基于用戶行為的賬號(hào)權(quán)限調(diào)整方法及裝置的制造方法
【專利摘要】本發(fā)明實(shí)施例公開了一種基于用戶行為的賬號(hào)權(quán)限調(diào)整方法及裝置,所述方法包括:根據(jù)所述身份信息為用戶分配賬戶及用戶等級(jí),并根據(jù)所述用戶等級(jí)確定所述用戶的權(quán)限組;記錄所述賬戶使用所述權(quán)限組中權(quán)限的行為,對(duì)用戶使用權(quán)限的行為進(jìn)行分析,根據(jù)分析結(jié)果調(diào)整所述用戶的權(quán)限組中權(quán)限。
【專利說明】
基于用戶行為的賬號(hào)權(quán)限調(diào)整方法及裝置
技術(shù)領(lǐng)域
[0001] 本發(fā)明涉及賬號(hào)管理技術(shù),尤其涉及一種基于用戶行為的賬號(hào)權(quán)限調(diào)整方法及裝 置。
【背景技術(shù)】
[0002] 網(wǎng)絡(luò)技術(shù)迅速的發(fā)展,不僅給個(gè)人帶來了豐富的網(wǎng)絡(luò)體驗(yàn),同時(shí)也給企業(yè)的業(yè)務(wù) 帶來了革命性的發(fā)展,許多企業(yè)都擺脫了過去人工管理的模式,逐漸轉(zhuǎn)變?yōu)榱诵畔⑻幚砟?式。
[0003] 隨著企業(yè)需處理信息的增多,導(dǎo)致了企業(yè)的IT系統(tǒng)越來越復(fù)雜、網(wǎng)絡(luò)規(guī)模也隨之 擴(kuò)大,最直接的結(jié)果就是,IT系統(tǒng)賬號(hào)權(quán)限控制壓力驟增。IT系統(tǒng)中包括多種業(yè)務(wù)和管理 系統(tǒng),各系統(tǒng)都有使用人員、管理人員、審計(jì)人員,帳號(hào)安全風(fēng)險(xiǎn)大大增加,原有的分散的帳 號(hào)管理方式已不能滿足現(xiàn)在的運(yùn)維安全管理要求,因此,許多企業(yè)都建立了集中的賬號(hào)管 理系統(tǒng),集中管理賬號(hào)權(quán)限。
[0004] 但需要指出的去,目前的賬號(hào)管理方式中,賬號(hào)權(quán)限的申請(qǐng)、注銷、變更流程全部 人工發(fā)起、審批、完成,大大消耗人力成本;賬號(hào)權(quán)限的大小、有效期由
【申請(qǐng)人】填寫,客觀依 據(jù)不足。賬號(hào)權(quán)限審批是否通過依賴于審批人的個(gè)人判斷,判斷依據(jù)為
【申請(qǐng)人】自己的描述, 不夠客觀,存在
【申請(qǐng)人】獲得超過所需權(quán)限的可能。賬號(hào)權(quán)限的申請(qǐng)、注銷、變更依賴于申請(qǐng) 人發(fā)起,
【申請(qǐng)人】職責(zé)權(quán)限的變更本應(yīng)對(duì)應(yīng)進(jìn)行權(quán)限變更或注銷,但是由于變更、注銷流程沒 有強(qiáng)有力的手段保障,導(dǎo)致賬號(hào)權(quán)限往往只增加不減少,存在嚴(yán)重的安全隱患。
【發(fā)明內(nèi)容】
[0005] 為解決上述技術(shù)問題,本發(fā)明實(shí)施例提供一種基于用戶行為的賬號(hào)權(quán)限調(diào)整方法 及裝置。
[0006] 本發(fā)明實(shí)施例的技術(shù)方案是這樣實(shí)現(xiàn)的:
[0007] -種基于用戶行為的賬號(hào)權(quán)限調(diào)整方法,包括:
[0008] 根據(jù)所述身份信息為用戶分配賬戶及用戶等級(jí),并根據(jù)所述用戶等級(jí)確定所述用 戶的權(quán)限組;
[0009] 記錄所述賬戶使用所述權(quán)限組中權(quán)限的行為,對(duì)用戶使用權(quán)限的行為進(jìn)行分析, 根據(jù)分析結(jié)果調(diào)整所述用戶的權(quán)限組中權(quán)限。
[0010] 優(yōu)選地,所述權(quán)限組中至少包括資源權(quán)限和功能權(quán)限,所述資源權(quán)限為用戶能操 作的對(duì)象,所述操作的對(duì)象包括設(shè)備、資料;所述功能權(quán)限為用戶能進(jìn)行的操作,包括操作 功能鍵或菜單。
[0011] 優(yōu)選地,所述方法還包括:
[0012] 接收到用戶發(fā)起的所述權(quán)限組之外的權(quán)限請(qǐng)求時(shí),確定是否為用戶臨時(shí)授權(quán)所請(qǐng) 求的權(quán)限,當(dāng)為用戶授權(quán)了所請(qǐng)求的權(quán)限時(shí),在所授權(quán)的所述權(quán)限組之外的權(quán)限使頻率超 出了設(shè)定閾值時(shí),將該將所授權(quán)的權(quán)限寫入所述用戶的權(quán)限組。
[0013] 優(yōu)選地,所述根據(jù)分析結(jié)果調(diào)整所述用戶的權(quán)限組中權(quán)限,包括:
[0014] 根據(jù)分析結(jié)果確定所述用戶的權(quán)限組中的權(quán)限使用頻率低于設(shè)定閾值時(shí),清除所 述用戶的權(quán)限組中的使用頻率低于設(shè)定閾值的權(quán)限。
[0015] 優(yōu)選地,所述根據(jù)分析結(jié)果調(diào)整所述用戶的權(quán)限組中權(quán)限,包括:
[0016] 根據(jù)所述用戶使用權(quán)限i的行為確定權(quán)限使用頻繁程度仁,權(quán)限i的使用平均時(shí) 長心,權(quán)限i使用的可信程度C 1;其中:
[0017]
Fi為設(shè)定時(shí)段內(nèi)用戶使用權(quán)限i的次數(shù),I匕為統(tǒng)計(jì)時(shí)段內(nèi)用戶使用 I- I 權(quán)限i的次數(shù);
[0018]
i為設(shè)定時(shí)段內(nèi)用戶使用權(quán)限i的時(shí)長,;^ !\為統(tǒng)計(jì)時(shí)段內(nèi)用戶使用 權(quán)限i的時(shí)長;
[0019]
其中,Li為設(shè)定時(shí)段內(nèi)用戶在工作時(shí)間內(nèi)使用權(quán)限i的次數(shù),Pi為設(shè) 定時(shí)段內(nèi)用戶利用可信IP地址使用權(quán)限i的次數(shù);
[0020] 用戶行為分析矩陣A1= {f ;
[0021] 用戶的權(quán)限是否保留的評(píng)估參數(shù)
p為 權(quán)限控制參數(shù),參照正態(tài)分布原則設(shè)定,或根據(jù)權(quán)限i的敏感程度或企業(yè)控制程度進(jìn)行設(shè) 定;
[0022]
[0023]
[0024]
[0025] η為具有權(quán)限i的所有用戶數(shù);
[0026] f為所有具有權(quán)限i的用戶使用該權(quán)限i的平均頻繁程度;
[0027] 〖為所有具有權(quán)限i的用戶使用該權(quán)限i的平均時(shí)長;
[0028] C為所有具有權(quán)限i的用戶使用該權(quán)限i的平均可信度;
[0029] 如果 A; XAlive_weightT< Alive_weight XAlive_weightτ,則清除用戶的權(quán)限 i ; [Γ表示轉(zhuǎn)置。
[0030] 一種基于用戶行為的賬號(hào)權(quán)限調(diào)整裝置,包括:分配單元、記錄單元、分析單元和 調(diào)整單元,其中:
[0031] 分配單元,用于根據(jù)所述身份信息為用戶分配賬戶及用戶等級(jí),并根據(jù)所述用戶 等級(jí)確定所述用戶的權(quán)限組;
[0032] 記錄單元,用于記錄所述賬戶使用所述權(quán)限組中權(quán)限的行為;
[0033] 分析單元,用于對(duì)用戶使用權(quán)限的行為進(jìn)行分析;
[0034] 調(diào)整單元,用于根據(jù)所述分析單元的分析結(jié)果調(diào)整所述用戶的權(quán)限組中權(quán)限。
[0035] 優(yōu)選地,所述權(quán)限組中至少包括資源權(quán)限和功能權(quán)限,所述資源權(quán)限為用戶能操 作的對(duì)象,所述操作的對(duì)象包括設(shè)備、資料;所述功能權(quán)限為用戶能進(jìn)行的操作,包括操作 功能鍵或菜單。
[0036] 優(yōu)選地,所述裝置還包括:接收單元、確定單元,其中:
[0037] 接收單元,用于接收到用戶發(fā)起的所述權(quán)限組之外的權(quán)限請(qǐng)求;
[0038] 確定單元,用于確定是否為用戶臨時(shí)授權(quán)所請(qǐng)求的權(quán)限,接收到用戶發(fā)起的所述 權(quán)限組之外的權(quán)限請(qǐng)求時(shí),確定是否為用戶臨時(shí)授權(quán)所請(qǐng)求的權(quán)限,當(dāng)為用戶授權(quán)了所請(qǐng) 求的權(quán)限時(shí),在所授權(quán)的所述權(quán)限組之外的權(quán)限使頻率超出了設(shè)定閾值時(shí),觸發(fā)所述分配 單元將該將所授權(quán)的權(quán)限寫入所述用戶的權(quán)限組。
[0039] 優(yōu)選地,所述調(diào)整單元,還用于根據(jù)分析結(jié)果確定所述用戶的權(quán)限組中的權(quán)限使 用頻率低于設(shè)定閾值時(shí),清除所述用戶的權(quán)限組中的使用頻率低于設(shè)定閾值的權(quán)限。
[0040] 優(yōu)選地,所述調(diào)整單元,還用于:
[0041] 根據(jù)所述用戶使用權(quán)限i的行為確定權(quán)限使用頻繁程度仁,權(quán)限i的使用平均時(shí) 長心,權(quán)限i使用的可信程度C 1;其中:
[0042] R為設(shè)定時(shí)段內(nèi)用戶使用權(quán)限i的次數(shù),1匕為統(tǒng)計(jì)時(shí)段內(nèi)用戶使用 /. i 權(quán)限i的次數(shù);
[0043]
為設(shè)定時(shí)段內(nèi)用戶使用權(quán)限i的時(shí)長,;£ ?\為統(tǒng)計(jì)時(shí)段內(nèi)用戶使用 權(quán)限i的時(shí)長;
[0044]
其中,Q為設(shè)定時(shí)段內(nèi)用戶在工作時(shí)間內(nèi)使用權(quán)限i的次數(shù),Pi為設(shè) 定時(shí)段內(nèi)用戶利用可信IP地址使用權(quán)限i的次數(shù);
[0045] 用戶行為分析矩陣Ai= {f ;,h,CJ ;
[0046] 用戶的權(quán)限是否保留的評(píng)估參I
p為 權(quán)限控制參數(shù),參照正態(tài)分布原則設(shè)定,或根據(jù)權(quán)限i的敏感程度或企業(yè)控制程度進(jìn)行設(shè) 定;
[0050] η為具有權(quán)限i的所有用戶數(shù);
[0047]
[0048]
[0049]
[0051] ?為所有具有權(quán)限i的用戶使用該權(quán)限i的平均頻繁程度;
[0052] ?為所有具有權(quán)限i的用戶使用該權(quán)限i的平均時(shí)長;
[0053] €為所有具有權(quán)限i的用戶使用該權(quán)限i的平均可信度;
[0054] 如果 A; XAlive_weightT< Alive_weight XAlive_weightτ,則清除用戶的權(quán)限 i ; [Γ表示轉(zhuǎn)置。
[0055] 本發(fā)明實(shí)施例能夠根據(jù)所述身份信息為用戶分配賬戶及用戶等級(jí),并根據(jù)所述用 戶等級(jí)確定所述用戶的權(quán)限組;記錄所述賬戶使用所述權(quán)限組中權(quán)限的行為,對(duì)用戶使用 權(quán)限的行為進(jìn)行分析,根據(jù)分析結(jié)果調(diào)整所述用戶的權(quán)限組中權(quán)限。
[0056] 與現(xiàn)有技術(shù)相比,本發(fā)明實(shí)施例的技術(shù)方案有效解決了目前賬號(hào)權(quán)限依賴管理手 段造成的權(quán)限控制不精確的問題,用技術(shù)手段代替管理手段更加智能地管控賬號(hào)權(quán)限的授 權(quán)、變更和注銷,徹底使賬號(hào)權(quán)限控制自動(dòng)化、智能化,可以應(yīng)用在各自涉及賬號(hào)權(quán)限管理 的場景下,大大降低了賬號(hào)權(quán)限控制的人工成本。
【附圖說明】
[0057] 圖1為本發(fā)明實(shí)施例的基于用戶行為的賬號(hào)權(quán)限調(diào)整方法的流程圖;
[0058] 圖2為本發(fā)明實(shí)施例的額外權(quán)限審批的流程圖;
[0059] 圖3為本發(fā)明實(shí)施例的用戶使用權(quán)限的行為分析的流程圖;
[0060] 圖4為本發(fā)明實(shí)施例的賬號(hào)權(quán)限調(diào)整實(shí)現(xiàn)方法的流程圖;
[0061] 圖5為本發(fā)明實(shí)施例的基于用戶行為的賬號(hào)權(quán)限調(diào)整裝置的組成結(jié)構(gòu)圖。
【具體實(shí)施方式】
[0062] 為使本發(fā)明的目的、技術(shù)方案和優(yōu)點(diǎn)更加清除明白,以下舉實(shí)施例并參照附圖,對(duì) 本發(fā)明進(jìn)一步詳細(xì)說明。
[0063] 圖1為本發(fā)明實(shí)施例的基于用戶行為的賬號(hào)權(quán)限調(diào)整方法的流程圖,如圖1所示, 本發(fā)明實(shí)施例的基于用戶行為的賬號(hào)權(quán)限調(diào)整方法包括以下步驟:
[0064] 步驟101,根據(jù)所述身份信息為用戶分配賬戶及用戶等級(jí),并根據(jù)所述用戶等級(jí)確 定所述用戶的權(quán)限組。
[0065] 當(dāng)用戶發(fā)起權(quán)限申請(qǐng)時(shí),會(huì)根據(jù)用戶的用戶級(jí)別,為用戶選擇相應(yīng)的權(quán)限組,用戶 只能使用權(quán)限組的對(duì)應(yīng)權(quán)限。本發(fā)明實(shí)施例允許用戶申請(qǐng)權(quán)限組中之外的權(quán)限,當(dāng)然這需 要系統(tǒng)根據(jù)相應(yīng)的算法確定是否允許分配給用戶該超出其級(jí)別的權(quán)限。具體地,接收到用 戶發(fā)起的所述權(quán)限組之外的權(quán)限請(qǐng)求時(shí),確定是否為用戶臨時(shí)授權(quán)所請(qǐng)求的權(quán)限,當(dāng)為用 戶授權(quán)了所請(qǐng)求的權(quán)限時(shí),將所授權(quán)的權(quán)限寫入所述用戶的權(quán)限組。
[0066] 本發(fā)明實(shí)施例中,所述權(quán)限組中至少包括資源權(quán)限和功能權(quán)限,所述資源權(quán)限為 用戶能操作的對(duì)象,所述操作的對(duì)象包括設(shè)備、資料;所述功能權(quán)限為用戶能進(jìn)行的操作, 包括操作功能鍵或菜單。
[0067] 步驟102,記錄所述賬戶使用所述權(quán)限組中權(quán)限的行為,對(duì)用戶使用權(quán)限的行為進(jìn) 行分析,根據(jù)分析結(jié)果調(diào)整所述用戶的權(quán)限組中權(quán)限。
[0068] 本發(fā)明實(shí)施例中,根據(jù)分析結(jié)果確定所述用戶的權(quán)限組中的權(quán)限使用頻率低于設(shè) 定閾值時(shí),清除所述用戶的權(quán)限組中的使用頻率低于設(shè)定閾值的權(quán)限。
[0069] 清除所述用戶的權(quán)限組中的使用頻率低于設(shè)定閾值的權(quán)限,具體為:
[0070] 根據(jù)所述用戶使用權(quán)限i的行為確定權(quán)限使用頻繁程度仁,權(quán)限i的使用平均時(shí) 長心,權(quán)限i使用的可信程度C 1;其中:
[0071]
為設(shè)定時(shí)段內(nèi)用戶使用權(quán)限i的次數(shù),1匕為統(tǒng)計(jì)時(shí)段內(nèi)用戶使用 i i 權(quán)限i的次數(shù),統(tǒng)計(jì)時(shí)段大于設(shè)定時(shí)段;
[0072]
為設(shè)定時(shí)段內(nèi)用戶使用權(quán)限i的時(shí)長,γ 1\為統(tǒng)計(jì)時(shí)段內(nèi)用戶使用 I i 權(quán)限i的時(shí)長,統(tǒng)計(jì)時(shí)段大于設(shè)定時(shí)段;
[0073]
其中山為設(shè)定時(shí)段內(nèi)用戶在工作時(shí)間內(nèi)使用權(quán)限i的次數(shù),P i為設(shè) 定時(shí)段內(nèi)用戶利用可信IP地址使用權(quán)限i的次數(shù);
[0074] 用戶行為分析矩陣A1= {f ;
[0075] 用戶的權(quán)限是否保留的評(píng)估參i
p為
權(quán)限控制參數(shù),參照正態(tài)分布原則設(shè)定,或根據(jù)權(quán)限i的敏感程度或企業(yè)控制程度進(jìn)行設(shè) 定;
[0076]
[0077]
[0078]
[0079] η為具有權(quán)限i的所有用戶數(shù);
[0080] /為所有具有權(quán)限i的用戶使用該權(quán)限i的平均頻繁程度;
[0081] 『為所有具有權(quán)限i的用戶使用該權(quán)限i的平均時(shí)長;
[0082] C為所有具有權(quán)限i的用戶使用該權(quán)限i的平均可信度;
[0083] 如果 A; XAlive_weightT< Alive_weight XAlive_weightτ,則清除用戶的權(quán)限 i ; [Γ表示轉(zhuǎn)置。
[0084] 以下通過具體示例,進(jìn)一步闡明本發(fā)明技術(shù)方案的實(shí)質(zhì)。
[0085] 本發(fā)明實(shí)施例中,通過新增的用戶等級(jí)權(quán)限對(duì)應(yīng)矩陣計(jì)算模塊、金庫審批模塊、用 戶行為分析模塊等實(shí)現(xiàn)賬號(hào)權(quán)限自適應(yīng)控制。其中,用戶等級(jí)對(duì)應(yīng)權(quán)限計(jì)算模塊:建立用戶 等級(jí)權(quán)限對(duì)應(yīng)矩陣。用戶等級(jí)對(duì)應(yīng)的權(quán)限又分為資源權(quán)限和功能權(quán)限,資源權(quán)限指用戶可 以操作的對(duì)象,包括設(shè)備或資料等;功能權(quán)限指用戶可以進(jìn)行的操作,包括功能或菜單等。
[0086] 用戶等級(jí)權(quán)限對(duì)應(yīng)矩陣計(jì)算模塊通過下述方式確定用戶權(quán)限:
[0087] 根據(jù)系統(tǒng)中現(xiàn)存該用戶等級(jí)對(duì)應(yīng)的權(quán)限確定該用戶等級(jí)對(duì)應(yīng)權(quán)限組,某一用戶等 級(jí)對(duì)應(yīng)的權(quán)限Ri = {Gl,G2,……,Gi,Zl,Z2,……,Zi},其中Gi代表功能、菜單權(quán)限,Zi代 表設(shè)備、資料權(quán)限;
[0088] 根據(jù)系統(tǒng)中現(xiàn)存該用戶等級(jí)人員對(duì)應(yīng)的角色確定該用戶等級(jí)對(duì)應(yīng)權(quán)限組GR = Rl U R2 U......U Ri〇
[0089] 根據(jù)以上算法得到系統(tǒng)中所有用戶等級(jí)對(duì)應(yīng)的初始化角色組,如表1所示:
[0090] 表 1
[0091] 金庫審批模塊:用戶需要增加用戶等級(jí)權(quán)限對(duì)應(yīng)矩陣之外的權(quán)限時(shí),通過金庫審 批模塊添加臨時(shí)授權(quán)
[0092] 金庫審批是指通過短信或者現(xiàn)場輸入審批人賬號(hào)密碼的方式進(jìn)行的審批;當(dāng)用戶 需要使用用戶等級(jí)權(quán)限對(duì)應(yīng)矩陣之外的權(quán)限時(shí),發(fā)起金庫審批,審批人可以通過短信或者 現(xiàn)場審批給予用戶臨時(shí)授權(quán),此后用戶在一定時(shí)間內(nèi)可以正常使用該權(quán)限;用戶使用臨時(shí) 授權(quán)權(quán)限的記錄同樣會(huì)錄入賬號(hào)權(quán)限使用記錄數(shù)據(jù)庫,通過用戶行為分析模塊確定該權(quán)限 是否保留;如果用戶的臨時(shí)授權(quán)經(jīng)過用戶行為分析模塊計(jì)算保留,則用戶等級(jí)權(quán)限對(duì)應(yīng)矩 陣計(jì)算模塊也會(huì)重新計(jì)算該矩陣,并對(duì)記錄用戶授權(quán)信息的數(shù)據(jù)庫進(jìn)行更新。
[0093] 如圖2所示,金庫審批模塊的工作流程包括:用戶需要使用用戶等級(jí)權(quán)限組之外 的權(quán)限時(shí),向金庫審批模塊發(fā)出請(qǐng)求,當(dāng)請(qǐng)求通過時(shí),將臨時(shí)授權(quán)的權(quán)限記錄入用戶賬號(hào)對(duì) 應(yīng)的權(quán)限組,同時(shí)記錄用戶使用該新授權(quán)的權(quán)限,通過分析模塊分析其使用頻率較高時(shí),將 其作為正式的權(quán)限,而用戶使用所分配的權(quán)限低于設(shè)定閾值時(shí),清除掉用戶權(quán)限組中的對(duì) 應(yīng)權(quán)限。
[0094] 本發(fā)明實(shí)施例中,用戶行為分析模塊:根據(jù)用戶使用權(quán)限的行為,分析用戶某一權(quán) 限是否保留,如圖3所示:
[0095] 分析的字段包括權(quán)限使用頻繁程度仁,權(quán)限使用平均時(shí)長t,權(quán)限使用的可信程 度Q,
[0096]'仁表示用戶使用某一權(quán)限的頻繁程度,其中-定時(shí)間內(nèi)用戶使用
某一權(quán)限的次數(shù),Σ: &為統(tǒng)計(jì)時(shí)段內(nèi)用戶使用權(quán)限i的次數(shù); i
[0097]
' h表示用戶使用某一權(quán)限的平均時(shí)長,其中?\為一定時(shí)間內(nèi)用戶使 用某一權(quán)限的時(shí)長,Σ ?\為統(tǒng)計(jì)時(shí)段內(nèi)用戶使用權(quán)限i的時(shí)長; '1
[0098]
&表示用戶使用某一權(quán)限的可信程度,其中h為一定時(shí)間內(nèi)用戶在 工作時(shí)間內(nèi)使用該權(quán)限的次數(shù),Pi為一定時(shí)間內(nèi)用戶使用可信IP地址使用該權(quán)限的次數(shù);
[0099] 某一用戶行為分析矩陣Ai= {f ;,h,CJ。
[0100] 用戶的某一權(quán)限是否保留的評(píng)估參數(shù)
P為權(quán)限控制參數(shù),可以參照正態(tài)分布原則設(shè)定為1. 96或2. 58,也可以根據(jù)每一項(xiàng)權(quán)限的 敏感程度或企業(yè)控制程度進(jìn)行設(shè)定;
[0101] Alive_weight 中,
[0105] .;?為所有具有某一權(quán)限的用戶使用該權(quán)限的平均頻繁程度;
[0102]
[0103]
[0104]
[0106] ?為所有具有某一權(quán)限的用戶使用該權(quán)限的平均時(shí)長;
[0107] 石為所有具有某一權(quán)限的用戶使用該權(quán)限的平均可信度;
[0108] 根據(jù)Alive_weight值確定用戶的某一權(quán)限是否需要清除,
[0109] 如果 A; XAlive_weightT^i Alive_weight XAlive_weight 清除用戶這一權(quán)限。
[0110] 如圖4所示,本發(fā)明實(shí)施例中,將賬號(hào)管理系統(tǒng)引入賬號(hào)權(quán)限管理流程,由賬號(hào)管 理系統(tǒng)作為流程發(fā)起的主體,通過制定用戶等級(jí)、權(quán)限對(duì)應(yīng)矩陣,使用金庫審批為輔助,實(shí) 現(xiàn)根據(jù)用戶等級(jí)與權(quán)限對(duì)應(yīng)的自動(dòng)授權(quán)。減少了賬號(hào)權(quán)限集中管理后賬號(hào)管理員的工作 量,節(jié)約了人力成本?;谟脩舻卿浶袨榉治?,記錄用戶名下授權(quán)使用的情況,將每一條授 權(quán)信息作為一條記錄,每一次使用記錄使用的頻率,使用的時(shí)長,使用的具體時(shí)間,使用的 IP地址,對(duì)使用記錄進(jìn)行分析,確定用戶是否保有此權(quán)限。本方案用技術(shù)手段代替管理手 段,有效控制用戶權(quán)限的增加、變更、注銷。
[0111] 圖5為本發(fā)明實(shí)施例的基于用戶行為的賬號(hào)權(quán)限調(diào)整裝置的組成結(jié)構(gòu)圖,如圖5 所示,本發(fā)明實(shí)施例的基于用戶行為的賬號(hào)權(quán)限調(diào)整裝置包括:分配單元50、記錄單元51、 分析單元52和調(diào)整單元53,其中:
[0112] 分配單元50,用于根據(jù)所述身份信息為用戶分配賬戶及用戶等級(jí),并根據(jù)所述用 戶等級(jí)確定所述用戶的權(quán)限組;
[0113] 記錄單元51,用于記錄所述賬戶使用所述權(quán)限組中權(quán)限的行為;
[0114] 分析單元52,用于對(duì)用戶使用權(quán)限的行為進(jìn)行分析;
[0115] 調(diào)整單元53,用于根據(jù)所述分析單元的分析結(jié)果調(diào)整所述用戶的權(quán)限組中權(quán)限。
[0116] 本發(fā)明實(shí)施例中,所述權(quán)限組中至少包括資源權(quán)限和功能權(quán)限,所述資源權(quán)限為 用戶能操作的對(duì)象,所述操作的對(duì)象包括設(shè)備、資料;所述功能權(quán)限為用戶能進(jìn)行的操作, 包括操作功能鍵或菜單。
[0117] 在圖5所示的基于用戶行為的賬號(hào)權(quán)限調(diào)整裝置的基礎(chǔ)上,所述裝置還包括:接 收單元(圖5未示出)、確定單元(圖5未示出),其中:
[0118] 接收單元,用于接收到用戶發(fā)起的所述權(quán)限組之外的權(quán)限請(qǐng)求;
[0119] 確定單元,用于確定是否為用戶臨時(shí)授權(quán)所請(qǐng)求的權(quán)限,接收到用戶發(fā)起的所述 權(quán)限組之外的權(quán)限請(qǐng)求時(shí),確定是否為用戶臨時(shí)授權(quán)所請(qǐng)求的權(quán)限,當(dāng)為用戶授權(quán)了所請(qǐng) 求的權(quán)限時(shí),在所授權(quán)的所述權(quán)限組之外的權(quán)限使頻率超出了設(shè)定閾值時(shí),觸發(fā)所述分配 單元50將該將所授權(quán)的權(quán)限寫入所述用戶的權(quán)限組。
[0120] 上述調(diào)整單元53,還用于根據(jù)分析結(jié)果確定所述用戶的權(quán)限組中的權(quán)限使用頻率 低于設(shè)定閾值時(shí),清除所述用戶的權(quán)限組中的使用頻率低于設(shè)定閾值的權(quán)限。
[0121] 具體地,上述述調(diào)整單元53,還用于:
[0122] 根據(jù)所述用戶使用權(quán)限i的行為確定權(quán)限使用頻繁程度仁,權(quán)限i的使用平均時(shí) 長心,權(quán)限i使用的可信程度C 1;其中:
[0123] \為設(shè)定時(shí)段內(nèi)用戶使用權(quán)限i的次數(shù),I h為統(tǒng)計(jì)時(shí)段內(nèi)用戶使 ? 用權(quán)限i的次數(shù);
[0124] 為設(shè)定時(shí)段內(nèi)用戶使用權(quán)限i的時(shí)長,£ ?\為統(tǒng)計(jì)時(shí)段內(nèi)用戶使用 i 權(quán)限i的時(shí)長;
[0125]
其中,Q為設(shè)定時(shí)段內(nèi)用戶在工作時(shí)間內(nèi)使用權(quán)限i的次數(shù),Pi為設(shè) 定時(shí)段內(nèi)用戶利用可信IP地址使用權(quán)限i的次數(shù);
[0126] 用戶行為分析矩陣A1= {f uthCj ;
[0127] 用戶的權(quán)限是否保留的評(píng)估參婁
p為
[0131] η為具有權(quán)限i的所有用戶數(shù);[0132] ?為所有具有權(quán)限i的用戶使用該權(quán)限i的平均頻繁程度; 權(quán)限控制參數(shù),參照正態(tài)分布原則設(shè)定,或根據(jù)權(quán)限i的敏感程度或企業(yè)控制程度進(jìn)行設(shè) 定;
[0128]
[0129]
[0130]
[0133] 丨為所有具有權(quán)限i的用戶使用該權(quán)限i的平均時(shí)長;
[0134] C為所有具有權(quán)限i的用戶使用該權(quán)限i的平均可信度;
[0135] 如果 A; XAlive_weightT< Alive_weight XAlive_weightτ,則清除用戶的權(quán)限 i ; [Γ表示轉(zhuǎn)置。
[0136] 本領(lǐng)域技術(shù)人員應(yīng)當(dāng)理解,圖5所示的基于用戶行為的賬號(hào)權(quán)限調(diào)整裝置中各處 理單元的功能,可參照前述的基于用戶行為的賬號(hào)權(quán)限調(diào)整方法的相關(guān)描述而理解,本發(fā) 明實(shí)施例的基于用戶行為的賬號(hào)權(quán)限調(diào)整裝置中各處理單元,可通過實(shí)現(xiàn)本發(fā)明實(shí)施例所 述的功能的模擬電路而實(shí)現(xiàn),也可以通過執(zhí)行本發(fā)明實(shí)施例所述的功能的軟件在智能設(shè)備 上的運(yùn)行而實(shí)現(xiàn)。
[0137] 本發(fā)明實(shí)施例所記載的技術(shù)方案之間,在不沖突的情況下,可以任意組合。
[0138] 在本發(fā)明所提供的幾個(gè)實(shí)施例中,應(yīng)該理解到,所揭露的方法、裝置和電子設(shè)備, 可以通過其它的方式實(shí)現(xiàn)。以上所描述的設(shè)備實(shí)施例僅僅是示意性的,例如,所述單元的劃 分,僅僅為一種邏輯功能劃分,實(shí)際實(shí)現(xiàn)時(shí)可以有另外的劃分方式,如:多個(gè)單元或組件可 以結(jié)合,或可以集成到另一個(gè)系統(tǒng),或一些特征可以忽略,或不執(zhí)行。另外,所顯示或討論的 各組成部分相互之間的耦合、或直接耦合、或通信連接可以是通過一些接口,設(shè)備或單元的 間接耦合或通信連接,可以是電性的、機(jī)械的或其它形式的。
[0139] 上述作為分離部件說明的單元可以是、或也可以不是物理上分開的,作為單元顯 示的部件可以是、或也可以不是物理單元,即可以位于一個(gè)地方,也可以分布到多個(gè)網(wǎng)絡(luò)單 元上;可以根據(jù)實(shí)際的需要選擇其中的部分或全部單元來實(shí)現(xiàn)本實(shí)施例方案的目的。
[0140] 另外,在本發(fā)明各實(shí)施例中的各功能單元可以全部集成在一個(gè)處理單元中,也可 以是各單元分別單獨(dú)作為一個(gè)單元,也可以兩個(gè)或兩個(gè)以上單元集成在一個(gè)單元中;上述 集成的單元既可以采用硬件的形式實(shí)現(xiàn),也可以采用硬件加應(yīng)用功能單元的形式實(shí)現(xiàn)。
[0141] 本領(lǐng)域普通技術(shù)人員可以理解:實(shí)現(xiàn)上述方法實(shí)施例的全部或部分步驟可以通過 程序指令相關(guān)的硬件來完成,前述的程序可以存儲(chǔ)于一計(jì)算機(jī)可讀取存儲(chǔ)介質(zhì)中,該程序 在執(zhí)行時(shí),執(zhí)行包括上述方法實(shí)施例的步驟;而前述的存儲(chǔ)介質(zhì)包括:移動(dòng)存儲(chǔ)設(shè)備、只讀 存儲(chǔ)器(ROM,Read-Only Memory)、隨機(jī)存取存儲(chǔ)器(RAM,Random Access Memory)、磁碟或 者光盤等各種可以存儲(chǔ)程序代碼的介質(zhì)。
[0142] 或者,本發(fā)明實(shí)施例上述集成的單元如果以應(yīng)用功能模塊的形式實(shí)現(xiàn)并作為獨(dú)立 的產(chǎn)品銷售或使用時(shí),也可以存儲(chǔ)在一個(gè)計(jì)算機(jī)可讀取存儲(chǔ)介質(zhì)中?;谶@樣的理解,本發(fā) 明實(shí)施例的技術(shù)方案本質(zhì)上或者說對(duì)現(xiàn)有技術(shù)做出貢獻(xiàn)的部分可以以應(yīng)用產(chǎn)品的形式體 現(xiàn)出來,該計(jì)算機(jī)應(yīng)用產(chǎn)品存儲(chǔ)在一個(gè)存儲(chǔ)介質(zhì)中,包括若干指令用以使得一臺(tái)計(jì)算機(jī)設(shè) 備(可以是個(gè)人計(jì)算機(jī)、服務(wù)器、或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個(gè)實(shí)施例所述方法的全部 或部分。而前述的存儲(chǔ)介質(zhì)包括:移動(dòng)存儲(chǔ)設(shè)備、只讀存儲(chǔ)器(ROM,Read-Only Memory)、隨 機(jī)存取存儲(chǔ)器(RAM,Random Access Memory)、磁碟或者光盤等各種可以存儲(chǔ)程序代碼的介 質(zhì)。
[0143] 本發(fā)明的保護(hù)范圍并不局限于此,熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明揭露的技 術(shù)范圍內(nèi),可輕易想到變化或替換,都應(yīng)涵蓋在本發(fā)明的保護(hù)范圍之內(nèi)。
【主權(quán)項(xiàng)】
1. 一種基于用戶行為的賬號(hào)權(quán)限調(diào)整方法,其特征在于,所述方法包括: 根據(jù)所述身份信息為用戶分配賬戶及用戶等級(jí),并根據(jù)所述用戶等級(jí)確定所述用戶的 權(quán)限組; 記錄所述賬戶使用所述權(quán)限組中權(quán)限的行為,對(duì)用戶使用權(quán)限的行為進(jìn)行分析,根據(jù) 分析結(jié)果調(diào)整所述用戶的權(quán)限組中權(quán)限。2. 根據(jù)權(quán)利要求1所述的方法,其特征在于,所述權(quán)限組中至少包括資源權(quán)限和功能 權(quán)限,所述資源權(quán)限為用戶能操作的對(duì)象,所述操作的對(duì)象包括設(shè)備、資料;所述功能權(quán)限 為用戶能進(jìn)行的操作,包括操作功能鍵或菜單。3. 根據(jù)權(quán)利要求1所述的方法,其特征在于,所述方法還包括: 接收到用戶發(fā)起的所述權(quán)限組之外的權(quán)限請(qǐng)求時(shí),確定是否為用戶臨時(shí)授權(quán)所請(qǐng)求的 權(quán)限,當(dāng)為用戶授權(quán)了所請(qǐng)求的權(quán)限時(shí),在所授權(quán)的所述權(quán)限組之外的權(quán)限使頻率超出了 設(shè)定闊值時(shí),將該將所授權(quán)的權(quán)限寫入所述用戶的權(quán)限組。4. 根據(jù)權(quán)利要求1或3所述的方法,其特征在于,所述根據(jù)分析結(jié)果調(diào)整所述用戶的權(quán) 限組中權(quán)限,包括: 根據(jù)分析結(jié)果確定所述用戶的權(quán)限組中的權(quán)限使用頻率低于設(shè)定闊值時(shí),清除所述用 戶的權(quán)限組中的使用頻率低于設(shè)定闊值的權(quán)限。5. 根據(jù)權(quán)利要求4所述的方法,其特征在于,所述根據(jù)分析結(jié)果調(diào)整所述用戶的權(quán)限 組中權(quán)限,包括:i的次數(shù); 根據(jù)所述用戶使用權(quán)限i的行為確定權(quán)限使用頻繁程度fi,權(quán)限i的使用平均時(shí)長ti, 權(quán)限i使用的可信程度Cl;其中: Fi為設(shè)定時(shí)段內(nèi)用戶使用權(quán)限i的次數(shù),為統(tǒng)計(jì)時(shí)段內(nèi)用戶使用權(quán)限i的時(shí)長; Ti為設(shè)定時(shí)段內(nèi)用戶使用權(quán)限i的時(shí)長,^7:為統(tǒng)計(jì)時(shí)段內(nèi)用戶使用權(quán)限,其中,Li為設(shè)定時(shí)段內(nèi)用戶在工作時(shí)間內(nèi)使用權(quán)限i的次數(shù),P 1為設(shè)定時(shí) 段內(nèi)用戶利用可信IP地址使用權(quán)限i的次數(shù); 用戶行為分析矩陣Ai= ; 用戶的權(quán)限是否保留的評(píng)估參1P為權(quán)限 控制參數(shù),參照正態(tài)分布原則設(shè)定,或根據(jù)權(quán)限i的敏感程度或企業(yè)控制程度進(jìn)行設(shè)定;n為具有權(quán)限i的所有用戶數(shù); 7為所有具有權(quán)限i的用戶使用該權(quán)限i的平均頻繁程度; 之為所有具有權(quán)限i的用戶使用該權(quán)限i的平均時(shí)長; 廠為所有具有權(quán)限i的用戶使用該權(quán)限i的平均可信度; 如果AiXAlive_wei曲tT《Alive_wei曲tXAlive_wei曲t T,則清除用戶的權(quán)限i ; []T 表示轉(zhuǎn)置。6. -種基于用戶行為的賬號(hào)權(quán)限調(diào)整裝置,其特征在于,所述裝置包括:分配單元、記 錄單元、分析單元和調(diào)整單元,其中: 分配單元,用于根據(jù)所述身份信息為用戶分配賬戶及用戶等級(jí),并根據(jù)所述用戶等級(jí) 確定所述用戶的權(quán)限組; 記錄單元,用于記錄所述賬戶使用所述權(quán)限組中權(quán)限的行為; 分析單元,用于對(duì)用戶使用權(quán)限的行為進(jìn)行分析; 調(diào)整單元,用于根據(jù)所述分析單元的分析結(jié)果調(diào)整所述用戶的權(quán)限組中權(quán)限。7. 根據(jù)權(quán)利要求6所述的裝置,其特征在于,所述權(quán)限組中至少包括資源權(quán)限和功能 權(quán)限,所述資源權(quán)限為用戶能操作的對(duì)象,所述操作的對(duì)象包括設(shè)備、資料;所述功能權(quán)限 為用戶能進(jìn)行的操作,包括操作功能鍵或菜單。8. 根據(jù)權(quán)利要求6所述的裝置,其特征在于,所述裝置還包括:接收單元、確定單元,其 中: 接收單元,用于接收到用戶發(fā)起的所述權(quán)限組之外的權(quán)限請(qǐng)求; 確定單元,用于確定是否為用戶臨時(shí)授權(quán)所請(qǐng)求的權(quán)限,接收到用戶發(fā)起的所述權(quán)限 組之外的權(quán)限請(qǐng)求時(shí),確定是否為用戶臨時(shí)授權(quán)所請(qǐng)求的權(quán)限,當(dāng)為用戶授權(quán)了所請(qǐng)求的 權(quán)限時(shí),在所授權(quán)的所述權(quán)限組之外的權(quán)限使頻率超出了設(shè)定闊值時(shí),觸發(fā)所述分配單元 將該將所授權(quán)的權(quán)限寫入所述用戶的權(quán)限組。9. 根據(jù)權(quán)利要求6或8所述的裝置,其特征在于,所述調(diào)整單元,還用于根據(jù)分析結(jié)果 確定所述用戶的權(quán)限組中的權(quán)限使用頻率低于設(shè)定闊值時(shí),清除所述用戶的權(quán)限組中的使 用頻率低于設(shè)定闊值的權(quán)限。10. 根據(jù)權(quán)利要求9所述的方法,其特征在于,所述調(diào)整單元,還用于:i的次掛, 根據(jù)所述用戶使用權(quán)限i的行為確定權(quán)限使用頻繁程度fi,權(quán)限i的使用平均時(shí)長ti, 權(quán)限i使用的可信程度Cl;其中: Fi為設(shè)定時(shí)段內(nèi)用戶使用權(quán)限i的次數(shù),為統(tǒng)計(jì)時(shí)段內(nèi)用戶使用權(quán)限 iTi為設(shè)定時(shí)段內(nèi)用戶使用權(quán)限i的時(shí)長,S?;為統(tǒng)計(jì)時(shí)段內(nèi)用戶使用權(quán)限 i的時(shí)長;其中,Li為設(shè)定時(shí)段內(nèi)用戶在工作時(shí)間內(nèi)使用權(quán)限i的次數(shù),P 1為設(shè)定時(shí) 段內(nèi)用戶利用可信IP地址使用權(quán)限i的次數(shù); 用戶行為分析矩陣Ai= ; 用戶的權(quán)限是否保留的評(píng)估參數(shù)P為權(quán)限 控制參數(shù),參照正杰分布原則設(shè)定,或根據(jù)權(quán)限i的敏感程度或企業(yè)控制程度進(jìn)行設(shè)定;n為具有權(quán)限i的所有用戶數(shù); 7為所有具有權(quán)限i的用戶使用該權(quán)限i的平均頻繁程度; ^為所有具有權(quán)限i的用戶使用該權(quán)限i的平均時(shí)長; C為所有具有權(quán)限i的用戶使用該權(quán)限i的平均可信度; 如果AiXAlive_wei曲tT《Alive_wei曲tXAlive_wei曲t T,則清除用戶的權(quán)限i ; []T 表示轉(zhuǎn)置。
【文檔編號(hào)】H04L12/24GK105991310SQ201510053451
【公開日】2016年10月5日
【申請(qǐng)日】2015年2月2日
【發(fā)明人】郭璇, 馬亮, 姚朋偉, 王引輝, 周嬌
【申請(qǐng)人】中國移動(dòng)通信集團(tuán)河北有限公司