一种基于多用户权限的存储资源管理方法及系统的制作方法
【技术领域】
[0001]本发明涉及存储资源管理技术领域,特别是涉及一种基于多用户权限的存储资源管理方法及系统。
【背景技术】
[0002]当今,通常只设置超级用户一人对存储资源系统进行管理,这种管理方法虽然便于系统配置和维护,但存在许多安全隐患:超级用户在存储资源管理系统中的权限不受限制,其可以对存储资源系统进行任意操作。在这种情况下,一旦超级用户出于某种目的对存储资源管理系统进行非法操作,容易造成一些不可挽回的损失。
【发明内容】
[0003]有鉴于此,本发明提供了一种基于多用户权限的存储资源管理方法及系统,以解决现有技术中超级用户在存储资源管理系统中的权限不受限制,其可以对存储资源系统进行任意操作的技术问题。
[0004]为解决上述技术问题,本发明提供一种基于多用户权限的存储资源管理方法,包括:
[0005]接收客户端发送的操作请求;所述操作请求包括操作内容、用户角色以及签名信息,所述签名信息包括与所述用户角色对应的操作权限,所述用户角色包括用户管理员或者审计管理员;
[0006]判断预设签名数据库中是否存在所述签名信息;
[0007]当判定所述预设签名数据库中存在所述签名信息时,判断所述操作内容是否在所述签名信息中的操作权限范围内,如果在,则执行与所述操作内容对应的操作动作;
[0008]当判定所述预设签名数据库中没有所述签名信息时,向所述客户端返回权限错误的提示信息。
[0009]优选的,在接收客户端发送的操作请求之前,还包括:
[0010]接收所述用户在所述客户端的登录信息;
[0011]确定所述用户所属的用户角色,生成与所述用户角色对应的所述签名信息;
[0012]向所述客户端发送所述签名信息。
[0013]优选的,在生成与所述用户角色对应的所述签名信息之后,还包括:
[0014]将所述签名信息存储至所述预设签名数据库中。
[0015]优选的,
[0016]接收所述用户管理员的客户端发送的新用户创建请求;
[0017]当判定创建新用户的操作内容在所述用户管理员的操作权限范围内时,创建新用户,并向所述审计管理员的客户端发送所述新用户的权限申请。
[0018]优选的,在向所述审计管理员的客户端发送所述新用户的权限申请之后,还包括:
[0019]接收所述审计管理员的客户端发送的权限申请确认请求;
[0020]当判定权限申请确认的操作内容在所述审计管理员的操作权限范围内时,判断为所述新用户确认的权限是否合法,如果合法,则为所述新用户分配所述审计管理员确认的权限,否则,向所述审计管理员的客户端发送权限申请非法错误的提示信息。
[0021]本发明还提供了一种基于多用户权限的存储资源管理系统,包括:
[0022]操作请求接收单元,用于接收客户端发送的操作请求;所述操作请求包括操作内容、用户角色以及签名信息,所述签名信息包括与所述用户角色对应的操作权限,所述用户角色包括用户管理员或者审计管理员;
[0023]签名信息判断单元,用于判断预设签名数据库中是否存在所述签名信息;
[0024]操作内容执行单元,用于当判定所述预设签名数据库中存在所述签名信息时,判断所述操作内容是否在所述签名信息中的操作权限范围内,如果在,则执行与所述操作内容对应的操作动作;当判定所述预设签名数据库中没有所述签名信息时,向所述客户端返回权限错误的提示信息。
[0025]以上本发明提供的一种基于多用户权限的存储资源管理方法及系统中,用户角色至少包括一个用户管理员和一个审计管理员,根据用户角色为其分配不同的操作权限,该方法具体包括:服务端接收客户端发送的操作请求;所述操作请求包括操作内容、用户角色以及签名信息,所述签名信息包括与所述用户角色对应的操作权限;判断预设签名数据库中是否存在所述签名信息;当判定所述预设签名数据库中存在所述签名信息时,判断所述操作内容是否在所述签名信息中的操作权限范围内,如果在,则执行与所述操作内容对应的操作动作。以上技术方案中,对存储资源管理系统的管理员设置多种用户角色,限制各种角色管理员的权限,实现了权限的分离,有效解决了现有技术中超级用户在存储资源管理系统中的权限不受限制,其可以对存储资源系统进行任意操作的技术问题,进而从根源上有效阻止了管理员出于某种不好的目的而进行非法操作的行为。
【附图说明】
[0026]为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
[0027]图1为本发明一种基于多用户权限的存储资源管理方法实施例1的流程图;
[0028]图2为本发明一种基于多用户权限的存储资源管理方法实施例1中的多用户权限示意图;
[0029]图3为本发明一种基于多用户权限的存储资源管理方法实施例2的流程图;
[0030]图4为本发明一种基于多用户权限的存储资源管理系统实施例1的结构框图示意图。
【具体实施方式】
[0031]下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0032]本发明的核心是提供一种基于多用户权限的存储资源管理方法及系统,以解决现有技术中超级用户在存储资源管理系统中的权限不受限制,其可以对存储资源系统进行任意操作的技术问题。
[0033]为了使本技术领域的人员更好地理解本发明方案,下面结合附图和【具体实施方式】对本发明作进一步的详细说明。
[0034]实际应用中,对存储资源系统的管理是基于用户使用的存储管理客户端(简称客户端)与存储管理服务端(简称服务端)之间的交互实现的,参考图1,示出了本发明一种基于多用户权限的存储资源管理方法实施例1的流程图,该方法是从服务端的角度来阐述的(实际上其中也体现客户端的内容),该方法具体可以包括如下步骤:
[0035]步骤S100、接收客户端发送的操作请求;
[0036]本发明中,操作请求包括操作内容、用户角色以及签名信息,签名信息包括与用户角色对应的操作权限,用户角色包括用户管理员或者审计管理员;
[0037]本发明在三权分立的管理机制基础上,将存储管理系统的功能进行分组,每组功能对应一种权限,根据用户角色为用户配置功能权限,一个用户可以拥有多种权限。简单地说,请参考图2,每组功能和与其对应的权限之间的关系类似现实世界中锁和钥匙的关系,每组功能对应一把锁,该组功能的权限对应钥匙,必须有钥匙才能使用这组功能。
[0038]实际应用中,存储管理系统按功能分为资源管理、主机管理、设备健康管理、系统基本管理、用户管理、用户权限管理、审计信息管理,分别对应权限Resource、Host、Health、System、User、Audit。设置三种管理员角色系统管理员、用户管理员、审计管理员,存储管理系统初始时至少存在一个用户管理员和一个审计管理员,用户管理员拥有User权限,审计管理员拥有Audit权限。对于系统管理员角色,可以由用户管理员和审计管理员共同创建并授权,这在后文中会有相关叙述。
[0039]实际应用中,存储管理系统客户端与服务端之间的通信协议可以采用HTTP协议。
[0040]步骤S101、判断预设签名数据库中是否存在签名信息;当判定预设签名数据库中存在签名信息时,进入步骤S102,当判定预设签名数据库中没有签名信息时,进入步骤S104 ;
[0041]步骤S102、判断操作内容是否在签名信息中的操作权限范围内,如果在,则进入步骤S103,如果不在,则进入步骤S104 ;
[0042]步骤S103、执行与操作内容对应的操作动作;
[0043]步骤S104、向客户端返回权限错误的提示信息。
[0044]以上技术方案中,对存储资源管理系统的管理员设置多种用户角色,限制各种角色管理员的权限,实现了权限的分离,能够对安全责任事故进行追踪,有效解决了现有技术中超级用户在存储资源管理系统中的权限不受限制,其可以对存储资源系统进行任意操作的技术问题,进而从根源上有效阻止了管理员出于某种不好的目的而进行非法操作的行为。
[0045]基于上述本发明公开的技术方案,在本发明提供了一种基于多用户权限的存储资源管理方法实施例2中,对于上述技术方案涉及到的签名信息,其是在服务端接收客户端发送的操作请求之前,用户通过存储管理客户端成功登录存储管理系统后,存储管理服务端在存储系统中生成与该用户对应的签名信息,并将签名返回给用户,相关具体内容请参考图3:
[0046]步骤S300、接收用户在客户端的登录信息;
[0047]步骤S