述数据请求用户使用所述目标数据对象的权限,包括:据所述授权判定信息,获得风险量化数据,其中,所述风险量化数据是与所述授权后风险对应的量化数据;如果所述风险量化数据不大于预设的阈值,则授予所述数据请求用户使用所述目标数据对象的权限。
可选的,所述根据所述授权判定信息,确定是否授予所述数据请求用户使用所述目标数据对象的权限,包括:根据所述授权判定信息,获得风险量化数据;获取与所述目标风险量化模型对应的目标阈值;如果所述风险量化数据不大于所述目标阈值,则授予所述数据请求用户使用所述目标数据对象的权限。
可选的,所述目标阈值通过以下方法获得:获取满足预设风险条件的应用程序的召回率;获取与所述应用程序对应的训练样本数据;在根据所述训练样本数据训练获得不大于所述召回率的目标风险量化模型的过程中,获得所述目标阈值。
可选的,所述预设风险条件,包括:所述应用程序所对应的风险量化数据不小于预设的高风险阈值。
可选的,还包括:获取与所述授权判定信息对应的、用于解释所述授权判定信息的获得依据的判定解释信息。
可选的,还包括:获取辅助特征信息,其中,所述辅助特征信息是与所述数据请求用户或所述目标数据对象对应的、用于增加所述授权判定信息的准确度的信息;所述根据所述关联特征信息,获得授权判定信息,包括:根据所述关联特征信息和所述辅助关联信息,获得所述授权判定信息。
可选的,所述辅助特征信息,包括以下至少一项信息:与所述数据请求用户对应的历史数据对象使用信息、与所述数据请求用户对应的项目需求信息、与所述目标数据对象对应的数据敏感度信息;其中,所述历史数据对象使用信息,包括:所述数据请求用户的职务信息、所述数据请求用户对应的历史授权请求的通过率。
可选的,所述目标关联用户,包括:目标数据对象所有者和历史授权用户,其中,所述目标数据对象所有者为所述目标数据对象的所有者,所述历史授权用户为已授予使用所述目标数据对象的权限的用户;所述第一关联特征信息,包括以下至少一项信息:所述数据请求用户对应的部门与所述目标数据对象所有者对应的部门之间的关联信息、所述数据请求用户和所述目标数据对象所有者在人员组织树中的距离、所述数据请求用户与所述历史授权用户在人员组织树中的距离、所述数据请求用户与所述目标数据对象所有者之间共享的项目数量、所述数据请求用户与所述历史授权用户之间共享的项目数量。
可选的,包括:所述数据请求用户与所述历史授权用户在人员组织树中的距离满足预设的第一距离筛选条件,所述数据请求用户与所述历史授权用户之间共享的项目数量满足预设的项目数量筛选条件。
可选的,所述第二关联特征信息,包括:所述历史授权数据对象与所述目标数据对象在数据对象关系图中的最小距离、所述历史授权数据对象与所述目标数据对象在数据对象关系图中的平均距离。
可选的,所述方法还包括:获取所述目标数据对象的更新时间,其中,所述更新时间不小于所述目标数据对象的创建时间;获取所述使用授权请求的请求时间;在所述请求时间与所述更新时间的差值的绝对值不小于预设差值阈值的情况下,授予所述数据请求用户使用所述目标数据对象的权限。
可选的,所述目标数据对象中包括至少一条数据记录,所述方法还包括:根据所述请求时间和所述预设差值阈值的差值的绝对值,获得目标基准时间;从所述目标数据对象中,获取更新时间不大于所述目标基准时间的目标数据记录;授予所述数据请求用户使用所述目标数据记录的权限。
可选的,所述方法还包括:在所述请求时间与所述更新时间的差值的绝对值小于所述预设差值阈值的情况下,执行所述获取发出所述使用授权请求的数据请求用户与所述目标数据对象之间的关联特征信息步骤。
可选的,在授予所述数据请求用户使用所述目标数据对象的权限之后,所述方法还包括:在满足预设权限变更条件的情况下,重新确定是否授予所述数据请求用户使用所述目标数据对象的权限。
可选的,所述预设权限变更条件,包括以下至少一项:所述目标数据对象的数据量不小于预设数量阈值;所述数据请求用户在人员组织树中的层级发生变化;所述目标数据对象对应的权限等级发生变化。
本申请实施例还提供一种风险量化模型的获得方法,包括:获获取针对样本数据对象的样本使用授权请求;获取与所述样本使用授权请求对应的授权通过信息,其中,所述授权通过信息用于表征是否授予发出所述样本使用授权请求的样本数据请求用户使用所述样本数据对象的权限;获取所述样本数据请求用户与所述样本数据对象之间的样本关联特征信息;根据所述样本关联特征信息和所述授权通过信息,获得训练样本数据;根据所述训练样本数据,获得目标风险量化模型,其中,所述目标风险量化模型是根据获得到的数据请求用户与目标数据对象之间的关联特征信息,对授权后风险进行量化的模型,所述授权后风险是指授予所述数据请求用户使用所述目标数据对象的权限之后所存在的风险;所述样本数据对象与所述目标数据对象对应,所述样本数据请求用户与所述数据请求用户对应。
本申请实施例还提供一种数据表的权限处理方法,包括:获取针对数据库中的目标数据表的使用授权请求;获取发出所述使用授权请求的数据请求用户与所述目标数据表之间的关联特征信息,其中,所述关联特征信息用于表征所述数据请求用户与所述目标数据表之间的关联关系;根据所述关联特征信息,获得授权判定信息,其中,所述授权判定信息是对授权后风险进行量化后获得的信息,所述授权后风险是指授予所述数据请求用户使用所述目标数据表的权限之后所存在的风险;根据所述授权判定信息,确定是否授予所述数据请求用户使用所述目标数据表的权限。
本申请实施例还提供一种权限处理装置,包括:授权请求获取单元,用于获得针对数据库中的目标数据表的使用授权请求;特征信息获取单元,用于获取发出所述使用授权请求的数据请求用户与所述目标数据表之间的关联特征信息,其中,所述关联特征信息用于表征所述数据请求用户与所述目标数据表之间的关联关系;授权判定信息获得单元,用于据所述关联特征信息,获得授权判定信息,其中,所述授权判定信息是对授权后风险进行量化后获得的信息,所述授权后风险是指授予所述数据请求用户使用所述目标数据表的权限之后所存在的风险;权限授予单元,用于根据所述授权判定信息,确定是否授予所述数据请求用户使用所述目标数据表的权限。
本申请实施例还提供一种电子设备,包括:
处理器;
存储器,用于存储权限处理方法的程序,该设备通电并通过所述处理器运行所述权限处理方法的程序后,执行下述步骤:
获取针对目标数据对象的使用授权请求,其中,所述授权请求中包括数据请求用户的信息;获取发出所述使用授权请求的数据请求用户与所述目标数据对象之间的关联特征信息,其中,所述关联特征信息用于表征所述数据请求用户与所述目标数据对象之间的关联关系;根据所述关联特征信息,获得授权判定信息,其中,所述授权判定信息是对授权后风险进行量化后获得的信息,所述授权后风险是指授予所述数据请求用户使用所述目标数据对象的权限之后所存在的风险;根据所述授权判定信息,确定是否授予所述数据请求用户使用所述目标数据对象的权限。
本申请实施例还提供一种存储设备,存储有权限处理方法的程序,该程序被处理器运行,执行下述步骤:
获取针对目标数据对象的使用授权请求,其中,所述授权请求中包括数据请求用户的信息;获取发出所述使用授权请求的数据请求用户与所述目标数据对象之间的关联特征信息,其中,所述关联特征信息用于表征所述数据请求用户与所述目标数据对象之间的关联关系;根据所述关联特征信息,获得授权判定信息,其中,所述授权判定信息是对授权后风险进行量化后获得的信息,所述授权后风险是指授予所述数据请求用户使用所述目标数据对象的权限之后所存在的风险;根据所述授权判定信息,确定是否授予所述数据请求用户使用所述目标数据对象的权限。
本申请实施例还提供一种风险量化模型的获得装置,包括:样本使用授权请求获取单元,用于获取针对样本数据对象的样本使用授权请求;授权通过信息获取单元,用于获取与所述样本使用授权请求对应的授权通过信息,其中,所述授权通过信息用于表征是否授予发出所述样本使用授权请求的样本数据请求用户使用所述样本数据对象的权限;样本关联特征信息获取单元,用于获取所述样本数据请求用户与所述样本数据对象之间的样本关联特征信息;训练样本数据获得单元,用于根据所述样本关联特征信息和所述授权通过信息,获得训练样本数据;模型获得单元,用于根据所述训练样本数据,获得目标风险量化模型,其中,所述目标风险量化模型是根据获得到的数据请求用户与目标数据对象之间的关联特征信息,对授权后风险进行量化的模型,所述授权后风险是指授予所述数据请求用户使用所述目标数据对象的权限之后所存在的风险;所述样本数据对象与所述目标数据对象对应,所述样本数据请求用户与所述数据请求用户对应。
本申请实施例还提供一种电子设备,包括:
处理器;
存储器,用于存储风险量化模型的获得方法的程序,该设备通电并通过所述处理器运行所述风险量化模型的获得方法的程序后,执行下述步骤:
获取针对样本数据对象的样本使用授权请求;获取与所述样本使用授权请求对应的授权通过信息,其中,所述授权通过信息用于表征是否授予发出所述样本使用授权请求的样本数据请求用户使用所述样本数据对象的权限;获取所述样本数据请求用户与所述样本数据对象之间的样本关联特征信息;根据所述样本关联特征信息和所述授权通过信息,获得训练样本数据;根据所述训练样本数据,获得目标风险量化模型,其中,所述目标风险量化模型是根据获得到的数据请求用户与目标数据对象之间的关联特征信息,对授权后风险进行量化的模型,所述授权后风险是指授予所述数据请求用户使用所述目标数据对象的权限之后所存在的风险;所述样本数据对象与所述目标数据对象对应,所述样本数据请求用户与所述数据请求用户对应。
本申请实施例还提供一种存储设备,存储有风险量化模型的获得方法的程序,该程序被处理器运行,执行下述步骤:
