CN110245478A - 一种权限管理整合安全管理的系统 - Google Patents

Abstract

一种权限管理整合安全管理的系统，建立在权限与安全的基础上，模块包括：安全管理模块，系统管理模块，包含组织机构，用户管理，角色分组，任务管理，角色管理，功能菜单，属性字典，值列表管理，注册系统管理等子模块，授权模块，内存缓存模块，用于存储系统的角色组、角色、用户以及其他信息，该缓存依赖于分布式内存系统Memcached的技术；认证管理模块，逻辑运算模块，数据库管理系统模块，基于逻辑运算模块。本发明系统中根据Shiro技术，设置过滤模块，用户的权限是综合三种模式的总和，最大化的方便用户的权限设置，本系统方便对用户的行为进行有效的监测，不仅仅方便于用户的权限分配，而且对安全性能方便有着更广泛的检测与保障。

Description

一种权限管理整合安全管理的系统

技术领域

本发明涉及系统的权限管理及数据安全管理技术领域，具体是在J2EE开发环境下结合Hibernate，Spring，SpringMVC技术的基础上，融合Shiro技术的通用权限管理整合安全管理的系统及方法。

背景技术

在当前大数据、云计算发展迅猛发展的形势下，计算机科学技术给各行各业带来了无比巨大的便利，既实现了亿级用户量的使用需求，又方便了对用户的管理。在用户管理方面，对用户的权限管理以及安全管理便成为了核心技术，在传统的网站后台、企业人事管理、图书管理、办公室自动化等系统的开发过程中，权限管理系统都从始至终是其不可或缺的部分，同时，对于系统的安全控制方面，系统的安全稳固性也是衡量一个系统优劣的重要指标。

因此，在系统的开发过程中，权限管理配合安全管理的模式，已成为系统必不可少的组成部分。但是，权限管理与安全管理配合的模式千奇百态，如果根据不同模块的需求来重新定义两者的配合模式，将是非常庞大的工作量，对系统性能产生相当大的冗余度，并且有损于安全的等级。因此，为了方便于高并发，多用户等大数据量的系统需求，设计一种可兼顾系统权限自由设定与系统安全综合应用的方法。

发明内容

本发明的目的是研究一种权限管理整合安全管理的方法，在角色分类的基础上，采用权限管理技术来实现资源、数据、用户的分类，实现系统中不同用户拥有不同权限，来访问不同资源，同时整合安全等级控制，来实现系统安全运行与用户分权操作相融合的目的。

本发明是通过以下技术方案来实现的：

本发明提供一种权限管理整合安全管理的系统，模块分别包括：

安全管理模块，用于过滤安全漏洞，防止系统受到入侵攻击；

系统管理模块，包含组织机构，用户管理，角色分组，任务管理，角色管理，功能菜单，属性字典，值列表管理，注册系统管理等子模块，用于对用户与系统的属性进行管理；

日志管理模块，在用户登录、用户增加、用户修改、用户删除、用户注销、用户浏览、用户授权操作的同时，记录用户的行为，并生成操作日志，保存数据库中；

授权模块，用于对角色组、角色、用户等进行安全授权，并设定访问系统的范围；

内存缓存模块，用于存储系统的角色组、角色、用户以及其他信息，该缓存依赖于分布式内存系统Memcached的技术；

认证管理模块，用于对用户登录、操作、退出的安全证书进行验证；

逻辑运算模块，用于对用户操作的行为，进行业务运算，操作数据库；

数据库管理系统模块，基于逻辑运算模块，对数据进行增删改查；

进一步地，所述安全管理模块包括：

链接过滤模块，用于对类似html的语句进行过滤，预防安全注入漏洞；

框架注入过滤模块，验证所有输入数据，有效检测攻击；对所有输出数据进行适当的编码，以防止任何已成功注入的脚本在浏览器端运行；

账户安全模块，用于对账户的用户名、用户密码、敏感信息进行加密处理，防止信息泄露的发生。

入侵检测模块，用于监控服务器和网络的状态并及时预警。

更进一步地，系统管理模块包括：

组织机构模块，用于对系统所涉及的组织机构进行增加、查询、删除、修改等操作；

角色分组模块，用于对系统中用户的用户组进行增加、查询、删除、修改等操作；

角色管理模块，用于对用户所处的角色进行分类管理，并对角色赋予角色组等属性，便于统一编辑用户的权限信息；

用户管理模块，用于添加可使用该系统给的用户，可以设置用户名、用户密码、所处角色以及角色组等信息；同时可对用户进行增加、查询、删除、修改等操作；

任务管理模块，用于处理系统设置的任务，包括定时任务等的执行；

功能菜单模块，用于查看该系统中包含的功能模块，可对系统所有的功能模块进行初始化，增加、查询、删除以及修改等操作；

属性字典模块，用于查看整个系统中所用的系统常量，包括系统文件、数据库中包含的系统常量；

注册系统管理模块，用于查看该系统的基本信息，包括ID，系统名称，访问地址，是否允许单点登录，以及创建更新时间；

更进一步地，日志管理模块包括：

即时记录用户登录、用户增加、用户修改、用户删除、用户注销、用户浏览、用户授权操作的行为，并生成操作日志，保存数据库中；

更进一步地，授权模块包括：

角色组授权，可对角色组进行授权，赋予其所拥有的角色权限，允许其访问相对应的功能模块；

角色授权，可对角色进行授权，赋予其所拥有的角色权限，允许其访问相对应的功能模块。

更进一步地，内存缓存模块包括：

记录角色组，角色，用户所拥有的机构、权限等基本信息。

更进一步地，认证管理模块包括：

安全证书认证，对用户登录时所使用的安全证书进行认证，分析是否具有访问系统的权限；

用户权限认证，对登录的用户，在其被授权的范围内，枚举其有权查看的所有功能模块。

更进一步地，逻辑运算模块包括：

用户操作风险评估模块，设计算法，为用户的操作行为进行打分处理，计算其综合分数，以便对用户进行权限设置；

业务逻辑算法模块，包括业务逻辑中涉及的运算过程，方便数据的操作运算；

更进一步地，数据库模块包括：

普通操作模块，根据业务逻辑需要，对数据库中的表单进行增删改查操作；

复杂操作模块，根据系统需求，在数据库中添加表，以及对表结构进行相关操作。

本发明专利相较于传统的J2EE技术，有着如下的优势：

(1)传统的web项目中，将用户表与权限表进行关联，在用户操作系统同时，遍历用户所能访问的功能模块，匹配其进行的操作，决定是否放行其此时的操作。而在本系统中，根据Shiro技术，设置过滤模块，对用户的角色权限进行判断，筛选出其有权访问的功能模块。

(2)授权模块中，传统的系统中，权限都是以统一的模式进行授予，例如，单一的授予角色。在本系统中，权限不仅仅可以授予角色，也可以授予用户所属的组织，以及单独授予给用户，实际上，本系统的用户的权限是综合三种模式的总和，并可以在页面上对用户，角色，机构进行授权，最大化的方便用户的权限设置。

(3)安全管理模块中，传统系统对安全的设定大部分依赖于既定的浏览器与服务器的防火墙，安全系数总体来很低。本系统为了预防攻击，设计了安全管理模块，用来过滤链接与渗透攻击漏洞。

(4)日志管理模块中，用于统计用户行为的模块，包括在系统中用户的注册、登录、浏览、注销等操作，方便对用户的行为进行有效的监测，提供管理员权限。

(5)系统所使用的数据库处理框架为Hibernate，能操作绝大多数数据库类型，包括MYSQL/ORACLE/SQLSERVER/SYBASE等等。

(6)系统使用的JDK是1.6版本，对环境有着有效的兼容性，包括Windows/Unix/Linux等操作系统。

(7)系统将权限管理系统与安全管理模块进行相融合，不仅仅方便于用户的权限分配，而且对安全性能方便有着更广泛的检测与保障。

附图说明

图1是权限管理整合安全管理的结构示意图；

图2是权限管理整合安全管理系统中的安全管理模块的结构示意图；

图3是权限管理整合安全管理系统中的系统管理的结构示意图；

图4是权限管理整合安全管理系统中的日志管理的结构示意图；

图5是权限管理整合安全管理系统中的授权管理模块的结构示意图；

图6是权限管理整合安全管理系统中的内存缓存管理模块的结构示意图；

图7是权限管理整合安全管理系统中的认证管理模块示意图；

图8是权限管理整合安全管理系统中的逻辑运算模块示意图；

图9是权限管理整合安全管理系统中的数据库管理模块示意图；

图10示出了所述权限管理整合安全管理系统的实体-联系(Entity RelationshipDiagram，ER)图。

具体实施方式

下面结合附图具体阐明本发明的实施方式，附图仅供参考和说明使用，不构成对本发明专利保护范围的限制。

如图1所示，在本实施例中，本发明一方面提供一种通用权限管理系统，模块分别包括：

本发明提供一种权限管理整合安全管理的系统，模块分别包括：

安全管理模块，用于过滤安全漏洞，防止系统受到入侵攻击；

系统管理模块，包含组织机构，用户管理，角色分组，任务管理，角色管理，功能菜单，属性字典，值列表管理，注册系统管理等子模块，用于对用户与系统的属性进行管理；

日志管理模块，在用户登录、用户增加、用户修改、用户删除、用户注销、用户浏览、用户授权操作的同时，记录用户的行为，并生成操作日志，保存数据库中；

授权模块，用于对角色组、角色、用户等进行安全授权，并设定访问系统的范围；

内存缓存模块，用于存储系统的角色组、角色、用户以及其他信息，该缓存依赖于分布式内存系统Memcached的技术；

认证管理模块，用于对用户登录、操作、退出的安全证书进行验证；

逻辑运算模块，用于对用户操作的行为，进行业务运算，操作数据库；

数据库管理系统模块，基于逻辑运算模块，对数据进行增删改查；

图中的流程讲述了各模块之间的数据流动关系，一旦某一模块获取失败或者授权失败，则会终止流程，甚至跳转登录页面。

图2中，所述安全管理模块包括：

链接过滤模块，用于对类似html的语句进行过滤，预防安全注入漏洞；

框架注入过滤模块，验证所有输入数据，有效检测攻击；对所有输出数据进行适当的编码，以防止任何已成功注入的脚本在浏览器端运行；

账户安全模块，用于对账户的用户名、用户密码、敏感信息进行加密处理，防止信息泄露的发生。

入侵检测模块，用于监控服务器和网络的状态并及时预警。

图中的流程，每个模块检测通过，则依次进行程序，若某一模块认证不通过，则安全监测不通过，不赋予其操作权限。

图3中，系统管理模块包括：

组织机构模块，用于对系统所涉及的组织机构进行增加、查询、删除、修改等操作；

角色分组模块，用于对系统中用户的用户组进行增加、查询、删除、修改等操作；

角色管理模块，用于对用户所处的角色进行分类管理，并对角色赋予角色组等属性，便于统一编辑用户的权限信息；

用户管理模块，用于添加可使用该系统给的用户，可以设置用户名、用户密码、所处角色以及角色组等信息；同时可对用户进行增加、查询、删除、修改等操作；

任务管理模块，用于处理系统设置的任务，包括定时任务等的执行；

功能菜单模块，用于查看该系统中包含的功能模块，可对系统所有的功能模块进行初始化，增加、查询、删除以及修改等操作；

属性字典模块，用于查看整个系统中所用的系统常量，包括系统文件、数据库中包含的系统常量；

注册系统管理模块，用于查看该系统的基本信息，包括ID，系统名称，访问地址，是否允许单点登录，以及创建更新时间；

图中显示了对系统管理的子模块的流程。

图4中，日志管理模块包括：

即时记录用户登录、用户增加、用户修改、用户删除、用户注销、用户浏览、用户授权操作的行为，并生成操作日志，保存数据库中；

图4中的各模块成并列模式，表示在日志管理过程中，各子模块可单独执行操作。

图5中，授权模块包括：

角色组授权，可对角色组进行授权，赋予其所拥有的角色权限，允许其访问相对应的功能模块；

角色授权，可对角色进行授权，赋予其所拥有的角色权限，允许其访问相对应的功能模块。

图5中的，角色组授权与角色授权可分离，因而两子模块可单独执行，

图6中，内存缓存模块包括：

记录角色组，角色，用户所拥有的机构、权限等基本信息。

图6中，在内存缓存机制中，角色组、角色、用户的信息缓存成依次顺序执行。

图7中，认证管理模块包括：

安全证书认证，对用户登录时所使用的安全证书进行认证，分析是否具有访问系统的权限；

用户权限认证，对登录的用户，在其被授权的范围内，枚举其有权查看的所有功能模块。

认证管理模块中，安全证书认证与用户权限认证承前后顺序执行。

图8中，逻辑运算模块包括：

用户操作风险评估模块，设计算法，为用户的操作行为进行打分处理，计算其综合分数，以便对用户进行权限设置；

业务逻辑算法模块，包括业务逻辑中涉及的运算过程，方便数据的操作运算；

两模块按照顺序执行操作

图9中，数据库模块包括：

普通操作模块，根据业务逻辑需要，对数据库中的表单进行增删改查操作；

复杂操作模块，根据系统需求，在数据库中添加表，以及对表结构进行相关操作。

图9两模块成并列关系，可分别执行操作。

图10示出了该权限管理整合安全管理中主要系统表之间的关联关系，系统权限表关联组织机构表，系统权限表关联权限功能表，系统权限表关联角色表，系统权限表关联角色组表，组织机构表关联用户表，用户表关联角色表，角色表关联角色组表。

该实施的系统案例，为本发明较佳的实现模式，但本发明的实施方式并不受上述实施例的限制，其他的任何未背离本发明的精神实质与原理下所作的改变、修饰、替代、组合、简化，均应为等效的置换方式，都包含在本发明的保护范围之内。

Claims (9)

1.一种权限管理整合安全管理的系统，建立在权限与安全的基础上，其特征在于，模块分别包括：

安全管理模块，用于过滤安全漏洞，防止系统受到入侵攻击；

系统管理模块，包含组织机构，用户管理，角色分组，任务管理，角色管理，功能菜单，属性字典，值列表管理，注册系统管理等子模块，用于对用户与系统的属性进行管理；

日志管理模块，在用户登录、用户增加、用户修改、用户删除、用户注销、用户浏览、用户授权操作的同时，记录用户的行为，并生成操作日志，保存数据库中；

授权模块，用于对角色组、角色、用户等进行安全授权，并设定访问系统的范围；

内存缓存模块，用于存储系统的角色组、角色、用户以及其他信息，该缓存依赖于分布式内存系统Memcached的技术；

认证管理模块，用于对用户登录、操作、退出的安全证书进行验证；

逻辑运算模块，用于对用户操作的行为，进行业务运算，操作数据库；

数据库管理系统模块，基于逻辑运算模块，对数据进行增删改查。

2.根据权利要求1所述的一种权限管理整合安全管理的系统，其特征在于：

所述安全管理模块包括：

链接注入过滤模块，用于对类似html的语句进行过滤，预防安全注入漏洞；

框架注入过滤模块，验证所有输入数据，有效检测攻击；对所有输出数据进行适当的编码，以防止任何已成功注入的脚本在浏览器端运行；

账户安全模块，用于对账户的用户名、用户密码、敏感信息进行加密处理，防止信息泄露的发生；

入侵检测模块，用于监控服务器和网络的状态并及时预警。

3.根据权利要求1所述的一种权限管理整合安全管理的系统，其特征在于：

系统管理模块包括：

组织机构模块，用于对系统所涉及的组织机构进行增加、查询、删除、修改等操作；

角色分组模块，用于对系统中用户的用户组进行增加、查询、删除、修改等操作；

角色管理模块，用于对用户所处的角色进行分类管理，并对角色赋予角色组等属性，便于统一编辑用户的权限信息；

用户管理模块，用于添加可使用该系统给的用户，可以设置用户名、用户密码、所处角色以及角色组等信息；同时可对用户进行增加、查询、删除、修改等操作；

任务管理模块，用于处理系统设置的任务，包括定时任务等的执行；

功能菜单模块，用于查看该系统中包含的功能模块，可对系统所有的功能模块进行初始化，增加、查询、删除以及修改等操作；

属性字典模块，用于查看整个系统中所用的系统常量，包括系统文件、数据库中包含的系统常量；

注册系统管理模块，用于查看该系统的基本信息，包括ID，系统名称，访问地址，是否允许单点登录，以及创建更新时间。

4.根据权利要求1所述的一种权限管理整合安全管理的系统，其特征在于：

日志管理模块包括：

即时记录用户登录、用户增加、用户修改、用户删除、用户注销、用户浏览、用户授权操作的行为，并生成操作日志，保存数据库中。

5.根据权利要求1所述的一种权限管理整合安全管理的系统，其特征在于：

授权模块包括：

角色组授权，可对角色组进行授权，赋予其所拥有的角色权限，允许其访问相对应的功能模块；

角色授权，可对角色进行授权，赋予其所拥有的角色权限，允许其访问相对应的功能模块。

6.根据权利要求1所述的一种权限管理整合安全管理的系统，其特征在于：

内存缓存模块包括：

记录角色组，角色，用户所拥有的机构、权限等基本信息。

7.根据权利要求1所述的一种权限管理整合安全管理的系统，其特征在于：

认证管理模块包括：

安全证书认证，对用户登录时所使用的安全证书进行认证，分析是否具有访问系统的权限；

用户权限认证，对登录的用户，在其被授权的范围内，枚举其有权查看的所有功能模块。

8.根据权利要求1所述的一种权限管理整合安全管理的系统，其特征在于：

逻辑运算模块包括：

用户操作风险评估模块，设计算法，为用户的操作行为进行打分处理，计算其综合分数，以便对用户进行权限设置；

业务逻辑算法模块，包括业务逻辑中涉及的运算过程，方便数据的操作运算。

9.根据权利要求1所述的一种权限管理整合安全管理的系统，其特征在于：

数据库模块包括：

普通操作模块，根据业务逻辑需要，对数据库中的表单进行增删改查操作；

复杂操作模块，根据系统需求，在数据库中添加表，以及对表结构进行相关操作。