亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

針對大容量對象的用戶訪問權(quán)限管理方法

文檔序號:7975562閱讀:872來源:國知局
專利名稱:針對大容量對象的用戶訪問權(quán)限管理方法
技術(shù)領(lǐng)域
本發(fā)明涉及網(wǎng)絡(luò)管理,具體涉及針對大容量對象的用戶訪問權(quán)限管理方法。
背景技術(shù)
隨著網(wǎng)絡(luò)IP化以及FMC (Fixed-Mobile Convergence)的發(fā)展,運營商運維模式將發(fā)生深刻改變,從以網(wǎng)絡(luò)類型和網(wǎng)元類型分層管理逐步走向融合管理,同時對運維成本和用戶體驗有更高的要求,因此為了適應(yīng)未來網(wǎng)絡(luò)的發(fā)展,通信網(wǎng)絡(luò)管理系統(tǒng)必須實現(xiàn)各種類型網(wǎng)元的統(tǒng)一管理,充分滿足融合網(wǎng)絡(luò)運維管理的需要。統(tǒng)一管理面臨的一個主要問題是管理容量,而現(xiàn)有的用戶訪問權(quán)限管理系統(tǒng)都沒有考慮這種大容量的要求,只能在一個維度上集中控制用戶權(quán)限,不能分域管理,缺乏靈活性。在統(tǒng)一管理的背景下,如果將種類繁多,跨越不同地區(qū)的設(shè)備,集中交給一個部門來進行用戶訪問權(quán)限控制,其工作量可想而知將十分艱巨。對于權(quán)限控制策略的選擇,通常需要根據(jù)組織結(jié)構(gòu)和人員分工來決定,在電信網(wǎng)絡(luò)維護中,通常的結(jié)構(gòu)是有一個中心對全網(wǎng)設(shè)備進行監(jiān)控,而設(shè)備的直接配置和維護是由各個區(qū)域的組織和人員來完成的。因此,權(quán)限控制系統(tǒng)需要能夠根據(jù)不同組織結(jié)構(gòu)和管理容量,靈活定制不同的管理策略,即能集中維護所有用戶權(quán)限,也能由各個區(qū)域的管理員維護自己區(qū)域的用戶權(quán)限。

發(fā)明內(nèi)容
本發(fā)明所要解決的技術(shù)問題是解決現(xiàn)有的用戶訪問權(quán)限管理系統(tǒng)只能在一個維度上集中控制用戶權(quán)限,不能分域管理,缺乏靈活性的問題。為了解決上述技術(shù)問題,本發(fā)明所采用的技術(shù)方案是提供一種針對大容量對象的用戶訪問權(quán)限管理方法,包括以下步驟
A10、建立用戶訪問權(quán)限管理模型,所述管理模型包括用戶、用戶組、對象、對象集、操作和操作集;用戶是系統(tǒng)使用者;用戶組是具相同權(quán)限的用戶的集合;對象是用戶可訪問的系統(tǒng)中的資源;對象集是對象的集合;操作是用戶可執(zhí)行的動作,分為無限制、admin特權(quán)、 安全管理及對象操作四種類型;操作集是操作的集合;
A20、建立用戶,并通過將用戶分別指派到不同的用戶組從而使用戶具有相應(yīng)的權(quán)限, 用戶組分為超級管理員組、安全管理員組、子域安全管理員組和普通用戶組四種類型;屬于安全管理員組或子域安全管理員組的用戶具有管理權(quán)限;屬于其他類型用戶組的用戶不具有管理權(quán)限,僅能對可管理對象進行授權(quán)的操作;屬于安全管理員組的用戶可以對包括子域安全管理員組在內(nèi)的全域進行管理;屬于子域安全管理員組的用戶只能對所屬子域進行管理;
A30、用戶登錄時,根據(jù)用戶類型允許其使用相應(yīng)的權(quán)限。在上述方法中,在步驟A20中,首先定義用戶可執(zhí)行的所有操作,并內(nèi)置一個超級管理員組和一個安全管理員組,內(nèi)置一個admin用戶屬于上述兩個內(nèi)置用戶組;然后使用admin登陸,根據(jù)規(guī)劃建立用戶,將用戶分別指派到用戶組從而使用戶具有相應(yīng)權(quán)限。在上述方法中,建立的用戶可以屬于多個用戶組,但是只能屬于一個安全管理員組或子域安全管理員組。在上述方法中,超級管理員組默認包含除安全管理員組或子域安全管理員所具有的管理權(quán)限外的所有權(quán)限,安全管理員組或子域安全管理員組默認具有管理權(quán)限,普通用戶組的權(quán)限取決于管理者為其分配的權(quán)限。在上述方法中,屬于安全管理員組或子域安全管理員組的用戶分配權(quán)限的方法是將對象劃分為不同的對象集,將操作劃分為不同的操作集,將對象集和操作集指派給用戶組表示對這些對象具有相應(yīng)操作權(quán)限。在上述方法中,將對象集和操作集直接指派給用戶,對用戶組內(nèi)的對象授予用戶組內(nèi)的操作權(quán)限或者對用戶自身對象授予用戶自身操作權(quán)限。在上述方法中,建立新的用戶、用戶組、對象集或操作集時記錄其歸屬的唯一的安全管理員組或子域安全管理員組ID,當(dāng)屬于安全管理員組的用戶登錄時,可以管理所有用戶、用戶組、對象集和操作集;而屬于子域安全管理員組的用戶登錄時,只能管理子域內(nèi)的用戶、用戶組、對象集和操作集。在上述方法中,判斷用戶權(quán)限的方法是 如果是無限制操作,則總是有權(quán)限;
如果是安全管理操作,則只有安全管理員組或子域安全管理員組用戶具有權(quán)限,且被編輯的用戶、用戶組、對象集、操作集屬于用戶所在區(qū)域;
如果是admin特權(quán)操作,則只有內(nèi)置的admin用戶具有權(quán)限; 如果是對象操作,則依次判斷用戶所屬用戶組是否包含目標(biāo)對象和操作,如果包含則具有權(quán)限,否則繼續(xù),最后判斷用戶自身對象集和操作集是否包含目標(biāo)對象和操作,如果包含則具有權(quán)限,否則無權(quán)限。本發(fā)明,將所有對象納入一個全局域集中管理,也可將對象劃分為彼此獨立的子域,各個子域互不干擾、單獨管理。通過這樣的權(quán)限管理方法,能夠根據(jù)管理對象規(guī)模及組織結(jié)構(gòu)靈活制定管理策略,特別在管理對象多、組織結(jié)構(gòu)復(fù)雜時,使用本方法,可以大大提高管理效率、降低管理成本。


圖1為本發(fā)明實施例提供的針對大容量對象的用戶訪問權(quán)限管理模型示意圖; 圖2為本發(fā)明實施例提供的用戶權(quán)限管理流程圖3為本發(fā)明實施例提供的用戶權(quán)限分域管理示意圖; 圖4為本發(fā)明實施例提供的用戶權(quán)限判斷流程圖。
具體實施例方式下面結(jié)合附圖對本發(fā)明作出詳細的說明。本發(fā)明包括以下步驟
A10、在系統(tǒng)的網(wǎng)管上建立用戶訪問權(quán)限管理模型,圖1示出了針對大容量對象的用戶訪問權(quán)限管理模型示意圖,其中數(shù)字1和0. . *表示連線兩端的關(guān)系是1對0或多個,例如 1個用戶可以包含0個或多個對象集,該模型包括如下元素用戶、用戶組、對象、對象集、操作和操作集。用戶是系統(tǒng)使用者;用戶組是具有相同權(quán)限的用戶的集合;對象是用戶可以在系統(tǒng)中訪問的資源;對象集是對象的集合,包含0或多個對象;操作是用戶可以執(zhí)行的動作(操作權(quán)限),分為無限制、admin特權(quán)、安全管理以及對象操作四種類型;操作集是操作的集合,包含0或多個操作,只有對象操作可以劃分到操作集。用戶組包含0或多個對象集以及0或多個操作集,表示對包含的所有對象擁有包含的所有操作權(quán)限;用戶組分為超級管理員組、安全管理員組、子域安全管理員組及普通用戶組類型;用戶屬于0或多個用戶組, 只能屬于一個安全管理員組或子域安全管理員組。A20、建立相應(yīng)的用戶并分別指派到不同的用戶組中,從而使用戶具有相應(yīng)的權(quán)限。如圖2所示,步驟A20包括以下一些具體步驟
A201、系統(tǒng)首次使用時,首先進行一些初始定義,定義用戶可執(zhí)行的所有操作,并內(nèi)置一個超級管理員組和一個安全管理員組,內(nèi)置一個admin用戶屬于上述兩個內(nèi)置用戶組, 這樣admin用戶就具有所有權(quán)限。A202、系統(tǒng)首次使用時,使用admin登陸,根據(jù)規(guī)劃建立不同類型的用戶,并將用戶分別指派到不同的用戶組中,從而使用戶具有相應(yīng)權(quán)限。用戶組分為超級管理員組、子域安全管理員組、安全管理員組和普通用戶組四種類型;屬于安全管理員組或子域安全管理員組的用戶具有管理權(quán)限;屬于其他類型用戶組的用戶不具有管理權(quán)限,僅能對可管理對象進行授權(quán)的操作;屬于安全管理員組的用戶可以對包括子域安全管理員組在內(nèi)的全域進行管理;屬于子域安全管理員組的用戶只能對所屬子域進行管理。A30、用戶登錄時,根據(jù)用戶類型允許其使用相應(yīng)的權(quán)限,如果是安全管理員組用戶,允許對所有用戶、用戶組、對象集、操作集進行管理;如果是子域安全管理員組用戶,則只允許管理子域內(nèi)的用戶、用戶組、對象集、操作集;如果是其他用戶組用戶,則無管理權(quán)限。屬于安全管理員組或子域安全管理員組的用戶具有管理權(quán)限,可以建立新的或編輯已經(jīng)存在的用戶、用戶組、對象集或操作集。新建時,會記錄所屬安全管理員組或子域安全管理員組唯一的ID,這樣用戶登錄后就可以確定對哪些用戶、用戶組、對象集、操作集可進行管理。由于安全管理員類型用戶組即代表全域管理,所以只需要內(nèi)置一個,安全管理員組用戶登錄后只能再新建子域安全管理員組或普通用戶組,而子域安全管理員組用戶登錄后只能再新建普通用戶組。新建對象集時是在用戶所屬安全管理員組或子域安全管理員組包含的對象基礎(chǔ)上建立,為簡化權(quán)限管理模型,限制一個用戶只能屬于一個安全管理員組或子域安全管理員組。新建操作集是在所有對象操作基礎(chǔ)上建立。權(quán)限指派的過程包括為用戶組指派對象集和操作集,使用戶組代表一類相同權(quán)限用戶;為用戶指派用戶組,使用戶具有相應(yīng)權(quán)限,一個用戶可以屬于多個用戶組,它們之間的權(quán)限是并的關(guān)系;為用戶指派對象集和操作集,實現(xiàn)用戶權(quán)限的微調(diào),其含義可以理解為用戶私有的用戶組。圖3示出了一個分區(qū)的權(quán)限管理過程。該示例中假設(shè)用戶A屬于安全管理員組,用戶A登錄后依次建立對象集A,對象集A包含地區(qū)A的所有對象;操作集A ;子域安全管理員類型用戶組A,并指派包含對象集A ;用戶B,并指派屬于用戶組A。經(jīng)過這樣的過程后, 實際上就建立了一個子域A,子域A可管理對象的范圍就是用戶組A包含的對象,即對象集 A,用戶B就是子域A的管理員。用戶B登錄后看不到全局域管理用戶,即安全管理員組用戶建立的權(quán)限,也看不到其它子域內(nèi)的權(quán)限,他需要根據(jù)子域A的組織結(jié)構(gòu)進行獨立權(quán)限管理,例如,用戶B依次建立對象集B,對象集B —定是對象集A的子集;操作集B ;用戶組 B,此時用戶B只能建立普通用戶組;用戶C,并指派屬于用戶組B。用戶B建立的這些權(quán)限對其他子域也是不可見的,但是對全局域管理用戶是可見的。從而實現(xiàn)了子域內(nèi)互不干擾、 獨立管理的分區(qū)權(quán)限管理。圖4示出了用戶權(quán)限判斷流程,具體步驟如下
步驟A301,輸入目標(biāo)操作及對象,操作包含操作ID及操作類型,對象包含對象ID。步驟A302、根據(jù)操作類型進行不同的權(quán)限判斷。如果操作類型為對象操作,則依次判斷用戶所屬用戶組是否包含目標(biāo)操作和對象,只要找到一個包含,則返回有權(quán)限,否則繼續(xù),然后再判斷用戶自身的對象集和操作集是否包含目標(biāo)對象和操作,如果包含,則返回有權(quán)限,否則返回?zé)o權(quán)限。如果操作類型為無限制,則直接返回有權(quán)限。如果操作類型為admin特權(quán),則判斷用戶是否為admin用戶,如果是,則返回有權(quán)限,否則返回?zé)o權(quán)限。如果操作類型為安全管理,則判斷用戶是否屬于安全管理員組或子域安全管理員組,如果否,則返回?zé)o權(quán)限,如果是,則繼續(xù)判斷目標(biāo)對象,即被編輯的用戶、用戶組、對象集、操作集是否屬于相應(yīng)區(qū)域,如果屬于則返回有權(quán)選,否則返回?zé)o權(quán)限。步驟A302中,判斷目標(biāo)用戶、用戶組、對象集、操作集是否屬于相應(yīng)區(qū)域的方法是如果操作用戶為安全管理員組用戶,則目標(biāo)對象總是屬于的,因為安全管理員組用戶可以管理全域權(quán)限,如果操作用戶為子域安全管理員組用戶,則需根據(jù)目標(biāo)用戶、用戶組、對象集、操作集所屬用戶組ID判斷是否屬于此子域。本發(fā)明不局限于上述最佳實施方式,任何人應(yīng)該得知在本發(fā)明的啟示下作出的結(jié)構(gòu)變化,凡是與本發(fā)明具有相同或相近的技術(shù)方案,均落入本發(fā)明的保護范圍之內(nèi)。
權(quán)利要求
1.針對大容量對象的用戶訪問權(quán)限管理方法,其特征在于包括以下步驟A10、建立用戶訪問權(quán)限管理模型,所述管理模型包括用戶、用戶組、對象、對象集、操作和操作集;用戶是系統(tǒng)使用者;用戶組是具相同權(quán)限的用戶的集合;對象是用戶可訪問的系統(tǒng)中的資源;對象集是對象的集合;操作是用戶可執(zhí)行的動作,分為無限制、admin特權(quán)、 安全管理及對象操作四種類型;操作集是操作的集合;A20、建立用戶,并通過將用戶分別指派到不同的用戶組從而使用戶具有相應(yīng)的權(quán)限, 用戶組分為超級管理員組、安全管理員組、子域安全管理員組和普通用戶組四種類型;屬于安全管理員組或子域安全管理員組的用戶具有管理權(quán)限;屬于其他類型用戶組的用戶不具有管理權(quán)限,僅能對可管理對象進行授權(quán)的操作;屬于安全管理員組的用戶可以對包括子域安全管理員組在內(nèi)的全域進行管理;屬于子域安全管理員組的用戶只能對所屬子域進行管理;A30、用戶登錄時,根據(jù)用戶類型允許其使用相應(yīng)的權(quán)限。
2.如權(quán)利要求1所述的針對大容量對象的用戶訪問權(quán)限管理方法,其特征在于,在步驟A20中,首先定義用戶可執(zhí)行的所有操作,并內(nèi)置一個超級管理員組和一個安全管理員組,內(nèi)置一個admin用戶屬于上述兩個內(nèi)置用戶組;然后使用admin登陸,根據(jù)規(guī)劃建立用戶,將用戶分別指派到用戶組從而使用戶具有相應(yīng)權(quán)限。
3.如權(quán)利要求1所述的針對大容量對象的用戶訪問權(quán)限管理方法,其特征在于,建立的用戶可以屬于多個用戶組,但是只能屬于一個安全管理員組或子域安全管理員組。
4.如權(quán)利要求1所述的針對大容量對象的用戶訪問權(quán)限管理方法,其特征在于,超級管理員組默認包含除安全管理員組或子域安全管理員所具有的管理權(quán)限外的所有權(quán)限,安全管理員組或子域安全管理員組默認具有管理權(quán)限,普通用戶組的權(quán)限取決于管理者為其分配的權(quán)限。
5.如權(quán)利要求1所述的針對大容量對象的用戶訪問權(quán)限管理方法,其特征在于,屬于安全管理員組或子域安全管理員組的用戶分配權(quán)限的方法是將對象劃分為不同的對象集,將操作劃分為不同的操作集,將對象集和操作集指派給用戶組表示對這些對象具有相應(yīng)操作權(quán)限。
6.如權(quán)利要求5所述的針對大容量對象的用戶訪問權(quán)限管理方法,其特征在于,將對象集和操作集直接指派給用戶,對用戶組內(nèi)的對象授予用戶組內(nèi)的操作權(quán)限或者對用戶自身對象授予用戶自身操作權(quán)限。
7.如權(quán)利要求5所述的針對大容量對象的用戶訪問權(quán)限管理方法,其特征在于,建立新的用戶、用戶組、對象集或操作集時記錄其歸屬的唯一的安全管理員組或子域安全管理員組ID,當(dāng)屬于安全管理員組的用戶登錄時,可以管理所有用戶、用戶組、對象集和操作集;而屬于子域安全管理員組的用戶登錄時,只能管理子域內(nèi)的用戶、用戶組、對象集和操作集。
8.如權(quán)利要求5所述的針對大容量對象的用戶訪問權(quán)限管理方法,其特征在于,判斷用戶權(quán)限的方法是如果是無限制操作,則總是有權(quán)限;如果是安全管理操作,則只有安全管理員組或子域安全管理員組用戶具有權(quán)限,且被編輯的用戶、用戶組、對象集、操作集屬于用戶所在區(qū)域;如果是admin特權(quán)操作,則只有內(nèi)置的admin用戶具有權(quán)限; 如果是對象操作,則依次判斷用戶所屬用戶組是否包含目標(biāo)對象和操作,如果包含則具有權(quán)限,否則繼續(xù),最后判斷用戶自身對象集和操作集是否包含目標(biāo)對象和操作,如果包含則具有權(quán)限,否則無權(quán)限。
全文摘要
本發(fā)明公開了一種針對大容量對象的用戶訪問權(quán)限管理方法,包括以下步驟A10、建立由用戶、用戶組、對象、對象集、操作和操作集組成的的用戶訪問權(quán)限管理模型;A20、建立用戶,并通過將用戶分別指派到不同的用戶組從而使用戶具有相應(yīng)的權(quán)限;A30、用戶登錄時,根據(jù)用戶類型允許其使用相應(yīng)的權(quán)限。本發(fā)明將所有對象納入一個全局域集中管理,也可將對象劃分為彼此獨立的子域,各個子域互不干擾、單獨管理。通過這樣的權(quán)限管理方法,能夠根據(jù)管理對象規(guī)模及組織結(jié)構(gòu)靈活制定管理策略,特別在管理對象多、組織結(jié)構(gòu)復(fù)雜時,使用本方法,可以大大提高管理效率、降低管理成本。
文檔編號H04L29/06GK102571745SQ201110363428
公開日2012年7月11日 申請日期2011年11月16日 優(yōu)先權(quán)日2011年11月16日
發(fā)明者萬金利, 尹永勝, 張勇, 鐘潘, 陳天奇, 鮑齊全 申請人:烽火通信科技股份有限公司
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點贊!
1