CN118070318A - 用户权限动态分配方法、装置及存储介质 - Google Patents
用户权限动态分配方法、装置及存储介质 Download PDFInfo
- Publication number
- CN118070318A CN118070318A CN202410501305.4A CN202410501305A CN118070318A CN 118070318 A CN118070318 A CN 118070318A CN 202410501305 A CN202410501305 A CN 202410501305A CN 118070318 A CN118070318 A CN 118070318A
- Authority
- CN
- China
- Prior art keywords
- user
- vector
- authority
- task
- rights
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 39
- 239000013598 vector Substances 0.000 claims abstract description 266
- 238000013507 mapping Methods 0.000 claims abstract description 31
- 230000004927 fusion Effects 0.000 claims abstract description 25
- 239000011159 matrix material Substances 0.000 claims description 21
- 230000006870 function Effects 0.000 claims description 11
- 238000005457 optimization Methods 0.000 claims description 8
- 238000009825 accumulation Methods 0.000 abstract description 5
- 238000013475 authorization Methods 0.000 abstract description 5
- 238000005516 engineering process Methods 0.000 description 6
- 238000006243 chemical reaction Methods 0.000 description 5
- 230000008569 process Effects 0.000 description 4
- 238000004364 calculation method Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 230000006399 behavior Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 239000013307 optical fiber Substances 0.000 description 2
- 230000008520 organization Effects 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 239000012633 leachable Substances 0.000 description 1
- 230000035515 penetration Effects 0.000 description 1
- 230000008707 rearrangement Effects 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 230000002441 reversible effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 201000009032 substance abuse Diseases 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
Landscapes
- Storage Device Security (AREA)
Abstract
本发明公开了一种用户权限动态分配方法、装置及存储介质,所述方法包括:利用融合模型将身份信息向量和权限向量融合,生成用户当前状态向量;对用户任务进行映射,形成用户任务向量;根据所述用户当前状态向量和用户任务向量计算用户权限向量,以使得用户任务向量与用户权限向量之间的互信息最大,且用户权限向量与用户状态向量之间的互信息最小;根据所述用户权限向量得到当前任务权限列表,根据所述当前任务权限列表调整用户权限。能够确保***用户始终处于最小授权状态运行,有效防止了因用户过度授权或用户权限累积导致的安全事件。
