CN101656720A - 对信息系统中访问对象信息统一维护的方法及装置 - Google Patents
对信息系统中访问对象信息统一维护的方法及装置 Download PDFInfo
- Publication number
- CN101656720A CN101656720A CN200910090454A CN200910090454A CN101656720A CN 101656720 A CN101656720 A CN 101656720A CN 200910090454 A CN200910090454 A CN 200910090454A CN 200910090454 A CN200910090454 A CN 200910090454A CN 101656720 A CN101656720 A CN 101656720A
- Authority
- CN
- China
- Prior art keywords
- information
- entity
- access object
- unit
- random number
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
本发明涉及一种对信息系统中访问对象信息统一维护的方法,该方法包括:采集各应用服务系统的访问对象的对象属性信息,其包括与访问对象唯一对应的实体信息及登录应用服务系统时的认证信息;去除对象属性信息中的冗余实体信息,得到不同访问对象的实体信息及认证信息;构建与实体信息唯一映射且采用统一数据格式的实体标签;将属于同一访问对象的实体标签、实体信息和认证信息组成一组实体属性信息集中进行存储;利用映射关系在信息系统中以实体标签定位到执行操作的访问对象的实体属性信息。本发明使得可以利用实体标签定位到执行操作访问对象的实体属性信息实现访问对象信息统一维护,且可同步更新访问对象所修改的实体属性信息。
Description
技术领域
本系统涉及信息系统技术领域,尤其涉及对信息系统中访问对象信息统一维护的方法及装置。
背景技术
现今,大量企业通过信息化手段不断提高生产效率,节约生产成本。企业信息化以在企业内部出现的各种信息系统为基础,这些不同类型的信息系统通常由多个应用服务系统组成。应用服务系统处于自身资源使用安全的考虑会要求访问对象遵循特定的安全策略,一般是访问对象首先提供对其身份起鉴别标识作用的对象属性信息要求审核,该对象属性信息包括实体信息(与访问对象实体本身一一对应)和与实体信息绑定的认证信息,审核通过后在访问对象登录应用服务系统时通过其提供的认证信息进行认证,认证信息多采用形式标识信息和密码信息,形式标识信息为对外可见的公开信息,而密码信息为对外不可见的私密信息。随着应用服务系统的增多,整个信息系统的维护主体承担着越来越繁重的维护工作,并且需要在不同的应用服务系统上维护同一访问对象群体的实体信息和认证信息,出错的可能性也随之增大;由于采用相同实体信息的一个访问对象在不同的应用服务系统中通常采用不同的认证信息,使得信息系统依靠认证信息难以统一确定访问对象的实体信息,给可能实施的审计活动增加难度。
基于上述问题,通常将不同应用服务系统的认证信息(包括形式标识信息和密码信息)集中起来维护,为信息系统维护主体提供在一点上维护整个信息系统的访问对象的能力。同时,以访问对象在应用服务系统中的认证信息作为辅认证信息,还提供另外一套认证信息(也包括形式标识信息和密码信息,但数据格式不同于辅认证信息中的形式标识信息和密码信息)作为信息系统中访问对象的主认证信息,该主认证信息采用统一的数据格式,以此来统一信息系统中访问对象的对象属性信息中认证信息的形式,并且将主认证信息与该访问对象在应用服务系统中的各个辅认证信息绑定起来,以这种映射关系确定访问主/辅认证信息形式的转换。
但上述采用主认证信息和辅认证信息建立映射关系的方式仍然有其局限性,一方面,虽然有主认证信息通过采用统一的数据格式来统一信息系统中访问对象的认证信息形式,但仍然是主认证信息形式的统一,访问对象的实体和主认证信息间没有必然联系,虽然主认证信息和辅认证信息有一一对应的映射关系,但一个主认证信息实际上仍对应多个实际访问对象,仍然难以确定实际使用不同主认证信息的访问对象是否为同一访问对象;另一方面,应用服务系统中仍然或多或少保存着对访问对象起唯一鉴别标识作用的实体信息,这些实体信息会在不同的应用服务系统中重复出现,如果其中一个访问对象的实体信息需要更改,则仍然要逐个对所有应用系统中的相同实体信息进行修改,并且容易出现错误导致信息冲突。
发明内容
本发明提供一种对信息系统中访问对象信息统一维护的方法及装置,用以解决现有技术中没有对访问对象在应用服务系统间的对象属性信息进行集中处理,很难实现访问对象信息统一维护的技术问题。
为实现上述目的,本发明提供一种对信息系统中访问对象信息统一维护的方法,该方法包括步骤:
采集信息系统中各应用服务系统的访问对象的对象属性信息,该对象属性信息包括与访问对象唯一对应的实体信息及登录应用服务系统时的认证信息;
将所述对象属性信息进行集中处理,去除属于同一访问对象的冗余实体信息,得到不同访问对象的实体信息及与实体信息绑定的认证信息;
构建与实体信息有唯一映射关系且采用统一数据格式的实体标签;
将属于同一访问对象的实体标签、实体信息和认证信息组成一组实体属性信息集中进行存储;
利用所述映射关系在信息系统中以所述实体标签定位到执行操作的访问对象的实体属性信息。
本发明还提供了一种对信息系统中访问对象信息统一维护的装置,包括:
采集单元,用于采集信息系统中各应用服务系统的访问对象的对象属性信息,该对象属性信息包括与访问对象唯一对应的实体信息及登录应用服务系统时的认证信息;
