本發(fā)明涉及訪問(wèn)權(quán)限管理技術(shù)領(lǐng)域，特別是涉及一種權(quán)限控制方法和系統(tǒng)。

背景技術(shù)：

隨著科學(xué)技術(shù)的發(fā)展，越來(lái)越多的互聯(lián)網(wǎng)用戶通過(guò)遠(yuǎn)程訪問(wèn)的方式來(lái)獲取外部網(wǎng)絡(luò)的共享資源。想要實(shí)現(xiàn)遠(yuǎn)程訪問(wèn)，就需要用戶的客戶端通過(guò)遠(yuǎn)程登錄的方式連接到服務(wù)器，然后由服務(wù)器調(diào)取數(shù)據(jù)庫(kù)中的相應(yīng)信息返回至客戶端。

然而，在互聯(lián)網(wǎng)應(yīng)用中，服務(wù)器為不同的用戶提供不同的服務(wù)，即不同的客戶端具有不同的相應(yīng)訪問(wèn)權(quán)限。各客戶端只能在自身的訪問(wèn)權(quán)限范圍內(nèi)獲取數(shù)據(jù)庫(kù)中的信息。通常情況下，當(dāng)用戶在進(jìn)行遠(yuǎn)程訪問(wèn)時(shí)，服務(wù)器進(jìn)行系統(tǒng)調(diào)用權(quán)限的判斷，通常情況下直接作用于文件系統(tǒng)的數(shù)據(jù)(文件和目錄)和數(shù)據(jù)庫(kù)連接，所謂的系統(tǒng)調(diào)用指的是進(jìn)程陷入操作系統(tǒng)內(nèi)核執(zhí)行系統(tǒng)功能的調(diào)用，如創(chuàng)建文件、修改文件和執(zhí)行程序。而系統(tǒng)權(quán)限通常指的是系統(tǒng)調(diào)用時(shí)的權(quán)限，典型情況下，權(quán)限通常由文件屬性和進(jìn)程運(yùn)行的所屬用戶組決定。當(dāng)進(jìn)程執(zhí)行系統(tǒng)調(diào)用時(shí)就會(huì)受到進(jìn)程用戶和文件的屬性的局限。

因而，如何實(shí)現(xiàn)當(dāng)進(jìn)程執(zhí)行系統(tǒng)調(diào)用時(shí)不局限于進(jìn)程用戶和文件的屬性而進(jìn)行權(quán)限的控制，是本領(lǐng)域技術(shù)人員目前需要解決的技術(shù)問(wèn)題。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明的目的是提供一種權(quán)限控制方法和系統(tǒng)，可以實(shí)現(xiàn)當(dāng)進(jìn)程執(zhí)行系統(tǒng)調(diào)用時(shí)不局限于進(jìn)程用戶和文件的屬性而進(jìn)行權(quán)限的控制。

為解決上述技術(shù)問(wèn)題，本發(fā)明提供了如下技術(shù)方案：

一種權(quán)限控制方法，包括：

在應(yīng)用程序的進(jìn)程進(jìn)行系統(tǒng)調(diào)用時(shí)，獲取該系統(tǒng)調(diào)用所屬的會(huì)話信息；

對(duì)所述會(huì)話信息所屬的會(huì)話的會(huì)話權(quán)限進(jìn)行識(shí)別；

根據(jù)所述會(huì)話信息對(duì)應(yīng)的會(huì)話權(quán)限和所述進(jìn)程所在系統(tǒng)的系統(tǒng)自身訪問(wèn)權(quán)限對(duì)所述系統(tǒng)調(diào)用進(jìn)行權(quán)限檢查；

在所述系統(tǒng)調(diào)用滿足所述會(huì)話權(quán)限和所述系統(tǒng)自身訪問(wèn)權(quán)限時(shí)，則執(zhí)行當(dāng)前系統(tǒng)調(diào)用，并進(jìn)行系統(tǒng)調(diào)用返回。

優(yōu)選地，所述根據(jù)所述會(huì)話信息對(duì)應(yīng)的會(huì)話權(quán)限和所述進(jìn)程所在系統(tǒng)的系統(tǒng)自身訪問(wèn)權(quán)限對(duì)所述系統(tǒng)調(diào)用進(jìn)行權(quán)限檢查，包括：

判斷當(dāng)前系統(tǒng)調(diào)用是否在所述會(huì)話信息對(duì)應(yīng)的所述會(huì)話權(quán)限內(nèi)；

若是，則判斷所述當(dāng)前系統(tǒng)調(diào)用是否在系統(tǒng)的所述系統(tǒng)自身訪問(wèn)權(quán)限內(nèi)。

優(yōu)選地，所述對(duì)所述會(huì)話信息所屬的會(huì)話的會(huì)話權(quán)限進(jìn)行識(shí)別，包括：

獲取所述會(huì)話信息所屬的會(huì)話的發(fā)起終端的ip地址；

根據(jù)所述ip地址和預(yù)設(shè)的角色配置信息，識(shí)別所述會(huì)話的所屬角色；

根據(jù)所述會(huì)話的所屬角色，調(diào)取該角色對(duì)應(yīng)的會(huì)話權(quán)限配置。

優(yōu)選地，所述對(duì)所述會(huì)話信息所屬的會(huì)話的會(huì)話權(quán)限進(jìn)行識(shí)別，包括：

判斷所述會(huì)話信息中是否包含預(yù)設(shè)的會(huì)話角色認(rèn)證信息；

若是，則獲取所述會(huì)話角色認(rèn)證信息，并根據(jù)所述會(huì)話角色認(rèn)證信息識(shí)別分析出該會(huì)話信息的發(fā)起終端的角色，獲取該角色的會(huì)話權(quán)限配置。

優(yōu)選地，所述對(duì)所述會(huì)話信息所屬的會(huì)話的會(huì)話權(quán)限進(jìn)行識(shí)別，包括：

預(yù)先建立用于預(yù)設(shè)角色通訊的虛擬通訊網(wǎng)絡(luò)隧道；

對(duì)所述會(huì)話的來(lái)源隧道進(jìn)行識(shí)別，以判斷所述會(huì)話所屬的角色；

根據(jù)所述會(huì)話所屬的角色調(diào)取對(duì)應(yīng)的會(huì)話權(quán)限配置。

一種權(quán)限控制系統(tǒng)，包括：

第一獲取模塊，用于在應(yīng)用程序的進(jìn)程進(jìn)行系統(tǒng)調(diào)用時(shí)，獲取該系統(tǒng)調(diào)用所屬的會(huì)話信息；

會(huì)話權(quán)限識(shí)別模塊，用于對(duì)所述會(huì)話信息所屬的會(huì)話的會(huì)話權(quán)限進(jìn)行識(shí)別；

權(quán)限檢查模塊，用于根據(jù)所述會(huì)話信息對(duì)應(yīng)的會(huì)話權(quán)限和所述進(jìn)程所在系統(tǒng)的系統(tǒng)自身訪問(wèn)權(quán)限對(duì)所述系統(tǒng)調(diào)用進(jìn)行權(quán)限檢查；

調(diào)用執(zhí)行模塊，用于在所述系統(tǒng)調(diào)用滿足所述會(huì)話權(quán)限和所述系統(tǒng)自身訪問(wèn)權(quán)限時(shí)，則執(zhí)行當(dāng)前系統(tǒng)調(diào)用，并進(jìn)行系統(tǒng)調(diào)用返回。

優(yōu)選地，所述權(quán)限檢查模塊包括：

第一判斷單元，用于判斷當(dāng)前系統(tǒng)調(diào)用是否在所述會(huì)話信息對(duì)應(yīng)的所述會(huì)話權(quán)限內(nèi)；

第二判斷單元，用于在所述第一判斷單元判定當(dāng)前系統(tǒng)調(diào)用在所述會(huì)話信息對(duì)應(yīng)的所述會(huì)話權(quán)限內(nèi)時(shí)，判斷所述當(dāng)前系統(tǒng)調(diào)用是否在系統(tǒng)的所述系統(tǒng)自身訪問(wèn)權(quán)限內(nèi)。

優(yōu)選地，所述會(huì)話權(quán)限識(shí)別模塊包括：

解析單元，用于獲取所述會(huì)話信息所屬的會(huì)話的發(fā)起終端的ip地址；

角色識(shí)別單元，用于根據(jù)所述ip地址和預(yù)設(shè)的角色配置信息，識(shí)別所述會(huì)話的所屬角色；

第一權(quán)限配置調(diào)取單元，用于根據(jù)所述會(huì)話的所屬角色，調(diào)取該角色對(duì)應(yīng)的會(huì)話權(quán)限配置。

優(yōu)選地，所述會(huì)話權(quán)限識(shí)別模塊包括：

第三判斷單元，用于判斷所述會(huì)話信息中是否包含預(yù)設(shè)的會(huì)話角色認(rèn)證信息；

權(quán)限配置獲取單元，用于在所述第三判斷單元判定所述會(huì)話信息中包含預(yù)設(shè)的會(huì)話角色認(rèn)證信息時(shí)，獲取所述會(huì)話角色認(rèn)證信息，并根據(jù)所述會(huì)話角色認(rèn)證信息識(shí)別分析出該會(huì)話信息的發(fā)起終端的角色，獲取該角色的會(huì)話權(quán)限配置。

優(yōu)選地，所述權(quán)限檢查模塊包括：

預(yù)處理單元，用于預(yù)先建立用于預(yù)設(shè)角色通訊的虛擬通訊網(wǎng)絡(luò)隧道；

角色判斷單元，用于對(duì)所述會(huì)話的來(lái)源隧道進(jìn)行識(shí)別，以判斷所述會(huì)話所屬的角色；

第二權(quán)限配置調(diào)取單元，用于根據(jù)所述會(huì)話所屬的角色調(diào)取對(duì)應(yīng)的會(huì)話權(quán)限配置。

與現(xiàn)有技術(shù)相比，上述技術(shù)方案具有以下優(yōu)點(diǎn)：

本發(fā)明實(shí)施例所提供的一種權(quán)限控制方法，包括：在應(yīng)用程序的進(jìn)程進(jìn)行系統(tǒng)調(diào)用時(shí)，獲取該系統(tǒng)調(diào)用所屬的會(huì)話信息；對(duì)會(huì)話信息所屬的會(huì)話的會(huì)話權(quán)限進(jìn)行識(shí)別；根據(jù)會(huì)話信息對(duì)應(yīng)的會(huì)話權(quán)限和進(jìn)程所在系統(tǒng)的系統(tǒng)自身訪問(wèn)權(quán)限對(duì)系統(tǒng)調(diào)用進(jìn)行權(quán)限檢查；在系統(tǒng)調(diào)用滿足會(huì)話權(quán)限和系統(tǒng)自身訪問(wèn)權(quán)限時(shí)，則執(zhí)行當(dāng)前系統(tǒng)調(diào)用，并進(jìn)行系統(tǒng)調(diào)用返回。對(duì)于應(yīng)用程序的進(jìn)程對(duì)系統(tǒng)調(diào)用引入了會(huì)話權(quán)限的檢查來(lái)配合系統(tǒng)系統(tǒng)自身訪問(wèn)權(quán)限對(duì)于服務(wù)器中進(jìn)行系統(tǒng)調(diào)用時(shí)的權(quán)限進(jìn)行檢查校驗(yàn)，以控制應(yīng)用程序的權(quán)限，實(shí)現(xiàn)了當(dāng)進(jìn)程執(zhí)行系統(tǒng)調(diào)用時(shí)不局限于進(jìn)程用戶和文件的屬性而進(jìn)行權(quán)限的控制。

附圖說(shuō)明

為了更清楚地說(shuō)明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案，下面將對(duì)實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡(jiǎn)單地介紹，顯而易見地，下面描述中的附圖是本發(fā)明的一些實(shí)施例，對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講，在不付出創(chuàng)造性勞動(dòng)的前提下，還可以根據(jù)這些附圖獲得其他的附圖。

圖1為本發(fā)明一種具體實(shí)施方式所提供的權(quán)限控制方法流程圖；

圖2為本發(fā)明一種具體實(shí)施方式所提供的權(quán)限控制系統(tǒng)結(jié)構(gòu)示意圖。

具體實(shí)施方式

本發(fā)明的核心是提供一種權(quán)限控制方法和系統(tǒng)，可以實(shí)現(xiàn)當(dāng)進(jìn)程執(zhí)行系統(tǒng)調(diào)用時(shí)不局限于進(jìn)程用戶和文件的屬性而進(jìn)行權(quán)限的控制。

為了使本發(fā)明的上述目的、特征和優(yōu)點(diǎn)能夠更為明顯易懂，下面結(jié)合附圖對(duì)本發(fā)明的具體實(shí)施方式做詳細(xì)的說(shuō)明。

在以下描述中闡述了具體細(xì)節(jié)以便于充分理解本發(fā)明。但是本發(fā)明能夠以多種不同于在此描述的其它方式來(lái)實(shí)施，本領(lǐng)域技術(shù)人員可以在不違背本發(fā)明內(nèi)涵的情況下做類似推廣。因此本發(fā)明不受下面公開的具體實(shí)施方式的限制。

請(qǐng)參考圖1，圖1為本發(fā)明一種具體實(shí)施方式所提供的權(quán)限控制方法流程圖。

本發(fā)明的一種具體實(shí)施方式提供了一種權(quán)限控制方法，包括：

s11：在應(yīng)用程序的進(jìn)程進(jìn)行系統(tǒng)調(diào)用時(shí)，獲取該系統(tǒng)調(diào)用所屬的會(huì)話信息。

s12：對(duì)會(huì)話信息所屬的會(huì)話的會(huì)話權(quán)限進(jìn)行識(shí)別。

s13：根據(jù)會(huì)話信息對(duì)應(yīng)的會(huì)話權(quán)限和進(jìn)程所在系統(tǒng)的系統(tǒng)自身訪問(wèn)權(quán)限對(duì)系統(tǒng)調(diào)用進(jìn)行權(quán)限檢查。

s14：在系統(tǒng)調(diào)用滿足會(huì)話權(quán)限和系統(tǒng)自身訪問(wèn)權(quán)限時(shí)，則執(zhí)行當(dāng)前系統(tǒng)調(diào)用，并進(jìn)行系統(tǒng)調(diào)用返回。

在本實(shí)施方式中，當(dāng)客戶端通過(guò)預(yù)設(shè)的應(yīng)用程序來(lái)訪問(wèn)服務(wù)器，以獲取數(shù)據(jù)庫(kù)中的數(shù)據(jù)時(shí)，客戶端和服務(wù)器之間會(huì)建立關(guān)于系統(tǒng)調(diào)用的會(huì)話。在此獲取該會(huì)話的會(huì)話信息，通過(guò)對(duì)會(huì)話進(jìn)行識(shí)別，指示該會(huì)話屬于哪個(gè)角色，即該會(huì)話所屬的客戶端或者用戶，而不同的角色在系統(tǒng)中的身份擁有一組操作權(quán)限配置。不同的會(huì)話信息對(duì)應(yīng)各自的會(huì)話權(quán)限。當(dāng)用戶想要進(jìn)行系統(tǒng)調(diào)用時(shí)，就需要進(jìn)行會(huì)話權(quán)限和系統(tǒng)系統(tǒng)自身訪問(wèn)權(quán)限的檢測(cè)，通過(guò)會(huì)話權(quán)限的檢查來(lái)判斷該會(huì)話對(duì)應(yīng)的角色的數(shù)據(jù)訪問(wèn)權(quán)限，而系統(tǒng)系統(tǒng)自身訪問(wèn)權(quán)限的檢查用來(lái)判斷系統(tǒng)可以提供給該角色的數(shù)據(jù)訪問(wèn)權(quán)限，只有當(dāng)系統(tǒng)調(diào)用的數(shù)據(jù)既能通過(guò)會(huì)話權(quán)限的檢查，又能通過(guò)系統(tǒng)的系統(tǒng)自身訪問(wèn)權(quán)限的檢查，此時(shí)才執(zhí)行當(dāng)前系統(tǒng)調(diào)用，當(dāng)當(dāng)前系統(tǒng)調(diào)用執(zhí)行完成后進(jìn)行系統(tǒng)調(diào)用返回，執(zhí)行新的系統(tǒng)調(diào)用。

其中，會(huì)話權(quán)限即表示了該會(huì)話對(duì)應(yīng)的角色的訪問(wèn)權(quán)限，從而在判斷系統(tǒng)調(diào)用是否符合權(quán)限時(shí)，無(wú)需再去判斷系統(tǒng)調(diào)用的文件屬性和進(jìn)行運(yùn)行的所屬用戶的屬性，極大地簡(jiǎn)化了權(quán)限的判斷過(guò)程。對(duì)于應(yīng)用程序的進(jìn)程對(duì)系統(tǒng)調(diào)用引入了會(huì)話權(quán)限的檢查來(lái)配合系統(tǒng)系統(tǒng)自身訪問(wèn)權(quán)限對(duì)于服務(wù)器中進(jìn)行系統(tǒng)調(diào)用時(shí)的權(quán)限進(jìn)行檢查校驗(yàn)，以控制應(yīng)用程序的權(quán)限，實(shí)現(xiàn)了當(dāng)進(jìn)程執(zhí)行系統(tǒng)調(diào)用時(shí)不局限于進(jìn)程用戶和文件的屬性而進(jìn)行權(quán)限的控制。

需要說(shuō)明的是，在本文中的整個(gè)通訊服務(wù)過(guò)程中，系統(tǒng)調(diào)用主要包括應(yīng)用程序?qū)Υ疟P文件系統(tǒng)進(jìn)行文件讀寫系統(tǒng)調(diào)用，和應(yīng)用程序?qū)?shù)據(jù)庫(kù)程序的數(shù)據(jù)庫(kù)連接讀寫的系統(tǒng)調(diào)用。在這兩種情況下進(jìn)行系統(tǒng)調(diào)用時(shí)進(jìn)行權(quán)限的檢查判斷。

還需要說(shuō)明的是，系統(tǒng)調(diào)用還包括數(shù)據(jù)庫(kù)程序?qū)?shù)據(jù)庫(kù)數(shù)據(jù)進(jìn)行數(shù)據(jù)讀寫的系統(tǒng)調(diào)用，由于在技術(shù)上權(quán)限檢查的意義不大，因此，在本實(shí)施方式中，可以不對(duì)此處的系統(tǒng)調(diào)用進(jìn)行權(quán)限檢查判斷。

進(jìn)一步地，根據(jù)會(huì)話信息對(duì)應(yīng)的會(huì)話權(quán)限和進(jìn)程所在系統(tǒng)的系統(tǒng)自身訪問(wèn)權(quán)限對(duì)系統(tǒng)調(diào)用進(jìn)行權(quán)限檢查，包括：判斷當(dāng)前系統(tǒng)調(diào)用是否在會(huì)話信息對(duì)應(yīng)的會(huì)話權(quán)限內(nèi)；若是，則判斷當(dāng)前系統(tǒng)調(diào)用是否在系統(tǒng)的系統(tǒng)自身訪問(wèn)權(quán)限內(nèi)。

在系統(tǒng)調(diào)用滿足會(huì)話權(quán)限和系統(tǒng)自身訪問(wèn)權(quán)限時(shí)，則執(zhí)行當(dāng)前系統(tǒng)調(diào)用，并進(jìn)行系統(tǒng)調(diào)用返回，包括：若判定當(dāng)前系統(tǒng)調(diào)用在系統(tǒng)的系統(tǒng)自身訪問(wèn)權(quán)限內(nèi)，則執(zhí)行當(dāng)前系統(tǒng)調(diào)用；在當(dāng)前系統(tǒng)調(diào)用完成后進(jìn)行系統(tǒng)調(diào)用返回。

在本實(shí)施方式中，在獲取了系統(tǒng)調(diào)用的會(huì)話信息后，首先判斷當(dāng)前系統(tǒng)調(diào)用是否在會(huì)話權(quán)限內(nèi)，即通過(guò)會(huì)話權(quán)限檢測(cè)系統(tǒng)調(diào)用是否處于該會(huì)話對(duì)應(yīng)的角色的權(quán)限范圍內(nèi)，若通過(guò)檢測(cè)則判斷當(dāng)前系統(tǒng)調(diào)用是否處于系統(tǒng)的系統(tǒng)自身訪問(wèn)權(quán)限內(nèi)，即系統(tǒng)是否對(duì)該會(huì)話對(duì)應(yīng)的角色開放了對(duì)應(yīng)的權(quán)限，若也通過(guò)檢查，則執(zhí)行當(dāng)前系統(tǒng)調(diào)用。

需要說(shuō)明的是，若判定當(dāng)前系統(tǒng)調(diào)用不在會(huì)話信息對(duì)應(yīng)的會(huì)話權(quán)限內(nèi)，則表示檢查失敗，直接進(jìn)入系統(tǒng)調(diào)用返回。

進(jìn)一步地，在執(zhí)行當(dāng)前系統(tǒng)調(diào)用之后，還包括：判斷當(dāng)前系統(tǒng)調(diào)用的結(jié)果是否在會(huì)話權(quán)限內(nèi)；若是，則進(jìn)行系統(tǒng)調(diào)用返回；若否，則清空系統(tǒng)調(diào)用返回?cái)?shù)據(jù)，并進(jìn)行系統(tǒng)調(diào)用返回。

在本實(shí)施方式中，由于在執(zhí)行系統(tǒng)調(diào)用后的數(shù)據(jù)會(huì)發(fā)生一定的變化，因此，在執(zhí)行完系統(tǒng)調(diào)用后，還通過(guò)對(duì)當(dāng)前系統(tǒng)調(diào)用的結(jié)果進(jìn)行權(quán)限的校驗(yàn)。以進(jìn)一步完善系統(tǒng)調(diào)用的權(quán)限控制。

還需要說(shuō)明的是，在本發(fā)明中，還可以在獲取了系統(tǒng)調(diào)用的會(huì)話信息后，先進(jìn)行系統(tǒng)系統(tǒng)自身訪問(wèn)權(quán)限的檢查，若檢查通過(guò)，直接執(zhí)行系統(tǒng)調(diào)用，然后對(duì)系統(tǒng)調(diào)用的結(jié)果進(jìn)行會(huì)話權(quán)限的檢查。也可以實(shí)現(xiàn)當(dāng)進(jìn)程執(zhí)行系統(tǒng)調(diào)用時(shí)不局限于進(jìn)程用戶和文件的屬性而進(jìn)行權(quán)限的控制。

在本發(fā)明的一種實(shí)施方式中，對(duì)會(huì)話信息所屬的會(huì)話的會(huì)話權(quán)限進(jìn)行識(shí)別，包括：獲取會(huì)話信息所屬的會(huì)話的發(fā)起終端的ip地址；根據(jù)ip地址和預(yù)設(shè)的角色配置信息，識(shí)別會(huì)話的所屬角色；根據(jù)會(huì)話的所屬角色，調(diào)取該角色對(duì)應(yīng)的會(huì)話權(quán)限配置。

在本實(shí)施方式中，角色即指用戶身份，在系統(tǒng)中一個(gè)身份擁有一組操作權(quán)限配置。要想知道客戶端(即會(huì)話的發(fā)起終端)的權(quán)限，在本實(shí)施方式中就通過(guò)客戶端建立的會(huì)話所屬的角色的身份信息，即識(shí)別發(fā)起該該會(huì)話的客戶端的身份，只有了解了該客戶端的身份，服務(wù)器才能賦予該客戶端對(duì)應(yīng)的權(quán)限來(lái)進(jìn)行系統(tǒng)調(diào)用。通過(guò)讀取會(huì)話的發(fā)起終端的ip地址來(lái)識(shí)別發(fā)起會(huì)話的客戶端的身份。如當(dāng)有兩個(gè)客戶端訪問(wèn)服務(wù)器時(shí)，客戶端a的ip地址為192.168.1.1，其身份為管理員，預(yù)設(shè)的權(quán)限為“所有”；客戶端b的ip地址為123.45.67.89.其身份為普通用戶，預(yù)設(shè)的權(quán)限為“部分”。則當(dāng)某一客戶端訪問(wèn)服務(wù)器并發(fā)起會(huì)話時(shí)，服務(wù)器讀取發(fā)起會(huì)話的客戶端的ip地址，根據(jù)其ip地址即可獲取該客戶端的身份信息，如讀取的是客戶端a的ip地址，則判定此時(shí)的客戶端為管理員，相應(yīng)地，即可服務(wù)該客戶端對(duì)應(yīng)的權(quán)限來(lái)控制當(dāng)前的系統(tǒng)調(diào)用。由于各客戶端均具有一個(gè)唯一的、不同于其他客戶端的ip地址，因此，通過(guò)識(shí)別發(fā)起會(huì)話的客戶端的ip地址，即可識(shí)別客戶端的身份，并調(diào)取對(duì)應(yīng)的權(quán)限來(lái)控制系統(tǒng)調(diào)用。

在本發(fā)明的一種實(shí)施方式中，對(duì)會(huì)話信息所屬的會(huì)話的會(huì)話權(quán)限進(jìn)行識(shí)別，包括：判斷會(huì)話信息中是否包含預(yù)設(shè)的會(huì)話角色認(rèn)證信息；若是，則獲取會(huì)話角色認(rèn)證信息，并根據(jù)會(huì)話角色認(rèn)證信息識(shí)別分析出該會(huì)話信息的發(fā)起終端的角色，獲取該角色的會(huì)話權(quán)限配置。

在本實(shí)施方式中，使用二次認(rèn)證來(lái)進(jìn)行角色的識(shí)別。在二次認(rèn)證中可以引入中間代理，使得所有到達(dá)服務(wù)器的數(shù)據(jù)先經(jīng)過(guò)中間代理，中間代理對(duì)連接進(jìn)行認(rèn)證后再傳遞給服務(wù)器進(jìn)行請(qǐng)求。

具體地，客戶端向中間代理發(fā)送請(qǐng)求內(nèi)容，中間代理判斷會(huì)話信息中是否包含預(yù)設(shè)的會(huì)話角色認(rèn)證信息，若是，則根據(jù)會(huì)話角色認(rèn)證信息來(lái)識(shí)別出會(huì)話信息的發(fā)起終端的角色，進(jìn)而根據(jù)由該角色獲取對(duì)應(yīng)的會(huì)話權(quán)限配置。若沒(méi)有，則返回需要認(rèn)證的提示信息，客戶端再將帶認(rèn)證信息的請(qǐng)求內(nèi)容發(fā)送至中間代理，在中間代理通過(guò)認(rèn)證后，再將請(qǐng)求內(nèi)容和相關(guān)的角色信息發(fā)送至服務(wù)器，服務(wù)器將答復(fù)內(nèi)容返回至客戶端。在這個(gè)過(guò)程中，由中間代理來(lái)識(shí)別發(fā)起會(huì)話的客戶端的身份。

以上述實(shí)施方式中以會(huì)話發(fā)起者的ip地址來(lái)獲取會(huì)話的角色的身份信息為例，通常情況下一臺(tái)計(jì)算機(jī)對(duì)應(yīng)一個(gè)ip地址，也就是說(shuō)通過(guò)某一臺(tái)計(jì)算機(jī)進(jìn)行系統(tǒng)調(diào)用時(shí)，通過(guò)該計(jì)算機(jī)的ip地址可以識(shí)別出該計(jì)算機(jī)進(jìn)行系統(tǒng)調(diào)用時(shí)的所有權(quán)限。但是當(dāng)用戶使用其他的計(jì)算機(jī)時(shí)，由于新的計(jì)算機(jī)的ip地址和原計(jì)算機(jī)ip地址不同，此時(shí)就難以識(shí)別操作者的權(quán)限，因此，在本實(shí)施方式中采用了二次認(rèn)證的方法，通過(guò)中間代理來(lái)對(duì)當(dāng)前計(jì)算機(jī)的請(qǐng)求內(nèi)容進(jìn)行分析，以實(shí)現(xiàn)對(duì)當(dāng)前計(jì)算機(jī)的用戶的身份進(jìn)行認(rèn)證，這樣使得用戶無(wú)論是在原先預(yù)設(shè)的計(jì)算機(jī)還是其他計(jì)算機(jī)上進(jìn)行操作時(shí)，服務(wù)器均可識(shí)別出用戶的身份，從而判斷出其權(quán)限。

在本發(fā)明的一種實(shí)施方式中，對(duì)會(huì)話信息所屬的會(huì)話的會(huì)話權(quán)限進(jìn)行識(shí)別，包括：預(yù)先建立用于預(yù)設(shè)角色通訊的虛擬通訊網(wǎng)絡(luò)隧道；對(duì)會(huì)話的來(lái)源隧道進(jìn)行識(shí)別，以判斷會(huì)話所屬的角色；根據(jù)會(huì)話所屬的角色調(diào)取對(duì)應(yīng)的會(huì)話權(quán)限配置。

在本實(shí)施方式中，采用隧道方式進(jìn)行角色識(shí)別。在該過(guò)程中，客戶端通過(guò)與服務(wù)器建立虛擬專用通訊網(wǎng)絡(luò)隧道，通過(guò)區(qū)分來(lái)源隧道來(lái)進(jìn)行角色的識(shí)別。如當(dāng)客戶端角色分為管理員和普通用戶時(shí)，管理員客戶端和服務(wù)器進(jìn)行通訊的隧道為虛擬專用通訊網(wǎng)絡(luò)隧道，而普通用戶客戶端和服務(wù)器進(jìn)行通訊的隧道為普通網(wǎng)絡(luò)訪問(wèn)，這樣，當(dāng)客戶端和服務(wù)器建立會(huì)話時(shí)，只需識(shí)別會(huì)話的來(lái)源隧道即可判定會(huì)話所屬的角色的身份信息。

請(qǐng)參考圖2，圖2為本發(fā)明一種具體實(shí)施方式所提供的權(quán)限控制系統(tǒng)結(jié)構(gòu)示意圖。

相應(yīng)地，本發(fā)明還提供了一種權(quán)限控制系統(tǒng)，包括：

第一獲取模塊21，用于在應(yīng)用程序的進(jìn)程進(jìn)行系統(tǒng)調(diào)用時(shí)，獲取該系統(tǒng)調(diào)用所屬的會(huì)話信息；

會(huì)話權(quán)限識(shí)別模塊22，用于對(duì)會(huì)話信息所屬的會(huì)話的會(huì)話權(quán)限進(jìn)行識(shí)別；

權(quán)限檢查模塊23，用于根據(jù)會(huì)話信息對(duì)應(yīng)的會(huì)話權(quán)限和進(jìn)程所在系統(tǒng)的系統(tǒng)自身訪問(wèn)權(quán)限對(duì)系統(tǒng)調(diào)用進(jìn)行權(quán)限檢查；

調(diào)用執(zhí)行模塊24，用于在系統(tǒng)調(diào)用滿足會(huì)話權(quán)限和系統(tǒng)自身訪問(wèn)權(quán)限時(shí)，則執(zhí)行當(dāng)前系統(tǒng)調(diào)用，并進(jìn)行系統(tǒng)調(diào)用返回。

在本實(shí)施方式中，會(huì)話權(quán)限即表示了該會(huì)話對(duì)應(yīng)的角色的訪問(wèn)權(quán)限，從而在檢查系統(tǒng)調(diào)用是否符合權(quán)限時(shí)，無(wú)需再去檢查系統(tǒng)調(diào)用的文件屬性和進(jìn)行運(yùn)行的所屬用戶的屬性，極大地簡(jiǎn)化了權(quán)限的判斷過(guò)程。對(duì)于應(yīng)用程序的進(jìn)程對(duì)系統(tǒng)調(diào)用引入了會(huì)話權(quán)限的檢查來(lái)配合系統(tǒng)系統(tǒng)自身訪問(wèn)權(quán)限對(duì)于服務(wù)器中進(jìn)行系統(tǒng)調(diào)用時(shí)的權(quán)限進(jìn)行檢查校驗(yàn)，以控制應(yīng)用程序的權(quán)限，實(shí)現(xiàn)了當(dāng)進(jìn)程執(zhí)行系統(tǒng)調(diào)用時(shí)不局限于進(jìn)程用戶和文件的屬性而進(jìn)行權(quán)限的控制。

進(jìn)一步地，權(quán)限檢查模塊包括：第一判斷單元，用于判斷當(dāng)前系統(tǒng)調(diào)用是否在會(huì)話信息對(duì)應(yīng)的會(huì)話權(quán)限內(nèi)；第二判斷單元，用于在第一判斷單元判定當(dāng)前系統(tǒng)調(diào)用在會(huì)話信息對(duì)應(yīng)的會(huì)話權(quán)限內(nèi)時(shí)，判斷當(dāng)前系統(tǒng)調(diào)用是否在系統(tǒng)的系統(tǒng)自身訪問(wèn)權(quán)限內(nèi)。

在本實(shí)施方式中，在獲取了系統(tǒng)調(diào)用的會(huì)話信息后，首先判斷當(dāng)前系統(tǒng)調(diào)用是否在會(huì)話權(quán)限內(nèi)，即通過(guò)會(huì)話權(quán)限檢測(cè)系統(tǒng)調(diào)用是否處于該會(huì)話對(duì)應(yīng)的角色的權(quán)限范圍內(nèi)，若通過(guò)檢測(cè)則判斷當(dāng)前系統(tǒng)調(diào)用是否處于系統(tǒng)的系統(tǒng)自身訪問(wèn)權(quán)限內(nèi)，即系統(tǒng)是否對(duì)該會(huì)話對(duì)應(yīng)的角色開放了對(duì)應(yīng)的權(quán)限，若也通過(guò)檢查，則執(zhí)行當(dāng)前系統(tǒng)調(diào)用。

需要說(shuō)明的是，若判定當(dāng)前系統(tǒng)調(diào)用不在會(huì)話信息對(duì)應(yīng)的會(huì)話權(quán)限內(nèi)，則表示檢查失敗，直接進(jìn)入系統(tǒng)調(diào)用返回。

在本發(fā)明的一種實(shí)施方式中，會(huì)話權(quán)限識(shí)別模塊包括：解析單元，用于獲取會(huì)話信息所屬的會(huì)話的發(fā)起終端的ip地址；角色識(shí)別單元，用于根據(jù)ip地址和預(yù)設(shè)的角色配置信息，識(shí)別會(huì)話的所屬角色；第一權(quán)限配置調(diào)取單元，用于根據(jù)會(huì)話的所屬角色，調(diào)取該角色對(duì)應(yīng)的會(huì)話權(quán)限配置。

在本實(shí)施方式中，通過(guò)讀取會(huì)話的發(fā)起終端的ip地址來(lái)識(shí)別發(fā)起會(huì)話的客戶端的身份。如當(dāng)有兩個(gè)客戶端訪問(wèn)服務(wù)器時(shí)，客戶端a的ip地址為192.168.1.1，其身份為管理員，預(yù)設(shè)的權(quán)限為“所有”；客戶端b的ip地址為123.45.67.89.其身份為普通用戶，預(yù)設(shè)的權(quán)限為“部分”。則當(dāng)某一客戶端訪問(wèn)服務(wù)器并發(fā)起會(huì)話時(shí)，服務(wù)器讀取發(fā)起會(huì)話的客戶端的ip地址，根據(jù)其ip地址即可獲取該客戶端的身份信息，如讀取的是客戶端a的ip地址，則判定此時(shí)的客戶端為管理員，相應(yīng)地，即可服務(wù)該客戶端對(duì)應(yīng)的權(quán)限來(lái)控制當(dāng)前的系統(tǒng)調(diào)用。由于各客戶端均具有一個(gè)唯一的、不同于其他客戶端的ip地址，因此，通過(guò)識(shí)別發(fā)起會(huì)話的客戶端的ip地址，即可識(shí)別客戶端的身份，并調(diào)取對(duì)應(yīng)的權(quán)限來(lái)控制系統(tǒng)調(diào)用。

在本發(fā)明的另一種實(shí)施方式中，會(huì)話權(quán)限識(shí)別模塊包括：第三判斷單元，用于判斷會(huì)話信息中是否包含預(yù)設(shè)的會(huì)話角色認(rèn)證信息；權(quán)限配置獲取單元，用于在第三判斷單元判定會(huì)話信息中包含預(yù)設(shè)的會(huì)話角色認(rèn)證信息時(shí)，獲取會(huì)話角色認(rèn)證信息，并根據(jù)會(huì)話角色認(rèn)證信息識(shí)別分析出該會(huì)話信息的發(fā)起終端的角色，獲取該角色的會(huì)話權(quán)限配置。

在本實(shí)施方式中，使用二次認(rèn)證來(lái)進(jìn)行角色的識(shí)別。在二次認(rèn)證中可以引入中間代理，中間代理即上述的會(huì)話權(quán)限識(shí)別模塊，使得所有到達(dá)服務(wù)器的數(shù)據(jù)先經(jīng)過(guò)中間代理，中間代理對(duì)連接進(jìn)行認(rèn)證后再傳遞給服務(wù)器進(jìn)行請(qǐng)求。

具體地，客戶端向中間代理發(fā)送請(qǐng)求內(nèi)容，中間代理判斷會(huì)話信息中是否包含預(yù)設(shè)的會(huì)話角色認(rèn)證信息，若沒(méi)有，則返回需要認(rèn)證的提示信息，客戶端再將帶認(rèn)證信息的請(qǐng)求內(nèi)容發(fā)送至中間代理，在中間代理通過(guò)認(rèn)證后，再將請(qǐng)求內(nèi)容和相關(guān)的角色信息發(fā)送至服務(wù)器，服務(wù)器將答復(fù)內(nèi)容返回至客戶端。在這個(gè)過(guò)程中，由中間代理來(lái)識(shí)別發(fā)起會(huì)話的客戶端的身份。

在本發(fā)明的另一種實(shí)施方式中，權(quán)限檢查模塊包括：預(yù)處理單元，用于預(yù)先建立用于預(yù)設(shè)角色通訊的虛擬通訊網(wǎng)絡(luò)隧道；角色判斷單元，用于對(duì)會(huì)話的來(lái)源隧道進(jìn)行識(shí)別，以判斷會(huì)話所屬的角色；第二權(quán)限配置調(diào)取單元，用于根據(jù)會(huì)話所屬的角色調(diào)取對(duì)應(yīng)的會(huì)話權(quán)限配置。

在本實(shí)施方式中，采用隧道方式進(jìn)行角色識(shí)別。在該過(guò)程中，客戶端通過(guò)與服務(wù)器建立虛擬專用通訊網(wǎng)絡(luò)隧道，通過(guò)區(qū)分來(lái)源隧道來(lái)進(jìn)行角色的識(shí)別。如當(dāng)客戶端角色分為管理員和普通用戶時(shí)，管理員客戶端和服務(wù)器進(jìn)行通訊的隧道為虛擬專用通訊網(wǎng)絡(luò)隧道，而普通用戶客戶端和服務(wù)器進(jìn)行通訊的隧道為普通網(wǎng)絡(luò)訪問(wèn)，這樣，當(dāng)客戶端和服務(wù)器建立會(huì)話時(shí)，只需識(shí)別會(huì)話的來(lái)源隧道即可判定會(huì)話所屬的角色的身份信息。

綜上所述，本發(fā)明所提供的權(quán)限控制方法和系統(tǒng)，當(dāng)用戶想要進(jìn)行系統(tǒng)調(diào)用時(shí)，就需要進(jìn)行會(huì)話權(quán)限和系統(tǒng)系統(tǒng)自身訪問(wèn)權(quán)限的檢測(cè)，通過(guò)會(huì)話權(quán)限的檢查來(lái)判斷該會(huì)話對(duì)應(yīng)的角色的數(shù)據(jù)訪問(wèn)權(quán)限，而系統(tǒng)系統(tǒng)自身訪問(wèn)權(quán)限的檢查用來(lái)判斷系統(tǒng)可以提供給該角色的數(shù)據(jù)訪問(wèn)權(quán)限，只有當(dāng)系統(tǒng)調(diào)用的數(shù)據(jù)既能通過(guò)會(huì)話權(quán)限的檢查，又能通過(guò)系統(tǒng)的系統(tǒng)自身訪問(wèn)權(quán)限的檢查，此時(shí)才執(zhí)行當(dāng)前系統(tǒng)調(diào)用，當(dāng)當(dāng)前系統(tǒng)調(diào)用執(zhí)行完成后進(jìn)行系統(tǒng)調(diào)用返回，執(zhí)行新的系統(tǒng)調(diào)用。無(wú)需再去判斷系統(tǒng)調(diào)用的文件屬性和進(jìn)行運(yùn)行的所屬用戶的屬性，極大地簡(jiǎn)化了權(quán)限的判斷過(guò)程。對(duì)于應(yīng)用程序的進(jìn)程對(duì)系統(tǒng)調(diào)用引入了會(huì)話權(quán)限的檢查來(lái)配合系統(tǒng)系統(tǒng)自身訪問(wèn)權(quán)限對(duì)于服務(wù)器中進(jìn)行系統(tǒng)調(diào)用時(shí)的權(quán)限進(jìn)行檢查校驗(yàn)，以控制應(yīng)用程序的權(quán)限，實(shí)現(xiàn)了當(dāng)進(jìn)程執(zhí)行系統(tǒng)調(diào)用時(shí)不局限于進(jìn)程用戶和文件的屬性而進(jìn)行權(quán)限的控制。

以上對(duì)本發(fā)明所提供一種權(quán)限控制方法和系統(tǒng)進(jìn)行了詳細(xì)介紹。本文中應(yīng)用了具體個(gè)例對(duì)本發(fā)明的原理及實(shí)施方式進(jìn)行了闡述，以上實(shí)施例的說(shuō)明只是用于幫助理解本發(fā)明及其核心思想。應(yīng)當(dāng)指出，對(duì)于本技術(shù)領(lǐng)域的普通技術(shù)人員來(lái)說(shuō)，在不脫離本發(fā)明原理的前提下，還可以對(duì)本發(fā)明進(jìn)行若干改進(jìn)和修飾，這些改進(jìn)和修飾也落入本發(fā)明權(quán)利要求的保護(hù)范圍內(nèi)。