获取针对样本数据对象的样本使用授权请求;获取与所述样本使用授权请求对应的授权通过信息,其中,所述授权通过信息用于表征是否授予发出所述样本使用授权请求的样本数据请求用户使用所述样本数据对象的权限;获取所述样本数据请求用户与所述样本数据对象之间的样本关联特征信息;根据所述样本关联特征信息和所述授权通过信息,获得训练样本数据;根据所述训练样本数据,获得目标风险量化模型,其中,所述目标风险量化模型是根据获得到的数据请求用户与目标数据对象之间的关联特征信息,对授权后风险进行量化的模型,所述授权后风险是指授予所述数据请求用户使用所述目标数据对象的权限之后所存在的风险;所述样本数据对象与所述目标数据对象对应,所述样本数据请求用户与所述数据请求用户对应。
本申请实施例还提供一种数据表的权限处理装置,包括:授权请求获取单元,用于获取针对数据库中的目标数据表的使用授权请求;关联特征信息获取单元,用于获取发出所述使用授权请求的数据请求用户与所述目标数据表之间的关联特征信息,其中,所述关联特征信息用于表征所述数据请求用户与所述目标数据表之间的关联关系;授权判定信息获得单元,用于根据所述关联特征信息,获得授权判定信息,其中,所述授权判定信息是对授权后风险进行量化后获得的信息,所述授权后风险是指授予所述数据请求用户使用所述目标数据表的权限之后所存在的风险;权限授予单元,用于根据所述授权判定信息,确定是否授予所述数据请求用户使用所述目标数据表的权限。
本申请实施例还提供一种电子设备,包括:
处理器;
存储器,用于存储数据表的权限处理方法的程序,该设备通电并通过所述处理器运行所述数据表的权限处理方法的程序后,执行下述步骤:
获取针对数据库中的目标数据表的使用授权请求;获取发出所述使用授权请求的数据请求用户与所述目标数据表之间的关联特征信息,其中,所述关联特征信息用于表征所述数据请求用户与所述目标数据表之间的关联关系;根据所述关联特征信息,获得授权判定信息,其中,所述授权判定信息是对授权后风险进行量化后获得的信息,所述授权后风险是指授予所述数据请求用户使用所述目标数据表的权限之后所存在的风险;根据所述授权判定信息,确定是否授予所述数据请求用户使用所述目标数据表的权限。
本申请实施例还提供一种存储设备,存储有数据表的权限处理方法的程序,该程序被处理器运行,执行下述步骤:
获取针对数据库中的目标数据表的使用授权请求;获取发出所述使用授权请求的数据请求用户与所述目标数据表之间的关联特征信息,其中,所述关联特征信息用于表征所述数据请求用户与所述目标数据表之间的关联关系;根据所述关联特征信息,获得授权判定信息,其中,所述授权判定信息是对授权后风险进行量化后获得的信息,所述授权后风险是指授予所述数据请求用户使用所述目标数据表的权限之后所存在的风险;根据所述授权判定信息,确定是否授予所述数据请求用户使用所述目标数据表的权限。
与现有技术相比,本申请具有以下优点:
本申请实施例提供一种权限处理方法,包括:获取针对目标数据对象的使用授权请求,其中,所述授权请求中包括数据请求用户的信息;获取发出所述使用授权请求的数据请求用户与所述目标数据对象之间的关联特征信息,其中,所述关联特征信息用于表征所述数据请求用户与所述目标数据对象之间的关联关系;根据所述关联特征信息,获得授权判定信息,其中,所述授权判定信息是对授权后风险进行量化后获得的信息,所述授权后风险是指授予所述数据请求用户使用所述目标数据对象的权限之后所存在的风险;根据所述授权判定信息,确定是否授予所述数据请求用户使用所述目标数据对象的权限。所述方法在获得针对目标数据表的使用授权请求之后,不需要人工评定授予数据请求用户使用所述目标数据对象的权限之后所存在的风险,以决定是否通过所述授权请求,而是采取获取所述数据请求用户和所述目标数据表之间的关联特征信息,并根据所述关联特征信息,获得对授予所述数据请求用户使用所述目标数据对象的权限之后所存在的风险进行量化后的授权判定信息,进而根据所述授权判定信息由计算设备方便、快速的自动决定是否授予所述数据请求用户使用所述目标数据对象的权限,可以方便、快速的实现针对目标数据对象的权限处理。
本申请实施例提供一种风险量化模型的获得方法,包括:获取针对样本数据对象的样本使用授权请求;获取与所述样本使用授权请求对应的授权通过信息,其中,所述授权通过信息用于表征是否授予发出所述样本使用授权请求的样本数据请求用户使用所述样本数据对象的权限;获取所述样本数据请求用户与所述样本数据对象之间的样本关联特征信息;根据所述样本关联特征信息和所述授权通过信息,获得训练样本数据;根据所述训练样本数据,获得目标风险量化模型,其中,所述目标风险量化模型是根据获得到的数据请求用户与目标数据对象之间的关联特征信息,对授权后风险进行量化的模型,所述授权后风险是指授予所述数据请求用户使用所述目标数据对象的权限之后所存在的风险;所述样本数据对象与所述目标数据对象对应,所述样本数据请求用户与所述数据请求用户对应。所述方法获得的目标风险量化模型可以方便、快速的对授予数据请求用户使用目标数据对象的权限之后所存在的风险进行量化。
本申请实施例提供一种数据表的权限处理方法,包括:获取针对数据库中的目标数据表的使用授权请求;获取发出所述使用授权请求的数据请求用户与所述目标数据表之间的关联特征信息,其中,所述关联特征信息用于表征所述数据请求用户与所述目标数据表之间的关联关系;根据所述关联特征信息,获得授权判定信息,其中,所述授权判定信息是对授权后风险进行量化后获得的信息,所述授权后风险是指授予所述数据请求用户使用所述目标数据表的权限之后所存在的风险;根据所述授权判定信息,确定是否授予所述数据请求用户使用所述目标数据表的权限。所述方法可以方便、快速的实现针对数据库中的目标数据表的权限处理。
附图说明
图1是本申请第一实施例提供的一种权限处理方法的应用场景示意图。
图2是本申请第一实施例提供的一种权限处理方法的流程图。
图3是本申请第一实施例提供的关联特征信息的获取过程示意图。
图4是本申请第二实施例提供的一种风险量化模型的获得方法的流程图。
图5是本申请第三实施例提供的一种数据表的权限处理方法的流程图。
图6是本申请第四实施例提供的一种权限处理装置的示意图。
图7是本申请第五实施例提供的一种电子设备的示意图。
图8是本申请第七实施例提供的一种风险量化模型的获得装置的示意图。
图9是本申请第十实施例提供的一种数据表的权限处理装置的示意图。
具体实施方式
在下面的描述中阐述了很多具体细节以便于充分理解本申请。但是本申请能够以很多不同于在此描述的其它方式来实施,本领域技术人员可以在不违背本申请内涵的情况下做类似推广,因此本申请不受下面公开的具体实施的限制。
为了使本领域的技术人员更好的理解本申请方案,下面基于本申请提供的权限处理方法,对其实施例的具体应用场景进行详细描述。本申请第一实施例提供的权限处理方法可以应用与客户端与服务端交互的场景,如图1所示,其为本申请第一实施例提供的一种权限处理方法的应用场景示意图。
在具体实施时,当应用程序需要使用目标数据对象中的数据,以向用户提供服务时,,与该应用程序对应的数据请求用户可以通过其所使用的客户端向用于授权管理的服务端发出针对目标数据对象的使用授权请求;当所述服务端获取到所述授权请求后,为了对授予所述数据请求用户使用所述目标数据对象的权限之后所存在的风险进行量化,所述服务端获取发出所述使用授权请求的数据请求用户与所述目标数据对象之间的关联特征信息,其中,所述关联特征信息用于表征所述数据请求用户与所述目标数据对象之间的关联关系;之后,所述服务端根据所述关联特征信息,获得授权判定信息,其中,所述授权判定信息是对授权后风险进行量化后获得的信息,所述授权后风险是指授予所述数据请求用户使用所述目标数据对象的权限之后所存在的风险;在获得所述授权判定信息后,所述服务端根据所述授权判定信息,确定是否授予所述数据请求用户使用所述目标数据对象的权限,并生成用于表征是否授予所述数据请求用户使用所述目标数据对象的权限的授权结果信息,并将所述授权结果信息提供给所述客户端;在所述客户端获得所述服务端提供的授权结果信息之后,如果所述授权结果信息中的信息表示所述数据请求用户被授予使用所述目标数据对象的权限,那么,所述数据请求用户所对应的应用程序就可以使用所述目标数据对象向外提供服务。
所述数据请求用户,是指请求获得目标数据对象的使用权限的用户,其中,所述目标数据对象的使用权限,可以为访问、修改、删除等权限,当然,随着技术的不断进步,也可以为其它与目标数据对象对应的权限。
所述目标数据对象,是指存储或包含数据记录的对象,具体可以为数据库中的数据表、存储介质中的数据文件等对象;或者,也可以是数据表、数据文件等对象数据中的部分数据记录组成的数据集合;在本申请第一实施例中,如无特殊说明,以目标数据对象为数据库中的数据表为例进行说明。
所述使用授权请求,可以是包含有待授权的目标数据对象的信息、申请授予的使用权限以及数据请求用户的信息等内容的请求消息,其中,目标数据对象的信息可以是用于唯一标识目标数据对象的数据对象标识信息,数据请求用户的信息可以是用于唯一标识数据请求用户的用户标识信息,申请授予的使用权限可以为访问、修改、删除等权限。
所述客户端可以是移动终端设备,如手机、平板电脑等,也可以是常用的计算机设备。所述服务端一般是指服务器,该服务器可以是物理服务器,也可以是云端服务器,此处不做特殊限定。
需要说明的是,所述方法也可以应用于服务端与服务端的交互场景中或者其它场景中,以上应用场景仅仅是本申请第一实施例提供的权限处理方法的具体实施例,提供上述应用场景实施例的目的是便于理解本申请第一实施例提供的所述方法,而并非用于限定所述方法。
如图2所示,其为本申请第一实施例提供的一种权限处理方法的流程图。以下结合图2对本申请第一实施例提供的所述方法予以介绍。
步骤S201,获取针对目标数据对象的使用授权请求,其中,所述授权请求中包括数据请求用户的信息。
在上述场景描述中,对目标数据对象,授权请求以及数据请求用户进行了介绍,此处不再赘述。
所述获取针对目标数据对象的使用授权请求,可以是数据请求用户使用客户端向用于执行授权管理处理的授权管理服务端发出的使用授权请求,即,在应用程序需要使用目标数据对象中的数据时,由该应用程序对应的数据请求用户预先向授权管理服务端请求获得使用该数据对象的权限;或者,也可以是数据请求用户所对应的应用程序在运行时,当需要使用目标数据对象中的数据时,由该应用程序所对应的服务端向授权管理服务端发出请求使用该数据对象的权限,即,在应用程序需要使用数据对象中的数据时,实时的申请使用该数据对象的权限。
