专利名称:一种网络管理的方法、装置及系统的制作方法
技术领域:
本发明涉及一种网络管理技术领域,尤其涉及一种网络管理的方法、装置及系统。
背景技术:
在网络管理过程中,安全鉴权是网管软件的必备功能。为实现网络管理过程中的安全鉴权处理,网络安全核心处理系统(即网络安全核心处理器)需要进行相应的授权操作,以将网管用户可能执行的网络管理操作下发给网络用户;之后,在网管用户基于下发的网络管理操作执行相应的网络管理操作的过程中,网络安全核心处理系统便可以对网络用户执行的网络管理操作进行鉴权处理,以确定是否允许网管用户执行相应的网络管理操作。在进行网络管理授权操作的过程中,目前采用的一种方式是根据被管理的网络设备的类型(即网络设备的型号)进行相关联的网络管理操作的授权下发;另一种方式则是将所有的网络管理操作授权下发给网管用户。第一种方式的采用,将使得在网络安全核心处理系统需要维护每一种类型的网络设备对应的相关联的网络管理操作(即一个型号的网络设备对应一组网络管理操作),导致维护的数据量巨大;第二种方式的采用,虽然不需要维护大量的数据,但是,却需要向网管用户下发大量的数据,这不仅增加了网络安全核心处理系统的处理负担,同时还将导致网管用户的管理操作过程较为复杂,以及占用较多的网络管理带宽,进而降低网络管理效率。
发明内容
本发明实施例在于提供一种网络管理的方法、装置及系统,以一定程度上降低网络安全核心处理器的负担,从而提高网络管理的效率。本发明实施例是通过以下技术方案实现的第一方面,本发明提供一种网络管理的方法,可包括接收网络安全核心处理器发送来的操作权限码后,在网络管理设备本地查找所述操作权限码对应的一个或多个网络管理操作;将所述一个或多个网络管理操作输出给网管用户,以便网管用户根据输出的所述一个或多个网络管理操作选择需要执行的网络管理操作。在第一种可能的实现方式中,该方法还包括接收网管用户选择的需要执行的网络管理操作;在网络管理设备本地查找所述网络管理操作对应的操作权限码,并将所述操作权限码发送至网络安全核心处理器请求对该需要执行的网络管理操作进行鉴权。结合第一方面或者第一方面的第一种可能的实现方式,在第二种可能的实现方式中,该方法还包括在网络管理设备本地保存所述操作权限码与一个或多个网络管理操作的对应关系,并将所述操作权限码和网络设备类别和/或网管应用类别发送至网络安全核心处理CN 102932184 A
书
明
说
2/11 页器。结合第一方面的第二种可能的实现方式,在第三种可能的实现方式中,所述在网络管理设备本地保存所述操作权限码与一个或多个网络管理操作的对应关系的步骤包括;
在网络包含的多个子域中,分别确定本子域包含的一个或多个网络设备类别和/或网络应用类别,并分别建立每个网络设备类别和/或网管应用类别对应的操作权限码;确定每个所述操作权限码对应的一个或多个网络管理操作,并在本子域内保存。进一步地,将所述一个或多个网络管理操作输出的步骤包括在输出界面中按照各个子域分别显示各个子域包含的一个或多个网络设备类别,并显示各个网络设备类别各自对应的一个或多个网络管理操作。第二方面,本发明提供一种网络管理方法,可包括当需要进行网络管理操作授权时,确定授权对象的网络设备类别和/或网管应用类别;根据所述网络设备类别和/或网管应用类别查找与所述网络设备类别和/或网管应用类别对应的操作权限码,并下发所述操作权限码。在第一种可能的实现方式中,该方法还包括接收应用层发来的操作权限码;对所述操作权限码进行鉴权操作,并将鉴权结果发送给应用层。结合第二方面或者第二方面的第一种可能的实现方式,在第二种可能的实现方式中,该方法还包括网络安全核心处理器接收应用层发送来的网络设备类别和操作权限码的对应关系,和/或,网管应用类别和操作权限码的对应关系,并保存;建立基于所述操作权限码的网管操作鉴权信息,所述网管操作鉴权信息用于对接收到的操作权限码进行鉴权操作。第三方面,本发明提供一种网络管理设备,可包括网管操作查找模块,用于接收网络安全核心处理器发送来的操作权限码后,在网络管理设备本地查找所述操作权限码对应的一个或多个网络管理操作;网管操作输出模块,与网管操作查找模块相连,用于将所述网管操作查找模块查找到的一个或多个网络管理操作输出给网管用户,以便网管用户根据输出的所述一个或多个网络管理操作选择需要执行的网络管理操作。在第一种可能的实现方式中,该装置还包括网管操作获取模块,用于接收网管用户选择的需要执行的网络管理操作;鉴权发起模块,用于在网络管理设备本地查找所述网管操作获取模块获取的网络管理操作对应的操作权限码,并将所述操作权限码发送至网络安全核心处理器请求对该需要执行的网络管理操作进行鉴权。结合第三方面或者第三方面的第一种可能的实现方式,在第二种可能的实现方式中,该装置还包括第一对应关系保存模块,用于在网络管理设备本地保存所述操作权限码与一个或多个网络管理操作的对应关系;第一数据加载模块,用于将所述操作权限码和网络设备类别和/或网管应用类别
6发送至网络安全核心处理器。可选地,所述第一对应关系保存模块包括;权限码确定模块,用于在网络包含的多个子域中,分别确定本子域包含的一个或多个网络设备类别和/或网络应用类别,并分别建立每个网络设备类别和/或网管应用类别对应的操作权限码;保存模块,用于确定所述权限码确定模块确定的每个操作权限码对应的一个或多个网络管理操作,并在本子域内保存。进一步地,所述网管操作输出模块执行的将所述网管操作查找模块查找到的一个或多个网络管理操作输出给网管用户的步骤包括在输出界面中按照各个子域分别显示各个子域包含的一个或多个网络设备类别,并显示各个网络设备类别各自对应的一个或多个网络管理操作。第四方面,本发明提供一种网络安全核心处理器,可包括授权对象确定模块,用于当需要进行网络管理操作授权时,确定授权对象的网络设备类别和/或网管应用类别;授权操作模块,与所述授权对象确定模块连接,用于根据所述授权对象确定模块确定的网络设备类别和/或网管应用类别查找与所述网络设备类别和/或网管应用类别对应的操作权限码,并下发所述操作权限码。在第一种可能的实现方式中,该装置还包括权限码接收模块,用于接收应用层发来的操作权限码;鉴权处理模块,用于对所述权限码接收模块接收到的操作权限码进行鉴权操作,并将鉴权结果发送给应用层。结合第四方面或者第四方面的第一种可能的实现方式,在第二种可能的实现方式中,该装置还包括第二对应关系保存模块,用于接收应用层发送来的网络设备类别和操作权限码的对应关系,和/或,网管应用类别和操作权限码的对应关系,并保存;鉴权信息建立模块,用于建立基于所述操作权限码的网管操作鉴权信息,所述网管操作鉴权信息用于对接收到的操作权限码进行鉴权操作。第五方面,本发明提供一种网络管理系统,可包括上述网络管理设备和网络安全核心处理器。由上述本发明提供的技术方案可以看出,本发明实施例提供的网络管理方案由于采用了基于操作权限码的网络管理操作的管理方式,从而可以降低网络安全核心处理器需要维护的数据量,进而可以令网络安全核心处理器的处理负担降低,有利于提高整个网络管理系统的网络管理效率。
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他附图。
图
I为本发明实施例提供的方法的授权处理过程示意图一;
图2为本发明实施例提供的授权界面示意图一;
图3为本发明实施例提供的方法的鉴权处理过程示意图一图4为本发明实施例提供的方法的授权处理过程示意图二图5为本发明实施例提供的方法的鉴权处理过程示意图二图6为本发明实施例中的静态数据配置过程示意图7为本发明实施例提供的授权界面示意图二;
图8为本发明实施例提供的方法的总的处理过程示意图9为本发明实施例提供的装置的结构示意图10为本发明实施例提供的网络安全核心处理器的结构示意图;图11为本发明实施例提供的系统的结构示意图。
具体实施例方式下面结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明的保护范围。下面将结合附图对本发明实施例作进一步地详细描述。本发明实施例提供了一种网络管理方法,其具体实现过程如图I所示,可以包括步骤11,应用层(即网管应用侦彳)接收网络安全核心处理器(或者也可以称网络安全核心处理系统)发送来的操作权限码后,在网络管理设备本地查找该操作权限码对应的一个或多个网络管理操作,相应的网络管理设备中设置有网管应用层;具体地,在该步骤中,可以根据预先在本地保存所述操作权限码与一个或多个网络管理操作的对应关系中进行相应的查找操作;可选地,除在本地保存上述对应关系外,还可以将相应的操作权限码和网络设备类别和/或网管应用类别发送至网络安全核心处理器,即可以将操作权限码和网络设备类别的对应信息,或者,操作权限码和网管应用类别的对应信息中的一项或多项发送给网络安全核心处理器,以便于在网络安全核心处理器中可以建立并保存用于授权的数据信息和用于鉴权的数据信息;其中,用于授权的数据信息包括操作权限码和网络设备类别的对应信息,或者,操作权限码和网管应用类别的对应信息中的一项或多项,用于鉴权的数据信息则为基于相应的操作权限码建立的鉴权信息,例如,允许某操作权限码鉴权通过等信息;具体地,相应的一个网络设备类别对应多个网络设备,例如,可以将基本功能相同的网络设备划入同一个网络设备类别中;一个网管应用类别对应多个网络管理操作,例如,可以将网管应用中功能类似的网络管理操作划入一个网管应用类别;每个网络设备类别或网管应用类别分别对应一个操作权限码。步骤12,将查找到的一个或多个网络管理操作输出,以便网管用户在执行相网管操作过程中,根据输出的一个或多个网络管理操作选择需要执行的网络管理操作。在上述操作权限码与一个或多个网络管理操作的对应关系中,具体可以但不限于包括;在网络包含的多个业务领域中,分别确定本子域(通常为不同的业务领域对应不同的
8CN 102932184 A
书
明
说
5/11 页
子域,该子域的划分既可以采用已有的子域划分方式,也可以采用其他任意方式)包含的一个或多个网络设备类别和/或网管应用类别,并分别建立每个网络设备类别和/或网管应用类别对应的操作权限码;之后,再确定每个操作权限码对应的一个或多个网络管理操作,并在本子域内保存,即在每个子域内保存有网络设备类别和/或网管应用类别对应的一个或多个网络管理操作。 根据基于子域保存的信息,在该步骤12中,将查找到的一个或多个网络管理操作输出的处理具体可以但不限于包括在输出界面中按照各个子域分别显示各个子域包含的一个或多个网络设备类别和/或网管应用类别,并显示各个网络设备类别各自对应的一个或多个网络管理操作;例如,如图2所示,在显示给网管用户的操作界面中,作为授权对象的网络设备链接下包括子域A、子域B和子域C,以及作为授权对象的网管应用,在授权操作的链接下,则根据网管用户选择的网络设备类别或网管应用类别进行显示输出,例如,当网管用户选择子域A中的网络设备类别RTN系列设备时,则授权操作的链接下便显示子域A包含的RTN系列设备对应用的多个操作权限码(如RTN权限码I、RTN权限码2、RTN权限码3、RTN权限码4等等),当网管用户进一步选中具体的某个操作权限码时,则可以在该操作权限码下继续显示该操作权限码对应的一个或多个网络管理操作,这样分层次显示挂接各个网络管理操作的实现方式可以方便网管用户选择其需要执行的网络管理操作,从而为网管用户的管理操作提供更多的便利。通过上述处理过程,应用层可以获得网络安全核心处理器针对授权对象(网络设备或网络应用)的授权信息。在获得相应的授权信息后,网管用户可以通过应用层执行网络管理操作,此时,应用层还可以对网管用户执行的网络管理操作发起相应的鉴权处理过程,如图3所示,相应的鉴权处理过程可以包括步骤31,接收网管用户选择的需要执行的网络管理操作,即网管用户可以根据上述步骤12显示输出的网络管理操作信息选择其需要执行的网络管理操作;步骤32,在本地查找该网络管理操作对应的操作权限码,即在本地保存的操作权限码与一个或多个网络管理操作的对应关系中查找该网络管理操作对应的操作权限码;步骤33,将查找确定的操作权限码发送至网络安全核心处理器,以请求网络安全核心处理器对该网管用户需要执行的网络管理操作进行鉴权。本发明实施例提供了一种网络管理方法,该方法的执行主体可以是网络安全核心处理器,其具体实现过程如图4所示,可以包括步骤41,当需要进行网络管理操作授权时,确定授权对象的网络设备类别和/或网管应用类别;步骤42,根据确定的网络设备类别和/或网管应用类别查找与所述网络设备类别和/或网管应用类别对应的操作权限码,并下发所述操作权限码;具体地,在该步骤中可以根据预先保存的网络设备类别和操作权限码的对应关系,以及网管应用类别和操作权限码的对应关中的至少一项查找确定相应的操作权限码;该对应关系的保存过程可以但不限于包括网络安全核心处理器接收应用层发送来的网络设备类别和操作权限码的对应关系,和/或,网管应用类别和操作权限码的对应关系,并保存;即应用层在确定网络设备类别和操作权限码的对应关系,以及网管应用类别和操作权限码的对应关系中的至少一项时,则将相应的对应关系传送至网络安全核心处理
9器,以便于网络安全核心处理器建立保存相应的对应关系。过上述处理过程,网络安全核心处理器可以实现针对授权对象(网络设备或网络应用)的授权操作。在完成授权操作后,还可以对网管用户执行的网络管理操作进行相应的鉴权处理,如图5所示,相应的鉴权处理过程可以包括步骤51,接收应用层发来的操作权限码;步骤52,对接收到的操作权限码进行鉴权操作,并将鉴权结果发送给应用层;具体地,在该步骤中是根据基于操作权限码建立的网管操作鉴权信息进行鉴权操作,相应的网管操作鉴权信息为根据应用层发来的对应关系中的操作权限码建立,以用于对接收到的待鉴权的操作权限码进行鉴权操作,即网络安全核心处理器在接收应用层发送来的网络设备类别和操作权限码的对应关系,以及网管应用类别和操作权限码的对应关系中的至少一项后,还在网络安全核心处理器中基于相应的操作权限码建立网管操作鉴权信肩、O通过上述授权和鉴权处理过程的实现使得安全核心处理系统不需要再对每个网络管理操作进行授权和鉴权,而且,在本发明实施例中,安全核心处理系统需要维护的用于授权和鉴权的数据信息量也大大减少;因此,本发明实施例的实现可以有效降低网络安全核心处理器的授权和鉴权处理负担。例如,随着融合网管的推出,网管所管理设备类型成倍增加,网管功能也成倍增加,本发明实施例的实现可以很好地提高网管操作的效率,以实现对网络设备及网管应用进行高效、快捷的集中授权和鉴权。为便于理解,下面将结合具体的应用实例对本发明的实现进行详细描述。(一)授权对象的管理在本发明实施例提供的管理授权对象的处理过程中,不再按照设备类型(即设备型号)关联对应的网络管理操作,也不再完全不考虑设备类型与网络管理操作之间的关联,而是引入“网络设备系列(即网络设备类别)”概念,具体可以将同一系列设备类型进行归类,相应的同一系列设备拥有一套完全或基本相同的命令操作,对于这样的同一系列设备具体可以称为同一网络设备类别,即相应的授权对象为基于“网络设备系列(即网络设备类别)”设置。在上述描述中,网络设备系列具体可以基于实际网络设备发展特点而划分确定;例如,通常根据实际客户应用场景(如客户业务处理、管理能力等),网络设备提供商会提供不同组网能力的多种网络部署方案,在这些不同的部署方案中,网络设备所支持的绝大部分功能是相同的,这样,便可以将这些具有大部份功能交集的网络设备划分到一起称为同一网络设备类别(或称网络设备系列)的网络设备,这样是可行并且合理的,例如,对于网络中的RTN610、RTN620、RTN910、RTN950类型的一组网络设备,由于其功能相似,故可以将其归为同一网络设备类别进行管理。由于授权对象引入了“网络设备系列”概念,使得网络管理系统内可供授权的对象(网络设备类别,即网络设备系列)数量将大大减少。假设每一种网络设备系列所包含的网络设备类别平均数为N (实际中N值可能达到10),则整个系统中授权对象的数量可以减少至现有技术的N分之一。进一步地,仍如图2所示,在网络管理用户侧还可以按子域分类分层显示授权的网络管理操作,从而便于网络管理用户选择相应的网络管理操作。该实施例提供的网络管理方案与现有技术相比无论在易用性还是可操作性方面都大大增强。(二)授权及鉴权数据的管理
·
本发明实施例中,网络管理系统对于授权及鉴权数据的管理可以实现多系统负载均衡,具体可以由网络管理系统中的多个实体共同承载全系统静态数据,即由各个子域和网络安全核心处理器分别保存维护授权及鉴权数据包含的网络管理操作、操作权限码,以及对应的网络设备类别和/或网管应用等相关信息。具体地,可以将最小粒度的网络管理操作(即命令操作)进行归并,引入“操作权限码”概念来索引一种类别的网络设备对应的网络管理操作。这样,便可以使得在“安网络安全核心处理器”中保存的最小粒度单元不再是网络管理操作对应的操作命令字,而是“操作权限码”,对于“操作权限码”与原始的操作命令字的对应关系则可以保存在各子域内。通常,在子域内,网络管理操作在权限等级上具有相似性,这样为网络管理操作的权限的归并提供了依据,即便于将子域内的网络管理操作统一对应为相应的操作权限码,同一个子域内的同一类别的网络设备或同一类别的网管应用对应的所有网络管理操作仅对应一个操作权限码,即在同一子域内网管用户针对各个同一类别的网络设备或同一类别的网管应用的管理操作权限相同。例如,针对网管用户的创建A领域路径、创建B领域路径、修改A领域路径、修改B领域路径等网络管理操作,则可以将这些网管应用包含的功能类似的网络管理操作归类为“路径配置操作”类别的网络管理操作,并为“路径配置操作”设置对应的“操作权限码”,这样,只要给某个网管用户赋予了“路径配置操作”的权限,则该网管用户便自动拥有该“路径配置操作”包含的多个基于路径的网络管理操作的操作权限。同样,在子域内,无论是与网管应用相关的网络管理操作,还是网络设备系列支持的网络管理操作,均可以按操作权限等级、业务应用场景等进行归类划分,并对划分归类后的同一类别的网络管理操作设置对应的“操作权限码”,以便于在网络安全核心处理器中能够以维护的较少的数据量实现相应的网络操作的授权及鉴权操作。在本发明实施例中,“网络安全核心处理器”中的静态数据为基于归并后的“操作权限码”进行加载配置,而不再是针对每种设备类型配置其静态对应关系数据,例如,可以基于“网络设备系列”对应的“操作权限码”进行静态数据的配置。例如,如图6所示,图中的实线箭头表示子域向网络安全核心处理器注入静态数据(操作权限码及对应的网络设备类别或网管应用),虚线所表示含义为各子系统(即各子域,子域A、子域B、子域C和子域D)分别保存权限码(即操作权限码)与命令字(即网络管理操作)的对应关系数据。这样,在各子域中也保存了部分鉴权静态数据。当进行授权或鉴权操作时,在接口交互之前可以先进行数据转换,以将操作权限码转换成系统内最小粒度单元(即网络管理操作),或者,将网络管理操作转换成对应的操作权限码,从而使得子域能够分担部分“网络安全核心处理器”的处理压力,使得“网络安全核心处理器”维护的静态数据大大缩小,进而令网络安全核心处理器的操作效率、界面展示能力等都能显著提升。基于上述授权及鉴权数据的管理方式,对于网管应用和网络设备相关联的网络管理操作的集合,在“网络安全核心处理器”中,基于最小粒度“操作权限码”进行管理;而操作权限码与操作命令字(即网络管理操作)的对应关系则由各子域(即单域子系统)协助维护管理。在授权处理过程中,网络安全核心处理器初始不加载具体的网络管理操作,而在操作权限码展开时再由相应子域进行网络管理操作的加载。如图7所示,图中“子域权限码”即为“操作权限码”,在该图中,子域权限码与操作命令字对应关系由各子域协同加载,具体可以在网管用户展开子域权限码时实时查询加载该子域权限码对应的网络管理操作并显示。由于操作权限码下面挂接的操作命令字数量有限,因而为网管用户的实时查询和选择相应的网络管理操作提供的极大的便利。需要说明的是,上述操作权限码、操作权限码对应的操作命令字,以及显示操作权限码和操作命令字的界面均可以根据需要进行增加、删除或修改操作,以方便用户根据自己需要进行合理规划与调整。当更新(增加、删除或修改)操作权限码时,还需要将操作权限码的更新情况发送给网络安全核心处理器,以便网络安全核心处理器更新其自身维护的静态数据。(三)授权及鉴权过程基于上述授权对象的管理方式和授权及鉴权数据的管理方式,本发明实施例应用于实际应用场景中时,相应的授权及鉴权处理流程如图8所示,在图8中,相应的步骤81至步骤83的执行是为后续授权及鉴权操作准备相应的授权及鉴权数据,相应的步骤84和步骤85则是具体的授权及鉴权操作过程。具体地,参照图8所示,该具体实施例的实现过程可以但不限于包括以下步骤步骤81,应用层的AppServer(应用侧服务端)向网络安全核心处理器的SecServer(安全服务端)静态注入非全量数据,该数据可以包括操作权限码和对应的网络设备类别,以及操作权限码和对应的网管应用类别中的至少一项;步骤82,应用层的AppCient (应用侧客户端)向应用侧加载数据,即向AppServer侧加载操作权限码对应的一个或多个网络管理操作;该步骤的操作可以方便后续处理过程中将相应的一个或多个网络管理操作加载到网管用户的操作界面中,以输出显示给网管用户,便于网管用户执行网管操作;步骤83,网络安全核心处理器的SecClient (安全客户端)向安全核心侧(即SecServer)加载数据,具体加载的数据可以为基于操作权限码设置的鉴权数据(即网管操作鉴权信息),以便于获取进行后续的授权及鉴权操作。步骤84,当网管用户需要执行网络管理操作时,则网络安全核心处理器的SecClient会获取到需要执行的网络管理操作对应的网管应用类别和/或网络设备类别,之后,SecClient与SecServe进行交互,以获得相应的网管应用类别和/或网络设备类别对应的操作权限码,并将获得的操作权限码发送给AppClient ;接着,AppClient获得操作权限码后,便于AppServer进行交互,以获得操作权限码对应的具体的网络管理操作,并输出至网管用户的操作界面中,以实现相应的授权操作。图8中仅给出的该步骤84的主要过程的示意,并未示出全部处理过程。步骤85,当网管用户根据网管操作界面上显示的授权信息选择执行某一网络管理操作时,则AppClient将会与AppServer进行交互,以确定该网络管理操作(即操作命令字)对应的操作权限码,以将网络管理操作转换成对应的操作权限码;之后,再以该操作权限码向SecClient发起鉴权操作过程,获得操作权限码的SecClient则会与SecServe进行交互,以对该操作权限码进行鉴权处理,并将鉴权结果依次返回到AppClient,完成对网管用户执行的网络管理操作的鉴权处理。图8中仅给出的该步骤85的主要过程的示意,并未示出全部处理过程。图8所示的授权和鉴权处理过程,由于采用多系统共同承担负载,从而有效减轻了单系统处理压力,无论在授权阶段,还是最终的鉴权阶段,本发明实施例的易用性、效率等都得到了明显提升。总之,本发明实施例可以满足融合网管下安全鉴权的高效、便捷及分权分域的要求。具体可以通过对授权对象的合理归类、授权操作(即网络管理操作)的合理划分、多域与网络安全核心处理器的分工合作、处理对象的多层次挂接处理,大大降低单个系统数据承载的瓶颈,很好地满足了用户对网管过程中的授权及鉴权的处理要求。本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory, ROM)或随机存储记忆体(Random AccessMemory, RAM)等。本发明实施例还提供了一种网络管理设备,该装置可以与网络安全核心处理器交互获得相应的授权信息,其具体实现结构如图9所示,可以包括网管操作查找模块91,用于接收网络安全核心处理器发送来的操作权限码后,在本地查找所述操作权限码对应的一个或多个网络管理操作;网管操作输出模块92,与所述网管操作查找模块91连接,用于将所述网管操作查找模块91查找到的一个或多个网络管理操作输出,以便网管用户根据输出的所述一个或多个网络管理操作选择需要执行的网络管理操作。进一步,为实现针对网络管理操作的鉴权处理,该装置还可以包括网管操作获取模块93,用于接收网管用户选择的需要执行的网络管理操作;鉴权发起模块94,用于在本地查找所述网管操作获取模块93获取的网络管理操作对应的操作权限码,并将所述操作权限码发送至网络安全核心处理器请求对该需要执行的网络管理操作进行鉴权。在该装置中,为保存相应的对应关系,还可以包括第一对应关系保存模块95,用于在本地保存所述操作权限码与一个或多个网络管理操作的对应关系。在保存相应的对应关系后,还可以向网络安全核心处理器加载数据,为此可以设置相应的数据加载模块96,用于将相应的操作权限码和网络设备类别和/或网管应用类别发送至网络安全核心处理器,以便于网络安全核心处理器建立授权及鉴权数据信息。进一步地,相应的第一对应关系保存模块95具体可以但不限于包括;权限码确定模块951,用于在网络包含的多个子域中,分别确定本子域包含的一个或多个网络设备类别和/或网络应用类别,并分别建立每个网络设备类别和/或网管应用类别对应的操作权限码;保存模块952,用于确定上述权限码确定模块951确定的每个操作权限码对应的一个或多个网络管理操作,并在本子域内保存。基于上述第一对应关系保存模块95的具体实现方案,在该装置中,相应的网管操作输出模块92具体可以在输出界面中按照各个子域分别显示各个子域包含的一个或多个网络设备类别,并显示各个网络设备类别各自对应的一个或多个网络管理操作,从而便于网管用户选择相应的网络管理操作。本发明实施例还提供了一种网络安全核心处理器,其具体实现结构如图10所示,可以包括授权对象确定模块101,用于当需要进行网络管理操作授权时,确定授权对象的网络设备类别和/或网管应用类别;授权操作模块102,与授权对象确定模块101连接,用于根据所述授权对象确定模块101确定的网络设备类别和/或网管应用类别查找与所述网络设备类别和/或网管应用类别对应的操作权限码,并下发所述操作权限码。进一步地,该网络安全核心处理器还可以对相应的网络管理操作进行鉴权操作,此时,该装置还可以包括以下模块权限码接收模块103,用于接收应用层发来的操作权限码;鉴权处理模块104,用于对所述权限码接收模块103接收到的操作权限码进行鉴权操作,并将鉴权结果发送给应用层。具体地,该网络安全核心处理器还可以包括以下模块第二对应关系保存模块105,用于接收应用层发送来的网络设备类别和操作权限码的对应关系,和/或,网管应用类别和操作权限码的对应关系,并保存,以作为授权数据信息,用于为应用层的授权对象进行授权操作;鉴权信息建立模块106,用于建立基于所述操作权限码的网管操作鉴权信息,该网管操作鉴权信息用于对接收到的操作权限码进行鉴权操作,以实现对网管用户执行的网络管理操作的鉴权处理。需要说明的是,上述网络安全核心处理器中包含的各个处理单元所实现的功能的具体实现方式在前面的各个实施例中已经有详细描述,故在这里不再赘述。通过上述网络安全核心处理器可以实现针对授权对象(网络设备或网络应用)的授权操作,从而便于网管用户根据授权结果进行网络管理操作。本发明实施例还提供了一种网络管理系统,如图11所示,包括上述图9所示的网络管理设备和图10所示的网络安全核心处理器,相应的网络管理设备和网络安全核心处理器各自完成的处理功能及交互的信息前面已经有详细描述,在此不再赘述。上述装置和系统的实现,可以满足融合网管下安全鉴权的高效、便捷及分权分域的要求。具体可以通过对授权对象的合理归类、网络管理操作的合理划分、多子域与网络安全核心处理器的分工合作、处理对象的多层次挂接处理的实现方式,大大降低单个系统数据承载的瓶颈,很好地满足用户对网管过程中的授权及鉴权的处理要求。所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将装置的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。在本申请所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述模块或单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元
14或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。以上所述,仅为本发明较佳的具体实施方式
,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明披露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求书的保护范围为准。
权利要求
1.一种网络管理方法,其特征在于,包括 接收网络安全核心处理器发送来的操作权限码后,在网络管理设备本地查找所述操作权限码对应的一个或多个网络管理操作; 将所述一个或多个网络管理操作输出给网管用户,以便网管用户根据输出的所述一个或多个网络管理操作选择需要执行的网络管理操作。
2.根据权利要求I所述的方法,其特征在于,该方法还包括 接收网管用户选择的需要执行的网络管理操作; 在网络管理设备本地查找所述网络管理操作对应的操作权限码,并将所述操作权限码发送至网络安全核心处理器请求对该需要执行的网络管理操作进行鉴权。
3.根据权利要求I或2所述的方法,其特征在于,该方法还包括 在网络管理设备本地保存所述操作权限码与一个或多个网络管理操作的对应关系,并将所述操作权限码和网络设备类别和/或网管应用类别发送至网络安全核心处理器。
4.根据权利要求3所述的方法,其特征在于,所述在网络管理设备本地保存所述操作权限码与一个或多个网络管理操作的对应关系的步骤包括; 在网络包含的多个子域中,分别确定本子域包含的一个或多个网络设备类别和/或网络应用类别,并分别建立每个网络设备类别和/或网管应用类别对应的操作权限码; 确定每个所述操作权限码对应的一个或多个网络管理操作,并在本子域内保存。
5.根据权利要求4所述的方法,其特征在于,将所述一个或多个网络管理操作输出给网管用户的步骤包括 在输出界面中按照各个子域分别显示各个子域包含的一个或多个网络设备类别,并显示各个网络设备类别各自对应的一个或多个网络管理操作。
6.一种网络管理方法,其特征在于,包括 当需要对待授权对象进行网络管理操作授权时,确定待授权对象的网络设备类别和/或网管应用类别; 根据所述授权对象确定模块确定的网络设备类别和/或网管应用类别查找与所述网络设备类别和/或网管应用类别对应的操作权限码,并向网络管理设备下发所述操作权限码。
7.根据权利要求6所述的方法,其特征在于,该方法还包括 接收应用层发来的操作权限码; 对所述操作权限码进行鉴权操作,并将鉴权结果发送给应用层。
8.根据权利要求6或7所述的方法,其特征在于,该方法还包括 接收应用层发送来的网络设备类别和操作权限码的对应关系,和/或,网管应用类别和操作权限码的对应关系,并保存; 建立基于所述操作权限码的网管操作鉴权信息,所述网管操作鉴权信息用于对接收到的操作权限码进行鉴权操作。
9.一种网络管理设备,其特征在于,包括 网管操作查找模块,用于接收网络安全核心处理器发送来的操作权限码后,在网络管理设备本地查找所述操作权限码对应的一个或多个网络管理操作; 网管操作输出模块,与所述网管操作查找模块相连,用于将所述网管操作查找模块查找到的一个或多个网络管理操作输出给网管用户,以便网管用户根据输出的所述一个或多个网络管理操作选择需要执行的网络管理操作。
10.根据权利要求9所述的装置,其特征在于,该装置还包括 网管操作获取模块,用于接收网管用户选择的需要执行的网络管理操作; 鉴权发起模块,用于在网络管理设备本地查找所述网管操作获取模块获取的网络管理操作对应的操作权限码,并将所述操作权限码发送至网络安全核心处理器请求对该需要执行的网络管理操作进行鉴权。
11.根据权利要求9或10所述的装置,其特征在于,该装置还包括 第一对应关系保存模块,用于在网络管理设备本地保存所述操作权限码与一个或多个网络管理操作的对应关系; 第一数据加载模块,用于将所述操作权限码和网络设备类别和/或网管应用类别发送至网络安全核心处理器。
12.根据权利要求11所述的装置,其特征在于,所述第一对应关系保存模块包括; 权限码确定模块,用于在网络包含的多个子域中,分别确定本子域包含的一个或多个网络设备类别和/或网络应用类别,并分别建立每个网络设备类别和/或网管应用类别对应的操作权限码; 保存模块,用于确定所述权限码确定模块确定的每个操作权限码对应的一个或多个网络管理操作,并在本子域内保存。
13.根据权利要求12所述的装置,其特征在于,所述网管操作输出模块具体用于将所述网管操作查找模块查找到的一个或多个网络管理操作采用下面的方式输出给网管用户; 在输出界面中按照各个子域分别显示各个子域包含的一个或多个网络设备类别,并显示各个网络设备类别各自对应的一个或多个网络管理操作。
14.一种网络安全核心处理器,其特征在于,包括 授权对象确定模块,用于当需要进行网络管理操作授权时,确定授权对象的网络设备类别和/或网管应用类别; 授权操作模块,与所述授权对象确定模块连接,用于根据所述授权对象确定模块确定的网络设备类别和/或网管应用类别查找与所述网络设备类别和/或网管应用类别对应的操作权限码,并下发所述操作权限码。
15.根据权利要求14所述的处理器,其特征在于,该装置还包括 权限码接收模块,用于接收应用层发来的操作权限码; 鉴权处理模块,用于对所述权限码接收模块接收到的操作权限码进行鉴权操作,并将鉴权结果发送给应用层。
16.根据权利要求14或15所述的处理器,其特征在于,该装置还包括 第二对应关系保存模块,用于接收应用层发送来的网络设备类别和操作权限码的对应关系,和/或,网管应用类别和操作权限码的对应关系,并保存; 鉴权信息建立模块,用于建立基于所述操作权限码的网管操作鉴权信息,所述网管操作鉴权信息用于对接收到的操作权限码进行鉴权操作。
17.一种网络管理系统,其特征在于,包括权利要求9至13任一项所述的网络管理设备,以及权利 要求14至16任一项所述的网络安全核心处理器。
全文摘要
本发明公开了一种网络管理的方法、装置及系统,其包括接收网络安全核心处理器发送来的操作权限码后,在本地查找所述操作权限码对应的一个或多个网络管理操作;将所述一个或多个网络管理操作输出,以便网管用户根据输出的所述一个或多个网络管理操作选择需要执行的网络管理操作。本发明实施例提供的网络管理方案由于采用了基于操作权限码的网络管理操作的管理方式,从而可以降低网络安全核心处理器需要维护的数据量,进而可以令网络安全核心处理器的处理负担降低,有利于提高整个网络管理系统的网络管理效率。
文档编号H04L29/06GK102932184SQ20121043842
公开日2013年2月13日 申请日期2012年11月6日 优先权日2012年11月6日
发明者叶克松 申请人:华为技术有限公司