CN102571745A - 针对大容量对象的用户访问权限管理方法 - Google Patents
针对大容量对象的用户访问权限管理方法 Download PDFInfo
- Publication number
- CN102571745A CN102571745A CN2011103634289A CN201110363428A CN102571745A CN 102571745 A CN102571745 A CN 102571745A CN 2011103634289 A CN2011103634289 A CN 2011103634289A CN 201110363428 A CN201110363428 A CN 201110363428A CN 102571745 A CN102571745 A CN 102571745A
- Authority
- CN
- China
- Prior art keywords
- user
- group
- authority
- safety officer
- subdomain
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明公开了一种针对大容量对象的用户访问权限管理方法,包括以下步骤:A10、建立由用户、用户组、对象、对象集、操作和操作集组成的的用户访问权限管理模型;A20、建立用户,并通过将用户分别指派到不同的用户组从而使用户具有相应的权限;A30、用户登录时,根据用户类型允许其使用相应的权限。本发明将所有对象纳入一个全局域集中管理,也可将对象划分为彼此独立的子域,各个子域互不干扰、单独管理。通过这样的权限管理方法,能够根据管理对象规模及组织结构灵活制定管理策略,特别在管理对象多、组织结构复杂时,使用本方法,可以大大提高管理效率、降低管理成本。
Description
技术领域
本发明涉及网络管理,具体涉及针对大容量对象的用户访问权限管理方法。
背景技术
随着网络IP化以及FMC(Fixed-Mobile Convergence)的发展,运营商运维模式将发生深刻改变,从以网络类型和网元类型分层管理逐步走向融合管理,同时对运维成本和用户体验有更高的要求,因此为了适应未来网络的发展,通信网络管理系统必须实现各种类型网元的统一管理,充分满足融合网络运维管理的需要。
统一管理面临的一个主要问题是管理容量,而现有的用户访问权限管理系统都没有考虑这种大容量的要求,只能在一个维度上集中控制用户权限,不能分域管理,缺乏灵活性。在统一管理的背景下,如果将种类繁多,跨越不同地区的设备,集中交给一个部门来进行用户访问权限控制,其工作量可想而知将十分艰巨。
对于权限控制策略的选择,通常需要根据组织结构和人员分工来决定,在电信网络维护中,通常的结构是有一个中心对全网设备进行监控,而设备的直接配置和维护是由各个区域的组织和人员来完成的。因此,权限控制系统需要能够根据不同组织结构和管理容量,灵活定制不同的管理策略,即能集中维护所有用户权限,也能由各个区域的管理员维护自己区域的用户权限。
发明内容
本发明所要解决的技术问题是解决现有的用户访问权限管理系统只能在一个维度上集中控制用户权限,不能分域管理,缺乏灵活性的问题。
为了解决上述技术问题,本发明所采用的技术方案是提供一种针对大容量对象的用户访问权限管理方法,包括以下步骤:
A10、建立用户访问权限管理模型,所述管理模型包括用户、用户组、对象、对象集、操作和操作集;用户是系统使用者;用户组是具相同权限的用户的集合;对象是用户可访问的系统中的资源;对象集是对象的集合;操作是用户可执行的动作,分为无限制、admin特权、安全管理及对象操作四种类型;操作集是操作的集合;
A20、建立用户,并通过将用户分别指派到不同的用户组从而使用户具有相应的权限,用户组分为超级管理员组、安全管理员组、子域安全管理员组和普通用户组四种类型;属于安全管理员组或子域安全管理员组的用户具有管理权限;属于其他类型用户组的用户不具有管理权限,仅能对可管理对象进行授权的操作;属于安全管理员组的用户可以对包括子域安全管理员组在内的全域进行管理;属于子域安全管理员组的用户只能对所属子域进行管理;
A30、用户登录时,根据用户类型允许其使用相应的权限。
在上述方法中,在步骤A20中,首先定义用户可执行的所有操作,并内置一个超级管理员组和一个安全管理员组,内置一个admin用户属于上述两个内置用户组;然后使用admin登陆,根据规划建立用户,将用户分别指派到用户组从而使用户具有相应权限。
在上述方法中,建立的用户可以属于多个用户组,但是只能属于一个安全管理员组或子域安全管理员组。
在上述方法中,超级管理员组默认包含除安全管理员组或子域安全管理员所具有的管理权限外的所有权限,安全管理员组或子域安全管理员组默认具有管理权限,普通用户组的权限取决于管理者为其分配的权限。
在上述方法中,属于安全管理员组或子域安全管理员组的用户分配权限的方法是:将对象划分为不同的对象集,将操作划分为不同的操作集,将对象集和操作集指派给用户组表示对这些对象具有相应操作权限。
在上述方法中,将对象集和操作集直接指派给用户,对用户组内的对象授予用户组内的操作权限或者对用户自身对象授予用户自身操作权限。
在上述方法中,建立新的用户、用户组、对象集或操作集时记录其归属的唯一的安全管理员组或子域安全管理员组ID,当属于安全管理员组的用户登录时,可以管理所有用户、用户组、对象集和操作集;而属于子域安全管理员组的用户登录时,只能管理子域内的用户、用户组、对象集和操作集。
在上述方法中,判断用户权限的方法是:
如果是无限制操作,则总是有权限;
如果是安全管理操作,则只有安全管理员组或子域安全管理员组用户具有权限,且被编辑的用户、用户组、对象集、操作集属于用户所在区域;
如果是admin特权操作,则只有内置的admin用户具有权限;
如果是对象操作,则依次判断用户所属用户组是否包含目标对象和操作,如果包含则具有权限,否则继续,最后判断用户自身对象集和操作集是否包含目标对象和操作,如果包含则具有权限,否则无权限。
本发明,将所有对象纳入一个全局域集中管理,也可将对象划分为彼此独立的子域,各个子域互不干扰、单独管理。通过这样的权限管理方法,能够根据管理对象规模及组织结构灵活制定管理策略,特别在管理对象多、组织结构复杂时,使用本方法,可以大大提高管理效率、降低管理成本。
附图说明
图1为本发明实施例提供的针对大容量对象的用户访问权限管理模型示意图;
图2为本发明实施例提供的用户权限管理流程图;
图3为本发明实施例提供的用户权限分域管理示意图;
图4为本发明实施例提供的用户权限判断流程图。
具体实施方式
下面结合附图对本发明作出详细的说明。本发明包括以下步骤:
A10、在系统的网管上建立用户访问权限管理模型,图1示出了针对大容量对象的用户访问权限管理模型示意图,其中数字1和0..*表示连线两端的关系是1对0或多个,例如1个用户可以包含0个或多个对象集,该模型包括如下元素:用户、用户组、对象、对象集、操作和操作集。用户是系统使用者;用户组是具有相同权限的用户的集合;对象是用户可以在系统中访问的资源;对象集是对象的集合,包含0或多个对象;操作是用户可以执行的动作(操作权限),分为无限制、admin特权、安全管理以及对象操作四种类型;操作集是操作的集合,包含0或多个操作,只有对象操作可以划分到操作集。用户组包含0或多个对象集以及0或多个操作集,表示对包含的所有对象拥有包含的所有操作权限;用户组分为超级管理员组、安全管理员组、子域安全管理员组及普通用户组类型;用户属于0或多个用户组,只能属于一个安全管理员组或子域安全管理员组。
A20、建立相应的用户并分别指派到不同的用户组中,从而使用户具有相应的权限。
如图2所示,步骤A20包括以下一些具体步骤:
A201、系统首次使用时,首先进行一些初始定义,定义用户可执行的所有操作,并内置一个超级管理员组和一个安全管理员组,内置一个admin用户属于上述两个内置用户组,这样admin用户就具有所有权限。
A202、系统首次使用时,使用admin登陆,根据规划建立不同类型的用户,并将用户分别指派到不同的用户组中,从而使用户具有相应权限。用户组分为超级管理员组、子域安全管理员组、安全管理员组和普通用户组四种类型;属于安全管理员组或子域安全管理员组的用户具有管理权限;属于其他类型用户组的用户不具有管理权限,仅能对可管理对象进行授权的操作;属于安全管理员组的用户可以对包括子域安全管理员组在内的全域进行管理;属于子域安全管理员组的用户只能对所属子域进行管理。
A30、用户登录时,根据用户类型允许其使用相应的权限,如果是安全管理员组用户,允许对所有用户、用户组、对象集、操作集进行管理;如果是子域安全管理员组用户,则只允许管理子域内的用户、用户组、对象集、操作集;如果是其他用户组用户,则无管理权限。
属于安全管理员组或子域安全管理员组的用户具有管理权限,可以建立新的或编辑已经存在的用户、用户组、对象集或操作集。新建时,会记录所属安全管理员组或子域安全管理员组唯一的ID,这样用户登录后就可以确定对哪些用户、用户组、对象集、操作集可进行管理。
由于安全管理员类型用户组即代表全域管理,所以只需要内置一个,安全管理员组用户登录后只能再新建子域安全管理员组或普通用户组,而子域安全管理员组用户登录后只能再新建普通用户组。
新建对象集时是在用户所属安全管理员组或子域安全管理员组包含的对象基础上建立,为简化权限管理模型,限制一个用户只能属于一个安全管理员组或子域安全管理员组。
新建操作集是在所有对象操作基础上建立。
权限指派的过程包括为用户组指派对象集和操作集,使用户组代表一类相同权限用户;为用户指派用户组,使用户具有相应权限,一个用户可以属于多个用户组,它们之间的权限是并的关系;为用户指派对象集和操作集,实现用户权限的微调,其含义可以理解为用户私有的用户组。
图3示出了一个分区的权限管理过程。该示例中假设用户A属于安全管理员组,用户A登录后依次建立:对象集A,对象集A包含地区A的所有对象;操作集A;子域安全管理员类型用户组A,并指派包含对象集A;用户B,并指派属于用户组A。经过这样的过程后,实际上就建立了一个子域A,子域A可管理对象的范围就是用户组A包含的对象,即对象集A,用户B就是子域A的管理员。用户B登录后看不到全局域管理用户,即安全管理员组用户建立的权限,也看不到其它子域内的权限,他需要根据子域A的组织结构进行独立权限管理,例如,用户B依次建立:对象集B,对象集B一定是对象集A的子集;操作集B;用户组B,此时用户B只能建立普通用户组;用户C,并指派属于用户组B。用户B建立的这些权限对其他子域也是不可见的,但是对全局域管理用户是可见的。从而实现了子域内互不干扰、独立管理的分区权限管理。
图4示出了用户权限判断流程,具体步骤如下:
步骤A301,输入目标操作及对象,操作包含操作ID及操作类型,对象包含对象ID。
步骤A302、根据操作类型进行不同的权限判断。
如果操作类型为对象操作,则依次判断用户所属用户组是否包含目标操作和对象,只要找到一个包含,则返回有权限,否则继续,然后再判断用户自身的对象集和操作集是否包含目标对象和操作,如果包含,则返回有权限,否则返回无权限。
如果操作类型为无限制,则直接返回有权限。
如果操作类型为 admin特权,则判断用户是否为admin用户,如果是,则返回有权限,否则返回无权限。
如果操作类型为安全管理,则判断用户是否属于安全管理员组或子域安全管理员组,如果否,则返回无权限,如果是,则继续判断目标对象,即被编辑的用户、用户组、对象集、操作集是否属于相应区域,如果属于则返回有权选,否则返回无权限。
步骤A302中,判断目标用户、用户组、对象集、操作集是否属于相应区域的方法是:如果操作用户为安全管理员组用户,则目标对象总是属于的,因为安全管理员组用户可以管理全域权限,如果操作用户为子域安全管理员组用户,则需根据目标用户、用户组、对象集、操作集所属用户组ID判断是否属于此子域。
本发明不局限于上述最佳实施方式,任何人应该得知在本发明的启示下作出的结构变化,凡是与本发明具有相同或相近的技术方案,均落入本发明的保护范围之内。
Claims (8)
1.针对大容量对象的用户访问权限管理方法,其特征在于包括以下步骤:
A10、建立用户访问权限管理模型,所述管理模型包括用户、用户组、对象、对象集、操作和操作集;用户是系统使用者;用户组是具相同权限的用户的集合;对象是用户可访问的系统中的资源;对象集是对象的集合;操作是用户可执行的动作,分为无限制、admin特权、安全管理及对象操作四种类型;操作集是操作的集合;
A20、建立用户,并通过将用户分别指派到不同的用户组从而使用户具有相应的权限,用户组分为超级管理员组、安全管理员组、子域安全管理员组和普通用户组四种类型;属于安全管理员组或子域安全管理员组的用户具有管理权限;属于其他类型用户组的用户不具有管理权限,仅能对可管理对象进行授权的操作;属于安全管理员组的用户可以对包括子域安全管理员组在内的全域进行管理;属于子域安全管理员组的用户只能对所属子域进行管理;
A30、用户登录时,根据用户类型允许其使用相应的权限。
2.如权利要求1所述的针对大容量对象的用户访问权限管理方法,其特征在于,在步骤A20中,首先定义用户可执行的所有操作,并内置一个超级管理员组和一个安全管理员组,内置一个admin用户属于上述两个内置用户组;然后使用admin登陆,根据规划建立用户,将用户分别指派到用户组从而使用户具有相应权限。
3.如权利要求1所述的针对大容量对象的用户访问权限管理方法,其特征在于,建立的用户可以属于多个用户组,但是只能属于一个安全管理员组或子域安全管理员组。
4.如权利要求1所述的针对大容量对象的用户访问权限管理方法,其特征在于,超级管理员组默认包含除安全管理员组或子域安全管理员所具有的管理权限外的所有权限,安全管理员组或子域安全管理员组默认具有管理权限,普通用户组的权限取决于管理者为其分配的权限。
5.如权利要求1所述的针对大容量对象的用户访问权限管理方法,其特征在于,属于安全管理员组或子域安全管理员组的用户分配权限的方法是:将对象划分为不同的对象集,将操作划分为不同的操作集,将对象集和操作集指派给用户组表示对这些对象具有相应操作权限。
6.如权利要求5所述的针对大容量对象的用户访问权限管理方法,其特征在于,将对象集和操作集直接指派给用户,对用户组内的对象授予用户组内的操作权限或者对用户自身对象授予用户自身操作权限。
7.如权利要求5所述的针对大容量对象的用户访问权限管理方法,其特征在于,建立新的用户、用户组、对象集或操作集时记录其归属的唯一的安全管理员组或子域安全管理员组ID,当属于安全管理员组的用户登录时,可以管理所有用户、用户组、对象集和操作集;而属于子域安全管理员组的用户登录时,只能管理子域内的用户、用户组、对象集和操作集。
8.如权利要求5所述的针对大容量对象的用户访问权限管理方法,其特征在于,判断用户权限的方法是:
如果是无限制操作,则总是有权限;
如果是安全管理操作,则只有安全管理员组或子域安全管理员组用户具有权限,且被编辑的用户、用户组、对象集、操作集属于用户所在区域;
如果是admin特权操作,则只有内置的admin用户具有权限;
如果是对象操作,则依次判断用户所属用户组是否包含目标对象和操作,如果包含则具有权限,否则继续,最后判断用户自身对象集和操作集是否包含目标对象和操作,如果包含则具有权限,否则无权限。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2011103634289A CN102571745A (zh) | 2011-11-16 | 2011-11-16 | 针对大容量对象的用户访问权限管理方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2011103634289A CN102571745A (zh) | 2011-11-16 | 2011-11-16 | 针对大容量对象的用户访问权限管理方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102571745A true CN102571745A (zh) | 2012-07-11 |
Family
ID=46416227
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2011103634289A Pending CN102571745A (zh) | 2011-11-16 | 2011-11-16 | 针对大容量对象的用户访问权限管理方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102571745A (zh) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103347062A (zh) * | 2013-06-24 | 2013-10-09 | 北京汉柏科技有限公司 | 虚拟计算资源的分配方法 |
| CN106453395A (zh) * | 2016-11-16 | 2017-02-22 | 航天信息股份有限公司 | 一种云平台资源访问权限的分级管理方法及系统 |
| CN106909817A (zh) * | 2017-02-16 | 2017-06-30 | 国电南瑞科技股份有限公司 | 一种面向用户的智能变电站集成配置访问权限的生成方法 |
| CN107241330A (zh) * | 2017-06-08 | 2017-10-10 | 安徽大智睿科技技术有限公司 | 一种基于系统用户组的权限管理方法及系统 |
| CN107343007A (zh) * | 2017-07-17 | 2017-11-10 | 广西科技大学 | 基于用户身份及权限认证的分布式文件管理方法及系统 |
| WO2017211161A1 (zh) * | 2016-06-06 | 2017-12-14 | 中兴通讯股份有限公司 | 基于软件定义网络的资源管理方法及装置 |
| CN108009422A (zh) * | 2017-11-09 | 2018-05-08 | 华南理工大学 | 一种基于多层级用户分组管理的多域划分方法及系统 |
| CN108549797A (zh) * | 2018-03-26 | 2018-09-18 | 安徽笛申科技有限公司 | 一种用户及用户组及角色的系统权限管理方法 |
| CN108830063A (zh) * | 2018-05-31 | 2018-11-16 | 上海大学 | 基于亚马逊语音助手Alexa的以声纹识别进行用户权限管理的方法 |
| CN109327455A (zh) * | 2018-11-01 | 2019-02-12 | 郑州云海信息技术有限公司 | 一种nas设备的访问方法、装置、设备及可读存储介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101448002A (zh) * | 2008-12-12 | 2009-06-03 | 北京大学 | 一种数字资源的访问方法及设备 |
| CN102075357A (zh) * | 2010-12-31 | 2011-05-25 | 武汉日电光通信工业有限公司 | 网络管理系统多域安全管理方法 |
-
2011
- 2011-11-16 CN CN2011103634289A patent/CN102571745A/zh active Pending
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101448002A (zh) * | 2008-12-12 | 2009-06-03 | 北京大学 | 一种数字资源的访问方法及设备 |
| CN102075357A (zh) * | 2010-12-31 | 2011-05-25 | 武汉日电光通信工业有限公司 | 网络管理系统多域安全管理方法 |
Non-Patent Citations (2)
| Title |
|---|
| 李怀明: "电子政务系统中基于组织的访问控制模型研究", 《中国博士学位论文全文数据库》 * |
| 段立娟 等: "一种多安全域策略支持的管理机制", 《北京工业大学学报》 * |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103347062A (zh) * | 2013-06-24 | 2013-10-09 | 北京汉柏科技有限公司 | 虚拟计算资源的分配方法 |
| WO2017211161A1 (zh) * | 2016-06-06 | 2017-12-14 | 中兴通讯股份有限公司 | 基于软件定义网络的资源管理方法及装置 |
| CN106453395A (zh) * | 2016-11-16 | 2017-02-22 | 航天信息股份有限公司 | 一种云平台资源访问权限的分级管理方法及系统 |
| CN106909817A (zh) * | 2017-02-16 | 2017-06-30 | 国电南瑞科技股份有限公司 | 一种面向用户的智能变电站集成配置访问权限的生成方法 |
| CN107241330A (zh) * | 2017-06-08 | 2017-10-10 | 安徽大智睿科技技术有限公司 | 一种基于系统用户组的权限管理方法及系统 |
| CN107343007A (zh) * | 2017-07-17 | 2017-11-10 | 广西科技大学 | 基于用户身份及权限认证的分布式文件管理方法及系统 |
| CN108009422A (zh) * | 2017-11-09 | 2018-05-08 | 华南理工大学 | 一种基于多层级用户分组管理的多域划分方法及系统 |
| CN108009422B (zh) * | 2017-11-09 | 2020-05-22 | 华南理工大学 | 一种基于多层级用户分组管理的多域划分方法及系统 |
| CN108549797A (zh) * | 2018-03-26 | 2018-09-18 | 安徽笛申科技有限公司 | 一种用户及用户组及角色的系统权限管理方法 |
| CN108830063A (zh) * | 2018-05-31 | 2018-11-16 | 上海大学 | 基于亚马逊语音助手Alexa的以声纹识别进行用户权限管理的方法 |
| CN109327455A (zh) * | 2018-11-01 | 2019-02-12 | 郑州云海信息技术有限公司 | 一种nas设备的访问方法、装置、设备及可读存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102571745A (zh) | 针对大容量对象的用户访问权限管理方法 | |
| CN103348328B (zh) | 用于实时地监视并管理数据中心资源的系统和方法 | |
| CN107104931A (zh) | 一种访问控制方法及平台 | |
| CN105991738B (zh) | 一种云资源池中跨安全域资源共享的方法及系统 | |
| CN108322432A (zh) | 一种基于树形组织模型的机构应用权限管理方法及服务系统 | |
| CN106982136B (zh) | 一种多域分层的多域物联网平台及多域管理方法 | |
| CN109688199A (zh) | 一种多域分层物联网联盟链平台及其分片方法、计算机 | |
| CN105184144B (zh) | 一种多系统权限管理方法 | |
| CN103329063A (zh) | 用于实时地监视和管理数据中心资源的系统和方法 | |
| CN111049851B (zh) | 一种跨域传输业务多级多维联动管控系统 | |
| CN103617485A (zh) | 统一权限管理部署系统 | |
| CN103477326A (zh) | 基础设施控制结构系统以及方法 | |
| CN104168268B (zh) | 一种能够实现对电网模型数据安全配置和访问的电网对象访问控制装置 | |
| CN108134764A (zh) | 一种分布式数据共享交换方法及系统 | |
| CN105678413A (zh) | 一种网厂协同调度运行业务一体化管理系统 | |
| CN109063436A (zh) | 支持多应用的企业级权限管控和应用方法 | |
| CN102866424A (zh) | 一种基于云计算的地震资料远程处理系统 | |
| CN102821160A (zh) | 一种云计算网络环境下面向松散云节点多层次数据保护的系统与方法 | |
| CN110912982A (zh) | 芯片设计云计算系统及方法 | |
| CN108009422B (zh) | 一种基于多层级用户分组管理的多域划分方法及系统 | |
| CN101594386B (zh) | 基于分布式策略验证的可信虚拟组织构建方法及装置 | |
| CN104363306A (zh) | 一种企业私有云管理控制方法 | |
| CN102148696B (zh) | 对网络业务进行管理的方法和系统 | |
| CN202004786U (zh) | 一种认证与权限管理服务器 | |
| Khan et al. | Prototyping incentive-based resource assignment for clouds in community networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20120711 |