權(quán)限調(diào)度方法及裝置的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及權(quán)限控制技術(shù)領(lǐng)域,尤其涉及一種權(quán)限調(diào)度方法及裝置。
【背景技術(shù)】
[0002]在業(yè)務(wù)支撐系統(tǒng)中,不同的賬號分配有不同的權(quán)限。目前的權(quán)限調(diào)度主要是通過“賬號-角色-權(quán)限”的映射關(guān)系,以靜態(tài)化預(yù)設(shè)配置實現(xiàn)的。賬號管理員對不同賬號的授權(quán),都是基于賬號所對應(yīng)的角色進行的。通常,同一類角色賬號都擁有同樣的權(quán)限,至于個別特殊的賬號,則由管理人員進行手動設(shè)置。
[0003]現(xiàn)有技術(shù)雖然完成了對不同賬號權(quán)限的調(diào)度,但是,在實際運用過程中存在以下問題:
[0004]第一、在現(xiàn)有的權(quán)限調(diào)度方法中,對于偶爾使用的權(quán)限一旦授權(quán),除收回外隨時都可以使用,若出現(xiàn)賬號盜用等事件時,很容易導(dǎo)致重要權(quán)限被使用,造成信息安全性問題。
[0005]第二、在使用過程中,角色所對應(yīng)的權(quán)限是由管理人員手動設(shè)置,故當每增加或刪除一個權(quán)限,管理人員需在系統(tǒng)中手動的設(shè)置或刪除角色與權(quán)限的映射關(guān)系,以便為不同的用戶和賬號設(shè)置權(quán)限。這種權(quán)限調(diào)度方法導(dǎo)致管理人員的工作量大,尤其是在現(xiàn)有的業(yè)務(wù)支撐系統(tǒng)發(fā)展很快,角色類型以及權(quán)限類型的新增和刪除都很頻繁,無疑將形成很大的工作量。
[0006]第三、在當前的權(quán)限控制過程中,一類角色授予了多個權(quán)限,歸屬于同一角色的不同賬號可能所需用到的權(quán)限不同。具體的,如角色A對應(yīng)于權(quán)限a、權(quán)限b以及權(quán)限C。用戶I實際應(yīng)用過程中,需經(jīng)常使用權(quán)限a、偶爾使用權(quán)限b且不使用權(quán)限c ;用戶2實際應(yīng)用過程中,經(jīng)常使用權(quán)限b、偶爾使用權(quán)限c且不使用權(quán)限a;而系統(tǒng)在授權(quán)時,歸屬于同一角色A的用戶I和用戶2都具有上述三種權(quán)限。上述權(quán)限調(diào)度顯然與權(quán)限最小化以及最優(yōu)化的權(quán)限調(diào)度原則相違背。
【發(fā)明內(nèi)容】
[0007]有鑒于此,本發(fā)明實施例的主要目的在于提供一種權(quán)限調(diào)度方法及裝置,至少解決上述一個問題,以進一步實現(xiàn)權(quán)限的最小化和最優(yōu)化調(diào)度,減少管理人員工作負荷,提高權(quán)限安全性。
[0008]為達到上述目的,本發(fā)明的技術(shù)方案是這樣實現(xiàn)的:
[0009]本發(fā)明提供一種權(quán)限調(diào)度方法,所述方法包括:
[0010]獲取包括權(quán)限使用頻率的權(quán)限信息;
[0011]根據(jù)所述權(quán)限信息及預(yù)設(shè)函數(shù)關(guān)系,計算權(quán)限調(diào)度因子;
[0012]將所述權(quán)限調(diào)度因子與預(yù)設(shè)閥值進行比較,獲得比較結(jié)果;
[0013]根據(jù)所述比較結(jié)果映射的預(yù)設(shè)調(diào)度指令調(diào)度權(quán)限。
[0014]優(yōu)選地,所述權(quán)限信息還包括權(quán)限敏感度以及賬戶級別;
[0015]所述預(yù)設(shè)函數(shù)關(guān)系的數(shù)學(xué)表達式為F= Σ (M*a, N*b, P*c);
[0016]其中,所述F為權(quán)限調(diào)度因子;
[0017]所述M為權(quán)限敏感度,所述a為所述M的權(quán)重;
[0018]所述N為賬號級別,所述b為所述N的權(quán)重;
[0019]所述P為權(quán)限使用頻率,所述c為所述P的權(quán)重。
[0020]優(yōu)選地,
[0021]所述權(quán)限調(diào)度因子為用以權(quán)限召回的召回因子且所述預(yù)設(shè)閥值為召回閥值;
[0022]或
[0023]所述權(quán)限調(diào)度因子為用以在第一指定組賬號間進行權(quán)限復(fù)制的傳播因子且所述預(yù)設(shè)閥值為傳播閥值。
[0024]優(yōu)選地,當所述權(quán)限調(diào)度因子為所述召回因子時,所述方法還包括:
[0025]統(tǒng)計第二指定組內(nèi)賬號中已召回第一權(quán)限的賬號數(shù);
[0026]判斷所述已召回第一權(quán)限的賬號數(shù)占第二指定組賬號總數(shù)的比值是否不小于移除閥值,
[0027]若是,則將所述第二指定組內(nèi)賬號中的第一權(quán)限全部召回。
[0028]優(yōu)選地,所述方法還包括:
[0029]獲取賬號所歸屬的角色R、組織結(jié)構(gòu)O以及賬號一級管理員L ;
[0030]依據(jù)公式S= Σ (R*x, 0*y, L*z),計算出分組因子S,其中所述x、y、z對應(yīng)為R、O、Z的權(quán)重;
[0031]將S值相等的賬號歸為一組,形成所述第一指定組或所述第二指定組。
[0032]優(yōu)選地,所述方法還包括:根據(jù)用戶指示喚醒已召回權(quán)限。
[0033]優(yōu)選地,所述根據(jù)用戶指示喚醒已召回權(quán)限包括:
[0034]獲取所述已召回權(quán)限的權(quán)限敏感度以及賬號級別;
[0035]根所述權(quán)限敏感度、賬號級別以及預(yù)設(shè)喚醒函數(shù)關(guān)系,計算喚醒因子;
[0036]根據(jù)所述喚醒因子與喚醒閥值的比較結(jié)果,向管理員或用戶發(fā)送鑒權(quán)信息,
[0037]接收根據(jù)所述鑒權(quán)信息形成的鑒權(quán)反饋;
[0038]依據(jù)所述鑒權(quán)反饋喚醒權(quán)限。
[0039]本發(fā)明還提供了一種權(quán)限調(diào)度裝置,所述裝置包括:
[0040]權(quán)限信息獲取單元,用以獲取包括權(quán)限使用頻率的權(quán)限信息;
[0041]計算單元,用以根據(jù)所述權(quán)限信息及預(yù)設(shè)函數(shù)關(guān)系,計算權(quán)限調(diào)度因子;
[0042]比較單元,用以將所述權(quán)限調(diào)度因子與預(yù)設(shè)閥值進行比較,獲得比較結(jié)果;
[0043]調(diào)度單元,用以根據(jù)所述比較結(jié)果所映射的預(yù)設(shè)調(diào)度指令,調(diào)度權(quán)限。
[0044]優(yōu)選地,所述權(quán)限信息還包括權(quán)限敏感度以及賬戶級別;
[0045]所述預(yù)設(shè)函數(shù)關(guān)系的數(shù)學(xué)表達式為F= Σ (M*a, N*b, P*c);
[0046]其中,所述F為權(quán)限調(diào)度因子;
[0047]所述M為權(quán)限敏感度,所述a為所述M的權(quán)重;
[0048]所述N為賬號級別,所述b為所述N的權(quán)重;
[0049]所述P為權(quán)限使用頻率,所述c為所述P的權(quán)重。
[0050]優(yōu)選地,
[0051]所述權(quán)限調(diào)度因子為用以權(quán)限召回的召回因子且所述預(yù)設(shè)閥值為召回閥值;
[0052]或
[0053]所述權(quán)限調(diào)度因子為用以在第一指定組賬號間進行權(quán)限復(fù)制的傳播因子且所述預(yù)設(shè)閥值為傳播閥值。
[0054]優(yōu)選地,所述裝置還包括統(tǒng)計單元以及判斷單元;所述調(diào)度單元包括召回子單元;
[0055]所述統(tǒng)計單元,用以當所述權(quán)限調(diào)度因子為所述召回因子時,統(tǒng)計第二指定組內(nèi)賬號中已召回第一權(quán)限的賬號數(shù);
[0056]所述判斷單元,用以判斷所述已召回第一權(quán)限的賬號數(shù)占第二指定組賬號總數(shù)的比值是否不小于移除閥值,
[0057]所述召回子單元,用以在已召回第一權(quán)限的賬號數(shù)占第二指定組賬號總數(shù)的比值不小于移除閥值時,將所述第二指定組內(nèi)賬號中的第一權(quán)限全部召回。
[0058]優(yōu)選地,所述裝置還包括指定形成單元;
[0059]所述權(quán)限信息獲取單元,還用以獲取賬號所歸屬的角色R、組織結(jié)構(gòu)O以及賬號一級管理員L ;
[0060]所述計算單元,還用以依據(jù)公式S= Σ (R*x, 0*y, L*z),計算出分組因子S,其中所述X、y、z對應(yīng)為R、O、Z的權(quán)重;
[0061]所述指定形成單元,用以將S值相等的賬號歸為一組,形成第一指定組或第二指定組。
[0062]優(yōu)選地,所述調(diào)度單元還包括用以根據(jù)用戶指示將已召回權(quán)限喚醒的喚醒子單
J Li ο
[0063]優(yōu)選地,所述權(quán)限信息獲取單元用以獲取已召回權(quán)限的權(quán)限敏感度及賬號級別;
[0064]所述喚醒子單元包括:
[0065]計算模塊,用以根所述權(quán)限敏感度、賬號級別以及預(yù)設(shè)喚醒函數(shù)關(guān)系,計算喚醒因子;
[0066]鑒權(quán)信息發(fā)送模塊,用以根據(jù)所述喚醒因子與喚醒閥值的比較結(jié)果,向管理員或用戶發(fā)送鑒權(quán)信息;
[0067]鑒權(quán)反饋接收模塊,用以接收根據(jù)所述鑒權(quán)信息形成的鑒權(quán)反饋,
[0068]喚醒模塊,用以依據(jù)所述鑒權(quán)反饋喚醒權(quán)限。
[0069]本發(fā)明實施例所提供的權(quán)限調(diào)度方法及裝置,相對于現(xiàn)有的權(quán)限調(diào)度方法,根據(jù)包括權(quán)限使用頻率的權(quán)限信息,通過計算進行動態(tài)的權(quán)限調(diào)度,從而實現(xiàn)了權(quán)限的最小化和最優(yōu)化調(diào)度;同時相對于手動設(shè)置降低了管理人員的工作量,實現(xiàn)了權(quán)限調(diào)度的實用、精簡以及安全性要求。
【附圖說明】
[0070]圖1為本發(fā)明實施例一所述的權(quán)限調(diào)度方法的流程示意圖;
[0071]圖2為本發(fā)明實施例三中基于本發(fā)明權(quán)限調(diào)度方法的權(quán)限自動召回的流程示意圖;
[0072]圖3為本發(fā)明實施例三中基于本發(fā)明權(quán)限調(diào)度方法的權(quán)限自動傳播的流程示意圖;
[0073]圖4為本發(fā)明實施例四所述的權(quán)限調(diào)度方法的流程示意圖;
[0074]圖5為本發(fā)明實施例七中基于本發(fā)明的所述的權(quán)限調(diào)度自動喚醒的流程示意圖;
[0075]圖6為本發(fā)明實施例八所述的權(quán)限調(diào)度裝置的結(jié)構(gòu)示意圖;
[0076]圖7為本發(fā)明實施例十所述的權(quán)限調(diào)度裝置的結(jié)構(gòu)示意圖。
【具體實施方式】
[0077]下面結(jié)合說明書附圖以及實施例對本發(fā)明所述的技術(shù)方案進行詳細的闡述。
[0078]實施例一:
[0079]如圖1所示,本實施例提供一種權(quán)限調(diào)度方法,所述方法包括:
[0080]步驟SllO:獲取包括權(quán)限使用頻率的權(quán)限信息;
[0081]步驟S120:根據(jù)所述權(quán)限信息及預(yù)設(shè)函數(shù)關(guān)系,計算權(quán)限調(diào)度因子;
[0082]步驟S130:將所述權(quán)限調(diào)度因子與