专利名称::一种网络管理系统的用户权限获取方法
技术领域:
:本发明涉及的是在网络通信领域中一种用户权限获取方法;尤其涉及的是在网络管理领域中一种网络管理系统的用户权限获取方法。
背景技术:
:现有技术中,权限是网络管理系统的重要数据之一,用户权限的管理主要用于对用户访问的控制。在C/S(CLIENT/SERVER-客户/服务)结构的网络管理系统中,用户权限的分配方式是为指定用户赋予一个或多个角色,当该用户执行网络管理系统中某个功能时,网络管理系统会自动校验该用户的角色是否具有执行该功能的权限,只有成功通过网络管理系统鉴权的用户才能执行该功能,当鉴权失败时,网络管理系统会给出提示信息。超级管理员是网络管理系统缺省提供的管理员,具有网络管理系统所有操作权限;超级管理员负责创建角色,然后再由已创建的角色来创建子集角色。在现有技术中,进行权限分配的具体方案如下在新注册用户添加角色信息时,选择受控资源对角色的操作权限进行录入;当录入完成后,则该用户所拥有的角色信息的操作权限就已经固定,用户是无法独立进行改变的;用户登录网络管理系统后,所述网络管理系统获取用户的权限信息,所述权限信息包括用户的系统操作权限、设备管理权限、视图管理权限等;如果该用户想进行权限更改来获得用户想要的操作,则必须以人工的方式提出申请,再由创建这个用户的上级用户来修改或者重新分配申请用户的角色信息,这样便获得用户想要的操作权限。现有技术方案存在以下不足1.需要以人工的方式提出申请,处理流程比较繁瑣、耗时长。2.手工增加角色信息时,首先要查看受控资源列表中显示的该角色所拥有的资源信息,然后再从当前所有的角色中选择合适的角色分配给申请用户。因此,现有技术还有待改进和提高。
发明内容本发明的目的在于提供一种网络管理系统的用户权限获取方法,通过对用户权限获取流程的再造,达到提高用户权限的获取效率及灵活性之目的。本发明的技术方案包括一种网络管理系统,包括服务器、数据库、上级用户终端及下级用户终端,所述下级用户终端包含用于输入及转发新权限信息的资源选择^f莫块,所述服务器包含用于权限信息比较及角色创建、分配的判决分配模块,所述判决分配模块包含用于启动自动授权的权限计算单元。一种网络管理系统的用户4又限获取方法,该方法包括以下步骤A、下级用户通过资源选择模块确定需要递交的权限变化信息,所述下级用户向其上级用户发送权限变更请求;B、所述上级用户对所述权限变更请求进行授权审批;C、在授权审批通过时,所述上级用户通过所述判决分配模块向所述下级用户进行自动授权。其中所述步骤A还包括以下步骤All、下级用户确定需要变更的权限,获得新权限信息,并通过资源选择模块的多选框将新权限信息输入到资源选择模块;A12、所述资源选择模块将新权限信息下发给服务器;A13、所述服务器收集所述下级用户的旧权限信息和新权限信息;A14、所述服务器将所述旧权限信息和所述新权限信息进行比较,确定所述下级用户的权限变化信息;其中所述步骤A还包括以下步骤A21、所述下级用户向服务器下发权限变更请求;A22、所述服务器收到所述权限变更请求,并查询数据库中的用户表找到所述下级用户对应的上级用户;A23、所述服务器将所述权限变更请求转发给所述上级用户。其中所述步骤B还包括以下步骤Bl、所述上级用户收到权限变更请求;B2、所述上级用户对所述权限变更请求进行授权审批,并将授权审批结果发送给服务器。其中在授权审批未通过时,在所述B2之后还执行以下步骤B21、所述判决分配模块向服务器发送授权审批未通过信息;B22、所述服务器收到所述授权审批未通过信息并转发给所述下级用户。其中所述步骤C在授权审批通过时还包括以下步骤C3、所述上级用户通过激活判决分配模块中的权限计算单元对下级用户进行自动授权。其中所述步骤C3还包括以下步骤C31、所述判决分配模块根据权限变化信息获取其所影响的角色,并删除所述下级用户的原角色信息;C32、所述判决分配模块遍历查找数据库中存储的所有角色,并根据权限变化信息判断是否有符合分配规则的角色;C33、根据判断结果,采取预定的授权策略。其中所述步骤C33在所述数据库中有符合分配规则的角色时还包括以下步骤C301、所述判决分配模块将由新权限信息构成的新角色分配给下级用户。下步骤:C311、所述判决分配模块根据新权限信息创建新角色;C312、所述判决分配^f莫块将所述新角色分配给所述下级用户。本发明所提供的一种网络管理系统的用户权限获取方法,由于采用了由下级用户向上级用户申请权限的模式,通过资源选择模块和判决分配模块,使上级用户只需行使权限审批,不必关心权限变更的细节;更进一步地,下级用户在网络上申请并在网络上获得上级用户授权,可实现实时在线授权,提高了授权的效率及灵活性,方便了下级用户。图l是本发明的较佳实施例的权限层次结构图2是本发明的较佳实施例的方法流程图。图3是本发明的较佳实施例的网络管理系统装置框图具体实施例方式以下结合附图,将对本发明的较佳实施例进行详细的说明。本发明方法的核心发明点是,下级用户通过资源选择模块确定需要递交的权限变化信息,并向其上级用户发送权限变更请求;所述上级用户对所述权限变更请求进行授权审批;在授权审批通过时,所述上级用户通过所述判决分配模块向所述下级用户进行自动授权。本发明的实施,使上级用户只需行使权限审批,不必关心权限变更的细节,可实现实时在线授权,提高授权的效率及灵活性。如图l所示为本发明方法的较佳实施例的权限层次结构图,从图中可以看出操作权项、角色、下级用户、上级用户及超级管理员之间的关系。下级用户的权限是在上级用户对其进行初始化时获得,下级用户想要变更操作权限的时候,可通过向上级用户申请来进行。一种网络管理系统,.其包括服务器、数据库、上级用户终端及下级择模块,所述服务器包含用于权限信息比较及角色创建、分配的判决分配模块,所迷判决分配模块包含用于启动自动授权的权限计算单元,如图3所示。由资源选择模块来选择增加和/或删改的权限信息并发送权限变更请求,由判决分配模块来给用户分配符合条件的角色。将一些需要配置的数据写在数据库表中,通过数据库表实现下级用户和上级用户的关联。在本发明中的数据库是信息管理子模块,该子模块不仅拥有信息存储和管理(例如增、删、改、查等)功能,还具备查询转发命令等功能。该子模块可以有各种各样的表现形式,例如通用的大型数据库(例如Sybase、Oracle等),文件形式的数据库(例如MySql)等。如图2所示为本发明方法一较佳实施例的方法流程图,详细说明如下S101、下级用户通过资源选择模块确定需要递交的权限变化信息。下级用户根据其想要获得的新权限来确定需要变更的权限,所述新权限由新权限信息构成,是上级用户具有的权限信息的子集。所述下级用户通过资源选才奪模块的多选框将所述新权限信息输入到资源选拷"漠块;所述多选框包含了角色和资源的映射关系;所述资源选择模块将新权限信息下发给服务器,所述服务器收集所述下级用户的旧权限信息和新权限信息;将旧权限信息和新权限信息进行比较,确定所述下级用户的权限变化信息。所述新权限信息等于下级用户的旧权限信息减去想要删减的权限信息加上想要增加的权限信息;所述权限变化信息等于想要删减的权限信息加上想要增加的新权限信息。所述资源选择模块将所述权限变化信息发送给判决分配模。例如旧权限信息由al、a2、a3和a4组成,增加的权限信息为a5,要删减的权限信息为a3,则新权限信息为al、a2、a4和a5,权限变化信息为a3和a5。5102、下级用户向其上级用户发送权限变更请求。所述下级用户将所述新权限信息输入网络管理系统后,向服务器下发权限变更请求;所述服务器收到所述权限变更请求并查询数据库中的用户表找到所述下级用户的上级用户,然后判断上级用户是否在线,有以下二种情况(1)、如果上级用户不在线,则服务器返回相应的提示信息给下级用户,结束下级用户的请求。(2)、如果上级用户在线,则服务器将所述权限变更请求转发给所述上级用户。5103、所述上级用户收到下级用户发送过来权限变更请求。5104、所述上级用户对所述权限变更请求进行授权审批,并将授权审批结果下发给服务器,有以下二种情况第一种、所述授权审批未通过,则所述判决分配模块向服务器发送授权审批未通过信息;所述脤务器收到所述授权审批未通过信息并转发给所述下级用户,结束下级用户的请求。第二种、所述授权审批通过,则所述上级用户通过激活判决分配模块中的权限计算单元对下级用户进行自动授权。5105、在授权审批通过时,.所述上级用户通过所述判决分配模块对下级用户进行自动授权。判决分配模块根据权限变化信息获取其所影响的角色,包括删除旧角色,等待转换新角色或等待分配新创建的角色。判决分配模块分配符合所述权限变化信息的角色给下级用户包括以下过程遍历查找其数据库中存储的所有角色;根据权限变化信息判断是否有符合分配规则的角色;根据判断结果,采取相应的授权策略,有以下二种情况第一种、所述数据库中有符合分配规则的角色,则所述判决分配模块将由新权限信息构成的新角色分配给下级用户。第二种、所述数据库中没有符合分配规则的角色,则所述判决分配模块根据新权限信息创建新角色;所述判决分配模块将所述新角色分配给所述下级用户。权限变更完成之后还需要一个验证过程,所述验证过程包括网络管理系统收集用户的权限信息包括注销用户;在下级用户重新登录时,收集下级.用户的权限信息;网络管理系统再次自动校验该下级用户的角色是否具有执行所申请权限所具有的辨能,只有成功通过鉴权的下级用户才能说明授权成功,如果鉴权失败时网络管理系统会给出提示信息。下面结合一个具体实例来阐述本发明方法,帮助更好地理解本发明,不能看成是对本发明的限定。如图1所示,将下级用户l.和下级用户2所拥有的角色所具有的操作权限信息总结为表l:<table>complextableseeoriginaldocumentpage11</column></row><table>由图l和表l不难看出下级用户1具有角色1和角色2的操作权P艮,下级用户2具有角色3的操作权限。当下级用户1希望更改当前权限信息,想增力口"日志管理"的操作;'可以通过下面过程来实现。在网络管理系统中通过资源选择框选择需要增加或删减的权限信息,资源选择模块会从数据库中查出所有的权限信息,以列表的形式展现给下级用卢1,这时下级用户1可以在网管系统上通过资源选择框将拓朴管理、视图管理、曰志管理都选中,然后下发报文给服务器。服务器的权限管理中心则查找数据库,找到创建该下级用户1的上级用户,并判断该上级用户是否在线,如果上级用户不在线,则返回相应的提示信息给下级用户1,结束下级用户1的请求;如果上级用户在线,则转发权限变更请求。上级用户对权限变更请求进行权限审批,审批通过后,权限管理中心监听并收集所述权限变化信息,包括当前下级用户1的角色所拥有的权限信息,资源选择模块下发的需要增加或删减的权限信息(拓朴管理、视图管理、日志管理),权限管理中心根据旧权限信息及新权限信息,确定权限变化信息。从数据库中的角色表中遍历查找是否存在同时拥有拓朴管理、视图管理和日志管理操作权限的角色,如果找不到符合要求的角色,则网络管理系统自动创建一个含有拓朴管理、视图管理和日志管理权限信息的角色4。删除下级用户l原来拥有的旧角色——角色1和角色2,将新角色4分配给下级用户1,并退出下级用户1。用户重新以下级用户l的身份登录,如果鉴权成功,则权限变更完成。综上所述,本发明所提供的一种网络管理系统的用户权限获取方法,由于采用了由下级用户向上级用户申请权限的模式,通过资源选择模块和判决分配模块,使上级用户只需行使权限审批,不必关心权限变更的细节,提高了系统的智能性,实现了网络管理系统和用户的融合,易于用户更好的对权限进行管理。更进一步地,本发明的实施,下级用户可在网络上申请并在网络上获得上级用户的授冲又,可实现在线实时授权,提高了授权的效率及灵活性,方便了下级用户。应当理解的是,上述针对具体实施例的描述较为详细,并不能因此而认为是对本发明专利保护范围的限制,本发明的专利保护范围应以所附权利要求为准。权利要求1.一种网络管理系统的用户权限获取方法,该方法包括以下步骤:A、下级用户通过资源选择模块确定需要递交的权限变化信息,所述下级用户向其上级用户发送权限变更请求;B、所述上级用户对所述权限变更请求进行授权审批;C、在授权审批通过时,所述上级用户通过所述判决分配模块向所述下级用户进行自动授权。2、根据权利要求1所述的用户权限获取方法,其特征在于,所述步骤A还包括以下步骤All、下级用户确定需要变更的权限,获得新权限信息,并通过资源选择模块的多选框将新权限信息输入到资源选择模块;A12、所述资源选择模块将新权限信息下发给服务器;A13、所述服务器收集所述下级用户的旧权限信息和新权限信息;A14、所述服务器将所述旧权限信息和所述新权限信息进行比较,确定所述下级用户的权限变化信息。3、根据权利要求l所述的用户权限获取方法,其特征在于,所述步骤A还包括以下步骤A21、所述下级用户向服务器下发权限变更请求;A22、所述服务器收到所述权限变更请求,并查询数据库中的用户表找到所述下级用户对应的上级用户;A23、所述服务器将所述权限变更请求转发给所述上级用户。4、根据权利要求1所述的用户权限获取方法,其特征在于,所述步骤B还包括以下步骤Bl、所述上级用户收到权限变更请求;B2、所述上级用户对所述权限变更请求进行授权审批,并将授权审批结果发送给服务器。5、根据权利要求4所述的用户权限获取方法,其特征在于,在授权审批未通过时,在所述B2之后还执行以下步骤B21、所述判决分配模块向服务器发送授权审批未通过信息;B22、所述服务器收到所述授权审批未通过信息并转发给所述下级用户。6、根据权利要求4所述的用户权限获取方法,其特征在于,所述步骤C在授权审批通过时还包括以下步骤C3、所述上级用户通过激活判决分配模块中的权限计算单元对下级用户进行自动授权。7、根据权利要求6所述的用户权限获取方法,其特征在于,所述步骤C3还包括以下步骤—C31、所'述判决分配模块根据权限变化信息获取其所影响的角色,并删除所述下级用户的原角色信息;C32、所述判决分配模块遍历查找数据库中存储的所有角色,并根据权限变化信息判断是否有符合分配规则的角色;C33、根据判断结果,采取预定的授权策略。8、根据权利要求7所述的用户权限获取方法,其特征在干,所述步骤C33在所述数据库中有符合分配规则的角色时还包括以下步骤C301、所述判决分配模块将由新权限信息构成的新角色分配给下级用户。9、根据权利要求7所述的用户权限获取方法,其特征在于,所述步骤C33在所述数据库中没有符合分配规则的角色时还包括以下步骤C311、所述判决分配模块根据新权限信息创建新角色;C312、所述判决分配^t块将所述新角色分配给所述下级用户。10、一种实施权利要求1所述方法的网络管理系统,其包括服务器、数据库、上级用户终端及下级用户终端,其特征在于,所述下级用户终端包含用于输入及转发新权限信息的资源选"l奪模块,所述服务器包含用于权限信息比较及角色创建、分配的判决分配模块,所述判决分配模块包含用于启动自动授权的权限计算单元。全文摘要本发明公开了一种网络管理系统,包括服务器、数据库,包含资源选择模块下级用户终端,包含判决分配模块服务器,所述判决分配模块中包含用于启动自动授权的权限计算单元,以及一种网络管理系统的用户权限获取方法,该方法包括下级用户通过资源选择模块确定需要递交的权限变化信息;所述下级用户向其上级用户发送权限变更请求;所述上级用户通过所述判决分配模块向所述下级用户进行自动授权。本发明的实施,使上级用户只需行使权限审批权,不必关心权限变更的细节,提高了网络管理系统的智能性;另一方面,下级用户可在网络上申请并在网络上获得上级用户的授权,可实现在线实时授权,提高了授权的效率及灵活性。文档编号G06F17/30GK101374079SQ200810216808公开日2009年2月25日申请日期2008年10月10日优先权日2008年10月10日发明者于洪志,常煜芬申请人:中兴通讯股份有限公司