访问权限管理方法及装置与流程

1.本发明涉及金融领域，尤其涉及访问权限管理方法及装置。需要说明的是，本发明访问权限管理方法和装置可用于金融领域，也可用于除金融领域之外的任意领域，本发明访问权限管理方法和装置的应用领域不做限定。


背景技术：

2.本部分旨在为权利要求书中陈述的本发明实施例提供背景或上下文。此处的描述不因为包括在本部分中就承认是现有技术。
3.用户在登陆系统时，需要进行身份认证才可登陆系统请求服务进行操作，身份认证未通过的商户则不被允许登陆系统请求操作，不同的系统对用户认证的要求可能也不尽相同。登录系统请求操作时可能存在系统中的部分功能需要满足一些条件的用户才能请求服务或者需要请求使用其它系统的部分功能，因此需要对多样请求的客户授予相应的权限。
4.现有技术大多数是对于用户上传数据的加解密，局限于数据的访问控制，无法实现细粒度访问控制和授权，造成了资源浪费。
5.因此，亟需一种可以克服上述问题的访问权限管理方案。


技术实现要素：

6.本发明实施例提供一种访问权限管理方法，用以进行访问权限管理，有效实现细粒度访问控制，减少资源不必要的浪费，该方法包括：
7.接收用户注册请求，所述用户注册请求中携带用户属性信息；
8.根据所述用户属性信息和预先建立的属性权限映射表，确定对应的访问权限信息；
9.根据所述访问权限信息和预先建立的权限密钥映射表，确定对应的加解密密钥；
10.根据所述加解密密钥，进行访问权限管理。
11.本发明实施例提供一种访问权限管理装置，用以进行访问权限管理，有效实现细粒度访问控制，减少资源不必要的浪费，该装置包括：
12.注册请求接收模块，用于接收用户注册请求，所述用户注册请求中携带用户属性信息；
13.访问权限确定模块，用于根据所述用户属性信息和预先建立的属性权限映射表，确定对应的访问权限信息；
14.加解密密钥确定模块，用于根据所述访问权限信息和预先建立的权限密钥映射表，确定对应的加解密密钥；
15.访问权限管理模块，用于根据所述加解密密钥，进行访问权限管理。
16.本发明实施例还提供一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现上述访问权限管
理方法。
17.本发明实施例还提供一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时实现上述访问权限管理方法。
18.本发明实施例还提供一种计算机程序产品，所述计算机程序产品包括计算机程序，所述计算机程序被处理器执行时实现上述访问权限管理方法。
19.本发明实施例通过接收用户注册请求，所述用户注册请求中携带用户属性信息；根据所述用户属性信息和预先建立的属性权限映射表，确定对应的访问权限信息；根据所述访问权限信息和预先建立的权限密钥映射表，确定对应的加解密密钥；根据所述加解密密钥，进行访问权限管理。本发明实施例预先建立了属性权限映射表和权限密钥映射表，从而构建了属性与权限以及权限与密钥之间的对应关系，在用户注册时根据用户属性信息以及构建的对应关系确定加解密密钥，进而有效完成细粒度访问控制，减少资源不必要的浪费，实现访问权限管理。
附图说明
20.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。在附图中：
21.图1为本发明实施例中访问权限管理方法示意图；
22.图2为本发明实施例中另一访问权限管理方法示意图；
23.图3为本发明实施例中访问权限管理装置结构图；
24.图4为本发明实施例中另一访问权限管理装置结构图；
25.图5是本发明实施例的计算机设备结构示意图。
具体实施方式
26.为使本发明实施例的目的、技术方案和优点更加清楚明白，下面结合附图对本发明实施例做进一步详细说明。在此，本发明的示意性实施例及其说明用于解释本发明，但并不作为对本发明的限定。
27.为了进行访问权限管理，有效实现细粒度访问控制，减少资源不必要的浪费，本发明实施例提供一种访问权限管理方法，如图1所示，该方法可以包括：
28.步骤101、接收用户注册请求，所述用户注册请求中携带用户属性信息；
29.步骤102、根据所述用户属性信息和预先建立的属性权限映射表，确定对应的访问权限信息；
30.步骤103、根据所述访问权限信息和预先建立的权限密钥映射表，确定对应的加解密密钥；
31.步骤104、根据所述加解密密钥，进行访问权限管理。
32.由图1所示可以得知，本发明实施例通过接收用户注册请求，所述用户注册请求中携带用户属性信息；根据所述用户属性信息和预先建立的属性权限映射表，确定对应的访问权限信息；根据所述访问权限信息和预先建立的权限密钥映射表，确定对应的加解密密
钥；根据所述加解密密钥，进行访问权限管理。本发明实施例预先建立了属性权限映射表和权限密钥映射表，从而构建了属性与权限以及权限与密钥之间的对应关系，在用户注册时根据用户属性信息以及构建的对应关系确定加解密密钥，进而有效完成细粒度访问控制，减少资源不必要的浪费，实现访问权限管理。
33.下面对每个步骤进行详细分析。
34.在步骤101～步骤102中，接收用户注册请求，所述用户注册请求中携带用户属性信息，根据所述用户属性信息和预先建立的属性权限映射表，确定对应的访问权限信息。
35.在一个实施例中，所述属性权限映射表按如下方式预先建立：
36.获得多个历史用户属性信息；
37.对所述多个历史用户属性信息进行分类，确定至少一个属性类型；
38.根据每个历史用户属性信息的属性类型，设置对应的访问权限信息；
39.根据所述历史用户属性信息和访问权限信息，建立属性权限映射表。
40.在步骤103中，根据所述访问权限信息和预先建立的权限密钥映射表，确定对应的加解密密钥。
41.在一个实施例中，所述权限密钥映射表按如下方式预先建立：
42.根据访问权限信息，利用abe属性加密算法计算每个历史用户属性信息对应的加解密密钥；
43.根据所述访问权限信息和加解密密钥，建立权限密钥映射表。
44.在步骤104中，根据所述加解密密钥，进行访问权限管理。
45.在一个实施例中，如图2所示，访问权限管理方法还包括：
46.步骤201、接收用户访问请求，所述用户注册请求中携带经加解密密钥中的加密密钥进行加密后的用户属性信息；
47.步骤202、利用加解密密钥中的解密密钥对用户访问请求进行解密。
48.需要说明的是，有关建立属性权限控制表和访问权限控制表在这两个映射关系建立时，初代的映射关系可以是先由系统自己根据现有的用户属性进行划分，或者根据将会使用系统的用户属性进行划分，后续可以支持属性的维护、更新、扩展等。
49.本发明实施例建立一个访问控制系统，系统将提供访问控制权限管理及对不同的客户相应授权，访问控制系统维护不同系统的访问权限，访问控制系统将会根据不同的权限分配加密解密密钥，只有符合加解密规则的用户，才可以访问系统，请求服务进行功能操作。用户上送信息数据，访问控制系统根据信息数据中的相关属性进行判断及验证，赋予用户访问相关系统的权限以及该权限对应的加解密密钥。客户在访问系统时上送加密的数据，只有符合加解密规则的系统方可解密，进行身份验证。
50.下面给出一个具体实施例，说明本发明实施例中访问权限管理的具体应用。在用户注册时获取用户属性信息，建立属性集合，在用户身份认证时进行属性划分，按照集合-权限对应授予相应权限。具体如下：
51.1、建立访问控制及授权系统，系统主要负责根据客户上传的数据分析客户的属性，根据用户属性进行系统的访问控制判断，并授权访问权限，分发客户属性的加解密密钥，其中，使用abe属性加密算法，提取用户属性，根据用户的属性生成密钥，只有符合的密钥才能解密并访问系统，根据用户的属性调用算法生成加解密密钥。
52.2、建立属性权限映射表、权限密钥映射表和访问控制策略，梳理用户的属性和权限，某一类型的属性可以拥有哪些权限，而这些权限则与用户的密钥相关联，只有符合的密钥才能解密成功并访问系统，便于进行用户的身份验证，根据属性赋予客户访问权限以及根据访问权限来分配客户的加解密密钥，用户的属性决定用户以拥有哪些权限，根据权限密钥关联表为用户分配相应的加解密密钥在用户进行身份认证的时候，只有符合的密钥才能解密。
53.经过身份认证的用户才能访问系统，利用加解密算法根据用户传输的加密后的信息进行解密，解密通过后，认为身份认证通过。如用户的属性为学生，则在进行身份认证时，利用相对应的属性选择密钥加密信息，在访问某系统时，之后成功解密的系统认为是学生可以访问的系统，允许进行访问。用户的属性决定用户的权限，在用户登录时提取用户的属性，根据属性权限关联表为特定属性的用户分配相应的权限，根据权限密钥对应表选择相应的加解密密钥，对传输的数据进行加密。如用户的属性为学生，则先提取出用户的属性学生等，根据对应的属性选找出可以赋予的权限，根据权限选择学生属性的加解密密钥加密此类数据并进行传递，在访问某系统进行身份认证时，是否能够成功解密数据，进行身份认证。
54.本发明石化实例便于进行用户的身份验证，根据属性赋予客户访问权限以及根据访问权限来分配客户的加解密密钥。基于属性的访问控制、授权授予方案可以根据用户属性进行访问控制和权限授予，便于节省资源，方便用户进行操作，简化客户操作流程。
55.基于同一发明构思，本发明实施例还提供了一种访问权限管理装置，如下面的实施例所述。由于这些解决问题的原理与访问权限管理方法相似，因此访问权限管理装置的实施可以参见方法的实施，重复之处不再赘述。
56.图3为本发明实施例中访问权限管理装置的结构图，如图3所示，该访问权限管理装置包括：
57.注册请求接收模块301，用于接收用户注册请求，所述用户注册请求中携带用户属性信息；
58.访问权限确定模块302，用于根据所述用户属性信息和预先建立的属性权限映射表，确定对应的访问权限信息；
59.加解密密钥确定模块303，用于根据所述访问权限信息和预先建立的权限密钥映射表，确定对应的加解密密钥；
60.访问权限管理模块304，用于根据所述加解密密钥，进行访问权限管理。
61.一个实施例中，所述属性权限映射表按如下方式预先建立：
62.获得多个历史用户属性信息；
63.对所述多个历史用户属性信息进行分类，确定至少一个属性类型；
64.根据每个历史用户属性信息的属性类型，设置对应的访问权限信息；
65.根据所述历史用户属性信息和访问权限信息，建立属性权限映射表。
66.一个实施例中，所述权限密钥映射表按如下方式预先建立：
67.根据访问权限信息，利用abe属性加密算法计算每个历史用户属性信息对应的加解密密钥；
68.根据所述访问权限信息和加解密密钥，建立权限密钥映射表。
69.一个实施例中，如图4所示，图访问权限管理装置还包括：
70.访问请求接收模块401，用于接收用户访问请求，所述用户注册请求中携带经加解密密钥中的加密密钥进行加密后的用户属性信息；
71.访问请求解密模块402，用于利用加解密密钥中的解密密钥对用户访问请求进行解密。
72.基于前述发明构思，如图5所示，本发明实施例还提供一种计算机设备500，包括存储器510、处理器520及存储在存储器510上并可在处理器520上运行的计算机程序530，所述处理器520执行所述计算机程序530时实现上述访问权限管理方法。
73.基于前述发明构思，本发明实施例还提供一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时实现上述访问权限管理方法。
74.本发明实施例还提供一种计算机程序产品，所述计算机程序产品包括计算机程序，所述计算机程序被处理器执行时实现上述访问权限管理方法。
75.本发明实施例通过接收用户注册请求，所述用户注册请求中携带用户属性信息；根据所述用户属性信息和预先建立的属性权限映射表，确定对应的访问权限信息；根据所述访问权限信息和预先建立的权限密钥映射表，确定对应的加解密密钥；根据所述加解密密钥，进行访问权限管理。本发明实施例预先建立了属性权限映射表和权限密钥映射表，从而构建了属性与权限以及权限与密钥之间的对应关系，在用户注册时根据用户属性信息以及构建的对应关系确定加解密密钥，进而有效完成细粒度访问控制，减少资源不必要的浪费，实现访问权限管理。
76.本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
77.本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
78.这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
79.这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
80.以上所述的具体实施例，对本发明的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上所述仅为本发明的具体实施例而已，并不用于限定本发明的保护范围，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。