CN101548263B - 模拟用户和/或拥有者的不透明管理数据选项的方法和系统 - Google Patents
模拟用户和/或拥有者的不透明管理数据选项的方法和系统 Download PDFInfo
- Publication number
- CN101548263B CN101548263B CN2008800008222A CN200880000822A CN101548263B CN 101548263 B CN101548263 B CN 101548263B CN 2008800008222 A CN2008800008222 A CN 2008800008222A CN 200880000822 A CN200880000822 A CN 200880000822A CN 101548263 B CN101548263 B CN 101548263B
- Authority
- CN
- China
- Prior art keywords
- cim
- class
- management
- opaque
- management data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
Abstract
分布式管理任务组(DMTF)管理模板,基于公共信息模型(CIM)协议,可用来在基于基于角色的授权(RBA)模板和/或简单身份管理(SIM)模板的不透明管理数据模板操作过程中执行访问验证。对于多个公共用户和/或应用,CIM身份类的实例可用来通过CIM角色类的实例和/或CIM特权类的实例使拥有权和/或访问权限生效。与份额有关的操作可通过CIM身份类的实例和CIM不透明管理数据服务类的实例之间的“份额影响部件”关联来执行。“份额影响部件”关联包括“分配份额”和/或“已分配字节”属性,用于对不透明管理数据模板中的与份额有关的信息进行追踪和/或使其生效。
Description
技术领域
本发明涉及网络管理,更具体地说,本发明的实施例涉及一种用于模拟用户和/或拥有者的不透明管理数据选项的方法和系统。
背景技术
信息技术(IT)管理可能要求对远端系统执行远程管理操作,以便对远端系统进行清查和/或确定远端系统是否已升级到最新。例如,管理设备和/或控制台可能执行如下操作:发现和/或引导管理网络中的资源、操作和/或管理管理资源、请求和/或控制订阅和/或取消订阅操作,和执行和/或特定管理方法和/或进程。管理设备和/或控制台与网络中的设备进行通信,以确保远端系统的可用性、验证这些系统是否已升级到最新,和/或在必要时安装安全补丁。
比较本发明后续将要结合附图介绍的系统,现有技术的其它局限性和弊端对于本领域的普通技术人员来说是显而易见的。
发明内容
本发明提供了一种用于模拟用户和/或拥有者的不透明管理数据选项的系统和/或方法,下文结合至少一幅附图进行了描述,并在权利要求中做了完整的定义。
本发明在本文中描述的和其它的一些有点、特征和创新之处,以及具体实施例的各个细节,借助下文的描述和附图将得到全面的理解。
附图说明
下面将结合附图及实施例对本发明作进一步说明,附图中:
图1是依据本发明一较佳实施例的管理设备和网络设备之间建立通信的示范性过程的示意图;
图2A是依据本发明一较佳实施例的不透明管理数据(OPMD)类模型模板的实现示意图;
图2B是依据本发明一较佳实施例的使用基于角色的授权/(RBA)/简单身份管理(SIM)模板的不透明管理数据(OPMD)类模型模板的实现过程示意图;
图2C是依据本发明一较佳实施例的使用基于角色的授权/简单身份管理(RBA/SIM)模板的不透明管理数据(OPMD)类模型模板的另一实现示意图;
图3是依据本发明一较佳实施例的使用基于角色的授权//简单身份管理类模板的不透明管理数据(OPMD)类模型模板的示意图。
具体实施方式
本发明的多个实施例可包括一种方法和系统,用于模拟用户和/或拥有者的不透明管理数据选项。在本发明的多个示范性实施例中,可在受管理系统中执行不透明管理数据操作。受管理系统可通过分布式管理任务组(DMTF)管理模板基于公共信息模型(CIM)协议进行管理。访问验证操作可在基于DMTF/CIM的基于角色的授权(Role Based Authorization,简称RBA)和/或简单身份管理(Simple Identity Management,简称SIM)模板的不透明管理数据操作过程中进行。CIM_身份类(CIM_Identity class)的一个或多个实例可用来通过CIM_角色类(CIM_Role class)和/或CIM_特权类(CIM_Privilege class)的实例来验证拥有权和/或访问权限。因此,可通过CIM_帐户类(CIM_Account class)的实例来表示的多个公共(common)用户和/或可通过CIM_用户实体类(CIM_UserEntity class)的实例来表示的多个公共(common)应用可通过CIM_身份类的实例来进行验证。可通过CIM_身份类的实例和CIM_不透明管理数据服务类(CIM_OpaqueManagementDataService class)的实例之间的“份额影响部件(QuotaAffectsElement)”关联来执行与份额有关的操作。“份额影响部件”关联可包括“分配份额(AllocationQuota)”和/或“已分配字节(AllocatedBytes)”属性,用于对不透明管理数据模板中的与份额有关的信息进行追踪和/或使其生效。
图1是依据本发明一较佳实施例的管理设备和网络设备之间建立通信的示范性过程的示意图。
如图1所示,其中展示了管理设备102、网络设备104、管理连接106、远程管理代理108、管理服务110、处理器112、存储器114、处理器116和存储器118。
管理设备102可包括适当的逻辑、电路和/或代码,用于通过管理连接例如管理连接106对网络设备例如网络设备104进行管理。例如,信息技术(IT)操作员可使用管理设备102来管理IT网络内的各种设备。管理设备102还可包括专门的实体例如远程管理代理108,用于执行管理操作,包括例如发现和/或引导网络中的管理资源、操作和/或管理管理资源、请求和/或控制订阅和/或取消订阅操作之类的操作,和执行和/或特定管理方法和/或进程。管理设备102可通过例如远程管理实体108执行管理操作,其中管理设备102可与网络中的设备进行通信,来确保远端系统的可用性、验证这些系统是否已升级到最新,和/或在必要时安装安全补丁。
处理器112可包括适当的逻辑、电路和/或代码,用于执行管理设备102中的处理操作例如与管理相关的操作。本发明并非仅限于特定的处理器,还可包括例如通用处理器、专用处理器或适当的硬件、固件、软件和/或代码的组合,用于提供依据本发明各种实施例的两级授权。
存储器114可包括适当的逻辑、电路和/或代码,用于执行永久性和/或非永久性存储数据和/或代码,例如与管理有关的处理操作过程中处理器112所使用数据和/或代码的存储和读取。