Description
技术领域
本发明涉及***安全技术领域,尤其涉及一种用户权限动态分配方法、装置及存储介质。
背景技术
近年来,随着网络通讯技术、移动计算技术和边缘计算等一系列新型技术的发展与应用,企业正在面临一场全面而深入的数字化转型。随着移动计算技术应用的不断深入,用户可以实现随时随地接入***。这种模式在为企业和用户提供效能和降低成本的同时,也为企业信息安全带来了新的挑战。
用户权限管理是现代信息***中的一个重要方面,旨在确保***的安全性和数据的机密性。它不仅有助于确保***的安全性和合规性,还能提高组织对数据的控制和管理能力。通过合理的权限分配和严格的权限管理策略,组织可以最大限度地减少安全风险,保护敏感信息,维护数据的完整性和可用性。其涉及到对***中的用户授予适当的权限,以便他们只能访问他们所需的资源和功能。用户权限管理的核心目标是实现最小权限原则,即为每个用户分配最低必要的权限,以减少潜在的安全风险。这通常涉及到定义角色和角色的权限,然后将用户分配到不同的角色中。传统的权限管理模式以静态管理居多,且多基于分组模式实现。即一组用户具有相同的权限,且管理粒度相对较粗。
在当前高度互联且动态接入的环境中,用户权限管理面临新的挑战。其中之一是过度授权的问题,即某些用户可能被授予比他们实际需要的更多权限,从而增加了***的安全风险。另一个问题是权限漏洞,即一些用户可能会通过不当的方式获取他们不应该有的权限,从而导致数据泄露和滥用的风险。
发明内容
本发明实施例提供了一种用户权限动态分配方法、装置及存储介质,以解决现有技术中***权限设置无法灵活动态设置产生的***安全风险的技术问题。
第一方面,本发明实施例提供了一种用户权限动态分配方法,包括:
利用融合模型将身份信息向量和权限向量融合,生成用户当前状态向量;
对用户任务进行映射,形成用户任务向量;
根据所述用户当前状态向量和用户任务向量计算用户权限向量,以使得用户任务向量与用户权限向量之间的互信息最大,且用户权限向量与用户状态向量之间的互信息最小;
根据所述用户权限向量得到当前任务权限列表,根据所述当前任务权限列表调整用户权限。
第二方面,本发明实施例还提供了一种用户权限动态分配装置,包括:
融合模块,用于利用融合模型将身份信息向量和权限向量融合,生成用户当前状态向量;
映射模块,用于对用户任务进行映射,形成用户任务向量;
计算模块,用于根据所述用户当前状态向量和用户任务向量计算用户权限向量,以使得用户任务向量与用户权限向量之间的互信息最大,且用户权限向量与用户状态向量之间的互信息最小;
调整模块,用于根据所述用户权限向量得到当前任务权限列表,根据所述当前任务权限列表调整用户权限。
第三方面,本发明实施例还提供了一种包含计算机可执行指令的存储介质,所述计算机可执行指令在由计算机处理器执行时用于执行如上述实施例提供的用户权限动态分配方法。
本发明实施例提供的用户权限动态分配方法、装置及存储介质,通过利用融合模型将身份信息向量和权限向量融合,生成用户当前状态向量;对用户任务进行映射,形成用户任务向量;根据所述用户当前状态向量和用户任务向量计算用户权限向量,以使得用户任务向量与用户权限向量之间的互信息最大,且用户权限向量与用户状态向量之间的互信息最小;根据所述用户权限向量得到当前任务权限列表,根据所述当前任务权限列表调整用户权限。利用身份信息和已有的历史权限,通过向量转换模型转换为隐空间多维向量。并可将转换后的空间向量进行融合,并与当前任务向量进行有条件的互信息运算,根据互信息运算能够得到最合适用户权限向量,并根据用户权限向量动态调整用户的当前权限。通过最大化用户任务列表与用户动态权限分配表之间的互信息来保证用户能够被顺利执行,同时最小化动态权限分配表与用户状态之间的互信息,从而确保***用户始终处于最小授权状态运行,有效防止了因用户过度授权或用户权限累积导致的安全事件。
附图说明
通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本发明的其它特征、目的和优点将会变得更明显:
图1是本发明实施例一提供的用户权限动态分配方法的流程示意图;
图2是本发明实施例二提供的用户权限动态分配方法的流程示意图;
图3是本发明实施例三提供的用户权限动态分配装置的结构示意图。
具体实施方式
下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释本发明,而非对本发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与本发明相关的部分而非全部结构。
实施例一
图1是本发明实施例一提供的用户权限动态分配方法的流程图,本实施例可适用于根据任务信息和用户信息对用户权限进行合理动态分配的情况,该方法可以由用户权限动态分配装置来执行,具体包括如下步骤:
步骤110,利用融合模型将身份信息向量和权限向量融合,生成用户当前状态向量。
