应用访问权限控制方法及装置

1.一种应用访问权限控制方法，所述方法应用在远程应用服务器上，其特征在于，所述方法包括：
获取应用权限管理服务器发送的用户的授权应用消息，所述授权应用消息为所述应用权限管理服务器在监测到所述用户上线时，周期性向所述远程应用服务器发送；
根据所述用户的授权应用消息，为所述用户建立授权应用列表；
根据所述用户的授权应用列表，判断所述用户是否对正在访问的各个应用具有访问权限；
根据所述判断的结果，控制所述用户访问所述远程应用服务器上的应用。
2.根据权利要求1所述的方法，其特征在于，所述根据所述用户的授权应用列表，判断所述用户是否对正在访问的各个应用具有访问权限，具体为：
判断是否到达预设的检查周期；
在到达所述检查周期时，判断所述用户是否正在访问所述远程应用服务器上的应用；
若所述用户正在访问所述远程应用服务器上的应用，则依次判断所述用户正在访问的各个应用是否存在于所述用户的授权应用列表中，若所述用户正在访问应用存在于所述用户的授权应用列表中，则表示所述用户对所述应用具有访问权限；否则，表示所述用户对所述应用不具有访问权限。
3.根据权利要求1所述的方法，其特征在于，所述根据所述判断的结果，控制所述用户访问所述远程应用服务器上的应用，具体为：
在所述用户对正在访问的应用不具有访问权限时，关闭所述远程应用服务器上的所述应用，以限制所述用户继续访问所述远程应用服务器上的所述应用。
4.根据权利要求1至3中任一项所述的方法，其特征在于，所述用户的授权应用消息，包括：
在所述应用权限管理服务器上为所述用户初始设置的授权应用的授权应用消息；或者，
在所述应用权限管理服务器上调整为所述用户所述初始设置的授权应用后生成的更新的授权应用消息。
5.一种应用访问权限控制方法，所述方法应用在应用权限管理服务器上，其特征在于，所述方法包括：
在监测到用户上线时，周期性获取所述用户的授权应用消息；
向远程应用服务器发送所述用户的授权应用消息，以使所述远程应用服务器根据所述用户的授权应用消息，为所述用户建立授权应用列表，并根据所述用户的授权应用列表，判断所述用户是否对正在访问的各个应用具有访问权限。
6.根据权利要求5所述的方法，其特征在于，所述方法还包括：
监测所述用户是否上线；
向远程应用服务器发送用户的授权应用消息，包括：
在监测到所述用户上线时，向所述远程应用服务器发送所述用户的授权应用消息。
7.根据权利要求5或6所述的方法，其特征在于，所述用户可访问应用的授权应用消息，包括：
在所述应用权限管理服务器上为所述用户初始设置的授权应用的授权应用消息；或者，
在所述应用权限管理服务器上调整为所述用户初始设置的授权应用后生成的更新的授权应用消息。
8.一种应用访问权限控制装置，所述装置应用在远程应用服务器上，其特征在于，所述装置包括：
接收单元，用于接收应用权限管理服务器发送的用户的授权应用消息，所述授权应用消息为所述应用权限管理服务器在监测到所述用户上线时，周期性向所述远程应用服务器发送；
建立单元，用于根据所述用户的授权应用消息，为所述用户建立授权应用列表；
判断单元，用于根据所述用户的授权应用列表，判断所述用户是否对正在访问的各个应用具有访问权限；
控制单元，用于根据所述判断的结果，控制所述用户访问所述远程应用服务器上的应用。
9.根据权利要求8所述的装置，其特征在于，所述判断单元进一步用于：
判断是否到达预设的检查周期；
在到达所述检查周期时，判断所述用户是否正在访问所述远程应用服务器上的应用；
在所述用户正在访问所述远程应用服务器上的应用时，依次判断所述用户正在访问的各个应用是否存在于所述用户 的授权应用列表中，若所述用户正在访问的应用存在于所述用户的授权应用列表中，则表示所述用户对所述应用具有访问权限；否则，表示所述用户对所述应用不具有访问权限。
10.根据权利要求8所述的装置，其特征在于，所述控制单元还用于：
在所述用户对正在访问的应用不具有访问权限时，关闭所述远程应用服务器上的所述应用，以限制所述用户继续访问所述远程应用服务器上的所述应用。
11.根据权利要求8至10中任一项所述的装置，其特征在于，所述用户的授权应用消息，包括：
在所述应用权限管理服务器上为所述用户初始设置的授权应用的授权应用消息；或者，
在所述应用权限管理服务器上调整为所述用户初始设置的授权应用后生成的更新的授权应用消息。
12.一种应用访问权限控制装置，所述装置应用在应用权限管理服务器上，其特征在于，所述装置包括：
获取单元，用于在监测到用户上线时，周期性获取所述用户的授权应用消息；
发送单元，用于向远程应用服务器发送所述用户的授权应用消息，以使所述远程应用服务器根据所述用户的授权应用消息，为所述用户建立授权应用列表，并根据所述用户的授权应用列表，判断所述用户是否对正在访问的各个应用具有访问权限。
13.根据权利要求12所述的装置，其特征在于，所述装置还包括：
监测单元，用于监测所述用户是否上线；
所述发送单元，具体用于在监测到所述用户上线时，向所述远程应用服务器发送所述用户的授权应用消息。
14.根据权利要求12或13所述的装置，其特征在于，所述用户的授权应用消息，包括：
在所述应用权限管理服务器上为所述用户初始设置的授权应用的授权应用消息；或者，
在所述应用权限管理服务器上调整为所述用户初始设置的授权应用后生成的更新的授权应用消息。

应用访问权限控制方法及装置\n技术领域\n[0001] 本发明涉及网络通信技术领域，特别涉及一种应用访问权限控制方法及装置。\n背景技术\n[0002] 随着企业规模和业务的发展，自带设备办公(BYOD，Bring Your Own Office)技术使办公人员可以在任何时间、任何地点处理与业务有关的任何事情成为可能。为了实现BYOD，企业通常需要将各种办公应用软件安装在远程应用服务器上，用户可以通过客户端实现对远程应用服务器上的应用的访问。\n[0003] 但是，不同的用户可以访问的应用权限可能不同，现有BYOD技术无法很好地对不同权限的用户进行控制和隔离，如此，给BYOD系统带来严重的安全隐患。\n发明内容\n[0004] 有鉴于此，本发明提供一种应用访问权限控制方法及装置，以解决BYOD系统的安全性问题。\n[0005] 根据本发明实施例的第一方面，提供一种应用访问权限控制方法，所述方法应用在远程应用服务器上，所述方法包括：\n[0006] 获取应用权限管理服务器发送的用的授权应用消息；\n[0007] 根据所述用户的授权应用消息，为所述用户建立授权应用列表；\n[0008] 根据所述用户的授权应用列表，判断所述用户是否对正在访问的各个应用具有访问权限；\n[0009] 根据所述判断的结果，控制所述用户访问所述远程应用服务器上的应用。\n[0010] 根据本发明实施例的第二方面，提供一种应用访问权限控制方法，所述方法应用在应用权限管理服务器上，所述方法包括：\n[0011] 获取用户的授权应用消息；\n[0012] 向远程应用服务器发送用户的授权应用消息，以使所述远程应用服务器根据所述用户的授权应用消息，为所述用户建立授权应用列表，并根据所述用户的授权应用列表，判断所述用户是否对正在访问的各个应用具有访问权限。\n[0013] 根据本发明实施例的第三方面，提供一种应用访问权限控制装置，所述装置应用在远程应用服务器上，所述装置包括：\n[0014] 接收单元，用于接收应用权限管理服务器发送的用户的授权应用消息；\n[0015] 建立单元，用于根据所述用户的授权应用消息，为所述用户建立授权应用列表；\n[0016] 判断单元，用于根据所述用户的授权应用列表，判断所述用户是否对正在访问的各个应用具有访问权限；\n[0017] 控制单元，用于根据所述判断的结果，控制所述用户访问所述远程应用服务器上的应用。\n[0018] 根据本发明实施例的第四方面，提供一种应用访问权限控制装置，所述装置应用在应用权限管理服务器上，所述装置包括：\n[0019] 获取单元，用于获取用户的授权应用消息；\n[0020] 发送单元，用于向远程应用服务器发送所述用户的授权应用消息，以使所述远程应用服务器根据所述用户的授权应用消息，为所述用户建立授权应用列表，并根据所述用户的授权应用列表，判断所述用户是否对正在访问的各个应用具有访问权限。\n[0021] 综上所述，由于采用了上述技术方案，本发明的有益效果是：\n[0022] 本发明实施例中，远程应用服务器根据用户的授权应用消息，为用户建立授权应用列表，并根据用户的授权应用列表，判断用户是否对正在访问的各个应用具有访问权限，在用户对正在访问的应用不具有访问权限时限制该用户继续访问该应用，从而可以避免用户访问远程应用服务器上的非法应用，提高BYOD系统的安全性。\n附图说明\n[0023] 图1是应用本发明实施例实现应用访问权限控制的场景示意图；\n[0024] 图2是本发明应用访问权限控制方法的一个实施例流程图；\n[0025] 图3是本发明应用访问权限控制方法的另一个实施例流程图；\n[0026] 图4是本发明应用访问权限控制方法的另一个实施例流程图；\n[0027] 图5是本发明应用访问权限控制装置所在设备的一种硬件结构图；\n[0028] 图6是本发明应用访问权限控制装置的一个实施例框图；\n[0029] 图7是本发明应用访问权限控制装置的另一个实施例框图。\n具体实施方式\n[0030] 为了使本技术领域的人员更好地理解本发明实施例中的技术方案，并使本发明实施例的上述目的、特征和优点能够更加明显易懂，下面结合附图对本发明实施例中技术方案作进一步详细的说明。\n[0031] 参见图1，为应用本发明实施例实现应用访问权限控制的场景示意图。在图1中，该终端可以为手机、iPad、笔记本电脑等。该网络可以为通过VPN(Virtual Private Network，虚拟专用网络)方式接入的公共网络，或者通过Portal(进入)、802.1x方式接入的企业私有网络等；策略控制服务器可以包括接入管理服务器和应用权限管理服务器；第三方移动办公服务器可以包括远程应用服务器和Windows AD(active Directory，活动目录)域服务器。其中接入管理服务器可以为UAM(User Access Management，用户接入管理)服务器，应用权限管理服务器可以为EMO(Endpoint Mobile Office，移动办公)服务器，远程应用服务器可以为RDP(Remote Desktop Protocol，远程桌面协议)服务器，在远程应用服务器为RDP服务器时，第三方移动办公服务器中的各个远程应用服务器需要加入至统一的Windows AD域中。管理员通过应用权限管理服务器可以为每个用户设置各个应用的访问权限，在用户通过终端登录网络时，接入管理服务器对登录终端的用户进行认证；在用户认证成功后，应用权限管理服务器将用户的授权应用消息发送给远程应用服务器；远程应用服务器根据用户的授权应用消息，将用户的授权应用发布给终端，以使登录至该终端的用户可以访问远程应用服务器上的应用。\n[0032] 具体地，在本发明实施例中，远程应用服务器根据用户的授权应用消息，为该用户建立授权应用列表，并根据用户的授权应用列表，判断用户是否对正在访问的各个应用具有访问权限，在用户对正在访问的应用不具有访问权限时限制用户访问该应用，从而可以避免用户访问远程应用服务器上的非法应用，提高BYOD系统的安全性。\n[0033] 参见图2，为本发明应用访问权限控制方法的一个实施例的流程图，该实施例从远程应用服务器侧进行描述，包括以下步骤：\n[0034] 步骤201、获取应用权限管理服务器发送的用户的授权应用消息。\n[0035] 在本发明优选的实施例中，授权应用消息可以为应用名称、应用运行时所启动进程的进程名等。由于在用户首次上线前，管理员可以通过应用权限管理服务器为每个用户设置初始的授权应用，且在用户首次上线后，管理员可能通过应用权限管理服务器对该用户初始设置的授权应用进行调整，从而使用户的授权应用消息发生变化，因此EMO服务器通过在每次监测到用户上线时，周期性向远程应用服务器发送用户的授权应用消息，可以提高应用访问权限控制的准确度，从而进一步提高BYOD系统的安全性。其中，用户的授权应用消息，可以包括：在应用权限管理服务器上为用户初始设置的授权应用的授权应用消息；或者在应用权限管理服务器上调整为所述用户初始设置的授权应用后生成的更新的授权应用消息。\n[0036] 步骤202、根据用户的授权应用消息，为该用户建立授权应用列表。\n[0037] 步骤203、根据该用户的授权应用列表，判断该用户是否对正在访问的各个应用具有访问权限。\n[0038] 在本发明的优选实施例中，远程应用服务器首先判断是否到达预设的检查周期，然后在到达检查周期时，进一步判断用户是否正在访问远程应用服务器上的应用：若用户正在访问远程应用服务器上的应用，则依次判断用户正在访问的各个应用是否存在于用户的授权应用列表中，若该用户正在访问应用存在于该用户的授权应用列表中，则表示该用户对该应用具有访问权限；否则，表示该用户对该应用不具有访问权限。\n[0039] 由于用户在访问远程应用服务器上的应用的过程中，用户能够访问的应用权限可能发生变化，因此远程应用服务器通过周期性地判断用户是否对正在访问的各个应用具有访问权限，可以提高应用访问权限控制的准确度，从而进一步提高BYOD系统的安全性。\n[0040] 步骤204、根据判断的结果，控制用户访问远程应用服务器上的应用。\n[0041] 在本发明优选的实施例中，当用户对正在访问的应用不具有访问权限时，远程应用服务器可以通过关闭任务管理器中与该用户对应的应用的进程名来限制该用户继续访问该应用。\n[0042] 由上述实施例可见，远程应用服务器根据用户的授权应用消息，为该用户建立授权应用列表，并根据用户的授权应用列表，周期性判断用户是否对正在访问的各个应用具有访问权限，在用户对正在访问的应用不具有访问权限时限制用户继续访问该应用，从而可以避免用户访问远程应用服务器上的非法应用，提高BYOD系统的安全性。\n[0043] 参见图3，为本发明应用访问权限控制方法的另一个实施例的流程图，该实施例从应用权限管理服务器侧进行描述，包括以下步骤：\n[0044] 步骤301、获取用户的授权应用消息。\n[0045] 在本发明的优选实施例中，管理员可以通过应用权限管理服务器为每个用户设置各个应用的访问权限，从而使应用权限管理服务器获得用户的授权应用消息。\n[0046] 步骤302、向远程应用服务器发送用户的授权应用消息，以使该远程应用服务器根据用户的授权应用消息，为用户建立授权应用列表，并根据用户的授权应用列表，判断该用户是否对正在访问的各个应用具有访问权限。\n[0047] 由于在用户首次上线前，管理员可以通过应用权限管理服务器为每个用户设置初始的授权应用，在用户首次上线后，管理员还可能会通过应用权限管理服务器，对为用户初始设置的授权应用进行调整，从而使用户的授权应用消息发生变化，因此应用权限管理服务器通过在每次监测到用户上线时，周期性向远程应用服务器发送用户的授权应用消息，可以提高应用访问权限控制的准确度，从而进一步提高BYOD系统的安全性。其中，用户的授权应用消息，可以包括：在应用权限管理服务器上为用户初始设置的授权应用的授权应用消息；或者在应用权限管理服务器上调整为所述用户初始设置的授权应用后生成的更新的授权应用消息。\n[0048] 图3所示实施例与前述图2所示实施例的描述一致，其区别仅在于执行主体不同，在此不再赘述。\n[0049] 由上述实施例可见，远程应用服务器根据用户的授权应用消息，为该用户建立授权应用列表，并根据该用户的授权应用列表，周期性判断用户是否对正在访问的各个应用具有访问权限，在用户对正在访问的应用不具有访问权限时限制用户继续访问该应用，从而可以避免用户访问远程应用服务器上的非法应用，提高BYOD系统的安全性。\n[0050] 参见图4，为本发明应用访问权限控制方法的另一个实施例流程图，该实施例通过应用权限管理服务器与远程应用服务器之间的交互，来详细描述应用访问权限控制过程。\n在本实施例的具体实现中，通过在远程应用服务器上进一步部署代理Agent，由代理Agent与应用权限管理服务器进行数据通信并执行本发明方法。该方法包括以下步骤：\n[0051] 步骤401、应用权限管理服务器监测用户是否上线，并在监测到用户上线时，周期性向代理Agent发送该用户的授权应用消息。\n[0052] 在本发明优选的实施例中，授权应用消息为应用运行时所启动进程的进程名，每一应用可以与至少一个进程名对应。\n[0053] 步骤402、代理Agent根据该用户的进程名，建立用户的进程名列表。\n[0054] 步骤403、代理Agent周期性检查远程应用服务器的任务管理器。\n[0055] 其中，远程应用服务器的任务管理器中可以包括用户名和用户正在访问的应用的进程名。\n[0056] 步骤404、代理Agent判断任务管理器中是否存在与用户的用户名相同的用户名：\n若存在，则表示用户正在访问远程应用服务器上的应用，执行步骤405；否则，表示用户没有访问远程应用服务器上的应用，执行步骤409。\n[0057] 步骤405、代理Agent依次检查任务管理器中用户正在访问的应用的进程名是否存在于该用户的进程名列表中：若用户正在访问的应用的进程名存在于用户的进程名列表中，则表示用户对该应用具有访问权限，执行步骤407；否则，表示用户对该应用不具有访问权限，执行步骤406。\n[0058] 步骤406、代理Agent关闭远程应用服务器的任务管理器中该应用的进程名，以限制该用户继续访问该应用。\n[0059] 步骤407、代理Agent判断是否已完成对用户正在访问的所有应用的访问权限的确定：若是，则执行步骤408，否则，执行步骤405。\n[0060] 在本实施例中，用户正在访问的所有应用是指在任务管理器中用户正在访问的所有应用。\n[0061] 步骤408、代理Agent判断是否到达检查周期：若到达检查周期，则执行步骤403，否则，执行步骤408。\n[0062] 步骤409、结束操作。\n[0063] 由上述实施例可见，远程应用服务器根据用户的授权应用消息，为该用户建立授权应用列表，并根据该用户的授权应用列表，判断用户是否对正在访问的各个应用具有访问权限，在用户对正在访问的应用不具有访问权限时限制用户继续访问该应用，从而可以避免用户访问远程应用服务器上的非法应用，提高BYOD系统的安全性。\n[0064] 与前述应用访问权限控制方法实施例相对应，本发明还提供了应用访问权限控制装置的实施例。\n[0065] 本发明应用访问权限控制装置实施例可以通过软件实现，也可以通过硬件或软硬件结合的方式实现。以软件实现为例，作为一个逻辑意义上的装置，是通过其所在设备的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言，如图5所示，为本发明应用访问权限控制装置所在设备的一种硬件结构图，除了图5所示的处理器、网络接口、存储器之外，实施例中装置所在的设备通常还可以包括其他硬件，如负责处理报文的转发芯片等；从硬件结构上来讲该设备还可能是分布式的设备，可能包括多个接口卡，以便在硬件层面进行报文处理的扩展。\n[0066] 参见图6，为本发明应用访问权限控制装置的一个实施例框图，该装置应用在远程应用服务器上，该装置可以包括：\n[0067] 接收单元610，用于接收应用权限管理服务器发送的用户的授权应用消息；\n[0068] 建立单元620，用于根据该用户的授权应用消息，为该用户建立授权应用列表；\n[0069] 判断单元630，用于根据该用户的授权应用列表，判断该用户是否对正在访问的各个应用具有访问权限；\n[0070] 控制单元640，用于根据该判断的结果，控制用户访问远程应用服务器上的应用。\n[0071] 在一个可选的实现方式中，该判断单元630进一步用于：\n[0072] 判断是否到达预设的检查周期；\n[0073] 在到达检查周期时，判断用户是否正在访问远程应用服务器上的应用；\n[0074] 在用户正在访问远程应用服务器上的应用时，依次判断用户正在访问的各个应用是否存在于用户的授权应用列表中，若用户正在访问应用存在于用户的授权应用列表中，则表示该用户对该应用具有访问权限；否则，表示该用户对该应用不具有访问权限。\n[0075] 在另一个可选的实现方式中，该控制单元640，进一步用于：\n[0076] 当用户对正在访问的应用不具有访问权限时，关闭远程应用服务器上的该应用，以限制该用户继续访问远程应用服务器上的该应用。\n[0077] 在另一个可选的实现方式中，所述用户的授权应用消息，可以包括：\n[0078] 在所述应用权限管理服务器上为所述用户初始设置的授权应用的授权应用消息；\n或者，在所述应用权限管理服务器上调整为所述用户初始设置的授权应用后生成的更新的授权应用消息。\n[0079] 参见图7，为本发明应用访问权限控制装置的另一个实施例框图，该装置应用在应用权限管理服务器上，该装置可以包括：\n[0080] 获取单元710，用于获取用户的授权应用消息；\n[0081] 发送单元720，用于向远程应用服务器发送用户的授权应用消息，以使远程应用服务器根据该用户的授权应用消息，为该用户建立授权应用列表，并根据该用户的授权应用列表，判断该用户是否对正在访问的各个应用具有访问权限。\n[0082] 在一个可选的实现方式中，该装置还可以包括：\n[0083] 监测单元730，可以用于监测用户是否上线；\n[0084] 发送单元720，还可以用于在监测到用户上线时，周期性向远程应用服务器发送用户的授权应用消息。\n[0085] 在另一个可选的实现方式中，所述用户的授权应用消息，可以包括：\n[0086] 在所述应用权限管理服务器上为所述用户初始设置的授权应用的授权应用消息；\n或者，在所述应用权限管理服务器上调整为所述用户初始设置的授权应用后生成的更新的授权应用消息。\n[0087] 上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程，在此不再赘述。\n[0088] 对于装置实施例而言，由于其基本对应于方法实施例，所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本发明方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。\n[0089] 由上述实施例可见，远程应用服务器根据用户的授权应用消息，为该用户建立授权应用列表，并根据用户的授权应用列表，判断用户是否对正在访问的各个应用具有访问权限，在用户对正在访问的应用不具有访问权限时限制该用户继续访问该应用，从而可以避免用户访问远程应用服务器上的非法应用，提高BYOD系统的安全性。\n[0090] 本领域技术人员在考虑说明书及实践这里公开的发明后，将容易想到本发明的其它实施方案。本申请旨在涵盖本发明的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本发明的一般性原理并包括本发明未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本发明的真正范围和精神由下面的权利要求指出。\n[0091] 应当理解的是，本发明并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本发明的范围仅由所附的权利要求来限制。