CN1556615A - 分布式网管平台的安全分权管理系统 - Google Patents
分布式网管平台的安全分权管理系统 Download PDFInfo
- Publication number
- CN1556615A CN1556615A CNA2003101160531A CN200310116053A CN1556615A CN 1556615 A CN1556615 A CN 1556615A CN A2003101160531 A CNA2003101160531 A CN A2003101160531A CN 200310116053 A CN200310116053 A CN 200310116053A CN 1556615 A CN1556615 A CN 1556615A
- Authority
- CN
- China
- Prior art keywords
- user
- webmaster
- nms
- network
- management system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Small-Scale Networks (AREA)
Abstract
本发明提供了一种分布式网管平台的安全分权管理系统,属于计算机网络通信领域。网络设备和网络设备的从属对象作为网管对象存在于网管系统中,网管系统设置一默认的超级用户,超级用户创建网管用户,网管用户创建下级网管用户,通过超级用户分配网管对象给网管用户,上级网管用户分配网管对象给下级网管用户,使每个网管用户具有一网管对象集合,当网管用户登录网管时,网管安全模块根据登录用户的网管对象集合进行该登录用户操作许可的校验。通过网管安全模块判断网管用户的网管对象集合与待操作对象的包容关系,确定网管用户操作的有效性,从而实现了分布式网管平台的安全分权管理。
Description
所属技术领域
本发明属于计算机网络通信领域,具体涉及一种分布式网管平台的安全分权管理系统。
背景技术
网管系统是电信网的一个重要组成部分,参考图1,网管系统包括拓扑模块、设备配置管理模块、业务模块和网管安全模块等,网管用户通过网管系统对网络设备进行配置管理。随着网络的不断发展,其中的安全管理尤为重要,网络结构越发复杂,网管系统需要管理的网络对象越来越多,如果仅由一个管理用户进行整网配置管理,必然导致该管理用户工作繁琐复杂,而且容易出错。如果分配多位管理人员进行网络配置管理,总管理人员对所有管理人员进行管理,工作量大且繁琐。
发明内容
本发明克服上述对网络对象配置的不足,提供一种简洁、可靠、易于实现的分布式网管平台的安全分权管理系统,达到减低网络管理复杂程度,提高网管安全管理安全性。
本发明的技术内容:一种分布式网管平台的安全分权管理系统,网络设备和网络设备的从属对象作为网管对象存在于网管系统中,网管系统包括拓扑模块、设备配置管理模块、业务模块和网管安全模块等,网管系统设置一个默认的超级用户,超级用户创建网管用户,网管用户创建下级网管用户,超级用户分配网管对象给网管用户,上级网管用户可以分配网管对象给下级网管用户,使每个网管用户具有一网管对象集合,当网管用户登录网管时,网管安全模块根据登录用户的网管对象集合进行该网管用户操作许可的校验。
登录用户对某个网管对象进行操作时,网管安全模块会遍历该网管对象包括所有子网管对象,判断用户网管对象集合中是否包含网管对象以及所有子网管对象,如果包含该网管对象及其所有子网管对象,则用户能够进行操作;否则不能够进行操作。
当登录用户A修改网管用户B的网管对象集合的时候,安全模块需要校验用户A与用户B的关系,如用户A是用户B的上级用户时,用户A将自身网管对象集合中子集或全集赋予用户B;如用户A不是用户B的上级用户时,不能修改用户B的网管对象集合。网管用户从自身的网管对象集合中分配网管对象给下级网管用户,并修改下级用户的网管对象集合,但不修改下级用户创建的网管用户的网管对象集合。
当A网管用户被删除时,安全模块将所有由A网管用户直接或间接创建的用户一并删除。
超级用户能够修改所有网管用户的网管对象集合。
拓扑模块、设备配置管理模块和所有业务模块通过安全模块校验登录用户的网管对象集合,将该用户没有操作许可的网管对象过滤掉,登录用户仅能看见具有操作许可的网管对象。
本发明的技术效果:对于网管超级用户,该用户可以创建网管用户,对某一个网管用户而言可以创建下级用户,通过分配网管对象与网管用户,使每个网管用户具有自身可网管对象集合,在网管用户对网管对象进行修改配置操作时,网管安全模块通过判断网管用户网管对象集合与待操作对象的包容关系,确定网管用户操作的有效性,网管用户的级别与从属关系,可确定网管用户管理网管对象的力度和范围,同时修改网管对象的管理粒度(通过子网管对象的划分),可以方便的调整管理力度,提供了灵活管理网络的手段,从而达到网管系统安全分权管理。
附图说明
图1是网管系统管理设备示意图;
图2是本发明网管用户与网管对象示意图;
图3是本发明网管系统的管理设备示意图。
具体实施方式
本发明分布式网管平台的安全分权管理系统,包括:
网管对象:需要进行配置管理的网络对象;
子网管对象:与网管对象有从属关系的网管对象;
网管对象集合:网管对象与子网管对象组成的集合;
操作权限:对网管对象进行某操作的权限;
网管超级用户:网管系统超级用户,具有所有网管对象和所有操作权限;
网管用户:网管系统中的用户。
网络设备和网络设备的从属对象作为网管对象存在于网管系统中,网管系统包括拓扑模块、设备配置管理模块、业务模块和网管安全模块,网管系统设置一默认的超级用户,超级用户创建网管用户,上级网管用户创建下级网管用户,每个网管用户具有自身可网管对象集合与操作权限集合,当网管用户登录网管时,网管系统中的安全模块根据登录用户的网管对象集合过滤网管对象,拓扑、配置和所有业务模块通过安全模块根据登录用户的网管对象集合,将网管用户的网管对象集合中没有操作权限的网管对象过滤掉。
参考图2,超级用户创建网管用户,分配网管对象与网管用户,构成待创建网管用户的网管对象集合,超级用户的网管对象集合为网管系统的所有网管对象,超级用户可以对网管对象进行任何操作,包括修改所有网管用户的网管对象集合。对某一个网管用户而言,网管用户仅能从自身的网管对象集合中分配自身网管对象集合的子集或全集给下级用户,网管用户可修改下级用户的网管对象集合,但对下级用户创建的下级用户不进行网管对象集合修改,即上级用户仅对下级用户进行网管对象集合的分配。网管用户能够浏览的网管对象,仅为他自身网管对象集合中的网管对象;登录用户对某网管对象A进行操作的时候,安全模块根据该用户的网管对象集合进行权限校验,遍历A网管对象的所有子网管对象,察看用户网管对象集合中是否包含A网管对象的所有子网管对象,如包含A网管对象的所有子网管对象,则用户能够进行操作;如用户的网管对象集合仅包含A网管对象子网管对象的子集时,则不能够进行操作;如用户的网管对象集合不包含任何A网管对象或A网管对象的子网管对象时,则不能够进行操作。当登录用户A修改网管用户B的网管对象集合的时候,安全模块需要校验用户A与用户B的关系,如用户A是用户B的上级用户时,用户A将自身网管对象集合中子集或全集赋予用户B;如用户A不是用户B的上级用户时,不能修改用户B的网管对象集合。当A网管用户被删除时,安全模块将所有由A网管用户直接或间接创建的用户一并删除。超级用户对网管用户可以进行任何操作,包括修改所有网管用户的网管对象集合。
以光网络网管系统的设计为一实施例,具体说明本发明:
参考图3,网管系统管理N个网络设备,每个网络设备有M块单板,每块单板内有若干端口。这些所有对象都作为网管对象,某块单板作为子网管对象附属于某个设备。每个网管用户都有自身网管对象集合,同时网管用户有上下级的区别,上级用户管理下级的用户的权限,下级用户的网管对象集合受上级用户网管对象集合的范围限制。当网管用户登录网管时,网管系统中的安全模块根据登录用户的网管对象集合过滤网管对象,拓扑模块、设备配置管理模块和所有业务模块可根据登录用户的网管对象集合,将该用户网管对象集合不包含的网管对象过滤掉,登录用户仅能看见自身网管对象集合的网管对象。
(1)网管系统默认建有admin用户,该用户为网管超级用户,超级用户admin都不受以上限制,admin用户可以对网管管理的所有网管对象进行任何操作;admin能够修改所有网管用户的网管对象集合。
(2)现网管系统管理10个子架Shelf(网管对象),每个子架下有16块单板Board(单板属于对应子架的子网管对象),每块单板下有10个端口port(端口属于对应单板的子网管对象)。
(3)admin创建网管用户UserA,则admin为UserA的上级用户,同时分配Shelf1-Shelf8网管对象与其所有子网管对象与UserA。
(4)UserA登录网管系统的时候,仅能在Shelf1-Shelf8中分配给已创建或未创建的用户。同时UserA仅能看到或修改他的下级用户属性。
(5)UserA创建网管用户UserAa,分配Shelf1中Board1中的Port1给UserAa,则网管系统增加Shelf1、Board1、Port1这些网管对象到网管用户UserAa的网管对象集合中,此时,由于UserAa的网管对象集合不包含Shelf1、Board1的所有子网管对象,但包含Port1的所有子网管对象(Port1没有子网管对象,仅为单独的网管对象),所以UserAa能对Port1进行浏览配置操作,Shelf1与Board1仅能浏览。
(6)当UserA修改UserAa的网管对象集合的时候,网管系统能够同步更新用户UserAa登录的客户端,客户端实时根据调整的集合信息进行客户端数据与界面改变。
(7)当UserA被admin删除后,UserAa也同样被删除。
(8)当admin调整UserA网管对象集合的时候,删除UserA网管对象集合中的某一网管对象时,如果UserAa的网管对象集合也具有该被删网管对象时,UserAa的网管对象集合也将删除该网管对象。
Claims (7)
1.一种分布式网管平台的安全分权管理系统,网络设备和网络设备的从属对象作为网管对象存在于网管系统中,网管系统包括拓扑模块、设备配置管理模块、业务模块和网管安全模块等,其特征在于:网管系统设置一默认的超级用户,超级用户创建网管用户,网管用户创建下级网管用户,通过超级用户分配网管对象给网管用户,上级网管用户分配网管对象给下级网管用户,使每个网管用户具有一网管对象集合,当网管用户登录网管时,网管安全模块根据登录用户的网管对象集合进行该登录用户操作许可的校验。
2.如权利要求1所述的分布式网管平台的安全分权管理系统,其特征在于:所述网管安全模块校验登录用户操作许可包括:网管安全模块遍历该网管对象的所有子网管对象,察看用户网管对象集合中是否包含该网管对象的所有子网管对象。
3.如权利要求2所述的分布式网管平台的安全分权管理系统,其特征在于:如登录用户的网管对象集合不包含任何该网管对象或不完全包含该网管对象的子网管对象时,则登录用户对该网管对象不能够进行操作;如包含该网管对象的所有子网管对象,则登录用户对该网管对象能够进行操作。
4.如权利要求1、2或3所述的分布式网管平台的安全分权管理系统,,其特征在于:当登录用户A修改网管用户B的网管对象集合的时候,安全模块需要校验用户A与用户B的关系,如用户A是用户B的上级用户时,用户A可以将自身网管对象集合中的子集或全集赋予用户B;如用户A不是用户B的上级用户时,不能修改用户B的网管对象集合。
5.如权利要求4所述的分布式网管平台的安全分权管理系统,其特征在于:网管用户A从自身的网管对象集合中分配网管对象给下级网管用户B,但不修改下级用户创建的其他网管用户的网管对象集合。
6.如权利要求4所述的分布式网管平台的安全分权管理系统,其特征在于:当网管用户A被删除时,安全模块将所有由网管用户A直接或间接创建的网管用户一并删除。
7.如权利要求1所述的分布式网管平台的安全分权管理系统,其特征在于:拓扑模块、设备配置管理模块和所有业务模块通过安全模块校验登录用户的网管对象集合,将该用户没有操作许可的网管对象过滤掉,登录用户仅能看见具有操作许可的网管对象。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2003101160531A CN1556615A (zh) | 2003-12-30 | 2003-12-30 | 分布式网管平台的安全分权管理系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2003101160531A CN1556615A (zh) | 2003-12-30 | 2003-12-30 | 分布式网管平台的安全分权管理系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN1556615A true CN1556615A (zh) | 2004-12-22 |
Family
ID=34337505
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2003101160531A Pending CN1556615A (zh) | 2003-12-30 | 2003-12-30 | 分布式网管平台的安全分权管理系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1556615A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103023983A (zh) * | 2011-11-24 | 2013-04-03 | 卡巴斯基实验室封闭式股份公司 | 用于分布计算机安全任务的处理的系统及方法 |
| CN103181119A (zh) * | 2010-10-29 | 2013-06-26 | 国际商业机器公司 | 管理不同通信协议网络之间的通信 |
| CN106341267A (zh) * | 2016-09-18 | 2017-01-18 | 深圳震有科技股份有限公司 | 一种多级网管系统中的北向接口模块及其信息处理方法 |
-
2003
- 2003-12-30 CN CNA2003101160531A patent/CN1556615A/zh active Pending
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103181119A (zh) * | 2010-10-29 | 2013-06-26 | 国际商业机器公司 | 管理不同通信协议网络之间的通信 |
| CN103181119B (zh) * | 2010-10-29 | 2016-03-09 | 国际商业机器公司 | 管理不同通信协议网络之间的通信 |
| US9609065B2 (en) | 2010-10-29 | 2017-03-28 | International Business Machines Corporation | Bridge for implementing a converged network protocol to facilitate communication between different communication protocol networks |
| CN103023983A (zh) * | 2011-11-24 | 2013-04-03 | 卡巴斯基实验室封闭式股份公司 | 用于分布计算机安全任务的处理的系统及方法 |
| CN103023983B (zh) * | 2011-11-24 | 2015-08-26 | 卡巴斯基实验室封闭式股份公司 | 用于分布计算机安全任务的处理的系统 |
| CN106341267A (zh) * | 2016-09-18 | 2017-01-18 | 深圳震有科技股份有限公司 | 一种多级网管系统中的北向接口模块及其信息处理方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8490150B2 (en) | System, method, and software for enforcing access control policy rules on utility computing virtualization in cloud computing systems | |
| US20050060572A1 (en) | System and method for managing access entitlements in a computing network | |
| CN105488431A (zh) | 区块链系统权限管理方法和装置 | |
| CN108092806A (zh) | 一种基于多云平台的多角色管理方法 | |
| CN104601367B (zh) | 一种基于ad域的虚拟桌面管理方法 | |
| CN105184144A (zh) | 一种多系统权限管理方法 | |
| WO2011072271A1 (en) | Delegated and restricted asset-based permissions management for co-location facilities | |
| CN108322432A (zh) | 一种基于树形组织模型的机构应用权限管理方法及服务系统 | |
| CN111935073A (zh) | 一种基于多组织架构的云平台的权限管理方法及系统 | |
| CN102393889A (zh) | 一种权限配置管理系统 | |
| CN104008441A (zh) | 一种自动提交版本库归档的任务管理系统及方法 | |
| CN109063436A (zh) | 支持多应用的企业级权限管控和应用方法 | |
| CN106534202A (zh) | 一种权限处理方法及装置 | |
| CN106790060A (zh) | 一种基于角色访问控制的权限管理方法及装置 | |
| CN104091130A (zh) | 企业数据管理平台中的权限控制方法 | |
| CN112230832B (zh) | 一种跨组织用户的分级管理系统 | |
| CN104363306A (zh) | 一种企业私有云管理控制方法 | |
| CN1556615A (zh) | 分布式网管平台的安全分权管理系统 | |
| CN108418786A (zh) | 一种云计算数据安全支撑平台 | |
| CN107193949A (zh) | 基于活动目录组织架构的新建组织的方法及系统 | |
| CN102999810B (zh) | 一种银行应用系统管理平台及权限控制方法 | |
| CN102148696A (zh) | 对网络业务进行管理的方法和系统 | |
| CN201118607Y (zh) | 统一身份认证平台系统 | |
| CN112995112A (zh) | 一种跨云管理平台的资源管理方法 | |
| CN112667360A (zh) | 一种基于Kubernetes与docker统一调度云平台系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| ASS | Succession or assignment of patent right |
Owner name: HUAWEI TECHNOLOGY CO., LTD. Free format text: FORMER OWNER: GANGWAN NETWORK CO., LTD. Effective date: 20060922 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20060922 Address after: 518129 Bantian HUAWEI headquarters office building, Longgang District, Guangdong, Shenzhen Applicant after: Huawei Technologies Co., Ltd. Address before: 100089, No. 21 West Third Ring Road, Beijing, Haidian District, Long Ling Building, 13 floor Applicant before: Harbour Networks Holdings Limited |
|
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Open date: 20041222 |