CN101453379A - 一种资源管理方法和系统 - Google Patents
一种资源管理方法和系统 Download PDFInfo
- Publication number
- CN101453379A CN101453379A CNA2009100000532A CN200910000053A CN101453379A CN 101453379 A CN101453379 A CN 101453379A CN A2009100000532 A CNA2009100000532 A CN A2009100000532A CN 200910000053 A CN200910000053 A CN 200910000053A CN 101453379 A CN101453379 A CN 101453379A
- Authority
- CN
- China
- Prior art keywords
- resource
- type
- resource type
- node
- management
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种资源管理方法和系统,属于网络安全应用领域。所述方法为:在管理节点下创建至少一个实资源节点和/或至少一个虚资源节点,并分别按逻辑关系添加实资源节点和虚资源节点对应的上下级关系,实现资源树的构建;以虚资源节点为根划分资源分支,授权所述虚资源节点管理以其为根的资源分支;当需要在所述资源分支下添加资源实例时,在所述虚资源节点的管理下添加所述资源实例的上下级关系,并用已创建的资源类型描述所述资源实例。所述系统包括资源树构建模块、权限划分和分配模块、资源实例添加模块和资源类型创建模块。本发明实现了面向应用、用统一资源类型格式进行有效的统一管理和简化授权的资源管理。
Description
技术领域
本发明涉及网络安全应用领域,特别涉及一种资源管理方法和系统。
背景技术
目前,资源管理领域进行资源管理常用的组织管理形式主要有如下四种:集中式、层次式、分布式和混合式:
其中,分布式组织结构是指由多个对等的管理节点组成,每个管理节点分别管理多个资源,混合式组织结构中较高层次的管理节点是采用分布式的对等组织方式,较低层次的各管理节点形成层次式的资源组织,故这两种资源管理结构由于没有统一的上级进行管理,所以存在不能实现统一的授权管理的问题;
而集中式组织结构是由一个总的资源管理节点来组织和管理一个个资源实例的,这种结构虽然能解决统一授权管理的问题,但由于该资源管理结构不能按照具体的应用组织资源,使得不能满足面向应用的需要,此外该结构也无法满足分布式环境下资源管理的需求。由于分布式环境下地理分布的各应用系统内部资源的具体组织结构各不相同,因此各应用系统授权管理的需求也可能存在差异,集中式的资源组织不能满足各应用环境的实际授权管理需要;
层次式组织结构,也就是常说的树状组织结构,是将网络资源划分为不同的层次等级,这些层次典型地反映了资源的物理或逻辑的结构,由根管理节点进行统一管理其他非根管理节点,由管理节点管理不同的资源节点集合。但是由于这种结构没有对资源实例实现再进一步划分和组织,使得所有资源实例混在一起构成大树,虽然能解决统一授权管理的问题,但存在如下问题:该结构不能直接的区分来自不同应用系统的资源,无法解决面向应用的问题。
另外,现有的资源管理技术中,没有对资源的类型进行定义,不能实现对各种类型资源的统一描述,不能对其进行有效的统一管理;资源的操作集合固定,缺乏灵活性;没有对资源类型之间、操作之间、权限之间、资源实例之间等的关系进行定义,使得授权非常复杂。
发明内容
本发明提供了一种资源管理的方法和系统,以解决资源管理中无法面向应用、有效统一管理及简化授权的问题。
一方面,提供了一种资源管理方法,包括:
步骤A:在管理节点下创建至少一个实资源节点和至少一个虚资源节点,并分别按逻辑关系添加所述实资源节点和虚资源节点对应的上下级关系,实现资源树的构建;
步骤B:以虚资源节点为根划分资源分支,授权所述虚资源节点管理以其为根的资源分支;
步骤C:当需要在某个资源分支下添加资源实例时,添加所述资源实例的上下级关系,并用已创建的资源类型描述所述资源实例。
另一方面,还提供了一种资源管理系统,包括:
资源树构建模块,用于在管理节点下创建至少一个实资源节点和至少一个虚资源节点,并分别按逻辑关系添加所述实资源节点和虚资源节点对应的上下级关系,实现资源树的构建;其中,所述实资源节点对应于资源实例,虚资源节点对应于应用系统或组织结构;
权限划分和分配模块,用于以虚资源节点为根划分资源分支,授权所述虚资源节点管理以其为根的资源分支;
资源实例添加模块,用于当需要在某个资源分支下添加资源实例时,添加所述资源实例的上下级关系,并用资源类型创建模块创建的资源类型描述所述资源实例;
资源类型创建模块,用于创建资源类型。
本发明提供的资源管理方法和系统的有益效果是:在资源树上划分虚资源节点和实资源节点,授权虚资源节点管理对应的应用系统或组织机构,能够适应不同的应用环境,满足面向应用的需求;另外,对资源类型进行了统一定义,并划分全局资源类型和局部资源类型,实现了有效的统一管理,其中局部资源类型还为实现灵活的局部自治提供了便利;而且,通过对资源类型之间、操作之间、权限之间、资源实例之间等的关系进行了关联,使得一次授权可以衍生出许多隐含授权,从而简化了授权。进一步的,本发明还对管理行为进行了约束,避免了统一授权管理中不规范、不一致的现象。
附图说明
图1是本发明实施例提供的一种资源管理方法流程图;
图1-1是本发明实施例1构建的一个资源树的结构图;
图1-2是本发明实施例1管理权限划分的示意图;
图1-3是本发明实施例1对操作的逻辑关系的演算示意图;
图1-4是本发明实施例1权限衍生示意图;
图2是本发明实施例提供的一种资源管理系统结构图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。
实施例一
参见图1,为本发明实施例提供了一种资源管理方法,包括如下步骤:
步骤101:将根管理节点,或根管理节点和非根管理节点按照树状结构进行组织;
优选的,将根管理节点,或根管理节点和非根管理节点按照树状结构进行组织的方法可以通过设置各管理节点的上下级关系,及与其他管理节点的通信参数等实现。管理节点包括根管理节点和非根管理节点,主要负责进行资源管理及授权管理功能。
树状结构是将网络资源划分为不同的层次等级。一般根管理节点为总管理节点,在根管理节点下面会设立多个非根管理节点,这些管理节点在根管理节点的管理下负责管理相应的资源节点。本发明实施例中的节点类型分为管理节点和资源节点两种类型,其中管理节点分为根管理节点和非根管理节点两类,整个结构是基于树状组织结构进行构建的,树状结构是将网络资源划分为不同的层次等级,其中最顶端的管理节点为根管理节点,负责整个树状组织结构的总的管理,包括管理非根管理节点和资源节点,在根管理节点下面会设立多个非根管理节点,负责管理以该非根管理节点为根的分支,该分支中包含有资源节点,有的时候还有其他的非根管理节点。
在本发明实施例中,可以根据需要设有一个根管理节点,直接去管理资源节点,也可以设置一个根管理节点和多个非根管理节点管理资源节点,即可以根据需要设有多个管理节点,每个管理节点负责管理一部分资源实例的集合为了方便全局定位,每个管理节点都具有一个全局唯一的标识,管理节点组织成为树状层次结构,各个管理节点之间相互独立,如果没有进行交互,各管理节点之间的资源均不可见。优选的,管理节点的命名采用绝对路径进行标识,例如根管理节点A下面管理非根管理节点B和C,非根管理节点B下面管理再下一级的非根管理节点D、E、F,则非根管理节点D的标识可以为“A:B:D”的形式;对于每个管理节点,只需保证其直接下级节点的名称不会出现重名,即可达到保证管理节点标识全局唯一的目的。
步骤102:构建包含实资源节点和虚资源节点的资源树。
优选的,具体实现如下:
在管理节点下创建至少一个实资源节点和至少一个虚资源节点,并分别按逻辑关系添加所述实资源节点和虚资源节点对应的上下级关系,实现资源树的构建。
本发明实施例中创新的将资源节点划分为实资源节点和虚资源节点两类,其中,实资源节点对应于资源实例,虚资源节点对应于应用系统或组织结构,如图1-1所示,其中管理节点A下面包含有多个虚资源节点和实资源节点,实资源节点对应于资源实例,即实实在在的资源实例,比如,一级菜单A、二级菜单AB、三级菜单AC3、数据表A1、文件AB等均为资源实例,其对应的资源节点为实资源节点,再比如,其中应用系统1、应用系统2、组织结构1等对应的资源节点均为虚资源节点。
资源的组织结构体现了资源实例之间的关系,通常资源实例之间的关系有两种:逻辑关系和物理关系。资源的逻辑关系比如网页之间的链接关系,网站中功能模块之间的交互、包含关系,网页中菜单之间的包含关系等等。资源的物理关系是资源实例实实在在的存储结构,它唯一标识和确定了资源实例的位置,如计算机中文档资源的存储路径,网页文件在服务器上的存储位置等。
为了更好的面向应用,适应多种应用环境,本发明实施例按照逻辑关系将与资源实例对应的实资源节点和与应用系统/组织结构对应的虚资源节点构建资源树状结构,即资源树。将资源树上的资源节点分为两大类:实资源节点和虚资源节点,其中实资源节点对应资源实例,虚资源节点对应应用系统或者组织结构,即资源实例可以按照应用系统或组织机构来组织,比如一个网站需要菜单级的访问控制保护,那么就按照菜单之间的逻辑关系来组织资源,该组织结构对应一个虚资源节点;如果一个应用系统需要提供功能模块级的访问控制保护,则按照功能模块之间的逻辑关系来组织资源,该应用系统对应一个虚资源节点。如图1-1所示,为管理节点A所管理的资源树,其中管理节点A下具有两个应用系统“应用系统1”和“应用系统2”和一个组织机构“组织机构1”,组织机构“组织机构A”还具有一个应用系统“应用系统3”,其中“应用系统1”、“应用系统2”、“组织机构1”、“应用系统3”均为虚资源节点,每个虚资源都可以根据实际应用需要以及访问控制需求组织下级资源实例,例如“应用系统1”需要菜单级的访问控制,那么可以按照菜单的层次结构来组织资源;“应用系统2”需要对源文件实施访问控制,则按照应用系统的文件目录来组织资源;“应用系统3”需要实施功能模块级的、接口级访问控制,则按照系统具有的功能模块来组织资源。这样,就可以把属于不同应用系统或组织机构的资源实例进行全局统一的资源组织,使得虚资源分支对应应用系统或组织机构,为满足面向应用提供了前提。
步骤103:以虚资源节点为根划分资源分支,授权所述虚资源节点管理以其为根的资源分支。
区分资源树上的实资源节点和虚资源节点便可以实现对资源进行分级管理。在一个管理节点内部可能管理多个应用系统或者多个组织机构对应的虚资源节点,这些虚资源节点为根的资源分支为面向不同应用的,授权由各自的虚资源节点分别管理并负责对应资源分支,从而实现面向应用的授权管理。
优选的,本步骤可以具体包含如下2个子步骤:
(1)将以虚资源节点为根的资源分支作为权限划分的基本单位:
结合图1-2举例说明管理权限的划分,其中N1为管理节点,N2、N3、N4、N5、N6为虚资源节点,按照虚资源节点给出了四个虚资源节点为根的资源分支,分别是以N2为根的资源分支A、以N3为根的资源分支B,以N5为根的资源分支C、以N4为根的资源分支D。
以虚资源节点为根划分资源分支包括以每个虚资源节点为根划分资源分支,比如资源分支B和C就是分别以虚资源节点N3和N4为根进行划分的;也包括以其中某个虚资源节点为根划分资源分支,此时,该资源分支中可能会包括其他的虚资源节点,比如资源分支D,是以虚资源节点N4为根进行划分的,其中资源分支D中还包括虚资源管理节点N6。
(2)管理节点授权该虚资源节点管理以其为根的资源分支:结合图1-2进一步举例说明该步骤,可以分别把这四个资源分支的管理权限分配给对应的虚资源节点管理,即由N2管理资源分支A,N3管理资源分支B,N5管理资源分支C,,N4管理资源分支D。图中另一个管理区域E,由于其不属于虚资源节点直属,因此可由管理节点N1负责管理。其中管理节点授权虚资源节点管理对应的资源分支包括:虚资源节点在资源分支内添加、修改和/或删除资源实例,并负责与这些资源相关的授权等。
优选的,可以将管理权限授予所述虚资源节点端的管理员,由该管理员来管理该虚资源节点为根的资源分支。
通过上述对资源树管理权限的划分和分配,使得不同的资源分支可以根据实际应用需要,由各自的虚资源节点进行不同类型的管理,从而实现面向应用的资源管理。
步骤104:当需要在某个资源分支下添加资源实例时,添加资源实例的上下级关系,并用已创建的资源类型描述资源实例。
本发明实施例提供的方法还包括对已添加的资源实例:
当需要在某个资源分支下修改资源实例时,修改资源实例的上下级关系,和/或资源类型对资源实例的描述;
当需要在某个资源分支下删除资源实例时,删除资源实例的上下级关系,和资源类型对资源实例的描述。
本发明实施例中资源类型包括全局资源类型和局部资源类型两种,其中根管理节点创建的资源类型为全局资源类型,在根管理节点的管理范围内有效,即在全局内都可以直接使用已经创建好的全局资源类型,全局资源类型一般为具有一定普遍性的资源类型;非根管理节点创建的资源类型为局部资源类型,在以创建该局部资源类型的非根管理节点为根的资源分支内有效,即在以创建该局部资源类型的非根管理节点管理下的全部实资源节点和虚资源节点组成的资源分支内有效,该有效区域内排除其他的下一级非根管理节点,也就是说上级非根管理节点创建的局部资源类型不能应用在该非根管理节点下级的非根管理节点管理的区域内,只有创建该局部资源类型的非根管理节点负责的资源分支内才可以使用该局部资源类型,所以说,局部资源类型是一种自定义的资源类型,可以根据实际应用的需要对资源类型进行自定义。
本发明实施例在创建资源类型的时候对资源类型进行了定义,上述创建资源类型的步骤可以在步骤102之前,或执行步骤102和103的同时或步骤103之后,优选的,创建资源类型的步骤包括:①生成RDF模式文件,在RDF模式文件中设置资源类型的至少一个属性,②绑定资源类型与该资源类型支持的操作集合,③并记录操作之间的逻辑关系,全局资源类型之间的逻辑关系,及局部资源类型之间的逻辑关系。其中,资源类型比如是文件夹类型,文件类型,菜单类型,数据表类型等等。
详细的,上述步骤①在RDF模式文件中定义资源类型的至少一个属性:
RDF(Resource Description Framework,资源描述框架)是由W3C(World-Wide-Web Confederation,万维网联盟)提供的一个用于表达关于万维网(World Wide Web)上的资源的元数据的通用框架。RDF允许定义元数据来描述特定的应用,由于其属性不止一种,因此实际上一般是定义一个元数据集,即RDF模式(RDF Schema),RDF模式提供了描述应用时所使用的基础性词汇表,并定义了各领域在自定义词汇表时应遵循的规则。这样,在用RDF模式描述应用的时候,直接使用其中的词汇来进行描述即可。
比如,要创建一个“文件”的资源类型,则管理节点可以采用RDF模式定义具有如下3个属性“文件名”“文件长度”“文件格式”的资源类型为文件,则以后该“文件”资源类型可以被直接使用。优选的,可以利用第三方编辑工具,如XMLSpy等,生成RDF模式文件,在该RDF模式文件中定义资源类型的至少一个属性。
本发明实施例提供的利用RDF模式对资源类型进行统一定义的方法,解决了现有技术中资源类型定义混乱,不便于有效的统一管理的问题。
上述步骤②绑定资源类型与该资源类型支持的操作集合:
目前的授权管理领域大多不对访问操作做出特别说明,或者仅给出几个固定的访问操作,然而在实际情况下,操作集合中的每个操作对于任一确定的资源实例并不都是有效的,即每种资源类型允许的操作是不一样的。例如,对于文件资源类型来说,允许的操作有“文件读”、“文件写”及“执行”等,但没有“遍历”,而对文件夹资源类型而言,就允许有这种操作。因此,本发明实施例提供了一种为每种资源类型创建并绑定一个对应的“操作”集合的方法,其中定义的方式可以依据不同的原则进行,如对于“文件”这种资源类型,可以定义操作集合{读、写、执行......},也可以根据敏感程度定义操作集合{绝密读、机密读、秘密读、......}等。
绑定资源类型与该资源类型支持的操作集合就是将资源类型与其对应的操作集合建立对应的映射关系。根据不同的应用环境需求,将每个资源类型都对应一个操作集合,操作是资源类型约束下的操作,不同资源类型的操作集合的交集应是不可见的。对指定的资源类型支持的所有操作进行定义,操作的定义可以根据应用环境贴合实际应用需求设计,以实现面向应用的目的。
上述步骤③记录操作之间的逻辑关系,全局资源类型之间的逻辑关系,及局部资源类型之间的逻辑关系:
操作之间的逻辑关系,不仅存在于同一资源类型相绑定的操作集合内部,也存在于属于不同资源类型的操作集合的操作之间,此处要记录的操作关系应涵盖上述两个方面。比如,文件资源类型对应的操作集合中,“文件写”操作逻辑上包含了“文件读”操作;再比如,文件夹资源类型对应的操作集合中“遍历文件夹”的操作包含了文件资源类型对应的操作集合中“浏览文件概要信息”的操作。将操作之间的这种逻辑关系称为“包含”关系,用“<”表示,op1<op2表示操作op1包含操作op2。为了明确起见,也把操作之间的包含关系简记为<op1,n,op2>,表示操作op1包含操作op2,其中n表示操作op1作用的资源实例是操作op2作用的资源实例的n层父资源。当n=0时,表示同一资源实例的操作之间的关系,当n≠0时,表示不同资源实例的操作之间的关系。
相应的,所有操作之间的逻辑关系构成一个集合。由于操作之间的逻辑关系具有传递的性质,根据已经定义的操作的逻辑关系,根据传递性原理可以衍生出新的操作逻辑关系,如图1-3所示说明了操作的逻辑关系的演算:存在第i层资源、第i+1层资源、第i+k层资源,其中a,b,e为第i层资源上的操作,c为第i+1层资源上的操作,f为第i+k层资源上的操作,在第i层资源上存在的操作关系是<a,0,b>和<b,0,e>,第i层资源上的操作b与第i+1层资源上的操作c之间存在包含关系<b,1,c>,第i+1层资源上的操作c与第i+k层资源上的操作f之间存在包含关系<c,k,f>。根据包含关系的传递特性,可以衍生出新的操作包含关系。例如由操作关系<a,0,b>和<b,0,e>可推出<a,0,e>;由操作关系<a,0,b>和<b,1,c>可推出关系<a,1,c>;由操作关系<a,1,c>和<c,k,f>可推出<a,k+1,f>。因此,由已定义的操作关系,可以衍生新的操作逻辑关系。
一种资源类型与另一种资源类型之间并不是完全孤立的,而是有关系的。由不同粒度的资源实例之间的逻辑关系可以推断出资源类型之间的逻辑关系。还是以如图1-1所示的资源树为例,图中给出了资源实例之间的逻辑关系,如,数据库资源类型逻辑包含数据表类型,文件夹资源类型逻辑包含了文件类型和文件夹类型,菜单资源类型包含了菜单资源类型本身等。
其中,根管理节点可以建立全局资源类型之间的逻辑关系,非根管理节点可以建立该管理节点下局部资源类型之间的逻辑关系,也就是说,非根管理节点不能定义局部资源类型与全局资源类型之间的关系,非根管理节点也不能建立自己管理的局部资源类型与其他非根管理节点创建的局部资源之间的逻辑关系。
步骤104中,用已创建的资源类型描述资源实例的方法,优选的,可以采用管理节点通过对已创建的资源类型的属性进行赋值。延用上面的例子详细说明如下:用已创建的资源类型“文件”描述资源实例“文件A”,则对上述管理节点创建的“文件”资源类型的3个属性进行赋值,即,对“文件名”属性赋值为“工作记录”,对“文件长度”属性赋值为“276KB”,对“文件格式”属性赋值为“doc”,则描述完成资源实例“文件A”。
进一步的,本发明实施例提供的方法还包括对已添加的资源实例建立用户身份信息与操作权限信息的映射关系,依据所述映射关系管理不同用户对所述资源实例的操作权限;所述操作权限信息为与用以描述所述资源实例的资源类型绑定的操作集合中的至少一种操作;相应的,上述删除资源实例的步骤进一步还包括删除该资源实例对应的操作权限信息的步骤。
举例说明如下,用资源类型描述资源实例,其中与该资源类型绑定的操作集合包括3个操作{op1,op2,op3},不同用户对该资源实例的操作权限可能是不同的,对该资源实例建立用户身份信息与操作权限信息的映射关系,比如管理员用户身份信息对该资源实例的操作权限为{op1,op2,op3},普通用户身份信息对该资源实例的操作权限为{op2,op3},这样,便可以依据该映射关系来管理不同用户对该资源实例的操作权限。相应的,上述删除资源实例时还包括删除所述操作权限信息的步骤。
指定资源实例可用的操作的步骤,可以通过权限的衍生,使得一次授权可以衍生出许多隐含授权,从而可以极大的降低授权工作量,使得授权管理在面向应用方面变得更加便利。结合图1-4举例说明权限衍生的过程,假设已知存在资源类型为t1的资源实例s1与操作op1的绑定构成了一条权限,在图1-4中对应一个点(t1,s1,op1),如果存在资源类型为t2的资源实例s2并且它是资源s1的n层子孙,在图1-4中表示为D(s1,s2)=n。已知资源实例s2上存在操作op2、op3,并且op1与op2之间存在包含关系<op1,n,op2>,op2与op3之间存在包含关系<op2,0,op3>,那么可以衍生出资源类型为t2的资源实例s2与操作op2的绑定构成的权限,对应于图中的点(t2,s2,op2),以此类推,图1-4中权限(t2,s2,op2)、(t2,s2,op3)均可由权限(t1,s1,op1)衍生而来。
进一步的,可以在根管理节点和非根管理节点分别建立资源关系表,将上述全局资源类型之间、局部资源类型之间、操作之间的逻辑关系等在该表中进行定义,从而实现对其的管理。
更进一步的,本发明实施例提供的方法中还包括约束管理行为的步骤,具体为:
当需修改资源类型时,判断是否有用该资源类型描述的资源实例存在,如果有则保留原资源类型,将修改后的资源类型作为新的资源类型;否则直接对所述资源类型进行修改;
判断对资源类型的行为是否为删除行为,是则拒绝;
当需要添加资源类型之间逻辑关系时,判断当所述资源类型之间逻辑关系不能由已有的资源类型之间逻辑关系衍生出来时,允许添加该资源类型之间逻辑关系;
判断如对资源类型之间逻辑关系的行为是否为删除行为,是则拒绝;
当需要添加资源实例时,判断用以描述该资源实例的资源类型是否存在,是则添加该资源实例,并用该资源类型描述该资源实例,否则拒绝添加行为;也就是说不允许添加不能被已有的资源类型描述的资源实例,如果要添加这种资源实例,要先创建资源类型,再添加利用该资源类型描述的资源实例;
当需要修改对资源实例的描述时,判断所述修改未超出描述该资源实例的资源类型的属性时,允许对所述资源实例的描述进行修改;
当需要修改资源实例的上下级关系时,判断所述修改未超出描述该资源实例的资源类型之间的逻辑关系时,允许对所述资源实例的上下级关系进行修改;
当删除资源实例时,还包括删除该资源实例所有下级资源实例的步骤;
当需要添加操作之间的逻辑关系时,判断当所述操作不能用已有的操作之间逻辑关系衍生出来,且所述操作之间逻辑关系对应的两个操作属于同一资源类型,或所述两个操作分别绑定的两个资源类型之间存在逻辑关系时,允许添加所述操作之间的逻辑关系,否则拒绝添加行为;
当需要删除操作时,判断是否有已建立的资源实例的操作权限信息包含该操作,否则允许删除该操作,是则拒绝删除行为;还是延用上面的例子来说明,用资源类型描述资源实例,其中与该资源类型绑定的操作集合包括3个操作{op1,op2,op3},如果此时只有管理员和普通用户可访问该资源实例,其中管理员对应的操作权限为{op1,op2},普通用户对应的操作权限为{op1},则此时允许删除操作op3,而不允许删除操作op1和op2;
当需要为所述资源实例添加操作权限信息时,判断该操作权限信息不能用已有操作之间逻辑关系、资源类型之间逻辑关系、资源实例的上下级关系和已建立的资源实例的操作权限信息衍生出来时,允许为所述资源实例添加操作权限信息。
本发明实施例提供的对管理行为进行的约束,避免了统一授权管理中不规范、不一致的现象。
综上所述,在资源树上划分虚资源节点和实资源节点,授权虚资源节点管理对应的应用系统或组织机构,能够适应不同的应用环境,满足面向应用的需求;另外,对资源类型进行了统一定义,并划分全局资源类型和局部资源类型,实现了有效的统一管理,其中局部资源类型还为实现灵活的局部自治提供了便利;而且,通过对资源类型之间、操作之间、权限之间、资源实例之间等的关系进行了关联,使得一次授权可以衍生出许多隐含授权,从而简化了授权。进一步的,本发明实施例还对管理行为进行了约束,避免了统一授权管理中不规范、不一致的现象。
实施例二
参见图2,为本发明实施例提供的一种资源管理系统,包括:
资源树构建模块,用于在管理节点下创建至少一个实资源节点和至少一个虚资源节点,并分别按逻辑关系添加所述实资源节点和虚资源节点对应的上下级关系,实现资源树的构建;其中,所述实资源节点对应于资源实例,虚资源节点对应于应用系统或组织结构;
权限划分和分配模块,用于以虚资源节点为根划分资源分支,授权所述虚资源节点管理以其为根的资源分支;
资源实例添加模块,用于当需要在某个资源分支下添加资源实例时,添加所述资源实例的上下级关系,并用资源类型创建模块创建的资源类型描述所述资源实例;
资源类型创建模块,用于创建资源类型。
进一步的,所述资源管理系统还包括:
资源实例修改模块,用于当需要在某个资源分支下修改资源实例时,修改所述资源实例的上下级关系,和/或所述资源类型对所述资源实例的描述;
资源实例删除模块,用于当需要在某个资源分支下删除资源实例时,删除所述资源实例的上下级关系,和所述资源类型对所述资源实例的描述。
再次,本发明实施例中的资源类型包括全局资源类型和局部资源类型,资源类型创建模块具体包括:
属性设置单元,用于生成资源描述框架RDF模式文件,在所述RDF模式文件中设置所述资源类型的至少一个属性;
绑定单元,用于绑定所述资源类型与该资源类型支持的操作集合;
记录单元,用于记录操作之间的逻辑关系、全局资源类型之间的逻辑关系、及局部资源类型之间的逻辑关系;
其中,全局资源类型为由根管理节点创建的资源类型,在所述根管理节点的管理范围内有效;局部资源类型为由非根管理节点创建的资源类型,在以创建该局部资源类型的管理节点为根的资源分支内有效。
另外,所述系统还包括权限管理模块,用于对某个资源实例建立用户身份信息与操作权限信息的映射关系,依据所述映射关系管理不同用户对所述资源实例的操作权限;
所述操作权限信息为与用以描述所述资源实例的资源类型绑定的操作集合中的至少一种操作;相应的,上述资源实例删除模块还用于删除所述资源实例对应的操作权限信息。
再进一步,所述资源管理系统还包括行为约束模块,用于约束管理行为,具体包括:
资源类型修改约束模块,用于判断是否有用该资源类型描述的资源实例存在,如果有则保留原资源类型,将修改后的资源类型作为新的资源类型;否则直接对所述资源类型进行修改;
资源类型删除约束模块,用于判断对资源类型的行为是否为删除行为,是则拒绝;
资源类型关系添加约束模块,用于判断当所述资源类型之间逻辑关系不能由已有的资源类型之间逻辑关系衍生出来时,允许添加该资源类型之间逻辑关系;
资源类型关系删除约束模块,用于判断对资源类型之间逻辑关系的行为是否为删除行为,是则拒绝;
资源实例添加约束模块,用于判断用以描述该资源实例的资源类型是否存在,是则添加该资源实例,并用该资源类型描述该资源实例,否则拒绝添加行为;
资源实例描述修改约束模块,用于判断所述修改未超出描述该资源实例的资源类型的属性时,允许对所述资源实例的描述进行修改;
资源实例关系修改约束模块,用于判断所述修改未超出描述该资源实例的资源类型之间的逻辑关系时,允许对所述资源实例的上下级关系进行修改;
资源实例删除约束模块,还包括删除该资源实例所有下级资源实例的步骤;
操作关系添加约束模块,用于判断当所述操作不能用已有的操作之间逻辑关系衍生出来,且所述操作之间逻辑关系对应的两个操作属于同一资源类型,或所述两个操作分别绑定的两个资源类型之间存在逻辑关系时,允许添加所述操作之间的逻辑关系,否则拒绝添加行为;
操作删除约束模块,用于判断是否有已建立的资源实例的操作权限信息包含该操作,否则允许删除该操作,是则拒绝删除行为;
操作权限信息添加约束模块,用于判断该操作权限信息不能用已有操作之间逻辑关系、资源类型之间逻辑关系、资源实例的上下级关系和已建立的资源实例的操作权限信息衍生出来时,允许为所述资源实例添加操作权限信息。
可见,在资源树上划分虚资源节点和实资源节点,授权虚资源节点管理对应的应用系统或组织机构,能够适应不同的应用环境,满足面向应用的需求;另外,对资源类型进行了统一定义,并划分全局资源类型和局部资源类型,实现了有效的统一管理,其中局部资源类型还为实现灵活的局部自治提供了便利;而且,通过对资源类型之间、操作之间、权限之间、资源实例之间等的关系进行了关联,使得一次授权可以衍生出许多隐含授权,从而简化了授权。进一步的,本发明实施例还对管理行为进行了约束,避免了统一授权管理中不规范、不一致的现象。
以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围内。
Claims (10)
1、一种资源管理方法,其特征在于,所述方法包括:
步骤A:在管理节点下创建至少一个实资源节点和至少一个虚资源节点,并分别按逻辑关系添加所述实资源节点和虚资源节点对应的上下级关系,实现资源树的构建;
步骤B:以虚资源节点为根划分资源分支,授权所述虚资源节点管理以其为根的资源分支;
步骤C:当需要在某个资源分支下添加资源实例时,添加所述资源实例的上下级关系,并用已创建的资源类型描述所述资源实例。
2、如权利要求1所述的资源管理方法,其特征在于,所述方法还包括对于已添加的资源实例:
当需要在某个资源分支下修改资源实例时,修改所述资源实例的上下级关系,和/或所述资源类型对所述资源实例的描述;
当需要在某个资源分支下删除资源实例时,删除所述资源实例的上下级关系,和所述资源类型对所述资源实例的描述。
3、如权利要求1或2所述的资源管理方法,其特征在于,所述资源类型在步骤A之前,或在执行步骤A和B的同时,或在步骤B之后创建;
所述资源类型包括全局资源类型和局部资源类型;
所述创建资源类型的步骤包括:
生成资源描述框架RDF模式文件,在所述RDF模式文件中设置所述资源类型的至少一个属性;绑定所述资源类型与该资源类型支持的操作集合;记录操作之间的逻辑关系、全局资源类型之间的逻辑关系、及局部资源类型之间的逻辑关系;
其中,全局资源类型为由根管理节点创建的资源类型,在所述根管理节点的管理范围内有效;局部资源类型为由非根管理节点创建的资源类型,在以创建该局部资源类型的非根管理节点为根的资源分支内有效。
4、如权利要求3所述的资源管理方法,其特征在于,所述方法还包括对于已添加的资源实例建立用户身份信息与操作权限信息的映射关系,依据所述映射关系管理不同用户对所述资源实例的操作权限的步骤;
所述操作权限信息为与用以描述所述资源实例的资源类型绑定的操作集合中的至少一种操作;相应的,所述删除资源实例的步骤还包括删除所述资源实例对应的操作权限信息的步骤。
5、如权利要求4所述的资源管理方法,其特征在于,所述方法还包括约束管理行为的步骤,具体为:
当需修改资源类型时,判断是否有用该资源类型描述的资源实例存在,如果有则保留原资源类型,将修改后的资源类型作为新的资源类型;否则直接对所述资源类型进行修改;
判断对资源类型的行为是否为删除行为,是则拒绝;
当需要添加资源类型之间逻辑关系时,判断当所述资源类型之间逻辑关系不能由已有的资源类型之间逻辑关系衍生出来时,允许添加该资源类型之间逻辑关系;
判断对资源类型之间逻辑关系的行为是否为删除行为,是则拒绝;
当需要添加资源实例时,判断用以描述该资源实例的资源类型是否存在,是则添加该资源实例,并用该资源类型描述该资源实例,否则拒绝添加行为;
当需要修改对资源实例的描述时,判断所述修改未超出描述该资源实例的资源类型的属性时,允许对所述资源实例的描述进行修改;
当需要修改资源实例的上下级关系时,判断所述修改未超出描述该资源实例的资源类型之间的逻辑关系时,允许对所述资源实例的上下级关系进行修改;
当删除资源实例时,还包括删除该资源实例所有下级资源实例的步骤;
当需要添加操作之间的逻辑关系时,判断当所述操作不能用已有的操作之间逻辑关系衍生出来,且所述操作之间逻辑关系对应的两个操作属于同一资源类型,或所述两个操作分别绑定的两个资源类型之间存在逻辑关系时,允许添加所述操作之间的逻辑关系,否则拒绝添加行为;
当需要删除操作时,判断是否有已建立的资源实例的操作权限信息包含该操作,否则允许删除该操作,是则拒绝删除行为;
当需要为所述资源实例添加操作权限信息时,判断该操作权限信息不能用已有操作之间逻辑关系、资源类型之间逻辑关系、资源实例的上下级关系和已建立的资源实例的操作权限信息衍生出来时,允许为所述资源实例添加操作权限信息。
6、一种资源管理系统,其特征在于,所述系统包括:
资源树构建模块,用于在管理节点下创建至少一个实资源节点和至少一个虚资源节点,并分别按逻辑关系添加所述实资源节点和虚资源节点对应的上下级关系,实现资源树的构建;其中,所述实资源节点对应于资源实例,虚资源节点对应于应用系统或组织结构;
权限划分和分配模块,用于以虚资源节点为根划分资源分支,授权所述虚资源节点管理以其为根的资源分支;
资源实例添加模块,用于当需要在某个资源分支下添加资源实例时,添加所述资源实例的上下级关系,并用资源类型创建模块创建的资源类型描述所述资源实例;
资源类型创建模块,用于创建资源类型。
7、如权利要求6所述的资源管理系统,其特征在于,所述系统还包括:
资源实例修改模块,用于当需要在某个资源分支下修改资源实例时,修改所述资源实例的上下级关系,和/或所述资源类型对所述资源实例的描述;
资源实例删除模块,用于当需要在某个资源分支下删除资源实例时,删除所述资源实例的上下级关系,和所述资源类型对所述资源实例的描述。
8、如权利要求6或7所述的资源管理系统,其特征在于,所述资源类型包括全局资源类型和局部资源类型,所述资源类型创建模块具体包括:
属性设置单元,用于生成资源描述框架RDF模式文件,在所述RDF模式文件中设置所述资源类型的至少一个属性;
绑定单元,用于绑定所述资源类型与该资源类型支持的操作集合;
记录单元,用于记录操作之间的逻辑关系、全局资源类型之间的逻辑关系、及局部资源类型之间的逻辑关系;
其中,全局资源类型为由根管理节点创建的资源类型,在所述根管理节点的管理范围内有效;局部资源类型为由非根管理节点创建的资源类型,在以创建该局部资源类型的管理节点为根的资源分支内有效。
9、如权利要求8所述的资源管理系统,其特征在于,所述系统还包括权限管理模块,用于对已添加的资源实例建立用户身份信息与操作权限信息的映射关系,依据所述映射关系管理不同用户对所述资源实例的操作权限;
所述操作权限信息为与用以描述所述资源实例的资源类型绑定的操作集合中的至少一种操作;
相应的,所述资源实例删除模块还用于删除所述资源实例对应的操作权限信息。
10、如权利要求9所述的资源管理系统,其特征在于,所述系统还包括行为约束模块,用于约束管理行为,具体包括:
资源类型修改约束模块,用于判断是否有用该资源类型描述的资源实例存在,如果有则保留原资源类型,将修改后的资源类型作为新的资源类型;否则直接对所述资源类型进行修改;
资源类型删除约束模块,用于判断对资源类型的行为是否为删除行为,是则拒绝;
资源类型关系添加约束模块,用于判断当所述资源类型之间逻辑关系不能由已有的资源类型之间逻辑关系衍生出来时,允许添加该资源类型之间逻辑关系;
资源类型关系删除约束模块,用于判断对资源类型之间逻辑关系的行为是否为删除行为,是则拒绝;
资源实例添加约束模块,用于判断用以描述该资源实例的资源类型是否存在,是则添加该资源实例,并用该资源类型描述该资源实例,否则拒绝添加行为;
资源实例描述修改约束模块,用于判断所述修改未超出描述该资源实例的资源类型的属性时,允许对所述资源实例的描述进行修改;
资源实例关系修改约束模块,用于判断所述修改未超出描述该资源实例的资源类型之间的逻辑关系时,允许对所述资源实例的上下级关系进行修改;
资源实例删除约束模块,还包括删除该资源实例所有下级资源实例的步骤;
操作关系添加约束模块,用于判断当所述操作不能用已有的操作之间逻辑关系衍生出来,且所述操作之间逻辑关系对应的两个操作属于同一资源类型,或所述两个操作分别绑定的两个资源类型之间存在逻辑关系时,允许添加所述操作之间的逻辑关系,否则拒绝添加行为;
操作删除约束模块,用于判断是否有已建立的资源实例的操作权限信息包含该操作,否则允许删除该操作,是则拒绝删除行为;
操作权限信息添加约束模块,用于判断该操作权限信息不能用已有操作之间逻辑关系、资源类型之间逻辑关系、资源实例的上下级关系和已建立的资源实例的操作权限信息衍生出来时,允许为所述资源实例添加操作权限信息。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2009100000532A CN101453379B (zh) | 2009-01-06 | 2009-01-06 | 一种资源管理方法和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2009100000532A CN101453379B (zh) | 2009-01-06 | 2009-01-06 | 一种资源管理方法和系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101453379A true CN101453379A (zh) | 2009-06-10 |
CN101453379B CN101453379B (zh) | 2010-12-08 |
Family
ID=40735410
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2009100000532A Expired - Fee Related CN101453379B (zh) | 2009-01-06 | 2009-01-06 | 一种资源管理方法和系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101453379B (zh) |
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102567932A (zh) * | 2010-12-30 | 2012-07-11 | 北京亿阳信通软件研究院有限公司 | 综合资源管理方法、装置和系统 |
CN102903029A (zh) * | 2012-09-27 | 2013-01-30 | 广东亿迅科技有限公司 | 云计算资源分域授权方法 |
CN102932160A (zh) * | 2011-08-10 | 2013-02-13 | 中兴通讯股份有限公司 | 一种资源管理系统 |
CN102932483A (zh) * | 2012-11-19 | 2013-02-13 | 西北大学 | 一种轻量级的资源动态定义方法 |
CN103107919A (zh) * | 2013-01-09 | 2013-05-15 | 大唐软件技术股份有限公司 | 一种网络资源建模方法和系统 |
CN103207813A (zh) * | 2012-01-11 | 2013-07-17 | 华为技术有限公司 | 管理资源的方法和装置 |
CN103858103A (zh) * | 2011-08-29 | 2014-06-11 | 甲骨文国际公司 | 资源分配树 |
CN110020017A (zh) * | 2017-11-03 | 2019-07-16 | 上海宝信软件股份有限公司 | 一种动态构建资源配置管理视图的方法及系统 |
CN110069463A (zh) * | 2019-03-12 | 2019-07-30 | 北京奇艺世纪科技有限公司 | 用户行为处理方法、装置电子设备及存储介质 |
CN110505096A (zh) * | 2019-08-27 | 2019-11-26 | 西安闻泰电子科技有限公司 | 物联网设备管理方法、装置、设备和介质 |
CN110516079A (zh) * | 2019-08-29 | 2019-11-29 | 北京大学 | 一种rdf对象模型类层次树建立方法及系统 |
CN111221560A (zh) * | 2019-11-14 | 2020-06-02 | 北京神州绿盟信息安全科技股份有限公司 | 一种资源管理方法、装置和电子设备 |
-
2009
- 2009-01-06 CN CN2009100000532A patent/CN101453379B/zh not_active Expired - Fee Related
Cited By (19)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102567932A (zh) * | 2010-12-30 | 2012-07-11 | 北京亿阳信通软件研究院有限公司 | 综合资源管理方法、装置和系统 |
CN102932160B (zh) * | 2011-08-10 | 2017-12-12 | 中兴通讯股份有限公司 | 一种资源管理系统 |
CN102932160A (zh) * | 2011-08-10 | 2013-02-13 | 中兴通讯股份有限公司 | 一种资源管理系统 |
CN103858103A (zh) * | 2011-08-29 | 2014-06-11 | 甲骨文国际公司 | 资源分配树 |
CN103207813B (zh) * | 2012-01-11 | 2018-08-14 | 华为技术有限公司 | 管理资源的方法和装置 |
CN103207813A (zh) * | 2012-01-11 | 2013-07-17 | 华为技术有限公司 | 管理资源的方法和装置 |
CN102903029A (zh) * | 2012-09-27 | 2013-01-30 | 广东亿迅科技有限公司 | 云计算资源分域授权方法 |
CN102932483A (zh) * | 2012-11-19 | 2013-02-13 | 西北大学 | 一种轻量级的资源动态定义方法 |
CN102932483B (zh) * | 2012-11-19 | 2014-08-13 | 西北大学 | 一种轻量级的资源动态定义方法 |
CN103107919B (zh) * | 2013-01-09 | 2016-12-28 | 大唐软件技术股份有限公司 | 一种网络资源建模方法和系统 |
CN103107919A (zh) * | 2013-01-09 | 2013-05-15 | 大唐软件技术股份有限公司 | 一种网络资源建模方法和系统 |
CN110020017A (zh) * | 2017-11-03 | 2019-07-16 | 上海宝信软件股份有限公司 | 一种动态构建资源配置管理视图的方法及系统 |
CN110069463A (zh) * | 2019-03-12 | 2019-07-30 | 北京奇艺世纪科技有限公司 | 用户行为处理方法、装置电子设备及存储介质 |
CN110069463B (zh) * | 2019-03-12 | 2021-07-16 | 北京奇艺世纪科技有限公司 | 用户行为处理方法、装置电子设备及存储介质 |
CN110505096A (zh) * | 2019-08-27 | 2019-11-26 | 西安闻泰电子科技有限公司 | 物联网设备管理方法、装置、设备和介质 |
CN110505096B (zh) * | 2019-08-27 | 2022-07-19 | 西安闻泰电子科技有限公司 | 物联网设备管理方法、装置、设备和介质 |
CN110516079A (zh) * | 2019-08-29 | 2019-11-29 | 北京大学 | 一种rdf对象模型类层次树建立方法及系统 |
CN111221560A (zh) * | 2019-11-14 | 2020-06-02 | 北京神州绿盟信息安全科技股份有限公司 | 一种资源管理方法、装置和电子设备 |
CN111221560B (zh) * | 2019-11-14 | 2023-10-03 | 绿盟科技集团股份有限公司 | 一种资源管理方法、装置和电子设备 |
Also Published As
Publication number | Publication date |
---|---|
CN101453379B (zh) | 2010-12-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101453379B (zh) | 一种资源管理方法和系统 | |
US7698346B2 (en) | Network operating system and method | |
CN1318956C (zh) | 软件构件插件程序结构的系统和方法 | |
CN101360123B (zh) | 一种网络系统及其管理方法 | |
US7389335B2 (en) | Workflow management based on an integrated view of resource identity | |
CN113077171B (zh) | 一种组织间复用协同的单点登录管理信息系统 | |
AU2006200230B2 (en) | Platform for data services across disparate application frameworks | |
CN100484039C (zh) | 网络管理装置与网络管理方法 | |
US8612397B2 (en) | System and method for a computer based forms language | |
Atkinson et al. | Profiles in a strict metamodeling framework | |
CN100594497C (zh) | 一种实现网络查询缓存的系统和查询方法 | |
US20020073193A1 (en) | Telecommunications network resource handling arrangement and method | |
CN101960439A (zh) | 客户端环境创建系统、客户端环境创建方法、客户端环境创建程序和存储介质 | |
US8326877B2 (en) | Region-based security | |
CN102024207A (zh) | 一种与办公软件无缝结合的知识管理系统 | |
CN103107919A (zh) | 一种网络资源建模方法和系统 | |
Cheng | An object-oriented organizational model to support dynamic role-based access control in electronic commerce applications | |
Isakowitz | Hypermedia, information systems and organizations: A research agenda | |
CN111611220A (zh) | 一种基于层级式节点的文件共享方法及系统 | |
CN108399188A (zh) | 一种基于类型元数据的强业务对象的通用建立和处理方法 | |
US20160117151A1 (en) | GENERATING CONSUMER-ORIENTED APIs FROM A UI MODEL | |
Prinz | Object-oriented organization modeling for the support of CSCW | |
Cioffi et al. | An Agent-based Platform for Federated Information Systems: Some Design Issues | |
Soares et al. | Nested Composite Nodes and Version Control in an Open Hypermedia System Revisited | |
Guthery | Object-oriented modeling for the design of distributed systems |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20101208 Termination date: 20170106 |