CN112069517B - 一种管理用户权限的方法和装置 - Google Patents

一种管理用户权限的方法和装置 Download PDF

Info

Publication number
CN112069517B
CN112069517B CN202010867404.6A CN202010867404A CN112069517B CN 112069517 B CN112069517 B CN 112069517B CN 202010867404 A CN202010867404 A CN 202010867404A CN 112069517 B CN112069517 B CN 112069517B
Authority
CN
China
Prior art keywords
user
password
tag
access
returning
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010867404.6A
Other languages
English (en)
Other versions
CN112069517A (zh
Inventor
陈映雪
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
CCB Finetech Co Ltd
Original Assignee
CCB Finetech Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by CCB Finetech Co Ltd filed Critical CCB Finetech Co Ltd
Priority to CN202010867404.6A priority Critical patent/CN112069517B/zh
Publication of CN112069517A publication Critical patent/CN112069517A/zh
Application granted granted Critical
Publication of CN112069517B publication Critical patent/CN112069517B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/088Usage controlling of secret information, e.g. techniques for restricting cryptographic keys to pre-authorized uses, different access levels, validity of crypto-period, different key- or password length, or different strong and weak cryptographic algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3066Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • Databases & Information Systems (AREA)
  • Automation & Control Theory (AREA)
  • Algebra (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Physics (AREA)
  • Pure & Applied Mathematics (AREA)
  • Computing Systems (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种管理用户权限的方法和装置,涉及计算机技术领域。该方法的一具体实施方式包括:接收第一用户发送的权限分配请求,所述权限分配请求携带权限信息;将所述权限信息存储到第一标签中;接收第二用户发送的密码注册请求,所述密码注册请求携带所述第二用户的密码;将所述第二用户的密码存储到所述第一标签中。该实施方式能够解决响应速度慢和权限滥用的技术问题。

Description

一种管理用户权限的方法和装置
技术领域
本发明涉及计算机技术领域,尤其涉及一种管理用户权限的方法和装置。
背景技术
团队合作完成项目通常需要用到一些敏感数据,为了保证数据安全,团队内除了设置不同的权限,还会对进入系统时候进行多层密码验证。
在实现本发明过程中,发明人发现现有技术中至少存在如下问题:
比如只能访问A/B数据库的成员需要管理人员授权登陆第一层密码,然后才需要登陆自己注册的密码;第一层密码通常是动态的,第二层密码则是成员自行设置的,这样的缺点就是一个组的权限需要一个管理人员进行授权,如果管理人员未能及时响应,会大大降级工作效率,甚至无法响应一些紧急工作。为了方便访问系统,还会出现管理人员把第一层密码给与成员自行操作,这样造成管理员控制的第一层密码形同虚设,冬至权限滥用。
因此,现有技术中的多层密码验证在管理上相对麻烦,还存在响应速度慢和权限滥用的技术问题。
发明内容
有鉴于此,本发明实施例提供一种管理用户权限的方法和装置,以解决响应速度慢和权限滥用的技术问题。
为实现上述目的,根据本发明实施例的一个方面,提供了一种管理用户权限的方法,包括:
接收第一用户发送的权限分配请求,所述权限分配请求携带权限信息;
将所述权限信息存储到第一标签中;
接收第二用户发送的密码注册请求,所述密码注册请求携带所述第二用户的密码;
将所述第二用户的密码存储到所述第一标签中。
可选地,所述权限信息包括:第二用户的用户名和访问权限。
可选地,所述访问权限包括:查看、修改、添加和删除中的至少一种。
可选地,将所述第二用户的密码存储到所述第一标签中,包括:
采用非对称加密算法对所述第二用户的密码进行计算,得到所述密码对应的公钥和验证点;
将所述第二用户的密码存储到所述第一标签中。
可选地,所述非对称加密算法为椭圆曲线算法。
可选地,将所述第二用户的密码存储到所述第一标签中之后,还包括:
每隔预设时间间隔,更新所述密码对应的公钥和验证点。
可选地,更新所述密码对应的公钥和验证点,包括:
随机更新所述密码对应的公钥,并基于椭圆曲线算法和所述密码计算出更新后的公钥对应的验证点。
可选地,将所述第二用户的密码存储到所述第一标签中之后,还包括:
接收第二用户的访问请求;
基于所述权限信息和所述第二用户的密码确定所述第二用户的访问权限。
可选地,所述访问请求携带所述第二用户的用户名和密码。
可选地,基于所述权限信息和所述第二用户的密码确定所述第二用户的访问权限,包括:
判断所述访问请求携带的所述第二用户的用户名与所述第一标签中的所述第二用户的用户名是否一致;
若是,则继续判断所述访问请求携带的所述第二用户的密码与所述第一标签中的所述第二用户的密码是否一致;
若是,则将访问数据返回至所述第二用户;
若否,则返回访问失败的消息;
若否,则返回访问失败的消息。
可选地,判断所述访问请求携带的所述第二用户的密码与所述第一标签中的所述第二用户的密码是否一致,包括:
采用椭圆曲线算法对更新后的公钥及其对应的验证点进行计算,得到私钥;
判断所述私钥与所述第一标签中所述第二用户的密码是否一致;
若是,则判断所述访问请求携带的所述第二用户的密码与所述第一标签中的所述第二用户的密码是否一致;
若是,则将访问数据返回至所述第二用户;
若否,则返回访问失败的消息;
若否,则返回访问失败的消息。
可选地,将访问数据返回至所述第二用户,包括:
根据所述第一标签中所述第二用户的访问权限,将所述访问权限对应的访问数据返回至所述第二用户。
可选地,所述访问数据包括存储在数据库系统中的数据库表。
可选地,将访问数据返回至所述第二用户之后,还包括:
在所述第二用户的访问过程中,将所述第二用户的用户操作存储到第二标签中。
可选地,所述用户操作包括操作行为、操作对象、操作时间和操作次数中的至少一种。
可选地,所述操作行为包括:查看、修改、添加和删除中的至少一种。
可选地,将所述第二用户的用户操作存储到第二标签中之后,还包括:
将所述第一标签中的所述第二用户的访问权限与所述第二标签中的所述第二用户的用户操作进行比对,以判断权限管理是否存在漏洞。
可选地,判断权限管理是否存在漏洞,包括:
若所述第二标签中的所述第二用户的用户操作不属于所述第一标签中的所述第二用户的访问权限,则判定权限管理存在漏洞。
可选地,判定权限管理存在漏洞之后,还包括:
向所述第一用户发出告警信息,以提示权限管理存在漏洞。
可选地,判定权限管理存在漏洞之后,还包括:
存储所述第一标签中的所述第二用户的访问权限与所述第二标签中的所述第二用户的用户操作的比对结果和判定结果。
另外,根据本发明实施例的另一个方面,提供了一种管理用户权限的装置,包括:
第一接收模块,用于接收第一用户发送的权限分配请求,所述权限分配请求携带权限信息;
第一存储模块,用于将所述权限信息存储到第一标签中;
第二接收模块,用于接收第二用户发送的密码注册请求,所述密码注册请求携带所述第二用户的密码;
第二存储模块,用于将所述第二用户的密码存储到所述第一标签中。
可选地,所述权限信息包括:第二用户的用户名和访问权限。
可选地,所述访问权限包括:查看、修改、添加和删除中的至少一种。
可选地,所述第二存储模块还用于:
采用非对称加密算法对所述第二用户的密码进行计算,得到所述密码对应的公钥和验证点;
将所述第二用户的密码存储到所述第一标签中。
可选地,所述非对称加密算法为椭圆曲线算法。
可选地,还包括:
更新模块,用于将所述第二用户的密码存储到所述第一标签中之后,每隔预设时间间隔,更新所述密码对应的公钥和验证点。
可选地,所述更新模块还用于:
随机更新所述密码对应的公钥,并基于椭圆曲线算法和所述密码计算出更新后的公钥对应的验证点。
可选地,所述第二接收模块还用于:
将所述第二用户的密码存储到所述第一标签中之后,接收第二用户的访问请求;
基于所述权限信息和所述第二用户的密码确定所述第二用户的访问权限。
可选地,所述访问请求携带所述第二用户的用户名和密码。
可选地,所述第二接收模块还用于:
判断所述访问请求携带的所述第二用户的用户名与所述第一标签中的所述第二用户的用户名是否一致;
若是,则继续判断所述访问请求携带的所述第二用户的密码与所述第一标签中的所述第二用户的密码是否一致;
若是,则将访问数据返回至所述第二用户;
若否,则返回访问失败的消息;
若否,则返回访问失败的消息。
可选地,所述第二接收模块还用于:
采用椭圆曲线算法对更新后的公钥及其对应的验证点进行计算,得到私钥;
判断所述私钥与所述第一标签中所述第二用户的密码是否一致;
若是,则判断所述访问请求携带的所述第二用户的密码与所述第一标签中的所述第二用户的密码是否一致;
若是,则将访问数据返回至所述第二用户;
若否,则返回访问失败的消息;
若否,则返回访问失败的消息。
可选地,所述第二接收模块还用于:
根据所述第一标签中所述第二用户的访问权限,将所述访问权限对应的访问数据返回至所述第二用户。
可选地,所述访问数据包括存储在数据库系统中的数据库表。
可选地,第二存储模块还用于:
将访问数据返回至所述第二用户之后,在所述第二用户的访问过程中,将所述第二用户的用户操作存储到第二标签中。
可选地,所述用户操作包括操作行为、操作对象、操作时间和操作次数中的至少一种。
可选地,所述操作行为包括:查看、修改、添加和删除中的至少一种。
可选地,还包括:
监测模块,用于将所述第二用户的用户操作存储到第二标签中之后,将所述第一标签中的所述第二用户的访问权限与所述第二标签中的所述第二用户的用户操作进行比对,以判断权限管理是否存在漏洞。
可选地,所述监测模块还用于:
若所述第二标签中的所述第二用户的用户操作不属于所述第一标签中的所述第二用户的访问权限,则判定权限管理存在漏洞。
可选地,所述监测模块还用于;
判定权限管理存在漏洞之后,向所述第一用户发出告警信息,以提示权限管理存在漏洞。
可选地,所述监测模块还用于:
判定权限管理存在漏洞之后,存储所述第一标签中的所述第二用户的访问权限与所述第二标签中的所述第二用户的用户操作的比对结果和判定结果。
根据本发明实施例的另一个方面,还提供了一种电子设备,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行时,所述一个或多个处理器实现上述任一实施例所述的方法。
根据本发明实施例的另一个方面,还提供了一种计算机可读介质,其上存储有计算机程序,所述程序被处理器执行时实现上述任一实施例所述的方法。
上述发明中的一个实施例具有如下优点或有益效果:因为采用将第一用户分配的权限信息和第二用户注册的密码存储到第一标签中,并基于非对称加密算法进行验证的技术手段,所以克服了现有技术中无法准确地判断消息积压情况的技术问题。因为多层密码比较繁琐,并且经常还需要借助传统的随机动态密钥,而掌握随机动态密钥的管理人员并不能快速响应。本发明实施例能够在提高安全性的前提下,减少多层密码的冗余,缩短响应时间,还可以避免权限滥用。
上述的非惯用的可选方式所具有的进一步效果将在下文中结合具体实施方式加以说明。
附图说明
附图用于更好地理解本发明,不构成对本发明的不当限定。其中:
图1是根据本发明实施例的管理用户权限的方法的主要流程的示意图;
图2是根据本发明一个可参考实施例的管理用户权限的方法的主要流程的示意图;
图3是根据本发明另一个可参考实施例的管理用户权限的方法的主要流程的示意图;
图4是根据本发明实施例的管理用户权限的装置的主要模块的示意图;
图5是本发明实施例可以应用于其中的示例性系统架构图;
图6是适于用来实现本发明实施例的终端设备或服务器的计算机系统的结构示意图。
具体实施方式
以下结合附图对本发明的示范性实施例做出说明,其中包括本发明实施例的各种细节以助于理解,应当将它们认为仅仅是示范性的。因此,本领域普通技术人员应当认识到,可以对这里描述的实施例做出各种改变和修改,而不会背离本发明的范围和精神。同样,为了清楚和简明,以下的描述中省略了对公知功能和结构的描述。
图1是根据本发明实施例的管理用户权限的方法的主要流程的示意图。作为本发明的一个实施例,如图1所示,所述管理用户权限的方法可以包括:
步骤101,接收第一用户发送的权限分配请求,所述权限分配请求携带权限信息。
第一用户可以是管理人员,第一用户的权限高于第二用户,因此第一用户可以分配各个第二用户的权限。第一用户终端向服务端发送权限分配请求,所述权限分配请求携带权限信息。服务端接收到第一用户终端发送的权限分配请求后,对其进行解析,得到权限信息。
可选地,所述权限信息包括:第二用户的用户名和访问权限。可选地,所述访问权限包括:查看、修改、添加和删除中的至少一种。比如,用户A对数据库A只有查看权限,用户B对数据库A有查看、修改、添加和删除等权限,用户C对数据库A和数据库B都有查看、修改、添加和删除等权限。
步骤102,将所述权限信息存储到第一标签中。
服务端解析得到第一用户分配的权限信息之后,将所述权限信息存储到第一标签Meta1中。
步骤103,接收第二用户发送的密码注册请求,所述密码注册请求携带所述第二用户的密码。
第二用户是普通成员,权限低于第一用户,在访问系统之前,第二用户终端向服务端发送密码注册请求,所述密码注册请求携带第二用户注册的密码。服务端接收到第一用户终端发送的密码注册请求后,对其进行解析,得到所述第二用户注册的密码。
步骤104,将所述第二用户的密码存储到所述第一标签中。
服务端解析得到第二用户注册的密码之后,将所述第二用户的密码存储到所述第一标签中。需要指出的是,将第二用户的密码与第二用户的用户名一一对应地存储在第一标签中。
可选地,步骤104可以包括:采用非对称加密算法对所述第二用户的密码进行计算,得到所述密码对应的公钥和验证点;将所述第二用户的密码存储到所述第一标签中。可选地,所述非对称加密算法为椭圆曲线算法。基于椭圆曲线数学理论的一种非对称加密算法,数学上认为平行线永不相交,在某种程度是无法验证的,但如果有一个无限远的概念,即假设平行线在无限远处相交,这样的优势在于有且只有一个焦点,那么利用笛卡尔平面直角坐标系可以映射出另外一个平面坐标系。
椭圆算法需要公钥K、私钥S和验证点P
假设椭圆满足y2=x3+ax+b且4a3+27b2<>0,这个限制是为了保障曲线的光滑,曲线内不能有尖点、自相交点和孤立点,保证椭圆上所有的点都有切线。
验证点P在椭圆曲线上,本发明实施例将管理人员的物理动态密码变成椭圆算法的公钥K
那么,
已知K,P,待用户输入密码S,那么计算K=PS
满足K=PS,则密码验证成功。
可选地,在步骤104之后,还包括:每隔预设时间间隔,更新所述密码对应的公钥和验证点。为了提升数据安全,每隔一段时间需要动态更新公钥K和验证点P。可选地,更新所述密码对应的公钥和验证点,包括:随机更新所述密码对应的公钥,并基于椭圆曲线算法和所述密码计算出更新后的公钥对应的验证点。因此,当第二用户访问系统时,就不需要管理人员响应,而是通过椭圆曲线算法进行验证,这样有效地提高了密码响应速度。
根据上面所述的各种实施例,可以看出本发明实施例通过将第一用户分配的权限信息和第二用户注册的密码存储到第一标签中,并基于非对称加密算法进行验证的技术手段,解决了现有技术中响应速度慢和权限滥用的技术问题。因为多层密码比较繁琐,并且经常还需要借助传统的随机动态密钥,而掌握随机动态密钥的管理人员并不能快速响应。本发明实施例能够在提高安全性的前提下,减少多层密码的冗余,缩短响应时间,还可以避免权限滥用。
图2是根据本发明一个可参考实施例的管理用户权限的方法的主要流程的示意图。作为本发明的又一个实施例,如图2所示,所述管理用户权限的方法可以包括:
步骤201,接收第一用户发送的权限分配请求,所述权限分配请求携带权限信息。
第一用户终端向服务端发送权限分配请求,所述权限分配请求携带权限信息。服务端接收到第一用户终端发送的权限分配请求后,对其进行解析,得到权限信息。可选地,所述权限信息包括:第二用户的用户名和访问权限。可选地,所述访问权限包括:查看、修改、添加和删除中的至少一种。
步骤202,将所述权限信息存储到第一标签中。
步骤203,接收第二用户发送的密码注册请求,所述密码注册请求携带所述第二用户的密码。
在访问系统之前,第二用户终端向服务端发送密码注册请求,所述密码注册请求携带第二用户注册的密码。服务端接收到第一用户终端发送的密码注册请求后,对其进行解析,得到所述第二用户注册的密码。
步骤204,采用椭圆曲线算法对所述第二用户的密码进行计算,得到所述密码对应的公钥和验证点,将所述第二用户的密码存储到所述第一标签中。
步骤205,每隔预设时间间隔,随机更新所述密码对应的公钥,并基于椭圆曲线算法和所述密码计算出更新后的公钥对应的验证点。
为了提升数据安全,每隔一段时间后台需要动态更新公钥K和验证点P。
步骤206,接收第二用户的访问请求。
可选地,所述访问请求携带所述第二用户的用户名和密码。
步骤207,基于所述权限信息和所述第二用户的密码确定所述第二用户的访问权限。
可选地,步骤207可以包括:
判断所述访问请求携带的所述第二用户的用户名与所述第一标签中的所述第二用户的用户名是否一致;
若是,则继续判断所述访问请求携带的所述第二用户的密码与所述第一标签中的所述第二用户的密码是否一致;
若是,则将访问数据返回至所述第二用户;
若否,则返回访问失败的消息;
若否,则返回访问失败的消息。
在本发明的实施例中,首先判断访问请求携带的所述第二用户的用户名与第一标签中的所述第二用户的用户名是否一致,只有用户名与第一标签匹配成功,才可以验证所述访问请求携带的所述第二用户的密码与所述第一标签中的所述第二用户的密码是否一致,如果密码验证通过,则将访问数据返回至第二用户,从而在第二用户客户端上展示访问数据。
可选地,判断所述访问请求携带的所述第二用户的密码与所述第一标签中的所述第二用户的密码是否一致,包括:
采用椭圆曲线算法对更新后的公钥及其对应的验证点进行计算,得到私钥;
判断所述私钥与所述第一标签中所述第二用户的密码是否一致;
若是,则判断所述访问请求携带的所述第二用户的密码与所述第一标签中的所述第二用户的密码是否一致;
若是,则将访问数据返回至所述第二用户;
若否,则返回访问失败的消息;
若否,则返回访问失败的消息。
本发明实施例首先采用椭圆曲线算法进行第一层验证,如果验证通过,再进行第二层验证。需要指出的是,本发明实施例仅通过一个密码就可以进行多层密码验证,而且在第一层验证时不需要第一用户响应,可以直接基于椭圆曲线算法进行验证,这样极大地提高了响应速度。
可选地,将访问数据返回至所述第二用户,包括:根据所述第一标签中所述第二用户的访问权限,将所述访问权限对应的访问数据返回至所述第二用户。可选地,所述访问数据包括存储在数据库系统中的数据库表。
另外,在本发明一个可参考实施例中管理用户权限的方法的具体实施内容,在上面所述管理用户权限的方法中已经详细说明了,故在此重复内容不再说明。
图3是根据本发明另一个可参考实施例的管理用户权限的方法的主要流程的示意图。作为本发明的另一个实施例,如图3所示,所述管理用户权限的方法还可以包括:
步骤301,在所述第二用户的访问过程中,将所述第二用户的用户操作存储到第二标签Meta2中。
可选地,所述用户操作包括操作行为、操作对象、操作时间和操作次数中的至少一种。可选地,所述操作行为包括:查看、修改、添加和删除中的至少一种。
步骤302,将所述第一标签中的所述第二用户的访问权限与所述第二标签中的所述第二用户的用户操作进行比对,以判断权限管理是否存在漏洞;若是,则执行步骤303;若否,则执行步骤304。
可选地,判断权限管理是否存在漏洞,包括:若所述第二标签中的所述第二用户的用户操作不属于所述第一标签中的所述第二用户的访问权限,则判定权限管理存在漏洞。将两个标签中的元数据进行比对,可以消除信息差,从而准确地判断出权限管理是否存在漏洞。
步骤303,向所述第一用户发出告警信息,以提示权限管理存在漏洞。
服务端向第一用户发出告警信息,以使第一用户知晓当前的权限管理存在漏洞,需要进行修改。
步骤304,存储所述第一标签中的所述第二用户的访问权限与所述第二标签中的所述第二用户的用户操作的比对结果和判定结果。
两个标签中的元数据的比对结果以及对应的判定结果都存储到数据库中,方便需要的时候查看、追溯。
本发明实施例一方面少了密码验证的繁琐,另一方面消除了用户权限与实际操作的信息差,便于用户的日常工作的使用与反应速度,也便于集团的管理。
另外,在本发明另一个可参考实施例中管理用户权限的方法的具体实施内容,在上面所述管理用户权限的方法中已经详细说明了,故在此重复内容不再说明。
图4是根据本发明实施例的管理用户权限的装置的主要模块的示意图,如图4所示,所述管理用户权限的装置400包括第一接收模块401、第一存储模块402、第二接收模块403和第二存储模块404;其中,第一接收模块401用于接收第一用户发送的权限分配请求,所述权限分配请求携带权限信息;第一存储模块402用于将所述权限信息存储到第一标签中;第二接收模块403用于接收第二用户发送的密码注册请求,所述密码注册请求携带所述第二用户的密码;第二存储模块404用于将所述第二用户的密码存储到所述第一标签中。
可选地,所述权限信息包括:第二用户的用户名和访问权限。
可选地,所述访问权限包括:查看、修改、添加和删除中的至少一种。
可选地,所述第二存储模块404还用于:
采用非对称加密算法对所述第二用户的密码进行计算,得到所述密码对应的公钥和验证点;
将所述第二用户的密码存储到所述第一标签中。
可选地,所述非对称加密算法为椭圆曲线算法。
可选地,还包括:
更新模块,用于将所述第二用户的密码存储到所述第一标签中之后,每隔预设时间间隔,更新所述密码对应的公钥和验证点。
可选地,所述更新模块还用于:
随机更新所述密码对应的公钥,并基于椭圆曲线算法和所述密码计算出更新后的公钥对应的验证点。
可选地,所述第二接收模块403还用于:
将所述第二用户的密码存储到所述第一标签中之后,接收第二用户的访问请求;
基于所述权限信息和所述第二用户的密码确定所述第二用户的访问权限。
可选地,所述访问请求携带所述第二用户的用户名和密码。
可选地,所述第二接收模块403还用于:
判断所述访问请求携带的所述第二用户的用户名与所述第一标签中的所述第二用户的用户名是否一致;
若是,则继续判断所述访问请求携带的所述第二用户的密码与所述第一标签中的所述第二用户的密码是否一致;
若是,则将访问数据返回至所述第二用户;
若否,则返回访问失败的消息;
若否,则返回访问失败的消息。
可选地,所述第二接收模块403还用于:
采用椭圆曲线算法对更新后的公钥及其对应的验证点进行计算,得到私钥;
判断所述私钥与所述第一标签中所述第二用户的密码是否一致;
若是,则判断所述访问请求携带的所述第二用户的密码与所述第一标签中的所述第二用户的密码是否一致;
若是,则将访问数据返回至所述第二用户;
若否,则返回访问失败的消息;
若否,则返回访问失败的消息。
可选地,所述第二接收模块403还用于:
根据所述第一标签中所述第二用户的访问权限,将所述访问权限对应的访问数据返回至所述第二用户。
可选地,所述访问数据包括存储在数据库系统中的数据库表。
可选地,第二存储模块404还用于:
将访问数据返回至所述第二用户之后,在所述第二用户的访问过程中,将所述第二用户的用户操作存储到第二标签中。
可选地,所述用户操作包括操作行为、操作对象、操作时间和操作次数中的至少一种。
可选地,所述操作行为包括:查看、修改、添加和删除中的至少一种。
可选地,还包括:
监测模块,用于将所述第二用户的用户操作存储到第二标签中之后,将所述第一标签中的所述第二用户的访问权限与所述第二标签中的所述第二用户的用户操作进行比对,以判断权限管理是否存在漏洞。
可选地,所述监测模块还用于:
若所述第二标签中的所述第二用户的用户操作不属于所述第一标签中的所述第二用户的访问权限,则判定权限管理存在漏洞。
可选地,所述监测模块还用于;
判定权限管理存在漏洞之后,向所述第一用户发出告警信息,以提示权限管理存在漏洞。
可选地,所述监测模块还用于:
判定权限管理存在漏洞之后,存储所述第一标签中的所述第二用户的访问权限与所述第二标签中的所述第二用户的用户操作的比对结果和判定结果。
根据上面所述的各种实施例,可以看出本发明实施例通过将第一用户分配的权限信息和第二用户注册的密码存储到第一标签中,并基于非对称加密算法进行验证的技术手段,解决了现有技术中响应速度慢和权限滥用的技术问题。因为多层密码比较繁琐,并且经常还需要借助传统的随机动态密钥,而掌握随机动态密钥的管理人员并不能快速响应。本发明实施例能够在提高安全性的前提下,减少多层密码的冗余,缩短响应时间,还可以避免权限滥用。
需要说明的是,在本发明所述管理用户权限的装置的具体实施内容,在上面所述管理用户权限的方法中已经详细说明了,故在此重复内容不再说明。
图5示出了可以应用本发明实施例的管理用户权限的方法或管理用户权限的装置的示例性系统架构500。
如图5所示,系统架构500可以包括终端设备501、502、503,网络504和服务器505。网络504用以在终端设备501、502、503和服务器505之间提供通信链路的介质。网络504可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
用户可以使用终端设备501、502、503通过网络504与服务器505交互,以接收或发送消息等。终端设备501、502、503上可以安装有各种通讯客户端应用,例如购物类应用、网页浏览器应用、搜索类应用、即时通信工具、邮箱客户端、社交平台软件等(仅为示例)。
终端设备501、502、503可以是具有显示屏并且支持网页浏览的各种电子设备,包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等等。
服务器505可以是提供各种服务的服务器,例如对用户利用终端设备501、502、503所浏览的购物类网站提供支持的后台管理服务器(仅为示例)。后台管理服务器可以对接收到的物品信息查询请求等数据进行分析等处理,并将处理结果反馈给终端设备。
需要说明的是,本发明实施例所提供的管理用户权限的方法一般由服务器505执行,相应地,所述管理用户权限的装置一般设置在服务器505中。
应该理解,图5中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端设备、网络和服务器。
下面参考图6,其示出了适于用来实现本发明实施例的终端设备的计算机系统600的结构示意图。图6示出的终端设备仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图6所示,计算机系统600包括中央处理单元(CPU)601,其可以根据存储在只读存储器(ROM)602中的程序或者从存储部分608加载到随机访问存储器(RAM)603中的程序而执行各种适当的动作和处理。在RAM 603中,还存储有系统600操作所需的各种程序和数据。CPU 601、ROM 602以及RAM603通过总线604彼此相连。输入/输出(I/O)接口605也连接至总线604。
以下部件连接至I/O接口605:包括键盘、鼠标等的输入部分606;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分607;包括硬盘等的存储部分608;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分609。通信部分609经由诸如因特网的网络执行通信处理。驱动器610也根据需要连接至I/O接口605。可拆卸介质611,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器610上,以便于从其上读出的计算机程序根据需要被安装入存储部分608。
特别地,根据本发明公开的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本发明公开的实施例包括一种计算机程序,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分609从网络上被下载和安装,和/或从可拆卸介质611被安装。在该计算机程序被中央处理单元(CPU)601执行时,执行本发明的系统中限定的上述功能。
需要说明的是,本发明所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本发明中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本发明中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、电线、光缆、RF等等,或者上述的任意合适的组合。
附图中的流程图和框图,图示了按照本发明各种实施例的系统、方法和计算机程序的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本发明实施例中所涉及到的模块可以通过软件的方式实现,也可以通过硬件的方式来实现。所描述的模块也可以设置在处理器中,例如,可以描述为:一种处理器包括第一接收模块、第一存储模块、第二接收模块和第二存储模块,其中,这些模块的名称在某种情况下并不构成对该模块本身的限定。
作为另一方面,本发明还提供了一种计算机可读介质,该计算机可读介质可以是上述实施例中描述的设备中所包含的;也可以是单独存在,而未装配入该设备中。上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被一个该设备执行时,该设备实现如下方法:接收第一用户发送的权限分配请求,所述权限分配请求携带权限信息;将所述权限信息存储到第一标签中;接收第二用户发送的密码注册请求,所述密码注册请求携带所述第二用户的密码;将所述第二用户的密码存储到所述第一标签中。
根据本发明实施例的技术方案,因为采用将第一用户分配的权限信息和第二用户注册的密码存储到第一标签中,并基于非对称加密算法进行验证的技术手段,所以克服了现有技术中无法准确地判断消息积压情况的技术问题。因为多层密码比较繁琐,并且经常还需要借助传统的随机动态密钥,而掌握随机动态密钥的管理人员并不能快速响应。本发明实施例能够在提高安全性的前提下,减少多层密码的冗余,缩短响应时间,还可以避免权限滥用。
上述具体实施方式,并不构成对本发明保护范围的限制。本领域技术人员应该明白的是,取决于设计要求和其他因素,可以发生各种各样的修改、组合、子组合和替代。任何在本发明的精神和原则之内所作的修改、等同替换和改进等,均应包含在本发明保护范围之内。

Claims (15)

1.一种管理用户权限的方法,其特征在于,包括:
接收第一用户发送的权限分配请求,所述权限分配请求携带权限信息;
将所述权限信息存储到第一标签中;
接收第二用户发送的密码注册请求,所述密码注册请求携带所述第二用户的密码;
将所述第二用户的密码存储到所述第一标签中;
接收第二用户的访问请求;所述访问请求携带所述第二用户的用户名和密码;
基于所述权限信息和所述第二用户的密码确定所述第二用户的访问权限;
将所述第二用户的密码存储到所述第一标签中,包括:
采用椭圆曲线算法对所述第二用户的密码进行计算,得到所述密码对应的公钥和验证点;
将所述第二用户的密码存储到所述第一标签中;
基于所述权限信息和所述第二用户的密码确定所述第二用户的访问权限,包括:
判断所述访问请求携带的所述第二用户的用户名与所述第一标签中的所述第二用户的用户名是否一致;
若是,则继续判断所述访问请求携带的所述第二用户的密码与所述第一标签中的所述第二用户的密码是否一致;
若是,则将访问数据返回至所述第二用户;
若否,则返回访问失败的消息;
若否,则返回访问失败的消息;
判断所述访问请求携带的所述第二用户的密码与所述第一标签中的所述第二用户的密码是否一致,包括:
采用椭圆曲线算法对所述公钥及其对应的验证点进行计算,得到私钥;
判断所述私钥与所述第一标签中所述第二用户的密码是否一致;
若是,则判断所述访问请求携带的所述第二用户的密码与所述第一标签中的所述第二用户的密码是否一致;
若是,则将访问数据返回至所述第二用户;
若否,则返回访问失败的消息;
若否,则返回访问失败的消息。
2.根据权利要求1所述的方法,其特征在于,所述权限信息包括:第二用户的用户名和访问权限。
3.根据权利要求2所述的方法,其特征在于,所述访问权限包括:查看、修改、添加和删除中的至少一种。
4.根据权利要求1所述的方法,其特征在于,将访问数据返回至所述第二用户,包括:
根据所述第一标签中所述第二用户的访问权限,将所述访问权限对应的访问数据返回至所述第二用户。
5.根据权利要求4所述的方法,其特征在于,所述访问数据包括存储在数据库系统中的数据库表。
6.根据权利要求1所述的方法,其特征在于,将访问数据返回至所述第二用户之后,还包括:
在所述第二用户的访问过程中,将所述第二用户的用户操作存储到第二标签中。
7.根据权利要求6所述的方法,其特征在于,所述用户操作包括操作行为、操作对象、操作时间和操作次数中的至少一种。
8.根据权利要求7所述的方法,其特征在于,所述操作行为包括:查看、修改、添加和删除中的至少一种。
9.根据权利要求6所述的方法,其特征在于,将所述第二用户的用户操作存储到第二标签中之后,还包括:
将所述第一标签中的所述第二用户的访问权限与所述第二标签中的所述第二用户的用户操作进行比对,以判断权限管理是否存在漏洞。
10.根据权利要求9所述的方法,其特征在于,判断权限管理是否存在漏洞,包括:
若所述第二标签中的所述第二用户的用户操作不属于所述第一标签中的所述第二用户的访问权限,则判定权限管理存在漏洞。
11.根据权利要求10所述的方法,其特征在于,判定权限管理存在漏洞之后,还包括:
向所述第一用户发出告警信息,以提示权限管理存在漏洞。
12.根据权利要求11所述的方法,其特征在于,判定权限管理存在漏洞之后,还包括:
存储所述第一标签中的所述第二用户的访问权限与所述第二标签中的所述第二用户的用户操作的比对结果和判定结果。
13.一种管理用户权限的装置,其特征在于,包括:
第一接收模块,用于接收第一用户发送的权限分配请求,所述权限分配请求携带权限信息;
第一存储模块,用于将所述权限信息存储到第一标签中;
第二接收模块,用于接收第二用户发送的密码注册请求,所述密码注册请求携带所述第二用户的密码;
第二存储模块,用于将所述第二用户的密码存储到所述第一标签中;
所述第二接收模块还用于:
将所述第二用户的密码存储到所述第一标签中之后,接收第二用户的访问请求;所述访问请求携带所述第二用户的用户名和密码;
基于所述权限信息和所述第二用户的密码确定所述第二用户的访问权限;
所述第二存储模块还用于:
采用椭圆曲线算法对所述第二用户的密码进行计算,得到所述密码对应的公钥和验证点;
将所述第二用户的密码存储到所述第一标签中;
所述第二接收模块还用于:
判断所述访问请求携带的所述第二用户的用户名与所述第一标签中的所述第二用户的用户名是否一致;
若是,则继续判断所述访问请求携带的所述第二用户的密码与所述第一标签中的所述第二用户的密码是否一致;
若是,则将访问数据返回至所述第二用户;
若否,则返回访问失败的消息;
若否,则返回访问失败的消息;
所述第二接收模块还用于:
采用椭圆曲线算法对所述公钥及其对应的验证点进行计算,得到私钥;
判断所述私钥与所述第一标签中所述第二用户的密码是否一致;
若是,则判断所述访问请求携带的所述第二用户的密码与所述第一标签中的所述第二用户的密码是否一致;
若是,则将访问数据返回至所述第二用户;
若否,则返回访问失败的消息;
若否,则返回访问失败的消息。
14.一种电子设备,其特征在于,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行时,所述一个或多个处理器实现如权利要求1-12中任一所述的方法。
15.一种计算机可读介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现如权利要求1-12中任一所述的方法。
CN202010867404.6A 2020-08-25 2020-08-25 一种管理用户权限的方法和装置 Active CN112069517B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010867404.6A CN112069517B (zh) 2020-08-25 2020-08-25 一种管理用户权限的方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010867404.6A CN112069517B (zh) 2020-08-25 2020-08-25 一种管理用户权限的方法和装置

Publications (2)

Publication Number Publication Date
CN112069517A CN112069517A (zh) 2020-12-11
CN112069517B true CN112069517B (zh) 2023-07-04

Family

ID=73659920

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010867404.6A Active CN112069517B (zh) 2020-08-25 2020-08-25 一种管理用户权限的方法和装置

Country Status (1)

Country Link
CN (1) CN112069517B (zh)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109756343A (zh) * 2019-01-31 2019-05-14 平安科技(深圳)有限公司 数字签名的认证方法、装置、计算机设备和存储介质
CN111447214A (zh) * 2020-03-25 2020-07-24 北京左江科技股份有限公司 一种基于指纹识别的公钥密码集中服务的方法

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102004866A (zh) * 2009-09-01 2011-04-06 上海杉达学院 用于信息系统的用户身份验证及访问控制的方法及装置
CN107079036A (zh) * 2016-12-23 2017-08-18 深圳前海达闼云端智能科技有限公司 注册及授权方法、装置及系统
CN107895123A (zh) * 2017-11-13 2018-04-10 医渡云(北京)技术有限公司 数据访问权限控制方法及装置、用户权限管理方法
CN108388814B (zh) * 2018-02-09 2021-04-09 清华大学 检测处理器的方法、检测装置以及检测系统

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109756343A (zh) * 2019-01-31 2019-05-14 平安科技(深圳)有限公司 数字签名的认证方法、装置、计算机设备和存储介质
CN111447214A (zh) * 2020-03-25 2020-07-24 北京左江科技股份有限公司 一种基于指纹识别的公钥密码集中服务的方法

Also Published As

Publication number Publication date
CN112069517A (zh) 2020-12-11

Similar Documents

Publication Publication Date Title
US10614233B2 (en) Managing access to documents with a file monitor
US9998474B2 (en) Secure assertion attribute for a federated log in
US11188667B2 (en) Monitoring and preventing unauthorized data access
US10630685B2 (en) Integrated hosted directory
CN111104675A (zh) 系统安全漏洞的检测方法和装置
CN109522751B (zh) 访问权限控制方法、装置、电子设备及计算机可读介质
CN112511316B (zh) 单点登录接入方法、装置、计算机设备及可读存储介质
CN113271296A (zh) 一种登录权限管理的方法和装置
CN116011590A (zh) 联邦学习方法、装置和系统
CN111814131A (zh) 一种设备注册和配置管理的方法和装置
US8990884B2 (en) Quantifying risk based on relationships and applying protections based on business rules
CN116325654B (zh) 租户感知相互tls认证
CN112069517B (zh) 一种管理用户权限的方法和装置
CN112966286B (zh) 用户登录的方法、系统、设备和计算机可读介质
CN113765866B (zh) 一种登录远程主机的方法和装置
CN110765445B (zh) 处理请求的方法和装置
CN110659476A (zh) 用于重置密码的方法和装置
CN110611656B (zh) 一种基于主身份多重映射的身份管理方法、装置及系统
US20240305622A1 (en) Provisioning and secure access control for storage on public servers
CN114745164B (zh) 一种业务处理方法、装置、电子设备及计算机可读介质
CN113420331B (zh) 一种文件下载权限的管理方法和装置
CN113742712B (zh) 解密设备的方法、装置、设备和计算机可读介质
US20220029991A1 (en) Integrated hosted directory
US20230269298A1 (en) Protecting api keys for accessing services
CN117473547A (zh) 一种数据库权限管理的方法和装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
TA01 Transfer of patent application right
TA01 Transfer of patent application right

Effective date of registration: 20220923

Address after: 12 / F, 15 / F, 99 Yincheng Road, China (Shanghai) pilot Free Trade Zone, Pudong New Area, Shanghai, 200120

Applicant after: Jianxin Financial Science and Technology Co.,Ltd.

Address before: 25 Financial Street, Xicheng District, Beijing 100033

Applicant before: CHINA CONSTRUCTION BANK Corp.

Applicant before: Jianxin Financial Science and Technology Co.,Ltd.

GR01 Patent grant
GR01 Patent grant