为不影响用户体验,同时针对不同用户给出更加精准的权限管理与动态分析,本发明采用基于用户历史任务与行为特点的方式实现权限分配。***将收集用户任务类型和权限申请情况,形成用户历史行为数据。在此基础上,结合用户身份信息、用户分组等,统计出其最大权限需求。
在本实施例中,先利用用户的身份信息生成身份信息向量。示例性的,在上述步骤之前,所述方法还可包括如下步骤:获取用户的用户ID、身份信息和身份分组信息,将所述用户ID、身份信息和身份分组信息转换为身份信息向量。
示例性的,可在用户登录时,获取用户的用户ID、身份信息和身份分组信息。利用用户身份列表将用户ID、身份信息和身份分组信息转换为结构化数据,对用户身份信息(ID,分组信息,身份信息/>)进行嵌入编码,然后利用映射函数/>将这些编码映射至低维空间中的身份信息向量。
,/>是用户身份向量。
相应的,还可获取用户的身份分组对应的权限信息和前次登录具有的权限,并将所述身份分组对应的权限信息和前次登录具有的权限转换为权限向量。
若用户为新用户且首次登录***,历史权限、前次登录等信息是缺失的。基于此,将历史权限设置为普通用户基本权限(最小权限),前次登录时间设置为NULL。此外,当用户的前次登录与本次登录之间的时间间隔超过***预设阈值时,则将历史权限重置为普通用户最小权限,以防止因为用身份被窃取而导致***安全事件。
基于用户的身份分组对应的权限信息和前次登录具有的权限,生成用户权限列表,并对用户权限列表进行混淆映射,将用户已经获得的不同权限编码为权限向量。
,/>代表用户分组信息,/>是用户当前权限列表,/>而为用户距上次登录时间的时间间隔。
利用已有的融合模型将身份信息向量和权限向量进行融合,例如加权融合、特征融合,或者拼接等方式。
步骤120,对用户任务进行映射,形成用户任务向量。
示例性的,所述对用户任务进行映射,形成用户任务向量,可以包括:根据用户任务生成用户任务列表,利用所述用户任务列表生成用户任务数字编码向量;利用向量编码器和多层感知器,将所述用户任务数字向量编码嵌入映射至隐空间中的向量,形成用户任务向量。
本实施例提供的用户权限动态分配方法,目的在于使得用户拥有的权限仅能够保证用户顺利完成其任务,而无多余权限,从而有效防止因权限分配过多或权限累积而导致的***安全问题。因此,还需要对用户任务进行映射,形成用户任务向量具体映射过程定义如下:
,其中,/>为映射后的用户当前任务向量,/>代表用户当前任务列表,为用户任务列表映射函数。
步骤130,根据所述用户当前状态向量和用户任务向量计算用户权限向量,以使得用户任务向量与用户权限向量之间的互信息最大,且用户权限向量与用户状态向量之间的互信息最小。
在本实施例中,利用最大化用户任务向量与用户权限向量Z之间的互信息,以保证用户的任务均可以被正常执行。与此同时,最小化用户权限向量Z与用户状态向量s之间的互信息,以去除当前不需要的权限,使得用户权限始终处于最小状态。基于此,需要构建一个用户权限动态分配表/>并对其进行嵌入映射,使得该分配表与用户原始权限列表之间的互信息最小,同时最大化该分配表与用户任务之间的互信息。这样,便可以保证用户能够正常完成其任务的前提下,没有额外的非必要权限。用户始终处于最小权限状态,***将即时回收多余权限。其映射过程如下:
,其中,/>为用户权限动态分配表(/>被初始化为用户权限列表/>),Z为映射后的动态权限向量,而/>为嵌入函数,可基于独热向量(One-Hot)编码器和多层感知机(MLP)实现,负责将离散的列表数据嵌入映射至一个隐空间的向量中。
示例性的,所述根据所述用户当前状态向量和用户任务向量计算用户权限向量,利用如下方式实现:
,其中,/>表示互信息运算函数,β是拉格朗日乘子,Vt是用户任务向量,Z是用户权限向量,s为用户状态向量,/>是满足最小权限状态的用户权限向量。
当该过程稳定时,既互信息被最大化且互信息被最小化时,即可得到当前满足最小权限状态的用户权限向量,实现对用户权限的动态控制。利用上述方式,可得到满足最小权限状态的用户权限向量。
当该过程稳定时,既互信息被最大化且互信息/>被最小化时,即可得到当前满足最小权限状态的用户权限向量/>,实现对用户权限的动态控制。利用上述方式,可得到满足最小权限状态的用户权限向量/>。
步骤140,根据所述用户权限向量得到当前任务权限列表,根据所述当前任务权限列表调整用户权限。
当满足最小权限状态的用户权限向量被计算出来后,可将其转换得到当前用户的权限列表。可根据该列表中的权限分配情况,对用户权限进行更新,分配新权限同时回收不使用的权限。然后,更新用户历史权限列表。本轮权限管理结束。
示例性的,所述根据所述用户权限向量得到当前任务权限列表,根据所述当前任务权限列表调整用户权限,可以包括:利用反映射函数将所述用户权限向量还原为当前任务权限列表;将所述当前任务权限列表中的数字编码转换为对应的权限;根据所述对应的权限对用户权限进行更新,分配新权限同时回收不使用的权限。可通过如下方式计算当前用户的权限列表,其利用嵌入函数的可逆方式实现:
。
采用权限映射的方式来有效处理用户权限的动态分配与管理。其可将现代通用操作***中所有可能的***用户权限建模成一张映射表。具体而言,该表按行进行索引,每行与一个具体的***用户权限相对应。此外,为确保通用性和可用性,不同***用户权限的索引值是固定的,即不同权限被映射至该表中固定的位置,仅需对固定位置进行查找即可获取当前用户在该权限上的授权情况。
完成索引之后,将用户权限的分配情况填写至对应的行中。示例性的,可用0-9的数字来标志对应权限的分配情况。其中,0用于标记当前用户未获得该授权,也可用于标记当前***中无该权限。通过这种映射方式,不同的***用户权限均可以通过向量的形式进行表达,有助于后续的特征提取与动态分配。此外,这种映射方式也提升了其通用性和易用性,可以广泛应用于不同的操作***。本实施例提供的用户权限分配方法,可适用于各种平台,特别适用于各种Linux平台,特别是各种国产OS,国产OS可将上述方法在TrustZone中运行,能够保障运行的高安全性。
本实施例通过利用融合模型将身份信息向量和权限向量融合,生成用户当前状态向量;对用户任务进行映射,形成用户任务向量;根据所述用户当前状态向量和用户任务向量计算用户权限向量,以使得用户任务向量与用户权限向量之间的互信息最大,且用户权限向量与用户状态向量之间的互信息最小;根据所述用户权限向量得到当前任务权限列表,根据所述当前任务权限列表调整用户权限。利用身份信息和已有的历史权限,通过向量转换模型转换为隐空间多维向量。并可将转换后的空间向量进行融合,并与当前任务向量进行有条件的互信息运算,根据互信息运算能够得到最合适用户权限向量,并根据用户权限向量动态调整用户的当前权限。通过最大化用户任务列表与用户动态权限分配表之间的互信息来保证用户能够被顺利执行,同时最小化动态权限分配表与用户状态之间的互信息,从而确保***用户始终处于最小授权状态运行,有效防止了因用户过度授权或用户权限累积导致的安全事件。
实施例二
图2是本发明实施例二提供的用户权限动态分配方法的流程示意图,本实施例以上述实施例为基础进行优化,将所述利用融合模型将身份信息向量和权限向量融合,生成用户当前状态向量,具体优化为:利用如下方式实现身份信息向量和权限向量融合:,其中,s是用户当前用户状态向量,/>和/>分别为映射之后的用户身份向量和用户权限向量,M为可学习的权重矩阵,通过随机初始化得到。并增加如下步骤:根据的运算结果对所述可学习的权重矩阵进行迭代优化,以使取得最大值的/>。
参见图2,所述用户权限动态分配方法,包括:
步骤210,利用可学习的权重矩阵对身份信息向量和权限向量进行向量融合,生成用户当前状态向量。
由于身份信息向量和权限向量中的向量类型和数量均不相同,因此,需要利用一个矩阵对其进行融合,可选的,该矩阵可针对不同的向量权重进行向量融合。利用随机初始的权重矩阵实现融合。
步骤220,对用户任务进行映射,形成用户任务向量。
步骤230,根据所述用户当前状态向量和用户任务向量计算用户权限向量。
步骤240,根据用户权限向量的运算结果对所述可学习的权重矩阵进行迭代优化,以使得运算结果最小。
在本实施例中,权重矩阵M可以是一组随机初始化的参数,并利用上述计算用户权限向量的计算公式,对M进行迭代优化。示例性的,可对初始随机的权重矩阵M进行调整,生成第二权重矩阵,并基于第二权重矩阵重新计算用户权限向量,重复调整,直至利用/>取得最大值的/>,得到最优权重矩阵。
步骤250,利用迭代优化后的可学习矩阵计算用户权限向量,以使得用户任务向量与用户权限向量之间的互信息最大,且用户权限向量与用户状态向量之间的互信息最小。
步骤260,根据所述用户权限向量得到当前任务权限列表,根据所述当前任务权限列表调整用户权限。
本实施例通过将所述利用融合模型将身份信息向量和权限向量融合,生成用户当前状态向量,具体优化为:利用如下方式实现身份信息向量和权限向量融合:,其中,s是用户当前用户状态向量,/>和/>分别为映射之后的用户身份向量和用户权限向量,M为可学习的权重矩阵,通过随机初始化得到。并增加如下步骤:根据的运算结果对所述可学习的权重矩阵进行迭代优化。利用上述方法,利用权重矩阵实现身份信息向量和权限向量的有效融合,并且还可利用用户权限向量的计算方式对权重矩阵进行迭代优化,进而得到更为准确的用户权限向量。
实施例三
图3是本发明实施例三提供的用户权限动态分配装置的结构示意图,参见图3,所述用户权限动态分配装置,包括:
融合模块310,用于利用融合模型将身份信息向量和权限向量融合,生成用户当前状态向量;
映射模块320,用于对用户任务进行映射,形成用户任务向量;
计算模块330,用于根据所述用户当前状态向量和用户任务向量计算用户权限向量,以使得用户任务向量与用户权限向量之间的互信息最大,且用户权限向量与用户状态向量之间的互信息最小;
调整模块340,用于根据所述用户权限向量得到当前任务权限列表,根据所述当前任务权限列表调整用户权限。
