专利名称:在设备管理中访问权限的控制方法
技术领域:
本发明涉及网络通讯领域,更具体地涉及一种设备管理中访问 权限控制的实现方法。
背景技术:
随着现代通讯技术的发展,特别是lt据业务的蓬勃兴起,移动 终端的数量越来越多,所支持的数据业务也越来越复杂,需要更强 的终端管理能力。良好的终端管理可以解决数据业务的复杂性和数 据业务对终端的依赖性等问题,更好的优化用户体验,更好的推广 数据业务。OMA (Open Mobile Alliance开放移动联盟)国际标准化组织 制订DM ( Device Management终端管理)范,从而提供了 一种更 方更、更有效、更快捷的手段来管理维护移动终端。它通过OTA (Over The Air空中下载)的方式^"移动终端进4亍相应的参凄丈配置、 软件下载更新和故障修复等,同时还能提供移动终端业务的使用情 况和网络覆盖等重要信息。DM规范通过SyncML协议来实现。当前的DM头见范中^是供了 MO ( Management Object管理对象) 的访问控制方法对MO中的每个Node (节点)都定义了相应的操 作片又限,只有在这个范围内的才乘作命令才会被终端接受,而在这个 范围外的操作命令则会被终端拒绝。但是规范中还未提供相应的方 法来定义具体哪一个DM服务器能拥有这些操作权限,而是默认所有的DM服务器都拥有同样的操作权限。这样就会存在问题。例如, DM服务器1在某个终端上定义了一个名字叫做"apl"的接入点。 在目前的机制下,其他任何一个DM服务器,如DM服务器2、 3 都拥有对接入点"apl"的完全操作权限,可以不受限制的进行修改、 删除4喿作。在这种情况下,DNO良务器1就无法得知该接入点"apl" 的配置是否正常,其他使用到该接入点的应用也可能出现问题。此外,管理对象中每个节点的操作权限都已经固化在终端中, 并且现有规范未提供动态修改节点操作纟又限的方法。在这种情况下, 如果终端某个节点的操作权限需要修改,那么必须对终端进行召回 升级,对用户、对运营商、对终端厂家都会造成时间和金钱上的损 失。发明内容考虑到上述问题而做出本发明,为此本发明的主要目的在于提 供一种在i殳备管理中访问权限的控制方法。为了实现上述目的,根据本发明的一个方面,提供了在设备管 理中访问4又限的控制方法,该方法包4舌以下步骤在协i义头增加终 端管理服务器标签,为管理对象的每个节点均增加节点创建者标签 和与其对应的第 一操作权限标签;终端管理服务器将节点创建者标签和第一操作权限标签发送给终端,并由终端获取终端管理服务器 标签;如果节点创建者标签与终端管理"良务器标签一致,则在第一 操作权限标签所标识的纟喿作权限内对相应的管理对象的节点进4亍权 限分配;以及在访问方具有访问权限的情况下,对访问权限进行控制。在该方法中,访问方包括服务器和终端。服务器的访问权限的 控制包括以下步骤为管理对象的每个节点均增加节点操作者标签和与其对应的第二操作权限标签,并将这两个标签存储在终端管理服务器上;以及终端管理服务器将终端管理服务器标签与节点操作者标签进行比较,并根据比较结果进行访问权限控制。如果终端管理服务器标签与节点操作者标签一致,则终端管理服务器将在第二操作权限标签所标识的才乘作权限内的操作命令下发到终端。如果终端管理服务器标签与节点操作者标签不一致,则终端管理服务器撤 销操作命令。此外,在该方法中,对服务器的访问权限的控制包括以下步骤 为管理对象的每个节点均增加节点操作者标签和与其对应的第二操 作权限标签,并将这两个标签存储在终端管理服务器上;终端管理 服务器将节点操作者标签和第二操作权限标签发送给终端,并由终 端获取终端管理服务器标签;以及终端将终端管理服务器标签与节 点操作者标签进行比较,并根据比较结果进行访问权限控制。如果 终端管理服务器标签与节点操作者标签一致,则终端执行在第二操 作权限标签所标识的操作权限内的操作。如果终端管理服务器标签 与节点操作者标签不一致,则终端拒绝冲丸行操作命令。此外,在该方法中,终端管理服务器标签为终端管理服务器的 域名,节点创建者标签的取值为一个,并且节点操作者标签的取值 为一个或多个。并且节点创建者标签的取值为其上级节点的取值或 设定值。因此,通过本发明的上述方面,能够进行灵活多变的访问权限 控制,可以通过管理对象静态分配权限,也可以通过SyncML命令 动态分配权限,能够支持DM服务器端验证和终端验证两种机制, 从而可靠、安全、简单的实现终端管理支持灵活多变的访问权限, 提供多重验证。本发明的其它特4正和优点将在随后的i兌明书中阐述,并且,部 分地从说明书中变得显而易见,或者通过实施本发明而了解。本发 明的目的和其他优点可通过在所写的说明书、权利要求书、以及附 图中所特别指出的结构来实现和获得。
附图用来提供对本发明的进一步理解,并且构成说明书的 一部 分,与本发明的实施例一起用于解释本发明,并不构成对本发明的限制。在附图中图1是示出了根据本发明实施例的在设备管理中访问权限的控 制方法的流程图;图2是示出了#4居本发明实施例的管理对象节点创建者分配该 节点的操作权限的流程图;图3是示出了根据本发明实施例的服务器端访问权限控制的流 程图;图4是示出了冲艮据本发明实施例的终端访问斥又限控制的流程图。
具体实施方式
以下结合附图对本发明的优选实施例进行i兌明,应当理解,此 处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本 发明。在本实施例中,提供了在设备管理中访问权限的控制方法。如 图1所示,示出了根据本发明实施例的在设备管理中访问权限的控制方法的流程图,它包括以下步骤步骤SIOO,在协议头增加终端 管理服务器标签,为管理对象的每个节点均增加节点创建者标签和 与其对应的第一操作权限标签;步骤S102,终端管理服务器将节点 创建者标签和第 一操作权限标签发送给终端,并由终端获取终端管 理服务器标签;步骤S104,如果节点创建者标签与终端管理服务器 标签一致,则在第 一操作权限标签所标识的操作4又限内对相应的管 理对象的节点进行权限分配;以及步骤S106,在访问方具有访问权 限的情况下,对访问4又限进行控制。在该方法中,访问方包括服务器和终端。服务器的访问权限的 控制包括以下步骤为管理对象的每个节点均增加节点操作者标签 和与其对应的第二操作权限标签,并将这两个标签存储在终端管理服务器上;以及终端管理服务器将终端管理服务器标签与节点操作 者标签进行比较,并根据比较结果进行访问权限控制。如果终端管 理服务器标签与节点操作者标签一致,则终端管理服务器将在第二 操作权限标签所标识的操作权限内的操作命令下发到终端。如果终 端管理服务器标签与节点操作者标签不一致,则终端管理服务器撤 销操作命令。此外,在该方法中,对服务器的访问权限的控制包括以下步骤 为管理对象的每个节点均增加节点操作者标签和与其对应的第二操 作权限标签,并将这两个标签存储在终端管理服务器上;终端管理 服务器将节点操作者标签和第二操作权限标签发送给终端,并由终 端获取终端管理服务器标签;以及终端将终端管理服务器标签与节 点操作者标签进行比较,并根据比较结果进行访问权限控制。如果 终端管理服务器标签与节点操作者标签一致,则终端执行在第二操 作权限标签所标识的操作权限内的操作。如果终端管理服务器标签 与节点操作者标签不一致,则终端拒绝执行操作命令。此外,在该方法中,终端管理服务器标签为终端管理服务器的 域名,节点创建者标签的取值为一个,并且节点操作者标签的取值 为一个或多个。并且节点创建者标签的取值为其上级节点的取值或 设定值。根据本发明的又一实施例,其中,(a)在DM (终端管理)会 话中协议头增加标签〈ServerlDx/ServerlD〉(即DM服务器标识标 签),用来唯一标识与此次会话相关的DM服务器;(b)为管理对 象的每个节点增加标签〈OwnerX/Owner〉(即节点创建者标签),标 识创建这个节点的DM月良务器,只于应的〈AccessTypex/AccessType〉(即操作权限标签)标签标识该DM服务器对该节点所拥有的操作 4又限;(c)为管理对象的每个节点增力口才示签Operatorx/Operator〉(即节点操作者标签),标识能够操作该节点的DM服务器,对应 的〈AccessTypex/AccessType〉(即才喿作4又卩艮标签)才示签才示i只该DM 服务器对该节点所拥有的操作权限。此外,DM会话可以由终端主动发起或者由DM服务器发起。 由终端主动发起时〈ServerlDx/ServerlD〉取值为目标DM服务器, 由DM月良务器发起时则取值为自身。并且〈ServerlDx/ServerlD〉一 般i殳置为DM服务器的域名。另外,管理;寸象节点的标签 <Owner></Owner>可以不出i见,此时i亥节点继岸义其父节点中 <Owner〉</Owner〉的取值,如果在父节点中仍然没有出现,那么应 该一直上溯。管理对象节点的标签〈Ownerx/Ownei^如果出现,那 么只能出现l次,表示该节点只有唯一的创建者。同时,只有管理 对象节点的创建者才能够分配其他DM月良务器对该节点的才喿作权 限,且只能分配创建者自身已有的权限。管理对象节点的标签 〈Operatorx/Operator〉可以不出玉见,此时该节点不允许4壬4可创建者 以外的其他DM月良务器操作。但是,管理只于象节点的标签 〈Operatorx/Operator〉可以出5见多次,jt匕时该节点允"i午多个创建者 以夕卜的其他DM服务器才乘作。管理对象节点标签〈Operatorx/Operator〉可以取{直为"Others",此时才示"i只除节点创建 者以外的所有DM服务器。另外,管理对象节点信息同时保存在 DM服务器和终端上,从而可以在DM月良务器端和终端都进行访问 权限控制。通过在管理对象节点中增加相应的标签,可以实现静态分配权 限。例如,某l欠乡冬端出厂时,其节点PxAddr可以包含如下标签<Owner>www.dm.com</Owner><AccessType><Add/〉<Get/></AccessType>通过增加这些标签,可以得到如下^f言息节点PxAddr的创建 者是DM服务器"www.dm.com",它能够在这个节点上进行增加 (Add)操作、查询(Get)操作。静态权限分配完成后,管理对象节点创建者还能够通过 SyncML命令动态分配操作权限。管理对象节点创建者分配#:作权限前置条件1. DM月l务器创建节点PxAddr;2. DM服务器通过Add命令下发如下内容 <Operator〉www.dm 1 .com</Opemtor><AccessType>Replace</AccessType〉图2是示出了根据本发明实施例的管理对象节点创建者分配该 节点的操作权限的流程图,在接收到该命令后,终端执行步骤如图 2所示步骤S200,从SyncML协i义头中获取〈ServerlDx/ServerlD〉的 取值;步骤S202,判断是否为该节点的创建者。如果不是创建者,那 么执行失败。如果是创建者,那么继续4丸行后续步骤;步骤S204,判断要分配的权限是否属于创建者。如果不属于创 建者,那么返回执行失败。如果属于创建者,那么继续执行后续步 骤;步骤S206,执行命令,重新分配节点的操作片又限。PxAddr节 点的才喿作4又限估文如下改动赋予DM月1务器"www.dml.com"》务改 (Replace)权限;执行成功,返回命令执行结果。在管理对象节点操作权限分配完成后,所有DM服务器在下发 操作命令时,都需要进行操作权限判断。对服务器端访问权限控制前置条件1. DM服务器上保存有终端的管理对象节点信息;2. 管理对象节点访问4又限已经分配;图3是示出了根据本发明实施例的服务器端访问权限控制的流 程图。如图3所示,它包括以下步骤步骤S300, DM服务器下发操作命令,触发访问权限控制;步骤S302, 4艮据已经保存的管理节点访问斥又限信息,判断该 DM服务器是否有执行该操作命令的权限;步骤S304,如果该DM服务器没有相应的权限,那么撤销该操 作命令,不会下发到终端;如果该DM月良务器有相应的权限,那么 操作命令将下发到终端。在管理对象节点操作权限分配完成后,所有终端在收到DM服 务器下发的操作命令时,都需要进行操作权限判断。对终端访问;f又限控制前置条件1. 终端上保存管理对象节点信息;2. 管理对象节点访问权限已经分配。图4是示出了根据本发明实施例的终端访问4又限控制的流程 图。如图4所示,它包^"以下步"^:步骤S400,终端收到DM服务器下发的操作请求;步-骤S402,终端获取DM月l务器的〈ServerlDx/ServerlD〉信息, 以及将要执行的才喿作命令,触发访问权限控制;步骤S404,根据保存的管理节点权限信息,判断DM服务器是 否有执行该操作命令的权限;步骤S406,如果DM服务器没有执行该操作命令的权限,那么 终端拒绝执行该操作命令;如果DM服务器拥有执行该操作命令的 权限,那么终端执行该才喿作命令。综上所述,借助于本发明的上述技术方案,能够进行灵活多变 的访问4又限控制,可以通过管理对象静态分配4又限,也可以通过 SyncML命令动态分配权限,能够支持DM服务器端验证和终端验 证两种机制,从而可靠、安全、简单的实现终端管理支持灵活多变 的访问权限,提供多重-验证。以上所述^又为本发明的优选实施例而已,并不用于限制本发明, 对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在 本发明的精神和原则之内,所作的任何修改、等同替换、改进等, 均应包含在本发明的保护范围之内。
权利要求
1.一种在设备管理中访问权限的控制方法,其特征在于,包括以下步骤在协议头增加终端管理服务器标签,为管理对象的每个节点均增加节点创建者标签和与其对应的第一操作权限标签;终端管理服务器将所述节点创建者标签和所述第一操作权限标签发送给终端,并由所述终端获取所述终端管理服务器标签;如果所述节点创建者标签与所述终端管理服务器标签一致,则在所述第一操作权限标签所标识的操作权限内对相应的管理对象的节点进行权限分配;以及在访问方具有访问权限的情况下,对所述访问权限进行控制。
2. 才艮据权利要求1所述的控制方法,其特征在于,所述访问方包 括服务器和终端。
3. 根据权利要求2所述的控制方法,其特征在于,对服务器的访 问权限的控制包括以下步骤为所述管理对象的每个节点均增加节点操作者标签和与 其对应的第二操作权限标签,并将这两个标签存储在所述终端 管理服务器上;以及所述终端管理服务器将所述终端管理服务器标签与所述 节点操作者标签进行比较,并根据比较结果进行访问权限控 制。
4. 根据权利要求3所述的控制方法,其特征在于,如果所述终端 管理服务器标签与所述节点操作者标签一致,则所述终端管理 服务器将在所述第二操作权限标签所标识的操作权限内的操 作命令下发到所述终端。
5. 根据权利要求3所述的控制方法,其特征在于,如果所述终端 管理服务器标签与所述节点操作者标签不一致,则所述终端管 理服务器撤销操作命令。
6. 根据权利要求2所述的控制方法,其特征在于,对服务器的访 问权限的控制包括以下步骤为所述管理对象的每个节点均增加节点操作者标签和与 其对应的第二操作权限标签,并将这两个标签存储在所述终端 管理服务器上;所述终端管理服务器将所述节点操作者标签和所述第二 操作权限标签发送给所述终端,并由所述终端获取所述终端管 理月良务器标签;以及所述终端将所述终端管理服务器标签与所述节点操作者 标签进行比较,并根据比较结果进行访问权限控制。
7. 根据权利要求6所述的控制方法,其特征在于,如果所述终端 管理服务器标签与所述节点操作者标签一致,则所述终端执行 在所述第二操作权限标签所标识的操作权限内的操作。
8. 根据权利要求6所述的控制方法,其特征在于,如果所述终端 管理服务器标签与所述节点操作者标签不一致,则所述终端拒 绝执行操作命令。
9. 根据上述权利要求任一项所述的控制方法,其特征在于,所述 终端管理服务器标签为所述终端管理服务器的域名,所述节点 创建者标签的取值为一个,并且所述节点操作者标签的取值为 一个或多个。
10. 根据权利要求9所述的控制方法,其特征在于,所述节点创建 者标签的取值为其上级节点的取值或设定值。
全文摘要
本发明公开了在设备管理中访问权限的控制方法,该方法包括以下步骤在协议头增加终端管理服务器标签,为管理对象的每个节点均增加节点创建者标签和与其对应的第一操作权限标签;终端管理服务器将节点创建者标签和第一操作权限标签发送给终端,并由终端获取终端管理服务器标签;如果节点创建者标签与终端管理服务器标签一致,则在第一操作权限标签所标识的操作权限内对相应的管理对象的节点进行权限分配;以及在访问方具有访问权限的情况下,对访问权限进行控制。通过本发明能够进行灵活多变的访问权限控制,可靠、安全、简单地实现终端管理支持灵活多变的访问权限,提供多重验证。
文档编号H04Q7/38GK101330500SQ200710112780
公开日2008年12月24日 申请日期2007年6月18日 优先权日2007年6月18日
发明者左雄辉 申请人:中兴通讯股份有限公司