本發(fā)明涉及信息安全技術領域，特別涉及一種權限智能管理系統(tǒng)及其方法。

背景技術：

隨著信息技術的不斷發(fā)展，信息安全問題也與日俱增。21世紀以來，幾乎兩年就會爆發(fā)一次大范圍的電腦病毒侵襲。此外，企業(yè)或學校等服務器也常經受黑客攻擊，使得服務器長時間宕機或被竊取重要的內部信息資源，從而遭受重大的經濟損失。因此，在現(xiàn)今的情況下，信息安全與信息管控顯得越來越重要。

一般來說，常見的應用系統(tǒng)登錄方式是用戶通過輸入用戶名和對應密碼，從而實現(xiàn)登錄，并根據(jù)用戶名識別該用戶權限，用戶可結合其權限合理使用或修改服務器上的數(shù)據(jù)信息。但是現(xiàn)有的權限管理和應用系統(tǒng)易遭受攻擊，信息安全存在隱患。另外，用戶權限不能進行科學系統(tǒng)地管理。當應用系統(tǒng)變得龐大而復雜時，其權限管理易發(fā)生混亂，安全性也會受到影響。

技術實現(xiàn)要素：

本發(fā)明的目的是提出一種權限智能管理系統(tǒng)及其方法，實現(xiàn)用戶權限管理功能，并提高了系統(tǒng)的信息安全性和管理效率。

為了解決上述技術問題，本發(fā)明采用了下述技術方案：

一種權限智能管理系統(tǒng)包括：身份識別器、權限管理服務器、硬件防火墻和主服務器。身份識別器用于獲取用戶的身份信息。權限管理服務器，存儲與用戶的身份信息對應的主權限分配規(guī)則，與身份識別器連接，通過硬件防火墻連接主服務器，用于接收身份識別器獲取的身份信息，并根據(jù)身份信息和主權限分配規(guī)則分配與身份信息對應的主權限，主權限包括主服務器的訪問權限和第一從權限分配規(guī)則的管理權限，第一從權限分配規(guī)則為權限管理服務器內預設的從權限分配規(guī)則。硬件防火墻部署在主服務器所在網絡上。主服務器，用于提供數(shù)據(jù)信息訪問，主服務器包括系統(tǒng)管理模塊，系統(tǒng)管理模塊用于修改主服務器中的第二從權限分配規(guī)則，第二從權限分配規(guī)則為主服務器中允許修改的從權限分配規(guī)則，從權限分配規(guī)則包括身份信息和與身份信息對應的從權限，從權限包括數(shù)據(jù)信息的使用權限和從權限分配規(guī)則的管理權限。

優(yōu)選的，身份識別器為加密感應式id卡讀卡器。

優(yōu)選的，權限管理服務器還包括用于對接收到的身份信息進行解密的解密模塊。

優(yōu)選的，主服務器還包括目錄管理模塊，目錄管理模塊用于目錄的權限管理。

優(yōu)選的，主服務器還包括共享資料管理模塊，共享資料管理模塊用于共享資料的權限管理。

優(yōu)選的，主服務器還包括事件記錄模塊，事件記錄模塊用于記錄權限管理的操作信息。

優(yōu)選的，共享資料管理模塊還包括用于搜索主服務器上的共享資料的搜索功能子模塊。

一種權限智能管理方法包括步驟：獲取用戶的身份信息；根據(jù)身份信息和主權限分配規(guī)則，分配與身份信息對應的主權限，主權限包括訪問權限和第一從權限分配規(guī)則的管理權限，第一從權限分配規(guī)則為第一設備內預設的從權限分配規(guī)則；根據(jù)訪問權限，判斷當前用戶是否需要通過驗證來訪問第二設備內的數(shù)據(jù)信息；若當前用戶具有訪問權限，則通過驗證并允許訪問數(shù)據(jù)信息；若當前用戶不具有訪問權限，則阻止訪問數(shù)據(jù)信息；結合第一從權限分配規(guī)則的管理權限，管理第二從權限分配規(guī)則，第二從權限分配規(guī)則為第二設備內允許修改的從權限分配規(guī)則，從權限分配規(guī)則包括身份信息和與身份信息對應的從權限，從權限包括數(shù)據(jù)信息的使用權限和從權限分配規(guī)則的管理權限。

優(yōu)選的，還包括以下步驟：對獲取的身份信息進行解密處理。

優(yōu)選的，管理第二從權限分配規(guī)則的步驟之前還包括搜索用戶的身份信息，查找與身份信息對應的從權限。

本發(fā)明相比于現(xiàn)有技術的有益效果在于：本發(fā)明提出的權限智能管理系統(tǒng)及其方法，通過在權限管理服務器上管理主權限分配規(guī)則和主服務器上管理從權限分配規(guī)則，具體地，在權限管理服務器上進行用戶賬號和用戶角色的管理，在主服務器上進行訪問內容的從權限管理?？蓪崿F(xiàn)用戶權限管理功能，使權限管理服務器在相對獨立的使用環(huán)境進行主權限管理，避免惡意的攻擊篡改。而主服務器上的從權限管理可有效提升權限修改的及時性，再結合硬件防火墻，可有效提高系統(tǒng)的信息安全性和管理效率。

附圖說明

圖1為本發(fā)明的一實施例提供的權限智能管理系統(tǒng)的結構示意圖；

圖2為本發(fā)明的一實施例提供的權限智能管理方法的流程示意圖。

具體實施方式

以下結合附圖，對本發(fā)明上述的和另外的技術特征和優(yōu)點進行清楚、完整地描述，顯然，所描述的實施例僅僅是本發(fā)明的部分實施例，而不是全部實施例。

如圖1所示，為本發(fā)明實施例提出的一種權限智能管理系統(tǒng)，權限智能管理系統(tǒng)100包括：身份識別器110、權限管理服務器120、硬件防火墻130和主服務器140。身份識別器110用于獲取用戶的身份信息，用戶可通過軟件登錄、網頁登錄或者硬件識別等方式實現(xiàn)身份識別。權限管理服務器120存儲與用戶的身份信息對應的主權限分配規(guī)則，權限管理服務器120與身份識別器110連接，并通過硬件防火墻130連接主服務器140，權限管理服務器120用于接收身份識別器110獲取的身份信息，并根據(jù)身份信息和主權限分配規(guī)則分配與身份信息對應的主權限，主權限包括主服務器的訪問權限和第一從權限分配規(guī)則的管理權限，第一從權限分配規(guī)則為權限管理服務器內預設的從權限分配規(guī)則。硬件防火墻130部署在主服務器140所在網絡上。當用戶得到權限分配后，可通過硬件防火墻130并訪問主服務器140上的相關數(shù)據(jù)信息。在未得到訪問權限分配時，用戶的訪問將被硬件服務器130所攔截。主服務器140用于提供數(shù)據(jù)信息訪問，主服務器140包括系統(tǒng)管理模塊，系統(tǒng)管理模塊用于修改主服務器中的第二從權限分配規(guī)則，第二從權限分配規(guī)則為主服務器中允許修改的從權限分配規(guī)則，從權限分配規(guī)則包括身份信息和與身份信息對應的從權限，從權限包括數(shù)據(jù)信息的使用權限和從權限分配規(guī)則的管理權限。

主權限分配規(guī)則主要包括用戶賬號、用戶角色和主權限。用戶賬號即用戶的登錄賬戶名；用戶角色比如系統(tǒng)管理員、部門管理員和普通用戶；主權限包括對應用戶角色下的登錄權限，可體現(xiàn)在不同的登錄權限對應不同的主服務器登錄管理界面。用戶賬號、用戶角色和用戶權限三者之間的關系可以是一一對應，也可以是一對多。例如，用戶賬號甲具有用戶權限a，對應于用戶權限a；用戶賬號乙具有用戶權限b，對應于用戶權限b。也可以是，用戶賬號甲具有用戶角色a和b，對應于用戶權限a和b。當某個用戶賬號需要進行用戶角色調整時，只需要在權限管理服務器上進行調整，其主權限也作相應修改。例如，用戶賬號甲的初始用戶角色為普通用戶，當需要修改為部門管理員時，系統(tǒng)管理員可在權限管理服務器上進行設置，將用戶賬號甲的用戶角色修改為部門管理員，其主權限也相應修改為部門管理員對應的權限。

權限管理服務器中的用戶賬號、用戶角色和主權限不允許外部網絡的訪問修改，而在本地工作環(huán)境下由系統(tǒng)管理員作統(tǒng)一修改和管理。當權限管理服務器中的用戶賬號、用戶角色或主權限被修改后，權限管理服務器中的用戶賬號、用戶角色信息將會替換更新主服務器中的用戶賬號和用戶角色信息。而主服務器中的從權限會根據(jù)用戶角色和主權限的修改情況有所不同。當用戶賬號對應的新用戶角色增加并且原用戶角色未被替換時，可在原從權限的基礎上增加新用戶角色對應的從權限。增加的從權限可以是初始的用戶角色所對應的從權限，也可以是類似崗位的用戶角色上復制來的從權限。當用戶賬號對應的新用戶角色替換原用戶角色時，新用戶角色對應的從權限替換原從權限。當刪除用戶賬號對應的用戶角色，被刪除用戶角色所對應的從權限也將刪除，剩余用戶角色所對應的用戶權限不受影響。當用戶賬號下的用戶角色被全部刪除時，該用戶賬號可訪問主服務器，但不具有管理權限和使用權限。

從權限分配規(guī)則主要包括用戶賬號、用戶角色和從權限。主服務器上的用戶賬號與權限管理服務器上的用戶賬號對應，主服務器上的用戶角色和權限管理服務器上的用戶角色對應。從權限涉及主服務器上內容的查閱、調整等的管理權限與使用權限。系統(tǒng)管理員可管理、查詢每個用戶的管理權限和使用權限，可隨時增加、減少某個用戶的權限。當發(fā)生異動時，系統(tǒng)管理員可直接禁止某個用戶或某個部門的權限活動。部門管理員可在其權限范圍內管理、查詢本部門用戶的管理權限和使用權限，可隨時增加、減少本部門用戶的權限。當發(fā)生異動時，部門管理員可禁止某個用戶或本部門的權限活動。普通用戶一般只具有使用權限而無管理權限?？筛鶕?jù)用戶角色的設定需要修改管理的層級，例如，按照管理層級將用戶角色依次設定為系統(tǒng)管理員、一級管理員、二級管理員、三級管理員、普通用戶。

優(yōu)選的，身份識別器為加密感應式id卡讀卡器，從而提升系統(tǒng)的安全性。用戶可使用加密感應式id卡在加密感應式id卡讀卡器上進行刷卡驗證，從而讀取用戶身份信息。當加密感應式id卡與加密感應式id卡讀卡器驗證不匹配時，加密感應式id卡讀卡器可不讀取加密感應式id卡上的用戶身份信息。

優(yōu)選的，權限管理服務器還包括用于對接收到的身份信息進行解密的解密模塊。當身份識別器獲取的身份信息為加密信息時，加密模塊將加密信息進行解密處理。根據(jù)解密的身份信息判斷用戶身份并對權限進行分配，并通過硬件防火墻訪問主服務器?？筛鶕?jù)使用的安全等級要求，定期更新加密感應式id卡和加密感應式id卡讀卡器之間的驗證信息。

優(yōu)選的，主服務器還包括目錄管理模塊，目錄管理模塊用于目錄的權限管理。用戶可在自身權限范圍內進行目錄調整，目錄調整的權限范圍包括查看目錄結構、創(chuàng)建目錄、刪除目錄和目錄映射等。目錄映射是指基礎目錄可快捷復制映射至其它目錄下。具體的，各用戶角色下的創(chuàng)建目錄形式為，系統(tǒng)管理員負責用戶目錄權限管理及整個目錄管理模塊的目錄權限管理，可創(chuàng)建目錄，并設置目錄的權限；部門管理員可以在系統(tǒng)管理員授權的目錄下創(chuàng)建子目錄，并設置創(chuàng)建子目錄的權限；普通用戶可以在部門管理員授權的目錄下進一步創(chuàng)建子目錄的權限。相類似的，查看目錄結構、刪除目錄和目錄映射等調整過程也可參照創(chuàng)建目錄形式的。

優(yōu)選的，主服務器還包括共享資料管理模塊，共享資料管理模塊用于共享資料的權限管理。共享資料調整的權限范圍包括共享資料的上傳、刪除、下載、編輯等。不同用戶角色擁有的調整權限不同，系統(tǒng)管理員負責用戶共享資料權限管理及整個共享資料管理模塊的共享資料權限管理；部門管理員在本部門目錄下具有上傳、刪除、下載、編輯資料的權限，并能設置普通用戶的權限；普通用戶具有資料上傳、下載的權限。

優(yōu)選的，共享資料管理模塊具有搜索功能子模塊。搜索功能子模塊用于搜索主服務器上的共享資料。其中，搜索功能可提供共享資料文件名、文件內容的模糊搜索功能，并提供文件格式、存放目錄、資料上傳時間等條件的高級搜索功能。搜索結果可以選擇根據(jù)文件格式、文件大小、資料上傳時間等進行排列。所有用戶可具有對模塊全部資料進行檢索的權限，也可在其查閱權限范圍內檢索共享資料。共享資料采用網頁展示方式，所有共享資料均可在線預覽。

優(yōu)選的，主服務器還包括事件記錄模塊，事件記錄模塊用于記錄權限管理的操作信息。權限管理的操作信息可包括新建目錄、刪除目錄和目錄映射等操作信息，以及共享資料的上傳、刪除、下載和編輯等操作信息。

如圖2所示，為本發(fā)明實施例提出的一種權限智能管理方法，該方法包括步驟：

s201、獲取用戶的身份信息；

s203、根據(jù)身份信息和主權限分配規(guī)則，分配與身份信息對應的主權限，主權限包括訪問權限和第一從權限分配規(guī)則的管理權限，第一從權限分配規(guī)則為第一設備內預設的從權限分配規(guī)則；

s205、根據(jù)訪問權限，判斷當前用戶是否需要通過驗證來訪問第二設備內的數(shù)據(jù)信息；若當前用戶具有訪問權限，則通過驗證并允許訪問數(shù)據(jù)信息；若當前用戶不具有訪問權限，則阻止訪問數(shù)據(jù)信息；

s207、結合第一從權限分配規(guī)則的管理權限，管理第二從權限分配規(guī)則，第二從權限分配規(guī)則為第二設備內允許修改的從權限分配規(guī)則，從權限分配規(guī)則包括身份信息和與身份信息對應的從權限，從權限包括數(shù)據(jù)信息的使用權限和從權限分配規(guī)則的管理權限。

主權限分配規(guī)則信息主要包括用戶賬號、用戶角色和主權限等信息。從權限分配規(guī)則信息主要包括用戶賬號、用戶角色和從權限等信息。從權限涉及主服務器上內容的查閱、調整等的管理權限與使用權限。

優(yōu)選的，當獲取的身份信息為加密信息時，對獲取的身份信息進行解密處理。

優(yōu)選的，管理第二從權限分配規(guī)則的步驟之前還包括搜索用戶賬號，查找與用戶賬號對應的第二從權限分配規(guī)則。

以上所述的具體實施例，對本發(fā)明的目的、技術方案和有益效果進行了進一步的詳細說明，應當理解，以上所述僅為本發(fā)明的具體實施例而已，并不用于限定本發(fā)明的保護范圍。特別指出，對于本領域技術人員來說，凡在本發(fā)明的精神和原則之內，所做的任何修改、等同替換、改進等，均應包含在本發(fā)明的保護范圍之內。