Rbac权限体系中的角色优化方法和装置的制造方法

Rbac权限体系中的角色优化方法和装置的制造方法
【专利摘要】本申请实施例提供了一种RBAC权限体系中的角色优化方法及装置。该方法包括：计算指定角色中任两个角色之间的相似度；以所述指定角色中的其中一个角色为起点，依据角色之间相似度最大为遍历条件，在所述指定角色中进行有向图遍历；根据遍历结果确定相似角色；依据所述相似角色之间相同权限的集合及差异权限的集合，确定所述相似角色的优化角色。本申请实施例使得各角色之间的权限集合尽可能完全独立，并共同代表一个业务含义，从而减少了不同角色中出现权限相同或重叠的情况，进而减少了给用户分配角色不合理所导致的系统安全隐患问题。
【专利说明】
RBAC权限体系中的角色优化方法和装置
技术领域
[0001] 本申请设及访问控制技术领域，特别是设及一种RBAC权限体系中的角色优化方 法和一种RBAC权限体系中的角色优化装置。
【背景技术】
[0002] 权限是对一个或一组资源操作所需要具备的许可条件，用户是权限的拥有者，当 用户访问某一资源时，需要具有相应的权限。其中，资源是用户访问的对象，可W是网页 扣化资源）、敏感信息（数据资源）等。
[0003] 在RBAC(Role-BasedAccess Control,基于角色的访问控制）权限体系中，权限与 角色相关联，角色是权限的分配单位与载体，一个角色中包含了一个或多个权限，是某些权 限的集合，通过给用户赋予某一角色而使用户得到该角色的权限，运就极大地简化了权限 的管理。
[0004] 然而，随着时间的推移，需要基于权限控制的资源会越来越多，对应的权限也会越 来越多，角色也会越来越多，极易在不同角色中出现权限相同或重叠的情况。例如，当一个 新用户要求获得一个web网站的访问权限时，权限管理员可能会同时找到多个带有该权限 的角色，在运种情况下，就极有可能给用户分配一个权限集合较大的角色，增大了用户对于 该系统的访问权限，给了该用户可W进行越权操作的机会，进而给系统带来安全隐患。

【发明内容】
阳0化]本申请实施例所要解决的技术问题是提供一种RBAC权限体系中的角色优化方 法，能够减少不同角色中权限相同或重叠的情况。
[0006] 相应的，本申请实施例还提供了一种RBAC权限体系中的角色优化装置，用W保证 上述方法的实现及应用。
[0007] 为了解决上述问题，本申请公开了一种RBAC权限体系中的角色优化方法，包括：
[0008] 计算指定角色中任两个角色之间的相似度；
[0009] W所述指定角色中的其中一个角色为起点，依据角色之间相似度最大为遍历条 件，在所述指定角色中进行有向图遍历；
[0010] 根据遍历结果确定相似角色；
[0011] 依据所述相似角色之间相同权限的集合及差异权限的集合，确定所述相似角色的 优化角色。
[0012] 进一步，所述计算指定角色中任两个角色之间的相似度，包括：
[0013] 计算指定角色中任两个角色的权限集合之间的化ccard相似度，作为所述任两个 角色之间的相似度。
[0014] 进一步，在所述依据所述相似角色之间相同权限的集合及差异权限的集合，确定 所述相似角色的优化角色之前，所述方法还包括：
[0015] 判断所述相似角色之间的相似度是否大于或等于相似度阔值，若是，再依据所述 相似角色之间相同权限的集合及差异权限的集合，确定所述相似角色的优化角色。
[0016] 进一步，所述根据遍历结果确定相似角色，包括：
[0017] 若所述遍历结果为链式结果，则确定所述链式结果中位于第一位和第二位的角色 或者所述链式结果中相似度最高的两个角色为相似角色，其中，所述链式结果为在所述有 向图遍历中，所述指定角色遍历完毕后形成的角色间依次指向的结果。
[0018] 进一步，所述根据遍历结果确定相似角色，包括：
[0019] 若所述遍历结果为双子结果，则确定所述双子结果中相互指向的两个角色为相似 角色，其中，所述双子结果为在所述有向图遍历中，两个角色相互指向的结果。
[0020] 进一步，所述根据遍历结果确定相似角色，包括：
[0021] 若所述遍历结果为循环结果，则确定出循环指向的角色，其中，所述循环结果为在 所述有向图遍历中，多个角色循环指向的结果。
[0022] 将所述循环指向的角色中相似度最大的两个角色确定为相似角色。
[0023] 进一步，所述依据所述相似角色之间相同权限的集合及差异权限的集合，确定所 述相似角色的优化角色，包括：
[0024] 计算所述相似角色之间相同权限的集合及差异权限的集合；
[00巧]统计所述差异权限的集合中各权限的上线使用率；
[00%] 删除所述差异权限的集合中权限上线使用率低于预设使用率阔值的权限，获得最 终差异权限的集合；
[0027] 将所述相似角色之间相同权限的集合及所述最终差异权限的集合确定为所述优 化角色的权限集合。
[002引本申请还公开了一种RBAC权限体系中的角色优化装置，包括：
[0029] 计算单元，被配置为计算指定角色中任两个角色之间的相似度；
[0030] 遍历单元，被配置为W所述指定角色中的其中一个角色为起点，依据角色之间相 似度最大为遍历条件，在所述指定角色中进行有向图遍历；
[0031] 角色确定单元，被配置为根据遍历结果确定相似角色；
[0032] 优化单元，被配置为依据所述相似角色之间相同权限的集合及差异权限的集合， 确定所述相似角色的优化角色。
[0033] 进一步，所述装置还包括：
[0034] 判定单元，被配置为判断所述相似角色之间的相似度是否大于或等于相似度阔 值；
[0035] 所述优化单元，被配置为当所述判定单元判定所述相似角色之间的相似度大于或 等于相似度阔值时，依据所述相似角色之间相同权限的集合及差异权限的集合，确定所述 相似角色的优化角色确定优化角色。
[0036] 进一步，所述角色确定单元，具体被配置为若所述遍历结果为链式结果，则确定所 述链式结果中位于第一位和第二位的角色为相似角色，其中，所述链式结果为在所述有向 图遍历中，所述指定角色遍历完毕后形成的角色间依次指向的结果；若所述遍历结果为双 子结果，则确定所述双子结果中相互指向的两个角色为相似角色，其中，所述双子结果为在 所述有向图遍历中，两个角色相互指向的结果；若所述遍历结果为循环结果，则确定出循环 指向的角色，其中，所述循环结果为在所述有向图遍历中，多个角色循环指向的结果；将所 述循环指向的角色中相似度最大的两个角色确定为相似角色。 阳037] 进一步，所述优化单元包括：
[0038] 计算子单元，被配置为计算所述相似角色之间相同权限的集合及差异权限的集 合；
[0039] 统计子单元，被配置为统计所述差异权限的集合中各权限的上线使用率；
[0040] 删除子单元，被配置为删除所述差异权限的集合中权限上线使用率低于预设使用 率阔值的权限，获得最终差异权限的集合；
[0041] 确定子单元，被配置为将所述相似角色之间相同权限的集合及所述最终差异权限 的集合确定为所述优化角色的权限集合。
[0042] 与现有技术相比，本申请实施例包括W下优点：
[0043] 本申请实施例通过获得角色之间的相似度，依据角色之间相似度最大为遍历条件 进行角色遍历，在确定出需要进行优化的相似角色后，依据相似角色之间相同权限的集合 及差异权限的集合对相似角色进行优化，使得各角色之间的权限集合尽可能完全独立，并 共同代表一个业务含义，从而减少了不同角色中出现权限相同或重叠的情况，进而减少了 给用户分配角色不合理所导致的系统安全隐患问题。
【附图说明】
[0044] 图1是本申请的一种RBAC权限体系中的角色优化方法实施例的步骤流程图； W45] 图2是本申请的另一种RBAC权限体系中的角色优化方法实施例的步骤流程图；
[0046] 图3是本申请中的一种根据循环结果确定相似角色的方法实施例的步骤流程图；
[0047] 图4是本申请中的一种确定相似角色的优化角色的方法实施例的步骤流程图； W48]图5是本申请的一种RBAC权限体系中的角色优化装置实施例的结构框图； W例图6是本申请的另一种RBAC权限体系中的角色优化装置实施例的结构框图；
[0050] 图7是本申请中的一种优化单元的实施例的结构框图。
【具体实施方式】
[0051] 为使本申请的上述目的、特征和优点能够更加明显易懂，下面结合附图和具体实 施方式对本申请作进一步详细的说明。
[0052] 参照图1，示出了本申请的一种RBAC权限体系中的角色优化方法实施例的步骤流 程图，具体可W包括如下步骤：
[0053] 步骤101，计算指定角色中任两个角色之间的相似度。
[0054] 本步骤中，指定角色可W是RBAC权限体系下某系统的角色一权限关系表中所有 角色或部分需要优化的角色。两个角色之间的相似度可W依据两角色的权限集合来进行计 算，W计算jaccard相似度为例： 阳化引
[0056] 其中，J(A，B)是角色A与角色B之间的相似度，是角色A的权限集合与角色B的 权限集合的合集，除W角色A的权限集合与角色B的权限集合的并集。当A、B相互独立的 时候，相似度为0。当A与B的合集等于A与B的并集的时候，相似度为100%。
[0057] 在获得指定角色中任一角色与其它角色之间的相似度后，可将所获得的角色之间 的相似度加入相似度列表中，W便于后续查询。
[0058] 步骤102, W指定角色中的其中一个角色为起点，依据角色之间相似度最大为遍历 条件，在指定角色中进行有向图遍历。
[0059] 本步骤中可W在指定角色中任意选一个角色作为起点，也可W根据需要或预置规 则在指定角色中选择一个角色作为起点，此处不做限定。
[0060] 在选定作为起点的角色后，可W依据相似度列表，选择与其相似度最大的角色作 为该起点角色指向的角色，然后再选择与该指向的角色相似度最大的角色作为下一个指向 的角色，依次递归循环，依据角色之间相似度最大为遍历条件，在指定角色中进行有向图遍 历，获得遍历结果。例如，1 一 2 - 3 -.......
[0061] 遍历结果可能有多种，例如遍历结果为链式结果，或双子结果，或循环结果。
[0062] 其中，链式结果为在有向图遍历中，指定角色遍历完毕后形成的角色间依次指向 的结果。例如，遍历顺序是：1 一 2 - 3 - 4,一次性完成所有指定角色的遍历，该结果中不 存在重复的角色。 W63] 双子结果为在有向图遍历中，两个角色相互指向的结果。例如，角色 1 一 2 - 3 - 2 - 3,其中，角色2、3相互指向。 W64] 循环结果为在有向图遍历中，多个角色循环指向的结果。例如，角色 1 一 2 - 3 - 4 一 2 - 3 - 4,其中，角色2、3、4循环指向。 阳0化]步骤103,根据遍历结果确定相似角色。
[0066] 上步骤获得的遍历结果后，本步骤即可根据遍历结果确定需要进行优化的角色， 记为相似角色。
[0067] 对于链式结果，可W将链式结果中位于第一位和第二位的角色作为相似角色，例 如1 一 2 - 3 - 4 一 5 - 6中的角色1、2 ;或者将链式结果中相似度最高的两个角色为相 似角色，例如1 一 2 - 3 - 4 一 5 - 6中的角色3、4。
[0068] 对于双子结果，可W将双子结果中相互指向的两个角色为相似角色，例如， 1一2 - 3 - 2 - 3 中的角色 2>3〇
[0069] 对于循环结果，可W将循环指向的角色中所有或部分角色作为相似角色，例如， 1 一 2 - 3 - 4 一 2 - 3 - 4中的角色2、3、4或角色2、3等。
[0070] 步骤104,依据相似角色之间相同权限的集合及差异权限的集合，确定相似角色的 优化角色。
[0071] 本步骤中，可W获得相似角色之间的相同权限的集合及差异权限的集合，然后根 据运些集合确定出对相似角色优化后的优化角色。具体的，可W直接将相似角色之间的相 同权限的集合及差异权限的集合作为优化角色的权限集合，也可W对该相同权限的集合及 差异权限的集合分别进行一定的权限筛选后，最终确定为优化角色的权限集合。
[0072] 该优化角色中的权限集合更加倾向于相互独立，角色之间的相似度降低。
[0073] 上述步骤101~104可W重复执行，直至所有需要优化的角色优化完成。
[0074] 本申请实施例通过获得角色之间的相似度，依据角色之间相似度最大为遍历条件 进行角色遍历，在确定出需要进行优化的相似角色后，依据相似角色之间相同权限的集合 及差异权限的集合对相似角色进行优化，使得各角色之间的权限集合尽可能完全独立，并 共同代表一个业务含义，从而减少了不同角色中出现权限相同或重叠的情况，进而减少了 给用户分配角色不合理所导致的系统安全隐患问题。
[00巧]参照图2,示出了本申请的另一种RBAC权限体系中的角色优化方法实施例的步骤 流程图，具体可W包括如下步骤：
[0076] 步骤201，计算指定角色中任两个角色之间的相似度。
[0077] 步骤202, W指定角色中的其中一个角色为起点，依据角色之间相似度最大为遍历 条件，在指定角色中进行有向图遍历。
[0078] 步骤201~202与前述实施例类似。
[0079] 在本步骤中，例如，W角色1作为起点，依据相似度列表，选择与其相似度最大的 角色2作为该角色1指向的角色，即1 一 2,然后再选择与该角色2相似度最大的角色3作 为下一个指向的角色，即1 一 2 - 3,依次递归循环，依据角色之间相似度最大为遍历条件， 在指定角色中进行有向图遍历，获得遍历结果。本实施例中，在每获得一个相似度最大的角 色后，也即在该链表1 一 2 - 3 -......中每加入一个角色时，都可W检测一下该链表中是 否存在循环的角色，例如1 一 2 - 3 - 2 - 3,1 一 2 - 3 - 4 一 2 - 3 - 4等，如果存在， 则将该循环的角色如2、3或2、3、4存放至高相似度角色列表中，如果在整个遍历过程中不 存在循环的角色，则完成有向图遍历后，即可获得整个遍历出来的链表。
[0080] 步骤203,根据遍历结果确定相似角色。
[0081] 本步骤中，根据链式结果及双子结果确定相似角色的方法与前述实施例中的步骤 103类似。在本实施例中，根据循环结果确定相似角色时，如图3所示，可W进一步包括：
[0082] 步骤301，若遍历结果为循环结果，则确定出循环指向的角色，其中，循环结果为在 有向图遍历中，多个角色循环指向的结果。
[0083] 例如，遍历结果为1 一 2 - 3 - 4 一 2 - 3 - 4,则循环指向的角色即为2、3、4。
[0084] 步骤302,将循环指向的角色中相似度最大的两个角色确定为相似角色。
[0085] 在对Ξ个或Ξ个W上角色同时进行优化时，由于复杂度较高，所W在本步骤中，可 W先从中选择两个相似角色进行优化，后续可W通过重复优化步骤来进行逐步优化，从而 降低角色优化的复杂度。
[0086] 例如，循环指向的角色2、3、4中3、4相似度最大，则将角色3、4确定为相似角色。
[0087] 步骤204,判断相似角色之间的相似度是否大于或等于相似度阔值。
[0088] 本实施例中，在确定出相似角色后，还要进一步判断相似角色之间的相似度是否 大于或等于预设相似度阔值，若是，则转入步骤205进行优化，若否，则无需优化。
[0089] 不同的遍历结果可W对应不同的预设相似度阔值，该相似度阔值可W根据需要设 置和变更。
[0090] 步骤205,依据相似角色之间相同权限的集合及差异权限的集合，确定相似角色的 优化角色。
[0091] 本步骤中，确定优化角色的过程，如图4所示，可W进一步包括：
[0092] 步骤401，计算相似角色之间相同权限的集合及差异权限的集合。
[0093] 例如，相似角色1的权限集合为A、B、C，相似角色2的权限集合为A、B、D、E，则相 似角色1、2之间的相同权限的集合即为A、B，差异权限的集合为C、D、E。
[0094] 步骤402,统计差异权限的集合中各权限的上线使用率。
[0095] 本步骤具体可W统计预定时间段内各权限的上线使用率，例如差异权限集合中C、 D、E在近一个月内的上线使用率为C :0, D :5, E :10。
[0096] 步骤403,删除差异权限的集合中权限上线使用率低于预设使用率阔值的权限，获 得最终差异权限的集合。
[0097] 该使用率阔值可W根据需要设置，可W随时变更。例如，该使用率阔值为1，则可W 将差异权限集合中的权限C删除。
[0098] 步骤404,将相似角色之间相同权限的集合及最终差异权限的集合确定为优化角 色的权限集合。
[0099] 相同权限的集合及最终差异权限的集合即可作为相似角色1、2优化后的优化角 色的权限集合。例如，优化角色Γ的权限集合为（A、B)，替代相似角色1;优化角色2'的权 限集合为值、E)，替代相似角色2。
[0100] 在获得优化角色后，本实施例还可W重复执行步骤201~205,尤其是对于上述步 骤302中循环指向角色中其它相似度较高的角色，直至相似角色之间的相似度小于相似度 阔值，无需进行优化。 阳101] 通过循环上述优化步骤可W逐渐降低角色之间的相似度，使得各角色之间的权限 集合尽可能完全独立。 阳102] 在收回用户的原角色并重新分配优化角色时，需要保持用户的权限不变。 阳103] 需要说明的是，对于方法实施例，为了简单描述，故将其都表述为一系列的动作组 合，但是本领域技术人员应该知悉，本申请实施例并不受所描述的动作顺序的限制，因为依 据本申请实施例，某些步骤可W采用其他顺序或者同时进行。其次，本领域技术人员也应该 知悉，说明书中所描述的实施例均属于优选实施例，所设及的动作并不一定是本申请实施 例所必须的。
[0104] 参照图5,示出了本申请一种RBAC权限体系中的角色优化装置实施例的结构框 图，具体可W包括如下单元： 阳105] 计算单元501，被配置为计算指定角色中任两个角色之间的相似度。 阳106] 遍历单元502,被配置为W所述指定角色中的其中一个角色为起点，依据角色之间 相似度最大为遍历条件，在所述指定角色中进行有向图遍历。 阳107] 角色确定单元503,被配置为根据遍历结果确定相似角色。
[0108] 优化单元504,被配置为依据所述相似角色之间相同权限的集合及差异权限的集 合，确定所述相似角色的优化角色。
[0109] 本申请实施例通过上述单元获得角色之间的相似度，依据角色之间相似度最大为 遍历条件进行角色遍历，在确定出需要进行优化的相似角色后，依据相似角色之间相同权 限的集合及差异权限的集合对相似角色进行优化，使得各角色之间的权限集合尽可能完全 独立，并共同代表一个业务含义，从而减少了不同角色中出现权限相同或重叠的情况，进而 减少了给用户分配角色不合理所导致的系统安全隐患问题。
[0110] 另一实施例中，计算单元501，可W具体被配置为计算指定角色中任两个角色的权 限集合之间的化ccard相似度，作为所述任两个角色之间的相似度。
[01川在本申请另一实施例中，如图6所示，该装置还可W包括：
[0112] 判定单元601，被配置为判断所述相似角色之间的相似度是否大于或等于相似度 阔值。
[0113] 优化单元504,被配置为当所述判定单元601判定所述相似角色之间的相似度大 于或等于相似度阔值时，依据所述相似角色之间相同权限的集合及差异权限的集合，确定 所述相似角色的优化角色确定优化角色。
[0114] 另一实施例中，角色确定单元503,具体被配置为若所述遍历结果为链式结果，贝U 确定所述链式结果中位于第一位和第二位的角色为相似角色，其中，所述链式结果为在所 述有向图遍历中，所述指定角色遍历完毕后形成的角色间依次指向的结果；若所述遍历结 果为双子结果，则确定所述双子结果中相互指向的两个角色为相似角色，其中，所述双子结 果为在所述有向图遍历中，两个角色相互指向的结果；若所述遍历结果为循环结果，则确 定出循环指向的角色，其中，所述循环结果为在所述有向图遍历中，多个角色循环指向的结 果；将所述循环指向的角色中相似度最大的两个角色确定为相似角色。
[0115] 在另一实施例中，如图7所示，优化单元504可W进一步包括：
[0116] 计算子单元701，被配置为计算所述相似角色之间相同权限的集合及差异权限的 集合。
[0117] 统计子单元702,被配置为统计所述差异权限的集合中各权限的上线使用率。
[0118] 删除子单元703,被配置为删除所述差异权限的集合中权限上线使用率低于预设 使用率阔值的权限，获得最终差异权限的集合。
[0119] 确定子单元704,被配置为将所述相似角色之间相同权限的集合及所述最终差异 权限的集合确定为所述优化角色的权限集合。
[0120] 本申请实施例还提供了 一种电子设备，包括存储器和处理器。 阳121] 处理器与存储器通过总线相互连接；总线可W是ISA总线、PCI总线或EISA总线 等。所述总线可W分为地址总线、数据总线、控制总线等。
[0122] 其中，存储器用于存储一段程序，具体地，程序可W包括程序代码，所述程序代码 包括计算机操作指令。存储器可能包含高速RAM存储器，也可能还包括非易失性存储器 (non-volatile memoir)，例如至少一个磁盘存储器。 阳123] 处理器用于读取存储器中的程序代码，执行W下步骤：
[0124] 计算指定角色中任两个角色之间的相似度；
[01巧]W所述指定角色中的其中一个角色为起点，依据角色之间相似度最大为遍历条 件，在所述指定角色中进行有向图遍历； 阳126] 根据遍历结果确定相似角色；
[0127] 依据所述相似角色之间相同权限的集合及差异权限的集合，确定所述相似角色的 优化角色。
[0128] 对于装置实施例而言，由于其与方法实施例基本相似，所W描述的比较简单，相关 之处参见方法实施例的部分说明即可。
[0129] 本说明书中的各个实施例均采用递进的方式描述，每个实施例重点说明的都是与 其他实施例的不同之处，各个实施例之间相同相似的部分互相参见即可。
[0130] 本领域内的技术人员应明白，本申请实施例的实施例可提供为方法、装置、或计算 机程序产品。因此，本申请实施例可采用完全硬件实施例、完全软件实施例、或结合软件和 硬件方面的实施例的形式。而且，本申请实施例可采用在一个或多个其中包含有计算机可 用程序代码的计算机可用存储介质（包括但不限于磁盘存储器、CD-ROM、光学存储器等）上 实施的计算机程序产品的形式。 阳131] 在一个典型的配置中，所述计算机设备包括一个或多个处理器（CPU)、输入/输出 接口、网络接口和内存。内存可能包括计算机可读介质中的非永久性存储器，随机存取存储 器（RAM)和/或非易失性内存等形式，如只读存储器（ROM)或闪存（flash RAM)。内存是 计算机可读介质的示例。计算机可读介质包括永久性和非永久性、可移动和非可移动媒体 可W由任何方法或技术来实现信息存储。信息可W是计算机可读指令、数据结构、程序的模 块或其他数据。计算机的存储介质的例子包括，但不限于相变内存（PRAM)、静态随机存取 存储器（SRAM)、动态随机存取存储器值RAM)、其他类型的随机存取存储器（RAM)、只读存储 器（ROM)、电可擦除可编程只读存储器巧EPROM)、快闪记忆体或其他内存技术、只读光盘只 读存储器（CD-ROM)、数字多功能光盘值VD)或其他光学存储、磁盒式磁带，磁带磁磁盘存储 或其他磁性存储设备或任何其他非传输介质，可用于存储可W被计算设备访问的信息。按 照本文中的界定，计算机可读介质不包括非持续性的电脑可读媒体（transitory media)， 如调制的数据信号和载波。 阳132] 本申请实施例是参照根据本申请实施例的方法、终端设备（系统）、和计算机程序 产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框 图中的每一流程和/或方框、W及流程图和/或方框图中的流程和/或方框的结合。可提 供运些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理 终端设备的处理器W产生一个机器，使得通过计算机或其他可编程数据处理终端设备的处 理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多 个方框中指定的功能的装置。
[0133] 运些计算机程序指令也可存储在能引导计算机或其他可编程数据处理终端设备 W特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包 括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方 框或多个方框中指定的功能。
[0134] 运些计算机程序指令也可装载到计算机或其他可编程数据处理终端设备上，使得 在计算机或其他可编程终端设备上执行一系列操作步骤W产生计算机实现的处理，从而在 计算机或其他可编程终端设备上执行的指令提供用于实现在流程图一个流程或多个流程 和/或方框图一个方框或多个方框中指定的功能的步骤。
[0135] 尽管已描述了本申请实施例的优选实施例，但本领域内的技术人员一旦得知了基 本创造性概念，则可对运些实施例做出另外的变更和修改。所W，所附权利要求意欲解释为 包括优选实施例W及落入本申请实施例范围的所有变更和修改。
[0136] 最后，还需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将 一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示运些实体或操作 之间存在任何运种实际的关系或者顺序。而且，术语"包括"、"包含"或者其任何其他变体 意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者终端设备不仅 包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为运种过程、方法、物 品或者终端设备所固有的要素。在没有更多限制的情况下，由语句"包括一个......"限定 的要素，并不排除在包括所述要素的过程、方法、物品或者终端设备中还存在另外的相同要 素。 阳137] W上对本申请所提供的一种RBAC权限体系中的角色优化方法和一种RBAC权限体 系中的角色优化装置，进行了详细介绍，本文中应用了具体个例对本申请的原理及实施方 式进行了阐述，W上实施例的说明只是用于帮助理解本申请的方法及其核屯、思想；同时，对 于本领域的一般技术人员，依据本申请的思想，在【具体实施方式】及应用范围上均会有改变 之处，综上所述，本说明书内容不应理解为对本申请的限制。
【主权项】
1. 一种RBAC权限体系中的角色优化方法，其特征在于，包括： 计算指定角色中任两个角色之间的相似度； 以所述指定角色中的其中一个角色为起点，依据角色之间相似度最大为遍历条件，在 所述指定角色中进行有向图遍历； 根据遍历结果确定相似角色； 依据所述相似角色之间相同权限的集合及差异权限的集合，确定所述相似角色的优化 角色。2. 根据权利要求1所述的方法，其特征在于，所述计算指定角色中任两个角色之间的 相似度，包括： 计算指定角色中任两个角色的权限集合之间的Jaccard相似度，作为所述任两个角色 之间的相似度。3. 根据权利要求1所述的方法，其特征在于，在所述依据所述相似角色之间相同权限 的集合及差异权限的集合，确定所述相似角色的优化角色之前，所述方法还包括： 判断所述相似角色之间的相似度是否大于或等于相似度阈值，若是，再依据所述相似 角色之间相同权限的集合及差异权限的集合，确定所述相似角色的优化角色。4. 根据权利要求1所述的方法，其特征在于，所述根据遍历结果确定相似角色，包括： 若所述遍历结果为链式结果，则确定所述链式结果中位于第一位和第二位的角色或者 所述链式结果中相似度最高的两个角色为相似角色，其中，所述链式结果为在所述有向图 遍历中，所述指定角色遍历完毕后形成的角色间依次指向的结果。5. 根据权利要求1所述的方法，其特征在于，所述根据遍历结果确定相似角色，包括： 若所述遍历结果为双子结果，则确定所述双子结果中相互指向的两个角色为相似角 色，其中，所述双子结果为在所述有向图遍历中，两个角色相互指向的结果。6. 根据权利要求1所述的方法，其特征在于，所述根据遍历结果确定相似角色，包括： 若所述遍历结果为循环结果，则确定出循环指向的角色，其中，所述循环结果为在所述 有向图遍历中，多个角色循环指向的结果。 将所述循环指向的角色中相似度最大的两个角色确定为相似角色。7. 根据权利要求1至6中任意一项所述的方法，其特征在于，所述依据所述相似角色之 间相同权限的集合及差异权限的集合，确定所述相似角色的优化角色，包括： 计算所述相似角色之间相同权限的集合及差异权限的集合； 统计所述差异权限的集合中各权限的上线使用率； 删除所述差异权限的集合中权限上线使用率低于预设使用率阈值的权限，获得最终差 异权限的集合； 将所述相似角色之间相同权限的集合及所述最终差异权限的集合确定为所述优化角 色的权限集合。8. -种RBAC权限体系中的角色优化装置，其特征在于，包括： 计算单元，被配置为计算指定角色中任两个角色之间的相似度； 遍历单元，被配置为以所述指定角色中的其中一个角色为起点，依据角色之间相似度 最大为遍历条件，在所述指定角色中进行有向图遍历； 角色确定单元，被配置为根据遍历结果确定相似角色； 优化单元，被配置为依据所述相似角色之间相同权限的集合及差异权限的集合，确定 所述相似角色的优化角色。9. 根据权利要求8所述的装置，其特征在于，所述装置还包括： 判定单元，被配置为判断所述相似角色之间的相似度是否大于或等于相似度阈值； 所述优化单元，被配置为当所述判定单元判定所述相似角色之间的相似度大于或等于 相似度阈值时，依据所述相似角色之间相同权限的集合及差异权限的集合，确定所述相似 角色的优化角色确定优化角色。10. 根据权利要求8所述的装置，其特征在于， 所述角色确定单元，具体被配置为若所述遍历结果为链式结果，则确定所述链式结果 中位于第一位和第二位的角色为相似角色，其中，所述链式结果为在所述有向图遍历中，所 述指定角色遍历完毕后形成的角色间依次指向的结果；若所述遍历结果为双子结果，则确 定所述双子结果中相互指向的两个角色为相似角色，其中，所述双子结果为在所述有向图 遍历中，两个角色相互指向的结果；若所述遍历结果为循环结果，则确定出循环指向的角 色，其中，所述循环结果为在所述有向图遍历中，多个角色循环指向的结果；将所述循环指 向的角色中相似度最大的两个角色确定为相似角色。11. 根据权利要求8至10中任意一项所述的装置，其特征在于，所述优化单元包括： 计算子单元，被配置为计算所述相似角色之间相同权限的集合及差异权限的集合； 统计子单元，被配置为统计所述差异权限的集合中各权限的上线使用率； 删除子单元，被配置为删除所述差异权限的集合中权限上线使用率低于预设使用率阈 值的权限，获得最终差异权限的集合； 确定子单元，被配置为将所述相似角色之间相同权限的集合及所述最终差异权限的集 合确定为所述优化角色的权限集合。
【文档编号】G06F21/45GK105989276SQ201510076610
【公开日】2016年10月5日
【申请日】2015年2月12日
【发明人】张翔
【申请人】阿里巴巴集团控股有限公司