冗余处理单元,用于将所述采集单元所采集的对象属性信息进行集中处理,去除属于同一访问对象的冗余实体信息,得到不同访问对象的实体信息及与实体信息绑定的认证信息;
映射单元,用于构建与冗余处理单元得到的实体信息有唯一映射关系且采用统一数据格式的实体标签;
集中存储单元,用于根据映射单元所构建的实体标签及冗余处理得到的实体信息及与实体信息绑定的认证信息,将属于同一访问对象的实体标签、实体信息和认证信息组成一组实体属性信息集中进行存储;
定位单元,利用所述映射关系在信息系统中以集中存储单元存储的所述实体标签定位到执行操作的访问对象的实体属性信息。
本发明有益效果如下:由于将访问对象分散在各个应用服务系统中的对象属性信息集中起来进行处理,使信息系统中真正的访问对象采用统一格式的实体标签,避免现有技术中应用服务系统间的对象属性信息冲突的情况,并形成访问对象的实体信息与实体标签的唯一映射,使访问对象的现实身份(即实体)与虚拟身份(即实体标签)一一对应,在信息系统中实体标签使用时利用上述映射关系能够直接确定真实访问对象,从而实现访问对象的实体属性信息的统一维护并提供所需的服务。
附图说明
图1为本发明实施例一中对信息系统中访问对象信息统一维护的装置的结构图;
图2为本发明实施例一中对信息系统中访问对象信息统一维护的装置中的提供单元的结构图;
图3为本发明实施例二中对信息系统中访问对象信息统一维护的装置的结构图;
图4为本发明实施例二中对信息系统中访问对象信息统一维护的装置中的提供单元的结构图;
图5为本发明实施例三中对信息系统中访问对象信息统一维护的装置的结构图;
图6为本发明实施例三中对信息系统中访问对象信息统一维护的装置中的提供单元的结构图;
图7为本发明对信息系统中访问对象信息统一维护的方法流程图;
图8为本发明实施例四中对信息系统中访问对象信息统一维护的方法流程图。
具体实施方式
本发明中所基于的信息系统包括主机和应用服务系统,本发明所提供的对信息系统中访问对象信息统一维护的装置包括:采集单元,用于采集信息系统中各应用服务系统的访问对象的对象属性信息,该对象属性信息包括与访问对象唯一对应的实体信息及登录应用服务系统时的认证信息;冗余处理单元,用于将所述对象属性信息进行集中处理,去除属于同一访问对象的冗余实体信息,得到不同访问对象的实体信息及与实体信息绑定的认证信息;映射单元,用于构建与实体信息有唯一映射关系且采用统一数据格式的实体标签;集中存储单元,将属于同一访问对象的实体标签、实体信息和认证信息组成一组实体属性信息集中进行存储;定位单元,利用所述映射关系在信息系统中以所述实体标签定位到执行操作的访问对象的实体属性信息,实现利用实体属性信息提供所需的各种服务。利用本发明所提供的装置可以集中处理信息系统中所有访问对象的实体属性信息,使访问对象的现实身份(即实体)与虚拟身份(即实体标签)一一对应,在信息系统中实体标签使用时利用上述映射关系能够直接确定真实访问对象。
如图1所示为本发明实施例一中对信息系统中访问对象信息统一维护的装置的结构图,该装置包括:
第一适配单元20,用于提供该装置与应用服务系统间的信息交互接口,主要为集中处理单元22和同步服务单元23提供访问应用服务系统4中的数据库的统一接口,将实体属性信息的数据格式转化为各应用服务系统不同类型数据库的数据格式,根据第一适配单元20所要支持的数据库种类,可包括多个适配子单元;
集中处理单元22,具体包括采集单元、冗余处理单元和映射单元,其中采集单元用于从各应用服务系统的数据库中提取访问对象的对象属性信息,该对象属性信息包括与访问对象唯一对应的实体信息及登录应用服务系统时的认证信息;冗余处理单元用于将所述对象属性信息进行集中处理,去除属于同一访问对象的冗余实体信息,得到不同访问对象的实体信息及与实体信息绑定的认证信息,因此可以去除属于同一访问对象的对象属性信息的冲突和冗余;映射单元用于构建与实体信息有唯一映射关系且采用统一数据格式的实体标签;
第一集中存储单元26,用于将属于同一访问对象的实体标签、实体信息和认证信息组成一组实体属性信息按一定的数据结构集中进行存储;
第一界面单元21,用于提供访问对象/维护主体与主机的交互界面,接收访问对象的输入信息,访问对象可以利用第一界面单元21输入对其本身的实体属性信息中的实体信息和/或认证信息的修改信息,第一界面单元21将输入的修改信息转发至自维护服务单元24处理,并将结果由第一界面单元21返回给访问对象;维护主体通过第一界面单元21进入系统管理服务单元25对访问对象输入的修改信息进行审核和检查信息系统状态,返回处理结果;
自维护服务单元24,用于接收第一界面单元21传递的输入信息,如上述修改信息,对第一集中存储单元26中相应的实体属性信息中的实体信息和/或认证信息进行更新;
同步服务单元23,用于在第一集中存储单元26的实体信息和/或认证信息数据更新后,在信息系统中发布更新后的实体信息和/或认证信息来同步更新应用服务系统中相应信息,保持信息系统中访问对象的实体信息和/或认证信息的一致;
系统管理服务单元25,用于供维护主体通审核访问对象提供的对象属性信息,在更新时对所更新的实体信息和/或认证信息进行验证,并根据情况提供访问对象的账户冻结、删除等服务;维护主体也可通过该系统管理服务单元25维护和调整信息系统运行状态。
定位单元27,与第一集中存储单元26连接,利用实体标签和实体信息的映射关系在信息系统中以实体标签直接定位到执行操作的访问对象,根据访问对象的实体属性信息提供各种所需的服务;
提供单元4,用于根据访问对象/维护主体/应用服务系统的需要向其提供所需的实体属性信息,例如应用服务系统在和主机交互时,提出自身的数据要求,通知提供单元4提供指定访问对象的实体属性信息,若不能获得指定访问对象的实体属性信息,则拒绝继续交互。
本实施例中访问对象使用实体属性信息的索引信息请求提供单元4对外提供实体属性信息。在这种流程下,信息系统可以完成应用服务系统的登录,也可以在应用服务系统需要时随时获得访问对象的实体属性信息。
本发明所提供的集中存储单元所存储的访问对象的实体标签是其所在信息系统中的唯一身份,所有应用服务系统希望获得的是访问对象的实体属性信息,即使在登录应用服务过程中所涉及的访问对象的形式标识信息和密码信息,也属于实体属性信息。提供单元4以访问对象的实体属性信息为基础,向访问对象颁发实体属性信息的索引信息,建立起访问对象实体与实体标签间的映射,访问对象向提供单元4提交实体属性信息的索引信息,提供单元4验证该索引信息并利用该索引信息查询访问对象的唯一实体标签,查询到实体属性信息后,提取该访问对象的实体信息,由此唯一确定信息系统中的访问对象的实体标签。与应用服务系统交互时,访问对象以信息系统唯一实体标签作为自身在信息系统里的映射,应用服务系统向提供单元4提出需要的实体属性信息的列表,提供单元4从存储的实体属性信息中取出应用服务系统指定的实体属性信息并提交给应用服务系统。
本实施例实现了从各应用服务系统提取访问对象对象属性信息完成对象属性信息集中的过程,经冗余处理建立起信息系统中的与访问对象实体唯一对应的实体标签,与该实体标签对应的一组实体属性信息集中了所有应用服务系统中的与访问对象相关的对象属性信息,形成一个整体,每一组实体属性信息逻辑上不属于任何一个应用服务系统,访问对象可以通过自维护的方式更新在第一集中存储单元26中保存的对象属性信息,更新过后通过同步操作更新各应用服务系统的数据库,访问对象/维护主体/应用服务系统通过提供单元4可以查找和提取所需的相应信息,并且系统还提供访问对象的账户信息(包括实体标签和对象属性信息)冻结、删除等维护手段,从而形成从访问对象的对象属性信息创建到销毁过程的维护。
如图2所示为本发明实施例一装置中的提供单元的结构图,本实施例中的提供单元4具体包括:第二界面单元40、第二适配单元41、索引管理服务单元42、索引验证单元43、资源供应服务单元44、第二集中存储单元45。第二界面单元40用于接收访问对象和维护主体请求,将请求数据传输给索引管理服务单元42,索引管理服务单元42处理完请求后,返回显示。索引管理服务单元42用于创建对实体属性信息进行索引的索引信息,并向访问对象颁发索引信息,处理访问对象通过第二界面单元40发起的索引信息请求,从得到的实体属性信息中提取访问对象所需信息组成索引信息并返回,同时还提供索引信息的变更、冻结、删除等服务。索引验证单元43用于验证访问对象发起的索引信息的有效性,以及该索引信息是否属于提交方;也通过索引管理服务单元42获得索引所处状态,辅助判断验证结果。第二适配单元41用于提供应用服务系统与资源供应服务单元44的接口,将资源供应服务单元44按应用服务系统要求从第二集中存储单元45中提取指定访问对象的实体属性信息,转换为应用服务系统兼容的数据格式提供给应用服务系统。资源供应服务单元44,用于根据验证通过的索引信息提取访问对象的实体属性信息,并提供该访问对象的实体属性信息缓存,同时在接收应用服务系统发起获取指定访问对象的实体属性信息的请求后,根据该请求将指定访问对象的实体属性信息提供给第二适配单元41。第二集中存储单元45与图1中的第一集中存储单元26可共用,或分布在不同的服务器共享,其作用都是用于存储访问对象的实体属性信息。
本实施例中的提供单元4实现了访问对象实体与实体标签间映射关系索引的建立,该实体标签可采用数字标签或其他的标签形式,可提供索引信息的颁发、更改、冻结、删除服务,在访问对象使用索引信息时验证索引信息的有效性和来源,而后利用索引信息查询、提取访问对象的实体属性信息并提供缓存,从而实现信息系统唯一身份的提供服务。还可将上述第一适配单元和第二适配单元、第一界面单元和第二界面单元分别组合使用同一单元,并共用相同集中存储单元,组合成一个整体对外提供服务的系统。
如图3所示,为本发明实施例二中对信息系统中访问对象信息统一维护的装置结构图。本实施例在图1所示实施例一基础上加入了第一随机数产生单元28、第一加密单元29、第二解密单元30、第二加密单元31、第一解密单元32及第一比较单元33。上述各个加、解密单元用于为同步服务单元23与第一适配单元20间的传输信道提供机密性和完整性保护,第一适配单元20在部署时会放置在应用服务系统端,其与同步服务单元23间的数据交互会通过网络信道,因此需要提供上述保护。第一随机数产生单元28用于为第一适配单元20提供随机数;在同步服务单元23和第一适配单元20交互过程中需要随机数作为会话标识防止重放攻击,同步操作中的同步对象只能从同步服务单元23向第一适配单元20传输,则由第一适配单元20端提出随机数。同步服务单元23向第一适配单元20同步数据时,首先由第一随机数产生单元28产生第一随机数,第一加密单元29对第一随机数进行加密得到密文,对所述密文进行签名后发送到同步服务单元23端的第二解密单元30;第二解密单元31接收第一加密单元29发送的密文并对其进行验证,验证后解密获得第二随机数;第二加密单元30利用第二随机数对要发布的更新后的实体信息和/或认证信息进行加密并签名后发布至应用服务系统端的第一解密单元32;第一解密单元32在应用服务系统端接受经加密的更新后的实体信息和/或认证信息,验证并进行解密获得第三随机数;第一比较单元33将第三随机数与之前产生的第一随机数进行比较,若相同,则提取更新后的实体信息和/或认证信息进行更新操作。
如图4所示,为本发明实施例二装置中的提供单元的结构图。本实施例在图2所示实施例基础上加入了第四随机数产生单元46、第三加密单元47、第四解密单元48、第四加密单元49、第三解密单元50及第一比较单元51。上述各个加、解密单元用于为资源供应服务单元44与第二适配单元41间的传输信道提供机密性和完整性保护。第二适配单元41在部署时会放置在应用服务系统端,其与同步服务单元23间的数据交互会通过网络信道,因此需要提供上述保护。其中第四随机数产生单元46,用于在应用服务系统端产生第四随机数;第三加密单元47,用于对所述第四随机数进行加密得到密文,对所述密文进行签名后发送到第四解密单元48;第四解密单元48,用于接收第三加密单元发送的密文并对其进行验证,验证后解密获得第五随机数;第四加密单元49,用于利用第五随机数对资源供应服务单元要发送的指定访问对象的实体属性信息进行加密后发布到第三解密单元50;第三解密单元50,用于在应用服务系统端接受经加密的指定访问对象的实体属性信息,验证并进行解密获得第六随机数;第二比较单元51,将第六随机数与之前产生的第四随机数进行比较,若相同,则提取指定访问对象的实体属性信息。
如图5所示,为本发明实施例三对信息系统中访问对象信息统一维护的装置结构图。本实施例在图3所示实施例基础上加入了URPass的应用,URpass是配有USB接口的身份认证产品,符合ISO-4标准及X509 V3数字证书存储标准,支持RSA 1024/2048加密算法,可产生并存储使用者的个人证书、私钥和密码等。访问对象通过第一界面单元21与自维护服务单元24交互时,会向第一集中存储单元26提供其本身的实体信息和/认证信息的修改信息,该提供过程可以利用URPass建立安全套接层(Secure Sockets Layer,SSL)连接的方式保护信道安全,第一URPass单元34用于在访问对象向自维护服务单元24提供上述修改信息过程中,在第一界面单元21端提供访问对象证书,与自维护服务单元24端的证书一起完成SSL连接。
如图6所示,为本发明实施例三装置中的提供单元的结构图。本实施例在图4所示实施例基础上加入了优卡通URPass的应用。第二URPass单元52与图5中第一URPass单元34作用相同。第二URPass单元52为提供单元中的各个加解密单元提供密钥存储,在加解密单元使用密钥执行计算时提供所需密钥。访问对象通过第二界面单元40向索引管理服务单元42申请索引信息,可以将索引信息存储至第二URPass单元52中,防止被任意复制,也可通过第二URPass单元52保护索引信息。访问对象需要提取所需信息时,使用第二URPass单元52,将其中的索引信息提交给索引验证单元43,以执行提取流程。
如图7所示,本发明对信息系统中访问对象信息统一维护的方法包括步骤:S701,采集信息系统中各应用服务系统的访问对象的对象属性信息,该对象属性信息包括与访问对象唯一对应的实体信息及登录应用服务系统时的认证信息;S702,将所述对象属性信息进行集中处理,去除属于同一访问对象的冗余实体信息,得到不同访问对象的实体信息及与实体信息绑定的认证信息;S703,构建与实体信息有唯一映射关系且采用统一数据格式的实体标签;S704,将属于同一访问对象的实体标签、实体信息和认证信息组成一组实体属性信息集中进行存储;S705,利用所述映射关系在信息系统中以所述实体标签定位到执行操作的访问对象的实体属性信息,利用实体属性信息进行相关服务提供。
如图8所示为本发明实施例四中对信息系统中访问对象信息统一维护的方法流程图,该方法具体包括步骤:
S801,通过第一适配单元从各应用服务系统的数据库中提取访问对象的对象属性信息,通过集中处理单元执行数据格式转换,去除对象属性信息中的冲突数据和冗余数据,确定对同一访问对象起唯一鉴别标识作用的实体信息及与实体信息绑定的认证信息,并将所有访问对象的实体信息唯一映射为统一数据格式的实体标签,将属于同一访问对象的实体标签、实体信息和认证信息组成一组实体属性信息集中进行存储;
S802,访问对象通过所述第一界面单元查看对象属性信息(实体信息和认证信息)是否正确、完整,通过第一URPass单元中建立所述第一界面单元与自维护服务单元的安全连接,调整自身的对象属性信息数据后,由自维护服务单元转交系统管理服务单元,维护主体通过系统管理服务单元审核调整数据的有效性,通过后提交给所述自维护服务单元;
S803,自维护服务单元向第一集中存储单元传输访问对象调整后的对象属性信息数据并更新保存;
S804,自维护服务单元通知同步服务单元,通过第一适配单元更新各应用服务系统中访问对象对应的对象属性信息,在同步过程中使用前述加解密机制保护信道机密性和完整性;
S805,访问对象通过第二界面单元提交索引信息颁发请求,索引管理服务单元根据第一集中存储单元中实体属性信息产生实体属性信息的索引信息,并返回给所述第二界面单元,保存至第二URPass单元中;
S806,访问对象使用第二URPass单元提供索引信息请求索引,通过索引验证单元验证索引的有效性,以及是否确实属于索引提供方,验证通过后通知资源供应服务单元;
S807,资源供应服务单元利用索引信息作为查询和提取条件,从第一集中存储单元中首先索引到实体属性信息,根据索引信息提取与索引信息对应的信息,并缓存返回给访问对象;
S808,应用服务系统通过第二适配单元发起获取指定访问对象的实体属性信息的请求,资源供应服务通过第二适配单元向应用服务系统提供指定访问对象的实体属性信息的请求,该提供过程信道保护通过上述加解密过程执行,加解密过程中使用的密钥均从第二URPass单元中获得。
通过上述步骤,可以满足访问对象使用统一的实体标签访问各种应用服务,应用服务系统可以在登录、审批等需要访问对象对象属性信息的功能上,通过所述资源供应服务单元从实体属性信息缓存中获得,从而支持信息系统中各应用服务系统的各工作流程。对象属性信息的统一和集中存储也减少了维护复杂度,并在信息系统中形成唯一的实体标签如采用数字标签,通过索引将访问对象的实体和唯一实体标签一一映射起来,使得执行操作的访问对象可以直接利用实体标签定位到访问对象实体本身,增强系统安全。
最后应说明的是,以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解,其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换。而这些修改或者替换,并不使相应技术方案本质脱离本发明各实施例技术方案的精神和范围。
Claims (21)
1、一种对信息系统中访问对象信息统一维护的方法,其特征在于,包括:
采集信息系统中各应用服务系统的访问对象的对象属性信息,该对象属性信息包括与访问对象唯一对应的实体信息及登录应用服务系统时的认证信息;
将所述对象属性信息进行集中处理,去除属于同一访问对象的冗余实体信息,得到不同访问对象的实体信息及与实体信息绑定的认证信息;
构建与实体信息有唯一映射关系且采用统一数据格式的实体标签;
将属于同一访问对象的实体标签、实体信息和认证信息组成一组实体属性信息集中进行存储;
利用所述映射关系在信息系统中以所述实体标签定位到执行操作的访问对象的实体属性信息。
2、如权利要求1所述的方法,其特征在于,去除属于同一访问对象的冗余实体信息步骤包括:
将不同应用服务系统中的具有相同部分的实体信息对应的访问对象作为同一访问对象;
将该同一访问对象对应的所有实体信息中的重合部分进行冗余去除,得到该同一访问对象的的实体信息及与实体信息绑定的认证信息。
3、如权利要求1所述的方法,其特征在于,该方法还包括:
访问对象对所存储的其本身的实体属性信息中的实体信息和/或认证信息进行更新的步骤;
更新后通过在信息系统中发布更新后的实体信息和/或认证信息来同步更新应用服务系统中相应信息的步骤。
4、如权利要求3所述的方法,其特征在于,该方法还包括:
更新时对所更新的实体信息和/或认证信息进行验证的步骤。
5、如权利要求3所述的方法,其特征在于,发布更新后的实体信息和/或认证信息来同步更新应用服务系统中相应信息具体包括以下步骤:
由应用服务系统产生第一随机数,对所述第一随机数进行加密得到密文,对所述密文进行签名后发送;
接收密文并对其进行验证,验证后解密获得第二随机数,利用第二随机数对要发布的更新后的实体信息和/或认证信息进行加密后发布至应用服务系统;
应用服务系统接受经加密的更新后的实体信息和/或认证信息,验证并进行解密获得第三随机数;
应用服务系统将第三随机数与之前产生的第一随机数进行比较,若相同,则提取更新后的实体信息和/或认证信息进行更新操作。
6、如权利要求2所述的方法,其特征在于,
访问对象在对所存储的其本身的实体属性信息中的实体信息和/或认证信息进行更新前首先利用优卡通建立安全套接层连接。
7、如权利要求1所述的方法,其特征在于,该方法还包括步骤:
创建对所述实体属性信息进行索引的索引信息,并向访问对象颁发索引信息;
访问对象利用获得的索引信息请求索引,对索引信息有效性进行验证;
验证后进行索引得到实体属性信息,从得到的实体属性信息中根据索引信息中提取访问对象所需信息并返回。
8、如权利要求7所述的方法,其特征在于,
该方法中利用优卡通存储对访问对象所颁发的索引信息。
9、如权利要求1所述的方法,其特征在于,该方法还包括:
应用服务系统发起获取指定访问对象的实体属性信息的请求,根据所述请求将指定访问对象的实体属性信息提供给所述应用服务系统的步骤。
10、如权利要求9所述的方法,其特征在于,根据所述请求将指定访问对象的实体属性信息提供给所述应用服务系统具体包括步骤:
由应用服务系统产生第四随机数,对所述第四随机数进行加密得到密文,对所述密文进行签名后发送;
接收密文并对其进行验证,验证后解密获得第五随机数,利用第五随机数对要发送的指定访问对象的实体属性信息进行加密后发布至应用服务系统;
应用服务系统接受经加密的指定访问对象的实体属性信息,验证并进行解密获得第六随机数;
将第六随机数与之前产生的第四随机数进行比较,若相同,则提取指定访问对象的实体属性信息。
11、如权利要求1所述的方法,其特征在于,
获取访问对象登录应用服务系统时发送的认证信息;
所述应用服务系统接收认证信息并查询所存储的该认证信息对应的实体属性信息,根据该实体属性信息来进行访问对象的认证;
根据访问对象的实体属性信息提供所需服务。
12、一种对信息系统中访问对象信息统一维护的装置,其特征在于,包括:
采集单元,用于采集信息系统中各应用服务系统的访问对象的对象属性信息,该对象属性信息包括与访问对象唯一对应的实体信息及登录应用服务系统时的认证信息;
冗余处理单元,用于将所述采集单元所采集的对象属性信息进行集中处理,去除属于同一访问对象的冗余实体信息,得到不同访问对象的实体信息及与实体信息绑定的认证信息;
映射单元,用于构建与冗余处理单元得到的实体信息有唯一映射关系且采用统一数据格式的实体标签;
集中存储单元,用于根据映射单元所构建的实体标签及冗余处理得到的实体信息及与实体信息绑定的认证信息,将属于同一访问对象的实体标签、实体信息和认证信息组成一组实体属性信息集中进行存储;
定位单元,利用所述映射关系在信息系统中以集中存储单元存储的所述实体标签定位到执行操作的访问对象的实体属性信息。
13、如权利要求12所述的装置,其特征在于,该装置还包括:
自维护服务单元,用于供访问对象对集中存储单元所存储的其本身的实体属性信息中的实体信息和/或认证信息进行更新;
同步服务单元,用于在自维护服务单元完成更新后通过在信息系统中发布更新后的实体信息和/或认证信息来同步更新应用服务系统中相应信息。
14、如权利要求13所述的装置,其特征在于,该装置还包括:
系统管理服务单元,用于在自维护服务单元更新时对所更新的实体信息和/或认证信息进行验证。
15、如权利要求13所述的装置,其特征在于,该装置还包括:
第一随机数产生单元,用于在应用服务系统端产生第一随机数;
第一加密单元,用于对所述第一随机数进行加密得到密文,对所述密文进行签名后发送到第二解密单元;
第二解密单元,用于接收第一加密签名单元发送的密文并对其进行验证,验证后解密获得第二随机数;
第二加密单元,用于利用第二解密单元获得的第二随机数对要发布的更新后的实体信息和/或认证信息进行加密后发布至第一解密单元;
第一解密单元,用于在应用服务系统端接受第二加密单元所加密的更新后的实体信息和/或认证信息,验证并进行解密获得第三随机数;
第一比较单元,用于将第一解密单元获得的第三随机数与第一随机数产生单元产生的第一随机数进行比较,若相同,则提取更新后的实体信息和/或认证信息进行更新操作。
16、如权利要求13所述的装置,其特征在于,该装置还包括:
第一优卡通单元,用于在访问对象对集中存储单元所存储的其本身的实体属性信息中的实体信息和/或认证信息进行更新前利用优卡通建立安全套接层连接。
17、如权利要求12所述的装置,其特征在于,该装置还包括:
索引管理服务单元,用于创建对所述集中存储单元所存储的实体属性信息进行索引的索引信息,并向访问对象颁发索引信息,利用索引信息进行索引得到实体属性信息,从得到的实体属性信息中根据索引信息中提取访问对象所需信息并返回;
索引验证单元,用于在访问对象利用索引管理服务单元颁发的索引信息请求索引后,对索引管理服务单元返回的索引信息有效性进行验证。
18、如权利要求17所述的装置,其特征在于,该装置还包括:
第二优卡通单元,用于利用优卡通存储索引管理服务单元对访问对象所颁发的索引信息。
19、如权利要求12所述的装置,其特征在于,该装置还包括:
资源供应服务单元,用于获取应用服务系统发起获取指定访问对象的实体属性信息的请求,根据所述请求将指定访问对象的实体属性信息提供给所述应用服务系统。
20、如权利要求19所述的装置,其特征在于,该装置还包括:
第四随机数产生单元,用于在应用服务系统端产生第四随机数;
第三加密单元,用于对第四随机数产生单元产生的第四随机数进行加密得到密文,对所述密文进行签名后发送到第四解密单元;
第四解密单元,用于接收第三加密单元发送的密文并对其进行验证,验证后解密获得第五随机数;
第四加密单元,用于利用第四解密单元获得的第五随机数对资源供应服务单元要发送的指定访问对象的实体属性信息进行加密后发布到第三解密单元;
第三解密单元,用于在应用服务系统端接受第三解密单元加密的指定访问对象的实体属性信息,验证并进行解密获得第六随机数;
第二比较单元,将第三解密单元获得的第六随机数与第四随机数产生单元产生的第四随机数进行比较,若相同,则提取指定访问对象的实体属性信息。
21、如权利要求12所述的装置,其特征在于,该装置还包括:
认证信息获取单元,用于获取访问对象登录应用服务系统时所发送的认证信息;
认证单元,用于根据应用服务系统接收的认证信息在集中存储单元中查询该认证信息对应的实体属性信息,根据该实体属性信息来对访问对象认证;
服务提供单元,用于根据访问对象的实体属性信息提供所需服务。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200910090454 CN101656720B (zh) | 2009-08-12 | 2009-08-12 | 对信息系统中访问对象信息统一维护的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200910090454 CN101656720B (zh) | 2009-08-12 | 2009-08-12 | 对信息系统中访问对象信息统一维护的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101656720A true CN101656720A (zh) | 2010-02-24 |
| CN101656720B CN101656720B (zh) | 2012-10-17 |
Family
ID=41710811
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 200910090454 Active CN101656720B (zh) | 2009-08-12 | 2009-08-12 | 对信息系统中访问对象信息统一维护的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101656720B (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103595713A (zh) * | 2013-11-08 | 2014-02-19 | 红云红河烟草(集团)有限责任公司 | 企业身份信息统一管理和鉴别平台 |
| CN104272300A (zh) * | 2012-04-23 | 2015-01-07 | 国际商业机器公司 | 通过加密在数据去重复系统中保留冗余性 |
| CN105306478A (zh) * | 2015-11-11 | 2016-02-03 | 上海熙菱信息技术有限公司 | Http协议数据规格化的系统及方法 |
| US9767113B2 (en) | 2012-04-23 | 2017-09-19 | International Business Machines Corporation | Preserving redundancy in data deduplication systems by designation of virtual address |
| US9779103B2 (en) | 2012-04-23 | 2017-10-03 | International Business Machines Corporation | Preserving redundancy in data deduplication systems |
| CN107451280A (zh) * | 2017-08-07 | 2017-12-08 | 北京小度信息科技有限公司 | 数据打通方法、装置及电子设备 |
| CN107463618A (zh) * | 2017-07-04 | 2017-12-12 | 北京奇艺世纪科技有限公司 | 一种索引创建方法和装置 |
| US10133747B2 (en) | 2012-04-23 | 2018-11-20 | International Business Machines Corporation | Preserving redundancy in data deduplication systems by designation of virtual device |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050055583A1 (en) * | 2003-09-05 | 2005-03-10 | Matsushita Electric Industrial Co., Ltd. | Data management apparatus, data management method and program thereof |
-
2009
- 2009-08-12 CN CN 200910090454 patent/CN101656720B/zh active Active
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9798734B2 (en) | 2012-04-23 | 2017-10-24 | International Business Machines Corporation | Preserving redundancy in data deduplication systems by indicator |
| US10152486B2 (en) | 2012-04-23 | 2018-12-11 | International Business Machines Corporation | Preserving redundancy in data deduplication systems by designation of virtual device |
| US10691670B2 (en) | 2012-04-23 | 2020-06-23 | International Business Machines Corporation | Preserving redundancy in data deduplication systems by indicator |
| US9767113B2 (en) | 2012-04-23 | 2017-09-19 | International Business Machines Corporation | Preserving redundancy in data deduplication systems by designation of virtual address |
| US9779103B2 (en) | 2012-04-23 | 2017-10-03 | International Business Machines Corporation | Preserving redundancy in data deduplication systems |
| US9792450B2 (en) | 2012-04-23 | 2017-10-17 | International Business Machines Corporation | Preserving redundancy in data deduplication systems by encryption |
| CN104272300A (zh) * | 2012-04-23 | 2015-01-07 | 国际商业机器公司 | 通过加密在数据去重复系统中保留冗余性 |
| US9824228B2 (en) | 2012-04-23 | 2017-11-21 | International Business Machines Corporation | Preserving redundancy in data deduplication systems by encryption |
| US10133747B2 (en) | 2012-04-23 | 2018-11-20 | International Business Machines Corporation | Preserving redundancy in data deduplication systems by designation of virtual device |
| CN104272300B (zh) * | 2012-04-23 | 2018-12-21 | 国际商业机器公司 | 通过加密在数据去重复系统中保留冗余性 |
| CN103595713A (zh) * | 2013-11-08 | 2014-02-19 | 红云红河烟草(集团)有限责任公司 | 企业身份信息统一管理和鉴别平台 |
| CN105306478A (zh) * | 2015-11-11 | 2016-02-03 | 上海熙菱信息技术有限公司 | Http协议数据规格化的系统及方法 |
| CN107463618A (zh) * | 2017-07-04 | 2017-12-12 | 北京奇艺世纪科技有限公司 | 一种索引创建方法和装置 |
| CN107451280A (zh) * | 2017-08-07 | 2017-12-08 | 北京小度信息科技有限公司 | 数据打通方法、装置及电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101656720B (zh) | 2012-10-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101656720B (zh) | 对信息系统中访问对象信息统一维护的方法及装置 | |
| CN107528688B (zh) | 一种基于加密委托技术的区块链密钥保管及恢复方法、装置 | |
| US20220191012A1 (en) | Methods For Splitting and Recovering Key, Program Product, Storage Medium, and System | |
| EP3324355B1 (en) | Contract agreement method, agreement verification method, contract agreement system, agreement verification device, contract agreement device, contract agreement program and agreement verification program | |
| CN103714637B (zh) | 一种传输密钥发送方法及系统、操作终端 | |
| CN107465689B (zh) | 云环境下的虚拟可信平台模块的密钥管理系统及方法 | |
| CN101090316B (zh) | 离线状态下存储卡与终端设备之间的身份认证方法 | |
| CN104917741B (zh) | 一种基于usbkey的明文文档公网安全传输系统 | |
| WO2015072203A1 (ja) | 情報配信システム | |
| CN114730420A (zh) | 用于生成签名的系统和方法 | |
| CN110519046B (zh) | 基于一次性非对称密钥对和qkd的量子通信服务站密钥协商方法和系统 | |
| US20220038263A1 (en) | Method, User Device, Management Device, Storage Medium and Computer Program Product For Key Management | |
| CN107454079A (zh) | 基于物联网平台的轻量级设备认证及共享密钥协商方法 | |
| US11831753B2 (en) | Secure distributed key management system | |
| CN101605137A (zh) | 安全分布式文件系统 | |
| KR20110140122A (ko) | 인증서 및 키를 가지는 제품을 생산하기 위한 방법 | |
| CN112565265B (zh) | 物联网终端设备间的认证方法、认证系统及通讯方法 | |
| CN111104691A (zh) | 敏感信息的处理方法、装置、存储介质及设备 | |
| CN105207776A (zh) | 一种指纹认证方法及系统 | |
| CN109992994A (zh) | 一种基于区块链的人事档案管理方法及系统 | |
| CN111737770A (zh) | 一种密钥管理方法及应用 | |
| CN104125239B (zh) | 一种基于数据链路加密传输的网络认证方法和系统 | |
| KR20220014095A (ko) | 블록체인 기반의 데이터 분산 관리 방법 및 이를 위한 장치 | |
| KR101639714B1 (ko) | 스마트 그리드 기기 인증 방법 | |
| CN108965279A (zh) | 数据处理方法、装置、终端设备及计算机可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 100015 Beijing city Chaoyang District Dongzhimen West eight Street No. 2 room Wanhong Yan Dong Business Garden Patentee after: Beijing Watchdata Limited by Share Ltd Address before: 100015 Beijing city Chaoyang District Dongzhimen West eight Street No. 2 room Wanhong Yan Dong Business Garden Patentee before: Beijing Woqi Data System Co., Ltd. |
|
| CP01 | Change in the name or title of a patent holder |