CN105430013B - 一种信息访问控制方法及系统 - Google Patents
一种信息访问控制方法及系统 Download PDFInfo
- Publication number
- CN105430013B CN105430013B CN201511001234.9A CN201511001234A CN105430013B CN 105430013 B CN105430013 B CN 105430013B CN 201511001234 A CN201511001234 A CN 201511001234A CN 105430013 B CN105430013 B CN 105430013B
- Authority
- CN
- China
- Prior art keywords
- information
- transaction
- visitor
- item
- access authority
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/40—Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
- G06Q20/401—Transaction verification
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0245—Filtering by information in the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Finance (AREA)
- Strategic Management (AREA)
- Physics & Mathematics (AREA)
- General Business, Economics & Management (AREA)
- General Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本申请公开一种信息访问控制方法和系统,所述方法和系统在实现交易级别的信息访问控制基础上,利用预先为访问者配置的对已授权交易中各信息项的信息项访问权限,继续对待返回的目标交易信息进行信息项过滤,实现将所述目标交易信息中未向所述访问者授权的信息项滤除掉,可见,本申请实现了一种基于信息项过滤的信息项级别的访问控制方案,在应用本申请方案实现对交易包括的各信息项进行输出控制时,无需预先为信息系统中的每种交易开发不同的版本,从而,本申请在仅需较低开发成本的前提下,实现了信息项级别的信息访问控制,提升了信息系统的信息安全程度。
Description
技术领域
本发明属于信息安全及信息访问控制技术领域,尤其涉及一种信息访问控制方法及系统。
背景技术
在金融信息领域,信息安全一直是系统开发者、系统使用者和监管方所关注的重点问题,而与此相关的安全认证、基于授权权限的信息访问控制等信息安全技术与手段,也是丰富多彩。
目前,在金融信息领域中,大多数的基于授权权限的信息访问控制方案,仅实现了访问信息系统的两级控制,一是控制访问者访问系统的权限,二是控制访问者访问系统中某些交易的权限,而未能实现更细级别的控制,如未能实现从交易信息项的控制角度,来定义并控制交易中的哪些信息项可被输出访问,哪些信息项不可被输出访问,从而导致信息系统的信息安全程度较低。例如,银行的各前端应用系统在访问后台的数据中心时,数据中心仅能基于各前端应用系统所对应的权限,定义并控制各前端应用系统所能够访问的交易,而不能对交易中包含的信息项进行输出控制。而少数已实现信息项访问控制的控制方案,一般是通过反复开发每种交易的不同版本(同种交易的不同版本具有不同的信息项),来实现信息项级别的访问控制,此种实现方式大大增加了系统的前期开发成本。
通过以上的阐述可知,本领域亟需提供一种较优的、基于信息项级别的信息访问控制方案,以实现在较低开发成本的前提下,提升信息系统的信息安全程度。
发明内容
有鉴于此,本发明的目的在于提供一种信息访问控制方法及系统,旨在实现在较低开发成本的前提下,实现信息项级别的信息访问控制,以提升信息系统的信息安全程度。
为此,本发明公开如下技术方案:
一种信息访问控制方法,包括:
在接收到访问者的访问请求时,获取所述访问者的访问权限;其中,所述访问请求包括待访问目标交易的交易标识,所述访问权限包括:预先配置的对应于目标信息系统中各交易的交易访问权限,以及对应于已授权交易中各信息项的信息项访问权限;
基于所述交易访问权限及所述交易标识,判断所述访问者是否具备访问所述目标交易的权限;
如果具备,则从所述目标信息系统中获取与所述访问请求相匹配的第一目标交易信息;
基于所述信息项访问权限,对所述第一目标交易信息中未向所述访问者授权的信息项进行过滤,得到第二目标交易信息;
反馈所述第二目标交易信息至所述访问者。
上述方法,优选的,所述获取所述访问者的访问权限包括:
基于预先为所述访问者配置的交易授权表,获取所述访问者的交易访问权限;其中,所述交易授权表包括:所述访问者在所述目标信息系统中被授权的各个交易的交易标识;
基于预先为所述访问者配置的结果过滤表,获取所述访问者的信息项访问权限;其中,所述结果过滤表包括:在已授权的交易中未对所述访问者授权的各信息项的标识。
上述方法,优选的,所述基于所述信息项访问权限,对所述第一目标交易信息中未向所述访问者授权的信息项进行过滤,包括:
基于所述结果过滤表,将所述第一目标交易信息中未向所述访问者授权的各信息项重新赋值为空值,得到第二目标交易信息。
上述方法,优选的,还包括:
基于所述访问者提交的验证信息,对所述访问者进行身份验证,并在验证通过后,触发所述步骤:在接收到访问者的访问请求时,获取所述访问者的访问权限。
上述方法,优选的,所述访问权限为管理员基于所述访问者的权限级别预先配置的信息,则所述方法还包括:
接收管理员对所述访问权限进行管理时所提交的新的配置信息,并基于所述新的配置信息对所述访问权限进行更新存储。
一种信息访问控制系统,包括:
第一获取模块,用于在接收到访问者的访问请求时,获取所述访问者的访问权限;其中,所述访问请求包括待访问目标交易的交易标识,所述访问权限包括:预先配置的对应于目标信息系统中各交易的交易访问权限,以及对应于已授权交易中各信息项的信息项访问权限;
判断模块,用于基于所述交易访问权限及所述交易标识,判断所述访问者是否具备访问所述目标交易的权限;
第二获取模块,用于在具备时,从所述目标信息系统中获取与所述访问请求相匹配的第一目标交易信息;
过滤模块,用于基于所述信息项访问权限,对所述第一目标交易信息中未向所述访问者授权的信息项进行过滤,得到第二目标交易信息;
反馈模块,用于反馈所述第二目标交易信息至所述访问者。
上述系统,优选的,所述第一获取模块包括:
第一获取单元,用于基于预先为所述访问者配置的交易授权表,获取所述访问者的交易访问权限;其中,所述交易授权表包括:所述访问者在所述目标信息系统中被授权的各个交易的交易标识;
第二获取单元,用于基于预先为所述访问者配置的结果过滤表,获取所述访问者的信息项访问权限;其中,所述结果过滤表包括:在已授权的交易中未对所述访问者授权的各信息项的标识。
上述系统,优选的,所述过滤模块包括:
重新赋值单元,用于基于所述结果过滤表,将所述第一目标交易信息中未向所述访问者授权的各信息项重新赋值为空值,得到第二目标交易信息。
上述系统,优选的,还包括:
身份验证模块,用于基于所述访问者提交的验证信息,对所述访问者进行身份验证,并在验证通过后,触发所述第一获取模块。
上述系统,优选的,还包括:
访问权限管理模块,用于接收管理员对所述访问权限进行管理时所提交的新的配置信息,并基于所述新的配置信息对所述访问权限进行更新存储。
由以上方案可知,本申请公开的信息访问控制方法和系统,在实现交易级别的信息访问控制基础上,利用预先为访问者配置的对已授权交易中各信息项的信息项访问权限,继续对待返回的目标交易信息进行信息项过滤,实现将所述目标交易信息中未向所述访问者授权的信息项滤除掉,可见,本申请实现了一种基于信息项过滤的信息项级别的访问控制方案,在应用本申请方案实现对交易包括的各信息项进行输出控制时,无需预先为信息系统中的每种交易开发不同的版本,从而,本申请在仅需较低开发成本的前提下,实现了信息项级别的信息访问控制,提升了信息系统的信息安全程度。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1是本发明实施例一提供的信息访问控制方法流程图;
图2(a)是本发明实施例一提供的交易授权表示例图;
图2(b)是本发明实施例一提供的结果过滤表示例图;
图3是本发明实施例二提供的信息访问控制方法流程图;
图4是本发明实施例三提供的信息访问控制方法流程图;
图5-图7是本发明实施例四提供的信息访问控制系统的结构示意图。
具体实施方式
为了引用和清楚起见,下文中使用的技术名词、简写或缩写总结解释如下:
Spring AOP:Spring面向切面编程,针对业务处理过程中的切面进行提取,针对处理过程中的某个阶段进行编码,以获得逻辑过程中各个部分之间低耦合性的隔离效果。
JAVA反射机制:在运行状态中,对任意一个类,都能够知道这个类的所有属性和方法,对于任意一个对象,都能够调用它的任意一个方法和属性,这种动态获取的信息,以及动态调用对象的方法的功能称为Java语言的反射机制。
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例一
本发明实施例一公开一种信息访问控制方法,参考图1,所述方法可以包括以下步骤:
S101:在接收到访问者的访问请求时,获取所述访问者的访问权限;其中,所述访问请求包括待访问目标交易的交易标识,所述访问权限包括:预先配置的对应于目标信息系统中各交易的交易访问权限,以及对应于已授权交易中各信息项的信息项访问权限。
本申请具体为信息系统维护一个交易信息表,所述交易信息表记录所述信息系统包括的所有交易的交易清单,以及各个交易所包括的信息项清单;同时为信息系统的每个合法访问者维护一个交易授权表和一个结果过滤表,其中,访问者对应的交易授权表包括该访问者在所述信息系统中被授权的各个交易的交易标识,如交易ID(identity,身份标识号码)、交易名称等;所述结果过滤表包括在已授权的交易中未对所述访问者授权的各信息项的标识,如未授权字段的字段名称等,即所述结果过滤表中配置的各信息项视为敏感信息项,不能被输出访问。
参考图2(a)和图2(b),其中,图2(a)为本实施例提供的一交易授权表示例,在该示例中,所述交易授权表包括访问者(即所述前端应用系统)ID、访问者名称、在信息系统中对访问者已授权的各交易的交易ID以及交易名称;图2(b)为本实施例提供的一结果过滤表示例,在该示例中,所述结果过滤表包括访问者ID、访问者名称、已授权的各交易的交易ID、交易名称、以及在已授权交易中未被授权的字段的字段名称。
所述交易授权表和所述结果过滤表共同构成所述访问者访问信息系统时的信息访问控制规则,本申请分别基于所述交易授权表、所述结果过滤表实现交易级别及信息项级别的信息访问控制,所述交易授权表和所述结果过滤表的具体内容,可由管理员预先基于所述交易信息表、访问者的权限级别以及需遵循的业务信息安全管理要求进行配置。
基于此,本步骤具体可通过读取为访问者预先配置并维护的交易授权表和结果过滤表,来获知所述访问者对目标信息系统的交易访问权限以及信息项访问权限,即获知所述访问者可以对目标信息系统中的哪些交易进行访问,以及可以对可访问交易中的哪些信息项进行访问。以银行等金融领域的数据中心数据库为例,通过所述交易授权表和结果过滤表,可获知访问者对数据中心各交易的访问权限以及对已授权交易中各字段的访问权限。
S102:基于所述交易访问权限及所述交易标识,判断所述访问者是否具备访问所述目标交易的权限。
本步骤具体可通过将访问者请求的目标交易与所述交易授权表进行匹配,来识别访问者是否具备访问所述目标交易的权限,如果所述目标交易能够与所述交易授权表中配置的某项交易匹配成功,则表征该访问者具备访问所述目标交易的权限,否则,如果未能匹配成功,则该访问者不具备访问所述目标交易的权限。
S103:如果具备,则从所述目标信息系统中获取与所述访问请求相匹配的第一目标交易信息。
当判断出所述访问者具备访问所述目标交易的权限时,响应所述访问者的访问请求,从目标信息系统中为所述访问者提取出与所述访问请求相匹配的第一目标交易信息,对于银行数据中心的数据库系统来讲,本步骤具体可实现为访问者初步生成(不反馈)一系列与其请求的目标交易相匹配的数据记录,并缓存。
相反,如果所述访问者不具备访问所述目标交易的权限,即所述访问者越权访问,则不对所述访问请求进行响应。从而,实现了在交易级别对访问者的信息访问进行控制。
S104:基于所述信息项访问权限,对所述第一目标交易信息中未向所述访问者授权的信息项进行过滤,得到第二目标交易信息。
在响应访问者的访问请求,初步生成所述第一目标交易信息之后,本步骤继续基于所述结果过滤表中配置的各个敏感信息项(即未被授权的信息项),对所述第一目标交易信息进行信息项过滤处理,实现将所述第一目标交易信息中包括的各敏感信息项滤除掉,以控制各个所述敏感信息项不被输出。从而最终生成符合访问规则控制要求的可反馈数据,即生成所述第二目标交易信息。
对于银行数据中心的数据库系统来讲,本步骤实现了对交易记录(交易控制级别生成的响应结果)进行字段级别的信息过滤及输出控制。本实施例具体通过对交易记录中的各敏感字段进行重新赋值(例如为各敏感字段赋空值),实现对交易记录中的各敏感字段进行过滤。
参考图2(b),本实施例中,所述结果过滤表中的字段名称具体采用全路径字段名,所述全路径字段名包括类名和字段名两部分,如图2(b)示出的全路径字段名ri_nam,其共包括类名ri和字段名nam两部分。在此基础上,本实施例采用Spring的面向切面编程模式,对交易访问控制阶段生成的每个交易响应结果进行后置通知,在后置通知里,根据访问者标识和交易标识查询出该交易在结果过滤表中对应的全路径字段名列表,并把该列表中的每个全路径字段名拆分为类名和字段名两部分,之后,借助Java反射机制,依据拆分得到的类名获取到该类针对相应字段的赋值方法,并利用所述赋值方法将所述交易响应结果中的相应字段赋值为空值,从而,最终基于所述后置通知的相应处理逻辑,实现了对每个交易响应结果中的相应敏感字段进行赋空值,进而实现了对所述敏感字段的信息过滤及输出控制。
S105:反馈所述第二目标交易信息至所述访问者。
在对信息系统进行交易级别及信息项级别访问控制的基础上,最终可向访问者返回符合规则要求的、基于信息项这一更细级别访问控制的响应结果(即所述第二目标交易信息),供访问者使用。
由以上方案可知,本申请公开的信息访问控制方法,在实现交易级别的信息访问控制基础上,利用预先为访问者配置的对已授权交易中各信息项的信息项访问权限,继续对待返回的目标交易信息进行信息项过滤,实现将所述目标交易信息中未向所述访问者授权的信息项滤除掉,可见,本申请实现了一种基于信息项过滤的信息项级别的访问控制方案,在应用本申请方案实现对交易包括的各信息项进行输出控制时,无需预先为信息系统中的每种交易开发不同的版本,从而,本申请在仅需较低开发成本的前提下,实现了信息项级别的信息访问控制,提升了信息系统的信息安全程度。
实施例二
本实施例二中,参考图3,所述信息访问控制方法还可以包括以下步骤:
S106:基于所述访问者提交的验证信息,对所述访问者进行身份验证,并在验证通过后,触发所述步骤:在接收到访问者的访问请求时,获取所述访问者的访问权限。
在金融信息领域,为加强信息安全,在访问者对目标信息系统进行访问之前,一般需首先对访问者进行身份验证,身份验证通过,方可继续进行后续的信息访问,以此实现对访问者进行系统级别的信息访问控制。
例如,银行的各前端应用系统在对数据中心进行数据访问时,会首先向数据中心提交用户名和密码,从而数据中心可基于前端应用系统此次提交的数据名和密码,以及预先合法注册时记录的用户名和密码,实现对所述前端应用系统进行身份验证,从而结合实施例一的方案,本申请可实现对信息系统进行系统、交易以及信息项三个级别的信息访问控制,因此,相比于现有技术,本申请实现了更细级别的信息访问控制,进一步提升了信息系统的信息安全程度。
实施例三
本实施例三中,参考图4,所述信息访问控制方法还可以包括以下步骤:
S107:接收管理员对所述访问权限进行管理时所提交的新的配置信息,并基于所述新的配置信息对所述访问权限进行更新存储。
本实施例具体基于相应的人机交互界面为管理员提供所述交易信息表及所述结果过滤表的管理功能,管理员可基于实际需求,对相应访问者的交易信息表或结果过滤表进行信息配置或调整修改,从而系统在通过人机交互界面接收到管理员对所述交易信息表或所述结果过滤表提交的新的配置信息时,基于所述新的配置信息对所述交易信息表或所述结果过滤表进行更新存储,以此实现对访问者的访问权限或访问控制规则进行管理、调整。
实施例四
本实施例四公开一种信息访问控制系统,所述系统与以上各实施例公开的信息访问控制方法相对应。
相应于实施例一,参考图5,所述信息访问控制系统可以包括第一获取模块100、判断模块200、第二获取模块300、过滤模块400和反馈模块500。
第一获取模块100,用于在接收到访问者的访问请求时,获取所述访问者的访问权限;其中,所述访问请求包括待访问目标交易的交易标识,所述访问权限包括:预先配置的对应于目标信息系统中各交易的交易访问权限,以及对应于已授权交易中各信息项的信息项访问权限。
所述第一获取模块100包括第一获取单元和第二获取单元。
第一获取单元,用于基于预先为所述访问者配置的交易授权表,获取所述访问者的交易访问权限;其中,所述交易授权表包括:所述访问者在所述目标信息系统中被授权的各个交易的交易标识;
第二获取单元,用于基于预先为所述访问者配置的结果过滤表,获取所述访问者的信息项访问权限;其中,所述结果过滤表包括:在已授权的交易中未对所述访问者授权的各信息项的标识。
判断模块200,用于基于所述交易访问权限及所述交易标识,判断所述访问者是否具备访问所述目标交易的权限。
第二获取模块300,用于在具备时,从所述目标信息系统中获取与所述访问请求相匹配的第一目标交易信息。
过滤模块400,用于基于所述信息项访问权限,对所述第一目标交易信息中未向所述访问者授权的信息项进行过滤,得到第二目标交易信息。
所述过滤模块400包括重新赋值单元,用于基于所述结果过滤表,将所述第一目标交易信息中未向所述访问者授权的各信息项重新赋值为空值,得到第二目标交易信息。
反馈模块500,用于反馈所述第二目标交易信息至所述访问者。
相应于实施例二,参考图6,所述信息访问控制还系统可以包括身份验证模块600,用于基于所述访问者提交的验证信息,对所述访问者进行身份验证,并在验证通过后,触发所述第一获取模块。
相应于实施例三,参考图7,所述信息访问控制还系统可以包括访问权限管理模块700,用于接收管理员对所述访问权限进行管理时所提交的新的配置信息,并基于所述新的配置信息对所述访问权限进行更新存储。
对于本发明实施例四公开的信息访问控制系统而言,由于其与实施例一至实施例三公开的信息访问控制方法相对应,所以描述的比较简单,相关相似之处请参见实施例一至实施例三中信息访问控制方法部分的说明即可,此处不再详述。
需要说明的是,本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。
为了描述的方便,描述以上系统或装置时以功能分为各种模块或单元分别描述。当然,在实施本申请时可以把各单元的功能在同一个或多个软件和/或硬件中实现。
通过以上的实施方式的描述可知,本领域的技术人员可以清楚地了解到本申请可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例或者实施例的某些部分所述的方法。
最后,还需要说明的是,在本文中,诸如第一、第二、第三和第四等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (8)
1.一种信息访问控制方法,其特征在于,包括:
在接收到访问者的访问请求时,获取所述访问者的访问权限;其中,所述访问请求包括待访问目标交易的交易标识,所述访问权限包括:预先配置的对应于目标信息系统中各交易的交易访问权限,以及对应于已授权交易中各信息项的信息项访问权限;
基于所述交易访问权限及所述交易标识,判断所述访问者是否具备访问所述目标交易的权限;
如果具备,则从所述目标信息系统中获取与所述访问请求相匹配的第一目标交易信息;
基于所述信息项访问权限,对所述第一目标交易信息中未向所述访问者授权的信息项进行过滤,得到第二目标交易信息;
反馈所述第二目标交易信息至所述访问者;
其中,结果过滤表中包括在已授权的交易中未被授权的信息项的名称,每个信息项的名称采用全路径字段名,所述全路径字段名包括类名和字段名;
则所述基于所述信息项访问权限,对所述第一目标交易信息中未向所述访问者授权的信息项进行过滤,得到第二目标交易信息,包括:
对交易访问控制阶段生成的交易响应结果进行后置通知,所述交易响应结果包括所述第一目标交易信息;在后置通知里,根据访问者标识和交易标识查询出所述目标交易在结果过滤表中对应的全路径字段名列表,并把该列表中的每个全路径字段名拆分为类名和字段名两部分,之后,依据拆分得到的类名获取到该类针对相应字段的赋值方法,并利用所述赋值方法对所述交易响应结果中的相应字段重新赋值,以实现对重新赋值的该相应字段的敏感信息进行过滤。
2.根据权利要求1所述的方法,其特征在于,所述获取所述访问者的访问权限包括:
基于预先为所述访问者配置的交易授权表,获取所述访问者的交易访问权限;其中,所述交易授权表包括:所述访问者在所述目标信息系统中被授权的各个交易的交易标识;
基于预先为所述访问者配置的结果过滤表,获取所述访问者的信息项访问权限;其中,所述结果过滤表包括:在已授权的交易中未对所述访问者授权的各信息项的标识。
3.根据权利要求1所述的方法,其特征在于,还包括:
基于所述访问者提交的验证信息,对所述访问者进行身份验证,并在验证通过后,触发所述步骤:在接收到访问者的访问请求时,获取所述访问者的访问权限。
4.根据权利要求1-3任意一项所述的方法,其特征在于,所述访问权限为管理员基于所述访问者的权限级别预先配置的信息,则所述方法还包括:
接收管理员对所述访问权限进行管理时所提交的新的配置信息,并基于所述新的配置信息对所述访问权限进行更新存储。
5.一种信息访问控制系统,其特征在于,包括:
第一获取模块,用于在接收到访问者的访问请求时,获取所述访问者的访问权限;其中,所述访问请求包括待访问目标交易的交易标识,所述访问权限包括:预先配置的对应于目标信息系统中各交易的交易访问权限,以及对应于已授权交易中各信息项的信息项访问权限;
判断模块,用于基于所述交易访问权限及所述交易标识,判断所述访问者是否具备访问所述目标交易的权限;
第二获取模块,用于在具备时,从所述目标信息系统中获取与所述访问请求相匹配的第一目标交易信息;
过滤模块,用于基于所述信息项访问权限,对所述第一目标交易信息中未向所述访问者授权的信息项进行过滤,得到第二目标交易信息;
反馈模块,用于反馈所述第二目标交易信息至所述访问者;
其中,结果过滤表中包括在已授权的交易中未被授权的信息项的名称,每个信息项的名称采用全路径字段名,所述全路径字段名包括类名和字段名;
所述过滤模块包括:重新赋值单元,用于对交易访问控制阶段生成的交易响应结果进行后置通知,所述交易响应结果包括所述第一目标交易信息;在后置通知里,根据访问者标识和交易标识查询出所述目标交易在结果过滤表中对应的全路径字段名列表,并把该列表中的每个全路径字段名拆分为类名和字段名两部分,之后,依据拆分得到的类名获取到该类针对相应字段的赋值方法,并利用所述赋值方法对所述交易响应结果中的相应字段重新赋值,以实现对重新赋值的该相应字段的敏感信息进行过滤。
6.根据权利要求5所述的系统,其特征在于,所述第一获取模块包括:
第一获取单元,用于基于预先为所述访问者配置的交易授权表,获取所述访问者的交易访问权限;其中,所述交易授权表包括:所述访问者在所述目标信息系统中被授权的各个交易的交易标识;
第二获取单元,用于基于预先为所述访问者配置的结果过滤表,获取所述访问者的信息项访问权限;其中,所述结果过滤表包括:在已授权的交易中未对所述访问者授权的各信息项的标识。
7.根据权利要求5所述的系统,其特征在于,还包括:
身份验证模块,用于基于所述访问者提交的验证信息,对所述访问者进行身份验证,并在验证通过后,触发所述第一获取模块。
8.根据权利要求5-7任意一项所述的系统,其特征在于,还包括:
访问权限管理模块,用于接收管理员对所述访问权限进行管理时所提交的新的配置信息,并基于所述新的配置信息对所述访问权限进行更新存储。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201511001234.9A CN105430013B (zh) | 2015-12-28 | 2015-12-28 | 一种信息访问控制方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201511001234.9A CN105430013B (zh) | 2015-12-28 | 2015-12-28 | 一种信息访问控制方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105430013A CN105430013A (zh) | 2016-03-23 |
| CN105430013B true CN105430013B (zh) | 2019-06-28 |
Family
ID=55507954
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201511001234.9A Active CN105430013B (zh) | 2015-12-28 | 2015-12-28 | 一种信息访问控制方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105430013B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107480540B (zh) * | 2017-07-25 | 2019-10-01 | 中国工商银行股份有限公司 | 数据访问控制系统及方法 |
| CN108040046A (zh) * | 2017-12-07 | 2018-05-15 | 中国银行股份有限公司 | 数据访问控制方法和装置 |
| CN109815731A (zh) * | 2018-12-29 | 2019-05-28 | 深圳云天励飞技术有限公司 | 权限处理方法及相关设备 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101064609A (zh) * | 2007-05-25 | 2007-10-31 | 上海众恒信息产业有限公司 | 一种信息系统的访问控制方法及装置 |
| CN101640687A (zh) * | 2009-08-31 | 2010-02-03 | 国家信息中心 | 一种权限管理系统及方法 |
| CN102447677A (zh) * | 2010-09-30 | 2012-05-09 | 北大方正集团有限公司 | 资源访问控制方法、系统和设备 |
| CN104639320A (zh) * | 2013-11-12 | 2015-05-20 | 中国银联股份有限公司 | 业务权限控制设备 |
| CN104657656A (zh) * | 2015-03-06 | 2015-05-27 | 中国银行股份有限公司 | 一种基于银行系统的操控安全控制方法及装置 |
-
2015
- 2015-12-28 CN CN201511001234.9A patent/CN105430013B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101064609A (zh) * | 2007-05-25 | 2007-10-31 | 上海众恒信息产业有限公司 | 一种信息系统的访问控制方法及装置 |
| CN101640687A (zh) * | 2009-08-31 | 2010-02-03 | 国家信息中心 | 一种权限管理系统及方法 |
| CN102447677A (zh) * | 2010-09-30 | 2012-05-09 | 北大方正集团有限公司 | 资源访问控制方法、系统和设备 |
| CN104639320A (zh) * | 2013-11-12 | 2015-05-20 | 中国银联股份有限公司 | 业务权限控制设备 |
| CN104657656A (zh) * | 2015-03-06 | 2015-05-27 | 中国银行股份有限公司 | 一种基于银行系统的操控安全控制方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105430013A (zh) | 2016-03-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP4050503B1 (en) | Methods and systems for identity creation, verification and management | |
| Mohammed | A systematic literature mapping on secure identity management using blockchain technology | |
| US8424061B2 (en) | Method, system and program product for authenticating a user seeking to perform an electronic service request | |
| US8214446B1 (en) | Segmenting access to electronic message boards | |
| CN104050401B (zh) | 用户权限管理方法及系统 | |
| EP1828920B1 (en) | Consumer internet authentication service | |
| CN107342992A (zh) | 一种系统权限管理方法、装置及计算机可读存储介质 | |
| CN105830388B (zh) | 用于管理目录服务的身份池桥接 | |
| CN110495132A (zh) | 用于在分布式网络节点内生成、上传和执行代码区块的系统和方法 | |
| CN107172054A (zh) | 一种基于cas的权限认证方法、装置及系统 | |
| CN108615148A (zh) | 一种基于区块链技术的担保资产前置交易方法及系统 | |
| CN110177120A (zh) | 一种单点登录的方法、装置及计算机可读存储介质 | |
| JP2015534138A (ja) | セキュアな認証及び情報の共有と分析のための方法及びシステム | |
| CN114363352B (zh) | 基于区块链的物联网系统跨链交互方法 | |
| CN105430013B (zh) | 一种信息访问控制方法及系统 | |
| CN103023921A (zh) | 一种认证接入方法和认证系统 | |
| KR20190107601A (ko) | 사용자 개시 연합 아이덴티티의 생성을 위한 방법 및 시스템 | |
| CN110245843B (zh) | 一种基于区块链的信息管理的方法及相关装置 | |
| KR102297924B1 (ko) | PS-LTE용 FIDO 거래인증 기반의 OneID 기록관리 블록체인 시스템 | |
| CN108304731A (zh) | 一种管理企业数据调用的方法、系统及信息处理平台 | |
| Everest | The objectives of database management | |
| CN110457116A (zh) | 处理事务请求的方法及装置 | |
| CN109377227A (zh) | 一种公共数据平台上的私有数据交易方法 | |
| US11989267B2 (en) | Blockchain encoding system | |
| CN117574399A (zh) | 一种基于负面清单的资源授权管控方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |