服务器用户权限集中控制系统及方法

服务器用户权限集中控制系统及方法
【专利摘要】本发明提供了一种服务器用户权限集中控制系统。该系统通过部署多个验证服务器及至少一个控制服务器，其中，每一个验证服务器对应且通信连接多个业务服务器，所述控制服务器对应并通信连接至少一个验证服务器，在验证服务器中存储用户权限信息，验证服务器利用存储的用户权限信息对业务服务器的登陆用户进行权限验证，并利用控制服务器对验证服务器中存储的用户权限信息进行集中控制，实现了对服务器用户权限信息的简单的、精确的集中控制，且有效提高了业务服务器的安全性。本发明还提供一种服务器用户权限集中控制方法。
【专利说明】服务器用户权限集中控制系统及方法

【技术领域】
[0001]本发明涉及一种用户权限控制技术，特别涉及一种服务器用户权限集中控制系统及方法。

【背景技术】
[0002]Windows 活动目录(Windows Active Directory, Windows AD)是微软 WindowsServer中，负责架构中大型网络环境的集中式目录管理服务(Directory Services),从Windows 2000 Server产品开始，Windows AD自带于Windows Server产品中，它用于处理在组织中的网络对象，此处的对象可以是用户、组群、电脑、网域控制站、邮件、设置档、组织单元、树系等等，只要是在活动目录结构定义档(schema)中定义的对象,就可以存储在活动目录数据档中，并利用活动目录Service Interface来访问，实际上,许多活动目录的管理工具都是利用这个接口来调用并使用活动目录的数据。活动目录也被用为微软部分服务器软件与网域构连的数据结构，例如Microsoft Exchange Server 2003-2007,均使用AD(active directory,活动目录)来存储其个人信箱数据(通过创建新的活动目录Schema),并将AD列为建置Exchange Server的必要条件。
[0003]Windows AD的核心功能是管理大型网络中的资源，包括本方案中的用户资源，但其支持平台为Windows，不支持其他主流操作平台(例如，Linux平台)，仅适用少量的服务器的办公网络，且用户权限配置复杂。同时，其管理的用户权限信息保存于业务服务器中，处理保存的用户权限信息需要逐个处理，不能进行精确的用户权限信息的集中控制，且难以控制一个账号登陆系统架构内的所有业务服务器的情况，无法保证业务服务器的安全性。


【发明内容】

[0004]本发明提供一种服务器用户权限集中控制方法，以对服务器用户权限信息进行简单的、精确的集中控制，且提高业务服务器的安全性。
[0005]此外，还提供一种应用于该方法的系统，以对服务器用户权限信息进行简单的、精确的集中控制，且提高业务服务器的安全性。
[0006]一种服务器用户权限集中控制方法，该方法包括:验证服务器接收从控制服务器发送来的用户权限处理指令或者用户权限新增指令；验证服务器响应控制服务器发送的用户权限处理指令，对保存的用户权限信息进行处理，或者，验证服务器响应控制服务器发送的用户权限新增指令，保存新的用户权限信息；验证服务器将新增的用户权限信息或者处理后的用户权限信息同步给与该验证服务器通信连接的验证服务器。
[0007]—种应用于上述服务器用户权限集中控制方法的系统，该系统包括多个业务服务器，至少一个控制服务器，及多个验证服务器，其中:每一个验证服务器与多个业务服务器通信连接，所述控制服务器对应并通信连接至少一个验证服务器；控制服务器，用于向对应的验证服务器发送用户权限处理指令或者用户权限新增指令；验证服务器，用于保存用户权限信息，响应控制服务器发送的用户权限处理指令，对保存的用户权限信息进行处理，响应控制服务器发送的用户权限新增指令，保存新增的用户权限信息，将新增的用户权限信息或者处理后的用户权限信息同步给与该验证服务器通信连接的验证服务器。
[0008]一种服务器用户权限集中控制方法，该方法包括:控制服务器定时从配置服务器获取业务服务器的IP地址与业务模块的绑定数据，及用户的账号与业务模块的绑定数据；控制服务器根据获取的业务服务器的IP地址与业务模块的绑定数据，及用户的账号与业务模块的绑定数据，生成用户的账号与业务服务器的IP地址的映射数据；控制服务器将生成的用户的账号与业务服务器的IP地址的映射数据发送给对应的验证服务器以进行保存，并将所述映射数据同步给与该验证服务器通信连接的验证服务器。
[0009]一种服务器用户权限集中控制方法，该方法包括:控制服务器定时从配置服务器获取业务服务器的IP地址与业务模块的绑定数据；控制服务器根据自身保存的用户的账号与业务模块的绑定数据，及获取的业务服务器的IP地址与业务模块的绑定数据，生成用户的账号与业务服务器的IP地址的映射数据；控制服务器将生成的用户的账号与业务服务器的IP地址的映射数据发送给对应的验证服务器以进行保存，并将所述映射数据同步给与该验证服务器通信连接的验证服务器。
[0010]一种服务器用户权限集中控制方法，该方法包括:验证服务器接收从业务服务器发送来的用户权限验证请求；验证服务器响应从业务服务器发送来的用户权限验证请求，根据保存的用户权限信息验证登陆的用户的权限；验证服务器发送验证反馈信息给发送用户权限验证请求的业务服务器，以使发送用户权限验证请求的业务服务器接受或者拒绝当前用户的登陆。
[0011 ] 相较现有技术，本发明通过部署多个验证服务器及至少一个控制服务器，其中，每一个验证服务器对应且通信连接多个业务服务器，所述控制服务器对应并通信连接至少一个验证服务器，在验证服务器中存储用户权限信息，验证服务器利用存储的用户权限信息对业务服务器的登陆用户进行权限验证，并利用控制服务器对验证服务器中存储的用户权限信息进行集中控制，实现了对服务器用户权限信息的简单的、精确的集中控制，且有效提高了业务服务器的安全性。

【专利附图】

【附图说明】
[0012]图1为本发明服务器用户权限集中控制系统较佳实施例的系统架构示意图。
[0013]图2为本发明服务器群组中心LDAP服务器本地化的结构示意图。
[0014]图3为图1的控制服务器的较佳实施例的硬件架构图。
[0015]图4为图3的用户权限集中控制模块较佳实施例的子模块示意图。
[0016]图5为本发明利用图1的控制服务器对图1的LDAP服务器中的用户权限信息集中控制的方法较佳实施例的具体实施流程图。
[0017]图6为本发明利用图1的LDAP服务器对图1的业务服务器的用户登陆信息进行验证的方法较佳实施例的具体实施流程图。
[0018]图7为本发明利用图1的控制服务器及CMDB服务器，生成用户账号与业务服务器IP的映射数据的方法较佳实施例的具体实施流程图。
[0019]图8为图1的控制服务器提供的集中控制界面的权限查询操作子界面的示意图。
[0020]图9为图1的控制服务器提供的集中控制界面的临时登陆权限操作子界面的示意图。
[0021]本发明目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。

【具体实施方式】
[0022]应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。
[0023]名词解释:
[0024]LDAP:轻量目录访问协议，英文全称是Lightweight Directory AccessProtocol ο
[0025]LDAP服务器:提供LDAP服务的服务器。
[0026]业务服务器:非LDAP服务器，用于运行业务程序。
[0027]NSS:Linux/Unix下的名称解释服务。
[0028]PAM:可插拔身份验证模块，Linux/Unix系统作为用户和应用程序之间的中间层的安全验证机制。
[0029]CMDB:配置管理系统，指管理设备和业务模块映射的系统。
[0030]IDC中心:业务服务器群组中心，用于安置业务服务器及相关部件的设施中心。
[0031]如图1所示，为本发明服务器用户权限集中控制系统较佳实施例的系统架构示意图。该服务器用户权限集中控制系统用于对用户权限信息进行集中控制，其包括多个业务服务器5，至少一个控制服务器I (图中以I个为例)，及多个验证服务器3。其中，每一个验证服务器3对应多个业务服务器5，每一个验证服务器3与对应的各个业务服务器5通信连接，所述控制服务器I对应并通信连接至少一个验证服务器3。
[0032]进一步地，为了在对用户权限信息进行集中控制的过程中，避免一个账号登陆系统架构内的所有业务服务器5的情况发生，提高登陆的安全性，且实现用户与业务服务器5的映射精确控制，避免用户之间登陆业务服务器5的权限的混乱，该服务器用户权限集中控制系统还包括至少一个与控制服务器I通信连接的配置服务器(本实施例采用CMDB服务器)2，所述配置服务器(例如，CMDB服务器)2用于设置并保存业务服务器5的IP地址与业务模块的绑定数据(也可称为映射数据)，及/或用户的账号与业务模块的绑定数据。所述业务模块指软件程序系统，例如，即时通信软件系统、浏览器系统、游戏平台系统、支付系统坐寸ο
[0033]所述验证服务器指任意适用的能够实现用户权限验证的服务器，本实施例优选为LDAP服务器，例如，运行Linux/Unix系统的业务服务器5，则使用定制的NSS_ldap & PAM_Idap来通信连接对应的LDAP服务器3来进行用户权限的验证。所述用户指对特定的业务服务器5进行维护的人员。
[0034]进一步地，为了避免在用户登陆业务服务器5时，待登陆的业务服务器5需要跨地域连接对应的LDAP服务器以进行用户权限的验证，本实施例优选的方式是:为业务服务器5的群组中心(例如，图2所示的IDC中心6)设置本地的LDAP服务器3，IDC中心对应的本地的LDAP服务器3与其他地域的LDAP服务器3通信连接并保持数据同步(例如，图2所示的一个IDC中心6对应的本地的LDAP服务器3与另一个IDC中心6对应的本地的LDAP服务器3通信连接并保持数据同步)；用户在登陆IDC中心所属的每一个业务服务器5时，待登陆的业务服务器5优选连接IDC中心对应的本地的LDAP服务器3进行用户权限的验证。这样的优选方式有效提升了用户权限的验证性能并减少了跨地域的网络流量。在此不作赘述。
[0035]以下分别以实施例一、实施例二及实施例三来阐述该服务器用户权限集中控制系统各组成在系统架构中的功能。
[0036]实施例一(请参见图5所示的流程图):
[0037]控制服务器I向对应的LDAP服务器3发送用户权限处理指令或者用户权限新增指令；LDAP服务器3响应控制服务器I发送的用户权限处理指令，对保存的用户权限信息进行处理，或者，LDAP服务器3响应控制服务器I发送的用户权限新增指令，保存新的用户权限信息；LDAP服务器3将新增的用户权限信息或者处理后的且发生了改变的用户权限信息同步给其他LDAP服务器3。
[0038]所述用户权限信息包括账号、密码等任意适用的反映用户登陆业务服务器5的身份合法性的信息。为了避免一个账号登陆系统架构内的所有业务服务器5的情况发生，提高登陆的安全性，本实施例中，所述用户权限信息还包括用户的账号与业务服务器5的IP地址的映射数据。
[0039]所述用户权限处理指令包括用户权限信息查询指令、用户权限信息删除指令、用户权限信息修改指令及/或其他任意适用的用户权限信息处理指令。LDAP服务器3响应用户权限信息查询指令不会导致用户权限信息的改变，因此，LDAP服务器3响应用户权限信息查询指令后并不会与其他LDAP服务器3进行数据同步。
[0040]实现控制服务器I向LDAP服务器3发送用户权限处理指令或者用户权限新增指令的方式，例如，可以是:
[0041]控制服务器I提供并显示对用户权限信息进行人机交互操作的集中控制界面(例如，图8及图9所示的集中控制界面)；控制服务器I侦测并接收控制服务器I的操作员基于所述集中控制界面发送的各个用户权限处理指令或者新增指令；控制服务器I将接收的用户权限处理指令或者新增指令，发送给对应的LDAP服务器3。
[0042]如图8示意的集中控制界面的权限查询操作子界面，当用户点击了控制服务器I提供的集中控制界面的“权限查询”功能按钮后，则进入了集中控制界面的权限查询操作子界面，该权限查询操作子界面包括用户名输入框及其对应的查询按钮，权限查询结果显示框，用户名更改按钮，用户密码修改按钮，权限修改按钮，数据导入按钮等。例如，当操作员在用户名输入框输入待查询的用户名(例如，“SimonGao”)后，操作员点击该用户名输入框对应的查询按钮“点击查询”，即相当于通过所述集中控制界面向对应的LDAP服务器3发送输入的用户名“SimonGao”对应的用户权限信息的查询指令；LDAP服务器3响应用户名“SimonGao”对应的用户权限信息的查询指令，以获取保存的与用户名“SimonGao”对应的可登录的服务器的IP地址，并反馈给所述集中控制界面的权限查询结果显示框进行显示(例如，图 8 所示的“10.10.10.21，，、“ 10.20.10.33，，、“ 10.20.10.45，，、“20.20.10.45”)。所述数据导入按钮用于少量导入(例如，一次最多导入10条用户权限信息)用户权限信息，及/或批量导入(例如，批量导入预设格式的文件中的用户权限信息)用户权限信息给LDAP服务器3。
[0043]如图9示意的集中控制界面的临时登陆权限操作子界面，当用户点击了控制服务器I提供的集中控制界面的“临时登陆权限”功能按钮后，则进入了集中控制界面的临时登陆权限操作子界面，该临时登陆权限操作子界面包括用户名输入框，临时权限设置框“权限设置”，权限分配按钮“分配权限”，临时权限新增按钮“点击新增”，期限设置框“期限”，数据导入按钮等。例如，操作员在用户名输入框输入待设置临时权限的用户名(例如，“tomzhou”)，并在临时权限设置框“权限设置”设置可登录的服务器的IP地址(例如，“10.10.10.10”)，在期限设置框“期限”设置临时权限的期限(例如，一天)后，点击临时权限新增按钮“点击新增”，即相当于通过所述集中控制界面向对应的LDAP服务器3发送输入的用户名“tomzhou”及其对应的临时用户权限信息的新增指令，LDAP服务器3响应用户名“tomzhou”及其对应的临时用户权限信息的新增指令，以保存新的用户名“tomzhou”的临时用户权限信息，并将新的用户名“tomzhou”的临时用户权限信息同步给其他LDAP服务器
3。所述数据导入按钮用于少量导入(例如，一次最多导入10条用户权限信息)用户权限信息，及/或批量导入(例如，批量导入预设格式的文件中的用户权限信息)用户权限信息给对应的LDAP服务器3。
[0044]实施例二 (请参见图6所示的流程图):
[0045]业务服务器5接受用户登陆，并在用户登陆时向对应的LDAP服务器3发送用户权限验证请求；LDAP服务器3响应从业务服务器5发送来的用户权限验证请求，根据保存的用户权限信息验证登陆的用户的权限；LDAP服务器3发送验证反馈信息给发送用户权限验证请求的业务服务器5，以使发送用户权限验证请求的业务服务器5接受或者拒绝当前用户的登陆。
[0046]所述用户权限验证请求包括当前登陆用户的账号、密码等需要进行验证的用户信息。若LDAP服务器3保存的用户账号中不存在当前登陆用户的账号，或者，当前登陆用户的密码与LDAP服务器3保存的当前登陆用户的账号对应的密码不一致，则LDAP服务器3发送验证反馈信息给发送用户权限验证请求的业务服务器5，以使发送用户权限验证请求的业务服务器5拒绝当前用户的登陆；若LDAP服务器3保存的用户账号中存在当前登陆用户的账号，且，当前登陆用户的密码与LDAP服务器3保存的当前登陆用户的账号对应的密码一致，则LDAP服务器3发送验证反馈信息给发送用户权限验证请求的业务服务器5，以使发送用户权限验证请求的业务服务器5接受当前用户的登陆。
[0047]进一步地，为了避免一个账号登陆系统架构内的所有业务服务器5的情况发生，提高登陆的安全性，本实施例中，所述用户权限验证请求还包括发送用户权限验证请求的业务服务器5的IP地址。LDAP服务器3还根据保存的用户的账号与业务服务器5的IP地址的映射数据，来验证与当前登陆用户的账号映射的业务服务器5的IP地址中是否包括发送用户权限验证请求的业务服务器5的IP地址；若当前登陆用户的账号映射的业务服务器5的IP地址中不包括发送用户权限验证请求的业务服务器5的IP地址，则LDAP服务器3发送验证反馈信息给发送用户权限验证请求的业务服务器5，以使发送用户权限验证请求的业务服务器5拒绝当前用户的登陆；若LDAP服务器3保存的用户账号中存在当前登陆用户的账号，当前登陆用户的密码与LDAP服务器3保存的当前登陆用户的账号对应的密码一致，且，当前登陆用户的账号映射的业务服务器5的IP地址中包括发送用户权限验证请求的业务服务器5的IP地址，则LDAP服务器3发送验证反馈信息给发送用户权限验证请求的业务服务器5，以使发送用户权限验证请求的业务服务器5接受当前用户的登陆。
[0048]实施例二(请参见图7所不的流程图):
[0049]方案一、CMDB服务器2保存有业务服务器5的IP地址与业务模块的绑定数据(例如，一个业务服务器5的IP地址是“10.10.10.21”，该业务服务器5运行的业务模块是“即时通信软件系统”，则IP地址“10.10.10.21”与“即时通信软件系统”的绑定数据保存在CMDB服务器2中)，及用户的账号与业务模块的绑定数据(例如，一个用户账号是“SimonGao”，该用户账号属于业务模块“游戏平台系统”的注册账号名，则用户账号“SimonGao”与“游戏平台系统”的绑定数据保存在CMDB服务器2中):控制服务器I定时从CMDB服务器2获取业务服务器5的IP地址与业务模块的绑定数据，及用户的账号与业务模块的绑定数据；控制服务器I根据获取的业务服务器5的IP地址与业务模块的绑定数据，及用户的账号与业务模块的绑定数据，生成用户的账号与业务服务器5的IP地址的映射数据；控制服务器I将生成的用户的账号与业务服务器5的IP地址的映射数据发送给对应的LDAP服务器3 ；LDAP服务器3接收并保存从控制服务器I发送来的所述映射数据，并将所述映射数据同步给其他LDAP服务器3。
[0050]方案二、CMDB服务器2保存有业务服务器5的IP地址与业务模块的绑定数据，控制服务器I保存有用户的账号与业务模块的绑定数据:控制服务器I定时从CMDB服务器2获取业务服务器5的IP地址与业务模块的绑定数据；控制服务器I根据自身保存的用户的账号与业务模块的绑定数据，及获取的业务服务器5的IP地址与业务模块的绑定数据，生成用户的账号与业务服务器5的IP地址的映射数据；控制服务器I将生成的用户的账号与业务服务器5的IP地址的映射数据发送给对应的LDAP服务器3 ；LDAP服务器3接收并保存从控制服务器I发送来的所述映射数据，并将所述映射数据同步给其他LDAP服务器3。[0051 ] 进一步地，控制服务器I定时从CMDB服务器2获取业务服务器5的IP地址与业务模块的绑定数据，及/或用户的账号与业务模块的绑定数据的步骤还可以替换为=CMDB服务器2实时或定时分析保存的业务服务器5的IP地址与业务模块的绑定数据，及/或用户的账号与业务模块的绑定数据是否发生了改变；在保存的业务服务器5的IP地址与业务模块的绑定数据，及/或用户的账号与业务模块的绑定数据发生了改变时，CMDB服务器2向控制服务器I发送数据接收请求；控制服务器I响应CMDB服务器2发送的数据接收请求，从CMDB服务器2接收业务服务器5的IP地址与业务模块的绑定数据，及/或用户的账号与业务模块的绑定数据。
[0052]如图3所示，为图1的控制服务器的较佳实施例的硬件架构图。该控制服务器I包括至少一个处理单元10 (图中仅示意出一个)、存储单元11、输入/输出单元13及用户权限集中控制模块12。
[0053]该用户权限集中控制模块12，用于提供对用户权限信息进行人机交互操作的集中控制界面(例如，图8及图9所示的集中控制界面)，以供用户输入指令。
[0054]该输入/输出单元13，用于显示该用户权限集中控制模块12提供的集中控制界面，且输出显示用户输入指令的响应数据。
[0055]该存储单元13，用于存储该用户权限集中控制模块12所对应的程序指令及该用户权限集中控制模块12的运行数据。所述存储单元13指计算机可读存储介质，例如，硬盘、U盘、移动硬盘等。
[0056]所述至少一个处理单元10，用于调用并执行该用户权限集中控制模块12，以实现对用户权限信息的集中控制。
[0057]如图4所示，为图3的用户权限集中控制模块较佳实施例的子模块示意图。该用户权限集中控制模块12包括权限处理子模块121，还可以包括数据导入子模块122。
[0058]该权限处理子模块121，用于向对应的LDAP服务器3发送用户权限处理指令或者用户权限新增指令。
[0059]所述数据导入子模块122，用于导入用户权限信息，并将导入的用户权限信息发送给控制服务器I对应的LDAP服务器3。在本实施例中，所述数据导入子模块122用于少量导入(例如，一次最多导入10条用户权限信息)用户权限信息，及/或批量导入(例如，批量导入预设格式的文件中的用户权限信息)用户权限信息给对应的LDAP服务器3。
[0060]进一步地，该用户权限集中控制模块12还包括数据接收子模块120，用于:定时从CMDB服务器2获取业务服务器5的IP地址与业务模块的绑定数据，及用户的账号与业务模块的绑定数据；根据获取的业务服务器5的IP地址与业务模块的绑定数据，及用户的账号与业务模块的绑定数据，生成用户的账号与业务服务器5的IP地址的映射数据；将生成的用户的账号与业务服务器5的IP地址的映射数据发送给对应的LDAP服务器3。
[0061]或者，该用户权限集中控制模块12还包括数据接收子模块120，用于:定时从CMDB服务器2获取业务服务器5的IP地址与业务模块的绑定数据，及读取控制服务器I保存的用户的账号与业务模块的绑定数据；根据获取的业务服务器5的IP地址与业务模块的绑定数据，及读取的用户的账号与业务模块的绑定数据，生成用户的账号与业务服务器5的IP地址的映射数据；将生成的用户的账号与业务服务器5的IP地址的映射数据发送给对应的LDAP服务器3。
[0062]进一步地，所述数据接收子模块120获取业务服务器5的IP地址与业务模块的绑定数据，及/或用户的账号与业务模块的绑定数据的方式为:响应CMDB服务器2发送的数据接收请求，从CMDB服务器2接收业务服务器5的IP地址与业务模块的绑定数据，及/或用户的账号与业务模块的绑定数据。
[0063]以上仅为本发明的优选实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的【技术领域】，均同理包括在本发明的专利保护范围内。
【权利要求】
1.一种服务器用户权限集中控制方法，其特征在于，该方法包括: 验证服务器接收从控制服务器发送来的用户权限处理指令或者用户权限新增指令；验证服务器响应控制服务器发送的用户权限处理指令，对保存的用户权限信息进行处理，或者，验证服务器响应控制服务器发送的用户权限新增指令，保存新的用户权限信息；验证服务器将新增的用户权限信息或者处理后的用户权限信息同步给与该验证服务器通信连接的验证服务器。
2.如权利要求1所述的方法，其特征在于，该方法还包括: 控制服务器定时从配置服务器获取业务服务器的IP地址与业务模块的绑定数据，及用户的账号与业务模块的绑定数据； 控制服务器根据获取的业务服务器的IP地址与业务模块的绑定数据，及用户的账号与业务模块的绑定数据，生成用户的账号与业务服务器的IP地址的映射数据； 控制服务器将生成的用户的账号与业务服务器的IP地址的映射数据发送给对应的验证服务器以进行保存，并将所述映射数据同步给与该验证服务器通信连接的验证服务器。
3.如权利要求1所述的方法，其特征在于，该方法还包括: 控制服务器定时从配置服务器获取业务服务器的IP地址与业务模块的绑定数据；控制服务器根据自身保存的用户的账号与业务模块的绑定数据，及获取的业务服务器的IP地址与业务模块的绑定数据，生成用户的账号与业务服务器的IP地址的映射数据；控制服务器将生成的用户的账号与业务服务器的IP地址的映射数据发送给对应的验证服务器以进行保存，并将所述映射数据同步给与该验证服务器通信连接的验证服务器。
4.如权利要求1所述的方法，其特征在于，该方法还包括: 验证服务器接收从业务服务器发送来的用户权限验证请求； 验证服务器响应从业务服务器发送来的用户权限验证请求，根据保存的用户权限信息验证登陆的用户的权限； 验证服务器发送验证反馈信息给发送用户权限验证请求的业务服务器，以使发送用户权限验证请求的业务服务器接受或者拒绝当前用户的登陆。
5.一种应用于权利要求1至4任一项所述的服务器用户权限集中控制方法的系统，其特征在于，该系统包括多个业务服务器，至少一个控制服务器，及多个验证服务器，其中: 每一个验证服务器与多个业务服务器通信连接，所述控制服务器对应并通信连接至少一个验证服务器； 控制服务器，用于向对应的验证服务器发送用户权限处理指令或者用户权限新增指令； 验证服务器，用于保存用户权限信息，响应控制服务器发送的用户权限处理指令，对保存的用户权限信息进行处理，响应控制服务器发送的用户权限新增指令，保存新增的用户权限信息，将新增的用户权限信息或者处理后的用户权限信息同步给与该验证服务器通信连接的验证服务器。
6.如权利要求5所述的系统，其特征在于，所述验证服务器还用于根据保存的用户权限信息、新增的用户权限信息及处理后的用户权限信息对业务服务器的登陆用户的用户权限的合法性进行验证。
7.如权利要求5所述的系统，其特征在于，该系统还包括至少一个与所述控制服务器通信连接的配置服务器，所述配置服务器用于设置并保存所述业务服务器的IP地址与业务模块的绑定数据，及用户的账号与业务模块的绑定数据。
8.如权利要求7所述的系统，其特征在于: 所述配置服务器，还用于实时或定时分析保存的业务服务器的IP地址与业务模块的绑定数据，及用户的账号与业务模块的绑定数据是否发生了改变，在保存的业务服务器的IP地址与业务模块的绑定数据，或用户的账号与业务模块的绑定数据发生了改变时，向控制服务器发送数据接收请求； 所述控制服务器，还用于响应配置服务器发送的数据接收请求，从配置服务器接收所述业务服务器的IP地址与业务模块的绑定数据，及用户的账号与业务模块的绑定数据。
9.如权利要求7所述的系统，其特征在于，所述控制服务器还用于: 定时从配置服务器获取业务服务器的IP地址与业务模块的绑定数据，及用户的账号与业务模块的绑定数据； 根据获取的业务服务器的IP地址与业务模块的绑定数据，及用户的账号与业务模块的绑定数据，生成用户的账号与业务服务器的IP地址的映射数据； 将生成的用户的账号与业务服务器的IP地址的映射数据发送给对应的验证服务器。
10.如权利要求5所述的系统，其特征在于，该系统还包括至少一个与控制服务器通信连接的配置服务器，所述配置服务器用于设置并保存业务服务器的IP地址与业务模块的绑定数据，所述控制服务器用于设置并保存用户的账号与业务模块的绑定数据。
11.如权利要求10所述的系统，其特征在于: 所述配置服务器，还用于实时或定时分析保存的业务服务器的IP地址与业务模块的绑定数据是否发生了改变，在保存的业务服务器的IP地址与业务模块的绑定数据发生了改变时，向所述控制服务器发送数据接收请求； 所述控制服务器，还用于响应配置服务器发送的数据接收请求，从配置服务器接收业务服务器的IP地址与业务模块的绑定数据。
12.如权利要求10所述的系统，其特征在于，所述控制服务器还用于: 定时从配置服务器获取业务服务器的IP地址与业务模块的绑定数据； 根据获取的业务服务器的IP地址与业务模块的绑定数据，及自身保存的用户的账号与业务模块的绑定数据，生成用户的账号与业务服务器的IP地址的映射数据； 将生成的用户的账号与业务服务器的IP地址的映射数据发送给对应的验证服务器。
13.如权利要求5所述的系统，其特征在于: 所述业务服务器，用于接受用户登陆，并在用户登陆时向对应的验证服务器发送用户权限验证请求； 所述验证服务器，用于响应从业务服务器发送来的用户权限验证请求，根据保存的用户权限信息验证登陆的用户的权限，发送验证反馈信息给发送用户权限验证请求的业务服务器，以使发送用户权限验证请求的业务服务器接受或者拒绝当前用户的登陆。
14.如权利要求13所述的系统，其特征在于，所述用户权限信息包括用户的账号及密码，所述用户权限验证请求包括当前登陆用户的账号、密码。
15.如权利要求14所述的系统，其特征在于: 所述验证服务器，用于在保存的用户账号中不存在当前登陆用户的账号，或者，当前登陆用户的密码与保存的当前登陆用户的账号对应的密码不一致时，发送验证反馈信息给发送用户权限验证请求的业务服务器，以使发送用户权限验证请求的业务服务器拒绝当前用户的登陆；在保存的用户账号中存在当前登陆用户的账号，且，当前登陆用户的密码与保存的当前登陆用户的账号对应的密码一致时，发送验证反馈信息给发送用户权限验证请求的业务服务器，以使发送用户权限验证请求的业务服务器接受当前用户的登陆。
16.如权利要求13所述的系统，其特征在于，所述用户权限信息还包括用户的账号与业务服务器的IP地址的映射数据，所述用户权限验证请求还包括发送用户权限验证请求的业务服务器的IP地址。
17.如权利要求16所述的系统，其特征在于: 所述验证服务器，用于在登陆的当前用户的账号映射的业务服务器的IP地址中不包括发送用户权限验证请求的业务服务器的IP地址时，发送验证反馈信息给发送用户权限验证请求的业务服务器，以使发送用户权限验证请求的业务服务器拒绝当前用户的登陆。
18.如权利要求5所述的系统，其特征在于，所述控制服务器包括用户权限集中控制模块，该用户权限集中控制模块包括: 权限处理子模块，用于向对应的验证服务器发送用户权限处理指令或者用户权限新增指令。
19.如权利要求18所述的系统，其特征在于，该用户权限集中控制模块用于提供对用户权限信息进行人机交互操作的集中控制界面，以供用户输入用户权限处理指令及新增指令。
20.如权利要求18所述的系统，其特征在于，该用户权限集中控制模块还包括: 数据导入子模块，用于导入用户权限信息，并将导入的用户权限信息发送给控制服务器对应的验证服务器。
21.如权利要求18所述的系统，其特征在于，该用户权限集中控制模块还包括: 数据接收子模块，用于定时从配置服务器获取业务服务器的IP地址与业务模块的绑定数据，及用户的账号与业务模块的绑定数据，根据获取的业务服务器的IP地址与业务模块的绑定数据，及用户的账号与业务模块的绑定数据，生成用户的账号与业务服务器的IP地址的映射数据，将生成的用户的账号与业务服务器的IP地址的映射数据发送给对应的验证服务器。
22.如权利要求21所述的系统，其特征在于，所述数据接收子模块获取业务服务器的IP地址与业务模块的绑定数据，及用户的账号与业务模块的绑定数据的方式为:响应配置服务器发送的数据接收请求，从配置服务器接收业务服务器的IP地址与业务模块的绑定数据，及用户的账号与业务模块的绑定数据。
23.一种服务器用户权限集中控制方法，其特征在于，该方法包括: 控制服务器定时从配置服务器获取业务服务器的IP地址与业务模块的绑定数据，及用户的账号与业务模块的绑定数据； 控制服务器根据获取的业务服务器的IP地址与业务模块的绑定数据，及用户的账号与业务模块的绑定数据，生成用户的账号与业务服务器的IP地址的映射数据； 控制服务器将生成的用户的账号与业务服务器的IP地址的映射数据发送给对应的验证服务器以进行保存，并将所述映射数据同步给与该验证服务器通信连接的验证服务器。
24.一种服务器用户权限集中控制方法，其特征在于，该方法包括:控制服务器定时从配置服务器获取业务服务器的IP地址与业务模块的绑定数据；控制服务器根据自身保存的用户的账号与业务模块的绑定数据，及获取的业务服务器的IP地址与业务模块的绑定数据，生成用户的账号与业务服务器的IP地址的映射数据；控制服务器将生成的用户的账号与业务服务器的IP地址的映射数据发送给对应的验证服务器以进行保存，并将所述映射数据同步给与该验证服务器通信连接的验证服务器。
25.一种服务器用户权限集中控制方法，其特征在于，该方法包括: 验证服务器接收从业务服务器发送来的用户权限验证请求； 验证服务器响应从业务服务器发送来的用户权限验证请求，根据保存的用户权限信息验证登陆的用户的权限； 验证服务器发送验证反馈信息给发送用户权限验证请求的业务服务器，以使发送用户权限验证请求的业务服务器接受或者拒绝当前用户的登陆。
【文档编号】H04L12/24GK104243154SQ201310226082
【公开日】2014年12月24日 申请日期:2013年6月7日 优先权日:2013年6月7日
【发明者】周汤, 李昂, 高鹏 申请人:腾讯科技（深圳）有限公司