本实施例提供的用户权限动态分配装置,通过利用融合模型将身份信息向量和权限向量融合,生成用户当前状态向量;对用户任务进行映射,形成用户任务向量;根据所述用户当前状态向量和用户任务向量计算用户权限向量,以使得用户任务向量与用户权限向量之间的互信息最大,且用户权限向量与用户状态向量之间的互信息最小;根据所述用户权限向量得到当前任务权限列表,根据所述当前任务权限列表调整用户权限。利用身份信息和已有的历史权限,通过向量转换模型转换为隐空间多维向量。并可将转换后的空间向量进行融合,并与当前任务向量进行有条件的互信息运算,根据互信息运算能够得到最合适用户权限向量,并根据用户权限向量动态调整用户的当前权限。通过最大化用户任务列表与用户动态权限分配表之间的互信息来保证用户能够被顺利执行,同时最小化动态权限分配表与用户状态之间的互信息,从而确保***用户始终处于最小授权状态运行,有效防止了因用户过度授权或用户权限累积导致的安全事件。
在上述各实施例的基础上,所述计算模块,利用如下方式实现:,其中,/>表示互信息运算函数,β是拉格朗日乘子,Vt是用户任务向量,Z是用户权限向量,s为用户状态向量,/>是满足最小权限状态的用户权限向量。
在上述各实施例的基础上,所述调整模块包括:
还原单元,用于利用反映射函数将所述用户权限向量还原为当前任务权限列表;
转换单元,用于将所述当前任务权限列表中的数字编码转换为对应的权限;
更新单元,用于根据所述对应的权限对用户权限进行更新,分配新权限同时回收不使用的权限。
在上述各实施例的基础上,所述融合模块利用如下方式实现身份信息向量和权限向量融合:
,其中,s是用户当前用户状态向量,/>和/>分别为映射之后的用户身份向量和用户权限向量,M为可学习的权重矩阵,通过随机初始化得到。
迭代优化模块,用于根据的运算结果对所述可学习的权重矩阵进行迭代优化。
在上述各实施例的基础上,所述形成模块包括:
编码生成单元,用于根据用户任务生成用户任务列表,利用所述用户任务列表生成用户任务数字编码;
形成单元,用于利用向量编码器和多层感知器,将所述用户任务数字编码嵌入映射至隐空间的向量中,形成用户任务向量。
在上述各实施例的基础上,所述装置还包括:
获取单元,用于获取用户的用户ID、身份信息和身份分组信息,将所述用户ID、身份信息和身份分组信息转换为身份信息向量;
权限向量转换单元,用于获取用户的身份分组对应的权限信息和前次登录具有的权限,并将所述身份分组对应的权限信息和前次登录具有的权限转换为权限向量。
在上述各实施例的基础上,所述装置还包括:
同步更新模块,用于同步更新用户历史权限列表。
本发明实施例所提供的用户权限动态分配装置可执行本发明任意实施例所提供的用户权限动态分配方法,具备执行方法相应的功能模块和有益效果。
实施例四
本发明实施例四还提供了一种包含计算机可执行指令的存储介质,所述计算机可执行指令在由计算机处理器执行时用于执行如上述实施例提供的任一所述的用户权限动态分配方法。
本发明实施例的计算机存储介质,可以采用一个或多个计算机可读的介质的任意组合。计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的***、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本文件中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行***、装置或者器件使用或者与其结合使用。
计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行***、装置或者器件使用或者与其结合使用的程序。
计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括——但不限于无线、电线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言或其组合来编写用于执行本发明操作的计算机程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或设备上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
注意,上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解,本发明不限于这里所述的特定实施例,对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此,虽然通过以上实施例对本发明进行了较为详细的说明,但是本发明不仅仅限于以上实施例,在不脱离本发明构思的情况下,还可以包括更多其他等效实施例,而本发明的范围由所附的权利要求范围决定。
Claims (10)
1.一种用户权限动态分配方法,其特征在于,包括:
利用融合模型将身份信息向量和权限向量融合,生成用户当前状态向量;
对用户任务进行映射,形成用户任务向量;
根据所述用户当前状态向量和用户任务向量计算用户权限向量,以使得用户任务向量与用户权限向量之间的互信息最大,且用户权限向量与用户状态向量之间的互信息最小;
根据所述用户权限向量得到当前任务权限列表,根据所述当前任务权限列表调整用户权限。
2.根据权利要求1所述的方法,其特征在于,所述根据所述用户当前状态向量和用户任务向量计算用户权限向量,利用如下方式实现:
