专利名称:网络管理系统多域安全管理方法
技术领域:
本发明涉及SDH(同步数字体系)/MSTP(基于SDH的多业务传送平台)/PTN(分组 传送网)传输网络,关注于网管系统的分权分域管理,灵活的控制用户权限,阻止未授权的 用户访问网络资源和网络管理功能。
背景技术:
近几年来,随着传输网络规模不断扩大,电信运营商的传输网络形成了多厂家,多 传输并存的局面。传输网管集中管理各种类型和各厂家的设备,实时监控告警和性能,配置 各种网络连接和业务。由于传输网管是集中管理,并且管理的范围和实现的功能越来越多, 因此对网管的安全管理提出更高的要求。客户期望提供灵活的权限控制手段,为指定用户 赋予一个或者多个操作权限。网管系统中管理各种厂家各种类型的设备,并且分布在不同的物理区域。客户期 望对不同的区域有不同的管理权限,例如对A域有修改权限,对B域只有查看权限。这样可 以灵活的配置用户权限并控制其操作,方便权限控制管理,提高系统的安全性。与本发明有关的现有技术,其技术方案一如下权限控制的粒度为域,并且和真实环境的物理域绑定,一个用户的权限针对特定 的一个或多个物理域。由上述技术方案可以看出,现有技术方案一存在以下缺陷用户权限直接和物理域绑定,而存在可能场景用户对物理域A的某些某些网元 有操作权限,对域B的某些网元具有操作权限,在该场景下用户权限设置管理区域就存在 问题。技术方案二 权限控制的粒度为网元,用户的权限针对每个网元进行设置。由上述技术方案可以看出,现有技术方案存在如下缺陷用户权限分配繁琐,需要针对每个网元进行权限分配和控制,并且存在着大量的 几余fe息、。
发明内容
本发明所要解决的技术问题是提供一种网络管理系统多域安全管理方法,通过 本方法,解决网管系统中分域分权限控制问题,灵活的给用户分配不同管理域的不同权限。本发明所采用的技术方案是网络管理系统多域安全管理方法,包括Si)创建一个或者多个逻辑安全管理域;S2)分配网元到相应的逻辑安全管理域;S3)创建用户组,指派不同用户到该用户组;S4)创建操作权限集合;S5)对逻辑安全管理域指定权限集合,建立逻辑安全管理域-操作权限集合的关联关系;S6)对用户组指定一个或多个逻辑安全管理域-操作权限集合的关联关系,最终 建立用户组-逻辑安全管理域-操作权限集合的关联关系。所述步骤Sl的逻辑安全管理域为虚拟的逻辑域,其包括一个或多个物理域的网兀。所述步骤S3的用户组包括管理员、系统操作员和观察员。这些用户组是系统缺省 值,还可以按照用户自己的要求定义新的用户组。所述步骤S4的操作权限集合包括系统、操作和查看权限集。所述系统权限集包括系统管理员的有关操作权限项,例如包括网元操作权限项、 网元查看权限项、业务操作权限项、业务查看权限项和用户操作权限项;操作权限集包括网 元操作权限项、网元查看权限项、业务操作权限项和业务查看权限项;查看权限集包括网元 查看权限项和业务查看权限项。所述网元查看权限项包括查看网元属性、查看网元状态的操作,网元操作权限项 包括创建网元、删除网元和修改网元的操作。所述步骤S6的用户组-逻辑安全管理域-操作权限集合的关联关系包括管理员 用户组-所有逻辑安全管理域-系统权限集,操作员用户组-所有逻辑安全管理域-操作 权限集,以及观察员用户组-所有逻辑域-查看权限集。本发明的优点在网管系统中,该方法解决了分域安全的主要问题,针对不同用 户,提供了灵活的权限管理机制。首先它解决了安全和物理域的绑定,用户管理网元的范围和物理地址没有任何关 联,用户可以灵活的指派网元的管理范围。其次,它减少了安全配置的工作时间,不需要针 对每个网元进行单独权限配置,只用对逻辑安全管理域统一配置用户组和权限集合,减轻 维护工作时间。
图1为本发明的说明图。图2为本发明的正常流程图。图3为本发明的权限关联关系图。
具体实施例方式首先根据用户需要创建虚拟的逻辑安全管理域(该域和物理域没有直接联系,逻 辑安全管理域可以看作一组网元的集合,但是该集合中的网元可以分别属于不同的物理 域);然后根据用户的实际安全管理需求,把不同物理域的物理网元划分到该逻辑管理域 中;创建用户组,添加相关用户到该用户组;最后对逻辑安全管理域赋予不同安全管理权 限,并指定用户组和逻辑安全管理域的联系。这样用户就可以根据实际情况灵活的管理各 种不同物理域中的不同网元,对不同的设备具有不同的操作权限集合,满足网管的分域分 权管理要求。本发明提供以下技术方案本方案主要包括以下概念
1.网元真实物理设备以及虚拟网元设备。2.物理域真实的设备管理域,一般根据地域划分,例如武汉市的所有物理设备 可以看作一个物理域。3.逻辑安全管理域虚拟出来的逻辑安全管理域,主要用于用户的安全控制,虚 拟域和物理域没有直接联系,他是一组网元的集合,可以包括不同物理域的网元,可以灵活 指派网元到逻辑域中。实例逻辑域={网元1,网元对,···}4.用户真实用户。5.用户组一组具有相同逻辑安全管理域和相同权限的用户集合。实例用户组={管理员,系统操作员,…}用户组缺省有管理员用户组、操作员用户组和观察员用户组等等,用户还可以自 定义用户组。6.权限项操作权限的集合,可以按照功能粒度配置。实例网元操作权限项={创建网元,删除网元,修改网元,···}7.权限集分配给用户功能权限项的集合。实例管理员操作权限集={网元操作权限项,业务操作权限项,···}其中,操作项是系统自定义的,操作项是操作的集合;权限集是是操作项的集合, 用户可以选择哪些操作项见下表1 3。表1权限集所包含的权限项
权利要求
1.网络管理系统多域安全管理方法,其特征在于包括51)创建一个或者多个逻辑安全管理域;52)分配网元到相应的逻辑安全管理域;53)创建用户组,指派不同用户到该用户组;54)创建操作权限集合;55)对逻辑安全管理域指定权限集合,建立逻辑安全管理域-操作权限集合的关联关系;56)对用户组指定一个或多个逻辑安全管理域-操作权限集合的关联关系,最终建立 用户组-逻辑安全管理域-操作权限集合的关联关系。
2.根据权利要求1所述的方法,其特征在于步骤Sl的逻辑安全管理域为虚拟的逻辑 域,其包括一个或多个物理域的网元。
3.根据权利要求1所述的方法,其特征在于步骤S3的用户组包括管理员、系统操作 员和观察员。
4.根据权利要求1所述的方法,其特征在于步骤S4的操作权限集合包括系统、操作 和查看权限集。
5.根据权利要求4所述的方法,其特征在于系统权限集包括网元操作权限项、网元查 看权限项、业务操作权限项、业务查看权限项和用户操作权限项;操作权限集包括网元操作 权限项、网元查看权限项、业务操作权限项和业务查看权限项;查看权限集包括网元查看权 限项和业务查看权限项。
6.根据权利要求5所述的方法,其特征在于网元查看权限项包括查看网元属性、查看 网元状态的操作,网元操作权限项包括创建网元、删除网元和修改网元的操作。
7.根据权利要求3或4所述的方法,其特征在于步骤S6的用户组-逻辑安全管理 域-操作权限集合的关联关系包括管理员用户组-所有逻辑安全管理域-系统权限集,操 作员用户组所有逻辑安全管理域-操作权限集,以及观察员用户组-所有逻辑域-查看权 限集。
全文摘要
本发明提供了一种网络管理系统多域安全管理方法,其包括S1)创建一个或者多个逻辑安全管理域;S2)分配网元到相应的逻辑安全管理域;S3)创建用户组,指派不同用户到该用户组;S4)创建操作权限集合;S5)对逻辑安全管理域指定权限集合,建立逻辑安全管理域-操作权限集合的关联关系;S6)对用户组指定一个或多个逻辑安全管理域-操作权限集合的关联关系,最终建立用户组-逻辑安全管理域-操作权限集合的关联关系。通过本方法,解决网管系统中分域分权限控制问题,灵活的给用户分配不同管理域的不同权限。
文档编号H04L12/24GK102075357SQ20101062125
公开日2011年5月25日 申请日期2010年12月31日 优先权日2010年12月31日
发明者张珏 申请人:武汉日电光通信工业有限公司