目前，随着电信运营商维护集中化水平的不断提高以及快速处理故障的需要，维护人员和第三方人员采用多种方式接入核心数据。由于缺乏有效的控制手段，新的接入方式，特别是经IP网络远程维护，在提高维护工作效率的同时，也引入较大的安全风险，相应的安全事件时有发生。
如图1所示，现有技术中各个厂家一般采用专用维护客户端直接访问核心数据资源，然而这种方法长期以来缺乏权限控制，专用维护客户端可以访问任意的客户数据、位置数据等核心资源数据，存在安全隐患。

本发明提出一种基于虚拟化计算的权限控制方法，该方法利用虚拟化技术，综合采用网络侦听拦截技术以及配置数据自动同步技术，实现了远程维护权限控制，能够实现不同的客户端集中化的、细粒度的权限控制。
本发明提出一种基于虚拟化计算的权限控制方法，包括以下步骤：构建虚拟化环境，隔离终端用户与核心数据资源直接交互，通过虚拟化环境对维护路径进行统一扎口，规范维护人员的登录路径和维护工具；在虚拟化环境中部署网络侦听引擎，采用侦听和拦截技术，聚合了细粒度的多种授权属性信息数据，实现终端用户对核心数据资源的访问权限的细粒度控制，虚拟化环境中的网络侦听引擎实时解析客户端操作，聚合了细粒度的多种授权属性信息数据，拦截对应的数据报文，实现用户访问权限最小化，即最少的访问应用，最小的可执行命令集，最少的访问途径。
本发明中的基于虚拟化计算的权限控制方法，包括以下步骤：步骤1，终端用户以web方式登录虚拟计算环境；步骤2，虚拟计算环境判断终端用户是否第一次登录，如果判断为否则进入步骤3；判断为是则提示终端用户下载虚拟化环境控件，进入步骤1；步骤3，启动虚拟化环境；步骤4，虚拟化环境从策略缓存中获得终端用户允许使用的应用软件清单，如果成功则进入步骤5；失败则弹出空白浏览器；步骤5，在虚拟化环境中仅显示可运行的客户端应用软件的图标，所述客户端可以是爱立信维护客户端、华为维护客户端、阿尔卡特维护客户端、中兴维护客户端、大唐维护客户端、PL/SQL数据库、sql*plus数据库客户端等；步骤6，终端用户双击图标启动其中之一的专有客户端应用软件，同时启动网络侦听引擎；步骤7，终端用户进行客户端应用操作过程中产生一条执行语句；步骤8，执行语句被网络侦听引擎放入虚拟计算环境中的缓存中；步骤9，虚拟化环境根据策略缓存中内容判断当前根据语句是否合法，如果判断为是则进入步骤10；判断为否则由网络侦听引擎拦截该语句，进入步骤7；步骤10，由虚拟计算环境发往执行语句至核心资源；步骤11，执行语句在核心资源上执行，执行结果回显，进入步骤7，执行下一语句。
本发明的有益效果是，本发明实现了远程维护权限集中化控制，能够专用维护客户端应用封装在虚拟化环境中、控制用户访问核心数据资源的途径。隔绝终端用户对核心数据资源的直接访问。通过虚拟化环境对维护路径进行统一扎口，规范维护人员的登录路径和维护工具
虚拟化环境中的网络侦听引擎能够实时解析客户端操作，聚合了细粒度的多种授权属性信息数据，例如：时间、用户源IP、用户名(主账号)、从账号、角色、执行语句等，并且拦截对应的数据报文，实现用户访问权限最小化，即最少的访问应用，最小的可执行命令集，最少的访问途径，而且对特权或共享账户也能进行分权控制。
附图说明
图1所示为现有技术中的权限控制方法的示意图。
图2所示为根据本发明的基于虚拟化计算的权限控制方法的结构示意图。
图3所示为根据本发明的基于虚拟化计算的权限控制方法的流程图。
图4所示为根据本发明的具体实施例中权限控制方法的流程图。
图5所示为图4中的步骤9的流程图。
图6所示为本发明中的网络侦听引擎的主要数据结构。
图7所示为本发明中的网络侦听引擎拦截模块的主要数据结构。

为让本发明的上述和其它目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合附图，作详细说明如下。
如图2所示，基于虚拟化计算的权限控制方法首先需要构建虚拟化环境，如通过微软windowns 2008server构建虚拟化环境。在虚拟化环境中，采用专用维护客户端，例如，爱立信维护、华为维护、阿尔卡特维护、中兴维护、大唐维护、PL/SQL、sql*plus等客户端，并以web化发布的方式，将专用维护客户端应用推送给终端用户，终端用户只能通过虚拟化环境中的专用维护客户端应用访问核心数据资源。
在虚拟化环境中，部署网络侦听引擎，网络侦听引擎由侦听模块和拦截模块组成，数据结构详见图6和图7，所有维护客户端(图形的或字符型)的操作过程，都被解析为网络数据报文。网络侦听引擎根据终端用户的权限(用户允许执行的操作语句)，实时拦截对应的数据报文，允许或阻止客户端的操作语句发往核心数据资源，从而实现终端用户对核心数据资源访问的权限控制。
如图3所示，基于虚拟化计算的权限控制方法的流程步骤具体如下：
1、终端用户以web方式登录虚拟计算环境；
2、虚拟计算环境判断终端用户是否第一次登录，如果判断为否则进入步骤3；判断为是则提示用户下载虚拟化环境控件，进入步骤1；
3、启动虚拟化环境；
4、虚拟化环境从策略缓存中获得终端用户允许使用的应用软件清单，成功则进入步骤5；失败则弹出空白浏览器；
5、在虚拟化环境中仅显示可运行的专有客户端应用软件的图标；
6、用户双击图标启动某一个专有客户端应用软件，网络侦听引擎的侦听模块同时启动，根据windows spi提供的接口，windows提供了网络包的api监控接口。Windows每个进程进行网络通信时都会加载此接口，主要数据结构详见图6；
7、用户进行客户端应用操作过程中产生一条执行语句；
8、执行语句被网络侦听并放入虚拟计算环境中缓存中；
9、虚拟化环境根据策略缓存中内容判断当前根据语句是否合法，判断为是则进入步骤10；判断为否则网络侦听引擎拦截该语句，并发送“禁止使用该语句，提示该操作无效”，进入步骤7；网络侦听引擎的拦截模块是对网络包的操作函数进行按照不同的协议进行解析，从而判断出是否需要控管，主要数据结构详见图7；
10、执行语句由虚拟计算环境发往核心资源；
11、执行语句在核心资源上执行，执行结果回显，进入步骤7，执行下一语句。
结合到具体实施例，如图4所示，利用本发明所提出的基于虚拟化计算的权限控制方法来实现华为维护客户端集中化的、细粒度的权限控制。流程步骤具体如下：
1、在基于虚拟化计算环境，启动网络连接的进程；
2、进入tcp网络包监控截获模块；
3、判断华为维护客户端进程是否需要监控，是则进入步骤4；否则将网络包放行，中止tcp网络包监控截获模块；
4、获取华为维护客户端进程的用户名(主帐号)；
5、判断含该用户名登录包是否是数据库登录包，是则进入步骤6；否则进入步骤8；
6、获取华为维护客户端登录数据库信息；
7、判断该用户、源地址、客户端版本是否有权限登录该数据库；是将网络包放行，解析后续操作的sql语句，进入步骤9；否则将网络包截获中止，监控结束；
8、判断是否含操作命令语句或SQL语句，有则进入步骤9；否则将网络包放行，监控结束；
9、将操作命令语句或SQL语句，逐条放入缓存中，进入《命令集比对流程》，流程详见图5；
10、监控结束；
上述步骤9中，从解析出来的操作命令语句或SQL语句的缓存命令集结构为：命令关键字，参数1、参数2、参数3，《命令集比对流程》，如图5所示：
1、从缓存中取一完整的命令集，即命令关键字，参数1、参数2、参数3...；
2、判断是否包含参数，是则转入步骤3；否则转入步骤6；
3、判断命令关键字是否包括黑名单(禁用命令，如delete、rm、reboot)中的命令，是则命令拦截，转入步骤7；否则进入步骤4；
4、判断对应参数中是否包含黑名单参数(表名、列明)；是则命令拦截，转入步骤7；否则进入步骤5；
5、判断对应参数中是否包含白名单中，是则转入步骤6；否则命令拦截，转入步骤7；
6、命令集+参数被执行；
7、从缓存中将语句清除；
8、监控结束。
以上说明了基于虚拟化计算的权限控制方法的整个工作流程，这其中重点是虚拟化环境从策略缓存中获得终端用户权限允许使用的应用软件清单和网络侦听对具体执行语句侦听、比对、拦截处理方式。整个权限控制方法是围绕虚拟计算环境来进行的，所以对该方法来说做的事情均是权限定义和具体执行语句侦听和解析来开发。
本发明中所述具体实施案例仅为本发明的较佳实施案例而已，并非用来限定本发明的实施范围。即凡依本发明申请专利范围的内容所作的等效变化与修饰，都应作为本发明的技术范畴。