专利名称:一种临时权限控制方法、系统及装置的制作方法
技术领域:
本发明涉及安全控制技术领域,尤指一种临时权限控制方法、系统及装置。
背景技术:
在日常工作或者生活中,常常需要对操作或行为进行权限控制。权限控制包括两种一种是固定权限,另一种是临时权限, 临时权限一般是一种一次性权限,在每次操作时都需要上级用户授权,在本次操作完成后回收该临时权限。例如系统中某用户的固定权限为可以查询数据,当用户需要修改数据时,则需要向上级用户审批临时权限,在执行完本次修改后,修改数据的权限被回收,用户恢复到仅拥有查询数据的权限。目前,可以通过4A系统实现对操作权限的授权审批,4A系统主要实现基于角色(Role-Based Access Control, RBAC)的集中授权功能,将业务支撑系统中的账号(Account)管理、认证(Authentication)管理、授权(Authorization)管理和安全审计(Audit)整合成集中、统一的安全服务系统。4A系统实现操作权限控制的过程包括创建账号、授予权限的权限分配过程,针对用户的访问请求进行权限控制的访问控制过程。上述4A系统实现权限控制时,一般都是相对固定的权限控制,要进行权限调整则需要管理员重新授权。其权限配置过程不灵活,当用户遇到故障处理,系统割接等情况时需要临时提升权限,由管理员重新授权往往会导致调整权限的工作不能满足及时响应需求,甚至会影响处理故障的速度。目前实现权限控制时,也可以是下级用户向其上级用户发送权限变更请求,上级用户进行授权审批实现对下级用户的授权。该方法在实现权限审批时需要上级用户在线才能实现,如果上级用户不在线则不能实现为下级用户授予权限,这对于一些重要、紧急情况无法有效、及时的进行处理。且该方式是通过角色分配的方式实现的,审批完成后删除用户原来的旧角色,将新角色分配给用户,这种方式一般适用于固定权限的分配,不适用于临时权限的分配。例如对于只能查询数据的用户,在申请修改某项数据,操作该任务完毕后,需要收回其权限,自动恢复其权限到原始的查询权限;或者对于只能查看设备状态的用户,对于某项重大、紧急、危险等一次性操作(比如重启)并没有操作权限,在赋予该设备进行重启等一次性重大操作权限并执行后,需要立即收回其权限,恢复其权限到原始固有权限。而上述方式将相关角色分配给用户后,则该用户就一直拥有该角色,收回时还需要重新向上级用户申请权限变更。可见,现有权限控制的实现方案,能够较好的实现固定权限的授权控制,不能很好的实现临时权限的授权控制。且对于由上级用户控制下级用户权限的方式,也不能防止网络上存在伪造上级用户危害操作权限控制安全性的问题。
发明内容
本发明实施例提供一种临时权限控制方法、系统及装置,用以解决现有技术中不能实现临时权限的自动授予和回收,临时权限控制不方便的问题。一种临时权限控制方法,包括当确定下级用户请求执行的操作为需要申请临时操作权限的临时操作时,暂停下级用户执行所请求的临时操作,向所述下级用户的上级用户发送临时权限审批请求;当根据接收到的所述上级用户返回的临时权限审批响应,确定所述上级用户授予所述下级用户执行所请求的临时操作的临时操作权限时,允许下级用户执行所请求的临时操作;在所述下级用户执行所请求的临时操作完成后,回收下级用户对该临时操作的临时操作权限。
一种临时权限控制系统,包括权限控制服务器、若干下级客户端和上级客户端;所述下级客户端,用于请求下级用户请求执行的操作;所述权限控制服务器,用于当确定下级用户通过下级客户端请求执行的操作为需要申请临时操作权限的临时操作时,暂停下级用户执行所请求的临时操作,向所述下级用户的上级用户所在上级客户端发送临时权限审批请求;当根据接收到的所述上级用户返回的临时权限审批响应,确定所述上级用户授予所述下级用户执行所请求的临时操作的临时操作权限时,允许下级用户执行所请求的临时操作;在所述下级用户执行所请求的临时操作完成后,回收下级用户对该临时操作的临时操作权限;所述上级客户端,用于接收所述权限控制服务器发送的临时权限审批请求,并返回临时权限审批响应。一种权限控制服务器,包括操作判断模块,用于当确定下级用户通过下级客户端请求执行的操作为需要申请临时操作权限的临时操作时,暂停下级用户执行所请求的临时操作;审批发送模块,用于向所述下级用户的上级用户所在上级客户端发送临时权限审批请求;审批判决模块,用于当根据接收到的所述上级用户返回的临时权限审批响应,确定所述上级用户授予所述下级用户执行所请求的临时操作的临时操作权限时,允许下级用户执行所请求的临时操作;在所述下级用户执行所请求的临时操作完成后,回收下级用户对该临时操作的临时操作权限。一种客户端,包括接收模块,用于接收所述权限控制服务器发送的临时权限审批请求;审批模块,用于接收到的临时权限审批请求时,若同意授予所述下级用户执行所请求的临时操作的临时操作权限,则将采用选定的加密算法和密钥,对约定的被加密信息进行加密得到密码数据,并返回携带所述密码数据的临时权限审批响应。本发明有益效果如下本发明实施例提供的临时权限控制方法、系统及装置,当确定下级用户的请求执行的操作为临时操作时,向上级用户请求审批,并根据上级用户的审批响应判别是否允许下级用户执行临时操作,在下级用户执行临时操作后,回收下级用户的临时操作权限,实现了临时操作权限的自动控制和回收,实现了灵活的权限控制。可以由一个权限控制服务器或一个专门权限控制装置实现自动的审批请求和权限回收,使权限控制更方便,且上级用户可以根据审批请求手动和根据设置自动回复审批,使权限操作控制更便捷,在一次性操作完成后可以及时回收,不用转换角色和重新申请。
此处所说明的附图用来提供对本发明的进一步理解,构成本发明的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中图I为本发明实施例中临时权限控制方法的流程图;图2为本发明实施例中用户层次和权限层次示意图;图3为本发明实施例一中临时权限控制方法的流程图; 图4为本发明实施例中临时权限控制系统的结构示意图;图5为本发明实施例中权限控制服务器的结构示意图;图6为本发明实施例中权限控制服务器的一种具体结构示例;图7为本发明实施例中客户端的结构示意图。
具体实施例方式为了使本发明所要解决的技术问题、技术方案及有益效果更加清楚、明白,以下结合附图和实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。实施例一本发明实施例提供的临时权限控制方法,其流程如图I所示,包括如下步骤步骤Sll :获取下级用户请求执行的操作。由一个权限控制服务器或专门的权限控制装置,实现对用户操作权限的控制,下级用户需要执行操作时,权限控制服务器判断用户是否具有操作权限,以便决定是否允许用户操作。优选的,下级用户执行操作之前,一般需要到权限控制服务器进行认证。步骤S12 :当确定下级用户请求执行的操作为需要申请临时操作权限的临时操作时,暂停下级用户执行所请求的临时操作。下级用户请求执行操作时,权限控制服务器遍历查询存储的临时操作,确定所请求的操作是否是需要申请临时操作权限的临时操作;当判断为否时,直接执行所请求的操作;当判断为是时,暂停下级用户执行所请求的临时操作。步骤S13 :向下级用户的上级用户发送临时权限审批请求。查询存储的用户级别信息,确定请求执行操作的下级用户的上级用户,生成包含下级用户的用户名、所请求操作的对象和内容的临时权限审批请求,发送给确定出的上级用户。例如上级用户和下级用户用户层次关系、固定权限和临时权限的权限层次关系可以如图2所示。下级用户拥有的的固有权限包括设备状态查看、数据库查询、局数据制作等,需要上级用户审批的临时权限包括设备重启、修改数据库和设备配置修改等。则下级用户需要执行设备重启、修改数据库和设备配置修改等临时权限时,则需要上级用户申请审批。即上级用户可以控制下级用户的一次性权限。下级用户执行完临时操作后,其临时权限需要取消,恢复至其固有权限的状态。步骤S14 :监控接收上级用户返回的临时权限审批响应。上级用户接收到临时权限审批请求时,发送临时权限审批响应,具体是若上级用户同意授予所述下级用户执行所请求的临时操作的临时操作权限,则将采用选定的加密算法和密钥,对约定的被加密信息进行加密得到密码数据,并返回携带密码数据的临时权限审批响应。权限控制服务器实时监控接收上级用户是否返回临时权限审批响应。步骤S15 :当根据接收到的上级用户返回的临时权限审批响应,确定上级用户授予下级用户执行所请求的临时操作的临时操作权限时,允许下级用户执行所请求的临时操
作。 权限控制服务器监控是否接收到上级用户返回的临时权限审批响应,在接收到临时权限审批响应时,进一步确定上级用户是否授予了下级用户执行临时操作的权限,在授予时,允许下级用户执行所请求的临时操作。步骤S16 :在下级用户执行所请求的临时操作完成后,回收下级用户对该临时操作的临时操作权限。对于临时操作权限,在下级用户执行完毕本次临时操作后,权限控制服务器自动回收下级用户的临时操作权限,使下级用户恢复到仅拥有固有操作权限的状态。下面通过具体的实施例进行详细说明实施例一本发明实施例一提供的临时权限控制方法,其流程如图3所示,包括如下步骤步骤S21 :获取下级用户请求执行的操作。具体参见步骤SI I。步骤S22 :判断所请求执行的操作是否是需要申请临时操作权限的临时操作。权限控制服务器对用户的每一次操作都执行判断,确定是否属于临时操作。可以设置权限控制数据库,当用户执行操作时,权限控制服务器查询权限控制数据库中存储的临时操作的记录,确定是否是临时操作。权限控制数据库可以单独设置或设置在权限控制服务器中。其中,临时操作可以是一些重要、危急等需要一次性控制操作权限的操作。若是,执行步骤S24 ;否则执行步骤S23。步骤S23 :允许下级用户执行所请求的操作。当判断出下级用户所请求的操作为用户的固有权限允许的操作时,直接放行,允许用户执行该操作。步骤S24 :暂停下级用户执行所请求的临时操作。当确定下级用户请求执行的操作为需要申请临时操作权限的临时操作时,权限控制服务器暂停下级用户的操作,并确认是否允许其执行该临时操作。这样,实现对下级用户执行某些一次性权限控制的重要操作的操作控制。步骤S25 :向下级用户的上级用户发送临时权限审批请求。权限控制服务器查询权限控制数据库中的用户级别信息,确定请求执行操作的下级用户的上级用户,并向确定的上级用户请求临时权限审批。权限控制服务器可以通过向上级用户发送短信或者通过网络等方式向上级用户发送临时权限审批请求。其中,请求内容中包括下级用户的用户名、所请求操作的对象和操作内容等信息。步骤S26 :监控接收上级用户返回的临时权限审批响应。权限控制服务器发送临时权限审批请求后,监控接收上级用户发送的临时权限审批响应。上级用户可以通过网络或短信等方式返回临时权限审批响应。其中,上级用户接收临时权限审批请求后,上级用户如果同意该下级用户执行所请求的操作,则通过网络或短信等方式回复同意请求的临时权限审批响应。上级用户的审批内容为通过和权限控制服务器约定好的加密算法和密钥,对选定的被加密信息进行加密后的到密码数据。例如被加密信息可以是下级用户请求审批的时间(即发送临时权限审批请求的时间)、接收到审批请求的时间或用户名信息或其他选定的信息等。加密算法可以是RSA 等加密算法。步骤S27 :是否在设定的时间内接收到上级用户返回的临时权限审批响应。权限控制服务器监控设定的时间内,例如10分钟或者10秒钟,是不是接收到上级用户返回的临时权限审批相应。当未接收到时,默认为上级用户不同意下级用户所请求的操作。若是,执行步骤S28 ;否则,执行步骤S31。步骤S28 :根据临时权限审批请求中携带的密码数据,确定上级用户是否授予了下级用户执行所请求的临时操作的临时操作权限。若在设定的时间内接收到了上级用户返回的临时权限审批响应,则需要对接收到的临时权限审批响应进行解析,根据其中携带的密码数据确定上级用户是否同意下级用户执行所请求的临时操作。权限控制服务器采用选定的加密算法和密钥,对与上级用户约定的被加密信息进行加密得到密码数据。其中选定的加密算法和密钥与上级用户选定的加密算法和密钥相同,约定的被加密数据也与上级用户生成密码数据时的被加密数据相同。将接收到的临时权限审批响应中携带的密码数据与自身生成的匹配密码数据进行匹配,若匹配,执行步骤S29 ;否则,执行步骤S31。步骤S29 :确定上级用户授予了下级用户执行所请求的临时操作的临时操作权限。当上级用户同意下级用户执行所请求的临时操作时,权限控制服务器允许下级用户执行所请求的临时操作。步骤S30 :在下级用户执行所请求的临时操作完成后,回收下级用户对该临时操作的临时操作权限。步骤S31 :确定上级用户未授予下级用户执行所请求的临时操作的临时操作权限。若在设定的时间内未接收到上级用户返回的临时权限审批响应或权限控制服务器确定接收到到的临时权限审批响应中的密码数据与自身生成的密码数据不一致,则认为上级用户未授予下级用户执行所请求的临时操作的临时操作权限。
步骤S32 :终止执行下级用户所请求的操作。上级用户不同意下级用户执行所请求的临时操作时,权限控制服务器终止下级用户所请求的操作。基于本发明实施例提供的临时权限控制方法。本发明实施例还提供的一种临时权限控制系统,该系统结构如图4所示,包括若干下级客户端10、权限控制服务器20和上级客户端30。下级客户端10,用于请求下级用户请求执行的操作。权限控制服务器20,用于当确定下级用户通过下级客户端10请求执行的操作为需要申请临时操作权限的临时操作时,暂停下级用户执行所请求的临时操作,向下级用户 的上级用户所在上级客户端发送临时权限审批请求;当根据接收到的上级用户返回的临时权限审批响应,确定上级用户授予下级用户执行所请求的临时操作的临时操作权限时,允 许下级用户执行所请求的临时操作;在下级用户执行所请求的临时操作完成后,回收下级用户对该临时操作的临时操作权限。上级客户端30,用于接收权限控制服务器20发送的临时权限审批请求,并返回临时权限审批响应。优选的,上述权限控制服务器20,具体用于通过网络和/或短信等方式向上级用户发送临时权限审批请求;相应的,上级客户端30,用于通过网络或短信等方式发送上级用户返回的临时权限审批响应。上述权限控制服务器的结构如图5所示,包括操作判断模块101、审批发送模块102和审批判决模块103。操作判断模块101,用于当确定下级用户通过下级客户端请求执行的操作为需要申请临时操作权限的临时操作时,暂停下级用户执行所请求的临时操作。优选的,上述审批发送模块102,具体用于查询存储的用户级别信息,确定所述下级用户的上级用户;生成包含下级用户的用户名、所请求操作的对象和内容的临时权限审批请求,发送给确定出的上级用户。优选的,上述操作判断模块101,具体用于下级用户请求执行操作时,遍历查询存储的临时操作,确定所请求的操作是否是需要申请临时操作权限的临时操作;当判断为否时,直接执行所请求的操作;当判断为是时,暂停下级用户执行所请求的临时操作。审批发送模块102,用于向下级用户的上级用户所在上级客户端发送临时权限审批请求。优选的,上述审批发送模块102,具体用于通过网络和/或短信等方式向上级用户发送临时权限审批请求。审批判决模块103,用于当根据接收到的上级用户返回的临时权限审批响应,确定上级用户授予下级用户执行所请求的临时操作的临时操作权限时,允许下级用户执行所请求的临时操作;在下级用户执行所请求的临时操作完成后,回收下级用户对该临时操作的临时操作权限。优选的,上述审批判决模块103,具体用于发送临时权限审批请求后,监控接收上级用户发送的临时权限审批响应;若在设定的时间内未接收到上级用户返回的临时权限审批响应,确定上级用户未授予下级用户执行所请求的临时操作的临时操作权限;若在设定的时间内接收到了上级用户返回的临时权限审批响应,根据临时权限审批请求中携带的密码数据,确定上级用户是否授予了下级用户执行所请求的临时操作的临时操作权限。优选的,上述权限控制服务器,还包括密码生成模块104,用于采用选定的加密算法和密钥,对与上级用户约定的被加密信息进行加密得到匹配密码数据。相应的,上述审批判决模块103,具体用于将接收到的临时权限审批响应中携带的密码数据与密码生成模块生成的匹配密码数据进行匹配;当不匹配时,确定上级用户未授予下级用户执行所请求的临时操作的临时操作权限;当相匹配时,确定上级用户授予了下级用户执行所请求的临时操作的临时操作权限。优选的,上述权限控制服务器,还包括算法更新模块105,用于获取到上级用户更新的选定的加密算法和加密密钥时进行存储存储,并通知密码生成模块。上述权限控制服务器中可以包括权限控制数据库,而上述权限控制服务器的一种具体结构如图6所示,其中,权限控制数据库与权限控制服务器分开设置为例。则权限控制 数据库中存储有各种上级客户端信息、下级客户端信息和各项临时操作,还可以存储固有操作。操作申请先经过操作判断模块判决,若不是临时操作,直接放行;若是临时操作,进入审批发送模块。审批发送模块查询数据库获取用户信息,确定上级用户。提供给审批判决模块等待审批,审批判决模块确定上级用户审批同意时,放行操作,否则禁止操作。其中,密码生成模块按照预先协商好的加密密钥和加密算法生成密码数据,供审批判决模块接收到上级用户的临时权限审批响应时,进行密码数据匹配。算法更新模块可以与上级用户协商更新加密算法和加密密钥,在更新过程中通知审批判决模块暂停审批,在更新后通知密码生成模块,密码生成模块更新加密算法和加密密钥后通知算法更新模块修改完成。然后算法更新模块再通知审批判决模块回复审批。上述客户端的结构如图7所示,包括接收模块201和审批模块202。接收模块201,用于接收所述权限控制服务器发送的临时权限审批请求。审批模块202,用于接收到的临时权限审批请求时,若同意授予所述下级用户执行所请求的临时操作的临时操作权限,则将采用选定的加密算法和密钥,对约定的被加密信息进行加密得到密码数据,并返回携带所述密码数据的临时权限审批响应。优选的,上述审批模块202,具体用于通过网络或短信等方式返回临时权限审批响应。优选的,上述的客户端,还包括更新模块203,用于更新的选定的加密算法和加密密钥时,通知权限控制服务器。优选的,上述的客户端,还包括操作执行模块204,用于向权限控制服务器请求用户请求执行的操作。上述客户端当包括接收模块201和审批模块202,以及更新模块203时,实现上级客户端的功能;当包括操作执行模块204时实现下级客户端的功能。当包含上述四个模块时,则既可以作为上级客户端使用,也可以作为下级客户端使用。本发明实施例提供的临时权限控制方法、系统及装置,当确定下级用户的请求执行的操作为临时操作时,向上级用户请求审批,并根据上级用户的审批响应判别是否允许下级用户执行临时操作,在下级用户执行临时操作后,回收下级用户的临时操作权限,实现了临时操作权限的自动控制和回收,实现了灵活的权限控制。可以由一个权限控制服务器或一个专门权限控制装置实现自动的审批请求和权限回收,使权限控制更方便,且上级用户可以根据审批请求手动和根据设置自动回复审批,使权限操作控制更便捷,在一次性操作完成后可以及时回收,不用转换角色和重新申请。上述方法针对每次操作进行临时操作判断,实现了一次性操作随时授权,特有保证了每次授权都是一次性的,临时操作执行完毕自动回收权限,下一次操作时必须重新申请,在用户请求操作时的认证过程的基础上,进一步保证 了授权的方便、快捷和安全、可开。且通过加密数据实现审批验证,这种在认证和临时授权两个过程都可以加密控制的双人双密的授权过程,不易被盗用和破解。且上级用户不易被伪造,又能及时审批,保证了重要操作审批的及时性和实时性。通过权限控制服务器控制,解析上级用户的密码数据避免上级用户终端丢失或者被人盗用以提升权限的风险,临时授权的操作执行后,权限立即收回,确保下级用户不会越权操作。其灵活性好,可操作性高,可以针对不同的上级用户和下级用户设置不同的加密算法和加密密钥来进一步提升安全性。上述说明示出并描述了本发明的一个优选实施例,但如前所述,应当理解本发明并非局限于本文所披露的形式,不应看作是对其他实施例的排除,而可用于各种其他组合、修改和环境,并能够在本文所述发明构想范围内,通过上述教导或相关领域的技术或知识进行改动。而本领域人员所进行的改动和变化不脱离本发明的精神和范围,则都应在本发明所附权利要求的保护范围内。
权利要求
1.一种临时权限控制方法,其特征在于,包括 当确定下级用户请求执行的操作为需要申请临时操作权限的临时操作时,暂停下级用户执行所请求的临时操作,向所述下级用户的上级用户发送临时权限审批请求; 当根据接收到的所述上级用户返回的临时权限审批响应,确定所述上级用户授予所述下级用户执行所请求的临时操作的临时操作权限时,允许下级用户执行所请求的临时操作; 在所述下级用户执行所请求的临时操作完成后,回收下级用户对该临时操作的临时操作权限。
2.如权利要求I所述的方法,其特征在于,确定下级用户请求执行的操作为需要申请临时操作权限的临时操作,暂停下级用户执行所请求的临时操作,具体包括 下级用户请求执行操作时,遍历查询存储的临时操作,确定所请求的操作是否是需要申请临时操作权限的临时操作; 当判断为否时,直接执行所请求的操作;当判断为是时,暂停下级用户执行所请求的临时操作。
3.如权利要求I所述的方法,其特征在于,所述向所述下级用户的上级用户发送临时权限审批请求,具体包括 查询存储的用户级别信息,确定所述下级用户的上级用户; 生成包含所述下级用户的用户名、所请求操作的对象和内容的临时权限审批请求,发送给确定出的上级用户。
4.如权利要求I所述的方法,其特征在于,上级用户发送临时权限审批响应,具体包括 上级用户接收到临时权限审批请求时,若同意授予所述下级用户执行所请求的临时操作的临时操作权限,则将采用选定的加密算法和密钥,对约定的被加密信息进行加密得到密码数据,并返回携带所述密码数据的临时权限审批响应。
5.如权利要求4所述的方法,其特征在于,所述根据接收到的所述上级用户的临时权限审批响应,确定所述上级用户是否授予所述下级用户执行所请求的临时操作的临时操作权限的过程,具体包括 发送临时权限审批请求后,监控接收上级用户发送的临时权限审批响应; 若在设定的时间内未接收到上级用户返回的临时权限审批响应,确定上级用户未授予所述下级用户执行所请求的临时操作的临时操作权限; 若在设定的时间内接收到了上级用户返回的临时权限审批响应,根据所述临时权限审批请求中携带的密码数据,确定上级用户是否授予了所述下级用户执行所请求的临时操作的临时操作权限。
6.如权利要求5所述的方法,其特征在于,根据所述临时权限审批请求中携带的密码数据,确定上级用户是否授予了所述下级用户执行所请求的临时操作的临时操作权限,具体包括 将接收到的临时权限审批响应中携带的密码数据与自身生成的匹配密码数据进行匹配;其中,自身生成的密码数据是采用选定的加密算法和密钥,对与所述上级用户约定的被加密信息进行加密得到密码数据;当不匹配时,确定上级用户未授予所述下级用户执行所请求的临时操作的临时操作权限;当相匹配时,确定上级用户授予了所述下级用户执行所请求的临时操作的临时操作权限。
7.如权利要求1-6任一所述的方法,其特征在于,通过网络和/或短信方式向上级用户发送临时权限审批请求;相应的,上级用户通过网络或短信方式返回临时权限审批响应。
8.一种临时权限控制系统,其特征在于,包括权限控制服务器、若干下级客户端和上级客户端; 所述下级客户端,用于请求下级用户请求执行的操作; 所述权限控制服务器,用于当确定下级用户通过下级客户端请求执行的操作为需要申请临时操作权限的临时操作时,暂停下级用户执行所请求的临时操作,向所述下级用户的上级用户所在上级客户端发送临时权限审批请求;当根据接收到的所述上级用户返回的临时权限审批响应,确定所述上级用户授予所述下级用户执行所请求的临时操作的临时操作权限时,允许下级用户执行所请求的临时操作;在所述下级用户执行所请求的临时操作完成后,回收下级用户对该临时操作的临时操作权限; 所述上级客户端,用于接收所述权限控制服务器发送的临时权限审批请求,并返回临时权限审批响应。
9.如权利要求8所述的系统,其特征在于,所述权限控制服务器,具体用于通过网络和/或短信方式向上级用户发送临时权限审批请求;相应的, 所述上级客户端,用于通过网络或短信方式发送上级用户返回的临时权限审批响应。
10.一种权限控制服务器,其特征在于,包括 操作判断模块,用于当确定下级用户通过下级客户端请求执行的操作为需要申请临时操作权限的临时操作时,暂停下级用户执行所请求的临时操作; 审批发送模块,用于向所述下级用户的上级用户所在上级客户端发送临时权限审批请求; 审批判决模块,用于当根据接收到的所述上级用户返回的临时权限审批响应,确定所述上级用户授予所述下级用户执行所请求的临时操作的临时操作权限时,允许下级用户执行所请求的临时操作;在所述下级用户执行所请求的临时操作完成后,回收下级用户对该临时操作的临时操作权限。
11.如权利要求10所述的权限控制服务器,其特征在于,所述操作判断模块,具体用于: 下级用户请求执行操作时,遍历查询存储的临时操作,确定所请求的操作是否是需要申请临时操作权限的临时操作; 当判断为否时,直接执行所请求的操作;当判断为是时,暂停下级用户执行所请求的临时操作。
12.如权利要求10所述的权限控制服务器,其特征在于,所述审批发送模块,具体用于 查询存储的用户级别信息,确定所述下级用户的上级用户; 生成包含所述下级用户的用户名、所请求操作的对象和内容的临时权限审批请求,发送给确定出的上级用户。
13.如权利要求10所述的权限控制服务器,其特征在于,所述审批判决模块,具体用于 发送临时权限审批请求后,监控接收上级用户发送的临时权限审批响应; 若在设定的时间内未接收到上级用户返回的临时权限审批响应,确定上级用户未授予所述下级用户执行所请求的临时操作的临时操作权限; 若在设定的时间内接收到了上级用户返回的临时权限审批响应,根据所述临时权限审批请求中携带的密码数据,确定上级用户是否授予了所述下级用户执行所请求的临时操作的临时操作权限。
14.如权利要求13所述的权限控制服务器,其特征在于,还包括密码生成模块,用于采用选定的加密算法和密钥,对与所述上级用户约定的被加密信息进行加密得到匹配密码数据; 所述审批判决模块,具体用于将接收到的临时权限审批响应中携带的密码数据与密码生成模块生成的匹配密码数据进行匹配;当不匹配时,确定上级用户未授予所述下级用户执行所请求的临时操作的临时操作权限;当相匹配时,确定上级用户授予了所述下级用户执行所请求的临时操作的临时操作权限。
15.如权利要求14所述的权限控制服务器,其特征在于,还包括算法更新模块,用于获取到上级用户更新的选定的加密算法和加密密钥时进行存储,并通知密码生成模块。
16.如权利要求10-15任一所述的权限控制服务器,其特征在于,所述审批发送模块,具体用于通过网络和/或短信方式向上级用户发送临时权限审批请求。
17.一种客户端,其特征在于,包括 接收模块,用于接收所述权限控制服务器发送的临时权限审批请求; 审批模块,用于接收到的临时权限审批请求时,若同意授予所述下级用户执行所请求的临时操作的临时操作权限,则将采用选定的加密算法和密钥,对约定的被加密信息进行加密得到密码数据,并返回携带所述密码数据的临时权限审批响应。
18.如权利要求17所述的客户端,其特征在于,所述审批模块,具体用于通过网络或短信方式返回临时权限审批响应。
19.如权利要求17所述的客户端,其特征在于,还包括更新模块,用于更新的选定的加密算法和加密密钥时,通知权限控制服务器。
20.如权利要求17-19任一所述的客户端,其特征在于,还包括操作执行模块,用于向权限控制服务器请求用户请求执行的操作。
全文摘要
本发明公开了一种临时权限控制方法、系统及装置,该方法包括当确定下级用户请求执行的操作为需要申请临时操作权限的临时操作时,暂停下级用户执行所请求的临时操作,向所述下级用户的上级用户发送临时权限审批请求;当根据接收到的所述上级用户返回的临时权限审批响应,确定所述上级用户授予所述下级用户执行所请求的临时操作的临时操作权限时,允许下级用户执行所请求的临时操作;在所述下级用户执行所请求的临时操作完成后,回收下级用户对该临时操作的临时操作权限。实现了对临时权限的审批控制和权限自动回收,操作控制方便。
文档编号H04L29/06GK102769602SQ20111011285
公开日2012年11月7日 申请日期2011年5月3日 优先权日2011年5月3日
发明者张敬峰, 王晓金, 王雷, 程进 申请人:中国移动通信集团山东有限公司