專(zhuān)利名稱(chēng):集中權(quán)限管理系統(tǒng)及其授權(quán)方法和鑒權(quán)方法
技術(shù)領(lǐng)域:
本發(fā)明涉及權(quán)限管理領(lǐng)域���,尤其涉及集中權(quán)限管理系統(tǒng)和授權(quán)方法��、鑒權(quán)方法����。
背景技術(shù):
目前的運(yùn)營(yíng)支撐管理系統(tǒng)中的各軟件系統(tǒng)����,包括C/S和B/S的系統(tǒng),都是獨(dú)立分散的系統(tǒng)���,需要有統(tǒng)一的一個(gè)登錄用戶����,這樣就不必每套系統(tǒng)都單獨(dú)建用戶����,另外,有一些功能特別是對(duì)網(wǎng)元的管理��,并不是每一個(gè)用戶都可以有操作權(quán)的����,關(guān)系到整個(gè)網(wǎng)絡(luò)的安全性��,所以需要對(duì)系統(tǒng)功能進(jìn)行分級(jí)分權(quán)的訪問(wèn)�。對(duì)于現(xiàn)在日益擴(kuò)大的移動(dòng)通信網(wǎng)絡(luò)�����,網(wǎng)元越來(lái)越多�����,更需要一種簡(jiǎn)單且安全的方法進(jìn)行管理�����。系統(tǒng)登錄用戶及其權(quán)限的管理是整個(gè)軟件系統(tǒng)的重要組成部分���,如果管理恰當(dāng)����,不只可以簡(jiǎn)化登陸用戶的操作�����,而且可以很好地維護(hù)軟件系統(tǒng)中的重要數(shù)據(jù)�����,同時(shí)�,如果出現(xiàn)數(shù)據(jù)故障問(wèn)題,也可以快速地找到責(zé)任人����。隨著移動(dòng)網(wǎng)絡(luò)的不斷擴(kuò)大,網(wǎng)元越來(lái)越多���,操作安全性的要求也越來(lái)越高��,本發(fā)明對(duì)用戶和操作權(quán)限形成了一套統(tǒng)一的管理系統(tǒng)��,方便管理和維護(hù)�,同時(shí)對(duì)現(xiàn)在廣泛出現(xiàn)的4A統(tǒng)一鑒權(quán)的實(shí)現(xiàn)提供了前提�。
發(fā)明內(nèi)容
本發(fā)明提供一種集中權(quán)限管理系統(tǒng),包括授權(quán)單元����、鑒權(quán)單元和人機(jī)交互界面,其特征在于�����,所述授權(quán)單元包括域控制器、資源管理器��;所述域控制器用于在預(yù)先設(shè)定域管轄范圍內(nèi)通過(guò)所述人機(jī)交互界面接收設(shè)置的用戶�、角色和操作權(quán)限信息,管控所有接入該域的設(shè)備的用戶�����、角色���、操作權(quán)限以及三者間的關(guān)系;所述資源管理器用于保存所述域控制器管轄范圍內(nèi)設(shè)備的的資源信息����,通過(guò)所述人機(jī)交互界面設(shè)定并保存資源與所述域控制器中角色的對(duì)應(yīng)關(guān)系�����;所述鑒權(quán)單元用于預(yù)先設(shè)定不同權(quán)限的鑒權(quán)接口�,通過(guò)調(diào)用相應(yīng)的權(quán)限接口從所述域控制器和資源管理器中獲取權(quán)限信息。優(yōu)選的���,域控制器具體包括活動(dòng)目錄和授權(quán)管理器�;所述活動(dòng)目錄用于接收所述人機(jī)交互界面輸入的用戶信息并保存����,所述用戶信息包括用戶登錄信息和用戶屬性信息;所述授權(quán)管理器用于接收所述人機(jī)交互界面輸入的角色信息����、操作信息并保存,保存每個(gè)角色的操作權(quán)限�����,設(shè)定角色和所述活動(dòng)目錄中用戶的對(duì)應(yīng)關(guān)系�����。優(yōu)選的�,所述域控制器還包括密碼管理模塊,用于根據(jù)預(yù)先設(shè)定的密碼策略對(duì)所有接入該域的被管系統(tǒng)進(jìn)行密碼管理��。具體的��,所述授權(quán)管理器是域控制器中指定路徑的目錄�,接收到所述人機(jī)交互界面的信息后,通過(guò)調(diào)用預(yù)先編譯好的函數(shù),完成所述定義角色及操作權(quán)限的工作�;所述活動(dòng)目錄是域控制器中指定路徑的目錄,接收到所述人機(jī)交互界面的信息后�����,通過(guò)調(diào)用預(yù)先編譯好的函數(shù)�����,完成所述定義用戶的工作���。
進(jìn)一步的�����,所述被指定位置的授權(quán)管理器還進(jìn)一步包括:角色定義模塊:用于接收人機(jī)交互界面輸入的角色屬性信息定義并保存角色�;操作權(quán)限設(shè)置模塊:用于根據(jù)所述角色定義模塊中的角色��,為所述角色設(shè)置操作權(quán)限�;用戶權(quán)限設(shè)置模塊:用于通過(guò)人機(jī)交互界面,根據(jù)所述活動(dòng)目錄中的用戶信息和所述角色定義模塊中的角色���,為所述用戶匹配相應(yīng)的角色��。進(jìn)一步的���,所述資源管理器包括:資源存儲(chǔ)模塊��,用于保存接入域控制器中設(shè)備的資源信息,所述資源信息包括數(shù)據(jù)資源和功能資源�;資源權(quán)限設(shè)置模塊,用于為所述角色定義模塊中定義的角色匹配相應(yīng)的資源�。具體的,所述預(yù)先編譯好的函數(shù)為域控制器中的函數(shù)�。本發(fā)明還提供一種基于上述集中權(quán)限管理系統(tǒng)的授權(quán)方法,其特征在于:根據(jù)在人機(jī)交互界面輸入的角色參數(shù)����,調(diào)用所述授權(quán)管理器中相應(yīng)的角色函數(shù),在授權(quán)管理器中定義角色并保存�;選擇人機(jī)交互界面呈現(xiàn)的操作信息和角色信息,確定兩者的匹配關(guān)系并存入授權(quán)管理器中�����;選擇人機(jī)交互界面呈現(xiàn)的角色信息和資源信息�,確定兩者的匹配關(guān)系存入并所述資源管理器中;根據(jù)在人機(jī)交互界面輸入的用戶參數(shù)�,調(diào)用所述活動(dòng)目錄中相應(yīng)的用戶函數(shù),在活動(dòng)目錄中定義用戶并保存;選擇人機(jī)交互界面呈現(xiàn)的角色信息和用戶信息����,將兩者的匹配關(guān)系存入授權(quán)管理器中,完成授權(quán)����。本發(fā)明還提供一種基于上述集中權(quán)限管理系統(tǒng)的鑒權(quán)方法,其特征在于:在人機(jī)交互界面中輸入用戶的登錄信息��,登錄域控制器���;在人機(jī)交互界面中選擇需要使用的鑒權(quán)接口�����,通過(guò)鑒權(quán)單元中相應(yīng)的鑒權(quán)接口描述的方法屬性�,獲取相應(yīng)的權(quán)限��。鑒于現(xiàn)有技術(shù)存在的問(wèn)題��,有的公司采用純數(shù)據(jù)庫(kù)的方式進(jìn)行權(quán)限管理���,將用戶和權(quán)限信息都保存在數(shù)據(jù)庫(kù)里�,由于移動(dòng)網(wǎng)管軟件需要管理很多的基站、小區(qū)���、網(wǎng)元等����,數(shù)量太大�,都存在數(shù)據(jù)庫(kù)中�����,訪問(wèn)起來(lái)速度會(huì)慢�����。因此這種采用純數(shù)據(jù)庫(kù)的管理方式�,對(duì)于移動(dòng)網(wǎng)絡(luò)中成千上萬(wàn)的網(wǎng)元,授權(quán)效率就太低了�����,使用不方便�����。本發(fā)明提供的集中權(quán)限管理系統(tǒng),域控制器中的活動(dòng)目錄和授權(quán)管理器存儲(chǔ)用戶注冊(cè)信息和設(shè)置權(quán)限后�����,只需要通過(guò)資源管理器把所述信息進(jìn)行保存即可����,節(jié)省了大量的開(kāi)發(fā)時(shí)間,權(quán)限和資源的分開(kāi)保存���,也使得授權(quán)和鑒權(quán)的過(guò)程變得簡(jiǎn)單高效���。
圖1為集中權(quán)限管理系統(tǒng)的結(jié)構(gòu)示意2為基于集中權(quán)限管理系統(tǒng)的授權(quán)方法流程3為基于集中權(quán)限管理系統(tǒng)的鑒權(quán)方法流程圖
具體實(shí)施例方式本發(fā)明所述的集中權(quán)限管理系統(tǒng)采用域控制器中的授權(quán)管理器、活動(dòng)目錄以及資源管理器的方式����,完成對(duì)用戶、角色�����、權(quán)限集中管理的功能�����,易于實(shí)現(xiàn),對(duì)于移動(dòng)通信網(wǎng)絡(luò)中眾多的網(wǎng)元權(quán)限管理����,更加適用。下面結(jié)合實(shí)施例進(jìn)一步闡述本發(fā)明的實(shí)現(xiàn)方法����。一種集中權(quán)限管理系統(tǒng),如圖1所示�,包括人機(jī)交互界面1、授權(quán)單元2�����、鑒權(quán)單元3����。人機(jī)交互界面I用于接收使用者輸入的各種信息���,呈現(xiàn)集中權(quán)限管理系統(tǒng)管理的權(quán)限信息��,包括用戶的信息�����、角色的信息����、用戶與角色的對(duì)應(yīng)關(guān)系,角色與資源的對(duì)應(yīng)關(guān)系����,角色的操作權(quán)限等;同時(shí)人機(jī)交互界面I可以提供不同的權(quán)限設(shè)置菜單�,使用者可通過(guò)人機(jī)交互界面,輸入或選擇權(quán)限設(shè)置的信息�,將輸入或選擇的權(quán)限信息存入授權(quán)單元,從而完成授權(quán)過(guò)程����。授權(quán)單元2用于完成對(duì)用戶授權(quán)的相關(guān)功能,包括定義用戶��、定義角色����、設(shè)置角色的操作權(quán)限,設(shè)置角色和資源的關(guān)系�,設(shè)置用戶和角色的關(guān)系等。例如在定義用戶時(shí)��,授權(quán)單元接收使用者從人機(jī)交互界面輸入的用戶屬性信息,包括但不限于用戶名稱(chēng)����、用戶密碼、用戶所屬組別�����、用戶所屬專(zhuān)業(yè)�、用戶所屬公司等信息,保存到授權(quán)單元中���。在定義角色時(shí)���,授權(quán)單元接收使用者從人機(jī)交互界面輸入的角色屬性信息,包括但不限于角色名稱(chēng)�����、角色描述�����、角色與用戶的對(duì)應(yīng)關(guān)系��。本發(fā)明中的授權(quán)單元功能主要采用域控制器21和資源管理器22實(shí)現(xiàn)�,其中域控制器21又進(jìn)一步包括活動(dòng)目錄211和授權(quán)管理器212?!坝颉钡暮x指的是服務(wù)器控制網(wǎng)絡(luò)上的計(jì)算機(jī)能否加入的計(jì)算機(jī)組合。在“域”模式下��,至少有一臺(tái)服務(wù)器負(fù)責(zé)每一臺(tái)聯(lián)入網(wǎng)絡(luò)的電腦和用戶的驗(yàn)證工作����,相當(dāng)于一個(gè)單位的門(mén)衛(wèi)一樣,稱(chēng)為“域控制器(Domain Controller,簡(jiǎn)寫(xiě)為DC)�。域控制器可以管控接入該域的設(shè)備的用戶、角色�、操作權(quán)限以及三者間的關(guān)系。域控制器中一般都包含有活動(dòng)目錄和授權(quán)管理器�����,因此本案利用域控制器來(lái)完成集中權(quán)限管理的功能����。活動(dòng)目錄211�,用于接收所述人機(jī)交互界面輸入的用戶信息并保存。活動(dòng)目錄是一種目錄服務(wù)�,提供了一種目錄形式的數(shù)據(jù)存儲(chǔ),目錄包含了有關(guān)各種對(duì)象(例如用戶����、用戶組、計(jì)算機(jī)���、域�、組織單位以及安全策略)的信息��,這些信息可以被發(fā)布出來(lái)�����,供用戶和管理員使用�����,活動(dòng)目錄存在域控制器上�,可以被域控制器控制的機(jī)器所訪問(wèn),本技術(shù)方案利用活動(dòng)目錄對(duì)用戶進(jìn)行管理�,通過(guò)接收人機(jī)交互界面輸入的信息�����,對(duì)用戶進(jìn)行定義和保存,這些信息包括用戶的登錄信息和用戶屬性信息����,用戶登錄信息包括但不局限于用戶名和密碼,用戶屬性信息包括但不局限于用戶組�����、用戶所屬公司�、用戶所屬專(zhuān)業(yè)、用戶所屬地區(qū)等����,還可以添加用戶組和組織單位等,用戶信息可根據(jù)實(shí)際需求進(jìn)行設(shè)置����,但用戶名和密碼是必須的,是登陸域控制器的必要條件�����?�;顒?dòng)目錄接收人機(jī)交互界面輸入的用戶信息,調(diào)用已有的相應(yīng)的編譯好的函數(shù)�,完成不同的用戶管理功能,用戶一旦被定義和保存����,就可以通過(guò)人機(jī)交互界面呈現(xiàn)出來(lái),供使用者使用���。在域控制器中為活動(dòng)目錄指定一個(gè)位置����,即在指定路徑設(shè)定一個(gè)目錄���,目錄中包含活動(dòng)目錄中原有的編譯好的函數(shù)����,并封裝了集中權(quán)限管理系統(tǒng)中用到方法類(lèi)及其屬性����,例如:
類(lèi)DirectoryEntry,實(shí)現(xiàn)活動(dòng)目錄的初始設(shè)置:初始化一個(gè)DirectoryEntry實(shí)體,對(duì)活動(dòng)目錄進(jìn)行實(shí)例化:new DirectoryEntry(string path, string username, string password);/*設(shè)置活動(dòng)目錄路徑�����,設(shè)置登錄域控制器的用戶名和密碼*/類(lèi)DirectorySearcher,實(shí)現(xiàn)對(duì)活動(dòng)目錄的查詢(xún)功能:對(duì)DirectorySearcher進(jìn)行初始化,可完成對(duì)活動(dòng)目錄中信息的查詢(xún):New DirectorySearcher(DirectoryEntry entry, string condition)/*設(shè)置新查詢(xún)實(shí)體,設(shè)置查詢(xún)條件*/活動(dòng)目錄原本包含已編譯好的函數(shù)�,可用于用戶管理的功能:添加一個(gè)實(shí)體,主要指用戶����,優(yōu)選的可添加用戶組,組織單位等�,用戶組的分組可根據(jù)業(yè)務(wù)需求來(lái)確定。向活動(dòng)目錄中添加一個(gè)實(shí)體是通過(guò)活動(dòng)目錄中Children屬性的Add方法實(shí)現(xiàn)的:Add(string name, string schemaClassName)/*對(duì)于不同的類(lèi)name的寫(xiě)法是不同的:組織單元OU = name ;用戶CN = name*/刪除一個(gè)實(shí)體���,主要指用戶�,優(yōu)選的可刪除用戶組����、組織單位等。在活動(dòng)目錄中刪除一個(gè)實(shí)體,是通過(guò)活動(dòng)目錄中Children屬性的Remove方法實(shí)現(xiàn)的:Remove(DirectoryEntry entry)���。授權(quán)管理器212����,用于接收所述人機(jī)交互界面輸入的角色信息�����、操作信息并保存,保存每個(gè)角色的操作權(quán)限��,設(shè)定角色和所述活動(dòng)目錄中用戶的對(duì)應(yīng)關(guān)系�。授權(quán)管理器用于完成授權(quán)功能,先根據(jù)人機(jī)交互界面輸入的角色信息并保存����,這些信息包括角色名稱(chēng)、角色描述等���,可根據(jù)實(shí)際需求進(jìn)行設(shè)置��,定義角色完成后����,為每個(gè)角色設(shè)置操作權(quán)限��,操作信息主要包括增加����、刪除、修改等�����。當(dāng)完成角色定義后,可根據(jù)人機(jī)交互界面呈現(xiàn)的用戶信息設(shè)置角色與用戶的關(guān)系��。授權(quán)管理器接收到人機(jī)交互界面輸入的信息���,調(diào)用封裝其中的相應(yīng)的函數(shù),完成相應(yīng)的功能后��,將角色信息��、角色與用戶的關(guān)系信息�����、角色與操作的關(guān)系信息保存起來(lái)�。例如權(quán)限管理系統(tǒng)需要定義角色,則接收人機(jī)交互界面輸入的角色信息�����,調(diào)用定義角色的函數(shù)�,完成定義角色的功能并將定義好的角色保存到授權(quán)管理器中。在域控制器中為授權(quán)管理器指定一個(gè)位置�����,即在指定的路徑設(shè)定一個(gè)目錄,目錄中包含授權(quán)管理器中原有的編譯好的函數(shù)�,并封裝了集中權(quán)限管理系統(tǒng)中用到方法類(lèi)及其屬性,用于根據(jù)人機(jī)交互界面輸入的內(nèi)容對(duì)角色和操作權(quán)限進(jìn)行設(shè)置和保存�。授權(quán)管理器212進(jìn)一步包括:角色定義模塊2121:用于根據(jù)人機(jī)交互界面輸入的內(nèi)容定義角色,設(shè)置角色屬性��;操作權(quán)限設(shè)置模塊2122:用于根據(jù)人機(jī)交互界面輸入的內(nèi)容結(jié)合所述角色定義模塊中的角色��,為所述角色設(shè)置操作權(quán)限�;用戶權(quán)限設(shè)置模塊2123:用于根據(jù)人機(jī)交互界面呈現(xiàn)的用戶信息和角色信息,通過(guò)人機(jī)交互界面為所述用戶匹配相應(yīng)的角色����,并保存兩者的關(guān)系。
授權(quán)管理器通過(guò)接收人機(jī)交互界面的信息�����,調(diào)用以下相應(yīng)的函數(shù)��,對(duì)角色��、操作和權(quán)限信息進(jìn)行管理�����。以具體的函數(shù)實(shí)例為例:類(lèi)AzAuthorizationStoreClassInitialize(int IFlags, string bstrPolicyURL, object varReserved)/*初始化,主要是授權(quán)管理器設(shè)置路徑����,即指定授權(quán)管理器的目錄位置*/OpenApplication(string bstrApplication,object varReserved)/*打開(kāi)應(yīng)用,即授權(quán)管理器的目錄名稱(chēng)*/IAzClientContext(a)InitializeClientContextFromToken(ulong ullTokenHandle, object)(b) InitializeClientContextFromName (stirngClientName,stringDomainName, object)
/*客戶端接口����,對(duì)于客戶端有兩種初始化方法,一種是通過(guò)Token��,一種是通過(guò)指定用戶名的方式�。通過(guò)客戶端可以獲得該客戶端的角色�,以及實(shí)現(xiàn)鑒權(quán)*/創(chuàng)建角色CreateRole(string bstrRoleName,object varReserved)/*創(chuàng)建角色是調(diào)用授權(quán)管理器中已有的CreateRole來(lái)實(shí)現(xiàn)的*/刪除角色DeleteRole (string name, string descripting, string[]tasks, stringoperations)/*刪除角色是調(diào)用授權(quán)管理器中已有的DeleteR0Ie實(shí)現(xiàn)的*/創(chuàng)建操作CreateOperation(string bstOperationName,object varReserved)/*創(chuàng)建操作是調(diào)用授權(quán)管理器中已有的CreateOperation實(shí)現(xiàn)的*/刪除操作DeleteOperation(string bstOperationName, object varReserved)/*刪除操作是授權(quán)管理器中已有的DeleteOperation實(shí)現(xiàn)的*/初始化一個(gè)角色,即對(duì)角色進(jìn)行實(shí)例化���,為角色賦予屬性�����,主要有角色的唯一標(biāo)識(shí)��、角色的成員����、角色描述、角色操作等�����。初始化角色OpenRole(string bstRoleName, object varReserved)/*初始化角色是調(diào)用授權(quán)管理器的OpenRolee方法來(lái)實(shí)現(xiàn)的*/����。給角色添加相應(yīng)的操作AddOperation(string bstRoleName, object varReserved)/*調(diào)用角色中的AddOperation方法*/從角色中刪除相應(yīng)的操作DeleteOperation(string bstRoleName, object varReserved)/* 調(diào)用角色中 DeleteOperation 方法 */給角色添加下屬的成員或者系統(tǒng)角色
AddMember(string bstMemberName, object varReserved)/*調(diào)用角色中AddMember方法*/從角色中刪除下屬的成員或者系統(tǒng)角色DeleteMenber(string bstMemberName, object varReserved)/* 調(diào)用角色中 DeleteMenber 方法 */調(diào)用角色的兩個(gè)屬性分別能夠獲得角色的所有操作和成員,即Operations和Members����。資源管理器22用于保存接入域控制器中設(shè)備的資源信息,通過(guò)所述人機(jī)交互界面設(shè)定并保存資源與所述域控制器中角色的對(duì)應(yīng)關(guān)系����。資源信息主要指的是的資源,指的是接入域控制器中設(shè)備上的資源信息����,或設(shè)備上所承載的應(yīng)用系統(tǒng)(即被管理系統(tǒng))的資源信息,包括功能資源和數(shù)據(jù)資源�����,所謂功能資源是指被管系統(tǒng)中的功能模塊,如網(wǎng)管系統(tǒng)中涉及的功能資源有����,性能模塊、告警模塊���、派單模塊等���,用戶對(duì)相應(yīng)的功能模塊具有權(quán)限,則意味著可以使用這些功能�;所謂數(shù)據(jù)資源是指被管系統(tǒng)中的數(shù)據(jù)信息,如網(wǎng)管系統(tǒng)中涉及的數(shù)據(jù)資源有���,網(wǎng)元信息、傳輸系統(tǒng)信息等����,用戶對(duì)相應(yīng)的數(shù)據(jù)具有權(quán)限,則意味著可以對(duì)這些數(shù)據(jù)進(jìn)行操作�。在移動(dòng)通信網(wǎng)絡(luò)中會(huì)涉及到多個(gè)管理系統(tǒng),并涉及大量的設(shè)備/網(wǎng)元�����,這些設(shè)備/網(wǎng)元可能屬于不同的系統(tǒng),存在對(duì)每個(gè)設(shè)備/網(wǎng)元的操作權(quán)限都不相同的可能性����,因此移動(dòng)通信網(wǎng)絡(luò)的權(quán)限管理,具有接入系統(tǒng)多�����,數(shù)據(jù)量大的特點(diǎn)�,如果采用傳統(tǒng)的數(shù)據(jù)庫(kù)方式,把用戶�����、角色�����、權(quán)限����、資源信息都保存在數(shù)據(jù)庫(kù)中,通過(guò)對(duì)數(shù)據(jù)庫(kù)的查找訪問(wèn)實(shí)現(xiàn)對(duì)每個(gè)設(shè)備/網(wǎng)元的權(quán)限進(jìn)行管理�,會(huì)影響授權(quán)、鑒權(quán)的速度和權(quán)限管理系統(tǒng)的性能�,采用授權(quán)管理器和活動(dòng)目錄的方法��,采用域控制器中已有的函數(shù)完成用戶����、角色以及權(quán)限的管理工作��,將權(quán)限和資源分離���,且登陸域控制器后即可獲得相應(yīng)的各系統(tǒng)的權(quán)限�,使用簡(jiǎn)單�,開(kāi)發(fā)易實(shí)現(xiàn),且提高了處理速度����,尤其適合大數(shù)據(jù)量的權(quán)限管理。對(duì)于與資源相關(guān)的權(quán)限�����,本系統(tǒng)采用資源管理器管理方式�����,包括以下兩個(gè)模塊:資源存儲(chǔ)模塊221�����,用于保存被管系統(tǒng)的資源信息����。所述資源信息包括數(shù)據(jù)資源信息,和功能資源信息�。數(shù)據(jù)資源信息,如網(wǎng)元信息�����,網(wǎng)元組信息��。功能資源信息���,是指被管系統(tǒng)中的功能模塊信息���。資源的數(shù)據(jù)資源信息和功能資源信息,預(yù)先存儲(chǔ)到數(shù)據(jù)庫(kù)中����,可以通過(guò)人機(jī)交互界面,呈現(xiàn)給使用者���。資源權(quán)限設(shè)置模塊222�,用于為所述角色定義模塊中角色匹配相應(yīng)的資源。角色與資源的關(guān)系�,例如角色與網(wǎng)元的關(guān)系,角色與網(wǎng)元類(lèi)型的關(guān)系���,角色與廠家的關(guān)系�,角色與地區(qū)的關(guān)系等���,即該角色可操作哪些網(wǎng)元��、哪些廠家�、哪些地區(qū)�����;角色與功能菜單的關(guān)系��,即該角色可使用接入系統(tǒng)中的那些功能模塊�。角色與資源的關(guān)系,則通過(guò)人機(jī)交互界面進(jìn)行設(shè)置���,并把設(shè)置好的內(nèi)容保存到所述資源管理器中�。鑒權(quán)單元3提供預(yù)先設(shè)定的不同權(quán)限的接口��,通過(guò)調(diào)用相應(yīng)的權(quán)限接口從所述域控制器和資源管理器中獲取用戶對(duì)不同資源的操作權(quán)限��。�;鑒權(quán)單元中包含一個(gè)接口類(lèi):IPrivilege,該類(lèi)中含有一些屬性和方法���,具體如下:該類(lèi)所包含的屬性有:EncryptPassword/* 對(duì)密碼解密 */AzPath/*授權(quán)管理器的路徑*/AppName/*授權(quán)管理器中的應(yīng)用��,接入域控制器中系統(tǒng)的名稱(chēng)*/該類(lèi)所包含的方法有SetConnection/*設(shè)置資源管理器連接*/Login (user_name, password) /* 登錄信息 */經(jīng)過(guò)設(shè)置3個(gè)屬性,上面兩個(gè)方法,如果登錄成功,就生成一個(gè)IPrivilege對(duì)象�,從而把登錄用戶和授權(quán)管理器��、活動(dòng)目錄和資源管理器聯(lián)系起來(lái)�����,再取其他權(quán)限時(shí)����,直接用生成的這個(gè)對(duì)象調(diào)用下面將要說(shuō)到的接口方法,就可以取權(quán)限了�。所述接口方法包括:IsSuperUse/*是否為超級(jí)用戶*/GetUserName/* 獲取用戶名 */ GetUserPassword/* 獲取 口令 */GetUserID/* 獲取用戶 ID*/GetAllRoles/*獲取授權(quán)管理中所有角色名,用I分隔*/GetAppAllOperations/*獲取授權(quán)管理器中所有操作�,用|分隔*/(操作和角色有關(guān)系���,因此獲取的過(guò)程就是根據(jù)登錄用戶先從授權(quán)管理器得到該用戶的角色,然后再根據(jù)角色得到相關(guān)聯(lián)的操作��,從而獲得該用戶的所有操作)GetRoleMembers (rolename)/*獲取角色下的所有用戶����,用|分隔*/Rolename:GetRoleOperations (rolename)/*獲取角色下所有的操作,用|分隔*/Rolename:GetUserRoles/*獲取當(dāng)前用戶的所有角色�����,用|分隔*/GetUserOperations/*獲取當(dāng)前用戶所有的操作�����,用|分隔*/AccessCheck(Operationld)/*測(cè)當(dāng)前用戶是否具有某個(gè)操作的權(quán)限,具有該權(quán)限返回1��,否則返回0*/Operationld:操作 idGetDataListffithPrivilegeFlag(IDataType, IDataldl, IDatald2, IDatald3,IRetDataType)/*獲取當(dāng)前用戶對(duì)某個(gè)數(shù)據(jù)項(xiàng)具有某個(gè)操作的權(quán)限的數(shù)據(jù)項(xiàng)列表�����,用|分隔*/DataAccessCheck (IDataType, IDataldl, IDatal d2 , IDatald3,IOperationFlag)/*檢測(cè)當(dāng)前用戶對(duì)某個(gè)數(shù)據(jù)項(xiàng)是否具有某個(gè)操作的權(quán)限����,具有該權(quán)限返回I�,否則返回0*/優(yōu)選的����,為了提高集中權(quán)限管理的安全性���,有些使用者對(duì)密碼的設(shè)置有嚴(yán)格的要求���,在域控制器中還包含一個(gè)管理密碼的模塊,在該密碼管理模塊中�,預(yù)設(shè)有多種設(shè)置密碼的策略,因此使用該密碼策略后�����,可使得接入該系統(tǒng)的用戶直接根據(jù)密碼策略的要求設(shè)置密碼����。所謂密碼策略就是設(shè)置密碼的要求,如密碼策略I要求密碼為6位���,必須包含字母和數(shù)字�����,但不能包含字符���。本發(fā)明所述的域控制器可以是windows系統(tǒng)中的域控制器�,包含有自身的授權(quán)管理器和活動(dòng)目錄�,用于實(shí)現(xiàn)本發(fā)明的集中權(quán)限管理的功能。本發(fā)明還提供一種基于上述集中權(quán)限管理系統(tǒng)的授權(quán)方法��,如圖2所示包含以下步驟:步驟101:根據(jù)在人機(jī)交互界面輸入的角色參數(shù)��,調(diào)用所述授權(quán)管理器中相應(yīng)的角色函數(shù)���,在授權(quán)管理器中定義角色并保存���。步驟102:選擇人機(jī)交互界面呈現(xiàn)的操作信息和角色信息,確定兩者的匹配關(guān)系并存入授權(quán)管理器中�����。步驟103:選擇人機(jī)交互界面呈現(xiàn)的角色信息和資源信息����,確定兩者的匹配關(guān)系存入并所述資源管理器中。步驟104:根據(jù)在人機(jī)交互界面輸入的用戶參數(shù),調(diào)用所述活動(dòng)目錄中相應(yīng)的用戶函數(shù)��,在活動(dòng)目錄中定義用戶并保存��。步驟105:選擇人機(jī)交互界面呈現(xiàn)的角色信息和用戶信息�,將兩者的匹配關(guān)系存入授權(quán)管理器中,完成授權(quán)�����。本發(fā)明還提供一種基于上述集中權(quán)限管理系統(tǒng)的鑒權(quán)方法�,如圖3所示�,包括步驟:步驟201,在人機(jī)交互界面中輸入用戶的登錄信息��,登錄域控制器�����;步驟202����,在人機(jī)交互界面中選擇需要使用的鑒權(quán)接口,通過(guò)鑒權(quán)單元中相應(yīng)的接口方法�,獲取相應(yīng)的權(quán)限。所述的登錄信息,包括登錄的用戶名�、密碼信息,根據(jù)上述系統(tǒng)中對(duì)鑒權(quán)單元工作原理的描述�,輸入登錄信息后,如果登錄成功����,則生成一個(gè)IPrivilege對(duì)象,從而把登錄用戶和授權(quán)管理器�����、活動(dòng)目錄和資源管理器聯(lián)系起來(lái)�,取其他權(quán)限時(shí),根據(jù)使用者的選擇���,調(diào)用鑒權(quán)單元中相應(yīng)的接口方法即可�。詳見(jiàn)系統(tǒng)中相關(guān)的描述���,不再贅述��。上述描述僅僅是用于說(shuō)明本發(fā)明而不是用來(lái)限定本發(fā)明的保護(hù)范圍����。本領(lǐng)域技術(shù)人員容易從上述教導(dǎo)中得出多種改進(jìn)和變形,只要不超出權(quán)利要求的保護(hù)范圍�����。
權(quán)利要求
1.一種集中權(quán)限管理系統(tǒng)����,包括授權(quán)單元、鑒權(quán)單元和人機(jī)交互界面�����,其特征在于�����,所述授權(quán)單元包括域控制器���、資源管理器; 所述域控制器用于在預(yù)先設(shè)定域管轄范圍內(nèi)通過(guò)所述人機(jī)交互界面接收設(shè)置的用戶�、角色和操作權(quán)限信息,管控所有接入該域的設(shè)備的用戶����、角色�����、操作權(quán)限以及三者間的關(guān)系; 所述資源管理器用于保存所述域控制器管轄范圍內(nèi)設(shè)備的的資源信息���,通過(guò)所述人機(jī)交互界面設(shè)定并保存資源與所述域控制器中角色的對(duì)應(yīng)關(guān)系; 所述鑒權(quán)單元用于預(yù)先設(shè)定不同權(quán)限的鑒權(quán)接口�����,通過(guò)調(diào)用相應(yīng)的權(quán)限接口從所述域控制器和資源管理器中獲取權(quán)限信息���。
2.根據(jù)權(quán)利要求1所述的集中權(quán)限管理系統(tǒng)�,其特征在于�,所述的域控制器具體包括活動(dòng)目錄和授權(quán)管理器; 所述活動(dòng)目錄用于接收所述人機(jī)交互界面輸入的用戶信息并保存�����,所述用戶信息包括用戶登錄信息和用戶屬性信息��; 所述授權(quán)管理器用于接收所述人機(jī)交互界面輸入的角色信息����、操作信息并保存���,保存每個(gè)角色的操作權(quán)限,設(shè)定角色和所述活動(dòng)目錄中用戶的對(duì)應(yīng)關(guān)系�。
3.根據(jù)權(quán)利要求2所述的集中權(quán)限管理系統(tǒng),其特征在于��,所述域控制器還進(jìn)一步包括密碼管理模塊���,用于根據(jù)預(yù)先設(shè)定的密碼策略對(duì)所有接入該域的被管系統(tǒng)進(jìn)行密碼管理�。
4.根據(jù)權(quán)利要求3所述的集中權(quán)限管理系統(tǒng)�����,其特征在于��,所述授權(quán)管理器是域控制器中指定路徑的目錄����,接收到所述人機(jī)交互界面的信息后���,通過(guò)調(diào)用預(yù)先編譯好的函數(shù)���,完成所述定義角色及操作權(quán)限的工作�����; 所述活動(dòng)目錄是域控制器中指定路徑的目錄�����,接收到所述人機(jī)交互界面的信息后�,通過(guò)調(diào)用預(yù)先編譯好的函數(shù)��,完成所述定義用戶的工作����。
5.根據(jù)權(quán)利要求4所述的集中權(quán)限管理系統(tǒng),其特征在于�����,所述被指定位置的授權(quán)管理器還進(jìn)一步包括: 角色定義模塊:用于接收人機(jī)交互界面輸入的角色屬性信息定義并保存角色���; 操作權(quán)限設(shè)置模塊:用于根據(jù)所述角色定義模塊中的角色�,為所述角色設(shè)置操作權(quán)限��; 用戶權(quán)限設(shè)置模塊:用于通過(guò)人機(jī)交互界面�����,根據(jù)所述活動(dòng)目錄中的用戶信息和所述角色定義模塊中的角色,為所述用戶匹配相應(yīng)的角色�。
6.根據(jù)權(quán)利要求5所述的集中權(quán)限管理系統(tǒng),其特征在于����,所述的資源管理器進(jìn)一步包括: 資源存儲(chǔ)模塊,用于保存接入域控制器中設(shè)備的資源信息��,所述資源信息包括數(shù)據(jù)資源和功能資源�; 資源權(quán)限設(shè)置模塊,用于為所述角色定義模塊中定義的角色匹配相應(yīng)的資源�����。
7.根據(jù)權(quán)利要求6所述的集中權(quán)限管理系統(tǒng)���,其特征在于���,所述預(yù)先編譯好的函數(shù)為域控制器中的函數(shù)����。
8.一種基于上述集中權(quán)限管理系統(tǒng)的授權(quán)方法��,其特征在于: 根據(jù)在人機(jī)交互界面輸入的角色參數(shù)���,調(diào)用所述授權(quán)管理器中相應(yīng)的角色函數(shù),在授權(quán)管理器中定義角色并保存��; 選擇人機(jī)交互界面呈現(xiàn)的操作信息和角色信息��,確定兩者的匹配關(guān)系并存入授權(quán)管理器中�����; 選擇人機(jī)交互界面呈現(xiàn)的角色信息和資源信息�����,確定兩者的匹配關(guān)系存入并所述資源管理器中�����; 根據(jù)在人機(jī)交互界面輸入的用戶參數(shù)����,調(diào)用所述活動(dòng)目錄中相應(yīng)的用戶函數(shù),在活動(dòng)目錄中定義用戶并保存; 選擇人機(jī)交互界面呈現(xiàn)的角色信息和用戶信息����,將兩者的匹配關(guān)系存入授權(quán)管理器中,完成授權(quán)���。
9.一種基于上述集中權(quán)限管理系統(tǒng)的鑒權(quán)方法����,其特征在于: 在人機(jī)交互界面中輸入用戶的登錄信息�,登錄域控制器; 在人機(jī)交互界面中選擇需要使用的鑒權(quán)接口���,通過(guò)鑒權(quán)單元中相應(yīng)的鑒權(quán)接口描述的方法屬性�,獲取相應(yīng)的 權(quán)限�����。
全文摘要
一種集中權(quán)限管理系統(tǒng)�����,包括授權(quán)單元�、鑒權(quán)單元和人機(jī)交互界面�,其中授權(quán)單元具體包括域控制器和資源管理器���,域控制器進(jìn)一步包括授權(quán)管理器和活動(dòng)目錄,在所述授權(quán)管理器上存有角色��、操作及權(quán)限信息����,所述活動(dòng)目錄上保存用戶信息,資源管理器上存儲(chǔ)資源信息��,通過(guò)人機(jī)交互界面匹配用戶���、角色���、資源三者的權(quán)限關(guān)系,達(dá)到集中授權(quán)的目的�����,通過(guò)鑒權(quán)單元提供的鑒權(quán)接口實(shí)現(xiàn)鑒權(quán)���?���;谟蚩刂破髦惺跈?quán)管理器和活動(dòng)目錄設(shè)計(jì)的集中權(quán)限管理系統(tǒng),實(shí)現(xiàn)各系統(tǒng)的集中鑒權(quán)�����、解決統(tǒng)一登陸�����、分級(jí)分權(quán)訪問(wèn)和口令管理問(wèn)題��。
文檔編號(hào)H04L29/06GK103188249SQ20111046010
公開(kāi)日2013年7月3日 申請(qǐng)日期2011年12月31日 優(yōu)先權(quán)日2011年12月31日
發(fā)明者付育哲, 陳丹, 王海清 申請(qǐng)人:北京億陽(yáng)信通科技有限公司