CN117390648A - 资源访问权限的管理方法、装置、设备及存储介质 - Google Patents

资源访问权限的管理方法、装置、设备及存储介质 Download PDF

Info

Publication number
CN117390648A
CN117390648A CN202311389941.4A CN202311389941A CN117390648A CN 117390648 A CN117390648 A CN 117390648A CN 202311389941 A CN202311389941 A CN 202311389941A CN 117390648 A CN117390648 A CN 117390648A
Authority
CN
China
Prior art keywords
information
resource
access
object group
group
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202311389941.4A
Other languages
English (en)
Inventor
陈毅臻
尹涛
宋翔宇
曾晋川
赵宇成
戴云峰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tencent Technology Shenzhen Co Ltd
Original Assignee
Tencent Technology Shenzhen Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tencent Technology Shenzhen Co Ltd filed Critical Tencent Technology Shenzhen Co Ltd
Priority to CN202311389941.4A priority Critical patent/CN117390648A/zh
Publication of CN117390648A publication Critical patent/CN117390648A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • Storage Device Security (AREA)

Abstract

一种资源访问权限的管理方法、装置、设备及存储介质,属于信息安全技术领域。本方法可应用于云技术、智慧交通、辅助驾驶等场景。方法包括:获取对象分组信息和第一资源的访问信息,对象分组信息用于表征至少一个对象分别在对象组中的归属情况,访问信息用于表征对象对第一资源的历史访问情况;基于对象分组信息对访问信息进行对象关联处理,得到对象组分别对应的相关性信息,相关性信息用于表征对象组与第一资源之间的关联关系;以相关性信息为筛选次序,从对象组中筛选出第一对象组,筛选次序是指决策对象组作为第一对象组的资格的顺序,第一对象组需要被配置第一资源的访问权限。本方法实现资源访问权限的自动管理,提升了权限管理的效率。

Description

资源访问权限的管理方法、装置、设备及存储介质
技术领域
本申请涉及信息安全技术领域,特别涉及一种资源访问权限的管理方法、装置、设备及存储介质。
背景技术
资源的访问权限管理场景中,为了提升系统资源的安全性、避免资源泄露,可以使用零信任应用程序为不同的对象配置其需要使用的资源的访问权限。
相关技术中,由管理人员人工配置资源与对象之间的映射关系。例如,基于角色的访问控制(Role Based Access Control,RBAC)方法中,管理人员建立资源的访问权限与角色之间的对应关系,并将对象划分到特定的角色中,使得对象获得该角色所映射的资源的访问权限。
然而,这种方法需要人工手动调整资源的访问权限与角色之间的映射关系,权限管理效率较低。
发明内容
本申请提供了一种资源访问权限的管理方法、装置、设备及存储介质。所述技术方案如下:
根据本申请实施例的一个方面,提供了一种资源访问权限的管理方法,所述方法包括:
获取对象分组信息和第一资源的访问信息;其中,所述对象分组信息用于表征至少一个对象分别在至少一个对象组中的归属情况,所述访问信息用于表征所述至少一个对象分别对所述第一资源的历史访问情况;
基于所述对象分组信息对所述访问信息进行对象关联处理,得到所述至少一个对象组分别对应的相关性信息,所述相关性信息用于表征所述对象组与所述第一资源之间的关联关系;
以所述相关性信息为筛选次序,从所述至少一个对象组中筛选出至少一个第一对象组;其中,所述筛选次序是指决策所述对象组作为所述第一对象组的资格的顺序,所述第一对象组需要被配置所述第一资源的访问权限。
根据本申请实施例的一个方面,提供了一种资源访问权限的管理方法,所述方法包括:
显示用于配置授权规则的权限配置界面,所述授权规则用于指示至少一个对象组对资源的访问权限;
响应于所述权限配置界面中请求调整第一资源的授权规则的操作,显示第一授权规则的性能评分;其中,所述第一授权规则基于所述至少一个对象组分别对应的相关性信息确定,所述第一授权规则用于为所述至少一个对象组中的第一对象组配置所述第一资源的访问权限,所述相关性信息用于表征所述对象组与所述第一资源之间的依赖关系;
响应于应用所述第一授权规则的操作,显示提示信息,所述提示信息用于表征已基于所述第一授权规则为所述第一对象组配置所述第一资源的访问权限。
根据本申请实施例的一个方面,提供了一种资源访问权限的管理装置,所述装置包括:
信息获取模块,用于获取对象分组信息和第一资源的访问信息;其中,所述对象分组信息用于表征至少一个对象分别在至少一个对象组中的归属情况,所述访问信息用于表征所述至少一个对象分别对所述第一资源的历史访问情况;
信息确定模块,用于基于所述对象分组信息对所述访问信息进行对象关联处理,得到所述至少一个对象组分别对应的相关性信息,所述相关性信息用于表征所述对象组与所述第一资源之间的依赖关系;
对象选择模块,用于以所述相关性信息为筛选次序,从所述至少一个对象组中筛选出至少一个第一对象组;其中,所述筛选次序是指决策所述对象组作为所述第一对象组的资格的顺序,所述第一对象组需要被配置所述第一资源的访问权限。
根据本申请实施例的一个方面,提供了一种资源访问权限的管理装置,所述装置包括:
界面显示模块,用于显示用于配置授权规则的权限配置界面,所述授权规则用于指示至少一个对象组对资源的访问权限;
所述界面显示模块,还用于响应于所述权限配置界面中请求调整第一资源的授权规则的操作,显示第一授权规则的性能评分;其中,所述第一授权规则基于所述至少一个对象组分别对应的相关性信息确定,所述第一授权规则用于为所述至少一个对象组中的第一对象组配置所述第一资源的访问权限,所述相关性信息用于表征所述对象组与所述第一资源之间的依赖关系;
所述界面显示模块,还用于响应于应用所述第一授权规则的操作,显示提示信息,所述提示信息用于表征已基于所述第一授权规则为所述第一对象组配置所述第一资源的访问权限。
根据本申请实施例的一个方面,提供了一种计算机设备,所述计算机设备包括处理器和存储器,所述存储器中存储有计算机程序,所述计算机程序由所述处理器加载并执行以实现如上所述的资源访问权限的管理方法。
根据本申请实施例的一个方面,提供了一种计算机可读存储介质,所述存储介质中存储有计算机程序,所述计算机程序由处理器加载并执行以实现如上所述的资源访问权限的管理方法。
根据本申请实施例的一个方面,提供了一种计算机程序产品,所述计算机程序产品包括计算机程序,所述计算机程序存储在计算机可读存储介质中,处理器从所述计算机可读存储介质读取并执行所述计算机程序,以实现如上所述的资源访问权限的管理方法。
本申请实施例提供的技术方案带来的有益效果至少包括:
本申请实施例将对象组作为最小的访问权限配置单元。根据对象组与资源之间的依赖关系,从至少一个对象组中自动筛选出需要配置资源的访问权限的对象组。一方面,由于同一对象组中的对象存在相似的资源的访问需求,将对象组作为访问权限配置的基本单元,有助于减少为不必要的对象配置资源的访问权限。有助于实现资源访问权限的最小化授权,提升了权限管理过程的安全性。
另一方面,相比于相关技术中需要人工对资源的访问权限进行管理和维护,本申请实施例根据对象组对应的相关性信息,自动筛选出需要获取资源的访问权限的对象组。也即自动确定出某个资源的推荐授权规则。这样不仅实现了对授权规则自动化管理,提升了权限管理的效率。而且,有助于避免人工进行权限管理时引入的主观误差,提升了配置资源的访问权限的正确性。
附图说明
图1是本申请一个示例性实施例提供的方案实施环境的示意图;
图2是本申请提供的资源访问权限的管理方法的发明构思的示意图;
图3是本申请一个示例性实施例提供的资源访问权限的管理方法的流程图;
图4是本申请一个示例性实施例提供的数据采集过程的示意图;
图5是本申请一个示例性实施例提供的第一对象组确定方法的示意图;
图6是本申请一个示例性实施例提供的资源访问权限的管理方法执行阶段的示意图;
图7是本申请一个示例性实施例提供的数据预处理阶段的示意图;
图8是本申请另一个示例性实施例提供的资源访问权限的管理方法的流程图;
图9是本申请一个示例性实施例提供的权限配置界面的示意图;
图10是本申请一个示例性实施例提供的对比信息的显示效果的示意图;
图11是本申请一个示例性实施例提供的资源访问权限的管理方法的应用示意图;
图12是本申请一个示例性实施例提供的资源访问权限的管理装置的框图;
图13是本申请另一个示例性实施例提供的资源访问权限的管理装置的框图;
图14是本申请一个示例性实施例提供的计算机设备的结构框图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,下面将结合附图对本申请实施方式作进一步地详细描述。
人工智能(Artificial Intelligence,AI):是利用数字计算机或者数字计算机控制的机器模拟、延伸和扩展人的智能,感知环境、获取知识并使用知识获得最佳结果的理论、方法、技术及应用系统。换句话说,人工智能是计算机科学的一个综合技术,它企图了解智能的实质,并生产出一种新的能以人类智能相似的方式做出反应的智能机器。人工智能也就是研究各种智能机器的设计原理与实现方法,使机器具有感知、推理与决策的功能。
机器学习(Machine Learning,ML):是一门多领域交叉学科,涉及概率论、统计学、逼近论、凸分析、算法复杂度理论等多门学科。专门研究计算机怎样模拟或实现人类的学习行为,以获取新的知识或技能,重新组织已有的知识结构使之不断改善自身的性能。机器学习是人工智能的核心,是使计算机具有智能的根本途径,其应用遍及人工智能的各个领域。机器学习和深度学习通常包括人工神经网络、置信网络、强化学习、迁移学习、归纳学习、示教学习等技术。
随着人工智能技术研究和进步,人工智能技术在多个领域展开研究和应用,如依赖机器学习领域的评估方法实现自动化确定资源的授权权限。相信随着技术的发展,人工智能技术将在更多的领域得到应用,并发挥越来越重要的价值。
互信息(Mutual Information):是指衡量两个随机变量之间关联程度的统计量。互信息用于度量两个随机变量之间的信息共享程度。假设,有两个随机变量X和Y,随机变量X和Y的互信息等于随机变量X和Y之间的联合分布和边缘分布的乘积之比的对数。
随机变量X和Y之间的互信息通过以下公式进行计算:
其中,p(x,y)是指随机变量X和Y之间的联合分布概率,p(x)表示随机变量X各在个情况的边缘概率分布,p(y)表示随机变量Y各在个情况的边缘概率分布。互信息的值越大,表示随机变量X和Y之间的相关性越强;反之,互信息的值越小,表示随机变量X和Y之间的相关性越弱。
用户分组:是指以组织中的部门等组织架构为基础对用户划分得到的分组。如用户分组为:XX公司XX部门XX项目组等。部门与子部门之间存在资源访问权限的继承关系,一个用户可以属于多个部门。用户分组可以对应权利要求中的对象组,用户可以对应权利要求中的对象。
自定义分组:是指自由创建的用户组合。自定义分组可以根据用户所属角色等建立,如产品经理、项目经理、设计师等。自定义分组之间不存在继承关系。自定义分组也可以对应权利要求中的对象组。一个用户可以同时属于多个用户分组或自定义分组。
访问资源授权:是指对象通过零信任安全软件访问互联网资源或者企业内网资产时,零信任安全软件为对象对资源访问权限进行的授权的动作。访问资源授权的基本单元包括但不限于以下至少之一:用户分组、自定义分组、用户。
资源:是指根据域名、泛域名、网络协议(Internet Protocol,IP)地址、网络协议地址段进行匹配的网络资源。
权限治理:是指依靠人工梳理各用户和各系统间的业务需求关系,为用户配置相应的资源访问权限的过程。
图1是本申请一个示例性实施例提供的方案实施环境的示意图。该方案实施环境可以包括:权限管理设备10、终端设备20和服务器30。
权限管理设备10包括但不限于个人计算机(Personal Computer,PC)、平板电脑、手机、可穿戴设备、智能家电、车载终端、虚拟现实设备、增强现实设备、混合现实设备等具有运算和存储能力的电子设备。权限管理设备10用于管理资源的访问权限。权限管理设备10可以是零信任授权应用程序的后台支持设备。
终端设备20可以是诸如个人计算机、平板电脑、手机、可穿戴设备、智能家电、车载终端、飞行器等电子设备。终端设备20中运行有目标应用程序,目标应用程序用于管理资源的访问权限。
示例性地,目标应用程序为零信任授权应用程序,用于为终端设备20授权资源的访问权限,以及在对象需要访问某个资源时,根据对象已经具有的资源的访问权限,确定对象能否对该资源进行访问。示例性地,终端设备20还可以通过目标应用程序对组织中各个对象具有的资源的访问权限进行管理,或者通过目标应用程序自动对资源的访问权限进行管理。
服务器30用于为终端设备20中的目标应用程序的客户端提供后台服务。例如,服务器30可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式系统,还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务内容分发网络、(Content Delivery Network,CDN)、以及大数据和人工智能平台等基础云计算服务的云服务器,但并不局限于此。服务器30至少具有数据接收功能和计算功能。
可选地,权限管理设备10管理资源的访问权限的功能,通过服务器30实现(即,权限管理设备10和服务器30为同一台设备)或者,权限管理设备10与服务器30是两台相互独立的设备。
在一个示例中,服务器30接收到终端设备20通过目标应用程序发送的请求后,服务器30通知权限管理设备10执行资源访问权限的管理方法。
在另一个示例中,终端设备20直接请求权限管理设备10执行资源访问权限的管理方法。
相关技术中,零信任授权下的权限管理包括以下几种方法。
1.基于角色的访问控制。
该方法需要建立资源的访问权限与角色之间的对应关系。具体地,该方法通过将对象划分到特定的角色中,使得对象获得该角色所对应的资源的访问权限,实现权限的管理和控制。由于RBAC的授权模型需要预先建立资源的访问权限与角色之间的对应关系。在对应关系变化的情况下,需要人工手动调整资源的访问权限与角色之间的对应关系,权限管理过程死板且缺少灵活性。
2.基于属性的访问控制(Attribute Based Access Control,ABAC)。
该方法基于对象和资源的属性进行访问控制。对象的属性包括以下至少之一:对象的身份、对象所属的部门。在ABAC方法中,需要建立对象属性与资源的访问权限之间的对应关系。ABAC模型对属性的管理和维护比较复杂,需要使用规则或策略引擎进行解释和执行。
3.基于策略的访问控制(Policy Based Access Control,PBAC)。
该方法通过定义策略对资源的访问权限进行管理管理。策略可以包括资源属性以及其它规则或条件。与上述两种资源管理方法存在的问题类似。由于策略需要人工进行确定。因此,PBAC模型的策略管理和维护也比较困难。而且,对策略的解释和优化使得这种方法的工作量提升。
由上述内容可知,相关技术中的资源访问权限的管理方法存在以下几个缺陷。
1.配置繁琐:相关技术需要预先定义和配置角色、属性或策略。这些操作以及后续不断调整以适应变化的需求的步骤都需要人工进行。而且,工作人员主观判断容易导致这些步骤出现配置错误或冗余。
由于资源、对象的数量较多,仅凭人工难以梳理清楚全网对象的权限需求。依靠人工梳理各对象和各系统间的业务需求关系,无法实现“高效低成本运营”和“最小化按需授权”。
2.缺乏自动化:相关技术需要手动进行权限的分配和管理,缺乏自动化的能力,无法及时响应变化的访问需求。难以基于业务需求持续运营精细化授权规则。在相关技术中,授权越精细,规则的组合就会越复杂,在业务需求不断变化的情况下,规则很难维护。而且,相关技术中,缺乏简单有效的方法基于业务需求找到最合理的精细化授权规则。由于这些资源访问权限的管理方法难以长期维护,导致授权规则逐渐被腐化,从而形成“授权粗放”。
3.难以量化控制效果:相关技术无法量化权限管理效果的好坏,缺乏有效的评估和优化手段;难以实现最小化按需授权。由于组织中的统一身份管理存在信息碎片化,因此并非所有用户都能被合理地归入对应的部门和角色(例如外包、合作伙伴)。这导致存在部分场景无法基于“用户标签”实现最小化授权,最小化按需授权将会存在“短板”。无法通过最小化按需授权,实现最小化暴露面与风险面。
图2是本申请提供的资源访问权限的管理方法的发明构思的示意图。
基于上述问题,本申请实施例通过对象分组信息和第一资源的访问信息,确定对象组与资源之间的相关性信息,该相关性信息能够表征资源与对象组之间的依赖关系。权限管理设备基于相关性信息能够自动筛选出需要配置资源的访问权限的对象组,实现了自动化对资源的访问权限进行管理。
图3是本申请一个示例性实施例提供的资源访问权限的管理方法的流程图。示例性地,该方法的执行主体可以是图1中的权限管理设备10。为了叙述方便,下面将计算机设备作为执行主体,对资源访问权限的管理方法进行介绍说明。如图3所示,该方法可以包括如下几个步骤(310~330)。
步骤310,获取对象分组信息和第一资源的访问信息;其中,对象分组信息用于表征至少一个对象分别在至少一个对象组中的归属情况,访问信息用于表征至少一个对象分别对第一资源的历史访问情况。
在一些实施例中,对象是指对访问资源的最小单位。对象可以理解成能够访问资源的用户。该用户包括但不限于公司中的员工、学校中的教资人员、组织中的成员等。本文实施例中,使用“组织”、“系统”描述至少一个对象所属的群体。例如,对象可以是某个组织的统一身份认证在包括的任意一个成员。
可选地,至少一个对象具有同一特征标识。示例性地,特征标识的类型包括但不限于以下至少之一:组织标识、任务标识、区域标识等。例如,至少一个对象具有同一组织标识,也就是说,至少一个对象属于同一个组织。又例如,至少一个对象具有同一任务标识,即至少一个对象参与同一任务。又例如,至少一个对象具有同一区域标识,即至少一个对象所处的区域范围相同。需要说明的是,特征标识根据实际需要进行设定,本申请在此不进行限定。
在一些实施例中,对象组是指对象的集合体。对象组中包括一个或者多个对象。可选地,对象组中包括的对象根据上述至少一个对象所属的组织确定。例如上述至少一个对象所属的组织为公司,则对象组与该公司的组织构架有关。例如,对象组为公司中的部门、子部门等。示例性地,对象组还可以是人为在组织中定义的自定义分组。
可选地,不同的对象组中包括的对象不存在重叠。也就是说,一个对象仅属于一个对象组。可选地,不同的对象组中包括的对象存在重叠;也即,对于某一个对象,该对象可以同时属于多个对象组。在本方法执行过程中,对于至少一个对象中的任意一个对象,该对象属于哪些对象组可以通过组织的组织构架确定。
在一些实施例中,资源是指根据域名、泛域名、网络协议地址、网络协议地址段的方法进行匹配的网络资源。可选地,资源是公共网络的资源,或者是组织的内网资源。资源的形式包括但不限于以下至少之一:文档、网页、音频、视频、执行脚本等。
示例性地,资源与至少一个对象所属的组织有关。组织中包括多个资源,该多个资源供组织中的对象访问。由于组织中的不同对象分别具有各自的资源访问需求,为了降低组织拥有的资源被泄露、被篡改的风险,可以采用零信任授权的方式对资源进行访问。零信任授权应用程序为各个对象配置资源的访问权限。
可选地,第一资源为多个资源中需要分配访问权限的任意一个或者多个资源。由于资源和对象的数量都较多,通过管理人员人工为对象配置资源的访问权限需要消耗大量的人工成本。本申请提供的资源访问权限的管理方法的目的就是确定出需要为哪些对象组配置第一资源的访问权限。
示例性地,第一资源由组织的管理人员选定。例如,管理人员在目标应用程序提供的候选资源中选择第一资源,并指示执行用于对第一资源进行权限管理的操作。终端设备响应于选择第一资源的操作,且在接收到请求行用于对第一资源进行权限管理的操作之后,请求计算机设备针对第一资源进行权限管理。
示例性地,第一资源由计算机设备确定。例如,计算机设备定期对组织具有的所有资源进行权限管理。例如,计算机设备每隔第二时间段对每一个资源的授权规则进行评分;若某个资源的授权规则的性能评分低于性能阈值,则计算机设备将该资源确定为第一资源,并进行针对第一资源的权限管理。第二时间段、性能阈值为预设置。第一资源的确定方法根据实际需要确定,在此不进行限定。
在一些实施例中,对象分组信息用于表征至少一个对象组分别包括的对象。可选地,对象分组信息中包括对象组与对象的映射关系。示例性地,在对象分组信息中,对象组通过对象组标识表示,对象通过对象标识表示。对象组标识唯一指示对象组,对象标识用于唯一指示对象。对象组标识可以是对象组的名称、编号、序号等。对象标识可以是对象的名称、编号、序号等,在此不进行限定。
对于至少一个对象组中的任意一个对象组,该对象组与对象的映射关系用于指示与该对象组中包括的全部对象。
示例性地,对象分组信息以矩阵的形式表示。假设,至少一个对象为K个对象,至少一个对象组为N个对象组,则对象分组信息为K*N的矩阵;其中,K、N为正整数。当然,对象分组信息也可以是N*K的矩阵,在此不进行限定。
例如,对象分组信息为K*N的矩阵G,该矩阵G中的元素Gkn用于表征对象k是否属于对象组n。对象分组信息G中的元素可以通过以下公式表示:
其中,gk,n为对象分组信息G中的元素,也即分组子信息。k为小于或者等于对象总数K的正整数,n为小于或者等于对象组总数N的正整数。
在一些实施例中,资源的访问信息用于表征对象分别对多个资源的历史访问情况。可选地,资源的访问信息使用矩阵形式表示。假设,至少一个对象为K个对象,多个资源中包括M个资源,则资源的访问信息为K*M的矩阵。资源的访问信息也可以是M*K的矩阵,在此不进行限定。
例如,资源的访问信息为K*M的矩阵Y,该矩阵Y中的元素ykm用于表征对象k是否历史访问过对资源m。资源的访问信息中的元素可以通过以下公式表示:
其中,为资源的访问信息Y中元素,也即访问子信息。k为小于或者等于对象总数K的正整数,m为小于或者等于资源总数M的正整数。
在一些实施例中,第一资源的访问信息为上述资源的访问信息的子集。如上一个示例,若资源的访问信息使用K*M的矩阵Y表示,则第一资源m1的访问信息为矩阵Y中的第m1列,m1为小于或者等于M的正整数。
可选地,第一资源的访问信息中包括至少一个对象的访问子信息。对于某个对象来说,该对象的访问子信息用于表征该对象是否历史访问过第一资源。
在一些实施例中,计算机设备从对象所属组织的组织构架中获取对象分组信息,从数据库用获取第一资源的历史访问记录,并生成第一资源的访问信息。有关该过程的具体内容请参考下文实施例。
步骤320,基于对象分组信息对访问信息进行对象关联处理,得到至少一个对象组分别对应的相关性信息,相关性信息用于表征对象组与第一资源之间的关联关系。
在一些实施例中,相关性信息衡量对象组对第一资源的依赖性。可选地,相关性信息通过数值表示,对象组对第一资源的依赖性与相关性信息呈正相关关系。相关性信息的数值越大,表示对象组和第一资源之间的依赖性越强,也就是说,对象组中的对象访问第一资源的需求越强。反之,相关性信息的数值越小,表示对象组和第一资源之间的依赖性越弱,表示对象组中的对象访问第一资源的需求不显著。
在一些实施例中,在确定出第一资源的访问信息和对象分组信息之后,计算机设备基于对象分组信息对访问信息进行对象关联处理,得到至少一个对象组分别对应的相关性信息,包括:对于任意一个对象组,计算机设备根据对象分组信息,确定属于某个对象组的所有对象;计算机设备从第一资源的访问信息中获取属于该对象组的所有对象的访问子信息;并根据属于该对象组的所有对象的访问子信息,确定该对象组与第一资源之间的相关性信息。有关该过程的具体内容请参考下文实施例。
可选地,对象关联处理用于按照对象组确定第一资源的访问信息中记录的对象的分组。也就是说,计算机设备通过对象分组信息确定第一资源的访问信息中包括的对象与分别属于哪个对象组,从而以对象组为单位,确定出对象组与第一资源之间的相关程度。
由于不同的对象组之间不存在关联关系,每个对象组对应的相关性信息能够独立地确定。可选地,计算机设备并行计算多个对象组分别对应的相关性信息。例如,计算机设备在第一时刻建立t个线程,t个线程中的每一个线程用于独立计算一个对象组对应的相关性信息,t为大于1的正整数。通过这种方法有助于提升确定至少一个对象组分别对应的相关性信息的效率。
由上文内容可知,不同的对象组分别包括的对象不完全相同。因此,在组织中包括多个组对象的情况下,存在至少两个对象组分别对应的相关性信息不同。也即,通过相关性信息能够表征至少一个对象组之间的差异,这使得计算机设备在后续步骤中能够根据相关性信息,从至少一个对象组中筛选确定需要获取第一资源的访问权限的对象组。有关各个对象租的相关性信息的计算方法请参考下文实施例。
步骤330,以相关性信息为筛选次序,从至少一个对象组中筛选出至少一个第一对象组;其中,筛选次序是指决策对象组作为第一对象组的资格的顺序,第一对象组需要被配置第一资源的访问权限。
在一些实施例中,第一资源的访问权限用于使对象具有访问第一资源的权利。示例性地,若某个对象具有第一资源的访问权限,则该对象能够访问第一资源;若某个对象不具有第一资源的访问权限,则该对象不能访问第一资源。
在一些实施例中,计算机设备按照筛选次序逐个从至少一个对象组中筛选第一对象组。可续地,筛选次序与相关性信息的数值有关。示例性地,计算机设备按照相关性信息从大到小,逐个将至少一个对象组作为候选的对象组,并对候选的对象组是否具有作为第一对象组的资格进行评估。
由上文介绍可知,对象组与第一资源之间的相关程度与相关性信息呈正相关关系。也即随着相关性信息的递减,对象组对第一资源的依赖性逐渐下降。因此,可以取消验证所对应相关性信息较小的对象组是否具有作为第一对象组资格的步骤。通过这种方法在保证资源的访问权限的配置合理性的同时,还有助于减少计算机设备的计算量,提升对第一资源的访问权限进行管理的效率。
第一对象组来自上述至少一个对象组。以对象所属的组织为公司为例,对象组是指公司中的部门、子部门。也就是说,第一对象组为公司中需要被配置第一资源的访问权限的部门。
可选地,在本方法以对象组作为资源访问权限的配置单元,由对象组对第一资源的访问权限,确定对象对第一资源的访问权限。若某对象k1所属的全部对象组均不具备第一资源的访问权限,则该对象k1不具备第一资源的访问权限,该对象k1不能对第一资源进行访问。若某对象k2所属的对象组中包括第一对象组,则该对象k2具备第一资源的访问权限。也即,对象k2能对第一资源进行访问。
示例性地,对于某个第一对象组,若该第一对象组具有第一资源的访问权限,则该第一对象组中包括的所有对象也具有第一资源的访问权限。也就是说,该第一对象组中包括的对象能够自由访问第一资源。
示例性地,对于某个对象组,若该对象组不具有第一资源的访问权限,则该对象组中包括的任意一个对象无法从该对象组处获得第一资源的访问权限。
可选地,第一对象组对应的相关性信息,大于或者等于至少一个对象组中除了第一对象组之外的其它对象组对应的相关性信息。示例性地,某个对象组对应的相关性信息的数值大小,决定计算机设备确定是否将该对象组确定为第一对象组的顺序。
在一个示例中,计算机设备从N个对象组中确定出P个第一对象组,N为正整数,P为小于或者等于N的正整数。该P个第一对象组为需要配置第一资源的访问权限的对象组。N个对象组中除了P个第一对象组之外的其它对象组无需配置第一资源的访问权限。可选地,从至少一个第一对象组中筛选出哪些对象组作为第一对象组,与第一资源的访问信息有关。有关该步骤的具体内容请参考上文实施例。
综上所述,本申请实施例通过将对象组作为最小的访问权限配置单元,根据对象组与资源之间的依赖关系,从至少一个对象组中自动筛选出需要配置资源访问权限的对象组。一方面,由于同一对象组中的对象存在相似的资源的访问需求,将对象组作为访问权限配置的基本单元,有助于减少为不必要的对象配置资源访问权限的情况出现。有助于实现资源访问权限的最小化授权,提升权限管理过程的安全性。
另一方面,相比于相关技术中需要人工对资源的访问权限进行管理和维护,本申请实施例通过对象组对应的相关性信息能够自动筛选出需要获取资源访问权限的对象组,也即自动确定出某个资源的推荐授权规则。这样不仅实现了对授权规则自动化管理,提升了权限管理的效率。而且,有助于避免人工进行权限管理时引入的主观误差,提升了资源访问权限配置的正确性。
下面通过几个实施例对分组信息和第一资源的访问信息的获取方法进行介绍说明。
在一些实施例中,步骤310,获取对象分组信息和第一资源的访问信息,可以包括以下几个子步骤。
子步骤311,计算机设备根据至少一个对象组所属的组织构架,获取对象分组信息。
在一些实施例中,组织构架用于对至少一个对象组进行层级化管理。组织构架用于表征对象所属的组织内部的管理结构。组织构架中包括至少一个对象组,不同对象组在组织构建中的层级可以不同。例如,组织构建中包括部门A、部门B,子部门a,其中,子部门a为部门A的下层分支部门,部门A和部门B在组织构架中的层级相等。这里提到的部门、子部门都对应本实施例中的对象组。
示例性地,计算机设备根据至少一个对象组所属的组织构架,确定组织中包括的全部对象组,并统计每一个对象组中包括的对象,得到对象分组信息。
示例性地,在进行权限管理的过程中,对象分组信息为已知的。计算机设备从数据库中获取对象分组信息,该对象分组信息根据至少一个对象组的组织构架确定。
子步骤313,计算机设备获取第一资源的历史访问记录,历史访问记录用于记录历史访问第一资源的对象;
在一些实施例中,历史访问记录用于记录对象对资源的历史访问情况。历史访问记录的形式包括但不限于以下至少之一:日志文件、流量分析信息,历史记录信息等。其中,日志文件用于存储对象对资源的访问事件,流量分析信息是指通过对访问第一资源的流量进行分析,而确定出对象对资源的访问情况的信息。
示例性地,历史访问记录包括至少一个记录条目,记录条目用于记录针对某个资源的历史访问时间。记录条目中包括但不限于以下至少之一:访问时刻,对象标识,资源标识。
子步骤315,计算机设备对历史访问记录进行筛选,得到第一资源的访问信息。
在一些实施例中,计算机设备从数据库中获取历史访问记录,并根据历史访问记录生成第一资源的访问信息。可选地,对于每一个对象,历史访问记录中记载有该对象对全部资源的历史访问情况;在这种情况下,计算机设备根据第一资源的资源标识,从历史访问记录中获取与第一资源有关的记录条目,并根据与第一资源有关的记录条目,确定第一资源的访问信息。
可选地,历史访问记录中仅记录与第一资源有关的历史访问情况。计算机设备根据历史访问记录,统计各个对象对第一资源的历史访问情况,得到第一资源的访问信息。
在本实施例中通过组织构架确定对象分组信息,使用对象分组信息参与资源的访问权限进行管理。对象分组信息相对其他信息能够可靠的反映出对象与对象组之间的映射关系。通过运用组织管理过程中沉淀下来的对象分组信息,以及由历史访问记录获取的访问信息,能够实现访问权限的自动化管理。
在一些实施例中,子步骤315,计算机设备对历史访问记录进行筛选,得到第一资源的访问信息,还可以包括以下几个子步骤。
子步骤315-a,对历史访问记录进行时段筛选,获取第一时间段内至少一个对象的历史访问次数,历史访问次数是指对象在第一时间段内访问第一资源的次数。
在一些实施例中,第一时间段是指过去的任意一个时间段。历史访问记录中包括对象在第一时间段内对第一资源的历史访问情况。例如,第一时间段可以是指7月6日至7月10日,第一时间段也可以是指10月到11月。
可选地,第一时间段的起始时刻和时间跨度由管理人员指定。示例性地,终端设备响应于设置第一时间段的操作,向计算机设备发送时间段指示;其中,时间段指示用于向计算机设备指示第一时间段。
计算机设备根据历史访问记录,统计第一时间段内各个对象的历史访问次数。可选地,历史访问次数等于x,x为自然数。也就是说,历史访问次数的最小值为0。若某个对象的历史访问次数为0,则表示该对象在第一时间段内没有对第一资源进行访问。
示例性地,计算机设备根据历史访问记录确定出各个对象的历史访问次数,通过历史访问次数能够表征对象对第一资源进行访问的频繁程度。为了剔除历史访问记录中由对象误触等情况触发访问第一资源,对历史访问次数反映对象对第一资源的使用程度的准确度造成干扰,计算机设备可以通过下列步骤对历史访问次数进行筛选。
子步骤313-b,对于至少一个对象中的每一个对象,计算机设备将历史访问次数大于或者等于第一阈值的对象确定为活跃对象。
活跃对象可以理解成频繁对第一资源进行访问的对象。也即,活跃对象是指对第一资源的依赖程度较大的对象。可选地,第一阈值为预设的正数,例如第一阈值等于10、20等。示例性地,第一阈值与第一时间段的时间跨度呈正相关关系。也即,第一时间段的时间跨度越大,第一阈值的数量越大;第一时间段的时间跨度越小,第一阈值的数量越小。
在一些实施例中,计算机设备根据历史访问次数与第一阈值之间的数量关系,确定能否将对象确定为活跃对象。对于某一个对象来说,若该对象的历史访问次数大于或者等于第一阈值的对象,则计算机设备将该对象确定为活跃对象;若该对象的历史访问次数小于或者等于第一阈值的对象,则计算机设备确定该不能作为活跃对象。
子步骤313-c,将活跃对象的访问子信息设置为:历史已访问第一资源,将至少一个对象中除了活跃对象之外的其他对象的访问子信息设置为:历史未访问第一资源。
在一些实施例中,某个对象的访问子信息用于表征对象对第一资源的访问情况。可选地,访问子信息通过1比特字符表示。“1”表示历史已访问第一资源,“0”表示历史未访问第一资源。其中,历史已访问第一资源用于表征在资源访问权限的过程中,认为对象历史访问过第一资源;历史未访问第一资源用于表征在资源访问权限的过程中,认为对象没有访问过第一资源。
子步骤313-d,组合至少一个对象的访问子信息,得到第一资源的访问信息。
在一些实施例中,第一资源的访问信息通过向量的形式表示。计算机设备对各个对象的访问子信息进行排列,得到一个向量,该向量即为第一资源的访问信息。
图4是本申请一个示例性实施例提供的数据采集过程的示意图。
计算机设备采集组织的历史访问记录和组织构架中的对象分组信息。在后续步骤中计算机设备使用历史访问记录和对象分组信息对资源的访问权限进行管理。
通过这种方法,根据时间段和访问次数的阈值对至少一个对象进行筛选,确定出活跃对象,并根据对象是否为活跃对象确定资源的访问信息。一方面,使得资源的访问信息能够反映特定时间段内的历史访问情况,支持管理人员根据实际配置需要来指定时间段,有助于提升资源的访问信息的确定过程的灵活性。另一方面,通过第一阈值筛选出活跃对象,有助于避免错误操作导致对第一资源的历史访问对资源的访问信息造成的影响,有助于提升资源的访问信息反映出历史访问情况的准确性。
在确定出访问信息和对象分组信息之后,计算机设备开始确定每一个对象组分别对应的相关性信息。下面通过几个实施例对相关性信息的确定方法进行介绍说明。
在一些实施例中,步骤320,基于对象分组信息对访问信息进行对象关联处理,得到至少一个对象组分别对应的相关性信息,还可以包括如下几个子步骤。
子步骤321,对于至少一个对象组中的每一个对象组,根据对象分组信息和对象总数进行对象分布处理,确定对象组的对象分布信息,对象分布信息用于表征对象组中包括的对象在对象总数中所占比例。
在一些实施例中,对象组的对象分布信息是指对象组的边缘分布。对象组分布信息表示属于该对象组的对象在至少一个对象组中的分布情况。
可选地,对于对象组n,计算机设备根据对象分组信息确定对象组n的分组子信息,分组子信息用于表征对象组n中包括的对象;计算机设备根据对象组n的分组子信息,确定对象组n中包括的对象数量;计算机设备对象组n中包括的对象数量和对象总数进行对象分布处理,确定对象组n的对象分布信息。其中,对象总数表示至少一个对象具体由多少个对象组成。
示例性地,对象分布处理用于确定对象组中的对象在至少一个对象中的分布情况。即通过对象分布处理能够计算出对象组中的对象在全部对象的比例。
可选地,对象组n的对象分布信息包括第一对象分布和第二对象分布,其中,第一对象分布用于表征属于对象组n的对象在至少一个对象中的分布,第二对象分布用于表征不属于对象组n的对象在至少一个对象中的分组。第一对象分布和第二对象分布相加等于1。
示例性地,对象组n的第一对象分布与对象组n中包括的对象数量呈正相关关系。也即,对象组n中包括的对象数量越大,对象组n的第一对象分布越大;对象组n中包括的对象数量越小,对象组n的第一对象分布越小。
示例性地,对象组n的第一对象分布与对象组n的分组子信息呈负相关关系。也即,对象组n的分组子信息越大,对象组n的第一对象分布越小;对象组n的分组子信息越小,对象组n的第一对象分布越大。
在一个示例中,计算机设备根据对象组n的分组子信息,确定对象组n中包括的对象数量;计算机设备计算对象数量和对象总数之间的比值,确定为对象组n的第一对象分布。例如,至少一个对象包括:对象1、对象2、对象3和对象4,对象总数等于4。假设,对象组n1中包括对象2和对象4,则对象组n1的第一对象分布等于2/4,对象组n1的第二对象分布等于2/4。假设,对象组n2中包括对象1、对象2和对象3,则对象组n2的第一对象分布等于3/4,对象组n2的第二对象分布等于1/4。
子步骤323,计算机设备对访问分布信息和对象分布信息进行联合分布统计,确定对象组与第一资源之间的联合分布信息;其中,访问分布信息根据访问信息确定,访问分布信息用于表征历史访问第一资源的对象在全部对象中所占比例。
在一些实施例中,访问分布信息用于表征历史访问第一资源的对象在至少一个对象中的边缘分布。访问分布信息包括第一访问分布和第二访问分布。其中,第一访问分布用于表征历史访问第一资源的对象在至少一个对象中的分布;第二访问分布用于表征未历史访问第一资源的对象在至少一个对象中的分布。
第一访问分布与第二访问分布的和等于1。
可选地,计算机设备根据访问信息确定历史访问第一资源的对象的数量,将历史访问第一资源的对象的数量与对象总量的比值,确定为第一访问分布。示例性地,若第一资源的访问信息的确定过程中包括使用第一阈值确定活跃对象的步骤(具体请参考上文实施例),则第一访问分布为活跃对象的数量与对象总数之间的比值。由于第一资源的访问分布信息固定,因此,计算机设备在确定至少一个对象组分别对应的相关性信息的过程中,在第一次确定出访问分布信息之后存储访问分布信息。通过这种方式减少计算机设备进行重复计算的次数。
例如,至少一个对象包括:对象1、对象2、对象3和对象4,对象总数等于4;历史访问第一资源的对象包括对象1、对象2和对象3,则第一资源的第一访问分布等于3/4,第一资源的第二访问分布1/4。
联合分布信息是指访问分布信息和对象分布信息之间的联合分布。可选地,联合分布信息包括访问分布信息和对象分布信息之间的自由组合得到的四种情况。联合分布信息包括:第一联合分布、第二联合分布、第三联合分布和第四联合分布;其中,第一联合分布表示第一对象分布和第一访问分布之间的联合分布;第二联合分布表示第一对象分布和第二访问分布之间的联合分布;第三联合分布表示第二对象分布和第一访问分布之间联合分布;第四联合分布表示第二对象分布和第二访问分布之间的联合分布。
以第一联合分布为例,该第一联合分布用于表征:属于某个对象组n,且,历史访问过第一资源的对象在至少一个对象中的分布情况。
示例性地,联合分布信息通过对访问分布信息和对象分布信息进行联合分布统计确定。例如,计算机设备使用联合分布计算函数根据访问分布信息和对象组n的对象分布信息,确定对象组n的联合分布信息。联合分布计算函数用于计算联合分布信息,联合分布计算函数可调用couple()函数实现。
示例性地,联合分布信息还可以通过资源访问信息和对象组n的分组子信息构造表格,通过表格计数得到对象组n的联合分布信息。
子步骤325,计算机设备对联合分布信息进行相关性处理,确定对象组对应的相关性信息。
在一些实施例中,计算机设备基于联合分布进行相关性处理的,得到对象组对应的相关行信息。可选地,相关性处理包括能够相关性信息的至少一种方法。在本申请提供的实施例中,相关性信息的类型包括但不限于以下至少之一:互信息、信息熵、基尼系数等。相关性信息的类型决定对联合分布信息进行相关性处理的具体方法。有关计算相关性信息的具体步骤,请参考下文实施例。
通过这种方法,通过对象分组信息,将历史访问过资源的用户与其所属的对象组联系起来,以便获得对象组与资源之间的相关性信息,方便在后续步骤中以对象组为单位,自动确定出需要为哪些对象组配置资源的访问权限。
下面通过几个示例介绍对象组对应的相关性信息的确定方法。
示例一:计算机设备根据联合分布信息,确定对象组对应的相关性信息,包括:融合处理对象分布信息、访问分布信息和联合分布信息,得到第一参数;其中,第一参数与访问分布信息呈负相关关系,第一参数与对象分布信息呈负相关关系,联合分布信息与对象分布信息呈正相关关系;计算机设备基于所述第一参数和所述联合分布信息进行相关性计算,确定所述对象组对应的相关性信息。
在一些实施例中,融合处理用于将对象分布信息、访问分布信息和联合分布信息进行混合。示例性地,融合处理的一种方法包括:确定对象分布信息、访问分布信息之间的第一乘积,使用联合分布信息除以第一该第一乘积,得到第一参数。
示例性地,对象组对应的相关性信息属于互信息,互信息可以通过下面一个公式计算。
其中,Im,n(g;y)表示第一资源m与对象组n之间的互信息,p(gm,n)表示对象组n的对象分布信息,p(ym,n)表示访问分布信息,p(gm,n)p(ym,n)表示第一参数,p(gm,n,ym,n)表示联合分布信息,gm,n(0,1)表示至少一个对象中的各个对象是否属于对象组n,对象组m的分组子信息,ym,n(0,1)表示至少一个对象组中的各个对象是否历史访问过第一资源m,也即第一资源m的访问信息。
下面通过一个示例介绍计算第一资源m与对象n之间的互信息的过程。
计算机设备计算根据对象分组信息和对象总数进行对象分布处理,确定对象组的对象分布信息,并获取根据访问信息计算的访问分布信息。对象分布信息和访问分布信息如表1所示。
表1
其中,至少一个对象包括对象1、对象2、对象3和对象4。gm,n′表示属于对象组n的对象,gm,n″表示不属于对象组n的对象,ym,n′表示历史访问第一资源m的对象,ym,n″表示历史未访问第一资源组的对象,p(gm,n′)表示第一对象分布,也即p(gm,n′)与p(gm,n=1)含义相同;p(gm,n″)表示第二对象分布,也即p(gm,n″)与p(gm,n=0)含义相同;p(ym,n′)表示第一访问分布,也即p(ym,n′)与p(ym,n=1)含义相同;p(ym,n″)表示第二访问分布,即p(ym,n″)表示p(ym,n=1)含义相同。
随后,计算机设备根对访问分布信息和对象分布信息进行联合分布统计,确定对象组与第一资源之间的联合分布信息。联合分布信息也可以根据对象分组信息和访问信息通过表1分类讨论,确定第一联合分布、第二联合分布、第三联合分布和第四联分布,得到联合分布信息。在与表1为前提下,对象组n和第一资源m之间的联合分布信息如表2所示。
表2
其中,a+b=1/4,p(gm,n′,ym,n′)表示第一联合分布,p(gm,n′,ym,n″)表示第二联合分布,p(gm,n″,ym,n′)表示第三联合分布,p(gm,n″,ym,n″)表示第四联合分布,有关表2中的其他参数请参考上文实施例。
互信息公式:计算机设备根据互信息公式和表2中内容,确定出对象组n和第一资源m之间互信息。
通过访问信息和对象分组信息确定出对象组与资源之间的联合分布,并根据联合分布与边缘分布,确定出对象组与资源之间的互信息,使得对象组与资源之间的依赖关系可以进行量化衡量。以便后续根据互信息,以对象组为单位对资源的访问权限进行配置。
示例二:计算机设备根据联合分布信息,确定对象组对应的相关性信息,包括:计算机设备对联合分布信息进行幂指数处理,得到第二参数,第二参数与联合分布信息呈反相关关系;计算机设备基于第二参数进行相关性运算,确定对象组对应的相关性信息。
示例性地,第二参数的数值越大,则相关性信息越小;第二参数的数值越小,则相关性信息越大。
在一些实施例中,第二参数中包括:第一联合分布的平方、第二联合分布的平方、第三联合分布的平方和第四联合分布的平方。例如,计算机设备分别确定第一联合分布的平方、第二联合分布的平方、第三联合分布的平方和第四联合分布的平方,并将上述四个联合分布的平方之和作为第二参数。计算机设备将固定参数与第二参数之差,确定为该对象组对应的相关性信息。示例性地,固定参数等于1。
示例性地,对象组对应的相关性信息属于基尼系数,基尼系数可以通过下面一个公式计算。
其中,Gini(p(gm,n,ym,n))表示对象组n与第一资源m之间的基尼系数,p(gm,n,ym,n)表示联合分布信息,p(gm,n,ym,n)k,k∈{1,2,3,4}分别第一联合分布、第二联合分布、第三联合分布和第四联合,有关上述公式的其他参数请参考上文实施例,在此不进行赘述。
示例三:计算机设备根据联合分布信息,确定对象组对应的相关性信息,包括:计算机设备对联合分布信息进行对数参数化处理,得到第四参数;计算机设备根据第四参数和联合分布信息,确定对象组对应的相关性信息。
可选地,第四参数中包括第一联合分布的对数、第二联合分布的对数、第三联合分布的对数和第四联合分布的对数。示例性地,对于第四参数中包括的每一个联合分布的对数,计算机设备分别计算该联合分布的对数与该联合分布的乘积,得到该联合分布的子相关信息;计算机设备对每一个联合分布的子相关信息进行求和,得到求和结果,计算机设备对求和结果取反,得到对象组对应的相关性信息。
示例性地,对象组对应的相关性信息属于信息熵,信息上可以通过下面一个公式计算。
其中,H(X)表示对象组n与第一资源m之间的信息熵,有关该公式中的其他参数请参考上文实施例,p(gm,n,ym,n)klog2p(gm,n,ym,n)k表示第k联合分布的子相关信息,k∈{1,2,3,4}。
通过这种方法,根据访问分布信息和对象组中的对象分布信息之间的联合分布情况,确定对象组与资源之间依赖关系,使得对象组与资源之间的依赖关系可以量化,有助于实现对资源的访问权限进行自动化管理。
下面通过几个示例对第一对象组的筛选方法进行介绍说明。
在一些实施例中,步骤330,所述以所述相关性信息为筛选次序,从所述至少一个对象组中筛选出至少一个第一对象组,可以包括一下几个子步骤。
子步骤331,计算机设备对分组集合进行初始化,初始化的分组集合为不包括对象组的空集。
分组集合用于在筛选至少一个对象组的过程中,暂时存储已经确定出的第一对象组和L个候选的对象组,L为正整数。例如,L=2或者L=1。在开始确定第一对象分组时,分组集合为空集。
子步骤333,计算机设备按照相关性信息从至少一个对象组中选择候选的对象组,将候选的对象组加入分组集合。
可选地,计算机设备根据某个相关性信息的数值大小,确定将对象组作为候选的对象组的顺序。示例性地,计算机设备将对应相关性信息满足第二阈值的对象组确定为候选的对象组。第二阈值为预设置的。示例性地,计算机设备将至少一个对象组中,所对应相关性信息最大的对象组确定为候选的对象组。
可选地,对于至少一个对象组中的任一个对象组,对象组最多具有一次机会被选择作为候选的对象组。
子步骤335,基于访问信息对分组集合进行性能评估,得到分组集合的性能评分;其中,性能评分用于评估第二对象组关于第一资源的访问权限的合理性,第二对象组是指分组集合中包括的对象组。
可选地,第二对象组的类别包括以下至少之一:已经确定的第一对象组、子步骤333加入到分组集合中的候选的对象组。
在一些实施例中,分组集合的性能评分与分组集合中包括的每一个对象组有关。分组集合的性能评分用于评估第二对象组当前具有的第一资源的访问权限是否合理。有关性能评估的具体内容请参考下文实施例。
子步骤337,在性能评分满足第一条件的情况下,计算机设备将候选的对象组确定为第一对象组,第一条件与将候选的对象组加入分组集合之后,分组集合的性能评分的变化趋势有关。
在一些实施例中,在确定出性能评分之后,计算机设备判断性能评分是否满足第一条件。在性能评分满足第一条件的情况下,计算机设备将候选的对象组确定为第一对象组。在性能评分满足第一条件的情况下,计算机设备从根据相关性信息从至少一个对象组中选择候选的对象组,将候选的对象组加入分组集合的步骤开始执行,直至性能评分不满足第一条件。
在性能评分不满足第一条件的情况下,计算机设备确认不将候选的对象组确定为第一对象组,且结束确定第一对象组的过程。示例性地,在性能评分不满足第一条件的情况下,计算机设备将候选的对象组从分组集合中删除。
可选地,第一条件是:将候选的对象组加入到分组集合之后,分组集合的性能评分的增量是否大于第三阈值。示例性地,第三阈值为非负数。例如,第三阈值等于0,也就是说,在将候选的对象组加入到分组集合之后,若分组集合的性能评分上升,则说明分组结合的性能评分满足第一条件;若分组集合的性能评分不变或者减小,则说明分组结合的性能评分不满足第一条件。在这种情况下,第一条件用于从至少一个第一对象组中确定出第一对象组,使得分组集合的性能参数达到最优。
在一个示例中,至少一个对象组包括:对象组1、对象组2、对象组3和对象组4,计算机设备从至少一个对象组中确定至少一个第一对象组包括以下几个步骤:计算机设备对分组集合进行初始化;计算机设备按照相关性信息从至少一个对象组中选择对象组1作为候选的对象组,并将对象组1加入分组集合;计算机设备基于访问信息对分组集合进行性能评估,得到分组集合的性能评分。此时性能评分满足第一条件,计算机设备将对象组1确定为第一对象组。
随后,计算机设备继续按照相关性信息选择候选的对象组,计算机设备将对象组3作为候选的对象组。计算机设备将对象组3加入分组集合;计算机设备基于访问信息对分组集合进行性能评估,得到分组集合的性能评分;此时性能评分满足第一条件,计算机设备将对象组3确定为第一对象组。
随后,计算机设备继续按照相关性信息选择候选的对象组,计算机设备将对象组2作为候选的对象组,将对象组2加入分组集合;计算机设备基于访问信息对分组集合进行性能评估,得到分组集合的性能评分。此时,性能评分不满足第一条件,计算机设备将对象组2从分组集合中删除。在本示例中,对象组1和对象3最终作为第一对象组。
通过上述方法,根据相关性信息从至少一个对象组中选择候选的对象组,有助于避免重复检测同一个对象组,有助于降低确定第一对象组的过程中,计算机设备的运算量,提升确定第一对象组的效率。并且,通过计算分组集合的性能评分实现了对确定出的第一对象组的合理性进行量化,有助于实现权限分配的最小化。
下面通过几个实施例对候选的对象组的选择方法进行介绍说明。
在一些实施例中,子步骤333,计算机设备按照相关性信息从至少一个对象组中选择候选的对象组,将候选的对象组加入分组集合子,可以包括以下几个子步骤。
步骤333-a,计算机设备以相关性信息递减的次序对至少一个对象组进行排序,得到对象组序列。
可选地,计算机设备按照相关性信息从大到小对至少一个对象组进行排序,得到对象组序列。例如,至少一个对象组包括:对象组1、对象组2、对象组3和对象组4;对象组1、对象组2、对象组3和对象组4按照分别对应的相关信息从大到小的排序为:对象组1、对象组3、对象组4和对象组2。则对象组序列为[对象组1,对象组3,对象组4,对象组2]。
子步骤333-b,计算机设备选择对象组序列中处于第一位置的对象组作为候选的对象组,候选的对象组对应的相关性信息,大于或者等于对象组序列中其他对象组对应的相关性信息;其中,候选的对象组被从对象组序列中移除。
在一些实施例中,第一位置是指对象组序列中对应相关性信息最大的位置。可选地,第一位置为对象组序列中的首位。示例性地,在将第一位置的对象组作为候选的对象组之后,计算机设备将候选的对象组从对象组序列中删除。
根据相关性信息的数值大小确定候选的对象组,并在分组对象的性能评分不满足第一条件下,结束确定第一对象组的过程。相比于对多个对象组进行自由组合选择,减少了需要计算性能评分的次数,降低了计算机设备的运行压力,有助于减少确定出第一对象组的耗时。
下面通过几个实施例对性能评分的确定方法进行介绍说明。
在一些实施例中,子步骤335,计算机设备基于访问信息对分组集合进行性能评估,得到分组集合的性能评分,可以包括以下几个子步骤。
子步骤335-a,对于每一个第二对象组,计算机设备基于第一资源的权限信息和访问信息进行交叉合并,得到第二对象组的正例数量;其中,权限信息用于表征至少一个对象分别关于第一资源的历史访问权限,第一资源的权限信息根据分组授权信息和对象分组信息确定,分组授权信息用于表征对象组关于第一资源的访问权限。
下面通过一个实施例对第一资源的权限信息的确定方法进行介绍说明。
在一些实施中,资源访问权限的管理方法,还包括:从已配置的授权规则中确定分组授权信息,已配置的授权规则用于指示已经具有第一资源的访问权限的对象组;基于对象分组信息对分组授权信息进行对象拆解,得到第一资源的权限信息。
可选地,分组授权信息用于表征对象组是否具有第一资源的访问权限。已配置的授权规则用于表征已经为对象组配置的关于资源的访问权限。也就是说,通过已配置的授权规则,能够确定各个对象组分别具有哪些资源的访问权限。进而确定在进行权限管理之前,哪些对象组已经具有第一资源的访问权限,哪些对象组不具有第一资源的访问权限,也即,得到了第一资源的分组授权信息。
可选地,已配置的授权规则通过矩阵形式表示。假设有N个对象组,M个资源,则预配置的授权规则为N*M的授权规则矩阵,该授权规则矩阵中的第m列,表示第一资源m的分组授权信息。
在一些实施例中,第一资源的权限信息用于表征已经具有第一资源的访问权限的对象。
在确定出分组授权信息之后,计算机设备根据分组授权信息和对象分组信息,确定第一资源的权限信息,包括:
对于至少一个对象中的每一个对象,计算机设备根据该对象分组信息,确定至少一个第三对象组;其中,第三对象组为该对象所属的对象组;计算机设备根据分组授权信息确定至少一个第三对象组的第一授权信息,其中,第三对象组的第一授权信息用于表征该第三对象组是否具有该第一资源的访问权限;计算机设备根据权限子信息,确定该对象的权限子信息。
可选地,若至少一个第三对象中存在至少一个具有该第一资源的访问权限的对象组,则该对象的权限子信息为确认信息,也就是说,该对象具有第一资源的访问权限。若至少一个第三对象中不存在该第一资源的访问权限的对象组,则该对象的权限子信息为否认信息,也就是说,该对象不具有第一资源的访问权限。
计算机设备将至少一个对象的授权信息进行组合,得到第一资源的权限信息。示例性地,对象k的权限子信息可以通过以下公式表示:
其中,表示对象k的权限子信息,gk,n表示对象k与对象组n之间所属关系,gk,n=0表示对象k不属于对象组n,gk,n=1表示对象k属于对象组n。xn,m表示分组授权信息中对象组n的第一授权信息,xn,m=0表示对象组n没有第一资源m的访问权限,xn,m=1表示对象组n具有第一资源m的访问权限。表示对象k的权限子信息,表示对象k不具有第一资源m的访问权限,表示对象具有第一资源m的访问权限。
需要说明的是,本申请不对确定第一资源的权限信息的时序进行设定。示例性地,计算机设备在确定相关性信息之前,确定第一资源的权限信息,或者,计算机在需要计算性能评分之前计算第一资源的权限信息。
在一些实施例中,子步骤335-a,计算机设备基于第一资源的权限信息和访问信息进行交叉合并,得到第二对象组的正例数量,包括:对于第二对象组中包括的每一个对象,计算机设备从第一资源的权限信息中获取对象的权限子信息,权限子信息用于表征对象关于第一资源的访问权限。
可选地,交叉合并用于根据权限信息和访问信息确定第二对象组中包括的正例对象,计算机设备将正例对象的数量作为第二对象组的正例数量。交叉合并可以理解成:结合权限信息和访问信息筛选第二对象组中的对象能否作为正例对象。
可选地,计算机设备基于第一资源的权限信息和访问信息进行交叉合并,得到第二对象组的正例数量,包括:计算机设备从访问信息中获取对象的访问子信息,访问子信息用于表征对象对第一资源的历史访问情况;在访问子信息为具有第一资源的访问权限,且权限子信息为确认历史访问第一资源的情况下,计算机设备确定对象为正例对象;计算机设备统计第二对象中包括的正例对象,得到第二对象组的正例数量。
有关权限子信息的具体内容请参考上文实施例,在此不进行赘述。
示例性地,由上文内容可知,访问子信息和权限子信息能够通过1个比特位表示。对于访问子信息,1表示对象历史访问过第一资源,0表示对象历史未访问过第一资源;对于权限子信息,1表示对象具有第一资源的访问权限,0表示对象不具有第一资源的访问权限。那么,对于第二对象组中的任一个对象,计算机设备将该对象的访问值信息和权限子信息相乘;若乘积为1,则计算机设备确定该对象为正例对象;若乘积为0,则计算机设备确定该对象不是正例对象。
子步骤335-b,计算机设备根据各个第二对象组的正例数量进行性能评估,确定分组集合的性能评分。
在一些实施例中,分组集合的性能评分与第二对象组的正例数量呈正相关关系。第二对象组的正例数量越大,则分组集合的性能评分越大;第二对象组的正例数量越小,则分组集合的性能评分越小。
由于资源的权限信息和访问信息都是无需依赖人工提供,能够由计算机设备确定出客观信息,根据权限信息和访问信息计算出性能评分,实现了对分组集合的性能评分进行量化。有助于制定筛选第一对象组的规则,实现智能化推荐授权规则。
本申请提供至少一种性能评分的计算方法,在开始计算性能评分之前需要确定性能评分的计算方法,可选地,性能评分的计算方法由用户进行选择。图5是本申请一个示例性实施例提供第一对象组确定方法的示意图。
计算机设备首先确定性能评分的确定方法,随后计算机设备开始从至少一个对象组中筛选第一对象组。在将一个候选的对象组加入到分组集合之后,计算集设备计算分组集合的召回率、精度,或者综合评分作为分组集合的性能评分并基于性能评分与第一条件之间的关系,确定是否完成筛选第一对象组的过程。
下面通过几个示例对几种性能评分的确定方法进行介绍说明。
示例A:性能评分的类型包括召回率,召回率用于表征所述召回率用于表征所述第一资源的权限信息所具备的体验性能。
子步骤335-b,计算机设备根据各个第二对象组的正例数量进行性能评估,得到分组集合的性能评分,可以实现成为:计算机设备对各个第二对象组的正例数量进行求和处理,得到第三参数;计算机设备基于对象分组信息对第一资源的权限信息进行对象成组处理,得到分组集合的预测权限数量;其中,预测权限数量用于表征各个第二对象组中具有第一资源的访问权限的对象数量;计算机设备使用预测权限数量对第三参数进行划分,得到召回率。
可选地,对象成组处理是指根据对象分组信息,确定对象组中包括的对象分别具备的访问子权限。可选地,计算机设备使用预测权限数量对第三参数进行划分,得到召回率,包括,计算机设备计算第三参数与预测权限数量的比值,得到召回率。
在一些实施例中,召回率可以通过以下公式进行计算。
其中,表示第三参数,表示预测权限数量,公式中其他参数请参考上文实施例,在此不进行限定。
通过计算分组集合的召回率,能够确定分组集合的体验评分。在需要对授权规则的体验评分进行提升时,在筛选对象组过程中以召回率作为性能评分,有助于找到体验评分最优的分组集合。使得为分组集合中包括的对象组配置资源的访问权限后,系统的体验评分提升,有助于确定出对象访问资源时体验最佳的权限分配方法。
示例B:性能评分的类型包括精度,所述精度用于表征所述第一资源的权限信息所具备的安全性能。
子步骤335-b,计算机设备根据各个第二对象组的正例数量进行性能评估,得到分组集合的性能评分,可以实现成为:计算机设备对各个第二对象组的正例数量进行求和处理,得到第三参数,第三参数与每一个对象组的正例数量呈正相关关系;计算机设备根据对象分组信息对访问信息进行对象成组处理,确定分组集合的历史访问数量,历史访问数量用于表征各个第二对象组中历史访问过第一资源的对象数量;计算机设备使用历史访问数量对第三参数和进行划分,得到精度。
可选地,计算机设备根据对象分组信息对访问信息进行对象成组处理,用于从访问信息中确定分组集合各个对象对第一资源的历史访问情况。可选地,精度等于第三参数除以历史访问数量。
在一些实施例中,精度可以通过以下公式进行计算。
其中,表示第四参数,表示对象k对第一资源m的访问子信息,标识历史访问数量,其他参数请参考上文实施例,不进行赘述。
通过计算分组集合的精度,能够确定分组集合的安全评分。在筛选对象组过程中以精度作为性能评分,有助于找到安全评分最优的分组集合。有助于找到安全性最佳的权限分配方法,避免资源发生泄露。
示例C:性能评分的类型包括综合评分;其中,综合评分用于综合衡量分组集合的召回率和精度,召回率用于表征第一资源的权限信息所具备的体验性能,精度用于表征第一资源的权限信息所具备的安全性能。
子步骤335-b,计算机设备根据各个第二对象组的正例数量进行性能评估,得到分组集合的性能评分,可以实现成为:计算机设备基于第二对象组的正例数量对第一资源的权限信息进行体验评估,确定分组集合的召回率;计算机设备基于第二对象组的正例数量对第一资源的访问信息进行安全评估,确定分组集合的精度;计算机设备对分组集合的召回率和分组集合的精度进行加权求和处理,得到分组集合的综合性能。
有关分组集合的精度和分组集合的召回率的计算方法具体请参考示例A和示例B,在此不进行赘述。
可选地,计算机设备使用第一权重对分组集合的召回率进行处理,得到加权后的召回率;计算机设备使用第二权重对分组集合的精度进行处理,得到加权后的精度;计算机设备将加权后的精度和加权后的召回率之和,确定为综合性能。
第一权重和第二权重为正数。第一权重和第二权重可以相等,可以不相等。
通过上述方法能够在不依赖其他参考信息的情况下,仅通过资源的访问信息、权限信息和与对象组有关的对象分组信息,确定出分组集合的性能评分。在实现了对资源的访问权限管理的量化控制:通过计算性能评分,便于评估为筛选出的对象组配置资源的访问权限实现的效果。有助于基于对象组实现最小化授权,有助于最小化资源的暴露面,降低资源出现泄漏的风险。
下面通过一个实施例对资源访问权限的管理方法的各个步骤的执行时序进行说明。图6是本申请一个示例性实施例提供的资源访问权限的管理方法的执行阶段的示意图。
资源访问权限的管理方法可以包括以下几个阶段,分别为数据采集与预处理阶段,第一对象组筛选阶段和配置访问权限阶段。在数据采集/预处理阶段中,计算机设备获取历史访问记录和对象分组信息,通过历史访问记录确定第一资源的访问信息。可选地,在该阶段中计算机设备可以根据对象分组信息和已经配置的授权规则,确定第一资源的权限信息。第一对象组筛选阶段,包括三种性能评分的计算方法,具体请参考上文实施例。配置访问权限阶段用于为确定出的第一对象组配置第一资源的访问权限。
图7是本申请一个示例性实施例提供的数据预处理阶段的示意图。
在该示例中,计算机设备在数据预处理阶段中:确定资源的访问信息、权限信息以及对象分组信息,并使用矩阵形式对这些信息进行表示。
假设存在K个对象,M个资源,计算机设备根据历史访问记录,确定资源的访问信息,资源的访问信息可以表示为:K*M的0-1矩阵,具体内容请参考上文实施例,在此不进行赘述。
假设对象组包括N个,计算机设备将每个对象组展开,通过独热(one-hot)编码展开各个对象组的分组子信息;计算机设备根据各个对象组的分组子信息得到K*N的对象分组信息。
计算机设备根据已配置的授权规则,确定至少一个对象组分别对应的权限子信息xn,xn为1*m的向量,用于表征对象组n分别关于m个资源的访问权限。
其中,xm,n表示对象组n关于资源m的第一访问权限。计算机设备根据对象组关于资源的访问权限和对象分组信息,确定各个用户关于资源的访问权限。在确定出上述三个信息之后,计算机设备完成数据的预处理过程。在确定需要对第一资源进行权限管理时,计算机根据上述三个信息确定出第一资源的访问信息、权限信息和对象分组信息。
需要说明的是,上述三个信息除了可以使用二维矩阵表示,还可以使用稀疏矩阵表示。需要说明的是,访问信息、权限信息和对象分组信息的实际表示形式,根据需要设定,本申请在此不进行限定。
下面通过一个示例对权限管理过程进行介绍说明。
在本示例中,需要进行权限管理的资源为第一资源m,对象组对应的相关性信息为互信息,性能评分的计算方式为计算召回率。可选地,性能评分的计算方式可以由管理人员指示。本示例的执行主体为计算机设备。该示例可以包括如下几个步骤。
步骤A10,获取对象分组信息和第一资源m的访问信息。
可选地,计算机设备根据第一时间段和第一阈值对历史访问次数进行筛选,生成第一资源m的访问信息。第一时间段和第一阈值可以由管理人员指示,不同的第一资源对应的第一时间段和第一阈值不同。
示例性地,计算机设备根据历史访问记录,获取第一时间段内至少一个对象的历史访问次数;对于至少一个对象中的每一个对象,计算机设备将历史访问次数大于或者等于第一阈值的对象确定为活跃对象;计算机设备将活跃对象的访问子信息设置为:历史已访问第一资源,将至少一个对象中除了活跃对象之外的其他对象的访问子信息设置为:历史未访问第一资源;计算机设备根据至少一个对象的访问子信息,得到第一资源m的访问信息。有关本实施例的具体内容请参考上文实施例,在此不进行赘述。
步骤A20,从已配置的授权规则中确定分组授权信息;基于对象分组信息对分组授权信息进行对象拆解,确定第一资源m的权限信息。步骤A20和步骤A10的执行时序不固定,保证步骤A20在步骤A80之前执行即可。
示例性地,在计算机设备接收到终端设备指示对第一资源的访问权限进行管理之后,计算机设备进行步骤A30。
步骤A30,根据对象分组信息和对象总数进行对象分布处理,确定对象组的对象分布信息;对访问分布信息和对象分布信息进行联合分布统计,确定对象组与第一资源之间的联合分布信息。有关联合分布信息的具体内容请参考上文实施例,在此不进行赘述。
示例性地,步骤A10、步骤A20、步骤A30可以连续进行。示例性地,计算机设备预先执行步骤A10和步骤A20,在接收到终端设备指示对第一资源进行权限管理情况下,开始执行步骤A30。也即,步骤A10、A20可以在接收到对第一资源进行权限管理的指示之前执行,以便缩短筛选第一对象组的耗时。
步骤A40,融合处理对象分布信息、访问分布信息和联合分布信息,得到第一参数;计算机设备基于第一参数和联合分布信息进行相关性计算,确定对象组对应的相关性信息。
这样确定出的相关性信息为对象组与第一资源m之间的互信息,互信息的计算公式:有关该公式中其他参数的含义请参考上文实施例。
步骤A50,对分组集合进行初始化,初始化的分组集合为空集。
步骤A60,以相关性信息递减的次序对至少一个对象组进行排序,得到对象组序列。
步骤A70,选择对象组序列中处于第一位置的对象组作为候选的对象组;并将候选的对象组被从对象组序列中移除。示例性地,计算机设备将对象组序列中,对应的互信息最大的对象组作为候选对象组。
步骤A80,将候选的对象组加入分组集合。在候选的对象组加入分组集合时,该候选的对象组是否具有第一资源的访问权限根据已配置的授权规则确定。
步骤A90,对于分组集合中的每一个第二对象组,基于第一资源的权限信息和访问信息进行交叉合并,得到第二对象组的正例数量。
步骤A100,将对各个第二对象组的正例数量进行求和处理,得到第三参数;基于对象分组信息对第一资源的权限信息进行对象成组处理,得到分组集合的预测权限数量;使用预测权限数量对第三参数进行划分,得到召回率。
有关该公式中各个参数的含义请参考上文实施例。
步骤A110,确定性能评分是否满足第一条件。若性能评分满足第一条件,则执行步骤A120,若性能评分满足第一条件,则执行步骤A130。
可选地,第一条件为加入候选的对象组之后,性能评分是否产生增益。
步骤A120,在性能评分满足第一条件的情况下,将候选的对象组确定为第一对象组。对于第一对象组n,计算机设备令xm,n=1。也即,计算机设备为第一对象组n配置第一资源的访问权限。随后,计算机设备从步骤A70开始执行。
步骤A130,在性能评分不满足第一条件的情况下,确定不能将候选的对象组确定为第一对象组。在这种情况下,计算机设备确将候选的对象组从分组集合中剔除,并结束确定从对象组中确定第一对象组的过程。此时分组集合中包括对象组均为第一对象组。
随后,计算机设备将至少一个第一对象组确定为第一资源的第一授权规则,第一授权规则用于指示为第一对象组配置第一资源的访问权限,至少一个对象组中除了第一对象组之外的其他对象组不会被配置第一资源的访问权限。第一授权规则也称为第一资源的推荐授权规则。
步骤A140,计算机设备计算第一授权规则的性能评分,性能评分包括安全性能和体验性能。计算机设备计算至少一个第一对象组对应的召回率,得到安全性能,计算机设备计算至少一个第一对象组对应的精度,得到体验性能。
可选地,第一资源m的第一授权规则的体验评分通过以下公式进行计算。
其中,Recall表示第一授权规则的体验评分,k表示至少一个第一对象组中包括的任意一个对象,由于第一对象组被配置了第一资源的访问权限,因此等于1,根据第一资源m的访问信息确定。
可选地,第一资源m的第一授权规则的安全评分通过以下公式进行计算。
其中,Precision表示第一授权规则的安全评分,k表示至少一个第一对象组中包括的任意一个对象,等于1,根据第一资源m的访问信息确定。
步骤A150,计算机设备在数据库中存储第一授权规则,以及第一授权规则的性能评分。
步骤A160,计算机设备向终端设备发送第一授权规则的性能评分。
需要说明的是,对于相关性信息为信息熵或者基尼系数;性能评分的确定访问为精度最优化或者综合评分最优化的情况,资源访问权限的管理方法的执行逻辑与本示例类似,在此不进行赘述。
通过本实施例,采用基于互信息的资源访问权限收敛计算方法,能够根据资源的访问信息,对象分组信息计算出各个用户对资源的访问权限。相比于相关技术方案中手动创建和维护授权规则的方式,实现了自动化对资源访问权限进行管理。本实施例根据管理人员指定的至少一个第一资源、第一阈值,生成管理人员指示下的授权规则。
通过提供综合评分最大化、召回率最优化和精度最优化的第一对象确定方式,使得管理人员选择最适合的授权规则。通过自动化的资源访问权限授权,能够提高零信任安全软件的访问安全性。管理人员可以根据实时的资源访问记录和对象分组关系,即时调整和更新授权规则。确保对象只能对具有访问权限的资源进行访问,从而降低系统的安全风险。同时,有助于提升系统的安全性。
下面对授权模型进行局部更新的方法进行介绍说明。
上文实施例中,以对一个资源的访问权限进行管理为例,介绍了确定某一个资源的推荐授权规则的步骤,实现了智能推荐授权规则。在实际应用过程中,系统中包括多个资源,每一个资源具有各自相应的授权规则。各个资源的授权规则共同组成了系统的授权模型。计算机设备可以自动化生成各个资源的推荐授权规则,并在使用这些资源的推荐授权规则,替换系统的授权模型已配置的授权规则。对于每一个资源,生成该资源的推荐授权规则的方法请参考上文实施例,在此不进行赘述。
通过这种方法有助于提升资源访问权限配置过程中的自动化和灵活性,能够实现访问权限的最小化和自动化授权管理。
图8是本申请另一个示例性实施例提供的资源访问权限的管理方法的流程图。示例性地,该方法的执行主体可以是图1中的终端设备20,下面将终端设备作为执行主体,对资源访问权限的管理方法进行介绍说明。如图8所示,该方法可以包括如下几个步骤(810~830):
步骤810,显示用于配置授权规则的权限配置界面,授权规则用于指示至少一个对象组对资源的访问权限。
有关对象组、资源的访问权限的详细内容请参考上文实施例,不进行赘述。
步骤820,响应于权限配置界面中请求调整第一资源的授权规则的操作,显示第一授权规则的性能评分;其中,第一授权规则基于至少一个对象组分别对应的相关性信息确定,第一授权规则用于为至少一个对象组中的第一对象组配置第一资源的访问权限,相关性信息用于表征对象组与第一资源之间的依赖关系。
请求调整第一资源的授权规则的操作包括但不限于:点击操作、滑动操作、按键操作、手势操作等。可选地,权限配置界面中显示有授权管理控件,终端设备响应于针对授权管理控件的点击操作,显示第一授权规则的性能评分。
在一些实施例,第一授权规则的性能评分包括以下至少之一:体验评分、安全评分;其中,体验评分用于表征第一对象组对第一资源的访问权限的使用情况,安全评分用于表征第一对象组具有的第一资源的访问权限与第一资源的历史访问情况之间的关系。
在一些实施例中,体验评分对应上文实施例中的召回率,安全评分对应上文实施例中的精度。由上文介绍可以,在将某个候选的对象组加入分组集合之后,若分组集合的性能评分不满足第一条件,则计算机设备将该候选的对象组从分组集合中提出,分组集合中包括的其他对象组即为第一对象组。计算机设备第一对象组配置第一资源的访问权限之后,计算该至少一个第一对象组的召回率作为第一授权规则的体验评分,计算该至少一个对象组的精度作为第一授权规则的安全评分。
通过这种方法对授权规则的合理性进行量化,方便管理人员根据授权规则的性能,确定是否应用该授权规则;有助于找到资源的最佳授权规则,提升资源访问过程中的安全性。
图9是本申请一个示例性实施例提供的权限配置界面的示意图。
权限配置界面900中显示有授权管理控件910。计算机设备响应于权限配置界面900中授权管理控件910的操作,显示第一授权规则的性能评分920。可选地,权限配置界面900还支持管理人员手段配置对象组/对象的资源管理权限。
步骤830,响应于应用第一授权规则的操作,显示提示信息,提示信息用于表征已基于第一授权规则为第一对象组配置第一资源的访问权限。
综上所述,通过自动化对访问权限授权进行管理,以及向管理人员提供推荐功能,能够提高零信任安全软件的访问安全性。管理人员可以根据资源的访问信息和对象分组信息,即时调整和更新授权规则,确保对象只能访问授权过的资源,从而降低系统的安全风险。同时,通过自动授权推荐,使得管理员可以根据性能评分选择最优的授权规则,进一步提升系统的安全性。
在一些实施例中,资源访问权限的管理方法还包括:终端设备显示性能对比信息;其中,性能对比信息用于表征第二授权规则和第一授权规则的性能差异,第二授权规则是指在执行应用第一授权规则的操作之前,被应用的授权规则。
在一些实施例中,第二授权规则是指当前正在应用的授权规则。也即,在确定第一授权规则时,某个对象组是否具有第一资源的访问权限是由第二授权规则指定的。可选地,第二授权规则由管理人员手动配置。可选地,第二授权规则是上一次针对第一资源的权限管理时,由计算机设备自动确定的第一授权规则。
第二授权规则对应于计算机设备侧实施例中的已配置的授权规则。
图10是本申请一个示例性实施例提供的对比信息的显示效果的示意图。
如图10所示,终端设备在权限配置界面中显示第一授权规则的安全评分1010,性能对比信息1020。终端设备还可以在授权配置界面中显示第二授权规则的安全评分1030。
通过显示性能对比信息,使得管理人员能够直观的比较第一授权规则和第二授权规则的性能,方便管理人员根据第一授权规则和第二授权规则之间的差异确定是否应用第一授权规则,来替换第二授权规则。有助于提升资源的访问权限配置结果的体验性能和安全性。
在一些实施例中,终端设备显示权限配置界面之后,还包括:终端设备响应于选择第一资源的操作,对至少一个候选的资源中的第一资源进行区别化显示;终端设备响应于选择第一性能评分的操作,对至少一个候选的性能评分中的第一性能评分进行区别化显示,第一性能评分用于从至少一个对象组中确定第一对象组。
在一些实施例中,至少一个候选的资源来自对象所属的组织。选择第一资源的操作包括但不限于:点击操作、滑动操作、按键操作、手势操作等。示例性地,权限配置界面中显示至少一个候选的资源,以及每一个候选资源对应的选择控件,选择第一资源的操作为针对第一资源的选择控件的点击操作。
可选地,对第一资源进行区别化显示包括但不限于:字体区别化显示、字号区别化显示、颜色区别化显示。终端设备还可以对第一资源进行动态显示。需要说明的是,第一资源的显示方法根据实际需要进行设定,本申请在此不进行设定。
候选的性能评分包括以下至少之一:召回率、精度和综合评分。在一些实施例中,权限配置界面中显示有至少一个候选的性能评分的选择选项。终端设备响应于针对第一性能评分的选择选项的触发操作,确定使用第一性能评分计算第一授权规则。
通过提供资源选择和性能评分方式选择,有助于管理人员根据实际需要对某个资源进行授权管理,并根据系统的实际需求确定对应的性能评分计算方法,以便获得符合其实际需要的授权规则。
图11是本申请一个示例性实施例提供的资源访问权限的管理方法的应用示意图。
终端设备响应于权限配置界面中请求调整第一资源的授权规则的操作,向计算机设备指示对第一资源的访问权限进行管理。或者由计算机设备自动对当前应用的授权规则(如第二授权规则)进行检测,在当前应用的授权规则的性能评分小于第四阈值的情况下,计算机设备自动对该授权规则对应的资源进行资源管理,生成该资源的第一授权规则,并对第一授权规则进行应用。
计算机设备根据对象分组信息和第一资源的访问信息,确定至少一个对象组的相关性信息;并根据相关性信息从至少一个对象组中筛选第一对象组,得到第一授权规则。有关该过程的具体内容请参考上文实施例。
计算机设备计算第一授权规则的性能评分,并将第一授权规则的性能评分发送给终端设备。终端设备在权限配置界面中显示第一授权评分。
终端设备响应于应用第一授权规则的操作,通知计算机设备应用第一授权规则。计算机设备将第一授权规则存储在数据库,本次资源访问权限的管理过程完成。
下述为本申请装置实施例,可以用于执行本申请方法实施例。对于本申请装置实施例中未披露的细节,请参照本申请方法实施例。
图12示出了本申请一个示例性实施例提供的资源访问权限的管理装置的框图。该装置1200可以包括:信息获取模块1210、信息确定模块1220和对象选择模块1230。
信息获取模块1210,用于获取对象分组信息和第一资源的访问信息;其中,所述对象分组信息用于表征至少一个对象分别在至少一个对象组中的归属情况,所述访问信息用于表征所述至少一个对象分别对所述第一资源的历史访问情况。
信息确定模块1220,用于基于所述对象分组信息对所述访问信息进行对象关联处理,得到所述至少一个对象组分别对应的相关性信息,所述相关性信息用于表征所述对象组与所述第一资源之间的关联关系。
对象选择模块1230,用于以所述相关性信息为筛选次序,从所述至少一个对象组中筛选出至少一个第一对象组;其中,所述筛选次序是指决策所述对象组作为所述第一对象组的资格的顺序,所述第一对象组需要被配置所述第一资源的访问权限。
在一些实施例中,所述信息获取模块1210,包括:第一确定单元,用于对于所述至少一个对象组中的每一个所述对象组,根据所述对象分组信息和对象总数进行对象分布处理,确定所述对象组的对象分布信息,所述对象分布信息用于表征所述对象组中包括的所述对象在所述对象总数中所占比例;第二确定单元,用于对访问分布信息和所述对象分布信息进行联合分布统计,确定所述对象组与所述第一资源之间的联合分布信息;其中,所述访问分布信息根据所述访问信息确定,所述访问分布信息用于表征历史访问所述第一资源的对象在所述全部对象中所占比例;第三确定单元,用于对所述联合分布信息进行相关性处理,确定所述对象组对应的相关性信息。
在一些实施例中,所述第三确定单元,用于融合处理所述对象分布信息、所述访问分布信息和所述联合分布信息,得到第一参数;其中,所述第一参数与所述访问分布信息呈负相关关系,所述第一参数与所述对象分布信息呈负相关关系,所述联合分布信息与所述对象分布信息呈正相关关系;基于所述第一参数和所述联合分布信息进行相关性计算,确定所述对象组对应的相关性信息。
在一些实施例中,所述第三确定单元,用于对所述联合分布信息进行幂指数处理,得到第二参数,所述第二参数与所述联合分布信息呈反相关关系;基于所述第二参数进行相关性运算,确定所述对象组对应的相关性信息系。
在一些实施例中,所对象选择模块1230,包括:初始化子模块,用于对分组集合进行初始化,初始化的所述分组集合为不包括所述对象组的空集;对象组确定子模块,用于按照所述相关性信息从所述至少一个对象组中选择候选的对象组,将所述候选的对象组加入所述分组集合;评分计算子模块,用于基于所述访问信息对所述分组集合进行性能评估,得到所述分组集合的性能评分;其中,所述性能评分用于评估第二对象组关于所述第一资源的访问权限的合理性,所述第二对象组是指所述分组集合中包括的对象组;对象确定子模块,用于在所述性能评分满足第一条件的情况下,将所述候选的对象组确定为所述第一对象组,所述第一条件与将所述候选的对象组加入所述分组集合之后,所述分组集合的性能评分的变化趋势有关。
在一些实施例中,对象组确定子模块,用于以所述相关性信息递减的次序对所述至少一个对象组进行排序,得到对象组序列;选择所述对象组序列中处于第一位置的对象组作为所述候选的对象组,所述候选的对象组对应的相关性信息,大于或者等于所述对象组序列中其他对象组对应的相关性信息;其中,所述候选的对象组被从所述对象组序列中移除。
在一些实施例中,所述评分计算子模块,包括:正例计算单元,用于对于每一个所述第二对象组,基于所述第一资源的权限信息和所述访问信息进行交叉合并,得到所述第二对象组的正例数量;其中,所述权限信息用于表征所述至少一个对象分别关于所述第一资源的历史访问权限,所述第一资源的权限信息根据分组授权信息和所述对象分组信息确定,所述分组授权信息用于表征所述对象组关于所述第一资源的访问权限;评分计算单元,用于根据各个所述第二对象组的正例数量进行性能评估,得到所述分组集合的性能评分。
在一些实施例中,所述正例计算单元,用于对于所述第二对象组中包括的每一个对象,从所述第一资源的权限信息中获取所述对象的权限子信息,所述权限子信息用于表征所述对象关于所述第一资源的访问权限;从所述访问信息中获取所述对象的访问子信息,所述访问子信息用于表征所述对象对所述第一资源的历史访问情况;在所述访问子信息为具有所述第一资源的访问权限,且所述权限子信息为确认历史访问所述第一资源的情况下,确定所述对象为正例对象;统计所述第二对象中包括的所述正例对象,得到所述第二对象组的正例数量。
在一些实施例中,所述信息获取模块1210,还用于从已配置的授权规则中确定分组授权信息,所述已配置的授权规则用于指示已经具有所述第一资源的访问权限的对象组;基于所述对象分组信息对所述分组授权信息进行对象拆解,得到所述第一资源的权限信息。
在一些实施例中,所述性能评分的类型包括召回率,所述召回率用于表征第一资源的权限信息所具备的体验性能;所述评分计算单元,用于对各个所述第二对象组的正例数量进行求和处理,得到第三参数;基于所述对象分组信息对所述第一资源的权限信息进行对象成组处理,得到所述分组集合的预测权限数量;其中,所述预测权限数量用于表征各个所述第二对象组中具有所述第一资源的访问权限的对象数量;使用所述预测权限数量对所述第三参数进行划分,得到所述召回率。
在一些实施例中,所述性能评分的类型包括精度,所述精度用于表征第一资源的权限信息所具备的安全性能;所述评分计算单元,用于对各个所述第二对象组的正例数量进行求和处理,得到第三参数,所述第三参数与每一个对象组的正例数量呈正相关关系;根据所述对象分组信息对所述访问信息进行对象成组处理,确定所述分组集合的历史访问数量,所述历史访问数量用于表征各个所述第二对象组中历史访问过所述第一资源的对象数量;使用所述历史访问数量对所述第三参数进行划分,得到所述精度。
在一些实施例中,所述性能评分的类型包括综合评分;其中,所述综合评分用于综合衡量所述分组集合的召回率和精度,所述召回率用于表征所述第一资源的权限信息所具备的体验性能,所述精度用于表征所述第一资源的权限信息所具备的安全性能;所述评分计算单元,用于基于所述第二对象组的正例数量对所述第一资源的权限信息进行体验评估,确定所述分组集合的召回率;基于所述第二对象组的正例数量对所述第一资源的访问信息进行安全评估,确定所述分组集合的精度;对所述分组集合的召回率和所述分组集合的精度进行加权求和处理,得到所述分组集合的综合性能。
在一些实施例中,所述信息获取模块1210,包括分组确定单元,用于根据所述至少一个对象组所属的组织构架,获取所述对象分组信息;记录获取单元,用于获取所述第一资源的历史访问记录,所述历史访问记录用于记录历史访问所述第一资源的对象;访问确定单元,用于对所述历史访问记录进行筛选,得到所述第一资源的访问信息。
在一些实施例中,所述访问确定单元,用于对所述历史访问记录进行时段筛选,获取第一时间段内所述至少一个对象的历史访问次数,所述历史访问次数是指所述对象在所述第一时间段内访问所述第一资源的次数;对于所述至少一个对象中的每一个对象,将历史访问次数大于或者等于第一阈值的对象确定为活跃对象;将所述活跃对象的访问子信息设置为:历史已访问所述第一资源,将所述至少一个对象中除了所述活跃对象之外的其他对象的访问子信息设置为:历史未访问所述第一资源;组合所述至少一个对象的访问子信息,得到所述第一资源的访问信息。
图13示出了本申请另一个示例性实施例提供的资源访问权限的管理装置的框图。该装置1300可以包括:界面显示模块1310。
界面显示模块1310,用于显示用于配置授权规则的权限配置界面,所述授权规则用于指示至少一个对象组对资源的访问权限。
所述界面显示模块1310,还用于响应于所述权限配置界面中请求调整第一资源的授权规则的操作,显示第一授权规则的性能评分;其中,所述第一授权规则基于所述至少一个对象组分别对应的相关性信息确定,所述第一授权规则用于为所述至少一个对象组中的第一对象组配置所述第一资源的访问权限,所述相关性信息用于表征所述对象组与所述第一资源之间的依赖关系。
所述界面显示模块1310,还用于响应于应用所述第一授权规则的操作,显示提示信息,所述提示信息用于表征已基于所述第一授权规则为所述第一对象组配置所述第一资源的访问权限。
在一些实施例中,所述第一授权规则的性能评分包括以下至少之一:体验评分、安全评分;其中,所述体验评分用于表征所述第一对象组对所述第一资源的访问权限的使用情况,所述安全评分用于表征所述第一对象组具有的第一资源的访问权限与所述第一资源的历史访问情况之间的关系。
在一些实施例中,所述界面显示模块1310,还用于显示性能对比信息;其中,所述性能对比信息用于表征第二授权规则和所述第一授权规则的性能差异,所述第二授权规则是指在执行所述应用第一授权规则的操作之前,被应用的授权规则。
在一些实施例中,装置1300还包括:管理配置模块,用于响应于选择所述第一资源的操作,对至少一个候选的资源中的第一资源进行区别化显示;响应于选择第一管理方法的操作,对所述至少一个候选的性能评分中的第一管理方法进行区别化显示,所述第一性能评分用于从所述至少一个对象组中筛选所述第一对象组。
需要说明的是,上述实施例提供的装置,在实现其功能时,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将设备的内容结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。另外,上述实施例提供的装置与方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。上述实施例提供的装置的有益效果请参考方法侧实施例的描述,这里也不再赘述。
图14示出了本申请一个示例性实施例提供的计算机设备的结构框图。该权限管理设备1400可以是上文介绍计算机设备。
通常,计算机设备1400包括有:处理器1401和存储器1402。
处理器1401可以包括一个或多个处理核心,比如4核心处理器、14核心处理器等。处理器1401可以采用DSP(Digital Signal Processing,数字信号处理)、FPGA(FieldProgrammable Gate Array,现场可编程门阵列)、PLA(Programmable Logic Array,可编程逻辑阵列)中的至少一种硬件形式来实现。处理器1401也可以包括主处理器和协处理器,主处理器是用于对在唤醒状态下的数据进行处理的处理器,也称CPU(Central ProcessingUnit,中央处理器);协处理器是用于对在待机状态下的数据进行处理的低功耗处理器。在一些实施例中,处理器1401可以在集成有GPU(Graphics Processing Unit,图片处理器),GPU用于负责显示屏所需要显示的内容的渲染和绘制。一些实施例中,处理器1401还可以包括AI处理器,该AI处理器用于处理有关机器学习的计算操作。
存储器1402可以包括一个或多个计算机可读存储介质,该计算机可读存储介质可以是有形的和非暂态的。存储器1402还可包括高速随机存取存储器,以及非易失性存储器,比如一个或多个磁盘存储设备、闪存存储设备。在一些实施例中,存储器1402中的非暂态的计算机可读存储介质存储有至少一段程序,该至少一段程序由处理器1401加载并执行以实现上述各方法实施例提供的资源访问权限的管理方法。
本申请实施例还提供一种计算机可读存储介质,该存储介质中存储有计算机程序,所述计算机程序由处理器加载并执行以实现上述各方法实施例提供的资源访问权限的管理方法。
该计算机可读介质可以包括计算机存储介质和通信介质。计算机存储介质包括以用于存储诸如计算机可读指令、数据结构、程序模块或其他数据等信息的任何方法或技术实现的易失性和非易失性、可移动和不可移动介质。计算机存储介质包括RAM、ROM、EPROM(Erasable Programmable Read-Only Memory,可擦写可编程只读存储器)、EEPROM(Electrically Erasable Programmable Read-Only Memory,电可擦写可编程只读存储器)、闪存或其他固态存储技术、DVD(Digital Video Disc,高密度数字视频光盘)或其他光学存储、磁带盒、磁带、磁盘存储或其他磁性存储设备。当然,本领域技术人员可知该计算机存储介质不局限于上述几种。
本申请实施例还提供一种计算机程序产品,所述计算机程序产品包括计算机程序,所述计算机程序存储在计算机可读存储介质中,处理器从所述计算机可读存储介质读取并执行所述计算机程序,以实现上述各方法实施例提供的资源访问权限的管理方法。
应当理解的是,在本文中提及的“多个”是指两个或两个以上。“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。
需要说明的是,本申请在收集用户(相当于权利要求中的对象)的相关数据之前以及在收集用户的相关数据的过程中,都可以显示提示界面、弹窗或输出语音提示信息,该提示界面、弹窗或语音提示信息用于提示用户当前正在搜集其相关数据,使得本申请仅仅在获取到用户对该提示界面或者弹窗发出的确认操作后,才开始执行获取用户相关数据的相关步骤,否则(即未获取到用户对该提示界面或者弹窗发出的确认操作时),结束获取用户相关数据的相关步骤,即不获取用户的相关数据。换句话说,本申请中资源的访问信息,历史访问记录的收集和使用,是根据相关国家法律法规的要求,获取个人信息主体的知情同意或单独同意都是在用户同意并授权的情况下进行采集的,并在法律法规及个人信息主体的授权范围内,开展后续数据使用及处理行为且相关用户数据的收集、使用和处理需要遵守相关国家和地区的相关法律法规和标准。
以上所述仅为本申请的可选实施例,并不用以限制本申请,凡在本申请的精神和原则之内,所作的任何修改、等同切换、改进等,均应包含在本申请的保护范围之内。

Claims (20)

1.一种资源访问权限的管理方法,其特征在于,所述方法包括:
获取对象分组信息和第一资源的访问信息;其中,所述对象分组信息用于表征至少一个对象分别在至少一个对象组中的归属情况,所述访问信息用于表征所述至少一个对象分别对所述第一资源的历史访问情况;
基于所述对象分组信息对所述访问信息进行对象关联处理,得到所述至少一个对象组分别对应的相关性信息,所述相关性信息用于表征所述对象组与所述第一资源之间的关联关系;
以所述相关性信息为筛选次序,从所述至少一个对象组中筛选出至少一个第一对象组;其中,所述筛选次序是指决策所述对象组作为所述第一对象组的资格的顺序,所述第一对象组需要被配置所述第一资源的访问权限。
2.根据权利要求1所述的方法,其特征在于,所述基于所述对象分组信息对所述访问信息进行对象关联处理,得到所述至少一个对象组分别对应的相关性信息,包括:
对于所述至少一个对象组中的每一个所述对象组,根据所述对象分组信息和对象总数进行对象分布处理,确定所述对象组的对象分布信息,所述对象分布信息用于表征所述对象组中包括的所述对象在所述对象总数中所占比例;
对访问分布信息和所述对象分布信息进行联合分布统计,确定所述对象组与所述第一资源之间的联合分布信息;其中,所述访问分布信息根据所述访问信息确定,所述访问分布信息用于表征历史访问所述第一资源的对象在所述全部对象中所占比例;
对所述联合分布信息进行相关性处理,确定所述对象组对应的相关性信息。
3.根据权利要求2所述的方法,其特征在于,所述对所述联合分布信息进行相关性处理,确定所述对象组对应的相关性信息,包括:
融合处理所述对象分布信息、所述访问分布信息和所述联合分布信息,得到第一参数;其中,所述第一参数与所述访问分布信息呈负相关关系,所述第一参数与所述对象分布信息呈负相关关系,所述联合分布信息与所述对象分布信息呈正相关关系;
基于所述第一参数和所述联合分布信息进行相关性计算,确定所述对象组对应的相关性信息。
4.根据权利要求2所述的方法,其特征在于,所述对所述联合分布信息进行相关性处理,确定所述对象组对应的相关性信息,包括:
对所述联合分布信息进行幂指数处理,得到第二参数,所述第二参数与所述联合分布信息呈反相关关系;
基于所述第二参数进行相关性运算,确定所述对象组对应的相关性信息。
5.根据权利要求1所述的方法,其特征在于,所述以所述相关性信息为筛选次序,从所述至少一个对象组中筛选出至少一个第一对象组,包括:
对分组集合进行初始化,初始化的所述分组集合为不包括所述对象组的空集;
按照所述相关性信息从所述至少一个对象组中选择候选的对象组,将所述候选的对象组加入所述分组集合;
基于所述访问信息对所述分组集合进行性能评估,得到所述分组集合的性能评分;其中,所述性能评分用于评估第二对象组关于所述第一资源的访问权限的合理性,所述第二对象组是指所述分组集合中包括的对象组;
在所述性能评分满足第一条件的情况下,将所述候选的对象组确定为所述第一对象组,所述第一条件与将所述候选的对象组加入所述分组集合之后,所述分组集合的性能评分的变化趋势有关。
6.根据权利要求5所述的方法,其特征在于,所述按照所述相关性信息从所述至少一个对象组中选择候选的对象组,包括:
以所述相关性信息递减的次序对所述至少一个对象组进行排序,得到对象组序列;
选择所述对象组序列中处于第一位置的对象组作为所述候选的对象组,所述候选的对象组对应的相关性信息,大于或者等于所述对象组序列中其他对象组对应的相关性信息;
其中,所述对象组序列中的对象组至多具有一次机会作为所述候选的对象组。
7.根据权利要求5所述的方法,其特征在于,所述基于所述访问信息对所述分组集合进行性能评估,得到所述分组集合的性能评分,包括:
对于每一个所述第二对象组,基于所述第一资源的权限信息和所述访问信息进行交叉合并,得到所述第二对象组的正例数量;其中,所述权限信息用于表征所述至少一个对象分别关于所述第一资源的历史访问权限,所述第一资源的权限信息根据分组授权信息和所述对象分组信息确定,所述分组授权信息用于表征所述对象组关于所述第一资源的访问权限;
根据各个所述第二对象组的正例数量进行性能评估,得到所述分组集合的性能评分。
8.根据权利要求7所述的方法,其特征在于,所述基于所述第一资源的权限信息和所述访问信息进行交叉合并,得到所述第二对象组的正例数量,包括:
对于所述第二对象组中包括的每一个对象,从所述第一资源的权限信息中获取所述对象的权限子信息,所述权限子信息用于表征所述对象关于所述第一资源的访问权限;
从所述访问信息中获取所述对象的访问子信息,所述访问子信息用于表征所述对象对所述第一资源的历史访问情况;
在所述访问子信息为具有所述第一资源的访问权限,且所述权限子信息为确认历史访问所述第一资源的情况下,确定所述对象为正例对象;
统计所述第二对象中包括的所述正例对象,得到所述第二对象组的正例数量。
9.根据权利要求7所述的方法,其特征在于,所述方法还包括:
从已配置的授权规则中确定分组授权信息,所述已配置的授权规则用于指示已经具有所述第一资源的访问权限的对象组;
基于所述对象分组信息对所述分组授权信息进行对象拆解,得到所述第一资源的权限信息。
10.根据权利要求7所述的方法,其特征在于,所述性能评分的类型包括召回率,所述召回率用于表征所述第一资源的权限信息所具备的体验性能;
所述根据各个所述第二对象组的正例数量进行性能评估,得到所述分组集合的性能评分,包括:
对各个所述第二对象组的正例数量进行求和处理,得到第三参数;
基于所述对象分组信息对所述第一资源的权限信息进行对象成组处理,得到所述分组集合的预测权限数量;其中,所述预测权限数量用于表征各个所述第二对象组中具有所述第一资源的访问权限的对象数量;
使用所述预测权限数量对所述第三参数进行划分,得到所述召回率。
11.根据权利要求7所述的方法,其特征在于,所述性能评分的类型包括精度,所述精度用于表征所述第一资源的权限信息所具备的安全性能;
所述根据各个所述第二对象组的正例数量进行性能评估,得到所述分组集合的性能评分,包括:
对各个所述第二对象组的正例数量进行求和处理,得到第三参数,所述第三参数与每一个对象组的正例数量呈正相关关系;
根据所述对象分组信息对所述访问信息进行对象成组处理,确定所述分组集合的历史访问数量,所述历史访问数量用于表征各个所述第二对象组中历史访问过所述第一资源的对象数量;
使用所述历史访问数量对所述第三参数进行划分,得到所述精度。
12.根据权利要求7所述的方法,其特征在于,所述性能评分的类型包括综合评分;其中,所述综合评分用于综合衡量所述分组集合的召回率和精度,所述召回率用于表征所述第一资源的权限信息所具备的体验性能,所述精度用于表征所述第一资源的权限信息所具备的安全性能;
所述根据各个所述第二对象组的正例数量进行性能评估,得到所述分组集合的性能评分,包括:
基于所述第二对象组的正例数量对所述第一资源的权限信息进行体验评估,确定所述分组集合的召回率;
基于所述第二对象组的正例数量对所述第一资源的访问信息进行安全评估,确定所述分组集合的精度;
对所述分组集合的召回率和所述分组集合的精度进行加权求和处理,得到所述分组集合的综合性能。
13.根据权利要求1所述的方法,其特征在于,获取对象分组信息和第一资源的访问信息,包括:
根据所述至少一个对象组所属的组织构架,获取所述对象分组信息;
获取所述第一资源的历史访问记录,所述历史访问记录用于记录历史访问所述第一资源的对象;
对所述历史访问记录进行筛选,得到所述第一资源的访问信息。
14.根据权利要求13所述的方法,其特征在于,所述对所述历史访问记录进行筛选,得到所述第一资源的访问信息,包括:
对所述历史访问记录进行时段筛选,获取第一时间段内所述至少一个对象的历史访问次数,所述历史访问次数是指所述对象在所述第一时间段内访问所述第一资源的次数;
对于所述至少一个对象中的每一个对象,将历史访问次数大于或者等于第一阈值的对象确定为活跃对象;
将所述活跃对象的访问子信息设置为:历史已访问所述第一资源,将所述至少一个对象中除了所述活跃对象之外的其他对象的访问子信息设置为:历史未访问所述第一资源;
组合所述至少一个对象的访问子信息,得到所述第一资源的访问信息。
15.一种资源访问权限的管理方法,其特征在于,所述方法包括:
显示用于配置授权规则的权限配置界面,所述授权规则用于指示至少一个对象组对资源的访问权限;
响应于所述权限配置界面中请求调整第一资源的授权规则的操作,显示第一授权规则的性能评分;其中,所述第一授权规则基于所述至少一个对象组分别对应的相关性信息确定,所述第一授权规则用于为所述至少一个对象组中的第一对象组配置所述第一资源的访问权限,所述相关性信息用于表征所述对象组与所述第一资源之间的依赖关系;
响应于应用所述第一授权规则的操作,显示提示信息,所述提示信息用于表征已基于所述第一授权规则为所述第一对象组配置所述第一资源的访问权限。
16.一种资源访问权限的管理装置,其特征在于,所述装置包括:
信息获取模块,用于获取对象分组信息和第一资源的访问信息;其中,所述对象分组信息用于表征至少一个对象分别在至少一个对象组中的归属情况,所述访问信息用于表征所述至少一个对象分别对所述第一资源的历史访问情况;
信息确定模块,用于基于所述对象分组信息对所述访问信息进行对象关联处理,得到所述至少一个对象组分别对应的相关性信息,所述相关性信息用于表征所述对象组与所述第一资源之间的依赖关系;
对象选择模块,用于以所述相关性信息为筛选次序,从所述至少一个对象组中筛选出至少一个第一对象组;其中,所述筛选次序是指决策所述对象组作为所述第一对象组的资格的顺序,所述第一对象组需要被配置所述第一资源的访问权限。
17.一种资源访问权限的管理装置,其特征在于,所述装置包括:
界面显示模块,用于显示用于配置授权规则的权限配置界面,所述授权规则用于指示至少一个对象组对资源的访问权限;
所述界面显示模块,还用于响应于所述权限配置界面中请求调整第一资源的授权规则的操作,显示第一授权规则的性能评分;其中,所述第一授权规则基于所述至少一个对象组分别对应的相关性信息确定,所述第一授权规则用于为所述至少一个对象组中的第一对象组配置所述第一资源的访问权限,所述相关性信息用于表征所述对象组与所述第一资源之间的依赖关系;
所述界面显示模块,还用于响应于应用所述第一授权规则的操作,显示提示信息,所述提示信息用于表征已基于所述第一授权规则为所述第一对象组配置所述第一资源的访问权限。
18.一种计算机设备,其特征在于,所述计算机设备包括处理器和存储器,所述存储器中存储有计算机程序,所述计算机程序由所述处理器加载并执行以实现如权利要求1至14任一项所述的资源访问权限的管理方法,或者,实现如权利要求15所述的资源访问权限的管理方法。
19.一种计算机可读存储介质,其特征在于,所述存储介质中存储有计算机程序,所述计算机程序由处理器加载并执行,以实现如权利要求1至14任一项所述的资源访问权限的管理方法,或者,实现如权利要求15所述的资源访问权限的管理方法。
20.一种计算机程序产品,其特征在于,所述计算机程序产品包括计算机程序,所述计算机程序存储在计算机可读存储介质中,处理器从所述计算机可读存储介质读取并执行所述计算机程序,以实现如权利要求1至14任一项所述的资源访问权限的管理方法,或者,实现如权利要求15所述的资源访问权限的管理方法。
CN202311389941.4A 2023-10-25 2023-10-25 资源访问权限的管理方法、装置、设备及存储介质 Pending CN117390648A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311389941.4A CN117390648A (zh) 2023-10-25 2023-10-25 资源访问权限的管理方法、装置、设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311389941.4A CN117390648A (zh) 2023-10-25 2023-10-25 资源访问权限的管理方法、装置、设备及存储介质

Publications (1)

Publication Number Publication Date
CN117390648A true CN117390648A (zh) 2024-01-12

Family

ID=89437031

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311389941.4A Pending CN117390648A (zh) 2023-10-25 2023-10-25 资源访问权限的管理方法、装置、设备及存储介质

Country Status (1)

Country Link
CN (1) CN117390648A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN118070318A (zh) * 2024-04-25 2024-05-24 麒麟软件有限公司 用户权限动态分配方法、装置及存储介质

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN118070318A (zh) * 2024-04-25 2024-05-24 麒麟软件有限公司 用户权限动态分配方法、装置及存储介质
CN118070318B (zh) * 2024-04-25 2024-08-13 麒麟软件有限公司 用户权限动态分配方法、装置及存储介质

Similar Documents

Publication Publication Date Title
Naseri et al. A new agent-based method for QoS-aware cloud service composition using particle swarm optimization algorithm
US10963541B2 (en) Systems, methods, and apparatuses for implementing a related command with a predictive query interface
WO2018103595A1 (zh) 一种授权策略推荐方法及装置、服务器、存储介质
CN114398669B (zh) 基于隐私保护计算和跨组织的联合信用评分方法及装置
CN117390648A (zh) 资源访问权限的管理方法、装置、设备及存储介质
Gupta et al. An artificial intelligence based approach for managing risk of IT systems in adopting cloud
KR20210077654A (ko) 매칭 효율을 향상시키기 위한 연합 학습 방법 및 장치, 전자장치 및 매체
Wang et al. Cultural distance for service composition in cyber–physical–social systems
Devi et al. Cloud providers ranking and selection using quantitative and qualitative approach
Wang et al. An unsupervised strategy for defending against multifarious reputation attacks
Alabool et al. A novel evaluation framework for improving trust level of Infrastructure as a Service
US9058470B1 (en) Actual usage analysis for advanced privilege management
Keshavarzi et al. Adaptive Resource Management and Provisioning in the Cloud Computing: A Survey of Definitions, Standards and Research Roadmaps.
Choi et al. Quality evaluation and best service choice for cloud computing based on user preference and weights of attributes using the analytic network process
CN114253746A (zh) 一种基于SaaS的产品应用服务管理方法、装置、设备和介质
US9998498B2 (en) Cognitive authentication with employee onboarding
CN111177653B (zh) 一种信用评估方法和装置
CN115577983B (zh) 基于区块链的企业任务匹配方法、服务器及存储介质
Sahu et al. Cloud Storage and Processing Service Selection considering Tiered Pricing and Data Regulations
Haurech et al. Comparison of models for the selection of cloud computing resources
PoojaGoyal et al. A Review: Trust Management Techniques Used for Cloud Computing
CN115485662A (zh) 计算平台上的配额请求解析
CN111737319B (zh) 用户集群的预测方法、装置、计算机设备和存储介质
KR102345749B1 (ko) 데이터 컴플라이언스 제공을 위한 평가 관리 방법 및 그 시스템
Wang et al. A dynamic cloud service selection model based on trust and SLA in cloud computing

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication