一种限制修改系统基础数据的系统及方法

本发明涉及系统部署技术领域，特别是涉及一种限制修改系统基础数据的系统及方法。

目前，软件系统部署到项目现场后，会初始化一些系统基础数据。这些基础数据必须绝对正确才能保障系统的正常运行，故这些基础数据一般由专门的运维人员进行管理而不直接对用户开放。但在某些项目特定的运维环境下，现有系统不可避免的要对一些用户开放基础数据的管理功能，这些用户可自行对基础数据进行运维。这样一来，系统基础数据的准确性无法得到保证，严重时甚至会引发系统性的崩溃，而问题数据的排查和恢复也需要花费较高的成本。

为了解决上述技术问题，本发明的目的是提供一种在不限制用户管理基础数据的权限下，通过临时在线授权的方式保证用户修改的基础数据生效又不影响系统准确性和稳定性的限制项目现场修改基础数据的系统及方法。

第一方面，本发明提供了一种限制修改基础数据的系统，所述系统包括：

依次连接的数据管理模块、系统管理模块和数据监管模块；

所述数据管理模块用于向所述系统管理模块发送用户身份信息和申请修改信息，申请对系统基础数据进行修改的授权证书，并对所述系统基础数据进行修改；

所述系统管理模块包括证书生成模块和加密模块，所述证书生成模块用于验证所述数据管理模块发送的所述用户身份信息和所述申请修改信息，根据验证结果生成对应的授权证书，所述加密模块用于对所述授权证书进行加密后将所述授权证书发送到所述数据监管模块；

所述数据监管模块用于监控所述系统基础数据，并验证所述系统基础数据修改时对应的所述授权证书，若验证通过，则确认修改后的所述系统基础数据生效，若验证不通过，则将修改后的所述系统基础数据进行恢复。

进一步地，所述授权证书包括用户身份ID、对应的唯一权限令牌、以及证书私钥，所述权限令牌使用所述用户身份ID进行签名，所述权限令牌包括用户私钥、用户修改权限、和权限时间期限。

进一步地，所述数据监管模块包括验证模块，所述验证模块用于使用预存的所述系统管理模块的公钥验证所述授权证书的证书私钥，使用预存的所述数据管理模块的公钥验证所述权限令牌中的用户私钥，并判断所述权限令牌中的权限时间期限。

进一步地，所述数据监管模块包括：

数据备份模块，用于对系统基础数据定时进行备份，并按照所述系统基础数据的版本信息进行存储；

数据恢复模块，用于将非授权修改的所述系统基础数据、以及在权限时间期限外修改的所述系统基础数据恢复为所述数据备份模块存储的数据版本。

进一步地，所述数据监管模块还包括日志记录模块，用于记录对系统基础数据的所有操作，生成日志记录，并定时将所述日志记录进行备份存储。

第二方面，本发明提供了一种限制修改系统基础数据的方法，所述方法包括：

数据管理模块向系统管理模块发送用户身份信息和申请修改信息，申请对系统基础数据进行修改的授权证书，并对所述系统基础数据进行修改；

所述系统管理模块验证所述数据管理模块发送的所述用户身份信息和所述申请修改信息，根据验证结果生成对应的授权证书，并对所述授权证书进行加密后将所述授权证书发送到数据监管模块；

所述数据监管模块监控所述系统基础数据，并验证所述系统基础数据修改时对应的所述授权证书，若验证通过，则确认修改后的所述系统基础数据生效，若验证不通过，则将修改后的所述系统基础数据进行恢复。

进一步地，所述授权证书包括用户身份ID、对应的唯一权限令牌、以及证书私钥，所述权限令牌使用所述用户身份ID进行签名，所述权限令牌包括用户私钥、用户修改权限、和权限时间期限。

进一步地，所述数据监管模块使用预存的所述系统管理模块的公钥验证所述授权证书的证书私钥，使用预存的所述数据管理模块的公钥验证所述权限令牌中的用户私钥，并判断所述权限令牌中的权限时间期限。

进一步地，所述数据监管模块对系统基础数据定时进行备份，并按照所述系统基础数据的版本信息进行存储，将非授权修改的所述系统基础数据、以及在权限时间期限外修改的所述系统基础数据恢复为所述数据备份模块存储的数据版本。

进一步地，所述数据监管模块记录对系统基础数据的所有操作，生成日志记录，并定时将所述日志记录进行备份存储。

上述本发明提供了一种限制修改系统基础数据的系统及方法。通过所述系统，在不限制用户管理基础数据权限的情况下，自动备份并恢复用户修改的基础数据，保证系统在非授权情况下基础数据的正确性，并通过临时在线授权的方式，使系统只有在授权期限内修改的基础数据才会生效，保证了系统的安全性和稳定性。

图1是本发明实施例中限制修改系统基础数据的系统的结构示意图；

图2是图1中系统管理模块的结构示意图；

图3是图1中数据监管模块的结构示意图；

图4是本发明实施例中限制修改系统基础数据的方法的流程示意图。

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

请参阅图1，本发明第一实施例提出的一种限制修改系统基础数据的系统，包括：依次连接的数据管理模块1、系统管理模块2和数据监管模块3。其中，用户可以通过数据管理模块1对系统基础数据进行修改，但为了防止用户对系统的基础数据随意修改而造成的系统数据出错甚至引发系统崩溃的问题发送，我们限定了在数据管理模块1对系统基础数据进行修改之前需要向系统管理模块2在线申请修改权限。

数据管理模块1向系统管理模块2发送用户身份信息和申请修改信息，向其申请对系统基础数据进行修改的权限，系统管理模块2会对数据管理模块1发送的授权申请进行在线实时验证，为了保证授权的安全性，优选的，如图2所示，系统管理模块2设置了证书生成模块21和加密模块22。

证书生成模块21通过生成授权证书来确认验证通过，在本实施例中，授权证书是根据数据管理模块1发送的用户身份信息和申请修改信息对用户的身份进行验证，并根据申请修改信息生成对应的修改权限，同时为了防止得到授权的用户随意对系统基础数据任意修改，我们还在为用户的修改权限设置的时间期限。

对于验证通过的用户信息，为了进一步的确保授权证书的安全性，防止对授权证书的恶意篡改，加密模块22会生成的授权证书进行加密，加密后授权证书的内容包括用户身份ID、该身份ID对应的唯一权限令牌、以及授权证书的私钥。其中权限令牌使用了用户身份ID进行签名，来确保其唯一性，并且权限令牌中还包括用户私钥、用户修改权限、以及权限的时间期限。如果数据管理模块1在其他时间内仍需要修改基础数据的话，则需要根据修改信息重新向系统管理模块2进行授权申请，再次生成的授权证书中，经过加密模块22加密后证书私钥会进行更新，权限令牌的签名不变，但权限令牌包括的用户私钥、用户修改权限、以及权限的时间期限会随之更新，确保授权的时效性和修改的安全性。加密模块22在对授权证书加密后会将授权证书发送到数据监管模块3进行保存。应当理解的是，授权证书的内容和加密方式可以根据实际情况灵活配置，本实施例中只是优选方式而非唯一限定方式。

如图3所示，数据监管模块3会对系统基础数据实时进行监控，并且通过数据备份模块31定时的对系统基础数据进行备份，对于发现的系统基础数据的修改，数据监管模块3会验证该次修改是否具有对应的授权证书。

通过上述描述可知为了保证授权证书的安全性，我们对授权证书使用了证书私钥、用户私钥等方式进行加密，验证模块34为了验证授权证书的真实性，则需要提前预存了系统管理模块2的公钥和数据管理模块1的公钥，验证时，验证模块34首先验证授权证书的私钥与预存的系统管理模块2的公钥是否匹配，然后验证权限令牌的签名是否为用户身份ID，在确定授权证书和用户身份ID之后，验证模块34还会读取权限令牌中的用户私钥，并与预存的数据管理模块1的公钥验证是否匹配，从而确保了授权证书的来源和内容没有被篡改或者替换，保证授权证书的安全性。

当验证模块34验证了对应的授权证书的准确性后，数据监管模块3会读取权限令牌中的修改权限和权限时间期限，判断基础数据的修改是否在修改权限内，以及该权限是否还在有效的时间期限内，对于超权限的修改和超时间期限的修改，数据监管模块3都会通过数据恢复模块32将系统基础数据恢复进行恢复，从而进一步的确保系统基础数据的准确性和系统的稳定性。如果该次修改没有对应的授权证书，则通过数据恢复模块32也会对系统基础数据进行恢复。

本实施例中优选的设置数据备份模块31除了定时对系统基础数据进行备份之外还会对系统基础数据修改前的数据进行备份，并按照基础数据的版本号进行备份存储，数据恢复模块32对系统进行数据恢复时，既可以将系统基础数据恢复到修改前的状态，也可以根据需要将系统恢复到数据备份模块31中存储的其他版本的数据状态，本实施例中的数据恢复可以根据实际情况灵活配置，在此不再做过多的限制。

同时，为了保证系统的安全性以及方便日后的责任追溯，数据监管模块3还包括了日志记录模块33，日志记录模块33会将对系统基础数据进行的所有操作记录下来，定时生成日志记录，并将日志记录定时的进行备份存储，同时还可以对日志记录进行加密存储，只有对应的权限才可以对日志记录进行操作，并且还可以使用区块链技术对日志进行存储，保证了日志记录的安全性，从而保证了系统的稳定性。

本实施例提供的一种限制修改系统基础数据的系统，相比传统系统无法限制用户对系统基础数据的修改从而造成系统错误甚至崩溃的问题，本发明在不限制用户管理基础数据权限的情况下，自动备份并恢复用户修改的基础数据，保证系统在非授权情况下基础数据的正确性，并通过临时在线授权的方式，使系统只有在授权期限内修改的基础数据才会生效，保证了系统的安全性和稳定性。

请参阅图4，基于同一发明构思，本发明第二实施例提出的一种限制修改系统基础数据的方法，包括步骤S10～S30:

步骤S10，数据管理模块向系统管理模块发送用户身份信息和申请修改信息，申请对系统基础数据进行修改的授权证书，并对所述系统基础数据进行修改。

步骤S20，所述系统管理模块验证所述数据管理模块发送的所述用户身份信息和所述申请修改信息，根据验证结果生成对应的授权证书，并对所述授权证书进行加密后将所述授权证书发送到数据监管模块。

步骤S30，所述数据监管模块监控所述系统基础数据，并验证所述系统基础数据修改时对应的所述授权证书，若验证通过，则确认修改后的所述系统基础数据生效，若验证不通过，则将修改后的所述系统基础数据进行恢复。

本实施例中，授权证书包括用户身份ID、对应的唯一权限令牌、以及证书私钥，所述权限令牌使用所述用户身份ID进行签名，所述权限令牌包括用户私钥、用户修改权限、和权限时间期限，所述数据监管模块使用预存的所述系统管理模块的公钥验证所述授权证书的证书私钥，使用预存的所述数据管理模块的公钥验证所述权限令牌中的用户私钥，并判断所述权限令牌中的权限时间期限。

并且所述数据监管模块还会对系统基础数据定时进行备份，并按照所述系统基础数据的版本信息进行存储，将非授权修改的所述系统基础数据、以及在权限时间期限外修改的所述系统基础数据恢复为所述数据备份模块存储的数据版本。以及对系统基础数据的所有操作，生成日志记录，并定时将所述日志记录进行备份存储。

本发明实施例提出的限制修改系统基础数据的方法的技术特征和技术效果与本发明实施例提出的系统相同，在此不予赘述。上述限制修改系统基础数据的系统中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中，也可以以软件形式存储于计算机设备中的存储器中，以便于处理器调用执行以上各个模块对应的操作。

综上，本发明实施例提出的一种限制修改系统基础数据的系统及方法，所述系统通过依次连接的数据管理模块、系统管理模块和数据监管模块；所述数据管理模块用于向所述系统管理模块发送用户身份信息和申请修改信息，申请对系统基础数据进行修改的授权证书，并对所述系统基础数据进行修改；所述系统管理模块包括证书生成模块和加密模块，所述证书生成模块用于验证所述数据管理模块发送的所述用户身份信息和所述申请修改信息，根据验证结果生成对应的授权证书，所述加密模块用于对所述授权证书进行加密后将所述授权证书发送到所述数据监管模块；所述数据监管模块用于监控所述系统基础数据，并验证所述系统基础数据修改时对应的所述授权证书，若验证通过，则确认修改后的所述系统基础数据生效，若验证不通过，则将修改后的所述系统基础数据进行恢复。该系统在不限制用户管理基础数据权限的情况下，自动备份并恢复用户修改的基础数据，保证系统在非授权情况下基础数据的正确性，并通过临时在线授权的方式，使系统只有在授权期限内修改的基础数据才会生效，保证了系统的安全性和稳定性。

本说明书中的各个实施例均采用递进的方式描述，各个实施例直接相同或相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于系统实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。需要说明的是，上述实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。

以上所述实施例仅表达了本申请的几种优选实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的限制。应当指出的是，对于本技术领域的普通技术人员来说，在不脱离本发明技术原理的前提下，还可以做出若干改进和替换，这些改进和替换也应视为本申请的保护范围。因此，本申请专利的保护范围应以所述权利要求的保护范围为准。