一種信息訪問控制方法及系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于信息安全及信息訪問控制技術(shù)領(lǐng)域��,尤其涉及一種信息訪問控制方法及系統(tǒng)�。
【背景技術(shù)】
[0002]在金融信息領(lǐng)域,信息安全一直是系統(tǒng)開發(fā)者����、系統(tǒng)使用者和監(jiān)管方所關(guān)注的重點問題,而與此相關(guān)的安全認證����、基于授權(quán)權(quán)限的信息訪問控制等信息安全技術(shù)與手段,也是豐富多彩���。
[0003]目前�,在金融信息領(lǐng)域中�����,大多數(shù)的基于授權(quán)權(quán)限的信息訪問控制方案����,僅實現(xiàn)了訪問信息系統(tǒng)的兩級控制,一是控制訪問者訪問系統(tǒng)的權(quán)限��,二是控制訪問者訪問系統(tǒng)中某些交易的權(quán)限��,而未能實現(xiàn)更細級別的控制���,如未能實現(xiàn)從交易信息項的控制角度��,來定義并控制交易中的哪些信息項可被輸出訪問�,哪些信息項不可被輸出訪問���,從而導(dǎo)致信息系統(tǒng)的信息安全程度較低�����。例如�����,銀行的各前端應(yīng)用系統(tǒng)在訪問后臺的數(shù)據(jù)中心時��,數(shù)據(jù)中心僅能基于各前端應(yīng)用系統(tǒng)所對應(yīng)的權(quán)限�����,定義并控制各前端應(yīng)用系統(tǒng)所能夠訪問的交易����,而不能對交易中包含的信息項進行輸出控制。而少數(shù)已實現(xiàn)信息項訪問控制的控制方案�,一般是通過反復(fù)開發(fā)每種交易的不同版本(同種交易的不同版本具有不同的信息項),來實現(xiàn)信息項級別的訪問控制���,此種實現(xiàn)方式大大增加了系統(tǒng)的前期開發(fā)成本��。
[0004]通過以上的闡述可知����,本領(lǐng)域亟需提供一種較優(yōu)的��、基于信息項級別的信息訪問控制方案���,以實現(xiàn)在較低開發(fā)成本的前提下����,提升信息系統(tǒng)的信息安全程度�。
【發(fā)明內(nèi)容】
[0005]有鑒于此,本發(fā)明的目的在于提供一種信息訪問控制方法及系統(tǒng)����,旨在實現(xiàn)在較低開發(fā)成本的前提下,實現(xiàn)信息項級別的信息訪問控制���,以提升信息系統(tǒng)的信息安全程度���。
[0006]為此,本發(fā)明公開如下技術(shù)方案:
[0007]—種信息訪問控制方法����,包括:
[0008]在接收到訪問者的訪問請求時,獲取所述訪問者的訪問權(quán)限;其中���,所述訪問請求包括待訪問目標交易的交易標識��,所述訪問權(quán)限包括:預(yù)先配置的對應(yīng)于目標信息系統(tǒng)中各交易的交易訪問權(quán)限��,以及對應(yīng)于已授權(quán)交易中各信息項的信息項訪問權(quán)限���;
[0009]基于所述交易訪問權(quán)限及所述交易標識,判斷所述訪問者是否具備訪問所述目標交易的權(quán)限��;
[0010]如果具備����,則從所述目標信息系統(tǒng)中獲取與所述訪問請求相匹配的第一目標交易信息��;
[0011]基于所述信息項訪問權(quán)限�,對所述第一目標交易信息中未向所述訪問者授權(quán)的信息項進行過濾�,得到第二目標交易信息;
[0012]反饋所述第二目標交易信息至所述訪問者�����。
[0013]上述方法����,優(yōu)選的,所述獲取所述訪問者的訪問權(quán)限包括:
[0014]基于預(yù)先為所述訪問者配置的交易授權(quán)表���,獲取所述訪問者的交易訪問權(quán)限�����;其中����,所述交易授權(quán)表包括:所述訪問者在所述目標信息系統(tǒng)中被授權(quán)的各個交易的交易標識;
[0015]基于預(yù)先為所述訪問者配置的結(jié)果過濾表���,獲取所述訪問者的信息項訪問權(quán)限�����;其中,所述結(jié)果過濾表包括:在已授權(quán)的交易中未對所述訪問者授權(quán)的各信息項的標識�。
[0016]上述方法,優(yōu)選的����,所述基于所述信息項訪問權(quán)限,對所述第一目標交易信息中未向所述訪問者授權(quán)的信息項進行過濾����,包括:
[0017]基于所述結(jié)果過濾表,將所述第一目標交易信息中未向所述訪問者授權(quán)的各信息項重新賦值為空值����,得到第二目標交易信息。
[0018]上述方法�,優(yōu)選的,還包括:
[0019]基于所述訪問者提交的驗證信息�,對所述訪問者進行身份驗證,并在驗證通過后,觸發(fā)所述步驟:在接收到訪問者的訪問請求時���,獲取所述訪問者的訪問權(quán)限��。
[0020]上述方法��,優(yōu)選的�,所述訪問權(quán)限為管理員基于所述訪問者的權(quán)限級別預(yù)先配置的信息�����,則所述方法還包括:
[0021 ]接收管理員對所述訪問權(quán)限進行管理時所提交的新的配置信息�,并基于所述新的配置信息對所述訪問權(quán)限進行更新存儲。
[0022]一種信息訪問控制系統(tǒng)���,包括:
[0023]第一獲取模塊����,用于在接收到訪問者的訪問請求時�,獲取所述訪問者的訪問權(quán)限;其中���,所述訪問請求包括待訪問目標交易的交易標識��,所述訪問權(quán)限包括:預(yù)先配置的對應(yīng)于目標信息系統(tǒng)中各交易的交易訪問權(quán)限���,以及對應(yīng)于已授權(quán)交易中各信息項的信息項訪問權(quán)限��;
[0024]判斷模塊���,用于基于所述交易訪問權(quán)限及所述交易標識,判斷所述訪問者是否具備訪問所述目標交易的權(quán)限���;
[0025]第二獲取模塊,用于在具備時����,從所述目標信息系統(tǒng)中獲取與所述訪問請求相匹配的第一目標交易信息;
[0026]過濾模塊�����,用于基于所述信息項訪問權(quán)限�,對所述第一目標交易信息中未向所述訪問者授權(quán)的信息項進行過濾,得到第二目標交易信息�����;
[0027]反饋模塊,用于反饋所述第二目標交易信息至所述訪問者���。
[0028]上述系統(tǒng)����,優(yōu)選的��,所述第一獲取模塊包括:
[0029]第一獲取單元�����,用于基于預(yù)先為所述訪問者配置的交易授權(quán)表��,獲取所述訪問者的交易訪問權(quán)限;其中��,所述交易授權(quán)表包括:所述訪問者在所述目標信息系統(tǒng)中被授權(quán)的各個交易的交易標識�����;
[0030]第二獲取單元����,用于基于預(yù)先為所述訪問者配置的結(jié)果過濾表,獲取所述訪問者的信息項訪問權(quán)限;其中����,所述結(jié)果過濾表包括:在已授權(quán)的交易中未對所述訪問者授權(quán)的各信息項的標識����。
[0031 ]上述系統(tǒng)��,優(yōu)選的���,所述過濾模塊包括:
[0032]重新賦值單元�����,用于基于所述結(jié)果過濾表,將所述第一目標交易信息中未向所述訪問者授權(quán)的各信息項重新賦值為空值��,得到第二目標交易信息�����。
[0033]上述系統(tǒng)�����,優(yōu)選的��,還包括:
[0034]身份驗證模塊,用于基于所述訪問者提交的驗證信息����,對所述訪問者進行身份驗證,并在驗證通過后�����,觸發(fā)所述第一獲取模塊�。
[0035]上述系統(tǒng),優(yōu)選的����,還包括:
[0036]訪問權(quán)限管理模塊,用于接收管理員對所述訪問權(quán)限進行管理時所提交的新的配置信息��,并基于所述新的配置信息對所述訪問權(quán)限進行更新存儲���。
[0037]由以上方案可知���,本申請公開的信息訪問控制方法和系統(tǒng),在實現(xiàn)交易級別的信息訪問控制基礎(chǔ)上�,利用預(yù)先為訪問者配置的對已授權(quán)交易中各信息項的信息項訪問權(quán)限,繼續(xù)對待返回的目標交易信息進行信息項過濾��,實現(xiàn)將所述目標交易信息中未向所述訪問者授權(quán)的信息項濾除掉,可見�,本申請實現(xiàn)了一種基于信息項過濾的信息項級別的訪問控制方案,在應(yīng)用本申請方案實現(xiàn)對交易包括的各信息項進行輸出控制時�����,無需預(yù)先為信息系統(tǒng)中的每種交易開發(fā)不同的版本�����,從而�����,本申請在僅需較低開發(fā)成本的前提下�,實現(xiàn)了信息項級別的信息訪問控制,提升了信息系統(tǒng)的信息安全程度�����。
【附圖說明】
[0038]為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術(shù)中的技術(shù)方案�,下面將對實施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹���,顯而易見地�,下面描述中的附圖僅僅是本發(fā)明的實施例,對于本領(lǐng)域普通技術(shù)人員來講���,在不付出創(chuàng)造性勞動的前提下����,還可以根據(jù)提供的附圖獲得其他的附圖��。
[0039]圖1是本發(fā)明實施例一提供的信息訪問控制方法流程圖�����;
[0040]圖2(a)是本發(fā)明實施例一提供的交易授權(quán)表不例圖����;
[0041 ]圖2(b)是本發(fā)明實施例一提供的結(jié)果過濾表示例圖;
[0042]圖3是本發(fā)明實施例二提供的信息訪問控制方法流程圖�;
[0043]圖4是本發(fā)明實施例三提供的信息訪問控制方法流程圖;
[0044]圖5-圖7是本發(fā)明實施例四提供的信息訪問控制系統(tǒng)的結(jié)構(gòu)示意圖���。
【具體實施方式】
[0045]為了引用和清楚起見��,下文中使用的技術(shù)名詞�、簡寫或縮寫總結(jié)解釋如下:
[0046]Spring A0P:Spring面向切面編程�����,針對業(yè)務(wù)處理過程中的切面進行提取,針對處理過程中的某個階段進行編碼����,以獲得邏輯過程中各個部分之間低耦合性的隔離效果。
[0047]JAVA反射機制:在運行狀態(tài)中����,對任意一個類,都能夠知道這個類的所有屬性和方法����,對于任意一個對象,都能夠調(diào)用它的任意一個方法和屬性���,這種動態(tài)獲取的信息����,以及動態(tài)調(diào)用對象的方法的功能稱為Java語言的反射機制�����。
[0048]下面將結(jié)合本發(fā)明實施例中的附圖�,對本發(fā)明實施例中的技術(shù)方案進行清楚、完整地描述��,顯然�,所描述的實施例僅僅是本發(fā)明一部分實施例,而不是全部的實施例���?���;诒景l(fā)明中的實施例�,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例,都屬于本發(fā)明保護的范圍��。
[0049]實施例一
[0050]本發(fā)明實施例一公開一種信息訪問控制方法�,參考圖1,所述方法可以包括以下步驟:
[