[发明专利]权限调度方法及装置

说明书

技术领域

本发明涉及权限控制技术领域，尤其涉及一种权限调度方法及装置。

背景技术

在业务支撑系统中，不同的账号分配有不同的权限。目前的权限调度主要是通过“账号-角色-权限”的映射关系，以静态化预设配置实现的。账号管理员对不同账号的授权，都是基于账号所对应的角色进行的。通常，同一类角色账号都拥有同样的权限，至于个别特殊的账号，则由管理人员进行手动设置。

现有技术虽然完成了对不同账号权限的调度，但是，在实际运用过程中存在以下问题：

第一、在现有的权限调度方法中，对于偶尔使用的权限一旦授权，除收回外随时都可以使用，若出现账号盗用等事件时，很容易导致重要权限被使用，造成信息安全性问题。

第二、在使用过程中，角色所对应的权限是由管理人员手动设置，故当每增加或删除一个权限，管理人员需在系统中手动的设置或删除角色与权限的映射关系，以便为不同的用户和账号设置权限。这种权限调度方法导致管理人员的工作量大，尤其是在现有的业务支撑系统发展很快，角色类型以及权限类型的新增和删除都很频繁，无疑将形成很大的工作量。

第三、在当前的权限控制过程中，一类角色授予了多个权限，归属于同一角色的不同账号可能所需用到的权限不同。具体的，如角色A对应于权限a、权限b以及权限c。用户1实际应用过程中，需经常使用权限a、偶尔使用权限b且不使用权限c；用户2实际应用过程中，经常使用权限b、偶尔使用权限c且不使用权限a；而系统在授权时，归属于同一角色A的用户1和用户2都具有上述三种权限。上述权限调度显然与权限最小化以及最优化的权限调度原则相违背。

发明内容

有鉴于此，本发明实施例的主要目的在于提供一种权限调度方法及装置，至少解决上述一个问题，以进一步实现权限的最小化和最优化调度，减少管理人员工作负荷，提高权限安全性。

为达到上述目的，本发明的技术方案是这样实现的：

本发明提供一种权限调度方法，所述方法包括：

获取包括权限使用频率的权限信息；

根据所述权限信息及预设函数关系，计算权限调度因子；

将所述权限调度因子与预设阀值进行比较，获得比较结果；

根据所述比较结果映射的预设调度指令调度权限。

优选地，所述权限信息还包括权限敏感度以及账户级别；

所述预设函数关系的数学表达式为F=∑（M*a，N*b，P*c）；

其中，所述F为权限调度因子；

所述M为权限敏感度，所述a为所述M的权重；

所述N为账号级别，所述b为所述N的权重；

所述P为权限使用频率，所述c为所述P的权重。

优选地，

所述权限调度因子为用以权限召回的召回因子且所述预设阀值为召回阀值；

或

所述权限调度因子为用以在第一指定组账号间进行权限复制的传播因子且所述预设阀值为传播阀值。

优选地，当所述权限调度因子为所述召回因子时，所述方法还包括：

统计第二指定组内账号中已召回第一权限的账号数；

判断所述已召回第一权限的账号数占第二指定组账号总数的比值是否不小于移除阀值，

若是，则将所述第二指定组内账号中的第一权限全部召回。

优选地，所述方法还包括：

获取账号所归属的角色R、组织结构O以及账号一级管理员L；

依据公式S=∑（R*x，O*y，L*z），计算出分组因子S，其中所述x、y、z对应为R、O、Z的权重；

将S值相等的账号归为一组，形成所述第一指定组或所述第二指定组。

优选地，所述方法还包括：根据用户指示唤醒已召回权限。

优选地，所述根据用户指示唤醒已召回权限包括：

获取所述已召回权限的权限敏感度以及账号级别；

根所述权限敏感度、账号级别以及预设唤醒函数关系，计算唤醒因子；

根据所述唤醒因子与唤醒阀值的比较结果，向管理员或用户发送鉴权信息，

接收根据所述鉴权信息形成的鉴权反馈；

依据所述鉴权反馈唤醒权限。

本发明还提供了一种权限调度装置，所述装置包括：

权限信息获取单元，用以获取包括权限使用频率的权限信息；

计算单元，用以根据所述权限信息及预设函数关系，计算权限调度因子；

比较单元，用以将所述权限调度因子与预设阀值进行比较，获得比较结果；