技術領域

本實用新型涉及信息安全領域，具體而言，涉及一種權限控制系統。

背景技術

目前的URL權限控制通常由B/S架構應用系統自身進行控制。該方法依托于基于角色的訪問控制方法，將不同用戶劃分成不同的角色，然后將不同角色賦予不同URL權限，即通過控制不同角色的URL權限來控制用戶的URL訪問權限。除了應用系統自身控制之外，還可以使用網絡設備進行控制。使用網絡設備進行控制，一般是指在防火墻、交換機上設置安全策略，以阻止用戶對特定IP地址下的URL訪問。

現有技術中，采用B/S架構應用系統自身進行控制的URL權限控制，一般只能通過在開發階段所設計的URL權限模型進行控制，且通常按照基于角色的訪問控制方式，該方法URL權限粒度較粗，很難完全適用于用戶的實際環境。采用網絡設備進行URL權限控制，也存在著控制粒度較粗的問題，且不能針對特定用戶而只能針對特定IP地址進行URL權限控制，在多人共享使用電腦的情況下存在較大的不便。

針對相關技術的URL控制粒度較粗的問題，目前尚未提出有效的解決方案。

實用新型內容

針對相關技術的URL控制粒度較粗的問題，目前尚未提出有效的解決方案，為此，本實用新型的主要目的在于提供一種權限控制系統，以解決上述問題。

為了實現上述目的，根據本實用新型提供了一種權限控制系統，該系統包括：客戶端，用于發出登錄用戶的用戶信息和功能權限訪問請求；控制服務器，用于將接收到的用戶信息與功能權限控制策略進行對比，以確認登錄用戶是否具有功能訪問權限；B/S架構應用服務器，用于在登錄用戶具有功能訪問權限的情況下，接收客戶端的功能權限訪問請求。

進一步地，接收裝置，用于接收用戶信息和功能權限訪問請求；處理裝置，用于根據用戶信息進行查詢操作來獲取對應的URL權限信息，以確認登錄用戶是否具有功能訪問權限；發送裝置，用于在登錄用戶具有功能訪問權限的情況下，發送功能權限訪問請求至B/S架構應用服務器。

進一步地，第一存儲裝置，用于預先設置并存儲各個用戶信息與URL權限信息的關聯關系。

進一步地，登錄認證裝置，用于驗證登錄用戶的登錄認證信息，在驗證登錄用戶為合法用戶之后，獲取登錄認證信息中的用戶信息。

進一步地，第二存儲裝置，用于記錄功能權限訪問日志。

進一步地，訪問阻斷裝置，用于攔截IP數據包；訪問監控裝置，用于將IP數據包與其所對應的訪問控制策略進行對比，以確認是否發送該IP數據包至B/S架構應用服務器。

進一步地，處理裝置，用于將解析IP數據包而得到的URL地址與訪問控制策略進行對比，來確認是否允許登錄用戶訪問該URL地址所對應的B/S架構應用服務器。

通過本實用新型，采用控制服務器對用戶身份信息與功能權限控制策略的對比，將用戶身份與URL訪問權限綁定，解決了現有技術中URL控制粒度較粗的問題，從而達到了URL控制粒度較細的效果，實現了對B/S架構應用程序訪問控制細粒度的安全保護。

附圖說明

此處所說明的附圖用來提供對本實用新型的進一步理解，構成本申請的一部分，本實用新型的示意性實施例及其說明用于解釋本實用新型，并不構成對本實用新型的不當限定。在附圖中：

圖1是根據本實用新型實施例的URL權限控制系統的框架結構示意圖；

圖2是根據圖1所示的實施例的URL權限控制業務流程架構示意圖；以及

圖3是根據本實用新型實施例的URL權限控制系統的應用方法的流程圖。

具體實施方式

需要說明的是，在不沖突的情況下，本申請中的實施例及實施例中的特征可以相互組合。下面將參考附圖并結合實施例來詳細說明本實用新型。

圖1根據本實用新型實施例的URL權限控制系統的框架結構示意圖，圖2是根據圖1所示的實施例的URL權限控制業務流程架構示意圖。如圖1和圖2所示，本申請實施例的權限控制系統包括：客戶端，用于發出登錄用戶的用戶信息和功能權限訪問請求；控制服務器，用于將接收到的用戶信息與功能權限控制策略進行對比，以確認登錄用戶是否具有功能訪問權限；B/S架構應用服務器，用于在登錄用戶具有功能訪問權限的情況下，接收客戶端的功能權限訪問請求。優選地，該客戶端可以是URL控制客戶端，控制服務器可以是URL控制服務器。