一种软件系统安全要素分域管理方法及装置与流程

1.本发明公开一种方法及装置，涉及计算机网络技术领域，具体地说是一种软件系统安全要素分域管理方法及装置。


背景技术：

2.随着“互联网+服务”的普及与推广，以及云服务层次和运行质量的提升，为软件系统提供了安全可靠的运行环境。但软件运行中涉及复杂的网络功能域划分，增加了软件系统的研发和实施复杂度。特别是客户对互联网域和公共服务域存在不同的安全需求，同一个账号在互联网域或公共服务域需要展示的不同的功能菜单。现有解决方法通常在公共服务外网和互联网分别独立部署软件系统，然后从数据库层面做数据同步, 虽然起到了系统安全访问的作用，但容易导致数据不一致、覆写、主键冲突等隐患，而且数据同步的即时性也受各方面条件的制约，不利于优化软件的部署和实施难度，不利于便捷地应用软件系统。


技术实现要素：

3.本发明针对现有技术的问题，提供一种软件系统安全要素分域管理方法及装置。本发明提出的具体方案是：本发明提供一种软件系统安全要素分域管理方法，包括以下步骤：步骤1：划分软件系统的网络功能域：按照不同的软件系统访问入口，将软件系统访问入口信息对应的网络功能域与对应的业务菜单、系统角色进行关联；步骤2：按照网络功能域分域配置业务菜单和系统角色：按照网络功能域配置业务菜单的个性化菜单树，按照网络功能域配置系统角色，为系统角色增加网络功能域属性，用于维护系统角色信息；步骤3：在软件系统访问入口的负载均衡器中添加请求头标识，通过请求头标识区分请求相匹配的网络功能域；步骤4：根据请求头标识匹配对应的网络功能域，根据网络功能域加载系统角色的权限和业务菜单。
4.进一步，所述的一种软件系统安全要素分域管理方法中所述步骤1中利用表结构表示网络功能域，其中表结构中包括序号字段、功能域编码字段、功能域名称字段和使能状态字段，序号字段表示网络功能域的排序，功能域编码字段为请求头标识的组成部分，功能域名称字段为网络功能域的名称，使能状态字段显示网络功能域开启或关闭。
5.进一步，所述的一种软件系统安全要素分域管理方法中所述步骤2中按照网络功能域配置系统角色时，利用系统角色数据表模型为系统角色增加网络功能域属性，其中系统角色数据表模型包括role_code字段、role_name字段和role_domain字段，role_code字段表示角色编码，role_name字段表示角色名称，role_domain字段表示角色适用的网络功能域。
6.进一步，所述的一种软件系统安全要素分域管理方法中所述步骤3中软件系统访
问入口的负载均衡器为nginx，则在nginx的配置文件nginx.conf中添加请求头标识；或者软件系统访问入口的负载均衡器为apache，则在apache的配置文件httpd.conf中添加请求头标识。
7.进一步，所述的一种软件系统安全要素分域管理方法中所述步骤4中，包括：根据登录请求，读取请求头标识的值，匹配当前登录请求所属的网络功能域，验证身份合法性，根据登录请求所属网络功能域加载系统角色的权限；根据菜单请求，读取请求头标识的值，匹配当前菜单请求所属的网络功能域，根据当前网络功能域的菜单树和当前登录用户的系统角色的权限加载菜单树。
8.本发明还提供一种软件系统安全要素分域管理装置，包括划分模块、配置模块、标识模块和匹配加载模块，划分模块划分软件系统的网络功能域：按照不同的软件系统访问入口，将软件系统访问入口信息对应的网络功能域与对应的业务菜单、系统角色进行关联；配置模块按照网络功能域分域配置业务菜单和系统角色：按照网络功能域配置业务菜单的个性化菜单树，按照网络功能域配置系统角色，为系统角色增加网络功能域属性，用于维护系统角色信息；标识模块在软件系统访问入口的负载均衡器中添加请求头标识，通过请求头标识区分请求相匹配的网络功能域；匹配加载模块根据请求头标识匹配对应的网络功能域，根据网络功能域加载系统角色的权限和业务菜单。
9.进一步，所述的一种软件系统安全要素分域管理装置中所述划分模块中利用表结构表示网络功能域，其中表结构中包括序号字段、功能域编码字段、功能域名称字段和使能状态字段，序号字段表示网络功能域的排序，功能域编码字段为请求头标识的组成部分，功能域名称字段为网络功能域的名称，使能状态字段显示网络功能域开启或关闭。
10.进一步，所述的一种软件系统安全要素分域管理装置中所述配置模块中按照网络功能域配置系统角色时，利用系统角色数据表模型为系统角色增加网络功能域属性，其中系统角色数据表模型包括role_code字段、role_name字段和role_domain字段，role_code字段表示角色编码，role_name字段表示角色名称，role_domain字段表示角色适用的网络功能域。
11.进一步，所述的一种软件系统安全要素分域管理装置中所述标识模块选择软件系统访问入口的负载均衡器为nginx，则在nginx的配置文件nginx.conf中添加请求头标识；或者标识模块选择软件系统访问入口的负载均衡器为apache，则在apache的配置文件httpd.conf中添加请求头标识。
12.进一步，所述的一种软件系统安全要素分域管理装置中所述匹配加载模块根据登录请求，读取请求头标识的值，匹配当前登录请求所属的网络功能域，验证身份合法性，根据登录请求所属网络功能域加载系统角色的权限；根据菜单请求，读取请求头标识的值，匹配当前菜单请求所属的网络功能域，根据当前网络功能域的菜单树和当前登录用户的系统角色的权限加载菜单树。
13.本发明的有益之处是：本发明提供提供一种软件系统安全要素分域管理方法，根据软件系统访问入口划
分了网络功能域，简化了软件系统的部署和实施难度，无需数据库同步，业务数据一致性更高，扩展性强，可适配更多网络功能域的场景，只需部署一套软件系统，软件系统使用更方便。
附图说明
14.图1是本发明方法流程示意图。
15.图2是本发明方法中软件系统安全要素分域管理应用场景示意图。
16.图3是现有技术软件系统的安全要素管理应用场景示意图。
17.图4是本发明方法与现有技术网络功能域的功能菜单设置对比示意图。
18.图5是本发明涉及的系统角色配置界面示意图。
具体实施方式
19.下面结合附图和具体实施例对本发明作进一步说明，以使本领域的技术人员可以更好地理解本发明并能予以实施，但所举实施例不作为对本发明的限定。
20.本发明提供一种软件系统安全要素分域管理方法，包括以下步骤：步骤1：划分软件系统的网络功能域：按照不同的软件系统访问入口，将软件系统访问入口信息对应的网络功能域与对应的业务菜单、系统角色进行关联；步骤2：按照网络功能域分域配置业务菜单和系统角色：按照网络功能域配置业务菜单的个性化菜单树，按照网络功能域配置系统角色，为系统角色增加网络功能域属性，用于维护系统角色信息；步骤3：在软件系统访问入口的负载均衡器中添加请求头标识，通过请求头标识区分请求相匹配的网络功能域；步骤4：根据请求头标识匹配对应的网络功能域，根据网络功能域加载系统角色的权限和业务菜单。
21.本发明涉及的安全要素，主要指系统角色和业务菜单。本发明方法可以利用网络功能域，基于角色访问控制，对软件系统的业务菜单和系统角色进行分域管理，相比现有的按照外网功能域“分域部署+数据库同步”的方式，本发明方法让软件系统自动的适配多网络功能域的应用场景，能够简化软件的部署和实施难度，避免数据库同步，业务数据一致性更高，扩展性强，可适配更多网络功能域的场景，由于只有一套系统，系统管控更方便。
22.具体应用中，在本发明方法的一些实施例中，进行软件系统安全要素分域管理时，可参考过程如下：步骤1：划分软件系统的网络功能域：按照不同的软件系统访问入口，将软件系统访问入口信息对应的网络功能域与对应的业务菜单、系统角色进行关联。
23.进一步，所述步骤1中利用表结构表示网络功能域，其中表结构中包括序号字段、功能域编码字段、功能域名称字段和使能状态字段，序号字段表示网络功能域的排序，功能域编码字段为请求头标识的组成部分，功能域名称字段为网络功能域的名称，使能状态字段显示网络功能域开启或关闭。通过网络功能域的划分，即实现了业务菜单、系统角色等安全要素按照系统访问入口的分组管理，又满足了系统访问管控的需要，比如系统上线之初，客户希望暂不开放互联网入口，可以在软件系统内部禁用互联网功能域就可以了。
[0024][0025]
按照网络功能域配置系统角色，为系统角色增加网络功能域属性，用于维护系统角色信息。
[0026]
进一步，所述步骤2中按照网络功能域配置系统角色时，利用系统角色数据表模型为系统角色增加网络功能域属性，其中系统角色数据表模型包括role_code字段、role_name字段和role_domain字段，role_code字段表示角色编码，role_name字段表示角色名称，role_domain字段表示角色适用的网络功能域，参考图5，系统角色配置页面中可以输入角色编码和角色名称，选用网络功能域等。
[0027]
本发明方法利用网络功能域配置系统角色，可以避免用户分别从不同网络域，如互联网域和公共服务域访问软件系统时使用相同的角色，避免用户会话拥有相同系统访问权限，能够阻止用户直接使用api接口访问软件系统，不会导致信息泄露，不会给软件系统的平台带来安全隐患。
[0028]
步骤3：在软件系统访问入口的负载均衡器中添加请求头标识，通过请求头标识区分请求相匹配的网络功能域。
[0029]
进一步，所述步骤3中软件系统访问入口的负载均衡器为nginx，则在nginx的配置文件nginx.conf中添加请求头标识。
[0030]
例如请求头标识为x-request-domain，与软件系统定义的网络功能域相匹配，例如：互联网域和公共服务域的标识分别为o和i，则请求头标识x-request-domain的值分别为o和i。
[0031]
在nginx的配置文件nginx.conf中添加了标识网络功能域的请求头x-request-domain，代码参考为：location / {# 互联网域proxy_set_header x-request o ;}location / {# 公共服务域proxy_set_header x-request i ;}或者软件系统访问入口的负载均衡器为apache，则在apache的配置文件httpd.conf中添加请求头标识。如上述请求头标识为x-request-domain，互联网域和公共服务域的标识分别为o和i，则请求头标识x-request-domain的值分别为o和i。代码参考为：# 互联网域名loadmodule headers_module modules/mod_headers.soheader set x-request-domain "o"# 公共服务域loadmodule headers_module modules/mod_headers.soheader set x-request-domain "i"步骤4：根据请求头标识匹配对应的网络功能域，根据网络功能域加载系统角色的
权限和业务菜单。
[0032]
进一步，所述步骤4中，包括：根据登录请求，读取请求头标识的值，如读取请求头标识x-request-domain的值，匹配当前登录请求所属的网络功能域，验证身份合法性后，根据登录请求所属网络功能域加载系统角色的权限；根据菜单请求，读取请求头标识的值，如读取请求头标识x-request-domain的值，匹配当前菜单请求所属的网络功能域，根据当前网络功能域的菜单树和当前登录用户的系统角色的权限加载菜单树。参考图2和3，对比可见，图2中显示利用本发明方法，软件系统a根据自定义请求头标识x-request-domain加载对应的网络功能域对应的业务菜单和系统角色，当请求头标识x-request-domain的值为i，则加载公共服务域对应的业务菜单和系统角色，当请求头标识x-request-domain的值为o，则加载互联网域对应的业务菜单和系统角色。
[0033]
本发明还提供一种软件系统安全要素分域管理装置，包括划分模块、配置模块、标识模块和匹配加载模块，划分模块划分软件系统的网络功能域：按照不同的软件系统访问入口，将软件系统访问入口信息与对应的业务菜单、系统角色进行关联，根据软件系统访问入口加载对应的业务菜单和系统角色；配置模块按照网络功能域分域配置业务菜单和系统角色：按照网络功能域配置业务菜单的个性化菜单树，按照网络功能域配置系统角色，为系统角色增加网络功能域属性，用于维护系统角色信息；标识模块在软件系统访问入口的负载均衡器中添加请求头标识，通过请求头标识区分请求相匹配的网络功能域；匹配加载模块根据请求头标识匹配对应的网络功能域，根据网络功能域加载系统角色的权限和业务菜单。
[0034]
上述装置内的各模块之间的信息交互、执行过程等内容，由于与本发明方法实施例基于同一构思，具体内容可参见本发明方法实施例中的叙述，此处不再赘述。
[0035]
同样地，本发明装置根据软件系统访问入口划分了网络功能域，简化了软件系统的部署和实施难度，无需数据库同步，业务数据一致性更高，扩展性强，可适配更多网络功能域的场景，只需部署一套软件系统，软件系统使用更方便。
[0036]
需要说明的是，上述各流程和各装置结构中不是所有的步骤和模块都是必须的，可以根据实际的需要忽略某些步骤或模块。各步骤的执行顺序不是固定的，可以根据需要进行调整。上述各实施例中描述的系统结构可以是物理结构，也可以是逻辑结构，即，有些模块可能由同一物理实体实现，或者，有些模块可能分由多个物理实体实现，或者，可以由多个独立设备中的某些部件共同实现。
[0037]
以上所述实施例仅是为充分说明本发明而所举的较佳的实施例，本发明的保护范围不限于此。本技术领域的技术人员在本发明基础上所作的等同替代或变换，均在本发明的保护范围之内。本发明的保护范围以权利要求书为准。

技术特征：
1.一种软件系统安全要素分域管理方法，其特征是包括以下步骤：步骤1：划分软件系统的网络功能域：按照不同的软件系统访问入口，将软件系统访问入口信息对应的网络功能域与对应的业务菜单、系统角色进行关联；步骤2：按照网络功能域分域配置业务菜单和系统角色：按照网络功能域配置业务菜单的个性化菜单树，按照网络功能域配置系统角色，为系统角色增加网络功能域属性，用于维护系统角色信息；步骤3：在软件系统访问入口的负载均衡器中添加请求头标识，通过请求头标识区分请求相匹配的网络功能域；步骤4：根据请求头标识匹配对应的网络功能域，根据网络功能域加载系统角色的权限和业务菜单。2.根据权利要求1所述的一种软件系统安全要素分域管理方法，其特征是所述步骤1中利用表结构表示网络功能域，其中表结构中包括序号字段、功能域编码字段、功能域名称字段和使能状态字段，序号字段表示网络功能域的排序，功能域编码字段为请求头标识的组成部分，功能域名称字段为网络功能域的名称，使能状态字段显示网络功能域开启或关闭。3.根据权利要求1所述的一种软件系统安全要素分域管理方法，其特征是所述步骤2中按照网络功能域配置系统角色时，利用系统角色数据表模型为系统角色增加网络功能域属性，其中系统角色数据表模型包括role_code字段、role_name字段和role_domain字段，role_code字段表示角色编码，role_name字段表示角色名称，role_domain字段表示角色适用的网络功能域。4.根据权利要求1所述的一种软件系统安全要素分域管理方法，其特征是所述步骤3中软件系统访问入口的负载均衡器为nginx，则在nginx的配置文件nginx.conf中添加请求头标识；或者软件系统访问入口的负载均衡器为apache，则在apache的配置文件httpd.conf中添加请求头标识。5.根据权利要求1所述的一种软件系统安全要素分域管理方法，其特征是所述步骤4中，包括：根据登录请求，读取请求头标识的值，匹配当前登录请求所属的网络功能域，验证身份合法性，根据登录请求所属网络功能域加载系统角色的权限；根据菜单请求，读取请求头标识的值，匹配当前菜单请求所属的网络功能域，根据当前网络功能域的菜单树和当前登录用户的系统角色的权限加载菜单树。6.一种软件系统安全要素分域管理装置，其特征是包括划分模块、配置模块、标识模块和匹配加载模块，划分模块划分软件系统的网络功能域：按照不同的软件系统访问入口，将软件系统访问入口信息对应的网络功能域与对应的业务菜单、系统角色进行关联；配置模块按照网络功能域分域配置业务菜单和系统角色：按照网络功能域配置业务菜单的个性化菜单树，按照网络功能域配置系统角色，为系统角色增加网络功能域属性，用于维护系统角色信息；标识模块在软件系统访问入口的负载均衡器中添加请求头标识，通过请求头标识区分请求相匹配的网络功能域；
匹配加载模块根据请求头标识匹配对应的网络功能域，根据网络功能域加载系统角色的权限和业务菜单。7.根据权利要求6所述的一种软件系统安全要素分域管理装置，其特征是所述划分模块中利用表结构表示网络功能域，其中表结构中包括序号字段、功能域编码字段、功能域名称字段和使能状态字段，序号字段表示网络功能域的排序，功能域编码字段为请求头标识的组成部分，功能域名称字段为网络功能域的名称，使能状态字段显示网络功能域开启或关闭。8.根据权利要求6所述的一种软件系统安全要素分域管理装置，其特征是所述配置模块中按照网络功能域配置系统角色时，利用系统角色数据表模型为系统角色增加网络功能域属性，其中系统角色数据表模型包括role_code字段、role_name字段和role_domain字段，role_code字段表示角色编码，role_name字段表示角色名称，role_domain字段表示角色适用的网络功能域。9.根据权利要求6所述的一种软件系统安全要素分域管理装置，其特征是所述标识模块选择软件系统访问入口的负载均衡器为nginx，则在nginx的配置文件nginx.conf中添加请求头标识；或者标识模块选择软件系统访问入口的负载均衡器为apache，则在apache的配置文件httpd.conf中添加请求头标识。10.根据权利要求6所述的一种软件系统安全要素分域管理装置，其特征是所述匹配加载模块根据登录请求，读取请求头标识的值，匹配当前登录请求所属的网络功能域，验证身份合法性，根据登录请求所属网络功能域加载系统角色的权限；根据菜单请求，读取请求头标识的值，匹配当前菜单请求所属的网络功能域，根据当前网络功能域的菜单树和当前登录用户的系统角色的权限加载菜单树。

技术总结
本发明公开一种软件系统安全要素分域管理方法及装置，涉及计算机网络技术领域；包括步骤1：划分软件系统的网络功能域；步骤2：按照网络功能域分域配置业务菜单和系统角色；步骤3：在软件系统访问入口的负载均衡器中添加请求头标识，通过请求头标识区分请求相匹配的网络功能域；步骤4：根据请求头标识匹配对应的网络功能域，根据网络功能域加载系统角色的权限和业务菜单；本发明简化了软件系统的部署和实施难度，无需数据库同步，业务数据一致性更高，扩展性强，可适配更多网络功能域的场景，只需部署一套软件系统，软件系统使用更方便。软件系统使用更方便。软件系统使用更方便。


技术研发人员：桑成刚 张峰 王彦功 朱家兵 王坤朋 付君伟 张悦 段其朴
受保护的技术使用者：浪潮软件科技有限公司
技术研发日：2023.07.25
技术公布日：2023/9/9