访问内网服务器的方法及控制访问内网服务器的装置

摘要

本发明提供一种访问内网服务器的方法及控制访问内网服务器的装置，涉及服务器的访问技术。访问内网服务器的方法包括：客户端插件抓取用户对内网服务器上存储的内容进行操作的操作指令；客户端插件识别操作指令是否是内网服务器能够执行的合法有效的操作指令；若是，则客户端插件向内网服务器发送第一指示消息，以使内网服务器执行操作指令；若否，则客户端插件向内网服务器发送第二指示消息，以使内网服务器拒绝执行操作指令。通过客户端插件判断内网服务器接收的操作指令是否合法，再根据判断结果通知内网服务器是否执行操作指令，能够避免内网服务器直接执行用户发送的操作指令，造成内网服务器中的内容被随意甚至恶意更改的问题。

说明书

技术领域

本发明涉及服务器的访问技术，尤其涉及一种访问内网服务器的方法及控制访问内网服务器的装置，属于互联网领域。

背景技术

内部网(Intranet)是指采用Internet技术建立的企业内部专用网络。它以TCP/IP协议作为基础，以Web为核心应用，构成统一和便利的信息交换平台。内部网可提供Web出版、交互、目录、电子邮件、广域互连、文件管理、打印和网络管理等多种服务。由于内部网具有强大的共享功能，很多企业都设置有内部网，并将企业内部资料存储在内网服务器中，供员工查阅。

发明人发现，在现有技术中，员工的终端直接与内网服务器连接，内网服务器能够接收员工终端发送的操作指令并执行相应的操作，因此，存在着由于用户终端向内网服务器发送恶意操作指令或误操作指令导致内网服务器存在安全隐患问题。

发明内容

本发明提供一种访问内网服务器的方法及控制访问内网服务器的装置，通过客户端插件判断内网服务器接收的操作指令是否合法，再根据判断结果通知内网服务器是否执行操作指令，能够避免内网服务器直接执行用户发送的操作指令，造成内网服务器中的内容被随意甚至恶意更改的问题。

本发明的第一个方面是提供一种访问内网服务器的方法，包括：

客户端插件抓取用户对内网服务器上存储的内容进行操作的操作指令；

所述客户端插件识别所述操作指令是否是所述内网服务器能够执行的合法有效的操作指令；

若是，则所述客户端插件向所述内网服务器发送第一指示消息，所述第一指示消息用于指示所述内网服务器执行所述操作指令；

若否，则所述客户端插件向所述内网服务器发送第二指示消息，所述第二指示消息用于指示所述内网服务器拒绝执行所述操作指令。

本发明的另一个方面是提供一种控制访问内网服务器的装置，包括：抓取模块，用于抓取用户对内网服务器上存储的内容进行操作的操作指令；

识别模块，用于识别所述操作指令是否是所述内网服务器能够执行的合法有效的操作指令；

若是，则发送模块向所述内网服务器发送第一指示消息，所述第一指示消息用于指示所述内网服务器执行所述操作指令；

若否，则所述发送模块向所述内网服务器发送第二指示消息，所述第二指示消息用于指示所述内网服务器拒绝执行所述操作指令。

本发明提供的方法及装置的技术效果是：

由客户端插件抓取用户对内网服务器上存储的内容进行操作的操作指令，再由客户端插件识别操作指令是否是内网服务器能够执行的合法有效的操作指令；若是，则客户端插件向内网服务器发送第一指示消息，以使内网服务器执行操作指令；若否，则客户端插件向内网服务器发送第二指示消息，以使内网服务器拒绝执行操作指令。使用客户端插件判断用户发送的操作指令是否合法，并根据判断结果向内网服务器发送指示消息，以使内网服务器根据指示消息执行或者拒绝执行相应的操作指令，能够提高内网服务器的安全性，避免内网服务器直接执行用户发送的操作指令，造成内网服务器中的内容被随意甚至恶意更改的问题。同时，通过客户端插件执行上述步骤，能够在不改变原有的用户与内网服务器之间进行交互的流程的基础上，实现限制用户对内网服务器进行非法操作的功能，使得在调整插件的功能时，仅需要修改客户端插件本身即可，不需要对用户与内网服务器之间的交互流程进行更改，更便于操作。

附图说明

图1为本发明一示例性实施例示出的访问内网服务器的方法的流程图；

图2为本发明另一示例性实施例示出的访问内网服务器的方法的流程图；

图3为本发明一示例性实施例示出的用于控制访问内网服务器的装置的结构图；

图4为本发明另一示例性实施例示出的用于控制访问内网服务器的装置的结构图。

具体实施方式

图1为本发明一示例性实施例示出的访问内网服务器的方法的流程图。

如图1所示，本实施例提供的访问内网服务器的方法包括：

步骤101，客户端插件抓取用户对内网服务器上存储的内容进行操作的操作指令。

其中，内网是指采用Internet技术建立的企业内部专用网络，其中的企业可以是企事业单位、政府机构，还可以是学校等需要设置内部专用网络的部门。内网服务器是指在内网中用于向与之相连的终端提供服务的服务器。例如，内网服务器可以用于存储数据，与内网服务器连接的终端能够访问内网服务器，从而获得内网服务器中的资源。另外，内网服务器还可以是应用程序服务器，以使与内网服务器连接的终端能够使用内网服务器提供的相应服务。具体的，内网服务器可以是一台，也可以是多台，若为多台，则多台服务器之间可以具有连接关系，也可以独立运行。

客户端插件是指一种遵循一定规范的应用程序接口编写出来的程序，能够在程序规定的平台下运行。具体的，执行本实施例的客户端插件可以设置在内网服务器中，也可以设置在其他的与内网服务器相连接的插件服务器中，还可以设置在用于访问服务器的客户端中。

当用户对内网服务器上存储的内容进行操作时，会通过终端向内网服务器发送该操作所对应的操作指令，若将客户端插件设置在内网服务器中，则客户端插件能够监听终端发送的操作指令，例如，从内网服务器中获取操作指令；若将客户端插件设置在插件服务器中，该插件服务器能够通过客户端插件获取终端与服务器之间的传输信息，在操作指令发送至内网服务器时，由客户端插件抓取该操作指令。

具体的，操作指令是用于对内网服务器上存储的内容进行操作的指令，例如，对存储的文件进行操作的指令，如打开指令、复制指令、删除指令、剪切指令、修改指令等等。还可以是对内网服务器中的服务进程进行操作的指令，例如运行服务进程、停止服务进程。

步骤102，客户端插件识别操作指令是否是内网服务器能够执行的合法有效的操作指令。

客户端插件抓取到操作指令后，解析操作指令中包含的信息，信息包括用户信息、指令信息；再根据解析的信息对操作指令的属性进行判断，操作指令的属性是指合法属性、非法属性。

进一步的，可以根据用户的权限信息判断操作指令是否合法，若用户具有执行上述操作的权限，则该操作指令合法，否则非法。

还可以根据已有的指令库判断操作指令是否合法，由于有些操作指令对内网服务器危害极大，如果内网服务器执行了相应的指令，可能会导致服务器无法正常运行甚至瘫痪的后果，因此，这类操作指令应被标记为非法指令。

客户端插件根据操作指令是否合法向内网服务器发送指示消息。

若客户端插件安装在内网服务器中，则可以通过内网服务器内部的通信方式向处理器发送指示消息；若客户端插件安装在独立的插件服务器中，则可以通过插件服务器向内网服务器发送指示消息。

实际应用时，若操作指令是合法有效的操作指令，则执行步骤103，若操作指令不是合法有效的，则执行步骤104。

步骤103，客户端插件向内网服务器发送第一指示消息，第一指示消息用于指示内网服务器执行操作指令。

若操作指令是合法有效的，也就是内网服务器可以执行相应的操作指令，则向内网服务器发送第一指示消息，以使内网服务器执行操作指令。内网服务器执行了操作指令后，向发送操作指令的终端反馈相应的操作结果。用户在访问内网服务器时，合法操作指令能够直接发送到内网服务器中并得到相应的反馈，从而在不影响原有的用户访问内网服务器的流程的基础上，对用户发送的操作指令进行判断，在用户发送合法的操作指令时，使用户不会感觉到有客户端插件的存在，从而提高用户体验。

步骤104，客户端插件向内网服务器发送第二指示消息，第二指示消息用于指示内网服务器拒绝执行操作指令。

其中，如果用户发送的操作指令不是合法有效的，则客户端插件向内网服务器发送第二指示消息，以使内网服务器拒绝执行上述非法的操作指令。例如，用户发送的操作指令是删除一个重要文件，而该用户不具备删除该重要文件的权限，则认为用户发送的这个删除重要文件的操作指令是非法的，进而通知内网服务器拒绝执行这个操作指令，从而保证内网服务器中的文件安全。

具体的，客户端插件还可以记录发送非法的操作指令的用户以及其发送的操作指令的信息，并定期根据记录的信息生成报表，发送至内网服务器的负责人。进一步的，还可以在判断出操作指令是非法的操作指令后，向内网服务器发送第三指示消息，以使内网服务器向用户提示不具备相应操作的权限。

其中，对步骤103、步骤104的执行顺序不进行限制。

本实施例提供的访问内网服务器的方法，由客户端插件抓取用户对内网服务器上存储的内容进行操作的操作指令，再由客户端插件识别操作指令是否是内网服务器能够执行的合法有效的操作指令；若是，则客户端插件向内网服务器发送第一指示消息，以使内网服务器执行操作指令；若否，则客户端插件向内网服务器发送第二指示消息，以使内网服务器拒绝执行操作指令。使用客户端插件判断用户发送的操作指令是否合法，并根据判断结果向内网服务器发送指示消息，以使内网服务器根据指示消息执行或者拒绝执行相应的操作指令，能够提高内网服务器的安全性，避免内网服务器直接执行用户发送的操作指令，造成内网服务器中的内容被随意甚至恶意更改的问题。同时，通过客户端插件执行上述步骤，能够在不改变原有的用户与内网服务器之间进行交互的流程的基础上，实现限制用户对内网服务器进行非法操作的功能，使得在调整插件的功能时，仅需要修改客户端插件本身即可，不需要对用户与内网服务器之间的交互流程进行更改，更便于操作。

图2为本发明另一示例性实施例示出的访问内网服务器的方法的流程图。

如图2所示，本实施例提供的访问内网服务器的方法，包括：

步骤201，客户端插件监控用户登录内网服务器的行为。

其中，客户端插件通过查看或获取内网服务器中的登录信息，能够监控所有用户登录内网服务器的行为。

具体的，客户端插件还可以监听用户终端向内网服务器发送的登录请求信息，当用户终端发送了登录请求信息后，获取内网服务器中的登录信息，从而确定用户终端是否成功录至内网服务器。

步骤202，客户端插件在确定用户登录内网服务器之后，获取用户的账户信息。

进一步的，可以获取内网服务器中的登录信息，从而确定登录至内网服务器的用户的账户信息。账户信息中可以包括：用户标识信息。

步骤203，客户端插件根据用户的账户信息，获取用户对内网服务器的访问权限。

实际应用时，可以在内网服务器或者插件服务器中设置权限数据库，用于记录用户的访问权限，具体的，在权限数据库中保存每个用户标识所对应的访问权限。

客户端插件根据用户的账户信息，具体可以根据用户的标识信息，在权限数据库中获取该用户对内网服务器的访问权限。

步骤204，客户端插件根据访问权限，向用户显示内网服务器上存储内容的访问页面。

其中，可以对内网服务器中存储的内容设定级别，当用户登录内网服务器时，向其显示与其级别相对应的内容。例如，当用户的访问权限只能够访问最低级别的存储内容时，可以向其显示内网服务器中存储的低级别内容以及包含有低级别存储内容的文件夹，当用户打开上述文件夹时，也仅显示文件夹中的低级别存储内容。向用户显示与其权限相对应的存储内容，能够提高内网服务器的保密性，从而提高内网服务器中存储内容的安全级别。

步骤205，客户端插件识别用户在访问页面上对内网服务器上存储的内容进行操作的操作指令。

用户能够在显示的访问页面中对内网服务器中存储的内容进行操作，客户端插件能够识别用户在访问页面中所执行的操作指令。识别的内容可以是该操作指令执行的对象、操作指令中具体的执行的动作等。例如可以是对一个文件名是“客户信息”的word文档力的内容进行修改的操作，其中，执行的对象是文件名是“客户信息”的word文档，执行的动作是修改内容。

步骤206，客户端插件根据预设的识别规则，识别操作指令是否是内网服务器能够执行的合法有效的操作指令。若是，则执行步骤207，若否，则执行步骤211。

其中，识别规则是指用于判断操作指令是否合法的规则，如果满足识别规则的要求，则判断操作指令合法，否则，判断操作指令不合法。

识别规则包括下述规则中的至少一种：

用户是否具有执行操作指令的权限；操作指令是否是指令库中已标记的合法指令。

其中，权限包括：操作指令的执行权限和/或操作指令所操作的内容的访问权限。

具体的，操作指令的执行权限，包括下述权限中的至少一种：

删除权限、修改权限、新建权限、拷贝权限、剪切权限、共享权限、发送权限、查看权限。

其中，操作指令的执行权限是指是否具有执行相应操作指令的权限，例如删除权限是指删除内网服务器中存储的内容的权限，比如，删除内网服务器中的一个文件夹或文件，如果用户具有删除权限，则判断用户发送的删除操作指令是合法指令。

具体的，操作指令所操作的内容的访问权限，包括下述权限中的至少一种：

可访问的存储区域权限、可访问的内容的分级权限。

进一步的，可访问的存储区域权限是指用户能够访问存储区域的权限。可以对内网服务器的存储区域进行分区，并且在每一个分区内存储与该分区相对应的内容，当用户发送的操作指令是针对其中一个存储分区中的内容时，判断用户是否具有访问该分区的权限，若有，则判断所述用户发送的操作指令是合法指令，否则判断为非法指令。例如，共有A、B、C三个分区，用户的可访问的存储区域权限为仅能够访问A存储区，当用户发送的操作指是针对B存储区或C存储区中存储的内容时，判断操作指令非法。

实际应用时，还可以包括可访问的内容的分级权限，其中，将对可访问的内容能够执行的多项操作进行分级，不同的分级权限包括不同的操作指令。若用户发送的操作指令属于该用户的分级权限，则判断用户发送的操作指令是合法指令，否则判断为非法指令。例如，将查看列为第3级，新建、复制、发送、共享列为第2级，删除、剪切列为第1级。具有第3极权限的用户只能够执行第3级的操作指令，具有第2级权限的用户能够执行第2、3级的操作指令，具有第1级权限的用户能够执行第1、2、3级的操作指令。若用户具有第3级权限，但是发送的操作指令属于第1或2级，则判断用户发送的指令为非法指令。

其中，指令库是指存储有操作指令的数据库，其中，在数据库中对操作指令进行标记，将允许内网服务器执行的操作指令设置为合法指令，不允许内网服务器执行的操作指令设置为非法指令。

若用户发送的操作指令没有存储在数据库中，则客户端插件可以保存该操作指令，并通知内网服务器暂缓执行该操作指令，同时，向内网服务器的管理者发送该操作指令的内容，由管理者决定这个操作指令的性质。若管理者认为这个操作指令是合法的，则向客户端插件发送合法的指令，客户端插件将其保存至指令数据库，并标记为合法。若管理者认为这个操作指令是非法的，执行步骤与上述相似，不再赘述。

进一步的，还可以对识别规则划分优先级，例如，可以将操作指令是否是指令库中已标记的合法指令作为最高优先级的识别规则，将操作指令的执行权限设置为第二优先级的识别规则，将可访问的存储区域权限作为第三优先级的识别规则，将可访问的内容的分级权限作为第四优先级的识别规则。按照从高到低的优先级顺序根据识别规则依次对操作指令进行判断，若根据高一级别的识别规则判断出操作指令是非法的，则无需根据继续其他识别规则继续进行判断，避免客户端插件每次判断操作指令是否是合法指令时，需要轮询所有识别规则，造成客户端插件在运行时占用过大内存。比如，客户端插件识别出操作指令后，首先判断该操作指令是否是指令库中已标记的合法指令，若否，则向内网服务器发送第二指示消息，否则，判断用户是否具有执行相应的操作指令的执行权限，若否，则向内网服务器发送第二指示消息，否则，判断操作指令所操作的对象是否属于用户可访问的存储区域中的内容，若否，则向内网服务器发送第二指示消息，否则，判断用户是否具有对可访问的内容执行相应操作指令的权限，若否，则向内网服务器发送第二指示消息，否则，向内网服务器发送第一指示消息。

步骤207，客户端插件向内网服务器发送第一指示消息，第一指示消息用于指示内网服务器执行操作指令。

步骤208，客户端插件获取内网服务器执行操作指令的执行结果。

其中，客户端插件可以监控内网服务器中存储的内容的状态，在执行完操作指令后，监控内网服务器中除操作指令操作的内容外，其他存储的内容是否被更改。例如，其他存储的内容的属性是否被更改，内网服务器中运行的进程是否被强行关闭等。

步骤209，客户端插件根据执行结果判断操作指令是否合法。

可以建立一个数据库，在其中记载非法操作，如批量更改内网服务器中存储的内容的格式，运行的进程被强行关闭等，若客户端插件监控到内网服务器中发生了数据库中记录的非法操作，则可以判断在产生非法操作之前的操作指令不是合法的操作指令。

若判断操作指令不是合法的操作指令，则执行步骤210。

步骤210，客户端插件在指令库中将操作指令标记为非法。

具体的，可以直接将指令库中包含的上述操作指令标记为非法。

步骤211，客户端插件向内网服务器发送第二指示消息，第二指示消息用于指示内网服务器拒绝执行操作指令。

可选的，本实施例提供的访问内网服务器的方法，还可以包括以下步骤：

客户端插件接收内网服务器发送的更新指令，更新指令用于更新识别规则。

其中，客户端插件能够根据内网服务器的指令对识别规则进行更新，可以修改已有的识别规则，使已有的识别规则更完善，还可以增加新的识别规则。

另外，还可以使客户端插件只根据内网服务器发送的更新指令进行更新，避免其他终端向客户端插件发送更新指令，使客户端插件的功能被破坏的问题。

本实施例提供的访问内网服务器的方法，能够根据用户的权限向其显示与其权限相对应的存储内容，从而提高内网服务器的安全级别，还可以通过用户是否具有执行操作指令的权限以及指令本身是否合法两个方面判断操作指令是否合法，从而更加合理的对操作指令进行判断，再根据判断结果通知内网服务器是否执行接收到的操作指令，避免内网服务器直接执行接收的操作指令，造成内网服务器中存储的内容被随意或恶意修改的问题。

图3为本发明一示例性实施例示出的用于控制访问内网服务器的装置的结构图。

如图3所示，本实施例提供的装置，包括：

抓取模块31，用于抓取用户对内网服务器上存储的内容进行操作的操作指令；

识别模块32，用于识别操作指令是否是内网服务器能够执行的合法有效的操作指令；

若是，则发送模块33向内网服务器发送第一指示消息，第一指示消息用于指示内网服务器执行操作指令；

若否，则发送模块33向内网服务器发送第二指示消息，第二指示消息用于指示内网服务器拒绝执行操作指令。

其中，抓取模块31与识别模块32连接，识别模块32与发送模块33连接。

本实施例提供的用于控制访问内网服务器的装置，由客户端插件抓取用户对内网服务器上存储的内容进行操作的操作指令，再由客户端插件识别操作指令是否是内网服务器能够执行的合法有效的操作指令；若是，则客户端插件向内网服务器发送第一指示消息，以使内网服务器执行操作指令；若否，则客户端插件向内网服务器发送第二指示消息，以使内网服务器拒绝执行操作指令。使用客户端插件判断用户发送的操作指令是否合法，并根据判断结果向内网服务器发送指示消息，以使内网服务器根据指示消息执行或者拒绝执行相应的操作指令，能够提高内网服务器的安全性，避免内网服务器直接执行用户发送的操作指令，造成内网服务器中的内容被随意甚至恶意更改的问题。同时，通过客户端插件执行上述步骤，能够在不改变原有的用户与内网服务器之间进行交互的流程的基础上，实现限制用户对内网服务器进行非法操作的功能，使得在调整插件的功能时，仅需要修改客户端插件本身即可，不需要对用户与内网服务器之间的交互流程进行更改，更便于操作。

本实施例提供的确定孔隙曲折度的装置的具体原理和实现方式均与图1所示的实施例类似，此处不再赘述。

图4为本发明另一示例性实施例示出的用于控制访问内网服务器的装置的结构图。

如图4所示，在上述实施例的基础上，本实施例提供的用于控制访问内网服务器的装置，识别模块32具体用于根据预设的识别规则，识别操作指令是否是内网服务器能够执行的合法有效的操作指令；

其中，识别规则，包括下述规则中的至少一种：

用户是否具有执行操作指令的权限；

操作指令是否是指令库中已标记的合法指令。

具体的，权限包括：操作指令的执行权限和/或操作指令所操作的内容的访问权限；

其中，操作指令的执行权限，包括下述权限中的至少一种：

删除权限、修改权限、新建权限、拷贝权限、剪切权限、共享权限、发送权限、查看权限；

操作指令所操作的内容的访问权限，包括下述权限中的至少一种：

可访问的存储区域权限、可访问的内容的分级权限。

本实施例提供的装置，还包括：第一获取模块34，用于获取内网服务器执行操作指令的执行结果；

判断模块35，用于根据执行结果判断操作指令是否合法；

若否，则标记模块36在指令库中将操作指令标记为非法。

其中，第一获取模块34、判断模块35、标记模块36依次连接，标记模块36还与识别模块32连接。

本实施例提供的装置，还包括：更新模块37，用于接收内网服务器发送的更新指令，更新指令用于更新识别规则。

具体的，更新模块37可以与识别模块32连接。

本实施例提供的装置，还包括：

监控模块38，用于监控用户登录内网服务器的行为；

第二获取模块39，用于在监控模块38在确定用户登录内网服务器之后，获取用户的账户信息；

第二获取模块39还用于根据用户的账户信息，获取用户对内网服务器的访问权限；

显示模块40，用于根据访问权限，向用户显示内网服务器上存储内容的访问页面；

相应的，抓取模块311还包括识别单元311，用于识别用户在访问页面上对内网服务器上存储的内容进行操作的操作指令。

其中，监控模块38、第二获取模块39、显示模块40依次连接，显示模块40还与识别单元311连接。

本实施例提供的用于控制访问内网服务器的装置，能够根据用户的权限向其显示与其权限相对应的存储内容，从而提高内网服务器的安全级别，还可以通过用户是否具有执行操作指令的权限以及指令本身是否合法两个方面判断操作指令是否合法，从而更加合理的对操作指令进行判断，再根据判断结果通知内网服务器是否执行接收到的操作指令，避免内网服务器直接执行接收的操作指令，造成内网服务器中存储的内容被随意或恶意修改的问题。

本实施例提供的装置的具体原理和实现方式均与图2所示的实施例类似，此处不再赘述。

本领域普通技术人员可以理解：实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一计算机可读取存储介质中。该程序在执行时，执行包括上述各方法实施例的步骤；而前述的存储介质包括：ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。

最后应说明的是：以上各实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。