基于用户行为的账号权限调整方法及装置

摘要

本发明实施例公开了一种基于用户行为的账号权限调整方法及装置，所述方法包括：根据所述身份信息为用户分配账户及用户等级，并根据所述用户等级确定所述用户的权限组；记录所述账户使用所述权限组中权限的行为，对用户使用权限的行为进行分析，根据分析结果调整所述用户的权限组中权限。

说明书

技术领域

本发明涉及账号管理技术，尤其涉及一种基于用户行为的账号权限调整方法及装置。

背景技术

网络技术迅速的发展，不仅给个人带来了丰富的网络体验，同时也给企业的业务带来了革命性的发展，许多企业都摆脱了过去人工管理的模式，逐渐转变为了信息处理模式。

随着企业需处理信息的增多，导致了企业的IT系统越来越复杂、网络规模也随之扩大，最直接的结果就是，IT系统账号权限控制压力骤增。IT系统中包括多种业务和管理系统，各系统都有使用人员、管理人员、审计人员，帐号安全风险大大增加，原有的分散的帐号管理方式已不能满足现在的运维安全管理要求，因此，许多企业都建立了集中的账号管理系统，集中管理账号权限。

但需要指出的去，目前的账号管理方式中，账号权限的申请、注销、变更流程全部人工发起、审批、完成，大大消耗人力成本；账号权限的大小、有效期由申请人填写，客观依据不足。账号权限审批是否通过依赖于审批人的个人判断，判断依据为申请人自己的描述，不够客观，存在申请人获得超过所需权限的可能。账号权限的申请、注销、变更依赖于申请人发起，申请人职责权限的变更本应对应进行权限变更或注销，但是由于变更、注销流程没有强有力的手段保障，导致账号权限往往只增加不减少，存在严重的安全隐患。

发明内容

为解决上述技术问题，本发明实施例提供一种基于用户行为的账号权限调整方法及装置。

本发明实施例的技术方案是这样实现的：

一种基于用户行为的账号权限调整方法，包括：

根据所述身份信息为用户分配账户及用户等级，并根据所述用户等级确定所述用户的权限组；

记录所述账户使用所述权限组中权限的行为，对用户使用权限的行为进行分析，根据分析结果调整所述用户的权限组中权限。

优选地，所述权限组中至少包括资源权限和功能权限，所述资源权限为用户能操作的对象，所述操作的对象包括设备、资料；所述功能权限为用户能进行的操作，包括操作功能键或菜单。

优选地，所述方法还包括：

接收到用户发起的所述权限组之外的权限请求时，确定是否为用户临时授权所请求的权限，当为用户授权了所请求的权限时，在所授权的所述权限组之外的权限使频率超出了设定阈值时，将该将所授权的权限写入所述用户的权限组。

优选地，所述根据分析结果调整所述用户的权限组中权限，包括：

根据分析结果确定所述用户的权限组中的权限使用频率低于设定阈值时，清除所述用户的权限组中的使用频率低于设定阈值的权限。

优选地，所述根据分析结果调整所述用户的权限组中权限，包括：

根据所述用户使用权限i的行为确定权限使用频繁程度f_i，权限i的使用平均时长t_i，权限i使用的可信程度C_i；其中：

F_i为设定时段内用户使用权限i的次数，F_i为统计时段内用户使用权限i的次数；

T_i为设定时段内用户使用权限i的时长，T_i为统计时段内用户使用权限i的时长；

其中，L_i为设定时段内用户在工作时间内使用权限i的次数，P_i为设定时段内用户利用可信IP地址使用权限i的次数；

用户行为分析矩阵A_i＝{f_i,t_i,C_i}；

用户的权限是否保留的评估参数$\mathrm{Alive}\_\mathrm{weight}=\{\bar{f}-\mathrm{p\Delta f},\bar{t}-\mathrm{p\Delta t},\bar{C}-\mathrm{p\Delta C}\},$p为权限控制参数，参照正态分布原则设定，或根据权限i的敏感程度或企业控制程度进行设定；

$\bar{f}=\frac{1}{n}\underset{i=1}{\overset{n}{\Sigma }}{f}_i,\mathrm{\Delta f}=\frac{1}{n}\underset{i=1}{\overset{n}{\Sigma }}{(f_i-\bar{f})}^2;$

$\bar{t}=\frac{1}{n}\underset{i=1}{\overset{n}{\Sigma }}{t}_i,\mathrm{\Delta t}=\frac{1}{n}\underset{i=1}{\overset{n}{\Sigma }}{(t_i-\bar{t})}^2;$

$\bar{C}=\frac{1}{n}\underset{i=1}{\overset{n}{\Sigma }}{C}_i,\mathrm{\Delta C}=\frac{1}{n}\underset{i=1}{\overset{n}{\Sigma }}{(C_i-\bar{C})}^2$

n为具有权限i的所有用户数；

为所有具有权限i的用户使用该权限i的平均频繁程度；

为所有具有权限i的用户使用该权限i的平均时长；

为所有具有权限i的用户使用该权限i的平均可信度；

如果A_i×Alive_weight^T≤Alive_weight×Alive_weight^T，则清除用户的权限i；[]^T表示转置。

一种基于用户行为的账号权限调整装置，包括：分配单元、记录单元、分析单元和调整单元，其中：

分配单元，用于根据所述身份信息为用户分配账户及用户等级，并根据所述用户等级确定所述用户的权限组；

记录单元，用于记录所述账户使用所述权限组中权限的行为；

分析单元，用于对用户使用权限的行为进行分析；

调整单元，用于根据所述分析单元的分析结果调整所述用户的权限组中权限。

优选地，所述权限组中至少包括资源权限和功能权限，所述资源权限为用 户能操作的对象，所述操作的对象包括设备、资料；所述功能权限为用户能进行的操作，包括操作功能键或菜单。

优选地，所述装置还包括：接收单元、确定单元，其中：

接收单元，用于接收到用户发起的所述权限组之外的权限请求；

确定单元，用于确定是否为用户临时授权所请求的权限，接收到用户发起的所述权限组之外的权限请求时，确定是否为用户临时授权所请求的权限，当为用户授权了所请求的权限时，在所授权的所述权限组之外的权限使频率超出了设定阈值时，触发所述分配单元将该将所授权的权限写入所述用户的权限组。

优选地，所述调整单元，还用于根据分析结果确定所述用户的权限组中的权限使用频率低于设定阈值时，清除所述用户的权限组中的使用频率低于设定阈值的权限。

优选地，所述调整单元，还用于：

根据所述用户使用权限i的行为确定权限使用频繁程度f_i，权限i的使用平均时长t_i，权限i使用的可信程度C_i；其中：

F_i为设定时段内用户使用权限i的次数，F_i为统计时段内用户使用权限i的次数；

T_i为设定时段内用户使用权限i的时长，T_i为统计时段内用户使用权限i的时长；

其中，L_i为设定时段内用户在工作时间内使用权限i的次数，P_i为设定时段内用户利用可信IP地址使用权限i的次数；

用户行为分析矩阵A_i＝{f_i,t_i,C_i}；

用户的权限是否保留的评估参数$\mathrm{Alive}\_\mathrm{weight}=\{\bar{f}-\mathrm{p\Delta f},\bar{t}-\mathrm{p\Delta t},\bar{C}-\mathrm{p\Delta C}\},$p为权限控制参数，参照正态分布原则设定，或根据权限i的敏感程度或企业控制程度进行设定；

$\bar{f}=\frac{1}{n}\underset{i=1}{\overset{n}{\Sigma }}{f}_i,\mathrm{\Delta f}=\frac{1}{n}\underset{i=1}{\overset{n}{\Sigma }}{(f_i-\bar{f})}^2;$

$\bar{t}=\frac{1}{n}\underset{i=1}{\overset{n}{\Sigma }}{t}_i,\mathrm{\Delta t}=\frac{1}{n}\underset{i=1}{\overset{n}{\Sigma }}{(t_i-\bar{t})}^2;$

$\bar{C}=\frac{1}{n}\underset{i=1}{\overset{n}{\Sigma }}{C}_i,\mathrm{\Delta C}=\frac{1}{n}\underset{i=1}{\overset{n}{\Sigma }}{(C_i-\bar{C})}^2$

n为具有权限i的所有用户数；

为所有具有权限i的用户使用该权限i的平均频繁程度；

为所有具有权限i的用户使用该权限i的平均时长；

为所有具有权限i的用户使用该权限i的平均可信度；

如果A_i×Alive_weight^T≤Alive_weight×Alive_weight^T，则清除用户的权限i；[]^T表示转置。

本发明实施例能够根据所述身份信息为用户分配账户及用户等级，并根据所述用户等级确定所述用户的权限组；记录所述账户使用所述权限组中权限的行为，对用户使用权限的行为进行分析，根据分析结果调整所述用户的权限组中权限。

与现有技术相比，本发明实施例的技术方案有效解决了目前账号权限依赖管理手段造成的权限控制不精确的问题，用技术手段代替管理手段更加智能地管控账号权限的授权、变更和注销，彻底使账号权限控制自动化、智能化，可以应用在各自涉及账号权限管理的场景下，大大降低了账号权限控制的人工成本。

附图说明

图1为本发明实施例的基于用户行为的账号权限调整方法的流程图；

图2为本发明实施例的额外权限审批的流程图；

图3为本发明实施例的用户使用权限的行为分析的流程图；

图4为本发明实施例的账号权限调整实现方法的流程图；

图5为本发明实施例的基于用户行为的账号权限调整装置的组成结构图。

具体实施方式

为使本发明的目的、技术方案和优点更加清除明白，以下举实施例并参照附图，对本发明进一步详细说明。

图1为本发明实施例的基于用户行为的账号权限调整方法的流程图，如图1所示，本发明实施例的基于用户行为的账号权限调整方法包括以下步骤：

步骤101，根据所述身份信息为用户分配账户及用户等级，并根据所述用户等级确定所述用户的权限组。

当用户发起权限申请时，会根据用户的用户级别，为用户选择相应的权限组，用户只能使用权限组的对应权限。本发明实施例允许用户申请权限组中之外的权限，当然这需要系统根据相应的算法确定是否允许分配给用户该超出其级别的权限。具体地，接收到用户发起的所述权限组之外的权限请求时，确定是否为用户临时授权所请求的权限，当为用户授权了所请求的权限时，将所授权的权限写入所述用户的权限组。

本发明实施例中，所述权限组中至少包括资源权限和功能权限，所述资源权限为用户能操作的对象，所述操作的对象包括设备、资料；所述功能权限为用户能进行的操作，包括操作功能键或菜单。

步骤102，记录所述账户使用所述权限组中权限的行为，对用户使用权限的行为进行分析，根据分析结果调整所述用户的权限组中权限。

本发明实施例中，根据分析结果确定所述用户的权限组中的权限使用频率低于设定阈值时，清除所述用户的权限组中的使用频率低于设定阈值的权限。

清除所述用户的权限组中的使用频率低于设定阈值的权限，具体为：

根据所述用户使用权限i的行为确定权限使用频繁程度f_i，权限i的使用平均时长t_i，权限i使用的可信程度C_i；其中：

F_i为设定时段内用户使用权限i的次数，F_i为统计时段内用户使用权限i的次数，统计时段大于设定时段；

T_i为设定时段内用户使用权限i的时长，T_i为统计时段内用户使用权限i的时长，统计时段大于设定时段；

其中，L_i为设定时段内用户在工作时间内使用权限i的次数，P_i为设定时段内用户利用可信IP地址使用权限i的次数；

用户行为分析矩阵A_i＝{f_i,t_i,C_i}；

用户的权限是否保留的评估参数$\mathrm{Alive}\_\mathrm{weight}=\{\bar{f}-\mathrm{p\Delta f},\bar{t}-\mathrm{p\Delta t},\bar{C}-\mathrm{p\Delta C}\},$p为权限控制参数，参照正态分布原则设定，或根据权限i的敏感程度或企业控制程度进行设定；

$\bar{f}=\frac{1}{n}\underset{i=1}{\overset{n}{\Sigma }}{f}_i,\mathrm{\Delta f}=\frac{1}{n}\underset{i=1}{\overset{n}{\Sigma }}{(f_i-\bar{f})}^2;$

$\bar{t}=\frac{1}{n}\underset{i=1}{\overset{n}{\Sigma }}{t}_i,\mathrm{\Delta t}=\frac{1}{n}\underset{i=1}{\overset{n}{\Sigma }}{(t_i-\bar{t})}^2;$

$\bar{C}=\frac{1}{n}\underset{i=1}{\overset{n}{\Sigma }}{C}_i,\mathrm{\Delta C}=\frac{1}{n}\underset{i=1}{\overset{n}{\Sigma }}{(C_i-\bar{C})}^2$

n为具有权限i的所有用户数；

为所有具有权限i的用户使用该权限i的平均频繁程度；

为所有具有权限i的用户使用该权限i的平均时长；

为所有具有权限i的用户使用该权限i的平均可信度；

如果A_i×Alive_weight^T≤Alive_weight×Alive_weight^T，则清除用户的权限i；[]^T表示转置。

以下通过具体示例，进一步阐明本发明技术方案的实质。

本发明实施例中，通过新增的用户等级权限对应矩阵计算模块、金库审批模块、用户行为分析模块等实现账号权限自适应控制。其中，用户等级对应权限计算模块：建立用户等级权限对应矩阵。用户等级对应的权限又分为资源权限和功能权限，资源权限指用户可以操作的对象，包括设备或资料等；功能权限指用户可以进行的操作，包括功能或菜单等。

用户等级权限对应矩阵计算模块通过下述方式确定用户权限：

根据系统中现存该用户等级对应的权限确定该用户等级对应权限组，某一用户等级对应的权限Ri＝{G1,G2,……,Gi,Z1,Z2,……,Zi}，其中Gi代表功能、菜单权限，Zi代表设备、资料权限；

根据系统中现存该用户等级人员对应的角色确定该用户等级对应权限组GR＝R1∪R2∪……∪Ri。

根据以上算法得到系统中所有用户等级对应的初始化角色组，如表1所示：

表1

金库审批模块：用户需要增加用户等级权限对应矩阵之外的权限时，通过金库审批模块添加临时授权

金库审批是指通过短信或者现场输入审批人账号密码的方式进行的审批；当用户需要使用用户等级权限对应矩阵之外的权限时，发起金库审批，审批人可以通过短信或者现场审批给予用户临时授权，此后用户在一定时间内可以正常使用该权限；用户使用临时授权权限的记录同样会录入账号权限使用记录数据库，通过用户行为分析模块确定该权限是否保留；如果用户的临时授权经过用户行为分析模块计算保留，则用户等级权限对应矩阵计算模块也会重新计算该矩阵，并对记录用户授权信息的数据库进行更新。

如图2所示，金库审批模块的工作流程包括：用户需要使用用户等级权限组之外的权限时，向金库审批模块发出请求，当请求通过时，将临时授权的权限记录入用户账号对应的权限组，同时记录用户使用该新授权的权限，通过分析模块分析其使用频率较高时，将其作为正式的权限，而用户使用所分配的权限低于设定阈值时，清除掉用户权限组中的对应权限。

