专利名称:针对大容量对象的用户访问权限管理方法
技术领域:
本发明涉及网络管理,具体涉及针对大容量对象的用户访问权限管理方法。
背景技术:
随着网络IP化以及FMC (Fixed-Mobile Convergence)的发展,运营商运维模式将发生深刻改变,从以网络类型和网元类型分层管理逐步走向融合管理,同时对运维成本和用户体验有更高的要求,因此为了适应未来网络的发展,通信网络管理系统必须实现各种类型网元的统一管理,充分满足融合网络运维管理的需要。统一管理面临的一个主要问题是管理容量,而现有的用户访问权限管理系统都没有考虑这种大容量的要求,只能在一个维度上集中控制用户权限,不能分域管理,缺乏灵活性。在统一管理的背景下,如果将种类繁多,跨越不同地区的设备,集中交给一个部门来进行用户访问权限控制,其工作量可想而知将十分艰巨。对于权限控制策略的选择,通常需要根据组织结构和人员分工来决定,在电信网络维护中,通常的结构是有一个中心对全网设备进行监控,而设备的直接配置和维护是由各个区域的组织和人员来完成的。因此,权限控制系统需要能够根据不同组织结构和管理容量,灵活定制不同的管理策略,即能集中维护所有用户权限,也能由各个区域的管理员维护自己区域的用户权限。
发明内容
本发明所要解决的技术问题是解决现有的用户访问权限管理系统只能在一个维度上集中控制用户权限,不能分域管理,缺乏灵活性的问题。为了解决上述技术问题,本发明所采用的技术方案是提供一种针对大容量对象的用户访问权限管理方法,包括以下步骤
A10、建立用户访问权限管理模型,所述管理模型包括用户、用户组、对象、对象集、操作和操作集;用户是系统使用者;用户组是具相同权限的用户的集合;对象是用户可访问的系统中的资源;对象集是对象的集合;操作是用户可执行的动作,分为无限制、admin特权、 安全管理及对象操作四种类型;操作集是操作的集合;
A20、建立用户,并通过将用户分别指派到不同的用户组从而使用户具有相应的权限, 用户组分为超级管理员组、安全管理员组、子域安全管理员组和普通用户组四种类型;属于安全管理员组或子域安全管理员组的用户具有管理权限;属于其他类型用户组的用户不具有管理权限,仅能对可管理对象进行授权的操作;属于安全管理员组的用户可以对包括子域安全管理员组在内的全域进行管理;属于子域安全管理员组的用户只能对所属子域进行管理;
A30、用户登录时,根据用户类型允许其使用相应的权限。在上述方法中,在步骤A20中,首先定义用户可执行的所有操作,并内置一个超级管理员组和一个安全管理员组,内置一个admin用户属于上述两个内置用户组;然后使用admin登陆,根据规划建立用户,将用户分别指派到用户组从而使用户具有相应权限。在上述方法中,建立的用户可以属于多个用户组,但是只能属于一个安全管理员组或子域安全管理员组。在上述方法中,超级管理员组默认包含除安全管理员组或子域安全管理员所具有的管理权限外的所有权限,安全管理员组或子域安全管理员组默认具有管理权限,普通用户组的权限取决于管理者为其分配的权限。在上述方法中,属于安全管理员组或子域安全管理员组的用户分配权限的方法是将对象划分为不同的对象集,将操作划分为不同的操作集,将对象集和操作集指派给用户组表示对这些对象具有相应操作权限。在上述方法中,将对象集和操作集直接指派给用户,对用户组内的对象授予用户组内的操作权限或者对用户自身对象授予用户自身操作权限。在上述方法中,建立新的用户、用户组、对象集或操作集时记录其归属的唯一的安全管理员组或子域安全管理员组ID,当属于安全管理员组的用户登录时,可以管理所有用户、用户组、对象集和操作集;而属于子域安全管理员组的用户登录时,只能管理子域内的用户、用户组、对象集和操作集。在上述方法中,判断用户权限的方法是 如果是无限制操作,则总是有权限;
如果是安全管理操作,则只有安全管理员组或子域安全管理员组用户具有权限,且被编辑的用户、用户组、对象集、操作集属于用户所在区域;
如果是admin特权操作,则只有内置的admin用户具有权限; 如果是对象操作,则依次判断用户所属用户组是否包含目标对象和操作,如果包含则具有权限,否则继续,最后判断用户自身对象集和操作集是否包含目标对象和操作,如果包含则具有权限,否则无权限。本发明,将所有对象纳入一个全局域集中管理,也可将对象划分为彼此独立的子域,各个子域互不干扰、单独管理。通过这样的权限管理方法,能够根据管理对象规模及组织结构灵活制定管理策略,特别在管理对象多、组织结构复杂时,使用本方法,可以大大提高管理效率、降低管理成本。
图1为本发明实施例提供的针对大容量对象的用户访问权限管理模型示意图; 图2为本发明实施例提供的用户权限管理流程图3为本发明实施例提供的用户权限分域管理示意图; 图4为本发明实施例提供的用户权限判断流程图。
具体实施例方式下面结合附图对本发明作出详细的说明。本发明包括以下步骤
A10、在系统的网管上建立用户访问权限管理模型,图1示出了针对大容量对象的用户访问权限管理模型示意图,其中数字1和0. . *表示连线两端的关系是1对0或多个,例如 1个用户可以包含0个或多个对象集,该模型包括如下元素用户、用户组、对象、对象集、操作和操作集。用户是系统使用者;用户组是具有相同权限的用户的集合;对象是用户可以在系统中访问的资源;对象集是对象的集合,包含0或多个对象;操作是用户可以执行的动作(操作权限),分为无限制、admin特权、安全管理以及对象操作四种类型;操作集是操作的集合,包含0或多个操作,只有对象操作可以划分到操作集。用户组包含0或多个对象集以及0或多个操作集,表示对包含的所有对象拥有包含的所有操作权限;用户组分为超级管理员组、安全管理员组、子域安全管理员组及普通用户组类型;用户属于0或多个用户组, 只能属于一个安全管理员组或子域安全管理员组。A20、建立相应的用户并分别指派到不同的用户组中,从而使用户具有相应的权限。如图2所示,步骤A20包括以下一些具体步骤
A201、系统首次使用时,首先进行一些初始定义,定义用户可执行的所有操作,并内置一个超级管理员组和一个安全管理员组,内置一个admin用户属于上述两个内置用户组, 这样admin用户就具有所有权限。A202、系统首次使用时,使用admin登陆,根据规划建立不同类型的用户,并将用户分别指派到不同的用户组中,从而使用户具有相应权限。用户组分为超级管理员组、子域安全管理员组、安全管理员组和普通用户组四种类型;属于安全管理员组或子域安全管理员组的用户具有管理权限;属于其他类型用户组的用户不具有管理权限,仅能对可管理对象进行授权的操作;属于安全管理员组的用户可以对包括子域安全管理员组在内的全域进行管理;属于子域安全管理员组的用户只能对所属子域进行管理。A30、用户登录时,根据用户类型允许其使用相应的权限,如果是安全管理员组用户,允许对所有用户、用户组、对象集、操作集进行管理;如果是子域安全管理员组用户,则只允许管理子域内的用户、用户组、对象集、操作集;如果是其他用户组用户,则无管理权限。属于安全管理员组或子域安全管理员组的用户具有管理权限,可以建立新的或编辑已经存在的用户、用户组、对象集或操作集。新建时,会记录所属安全管理员组或子域安全管理员组唯一的ID,这样用户登录后就可以确定对哪些用户、用户组、对象集、操作集可进行管理。由于安全管理员类型用户组即代表全域管理,所以只需要内置一个,安全管理员组用户登录后只能再新建子域安全管理员组或普通用户组,而子域安全管理员组用户登录后只能再新建普通用户组。新建对象集时是在用户所属安全管理员组或子域安全管理员组包含的对象基础上建立,为简化权限管理模型,限制一个用户只能属于一个安全管理员组或子域安全管理员组。新建操作集是在所有对象操作基础上建立。权限指派的过程包括为用户组指派对象集和操作集,使用户组代表一类相同权限用户;为用户指派用户组,使用户具有相应权限,一个用户可以属于多个用户组,它们之间的权限是并的关系;为用户指派对象集和操作集,实现用户权限的微调,其含义可以理解为用户私有的用户组。图3示出了一个分区的权限管理过程。该示例中假设用户A属于安全管理员组,用户A登录后依次建立对象集A,对象集A包含地区A的所有对象;操作集A ;子域安全管理员类型用户组A,并指派包含对象集A ;用户B,并指派属于用户组A。经过这样的过程后, 实际上就建立了一个子域A,子域A可管理对象的范围就是用户组A包含的对象,即对象集 A,用户B就是子域A的管理员。用户B登录后看不到全局域管理用户,即安全管理员组用户建立的权限,也看不到其它子域内的权限,他需要根据子域A的组织结构进行独立权限管理,例如,用户B依次建立对象集B,对象集B —定是对象集A的子集;操作集B ;用户组 B,此时用户B只能建立普通用户组;用户C,并指派属于用户组B。用户B建立的这些权限对其他子域也是不可见的,但是对全局域管理用户是可见的。从而实现了子域内互不干扰、 独立管理的分区权限管理。图4示出了用户权限判断流程,具体步骤如下
步骤A301,输入目标操作及对象,操作包含操作ID及操作类型,对象包含对象ID。步骤A302、根据操作类型进行不同的权限判断。如果操作类型为对象操作,则依次判断用户所属用户组是否包含目标操作和对象,只要找到一个包含,则返回有权限,否则继续,然后再判断用户自身的对象集和操作集是否包含目标对象和操作,如果包含,则返回有权限,否则返回无权限。如果操作类型为无限制,则直接返回有权限。如果操作类型为admin特权,则判断用户是否为admin用户,如果是,则返回有权限,否则返回无权限。如果操作类型为安全管理,则判断用户是否属于安全管理员组或子域安全管理员组,如果否,则返回无权限,如果是,则继续判断目标对象,即被编辑的用户、用户组、对象集、操作集是否属于相应区域,如果属于则返回有权选,否则返回无权限。步骤A302中,判断目标用户、用户组、对象集、操作集是否属于相应区域的方法是如果操作用户为安全管理员组用户,则目标对象总是属于的,因为安全管理员组用户可以管理全域权限,如果操作用户为子域安全管理员组用户,则需根据目标用户、用户组、对象集、操作集所属用户组ID判断是否属于此子域。本发明不局限于上述最佳实施方式,任何人应该得知在本发明的启示下作出的结构变化,凡是与本发明具有相同或相近的技术方案,均落入本发明的保护范围之内。
权利要求
1.针对大容量对象的用户访问权限管理方法,其特征在于包括以下步骤A10、建立用户访问权限管理模型,所述管理模型包括用户、用户组、对象、对象集、操作和操作集;用户是系统使用者;用户组是具相同权限的用户的集合;对象是用户可访问的系统中的资源;对象集是对象的集合;操作是用户可执行的动作,分为无限制、admin特权、 安全管理及对象操作四种类型;操作集是操作的集合;A20、建立用户,并通过将用户分别指派到不同的用户组从而使用户具有相应的权限, 用户组分为超级管理员组、安全管理员组、子域安全管理员组和普通用户组四种类型;属于安全管理员组或子域安全管理员组的用户具有管理权限;属于其他类型用户组的用户不具有管理权限,仅能对可管理对象进行授权的操作;属于安全管理员组的用户可以对包括子域安全管理员组在内的全域进行管理;属于子域安全管理员组的用户只能对所属子域进行管理;A30、用户登录时,根据用户类型允许其使用相应的权限。
2.如权利要求1所述的针对大容量对象的用户访问权限管理方法,其特征在于,在步骤A20中,首先定义用户可执行的所有操作,并内置一个超级管理员组和一个安全管理员组,内置一个admin用户属于上述两个内置用户组;然后使用admin登陆,根据规划建立用户,将用户分别指派到用户组从而使用户具有相应权限。
3.如权利要求1所述的针对大容量对象的用户访问权限管理方法,其特征在于,建立的用户可以属于多个用户组,但是只能属于一个安全管理员组或子域安全管理员组。
4.如权利要求1所述的针对大容量对象的用户访问权限管理方法,其特征在于,超级管理员组默认包含除安全管理员组或子域安全管理员所具有的管理权限外的所有权限,安全管理员组或子域安全管理员组默认具有管理权限,普通用户组的权限取决于管理者为其分配的权限。
5.如权利要求1所述的针对大容量对象的用户访问权限管理方法,其特征在于,属于安全管理员组或子域安全管理员组的用户分配权限的方法是将对象划分为不同的对象集,将操作划分为不同的操作集,将对象集和操作集指派给用户组表示对这些对象具有相应操作权限。
6.如权利要求5所述的针对大容量对象的用户访问权限管理方法,其特征在于,将对象集和操作集直接指派给用户,对用户组内的对象授予用户组内的操作权限或者对用户自身对象授予用户自身操作权限。
7.如权利要求5所述的针对大容量对象的用户访问权限管理方法,其特征在于,建立新的用户、用户组、对象集或操作集时记录其归属的唯一的安全管理员组或子域安全管理员组ID,当属于安全管理员组的用户登录时,可以管理所有用户、用户组、对象集和操作集;而属于子域安全管理员组的用户登录时,只能管理子域内的用户、用户组、对象集和操作集。
8.如权利要求5所述的针对大容量对象的用户访问权限管理方法,其特征在于,判断用户权限的方法是如果是无限制操作,则总是有权限;如果是安全管理操作,则只有安全管理员组或子域安全管理员组用户具有权限,且被编辑的用户、用户组、对象集、操作集属于用户所在区域;如果是admin特权操作,则只有内置的admin用户具有权限; 如果是对象操作,则依次判断用户所属用户组是否包含目标对象和操作,如果包含则具有权限,否则继续,最后判断用户自身对象集和操作集是否包含目标对象和操作,如果包含则具有权限,否则无权限。
全文摘要
本发明公开了一种针对大容量对象的用户访问权限管理方法,包括以下步骤A10、建立由用户、用户组、对象、对象集、操作和操作集组成的的用户访问权限管理模型;A20、建立用户,并通过将用户分别指派到不同的用户组从而使用户具有相应的权限;A30、用户登录时,根据用户类型允许其使用相应的权限。本发明将所有对象纳入一个全局域集中管理,也可将对象划分为彼此独立的子域,各个子域互不干扰、单独管理。通过这样的权限管理方法,能够根据管理对象规模及组织结构灵活制定管理策略,特别在管理对象多、组织结构复杂时,使用本方法,可以大大提高管理效率、降低管理成本。
文档编号H04L29/06GK102571745SQ201110363428
公开日2012年7月11日 申请日期2011年11月16日 优先权日2011年11月16日
发明者万金利, 尹永胜, 张勇, 钟潘, 陈天奇, 鲍齐全 申请人:烽火通信科技股份有限公司