2. 专利
  3. 信息访问处理方法、装置、设备及系统与流程

信息访问处理方法、装置、设备及系统与流程

专利2022-05-09  122


1.本说明书属于计算机技术领域,尤其涉及一种信息访问处理方法、装置、设备及系统。


背景技术:

2.随着互联网的普及,人们的生活越来越离不开网络,同时大量个人数据也被各类互联网公司采集和使用,其中也不乏个人数据泄露和各类侵犯个人隐私的舆情出现,因此,对于信息的安全访问逐渐被重视。如何实现对用户个人信息的安全访问是本领域亟需解决的技术问题。


技术实现要素:

3.本说明书实施例的目的在于提供一种信息访问处理方法、装置、设备及系统,提高了用户信息访问的安全性。
4.第一方面,本说明书实施例提供了一种信息访问处理方法,所述方法包括:
5.接收外部系统发送的信息访问请求,所述信息访问请求中包括预先颁发给所述外部系统的外部访问密钥;
6.基于所述外部访问密钥关联的外部系统标识、信息访问使用范围、有效期对所述外部访问密钥进行鉴权;
7.在所述外部访问密钥鉴权通过后,获取所述外部访问密钥关联的内部访问密钥;其中,每个内部访问密钥关联有一个或多个外部访问密钥,且,每个内部访问密钥配置有允许访问的用户信息的存储配置信息;
8.基于所述内部访问密钥关联的存储配置信息以及所述外部访问密钥关联的信息访问使用范围,获取所述信息访问请求访问的目标信息;
9.将获取到的目标信息返回至所述外部系统。
10.第二方面,本说明书实施例提供了一种信息访问处理方法,所述方法包括:
11.向信息管理系统发送信息访问请求,所述信息访问请求中包括预先颁发的外部访问密钥,所述外部访问密钥关联有内部访问密钥、外部系统标识、信息访问使用范围、有效期;
12.接收所述信息管理系统在对所述外部访问密钥鉴权通过后,基于所述内部访问密钥关联的存储配置信息以及所述信息访问使用范围返回的目标信息。
13.第三方面,本说明书提供了一种信息访问处理装置,所述装置包括:
14.请求接收模块,用于接收外部系统发送的信息访问请求,所述信息访问请求中包括预先颁发给所述外部系统的外部访问密钥;
15.密钥鉴权模块,用于基于所述外部访问密钥关联的外部系统标识、信息访问使用范围、有效期对所述外部访问密钥进行鉴权;
16.内部密钥获取模块,用于在所述外部访问密钥鉴权通过后,获取所述外部访问密
钥关联的内部访问密钥;其中,每个内部访问密钥关联有一个或多个外部访问密钥,且,每个内部访问密钥配置有允许访问的用户信息的存储配置信息;
17.信息获取模块,用于基于所述内部访问密钥关联的存储配置信息以及所述外部访问密钥关联的信息访问使用范围,获取所述信息访问请求访问的目标信息;
18.信息返回模块,用于将获取到的目标信息返回至所述外部系统。
19.第四方面,本说明书提供了一种信息访问处理装置,所述装置包括:
20.请求发送模块,用于向信息管理系统发送信息访问请求,所述信息访问请求中包括预先颁发的外部访问密钥,所述外部访问密钥关联有内部访问密钥、外部系统标识、信息访问使用范围、有效期;
21.信息接收模块,用于接收所述信息管理系统在对所述外部访问密钥鉴权通过后,基于所述内部访问密钥关联的存储配置信息以及所述信息访问使用范围返回的目标信息。
22.第五方面,本说明书实施例提供了一种信息访问处理设备,包括至少一个处理器以及用于存储处理器可执行指令的存储器,所述处理器执行所述指令时实现上述第一方面或第二方面信息访问处理方法。
23.第六方面,本说明书实施例提供了一种信息访问处理系统,所述信息访问处理系统内存储有用户信息,不同类别的用户信息配置有对应的内部访问密钥;所述信息访问处理系统基于外部系统的请求,为外部系统配置有外部访问密钥,所述外部访问密钥关联有内部访问密钥以及外部系统标识、信息访问使用范围、有效期;
24.所述信息访问处理系统上存储有计算机指令,所述指令被执行时实现第一方面所述方法的步骤。
25.本说明书提供的信息访问处理方法、装置、设备及系统,通过设置内部访问密钥和外部访问密钥实现多层kv结构的数据存储模型,通过给外部系统颁发外部访问密钥,外部访问密钥关联对应的内部访问密钥,实现外部系统通过外部访问密钥对内部存储的用户信息的访问。通过设置内部访问密钥实现对内部存储的用户信息进行统一的访问管理,内部访问密钥同时能够实现对外部系统的访问权限的管理,确保了用户信息的安全。并且不需要用户在业务场景切换时进行访问授权,简化了信息访问的流程,提高了信息访问的效率。
附图说明
26.为了更清楚地说明本说明书实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本说明书中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
27.图1是本说明书实施例提供的信息访问处理方法实施例的流程示意图;
28.图2是本说明书一些实施例中外部访问密钥、内部访问密钥以及用户信息之间的映射关系;
29.图3是本说明书一些实施例中外部系统访问用户信息时的流程示意图;
30.图4是本说明书一个场景示例中信息采集的流程示意图;
31.图5是本说明书一个场景示例中用户授权外部系统访问的流程示意图;
32.图6是本说明书一个场景示例中外部系统访问用户信息的流程示意图;
33.图7是本说明书提供的信息访问处理装置一个实施例的模块结构示意图;
34.图8是本说明书提供的信息访问处理装置另一个实施例的模块结构示意图;
35.图9是本说明书一个实施例中信息访问处理服务器的硬件结构框图。
具体实施方式
36.为了使本技术领域的人员更好地理解本说明书中的技术方案,下面将结合本说明书实施例中的附图,对本说明书实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本说明书一部分实施例,而不是全部的实施例。基于本说明书中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都应当属于本说明书保护的范围。
37.数据的安全访问越来越被重视,尤其是一些隐私信息,有些系统存储有用户的隐私信息,当外部系统需要访问这些隐私信息时,需要保证信息访问的安全性。一般的,外部系统会通过向用户弹出授权访问的提示信息,用户授权后,可以给外部系统发放令牌,信息存储系统在校验令牌后,返回对应的信息。但,每遇到一个业务场景均需要用户授权,如:一个外部系统在用户登录时,请求授权访问,当用户在该外部系统进行交易支付时,还需要请求用户授权,操作复杂,同时影响数据访问效率。
38.图1是本说明书实施例提供的信息访问处理方法实施例的流程示意图。虽然本说明书提供了如下述实施例或附图所示的方法操作步骤或装置结构,但基于常规或者无需创造性的劳动在所述方法或装置中可以包括更多或者部分合并后更少的操作步骤或模块单元。在逻辑性上不存在必要因果关系的步骤或结构中,这些步骤的执行顺序或装置的模块结构不限于本说明书实施例或附图所示的执行顺序或模块结构。所述的方法或模块结构的在实际中的装置、服务器或终端产品应用时,可以按照实施例或者附图所示的方法或模块结构进行顺序执行或者并行执行(例如并行处理器或者多线程处理的环境、甚至包括分布式处理、服务器集群的实施环境)。
39.本说明书实施例中提供的信息访问处理方法可以应用在客户端、服务器等终端设备中,如:智能手机,或pc(personal computer,个人计算机)终端或智能穿戴设备终端中,如图1所示,所述方法可以包括如下步骤:
40.步骤102、接收外部系统发送的信息访问请求,所述信息访问请求中包括预先颁发给所述外部系统的外部访问密钥。
41.在具体的实施过程中,本说明书实施例提供的信息访问处理方法可以应用在存储有用户信息的业务系统中,如:一些购物平台积累了许多用户信息,或一些网站在用户注册、登录时也积累了一些用户信息,或者也可以应用于进行用户信息存储和管理的系统。若有外部系统需要访问用户信息,则可以向存储有用户信息的业务系统或信息管理系统发送信息访问请求,一般的,信息访问请求中可以带有预先颁发给外部系统的外部访问密钥,外部访问密钥可以理解为外部系统访问用户信息的身份标识,没有外部访问密钥的系统无法访问系统内的用户信息。其中,外部系统可以理解为业务系统之外的系统、平台或终端,外部系统可以是业务系统的合作平台,可以通过本说明书实施例提供的方法访问业务系统内存储的用户信息。
42.步骤104、基于所述外部访问密钥关联的外部系统标识、信息访问使用范围、有效
期对所述外部访问密钥进行鉴权。
43.在具体的实施过程中,在给外部系统颁发外部访问密钥时,可以给外部访问密钥配置对应的关联信息如:外部系统标识、信息访问使用范围以及有效期,信息访问使用范围可以表征该外部访问密钥可以使用的业务场景或可以访问哪些用户信息等。在接收到外部系统的信息访问请求后,可以对该外部系统进行鉴权,如:可以根据外部系统的外部访问密钥关联的外部系统标识、信息访问使用范围以及有效期等对外部访问密钥进行鉴权,验证该外部访问密钥是否可以使用,如:验证外部访问密钥关联的外部系统标识与发送信息访问请求的外部系统的标识是否一致等,检验当前外部系统所在的业务场景是否与信息访问使用范围一致,外部访问密钥是否在有效期内等等,进一步验证外部系统是否能够访问对应的用户信息。
44.步骤106、在所述外部访问密钥鉴权通过后,获取所述外部访问密钥关联的内部访问密钥;其中,每个内部访问密钥关联有一个或多个外部访问密钥,且,每个内部访问密钥配置有允许访问的用户信息的存储配置信息。
45.在具体的实施过程中,本说明书实施例中,可以先为系统内存储的用户信息配置不同的内部访问密钥,该内部访问密钥可以理解为系统内部用于管理用户信息以及外部系统的访问权限的密钥。每个内部访问密钥可以关联有一个或者多个外部访问密钥,每个内部访问密钥还配置有允许访问的用户信息的存储配置信息,存储配置信息可以包括用户信息的存储路径、存储位置、存储策略、允许使用范围以及信息来源等。
46.本说明书一些实施例中,在接收到所述外部系统发送的信息访问请求之前,所述方法还包括:
47.将采集到的用户信息进行分类,并为不同类别的用户信息分配内部访问密钥,将用户信息的存储配置信息与对应的内部访问密钥进行关联,其中,一个内部访问密钥对应一个或多个类别的用户信息。
48.在具体的实施过程中,系统可以预先将采集到的用户信息进行分类,并为不同类别的用户信息分配对应的内部访问密钥,一个内部访问密钥可以对应一个或多个类别的用户信息,每个类别的用户信息可以作为一个数据集合或一个数据项。用户信息可以根据实际业务场景的需求而定如:用户的身份信息、账户信息、联系方式、职业、密码信息等等,本说明书不作具体限定。其中,每个类别的用户信息最小可以支持按字段粒度的管理,如:用户信息类别1中可以是用户a的所有个人信息;用户信息类别2也可以是用户a的手机号信息(一个字段)。用户a的n个类别的用户信息(a1

an)合起来才是完整的用户a的数据。有必要说明下,传统上系统给用户分配的用户id也属于个人数据项。可以以用户个人的维度进行用户信息的分类,也可以以分类规则的维度对多个用户的用户信息进行分类,具体可以根据实际需要而定,本说明书实施例不作具体限定。
49.例如:将采集到的用户信息分为3类,用户信息1、用户信息2、用户信息3,其中,用户信息1和用户信息2配置有内部访问密钥1,用户信息3配置有内部访问密钥2,只有通过内部访问密钥1才能访问到用户信息1和用户信息2,同样的只有通过内部访问密钥2才能够访问到用户信息3。可以将用户信息的存储配置信息如:存储位置、存储策略、信息来源等等与对应的内部访问密钥进行关联,以便通过内部访问密钥访问对应的用户信息。
50.除了内部访问密钥,用户信息无法通过其他方式直接访问,例如:内部访问密钥
keyn1指向用户信息a1,表明可以通过获得该内部访问密钥keyn1访问到用户信息a1,并且内部访问密钥keyn1指明了该数据是用户在手机端app(application,应用程序)注册账号时采集的,只允许同app内的其他功能使用,数据通过明文方式存储,存储的位置在数据库db001。
51.此外,可以将采集到的用户信息存储到区块链上,以避免用户信息被篡改,确保用户信息的安全性。
52.本说明书实施例,通过将用户信息进行分类存储,不同类别的用户信息匹配不同的内部访问密钥,利用内部访问密钥实现对用户信息的安全访问管理。
53.本说明书一些实施例中,所述将采集到的用户信息进行分类,包括:
54.根据用户信息的来源、允许使用的范围、存储策略、存储位置中的至少一种对采集到的用户信息进行分类,其中,存储策略包括:明文存储、加密存储、脱敏存储、隐私处理存储。
55.在具体的实施过程中,在对采集到的用户信息进行分类时,可以基于用户信息的来源、允许使用的范围、存储策略、存储位置中的至少一种进行分类,实现对不同要求的用户信息的按要求的存储。其中,存储策略可以包括明文存储、加密存储、脱敏存储、隐私处理存储,隐私处理存储可以理解为一些不需要存储到数据库中,只是在一些业务场景如风险识别时使用,使用后可以删除,以确保用户隐私的存储手段。本说明书实施例可以满足不同数据的存储需求,并且可以对不同存储需求的信息进行安全访问管理。
56.当接收到外部系统的信息访问请求,并鉴权通过后,可以基于信息访问请求中的外部访问密钥获取到与其关联的内部访问密钥。图2是本说明书一些实施例中外部访问密钥、内部访问密钥以及用户信息之间的映射关系,如图2所示,外部系统预先可以申请一个外部访问密钥,在外部系统申请外部访问密钥时,可以为该外部系统分配一个外部访问密钥,并且为该外部访问密钥关联对应的内部访问密钥,即每个外部访问密钥对应有一个内部访问密钥。进而在接收到外部系统的信息访问请求后,可以基于这种映射关系或关联关系,获取到对应的内部访问密钥。
57.本说明书一些实施例中,在接收到所述外部系统发送的信息访问请求之前,所述方法还包括:
58.接收所述外部系统发送的外部密钥分配请求,所述外部密钥分配请求中包括:用户授权信息以及用户授权的信息访问范围;
59.根据所述用户授权信息以及所述用户授权的信息访问范围,确定所述外部系统的允许访问的用户信息;
60.根据所述外部系统的允许访问的用户信息,获取对应的内部访问密钥;
61.基于获取到的内部访问密钥为所述外部系统分配对应的外部访问密钥,并配置所述外部访问密钥的关联信息,所述关联信息包括:外部系统标识、信息访问使用范围、有效期以及关联的内部访问密钥。
62.在具体的实施过程中,外部系统若需要访问业务系统或信息管理系统内的用户信息,可以预先向系统发送外部密钥分配请求,系统接收到该请求后,可以根据请求中的用户授权信息以及用户授权的信息访问范围,确定出用户授权外部系统访问的用户信息。即外部系统可以先征求用户授权,用户授权后,再向业务系统发送外部密钥分配请求,请求业务
系统分配外部访问密钥。用户在授权外部系统的访问权限时,可以给外部系统授权具体的信息访问范围如:允许访问哪些信息或允许在哪些业务场景下访问自己的信息。业务系统基于用户授权的信息可以确定出用户授权访问的用户信息,而在业务系统内部每个用户信息都由对应的内部访问密钥管理,因此,在接收到外部系统的外部密钥分配请求后,可以基于请求中的信息确定出外部系统能够访问的用户信息,进而确定出该用户信息对应的内部访问密钥。基于获取到的内部访问密钥为外部系统分配一个外部访问密钥,外部访问密钥配置有关联信息如:外部系统标识、信息访问使用范围、有效期以及关联的内部访问密钥。外部访问密钥和内部访问密钥的关联信息可以理解为密钥的配置信息,基于关联信息可以确定出访问密钥的允许使用范围,相关联的系统以及访问密钥等。
63.其中,外部访问密钥和内部访问密钥的格式可以根据实际需要进行配置,本说明书实施例不作具体限定。例如:外部访问密钥的数据结构中可以包括密钥类型(外部访问密钥还是内部访问密钥)、系统类型(外部系统还是内部系统)、信息访问使用范围、有效期、关联的内部访问密钥等。同样的,内部访问密钥的数据结构中也可以包括:密钥类型(外部访问密钥还是内部访问密钥)、系统类型(外部系统还是内部系统)、允许的使用范围、数据的存储策略和存储位置等。
64.内部访问密钥通常不对外漏出,外部系统通过外部访问密钥访问用户信息。通常会有多个外部访问密钥分配给不同的外部系统,它们指向同一个内部访问密钥。例如:外部访问密钥keyw1指向内部访问密钥keyn1,内部访问密钥keyn1再指向用户信息a1。外部访问密钥keyw1指明了该访问密钥分配给了系统s1,仅用于给用户手机号发送某产品的提醒短信,一年内有效(即一年以后,通过该外部访问密钥访问用户的手机号信息将被拒绝)。
65.本说明书实施例采用多层key

value即kv结构的数据存储模型,实现对用户信息的安全管理,可以按用户信息的字段级粒度存储和管理,并通过多级访问密钥结构管理和保护客户数据的授权和访问,确保了数据访问的安全性。
66.步骤108、基于所述内部访问密钥关联的存储配置信息以及所述外部访问密钥关联的信息访问使用范围,获取所述信息访问请求访问的目标信息。
67.在具体的实施过程中,在基于外部系统的信息访问请求中的外部访问密钥确定出对应的内部访问密钥后,可以根据该内部访问密钥关联的存储配置信息以及外部访问密钥关联的信息访问使用范围,获取到信息访问请求要求访问的目标信息。
68.例如:外部访问系统向业务系统发送信息访问请求,请求中带有外部访问密钥key1,对该外部访问密钥鉴权通过后,可以获取外部访问密钥key1关联的内部访问密钥key1,再获取内部访问密钥key1负责管理的用户信息,如:经查询内部访问密钥key1关联用户信息集合1和用户信息集合2。外部访问密钥不一定能够访问其对应的内部访问密钥关联的全部用户信息,还需要根据外部访问密钥配置的信息访问使用范围做进一步的信息访问审核。如:内部访问密钥key1关联有用户信息集合1和用户信息集合2,但经查询外部访问密钥key1的信息访问使用范围只允许其访问用户信息集合1,那么可以根据内部访问密钥key1配置的用户信息集合1的存储配置信息中的存储位置,获取到用户信息集合1中的用户信息作为目标信息。
69.步骤110、将获取到的目标信息返回至所述外部系统。
70.在具体的实施过程中,基于外部系统的外部访问密钥获取到对应的内部访问密
钥,进一步获取对应的目标信息后,可以将获取到的目标信息返回给外部系统,或者可以将目标信息的存储路径发送给外部系统,以使得外部系统基于存储路径获取到对应的信息。需要说明的是,参见上述实施例的记载,本说明书实施例中的用户信息可以基于不同的存储策略,采用不同的存储方式,若用户信息是加密存储的,则外部系统获取到的目标信息仍是加密后的用户信息,以确保用户信息的安全性。例如:外部系统s1通过外部key1获得到特殊处理后的手机号信息后,其实并不知道用户的真实手机号,但是可以通过另外一个外部系统s2,对这个特殊处理后的手机号信息发送短信。这里外部系统s2具有可以访问到明文手机号的权限,外部系统s1可以将获取到的特殊处理后的信息发送给外部系统s2,外部系统s2基于接收到的信息获取到对应的明文信息,再发送短信。
71.本说明书实施例提供的信息访问处理方法,通过设置内部访问密钥和外部访问密钥实现多层kv结构的数据存储模型,通过给外部系统颁发外部访问密钥,外部访问密钥关联对应的内部访问密钥,实现外部系统通过外部访问密钥对内部存储的用户信息的访问。通过设置内部访问密钥实现对内部存储的用户信息进行统一的访问管理,内部访问密钥同时能够实现对外部系统的访问权限的管理,确保了用户信息的安全。并且不需要用户在业务场景切换时进行访问授权,简化了信息访问的流程,提高了信息访问的效率。
72.在上述实施例的基础上,本说明书一些实施例中,在获取到所述外部访问密钥关联的内部访问密钥后,所述方法还包括:
73.基于获取到的内部访问密钥的存储配置信息,对所述内部访问密钥进行鉴权,在所述内部访问密钥鉴权通过后,再基于所述内部访问密钥获取所述目标信息;
74.若所述内部访问密钥的存储配置信息中显示所述内部访问密钥对应的用户信息不允许访问,则确定所述内部访问密钥鉴权失败,向所述外部系统返回拒绝所述信息访问请求的提示信息。
75.在具体的实施过程中,获取到外部访问密钥关联的内部访问密钥后,可以基于内部访问密钥的存储配置信息对内部访问密钥进行鉴权,验证内部访问密钥关联的用户信息能否被访问,验证通过,则可以根据内部访问密钥以及外部访问密钥关联的信息访问使用范围,获取对应的目标信息。若经过验证,内部访问密钥关联的存储配置信息中显示其关联的用户信息不允许被访问,则确定内部访问密钥鉴权失败,向外部系统返回拒绝所述信息访问请求的提示信息。也就是说,即使外部访问密钥鉴权通过后,仍需要对内部访问密钥进行进一步的验证,只有内部访问密钥鉴权通过后,才允许外部系统访问对应的用户信息。
76.内部访问密钥拥有对用户信息的访问权限管理权,通过对内部访问密钥的进一步验证,以确保用户信息的访问安全,内部访问密钥一般不会向外发送,因此通过内部访问密钥对内部存储的用户信息的管理更加安全可靠。
77.本说明书一些实施例中,所述方法还包括:
78.接收用户终端发送的取消授权请求,所述取消授权请求中包括请求取消授权访问的外部系统标识以及取消授权访问的授权用户信息;
79.根据所述取消授权请求中的外部系统标识以及授权用户信息,获取对应的待删除外部访问密钥;
80.将所述待删除外部访问密钥删除,以使得,在接收到带有所述待删除外部访问密钥的信息访问请求时,拒绝所述信息访问请求。
81.在具体的实施过程中,用户还可以取消对外部系统的访问授权,如:用户通过用户终端向业务系统发送取消授权请求,该请求中可以包括请求取消授权访问的外部系统标识以及取消授权访问的授权用户信息。基于授权用户信息以及外部系统标识,可以获取到基于该用户原先的授权分配外部系统的待删除外部访问密钥,可以将该待删除外部访问密钥删除,删除后,业务系统接收到带有该待删除外部访问密钥的信息访问请求时,可以拒绝访问。
82.例如:用户a通过用户终端申请取消对外部系统1的访问授权,业务系统可以基于用户a的身份标识以及外部系统1的外部系统标识,获取到原先基于用户a的授权分配给外部系统1的外部访问密钥,进而将该外部访问密钥删除。删除后外部系统1再通过该外部访问密钥请求访问用户a的信息时,可以返回没有得到用户授权,拒绝访问的提示信息。
83.基于用户的需求,灵活对外部系统配置的外部访问密钥进行删除,以满足不同用户的访问要求。
84.本说明书一些实施例中,所述方法还包括:
85.接收用户终端发送的删除用户信息请求,所述删除用户信息请求中包括请求删除的待删除用户信息;
86.将所述待删除用户信息以及所述待删除用户信息对应的内部访问密钥以及外部访问密钥删除。
87.在具体的实施过程中,本说明书一些实施例中,所述方法还包括:
88.接收用户终端发送的删除用户信息请求,所述删除用户信息请求中包括请求删除的待删除用户信息;
89.将所述待删除用户信息以及所述待删除用户信息对应的内部访问密钥以及外部访问密钥删除。
90.在具体的实施过程中,用户还可以申请将系统内存储的用户信息删除,如:用户通过用户终端向业务系统发送删除用户信息请求,该请求中可以包括待删除用户信息。系统接收到该请求后,可以将系统内存储的待删除用户信息以及该待删除用户信息对应的内部访问密钥以及外部访问密钥一并删除,以隔断外部系统的访问,确保用户信息的安全。当然,接收到用户发送的用户信息删除请求后,可以先查询系统内是否存储有该用户的用户信息,若有则进行删除操作,若没有可以返回未存储,不需要删除的提示信息。
91.在上述实施例的基础上,所述方法还包括:
92.在所述外部访问密钥的有效期达到或检测到所述外部访问密钥被泄漏时,则更新所述外部访问密钥。
93.在具体的实施过程中,若检测到分配给外部系统的外部访问密钥的有效期到达或者外部访问密钥被泄漏,如:发送外部访问请求的外部系统的系统标识与该请求中带有的外部访问密钥所关联的外部系统标识不一致,则认为外部访问密钥被泄漏,此时,可以更新外部访问密钥,即重新给外部系统分配一个外部访问密钥,并配置新的外部访问密钥关联的内部访问密钥、有效期、信息访问使用范围等,将新配置的外部访问密钥发送给对应的外部系统。可以每隔一定时间对各个外部系统的外部访问密钥的有效期进行检测,以及时发现过期的外部访问密钥,及时更新,确保后续信息访问不会被干扰。
94.通过在检测到外部访问密钥有效期达到或被泄露时,及时对外部访问密钥进行更
细,以确保用户信息访问的安全性,以及信息访问的流畅性。
95.此外,本说明书一些实施例中,若所述内部访问密钥关联的用户信息发生变化,则更新所述内部访问密钥,并将更新后的内部访问密钥与对应的外部访问密钥进行关联。
96.在具体的实施过程中,当检测到内部访问密钥关联的用户信息的存储配置信息发生变化时,如:用户信息集拆分、合并、加工、更新等,更新内部访问密钥。可以重新配置一个内部访问密钥,并将原先的内部访问密钥与外部访问密钥的关联关系更新到新的内部访问密钥中。在用户信息发生变化时,及时对内部访问密钥进行更新,以确保能够准确的实现对用户信息的访问管理。
97.另外,本说明书实施例中配置的内部访问密钥、外部访问密钥以及内部访问密钥、外部访问密钥中配置的关联信息可以上传至区块链进行存储,以确保外部访问密钥和内部访问密钥不会被篡改。当外部系统需要使用外部访问密钥进行用户信息的访问时,可以先从区块链中获取自己的外部访问密钥,再向业务系统发送信息访问请求。业务系统接收到请求后,在对外部访问密钥鉴权通过后,可以从区块链中获取外部访问密钥关联的内部访问密钥,继续后续的访问处理过程。
98.图3是本说明书一些实施例中外部系统访问用户信息时的流程示意图,如图3所示,外部系统在访问用户信息时主要包括:
99.步骤302、向信息管理系统发送信息访问请求,所述信息访问请求中包括预先颁发的外部访问密钥,所述外部访问密钥关联有内部访问密钥、外部系统标识、信息访问使用范围、有效期;
100.步骤304、接收所述信息管理系统在对所述外部访问密钥鉴权通过后,基于所述内部访问密钥关联的存储配置信息以及所述信息访问使用范围返回的目标信息。
101.在具体的实施过程中,本说明书实施例中业务系统即信息管理系统可以预先将采集到的用户信息进行分类存储,每一个类别的用户信息可以配置一个内部访问密钥进行管理。外部系统在得到用户授权之后,可以:
102.向所述信息管理系统发送外部密钥分配请求,所述外部密钥分配请求中包括:用户授权信息以及用户授权的信息访问范围;
103.接收所述信息管理系统分配的所述外部访问密钥,其中,所述信息管理系统为所述外部访问密钥配置有关联信息,所述关联信息包括:外部系统标识、信息访问使用范围、有效期以及关联的内部访问密钥。
104.业务系统接收到外部系统发送的外部密钥分配请求后,可以基于请求中的用户授权信息以及用户授权的信息访问范围,确定出用户授权外部系统访问的用户信息,再根据该用户信息对应的内部访问密钥为外部系统配置一个外部访问密钥。外部访问密钥中可以配置有外部系统标识、信息访问使用范围、有效期以及关联的内部访问密钥。具体内容可以参考上述实施例的记载,此处不再赘述。
105.获得外部访问密钥后,当外部访问系统需要访问业务系统内的用户信息时,可以向业务系统发送信息访问请求,业务系统会对请求中的外部访问密钥进行鉴权,如:验证外部访问密钥是否处于有效期内,验证外部访问密钥的使用范围是否为当前业务场景对应的范围,验证外部访问密钥与发送请求的外部系统是否一致等等。鉴权通过后,业务系统可以根据外部访问密钥与内部访问密钥之间的映射关系,获取该外部访问密钥对应的内部访问
密钥,进而获取到内部访问密钥所管理的用户信息。再基于外部访问密钥的使用范围,获取该外部系统能够访问的用户信息即为目标信息返回给外部系统。具体访问过程可以参考上述实施例的记载,此处不再赘述。
106.本说明书实施例提供的信息访问处理方法实际上包括3个部分:信息采集、访问授权、信息访问,图4是本说明书一个场景示例中信息采集的流程示意图,如图4所示,本说明书一个场景示例中,用户信息的采集可以包括:
107.步骤1,系统在获得用户同意后,采集相关用户信息。比如,在注册电子账号时,用户同意了注册协议、隐私保护政策协议后开始录入手机号和登录密码等信息。系统便开始采集和处理这些用户信息。当然,对于其他业务场景,用户信息还可以包括用户的身份信息、指纹信息、人脸图像信息、资产信息等。
108.步骤2,按不同的要求对采集到的数据进行分类存储(或者说不能数据库存储)。比如,手机号明文存储,密码做加密后存储在另外一个数据库,位置数据注册时进行风险识别时使用但不存数据库。这里,采集到的用户信息按要求存储到了个人数据项模型中,可能是一个或多个个人数据项模型。个人数据项模型可以理解为上述实施例中的一个类别的用户信息。
109.步骤3,根据数据的收集来源、允许的使用范围、个人数据项的存储策略和存储位置等信息,创建内部存储密钥并指向对应的个人数据项。如果有多个个人数据项,也可以创建多个内部访问密钥。内部访问密钥一般只在系统内部使用。
110.图5是本说明书一个场景示例中用户授权外部系统访问的流程示意图,如图5所示,外部系统获得用户授权的过程可以包括:
111.步骤1,外部系统通过不同的交互方式获得用户信息的授权,比如跳弹窗页面让用户勾选授权的信息项,或者用户同意包括授权信息条款的某个协议。
112.步骤2,确定外部系统对用户信息的使用场景,可以在用户授权时提示用户或需要授权流程符合相关规定。再根据授权的用户信息确定对应的个人数据项模型(可能是一个或多个)。
113.步骤3,根据确定授权的个人数据项,找到对应的内部访问密钥供下一步骤中使用。
114.步骤4,基于外部系统的标识、使用场景、过期时间等信息,分配一个外部访问密钥返回给外部系统。这个外部访问密钥指向前一步骤中的内部访问密钥。
115.图6是本说明书一个场景示例中外部系统访问用户信息的流程示意图,如图6所示,信息的访问过程包括:
116.步骤1,外部系统通过外部访问密钥请求访问用户已授权的部分或全部信息。
117.步骤2,基于外部访问密钥关联的外部系统标识、使用场景、过期时间等信息,校验外部访问密钥的有效性,包括是否允许在当前场景使用。
118.步骤3,外部访问密钥鉴权通过后,拿到其指向的内部访问密钥。然后基于内部访问密钥关联的允许使用范围等信息校验。举个例子,某个用户因司法原因被访问控制,那么这个信息会在其内部访问密钥的使用范围中体现。即使一个合法的外部访问密钥访问到这个内部访问密钥时,还是会返回拒绝访问所请求的个人数据项。
119.步骤4,内部访问密钥鉴权通过后,根据其记录的个人数据项的存储策略和存储位
置等信息,最终获取到个人数据项信息,并按请求要求返回给外部系统。
120.此外,本说明书实施例中,若用户申请取消已经授权给外部系统的数据,那么可以将对应的外部访问密钥进行删除。如果还有外部系统拿着这个外部访问密钥来请求用户数据,因为系统已经删除,所以在外部访问密钥鉴权时会不通过。若用户申请删除其原始的个人信息,即采集后存储在客户模型里的数据。除了清理外部访问密钥(隔断外部已授权的系统),内部访问密钥和个人数据项也都需要做删除。此外,比如外部访问密钥过期或泄漏,有更新外部访问密钥的流程;因个人信息项拆分、合并、加工等会触发内部访问密钥的更新。
121.本说明书实施例,按用户信息的字段级粒度存储和管理,并通过多级密钥结构管理和保护客户数据的授权和使用场景,使得用户信息的存储和访问更加安全可靠。相比开放授权的方法,本说明书实施例提供的方法更适合于内部环境使用,不强制要求弹出授权页面,可以在合适的入口或时间,对内部多个场景做统一授权和共享使用。相比开放授权的方案,本方案可以灵活合规的控制用户在体系内的授权体验和安全体验,也可以满足内部系统对客户数据的统一而又区域化的管理诉求。
122.本说明书中上述方法的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参考即可,每个实施例重点说明的都是与其他实施例的不同之处。相关之处参考方法实施例的部分说明即可。
123.基于上述所述的信息访问处理方法,本说明书一个或多个实施例还提供一种用于信息访问处理的装置。所述装置可以包括使用了本说明书实施例所述方法的装置(包括分布式系统)、软件(应用)、模块、插件、服务器、客户端等并结合必要的实施硬件的装置。基于同一创新构思,本说明书实施例提供的一个或多个实施例中的装置如下面的实施例所述。由于装置解决问题的实现方案与方法相似,因此本说明书实施例具体的装置的实施可以参考前述方法的实施,重复之处不再赘述。以下所使用的,术语“单元”或者“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
124.具体地,图7是本说明书提供的信息访问处理装置一个实施例的模块结构示意图,如图7所示,本说明书中提供的信息访问处理装置可以包括:
125.请求接收模块71,用于接收外部系统发送的信息访问请求,所述信息访问请求中包括预先颁发给所述外部系统的外部访问密钥;
126.密钥鉴权模块72,用于基于所述外部访问密钥关联的外部系统标识、信息访问使用范围、有效期对所述外部访问密钥进行鉴权;
127.内部密钥获取模块73,用于在所述外部访问密钥鉴权通过后,获取所述外部访问密钥关联的内部访问密钥;其中,每个内部访问密钥关联有一个或多个外部访问密钥,且,每个内部访问密钥配置有允许访问的用户信息的存储配置信息;
128.信息获取模块74,用于基于所述内部访问密钥关联的存储配置信息以及所述外部访问密钥关联的信息访问使用范围,获取所述信息访问请求访问的目标信息;
129.信息返回模块75,用于将获取到的目标信息返回至所述外部系统。
130.图8是本说明书提供的信息访问处理装置另一个实施例的模块结构示意图,如图8所示,本说明书中提供的信息访问处理装置可以包括:
131.请求发送模块81,用于向信息管理系统发送信息访问请求,所述信息访问请求中
包括预先颁发的外部访问密钥,所述外部访问密钥关联有内部访问密钥、外部系统标识、信息访问使用范围、有效期;
132.信息接收模块82,用于接收所述信息管理系统在对所述外部访问密钥鉴权通过后,基于所述内部访问密钥关联的存储配置信息以及所述信息访问使用范围返回的目标信息。
133.本说明书实施例通过设置内部访问密钥和外部访问密钥实现多层kv结构的数据存储模型,通过给外部系统颁发外部访问密钥,外部访问密钥关联对应的内部访问密钥,实现外部系统通过外部访问密钥对内部存储的用户信息的访问。通过设置内部访问密钥实现对内部存储的用户信息进行统一的访问管理,内部访问密钥同时能够实现对外部系统的访问权限的管理,确保了用户信息的安全。并且不需要用户在业务场景切换时进行访问授权,简化了信息访问的流程,提高了信息访问的效率。
134.需要说明的,上述所述的装置根据对应方法实施例的描述还可以包括其他的实施方式。具体的实现方式可以参照上述对应的方法实施例的描述,在此不作一一赘述。
135.本说明书实施例还提供一种信息访问处理设备,包括:至少一个处理器以及用于存储处理器可执行指令的存储器,所述处理器执行所述指令时实现上述实施例的信息访问处理方法,如:
136.接收外部系统发送的信息访问请求,所述信息访问请求中包括预先颁发给所述外部系统的外部访问密钥;
137.基于所述外部访问密钥关联的外部系统标识、信息访问使用范围、有效期对所述外部访问密钥进行鉴权;
138.在所述外部访问密钥鉴权通过后,获取所述外部访问密钥关联的内部访问密钥;其中,每个内部访问密钥关联有一个或多个外部访问密钥,且,每个内部访问密钥配置有允许访问的用户信息的存储配置信息;
139.基于所述内部访问密钥关联的存储配置信息以及所述外部访问密钥关联的信息访问使用范围,获取所述信息访问请求访问的目标信息;
140.将获取到的目标信息返回至所述外部系统。
141.或,向信息管理系统发送信息访问请求,所述信息访问请求中包括预先颁发的外部访问密钥,所述外部访问密钥关联有内部访问密钥、外部系统标识、信息访问使用范围、有效期;
142.接收所述信息管理系统在对所述外部访问密钥鉴权通过后,基于所述内部访问密钥关联的存储配置信息以及所述信息访问使用范围返回的目标信息。
143.本说明书一些实施例中,还提供了一种信息访问处理系统,所述信息访问处理系统内存储有用户信息,不同类别的用户信息配置有对应的内部访问密钥;所述信息访问处理系统基于外部系统的请求,为外部系统配置有外部访问密钥,所述外部访问密钥关联有内部访问密钥以及外部系统标识、信息访问使用范围、有效期;
144.所述信息访问处理系统上存储有计算机指令,所述指令被执行时实现上述实施例中的信息访问处理方法。
145.需要说明的,上述所述的设备或系统根据方法实施例的描述还可以包括其他的实施方式。具体的实现方式可以参照相关方法实施例的描述,在此不作一一赘述。
146.本说明书提供的信息访问处理装置、设备,也可以应用在多种数据分析处理系统中。所述系统或服务器或终端或设备可以为单独的服务器,也可以包括使用了本说明书的一个或多个所述方法或一个或多个实施例系统或服务器或终端或设备的服务器集群、系统(包括分布式系统)、软件(应用)、实际操作装置、逻辑门电路装置、量子计算机等并结合必要的实施硬件的终端装置。所述核对差异数据的检测系统可以包括至少一个处理器以及存储计算机可执行指令的存储器,所述处理器执行所述指令时实现上述任意一个或者多个实施例中所述方法的步骤。
147.本说明书实施例所提供的方法实施例可以在移动终端、计算机终端、服务器或者类似的运算装置中执行。以运行在服务器上为例,图9是本说明书一个实施例中信息访问处理服务器的硬件结构框图,该计算机终端可以是上述实施例中的信息访问处理服务器或信息访问处理装置。如图9所示服务器10可以包括一个或多个(图中仅示出一个)处理器100(处理器100可以包括但不限于微处理器mcu或可编程逻辑器件fpga等的处理装置)、用于存储数据的非易失性存储器200、以及用于通信功能的传输模块300。本领域普通技术人员可以理解,图9所示的结构仅为示意,其并不对上述电子装置的结构造成限定。例如,服务器10还可包括比图9中所示更多或者更少的插件,例如还可以包括其他的处理硬件,如数据库或多级缓存、gpu,或者具有与图9所示不同的配置。
148.非易失性存储器200可用于存储应用软件的软件程序以及模块,如本说明书实施例中的信息访问处理方法对应的程序指令/模块,处理器100通过运行存储在非易失性存储器200内的软件程序以及模块,从而执行各种功能应用以及资源数据更新。非易失性存储器200可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,非易失性存储器200可进一步包括相对于处理器100远程设置的存储器,这些远程存储器可以通过网络连接至计算机终端。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
149.传输模块300用于经由一个网络接收或者发送数据。上述的网络具体实例可包括计算机终端的通信供应商提供的无线网络。在一个实例中,传输模块300包括一个网络适配器(network interface controller,nic),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输模块300可以为射频(radio frequency,rf)模块,其用于通过无线方式与互联网进行通讯。
150.上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
151.本说明书提供的上述实施例所述的方法或装置可以通过计算机程序实现业务逻辑并记录在存储介质上,所述的存储介质可以计算机读取并执行,实现本说明书实施例所描述方案的效果,如:
152.接收外部系统发送的信息访问请求,所述信息访问请求中包括预先颁发给所述外部系统的外部访问密钥;
153.基于所述外部访问密钥关联的外部系统标识、信息访问使用范围、有效期对所述
language)、confluence、cupl(cornell university programming language)、hdcal、jhdl(java hardware description language)、lava、lola、myhdl、palasm、rhdl(ruby hardware description language)等,目前最普遍使用的是vhdl(very

high

speed integrated circuit hardware description language)与verilog。本领域技术人员也应该清楚,只需要将方法流程用上述几种硬件描述语言稍作逻辑编程并编程到集成电路中,就可以很容易得到实现该逻辑方法流程的硬件电路。
163.控制器可以按任何适当的方式实现,例如,控制器可以采取例如微处理器或处理器以及存储可由该(微)处理器执行的计算机可读程序代码(例如软件或固件)的计算机可读介质、逻辑门、开关、专用集成电路(application specific integrated circuit,asic)、可编程逻辑控制器和嵌入微控制器的形式,控制器的例子包括但不限于以下微控制器:arc 625d、atmel at91sam、microchip pic18f26k20以及silicone labs c8051f320,存储器控制器还可以被实现为存储器的控制逻辑的一部分。本领域技术人员也知道,除了以纯计算机可读程序代码方式实现控制器以外,完全可以通过将方法步骤进行逻辑编程来使得控制器以逻辑门、开关、专用集成电路、可编程逻辑控制器和嵌入微控制器等的形式来实现相同功能。因此这种控制器可以被认为是一种硬件部件,而对其内包括的用于实现各种功能的装置也可以视为硬件部件内的结构。或者甚至,可以将用于实现各种功能的装置视为既可以是实现方法的软件模块又可以是硬件部件内的结构。
164.为了描述的方便,描述以上平台、终端时以功能分为各种模块分别描述。当然,在实施本说明书一个或多个时可以把各模块的功能在同一个或多个软件和/或硬件中实现,也可以将实现同一功能的模块由多个子模块或子单元的组合实现等。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或插件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
165.这些计算机程序指令也可装载到计算机或其他可编程资源数据更新设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
166.本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参考即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参考方法实施例的部分说明即可。在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本说明书的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外,在不相互矛盾的情况下,本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
167.以上所述仅为本说明书一个或多个实施例的实施例而已,并不用于限制本说明书
一个或多个实施例。对于本领域技术人员来说,本说明书一个或多个实施例可以有各种更改和变化。凡在本说明书的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在权利要求范围之内。

技术特征:
1.一种信息访问处理方法,所述方法包括:接收外部系统发送的信息访问请求,所述信息访问请求中包括预先颁发给所述外部系统的外部访问密钥;基于所述外部访问密钥关联的外部系统标识、信息访问使用范围、有效期对所述外部访问密钥进行鉴权;在所述外部访问密钥鉴权通过后,获取所述外部访问密钥关联的内部访问密钥;其中,每个内部访问密钥关联有一个或多个外部访问密钥,且,每个内部访问密钥配置有允许访问的用户信息的存储配置信息;基于所述内部访问密钥关联的存储配置信息以及所述外部访问密钥关联的信息访问使用范围,获取所述信息访问请求访问的目标信息;将获取到的目标信息返回至所述外部系统。2.如权利要求1所述的方法,在接收到所述外部系统发送的信息访问请求之前,所述方法还包括:将采集到的用户信息进行分类,并为不同类别的用户信息分配内部访问密钥,将用户信息的存储配置信息与对应的内部访问密钥进行关联,其中,一个内部访问密钥对应一个或多个类别的用户信息。3.如权利要求2所述的方法,所述将采集到的用户信息进行分类,包括:根据用户信息的来源、允许使用的范围、存储策略、存储位置中的至少一种对采集到的用户信息进行分类,其中,存储策略包括:明文存储、加密存储、脱敏存储、隐私处理存储。4.如权利要求1所述的方法,在接收到所述外部系统发送的信息访问请求之前,所述方法还包括:接收所述外部系统发送的外部密钥分配请求,所述外部密钥分配请求中包括:用户授权信息以及用户授权的信息访问范围;根据所述用户授权信息以及所述用户授权的信息访问范围,确定所述外部系统的允许访问的用户信息;根据所述外部系统的允许访问的用户信息,获取对应的内部访问密钥;基于获取到的内部访问密钥为所述外部系统分配对应的外部访问密钥,并配置所述外部访问密钥的关联信息,所述关联信息包括:外部系统标识、信息访问使用范围、有效期以及关联的内部访问密钥。5.如权利要求1所述的方法,在获取到所述外部访问密钥关联的内部访问密钥后,所述方法还包括:基于获取到的内部访问密钥的存储配置信息,对所述内部访问密钥进行鉴权,在所述内部访问密钥鉴权通过后,再基于所述内部访问密钥获取所述目标信息;若所述内部访问密钥的存储配置信息中显示所述内部访问密钥对应的用户信息不允许访问,则确定所述内部访问密钥鉴权失败,向所述外部系统返回拒绝所述信息访问请求的提示信息。6.如权利要求1所述的方法,所述方法还包括:接收用户终端发送的取消授权请求,所述取消授权请求中包括请求取消授权访问的外部系统标识以及取消授权访问的授权用户信息;
根据所述取消授权请求中的外部系统标识以及授权用户信息,获取对应的待删除外部访问密钥;将所述待删除外部访问密钥删除,以使得,在接收到带有所述待删除外部访问密钥的信息访问请求时,拒绝所述信息访问请求。7.如权利要求1所述的方法,所述方法还包括:接收用户终端发送的删除用户信息请求,所述删除用户信息请求中包括请求删除的待删除用户信息;将所述待删除用户信息以及所述待删除用户信息对应的内部访问密钥以及外部访问密钥删除。8.如权利要求1所述的方法,所述方法还包括:在所述外部访问密钥的有效期达到或检测到所述外部访问密钥被泄漏时,则更新所述外部访问密钥。9.如权利要求1所述的方法,所述方法还包括:若所述内部访问密钥关联的用户信息发生变化,则更新所述内部访问密钥,并将更新后的内部访问密钥与对应的外部访问密钥进行关联。10.一种信息访问处理方法,所述方法包括:向信息管理系统发送信息访问请求,所述信息访问请求中包括预先颁发的外部访问密钥,所述外部访问密钥关联有内部访问密钥、外部系统标识、信息访问使用范围、有效期;接收所述信息管理系统在对所述外部访问密钥鉴权通过后,基于所述内部访问密钥关联的存储配置信息以及所述信息访问使用范围返回的目标信息。11.如权利要求10所述的方法,在向所述信息管理系统发送信息访问请求之前,所述方法还包括:向所述信息管理系统发送外部密钥分配请求,所述外部密钥分配请求中包括:用户授权信息以及用户授权的信息访问范围;接收所述信息管理系统分配的所述外部访问密钥,其中,所述信息管理系统为所述外部访问密钥配置有关联信息,所述关联信息包括:外部系统标识、信息访问使用范围、有效期以及关联的内部访问密钥。12.一种信息访问处理装置,所述装置包括:请求接收模块,用于接收外部系统发送的信息访问请求,所述信息访问请求中包括预先颁发给所述外部系统的外部访问密钥;密钥鉴权模块,用于基于所述外部访问密钥关联的外部系统标识、信息访问使用范围、有效期对所述外部访问密钥进行鉴权;内部密钥获取模块,用于在所述外部访问密钥鉴权通过后,获取所述外部访问密钥关联的内部访问密钥;其中,每个内部访问密钥关联有一个或多个外部访问密钥,且,每个内部访问密钥配置有允许访问的用户信息的存储配置信息;信息获取模块,用于基于所述内部访问密钥关联的存储配置信息以及所述外部访问密钥关联的信息访问使用范围,获取所述信息访问请求访问的目标信息;信息返回模块,用于将获取到的目标信息返回至所述外部系统。13.一种信息访问处理装置,所述装置包括:
请求发送模块,用于向信息管理系统发送信息访问请求,所述信息访问请求中包括预先颁发的外部访问密钥,所述外部访问密钥关联有内部访问密钥、外部系统标识、信息访问使用范围、有效期;信息接收模块,用于接收所述信息管理系统在对所述外部访问密钥鉴权通过后,基于所述内部访问密钥关联的存储配置信息以及所述信息访问使用范围返回的目标信息。14.一种信息访问处理设备,包括:至少一个处理器以及用于存储处理器可执行指令的存储器,所述处理器执行所述指令时实现权利要求1

9任一项或10

11任一项所述的方法。15.一种信息访问处理系统,所述信息访问处理系统内存储有用户信息,不同类别的用户信息配置有对应的内部访问密钥;所述信息访问处理系统基于外部系统的请求,为外部系统配置有外部访问密钥,所述外部访问密钥关联有内部访问密钥以及外部系统标识、信息访问使用范围、有效期;所述信息访问处理系统上存储有计算机指令,所述指令被执行时实现权利要求1至9中任一项所述方法的步骤。
技术总结
本说明书提供一种信息访问处理方法、装置、设备及系统,通过设置内部访问密钥和外部访问密钥实现多层KV结构的数据存储模型,通过给外部系统颁发外部访问密钥,外部访问密钥关联对应的内部访问密钥,实现外部系统通过外部访问密钥对内部存储的用户信息的访问。通过设置内部访问密钥实现对内部存储的用户信息进行统一的访问管理,内部访问密钥同时能够实现对外部系统的访问权限的管理,确保了用户信息的安全。的安全。的安全。


技术研发人员:厉科嘉
受保护的技术使用者:支付宝(杭州)信息技术有限公司
技术研发日:2021.03.26
技术公布日:2021/6/29

转载请注明原文地址:https://doc.8miu.com/read-466.html

专利

最新回复(0)