实现权限管理控制的方法及终端的制作方法

实现权限管理控制的方法及终端的制作方法
【专利摘要】本发明实施例提供了一种实现权限管理控制的方法及终端。该方法包括：根据委托管理方与被委托管理方之间的委托关系信息配置管理树上目标节点的属性，所述委托关系信息包括：委托管理方标识、被委托管理方标识、目标节点的信息、被委托权限及委托等级；接收第一管理方对目标节点的操作请求，根据该目标节点被配置的所述属性判断第一管理方是否有操作权限；如果是，根据操作请求对目标节点执行对应的操作，否则，拒绝第一管理方对目标节点执行操作。本发明实施例的终端包括：管理树执行模块和设备管理代理模块。本发明能够使终端确定多个管理方之间的委托关系，根据委托关系对节点进行权限管理控制。
【专利说明】实现权限管理控制的方法及终端

【技术领域】
[0001]本发明实施例涉及通信技术，尤其涉及一种实现权限管理控制的方法及终端。

【背景技术】
[0002]开放移动联盟(Open Mobile Alliances,以下简称“0ΜΑ”)设备管理(DeviceManagement,以下简称“DM”)是一种通过空中下载技术将管理方的管理指令从网络侧下载到终端上，并由终端自动运行，进而完成终端软硬件安装及升级、参数配置、诊断等远程管理的技术。
[0003]OMA DM技术中，主要包括终端和DM服务器。终端中包括DM代理和DM管理树，DM管理树相当于DM服务器对终端进行管理的接口，DM代理用于解释和执行DM服务器下发的管理命令。DM管理树上的每个节点都有各自的访问控制列表(以下简称“ACL”)属性。
[0004]在OMA DM技术中，一个终端可以存在多个管理方，其中的一个管理方可以将自己对该终端内一个节点的管理权限委托授权给另一个管理方，被委托方则拥有了委托方所委托的管理权限，可以利用该管理权限对终端内的节点进行相应的管理。
[0005]目前，针对一个终端的多个管理方进行委托授权的情况，权限管理控制的过程主要包括:针对终端内的节点，在该节点的ACL属性里设置能够对该节点进行管理的每一个管理方信息及其权限。比如，管理方I拥有对节点A的“删除”权限，管理方I将对节点A的“删除”权限委托授权给了管理方2，这样，在节点A的ACL属性里就设置出管理方I和管理方2拥有对该节点A的“删除”权限；当该节点A后续被一个管理方执行“删除”操作时，终端会根据该节点A的ACL属性确定该管理方是否有针对该节点A进行“删除”操作的权限，如果有，则终端对该节点A执行对应的“删除”操作，否则，拒绝执行。
[0006]在实现本发明过程中，发明人发现现有技术中至少存在如下问题:在实现权限管理控制时，现有技术采用的方法就是在终端中记录节点的管理方及该管理方的权限信息，这样，即使节点存在多个管理方且该多个管理方存在委托关系，终端也只能确定一个节点对应了哪些管理方以及每一个管理方的权限，而无法确定多个管理方之间的委托关系，也就无法根据委托关系对节点进行权限管理控制，从而降低了业务服务质量。


【发明内容】

[0007]本发明实施例提供一种实现权限管理控制的方法及终端，能够确定多个管理方之间的委托关系，根据委托关系对节点进行权限管理控制。
[0008]本发明实施例提供的实现权限管理控制的方法，包括:
[0009]根据委托管理方与被委托管理方之间的委托关系信息配置管理树上目标节点的属性；所述委托关系信息包括:委托管理方标识、被委托管理方标识、目标节点的信息、被委托权限及委托等级；
[0010]接收第一管理方对所述目标节点的操作请求，根据该目标节点被配置的所述属性判断所述第一管理方是否有操作权限；如果是，根据所述操作请求对所述目标节点执行对应的操作，否则，拒绝所述第一管理方对所述目标节点执行操作。
[0011]本发明实施例提供的终端包括:
[0012]管理树执行模块，用于根据委托管理方与被委托管理方之间的委托关系信息配置管理树上目标节点的属性；所述委托关系信息包括:委托管理方标识、被委托管理方标识、目标节点的信息、被委托权限及委托等级；
[0013]设备管理代理模块，用于接收第一管理方对所述目标节点的操作请求，根据所述目标节点被配置的所述属性判断所述第一管理方是否有操作权限；如果是，根据所述操作请求对所述目标节点执行对应的操作，否则，拒绝所述第一管理方对所述目标节点执行操作。
[0014]本发明实施例提出的实现权限管理控制的方法及终端，能够根据委托管理方与被委托管理方之间的委托关系信息配置管理树上目标节点的属性，委托关系信息中具体包括委托管理方标识、被委托管理方标识、目标节点的信息、被委托权限及委托等级，这样，就能够使得终端获知针对一个目标节点的委托关系，即一个目标节点的一个管理方将它的何种权限以何种委托等级委托给了另一个管理方，从而能够针对该委托关系进行对应的权限控制，从而提高了业务服务质量。

【专利附图】

【附图说明】
[0015]为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0016]图1是本发明实施例提出的实现权限管理控制的方法的基本流程图；
[0017]图2是本发明实施例1中实现权限管理控制的流程图；
[0018]图3是本发明实施例1中利用添加的Delegat1n子树配置委托关系的示意图；
[0019]图4是本发明实施例2中实现权限管理控制的流程图；
[0020]图5是本发明实施例3中实现权限管理控制的流程图；
[0021]图6是本发明实施例中终端的一种结构示意图；
[0022]图7是本发明实施例4中终端的另一种结构示意图；
[0023]图8是本发明实施例5中终端的另一种结构示意图；
[0024]图9是本发明实施例6中终端的另一种结构示意图；
[0025]图10是本发明实施例7中终端的另一种结构示意图；
[0026]图11是本发明实施例8中终端的另一种结构示意图；
[0027]图12是本发明实施例9中终端的另一种结构示意图；
[0028]图13是本发明实施例10中终端的另一种结构示意图；
[0029]图14是本发明实施例11中终端的另一种结构示意图。

【具体实施方式】
[0030]为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
[0031]本发明实施例提供了一种实现权限管理控制的方法，参见图1，该方法包括:
[0032]步骤101:根据委托管理方与被委托管理方之间的委托关系信息配置管理树上目标节点的属性，其中，委托关系信息中包括委托管理方标识、被委托管理方标识、目标节点的信息、被委托权限及委托等级。
[0033]步骤102:接收第一管理方对目标节点的操作请求，根据该目标节点被配置的所述属性判断第一管理方是否有操作权限，如果是，则执行步骤103，否则，执行步骤104。
[0034]步骤103:根据操作请求对目标节点执行对应的操作，结束当前流程。
[0035]步骤104:拒绝第一管理方对目标节点执行操作。
[0036]可见，由于在本发明实施例提出的实现权限管理控制的方法中，能够根据委托管理方与被委托管理方之间的委托关系信息配置管理树上目标节点的属性，委托关系信息中具体包括委托管理方标识、被委托管理方标识、目标节点的信息、被委托权限及委托等级，这样，就能够使得终端获知针对一个目标节点的委托关系，即一个目标节点的一个管理方将它的何种权限以何种委托等级委托给了另一个管理方，从而能够针对该委托关系进行对应的权限控制，从而提高了业务服务质量。
[0037]在终端的管理树上，存在对应各个管理方的树形结构以及对应各个节点的各种属性，那么，在本发明实施例的实现中，可以根据实际需要来确定委托关系信息被配置的具体属性。根据委托关系信息被配置的属性的不同，本发明实施例具体可以存在如下业务场旦牙、:
[0038]业务场景一、在管理树的终端管理帐号(以下简称“DMAcc”)管理对象下，存储了每一个管理方的帐号信息，因此，可以在该DMAcc管理对象下针对每个涉及权限委托的管理方添加一个委托(以下简称“Delegat1n”)子树,利用添加的Delegat1n子树配置委托关系信息，并根据该Delegat1n子树配置的委托关系信息配置目标节点的访问控制列表(以下简称“ACL”)属性。
[0039]业务场景二、在管理树的DMAcc管理对象下，存储了每一个管理方的帐号信息，对应每一个管理方都预留有扩展节点，因此，可以在该DMAcc管理对象下利用每个涉及权限委托的管理方的扩展节点来配置委托关系信息，并根据该扩展节点中配置的委托关系信息配置目标节点的ACL属性。
[0040]业务场景三、在管理树上，每一个被管理的目标节点都具有自己的属性，因此，可以在目标节点的属性中直接配置委托关系信息。
[0041]下面针对三种业务场景分别举一个具体实施例来详细说明进行权限管理控制的过程。
[0042]实施例1:
[0043]该实施例1适用于上述业务场景一，利用添加的Delegat1n子树配置委托关系，并配置目标节点的ACL属性，从而实现后续针对委托关系的权限管理控制。参见图2，在本发明实施例1中，实现权限管理控制的过程包括如下步骤:
[0044]步骤201:在管理树的DMAcc管理对象下，针对涉及权限委托的管理方添加一个Delegat1n 子树。
[0045]步骤202:将委托管理方与被委托管理方之间的委托关系信息配置在所添加的Delegat1n 子树上。
[0046]在上述步骤中，添加Delegat1n子树时可以对应于委托管理方添加，也可以对应于被委托管理方添加，还可以对委托管理方和被委托管理方都添加；对应地，委托关系信息可以配置在委托管理方的Delegat1n子树上，也可以配置在被委托管理方的Delegat1n子树上，还可以将委托关系信息分别配置在委托管理方的Delegat1n子树上和被委托管理方的Delegat1n子树上。
[0047]委托管理方与被委托管理方之间的委托关系信息具体可以包括:委托管理方标识、被委托管理方标识、目标节点的信息、被委托权限及委托等级。
[0048]关于委托关系信息，首先，目标节点的信息包括以下至少一种:目标节点的通用资源标志符(以下简称为“URI”)，管理对象标识(以下简称“Μ0Ι”)或者MOI及特定节点值。
[0049]其次，被委托权限表示针对目标节点，委托管理方将自己的何种权限委托给了被委托管理方。被委托权限的值可以符合标准ACL值的写法。比如，委托管理方ServerA将“Get”和“Delete”权限委托给了被委托管理方ServerB，那么，被委托权限的值为“Get =ServerB&Delete = ServerB，，。
[0050]再次，委托等级是为了实现基于委托关系的权限管理控制而设置的，用于反映委托管理方与被委托管理方对所委托权限的拥有程度。委托等级可以设置成:全委托，表示委托管理方在将一个权限委托给被委托管理方之后，该委托管理方不再拥有该权限。委托等级也可以设置成:共享委托，表示委托管理方在将一个权限委托给被委托管理方之后，该委托管理方仍然拥有该权限。
[0051]最后，为了进一步提高基于委托关系进行权限管理控制的效果，委托管理方与被委托管理方之间的委托关系信息还可以进一步包括:委托生效开始时间和/或委托有效的持续时间。其中，委托生效开始时间用于控制委托生效的时间点，从而使得委托管理方能够更好地控制所委托权限的使用情况。其中，委托有效的持续时间用于终端能够自行回收委托管理方所委托出去的权限，使得被委托管理方不再继续拥有被委托的权限。
[0052]通过Delegat1n子树配置委托关系信息可以参见图3所示。Delegat1n子树上可以进一步预留图3中所示的扩展节点，以便在委托关系信息包括的内容增强时，可以通过该扩展节点记录增强的内容。
[0053]步骤203:在计时到达委托生效开始时间时，在管理树上查找到目标节点。
[0054]如果委托关系信息中目标节点的信息是该目标节点的URI，那么，本步骤中直接根据该URI找到管理树上的对应的目标节点。
[0055]如果委托关系信息中目标节点的信息是Μ0Ι，那么，由于MOI通常对应一个或多个子树，因此，本步骤中是在管理树上找到对应该MOI的子树的根节点。
[0056]如果委托关系信息中目标节点的信息是MOI以及特定节点值，则首先在管理树上找到对应该MOI的各子树，然后从该各子树上找到具有该特定节点值的子树的根节点。
[0057]步骤204:根据委托管理方标识、被委托管理方标识、被委托权限及委托等级，修改所找到的目标节点的ACL值。
[0058]如果委托等级为全委托，那么，修改所找到的目标节点的ACL值的过程包括:使用被委托权限覆盖所找到的目标节点的ACL值中委托管理方的对应权限。比如，委托管理方ServerA将对节点I的“Get”和“Delete”权限全委托给了被委托管理方ServerB,被委托权限的值为“Get = ServerB&Delete = ServerB”,那么，在所找到的节点I的ACL值中，原来包括委托管理方ServerA对该节点的权限“Get = ServerA&Delete = ServerA”,在委托等级为全委托的情况下，使用“Get = ServerB&Delete = ServerB”覆盖该节点I的ACL值中的“Get = ServerA&Delete = ServerA”。从而使得委托管理方ServerA不再继续拥有对该节点I的“Get”和“Delete”权限。进一步地，为了确保委托管理方ServerA不再继续拥有该权限，也可以进一步对应ACL值的“Get”和“Delete”权限添加排除该委托管理方ServerA的标签。
[0059]如果委托等级为共享委托，那么，修改所找到的目标节点的ACL值的过程包括:在所找到的节点I的ACL值中添加被委托权限。比如，委托管理方ServerA将对节点I的“Get”和“Delete”权限共享委托给了被委托管理方ServerB，被委托权限的值为“Get =ServerB&Delete = ServerB”,那么，在所找到的节点I的ACL值中，原来包括委托管理方ServerA对该节点I的权限“Get = ServerA&Delete = ServerA”,在委托等级为共享委托的情况下，仍然保留“Get = ServerA&Delete = ServerA”，同时在ACL值中再添加“Get =ServerB&Delete = ServerB”。从而使得委托管理方ServerA和被委托管理方ServerB均拥有对该节点I的“Get”和“Delete”权限。
[0060]步骤205:终端接收到一个管理方(记为“管理方I”)对一个目标节点(记为“节点I”)的操作请求。
[0061]步骤206:终端根据节点I当前的ACL值判断管理方I是否有操作权限，如果是，则执行步骤207，否则，执行步骤208。
[0062]步骤207:根据操作请求对节点I执行对应的操作，结束当前流程。
[0063]步骤208:拒绝管理方I对节点I执行操作。
[0064]Delegat1n子树上配置的委托关系信息中如果包括委托有效的持续时间，那么，在上述步骤204修改所找到的目标节点的ACL值后，上述图2所示流程还可以进一步包括:在计时到达委托有效的持续时间的结束时刻时，将所述找到的目标节点的ACL值恢复为修改前的ACL值。
[0065]在本发明实施例1中，能够通过在管理树上添加的Delegat1n子树来配置委托管理方和被委托管理方之间的委托关系信息，并修改目标节点的ACL值，这样，就能够使得终端获知针对一个目标节点的委托关系，即一个目标节点的一个管理方将它的何种权限委托给了另一个管理方，从而能够针对该委托关系进行对应的权限控制。比如，通过设置委托等级能够实现委托管理方对被委托管理方的全委托和共享委托，从而大大增加了权限管理控制的灵活性，优化了业务性能。
[0066]实施例2:
[0067]该实施例2适用于上述业务场景二，利用DMAcc管理对象下预留的扩展节点来配置委托关系信息，并根据该委托关系信息修改目标节点的ACL值，从而实现后续针对委托关系的权限管理控制。参见图4，在本发明实施例2中，实现权限管理控制的过程包括如下步骤:
[0068]步骤401:在管理树的DMAcc管理对象下，利用涉及权限委托的管理方的扩展节点来配置委托管理方与被委托管理方之间的委托关系信息。
[0069]具体地，可以将委托关系信息配置在委托管理方对应的扩展节点值中和/或配置在被委托管理方对应的扩展节点值中。
[0070]本步骤中委托关系信息的内容和作用与上述步骤202中委托关系信息的内容和作用相同。
[0071]步骤402?407描述的内容与步骤203?208描述的内容相同。
[0072]在DMAcc管理对象下的扩展节点值中，配置的委托关系信息如果包括委托有效的持续时间，那么，在上述步骤402修改所找到的目标节点的ACL值后，上述图4所示流程可以进一步包括:在计时到达委托有效的持续时间的结束时刻时，将所述找到的目标节点的ACL值恢复为修改前的ACL值。
[0073]在本发明实施例2中，能够通过DMAcc管理对象下预留的扩展节点来配置委托管理方和被委托管理方之间的委托关系信息，并根据该委托关系信息修改ACL值，这样，就能够使得终端获知针对一个目标节点的委托关系，即一个目标节点的一个管理方将它的何种权限委托给了另一个管理方，从而能够针对该委托关系进行对应的权限控制。比如，通过设置委托等级能够实现委托管理方对被委托管理方的全委托和共享委托，从而大大增加了权限管理控制的灵活性，优化了业务性能。
[0074]实施例3:
[0075]该实施例3适用于上述业务场景三，利用目标节点的新增属性来配置委托关系信息，从而实现后续针对委托关系的权限管理控制。参见图5，在本发明实施例3中，实现权限管理控制的过程包括如下步骤:
[0076]步骤501:在委托管理方将对目标节点的操作权限委托给了被委托管理方后，委托管理方生成存储有委托管理方与被委托管理方之间的委托关系信息的授权证书。
[0077]本步骤中，授权证书中的委托关系信息可以包括:委托管理方标识、被委托管理方标识、目标节点的信息、被委托权限及委托等级。
[0078]其中，委托等级具体可以为:全委托、共享委托或者子委托。当委托等级为子委托时，被委托管理方标识包括第一级被委托管理方标识和第二级被委托管理方标识，表示委托管理方将权限委托给第一级被委托管理方后，允许该第一级被委托管理方将该权限继续委托给第二级被委托管理方。
[0079]并且，进一步地，授权证书中的委托关系信息还可以包括:委托生效开始时间和/或委托有效的持续时间。
[0080]本实施例3中，被委托权限、全委托、共享委托、委托生效开始时间及委托有效的持续时间的作用和相关描述与上述步骤202中对应的描述相同。
[0081]步骤502:委托管理方将授权证书发送给终端。
[0082]步骤503:终端将授权证书配置在管理树上目标节点的新增属性中。
[0083]如，委托管理方ServerA将对目标节点I的“Get”和“Delete”权限委托给了被委托管理方ServerB，那么，授权证书就被配置在管理树上目标节点I的新增属性中。
[0084]步骤504:终端接收到一个管理方(记为“管理方I”)对一个目标节点(记为“节点I”)的操作请求。
[0085]步骤505:终端根据节点I属性中的授权证书，判断管理方I是否有操作权限，如果有，则执行步骤506，否则，执行步骤507。
[0086]在本步骤中，授权证书中的委托生效开始时间、委托管理方标识、被委托管理方标识、被委托权限及委托等级都可以用来判断管理方I是否有操作权限。比如一种判断的过程包括如下步骤:
[0087]步骤5051:判断当前时间是否在委托生效开始时间之后，如果是，则执行步骤5052，否则，直接执行步骤507。
[0088]步骤5052:根据委托管理方标识、被委托管理方标识、被委托权限及委托等级判断管理方I是否有操作权限，如果有，执行步骤506，否则，执行步骤507。
[0089]如果委托等级为全委托，那么，本步骤中具体判断过程包括:根据被委托管理方标识判断管理方I是否为被委托管理方，如果是，则根据被委托权限判断所述操作请求是否在权限范围内，如果在，则确定管理方I有操作权限；
[0090]如果委托等级为共享委托，那么，本步骤中具体判断过程包括:根据委托管理方标识和被委托管理方标识判断管理方I是否为委托管理方和被委托管理方中的任意一个，如果是，则根据被委托权限判断所述操作请求是否在权限范围内，如果在，则确定管理方I有操作权限；
[0091]如果委托等级为子委托，那么，本步骤中具体判断过程包括:根据第二级被委托管理方标识判断管理方I是否为第二级被委托管理方，如果是，则根据被委托权限判断所述操作请求是否在权限范围内，如果在，则确定管理方I有操作权限。
[0092]步骤506:根据操作请求对节点I执行对应的操作，结束当前流程。
[0093]步骤507:拒绝管理方I对节点I执行操作。
[0094]授权证书中如果包括委托有效的持续时间，那么，在上述步骤503将授权证书配置在管理树上目标节点的新增属性中之后，上述图5所示流程进一步包括:在计时到达委托有效的持续时间的结束时刻时，从该目标节点的属性中删除该授权证书。
[0095]在本发明实施例3中，能够利用管理树上目标节点的新增属性来配置授权证书方式的委托关系信息，这样，就能够使得终端获知针对一个目标节点的委托关系，即一个目标节点的一个管理方将它的何种权限委托给了另一个管理方，从而能够针对该委托关系进行对应的权限控制。比如，通过设置委托等级能够实现委托管理方对被委托管理方的全委托、子委托和共享委托，从而大大增加了权限管理控制的灵活性，优化了业务性能。
[0096]需要说明的是，实施例1中添加Delegat1n子树的方式只是在终端的管理树上添加了一个分支，实施例2中只是利用了 DMAcc管理对象下原来就预留好的扩展节点，实施例3只是利用了目标节点新增的属性，因此，都对终端原有结构改动较小，易于实现。
[0097]进一步地，在本发明的实施例1至实施例3中，通过设置的委托生效开始时间可以控制委托生效的时间点，从而使得委托管理方能够更好地控制所委托权限的使用情况。另夕卜，通过设置的委托有效的持续时间，实施例1和实施例2中终端能够自动将目标节点的ACL值恢复到修改前的ACL值，实施例3中，终端能够自动删除目标节点属性中的授权证书，从而都能够使得后续对该目标节点的权限操作恢复到委托管理方进行权限委托之前的权限，从而实现了委托管理方安全回收所委托出去的权限。
[0098]在本发明的实施例1至实施例3中，可以由终端执行上述流程图中各个步骤的处理，或者，也可以由终端连接的一个控制设备来执行各个步骤的处理，可以理解的，终端与控制设备的连接方式包括但不限于有线连接方式或无线连接方式，具体的有线连接方式或无线连接方式不构成对本发明的限制。
[0099]本发明实施例还提出了一种终端。参见图6，该终端包括:
[0100]管理树执行模块601，用于根据委托管理方与被委托管理方之间的委托关系信息配置管理树上目标节点的属性；其中，委托关系信息中包括委托管理方标识、被委托管理方标识、目标节点的信息、被委托权限及委托等级；
[0101 ] 设备管理代理模块602，用于接收第一管理方对目标节点的操作请求，根据目标节点被配置的所述属性判断第一管理方是否有操作权限；如果是，根据操作请求对目标节点执行对应的操作，否则，拒绝第一管理方对目标节点执行操作。
[0102]可见，由于本发明实施例提出的终端能够根据委托管理方与被委托管理方之间的委托关系信息配置管理树上目标节点的属性，委托关系信息中具体包括委托管理方标识、被委托管理方标识、目标节点的信息、被委托权限及委托等级，这样，就能够使得终端获知针对一个目标节点的委托关系，即一个目标节点的一个管理方将它的何种权限以何种委托等级委托给了另一个管理方，从而能够针对该委托关系进行对应的权限控制，从而提高了业务服务质量。
[0103]本发明实施例提出的终端可以应用于上述三种业务场景，具体流程参见上述的方法实施例。
[0104]首先，说明终端设备应用于上述的业务场景一或业务场景二时各模块的具体结构和功能:
[0105]可选的，参见图7，在发明实施例4中，所述管理树执行模块601包括第一管理树执行模块701，该第一管理树执行模块701用于在管理树的终端管理帐号管理对象下，对应于委托管理方或者对应于被委托管理方添加委托子树，将委托管理方与被委托管理方之间的委托关系信息配置在该委托子树上；并根据委托子树上配置的所述委托关系信息，配置管理树上目标节点的访问控制列表属性。
[0106]可选的，参见图8，在发明实施例5中，所述管理树执行模块601包括第二管理树执行模块801，该第二管理树执行模块801用于在管理树的终端管理帐号管理对象下，将所述委托管理方与被委托管理方之间的委托关系信息配置在该委托管理方对应的扩展节点值中或者配置在被委托管理方对应的扩展节点值中；并根据该扩展节点值中配置的所述委托关系信息，配置管理树上目标节点的访问控制列表属性。
[0107]可选的，参见图7和图9，在本发明实施例6中，第一管理树执行模块701中还可以包括修改模块901，参见图8和图10，在本发明实施例7中，第二管理树执行模块801中也可以进一步包括修改模块1001，图9的修改模块901和图10的修改模块1001中的至少一个可以用于根据所述委托关系信息中目标节点的信息，在管理树上找到目标节点，根据所述委托关系信息中委托管理方标识、被委托管理方标识、被委托权限及委托等级，修改所找到的目标节点的访问控制列表值；
[0108]相应地，
[0109]参见图9，在本发明实施例6中，所述设备管理代理模块602还包括判断模块902 ；参见图10，在本发明实施例7中，所述设备管理代理模块602还包括判断模块1002，所述判断模块902和判断模块1002中的至少一个可以根据目标节点当前的访问控制列表值判断第一管理方是否有操作权限。
[0110]可选的,参见图9和图11,在本发明实施例8中,第一管理树执行模块701中的修改模块901中还包括执行模块1101 ;参见图10和图12，在本发明实施例9中，第二管理树执行模块801中的修改模块1001中还包括执行模块1201，执行模块1101和执行模块1201中的至少一个可以用于当所述委托关系信息进一步包括委托生效开始时间和/或委托有效的持续时间时，根据所述委托关系信息中的委托生效开始时间，在到达该委托生效开始时间时执行所述修改所找到的目标节点的访问控制列表值；根据所述委托关系信息中的委托有效的持续时间，在所述修改所找到的目标节点的访问控制列表值后，进一步在到达委托有效的持续时间的结束时刻时，将所述目标节点的访问控制列表值恢复为修改前的访问控制列表值。
[0111]其次，说明终端应用于上述业务场景三时各模块的具体结构和功能:
[0112]可选的，参见图13，在本发明实施例10中，所述管理树执行模块601还包括第三管理树执行模块1301，所述第三管理树执行模块1301用于将存储有委托管理方与被委托管理方之间的委托关系信息的授权证书配置在管理树上目标节点的新增属性中；
[0113]相应地，
[0114]所述设备管理代理模块602还包括第三设备管理代理模块1302，所述第三设备管理代理模块1302用于根据目标节点的授权证书中的委托管理方标识、被委托管理方标识、被委托权限及委托等级判断第一管理方是否有操作权限。
[0115]可选的，参见图14，在本发明实施例11中，所述设备管理代理模块602还包括第四设备管理代理模块1402，所述第四设备管理代理模块1402用于根据目标节点的授权证书中的委托生效开始时间判断第一管理方是否有操作权限。
[0116]参见图14，无论所述设备管理代理模块602中是否包括第四设备管理代理模块1402，所述管理树执行模块601中都可以进一步包括第四管理树执行模块1401，所述第四管理树执行模块1401用于在授权证书配置在管理树上的对应目标节点的属性中之后，在到达授权证书中的委托有效的持续时间的结束时刻时，从该目标节点的新增属性中删除该授权证书。
[0117]本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于一计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括:R0M、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
[0118]最后应说明的是:以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
【权利要求】
1.一种实现权限管理控制的方法，其特征在于，包括: 根据委托管理方与被委托管理方之间的委托关系信息配置管理树上目标节点的属性；所述委托关系信息包括:委托管理方标识、被委托管理方标识、所述目标节点的信息、被委托权限及委托等级； 接收第一管理方对所述目标节点的操作请求，根据所述目标节点被配置的所述属性判断所述第一管理方是否有操作权限；如果所述第一管理方有所述操作权限，根据所述操作请求对所述目标节点执行对应的操作，如果所述第一管理方没有所述操作权限，拒绝所述第一管理方对所述目标节点执行操作； 在所述管理树的终端管理帐号管理对象下，对应于所述委托管理方和/或对应于所述被委托管理方添加委托子树，将所述委托管理方与所述被委托管理方之间的所述委托关系信息配置在所述委托子树上； 所述根据委托管理方与被委托管理方之间的委托关系信息配置管理树上目标节点的属性包括:根据所述委托子树上配置的所述委托关系信息，配置所述管理树上所述目标节点的访问控制列表属性。
2.根据权利要求1所述的实现权限管理控制的方法，其特征在于， 所述被委托权限按照访问控制列表的语义语法描述。
3.根据权利要求1所述的实现权限管理控制的方法，其特征在于， 该方法进一步包括:根据所述委托关系信息中所述目标节点的信息，在所述管理树上找到所述目标节点； 所述配置所述管理树上所述目标节点的访问控制列表属性包括:根据所述委托关系信息中的所述委托管理方标识、所述被委托管理方标识、所述被委托权限及所述委托等级，修改所述目标节点的访问控制列表值； 所述根据所述目标节点被配置的所述属性判断所述第一管理方是否有操作权限包括:根据所述目标节点当前的访问控制列表值判断所述第一管理方是否有所述操作权限。
4.根据权利要求3所述的实现权限管理控制的方法，其特征在于， 所述委托等级为全委托；则所述修改所述目标节点的访问控制列表值包括:使用所述被委托权限覆盖所述目标节点的访问控制列表值中所述委托管理方的对应权限； 或者， 所述委托等级为共享委托；则所述修改所述目标节点的访问控制列表值包括:在所述目标节点的访问控制列表值中添加所述被委托权限。
5.根据权利要求3所述的实现权限管理控制的方法，其特征在于，所述委托关系信息进一步包括:委托生效开始时间和/或委托有效的持续时间； 如果所述委托关系信息包括所述委托生效开始时间，在到达该委托生效开始时间时执行所述修改所述目标节点的访问控制列表值； 如果所述委托关系信息包括所述委托有效的持续时间，在所述修改所述目标节点的访问控制列表值后进一步包括:在计时到达所述委托有效的持续时间的结束时刻时，将所述目标节点的访问控制列表值恢复为修改前的访问控制列表值。
6.根据权利要求3所述的实现权限管理控制的方法，其特征在于，所述目标节点的信息包括以下至少一种:所述目标节点的通用资源标志符，管理对象标识或者管理对象标识以及特定节点值； 如果所述目标节点的信息包括所述管理对象标识，则所述在所述管理树上找到所述目标节点的步骤包括:在所述管理树上找到对应该管理对象标识的子树的根节点； 如果所述目标节点的信息包括所述管理对象标识以及所述特定节点值，则所述在所述管理树上找到所述目标节点的步骤包括:在所述管理树上找到对应所述管理对象标识的各子树，并从所述各子树中找到具有所述特定节点值的子树的根节点。
7.一种实现权限管理控制的方法，其特征在于，包括: 根据委托管理方与被委托管理方之间的委托关系信息配置管理树上目标节点的属性；所述委托关系信息包括:委托管理方标识、被委托管理方标识、所述目标节点的信息、被委托权限及委托等级； 接收第一管理方对所述目标节点的操作请求，根据所述目标节点被配置的所述属性判断所述第一管理方是否有操作权限；如果所述第一管理方有所述操作权限，根据所述操作请求对所述目标节点执行对应的操作，如果所述第一管理方没有所述操作权限，拒绝所述第一管理方对所述目标节点执行操作； 在所述管理树的终端管理帐号管理对象下，将所述委托管理方与所述被委托管理方之间的所述委托关系信息配置在所述委托管理方对应的扩展节点值中和/或配置在所述被委托管理方对应的扩展节点值中； 所述根据委托管理方与被委托管理方之间的委托关系信息配置管理树上目标节点的属性包括:根据所述扩展节点值中配置的所述委托关系信息，配置所述管理树上所述目标节点的访问控制列表属性。
8.根据权利要求7所述的实现权限管理控制的方法，其特征在于， 所述被委托权限按照访问控制列表的语义语法描述。
9.根据权利要求7所述的实现权限管理控制的方法，其特征在于， 该方法进一步包括:根据所述委托关系信息中所述目标节点的信息，在所述管理树上找到所述目标节点； 所述配置所述管理树上所述目标节点的访问控制列表属性包括:根据所述委托关系信息中的所述委托管理方标识、所述被委托管理方标识、所述被委托权限及所述委托等级，修改所述目标节点的访问控制列表值； 所述根据所述目标节点被配置的所述属性判断所述第一管理方是否有操作权限包括:根据所述目标节点当前的访问控制列表值判断所述第一管理方是否有所述操作权限。
10.根据权利要求9所述的实现权限管理控制的方法，其特征在于， 所述委托等级为全委托；则所述修改所述目标节点的访问控制列表值包括:使用所述被委托权限覆盖所述目标节点的访问控制列表值中所述委托管理方的对应权限； 或者， 所述委托等级为共享委托；则所述修改所述目标节点的访问控制列表值包括:在所述目标节点的访问控制列表值中添加所述被委托权限。
11.根据权利要求9所述的实现权限管理控制的方法，其特征在于，所述委托关系信息进一步包括:委托生效开始时间和/或委托有效的持续时间； 如果所述委托关系信息包括所述委托生效开始时间，在到达该委托生效开始时间时执行所述修改所述目标节点的访问控制列表值； 如果所述委托关系信息包括所述委托有效的持续时间，在所述修改所述目标节点的访问控制列表值后进一步包括:在计时到达所述委托有效的持续时间的结束时刻时，将所述目标节点的访问控制列表值恢复为修改前的访问控制列表值。
12.根据权利要求9所述的实现权限管理控制的方法，其特征在于，所述目标节点的信息包括以下至少一种:所述目标节点的通用资源标志符，管理对象标识或者管理对象标识以及特定节点值； 如果所述目标节点的信息包括所述管理对象标识，则所述在所述管理树上找到所述目标节点的步骤包括:在所述管理树上找到对应该管理对象标识的子树的根节点； 如果所述目标节点的信息包括所述管理对象标识以及所述特定节点值，则所述在所述管理树上找到所述目标节点的步骤包括:在所述管理树上找到对应所述管理对象标识的各子树，并从所述各子树中找到具有所述特定节点值的子树的根节点。
13.—种终端，其特征在于，包括: 管理树执行模块，用于根据委托管理方与被委托管理方之间的委托关系信息配置管理树上目标节点的属性，所述委托关系信息包括:委托管理方标识、被委托管理方标识、目标节点的信息、被委托权限及委托等级； 设备管理代理模块，用于接收第一管理方对所述目标节点的操作请求，根据所述目标节点被配置的所述属性判断所述第一管理方是否有操作权限；如果是，根据所述操作请求对所述目标节点执行对应 的操作，否则，拒绝所述第一管理方对所述目标节点执行操作； 所述管理树执行模块至少还包括以下至少一种模块: 第一管理树执行模块，用于在所述管理树的终端管理帐号管理对象下，对应于所述委托管理方和/或对应于所述被委托管理方添加委托子树，将所述委托管理方与所述被委托管理方之间的所述委托关系信息配置在所述委托子树上；并根据所述委托子树上配置的所述委托关系信息，配置所述管理树上所述目标节点的访问控制列表属性； 第二管理树执行模块，用于在所述管理树的终端管理帐号管理对象下，将所述委托管理方与所述被委托管理方之间的所述委托关系信息配置在所述委托管理方对应的扩展节点值中和/或配置在所述被委托管理方对应的扩展节点值中；并根据所述扩展节点值中配置的所述委托关系信息，配置所述管理树上所述目标节点的访问控制列表属性。
14.根据权利要求13所述的终端，其特征在于， 所述第一管理树执行模块和所述第二管理树执行模块中的至少一个还包括修改模块，所述修改模块用于根据所述委托关系信息中所述目标节点的信息，在所述管理树上找到所述目标节点，根据所述委托关系信息中所述委托管理方标识、所述被委托管理方标识、所述被委托权限及所述委托等级，修改所述目标节点的访问控制列表值； 相应地， 所述设备管理代理模块还包括判断模块，所述判断模块用于根据所述目标节点当前的访问控制列表值判断所述第一管理方是否有所述操作权限。
15.根据权利要求14所述的终端，其特征在于， 所述修改模块中还包括执行模块，所述执行模块用于当所述委托关系信息进一步包括委托生效开始时间和/或委托有效的持续时间时，根据所述委托关系信息中的所述委托生效开始时间，在到达所述委托生效开始时间时执行修改所述目标节点的访问控制列表值；根据所述委托关系信息中的所述委托有效的持续时间，在修改所述目标节点的访问控制列表值后，进 一步在计时到达所述委托有效的持续时间时，将所述目标节点的所述访问控制列表值恢复为修改前的访问控制列表值。
【文档编号】H04L29/06GK104079437SQ201410333745
【公开日】2014年10月1日 申请日期:2010年8月12日 优先权日:2010年8月12日
【发明者】常新苗, 宋悦, 刘海涛, 张惠萍 申请人:华为终端有限公司