CN115296901B - 基于人工智能的权限管理方法及相关设备 - Google Patents

基于人工智能的权限管理方法及相关设备 Download PDF

Info

Publication number
CN115296901B
CN115296901B CN202210927929.3A CN202210927929A CN115296901B CN 115296901 B CN115296901 B CN 115296901B CN 202210927929 A CN202210927929 A CN 202210927929A CN 115296901 B CN115296901 B CN 115296901B
Authority
CN
China
Prior art keywords
user
identified
key value
authority
preset
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210927929.3A
Other languages
English (en)
Other versions
CN115296901A (zh
Inventor
侯明明
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ping An Property and Casualty Insurance Company of China Ltd
Original Assignee
Ping An Property and Casualty Insurance Company of China Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ping An Property and Casualty Insurance Company of China Ltd filed Critical Ping An Property and Casualty Insurance Company of China Ltd
Priority to CN202210927929.3A priority Critical patent/CN115296901B/zh
Publication of CN115296901A publication Critical patent/CN115296901A/zh
Application granted granted Critical
Publication of CN115296901B publication Critical patent/CN115296901B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/16Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using machine learning or artificial intelligence
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Databases & Information Systems (AREA)
  • Software Systems (AREA)
  • Medical Informatics (AREA)
  • Evolutionary Computation (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Artificial Intelligence (AREA)
  • Storage Device Security (AREA)

Abstract

本申请提出一种基于人工智能的权限管理方法、装置、电子设备及存储介质,基于人工智能的权限管理方法包括:对每个用户的用户登录数据进行加密以构建每个用户对应的用户令牌;依据每个用户的用户名称与预设的角色权限列表构建每个用户对应的权限键值对;依据权限键值对构建鉴权队列;从待识别用户请求中查询待识别用户令牌与待识别用户需求,并从待识别用户令牌中查询待识别用户名称;从鉴权队列中查询与待识别用户名称对应的备选键值对;依据备选键值对与待识别用户需求对待识别用户请求进行权限鉴定以获得鉴权结果。该方法可以通过不断调整权限键值对优先级的方式确保权限管理的效率,从而能够通保障权限管理的效率。

Description

基于人工智能的权限管理方法及相关设备
技术领域
本申请涉及人工智能技术领域,尤其涉及一种基于人工智能的权限管理方法、装置、电子设备及存储介质。
背景技术
随着信息科技的发展,企业依托于互联网的业务越来越多样化,这些多样化的业务在运营的过程中通常面临着复杂的权限管理需求,以确保企业数据和用户数据的安全。
目前,企业通常使用RBAC模式来设计数据的权限管理模式,然而这样的权限管理方式一经制定则无法灵活变更,需要运维人员从代码底层对权限管理模型进行更新,而无法允许业务人员灵活配置权限,因此导致权限管理效率低下。
发明内容
鉴于以上内容,有必要提供一种基于人工智能的权限管理方法及相关设备,以解决如何提高权限管理的效率这一技术问题,其中,相关设备包括基于人工智能的权限管理装置、电子设备及存储介质。
本申请实施例提供一种基于人工智能的权限管理方法,所述方法包括:
依据预设的加密算法对每个用户在预设服务器中的用户登录数据进行加密以构建每个用户对应的用户令牌;
依据每个所述用户的用户名称与预设的角色权限列表构建每个所述用户对应的权限键值对;
依据所述权限键值对构建鉴权队列,所述鉴权队列用以在用户登录过程中鉴别用户权限;
从待识别用户请求中查询待识别用户令牌与待识别用户需求,并从所述待识别用户令牌中查询待识别用户名称;
从所述鉴权队列中查询与所述待识别用户名称对应的备选键值对;
依据所述备选键值对与所述待识别用户需求对所述待识别用户请求进行权限鉴定以获得鉴权结果。
在一些实施例中,所述依据预设的加密算法对每个用户的用户登录数据进行加密以构建每个用户对应的用户令牌,包括:
从预设服务器的历史访问请求中获取用户登录数据,所述用户登录数据至少包括用户名称和用户密码;
将预设的加密算法的名称作为令牌头字符串;
组合所述令牌头字符串与所述用户登录数据获得待签名字符串,依据所述预设的加密算法对所述待签名字符串进行加密获得用户签名;
将所述令牌头字符串、所述用户登录数据和所述用户签名封装为用户令牌,并将所述用户令牌返还给所述用户以完成用户注册。
在一些实施例中,所述依据每个所述用户的用户名称与预设的角色权限列表构建每个所述用户对应的权限键值对,包括:
依据预设的用户角色名单查询每个所述用户的用户名称在所述预设服务器中对应的角色;
依据所述预设的角色权限列表查询每个所述角色对应的用户权限;
基于所述用户名称、所述角色和所述用户权限构建权限键值对。
在一些实施例中,所述依据所述权限键值对构建鉴权队列,包括:
依据预设的划分阈值从所述预设服务器的内存空间划分缓存空间,所述缓存空间用以缓存多个权限键值对;
查询每个所述用户在预设的时间范围内登陆所述预设服务器的次数,并查询每个所述用户最近一次登陆所述预设服务器的时刻,依据所述次数和所述时刻计算每个权限键值对的优先级;
依据所述优先级从高到低的顺序排列所述权限键值对,并将排列后的所述权限键值对存储于所述缓存空间中以作为鉴权队列。
在一些实施例中,所述待识别用户请求包括待识别令牌和待识别用户需求,所述待识别令牌包括待识别令牌头字符串、待识别用户数据和待识别签名,所述从待识别用户请求中查询待识别用户令牌与待识别用户需求,并从所述待识别用户令牌中查询待识别用户名称,包括:
利用所述待识别令牌头字符串记载的加密算法对所述待识别用户数据和待识别令牌头字符串进行加密获得验证签名;
若所述待识别签名与所述验证签名相同,则从所述待识别用户数据中查询待识别用户名称;
若所述待识别签名与所述验证签名不同,则向所述预设服务器发送非法篡改告警。
在一些实施例中,所述从所述鉴权队列中查询与所述待识别用户名称对应的备选键值对,包括:
从头遍历所述鉴权队列中的每个所述权限键值对,对比每次遍历到的所述权限键值对中的主键和所述待识别用户名称;
若所述主键与所述待识别用户名称相同,则将所述权限键值对作为备选键值对,直到遍历完所述鉴权队列中所有的权限键值对则停止遍历;
记录每个所述备选键值对在所述预设的时间范围内被调用的次数和时间差以更新每个所述备选键值对的优先级,并根据更新后的优先级更新鉴权队列;
若遍历完所述鉴权队列中所有的权限键值对仍未查询到备选键值对,则依据所述待识别用户请求对待识别用户进行注册。
在一些实施例中,所述依据所述备选键值对与所述待识别用户需求对所述待识别用户请求进行权限鉴定以获得鉴权结果,包括:
依据预设的需求分类模型对所述待识别用户需求进行分类处理,以获得所述待识别用户需求对应的需求权限;
根据所述待识别用户需求确定待识别用户角色;
依据所述待识别用户角色从所述备选键值对中查询目标用户权限;
若所述需求权限不高于所述目标用户权限,则放行所述待识别用户请求,若所述需求权限高于所述用户权限,则拒绝所述待识别用户请求。
本申请实施例还提供一种基于人工智能的权限管理装置,所述装置包括:
注册单元,用于依据预设的加密算法对每个用户在预设服务器中的用户登录数据进行加密以构建每个用户对应的用户令牌;
第一构建单元,用于依据每个所述用户的用户名称与预设的角色权限列表构建每个所述用户对应的权限键值对;
第二构建单元,用于依据所述权限键值对构建鉴权队列,所述鉴权队列用以在用户登录过程中鉴别用户权限;
第一查询单元,用于从待识别用户请求中查询待识别用户令牌与待识别用户需求,并从所述待识别用户令牌中查询待识别用户名称;
第二查询单元,用于从所述鉴权队列中查询与所述待识别用户名称对应的备选键值对;
鉴权单元,用于依据所述备选键值对与所述待识别用户需求对所述待识别用户请求进行权限鉴定以获得鉴权结果。
本申请实施例还提供一种电子设备,所述电子设备包括:
存储器,存储计算机可读指令;及
处理器,执行所述存储器中存储的计算机可读指令以实现所述基于人工智能的权限管理方法。
本申请实施例还提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机可读指令,所述计算机可读指令被电子设备中的处理器执行以实现所述基于人工智能的权限管理方法。
上述基于人工智能的权限管理方法通过构建每个用户对应的用户令牌以进行用户注册,通过预设的角色权限列表为用户分配角色和权限以构建每个用户的权限键值对,并将权限键值对排列之后存储于缓存中获得鉴权队列,以实现用户登录过程中的快速鉴权,并通过不断调整权限键值对优先级的方式确保权限管理的效率。
附图说明
图1是本申请所涉及的一种基于人工智能的权限管理方法的较佳实施例的流程图。
图2是本申请所涉及的基于人工智能的权限管理装置的较佳实施例的功能模块图。
图3是本申请所涉及的基于人工智能的权限管理方法的较佳实施例的电子设备的结构示意图。
图4是本申请实施例所涉及的用户令牌的结构示意图。
图5是本申请实施例所涉及的权限键值对的结构示意图,。
具体实施方式
为了能够更清楚地理解本申请的目的、特征和优点,下面结合附图和具体实施例对本申请进行详细描述。需要说明的是,在不冲突的情况下,本申请的实施例及实施例中的特征可以相互结合。在下面的描述中阐述了很多具体细节以便于充分理解本申请,所述描述的实施例仅是本申请一部分实施例,而不是全部的实施例。
此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个所述特征。在本申请的描述中,“多个”的含义是两个或两个以上,除非另有明确具体的限定。
除非另有定义,本文所使用的所有的技术和科学术语与属于本申请的技术领域的技术人员通常理解的含义相同。本文中在本申请的说明书中所使用的术语只是为了描述具体的实施例的目的,不是旨在于限制本申请。本文所使用的术语“和/或”包括一个或多个相关的所列项目的任意的和所有的组合。
本申请实施例提供一种基于人工智能的权限管理方法,可应用于一个或者多个电子设备中,所述电子设备是一种能够按照事先设定或存储的指令,自动进行数值计算和/或信息处理的设备,其硬件包括但不限于微处理器、专用集成电路(Application SpecificIntegrated Circuit,ASIC)、可编程门阵列(Field-Programmable Gate Array,FPGA)、数字处理器(Digital Signal Processor,DSP)、嵌入式设备等。
所述电子设备可以是任何一种可与用户进行人机交互的电子产品,例如,个人计算机、平板电脑、智能手机、个人数字助理(Personal Digital Assistant,PDA)、游戏机、交互式网络电视(Internet Protocol Television,IPTV)、智能式穿戴式设备等。
所述电子设备还可以包括网络设备和/或用户设备。其中,所述网络设备包括,但不限于单个网络服务器、多个网络服务器组成的服务器组或基于云计算(CloudComputing)的由大量主机或网络服务器构成的云。
所述电子设备所处的网络包括但不限于互联网、广域网、城域网、局域网、虚拟专用网络(Virtual Private Network,VPN)等。
如图1所示,是本申请基于人工智能的权限管理方法的较佳实施例的流程图。根据不同的需求,该流程图中步骤的顺序可以改变,某些步骤可以省略。
S10,依据预设的加密算法对每个用户在预设服务器中的用户登录数据进行加密以构建每个用户对应的用户令牌。
在一个可选的实施例中,所述依据预设的加密算法对每个用户在预设服务器中的用户登录数据进行加密以构建每个用户对应的用户令牌,包括:
从预设服务器的历史访问请求中获取用户登录数据,所述用户登录数据至少包括用户名称和用户密码;
将预设的加密算法的名称作为令牌头字符串;
组合所述令牌头字符串与所述用户登录数据获得待签名字符串,依据所述预设的加密算法对所述待签名字符串进行加密获得用户签名;
将所述令牌头字符串、所述用户登录数据和所述用户签名封装为用户令牌,并将所述用户令牌返还给所述用户以完成用户注册。
该可选的实施例中,所述预设服务器用以存储资源并向用户提供程序接口服务,所述历史访问请求指用户向服务器提出的查询服务器资源的请求或调用服务器程序接口的请求,所述历史访问请求包括用户登录数据,所述用户登录数据至少包括用户名称和用户密码。
该可选的实施例中,为防止用户登录数据中的敏感信息泄露造成安全隐患,可依据预设的加密算法对所述用户登录数据进行加密处理以进行用户注册。
所述依据预设的加密算法对所述用户登录数据进行加密处理以进行用户注册包括:
将预设的加密算法的名称作为令牌头字符串,所述预设的加密算法可以是HS256算法或RS256算法,本申请对此不做限定。示例性的,当所述预设的加密算为RS256算法时,则所述令牌头为RS256;
将所述令牌头字符串与所述用户登录数据组合为待签名字符串,并依据所述预设的加密算法对所述待签名字符串进行加密获得用户签名;
依据预设的组合顺序组合所述令牌头字符串、所述用户登录数据和所述用户签名以获得每个所述用户对应的用户令牌,并将所述用户令牌返还给所述用户以完成用户注册,所述预设的组合顺序可以是“令牌头字符串+用户数据+用户签名”。
示例性的,如图4所示为所述用户令牌的结构示意图。
如此,根据历史访问请求生成用户令牌,并将用户令牌返还给用户以完成用户注册,无需将用户的敏感信息储存在服务器中,从而能够规避敏感信息泄露的风险,提升用户数据的安全性。
S11,依据每个所述用户的用户名称与预设的角色权限列表构建每个所述用户对应的权限键值对。
在一个可选的实施例中,所述依据每个所述用户的用户名称与预设的角色权限列表构建每个所述用户对应的权限键值对,包括:
依据预设的用户角色名单查询每个所述用户的用户名称在所述预设服务器中对应的角色;
依据所述预设的角色权限列表查询每个所述角色对应的用户权限;
基于所述用户名称、所述角色和所述用户权限构建权限键值对。
该可选的实施例中,所述预设的用户角色名单用以存储每个所述用户在所述服务器内对应的角色,每个所述用户可对应多个角色,每个角色具备不同的权限,所述角色至少包括查询者、修改者、管理者。
该可选的实施例中,可依据每个所述用户对应的角色从预设的角色权限列表中查询每个所述角色对应的权限,所述权限可以包括高等、中等、低等,还可以包括3级、2级、1级,本申请对此不做限定。
该可选的实施例中,可依据所述用户的名称、所述角色和所述权限构建权限键值对,所述权限键值对包括主键、辅键和值,所述主键为所述用户名称、所述辅键为所述用户对应的角色、所述值为所述角色对应的权限,如图5所示为所述权限键值对的结构示意图。
如此,根据预先设置好的用户角色权限信息设置每个用户的权限,能够根据角色的不同为每个用户设置多种权限,避免了对用户过度授权或授权不足的情况,提升了用户权限管理的灵活性。
S12,依据所述权限键值对构建鉴权队列,所述鉴权队列用以在用户登录过程中鉴别用户权限。
在一个可选的实施例中,所述依据所述权限键值对构建鉴权队列,包括:
依据预设的划分阈值从所述预设服务器的内存空间划分缓存空间,所述缓存空间用以缓存多个权限键值对;
查询每个所述用户在预设的时间范围内登陆所述预设服务器的次数,并查询每个所述用户最近一次登陆所述预设服务器的时刻,依据所述次数和所述时刻计算每个权限键值对的优先级;
依据所述优先级从高到低的顺序排列所述权限键值对,并将排列后的所述权限键值对存储于所述缓存空间中以作为鉴权队列。
该可选的实施例中,所述服务器的内存空间指所述服务器用以缓存数据的空间,所述预设的划分阈值可以是10%、20%、30%等,本申请对此不做限定,可计算所述预设的划分阈值与所述内存空间的总容量的乘积以作为所述缓存空间。
示例性的,当所述服务器的内存空间的总容量为128G,且所述预设的划分阈值为20%时,则所述缓存空间的容量为25.6G。
该可选的实施例中,所述预设的时间范围可以是8小时、24小时、30日、60日等,本申请对此不做限定,可记每个所述用户在预设的时间范围内登陆所述预设服务器的次数为Ni,j,其中,i代表用户的名称,j代表用户角色。
该可选的实施例中,可计算每个所述用户最近一次登陆所述预设服务器的时刻与当前时刻的时间差,可记所述时间差为Ti,j,其中,i代表用户的名称,j代表用户角色。
该可选的实施例中,可依据每个所述用户在预设的时间范围内登陆所述预设服务器的次数Ni,j与所述时间差Ti,j计算每个所述权限键值对的优先级,所述用户登录所述预设服务器的次数越频繁且所述用户最近一次登录所述预设服务器距今时间越短,则所述用户对应权限键值对的优先级越高,所述优先级的计算方式为:
Figure GDA0004256171160000061
其中,Si,j代表所述用户名称为i且所述用户角色为j的权限键值对的优先级;Ti,j代表所述时间差;Ni,j代表所述登陆的次数。
该可选的实施例中,可将所有权限键值对依据所述优先级由高到低的顺序存储于所述缓存空间获得鉴权队列。
如此,针对登录所述预设服务器较为频繁且上次登录时间距今较短的用户赋予较高的优先级,并将依据优先级由高到低的顺序将用户对应的权限键值对存储于缓存空间,在后续识别用户登录请求时无需访问预设服务器的存储空间,可直接从缓存空间中快速查询用户权限,能够提升用户权限识别的效率。
S13,从待识别用户请求中查询待识别用户令牌与待识别用户需求,并从所述待识别用户令牌中查询待识别用户名称。
在一个可选的实施例中,所述从待识别用户请求中查询待识别用户令牌与待识别用户需求,并从所述待识别用户令牌中查询待识别用户名称,包括:
利用所述待识别令牌头字符串记载的加密算法对待识别用户数据和待识别令牌头字符串进行加密获得验证签名;
若所述待识别签名与所述验证签名相同,则从所述待识别用户数据中查询待识别用户名称;
若所述待识别签名与所述验证签名不同,则向所述预设服务器发送非法篡改告警。
该可选的实施例中,所述待识别用户请求指所述预设服务器接收到的用户向所述预设服务器发送的使用资源或调用程序的请求,所述待识别用户请求包括待识别令牌和待识别用户需求,所述待识别令牌包括待识别令牌头字符串、待识别用户数据和待识别签名。所述待识别令牌头字符串用以记载所述预设的加密算法的名称,可利用所述待识别令牌头字符串中记载的加密算法对所述待识别令牌头字符串和待识别用户数据进行加密获得验证签名。
该可选的实施例中,若所述验证签名与所述待识别签名相同,则表明该待识别令牌中的各项信息未被篡改,则可从所述待识别用户数据中查询待识别用户名称。
该可选的实施例中,若所述验证签名与所述待识别签名不同,则表明所述待识别了令牌中的信息遭到了篡改且可能存在安全隐患,则拒绝所述待识别用户请求并向所述服务器发送非法篡改告警。
如此,在鉴别待识别用户请求之前先依据待识别令牌鉴别用户信息是否具备被篡改的风险,能够初步排查预设服务器面临的信息安全隐患,从而能够提升预设服务器权限管理的可靠性。
S14,从所述鉴权队列中查询与所述待识别用户名称对应的备选键值对。
在一个可选的实施例中,所述从所述鉴权队列中查询与所述待识别用户名称对应的备选键值对,包括:
从头遍历所述鉴权队列中的每个所述权限键值对,对比每次遍历到的所述权限键值对中的主键和所述待识别用户名称;
若所述主键与所述待识别用户名称相同,则将所述权限键值对作为备选键值对,直到遍历完所述鉴权队列中所有的权限键值对则停止遍历;
记录每个所述备选键值对在所述预设的时间范围内被调用的次数和时间差以更新每个所述备选键值对的优先级,并根据更新后的优先级更新鉴权队列;
若遍历完所述鉴权队列中所有的权限键值对仍未查询到备选键值对,则依据所述待识别用户请求对待识别用户进行注册。
该可选的实施例中,若依据所述主键查询到至少一个备选键值对,则表明所述待识别用户已被注册,则可记录每个所述备选键值对在所述预设的时间范围内被调用的次数,并可计算每个所述备选键值对最近一次被调用的时刻与当前时刻的时间差,依据所述次数与所述时间差重新计算所述备选键值对的优先级获得更新后的优先级,所述更新后的优先级的计算方式与步骤S12相同。
该可选的实施例中,可依据所述更新后的优先级重新对所述鉴权队列中的所有权限键值对进行排序以获取更新后的鉴权队列,所述更新后的鉴权队列的获取方式与步骤S12相同。
该可选的实施例中,若遍历完所述鉴权队列中的所有权限键值对仍未查找到与所述待识别用户名称对应的权限键值对,则表明所述待识别用户未被注册过,则可利用步骤S10中的方式依据所述待识别用户数据对所述待识别用户进行注册。
如此,从鉴权队列中筛选出与待识别用户名称对应的备选键值对,能够初步缩小待识别用户的鉴权范围,从而能够提升权限识别效率。
S15,依据所述备选键值对与所述待识别用户需求对所述待识别用户请求进行权限鉴定以获得鉴权结果。
在一个可选的实施例中,所述依据所述备选键值对与所述待识别用户需求对所述待识别用户请求进行权限鉴定以获得鉴权结果,包括:
依据预设的需求分类模型对所述待识别用户需求进行分类处理,以获得所述待识别用户需求对应的需求权限;
根据所述待识别用户需求确定待识别用户角色;
依据所述待识别用户角色从所述备选键值对中查询目标用户权限;
若所述需求权限不高于所述目标用户权限,则放行所述待识别用户请求,若所述需求权限高于所述用户权限,则拒绝所述待识别用户请求。
该可选的实施例中,所述预设的需求分类模型可以是XGBoost(Extreme GradientBoosting,极端梯度提升算法)、LightGBM(Light Gradient Boosted Machine,轻量梯度提升机)、GBDT(Gradient Boosting Decision Tree,梯度提升决策树)等现有的分类模型,本申请过对此不做限定。所述预设的需求分类模型的输入为所述待识别用户需求,所述预设的需求分类模型的输出为所述待识别用户需求对应的需求权限,所述需求权限包括低等、中等、高等。
示例性的,当所述用户需求为查询文件时,所述需求权限为低等权限;当所述用户需求为调用接口时,所述需求权限为低等权限;当所述用户需求为修改文件时,所述需求权限为中等权限。
该可选的实施例中,可依据所述待识别用户需求确定待识别用户角色,示例性的,当所述用户需求为查询文件或所述用户需求为调用接口时,所述待识别用户角色为查询者;当所述用户需求为修改文件或修改程序代码时,所述待识别用户角色为修改者;当所述用户需求为删除文件或删除程序时,所述待识别用户角色为管理者。
该可选的实施例中,可依次遍历所述备选键值对,若所述备选键值对中的辅键与所述待识别用户角色相同,则可将该备选键值对作为目标键值对,并将所述目标键值对中的值作为所述待识别用户对应的目标用户权限。
该可选的实施例中,所述权限的高低顺序为高等权限>中等权限>底等权限。
该可选的实施例中,若所述需求权限不高于所述用户权限,则表明所述待识别用户具备访问所述预设服务器中资源的权限,可放行所述待识别用户请求以完成权限鉴别。
该可选的实施例中,若所述需求权限高于所述用户权限,则表明所述待识别用户不具备访问所述预设服务器中资源的权限,可拒绝所述待识别用户请求。
如此,通过对待识别用户需求进行分类获得需求权限,并根据待识别用户需求确定用户角色,进一步利用所述用户角色从备选键值对中查找用户权限,进一步缩小了权限查询的范围,从而能够提升权限鉴别的准确性。
上述基于人工智能的权限管理方法通过构建每个用户对应的用户令牌以进行用户注册,通过预设的角色权限列表为用户分配角色和权限以构建每个用户的权限键值对,并将权限键值对排列之后存储于缓存中获得鉴权队列,以实现用户登录过程中的快速鉴权,并通过不断调整权限键值对优先级的方式确保权限管理的效率。
如图2所示,是本申请实施例提供的基于人工智能的权限管理装置的较佳实施例的功能模块图。基于人工智能的权限管理装置11包括注册单元110、第一构建单元111、第二构建单元112、第一查询单元113、第二查询单元114、鉴权单元115。本申请所称的模块/单元是指一种能够被处理器13所执行,并且能够完成固定功能的一系列计算机程序段,其存储在存储器12中。在本实施例中,关于各模块/单元的功能将在后续的实施例中详述。
在一个可选的实施例中,注册单元110用于依据预设的加密算法对每个用户在预设服务器中的用户登录数据进行加密以构建每个用户对应的用户令牌。
在一个可选的实施例中,所述依据预设的加密算法对每个用户的用户登录数据进行加密以构建每个用户对应的用户令牌,包括:
从预设服务器的历史访问请求中获取用户登录数据,所述用户登录数据至少包括用户名称和用户密码;
将预设的加密算法的名称作为令牌头字符串;
组合所述令牌头字符串与所述用户登录数据获得待签名字符串,依据所述预设的加密算法对所述待签名字符串进行加密获得用户签名;
将所述令牌头字符串、所述用户登录数据和所述用户签名封装为用户令牌,并将所述用户令牌返还给所述用户以完成用户注册。
该可选的实施例中,所述预设服务器用以存储资源并向用户提供程序接口服务,所述历史访问请求指用户向服务器提出的查询服务器资源的请求或调用服务器程序接口的请求,所述历史访问请求包括用户登录数据,所述用户登录数据至少包括用户名称和用户密码。
该可选的实施例中,为防止用户登录数据中的敏感信息泄露造成安全隐患,可依据预设的加密算法对所述用户登录数据进行加密处理以进行用户注册。
所述依据预设的加密算法对所述用户登录数据进行加密处理以进行用户注册包括:
将预设的加密算法的名称作为令牌头字符串,所述预设的加密算法可以是HS256算法或RS256算法,本申请对此不做限定。示例性的,当所述预设的加密算为RS256算法时,则所述令牌头为RS256;
将所述令牌头字符串与所述用户登录数据组合为待签名字符串,并依据所述预设的加密算法对所述待签名字符串进行加密获得用户签名;
依据预设的组合顺序组合所述令牌头字符串、所述用户登录数据和所述用户签名以获得每个所述用户对应的用户令牌,并将所述用户令牌返还给所述用户以完成用户注册,所述预设的组合顺序可以是“令牌头字符串+用户数据+用户签名”。
示例性的,如图4所示为所述用户令牌的结构示意图。
在一个可选的实施例中,第一构建单元111用于依据每个所述用户的用户名称与预设的角色权限列表构建每个所述用户对应的权限键值对。
在一个可选的实施例中,所述依据每个所述用户的用户名称与预设的角色权限列表构建每个所述用户对应的权限键值对,包括:
依据预设的用户角色名单查询每个所述用户的用户名称在所述预设服务器中对应的角色;
依据所述预设的角色权限列表查询每个所述角色对应的用户权限;
基于所述用户名称、所述角色和所述用户权限构建权限键值对。
该可选的实施例中,所述预设的用户角色名单用以存储每个所述用户在所述服务器内对应的角色,每个所述用户可对应多个角色,每个角色具备不同的权限,所述角色至少包括查询者、修改者、管理者。
该可选的实施例中,可依据每个所述用户对应的角色从预设的角色权限列表中查询每个所述角色对应的权限,所述权限可以包括高等、中等、低等,还可以包括3级、2级、1级,本申请对此不做限定。
该可选的实施例中,可依据所述用户的名称、所述角色和所述权限构建权限键值对,所述权限键值对包括主键、辅键和值,所述主键为所述用户名称、所述辅键为所述用户对应的角色、所述为所述角色对应的权限,如图5所示为所述权限键值对的结构示意图。
在一个可选的实施例中,第二构建单元112用于依据所述权限键值对构建鉴权队列,所述鉴权队列用以在用户登录过程中鉴别用户权限。
在一个可选的实施例中,所述依据所述权限键值对构建鉴权队列,包括:
依据预设的划分阈值从所述预设服务器的内存空间划分缓存空间,所述缓存空间用以缓存多个权限键值对;
查询每个所述用户在预设的时间范围内登陆所述预设服务器的次数,并查询每个所述用户最近一次登陆所述预设服务器的时刻,依据所述次数和所述时刻计算每个权限键值对的优先级;
依据所述优先级从高到低的顺序排列所述权限键值对,并将排列后的所述权限键值对存储于所述缓存空间中以作为鉴权队列。
该可选的实施例中,所述服务器的内存空间指所述服务器用以缓存数据的空间,所述预设的划分阈值可以是10%、20%、30%等,本申请对此不做限定,可计算所述预设的划分阈值与所述内存空间的总容量的乘积以作为所述缓存空间。
示例性的,当所述服务器的内存空间的总容量为128G,且所述预设的划分阈值为20%时,则所述缓存空间的容量为25.6G。
该可选的实施例中,所述预设的时间范围可以是8小时、24小时、30日、60日等,本申请对此不做限定,可记每个所述用户在预设的时间范围内登陆所述预设服务器的次数为Ni,j,其中,i代表用户的名称,j代表用户角色。
该可选的实施例中,可计算每个所述用户最近一次登陆所述预设服务器的时刻与当前时刻的时间差,可记所述时间差为Ti,j,其中,i代表用户的名称,j代表用户角色。
该可选的实施例中,可依据每个所述用户在预设的时间范围内登陆所述预设服务器的次数Ni,j与所述时间差Ti,j计算每个所述权限键值对的优先级,所述用户登录所述预设服务器的次数越频繁且所述用户最近一次登录所述预设服务器距今时间越短,则所述用户对应权限键值对的优先级越高,所述优先级的计算方式为:
Figure GDA0004256171160000111
其中,Si,j代表所述用户名称为i且所述用户角色为j的权限键值对的优先级;Ti,j代表所述时间差;Ni,j代表所述登陆的次数。
该可选的实施例中,可将所有权限键值对依据所述优先级由高到低的顺序存储于所述缓存空间获得鉴权队列。
在一个可选的实施例中,第一查询单元113用于从待识别用户请求中查询待识别用户令牌与待识别用户需求,并从所述待识别用户令牌中查询待识别用户名称。
在一个可选的实施例中,所述从待识别用户请求中查询待识别用户令牌与待识别用户需求,并从所述待识别用户令牌中查询待识别用户名称,包括:
利用所述待识别令牌头字符串记载的加密算法对待识别用户数据和待识别令牌头字符串进行加密获得验证签名;
若所述待识别签名与所述验证签名相同,则从所述待识别用户数据中查询待识别用户名称;
若所述待识别签名与所述验证签名不同,则向所述预设服务器发送非法篡改告警。
该可选的实施例中,所述待识别用户请求指所述预设服务器接收到的用户向所述预设服务器发送的使用资源或调用程序的请求,所述待识别用户请求包括待识别令牌和待识别用户需求,所述待识别令牌包括待识别令牌头字符串、待识别用户数据和待识别签名。所述待识别令牌头字符串用以记载所述预设的加密算法的名称,可利用所述待识别令牌头字符串中记载的加密算法对所述待识别令牌头字符串和待识别用户数据进行加密获得验证签名。
该可选的实施例中,若所述验证签名与所述待识别签名相同,则表明该待识别令牌中的各项信息未被篡改,则可从所述待识别用户数据中查询待识别用户名称。
该可选的实施例中,若所述验证签名与所述待识别签名不同,则表明所述待识别了令牌中的信息遭到了篡改且可能存在安全隐患,则拒绝所述待识别用户请求并向所述服务器发送非法篡改告警。
在一个可选的实施例中,第二查询单元114用于从所述鉴权队列中查询与所述待识别用户名称对应的备选键值对。
在一个可选的实施例中,所述从所述鉴权队列中查询与所述待识别用户名称对应的备选键值对,包括:
从头遍历所述鉴权队列中的每个所述权限键值对,对比每次遍历到的所述权限键值对中的主键和所述待识别用户名称;
若所述主键与所述待识别用户名称相同,则将所述权限键值对作为备选键值对,直到遍历完所述鉴权队列中所有的权限键值对则停止遍历;
记录每个所述备选键值对在所述预设的时间范围内被调用的次数和时间差以更新每个所述备选键值对的优先级,并根据更新后的优先级更新鉴权队列;
若遍历完所述鉴权队列中所有的权限键值对仍未查询到备选键值对,则依据所述待识别用户请求对待识别用户进行注册。
该可选的实施例中,若依据所述主键查询到至少一个备选键值对,则表明所述待识别用户已被注册,则可记录每个所述备选键值对在所述预设的时间范围内被调用的次数,并可计算每个所述备选键值对最近一次被调用的时刻与当前时刻的时间差,依据所述次数与所述时间差重新计算所述备选键值对的优先级获得更新后的优先级,所述更新后的优先级的计算方式与第二构建单元相同。
该可选的实施例中,可依据所述更新后的优先级重新对所述鉴权队列中的所有权限键值对进行排序以获取更新后的鉴权队列,所述更新后的鉴权队列的获取方式与第二构建单元112相同。
该可选的实施例中,若遍历完所述鉴权队列中的所有权限键值对仍未查找到与所述待识别用户名称对应的权限键值对,则表明所述待识别用户未被注册过,则可利用注册单元110对所述待识别用户进行注册。
在一个可选的实施例中,鉴权单元115用于依据所述备选键值对与所述待识别用户需求对所述待识别用户请求进行权限鉴定以获得鉴权结果。
在一个可选的实施例中,所述依据所述备选键值对与所述待识别用户需求对所述待识别用户请求进行权限鉴定以获得鉴权结果,包括:
依据预设的需求分类模型对所述待识别用户需求进行分类处理,以获得所述待识别用户需求对应的需求权限;
根据所述待识别用户需求确定待识别用户角色;
依据所述待识别用户角色从所述备选键值对中查询目标用户权限;
若所述需求权限不高于所述目标用户权限,则放行所述待识别用户请求,若所述需求权限高于所述用户权限,则拒绝所述待识别用户请求。
该可选的实施例中,所述预设的需求分类模型可以是XGBoost(Extreme GradientBoosting,极端梯度提升算法)、LightGBM(Light Gradient Boosted Machine,轻量梯度提升机)、GBDT(Gradient Boosting Decision Tree,梯度提升决策树)等现有的分类模型,本申请过对此不做限定。所述预设的需求分类模型的输入为所述待识别用户需求,所述预设的需求分类模型的输出为所述待识别用户需求对应的需求权限,所述需求权限包括低等、中等、高等。
示例性的,当所述用户需求为查询文件时,所述需求权限为低等权限;当所述用户需求为调用接口时,所述需求权限为低等权限;当所述用户需求为修改文件时,所述需求权限为中等权限。
该可选的实施例中,可依据所述待识别用户需求确定待识别用户角色,示例性的,当所述用户需求为查询文件或所述用户需求为调用接口时,所述待识别用户角色为查询者;当所述用户需求为修改文件或修改程序代码时,所述待识别用户角色为修改者;当所述用户需求为删除文件或删除程序时,所述待识别用户角色为管理者。
该可选的实施例中,可依次遍历所述备选键值对,若所述备选键值对中的辅键与所述待识别用户角色相同,则可将该备选键值对作为目标键值对,并将所述目标键值对中的值作为所述待识别用户对应的目标用户权限。
该可选的实施例中,所述权限的高低顺序为高等权限>中等权限>底等权限。
该可选的实施例中,若所述需求权限不高于所述用户权限,则表明所述待识别用户具备访问所述预设服务器中资源的权限,可放行所述待识别用户请求以完成权限鉴别。
该可选的实施例中,若所述需求权限高于所述用户权限,则表明所述待识别用户不具备访问所述预设服务器中资源的权限,可拒绝所述待识别用户请求。
上述基于人工智能的权限管理方法通过构建每个用户对应的用户令牌以进行用户注册,通过预设的角色权限列表为用户分配角色和权限以构建每个用户的权限键值对,并将权限键值对排列之后存储于缓存中获得鉴权队列,以实现用户登录过程中的快速鉴权,并通过不断调整权限键值对优先级的方式确保权限管理的效率。
如图3所示,是本申请实施例提供的一种电子设备的结构示意图。电子设备1包括存储器12和处理器13。存储器12用于存储计算机可读指令,处理器13用执行储器中存储的计算机可读指令以实现上述任一实施例的基于人工智能的权限管理方法。
在一个可选的实施例中,电子设备1还包括总线、存储在存储器12中并可在处理器13上运行的计算机程序,例如基于人工智能的权限管理程序。
图3仅示出了具有组件12-13的电子设备1,本领域技术人员可以理解的是,图3示出的结构并不构成对电子设备1的限定,可以包括比图示更少或者更多的部件,或者组合某些部件,或者不同的部件布置。
结合图1,电子设备1中的存储器12存储多个计算机可读指令以实现一种基于人工智能的权限管理方法,处理器13可执行多个指令从而实现:
依据预设的加密算法对每个用户在预设服务器中的用户登录数据进行加密以构建每个用户对应的用户令牌;
依据每个所述用户的用户名称与预设的角色权限列表构建每个所述用户对应的权限键值对;
依据所述权限键值对构建鉴权队列,所述鉴权队列用以在用户登录过程中鉴别用户权限;
从待识别用户请求中查询待识别用户令牌与待识别用户需求,并从所述待识别用户令牌中查询待识别用户名称;
从所述鉴权队列中查询与所述待识别用户名称对应的备选键值对;
依据所述备选键值对与所述待识别用户需求对所述待识别用户请求进行权限鉴定以获得鉴权结果。
具体地,处理器13对上述指令的具体实现方法可参考图1对应实施例中相关步骤的描述,在此不赘述。
其中,存储器12至少包括一种类型的可读存储介质,所述可读存储介质可以是非易失性的,也可以是易失性的。所述可读存储介质包括闪存、移动硬盘、多媒体卡、卡型存储器(例如:SD或DX存储器等)、磁性存储器、磁盘、光盘等。存储器12在一些实施例中可以是电子设备1的内部存储单元,例如该电子设备1的移动硬盘。存储器12在另一些实施例中也可以是电子设备1的外部存储设备,例如电子设备1上配备的插接式移动硬盘、智能存储卡(Smart Media Card,SMC)、安全数字(Secure Digital,SD)卡、闪存卡(Flash Card)等。进一步地,存储器12还可以既包括电子设备1的内部存储单元也包括外部存储设备。存储器12不仅可以用于存储安装于电子设备1的应用软件及各类数据,例如基于人工智能的权限管理程序的代码等,还可以用于暂时地存储已经输出或者将要输出的数据。
处理器13在一些实施例中可以由集成电路组成,例如可以由单个封装的集成电路所组成,也可以是由多个相同功能或不同功能封装的集成电路所组成,包括一个或者多个中央处理器(Central Processing unit,CPU)、微处理器、数字处理芯片、图形处理器及各种控制芯片的组合等。处理器13是电子设备1的控制核心(Control Unit),利用各种接口和线路连接整个电子设备1的各个部件,通过运行或执行存储在存储器12内的程序或者模块(例如执行基于人工智能的权限管理程序等),以及调用存储在存储器12内的数据,以执行电子设备1的各种功能和处理数据。
处理器13执行电子设备1的操作系统以及安装的各类应用程序。处理器13执行所述应用程序以实现上述各个基于人工智能的权限管理方法实施例中的步骤,例如图1所示的步骤。
示例性的,所述计算机程序可以被分割成一个或多个模块/单元,所述一个或者多个模块/单元被存储在存储器12中,并由处理器13执行,以完成本申请。所述一个或多个模块/单元可以是能够完成特定功能的一系列计算机可读指令段,该指令段用于描述所述计算机程序在电子设备1中的执行过程。例如,所述计算机程序可以被分割成注册单元110、第一构建单元111、第二构建单元112、第一查询单元113、第二查询单元114、鉴权单元115。
上述以软件功能模块的形式实现的集成的单元,可以存储在一个计算机可读取存储介质中。上述软件功能模块存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机、计算机设备,或者网络设备等)或处理器(processor)执行本申请各个实施例所述基于人工智能的权限管理方法的部分。
电子设备1集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请实现上述实施例方法中的全部或部分流程,也可以通过计算机程序来指示相关的硬件设备来完成,所述的计算机程序可存储于一计算机可读存储介质中,该计算机程序在被处理器执行时,可实现上述各个方法实施例的步骤。
其中,所述计算机程序包括计算机程序代码,所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括:能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM,Read-Only Memory)、随机存储器及其他存储器等。
进一步地,计算机可读存储介质可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序等;存储数据区可存储根据区块链节点的使用所创建的数据等。
本申请所指区块链是分布式数据存储、点对点传输、共识机制、加密算法等计算机技术的新型应用模式。区块链(Blockchain),本质上是一个去中心化的数据库,是一串使用密码学方法相关联产生的数据块,每一个数据块中包含了一批次网络交易的信息,用于验证其信息的有效性(防伪)和生成下一个区块。区块链可以包括区块链底层平台、平台产品服务层以及应用服务层等。
总线可以是外设部件互连标准(Peripheral Component Interconnect,简称PCI)总线或扩展工业标准结构(Extended Industry Standard Architecture,简称EISA)总线等。该总线可以分为地址总线、数据总线、控制总线等。为便于表示,在图3中仅用一根箭头表示,但并不表示仅有一根总线或一种类型的总线。所述总线被设置为实现存储器12以及至少一个处理器13等之间的连接通信。
本申请实施例还提供一种计算机可读存储介质(图未示),计算机可读存储介质中存储有计算机可读指令,计算机可读指令被电子设备中的处理器执行以实现上述任一实施例所述的基于人工智能的权限管理方法。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。
所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能模块可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能模块的形式实现。
此外,显然“包括”一词不排除其他单元或步骤,单数不排除复数。说明书陈述的多个单元或装置也可以由一个单元或装置通过软件或者硬件来实现。第一、第二等词语用来表示名称,而并不表示任何特定的顺序。
最后应说明的是,以上实施例仅用以说明本申请的技术方案而非限制,尽管参照较佳实施例对本申请进行了详细说明,本领域的普通技术人员应当理解,可以对本申请的技术方案进行修改或等同替换,而不脱离本申请技术方案的精神和范围。

Claims (10)

1.一种基于人工智能的权限管理方法,其特征在于,所述方法包括:
依据预设的加密算法对每个用户在预设服务器中的用户登录数据进行加密以构建每个用户对应的用户令牌;
依据每个所述用户的用户名称与预设的角色权限列表构建每个所述用户对应的权限键值对;
依据所述权限键值对构建鉴权队列,所述鉴权队列用以在用户登录过程中鉴别用户权限;
从待识别用户请求中查询待识别用户令牌与待识别用户需求,并从所述待识别用户令牌中查询待识别用户名称;
从所述鉴权队列中查询与所述待识别用户名称对应的备选键值对;
依据所述备选键值对与所述待识别用户需求对所述待识别用户请求进行权限鉴定以获得鉴权结果。
2.如权利要求1所述的基于人工智能的权限管理方法,其特征在于,所述依据预设的加密算法对每个用户在预设服务器中的用户登录数据进行加密以构建每个用户对应的用户令牌,包括:
从预设服务器的历史访问请求中获取用户登录数据,所述用户登录数据至少包括用户名称和用户密码;
将预设的加密算法的名称作为令牌头字符串;
组合所述令牌头字符串与所述用户登录数据获得待签名字符串,依据所述预设的加密算法对所述待签名字符串进行加密获得用户签名;
将所述令牌头字符串、所述用户登录数据和所述用户签名封装为用户令牌,并将所述用户令牌返还给所述用户以完成用户注册。
3.如权利要求1所述的基于人工智能的权限管理方法,其特征在于,所述依据每个所述用户的用户名称与预设的角色权限列表构建每个所述用户对应的权限键值对,包括:
依据预设的用户角色名单查询每个所述用户的用户名称在所述预设服务器中对应的角色;
依据所述预设的角色权限列表查询每个所述角色对应的用户权限;
基于所述用户名称、所述角色和所述用户权限构建权限键值对。
4.如权利要求1所述的基于人工智能的权限管理方法,其特征在于,所述依据所述权限键值对构建鉴权队列,包括:
依据预设的划分阈值从所述预设服务器的内存空间划分缓存空间,所述缓存空间用以缓存多个权限键值对;
查询每个所述用户在预设的时间范围内登陆所述预设服务器的次数,并查询每个所述用户最近一次登陆所述预设服务器的时刻,依据所述次数和所述时刻计算每个权限键值对的优先级;
依据所述优先级从高到低的顺序排列所述权限键值对,并将排列后的所述权限键值对存储于所述缓存空间中以作为鉴权队列。
5.如权利要求1所述的基于人工智能的权限管理方法,其特征在于,所述待识别用户请求包括待识别令牌和待识别用户需求,所述待识别令牌包括待识别令牌头字符串、待识别用户数据和待识别签名,所述从待识别用户请求中查询待识别用户令牌与待识别用户需求,并从所述待识别用户令牌中查询待识别用户名称,包括:
利用所述待识别令牌头字符串记载的加密算法对所述待识别用户数据和待识别令牌头字符串进行加密获得验证签名;
若所述待识别签名与所述验证签名相同,则从所述待识别用户数据中查询待识别用户名称;
若所述待识别签名与所述验证签名不同,则向所述预设服务器发送非法篡改告警。
6.如权利要求4所述的基于人工智能的权限管理方法,其特征在于,所述从所述鉴权队列中查询与所述待识别用户名称对应的备选键值对,包括:
从头遍历所述鉴权队列中的每个所述权限键值对,对比每次遍历到的所述权限键值对中的主键和所述待识别用户名称;
若所述主键与所述待识别用户名称相同,则将所述权限键值对作为备选键值对,直到遍历完所述鉴权队列中所有的权限键值对则停止遍历;
记录每个所述备选键值对在所述预设的时间范围内被调用的次数和时间差以更新每个所述备选键值对的优先级,并根据更新后的优先级更新鉴权队列;
若遍历完所述鉴权队列中所有的权限键值对仍未查询到备选键值对,则依据所述待识别用户请求对待识别用户进行注册。
7.如权利要求1所述的基于人工智能的权限管理方法,其特征在于,所述依据所述备选键值对与所述待识别用户需求对所述待识别用户请求进行权限鉴定以获得鉴权结果,包括:
依据预设的需求分类模型对所述待识别用户需求进行分类处理,以获得所述待识别用户需求对应的需求权限;
根据所述待识别用户需求确定待识别用户角色;
依据所述待识别用户角色从所述备选键值对中查询目标用户权限;
若所述需求权限不高于所述目标用户权限,则放行所述待识别用户请求,若所述需求权限高于所述用户权限,则拒绝所述待识别用户请求。
8.一种基于人工智能的权限管理装置,其特征在于,所述装置包括:
注册单元,用于依据预设的加密算法对每个用户在预设服务器中的用户登录数据进行加密以构建每个用户对应的用户令牌;
第一构建单元,用于依据每个所述用户的用户名称与预设的角色权限列表构建每个所述用户对应的权限键值对;
第二构建单元,用于依据所述权限键值对构建鉴权队列,所述鉴权队列用以在用户登录过程中鉴别用户权限;
第一查询单元,用于从待识别用户请求中查询待识别用户令牌与待识别用户需求,并从所述待识别用户令牌中查询待识别用户名称;
第二查询单元,用于从所述鉴权队列中查询与所述待识别用户名称对应的备选键值对;
鉴权单元,用于依据所述备选键值对与所述待识别用户需求对所述待识别用户请求进行权限鉴定以获得鉴权结果。
9.一种电子设备,其特征在于,所述电子设备包括:
存储器,存储计算机可读指令;及
处理器,执行所述存储器中存储的计算机可读指令以实现如权利要求1至7中任意一项所述的基于人工智能的权限管理方法。
10.一种计算机可读存储介质,其特征在于:所述计算机可读存储介质中存储有计算机可读指令,所述计算机可读指令被电子设备中的处理器执行以实现如权利要求1至7中任意一项所述的基于人工智能的权限管理方法。
CN202210927929.3A 2022-08-03 2022-08-03 基于人工智能的权限管理方法及相关设备 Active CN115296901B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210927929.3A CN115296901B (zh) 2022-08-03 2022-08-03 基于人工智能的权限管理方法及相关设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210927929.3A CN115296901B (zh) 2022-08-03 2022-08-03 基于人工智能的权限管理方法及相关设备

Publications (2)

Publication Number Publication Date
CN115296901A CN115296901A (zh) 2022-11-04
CN115296901B true CN115296901B (zh) 2023-07-04

Family

ID=83826550

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210927929.3A Active CN115296901B (zh) 2022-08-03 2022-08-03 基于人工智能的权限管理方法及相关设备

Country Status (1)

Country Link
CN (1) CN115296901B (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104967620A (zh) * 2015-06-17 2015-10-07 中国科学院信息工程研究所 一种基于属性访问控制策略的访问控制方法
CN113918807A (zh) * 2021-09-24 2022-01-11 咪咕文化科技有限公司 数据推荐方法、装置、计算设备及计算机可读存储介质
WO2022125760A1 (en) * 2020-12-10 2022-06-16 Amazon Technologies, Inc. Analysis of role reachability with transitive tags
CN114647825A (zh) * 2020-12-17 2022-06-21 中移(苏州)软件技术有限公司 访问权限控制方法、装置、电子设备和计算机存储介质

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102930226B (zh) * 2012-10-25 2015-01-07 无锡中科泛在信息技术研发中心有限公司 细粒度客户端使用权限控制方法
CN106354721A (zh) * 2015-07-14 2017-01-25 杭州海康威视系统技术有限公司 基于权限的检索方法和装置
CN105426770B (zh) * 2015-11-13 2018-05-15 广东网金控股股份有限公司 面向多维数据的权限管理机制的配置方法
WO2022011055A2 (en) * 2020-07-07 2022-01-13 Fp Complete Corporation A System and Method for Simplifying User Authentication and Authorization Workflows
CN112883357A (zh) * 2021-03-11 2021-06-01 中科三清科技有限公司 无状态登录鉴权方法和装置
CN114006755B (zh) * 2021-10-29 2023-07-18 中国平安财产保险股份有限公司 接口调用权限的鉴别方法、系统、装置、设备和存储介质

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104967620A (zh) * 2015-06-17 2015-10-07 中国科学院信息工程研究所 一种基于属性访问控制策略的访问控制方法
WO2022125760A1 (en) * 2020-12-10 2022-06-16 Amazon Technologies, Inc. Analysis of role reachability with transitive tags
CN114647825A (zh) * 2020-12-17 2022-06-21 中移(苏州)软件技术有限公司 访问权限控制方法、装置、电子设备和计算机存储介质
CN113918807A (zh) * 2021-09-24 2022-01-11 咪咕文化科技有限公司 数据推荐方法、装置、计算设备及计算机可读存储介质

Also Published As

Publication number Publication date
CN115296901A (zh) 2022-11-04

Similar Documents

Publication Publication Date Title
CN111698228B (zh) 系统访问权限授予方法、装置、服务器及存储介质
US10614233B2 (en) Managing access to documents with a file monitor
US10338946B1 (en) Composable machine image
CN110414268B (zh) 访问控制方法、装置、设备及存储介质
US11689513B2 (en) Blockchain operating system
US11823178B2 (en) Optimization of high volume transaction performance on a blockchain
US20090249436A1 (en) Centralized Enforcement of Name-Based Computer System Security Rules
CN111034151B (zh) 用于管理对区块链系统中的账户的访问的方法和设备
EP3744071B1 (en) Data isolation in distributed hash chains
US11258771B2 (en) Systems and methods for sending user data from a trusted party to a third party using a distributed registry
CN112948851A (zh) 用户认证方法、装置、服务器及存储介质
CN115174148B (zh) 面向云计算和信息安全的云服务管理方法及人工智能平台
US10158623B2 (en) Data theft deterrence
EP3472720B1 (en) Digital asset architecture
CN115296901B (zh) 基于人工智能的权限管理方法及相关设备
CN114697132B (zh) 重复访问请求攻击拦截方法、装置、设备及存储介质
US11620364B2 (en) Layered-infrastructure blockchain-based system for software license distribution
CN112100178B (zh) 委托授权验证方法和系统
US7661111B2 (en) Method for assuring event record integrity
CN111857883A (zh) 页面数据校验方法、装置、电子设备及存储介质
CN116760639B (zh) 一种用于多租户的数据安全隔离与共享框架实现方法
JP2021517688A (ja) セキュアデータ処理
US20240177115A1 (en) Software Defined Community Cloud
US20230351007A1 (en) Multi-admin verification for improved security of data stores
US20230351006A1 (en) Multi-admin verification for improved security of data stores

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant