角色授权方法、装置、计算机设备和存储介质与流程

1.本技术涉及用户权限分配领域，特别是涉及一种角色授权方法、装置、计算机设备和存储介质。


背景技术：

2.基于角色的访问控制rbac(role based access control)通过权限授予人员预先将权限集合以角色的形式进行管理和组织，每个角色对应一个全部权限的子集，采用给用户分配角色的方式将权限子集分配给用户；现有的许多针对rbac的自动授权方法是对系统中已经存在的授权数据采用聚类算法，输出角色与权限的关联、用户与角色的关联。因此，该自动授权方法在新用户没有授权数据的情况下，无法进行新用户与角色关联的挖掘，从而无法实现对新用户的授权。
3.传统技术中，针对新用户的权限授权，通过由权限授予人员为用户手动分配相应的权限，或者指定相应的角色，实现对新用户的授权。
4.然而，随着数据的不断增多，权限与角色的数量也不断增加，由于系统中角色较多，因此，权限授予人员手动分配给新用户适合的角色的难度较大。


技术实现要素：

5.基于此，有必要针对上述技术问题，提供一种能够降低权限授予人员角色分配难度的角色授权方法、装置、计算机设备和存储介质。
6.第一方面，提供了一种角色授权方法，该方法包括：
7.根据待授权的目标用户对模拟业务环境中权限的使用状况，获取该目标用户的权限使用特征信息；根据不同角色的用户对真实业务环境中权限的使用状况，获取各角色的权限使用特征信息；分别获取该目标用户的权限使用特征信息与各角色的权限使用特征信息之间的相似度，并根据获取到的相似度确定待授予该目标用户的角色。
8.在其中一个实施例中，根据待授权的目标用户对模拟业务环境中权限的使用状况，获取该目标用户的权限使用特征信息，包括：
9.获取该目标用户对该模拟业务环境中各个权限的使用次数；根据该目标用户对该模拟业务环境中各个权限的使用次数，生成该目标用户的第一权限使用向量；其中，该第一权限使用向量包括与该模拟业务环境中的多个权限一一对应的多个第一向量元素，各第一向量元素为该目标用户使用对应的权限的次数。
10.在其中一个实施例中，获取该目标用户对该模拟业务环境中各个权限的使用次数之前，该方法还包括：
11.在该目标用户使用该模拟业务环境中的某权限之后，生成该目标用户的标识以及被使用的某权限的标识的对应关系，并将生成的对应关系存储至权限使用数据库中；对应地，该获取该目标用户对该模拟业务环境中各个权限的使用次数，包括：从该权限使用数据库中获取与该目标用户相关联的对应关系，并根据获取到的对应关系确定该目标用户对该
模拟业务环境中各个权限的使用次数。
12.在其中一个实施例中，根据不同角色的用户对真实业务环境中权限的使用状况，获取各角色的权限使用特征信息，包括：
13.对于各角色，获取角色的用户对该真实业务环境中各个权限的使用次数，并根据获取到的使用次数生成该角色的第二权限使用向量；其中，该第二权限使用向量包括与该真实业务环境中的多个权限一一对应的多个第二向量元素，各第二向量元素为该角色的用户使用对应的权限的次数。
14.在其中一个实施例中，获取该角色的用户对该真实业务环境中各个权限的使用次数之前，该方法还包括：
15.在该角色的用户使用该真实业务环境中的某权限之后，生成该角色的标识以及被使用的某权限的标识的对应关系，并将生成的对应关系存储至权限使用数据库中；对应地，该获取该角色的用户对该真实业务环境中各个权限的使用次数，包括：从该权限使用数据库中获取与该角色相关联的对应关系，并根据获取到的对应关系确定该角色的用户对该真实业务环境中各个权限的使用次数。
16.在其中一个实施例中，分别获取该目标用户的权限使用特征信息与各角色的权限使用特征信息之间的相似度，包括：分别获取该第一权限使用向量与各第二权限使用向量之间的距离。
17.在其中一个实施例中，分别获取该第一权限使用向量与各第二权限使用向量之间的距离，包括：
18.对该第一权限使用向量进行标准化处理，得到第一标准向量，该第一标准向量中各向量元素的和为目标值；对各第二权限使用向量进行标准化处理，得到多个第二标准向量，该第二标准向量中各向量元素的和为该目标值；分别获取该第一标准向量与各第二标准向量之间的距离。
19.在其中一个实施例中，根据获取到的相似度确定待授予该目标用户的角色，包括：将最小的k个距离对应的该第二权限使用向量所对应的角色作为候选角色，该候选角色用于供权限授予人员从该候选角色中确定待授予该目标用户的角色，k为正整数。
20.第二方面，提供了一种角色授权装置，该装置包括：
21.第一获取模块，用于根据待授权的目标用户对模拟业务环境中权限的使用状况，获取所述目标用户的权限使用特征信息；第二获取模块，用于根据不同角色的用户对真实业务环境中权限的使用状况，获取各所述角色的权限使用特征信息；第三获取模块，用于分别获取所述目标用户的权限使用特征信息与各所述角色的权限使用特征信息之间的相似度，并根据获取到的相似度确定待授予所述目标用户的角色。
22.在其中一个实施例中，该第一获取模块，具体用于：
23.获取该目标用户对该模拟业务环境中各个权限的使用次数；根据该目标用户对该模拟业务环境中各个权限的使用次数，生成该目标用户的第一权限使用向量；其中，该第一权限使用向量包括与该模拟业务环境中的多个权限一一对应的多个第一向量元素，各第一向量元素为该目标用户使用对应的权限的次数。
24.在其中一个实施例中，该装置还包括：
25.第一关系生成模块，用于在该目标用户使用该模拟业务环境中的某权限之后，生
成该目标用户的标识以及被使用的某权限的标识的对应关系，并将生成的对应关系存储至权限使用数据库中；对应地，该获取该目标用户对该模拟业务环境中各个权限的使用次数，包括：从该权限使用数据库中获取与该目标用户相关联的对应关系，并根据获取到的对应关系确定该目标用户对该模拟业务环境中各个权限的使用次数。
26.在其中一个实施例中，该第二获取模块，具体用于：
27.对于各角色，获取该角色的用户对该真实业务环境中各个权限的使用次数，并根据获取到的使用次数生成该角色的第二权限使用向量；其中，该第二权限使用向量包括与该真实业务环境中的多个权限一一对应的多个第二向量元素，各第二向量元素为该角色的用户使用对应的权限的次数。
28.在其中一个实施例中，该装置还包括：
29.第二关系生成模块，用于在该角色的用户使用该真实业务环境中的某权限之后，生成该角色的标识以及被使用的某权限的标识的对应关系，并将生成的对应关系存储至权限使用数据库中；对应地，该获取该角色的用户对该真实业务环境中各个权限的使用次数，包括：从该权限使用数据库中获取与该角色相关联的对应关系，并根据获取到的对应关系确定该角色的用户对该真实业务环境中各个权限的使用次数。
30.在其中一个实施例中，该第三获取模块，具体用于：分别获取该第一权限使用向量与各第二权限使用向量之间的距离。
31.在其中一个实施例中，该第三获取模块，具体用于：对该第一权限使用向量进行标准化处理，得到第一标准向量，该第一标准向量中各向量元素的和为目标值；对各第二权限使用向量进行标准化处理，得到多个第二标准向量，该第二标准向量中各向量元素的和为该目标值；分别获取该第一标准向量与各第二标准向量之间的距离。
32.在其中一个实施例中，该第三获取模块，具体用于：将最小的k个距离对应的该第二权限使用向量所对应的角色作为候选角色，该候选角色用于供权限授予人员从该候选角色中确定待授予该目标用户的角色，k为正整数。
33.第三方面，提供了一种计算机设备，包括存储器和处理器，该存储器存储有计算机程序，该处理器执行计算机程序时实现上述第一方面任一项所述的方法的步骤。
34.第四方面，提供了一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现上述第一方面中任一项所述的方法的步骤。
35.上述角色授权方法、装置、计算机设备和存储介质，根据待授权的目标用户对模拟业务环境中权限的使用状况，获取该目标用户的权限使用特征信息，即针对新用户在模拟业务环境中权限的使用情况，可以获取到新用户的权限使用特征信息；根据不同角色的用户对真实业务环境中权限的使用状况，获取各角色的权限使用特征信息，即获取到的各角色的权限使用特征信息是关于真实业务环境中已有用户基于不同角色对各权限的使用情况；通过分别获取该目标用户的权限使用特征信息与各角色的权限使用特征信息之间的相似度，并根据获取到的相似度确定待授予该目标用户的角色，对于新用户来说，即可以得到新用户使用权限情况与各个角色使用权限情况的相似度，权限授予人员根据该相似度确定授予新用户的角色，大大降低了权限授予人员分配给新用户适合的角色的难度。
附图说明
36.图1为本技术实施例提供的一种角色授权方法的流程图；
37.图2为本技术实施例提供的一种获取目标用户的权限使用特征信息的流程图；
38.图3为本技术实施例提供的一种获取各角色的权限使用特征信息的流程图；
39.图4为本技术实施例提供的一种获取向量距离的流程图；
40.图5为本技术实施例提供的一种新用户授权的流程图；
41.图6为本技术实施例提供的一种角色授权装置的示意图；
42.图7为本技术实施例提供的第二种角色授权装置的示意图；
43.图8为本技术实施例提供的第三种角色授权装置的示意图；
44.图9为本技术实施例提供的一种计算机设备框图。
具体实施方式
45.为了使本技术的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本技术进行进一步详细说明。应当理解，此处描述的具体实施例仅仅用以解释本技术，并不用于限定本技术。
46.基于角色的访问控制rbac(role based access control)对系统操作的各种权限不是直接授予具体的用户，而是在用户集合与权限集合之间建立一个角色集合，每一种角色对应一组相应的权限，一旦用户被分配了适当的角色后，该用户就拥有此角色的所有操作权限，这样将简化用户的权限管理，减少系统的开销，极大提高了权限管理的效率，因此，现已被广泛应用于企业的信息系统权限管理中，并且，现在已有了基于rbac的自动授权方法，其主要是对系统中已经存在的授权数据采用聚类算法，输出角色与权限的关联、用户与角色的关联。但是，该自动授权方法只能针对有授权数据的已有用户，而在新用户没有授权数据的情况下，无法进行新用户与角色关联的挖掘，从而无法实现对新用户的授权。
47.相关技术中，针对新用户的权限授权，通过由权限授予人员为新用户手动分配相应的权限，或者指定相应的角色，实现对新用户的授权。
48.然而，随着大数据时代的到来，信息系统的规模越来越大，参与的用户构成也越来越复杂，权限与角色的数量也不断增加，由于系统中角色较多，因此，权限授予人员手动分配给新用户适合的角色的难度较大。
49.本技术实施例中，如图1所示，其示出了本技术实施例提供的一种角色授权方法的流程图，本实施例以该方法应用于终端进行举例说明，可以理解的是，该方法也可以应用于服务器，还可以应用于包括终端和服务器的系统，并通过终端和服务器的交互实现。本实施例中，该方法包括以下步骤：
50.步骤101，根据待授权的目标用户对模拟业务环境中权限的使用状况，获取该目标用户的权限使用特征信息。
51.其中，对于一个业务系统中新加入的用户，需要对该用户进行授权，才能使该用户在业务系统中进行相应的操作，将该需要授权的新用户作为待授权的目标用户；一般对于没有任何操作经验的新员工，对其进行相关业务培训不可能直接在面向实际业务的真实业务系统进行技能培训，因为可能会因为经验不足导致影响相关业务，因此，需要搭建与该真实业务系统操作环境相同的模拟业务环境，该模拟业务环境与真实业务环境是相互独立
的，可选的，该模拟业务环境相比于真实业务环境，可以规模更小，数据都是伪造的，所包含的权限与真实业务环境中的权限相同，但是没有权限控制，以便于目标用户学习使用相关的业务逻辑；待授权的目标用户在模拟业务环境中进行相关业务的培训操作，该培训的操作，一定是基于各种相关的权限在进行操作，在培训过程中，将目标用户对于各个权限的使用情况进行记录，即目标用户对模拟业务环境中权限的使用状况，根据该权限使用情况的记录，得到该目标用户的权限使用特征信息，可选的，该权限使用特征信息是关于目标用户对于各个权限的使用次数的信息。
52.步骤102，根据不同角色的用户对真实业务环境中权限的使用状况，获取各角色的权限使用特征信息。
53.其中，可以在面向实际业务的真实业务系统中直接进行相关业务操作的用户为已经有相关权限授权的已有用户，真实业务环境中包含多个角色，每个角色对应相应的多个权限，已有用户被分配不同的角色，从而可以使用所分配的角色所对应的各个权限，不同角色的用户即指不同的角色被分配给各个已有用户，从而使用角色对应的权限；这些已有用户基于所分配的角色所对应的权限，在真实业务环境中进行相关业务的操作，每一角色对应的某一权限被已有用户使用后，将该角色与该权限进行记录，对于每一权限，将其被使用的情况进行记录，得到多个角色对应的权限的使用情况，将每一个角色被在真实业务环境中使用的所有权限的使用情况进行记录，从而得到不同角色的用户对真实环境中权限的使用状况，即得到多个角色的权限使用特征信息；可选的，各角色的权限使用特征信息是关于已有用户基于角色对于各个权限的使用次数的信息。
54.步骤103，分别获取该目标用户的权限使用特征信息与各角色的权限使用特征信息之间的相似度，并根据获取到的相似度确定待授予该目标用户的角色。
55.其中，若需要对目标用户进行合适的授权，那么将与目标用户权限使用状况最接近的角色授予给目标用户最合适，因此，将上述目标用户的权限使用特征信息与上述得到的每一角色的权限使用特征信息进行相似度的计算，得到多个相似度值，各个相似度值代表了相关角色与目标用户权限使用状况的接近程度，根据该多个相似度值，可以将最接近的一个或多个角色分配给目标用户，从而使得目标用户可以使用所分配的角色所对应的权限，实现对目标用户的授权。
56.上述角色授权方法中，根据待授权的目标用户对模拟业务环境中权限的使用状况，获取该目标用户的权限使用特征信息，即针对新用户在模拟业务环境中权限的使用情况，可以获取到新用户的权限使用特征信息；根据不同角色的用户对真实业务环境中权限的使用状况，获取各角色的权限使用特征信息，即获取到的各角色的权限使用特征信息是关于真实业务环境中已有用户基于不同角色对各权限的使用情况；通过分别获取该目标用户的权限使用特征信息与各角色的权限使用特征信息之间的相似度，并根据获取到的相似度确定待授予该目标用户的角色，对于新用户来说，即可以得到新用户使用权限情况与各个角色使用权限情况的相似度，权限授予人员根据该相似度确定授予新用户的角色，大大降低了权限授予人员分配给新用户适合的角色的难度。
57.本技术实施例中，该方法还包括：在该目标用户使用该模拟业务环境中的某权限之后，生成该目标用户的标识以及被使用的某权限的标识的对应关系，并将生成的对应关系存储至权限使用数据库中；从该权限使用数据库中获取与该目标用户相关联的对应关
系，并根据获取到的对应关系确定该目标用户对该模拟业务环境中各个权限的使用次数。
58.其中，在模拟业务环境中，每一权限被分配相应的id用于标识各个权限，某一权限被用户调用使用，其所对应的权限id即被使用的某权限的标识；每一新加入的用户都被分配相应的id，该新用户被作为目标用户，则该新用户的用户id即为该目标用户的标识；目标用户在模拟业务环境中通过使用各个权限进行相应的业务操作，每当目标用户使用某一权限后，生成该目标用户的标识以及被使用的某权限的标识的对应关系，该对应关系表示该目标用户使用了一次该权限，相应的，该对应关系可以是一条目标用户的用户id与所使用权限的权限id相关联的一条记录；可选的，该记录的形式可以为“用户id，权限id”；当目标用户在模拟业务环境中业务操作结束后，根据使用的多个权限，生成多条对应的记录，即得到多条目标用户的标识以及被使用的权限的标识的对应关系，将该多条对应关系存储至权限使用数据库，即该权限使用数据库可以包括多条对应关系；相应的，当模拟业务环境中有多个新用户进行业务操作时，每个新用户使用某一权限后，均生成该新用户与该权限的一条记录，将生成的所有记录存储至权限使用数据库中，即权限使用数据库中包括的多条记录中可以有不同的用户id，并可以根据新用户加入模拟业务环境的时间顺序，将各个新用户分别作为目标用户进行后续授权。
59.当权限使用数据库中包括的多条记录中有不同的用户id，并需要确定某一目标用户对该模拟业务环境中各个权限的使用次数时，从该权限使用数据库中获取与该目标用户相关联的对应关系，即从该权限使用数据库中获取所有包含该目标用户的用户id的对应关系，则可以得到该目标用户对于所有权限的使用记录，得到该目标用户在模拟业务环境中的权限使用集合，由于每一条对应关系代表该目标用户使用了一次该权限，统计该集合中包含各个权限的对应关系的数量值，各个数量值即各个权限被目标用户使用的次数，即确定了该目标用户对该模拟业务环境中各个权限的使用次数。
60.请参考图2，其示出了本技术实施例提供的一种获取目标用户的权限使用特征信息的流程图，根据待授权的目标用户对模拟业务环境中权限的使用状况，获取该目标用户的权限使用特征信息，包括：
61.步骤201，获取该目标用户对该模拟业务环境中各个权限的使用次数
62.其中，可以根据权限使用数据库中的多条对应关系，从该权限使用数据库中获取所有包含该目标用户的用户id的对应关系，作为该用户在模拟业务环境中的权限使用集合，将该模拟业务环境中的权限总个数记为n，统计该集合中包含各个权限的对应关系的数量值，得到该n个权限分别对应的n个数量值，n个数量值即各个权限被目标用户使用的次数，即确定了该目标用户对该模拟业务环境中各个权限的使用次数。
63.步骤202，根据该目标用户对该模拟业务环境中各个权限的使用次数，生成该目标用户的第一权限使用向量。其中，该第一权限使用向量包括与该模拟业务环境中的多个权限一一对应的多个第一向量元素，各第一向量元素为该目标用户使用对应的权限的次数。
64.根据上述得到的该目标用户对该模拟业务环境中n个权限的使用次数，将每一个权限对应的使用次数作为该目标用户的第一权限使用向量中的其中一个第一向量元素，将每一个第一向量元素作为该第一权限使用向量中某一维的值，得到该目标用户的第一权限使用向量，即该目标用户的第一权限使用向量的形式可以为：“权限1使用次数|权限2使用次数|......|权限n使用次数”，其中，“权限1使用次数”、“权限2使用次数”等均为该第一权
限使用向量中的第一向量元素，很显然，该第一权限使用向量包括的n个第一向量元素与该模拟业务环境中的n个权限一一对应。
65.通过将目标用户使用每一个权限的使用状况进行记录，可以根据该记录得到该目标用户的对于各个权限的使用次数，从而可以根据该使用次数，很方便的得出该目标用户的第一权限使用向量，由于该第一权限使用向量与各权限使用次数相关，即可以分析得到该目标用户使用各个权限的频繁次数，从而可以得到该目标用户进行业务操作的内容，以便于分配给该目标用户合适的角色。
66.本技术实施例中，该方法还包括：在该角色的用户使用该真实业务环境中的某权限之后，生成该角色的标识以及被使用的某权限的标识的对应关系，并将生成的对应关系存储至权限使用数据库中；从该权限使用数据库中获取与该角色相关联的对应关系，并根据获取到的对应关系确定该角色的用户对该真实业务环境中各个权限的使用次数。
67.其中，在真实业务环境中，每一权限被分配相应的id用于标识各个权限，各个权限对应的id和内容与模拟业务环境中各个权限对应的id和内容相同；且真实业务环境中，包含多个角色，各个角色包含多个权限，各个用户被分配相应的角色，从而可以使用该角色中的权限，某一权限被角色的用户调用使用，其所对应的权限id即被使用的某权限的标识；每一角色均被分配相应的id，用户使用该角色中的某一权限，则该角色id即为该该角色的标识；角色的用户在真实业务环境中通过使用各个权限进行相应的业务操作，每当某一用户使用某角色中的某权限后，生成该角色的标识以及被使用的某权限的标识的对应关系，该对应关系表示该角色中的该权限被用户使用了一次，相应的，该对应关系可以是一条角色id与所使用权限的权限id相关联的一条记录；可选的，该记录的形式可以为“角色id，权限id”；在一定的时间周期内，根据各个角色中被使用的多个权限，生成多条对应的记录，即得到多条角色的标识以及被使用的权限的标识的对应关系，将该多条对应关系存储至权限使用数据库；相应的，真实业务环境中有多个用户基于不同的角色进行业务操作，每个权限被使用后，均生成该角色与该权限的一条记录，将生成的所有记录存储至权限使用数据库中，即权限使用数据库中包括的多条记录中可以有不同的角色id。
68.当权限使用数据库中包括的多条记录中有不同的角色id，并需要确定某一角色的用户对该真实业务环境中各个权限的使用次数时，从该权限使用数据库中获取与该角色相关联的对应关系，即从该权限使用数据库中获取所有包含该角色id的对应关系，则可以得到用户基于该角色对于所有权限的使用记录，得到该用户基于该角色在真实业务环境中的权限使用集合，由于每一条对应关系代表该用户基于该角色使用了一次该权限，统计该集合中包含各个权限的对应关系的数量值，各个数量值即各个权限被用户基于该角色使用的次数，即确定了该角色的用户对该真实业务环境中各个权限的使用次数。
69.请参考图3，其输出了本技术实施例提供的一种获取各角色的权限使用特征信息的流程图，根据不同角色的用户对真实业务环境中权限的使用状况，获取各角色的权限使用特征信息，包括：
70.步骤301，对于各角色，获取该角色的用户对该真实业务环境中各个权限的使用次数。
71.其中，真实业务环境中包含多个角色，对于其中任意一个角色而言，可以根据权限使用数据库中的多条对应关系，从该权限使用数据库中获取所有包含该角色id的对应关
系，作为该角色的用户在真实业务环境中的权限使用集合，将该真实业务环境中的权限总个数记为n，统计该集合中包含各个权限的对应关系的数量值，得到该n个权限分别对应的n个数量值，n个数量值即各个权限被角色的用户使用的次数，即确定了该角色的用户对该真实业务环境中各个权限的使用次数；通过上述方法，可以得到真实业务环境中每一个角色的用户对该真实业务环境中各个权限的使用次数。
72.步骤302，根据获取到的使用次数生成角色的第二权限使用向量。
73.其中，该第二权限使用向量包括与该真实业务环境中的多个权限一一对应的多个第二向量元素，各第二向量元素为该角色的用户使用对应的权限的次数。
74.根据上述得到的各个角色的用户对该真实业务环境中n个权限的使用次数，对于其中任意一个角色而言，将用户基于该角色使用的每一个权限对应的使用次数作为该角色的第二权限使用向量中的其中一个第二向量元素，将每一个第二向量元素作为该第二权限使用向量中某一维的值，得到该角色的第二权限使用向量，即该角色的第二权限使用向量的形式可以为：“权限1使用次数|权限2使用次数|......|权限n使用次数”，其中，“权限1使用次数”、“权限2使用次数”等均为该第二权限使用向量中的第二向量元素，很显然，该第二权限使用向量包括的n个第二向量元素与该真实业务环境中的n个权限一一对应。
75.通过将各个角色的用户使用每一个权限的使用状况进行记录，可以根据该记录得到各个角色的用户的对于各个权限的使用次数，从而可以根据该使用次数，很方便的得出各个角色的第二权限使用向量，由于该第二权限使用向量与各权限使用次数相关，即可以分析得到各角色使用各个权限的频繁次数，从而可以根据该角色使用各个权限的频繁次数与上述目标用户使用各个权限的频繁次数，为目标用户选择相近的角色进行分配，使得分配给该目标用户的角色更合适。
76.本技术实施例中，分别获取该目标用户的权限使用特征信息与各角色的权限使用特征信息之间的相似度，包括：分别获取该第一权限使用向量与各第二权限使用向量之间的距离。
77.其中，当得到目标用户的第一权限使用向量，以及各角色的第二权限使用向量后，可以将该第一权限使用向量作为目标用户的权限使用特征信息，将各第二权限使用向量作为各角色的权限使用特征信息，因此，可以通过分别获取该第一权限使用向量与各第二权限使用向量之间的距离，得到目标用户的权限使用特征信息与各角色的权限使用特征信息之间的相似度，即计算第一权限使用向量与每一个第二权限使用向量的向量距离，得到多个向量距离，各个向量距离即为相关的角色的权限使用特征信息与目标用户的权限使用特征信息之间的相似度。
78.通过分别获取该目标用户的权限使用特征信息与各角色的权限使用特征信息之间的相似度，可以根据获取到的相似度确定待授予该目标用户的角色，对于新用户来说，即可以得到新用户使用权限情况与各个角色使用权限情况的相似度，权限授予人员根据该相似度确定授予新用户的角色，大大降低了权限授予人员分配给新用户适合的角色的难度。
79.本技术实施例中，如图4所示，其示出了本技术实施例提供的一种获取向量距离的流程图，分别获取该第一权限使用向量与各第二权限使用向量之间的距离，包括：
80.步骤401，对该第一权限使用向量进行标准化处理，得到第一标准向量，该第一标准向量中各向量元素的和为目标值。
81.其中，当得到目标用户的第一权限使用向量后，需要对该第一权限使用向量进行标准化处理，得到该第一权限使用向量对应的第一标准向量，该第一标准向量形如[x1,x2,x3,......,xn]，n为系统中权限总个数，其中0《xi《1，0《i《n，i为正整数，是该第一标准向量的第i维；并且该第一标准向量中各向量元素的和为目标值，该目标值为1，即其中，该标准化处理的方法不做限制，示例性的，可以采用min-max normalization(离差标准化)的方法进行标准化处理。
[0082]
步骤402，对各第二权限使用向量进行标准化处理，得到多个第二标准向量，该第二标准向量中各向量元素的和为该目标值。
[0083]
其中，当得到各个角色的第而权限使用向量后，需要对各个第二权限使用向量进行标准化处理，得到各个第二权限使用向量对应的各第二标准向量，该第二标准向量形如[x1,x2,x3,......,xn]，n为系统中权限总个数，其中0《xi《1，0《i《n，i为正整数，是该第二标准向量的第i维；并且该第二标准向量中各向量元素的和为目标值，该目标值为1，即
[0084]
步骤403，分别获取该第一标准向量与各第二标准向量之间的距离。
[0085]
其中，计算该第一标准向量与各第二标准向量之间的距离，得到多个向量距离，多个向量距离即该目标用户的权限使用特征信息与各角色的权限使用特征信息之间的相似度；两个向量之间向量距离的计算方法不做限制，示例性的，可以采用l2距离或余弦相似度等常用的向量距离计算方法。
[0086]
上述计算向量距离的方法不做限制，可以灵活简便的根据各种常用计算方法得到多个向量距离，从而表征目标用户的权限使用特征信息与各角色的权限使用特征信息之间的相似度，使得该相似度可以很方便的得到，以用于后续授权。
[0087]
本技术实施例中，根据获取到的相似度确定待授予该目标用户的角色，包括：将最小的k个距离对应的该第二权限使用向量所对应的角色作为候选角色，该候选角色用于供权限授予人员从该候选角色中确定待授予该目标用户的角色，k为正整数。
[0088]
其中，通过计算第一标准向量与各第二标准向量之间的距离，得到多个向量距离，各个向量距离可以表征各个角色对应的权限被使用的状况与目标用户对于各个权限的使用状况之间的相似度，将得到的多个向量距离进行比较，将与目标用户向量距离最近的k个角色作为候选角色；其中，k为正整数，k值可以由权限授予人员根据实际应用场景的不同，设定不同值，例如，设定k＝5时，权限授予人员认为5个候选角色很符合实际应用，就设置为k为5，若权限授予人员认为5个候选角色中还缺少一些角色没有被纳入进来，那么可以加大k＝10，反之，如果权限授予人员认为k个候选角色里有很多不合适的角色，可以缩小k值；根据得到k个候选角色构成候选角色集合，权限授予人员对该候选角色集合中的k个候选角色进行审核，确认各个候选角色是否符合一些底线性质的授权规则，并将严重的授权错误的候选角色排除，审核后的候选集合中的各个候选角色确定为授予该目标用户的角色。
[0089]
通过权限授予人员对候选角色集合中的候选角色进行审批，增加了分配给目标用户合适角色的安全性，并且，与从总的权限中选择合适的角色分配给目标用户相比，权限授权人员从数量很少的候选集合中将角色分配给目标用户，工作量更小，难度更小。
[0090]
本技术实施例中，如图5所示，其示出了本技术实施例提供的一种新用户授权的流程图，包括：
[0091]
步骤501，获取真实业务环境中各用户基于角色使用各权限的记录，并存储至权限使用数据库中。
[0092]
其中，在真实业务环境中，包含多个角色，各个角色对应多个权限，各个用户基于各个角色使用角色对应的各权限，在一定的时间周期内，将每一权限被角色的用户使用后，形成相应的记录，该记录形式可以为“角色id，权限id”，在该时间周期内，即可获得各个用户基于各个角色使用各权限的多条记录，将该多条记录存储至权限使用数据库中；并且，可以根据实际业务量的大小，设定不同的时间周期，获取最新的权限使用记录。
[0093]
步骤502，根据各用户基于角色使用各权限的使用记录，得到各用户基于角色对于各权限的使用次数。
[0094]
其中，对于多个角色中的某一角色，从权限使用数据库获取包含该角色的角色id的多条记录，统计与各个权限相关的记录的数量，得到各个权限被角色的用户使用的次数，记真实业务环境中共有n个权限，即得到用户基于该角色，对该n个权限分别使用的次数；从而可以得到用户基于每个角色对于n个权限分别使用的次数。
[0095]
步骤503，根据各权限的使用次数，得到各角色对应的第二权限使用向量。
[0096]
其中，对于任意一个角色，将用户基于该角色使用的每一个权限对应的使用次数作为该角色的第二权限使用向量中的某一维的值，得到该角色对应的第二权限使用向量，该第二权限使用向量的形式可以为：“权限1使用次数|权限2使用次数|......|权限n使用次数”；通过上述方式，得到各个角色对应的第二权限使用向量。
[0097]
步骤504，对各角色对应的第二权限使用向量进行标准化处理，得到各角色对应的第二标准向量。
[0098]
其中，使用任意的标准化处理方法对各个第二权限使用向量进行标准化处理，得到各角色对应的第二标准向量，各第二标准向量形如[x1,x2,x3,......,xn]，n为系统中权限总个数，其中0《xi《1，0《i《n，i为正整数，
[0099]
步骤505，获取模拟业务环境中多个新用户对于各权限的使用记录，并存储至权限使用数据库中。
[0100]
其中，新用户在模拟业务环境中进行相关业务的培训，在培训过程中直接使用各个权限进行相关操作；将每一权限被每一新用户使用后，形成相应的记录，该记录形式可以为“用户id，权限id”，各新用户培训结束后，即可获得各个新用户使用各权限的多条记录，将该多条记录存储至权限使用数据库中。
[0101]
步骤506，根据各新用户使用各权限的使用记录，得到各新用户对于各权限的使用次数。
[0102]
其中，对于任意的一个新用户，从权限使用数据库获取包含该用户的用户id的多条记录，统计与各个权限相关的记录的数量，得到各个权限被该新用户使用的次数，即得到该新用户，对该n个权限分别使用的次数，该模拟业务环境中的权限数量与内容与真实业务环境中的相同；从而可以得到每个新用户对于n个权限分别使用的次数。
[0103]
步骤507，根据各权限的使用次数，得到各新用户对应的第一权限使用向量。
[0104]
其中，对于任意一个新用户，将该新用户使用的每一个权限对应的使用次数作为该新用户的第一权限使用向量中的某一维的值，得到该新用户对应的第一权限使用向量，该第一权限使用向量的形式可以为：“权限1使用次数|权限2使用次数|......|权限n使用次数”；通过上述方式，得到各个角色新用户对应的第一权限使用向量。
[0105]
步骤508，对各新用户对应的第一权限使用向量进行标准化处理，得到各新用户对应的第一标准向量。
[0106]
其中，使用任意的标准化处理方法对各个第一权限使用向量进行标准化处理，得到各新用户对应的第一标准向量，各第一标准向量形如[x1,x2,x3,......,xn]，n为系统中权限总个数，其中0《xi《1，0《i《n，i为正整数，
[0107]
步骤509，计算各个新用户对应的第一权限使用向量与各个角色对应的第二权限使用向量之间的向量距离，得到各新用户对应的候选角色集合。
[0108]
其中，对于某一个新用户对应的第一权限使用向量，计算该第一权限使用向量与每一个角色对应的第二权限使用向量之间的向量距离，例如可以使用l2距离或余弦相似度等常用的向量距离计算方法进行计算；将各向量距离进行比较，选择向量距离最近的k个第二权限使用向量对应的角色构成该新用户的候选角色集合；采用上述方法，的得到每一个新用户对应的候选角色集合，每个候选集合中包括k个角色；其中，k值可以根据实际情况由权限授予人员进行设定。
[0109]
步骤510，权限授予人员对各新用户对应的候选角色集合进行审批，并实现对各新用户的授权。
[0110]
其中，对于每一个新用户对应的候选角色集合，权限授予人员查看候选角色集合中的各个角色是否符合授权规则，将不符合的角色排除，将符合的角色留下，并将符合的各角色分配给新用户，使得新用户可以基于该角色使用该角色对应的各权限，实现对新用户的授权。
[0111]
在新用户数量较多的情况下，上述新用户授权的方法可以在保证授权可靠性的同时，大大减小权限授予人员对新用户授权的工作。
[0112]
应该理解的是，虽然图1-5的流程图中的各个步骤按照箭头的指示依次显示，但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明，这些步骤的执行并没有严格的顺序限制，这些步骤可以以其它的顺序执行。而且，图1-5中的至少一部分步骤可以包括多个步骤或者多个阶段，这些步骤或者阶段并不必然是在同一时刻执行完成，而是可以在不同的时刻执行，这些步骤或者阶段的执行顺序也不必然是依次进行，而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
[0113]
本技术实施例中，如图6所示，提供了一种角色授权装置的示意图，该角色授权装置600包括：第一获取模块601、第二获取模块602和第三获取模块603，其中：
[0114]
第一获取模块601，用于根据待授权的目标用户对模拟业务环境中权限的使用状况，获取所述目标用户的权限使用特征信息。
[0115]
第二获取模块602，用于根据不同角色的用户对真实业务环境中权限的使用状况，获取各所述角色的权限使用特征信息。
[0116]
第三获取模块603，用于分别获取所述目标用户的权限使用特征信息与各所述角
色的权限使用特征信息之间的相似度，并根据获取到的相似度确定待授予所述目标用户的角色。
[0117]
本技术实施例中，该第一获取模块601，具体用于：获取该目标用户对该模拟业务环境中各个权限的使用次数；根据该目标用户对该模拟业务环境中各个权限的使用次数，生成该目标用户的第一权限使用向量；其中，该第一权限使用向量包括与该模拟业务环境中的多个权限一一对应的多个第一向量元素，各第一向量元素为该目标用户使用对应的权限的次数。
[0118]
本技术实施例中，该第二获取模块602，具体用于：对于各角色，获取该角色的用户对该真实业务环境中各个权限的使用次数，并根据获取到的使用次数生成该角色的第二权限使用向量；其中，该第二权限使用向量包括与该真实业务环境中的多个权限一一对应的多个第二向量元素，各第二向量元素为该角色的用户使用对应的权限的次数。
[0119]
本技术实施例中，该第三获取模块603，具体用于：分别获取该第一权限使用向量与各第二权限使用向量之间的距离。
[0120]
本技术实施例中，该第三获取模块603，具体用于：对该第一权限使用向量进行标准化处理，得到第一标准向量，该第一标准向量中各向量元素的和为目标值；对各第二权限使用向量进行标准化处理，得到多个第二标准向量，该第二标准向量中各向量元素的和为该目标值；分别获取该第一标准向量与各第二标准向量之间的距离。
[0121]
本技术实施例中，该第三获取模块603，具体用于：将最小的k个距离对应的该第二权限使用向量所对应的角色作为候选角色，该候选角色用于供权限授予人员从该候选角色中确定待授予该目标用户的角色，k为正整数。
[0122]
本技术实施例中，如图7所示，提供了第二种角色授权装置的示意图，该角色授权装置700还包括：第一关系生成模块604，其中：
[0123]
第一关系生成模块604，用于在该目标用户使用该模拟业务环境中的某权限之后，生成该目标用户的标识以及被使用的某权限的标识的对应关系，并将生成的对应关系存储至权限使用数据库中；对应地，该获取该目标用户对该模拟业务环境中各个权限的使用次数，包括：从该权限使用数据库中获取与该目标用户相关联的对应关系，并根据获取到的对应关系确定该目标用户对该模拟业务环境中各个权限的使用次数。
[0124]
本技术实施例中，如图8所示，提供了第三种角色授权装置的示意图，该角色授权装置800还包括：第二关系生成模块605，其中：
[0125]
第二关系生成模块605，用于在该角色的用户使用该真实业务环境中的某权限之后，生成该角色的标识以及被使用的某权限的标识的对应关系，并将生成的对应关系存储至权限使用数据库中；对应地，该获取该角色的用户对该真实业务环境中各个权限的使用次数，包括：从该权限使用数据库中获取与该角色相关联的对应关系，并根据获取到的对应关系确定该角色的用户对该真实业务环境中各个权限的使用次数。
[0126]
关于角色授权装置的具体限定可以参见上文中对于角色授权方法的限定，在此不再赘述。上述角色授权装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中，也可以以软件形式存储于计算机设备中的存储器中，以便于处理器调用执行以上各个模块对应的操作。
[0127]
本技术实施例中，提供了一种计算机设备，该计算机设备可以是服务器，其内部结
构图可以如图9所示。该计算机设备包括通过系统总线连接的处理器、存储器和网络接口。其中，该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储角色授权数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种角色授权方法。
[0128]
本领域技术人员可以理解，图9中示出的结构，仅仅是与本技术方案相关的部分结构的框图，并不构成对本技术方案所应用于其上的计算机设备的限定，具体的计算机设备可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。
[0129]
在本技术的一个实施例中，提供了一种计算机设备，该计算机设备可以为服务器，该计算机设备包括存储器和处理器，存储器中存储有计算机程序，该处理器执行计算机程序时实现以下步骤：
[0130]
根据待授权的目标用户对模拟业务环境中权限的使用状况，获取该目标用户的权限使用特征信息；根据不同角色的用户对真实业务环境中权限的使用状况，获取各角色的权限使用特征信息；分别获取该目标用户的权限使用特征信息与各角色的权限使用特征信息之间的相似度，并根据获取到的相似度确定待授予该目标用户的角色。
[0131]
在本技术的一个实施例中，处理器执行计算机程序时还实现以下步骤：
[0132]
获取该目标用户对该模拟业务环境中各个权限的使用次数；根据该目标用户对该模拟业务环境中各个权限的使用次数，生成该目标用户的第一权限使用向量；其中，该第一权限使用向量包括与该模拟业务环境中的多个权限一一对应的多个第一向量元素，各第一向量元素为该目标用户使用对应的权限的次数。
[0133]
在本技术的一个实施例中，处理器执行计算机程序时还实现以下步骤：
[0134]
在该目标用户使用该模拟业务环境中的某权限之后，生成该目标用户的标识以及被使用的某权限的标识的对应关系，并将生成的对应关系存储至权限使用数据库中；对应地，该获取该目标用户对该模拟业务环境中各个权限的使用次数，包括：从该权限使用数据库中获取与该目标用户相关联的对应关系，并根据获取到的对应关系确定该目标用户对该模拟业务环境中各个权限的使用次数。
[0135]
在本技术的一个实施例中，处理器执行计算机程序时还实现以下步骤：
[0136]
对于各角色，获取角色的用户对该真实业务环境中各个权限的使用次数，并根据获取到的使用次数生成该角色的第二权限使用向量；其中，该第二权限使用向量包括与该真实业务环境中的多个权限一一对应的多个第二向量元素，各第二向量元素为该角色的用户使用对应的权限的次数。
[0137]
在本技术的一个实施例中，处理器执行计算机程序时还实现以下步骤：
[0138]
在该角色的用户使用该真实业务环境中的某权限之后，生成该角色的标识以及被使用的某权限的标识的对应关系，并将生成的对应关系存储至权限使用数据库中；对应地，该获取该角色的用户对该真实业务环境中各个权限的使用次数，包括：从该权限使用数据库中获取与该角色相关联的对应关系，并根据获取到的对应关系确定该角色的用户对该真实业务环境中各个权限的使用次数。
[0139]
在本技术的一个实施例中，处理器执行计算机程序时还实现以下步骤：
[0140]
分别获取该第一权限使用向量与各第二权限使用向量之间的距离。
[0141]
在本技术的一个实施例中，处理器执行计算机程序时还实现以下步骤：
[0142]
对该第一权限使用向量进行标准化处理，得到第一标准向量，该第一标准向量中各向量元素的和为目标值；对各第二权限使用向量进行标准化处理，得到多个第二标准向量，该第二标准向量中各向量元素的和为该目标值；分别获取该第一标准向量与各第二标准向量之间的距离。
[0143]
在本技术的一个实施例中，处理器执行计算机程序时还实现以下步骤：
[0144]
将最小的k个距离对应的该第二权限使用向量所对应的角色作为候选角色，该候选角色用于供权限授予人员从该候选角色中确定待授予该目标用户的角色，k为正整数。
[0145]
本技术实施例提供的计算机设备，其实现原理和技术效果与上述方法实施例类似，在此不再赘述。
[0146]
在本技术的一个实施例中，提供了一种计算机可读存储介质，其上存储有计算机程序，计算机程序被处理器执行时实现以下步骤：
[0147]
根据待授权的目标用户对模拟业务环境中权限的使用状况，获取该目标用户的权限使用特征信息；根据不同角色的用户对真实业务环境中权限的使用状况，获取各角色的权限使用特征信息；分别获取该目标用户的权限使用特征信息与各角色的权限使用特征信息之间的相似度，并根据获取到的相似度确定待授予该目标用户的角色。
[0148]
在本技术的一个实施例中，计算机程序被处理器执行时实现以下步骤：
[0149]
获取该目标用户对该模拟业务环境中各个权限的使用次数；根据该目标用户对该模拟业务环境中各个权限的使用次数，生成该目标用户的第一权限使用向量；其中，该第一权限使用向量包括与该模拟业务环境中的多个权限一一对应的多个第一向量元素，各第一向量元素为该目标用户使用对应的权限的次数。
[0150]
在本技术的一个实施例中，计算机程序被处理器执行时实现以下步骤：
[0151]
在该目标用户使用该模拟业务环境中的某权限之后，生成该目标用户的标识以及被使用的某权限的标识的对应关系，并将生成的对应关系存储至权限使用数据库中；对应地，该获取该目标用户对该模拟业务环境中各个权限的使用次数，包括：从该权限使用数据库中获取与该目标用户相关联的对应关系，并根据获取到的对应关系确定该目标用户对该模拟业务环境中各个权限的使用次数。
[0152]
在本技术的一个实施例中，计算机程序被处理器执行时实现以下步骤：
[0153]
对于各角色，获取角色的用户对该真实业务环境中各个权限的使用次数，并根据获取到的使用次数生成该角色的第二权限使用向量；其中，该第二权限使用向量包括与该真实业务环境中的多个权限一一对应的多个第二向量元素，各第二向量元素为该角色的用户使用对应的权限的次数。
[0154]
在本技术的一个实施例中，计算机程序被处理器执行时实现以下步骤：
[0155]
在该角色的用户使用该真实业务环境中的某权限之后，生成该角色的标识以及被使用的某权限的标识的对应关系，并将生成的对应关系存储至权限使用数据库中；对应地，该获取该角色的用户对该真实业务环境中各个权限的使用次数，包括：从该权限使用数据库中获取与该角色相关联的对应关系，并根据获取到的对应关系确定该角色的用户对该真实业务环境中各个权限的使用次数。
[0156]
在本技术的一个实施例中，计算机程序被处理器执行时实现以下步骤：
[0157]
分别获取该第一权限使用向量与各第二权限使用向量之间的距离。
[0158]
在本技术的一个实施例中，计算机程序被处理器执行时实现以下步骤：
[0159]
对该第一权限使用向量进行标准化处理，得到第一标准向量，该第一标准向量中各向量元素的和为目标值；对各第二权限使用向量进行标准化处理，得到多个第二标准向量，该第二标准向量中各向量元素的和为该目标值；分别获取该第一标准向量与各第二标准向量之间的距离。
[0160]
在本技术的一个实施例中，计算机程序被处理器执行时实现以下步骤：
[0161]
将最小的k个距离对应的该第二权限使用向量所对应的角色作为候选角色，该候选角色用于供权限授予人员从该候选角色中确定待授予该目标用户的角色，k为正整数。
[0162]
本实施例提供的计算机可读存储介质，其实现原理和技术效果与上述方法实施例类似，在此不再赘述。
[0163]
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一非易失性计算机可读取存储介质中，该计算机程序在执行时，可包括如上述各方法的实施例的流程。其中，本技术所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用，均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(rom)、可编程rom(prom)、电可编程rom(eprom)、电可擦除可编程rom(eeprom)或闪存。易失性存储器可包括随机存取存储器(ram)或者外部高速缓冲存储器。作为说明而非局限，ram以m种形式可得，诸如静态ram(sram)、动态ram(dram)、同步dram(sdram)、双数据率sdram(ddrsdram)、增强型sdram(esdram)、同步链路(symchlimk)dram(sldram)、存储器总线(rambus)直接ram(rdram)、直接存储器总线动态ram(drdram)、以及存储器总线动态ram(rdram)等。
[0164]
以上实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。
[0165]
以上所述实施例仅表达了本技术的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本技术构思的前提下，还可以做出若干变形和改进，这些都属于本技术的保护范围。因此，本技术专利的保护范围应以所附权利要求为准。