本發(fā)明涉及網(wǎng)絡(luò)技術(shù)領(lǐng)域，特別是涉及一種線上服務(wù)器授權(quán)管理方法和系統(tǒng)。

背景技術(shù)：

對(duì)于擁有大量線上服務(wù)器的互聯(lián)網(wǎng)公司而言，幾乎每時(shí)每刻都有運(yùn)維人員操作這些服務(wù)器。目前，運(yùn)維人員采用堡壘機(jī)加跳板機(jī)的模式來管理和控制服務(wù)器。堡壘機(jī)是一臺(tái)安全控制機(jī)，可以對(duì)運(yùn)維人員的運(yùn)維操作進(jìn)行審計(jì)和權(quán)限控制，所有需要訪問服務(wù)器的運(yùn)維人員都需要先訪問堡壘機(jī)，堡壘機(jī)可對(duì)所有運(yùn)維人員對(duì)服務(wù)器的操作做記錄。如圖1所示，當(dāng)運(yùn)維人員需要登錄線上服務(wù)器時(shí)，先通過遠(yuǎn)程連接的方式登錄至堡壘機(jī)上，再?gòu)谋緳C(jī)跳轉(zhuǎn)至跳板機(jī)上，然后再由跳板機(jī)轉(zhuǎn)至相應(yīng)的線上服務(wù)器上。

由于實(shí)際應(yīng)用中，有各種不同類型的線上服務(wù)器以及不同工作內(nèi)容的運(yùn)維人員，因此需要一個(gè)審批的流程來確定運(yùn)維人員登錄不同服務(wù)器的權(quán)限?，F(xiàn)有技術(shù)方案如圖2所示，運(yùn)維人員首先進(jìn)行申請(qǐng)，當(dāng)上級(jí)服務(wù)器審批后，再將請(qǐng)求發(fā)送給堡壘機(jī)，與此同時(shí)，堡壘機(jī)會(huì)添加此運(yùn)維人員的身份信息，并授予其相應(yīng)的權(quán)限。在這個(gè)過程中，運(yùn)維人員申請(qǐng)授權(quán)登錄服務(wù)器的流程繁瑣，需要多級(jí)審批，各種不同權(quán)限和不同類型的運(yùn)維人員的身份信息都保存在堡壘機(jī)上，任何使用堡壘機(jī)的人員都能看到其他人員的賬戶信息，現(xiàn)有的服務(wù)器授權(quán)管理方法既繁瑣又存在著一定的安全隱患。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明實(shí)施例的目的在于提供一種線上服務(wù)器授權(quán)管理方法和系統(tǒng)，可以簡(jiǎn)化登錄授權(quán)的流程，并且提高了管理服務(wù)器時(shí)的安全性。具體技術(shù)方案如下：

本發(fā)明公開了一種線上服務(wù)器授權(quán)管理方法，包括：

服務(wù)器的堡壘機(jī)接收用戶的登錄授權(quán)請(qǐng)求信息；

所述堡壘機(jī)向訪問控制管理器發(fā)送授權(quán)請(qǐng)求，所述授權(quán)請(qǐng)求中包括所述用戶的身份驗(yàn)證信息；

所述訪問控制管理器根據(jù)所述用戶的身份驗(yàn)證信息確定所述用戶的登錄權(quán)限，所述訪問控制管理器存儲(chǔ)有所有有權(quán)限登錄所述服務(wù)器的用戶的登錄授權(quán)信息；

所述訪問控制管理器向所述堡壘機(jī)發(fā)送所述用戶的登錄授權(quán)信息；

所述堡壘機(jī)根據(jù)所述訪問控制管理器發(fā)送的登錄授權(quán)信息對(duì)所述用戶授權(quán)。

具體的，所述訪問控制管理器根據(jù)所述用戶的身份驗(yàn)證信息確定所述用戶的登錄權(quán)限，包括：

若所述訪問控制管理器中未存儲(chǔ)所述用戶的登錄授權(quán)信息，則所述訪問控制管理器根據(jù)所述用戶的身份驗(yàn)證信息確定所述用戶的登錄權(quán)限，所述訪問控制器中存儲(chǔ)有所有能夠連接所述服務(wù)器的用戶的預(yù)授權(quán)信息，所述用戶的預(yù)授權(quán)信息與所述用戶的登錄權(quán)限對(duì)應(yīng)。

具體的，所述訪問控制管理器根據(jù)所述用戶的身份驗(yàn)證信息確定所述用戶的登錄權(quán)限之前，還包括：

所述訪問控制管理器獲取所有申請(qǐng)授權(quán)登錄請(qǐng)求的用戶的身份驗(yàn)證信息，所述身份驗(yàn)證信息包括用戶所述部門、工號(hào)、IP地址、職位中的至少一種；

所述訪問控制管理器根據(jù)申請(qǐng)登錄授權(quán)的用戶的身份驗(yàn)證信息確定所有能夠連接所述服務(wù)器的用戶的預(yù)授權(quán)信息，所述預(yù)授權(quán)信息包括用戶登錄所述服務(wù)器的權(quán)限以及用戶對(duì)所述服務(wù)器的管理和控制權(quán)限。

具體的，所述訪問控制管理器還用于存儲(chǔ)所述用戶的登錄授權(quán)請(qǐng)求信息。

具體的，所述訪問控制管理器向所述堡壘機(jī)發(fā)送所述用戶的登錄授權(quán)信息，包括：

所述訪問控制管理器通過LDAP協(xié)議報(bào)文向所述堡壘機(jī)發(fā)送所述用戶的登錄授權(quán)信息。

本發(fā)明還公開了一種服務(wù)器授權(quán)管理系統(tǒng)，包括：堡壘機(jī)和訪問控制管理器；

所述堡壘機(jī)，用于接收用戶的登錄授權(quán)請(qǐng)求信息，向訪問控制管理器發(fā)送授權(quán)請(qǐng)求，所述授權(quán)請(qǐng)求中包括所述用戶的身份驗(yàn)證信息，并根據(jù)訪問控制管理器發(fā)送的登錄授權(quán)信息向所述用戶授權(quán)；

所述訪問控制管理器，用于根據(jù)所述用戶的身份驗(yàn)證信息確定所述用戶的登錄權(quán)限，所述訪問控制管理器存儲(chǔ)有所有有權(quán)限登錄所述服務(wù)器的用戶的登錄授權(quán)信息，并向所述堡壘機(jī)發(fā)送所述用戶的登錄授權(quán)信息。

具體的，所述訪問控制管理器，具體用于若未存儲(chǔ)所述用戶的登錄授權(quán)信息，則根據(jù)所述用戶的身份驗(yàn)證信息確定所述用戶的登錄權(quán)限，所述訪問控制器中存儲(chǔ)有所有能夠連接所述服務(wù)器的用戶的預(yù)授權(quán)信息，所述用戶的預(yù)授權(quán)信息與所述用戶的登錄權(quán)限對(duì)應(yīng)。

具體的，所述訪問控制管理器，還用于獲取所有申請(qǐng)授權(quán)登錄請(qǐng)求的用戶的身份驗(yàn)證信息，所述用戶的身份驗(yàn)證信息包括用戶所述部門、工號(hào)、IP地址、職位中的至少一種；根據(jù)申請(qǐng)登錄授權(quán)的用戶的身份驗(yàn)證信息確定所有能夠連接所述服務(wù)器的用戶的預(yù)授權(quán)信息，所述預(yù)授權(quán)信息包括用戶登錄所述服務(wù)器的權(quán)限以及用戶對(duì)所述服務(wù)器的管理和控制權(quán)限。

