WO2010031343A1 - 一种授权控制的方法、装置和系统 - Google Patents

Description

一种授权控制的方法、 装置和系统

本申请要求了 2008年 9月 18日提交的、 申请号为 200810211675. 5、 发明名称为 "一种授权控 制的方法、 装置和系统" 的中国申请的优先权， 其全部内容通过引用结合在本申请中。 技术领域 本发明涉及通信技术领域， 特别涉及一种授权控制的方法、 装置和系统。 发明背景 开放移动联盟 (Open Mobile Alliance, 0MA) 设备管理 (Device Management, DM) VI. 2是设 备管理的统一规范。 DM系统提供了一种低成本方案， 用于第三方管理和设置无线网络终端设备中的 环境和配置信息， 解决这些网络设备在使用过程中遇到的问题， 通过无线网络 (Over The Air, OTA) 方式进行软件和固件的安装、 升级等操作， 并提供更加人性化和个性化的服务， 提高用户体验。 第 三方可以是移动运营商， 业务提供商或者合作方的信息管理部门。 一种 DM系统的结构示意图如图 1 所示：

终端设备 101上的设备管理代理 102(DM Agent )用于解释和执行设备管理服务器 105(DM Server) 下发的管理命令。 终端设备上存储的管理树 103可以被认为是一个 DM Server通过 DM协议对终端设 备进行管理的接口。 管理树 103包括一些基本管理对象 104 (Management Object, M0)， DM Server 通过对管理树对象的操作达到控制终端设备的目的。 管理树由节点 （管理对象） 组成， 节点分为根 节点、 内部节点和叶子节点， 节点都有自己的属性。 某节点的上一层节点称为父节点， 叶子节点可 以有节点值但不能再有子节点， 内部节点没有节点值有子节点。

由于设备生产厂商的竞争， 不同类型的终端设备会有不同的内部结构， 因此在 DM服务器对终端 设备进行管理之前， 需要设备描述框架 （Device Description Framework， DDF) 使设备的生产商 可以对终端设备进行描述， 并告知 DM服务器， 使 DM服务器可以根据这个描述对终端设备进行管理。

一个 DM系统可以有多个管理方，即多个 DM服务器，此时需要使用节点的访问控制列表（Access Control List, ACL) 属性来控制不同的 DM服务器对相应的管理树及其节点的操作， 即在节点上对 DM服务器进行授权， 使用 ACL条目的形式， 例如〈命令〉 = 〈服务器标识〉， 这表示该服务器标识对 应的 DM服务器可以在该节点上执行某个命令。

发明人在实现本发明的过程中发现现有技术存在以下问题：当 DM服务器具有更改访问控制列表 权限时， 就具有了其它的所有操作权限， 现有技术仍然需要使用每个操作对应的标识一一标示出其 权限， 具有权限表示复杂的问题。 发明内容 本发明实施例要解决的技术问题是提供一种授权控制方法、 装置和系统， 能够简化权限表示。 一种授权控制的方法， 包括：

接收管理服务器发送的更改访问控制列表的命令；

根据访问控制列表更改权限列表判断所述管理服务器对所述访问控制列表是否具有更改权限， 如果是， 则执行所述更改访问控制列表的命令， 所述的访问控制列表更改权限列表仅用于标识管理 服务器更改访问控制列表的权限。

一种授权控制的方法， 包括：

接收管理服务器发送的操作命令；

获取所述操作命令指向节点的管理对象的根节点的位置， 根据所述根节点中存储的访问控制列 表判断所述管理服务器是否具有所述操作权限， 如果是， 则执行所述操作命令。

一种授权控制的方法， 包括：

接收管理服务器发送的更改访问控制列表命令；

根据更改节点权限标识判断所述管理服务器是否具有更改权限； 若是， 则判断所述管理服务器 是否具有更改访问控制列表权限； 若是， 则执行更改访问控制列表命令。

一种授权控制装置， 包括：

命令接收单元， 用于接收管理服务器发送的操作命令；

权限判断单元， 用于判断所述管理服务器是否具有更改访问控制列表权限；

命令执行单元， 用于当所述权限判断单元的判断结果为是时， 则执行所述操作命令。

一种授权控制装置， 包括：

命令接收单元， 用于接收管理服务器发送的操作命令；

权限判断单元，用于根据所述操作命令对应的权限标识所述管理服务器是否具有所述操作权限； 根据根节点存储的所述操作命令对应的权限标识判断所述管理服务器是否具有所述操作权限； 根节点位置获取单元， 用于当根据所述操作命令对应的权限标识所述管理服务器不具有所述操 作权限， 则获取所述操作命令指向节点的管理对象的根节点的位置；

命令执行单元， 用于当所述根节点存储的所述操作命令对应的权限标识所述管理服务器具有所 述操作权限时， 执行所述操作命令。

一种授权控制装置， 包括：

操作命令接收单元， 用于接收管理服务器发送的更改访问控制列表命令；

操作权限判断单元， 根据更改节点权限标识判断所述管理服务器是否具有更改权限； 若是， 则 判断所述管理服务器是否具有更改访问控制列表权限；

操作命令执行单元， 用于当所述操作权限判断单元判断所述管理服务器是否具有更改访问控制 列表权限的判断结果为是时， 则执行更改访问控制列表命令。

一种授权控制系统， 包括：

管理服务器， 终端；

终端， 用于接收管理服务器发送的操作命令； 判断所述管理服务器是否具有更改访问控制列表 权限； 如果是， 则执行所述操作命令。

一种授权控制系统， 包括：

管理服务器， 终端；

终端， 用于接收管理服务器发送的操作命令； 根据所述操作命令对应的权限标识判断所述管理 服务器是否具有所述操作权限； 如果否， 则获取所述操作命令指向节点的管理对象的根节点的位置; 根据所述根节点存储的所述操作命令对应的权限标识判断所述管理服务器是否具有所述操作权限， 如果是， 则执行所述操作命令。

一种授权控制系统，， 包括：

管理服务器， 终端；

终端， 用于接收管理服务器发送的更改访问控制列表命令； 根据更改节点权限标识判断所述管 理服务器是否具有更改权限； 若是， 则判断所述管理服务器是否具有更改访问控制列表权限； 若是， 则执行更改访问控制列表命令。

上述技术方案具有如下有益效果：通过判断服务器是否具有更改访问控制列表更改权限，来判 断所有其他的操作权限， 使得服务器具有更改访问控制列表权限时只需要使用一个标识来表示， 能 够简化权限的表示。 附图简要说明 图 1为现有技术设备管理系统结构示意图；

图 2为本发明方法实施例一流程图；

图 3为本发明方法实施例二流程图；

图 4为本发明方法实施例三流程图；

图 5为本发明方法实施例五流程图；

图 6为本发明实施例六装置结构示意图；

图 7为本发明实施例七装置结构示意图；

图 8为本发明实施例八装置结构示意图；

图 9为本发明实施例九装置结构示意图；

图 10为本发明实施例九另一装置结构示意图； 图 11为本发明实施例十装置结构示意图；

图 12位本发明实施例十一系统结构示意图。

实施本发明的方式 本发明实施例要解决的技术问题是提供一种访问控制列表授权控制方法、 装置和系统， 能够简 化权限的表示。

本发明实施例提供的一种权限控制方法可以通过以下技术方案实现：

接收管理服务器发送的操作命令； 判断所述管理服务器是否具有更改访问控制列表权限； 如果 是， 则执行所述操作命令。

上述方法的执行主体可以为终端设备， 可以理解的是终端设备有很多种， 具体是哪一种终端设 备不应作为本发明实施例的限定。

上述方案通过判断服务器是否具有更改访问控制列表权限， 来判断所有其他的操作权限， 使得 服务器具有更改访问控制列表权限时只需要使用一个标识来表示， 能够简化权限的表示。

实施例一， 当上述操作命令为更改访问控制列表命令时， 本发明实施例提供的授权控制的方法 可以通过如下步骤实现， 如图 2所示；

步骤 201: 接收管理服务器发送的更改访问控制列表命令；

步骤 202: 根据访问控制列表更改权限列表判断所述管理服务器是否对所述访问控制列表具有 更改权限；

在本步骤执行前需要将管理服务器的标识载入 ACL更改权限列表，被列入 ACL更改权限列表的管 理服务器具有更改 ACL的权限。 ACL更改权限标识可以用 ACL— Change来表示， 可以用 (^—(¾3：¾6=〈361^61-1(16：1 6 3>表示管理服务器 server-identifiers具有对该节点的 ACL进行更 改的权限； 访问控制列表更改权限标识不用于表示更改节点值的权限等更改访问控制列表权限以外 的其他更改权限； 可以理解的是对于 ACL权限的标识的名称和授权形式并不对本发明实施例构成限 定；

当接收到其它操作命令时， 例如接收到第二更改命令时， 所述第二更改命令为： 更改访问控制 列表命令以外的其它更改命令； 所述管理服务器具有更改访问控制列表权限时， 确定所述管理服务 器具有更改访问控制列表命令以外的其它操作权限， 可以执行所述第二更改命令。 当然其它操作命 令并不仅限于第二更改命令， 还可以是査找等操作命令。

在后续实施例中将以更改节点值命令作为第二更改命令的例子进行说明， 可以理解的是更改节 点值命令不是所述第二更改命令的穷举， 不应理解为对第二更改命令的限定。

步骤 203: 是则执行更改访问控制列表命令， 否则拒绝执行更改访问控制列表命令。

上述步骤的执行主体可以为终端设备，可以理解的是终端设备有很多种，具体是哪一种终端设 备不应作为本发明实施例的限定。

上述步骤 201还可以接收管理服务器发送的除更改访问控制列表命令以外的其它更改命令，这时 可以判断更改节点权限标识是否标示所述服务器具有所述其它权限； 如果是， 则执行所述除更改访 问控制列表命令以外的其它更改命令。

所述 ACL更改权限标识还可以拆分成更细化的更改权限标识，如 ACL更改权限标识 ACL— Replace

ACL增加权限标识 ACL— Add、 ACL删除权限标识 ACL— Delete等来标识管理服务器是否具有对应的操作权 限；

原有的更改节点权限标识可以仍然为原有的属性；也可以将更改节点权限标识的属性限定在对 节点值等更改权限的判断， 而不再具有标识 ACL更改权限的用途， 后一种方式可以分别独立表示更改 节点值权限和更改访问控制列表权限， 为优选方案， 可以理解的是原有的更改节点权限标识的属性 是否更改不影响本发明实施例的实现。

可以设定 ACL更改权限列表不存储于管理树的叶子节点，当接收到的更改 ACL命令指向的节点为 ACL管理树的叶子节点时， 根据所述叶子节点的父节点存储的 ACL更改权限列表来判断所述服务器是 否具有更改 ACL的权限。

通过增加更改访问控制列表权限标识标示 ACL的更改权限，将 ACL的更改权限与其它更改权限分 离， 使权限分工明确， 达到操作井然有序。

实施例二， 本发明实施例还提供了子节点继承根节点的方法， 如图 3所示：

步骤 301 : 接收管理服务器发送的更改访问控制列表命令； 当然这里也可以是其它操作命令； 所述其它操作命令为更改访问控制列表以外的其它任何操作命令， 例如第二更改命令， 査询命令等； 步骤 302: 根据 ACL更改权限列表判断所述管理服务器是否对所述 ACL具有更改权限； 相应的步 骤 301如果为其它操作命令这里需要根据其它权限列表判断是否具有其它对应的权限。

步骤 303: 当所述操作命令指向的节点中的 ACL为空，则可以获取操作命令指向的节点的管理对 象的根节点的位置； 为叙述方便， 统称所述操作命令指向的节点的管理对象的根节点为操作命令指 向的节点的根节点， 后续描述不再赘述。

本实施例可以在 M0的根节点设置根节点的所有子节点 ACL标识的权限， 子节点均直接继承 M0根 节点的 ACL， 子节点的 ACL可以为空； 本实施例并不仅仅局限于更改访问控制列表命令， 其它操作命 令也可以一并参考本实施例；

获取上述更改访问控制列表命令指向节点的根节点的方法可以是：

存储上述命令指向的节点与其根节点的对应关系；

所述子节点与其根节点的对应关系可以存储在终端上， 当然存储在其它位置也可以，本发明实 施例并不对此进行限定； 根据所述存储的子节点与其根节点的对应关系获取子节点的根节点的位置； 或 接收服务器发送的操作命令，所述操作命令包含子节点的根节点的位置信息；服务器在发送命 令前可以通过 DDF确定 M0根节点的位置， 然后在下发管理命令的消息中同时指定 M0的根节点， 当然采 用其它方式确定根节点的位置不影响本发明实施例的实现。

根据所述根节点的位置信息获取根节点的位置。当然还可以有其它方式获取根节点的位置，本 实施例并不对获取的方式进行限定。

步骤 304: 根据所述根节点存储的 ACL更改权限列表判断所述管理服务器是否对所述 ACL具有更 改权限； 当为其它操作命令时， 此处应为根据根节点存储的其它权限列表判断管理服务器是否具有 其它操作权限。

在步骤 303之前还可以先获取用标志位标示的继承规则，如，标志位等于 0表示继承上一级节点 的权限， 标志位等于 1表示继承管理对象根节点的权限， 标志位等于 2表示不继承。 那么：

可以设置标志位来决定 ACL的继承规则， 所述标志位可以在服务器发送的管理命令中指定， 也 可以预置在终端，还可以存储在管理树的某个节点中，例如在设备信息 Devlnfo或设备细节 DevDetail 等管理对象的某节点中， 通过对节点值的设置来指定继承规则； 还可以作为执行管理命令的参数与 管理命令一起发送， 而对该参数的支持也可反映在终端的设备信息中， 例如设备信息中有一个 SupportACLFromMO节点， 该节点存在与否或其节点值可用于表示终端是否支持从 M0根节点继承 ACL。 当然， 标志位还可以标志某个节点的 ACL值为非空时继承或不继承 M0根节点的 ACL。

步骤 305: 如果所述管理服务器对所述访问控制列表具有更改权限则执行更改访问控制列表命 令； 当为其它操作命令时， 如果所述管理服务器对所述访问控制列表具有更改权限， 则执行其它操 作命令。

上述步骤的执行主体可以为终端设备，可以理解的是终端设备有很多种，具体是哪一种终端设 备不应作为本发明实施例的限定。

上述实施例将子节点的 ACL统一存储在根节点的 ACL内，方便统一管理提高了设置、更改等管理 的效率。 根据根节点位置通过命令携带或存储的方式可以方便地找到根节点， 提高了判断权限的效 率。

增加的标志位标识继承规则使子节点继承根节点的方式更灵活。

当操作命令指向节点的 ACL为空或非空的时候仍然能够从其根节点 ACL中判断出管理服务器的 权限， 实现了在 ACL为空或非空的时候子节点仍然能继承根节点存储的权限。

实施例三， 本发明实施例还提供了操作命令的执行方法， 如图 4所示：

步骤 401 : 接收管理服务器发送的更改访问控制列表命令；

所述更改访问控制列表命令可以使用包括更改 ACL— Replace、 增加 ACL— Add、 删除 ACL— Delete 等标识来确定权限； 各种更改命令的执行过程在本实施例将有更详细的说明； 可以理解的是命令的 名称对本发明实施例不构成限定；

步骤 402: 根据访问控制列表更改权限列表判断所述管理服务器是否对所述访问控制列表具有 更改权限；

步骤 403: 是则査找访问控制列表中需要更改的项；

步骤 404: 更改所述需要更改的项。

上述步骤的执行主体可以为终端设备，可以理解的是终端设备有很多种，具体是哪一种终端设 备不应作为本发明实施例的限定。

下面将以增加 Add、 删除 Delete操作为例进行详细说明， 可以理解的是更改操作并不仅限于增 加和删除。对于管理服务器是否有权限使用 Add Delete命令来设置 ACL，可以用 ACL— Add和 ACL— Delete 标识来分别限定； 也可以使用 Add和 Delete标识来限定， 例如 Add=321— ibm. com&Delete=321_ibm. com 表示管理服务器 321— ibm. com可以使用 Add和 Delete命令来设置 ACL; 另外还可以仍然使用 Replace条 目来限定，例如 Replace=321— ibm. com表示管理服务器 321— ibm. com可以使用 Add和 Delete命令来设置 ACL

本发明实施例使用 Add命令来为节点 A的 ACL添加值， 可以为：

<Add>

<CmdID>4</CmdID>

<Item>

<TargetXLocURI>. /A?prop=ACL</LocURIX/Target> <！—表示 Add命令的目标是节点 A的 ACL ―)

<Data> " Replace=321_ibm. com" </Data> <！— 表示为节点 A的 ACL添加一个管理服务 器

</Item>

</Add>

在上述命令〈Target>〈LocURI>这一行表示 Add命令是针对节点 A的 ACL进行添加。 〈Data>这一行 的字符串 "Replace=321— ibm. com"表示为该节点的 Replace权限添加一个管理服务器 321— ibm. com 命令执行完后， 节点 A的 ACL即变为 Replace= www. sonera. fi- 8765+321— ibm. com。 另外， 若原 ACL中 没有 Replace这个条目， 则该命令即对该节点增加 Replace这个条目。

再举一例， 例如节点 A的 ACL为：

Get=*&Add=www. sonera. fi- 8765

管理服务器下发命令添加 ACL值， 可以为： <Add>

<CmdID>4</CmdID>

<Item>

<TargetXLocURI>. /A?prop=ACL</LocURI X/Target > <！— 表示 Add命令的目标是节点 A的 ACL —― >

<Data> " Get=321_ibm. com & Add=* & Replace=321— ibm. com" </Data> <！—表示为节点 A 的 ACL添加 ACL值→

</Item>

</Add>

则添加后的 ACL为：

Get=*&Add=* & Replace=321— ibm. com

其中， 由于原来 Get=*， 所以添加一个管理服务器后仍然保持不变； 原来 Add=www. sonera. f i-8765, 添加 Add=*后， 变为 Add=*; 另外还添加了 Replace=321— ibm. com条目。

可以理解的是以上两个例子并不是添加命令的穷举，所以添加命令的具体形式不对本发明构成 限定。

本发明实施例使用 De 1 e te命令来删除节点 A的 ACL值， 可以为：

例如节点 A原有的 ACL为：

Get=*&Replace=321_ibm. com &Delete= www. sonera. fi— 8765+321— ibm. com

执行 Delete命令为：

<Delete>

<CmdID>4</CmdID>

<Item>

<TargetXLocURI>. /A?prop=ACL</LocURI X/Target > <！—表示 Delete命令的目标是节点 A 的 ACL --〉

<Data> " Get=321_ibm. com&Replace=321_ibm. com&Delete=321_ibm. com" </Data>〈！ --表 示为节点 A删除一些 ACL值→

</Item>

</Delete>

由于原来 Get=*，所以从其中删除掉 Get=321— ibm. com时可以有几种处理方式，一是采用一种新 的表示方法来表示排除掉的管理服务器， 如 Get=*-321— ibm. com; 二是向管理服务器反馈错误， 然后 管理服务器重新处理。 采用第一种处理方式时， "-"号为保留字符， 当然， 也可以使用其它字符作 为保留字符， 例如 " "、 "~"等， 此时管理服务器标识中不能再使用保留字符。

现假设采用第一种处理方式， 则删除后节点 A的 ACL可以为：

Get=氺- 321— ibm. com&Delete= www. sonera. f i- 8765

如果需要删除管理服务器在节点 A上的所有权限， 还可以用这样的方式来表示， 如：

<Delete>

<CmdID>4</CmdID>

<Item>

<TargetXLocURI>. /A?prop=ACL</LocURIX/Target> <！— 表示 Delete命令的目标是 节点 A的 ACL →

<Data> " 321_ibm. com" </Data> <！— 表示为节点 A删除 321— ibm. com管理服务器的所 有权限 -->

</Item>

</Delete>

可 以 用 〈Data> " Replace " </Data> 表 示删 除 该 节 点 ACL 的 Replace 条 目 ； 用 <Data> " all "〈/Data>或在命令中不包含〈Data i表示删除整个 ACL值， 节点的 ACL即变为空。

本发明实施例还可以使用 Get命令获取节点 ACL中与某管理服务器对应的权限信息。 例如节点 A 的 ACL为：

Get=*&Replace= 321— ibm. com&Delete= www. sonera. fi- 8765+321— ibm. com

管理服务器使用 Get命令， 可以为：

<Get>

<CmdID>4</CmdID>

<Item>

<TargetXLocURI>. /A?prop=ACL</LocURIX/Target> <！—表示 Get命令的目标是节点

A的 ACL ——>

<Data> " 321— ibm. com" </Data> <！—表示获取节点 A关于 321— ibm. com管理服务器的 所有权限 --〉

</Item>

</Get>

终端向管理服务器反馈的消息可以为：

<Results>

<MsgRef>K/MsgRefXCmdRef>4</CmdRef> <CmdID>3</CmdID>

<Item>

<Source>

<LocURI>. /A?prop=ACL </LocURI> <！—表示反馈的是节点 A的 ACL相关信息 --〉 </Source>

<Data> " Get=321_ibm. com & Replace=321— ibm. com & Delete=321— ibm. com" </Data>< ! -表示节点 A关于 321— ibm. com管理服务器的所有权限

</Item>

</Results>

上述命令中终端将在〈Data>中反馈节点 A的所有关于 321— ibm. com管理服务器的权限信息，本发 明实施例对反馈的方式不限定为 ACL值的形式，能表示出管理服务器在该节点上具有的权限的其它方 式不影响本发明实施例的实现， 例如可以这样表示： 〈Data> " Get, Replace, Delete " 〈/Data> 另外管理服务器还可以获取哪些管理服务器具有某种指定权限， 如：

<Get>

<CmdID>4</CmdID>

<Item>

<TargetXLocURI>. /A?prop=ACL</LocURIX/Target> <！—表示 Get命令的目标是节点

A的 ACL ——>

<Data> " Delete " </Data> <！—表示获取对节点 A有 Delete权限的所有管理服务器的 息 >

</Item>

</Get>

在反馈消息中， 终端告知相关信息， 例如：

<Data> " www. sonera. fi- 8765+321— ibm. com" </Data>

管理服务器在下发的获取命令中可以包括管理服务器标识或某个操作的标识，终端需要区分是 前者还是后者， 可以这样来判断， 先判断是否是操作的标识， 若不是， 则认为是服务器标识。 当然， 服务器也可以在获取命令中明确说明是服务器标识还是操作标识。

以上对几种操作命令进行了详细介绍，可以理解的是上述例子并不是对应操作的穷举，上述具 体的实现方式不对本发明实施例构成限定。

上述实施例通过査询对应的操作条目， 然后对对应的条目进行修改， 不需要获取 ACL的全部然 后再整体更改， 使设置更加灵活方便。 实施例四，本发明实施例还提供了通过表示零个到任意多个字符的通配符来表示一类管理服务 器的方法。

通常服务器可以是" *"或" =" "*" " + "等已经具有特定用途的字符以外的字符标识。 "*" 表示所有服务器都具有相应权限， 而后者为指定一个有权限的服务器。 这样的表示方法只能表示全 体服务器或指定的一个服务器， 而不能表示指定的一类服务器， 举例说明本发明实施例提供标识管 理服务器的方法， 可以为：

Add=www. sonera. fi氺 & Replace=www. sonera. f i氺 +32?— ibm. com & Get=氺

其中 www. sonera. fi*可以表示以 www. sonera. fi开头的所有管理服务器， 包括 www. sonera. fi 服务器本身， 而 " * " 代表 0个到任意多个其它任何合法字符， 例如 . sonera. fi-123、 www. sonera. fi. abc等。

其中 32?— ibm. com中的问号 "？ "可以代表 0个或 1个其它任何合法字符， 例如 32— ibm. com、 323_ibm. com。

这里 "*"和 "？"可以用在服务器标识的任意位置。

管理服务器标识的语法可以为： 〈服务器标识 > : : = * I "除了 ' =' ， '&' , '+' 等已经 具有特定用途的字符和空格以外的所有可显示字符" 。

可以理解的是根据上述实施例的思想还可以有很多类型的通配符，并且有不同的符号，所以通 配符表示字符的形式和通配符的符号都不对本实施例构成限定。

上述实施例通过增加同配符的方式，达到了表示一类指定管理服务器的目的，当进行操作时可 以对指定的一类管理服务器进行需要的操作， 使操作更简便。

实施例五， 本发明实施例还提供另一种授权控制的方法， 如图 5所示：

步骤 501 : 接收管理服务器发送的更改访问控制列表命令；

步骤 502: 根据更改节点权限列表判断所述管理服务器是否具有更改权限； 若是， 则判断所述 服务器是否具有更改访问控制列表权限；

上述判断所述服务器是否具有更改访问控制列表权限； 可以是： 获取所述服务器的排序位置； 当所述位置在排序的指定范围时， 判断所述服务器具有更改访问控制列表权限；

上述获取所述服务器的排序位置可以是：获取所述服务器的优先级；当所述优先级为最高优先 级时， 判断所述服务器具有更改访问控制列表权限。使用最高优先级只是为了区别于其它更改权限， 当然这里最高优先级也可理解为最低优先级， 或者其它能够确定的优先级； 甚至是具有一定优先级 的服务器； 可以理解的是优先级的表述不会对本发明实施例造成限定；

举例说明优先级的判断方法：

假如节点 A原始的 ACL为： Replace= www. sonera. fi-8765; 表示服务器 w . sonera. f i-8765对节点 A的值具有更改节点值权限，包括更改节点 A的 ACL属性。 现若欲使用服务器 321— ibm. com对节点 A进行管理， 则原服务器 ww. sonera. f i-8765可以把新服务器 标识 321— ibm. com加入其中， 节点 A的 ACL变为： Replace= · sonera. fi- 8765+321— ibm. com; 按照现有技术两个服务器对节点 A的值都有更改节点值权限， 我们可以规定排在最前面的服务 器 www. sonera. f i-8765具有最高的优先级。 可以理解的是本发明并不限定具有最高优先级的服务器 的规定方式， 规定具有最高优先级的服务器的方式并不对本发明构成限定。

步骤 503: 如果均为是则执行更改访问控制列表命令， 否则拒绝执行更改访问控制列表命令。 上述步骤的执行主体可以为终端设备，可以理解的是终端设备有很多种，具体是哪一种终端设 备不应作为本发明实施例的限定。

通过服务器权限的排序，例如优先级排序的判断可实现授予一个或几个服务器具有更改访问控 制列表的目的， 并且其它服务器仍然能够被授予更改节点值的权限， 使权限分工明确， 达到操作井 然有序。

实施例五与实施例一的区别在于，实施例五为可以通过判断优先级来区分节点值的更改权限与 更改 ACL的权限， 实施例一为， 增加权限标识来区分上述两种权限； 在实施例五的基础上综合运用实 施例二到实施例四的方法与实施例一综合运用实施例二到实施例四的方法类似， 不同点在于实施例 五中最高优先级的服务器对应实施例一中具有更改访问控制列表权限的服务器， 以实施例五为基础 的其它实施例的具体实施方式在此不再赘述。

实施例六， 如图 6所示， 本发明实施例还提供了一种授权控制装置， 包括：

命令接收单元 601， 用于接收管理服务器发送的操作命令；

权限判断单元 602， 用于判断所述管理服务器是否具有更改访问控制列表权限；

命令执行单元 603， 用于当所述判断为是则执行所述操作命令。

上述方案通过判断服务器是否具有更改访问控制列表更改权限， 来判断所有其他的操作权限， 使得服务器具有更改访问控制列表权限时只需要使用一个标识来表示， 能够简化权限的表示。

当然， 上述操作命令可以为更改访问控制列表命令， 这时；

所述命令接收单元 601可以包括命令接收子单元， 用于接收更改访问控制列表命令； 所述权限判断单元 602可以包括权限判断子单元， 用于判断预置的访问控制列表更改权限标识 是否表示所述管理服务器对所述命令指向的访问控制列表具有更改权限；

所述命令执行单元 603可以包括命令执行子单元， 用于执行所述更改访问控制列表命令。 通过增加更改访问控制列表权限标识标示 ACL的更改权限，将 ACL的更改权限与其它更改权限分 离， 使权限分工明确， 达到操作井然有序。

实施例七， 如图 7所示， 上述命令执行单元 603可以包括： 操作项査找单元 701， 用于査找所述操作命令指向操作项；

命令执行单元 702， 用于执行所述操作命令。

上述实施例通过査找到对应项后执行操作命令， 可以针对单个项进行操作， 使操作更加灵活。 实施例八， 如图 8所示， 本发明实施例还提供了另一种授权控制装置， 包括：

命令接收单元 801， 用于接收管理服务器发送的操作命令；

权限判断单元 802， 用于根据所述操作命令对应的权限标识判断所述管理服务器是否具有所述 操作权限；根据根节点存储的所述操作命令对应的权限标识判断所述服务器是否具有所述操作权限； 根节点位置获取单元 803， 用于当根据所述操作命令对应的权限标识所述管理服务器不具有所 述操作权限， 则获取所述操作命令指向节点的管理对象的根节点的位置；

命令执行单元 804， 用于当所述根节点存储的所述操作命令对应的权限标识所述服务器具有所 述操作权限时， 执行所述操作命令。

上述实施例通过获取存储的根节点的位置可以直接得到根节点的权限， 然后继承根节点的权 限， 使权限的继承更加方便。

实施例九， 如图 9所示， 所述根节点位置获取单元 803还可以包括：

根节点位置存储单元 901， 用于存储所述操作命令指向的节点与其管理对象的根节点的对应关 系；

根节点位置査找单元 902， 用于根据所述存储的所述操作命令指向的节点与其管理对象的根节 点的对应关系査找所述操作命令指向节点的管理对象的根节点的位置； 或如图 10所示

根节点位置接收单元 1001，用于接收服务器发送的操作命令，所述操作命令包含所述操作命令 指向节点的管理对象的根节点的位置信息；

根节点位置査找单元 1002， 用于根据所述根节点的位置信息获取根节点的位置。

实施例十， 本发明实施例还提供了另一种授权控制装置， 包括：

操作命令接收单元 1101， 用于接收管理服务器发送的更改访问控制列表命令；

操作权限判断单元 1102，根据更改节点权限标识判断所述管理服务器是否具有更改权限;若是， 则判断所述管理服务器是否具有更改访问控制列表权限；

操作命令执行单元 1103， 用于如果所述判断均为是则执行更改访问控制列表命令。

通过服务器权限的排序，例如优先级排序的判断可实现授予一个或几个管理服务器具有更改访 问控制列表的目的， 并且其它管理服务器仍然能够被授予更改节点值的权限， 使权限分工明确， 达 到操作井然有序。

实施例十一， 如图 12所示， 本发明实施例还提供了一种授权控制系统， 可以包括： 管理服务器

1201 , 终端 1202; 管理服务器 1201， 用于发送操作命令给终端 1202;

终端 1202，用于接收管理服务器 1201发送的操作命令；判断所述管理服务器 1201是否具有更改 访问控制列表权限； 如果是， 则执行所述操作命令。

通过判断服务器是否具有更改访问控制列表更改权限，来判断所有其他的操作权限，使得服务 器具有更改访问控制列表权限时只需要使用一个标识来表示， 能够简化权限的表示。

可以一并参阅图 12， 本发明实施例还提供了另一种授权控制系统， 包括：

管理服务器 1201， 终端 1202;

管理服务器 1201， 用于发送操作命令给终端 1202;

终端 1202，用于接收管理服务器 1201发送的操作命令；根据所述操作命令对应的权限标识判断 所述管理服务器 1201是否具有所述操作权限； 如果否， 则获取所述操作命令指向节点的管理对象的 根节点的位置； 根据所述根节点存储的所述操作命令对应的权限标识判断所述管理服务器 1201是否 具有所述操作权限， 如果是， 则执行所述操作命令。

上述实施例将子节点的 ACL统一存储在根节点的 ACL内，方便统一管理提高了设置、更改等管理 的效率。 根据根节点位置可以通过命令携带或存储的方式方便地找到根节点， 提高了判断权限的效 率。

可以一并参阅图 12、 本发明实施例又提供了再一种授权控制系统， 包括：

管理服务器 1201， 终端 1202;

管理服务器 1201， 用于发送操作命令给终端 1202;

终端 1202，用于接收管理服务器 1201发送的更改访问控制列表命令；根据更改节点权限标识判 断所述管理服务器 1201是否具有更改权限； 若是， 则判断所述服务器 1201是否具有更改访问控制列 表权限； 若是， 则执行更改访问控制列表命令。

判断所述服务器 1201是否具有更改访问控制列表权限； 的方法可以参阅方法实施例五；通过服 务器权限的排序， 例如优先级排序的判断可实现授予一个或几个管理服务器具有更改访问控制列表 的目的， 并且其它管理服务器仍然能够被授予更改节点值的权限， 使权限分工明确， 达到操作井然 有序。

通过以上的实施方式的描述， 本领域的技术人员可以清楚地了解到本发明可以通过硬件实现， 也可以可借助软件加必要的通用硬件平台的方式来实现基于这样的理解， 本发明的技术方案可以以 软件产品的形式体现出来， 该软件产品可以存储在一个计算机可读存储介质（可以是 CD-ROM, U盘， 移动硬盘等） 中， 包括若干指令用以使得一台计算机设备 （可以是个人计算机， 服务器， 或者网络 设备等）执行本发明各个实施例所述的方法。

以上所述， 仅为本发明较佳的具体实施方式， 但本发明的保护范围并不局限于此， 任何熟悉本 技术领域的技术人员在本发明揭露的技术范围内， 可轻易想到的变化或替换， 都应涵盖在本发明的 保护范围之内。 因此， 本发明的保护范围应该以权利要求的保护范围为准。

Claims

权利要求

1、 一种授权控制的方法， 其特征在于， 包括：

接收管理服务器发送的更改访问控制列表的命令；

根据访问控制列表更改权限列表判断所述管理服务器对所述访问控制列表是否具有更改权限， 如果是， 则执行所述更改访问控制列表的命令， 所述的访问控制列表更改权限列表仅用于标识管理 服务器更改访问控制列表的权限。

2、 根据权利要求 1所述方法， 其特征在于，

所述管理服务器用标识表示， 所述标识包含表示零个到任意多个字符的通配符。

3、 一种授权控制的方法， 其特征在于， 包括：

接收管理服务器发送的操作命令；

获取所述操作命令指向节点的管理对象的根节点的位置， 根据所述根节点中存储的访问控制列 表判断所述管理服务器是否具有所述操作权限， 如果是， 则执行所述操作命令。

4、 根据权利要求 3所述方法， 其特征在于， 所述获取所述操作命令指向节点的管理对象的根节 点的位置之前， 还包括：

获取继承规则信息， 根据所述继承规则信息确定所述操作命令指向的节点继承其管理对象的根 节点中标示的管理服务器的权限。

5、 根据权利要求 3所述方法， 其特征在于， 所述接收管理服务器发送的操作命令后还包括： 确定所述操作命令指向的节点中的访问控制列表为空。

6、 根据权利要求 3或 4或 5所述方法， 其特征在于， 所述获取所述操作命令指向节点的管理对象 的根节点的位置包括：

获取预先存储的所述操作命令指向节点与其管理对象的根节点的对应关系； 根据所述对应关系 获取所述操作命令指向节点的管理对象的根节点位置；

或， 接收管理服务器发送的操作命令， 所述操作命令包含所述操作命令指向的节点的管理对象 的根节点的位置信息； 根据所述根节点的位置信息获取根节点的位置。

7、 一种授权控制的方法， 其特征在于， 包括：

接收管理服务器发送的更改访问控制列表命令；

根据更改节点权限标识判断所述管理服务器是否具有更改权限； 若是， 则判断所述管理服务器 是否具有更改访问控制列表权限； 若是， 则执行更改访问控制列表命令。

8、 根据权利要求 7所述方法， 其特征在于， 所述判断管理服务器是否具有更改访问控制列表权 限包括：

获取所述管理服务器的排序位置； 当所述位置在排序的指定范围时， 判断所述管理服务器具有更改访问控制列表权限。

9、 根据权利要求 8所述方法， 其特征在于， 所述获取管理服务器的排序位置包括：

获取所述管理服务器的优先级；

所述判断所述服务器具有更改访问控制列表权限包括：

当所述优先级为最高优先级时， 判断所述管理服务器具有更改访问控制列表权限。

10、 一种授权控制装置， 其特征在于， 包括：

命令接收单元， 用于接收管理服务器发送的操作命令；

权限判断单元， 用于判断所述管理服务器是否具有更改访问控制列表权限；

命令执行单元， 用于当所述权限判断单元的判断结果为是时， 则执行所述操作命令。

11、 根据权利要求 10所述授权控制装置， 其特征在于， 所述操作命令为更改访问控制列表命令; 所述命令接收单元包括： 命令接收子单元， 用于接收更改访问控制列表命令；

所述权限判断单元包括： 权限判断子单元， 用于根据预置的访问控制列表更改权限标识判断所 述管理服务器对所述访问控制列表是否具有更改权限；

所述命令执行单元包括： 命令执行子单元， 用于执行所述更改访问控制列表命令。

12、 根据权利要求 10所述授权控制装置， 其特征在于， 所述命令执行单元包括：

操作项査找单元， 用于査找所述操作命令指向的操作项；

命令执行单元， 用于执行所述操作项。

13、 一种授权控制装置， 其特征在于， 包括：

命令接收单元， 用于接收管理服务器发送的操作命令；

权限判断单元，用于根据所述操作命令对应的权限标识所述管理服务器是否具有所述操作权限; 根据根节点存储的所述操作命令对应的权限标识判断所述管理服务器是否具有所述操作权限； 根节点位置获取单元， 用于当根据所述操作命令对应的权限标识所述管理服务器不具有所述操 作权限， 则获取所述操作命令指向节点的管理对象的根节点的位置；

命令执行单元， 用于当所述根节点存储的所述操作命令对应的权限标识所述管理服务器具有所 述操作权限时， 执行所述操作命令。

14、 根据权利要求 13所述授权控制装置， 其特征在于， 所述根节点位置获取单元包括： 根节点位置存储单元， 用于存储所述操作命令指向的节点与其管理对象的根节点的对应关系； 根节点位置査找单元， 用于根据所述根节点位置存储单元存储的所述操作命令指向的节点与其 管理对象的根节点的对应关系査找所述操作命令指向节点的管理对象的根节点的位置； 或

根节点位置接收单元， 用于接收服务器发送的操作命令， 所述操作命令包含所述命令指向节点 的管理对象的根节点的位置信息； 根节点位置査找单元， 用于根据所述根节点位置接收单元接收的根节点的位置信息获取根节点 的位置。

15、 根据权利要求 14所述授权控制装置， 其特征在于， 所述命令执行单元包括：

操作项査找单元， 用于査找所述操作命令指向的操作项；

命令执行单元， 用于执行所述操作项。

16、 一种授权控制装置， 其特征在于， 包括：

操作命令接收单元， 用于接收管理服务器发送的更改访问控制列表命令；

操作权限判断单元， 根据更改节点权限标识判断所述管理服务器是否具有更改权限； 若是， 则 判断所述管理服务器是否具有更改访问控制列表权限；

操作命令执行单元， 用于当所述操作权限判断单元判断所述管理服务器是否具有更改访问控制 列表权限的判断结果为是时， 则执行更改访问控制列表命令。

17、 根据权利要求 16所述授权控制装置， 其特征在于， 所述执行单元包括：

操作项査找单元， 用于査找所述更改访问控制列表命令指向的访问控制列表中需要更改的项； 命令执行单元， 用于更改所述需要更改的项。

18、 一种授权控制系统， 其特征在于， 包括：

管理服务器， 终端；

终端， 用于接收管理服务器发送的操作命令； 判断所述管理服务器是否具有更改访问控制列表 权限； 如果是， 则执行所述操作命令。

19、 一种授权控制系统， 其特征在于， 包括：

管理服务器， 终端；

终端， 用于接收管理服务器发送的操作命令； 根据所述操作命令对应的权限标识判断所述管理 服务器是否具有所述操作权限； 如果否， 则获取所述操作命令指向节点的管理对象的根节点的位置; 根据所述根节点存储的所述操作命令对应的权限标识判断所述管理服务器是否具有所述操作权限， 如果是， 则执行所述操作命令。

20、 一种授权控制系统， 其特征在于， 包括：

管理服务器， 终端；

终端， 用于接收管理服务器发送的更改访问控制列表命令； 根据更改节点权限标识判断所述管 理服务器是否具有更改权限； 若是， 则判断所述管理服务器是否具有更改访问控制列表权限； 若是， 则执行更改访问控制列表命令。