CN114039755B - 一种权限控制方法、装置、电子设备及存储介质 - Google Patents
一种权限控制方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN114039755B CN114039755B CN202111268693.9A CN202111268693A CN114039755B CN 114039755 B CN114039755 B CN 114039755B CN 202111268693 A CN202111268693 A CN 202111268693A CN 114039755 B CN114039755 B CN 114039755B
- Authority
- CN
- China
- Prior art keywords
- information
- user
- evaluation value
- determining
- trust
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 45
- 238000003860 storage Methods 0.000 title claims abstract description 14
- 238000011156 evaluation Methods 0.000 claims abstract description 198
- 230000015654 memory Effects 0.000 claims description 22
- 238000004891 communication Methods 0.000 claims description 18
- 238000004590 computer program Methods 0.000 claims description 13
- 238000001816 cooling Methods 0.000 claims description 12
- 238000013475 authorization Methods 0.000 claims description 9
- 230000006399 behavior Effects 0.000 abstract description 7
- 238000012423 maintenance Methods 0.000 description 15
- 238000010586 diagram Methods 0.000 description 14
- 238000002955 isolation Methods 0.000 description 7
- 230000002093 peripheral effect Effects 0.000 description 6
- 230000008569 process Effects 0.000 description 6
- 238000012545 processing Methods 0.000 description 6
- 238000004364 calculation method Methods 0.000 description 5
- 230000007246 mechanism Effects 0.000 description 5
- 238000012986 modification Methods 0.000 description 5
- 230000004048 modification Effects 0.000 description 5
- 238000012795 verification Methods 0.000 description 5
- 230000006870 function Effects 0.000 description 4
- 238000013507 mapping Methods 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 238000003780 insertion Methods 0.000 description 3
- 230000037431 insertion Effects 0.000 description 3
- 238000004519 manufacturing process Methods 0.000 description 3
- 230000004075 alteration Effects 0.000 description 2
- 238000012217 deletion Methods 0.000 description 2
- 230000037430 deletion Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- 238000000638 solvent extraction Methods 0.000 description 2
- 238000009825 accumulation Methods 0.000 description 1
- 238000007792 addition Methods 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000002238 attenuated effect Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000007423 decrease Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 238000000802 evaporation-induced self-assembly Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000000630 rising effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种权限控制方法、装置、电子设备及存储介质,所述方法包括:获取登录系统的用户的特征信息,根据所述用户的特征信息确定所述用户的信任度评价值;获取用户的操作请求信息中携带的目标操作对象信息和目标操作类型信息,并确定所述目标操作对象信息对应的第一权限阈值和所述目标操作类型信息对应的第二权限阈值;若所述信任度评价值分别大于所述第一权限阈值和所述第二权限阈值,执行所述操作请求信息,否则不执行所述操作请求信息。从而实现根据当前用户的操作行为进行评估,动态的进行权限控制。
Description
技术领域
本发明涉及系统及平台管理技术领域,尤其涉及一种权限控制方法、装置、电子设备及存储介质。
背景技术
随着云计算技术的快速发展,企业服务器的规模迅速增加,随之带来了对规模化运维的极大挑战。通常企业都是通过构建自动化平台去应对大规模应用架构部署下的各类运维执行操作,以解决大量的人工操作的成本和提升执行效率。在构建自动化平台能力的同时,也需要考虑和控制运维人员在自动化脚本设计上的疏漏,操作了一些不该操作的主机或对象,我们也可以理解为运维安全相关的控制。所以面对成千上万台服务器,涉及多个重要业务系统,对运维人员的操作权限进行合理控制必不可少。
现有技术对运维人员的操作权限进行控制的方案一般为基于角色组的权限控制方法,配置角色组-权限的静态映射关系,根据映射关系进行权限控制。该方法存在的问题是无法对当前用户的操作行为进行评估,不能动态的进行权限控制。
发明内容
本发明实施例提供了一种权限控制方法、装置、电子设备及存储介质,用以解决现有技术无法对当前用户的操作行为进行评估,不能动态的进行权限控制的问题。
本发明实施例提供了一种权限控制方法,所述方法包括:
获取登录系统的用户的特征信息,根据所述用户的特征信息确定所述用户的信任度评价值;
获取用户的操作请求信息中携带的目标操作对象信息和目标操作类型信息,并确定所述目标操作对象信息对应的第一权限阈值和所述目标操作类型信息对应的第二权限阈值;
若所述信任度评价值分别大于所述第一权限阈值和所述第二权限阈值,执行所述操作请求信息,否则不执行所述操作请求信息。
进一步地,所述获取登录系统的用户的特征信息,根据所述用户的特征信息确定所述用户的信任度评价值包括:
获取登录系统的用户的第一IP地址信息、第一地理位置信息、第一登录时间信息和操作拦截率信息;
根据所述第一IP地址信息、第一地理位置信息、第一登录时间信息分别与预先统计的第二IP地址信息、第二地理位置信息、第二登录时间信息的相似性,确定所述第一IP地址信息、第一地理位置信息、第一登录时间信息分别对应的特征值;
根据所述第一IP地址信息、第一地理位置信息、第一登录时间信息分别对应的特征值和所述操作拦截率信息确定所述用户的信任度评价值。
进一步地,所述根据所述第一IP地址信息、第一地理位置信息、第一登录时间信息分别对应的特征值和所述操作拦截率信息确定所述用户的信任度评价值包括:
根据所述第一IP地址信息、第一地理位置信息、第一登录时间信息分别对应的特征值和所述操作拦截率信息,以及预设的IP地址信息、地理位置信息、登录时间信息和所述操作拦截率信息分别对应的权重值,确定所述用户的信任度评价值。
进一步地,所述获取登录系统的用户的特征信息,根据所述用户的特征信息确定所述用户的信任度评价值包括:
获取当前时间段登录系统的用户的第一特征信息,根据所述用户的第一特征信息确定所述用户的当前信任度评价值;
获取并根据历史的每个时间段登录系统的所述用户的第二特征信息,确定每个子历史信任度评价值;根据所述每个子历史信任度评价值确定所述用户的历史信任度评价值;
根据所述用户的当前信任度评价值和所述历史信任度评价值,确定所述用户的信任度评价值。
进一步地,所述获取历史的每个时间段登录系统的所述用户的第二特征信息包括:
通过滑动窗口的方式确定历史的每个时间段,并获取所述历史的每个时间段登录系统的所述用户的第二特征信息。
进一步地,所述根据所述用户的当前信任度评价值和所述历史信任度评价值,确定所述用户的信任度评价值包括:
根据所述用户的当前信任度评价值和所述历史信任度评价值,以及预设的当前信任度评价值和历史信任度评价值分别对应的权重值,确定所述用户的信任度评价值。
进一步地,所述根据所述每个子历史信任度评价值确定所述用户的历史信任度评价值包括:
确定所述每个子历史信任度评价值分别对应的权重值,根据所述每个子历史信任度评价值和分别对应的权重值确定所述用户的历史信任度评价值;其中,距离当前时间段近的历史时间段确定出的子历史信任度评价值对应的权重值大于距离当前时间段远的历史时间段确定出的子历史信任度评价值对应的权重值。
进一步地,所述确定所述每个子历史信任度评价值分别对应的权重值包括:
基于牛顿冷却定律确定所述每个子历史信任度评价值分别对应的权重值。
进一步地,所述获取登录系统的用户的特征信息,根据所述用户的特征信息确定所述用户的信任度评价值之前,所述方法还包括:
获取并根据登录系统的用户的身份标识信息、用户的操作请求信息中携带的目标操作对象信息和目标操作类型信息、以及预先建立的角色组权限规则,初步判断所述用户是否具备操作权限,如果是,进行获取登录系统的用户的特征信息,根据所述用户的特征信息确定所述用户的信任度评价值的步骤;如果否,不执行所述操作请求信息。
进一步地,若所述信任度评价值不大于所述第一权限阈值或不大于所述第二权限阈值,不执行所述操作请求信息之前,所述方法还包括:
判断是否接收到管理员发送的对所述用户的授权指示信息,如果否,不执行所述操作请求信息,如果是,执行所述操作请求信息。
另一方面,本发明实施例提供了一种权限控制装置,所述装置包括:
第一确定模块,用于获取登录系统的用户的特征信息,根据所述用户的特征信息确定所述用户的信任度评价值;
第二确定模块,用于获取用户的操作请求信息中携带的目标操作对象信息和目标操作类型信息,并确定所述目标操作对象信息对应的第一权限阈值和所述目标操作类型信息对应的第二权限阈值;
权限控制模块,用于若所述信任度评价值分别大于所述第一权限阈值和所述第二权限阈值,执行所述操作请求信息,否则不执行所述操作请求信息。
进一步地,所述第一确定模块,具体用于获取登录系统的用户的第一IP地址信息、第一地理位置信息、第一登录时间信息和操作拦截率信息;根据所述第一IP地址信息、第一地理位置信息、第一登录时间信息分别与预先统计的第二IP地址信息、第二地理位置信息、第二登录时间信息的相似性,确定所述第一IP地址信息、第一地理位置信息、第一登录时间信息分别对应的特征值;根据所述第一IP地址信息、第一地理位置信息、第一登录时间信息分别对应的特征值和所述操作拦截率信息确定所述用户的信任度评价值。
进一步地,所述第一确定模块,具体用于根据所述第一IP地址信息、第一地理位置信息、第一登录时间信息分别对应的特征值和所述操作拦截率信息,以及预设的IP地址信息、地理位置信息、登录时间信息和所述操作拦截率信息分别对应的权重值,确定所述用户的信任度评价值。
进一步地,所述第一确定模块,具体用于获取当前时间段登录系统的用户的第一特征信息,根据所述用户的第一特征信息确定所述用户的当前信任度评价值;获取并根据历史的每个时间段登录系统的所述用户的第二特征信息,确定每个子历史信任度评价值;根据所述每个子历史信任度评价值确定所述用户的历史信任度评价值;根据所述用户的当前信任度评价值和所述历史信任度评价值,确定所述用户的信任度评价值。
进一步地,所述第一确定模块,具体用于通过滑动窗口的方式确定历史的每个时间段,并获取所述历史的每个时间段登录系统的所述用户的第二特征信息。
进一步地,所述第一确定模块,具体用于根据所述用户的当前信任度评价值和所述历史信任度评价值,以及预设的当前信任度评价值和历史信任度评价值分别对应的权重值,确定所述用户的信任度评价值。
进一步地,所述第一确定模块,具体用于确定所述每个子历史信任度评价值分别对应的权重值,根据所述每个子历史信任度评价值和分别对应的权重值确定所述用户的历史信任度评价值;其中,距离当前时间段近的历史时间段确定出的子历史信任度评价值对应的权重值大于距离当前时间段远的历史时间段确定出的子历史信任度评价值对应的权重值。
进一步地,所述第一确定模块,具体用于基于牛顿冷却定律确定所述每个子历史信任度评价值分别对应的权重值。
进一步地,所述装置还包括:
第一判断模块,用于获取并根据登录系统的用户的身份标识信息、用户的操作请求信息中携带的目标操作对象信息和目标操作类型信息、以及预先建立的角色组权限规则,初步判断所述用户是否具备操作权限,如果判断结果为是,触发所述第一确定模块,进行获取登录系统的用户的特征信息,根据所述用户的特征信息确定所述用户的信任度评价值的步骤;如果判断结果为否,不执行所述操作请求信息。
进一步地,所述装置还包括:
第二判断模块,用于判断是否接收到管理员发送的对所述用户的授权指示信息,如果否,不执行所述操作请求信息,如果是,执行所述操作请求信息。
再一方面,本发明实施例提供了一种电子设备,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现上述任一项所述的方法步骤。
再一方面,本发明实施例提供了一种计算机可读存储介质,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现上述任一项所述的方法步骤。
本发明实施例提供了一种权限控制方法、装置、电子设备及存储介质,所述方法包括:获取登录系统的用户的特征信息,根据所述用户的特征信息确定所述用户的信任度评价值;获取用户的操作请求信息中携带的目标操作对象信息和目标操作类型信息,并确定所述目标操作对象信息对应的第一权限阈值和所述目标操作类型信息对应的第二权限阈值;若所述信任度评价值分别大于所述第一权限阈值和所述第二权限阈值,执行所述操作请求信息,否则不执行所述操作请求信息。
上述的技术方案具有如下优点或有益效果:
本发明实施例中,用户登录系统之后,获取用户的特征信息,并根据用户的特征信息确定所述用户的信任度评价值。并且接收到用户的操作请求之后,确定操作请求信息中携带的目标操作对象信息对应的第一权限阈值和目标操作类型信息对应的第二权限阈值。当信任度评价值分别大于第一权限阈值和第二权限阈值,执行操作请求信息,否则不执行操作请求信息。从而实现根据当前用户的操作行为进行评估,动态的进行权限控制。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的权限控制过程示意图;
图2为本发明实施例提供的权限控制详细流程图;
图3为本发明实施例提供的滑动窗口机制示意图;
图4为本发明实施例提供的牛顿冷却定律示意图;
图5为本发明实施例提供的滑动窗口机制的权重分布示意图;
图6为本发明实施例提供的权限控制装置结果示意图;
图7为本发明实施例提供的电子设备结构示意图。
具体实施方式
下面将结合附图对本发明作进一步地详细描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
实施例1:
图1为本发明实施例提供的权限控制过程示意图,该过程包括以下步骤:
S101:获取登录系统的用户的特征信息,根据所述用户的特征信息确定所述用户的信任度评价值。
S102:获取用户的操作请求信息中携带的目标操作对象信息和目标操作类型信息,并确定所述目标操作对象信息对应的第一权限阈值和所述目标操作类型信息对应的第二权限阈值。
S103:若所述信任度评价值分别大于所述第一权限阈值和所述第二权限阈值,执行所述操作请求信息,否则不执行所述操作请求信息。
本发明实施例提供的权限控制方法应用于电子设备,该电子设备可以是PC、平板电脑等设备,也可以是服务器。
用户登录系统之后,电子设备获取用户的特征信息,其中,用户的特征信息包括用户的IP地址信息、地理位置信息、登录时间信息和操作拦截率信息。根据用户的特征信息确定用户的信任度评价值。其中,可以预先设置不同IP地址信息分别对应的特征值,不同地理位置信息分别对应的特征值以及不同登录时间信息分别对应的特征值。当确定出登录系统的用户的IP地址信息、地理位置信息、登录时间信息之后,根据预先设置的对应关系,确定出用户的IP地址信息、地理位置信息、登录时间信息分别对应的特征值。然后根据用户的IP地址信息、地理位置信息、登录时间信息分别对应的特征值以及操作拦截率信息,确定出用户的信任度评价值。其中,可以分别为IP地址信息、地理位置信息、登录时间信息以及操作拦截率信息配置权重值,根据用户的IP地址信息、地理位置信息、登录时间信息分别对应的特征值以及操作拦截率信息进行加权计算,得到最终的信任度评价值。需要说明的是,操作拦截率信息配置的权重值应为负值。
用户登录系统之后,会发送操作请求信息。其中,用户的操作请求信息中携带的目标操作对象信息和目标操作类型信息。目标操作对象信息例如是核心业务系统、重要业务系统、外围业务系统和运维支撑系统等。目标操作类型信息例如是系统中心切换、数据库增删改、应用节点启停、应用节点隔离、数据库查询和系统日志查看等。电子设备预先为不同的操作对象信息和不同的操作类型信息配置有不同的权限阈值。获取用户的操作请求信息中携带的目标操作对象信息和目标操作类型信息之后,确定目标操作对象信息对应的第一权限阈值和目标操作类型信息对应的第二权限阈值。
电子设备判断用户的信任度评价值是否分别大于第一权限阈值和第二权限阈值,如果是,则确定用户具备操作权限,执行操作请求信息。如果用户的信任度评价值不大于第一权限阈值或者不大于第二权限阈值,则确定用户不具备操作权限,也就不执行操作请求信息。
另外,本发明实施例中,若所述信任度评价值不大于所述第一权限阈值或不大于所述第二权限阈值,不执行所述操作请求信息之前,所述方法还包括:
判断是否接收到管理员发送的对所述用户的授权指示信息,如果否,不执行所述操作请求信息,如果是,执行所述操作请求信息。
即,如果用户的信任度评价值不大于所述第一权限阈值或不大于所述第二权限阈值,用户可以向管理员提供登录申请,如果管理员下发了对用户的授权指示信息,则可以执行用户的操作请求信息,如果管理员没有下发对用户的授权指示信息,则不可以执行用户的操作请求信息。
本发明实施例中,用户登录系统之后,获取用户的特征信息,并根据用户的特征信息确定所述用户的信任度评价值。并且接收到用户的操作请求之后,确定操作请求信息中携带的目标操作对象信息对应的第一权限阈值和目标操作类型信息对应的第二权限阈值。当信任度评价值分别大于第一权限阈值和第二权限阈值,执行操作请求信息,否则不执行操作请求信息。从而实现根据当前用户的操作行为进行评估,动态的进行权限控制。
实施例2:
为了使确定用户的信任度评价值更准确,在上述实施例的基础上,在本发明实施例中,所述获取登录系统的用户的特征信息,根据所述用户的特征信息确定所述用户的信任度评价值包括:
获取登录系统的用户的第一IP地址信息、第一地理位置信息、第一登录时间信息和操作拦截率信息;
根据所述第一IP地址信息、第一地理位置信息、第一登录时间信息分别与预先统计的第二IP地址信息、第二地理位置信息、第二登录时间信息的相似性,确定所述第一IP地址信息、第一地理位置信息、第一登录时间信息分别对应的特征值;
根据所述第一IP地址信息、第一地理位置信息、第一登录时间信息分别对应的特征值和所述操作拦截率信息确定所述用户的信任度评价值。
本发明实施例中,用户登录系统之后,将获取到的IP地址信息、地理位置信息、登录时间信息称为第一IP地址信息、第一地理位置信息、第一登录时间信息。电子设备预先针对不同的用户统计有不同用户的第二IP地址信息、第二地理位置信息、第二登录时间信息。其中,预先统计的用户的第二IP地址信息、第二地理位置信息、第二登录时间信息为根据用户的历史登录信息统计出的用户最常用的第二IP地址信息、第二地理位置信息、第二登录时间信息。然后根据第一IP地址信息、第一地理位置信息、第一登录时间信息分别与预先统计的第二IP地址信息、第二地理位置信息、第二登录时间信息的相似性,确定第一IP地址信息、第一地理位置信息、第一登录时间信息分别对应的特征值。其中,地理位置信息越近,相似性越高,特征值越高。时间信息越近,相似性越高,特征值越高。IP地址信息中网络号码相同的相似性高,特征值高。
确定第一IP地址信息、第一地理位置信息、第一登录时间信息分别对应的特征值之后,根据第一IP地址信息、第一地理位置信息、第一登录时间信息分别对应的特征值和操作拦截率信息确定用户的信任度评价值。
由于本发明实施例中,根据第一IP地址信息、第一地理位置信息、第一登录时间信息分别与预先统计的第二IP地址信息、第二地理位置信息、第二登录时间信息的相似性,确定第一IP地址信息、第一地理位置信息、第一登录时间信息分别对应的特征值。从而使得确定的第一IP地址信息、第一地理位置信息、第一登录时间信息分别对应的特征值更准确,进而使得根据第一IP地址信息、第一地理位置信息、第一登录时间信息分别对应的特征值和操作拦截率信息确定的用户的信任度评价值更准确。
为了进一步使确定的用户的信任度评价值更准确,在本发明实施例中,所述根据所述第一IP地址信息、第一地理位置信息、第一登录时间信息分别对应的特征值和所述操作拦截率信息确定所述用户的信任度评价值包括:
根据所述第一IP地址信息、第一地理位置信息、第一登录时间信息分别对应的特征值和所述操作拦截率信息,以及预设的IP地址信息、地理位置信息、登录时间信息和所述操作拦截率信息分别对应的权重值,确定所述用户的信任度评价值。
可以根据需要预设的IP地址信息、地理位置信息、登录时间信息和操作拦截率信息分别对应的权重值。例如对IP地址信息的关注度更高,可以预设IP地址信息对应的权重值更大,例如对登录时间信息的关注度更高,可以预设登录时间信息对应的权重值更大。
实施例3:
在上述各实施例的基础上,在本发明实施例中,为了进一步使确定的用户的信任度评价值更准确,所述获取登录系统的用户的特征信息,根据所述用户的特征信息确定所述用户的信任度评价值包括:
获取当前时间段登录系统的用户的第一特征信息,根据所述用户的第一特征信息确定所述用户的当前信任度评价值;
获取并根据历史的每个时间段登录系统的所述用户的第二特征信息,确定每个子历史信任度评价值;根据所述每个子历史信任度评价值确定所述用户的历史信任度评价值;
根据所述用户的当前信任度评价值和所述历史信任度评价值,确定所述用户的信任度评价值。
本发明实施例中,获取当前时间段登录系统的用户的第一特征信息,根据用户的第一特征信息确定用户的当前信任度评价值。当前时间段可以是当天,或者预设的几点到几点构成的时间段。并且针对历史的每个时间段,获取并根据历史的每个时间段登录系统的用户的第二特征信息,确定每个子历史信任度评价值;根据每个子历史信任度评价值确定所述用户的历史信任度评价值。其中,本发明实施例中通过滑动窗口的方式确定历史的每个时间段,并获取历史的每个时间段登录系统的用户的第二特征信息。
根据所述用户的当前信任度评价值和所述历史信任度评价值,确定所述用户的信任度评价值。较佳的,所述根据所述用户的当前信任度评价值和所述历史信任度评价值,确定所述用户的信任度评价值包括:
根据所述用户的当前信任度评价值和所述历史信任度评价值,以及预设的当前信任度评价值和历史信任度评价值分别对应的权重值,确定所述用户的信任度评价值。
为了使确定用户的历史信任度评价值更准确,在本发明实施例中,所述根据所述每个子历史信任度评价值确定所述用户的历史信任度评价值包括:
确定所述每个子历史信任度评价值分别对应的权重值,根据所述每个子历史信任度评价值和分别对应的权重值确定所述用户的历史信任度评价值;其中,距离当前时间段近的历史时间段确定出的子历史信任度评价值对应的权重值大于距离当前时间段远的历史时间段确定出的子历史信任度评价值对应的权重值。
考虑到距离当前时间段越近,对信任度评价值的影响越大,因此距离当前时间段近的历史时间段确定出的子历史信任度评价值对应的权重值大于距离当前时间段远的历史时间段确定出的子历史信任度评价值对应的权重值。
为了进一步使确定所述每个子历史信任度评价值分别对应的权重值更准确,本发明实施例中,基于牛顿冷却定律确定所述每个子历史信任度评价值分别对应的权重值。
实施例4:
为了提高用户权限控制的效率,在上述各实施例的基础上,在本发明实施例中,所述获取登录系统的用户的特征信息,根据所述用户的特征信息确定所述用户的信任度评价值之前,所述方法还包括:
获取并根据登录系统的用户的身份标识信息、用户的操作请求信息中携带的目标操作对象信息和目标操作类型信息、以及预先建立的角色组权限规则,初步判断所述用户是否具备操作权限,如果是,进行获取登录系统的用户的特征信息,根据所述用户的特征信息确定所述用户的信任度评价值的步骤;如果否,不执行所述操作请求信息。
电子设备预先建立有角色组权限规则,该角色组权限规则中规定有哪些用户具备进行操作的初步权限判断。电子设备获取并根据登录系统的用户的身份标识信息、用户的操作请求信息中携带的目标操作对象信息和目标操作类型信息、以及预先建立的角色组权限规则,初步判断用户是否具备操作权限,如果是,进行获取登录系统的用户的特征信息,根据用户的特征信息确定用户的信任度评价值的步骤;如果否,不执行所述操作请求信息。
下面通过具体示例对本发明实施例提供的权限控制过程进行详细说明。
本方面实施例提出了一种基于用户信任度和操作风险的动态权限控制方法,具体流程如图2所示。
1、用户信任度计算。
用户的信任度计算依赖于提取当前登录用户的IP地址信息、地理位置信息、登录时间信息、近期操作拦截率等用户特征。用户的信任度不仅要考虑当下,也要考虑用户的历史信任度。则用户的综合信任度为:
TTotal(User)=α×TCurrent(User)+β×THistory(User);
其中TCurrent(User)为用户当前的信任度评价值,THistory(User)为用户历史的信任度评价值,α+β=1。β∈[0,1]为历史因子,β的值越大表示历史信任度在计算综合信任度时影响越大。当用户第一次登录系统无历史记录时,TTotal(User)=TCurrent(User)。
一段时间的历史记录能够更全面的刻画用户,但是过于久远的历史记录对当下的参考意义是非常有限,所以引入滑动窗口机制。设置一个大小为n的窗口,用户每次登录系统建立会话,窗口就向前移动一次,只将窗口内的数据纳入计算,窗口以外的数据全部忽略,从而保证在虑历史数据的同时兼顾时效性。滑动窗口机制参见图3。
则历史信任度的计算公式可以为:
为历史时间段的子信任度评价值。考虑到信任并不是一成不变的,尤其是历史信任度对当前信任度的影响程度随着时间的推移,应当呈一种逐渐衰退的态势。
受到图4所示的牛顿冷却定律的启发,即物体自身的温度,在没有外界干扰的情况下,随着时间的流逝,总会朝着环境温度的方向变化,高于环境温度的会慢慢冷却,低于环境温度的会慢慢上升,不断接近环境温度,最终达到平衡。信任度也一样,无论历史信任度对当下信任度的影响是正向还是负向,都应该顺着时间的延长而逐渐弱化直至为零。我们在计算信任度时,将牛顿冷却定律引入到滑动窗口机制中,即为窗口内的数据加上权重,距离当前时刻越远的权重越低,距离当前时刻越近的权重越高,可参见图5。
因此历史信任度评价值的计算公式变为:
wi为历史信任度的影响权重,可通过牛顿冷却定律计算。牛顿冷却定律的表达式为:
其中,α是衰减系数,Tenv为环境温度,T(t)是t时刻物体的温度。对公式进行简单变换:
dT(t)=-α(T(t)-Tenv)dt;
公式两边同时求积分:
左右两边分开求解,左边可得:
右边可得:
∫(-α)dt=-αt+A;
其中A为微分方程的求解因子。
ln(T(t)-Tenv)=-αt+A;
T(t)-Tenv=e-αt+A;
T(t)-Tenv=Ce-αt;
令t=t0,则:
将C代回公式(14)可得:
令Tenv=0,则可得:
结合生产环境中的实际情况考虑,我们将窗口大小设置为7,假设当窗口右移7次后,其对当前信任度的影响权重由1衰减到0.01,可得衰减系数根据衰减系数α可以计算出窗口内各历史信任度的影响权重。
在计算用户信任度时,我们选取用户IP地址信息、地理位置信息、登录时间信息、近期权限被拦截次数这4个用户特征,并赋予权重为:
根据上述特征权重,可计算得出TCurrent(User)。针对公式TTotal(User)=αTCurrent(User)+βTHistory(User),设置历史因子为β=0.4,则α=1-β=0.6。用户的初始信任度为0.65。进而可以计算出此用户通过当前信任度和加权历史信任度得到的综合信任度值为0.88。
2、系统-操作联合信任约束。
在实际工作中,因为各个系统的重要程度有区别,即使面对同一系统,不同的运维操作所带来的风险和影响也是大相径庭的。所以为了真正实现权限的动态可控,要对系统按照重要程度进行分级,对操作动作按照风险程度进行分级,并针对系统和操作动作分别配置划分所须信任度的阀值区间。根据实际生产环境中的各项经验积累,阈值划分区间可参照下表:
表1系统-等级-信任度阈值区间划分表
系统名称 | 重要程度 | 允许进行操作的信任度阈值区间 |
核心业务系统 | 1 | (0.9,1] |
重要业务系统 | 2 | (0.85,1] |
外围业务系统 | 3 | [0.8,1] |
运维支撑系统 | 4 | [0.65,1] |
表2操作-等级-信任度阈值区间划分表
操作类型 | 风险等级 | 允许进行操作的信任度阈值区间 |
系统中心切换 | 1 | [0.95,1] |
数据库增删改 | 2 | (0.8,1] |
应用节点启停 | 2 | (0.8,1] |
应用节点隔离 | 3 | [0.75,1] |
数据库查询 | 4 | [0.7,1] |
系统日志查看 | 5 | [0.65,1] |
因此当前用户在发起对系统进行操作请求时,用户的综合信任度应当满足目标系统所须信任度阈值区间和操作动作所须阈值区间的联合信任约束:
3、权限综合判定。
用户先后发起了3个操作请求,分别是①对核心业务系统A进行系统日志查看操作;②对重要业务系统B进行数据库插入操作;③对外围应用系统C进行应用节点隔离操作。在进行权限判定的时候应分三步,第一步根据已有的角色组-权限映射关系去CMDB中查询用户是否具有系统操作权限,第二步看用户信任度是否满足系统-操作联合信任约束,第三步结合前两步的判定结果,对权限做出综合判定,决定是否允许用户执行运维操作。如果权限校验不通过,允许用户向值班长发起权限申诉。如果值班长同意授权,则允许用户执行运维操作,如果值班长不同意,则拦截用户的操作行为。
CMDB中查询用户权限:
根据已有的角色组-权限映射关系去CMDB(Configuration ManagementDatabase,配置管理数据库)中查询当前用户对目标系统的操作权限结果,如下表3所示:
表3 CMDB查询结果
目标系统 | CMDB查询用户对目标系统权限 |
核心业务系统A | 有权限 |
重要业务系统B | 无权限 |
运维支撑系统C | 有权限 |
二、系统-操作联合信任约束判定。
Ⅰ.对核心业务系统A进行系统日志查看操作。
根据系统-等级-信任度阈值区间划分表,对核心业务系统操作所须的信任度阈值为(0.9,1],根据操作-等级-信任度阈值区间划分表,查看系统日志操作要求的信任度阈值为(0.8,1]。所以如果要执行此请求,则要求用户信任度TTotal(User)同时满足TTotal(User)>0.9&&TTotal(User)>0.8。
Ⅱ.对重要业务系统B进行数据库插入操作。
根据CMDB中的查询结果,表明当前用户不具备对重要业务系统B的操作权限,所以操作请求被直接拦截,无需继续进行后续的权限校验步骤。
Ⅲ.对运维支撑系统C进行应用节点隔离操作。
根据系统-等级-信任度阈值区间划分表,对运维支撑系统C操作所须的信任度阈值为[0.65,1],根据操作-等级-信任度阈值区间划分表,应用节点隔离操作要求的信任度阈值为[0.75,1]。所以如果要执行此请求,则要求用户信任度满足TTotal(User)>0.65&&TTotal(User)≥0.75。
三、权限综合判定。
除去一个请求在CMDB查询权限结果未通过,操作请求被拦截外,剩下的两个操作请求都进入本步骤。
Ⅰ.对核心业务系统A进行系统日志查看操作。
根据第二步系统-操作联合信任约束判定结果,此运维操作要求用户信任度满足TTotal(User)>0.9&&TTotal(User)>0.8。显然在TTotal(User)=0.88时不满足此联合约束,操作请求被拦截。
Ⅱ.对运维支撑系统C进行应用节点隔离操作。
根据第二步系统-操作联合信任约束判定结果,执行此请求,要求用户信任度满足TTotal(User)>0.65&&TTotal(User)≥0.75,在TTotal(User)=0.88时满足此联合约束,权限校验通过。
综上对于用户发起的3个请求:①对核心业务系统A进行系统日志查看操作,权限校验不通过,拦截请求;②对重要业务系统B进行数据库插入操作,权限校验不通过,拦截请求;③对外围应用系统C进行应用节点隔离操作,权限校验通过,执行该请求。全部3个请求的权限校验过程和最终结果如下表4所示:
表4权限判定结果
实施例5:
图6为本发明实施例提供的权限控制装置结构示意图,该装置包括:
第一确定模块61,用于获取登录系统的用户的特征信息,根据所述用户的特征信息确定所述用户的信任度评价值;
第二确定模块62,用于获取用户的操作请求信息中携带的目标操作对象信息和目标操作类型信息,并确定所述目标操作对象信息对应的第一权限阈值和所述目标操作类型信息对应的第二权限阈值;
权限控制模块63,用于若所述信任度评价值分别大于所述第一权限阈值和所述第二权限阈值,执行所述操作请求信息,否则不执行所述操作请求信息。
所述第一确定模块61,具体用于获取登录系统的用户的第一IP地址信息、第一地理位置信息、第一登录时间信息和操作拦截率信息;根据所述第一IP地址信息、第一地理位置信息、第一登录时间信息分别与预先统计的第二IP地址信息、第二地理位置信息、第二登录时间信息的相似性,确定所述第一IP地址信息、第一地理位置信息、第一登录时间信息分别对应的特征值;根据所述第一IP地址信息、第一地理位置信息、第一登录时间信息分别对应的特征值和所述操作拦截率信息确定所述用户的信任度评价值。
所述第一确定模块61,具体用于根据所述第一IP地址信息、第一地理位置信息、第一登录时间信息分别对应的特征值和所述操作拦截率信息,以及预设的IP地址信息、地理位置信息、登录时间信息和所述操作拦截率信息分别对应的权重值,确定所述用户的信任度评价值。
所述第一确定模块61,具体用于获取当前时间段登录系统的用户的第一特征信息,根据所述用户的第一特征信息确定所述用户的当前信任度评价值;获取并根据历史的每个时间段登录系统的所述用户的第二特征信息,确定每个子历史信任度评价值;根据所述每个子历史信任度评价值确定所述用户的历史信任度评价值;根据所述用户的当前信任度评价值和所述历史信任度评价值,确定所述用户的信任度评价值。
所述第一确定模块61,具体用于通过滑动窗口的方式确定历史的每个时间段,并获取所述历史的每个时间段登录系统的所述用户的第二特征信息。
所述第一确定模块61,具体用于根据所述用户的当前信任度评价值和所述历史信任度评价值,以及预设的当前信任度评价值和历史信任度评价值分别对应的权重值,确定所述用户的信任度评价值。
所述第一确定模块61,具体用于确定所述每个子历史信任度评价值分别对应的权重值,根据所述每个子历史信任度评价值和分别对应的权重值确定所述用户的历史信任度评价值;其中,距离当前时间段近的历史时间段确定出的子历史信任度评价值对应的权重值大于距离当前时间段远的历史时间段确定出的子历史信任度评价值对应的权重值。
所述第一确定模块61,具体用于基于牛顿冷却定律确定所述每个子历史信任度评价值分别对应的权重值。
所述装置还包括:
第一判断模块64,用于获取并根据登录系统的用户的身份标识信息、用户的操作请求信息中携带的目标操作对象信息和目标操作类型信息、以及预先建立的角色组权限规则,初步判断所述用户是否具备操作权限,如果判断结果为是,触发所述第一确定模块,进行获取登录系统的用户的特征信息,根据所述用户的特征信息确定所述用户的信任度评价值的步骤;如果判断结果为否,不执行所述操作请求信息。
所述装置还包括:
第二判断模块65,用于判断是否接收到管理员发送的对所述用户的授权指示信息,如果否,不执行所述操作请求信息,如果是,执行所述操作请求信息。
实施例6:
在上述各实施例的基础上,本发明实施例中还提供了一种电子设备,如图7所示,包括:处理器301、通信接口302、存储器303和通信总线304,其中,处理器301,通信接口302,存储器303通过通信总线304完成相互间的通信;
所述存储器303中存储有计算机程序,当所述程序被所述处理器301执行时,使得所述处理器301执行如下步骤:
获取登录系统的用户的特征信息,根据所述用户的特征信息确定所述用户的信任度评价值;
获取用户的操作请求信息中携带的目标操作对象信息和目标操作类型信息,并确定所述目标操作对象信息对应的第一权限阈值和所述目标操作类型信息对应的第二权限阈值;
若所述信任度评价值分别大于所述第一权限阈值和所述第二权限阈值,执行所述操作请求信息,否则不执行所述操作请求信息。
基于同一发明构思,本发明实施例中还提供了一种电子设备,由于上述电子设备解决问题的原理与权限控制方法相似,因此上述电子设备的实施可以参见方法的实施,重复之处不再赘述。
本发明实施例提供的电子设备具体可以为桌面计算机、便携式计算机、智能手机、平板电脑、个人数字助理(Personal Digital Assistant,PDA)、网络侧设备等。
上述电子设备提到的通信总线可以是外设部件互连标准(Peripheral ComponentInterconnect,PCI)总线或扩展工业标准结构(Extended Industry StandardArchitecture,EISA)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
通信接口302用于上述电子设备与其他设备之间的通信。
存储器可以包括随机存取存储器(Random Access Memory,RAM),也可以包括非易失性存储器(Non-Volatile Memory,NVM),例如至少一个磁盘存储器。可选地,存储器还可以是至少一个位于远离前述处理器的存储装置。
上述处理器可以是通用处理器,包括中央处理器、网络处理器(NetworkProcessor,NP)等;还可以是数字信号处理器(Digital Signal Processing,DSP)、专用集成电路、现场可编程门陈列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。
在本发明实施例中处理器执行存储器上所存放的程序时,实现获取登录系统的用户的特征信息,根据所述用户的特征信息确定所述用户的信任度评价值;获取用户的操作请求信息中携带的目标操作对象信息和目标操作类型信息,并确定所述目标操作对象信息对应的第一权限阈值和所述目标操作类型信息对应的第二权限阈值;若所述信任度评价值分别大于所述第一权限阈值和所述第二权限阈值,执行所述操作请求信息,否则不执行所述操作请求信息。
本发明实施例中,用户登录系统之后,获取用户的特征信息,并根据用户的特征信息确定所述用户的信任度评价值。并且接收到用户的操作请求之后,确定操作请求信息中携带的目标操作对象信息对应的第一权限阈值和目标操作类型信息对应的第二权限阈值。当信任度评价值分别大于第一权限阈值和第二权限阈值,执行操作请求信息,否则不执行操作请求信息。从而实现根据当前用户的操作行为进行评估,动态的进行权限控制。
实施例7:
在上述各实施例的基础上,本发明实施例还提供了一种计算机存储可读存储介质,所述计算机可读存储介质内存储有可由电子设备执行的计算机程序,当所述程序在所述电子设备上运行时,使得所述电子设备执行时实现如下步骤:
获取登录系统的用户的特征信息,根据所述用户的特征信息确定所述用户的信任度评价值;
获取用户的操作请求信息中携带的目标操作对象信息和目标操作类型信息,并确定所述目标操作对象信息对应的第一权限阈值和所述目标操作类型信息对应的第二权限阈值;
若所述信任度评价值分别大于所述第一权限阈值和所述第二权限阈值,执行所述操作请求信息,否则不执行所述操作请求信息。
基于同一发明构思,本发明实施例中还提供了一种计算机可读存储介质,由于处理器在执行上述计算机可读存储介质上存储的计算机程序时解决问题的原理与权限控制方法相似,因此处理器在执行上述计算机可读存储介质存储的计算机程序的实施可以参见方法的实施,重复之处不再赘述。
上述计算机可读存储介质可以是电子设备中的处理器能够存取的任何可用介质或数据存储设备,包括但不限于磁性存储器如软盘、硬盘、磁带、磁光盘(MO)等、光学存储器如CD、DVD、BD、HVD等、以及半导体存储器如ROM、EPROM、EEPROM、非易失性存储器(NANDFLASH)、固态硬盘(SSD)等。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (20)
1.一种权限控制方法,其特征在于,所述方法包括:
获取登录系统的用户的特征信息,根据所述用户的特征信息确定所述用户的信任度评价值;
获取用户的操作请求信息中携带的目标操作对象信息和目标操作类型信息,并确定所述目标操作对象信息对应的第一权限阈值和所述目标操作类型信息对应的第二权限阈值;
若所述信任度评价值分别大于所述第一权限阈值和所述第二权限阈值,执行所述操作请求信息,否则不执行所述操作请求信息;
所述获取登录系统的用户的特征信息,根据所述用户的特征信息确定所述用户的信任度评价值包括:
获取登录系统的用户的第一IP地址信息、第一地理位置信息、第一登录时间信息和操作拦截率信息;
根据所述第一IP地址信息、第一地理位置信息、第一登录时间信息分别与预先统计的第二IP地址信息、第二地理位置信息、第二登录时间信息的相似性,确定所述第一IP地址信息、第一地理位置信息、第一登录时间信息分别对应的特征值;其中,预先统计的用户的第二IP地址信息、第二地理位置信息、第二登录时间信息为根据用户的历史登录信息统计出的用户最常用的第二IP地址信息、第二地理位置信息、第二登录时间信息;其中,地理位置信息越近,相似性越高,特征值越高;时间信息越近,相似性越高,特征值越高;IP地址信息中网络号码相同的相似性高,特征值高;
根据所述第一IP地址信息、第一地理位置信息、第一登录时间信息分别对应的特征值和所述操作拦截率信息确定所述用户的信任度评价值。
2.如权利要求1所述的方法,其特征在于,所述根据所述第一IP地址信息、第一地理位置信息、第一登录时间信息分别对应的特征值和所述操作拦截率信息确定所述用户的信任度评价值包括:
根据所述第一IP地址信息、第一地理位置信息、第一登录时间信息分别对应的特征值和所述操作拦截率信息,以及预设的IP地址信息、地理位置信息、登录时间信息和所述操作拦截率信息分别对应的权重值,确定所述用户的信任度评价值。
3.如权利要求1所述的方法,其特征在于,所述获取登录系统的用户的特征信息,根据所述用户的特征信息确定所述用户的信任度评价值包括:
获取当前时间段登录系统的用户的第一特征信息,根据所述用户的第一特征信息确定所述用户的当前信任度评价值;
获取并根据历史的每个时间段登录系统的所述用户的第二特征信息,确定每个子历史信任度评价值;根据所述每个子历史信任度评价值确定所述用户的历史信任度评价值;
根据所述用户的当前信任度评价值和所述历史信任度评价值,确定所述用户的信任度评价值。
4.如权利要求3所述的方法,其特征在于,获取历史的每个时间段登录系统的所述用户的第二特征信息包括:
通过滑动窗口的方式确定历史的每个时间段,并获取所述历史的每个时间段登录系统的所述用户的第二特征信息。
5.如权利要求3所述的方法,其特征在于,所述根据所述用户的当前信任度评价值和所述历史信任度评价值,确定所述用户的信任度评价值包括:
根据所述用户的当前信任度评价值和所述历史信任度评价值,以及预设的当前信任度评价值和历史信任度评价值分别对应的权重值,确定所述用户的信任度评价值。
6.如权利要求3所述的方法,其特征在于,所述根据所述每个子历史信任度评价值确定所述用户的历史信任度评价值包括:
确定所述每个子历史信任度评价值分别对应的权重值,根据所述每个子历史信任度评价值和分别对应的权重值确定所述用户的历史信任度评价值;其中,距离当前时间段近的历史时间段确定出的子历史信任度评价值对应的权重值大于距离当前时间段远的历史时间段确定出的子历史信任度评价值对应的权重值。
7.如权利要求6所述的方法,其特征在于,所述确定所述每个子历史信任度评价值分别对应的权重值包括:
基于牛顿冷却定律确定所述每个子历史信任度评价值分别对应的权重值。
8.如权利要求1所述的方法,其特征在于,所述获取登录系统的用户的特征信息,根据所述用户的特征信息确定所述用户的信任度评价值之前,所述方法还包括:
获取并根据登录系统的用户的身份标识信息、用户的操作请求信息中携带的目标操作对象信息和目标操作类型信息、以及预先建立的角色组权限规则,初步判断所述用户是否具备操作权限,如果是,进行获取登录系统的用户的特征信息,根据所述用户的特征信息确定所述用户的信任度评价值的步骤;如果否,不执行所述操作请求信息。
9.如权利要求1所述的方法,其特征在于,若所述信任度评价值不大于所述第一权限阈值或不大于所述第二权限阈值,不执行所述操作请求信息之前,所述方法还包括:
判断是否接收到管理员发送的对所述用户的授权指示信息,如果否,不执行所述操作请求信息,如果是,执行所述操作请求信息。
10.一种权限控制装置,其特征在于,所述装置包括:
第一确定模块,用于获取登录系统的用户的特征信息,根据所述用户的特征信息确定所述用户的信任度评价值;
第二确定模块,用于获取用户的操作请求信息中携带的目标操作对象信息和目标操作类型信息,并确定所述目标操作对象信息对应的第一权限阈值和所述目标操作类型信息对应的第二权限阈值;
权限控制模块,用于若所述信任度评价值分别大于所述第一权限阈值和所述第二权限阈值,执行所述操作请求信息,否则不执行所述操作请求信息;
所述第一确定模块,具体用于获取登录系统的用户的第一IP地址信息、第一地理位置信息、第一登录时间信息和操作拦截率信息;根据所述第一IP地址信息、第一地理位置信息、第一登录时间信息分别与预先统计的第二IP地址信息、第二地理位置信息、第二登录时间信息的相似性,确定所述第一IP地址信息、第一地理位置信息、第一登录时间信息分别对应的特征值;根据所述第一IP地址信息、第一地理位置信息、第一登录时间信息分别对应的特征值和所述操作拦截率信息确定所述用户的信任度评价值;其中,预先统计的用户的第二IP地址信息、第二地理位置信息、第二登录时间信息为根据用户的历史登录信息统计出的用户最常用的第二IP地址信息、第二地理位置信息、第二登录时间信息;其中,地理位置信息越近,相似性越高,特征值越高;时间信息越近,相似性越高,特征值越高;IP地址信息中网络号码相同的相似性高,特征值高。
11.如权利要求10所述的装置,其特征在于,所述第一确定模块,具体用于根据所述第一IP地址信息、第一地理位置信息、第一登录时间信息分别对应的特征值和所述操作拦截率信息,以及预设的IP地址信息、地理位置信息、登录时间信息和所述操作拦截率信息分别对应的权重值,确定所述用户的信任度评价值。
12.如权利要求10所述的装置,其特征在于,所述第一确定模块,具体用于获取当前时间段登录系统的用户的第一特征信息,根据所述用户的第一特征信息确定所述用户的当前信任度评价值;获取并根据历史的每个时间段登录系统的所述用户的第二特征信息,确定每个子历史信任度评价值;根据所述每个子历史信任度评价值确定所述用户的历史信任度评价值;根据所述用户的当前信任度评价值和所述历史信任度评价值,确定所述用户的信任度评价值。
13.如权利要求12所述的装置,其特征在于,所述第一确定模块,具体用于通过滑动窗口的方式确定历史的每个时间段,并获取所述历史的每个时间段登录系统的所述用户的第二特征信息。
14.如权利要求12所述的装置,其特征在于,所述第一确定模块,具体用于根据所述用户的当前信任度评价值和所述历史信任度评价值,以及预设的当前信任度评价值和历史信任度评价值分别对应的权重值,确定所述用户的信任度评价值。
15.如权利要求12所述的装置,其特征在于,所述第一确定模块,具体用于确定所述每个子历史信任度评价值分别对应的权重值,根据所述每个子历史信任度评价值和分别对应的权重值确定所述用户的历史信任度评价值;其中,距离当前时间段近的历史时间段确定出的子历史信任度评价值对应的权重值大于距离当前时间段远的历史时间段确定出的子历史信任度评价值对应的权重值。
16.如权利要求15所述的装置,其特征在于,所述第一确定模块,具体用于基于牛顿冷却定律确定所述每个子历史信任度评价值分别对应的权重值。
17.如权利要求10所述的装置,其特征在于,所述装置还包括:
第一判断模块,用于获取并根据登录系统的用户的身份标识信息、用户的操作请求信息中携带的目标操作对象信息和目标操作类型信息、以及预先建立的角色组权限规则,初步判断所述用户是否具备操作权限,如果判断结果为是,触发所述第一确定模块,进行获取登录系统的用户的特征信息,根据所述用户的特征信息确定所述用户的信任度评价值的步骤;如果判断结果为否,不执行所述操作请求信息。
18.如权利要求10所述的装置,其特征在于,所述装置还包括:
第二判断模块,用于判断是否接收到管理员发送的对所述用户的授权指示信息,如果否,不执行所述操作请求信息,如果是,执行所述操作请求信息。
19.一种电子设备,其特征在于,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现权利要求1-9任一项所述的方法步骤。
20.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现权利要求1-9任一项所述的方法步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111268693.9A CN114039755B (zh) | 2021-10-29 | 2021-10-29 | 一种权限控制方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111268693.9A CN114039755B (zh) | 2021-10-29 | 2021-10-29 | 一种权限控制方法、装置、电子设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114039755A CN114039755A (zh) | 2022-02-11 |
CN114039755B true CN114039755B (zh) | 2024-03-22 |
Family
ID=80135755
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111268693.9A Active CN114039755B (zh) | 2021-10-29 | 2021-10-29 | 一种权限控制方法、装置、电子设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114039755B (zh) |
Citations (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105528535A (zh) * | 2015-12-25 | 2016-04-27 | 北京奇虎科技有限公司 | 基于行为日志信息的用户行为分析方法及装置 |
CN106973031A (zh) * | 2016-01-13 | 2017-07-21 | 电信科学技术研究院 | 一种资源访问控制方法、装置及系统 |
CN108287987A (zh) * | 2017-12-20 | 2018-07-17 | 杭州云屏科技有限公司 | 数据管理方法、装置、设备及可读存储介质 |
CN111083142A (zh) * | 2019-12-17 | 2020-04-28 | 杭州海康威视数字技术股份有限公司 | 应用于物联网的数据访问方法及系统、设备 |
CN111091287A (zh) * | 2019-12-13 | 2020-05-01 | 南京三百云信息科技有限公司 | 风险对象识别方法、装置以及计算机设备 |
CN112055029A (zh) * | 2020-09-16 | 2020-12-08 | 全球能源互联网研究院有限公司 | 零信任电力物联网设备和用户实时信任度评估方法 |
CN112134848A (zh) * | 2020-08-27 | 2020-12-25 | 中央广播电视总台 | 融合媒体云自适应访问控制方法、装置、终端及介质 |
CN112511520A (zh) * | 2020-11-23 | 2021-03-16 | 国网山东省电力公司电力科学研究院 | 一种电力行业网络安全管理系统及方法 |
CN112995998A (zh) * | 2020-11-30 | 2021-06-18 | 中国银联股份有限公司 | 提供安全认证机制的方法、计算机系统和计算机可读介质 |
WO2021147652A1 (zh) * | 2020-01-21 | 2021-07-29 | 华为技术有限公司 | 一种权限管理的方法及装置 |
CN113411297A (zh) * | 2021-05-07 | 2021-09-17 | 上海纽盾科技股份有限公司 | 基于属性访问控制的态势感知防御方法及系统 |
CN113468394A (zh) * | 2021-07-06 | 2021-10-01 | 北京有竹居网络技术有限公司 | 一种数据处理方法、装置、电子设备及存储介质 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102843236B (zh) * | 2012-09-12 | 2014-12-10 | 飞天诚信科技股份有限公司 | 一种动态口令的生成及认证方法与系统 |
US10325116B2 (en) * | 2017-06-30 | 2019-06-18 | Vmware, Inc. | Dynamic privilege management in a computer system |
-
2021
- 2021-10-29 CN CN202111268693.9A patent/CN114039755B/zh active Active
Patent Citations (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105528535A (zh) * | 2015-12-25 | 2016-04-27 | 北京奇虎科技有限公司 | 基于行为日志信息的用户行为分析方法及装置 |
CN106973031A (zh) * | 2016-01-13 | 2017-07-21 | 电信科学技术研究院 | 一种资源访问控制方法、装置及系统 |
CN108287987A (zh) * | 2017-12-20 | 2018-07-17 | 杭州云屏科技有限公司 | 数据管理方法、装置、设备及可读存储介质 |
CN111091287A (zh) * | 2019-12-13 | 2020-05-01 | 南京三百云信息科技有限公司 | 风险对象识别方法、装置以及计算机设备 |
CN111083142A (zh) * | 2019-12-17 | 2020-04-28 | 杭州海康威视数字技术股份有限公司 | 应用于物联网的数据访问方法及系统、设备 |
CN111193754A (zh) * | 2019-12-17 | 2020-05-22 | 杭州海康威视数字技术股份有限公司 | 应用于物联网的数据访问方法及系统、设备 |
WO2021147652A1 (zh) * | 2020-01-21 | 2021-07-29 | 华为技术有限公司 | 一种权限管理的方法及装置 |
CN112134848A (zh) * | 2020-08-27 | 2020-12-25 | 中央广播电视总台 | 融合媒体云自适应访问控制方法、装置、终端及介质 |
CN112055029A (zh) * | 2020-09-16 | 2020-12-08 | 全球能源互联网研究院有限公司 | 零信任电力物联网设备和用户实时信任度评估方法 |
CN112511520A (zh) * | 2020-11-23 | 2021-03-16 | 国网山东省电力公司电力科学研究院 | 一种电力行业网络安全管理系统及方法 |
CN112995998A (zh) * | 2020-11-30 | 2021-06-18 | 中国银联股份有限公司 | 提供安全认证机制的方法、计算机系统和计算机可读介质 |
CN113411297A (zh) * | 2021-05-07 | 2021-09-17 | 上海纽盾科技股份有限公司 | 基于属性访问控制的态势感知防御方法及系统 |
CN113468394A (zh) * | 2021-07-06 | 2021-10-01 | 北京有竹居网络技术有限公司 | 一种数据处理方法、装置、电子设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN114039755A (zh) | 2022-02-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10679132B2 (en) | Application recommending method and apparatus | |
CN110826071B (zh) | 软件漏洞风险预测方法、装置、设备及存储介质 | |
CN101794359B (zh) | 用于启用用于遗留应用的经群体测试的安全特征的方法和系统 | |
WO2017054504A1 (zh) | 一种身份验证方法、装置及存储介质 | |
US20150032504A1 (en) | Influence scores for social media profiles | |
US10333918B2 (en) | Automated system identification, authentication, and provisioning | |
US9292341B2 (en) | RPC acceleration based on previously memorized flows | |
US10146872B2 (en) | Method and system for predicting search results quality in vertical ranking | |
US20190089731A1 (en) | Abuser detection | |
US20190141068A1 (en) | Online service abuser detection | |
CN112835885B (zh) | 一种分布式表格存储的处理方法、装置及系统 | |
CN117076330B (zh) | 一种访存验证方法、系统、电子设备及可读存储介质 | |
CN114039755B (zh) | 一种权限控制方法、装置、电子设备及存储介质 | |
US9560027B1 (en) | User authentication | |
TWI814556B (zh) | 一種模型保護方法、資料處理方法、裝置、設備及介質 | |
CN116701191A (zh) | 量化回测的优化方法、装置、设备、存储介质及程序产品 | |
US20170161858A1 (en) | Selective retention of forensic information | |
CN116011677A (zh) | 时序数据的预测方法、装置、电子设备及存储介质 | |
CN108632054B (zh) | 信息传播量的预测方法及装置 | |
CN109669977A (zh) | 跨数据库的数据接入方法、装置、计算机设备及存储介质 | |
CN114780807A (zh) | 业务检测方法、装置、计算机系统及可读存储介质 | |
CN110737649B (zh) | 一种数据库的事务日志的处理方法、设备以及存储介质 | |
CN110457393B (zh) | 信息共享方法及相关产品 | |
US10331652B2 (en) | Method and apparatus for determining hot page in database | |
TW201942746A (zh) | 電腦裝置及其測試推算方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |