专利名称:业务信息系统访问权限控制方法及系统的制作方法
技术领域:
本发明涉及计算机通信技术,尤其涉及集中式业务信息系统的访问权限的控制方法和系统。
背景技术:
随着信息化在政府、机关、企业、高校等单位的不断深化,业务信息系统的集成逐渐成为一个关键点。假设,在单位的系统中有财务方面的业务信息系统、审计方面的业务信息系统、职员信息的业务信息系统。那么,针对单位系统中不同的业务信息系统,需要对不同的使用人员要建立不同的帐号,并分配不同的权限。例如,一个用户如果同时具有A、B 两个业务信息系统的访问权限,就需要分别在这两个业务信息系统中为这个人员建立账号并分配权限。用户需要使用不同的账号来登录这两个业务信息系统。明在业务信息系统繁多的情况下,使得对用户的帐号和权限的管理越来越繁琐、 容易造成混乱。同时,用户在不同业务信息系统之间进行切换时,需频繁输入帐号、密码等信息,也大大降低用户体验及工作效率,甚至是系统的稳定性。而且,各单位的信息化建设都是随着时间推移循序渐进地进行的。随着单位的信息化建设,在单位系统中还会不断增加各种业务信息系统。假设,随着信息化的深入还需要增加绩效考核方面的业务信息系统C,此用户也具有访问C的权限。那就还需要在业务信息系统C中为此用户再建立帐号并分配相应的权限,更增加单位系统对帐号管理的繁琐和混乱。综上所述,现有技术的业务信息系统的访问权限控制方法,对于不同的业务信息系统都需要为每个用户分配帐号和权限,容易造成访问权限的管理混乱、低效,同时,也导致用户的使用的不方便。用户不得不记住其使用的各业务信息系统的帐号和密码,在业务信息系统间切换时频繁输入帐号、密码等信息,也大大降低用户体验及工作效率,甚至是系统的稳定性。
发明内容
本发明实施例提供了一种业务信息系统访问权限控制系统及方法,用以提高管理业务信息系统访问权限的效率。一种业务信息系统访问权限控制方法,包括业务信息系统获取用户输入的登录信息后发送给认证网关,所述登录信息包括 账号、密码,以及该业务信息系统的访问权限请求信息;所述认证网关根据接收的账号,从账号信息表中查找出该账号的账号信息,将接收的信息与查找出的信息进行比较,得到验证结果后返回给所述业务信息系统,其中,所述账号信息表中所记录的每个账号的账号信息包括该账号的密码,该账号访问各业务信息系统的权限;所述业务信息系统根据返回的验证结果,确定该用户对本业务信息系统的访问权限。所述账号信息表为授权系统发送给所述认证网关的。在所述授权系统将所述账号信息表存储到所述认证网关之前还包括所述授权系统创建该用户账号信息所述授权系统接收为该用户创建的账号;并在确定创建的账号合法后,接收该账号的密码,以及设置的该账号访问各业务信息系统的权限;所述授权系统将创建的账号,以及该账号的账号信息对应记录到所述账号信息表中。在所述授权系统将所述账号信息表存储到所述认证网关之前还包括所述授权系统修改该用户账号信息所述授权系统接收输入的该用户的账号,以及业务信息系统访问权限的修改信息;所述授权系统根据输入的账号,从所述账号信息表中查找出该账号的账号信息, 修改该账号信息中相应业务信息系统的访问权限。一种业务信息系统访问权限控制系统,包括业务信息系统,用于获取用户输入的登录信息后发送;所述登录信息包括账号、 密码,以及该业务信息系统的访问权限请求信息;认证网关,用于接收所述登录信息;并根据接收的账号,从账号信息表中查找出该账号的账号信息,将接收的信息与查找出的信息进行比较,得到验证结果后返回给所述业务信息系统;其中,所述账号信息表中所记录的每个账号的账号信息包括该账号的密码, 该账号访问各业务信息系统的权限;所述业务信息系统根据返回的验证结果,确定该用户对本业务信息系统的访问权限。所述系统还包括授权系统,用于接收为该用户创建的账号;并在确定创建的账号合法后,接收该账号的密码,以及设置的该账号访问各业务信息系统的权限;所述授权系统将创建的账号,以及该账号的账号信息对应记录到所述账号信息表中后,将所述账号信息表发送给所述认证网关。所述授权系统还用于接收输入的该用户的账号,以及业务信息系统访问权限的修改信息;所述授权系统根据输入的账号,从所述账号信息表中查找出该账号的账号信息,修改该账号信息中相应业务信息系统的访问权限。本发明实施例的认证网关中的账号信息表记录了各账号的账号信息,而一个账号可以被授权访问多个业务信息系统。用户在登录业务信息系统时,由认证网关对用户使用的账号验证是否具有当前业务信息系统的权限。由于认证网关实现权限的统一集中验证, 避免用户针对每个业务信息系统还需使用不同账号、密码进行验证的分散管理。在多业务信息系统并用的情况下,大大提高了验证账号权限的管理效率,避免了账号管理混乱。而且,也大大改善了用户账号使用体验面对诸多业务信息系统,用户使用同一个账号便可具有相应的访问权限。进一步,本发明实施例由于还提供了统一授权账号的授权系统,可以实现创建帐
4号以及帐号的访问权限授权的统一集中管理。由授权系统生成的账号信息表记录了各账号的账号信息,而一个账号可以被授权访问多个业务信息系统。用户创建的账号可以被授权访问多个业务信息系统。由于授权系统实现账号的统一集中授权,避免用户针对每个业务信息系统还需创建不同账号的分散管理。在多业务信息系统并用的情况下,大大提高了账号创建、授权的管理效率,避免了账号管理混乱。而且,也大大改善了用户账号使用体验面对诸多业务信息系统,用户使用同一个账号便可具有相应的访问权限。
图1为本发明实施例的业务信息系统访问权限控制系统示意图;图2为本发明实施例的一个具体的账号信息表示意图;图3为本发明实施例的创建账号信息的方法流程图;图如为本发明实施例的修该账号信息的方法流程图;图4b为本发明实施例的修改后的账号信息表示意图;图5为本发明实施例的对用户登录业务信息系统进行访问权限控制的方法流程图。
具体实施例方式本发明实施例提供了一种集中式业务信息系统访问权限控制系统,如图1所示, 包括授权系统101、认证网关102,以及业务信息系统103。授权系统101完成对使用业务信息系统的人员分配相应的账号,并授予此账号可访问哪些业务信息系统的权限;认证网关102负责完成对账号、密码以及该账号是否有访问当前业务信息系统的权限进行验证。 在用户登入业务信息系统103时,业务信息系统103调用认证网关102的认证服务,完成对账号和权限的验证。本发明实施例的技术方案中通过建立授权系统101,实现对创建帐号以及帐号的访问权限授权的统一集中管理,而不需要业务信息系统自行创建帐号授予访问权限;通过建立认证网关102,实现权限的统一集中验证,不需要业务信息系统自身集成验证功能。而现有技术中,每个业务信息系统都具有自身的帐号授权、验证功能,却缺少统一的帐户管理。相比之下,本发明实施例的技术方案,将各业务信息系统的帐号授权功能集中到授权系统101,将各业务信息系统的帐号验证功能集中到认证网关102,实现了对各业务信息系统的帐号授权、验证的统一管理,大大提高账号的管理效率,也可改善用户的账号使用体验。下面详细介绍本发明实施例的技术方案。在授权系统101中,创建的帐号对应于现实中的使用业务信息系统的人员,该账号可以被授权访问多个业务信息系统。假设,有一个用户,需要使用多个业务信息系统,那么,针对该用户在授权系统101中创建一个账号,用户使用这个账号可以访问多个被授权的业务信息系统。这种方法,避免了现有技术中用户在需要使用多个业务信息系统时,不得不在每个业务信息系统中都要建立账号的情况,避免了账号管理的繁琐和混乱。具体的,如图2所示,授权系统101中维护一个“账号信息表”,表中记录了多个账号,以及针对每个账号还记录了与该账号对应的账号信息。一个账号的账号信息可以包括 该帐号的密码、该账号访问各业务信息系统的权限。这里需要指出的是,业务信息系统的权限可以是两级权限,也可以是多级权限。例如,两级权限分为“允许访问”权限、“不允许访问”的权限。多级权限中,则对用户操作业务信息系统的权限分了若干级,比如,最高级权限允许对业务信息系统中的所有信息进行修改操作,次高级别的权限允许对业务信息系统中的信息进行浏览,最低级别的权限则是不允许用户访问业务信息系统。例如,图2所示的 “账号信息表”中,账号为“WS 1”的用户被授权可以对财务信息系统、审计信息系统、绩效考核系统、产品库存信息系统具有修改编辑的访问授权;账号为“DJG”的用户,仅被授权“查看”财务信息系统、审计信息系统、绩效考核系统的访问权限,即可浏览财务信息系统、审计信息系统、绩效考核系统,而不能进行修改,但“DJG”的用户具有产品库存信息系统的“修改编辑”较高权限;账号为“RYE”的用户,则无财务信息系统、审计信息系统、绩效考核系统的访问权限,既不能查看也不能修改编辑财务信息系统、审计信息系统、绩效考核系统,“RYE” 的用户仅被授权“查看”产品库存信息系统的访问权限。针对授权系统101的账号信息表所进行的维护工作,包括创建账号信息、修改账
巧fn息。授权系统101中,在账号信息表中创建账号信息的过程,流程图如图3所示。在步骤S301中,授权系统101接收为用户创建的账号。在步骤S302中,授权系统101确定创建的账号是否合法。例如,判断接收的账号是否与账号信息表中其它账号相同;如相同,则不合法;再如,若输入的信息中有规定的非法字符,也可确定为非法。若确定不合法,授权系统101可重新接收账号,或退出创建过程。在步骤S303中,授权系统101在确定创建的账号合法后,接收该账号的密码,以及设置的该账号的各业务信息系统的访问权限。在步骤S304中,授权系统101将上述接收的信息,存储到账号信息表中后,将账号信息表发送给认证网关102。具体的,授权系统101将上述接收的信息,即创建的账号以及该账号的账号信息,对应存储到账号信息表中。授权系统101中,在账号信息表中修改账号信息的过程,流程图如图如所示。在步骤S401中,授权系统101接收输入的用户的账号,以及业务信息系统访问权限的修改信息。例如对于图2所示的账号信息表中,需要把账号为“HZQ”的“绩效考核信息系统”的访问权限修改为“编辑修改”,则向授权系统101输入账号“HZQ”,以及变更“绩效考核信息系统”的访问权限为“编辑修改”的修改信息。在步骤S402中,授权系统101根据输入的账号,从账号信息表中查找出该账号的
fn息ο在步骤S403中,授权系统101根据输入的业务信息系统访问权限的修改信息,对该账号的相应业务信息系统的访问权限进行修改。例如,图2所示的账号信息表,修改后如图4b所示,其中,“HZQ”账号的账号信息已经更改“绩效考核信息系统”的访问权限已被修改为“编辑修改”。授权系统101将修改后的账号信息表发送给认证网关102。当用户登录业务信息系统103时,对用户进行验证、访问权限控制的方法,流程如图5所示。在步骤S501中,业务信息系统103获取用户输入的登录信息后发送给认证网关 102。登录信息具体包括账号、密码、本业务信息系统的访问权限请求信息。例如,用户正在登录财务信息系统,其输入账号DJG、密码nmxbbms、请求的业务信息系统的访问权限为“查看”财务信息系统。如果,该业务信息系统为两级权限的业务信息系统,其向认证网关 102发送的登录信息中的本业务信息系统的访问权限请求信息具体可以是本业务信息系统的标识,而认证网关102接收到该业务信息系统的标识时,可以确认请求的权限为“允许访问”权限。如果,该业务信息系统为多级权限的业务信息系统,其向认证网关102发送的登录信息中的本业务信息系统的访问权限请求信息具体可以是本业务信息系统的某级权限, 如财务信息系统的“查看”权限。在步骤S502中,认证网关102根据接收的账号,从存储的账号信息表中查找出该账号的密码,以及该账号的业务信息系统的访问权限。例如,认证网关102根据接收的账号 DJG,从账号信息表中查找出DJG的账号信息,包括密码和账号DJG的业务信息系统的访问权限。在步骤S503中,认证网关102将接收的信息与查找出的信息进行比较,得到验证结果后返回给业务信息系统103。具体的,认证网关102将接收的密码与查找出的密码进行比较,将请求的业务信息系统的访问权限与查找出的账号信息中业务信息系统的访问权限进行比较。例如,假设认证网关102中存储的账号信息表如图2所示,则将认证网关102将接收的密码nnuAbms 与图2所示表中的DJG的密码相比较,确定密码验证通过;而认证网关102将请求的业务信息系统的访问权限,即请求的“查看”财务信息系统与图2所示表中的DJG的财务信息系统的访问权限“查看”相比,确定访问权限验证通过;从而认证网关102得到最终验证结果为验证通过,认证网关102将此验证结果返回给业务信息系统103。在步骤S504中,业务信息系统103根据返回的验证结果,确定该用户对本业务信息系统的访问权限。具体的,业务信息系统103接收的验证结果为验证通过,则允许用户对业务信息系统的访问;否则,禁止用户对业务信息系统的访问。本发明实施例的认证网关中的账号信息表记录了各账号的账号信息,而一个账号可以被授权访问多个业务信息系统。用户在登录业务信息系统时,由认证网关对用户使用的账号验证是否具有当前业务信息系统的权限。由于认证网关实现权限的统一集中验证, 避免用户针对每个业务信息系统还需使用不同账号、密码进行验证的分散管理。在多业务信息系统并用的情况下,大大提高了验证账号权限的管理效率,避免了账号管理混乱。而且,也大大改善了用户账号使用体验面对诸多业务信息系统,用户使用同一个账号便可具有相应的访问权限。进一步,本发明实施例由于还提供了统一授权账号的授权系统,可以实现创建帐号以及帐号的访问权限授权的统一集中管理。由授权系统生成的账号信息表记录了各账号的账号信息,而一个账号可以被授权访问多个业务信息系统。用户创建的账号可以被授权访问多个业务信息系统。由于授权系统实现账号的统一集中授权,避免用户针对每个业务信息系统还需创建不同账号的分散管理。在多业务信息系统并用的情况下,大大提高了账号创建、授权的管理效率,避免了账号管理混乱。而且,也大大改善了用户账号使用体验面对诸多业务信息系统,用户使用同一个账号便可具有相应的访问权限。本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,该程序可以存储于一计算机可读取存储介质中,如 ROM/RAM、磁碟、光盘等。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以作出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
权利要求
1.一种业务信息系统访问权限控制方法,包括业务信息系统获取用户输入的登录信息后发送给认证网关,所述登录信息包括账号、 密码,以及该业务信息系统的访问权限请求信息;所述认证网关根据接收的账号,从账号信息表中查找出该账号的账号信息,将接收的信息与查找出的信息进行比较,得到验证结果后返回给所述业务信息系统,其中,所述账号信息表中所记录的每个账号的账号信息包括该账号的密码,该账号访问各业务信息系统的权限;所述业务信息系统根据返回的验证结果,确定该用户对本业务信息系统的访问权限。
2.如权利要求1所述的方法,所述账号信息表为授权系统发送给所述认证网关的。
3.如权利要求2所述的方法,在所述授权系统将所述账号信息表存储到所述认证网关之前还包括所述授权系统创建该用户账号信息所述授权系统接收为该用户创建的账号;并在确定创建的账号合法后,接收该账号的密码,以及设置的该账号访问各业务信息系统的权限;所述授权系统将创建的账号,以及该账号的账号信息对应记录到所述账号信息表中。
4.如权利要求2所述的方法,在所述授权系统将所述账号信息表存储到所述认证网关之前还包括所述授权系统修改该用户账号信息所述授权系统接收输入的该用户的账号,以及业务信息系统访问权限的修改信息;所述授权系统根据输入的账号,从所述账号信息表中查找出该账号的账号信息,修改该账号信息中相应业务信息系统的访问权限。
5.一种业务信息系统访问权限控制系统,包括业务信息系统,用于获取用户输入的登录信息后发送;所述登录信息包括账号、密码,以及该业务信息系统的访问权限请求信息;认证网关,用于接收所述登录信息;并根据接收的账号,从账号信息表中查找出该账号的账号信息,将接收的信息与查找出的信息进行比较,得到验证结果后返回给所述业务信息系统;其中,所述账号信息表中所记录的每个账号的账号信息包括该账号的密码,该账号访问各业务信息系统的权限;所述业务信息系统根据返回的验证结果,确定该用户对本业务信息系统的访问权限。
6.如权利要求5所述的系统,其特征在于,还包括授权系统,用于接收为该用户创建的账号;并在确定创建的账号合法后,接收该账号的密码,以及设置的该账号访问各业务信息系统的权限;所述授权系统将创建的账号,以及该账号的账号信息对应记录到所述账号信息表中后,将所述账号信息表发送给所述认证网关。
7.如权利要求6所述的系统,其特征在于,所述授权系统还用于接收输入的该用户的账号,以及业务信息系统访问权限的修改信息;所述授权系统根据输入的账号,从所述账号信息表中查找出该账号的账号信息,修改该账号信息中相应业务信息系统的访问权限。
全文摘要
本发明公开了一种业务信息系统访问权限控制系统及方法。所述方法包括业务信息系统获取用户输入的登录信息后发送给认证网关;认证网关根据接收的登录信息中的账号,从账号信息表中查找出该账号的账号信息,将接收的信息与查找出的信息进行比较,得到验证结果后返回给所述业务信息系统,确定该用户是否具有本业务信息系统的访问权限。其中,账号信息表中所记录的每个账号的账号信息包括该账号的密码,该账号访问各业务信息系统的权限。由于认证网关实现了权限的统一集中验证,避免用户针对每个业务信息系统还需使用不同账号、密码进行验证的分散管理。在多业务信息系统并用的情况下,大大提高了验证账号权限的管理效率。
文档编号H04L29/06GK102438019SQ20111043590
公开日2012年5月2日 申请日期2011年12月22日 优先权日2011年12月22日
发明者何岩, 傅永财, 张勇, 朱春玲, 李淑惠, 王非, 贾晓霞, 郑扬飞, 郭红钰, 金辉 申请人:中国电子科技集团公司第十五研究所