需要说明的是,在本申请第一实施例中,所述数据请求用户可以为需要使用目标数据对象的应用程序所对应的开发人员,例如,开发人员user01所对应的应用程序需要使用数据库中的目标数据表tbl01的内容,那么,数据请求用户可以为user01。当然,在具体实施时,也可以是与该开发人员对应的、用于使用数据的统一用户,例如,开发人员user01所对应的应用程序需要使用数据库中的目标数据表tbl01的内容,但是,该应用程序在需要使用数据库时,一般是由分配给负责开发该应用程序的项目组的统一用户team01来负责登录并使用数据库中的数据,那么,此处的数据请求用户可以为team01。
步骤S202,获取发出所述使用授权请求的数据请求用户与所述目标数据对象之间的关联特征信息,其中,所述关联特征信息用于表征所述数据请求用户与所述目标数据对象之间的关联关系。
区别于现有技术中通过基于角色的访问控制(RBAC,Role-Based AccessControl)或基于策略的访问控制(PBAC,Policy Based Access Control)这种全人工或半人工的方式进行权限处理的方法,在本申请第一实施例中,为了快速、方便的实现针对数据对象的权限处理,采用获取数据请求用户与目标数据对象之间的关联特征信息,并通过该关联特征信息,对授予该数据请求用户使用该目标数据对象的权限后、所存在的风险进行量化,其中,所述风险包括因为数据滥用、隐私数据泄露等操作而造成的商业或法律风险。在本申请第一实施例中,所述方法具体包括特征提取模块、风险量化模块和结果解释模块,其中,风险量化模块和结果解释模块在后续处理中进行介绍,以下首先对特征提取模块进行介绍。
所述特征提取模块,包括:获取数据请求用户与目标数据对象之间的关联特征信息。
所述关联特征信息,可以是用于表征数据请求用户与目标数据对象的关联用户之间的人际关系的特征信息,也可以是用于表征数据请求用户信息已获得授权的历史数据对象与所述目标数据对象之间的关联关系的特征信息。
如图3所示,其为本申请第一实施例提供的关系特征信息的获取过程示意图。具体来讲,所述关联特征信息可以包括以下至少一种特征信息:第一关联特征信息、第二关联特征信息;其中,所述第一关联特征信息包括:用于表征所述数据请求用户与目标关联用户之间的关联关系的特征信息,所述目标关联用户为与所述目标数据对象之间存在关联关系的用户;所述第二关联特征信息包括:用于表征历史授权数据对象与所述目标数据对象之间的关联关系的特征信息,所述历史授权数据对象为所述数据请求用户已获得使用权限的数据对象。
所述目标关联用户,包括:目标数据对象所有者和历史授权用户,其中,所述目标数据对象所有者为所述目标数据对象的所有者,所述历史授权用户为已授予使用所述目标数据对象的权限的用户;
所述第一关联特征信息,包括以下至少一项信息:所述数据请求用户对应的部门与所述目标数据对象所有者对应的部门之间的关联信息、所述数据请求用户和所述目标数据对象所有者在人员组织树中的距离、所述数据请求用户与所述历史授权用户在人员组织树中的距离、所述数据请求用户与所述目标数据对象所有者之间共享的项目数量、所述数据请求用户与所述历史授权用户之间共享的项目数量。
所述数据请求用户对应的部门与所述目标数据对象所有者对应的部门之间的关联信息,可以是数据请求用户与目标数据对象所有者是否属于同一部门;或者,也可以是数据请求用户的部门是否是目标数据对象所有者的直属上级部门等信息。
所述数据请求用户和所述目标数据对象所有者在人员组织树中的距离,是用于表示数据请求用户与目标数据对象的远近程度的数据,其中,人员组织树,是用于分层次的对部门和人员进行管理和展示的一种树形结构。在具体实施时,所述距离可以通过以下方法获得:获取数据请求用户与目标对象所有者之间的部门信息;计算获得所述部门信息中两两之间存在直接层级关系的部门间的权重距离的权重距离和;将所述权重距离和作为数据请求用户和目标数据对象所有者在人员组织树中的距离,其中,所述权重距离可以统一的设置为1,也可以根据部门的不同进行具体设置。
关于如何获得所述数据请求用户与所述历史授权用户在人员组织树中的距离,此处不再赘述,具体参考上述数据请求用户和目标数据对象所有者在人员组织树中的距离的获得方法即可。
所述数据请求用户与所述目标数据对象所有者之间共享的项目数量,是指数据请求用户和目标数据对象所有者所参与的项目的交集中的项目数量。例如,当数据请求用户参与的项目为{项目1,项目3,项目5},目标数据对象所有者参与的项目为{项目1,项目3,项目20,项目30}时;通过计算可得该数据请求用户与该目标数据对象所有者所参与的项目的交集为{项目1,项目3},由于交集中的项目数量为2,则可以获得两者之间共享的项目数量为2。
关于如何获得所述数据请求用户与所述历史授权用户之间共享的项目数量,此处不再赘述,具体参考上述数据请求用户与目标数据对象所有者之间共享的项目数量的获得方法即可。
在具体实施时,为了减少计算量以增加计算速度,在获得到的数据请求用户与历史授权用户在人员组织树中的距离中,还可以增加筛选条件以减少计算量,例如,该距离为满足预设的第一距离筛选条件的距离当然,在获得到的数据请求用户与历史授权用户之间共享的项目数量中,也可以增加筛选条件以减少计算量,例如,获得的项目数量满足预设的项目数量筛选条件。需要说明的是,所述第一距离筛选条件可以为:数据请求用户与历史授权用户在人员组织树中的距离中的最小距离;所述项目数量筛选条件可以为:数据请求用户与历史授权用户之间共享的项目数量的最大值;当然,所述第一距离筛选条件和所述项目数量筛选条件也可以设置为其它内容,此处不做特殊限定。
所述第二关联特征信息,包括:所述历史授权数据对象与所述目标数据对象在数据对象关系图中的最小距离、所述历史授权数据对象与所述目标数据对象在数据对象关系图中的平均距离。
数据对象关系图,是指互相之间存在依赖关系的数据对象所构成的关系图,例如,在数据库中,不同的数据表之间彼此之间往往是存在依赖关系的,通过数据表间各自的依赖关系可以获得用于表示数据表之间的依赖关系的数据表关系图,当然,在该数据对象关系图中,不同数据表间的距离可以根据具体情况进行设置,比如,根据数据表的属性的不同为其设置权重距离。
有关如何在图形关系中获取两个节点的最小距离以及平均距离,在现有技术中有详细描述,此处不再赘述。
需要说明的是,为了提高最终处理结果的准确度,本申请第一实施例中的特征提取模块在获取上述关联特征信息之外,还可以获取用于进一步增加最终处理结果的准确度的辅助特征信息,具体来讲,还可以获取与所述数据请求用户或所述目标数据对象对应的、用于增加待获得的授权判定信息的准确度的信息,其中,所述授权判断信息对授权后风险进行量化后获得的信息,所述授权后风险是指授予所述数据请求用户使用所述目标数据对象的权限之后所存在的风险。
具体来讲,所述辅助特征信息,包括以下至少一项信息:与所述数据请求用户对应的历史数据对象使用信息、与所述数据请求用户对应的项目需求信息、与所述目标数据对象对应的数据敏感度信息;其中,所述历史数据对象使用信息,包括:所述数据请求用户的职务信息、所述数据请求用户对应的历史授权请求的通过率。
所述数据请求用户对应的历史授权请求的通过率,是指数据请求用户在发出该使用授权请求之前发出的所有授权请求的通过率,其中,历史授权请求可以是针对目标数据对象的请求,也可以是针对其它数据对象的请求。
所述数据请求用户对应的项目需求信息,是指数据请求用户所参与的项目使用目标数据对象中的数据的目的,例如,该项目所对应的应用程序需要使用目标数据对象中的数据提供什么服务。
所述与所述目标数据对象对应的数据敏感度信息,具体可以包括:目标数据对象的安全级别、使用该目标数据对象的应用程序的总数量或目标数据对象中的数据是否为与财务数据关联的信息中的至少一种信息。
在具体实施时,项目需求信息可以为预先设置的信息,在数据请求用户发出授权请求时,在项目需求信息的配置界面中选择对应的需求信息。另外,考虑到数据请求用户可能选择虚假的项目需求信息,因此,在用于授权管理的服务端获取到针对目标数据对象的使用授权请求后,如果授权请求中包含项目需求信息,则还可以通过与项目需求信息对应的对抗处理判断该项目需求信息的真实度。例如,可以通过数据请求用户的职务信息或者其它历史行为数据判断其填写的项目需求信息是否与其匹配。当然,在具体实施时,也可以根据需要在对抗处理中加入其它处理方法,此处不再赘述。
在经过以上处理获取到数据请求用户与目标数据对象之间的关联关系特征以及辅助特征信息之后,即可根据获取到的上述特征信息对授予数据请求用户使用目标数据对象的权限之后所存在的风险进行量化。需要说明的是,在具体实施时,也可以在特征提取模块中获取上述特征信息以外的其它信息,此处不再赘述。
在步骤S202之后,执行步骤S203,根据所述关联特征信息,获得授权判定信息,其中,所述授权判定信息是对对授权后风险进行量化后获得的信息,所述授权后风险是指授予所述数据请求用户使用所述目标数据对象的权限之后所存在的风险。
本申请第一实施例提供的所述方法中的风险量化模块,用于根据所述关联特征信息,获得授权判定信息,具体包括:将所述关联特征信息输入到目标风险量化模型中,获得所述授权判定信息,其中,所述目标风险量化模型是用于根据所述关联特征信息,对所述授权后风险进行量化的模型。
所述目标风险量化模型可以通过以下方法获得:获取针对样本数据对象的样本使用授权请求,其中,所述样本数据对象与所述目标数据对象对应;获取与所述样本使用授权请求对应的授权通过信息,其中,所述授权通过信息用于表征是否授予发出所述样本使用授权请求的样本数据请求用户使用所述样本数据对象的权限;获取所述样本数据请求用户与所述样本数据对象之间的样本关联特征信息;根据所述样本关联特征信息和所述授权通过信息,获得训练样本数据;根据所述训练样本数据,获得所述目标风险量化模型。
即,可以在用于授权管理的服务端中获取所有历史使用授权请求或者特定时间范围内的历史使用授权请求作为样本使用授权请求;以及,获取与这些历史使用授权请求对应的、实际的授权通过信息作为样本使用授权请求的监督信息;之后,获取历史使用授权请求中的样本数据请求用户和样本数据对象之间的样本关联特征信息;进一步的,获得训练样本数据,并通过训练样本数据,训练获得目标风险量化模型;其中,所述特定时间范围可以是发生授权请求的误判的几率较高的一段时间,所述样本数据对象可以不做特殊设置,也可以为满足预设筛选条件的数据对象,例如,可以为满足预设风险条件的应用程序的负责人所请求使用的数据对象;所述授权通过信息可以通过人工标注的方式获得。
所述样本使用授权请求以及所述授权通过信息,可以通过以下方法获得:获取针对历史授权请求的结果反馈数据;根据所述结果反馈数据,获取所述样本使用授权请求以及所述授权通过信息。
所述结果反馈数据,是与使用授权请求对应的关联用户反馈的、用于表征与该使用授权请求对应的权限赋予操作是否正确的反馈信息,其中,该关联用户可以是数据请求用户或用于校验权限的管理员等,结果反馈数据可以每天由用户进行反馈,也可以是在数据请求用户获得该使用授权请求后主动反馈。
需要说明的是,在本申请第一实施例中,所述目标风险量化模型可以为基于决策树算法的机器学习模型,具体可以为基于决策树算法的分布式梯度增强框架(LightGBM,Light Gradient Boosting Machine),当然,在具体实施时,也可以使用其它模型,此处不再赘述。
另外,为了提升目标风险量化模型的性能,例如提升该模型的准确度、响应速度等性能指标,在具体实施时,可以采取每天根据结果反馈数据在线下生成实时训练样本数据,并通过训练样本数据获得优化完成的待确定风险量化模型,通过比较待确定风险量化模型和线上运行的实际模型,即历史风险量化模型的性能数据,获得目标风险量化模型。例如,如果待确定风险量化模型的性能数据大于线上运行的实际模型的性能数据,则将待确定风险量化模型作为目标风险量化模型,并替换线上运行的实际模型;而如果待确定风险量化模型的性能数据小于线上运行的实际模型的性能数据,则依然将线上运行的实际模型作为目标风险量化模型。也即是说,所述根据所述训练样本数据,获得所述目标风险量化模型,包括:获取待训练风险量化模型;根据所述训练样本数据,训练所述待训练风险量化模型,获得待确定风险量化模型;通过比较所述待确定风险量化模型和历史风险量化模型的性能数据,获得所述目标风险量化模型。
另外,所述根据所述训练样本数据,训练所述待训练风险量化模型,获得待确定风险量化模型,包括:在通过所述训练样本数据训练所述待训练风险量化模型的过程中,调整所述待训练风险量化模型的参数,获得满足预设收敛条件的所述待确定风险量化模型。需要说明的是,所述预设收敛条件可以根据情况进行设置,此处不做特殊限定。
在经过上述处理获得到本申请第一实施例提供的目标风险量化模型之后,在获取到针对目标数据对象的使用授权请求时,通过获取数据请求用户与目标数据对象之间的关联特征信息,并将该关联特征信息输入到该目标风险量化模型中,即可获取到授权判定信息。
需要说明的是,如果在上述步骤S202中还获取到了辅助特征信息,则所述根据所述关联特征信息,获得授权判定信息,包括:根据所述关联特征信息和所述辅助特征信息,获得所述授权判定信息。
即,将获取到的数据请求用户与目标数据对象之间的关联特征信息和辅助特征信息输入到目标风险量化模型中,获得授权判定信息。当然,在这种情况下,在训练获得目标风险量化模型的过程中,还需要获取与辅助特征信息对应的样本辅助特征信息,并根据样本关联特征信息、样本辅助特征信息和授权通过信息,获得训练样本数据,并使用该训练样本数据训练获得目标风险性量化模型。
需要说明的是,为了增加获得结果的可信度,本申请第一实施例提供的所述方法还可以包括结果解释模块,该结果解释模块可以用于:获取与所述授权判定信息对应的、用于解释所述授权判定信息的获得依据的判定解释信息。
即,当授权管理服务端拒绝或通过了数据请求用户通过客户端出的使用授权请求,如果数据请求用户或者目标数据对象所有者认为该处理结果不正确,则往往需要用于校验权限的管理员对该数据请求用户做出解释。针对该情况,在本申请第一实施例中,在通过目标风险量化模型获得授权判定信息的同时,还获取用于解释所述授权判定信息的获得依据的判定解释信息(SHAP,SHapley Additive exPlanations),并在需要时,向数据请求用户或目标数据对象所有者等关联用户提供所述判断解释信息。
在步骤S203之后,执行步骤S204,根据所述授权判定信息,确定是否授予所述数据请求用户使用所述目标数据对象的权限。
所述根据所述授权判定信息,确定是否授予所述数据请求用户使用所述目标数据对象的权限,包括:根据所述授权判定信息,获得风险量化数据,其中,所述风险量化数据是与所述授权后风险对应的量化数据;如果所述风险量化数据不大于预设的阈值,则授予所述数据请求用户使用所述目标数据对象的权限。
即,从授权判定信息中,获得风险量化数据,该风险量化数据,可以为用于表示风险的高低程度的数值,或者,也可以是用于表示同意授权或不同意授权的“是”和“否”的信息;当风险量化数据为用于表示风险的高低程度的数值时,可以比较风险量化数据与预先设置的阈值的大小,当风险量化数据不大于预设的阈值时,就授予数据请求用户使用目标数据对象的权限。
在具体实施时,所述预设的阈值可以根据情况进行设置;另外,为了进一步增加处理结果的准确度,本申请第一实施例还提供一种根据授权判定信息,确定是否授予所述数据请求用户使用所述目标数据对象的权限的方法,具体包括:根据所述授权判定信息,获得风险量化数据;获取与所述目标风险量化模型对应的目标阈值;如果所述风险量化数据不大于所述目标阈值,则授予所述数据请求用户使用所述目标数据对象的权限。
即,在具体实施时,用于执行授权判定处理的阈值可以根据情况进行自适应变化,例如,可以在训练获得目标风险量化模型的过程中,或者,在每天根据结果反馈数据更新目标风险量化模型的过程中,自适应的获得与获得到的目标风险量化模型对应的目标阈值,以提升授权处理的准确度,该目标阈值可以通过以下方法获得:获取满足预设风险条件的应用程序的召回率(Recall);获取与所述应用程序对应的训练样本数据;在根据所述训练样本数据训练获得不大于所述召回率的目标风险量化模型的过程中,获得所述目标阈值,
在本申请第一实施例中,预设风险条件,可以是:所述应用程序所对应的风险量化数据不小于预设的高风险阈值;召回率,也可以称为查全率,是风险量化模型的预测结果表明通过授权请求的数量与全部的、实际需要通过的授权请求的数量的比值。
根据上述说明可知,在获得授权判定信息之后,根据该授权判定信息,即可确定是否授予数据请求用户使用目标数据对象的权限,如果授权判定信息表明可以授予,则授权管理服务端通过该授权请求,并向客户端提供授权结果信息;而客户端获得该授权结果信息之后,数据请求用户所对应的应用程序即可在需要时,使用目标数据对象中的数据。
例如,如果数据请求用户通过客户端向用于对数据库中的数据表进行授权管理的授权管理服务端发出针对目标数据表的使用授权请求时,该服务端通过获取数据请求用户与该目标数据表之间的关联特征信息;并根据该关联特征信息,获得授权判定信息,再根据该授权判定信息,即可确定是否向该数据请求用户授予使用该目标数据表的权限;如果授权判定信息表明可以授予,则该服务端向该客户端提供授权结果信息;之后,根据所述授权结果信息,数据请求用户所对应的应用程序即可在需要时,使用目标数据对象中的数据。
需要说明的是,在具体实施时,为了提升权限处理时的处理速度,当数据请求用户所请求使用的目标数据对象为较旧的数据对象时,由于使用旧数据可能带来的风险通常是较小的,因此,当目标数据对象被判定为旧数据对象时,可以将目标数据对象的使用权限直接授予该数据请求用户,即,在获取到针对目标数据对象的使用授权请求之后,本申请第一实施例提供的该方法,还包括:获取所述目标数据对象的更新时间,其中,所述更新时间不小于所述目标数据对象的创建时间;获取所述使用授权请求的请求时间;在所述请求时间与所述更新时间的差值的绝对值不小于预设差值阈值的情况下,授予所述数据请求用户使用所述目标数据对象的权限。
例如,设定预设差值阈值为1年,当获取到数据请求用户通过客户端向授权管理服务端发送的针对目标数据表tbl020的使用授权请求以后,获取到tbl020的更新时间为“2003年1月1日00时00分00秒”,该使用授权请求的请求时间为“2018年1月1日00时00分00秒”,通过获取该请求时间与该更新时间的差值的绝对值可得,该差值的绝对值不小于1年;因此,可以判定tbl020中的数据为旧数据,则可以直接授予数据请求用户使用tbl020的权限。当然,此处仅为举例说明,在具体实施时,预设差值阈值可以根据需要进行设置,此处不做特殊限定。
另外,为了进一步提升权限处理时的处理速度以及提升权限处理的灵活性,当目标数据对象中包括至少一条数据记录时,本申请第一实施例提供的权限处理方法还包括:根据所述请求时间和所述预设差值阈值的差值的绝对值,获得目标基准时间;从所述目标数据对象中,获取更新时间不大于所述目标基准时间的目标数据记录;授予所述数据请求用户使用所述目标数据记录的权限。
目标基准时间,是用于判断目标数据对象中的数据记录是否为旧数据的一个基准值,例如,当目标基准时间为“2016年1月1日00时00分00秒”时,可以将目标数据对象中更新时间不大于该时间的数据记录判定为旧数据记录,即,为目标数据记录。
例如,设定预设差值阈值为1年,当获取到数据请求用户通过客户端向授权管理服务端发送的针对目标数据表tbl030的使用授权请求以后,获取到tbl030的更新时间为“2020年1月1日00时00分00秒”,该使用授权请求的请求时间为“2020年2月1日00时00分00秒”,为了提升权限处理时的处理速度和灵活性,通过获取该请求时间与该预设差值阈值的差值的绝对值,可得目标基准时间为“2019年2月1日00时00分00秒”,则可将tbl030中更新时间不大于该目标基准时间的数据记录判定为目标数据记录,并直接授予数据请求用户使用tbl030中的该目标数据记录的权限。
另外,在具体实施时,该方法还包括:在所述请求时间与所述更新时间的差值的绝对值小于所述预设差值阈值的情况下,执行上述获取发出所述使用授权请求的数据请求用户与所述目标数据对象之间的关联特征信息步骤。即,当判定目标数据对象为相对较新的数据对象,或者目标数据对象中的部分数据记录为相对较新的数据记录时,为了提升权限处理的安全性,继续获取数据请求用户与目标数据对象之间的关联特征信息,并根据该关联特征信息进行上述的授权判定处理,此处不再赘述。
还需要说明的是,在授予数据请求用户使用目标数据对象的权限之后,本申请第一实施例提供的该方法,还包括:在满足预设权限变更条件的情况下,重新确定是否授予数据请求用户使用目标数据对象的权限。另外,在本申请第一实施例中,该预设权限变更条件,包括以下至少一项:所述目标数据对象的数据量不小于预设数量阈值;所述数据请求用户在人员组织树中的层级发生变更;所述目标数据对象对应的权限等级发生变更。
即,在授予数据请求用户使用目标数据对象的权限之后,当该目标数据对象中的数据记录的数量发生重大变化时;或者,当数据请求用户在人员组织树中的层级发生变更时,例如,数据请求用户的岗位发生了变更;又或者,与目标数据对象对应的权限等级发生变更时;又或者,发生其他可能涉及权限变更的情况时,为了降低目标数据对象中的数据被滥用而造成的风险,可以重新确定是否授予数据请求用户使用目标数据对象的权限,以提升权限处理时的安全性以及灵活性。
综上所述,本申请第一实施例提供的所述方法,包括:获取针对目标数据对象的使用授权请求,其中,所述授权请求中包括数据请求用户的信息;获取发出所述使用授权请求的数据请求用户与所述目标数据对象之间的关联特征信息,其中,所述关联特征信息用于表征所述数据请求用户与所述目标数据对象之间的关联关系;根据所述关联特征信息,获得授权判定信息,其中,所述授权判定信息是对授权后风险进行量化后获得的信息,所述授权后风险是指授予所述数据请求用户使用所述目标数据对象的权限之后所存在的风险;根据所述授权判定信息,确定是否授予所述数据请求用户使用所述目标数据对象的权限。所述方法在获得针对目标数据表的使用授权请求之后,不需要人工评定授予数据请求用户使用所述目标数据对象的权限之后所存在的风险,以决定是否通过所述授权请求,而是采取获取所述数据请求用户和所述目标数据表之间的关联特征信息,并根据所述关联特征信息,获得对授予所述数据请求用户使用所述目标数据对象的权限之后所存在的风险进行量化后的授权判定信息,进而根据所述授权判定信息由计算设备方便、快速的自动决定是否授予所述数据请求用户使用所述目标数据对象的权限,可以方便、快速的实现针对目标数据对象的权限处理。
与本申请第一实施例提供的权限处理方法相对应,本申请第二实施例还提供一种风险量化模型的获得方法,请参看图4所示,其为本申请第二实施例提供的一种风险量化模型的获得方法的流程图,其中部分步骤在本申请第一实施例中已经详细描述,所以此处描述的比较简单,相关之处参见本申请第一实施例提供的一种权限处理方法中的部分说明即可,下述描述的处理过程仅是示意性的。
步骤S401,获取针对样本数据对象的样本使用授权请求。
步骤S402,获取与所述样本使用授权请求对应的授权通过信息,其中,所述授权通过信息用于表征是否授予发出所述样本使用授权请求的样本数据请求用户使用所述样本数据对象的权限。
可选的,所述样本授权请求以及所述授权通过信息,通过以下方法获得:获取针对历史授权请求的结果反馈数据;根据所述结果反馈数据,获取所述样本使用授权请求以及所述授权通过信息。
步骤S403,获取所述样本数据请求用户与所述样本数据对象之间的样本关联特征信息。
步骤S404,根据所述样本关联特征信息和所述授权通过信息,获得训练样本数据。
步骤S405,根据所述训练样本数据,获得目标风险量化模型,其中,所述目标风险量化模型是根据获得到的数据请求用户与目标数据对象之间的关联特征信息,对授权后风险进行量化的模型,所述授权后风险是指授予所述数据请求用户使用所述目标数据对象的权限之后所存在的风险;所述样本数据对象与所述目标数据对象对应,所述样本数据请求用户与所述数据请求用户对应。
可选的,所述根据所述训练样本数据,获得所述目标风险量化模型,包括:获取待训练风险量化模型;根据所述训练样本数据,训练所述待训练风险量化模型,获得待确定风险量化模型;通过比较所述待确定风险量化模型和历史风险量化模型的性能数据,获得所述目标风险量化模型。
可选的,所述根据所述训练样本数据,训练所述待训练风险量化模型,获得待确定风险量化模型,包括:在通过所述训练样本数据训练所述待训练风险量化模型的过程中,调整所述待训练风险量化模型的参数,获得满足预设收敛条件的所述待确定风险量化模型。
与本申请第一实施例提供的权限处理方法相对应,本申请第三实施例还提供一种数据表的权限处理获得方法,请参看图5所示,其为本申请第三实施例提供的一种数据表的权限处理方法的流程图,其中部分步骤在本申请第一实施例中已经详细描述,所以此处描述的比较简单,相关之处参见本申请第一实施例提供的一种权限处理方法中的部分说明即可,下述描述的处理过程仅是示意性的。
步骤S501,获取针对数据库中的目标数据表的使用授权请求。
步骤S502,获取发出所述使用授权请求的数据请求用户与所述目标数据表之间的关联特征信息,其中,所述关联特征信息用于表征所述数据请求用户与所述目标数据表之间的关联关系。
步骤S503,根据所述关联特征信息,获得授权判定信息,其中,所述授权判定信息是对授权后风险进行量化后获得的信息,所述授权后风险是指授予所述数据请求用户使用所述目标数据表的权限之后所存在的风险。
步骤S504,根据所述授权判定信息,确定是否授予所述数据请求用户使用所述目标数据表的权限。
与本申请第一实施例提供的一种权限处理方法相对应,本申请第四施例还提供一种权限处理装置,请参看图6,其为本申请第四实施例提供的权限处理装置的示意图,由于装置实施例基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可,下述描述的装置实施例仅仅是示意性的。本申请第四实施例提供的一种权限处理装置包括如下部分:
授权请求获取单元601,用于获取针对目标数据对象的使用授权请求。
特征信息获取单元602,用于获取发出所述使用授权请求的数据请求用户与所述目标数据对象之间的关联特征信息,其中,所述关联特征信息用于表征所述数据请求用户与所述目标数据对象之间的关联关系。
授权判定信息获得单元603,用于据所述关联特征信息,获得授权判定信息,其中,所述授权判定信息是对授权后风险进行量化后获得的信息,所述授权后风险是指授予所述数据请求用户使用所述目标数据表的权限之后所存在的风险。
权限授予单元604,用于根据所述授权判定信息,确定是否授予所述数据请求用户使用所述目标数据对象的权限。
与本申请第一实施例提供的一种权限处理方法相对应,本申请第五实施例还提供一种电子设备,请参看图7,其为本申请第五实施例提供的一种电子设备的示意图,由于电子设备实施例基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可,下述描述的电子设备实施例仅仅是示意性的。本申请第五实施例提供的一种电子设备包括:
处理器701;
存储器702,用于存储权限处理方法的程序,该设备通电并通过所述处理器运行所述权限处理方法的程序后,执行下述步骤:
获取针对目标数据对象的使用授权请求;
获取发出所述使用授权请求的数据请求用户与所述目标数据对象之间的关联特征信息,其中,所述关联特征信息用于表征所述数据请求用户与所述目标数据对象之间的关联关系;
根据所述关联特征信息,获得授权判定信息,其中,所述授权判定信息是对授权后风险进行量化后获得的信息,所述授权后风险是指授予所述数据请求用户使用所述目标数据表的权限之后所存在的风险;
根据所述授权判定信息,确定是否授予所述数据请求用户使用所述目标数据对象的权限。
与本申请第一实施例提供的一种权限处理方法相对应,本申请第六实施例还提供一种存储设备,由于存储设备实施例基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可,下述描述的存储设备实施例仅仅是示意性的。本申请第六实施例提供的一种存储设备,存储有权限处理方法的程序,该程序被处理器运行,执行下述步骤:
获取针对目标数据对象的使用授权请求;
获取发出所述使用授权请求的数据请求用户与所述目标数据对象之间的关联特征信息,其中,所述关联特征信息用于表征所述数据请求用户与所述目标数据对象之间的关联关系;
根据所述关联特征信息,获得授权判定信息,其中,所述授权判定信息是对授权后风险进行量化后获得的信息,所述授权后风险是指授予所述数据请求用户使用所述目标数据表的权限之后所存在的风险;
根据所述授权判定信息,确定是否授予所述数据请求用户使用所述目标数据对象的权限。
与本申请第二实施例提供的一种权限处理风险量化模型的获得方法相对应,本申请第七实施例还提供一种权限处理风险量化模型的获得装置,请参看图8,其为本申请第七实施例提供的权限处理风险量化模型的获得装置的示意图,由于装置实施例基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可,下述描述的装置实施例仅仅是示意性的。本申请第七实施例提供的一种权限处理风险量化模型的获得装置包括如下部分:
样本使用授权请求获取单元801,用于获取针对样本数据对象的样本使用授权请求;
授权通过信息获取单元802,用于获取与所述样本使用授权请求对应的授权通过信息,其中,所述授权通过信息用于表征是否授予发出所述样本使用授权请求的样本数据请求用户使用所述样本数据对象的权限;
样本关联特征信息获取单元803,用于获取所述样本数据请求用户与所述样本数据对象之间的样本关联特征信息;
训练样本数据获得单元804,用于根据所述样本关联特征信息和所述授权通过信息,获得训练样本数据;
模型获得单元805,用于根据所述训练样本数据,获得目标风险量化模型,其中,所述目标风险量化模型是根据获得到的数据请求用户与目标数据对象之间的关联特征信息,对授权后风险进行量化的模型,所述授权后风险是指授予所述数据请求用户使用所述目标数据对象的权限之后所存在的风险;所述样本数据对象与所述目标数据对象对应,所述样本数据请求用户与所述数据请求用户对应。
与本申请第二实施例提供的一种风险量化模型的获得权限处理方法相对应,本申请第八实施例还提供一种电子设备,由于电子设备实施例基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可,下述描述的电子设备实施例仅仅是示意性的。本申请第八实施例提供的一种电子设备包括:
处理器;
存储器,用于存储风险量化模型的获得方法的程序,该设备通电并通过所述处理器运行所述风险量化模型的获得方法的程序后,执行下述步骤:
获取针对样本数据对象的样本使用授权请求;
获取与所述样本使用授权请求对应的授权通过信息,其中,所述授权通过信息用于表征是否授予发出所述样本使用授权请求的样本数据请求用户使用所述样本数据对象的权限;
获取所述样本数据请求用户与所述样本数据对象之间的样本关联特征信息;
根据所述样本关联特征信息和所述授权通过信息,获得训练样本数据;
根据所述训练样本数据,获得目标风险量化模型,其中,所述目标风险量化模型是根据获得到的数据请求用户与目标数据对象之间的关联特征信息,对授权后风险进行量化的模型,所述授权后风险是指授予所述数据请求用户使用所述目标数据对象的权限之后所存在的风险;所述样本数据对象与所述目标数据对象对应,所述样本数据请求用户与所述数据请求用户对应。
与本申请第二实施例提供的一种权限处理风险量化模型的获得方法相对应,本申请第九实施例还提供一种存储设备,由于存储设备实施例基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可,下述描述的存储设备实施例仅仅是示意性的。本申请第九实施例提供的一种存储设备,存储有风险量化模型的获得方法的程序,该程序被处理器运行,执行下述步骤:
获取针对样本数据对象的样本使用授权请求;
获取与所述样本使用授权请求对应的授权通过信息,其中,所述授权通过信息用于表征是否授予发出所述样本使用授权请求的样本数据请求用户使用所述样本数据对象的权限;
获取所述样本数据请求用户与所述样本数据对象之间的样本关联特征信息;
根据所述样本关联特征信息和所述授权通过信息,获得训练样本数据;
根据所述训练样本数据,获得目标风险量化模型,其中,所述目标风险量化模型是根据获得到的数据请求用户与目标数据对象之间的关联特征信息,对授权后风险进行量化的模型,所述授权后风险是指授予所述数据请求用户使用所述目标数据对象的权限之后所存在的风险;所述样本数据对象与所述目标数据对象对应,所述样本数据请求用户与所述数据请求用户对应。
与本申请第三实施例提供的一种数据表的权限处理方法相对应,本申请第十实施例还提供一种数据表的权限处理装置,请参看图9,其为本申请第十实施例提供的数据表的权限处理装置的示意图,由于装置实施例基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可,下述描述的装置实施例仅仅是示意性的。本申请第十实施例提供的一种数据表的权限处理装置包括如下部分:
授权请求获取单元901,用于获取针对数据库中的目标数据表的使用授权请求;
关联特征信息获取单元902,用于获取发出所述使用授权请求的数据请求用户与所述目标数据表之间的关联特征信息,其中,所述关联特征信息用于表征所述数据请求用户与所述目标数据表之间的关联关系;
授权判定信息获得单元903,用于根据所述关联特征信息,获得授权判定信息,其中,所述授权判定信息是对授权后风险进行量化后获得的信息,所述授权后风险是指授予所述数据请求用户使用所述目标数据表的权限之后所存在的风险;
权限授予单元904,用于根据所述授权判定信息,确定是否授予所述数据请求用户使用所述目标数据表的权限。
与本申请第三实施例提供的一种数据表的权限处理方法相对应,本申请第十一施例还提供一种电子设备,由于电子设备实施例基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可,下述描述的电子设备实施例仅仅是示意性的。本申请第十一实施例提供的一种电子设备包括:
处理器;
存储器,用于存储数据表的权限处理方法的程序,该设备通电并通过所述处理器运行所述数据表的权限处理方法的程序后,执行下述步骤:
获取针对数据库中的目标数据表的使用授权请求;
获取发出所述使用授权请求的数据请求用户与所述目标数据表之间的关联特征信息,其中,所述关联特征信息用于表征所述数据请求用户与所述目标数据表之间的关联关系;
根据所述关联特征信息,获得授权判定信息,其中,所述授权判定信息是对授权后风险进行量化后获得的信息,所述授权后风险是指授予所述数据请求用户使用所述目标数据表的权限之后所存在的风险;
根据所述授权判定信息,确定是否授予所述数据请求用户使用所述目标数据表的权限。
与本申请第三实施例提供的一种数据表的权限处理方法相对应,本申请第十二实施例还提供一种存储设备,由于存储设备实施例基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可,下述描述的存储设备实施例仅仅是示意性的。本申请第十二实施例提供的一种存储设备,存储有数据表的权限处理方法的程序,该程序被处理器运行,执行下述步骤:
获取针对数据库中的目标数据表的使用授权请求;
获取发出所述使用授权请求的数据请求用户与所述目标数据表之间的关联特征信息,其中,所述关联特征信息用于表征所述数据请求用户与所述目标数据表之间的关联关系;
根据所述关联特征信息,获得授权判定信息,其中,所述授权判定信息是对授权后风险进行量化后获得的信息,所述授权后风险是指授予所述数据请求用户使用所述目标数据表的权限之后所存在的风险;
根据所述授权判定信息,确定是否授予所述数据请求用户使用所述目标数据表的权限。
本申请虽然以较佳实施例公开如上,但其并不是用来限定本申请,任何本领域技术人员在不脱离本申请的精神和范围内,都可以做出可能的变动和修改,因此本申请的保护范围应当以本申请权利要求所界定的范围为准。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flashRAM)。内存是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括非暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
本领域技术人员应明白,本申请的实施例可提供为方法、系统或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

Claims (33)

1.一种权限处理方法,其特征在于,包括:
获取针对目标数据对象的使用授权请求;
获取发出所述使用授权请求的数据请求用户与所述目标数据对象之间的关联特征信息,其中,所述关联特征信息用于表征所述数据请求用户与所述目标数据对象之间的关联关系;
根据所述关联特征信息,获得授权判定信息,其中,所述授权判定信息是对授权后风险进行量化后获得的信息,所述授权后风险是指授予所述数据请求用户使用所述目标数据对象的权限之后所存在的风险;
根据所述授权判定信息,确定是否授予所述数据请求用户使用所述目标数据对象的权限。
2.根据权利要求1所述的权限处理方法,其特征在于,所述关联特征信息包括以下至少一种特征信息:第一关联特征信息、第二关联特征信息;
其中,所述第一关联特征信息包括:用于表征所述数据请求用户与目标关联用户之间的关联关系的特征信息,所述目标关联用户为与所述目标数据对象之间存在关联关系的用户;
所述第二关联特征信息包括:用于表征历史授权数据对象与所述目标数据对象之间的关联关系的特征信息,所述历史授权数据对象为所述数据请求用户已获得使用权限的数据对象。
3.根据权利要求1所述的权限处理方法,其特征在于,所述根据所述关联特征信息,获得授权判定信息,包括:
将所述关联特征信息输入到目标风险量化模型中,获得所述授权判定信息,其中,所述目标风险量化模型是用于根据所述关联特征信息,对所述授权后风险进行量化的模型。
4.根据权利要求3所述的权限处理方法,其特征在于,所述目标风险量化模型通过以下方法获得:
获取针对样本数据对象的样本使用授权请求,其中,所述样本数据对象与所述目标数据对象对应;
获取与所述样本使用授权请求对应的授权通过信息,其中,所述授权通过信息用于表征是否授予发出所述样本使用授权请求的样本数据请求用户使用所述样本数据对象的权限;
获取所述样本数据请求用户与所述样本数据对象之间的样本关联特征信息;
根据所述样本关联特征信息和所述授权通过信息,获得训练样本数据;
根据所述训练样本数据,获得所述目标风险量化模型。
5.根据权利要求4所述的权限处理方法,其特征在于,所述样本授权请求以及所述授权通过信息,通过以下方法获得:
获取针对历史授权请求的结果反馈数据;
根据所述结果反馈数据,获取所述样本使用授权请求以及所述授权通过信息。
6.根据权利要求4所述的权限处理方法,其特征在于,所述根据所述训练样本数据,获得所述目标风险量化模型,包括:
获取待训练风险量化模型;
根据所述训练样本数据,训练所述待训练风险量化模型,获得待确定风险量化模型;
通过比较所述待确定风险量化模型和历史风险量化模型的性能数据,获得所述目标风险量化模型。
7.根据权利要求6所述的权限处理方法,其特征在于,所述根据所述训练样本数据,训练所述待训练风险量化模型,获得待确定风险量化模型,包括:
在通过所述训练样本数据训练所述待训练风险量化模型的过程中,调整所述待训练风险量化模型的参数,获得满足预设收敛条件的所述待确定风险量化模型。
8.根据权利要求1所述的权限处理方法,其特征在于,所述根据所述授权判定信息,确定是否授予所述数据请求用户使用所述目标数据对象的权限,包括:
根据所述授权判定信息,获得风险量化数据,其中,所述风险量化数据是与所述授权后风险对应的量化数据;
如果所述风险量化数据不大于预设的阈值,则授予所述数据请求用户使用所述目标数据对象的权限。
9.根据权利要求3所述的权限处理方法,其特征在于,所述根据所述授权判定信息,确定是否授予所述数据请求用户使用所述目标数据对象的权限,包括:
根据所述授权判定信息,获得风险量化数据;
获取与所述目标风险量化模型对应的目标阈值;
如果所述风险量化数据不大于所述目标阈值,则授予所述数据请求用户使用所述目标数据对象的权限。
10.根据权利要求9所述的权限处理方法,其特征在于,所述目标阈值通过以下方法获得:
获取满足预设风险条件的应用程序的召回率;
获取与所述应用程序对应的训练样本数据;
在根据所述训练样本数据训练获得不大于所述召回率的目标风险量化模型的过程中,获得所述目标阈值。
11.根据权利要求10所述的权限处理方法,其特征在于,所述预设风险条件,包括:所述应用程序所对应的风险量化数据不小于预设的高风险阈值。
12.根据权利要求1所述的权限处理方法,其特征在于,还包括:获取与所述授权判定信息对应的、用于解释所述授权判定信息的获得依据的判定解释信息。
13.根据权利要求1所述的权限处理方法,其特征在于,还包括:
获取辅助特征信息,其中,所述辅助特征信息是与所述数据请求用户或所述目标数据对象对应的、用于增加所述授权判定信息的准确度的信息;
所述根据所述关联特征信息,获得授权判定信息,包括:
根据所述关联特征信息和所述辅助关联信息,获得所述授权判定信息。
14.根据权利要求13所述的权限处理方法,其特征在于,所述辅助特征信息,包括以下至少一项信息:与所述数据请求用户对应的历史数据对象使用信息、与所述数据请求用户对应的项目需求信息、与所述目标数据对象对应的数据敏感度信息;
其中,所述历史数据对象使用信息,包括:所述数据请求用户的职务信息、所述数据请求用户对应的历史授权请求的通过率。
15.根据权利要求2所述的权限处理方法,其特征在于,所述目标关联用户,包括:目标数据对象所有者和历史授权用户,其中,所述目标数据对象所有者为所述目标数据对象的所有者,所述历史授权用户为已授予使用所述目标数据对象的权限的用户;
所述第一关联特征信息,包括以下至少一项信息:所述数据请求用户对应的部门与所述目标数据对象所有者对应的部门之间的关联信息、所述数据请求用户和所述目标数据对象所有者在人员组织树中的距离、所述数据请求用户与所述历史授权用户在人员组织树中的距离、所述数据请求用户与所述目标数据对象所有者之间共享的项目数量、所述数据请求用户与所述历史授权用户之间共享的项目数量。
16.根据权利要求15所述的权限处理方法,其特征在于,包括:
所述数据请求用户与所述历史授权用户在人员组织树中的距离满足预设的第一距离筛选条件,所述数据请求用户与所述历史授权用户之间共享的项目数量满足预设的项目数量筛选条件。
17.根据权利要求2所述的权限处理方法,其特征在于,所述第二关联特征信息,包括:所述历史授权数据对象与所述目标数据对象在数据对象关系图中的最小距离、所述历史授权数据对象与所述目标数据对象在数据对象关系图中的平均距离。
18.根据权利要求1所述的权限处理方法,其特征在于,所述方法还包括:
获取所述目标数据对象的更新时间,其中,所述更新时间不小于所述目标数据对象的创建时间;
获取所述使用授权请求的请求时间;
在所述请求时间与所述更新时间的差值的绝对值不小于预设差值阈值的情况下,授予所述数据请求用户使用所述目标数据对象的权限。
19.根据权利要求18所述的权限处理方法,其特征在于,所述目标数据对象中包括至少一条数据记录,所述方法还包括:
根据所述请求时间和所述预设差值阈值的差值的绝对值,获得目标基准时间;
从所述目标数据对象中,获取更新时间不大于所述目标基准时间的目标数据记录;
授予所述数据请求用户使用所述目标数据记录的权限。
20.根据权利要求18所述的权限处理方法,其特征在于,所述方法还包括:
在所述请求时间与所述更新时间的差值的绝对值小于所述预设差值阈值的情况下,执行所述获取发出所述使用授权请求的数据请求用户与所述目标数据对象之间的关联特征信息步骤。
21.根据权利要求1所述的权限处理方法,其特征在于,在授予所述数据请求用户使用所述目标数据对象的权限之后,所述方法还包括:
在满足预设权限变更条件的情况下,重新确定是否授予所述数据请求用户使用所述目标数据对象的权限。
22.根据权利要求21所述的权限处理方法,其特征在于,所述预设权限变更条件,包括以下至少一项:
所述目标数据对象的数据量不小于预设数量阈值;
所述数据请求用户在人员组织树中的层级发生变更;
所述目标数据对象对应的权限等级发生变更。
23.一种风险量化模型的获得方法,其特征在于,包括:
获取针对样本数据对象的样本使用授权请求;
获取与所述样本使用授权请求对应的授权通过信息,其中,所述授权通过信息用于表征是否授予发出所述样本使用授权请求的样本数据请求用户使用所述样本数据对象的权限;
获取所述样本数据请求用户与所述样本数据对象之间的样本关联特征信息;
根据所述样本关联特征信息和所述授权通过信息,获得训练样本数据;
根据所述训练样本数据,获得目标风险量化模型,其中,所述目标风险量化模型是根据获得到的数据请求用户与目标数据对象之间的关联特征信息,对授权后风险进行量化的模型,所述授权后风险是指授予所述数据请求用户使用所述目标数据对象的权限之后所存在的风险;所述样本数据对象与所述目标数据对象对应,所述样本数据请求用户与所述数据请求用户对应。
24.一种数据表的权限处理方法,其特征在于,包括:
获取针对数据库中的目标数据表的使用授权请求;
获取发出所述使用授权请求的数据请求用户与所述目标数据表之间的关联特征信息,其中,所述关联特征信息用于表征所述数据请求用户与所述目标数据表之间的关联关系;
根据所述关联特征信息,获得授权判定信息,其中,所述授权判定信息是对授权后风险进行量化后获得的信息,所述授权后风险是指授予所述数据请求用户使用所述目标数据表的权限之后所存在的风险;
根据所述授权判定信息,确定是否授予所述数据请求用户使用所述目标数据表的权限。
25.一种权限处理装置,其特征在于,包括:
授权请求获取单元,用于获取针对目标数据对象的使用授权请求;
特征信息获取单元,用于获取发出所述使用授权请求的数据请求用户与所述目标数据对象之间的关联特征信息,其中,所述关联特征信息用于表征所述数据请求用户与所述目标数据对象之间的关联关系;
授权判定信息获得单元,用于据所述关联特征信息,获得授权判定信息,其中,所述授权判定信息是对授权后风险进行量化后获得的信息,所述授权后风险是指授予所述数据请求用户使用所述目标数据表的权限之后所存在的风险;
权限授予单元,用于根据所述授权判定信息,确定是否授予所述数据请求用户使用所述目标数据对象的权限。
26.一种电子设备,其特征在于,包括:
处理器;
存储器,用于存储权限处理方法的程序,该设备通电并通过所述处理器运行所述权限处理方法的程序后,执行下述步骤:
获取针对目标数据对象的使用授权请求;
获取发出所述使用授权请求的数据请求用户与所述目标数据对象之间的关联特征信息,其中,所述关联特征信息用于表征所述数据请求用户与所述目标数据对象之间的关联关系;
根据所述关联特征信息,获得授权判定信息,其中,所述授权判定信息是对授权后风险进行量化后获得的信息,所述授权后风险是指授予所述数据请求用户使用所述目标数据对象的权限之后所存在的风险;
根据所述授权判定信息,确定是否授予所述数据请求用户使用所述目标数据对象的权限。
27.一种存储设备,其特征在于,存储有权限处理方法的程序,该程序被处理器运行,执行下述步骤:
获取针对目标数据对象的使用授权请求,其中,所述授权请求中包括数据请求用户的信息;
获取发出所述使用授权请求的数据请求用户与所述目标数据对象之间的关联特征信息,其中,所述关联特征信息用于表征所述数据请求用户与所述目标数据对象之间的关联关系;
根据所述关联特征信息,获得授权判定信息,其中,所述授权判定信息是对授权后风险进行量化后获得的信息,所述授权后风险是指授予所述数据请求用户使用所述目标数据对象的权限之后所存在的风险;
根据所述授权判定信息,确定是否授予所述数据请求用户使用所述目标数据对象的权限。
28.一种风险量化模型的获得装置,其特征在于,包括:
样本使用授权请求获取单元,用于获取针对样本数据对象的样本使用授权请求;
授权通过信息获取单元,用于获取与所述样本使用授权请求对应的授权通过信息,其中,所述授权通过信息用于表征是否授予发出所述样本使用授权请求的样本数据请求用户使用所述样本数据对象的权限;
样本关联特征信息获取单元,用于获取所述样本数据请求用户与所述样本数据对象之间的样本关联特征信息;
训练样本数据获得单元,用于根据所述样本关联特征信息和所述授权通过信息,获得训练样本数据;
模型获得单元,用于根据所述训练样本数据,获得目标风险量化模型,其中,所述目标风险量化模型是根据获得到的数据请求用户与目标数据对象之间的关联特征信息,对授权后风险进行量化的模型,所述授权后风险是指授予所述数据请求用户使用所述目标数据对象的权限之后所存在的风险;所述样本数据对象与所述目标数据对象对应,所述样本数据请求用户与所述数据请求用户对应。
29.一种电子设备,其特征在于,包括:
处理器;
存储器,用于存储风险量化模型的获得方法的程序,该设备通电并通过所述处理器运行所述风险量化模型的获得方法的程序后,执行下述步骤:
获取针对样本数据对象的样本使用授权请求;
获取与所述样本使用授权请求对应的授权通过信息,其中,所述授权通过信息用于表征是否授予发出所述样本使用授权请求的样本数据请求用户使用所述样本数据对象的权限;
获取所述样本数据请求用户与所述样本数据对象之间的样本关联特征信息;
根据所述样本关联特征信息和所述授权通过信息,获得训练样本数据;
根据所述训练样本数据,获得目标风险量化模型,其中,所述目标风险量化模型是根据获得到的数据请求用户与目标数据对象之间的关联特征信息,对授权后风险进行量化的模型,所述授权后风险是指授予所述数据请求用户使用所述目标数据对象的权限之后所存在的风险;所述样本数据对象与所述目标数据对象对应,所述样本数据请求用户与所述数据请求用户对应。
30.一种存储设备,其特征在于,存储有风险量化模型的获得方法的程序,该程序被处理器运行,执行下述步骤:
获取针对样本数据对象的样本使用授权请求;
获取与所述样本使用授权请求对应的授权通过信息,其中,所述授权通过信息用于表征是否授予发出所述样本使用授权请求的样本数据请求用户使用所述样本数据对象的权限;
获取所述样本数据请求用户与所述样本数据对象之间的样本关联特征信息;
根据所述样本关联特征信息和所述授权通过信息,获得训练样本数据;
根据所述训练样本数据,获得目标风险量化模型,其中,所述目标风险量化模型是根据获得到的数据请求用户与目标数据对象之间的关联特征信息,对授权后风险进行量化的模型,所述授权后风险是指授予所述数据请求用户使用所述目标数据对象的权限之后所存在的风险;所述样本数据对象与所述目标数据对象对应,所述样本数据请求用户与所述数据请求用户对应。
31.一种数据表的权限处理装置,其特征在于,包括:
授权请求获取单元,用于获取针对数据库中的目标数据表的使用授权请求;
关联特征信息获取单元,用于获取发出所述使用授权请求的数据请求用户与所述目标数据表之间的关联特征信息,其中,所述关联特征信息用于表征所述数据请求用户与所述目标数据表之间的关联关系;
授权判定信息获得单元,用于根据所述关联特征信息,获得授权判定信息,其中,所述授权判定信息是对授权后风险进行量化后获得的信息,所述授权后风险是指授予所述数据请求用户使用所述目标数据表的权限之后所存在的风险;
权限授予单元,用于根据所述授权判定信息,确定是否授予所述数据请求用户使用所述目标数据表的权限。
32.一种电子设备,其特征在于,包括:
处理器;
存储器,用于存储数据表的权限处理方法的程序,该设备通电并通过所述处理器运行所述数据表的权限处理方法的程序后,执行下述步骤:
获取针对数据库中的目标数据表的使用授权请求;
获取发出所述使用授权请求的数据请求用户与所述目标数据表之间的关联特征信息,其中,所述关联特征信息用于表征所述数据请求用户与所述目标数据表之间的关联关系;
根据所述关联特征信息,获得授权判定信息,其中,所述授权判定信息是对授权后风险进行量化后获得的信息,所述授权后风险是指授予所述数据请求用户使用所述目标数据表的权限之后所存在的风险;
根据所述授权判定信息,确定是否授予所述数据请求用户使用所述目标数据表的权限。
33.一种存储设备,其特征在于,存储有数据表的权限处理方法的程序,该程序被处理器运行,执行下述步骤:
获取针对数据库中的目标数据表的使用授权请求;
获取发出所述使用授权请求的数据请求用户与所述目标数据表之间的关联特征信息,其中,所述关联特征信息用于表征所述数据请求用户与所述目标数据表之间的关联关系;
根据所述关联特征信息,获得授权判定信息,其中,所述授权判定信息是对授权后风险进行量化后获得的信息,所述授权后风险是指授予所述数据请求用户使用所述目标数据表的权限之后所存在的风险;
根据所述授权判定信息,确定是否授予所述数据请求用户使用所述目标数据表的权限。
CN202010421954.5A 2020-05-18 2020-05-18 一种权限处理方法及装置 Pending CN113688416A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010421954.5A CN113688416A (zh) 2020-05-18 2020-05-18 一种权限处理方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010421954.5A CN113688416A (zh) 2020-05-18 2020-05-18 一种权限处理方法及装置

Publications (1)

Publication Number Publication Date
CN113688416A true CN113688416A (zh) 2021-11-23

Family

ID=78575713

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010421954.5A Pending CN113688416A (zh) 2020-05-18 2020-05-18 一种权限处理方法及装置

Country Status (1)

Country Link
CN (1) CN113688416A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115879429A (zh) * 2023-02-01 2023-03-31 天津联想协同科技有限公司 一种电子表格校验方法、装置、电子设备及存储介质

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115879429A (zh) * 2023-02-01 2023-03-31 天津联想协同科技有限公司 一种电子表格校验方法、装置、电子设备及存储介质

Similar Documents

Publication Publication Date Title
US11178182B2 (en) Automated access control management for computing systems
US11295034B2 (en) System and methods for privacy management
US11328081B2 (en) Consent-based data privacy management system
US9940472B2 (en) Edge access control in querying facts stored in graph databases
US8375427B2 (en) Holistic risk-based identity establishment for eligibility determinations in context of an application
US20180315145A1 (en) Managing school systems on a blockchain
US11386216B2 (en) Verification of privacy in a shared resource environment
US9747581B2 (en) Context-dependent transactional management for separation of duties
US9754225B2 (en) Automated risk assessment and management
CN111625809B (zh) 数据授权方法及装置、电子设备、存储介质
US20220291972A1 (en) Methods And Systems For Application Program Interface Management
US11734351B2 (en) Predicted data use obligation match using data differentiators
US11755768B2 (en) Methods, apparatuses, and systems for data rights tracking
US20190303608A1 (en) Data Protection Recommendations Using Machine Learning Provided as a Service
CN114003920A (zh) 系统数据的安全评估方法及装置、存储介质和电子设备
WO2019244036A1 (en) Method and server for access verification in an identity and access management system
US10038724B2 (en) Electronic access controls
CN113688416A (zh) 一种权限处理方法及装置
US20180293681A1 (en) Automated background checks
CN117592113B (zh) 一种具备可视化权限的数据共享方法
US20240193294A1 (en) Automated pre-commit scan of application code for privacy protected data accesses
US20240143774A1 (en) Attribute based data access control
US20230385449A1 (en) Purpose-based data management for computing systems
Assentian et al. Overview of Applicable Regulations in Digital Finance and Supporting Technologies
CN117407893A (zh) 基于api配置的数据权限管理方法、装置、设备和介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination