CN105718817A - 一种基于权限映射的数据安全交换***及方法 - Google Patents

Abstract

本发明公开了一种基于权限映射的数据安全交换***及方法，是应用于由若干个服务请求商所组成的网络中，其特征是，所述安全交换***包括：网络接口管理模块、数据管理模块和中心数据库。本发明能提高数据安全交换***的可操作性、安全性和可拓展性，从而为提供商提供多样化服务操作及良好的用户体验。

Description

一种基于权限映射的数据安全交换***及方法

技术领域

本发明涉及一种基于权限映射的数据安全交换***及方法。

背景技术

随着信息技术的发展和应用，信息时代正以前所未有的速度改变着人们的生活习惯，满足着人们日益增长的物质文化需求。作为人们生活居住的最小行政划分单位---社区，其治理方式与服务体制是社会管理的细胞，是体现国家治理体系和治理能力现代化的重要方面。

信息化建设过程中，各部门根据自身情况建立的信息***或业务应用***，采用了不同技术和体系结构，从而形成了众多的信息孤岛。社区发展需要实现这些大量不同位置、不同格式信息的共享和相互访问，使社区资源有效整合，进而集成相关的业务信息，为企业、公众和内部政务***提供统一和一致的服务。

现如今，数据安全交换***的开发在中的应用尚处于萌芽阶段，现存在的平台耦合度低、安全性差、功能较为单一，不能有效地提提供服务请求商接口并提供有效地管理接口，不利于社区资源的有效地交互，也难以支持便民服务、商业服务第三方便民社区数据有效地交互处理。

发明内容

本发明是为避免现有技术的不足之处，提出一种基于权限映射的数据安全交换***及方法，重点关注数据交流的安全性与便捷性，以期能提高数据安全交换***的可操作性、安全性和可拓展性，从而为提供商提供多样化服务操作及良好的用户体验。

本发明为解决技术问题采用如下技术方案：

本发明一种基于权限映射的数据安全交换***，是应用于由若干个服务请求商所组成的网络中，其特点是，所述安全交换***包括：网络接口管理模块、数据管理模块和中心数据库；

所述网络接口管理模块用于实现服务请求商的应答，并根据所述服务请求商的请求业务分配不同的网络接口，再处理所述服务请求商的请求业务；

所述数据管理模块用于实现数据的交互，并对所述服务请求商和中心数据库进行权限控制，以确保数据交换的安全；

所述中心数据库用于存储所述数据，所述数据包括：服务请求商的基本信息、权限信息、交换数据基本信息、交换数据的权限。

本发明所述的数据安全交换***的特点也在于：

网络接口管理模块包括：服务商鉴权接口、业务数据输入接口和业务数据输出接口；

所述中心数据库包含：交换数据表ExData、服务商信息表UserInfo和服务商权限--数据权限表UsExData；

所述交换数据表ExData用于存储交换数据基本信息和交换数据的权限；

所述服务商信息表UserInfo用于存储服务请求商数据的基本信息；

所述服务商权限--数据权限表UsExData用于存储数据权限与服务请求商权限的映射关系。

所述数据权限与服务商权限的映射关系表示：具有服务请求商权限flag1的服务请求商能处理的最大数据权限为flag。

本发明一种基于权限映射的数据安全交换方法的特点是应用于数据安全交换***中，并按如下步骤进行：

步骤1：不同类型接口的数据模板定义

步骤1.1、构建用于存储临时数据的缓存器，用于存储传输过程中的数据；

步骤1.2、根据服务请求商所请求的业务不同，分配不同的类型接口，根据不同的类型接口构建不同的XML数据模板，从而使得服务请求商能利用不同的XML数据模板传递数据；

步骤2：服务请求商的权限分配；

步骤2.1、服务请求商向网络接口管理模块发出鉴权业务请求；

步骤2.2、网络接口管理模块根据所述鉴权业务请求，分配服务商鉴权接口给所请求的服务请求商；

步骤2.3、所述服务请求商根据所述服务商鉴权接口中的XML数据模板向数据管理模块发送相应的XML文档；

步骤2.4、数据管理模块接受XML文档并进行解析，从而分配给服务请求商相应的权限，并将服务请求商的基本信息和服务请求商所分配的权限信息存入服务商信息表UserInfo中；

步骤3：服务请求商的数据输入业务请求；

步骤3.1、服务请求商向网络接口管理模块发出数据输入业务请求；

步骤3.2、中心数据库查看服务请求商的权限，若所述服务请求商拥有权限，则网络接口管理模块向服务请求商分配数据输入接口；若所述服务请求商没有权限，则网络接口管理模块拒绝向服务请求商分配数据输入接口；

步骤3.2、所述服务请求商根据所述数据输入接口中的XML数据模板向数据管理模块发送相应的XML文档；

步骤3.3、数据管理模块将所接收的XML文档存入缓存器中并进行解析，同时检查服务商权限--数据权限表UsExData，从而给所述服务请求商所要输入的交换数据基本信息添加权限；并将所添加的权限及其交换数据基本信息存入所述交换数据表ExData中；

步骤3.4、所述网络接口管理模块向所述服务请求商返回“输入成功”信息；

步骤4、服务请求商的数据输出业务请求；

步骤4.1、服务请求商向网络接口管理模块发出数据输出接口申请；

步骤4.2、中心数据库查看服务请求商权限，若所述服务请求商拥有权限，则网络接口管理模块向服务请求商分配数据输出接口；若所述服务请求商没有权限，则网络接口管理模块拒绝向服务请求商分配数据输出接口；

步骤4.3、所述服务请求商根据所述数据输出接口中的XML数据模板向数据管理模块发送相应的XML文档；

步骤4.4、数据管理模块将所接收的XML文档存入缓存器中并进行解析，同时检查服务商权限--数据权限表UsExData；从而确定所述服务请求商是否拥有所要输出的交换数据基本信息的权限；若拥有，则执行步骤4.5；否则，所述网络接口管理模块向所述服务请求商返回“没有权限”信息；

步骤4.5、所述网络接口管理模块根据交换数据表ExData，利用所述数据输出接口中的另一个XML数据模板生成XML文档并存入所述缓存器中；再经过所述缓存器向服务请求商发送XML文档，从而完成服务请求商的数据输出业务。

与已有技术相比，本发明有益效果体现在：

1、本发明由网络接口管理模块、数据管理模块和中心数据库组成数据安全交换***，其网络接口管理模块应对服务请求商的业务请求进行处理与应答，中心数据库存储服务请求商数据数据和交换数据，数据管理模块是联系网络接口管理模块和中心数据库的中间连接层，为网络接口提供应答服务请求商请求的业务所需的数据，为中心数据库进行数据的输入输出操作；本***平台层次结构清晰，***之间功能独立并且有较好的数据传输机制。

2、本发明的网络接口管理模块用于实现服务请求商的应答，并根据所述服务请求商的请求业务分配不同的网络接口；针对服务请求商根据接口的XML数据模板传回来的数据进行解析，并利用数据管理模块从中心数据库中调用的权限数据，进行服务商权限，交换数据权限的判断，最终处理数据输入、输出业务；从而提高了数据安全交换***的智能型、可用性、拓展性和可操作性，满足用户各种需求。

3、本发明数据管理管理模块用于对中心数据库的数据进行访问和处理，包括应对网络接口管理模块的数据请求；针对安全性需求，将服务请求商和交换数据进行级别划分和界定，并将服务请求商权限和交换数据权限进行链接；从而保障了数据安全性，消除了由于服务请求商对无限制的输入、输出数据所涉及的数据泄露隐患。

4、本发明中心数据库由交换数据、服务请求商数据和交换数据-服务商数据映射组成；允许数据管理模块在数据库中进行数据的增加、删除、修改和查询；交换数据、服务请求商数据和交换数据-服务商数据映射分开存储，使数据库冗余程度尽可能小，保障数据可以高效率的增加、删除、修改和查询并且占用内存尽可能小。

