專利名稱:分布式網(wǎng)管平臺(tái)的安全分權(quán)管理系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明屬于計(jì)算機(jī)網(wǎng)絡(luò)通信領(lǐng)域�,具體涉及一種分布式網(wǎng)管平臺(tái)的安全分權(quán)管理系統(tǒng)。
背景技術(shù):
網(wǎng)管系統(tǒng)是電信網(wǎng)的一個(gè)重要組成部分����,參考圖1,網(wǎng)管系統(tǒng)包括拓?fù)淠K���、設(shè)備配置管理模塊����、業(yè)務(wù)模塊和網(wǎng)管安全模塊等,網(wǎng)管用戶通過網(wǎng)管系統(tǒng)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行配置管理����。隨著網(wǎng)絡(luò)的不斷發(fā)展,其中的安全管理尤為重要�,網(wǎng)絡(luò)結(jié)構(gòu)越發(fā)復(fù)雜,網(wǎng)管系統(tǒng)需要管理的網(wǎng)絡(luò)對(duì)象越來越多�,如果僅由一個(gè)管理用戶進(jìn)行整網(wǎng)配置管理,必然導(dǎo)致該管理用戶工作繁瑣復(fù)雜�,而且容易出錯(cuò)����。如果分配多位管理人員進(jìn)行網(wǎng)絡(luò)配置管理,總管理人員對(duì)所有管理人員進(jìn)行管理��,工作量大且繁瑣�����。
發(fā)明內(nèi)容
本發(fā)明克服上述對(duì)網(wǎng)絡(luò)對(duì)象配置的不足�����,提供一種簡(jiǎn)潔、可靠�����、易于實(shí)現(xiàn)的分布式網(wǎng)管平臺(tái)的安全分權(quán)管理系統(tǒng)��,達(dá)到減低網(wǎng)絡(luò)管理復(fù)雜程度����,提高網(wǎng)管安全管理安全性。
本發(fā)明的技術(shù)內(nèi)容一種分布式網(wǎng)管平臺(tái)的安全分權(quán)管理系統(tǒng)��,網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)設(shè)備的從屬對(duì)象作為網(wǎng)管對(duì)象存在于網(wǎng)管系統(tǒng)中���,網(wǎng)管系統(tǒng)包括拓?fù)淠K����、設(shè)備配置管理模塊�、業(yè)務(wù)模塊和網(wǎng)管安全模塊等,網(wǎng)管系統(tǒng)設(shè)置一個(gè)默認(rèn)的超級(jí)用戶����,超級(jí)用戶創(chuàng)建網(wǎng)管用戶,網(wǎng)管用戶創(chuàng)建下級(jí)網(wǎng)管用戶��,超級(jí)用戶分配網(wǎng)管對(duì)象給網(wǎng)管用戶,上級(jí)網(wǎng)管用戶可以分配網(wǎng)管對(duì)象給下級(jí)網(wǎng)管用戶�,使每個(gè)網(wǎng)管用戶具有一網(wǎng)管對(duì)象集合,當(dāng)網(wǎng)管用戶登錄網(wǎng)管時(shí)�����,網(wǎng)管安全模塊根據(jù)登錄用戶的網(wǎng)管對(duì)象集合進(jìn)行該網(wǎng)管用戶操作許可的校驗(yàn)����。
登錄用戶對(duì)某個(gè)網(wǎng)管對(duì)象進(jìn)行操作時(shí),網(wǎng)管安全模塊會(huì)遍歷該網(wǎng)管對(duì)象包括所有子網(wǎng)管對(duì)象��,判斷用戶網(wǎng)管對(duì)象集合中是否包含網(wǎng)管對(duì)象以及所有子網(wǎng)管對(duì)象�����,如果包含該網(wǎng)管對(duì)象及其所有子網(wǎng)管對(duì)象�����,則用戶能夠進(jìn)行操作����;否則不能夠進(jìn)行操作��。
當(dāng)?shù)卿浻脩鬉修改網(wǎng)管用戶B的網(wǎng)管對(duì)象集合的時(shí)候,安全模塊需要校驗(yàn)用戶A與用戶B的關(guān)系��,如用戶A是用戶B的上級(jí)用戶時(shí)��,用戶A將自身網(wǎng)管對(duì)象集合中子集或全集賦予用戶B���;如用戶A不是用戶B的上級(jí)用戶時(shí)�����,不能修改用戶B的網(wǎng)管對(duì)象集合�。網(wǎng)管用戶從自身的網(wǎng)管對(duì)象集合中分配網(wǎng)管對(duì)象給下級(jí)網(wǎng)管用戶����,并修改下級(jí)用戶的網(wǎng)管對(duì)象集合,但不修改下級(jí)用戶創(chuàng)建的網(wǎng)管用戶的網(wǎng)管對(duì)象集合�。
當(dāng)A網(wǎng)管用戶被刪除時(shí),安全模塊將所有由A網(wǎng)管用戶直接或間接創(chuàng)建的用戶一并刪除���。
超級(jí)用戶能夠修改所有網(wǎng)管用戶的網(wǎng)管對(duì)象集合���。
拓?fù)淠K、設(shè)備配置管理模塊和所有業(yè)務(wù)模塊通過安全模塊校驗(yàn)登錄用戶的網(wǎng)管對(duì)象集合�,將該用戶沒有操作許可的網(wǎng)管對(duì)象過濾掉���,登錄用戶僅能看見具有操作許可的網(wǎng)管對(duì)象。
本發(fā)明的技術(shù)效果對(duì)于網(wǎng)管超級(jí)用戶���,該用戶可以創(chuàng)建網(wǎng)管用戶����,對(duì)某一個(gè)網(wǎng)管用戶而言可以創(chuàng)建下級(jí)用戶��,通過分配網(wǎng)管對(duì)象與網(wǎng)管用戶�,使每個(gè)網(wǎng)管用戶具有自身可網(wǎng)管對(duì)象集合,在網(wǎng)管用戶對(duì)網(wǎng)管對(duì)象進(jìn)行修改配置操作時(shí)�,網(wǎng)管安全模塊通過判斷網(wǎng)管用戶網(wǎng)管對(duì)象集合與待操作對(duì)象的包容關(guān)系,確定網(wǎng)管用戶操作的有效性�,網(wǎng)管用戶的級(jí)別與從屬關(guān)系,可確定網(wǎng)管用戶管理網(wǎng)管對(duì)象的力度和范圍��,同時(shí)修改網(wǎng)管對(duì)象的管理粒度(通過子網(wǎng)管對(duì)象的劃分)���,可以方便的調(diào)整管理力度,提供了靈活管理網(wǎng)絡(luò)的手段��,從而達(dá)到網(wǎng)管系統(tǒng)安全分權(quán)管理�����。
圖1是網(wǎng)管系統(tǒng)管理設(shè)備示意圖;圖2是本發(fā)明網(wǎng)管用戶與網(wǎng)管對(duì)象示意圖��;圖3是本發(fā)明網(wǎng)管系統(tǒng)的管理設(shè)備示意圖�。
具體實(shí)施例方式
本發(fā)明分布式網(wǎng)管平臺(tái)的安全分權(quán)管理系統(tǒng),包括網(wǎng)管對(duì)象需要進(jìn)行配置管理的網(wǎng)絡(luò)對(duì)象���;子網(wǎng)管對(duì)象與網(wǎng)管對(duì)象有從屬關(guān)系的網(wǎng)管對(duì)象��;網(wǎng)管對(duì)象集合網(wǎng)管對(duì)象與子網(wǎng)管對(duì)象組成的集合���;
操作權(quán)限對(duì)網(wǎng)管對(duì)象進(jìn)行某操作的權(quán)限;網(wǎng)管超級(jí)用戶網(wǎng)管系統(tǒng)超級(jí)用戶����,具有所有網(wǎng)管對(duì)象和所有操作權(quán)限;網(wǎng)管用戶網(wǎng)管系統(tǒng)中的用戶���。
網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)設(shè)備的從屬對(duì)象作為網(wǎng)管對(duì)象存在于網(wǎng)管系統(tǒng)中�����,網(wǎng)管系統(tǒng)包括拓?fù)淠K�����、設(shè)備配置管理模塊���、業(yè)務(wù)模塊和網(wǎng)管安全模塊�����,網(wǎng)管系統(tǒng)設(shè)置一默認(rèn)的超級(jí)用戶�����,超級(jí)用戶創(chuàng)建網(wǎng)管用戶��,上級(jí)網(wǎng)管用戶創(chuàng)建下級(jí)網(wǎng)管用戶��,每個(gè)網(wǎng)管用戶具有自身可網(wǎng)管對(duì)象集合與操作權(quán)限集合��,當(dāng)網(wǎng)管用戶登錄網(wǎng)管時(shí)�,網(wǎng)管系統(tǒng)中的安全模塊根據(jù)登錄用戶的網(wǎng)管對(duì)象集合過濾網(wǎng)管對(duì)象��,拓?fù)?����、配置和所有業(yè)務(wù)模塊通過安全模塊根據(jù)登錄用戶的網(wǎng)管對(duì)象集合���,將網(wǎng)管用戶的網(wǎng)管對(duì)象集合中沒有操作權(quán)限的網(wǎng)管對(duì)象過濾掉�。
參考圖2���,超級(jí)用戶創(chuàng)建網(wǎng)管用戶�,分配網(wǎng)管對(duì)象與網(wǎng)管用戶����,構(gòu)成待創(chuàng)建網(wǎng)管用戶的網(wǎng)管對(duì)象集合,超級(jí)用戶的網(wǎng)管對(duì)象集合為網(wǎng)管系統(tǒng)的所有網(wǎng)管對(duì)象���,超級(jí)用戶可以對(duì)網(wǎng)管對(duì)象進(jìn)行任何操作��,包括修改所有網(wǎng)管用戶的網(wǎng)管對(duì)象集合��。對(duì)某一個(gè)網(wǎng)管用戶而言����,網(wǎng)管用戶僅能從自身的網(wǎng)管對(duì)象集合中分配自身網(wǎng)管對(duì)象集合的子集或全集給下級(jí)用戶����,網(wǎng)管用戶可修改下級(jí)用戶的網(wǎng)管對(duì)象集合��,但對(duì)下級(jí)用戶創(chuàng)建的下級(jí)用戶不進(jìn)行網(wǎng)管對(duì)象集合修改�����,即上級(jí)用戶僅對(duì)下級(jí)用戶進(jìn)行網(wǎng)管對(duì)象集合的分配�。網(wǎng)管用戶能夠?yàn)g覽的網(wǎng)管對(duì)象��,僅為他自身網(wǎng)管對(duì)象集合中的網(wǎng)管對(duì)象����;登錄用戶對(duì)某網(wǎng)管對(duì)象A進(jìn)行操作的時(shí)候,安全模塊根據(jù)該用戶的網(wǎng)管對(duì)象集合進(jìn)行權(quán)限校驗(yàn)���,遍歷A網(wǎng)管對(duì)象的所有子網(wǎng)管對(duì)象����,察看用戶網(wǎng)管對(duì)象集合中是否包含A網(wǎng)管對(duì)象的所有子網(wǎng)管對(duì)象����,如包含A網(wǎng)管對(duì)象的所有子網(wǎng)管對(duì)象,則用戶能夠進(jìn)行操作�����;如用戶的網(wǎng)管對(duì)象集合僅包含A網(wǎng)管對(duì)象子網(wǎng)管對(duì)象的子集時(shí),則不能夠進(jìn)行操作�;如用戶的網(wǎng)管對(duì)象集合不包含任何A網(wǎng)管對(duì)象或A網(wǎng)管對(duì)象的子網(wǎng)管對(duì)象時(shí)��,則不能夠進(jìn)行操作��。當(dāng)?shù)卿浻脩鬉修改網(wǎng)管用戶B的網(wǎng)管對(duì)象集合的時(shí)候��,安全模塊需要校驗(yàn)用戶A與用戶B的關(guān)系��,如用戶A是用戶B的上級(jí)用戶時(shí)�,用戶A將自身網(wǎng)管對(duì)象集合中子集或全集賦予用戶B;如用戶A不是用戶B的上級(jí)用戶時(shí)�����,不能修改用戶B的網(wǎng)管對(duì)象集合�����。當(dāng)A網(wǎng)管用戶被刪除時(shí)�����,安全模塊將所有由A網(wǎng)管用戶直接或間接創(chuàng)建的用戶一并刪除。超級(jí)用戶對(duì)網(wǎng)管用戶可以進(jìn)行任何操作����,包括修改所有網(wǎng)管用戶的網(wǎng)管對(duì)象集合。
以光網(wǎng)絡(luò)網(wǎng)管系統(tǒng)的設(shè)計(jì)為一實(shí)施例�,具體說明本發(fā)明參考圖3,網(wǎng)管系統(tǒng)管理N個(gè)網(wǎng)絡(luò)設(shè)備�����,每個(gè)網(wǎng)絡(luò)設(shè)備有M塊單板�����,每塊單板內(nèi)有若干端口����。這些所有對(duì)象都作為網(wǎng)管對(duì)象,某塊單板作為子網(wǎng)管對(duì)象附屬于某個(gè)設(shè)備����。每個(gè)網(wǎng)管用戶都有自身網(wǎng)管對(duì)象集合,同時(shí)網(wǎng)管用戶有上下級(jí)的區(qū)別��,上級(jí)用戶管理下級(jí)的用戶的權(quán)限�,下級(jí)用戶的網(wǎng)管對(duì)象集合受上級(jí)用戶網(wǎng)管對(duì)象集合的范圍限制��。當(dāng)網(wǎng)管用戶登錄網(wǎng)管時(shí)�,網(wǎng)管系統(tǒng)中的安全模塊根據(jù)登錄用戶的網(wǎng)管對(duì)象集合過濾網(wǎng)管對(duì)象�,拓?fù)淠K、設(shè)備配置管理模塊和所有業(yè)務(wù)模塊可根據(jù)登錄用戶的網(wǎng)管對(duì)象集合���,將該用戶網(wǎng)管對(duì)象集合不包含的網(wǎng)管對(duì)象過濾掉����,登錄用戶僅能看見自身網(wǎng)管對(duì)象集合的網(wǎng)管對(duì)象��。
(1)網(wǎng)管系統(tǒng)默認(rèn)建有admin用戶�����,該用戶為網(wǎng)管超級(jí)用戶�����,超級(jí)用戶admin都不受以上限制�����,admin用戶可以對(duì)網(wǎng)管管理的所有網(wǎng)管對(duì)象進(jìn)行任何操作�;admin能夠修改所有網(wǎng)管用戶的網(wǎng)管對(duì)象集合。
(2)現(xiàn)網(wǎng)管系統(tǒng)管理10個(gè)子架Shelf(網(wǎng)管對(duì)象)���,每個(gè)子架下有16塊單板Board(單板屬于對(duì)應(yīng)子架的子網(wǎng)管對(duì)象)�,每塊單板下有10個(gè)端口port(端口屬于對(duì)應(yīng)單板的子網(wǎng)管對(duì)象)��。
(3)admin創(chuàng)建網(wǎng)管用戶UserA�����,則admin為UserA的上級(jí)用戶��,同時(shí)分配Shelf1-Shelf8網(wǎng)管對(duì)象與其所有子網(wǎng)管對(duì)象與UserA�����。
(4)UserA登錄網(wǎng)管系統(tǒng)的時(shí)候�,僅能在Shelf1-Shelf8中分配給已創(chuàng)建或未創(chuàng)建的用戶。同時(shí)UserA僅能看到或修改他的下級(jí)用戶屬性��。
(5)UserA創(chuàng)建網(wǎng)管用戶UserAa����,分配Shelf1中Board1中的Port1給UserAa,則網(wǎng)管系統(tǒng)增加Shelf1��、Board1、Port1這些網(wǎng)管對(duì)象到網(wǎng)管用戶UserAa的網(wǎng)管對(duì)象集合中��,此時(shí)���,由于UserAa的網(wǎng)管對(duì)象集合不包含Shelf1����、Board1的所有子網(wǎng)管對(duì)象���,但包含Port1的所有子網(wǎng)管對(duì)象(Port1沒有子網(wǎng)管對(duì)象�,僅為單獨(dú)的網(wǎng)管對(duì)象)��,所以UserAa能對(duì)Port1進(jìn)行瀏覽配置操作����,Shelf1與Board1僅能瀏覽��。
(6)當(dāng)UserA修改UserAa的網(wǎng)管對(duì)象集合的時(shí)候���,網(wǎng)管系統(tǒng)能夠同步更新用戶UserAa登錄的客戶端�����,客戶端實(shí)時(shí)根據(jù)調(diào)整的集合信息進(jìn)行客戶端數(shù)據(jù)與界面改變�。
(7)當(dāng)UserA被admin刪除后,UserAa也同樣被刪除����。
(8)當(dāng)admin調(diào)整UserA網(wǎng)管對(duì)象集合的時(shí)候,刪除UserA網(wǎng)管對(duì)象集合中的某一網(wǎng)管對(duì)象時(shí)����,如果UserAa的網(wǎng)管對(duì)象集合也具有該被刪網(wǎng)管對(duì)象時(shí),UserAa的網(wǎng)管對(duì)象集合也將刪除該網(wǎng)管對(duì)象��。
權(quán)利要求
1.一種分布式網(wǎng)管平臺(tái)的安全分權(quán)管理系統(tǒng)��,網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)設(shè)備的從屬對(duì)象作為網(wǎng)管對(duì)象存在于網(wǎng)管系統(tǒng)中�,網(wǎng)管系統(tǒng)包括拓?fù)淠K、設(shè)備配置管理模塊���、業(yè)務(wù)模塊和網(wǎng)管安全模塊等�����,其特征在于網(wǎng)管系統(tǒng)設(shè)置一默認(rèn)的超級(jí)用戶����,超級(jí)用戶創(chuàng)建網(wǎng)管用戶,網(wǎng)管用戶創(chuàng)建下級(jí)網(wǎng)管用戶���,通過超級(jí)用戶分配網(wǎng)管對(duì)象給網(wǎng)管用戶��,上級(jí)網(wǎng)管用戶分配網(wǎng)管對(duì)象給下級(jí)網(wǎng)管用戶���,使每個(gè)網(wǎng)管用戶具有一網(wǎng)管對(duì)象集合,當(dāng)網(wǎng)管用戶登錄網(wǎng)管時(shí)��,網(wǎng)管安全模塊根據(jù)登錄用戶的網(wǎng)管對(duì)象集合進(jìn)行該登錄用戶操作許可的校驗(yàn)�。
2.如權(quán)利要求1所述的分布式網(wǎng)管平臺(tái)的安全分權(quán)管理系統(tǒng),其特征在于所述網(wǎng)管安全模塊校驗(yàn)登錄用戶操作許可包括網(wǎng)管安全模塊遍歷該網(wǎng)管對(duì)象的所有子網(wǎng)管對(duì)象���,察看用戶網(wǎng)管對(duì)象集合中是否包含該網(wǎng)管對(duì)象的所有子網(wǎng)管對(duì)象��。
3.如權(quán)利要求2所述的分布式網(wǎng)管平臺(tái)的安全分權(quán)管理系統(tǒng),其特征在于如登錄用戶的網(wǎng)管對(duì)象集合不包含任何該網(wǎng)管對(duì)象或不完全包含該網(wǎng)管對(duì)象的子網(wǎng)管對(duì)象時(shí)�����,則登錄用戶對(duì)該網(wǎng)管對(duì)象不能夠進(jìn)行操作��;如包含該網(wǎng)管對(duì)象的所有子網(wǎng)管對(duì)象�,則登錄用戶對(duì)該網(wǎng)管對(duì)象能夠進(jìn)行操作����。
4.如權(quán)利要求1����、2或3所述的分布式網(wǎng)管平臺(tái)的安全分權(quán)管理系統(tǒng),��,其特征在于當(dāng)?shù)卿浻脩鬉修改網(wǎng)管用戶B的網(wǎng)管對(duì)象集合的時(shí)候�,安全模塊需要校驗(yàn)用戶A與用戶B的關(guān)系,如用戶A是用戶B的上級(jí)用戶時(shí)��,用戶A可以將自身網(wǎng)管對(duì)象集合中的子集或全集賦予用戶B�����;如用戶A不是用戶B的上級(jí)用戶時(shí)����,不能修改用戶B的網(wǎng)管對(duì)象集合。
5.如權(quán)利要求4所述的分布式網(wǎng)管平臺(tái)的安全分權(quán)管理系統(tǒng)����,其特征在于網(wǎng)管用戶A從自身的網(wǎng)管對(duì)象集合中分配網(wǎng)管對(duì)象給下級(jí)網(wǎng)管用戶B,但不修改下級(jí)用戶創(chuàng)建的其他網(wǎng)管用戶的網(wǎng)管對(duì)象集合。
6.如權(quán)利要求4所述的分布式網(wǎng)管平臺(tái)的安全分權(quán)管理系統(tǒng)���,其特征在于當(dāng)網(wǎng)管用戶A被刪除時(shí)��,安全模塊將所有由網(wǎng)管用戶A直接或間接創(chuàng)建的網(wǎng)管用戶一并刪除�。
7.如權(quán)利要求1所述的分布式網(wǎng)管平臺(tái)的安全分權(quán)管理系統(tǒng)��,其特征在于拓?fù)淠K�、設(shè)備配置管理模塊和所有業(yè)務(wù)模塊通過安全模塊校驗(yàn)登錄用戶的網(wǎng)管對(duì)象集合,將該用戶沒有操作許可的網(wǎng)管對(duì)象過濾掉����,登錄用戶僅能看見具有操作許可的網(wǎng)管對(duì)象。
全文摘要
本發(fā)明提供了一種分布式網(wǎng)管平臺(tái)的安全分權(quán)管理系統(tǒng)���,屬于計(jì)算機(jī)網(wǎng)絡(luò)通信領(lǐng)域�。網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)設(shè)備的從屬對(duì)象作為網(wǎng)管對(duì)象存在于網(wǎng)管系統(tǒng)中���,網(wǎng)管系統(tǒng)設(shè)置一默認(rèn)的超級(jí)用戶���,超級(jí)用戶創(chuàng)建網(wǎng)管用戶����,網(wǎng)管用戶創(chuàng)建下級(jí)網(wǎng)管用戶�,通過超級(jí)用戶分配網(wǎng)管對(duì)象給網(wǎng)管用戶��,上級(jí)網(wǎng)管用戶分配網(wǎng)管對(duì)象給下級(jí)網(wǎng)管用戶�,使每個(gè)網(wǎng)管用戶具有一網(wǎng)管對(duì)象集合,當(dāng)網(wǎng)管用戶登錄網(wǎng)管時(shí)��,網(wǎng)管安全模塊根據(jù)登錄用戶的網(wǎng)管對(duì)象集合進(jìn)行該登錄用戶操作許可的校驗(yàn)�。通過網(wǎng)管安全模塊判斷網(wǎng)管用戶的網(wǎng)管對(duì)象集合與待操作對(duì)象的包容關(guān)系,確定網(wǎng)管用戶操作的有效性�����,從而實(shí)現(xiàn)了分布式網(wǎng)管平臺(tái)的安全分權(quán)管理�����。
文檔編號(hào)H04L12/24GK1556615SQ20031011605
公開日2004年12月22日 申請(qǐng)日期2003年12月30日 優(yōu)先權(quán)日2003年12月30日
發(fā)明者陳俊華 申請(qǐng)人:港灣網(wǎng)絡(luò)有限公司