专利名称:对数据管理进行权限控制的方法
技术领域:
本发明涉及网络管理技术领域,尤其涉及一种对数据管理进行权限控制的方法。
背景技术:
网管系统(或称网管)是电信网络中的网络设备管理系统,如果要求网管用户仅能对某些指定条件的数据进行管理,则该条件称为管理权限。在目前电信的网管中,特别是NGN(下一代网络)领域的网管中,由于NGN的扁平化特征以及跨地域特征,要求网管在提供集中管理的情况下,支持按不同地域划分数据的管理权限,以使分布在不同地域的网管用户允许且仅允许管理本地域相关的数据。
现有技术中,网管对数据管理进行权限控制的方法,是对每一条数据都进行编号,然后配置网管用户可管理的数据的编号范围。网管系统通过检查用户可管理的数据编号来控制网管用户对某条数据的管理权限。这种方法的缺点在于1、在数据种类非常多的情况下,需要对每一个用户,对每一种数据都配置网管用户可管理的数据编号范围,工作量大。
比如在软交换设备的资源数据配置中,最多可达二百多种资源,如果对每一个网管用户,都配置其可以使用的资源编号范围,则将进行二百多种配置;而实际的网管系统中可能有很多个用户(设为n)个,这样这些编号范围配置操作将进行200*n次。
2、在数据之间有关联关系的情况下,容易出现对有关联的数据配置的管理权限不一致,导致用户对数据的管理权限出现冲突或不一致。
比如对于软交换中的局向和路由,在配置时要求先配置局向,再根据局向配置路由,局向和路由是有联系的数据。在查看时要求有权限查看到的局向和路由一致。但如果配置的管理权限不一致,可能出现可查看的局向与可查看的路由不能完全对应的情况。
发明内容
本发明所要解决的技术问题是克服现有的网管对数据管理进行权限控制的方法配置工作量大、易出现对有关联的数据配置的管理权限不一致的缺点,提供一种对数据管理进行权限控制的方法,减少配置工作量,并实现对有关联数据管理权限的统一管理,避免出现冲突或不一致。
本发明为解决上述技术问题所采用的技术方案为这种对数据管理进行权限控制的方法,包括以下步骤网管系统将数据分为根数据和非根数据,根数据是在增加该数据时不需要引用其它数据的数据;非根数据是在增加该数据时要求引用根数据或其它非根数据的数据;网管系统为每个用户配置根数据的管理权限,在管理根数据时,直接查询出用户对该根数据的管理权限来判断用户是否可管理该根数据;在管理非根数据时,根据非根数据查询到相关的一个或多个根数据,并检查用户对这些根数据是否拥有管理权限来判断用户是否可管理该非根数据。
可以先为所有数据建立一个完整的关联关系图,根数据和非根数据都是图中一个节点,然后系统根据需要从图中非根数据节点向根数据节点搜索可达路径,如有可达路径,则根据非根数据查询到对应的一个或多个根数据,进而根据用户对这些根数据是否拥有管理权限来判断用户是否可管理该非根数据。
根据非根数据查询到的根数据判断用户是否可管理该非根数据时,如果查询到一条根数据,且用户对该根数据具有管理权限,则该用户对该非根数据有管理权限,反之则没有管理权限;如果根据非根数据查询到关联的多条不同种类的根数据,则该非根数据的管理权限通过对所查出的全部或部分根数据管理权限的逻辑算法来判断。
所述的逻辑算法包括求与、求或,或者是求与、求或的逻辑组合。
所述的逻辑算法内置到网管系统中,或在网管系统由用户进行配置。
在用户查询数据时,网管系统根据管理权限过滤,使用户仅查询到自己拥有管理权限的数据,而无法查询到不拥有管理权限的数据;或者在用户查询数据时,可以查询到所有数据,在进行数据更改操作时检查用户对数据的管理权限,使用户仅能操作自己拥有管理权限的数据。
网管系统查询出用户可以管理的根数据,再将非根数据对应的根数据查询出来,两者取交集后得到一个根数据集合,这个根数据集合对应的非根数据以及根数据,即是网管系统拥有管理权限的数据。
在为用户配置根数据的管理权限时,网管系统具有较高级权限的用户登录网管系统后,在网管系统的安全管理中查询出根数据以及各网管用户帐号,为各个网管用户帐号配置根数据的管理权限。
网管系统在接收到用户查询根数据的操作请求后,根据当前操作用户的用户帐号,在网管的安全系统数据库中查询出该用户帐号可管理的根数据。
本发明的有益效果为本发明网管系统将数据分为根数据和非根数据,网管系统为每个用户配置根数据的管理权限,在管理根数据时,直接查询出用户对该根数据的管理权限来判断用户是否可管理该根数据;在管理非根数据时,根据非根数据查询到相关的一个或多个根数据,并检查用户对这些根数据是否拥有管理权限来判断用户是否可管理该非根数据。利用本发明,网管只需要通过对少量数据的管理权限进行配置,即可实现对其它数据的管理权限进行控制,减少了配置工作量,同时可实现对有关联的数据管理权限的统一管理,避免了出现冲突或不一致。
具体实施例方式
下面根据实施例对本发明作进一步详细说明本发明网管系统需要了解数据之间的关系,并且归纳出少数几类数据作为根数据,其它类别的数据做为非根数据。
所谓根数据,是指在增加该数据时,不需要引用其它的数据;所谓非根数据,就是在增加该数据时要求引用根数据或其它非根数据。
例如在软交换的数据中,一条媒体网关的记录是一条根数据,因为增加该数据时不需要引用系统中其它数据;而一条七号中继群的记录则是一条非根数据,因为增加该数据时需要引用媒体网关记录。
例如局向是根数据,因为增加局向时不需要引用其它已经配置的数据;路由就是非根数据,因为增加路由时要求引用已经增加的某条局向数据。
网管只需要为每个用户配置根数据的管理权限,比如网管系统具有较高级权限的用户在登录网管系统后,在网管系统的“安全管理”中可以查询出根数据以及其它的网管用户帐号,超级用户可以为各个网管用户帐号配置有哪些根数据可以被该用户管理。
用户在管理根数据时,只需要直接查询出用户对该根数据的管理权限即可判断用户是否可管理该根数据。网管系统在接收到用户查询根数据的操作请求后,根据当前操作用户的用户帐号,在网管的安全系统数据库中查询出该用户帐号可管理的根数据。
用户在管理非根数据时,需要系统自动从非根数据查询到相关的一个或多个根数据(网管系统自身有一套从非根数据查询到根数据的算法),并检查用户对这些根数据是否拥有管理权限,系统可根据检查出的根数据的管理权限,判断非根数据是否有管理权限。如果查询到一条根数据,且用户对该根数据具有管理权限,则该用户对该非根数据有管理权限,反之则没有管理权限;如果根据非根数据查询到关联的多条不同种类的根数据,则该非根数据的管理权限可通过对所查出的全部或部分根数据管理权限的逻辑算法来判断。
在用户查询数据时,网管系统可以根据管理权限过滤,使用户仅查询到自己拥有管理权限的数据,而无法查询到不拥有管理权限的数据;也可以不提供查询过滤功能,使用户可以查询到所有数据,并且只在进行数据更改操作时再检查数据的管理权限。在根据管理权限进行过滤时,网管系统查询出当前帐号可以管理的根数据,再将非根数据对应的根数据查询出来,两者取交集后得到一个根数据集合,这个根数据集合对应的非根数据即是按管理权限过滤后的数据。
从非根数据查询到相关的根数据可能需要经历中间多层其它非根数据,网管系统需要一直回溯到根数据为止。可以先为所有数据建立一个完整的关联关系图,根数据和非根数据都是图中一个节点,然后根据需要从图中非根数据节点向根数据节点搜索可达路径,如有可达路径,则说明非根数据可回溯到对应的根数据,从而根据非根数据查询到对应的一条或多条根数据。
比如编号为0、1的局向数据为根数据,编号为10的路由数为非根数据,并引用了编号为0的局向数据;编号为100的子路由数据为非根数,并引用了编号为10的路由数,则可在内存或其它存储介质中建立一个关联关系图,子路由100关联到路由10,路由10关联到局向0;在检查用户是否对子路由100有管理权限时,需要搜索子路由100和局向0、局向1之间是否有可达路径。从上例中可知,子路由100与局向0之间有可达路径,而与局向1之间无可达路径,说明用户对子路由100的管理权限取决于用户对局向0的管理权限,而与局向1无关。
如果非根数据关联多条不同类的根数据,则这些非根数据的管理权限可以通过对全部或部分根数据管理权限的逻辑算法来判断。一条非根数据可能关联多条不同种类的根数据,比如软交换中一条中继群,可关联的根数据既有媒体网关数据,也有局向数据。当要求对多条根数据有管理权限,用户才能对相应的非根数据有管理权限,则称为求与。逻辑算法包括“求与”、“求或”、或者是“求与”/“求或”的逻辑组合。比如一条非根数据可以关联到根数据a、b、c,逻辑组合可以为(a有管理权限与b有管理管理)或(c有管理权限)。
假设上例中的子路由100除了关联到一条编号为0的局向数据,还可以关联到另一条编号为3的网关数据、一条编号为9的信令点数据,且逻辑算法要求(局向数据有权限与网关数据有权限)或(信令点数据有权限),则满足如下条件时用户对子路由100有管理权限1、用户对局向0和网关3同时有管理权限时;2、用户对信令点数据9有管理权限时。
如下条件时用户对子路由100无管理权限1、用户对局向0和信令点9都没有管理权限时;2、用户对网关3和信令点9都没有管理权限时。
逻辑算法的实现可以在系统实现时内置到系统中且不可改变;也可以在系统实现时不内置到系统中,在系统实际使用时由用户进行配置;还可以在系统实现时内置,在系统实际使用时由用户进行更改。
利用本发明,网管系统中对非根数据的管理权限通过查询相关根数据的管理权限来确定,而不需要通过网管系统直接分配。网管只需要通过对少量数据的管理权限进行配置,即可实现对其它数据的管理权限进行控制,减少了配置工作量,同时可实现对有关联的数据的管理权限的统一管理,避免了出现冲突或不一致。如果非根数据涉及多条根数据,本发明还支持对多条根数据的管理权限进行逻辑组合,该逻辑组合既可以是系统自动默认的,也可以是用户通过系统定制的。
网管系统中数据的范围相当广泛,除了网管自身产生数据,从其它系统引入并在网管中需要进行权限管理的数据都可以纳入到数据的概念中,比如从设备上报的告警数据也可以支持本方案。所有数据都可以划分为根数据和非根数据,从非根数据一定可以找到根数据,根数据下不一定有非根数据。
本领域技术人员不脱离本发明的实质和精神,可以有多种变形方案实现本发明,以上所述仅为本发明较佳可行的实施例而已,并非因此局限本发明的权利范围,凡运用本发明说明书内容所作的等效变化,均包含于本发明的权利范围之内。
权利要求
1.一种对数据管理进行权限控制的方法,其特征在于,包括以下步骤网管系统将数据分为根数据和非根数据,根数据是在增加该数据时不需要引用其它数据的数据;非根数据是在增加该数据时要求引用根数据或其它非根数据的数据;网管系统为每个用户配置根数据的管理权限,在管理根数据时,直接查询出用户对该根数据的管理权限来判断用户是否可管理该根数据;在管理非根数据时,根据非根数据查询到相关的一个或多个根数据,并检查用户对这些根数据是否拥有管理权限来判断用户是否可管理该非根数据。
2.根据权利要求1所述的对数据管理进行权限控制的方法,其特征在于先为所有数据建立一个完整的关联关系图,根数据和非根数据都是图中一个节点,然后根据需要从图中非根数据节点向根数据节点搜索可达路径,如有可达路径,则根据非根数据查询到对应的一个或多个根数据,进而根据用户对这些根数据是否拥有管理权限来判断用户是否可管理该非根数据。
3.根据权利要求1或2所述的对数据管理进行权限控制的方法,其特征在于根据非根数据查询到的根数据判断用户是否可管理该非根数据时,如果查询到一条根数据,且用户对该根数据具有管理权限,则该用户对该非根数据有管理权限,反之则没有管理权限;
4.根据权利要求3所述的对数据管理进行权限控制的方法,其特征在于如果根据非根数据查询到关联的多条不同种类的根数据,则该非根数据的管理权限通过对所查出的全部或部分根数据管理权限的逻辑算法来判断。
5.根据权利要求4所述的对数据管理进行权限控制的方法,其特征在于所述逻辑算法包括求与、求或,或者是求与、求或的逻辑组合。
6.根据权利要求4所述的对数据管理进行权限控制的方法,其特征在于所述的逻辑算法内置到网管系统中,或在网管系统由用户进行配置。
7.根据权利要求4所述的对数据管理进行权限控制的方法,其特征在于在用户查询数据时,网管系统根据管理权限过滤,使用户仅查询到自己拥有管理权限的数据,无法查询到不拥有管理权限的数据;或者在用户查询数据时,可以查询到所有数据,在进行数据更改操作时检查用户对数据的管理权限,使用户仅能操作自己拥有管理权限的数据。
8.根据权利要求7所述的对数据管理进行权限控制的方法,其特征在于网管系统查询出用户可以管理的根数据,再将非根数据对应的根数据查询出来,两者取交集后得到一个根数据集合,这个根数据集合对应的非根数据以及根数据,即是网管系统拥有管理权限的数据。
9.根据权利要求3所述的对数据管理进行权限控制的方法,其特征在于在为用户配置根数据的管理权限时,网管系统具有较高级权限的用户登录网管系统后,在网管系统的安全管理中查询出根数据以及各网管用户帐号,为各个网管用户帐号配置根数据的管理权限。
10.根据权利要求9所述的对数据管理进行权限控制的方法,其特征在于网管系统在接收到用户查询根数据的操作请求后,根据当前操作用户的用户帐号,在网管的安全系统数据库中查询出该用户帐号可管理的根数据。
全文摘要
一种对数据管理进行权限控制的方法,将数据分为根数据和非根数据,根数据是在增加该数据时不需要引用其它数据的数据;非根数据是在增加时要求引用根数据或其它非根数据的数据;网管系统为每个用户配置根数据的管理权限,在管理根数据时,直接查询出用户对该根数据的管理权限来判断用户是否可管理该根数据;在管理非根数据时,根据非根数据查询到相关的一个或多个根数据,并检查用户对这些根数据是否拥有管理权限来判断用户是否可管理该非根数据。利用本发明,网管只需要通过对少量数据的管理权限进行配置,即可实现对其它数据的管理权限进行控制,减少了配置工作量,同时可实现对有关联的数据的管理权限的统一管理,避免了出现冲突或不一致。
文档编号H04L12/24GK1859166SQ200510100870
公开日2006年11月8日 申请日期2005年10月28日 优先权日2005年10月28日
发明者解宁, 任宝刚 申请人:华为技术有限公司