一种线上服务器授权管理方法及系统与流程

文档序号:11156641阅读:426来源:国知局
一种线上服务器授权管理方法及系统与制造工艺

本发明涉及网络技术领域,特别是涉及一种线上服务器授权管理方法和系统。



背景技术:

对于拥有大量线上服务器的互联网公司而言,几乎每时每刻都有运维人员操作这些服务器。目前,运维人员采用堡垒机加跳板机的模式来管理和控制服务器。堡垒机是一台安全控制机,可以对运维人员的运维操作进行审计和权限控制,所有需要访问服务器的运维人员都需要先访问堡垒机,堡垒机可对所有运维人员对服务器的操作做记录。如图1所示,当运维人员需要登录线上服务器时,先通过远程连接的方式登录至堡垒机上,再从堡垒机跳转至跳板机上,然后再由跳板机转至相应的线上服务器上。

由于实际应用中,有各种不同类型的线上服务器以及不同工作内容的运维人员,因此需要一个审批的流程来确定运维人员登录不同服务器的权限。现有技术方案如图2所示,运维人员首先进行申请,当上级服务器审批后,再将请求发送给堡垒机,与此同时,堡垒机会添加此运维人员的身份信息,并授予其相应的权限。在这个过程中,运维人员申请授权登录服务器的流程繁琐,需要多级审批,各种不同权限和不同类型的运维人员的身份信息都保存在堡垒机上,任何使用堡垒机的人员都能看到其他人员的账户信息,现有的服务器授权管理方法既繁琐又存在着一定的安全隐患。



技术实现要素:

本发明实施例的目的在于提供一种线上服务器授权管理方法和系统,可以简化登录授权的流程,并且提高了管理服务器时的安全性。具体技术方案如下:

本发明公开了一种线上服务器授权管理方法,包括:

服务器的堡垒机接收用户的登录授权请求信息;

所述堡垒机向访问控制管理器发送授权请求,所述授权请求中包括所述用户的身份验证信息;

所述访问控制管理器根据所述用户的身份验证信息确定所述用户的登录权限,所述访问控制管理器存储有所有有权限登录所述服务器的用户的登录授权信息;

所述访问控制管理器向所述堡垒机发送所述用户的登录授权信息;

所述堡垒机根据所述访问控制管理器发送的登录授权信息对所述用户授权。

具体的,所述访问控制管理器根据所述用户的身份验证信息确定所述用户的登录权限,包括:

若所述访问控制管理器中未存储所述用户的登录授权信息,则所述访问控制管理器根据所述用户的身份验证信息确定所述用户的登录权限,所述访问控制器中存储有所有能够连接所述服务器的用户的预授权信息,所述用户的预授权信息与所述用户的登录权限对应。

具体的,所述访问控制管理器根据所述用户的身份验证信息确定所述用户的登录权限之前,还包括:

所述访问控制管理器获取所有申请授权登录请求的用户的身份验证信息,所述身份验证信息包括用户所述部门、工号、IP地址、职位中的至少一种;

所述访问控制管理器根据申请登录授权的用户的身份验证信息确定所有能够连接所述服务器的用户的预授权信息,所述预授权信息包括用户登录所述服务器的权限以及用户对所述服务器的管理和控制权限。

具体的,所述访问控制管理器还用于存储所述用户的登录授权请求信息。

具体的,所述访问控制管理器向所述堡垒机发送所述用户的登录授权信息,包括:

所述访问控制管理器通过LDAP协议报文向所述堡垒机发送所述用户的登录授权信息。

本发明还公开了一种服务器授权管理系统,包括:堡垒机和访问控制管理器;

所述堡垒机,用于接收用户的登录授权请求信息,向访问控制管理器发送授权请求,所述授权请求中包括所述用户的身份验证信息,并根据访问控制管理器发送的登录授权信息向所述用户授权;

所述访问控制管理器,用于根据所述用户的身份验证信息确定所述用户的登录权限,所述访问控制管理器存储有所有有权限登录所述服务器的用户的登录授权信息,并向所述堡垒机发送所述用户的登录授权信息。

具体的,所述访问控制管理器,具体用于若未存储所述用户的登录授权信息,则根据所述用户的身份验证信息确定所述用户的登录权限,所述访问控制器中存储有所有能够连接所述服务器的用户的预授权信息,所述用户的预授权信息与所述用户的登录权限对应。

具体的,所述访问控制管理器,还用于获取所有申请授权登录请求的用户的身份验证信息,所述用户的身份验证信息包括用户所述部门、工号、IP地址、职位中的至少一种;根据申请登录授权的用户的身份验证信息确定所有能够连接所述服务器的用户的预授权信息,所述预授权信息包括用户登录所述服务器的权限以及用户对所述服务器的管理和控制权限。

具体的,所述访问控制管理器,还用于存储所述用户的登录授权请求信息。

具体的,所述访问控制管理器,具体通过LDAP协议报文向所述堡垒机发送所述用户的登录授权信息。

本发明实施例提供的服务器授权管理方法及系统,引入了访问控制管理器,访问控制管理器访问控制管理器会根据接收到的用户的身份验证信息来确定用户的登录权限,并向堡垒机发送登录授权请求信息,用户在获得授权后,才能登录服务器,可以快速实现用户的登录授权,减少了繁琐的审批流程。同时,用户的身份验证信息不再存储在堡垒机上,而是存储在访问控制管理器中,任何申请登录的用户无法在堡垒机上看到其他用户的身份信息,这提高了服务器的安全性能。当然,实施本发明的任一产品或方法必不一定需要同时达到以上所述的所有优点。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。

图1为现有技术中登录线上服务器的过程图;

图2为现有技术中堡垒机的权限申请流程图;

图3为本发明实施例服务器授权管理方法的流程图;

图4为本发明实施例服务器授权管理系统的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。

对于拥有大量线上服务器的互联网公司而言,每时每刻都有大量的运维人员控制和管理这些服务器。目前,运维人员大都采用堡垒机加跳板机的模式来控制和管理服务器。堡垒机是一台安全控制机,可以对运维人员的运维操作进行审计和权限控制,所有需要访问服务器的运维人员都需要先访问堡垒机,通过堡垒机来访问服务器,堡垒机可以对所有运维人员对服务器的操作做记录。

图1为现有技术中登录线上服务器的过程。

当运维人员需要登录线上服务器时,先通过远程连接的方式登录至堡垒机上,再从堡垒机跳转至跳板机上,然后再由跳板机转至相应的服务器上。在实际应用中,有各种不同类型的线上服务器以及不同工作内容的运维人员,因此需要一个审批的流程来确定运维人员登录不同服务器的权限。

图2为现有技术方案中堡垒机的授权申请流程图,当运维人员需要登录服务器时,

步骤201,向上级服务器进行申请。

步骤202,上级服务器审批后,运维人员再将请求发送给堡垒机。

步骤203,堡垒机向运维人员的上级服务器确认并通过申请。

步骤204,堡垒机添加此运维人员的身份信息,并授予其相应的权限。

步骤205,运维人员登录服务器。

在这个过程中,运维人员申情授权登录服务器的流程繁琐,需要多级审批,各种不同权限和不同类型的运维人员的身份信息都保存在堡垒机上,任何使用堡垒机的人员都能看到其他人员的账户信息,现有的服务器授权管理方法既繁琐又存在着一定的安全隐患。

为了简化服务器的授权流程,提高服务器的安全性,本发明实施例公开了一种线上服务器授权管理方法和系统,以下分别进行详细说明。

参见图3,图3为本发明实施例服务器授权管理方法的流程图,步骤分别为:

步骤301,服务器的堡垒机接收用户的登录授权请求信息。

本步骤中,当用户想要登录线上服务器时,需要先访问堡垒机,通过堡垒机来访问服务器,堡垒机是一台安全控制机,可以对用户的操作进行审计和权限控制。用户向堡垒机发送登录授权请求信息,堡垒机接收用户发送的登录授权请求信息。具体的,用户发送的登录授权请求信息中,可以包括用户所属部门、工号、IP地址、职位等,但不限于其中的某一种。

步骤302,堡垒机向访问控制管理器发送授权请求。

本步骤中,引入了访问控制管理器,访问控制管理器通常作为统一管理用户权限的工具。堡垒机在接收了用户发送的登录授权请求信息后,会向访问控制管理器发送授权请求,这个授权请求信息中包括了用户的身份验证信息。

可选的,用户的身份验证信息包括用户所述部门、工号、IP地址、职位中的至少一种。

步骤303,访问控制管理器根据用户的身份验证信息确定用户的登录权限,访问控制管理器存储有所有有权限登录服务器的用户的登录授权信息。

本步骤中,访问控制管理器接收堡垒机发送的用户的身份验证信息,根据用户的身份验证信息确定该用户是否有登录权限。其中,本步骤中还包括:

步骤303a,若访问控制管理器中未存储用户的登录授权信息,则访问控制管理器根据用户的身份验证信息确定用户的登录权限。

可选的,若访问控制器中未存储用户的登录授权信息,则可以根据用户的身份验证信息确定用户的登录权限以及开放权限的程度。访问控制管理器在接收了用户的身份验证信息以后,会根据用户信息中的部门、工号、IP地址、职位中的至少一种来确定用户是否有权限登录服务器。

步骤303b,若访问控制管理器中有存储用户的预授权信息,则访问控制管理器根据用户的预授权信息确定用户的登录权限。

可选的,若访问控制管理器中已经存储该用户的预授权信息,则可以根据预授权信息快速确定用户的登录权限,确定是否向该用户授权登录服务器。

可选的,访问控制管理器会存储所有用户的授权请求信息。

步骤304,访问控制管理器向堡垒机发送用户的登录授权信息。

根据上一步骤中访问控制管理器根据用户的身份验证信息确定该用户的登录权限后,会向堡垒机发送所有有权限登录服务器的用户的登录授权请求信息。

可选的,访问控制管理器通过LDAP协议报文向堡垒机发送用户的登录授权信息。

步骤305,堡垒机根据访问控制管理器发送的登录授权信息对用户授权。

本步骤中,当堡垒机接收访问控制管理器发送的关于用户的登录授权信息后,向用户授权,用户在获得授权后,才能登录服务器并且进行控制和管理服务器。

本发明实施例所公开的服务器授权管理方法通过引入访问控制管理器来快速实现用户的登录授权,访问控制管理器会根据接收到的用户的身份验证信息来确定用户的登录权限,并向堡垒机发送登录授权请求信息,用户在获得授权后,才能登录服务器。本发明与现有的登录授权过程相比较,不再需要多级审批,而是由堡垒机和访问控制管理器共同完成用户的审计和权限划分,本发明简化了登录授权流程。在用户申请授权登录时,用户的身份验证信息不再存储在堡垒机上,而是存储在访问控制管理器中,任何申请登录的用户无法在堡垒机上看到其他用户的身份信息,这提高了服务器的安全性能。

本发明还公开了一种线上服务器授权管理系统,下面进行详细说明。

图4为本发明实施例的系统结构示意图,该系统包括堡垒机401和访问控制管理402;

堡垒机401,用于接收用户的登录授权请求信息,并向访问控制管理器402发送授权请求,所述授权请求中包括用户的身份验证信息,并根据访问控制管理器402发送的登录授权信息对用户授权;

访问控制管理器402,用于根据用户的身份验证信息确定用户的登录权限,访问控制管理器存储有所有有权限登录所述服务器的用户的登录授权信息,并向堡垒机401发送用户的登录授权信息

具体的,访问控制管理器402,用于若未存储用户的登录授权信息,则根据用户的身份验证信息确定用户的登录权限,访问控制器中存储有所有能够连接服务器的用户的预授权信息,用户的预授权信息与用户的登录权限对应。

具体的,访问控制管理器402,还用于获取所有申请授权登录请求的用户的身份验证信息,用户的身份验证信息包括用户所述部门、工号、IP地址、职位中的至少一种;根据申请登录授权的用户的身份验证信息确定所有能够连接服务器的用户的预授权信息,预授权信息包括用户登录服务器的权限以及用户对服务器的管理和控制权限。

具体的,访问控制管理器402,还用于存储用户的登录授权请求信息。

具体的,访问控制管理器402通过LDAP协议报文向堡垒机401发送用户的登录授权信息。

本发明实施例提供的服务器授权管理系统,引入访问控制管理器,通过堡垒机和访问控制管理器的共同工作,实现了用户快速申请授权登录,访问控制管理器根据接收到的用户的身份验证信息来确定用户的登录权限,并向堡垒机发送登录授权请求信息,用户在这一过程中,不需要向上级服务器发送授权请求,省略了多次审批的繁琐流程。用户的身份验证信息不再存储在堡垒机中,而是存储在访问控制管理器中,当用户向堡垒机发送登录授权请求时,将看不到其他用户的身份信息,这保障了用户的信息不被泄露,提高了服务器的安全性。

需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。

以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围内。

当前第1页1 2 3 
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1