,
其中,表示互信息运算函数,β是拉格朗日乘子,Vt是用户任务向量,Z是用户权限向量,s为用户状态向量,/>是满足最小权限状态的用户权限向量。
3.根据权利要求1所述的方法,其特征在于,所述根据所述用户权限向量得到当前任务权限列表,根据所述当前任务权限列表调整用户权限,包括:
利用反映射函数将所述用户权限向量还原为当前任务权限列表;
将所述当前任务权限列表中的数字编码转换为对应的权限;
根据所述对应的权限对用户权限进行更新,分配新权限同时回收不使用的权限。
4.根据权利要求1所述的方法,其特征在于,所述利用融合模型将身份信息向量和权限向量融合,生成用户当前状态向量,包括:
利用如下方式实现身份信息向量和权限向量融合:
,其中,s是用户当前用户状态向量,/>和/>分别为映射之后的用户身份向量和用户权限向量,M为可学习的权重矩阵,通过随机初始化得到。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:
根据的运算结果对所述可学习的权重矩阵进行迭代优化,最终获得使公式/>取得最大值的/>,即为最小用户权限。
6.根据权利要求1所述的方法,其特征在于,所述对用户任务进行映射,形成用户任务向量,包括:
根据用户任务生成用户任务列表,利用所述用户任务列表生成用户任务数字编码向量;
利用向量编码器和多层感知器,将所述用户任务数字向量编码嵌入映射至隐空间中的向量,形成用户任务向量。
7.根据权利要求1所述的方法,其特征在于,所述方法还包括:
获取用户的用户ID、身份信息和身份分组信息,将所述用户ID、身份信息和身份分组信息转换为身份信息向量;
获取用户的身份分组对应的权限信息和前次登录具有的权限,并将所述身份分组对应的权限信息和前次登录具有的权限转换为权限向量。
8.根据权利要求3所述的方法,其特征在于,所述方法还包括:
同步更新用户历史权限列表。
9.一种用户权限动态分配装置,其特征在于,包括:
融合模块,用于利用融合模型将身份信息向量和权限向量融合,生成用户当前状态向量;
映射模块,用于对用户任务进行映射,形成用户任务向量;
计算模块,用于根据所述用户当前状态向量和用户任务向量计算用户权限向量,以使得用户任务向量与用户权限向量之间的互信息最大,且用户权限向量与用户状态向量之间的互信息最小;
调整模块,用于根据所述用户权限向量得到当前任务权限列表,根据所述当前任务权限列表调整用户权限。
10.一种包含计算机可执行指令的存储介质,其特征在于,所述计算机可执行指令在由计算机处理器执行时用于执行如权利要求1-8任一所述的用户权限动态分配方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202410501305.4A CN118070318A (zh) | 2024-04-25 | 2024-04-25 | 用户权限动态分配方法、装置及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202410501305.4A CN118070318A (zh) | 2024-04-25 | 2024-04-25 | 用户权限动态分配方法、装置及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN118070318A true CN118070318A (zh) | 2024-05-24 |
Family
ID=91111656
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202410501305.4A Pending CN118070318A (zh) | 2024-04-25 | 2024-04-25 | 用户权限动态分配方法、装置及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN118070318A (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11366793B1 (en) * | 2020-12-21 | 2022-06-21 | Dropbox, Inc. | Data model and data service for content management system |
| CN116126510A (zh) * | 2021-11-12 | 2023-05-16 | 华为技术有限公司 | 基于多设备提供服务的方法、相关装置及*** |
| CN117390648A (zh) * | 2023-10-25 | 2024-01-12 | 腾讯科技(深圳)有限公司 | 资源访问权限的管理方法、装置、设备及存储介质 |
| CN117499124A (zh) * | 2023-11-14 | 2024-02-02 | 天翼安全科技有限公司 | 一种访问控制方法及装置 |
-
2024
- 2024-04-25 CN CN202410501305.4A patent/CN118070318A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11366793B1 (en) * | 2020-12-21 | 2022-06-21 | Dropbox, Inc. | Data model and data service for content management system |
| CN116126510A (zh) * | 2021-11-12 | 2023-05-16 | 华为技术有限公司 | 基于多设备提供服务的方法、相关装置及*** |
| CN117390648A (zh) * | 2023-10-25 | 2024-01-12 | 腾讯科技(深圳)有限公司 | 资源访问权限的管理方法、装置、设备及存储介质 |
| CN117499124A (zh) * | 2023-11-14 | 2024-02-02 | 天翼安全科技有限公司 | 一种访问控制方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110414268B (zh) | 访问控制方法、装置、设备及存储介质 | |
| EP3632080B1 (en) | Method for selecting digital certificates according to their issuance policy | |
| RU2637878C2 (ru) | Аутентификация процессов и разрешения на ресурсы | |
| US11962694B2 (en) | Key pair generation based on environmental factors | |
| US9747581B2 (en) | Context-dependent transactional management for separation of duties | |
| CN103369022A (zh) | 与存储设备通信的方法和*** | |
| CN104506487A (zh) | 云环境下隐私策略的可信执行方法 | |
| US8612754B2 (en) | Digital fingerprinting via SQL filestream with common text exclusion | |
| CN110390184A (zh) | 用于在云中执行应用的方法、装置和计算机程序产品 | |
| CN113039542A (zh) | 云计算网络中的安全计数 | |
| CN111865869B (zh) | 基于随机映射的注册、认证方法及装置、介质及电子设备 | |
| CN109858588B (zh) | 一种基于混沌映射的二维码并行生成方法 | |
| Jiang et al. | An assessment model for cloud service security risk based on entropy and support vector machine | |
| US11558390B2 (en) | System to control access to web resources based on an internet of things authorization mechanism | |
| CN118070318A (zh) | 用户权限动态分配方法、装置及存储介质 | |
| Utpala et al. | Authenticated IoT based online smart parking system with cloud | |
| US10172001B1 (en) | Authentication mechanism | |
| CN113179285B (zh) | 视频物联网高性能密码服务方法、装置和*** | |
| CN114266072A (zh) | 一种权限分配控制方法、装置、电子设备及存储介质 | |
| CN110929269B (zh) | ***权限管理方法、装置、介质及电子设备 | |
| US11431711B2 (en) | Method, device and computer program product for service access | |
| CN114201478A (zh) | 数据处理方法、程序产品、可读介质和电子设备 | |
| Vyas et al. | SPLinux: An Information Flow Secure Linux | |
| CN116963274B (zh) | 一种基于蓝牙aoa室内定位的方法及*** | |
| CN214540763U (zh) | 一种嵌入式软件的在线保护装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |