CN109274653A - 基于用户权限的数据管控方法、系统、设备及存储介质 - Google Patents

基于用户权限的数据管控方法、系统、设备及存储介质 Download PDF

Info

Publication number
CN109274653A
CN109274653A CN201811010835.XA CN201811010835A CN109274653A CN 109274653 A CN109274653 A CN 109274653A CN 201811010835 A CN201811010835 A CN 201811010835A CN 109274653 A CN109274653 A CN 109274653A
Authority
CN
China
Prior art keywords
client
data
permission
access request
access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201811010835.XA
Other languages
English (en)
Inventor
杨纲
李大学
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Jiangsu Manyun Software Technology Co Ltd
Original Assignee
Jiangsu Manyun Software Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Jiangsu Manyun Software Technology Co Ltd filed Critical Jiangsu Manyun Software Technology Co Ltd
Priority to CN201811010835.XA priority Critical patent/CN109274653A/zh
Publication of CN109274653A publication Critical patent/CN109274653A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)

Abstract

本发明提供了基于用户权限的数据管控方法、系统、设备及存储介质,其中,数据管控方法包括:收到客户端发送的第一访问请求,认证所述客户端的用户身份后下发服务标识到所述客户端;收到所述客户端发送的带有所述服务标识的第二访问请求,下发与所述客户端关联的权限到所述客户端;收到所述客户端发送的带有所述权限的第三访问请求,调用与所述权限相匹配的业务服务供所述客户端访问。本发明有效防治数据信息的泄漏,既保证了数据安全,又便于将业务进行分拆,能让用户在使用平台的过程中,最大程度的减少不必要的信息干扰,降低学习成本,提高工作效率。

Description

基于用户权限的数据管控方法、系统、设备及存储介质
技术领域
本发明涉及数据安全领域,具体地说,涉及基于用户权限的数据管控方法、系统、设备及存储介质。
背景技术
满帮作为国内最大的车货匹配平台,每天会产生大约14T的数据。产生的这些数据都会流入数仓,由数据进行维护,然后供开发、运营、产品等等各种角色的人使用,这就对数据的安全操作提出了很大的挑战。比如怎么保证核心数据不被泄露,怎么保证各个业务线的人只能看到当前业务相关的数据等等安全事务。
权限管理相关工作可以分为两部分内容,一是管理用户身份,也就是用户身份认证,二是用户身份和权限的映射关系管理,也就是授权。前者,用户身份认证这一环节,在Hadoop生态系中常见的开源解决方案是Kerberos+LDAP,而后者授权环节,常见的解决方案有Ranger,Sentry等。
现有的权限设计还存在以下问题:
(1)分布式的集群场景,海量的数据对象,对权限管控流程的性能,效率,可维护性的要求。
(2)各种服务和集群多样的交互,编程和接入方式,增加了权限管控的范围和难度。
(3)数据的流动性本质,对权限的动态变更能力的需求。
因此,本发明提供了一种基于用户权限的数据管控方法、系统、设备及存储介质。
发明内容
针对现有技术中的问题,本发明的目的在于提供基于用户权限的数据管控方法、系统、设备及存储介质,能够有效防治数据信息的泄漏,既保证了数据安全,又便于将业务进行分拆,能让用户在使用平台的过程中,最大程度的减少不必要的信息干扰,降低学习成本,提高工作效率。
本发明的实施例提供一种基于用户权限的数据管控方法,应用于移动终端,包括以下步骤:
第一访问,收到至少一客户端发送的第一访问请求,认证所述客户端的用户身份后下发服务标识到所述客户端;
第二访问,收到所述客户端发送的带有所述服务标识的第二访问请求,下发与所述客户端关联的权限到所述客户端;
第三访问,收到所述客户端发送的带有所述权限的第三访问请求,调用与所述权限相匹配的业务服务供所述客户端访问。
优选地,执行第一访问的步骤包括:
收到客户端发送的注册请求;
建立与所述客户端相关联的密钥,并向所述客户端下发密钥;
所述客户端储存接收到的所述密钥;
收到所述客户端发送的第一访问请求;
根据与所述客户端关联的密钥产生一加密信息,并下发所述加密信息到所述客户端;
收到所述客户端通过储存在本地的所述密钥成功解密所述加密信息后的反馈;
反馈带有时间戳的服务标识到所述客户端。
优选地,执行第二访问的步骤包括:
收到所述客户端在所述时间戳的范围内发送的第二访问请求,所述第二访问请求至少包括服务标识;
下发一个预存的与所述客户端关联的权限。
优选地,执行第三访问的步骤包括:
收到所述客户端发送的第三访问请求,所述第三访问请求包括所述权限;
调用与所述权限相匹配的业务服务供所述客户端访问。
优选地,所述权限是基于所述客户端的可操作业务服务类型的访问控制列表。
优选地,所述可操作业务服务类型包括读取数据,写入数据和删除数据中的至少一项。
本发明的实施例还提供一种基于用户权限的数据管控系统,用于实现上述的基于用户权限的数据管控方法,所述基于用户权限的数据管控系统包括:
所述用户身份认证模块,收到所述客户端发送的第一访问请求,认证所述客户端的用户身份后下发服务标识到所述客户端;
所述数据安全访问模块,收到所述客户端发送的带有所述服务标识的第二访问请求,下发与所述客户端关联的权限到所述客户端;
所述服务模块,收到所述客户端发送的带有所述权限的第三访问请求,调用与所述权限相匹配的业务服务供所述客户端访问。
优选地,所述用户身份认证模块收到客户端发送的注册请求;建立与所述客户端相关联的密钥,并向所述客户端下发密钥;收到所述客户端发送的第一访问请求;根据与所述客户端关联的密钥产生一加密信息,并下发所述加密信息到所述客户端;收到所述客户端通过储存在本地的所述密钥成功解密所述加密信息后的反馈;反馈带有时间戳的服务标识到所述客户端。
优选地,所述数据安全访问模块收到所述客户端在所述时间戳的范围内发送的第二访问请求,所述第二访问请求至少包括服务标识;下发一个预存的与所述客户端关联的权限。
优选地,所述服务模块收到所述客户端发送的第三访问请求,所述第三访问请求包括所述权限;调用与所述权限相匹配的业务服务供所述客户端访问。
优选地,所述权限是基于所述客户端的可操作业务服务类型的访问控制列表。
优选地,所述可操作业务服务类型包括读取数据,写入数据和删除数据中的至少一项。
本发明的实施例还提供一种基于用户权限的数据管控设备,包括:
处理器;
存储器,其中存储有所述处理器的可执行指令;
其中,所述处理器配置为经由执行所述可执行指令来执行上述基于用户权限的数据管控方法的步骤。
本发明的实施例还提供一种计算机可读存储介质,用于存储程序,所述程序被执行时实现上述基于用户权限的数据管控方法的步骤。
本发明的基于用户权限的数据管控方法、系统、设备及存储介质,能够有效防治数据信息的泄漏,既保证了数据安全,又便于将业务进行分拆,能让用户在使用平台的过程中,最大程度的减少不必要的信息干扰,降低学习成本,提高工作效率。
附图说明
通过阅读参照以下附图对非限制性实施例所作的详细描述,本发明的其它特征、目的和优点将会变得更明显。
图1是本发明的基于用户权限的数据管控方法的流程图;
图2是本发明的基于用户权限的数据管控方法的时序流程示意图;
图3是本发明的基于用户权限的数据管控系统的架构示意图;
图4是本发明的基于用户权限的数据管控设备的结构示意图;以及
图5是本发明一实施例的计算机可读存储介质的结构示意图。
具体实施方式
现在将参考附图更全面地描述示例实施方式。然而,示例实施方式能够以多种形式实施,且不应被理解为限于在此阐述的实施方式。相反,提供这些实施方式使得本发明将全面和完整,并将示例实施方式的构思全面地传达给本领域的技术人员。在图中相同的附图标记表示相同或类似的结构,因而将省略对它们的重复描述。
图1是本发明的基于用户权限的数据管控方法的流程图。如图1所示,本发明的基于用户权限的数据管控方法,包括以下步骤:
第一访问,收到至少一客户端发送的第一访问请求,认证客户端的用户身份后下发服务标识到客户端;
第二访问,收到客户端发送的带有服务标识的第二访问请求,下发与客户端关联的权限到客户端;
第三访问,收到客户端发送的带有权限的第三访问请求,调用与权限相匹配的业务服务供客户端访问。
本发明通过将用户身份认证和用户权限认证分开确认,能够有效防治数据信息的泄漏,既保证了数据安全,又便于将业务进行分拆,能让用户在使用平台的过程中,最大程度的减少不必要的信息干扰,降低学习成本,提高工作效率。
在一个优选例中,执行第一访问的步骤包括:
收到客户端发送的注册请求;
建立与客户端相关联的密钥,并向客户端下发密钥;
客户端储存接收到的密钥;
收到客户端发送的第一访问请求;
根据与客户端关联的密钥产生一加密信息,并下发加密信息到客户端;
收到客户端通过储存在本地的密钥成功解密加密信息后的反馈;
反馈带有时间戳的服务标识到客户端。
第一访问通过上述步骤保证了密钥不在发送第一次访问请求的过程中传递,保证了密钥的不被通讯通道中被传送,增加了用户认证的安全性。
本实施例中的第一访问是指用户发起的数据请求,可以包括hive查询请求(Hive是一个数据仓库基础工具在Hadoop中用来处理结构化数据),impala查询请求(Impala是Cloudera公司主导开发的新型查询系统,它提供SQL语义),通过hdfs接口(hdfs,Hadoop分布式文件系统,被设计成适合运行在通用硬件上的分布式文件系统。)的数据操作请求,但不以此为限。
本实施例中,用户验证可以通过openldap(OpenLDAP是轻型目录访问协议,Lightweight Directory Access Protocol,LDAP)和kerberos(Kerberos是一种计算机网络授权协议,用来在非安全网络中,对个人通信以安全的手段进行身份认证。)中验证用户合法性验证以及请求合法性,但不以此为限。
本实施例中,执行第二访问的步骤包括:收到客户端在时间戳的范围内发送的第二访问请求,第二访问请求至少包括服务标识;下发一个预存的与客户端关联的权限。例如:权限校验是通过hdfs acl(访问控制列表)模块判断当前用户是否可以操作hdfs数据,但不以此为限。
本实施例中,执行第三访问的步骤包括:收到客户端发送的第三访问请求,第三访问请求包括权限;调用与权限相匹配的业务服务供客户端访问。例如:数据访问:各个数据引擎的具体数据处理,比如hive请求的MR操作,Spark的RDD(Resilient DistributedDataset,弹性分布式数据集)操作等等,不以此为限。最终返回用户需要的数据。
在一个优选例中,权限是基于客户端的可操作业务服务类型的访问控制列表,但不以此为限。
在一个优选例中,可操作业务服务类型包括读取(read)数据,写入(write)数据和删除(delete)数据中的至少一项,但不以此为限。
图2是本发明的基于用户权限的数据管控方法的时序流程示意图。如图2所示,本发明的基于用户权限的数据管控方法的时序流程如下:
S100、用户身份认证模块收到客户端发送的注册请求;
S101、用户身份认证模块建立与客户端相关联的密钥,并向客户端下发密钥;
S102、客户端储存接收到的密钥;
S103、客户端向用户身份认证模块发送第一访问请求;
S104、用户身份认证模块根据与客户端关联的密钥产生一加密信息,并下发加密信息到客户端;
S105、当客户端通过储存在本地的密钥成功解密加密信息后,发送反馈到用户身份认证模块;
S106、用户身份认证模块反馈带有时间戳的服务标识到客户端;
S107、客户端在时间戳的范围内发送第二访问请求到数据安全访问模块,第二访问请求至少包括服务标识和要求访问的服务模块;
S108、数据安全访问模块下发一个预存的与客户端关联的权限,权限;
S109、客户端发送第三访问请求到服务模块,第三访问请求包括权限;
S110、服务模块调用与权限相匹配的业务服务供客户端访问。
本发明通过用户身份认证和用户权限认证尽可能地减少误操作的可能性和导致的伤害;能让用户在使用平台的过程中,最大程度的减少不必要的信息干扰,降低学习成本,提高工作效率;明确用户的权限和责任以及数据的明确业务和团队归属。
图3是本发明的基于用户权限的数据管控系统的架构示意图。如图3所示,本发明的实施例还提供一种基于用户权限的数据管控系统,用于实现上述的基于用户权限的数据管控方法,基于用户权限的数据管控系统10包括:用户身份认证模块2、数据安全访问模块3和服务模块4。用户身份认证模块2收到至少一客户端1发送的第一访问请求,认证客户端1的用户身份后下发服务标识到客户端1。数据安全访问模块3收到客户端1发送的带有服务标识的第二访问请求,下发与客户端1关联的权限到客户端1。服务模块4收到客户端1发送的带有权限的第三访问请求,调用与权限相匹配的业务服务供客户端1访问。
在一个优选例中,用户身份认证模块2收到客户端1发送的注册请求;建立与客户端1相关联的密钥,并向客户端1下发密钥;收到客户端1发送的第一访问请求;根据与客户端1关联的密钥产生一加密信息,并下发加密信息到客户端1;收到客户端1通过储存在本地的密钥成功解密加密信息后的反馈;反馈带有时间戳的服务标识到客户端1。
在一个优选例中,数据安全访问模块3收到客户端1在时间戳的范围内发送的第二访问请求,第二访问请求至少包括服务标识;下发一个预存的与客户端1关联的权限。
在一个优选例中,服务模块4收到客户端1发送的第三访问请求,第三访问请求包括权限;调用与权限相匹配的业务服务供客户端1访问。
在一个优选例中,权限是基于客户端1的可操作业务服务类型的访问控制列表。
在一个优选例中,可操作业务服务类型包括读取数据,写入数据和删除数据中的至少一项。
本发明实施例还提供一种基于用户权限的数据管控设备,包括处理器。存储器,其中存储有处理器的可执行指令。其中,处理器配置为经由执行可执行指令来执行的基于用户权限的数据管控方法的步骤。
如上所示,该实施例能够有效防治数据信息的泄漏,既保证了数据安全,又便于将业务进行分拆,能让用户在使用平台的过程中,最大程度的减少不必要的信息干扰,降低学习成本,提高工作效率。
所属技术领域的技术人员能够理解,本发明的各个方面可以实现为系统、方法或程序产品。因此,本发明的各个方面可以具体实现为以下形式,即:完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等),或硬件和软件方面结合的实施方式,这里可以统称为“电路”、“模块”或“平台”。
图4是本发明的基于用户权限的数据管控设备的结构示意图。下面参照图4来描述根据本发明的这种实施方式的电子设备600。图4显示的电子设备600仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图4所示,电子设备600以通用计算设备的形式表现。电子设备600的组件可以包括但不限于:至少一个处理单元610、至少一个存储单元620、连接不同平台组件(包括存储单元620和处理单元610)的总线630、显示单元640等。
其中,存储单元存储有程序代码,程序代码可以被处理单元610执行,使得处理单元610执行本说明书上述电子处方流转处理方法部分中描述的根据本发明各种示例性实施方式的步骤。例如,处理单元610可以执行如图1中所示的步骤。
存储单元620可以包括易失性存储单元形式的可读介质,例如随机存取存储单元(RAM)6201和/或高速缓存存储单元6202,还可以进一步包括只读存储单元(ROM)6203。
存储单元620还可以包括具有一组(至少一个)程序模块6205的程序/实用工具6204,这样的程序模块6205包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
总线630可以为表示几类总线结构中的一种或多种,包括存储单元总线或者存储单元控制器、外围总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。
电子设备600也可以与一个或多个外部设备700(例如键盘、指向设备、蓝牙设备等)通信,还可与一个或者多个使得用户能与该电子设备600交互的设备通信,和/或与使得该电子设备600能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口650进行。并且,电子设备600还可以通过网络适配器660与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。网络适配器660可以通过总线630与电子设备600的其它模块通信。应当明白,尽管图中未示出,可以结合电子设备600使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储平台等。
本发明实施例还提供一种计算机可读存储介质,用于存储程序,程序被执行时实现的基于用户权限的数据管控方法的步骤。在一些可能的实施方式中,本发明的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当程序产品在终端设备上运行时,程序代码用于使终端设备执行本说明书上述电子处方流转处理方法部分中描述的根据本发明各种示例性实施方式的步骤。
如上所示,该实施例能够有效防治数据信息的泄漏,既保证了数据安全,又便于将业务进行分拆,能让用户在使用平台的过程中,最大程度的减少不必要的信息干扰,降低学习成本,提高工作效率。
图5是本发明的计算机可读存储介质的结构示意图。参考图5所示,描述了根据本发明的实施方式的用于实现上述方法的程序产品800,其可以采用便携式紧凑盘只读存储器(CD-ROM)并包括程序代码,并可以在终端设备,例如个人电脑上运行。然而,本发明的程序产品不限于此,在本文件中,可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
计算机可读存储介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读存储介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。可读存储介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的程序代码,程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
综上,本发明的目的在于提供基于用户权限的数据管控方法、系统、设备及存储介质,能够有效防治数据信息的泄漏,既保证了数据安全,又便于将业务进行分拆,能让用户在使用平台的过程中,最大程度的减少不必要的信息干扰,降低学习成本,提高工作效率。
以上内容是结合具体的优选实施方式对本发明所作的进一步详细说明,不能认定本发明的具体实施只局限于这些说明。对于本发明所属技术领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干简单推演或替换,都应当视为属于本发明的保护范围。

Claims (14)

1.一种基于用户权限的数据管控方法,其特征在于,包括以下步骤:
第一访问,收到至少一客户端发送的第一访问请求,认证所述客户端的用户身份后下发服务标识到所述客户端;
第二访问,收到所述客户端发送的带有所述服务标识的第二访问请求,下发与所述客户端关联的权限到所述客户端;
第三访问,收到所述客户端发送的带有所述权限的第三访问请求,调用与所述权限相匹配的业务服务供所述客户端访问。
2.如权利要求1所述的基于用户权限的数据管控方法,其特征在于:执行第一访问的步骤包括:
收到客户端发送的注册请求;
建立与所述客户端相关联的密钥,并向所述客户端下发密钥;
所述客户端储存接收到的所述密钥;
收到所述客户端发送的第一访问请求;
根据与所述客户端关联的密钥产生一加密信息,并下发所述加密信息到所述客户端;
收到所述客户端通过储存在本地的所述密钥成功解密所述加密信息后的反馈带有时间戳的服务标识到所述客户端。
3.如权利要求2所述的基于用户权限的数据管控方法,其特征在于:执行第二访问的步骤包括:
收到所述客户端在所述时间戳的范围内发送的第二访问请求,所述第二访问请求至少包括服务标识;
下发一个预存的与所述客户端关联的权限。
4.如权利要求3所述的基于用户权限的数据管控方法,其特征在于:执行第三访问的步骤包括:
收到所述客户端发送的第三访问请求,所述第三访问请求包括所述权限;
调用与所述权限相匹配的业务服务供所述客户端访问。
5.如权利要求1至4中任意一项所述的基于用户权限的数据管控方法,其特征在于:所述权限是基于所述客户端的可操作业务服务类型的访问控制列表。
6.如权利要求5所述的基于用户权限的数据管控方法,其特征在于:所述可操作业务服务类型包括读取数据,写入数据和删除数据中的至少一项。
7.一种基于用户权限的数据管控系统,用于实现权利要求1至6中任一项所述的基于用户权限的数据管控方法,其特征在于,包括:
所述用户身份认证模块,收到所述客户端发送的第一访问请求,认证所述客户端的用户身份后下发服务标识到所述客户端;
所述数据安全访问模块,收到所述客户端发送的带有所述服务标识的第二访问请求,下发与所述客户端关联的权限到所述客户端;
所述服务模块,收到所述客户端发送的带有所述权限的第三访问请求,调用与所述权限相匹配的业务服务供所述客户端访问。
8.如权利要求7所述的基于用户权限的数据管控系统,其特征在于:所述用户身份认证模块收到客户端发送的注册请求;建立与所述客户端相关联的密钥,并向所述客户端下发密钥;收到所述客户端发送的第一访问请求;根据与所述客户端关联的密钥产生一加密信息,并下发所述加密信息到所述客户端;收到所述客户端通过储存在本地的所述密钥成功解密所述加密信息后的反馈;反馈带有时间戳的服务标识到所述客户端。
9.如权利要求8所述的基于用户权限的数据管控系统,其特征在于:所述数据安全访问模块收到所述客户端在所述时间戳的范围内发送的第二访问请求,所述第二访问请求至少包括服务标识;下发一个预存的与所述客户端关联的权限。
10.如权利要求9所述的基于用户权限的数据管控系统,其特征在于:所述服务模块收到所述客户端发送的第三访问请求,所述第三访问请求包括所述权限;调用与所述权限相匹配的业务服务供所述客户端访问。
11.如权利要求7至10中任意一项所述的基于用户权限的数据管控系统,其特征在于:所述权限是基于所述客户端的可操作业务服务类型的访问控制列表。
12.如权利要求11所述的基于用户权限的数据管控系统,其特征在于:所述可操作业务服务类型包括读取数据,写入数据和删除数据中的至少一项。
13.一种基于用户权限的数据管控设备,其特征在于,包括:
处理器;
存储器,其中存储有所述处理器的可执行指令;
其中,所述处理器配置为经由执行所述可执行指令来执行权利要求1至6中任意一项所述基于用户权限的数据管控方法的步骤。
14.一种计算机可读存储介质,用于存储程序,其特征在于,所述程序被执行时实现权利要求1至6中任意一项所述基于用户权限的数据管控方法的步骤。
CN201811010835.XA 2018-08-31 2018-08-31 基于用户权限的数据管控方法、系统、设备及存储介质 Pending CN109274653A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201811010835.XA CN109274653A (zh) 2018-08-31 2018-08-31 基于用户权限的数据管控方法、系统、设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811010835.XA CN109274653A (zh) 2018-08-31 2018-08-31 基于用户权限的数据管控方法、系统、设备及存储介质

Publications (1)

Publication Number Publication Date
CN109274653A true CN109274653A (zh) 2019-01-25

Family

ID=65155103

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811010835.XA Pending CN109274653A (zh) 2018-08-31 2018-08-31 基于用户权限的数据管控方法、系统、设备及存储介质

Country Status (1)

Country Link
CN (1) CN109274653A (zh)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109995774A (zh) * 2019-03-22 2019-07-09 泰康保险集团股份有限公司 基于部分解密的密钥认证方法、系统、设备及存储介质
CN110083680A (zh) * 2019-03-20 2019-08-02 阿里巴巴集团控股有限公司 一种分布式系统中上下文数据管理方法及装置
CN112925766A (zh) * 2021-03-01 2021-06-08 北京滴普科技有限公司 一种数据安全管控装置、系统、方法及其可读存储介质
CN113660356A (zh) * 2021-08-16 2021-11-16 迈普通信技术股份有限公司 网络访问方法、系统、电子设备及计算机可读存储介质
CN113761504A (zh) * 2021-08-19 2021-12-07 深圳市新国都股份有限公司 权限配置方法、装置及计算机可读存储介质
CN117093184A (zh) * 2023-10-19 2023-11-21 同力天合(北京)管理软件股份有限公司 一种基于客户需求的软件服务适配方法及系统

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101267367A (zh) * 2007-03-15 2008-09-17 华为技术有限公司 控制访问家庭网络的方法、系统、认证服务器和家庭设备
CN106034023A (zh) * 2015-03-09 2016-10-19 成都天钥科技有限公司 用户设备、认证服务器和身份认证方法及系统
CN107947934A (zh) * 2017-11-08 2018-04-20 中国银行股份有限公司 基于银行系统的移动终端的指纹识别认证系统及方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101267367A (zh) * 2007-03-15 2008-09-17 华为技术有限公司 控制访问家庭网络的方法、系统、认证服务器和家庭设备
CN106034023A (zh) * 2015-03-09 2016-10-19 成都天钥科技有限公司 用户设备、认证服务器和身份认证方法及系统
CN107947934A (zh) * 2017-11-08 2018-04-20 中国银行股份有限公司 基于银行系统的移动终端的指纹识别认证系统及方法

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110083680A (zh) * 2019-03-20 2019-08-02 阿里巴巴集团控股有限公司 一种分布式系统中上下文数据管理方法及装置
CN110083680B (zh) * 2019-03-20 2023-07-25 创新先进技术有限公司 一种分布式系统中上下文数据管理方法及装置
CN109995774A (zh) * 2019-03-22 2019-07-09 泰康保险集团股份有限公司 基于部分解密的密钥认证方法、系统、设备及存储介质
CN109995774B (zh) * 2019-03-22 2021-10-08 泰康保险集团股份有限公司 基于部分解密的密钥认证方法、系统、设备及存储介质
CN112925766A (zh) * 2021-03-01 2021-06-08 北京滴普科技有限公司 一种数据安全管控装置、系统、方法及其可读存储介质
CN112925766B (zh) * 2021-03-01 2024-02-20 北京滴普科技有限公司 一种数据安全管控装置、系统、方法及其可读存储介质
CN113660356A (zh) * 2021-08-16 2021-11-16 迈普通信技术股份有限公司 网络访问方法、系统、电子设备及计算机可读存储介质
CN113660356B (zh) * 2021-08-16 2024-01-23 迈普通信技术股份有限公司 网络访问方法、系统、电子设备及计算机可读存储介质
CN113761504A (zh) * 2021-08-19 2021-12-07 深圳市新国都股份有限公司 权限配置方法、装置及计算机可读存储介质
CN117093184A (zh) * 2023-10-19 2023-11-21 同力天合(北京)管理软件股份有限公司 一种基于客户需求的软件服务适配方法及系统
CN117093184B (zh) * 2023-10-19 2023-12-29 同力天合(北京)管理软件股份有限公司 一种基于客户需求的软件服务适配方法及系统

Similar Documents

Publication Publication Date Title
CN109194673A (zh) 基于用户授权信息的认证方法、系统、设备及存储介质
CN109274653A (zh) 基于用户权限的数据管控方法、系统、设备及存储介质
CN106134143B (zh) 用于动态网络接入管理的方法、设备和系统
CN104270386B (zh) 跨应用系统用户信息整合方法及身份信息管理服务器
US11290446B2 (en) Access to data stored in a cloud
CN111314340B (zh) 认证方法及认证平台
CN111783075A (zh) 基于密钥的权限管理方法、装置、介质及电子设备
US20140075493A1 (en) System and method for location-based protection of mobile data
US20140007215A1 (en) Mobile applications platform
US10270757B2 (en) Managing exchanges of sensitive data
CN108011862A (zh) 镜像仓库授权、访问、管理方法及服务器和客户端
KR101541591B1 (ko) Vdi 환경에서의 싱글 사인온 시스템 및 방법
CN113806777B (zh) 文件访问的实现方法及装置、存储介质及电子设备
CN110489996A (zh) 一种数据库数据安全管理方法及系统
US11895111B2 (en) Systems and methods of application single sign on
CN109756446A (zh) 一种车载设备的访问方法和系统
CN104320389A (zh) 一种基于云计算的融合身份保护系统及方法
CN109639419A (zh) 密钥保护方法、密钥存储设备及终端设备
KR20120067105A (ko) 본인확인이 가능한 소셜 인증 로그인 시스템 및 그 제공방법
CN109495468A (zh) 认证方法、装置、电子设备及存储介质
KR20100060130A (ko) 개인정보 보호 관리 시스템 및 그 방법
CN109995774A (zh) 基于部分解密的密钥认证方法、系统、设备及存储介质
CN107155185B (zh) 一种接入wlan的认证方法、装置及系统
CN111027047A (zh) 应用程序敏感信息管控方法、装置、电子设备及存储介质
WO2023185386A1 (zh) 业务数据处理方法、装置、设备、存储介质及程序产品

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20190125

RJ01 Rejection of invention patent application after publication