本发明实施例中，用户行为分析模块：根据用户使用权限的行为，分析用户某一权限是否保留，如图3所示：

分析的字段包括权限使用频繁程度f_i，权限使用平均时长t_i，权限使用的可信程度C_i，

f_i表示用户使用某一权限的频繁程度，其中F_i为一定时间内用户使用某一权限的次数，F_i为统计时段内用户使用权限i的次数；

t_i表示用户使用某一权限的平均时长，其中T_i为一定时间内用户使用某一权限的时长，T_i为统计时段内用户使用权限i的时长；

C_i表示用户使用某一权限的可信程度，其中L_i为一定时间内用户在工作时间内使用该权限的次数，P_i为一定时间内用户使用可信IP地址使用该权限的次数；

某一用户行为分析矩阵A_i＝{f_i,t_i,C_i}。

用户的某一权限是否保留的评估参数$\mathrm{Alive}\_\mathrm{weight}=\{\bar{f}-\mathrm{p\Delta f},\bar{t}-\mathrm{p\Delta t},\bar{C}-\mathrm{p\Delta C}\},$p为权限控制参数，可以参照正态分布原则设定为1.96或2.58，也可以根据每一项权限的敏感程度或企业控制程度进行设定；

Alive_weight中，

$\bar{f}=\frac{1}{n}\underset{i=1}{\overset{n}{\Sigma }}{f}_i,\mathrm{\Delta f}=\frac{1}{n}\underset{i=1}{\overset{n}{\Sigma }}{(f_i-\bar{f})}^2;$

$\bar{t}=\frac{1}{n}\underset{i=1}{\overset{n}{\Sigma }}{t}_i,\mathrm{\Delta t}=\frac{1}{n}\underset{i=1}{\overset{n}{\Sigma }}{(t_i-\bar{t})}^2;$

$\bar{C}=\frac{1}{n}\underset{i=1}{\overset{n}{\Sigma }}{C}_i,\mathrm{\Delta C}=\frac{1}{n}\underset{i=1}{\overset{n}{\Sigma }}{(C_i-\bar{C})}^2$

为所有具有某一权限的用户使用该权限的平均频繁程度；

为所有具有某一权限的用户使用该权限的平均时长；

为所有具有某一权限的用户使用该权限的平均可信度；

根据Alive_weight值确定用户的某一权限是否需要清除，

如果A_i×Alive_weight^T≤Alive_weight×Alive_weight^T则清除用户这一权限。

如图4所示，本发明实施例中，将账号管理系统引入账号权限管理流程，由账号管理系统作为流程发起的主体，通过制定用户等级、权限对应矩阵，使用金库审批为辅助，实现根据用户等级与权限对应的自动授权。减少了账号权限集中管理后账号管理员的工作量，节约了人力成本。基于用户登录行为分析，记录用户名下授权使用的情况，将每一条授权信息作为一条记录，每一次使用记录使用的频率，使用的时长，使用的具体时间，使用的IP地址，对使用记录进行分析，确定用户是否保有此权限。本方案用技术手段代替管理手段，有效控制用户权限的增加、变更、注销。

图5为本发明实施例的基于用户行为的账号权限调整装置的组成结构图，如图5所示，本发明实施例的基于用户行为的账号权限调整装置包括：分配单元50、记录单元51、分析单元52和调整单元53，其中：

分配单元50，用于根据所述身份信息为用户分配账户及用户等级，并根据所述用户等级确定所述用户的权限组；

记录单元51，用于记录所述账户使用所述权限组中权限的行为；

分析单元52，用于对用户使用权限的行为进行分析；

调整单元53，用于根据所述分析单元的分析结果调整所述用户的权限组中权限。

本发明实施例中，所述权限组中至少包括资源权限和功能权限，所述资源权限为用户能操作的对象，所述操作的对象包括设备、资料；所述功能权限为用户能进行的操作，包括操作功能键或菜单。

在图5所示的基于用户行为的账号权限调整装置的基础上，所述装置还包括：接收单元(图5未示出)、确定单元(图5未示出)，其中：

接收单元，用于接收到用户发起的所述权限组之外的权限请求；

确定单元，用于确定是否为用户临时授权所请求的权限，接收到用户发起 的所述权限组之外的权限请求时，确定是否为用户临时授权所请求的权限，当为用户授权了所请求的权限时，在所授权的所述权限组之外的权限使频率超出了设定阈值时，触发所述分配单元50将该将所授权的权限写入所述用户的权限组。

