專利名稱:針對(duì)大容量對(duì)象的用戶訪問(wèn)權(quán)限管理方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)管理�,具體涉及針對(duì)大容量對(duì)象的用戶訪問(wèn)權(quán)限管理方法��。
背景技術(shù):
隨著網(wǎng)絡(luò)IP化以及FMC (Fixed-Mobile Convergence)的發(fā)展�����,運(yùn)營(yíng)商運(yùn)維模式將發(fā)生深刻改變��,從以網(wǎng)絡(luò)類型和網(wǎng)元類型分層管理逐步走向融合管理���,同時(shí)對(duì)運(yùn)維成本和用戶體驗(yàn)有更高的要求�,因此為了適應(yīng)未來(lái)網(wǎng)絡(luò)的發(fā)展,通信網(wǎng)絡(luò)管理系統(tǒng)必須實(shí)現(xiàn)各種類型網(wǎng)元的統(tǒng)一管理�����,充分滿足融合網(wǎng)絡(luò)運(yùn)維管理的需要����。統(tǒng)一管理面臨的一個(gè)主要問(wèn)題是管理容量��,而現(xiàn)有的用戶訪問(wèn)權(quán)限管理系統(tǒng)都沒(méi)有考慮這種大容量的要求��,只能在一個(gè)維度上集中控制用戶權(quán)限�,不能分域管理,缺乏靈活性�。在統(tǒng)一管理的背景下,如果將種類繁多���,跨越不同地區(qū)的設(shè)備��,集中交給一個(gè)部門(mén)來(lái)進(jìn)行用戶訪問(wèn)權(quán)限控制���,其工作量可想而知將十分艱巨。對(duì)于權(quán)限控制策略的選擇�����,通常需要根據(jù)組織結(jié)構(gòu)和人員分工來(lái)決定,在電信網(wǎng)絡(luò)維護(hù)中�,通常的結(jié)構(gòu)是有一個(gè)中心對(duì)全網(wǎng)設(shè)備進(jìn)行監(jiān)控,而設(shè)備的直接配置和維護(hù)是由各個(gè)區(qū)域的組織和人員來(lái)完成的����。因此,權(quán)限控制系統(tǒng)需要能夠根據(jù)不同組織結(jié)構(gòu)和管理容量���,靈活定制不同的管理策略��,即能集中維護(hù)所有用戶權(quán)限����,也能由各個(gè)區(qū)域的管理員維護(hù)自己區(qū)域的用戶權(quán)限�����。
發(fā)明內(nèi)容
本發(fā)明所要解決的技術(shù)問(wèn)題是解決現(xiàn)有的用戶訪問(wèn)權(quán)限管理系統(tǒng)只能在一個(gè)維度上集中控制用戶權(quán)限�,不能分域管理,缺乏靈活性的問(wèn)題���。為了解決上述技術(shù)問(wèn)題���,本發(fā)明所采用的技術(shù)方案是提供一種針對(duì)大容量對(duì)象的用戶訪問(wèn)權(quán)限管理方法��,包括以下步驟
A10����、建立用戶訪問(wèn)權(quán)限管理模型����,所述管理模型包括用戶、用戶組���、對(duì)象、對(duì)象集�����、操作和操作集�;用戶是系統(tǒng)使用者;用戶組是具相同權(quán)限的用戶的集合���;對(duì)象是用戶可訪問(wèn)的系統(tǒng)中的資源�;對(duì)象集是對(duì)象的集合;操作是用戶可執(zhí)行的動(dòng)作����,分為無(wú)限制、admin特權(quán)�����、 安全管理及對(duì)象操作四種類型��;操作集是操作的集合����;
A20、建立用戶����,并通過(guò)將用戶分別指派到不同的用戶組從而使用戶具有相應(yīng)的權(quán)限, 用戶組分為超級(jí)管理員組�����、安全管理員組����、子域安全管理員組和普通用戶組四種類型����;屬于安全管理員組或子域安全管理員組的用戶具有管理權(quán)限�����;屬于其他類型用戶組的用戶不具有管理權(quán)限��,僅能對(duì)可管理對(duì)象進(jìn)行授權(quán)的操作����;屬于安全管理員組的用戶可以對(duì)包括子域安全管理員組在內(nèi)的全域進(jìn)行管理;屬于子域安全管理員組的用戶只能對(duì)所屬子域進(jìn)行管理�����;
A30���、用戶登錄時(shí),根據(jù)用戶類型允許其使用相應(yīng)的權(quán)限���。在上述方法中�����,在步驟A20中�,首先定義用戶可執(zhí)行的所有操作,并內(nèi)置一個(gè)超級(jí)管理員組和一個(gè)安全管理員組�����,內(nèi)置一個(gè)admin用戶屬于上述兩個(gè)內(nèi)置用戶組�;然后使用admin登陸,根據(jù)規(guī)劃建立用戶���,將用戶分別指派到用戶組從而使用戶具有相應(yīng)權(quán)限��。在上述方法中��,建立的用戶可以屬于多個(gè)用戶組���,但是只能屬于一個(gè)安全管理員組或子域安全管理員組。在上述方法中�����,超級(jí)管理員組默認(rèn)包含除安全管理員組或子域安全管理員所具有的管理權(quán)限外的所有權(quán)限�����,安全管理員組或子域安全管理員組默認(rèn)具有管理權(quán)限,普通用戶組的權(quán)限取決于管理者為其分配的權(quán)限���。在上述方法中�����,屬于安全管理員組或子域安全管理員組的用戶分配權(quán)限的方法是將對(duì)象劃分為不同的對(duì)象集��,將操作劃分為不同的操作集�,將對(duì)象集和操作集指派給用戶組表示對(duì)這些對(duì)象具有相應(yīng)操作權(quán)限����。在上述方法中,將對(duì)象集和操作集直接指派給用戶��,對(duì)用戶組內(nèi)的對(duì)象授予用戶組內(nèi)的操作權(quán)限或者對(duì)用戶自身對(duì)象授予用戶自身操作權(quán)限��。在上述方法中��,建立新的用戶��、用戶組����、對(duì)象集或操作集時(shí)記錄其歸屬的唯一的安全管理員組或子域安全管理員組ID,當(dāng)屬于安全管理員組的用戶登錄時(shí)��,可以管理所有用戶�����、用戶組�����、對(duì)象集和操作集�;而屬于子域安全管理員組的用戶登錄時(shí),只能管理子域內(nèi)的用戶��、用戶組��、對(duì)象集和操作集����。在上述方法中,判斷用戶權(quán)限的方法是 如果是無(wú)限制操作��,則總是有權(quán)限�����;
如果是安全管理操作,則只有安全管理員組或子域安全管理員組用戶具有權(quán)限��,且被編輯的用戶��、用戶組����、對(duì)象集、操作集屬于用戶所在區(qū)域��;
如果是admin特權(quán)操作��,則只有內(nèi)置的admin用戶具有權(quán)限�����; 如果是對(duì)象操作��,則依次判斷用戶所屬用戶組是否包含目標(biāo)對(duì)象和操作��,如果包含則具有權(quán)限��,否則繼續(xù)��,最后判斷用戶自身對(duì)象集和操作集是否包含目標(biāo)對(duì)象和操作,如果包含則具有權(quán)限����,否則無(wú)權(quán)限�。本發(fā)明,將所有對(duì)象納入一個(gè)全局域集中管理�,也可將對(duì)象劃分為彼此獨(dú)立的子域,各個(gè)子域互不干擾��、單獨(dú)管理�����。通過(guò)這樣的權(quán)限管理方法��,能夠根據(jù)管理對(duì)象規(guī)模及組織結(jié)構(gòu)靈活制定管理策略�,特別在管理對(duì)象多、組織結(jié)構(gòu)復(fù)雜時(shí)�����,使用本方法�����,可以大大提高管理效率、降低管理成本���。
圖1為本發(fā)明實(shí)施例提供的針對(duì)大容量對(duì)象的用戶訪問(wèn)權(quán)限管理模型示意圖�; 圖2為本發(fā)明實(shí)施例提供的用戶權(quán)限管理流程圖3為本發(fā)明實(shí)施例提供的用戶權(quán)限分域管理示意圖���; 圖4為本發(fā)明實(shí)施例提供的用戶權(quán)限判斷流程圖����。
具體實(shí)施例方式下面結(jié)合附圖對(duì)本發(fā)明作出詳細(xì)的說(shuō)明��。本發(fā)明包括以下步驟
A10���、在系統(tǒng)的網(wǎng)管上建立用戶訪問(wèn)權(quán)限管理模型�����,圖1示出了針對(duì)大容量對(duì)象的用戶訪問(wèn)權(quán)限管理模型示意圖����,其中數(shù)字1和0. . *表示連線兩端的關(guān)系是1對(duì)0或多個(gè)�����,例如 1個(gè)用戶可以包含0個(gè)或多個(gè)對(duì)象集,該模型包括如下元素用戶�����、用戶組����、對(duì)象���、對(duì)象集���、操作和操作集。用戶是系統(tǒng)使用者����;用戶組是具有相同權(quán)限的用戶的集合;對(duì)象是用戶可以在系統(tǒng)中訪問(wèn)的資源�;對(duì)象集是對(duì)象的集合,包含0或多個(gè)對(duì)象�;操作是用戶可以執(zhí)行的動(dòng)作(操作權(quán)限),分為無(wú)限制�����、admin特權(quán)、安全管理以及對(duì)象操作四種類型����;操作集是操作的集合,包含0或多個(gè)操作��,只有對(duì)象操作可以劃分到操作集�。用戶組包含0或多個(gè)對(duì)象集以及0或多個(gè)操作集,表示對(duì)包含的所有對(duì)象擁有包含的所有操作權(quán)限���;用戶組分為超級(jí)管理員組���、安全管理員組、子域安全管理員組及普通用戶組類型�����;用戶屬于0或多個(gè)用戶組�����, 只能屬于一個(gè)安全管理員組或子域安全管理員組�。A20、建立相應(yīng)的用戶并分別指派到不同的用戶組中�,從而使用戶具有相應(yīng)的權(quán)限��。如圖2所示����,步驟A20包括以下一些具體步驟
A201�、系統(tǒng)首次使用時(shí),首先進(jìn)行一些初始定義��,定義用戶可執(zhí)行的所有操作�,并內(nèi)置一個(gè)超級(jí)管理員組和一個(gè)安全管理員組����,內(nèi)置一個(gè)admin用戶屬于上述兩個(gè)內(nèi)置用戶組, 這樣admin用戶就具有所有權(quán)限�����。A202��、系統(tǒng)首次使用時(shí)�����,使用admin登陸���,根據(jù)規(guī)劃建立不同類型的用戶�,并將用戶分別指派到不同的用戶組中,從而使用戶具有相應(yīng)權(quán)限�。用戶組分為超級(jí)管理員組、子域安全管理員組��、安全管理員組和普通用戶組四種類型��;屬于安全管理員組或子域安全管理員組的用戶具有管理權(quán)限�����;屬于其他類型用戶組的用戶不具有管理權(quán)限����,僅能對(duì)可管理對(duì)象進(jìn)行授權(quán)的操作;屬于安全管理員組的用戶可以對(duì)包括子域安全管理員組在內(nèi)的全域進(jìn)行管理��;屬于子域安全管理員組的用戶只能對(duì)所屬子域進(jìn)行管理����。A30、用戶登錄時(shí)��,根據(jù)用戶類型允許其使用相應(yīng)的權(quán)限�,如果是安全管理員組用戶��,允許對(duì)所有用戶�、用戶組����、對(duì)象集、操作集進(jìn)行管理�;如果是子域安全管理員組用戶,則只允許管理子域內(nèi)的用戶���、用戶組��、對(duì)象集���、操作集��;如果是其他用戶組用戶����,則無(wú)管理權(quán)限。屬于安全管理員組或子域安全管理員組的用戶具有管理權(quán)限�����,可以建立新的或編輯已經(jīng)存在的用戶、用戶組��、對(duì)象集或操作集����。新建時(shí),會(huì)記錄所屬安全管理員組或子域安全管理員組唯一的ID�����,這樣用戶登錄后就可以確定對(duì)哪些用戶����、用戶組、對(duì)象集�、操作集可進(jìn)行管理。由于安全管理員類型用戶組即代表全域管理���,所以只需要內(nèi)置一個(gè)���,安全管理員組用戶登錄后只能再新建子域安全管理員組或普通用戶組,而子域安全管理員組用戶登錄后只能再新建普通用戶組����。新建對(duì)象集時(shí)是在用戶所屬安全管理員組或子域安全管理員組包含的對(duì)象基礎(chǔ)上建立��,為簡(jiǎn)化權(quán)限管理模型����,限制一個(gè)用戶只能屬于一個(gè)安全管理員組或子域安全管理員組�����。新建操作集是在所有對(duì)象操作基礎(chǔ)上建立�。權(quán)限指派的過(guò)程包括為用戶組指派對(duì)象集和操作集,使用戶組代表一類相同權(quán)限用戶�����;為用戶指派用戶組����,使用戶具有相應(yīng)權(quán)限,一個(gè)用戶可以屬于多個(gè)用戶組�����,它們之間的權(quán)限是并的關(guān)系�����;為用戶指派對(duì)象集和操作集�����,實(shí)現(xiàn)用戶權(quán)限的微調(diào)��,其含義可以理解為用戶私有的用戶組��。圖3示出了一個(gè)分區(qū)的權(quán)限管理過(guò)程��。該示例中假設(shè)用戶A屬于安全管理員組����,用戶A登錄后依次建立對(duì)象集A,對(duì)象集A包含地區(qū)A的所有對(duì)象���;操作集A ��;子域安全管理員類型用戶組A���,并指派包含對(duì)象集A ;用戶B����,并指派屬于用戶組A���。經(jīng)過(guò)這樣的過(guò)程后, 實(shí)際上就建立了一個(gè)子域A��,子域A可管理對(duì)象的范圍就是用戶組A包含的對(duì)象�����,即對(duì)象集 A����,用戶B就是子域A的管理員。用戶B登錄后看不到全局域管理用戶�����,即安全管理員組用戶建立的權(quán)限����,也看不到其它子域內(nèi)的權(quán)限,他需要根據(jù)子域A的組織結(jié)構(gòu)進(jìn)行獨(dú)立權(quán)限管理�����,例如���,用戶B依次建立對(duì)象集B���,對(duì)象集B —定是對(duì)象集A的子集;操作集B �;用戶組 B,此時(shí)用戶B只能建立普通用戶組����;用戶C,并指派屬于用戶組B����。用戶B建立的這些權(quán)限對(duì)其他子域也是不可見(jiàn)的,但是對(duì)全局域管理用戶是可見(jiàn)的���。從而實(shí)現(xiàn)了子域內(nèi)互不干擾��、 獨(dú)立管理的分區(qū)權(quán)限管理�。圖4示出了用戶權(quán)限判斷流程�,具體步驟如下
步驟A301,輸入目標(biāo)操作及對(duì)象���,操作包含操作ID及操作類型��,對(duì)象包含對(duì)象ID�。步驟A302、根據(jù)操作類型進(jìn)行不同的權(quán)限判斷��。如果操作類型為對(duì)象操作�����,則依次判斷用戶所屬用戶組是否包含目標(biāo)操作和對(duì)象��,只要找到一個(gè)包含��,則返回有權(quán)限���,否則繼續(xù)�,然后再判斷用戶自身的對(duì)象集和操作集是否包含目標(biāo)對(duì)象和操作���,如果包含��,則返回有權(quán)限�,否則返回?zé)o權(quán)限�����。如果操作類型為無(wú)限制,則直接返回有權(quán)限����。如果操作類型為admin特權(quán)�����,則判斷用戶是否為admin用戶��,如果是�����,則返回有權(quán)限��,否則返回?zé)o權(quán)限���。如果操作類型為安全管理�,則判斷用戶是否屬于安全管理員組或子域安全管理員組�,如果否,則返回?zé)o權(quán)限�,如果是�����,則繼續(xù)判斷目標(biāo)對(duì)象�,即被編輯的用戶�����、用戶組����、對(duì)象集、操作集是否屬于相應(yīng)區(qū)域��,如果屬于則返回有權(quán)選���,否則返回?zé)o權(quán)限��。步驟A302中�����,判斷目標(biāo)用戶�����、用戶組����、對(duì)象集、操作集是否屬于相應(yīng)區(qū)域的方法是如果操作用戶為安全管理員組用戶��,則目標(biāo)對(duì)象總是屬于的�,因?yàn)榘踩芾韱T組用戶可以管理全域權(quán)限�����,如果操作用戶為子域安全管理員組用戶�,則需根據(jù)目標(biāo)用戶、用戶組�、對(duì)象集、操作集所屬用戶組ID判斷是否屬于此子域����。本發(fā)明不局限于上述最佳實(shí)施方式,任何人應(yīng)該得知在本發(fā)明的啟示下作出的結(jié)構(gòu)變化����,凡是與本發(fā)明具有相同或相近的技術(shù)方案,均落入本發(fā)明的保護(hù)范圍之內(nèi)���。
權(quán)利要求
1.針對(duì)大容量對(duì)象的用戶訪問(wèn)權(quán)限管理方法�,其特征在于包括以下步驟A10、建立用戶訪問(wèn)權(quán)限管理模型����,所述管理模型包括用戶、用戶組�����、對(duì)象����、對(duì)象集、操作和操作集���;用戶是系統(tǒng)使用者��;用戶組是具相同權(quán)限的用戶的集合���;對(duì)象是用戶可訪問(wèn)的系統(tǒng)中的資源;對(duì)象集是對(duì)象的集合�����;操作是用戶可執(zhí)行的動(dòng)作,分為無(wú)限制��、admin特權(quán)�����、 安全管理及對(duì)象操作四種類型�;操作集是操作的集合;A20����、建立用戶�����,并通過(guò)將用戶分別指派到不同的用戶組從而使用戶具有相應(yīng)的權(quán)限���, 用戶組分為超級(jí)管理員組�����、安全管理員組�����、子域安全管理員組和普通用戶組四種類型���;屬于安全管理員組或子域安全管理員組的用戶具有管理權(quán)限���;屬于其他類型用戶組的用戶不具有管理權(quán)限,僅能對(duì)可管理對(duì)象進(jìn)行授權(quán)的操作��;屬于安全管理員組的用戶可以對(duì)包括子域安全管理員組在內(nèi)的全域進(jìn)行管理�����;屬于子域安全管理員組的用戶只能對(duì)所屬子域進(jìn)行管理����;A30、用戶登錄時(shí)��,根據(jù)用戶類型允許其使用相應(yīng)的權(quán)限���。
2.如權(quán)利要求1所述的針對(duì)大容量對(duì)象的用戶訪問(wèn)權(quán)限管理方法�,其特征在于�,在步驟A20中,首先定義用戶可執(zhí)行的所有操作,并內(nèi)置一個(gè)超級(jí)管理員組和一個(gè)安全管理員組���,內(nèi)置一個(gè)admin用戶屬于上述兩個(gè)內(nèi)置用戶組�;然后使用admin登陸���,根據(jù)規(guī)劃建立用戶����,將用戶分別指派到用戶組從而使用戶具有相應(yīng)權(quán)限��。
3.如權(quán)利要求1所述的針對(duì)大容量對(duì)象的用戶訪問(wèn)權(quán)限管理方法�,其特征在于,建立的用戶可以屬于多個(gè)用戶組����,但是只能屬于一個(gè)安全管理員組或子域安全管理員組���。
4.如權(quán)利要求1所述的針對(duì)大容量對(duì)象的用戶訪問(wèn)權(quán)限管理方法�,其特征在于�����,超級(jí)管理員組默認(rèn)包含除安全管理員組或子域安全管理員所具有的管理權(quán)限外的所有權(quán)限,安全管理員組或子域安全管理員組默認(rèn)具有管理權(quán)限����,普通用戶組的權(quán)限取決于管理者為其分配的權(quán)限。
5.如權(quán)利要求1所述的針對(duì)大容量對(duì)象的用戶訪問(wèn)權(quán)限管理方法�����,其特征在于�����,屬于安全管理員組或子域安全管理員組的用戶分配權(quán)限的方法是將對(duì)象劃分為不同的對(duì)象集��,將操作劃分為不同的操作集�,將對(duì)象集和操作集指派給用戶組表示對(duì)這些對(duì)象具有相應(yīng)操作權(quán)限。
6.如權(quán)利要求5所述的針對(duì)大容量對(duì)象的用戶訪問(wèn)權(quán)限管理方法����,其特征在于,將對(duì)象集和操作集直接指派給用戶����,對(duì)用戶組內(nèi)的對(duì)象授予用戶組內(nèi)的操作權(quán)限或者對(duì)用戶自身對(duì)象授予用戶自身操作權(quán)限。
7.如權(quán)利要求5所述的針對(duì)大容量對(duì)象的用戶訪問(wèn)權(quán)限管理方法�,其特征在于�����,建立新的用戶���、用戶組、對(duì)象集或操作集時(shí)記錄其歸屬的唯一的安全管理員組或子域安全管理員組ID�����,當(dāng)屬于安全管理員組的用戶登錄時(shí)�,可以管理所有用戶、用戶組��、對(duì)象集和操作集�����;而屬于子域安全管理員組的用戶登錄時(shí)���,只能管理子域內(nèi)的用戶、用戶組�����、對(duì)象集和操作集。
8.如權(quán)利要求5所述的針對(duì)大容量對(duì)象的用戶訪問(wèn)權(quán)限管理方法�,其特征在于,判斷用戶權(quán)限的方法是如果是無(wú)限制操作����,則總是有權(quán)限;如果是安全管理操作�,則只有安全管理員組或子域安全管理員組用戶具有權(quán)限,且被編輯的用戶�����、用戶組�、對(duì)象集、操作集屬于用戶所在區(qū)域��;如果是admin特權(quán)操作�,則只有內(nèi)置的admin用戶具有權(quán)限; 如果是對(duì)象操作�����,則依次判斷用戶所屬用戶組是否包含目標(biāo)對(duì)象和操作��,如果包含則具有權(quán)限�����,否則繼續(xù),最后判斷用戶自身對(duì)象集和操作集是否包含目標(biāo)對(duì)象和操作��,如果包含則具有權(quán)限�,否則無(wú)權(quán)限。
全文摘要
本發(fā)明公開(kāi)了一種針對(duì)大容量對(duì)象的用戶訪問(wèn)權(quán)限管理方法����,包括以下步驟A10、建立由用戶����、用戶組、對(duì)象�、對(duì)象集、操作和操作集組成的的用戶訪問(wèn)權(quán)限管理模型���;A20�、建立用戶��,并通過(guò)將用戶分別指派到不同的用戶組從而使用戶具有相應(yīng)的權(quán)限����;A30、用戶登錄時(shí)��,根據(jù)用戶類型允許其使用相應(yīng)的權(quán)限��。本發(fā)明將所有對(duì)象納入一個(gè)全局域集中管理��,也可將對(duì)象劃分為彼此獨(dú)立的子域�����,各個(gè)子域互不干擾�����、單獨(dú)管理���。通過(guò)這樣的權(quán)限管理方法����,能夠根據(jù)管理對(duì)象規(guī)模及組織結(jié)構(gòu)靈活制定管理策略���,特別在管理對(duì)象多�、組織結(jié)構(gòu)復(fù)雜時(shí)�����,使用本方法,可以大大提高管理效率���、降低管理成本�����。
文檔編號(hào)H04L29/06GK102571745SQ201110363428
公開(kāi)日2012年7月11日 申請(qǐng)日期2011年11月16日 優(yōu)先權(quán)日2011年11月16日
發(fā)明者萬(wàn)金利, 尹永勝, 張勇, 鐘潘, 陳天奇, 鮑齊全 申請(qǐng)人:烽火通信科技股份有限公司