专利名称:集中权限管理系统及其授权方法和鉴权方法
技术领域:
本发明涉及权限管理领域,尤其涉及集中权限管理系统和授权方法、鉴权方法。
背景技术:
目前的运营支撑管理系统中的各软件系统,包括C/S和B/S的系统,都是独立分散的系统,需要有统一的一个登录用户,这样就不必每套系统都单独建用户,另外,有一些功能特别是对网元的管理,并不是每一个用户都可以有操作权的,关系到整个网络的安全性,所以需要对系统功能进行分级分权的访问。对于现在日益扩大的移动通信网络,网元越来越多,更需要一种简单且安全的方法进行管理。系统登录用户及其权限的管理是整个软件系统的重要组成部分,如果管理恰当,不只可以简化登陆用户的操作,而且可以很好地维护软件系统中的重要数据,同时,如果出现数据故障问题,也可以快速地找到责任人。随着移动网络的不断扩大,网元越来越多,操作安全性的要求也越来越高,本发明对用户和操作权限形成了一套统一的管理系统,方便管理和维护,同时对现在广泛出现的4A统一鉴权的实现提供了前提。
发明内容
本发明提供一种集中权限管理系统,包括授权单元、鉴权单元和人机交互界面,其特征在于,所述授权单元包括域控制器、资源管理器;所述域控制器用于在预先设定域管辖范围内通过所述人机交互界面接收设置的用户、角色和操作权限信息,管控所有接入该域的设备的用户、角色、操作权限以及三者间的关系;所述资源管理器用于保存所述域控制器管辖范围内设备的的资源信息,通过所述人机交互界面设定并保存资源与所述域控制器中角色的对应关系;所述鉴权单元用于预先设定不同权限的鉴权接口,通过调用相应的权限接口从所述域控制器和资源管理器中获取权限信息。优选的,域控制器具体包括活动目录和授权管理器;所述活动目录用于接收所述人机交互界面输入的用户信息并保存,所述用户信息包括用户登录信息和用户属性信息;所述授权管理器用于接收所述人机交互界面输入的角色信息、操作信息并保存,保存每个角色的操作权限,设定角色和所述活动目录中用户的对应关系。优选的,所述域控制器还包括密码管理模块,用于根据预先设定的密码策略对所有接入该域的被管系统进行密码管理。具体的,所述授权管理器是域控制器中指定路径的目录,接收到所述人机交互界面的信息后,通过调用预先编译好的函数,完成所述定义角色及操作权限的工作;所述活动目录是域控制器中指定路径的目录,接收到所述人机交互界面的信息后,通过调用预先编译好的函数,完成所述定义用户的工作。
进一步的,所述被指定位置的授权管理器还进一步包括:角色定义模块:用于接收人机交互界面输入的角色属性信息定义并保存角色;操作权限设置模块:用于根据所述角色定义模块中的角色,为所述角色设置操作权限;用户权限设置模块:用于通过人机交互界面,根据所述活动目录中的用户信息和所述角色定义模块中的角色,为所述用户匹配相应的角色。进一步的,所述资源管理器包括:资源存储模块,用于保存接入域控制器中设备的资源信息,所述资源信息包括数据资源和功能资源;资源权限设置模块,用于为所述角色定义模块中定义的角色匹配相应的资源。具体的,所述预先编译好的函数为域控制器中的函数。本发明还提供一种基于上述集中权限管理系统的授权方法,其特征在于:根据在人机交互界面输入的角色参数,调用所述授权管理器中相应的角色函数,在授权管理器中定义角色并保存;选择人机交互界面呈现的操作信息和角色信息,确定两者的匹配关系并存入授权管理器中;选择人机交互界面呈现的角色信息和资源信息,确定两者的匹配关系存入并所述资源管理器中;根据在人机交互界面输入的用户参数,调用所述活动目录中相应的用户函数,在活动目录中定义用户并保存;选择人机交互界面呈现的角色信息和用户信息,将两者的匹配关系存入授权管理器中,完成授权。本发明还提供一种基于上述集中权限管理系统的鉴权方法,其特征在于:在人机交互界面中输入用户的登录信息,登录域控制器;在人机交互界面中选择需要使用的鉴权接口,通过鉴权单元中相应的鉴权接口描述的方法属性,获取相应的权限。鉴于现有技术存在的问题,有的公司采用纯数据库的方式进行权限管理,将用户和权限信息都保存在数据库里,由于移动网管软件需要管理很多的基站、小区、网元等,数量太大,都存在数据库中,访问起来速度会慢。因此这种采用纯数据库的管理方式,对于移动网络中成千上万的网元,授权效率就太低了,使用不方便。本发明提供的集中权限管理系统,域控制器中的活动目录和授权管理器存储用户注册信息和设置权限后,只需要通过资源管理器把所述信息进行保存即可,节省了大量的开发时间,权限和资源的分开保存,也使得授权和鉴权的过程变得简单高效。
图1为集中权限管理系统的结构示意2为基于集中权限管理系统的授权方法流程3为基于集中权限管理系统的鉴权方法流程图
具体实施例方式本发明所述的集中权限管理系统采用域控制器中的授权管理器、活动目录以及资源管理器的方式,完成对用户、角色、权限集中管理的功能,易于实现,对于移动通信网络中众多的网元权限管理,更加适用。下面结合实施例进一步阐述本发明的实现方法。一种集中权限管理系统,如图1所示,包括人机交互界面1、授权单元2、鉴权单元3。人机交互界面I用于接收使用者输入的各种信息,呈现集中权限管理系统管理的权限信息,包括用户的信息、角色的信息、用户与角色的对应关系,角色与资源的对应关系,角色的操作权限等;同时人机交互界面I可以提供不同的权限设置菜单,使用者可通过人机交互界面,输入或选择权限设置的信息,将输入或选择的权限信息存入授权单元,从而完成授权过程。授权单元2用于完成对用户授权的相关功能,包括定义用户、定义角色、设置角色的操作权限,设置角色和资源的关系,设置用户和角色的关系等。例如在定义用户时,授权单元接收使用者从人机交互界面输入的用户属性信息,包括但不限于用户名称、用户密码、用户所属组别、用户所属专业、用户所属公司等信息,保存到授权单元中。在定义角色时,授权单元接收使用者从人机交互界面输入的角色属性信息,包括但不限于角色名称、角色描述、角色与用户的对应关系。本发明中的授权单元功能主要采用域控制器21和资源管理器22实现,其中域控制器21又进一步包括活动目录211和授权管理器212。“域”的含义指的是服务器控制网络上的计算机能否加入的计算机组合。在“域”模式下,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作,相当于一个单位的门卫一样,称为“域控制器(Domain Controller,简写为DC)。域控制器可以管控接入该域的设备的用户、角色、操作权限以及三者间的关系。域控制器中一般都包含有活动目录和授权管理器,因此本案利用域控制器来完成集中权限管理的功能。活动目录211,用于接收所述人机交互界面输入的用户信息并保存。活动目录是一种目录服务,提供了一种目录形式的数据存储,目录包含了有关各种对象(例如用户、用户组、计算机、域、组织单位以及安全策略)的信息,这些信息可以被发布出来,供用户和管理员使用,活动目录存在域控制器上,可以被域控制器控制的机器所访问,本技术方案利用活动目录对用户进行管理,通过接收人机交互界面输入的信息,对用户进行定义和保存,这些信息包括用户的登录信息和用户属性信息,用户登录信息包括但不局限于用户名和密码,用户属性信息包括但不局限于用户组、用户所属公司、用户所属专业、用户所属地区等,还可以添加用户组和组织单位等,用户信息可根据实际需求进行设置,但用户名和密码是必须的,是登陆域控制器的必要条件。活动目录接收人机交互界面输入的用户信息,调用已有的相应的编译好的函数,完成不同的用户管理功能,用户一旦被定义和保存,就可以通过人机交互界面呈现出来,供使用者使用。在域控制器中为活动目录指定一个位置,即在指定路径设定一个目录,目录中包含活动目录中原有的编译好的函数,并封装了集中权限管理系统中用到方法类及其属性,例如:
类DirectoryEntry,实现活动目录的初始设置:初始化一个DirectoryEntry实体,对活动目录进行实例化:new DirectoryEntry(string path, string username, string password);/*设置活动目录路径,设置登录域控制器的用户名和密码*/类DirectorySearcher,实现对活动目录的查询功能:对DirectorySearcher进行初始化,可完成对活动目录中信息的查询:New DirectorySearcher(DirectoryEntry entry, string condition)/*设置新查询实体,设置查询条件*/活动目录原本包含已编译好的函数,可用于用户管理的功能:添加一个实体,主要指用户,优选的可添加用户组,组织单位等,用户组的分组可根据业务需求来确定。向活动目录中添加一个实体是通过活动目录中Children属性的Add方法实现的:Add(string name, string schemaClassName)/*对于不同的类name的写法是不同的:组织单元OU = name ;用户CN = name*/删除一个实体,主要指用户,优选的可删除用户组、组织单位等。在活动目录中删除一个实体,是通过活动目录中Children属性的Remove方法实现的:Remove(DirectoryEntry entry)。授权管理器212,用于接收所述人机交互界面输入的角色信息、操作信息并保存,保存每个角色的操作权限,设定角色和所述活动目录中用户的对应关系。授权管理器用于完成授权功能,先根据人机交互界面输入的角色信息并保存,这些信息包括角色名称、角色描述等,可根据实际需求进行设置,定义角色完成后,为每个角色设置操作权限,操作信息主要包括增加、删除、修改等。当完成角色定义后,可根据人机交互界面呈现的用户信息设置角色与用户的关系。授权管理器接收到人机交互界面输入的信息,调用封装其中的相应的函数,完成相应的功能后,将角色信息、角色与用户的关系信息、角色与操作的关系信息保存起来。例如权限管理系统需要定义角色,则接收人机交互界面输入的角色信息,调用定义角色的函数,完成定义角色的功能并将定义好的角色保存到授权管理器中。在域控制器中为授权管理器指定一个位置,即在指定的路径设定一个目录,目录中包含授权管理器中原有的编译好的函数,并封装了集中权限管理系统中用到方法类及其属性,用于根据人机交互界面输入的内容对角色和操作权限进行设置和保存。授权管理器212进一步包括:角色定义模块2121:用于根据人机交互界面输入的内容定义角色,设置角色属性;操作权限设置模块2122:用于根据人机交互界面输入的内容结合所述角色定义模块中的角色,为所述角色设置操作权限;用户权限设置模块2123:用于根据人机交互界面呈现的用户信息和角色信息,通过人机交互界面为所述用户匹配相应的角色,并保存两者的关系。
授权管理器通过接收人机交互界面的信息,调用以下相应的函数,对角色、操作和权限信息进行管理。以具体的函数实例为例:类AzAuthorizationStoreClassInitialize(int IFlags, string bstrPolicyURL, object varReserved)/*初始化,主要是授权管理器设置路径,即指定授权管理器的目录位置*/OpenApplication(string bstrApplication,object varReserved)/*打开应用,即授权管理器的目录名称*/IAzClientContext(a)InitializeClientContextFromToken(ulong ullTokenHandle, object)(b) InitializeClientContextFromName (stirngClientName,stringDomainName, object)
/*客户端接口,对于客户端有两种初始化方法,一种是通过Token,一种是通过指定用户名的方式。通过客户端可以获得该客户端的角色,以及实现鉴权*/创建角色CreateRole(string bstrRoleName,object varReserved)/*创建角色是调用授权管理器中已有的CreateRole来实现的*/删除角色DeleteRole (string name, string descripting, string[]tasks, stringoperations)/*删除角色是调用授权管理器中已有的DeleteR0Ie实现的*/创建操作CreateOperation(string bstOperationName,object varReserved)/*创建操作是调用授权管理器中已有的CreateOperation实现的*/删除操作DeleteOperation(string bstOperationName, object varReserved)/*删除操作是授权管理器中已有的DeleteOperation实现的*/初始化一个角色,即对角色进行实例化,为角色赋予属性,主要有角色的唯一标识、角色的成员、角色描述、角色操作等。初始化角色OpenRole(string bstRoleName, object varReserved)/*初始化角色是调用授权管理器的OpenRolee方法来实现的*/。给角色添加相应的操作AddOperation(string bstRoleName, object varReserved)/*调用角色中的AddOperation方法*/从角色中删除相应的操作DeleteOperation(string bstRoleName, object varReserved)/* 调用角色中 DeleteOperation 方法 */给角色添加下属的成员或者系统角色
AddMember(string bstMemberName, object varReserved)/*调用角色中AddMember方法*/从角色中删除下属的成员或者系统角色DeleteMenber(string bstMemberName, object varReserved)/* 调用角色中 DeleteMenber 方法 */调用角色的两个属性分别能够获得角色的所有操作和成员,即Operations和Members。资源管理器22用于保存接入域控制器中设备的资源信息,通过所述人机交互界面设定并保存资源与所述域控制器中角色的对应关系。资源信息主要指的是的资源,指的是接入域控制器中设备上的资源信息,或设备上所承载的应用系统(即被管理系统)的资源信息,包括功能资源和数据资源,所谓功能资源是指被管系统中的功能模块,如网管系统中涉及的功能资源有,性能模块、告警模块、派单模块等,用户对相应的功能模块具有权限,则意味着可以使用这些功能;所谓数据资源是指被管系统中的数据信息,如网管系统中涉及的数据资源有,网元信息、传输系统信息等,用户对相应的数据具有权限,则意味着可以对这些数据进行操作。在移动通信网络中会涉及到多个管理系统,并涉及大量的设备/网元,这些设备/网元可能属于不同的系统,存在对每个设备/网元的操作权限都不相同的可能性,因此移动通信网络的权限管理,具有接入系统多,数据量大的特点,如果采用传统的数据库方式,把用户、角色、权限、资源信息都保存在数据库中,通过对数据库的查找访问实现对每个设备/网元的权限进行管理,会影响授权、鉴权的速度和权限管理系统的性能,采用授权管理器和活动目录的方法,采用域控制器中已有的函数完成用户、角色以及权限的管理工作,将权限和资源分离,且登陆域控制器后即可获得相应的各系统的权限,使用简单,开发易实现,且提高了处理速度,尤其适合大数据量的权限管理。对于与资源相关的权限,本系统采用资源管理器管理方式,包括以下两个模块:资源存储模块221,用于保存被管系统的资源信息。所述资源信息包括数据资源信息,和功能资源信息。数据资源信息,如网元信息,网元组信息。功能资源信息,是指被管系统中的功能模块信息。资源的数据资源信息和功能资源信息,预先存储到数据库中,可以通过人机交互界面,呈现给使用者。资源权限设置模块222,用于为所述角色定义模块中角色匹配相应的资源。角色与资源的关系,例如角色与网元的关系,角色与网元类型的关系,角色与厂家的关系,角色与地区的关系等,即该角色可操作哪些网元、哪些厂家、哪些地区;角色与功能菜单的关系,即该角色可使用接入系统中的那些功能模块。角色与资源的关系,则通过人机交互界面进行设置,并把设置好的内容保存到所述资源管理器中。鉴权单元3提供预先设定的不同权限的接口,通过调用相应的权限接口从所述域控制器和资源管理器中获取用户对不同资源的操作权限。;鉴权单元中包含一个接口类:IPrivilege,该类中含有一些属性和方法,具体如下:该类所包含的属性有:EncryptPassword/* 对密码解密 */AzPath/*授权管理器的路径*/AppName/*授权管理器中的应用,接入域控制器中系统的名称*/该类所包含的方法有SetConnection/*设置资源管理器连接*/Login (user_name, password) /* 登录信息 */经过设置3个属性,上面两个方法,如果登录成功,就生成一个IPrivilege对象,从而把登录用户和授权管理器、活动目录和资源管理器联系起来,再取其他权限时,直接用生成的这个对象调用下面将要说到的接口方法,就可以取权限了。所述接口方法包括:IsSuperUse/*是否为超级用户*/GetUserName/* 获取用户名 */ GetUserPassword/* 获取 口令 */GetUserID/* 获取用户 ID*/GetAllRoles/*获取授权管理中所有角色名,用I分隔*/GetAppAllOperations/*获取授权管理器中所有操作,用|分隔*/(操作和角色有关系,因此获取的过程就是根据登录用户先从授权管理器得到该用户的角色,然后再根据角色得到相关联的操作,从而获得该用户的所有操作)GetRoleMembers (rolename)/*获取角色下的所有用户,用|分隔*/Rolename:GetRoleOperations (rolename)/*获取角色下所有的操作,用|分隔*/Rolename:GetUserRoles/*获取当前用户的所有角色,用|分隔*/GetUserOperations/*获取当前用户所有的操作,用|分隔*/AccessCheck(Operationld)/*测当前用户是否具有某个操作的权限,具有该权限返回1,否则返回0*/Operationld:操作 idGetDataListffithPrivilegeFlag(IDataType, IDataldl, IDatald2, IDatald3,IRetDataType)/*获取当前用户对某个数据项具有某个操作的权限的数据项列表,用|分隔*/DataAccessCheck (IDataType, IDataldl, IDatal d2 , IDatald3,IOperationFlag)/*检测当前用户对某个数据项是否具有某个操作的权限,具有该权限返回I,否则返回0*/优选的,为了提高集中权限管理的安全性,有些使用者对密码的设置有严格的要求,在域控制器中还包含一个管理密码的模块,在该密码管理模块中,预设有多种设置密码的策略,因此使用该密码策略后,可使得接入该系统的用户直接根据密码策略的要求设置密码。所谓密码策略就是设置密码的要求,如密码策略I要求密码为6位,必须包含字母和数字,但不能包含字符。本发明所述的域控制器可以是windows系统中的域控制器,包含有自身的授权管理器和活动目录,用于实现本发明的集中权限管理的功能。本发明还提供一种基于上述集中权限管理系统的授权方法,如图2所示包含以下步骤:步骤101:根据在人机交互界面输入的角色参数,调用所述授权管理器中相应的角色函数,在授权管理器中定义角色并保存。步骤102:选择人机交互界面呈现的操作信息和角色信息,确定两者的匹配关系并存入授权管理器中。步骤103:选择人机交互界面呈现的角色信息和资源信息,确定两者的匹配关系存入并所述资源管理器中。步骤104:根据在人机交互界面输入的用户参数,调用所述活动目录中相应的用户函数,在活动目录中定义用户并保存。步骤105:选择人机交互界面呈现的角色信息和用户信息,将两者的匹配关系存入授权管理器中,完成授权。本发明还提供一种基于上述集中权限管理系统的鉴权方法,如图3所示,包括步骤:步骤201,在人机交互界面中输入用户的登录信息,登录域控制器;步骤202,在人机交互界面中选择需要使用的鉴权接口,通过鉴权单元中相应的接口方法,获取相应的权限。所述的登录信息,包括登录的用户名、密码信息,根据上述系统中对鉴权单元工作原理的描述,输入登录信息后,如果登录成功,则生成一个IPrivilege对象,从而把登录用户和授权管理器、活动目录和资源管理器联系起来,取其他权限时,根据使用者的选择,调用鉴权单元中相应的接口方法即可。详见系统中相关的描述,不再赘述。上述描述仅仅是用于说明本发明而不是用来限定本发明的保护范围。本领域技术人员容易从上述教导中得出多种改进和变形,只要不超出权利要求的保护范围。
权利要求
1.一种集中权限管理系统,包括授权单元、鉴权单元和人机交互界面,其特征在于,所述授权单元包括域控制器、资源管理器; 所述域控制器用于在预先设定域管辖范围内通过所述人机交互界面接收设置的用户、角色和操作权限信息,管控所有接入该域的设备的用户、角色、操作权限以及三者间的关系; 所述资源管理器用于保存所述域控制器管辖范围内设备的的资源信息,通过所述人机交互界面设定并保存资源与所述域控制器中角色的对应关系; 所述鉴权单元用于预先设定不同权限的鉴权接口,通过调用相应的权限接口从所述域控制器和资源管理器中获取权限信息。
2.根据权利要求1所述的集中权限管理系统,其特征在于,所述的域控制器具体包括活动目录和授权管理器; 所述活动目录用于接收所述人机交互界面输入的用户信息并保存,所述用户信息包括用户登录信息和用户属性信息; 所述授权管理器用于接收所述人机交互界面输入的角色信息、操作信息并保存,保存每个角色的操作权限,设定角色和所述活动目录中用户的对应关系。
3.根据权利要求2所述的集中权限管理系统,其特征在于,所述域控制器还进一步包括密码管理模块,用于根据预先设定的密码策略对所有接入该域的被管系统进行密码管理。
4.根据权利要求3所述的集中权限管理系统,其特征在于,所述授权管理器是域控制器中指定路径的目录,接收到所述人机交互界面的信息后,通过调用预先编译好的函数,完成所述定义角色及操作权限的工作; 所述活动目录是域控制器中指定路径的目录,接收到所述人机交互界面的信息后,通过调用预先编译好的函数,完成所述定义用户的工作。
5.根据权利要求4所述的集中权限管理系统,其特征在于,所述被指定位置的授权管理器还进一步包括: 角色定义模块:用于接收人机交互界面输入的角色属性信息定义并保存角色; 操作权限设置模块:用于根据所述角色定义模块中的角色,为所述角色设置操作权限; 用户权限设置模块:用于通过人机交互界面,根据所述活动目录中的用户信息和所述角色定义模块中的角色,为所述用户匹配相应的角色。
6.根据权利要求5所述的集中权限管理系统,其特征在于,所述的资源管理器进一步包括: 资源存储模块,用于保存接入域控制器中设备的资源信息,所述资源信息包括数据资源和功能资源; 资源权限设置模块,用于为所述角色定义模块中定义的角色匹配相应的资源。
7.根据权利要求6所述的集中权限管理系统,其特征在于,所述预先编译好的函数为域控制器中的函数。
8.一种基于上述集中权限管理系统的授权方法,其特征在于: 根据在人机交互界面输入的角色参数,调用所述授权管理器中相应的角色函数,在授权管理器中定义角色并保存; 选择人机交互界面呈现的操作信息和角色信息,确定两者的匹配关系并存入授权管理器中; 选择人机交互界面呈现的角色信息和资源信息,确定两者的匹配关系存入并所述资源管理器中; 根据在人机交互界面输入的用户参数,调用所述活动目录中相应的用户函数,在活动目录中定义用户并保存; 选择人机交互界面呈现的角色信息和用户信息,将两者的匹配关系存入授权管理器中,完成授权。
9.一种基于上述集中权限管理系统的鉴权方法,其特征在于: 在人机交互界面中输入用户的登录信息,登录域控制器; 在人机交互界面中选择需要使用的鉴权接口,通过鉴权单元中相应的鉴权接口描述的方法属性,获取相应的 权限。
全文摘要
一种集中权限管理系统,包括授权单元、鉴权单元和人机交互界面,其中授权单元具体包括域控制器和资源管理器,域控制器进一步包括授权管理器和活动目录,在所述授权管理器上存有角色、操作及权限信息,所述活动目录上保存用户信息,资源管理器上存储资源信息,通过人机交互界面匹配用户、角色、资源三者的权限关系,达到集中授权的目的,通过鉴权单元提供的鉴权接口实现鉴权。基于域控制器中授权管理器和活动目录设计的集中权限管理系统,实现各系统的集中鉴权、解决统一登陆、分级分权访问和口令管理问题。
文档编号H04L29/06GK103188249SQ20111046010
公开日2013年7月3日 申请日期2011年12月31日 优先权日2011年12月31日
发明者付育哲, 陈丹, 王海清 申请人:北京亿阳信通科技有限公司