远程管理代理108可包括适当的逻辑、电路和/或代码,用于基于一种或多种管理标准执行管理操作。例如,远程管理代理108可基于网页服务管理(WS-管理)和/或警告标准模板(ASF)协议来对网络中支持类似协议的在用和/或已知节点执行控制和/管理操作。远程管理代理108可包括可集成在运行于管理设备102之上的OS之中的逻辑和/或软件实体。远程管理代理108还可包括可集成在运行于管理设备102之上的通用网络控制器(NIC)之中的逻辑和/或软件实体。远程管理代理108可包括可集成在管理设备102中的专用管理子系统(例如处理器112和/或存储器114)之中的逻辑和/或软件实体。
网络设备104可包括适当的逻辑、电路和/或代码,用于实现由一个或多个管理设备例如管理设备102通过管理连接例如管理连接106执行的的管理。网络设备104可集成在可由管理设备102管理的网络之中。例如,网络设备104可包括个人计算机(PC)、该PC可工作在由管理设备102管理的网络之中。网络设备104还可包括专用实体,例如管理服务110,用于参与管理操作。
处理器116可包括适当的逻辑、电路和/或代码,用于在网络设备104中执行处理操作,例如与管理有关的操作。本发明并非仅限于特定的处理器,还可包括例如通用处理器、专用处理器或适当的硬件、固件、软件和/或代码的组合,用于提供依据本发明各种实施例的两级授权。
存储器118可包括适当的逻辑、电路和/或代码,用于实现永久和/或非永久性存储,例如与管理有关的处理操作过程中处理器116所使用数据和/或代码的存储和读取。
管理服务110可包括适当的逻辑、电路和/或代码,用于基于一种或多种管理标准来执行管理操作。例如,管理服务110可基于WS-管理和/或ASF协议参与控制和/或管理操作。管理服务110可包括可集成在运行于网络设备104上的OS之中的逻辑和/或软件实体。管理服务110还可包括可集成在运行于网络设备104上的通用网络控制器(NIC)之中的逻辑和/或软件实体。此外,管理服务110可包括可集成在网络设备104中的专用管理子系统(例如处理器116和/或存储器118)之中的逻辑和/或软件实体。
管理连接106可包括接口和/或连接,用于在被管理网络中的设备之间实现交互。例如,管理连接106使能实现在管理设备102和网络设备例如网络设备104之间的通信管理。管理连接106可使用一种或多种标准管理协议。例如,管理连接106可包括使用由标准实体例如分布式管理任务组(DMTF)指定和/或发布的一种或多种管理协议。管理连接106可包括使用基于DMTF的警告标准模板(ASF)协议消息和/或WS-管理协议消息。
警告标准模板(ASF)协议可应用在第一代带外管理系统中。ASF协议可包括使用用户数据报(UDP)协议栈来在管理设备和网络设备之间实现通信。具备ASF功能和/或接口的设备可以是支持ASF的,其中所述设备可借助ASF消息来执行管理操作。例如,当网络设备104可支持ASF时,管理设备102可使用基于ASF的消息来执行对网络设备104的管理。最近,WS-管理被建议和开发为下一代管理协议。WS-管理是一种基于网页服务的规范,其通常使用SOAP(基于XML的消息)和HTTP来作为SOAP传输以进行通信。HTTP上的SOAP可能要用到HTTP/TLS/TCP协议栈,其可确保提供更好的安全性、可靠性和OS独立性。
DMTF管理标准工作组DASH已经定义了一种基于公共信息模型(CIM)的工具(instrumentation),类似于可使用WS-管理协议来访问的受管理子系统的管理数据的面向对象表示。CIM可提供对应系统、网络、应用和服务的管理信息的一般定义,并允许供应商扩展。具备智能平台管理接口(IPMI)和/或ASF内部接口和/或协议的设备可通过WS-管理消息进行外部管理。例如,当网络设备104在其组件中进行基于IPMI和/或基于ASF的内部通信时,管理设备102可使用基于WS-管理的消息对网络设备104进行基于CIM机制的管理。
在运行过程中,网络设备104可通过管理设备102进行管理。例如,管理设备102可使用管理连接106来在网络设备104中执行管理操作。管理连接106可使用一种或多种基于标准的管理协议来在管理设备102和网络设备104之间进行管理操作。例如,远程管理代理108和/或管理服务110可使用WS-管理消息通过管理连接106来在管理设备102和网络设备104之间进行管理操作。
DMTF/CIM允许对受管理系统之中的子系统、部件和/或设备进行远程管理、控制和/或对其进行访问。例如,网络设备104可包括WBEM框架中的WBEM/CIM服务器,用于通过WBEM/CIM客户端,实现远程交互和/或访问,其可运行在管理控制台上,例如管理设备102。此外,基于CIM的提供商可用来在受管理系统例如网络设备104中,实现与网络设备104中的特定部件、子系统和/或设备之间进行直接交互和/或通信。
基于一般的DMTF/CIM模型,不透明管理数据模型可提供一种功能来允许用户使用不透明数据对象来代表系统中与存储有关的信息。不透明管理数据(OPMD)模板(profile)可提供系统中与存储有关的信息的抽象表示,其中系统中的存储设备和/或区域可表示为存储部件,该存储设备的内部结构、格式和/或细节仅需进行少量定义,以实现对对应存储设备和/或区域的内部变量和交互工作(inter-working)的抽象化。这样一来,基于DMTF/CIM的模型中的实体可采用统一的方式来实现平台存储器中的特定片区和/或与平台存储器中的特定片区进行交互(例如进行读写操作),并由上述不透明管理数据对象来表示这些特定片区,而不必考虑对应存储部件中的变量。例如,远程管理代理110可使用基于DMTF/CIM的、通过管理连接106传送的管理消息来与管理服务进行交互,以此来实现与网络设备104中的一个或多个存储部件的交互,其中所述一个或多个存储部件可通过不透明管理数据对象来表示。
可使用安全机制来在受管理系统中实现对通过不透明管理数据(OPMD)模板进行的管理访问进行规范化和控制。这样一来便可确保基于不透明管理数据进行的交互过程的安全性,和/或防范潜在的安全风险和/或在使用远程访问和/或管理时系统被攻破。这种安全机制可包括在不透明管理数据(OPDM)模板中构建专门的基于用户和/或所有者的实体,来执行和/或控制与访问有关的操作。例如,不透明管理数据(OPDM)模板可包括专门的与访问有关的组件,用于验证访问证书(credential)和/确定访问许可。
此外,在本发明的一个实施例中,不透明管理数据模型还可使用先前存在的通用访问管理模板来通过不透明管理数据(OPMD)模板执行和/或控制平台中的存储访问。例如,管理操作过程中通过管理设备例如管理设备102对受管理系统例如网络设备104的访问,可从属于DMTF/CIM管理术语中的安全原则(security principal)控制。安全原则可存在于受管理系统例如网络设备104中,并可用来提供安全上下文,基于该安全上下文,经过验证的用户和/或用户组可在受管理系统中进行操作。可在基于DMTF/CIM的模型中使用基于角色的授权(RBA)和/或简单身份管理(SIM)模板来实现上述基于安全原则的管理操作。SIM模板和/或RBA模板可在基于CIM的提供商的管理设备102中通过远程管理实体108、处理器112和/或存储器114来实现。类似的,SIM模板和/或RBA模板可在基于CIM的提供商的网络设备104中通过管理服务110、处理器116和/或存储器118中来实现。
简单身份管理(SIM)模板可采用本地账户的形式管理和/或控制对网络设备的访问。在例如网络设备104中SIM的一种实现方式可实现对账户信息的授权,和/或其它一些性能,安全原则可使用这些性能来尝试通过例如管理设备102来访问网络设备104,以执行管理操作。因此,SIM实现方式可提供一种或多种可行的帐户相关的不透明管理服务和/或操作。
基于角色的授权(RBA)模板可对访问受管理系统的安全原则的角色属性进行授权。在DMTF/CIM方法中,不透明管理数据对象的用户可具备一个或多个已知的和/或固定的角色,包括例如管理员角色、操作员角色和/或只读角色。在例如网络设备104中RBA的一种实现方式可实现对角色信息的授权和/或其它一些性能,用户可使用这些性能来尝试访问和/或控制不透明管理数据对象。因此,RBA实现方式可提供一种或多种可行的角色相关的服务和/或操作,包括创建、修改、展示和/或删除角色。
图2A是依据本发明一较佳实施例的不透明管理数据(OPMD)类模型模板的实现示意图。如图2A所示,其中展示了CIM_计算机系统类(CIM_ComputerSystem class)202、CIM_服务类(CIM_Service class)204、CIM_不透明管理数据服务类(CIM_OpaqueManagementDataService class)206、CIM_受管理部件类(CIM_ManagedElement calss)208、CIM_不透明管理数据类(CIM_OpaqueManagementData class)210、CIM_逻辑设备类(CIM_LogicalDeviceclass)212、CIM_身份类(CIM_Identity class)214、CIM_不透明管理数据用户类(CIM_OpaqueManagementData class)216和CIM_角色类(CIM_Role class)218。
CIM_计算机系统类202可包括一些功能,这些功能可代表基于DMTF/CIM的模板中的受管理系统。例如,CIM_计算机系统类202的一个实例可代表不透明管理数据模板中的网络设备104。
CIM_服务类204可包括一些功能,这些功能一般可代表DMTF/CIM模板中可用的服务。CIM_服务类204可用作DMTF/CIM模板中可用的其它特定服务的模板,并且可包括核心功能和/或信息,用于在代表上述特定服务过程中提供补充。
CIM_不透明管理数据服务类206可从CIM_服务204的超类(superclassCIM_服务类204)中生成,且可包括其它功能,以提供专门面向不透明管理数据(OPMD)模板的服务操作。例如,通过CIM_计算机系统类202的实例所代表的受管理系统所实现的可用的基于不透明管理数据的服务可由CIM_不透明管理数据服务类206的实例来处理。CIM_不透明管理数据服务类206可用作OPMD模板的中心部件,并可用作接收不透明管理数据操作请求的接口。
CIM_受管理部件类208可包括一些功能,这些功能可代表受管理系统中的部件,这些部件可通过DMTF/CIM模板进行管理。CIM_受管理部件类208可用作其它特定部件的模板,这些部件可通过DMTF/CIM模板进行管理。CIM_受管理部件类208还可包括一些核心功能和/或信息,用于在代表上述特定部件过程中提供补充。
CIM_不透明管理数据类210可从CIM_受管理部件208的超类中生成,并可包括其它功能,用于代表不透明管理数据(OPMD)模板中受管理系统中的存储部件。例如,CIM_不透明管理数据类210可包括一些信息,这些信息可代表CIM_计算机系统类202的实例所代表的受管理系统的一片存储器。
CIM_逻辑设备类212可包括一些功能,用于提供DMTF/CIM模板中设备的逻辑表示。例如,CIM_逻辑设备类212可提供CIM_计算机系统类202的实例所代表的受管理系统中物理存储实体对应的逻辑表示。
CIM_身份类214可包括一些功能,这些功能可用于代表DMTF/CIM模板可能用到的实体。例如,CIM_身份类214的实例可用来表示和/或标识受管理系统中DMTF/CIM模板中的拥有者、用户和/或拥有者/用户。CIM_身份类214可用作DMTF/CIM模板中用户相关类的模板,且可包括核心功能和/或信息,用于在代表DMTF/CIM模板中的上述特定用户过程中提供补充。
CIM_不透明管理数据用户类216可从CIM_身份类214的超类中生成,并可包括其它一些功能,这些功能用于代表受管理系统中的不透明管理数据用户。例如,CIM_不透明管理数据用户类216可包括一些信息,这些信息用于表示CIM_计算机系统类202的实例所代表的系统中不透明数据对象的特定用户。CIM_不透明管理数据用户类216还可包括一些功能,这些功能可用于代表访问权限和/或特权的简单验证之外其它不透明管理数据用户特定信息。CIM_不透明管理数据用户类216可包括份额(quota)相关属性,例如“分配份额(AllocationQuota)”和“已分配字节(AllocatedBytes)”属性,可用于追踪不透明管理数据模板中的份额信息和/或使不透明管理数据模板中的份额信息生效。
CIM_角色类218可包括一些功能,这些功能用于代表访问组,其中可包括不透明管理数据模板中不同权限。在使用CIM_不透明管理数据类210和/或CIM_不透明管理数据用户类216时,CIM_角色218可提供权限和/或类似特权之类的属性。
在操作过程中,不透明管理数据(OPMD)模板可提供一些功能,以允许用户使用不透明数据对象来代表系统中的存储相关信息。不透明管理数据(OPMD)模板可为系统中的一个或多个存储部件提供抽象表示,其中包括关于存储结构、格式和/或细节的最少定义。例如,在采用CIM_计算机系统类202的实例表示的受管理系统中,不透明管理数据模板支持通过CIM_不透明管理数据服务类206的一个或多个实例,通过“运行服务(HostedService)”关联。CIM_不透明管理数据服务类206可连接甚至全面控制不透明管理数据模板。
在不透明管理数据模板内,可对应于CIM_逻辑设备类212的一个或多个实例的各种存储部件可表示为CIM_不透明管理数据类210的实例,和/接收其管理。CIM_不透明管理数据类210的每个实例可通过例如“不透明管理数据存储”关联来模拟对应于CIM_逻辑设备类212的存储部件。CIM_不透明管理数据类210实例可对存储部件进行抽象,其中可包括与存储设备的内部结构、格式和/或其它细节有关的最少信息(这些信息可通过例如CIM_逻辑设备类212来确定),用于实现未来(prospective)用户统一的可访问性。通过CIM_不透明管理数据服务类206请求的不透明管理数据相关操作可通过代表存储部件的CIM_不透明管理数据类210的实例通过“服务影响部件(ServiceAffectElement)”关联来执行。
不透明管理数据模板中与访问有关的操作可通过CIM_不透明管理数据用户类216来提供。CIM_不透明管理数据用户类216可用于维护与份额有关的信息,包括“分配份额”和“已分配字节”属性。使用CIM_不透明管理数据用户类216还可用于模拟用户相关信息,其中通过CIM_不透明管理数据服务类206请求的与不透明管理数据有关的访问操作可通过CIM_不透明管理数据类210来通过“服务影响部件”关联来执行。此外,CIM_不透明管理数据用户类216还可用于在通过CIM_不透明管理数据类210执行不透明管理数据操作的过程中通过“CIM_不透明管理数据拥有权(Ownership)”关联来模拟拥有者和/或用户相关操作。与拥有者和/或用户有关的验证操作可在CIM_角色类218之中由CIM_不透明管理数据类210和/或CIM_不透明管理数据用户类216分别通过例如“成员组的成员(MemberOfCollection)”关联和/或“仅限目标的角色(RoleLimitedToTarget)”关联来执行。在这点上,使用CIM_角色类218可能不同于其它使用,例如RBA/SIM模板中的。
尽管在与用户有关的操作中使用CIM_不透明管理数据用户类216可能会带来一些有益效果,特别是包含这种信息以作为份额属性,然而这种方式还是存在一些缺陷。例如,在不透明管理数据模板中使用专门的与访问和/或用户有关的组件可能会导致冗余,这是因为其它的与访问有关的组件可能已经通过RBA/SIM模板而存在了,这就导致产生冗余的代码和冗余的存储需要。此外,使用CIM_不透明管理数据用户类216还可能带来扩展性方面的问题,这是因为对于CIM_不透明管理数据类210的每个实例,其都需要一个CIM_不透明管理数据用户类216,此外,其需要数量与CIM_不透明管理数据类210相同的CIM_角色类218的实例。由于两种类之间的直接拥有权关联,删除CIM_不透明管理数据类210的实例可能会导致删除相关联的CIM_不透明管理数据用户类216,因此,与用户有关的访问信息可能会被删除,只有在后续过程中重建。此外,CIM_不透明管理数据用户可能会导致从CIM_身份类214中生成新的子类,尽管属性分配份额和/或已分配字节看起来与CIM_身份类214的一般描述并不相符。因此,需要具备与访问有关的功能,其可以重用和/或构建在已存在的访问功能上,该功能是独立于与数据实例的直接拥有权关联的。
图2B是依据本发明一较佳实施例的使用基于角色的授权(RBA)/简单身份管理(SIM)模板的不透明管理数据(OPMD)类模型模板的实现过程示意图。如图2B所示,其中展示了CIM_不透明管理数据服务类206、CIM_计算机系统类202、CIM_不透明管理数据类210、CIM_身份类214、CIM_角色类220,CIM_特权类222、CIM_帐户类224和CIM_用户实体类226。
CIM_不透明管理数据服务类206、CIM_不透明管理数据类210和CIM_计算机系统类202与图2A中描述的内容基本相同。但是,CIM_不透明管理数据服务类206和/或CIM_不透明管理数据类210可进行修改,以使用基于RBA/SIM模板的机制来实现与访问有关的操作。
CIM_身份类214与图2A中描述的内容基本相同。然而,CIM_身份类214、CIM_角色类220、CIM_特权类222和CIM_帐户类224可用于基于基于角色的授权和/或简单身份管理(RBA/SIM)模板执行与访问有关的操作。
CIM_角色类220可包括一些功能,这些功能可代表在RBA/SIM模板中可用的角色。例如,授权的角色包括例如受管理系统中的管理员、操作员和/或只读角色可通过CIM_角色类220来表示。CIM_特权类222可包括一些功能,这些功能可用于代表通常与角色相关联的一个或多个权限和/或特权。分配给不透明管理数据模板用户和/或拥有者的这些权限和/或特权可通过CIM_特权类222的实例来表示,这些实例与CIM_角色类220中的实例相关联。CIM_帐户类224可包括一些功能,这些功能可代表受管理系统中DMTF/CIM模板中定义的账户。例如,CIM_帐户类224的一个实例可代表这样一个账户,该账户可在在网络设备104中的不透明管理数据访问和/或使用过程中使用。
CIM_用户实体类226可包括一些功能,这些功能可代表受管理系统中DMTF/CIM模板中的申请用户。例如,CIM_用户实体类226的一个实例可代表一个申请用户,该用户可通过CIM_身份类214来表示。
在操作过程中,不透明管理数据模板通常可与图2A中描述的模板基本相同。但是,与访问和/或用户有关的操作可通过基于RBA/SIM的机制来使用。出于对数据和/或用户相关组件缺少直接拥有权关联,访问功能无需匹配相同数量的已存在数据实例,一般用户可进行一同(jointly)表示。因此,CIM_身份类214的一个或多个实例可用作模板中的主要访问控制组件,其中CIM_身份类214的实例可代表不透明管理数据模板的拥有者和/或用户。CIM_角色类220的实例可通过CIM_身份类214的每个实例中的“成员组的成员”用来表示可申请的角色。CIM_身份类214的每一实例的特权可通过CIM_特权类222的实例来确定,其可通过“成员组的成员”关联到CIM_角色类220的中间实例。具有相同角色和特权的用户可由CIM_帐户类224的实例来表示,其可通过“指定身份(AssignedIdentity)”关联关联到CIM_身份类214单个实例,且分别通过CIM_角色类220和CIM_特权类222的实例定义这些相同的角色和特权。应用而不是用户也可用于以类似的方式共享相同的角色和特权,其中所属应用可由CIM_用户实体类226的实例来表示,该实例可通过“指定身份”关联到CIM_身份类214的单个实例。
通过CIM_不透明管理数据服务类206请求的与不透明管理数据相关的访问操作可通过“服务影响部件”关联由CIM_不透明管理数据类210和CIM_身份类214的实例来执行。对于与CIM_不透明管理数据类210的每个实例相关的不透明管理数据操作,与CIM_身份类214的实例之间的“不透明管理数据用户部件”关联可用来执行拥有者和/或用户访问认定的显式模拟。“不透明管理数据用户部件”可包括例如“是拥有者(IsOwner)”和/或“访问权限(AccessRights)”属性,用于确定拥有权状态,例如错/对,和/或访问权限,其可包括只读和/或读写。与份额有关的操作可通过例如CIM_身份类214的实例与CIM_不透明管理数据服务类206的实例之间的“份额影响部件(QuotaAffectsElement)”关联来执行。“份额影响部件”关联可为通过CIM_身份类214的实例模拟的拥有者和/或用户定义份额信息。例如,“份额影响部件”关联可包括“分配份额”和“已分配字节”属性,这些属性可在CIM_不透明管理数据用户类216的实例中进行直接定义。这可用于对不透明管理数据模板中用户特定的份额信息进行追踪和/或使其生效,如图2A中描述的一样。
图2C是依据本发明一较佳实施例的使用基于角色的授权/简单身份管理(RBA/SIM)模板的不透明管理数据(OPMD)类模型模板的另一实现示意图。如图2C所示,其中展示了CIM_不透明管理数据服务类206、CIM_计算机系统类202、CIM_不透明管理数据类210、CIM_身份类214、CIM_角色类220,CIM_特权类222、CIM_帐户类224和CIM_用户实体类226。
CIM_不透明管理数据服务类206、CIM_不透明管理数据类210、CIM_计算机系统类202、CIM_身份类214、CIM_角色类220、CIM_特权类222、CIM_帐户类224和CIM_用户实体类226与图2B中的描述基本相同。但是,“具体的依赖(ConcreteDependency)”关联可用于访问特定的特权,这些特权是为CIM_不透明管理数据类210定义的。因此,“不透明管理数据用户部件”关联可不包含与访问权限有关的属性和/或信息,且可用于例如在CIM_不透明管理数据类210的实例和CIM_身份类214的实例之间实现与拥有权有关的验证操作。
图3是依据本发明一较佳实施例的使用基于角色的授权/简单身份管理类模板的不透明管理数据(OPMD)类模型模板的流程图。如图3所示,其中展示了包括多个示范性步骤的流程图300,其可用于在受管理系统(例如网络设备104)中的不透明管理数据操作过程中使用RBA/SIM类模板。
在步骤302,受管理系统收到与基于DMTF/CIM的不透明管理数据有关的请求。例如,可通过管理设备102和管理连接106向网络设备104发出通过不透明管理数据模板执行与存储有关的操作的请求。在步骤304,确定从属于所请求的不透明管理数据操作的与访问有关的信息。例如,所请求的操作可在基于DMTF/CIM的不透明管理数据模板中基于“运行服务”关联从CIM_计算机系统类202的实例传送到CIM_不透明管理数据服务类206的实例,后者可用作到CIM_不透明管理数据类210的一个或多个实例的接口,其代表受管理系统中的存储部件。在本发明的一个实施例中,基于RBA/SIM模板的功能可用来执行必要的访问验证操作。例如,CIM_不透明管理数据服务类206的实例和CIM_不透明管理数据类210的实例可分别通过“服务影响部件”和“不透明管理数据用户部件”关联来使用CIM_身份类214的实例,以发起与访问有关的验证。在RBA/SIM功能中,CIM_角色类220、CIM_特权类222、CIM_帐户类224和CIM_用户实体类226可用来进行访问验证,这一过程与图2B和2C中描述的内容基本相同。在访问未获允许的情况下,示范性步骤终止。
现在回到步骤304,若确定允许访问,则示范性步骤转到步骤306。在步骤306,确定从属于所请求的不透明管理数据操作的与份额有关的可用信息。与份额有关的操作可与用于执行基于RBA/SIM模板的功能的子部件一起执行,来执行访问验证操作。例如,CIM_不透明管理数据服务类206的实例可通过“份额影响部件”关联来使用CIM_身份类214,以实现与份额有关的操作。“份额影响部件”关联的“分配份额”和“已分配字节”属性可用来对从属于收到的不透明管理数据相关请求的与份额有关的信息进行追踪和/或使其生效,如图2B和2C所示。若确定与份额有关的信息和/或要求不可行,则示范性步骤终止。
回到步骤306,若确定与份额有关的信息和/或要求可行,则示范性步骤进行步骤308。在步骤308,可在受管理系统中执行所请求的不透明管理数据操作。例如,一旦访问和份额生效操作成功,则所请求的不透明管理数据操作可通过CIM_不透明管理数据类210的实例来执行。
本发明的多个实施例可包括一种方法和系统,用于模拟用户和/或拥有者的不透明管理数据选项。可在网络设备104中执行不透明管理数据操作。网络设备104可由管理设备102和管理连接106通过分布式管理任务组(DMTF)基于公共信息模型(CIM)协议进行管理。访问验证操作可在基于DMTF/CIM的基于角色的授权(RBA)和/或简单身份管理(SIM)模板的不透明管理数据操作过程中进行。CIM_身份类214的一个或多个实例可用来通过CIM_角色类220和CIM_特权类222的实例来验证拥有权和/或访问权限。因此,可通过CIM_身份类214的实例来表示的多个公共(common)用户和/或可通过CIM_用户实体类226的实例来表示的多个公共(common)应用可代表公共用户或公共应用的已验证实例。在CIM_身份类214的实例和CIM_不透明管理数据服务类206的实例之间可通过“份额影响部件”关联来执行与份额有关的操作。“份额影响部件”关联可包括“分配份额”和/或“已分配字节”属性,用于对不透明管理数据模板中的与份额有关的信息进行追踪和/或使其生效。
本发明的另一实施例可提供一种机器或计算机可读存储器或介质,其上存储有计算机程序,该计算机程序包含至少一个代码段,其可由机器或计算机执行,从而控制机器或计算机执行本文所描述的模拟用户和/或拥有者的不透明管理数据选项。
本发明可以通过硬件、软件,或者软、硬件结合来实现。本发明可以在至少一个计算机系统中以集中方式实现,或者由分布在几个互连的计算机系统中的不同部分以分散方式实现。任何可以实现所述方法的计算机系统或其它设备都是可适用的。常用软硬件的结合可以是安装有计算机程序的通用计算机系统,通过安装和执行所述程序控制计算机系统,使其按所述方法运行。
本发明还可以通过计算机程序产品进行实施,所述程序包含能够实现本发明方法的全部特征,当其安装到计算机系统中时,通过运行,可以实现本发明的方法。本申请文件中的计算机程序所指的是:可以采用任何程序语言、代码或符号编写的一组指令的任何表达式,该指令组使系统具有信息处理能力,以直接实现特定功能,或在进行下述一个或两个步骤之后,a)转换成其它语言、代码或符号;b)以不同的格式再现,实现特定功能。
本发明是通过几个具体实施例进行说明的,本领域技术人员应当理解,在不脱离本发明范围的情况下,还可以对本发明进行各种变换及等同替代。另外,针对特定情形或具体情况,可以对本发明做各种修改,而不脱离本发明的范围。因此,本发明不局限于所公开的具体实施例,而应当包括落入本发明权利要求范围内的全部实施方式。
Claims (8)
1.一种网络管理方法,其特征在于,包括:
在通过分布式管理任务组DMTF管理的系统中,通过公共信息模型CIM数据模型访问模板对在网络设备中的不透明管理数据操作过程中执行的操作进行验证;
通过CIM_身份类的实例使用CIM_角色和/或CIM_特权的一个或多个实例来执行使与访问有关的信息生效的步骤。
2.根据权利要求1所述的网络管理方法,其特征在于,包括通过所述公共信息模型CIM数据模型访问模板在所述不透明管理数据操作过程中使与访问有关的信息生效,其中所述与访问有关的信息包括拥有权、访问权限和/或份额信息。
3.根据权利要求2所述的网络管理方法,其特征在于,所述CIM数据模型访问模板包括基于角色的授权RBA和/或基于简单身份管理SIM的模板。
4.根据权利要求3所述的网络管理方法,其特征在于,包括在使用基于角色的授权RBA和/或基于简单身份管理SIM的模板执行所述使所述与访问有关的信息生效的步骤中,使用CIM_身份类的实例。
5.根据权利要求4所述的网络管理方法,其特征在于,包括使用多个CIM_帐户类来代表共享所述CIM_身份类的公共实例的多个公共用户。
6.一种网络管理系统,其特征在于,包括:
通过分布式管理任务组DMTF管理的网络设备中的一个或多个处理器,用于通过公共信息模型CIM数据模型访问模板对在网络设备中的不透明管理数据操作过程中执行的操作进行验证的模块;
通过所述一个或多个处理器用于通过CIM_身份类的实例使用CIM_角色和/或CIM_特权的一个或多个实例来执行使与访问有关的信息生效的步骤的模块。
7.根据权利要求6所述的网络管理系统,其特征在于,还包括,通过所述一个或多个处理器用于通过所述公共信息模型CIM数据模型访问模板在所述不透明管理数据操作过程中使与访问有关的信息生效的模块,其中所述与访问有关的信息包括拥有权、访问权限和/或份额信息。
8.根据权利要求7所述的网络管理系统,其特征在于,所述CIM数据模型访问模板包括基于角色的授权RBA和/或基于简单身份管理SIM的模板。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US91719907P | 2007-05-10 | 2007-05-10 | |
US60/917,199 | 2007-05-10 | ||
PCT/US2008/063285 WO2008141212A2 (en) | 2007-05-10 | 2008-05-09 | Method and system for modeling options for opaque management data for a user and/or an owner |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101548263A CN101548263A (zh) | 2009-09-30 |
CN101548263B true CN101548263B (zh) | 2011-04-20 |
Family
ID=39970751
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2008800008222A Expired - Fee Related CN101548263B (zh) | 2007-05-10 | 2008-05-09 | 模拟用户和/或拥有者的不透明管理数据选项的方法和系统 |
Country Status (6)
Country | Link |
---|---|
US (2) | US8359636B2 (zh) |
EP (1) | EP2156603A4 (zh) |
KR (1) | KR101113122B1 (zh) |
CN (1) | CN101548263B (zh) |
HK (1) | HK1137531A1 (zh) |
WO (1) | WO2008141212A2 (zh) |
Families Citing this family (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8359636B2 (en) | 2007-05-10 | 2013-01-22 | Broadcom Corporation | Method and system for modeling options for opaque management data for a user and/or an owner |
CN102571427B (zh) * | 2010-12-31 | 2016-09-28 | 上海可鲁系统软件有限公司 | 一种分布式系统中cim资源命名及解析方法 |
CN104104529A (zh) * | 2013-04-03 | 2014-10-15 | 中兴通讯股份有限公司 | 基于公共信息模型的网络管理方法和系统 |
CN104125127A (zh) * | 2013-04-27 | 2014-10-29 | 中兴通讯股份有限公司 | 一种虚拟网络管理方法和系统 |
CN104468162A (zh) * | 2013-09-17 | 2015-03-25 | 中兴通讯股份有限公司 | 网络管理方法及系统、虚拟网络实体、网络设备 |
CN104378282B (zh) * | 2013-12-25 | 2016-08-24 | 腾讯科技(深圳)有限公司 | 消息发送方法、消息转发方法、装置及系统 |
CN104184826A (zh) * | 2014-09-05 | 2014-12-03 | 浪潮(北京)电子信息产业有限公司 | 多数据中心存储环境管理方法和系统 |
CN111343627B (zh) * | 2020-03-04 | 2022-12-23 | RealMe重庆移动通信有限公司 | 网络注册方法、装置及终端设备 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030051063A1 (en) * | 2001-09-06 | 2003-03-13 | Jim Skufca | System and method for dynamically mapping dynamic multi-sourced persisted EJBs |
US20030055694A1 (en) * | 2001-03-23 | 2003-03-20 | Restaurant Services, Inc. | System, method and computer program product for solving and reviewing a solution in a supply chain framework |
US6922695B2 (en) * | 2001-09-06 | 2005-07-26 | Initiate Systems, Inc. | System and method for dynamically securing dynamic-multi-sourced persisted EJBS |
US20070016597A1 (en) * | 2001-08-14 | 2007-01-18 | Endforce, Inc. | Selection and storage of policies in network management |
Family Cites Families (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6539425B1 (en) * | 1999-07-07 | 2003-03-25 | Avaya Technology Corp. | Policy-enabled communications networks |
US20020123966A1 (en) * | 2000-06-23 | 2002-09-05 | Luke Chu | System and method for administration of network financial transaction terminals |
US6810400B2 (en) * | 2000-11-17 | 2004-10-26 | Microsoft Corporation | Representing database permissions as associations in computer schema |
US20030105732A1 (en) * | 2000-11-17 | 2003-06-05 | Kagalwala Raxit A. | Database schema for structure query language (SQL) server |
US20030126464A1 (en) * | 2001-12-04 | 2003-07-03 | Mcdaniel Patrick D. | Method and system for determining and enforcing security policy in a communication session |
US7734749B2 (en) * | 2002-10-16 | 2010-06-08 | Xerox Corporation | Device model agent |
US7472422B1 (en) * | 2003-09-10 | 2008-12-30 | Symantec Corporation | Security management system including feedback and control |
US7171417B2 (en) * | 2003-09-30 | 2007-01-30 | International Business Machines Corporation | Method and apparatus for improving performance and scalability of an object manager |
US7725473B2 (en) * | 2003-12-17 | 2010-05-25 | International Business Machines Corporation | Common information model |
US20060168216A1 (en) | 2004-12-09 | 2006-07-27 | Alexander Wolf-Reber | Digital management system and method for managing access rights in such a management system |
JP2006178554A (ja) * | 2004-12-21 | 2006-07-06 | Hitachi Ltd | 分散ポリシー連携方法 |
KR100809432B1 (ko) * | 2006-11-29 | 2008-03-07 | 한국전자통신연구원 | 상호 운용적 drm 적용을 위한 콘텐츠 실행 단말에서의drm 적용 장치 및 그 동작 방법 |
US20080178267A1 (en) * | 2007-01-18 | 2008-07-24 | Murali Rajagopal | Method and system for simplifying role based authorization profile implementation |
US8359636B2 (en) | 2007-05-10 | 2013-01-22 | Broadcom Corporation | Method and system for modeling options for opaque management data for a user and/or an owner |
-
2008
- 2008-05-09 US US12/118,179 patent/US8359636B2/en not_active Expired - Fee Related
- 2008-05-09 EP EP08755255A patent/EP2156603A4/en not_active Withdrawn
- 2008-05-09 KR KR1020097009109A patent/KR101113122B1/ko not_active IP Right Cessation
- 2008-05-09 CN CN2008800008222A patent/CN101548263B/zh not_active Expired - Fee Related
- 2008-05-09 WO PCT/US2008/063285 patent/WO2008141212A2/en active Application Filing
-
2010
- 2010-02-04 HK HK10101236.0A patent/HK1137531A1/xx not_active IP Right Cessation
-
2013
- 2013-01-07 US US13/735,195 patent/US8745701B2/en active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030055694A1 (en) * | 2001-03-23 | 2003-03-20 | Restaurant Services, Inc. | System, method and computer program product for solving and reviewing a solution in a supply chain framework |
US20070016597A1 (en) * | 2001-08-14 | 2007-01-18 | Endforce, Inc. | Selection and storage of policies in network management |
US20030051063A1 (en) * | 2001-09-06 | 2003-03-13 | Jim Skufca | System and method for dynamically mapping dynamic multi-sourced persisted EJBs |
US6922695B2 (en) * | 2001-09-06 | 2005-07-26 | Initiate Systems, Inc. | System and method for dynamically securing dynamic-multi-sourced persisted EJBS |
Also Published As
Publication number | Publication date |
---|---|
WO2008141212A3 (en) | 2009-01-08 |
US8745701B2 (en) | 2014-06-03 |
KR20100018484A (ko) | 2010-02-17 |
EP2156603A4 (en) | 2012-08-08 |
WO2008141212A2 (en) | 2008-11-20 |
US20130125216A1 (en) | 2013-05-16 |
KR101113122B1 (ko) | 2012-02-17 |
EP2156603A2 (en) | 2010-02-24 |
US20080282328A1 (en) | 2008-11-13 |
CN101548263A (zh) | 2009-09-30 |
US8359636B2 (en) | 2013-01-22 |
HK1137531A1 (en) | 2010-07-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8347378B2 (en) | Authentication for computer system management | |
CN101548263B (zh) | 模拟用户和/或拥有者的不透明管理数据选项的方法和系统 | |
US8254579B1 (en) | Cryptographic key distribution using a trusted computing platform | |
JP5516821B2 (ja) | 仮想化及び認証を用いた電子ネットワークにおける複数のクライアントの遠隔保守のためのシステム及び方法 | |
CN101821992B (zh) | 实施网络装置供应策略的系统和方法 | |
CN100502307C (zh) | 一种集中用户安全管理方法及装置 | |
JP3415456B2 (ja) | ネットワークシステム及びコマンド使用権限制御方法ならびに制御プログラムを格納した記憶媒体 | |
US20020082820A1 (en) | Data model for automated server configuration | |
JP5743786B2 (ja) | サーバー装置、情報処理方法及びプログラム | |
CN101217368A (zh) | 一种网络登录系统及其配置方法以及登录应用系统的方法 | |
CN110677383B (zh) | 防火墙开墙方法、装置、存储介质及计算机设备 | |
CN112788031B (zh) | 基于Envoy架构的微服务接口认证系统、方法及装置 | |
US9256444B2 (en) | Application level integration in support of a distributed network management and service provisioning solution | |
CN104303534B (zh) | 用于对移动设备验证进行验证的方法和计算机 | |
CN110336718A (zh) | 一种物联网设备安全快速接入管理平台的方法 | |
CN101827115A (zh) | 一种全息式企业服务总线 | |
CN110189440A (zh) | 一种基于区块链的智能锁监管设备及其方法 | |
CN101924636A (zh) | 相关认证信息下发方法、装置及网络设备 | |
US20080178267A1 (en) | Method and system for simplifying role based authorization profile implementation | |
JP2015118459A (ja) | 画像形成装置、情報端末、サーバ装置、データ処理システム、画像形成装置の通信方法、情報端末の通信方法、サーバ装置の通信方法、及びプログラム | |
CN117177305A (zh) | 共享网元的协作管理方法、系统、设备及存储介质 | |
US20120317298A1 (en) | Scripting environment for network device | |
JP2024013980A (ja) | 通信システム、制御装置、通信方法、及びプログラム | |
CN116566946A (zh) | 一种友好域名体系生成与管理方法及相关设备 | |
CN116055106A (zh) | 一种统一管理登录权限的方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 1137531 Country of ref document: HK |
|
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
REG | Reference to a national code |
Ref country code: HK Ref legal event code: GR Ref document number: 1137531 Country of ref document: HK |
|
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20110420 Termination date: 20170509 |
|
CF01 | Termination of patent right due to non-payment of annual fee |