CN113225296B - 一种权限管理的方法及装置 - Google Patents
一种权限管理的方法及装置 Download PDFInfo
- Publication number
- CN113225296B CN113225296B CN202010070662.1A CN202010070662A CN113225296B CN 113225296 B CN113225296 B CN 113225296B CN 202010070662 A CN202010070662 A CN 202010070662A CN 113225296 B CN113225296 B CN 113225296B
- Authority
- CN
- China
- Prior art keywords
- user
- atomic object
- authority
- maintenance system
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Telephonic Communication Services (AREA)
Abstract
本申请涉及通信技术领域,公开了一种权限管理的方法及装置,用以实现标准化的对象权限控制,保证操作行为的安全性。运维系统可以根据第一原子对象的权限信息,确定所述第一用户是否具有对所述第一原子对象执行第一操作的权限。如果运维系统确定所述第一用户具有对所述第一原子对象执行所述第一操作的权限,则可以向第一设备发送第一消息,所述第一消息用于请求对所述第一原子对象执行所述第一操作。运维系统可以确定用户是否具有对某个原子对象执行某种操作权限,只有在具有权限时,才会向设备发送消息请求对原子对象执行操作,在不具有权限时,不向设备发送消息,可以在一定程度上保证操作行为的安全性,保证网络安全。
Description
技术领域
本申请涉及通信技术领域,尤其涉及一种权限管理的方法及装置。
背景技术
网络配置协议(network configuration protocol,NETCONF)是一种基于可扩展标记语言(extensible markup language,XML)的网络管理协议。近年来,YANG(YetAnother Next Generation)数据建模语言(data modeling language)被国际互联网工程任务组(the internet engineering task force,IETF)作为标准的NETCONF数据建模语言。它不仅可以建立配置数据的模型(model configuration data),还可以建立各种操作和通知的模型,具有良好的可读性和可扩展性。目前,YANG语言可以对NETCONF协议的内容层、操作层和消息层进行数据建模。
然而,当前标准YANG不具备权限定义能力,无法保证操作行为的安全性。
发明内容
本申请实施例提供一种权限管理的方法及装置,实现标准化的对象权限控制,保证操作行为的安全性。
第一方面,提供了一种权限管理的方法,运维系统或者第三方中可以保存原子对象的权限信息。运维系统可以根据第一原子对象的权限信息,确定所述第一用户是否具有对所述第一原子对象执行第一操作的权限。如果运维系统确定所述第一用户具有对所述第一原子对象执行所述第一操作的权限,则可以向第一设备发送第一消息,所述第一消息用于请求对所述第一原子对象执行所述第一操作。
运维系统可以确定用户是否具有对某个原子对象执行某种操作的权限,只有在具有权限时,才会向设备发送消息请求对原子对象执行操作。在不具有权限时,不向设备发送消息。这样,可以在一定程度上保证操作行为的安全性,从而保证网络安全。
在一种可能的实现中,所述第一操作包括但不限于增加操作,删除操作,修改操作,查询操作中的任一种。
在一种可能的实现中,所述运维系统可以接收来自所述第一设备的所述第一原子对象的权限信息。
在一种可能的实现中,所述第一原子对象的权限信息包括对所述第一原子对象具有操作权限的用户的类型,以及所述类型的用户对所述第一原子对象具有权限的操作。用户类型例如可以是游客类型、管理员类型等。
在一种可能的实现中,所述运维系统在根据第一原子对象的权限信息,确定登录所述运维系统的第一用户是否具有对所述第一原子对象执行所述第一操作的权限时,可以是先根据对所述第一原子对象具有操作权限的用户的类型,确定所述第一用户的第一类型对所述第一原子对象是否具有操作权限。如果第一类型对所述第一原子对象不具有操作权限,则所述第一用户不具有对所述第一原子对象执行所述第一操作的权限。如果第一类型对所述第一原子对象具有操作权限,则可以再根据第一类型的用户对所述第一原子对象具有权限的操作,确定所述第一类型的用户对所述第一原子对象是否具有所述第一操作的权限,如果具有第一操作的权限,则确定所述第一用户具有对所述第一原子对象执行所述第一操作的权限。
针对各个用户的类型,设置对应的操作权限,后续可以通过用户的类型,准确、简洁、快速地确定出第一用户是否具有对所述第一原子对象执行所述第一操作的权限。
在一种可能的实现中,用户可以通过账户信息登录运维系统,则运维系统可以根据所述第一用户的账户信息,确定所述第一用户的第一类型。
在一种可能的实现中,所述运维系统还可以向所述第一设备发送第五消息,所述第五消息可以包括所述第一用户的第一类型的权限信息,所述第五消息可以用于对所述第一类型的权限信息进行认证。可选的,还可以接收到来自第一设备的响应消息,所述响应消息可以用于指示所述第一类型的权限信息认证通过或未认证通过。
运维系统向第一设备认证某种用户的类型的权限信息,这样可以使运维系统和第一设备针对该用户的类型保存相同的权限信息,以进一步保证网络安全。
在一种可能的实现中,所述运维系统向所述第一设备发送的第五消息可以是Netconf消息。进一步地,运维系统接收到的第五消息的响应消息也可以是Netconf消息。
运维系统要想管理第一设备中的原子对象,可以先向第一设备进行认证接入。一般情况下,运维系统通过Netconf消息向第一设备进行认证接入,在此实施例中,通过在Netconf消息中携带第一类型的权限信息,在认证运维系统的同时,也对权限信息进行认证,可以减少信令开销。
在一种可能的实现中,通过yang模型的标签指示所述第一原子对象的权限信息。例如yang模型的标签包括用户的类型标签和操作标签,所述用户的类型标签用于标识对所述第一原子对象具有操作权限的用户的类型,所述操作标签用于标识对所述第一原子对象具有操作权限的用户的类型的用户对所述第一原子对象具有权限的操作。
通过标准的yang模型表达权限信息,使得原子对象的权限信息模型化、标准化和自动化。更方便管理数据模型以及方便外部系统/工具的理解与对接。
第二方面,提供了一种权限管理的方法,第一设备可以向运维系统发送第一原子对象的权限信息,所述第一原子对象的权限信息用于确定登录所述运维系统的用户是否具有对所述第一原子对象执行第一操作的权限。进而,第一设备可以接收来自所述运维系统的第一消息,所述第一消息可以用于请求对所述第一原子对象执行第一操作。然后,所述第一设备可以对所述第一原子对象执行所述第一操作。
运维系统可以确定用户是否具有对某个原子对象执行某种操作的权限,只有在具有权限时,才会向第一设备发送消息请求对原子对象执行操作。在不具有权限时,不向第一设备发送消息。这样可以在一定程度上保证网络安全。
在一种可能的实现中,所述第一操作包括但不限于增加操作,删除操作,修改操作,查询操作中的任一种。
在一种可能的实现中,所述第一原子对象的权限信息包括对所述第一原子对象具有操作权限的用户的类型,以及所述类型的用户对所述第一原子对象具有权限的操作。用户类型例如可以是游客类型、管理员类型等。
在一种可能的实现中,所述第一设备还可以接收来自所述运维系统的第五消息,所述第五消息可以包括第一类型的权限信息,所述第五消息可以用于对所述第一类型的权限信息进行认证;所述第一设备根据针对所述运维系统保存的权限信息,认证登录所述运维系统的第一类型的用户是否具有所述第五消息中包括的权限信息;并且所述第一设备向所述运维系统发送所述第五消息的响应消息,所述第五消息的响应消息用于指示所述第一类型的权限信息认证通过或未认证通过。当认证结果为第一类型的用户具有所述第五消息中包括的权限信息时,认证通过;否则,认证未通过。
运维系统向第一设备认证某种用户的类型的权限信息,这样可以使运维系统和第一设备针对该用户的类型保存相同的权限信息,以进一步保证网络安全。
在一种可能的实现中,所述运维系统向所述第一设备发送的第五消息可以是Netconf消息。进一步地,运维系统接收到的第五消息的响应消息也可以是Netconf消息。
运维系统要想管理第一设备中的原子对象,可以先向第一设备进行认证接入。一般情况下,运维系统通过Netconf消息向第一设备进行认证接入,在此实施例中,通过在Netconf消息中携带第一类型的权限信息,在认证运维系统的同时,也对权限信息进行认证,可以减少信令开销。
在一种可能的实现中,通过yang模型的标签指示所述第一原子对象的权限信息。例如yang模型的标签包括用户的类型标签和操作标签,所述用户的类型标签用于标识对所述第一原子对象具有操作权限的用户的类型,所述操作标签用于标识对所述第一原子对象具有操作权限的用户的类型的用户对所述第一原子对象具有权限的操作。
通过标准的yang模型表达权限信息,使得原子对象的权限信息模型化、标准化和自动化。更方便管理数据模型以及方便外部系统/工具的理解与对接。
第三方面,一种权限管理的方法,运维系统可以接收来自第二设备的第二消息,所述第二消息携带更新后的第二原子对象的权限信息。然后所述运维系统可以根据所述第二消息更新所述第二原子对象的权限信息。
设备和运维系统可以更新原子对象的权限信息,进一步提高网络安全。
在一种可能的实现中,运维系统还可以确定是否满足更新第二原子对象的条件,在确定需要更新所述第二原子对象的权限信息时,向所述第二设备发送第三消息,所述第三消息用于指示请求更新的所述第二原子对象的权限信息。进而,所述运维系统可以接收来自第二设备的第二消息,所述第二消息携带更新后的第二原子对象的权限信息。
运维系统可以在确定需要对原子对象的权限信息进行更新时,向第二设备请求能否更新,进一步提高网络安全。
在一种可能的实现中,运维系统在确定登录所述运维系统的第二用户请求允许或禁止所述第二用户对第二原子对象执行第二操作时,可以确定为需要更新所述第二原子对象的权限信息,一般,所述第二操作超出所述第二原子对象的权限信息对应的权限范围。
在一种可能的实现中,运维系统在确定登录所述运维系统的第二用户请求对所述第二原子对象执行第二操作的次数达到设定阈值时,所述第二操作超出所述第二原子对象的权限信息对应的权限范围,可以确定为需要更新所述第二原子对象的权限信息。
在一种可能的实现中,所述运维系统可以根据更新后的第二原子对象的权限信息,确定登录所述运维系统的第四用户是否具有对所述第二原子对象执行第四操作的权限。所述运维系统在确定所述第四用户具有对所述第二原子对象执行第四操作的权限,则可以向所述第二设备发送第四消息,所述第四消息可以用于请求对所述第二原子对象执行所述第四操作。如果所述第四用户不具有对所述第二原子对象执行第四操作的权限,则可以不向第二设备发送执行操作的请求。
在一种可能的实现中,所述第二原子对象的权限信息包括对所述第二原子对象具有操作权限的用户的类型,以及所述类型的用户对所述第二原子对象具有权限的操作。用户类型例如可以是游客类型、管理员类型等。
在一种可能的实现中,通过yang模型的标签指示所述第二原子对象的权限信息。例如yang模型的标签包括用户的类型标签和操作标签,所述用户的类型标签用于标识对所述第二原子对象具有操作权限的用户的类型,所述操作标签用于标识对所述第二原子对象具有操作权限的用户的类型的用户对所述第二原子对象具有权限的操作。
在一种可能的实现中,所述第二消息为Netconf消息。
在一种可能的实现中,所述第三消息为Netconf消息。
第四方面,提供了一种权限管理的方法,第二设备可以确定是否需要更新第二原子对象的权限信息;在确定需要更新第二原子对象的权限信息时,可以向运维系统发送第二消息,所述第二消息携带更新后的第二原子对象的权限信息。
设备和运维系统可以更新原子对象的权限信息,进一步提高网络安全。
在一种可能的实现中,所述第二设备在接收到来自所述运维系统的第三消息,所述第三消息用于指示请求更新的所述第二原子对象的权限信息时,可以确定需要更新第二原子对象的权限信息。
在一种可能的实现中,所述第二设备在确定登录所述第二设备的第三用户请求允许或禁止所述第三用户对第二原子对象执行的第三操作时,可以确定需要更新第二原子对象的权限信息,一般,所述第三操作超出所述第二原子对象的权限信息对应的权限范围。
在一种可能的实现中,所述第二设备可以接收来自所述运维系统的第四消息,所述第四消息可以用于请求对第二原子对象执行第四操作。然后,所述第二设备可以对所述第二原子对象执行第四操作。
在一种可能的实现中,所述第二原子对象的权限信息包括对所述第二原子对象具有操作权限的用户的类型,以及所述类型的用户对所述第二原子对象具有权限的操作。用户类型例如可以是游客类型、管理员类型等。
在一种可能的实现中,通过yang模型的标签指示所述第二原子对象的权限信息。例如yang模型的标签包括用户的类型标签和操作标签,所述用户的类型标签用于标识对所述第二原子对象具有操作权限的用户的类型,所述操作标签用于标识对所述第二原子对象具有操作权限的用户的类型的用户对所述第二原子对象具有权限的操作。
在一种可能的实现中,所述第二消息为Netconf消息。
在一种可能的实现中,所述第三消息为Netconf消息。
第五方面,提供了一种权限管理的装置,所述权限管理具有实现上述第一方面及第一方面任一可能的实现中的功能,或者实现上述第三方面及第三方面任一可能的实现中的功能。这些功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的功能模块。
第六方面,提供了一种权限管理的装置,所述权限管理具有实现上述第二方面及第二方面任一可能的实现中的功能,或者实现上述第四方面及第四方面任一可能的实现中的功能。这些功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的功能模块。
第七方面,提供了一种权限管理的装置,该装置可以为上述方法实施例中的部署运维系统的设备,或者为设置在部署运维系统的设备中的芯片。该装置包括收发器以及处理器,可选的,还包括存储器。其中,该存储器用于存储计算机程序或指令,处理器分别与存储器和收发器耦合,当处理器执行所述计算机程序或指令时,使装置通过所述收发器执行上述第一方面及第一方面任一可能的实现中由运维系统执行的方法,或者第三方面及第三方面任一可能的实现中由运维系统执行的方法。
第八方面,提供了一种权限管理的装置,该装置可以为上述方法实施例中的第一设备/第二设备,或者为设置在第一设备/第二设备中的芯片。该装置包括收发器以及处理器,可选的,还包括存储器。其中,该存储器用于存储计算机程序或指令,处理器分别与存储器和收发器耦合,当处理器执行所述计算机程序或指令时,使装置通过所述收发器执行上述第二方面及第二方面任一可能的实现中由第一设备执行的方法,或者第四方面及第四方面任一可能的实现中由第二设备执行的方法。
第九方面,提供了一种计算机程序产品,所述计算机程序产品包括:计算机程序代码,当所述计算机程序代码在计算机上运行时,使得计算机执行上述第一方面及第一方面任一可能的实现中由运维系统执行的方法,或者第三方面及第三方面任一可能的实现中由运维系统执行的方法。
第十方面,提供了一种计算机程序产品,所述计算机程序产品包括:计算机程序代码,当所述计算机程序代码在计算机上运行时,使得计算机执行上述第二方面及第二方面任一可能的实现中由第一设备执行的方法,或者第四方面及第四方面任一可能的实现中由第一设备执行的方法。
第十一方面,本申请提供了一种芯片系统,该芯片系统包括处理器和存储器,所述处理器、所述存储器之间电耦合;所述存储器,用于存储计算机程序指令;所述处理器,用于执行所述存储器中的部分或者全部计算机程序指令,当所述部分或者全部计算机程序指令被执行时,用于实现上述第一方面及第一方面任一可能的实现的方法中运维系统的功能,或者第三方面及第三方面任一可能的实现的方法中运维系统的功能。
在一种可能的设计中,所述芯片系统还可以包括收发器,所述收发器,用于发送所述处理器处理后的信号,或者接收输入给所述处理器的信号。该芯片系统,可以由芯片构成,也可以包括芯片和其他分立器件。
第十二方面,本申请提供了一种芯片系统,该芯片系统包括处理器和存储器,所述处理器、所述存储器之间电耦合;所述存储器,用于存储计算机程序指令;所述处理器,用于执行所述存储器中的部分或者全部计算机程序指令,当所述部分或者全部计算机程序指令被执行时,用于实现上述第二方面及第二方面任一可能的实现的方法中第一设备的功能,或者第四方面及第四方面任一可能的实现的方法中第二设备的功能。
在一种可能的设计中,所述芯片系统还可以包括收发器,所述收发器,用于发送所述处理器处理后的信号,或者接收输入给所述处理器的信号。该芯片系统,可以由芯片构成,也可以包括芯片和其他分立器件。
第十三方面,提供了一种计算机可读存储介质,该计算机可读存储介质存储有计算机程序,当该计算机程序被运行时,上述第一方面及第一方面任一可能的实现中或者第三方面及第三方面任一可能的实现中由运维系统执行的方法被执行。
第十四方面,提供了一种计算机可读存储介质,该计算机可读存储介质存储有计算机程序,当该计算机程序被运行时,上述第一方面及第一方面任一可能的实现中或者第四方面及第四方面任一可能的实现中由第一设备/第二设备执行的方法被执行。
第十五方面,提供了一种权限管理的系统,所述系统包括:执行上述第一方面及第一方面任一可能的实现中的方法的运维系统,以及执行上述第二方面及第二方面任一可能的实现中的方法的第一设备。
第十六方面,提供了一种权限管理的系统,所述系统包括:执行上述第三方面及第三方面任一可能的实现中的方法的运维系统,以及执行上述第四方面及第四方面任一可能的实现中的方法的第二设备。
第五方面至第十六方面的技术效果可以参照第一方面至第四方面中的描述,重复之处不再赘述。
附图说明
图1为本申请实施例中提供的一种权限管理系统结构图;
图2、图3、图4、图5为本申请实施例中提供的一种权限管理流程示意图;
图6、图7、图8、图9为本申请实施例中提供的一种权限管理装置结构图。
具体实施方式
下面将结合附图,对本申请实施例进行详细描述。
本申请实施例提供一种权限管理的方法及装置,其中,方法、装置是基于同一技术构思的,由于方法、装置解决问题的原理相似,因此装置与方法的实施可以相互参见,重复之处不再赘述。
本申请实施例的技术方案可以应用于各种通信系统,例如:长期演进(long termevolution,LTE)系统,全球互联微波接入(worldwide interoperability for microwaveaccess,WiMAX)通信系统,第五代(5th Generation,5G)系统,如新一代无线接入技术(newradio access technology,NR),及未来的通信系统等。
为便于理解本申请实施例,接下来对本请的应用场景进行介绍,本申请实施例描述的业务场景是为了更加清楚的说明本申请实施例的技术方案,并不构成对于本申请实施例提供的技术方案的限定,本领域普通技术人员可知,随着新业务场景的出现,本申请实施例提供的技术方案对于类似的技术问题,同样适用。
如图1所示,设备12中保存有原子对象,设备一般为网元,例如UPF、SMF等,原子对象是原子数据模型,用于定义不可再分割的业务管理对象单元,例如可以是地址池,DNN中英文。操作员、管理员,游客等用户可以登录运维系统11,通过运维系统对设备12中原子对象进行管理操作。例如,添加一个地址池,查询DNN等。为了保证网络安全,可以在运维系统中设备原子对象的权限信息。运维系统只有在确定用户具有权限时,才会允许该用户对原子对象进行管理操作。
下面基于图1所示的应用场景,对本申请实施例进行详细描述。本申请中的“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。本申请中所涉及的多个,是指两个或两个以上。
在本申请的描述中,“第一”、“第二”等词汇,仅用于区分描述的目的,而不能理解为指示或暗示相对重要性,也不能理解为指示或暗示顺序。另外,在本申请实施例中,“示例的”一词用于表示作例子、例证或说明。本申请中被描述为“示例”的任何实施例或实现方案不应被解释为比其它实施例或实现方案更优选或更具优势。确切而言,使用示例的一词旨在以具体方式呈现概念。
如图2所示,为本申请实施例提供的一种权限管理的流程示意图,可以包括以下步骤:
步骤201:运维根据第一原子对象的权限信息,确定登录所述运维系统的第一用户是否具有对所述第一原子对象执行第一操作的权限,如果是,则执行步骤201。
运维系统或者第三方中保存一个或多个原子对象的权限信息,一个原子对象对应一个权限信息,也就是权限信息与原子对象是一一对应的。原子对象例如可以是地址池,可以是DNN。
原子对象的权限信息例如可以是针对每个用户,该用户对所述原子对象具有权限的操作。进一步地,原子对象权限信息例如可以包括对所述原子对象具有操作权限的用户的类型,以及所述类型的用户对所述原子对象具有权限的操作。用户的类型例如可以是游客、管理员、操作员等。原子对象的权限信息例如可以是通过yang模型的标签来表示。以第一原子对象为例进行说明,第一原子对象可以是任一原子对象:yang模型的标签包括用户的类型标签和操作标签,所述用户的类型标签用于标识对所述第一原子对象具有操作权限的用户的类型,所述操作标签用于标识所述类型的用户对所述第一原子对象具有权限的操作。
例如具体可以是:
其中,externsion acess-range{}和externsion deny{},这两个为可选项,未被允许的操作权限与也可以理解为禁止的操作权限,操作权限构成操作能力集。
module表示模块,该模块下有多个对象,externsion表示扩展,简称ext。
以下以模块A(module A)为例进行说明:
在yang模型标准中,“list”表示“原子”这个概念。
用户可以通过账户信息登录运维系统,账户信息例如账号和密码。当第一用户登录运维系统后,第一用户可以请求对哪些原子对象执行哪些操作。例如第一用户请求对第一原子对象执行第一操作。第一操作可以增加(ADD)操作,或删除(remove)操作,或修改(modify)操作,或查询(query)操作等。
第一用户在请求第一原子对象和第一操作时,可以是通过用户界面向运维系统下发第一指示,所述第一指示可以用于指示第一原子对象和第一操作。例如,第一用户在登录运维系统后,运维系统可以出现一个用户界面,用户界面上可以显示多个原子对象,以及多个操作。第一用户可以在用户界面上选择第一原子对象,也可以选择第一操作。用户界面上还可以显示有“具有确认功能”按钮,用户可以点击所述具有确认功能的按钮,以实现向运维系统下发第一指示,即请求对第一原子对象执行第一操作。
相应的,运维系统可以根据第一原子对象的权限信息,确定登录所述运维系统的第一用户是否具有对所述第一原子对象执行第一操作的权限。具体的,可以是先根据对所述第一原子对象具有操作权限的用户的类型,确定所述第一用户的第一类型对所述第一原子对象是否具有操作权限。如果第一类型对所述第一原子对象不具有操作权限,则所述第一用户不具有对所述第一原子对象执行所述第一操作的权限。如果第一类型对所述第一原子对象具有操作权限,则可以再根据第一类型的用户对所述第一原子对象具有权限的操作,确定所述第一类型的用户对所述第一原子对象是否具有所述第一操作的权限,如果具有第一操作的权限,则确定所述第一用户具有对所述第一原子对象执行所述第一操作的权限。
所述运维系统中可以保存每个用户的账户信息的类型,例如账户信息是游客类型,是管理员类型,是操作员类型,运维系统可以根据第一用户的账户信息,确定所述第一用户的第一类型。
步骤202:若所述第一用户具有对所述第一原子对象执行所述第一操作的权限,则所述运维系统向第一设备发送第一消息,所述第一消息用于请求对所述第一原子对象执行所述第一操作。
若所述第一用户不具有对所述第一原子对象执行所述第一操作的权限,则所述运维系统则可以不向第一设备发送消息,流程停止。或者所述运维系统可以发出提示信息,用于提示所述第一用户不具有对所述第一原子对象执行所述第一操作的权限。
运维系统或第三方中保存的一个或多个原子对象的权限信息可以是人为设置的,还可以设置哪些设备上保存有这些原子对象,原子对象的权限信息也可以是设备发送给运维系统的。例如,第一设备向所述运维系统发送所述第一原子对象的权限信息,相应的,所述运维系统接收来自所述第一设备的所述第一原子对象的权限信息。
当然在本申请中,多个设备上可能会保存同一原子对象的权限信息,例如多个UPF中均保存有地址池的权限信息。这样则会存在多个设备向运维系统发送同一原子对象的权限信息的情况。当第一用户请求对第一原子对象执行第一操作时,运维系统可以向保存原子对象的权限信息的第一设备发送第一消息,用于请求对所述第一原子对象执行所述第一操作。假设保存第一原子对象的权限信息的设备有多个,此处的第一设备可以是任一保存第一原子对象的权限信息的设备。第一设备也可以是第一用户选择出来的,例如用户界面上还显示有哪些设备保存第一原子对象的信息,第一用户可以选择一个设备作为第一设备。第一设备还可以是运维系统根据多个保存所述第一原子对象的权限信息的设备的信息(例如版本,ID等信息)选择出来的。
在上述实施例中,运维系统可以确定用户是否具有对某个原子对象执行某种操作的权限,只有在具有权限时,才会向设备发送消息请求对原子对象执行操作。在不具有权限时,不向设备发送消息。这样,可以在一定程度上保证操作行为的安全性,从而保证网络安全。
在另一个实施例中,运维系统根据原子对象的权限信息,对操作请求进行判断,将在权限范围内的原子对象的操作请求发送给对应的设备。在此之前,运维系统可以向设备进行接入认证,该过程属于现有技术,此处不再详细赘述。另外,运维系统还可以向设备进行权限信息的认证,具体过程可以参见图3所示的权限管理流程图,仍以第一设备、第一用户为例进行说明。
步骤301:第一设备确定自身保存的一个或多个原子对象的权限信息。
第一设备中可以被配置有多个原子对象的权限信息,第一设备在开始工作后,可以先确定出一个或多个原子对象的权限信息,并告知运维系统。
步骤302:第一设备将确定出的原子对象的权限信息发送给运维系统,相应的,所述运维系统接收来自所述第一设备的原子对象的权限信息。
示例的,原子对象的权限信息包括对所述原子对象具有操作权限的用户的类型,以及所述类型的用户对所述原子对象具有权限的操作。例如第一设备可以向运维系统发送yang模型列表,所述yang模型列表中包括原子对象的权限信息,即通过yang模型标签表示原子对象的权限信息。例如,通过上述步骤201中所描述的allow-group、acess-range、allow或deny等标签来标识原子对象的权限信息。
步骤303:运维系统在识别出第一用户登录运维系统,请求对第一原子对象执行第一操作时,可以在保存的原子对象的权限信息中,提取出所述第一用户的第一类型的权限信息。
运维系统持有很多账户信息,当识别出第一用户登录,且对第一原子对象执行第一操作时,可以根据第一用户的账户信息识别出第一用户的第一类型,进而对第一用户的第一类型的权限信息进行认证。当再有另一类型的用户登录时,可以再对另一类型的权限信息进行认证。
如果运维系统已经对第一类型的权限信息进行认证,当又有一个第一类型的用户再次登录,运维系统可以再次对第一类型的权限信息进行认证,也可以无需再对第一类型的权限信息进行认证。
步骤304:运维系统向第一设备发送第五消息,所述第五消息中包括第一类型的权限信息,相应的,所述第一设备接收来自所述运维系统的所述第五消息。所述第五消息可以是Netconf消息。
运维系统要想管理第一设备中的原子对象,可以先向第一设备进行认证接入。一般情况下,运维系统通过Netconf消息向第一设备进行认证接入。在步骤304中,运维系统通过在Netconf消息中携带第一类型的权限信息,在认证运维系统的同时,也对权限信息进行认证,可以减少信令开销。
维系统向第一设备认证某种用户的类型的权限信息,这样可以使运维系统和第一设备针对该用户的类型保存相同的权限信息,以进一步保证网络安全。
步骤305:所述第一设备根据针对所述运维系统保存的权限信息,认证登录所述运维系统的第一类型的用户是否具有所述第五消息中包括的权限信息;当认证结果为第一类型的用户具有所述第五消息中包括的权限信息时,认证通过;否则,认证未通过。
所述第一设备向所述运维系统发送所述第五消息的响应消息,所述第五消息的响应消息用于指示所述第一类型的权限信息认证通过或未认证通过。所述第五消息的响应消息也可以是Netconf消息。认证通过可以是指运维系统认证通过,以及第一类型的权限信息认证通过。
步骤306:运维系统向第一设备发送在权限范围内的原子对象的操作请求。
例如运维系统采用图2中的步骤201、步骤202,确定向第一设备发送第一消息,所述第一消息用于请求对所述第一原子对象执行所述第一操作。
在本申请的另一示例中,设备可以是主动更新原子对象的权限信息,为了便于区分,将权限信息被更新的原子对象定义为第二原子对象。
如图4所示,提供了一种权限管理的流程示例图。
步骤401:第二设备确定需要更新第二原子对象的权限信息,并确定更新后的第二原子对象的权限信息。例如可以是更新yang模型文件。
示例的,所述第二设备确定登录所述第二设备的第三用户请求允许或禁止所述第三用户对第二原子对象执行的第三操作。一般,所述第三操作超出所述第二原子对象的权限信息对应的权限范围,即所述第三用户的用户类型不具有对所述第二原子对象执行第三操作的权限。例如,例如第三用户对一个原子对象由之前只能进行修改操作,更新为只能进行查询操作。第二设备可以根据第三用户的请求,确定更新后的第二原子对象的权限信息。
在第二设备上注册的用户可以登录第二设备,在用户界面上指示允许或禁止所述第三用户对第二原子对象执行的第三操作。
步骤402:第二设备向运维系统发送第二消息,相应的,所述运维系统接收来自所述第二设备的所述第二消息。所述第二消息携带更新后的第二原子对象的权限信息。
所述第二消息可以是Netconf消息。
所述第二消息可以包括更新后的yang模型文件,具体可以是更新用于表示权限信息的yang模型标签。
步骤403:所述运维系统根据所述第二消息更新所述第二原子对象的权限信息。
进一步地,如果所述运维系统接收到某个用户对第二原子对象的操作请求时,可以根据更新后的第二原子对象的权限信息判断所述用户是否具有对所述第二原子对象的操作的权限,运维系统向设备发送在权限范围内的原子对象的操作请求。
例如,所述运维系统根据更新后的第二原子对象的权限信息,确定登录所述运维系统的第四用户是否具有对所述第二原子对象执行第四操作的权限;若所述第四用户具有对所述第二原子对象执行所述第四操作的权限,则所述运维系统向第二设备发送第四消息,所述第四消息用于请求对所述第二原子对象执行所述第四操作。若所述第四用户不具有对所述第二原子对象执行所述第四操作的权限,则所述运维系统则可以不向第二设备发送消息,流程停止。或者所述运维系统可以发出提示信息,用于提示所述第四用户不具有对所述第二原子对象执行所述第四操作的权限。
运维系统在根据更新后的第二原子对象的权限信息,确定登录所述运维系统的第四用户是否具有对所述第二原子对象执行第四操作的权限时,运维系统先根据对更新后的对所述第二原子对象具有操作权限的用户类型,确定所述第四用户的类型对所述第二原子对象是否具有操作权限。在所述第四用户的类型对所述第二原子对象具有操作权限的基础上,再根据所述第四用户的类型的用户对所述第二原子对象具有权限的操作,确定所述第四用户的类型的用户对所述第二原子对象是否具有所述第四操作的权限。
通过对原子对象的权限信息进行更新,可以更加符合网络需求,进一步提高网络安全。
在本申请的又一实施例中,运维系统也可以主动更新原子对象的权限信息,具体过程可以如图5所示的权限管理流程图。
步骤501:所述运维系统确定需要更新所述第二原子对象的权限信息,并确定请求更新的所述第二原子对象的权限信息。
示例的,运维系统确定登录所述运维系统的第二用户请求允许或禁止所述第二用户对第二原子对象执行第二操作,其中,所述第二操作超出所述第二原子对象的权限信息对应的权限范围。例如第二用户对一个原子对象由之前只能进行增加操作,更新为除了进行增加操作外,也可以进行查询操作。
第二用户在运维系统的用户界面上指示允许或禁止所述第二用户对第二原子对象执行第二操作。
示例的,运维系统确定登录所述运维系统的第二用户请求对所述第二原子对象执行第二操作的次数达到设定阈值,其中,所述第二操作超出所述第二原子对象的权限信息对应的权限范围。
第二设备可以根据第二用户的请求,确定更新后的第二原子对象的权限信息。
步骤502:所述运维系统向所述第二设备发送第三消息,相应的,所述第二设备接收来自所述运维系统的第三消息。所述第三消息用于指示请求更新的所述第二原子对象的权限信息。
所述第二设备接收到来自所述运维系统的第三消息时,第二设备可以确定需要更新第二原子对象的权限信息。所述第三消息可以是Netconf消息,例如为Netconf请求消息。
步骤503:第二设备在确定具备更新权限的条件时,可以更新所述第二原子对象的权限信息。
具体的,更新第二原子对象的权限信息是更新第二原子对象的yang模型文件。
第二设备可以根据当前的网络资源情况,确定是否具有更新权限的条件。例如,如果当前的网络资源较多,可以允许增加地址池,如果网络资源较小,则不能增加地址池。
步骤504:第二设备在确定具有更新权限的条件时,第二设备向运维系统发送第二消息,相应的,所述运维系统接收来自所述第二设备的所述第二消息。所述第二消息携带更新后的第二原子对象的权限信息。所述第二消息可以是Netconf消息,例如可以为Netconf响应消息。该第二设备在确定允许更新权限时,也可以是向运维系统反馈允许权限更新的响应信息。
上述步骤503和步骤504的先后顺序不进行限制,即可以先执行步骤503,后执行步骤504,也可以先执行步骤504再执行步骤503,或者步骤503和步骤504同步执行。
此外,第二设备也可以允许部分更新,部分不能更新。
步骤505:所述运维系统根据所述第二消息更新所述第二原子对象的权限信息。
进一步地,如果所述运维系统接收到某个用户对第二原子对象的操作请求时,可以根据更新后的第二原子对象的权限信息判断所述用户是否具有对所述第二原子对象的操作的权限,运维系统向设备发送在权限范围内的原子对象的操作请求。具体过程可以参见图4的步骤403处的描述,重复之处不再赘述。
通过对原子对象的权限信息进行更新,可以更加符合网络需求,进一步提高网络安全。
基于与上述权限管理的方法的同一技术构思,如图6所示,提供了一种权限管理的装置600,装置600能够执行上述图2、图3、图4、图5的方法中由运维系统执行的各个步骤。装置600可以为运维系统,也可以为应用于运维系统中的芯片。装置600可以包括:收发模块620,处理模块610,可选的,还包括存储模块630;处理模块610可以分别与存储模块630和收发模块620相连,所述存储模块630也可以与收发模块620相连。
收发模块620,可以用于收发数据。所述存储模块630,可以用于存储接收到的数据或待发送的数据。在一种示例中,处理模块610,用于根据第一原子对象的权限信息,确定登录所述装置的第一用户是否具有对所述第一原子对象执行第一操作的权限;若所述第一用户具有对所述第一原子对象执行所述第一操作的权限,则通过收发模块620向第一设备发送第一消息,所述第一消息用于请求对所述第一原子对象执行所述第一操作。
在一种示例中,所述收发模块620,还用于接收来自所述第一设备的所述第一原子对象的权限信息。所述处理模块610在用于根据第一原子对象的权限信息,确定登录所述装置的第一用户具有对所述第一原子对象执行所述第一操作的权限时,具体用于:根据对所述第一原子对象具有操作权限的用户的类型,确定所述第一用户的第一类型对所述第一原子对象具有操作权限;根据第一类型的用户对所述第一原子对象具有权限的操作,确定所述第一类型的第一用户具有对所述第一原子对象执行所述第一操作的权限。
在一种示例中,所述处理模块610,还用于根据所述第一用户的账户信息,确定所述第一用户的第一类型。所述收发模块620,还用于向所述第一设备发送第五消息,所述第五消息包括所述第一用户的第一类型的权限信息,所述第五消息用于对所述第一类型的权限信息进行认证;以及接收来自所述第一设备的所述第五消息的响应消息,所述响应消息用于指示所述第一类型的认证信息认证通过或未认证通过。
在一种示例中,所述收发模块620,用于接收来自所述第二设备的第二消息,所述第二消息携带更新后的第二原子对象的权限信息;所述处理模块610,用于更新所述第二原子对象的权限信息。
在一种示例中,所述处理模块610,还用于确定需要更新所述第二原子对象的权限信息;并通过所述收发模块620向所述第二设备发送第三消息,所述第三消息用于指示请求更新的所述第二原子对象的权限信息。
在一种示例中,所述处理模块610在确定需要更新所述第二原子对象的权限信息时,具体用于:确定登录所述装置的第二用户请求允许或禁止所述第二用户对第二原子对象执行第二操作;或者,确定登录所述装置的第二用户请求对所述第二原子对象执行第二操作的次数达到设定阈值,其中,所述第二操作超出所述第二原子对象的权限信息对应的权限范围。
基于与上述权限管理的方法的同一技术构思,如图7所示,提供了一种权限管理的装置700,装置700能够执行上述图2、图3、图4、图5的方法中由第一设备/第二设备执行的各个步骤。装置700可以为设备,也可以为应用于设备中的芯片。装置700可以包括:收发模块720,处理模块710,可选的,还包括存储模块730;处理模块710可以分别与存储模块730和收发模块720相连,所述存储模块730也可以与收发模块720相连。
收发模块720,可以用于收发数据。所述存储模块730,可以用于存储接收到的数据或待发送的数据。
在一种示例中,收发模块720,用于运维系统发送第一原子对象的权限信息,所述第一原子对象的权限信息用于确定登录所述运维系统的用户是否具有对所述第一原子对象执行第一操作的权限,以及接收来自运维系统的第一消息,所述第一消息用于请求对第一原子对象执行第一操作;处理模块710,用于对所述第一原子对象执行所述第一操作;其中,所述第一消息为所述运维系统在根据所述第一原子对象的权限信息,确定登录所述运维系统的第一用户具有对所述第一原子对象执行第一操作的权限后发送给所述装置的。
在一种示例中,所述收发模块720,还用于接收来自所述运维系统的第五消息,所述第五消息包括第一类型的权限信息,所述第五消息用于对所述第一类型的权限信息进行认证;所述处理模块710,还用于根据针对所述运维系统保存的权限信息,认证登录所述运维系统的第一类型的用户是否具有所述权限信息;所述收发模块720,还用于向所述运维系统发送所述第五消息的响应消息,所述第五消息的响应消息用于指示所述第一类型的权限信息认证通过或未认证通过。
在一种示例中,所述处理模块710,用于确定需要更新第二原子对象的权限信息;所述收发模块720,用于向运维系统发送第二消息,所述第二消息携带更新后的第二原子对象的权限信息。
在一种示例中,所述处理模块710在确定需要更新第二原子对象的权限信息时,具体用于:确定通过收发模块720接收来自所述运维系统的第三消息,所述第三消息用于指示请求更新的所述第二原子对象的权限信息;或者确定登录所述装置的第三用户请求允许或禁止所述第三用户对第二原子对象执行的第三操作。
图8是本申请实施例的权限管理的装置800的示意性框图。应理解,所述装置800能够执行上述图2、图3、图4、图5的方法中由运维系统执行的各个步骤,为了避免冗余,此处不再详述。装置800包括:处理器810和收发器820,可选的,还包括存储器830。所述处理器810和所述存储器830之间电耦合。
示例的,存储器830,用于存储计算机程序;所述处理器810,可以用于调用所述存储器中存储的计算机程序或指令,以通过所述收发器820执行上述的权限管理的方法。
图6中的处理模块610可以通过处理器810来实现,收发模块620可以通过收发器820来实现,存储模块630可以通过存储器830来实现。
图9是本申请实施例的权限管理的装置900的示意性框图。应理解,所述装置900能够执行上述图2、图3、图4、图5的方法中由第一设备/第二设备执行的各个步骤,为了避免冗余,此处不再详述。装置900包括:处理器910和收发器920,可选的,还包括存储器930。所述处理器910和所述存储器930之间电耦合。
示例的,存储器930,用于存储计算机程序;所述处理器910,可以用于调用所述存储器中存储的计算机程序或指令,以通过所述收发器920执行上述的权限管理的方法。
图7中的处理模块710可以通过处理器910来实现,收发模块720可以通过收发器920来实现,存储模块730可以通过存储器930来实现。
上述的处理器可以是中央处理器(central processing unit,CPU),网络处理器(network processor,NP)或者CPU和NP的组合。处理器还可以进一步包括硬件芯片或其他通用处理器。上述硬件芯片可以是专用集成电路(application-specific integratedcircuit,ASIC),可编程逻辑器件(programmable logic device,PLD)或其组合。上述PLD可以是复杂可编程逻辑器件(complex programmable logic device,CPLD),现场可编程逻辑门阵列(field-programmable gate array,FPGA),通用阵列逻辑(generic array logic,GAL)及其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等或其任意组合。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
还应理解,本申请实施例中提及的存储器可以是易失性存储器或非易失性存储器,或可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(Read-Only Memory,ROM)、可编程只读存储器(Programmable ROM,PROM)、可擦除可编程只读存储器(Erasable PROM,EPROM)、电可擦除可编程只读存储器(Electrically EPROM,EEPROM)或闪存。易失性存储器可以是随机存取存储器(Random Access Memory,RAM),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(Static RAM,SRAM)、动态随机存取存储器(Dynamic RAM,DRAM)、同步动态随机存取存储器(Synchronous DRAM,SDRAM)、双倍数据速率同步动态随机存取存储器(Double DataRate SDRAM,DDR SDRAM)、增强型同步动态随机存取存储器(Enhanced SDRAM,ESDRAM)、同步连接动态随机存取存储器(Synchlink DRAM,SLDRAM)和直接内存总线随机存取存储器(Direct Rambus RAM,DR RAM)。应注意,本申请描述的存储器旨在包括但不限于这些和任意其它适合类型的存储器。
本申请实施例还提供了一种计算机存储介质,存储有计算机程序,该计算机程序被计算机执行时,可以使得所述计算机用于执行上述权限管理的方法。
本申请实施例还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机可以执行上述提供的权限管理的方法。
本申请实施例还提供了一种权限管理的系统,所述系统包括:执行上述权限管理的方法的运维系统和设备。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包括有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本申请的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。
显然,本领域的技术人员可以对本申请实施例进行各种改动和变型而不脱离本申请实施例的精神和范围。这样,倘若本申请实施例的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包括这些改动和变型在内。
Claims (9)
1.一种权限管理的方法,其特征在于,所述方法包括:
运维系统在识别第一用户登录时,提取所述第一用户的第一类型的权限信息;
所述运维系统向第一设备发送第五消息,所述第五消息包括所述第一用户的第一类型的权限信息,所述第五消息 用于请求对所述运维系统进行认证及对所述第一类型的权项信息进行认证;
所述运维系统接收来自所述第一设备的所述第五消息的响应消息,所述响应消息用于指示认证通过,其中,所述认证通过包括所述运维系统认证通过,以及所述第一类型的权限信息认证通过;
所述运维系统根据第一原子对象的权限信息,确定登录所述运维系统的第一用户是否具有对所述第一原子对象执行第一操作的权限;
若所述第一用户具有对所述第一原子对象执行所述第一操作的权限,则所述运维系统向第一设备发送第一消息,所述第一消息用于请求对所述第一原子对象执行所述第一操作;
其中,通过yang模型的标签指示所述第一原子对象的权限信息;其中,yang模型的标签包括用户的类型标签和操作标签,所述用户的类型标签用于标识对所述第一原子对象具有操作权限的用户的类型,所述操作标签用于标识所述类型的用户对所述第一原子对象具有权限的操作。
2.如权利要求1所述的方法,其特征在于,还包括:
所述运维系统接收来自所述第一设备的所述第一原子对象的权限信息。
3.如权利要求1所述的方法,其特征在于,所述运维系统根据第一原子对象的权限信息,确定登录所述运维系统的第一用户具有对所述第一原子对象执行所述第一操作的权限,包括:
所述运维系统根据对所述第一原子对象具有操作权限的用户的类型,确定所述第一用户的第一类型对所述第一原子对象具有操作权限;
所述运维系统根据第一类型的用户对所述第一原子对象具有权限的操作,确定所述第一用户具有对所述第一原子对象执行所述第一操作的权限。
4.一种权限管理的方法,其特征在于,所述方法包括:
第一设备向运维系统发送第一原子对象的权限信息,所述第一原子对象的权限信息用于确定登录所述运维系统的用户是否具有对所述第一原子对象执行第一操作的权限;
所述第一设备接收来自所述运维系统的第五消息,所述第五消息包括第一用户的第一类型的权限信息,所述第五消息 用于请求对所述运维系统进行认证及对所述第一类型的权项信息进行认证;
所述第一设备向所述运维系统发送所述第五消息的响应消息,所述响应消息用于指示认证通过,其中,所述认证通过包括所述运维系统认证通过,以及所述第一类型的权限信息认证通过;
所述第一设备接收来自所述运维系统的第一消息,所述第一消息用于请求对所述第一原子对象执行所述第一操作;
所述第一设备对所述第一原子对象执行所述第一操作;
其中,通过yang模型的标签指示所述第一原子对象的权限信息,yang模型的标签包括用户的类型标签和操作标签,所述用户的类型标签用于标识对所述第一原子对象具有操作权限的用户的类型,所述操作标签用于标识所述类型的用户对所述第一原子对象具有权限的操作。
5.一种权限管理的装置,其特征在于,所述装置包括:
处理模块,用于在识别第一用户登录时,提取所述第一用户的第一类型的权限信息;
收发模块,用于向第一设备发送第五消息,所述第五消息包括所述第一用户的第一类型的权限信息,所述第五消息 用于请求对所述装置进行认证及对所述第一类型的权项信息进行认证;接收来自所述第一设备的所述第五消息的响应消息,所述响应消息用于指示认证通过,其中,所述认证通过包括所述装置认证通过,以及所述第一类型的权限信息认证通过;
处理模块,用于根据第一原子对象的权限信息,确定登录所述装置的第一用户是否具有对所述第一原子对象执行第一操作的权限;
若所述第一用户具有对所述第一原子对象执行所述第一操作的权限,则通过收发模块向第一设备发送第一消息,所述第一消息用于请求对所述第一原子对象执行所述第一操作;
其中,通过yang模型的标签指示所述第一原子对象的权限信息,yang模型的标签包括用户的类型标签和操作标签,所述用户的类型标签用于标识对所述第一原子对象具有操作权限的用户的类型,所述操作标签用于标识所述类型的用户对所述第一原子对象具有权限的操作。
6.如权利要求5所述的装置,其特征在于,所述收发模块,还用于接收来自所述第一设备的所述第一原子对象的权限信息。
7.如权利要求6所述的装置,其特征在于,所述处理模块在用于根据第一原子对象的权限信息,确定登录所述装置的第一用户具有对所述第一原子对象执行所述第一操作的权限时,具体用于:
根据对所述第一原子对象具有操作权限的用户的类型,确定所述第一用户的第一类型对所述第一原子对象具有操作权限;根据第一类型的用户对所述第一原子对象具有权限的操作,确定所述第一用户具有对所述第一原子对象执行所述第一操作的权限。
8.一种权限管理的装置,其特征在于,所述装置包括:
收发模块,用于向运维系统发送第一原子对象的权限信息,所述第一原子对象的权限信息用于确定登录所述运维系统的用户是否具有对所述第一原子对象执行第一操作的权限;接收来自所述运维系统的第五消息,所述第五消息包括第一用户的第一类型的权限信息,所述第五消息 用于请求对所述运维系统进行认证及对所述第一类型的权项信息进行认证;向所述运维系统发送所述第五消息的响应消息,所述响应消息用于指示认证通过,其中,所述认证通过包括所述运维系统认证通过,以及所述第一类型的权限信息认证通过;以及接收来自所述运维系统的第一消息,所述第一消息用于请求对所述第一原子对象执行所述第一操作;
处理模块,用于对所述第一原子对象执行所述第一操作;
其中,通过yang模型的标签指示所述第一原子对象的权限信息,yang模型的标签包括用户的类型标签和操作标签,所述用户的类型标签用于标识对所述第一原子对象具有操作权限的用户的类型,所述操作标签用于标识所述类型的用户对所述第一原子对象具有权限的操作。
9.一种权限管理的系统,其特征在于,所述系统包括如权利要求5-7任一项所述的装置和如权利要求8所述装置。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010070662.1A CN113225296B (zh) | 2020-01-21 | 2020-01-21 | 一种权限管理的方法及装置 |
| PCT/CN2020/142544 WO2021147652A1 (zh) | 2020-01-21 | 2020-12-31 | 一种权限管理的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010070662.1A CN113225296B (zh) | 2020-01-21 | 2020-01-21 | 一种权限管理的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113225296A CN113225296A (zh) | 2021-08-06 |
| CN113225296B true CN113225296B (zh) | 2022-11-11 |
Family
ID=76992055
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010070662.1A Active CN113225296B (zh) | 2020-01-21 | 2020-01-21 | 一种权限管理的方法及装置 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN113225296B (zh) |
| WO (1) | WO2021147652A1 (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114039755B (zh) * | 2021-10-29 | 2024-03-22 | 中国银联股份有限公司 | 一种权限控制方法、装置、电子设备及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104065612A (zh) * | 2013-03-18 | 2014-09-24 | 中国移动通信集团公司 | 一种用户管理方法、装置和统一用户管理系统 |
| CN107223326A (zh) * | 2016-01-11 | 2017-09-29 | 华为技术有限公司 | 一种网络访问权限管理方法及相关设备 |
| CN107979571A (zh) * | 2016-10-25 | 2018-05-01 | 中国移动通信有限公司研究院 | 一种文件使用处理方法、终端和服务器 |
| CN109903016A (zh) * | 2019-02-26 | 2019-06-18 | 广东启动子信息科技有限公司 | 一种结合权限管理的流程引擎的实现方法及流程引擎系统 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101340444B (zh) * | 2008-08-26 | 2011-08-24 | 成都市华为赛门铁克科技有限公司 | 防火墙和服务器策略同步方法、系统和设备 |
| CN101853358A (zh) * | 2010-05-11 | 2010-10-06 | 南京赛孚科技有限公司 | 一种文件对象权限管理的实现方法 |
| CN103646218B (zh) * | 2013-12-12 | 2016-09-28 | 用友网络科技股份有限公司 | 数据访问权限和行为权限的定义装置和定义方法 |
| US10762069B2 (en) * | 2015-09-30 | 2020-09-01 | Pure Storage, Inc. | Mechanism for a system where data and metadata are located closely together |
| CN107204964B (zh) * | 2016-03-16 | 2020-07-07 | 腾讯科技(深圳)有限公司 | 一种权限管理的方法、装置和系统 |
| CN108073823B (zh) * | 2016-11-18 | 2021-04-20 | 阿里巴巴集团控股有限公司 | 数据处理方法、装置及系统 |
| CN110619206B (zh) * | 2019-08-15 | 2024-04-02 | 中国平安财产保险股份有限公司 | 运维风险控制方法、系统、设备及计算机可读存储介质 |
-
2020
- 2020-01-21 CN CN202010070662.1A patent/CN113225296B/zh active Active
- 2020-12-31 WO PCT/CN2020/142544 patent/WO2021147652A1/zh active Application Filing
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104065612A (zh) * | 2013-03-18 | 2014-09-24 | 中国移动通信集团公司 | 一种用户管理方法、装置和统一用户管理系统 |
| CN107223326A (zh) * | 2016-01-11 | 2017-09-29 | 华为技术有限公司 | 一种网络访问权限管理方法及相关设备 |
| CN107979571A (zh) * | 2016-10-25 | 2018-05-01 | 中国移动通信有限公司研究院 | 一种文件使用处理方法、终端和服务器 |
| CN109903016A (zh) * | 2019-02-26 | 2019-06-18 | 广东启动子信息科技有限公司 | 一种结合权限管理的流程引擎的实现方法及流程引擎系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113225296A (zh) | 2021-08-06 |
| WO2021147652A1 (zh) | 2021-07-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108701175B (zh) | 将用户账户与企业工作空间相关联 | |
| CN108563958B (zh) | 角色权限更新方法、装置、计算机设备和存储介质 | |
| US8918529B1 (en) | Messaging gateway | |
| CN109314726A (zh) | 操作系统容器之间通讯的系统和方法 | |
| EP3843353B1 (en) | Access control policy configuration method, device and storage medium | |
| AU2014235181A1 (en) | Certificate based profile confirmation | |
| US10762180B2 (en) | Broker-based messaging through SQL | |
| US20210097476A1 (en) | Container Management Method, Apparatus, and Device | |
| EP2811397A2 (en) | Method for managing virtual machine and device therefor | |
| CN107871062A (zh) | 一种应用权限控制方法、装置及终端 | |
| KR20170076861A (ko) | 기업용 클라우드 서비스의 접근 통제 방법 | |
| EP3531658B1 (en) | Providing inter-enterprise data communications between enterprise applications on an electronic device | |
| CN105975867A (zh) | 一种数据处理方法 | |
| CN113225296B (zh) | 一种权限管理的方法及装置 | |
| EP3128715B1 (en) | Resource creation method and apparatus | |
| CN110741617B (zh) | 资源更新方法、装置、计算机设备和存储介质 | |
| CN108304251B (zh) | 线程同步方法及服务器 | |
| CN108494749B (zh) | Ip地址禁用的方法、装置、设备及计算机可读存储介质 | |
| CN112579997B (zh) | 一种用户权限配置方法、装置、计算机设备及存储介质 | |
| CN111045725B (zh) | 代码管理系统的控制方法、装置及存储介质 | |
| KR102400471B1 (ko) | Sdp 기반의 접속 제어 장치 및 방법 | |
| CN115208693A (zh) | 一种基于微服务的安全访问控制方法及装置 | |
| US20130159526A1 (en) | Method of handling access control information and related communication device | |
| CN113824573B (zh) | 一种对象管理的方法及装置 | |
| US10887390B1 (en) | Remote access to published resources |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |