CN110232068A - 数据共享方法及装置 - Google Patents
数据共享方法及装置 Download PDFInfo
- Publication number
- CN110232068A CN110232068A CN201910514873.7A CN201910514873A CN110232068A CN 110232068 A CN110232068 A CN 110232068A CN 201910514873 A CN201910514873 A CN 201910514873A CN 110232068 A CN110232068 A CN 110232068A
- Authority
- CN
- China
- Prior art keywords
- data
- confidentiality
- level
- request
- request object
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/22—Indexing; Data structures therefor; Storage structures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/24—Querying
- G06F16/242—Query formulation
- G06F16/2433—Query languages
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/28—Databases characterised by their database models, e.g. relational or object models
- G06F16/284—Relational databases
- G06F16/285—Clustering or classification
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/80—Information retrieval; Database structures therefor; File system structures therefor of semi-structured data, e.g. markup language structured data such as SGML, XML or HTML
- G06F16/84—Mapping; Conversion
- G06F16/86—Mapping to a database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6227—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database where protection concerns the structure of data, e.g. records, types, queries
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Databases & Information Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- Software Systems (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Mathematical Physics (AREA)
- Computational Linguistics (AREA)
- Storage Device Security (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本申请提供一种数据共享方法及装置,通过对访问的数据以及请求对象均设置对应的密级,请求对象只能访问不高于其自身密级的数据,进而能够实现数据共享的同时保证数据的安全,同时尽可能地让请求对象在安全范围内具有更多的访问权限。
Description
技术领域
本申请涉及数据管理技术领域,更具体的,涉及一种数据共享方法及装置。
背景技术
随着信息科技的迅速发展,信息系统在所有行业都起着非常重要的作用,当今很多大集团涉足了多个行业,范围包括投行、证券基金、保险、租赁等等。为更好管理客户资源,很多集团对下属子公司(每个子公司对应一个或多个业务系统)的客户信息进行了采集、整合,并将客户信息开放给集团下各个业务系统的用户进行查询。在此种场景下,系统如何保证数据的安全,防止用户非法访问其它业务系统的客户信息,成了必需解决的问题。集团系统连接布局如图1所示,一般情况下,系统限制某个外部调用系统服务器(即某个业务系统)的用户无法通过客户信息系统查看其它外部调用系统服务器中的客户信息。
在同个外部调用系统服务器内部,系统的权限管理机制通常与客户数据无关,只与用户的访问权限挂钩:如果用户访问权限足够大,则可查阅客户的所有数据;如果用户访问权限不够,则无法查阅该客户的所有数据。部分集团把客户数据分为“完全公开”和“保密”两类,“完全公开”的信息无需做权限控制,“保密”的信息则和前面的场景一样,对权限足够的用户完全开放,对权限不足的用户完全不开放。
但实际上,客户的数据根据信息敏感程度可分为多个保密级别,根据客户信息的所属业务系统又可分为本系统客户信息和外系统客户信息两类。业务系统用户经常会希望能查阅本系统和外系统的客户可公开的部分资料,但系统目前的保密和共享机制过多限制了业务系统用户的查询权限。
针对上述问题,现有技术还不能满足业务系统用户的这种需求。如何解决客户数据共享与安全控制之间的矛盾,在信息安全的前提下,将尽可能多的信息共享给业务系统用户,是系统保密和共享方面急需解决的问题。
发明内容
为了解决上述现有技术中的不足,本申请一方面实施例提供一种数据共享方法,包括:
根据请求对象发送的数据访问请求确定请求对象的身份;
验证所述请求对象的身份,并从预设的密级列表中获取通过验证的所述请求对象的密级;
从数据库中调取符合所述数据访问请求并且密级不高于所述请求对象的密级的数据,其中所述数据库中存储的数据按照密级大小分类存储;
将调取的数据发送至所述请求对象。
在某些实施例中,所述根据请求对象发送的数据访问请求确定请求对象的身份,包括:
解析请求对象发送的数据访问请求中包括的路径信息;
基于预设的路径信息与请求对象的对应关系,确定所述请求对象的身份。
在某些实施例中,当获取所述请求对象的密级之后,所述方法还包括:
解析所述数据访问请求,生成数据字段集;所述数据字段集为数据字段组成的集合,所述数据字段为预设的与所述数据一一对应的字段标识;
根据所述请求对象的密级,从所述数据字段集中筛选出对应数据的密级不高于所述请求对象密级的数据字段;
所述从数据库中调取符合所述数据访问请求并且密级不高于所述请求对象密级的数据,包括:
根据筛选出的数据字段,调取数据库中与所述数据字段一一对应的数据。
在某些实施例中,在调取数据之前,所述方法还包括:
将筛选出的数据字段转化为对应的SQL语句;
根据筛选出的数据字段,调取数据库中与所述数据字段一一对应的数据,包括:
识读所述SQL语句,从数据库中查询并调取对应的数据。
在某些实施例中,从数据库中查询并调取对应的数据,还包括:
将调取的数据转换为XML报文;
所述将调取的数据发送至所述请求对象,包括:
将所述XML报文发送给所述请求对象。
在某些实施例中,还包括:
配置所述密级列表。
在某些实施例中,所述验证所述请求对象的身份,包括:
确定所述请求对象是否属于可共享数据的系统内的对象;若属于则验证通过。
在某些实施例中,所述数据为业务系统内各机构的客户信息数据,所述请求对象为处于业务系统内的员工,所述配置所述密级列表,包括:
配置客户信息与密级的映射关系表;
配置每个员工在其所在机构的岗位与密级的映射关系表;
配置每个员工的除其所在机构之外的各子机构与密级的映射关系表。
本申请另一方面实施例提供一种数据共享装置,包括:
身份确定模块,根据请求对象发送的数据访问请求确定请求对象的身份;
验证模块,验证所述请求对象的身份,并从预设的密级列表中获取通过验证的所述请求对象的密级;
数据调取模块,从数据库中调取符合所述数据访问请求并且密级不高于所述请求对象密级的数据,其中所述数据库中存储的数据按照密级大小分类存储;
数据发送模块,将调取的数据发送至所述请求对象。
在某些实施例中,所述身份确定模块,包括:
路径信息解析单元,解析请求对象发送的数据访问请求中包括的路径信息;
请求对象身份确定单元,基于预设的路径信息与请求对象的对应关系,确定所述请求对象的身份。
在某些实施例中,还包括:
数据字段集生成模块,解析所述数据访问请求,生成数据字段集;所述数据字段集为数据字段组成的集合,所述数据字段为预设的与所述数据一一对应的字段标识;
筛选数据字段集模块,根据所述请求对象的密级,从所述数据字段集中筛选出对应数据的密级不高于所述请求对象密级的数据字段;
筛选数据字段模块,根据所述请求对象的密级,从所述数据字段集中筛选出对应数据的密级不高于所述请求对象密级的数据字段;
所述数据调取模块根据筛选出的数据字段,调取数据库中与所述数据字段一一对应的数据。
在某些实施例中,还包括:
SQL语句转换模块,将筛选出的数据字段转化为对应的SQL语句;
所述数据调取模块识读所述SQL语句,从数据库中查询并调取对应的数据。
在某些实施例中,所述数据调取模块将调取的数据转换为XML报文;
所述数据发送模块将所述XML报文发送给所述请求对象。
在某些实施例中,还包括:
密级列表配置模块,配置所述密级列表。
在某些实施例中,所述验证模块确定所述请求对象是否属于可共享数据的系统内的对象;若属于则验证通过。
在某些实施例中,所述数据为业务系统内各机构的客户信息数据,所述请求对象为处于业务系统内的员工,所述密级列表包括:
客户信息与密级的映射关系表、每个员工在其所在机构的岗位与密级的映射关系表以及每个员工的除其所在机构之外的各子机构与密级的映射关系表。
本申请又一方面实施例中,一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述数据共享方法的步骤。
本申请又一方面实施例中,一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述的数据共享方法的步骤。
本发明的有益效果:
本申请提供一种数据共享方法及装置,通过对访问的数据以及请求对象均设置对应的密级,请求对象只能访问不高于其自身密级的数据,进而能够实现数据共享的同时保证数据的安全,同时尽可能地让请求对象在安全范围内具有更多的访问权限。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示出了现有技术中集团系统数据连接结构示意图。
图2示出了本申请实施例中一种数据共享方法的流程示意图之一。
图3示出了本申请实施例中一种数据共享方法的流程示意图之二。
图4示出了本申请实施例中业务系统中客户信息服务器和终端的结构示意图。
图5示出了本申请实施例中业务系统的具体数据共享步骤示意图。
图6示出图5中步骤S101的具体流程示意图。
图7示出本申请实施例中一种数据共享装置的结构示意图。
图8示出了用于实现本申请实施例中的全部或部分方法步骤的电子设备的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图2示出了本申请一个方面实施例提供的一种数据共享方法,具体包括:
S100:根据请求对象发送的数据访问请求确定请求对象的身份;
S200:验证所述请求对象的身份,并从预设的密级列表中获取通过验证的所述请求对象的密级;
S300:从数据库中调取符合所述数据访问请求并且密级不高于所述请求对象密级的数据,其中所述数据库中存储的数据按照密级大小分类存储;
S400:将调取的数据发送至所述请求对象。
本方面提供的数据共享方法通过对访问的数据以及请求对象均设置对应的密级,请求对象只能访问不高于其自身密级的数据,进而能够实现数据共享的同时保证数据的安全,同时尽可能地让请求对象在安全范围内具有更多的访问权限。
在一些实施例中,请求对象的身份可以通过如下方式确定:
S111:解析请求对象发送的数据访问请求中包括的路径信息;
S112:基于预设的路径信息与请求对象的对应关系,确定所述请求对象的身份。
例如系统预设了一路径信息与请求对象的对应关系,路径信息可以是发出请求的客户端的IP地址信息,进而每个客户端绑定一个固定的IP地址,从而每个客户端具有唯一性,因此通过查找IP地址与请求对象的对应关系,即可知晓请求对象的身份。
在一些实施例中,路径信息是可用于识别一个请求对象身份的要素,比如用户ID+密码、密钥签名串、token令牌,或者根据用户名、密码等要素从统一认证系统获得的用户身份信息,这些信息组成XML报文,报文节点路径简称路径信息,比如从:<custInfo><Name>张山子轩</Name><userID>00012345</userID><Password>DEKLNJKYLSDITTFSFSTFGGNVDRIUGU</Password></custInfo>中可以解析出userID、Name、Password,通过这些要素就可以识别出用户身份。或者可以将这些要素上送到统一认证系统,由统一认证系统负责验证,验证通过才允许访问数据。
在一些实施例中,当获取所述请求对象的密级之后,如图3所示,所述方法还包括:
S500:解析所述数据访问请求,生成数据字段集;所述数据字段集为数据字段组成的集合,所述数据字段为预设的与所述数据一一对应的字段标识;
S600:根据所述请求对象的密级,从所述数据字段集中筛选出对应数据的密级不高于所述请求对象密级的数据字段;
步骤S300具体包括:根据筛选出的数据字段,调取数据库中与所述数据字段一一对应的数据。
采用数字字段对数据进行分类和管理,例如:身份证号、工资密级最高对应等级为10,住址、学历密级次之对应等级为9,以此类推对不同数据字段定义出不同的等级。
在一些实施例中,所述数据访问请求的文件格式为XML报文,请求对象发送XML报文后,数据共享装置将其解析为数据字段集,数据字段集时多个数据字段组成的,一些实施例中,信息和请求对象的密级为均整型数字,一般从1开始,根据客户信息系统实际情况确定取值范围,如果将信息字段的保密级别分为10类,则密级从1到10取值即可。
在一些实施例中,在调取数据之前,所述方法还包括:
S700:将筛选出的数据字段转化为对应的SQL语句;
步骤S300具体包括:识读所述SQL语句,从数据库中查询并调取对应的数据。
数据可以以XML报文的形式传输,即步骤S300还包括:将调取的数据转换为XML报文。该实施例中,调取的数据被转化为XML报文发送给请求对象。
以客户信息为例,请求对象可以是集团内部业务系统中各机构的员工客户端,解决了包含多个系统客户数据的大集团客户信息共享方法过于单一的问题。其主要特征是实现客户信息单元的灵活分级,用户查阅本机构或跨机构(一个机构对应一个或多个业务系统)客户信息时,本方法根据用户岗位不同,在保证敏感的信息保密的情况下,让该用户查阅尽可能多的客户信息。
数据访问请求可以是查询客户信息的请求,也可以是维护系统内客户信息的请求。
此外,本方面的预设的密级列表可以是预先设置的,也可以在线配置,本申请对此不做限制。
在一具体实施例中,所述数据为业务系统内各机构的客户信息数据,所述请求对象为处于业务系统内的员工,所述配置所述密级列表,包括:
配置客户信息与密级的映射关系表;
配置每个员工在其所在机构的岗位与密级的映射关系表;
配置每个员工的除其所在机构之外的各子机构与密级的映射关系表。
一些实施例中,客户信息与密级的映射关系表具体可以通过表1表示,每个员工在其所在机构的岗位与密级的映射关系表可以通过表2表示,每个员工的除其所在机构之外的各子机构与密级的映射关系表可以通过表3表示。
表1-客户信息与密级的映射关系表
客户信息字取 | 字段所属表 | 字取密级 |
字段1 | 表名a | 2 |
字段2 | 表名b | 4 |
…… | …… | …… |
表2-每个员工在其所在机构的岗位与密级的映射关系表
机构 | 岗位 | 密级 |
机构号A | 岗位1 | 5 |
机构号B | 岗位2 | 7 |
…… | …… | …… |
表3-每个员工的除其所在机构之外的各子机构与密级的映射关系表
当然,上述表1至表3仅仅是上述具体实施例中的一种示例。
在其他实施例中,验证所述请求对象的身份具体为确定所述请求对象是否属于可共享数据的系统内的对象;若属于则验证通过。例如,在上述的业务系统中,检查请求中的安全密钥串是否准确(安全密钥串不准确即为非业务系统内的员工),不准确则报错返回;身份验证通过后,检查员工所属机构号是否等于被查询/维护的客户所属机构号,如果这两个机构号相等,则授权控制检查通过;如果这两个机构号不相等,则根据员工号和待查询/维护的客户所属机构号,查询跨机构授权访问列表,检查该员工是否被授予查询/维护该客户所属机构的数据的权限,如果无权限则报错返回,如果有权限则获取对应的访问密级,存入内存中,并检查通过。
如果发起请求的员工和被查询/维护的客户归属于同一机构,则只获取该客户的信息中,信息密级小于等于该员工岗位密级的部分客户信息数据字段。
如果发起请求的员工和被查询/维护的客户不归属于同一机构,则根据员工号和待访问的客户所属机构号,查询跨机构授权访问列表,获取该员工被授予的查询密级和维护密级。对于查询请求,获取客户信息时,信息密级小于等于被授予的查询密级的部分字段,并将该字段集合存放于内存对象中;对于维护请求,维护密级小于等于被授权的维护密级的部分字段,并将该字段集合存放于内存对象中。
根据员工能查看/维护的字段集和对应的值,拼出查询/维护SQL语句,发起数据库访问请求;在收到返回的执行结果后,将其存入返回结果对象中。
下面针对业务系统内的数据共享的具体场景的步骤进行详细说明。
如图4所示,业务系统包括终端和客户信息服务器,终端包括业务系统处理和展示组件以及业务系统网络接口模块,客户信息服务器包括服务端网络接口模块、逻辑处理模块、数据库访问组件以及数据库。
业务系统处理和展示组件负责接受用户的点击、输入等操作,根据客户操作发起请求,由业务系统网络接口模块将该请求拼装成客户信息服务端接口所要求的XML报文,并将拼装后的报文通过网络传输给接入服务器;接入服务器收到业务系统的请求报文后将其转发给客户信息服务器100。
客户信息服务器100处理请求完毕,将返传XML报文发送给接入服务器,接入服务器将该XML响应报文转发给业务系统;业务系统网络接口模块对XML报文进行解析,生成数据对象,然后业务系统处理和展示组件获取该数据对象,进行处理和刷新展示。
根据本申请的数据共享方法,如图5所示,业务系统内的数据共享具体包括如下步骤:
步骤S101:管理员进行客户信息访问权限控制的相关参数表的配置,包括客户信息字段及字段密级列表、岗位和密级的关系列表、跨机构的授权访问列表三张参数表的配置,该步骤详细子步骤如图5所示,后面有详细说明。完成相关配置后,执行步骤S102。
步骤S102:请求方发送查询或维护客户信息的XML请求报文给客户信息服务器,执行步骤S103。
步骤S103:服务端网络接口模块110校验并解析XML报文,生成请求对象存于内存中,执行步骤S104。
步骤S104:逻辑处理模块120调用授权控制组件121做权限检查,检查发起请求的员工是否和被查询客户归属于同一机构,如果归属机构不同,则根据员工号和被查询客户所属机构号,查询跨机构授权访问列表,检查该员工是否有权限访问被查询客户所属的机构;如果权限检查通过,则执行步骤S105;如果权限检查不通过,则执行步骤S107。
步骤S105:逻辑处理模块120调用密级控制组件122,筛选出可访问的客户信息字段集,由逻辑处理模块120生成对应SQL语句,执行步骤S106。
步骤S106:数据库访问组件130执行逻辑处理模块120生成的SQL语句,获取客户信息数据(对查询请求)或者更新客户信息数据(对维护申请),执行步骤S107。
步骤S107:服务端网络接口模块110将处理结果拼装为XML报文并返回给接入服务器,执行步骤S108。
步骤S108:业务系统端分析处理结果对象,将处理结果展示给用户,执行步骤S109。
步骤S109:处理结束,结束本流程。
图6是本发明的数据共享方法中,步骤S101的详细说明。管理员完成客户信息访问权限相关参数表的配置后,客户信息服务器才能根据参数表配置,对客户数据做共享控制,接受合理的用户访问请求,拒绝权限不够的用户访问请求。实际场景中,管理员不是一次性完成所有的访问权限相关参数的配置的,而是根据实际情况,分多次做参数配置,每次完成配置后,会使客户信息权限控制规则有所改变。
该步骤包含了管理员维护信息字段和密级关系列表/岗位和密级关系列表/跨机构授权访问列表的详细子步骤。维护信息字段和密级关系列表时,管理员必须具有维护信息字段及密级的权限;维护岗位和密级关系列表时,管理员必须具有维护所在地区的岗位和密级关系列表的权限;维护跨机构授权访问列表时,管理员必须具有授权机构的管理员权限;否则操作流程无法完成。上述三类操作的具体子步骤如图6所示:
步骤S201:
管理员在业务系统端发起下述三类操作,这里的业务系统端,可以是子机构自己的业务系统(B/S或者C/S客户端),也可以是客户信息服务器的B/S客户端:
a.管理员维护信息字段,并维护对应的字段密级;
b.管理员维护本机构下的岗位和密级的关系列表;
c.管理员维护跨机构的授权访问列表,为其它机构的一个或多个员工赋予访问、维护本机构客户数据的权限。
业务系统端产生相应的XML请求报文发送给客户信息服务器100,执行步骤S202。
步骤S202:服务端网络接口模块110校验并解析XML报文,生成对象存于内存中,执行步骤S203。
步骤S203:逻辑处理模块120调用授权控制组件121做权限检查,如果权限检查通过,则执行步骤S204;如果权限检查不通过,则执行步骤S205。
步骤S204:逻辑处理模块120调用逻辑处理模块123,分析内存中请求相关的对象,生成对应SQL语句,由数据库访问组件130执行,更新相应的关系列表(客户信息字段及字段密级列表/岗位和密级的关系列表/跨机构的授权访问列表),执行步骤S205。
步骤S205:服务端网络接口模块110将处理结果拼装为XML报文并返回给接入服务器,执行步骤S206。
步骤S206:业务系统端解析处理结果对象,将处理结果展示给用户,执行步骤S207。
步骤S207:处理结束,结束本流程。
可以知晓,本场景中的数据共享方法,克服目前客户信息保密共享方式单一的问题,提供一种灵活,能够高效利用客户信息的数据共享的装置及方法。具有:
1、字段级别做密级控制,在保证信息安全前提下,让各个机构的用户可访问更多的客户可公开信息。密级的层级可根据系统实际情况自定义,更为合理。
2、做密级控制的客户信息字段可配置,具体字段的密级可根据实际情况灵活调整,机构下岗位所属密级可配置。参数化的设计对业务变化具有良好的适应性。
3、机构级别的授权访问控制,将不同机构的客户数据天然隔离开;对本机构和跨机构的客户信息访问设计了不同的权限控制方法,跨机构情况下又将查询密级和维护密级分开管理,更贴近实际业务场景。
基于相同的发明构思,本申请另一方面实施例提供一种数据共享装置,如图7所示,该数据共享装置包括:
身份确定模块701,根据请求对象发送的数据访问请求确定请求对象的身份;
验证模块702,验证所述请求对象的身份,并从预设的密级列表中获取通过验证的所述请求对象的密级;
数据调取模块703,从数据库中调取符合所述数据访问请求并且密级不高于所述请求对象密级的数据,其中所述数据库中存储的数据按照密级大小分类存储;
数据发送模块704,将调取的数据发送至所述请求对象。
可以理解,该数据共享装置在上述方法实施例中为客户信息服务器。此处省略说明的是,在上述业务系统实施例中,该数据共享装置通过服务端网络接口模块110接入终端200的数据访问请求,验证模块和身份确定模块即为上述业务系统实施例中的逻辑处理模块120,数据调取模块即为上述业务系统实施例中的数据库访问组件,当然,上述业务系统实施例中逻辑处理模块还进一步实现本方面的数据调取模块的部分功能,例如通过验证模块中获取通过验证的所述请求对象的密级,燃耗通过数据调取模块调取符合所述数据访问请求并且密级不高于所述请求对象密级的数据,即验证模块和数据调取模块共同实现了上述业务系统的密级控制组件的功能,这仅仅是功能划分的差异,并不影响本申请的实质的保护范围和发明的主体构思。
本方面提供的数据共享方法通过对访问的数据以及请求对象均设置对应的密级,请求对象只能访问不高于其自身密级的数据,进而能够实现数据共享的同时保证数据的安全,同时尽可能地让请求对象在安全范围内具有更多的访问权限。
基于相同的发明构思,一些实施例中,所述身份确定模块,包括:
路径信息解析单元,解析请求对象发送的数据访问请求中包括的路径信息;
请求对象身份确定单元,基于预设的路径信息与请求对象的对应关系,确定所述请求对象的身份。
例如系统预设了一路径信息与请求对象的对应关系,路径信息可以是发出请求的客户端的IP地址信息,进而每个客户端绑定一个固定的IP地址,从而每个客户端具有唯一性,因此通过查找IP地址与请求对象的对应关系,即可知晓请求对象的身份。
在一些实施例中,当获取所述请求对象的密级之后,本方面的系统还包括:
数据字段集生成模块,解析所述数据访问请求,生成数据字段集;所述数据字段集为数据字段组成的集合,所述数据字段为预设的与所述数据一一对应的字段标识;
筛选数据字段模块,根据所述请求对象的密级,从所述数据字段集中筛选出对应数据的密级不高于所述请求对象密级的数据字段;
所述数据调取模块根据筛选出的数据字段,调取数据库中与所述数据字段一一对应的数据。
一些实施例中,所述数据访问请求的文件格式为XML报文,请求对象发送XML报文后,数据共享装置将其解析为数据字段集,数据字段集时多个数据字段组成的,一些实施例中,信息和请求对象的密级为均整型数字,一般从1开始,根据客户信息系统实际情况确定取值范围,如果将信息字段的保密级别分为10类,则密级从1到10取值即可。该实施例中,所述数据调取模块将调取的数据转换为XML报文;所述数据发送模块将所述XML报文发送给所述请求对象。
一些实施例中,本方面的系统还包括:
SQL语句转换模块,将筛选出的数据字段转化为对应的SQL语句;
所述数据调取模块识读所述SQL语句,从数据库中查询并调取对应的数据。
以客户信息为例,请求对象可以是集团内部业务系统中各机构的员工客户端,解决了包含多个系统客户数据的大集团客户信息共享方法过于单一的问题。其主要特征是实现客户信息单元的灵活分级,用户查阅本机构或跨机构(一个机构对应一个或多个业务系统)客户信息时,本方法根据用户岗位不同,在保证敏感的信息保密的情况下,让该用户查阅尽可能多的客户信息。
数据访问请求可以是查询客户信息的请求,也可以是维护系统内客户信息的请求。
此外,本方面的预设的密级列表可以是预先设置的,也可以在线配置,本申请对此不做限制。
在一具体实施例中,所述数据为业务系统内各机构的客户信息数据,所述请求对象为处于业务系统内的员工,所述密级列表包括:客户信息与密级的映射关系表、每个员工在其所在机构的岗位与密级的映射关系表以及每个员工的除其所在机构之外的各子机构与密级的映射关系表。
在其他实施例中,验证所述请求对象的身份具体为确定所述请求对象是否属于可共享数据的系统内的对象;若属于则验证通过。例如,在上述的业务系统中,检查请求中的安全密钥串是否准确(安全密钥串不准确即为非业务系统内的员工),不准确则报错返回;身份验证通过后,检查员工所属机构号是否等于被查询/维护的客户所属机构号,如果这两个机构号相等,则授权控制检查通过;如果这两个机构号不相等,则根据员工号和待查询/维护的客户所属机构号,查询跨机构授权访问列表,检查该员工是否被授予查询/维护该客户所属机构的数据的权限,如果无权限则报错返回,如果有权限则获取对应的访问密级,存入内存中,并检查通过。
如果发起请求的员工和被查询/维护的客户归属于同一机构,则只获取该客户的信息中,信息密级小于等于该员工岗位密级的部分客户信息数据字段。
如果发起请求的员工和被查询/维护的客户不归属于同一机构,则根据员工号和待访问的客户所属机构号,查询跨机构授权访问列表,获取该员工被授予的查询密级和维护密级。对于查询请求,获取客户信息时,信息密级小于等于被授予的查询密级的部分字段,并将该字段集合存放于内存对象中;对于维护请求,维护密级小于等于被授权的维护密级的部分字段,并将该字段集合存放于内存对象中。
根据员工能查看/维护的字段集和对应的值,拼出查询/维护SQL语句,发起数据库访问请求;在收到返回的执行结果后,将其存入返回结果对象中。
可以理解,本方面提供的数据共享方系统,克服目前客户信息保密共享方式单一的问题,提供一种灵活并能够高效利用客户信息的数据共享的系统。具有:
1、字段级别做密级控制,在保证信息安全前提下,让各个机构的用户可访问更多的客户可公开信息。密级的层级可根据系统实际情况自定义,更为合理。
2、做密级控制的客户信息字段可配置,具体字段的密级可根据实际情况灵活调整,机构下岗位所属密级可配置。参数化的设计对业务变化具有良好的适应性。
3、机构级别的授权访问控制,将不同机构的客户数据天然隔离开;对本机构和跨机构的客户信息访问设计了不同的权限控制方法,跨机构情况下又将查询密级和维护密级分开管理,更贴近实际业务场景。
本申请的实施例还提供能够实现上述实施例中的方法中全部步骤的一种电子设备的具体实施方式,参见图8,所述电子设备具体包括如下内容:
处理器(processor)601、存储器(memory)602、通信接口(CommunicationsInterface)603和总线604;
其中,所述处理器601、存储器602、通信接口603通过所述总线604完成相互间的通信;
所述处理器601用于调用所述存储器602中的计算机程序,所述处理器执行所述计算机程序时实现上述实施例中的方法中的全部步骤,例如,所述处理器执行所述计算机程序时实现下述步骤:
S100:根据请求对象发送的数据访问请求确定请求对象的身份;
S200:验证所述请求对象的身份,并从预设的密级列表中获取通过验证的所述请求对象的密级;
S300:从数据库中调取符合所述数据访问请求并且密级不高于所述请求对象密级的数据,其中所述数据库中存储的数据按照密级大小分类存储;
S400:将调取的数据发送至所述请求对象。
从上述描述可知,本申请提供的电子设备,通过对访问的数据以及请求对象均设置对应的密级,请求对象只能访问不高于其自身密级的数据,进而能够实现数据共享的同时保证数据的安全,同时尽可能地让请求对象在安全范围内具有更多的访问权限。
本申请的实施例还提供能够实现上述实施例中的方法中全部步骤的一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,该计算机程序被处理器执行时实现上述实施例中的方法的全部步骤,例如,所述处理器执行所述计算机程序时实现下述步骤:
S100:根据请求对象发送的数据访问请求确定请求对象的身份;
S200:验证所述请求对象的身份,并从预设的密级列表中获取通过验证的所述请求对象的密级;
S300:从数据库中调取符合所述数据访问请求并且密级不高于所述请求对象密级的数据,其中所述数据库中存储的数据按照密级大小分类存储;
S400:将调取的数据发送至所述请求对象。
从上述描述可知,本申请提供的计算机可读存储介质,通过对访问的数据以及请求对象均设置对应的密级,请求对象只能访问不高于其自身密级的数据,进而能够实现数据共享的同时保证数据的安全,同时尽可能地让请求对象在安全范围内具有更多的访问权限。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于硬件+程序类实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。虽然本说明书实施例提供了如实施例或流程图所述的方法操作步骤,但基于常规或者无创造性的手段可以包括更多或者更少的操作步骤。实施例中列举的步骤顺序仅仅为众多步骤执行顺序中的一种方式,不代表唯一的执行顺序。在实际中的装置或终端产品执行时,可以按照实施例或者附图所示的方法顺序执行或者并行执行(例如并行处理器或者多线程处理的环境,甚至为分布式数据处理环境)。术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、产品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、产品或者设备所固有的要素。在没有更多限制的情况下,并不排除在包括所述要素的过程、方法、产品或者设备中还存在另外的相同或等同要素。为了描述的方便,描述以上装置时以功能分为各种模块分别描述。当然,在实施本说明书实施例时可以把各模块的功能在同一个或多个软件和/或硬件中实现,也可以将实现同一功能的模块由多个子模块或子单元的组合实现等。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。本领域技术人员应明白,本说明书的实施例可提供为方法、系统或计算机程序产品。因此,本说明书实施例可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本说明书实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本说明书实施例的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不必须针对的是相同的实施例或示例。此外,在不相互矛盾的情况下,本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。以上所述仅为本说明书实施例的实施例而已,并不用于限制本说明书实施例。对于本领域技术人员来说,本说明书实施例可以有各种更改和变化。凡在本说明书实施例的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本说明书实施例的权利要求范围之内。
Claims (18)
1.一种数据共享方法,其特征在于,包括:
根据请求对象发送的数据访问请求确定请求对象的身份;
验证所述请求对象的身份,并从预设的密级列表中获取通过验证的所述请求对象的密级;
从数据库中调取符合所述数据访问请求并且密级不高于所述请求对象的密级的数据,其中所述数据库中存储的数据按照密级大小分类存储;
将调取的数据发送至所述请求对象。
2.根据权利要求1所述的数据共享方法,其特征在于,所述根据请求对象发送的数据访问请求确定请求对象的身份,包括:
解析请求对象发送的数据访问请求中包括的路径信息基于预设的路径信息与请求对象的对应关系,确定所述请求对象的身份。
3.根据权利要求1所述的数据共享方法,其特征在于,当获取所述请求对象的密级之后,所述方法还包括:
解析所述数据访问请求,生成数据字段集;所述数据字段集为数据字段组成的集合,所述数据字段为预设的与所述数据一一对应的字段标识;
根据所述请求对象的密级,从所述数据字段集中筛选出对应数据的密级不高于所述请求对象密级的数据字段;
所述从数据库中调取符合所述数据访问请求并且密级不高于所述请求对象密级的数据,包括:
根据筛选出的数据字段,调取数据库中与所述数据字段一一对应的数据。
4.根据权利要求3所述的数据共享方法,其特征在于,在调取数据之前,所述方法还包括:
将筛选出的数据字段转化为对应的SQL语句;
根据筛选出的数据字段,调取数据库中与所述数据字段一一对应的数据,包括:
识读所述SQL语句,从数据库中查询并调取对应的数据。
5.根据权利要求4所述的数据共享方法,其特征在于,从数据库中查询并调取对应的数据,还包括:
将调取的数据转换为XML报文;
所述将调取的数据发送至所述请求对象,包括:
将所述XML报文发送给所述请求对象。
6.根据权利要求1所述的数据共享方法,其特征在于,还包括:
配置所述密级列表。
7.根据权利要求1所述的数据共享方法,其特征在于,所述验证所述请求对象的身份,包括:
确定所述请求对象是否属于可共享数据的系统内的对象;若属于则验证通过。
8.根据权利要求6所述的数据共享方法,其特征在于,所述数据为业务系统内各机构的客户信息数据,所述请求对象为处于业务系统内的员工,所述配置所述密级列表,包括:
配置客户信息与密级的映射关系表;
配置每个员工在其所在机构的岗位与密级的映射关系表;
配置每个员工的除其所在机构之外的各子机构与密级的映射关系表。
9.一种数据共享装置,其特征在于,包括:
身份确定模块,根据请求对象发送的数据访问请求确定请求对象的身份;
验证模块,验证所述请求对象的身份,并从预设的密级列表中获取通过验证的所述请求对象的密级;
数据调取模块,从数据库中调取符合所述数据访问请求并且密级不高于所述请求对象密级的数据,其中所述数据库中存储的数据按照密级大小分类存储;
数据发送模块,将调取的数据发送至所述请求对象。
10.根据权利要求9所述的数据共享装置,其特征在于,所述身份确定模块,包括:
路径信息解析单元,解析请求对象发送的数据访问请求中包括的路径信息;
请求对象身份确定单元,基于预设的路径信息与请求对象的对应关系,确定所述请求对象的身份。
11.根据权利要求9所述的数据共享装置,其特征在于,还包括:
数据字段集生成模块,解析所述数据访问请求,生成数据字段集;所述数据字段集为数据字段组成的集合,所述数据字段为预设的与所述数据一一对应的字段标识;
筛选数据字段模块,根据所述请求对象的密级,从所述数据字段集中筛选出对应数据的密级不高于所述请求对象密级的数据字段;
所述数据调取模块根据筛选出的数据字段,调取数据库中与所述数据字段一一对应的数据。
12.根据权利要求11所述的数据共享装置,其特征在于,还包括:
SQL语句转换模块,将筛选出的数据字段转化为对应的SQL语句;
所述数据调取模块识读所述SQL语句,从数据库中查询并调取对应的数据。
13.根据权利要求12所述的数据共享装置,其特征在于,所述数据调取模块将调取的数据转换为XML报文;
所述数据发送模块将所述XML报文发送给所述请求对象。
14.根据权利要求9所述的数据共享装置,其特征在于,还包括:
密级列表配置模块,配置所述密级列表。
15.根据权利要求9所述的数据共享装置,其特征在于,所述验证模块确定所述请求对象是否属于可共享数据的系统内的对象;若属于则验证通过。
16.根据权利要求14所述的数据共享装置,其特征在于,所述数据为业务系统内各机构的客户信息数据,所述请求对象为处于业务系统内的员工,所述密级列表包括:
客户信息与密级的映射关系表、每个员工在其所在机构的岗位与密级的映射关系表以及每个员工的除其所在机构之外的各子机构与密级的映射关系表。
17.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现权利要求1至8任一项所述的数据共享方法的步骤。
18.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现权利要求1至8任一项所述的数据共享方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910514873.7A CN110232068B (zh) | 2019-06-14 | 2019-06-14 | 数据共享方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910514873.7A CN110232068B (zh) | 2019-06-14 | 2019-06-14 | 数据共享方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110232068A true CN110232068A (zh) | 2019-09-13 |
CN110232068B CN110232068B (zh) | 2022-04-05 |
Family
ID=67859258
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910514873.7A Active CN110232068B (zh) | 2019-06-14 | 2019-06-14 | 数据共享方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110232068B (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110753048A (zh) * | 2019-10-18 | 2020-02-04 | 深圳赛动生物自动化有限公司 | 干细胞制备数据传输方法、装置、计算机设备及存储介质 |
CN111404954A (zh) * | 2020-03-25 | 2020-07-10 | 中国工商银行股份有限公司 | 分级共享方法及装置 |
CN112231659A (zh) * | 2020-09-25 | 2021-01-15 | 山东浪潮通软信息科技有限公司 | 一种多密级体系下的分级保护访问控制方法及装置 |
CN114841678A (zh) * | 2022-06-28 | 2022-08-02 | 成都明途科技有限公司 | 岗位数据交换方法、数据交换系统,服务器及存储介质 |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101594360A (zh) * | 2009-07-07 | 2009-12-02 | 清华大学 | 局域网系统和维护局域网信息安全的方法 |
WO2013013581A1 (zh) * | 2011-07-26 | 2013-01-31 | 华为技术有限公司 | 一种文档权限管理方法、装置及系统 |
CN103530568A (zh) * | 2012-07-02 | 2014-01-22 | 阿里巴巴集团控股有限公司 | 权限控制方法、装置及系统 |
CN103870763A (zh) * | 2014-02-28 | 2014-06-18 | 浪潮集团山东通用软件有限公司 | 一种支持多种密级类型的erp数据强制访问控制方法 |
CN104484617A (zh) * | 2014-12-05 | 2015-04-01 | 中国航空工业集团公司第六三一研究所 | 一种基于多策略融合的数据库访问控制方法 |
CN106209846A (zh) * | 2016-07-07 | 2016-12-07 | 吴本刚 | 一种气象信息数据共享方法 |
CN107403106A (zh) * | 2017-07-18 | 2017-11-28 | 北京计算机技术及应用研究所 | 基于终端用户的数据库细粒度访问控制方法 |
CN107438054A (zh) * | 2016-05-26 | 2017-12-05 | 北京京东尚科信息技术有限公司 | 基于公众平台实现菜单信息控制的方法及系统 |
CN108664609A (zh) * | 2018-05-10 | 2018-10-16 | 中国银行股份有限公司 | 一种数据共享的方法、网络设备及终端 |
-
2019
- 2019-06-14 CN CN201910514873.7A patent/CN110232068B/zh active Active
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101594360A (zh) * | 2009-07-07 | 2009-12-02 | 清华大学 | 局域网系统和维护局域网信息安全的方法 |
WO2013013581A1 (zh) * | 2011-07-26 | 2013-01-31 | 华为技术有限公司 | 一种文档权限管理方法、装置及系统 |
CN103530568A (zh) * | 2012-07-02 | 2014-01-22 | 阿里巴巴集团控股有限公司 | 权限控制方法、装置及系统 |
CN103870763A (zh) * | 2014-02-28 | 2014-06-18 | 浪潮集团山东通用软件有限公司 | 一种支持多种密级类型的erp数据强制访问控制方法 |
CN104484617A (zh) * | 2014-12-05 | 2015-04-01 | 中国航空工业集团公司第六三一研究所 | 一种基于多策略融合的数据库访问控制方法 |
CN107438054A (zh) * | 2016-05-26 | 2017-12-05 | 北京京东尚科信息技术有限公司 | 基于公众平台实现菜单信息控制的方法及系统 |
CN106209846A (zh) * | 2016-07-07 | 2016-12-07 | 吴本刚 | 一种气象信息数据共享方法 |
CN107403106A (zh) * | 2017-07-18 | 2017-11-28 | 北京计算机技术及应用研究所 | 基于终端用户的数据库细粒度访问控制方法 |
CN108664609A (zh) * | 2018-05-10 | 2018-10-16 | 中国银行股份有限公司 | 一种数据共享的方法、网络设备及终端 |
Non-Patent Citations (3)
Title |
---|
HUANGMIAO CHEN等: "classified security protection evaluation for vehicle information system", 《2015 INTERNATIONAL CONFERENCE ON CYBER SECURITY OF SMART CITIES,INDUSTRIAL CONTROL SYSTEM AND COMMUNICATIONS》 * |
尹超: "一种满足SKPP标准的分离内核审计方法的设计与实现", 《航空计算技术》 * |
杨永群等: ""基于分类的应用数据安全管控平台研究与实现"", 《网络空间安全》 * |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110753048A (zh) * | 2019-10-18 | 2020-02-04 | 深圳赛动生物自动化有限公司 | 干细胞制备数据传输方法、装置、计算机设备及存储介质 |
CN111404954A (zh) * | 2020-03-25 | 2020-07-10 | 中国工商银行股份有限公司 | 分级共享方法及装置 |
CN112231659A (zh) * | 2020-09-25 | 2021-01-15 | 山东浪潮通软信息科技有限公司 | 一种多密级体系下的分级保护访问控制方法及装置 |
CN114841678A (zh) * | 2022-06-28 | 2022-08-02 | 成都明途科技有限公司 | 岗位数据交换方法、数据交换系统,服务器及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN110232068B (zh) | 2022-04-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110232068A (zh) | 数据共享方法及装置 | |
KR100497022B1 (ko) | 컴퓨터화된 거래 허가 및 검증 방법과 분산 작업 흐름 관리 시스템 및 메시지 교환 시스템 | |
US9059982B2 (en) | Authentication federation system and ID provider device | |
US8161525B2 (en) | Method and system for architecting a secure solution | |
US8549622B2 (en) | Systems and methods for establishing trust between entities in support of transactions | |
US20060059548A1 (en) | System and method for policy enforcement and token state monitoring | |
KR101985029B1 (ko) | 관련된 기관 증명서를 이용한 온 라인 회원 인증 | |
US20150095243A1 (en) | Online-id-handling computer system and method | |
US20080163335A1 (en) | Method and arrangement for role management | |
EP3213208A1 (en) | Real-time segregation of duties for business-critical applications | |
CN111832001B (zh) | 基于区块链的身份管理方法及身份管理系统 | |
JP2005503596A (ja) | リソース共有システムと方法 | |
CN103916267B (zh) | 三层结构的网络空间身份管理系统 | |
CN114780971A (zh) | 一种权限管理方法、认证方法及装置 | |
US20170048250A1 (en) | Service to provide notification of mailing address changes | |
US11283623B1 (en) | Systems and methods of using group functions certificate extension | |
Watt et al. | Federated authentication and authorisation in the social science domain | |
Pereira et al. | The XACML standard-addressing architectural and security aspects | |
WO2002067173A9 (en) | A hierarchy model | |
CN115221238A (zh) | 基于业务的数据共享方法、装置及存储介质 | |
US11539533B1 (en) | Access control using a circle of trust | |
Kubach et al. | A shared responsibility model to support cross border and cross organizational federation on top of decentralized and self-sovereign identity: Architecture and first PoC | |
Höllrigl et al. | Towards systematic engineering of Service-Oriented access control in federated environments | |
Oumaima et al. | Incorporating a cryptographic-based Blockchain technology to revolutionize degree automation | |
GOODWINE et al. | DEPARTMENT OF THE AIR FORCE |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |