专利名称:一种网络管理中实现权限管理的方法和系统的制作方法
技术领域:
本发明涉及网络领域,尤其涉及一种在网络管理中实现权限管理的方法和系统。
背景技术:
在网络规模的迅速扩张中,网络复杂度急剧增加,网络设备间的关系也变得错综复杂。因此,迅速准确的发现网络内网络设备异常,对于减少网络管理的工作量,提高业务服务质量,促进企业的信息化,具有非常重要的意义。一定规模的电信网络设备制造商在提供网络设备时,均会有自己的网管软件。网管系统式对用户网络进行管理的软件应用程序系统,网管系统一般需要提供FACPS功能,包括Fault —故障管理、Acc —计费管理、Conf —配置维护管理、Perf —性能管理、Sec —安全管理、Sys —系统管理。采用一套好的网管软件会为管理好网络起到事半功倍的效果, 首先它可以优化网络和有效的利用系统资源,保障网络和应用系统通畅、稳定地运行,能够直接地支撑和监控用户的各种网络应用、服务,保证其高质量地实现;其次,当在网络出现故障时,他可以为信息系统管理人员快速的定位问题乃至解决问题提供强有力的帮助,降低成本,不会出现大量人力物力的浪费。在网管软件所提供的功能中,安全管理对应于权限管理。在基于客户端/服务器(C/S,Client/server)的架构中,其权限控制主要体现在客户端的操作上,包括用户登录、操作权限及资源访问权限。客户端用户登录后,系统会根据服务端返回的权限对该用户的权限进行限制。然而,不同的网管产品的权限管理是相对独立的,这就往往存在着重复及越权管理的问题。综上所述,现有的网络管理还不能满足网络管理的统一性、独立性以及扩展性的要求。
发明内容
本发明要解决的技术问题在于,针对现有技术的上述管理重复及越权管理的缺陷,提供一种在网络管理中实现权限管理的方法和系统,可避免管理重复及越权管理的问题。本发明解决其技术问题所采用的技术方案是构造一种在网络管理中实现权限管理的方法,包括A.服务器预先存储有多个用户信息,所述用户信息包括账号、密码、角色信息和区域信息,所述角色信息用于指示菜单的访问权限,所述区域信息用于指示网络设备的访问权限;B.当用户在客户端登录时,客户端接收用户输入的账号和密码,并发送至服务器进行验证;C.若服务器验证通过,则服务器向所述客户端返回相应的角色信息和区域信息;D.当用户在客户端登录后,根据所述角色信息来设置菜单的访问权限,及根据所述区域信息来设置网络设备的访问权限。
在本发明所述的在网络管理中实现权限管理的方法中,所述角色信息包括角色名、权限级别、权限级别与菜单项ID的映射关系;所述区域信息包括区域名、区域ID,且所有的网络设备根据其所在的区域按树状结构存储,每个网络设备均对应一区域ID。在本发明所述的在网络管理中实现权限管理的方法中,在所述步骤D之后,还包括E.客户端接收相应权限级别的用户所输入的以下至少一种操作信息角色增加/删除/修改/查询、区域增加/删除/修改/查询、账号增加/删除/修 改/查询/激活/禁止,并将所接收的操作信息发送至服务器;F.服务器接收并保存所述操作信息,并向客户端返回相应的信息。在本发明所述的在网络管理中实现权限管理的方法中,在所述步骤F之后,还包括G.客户端接收相应权限级别的用户所输入的分配信息,并将所述分配信息发送至服务器,所述分配信息包括为特定账号分配角色信息、区域信息;H.服务器接收并保存所述分配信息,并向客户端返回相应的信息。在本发明所述的在网络管理中实现权限管理的方法中,在所述步骤D之后,还包括客户端接收相应权限级别的用户所输入的以下至少一种客户端管理信息允许接入的客户端IP地址增加/删除/修改/查询、在线客户端查询/禁止,并将所接收的客户端管理信息发送至服务器;服务器接收并保存所述客户端管理信息,并向客户端返回相应的信息。本发明还构造一种在网络管理中实现权限管理的系统,包括服务器和至少一个客户端,所述服务器包括存储模块、验证模块、权限返回模块;所述客户端包括登录模块、权限应用模块;其中,所述存储模块,用于预先存储有多个用户信息,所述用户信息包括账号、密码、角色信息和区域信息,所述角色信息用于指示菜单的访问权限,所述区域信息用于指示网络设备的访问权限;所述登录模块,用于当用户在客户端登录时,接收用户输入的账号和密码,并发送至服务器;所述验证模块,用于根据所述存储模块中预先存储的用户信息验证所接收的账号和密码;所述权限返回模块,用于在验证通过时,根据所述存储模块中预先存储的用户信息,向所述客户端返回相应的角色信息和区域信息;所述权限应用模块,用于根据所述角色信息来设置菜单的访问权限,及根据所述区域信息来设置网络设备的访问权限。在本发明所述的在网络管理中实现权限管理的系统中,所述角色信息包括角色名、权限级别、权限级别与菜单项ID的映射关系;所述区域信息包括区域名、区域ID,且所有的网络设备根据其所在的区域按树状结构存储,每个网络设备均对应一区域ID。
在本发明所述的在网络管理中实现权限管理的系统中,所述客户端还包括操作信息接收模块;所述服务器还包括操作信息返回模块;其中,
所述操作信息接收模块,用于接收相应权限级别的用户所输入的以下至少一种操作信息角色增加/删除/修改/查询、区域增加/删除/修改/查询、账号增加/删除/ 修改/查询/激活/禁止,并将所接收的操作信息发送至服务器;
所述操作信息返回模块,用于接收并保存所述操作信息,并向客户端返回相应的信息。
在本发明所述的在网络管理中实现权限管理的系统中,所述客户端还包括分配信息接收模块,所述服务器还包括分配信息返回模块;
所述分配信息接收模块,用于接收相应权限级别的用户所输入的分配信息,并将所述分配信息发送至服务器,所述分配信息包括为特定账号分配角色信息、区域信息;
所述分配信息返回模块,用于接收并保存所述分配信息,并向客户端返回相应的信息。
在本发明所述的在网络管理中实现权限管理的系统中,所述客户端还包括客户端管理信息接收模块,所述服务器还包括客户端管理信息查询模块;其中,
所述客户端管理信息接收模块,用于接收相应权限级别的用户所输入的以下至少一种客户端管理信息允许接入的客户端IP地址增加/删除/修改/查询、在线客户端查询/禁止,并将所接收的客户端管理信息发送至服务器;
所述客户端管理信息返回模块,用于接收并保存所述客户端管理信息,并向客户端返回相应的信息。
实施本发明的技术方案,本发明通过采用分权和跨地域层次化的安全管理,不仅避免了管理重复以及越权管理的问题·,而且对网络设备的维护提供了安全保证,维护了网管的安全性。
下面将结合附图及实施例对本发明作进一步说明,附图中
图1是本发明在网络管理中实现权限管理的方法实施例一的流程图2是本发明在网络管理中实现权限管理的方法实施例二的流程图3是本发明在网络管理中实现权限管理的系统实施例一的逻辑图。
具体实施方式
图1是本发明在网络管理中实现权限管理的方法实施例一的流程图,首先说明的是,该方法基于C/S结构,数据库都存储在服务器端。采用众多厂商都支持的SNMP V1、V2 等多种协议来管理设备,不仅提供高了设备管理的通用性,还大大满足了用户网络环境中所有网络设备的全面管理。该实现权限管理的方法具体包括
A.服务器预先存储有多个用户信息,所述用户信息包括账号、密码、角色信息和区域信息,所述角色信息用于指示菜单的访问权限,所述区域信息用于指示网络设备的访问权限,在该步骤中,用户信息可进一步包括姓名、工号、有效期、备注;
B.当用户在客户端登录时,客户端接收用户输入的账号和密码,并发送至服务器进行验证;
C.若服务器验证通过,则服务器向所述客户端返回相应的角色信息和区域信息; 若服务器验证未通过,则服务器向客户端返回登录失败信息;
D.当用户在客户端登录后,根据所述角色信息来设置菜单的访问权限,及根据所述区域信息来设置网络设备的访问权限。
关于角色信息服务器中预先存储的角色信息可具体包括角色名,权限级别及权限级别与菜单项ID的映射关系。所谓的角色名,指的是网管操作命令的集合,例如,网络管理中缺省的有五个角色,分别是网络监视员、网络操作员、网络维护员、域管理员和网管系统管理员,其中,网络监视员是网管用户中级别最低的一类,这类用户的职责一般是监控网络的运行状况,浏览告警数据,浏览各种性能监测结果以及对各种报告的访问结果,这些操作均以查阅(读)为主;网络操作员具备网络监视员所有的权限,负责业务的维护,可以新建或拆除用户及其业务配置、处理告警、选择配置、进行故障管理等,操作员具备对设备的“写”权限;网络维护员具备网络操作员所有的权限,负责系统的日常维护工作,并可访问和备份管理信息库中的数据;域管理员拥有域下所有设备的管理权限,并能设置域用户信息;网管系统管理员具备所有权限,负责对网管系统的管理,可以进行网络控制、各级用户口令设置、增加、修改或删除用户及日志管理等安全管理操作,类似操作系统下的ROOT/ Administrator。通常情况下,网络管理有以上五个角色即可满足绝大部分需求。在特殊情况下,用户也可能需要定制自己的角色以满足特殊应用,为此需要对角色进行管理。网管缺省的五个角色不可删除和修改,只有空角色才能被删除,即如果有用户在使用该角色,则无法删除。
关于区域信息服务器中预先存储的区域信息可具体包括区域名、区域ID,而且, 所有的网络设备根据其所在的区域按树状结构存储,每个网络设备均对应一区域ID。比如, 某个省的网络设备,可以按该省内的不同市划分为不同的区域,让各地市的管理员来负责各地市的网络。
当服务器将特定用户的账号所对应的角色信息和区域信息返回至客户端后,对于设备的访问权限,客户端根据区域ID,显示整个设备树中该区域ID及其子区域ID下所对应的所有设备,这样,不具有访问权限的设备将不会在网络拓扑中出现;对于菜单的访问权限,客户端根据 权限级别与菜单项ID的映射关系,找到相应的菜单项,这样,不具有访问权限的菜单将不会对用户显示出。
图2是本发明在网络管理中实现权限管理的方法实施例二的流程图,在该实现权限管理的方法中,首先客户端接收用户输入的账号和密码,并将其发送至服务器进行验证, 若服务器验证通过,则根据服务器预先存储的用户信息,向客户端返回相应的角色信息和区域信息,然后客户端可根据所接收的角色信息和区域信息设置设备的访问权限和菜单的访问权限。在用户在客户端登陆后,用户可进行角色管理、区域管理、账号管理、客户端管理和用户管理,下面分别说明
一、角色管理
通常情况下,网络管理缺省的五个角色即可满足绝大部分需求。当然,用户也可能需要定制角色以满足特殊应用,为此需要对角色进行管理,例如,客户端接收相应权限级别的用户(一般是有“写”权限的用户)所输入的角色增加/删除/修改/查询的操作信息,并将所接收的操作信息发送至服务器;服务器接收并保存该操作信息,并向客户端返回相应的信息。在此应说明的是,一般情况下,缺省的五个角色不可删除和修改,只有空角色才能被删除,即,如果有用户在使用该角色,则无法删除。
二、区域管理
如果网络系统大,需要划分成不同的区域,让不同的用户关注不同的区域。例如, 客户端接收相应权限级别的用户(一般是有“写”权限的用户)所输入的区域增加/删除/ 修改/查询的操作信息,并将该操作信息发送至服务器。服务器接收并保存该操作信息,并向客户端返回相应的信息。在此应当说明的是,只有空区域才可以被删除。区域管理不能越级管理,即,管理员只能在本区域下建立一级子区域,若子区域还需要分区域,则由子区域管理员负责。父管理员在其拓扑上可以看到子区域,子区域在其拓扑上看不到兄弟区域。
三、账号管理
账号管理指的是对登录到服务器的客户端的用户及其账号、权限的管理,该管理为静态管理。例如,客户端接收相应权限级别的用户(一般是有“写”权限的用户)所输入的账号增加/删除/修改/查询/激活/禁止,并将该操作信息发送至服务器,服务器接收并保存该操作信息,并向客户端返回相应的信息。另外,客户端还接收相应权限级别的用户 (一般是有“写”权限的用户)所输入的分配信息,并将分配信息发送至服务器,分配信息包括为特定账号分配角色信息、区域信息;服务器接收并保存分配信息,并向客户端返回相应的信息。
四、客户端管理
客户端管理指安全管理中涉及到客户端接入服务器的管理,主要包括客户端IP 地址管理及客户端动态管理。例如,客户端接收相应权限级别的用户所输入的以下至少一种客户端管理信息允许接入的客户端IP地址增加/删除/修改/查询、在线客户端查询 /禁止 ,并将所接收的客户端管理信息发送至服务器;服务器接收并保存客户端管理信息, 并向客户端返回相应的信息。在此应当说明的是,一般情况下,仅系统管理员有权限执行以上内容。
五、用户管理
用户管理指的是用户在使用网管过程中,涉及到安全管理方面的内容,例如,包括我们常用到的自动锁定、手动锁定、解锁定、登录、注销和修改密码等操作。
图3是本发明在网络管理中实现权限管理的系统实施例一的逻辑图,该在网络管理中实现权限管理的系统服务器10和客户端20 (图中仅示出了一个,当然也可以有多个), 服务器10包括存储模块11、验证模块12、权限返回模块13 ;客户端20包括登录模块21、 权限应用模块22。其中,存储模块11用于预先存储有多个用户信息,该用户信息包括账号、密码、角色信息和区域信息,角色信息用于指示菜单的访问权限,优选地,角色信息包括角色名、权限级别、权限级别与菜单项ID的映射关系;区域信息用于指示网络设备的访问权限,优选地,区域名、区域ID,且所有的网络设备根据其所在的区域按树状结构存储,每个网络设备均对应一区域ID ;登录模块21用于当用户在客户端登录时,接收用户输入的账号和密码,并发送至服务器10 ;验证模块12用于根据存储模块11中预先存储的用户信息验证所接收的账号和密码;权限返回模块13用于在验证通过时,根据存储模块11中预先存储的用户信息,向客户端返回相应的角色信息和区域信息;权限应用模块22用于根据角色信息来设置菜单的访问权限,及根据区域信息来设置网络设备的访问权限。
在本发明在网络管理中实现权限管理的系统的一个优选实施例中,客户端还包括操作信息接收模块、分配信息接收模块、客户端管理信息接收模块;服务器还包括操作信息返回模块、分配信息返回模块、客户端管理信息查询模块。其中,操作信息接收模块用于接收相应权限级别的用户所输入的以下至少一种操作信息角色增加/删除/修改/查询、区域增加/删除/修改/查询、账号增加/删除/修改/查询/激活/禁止,并将所接收的操作信息发送至服务器;操作信息返回模块,用于接收并保存所述操作信息,并向客户端返回相应的信息。分配信息接收模块用于接收相应权限级别的用户所输入的分配信息,并将所述分配信息发送至服务器,所述分配信息包括为特定账号分配角色信息、区域信息;分配信息返回模块用于接收并保存所述分配信息,并向客户端返回相应的信息。客户端管理信息接收模块用于接收相应权限级别的用户所输入的以下至少一种客户端管理信息允许接入的客户端IP地址增加/删除/修改/查询、在线客户端查询/禁止,并将所接收的客户端管理信息发送至服务器;客户端管理信息返回模块,用于接收并保存所述客户端管理信息, 并向客户端返回相应的信息。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的权利要求范围之内。
权利要求
1.一种在网络管理中实现权限管理的方法,其特征在于,包括 A.服务器预先存储有多个用户信息,所述用户信息包括账号、密码、角色信息和区域信息,所述角色信息用于指示菜单的访问权限,所述区域信息用于指示网络设备的访问权限; B.当用户在客户端登录时,客户端接收用户输入的账号和密码,并发送至服务器进行验证; C.若服务器验证通过,则服务器向所述客户端返回相应的角色信息和区域信息; D.当用户在客户端登录后,根据所述角色信息来设置菜单的访问权限,及根据所述区域信息来设置网络设备的访问权限。
2.根据权利要求1所述的在网络管理中实现权限管理的方法,其特征在于,所述角色信息包括角色名、权限级别、权限级别与菜单项ID的映射关系; 所述区域信息包括区域名、区域ID,且所有的网络设备根据其所在的区域按树状结构存储,每个网络设备均对应一区域ID。
3.根据权利要求1或2所述的在网络管理中实现权限管理的方法,其特征在于,在所述步骤D之后,还包括 E.客户端接收相应权限级别的用户所输入的以下至少一种操作信息角色增加/删除/修改/查询、区域增加/删除/修改/查询、账号增加/删除/修改/查询/激活/禁止,并将所接收的操作信息发送至服务器; F.服务器接收并保存所述操作信息,并向客户端返回相应的信息。
4.根据权利要求3所述的在网络管理中实现权限管理的方法,其特征在于,在所述步骤F之后,还包括 G.客户端接收相应权限级别的用户所输入的分配信息,并将所述分配信息发送至服务器,所述分配信息包括为特定账号分配角色信息、区域信息; H.服务器接收并保存所述分配信息,并向客户端返回相应的信息。
5.根据权利要求4所述的在网络管理中实现权限管理的方法,其特征在于,在所述步骤D之后,还包括 客户端接收相应权限级别的用户所输入的以下至少一种客户端管理信息允许接入的客户端IP地址增加/删除/修改/查询、在线客户端查询/禁止,并将所接收的客户端管理信息发送至服务器; 服务器接收并保存所述客户端管理信息,并向客户端返回相应的信息。
6.一种在网络管理中实现权限管理的系统,其特征在于,包括服务器和至少一个客户端,所述服务器包括存储模块、验证模块、权限返回模块;所述客户端包括登录模块、权限应用模块;其中, 所述存储模块,用于预先存储有多个用户信息,所述用户信息包括账号、密码、角色信息和区域信息,所述角色信息用于指示菜单的访问权限,所述区域信息用于指示网络设备的访问权限; 所述登录模块,用于当用户在客户端登录时,接收用户输入的账号和密码,并发送至服务器; 所述验证模块,用于根据所述存储模块中预先存储的用户信息验证所接收的账号和密码; 所述权限返回模块,用于在验证通过时,根据所述存储模块中预先存储的用户信息,向所述客户端返回相应的角色信息和区域信息; 所述权限应用模块,用于根据所述角色信息来设置菜单的访问权限,及根据所述区域信息来设置网络设备的访问权限。
7.根据权利要求6所述的在网络管理中实现权限管理的系统,其特征在于,所述角色信息包括角色名、权限级别、权限级别与菜单项ID的映射关系; 所述区域信息包括区域名、区域ID,且所有的网络设备根据其所在的区域按树状结构存储,每个网络设备均对应一区域ID。
8.根据权利要求6或7所述的在网络管理中实现权限管理的系统,其特征在于,所述客户端还包括操作信息接收模块;所述服务器还包括操作信息返回模块;其中, 所述操作信息接收模块,用于接收相应权限级别的用户所输入的以下至少一种操作信息角色增加/删除/修改/查询、区域增加/删除/修改/查询、账号增加/删除/修改/查询/激活/禁止,并将所接收的操作信息发送至服务器; 所述操作信息返回模块,用于接收并保存所述操作信息,并向客户端返回相应的信息。
9.根据权利要求8所述的在网络管理中实现权限管理的系统,其特征在于,所述客户端还包括分配信息接收模块,所述服务器还包括分配信息返回模块; 所述分配信息接收模块,用于接收相应权限级别的用户所输入的分配信息,并将所述分配信息发送至服务器,所述分配信息包括为特定账号分配角色信息、区域信息; 所述分配信息返回模块,用于接收并保存所述分配信息,并向客户端返回相应的信息。
10.根据权利要求9所述的在网络管理中实现权限管理的系统,其特征在于,所述客户端还包括客户端管理信息接收模块,所述服务器还包括客户端管理信息查询模块;其中, 所述客户端管理信息接收模块,用于接收相应权限级别的用户所输入的以下至少一种客户端管理信息允许接入的客户端IP地址增加/删除/修改/查询、在线客户端查询/禁止,并将所接收的客户端管理信息发送至服务器; 所述客户端管理信息返回模块,用于接收并保存所述客户端管理信息,并向客户端返回相应的信息。
全文摘要
本发明公开了一种在网络管理中实现权限管理的方法和系统,该实现权限管理的方法包括服务器预先存储有多个用户信息,用户信息包括账号、密码、角色信息和区域信息,角色信息用于指示菜单的访问权限,区域信息用于指示网络设备的访问权限;当用户在客户端登录时,客户端接收用户输入的账号和密码,并发送至服务器进行验证;若服务器验证通过,则服务器向客户端返回相应的角色信息和区域信息;当用户在客户端登录后,根据角色信息来设置菜单的访问权限,及根据区域信息来设置网络设备的访问权限。实施本发明的技术方案,不仅避免了管理重复以及越权管理的问题,而且对网络设备的维护提供了安全保证,维护了网管的安全性。
文档编号H04L12/24GK103001803SQ20121052954
公开日2013年3月27日 申请日期2012年12月10日 优先权日2012年12月10日
发明者彭年香 申请人:上海斐讯数据通信技术有限公司