服务器远程管理卡登录管理方法和系统与流程

本发明涉及网络技术领域，特别涉及一种服务器远程管理卡登录管理方法和系统。

背景技术：

目前，很多互联网公司都拥有大量线上服务器，对于绝大多数服务器而言，除了内网地址、外网地址以外，一般还具有一个独立供电的物理模块，以保证在任何情况下都能够使运维人员登录到这些服务器上，这个模块一般被称为管理网络，实现这个模块功能的设备叫做远程管理卡。远程管理卡可以监视服务器的状态，对保障服务器的可用性至关重要。

在实际应用中，远程管理卡的内存和存储空间是极小的，厂家出于对芯片生产成本的考虑，难以通过定制化的方式来扩大内存和存储空间，因此只能记录少量的登录日志，若远程管理卡受到攻击，运维人员难以查找攻击来源，这存在严重的安全隐患。

技术实现要素：

本发明实施例的目的在于提供一种服务器远程管理卡登录管理方法和系统，以提高控制和管理服务器时的安全性。具体技术方案如下：

本发明公开了一种服务器远程管理卡登录管理方法，包括：

服务器的远程管理卡接收用户发送的登录请求信息；

所述远程管理卡向访问控制管理器发送权限查询请求，所述权限查询请求中包括所述用户的用户信息；

所述访问控制管理器根据所述用户的用户信息确定所述用户的登录权限，所述访问控制器中存储有所有有权限登录所述服务器的用户的登录权限；

所述访问控制器向所述远程管理卡发送所述用户的登录权限并存储所述权限查询请求；

所述远程管理卡根据所述用户的登录权限管理和控制所述用户登录和管理所述服务器。

所述访问控制管理器根据所述用户的用户信息确定所述用户的登录权限，可以包括：

可选的，若所述访问控制器中未存储所述用户的登录权限，则所述访问控制器根据所述用户的用户信息确定所述用户的登录权限，所述访问控制器中存储有所有能够连接所述服务器的用户的预授权信息，所述用户的预授权信息与所述用户的登录权限对应。

所述访问控制器根据所述用户的用户信息确定所述用户的登录权限之前，还可以包括：

所述访问控制器获取所有能够连接所述服务器的用户的用户信息，所述用户信息包括用户所属部门、用户的工号、用户的IP地址、用户的职位中的至少一种；

可选的，所述访问控制器根据所有能够连接所述服务器的用户的用户信息确定所有能够连接所述服务器的用户的预授权信息，所述预授权信息包括用户登录所述服务器的权限以及用户对所述服务器的管理和控制权限。

所述访问控制器向所述远程管理卡发送所述用户的登录权限并存储所述权限查询请求之后，还可以包括：

所述访问控制器根据存储的多个权限查询请求生成权限查询请求日志。

所述访问控制器向所述远程管理卡发送所述用户的登录权限，可以包括：

可选的，所述访问控制器通过LDAP协议报文向所述远程管理卡发送所述用户的登录权限。

本发明还提供了一种服务器远程管理卡登录管理系统，包括：远程管理卡和访问控制管理器；

在上述实施例中，所述远程管理卡，用于接收用户发送的登录请求信息，并向所述访问控制管理器发送权限查询请求，根据所述用户的登录权限管理和控制所述用户登录和管理所述远程管理卡管理的服务器；

所述访问控制管理器，根据所述用户的用户信息确定所述用户的登录权限，并存储有所有有权限登录所述服务器的用户的登录权限，向所述远程管理卡发送所述用户的登录权限并存储所述权限查询请求。

其中，所述访问控制管理器，具体用于若未存储所述用户的登录权限，则根据所述用户的用户信息确定所述用户的登录权限，所述访问控制管理器中存储有所有能够连接所述服务器的用户的预授权信息，所述用户的预授权信息与所述用户的登录权限对应。

所述访问控制管理器，还用于获取所有能够连接所述服务器的用户的用户信息，所述用户信息包括用户所属部门、用户的工号、用户的IP地址、用户的职位中的至少一种；根据所有能够连接所述服务器的用户的用户信息确定所有能够连接所述服务器的用户的预授权信息，所述预授权信息包括用户登录所述服务器的权限以及用户对所述服务器的管理和控制权限。

所述访问控制管理器，还用于根据存储的多个权限查询请求生成权限查询请求日志。

所述访问控制管理器，具体用于通过LDAP协议报文向所述远程管理卡发送所述用户的登录权限。

本发明实施例提供的服务器远程管理卡登录管理方法及系统，可以通过引入统一的访问控制管理器来管理远程管理卡的登录方法，实现了清晰的角色划分和权限控制；访问控制管理器还可以记录大量数据，将所有用户的权限查询请求都存储起来，生成权限查询请求日志，为日后远程管理卡受到攻击时查找攻击来源提供依据，这些都提高了控制和管理服务器时的安全性。当然，实施本发明的任一产品或方法必不一定需要同时达到以上所述的所有优点。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为现有技术用户申请登录服务器时的流程图；

图2为本发明实施例服务器远程管理卡登录管理的流程图；

图3为本发明实施例的远程管理卡对用户进行授权的流程图；

图4为本发明实施例的访问控制管理器生成权限查询请求日志的流程图；

图5为本发明实施例的系统结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

目前，对于拥有许多线上服务器的互联网公司而言，如何高效、安全的操作和管理这些服务器，是一个重要的问题。对于目前绝大多数线上服务器而言，除了内网地址、外网地址外，一般还具有一个独立供电的物理模块，以保证在任何情况下都能够使运维人员登录到此线上服务器，进行诸如重启、关机等操作，这个模块一般被称为管理网络，实现这个模块功能的物理设备叫远程管理卡。大多数的远程管理卡都支持角色划分和权限划分，但是在实际应用中，线上服务器数量众多，而且操作人员数量也众多，针对每台服务器都进行权限设置需要耗费大量人力，以至于难以实现，因此现在大部分使用远程管理卡的企业没有进行角色划分和权限控制，操作人员都具有所有的权限。

图1为现有技术中，用户申请登录服务器时的流程图。

步骤101，用户向远程管理卡发送登录请求信息。

当用户想要登录服务器时，会向远程管理卡发送登录请求信息，申请登录。

步骤102，远程管理卡接收用户发送的登录请求信息，并允许用户登录服务器。

接收用户发送的登录请求信息并确认用户是否可以登录，如果用户具有登录权限，用户可以直接登录服务器并对服务器进行控制和管理。目前，远程管理卡没有对用户进行角色划分各权限控制，所有申请登录服务器的用户都有权限登录服务器，控制和管理服务器。与此同时，远程管理卡的内存和存储空间是极小的，厂家出于对生产芯片成本的考虑，难以通过定制化的方式来扩大内存和存储空间，因此只能记录少量的登录日志，若远程管理卡受到攻击，运维人员难以查找攻击来源。

当所有操作人员都具有操作权限并且远程管理卡无法存储更多登录日志时，会给服务器的使用带来严重的安全隐患。

为了消除现有技术中存在的安全隐患，本发明实施例公开了一种服务器远程管理卡登录管理方法和系统，以下分别进行详细说明。

参见图2，图2为本发明实施例服务器远程管理卡登录管理的流程图，包括如下步骤：

步骤201，服务器的远程管理卡接收用户发送的登录请求信息。

本步骤中，当用户想要登录线上服务器，对服务器进行控制和管理时，需要通过远程管理卡来登录。用户向远程管理卡发送登录请求，远程管理卡接收用户发送的登录请求信息。具体的，用户发送的登录请求信息中，可以包括账号、密码、工号等，但不限于其中的某一种。

步骤202，远程管理卡向访问控制管理器发送权限查询请求，权限查询请求中包括用户的用户信息。

本步骤中，引入了访问控制管理器，访问控制管理器通常作为统一管理公司员工相关权限的工具。远程管理卡在接收了用户发送的登录请求之后，就会向访问控制管理器发送权限查询请求，这个权限查询请求中包括用户的用户信息。

可选的，用户的用户信息包括用户所属部门、用户的工号、用户的IP地址、用户的职位中的至少一种。

步骤203，访问控制管理器根据用户的用户信息确定用户的登录权限，访问控制器中存储有所有有权限登录服务器的用户的登录权限。

用户的登录权限是指该用户是否有权限登录服务器，还包括可以进行的操作权限。例如，增删查改等。访问控制管理器会根据用户所属的部门、用户的职位等信息会开放不同的操作权限。

访问控制管理器根据接收到的权限查询请求，其中包括了用户的用户信息来确定用户的登录权限。访问控制管理确定了用户的登录权限之后，可以快速反馈给远程管理卡来确定当前用户是否有权限登录。

可选的，若访问控制器中已经存储该用户的预授权信息，则远程管理卡可以根据预授权信息快速确定用户的登录权限，允许或者拒绝用户登录服务器。

可选的，若访问控制器中未存储用户的登录权限，则访问控制器根据用户的用户信息确定用户的登录权限，访问控制器中存储有所有能够连接服务器的用户的预授权信息，用户的预授权信息与用户的登录权限对应。其中，远程管理卡对于访问控制器中的所用用户，根据用户所属部门、用户的工号、用户的IP地址、用户的职位中的至少一种进行预授权，确定其可以开启的权限，例如删除，重启、修改等操作权限，当用户申请登录时，远程管理卡可以根据预授权情况快速确定权限。

步骤204，访问控制器向远程管理卡发送用户的登录权限并存储权限查询请求。

当用户向远程管理卡申请登录时，远程管理卡向访问控制器发送权限查询请求的同时，会进行缓存，当用户离开远程管理卡时，相关缓存信息不需要保留。在这个过程中，尽管远程管理卡依然无法记录足够多的数据，但是访问控制管理器能够将远程管理卡的查询请求存储起来。

步骤205，远程管理卡根据用户的登录权限管理和控制用户登录和管理服务器。

当访问控制管理器向远程管理卡发送用户的登录权限时，远程管理卡会根据权限内容允许或者拒绝用户的登录请求，并且限制权限。例如，当用户具有登录权限时，远程管理卡接收访问控制管理器发送的登录权限，并允许用户登录，用户登录之后可以访问服务器，实现管理和控制服务器。

可见，本发明实施例通过引入统一的访问控制管理器来管理远程管理卡的登录方法，实现了清晰的角色划分和权限控制，当用户申请登录服务器时，访问控制管理器和远程管理卡的二者结合工作管理了相关用户的操作权限，保证了服务器的安全性。

当用户不具有登录权限并向远程管理卡申请登录权限时，远程管理卡会根据用户的用户信息对用户进行授权。授权流程如下：

参见图3，图3为本发明实施例的远程管理卡对用户进行授权的流程图。

步骤301，用户向远程管理卡申请登录权限。

当用户不具有登录服务器的权限时，就会向远程管理卡申请登录权限。

步骤302，远程管理卡查看访问控制管理器中预授权情况。

在本步骤的具体实施例中，又包括如下步骤：

步骤302a，访问控制管理器中存储有用户的预授权信息，则远程管理卡根据预授权信息确定用户的登录权限。

本步骤中，在用户申请登录之前，远程管理卡已经对访问控制管理器中的所有人员，根据其用户信息对其进行预授权，这是为了方便远程管理卡可以根据预授权情况快速确定用户的登录权限。例如，当老员工申请登录服务器时，信息已经被存储在访问控制管理器中，并且远程管理卡已经对该员工进行了预授权，所以远程管理卡可以快速确定该员工的登录权限。

步骤302b，访问控制管理器中未存储用户的登录权限，则访问控制器根据用户的用户信息确定用户的登录权限。

当申请登录的用户的用户信息没有存储在访问控制管理器中时，例如新员工申请登录时，访问控制管理器会根据该员工的所属部门、工号、IP地址、职位等至少一种有效信息来确定用户的登录权限，即是否有权登录服务器。这个登录权限中还包括了对该员工可以开启的操作权限，例如可以对服务器进行哪些操作等。

步骤303，远程管理卡对具有登录权限的用户进行授权。

可见，本实施例中，对于所有申请登录服务器的用户，当访问控制管理器中存储有用户的预授权信息时，远程管理卡可以快速确定该员工的登录权限。当访问控制管理器中未存储用户的预授权信息时，访问控制器根据用户的用户信息确定用户的登录权限。访问控制管理器和远程管理卡的共同工作可以对所有用户实现权限控制，对所有请求登录服务器的用户进行权限划分。

但是在用户申请登录时，由于远程管理卡的内存和存储空间极小，无法记录大量的请求登录数据，当用户离开远程管理卡时，虽然远程管理卡不会保留相关记录但是访问控制管理器能够将远程管理卡的查询请求全部记录下来，为今后查找请求记录提供依据。下面将介绍访问控制管理器生成权限查询请求日志的过程。

参见图4，图4为本发明实施例的访问控制管理器生成权限查询请求日志的流程图。

步骤401，访问控制器向远程管理卡发送用户的登录权限并存储权限查询请求。

当用户向远程管理卡申请登录服务器时，远程管理卡不仅向访问控制器发送权限查询请求的同时，还会缓存登录日志，当用户离开远程管理卡时，相关缓存信息不需要保留。远程管理卡因为内存和存储空间极小，无法记录足够多的数据。但是在这一过程中，访问控制管理器能够将远程管理卡的权限查询请求存储起来。

步骤402，访问控制器根据存储的多个权限查询请求生成权限查询请求日志。

访问控制管理器可以记录大量数据，将所有用户的权限查询请求都存储起来，并且生成权限查询请求日志。这是为了便于若日后远程管理卡受到攻击时，可以根据访问控制管理器生成的权限查询请求日志来查找攻击来源，为消除安全隐患提供依据。

由此可见，引入访问控制管理器可以对用户的操作权限进行划分和控制，提高了服务器远程管理卡的管理效率，还可以记录大量的登录请求信息，生成登录请求日志，在日后远程管理卡受到攻击时，可以通过查找登录请求日志来查找攻击来源，这为解决服务器的安全问题提供依据。

图5为本发明实施例的系统结构示意图，如图5所示，该系统包括：远程管理卡501和访问控制管理器502；其中，

所述远程管理卡501，用于接收用户发送的登录请求信息，并向所述访问控制管理器502发送权限查询请求，根据所述用户的登录权限管理和控制所述用户登录和管理所述远程管理卡管理的服务器；

所述访问控制管理器502，根据所述用户的用户信息确定所述用户的登录权限，并存储有所有有权限登录所述服务器的用户的登录权限，向所述远程管理卡501发送所述用户的登录权限并存储所述权限查询请求。

进一步的，所述访问控制管理器502，用于若未存储所述用户的登录权限，则根据所述用户的用户信息确定所述用户的登录权限，所述访问控制管理器中存储有所有能够连接所述服务器的用户的预授权信息，所述用户的预授权信息与所述用户的登录权限对应。

进一步的，所述访问控制管理器502，还用于获取所有能够连接所述服务器的用户的用户信息，所述用户信息包括用户所属部门、用户的工号、用户的IP地址、用户的职位中的至少一种；根据所有能够连接所述服务器的用户的用户信息确定所有能够连接所述服务器的用户的预授权信息，所述预授权信息包括用户登录所述服务器的权限以及用户对所述服务器的管理和控制权限。

进一步的，所述访问控制管理器502，还用于根据存储的多个权限查询请求生成权限查询请求日志。

进一步的，所述访问控制管理器502，通过LDAP协议报文向所述远程管理卡501发送所述用户的登录权限。

本发明实施例提供的服务器远程管理卡登录管理系统，不仅可以实现对申请登录服务器的所有用户进行角色划分和权限控制，而且访问控制管理器还会存储所有的权限查询请求，生成权限查询请求日志，以便于日后远程管理卡受到攻击时，通过查找权限请求日志来查找攻击来源，这提高了管理服务器时的安全性。因此，跟现有技术相比，本发明提出的服务器远程管理卡登录管理系统，通过引入了统一的访问控制管理器，不仅能够对用户进行权限控制，还能存储所有的权限查询请求，这种管理方法更安全。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

本说明书中的各个实施例均采用相关的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于系统实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

以上所述仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等，均包含在本发明的保护范围内。