一种基于访问行为的访问权限管理方法和设备技术

本发明专利技术公开了一种基于访问行为的访问权限管理方法和设备，当预设权限对应表中存在所述用户信息时，基于所述预设权限对应表确定所述用户在所述用户属性对应的用户组中的权限等级，向该用户展示所述权限等级对应的的可访问资源，并基于预设行为模型对所述用户的访问行为进行监控；当所述预设权限对应表中不存在所述用户信息，则为所述用户分配动态初始权限，向该用户展示所述动态初始权限对应的可访问资源，并基于所述用户的访问行为对所述动态初始权限进行动态调整，从而对陌生用户分配动态初始权限，同时对用户的访问行为进行实时监测，并根据用户的访问行为是否存在风险进而动态调整用户的访问权限，提高数据的安全性。提高数据的安全性。提高数据的安全性。

【技术实现步骤摘要】
一种基于访问行为的访问权限管理方法和设备


[0001]本申请涉及数据安全
，更具体地，涉及一种基于访问行为的访问权限管理方法和设备。

技术介绍

[0002]现在运维领域业务量的增长，企业内部人员也爆炸性增长，不同业务系统针对不同工作人员的访问权限也更加繁杂，为了解决不可避免的访问权限类别过大导致的信息过载的困境，访问权限管理系统应运而生，其可以对不同业务系统的访问权限进行管理，有效提高企业访问权限管理效率。
[0003]目前，对用户权限的控制技术主要是将用户划分为不同的群组或角色，每个群组或角色可以访问不同的资源，然后根据用户所属的群组来对用户授权，这类授权方式也称为静态授权。
[0004]但是上述方法中，需要对访问用户进行权限赋予之后，访问用户才可以进行访问，同时已经被赋予访问权限的用户的权限不会根据用户的使用情况进行调整，需要人工进行修改或调整，导致用户访问效率低，并且容易造成数据安全问题。
[0005]因此，如何对陌生用户进行动态权限赋予，同时根据用户的访问行为对其权限进行动态调整，是目前有待解决的技术问题。

技术实现思路

[0006]本专利技术提供一种基于访问行为的访问权限管理方法，用以解决现有技术陌生用户需要人工赋予权限，同时用户的权限无法根据实际情况灵活调整导致数据安全问题出现的技术问题，所述方法包括：
[0007]接收用户的访问请求，并获取所述访问请求中携带的证书信息，所述证书信息包括用户信息及用户属性；
[0008]在预设权限对应表中查找所述用户信息；
[0009]当所述预设权限对应表中存在所述用户信息时，基于所述预设权限对应表确定所述用户在所述用户属性对应的用户组中的权限等级，向该用户展示所述权限等级对应的的可访问资源，并基于预设行为模型对所述用户的访问行为进行监控，所述权限等级包括高等级、中等级、低等级；
[0010]当所述预设权限对应表中不存在所述用户信息，则为所述用户分配动态初始权限，向该用户展示所述动态初始权限对应的可访问资源，并基于所述用户的访问行为对所述动态初始权限进行动态调整。
[0011]在本申请一些实施例中，基于预设行为模型对所述用户的访问行为进行监控，具体为：
[0012]获取所述用户的历史访问数据，并对所述历史访问数据进行机器学习，得到所述预设行为模型；
[0013]基于所述预设行为模型对所述用户的本次的访问行为数据进行监测；
[0014]当本次的访问行为数据超过所述预设行为模型的预设风险阈值时，将所述用户标记为风险用户，并对所述风险用户进行风险分析，并基于风险分析结果调节所述用户的权限等级。
[0015]在本申请一些实施例中，对所述风险用户进行风险分析，并基于风险分析结果调节所述用户的权限等级，具体为：
[0016]获取所述风险用户的访问地址及访问内容；
[0017]与所述风险用户的访问地址申请通讯验证，并获取通讯验证结果；
[0018]预先对可访问资源按照敏感度进行分类，并设置敏感度阈值，获取访问内容中超过敏感度阈值的访问数据，基于超过敏感度阈值的访问数据生成数据敏感度结果；
[0019]基于所述通讯验证结果、数据敏感度结果及预设权重生成风险分析结果；
[0020]当风险分析结果为高风险，且所述用户风险的权限等级不为低等级，则降低所述风险用户的权限等级；
[0021]当风险分析结果为高风险，且若所述风险用户的权限等级为低等级时，则冻结所述风险用户的权限，禁止所述风险用户访问任何资源。
[0022]在本申请一些实施例中，所述方法还包括：
[0023]对降低权限等级后的风险用户进行实时监测；
[0024]若降低权限等级后的风险用户的访问行为数据在预设时间内再次超过预设风险阈值，则直接冻结所述风险用户的权限，禁止所述风险用户访问任何资源。
[0025]在本申请一些实施例中，当所述预设权限对应表中不存在所述用户信息，则为所述用户分配动态初始权限，向该用户展示所述动态初始权限对应的可访问资源，并基于所述用户的访问行为对所述动态初始权限进行动态调整，具体为：
[0026]根据用户的访问属性将动态初始权限进行分类；
[0027]当单一访问属性的访问行为次数达到第一访问次数阈值时，将该访问属性对应的权限冻结；
[0028]当各访问属性的累计访问行为次数达到第二访问次数阈值时，将该用户的全部权限冻结。
[0029]相应的，本专利技术还提出了一种基于访问行为的访问权限管理设备，所述设备包括：
[0030]接收模块，用于接收用户的访问请求，并获取所述访问请求中携带的证书信息，所述证书信息包括用户信息及用户属性；
[0031]查找模块，用于在预设权限对应表中查找所述用户信息；
[0032]监控模块，用于当所述预设权限对应表中存在所述用户信息时，基于所述预设权限对应表确定所述用户在所述用户属性对应的用户组中的权限等级，向该用户展示所述权限等级对应的的可访问资源，并基于预设行为模型对所述用户的访问行为进行监控，所述权限等级包括高等级、中等级、低等级；
[0033]调整模块，用于当所述预设权限对应表中不存在所述用户信息，则为所述用户分配动态初始权限，向该用户展示所述动态初始权限对应的可访问资源，并基于所述用户的访问行为对所述动态初始权限进行动态调整。
[0034]在本申请一些实施例中，所述监控模块具体用于：
[0035]获取所述用户的历史访问数据，并对所述历史访问数据进行机器学习，得到所述预设行为模型；
[0036]基于所述预设行为模型对所述用户的本次的访问行为数据进行监测；
[0037]当本次的访问行为数据超过所述预设行为模型的预设风险阈值时，将所述用户标记为风险用户，并对所述风险用户进行风险分析，并基于风险分析结果调节所述用户的权限等级。
[0038]在本申请一些实施例中，所述监控模块具体用于：
[0039]获取所述风险用户的访问地址及访问内容；
[0040]与所述风险用户的访问地址申请通讯验证，并获取通讯验证结果；
[0041]预先对可访问资源按照敏感度进行分类，并设置敏感度阈值，获取访问内容中超过敏感度阈值的访问数据，基于超过敏感度阈值的访问数据生成数据敏感度结果；
[0042]基于所述通讯验证结果、数据敏感度结果及预设权重生成风险分析结果；
[0043]当风险分析结果为高风险，且所述用户风险的权限等级不为低等级，则降低所述风险用户的权限等级；
[0044]当风险分析结果为高风险，且若所述风险用户的权限等级为低等级时，则冻结所述风险用户的权限，禁止所述风险用户访问任何资源。
[0045]在本申请一些实施例中，所述设备还用于：
[0046]对降低权限等级后的风险用户进行实时监测；
[0047]若降低权限等级后的风险用户的访问行为数据在预设时间内再次超过预设风险阈值，则直本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于访问行为的访问权限管理方法，其特征在于，所述方法包括：接收用户的访问请求，并获取所述访问请求中携带的证书信息，所述证书信息包括用户信息及用户属性；在预设权限对应表中查找所述用户信息；当所述预设权限对应表中存在所述用户信息时，基于所述预设权限对应表确定所述用户在所述用户属性对应的用户组中的权限等级，向该用户展示所述权限等级对应的可访问资源，并基于预设行为模型对所述用户的访问行为进行监控，所述权限等级包括高等级、中等级、低等级；当所述预设权限对应表中不存在所述用户信息，则为所述用户分配动态初始权限，向该用户展示所述动态初始权限对应的可访问资源，并基于所述用户的访问行为对所述动态初始权限进行动态调整。2.如权利要求1所述的方法，其特征在于，基于预设行为模型对所述用户的访问行为进行监控，具体为：获取所述用户的历史访问数据，并对所述历史访问数据进行机器学习，得到所述预设行为模型；基于所述预设行为模型对所述用户的本次的访问行为数据进行监测；当本次的访问行为数据超过所述预设行为模型的预设风险阈值时，将所述用户标记为风险用户，并对所述风险用户进行风险分析，并基于风险分析结果调节所述用户的权限等级。3.如权利要求2所述的方法，其特征在于，对所述风险用户进行风险分析，并基于风险分析结果调节所述用户的权限等级，具体为：获取所述风险用户的访问地址及访问内容；与所述风险用户的访问地址申请通讯验证，并获取通讯验证结果；预先对可访问资源按照敏感度进行分类，并设置敏感度阈值，获取访问内容中超过敏感度阈值的访问数据，基于超过敏感度阈值的访问数据生成数据敏感度结果；基于所述通讯验证结果、数据敏感度结果及预设权重生成风险分析结果；当风险分析结果为高风险，且所述用户风险的权限等级不为低等级，则降低所述风险用户的权限等级；当风险分析结果为高风险，且若所述风险用户的权限等级为低等级时，则冻结所述风险用户的权限，禁止所述风险用户访问任何资源。4.如权利要求3所述的方法，其特征在于，所述方法还包括：对降低权限等级后的风险用户进行实时监测；若降低权限等级后的风险用户的访问行为数据在预设时间内再次超过预设风险阈值，则直接冻结所述风险用户的权限，禁止所述风险用户访问任何资源。5.如权利要求1所述的方法，其特征在于，当所述预设权限对应表中不存在所述用户信息，则为所述用户分配动态初始权限，向该用户展示所述动态初始权限对应的可访问资源，并基于所述用户的访问行为对所述动态初始权限进行动态调整，具体为：根据用户的访问属性将动态初始权限进行分类；当单一访问属性的访问行为次数达到第一访问次数阈值时，将该访问属性对应的权限
...

【专利技术属性】
技术研发人员：王厉行，秦子雄，
申请(专利权)人：华能宁夏能源有限公司，
类型：发明
国别省市：