一种存储管理系统的访问控制方法及系统与流程

本发明涉及存储管理系统，特别涉及一种存储管理系统的访问控制方法及系统。

背景技术：

随着互联网的快速发展，网络攻击越发的普遍和频繁，网络的安全性也越来越受到重视。不法用户有可能会使用巨量的访问攻击手段，造成系统无法及时的响应请求，增加系统负担，使得系统反应延迟等风险。而一般的存储管理系统，由于使用的人员较少从而忽略了访问控制安全的设计。一些不法用户利用这一缺陷，便可以对数据进行恶意修改、泄露，甚至销毁，使用该存储管理系统的用户受到难以估量的损失。

技术实现要素：

有鉴于此，本发明的目的在于提供一种确保网络访问的安全性的存储管理系统的访问控制方法及系统。其具体方案如下：

一种存储管理系统的访问控制方法，包括：

设定用户访问规则；

当获取到用户终端发出的访问请求，则利用所述访问请求，对所述用户访问规则进行查询，以判断用户终端是否有访问权限，如果是，则允许用户终端对所述存储管理系统进行与访问权限相应的操作，如果否，则禁止用户终端对所述存储管理系统进行操作。

优选的，所述设定用户访问规则的过程，包括：

设定允许和/或禁止访问的用户名单，得到相应的白名单和/或黑名单。

优选的，设定允许访问的用户名单，得到相应的白名单的过程，包括：

对允许访问的用户终端的ip地址和/或允许访问时间段进行记录，得到所述白名单。

优选的，设定禁止访问的用户名单，得到相应的黑名单的过程，包括：

对禁止访问的用户终端的ip地址和/或禁止访问时间段进行记录，得到所述黑名单。

优选的，所述设定用户访问规则的过程，包括：

为所述白名单中的每一用户名单均设定相应的访问权限。

优选的，所述白名单中每一用户名单对应的访问权限包括只读权限和/或只写权限和/或读写权限和/或数据加密权限。

相应的，本发明还提供了一种存储管理系统的访问控制系统，该系统包括：

访问规则设定模块，用于设定用户访问规则；

访问控制模块，用于当获取到用户终端发出的访问请求，利用所述访问请求，对所述用户访问规则进行查询，以判断用户终端是否有访问权限，如果是，则允许用户终端对所述存储管理系统进行与访问权限相应的操作，如果否，则禁止用户终端对所述存储管理系统进行操作。

优选的，所述访问规则设定模块包括白名单创建单元和/或黑名单创建单元；其中，所述白名单创建单元，用于对允许访问的用户终端的ip地址和/或允许访问时间段进行记录，得到白名单；所述黑名单创建单元，用于对禁止访问的用户终端的ip地址和/或禁止访问时间段进行记录，得到黑名单。

优选的，所述白名单创建单元，用于为所述白名单中的每一用户名单均设定相应的访问权限。

优选的，所述白名单中每一用户名单对应的访问权限包括只读权限和/或只写权限和/或读写权限和/或数据加密权限。

本发明中，在对用户终端发起的访问请求进行响应之前，先设定了用户访问规则，后续便可利用上述用户访问规则，确定发起上述访问请求的用户终端是否具有访问权限，如果上述用户终端没有访问权限，则禁止用户终端对存储管理系统进行操作，由此可以避免存储管理系统中的数据遭到非法用户终端的访问攻击，从而使得存储管理系统的安全性获得了较大程度的提升。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。

图1为本发明实施例中第一种存储管理系统的访问控制方法的流程图；

图2为本发明实施例中第二种存储管理系统的访问控制方法的流程图；

图3为本发明实施例中第三种存储管理系统的访问控制方法的流程图；

图4为本发明实施例中第四种存储管理系统的访问控制方法的流程图；

图5为本发明实施例中第五种存储管理系统的访问控制方法的流程图；

图6为本发明实施例中一种存储管理系统的访问控制系统的结构图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明实施例公开了一种存储管理系统的访问控制方法，参见图1所示，包括：

s11：设定用户访问规则；

s12：当获取到用户终端发出的访问请求，则利用上述访问请求，对上述用户访问规则进行查询，以判断用户终端是否有访问权限；

s13：若判定用户终端具有访问权限，则允许用户终端对上述存储管理系统进行与访问权限相应的操作；

s14：若判定用户终端没有访问权限，则禁止用户终端对上述存储管理系统进行操作。

可以理解的是，在本实施例中，访问请求中具体包含可以用于验证用户终端是否具有访问权限的信息，该信息可以是用户终端的唯一性的标识信息，本实施例可以利用上述访问请求中的标识信息，对用户访问规则进行查询，如果从上述用户访问规则中查找到与上述标识信息对应的访问权限，则可允许用户终端对存储管理系统进行相应的操作，否则，便禁止用户终端对存储管理系统进行操作。其中，上述标识信息具体可以包括但不限于ip地址和/或mac地址(mac，即mediaaccesscontrol，物理地址)和/或手机号码等。

当然，上述访问请求中的用于验证用户终端是否具有访问权限的信息也可以是某种验证口令，例如数字口令或字符串口令，本实施例可以利用上述访问请求中的验证口令，对用户访问规则进行查询，如果从上述用户访问规则中查找出与上述验证口令对应的访问权限，则可允许用户终端对存储管理系统进行相应的操作，否则，便禁止用户终端对存储管理系统进行操作。

本发明实施例中，在对用户终端发起的访问请求进行响应之前，先设定了用户访问规则，后续便可利用上述用户访问规则，确定发起上述访问请求的用户终端是否具有访问权限，如果上述用户终端没有访问权限，则禁止用户终端对存储管理系统进行操作，由此可以避免存储管理系统中的数据遭到非法用户终端的访问攻击，从而使得存储管理系统的安全性获得了较大程度的提升。

本发明实施例公开了一种具体的存储管理系统的访问控制方法，相对于上一实施例，本实施例对技术方案作了进一步的说明和优化。参见图2所示，具体步骤包括：

s21：设定允许访问的用户名单，得到相应的白名单；

s22：当获取到用户终端发出的访问请求，则利用上述访问请求，对上述白名单进行查询；

s23：若查询到用户终端的ip地址在白名单中，则判定该用户终端具有访问权限，并允许用户终端对上述存储管理系统进行与白名单中访问权限相应的操作；

s24：若查询到用户终端的ip地址不在白名单中，则判定该用户终端没有访问权限，并禁止用户终端对上述存储管理系统进行操作。

本实施例中，上述设定允许访问的用户名单，得到相应的白名单的过程，具体可以包括：

对允许访问的用户终端的ip地址和/或允许访问时间段进行记录，得到上述白名单。

可以理解的是，本实施例需要为用户名单设定相应的访问权限，具体的，本实施例可以针对白名单设定相应的访问权限。也即，上述设定用户访问规则的过程，可以包括：

为上述白名单中的每一用户名单均设定相应的访问权限。

可以理解的是，上述白名单中，每一用户名单对应的访问权限包括只读权限和/或只写权限和/或读写权限和/或数据加密权限。

在本实施例中，用户名单中包含用户终端的ip地址由于每个用户终端的ip地址均不相同，所以通过为不同的ip地址分配相应的访问权限以及访问时间，便可实现对不同的用户终端设置相应的访问权限和访问时间的目的。本实施例中，访问权限包括但不限于以下几种：禁止访问，只读权限，只写权限，读写权限，数据加密权限。从上述访问权限中选择一种或多种访问权限作为白名单中的用户终端的访问权限。

可以理解的是，白名单中的用户拥有相应的访问权限，该访问权限可以包括只读权限和/或只写权限和/或读写权限和/或数据加密权限，上述的多项权限在系统设置时有针对性地选入白名单。例如在某一资料库存储系统中，仅选择只读权限和读写权限两种，读者只能获取只读权限，资料库管理员可以获取读写权限。再例如在某一内部比赛名单记录系统中，选择只读权限和只写权限两种，报名选手可以获取只写权限将自己的信息录入名单中，场内观众可以获取只读权限查询他人的信息。根据存储管理系统的需要和权限对应的用户终端数量，对权限进行设置选择。

本发明实施例公开了一种具体的存储管理系统的访问控制方法，相对于上一实施例，本实施例对技术方案作了进一步的说明和优化。参见图3所示，具体步骤包括：

s31：设定禁止访问的用户名单，得到相应的黑名单；

s32：当获取到用户终端发出的访问请求，则利用上述访问请求，对上述黑名单进行查询；

s33：若查询到用户终端的ip地址不在黑名单中，则判定该用户终端具有访问权限，并允许用户终端对上述存储管理系统进行与访问权限相应的操作；

s34：若查询到用户终端的ip地址在黑名单中，则判定该用户终端没有访问权限，并禁止用户终端对上述存储管理系统进行操作。

可以理解的是，本实施例在黑名单中写入的ip地址是禁止访问的用户终端的ip地址，更具体的，上述设定禁止访问的用户名单，得到相应的黑名单的过程，可以包括：

对禁止访问的用户终端的ip地址和/或禁止访问时间段进行记录，得到上述黑名单。

进一步的，对上述访问时间段的限制，允许用户选择时间控制，日期控制，星期控制。时间控制，是指从每天几点几分到几点几分允许或禁止访问；日期控制，是指从某天几点几分到某天几点几分允许或禁止访问；星期控制，是指每周周几到周几允许或禁止访问。在黑名单的时间段限制内禁止该黑名单上的用户ip地址对应的终端用户进行访问；在白名单的时间限制内允许该白名单上的用户ip地址对应的终端用户进行相应访问权限的操作。

本发明实施例公开了一种具体的存储管理系统的访问控制方法，相对于上一实施例，本实施例对技术方案作了进一步的说明和优化。参见图4所示，具体步骤包括：

s41：设定允许和禁止访问的用户名单，得到相应的白名单和黑名单；

s42：当获取到用户终端发出的访问请求，则利用上述访问请求，对上述白名单和黑名单进行查询，以判断用户终端的ip地址是否在白名单或黑名单中；

s43：若查询到用户终端的ip地址在白名单中，则判定用户终端具有第一访问权限，并允许用户终端对上述存储管理系统进行与第一访问权限相应的操作；

s44：若查询到用户终端的ip地址在黑名单中，则判定用户终端没有访问权限，并禁止用户终端对所述存储管理系统进行操作；

s45：若查询到用户终端的ip地址既不在白名单中，也不在黑名单中，则判定用户终端具有第二访问权限，并允许用户终端对上述存储管理系统进行与第二访问权限相应的操作。

本实施例将需要设定明确权限的终端用户加入白名单或黑名单，对于其他的访问终端用户设定同一个默认的访问权限。此时终端用户被分为三大类，第一类是黑名单上禁止访问的终端用户，第二类是白名单上分配了第一访问权限的终端用户，第三类是不在黑名单和白名单上的其他终端用户。第三类终端用户的访问权限同样是预先设置的第二访问权限，该访问权限等级在白名单和黑名单的用户访问权限等级之间，例如白名单权限为读写权限，黑名单为禁止访问，而第三类终端用户的访问权限是只读权限。

由于无法穷举所有访问存储系统的用户，且系统没有必要耗费时间以及成本来穷举所有访问用户，因此为不在黑名单和白名单上的用户设置统一的第二访问权限，从而形成简洁、具有层次的用户访问规则。

本发明实施例公开了一种具体的存储管理系统的访问控制方法，相对于上一实施例，本实施例对技术方案作了进一步的说明和优化。参见图5所示，具体步骤包括：

s51：设定允许和禁止访问的用户名单，得到相应的白名单和黑名单；

s52：当获取到用户终端发出的访问请求，判断启用的是黑名单还是白名单；

s53：利用上述访问请求，对启用的白名单或黑名单进行查询；

s54：若查询到启用白名单，且查询到用户终端的ip地址在白名单中，则判定用户终端具有访问权限，并允许用户终端对上述存储管理系统进行与白名单中访问权限相应的操作；

s55：若查询到启用白名单，且查询到用户终端的ip地址不在白名单中，则判定用户终端没有访问权限，并禁止用户终端对上述存储管理系统进行操作。

s56：若查询到启用黑名单，且查询到用户终端的ip地址在黑名单中，则判定用户终端没有访问权限，并禁止用户终端对所述存储管理系统进行操作；

s57：若查询到启用黑名单，且查询到用户终端的ip地址不在黑名单中，则判定用户终端具有访问权限，并允许用户终端对上述存储管理系统进行与该访问权限对应的操作。

可以看出，上述访问控制方法有两种访问规则，第一种是只开启白名单，第二种是只开启黑名单。当然，还可以有第三种访问规则，即同时开启白名单和黑名单。此时，在步骤s52中对访问规则进行判断，再进行下一步，利用用户终端ip地址，对访问规则进行查询即可，方法与第四个实施例类似。

本实施例中，可以选择不同的访问规则，存储管理系统具有多种访问管理方法，实现对存储数据内容访问的有效管理。

本发明实施例还公开了一种存储管理系统的访问控制系统，参见图6所示，该系统包括：

访问规则设定模块11，用于设定用户访问规则；

访问控制模块12，用于当获取到用户终端发出的访问请求，利用上述访问请求，对上述用户访问规则进行查询，以判断用户终端是否有访问权限，如果是，则允许用户终端对存储管理系统进行与访问权限相应的操作，如果否，则禁止用户终端对存储管理系统进行操作。

进一步的，所述访问规则设定模块可以包括白名单创建单元和/或黑名单创建单元；其中，白名单创建单元用于对允许访问的用户终端的ip地址和/或允许访问时间段进行记录，得到白名单；黑名单创建单元用于对禁止访问的用户终端的ip地址和/或禁止访问时间段进行记录，得到黑名单。

进一步的，所述白名单创建单元，可以用于为所述白名单中的每一用户名单均设定相应的访问权限，所述白名单中每一用户名单对应的访问权限可以包括只读权限和/或只写权限和/或读写权限和/或数据加密权限。

该存储管理系统的访问控制系统对来自外部的请求制定了限制规则，从而提升了存储管理系统使用时的安全性和可靠性，降低了使用风险。

最后，还需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

以上对本发明所提供的存储管理系统的访问控制方法及系统进行了详细介绍，本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。