专利名称:在网络管理系统中的权限控制方法
技术领域:
本发明涉及一种权限控制方法,特别地,涉及一种网络管理系统中的权限控制方法。
背景技术:
在3GPP的网络管理架构中,存在着三层结构,即网元(NE,NetworkElement)、网元管理系统(EMS,Element Management System)以及网络管理系统(NMS,Network Management System)。
其中,网元管理系统对网元进行管理,而网络控制系统则对网元管理系统进行进一步的管理,在网元管理系统和网络管理系统中分别具有多个实体,以便对网元和网络管理系统进行管理。3GPP从逻辑的角度,上述实体是给网元管理系统和网络管理系统定义的若干个集成参考点(IRP,IntegratedReference Point),这些集成参考点在网元管理系统和网络管理系统上分别表现为IRP代理单元(IRP Agent)和IRP管理单元(IRP Manager)。具体地,如图1所示,在网元管理系统中的控制实体称为IRP代理单元(IRP Agent),在网络管理系统(NMS)中的控制实体称为IRP管理单元(IRP Manager)。网元管理系统和网络管理系统之间的接口成为北向接口。
3GPP已经明确定义了诸如通用功能IRP、大数据量配置管理IRP(BulkCM IRP,Bulk Configuration Management IRP)、基本配置管理IRP(Basic CMIRP,Basic Configuration Management IRP)、性能管理IRP(PM IRP,PerformanceManagement IRP)、入口点IRP(EP IRP,Entry Point IRP)以及安全管理IRP(SM IRP,Security Management IRP)等集成参考点。不同的IRP分别对应于不同的管理应用程序,因此如何控制用户对IRP的操作权限是网络管理系统中进行安全管理的一个重要课题。
在现有技术中的安全管理接入控制方法如附图2所示。当IRP Manager访问3GPP的IRP Agent时需要进行如下步骤首先,IRP Manager通过查询对象表获得IRP Agent的地址;然后利用自己存储的用户名和密码调用安全管理IRP(SM IRP)的get_irp_interfaces操作,安全管理IRP(SM IRP)则通过authenticate(user,password)操作并且利用LDAP(Lightweight Directory AccessProtocol,即轻量目录访问协议)完成对IRP Manager的身份验证及相关操作。如果没有通过身份验证,则拒绝IRP Manager对IRP Agent的访问;如果通过身份验证,SM IRP则在get_irp_interfaces操作的返回中输出安全管理IRP所属对象的EP IRP的接口对象引用值。这样IRP Manager就可以通过调用getIRPOutline和getIRPReference操作获得其他对象的标识引用,并开始对IRPAgent的后续操作。
从上述对现有技术方案的描述中可以看出,IRP Manager要利用自己持有的用户名和密码来获取入口IRP(EP IRP)的引用。从而IRP Manager可以对IRP Agent的操作。也就是说,一个IRP Manager一旦获得了某个IRP Agent的EP IRP的引用令牌,就可以执行针对IRP Agent的其他IRP(例如,BULKCM IRP或PM IRP)的所有操作。
因此,当前技术的缺点是该技术方案利用IRP Agent的EP IRP的安全保护来对所有IRP进行保护,从而一个拥有EP IRP的用户名及密码的用户就可以对所有的IRP进行操作,使得系统的安全性较低。
发明内容
针对现有技术中,用户只要获取入口IRP的用户名及密码就可以对所有IRP进行操作从而存在安全性漏洞的缺点,本发明提出了一种可以对网络管理系统中所有IRP操作进行保护的权限控制方法。
本发明提供的在网络管理系统中的权限控制方法包括1)为每个用户分配用户名和密码;2)根据所述用户名和密码设置操作集合;3)当一个用户访问IRP Agent时,IRP Agent对所述用户的用户名和密码进行验证;4)当所述用户的用户名和密码通过验证后,IRP Agent向该用户返回相应的操作集合。
根据上述权限控制方法,所述操作集合包括至少一条使用权索引。其中,所述使用权索引包括目标对象名、接口名和操作名。所述使用权索引还包括操作参数。
所述操作集合还包括关联使用权索引。所述关联使用权索引包括目标对象名、接口名和操作名。所述使用权索引还包括操作参数。
根据上述权限控制方法,步骤2)中设置操作集合进一步包括设置使用权列表,用于设定特定使用权索引所对应的IRP Agent操作权限;设置索引匹配表,用于设定具有特定用户名和密码的用户所具有的使用权。其中,所述使用权列表中的每条记录表示与使用权索引相对应的IRP Agent具体操作;所述索引匹配表中的每条记录表示与用户名和密码相对应的IRPAgent具体操作。
根据上述权限控制方法,还包括当所述用户的用户名和密码没有通过验证时,IRP Agent拒绝用户的访问。
根据上述权限控制方法,在步骤1),为每个用户分配同一个用户名和多个密码,使得所述用户名与各个密码的组合对应于不同的用户权限。
本发明所提供的权限控制方法,IRP Manager对IRP Agent操作的调用权限是基于目标对象名、接口名和操作名,即调用权限的管理是以一个具体的操作为最小权限粒度,甚至以一个被操作参数限定的操作为最小权限粒度。因此,根据所授予的用户名和密码以及相应的使用权索引设置,系统对用户的权限进行了限制,用户只能对网元管理系统中有限的IRP进行相应的操作,提高了网络的安全性。
图1网络管理系统与网元管理系统的接口的结构示意图;图2是现有技术中的网络管理系统的接入控制方法示意图;图3是根据本发明实施例的在网络管理系统中的权限控制方法流程图。
具体实施例方式
在本发明中的网络管理系统中,IRP Manager对IRP Agent操作的调用权限是基于目标对象名、接口名和操作名,即调用权限的管理是以一个具体的操作为最小权限粒度,甚至以一个被操作参数限定的操作为最小权限粒度。更具体地说,在网管接口的安全管理中IRP Manager对IRP Agent访问的帐号(即用户名和密码)所对应的操作使用权表现为若干操作的集合。
下面参考图3并结合表1和表2,通过具体实施例来说明如何使用上述两个列表来保证IRP Manager访问IRP Agent内各个IRP对象的安全性。
图3是根据本发明实施例的在网络管理系统中的权限控制方法的流程图。如图所示,在步骤301,为每个账户设置操作集合。为每个账户设置操作集合的步骤进一步包括对使用权索引的设置和对索引匹配的设置。
在本发明的实施例中,对使用权索引的设置是通过对使用权列表的定义来实现的。首先,在步骤301,设置使用权列表。构造一个使用权列表,如表1所示。该使用权列表包括使用权索引、目标对象名、接口名、操作名和操作参数取值范围五个表项。其中使用权索引用于授权查询,表明了向用户授权操作的最小粒度的编号;目标对象名对应于各个已经定义的具体IRP;接口名表示各个IRP的具体接口;操作名代表了每个接口中的一个操作。操作参数则表示各个IRP操作中包含的输入参数的取值范围。其中,对于有些操作来说可以规定操作参数取值范围,而对于另一些操作来说则没有必要规定具体的操作参数。
例如,对于使用权索引I1所对应的表项,目标对象名是大数据量配置管理IRP,接口名是BulkCMSession,而针对上述目标端口的操作名为StartSession,对于该操作,其操作参数可以是SessionId=“loadType1”或SessionId=“loadType2”。而对于使用权索引I1,其操作参数为SessionId=“loadType1”。而对于权索引Im1所对应的表项,则不需要对操作参数进行规定。
表1然后,在步骤302,设置授权匹配表。构造一个授权匹配列表,如表2所示。授权匹配列表包括的四个表项分别是用户名、密码、使用权索引和关联使用权。用户名和密码是IRP Manager访问IRP Agent必须提供的身份验证字符串。此表中给出的授权列表允许一个用户拥有多个密码,但是不同的密码对应不同的使用权索引。此表中的每个使用权列表示某一对用户名和密码可能拥有的对IRP Agent某个具体操作的使用权限。
其中关联使用权表示当系统给某个用户颁发了一个操作的使用权以后,发现其他某个或者某些操作必须也同时颁发给此用户,否则此用户无法完成规定的操作。例如,对于一个用户,当进行开始某个进程的操作后,很可能还会伴随着终止该进程的操作,因此,终止进程的操作就是开始进程操作的关联使用权。
表2中表示出用户1(User1)、和用户I(Useri)的部分密码及其所对应的使用权索引和关联使用权。在表2中详细描述了用户I的Passwordi,1对应的四个不同的索引,索引的具体值表示对应于表1中的哪个具体使用权,其中前三个索引还有关联索引,最后一个无关联索引。表2中还示出了用户n(Usern)的最后一个密码及其对应的使用权索引和关联使用权。
表2不妨假定IRP Manager和IRP Agent主要存在EP IRP、Bulk CM IRP、FM IRP(Fault Management,即错误及告警管理IRP)、Notification IRP和安全管理IRP。那么IRP Manager将根据如下流程访问IRP Agent并且调用其中的操作。
在步骤303,IRP Agent接收来自IRP Manager的用户名和密码。通过get_irp_interfaces操作,在访问IRP Agent时,IRP Manager提交其持有的经过授权的用户名和密码。所述用户名和密码是由系统分配给各个用户。其中,系统可以为每个用户配置多个密码,根据具体情况向用户分配不同密码,使得用户具有不同的权限。可替换地,系统也可以为每个用户配置多组用户名和密码以使用户得到不同的权限。
在步骤304和步骤305,对上述用户名和密码进行验证。IRP Agent利用IRP Manager提供的用户名和密码查询授权匹配表(即表2)中的记录以验证IRP Manager身份。如果在步骤304,通过查询,没有找到IRP Manager提供的用户名,则认为该用户名无效,如果找到该用户名的表项,则进一步判断与该用户名匹配的密码中是否存在IRP Manager提供的密码,如果不存在,也认为该密码无效。
如果用户名和密码任意一项无效,则转到步骤306,返回异常拒绝IRPManager的访问请求,拒绝IRP Manager访问IRP Agent。如果经过检验,用户名和密码均有效(例如经过验证用户名为Useri,密码为Passwordi,1),则转到步骤307。
在步骤307,初始化用户的使用权索引集合。在本实施例中,初始化的过程就是IRP Agent为当前访问的IRP Manager构造一个空的使用权索引集合Φ={.}。
在步骤308,在授权匹配表中查询新的使用权,这里结合用户i的Passwordi,1对应的几个索引项用于示例说明。IRP Agent在授权匹配表中为当前访问的IRP Manager查找使用权索引,在步骤309,判断是否得到了一个使用权索引,如果未查找到索引,则转到步骤310,向IRP Manager返回使用权索引集合,并在步骤311由IRP Manager执行集合中使用权索引所对应的操作。
如果在步骤309查找到了一个索引,则在步骤312,将该索引添加到使用权索引集合中,接着在步骤313,判断索引表中是否还有关联使用权索引。如果表中没有关联使用权索引,则返回步骤308,查找新的索引。如果存在关联使用权索引,则在步骤314判断该关联使用权索引是否已在使用权索引集合中存在,如果该关联使用权索引已在使用权索引集合中存在,则返回步骤308,查找新的索引;如果该关联使用权索引在使用权索引集合中不存在,则在步骤315,将该关联索引添加到使用权索引集合中。
下面结合具体实施例详细描述,首先得到Ii,1=Im1,在使用权列表中Im1对应告警IRP的AlarmIRPOperation_1接口的GetAlarmList操作,对操作参数没有规定。根据查询结果在集合Φ中添加索引号或者目录项,Φ={Im1}。再判断该索引项是否在授权匹配表中存在关联索引,根据表2,其关联索引为Ii,1r=Im2,在表1中Im2对应警IRP的AlarmIRPOperation_1接口的AcknowledgeAlarms操作,对操作参数没有规定。检查集合Φ是否存在Im2,经判断集合Φ中不存在Im2,于是将Im2添加到集合Φ中,因此,集合Φ={Im1,Im2}。
然后,IRP Agent在授权匹配表中为当前访问的IRP Manager查找下一个使用权索引,得到Ii,2=Ik1,在使用权列表中发现,Ik1对应入口点IRP的EPIRPOperations接口的getIRPOutline操作。并且根据查询结果在集合Φ中添加该索引号,Φ={Im1,Im2,Ik1}。再判断该索引项是否在表2中存在关联索引,其关联索引为Ii,2r=Ik2,在表1中它对应入口点IRP的EPIRPOperations接口的getIRPReference操作。检查集合Φ是否存在Ik2,经判断不存在便添入其中,这时集合Φ={Im1,Im2,Ik1,,Ik2}。
之后,IRP Agent在授权匹配表中为当前访问的IRP Manager查找下一个使用权索引,得到Ii,3=I1,利用I1到使用权表中去匹配发现,它对应大数据量配置管理IRP的BulkCMSession接口中包含的StartSession操作,其中操作参数取值为SessionId=“loadType1”。根据查询结果在集合Φ中添加该索引号或者目录项,Φ={Im1,Im2,Ik1,,Ik2,I1}。再判断该索引项是否在表2中存在关联索引,其关联索引为Ii,3r=I3,在表1中它对应大数据量配置管理IRP的BulkCMSession接口中包含的EndSession操作,其中操作参数取值为SessionId=“loadType1”。检查集合Φ是否存在Ik2,经判断不存在便添入其中,集合Φ={Im1,Im2,Ik1,,Ik2,I1,I3}。
IRPAgent在授权匹配表中为当前访问的IRP Manager查找到最后一个使用权索引In。此使用权索引对应于表1中通知IRP的NotificationIRPManagement接口的Subscribe操作,根据查询结果在集合Φ中添加该索引号或者目录项,Φ={Im1,Im2,Ik1,,Ik2,I1,I3,In}。该使用权索引项在表2中不存在关联索引项。
在查询完所有的使用权索引后,IRP Agent向IRP Manager返回使用权索引集合。
利用所述从IRP Agent返回的使用权索引集合,IRP Manager开始执行使用权索引集合中各个使用权索引所对应的操作。
在本实施例中,首先,IRP Manager利用所述从IRP Agent返回的使用权索引集合可以获知入口点IRP的EPIRPOperations接口的一些操作信息。具体地,所述相关的操作是IRP的EPIRPOperations接口的getIRPOutline和getIRPReference操作。
第二步,IRP Manager分别调用EPIRP的getIRPOutline和getIRPReference操作,从IRP Agent的入口点获取所需的管理域控制对象的概述信息,并获取所需的管理域控制对象的引用值。IRP Agent在使用返回某个管理域控制对象的引用值之前,要查找此对象是否有操作包含在集合Φ中的使用权元素中。只有在集合Φ中的某个元素包含了此对象的操作时,IRP Agent才返回该对象的引用值。
第三步,IRP Manager调用BMIRP的StartSession,开始一个会话,进行数据的配置,IRP Agent在配合进行数据配置前需要验证此IRP Manager的操作是否在集合Φ中。IRP Manager调用BMIRP的EndSession,结束当前会话,IRP Agent在配合终止数据配置前也需要验证此IRP Manager的操作是否在集合Φ中。
第四步,IRP Manager分别调用FMIRP的GetAlarmList和AcknowledgeAlarms,获取告警并进行确认。最后IRP Manager调用NotificationIRP的Subscribe操作以订阅一些通知,并等待通知的到来。IRPAgent配合此步骤,在进行该步骤内的相关操作前也需要验证IRP Manager的这些操作是否在集合Φ中。
以上所述的本发明实施方式,并不构成对本发明保护范围的限定。任何在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的权利要求保护范围之内。
权利要求
1.一种在网络管理系统中的权限控制方法,其特征在于,包括1)为每个用户分配用户名和密码;2)根据所述用户名和密码设置操作集合;3)当一个用户访问IRP Agent时,IRP Agent对所述用户的用户名和密码进行验证;4)当所述用户的用户名和密码通过验证后,IRP Agent向该用户返回相应的操作集合。
2.根据权利要求1所述的权限控制方法,其特征在于,所述操作集合包括至少一条使用权索引。
3.根据权利要求2所述的权限控制方法,其特征在于,所述使用权索引包括目标对象名、接口名和操作名。
4.根据权利要求3所述的权限控制方法,其特征在于,所述使用权索引还包括操作参数。
5.根据权利要求2所述的权限控制方法,其特征在于,所述操作集合还包括关联使用权索引。
6.根据权利要求5所述的权限控制方法,其特征在于,所述关联使用权索引包括目标对象名、接口名和操作名。
7.根据权利要求6所述的权限控制方法,其特征在于,所述使用权索引还包括操作参数。
8.根据权利要求1所述的权限控制方法,其特征在于,其中,步骤2)中设置操作集合进一步包括设置使用权列表,用于设定特定使用权索引所对应的IRP Agent操作权限;设置索引匹配表,用于设定具有特定用户名和密码的用户具有的使用权。
9.根据权利要求8所述的权限控制方法,其特征在于,所述使用权列表中的每条记录表示与使用权索引相对应的IRP Agent具体操作;所述索引匹配表中的每条记录表示与用户名和密码相对应的IRP Agent具体操作。
10.根据权利要求1所述的权限控制方法,其特征在于,还包括当所述用户的用户名和密码没有通过验证时,IRP Agent拒绝用户的访问。
11.根据权利要求1所述的权限控制方法,其特征在于,在步骤1),为每个用户分配同一个用户名和多个密码,使得所述用户名与各个密码的组合对应于不同的用户权限。
全文摘要
本发明提供了一种在网络管理系统中的权限控制方法,包括为每个用户分配用户名和密码;根据所述用户名和密码设置操作集合;当一个用户访问IRP Agent时,IRP Agent对所述用户的用户名和密码进行验证;当所述用户的用户名和密码通过验证后,IRP Agent向该用户返回相应的操作集合。根据所授予的用户名和密码以及相应的使用权索引设置,系统对用户的权限进行了限制,用户只能对网元管理系统中有限的IRP进行相应的操作,提高了网络的安全性。
文档编号H04L12/24GK101051934SQ20061007493
公开日2007年10月10日 申请日期2006年4月5日 优先权日2006年4月5日
发明者王学龙 申请人:大唐移动通信设备有限公司