CN107196896A - 用户权限管理方法及装置 - Google Patents
用户权限管理方法及装置 Download PDFInfo
- Publication number
- CN107196896A CN107196896A CN201611258164.XA CN201611258164A CN107196896A CN 107196896 A CN107196896 A CN 107196896A CN 201611258164 A CN201611258164 A CN 201611258164A CN 107196896 A CN107196896 A CN 107196896A
- Authority
- CN
- China
- Prior art keywords
- authentication
- user
- message
- target
- predetermined registration
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0861—Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- Biomedical Technology (AREA)
- General Health & Medical Sciences (AREA)
- Telephonic Communication Services (AREA)
Abstract
本申请提供一种用户权限管理方法及装置,其在任意用户对信息系统进行操作的过程中,服务端对有权限要求的预设操作对应的预设操作请求,通过确定对应的目标认证方式、根据该目标认证方式确定至少一个目标认证用户,并向目标认证用户发送认证请求消息,目标认证用户可以通过指纹、手势码等多种方式中的任一种进行实时认证,生产并向服务端返回认证响应消息,服务端根据目标认证用户返回的认证响应消息判断是否执行操作用户所请求的预设操作,从而可以及时发现并控制在用户操作过程中可能出现的敏感操作,提高信息系统的安全性。本申请提供的认证过程不会受到短信网关等限制,从而可以降低维护成本,而且还可以提高用户体验,提高认证效率。
Description
技术领域
本申请涉及信息安全技术领域,尤其涉及一种用户权限管理方法及装置。
背景技术
随着经济和信息技术的发展,越来越多的企业通过建立信息系统,实现了对企业信息的采集、整理、加工、传播、存储及利用,力求在计划、组织、领导和控制企业活动时可以达到资源有效配置、共享管理、协调运作,以最少的消耗创造最大的效益。由于企业信息系统往往涉及到企业重要核心域、业务系统及业务服务,保障核心业务数据、运行安全,规范操作人员敏感操作行为,控制运维敏感操作、高危操作等行为权限,降低丢失、篡改、违规获取企业信息的风险等显得尤为重要。
现有应用较普遍的一种对信息系统中用户权限的管理方式,预先为每个用户配置相应的用户权限,当用户登录到该信息系统上之后,可以执行其对应的权限范围内所允许的操作;这种方法缺少相应的过程审批,无法控制用户登录后操作过程中可能出现的敏感操作,安全性较低。
因此,亟需一种新的用户权限管理方案,以更便捷、高效地实现用户在信息系统中操作权限管理,保障信息系统的安全。
发明内容
本申请提供了一种用户权限管理方法及装置,以更便捷、高效地实现用户在信息系统中操作权限管理,保障信息系统的安全。
为了解决上述技术问题,本申请实施例公开了如下技术方案:
本申请实施例的第一方面,提供一种用户权限管理方法,应用于信息系统的服务端,包括:
当接收到预设操作请求时,确定所述预设操作请求对应的目标认证方式;
根据所述目标认证方式确定至少一个目标认证用户,并向所述目标认证用户发送认证请求消息;
接收所述目标认证用户返回的认证响应消息;
当所有目标认证用户返回的认证响应消息均为表示认证通过的第一响应消息时,执行所述预设操作请求对应的预设操作。
可选的,当所述目标认证方式为个人认证时,根据所述目标认证方式确定至少一个目标认证用户,包括:确定所述预设操作请求对应的操作用户为所述目标认证用户;
相应的,向所述目标认证用户发送认证请求消息,包括:向所述操作用户发送认证请求消息。
可选的,当所述目标认证方式为多人协同认证时,根据所述目标认证方式确定至少一个目标认证用户,包括:确定所述预设操作请求对应的操作用户,和/或,与所述操作用户相关的责任人用户为所述目标认证用户;
相应的,向所述目标认证用户发送认证请求消息,包括:同时向每个责任人用户发送所述认证请求消息。
可选的,当所述目标认证方式为多人审批认证时,根据所述目标认证方式确定至少一个目标认证用户,包括:确定与所述预设操作请求对应的操作用户相关的至少两个责任人用户为所述目标认证用户;
相应的,向所述目标认证用户发送认证请求消息,包括:
确定所述至少两个责任人用户的认证顺序;
对于任意两个认证顺序相邻的责任人用户,优先向认证顺序靠前的第一责任人用户发送所述认证请求消息,并在所述第一责任人用户返回的认证响应消息为所述第一响应消息时,向认证顺序靠后的第二责任人发送认证请求消息。
本申请实施例的第二方面,提供一种用户权限管理方法,应用于信息系统的客户端,包括:
接收所述信息系统服务端发送的系统消息,所述系统消息至少包括认证请求消息;
根据所述认证请求消息采集用户的至少一种第一认证信息;
根据采集到的第一认证信息生成与所述认证请求消息对应的认证响应消息;
将所述认证响应消息发送至所述信息系统服务端,以使所述信息系统服务端根据所述认证响应消息判断是否执行相应的预设操作。
可选的,所述方法还包括:
确定接收到的每条系统消息的消息类别;
根据所述消息类别对所述系统消息进行管理。
可选的,所述消息类别包括仅在预设时长内有效的即时类别;
根据所述消息类别对所述系统消息进行管理,包括:
对于任一属于所述即时类别的第一系统消息,在所述第一系统消息被显示后,和/或,在当前时刻与所述第一系统消息的接收时刻之间的间隔时长超过所述第一系统消息对应的预设时长时,删除所述第一系统消息。
可选的,所述方法还包括:
当接收到系统消息查看请求时,判断所述系统消息查看请求对应的第二系统消息是否为预设敏感消息;
当所述第二系统消息为预设敏感消息时,采集所述用户的至少一种第二认证信息;
根据所述第二认证信息判断是否显示所述第二系统消息。
可选的,所述第一认证信息包括指纹、二维码、动态码、手势码、声纹、面部图像中的至少一种;
所述第二认证信息包括指纹、二维码、动态码、手势码、声纹、面部图像中的至少一种。
本申请实施例的第三方面,提供一种用户权限管理装置,包括:
认证方式确定单元,用于在接收到预设操作请求时,确定所述预设操作请求对应的目标认证方式;
认证消息收发单元,用于根据所述目标认证方式确定至少一个目标认证用户,并向所述目标认证用户发送认证请求消息,接收所述目标认证用户返回的认证响应消息;
操作权限控制单元,用于在所有目标认证用户返回的认证响应消息均为表示认证通过的第一响应消息时,执行所述预设操作请求对应的预设操作。
可选的,所述认证消息收发单元包括以下至少一种:
个人认证收发单元,用于在所述目标认证方式为个人认证时,以所述预设操作请求对应的操作用户为所述目标认证用户,发送所述认证请求消息,并接收所述认证响应消息;
协同认证收发单元,用于在所述目标认证方式为多人协同认证时,以与所述预设操作请求对应的操作用户相关的至少两个责任人用户为所述目标认证用户,并同时向每个责任人用户发送所述认证请求消息,分别接收每个责任人用户返回的认证响应消息;
审批认证收发单元,用于在所述目标认证方式为多人审批认证时,以与所述预设操作请求对应的操作用户相关的至少两个责任人用户为所述目标认证用户,并确定所述至少两个责任人用户的认证顺序,对于任意两个认证顺序相邻的责任人用户,优先向认证顺序靠前的第一责任人用户发送所述认证请求消息,并在所述第一责任人用户返回的认证响应消息为所述第一响应消息时,向认证顺序靠后的第二责任人发送认证请求消息。
本申请实施例的第四方面,提供一种用户权限管理装置,包括:
系统消息接收单元,用于接收所述信息系统服务端发送的系统消息,所述系统消息至少包括认证请求消息;
认证消息处理单元,用于根据所述认证请求消息采集用户的至少一种第一认证信息,根据采集到的第一认证信息生成与所述认证请求消息对应的认证响应消息,并将所述认证响应消息发送至所述信息系统服务端,以使所述信息系统服务端根据所述认证响应消息判断是否执行相应的预设操作。
可选的,所述的装置还包括:
系统消息管理单元,用于确定接收到的每条系统消息的消息类别,并根据所述消息类别对所述系统消息进行管理;
所述系统消息管理单元至少包括:
消息失效处理单元,用于对于任一属于所述即时类别的第一系统消息,在所述第一系统消息被显示后,和/或,在当前时刻与所述第一系统消息的接收时刻之间的间隔时长超过所述第一系统消息对应的预设时长时,删除所述第一系统消息;
其中,所述属于所述即时类别的第一系统消息为仅在预设时长内有效的系统消息。
可选的,所述的装置还包括:
二次认证单元,用于在接收到系统消息查看请求时,判断所述系统消息查看请求对应的第二系统消息是否为预设敏感消息,并在所述第二系统消息为预设敏感消息时,采集所述用户的至少一种第二认证信息,根据所述第二认证信息判断是否显示所述第二系统消息。
可选的,所述认证消息处理单元采集的第一认证信息包括指纹、二维码、动态码、手势码、声纹、面部图像中的至少一种;
所述二次认证单元采集的第二认证信息包括指纹、二维码、动态码、手势码、声纹、面部图像中的至少一种。
由以上技术方案可知,本申请实施例在任意用户对信息系统进行操作的过程中,服务端对有权限要求的预设操作对应的预设操作请求,通过确定对应的目标认证方式、根据该目标认证方式确定至少一个目标认证用户,并向目标认证用户发送认证请求消息,目标认证用户可以通过指纹、手势码等多种方式中的任一种进行实时认证,生产并向服务端返回认证响应消息,服务端根据目标认证用户返回的认证响应消息判断是否执行操作用户所请求的预设操作,从而可以及时发现并控制在用户操作过程中可能出现的敏感操作,提高信息系统的安全性。本申请提供的认证过程不会受到短信网关等限制,从而可以降低维护成本,而且还可以提高用户体验,提高认证效率。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其它的附图。
图1为本申请实施例提供的一种应用于服务端的用户权限管理方法的流程图;
图2为本申请实施例中信息系统的架构图;
图3为本申请实施例提供的一种用户权限管理方法的信号流图;
图4为本申请实施例提供的一种认证请求消息显示界面示意图;
图5为本申请实施例提供的用户权限管理方法中执行个人认证时的信号流图;
图6为本申请实施例提供的用户权限管理方法中执行多人协同认证时的信号流图;
图7为本申请实施例提供的用户权限管理方法中执行多人审批认证时的信号流图;
图8为本申请实施例提供的一种应用于客户端的用户权限管理方法的流程图;
图9为本申请实施例提供的一种用户权限管理装置的结构示意图;
图10为本申请实施例提供的另一种用户权限管理装置的结构示意图。
具体实施方式
为了使本领域的技术人员更好地理解本申请实施例中的技术方案,并使本申请实施例的上述目的、特征和优点能够更加明显易懂,下面结合附图对本申请实施例中技术方案作进一步详细的说明。
图1为本申请实施例提供的一种应用于信息系统服务端的用户权限管理方法的流程图;该用户权限管理方法可以应用于任意一种信息系统,具体应用于信息系统的服务端。如图2所示,除了服务端100外,该信息系统还可以包括多个客户端200,各个客户端200与服务端100之间可以通过互联网进行通信,实现数据交互。
本申请实施例提供的用户权限管理方法,在任一用户对信息系统中的各种信息执行查看、修改、删除等操作的过程中,相关责任人可以通过各自的客户端对该用户的操作进行授权或禁止,实现在操作过程中对用户操作权限的控制。其中,客户端200可以为移动客户端,使得相关责任人随时随地完成对用户操作权限的控制。图3为该用户权限管理方法执行过程中该信息系统的服务端与客户端之间的数据交互信号流图。
参照图1和图3,该用户权限管理方法包括以下步骤:
S11、信息系统的服务端在接收到预设操作请求时,确定所述预设操作请求对应的目标认证方式,并根据所述目标认证方式确定至少一个目标认证用户。
本申请实施例中,可以预先将影响信息系统安全、需要相关责任人进行认证授权的敏感操作(如删除某些信息、修改某些信息等操作)标记为预设操作,其操作请求即为上述预设操作请求。用户可以通过个人电脑(Personal Computer,PC)或自己的移动客户端访问信息系统并请求执行信息查看、修改、删除等操作,此时PC或移动客户端即向服务端发送相应的操作请求:当该操作请求不是预设操作请求时,即不需要相关用户进行认证授权,服务端直接执行并响应该用户所请求的操作;当该操作请求为预设操作请求时,服务端执行上述步骤S11,开始对该用户的请求进行认证,以确定该用户是否具有执行该操作的权限。
可选的,服务端接收到的操作请求中可以包含提出该请求的用户输入的请求理由(即请求执行该操作的理由)、请求操作时间,还可以包含提成该请求的用户帐号等信息,如图4所示的一种客户端显示界面所显示的认证请求消息“用户A于2016年10月1日因业务调整需要,请求修改系统中的“产品报价”信息,请认证。”;可见,目标认证用户可以根据这些信息明确请求内容,从而做出正确合理的认证处理。
在本申请实施例中,综合考虑信息系统的安全性和用户操作时的便捷性,可以对信息系统的不同操作设置不同的权限等级,不同的权限等级对应设置不同的认证方式,即权限等级越高,认证过程越复杂、安全性越高(例如需要更多的用户参与认证)。因此,在接收到预设操作请求时,服务端首先执行步骤S11,确定该预设操作请求对应的目标认证方式。
本申请实施例中,不同的认证方式所需要的认证用户不完全相同,例如,权限等级较低的预设操作请求对应的目标认证方式,可以只需要一个目标认证用户,而权限等级较高的预设操作请求对应的目标认证方式,可以设置需要两个或两个以上目标认证用户同时参与认证。
S12、服务端向所述目标认证用户发送认证请求消息。
S13、服务端接收所述目标认证用户返回的认证响应消息。
本申请实施例中,信息系统的服务端在确定本次认证所需要的目标认证用户后,可以向该目标认证用户发送认证请求信息;目标认证用户可以通过移动客户端接收到该认证请求消息,并进行处理,以确定是否允许操作用户(即提出请求的用户)执行该认证请求消息所对应的预设操作,并生成相应的认证响应消息返回至服务端。
S14、当所有目标认证用户返回的认证响应消息均为表示认证通过的第一响应消息时,服务端执行所述预设操作请求对应的预设操作。
根据目标认证用户对上述认证请求消息的处理结果,上述认证响应消息至少可以包括两种:目标认证用户确认允许操作用户执行相应的预设操作,则生成的认证响应消息为表示认证通过的第一响应消息;反之,目标认证用户确认禁止操作用户执行相应的预设操作,则生成的认证响应消息为表示认证不通过的第二响应消息。
本申请实施例中,当且仅当信息系统的服务端接收到所有目标认证用户返回的认证响应消息且该认证响应消息均为第一响应消息时,说明所有的目标认证用户都允许操作用户执行相应的预设操作,此时服务端才执行并响应该预设操作。
反之,如果至少有一个目标认证用户未返回认证响应消息,或至少一个目标认证用户返回的认证响应消息为第二响应消息,则说明并不是所有的目标认证用户都允许操作用户执行该预设操作,此时为保障信息系统的安全性,服务端不继续响应该预设操作。
可选的,如果在预设时间内,服务端未接收到任一目标认证用户返回的认证响应消息,则可以默认该目标认证用户不允许操作用户执行相应的预设操作。
可选的,在服务端判定不响应操作用户请求的预设操作时,可以在操作用的操作界面显示相应的提示信息,以提示操作用户本次认证未通过,无权限执行其请求的操作。
由以上技术方案可知,本申请实施例在任意用户对信息系统进行操作的过程中,服务端对有权限要求的预设操作对应的预设操作请求,通过确定对应的目标认证方式、根据该目标认证方式确定至少一个目标认证用户,并向目标认证用户发送认证请求消息,根据目标认证用户返回的认证响应消息判断是否执行操作用户所请求的预设操作,从而可以及时发现并控制在用户操作过程中可能出现的敏感操作,提高信息系统的安全性。
可选的,本申请实施例中,上述认证请求消息可以通过互联网发送至各个目标认证用户的移动客户端,目标认证用户可以在移动客户端通过指纹、二维码、动态码、手势码、声纹、面部识别等任一种方式进行实时认证,以及时生成并返回相应的认证响应消息。
相对于相关技术中系统向用户手机发送短信验证码,让用户回复该短信或将该短信验证码输入到PC机的个人系统中实现过程审批的方式,本申请实施例通过互联网向目标认证用户发送认证请求消息,相应的目标认证用户可以在移动客户端处于联网状态时实时接收认证请求消息,并可以基于指纹、二维码等移动客户端支持的多种方式中的任一种处理该认证请求消息,并生成相应的认证响应消息,并仍通过互联网将该认证响应消息返回至服务端,既实现了操作过程中控制,又不会受到短信网关、用户移动设备种类及型号、运营商等限制,从而可以降低维护成本,而且还简化了控制过程中参与认证的用户的操作,即不再需要用户在移动端操作回复消息,或在PC端输入验证码,从而可以提高用户体验,提高认证效率。
在本申请一个可行的实施例中,对于权限要求较低的预设操作,在步骤S11中确定的目标认证方式可以为个人认证,即只需操作用户本人进行认证,故可以确定对应的目标认证用户仅一个,且为所述预设操作请求对应的操作用户;相应的,在步骤S12中,信息系统服务端直接向所述操作用户发送认证请求消息。
例如,参照图5,信息系统服务端接收到以用户A的帐号登录系统并发送的预设操作请求,在确定目标认证方式为个人认证时,同时也就确定了本次认证所需的目标认证用户为用户A(步骤S21),直接向用户A的移动客户端发送认证请求消息(步骤S22),用户A的客户端在接收到该认证请求消息时,根据用户A本人的处理操作生成认证相应的认证响应信息,并将其返回至服务端(步骤S23),服务端在判定用户A返回的认证响应信息为第一响应消息时,执行相应的预设操作(步骤S24),从而保证请求执行预设操作的用户为A本人,而不是其他无权限人员利用A的帐号执行该预设操作,不仅保障了信息系统的安全性,还可以及时提醒用户A自己的帐号被盗用。
在本申请另一个可行的实施例中,对于权限要求较高的预设操作,在步骤S11中确定的目标认证方式可以为多人协同认证,即需要两个或两个以上的相关用户参与认证,故可以确定对应的目标认证用户至少为两个,其中一个目标认证用户仍可以为所述预设操作请求对应的操作用户,其他目标认证用户可以为与该操作用户相关的一个或多个责任人,例如与该操作用户所属部门相同的用户,或者该操作用户所属部门的上级部门用户等。
例如,参照图6,信息系统服务端接收到以用户A的帐号登录系统并发送的预设操作请求,在确定目标认证方式为多人协同认证时,确定本次认证所需的目标认证用户为用户A和相关责任人B(步骤S31),然后同时分别向A和B的移动客户端发送认证请求消息(步骤S32),用户A的客户端根据用户A的处理操作生成相应的认证响应消息,并返回至服务端(步骤S331),同时,相关责任人B的客户端也根据B的处理操作生成相应的认证响应消息,并返回至服务端(步骤S332),当服务端接收到A和B返回的认证响应消息,并确认均为第一响应消息时,执行相应的预设操作(步骤S34)。可见,本次认证过程中同时有用户A和B参与,相对于图5所示的个人认证流程,可以提高相应操作的安全性。
可选的,在其他可行的实施例中,参与多人协同认证的目标认证用户可以不包含操作用户本人,而全部为该操作用户的相关责任人。
在本申请又一个可行的实施例中,对于权限要求较高的预设操作,在步骤S11中确定的目标认证方式可以为多人审批认证,即需要两个或两个以上的相关用户按照一定的顺序先后参与认证,故可以确定对应的目标认证用户至少为两个,且这些目标认证用户的认证顺序也是确定的,例如可以控制多个目标认证用户按照职位由低到高的顺序先后进行审批认证。其中,多人审批认证过程中,目标认证用户优选为与所述预设操作请求对应的操作用户相关的至少两个责任人,例如与该操作用户所属部门相同的用户、该操作用户所属部门的上级部门用户等。
例如,参照图7,信息系统服务端接收到以用户A的帐号登录系统并发送的预设操作请求,在确定目标认证方式为多人审批认证时,确定本次认证所需的目标认证用户为与用户A相关的责任人B和C(步骤S31),根据B和C的职位高低等因素确定首先由相关责任人B进行审批认证,故先向相关责任人B的移动客户端发送认证请求消息(步骤S421),相关责任人B的客户端根据B的处理操作生成相应的认证响应消息,并返回至服务端(步骤S431),服务端判断B返回的认证响应消息是否为表示认证通过的第一响应消息,如果不是,则服务端可以直接结束本次认证流程,而不再向相关责任人C发送认证请求消息,同时还可以生成表示本次审批认证未通过的提示信息,并将该提示信息展示给操作用户A。反之,如果B返回的认证响应消息是第一响应消息,则服务端继续向下一个相关责任人C发送上述认证请求消息(步骤S422);相关责任人C的客户端根据C的处理操作生成相应的认证响应消息,并返回至服务端(步骤S432),服务端判断C返回的认证响应消息是否为表示认证通过的第一响应消息,如果不是,则结束本次认证流程,如果是第一响应消息,则由于C为认证顺序排在最后一个的目标认证用户,故本次审批认证通过,服务端可以继续执行相应的预设操作。
可见,相对于图5和图6两种认证流程,图7所示多人审批认证流程更复杂,在提高信息系统的安全性的同时,还可以保证用最少的用户快速识别不合格的预设操作请求,减少用户操作的工作量,减少服务端与移动端的交互次数。
可选的,在其他可行的实施例中,操作用户本人也可以作为目标认证用户参与多人审批认证。
实际应用中,可以预先在服务端设置每种预设操作对应的目标认证方式及所需的目标认证用户,从而在接收到预设操作请求时,服务端可以直接查询得到本次认证应当采用的目标认证方式及所需的目标认证用户。
由以上技术方案可知,本申请实施例为信息系统提供了多种用户权限认证方式,使得用户权限管理过程更智能、安全性更高。
上文重点从服务端角度阐释了本申请提供的用户权限管理方法,下面结合图8介绍本申请实施例提供的另一种应用于信息系统客户端的用户权限管理方法的流程图。参照图8,该方法包括以下步骤:
S61、接收所述信息系统服务端发送的系统消息,所述系统消息至少包括认证请求消息。
S62、根据所述认证请求消息采集用户的至少一种第一认证信息。
客户端在接收到认证请求消息时,可以直接弹出信息提示框,以及时将该认证请求消息展示给用户;也可以在用户点击进入该认证请求消息的管理界面时,才进行显示。用户在看到该认证请求消息后,对其进行处理,具体可以通过该客户端支持的指纹、二维码、动态码、手势码、声纹、面部识别等任一种方式进行实时认证,此时,客户端接口采集到用户的第一认证信息,即该第一认证信息可以为指纹、二维码、动态码、手势码、声纹、面部图像中的至少一种。
S63、根据采集到的第一认证信息生成与所述认证请求消息对应的认证响应消息。
S64、将所述认证响应消息发送至所述信息系统服务端,以使所述信息系统服务端根据所述认证响应消息判断是否执行相应的预设操作。
上述过程中客户端与服务端的数据交互过程可以参照图3所示信号流图,此处不再赘述。
可选的,图6所示用户权限管理方法可以应用于移动客户端(例如智能手机、平板电脑等),使得目标认证用户可以及时接收到认证请求消息,并快速完成认证,提高认证效率。
可见,本申请实施例中,用户不需要关心每次预设操作具体采用哪种认证方式,而完全交给服务端进行控制,目标认证用户在其客户端执行的操作也都是相同的,不会因认证方式的不同而改变,因此,本申请实施例可以减少用户操作的复杂度,提高用户体验,同时提高认证效率。
可选的,步骤S63所述的根据采集到的第一认证信息生成与所述认证请求消息对应的认证响应消息,具体可以为客户端将采集倒的第一认证信息与自身存储的(或者认证请求消息中携带的)预设认证信息进行匹配,如果匹配成功,则生成表示认证通过的第一响应消息,如果匹配失败,则生成表示认证未通过的第二响应消息。
可选的,在步骤S63中,还可以直接将采集倒的第一认证信息编辑为认证响应消息返回至服务端,由服务端执行该第一认证信息与预设认证信息的匹配操作,并得到匹配结果,即得到认证结果。
在本申请一个可行的实施例中,应用于客户端的用户权限管理方法除了图8所示的实时认证步骤外,还可以包括以下步骤:
确定接收到的每条系统消息的消息类别;
根据所述消息类别对所述系统消息进行管理。
本申请实施例中,客户端和服务端之间的信息交互不仅限于认证请求/响应消息,客户端还可接收到其他系统消息,例如,服务端在执行预设操作后生成的“数据xxx已被修改”、“数据xxx已被删除”等操作结果提示消息。
可选的,可以根据系统消息的内容、时效性等因素进行分类。以时效性为例,可以分为仅在预设时长内有效的即时类别和一直有效的非即时类别;上述认证请求消息即为一种即时类别的系统消息。
本申请实施例通过对系统消息进行分类,并依据消息类别进行统一管理,不同类别的系统消息在不同的界面中进行显示,从而便于用户快速找到自己想看的消息。
在本申请一个可行的实施例中,针对上述即时类别的系统消息,该用户权限管理方法还可以包括以下步骤:
对于任一属于所述即时类别的第一系统消息,在所述第一系统消息被显示后,和/或,在当前时刻与所述第一系统消息的接收时刻之间的间隔时长超过所述第一系统消息对应的预设时长时,删除所述第一系统消息。
例如,对于某条认证请求消息,在其被展示后,或者生成相应的认证响应消息后,该认证请求消息即失效,从而可以立即将其删除,以节省存储空间。实际应用中,可能经过很长时间用户都未查看该认证请求消息,客户端也未能向服务端返回认证响应消息,为避免长时间等待认证结果,服务端可以直接默认该用户未通过认证,此时该认证请求消息也失效,故在某条认证请求消息在客户端中的存储时长超过预设时长时,也可以直接将其删除。
可见,上述对即时消息的管理过程,实现了阅后即焚,及时清理过期信息,避免过多无效信息长期占用存储空间。
在本申请一个可行的实施例中,上述用户权限管理方法还可以包括以下步骤:
当接收到系统消息查看请求时,判断所述系统消息查看请求对应的第二系统消息是否为预设敏感消息;
当所述第二系统消息为预设敏感消息时,采集所述用户的至少一种第二认证信息;
根据所述第二认证信息判断是否显示所述第二系统消息。
本申请实施例中,用户可以随时请求查看客户端接收到的系统消息,当用户请求查看的系统消息为预设敏感消息时,通过采集第二认证信息对提出该查看请求的用户进行实时认证,在认证通过后,客户端才展示该系统消息,从而进一步保障了信息的安全性。
可选的,上述第二认证信息也可以包括指纹、二维码、动态码、手势码、声纹、面部图像中的至少一种。
由以上技术方案可知,本申请实施例提供的应用于客户端的用户权限管理方法,不仅可以配合服务端在用户对信息系统执行操作的过程中进行实时认证,还可以对各种系统消息进行统一管理,及时清除无效系统消息,并对敏感系统消息的查看操作的二次认证,进一步提高信息系统在客户端的安全性。
相应的,本申请实施例还提供一种用户权限管理装置,该装置具体可以为信息系统的服务端,也可以为内置于服务端中的实现用户权限管理功能的芯片,或与服务端具有通信连接的独立管理装置。参照图9所示结构示意图,上述用户权限管理装置至少包括:
认证方式确定单元910,用于在接收到预设操作请求时,确定所述预设操作请求对应的目标认证方式;
认证消息收发单元920,用于根据所述目标认证方式确定至少一个目标认证用户,并向所述目标认证用户发送认证请求消息,接收所述目标认证用户返回的认证响应消息;
操作权限控制单元930,用于在所有目标认证用户返回的认证响应消息均为表示认证通过的第一响应消息时,执行所述预设操作请求对应的预设操作。
由以上技术方案可知,本申请实施例在任意用户对信息系统进行操作的过程中,服务端对有权限要求的预设操作对应的预设操作请求,通过确定对应的目标认证方式、根据该目标认证方式确定至少一个目标认证用户,并向目标认证用户发送认证请求消息,根据目标认证用户返回的认证响应消息判断是否执行操作用户所请求的预设操作,从而可以及时发现并控制在用户操作过程中可能出现的敏感操作,提高信息系统的安全性。
可选的,所述数据处理单元920具体可以包括以下至少一种:
个人认证收发单元,用于在所述目标认证方式为个人认证时,以所述预设操作请求对应的操作用户为所述目标认证用户,发送所述认证请求消息,并接收所述认证响应消息;
协同认证收发单元,用于在所述目标认证方式为多人协同认证时,以与所述预设操作请求对应的操作用户相关的至少两个责任人用户为所述目标认证用户,并同时向每个责任人用户发送所述认证请求消息,分别接收每个责任人用户返回的认证响应消息;
审批认证收发单元,用于在所述目标认证方式为多人审批认证时,以与所述预设操作请求对应的操作用户相关的至少两个责任人用户为所述目标认证用户,并确定所述至少两个责任人用户的认证顺序,对于任意两个认证顺序相邻的责任人用户,优先向认证顺序靠前的第一责任人用户发送所述认证请求消息,并在所述第一责任人用户返回的认证响应消息为所述第一响应消息时,向认证顺序靠后的第二责任人发送认证请求消息。
由以上技术方案可知,本申请实施例为信息系统提供了多种用户权限认证方式,使得用户权限管理过程更智能、安全性更高。
图10为另一实施例提供的用户权限管理装置的结构框图,该装置具体可以为信息系统的客户端,具体可以为智能手机、平板电脑等移动客户端,也可以为内置于客户端中的实现用户权限管理功能的芯片。参照图10,该装置至少包括:
系统消息接收单元1010,用于接收所述信息系统服务端发送的系统消息,所述系统消息至少包括认证请求消息;
认证消息处理单元1020,用于根据所述认证请求消息采集用户的至少一种第一认证信息,根据采集到的第一认证信息生成与所述认证请求消息对应的认证响应消息,并将所述认证响应消息发送至所述信息系统服务端,以使所述信息系统服务端根据所述认证响应消息判断是否执行相应的预设操作。
基于上述用户权限管理装置,用户可以及时接收到认证请求消息,并快速完成认证,提高认证效率。本申请实施例中,用户不需要关心每次预设操作具体采用哪种认证方式,而完全交给服务端进行控制,目标认证用户在其客户端执行的操作也都是相同的,不会因认证方式的不同而改变,因此,本申请实施例可以减少用户操作的复杂度,提高用户体验,同时提高认证效率。
可选的,所述认证消息处理单元采集的第一认证信息包括指纹、二维码、动态码、手势码、声纹、面部图像中的至少一种。
可选的,图10所示的用户权限管理装置还可以包括:
系统消息管理单元1030,用于确定接收到的每条系统消息的消息类别,并根据所述消息类别对所述系统消息进行管理。
其中,所述系统消息管理单元至少包括:
消息失效处理单元,用于对于任一属于所述即时类别的第一系统消息,在所述第一系统消息被显示后,和/或,在当前时刻与所述第一系统消息的接收时刻之间的间隔时长超过所述第一系统消息对应的预设时长时,删除所述第一系统消息。
所述属于所述即时类别的第一系统消息为仅在预设时长内有效的系统消息。
本申请实施例通过对系统消息进行分类,并依据消息类别进行统一管理,不同类别的系统消息在不同的界面中进行显示,从而便于用户快速找到自己想看的消息。同时,对即时消息的管理过程,实现了阅后即焚,及时清理过期信息,避免过多无效信息长期占用存储空间。
可选的,图10所示的用户权限管理装置还可以包括:
二次认证单元,用于在接收到系统消息查看请求时,判断所述系统消息查看请求对应的第二系统消息是否为预设敏感消息,并在所述第二系统消息为预设敏感消息时,采集所述用户的至少一种第二认证信息,根据所述第二认证信息判断是否显示所述第二系统消息。
可选的,所述二次认证单元采集的第二认证信息包括指纹、二维码、动态码、手势码、声纹、面部图像中的至少一种。
本申请实施例中,用户可以随时请求查看客户端接收到的系统消息,当用户请求查看的系统消息为预设敏感消息时,通过采集第二认证信息对提出该查看请求的用户进行实时认证,在认证通过后,客户端才展示该系统消息,从而进一步保障了信息的安全性。
关于上述实施例中的装置,其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不做详细阐述说明。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其它实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
应当理解的是,本发明并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本发明的范围仅由所附的权利要求来限制。
Claims (10)
1.一种用户权限管理方法,其特征在于,应用于信息系统服务端,包括:
当接收到预设操作请求时,确定所述预设操作请求对应的目标认证方式;
根据所述目标认证方式确定至少一个目标认证用户,并向所述目标认证用户发送认证请求消息;
接收所述目标认证用户返回的认证响应消息;
当所有目标认证用户返回的认证响应消息均为表示认证通过的第一响应消息时,执行所述预设操作请求对应的预设操作。
2.根据权利要求1所述的方法,其特征在于,当所述目标认证方式为个人认证时,根据所述目标认证方式确定至少一个目标认证用户,包括:确定所述预设操作请求对应的操作用户为所述目标认证用户;
相应的,向所述目标认证用户发送认证请求消息,包括:向所述操作用户发送认证请求消息。
3.根据权利要求1所述的方法,其特征在于,当所述目标认证方式为多人协同认证时,根据所述目标认证方式确定至少一个目标认证用户,包括:确定所述预设操作请求对应的操作用户,和/或,与所述操作用户相关的责任人用户为所述目标认证用户;
相应的,向所述目标认证用户发送认证请求消息,包括:同时向每个责任人用户发送所述认证请求消息。
4.根据权利要求1所述的方法,其特征在于,当所述目标认证方式为多人审批认证时,根据所述目标认证方式确定至少一个目标认证用户,包括:确定与所述预设操作请求对应的操作用户相关的至少两个责任人用户为所述目标认证用户;
相应的,向所述目标认证用户发送认证请求消息,包括:
确定所述至少两个责任人用户的认证顺序;
对于任意两个认证顺序相邻的责任人用户,优先向认证顺序靠前的第一责任人用户发送所述认证请求消息,并在所述第一责任人用户返回的认证响应消息为所述第一响应消息时,向认证顺序靠后的第二责任人发送认证请求消息。
5.一种用户权限管理方法,其特征在于,应用于信息系统客户端,包括:
接收所述信息系统服务端发送的系统消息,所述系统消息至少包括认证请求消息;
根据所述认证请求消息采集用户的至少一种第一认证信息;
根据采集到的第一认证信息生成与所述认证请求消息对应的认证响应消息;
将所述认证响应消息发送至所述信息系统服务端,以使所述信息系统服务端根据所述认证响应消息判断是否执行相应的预设操作。
6.根据权利要求5所述的方法,其特征在于,还包括:
确定接收到的每条系统消息的消息类别;
根据所述消息类别对所述系统消息进行管理。
7.根据权利要求6所述的方法,其特征在于,所述消息类别包括仅在预设时长内有效的即时类别;
根据所述消息类别对所述系统消息进行管理,包括:
对于任一属于所述即时类别的第一系统消息,在所述第一系统消息被显示后,和/或,在当前时刻与所述第一系统消息的接收时刻之间的间隔时长超过所述第一系统消息对应的预设时长时,删除所述第一系统消息。
8.根据权利要求5至7任一项所述的方法,其特征在于,还包括:
当接收到系统消息查看请求时,判断所述系统消息查看请求对应的第二系统消息是否为预设敏感消息;
当所述第二系统消息为预设敏感消息时,采集所述用户的至少一种第二认证信息;
根据所述第二认证信息判断是否显示所述第二系统消息。
9.一种用户权限管理装置,其特征在于,包括:
认证方式确定单元,用于在接收到预设操作请求时,确定所述预设操作请求对应的目标认证方式;
认证消息收发单元,用于根据所述目标认证方式确定至少一个目标认证用户,并向所述目标认证用户发送认证请求消息,接收所述目标认证用户返回的认证响应消息;
操作权限控制单元,用于在所有目标认证用户返回的认证响应消息均为表示认证通过的第一响应消息时,执行所述预设操作请求对应的预设操作。
10.一种用户权限管理装置,其特征在于,包括:
系统消息接收单元,用于接收所述信息系统服务端发送的系统消息,所述系统消息至少包括认证请求消息;
认证消息处理单元,用于根据所述认证请求消息采集用户的至少一种第一认证信息,根据采集到的第一认证信息生成与所述认证请求消息对应的认证响应消息,并将所述认证响应消息发送至所述信息系统服务端,以使所述信息系统服务端根据所述认证响应消息判断是否执行相应的预设操作。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611258164.XA CN107196896A (zh) | 2016-12-30 | 2016-12-30 | 用户权限管理方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611258164.XA CN107196896A (zh) | 2016-12-30 | 2016-12-30 | 用户权限管理方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107196896A true CN107196896A (zh) | 2017-09-22 |
Family
ID=59870877
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201611258164.XA Pending CN107196896A (zh) | 2016-12-30 | 2016-12-30 | 用户权限管理方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107196896A (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108848117A (zh) * | 2018-09-14 | 2018-11-20 | 南京理工技术转移中心有限公司 | 一种养殖环境监控系统及其工作方法 |
| CN109164223A (zh) * | 2018-09-14 | 2019-01-08 | 南京理工技术转移中心有限公司 | 一种水环境监控处理系统及其工作方法 |
| CN109186040A (zh) * | 2018-09-14 | 2019-01-11 | 南京理工技术转移中心有限公司 | 一种地铁环境远程监控系统及其工作方法 |
| CN110990806A (zh) * | 2019-11-17 | 2020-04-10 | 武汉市中心医院 | 一种临床带教信息授权系统及其授权方法 |
| CN111882720A (zh) * | 2020-08-06 | 2020-11-03 | 珠海优特物联科技有限公司 | 一种基于云操作票的锁具控制方法及装置 |
| CN112328996A (zh) * | 2020-11-25 | 2021-02-05 | 杭州和利时自动化有限公司 | 基于dcs系统的操作认证方法、装置、设备及存储介质 |
| CN113204750A (zh) * | 2021-05-28 | 2021-08-03 | 南京大学 | 基于用户意图的安卓资源权限动态管理系统及其实现方法 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102034036A (zh) * | 2010-09-07 | 2011-04-27 | 北京握奇数据系统有限公司 | 权限管理的方法及设备 |
| WO2011126312A3 (en) * | 2010-04-06 | 2012-01-19 | Samsung Electronics Co., Ltd. | Method and apparatus for managing remote access authority in upnp remote access service |
| CN103235873A (zh) * | 2013-04-07 | 2013-08-07 | 浙江大学医学院附属第二医院 | 抗菌药物医生处方权限分级管理控制系统 |
| CN103532933A (zh) * | 2013-09-28 | 2014-01-22 | 刘琦 | 通过指纹确认实现客户端操作授权的方法和智能终端 |
| US20140223516A1 (en) * | 2013-02-05 | 2014-08-07 | Google Inc. | Authorization flow initiation using short-term wireless communication |
| CN104601353A (zh) * | 2013-10-31 | 2015-05-06 | 北京神州泰岳软件股份有限公司 | 一种网络安全生产设备的运维操作方法和系统 |
| CN104751333A (zh) * | 2013-12-30 | 2015-07-01 | 腾讯科技(深圳)有限公司 | 一种信息交互的方法、装置及系统 |
| WO2016060489A1 (en) * | 2014-10-15 | 2016-04-21 | Samsung Electronics Co., Ltd. | Method for authentication and electronic device supporting the same |
| CN105577621A (zh) * | 2014-10-16 | 2016-05-11 | 腾讯科技(深圳)有限公司 | 一种业务操作验证方法、装置以及系统 |
-
2016
- 2016-12-30 CN CN201611258164.XA patent/CN107196896A/zh active Pending
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2011126312A3 (en) * | 2010-04-06 | 2012-01-19 | Samsung Electronics Co., Ltd. | Method and apparatus for managing remote access authority in upnp remote access service |
| CN102034036A (zh) * | 2010-09-07 | 2011-04-27 | 北京握奇数据系统有限公司 | 权限管理的方法及设备 |
| US20140223516A1 (en) * | 2013-02-05 | 2014-08-07 | Google Inc. | Authorization flow initiation using short-term wireless communication |
| CN103235873A (zh) * | 2013-04-07 | 2013-08-07 | 浙江大学医学院附属第二医院 | 抗菌药物医生处方权限分级管理控制系统 |
| CN103532933A (zh) * | 2013-09-28 | 2014-01-22 | 刘琦 | 通过指纹确认实现客户端操作授权的方法和智能终端 |
| CN104601353A (zh) * | 2013-10-31 | 2015-05-06 | 北京神州泰岳软件股份有限公司 | 一种网络安全生产设备的运维操作方法和系统 |
| CN104751333A (zh) * | 2013-12-30 | 2015-07-01 | 腾讯科技(深圳)有限公司 | 一种信息交互的方法、装置及系统 |
| WO2016060489A1 (en) * | 2014-10-15 | 2016-04-21 | Samsung Electronics Co., Ltd. | Method for authentication and electronic device supporting the same |
| CN105577621A (zh) * | 2014-10-16 | 2016-05-11 | 腾讯科技(深圳)有限公司 | 一种业务操作验证方法、装置以及系统 |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108848117A (zh) * | 2018-09-14 | 2018-11-20 | 南京理工技术转移中心有限公司 | 一种养殖环境监控系统及其工作方法 |
| CN109164223A (zh) * | 2018-09-14 | 2019-01-08 | 南京理工技术转移中心有限公司 | 一种水环境监控处理系统及其工作方法 |
| CN109186040A (zh) * | 2018-09-14 | 2019-01-11 | 南京理工技术转移中心有限公司 | 一种地铁环境远程监控系统及其工作方法 |
| CN110990806A (zh) * | 2019-11-17 | 2020-04-10 | 武汉市中心医院 | 一种临床带教信息授权系统及其授权方法 |
| CN111882720A (zh) * | 2020-08-06 | 2020-11-03 | 珠海优特物联科技有限公司 | 一种基于云操作票的锁具控制方法及装置 |
| CN112328996A (zh) * | 2020-11-25 | 2021-02-05 | 杭州和利时自动化有限公司 | 基于dcs系统的操作认证方法、装置、设备及存储介质 |
| CN113204750A (zh) * | 2021-05-28 | 2021-08-03 | 南京大学 | 基于用户意图的安卓资源权限动态管理系统及其实现方法 |
| CN113204750B (zh) * | 2021-05-28 | 2023-11-17 | 南京大学 | 基于用户意图的安卓资源权限动态管理系统及其实现方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107196896A (zh) | 用户权限管理方法及装置 | |
| EP2460307B1 (en) | System and method for strong remote identity proofing | |
| CN101047503B (zh) | 一种密码取回的方法和系统 | |
| CN104202162B (zh) | 一种基于手机登录的系统及登录方法 | |
| CN108959933A (zh) | 用于基于风险的认证的风险分析装置及方法 | |
| CN108989278A (zh) | 认证服务系统及方法 | |
| CN112000744B (zh) | 一种签名方法及相关设备 | |
| US9325711B2 (en) | Apparatus and data processing systems for accessing an object | |
| CN104184705A (zh) | 验证方法、装置、服务器、用户数据中心和系统 | |
| WO2007138596A2 (en) | User group identification | |
| CN104184709A (zh) | 验证方法、装置、服务器、业务数据中心和系统 | |
| US10803154B2 (en) | Multicomputer system for user data authentication and processing | |
| CN103888255A (zh) | 一种身份认证方法、装置及系统 | |
| CN109255619A (zh) | 一种基于区块链的身份认证方法及设备 | |
| CN107564140A (zh) | 一种门禁邀请授权认证系统 | |
| CN108769230A (zh) | 交易数据存储方法、装置、服务器及存储介质 | |
| CN108898728A (zh) | 智能交互设备及其投票方法、装置和系统 | |
| CN105915542A (zh) | 基于随机指令分布式云认证系统、装置及方法 | |
| CN111369260A (zh) | 保护隐私的风险预测方法及装置 | |
| CN107862198A (zh) | 一种访问验证方法、系统及客户端 | |
| CN105827571A (zh) | 基于uaf协议的多模态生物特征认证方法和设备 | |
| CN110120928A (zh) | 一种身份认证的方法、装置、服务器及计算机可读介质 | |
| CN103714454A (zh) | 一种排队和支付系统 | |
| CN107135076A (zh) | 一种无可信第三方的参与式感知激励机制实现方法 | |
| CN105516172A (zh) | 一种身份认证终端、身份认证系统和网上办事平台 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: Room 818, 8 / F, 34 Haidian Street, Haidian District, Beijing 100080 Applicant after: BEIJING ULTRAPOWER SOFTWARE Co.,Ltd. Address before: 100089 Beijing city Haidian District wanquanzhuang Road No. 28 Wanliu new building block A Room 601 Applicant before: BEIJING ULTRAPOWER SOFTWARE Co.,Ltd. |
|
| CB02 | Change of applicant information | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170922 |
|
| RJ01 | Rejection of invention patent application after publication |