专利名称:一种通信系统中多用户权限的管理方法和系统的制作方法
技术领域:
本发明涉及通信系统中的用户权限管理技术领域,更具体的说,是一 种对多用户访问公共资源的权限进行管理的方法。
背景技术:
在现有的通信系统中,采用如图l所示的结构,其特点是通讯控制器 可以连接多个系统用户,通讯控制器管理内部或外部的多个系统资源,多 个用户不可同时控制同 一 系统资源,通讯控制器管理用户与系统资源之间 的通信,此类系统不可避免会存在多用户冲突的问题。另外在大多数通信 系统中,系统资源的访问4又限可能具有多种,例如读权限、写权限等,不 同用户可能具有一个或多个系统资源的部分或者全部权限,这就需要通讯 控制器对多用户访问进行管理时必须进行区分。
目前现有的多用户权限控制方法一般是用户与此用户对某一 系统资源 的权限进行关联,通过对用户进行身份验证后查询此用户是否对所请求的 资源拥有指定权限,此类方法在权限管理上均是以用户为中心,在实际应
用中存在中间过程较多、权限管理不够灵活等问题;申请号为02158296.3 的专利《一种多用户访问权限控制的实现方法》,介绍了一种由用户端进 行访问控制、主机进行权限管理的方法,其缺点是l、用户对系统资源实行 独占式使用,不能对系统资源的权限进行细分,如读、写权限等;2、系统 资源未被使用时才能由多用户按优先级顺序占用,任何用户不论优先级高 低在资源已被占用后都无法抢占该资源;3、对用户权限管理方式单一,只 能利用优先级方式进行管理。申请号为20071019卯43.7的专利《一种监控系统中用户权限的管理方 法》,介绍了一种对用户进行分组,以用户组为单位进行权限控制的方法, 其缺点为1、用户权限为事先分配,不灵活,不能根据实际资源状况动态更 改;2、同一个用户不能同时拥有任意的多个用户组的权限;现有技术中描 述的多用户权限管理方法在实际应用中存在操作过程较多、权限管理不灵 活等缺陷,所以有待改进。
发明内容
本发明的目的是,针对上述现有技术存在的缺陷提供了一种操作过程 简单、适应性和扩展性强的多用户权限管理方法和系统。 本发明的技术方案如下
一种通信系统中多用户权限的管理方法,其中,包括如下步骤
A、 预先定义操作管理规则,将所述规则内置于通讯控制器;
B、 用户向所述通讯控制器发出申请权限的指令,所述通讯控制器 判断所述用户是否通过所述权限的申请,是,申请通过,将所述用户添加 到所述用户申请的所述权限的用户列表中,否则申请失败;
C、 所述用户向所述通讯控制器发出释》文4又限指令,所述通讯控制器 从所述用户申请的所述权限的用户列表中删除所述用户。
所述的方法,其中,所述步骤B和步骤C之间还包括如下步骤 所述用户根据申请所获得的所述权限向系统资源发出操作指令,对所 述系统资源进行操作。
所述的方法,其中,所述步骤B具体包括
Bl、所述用户发出申请权限的指令,所述权限是多个系统资源的其中 之一或多个资源所包括的其中之一权限或多种权限,所述用户 一次申请系 统资源中的其中一个或多个资源的一种或多种权限;
B2、所述通讯控制器根据所述规则和所述用户的当前状态判断所述用户是否通过所述权限的申请,如果通过,申请成功,将申请权限成功的用 户添加到用户列表中,所述用户列表是用户申请所述权限对应的用户列表 并通知所述用户^又限申i青成功。
所述的方法,其中,根据所述权限向系统资源发出所述操作指令具体
包括如下处理
所述用户对申请的用户权限成功后,向系统资源发出所述操作指令; 所述通讯控制器^:查所述用户申请的所述权限对应的所述用户刮表是 否包含所述用户,如果包含所述用户,所述通讯控制器对所述系统资源发 出所述操作指令并通知所述用户操作成功,否则通知所述用户无操作权限, 结束操作。
所述的方法,其中,所述步骤C具体包括 Cl、所述用户完成所述系统资源的操:作,发出释放;t又限的指令; C2、所述通讯控制器检查所述用户申请的所述权限对应的所述用户列 表是否包含所述用户,是,从所述用户列表中删除所述用户; C3、通知所述用户释放操作成功。
所述的方法,其中,所述用户的权限检查由所述通讯控制器自动进行。 所述的方法,其中,所述规则是通过逻辑计算得到的逻辑表达式。 所述的方法,其中,所述逻辑表达式的结果包括逻辑值为真或^f叚,所 述通讯控制器根据所述逻辑值的结果判断所述规则检查是否通过。
一种通信系统中多用户权限管理系统,包括通讯控制器,所述通讯控 制器分别连接至少一个内部和外部的系统资源以及用户,用于对所述用户 的权限进行检查,其中,所述通讯控制器包括用户接入模块,权限控制模 块,规则库模块,其中,所述用户接入模块,用于管理所述用户的接入和 离开,并向所述权限控制模块提供所述用户的识别信息;所述规则库模块, 用于内置所述操作管理规则;所述权限控制模块,用于根据所述规则库模 块内的操作管理规则对权限进行管理。所述的系统,其中,所述通讯控制器还包括系统资源接入模块,所述 系统资源接入模块,用于管理系统资源的可用状态并收集所述系统资源的 信息提供给所述权限控制模块。
本发明的有益效果为采用本发明的通信系统中多用户权限管理方法 和系统,用户根据实际需要的权限进行申请,通讯控制器根据预先指定的
与权限有关的操作只有申请和释放权限两个,其他操作对用户透明,权限 检查由通讯控制器自动进行,所以操作流程简单,并且权限管理规则可根 据实际需要进行动态变更,适应性和扩展性强。
图1为现有技术一般通信系统的结构示意图2为本发明用户申请资源权限过程示意图3为本发明用户申请资源权限过程另一实施例图4为本发明用户操作过程示意图5为本发明用户释放资源权限过程示意图6为本发明实施例中网络系统资源卡控制器结构图。
具体实施例方式
本发明提供了 一种通信系统中多用户权限管理的方法,为使本发明的 目的、技术方案及优点更加清楚、明确,以下参照附图并举实施例对本发 明进一步详细说明。
为了解决在通信系统中多用户权限管理过程中所存在的操作过程复杂 和权限管理不灵活等问题,本发明提供了 一种通信系统中对多用户访问权 限进行动态管理的方法,该方法的核心思想包括以公共资源所具有的权 限为基准,运用外部可更改的MJ'J管理公共资源的权限,动态的维护用户与公共资源的权限之间的对应关系;其特点是以资源的权限为核心,用户 访问资源前必须先申请相应权限,用户访问资源的所有操作由系统的通讯 控制器进行权限检查以保证安全性,通讯控制器按照内置的规则动态给予 或更改用户实际得到的权限。
在本发明中用户未申请权限前没有任何权限,新用户被默认为没有任
何资源的任何权限;系统资源具有一种或多种权限,多种权限指对系统资
源做出某种操作所需的权限,例如文件的可读权限,可写权限,可执行权
限等;每种权限拥有一个具有该;f又限的用户列表,申请该权限成功的用户 即被加入此列表中;用户对任何系统资源的操作都会由通讯控制器先检查 是否拥有相应权限,如果拥有就执行相应4喿作,否则拒绝;用户离开通讯 控制器时必须释放其拥有的所有权限;用户在不需要使用某一资源时可释 放其所拥有的该资源的部分或所有权限;用户申请资源权限时根据预先定 义的规则进行判断是否给予该用户所请求的权限。
其中预先定义的MJ'J是灵活多变的,可以是任何能通过逻辑计算从而 判断通过或不通过的逻辑表达式,该逻辑表达式由通讯控制器中定义的各 种参数(变量),规则中的常数以及逻辑运算符构成,具体的参数由具体 的应用决定,每一个参数具有唯一的字符串名称,通讯控制器根据规则中 指定的参数名称获取参数的值参与逻辑运算,根据运算的结果真或假,决 定该规则检查是否通过。本发明中预先定义的规则表现为规则检查的通过 或不通过两种状态,例如当规则为某一资源允许的最大读取用户数为10, 则当前该资源的读取权限允许用户列表中用户个数超过10时该规则不通 过,用户个数不超过10时该规则通过。当规则中需要使用优先级时,规则 中必须定义用户的优先级列表用来指定某一用户所属的优先级。
逻辑计算是计算机科学中的通用术语,指使用逻辑运算符来计算,逻 辑计算的结果只有真和假两个;而逻辑表达式也是计算机科学的通用术语, 是指使用逻辑计算符如大于、小于、与、或、非等构成的算术表达式,其结果是逻辑值即真或假。将逻辑表达式作为判断条件是本领域的技术人员 熟知的技术,此处不再描述。
图2为本发明的用户申请一个资源的一种权限的过程示意图,当用户 需要某一资源的某种操作权限时,必须向通讯控制器申请该权限,下面参 见附图2对本发明的方法具体步骤进行描述,其中
步骤201、用户曱向通讯控制器发出请求命令,该命令是请求资源1 所属的权限A,资源1是系统资源中多个资源的其中之一资源,权限A是 多个权限的其中之一权限;
步骤202、通讯控制器从预先定义的规则中请求资源1的权限A相对 应的规则以及资源1的权限A当前状态判断申请是否成功,(当前状态即
态数据),根据当前允许的用户列表按照对应的规则得到用户甲是否能获 得权限A,用户曱根据对应的规则能获得资源1的权限A,执行步骤203, 否则执行步骤205;
步骤203、申请权限成功,在资源1权限A当前的允许用户列表中添 加用户甲;
步骤204、通知用户甲权限申请通过;
步骤205、申请权限失败,通知用户甲权限申请未通过,结束流程。
当用户需要多个资源的多种操作权限时,可以一次向通讯控制器申请 多个权限;也可分多次申请,每次申请一个或多个资源的一种或多种权限。
图3为本发明的用户申请多个资源的多种^J艮的过程示意图,下面参 见附图3对本发明的方法具体步骤进行描述,其中
步骤301、用户曱向通讯控制器发出请求命令,该命令是请求资源1 所属的权限A和B、资源2所属的权限C和D,资源1和2是系统资源中 多个资源的其中两个资源,权限A和B是资源l的多个权限的其中两个权 限,权限C和D是资源2的多个权限的其中两个权限;步骤302、通讯控制器从预先定义的规则中请求资源1的权限A或B 相对应的所有规则、资源2的权限C或D相对应的所有规则以及当前状态 判断申请是否成功,(当前状态即通讯控制器中此时的用户数以及所有资 源的所有权限的允许用户列表等状态数据),根据当前允许的用户列表按 照对应的规则得到用户曱是否能获得权限A、 B、 C、 D,用户甲根据对应 的规则能获得资源1的权限A和B以及资源2的权限C和D,执行步骤303, 否则执行步骤305;
其中,用户在申请多个资源的多种权限时,如果其中任一条规则不通 过,通讯控制器则判断申请操作失败。
步骤303、申请权P艮成功,在资源1权限A和B以及资源2权限C和 D当前的允许用户列表中添加用户曱;
步骤304、通知用户甲权限申请通过;
步骤305、申请权限失败,通知用户曱权限申请未通过,结束流程。 当用户曱权限申请通过后,进入操作执行流程,该流程描述了用户执 行除权限申请和权限释放操作外的其他操作时的执行流程,其他操作是指 用户对资源的操作,例如读、写等;参见附图4对用户操作过程具体步骤 进行描述,其中
步骤401、用户甲对资源l发出操作指令,此操作需要资源1的权限A; 步骤402、通讯控制器检查资源1的权限A当前的允许用户列表中是 否存在用户甲,如果存在用户曱则执行步骤403,否则,执行步骤405; 步骤403、用户曱在允许用户列表中,对资源l发出此操作指令; 步骤404、通知用户曱才喿作成功;
步骤405、用户曱不在允许用户列表中,通知用户曱无权限。 当用户曱操作成功后,用户需要释放某一资源的某种操作权限时,进
入释放权限流程,参见附图5对用户释放权限流程具体步骤进行描述,其
中;步骤501、用户甲对资源1发出释放权限命令,用户曱需要释放其所拥 有的资源1的权限A;
步骤502、通讯控制器检查资源1权限A的允许用户列表中是否包含 用户曱,如果存在用户曱则执行步骤503,否则通知用户曱不包含在允许用 户列表中,操作成功;
步骤503、获取资源1的权限A对应的允许用户列表,从该列表中删 除用户甲;
步骤504、通知用户曱释放权限操作成功。
需要说明的是,图4和图5是对用户申请一个资源的一种权限的操作 和释放过程的描述,对用户申请的多个资源的多种权限与一个资源的一种 权限的操作和释i文过程相同,此处不再描述。
为了更好的理解本发明,下面将用网络系统资源卡控制器为例进一步 详细地说明本发明。此系统资源卡控制器(与上面描述的通信控制器相同) 结构如图6所示,其控制器内部可分为4部分,即用户接入模块,规则 库模块,权限管理模块和系统资源接入模块,其中,用户接入模块与权限 管理模块相连,用于管理用户的接入和离开并向权限控制模块提供用户的 识别信息;规则库模块与权限管理模块相连,用于内置操作管理规则,该 操作管理规则是根据应用环境的不同,可通过外部进行修改的权限管理规 则;权限管理模块分别与用户接入模块,规则库模块和系统资源接入模块 相连,用于按规则库中的描述对权限进行管理;系统资源接入模块,用于 管理系统资源(包括外部系统资源和内部系统资源)的可用状态并收集系 统资源的信息提供给权限控制模块。
在网络系统资源卡控制器中,本实施例给出了包含4个网络系统资源 卡的实例,为便于描述每个系统资源卡的操作权限筒化为有读取和控制两 种操作权限,预先定义的规则包括读取操作的权限规则和控制操作的权限 规则;其中,读取操作的权限规则为①每个系统资源卡最多同时可被4个 用户读取;
控制操作的权P艮规则为
② 每个系统资源卡最多同时被1个用户控制;
③ 该用户必须拥有该卡的读取权限。
根据预先定义读取操作的权限规则,其操作过程包括申请读取操作 允许和申请读取操作拒绝的两种情况; —
A、 申请读取操作允许的情况假设用户甲需要读取系统资源卡A的 信息,当前已经有3个用户可读取测试卡A,其步骤如下
1 、用户甲向网络系统资源卡控制器发出测试卡A读取权限申请; 2、网络系统资源卡控制器读取系统资源卡读取操作权限有关的控制规 则①,即每个系统资源卡最多同时可被4个用户读取;
3 、网络系统资源卡控制器读取拥有系统资源卡A读取权限的用户列
表;
4、 检查规则①每个系统资源卡最多同时可被4个用户读取的规则, 检查通过,接受该申请;
5、 网络系统资源卡控制器添加用户甲到测试卡A读取权限的用户列表
中;
6 、网络系统资源卡控制器向用户发送操作成功信息。
B、 申请读取#:作拒绝的情况假设用户曱需要读取系统资源卡A的 信息,当前已经有4个用户可读取系统资源卡A,其步骤如下
1 、用户甲向网络系统资源卡控制器发出系统资源卡A读取权限申请;
2、 控制器读取系统资源卡读取权限有关的控制规则①,即每个系统资 源卡最多同时可被4个用户读取;
3、 网络系统资源卡控制器读取拥有系统资源卡A读取权限的用户列
表;4、 检查规则①每个系统资源卡最多同时可被4个用户读取的规则, 不满足规则①的要求,4企查未通过,拒绝该申请;
5、 网络系统资源卡控制器向用户发送操作失败。 根据预先定义控制操作的权限规则,其操作过程包括申请控制操作
允许和申请控制才喿作拒绝两种情况;
C、 申请控制操作允许的情况假设用户甲需要控制系统资源卡A,该 用户已申请系统资源卡A的读取权限成功,当前没有其它用户拥有系统资 源卡A的控制权限,其步骤如下
1 、用户曱向网络系统资源卡控制器发出系统资源卡A控制权限申请;
2、 网络系统资源卡控制器读取系统资源卡控制权限控制规则②和③,
即每个系统资源卡最多同时被l个用户控制、该用户必须拥有该系统资源 卡的读取权限;
3、 网络系统资源卡控制器读取拥有系统资源卡A读取权限的用户列
表;
4、 检查规则②和③,满足规则②和③的要求,检查通过,接受该申请; 5 、网络系统资源卡控制器向用户发送操作成功信息。
D、 申请控制#:作拒绝的情况假设用户曱需要控制系统资源卡A,当 前已经有1个除用户甲之外的用户拥有系统资源卡A的控制权限,其步骤 如下
1、 用户曱向网络系统资源卡控制器发出系统资源卡A控制权限申请;
2、 网络系统资源卡控制器读取系统资源卡控制权限控制规则②和③, 即每个系统资源卡最多同时被i个用户控制、该用户必须拥有该系统资源 卡的读取4又限;
3、 网络系统资源卡控制器读取拥有系统资源卡A读取权限的用户列
表;
4、 检查规则②和③,不满足规则②和/或③的要求,如规则②检查未通过,规则③检查通过,拒绝该申请;
5、网络系统资源卡控制器向用户发送操作失败。
以上所述仅为本发明的一个较简单的具体实施方案。应说明的是,以 上实施例仅用以说明本发明的技术方案而非限制,尽管参照较佳实施例对 本发明进行了详细说明,本领域的普通技术人员应当理解,可以对本发明 的技术方案进行修改或者等同替换,而不脱离本发明技术方案的精神和范 围,其均应涵盖在本发明的权利要求范围当中。 —
权利要求
1、一种通信系统中多用户权限的管理方法,其特征在于,包括如下步骤A、预先定义操作管理规则,将所述规则内置于通讯控制器;B、用户向所述通讯控制器发出申请权限的指令,所述通讯控制器判断所述用户是否通过所述权限的申请,是,申请通过,将所述用户添加到所述用户申请的所述权限的用户列表中,否则申请失败;C、所述用户向所述通讯控制器发出释放权限指令,所述通讯控制器从所述用户申请的所述权限的用户列表中删除所述用户。
2、 根据权利要求1所述的方法,其特征在于,所述步骤B和步骤C 之间还包括如下步骤所述用户根据申请所获得的所述权限向系统资源发出操作指令,对所 述系统资源进行操作。
3、 根据权利要求1所述的方法,其特征在于,所述步骤B具体包括 Bl、所述用户发出申请权限的指令,所述权限是多个系统资源的其中之一或多个资源所包括的其中之一权限或多种权限,所述用户 一次申请系 统资源中的其中 一个或多个资源的一种或多种权限;B2、所述通讯控制器根据所述规则和所述用户的当前状态判断所述用 户是否通过所述权限的申请,如果通过,申请成功,将申请权限成功的用 户添加到用户列表中,所述用户列表是用户申请所述权限对应的用户列表, 并通知所述用户权限申请成功。
4、 根据权利要求2所述的方法,其特征在于,根据所述权限向系统 资源发出所述操作指令具体包括如下处理所述用户对申请的用户权限成功后,向系统资源发出所述操作指令; 所述通讯控制器检查所述用户申请的所述权限对应的所述用户列表是 否包含所述用户,如果包含所述用户,所述通讯控制器对所述系统资源发 出所述操作指令并通知所述用户才喿作成功,否则通知所述用户无操作^又限, 结束操作。
5、 根据权利要求1所述的方法,其特征在于,所述步骤C具体包括 Cl、所述用户完成所述系统资源的操作,发出释放权限的指令;C2、所述通讯控制器检查所述用户申请的所述权限对应的所述用户列 表是否包含所述用户,是,从所述用户列表中删除所述用户; C3、通知所述用户释放操作成功。
6、 根据权利要求2至5任一权利要求所述的方法,其特征在于,所 述用户的权限检查由所述通讯控制器自动进行。
7、 根据权利要求l所述的方法,其特征在于,所述规则是通过逻辑 计算得到的逻辑表达式。
8、 根据权利要求7所述的方法,其特征在于,所述逻辑表达式的结 果包括逻辑值为真或假,所述通讯控制器根据所述逻辑值的结果判断所述 规则检查是否通过。
9、 一种通信系统中多用户权限管理系统,包括通讯控制器,所述通 讯控制器分别连接至少一个内部和外部的系统资源以及用户,用于对所述 用户的权限进行检查,其特征在于,所述通讯控制器包括用户接入模块, 权限控制模块,规则库模块,其中,所述用户接入模块,用于管理所述用 户的接入和离开,并向所述权限控制模块提供所述用户的识別信息;所述规则库模块,用于内置所述操作管理规则;所述权限控制模块,用于根据所述规则库模块内的操作管理规则对权限进行管理。
10、 根据权利要求9所述的系统,其特征在于,所述通讯控制器还包 括系统资源接入模块,所述系统资源接入模块,用于管理系统资源的可用 状态并收集所述系统资源的信息提供给所述权限控制模块。
全文摘要
本发明提出了一种通信系统中多用户权限的管理方法和系统,其方法包括预先定义操作管理规则,将所述规则内置于通讯控制器;用户向所述通讯控制器发出申请权限的指令,所述通讯控制器判断所述用户是否通过所述权限的申请,是,申请通过,将所述用户添加到用户列表中,否则申请失败;所述用户向所述通讯控制器发出释放权限指令,所述通讯控制器从所述用户列表中删除所述用户。本发明由于用户可根据实际需要的权限进行申请,所有用户与权限有关的操作只有申请和释放权限两个,其他操作对用户透明,权限检查由通讯控制器自动进行,所以操作流程简单,并且权限管理规则可根据实际需要进行动态变更,适应性和扩展性强。
文档编号H04L29/06GK101415009SQ200810217869
公开日2009年4月22日 申请日期2008年11月21日 优先权日2008年11月21日
发明者军 陈 申请人:中兴通讯股份有限公司