具體的，所述訪問控制管理器，還用于存儲(chǔ)所述用戶的登錄授權(quán)請(qǐng)求信息。

具體的，所述訪問控制管理器，具體通過LDAP協(xié)議報(bào)文向所述堡壘機(jī)發(fā)送所述用戶的登錄授權(quán)信息。

本發(fā)明實(shí)施例提供的服務(wù)器授權(quán)管理方法及系統(tǒng)，引入了訪問控制管理器，訪問控制管理器訪問控制管理器會(huì)根據(jù)接收到的用戶的身份驗(yàn)證信息來確定用戶的登錄權(quán)限，并向堡壘機(jī)發(fā)送登錄授權(quán)請(qǐng)求信息，用戶在獲得授權(quán)后，才能登錄服務(wù)器，可以快速實(shí)現(xiàn)用戶的登錄授權(quán)，減少了繁瑣的審批流程。同時(shí)，用戶的身份驗(yàn)證信息不再存儲(chǔ)在堡壘機(jī)上，而是存儲(chǔ)在訪問控制管理器中，任何申請(qǐng)登錄的用戶無法在堡壘機(jī)上看到其他用戶的身份信息，這提高了服務(wù)器的安全性能。當(dāng)然，實(shí)施本發(fā)明的任一產(chǎn)品或方法必不一定需要同時(shí)達(dá)到以上所述的所有優(yōu)點(diǎn)。

附圖說明

為了更清楚地說明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案，下面將對(duì)實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡(jiǎn)單地介紹，顯而易見地，下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例，對(duì)于本領(lǐng)域普通技術(shù)人員來講，在不付出創(chuàng)造性勞動(dòng)的前提下，還可以根據(jù)這些附圖獲得其他的附圖。

圖1為現(xiàn)有技術(shù)中登錄線上服務(wù)器的過程圖；

圖2為現(xiàn)有技術(shù)中堡壘機(jī)的權(quán)限申請(qǐng)流程圖；

圖3為本發(fā)明實(shí)施例服務(wù)器授權(quán)管理方法的流程圖；

圖4為本發(fā)明實(shí)施例服務(wù)器授權(quán)管理系統(tǒng)的結(jié)構(gòu)示意圖。

具體實(shí)施方式

下面將結(jié)合本發(fā)明實(shí)施例中的附圖，對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述，顯然，所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例，而不是全部的實(shí)施例?；诒景l(fā)明中的實(shí)施例，本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例，都屬于本發(fā)明保護(hù)的范圍。

對(duì)于擁有大量線上服務(wù)器的互聯(lián)網(wǎng)公司而言，每時(shí)每刻都有大量的運(yùn)維人員控制和管理這些服務(wù)器。目前，運(yùn)維人員大都采用堡壘機(jī)加跳板機(jī)的模式來控制和管理服務(wù)器。堡壘機(jī)是一臺(tái)安全控制機(jī)，可以對(duì)運(yùn)維人員的運(yùn)維操作進(jìn)行審計(jì)和權(quán)限控制，所有需要訪問服務(wù)器的運(yùn)維人員都需要先訪問堡壘機(jī)，通過堡壘機(jī)來訪問服務(wù)器，堡壘機(jī)可以對(duì)所有運(yùn)維人員對(duì)服務(wù)器的操作做記錄。

圖1為現(xiàn)有技術(shù)中登錄線上服務(wù)器的過程。

當(dāng)運(yùn)維人員需要登錄線上服務(wù)器時(shí)，先通過遠(yuǎn)程連接的方式登錄至堡壘機(jī)上，再?gòu)谋緳C(jī)跳轉(zhuǎn)至跳板機(jī)上，然后再由跳板機(jī)轉(zhuǎn)至相應(yīng)的服務(wù)器上。在實(shí)際應(yīng)用中，有各種不同類型的線上服務(wù)器以及不同工作內(nèi)容的運(yùn)維人員，因此需要一個(gè)審批的流程來確定運(yùn)維人員登錄不同服務(wù)器的權(quán)限。

圖2為現(xiàn)有技術(shù)方案中堡壘機(jī)的授權(quán)申請(qǐng)流程圖，當(dāng)運(yùn)維人員需要登錄服務(wù)器時(shí)，

步驟201，向上級(jí)服務(wù)器進(jìn)行申請(qǐng)。

步驟202，上級(jí)服務(wù)器審批后，運(yùn)維人員再將請(qǐng)求發(fā)送給堡壘機(jī)。

步驟203，堡壘機(jī)向運(yùn)維人員的上級(jí)服務(wù)器確認(rèn)并通過申請(qǐng)。

步驟204，堡壘機(jī)添加此運(yùn)維人員的身份信息，并授予其相應(yīng)的權(quán)限。

步驟205，運(yùn)維人員登錄服務(wù)器。

在這個(gè)過程中，運(yùn)維人員申情授權(quán)登錄服務(wù)器的流程繁瑣，需要多級(jí)審批，各種不同權(quán)限和不同類型的運(yùn)維人員的身份信息都保存在堡壘機(jī)上，任何使用堡壘機(jī)的人員都能看到其他人員的賬戶信息，現(xiàn)有的服務(wù)器授權(quán)管理方法既繁瑣又存在著一定的安全隱患。

為了簡(jiǎn)化服務(wù)器的授權(quán)流程，提高服務(wù)器的安全性，本發(fā)明實(shí)施例公開了一種線上服務(wù)器授權(quán)管理方法和系統(tǒng)，以下分別進(jìn)行詳細(xì)說明。

參見圖3，圖3為本發(fā)明實(shí)施例服務(wù)器授權(quán)管理方法的流程圖，步驟分別為：

步驟301，服務(wù)器的堡壘機(jī)接收用戶的登錄授權(quán)請(qǐng)求信息。

本步驟中，當(dāng)用戶想要登錄線上服務(wù)器時(shí)，需要先訪問堡壘機(jī)，通過堡壘機(jī)來訪問服務(wù)器，堡壘機(jī)是一臺(tái)安全控制機(jī)，可以對(duì)用戶的操作進(jìn)行審計(jì)和權(quán)限控制。用戶向堡壘機(jī)發(fā)送登錄授權(quán)請(qǐng)求信息，堡壘機(jī)接收用戶發(fā)送的登錄授權(quán)請(qǐng)求信息。具體的，用戶發(fā)送的登錄授權(quán)請(qǐng)求信息中，可以包括用戶所屬部門、工號(hào)、IP地址、職位等，但不限于其中的某一種。

步驟302，堡壘機(jī)向訪問控制管理器發(fā)送授權(quán)請(qǐng)求。

本步驟中，引入了訪問控制管理器，訪問控制管理器通常作為統(tǒng)一管理用戶權(quán)限的工具。堡壘機(jī)在接收了用戶發(fā)送的登錄授權(quán)請(qǐng)求信息后，會(huì)向訪問控制管理器發(fā)送授權(quán)請(qǐng)求，這個(gè)授權(quán)請(qǐng)求信息中包括了用戶的身份驗(yàn)證信息。

可選的，用戶的身份驗(yàn)證信息包括用戶所述部門、工號(hào)、IP地址、職位中的至少一種。

步驟303，訪問控制管理器根據(jù)用戶的身份驗(yàn)證信息確定用戶的登錄權(quán)限，訪問控制管理器存儲(chǔ)有所有有權(quán)限登錄服務(wù)器的用戶的登錄授權(quán)信息。

本步驟中，訪問控制管理器接收堡壘機(jī)發(fā)送的用戶的身份驗(yàn)證信息，根據(jù)用戶的身份驗(yàn)證信息確定該用戶是否有登錄權(quán)限。其中，本步驟中還包括：

步驟303a，若訪問控制管理器中未存儲(chǔ)用戶的登錄授權(quán)信息，則訪問控制管理器根據(jù)用戶的身份驗(yàn)證信息確定用戶的登錄權(quán)限。

可選的，若訪問控制器中未存儲(chǔ)用戶的登錄授權(quán)信息，則可以根據(jù)用戶的身份驗(yàn)證信息確定用戶的登錄權(quán)限以及開放權(quán)限的程度。訪問控制管理器在接收了用戶的身份驗(yàn)證信息以后，會(huì)根據(jù)用戶信息中的部門、工號(hào)、IP地址、職位中的至少一種來確定用戶是否有權(quán)限登錄服務(wù)器。

步驟303b，若訪問控制管理器中有存儲(chǔ)用戶的預(yù)授權(quán)信息，則訪問控制管理器根據(jù)用戶的預(yù)授權(quán)信息確定用戶的登錄權(quán)限。

可選的，若訪問控制管理器中已經(jīng)存儲(chǔ)該用戶的預(yù)授權(quán)信息，則可以根據(jù)預(yù)授權(quán)信息快速確定用戶的登錄權(quán)限，確定是否向該用戶授權(quán)登錄服務(wù)器。

可選的，訪問控制管理器會(huì)存儲(chǔ)所有用戶的授權(quán)請(qǐng)求信息。

步驟304，訪問控制管理器向堡壘機(jī)發(fā)送用戶的登錄授權(quán)信息。

根據(jù)上一步驟中訪問控制管理器根據(jù)用戶的身份驗(yàn)證信息確定該用戶的登錄權(quán)限后，會(huì)向堡壘機(jī)發(fā)送所有有權(quán)限登錄服務(wù)器的用戶的登錄授權(quán)請(qǐng)求信息。

可選的，訪問控制管理器通過LDAP協(xié)議報(bào)文向堡壘機(jī)發(fā)送用戶的登錄授權(quán)信息。

步驟305，堡壘機(jī)根據(jù)訪問控制管理器發(fā)送的登錄授權(quán)信息對(duì)用戶授權(quán)。

本步驟中，當(dāng)堡壘機(jī)接收訪問控制管理器發(fā)送的關(guān)于用戶的登錄授權(quán)信息后，向用戶授權(quán)，用戶在獲得授權(quán)后，才能登錄服務(wù)器并且進(jìn)行控制和管理服務(wù)器。

本發(fā)明實(shí)施例所公開的服務(wù)器授權(quán)管理方法通過引入訪問控制管理器來快速實(shí)現(xiàn)用戶的登錄授權(quán)，訪問控制管理器會(huì)根據(jù)接收到的用戶的身份驗(yàn)證信息來確定用戶的登錄權(quán)限，并向堡壘機(jī)發(fā)送登錄授權(quán)請(qǐng)求信息，用戶在獲得授權(quán)后，才能登錄服務(wù)器。本發(fā)明與現(xiàn)有的登錄授權(quán)過程相比較，不再需要多級(jí)審批，而是由堡壘機(jī)和訪問控制管理器共同完成用戶的審計(jì)和權(quán)限劃分，本發(fā)明簡(jiǎn)化了登錄授權(quán)流程。在用戶申請(qǐng)授權(quán)登錄時(shí)，用戶的身份驗(yàn)證信息不再存儲(chǔ)在堡壘機(jī)上，而是存儲(chǔ)在訪問控制管理器中，任何申請(qǐng)登錄的用戶無法在堡壘機(jī)上看到其他用戶的身份信息，這提高了服務(wù)器的安全性能。

本發(fā)明還公開了一種線上服務(wù)器授權(quán)管理系統(tǒng)，下面進(jìn)行詳細(xì)說明。

圖4為本發(fā)明實(shí)施例的系統(tǒng)結(jié)構(gòu)示意圖，該系統(tǒng)包括堡壘機(jī)401和訪問控制管理402；

堡壘機(jī)401，用于接收用戶的登錄授權(quán)請(qǐng)求信息，并向訪問控制管理器402發(fā)送授權(quán)請(qǐng)求，所述授權(quán)請(qǐng)求中包括用戶的身份驗(yàn)證信息，并根據(jù)訪問控制管理器402發(fā)送的登錄授權(quán)信息對(duì)用戶授權(quán)；

訪問控制管理器402，用于根據(jù)用戶的身份驗(yàn)證信息確定用戶的登錄權(quán)限，訪問控制管理器存儲(chǔ)有所有有權(quán)限登錄所述服務(wù)器的用戶的登錄授權(quán)信息，并向堡壘機(jī)401發(fā)送用戶的登錄授權(quán)信息

具體的，訪問控制管理器402，用于若未存儲(chǔ)用戶的登錄授權(quán)信息，則根據(jù)用戶的身份驗(yàn)證信息確定用戶的登錄權(quán)限，訪問控制器中存儲(chǔ)有所有能夠連接服務(wù)器的用戶的預(yù)授權(quán)信息，用戶的預(yù)授權(quán)信息與用戶的登錄權(quán)限對(duì)應(yīng)。

具體的，訪問控制管理器402，還用于獲取所有申請(qǐng)授權(quán)登錄請(qǐng)求的用戶的身份驗(yàn)證信息，用戶的身份驗(yàn)證信息包括用戶所述部門、工號(hào)、IP地址、職位中的至少一種；根據(jù)申請(qǐng)登錄授權(quán)的用戶的身份驗(yàn)證信息確定所有能夠連接服務(wù)器的用戶的預(yù)授權(quán)信息，預(yù)授權(quán)信息包括用戶登錄服務(wù)器的權(quán)限以及用戶對(duì)服務(wù)器的管理和控制權(quán)限。

具體的，訪問控制管理器402，還用于存儲(chǔ)用戶的登錄授權(quán)請(qǐng)求信息。

具體的，訪問控制管理器402通過LDAP協(xié)議報(bào)文向堡壘機(jī)401發(fā)送用戶的登錄授權(quán)信息。

本發(fā)明實(shí)施例提供的服務(wù)器授權(quán)管理系統(tǒng)，引入訪問控制管理器，通過堡壘機(jī)和訪問控制管理器的共同工作，實(shí)現(xiàn)了用戶快速申請(qǐng)授權(quán)登錄，訪問控制管理器根據(jù)接收到的用戶的身份驗(yàn)證信息來確定用戶的登錄權(quán)限，并向堡壘機(jī)發(fā)送登錄授權(quán)請(qǐng)求信息，用戶在這一過程中，不需要向上級(jí)服務(wù)器發(fā)送授權(quán)請(qǐng)求，省略了多次審批的繁瑣流程。用戶的身份驗(yàn)證信息不再存儲(chǔ)在堡壘機(jī)中，而是存儲(chǔ)在訪問控制管理器中，當(dāng)用戶向堡壘機(jī)發(fā)送登錄授權(quán)請(qǐng)求時(shí)，將看不到其他用戶的身份信息，這保障了用戶的信息不被泄露，提高了服務(wù)器的安全性。

需要說明的是，在本文中，諸如第一和第二等之類的關(guān)系術(shù)語(yǔ)僅僅用來將一個(gè)實(shí)體或者操作與另一個(gè)實(shí)體或操作區(qū)分開來，而不一定要求或者暗示這些實(shí)體或操作之間存在任何這種實(shí)際的關(guān)系或者順序。而且，術(shù)語(yǔ)“包括”、“包含”或者其任何其他變體意在涵蓋非排他性的包含，從而使得包括一系列要素的過程、方法、物品或者設(shè)備不僅包括那些要素，而且還包括沒有明確列出的其他要素，或者是還包括為這種過程、方法、物品或者設(shè)備所固有的要素。在沒有更多限制的情況下，由語(yǔ)句“包括一個(gè)……”限定的要素，并不排除在包括所述要素的過程、方法、物品或者設(shè)備中還存在另外的相同要素。

本說明書中的各個(gè)實(shí)施例均采用相關(guān)的方式描述，各個(gè)實(shí)施例之間相同相似的部分互相參見即可，每個(gè)實(shí)施例重點(diǎn)說明的都是與其他實(shí)施例的不同之處。尤其，對(duì)于系統(tǒng)實(shí)施例而言，由于其基本相似于方法實(shí)施例，所以描述的比較簡(jiǎn)單，相關(guān)之處參見方法實(shí)施例的部分說明即可。

以上所述僅為本發(fā)明的較佳實(shí)施例而已，并非用于限定本發(fā)明的保護(hù)范圍。凡在本發(fā)明的精神和原則之內(nèi)所作的任何修改、等同替換、改進(jìn)等，均包含在本發(fā)明的保護(hù)范圍內(nèi)。