上述调整单元53，还用于根据分析结果确定所述用户的权限组中的权限使用频率低于设定阈值时，清除所述用户的权限组中的使用频率低于设定阈值的权限。

具体地，上述述调整单元53，还用于：

根据所述用户使用权限i的行为确定权限使用频繁程度f_i，权限i的使用平均时长t_i，权限i使用的可信程度C_i；其中：

F_i为设定时段内用户使用权限i的次数，F_i为统计时段内用户使用权限i的次数；

T_i为设定时段内用户使用权限i的时长，T_i为统计时段内用户使用权限i的时长；

其中，L_i为设定时段内用户在工作时间内使用权限i的次数，P_i为设定时段内用户利用可信IP地址使用权限i的次数；

用户行为分析矩阵A_i＝{f_i,t_i,C_i}；

用户的权限是否保留的评估参数$\mathrm{Alive}\_\mathrm{weight}=\{\bar{f}-\mathrm{p\Delta f},\bar{t}-\mathrm{p\Delta t},\bar{C}-\mathrm{p\Delta C}\},$p为权限控制参数，参照正态分布原则设定，或根据权限i的敏感程度或企业控制程度进行设定；

$\bar{f}=\frac{1}{n}\underset{i=1}{\overset{n}{\Sigma }}{f}_i,\mathrm{\Delta f}=\frac{1}{n}\underset{i=1}{\overset{n}{\Sigma }}{(f_i-\bar{f})}^2;$

$\bar{t}=\frac{1}{n}\underset{i=1}{\overset{n}{\Sigma }}{t}_i,\mathrm{\Delta t}=\frac{1}{n}\underset{i=1}{\overset{n}{\Sigma }}{(t_i-\bar{t})}^2;$

$\bar{C}=\frac{1}{n}\underset{i=1}{\overset{n}{\Sigma }}{C}_i,\mathrm{\Delta C}=\frac{1}{n}\underset{i=1}{\overset{n}{\Sigma }}{(C_i-\bar{C})}^2$

n为具有权限i的所有用户数；

为所有具有权限i的用户使用该权限i的平均频繁程度；

为所有具有权限i的用户使用该权限i的平均时长；

为所有具有权限i的用户使用该权限i的平均可信度；

如果A_i×Alive_weight^T≤Alive_weight×Alive_weight^T，则清除用户的权限i；[]^T表示转置。

本领域技术人员应当理解，图5所示的基于用户行为的账号权限调整装置中各处理单元的功能，可参照前述的基于用户行为的账号权限调整方法的相关描述而理解，本发明实施例的基于用户行为的账号权限调整装置中各处理单元，可通过实现本发明实施例所述的功能的模拟电路而实现，也可以通过执行本发明实施例所述的功能的软件在智能设备上的运行而实现。

本发明实施例所记载的技术方案之间，在不冲突的情况下，可以任意组合。

在本发明所提供的几个实施例中，应该理解到，所揭露的方法、装置和电子设备，可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，如：多个单元或组件可以结合，或可以集成到另一个系统，或一些特征可以忽略，或不执行。另外，所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口，设备或单元的间接耦合或通信连接，可以是电性的、机械的或其它形式的。

上述作为分离部件说明的单元可以是、或也可以不是物理上分开的，作为单元显示的部件可以是、或也可以不是物理单元，即可以位于一个地方，也可以分布到多个网络单元上；可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。

另外，在本发明各实施例中的各功能单元可以全部集成在一个处理单元中，也可以是各单元分别单独作为一个单元，也可以两个或两个以上单元集成在一个单元中；上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加应 用功能单元的形式实现。

本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于一计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括：移动存储设备、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

或者，本发明实施例上述集成的单元如果以应用功能模块的形式实现并作为独立的产品销售或使用时，也可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以应用产品的形式体现出来，该计算机应用产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例所述方法的全部或部分。而前述的存储介质包括：移动存储设备、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

本发明的保护范围并不局限于此，熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。