技術領域

本發明涉及權限控制技術領域，尤其涉及一種權限調度方法及裝置。

背景技術

在業務支撐系統中，不同的賬號分配有不同的權限。目前的權限調度主要是通過“賬號-角色-權限”的映射關系，以靜態化預設配置實現的。賬號管理員對不同賬號的授權，都是基于賬號所對應的角色進行的。通常，同一類角色賬號都擁有同樣的權限，至于個別特殊的賬號，則由管理人員進行手動設置。

現有技術雖然完成了對不同賬號權限的調度，但是，在實際運用過程中存在以下問題：

第一、在現有的權限調度方法中，對于偶爾使用的權限一旦授權，除收回外隨時都可以使用，若出現賬號盜用等事件時，很容易導致重要權限被使用，造成信息安全性問題。

第二、在使用過程中，角色所對應的權限是由管理人員手動設置，故當每增加或刪除一個權限，管理人員需在系統中手動的設置或刪除角色與權限的映射關系，以便為不同的用戶和賬號設置權限。這種權限調度方法導致管理人員的工作量大，尤其是在現有的業務支撐系統發展很快，角色類型以及權限類型的新增和刪除都很頻繁，無疑將形成很大的工作量。

第三、在當前的權限控制過程中，一類角色授予了多個權限，歸屬于同一角色的不同賬號可能所需用到的權限不同。具體的，如角色A對應于權限a、權限b以及權限c。用戶1實際應用過程中，需經常使用權限a、偶爾使用權限b且不使用權限c；用戶2實際應用過程中，經常使用權限b、偶爾使用權限c且不使用權限a；而系統在授權時，歸屬于同一角色A的用戶1和用戶2都具有上述三種權限。上述權限調度顯然與權限最小化以及最優化的權限調度原則相違背。

發明內容

有鑒于此，本發明實施例的主要目的在于提供一種權限調度方法及裝置，至少解決上述一個問題，以進一步實現權限的最小化和最優化調度，減少管理人員工作負荷，提高權限安全性。

為達到上述目的，本發明的技術方案是這樣實現的：

本發明提供一種權限調度方法，所述方法包括：

獲取包括權限使用頻率的權限信息；

根據所述權限信息及預設函數關系，計算權限調度因子；

將所述權限調度因子與預設閥值進行比較，獲得比較結果；

根據所述比較結果映射的預設調度指令調度權限。

優選地，所述權限信息還包括權限敏感度以及賬戶級別；

所述預設函數關系的數學表達式為F=∑（M*a，N*b，P*c）；

其中，所述F為權限調度因子；

所述M為權限敏感度，所述a為所述M的權重；

所述N為賬號級別，所述b為所述N的權重；

所述P為權限使用頻率，所述c為所述P的權重。

優選地，

所述權限調度因子為用以權限召回的召回因子且所述預設閥值為召回閥值；

或

所述權限調度因子為用以在第一指定組賬號間進行權限復制的傳播因子且所述預設閥值為傳播閥值。

優選地，當所述權限調度因子為所述召回因子時，所述方法還包括：

統計第二指定組內賬號中已召回第一權限的賬號數；

判斷所述已召回第一權限的賬號數占第二指定組賬號總數的比值是否不小于移除閥值，

若是，則將所述第二指定組內賬號中的第一權限全部召回。

優選地，所述方法還包括：

獲取賬號所歸屬的角色R、組織結構O以及賬號一級管理員L；

依據公式S=∑（R*x，O*y，L*z），計算出分組因子S，其中所述x、y、z對應為R、O、Z的權重；

將S值相等的賬號歸為一組，形成所述第一指定組或所述第二指定組。

優選地，所述方法還包括：根據用戶指示喚醒已召回權限。

優選地，所述根據用戶指示喚醒已召回權限包括：

獲取所述已召回權限的權限敏感度以及賬號級別；

根所述權限敏感度、賬號級別以及預設喚醒函數關系，計算喚醒因子；

根據所述喚醒因子與喚醒閥值的比較結果，向管理員或用戶發送鑒權信息，

接收根據所述鑒權信息形成的鑒權反饋；

依據所述鑒權反饋喚醒權限。

本發明還提供了一種權限調度裝置，所述裝置包括：

權限信息獲取單元，用以獲取包括權限使用頻率的權限信息；

計算單元，用以根據所述權限信息及預設函數關系，計算權限調度因子；

比較單元，用以將所述權限調度因子與預設閥值進行比較，獲得比較結果；