CN101453357B - 一种网络管理控制方法与网络管理控制*** - Google Patents
一种网络管理控制方法与网络管理控制*** Download PDFInfo
- Publication number
- CN101453357B CN101453357B CN2007101788303A CN200710178830A CN101453357B CN 101453357 B CN101453357 B CN 101453357B CN 2007101788303 A CN2007101788303 A CN 2007101788303A CN 200710178830 A CN200710178830 A CN 200710178830A CN 101453357 B CN101453357 B CN 101453357B
- Authority
- CN
- China
- Prior art keywords
- nms user
- user
- authority
- nms
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种网络管理控制方法及***,包括:在网络管理控制***中,最高层网管用户创建权限标签,建立权限标签与网络对象/对象组之间的依附关系;上层网管用户创建或删除下层网管用户,并将自己所拥有的权限标签全部或部分授予给下层网管用户;各网管用户对网络对象/对象组进行操作时,验证网管用户所拥有的权限标签是否与请求操作的网络对象/对象组所依附的权限标签一致,仅当两者一致时才允许网管用户对网络对象/对象组进行操作。本发明可实现网络管理的多级权限分配和权限控制。
Description
技术领域
本发明涉及无线通信领域,尤其涉及一种无线通信网络的网络管理控制方法与***。
背景技术
目前的无线通信网络运营支撑***在访问控制方面大多采用了基于角色的访问控制模型(Role-Based Access Model),通过预先定义的用户、角色、权限来定义***的访问控制,即WHO+WHAT+HOW,这是权限***中较为灵活的一种粗粒度访问控制,其基本思想就是将访问许可权分配给一定的角色,用户通过饰演不同的角色获得角色所拥有的访问许可权。然而,基于角色的访问控制模型不能满足多级和立体的用户组织结构,角色由***管理员定义、角色成员的增减也只能由***管理员来执行,即只有***管理员有权定义和分配角色,低级别的管理员不能自主地将访问权限授予管辖范围内用户。
对于多级的用户组织结构进行角色的分配和管理是一项非常复杂的管理工作,低级别的管理员不能创建新的用户、也不能分配角色给自己管辖范围内的用户。同样在被管对象发生变更的情况下,***管理员需要重新对用户访问对象权限的角色的权利进行配置,而不能实现自适应。例如:地市分公司在开通新业务时需要等待省中心的***管理员完成相关的设备配置和业务开通工作,既影响了业务开通的效率,也会造成省公司***管理员长期超负荷工作。而如果为每个地市分公司提供***管理员的最高权限,又会担心出现大量超级用户、难以控制权限的扩散并有权限被滥用的可能性。
综上所述,现有技术中,对网络的管理控制没有建立起有效的权限分配、授予和管理机制。
发明内容
本发明实施例提供一种网络管理控制方法与网络管理控制***,实现多级权限分配、控制和管理。
一种网络管理控制方法,包括:
上层网管用户创建下层网管用户;
所述上层网管用户将自己所拥有的网络管理权限全部或部分授予给所述下层网管用户;
各网管用户根据自己所拥有的网络管理权限,对网络对象/对象组进行操作;
所述上层网管用户将自己所拥有的网络管理权限全部或部分授予给所述下层网管用户,包括:所述上层网管用户将自己所拥有的权限标签全部或部分授予给所述下层网管用户,所述权限标签由最高层网管用户创建,是用于对所述网络对象/对象组进行操作的凭证;
该方法还包括:建立所述网络对象/对象组与所述权限标签之间的依附关系;
所述各网管用户根据自己所拥有的网络管理权限,对网络对象/对象组进行操作,包括:验证所述网管用户所拥有的权限标签之一与请求操作的网络对象/对象组所依附的权限标签之一是否一致,若是,则允许所述网管用户对所述网络对象/对象组进行操作;否则,不允许所述网管用户对所述网络对象/对象组进行操作。
根据本发明的上述方法,所述上层网管用户将自己所拥有的权限标签全部或部分授予给所述下层网管用户,包括:
所述上层网管用户将自己所拥有的全部或部分权限标签通过操作通道授予给所述下层网管用户,所述操作通道作为中间介质存储网管用户被授予的权限标签。
根据本发明的上述方法,还包括:
所述上层网管用户通过所述操作通道取消授予给所述下层网管用户的权限标签。
根据本发明的上述方法,所述操作通道为多个,每一个操作通道与一种网络对象/对象组操作类型相对应,每一个操作通道中存储该网管用户在对应操作类型上的权限标签。
根据本发明的上述方法,所述建立网络对象/对象组与所述权限标签之间的依附关系,包括:
根据预设的权限标签与网络对象/对象组的依附策略,自动生成所述网络对象/对象组与所述权限标签之间的依附关系;和/或
由最高层网管用户手动建立所述网络对象/对象组与所述权限标签之间的依附关系。
根据本发明的上述方法,当所述网络对象为包含多个子对象的父容器对象,且已建立起与所述权限标签之间的依附关系后,其所包含的各个子对象自动继承所述父容器对象所依附的权限标签。
根据本发明的上述方法,还包括:设定所述权限标签的生命周期,当权限标签的生命周期到达时,相应网管用户不再拥有该权限标签。
根据本发明的上述方法,还包括:上层网管用户删除下层网管用户。
根据本发明的上述方法,还包括:
设定权限控制点,并由所述上层网管用户对所述下层网管用户进行权限控制点管理。
根据本发明的上述方法,还包括:设定进行权限控制点管理的特权用户,仅由所述特权用户对其下层网管用户进行权限控制点管理。
根据本发明的上述方法,设定支持模板和继承的权限控制点,允许下层网管用户继承上层网管用户的权限控制点的部分或全部默认设置。
根据本发明的上述方法,还包括:为网管用户授予对象事件处理权限;当网络中的事件服务器获取到对象事件时,将所述对象事件上报给具有该对象事件处理权限的网管用户。
根据本发明的上述方法,所述为网管用户授予对象事件处理权限,包括:
为网管用户授予对象事件的查看权限;或者
还为网管用户授予对象事件的操作控制权限。
根据本发明的上述方法,所述将对象事件上报给具有该对象事件处理权限的网管用户,包括:
所述事件服务器根据获取到的对象事件,确定出具有该对象事件处理权限的网管用户;
所述事件服务器向具有该对象事件处理权限的网管用户当前登录的控制台发送相应的对象事件上报消息;
所述控制台显示出上报的对象事件信息;或者
所述控制台还接受网管用户的控制,对所述对象事件所涉及的网络对象/对象组进行操作。
一种网络管理控制***,包括:
第一功能单元,用于上层网管用户创建或删除下层网管用户;
第二功能单元,用于所述上层网管用户将自己所拥有的网络管理权限全部或部分授予给所述下层网管用户;
第三功能单元,用于各网管用户根据自己所拥有的网络管理权限,对网络对象/对象组进行操作。
所述第二功能单元,包括:
权限标签生成模块,用于允许最高层网管用户创建权限标签;
权限标签授予模块,用于所述上层网管用户将自己所拥有的权限标签全部或部分授予给所述下层网管用户;
对象标签依附模块:用于建立起所述网络对象/对象组与所述权限标签之间的依附关系。
所述第三功能单元,包括:权限验证模块和执行处理模块;
所述权限验证模块,用于接受网管用户对所述网络对象/对象组的操作请求,验证所述网管用户所拥有的权限标签之一与请求操作的网络对象/对象组所依附的权限标签之一是否一致,若是,则发送第一消息给所述执行处理模块,否则,发送第二消息给所述执行处理模块;
所述执行处理模块,用于接收所述第一消息,对请求操作的所述网络对象/对象组进行操作;或者接收所述第二消息,向所述网管用户显示不允许操作信息。
根据本发明的上述***,还包括:权限控制点管理单元,用于设定权限控制点,并实现所述上层网管用户对所述下层网管用户进行权限控制点管理。
根据本发明的上述***,还包括:对象事件处理单元,用于为网管用户授予对象事件处理权限,并通知给网络中的事件服务器。
本发明实施例提供的网络管理控制方法与网络管理控制***,通过上层网管用户创建或删除下层网管用户;并由上层网管用户将自己所拥有的网络管理权限全部或部分授予给所述下层网管用户;各网管用户根据自己所拥有的网络管理权限,对网络对象/对象组进行操作。由于上层网管用户可以将自己所拥有的网络管理权限全部或部分授予给下层网管用户,使得权限分散,减轻了上层网管用户的负担,提高了下层用户业务开通的效率;且由于各层网管用户仅从自己的管理权限子集中提取部分权限授予下级用户,从而避免了大量超级用户的出现和滥用权限的可能性。
附图说明
图1为本发明实施例中用户分级树结构图;
图2a为本发明实施例中网管用户的权限标签以操作通道为中间介质进行存储的示意图;
图2b为本发明实施例中权限标签存储在对象操作入口处的示意图;
图3为本发明实施例中对象/对象组依附一个或多个权限标签的示意图;
图4为本发明实施例中权限标签继承的示意图;
图5为本发明实施例中网管用户对网络对象进行操作时,验证权限标签是否一致的示意图;
图6为本发明实施例中对象变更前网管用户和对象的权限标签示意图;
图7为本发明实施例中对象变更后网管用户和对象的权限标签示意图;
图8为本发明实施例中网络管理控制***示意图。
具体实施方式
本发明实施例提供一种基于权限标签的网络管理控制方法及***,该方法采用用户分级树结构,实现多级分权和自治管理。用户分级树如图1所示。其中:
Root组、用户11、用户12、用户13、用户21......等是用户分级树不同层的网管用户,它们是网络管理权限的拥有者。
Root组是一个超级管理员,它是一个特殊的网管用户,拥有所有的网络管理权限;它可以创建权限标签,并将自己所拥有的权限标签全部或部分授予给下层的网管用户。其它层的网管用户拥有与超级管理员赋予的权限标签相对应的网络管理权限。
从最高层的Root组开始,每个网管用户都可以创建/删除下层网管用户,并将自己所拥有的权限标签授予下层网管用户,以图1中所示为例:
Root组创建用户11、用户12、用户13、......;
用户12创建用户21、用户22、用户23、......;
用户21创建用户31、用户32、......;
......,依此类推;
n-1层的某一网管用户创建用户n1、用户n2、用户n3......。
一个用户创建的下一层用户的集合称为该用户的管辖域;例如:用户11、用户12、用户13、......为Root组的管辖域;用户21、用户22、用户23、......为用户12的管辖域,等等。
一个用户创建的所有下层用户的集合称为该用户的管辖树;例如:用户11、用户12、用户13、用户21、用户22、用户23、用户31、用户32、用户n1、用户n2、用户n3......构成Root组的管辖树;用户21、用户22、用户23、用户31、用户32、用户n1、用户n2、用户n3......为用户12的管辖树,等等。
所有树(域)的集合称为森林,森林只被超级管理员管辖;
因此,对于树上每个节点的网管用户来说,它既是上层节点的网管用户的子用户,又是下层节点树的管理员,能够在自己的管辖树中完成所有下层用户的创建和权限标签的授予。例如图1所示的用户分级树模型,从最上层的超级管理员Root开始,可以不断向下创建下层网管用户,支持最多32层,最大32767个网管用户,每个用户角色可以创建最多128个登陆账户。
同时,每个网管用户可以对应多个账户实体,通过各自独立的登录名和登录口令验证其合法性。
特别的,用户21、用户22、用户23也可以由Root组创建并授予权限标签;用户31、用户32也可以由Root组和用户12创建并授予权限标签;用户n1、用户n2、用户n3也可以由Root组、用户12、用户21等上层用户创建并授予权限标签。
权限标签只能由最高层网管用户创建,如:图1中的超级管理员Root组,权限标签用作对网络对象/对象组进行操作的凭证,通过这个权限标签就可以对对象/对象组进行访问/管理。超级管理员拥有所有权限标签,其它用户的权限标签是超级管理员权限标签的一个子集。
上层网管用户通过操作通道将自己所拥有的全部或部分权限标签授予给下层网管用户,以及剥夺下层网管用户所拥有的权限标签的过程,称为授权操作。授权操作是通过操作通道进行,并以操作通道作为中间介质来存储用户被授予的权限标签。
每个用户都存在1~N个操作通道,每个操作通道分别对应某种操作类型(如读、写、执行、删除、遍历、或者自定义的告警确认、告警清除、告警派单、远程登录等)。操作通道作为网管用户和该操作类型上权限标签的入口介质,保存用户在这一类型操作上权限标签的存储状况。所以上层网管用户只能在相同的操作通道上对下层网管用户进行自己拥有的权限标签授权或者剥夺。
网管用户以操作通道为中间介质存储自身所拥有的权限标签的示意图如图2a所示。该网管用户包括:读、写、执行及其它操作通道。对应操作类型“读”的操作通道上存储有标签1、标签2、和标签3;对应操作类型“写”的操作通道上存储有标签1;对应操作类型“执行”的操作通道上存储有标签2、和标签3;对应操作类型“其它”的操作通道上存储有标签2、和标签3。
对象依附1到多个权限标签的示意图如图2b所示。对象1的依附入口处存储了标签1、标签2和标签4;对象2的依附入口处存储了标签1和标签4;对象3的依附入口处存储了标签3和标签4。
超级管理员在创建权限标签之后,可以手动建立网络对象/对象组与创建的权限标签之间的依附关系。每个对象/对象组可以依附1到多个权限标签,一旦对象依附了权限标签,在对象上的操作类型随着网管用户的操作通道的类型可以不断的变更和增删,一切取决于网管用户自身操作通道和操作通道上被授予的权限标签的定义。对象/对象组依附1到多个权限标签的情况如图3所示:
对象/对象组1依附了标签1和标签3;
对象/对象组2依附了标签2;
对象/对象组3依附了标签2和标签3。
在创建权限标签的时候,也可以定义这个权限标签自动依附到网络对象/对象组的策略,比如对象/对象组别名中的关键字、对象/对象组的地址范围段等。一旦创建了符合自动依附策略的网络对象,或者对象属性变更后符合依附策略,网络管理控制***将自动对这些注册对象进行权限标签依附操作。这个功能大大简化了对象创建或者变更后,需要用户手工进行权限标签依附的工作,让权限标签和对象的分配关系可以自动完成。即网络对象/对象组可以根据预设的权限标签与网络对象/对象组的依附策略,自动生成网络对象/对象组与权限标签之间的依附关系。
同样的,最高层网管用户还可以创建具有继承功能的权限标签,用于当父容器对象建立起与权限标签之间的依附关系后,其所包含的各个子对象自动继承父容器对象所依附的权限标签。例如端口对象等。权限标签继承的情况如图4所示:图中的父容器对象包含有子对象1、子对象2和子对象3三个子对象。当将权限标签——标签1授予父容器对象之后,不仅父容器对象依附了标签1,根据继承关系,子对象1、子对象2和子对象3均依附了标签1。
特别的,最高层网管用户还可以为权限标签设定生命周期,来控制网管用户对网络对象操作权限的使用时间,当权限标签的生命周期到达时,相应网管用户不再拥有该权限标签。
当网管用户要对某一个对象的操作进行访问的时候,网络管理控制***通过验证双方是否拥有相同的权限标签,来鉴别网管用户是否对该对象具有相应的操作权限;若是,则允许该网管用户对请求操作的网络对象/对象组进行操作;否则,不允许该网管用户对请求操作的网络对象/对象组进行操作。例如图5所示的网管用户与对象/对象组拥有相同的权限标签——标签x,该用户可以对该对象/对象组进行访问或管理。
以上所述基于权限标签的网络管理控制方法,可以在网管用户操作通道上完成权限标签的管理,使各级网管用户能够自主将所拥有的权限授予给下层的网管用户,实现对本管辖区域的自治管理(包括继续创建下级网管用户、创建本地资源对象、对下级网管用户提供授权等),从而减轻了最高层网管用户的工作负担。
网管用户与网络对象之间并没有直接的权限关系,通过权限标签作为鉴权的凭证,使得权限集合的最大记录数由原来的:最大记录数等于网管用户数x对象个数x可以提供的操作类型的数量,变为现在的:网管用户数x操作类型的数量x所有的权限标签数+对象数x所有的权限标签数;有效的降低权限记录数量,提高了鉴权效率。同时,也能够基于权限标签的自动依附来提供权限关系的自适应功能。
当对象发生变更后,如网元从A市转移到B市,相关的管理权限也由A市管理员转移到B市管理员,通过权限标签自动依附关系能够自动更新对象依附的权限标签,而不必重新对访问对象的网管用户进行授权,从而实现权限关系的自适应调整。对象变更前后,网络对象与网管用户所依附标签情况如图6和图7所示。其中,图6为对象变更前的情况:网管用户(某子网管理员)拥有的权限标签为某子网路由器,变更前设备也拥有权限标签某子网路由器,所以,某子网管理员可以对该变更前设备进行访问和管理;图7为对象变更后的情况,网管用户(某子网管理员)拥有的权限标签为该子网路由器,变更后的设备自动依附于权限标签该子网路由器,则该子网管理员依然可以对变更后的设备进行访问和管理。
权限控制点是对网管***的抽象操作行为进行控制的方式。抽象的操作行为包括:功能菜单项、工具条上功能按钮、泛指的某种行为(如打印报表、开通电路等);这些都能定义为权限控制点纳入权限管理。权限控制点是直接和网管用户***的,每个网管用户都被定义了对哪些权限控制点具有权限,哪些不具有权限,这样网管用户和权限控制点的列表就构成了一个二维关系。
对于上述网络管理控制方法中的分级管理形式,仅仅提供网管用户-权限控制点的简单二维映射关系是远远不够的,因为每个网管用户除了被上层网管用户管理之外,也要对下层的管辖树进行权限控制点的管理,这就需要把权限控制点的权限许可设定和管辖树联系起来。每个上层的网管用户都可以管辖下层网管用户对应的权限控制点,设定哪些权限控制点是下层用户可以访问,哪些是不可以访问的。同时为了简化操作,权限控制点的设定支持模板和继承,允许下层网管用户继承上层网管用户的权限控制点的部分或者全部默认设置。
在用户分级树中,也可以定义不同级别的网管用户是否能够具有对下层网管用户进行权限控制点管理的特权,这样对于从某一层开始的网管用户来说,就只是被管理者而不是权限控制点的管理者。例如只设定到地市网管用户这一层或者某3个特殊地市的网管用户具有权限控制点管理者特权,那么除了省中心***网管用户和这3个特殊地市网管用户具有对下级网管用户进行权限控制点分配(授权和剥夺)的权限之外,其他地市网管用户或者更下层的区网管用户都无法再对自己管辖范围内的下层网管用户进行相应的权限控制点管理。
上述网络管理控制方法,能够支撑大量的并发客户端访问,为各级网管用户提供高效、便捷的网络接入口。
而原有的故障管理实现方法:各个客户端的告警控制台从告警后台服务器订阅告警事件,客户端的告警控制台通过在***中定制的显示过滤器对收到的告警事件进行过滤呈现。所有的告警事件都从告警后台服务器传输到每个客户端,只能在客户端实现对告警事件的显示过滤。如果将这一模式应用到本发明提供的网络管理控制方法中,将存在如下问题:
(1)由于消息服务器将所有的告警事件几乎同时发送到所有的告警控制台,消息传输量与客户端数量呈线性比例。而实际上很多告警对于某个用户来说是不可见的(如地市网管人员无法看到省网设备的告警事件)。这样就增加了消息服务器的传输负担,随着客户端数量的不断增加,告警后台服务的实时响应能力将显著下降,无法支撑大量的并发访问;
(2)无法对各种对象集合(如基于地理或者业务系列来划分)提供告警查询/告警处理的分级权限管理;
为了提高***对对象事件,例如:上述告警事件的并发支撑能力,本发明方法提供了数据层的权限过滤功能,对对象事件进行分权控制和过滤,通过权限过滤降低传输的消息数量。具体为:针对为不同对象的事件,为网管用户授予相应的对象事件处理权限,包括查看的权限、操作控制的权限等。当网络中的事件服务器获取到对象事件时,根据获取到的不同的对象事件,确定出具有该对象事件处理权限的网管用户;然后事件服务器向具有该对象事件处理权限的网管用户当前登录的控制台发送相应的对象事件上报消息;所述控制台显示出上报的对象事件信息;或者所述控制台还接受网管用户的控制,对所述对象事件所涉及的网络对象/对象组进行操作。
以告警事件为例:
通过验证告警控制台登录的网管用户对告警事件的处理权限,在服务器端对订阅的告警事件进行基于权限的过滤。如果告警事件对用户“可见”(即用户具有对该告警事件的处理权限),则通过消息将该事件发送到该用户所登录的告警控制台;如果是“不可见”的(即用户不具有对该告警事件的处理权限),则该事件将在后台被直接过滤,不会发送到该用户所登录的告警控制台。
由于只有网管用户获得授权的事件才被传输到该网管用户登录的告警控制台,将显著降低在网络上传输的事件上报消息数量,提高***的响应速度,提供可靠的并发访问支撑。
***还将提供网管用户对告警事件操作权限的控制功能,即网管用户对于告警事件处理(如确认、清除、派单)的授权是按对象划分的。例如某地市级的网管用户只能查看某个对象的告警事件,但没有对该对象的告警事件进行处理的权限;而省中心的网管用户对该对象发生的告警事件既有查看的权限,又有操作的权限。
同时,应用层的告警后台处理提供负载均衡支持,能够将消息队列中的消息均衡的发到运行在不同服务器上的各个事件分析器里,从而提高后台事件处理的可扩展性。
上述网络管理控制方法提供的数据层的权限过滤方法,如在故障管理后台对告警事件进行分权控制和事件的过滤,基于客户端登录的网管用户的身份进行消息过滤,实现了故障的分级权限管理,有效的提高了***对故障管理客户端的并发支撑能力。
根据上述网络管理控制方法,可以构建一种用于无线通信网络的网络管理控制***80,该***包括:第一功能单元801、第二功能单元802、第三功能单元803、权限控制点管理单元804和对象事件处理单元805。
第一功能单元801,用于上层网管用户在自己的管辖树中创建或删除下层网管用户。
第二功能单元802,用于上层网管用户将自己所拥有的网络管理权限以授予权限标签的形式全部或部分授予自己的管辖树中下层网管用户。
较佳的,第二功能单元802还可以划分为:
权限标签生成模块8021,用于允许最高层网管用户创建权限标签;
权限标签授予模块8022,用于上层网管用户将自己所拥有的权限标签全部或部分授予给自己的管辖树中下层网管用户;
对象标签依附模块8023,用于建立起网络对象/对象组与权限标签之间的依附关系,每个对象/对象组可以依附一到多个权限标签。
第三功能单元803用于各网管用户根据自己所拥有的网络管理权限,对网络对象/对象组进行操作。
较佳的,第三功能单元803还可以划分为:
权限验证模块8031,用于接受网管用户对网络对象/对象组的操作请求,验证网管用户所拥有的权限标签之一与请求操作的网络对象/对象组所依附的权限标签之一是否一致,若是,则发送第一消息给执行处理模块8032,否则,发送第二消息给执行处理模块8032;
执行处理模块8032,用于接收权限验证模块8031发送的第一消息,对请求操作的所述网络对象/对象组进行操作;或者接收权限验证模块8031第二消息,向所述网管用户显示不允许操作信息。
权限控制点管理单元804用于设定权限控制点,并实现所述上层网管用户对所述下层网管用户进行权限控制点管理。
对象事件处理单元805用于为网管用户授予对象事件处理权限,并通知给网络中的事件服务器,具体为:当网管用户对某对象事件具有处理权限时,则将该对象事件上报给该网管用户的登录的事件服务器。
本发明实施例提供的网络管理控制方法与网络管理控制***,通过上层网管用户创建或删除下层网管用户;并由上层网管用户将自己所拥有的网络管理权限以授予权限标签的形式全部或部分授予给所述下层网管用户;各网管用户根据自己所拥有的网络管理权限,对网络对象/对象组进行操作。以权限标签作为鉴权的凭证,实现网管用户和操作对象之间权限关系的动态组合,使得用户对操作对象的访问权限实现了更灵活的配置;有效的降低权限记录数量,提高了鉴权的效率;权限标签的自动依附功能使得权限管理具有很强的自适应性;通过设置权限标签的生命周期,实现了权限使用时间的灵活控制;由于上层网管用户可以将自己所拥有的网络管理权限全部或部分授予给下层网管用户,实现了本辖区内的自治管理,权限的分散,减轻了上层网管用户的负担,提高了下层用户业务开通的效率;且由于各层网管用户仅从自己的管理权限子集中提取部分权限授予下级用户,从而避免了大量超级用户的出现和滥用权限的可能性。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化、替换或应用到其他类似的装置,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求书的保护范围为准。
Claims (17)
1.一种网络管理控制方法,其特征在于,包括:
上层网管用户创建下层网管用户;
所述上层网管用户将自己所拥有的网络管理权限全部或部分授予给所述下层网管用户;
各网管用户根据自己所拥有的网络管理权限,对网络对象/对象组进行操作;
所述上层网管用户将自己所拥有的网络管理权限全部或部分授予给所述下层网管用户,包括:所述上层网管用户将自己所拥有的权限标签全部或部分授予给所述下层网管用户,所述权限标签由最高层网管用户创建,是用于对所述网络对象/对象组进行操作的凭证;
该方法还包括:建立所述网络对象/对象组与所述权限标签之间的依附关系;
所述各网管用户根据自己所拥有的网络管理权限,对网络对象/对象组进行操作,包括:验证所述网管用户所拥有的权限标签之一与请求操作的网络对象/对象组所依附的权限标签之一是否一致,若是,则允许所述网管用户对所述网络对象/对象组进行操作;否则,不允许所述网管用户对所述网络对象/对象组进行操作。
2.如权利要求1所述的方法,其特征在于,所述上层网管用户将自己所拥有的权限标签全部或部分授予给所述下层网管用户,包括:
所述上层网管用户将自己所拥有的全部或部分权限标签通过操作通道授予给所述下层网管用户,所述操作通道作为中间介质存储网管用户被授予的权限标签。
3.如权利要求2所述的方法,其特征在于,还包括:
所述上层网管用户通过所述操作通道取消授予给所述下层网管用户的权限标签。
4.如权利要求2或3所述的方法,其特征在于,所述操作通道为多个,每一个操作通道与一种网络对象/对象组操作类型相对应,每一个操作通道中存储该网管用户在对应操作类型上的权限标签。
5.如权利要求1所述方法,其特征在于,所述建立网络对象/对象组与所述权限标签之间的依附关系,包括:
根据预设的权限标签与网络对象/对象组的依附策略,自动生成所述网络对象/对象组与所述权限标签之间的依附关系;和/或
由最高层网管用户手动建立所述网络对象/对象组与所述权限标签之间的依附关系。
6.如权利要求5所述方法,其特征在于,当所述网络对象为包含多个子对象的父容器对象,且已建立起与所述权限标签之间的依附关系后,其所包含的各个子对象自动继承所述父容器对象所依附的权限标签。
7.如权利要求1所述的方法,其特征在于,还包括:设定所述权限标签的生命周期,当权限标签的生命周期到达时,相应网管用户不再拥有该权限标签。
8.如权利要求1所述的方法,其特征在于,还包括:上层网管用户删除下层网管用户。
9.如权利要求1所述的方法,其特征在于,还包括:
设定权限控制点,并由所述上层网管用户对所述下层网管用户进行权限控制点管理。
10.如权利要求9所述的方法,其特征在于,还包括:设定进行权限控制点管理的特权用户,仅由所述特权用户对其下层网管用户进行权限控制点管理。
11.如权利要求9或10所述的方法,其特征在于,设定支持模板和继承的权限控制点,允许下层网管用户继承上层网管用户的权限控制点的部分或全部默认设置。
12.如权利要求1所述的方法,其特征在于,还包括:为网管用户授予对象事件处理权限;当网络中的事件服务器获取到对象事件时,将所述对象事件上报给具有该对象事件处理权限的网管用户。
13.如权利要求12所述的方法,其特征在于,所述为网管用户授予对象事件处理权限,包括:
为网管用户授予对象事件的查看权限;或者
为网管用户授予对象事件的操作控制权限。
14.如权利要求13所述的方法,其特征在于,所述将对象事件上报给具有该对象事件处理权限的网管用户,包括:
所述事件服务器根据获取到的对象事件,确定出具有该对象事件处理权限的网管用户;
所述事件服务器向具有该对象事件处理权限的网管用户当前登录的控制台发送相应的对象事件上报消息;
所述控制台显示出上报的对象事件信息;或者
所述控制台还接受网管用户的控制,对所述对象事件所涉及的网络对象/对象组进行操作。
15.一种网络管理控制***,其特征在于,包括:
第一功能单元,用于上层网管用户创建或删除下层网管用户;
第二功能单元,用于所述上层网管用户将自己所拥有的网络管理权限全部或部分授予给所述下层网管用户;
第三功能单元,用于各网管用户根据自己所拥有的网络管理权限,对网络对象/对象组进行操作;
所述第二功能单元,包括:
权限标签生成模块,用于允许最高层网管用户创建权限标签;
权限标签授予模块,用于所述上层网管用户将自己所拥有的权限标签全部或部分授予给所述下层网管用户;
对象标签依附模块:用于建立起所述网络对象/对象组与所述权限标签之间的依附关系;
所述第三功能单元,包括:权限验证模块和执行处理模块;
所述权限验证模块,用于接受网管用户对所述网络对象/对象组的操作请求,验证所述网管用户所拥有的权限标签之一与请求操作的网络对象/对象组所依附的权限标签之一是否一致,若是,则发送第一消息给所述执行处理模块,否则,发送第二消息给所述执行处理模块;
所述执行处理模块,用于接收所述第一消息,对请求操作的所述网络对象/对象组进行操作;或者接收所述第二消息,向所述网管用户显示不允许操作信息。
16.如权利要求15所述的***,其特征在于,还包括:权限控制点管理单元,用于设定权限控制点,并实现所述上层网管用户对所述下层网管用户进行权限控制点管理。
17.如权利要求15或16所述的***,其特征在于,还包括:对象事件处理单元,用于为网管用户授予对象事件处理权限,并通知给网络中的事件服务器。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2007101788303A CN101453357B (zh) | 2007-12-05 | 2007-12-05 | 一种网络管理控制方法与网络管理控制*** |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2007101788303A CN101453357B (zh) | 2007-12-05 | 2007-12-05 | 一种网络管理控制方法与网络管理控制*** |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101453357A CN101453357A (zh) | 2009-06-10 |
CN101453357B true CN101453357B (zh) | 2011-08-03 |
Family
ID=40735392
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2007101788303A Active CN101453357B (zh) | 2007-12-05 | 2007-12-05 | 一种网络管理控制方法与网络管理控制*** |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101453357B (zh) |
Families Citing this family (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102413106B (zh) * | 2010-09-26 | 2016-05-11 | 百度在线网络技术(北京)有限公司 | 安全处理广告商数据的方法和*** |
CN102307114A (zh) * | 2011-09-21 | 2012-01-04 | 北京神州绿盟信息安全科技股份有限公司 | 一种网络的管理方法 |
CN104850454B (zh) * | 2014-02-14 | 2017-11-28 | ***通信集团公司 | 一种终端的应用程序访问sim卡的方法及装置 |
CN105656660A (zh) * | 2014-12-02 | 2016-06-08 | 中兴通讯股份有限公司 | 任务管理、调度方法及装置、*** |
CN104951527A (zh) * | 2015-06-12 | 2015-09-30 | 深圳互娱网络科技有限公司 | 一种快速配置数据库管理后台的***和方法 |
WO2018000129A1 (zh) * | 2016-06-27 | 2018-01-04 | 华为技术有限公司 | 一种策略管理方法以及nfv实体 |
CN106126706B (zh) * | 2016-06-30 | 2019-05-21 | 国云科技股份有限公司 | 一种基于角色的资源范围控制方法 |
CN109246079B (zh) * | 2018-08-02 | 2021-09-24 | 网易乐得科技有限公司 | 权限管理方法、***、介质和电子设备 |
CN109033773B (zh) * | 2018-08-16 | 2023-03-10 | 禅境科技股份有限公司 | 双屏终端操作权限管理方法、终端及计算机可读存储介质 |
CN110134732A (zh) * | 2019-05-17 | 2019-08-16 | 北京天融信网络安全技术有限公司 | 一种授权关系数量的展示方法及装置 |
CN111885095B (zh) * | 2020-05-27 | 2023-04-18 | 深圳市西迪特科技有限公司 | 多级数据分发管理方法及数据分发展示网络*** |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1739109A (zh) * | 2001-05-31 | 2006-02-22 | 康坦夹德控股股份有限公司 | 层次化地为文档分配权限的方法和装置以及具有这样的权限的文档 |
-
2007
- 2007-12-05 CN CN2007101788303A patent/CN101453357B/zh active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1739109A (zh) * | 2001-05-31 | 2006-02-22 | 康坦夹德控股股份有限公司 | 层次化地为文档分配权限的方法和装置以及具有这样的权限的文档 |
Also Published As
Publication number | Publication date |
---|---|
CN101453357A (zh) | 2009-06-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101453357B (zh) | 一种网络管理控制方法与网络管理控制*** | |
CN109670768A (zh) | 多业务域的权限管理方法、装置、平台及可读存储介质 | |
CN102474415B (zh) | 可配置的在线公钥基础设施(pki)管理框架 | |
CN101256605B (zh) | 企业权利框架 | |
CN104040551B (zh) | 用于控制对通过网络分发的内容的访问的***和方法 | |
CN101631116B (zh) | 一种分布式双重授权及访问控制方法和*** | |
CN100502307C (zh) | 一种集中用户安全管理方法及装置 | |
CN103442354B (zh) | 一种移动警务终端安全管控*** | |
CN103516514B (zh) | 账号访问权限的设定方法以及操控器 | |
CN106357724A (zh) | 一种统一信息管理平台整体*** | |
CN101217368A (zh) | 一种网络登录***及其配置方法以及登录应用***的方法 | |
CN102307114A (zh) | 一种网络的管理方法 | |
CN110138726A (zh) | 一种智能优化管理云端信息的方法及*** | |
CN103778379B (zh) | 管理设备上的应用执行和数据访问 | |
CN106302483A (zh) | 分权管理方法及*** | |
CN102308289A (zh) | 通信控制装置及使用了该装置的网络*** | |
CN104866774B (zh) | 账户权限管理的方法及*** | |
CN111988173B (zh) | 基于多层父子结构租户的租户管理平台和租户管理方法 | |
CN103516674B (zh) | 快速与网络设备联机的方法以及操控器 | |
KR20010111786A (ko) | 디지탈 서명과 업무관리 및 일정관리가 가능한원격통신시스템 및 그 동작방법 | |
CN101090336A (zh) | 一种网络设备的命令行接口权限分级方法 | |
CN106487770B (zh) | 鉴权方法及鉴权装置 | |
CN102201935A (zh) | 一种基于view的访问控制方法及其装置 | |
CN102148696A (zh) | 对网络业务进行管理的方法和*** | |
CN110188517A (zh) | 一种基于角色模式的用户帐号登录方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |