專利名稱:一種基于view的訪問(wèn)控制方法及其裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù)領(lǐng)域,尤其涉及一種基于VIEW的訪問(wèn)控制方法及其裝置。
背景技術(shù):
現(xiàn)有 Internet 中大多基于 SNMP (Simple Network Management Protocol,簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議)體系結(jié)構(gòu),SNMP體系結(jié)構(gòu)由管理者(Manager)、代理者(Agent)、MIB (Management Information Base,管理信息庫(kù))和協(xié)議操作等部分構(gòu)成。Manager通過(guò)SNMP 協(xié)議向Agent發(fā)布操作指令,Agent響應(yīng)Manager的操作請(qǐng)求,通過(guò)訪問(wèn)MIB執(zhí)行對(duì)設(shè)備的
管理維護(hù)。MIB是所有管理對(duì)象的集合,MIB中的每個(gè)變量是一個(gè)網(wǎng)管對(duì)象屬性,存在不同的安全級(jí)別。從安全性考慮,代理者需要提供對(duì)MIB的訪問(wèn)控制功能,即負(fù)責(zé)檢查管理者是否可以操作相應(yīng)的MIB。訪問(wèn)控制為將MIB劃分為不同訪問(wèn)組(即VIEW),對(duì)每個(gè)訪問(wèn)組定義對(duì)應(yīng)的訪問(wèn)權(quán)限級(jí)別,只有具備相應(yīng)權(quán)限的用戶方被授權(quán)執(zhí)行操作。現(xiàn)有技術(shù)中,為了實(shí)現(xiàn)對(duì)MIB的訪問(wèn)控制,提出了 VACM (View-based Access Control Model,視圖訪問(wèn)控制模型),VACM是SNMP定義的訪問(wèn)控制模型,提供了對(duì)MIB的訪問(wèn)控制,以加強(qiáng)系統(tǒng)安全性。VACM要求在每臺(tái)網(wǎng)絡(luò)設(shè)備上創(chuàng)建VACM_VIEW組(用于規(guī)定訪問(wèn)MIB的范圍)、VACM_ ACCESS組(即訪問(wèn)權(quán)限組,用于規(guī)定VACM_GR0UP組與VACM_VIEW組之間的關(guān)聯(lián))、VACM_ GROUP組(即用戶分組,用于規(guī)定用戶與角色之間的關(guān)聯(lián))。VACM的具體實(shí)現(xiàn)過(guò)程包括(1)建立訪問(wèn)VACM_VIEW組;(2)創(chuàng)建VACM_GR0UP組, 建立角色管理單元,用于對(duì)用戶及其對(duì)應(yīng)的訪問(wèn)權(quán)限進(jìn)行管理;(3)建立VACM_ACCESS組, 即將訪問(wèn)具體VACM_VIEW組的讀或?qū)懙臋?quán)利賦予具體的用戶組,建立特定的用戶組訪問(wèn)特定的MIB對(duì)象的策略。上述方法雖可提供對(duì)MIB的訪問(wèn)控制,但VACM的引入要求所有的VIEW均需預(yù)先配置好,無(wú)法實(shí)現(xiàn)根據(jù)需求動(dòng)態(tài)調(diào)整,現(xiàn)有技術(shù)仍存在以下缺點(diǎn)
(I)VACM 需要定義和創(chuàng)建 Group Table,Access Table、ViewTree Table 等多種對(duì)象及表實(shí)例,并通過(guò)索引建立之間的關(guān)聯(lián)關(guān)系,實(shí)現(xiàn)復(fù)雜,處理層級(jí)較多,執(zhí)行效率較低。(2)在建立VACM_VIEW組時(shí),需要將每個(gè)屬于該VIEW的網(wǎng)管對(duì)象安裝到單獨(dú)的鏈表中,當(dāng)網(wǎng)管對(duì)象或欲建立的VIEW較多時(shí),安裝過(guò)程比較繁瑣、容易出錯(cuò)。而且實(shí)際應(yīng)用中經(jīng)常是同一個(gè)對(duì)象同時(shí)存在于多個(gè)VIEW中,導(dǎo)致最終所占用內(nèi)存資源較多。(3 )沒(méi)有向管理者提供對(duì)VIEW所包含對(duì)象進(jìn)行調(diào)整的接口以及相關(guān)MIB對(duì)象的定義,導(dǎo)致無(wú)法對(duì)VIEW進(jìn)行動(dòng)態(tài)調(diào)整,使得權(quán)限分配不靈活,如果需要調(diào)整則需要通過(guò)配置或者軟件升級(jí)實(shí)現(xiàn)。
發(fā)明內(nèi)容
本發(fā)明實(shí)施例提供一種基于VIEW的訪問(wèn)控制方法及其裝置,用以解決無(wú)法對(duì)VIEW進(jìn)行動(dòng)態(tài)調(diào)整的問(wèn)題,并實(shí)現(xiàn)對(duì)MIB的訪問(wèn)控制,為此,本發(fā)明實(shí)施例采用如下技術(shù)方案
一種基于訪問(wèn)組VIEW的訪問(wèn)控制方法,包括
接收來(lái)自管理者的請(qǐng)求消息,所述請(qǐng)求消息中攜帶用戶身份信息和待訪問(wèn)管理信息庫(kù) MIB對(duì)象的信息;
根據(jù)所述用戶身份信息確定用戶級(jí)別,確定所述用戶級(jí)別對(duì)應(yīng)的訪問(wèn)權(quán)限屬性信息, 并確定待訪問(wèn)MIB對(duì)象所屬VIEW的訪問(wèn)權(quán)限屬性信息;
根據(jù)所述用戶級(jí)別對(duì)應(yīng)的訪問(wèn)權(quán)限屬性信息和所述待訪問(wèn)MIB對(duì)象所屬VIEW的訪問(wèn)權(quán)限屬性信息的所屬關(guān)系確定是否允許管理者訪問(wèn)所述待訪問(wèn)MIB對(duì)象。
一種基于訪問(wèn)組VIEW的訪問(wèn)控制裝置,包括
接收模塊,用于接收來(lái)自管理者的請(qǐng)求消息,所述請(qǐng)求消息中攜帶用戶身份信息和待訪問(wèn)管理信息庫(kù)MIB對(duì)象的信息;
第一確定模塊,用于根據(jù)所述用戶身份信息確定用戶級(jí)別,確定所述用戶級(jí)別對(duì)應(yīng)的訪問(wèn)權(quán)限屬性信息,并確定待訪問(wèn)MIB對(duì)象所屬VIEW的訪問(wèn)權(quán)限屬性信息;
第二確定模塊,用于根據(jù)所述用戶級(jí)別對(duì)應(yīng)的訪問(wèn)權(quán)限屬性信息和所述待訪問(wèn)MIB對(duì)象所屬VIEW的訪問(wèn)權(quán)限屬性信息的所屬關(guān)系確定是否允許管理者訪問(wèn)所述待訪問(wèn)MIB對(duì)象。本發(fā)明的上述實(shí)施例,可以通過(guò)用戶級(jí)別對(duì)應(yīng)的訪問(wèn)權(quán)限屬性信息、待訪問(wèn)MIB 對(duì)象所屬VIEW的訪問(wèn)權(quán)限屬性信息的所屬關(guān)系確定是否允許管理者訪問(wèn)待訪問(wèn)MIB對(duì)象, 可實(shí)現(xiàn)對(duì)MIB的訪問(wèn)控制,而且可以查看和動(dòng)態(tài)調(diào)整VIEW中的MIB對(duì)象。
圖1為本發(fā)明實(shí)施例提供的基于訪問(wèn)組VIEW的訪問(wèn)控制方法流程示意圖; 圖2為本發(fā)明實(shí)施例提供的基于訪問(wèn)組VIEW的訪問(wèn)控制終端的結(jié)構(gòu)示意圖。
具體實(shí)施例方式由于網(wǎng)元設(shè)備的網(wǎng)管對(duì)外接口開(kāi)放是根據(jù)用戶需求逐步、分批次的,因此需要能夠?qū)IEW進(jìn)行動(dòng)態(tài)調(diào)整,而現(xiàn)有的實(shí)現(xiàn)方法中無(wú)法實(shí)現(xiàn)根據(jù)需求動(dòng)態(tài)調(diào)整VIEW。針對(duì)上述問(wèn)題,本發(fā)明實(shí)施例提供一種基于VIEW的訪問(wèn)控制方法及其裝置,以在實(shí)現(xiàn)對(duì)MIB訪問(wèn)控制的同時(shí),可支持對(duì)VIEW的動(dòng)態(tài)調(diào)整。下面結(jié)合附圖對(duì)本發(fā)明實(shí)施例進(jìn)行詳細(xì)描述。本發(fā)明實(shí)施例中,由于訪問(wèn)權(quán)限的設(shè)定依附于某個(gè)特定的MIB對(duì)象,則可以為每個(gè)MIB對(duì)象增加一個(gè)訪問(wèn)權(quán)限屬性項(xiàng),該訪問(wèn)權(quán)限屬性項(xiàng)與其它已有屬性(如OID (Object Identifier,對(duì)象標(biāo)識(shí)符)、數(shù)值類型、缺省值等)并列,且該訪問(wèn)權(quán)限屬性項(xiàng)用于記錄MIB對(duì)象的訪問(wèn)權(quán)限屬性信息(如訪問(wèn)權(quán)限屬性值)。代理者將訪問(wèn)權(quán)限屬性值保存在內(nèi)存中,管理者任何管理命令在執(zhí)行前,均需要經(jīng)過(guò)訪問(wèn)權(quán)限屬性項(xiàng)的訪問(wèn)控制。因此只需為每個(gè)MIB對(duì)象的訪問(wèn)權(quán)限屬性項(xiàng)設(shè)定合適的訪問(wèn)權(quán)限屬性值,則可根據(jù)訪問(wèn)權(quán)限屬性值確定MIB對(duì)象所屬的VIEW (具有相同訪問(wèn)權(quán)限屬性值的MIB對(duì)象對(duì)應(yīng)同一個(gè)VIEW,且每個(gè)VIEW對(duì)應(yīng)有訪問(wèn)權(quán)限屬性值),具有相同訪問(wèn)權(quán)限屬性值的MIB對(duì)象的集合構(gòu)成了管理視圖,并可基于管理視圖確定每個(gè)VIEW中包含的 MIB對(duì)象。進(jìn)一步地,由于MIB對(duì)象的訪問(wèn)權(quán)限屬性值標(biāo)識(shí)了每個(gè)VIEW中包含的MIB對(duì)象, 則通過(guò)修改MIB對(duì)象的訪問(wèn)權(quán)限屬性值即可調(diào)整該MIB對(duì)象所屬的VIEW,從而達(dá)到動(dòng)態(tài)調(diào)整VIEW的目的。基于上述特征,本發(fā)明實(shí)施例中,為了為每個(gè)MIB對(duì)象維護(hù)訪問(wèn)權(quán)限屬性值,并基于訪問(wèn)權(quán)限屬性值進(jìn)行相關(guān)處理,則需要配置并維護(hù)權(quán)限屬組定義表和MIB權(quán)限控制定義表。具體的,權(quán)限屬組定義表用于維護(hù)用戶身份信息(如用戶名和密碼)與用戶級(jí)別的對(duì)應(yīng)關(guān)系,如表1所示的權(quán)限屬組定義表accesi^serTable ;MIB權(quán)限控制定義表用于維護(hù)用戶級(jí)別與訪問(wèn)權(quán)限屬性信息的對(duì)應(yīng)關(guān)系,如表2所示的MIB權(quán)限控制定義表 mibAuthorizationControlTable。 表1權(quán)限屬組定義表
權(quán)利要求
1.一種基于訪問(wèn)組VIEW的訪問(wèn)控制方法,其特征在于,包括接收來(lái)自管理者的請(qǐng)求消息,所述請(qǐng)求消息中攜帶用戶身份信息和待訪問(wèn)管理信息庫(kù) MIB對(duì)象的信息;根據(jù)所述用戶身份信息確定用戶級(jí)別,確定所述用戶級(jí)別對(duì)應(yīng)的訪問(wèn)權(quán)限屬性信息, 并確定待訪問(wèn)MIB對(duì)象所屬VIEW的訪問(wèn)權(quán)限屬性信息;根據(jù)所述用戶級(jí)別對(duì)應(yīng)的訪問(wèn)權(quán)限屬性信息和所述待訪問(wèn)MIB對(duì)象所屬VIEW的訪問(wèn)權(quán)限屬性信息的所屬關(guān)系確定是否允許管理者訪問(wèn)所述待訪問(wèn)MIB對(duì)象。
2.如權(quán)利要求1所述的方法,其特征在于,根據(jù)所述用戶身份信息確定用戶級(jí)別,包括配置包含用戶身份信息與用戶級(jí)別的對(duì)應(yīng)關(guān)系的權(quán)限屬組定義表,并根據(jù)所述權(quán)限屬組定義表確定所述用戶身份信息對(duì)應(yīng)的用戶級(jí)別。
3.如權(quán)利要求2所述的方法,其特征在于,該方法還包括以下之一或任意組合 調(diào)整所述權(quán)限屬組定義表中用戶身份信息所對(duì)應(yīng)的用戶級(jí)別;在所述權(quán)限屬組定義表中添加用戶身份信息與用戶級(jí)別的對(duì)應(yīng)關(guān)系; 在所述權(quán)限屬組定義表中刪除用戶身份信息與用戶級(jí)別的對(duì)應(yīng)關(guān)系。
4.如權(quán)利要求1所述的方法,其特征在于,確定所述用戶級(jí)別對(duì)應(yīng)的訪問(wèn)權(quán)限屬性信息,包括配置包含用戶級(jí)別與訪問(wèn)權(quán)限屬性信息的對(duì)應(yīng)關(guān)系的MIB權(quán)限控制定義表,并根據(jù)所述MIB權(quán)限控制定義表確定所述用戶級(jí)別對(duì)應(yīng)的訪問(wèn)權(quán)限屬性信息。
5.如權(quán)利要求4所述的方法,其特征在于,該方法還包括以下之一或任意組合 調(diào)整所述MIB權(quán)限控制定義表中用戶級(jí)別對(duì)應(yīng)的訪問(wèn)權(quán)限屬性信息; 在所述MIB權(quán)限控制定義表中添加用戶級(jí)別與訪問(wèn)權(quán)限屬性信息的對(duì)應(yīng)關(guān)系; 在所述MIB權(quán)限控制定義表中刪除用戶級(jí)別與訪問(wèn)權(quán)限屬性信息的對(duì)應(yīng)關(guān)系。
6.如權(quán)利要求1所述的方法,其特征在于,所述訪問(wèn)權(quán)限屬性信息包括訪問(wèn)權(quán)限屬性值,確定待訪問(wèn)MIB對(duì)象所屬VIEW的訪問(wèn)權(quán)限屬性信息,包括為各MIB對(duì)象設(shè)置訪問(wèn)權(quán)限屬性值,并根據(jù)訪問(wèn)權(quán)限屬性值確定各MIB對(duì)象所屬的 VIEW,具有相同訪問(wèn)權(quán)限屬性值的MIB對(duì)象對(duì)應(yīng)同一個(gè)VIEW,且每個(gè)VIEW對(duì)應(yīng)有訪問(wèn)權(quán)限屬性值;確定待訪問(wèn)MIB對(duì)象所屬的VIEW所對(duì)應(yīng)的訪問(wèn)權(quán)限屬性值。
7.如權(quán)利要求6所述的方法,其特征在于,該方法還包括調(diào)整為MIB對(duì)象設(shè)置的訪問(wèn)權(quán)限屬性值,并根據(jù)調(diào)整后的訪問(wèn)權(quán)限屬性值重新確定 MIB對(duì)象所屬的VIEW。
8.如權(quán)利要求1所述的方法,其特征在于,根據(jù)所述用戶級(jí)別對(duì)應(yīng)的訪問(wèn)權(quán)限屬性信息和所述待訪問(wèn)MIB對(duì)象所屬VIEW的訪問(wèn)權(quán)限屬性信息的所屬關(guān)系確定是否允許管理者訪問(wèn)所述待訪問(wèn)MIB對(duì)象,包括如果所述用戶級(jí)別對(duì)應(yīng)的訪問(wèn)權(quán)限屬性信息包含所述待訪問(wèn)MIB對(duì)象所屬VIEW的訪問(wèn)權(quán)限屬性信息,則確定允許管理者訪問(wèn)所述待訪問(wèn)MIB對(duì)象;如果所述用戶級(jí)別對(duì)應(yīng)的訪問(wèn)權(quán)限屬性信息不包含所述待訪問(wèn)MIB對(duì)象所屬VIEW的訪問(wèn)權(quán)限屬性信息,則確定不允許管理者訪問(wèn)所述待訪問(wèn)MIB對(duì)象。
9.一種基于訪問(wèn)組VIEW的訪問(wèn)控制裝置,其特征在于,包括接收模塊,用于接收來(lái)自管理者的請(qǐng)求消息,所述請(qǐng)求消息中攜帶用戶身份信息和待訪問(wèn)管理信息庫(kù)MIB對(duì)象的信息;第一確定模塊,用于根據(jù)所述用戶身份信息確定用戶級(jí)別,確定所述用戶級(jí)別對(duì)應(yīng)的訪問(wèn)權(quán)限屬性信息,并確定待訪問(wèn)MIB對(duì)象所屬VIEW的訪問(wèn)權(quán)限屬性信息;第二確定模塊,用于根據(jù)所述用戶級(jí)別對(duì)應(yīng)的訪問(wèn)權(quán)限屬性信息和所述待訪問(wèn)MIB對(duì)象所屬VIEW的訪問(wèn)權(quán)限屬性信息的所屬關(guān)系確定是否允許管理者訪問(wèn)所述待訪問(wèn)MIB對(duì)象。
10.如權(quán)利要求9所述的裝置,其特征在于,所述第一確定模塊,具體用于配置包含用戶身份信息與用戶級(jí)別的對(duì)應(yīng)關(guān)系的權(quán)限屬組定義表,并根據(jù)所述權(quán)限屬組定義表確定所述用戶身份信息對(duì)應(yīng)的用戶級(jí)別。
11.如權(quán)利要求10所述的裝置,其特征在于,還包括維護(hù)模塊,用于執(zhí)行以下之一或任意組合調(diào)整所述權(quán)限屬組定義表中用戶身份信息所對(duì)應(yīng)的用戶級(jí)別;在所述權(quán)限屬組定義表中添加用戶身份信息與用戶級(jí)別的對(duì)應(yīng)關(guān)系; 在所述權(quán)限屬組定義表中刪除用戶身份信息與用戶級(jí)別的對(duì)應(yīng)關(guān)系。
12.如權(quán)利要求9所述的裝置,其特征在于,所述第一確定模塊,具體用于配置包含用戶級(jí)別與訪問(wèn)權(quán)限屬性信息的對(duì)應(yīng)關(guān)系的 MIB權(quán)限控制定義表,并根據(jù)所述MIB權(quán)限控制定義表確定所述用戶級(jí)別對(duì)應(yīng)的訪問(wèn)權(quán)限屬性信息。
13.如權(quán)利要求12所述的裝置,其特征在于,還包括維護(hù)模塊,用于執(zhí)行以下之一或任意組合調(diào)整所述MIB權(quán)限控制定義表中用戶級(jí)別對(duì)應(yīng)的訪問(wèn)權(quán)限屬性信息;在所述MIB權(quán)限控制定義表中添加用戶級(jí)別與訪問(wèn)權(quán)限屬性信息的對(duì)應(yīng)關(guān)系; 在所述MIB權(quán)限控制定義表中刪除用戶級(jí)別與訪問(wèn)權(quán)限屬性信息的對(duì)應(yīng)關(guān)系。
14.如權(quán)利要求9所述的裝置,其特征在于,所述訪問(wèn)權(quán)限屬性信息包括訪問(wèn)權(quán)限屬性值,所述第一確定模塊,具體用于為各MIB對(duì)象設(shè)置訪問(wèn)權(quán)限屬性值,并根據(jù)訪問(wèn)權(quán)限屬性值確定各MIB對(duì)象所屬的VIEW,具有相同訪問(wèn)權(quán)限屬性值的MIB對(duì)象對(duì)應(yīng)同一個(gè)VIEW, 且每個(gè)VIEW對(duì)應(yīng)有訪問(wèn)權(quán)限屬性值;確定待訪問(wèn)MIB對(duì)象所屬的VIEW所對(duì)應(yīng)的訪問(wèn)權(quán)限屬性值。
15.如權(quán)利要求14所述的裝置,其特征在于,還包括維護(hù)模塊,用于調(diào)整為MIB對(duì)象設(shè)置的訪問(wèn)權(quán)限屬性值,并根據(jù)調(diào)整后的訪問(wèn)權(quán)限屬性值重新確定MIB對(duì)象所屬的VIEW。
16.如權(quán)利要求9所述的裝置,其特征在于,所述第二確定模塊,具體用于如果所述用戶級(jí)別對(duì)應(yīng)的訪問(wèn)權(quán)限屬性信息包含所述待訪問(wèn)MIB對(duì)象所屬VIEW的訪問(wèn)權(quán)限屬性信息,則確定允許管理者訪問(wèn)所述待訪問(wèn)MIB對(duì)象;如果所述用戶級(jí)別對(duì)應(yīng)的訪問(wèn)權(quán)限屬性信息不包含所述待訪問(wèn)MIB對(duì)象所屬VIEW的訪問(wèn)權(quán)限屬性信息,則確定不允許管理者訪問(wèn)所述待訪問(wèn)MIB對(duì)象。
全文摘要
本發(fā)明公開(kāi)了一種基于VIEW的訪問(wèn)控制方法及其裝置,該方法包括接收來(lái)自管理者的請(qǐng)求消息,所述請(qǐng)求消息中攜帶用戶身份信息和待訪問(wèn)管理信息庫(kù)MIB對(duì)象的信息;根據(jù)所述用戶身份信息確定用戶級(jí)別,確定所述用戶級(jí)別對(duì)應(yīng)的訪問(wèn)權(quán)限屬性信息,并確定待訪問(wèn)MIB對(duì)象所屬VIEW的訪問(wèn)權(quán)限屬性信息;根據(jù)所述用戶級(jí)別對(duì)應(yīng)的訪問(wèn)權(quán)限屬性信息和所述待訪問(wèn)MIB對(duì)象所屬VIEW的訪問(wèn)權(quán)限屬性信息的所屬關(guān)系確定是否允許管理者訪問(wèn)所述待訪問(wèn)MIB對(duì)象。采用本發(fā)明可以通過(guò)用戶級(jí)別對(duì)應(yīng)的訪問(wèn)權(quán)限屬性信息、待訪問(wèn)MIB對(duì)象所屬VIEW的訪問(wèn)權(quán)限屬性信息的所屬關(guān)系確定是否允許管理者訪問(wèn)待訪問(wèn)MIB對(duì)象,可實(shí)現(xiàn)對(duì)MIB的訪問(wèn)控制,而且可以查看和動(dòng)態(tài)調(diào)整VIEW中的MIB對(duì)象。
文檔編號(hào)H04L12/24GK102201935SQ201110123928
公開(kāi)日2011年9月28日 申請(qǐng)日期2011年5月13日 優(yōu)先權(quán)日2011年5月13日
發(fā)明者王利, 譚素君 申請(qǐng)人:大唐移動(dòng)通信設(shè)備有限公司