一种用户权限安全管理系统及方法,其包括有多台客户端计算机,一分布式应用程序服务器及一数据库。用户通过客户端计算机的用户界面调用分布式应用程序服务器中的应用程序装置进行操作定义及角色定义,以及设置用户ID及密码、为用户分配角色等,并将该等信息存储至数据库中。用户通过用户界面发出操作请求,分布式应用程序服务器通过查询数据库中用户对应角色来判断用户操作的合法性。本发明专利技术基于系统操作进行用户权限管控,保证了系统的可扩展性。此外,用户密码通过用户界面设置后,在客户端计算机进行SSL加密,再通过网络传输至分布式应用程序服务器进行SSL解密及数据库加密后存储至数据库,保证了密码传输及存储的安全性。(*该技术在2022年保护过期,可自由使用*)
【技术实现步骤摘要】
本专利技术关于一种保护计算机系统安全性的系统及方法,特别是关于一种通过设置用户权限来限制用户存取及操作的系统与方法。
技术介绍
对于任何一种计算机信息系统,系统的安全性都至关重要。现有技术中关于增强计算机信息系统安全性的方法有很多,包括访问控制表、群组控制、用户ID及密码等。各种方法各有其优缺点。访问控制表方法是将所有权限及用户所允许的权限列示在一张表中,以此为依据去判断一用户存取是否合法。这种方法的弊端是对用户的权限维护缺乏灵活性。群组控制是先定义各群组权限,然后再根据各用户的需求将用户添加至相应群组,这样虽然较存取访问控制表相对灵活一些,但是对于群组的设置及用户权限的分配都由系统管理员进行分配管理。而用户ID及密码以未加密形式存储,容易导致密码被窃而致使系统安全性受到威胁。美国专利商标局2001年9月25日公告的第6,295,605号专利,为“多层安全性评估系统及方法”(Method and apparatus formulti-level security evaluation),提供了一种结合各种单一方法,如上所述的访问控制表、群组控制等,利用各方法在系统处理速率上的优点提供一种提升安全处理速率的系统及方法,该系统将用户分成多类,分别拥有不同权限级别;同时将要访问的系统资源对应用户类别也分成多类,然后根据一定规则来选择一适当的方法判断系统访问请求是否允许。该专利技术提供了一种对系统资源的访问控制方法,但是有时系统需求并不仅仅是单一的存取控制,还需要对相应的操作进行权限控制,如对一项目管理系统,需要控制各项目相关操作权限,上述方法从限制系统资源的角度去管控显得力不从心,因为项目数量会越来越多,一一去定义很繁琐,灵活性不够,可扩展性不好。此外,一般的权限管控系统都少有提供用户密码保护,这样用户密码在网络传输过程中及数据库端都很容易被截取和破坏,所以希望能够在上述用户权限管控系统中加入用户密码保护技术。
技术实现思路
本专利技术,其基于系统操作进行用户权限管控,保证系统的可扩展性。本专利技术,其将用户密码进行加密,保证密码在网络传输及存储过程中的安全性。本专利技术提供一种用户权限安全管理系统,其包括有多台客户端计算机,一分布式应用程序服务器及一数据库。任一客户端计算机包括有一交互式用户界面,用户可通过其发出操作请求;一SSL加密装置,用于对用户输入的用户密码进行SSL加密。分布式应用程序服务器包括有一操作定义装置,定义有多种系统操作;一角色定义装置,定义有至少一种角色,每一种角色是一组操作的集合,包括至少一种操作;一用户管理装置,便于新增、修改、删除用户ID及为用户分配角色;一SSL解密装置,用于将处于SSL状态的密码进行解密还原成未加密状态;一数据库加密装置,用于将未加密状态的密码进行加密;一用户验证装置,用于验证用户身份合法性;一操作验证装置,用于验证用户操作合法性。数据库用于存储上述用户ID及为用户分配的角色。客户端计算机通过网络与分布式应用程序服务器相连,分布式应用程序服务器与数据库通过一种数据库连接相连,所述用户验证装置通过将用户登录时输入的密码与数据库中存储的密码相比较进行验证用户身份的合法性,所述操作验证装置通过将存储在数据库中的用户角色所定义的操作与用户请求的操作进行比较来判断用户操作的合法性。本专利技术还提供一种用户权限安全管理系统,其包括有多台客户端计算机,其提供交互式用户界面以便于用户发出操作请求;一分布式应用程序服务器及一数据库。该分布式应用程序服务器包括有一操作定义装置,定义有多种系统操作;一角色定义装置,定义有至少一种角色,每一种角色是一组操作的集合,包括至少一种操作;一用户管理装置,便于新增、修改、删除用户ID及为用户分配角色;一操作验证装置,用于验证用户操作的合法性。该数据库用于存储上述用户ID及用户对应的角色。客户端计算机通过网络与分布式应用程序服务器相连,分布式应用程序服务器与数据库通过一种数据库连接相连,所述操作验证装置通过将存储在数据库中的用户角色所定义的操作与用户请求的操作进行比较来判断用户操作的合法性。本专利技术还提供一种用户权限安全管理方法,其包括有提供多台客户端计算机,提供一分布式应用程序服务器,及提供一数据库。任一客户端计算机包括有一交互式用户界面,用户藉以发出操作请求;一SSL加密装置,用于对用户输入的用户密码进行SSL加密。所述分布式应用程序服务器包括有一操作定义装置,定义有多种系统操作;一角色定义装置,定义有至少一种角色,每一种角色是一组操作的集合,包括至少一种操作;一用户管理装置,便于新增、修改、删除用户ID及为用户分配角色;一SSL解密装置,用于将处于SSL状态的密码进行解密还原成未加密状态;一数据库加密装置,用于将未加密状态的密码进行加密;一用户验证装置,用于验证用户身份合法性;一操作验证装置,用于验证用户操作的合法性。所述数据库用于存储上述用户ID及用户对应的角色。其中所述用户验证装置通过将用户登录时输入的密码与数据库中存储的密码相比较进行验证用户身份的合法性,所述操作验证装置通过将存储在数据库中的用户角色所定义的操作与用户请求的操作进行比较来判断用户操作的合法性。本专利技术还提供一种用户权限安全管理方法,其包括有提供多台客户端计算机,其提供交互式用户界面,用户藉以发出操作请求;提供一分布式应用程序服务器,及提供一数据库。所述分布式应用程序服务器包括有一操作定义装置,定义有多种系统操作;一角色定义装置,定义有至少一种角色,每一种角色是一组操作的集合,包括至少一种操作;一用户管理装置,便于新增、修改、删除用户ID及为用户分配角色;一操作验证装置,用于验证用户操作的合法性。所述数据库,用于存储上述用户ID及用户对应的角色。其中所述操作验证装置通过将存储在数据库中的用户角色所定义的操作与用户请求的操作进行比较来判断用户操作的合法性。本专利技术还提供一种用户权限安全管理方法,其包括有定义多种系统操作;根据所定义的操作定义角色,每一角色对应一种操作或多种操作的集合;为用户分配角色,并将该分配好的用户角色存储至一数据库;根据用户所分配角色判断用户操作合法性。通过以上的用户权限安全管理系统及其方法,从系统操作的角度去定义用户权限范围,保证系统可扩展性。此外,将网路传输过程中及资料库存储状态中的用户密码保持在一种加密状态,保证用户密码安全性。附图说明图1是本专利技术用户权限安全管理系统硬件架构图。图2是本专利技术用户权限安全管理系统的功能模块图。图3是本专利技术用户权限安全管理方法的用户密码设置流程图。图4是本专利技术用户权限安全管理方法的用户权限维护流程图。图5是本专利技术用户权限安全管理方法的验证流程图。具体实施方式如图1所示,是本专利技术所述的用户权限安全管理系统的硬件架构图。多台客户端计算机10通过网络11与一分布式应用程序服务器12相连;该分布式应用程序服务器12通过连接13与数据库14相连。其中,网络11是一种电子网络,其可以是Intranet、Internet或其它类型网络。连接13是一种数据库连接,如开放式数据库连接(Open DatabaseConnectivity,ODBC),或者Java数据库连接(Java Database Connectivity,JDBC)等。客户端计本文档来自技高网...
【技术保护点】
一种用户权限安全管理系统,其特征在于包括:多台客户端计算机,每台客户端计算机包括:一交互式用户界面,用户可通过该交互式用户界面发出操作请求;一SSL加密装置,用于对用户输入的用户密码进行SSL加密;一分布式应用程序服务器,其包括 有:一操作定义装置,定义有多种系统操作;一角色定义装置,定义有至少一种角色,每一种角色是一组操作的集合,包括至少一种操作;一用户管理装置,便于新增、修改、删除用户ID及为用户分配角色;一SSL解密装置,用于将处于SSL状态的 密码进行解密还原成未加密状态;一数据库加密装置,用于将未加密状态的密码进行加密;一用户验证装置,用于验证用户身份合法性;一操作验证装置,用于验证用户操作的合法性;一数据库,用于存储上述用户ID及用户对应的角色;客户端计算 机通过网络与分布式应用程序服务器相连,分布式应用程序服务器与数据库通过一种数据库连接相连,所述用户验证装置通过将用户登录时输入的密码与数据库中存储的密码相比较进行验证用户身份的合法性,所述操作验证装置通过将存储在数据库中的用户角色所定义的操作与用户请求的操作进行比较来判断用户操作的合法性。...
【技术特征摘要】
【专利技术属性】
技术研发人员:李忠一,叶建发,姜志强,
申请(专利权)人:鸿富锦精密工业深圳有限公司,鸿海精密工业股份有限公司,
类型:发明
国别省市:94[中国|深圳]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。