应用访问权限控制方法及装置的制造方法

应用访问权限控制方法及装置的制造方法
【技术领域】
[0001]本发明涉及网络通信技术领域，特别涉及一种应用访问权限控制方法及装置。
【背景技术】
[0002]随着企业规模和业务的发展，自带设备办公(BYOD, Bring Your Own Office)技术使办公人员可以在任何时间、任何地点处理与业务有关的任何事情成为可能。为了实现BY0D，企业通常需要将各种办公应用软件安装在远程应用服务器上，用户可以通过客户端实现对远程应用服务器上的应用的访问。
[0003]但是，不同的用户可以访问的应用权限可能不同，现有BYOD技术无法很好地对不同权限的用户进行控制和隔离，如此，给BYOD系统带来严重的安全隐患。

【发明内容】

[0004]有鉴于此，本发明提供一种应用访问权限控制方法及装置，以解决BYOD系统的安全性问题。
[0005]根据本发明实施例的第一方面，提供一种应用访问权限控制方法，所述方法应用在远程应用服务器上，所述方法包括:
[0006]获取应用权限管理服务器发送的用的授权应用消息；
[0007]根据所述用户的授权应用消息，为所述用户建立授权应用列表；
[0008]根据所述用户的授权应用列表，判断所述用户是否对正在访问的各个应用具有访问权限；
[0009]根据所述判断的结果，控制所述用户访问所述远程应用服务器上的应用。
[0010]根据本发明实施例的第二方面，提供一种应用访问权限控制方法，所述方法应用在应用权限管理服务器上，所述方法包括:
[0011]获取用户的授权应用消息；
[0012]向远程应用服务器发送用户的授权应用消息，以使所述远程应用服务器根据所述用户的授权应用消息，为所述用户建立授权应用列表，并根据所述用户的授权应用列表，判断所述用户是否对正在访问的各个应用具有访问权限。
[0013]根据本发明实施例的第三方面，提供一种应用访问权限控制装置，所述装置应用在远程应用服务器上，所述装置包括:
[0014]接收单元，用于接收应用权限管理服务器发送的用户的授权应用消息；
[0015]建立单元，用于根据所述用户的授权应用消息，为所述用户建立授权应用列表；
[0016]判断单元，用于根据所述用户的授权应用列表，判断所述用户是否对正在访问的各个应用具有访问权限；
[0017]控制单元，用于根据所述判断的结果，控制所述用户访问所述远程应用服务器上的应用。
[0018]根据本发明实施例的第四方面，提供一种应用访问权限控制装置，所述装置应用在应用权限管理服务器上，所述装置包括:
[0019]获取单元,用于获取用户的授权应用消息；
[0020]发送单元，用于向远程应用服务器发送所述用户的授权应用消息，以使所述远程应用服务器根据所述用户的授权应用消息，为所述用户建立授权应用列表，并根据所述用户的授权应用列表，判断所述用户是否对正在访问的各个应用具有访问权限。
[0021]综上所述，由于采用了上述技术方案，本发明的有益效果是:
[0022]本发明实施例中，远程应用服务器根据用户的授权应用消息，为用户建立授权应用列表，并根据用户的授权应用列表，判断用户是否对正在访问的各个应用具有访问权限，在用户对正在访问的应用不具有访问权限时限制该用户继续访问该应用，从而可以避免用户访问远程应用服务器上的非法应用，提高BYOD系统的安全性。
【附图说明】
[0023]图1是应用本发明实施例实现应用访问权限控制的场景示意图；
[0024]图2是本发明应用访问权限控制方法的一个实施例流程图；
[0025]图3是本发明应用访问权限控制方法的另一个实施例流程图；
[0026]图4是本发明应用访问权限控制方法的另一个实施例流程图；
[0027]图5是本发明应用访问权限控制装置所在设备的一种硬件结构图；
[0028]图6是本发明应用访问权限控制装置的一个实施例框图；
[0029]图7是本发明应用访问权限控制装置的另一个实施例框图。
【具体实施方式】
[0030]为了使本技术领域的人员更好地理解本发明实施例中的技术方案，并使本发明实施例的上述目的、特征和优点能够更加明显易懂，下面结合附图对本发明实施例中技术方案作进一步详细的说明。
[0031]参见图1，为应用本发明实施例实现应用访问权限控制的场景示意图。在图1中，该终端可以为手机、iPad、笔记本电脑等。该网络可以为通过VPN(Virtual PrivateNetwork，虚拟专用网络)方式接入的公共网络，或者通过Portal (进入)、802.1x方式接入的企业私有网络等；策略控制服务器可以包括接入管理服务器和应用权限管理服务器；第三方移动办公服务器可以包括远程应用服务器和Windows AD (active Directory,活动目录)域服务器。其中接入管理服务器可以为UAM(User Access Management,用户接入管理)服务器，应用权限管理服务器可以为EM0(Endpoint Mobile Office,移动办公)服务器,远程应用服务器可以为RDP(Remote Desktop Protocol,远程桌面协议)服务器,在远程应用服务器为RDP服务器时，第三方移动办公服务器中的各个远程应用服务器需要加入至统一的Windows AD域中。管理员通过应用权限管理服务器可以为每个用户设置各个应用的访问权限，在用户通过终端登录网络时，接入管理服务器对登录终端的用户进行认证；在用户认证成功后，应用权限管理服务器将用户的授权应用消息发送给远程应用服务器；远程应用服务器根据用户的授权应用消息，将用户的授权应用发布给终端，以使登录至该终端的用户可以访问远程应用服务器上的应用。
[0032]具体地，在本发明实施例中，远程应用服务器根据用户的授权应用消息，为该用户建立授权应用列表，并根据用户的授权应用列表，判断用户是否对正在访问的各个应用具有访问权限，在用户对正在访问的应用不具有访问权限时限制用户访问该应用，从而可以避免用户访问远程应用服务器上的非法应用，提高BYOD系统的安全性。
[0033]参见图2，为本发明应用访问权限控制方法的一个实施例的流程图，该实施例从远程应用服务器侧进行描述，包括以下步骤:
[0034]步骤201、获取应用权限管理服务器发送的用户的授权应用消息。
[0035]在本发明优选的实施例中，授权应用消息可以为应用名称、应用运行时所启动进程的进程名等。由于在用户首次上线前，管理员可以通过应用权限管理服务器为每个用户设置初始的授权应用，且在用户首次上线后，管理员可能通过应用权限管理服务器对该用户初始设置的授权应用进行调整，从而使用户的授权应用消息发生变化，因此EMO服务器通过在每次监测到用户上线时，周期性向远程应用服务器发送用户的授权应用消息，可以提高应用访问权限控制的准确度，从而进一步提高BYOD系统的安全性。其中，用户的授权应用消息，可以包括:在应用权限管理服务器上为用户初始设置的授权应用的授权应用消息；或者在应用权限管理服务器上调整为所述用户初始设置的授权应用后生成的更新的授权应用消息。
[0036]步骤202、根据用户的授权应用消息，为该用户建立授权应用列表。
[0037]步骤203、根据该用户的授权应用列表，判断该用户是否对正在访问的各个应用具有访问权限。
[0038]在本发明的优选实施例中，远程应用服务器首先判断是否到达预设的检查周期，然后在到达检查周期时，进一步判断用户是否正在访问远程应用服务器上的应用:若用户正在访问远程应用服务器上的应用，则依次判断用户正在访问的各个应用是否存在于用户的授权应用列表中，若该用户正在访问应用存在于该用户的授权应用列表中，则表示该用户对该应用具有访问权限；否则，表示该用户对该应用不具有访问权限。
[0039]由于用户在访问远程应用服务器上的应用的过程中，用户能够访问的应用权限可能发生变化，因此远程应用服务器通过周期性地判断用户是否对正在访问的各个应用具有访问权限，可以提高应用访问权限控制的准确度，从而