5、本发明建立了定级加密机制对数据权限和服务请求商权限进行划分，服务请求商权限为flag1的服务请求商可以对服务请求商权限flag1对应的小于等于数据权限flag的数据进行数据输入、输出业务操作；用于增强数据存储、传输和访问过程中的安全性，并保障了服务数据的安全性。

附图说明

图1为本发明整体结构图；

图2为本发明的网络接口包含不同类型接口展示图；

图3为本发明的网络接口分配鉴权接口流程图；

图4为本发明的服务请求商请求数据输入请求流程图；

图5为本发明的服务请求商请求数据输出请求流程图。

具体实施方式

本例实施中，一种基于权限映射的数据安全交换***，应用于由若干个服务请求商所组成的网络中，集成了第三方数据，该安全交换***包括：网络接口管理模块、数据管理模块和中心数据库；

网络接口管理模块用于实现服务请求商的应答，并根据服务请求商的请求业务分配不同的网络接口，再处理服务请求商的请求业务；

如图1所示：网络接口管理模块包括：服务商鉴权接口、业务数据输入接口和业务数据输出接口；

数据管理模块用于实现数据的交互，并对服务请求商和中心数据库进行权限控制，以确保数据交换的安全；

中心数据库用于存储数据，数据包括：服务请求商的基本信息、权限信息、交换数据基本信息、交换数据的权限。

中心数据库包含：交换数据表ExData、服务商信息表UserInfo和服务商权限--数据权限表UsExData；交换数据表ExData用于存储交换的服务数据，包括：交换数据基本信息和交换数据的权限；例如，数据主键，数据基本信息，数据来源，数据权限flag；

服务商信息表UserInfo用于存储申请业务的服务请求商数据，例如，服务请求商数据的基本信息；包含服务请求商主键，服务请求商基本信息，服务请求商权限flag1；

服务商权限--数据权限表UsExData用于存储数据权限与服务请求商权限的映射关系，包含数据权限flag和服务请求商权限flag1，表示：具有服务请求商权限flag1的服务请求商能处理的最大数据权限为flag。

一种基于权限映射的数据安全交换方法是应用于数据的安全交换***中，并按如下步骤进行：

步骤1：不同类型接口的数据模板定义

步骤1.1、构建用于存储临时数据的缓存器，用于存储传输过程中的数据；

步骤1.2、根据服务请求商所请求的业务不同，分配不同的类型接口，根据不同的类型接口构建不同的XML数据模板，从而使得服务请求商能利用不同的XML数据模板传递数据；

步骤2：如图2、图3所示，服务请求商的权限分配；

步骤2.1、服务请求商向网络接口管理模块发出鉴权业务请求；

步骤2.2、网络接口管理模块根据鉴权业务请求，分配服务商鉴权接口给所请求的服务请求商；

步骤2.3、服务请求商根据服务商鉴权接口中的XML数据模板向数据管理模块发送相应的XML文档；

步骤2.4、数据管理模块接受XML文档并进行解析，从而分配给服务请求商相应的权限，并将服务请求商的基本信息和服务请求商所分配的权限信息存入服务商信息表UserInfo中；

步骤3：如图4所示，服务请求商的数据输入业务请求；

步骤3.1、服务请求商向网络接口管理模块发出数据输入业务请求；

步骤3.2、中心数据库查看服务请求商的权限若服务请求商拥有权限，则网络接口管理模块向服务请求商分配数据输入接口；若服务请求商没有权限，则网络接口管理模块拒绝向服务请求商分配数据输入接口；

在查看权限过程中，中心数据库将服务请求商权限flag1传给网络接口管理模块，网络接口管理模块判断；如果flag1＝00**或者01**，则认为拥有数据输入权限。如果flag1＝11**，则认为不拥有数据输入权限。

步骤3.2、服务请求商根据数据输入接口中的XML数据模板填写数据，并向数据管理模块发送相应的XML文档；

步骤3.3、数据管理模块将所接收的XML文档存入缓存器中并进行解析，同时检查服务商权限--数据权限表UsExData，从而给服务请求商所要输入的交换数据基本信息添加权限；并将所添加的权限及其交换数据基本信息存入交换数据表ExData中；

网络接口管理模块将交换数据传送给数据管理模块，添加权限时，中心数据库将服务请求商权限flag1传给数据管理模块，查看服务请求商权限flag1的后两位，根据查服务商权限--数据权限表UsExData的映射关系，查到服务请求商对应的数据权限flag，将数据添加权限为flag。数据管理模块将数据存入中心数据库。

步骤3.4、网络接口管理模块向服务请求商返回“输入成功”信息；

步骤4、如图5示，服务请求商的数据输出业务请求；

步骤4.1、服务请求商向网络接口管理模块发出数据输出接口申请；

步骤4.2、中心数据库查看服务请求商权限，若服务请求商拥有权限，则网络接口管理模块向服务请求商分配数据输出接口；若服务请求商没有权限，则网络接口管理模块拒绝向服务请求商分配数据输出接口；

在查看权限过程中，中心数据库将服务请求商权限flag1传给网络接口管理模块，网络接口管理模块判断；如果flag1＝11**或者01**，则认为拥有数据输入权限。如果flag＝00**，则认为不拥有数据输入权限。

步骤4.3、服务请求商根据数据输出接口中的XML数据模板向数据管理模块发送相应的XML文档；

步骤4.4、数据管理模块将所接收的XML文档存入缓存器中并进行解析，同时检查服务商权限--数据权限表UsExData；从而确定服务请求商是否拥有所要输出的交换数据基本信息的权限；若拥有，则执行步骤4.5；否则，网络接口管理模块向服务请求商返回“没有权限”信息；

网络接口管理模块将交换数据传送给数据管理模块，添加权限时，中心数据库将服务请求商权限flag1传给数据管理模块，查看服务请求商权限flag1的后两位，根据查服务商权限--数据权限表UsExData的映射关系，查到服务请求商对应的数据权限flag。然后判断该服务请求商所请求的交换数据权限是否该在服务请求商对应的数据权限flag之下，若是，则认为有权限，否则认为无权限。

步骤4.5、网络接口管理模块根据交换数据表ExData，利用数据输出接口中的另一个XML数据模板生成XML文档并存入缓存器中；再经过缓存器向服务请求商发送XML文档，从而完成服务请求商的数据输出业务。

其中，中心数据库中服务请求商权限和交换数据权限存储机制为：

1、服务请求商表UserInfo中服务请求商权限存储为四位数：****。前两位存储为00,01,11。00代表该服务请求商有数据输入权限，11代表该服务请求商拥有数据输出权限，01代表该服务请求商即拥有数据输入权限又拥有数据输出权限；后两位存储为十进制数，代表该服务请求商所拥有的数据操作权限，数字越大，拥有权限越高。

2、交换数据ExData中交换数据权限存储为**，为十进制数，数字越大，拥有权限越高。

3、服务商权限--数据权限表UsExData中存储有：服务请求商权限的后两位，交换数据权限。每一服务请求商权限层次的对应一个层次的交换数据权限，该交换数据权限表示其对应层次的服务请求商的可以处理的最大权限数据。

Claims (4)

1.一种基于权限映射的数据安全交换***，是应用于由若干个服务请求商所组成的网络中，其特征是，所述安全交换***包括：网络接口管理模块、数据管理模块和中心数据库；

所述网络接口管理模块用于实现服务请求商的应答，并根据所述服务请求商的请求业务分配不同的网络接口，再处理所述服务请求商的请求业务；

所述数据管理模块用于实现数据的交互，并对所述服务请求商和中心数据库进行权限控制，以确保数据交换的安全；

所述中心数据库用于存储所述数据，所述数据包括：服务请求商的基本信息、权限信息、交换数据基本信息、交换数据的权限。

2.根据权利要求1所述的数据安全交换***，其特征是，

网络接口管理模块包括：服务商鉴权接口、业务数据输入接口和业务数据输出接口；

所述中心数据库包含：交换数据表ExData、服务商信息表UserInfo和服务商权限--数据权限表UsExData；

所述交换数据表ExData用于存储交换数据基本信息和交换数据的权限；

所述服务商信息表UserInfo用于存储服务请求商数据的基本信息；

所述服务商权限--数据权限表UsExData用于存储数据权限与服务请求商权限的映射关系。

3.根据权利要求2所述的数据安全交换***，其特征是，所述数据权限与服务商权限的映射关系表示：具有服务请求商权限flag1的服务请求商能处理的最大数据权限为flag。

4.一种基于权限映射的数据安全交换方法，其特征是应用于数据安全交换***中，并按如下步骤进行：

步骤1：不同类型接口的数据模板定义

步骤1.1、构建用于存储临时数据的缓存器，用于存储传输过程中的数据；

步骤1.2、根据服务请求商所请求的业务不同，分配不同的类型接口，根据不同的类型接口构建不同的XML数据模板，从而使得服务请求商能利用不同的XML数据模板传递数据；

步骤2：服务请求商的权限分配；

步骤2.1、服务请求商向网络接口管理模块发出鉴权业务请求；

步骤2.2、网络接口管理模块根据所述鉴权业务请求，分配服务商鉴权接口给所请求的服务请求商；

步骤2.3、所述服务请求商根据所述服务商鉴权接口中的XML数据模板向数据管理模块发送相应的XML文档；

步骤2.4、数据管理模块接受XML文档并进行解析，从而分配给服务请求商相应的权限，并将服务请求商的基本信息和服务请求商所分配的权限信息存入服务商信息表UserInfo中；

步骤3：服务请求商的数据输入业务请求；

步骤3.1、服务请求商向网络接口管理模块发出数据输入业务请求；

步骤3.2、中心数据库查看服务请求商的权限，若所述服务请求商拥有权限，则网络接口管理模块向服务请求商分配数据输入接口；若所述服务请求商没有权限，则网络接口管理模块拒绝向服务请求商分配数据输入接口；

步骤3.2、所述服务请求商根据所述数据输入接口中的XML数据模板向数据管理模块发送相应的XML文档；

步骤3.3、数据管理模块将所接收的XML文档存入缓存器中并进行解析，同时检查服务商权限--数据权限表UsExData，从而给所述服务请求商所要输入的交换数据基本信息添加权限；并将所添加的权限及其交换数据基本信息存入所述交换数据表ExData中；

步骤3.4、所述网络接口管理模块向所述服务请求商返回“输入成功”信息；

步骤4、服务请求商的数据输出业务请求；

步骤4.1、服务请求商向网络接口管理模块发出数据输出接口申请；

步骤4.2、中心数据库查看服务请求商权限，若所述服务请求商拥有权限，则网络接口管理模块向服务请求商分配数据输出接口；若所述服务请求商没有权限，则网络接口管理模块拒绝向服务请求商分配数据输出接口；

步骤4.3、所述服务请求商根据所述数据输出接口中的XML数据模板向数据管理模块发送相应的XML文档；

步骤4.4、数据管理模块将所接收的XML文档存入缓存器中并进行解析，同时检查服务商权限--数据权限表UsExData；从而确定所述服务请求商是否拥有所要输出的交换数据基本信息的权限；若拥有，则执行步骤4.5；否则，所述网络接口管理模块向所述服务请求商返回“没有权限”信息；

步骤4.5、所述网络接口管理模块根据交换数据表ExData，利用所述数据输出接口中的另一个XML数据模板生成XML文档并存入所述缓存器中；再经过所述缓存器向服务请求商发送XML文档，从而完成服务请求商的数据输出业务。