技術(shù)領(lǐng)域

本發(fā)明實施例涉及計算機(jī)技術(shù)，尤其涉及一種權(quán)限管理方法及裝置。

背景技術(shù)

權(quán)限管理指用戶根據(jù)系統(tǒng)設(shè)置的安全規(guī)則或安全策略可以訪問且只能訪問自己被授權(quán)的資源，目前，權(quán)限管理幾乎出現(xiàn)在任何系統(tǒng)中，如企業(yè)的權(quán)限管理，其中，企業(yè)的權(quán)限管理是一個復(fù)雜的過程，涉及到組織和崗位的梳理，以及人員的流動和管理，并且可能會面臨權(quán)限亂、權(quán)限放大或賦權(quán)難等權(quán)限管理分散的問題。

為了解決所述權(quán)限管理分散的問題，現(xiàn)有的企業(yè)的權(quán)限管理通常基于角色的訪問控制(RoleBasedAccessControl，簡稱RBAC)機(jī)制，采用統(tǒng)一權(quán)限注冊、集中授權(quán)及集中鑒權(quán)等統(tǒng)一安全管理中心來進(jìn)行權(quán)限管理。考慮到安全因素，現(xiàn)有技術(shù)中通常基于權(quán)限授權(quán)數(shù)據(jù)的查詢視圖，進(jìn)行人工查詢比對以識別權(quán)限是否分配合理，例如，從某員工維度查看所述員工授予的角色和權(quán)限是否正確，或者從某角色維度查看所述角色授予的各類權(quán)限是否正確，或者從某權(quán)限維度查看所述權(quán)限關(guān)聯(lián)的角色或員工是否正確。

但現(xiàn)有技術(shù)中通過人工查詢比對的方式以識別權(quán)限是否分配合理，識別過程較繁瑣，識別難度較大并且易出錯。

發(fā)明內(nèi)容

本發(fā)明實施例提供一種權(quán)限管理方法及裝置，可以非常及時有效地檢測出授權(quán)中存在的問題或風(fēng)險，并進(jìn)行矯正。

第一方面，本發(fā)明實施例提供一種權(quán)限管理方法，包括：

獲取每個授權(quán)數(shù)據(jù)在第一時間段內(nèi)的歷史鑒權(quán)次數(shù)；其中，所述授權(quán)數(shù)據(jù)的類型包括：權(quán)限與角色組合、角色與用戶組合、以及權(quán)限與用戶組合；

分別根據(jù)所述歷史鑒權(quán)次數(shù)以及鑒權(quán)次數(shù)閾值判斷每個所述授權(quán)數(shù)據(jù)的授權(quán)分配是否合理，若判斷任一所述授權(quán)數(shù)據(jù)的授權(quán)分配不合理，則回收所述授權(quán)數(shù)據(jù)。

結(jié)合第一方面，在第一方面的第一種可能的實現(xiàn)方式中，所述分別根據(jù)所述歷史鑒權(quán)次數(shù)以及鑒權(quán)次數(shù)閾值判斷每個所述授權(quán)數(shù)據(jù)的授權(quán)分配是否合理，包括：

若所述授權(quán)數(shù)據(jù)在所述第一時間段內(nèi)的歷史鑒權(quán)次數(shù)小于所述鑒權(quán)閾值，則判斷所述授權(quán)數(shù)據(jù)的授權(quán)分配不合理；否則，判斷所述授權(quán)數(shù)據(jù)的授權(quán)分配合理。

結(jié)合第一方面或第一方面的第一種可能的實現(xiàn)方式，在第一方面的第二種可能的實現(xiàn)方式中，所述獲取每個授權(quán)數(shù)據(jù)在第一時間段內(nèi)的歷史鑒權(quán)次數(shù)，包括：

通過查詢鑒權(quán)路徑信息分別統(tǒng)計每個所述授權(quán)數(shù)據(jù)在所述第一時間段內(nèi)對應(yīng)的歷史鑒權(quán)次數(shù)；其中，所述鑒權(quán)路徑信息包含每次鑒權(quán)時的查找路徑信息。

結(jié)合第一方面、第一方面的第一種或第二種任一種可能的實現(xiàn)方式，在第一方面的第三種可能的實現(xiàn)方式中，所述回收所述授權(quán)數(shù)據(jù)之前，還包括：

根據(jù)鑒權(quán)路徑信息再次確認(rèn)所述授權(quán)數(shù)據(jù)的授權(quán)分配不合理。

結(jié)合第一方面、第一方面的第一種至第三種任一種可能的實現(xiàn)方式，在第一方面的第四種可能的實現(xiàn)方式中，所述獲取每個授權(quán)數(shù)據(jù)在第一時間段內(nèi)的歷史鑒權(quán)次數(shù)之前，還包括：

記錄所述每個授權(quán)數(shù)據(jù)的每次鑒權(quán)的鑒權(quán)路徑信息。

第二方面，本發(fā)明實施例提供一種權(quán)限管理裝置，包括：

獲取模塊，用于獲取每個授權(quán)數(shù)據(jù)在第一時間段內(nèi)的歷史鑒權(quán)次數(shù)；其中，所述授權(quán)數(shù)據(jù)的類型包括：權(quán)限與角色組合、角色與用戶組合、以及權(quán)限與用戶組合；

判斷模塊，用于分別根據(jù)所述歷史鑒權(quán)次數(shù)以及鑒權(quán)次數(shù)閾值判斷每個所述授權(quán)數(shù)據(jù)的授權(quán)分配是否合理，若判斷任一所述授權(quán)數(shù)據(jù)的授權(quán)分配不合理，則回收所述授權(quán)數(shù)據(jù)。

結(jié)合第二方面，在第二方面的第一種可能的實現(xiàn)方式中，所述判斷模塊具體用于：

若所述授權(quán)數(shù)據(jù)在所述第一時間段內(nèi)的歷史鑒權(quán)次數(shù)小于所述鑒權(quán)閾值，則判斷所述授權(quán)數(shù)據(jù)的授權(quán)分配不合理；否則，判斷所述授權(quán)數(shù)據(jù)的授權(quán)分配合理。

結(jié)合第二方面或第二方面的第一種可能的實現(xiàn)方式，在第二方面的第二種可能的實現(xiàn)方式中，所述獲取模塊具體用于：

通過查詢鑒權(quán)路徑信息分別統(tǒng)計每個所述授權(quán)數(shù)據(jù)在所述第一時間段內(nèi)對應(yīng)的歷史鑒權(quán)次數(shù)；其中，所述鑒權(quán)路徑信息包含每次鑒權(quán)時的查找路徑信息。

結(jié)合第二方面、第二方面的第一種或第二種任一種可能的實現(xiàn)方式，在第二方面的第三種可能的實現(xiàn)方式中，還包括：

確認(rèn)模塊，用于根據(jù)鑒權(quán)路徑信息再次確認(rèn)所述授權(quán)數(shù)據(jù)的授權(quán)分配不合理。

結(jié)合第二方面、第二方面的第一種至第三種任一種可能的實現(xiàn)方式，在第二方面的第四種可能的實現(xiàn)方式中，還包括：

記錄模塊，用于記錄所述每個授權(quán)數(shù)據(jù)的每次鑒權(quán)的鑒權(quán)路徑信息。