《用户身份确认和授予操作权限的方法》由会员分享,可在线阅读,更多相关《用户身份确认和授予操作权限的方法(5页珍藏版)》请在金锄头文库上搜索。
1、用户身份确认和授予操作权限的方法专利名称:用户身份确认和授予操作权限的方法技术领域:本发明涉及一种用户身份确认和授予操作权限的方法,特别是指一种应用于供应链管理(Supply Chain Management,简称SCM)系统中,用于保证系统数据库与外界有效隔离的用户身份确认和授予操作权限的方法。目前,开放式的业务处理系统,基本都是基于客户/服务器结构的系统,客户端需要通过介质多样的广域网与服务端进行通讯。由于网络的不可靠性,常常会出现传输过程中交易数据的丢失,造成客户端与服务端的交易不完整或数据不一致,导致数据信息的风险。如何防范由于通讯原因产生的风险,是任何一个客户/服务器结构的联机交易处
2、理系统必须考虑的问题。通过加密措施是能够防止资料窃取者直接看到传输中资料的好方法,这种措施类似于像是密码或者信用卡号码。几乎所有处理具有敏感度的资料,财务资料或者要求身份认证的网站都会使用加密措施。但是加密措施并不是用来保护操作系统应用的;它是被设计用来保护传输中的资料。换句话说加密措施就象是一种在浏览器跟网络服务器之间受密码保护的导管。这个导管把使用者以及网站之间往返的资料加密起来。但是加密措施并不会消除或者减弱网站将受到的威胁。不幸的是,很多系统管理者却认为受到加密措施防护的网页服务器自动就变得安全了。事实上,受到加密措施防护的网页服务器同样还是会受到象一般网站服务器遭受的攻击的危险。系统
3、资料一样会受到严重威胁。在商业系统中非常重要的一点就是应能准确地维持商业状态。例如,在一系统中,必须可靠地跟踪订单。若不然,将会产生巨大的收入损失。现存的订单可能丢失或在取订单、填订单的时候有可能延时,不满意的用户可能会转到别处作生意。根据需求,每一个用户必须通过客户端登陆系统,进行相应的数据查询、修改等操作。而每一个用户都分散在不同部门、不同的办公地点,有近有远。每个人都承担着不同的角色,负责着不同的业务步骤。如此分散的人员共同来维持这套高速、稳定的商业系统,让每一个人能够各司其职、协同操作,使整个系统象流水线一样,源源不断的提供高效、稳定的服务,是系统必须达到的目标。由于系统中会包含企业大
4、量的商业机密数据,任何一点损失都有可能导致不可意料的事情发生。如何使整个系统象银行金库般受到严密保护,如何保证系统数据库与外界的有效隔离,避免系统受到恶意破坏、数据被非法窃取或修改,也是非常重要的问题。通过对客户/服务器结构的联机交易处理系统进行分析,一个交易,至少包含四个过程请求传输过程;服务端对交易处理过程;应答传输过程;客户端处理应答过程。在上述四个过程的每一步中,如果都能有效地保证系统安全、稳定、高效运行,同时实现对每一个用户进行身份认证和权限授予,则系统数据的安全性就会得到保证;使用户身份确认和授予操作权限的方法,可以保证系统数据库与外界的有效隔离,从而达到保护系统安全运行的目的。本
5、发明的目的是这样实现的一种用户身份确认和授予操作权限的方法,用户通过客户端输入个人用户名和密码;与授权服务端建立连接,并通过该连接将用户名和密码发送到授权服务端进行认证;授权服务端根据用户的权限产生用户权限信息,再通过已建立的连接通知客户端。所述的操作权限至少包括功能权限和数据权限。所述的客户端用于向授权层发送身份认证请求,并按照授权服务端返回的权限信息进行配置,为用户提供业务操作界面。授权服务端用于验证用户身份,授予用户权限,并维护用户操作日志,实现客户端和系统的隔离。所述的用户权限信息至少包括用于记录用户信息的登录用户表、记录系统的用户组信息的用户组表、用户组与用户对应关系表、系统功能列表
6、、用户功能权限表、用户组功能权限表、授权服务端帐号表和功能映射表;其中该登录用户表中的信息至少包括用户登录名、登录密码、用户真实名字、员工编号、事业部、地域信息;该用户组表中的信息至少包括用户组标识、用户组名称、用户组描述;该用户组与用户对应关系表中的信息至少包括用户组标识和用户登录名;该系统功能列表中的信息至少包括功能标识信息和功能名称;该用户功能权限表中的信息至少包括功能标识信息、用户登录名、许可信息;该用户组功能权限表中的信息至少包括功能标识信息、用户组标识、许可信息;该授权服务端帐号表中的信息至少包括帐号标识信息、帐号密码、帐号类别信息;该功能映射表中的信息至少包括功能标识信息、映射标
7、识、功能点描述。所述的授权服务端对授权请求的处理过程至少包括步骤1使用客户端用户信息进行加密,然后发送到授权服务端;步骤2授权服务端监听和接收用户认证请求;步骤3对用户信息进行解密,采用高速用户身份认证功能对用户身份进行认证。步骤4用户信息认证成功,则获取用户功能权限,构造返回用户权限特征码。步骤5对用户权限特征码进行加密,并将该加密的用户权限特征码发送给客户端。步骤6客户端根据用户权限特征码配置前台客户端,实现客户端与系统的连接。上述的步骤2具体为步骤21授权服务端监听的主线程;步骤22当监听到客户端的连接信息后,将客户端信息记录下来,同时生成实际工作的子线程,并将客户端信息送给子线程;步骤
8、23子线程对客户端发送的的信息进行最后接收,然后完成信息的解密。上述的步骤3具体为将解密后的用户名和密码与登录用户表中的信息进行对照,确认用户名称与用户密码的正确性。并检查该用户是否被管理员冻结,根据验证结果得到特征码,并将该码将作为返回信息发回给客户端;子线程对解密后的信息采用高速用户身份认证功能,到数据库中对用户身份进行认证。所述的特征码所描述的信息至少包括冻结帐号、认证成功、服务端暂停服务、数据库连接失败、用户名或密码错误和上传认证信息非法所述的高速用户身份认证至少包括步骤31向系统申请多个到数据库的连接,并保证这些连接始终打开;步骤32为新的用户认证需求建立新的线程,向系统申请独立的内
9、存空间;并以该线程作为用户身份认证的发起者和具体实现者;步骤33由该线程向已经打开的多个数据库连接申请空闲的数据库连接,如果数据库连接资源能够提供空闲的数据库连接,则该线程调用该连接完成身份认证操作;步骤34如果发现数据库连接资源已经全部出于工作状态,则自动数据库资源的管理者申请新的数据库连接;去完成用户信息认证工作;步骤35一旦数据库连接资源达到最大数目限制,系统则让具体执行操作的线程进行排队等待。上述的步骤4所述的获取用户功能权限,构造用户权限特征码的具体操作为步骤41从用户功能权限表取出所有功能列表,按顺序记录;步骤42从用户组表查找用户所在用户组的集合;步骤43如果该集合不为空,继续,
10、否则,执行步骤46;步骤44取出该集合中相应的用户组,然后从用户组功能表中取出该用户组的功能列表,然后按顺序与步骤41记录的元素做运算,并用该结果更新对应的元素;步骤45从该集合中去除上述的用户组,执行步骤43;步骤46从授权服务端帐号取得登录数据库的用户名和密码,与步骤41记录的信息共同组成用户权限信息并返回。上述的步骤6的具体操作为客户端接收到授权服务端返回的特征码后对特征码进行解密,然后根据特征码修改客户端配置,同时完成与系统的连接。上述的根据特征码修改客户端配置的步骤如下步骤61根据功能权限修改主菜单功能权限;步骤62根据功能映射表中的的映射标识信息得到该功能在功能权限信息中对应的权限
11、值,并根据该权限值修改所有影响数据记录的界面操作标识;步骤63用户事业部身份查询登录用户表中的事业部信息,然后从该事业部信息中可得到事业部名称;步骤64用户地区身份查询登录用户表的地域信息,然后从地域信息中得到地域名称;步骤65根据事业部和地域两个标识,显示所有匹配记录。本发明提供了基于客户端、授权服务端和系统的三层架构,并通过请求传输、授权服务端对交易处理、应答传输及客户端处理应答过程,保证了系统数据库与外界的有效隔离,同时实现了对每一个用户进行身份认证和权限授予的功能,有效地保证了系统安全、稳定和高效的运行。图2为本发明授权服务器拓扑结构示意图。图3为本发明授权服务器授权过程示意图。图4为
12、本发明高速用户信息认证的流程图。具有SCM授权服务的特性;业务操作分散性,业务人员不能集中不能有效统一协调,操作人员主要来如下部门。不同人员,不同角色拥有不同的权限;不同部门的人员只能操作自己部门的数据。例如在硬盘的管理上,部门甲的只能对部门甲的硬盘数据进行操作,不能操作其他部门的数据。此外,一个部门的人员也要按照岗位不同进行权限划分。例如采购部有硬盘和显示器的修改权限,但该部门的硬盘管理员就没有显示器的管理权限。需要极高的稳定性来保证业务不间断的被执行;例如一个最简单的订货流程,首先要求客户能够下订单;然后各部门按照订单的型号,进行各种物料的准备和检查;然后按照时间安排进行安排生产。每一步都
13、要快速准确执行,所以要求极高的稳定性。系统安全性要求极高,未经授权就不能轻易进入系统。参见图2,在本发明中授权服务分为三个层次SCM客户端该层主要功能为用户提供登录窗口,用户通过该界面向第二层(授权层)发送身份认证请求。按照授权服务端返回的权限信息进行配置。为用户提供业务操作界面来实现业务逻辑。授权服务层该层为授权服务端的核心层,负责用户身份的验证,权限授予,以及用户操作日志。并起到SCM客户端和SCM系统的隔离,达到维护第三层SCM系统的安全性。由于考虑到每天都有大量的用户需要登录系统,每次登陆时都只有小量的数据操作,但要求效率必须非常高。如果每次对用户进行认证都与数据库建立连接和断开连接,
14、不但效率极为低下,而且存在大量消耗系统资源的弊病。业界多采用的中间件服务器,又需要大量的投资。所以,本系统根据这个特性还配置有高速用户信息认证方法,能有效地提高用户身份认证的速度。SCM系统该层保存涉及SCM业务的大量数据,是SCM项目的核心业务层。参见图3,授权服务的三个层次间的关系为一个用户要想操作SCM系统的任何一个功能,首先必须拥有一台已经安装SCM客户端,并已经联入该网络。通过SCM客户端输入个人用户名和口令。该客户端会与第二层建立连接。并通过该连接将用户名密码发到授权服务层进行数据认证。如果用户身份有效,系统将根据用户的权限产生用户权限信息。然后通过已经建立的连接通知SCM客户端层
15、,完成认证授权操作。本发明的授权服务包括如下的四个过程请求传输过程;服务端对授权请求的处理过程;授权请求完成后的应答传输过程;客户端处理应答过程。在授权过程,还需要如下表所示的信息记录用户信息的登录用户表记录系统的用户组信息的用户组表用户组与用户对应关系表系统所有功能的列表用户功能权限表用户组功能权限表授权服务端帐号表功能映射表本发明中授权服务的具体步骤如下1、使用SCM客户端用户信息发送到授权服务端;2、授权服务端监听和接收用户认证请求;3、对用户信息进行解密;采用高速用户身份认证功能,对用户身份进行认证;4、用户信息认证成功。则构造返回用户权限特征码;5、对用户权限特征码进行加密,并将该加
16、密信息发送给SCM客户端6、SCM客户端根据用户权限特征码配置前台客户端,最终完成,SCM客户端与SCM系统的连接。上述的各步骤实现办法的详细描述1、使用SCM客户端用户信息发送到授权服务端。使用SCM客户端对用户名和用户密码进行加密,然后发送到授权服务端(避免密码泄漏)。2、授权服务端监听和接收用户认证请求。授权服务端负责监听的主线程,监听到客户端信息后,将客户端信息记录下来,同时生成实际工作的子线程,并将客户端信息送给子线程。子线程对客户端发送的的信息进行最后接收,然后完成信息的解密。3、子线程对解密后的信息到数据库中进行认证;采用高速用户身份认证功能,对用户身份进行认证;即将解密后的用户名和密码与用户认证表中数据进行对照,确认用户名称与用户密码的正确性。并检查该用户是否被管理员冻结;根据验证结果得到下列特征码。该码将作为返回信息反馈给SCM客户端。
