CN106878084A - 一种权限控制方法和装置 - Google Patents
一种权限控制方法和装置 Download PDFInfo
- Publication number
- CN106878084A CN106878084A CN201710114265.8A CN201710114265A CN106878084A CN 106878084 A CN106878084 A CN 106878084A CN 201710114265 A CN201710114265 A CN 201710114265A CN 106878084 A CN106878084 A CN 106878084A
- Authority
- CN
- China
- Prior art keywords
- tenant
- permissions data
- message
- data
- authentication information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/28—Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种权限控制方法和装置,该方法包括:接收来自租户管理设备的管理消息;通过管理消息关联的标识信息查询配置文件,得到与所述标识信息对应的租户权限数据;所述配置文件用于记录标识信息与租户权限数据的对应关系;将所述租户权限数据发送给租户管理设备,以使租户管理设备将所述租户权限数据提供给租户,由租户利用租户权限数据对自身Overlay网络进行管理。通过本申请的技术方案,可以为租户分配Overlay网络的管理权限,租户有权限对自己的Overlay网络进行管理,从而提高租户的感受。
Description
技术领域
本申请涉及网络管理技术领域,尤其涉及一种权限控制方法和装置。
背景技术
当前,数据中心支持的虚拟机规模出现爆炸式增长,且不同租户之间需要在二层域进行逻辑隔离,若使用VLAN(Virtual Local Area Network,虚拟局域网)对不同租户进行二层域的逻辑隔离,则最大只支持4096个租户的隔离需求,无法满足大量租户的隔离需求。基于此,VXLAN(Virtual eXtensible Local Area Network,可扩展虚拟局域网络)技术应运而生,VXLAN最大支持2的24次方(16777216)个租户的隔离需求,可以满足大量租户的隔离需求。因此,数据中心通常采用VXLAN构建的网络,而在VXLAN构建的网络中,可以在数据中心划分多个Overlay网络,每个租户对应一个Overlay网络。如图1所示,为数据中心的组网示意图,租户1对应Overlay网络1,租户2对应Overlay网络2。
为了实现Overlay网络的管理,通常在智能管理中心(Intelligent ManagementCenter)配置租户与Overlay网络的对应关系。若需要对Overlay网络1进行管理,租户1将管理命令通知给管理员,管理员在智能管理中心下发租户1的管理命令。智能管理中心通过查询租户与Overlay网络的对应关系,获知管理命令是针对租户1的Overlay网络1,因此利用管理命令对Overlay网络1进行管理。
上述方式下,所有Overlay网络的管理均需要由管理员进行,租户没有权限对自己的Overlay网络进行管理,管理员的工作量很大,且租户的感受很差。
发明内容
本申请提供一种权限控制方法,应用于网络管理设备,该方法包括:
接收来自租户管理设备的管理消息;
通过管理消息关联的标识信息查询配置文件,得到与所述标识信息对应的租户权限数据;所述配置文件用于记录标识信息与租户权限数据的对应关系;
将所述租户权限数据发送给租户管理设备,以使租户管理设备将所述租户权限数据提供给租户,由租户利用租户权限数据对自身Overlay网络进行管理。
本申请提供一种权限控制方法,应用于租户管理设备,该方法包括:
在接收到租户的登录消息后,查询数据库中是否包含所述登录消息携带的认证信息;其中,所述数据库用于记录允许登录的认证信息;
如果否,则拒绝所述租户登录到本租户管理设备;
如果是,则向网络管理设备发送管理消息,以使所述网络管理设备根据所述管理消息从配置文件中获取所述租户的租户权限数据;其中,所述配置文件用于记录经过授权的租户的租户权限数据;
接收所述网络管理设备返回的租户权限数据,并将所述租户权限数据提供给租户,以使所述租户利用所述租户权限数据对自身Overlay网络进行管理。
本申请提供一种权限控制装置,应用于网络管理设备,该装置包括:
接收模块,用于接收来自租户管理设备的管理消息;
获得模块,用于通过所述管理消息关联的标识信息查询配置文件,得到与所述标识信息对应的租户权限数据;其中,所述配置文件用于记录标识信息与租户权限数据的对应关系;
发送模块,用于将所述租户权限数据发送给所述租户管理设备,以使所述租户管理设备将所述租户权限数据提供给租户,由所述租户利用所述租户权限数据对自身Overlay网络进行管理。
本申请提供一种权限控制装置,应用于租户管理设备,该装置包括:
查询模块,用于在接收到租户的登录消息后,查询数据库中是否包含所述登录消息携带的认证信息;其中,所述数据库用于记录允许登录的认证信息;
登录处理模块,用于当数据中未包含所述认证信息时,则拒绝所述租户登录到本租户管理设备;
发送模块,用于当数据库中已包含所述认证消息时,则向网络管理设备发送管理消息,以使所述网络管理设备根据所述管理消息从配置文件中获取所述租户的租户权限数据;其中,所述配置文件用于记录经过授权的租户的租户权限数据;
接收模块,用于接收所述网络管理设备返回的租户权限数据;
所述发送模块,还用于将所述租户权限数据提供给租户,以使所述租户利用所述租户权限数据对自身Overlay网络进行管理。
基于上述技术方案,本申请实施例中,可以为租户分配Overlay网络的管理权限,以使租户有权限对自己的Overlay网络进行管理,不用管理员管理所有的Overlay网络,从而可以减轻管理员的工作量,并提高租户的感受。
附图说明
为了更加清楚地说明本申请实施例或者现有技术中的技术方案,下面将对本申请实施例或者现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请中记载的一些实施例,对于本领域普通技术人员来讲,还可以根据本申请实施例的这些附图获得其他的附图。
图1是数据中心的组网示意图;
图2A和图2B是本申请一种实施方式中的权限控制方法的流程图;
图3是本申请一种实施方式中的应用场景示意图;
图4是本申请一种实施方式中的网络管理设备的硬件结构图;
图5是本申请一种实施方式中的权限控制装置的结构图;
图6是本申请一种实施方式中的租户管理设备的硬件结构图;
图7是本申请一种实施方式中的权限控制装置的结构图。
具体实施方式
在本申请使用的术语仅仅是出于描述特定实施例的目的,而非限制本申请。本申请和权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其它含义。还应当理解,本文中使用的术语“和/或”是指包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,此外,所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
本申请实施例中提出一种权限控制方法,该方法可以应用于包括网络管理设备和租户管理设备的系统中,该权限控制方法可以包括两个阶段,第一阶段为租户创建阶段,其处理流程参见图2A所示。第二阶段为租户管理阶段,其处理流程参见图2B所示,在第二阶段,通过向第一阶段创建的租户提供租户权限数据,以使租户可以利用该租户权限数据对自身Overlay网络进行管理。
参见图2A所示,为第一阶段的权限控制方法的流程图,该方法可以包括:
步骤211,网络管理设备接收用于创建租户的创建消息。
具体的,当管理员需要创建新的租户时,管理员可以登录到网络管理设备,并在网络管理设备上下发用于创建该租户的创建消息。
步骤212,网络管理设备在数据库中记录该租户的认证信息与该租户的标识信息的对应关系,并在配置文件中记录该标识信息与该租户的租户权限数据的对应关系。其中,该认证信息可以包括但不限于用户名称和密码,该标识信息可以包括但不限于UUID(Universally Unique Identifier,通用唯一识别码)。
在一个例子中,针对“在数据库中记录该租户的认证信息与该租户的标识信息的对应关系,并在配置文件中记录该标识信息与该租户的租户权限数据的对应关系”的过程,可以包括但不限于:从该创建消息中解析出该租户对应的认证信息、功能标识和网络标识;为该租户分配唯一的标识信息,并在数据库中记录该认证信息与该标识信息的对应关系;从网络管理设备本地获取与该功能标识、该网络标识对应的数据,并将该数据确定为与该租户对应的租户权限数据;在配置文件中记录该标识信息与该租户权限数据的对应关系。
由于系统中无法采用认证信息直接与租户的权限数据进行关联,因而通过为租户(认证信息)分配唯一的标识信息,一般来说,标识信息为数字类型的标识,通过该标识信息,最终将租户(认证信息)与租户权限数据进行关联。
以下结合一个具体应用场景对上述步骤212的过程进行说明。
当管理员需要创建新租户(如租户A)时,管理员知道这个租户A应该使用的认证信息(如张三+123123),且知道这个租户A应该具有什么权限,例如,假设管理员希望租户A管理Overlay网络1,且租户A只具有查看功能,则知道这个租户A的权限是:针对Overlay网络1的查看功能,因此,管理员知道这个租户A对应的功能标识为查看功能,网络标识为Overlay网络1。综上,管理员可以向网络管理设备下发携带认证信息、功能标识和网络标识的创建消息。
网络管理设备在接收到该创建消息后,可以从该创建消息中解析出租户A的认证信息(如张三+123123)。然后,网络管理设备可以为租户A分配唯一的标识信息,如UUID1。由于租户A的认证信息为张三+123123,租户A的标识信息为UUID1,因此,网络管理设备可以在数据库中记录认证信息(如张三、123123)和标识信息(如UUID1)的对应关系,如表1所示。
表1
| 认证信息 | 标识信息 |
| 张三、123123 | 20170218180506192168100002 |
其中,针对网络管理设备为租户A分配标识信息的过程,网络管理设备可以按照预设策略生成一个UUID,例如,该预设策略可以为当前时间+本设备IP地址的策略,对此预设策略不做限制,只要能够保证UUID具有唯一性即可。
网络管理设备在本地维护着大量数据,这些数据可以通过表2所示结构进行存储,当然,网络管理设备也可以通过其它方式存储数据,对此不做限制,只要基于网络标识和功能标识能够找到对应数据即可,后续以表2为例。
表2
| 网络标识 | 功能标识 | 数据 |
| Overlay网络1 | 查看功能 | 数据A1 |
| Overlay网络1 | 配置功能 | 数据B1 |
| Overlay网络1 | 增加功能 | 数据C1 |
| Overlay网络2 | 查看功能 | 数据D1 |
| Overlay网络2 | 配置功能 | 数据E1 |
通过表2可以看出,数据A1是针对Overlay网络1的数据,而且通过数据A1,管理员可以实现查看功能。同理,数据B1是针对Overlay网络1的数据,而且通过数据B1,管理员可以实现配置功能。以此类推,对于其它数据不再赘述。
由于该创建消息还携带功能标识(例如,查看功能)和网络标识(例如,Overlay网络1),因此,网络管理设备还可以从创建消息中解析出查看功能和Overlay网络1。然后,通过查看功能和Overlay网络1查询表2所示的对应关系时,得到与查看功能和Overlay网络1对应的数据为数据A1。然后,网络管理设备就可以将数据A1确定为与当前正在创建的租户(即租户A)所对应的租户权限数据。
经过上述处理过程,网络管理设备就可以为租户A分配的标识信息为UUID1,且与租户A对应的租户权限数据为数据A1,因此,网络管理设备可以在配置文件中记录标识信息(UUID1)与租户权限数据(数据A1)的对应关系。
在一个例子中,数据库用于记录经过授权的合法租户的认证信息,基于此,在数据库中记录认证信息(如张三、123123)和标识信息(如UUID1)的对应关系之后,就表示租户可以使用认证信息(如张三、123123)成功登录。而且,配置文件用于记录经过授权的合法租户的租户权限数据,基于此,在配置文件中记录标识信息(UUID1)与租户权限数据(数据A1)的对应关系之后,就表示与标识信息(UUID1)对应的租户,可以访问到租户权限数据(数据A1)。
对于网络管理设备在本地维护的数据,在另一种实施方式中,网络管理设备保存有网络标识以及该网络标识对应的数据之间的对应关系,即可以不保存功能标识。则相应的,管理员可以按照租户的功能需求,触发网络管理设备向租户管理设备发送使能配置文件,以配置租户管理设备具备与功能需求对应的功能权限。举例来说,功能权限可以为:具有查看与租户对应的overlay网络的权限,和/或增加overlay网络中网络设备的权限等。
步骤213,网络管理设备将认证信息发送给租户管理设备。
步骤214,租户管理设备在接收到该认证信息后,将该认证信息提供给租户,以使租户利用该认证信息登录到租户管理设备。
其中,租户管理设备将认证信息提供给租户的方式包括但不限于:
通过短信方式将认证信息发送到租户的设备,通过邮件方式将认证信息发送到租户的设备,通过微信方式将认证信息发送到租户的设备,通过QQ方式将认证信息发送到租户的设备,对此方式不做限制,只要能够将认证信息提供给租户即可。
在一个例子中,网络管理设备将认证信息添加到REST(Representational StateTransfer,表述性状态传递)接口类型的消息中,并将REST接口类型的消息发送给租户管理设备,租户管理设备在接收到REST接口类型的消息之后,可以从REST接口类型的消息中解析出认证信息。当然,网络管理设备也可以将该认证信息添加到其它类型的消息中,只要网络管理设备和租户管理设备均支持该其它类型的消息即可,对此携带认证信息的消息的格式不做限制。
其中,REST接口类型的消息是指通过REST接口发送或者接收的消息。例如,租户管理设备可以通过REST接口发送消息,且网络管理设备可以向租户管理设备的REST接口发送消息,即租户管理设备可以通过该REST接口接收网络管理设备发送的消息。
参见图2B所示,为第二阶段的权限控制方法的流程图,该方法可以包括:
步骤221,租户管理设备在接收到租户的登录消息后,查询数据库中是否包含该登录消息携带的认证信息;如果否,执行步骤222,如果是,执行步骤223。
在一个例子中,租户管理设备可以向租户显示登录界面,该登录界面可以包括用户名称选项、密码选项,租户可以在用户名称选项输入用户名称,如“张三”,在密码选项输入密码,如“123123”。这样,就可以在租户管理设备上下发登录消息,且租户管理设备可以从登录消息中解析出“张三”、“123123”。
然后,租户管理设备查询数据库中是否包含该认证信息(张三、123123)。如果否,则说明租户输入的认证信息错误,不允许租户登录,执行步骤222;如果是,则说明租户输入的认证信息正确,允许租户登录,并执行步骤223。
步骤222,租户管理设备拒绝租户登录到本租户管理设备。
步骤223,租户管理设备向网络管理设备发送管理消息。
步骤224,网络管理设备在接收到该管理消息后,通过该管理消息关联的标识信息查询配置文件,得到与该标识信息对应的租户权限数据。
在一个例子中,租户管理设备在向网络管理设备发送管理消息时,该管理消息可以携带认证信息,网络管理设备在接收到该管理消息后,先从数据库中查询到与该认证信息对应的标识信息,并将该标识信息确定为与管理消息关联的标识信息。在另一个例子中,租户管理设备在向网络管理设备发送管理消息时,先从数据库中查询到与认证信息对应的标识信息,并将该标识信息添加到管理消息;这样,网络管理设备在接收到该管理消息后,直接将管理消息携带的标识信息确定为与管理消息关联的标识信息,而不用查询数据库。
在一个例子中,该管理消息可以包括但不限于REST接口类型的消息。当然,在实际应用中,该管理消息也可以为其它类型的消息,对此不做限制。
在一个例子中,针对“网络管理设备通过标识信息查询配置文件,得到与该标识信息对应的租户权限数据”的过程,假设与管理消息关联的标识信息为UUID1,且在配置文件中记录有标识信息(UUID1)与租户权限数据(数据A1)的对应关系,则通过查询配置文件,可以得到租户权限数据为数据A1。
步骤225,网络管理设备将该租户权限数据发送给租户管理设备。
步骤226,租户管理设备接收该租户权限数据,并将该租户权限数据提供给租户,由租户利用该租户权限数据对自身Overlay网络进行管理。
在一个例子中,网络管理设备可以通过REST接口类型的消息将租户权限数据发送给租户管理设备,而且,租户管理设备也可以通过REST接口类型的消息接收租户权限数据。当然,在实际应用中,网络管理设备也可以将租户权限数据添加到其它类型的消息中,只要租户管理设备和网络管理设备均支持该其它类型的消息即可,对此携带租户权限数据的消息的格式不做详加限制。
在一个例子中,针对“租户管理设备接收该租户权限数据,并将该租户权限数据提供给租户”的过程,可以包括但不限于如下方式:
租户管理设备接收网络管理设备返回的租户权限数据,并获取该租户权限数据对应的功能标识。若该租户权限数据对应一个功能标识,则将该租户权限数据提供给租户。若该租户权限数据对应多个功能标识,则将多个功能标识提供给租户,以使租户从这多个功能标识中选择至少一个功能标识;租户管理设备接收携带至少一个功能标识的查询消息,并将至少一个功能标识对应的租户权限数据提供给租户。
例如,网络管理设备在向租户管理设备发送租户权限数据时,还可以将租户权限数据对应的功能标识发送给租户管理设备,这样,租户管理设备可以获取到租户权限数据对应的功能标识。以租户权限数据对应多个功能标识(如查看功能和配置功能)为例,租户管理设备可以将多个功能标识提供给租户。若租户希望实现查看功能,可以选择功能标识(查看功能),租户管理设备在接收到携带功能标识(查看功能)的查询消息后,可以将功能标识(如查看功能)对应的数据A1提供给租户,由租户利用数据A1对自身Overlay网络进行管理。
当然,为了使租户管理设备能够实现相应的功能,例如查看功能、增加功能等,租户管理设备中存储有与功能标识对应的使能配置文件,利用该使能配置文件对租户管理设备进行配置,以使得其具备相应的功能,这里如何使能各种功能的在此不再赘述。
基于上述技术方案,本申请实施例中,可以将租户权限数据提供给租户,以使租户根据该租户权限数据对自己的Overlay网络进行管理,不用管理员管理所有的Overlay网络,从而可以减轻管理员的工作量,并提高租户的感受。
而且,提供给租户的租户权限数据只包括针对该租户的Overlay网络的数据,而不会包含其它租户的Overlay网络的数据,从而避免该租户获取到其它Overlay网络的数据,避免对其它Overlay网络造成数据泄密和安全隐患。
而且,提供给租户的租户权限数据只能够实现某些功能,而不能实现全部功能,从而可以控制租户的权限,避免租户随意对自己的Overlay网络进行修改,导致Overlay网络出现异常。例如,全部功能可以包括增加功能、删除功能、查看功能、配置功能,而提供给租户的租户权限数据只能够实现查看功能,使得租户只具有查看功能而不具有其它功能,从而可以控制租户的权限。
而且,通过将租户权限数据提供给租户,使得租户可以有效管理权限内的Overlay网络资源。例如,提供给租户的权限数据可以包括VXLAN配置数据,基于此VXLAN配置数据,租户可以进行VXLAN的相关管理。提供给租户的权限数据可以包括网络拓扑数据,基于此网络拓扑数据,租户可以查看拓扑。
以下结合图3所示的应用场景,对上述方案进行详细说明。网络管理设备和租户管理设备可以是两个独立设备,也可以是两个功能模块,部署在同一个设备上,如网络管理设备和租户管理设备作为功能模块,均部署在智能管理中心(传统方式中,只包括网络管理设备,而不包括租户管理设备,且网络管理设备部署在智能管理中心)。后续以网络管理设备和租户管理设备是两个独立的设备为例,此外,网络管理设备和租户管理设备还可以共同使用一个数据库,其中该数据库可以设置于网络管理设备中,当然也可以独立于网络管理设备,对此并不加以限定。
在上述应用场景下,该权限控制方法可以包括以下步骤:
步骤1、当需要创建租户A时,管理员登录到网络管理设备,并下发用于创建租户A的创建消息,该创建消息可以携带认证信息、功能标识和网络标识。
步骤2、网络管理设备从该创建消息中解析出认证信息(如张三、123123)、功能标识(如查看功能和配置功能)和网络标识(如Overlay网络1)。
步骤3、网络管理设备为租户A生成标识信息,如UUID1,并在数据库中记录该认证信息(如张三、123123)与该标识信息(UUID1)之间的对应关系。
步骤4、网络管理设备基于表2获取查看功能、Overlay网络1对应的数据A1、配置功能、Overlay网络1对应的数据B1,数据A1和数据B1为租户权限数据。
步骤5、由于租户A对应标识信息(UUID1)、且租户A对应租户权限数据(如数据A1和数据B1),因此,网络管理设备可以在配置文件中记录标识信息(UUID1)与租户权限数据(如数据A1和数据B1)之间的对应关系。
步骤6、网络管理设备将认证信息(如张三、123123)发送给租户管理设备。
步骤7、租户管理设备在接收到认证信息后,将认证信息提供给租户。
在一个例子中,若管理员提供的用户名称具有唯一性,则租户管理设备在接收到认证信息(如张三、123123)后,将认证信息(如张三、123123)提供给租户。在另一个例子中,若管理员提供的用户名称不具有唯一性,则租户管理设备在接收到认证信息(如张三、123123)后,还可以为租户A分配唯一的账户名称,如张三.123456,并将该账户名称(如张三.123456)更新到数据库中,如在数据库记录认证信息(如张三、123123、张三.123456)与该标识信息(UUID1)之间的对应关系,将更新后的认证信息(如张三.123456、123123)提供给租户。
步骤8、租户登录到租户管理设备,并在租户管理设备上下发登录消息。
步骤9、租户管理设备从登录消息中解析出认证信息(如张三、123123)。
步骤10、若数据库中包含该认证信息(如张三、123123),则租户管理设备从数据库中获得该认证信息对应的标识信息(UUID1)。
步骤11、租户管理设备向网络管理设备发送携带该标识信息的管理消息。
步骤12、网络管理设备通过该标识信息(UUID1)查询配置文件,得到与该标识信息对应的租户权限数据(如数据A1和数据B1)。
步骤13、网络管理设备将该租户权限数据发送给租户管理设备。
步骤14、租户管理设备接收租户权限数据,并将租户权限数据提供给租户。
在另一个例子中,当租户已经确定了其对应的权限数据的基础上,租户在租户管理设备上下发的登录消息还可以携带功能标识(如查看功能),与请求权限的过程类似,但与上述步骤不同的是:
在步骤9中,租户管理设备还可以从登录消息中解析出功能标识(如查看功能)。
在步骤11中,租户管理设备向网络管理设备发送的管理消息还携带功能标识(如查看功能)。
在步骤12中,网络管理设备通过标识信息(UUID1)和功能标识(如查看功能)查询配置文件,得到的租户权限数据为数据A1,即租户权限数据只包括功能标识(如查看功能)对应的数据A1,而不包括功能标识(如配置功能)对应的数据B1。
基于与上述方法同样的申请构思,本申请实施例还提供一种权限控制装置,该权限控制装置应用在网络管理设备。该权限控制装置可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在的网络管理设备的处理器,读取非易失性存储器中对应的计算机程序指令形成的。从硬件层面而言,如图4所示,为本申请提出的权限控制装置所在的网络管理设备的一种硬件结构图,除了图4所示的处理器、非易失性存储器外,网络管理设备还可以包括其他硬件,如负责处理报文的转发芯片、网络接口、内存等;从硬件结构上来讲,该网络管理设备还可能是分布式设备,可能包括多个接口卡,以便在硬件层面进行报文处理的扩展。
如图5所示,为本申请提出的权限控制装置的结构图,该装置包括:
接收模块11,用于接收来自租户管理设备的管理消息;
获得模块12,用于通过所述管理消息关联的标识信息查询配置文件,得到与所述标识信息对应的租户权限数据;其中,所述配置文件用于记录标识信息与租户权限数据的对应关系;
发送模块13,用于将所述租户权限数据发送给所述租户管理设备,以使所述租户管理设备将所述租户权限数据提供给租户,由所述租户利用所述租户权限数据对自身Overlay网络进行管理。
所述接收模块11,还用于接收用于创建租户的创建消息;
所述权限控制装置还包括(在图中未体现):记录模块,用于在数据库中记录所述租户的认证信息与所述租户的标识信息的对应关系,并在配置文件中记录所述标识信息与所述租户的租户权限数据的对应关系;
所述发送模块13,还用于将所述认证信息发送给租户管理设备,以使所述租户管理设备将所述认证信息提供给租户,由所述租户利用所述认证信息登录到租户管理设备。
在一个例子中,在数据库中记录所述租户的认证信息与所述租户的标识信息的对应关系,并在配置文件中记录所述标识信息与所述租户的租户权限数据的对应关系的过程中:所述记录模块,具体用于从所述创建消息中解析出所述租户对应的认证信息、功能标识和网络标识;为所述租户分配唯一的标识信息,并在数据库中记录所述认证信息与所述标识信息的对应关系;其中,所述标识信息包括通用唯一识别码UUID;从所述网络管理设备本地获取与所述功能标识、所述网络标识对应的数据,将所述数据确定为与所述租户对应的租户权限数据;在配置文件中记录所述标识信息与所述租户权限数据的对应关系。
在一个例子中,所述接收模块11接收的所述管理消息具体为表述性状态传递REST接口类型的消息,所述发送模块13通过REST接口类型的消息将租户权限数据发送给租户管理设备,所述发送模块13通过REST接口类型的消息将认证信息发送给租户管理设备。
基于与上述方法同样的申请构思,本申请实施例还提供一种权限控制装置,该权限控制装置应用在租户管理设备。该权限控制装置可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在的租户管理设备的处理器,读取非易失性存储器中对应的计算机程序指令形成的。从硬件层面而言,如图6所示,为本申请提出的权限控制装置所在的租户管理设备的一种硬件结构图,除了图6所示的处理器、非易失性存储器外,租户管理设备还可以包括其他硬件,如负责处理报文的转发芯片、网络接口、内存等;从硬件结构上来讲,该租户管理设备还可能是分布式设备,可能包括多个接口卡,以便在硬件层面进行报文处理的扩展。
如图7所示,为本申请提出的权限控制装置的结构图,该装置包括:
查询模块21,用于在接收到租户的登录消息后,查询数据库中是否包含所述登录消息携带的认证信息;所述数据库用于记录允许登录的认证信息;
登录处理模块22,用于当数据中未包含所述认证信息时,则拒绝所述租户登录到本租户管理设备;
发送模块23,用于当数据库中已包含所述认证消息时,则向网络管理设备发送管理消息,以使所述网络管理设备根据所述管理消息从配置文件中获取所述租户的租户权限数据;其中,所述配置文件用于记录经过授权的租户的租户权限数据;
接收模块24,用于接收所述网络管理设备返回的租户权限数据;
所述发送模块23,还用于将所述租户权限数据提供给租户,以使所述租户利用所述租户权限数据对自身Overlay网络进行管理。
在一个例子中,所述发送模块23发送的所述管理消息具体为表述性状态传递REST接口类型的消息,所述接收模块24通过REST接口类型的消息接收网络管理设备返回的租户权限数据。
在一个例子中,所述发送模块23,具体用于在将所述租户权限数据提供给租户的过程中,获取租户权限数据的功能标识;若所述租户权限数据对应一个功能标识,将所述租户权限数据提供给租户;若所述租户权限数据对应多个功能标识,将所述多个功能标识提供给租户,以使租户从所述多个功能标识中选择至少一个功能标识;接收携带至少一个功能标识的查询消息,将所述至少一个功能标识对应的租户权限数据提供给租户。
上述实施例阐明的系统、装置、模块或单元,具体可以由计算机芯片或实体实现,或者由具有某种功能的产品来实现。一种典型的实现设备为计算机,计算机的具体形式可以是个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件收发设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任意几种设备的组合。
为了描述的方便,描述以上装置时以功能分为各种单元分别描述。当然,在实施本申请时可以把各单元的功能在同一个或多个软件和/或硬件中实现。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可以由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其它可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其它可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
而且,这些计算机程序指令也可以存储在能引导计算机或其它可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或者多个流程和/或方框图一个方框或者多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其它可编程数据处理设备上,使得在计算机或者其它可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其它可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
本领域技术人员应明白,本申请的实施例可提供为方法、系统或计算机程序产品。因此,本申请可以采用完全硬件实施例、完全软件实施例、或者结合软件和硬件方面的实施例的形式。而且,本申请可以采用在一个或者多个其中包含有计算机可用程序代码的计算机可用存储介质(可以包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
以上所述仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。
Claims (14)
1.一种权限控制方法,应用于网络管理设备,其特征在于,该方法包括:
接收来自租户管理设备的管理消息;
通过管理消息关联的标识信息查询配置文件,得到与所述标识信息对应的租户权限数据;所述配置文件用于记录标识信息与租户权限数据的对应关系;
将所述租户权限数据发送给租户管理设备,以使租户管理设备将所述租户权限数据提供给租户,由租户利用租户权限数据对自身Overlay网络进行管理。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
接收用于创建租户的创建消息;
在数据库中记录所述租户的认证信息与所述租户的标识信息的对应关系,并在配置文件中记录所述标识信息与所述租户的租户权限数据的对应关系;
将所述认证信息发送给租户管理设备,以使所述租户管理设备将所述认证信息提供给租户,由所述租户利用所述认证信息登录到租户管理设备。
3.根据权利要求2所述的方法,其特征在于,所述在数据库中记录所述租户的认证信息与所述租户的标识信息的对应关系,并在配置文件中记录所述标识信息与所述租户的租户权限数据的对应关系的过程,具体包括:
从所述创建消息中解析出所述租户对应的认证信息、功能标识和网络标识;
为所述租户分配唯一的标识信息,并在数据库中记录所述认证信息与所述标识信息的对应关系;其中,所述标识信息包括通用唯一识别码UUID;
从所述网络管理设备本地获取与所述功能标识、所述网络标识对应的数据,并将所述数据确定为与所述租户对应的租户权限数据;
在配置文件中记录所述标识信息与所述租户权限数据的对应关系。
4.根据权利要求1-3任一项所述的方法,其特征在于,
所述管理消息具体为表述性状态传递REST接口类型的消息,所述网络管理设备通过REST接口类型的消息将租户权限数据发送给租户管理设备,所述网络管理设备通过REST接口类型的消息将认证信息发送给租户管理设备。
5.一种权限控制方法,应用于租户管理设备,其特征在于,该方法包括:
在接收到租户的登录消息后,查询数据库中是否包含所述登录消息携带的认证信息;其中,所述数据库用于记录允许登录的认证信息;
如果否,则拒绝所述租户登录到本租户管理设备;
如果是,则向网络管理设备发送管理消息,以使所述网络管理设备根据所述管理消息从配置文件中获取所述租户的租户权限数据;其中,所述配置文件用于记录经过授权的租户的租户权限数据;
接收所述网络管理设备返回的租户权限数据,并将所述租户权限数据提供给租户,以使所述租户利用所述租户权限数据对自身Overlay网络进行管理。
6.根据权利要求5所述的方法,其特征在于,
所述管理消息具体为表述性状态传递REST接口类型的消息,所述租户管理设备通过REST接口类型的消息接收网络管理设备返回的租户权限数据。
7.根据权利要求5所述的方法,其特征在于,所述接收所述网络管理设备返回的租户权限数据,并将所述租户权限数据提供给租户的过程,具体包括:
接收网络管理设备返回的租户权限数据,并获取租户权限数据的功能标识;
若所述租户权限数据对应一个功能标识,将所述租户权限数据提供给租户;
若所述租户权限数据对应多个功能标识,将所述多个功能标识提供给租户,以使租户从所述多个功能标识中选择至少一个功能标识;接收携带至少一个功能标识的查询消息,将所述至少一个功能标识对应的租户权限数据提供给租户。
8.一种权限控制装置,应用于网络管理设备,其特征在于,该装置包括:
接收模块,用于接收来自租户管理设备的管理消息;
获得模块,用于通过所述管理消息关联的标识信息查询配置文件,得到与所述标识信息对应的租户权限数据;其中,所述配置文件用于记录标识信息与租户权限数据的对应关系;
发送模块,用于将所述租户权限数据发送给所述租户管理设备,以使所述租户管理设备将所述租户权限数据提供给租户,由所述租户利用所述租户权限数据对自身Overlay网络进行管理。
9.根据权利要求8所述的装置,其特征在于,
所述接收模块,还用于接收用于创建租户的创建消息;
所述权限控制装置还包括:记录模块,用于在数据库中记录所述租户的认证信息与所述租户的标识信息的对应关系,并在配置文件中记录所述标识信息与所述租户的租户权限数据的对应关系;
所述发送模块,还用于将所述认证信息发送给租户管理设备,以使所述租户管理设备将所述认证信息提供给租户,由所述租户利用所述认证信息登录到租户管理设备。
10.根据权利要求9所述的装置,其特征在于,在数据库中记录所述租户的认证信息与所述租户的标识信息的对应关系,并在配置文件中记录所述标识信息与所述租户的租户权限数据的对应关系的过程中:
所述记录模块,具体用于从所述创建消息中解析出所述租户对应的认证信息、功能标识和网络标识;为所述租户分配唯一的标识信息,并在数据库中记录所述认证信息与所述标识信息的对应关系;其中,所述标识信息包括通用唯一识别码UUID;从所述网络管理设备本地获取与所述功能标识、所述网络标识对应的数据,并将所述数据确定为与所述租户对应的租户权限数据;在配置文件中记录所述标识信息与所述租户权限数据的对应关系。
11.根据权利要求8-10任一项所述的装置,其特征在于,所述接收模块接收的所述管理消息具体为表述性状态传递REST接口类型的消息,所述发送模块通过REST接口类型的消息将租户权限数据发送给租户管理设备,所述发送模块通过REST接口类型的消息将认证信息发送给租户管理设备。
12.一种权限控制装置,应用于租户管理设备,其特征在于,该装置包括:
查询模块,用于在接收到租户的登录消息后,查询数据库中是否包含所述登录消息携带的认证信息;其中,所述数据库用于记录允许登录的认证信息;
登录处理模块,用于当数据中未包含所述认证信息时,则拒绝所述租户登录到本租户管理设备;
发送模块,用于当数据库中已包含所述认证消息时,则向网络管理设备发送管理消息,以使所述网络管理设备根据所述管理消息从配置文件中获取所述租户的租户权限数据;其中,所述配置文件用于记录经过授权的租户的租户权限数据;
接收模块,用于接收所述网络管理设备返回的租户权限数据;
所述发送模块,还用于将所述租户权限数据提供给租户,以使所述租户利用所述租户权限数据对自身Overlay网络进行管理。
13.根据权利要求12所述的装置,其特征在于,所述发送模块发送的所述管理消息具体为表述性状态传递REST接口类型的消息,所述接收模块通过REST接口类型的消息接收网络管理设备返回的租户权限数据。
14.根据权利要求12所述的装置,其特征在于,所述发送模块,具体用于在将所述租户权限数据提供给租户的过程中,获取租户权限数据的功能标识;若所述租户权限数据对应一个功能标识,将所述租户权限数据提供给租户;若所述租户权限数据对应多个功能标识,将所述多个功能标识提供给租户,以使租户从所述多个功能标识中选择至少一个功能标识;接收携带至少一个功能标识的查询消息,将所述至少一个功能标识对应的租户权限数据提供给租户。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710114265.8A CN106878084B (zh) | 2017-02-28 | 2017-02-28 | 一种权限控制方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710114265.8A CN106878084B (zh) | 2017-02-28 | 2017-02-28 | 一种权限控制方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106878084A true CN106878084A (zh) | 2017-06-20 |
| CN106878084B CN106878084B (zh) | 2020-03-06 |
Family
ID=59169002
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710114265.8A Active CN106878084B (zh) | 2017-02-28 | 2017-02-28 | 一种权限控制方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106878084B (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107566361A (zh) * | 2017-08-26 | 2018-01-09 | 杭州之图网络科技有限公司 | 一种访问权限处理方法及其客户端和服务器 |
| CN111770128A (zh) * | 2020-02-07 | 2020-10-13 | 北京沃东天骏信息技术有限公司 | 一种消息管理方法和装置 |
| CN112507310A (zh) * | 2020-12-05 | 2021-03-16 | 广州技象科技有限公司 | 一种楼宇物联网管理方法、装置、设备及存储介质 |
| CN114726629A (zh) * | 2022-04-12 | 2022-07-08 | 树根互联股份有限公司 | 权限配置方法、系统、装置、电子设备及可读存储介质 |
| WO2022228339A1 (zh) * | 2021-04-30 | 2022-11-03 | 华为技术有限公司 | 一种通信方法、装置及设备 |
| WO2023273059A1 (zh) * | 2021-06-30 | 2023-01-05 | 成都商汤科技有限公司 | 设备监控方法、系统、装置、计算机设备和存储介质 |
| WO2023051189A1 (zh) * | 2021-09-30 | 2023-04-06 | 华为技术有限公司 | 一种管理服务的通信方法和装置 |
| WO2023231631A1 (zh) * | 2022-05-30 | 2023-12-07 | 华为技术有限公司 | 认证方法及通信装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1889452A (zh) * | 2005-07-21 | 2007-01-03 | 华为技术有限公司 | 通用网管安全管理系统及其方法 |
| CN104301149A (zh) * | 2014-10-27 | 2015-01-21 | 浪潮(北京)电子信息产业有限公司 | 一种多数据中心权限管理方法及系统 |
| CN104717176A (zh) * | 2013-12-11 | 2015-06-17 | 华为技术有限公司 | 一种权限控制方法、系统及服务器 |
| US20160211978A1 (en) * | 2014-02-25 | 2016-07-21 | Amazon Technologies, Inc. | Provisioning digital certificates in a network environment |
| CN105871906A (zh) * | 2016-05-26 | 2016-08-17 | 汉柏科技有限公司 | 一种多租户安全业务的管理方法及安全网关 |
-
2017
- 2017-02-28 CN CN201710114265.8A patent/CN106878084B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1889452A (zh) * | 2005-07-21 | 2007-01-03 | 华为技术有限公司 | 通用网管安全管理系统及其方法 |
| CN104717176A (zh) * | 2013-12-11 | 2015-06-17 | 华为技术有限公司 | 一种权限控制方法、系统及服务器 |
| US20160211978A1 (en) * | 2014-02-25 | 2016-07-21 | Amazon Technologies, Inc. | Provisioning digital certificates in a network environment |
| CN104301149A (zh) * | 2014-10-27 | 2015-01-21 | 浪潮(北京)电子信息产业有限公司 | 一种多数据中心权限管理方法及系统 |
| CN105871906A (zh) * | 2016-05-26 | 2016-08-17 | 汉柏科技有限公司 | 一种多租户安全业务的管理方法及安全网关 |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107566361A (zh) * | 2017-08-26 | 2018-01-09 | 杭州之图网络科技有限公司 | 一种访问权限处理方法及其客户端和服务器 |
| CN111770128A (zh) * | 2020-02-07 | 2020-10-13 | 北京沃东天骏信息技术有限公司 | 一种消息管理方法和装置 |
| CN111770128B (zh) * | 2020-02-07 | 2022-09-30 | 北京沃东天骏信息技术有限公司 | 一种消息管理方法和装置 |
| CN112507310A (zh) * | 2020-12-05 | 2021-03-16 | 广州技象科技有限公司 | 一种楼宇物联网管理方法、装置、设备及存储介质 |
| CN112507310B (zh) * | 2020-12-05 | 2024-03-29 | 广州技象科技有限公司 | 一种楼宇物联网管理方法、装置、设备及存储介质 |
| WO2022228339A1 (zh) * | 2021-04-30 | 2022-11-03 | 华为技术有限公司 | 一种通信方法、装置及设备 |
| WO2023273059A1 (zh) * | 2021-06-30 | 2023-01-05 | 成都商汤科技有限公司 | 设备监控方法、系统、装置、计算机设备和存储介质 |
| WO2023051189A1 (zh) * | 2021-09-30 | 2023-04-06 | 华为技术有限公司 | 一种管理服务的通信方法和装置 |
| CN114726629A (zh) * | 2022-04-12 | 2022-07-08 | 树根互联股份有限公司 | 权限配置方法、系统、装置、电子设备及可读存储介质 |
| CN114726629B (zh) * | 2022-04-12 | 2024-03-12 | 树根互联股份有限公司 | 权限配置方法、系统、装置、电子设备及可读存储介质 |
| WO2023231631A1 (zh) * | 2022-05-30 | 2023-12-07 | 华为技术有限公司 | 认证方法及通信装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106878084B (zh) | 2020-03-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106878084A (zh) | 一种权限控制方法和装置 | |
| CN109522735B (zh) | 一种基于智能合约的数据权限验证方法及装置 | |
| US20220051240A1 (en) | Transferring cryptocurrency from a remote limited access wallet | |
| CN106506521B (zh) | 资源访问控制方法和装置 | |
| US10250613B2 (en) | Data access method based on cloud computing platform, and user terminal | |
| CN109361517A (zh) | 一种基于云计算的虚拟化云密码机系统及其实现方法 | |
| CN108293045A (zh) | 本地和远程系统之间的单点登录身份管理 | |
| CN108632074A (zh) | 一种业务配置文件下发方法和装置 | |
| CN110048855B (zh) | 国密算法的引入方法及调用方法、及装置、设备、Fabric平台 | |
| CN110572258B (zh) | 一种云密码计算平台及计算服务方法 | |
| CN107736001A (zh) | 设备的动态组成员身份 | |
| CN109691057A (zh) | 经由私人内容分发网络可交换地取回敏感内容 | |
| CN107153565A (zh) | 配置资源的方法及其网络设备 | |
| CN109587101A (zh) | 一种数字证书管理方法、装置及存储介质 | |
| JP2017535896A (ja) | デバイス間にわたるコンテンツワイプアクションのローミング | |
| CN105530246A (zh) | 虚拟机管理的方法、装置和系统 | |
| WO2014149490A4 (en) | Secure end-to-end permitting system for device operations | |
| CN104935599B (zh) | 一种通用权限控制管理方法及系统 | |
| CN106462423A (zh) | 用于通过基于web的场境集成web和本地应用的系统和方法 | |
| CN104361469A (zh) | 一种基于云平台的人力资源管理和就业系统 | |
| CN106716968A (zh) | 账户管理方法、装置及账户管理系统 | |
| WO2020056996A1 (zh) | 管理捐款信息的方法、装置、计算机设备及存储介质 | |
| WO2021164194A1 (zh) | 一种基于区块链的积分管理方法及相关装置 | |
| CN105871880A (zh) | 一种云环境下基于信任模型的跨租户访问控制方法 | |
| CN106506515A (zh) | 一种认证方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |