CN116821867B - 权限授权数据的回收管理方法、装置、设备和存储介质 - Google Patents

权限授权数据的回收管理方法、装置、设备和存储介质 Download PDF

Info

Publication number
CN116821867B
CN116821867B CN202311094083.0A CN202311094083A CN116821867B CN 116821867 B CN116821867 B CN 116821867B CN 202311094083 A CN202311094083 A CN 202311094083A CN 116821867 B CN116821867 B CN 116821867B
Authority
CN
China
Prior art keywords
group
authority
cluster
determining
clustering
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202311094083.0A
Other languages
English (en)
Other versions
CN116821867A (zh
Inventor
景建波
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Meiyun Zhishu Technology Co ltd
Original Assignee
Meiyun Zhishu Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Meiyun Zhishu Technology Co ltd filed Critical Meiyun Zhishu Technology Co ltd
Priority to CN202311094083.0A priority Critical patent/CN116821867B/zh
Publication of CN116821867A publication Critical patent/CN116821867A/zh
Application granted granted Critical
Publication of CN116821867B publication Critical patent/CN116821867B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/23Clustering techniques
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Data Mining & Analysis (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Artificial Intelligence (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Evolutionary Biology (AREA)
  • Evolutionary Computation (AREA)
  • Storage Device Security (AREA)

Abstract

本申请涉及数据处理技术领域,提供一种权限授权数据的回收管理方法、装置、设备和存储介质,该方法包括:基于回收的各权限授权数据的权限,对回收的所有的权限授权数据进行分组;基于授权维度,对每个分组内的权限授权数据进行聚类,得到至少一个第一聚类分组;确定每个第一聚类分组的聚类评分值,基于聚类评分值确定第二聚类分组;基于每个分组之间的第二聚类分组的相似度,确定至少一个权限组;基于每一权限组的管理类型标签,对权限组进行管理。本申请通过对回收的权限授权数据进行分组和多维度聚类,最终整合成不同维度的授权数据,通过不同维度的授权可以更加便捷和高效的管理权限授权数据,从而提高权限授权数据的管理效率。

Description

权限授权数据的回收管理方法、装置、设备和存储介质
技术领域
本申请涉及数据处理技术领域,尤其涉及一种权限授权数据的回收管理方法、装置、设备和存储介质。
背景技术
目前,权限授权回收数据的处理具有重要的业务价值,是统一权限管理系统进行高效管理的基础。对于企业的经营者和管理人员而言,成千上万分散的权限授权数据在回收到权限管理系统后,其管理难度大和管理成本高。然而,现有系统权限授权数据回收无论通过excel导入还是同步方法,都是作为一条条分散数据存在权限管理系统,其权限变更和解除难度大,无法统一进行管控。此外,还可以通过权限领域资深工程师梳理回收系统权限授权数据,将权限授权数据处理为更高维度的应用角色或业务角色来进行管控,然而该方式的实施周期长,成本十分高昂。因此,如何高效的管理回收的权限数据是一个亟待解决的问题。
发明内容
本申请旨在至少解决现有技术中存在的技术问题之一。为此,本申请提出一种权限授权数据的回收管理方法,通过对回收的权限授权数据进行分组和多维度聚类,最终整合成不同维度的授权数据,通过不同维度的授权可以更加便捷和高效的管理权限授权数据,从而提高权限授权数据的管理效率。
本申请还提出一种权限授权数据的回收管理装置、电子设备和存储介质。
根据本申请第一方面实施例的权限授权数据的回收管理方法,包括:
基于回收的各权限授权数据的权限,对回收的所有的权限授权数据进行分组;
基于授权维度,对每个分组内的权限授权数据进行聚类,得到至少一个第一聚类分组;
确定每个所述第一聚类分组的聚类评分值,基于所述聚类评分值确定第二聚类分组;
基于所述每个分组之间的所述第二聚类分组的相似度,确定至少一个权限组;
基于每一权限组的管理类型标签,对所述权限组进行管理。
本申请实施例通过对回收的权限授权数据进行分组和多维度聚类,最终整合成不同维度的授权数据,通过不同维度的授权可以更加便捷和高效的管理权限授权数据,从而提高权限授权数据的管理效率。
根据本申请的一个实施例,所述确定每个所述第一聚类分组的聚类评分值,包括:
确定所有所述第一聚类分组对应的授权维度满足设定的聚合约束条件;
若所述第一聚类分组的数量大于第一设定数量且小于第二设定数量,则确定每个所述第一聚类分组的各评价指标的评分值;所述第一设定数量小于所述第二设定数量;
基于所述各评价指标的评分值和权重,确定每个所述第一聚类分组的聚类评分值。
根据本申请的一个实施例,所述评价指标至少包括权限维度、授权维度、聚合数量、聚合时间以及其他自定义参数;
所述确定每个所述第一聚类分组的各评价指标的评分值,包括:
基于所述权限维度的类型,确定每个所述第一聚类分组的所述权限维度的评分值;
基于所述授权维度的聚合维度,确定每个所述第一聚类分组的所述授权维度的评分值;
基于所述聚合数量的聚合组数,确定每个所述第一聚类分组的所述聚合数量的评分值;
基于所述聚合时间的聚合时长,确定每个所述第一聚类分组的所述聚合时间的评分值;
基于所述其他自定义参数的类型,确定每个所述第一聚类分组的所述其他自定义参数的评分值。
根据本申请的一个实施例,所述基于授权维度,对每个分组内的权限授权数据进行聚类,得到至少一个第一聚类分组之后,还包括:
确定所有所述第一聚类分组对应的授权维度满足设定的聚合约束条件;
若所述第一聚类分组的数量小于或等于所述第一设定数量,则结束对所述第一聚类分组的聚类评分;
若所述第一聚类分组的数量大于或等于所述第二设定数量,则结束对所述第一聚类分组的聚类评分。
根据本申请的一个实施例,所述基于所述每个分组之间的所述第二聚类分组的相似度,确定至少一个权限组,包括:
若所有分组中的至少两个分组之间的所述第二聚类分组的相似度大于或等于预设阈值,则对所述至少两个分组进行合并,得到至少一个权限组;
若所有分组中的至少两个分组之间的所述第二聚类分组的相似度小于预设阈值,则将所述至少两个分组分别作为一个权限组。
根据本申请的一个实施例,所述管理类型标签包括权限维度标签和授权维度标签;
所述基于每一权限组的管理类型标签,对所述权限组进行管理,包括:
基于所述权限维度标签,确定每一权限组中的数据的权限维度;
基于所述授权维度标签,确定每一权限组中的数据的授权维度;
基于每一权限组中的数据的所述权限维度和所述授权维度,对所述权限组进行管理。
根据本申请的一个实施例,所述确定每个所述第一聚类分组的聚类评分值,基于所述聚类评分值确定第二聚类分组,包括:
确定每个所述第一聚类分组的聚类评分值的排序结果;
基于所述排序结果,将所述聚类评分值大于设定评分值的第一聚类分组作为所述第二聚类分组。
根据本申请的一个实施例,所述基于回收的各权限授权数据的权限,对回收的所有的权限授权数据进行分组,包括:
确定回收的所有的权限授权数据中所述权限相同的权限授权数据;
将所述权限相同的权限授权数据分配至一组。
根据本申请第二方面实施例的权限授权数据的回收管理装置,包括:
第一分组模块,用于基于回收的各权限授权数据的权限,对回收的所有的权限授权数据进行分组;
聚类模块,用于基于授权维度,对每个分组内的权限授权数据进行聚类,得到至少一个第一聚类分组;
确定模块,用于确定每个所述第一聚类分组的聚类评分值,基于所述聚类评分值确定第二聚类分组;
第二分组模块,用于基于所述每个分组之间的所述第二聚类分组的相似度,确定至少一个权限组;
数据管理模块,用于基于每一权限组的管理类型标签,对所述权限组进行管理。
根据本申请第三方面实施例的电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述任一种所述权限授权数据的回收管理方法。
根据本申请第四方面实施例的非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如上述任一种所述权限授权数据的回收管理方法。
本申请实施例中的上述一个或多个技术方案,至少具有如下技术效果之一:
减少回收数据的处理成本,提高回收数据的管理效率。
本申请的附加方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本申请的实践了解到。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请实施例提供的权限授权数据的回收管理方法的流程示意图之一;
图2是本申请实施例提供的数据聚类流程示意图;
图3是本申请实施例提供的权限维度的数据结构示意图;
图4是本申请实施例提供的授权维度的数据结构示意图;
图5是本申请实施例提供的聚类评分的流程示意图;
图6是本申请实施例提供的数据转换的流程示意图;
图7是本申请实施例提供的权限授权数据的回收管理方法的流程示意图之二;
图8是本申请实施例提供的权限授权数据的回收管理装置的模块示意图;
图9是本申请实施例提供的电子设备的结构示意图。
具体实施方式
下面结合附图和实施例对本申请的实施方式作进一步详细描述。以下实施例用于说明本申请,但不能用来限制本申请的范围。
在本申请实施例的描述中,需要说明的是,术语“第一”、“第二”、“第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。
在本申请实施例中,除非另有明确的规定和限定,第一特征在第二特征“上”或“下”可以是第一和第二特征直接接触,或第一和第二特征通过中间媒介间接接触。而且,第一特征在第二特征“之上”、“上方”和“上面”可是第一特征在第二特征正上方或斜上方,或仅仅表示第一特征水平高度高于第二特征。第一特征在第二特征“之下”、“下方”和“下面”可以是第一特征在第二特征正下方或斜下方,或仅仅表示第一特征水平高度小于第二特征。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本申请实施例的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外,在不相互矛盾的情况下,本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
图1是本申请实施例提供的权限授权数据的回收管理方法的流程示意图之一。参照图1,本申请实施例提供一种权限授权数据的回收管理方法,包括:
步骤100,基于回收的各权限授权数据的权限,对回收的所有的权限授权数据进行分组;
需要说明的是,权限授权数据是指授权给对象(如在业务中使用权限的对象)的权限数据,权限数据是指记录和存储有关用户或角色在系统、应用程序或其他资源上所具备的权限信息的数据。
基于回收的各权限授权数据的权限,对回收的所有的权限授权数据进行分组,具体地,在回收的所有的权限授权数据中,确定权限相同的权限授权数据,然后将权限相同的权限授权数据分配至一组。例如,开门权限,用户1具有门A、B、C的开门权限,用户2具有门A、B、D的开门权限,此时,将具有门A权限的用户的权限授权数据分为一组,将具有门B权限的用户的权限授权数据分为一组。
步骤200,基于授权维度,对每个分组内的权限授权数据进行聚类,得到至少一个第一聚类分组;
需要说明的是,参考图4,授权维度可以分为人员授权维度、人员所属的人员类型授权维度、人员所属组织授权维度、人员所属组织的组织类型授权维度、人员所属岗位授权维度以及人员群组(用于共同属性值或关系值的集合体)授权维度等授权维度。
对回收的所有权限授权数据进行分组后,基于授权维度,对每个分组内的权限授权数据进行聚类,得到至少一个第一聚类分组。例如,采用K-means聚类算法,按照授权维度对每个分组内的权限数据进行聚类,参考图2,其聚类过程如下:
1)对组内各元素的授权维度属性进行one-hot编码;
2)对编码后的授权维度属性进行标准化、降维;
3)采用欧氏距离计算各元素到聚类中心的距离;
4)采用K-means对各元素进行聚类,迭代聚类中心直至收敛;
5)取K=3、4…10多次计算,采用轮廓系数法选出最优的聚类K值;
6)得到最佳m类的第二聚类分组,如第1类、第2类、第3类至第m类,其中,每类聚类数据对应一个第一聚类分组,如第1类为一个第一聚类分组。
步骤300,确定每个所述第一聚类分组的聚类评分值,基于所述聚类评分值确定第二聚类分组;
聚类得到至少一个第一聚类分组后,确定每个第一聚类分组的聚类评分值的排序结果,然后基于排序结果,将聚类评分值大于设定评分值的第一聚类分组作为第二聚类分组。例如,基于排序结果,选取聚类评分值排前10的第一聚类分组作为第二聚类分组。
步骤400,基于所述每个分组之间的所述第二聚类分组的相似度,确定至少一个权限组;
在确定第二聚类分组后,确定每个分组之间的第二聚类分组的相似度,然后,基于每个分组之间的第二聚类分组的相似度,确定至少一个权限组。
步骤500,基于每一权限组的管理类型标签,对所述权限组进行管理。
需要说明的是,管理类型标签包括权限维度标签和授权维度标签,其中,权限维度标签用于标识数据所属的权限维度;授权维度标签用于标识数据所属的授权维度。例如,参考图3,权限维度可以分为单个权限维度、同一应用下由多个权限构成的应用角色维度以及多个不同应用下权限构成的业务角色维度。
通过每一权限组的管理类型标签,即权限维度标签和授权维度标签,将每一权限组的数据映射至权限维度和授权维度,最后基于权限维度和授权维度对每一权限组进行管理。
本申请实施例提供的权限授权数据的回收管理方法,基于回收的各权限授权数据的权限,对回收的所有的权限授权数据进行分组;基于授权维度,对每个分组内的权限授权数据进行聚类,得到至少一个第一聚类分组;确定每个第一聚类分组的聚类评分值,基于聚类评分值确定第二聚类分组;基于每个分组之间的第二聚类分组的相似度,确定至少一个权限组;基于每一权限组的管理类型标签,对权限组进行管理。本申请实施例通过对回收的权限授权数据进行分组和多维度聚类,最终整合成不同维度的授权数据,通过不同维度的授权可以更加便捷和高效的管理权限授权数据,从而提高权限授权数据的管理效率。
基于上述实施例,所述确定每个所述第一聚类分组的聚类评分值,包括:
步骤310,确定所有所述第一聚类分组对应的授权维度满足设定的聚合约束条件;
步骤320,若所述第一聚类分组的数量大于第一设定数量且小于第二设定数量,则确定每个所述第一聚类分组的各评价指标的评分值;所述第一设定数量小于所述第二设定数量;
步骤330,基于所述各评价指标的评分值和权重,确定每个所述第一聚类分组的聚类评分值。
需要说明的是,评价指标至少包括权限维度、授权维度、聚合数量、聚合时间以及其他自定义参数等五个指标,每个评价指标的初始化权重为20%,其中,该权重可根据客户或者具体情况进行调整。
基于授权维度对权限授权数据进行聚类得到第一聚类分组后,判断所有第一聚类分组对应的授权维度是否满足设定的聚合约束条件,其中,设定的聚合约束条件是指用户预先确定的符合聚类的授权维度,如果该授权维度符合聚类维度,则统计第一聚类分组的数量;若第一聚类分组的数量小于或等于第一设定数量,或者第一聚类分组的数量大于或等于第二设定数量,则结束对第一聚类分组的聚类评分;若第一聚类分组的数量大于第一设定数量且小于第二设定数量,则确定每个第一聚类分组的各评价指标的评分值,然后基于各评价指标的评分值和权重,确定每个第一聚类分组的聚类评分值。其中,第一设定数量可以为最优分组数量,第二设定数量可以为最大的分组数量。例如,参考图5,聚合分组后先判定所有第一聚类分组对应的授权维度是否满足设定的聚合约束条件,若满足,则统计第一聚类分组的数量,若第一聚类分组数量大于或等于最大的分组数量限制,则不用进行评分直接结束;若第一聚类分组数量等于设置的最优分组数量,则不用进行评分直接结束评分,该维度聚合完成;若第一聚类分组数量小于设置的最优分组数量,则不用进行评分直接结束评分;若第一聚类分组数量在两者之间,即大于第一设定数量且小于第二设定数量,则需要使用评分机制进行评分,评分按照五个评价指标进行,五个评价指标的权重初始值一致的,然后对每个第一聚类分组的各个评价指标的评分值和权重进行加权求和,得到每个分组的聚类评分值。
如果第一聚类分组对应的授权维度不满足设定的聚合约束条件,即第一聚类分组对应的授权维度不符合用户预先设定的授权维度,则直接删除该授权维度对应的聚类数据。
具体地,基于以下方式确定各评价指标的评分值:
基于权限维度的类型,确定每个分组的权限维度的评分值;例如,权限维度是指聚合数据所包含的权限,包括单个权限、应用角色或者业务角色,其评分依次增高。
基于授权维度的聚合维度,确定每个分组的授权维度的评分值;例如,授权维度是指聚合的权限授权数据所使用的聚合方式,如聚合维度,包括单个维度到多个维度,由于维度越多,其管理难度、管理成本越高,因此,维度越多评分越低。
基于聚合数量的聚合组数,确定每个分组的聚合数量的评分值;例如,聚合数量是指聚合回收的权限授权数据聚合组的多少,由于组数越多,其管理难度、管理成本越高,因此,组数越少评分越高。
基于聚合时间的聚合时长,确定每个分组的聚合时间的评分值;例如,聚合时间是指聚合数据所花费的时长,时长越少评分越高。
基于其他自定义参数的类型,确定每个分组的其他自定义参数的评分值;例如,其他自定义参数是指用户自定义设置的维度信息,如授权维度、权限维度,其中,不同其他自定义参数的类型对应的评分可基于评分需求自定义。
本申请实施例通过基于各评价指标的评分值和权重,确定每个分组的聚类评分值,如此,提高了数据聚合的准确性,继而提高数据管理的效率。
基于上述实施例,所述基于所述每个分组之间的所述第二聚类分组的相似度,确定至少一个权限组,包括:
步骤410,若所有分组中的至少两个分组之间的所述第二聚类分组的相似度大于或等于预设阈值,则对所述至少两个分组进行合并,得到至少一个权限组;
步骤430,若所有分组中的至少两个分组之间的所述第二聚类分组的相似度小于预设阈值,则将所述至少两个分组分别作为一个权限组。
如果所有分组中的至少两个分组之间的第二聚类分组的相似度大于或等于预设阈值,则对至少两个分组进行合并,得到至少一个权限组;如果所有分组中的至少两个分组之间的第二聚类分组的相似度小于预设阈值,则将至少两个分组分别作为一个权限组。例如,参考表1,表1为分组聚类后的结果:
表1
从表1中可以看出,用户1和用户2具备开门权限和开灯权限,同时,属于人员授权维度,此时,如果第二聚类分组1-1与第二聚类分组3-1中的数据100%相同,则直接将第二聚类分组1-1与第二聚类分组3-1进行合并,形成一个权限组。如果第二聚类分组1-1中有80%的数据,与第二聚类分组3-1中70%的数据相同,则将第二聚类分组1-1中80%的数据,与第二聚类分组3-1中的70%的数据进行合并,剩余的数据保留在原聚类分组中。
进一步需要说明的是,剩余的数据可以继续与其他第二聚类分组进行合并,例如,假设第二聚类分组1-1剩余的20%数据,与第二聚类分组2-1中60%数据相同,则将第二聚类分组1-1剩余的20%数据与第二聚类分组2-1中60%数据进行合并,形成一个权限组。
进一步需要说明的是,合并得到权限组也可以继续与其他第二聚类分组进行合并,例如,假设权限组1中的数据与第二聚类分组2-1中40%数据相同,则将权限组1与第二聚类分组2-1中40%数据进行合并,形成一个新的权限组。
进一步需要说明的是,假设第二聚类分组间的相似度比较低,则将第二聚类分组单独作为一个权限组,例如,第二聚类分组2-3未找到与其相似的第二聚类分组,则直接将第二聚类分组2-3单独作为一个权限组。
本申请实施例基于各分组之间的第二聚类分组的相似度进行分组合并,从而实现数据的聚合,提高数据的管理效率。
基于上述实施例,所述基于每一权限组的管理类型标签,对所述权限组进行管理,包括:
步骤510,基于所述权限维度标签,确定每一权限组中的数据的权限维度;
步骤520,基于所述授权维度标签,确定每一权限组中的数据的授权维度;
步骤530,基于每一权限组中的数据的所述权限维度和所述授权维度,对所述权限组进行管理。
需要说明的是,权限维度标签包括单个权限标签、应用角色标签以及业务角色标签等;授权维度标签包括人员标签、人员类型标签、组织类型标签、组织标签、群组标签以及岗位标签等。
基于权限维度标签,确定每一权限组中的数据的权限维度,以及基于授权维度标签,确定每一权限组中的数据的授权维度;最后,基于每一权限组中的数据的权限维度和授权维度,对权限组进行处理。例如,参考图6,聚合的人员权限授权数据,包括n个人员,其权限维度存在权限1、权限2,其中权限1和2属于同一应用,则权限维度是应用角色,应用角色是权限1和权限2的集合;权限维度是同一权限聚合出来的人员,通过角色授权给人员类型1便能够假设生成该批次权限授权数据。
本申请实施例通过将回收的权限数据进行聚合,整合成不同维度的授权数据,通过不同维度的授权能够更加便捷和高效的管理原本分散的权限授权数据,为售前和实施提供支持,减少相关成本,同时,提高了回收的权限授权数据的管理效率。
为了进一步对本申请提出的权限授权数据的回收管理方法进行解析说明,参考图7和以下实施例。
需要说明的是,针对于上游业务系统权限授权数据回收到权限管理平台,回收后的数据管理难度大和管理成本高等问题,另一方面,针对于权限管理系统在项目实施过程中对权限授权数据的处理时间长、成本高等问题。本申请实施例提出一种权限授权数据的回收管理方法,用于解决权限授权数据回收管理困难大、便捷性差以及成本高昂的问题,以及用于权限管理系统在售前和实施过程中对回收权限授权数据进行多维度的聚合,为售前人员和实施人员提供支撑,减少相关成本,解决权限管理的问题。
本申请实施例具体涉及适配将不同业务系统的权限授权数据回收至权限管理系统,利用权限授权数据的回收管理方法,将同步的权限授权数据从权限管理系统的不同授权维度进行聚合,将回收的权限授权数据处理为通过不同维度授权的权限,使得原本管理分散的回收权限授权数据变为只需要管理少数授权维度数据,提高权限授权数据回收的便捷性和高效性。可选地,本申请实施例的业务系统包括但不限于:IT应用系统、物联网应用系统、智能设备、物联网设备、资源目录系统以及物联网业务系统等涉及权限管理的场景。
本申请实施例主要包括权限授权数据聚合方法、授权数据聚合评分机制、授权维度转换机制。
权限授权数据聚合方法:实现对回收的权限授权数据进行聚合,将上亿的数据进行权限维度、授权维度的处理,最终聚合成几组数据,使得分散管理授权数据变成几组权限授权数据。其中,权限授权数据聚合方法的步骤包括:首先,获取待处理的回收的权限授权数据,将权限授权数据按照权限进行分类;其次,对同一分组内的权限授权数据,先按照授权维度进行聚合,将同一分组权限聚合授权维度按照评分机制取评分前十的聚合分组;最后,对满足聚合分组数量的权限进行聚合,取最后聚合维度评分前十的聚合分组。
授权数据聚合评分机制:授权数据聚合的评分机制主要根据权限维度、授权维度、聚合数量、聚合时间和其他自定义参数等五个评价指标进行评价,五个评价指标的权重初始值为20%,可根据客户或者具体情况进行调整。
授权维度转换机制:根据权限授权数据聚合的分组进行转换,若聚合数据存在非单个权限,若查询到所含权限只属于同一应用则归类为应用角色,若属于不同的应用则归类为业务角色;根据权限授权数据的授权维度(人员、人员类型、组织类型、组织、岗位、群组)和权限维度生成相关授权数据。例如,参考图6,聚合的人员权限授权数据,包括n个人员,其权限维度存在权限1、权限2,其中权限1和2属于同一应用,则权限维度是应用角色,应用角色是权限1和权限2的集合;权限维度是同一权限聚合出来的人员,通过角色授权给人员类型1便能够假设生成该批次权限授权数据。
本申请实施例通过将回收的权限数据进行聚合,整合成不同维度的授权数据,通过不同维度的授权能够更加便捷和高效的管理原本分散的权限授权数据,为售前和实施提供支持,减少相关成本;同时,使客户能够对系统的智能化、便捷化有更加深刻的了解,提升产品的竞争力;为项目实施人员提供权限授权数据的多维度聚合,缩短项目实施的周期,此外项目实施也可根据提供的支持直接进行对授权数据进行管理,从而提高回收的权限授权数据的管理效率。
下面对本申请实施例提供的权限授权数据的回收管理装置进行描述,下文描述的权限授权数据的回收管理装置与上文描述的权限授权数据的回收管理方法可相互对应参照。
参考图8,图8是本申请实施例提供的权限授权数据的回收管理装置的模块示意图,本申请的权限授权数据的回收管理装置包括第一分组模块801、聚类模块802、确定模块803、第二分组模块804和数据管理模块805。
第一分组模块801,用于基于回收的各权限授权数据的权限,对回收的所有的权限授权数据进行分组;
聚类模块802,用于基于授权维度,对每个分组内的权限授权数据进行聚类,得到至少一个第一聚类分组;
确定模块803,用于确定每个所述第一聚类分组的聚类评分值,基于所述聚类评分值确定第二聚类分组;
第二分组模块804,用于基于所述每个分组之间的所述第二聚类分组的相似度,确定至少一个权限组;
数据管理模块805,用于基于每一权限组的管理类型标签,对所述权限组进行管理。
本申请实施例提供的权限授权数据的回收管理装置,基于回收的各权限授权数据的权限,对回收的所有的权限授权数据进行分组;基于授权维度,对每个分组内的权限授权数据进行聚类,得到至少一个第一聚类分组;确定每个第一聚类分组的聚类评分值,基于聚类评分值确定第二聚类分组;基于每个分组之间的第二聚类分组的相似度,确定至少一个权限组;基于每一权限组的管理类型标签,对权限组进行管理。本申请实施例通过对回收的权限授权数据进行分组和多维度聚类,最终整合成不同维度的授权数据,通过不同维度的授权可以更加便捷和高效的管理权限授权数据,从而提高权限授权数据的管理效率。
在一个实施例中,确定模块803具体用于:
确定所有所述第一聚类分组对应的授权维度满足设定的聚合约束条件;
若所述第一聚类分组的数量大于第一设定数量且小于第二设定数量,则确定每个所述第一聚类分组的各评价指标的评分值;所述第一设定数量小于所述第二设定数量;
基于所述各评价指标的评分值和权重,确定每个所述第一聚类分组的聚类评分值。
所述评价指标至少包括权限维度、授权维度、聚合数量、聚合时间以及其他自定义参数;在一个实施例中,确定模块803具体用于:
基于所述权限维度的类型,确定每个所述第一聚类分组的所述权限维度的评分值;
基于所述授权维度的聚合维度,确定每个所述第一聚类分组的所述授权维度的评分值;
基于所述聚合数量的聚合组数,确定每个所述第一聚类分组的所述聚合数量的评分值;
基于所述聚合时间的聚合时长,确定每个所述第一聚类分组的所述聚合时间的评分值;
基于所述其他自定义参数的类型,确定每个所述第一聚类分组的所述其他自定义参数的评分值。
在一个实施例中,聚类模块802还用于:
确定所有所述第一聚类分组对应的授权维度满足设定的聚合约束条件;
若所述第一聚类分组的数量小于或等于所述第一设定数量,则结束对所述第一聚类分组的聚类评分;
若所述第一聚类分组的数量大于或等于所述第二设定数量,则结束对所述第一聚类分组的聚类评分。
在一个实施例中,第二分组模块804具体用于:
若所有分组中的至少两个分组之间的所述第二聚类分组的相似度大于或等于预设阈值,则对所述至少两个分组进行合并,得到至少一个权限组;
若所有分组中的至少两个分组之间的所述第二聚类分组的相似度小于预设阈值,则将所述至少两个分组分别作为一个权限组。
所述管理类型标签包括权限维度标签和授权维度标签;在一个实施例中,数据管理模块805具体用于:
基于所述权限维度标签,确定每一权限组中的数据的权限维度;
基于所述授权维度标签,确定每一权限组中的数据的授权维度;
基于每一权限组中的数据的所述权限维度和所述授权维度,对所述权限组进行管理。
在一个实施例中,确定模块803具体用于:
确定每个所述第一聚类分组的聚类评分值的排序结果;
基于所述排序结果,将所述聚类评分值大于设定评分值的第一聚类分组作为所述第二聚类分组。
在一个实施例中,第一分组模块801具体用于:
确定回收的所有的权限授权数据中所述权限相同的权限授权数据;
将所述权限相同的权限授权数据分配至一组。
图9示例了一种电子设备的实体结构示意图,如图9所示,该电子设备可以包括:处理器(processor)910、通信接口(Communications Interface)920、存储器(memory)930和通信总线940,其中,处理器910,通信接口920,存储器930通过通信总线940完成相互间的通信。处理器910可以调用存储器930中的逻辑指令,以执行如下方法:
基于回收的各权限授权数据的权限,对回收的所有的权限授权数据进行分组;
基于授权维度,对每个分组内的权限授权数据进行聚类,得到至少一个第一聚类分组;
确定每个所述第一聚类分组的聚类评分值,基于所述聚类评分值确定第二聚类分组;
基于所述每个分组之间的所述第二聚类分组的相似度,确定至少一个权限组;
基于每一权限组的管理类型标签,对所述权限组进行管理。
此外,上述的存储器930中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本申请实施例还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现以执行上述各实施例提供的权限授权数据的回收管理方法,例如包括:
基于回收的各权限授权数据的权限,对回收的所有的权限授权数据进行分组;
基于授权维度,对每个分组内的权限授权数据进行聚类,得到至少一个第一聚类分组;
确定每个所述第一聚类分组的聚类评分值,基于所述聚类评分值确定第二聚类分组;
基于所述每个分组之间的所述第二聚类分组的相似度,确定至少一个权限组;
基于每一权限组的管理类型标签,对所述权限组进行管理。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围。
以上实施方式仅用于说明本申请,而非对本申请的限制。尽管参照实施例对本申请进行了详细说明,本领域的普通技术人员应当理解,对本申请的技术方案进行各种组合、修改或者等同替换,都不脱离本申请技术方案的精神和范围,均应涵盖在本申请的保护范围中。

Claims (10)

1.一种权限授权数据的回收管理方法,其特征在于,包括:
基于回收的各权限授权数据的权限,对回收的所有的权限授权数据进行分组;
基于授权维度,对每个分组内的权限授权数据进行聚类,得到至少一个第一聚类分组;
确定每个所述第一聚类分组的聚类评分值,基于所述聚类评分值确定第二聚类分组;
基于所述每个分组之间的所述第二聚类分组的相似度,确定至少一个权限组;
基于每一权限组的管理类型标签,对所述权限组进行管理;
所述确定每个所述第一聚类分组的聚类评分值,包括:
确定所述第一聚类分组对应的授权维度满足设定的聚合约束条件;
若所述第一聚类分组的数量大于第一设定数量且小于第二设定数量,则确定每个所述第一聚类分组的各评价指标的评分值;所述第一设定数量小于所述第二设定数量;
基于所述各评价指标的评分值和权重,确定每个所述第一聚类分组的聚类评分值。
2.根据权利要求1所述的权限授权数据的回收管理方法,其特征在于,所述评价指标至少包括权限维度、授权维度、聚合数量、聚合时间以及自定义参数;
所述确定每个所述第一聚类分组的各评价指标的评分值,包括:
基于所述权限维度的类型,确定每个所述第一聚类分组的所述权限维度的评分值;
基于所述授权维度的聚合维度,确定每个所述第一聚类分组的所述授权维度的评分值;
基于所述聚合数量的聚合组数,确定每个所述第一聚类分组的所述聚合数量的评分值;
基于所述聚合时间的聚合时长,确定每个所述第一聚类分组的所述聚合时间的评分值;
基于所述自定义参数的类型,确定每个所述第一聚类分组的所述自定义参数的评分值。
3.根据权利要求1所述的权限授权数据的回收管理方法,其特征在于,所述基于授权维度,对每个分组内的权限授权数据进行聚类,得到至少一个第一聚类分组之后,还包括:
确定所述第一聚类分组对应的授权维度满足设定的聚合约束条件;
若所述第一聚类分组的数量等于所述第一设定数量,或者大于所述第二设定数量,则结束对所述第一聚类分组的聚类评分。
4.根据权利要求1所述的权限授权数据的回收管理方法,其特征在于,所述基于所述每个分组之间的所述第二聚类分组的相似度,确定至少一个权限组,包括:
若所有分组中的至少两个分组之间的所述第二聚类分组的相似度大于或等于预设阈值,则对所述至少两个分组进行合并,得到至少一个权限组;
若所有分组中的至少两个分组之间的所述第二聚类分组的相似度小于预设阈值,则将所述至少两个分组分别作为一个权限组。
5.根据权利要求1所述的权限授权数据的回收管理方法,其特征在于,所述管理类型标签包括权限维度标签和授权维度标签;
所述基于每一权限组的管理类型标签,对所述权限组进行管理,包括:
基于所述权限维度标签,确定每一权限组中的数据的权限维度;
基于所述授权维度标签,确定每一权限组中的数据的授权维度;
基于每一权限组中的数据的所述权限维度和所述授权维度,对所述权限组进行管理。
6.根据权利要求1所述的权限授权数据的回收管理方法,其特征在于,所述确定每个所述第一聚类分组的聚类评分值,基于所述聚类评分值确定第二聚类分组,包括:
确定每个所述第一聚类分组的聚类评分值的排序结果;
基于所述排序结果,将所述聚类评分值大于设定评分值的第一聚类分组作为所述第二聚类分组。
7.根据权利要求1所述的权限授权数据的回收管理方法,其特征在于,所述基于回收的各权限授权数据的权限,对回收的所有的权限授权数据进行分组,包括:
确定回收的所有的权限授权数据中所述权限相同的权限授权数据;
将所述权限相同的权限授权数据分配至一组。
8.一种权限授权数据的回收管理装置,其特征在于,包括:
第一分组模块,用于基于回收的各权限授权数据的权限,对回收的所有的权限授权数据进行分组;
聚类模块,用于基于授权维度,对每个分组内的权限授权数据进行聚类,得到至少一个第一聚类分组;
确定模块,用于确定每个所述第一聚类分组的聚类评分值,基于所述聚类评分值确定第二聚类分组;
第二分组模块,用于基于所述每个分组之间的所述第二聚类分组的相似度,确定至少一个权限组;
数据管理模块,用于基于每一权限组的管理类型标签,对所述权限组进行管理;
所述确定模块,还用于确定所述第一聚类分组对应的授权维度满足设定的聚合约束条件;若所述第一聚类分组的数量大于第一设定数量且小于第二设定数量,则确定每个所述第一聚类分组的各评价指标的评分值;所述第一设定数量小于所述第二设定数量;基于所述各评价指标的评分值和权重,确定每个所述第一聚类分组的聚类评分值。
9.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至7任一项所述的权限授权数据的回收管理方法。
10.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的权限授权数据的回收管理方法。
CN202311094083.0A 2023-08-29 2023-08-29 权限授权数据的回收管理方法、装置、设备和存储介质 Active CN116821867B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311094083.0A CN116821867B (zh) 2023-08-29 2023-08-29 权限授权数据的回收管理方法、装置、设备和存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311094083.0A CN116821867B (zh) 2023-08-29 2023-08-29 权限授权数据的回收管理方法、装置、设备和存储介质

Publications (2)

Publication Number Publication Date
CN116821867A CN116821867A (zh) 2023-09-29
CN116821867B true CN116821867B (zh) 2023-12-29

Family

ID=88115297

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311094083.0A Active CN116821867B (zh) 2023-08-29 2023-08-29 权限授权数据的回收管理方法、装置、设备和存储介质

Country Status (1)

Country Link
CN (1) CN116821867B (zh)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6112181A (en) * 1997-11-06 2000-08-29 Intertrust Technologies Corporation Systems and methods for matching, selecting, narrowcasting, and/or classifying based on rights management and/or other information
CN112182579A (zh) * 2020-08-28 2021-01-05 杭州数梦工场科技有限公司 进程名单生成方法及装置、异常进程检测方法及装置
CN113407530A (zh) * 2020-11-20 2021-09-17 广东美云智数科技有限公司 一种权限数据的回收方法、管理装置以及存储介质
CN114036540A (zh) * 2021-11-08 2022-02-11 上海汉得信息技术股份有限公司 基于动态配置的接口数据权限控制方法及系统
CN116245380A (zh) * 2023-05-11 2023-06-09 深圳竹云科技股份有限公司 目标业务的业务问题的确定方法、装置、计算机设备
CN116451210A (zh) * 2023-03-14 2023-07-18 中国农业银行股份有限公司 权限回收方法、装置、设备及存储介质

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6112181A (en) * 1997-11-06 2000-08-29 Intertrust Technologies Corporation Systems and methods for matching, selecting, narrowcasting, and/or classifying based on rights management and/or other information
CN112182579A (zh) * 2020-08-28 2021-01-05 杭州数梦工场科技有限公司 进程名单生成方法及装置、异常进程检测方法及装置
CN113407530A (zh) * 2020-11-20 2021-09-17 广东美云智数科技有限公司 一种权限数据的回收方法、管理装置以及存储介质
CN114036540A (zh) * 2021-11-08 2022-02-11 上海汉得信息技术股份有限公司 基于动态配置的接口数据权限控制方法及系统
CN116451210A (zh) * 2023-03-14 2023-07-18 中国农业银行股份有限公司 权限回收方法、装置、设备及存储介质
CN116245380A (zh) * 2023-05-11 2023-06-09 深圳竹云科技股份有限公司 目标业务的业务问题的确定方法、装置、计算机设备

Also Published As

Publication number Publication date
CN116821867A (zh) 2023-09-29

Similar Documents

Publication Publication Date Title
US9641334B2 (en) Method and apparatus for ascertaining data access permission of groups of users to groups of data elements
CN111639363B (zh) 基于区块链的数据分析方法及边缘计算服务器
CN110287268A (zh) 一种基于区块链的数字资产处理方法和系统
CN105354251B (zh) 电力系统中基于Hadoop的电力云数据管理索引方法
CN110348238B (zh) 一种面向应用的隐私保护分级方法及装置
CN107633257B (zh) 数据质量评估方法及装置、计算机可读存储介质、终端
WO2012090189A1 (en) Method and apparatus for ascertaining data access permission of groups of users to groups of data elements
CN112307133A (zh) 安全防护方法、装置、计算机设备及存储介质
CN115080546B (zh) 一种基于大数据的企业数据诊断系统
CN114357085B (zh) 基于区块链的财务数据存储方法、装置及存储介质
CN104965846B (zh) MapReduce平台上的虚拟人建立方法
CN107733774A (zh) 账号的关联方法和装置
CN116821867B (zh) 权限授权数据的回收管理方法、装置、设备和存储介质
CN117614693A (zh) 一种基于行为流量的云内安全威胁检测方法
CN115982646B (zh) 一种基于云平台的多源测试数据的管理方法及系统
CN116150632A (zh) 智能家居中基于局部敏感哈希的物联网设备识别方法
CN108108444B (zh) 一种企业业务单元自适应系统及其实现方法
CN116159310A (zh) 数据处理方法、装置、电子设备以及存储介质
CN115481108B (zh) 一种针对同一数据在不同部门之间的管理方法及系统
CN118504009B (zh) 一种基于多数据源的动态数据隔离方法和系统
CN110138723A (zh) 一种邮件网络中恶意社区的确定方法及系统
CN113190550B (zh) 一种基于树形结构的组织结构权限分配方法
CN118193503B (zh) 一种服务器中心数据的分级管理系统
CN115033608B (zh) 一种储能系统信息的分级处理方法及系统
CN118377941B (zh) 智慧财务处理方法及平台

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant