專利名稱:分布式網(wǎng)管平臺的安全分權(quán)管理系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明屬于計算機(jī)網(wǎng)絡(luò)通信領(lǐng)域,具體涉及一種分布式網(wǎng)管平臺的安全分權(quán)管理系統(tǒng)。
背景技術(shù):
網(wǎng)管系統(tǒng)是電信網(wǎng)的一個重要組成部分,參考圖1,網(wǎng)管系統(tǒng)包括拓?fù)淠K、設(shè)備配置管理模塊、業(yè)務(wù)模塊和網(wǎng)管安全模塊等,網(wǎng)管用戶通過網(wǎng)管系統(tǒng)對網(wǎng)絡(luò)設(shè)備進(jìn)行配置管理。隨著網(wǎng)絡(luò)的不斷發(fā)展,其中的安全管理尤為重要,網(wǎng)絡(luò)結(jié)構(gòu)越發(fā)復(fù)雜,網(wǎng)管系統(tǒng)需要管理的網(wǎng)絡(luò)對象越來越多,如果僅由一個管理用戶進(jìn)行整網(wǎng)配置管理,必然導(dǎo)致該管理用戶工作繁瑣復(fù)雜,而且容易出錯。如果分配多位管理人員進(jìn)行網(wǎng)絡(luò)配置管理,總管理人員對所有管理人員進(jìn)行管理,工作量大且繁瑣。
發(fā)明內(nèi)容
本發(fā)明克服上述對網(wǎng)絡(luò)對象配置的不足,提供一種簡潔、可靠、易于實(shí)現(xiàn)的分布式網(wǎng)管平臺的安全分權(quán)管理系統(tǒng),達(dá)到減低網(wǎng)絡(luò)管理復(fù)雜程度,提高網(wǎng)管安全管理安全性。
本發(fā)明的技術(shù)內(nèi)容一種分布式網(wǎng)管平臺的安全分權(quán)管理系統(tǒng),網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)設(shè)備的從屬對象作為網(wǎng)管對象存在于網(wǎng)管系統(tǒng)中,網(wǎng)管系統(tǒng)包括拓?fù)淠K、設(shè)備配置管理模塊、業(yè)務(wù)模塊和網(wǎng)管安全模塊等,網(wǎng)管系統(tǒng)設(shè)置一個默認(rèn)的超級用戶,超級用戶創(chuàng)建網(wǎng)管用戶,網(wǎng)管用戶創(chuàng)建下級網(wǎng)管用戶,超級用戶分配網(wǎng)管對象給網(wǎng)管用戶,上級網(wǎng)管用戶可以分配網(wǎng)管對象給下級網(wǎng)管用戶,使每個網(wǎng)管用戶具有一網(wǎng)管對象集合,當(dāng)網(wǎng)管用戶登錄網(wǎng)管時,網(wǎng)管安全模塊根據(jù)登錄用戶的網(wǎng)管對象集合進(jìn)行該網(wǎng)管用戶操作許可的校驗(yàn)。
登錄用戶對某個網(wǎng)管對象進(jìn)行操作時,網(wǎng)管安全模塊會遍歷該網(wǎng)管對象包括所有子網(wǎng)管對象,判斷用戶網(wǎng)管對象集合中是否包含網(wǎng)管對象以及所有子網(wǎng)管對象,如果包含該網(wǎng)管對象及其所有子網(wǎng)管對象,則用戶能夠進(jìn)行操作;否則不能夠進(jìn)行操作。
當(dāng)?shù)卿浻脩鬉修改網(wǎng)管用戶B的網(wǎng)管對象集合的時候,安全模塊需要校驗(yàn)用戶A與用戶B的關(guān)系,如用戶A是用戶B的上級用戶時,用戶A將自身網(wǎng)管對象集合中子集或全集賦予用戶B;如用戶A不是用戶B的上級用戶時,不能修改用戶B的網(wǎng)管對象集合。網(wǎng)管用戶從自身的網(wǎng)管對象集合中分配網(wǎng)管對象給下級網(wǎng)管用戶,并修改下級用戶的網(wǎng)管對象集合,但不修改下級用戶創(chuàng)建的網(wǎng)管用戶的網(wǎng)管對象集合。
當(dāng)A網(wǎng)管用戶被刪除時,安全模塊將所有由A網(wǎng)管用戶直接或間接創(chuàng)建的用戶一并刪除。
超級用戶能夠修改所有網(wǎng)管用戶的網(wǎng)管對象集合。
拓?fù)淠K、設(shè)備配置管理模塊和所有業(yè)務(wù)模塊通過安全模塊校驗(yàn)登錄用戶的網(wǎng)管對象集合,將該用戶沒有操作許可的網(wǎng)管對象過濾掉,登錄用戶僅能看見具有操作許可的網(wǎng)管對象。
本發(fā)明的技術(shù)效果對于網(wǎng)管超級用戶,該用戶可以創(chuàng)建網(wǎng)管用戶,對某一個網(wǎng)管用戶而言可以創(chuàng)建下級用戶,通過分配網(wǎng)管對象與網(wǎng)管用戶,使每個網(wǎng)管用戶具有自身可網(wǎng)管對象集合,在網(wǎng)管用戶對網(wǎng)管對象進(jìn)行修改配置操作時,網(wǎng)管安全模塊通過判斷網(wǎng)管用戶網(wǎng)管對象集合與待操作對象的包容關(guān)系,確定網(wǎng)管用戶操作的有效性,網(wǎng)管用戶的級別與從屬關(guān)系,可確定網(wǎng)管用戶管理網(wǎng)管對象的力度和范圍,同時修改網(wǎng)管對象的管理粒度(通過子網(wǎng)管對象的劃分),可以方便的調(diào)整管理力度,提供了靈活管理網(wǎng)絡(luò)的手段,從而達(dá)到網(wǎng)管系統(tǒng)安全分權(quán)管理。
圖1是網(wǎng)管系統(tǒng)管理設(shè)備示意圖;圖2是本發(fā)明網(wǎng)管用戶與網(wǎng)管對象示意圖;圖3是本發(fā)明網(wǎng)管系統(tǒng)的管理設(shè)備示意圖。
具體實(shí)施例方式
本發(fā)明分布式網(wǎng)管平臺的安全分權(quán)管理系統(tǒng),包括網(wǎng)管對象需要進(jìn)行配置管理的網(wǎng)絡(luò)對象;子網(wǎng)管對象與網(wǎng)管對象有從屬關(guān)系的網(wǎng)管對象;網(wǎng)管對象集合網(wǎng)管對象與子網(wǎng)管對象組成的集合;
操作權(quán)限對網(wǎng)管對象進(jìn)行某操作的權(quán)限;網(wǎng)管超級用戶網(wǎng)管系統(tǒng)超級用戶,具有所有網(wǎng)管對象和所有操作權(quán)限;網(wǎng)管用戶網(wǎng)管系統(tǒng)中的用戶。
網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)設(shè)備的從屬對象作為網(wǎng)管對象存在于網(wǎng)管系統(tǒng)中,網(wǎng)管系統(tǒng)包括拓?fù)淠K、設(shè)備配置管理模塊、業(yè)務(wù)模塊和網(wǎng)管安全模塊,網(wǎng)管系統(tǒng)設(shè)置一默認(rèn)的超級用戶,超級用戶創(chuàng)建網(wǎng)管用戶,上級網(wǎng)管用戶創(chuàng)建下級網(wǎng)管用戶,每個網(wǎng)管用戶具有自身可網(wǎng)管對象集合與操作權(quán)限集合,當(dāng)網(wǎng)管用戶登錄網(wǎng)管時,網(wǎng)管系統(tǒng)中的安全模塊根據(jù)登錄用戶的網(wǎng)管對象集合過濾網(wǎng)管對象,拓?fù)洹⑴渲煤退袠I(yè)務(wù)模塊通過安全模塊根據(jù)登錄用戶的網(wǎng)管對象集合,將網(wǎng)管用戶的網(wǎng)管對象集合中沒有操作權(quán)限的網(wǎng)管對象過濾掉。
參考圖2,超級用戶創(chuàng)建網(wǎng)管用戶,分配網(wǎng)管對象與網(wǎng)管用戶,構(gòu)成待創(chuàng)建網(wǎng)管用戶的網(wǎng)管對象集合,超級用戶的網(wǎng)管對象集合為網(wǎng)管系統(tǒng)的所有網(wǎng)管對象,超級用戶可以對網(wǎng)管對象進(jìn)行任何操作,包括修改所有網(wǎng)管用戶的網(wǎng)管對象集合。對某一個網(wǎng)管用戶而言,網(wǎng)管用戶僅能從自身的網(wǎng)管對象集合中分配自身網(wǎng)管對象集合的子集或全集給下級用戶,網(wǎng)管用戶可修改下級用戶的網(wǎng)管對象集合,但對下級用戶創(chuàng)建的下級用戶不進(jìn)行網(wǎng)管對象集合修改,即上級用戶僅對下級用戶進(jìn)行網(wǎng)管對象集合的分配。網(wǎng)管用戶能夠?yàn)g覽的網(wǎng)管對象,僅為他自身網(wǎng)管對象集合中的網(wǎng)管對象;登錄用戶對某網(wǎng)管對象A進(jìn)行操作的時候,安全模塊根據(jù)該用戶的網(wǎng)管對象集合進(jìn)行權(quán)限校驗(yàn),遍歷A網(wǎng)管對象的所有子網(wǎng)管對象,察看用戶網(wǎng)管對象集合中是否包含A網(wǎng)管對象的所有子網(wǎng)管對象,如包含A網(wǎng)管對象的所有子網(wǎng)管對象,則用戶能夠進(jìn)行操作;如用戶的網(wǎng)管對象集合僅包含A網(wǎng)管對象子網(wǎng)管對象的子集時,則不能夠進(jìn)行操作;如用戶的網(wǎng)管對象集合不包含任何A網(wǎng)管對象或A網(wǎng)管對象的子網(wǎng)管對象時,則不能夠進(jìn)行操作。當(dāng)?shù)卿浻脩鬉修改網(wǎng)管用戶B的網(wǎng)管對象集合的時候,安全模塊需要校驗(yàn)用戶A與用戶B的關(guān)系,如用戶A是用戶B的上級用戶時,用戶A將自身網(wǎng)管對象集合中子集或全集賦予用戶B;如用戶A不是用戶B的上級用戶時,不能修改用戶B的網(wǎng)管對象集合。當(dāng)A網(wǎng)管用戶被刪除時,安全模塊將所有由A網(wǎng)管用戶直接或間接創(chuàng)建的用戶一并刪除。超級用戶對網(wǎng)管用戶可以進(jìn)行任何操作,包括修改所有網(wǎng)管用戶的網(wǎng)管對象集合。
以光網(wǎng)絡(luò)網(wǎng)管系統(tǒng)的設(shè)計為一實(shí)施例,具體說明本發(fā)明參考圖3,網(wǎng)管系統(tǒng)管理N個網(wǎng)絡(luò)設(shè)備,每個網(wǎng)絡(luò)設(shè)備有M塊單板,每塊單板內(nèi)有若干端口。這些所有對象都作為網(wǎng)管對象,某塊單板作為子網(wǎng)管對象附屬于某個設(shè)備。每個網(wǎng)管用戶都有自身網(wǎng)管對象集合,同時網(wǎng)管用戶有上下級的區(qū)別,上級用戶管理下級的用戶的權(quán)限,下級用戶的網(wǎng)管對象集合受上級用戶網(wǎng)管對象集合的范圍限制。當(dāng)網(wǎng)管用戶登錄網(wǎng)管時,網(wǎng)管系統(tǒng)中的安全模塊根據(jù)登錄用戶的網(wǎng)管對象集合過濾網(wǎng)管對象,拓?fù)淠K、設(shè)備配置管理模塊和所有業(yè)務(wù)模塊可根據(jù)登錄用戶的網(wǎng)管對象集合,將該用戶網(wǎng)管對象集合不包含的網(wǎng)管對象過濾掉,登錄用戶僅能看見自身網(wǎng)管對象集合的網(wǎng)管對象。
(1)網(wǎng)管系統(tǒng)默認(rèn)建有admin用戶,該用戶為網(wǎng)管超級用戶,超級用戶admin都不受以上限制,admin用戶可以對網(wǎng)管管理的所有網(wǎng)管對象進(jìn)行任何操作;admin能夠修改所有網(wǎng)管用戶的網(wǎng)管對象集合。
(2)現(xiàn)網(wǎng)管系統(tǒng)管理10個子架Shelf(網(wǎng)管對象),每個子架下有16塊單板Board(單板屬于對應(yīng)子架的子網(wǎng)管對象),每塊單板下有10個端口port(端口屬于對應(yīng)單板的子網(wǎng)管對象)。
(3)admin創(chuàng)建網(wǎng)管用戶UserA,則admin為UserA的上級用戶,同時分配Shelf1-Shelf8網(wǎng)管對象與其所有子網(wǎng)管對象與UserA。
(4)UserA登錄網(wǎng)管系統(tǒng)的時候,僅能在Shelf1-Shelf8中分配給已創(chuàng)建或未創(chuàng)建的用戶。同時UserA僅能看到或修改他的下級用戶屬性。
(5)UserA創(chuàng)建網(wǎng)管用戶UserAa,分配Shelf1中Board1中的Port1給UserAa,則網(wǎng)管系統(tǒng)增加Shelf1、Board1、Port1這些網(wǎng)管對象到網(wǎng)管用戶UserAa的網(wǎng)管對象集合中,此時,由于UserAa的網(wǎng)管對象集合不包含Shelf1、Board1的所有子網(wǎng)管對象,但包含Port1的所有子網(wǎng)管對象(Port1沒有子網(wǎng)管對象,僅為單獨(dú)的網(wǎng)管對象),所以UserAa能對Port1進(jìn)行瀏覽配置操作,Shelf1與Board1僅能瀏覽。
(6)當(dāng)UserA修改UserAa的網(wǎng)管對象集合的時候,網(wǎng)管系統(tǒng)能夠同步更新用戶UserAa登錄的客戶端,客戶端實(shí)時根據(jù)調(diào)整的集合信息進(jìn)行客戶端數(shù)據(jù)與界面改變。
(7)當(dāng)UserA被admin刪除后,UserAa也同樣被刪除。
(8)當(dāng)admin調(diào)整UserA網(wǎng)管對象集合的時候,刪除UserA網(wǎng)管對象集合中的某一網(wǎng)管對象時,如果UserAa的網(wǎng)管對象集合也具有該被刪網(wǎng)管對象時,UserAa的網(wǎng)管對象集合也將刪除該網(wǎng)管對象。
權(quán)利要求
1.一種分布式網(wǎng)管平臺的安全分權(quán)管理系統(tǒng),網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)設(shè)備的從屬對象作為網(wǎng)管對象存在于網(wǎng)管系統(tǒng)中,網(wǎng)管系統(tǒng)包括拓?fù)淠K、設(shè)備配置管理模塊、業(yè)務(wù)模塊和網(wǎng)管安全模塊等,其特征在于網(wǎng)管系統(tǒng)設(shè)置一默認(rèn)的超級用戶,超級用戶創(chuàng)建網(wǎng)管用戶,網(wǎng)管用戶創(chuàng)建下級網(wǎng)管用戶,通過超級用戶分配網(wǎng)管對象給網(wǎng)管用戶,上級網(wǎng)管用戶分配網(wǎng)管對象給下級網(wǎng)管用戶,使每個網(wǎng)管用戶具有一網(wǎng)管對象集合,當(dāng)網(wǎng)管用戶登錄網(wǎng)管時,網(wǎng)管安全模塊根據(jù)登錄用戶的網(wǎng)管對象集合進(jìn)行該登錄用戶操作許可的校驗(yàn)。
2.如權(quán)利要求1所述的分布式網(wǎng)管平臺的安全分權(quán)管理系統(tǒng),其特征在于所述網(wǎng)管安全模塊校驗(yàn)登錄用戶操作許可包括網(wǎng)管安全模塊遍歷該網(wǎng)管對象的所有子網(wǎng)管對象,察看用戶網(wǎng)管對象集合中是否包含該網(wǎng)管對象的所有子網(wǎng)管對象。
3.如權(quán)利要求2所述的分布式網(wǎng)管平臺的安全分權(quán)管理系統(tǒng),其特征在于如登錄用戶的網(wǎng)管對象集合不包含任何該網(wǎng)管對象或不完全包含該網(wǎng)管對象的子網(wǎng)管對象時,則登錄用戶對該網(wǎng)管對象不能夠進(jìn)行操作;如包含該網(wǎng)管對象的所有子網(wǎng)管對象,則登錄用戶對該網(wǎng)管對象能夠進(jìn)行操作。
4.如權(quán)利要求1、2或3所述的分布式網(wǎng)管平臺的安全分權(quán)管理系統(tǒng),,其特征在于當(dāng)?shù)卿浻脩鬉修改網(wǎng)管用戶B的網(wǎng)管對象集合的時候,安全模塊需要校驗(yàn)用戶A與用戶B的關(guān)系,如用戶A是用戶B的上級用戶時,用戶A可以將自身網(wǎng)管對象集合中的子集或全集賦予用戶B;如用戶A不是用戶B的上級用戶時,不能修改用戶B的網(wǎng)管對象集合。
5.如權(quán)利要求4所述的分布式網(wǎng)管平臺的安全分權(quán)管理系統(tǒng),其特征在于網(wǎng)管用戶A從自身的網(wǎng)管對象集合中分配網(wǎng)管對象給下級網(wǎng)管用戶B,但不修改下級用戶創(chuàng)建的其他網(wǎng)管用戶的網(wǎng)管對象集合。
6.如權(quán)利要求4所述的分布式網(wǎng)管平臺的安全分權(quán)管理系統(tǒng),其特征在于當(dāng)網(wǎng)管用戶A被刪除時,安全模塊將所有由網(wǎng)管用戶A直接或間接創(chuàng)建的網(wǎng)管用戶一并刪除。
7.如權(quán)利要求1所述的分布式網(wǎng)管平臺的安全分權(quán)管理系統(tǒng),其特征在于拓?fù)淠K、設(shè)備配置管理模塊和所有業(yè)務(wù)模塊通過安全模塊校驗(yàn)登錄用戶的網(wǎng)管對象集合,將該用戶沒有操作許可的網(wǎng)管對象過濾掉,登錄用戶僅能看見具有操作許可的網(wǎng)管對象。
全文摘要
本發(fā)明提供了一種分布式網(wǎng)管平臺的安全分權(quán)管理系統(tǒng),屬于計算機(jī)網(wǎng)絡(luò)通信領(lǐng)域。網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)設(shè)備的從屬對象作為網(wǎng)管對象存在于網(wǎng)管系統(tǒng)中,網(wǎng)管系統(tǒng)設(shè)置一默認(rèn)的超級用戶,超級用戶創(chuàng)建網(wǎng)管用戶,網(wǎng)管用戶創(chuàng)建下級網(wǎng)管用戶,通過超級用戶分配網(wǎng)管對象給網(wǎng)管用戶,上級網(wǎng)管用戶分配網(wǎng)管對象給下級網(wǎng)管用戶,使每個網(wǎng)管用戶具有一網(wǎng)管對象集合,當(dāng)網(wǎng)管用戶登錄網(wǎng)管時,網(wǎng)管安全模塊根據(jù)登錄用戶的網(wǎng)管對象集合進(jìn)行該登錄用戶操作許可的校驗(yàn)。通過網(wǎng)管安全模塊判斷網(wǎng)管用戶的網(wǎng)管對象集合與待操作對象的包容關(guān)系,確定網(wǎng)管用戶操作的有效性,從而實(shí)現(xiàn)了分布式網(wǎng)管平臺的安全分權(quán)管理。
文檔編號H04L12/24GK1556615SQ20031011605
公開日2004年12月22日 申請日期2003年12月30日 優(yōu)先權(quán)日2003年12月30日
發(fā)明者陳俊華 申請人:港灣網(wǎng)絡(luò)有限公司