一种基于URL的web应用权限访问控制系统及方法与流程

本发明属于网络科学领域，具体涉及一种基于url的web应用权限访问控制系统及方法。

背景技术：

随着信息时代的发展以及互联网技术的迅速普及，网络在人们的日常工作和生活中的应用越来越广泛，各个组织、企业为了维护自身web环境下的业务系统的安全，对系统内部员工或用户使用互联网的限制越来越高，对员工的web访问权限的控制也越来也严格，虽然在一定程度上加强了内部业务系统的安全，但也给业务人员以及用户的工作造成了不变。

技术实现要素：

针对现有技术中的上述不足，本发明提供的一种基于url的web应用权限访问控制系统及方法解决了现有技术中存在的问题。

为了达到上述发明目的，本发明采用的技术方案为：一种基于url的web应用权限访问控制系统，包括相互连接的管理中心和url权限控制器；

所述管理中心用于提供web业务访问入口，并进行业务维护与访问流程的全生命周期管控；所述url权限控制器用于创建在用户交互接口处的策略拦截点、控制策略解析及响应、用户请求url解析与判定、策略学习和url请求审计。

进一步地，所述管理中心包括用户身份管理模块、应用与账号管理模块、权限管理模块、单点登录模块和用户行为审计模块；

所述用户身份管理模块用于建立用户认证接口，建立自然人与web应用权限访问控制系统的唯一绑定关系；所述应用与账号管理模块用于集中托管业务应用与账号，通过业务应用添加接口进行业务应用维护；所述权限管理模块用于用户访问权限管理；所述单点登录模块用于地址请求和用户名密码自动填充；所述用户行为审计模块用于用户操作全过程的操作录像审计。

本发明的有益效果为：提供了一种web访问控制的系统，能够对访问者提出的url请求进行访问控制，可以对不同人员设置不同的权限，在保证系统数据安全的前提下，方便了工作人员进行访问操作。

一种基于url的web应用权限访问控制方法，包括以下步骤：

s1、通过管理中心创建访问者身份，并建立访问者的权限标记，得到访问者账号和权限策略；

s2、通过访问者账号发出访问请求，通过管理中心进行身份验证，获取访问者账号的权限策略；

s3、以通过身份验证的访问者账号触发单点登录，并通过管理中心解析权限策略，获取访问数据；

s4、将访问数据传输至url权限控制器，请求访问；

s5、通过url权限控制器对访问数据进行处理，为访问者进行请求页面或者拦截结果的转发，并对整个请求过程进行操作录像审计，完成web应用权限访问控制。

进一步地，所述步骤s1具体为：

s1.1、通过标记访问者的电话号码、邮箱和usb-key数据，建立自然人与业务账号的唯一绑定关系，得到访问者身份；

s1.2、建立访问者的权限标记，获取权限策略；

所述访问者身份还包括动态令牌，所述权限策略包括访问者能够获取的资源信息、用以访问业务的账号信息、能够访问的业务数据、访问模式、访问业务的时间范围和访问业务的地址范围信息。

进一步地，所述步骤s2中通过管理中心进行身份验证的具体方法为：对访问者的登录密码、动态令牌和usb-key数据进行验证；

所述步骤s2获取访问者账号的权限策略的具体方法为：获取权限策略中的访问时间和访问地址范围信息，根据权限策略进行业务资源和业务账号的动态加载。

进一步地，所述步骤s3中访问数据包括访问者信息、资源信息、访问模式和访问权限信息。

进一步地，所述步骤s5具体为：

s5.1、根据访问模式并通过url权限控制器进行策略重组，生成控制策略与学习策略；

s5.1、根据控制策略与学习策略，为访问者进行请求页面或者拦截结果的转发，并对整个请求过程进行操作录像审计，完成web应用权限访问控制。

进一步地，所述控制策略具体为：通过url权限控制器获取运维用户当前请求访问的url地址信息，并与权限策略进行匹配，将策略匹配结果作为控制决策的依据；若匹配成功，则通过url权限控制器为运维用户转发实际请求的页面数据；若策略匹配失败，则通过url权限控制器拦截运维用户的访问请求，并为运维用户返回权限错误。

进一步地，所述学习策略具体为：通过url权限控制器对访问者的access_url访问请求进行标记，待访问者进行访问后，根据访问结果对标记的access_url访问请求进行整合，获取符合访问者的访问习惯的权限策略，并记录访问者的访问轨迹，生成访问审计。

本发明的有益效果为：

(1)本发明采用了数据库权限控制应用代理技术，对业务系统url访问者进行身份认证，动态授权，口令校验，对用户的身份以及权限进行多重校验。

(2)本发明能够生成所有用户在业务系统中的url访问行为的审计信息，并上传至业务管理中心的用户行为审计模块，方便进行权限管理。

(3)本发明可通过数据库权限控制器中的学习模式，自主根据角色设置构建权限列表，方便灵活。

附图说明

图1为本发明提出的一种基于url的web应用权限访问控制系统示意图。

图2为本发明提出的一种基于url的web应用权限访问控制方法流程图。

具体实施方式

下面对本发明的具体实施方式进行描述，以便于本技术领域的技术人员理解本发明，但应该清楚，本发明不限于具体实施方式的范围，对本技术领域的普通技术人员来讲，只要各种变化在所附的权利要求限定和确定的本发明的精神和范围内，这些变化是显而易见的，一切利用本发明构思的发明创造均在保护之列。

下面结合附图详细说明本发明的实施例。

如图1所示，一种基于url的web应用权限访问控制系统，包括相互连接的管理中心和url权限控制器；

所述管理中心用于提供web业务访问入口，并进行业务维护与访问流程的全生命周期管控；所述url权限控制器用于创建在用户交互接口处的策略拦截点、控制策略解析及响应、用户请求url解析与判定、策略学习和url请求审计。

所述管理中心包括用户身份管理模块、应用与账号管理模块、权限管理模块、单点登录模块和用户行为审计模块；

所述用户身份管理模块用于建立用户认证接口，建立自然人与web应用权限访问控制系统的唯一绑定关系；所述应用与账号管理模块用于集中托管业务应用与账号，通过业务应用添加接口进行业务应用维护；所述权限管理模块用于用户访问权限管理；所述单点登录模块用于地址请求和用户名密码自动填充；所述用户行为审计模块用于用户操作全过程的操作录像审计。

在本实施例中，本发明采用了b/s架构，建立了一整套完善的web应用访问权限控制机制，用以保障业务系统的数据安全。

该机制主要包含：业务管理中心和url权限控制器，两者落地用户使用场景，通过正向代理的模式，介入应用访问流程，实现了业务系统中针对用户的url访问控制功能。

各功能模块的作用与工作原理如下：

管理中心：集成身份认证、数据托管、权限控制、单点登录、行为审计五大功能模块，形成业务访问唯一入口，建立贯穿业务维护与访问流程的全生命周期管控能力；

用户身份管理模块：建立用户统一认证接口，实现自然人与平台账号的唯一绑定关系。

应用与账号管理模块：集中托管业务应用与账号，通过业务应用添加接口进行业务应用维护，添加时，需指定应用名称(servicename)、应用地址(domain)、用户名称(account)、登录密码(passwd)、描述信息(desc)，进行绑定，提交应用托管，此时管理中心分配唯一应用标识(serviceid)，并完成入库，进行集中存储。

权限管理模块：包含用户访问权限管理与url控制权限管理，权限中标注了用户是否具备业务应用的访问权限，是在入口层进行了控制；url控制权限管理表示用户登录业务应用时，能够完成哪些url请求，是在访问交户层进行了控制。

在url权限控制管理时，管理中心通过应用id(serviceid)关联powerid实现控制权限策略的添加，powerid指向一条有效的权限控制策略；策略通过添加控制权限接口进行维护，其内容包含用户策略名称(powername)、url地址池(一组允许或禁止用户访问的url资源，地址池可通过人工维护的方式添加或删除，也可通过url权限控制器自动学习)，管理中心对用户提交的策略添加请求，分配权限id(powerid)，完成入库，进行集中存储；

在创建用户访问权限时，管理中心完成用户id(userid)与访问权限id(opereteeventid)的绑定，opereteeventid指向了一条有效的访问策略，策略通过访问策略添加接口进行维护，策略由应id(serviceid)、用户id(userid)、应用账号(account)、有效期(timerange)、控制权限id(powerid)、控制模式(status)组成，建立完整的业务应用访问权限。

单点登录模块：单点登录由地址请求与用户名密码自动填充两部分组成；

在地址请求过程中，主要完成了用户对目标应用的访问并将访问重定向到url权限控制中；用户触发单点登录时，携带用户id、请求地址、访问目标，管理中心依据用户id(userid)查询关联到此的访问权限策略(operateeventid)，解析timerange、powerid、serviceid的对应关系，策略匹配时，调用单点登录(sso)接口，sso模块通过remoteapp模式连接至正确配置了指向url权限控制器的正向代理浏览器(应用发布服务器)，完成业务应用(domain)的自动访问并返回用户交互接口；

用户名密码自动代填功能：通过浏览器插件实现，浏览器插件解析单点登录策略，读取account与passwd，并填充到请求页面的用户名与密码<input>标签中，实现自动登录。

用户行为审计模块：管理中心基于rdp协议，实现用户操作全过程的操作录像审计；

url权限控制器：创建在用户交互接口处的策略拦截点，负责控制策略解析及响应、用户请求url解析与判定(access_url_handle)、策略学习、url请求审计。

本发明提供了一种web访问控制的系统，能够对访问者提出的url请求进行访问控制，可以对不同人员设置不同的权限，在保证系统数据安全的前提下，方便了工作人员进行访问操作。

如图2所示，一种基于url的web应用权限访问控制方法，包括以下步骤：

s1、通过管理中心创建访问者身份，并建立访问者的权限标记，得到访问者账号和权限策略；

s2、通过访问者账号发出访问请求，通过管理中心进行身份验证，获取访问者账号的权限策略；

s3、以通过身份验证的访问者账号触发单点登录，并通过管理中心解析权限策略，获取访问数据；

s4、将访问数据传输至url权限控制器，请求访问；

s5、通过url权限控制器对访问数据进行处理，为访问者进行请求页面或者拦截结果的转发，并对整个请求过程进行操作录像审计，完成web应用权限访问控制。

所述步骤s1具体为：

s1.1、通过标记访问者的电话号码、邮箱和usb-key数据，建立自然人与业务账号的唯一绑定关系，得到访问者身份；

s1.2、建立访问者的权限标记，获取权限策略；

所述访问者身份还包括动态令牌，所述权限策略包括访问者能够获取的资源信息、用以访问业务的账号信息、能够访问的业务数据、访问模式、访问业务的时间范围和访问业务的地址范围信息。

所述步骤s2中通过管理中心进行身份验证的具体方法为：对访问者的登录密码、动态令牌和usb-key数据进行验证；

所述步骤s2获取访问者账号的权限策略的具体方法为：获取权限策略中的访问时间和访问地址范围信息，根据权限策略进行业务资源和业务账号的动态加载。

所述步骤s3中访问数据包括访问者信息、资源信息、访问模式和访问权限信息。

所述步骤s5具体为：

s5.1、根据访问模式并通过url权限控制器进行策略重组，生成控制策略与学习策略；

s5.1、根据控制策略与学习策略，为访问者进行请求页面或者拦截结果的转发，并对整个请求过程进行操作录像审计，完成web应用权限访问控制。

所述控制策略具体为：通过url权限控制器获取运维用户当前请求访问的url地址信息，并与权限策略进行匹配，将策略匹配结果作为控制决策的依据；若匹配成功，则通过url权限控制器为运维用户转发实际请求的页面数据；若策略匹配失败，则通过url权限控制器拦截运维用户的访问请求，并为运维用户返回权限错误。

所述学习策略具体为：通过url权限控制器对访问者的access_url访问请求进行标记，待访问者进行访问后，根据访问结果对标记的access_url访问请求进行整合，获取符合访问者的访问习惯的权限策略，并记录访问者的访问轨迹，生成访问审计。

(1)本发明采用了数据库权限控制应用代理技术，对业务系统url访问者进行身份认证，动态授权，口令校验，对用户的身份以及权限进行多重校验。

(2)本发明能够生成所有用户在业务系统中的url访问行为的审计信息，并上传至业务管理中心的用户行为审计模块，方便进行权限管理。

(3)本发明可通过数据库权限控制器中的学习模式，自主根据角色设置构建权限列表，方便灵活。