WO2021147652A1

WO2021147652A1 - 一种权限管理的方法及装置

Info

Publication number: WO2021147652A1
Application number: PCT/CN2020/142544
Authority: WO
Inventors: 杨娇; 刘军
Original assignee: 华为技术有限公司
Priority date: 2020-01-21
Filing date: 2020-12-31
Publication date: 2021-07-29
Also published as: CN113225296B; CN113225296A

Abstract

本申请涉及通信技术领域，公开了一种权限管理的方法及装置，用以实现标准化的对象权限控制，保证操作行为的安全性。运维系统可以根据第一原子对象的权限信息，确定所述第一用户是否具有对所述第一原子对象执行第一操作的权限。如果运维系统确定所述第一用户具有对所述第一原子对象执行所述第一操作的权限，则可以向第一设备发送第一消息，所述第一消息用于请求对所述第一原子对象执行所述第一操作。运维系统可以确定用户是否具有对某个原子对象执行某种操作权限，只有在具有权限时，才会向设备发送消息请求对原子对象执行操作，在不具有权限时，不向设备发送消息，可以在一定程度上保证操作行为的安全性，保证网络安全。

Description

一种权限管理的方法及装置

相关申请的交叉引用

本申请要求在2020年01月21日提交中国专利局、申请号为202010070662.1、申请名称为“一种权限管理的方法及装置”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及通信技术领域，尤其涉及一种权限管理的方法及装置。

背景技术

网络配置协议(network configuration protocol，NETCONF)是一种基于可扩展标记语言(extensible markup language，XML)的网络管理协议。近年来，YANG(Yet Another Next Generation)数据建模语言(data modeling language)被国际互联网工程任务组(the internet engineering task force，IETF)作为标准的NETCONF数据建模语言。它不仅可以建立配置数据的模型(model configuration data)，还可以建立各种操作和通知的模型，具有良好的可读性和可扩展性。目前，YANG语言可以对NETCONF协议的内容层、操作层和消息层进行数据建模。

然而，当前标准YANG不具备权限定义能力，无法保证操作行为的安全性。

发明内容

本申请实施例提供一种权限管理的方法及装置，实现标准化的对象权限控制，保证操作行为的安全性。

第一方面，提供了一种权限管理的方法，运维系统或者第三方中可以保存原子对象的权限信息。运维系统可以根据第一原子对象的权限信息，确定所述第一用户是否具有对所述第一原子对象执行第一操作的权限。如果运维系统确定所述第一用户具有对所述第一原子对象执行所述第一操作的权限，则可以向第一设备发送第一消息，所述第一消息用于请求对所述第一原子对象执行所述第一操作。

运维系统可以确定用户是否具有对某个原子对象执行某种操作的权限，只有在具有权限时，才会向设备发送消息请求对原子对象执行操作。在不具有权限时，不向设备发送消息。这样，可以在一定程度上保证操作行为的安全性，从而保证网络安全。

在一种可能的实现中，所述第一操作包括但不限于增加操作，删除操作，修改操作，查询操作中的任一种。

在一种可能的实现中，所述运维系统可以接收来自所述第一设备的所述第一原子对象的权限信息。

在一种可能的实现中，所述第一原子对象的权限信息包括对所述第一原子对象具有操作权限的用户的类型，以及所述类型的用户对所述第一原子对象具有权限的操作。用户类型例如可以是游客类型、管理员类型等。

在一种可能的实现中，所述运维系统在根据第一原子对象的权限信息，确定登录所述运维系统的第一用户是否具有对所述第一原子对象执行所述第一操作的权限时，可以是先根据对所述第一原子对象具有操作权限的用户的类型，确定所述第一用户的第一类型对所述第一原子对象是否具有操作权限。如果第一类型对所述第一原子对象不具有操作权限，则所述第一用户不具有对所述第一原子对象执行所述第一操作的权限。如果第一类型对所述第一原子对象具有操作权限，则可以再根据第一类型的用户对所述第一原子对象具有权限的操作，确定所述第一类型的用户对所述第一原子对象是否具有所述第一操作的权限，如果具有第一操作的权限，则确定所述第一用户具有对所述第一原子对象执行所述第一操作的权限。

针对各个用户的类型，设置对应的操作权限，后续可以通过用户的类型，准确、简洁、快速地确定出第一用户是否具有对所述第一原子对象执行所述第一操作的权限。

在一种可能的实现中，用户可以通过账户信息登录运维系统，则运维系统可以根据所述第一用户的账户信息，确定所述第一用户的第一类型。

在一种可能的实现中，所述运维系统还可以向所述第一设备发送第五消息，所述第五消息可以包括所述第一用户的第一类型的权限信息，所述第五消息可以用于对所述第一类型的权限信息进行认证。可选的，还可以接收到来自第一设备的响应消息，所述响应消息可以用于指示所述第一类型的权限信息认证通过或未认证通过。

运维系统向第一设备认证某种用户的类型的权限信息，这样可以使运维系统和第一设备针对该用户的类型保存相同的权限信息，以进一步保证网络安全。

在一种可能的实现中，所述运维系统向所述第一设备发送的第五消息可以是Netconf消息。进一步地，运维系统接收到的第五消息的响应消息也可以是Netconf消息。

运维系统要想管理第一设备中的原子对象，可以先向第一设备进行认证接入。一般情况下，运维系统通过Netconf消息向第一设备进行认证接入，在此实施例中，通过在Netconf消息中携带第一类型的权限信息，在认证运维系统的同时，也对权限信息进行认证，可以减少信令开销。

在一种可能的实现中，通过yang模型的标签指示所述第一原子对象的权限信息。例如yang模型的标签包括用户的类型标签和操作标签，所述用户的类型标签用于标识对所述第一原子对象具有操作权限的用户的类型，所述操作标签用于标识对所述第一原子对象具有操作权限的用户的类型的用户对所述第一原子对象具有权限的操作。

通过标准的yang模型表达权限信息，使得原子对象的权限信息模型化、标准化和自动化。更方便管理数据模型以及方便外部系统/工具的理解与对接。

第二方面，提供了一种权限管理的方法，第一设备可以向运维系统发送第一原子对象的权限信息，所述第一原子对象的权限信息用于确定登录所述运维系统的用户是否具有对所述第一原子对象执行第一操作的权限。进而，第一设备可以接收来自所述运维系统的第一消息，所述第一消息可以用于请求对所述第一原子对象执行第一操作。然后，所述第一设备可以对所述第一原子对象执行所述第一操作。

运维系统可以确定用户是否具有对某个原子对象执行某种操作的权限，只有在具有权限时，才会向第一设备发送消息请求对原子对象执行操作。在不具有权限时，不向第一设备发送消息。这样可以在一定程度上保证网络安全。

在一种可能的实现中，所述第一设备还可以接收来自所述运维系统的第五消息，所述第五消息可以包括第一类型的权限信息，所述第五消息可以用于对所述第一类型的权限信息进行认证；所述第一设备根据针对所述运维系统保存的权限信息，认证登录所述运维系统的第一类型的用户是否具有所述第五消息中包括的权限信息；并且所述第一设备向所述运维系统发送所述第五消息的响应消息，所述第五消息的响应消息用于指示所述第一类型的权限信息认证通过或未认证通过。当认证结果为第一类型的用户具有所述第五消息中包括的权限信息时，认证通过；否则，认证未通过。

第三方面，一种权限管理的方法，运维系统可以接收来自第二设备的第二消息，所述第二消息携带更新后的第二原子对象的权限信息。然后所述运维系统可以根据所述第二消息更新所述第二原子对象的权限信息。

设备和运维系统可以更新原子对象的权限信息，进一步提高网络安全。

在一种可能的实现中，运维系统还可以确定是否满足更新第二原子对象的条件，在确定需要更新所述第二原子对象的权限信息时，向所述第二设备发送第三消息，所述第三消息用于指示请求更新的所述第二原子对象的权限信息。进而，所述运维系统可以接收来自第二设备的第二消息，所述第二消息携带更新后的第二原子对象的权限信息。

运维系统可以在确定需要对原子对象的权限信息进行更新时，向第二设备请求能否更新，进一步提高网络安全。

在一种可能的实现中，运维系统在确定登录所述运维系统的第二用户请求允许或禁止所述第二用户对第二原子对象执行第二操作时，可以确定为需要更新所述第二原子对象的权限信息，一般，所述第二操作超出所述第二原子对象的权限信息对应的权限范围。

在一种可能的实现中，运维系统在确定登录所述运维系统的第二用户请求对所述第二原子对象执行第二操作的次数达到设定阈值时，所述第二操作超出所述第二原子对象的权限信息对应的权限范围，可以确定为需要更新所述第二原子对象的权限信息。

在一种可能的实现中，所述运维系统可以根据更新后的第二原子对象的权限信息，确定登录所述运维系统的第四用户是否具有对所述第二原子对象执行第四操作的权限。所述运维系统在确定所述第四用户具有对所述第二原子对象执行第四操作的权限，则可以向所述第二设备发送第四消息，所述第四消息可以用于请求对所述第二原子对象执行所述第四操作。如果所述第四用户不具有对所述第二原子对象执行第四操作的权限，则可以不向第二设备发送执行操作的请求。

在一种可能的实现中，所述第二原子对象的权限信息包括对所述第二原子对象具有操作权限的用户的类型，以及所述类型的用户对所述第二原子对象具有权限的操作。用户类型例如可以是游客类型、管理员类型等。

在一种可能的实现中，通过yang模型的标签指示所述第二原子对象的权限信息。例如yang模型的标签包括用户的类型标签和操作标签，所述用户的类型标签用于标识对所述第二原子对象具有操作权限的用户的类型，所述操作标签用于标识对所述第二原子对象具有操作权限的用户的类型的用户对所述第二原子对象具有权限的操作。

在一种可能的实现中，所述第二消息为Netconf消息。

在一种可能的实现中，所述第三消息为Netconf消息。

第四方面，提供了一种权限管理的方法，第二设备可以确定是否需要更新第二原子对象的权限信息；在确定需要更新第二原子对象的权限信息时，可以向运维系统发送第二消息，所述第二消息携带更新后的第二原子对象的权限信息。

在一种可能的实现中，所述第二设备在接收到来自所述运维系统的第三消息，所述第三消息用于指示请求更新的所述第二原子对象的权限信息时，可以确定需要更新第二原子对象的权限信息。

在一种可能的实现中，所述第二设备在确定登录所述第二设备的第三用户请求允许或禁止所述第三用户对第二原子对象执行的第三操作时，可以确定需要更新第二原子对象的权限信息，一般，所述第三操作超出所述第二原子对象的权限信息对应的权限范围。

在一种可能的实现中，所述第二设备可以接收来自所述运维系统的第四消息，所述第四消息可以用于请求对第二原子对象执行第四操作。然后，所述第二设备可以对所述第二原子对象执行第四操作。

在一种可能的实现中，所述第二消息为Netconf消息。

在一种可能的实现中，所述第三消息为Netconf消息。

第五方面，提供了一种权限管理的装置，所述权限管理具有实现上述第一方面及第一方面任一可能的实现中的功能，或者实现上述第三方面及第三方面任一可能的实现中的功能。这些功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的功能模块。

第六方面，提供了一种权限管理的装置，所述权限管理具有实现上述第二方面及第二方面任一可能的实现中的功能，或者实现上述第四方面及第四方面任一可能的实现中的功能。这些功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的功能模块。

第七方面，提供了一种权限管理的装置，该装置可以为上述方法实施例中的部署运维系统的设备，或者为设置在部署运维系统的设备中的芯片。该装置包括收发器以及处理器，可选的，还包括存储器。其中，该存储器用于存储计算机程序或指令，处理器分别与存储器和收发器耦合，当处理器执行所述计算机程序或指令时，使装置通过所述收发器执行上述第一方面及第一方面任一可能的实现中由运维系统执行的方法，或者第三方面及第三方面任一可能的实现中由运维系统执行的方法。

第八方面，提供了一种权限管理的装置，该装置可以为上述方法实施例中的第一设备/第二设备，或者为设置在第一设备/第二设备中的芯片。该装置包括收发器以及处理器，可选的，还包括存储器。其中，该存储器用于存储计算机程序或指令，处理器分别与存储器和收发器耦合，当处理器执行所述计算机程序或指令时，使装置通过所述收发器执行上述第二方面及第二方面任一可能的实现中由第一设备执行的方法，或者第四方面及第四方面任一可能的实现中由第二设备执行的方法。

第九方面，提供了一种计算机程序产品，所述计算机程序产品包括：计算机程序代码，当所述计算机程序代码在计算机上运行时，使得计算机执行上述第一方面及第一方面任一可能的实现中由运维系统执行的方法，或者第三方面及第三方面任一可能的实现中由运维系统执行的方法。

第十方面，提供了一种计算机程序产品，所述计算机程序产品包括：计算机程序代码，当所述计算机程序代码在计算机上运行时，使得计算机执行上述第二方面及第二方面任一可能的实现中由第一设备执行的方法，或者第四方面及第四方面任一可能的实现中由第一设备执行的方法。

第十一方面，本申请提供了一种芯片系统，该芯片系统包括处理器和存储器，所述处理器、所述存储器之间电耦合；所述存储器，用于存储计算机程序指令；所述处理器，用于执行所述存储器中的部分或者全部计算机程序指令，当所述部分或者全部计算机程序指令被执行时，用于实现上述第一方面及第一方面任一可能的实现的方法中运维系统的功能，或者第三方面及第三方面任一可能的实现的方法中运维系统的功能。

在一种可能的设计中，所述芯片系统还可以包括收发器，所述收发器，用于发送所述处理器处理后的信号，或者接收输入给所述处理器的信号。该芯片系统，可以由芯片构成，也可以包括芯片和其他分立器件。

第十二方面，本申请提供了一种芯片系统，该芯片系统包括处理器和存储器，所述处理器、所述存储器之间电耦合；所述存储器，用于存储计算机程序指令；所述处理器，用于执行所述存储器中的部分或者全部计算机程序指令，当所述部分或者全部计算机程序指令被执行时，用于实现上述第二方面及第二方面任一可能的实现的方法中第一设备的功能，或者第四方面及第四方面任一可能的实现的方法中第二设备的功能。

第十三方面，提供了一种计算机可读存储介质，该计算机可读存储介质存储有计算机程序，当该计算机程序被运行时，上述第一方面及第一方面任一可能的实现中或者第三方面及第三方面任一可能的实现中由运维系统执行的方法被执行。

第十四方面，提供了一种计算机可读存储介质，该计算机可读存储介质存储有计算机程序，当该计算机程序被运行时，上述第一方面及第一方面任一可能的实现中或者第四方面及第四方面任一可能的实现中由第一设备/第二设备执行的方法被执行。

第十五方面，提供了一种权限管理的系统，所述系统包括：执行上述第一方面及第一方面任一可能的实现中的方法的运维系统，以及执行上述第二方面及第二方面任一可能的实现中的方法的第一设备。

第十六方面，提供了一种权限管理的系统，所述系统包括：执行上述第三方面及第三方面任一可能的实现中的方法的运维系统，以及执行上述第四方面及第四方面任一可能的实现中的方法的第二设备。

第五方面至第十六方面的技术效果可以参照第一方面至第四方面中的描述，重复之处不再赘述。

附图说明

图1为本申请实施例中提供的一种权限管理系统结构图；

图2、图3、图4、图5分别为本申请实施例中提供的一种权限管理流程示意图；

图6、图7、图8、图9分别为本申请实施例中提供的一种权限管理装置结构图。

具体实施方式

下面将结合附图，对本申请实施例进行详细描述。

本申请实施例提供一种权限管理的方法及装置，其中，方法、装置是基于同一技术构思的，由于方法、装置解决问题的原理相似，因此装置与方法的实施可以相互参见，重复之处不再赘述。

本申请实施例的技术方案可以应用于各种通信系统，例如：长期演进(long term evolution，LTE)系统，全球互联微波接入(worldwide interoperability for microwave access，WiMAX)通信系统，第五代(5th Generation，5G)系统，如新一代无线接入技术(new radio access technology，NR)，及未来的通信系统等。

为便于理解本申请实施例，接下来对本请的应用场景进行介绍，本申请实施例描述的业务场景是为了更加清楚的说明本申请实施例的技术方案，并不构成对于本申请实施例提供的技术方案的限定，本领域普通技术人员可知，随着新业务场景的出现，本申请实施例提供的技术方案对于类似的技术问题，同样适用。

如图1所示，设备12中保存有原子对象，设备一般为网元，例如UPF、SMF等，原子对象是原子数据模型，用于定义不可再分割的业务管理对象单元，例如可以是地址池，DNN中英文。操作员、管理员，游客等用户可以登录运维系统11，通过运维系统对设备12中原子对象进行管理操作。例如，添加一个地址池，查询DNN等。为了保证网络安全，可以在运维系统中设备原子对象的权限信息。运维系统只有在确定用户具有权限时，才会允许该用户对原子对象进行管理操作。

下面基于图1所示的应用场景，对本申请实施例进行详细描述。本申请中的“和/或”，描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。本申请中所涉及的多个，是指两个或两个以上。

在本申请的描述中，“第一”、“第二”等词汇，仅用于区分描述的目的，而不能理解为指示或暗示相对重要性，也不能理解为指示或暗示顺序。另外，在本申请实施例中，“示例的”一词用于表示作例子、例证或说明。本申请中被描述为“示例”的任何实施例或实现方案不应被解释为比其它实施例或实现方案更优选或更具优势。确切而言，使用示例的一词旨在以具体方式呈现概念。

如图2所示，为本申请实施例提供的一种权限管理的流程示意图，可以包括以下步骤：

步骤201：运维根据第一原子对象的权限信息，确定登录所述运维系统的第一用户是否具有对所述第一原子对象执行第一操作的权限，如果是，则执行步骤201。

运维系统或者第三方中保存一个或多个原子对象的权限信息，一个原子对象对应一个权限信息，也就是权限信息与原子对象是一一对应的。原子对象例如可以是地址池，可以是DNN。

原子对象的权限信息例如可以是针对每个用户，该用户对所述原子对象具有权限的操作。进一步地，原子对象权限信息例如可以包括对所述原子对象具有操作权限的用户的类型，以及所述类型的用户对所述原子对象具有权限的操作。用户的类型例如可以是游客、管理员、操作员等。原子对象的权限信息例如可以是通过yang模型的标签来表示。以第一原子对象为例进行说明，第一原子对象可以是任一原子对象：yang模型的标签包括用户的类型标签和操作标签，所述用户的类型标签用于标识对所述第一原子对象具有操作权限的用户的类型，所述操作标签用于标识所述类型的用户对所述第一原子对象具有权限的操作。

例如具体可以是：

其中，externsion acess-range{}和externsion deny{}，这两个为可选项，未被允许的操作权限与也可以理解为禁止的操作权限，操作权限构成操作能力集。

module表示模块，该模块下有多个对象，externsion表示扩展，简称ext。

以下以模块A(module A)为例进行说明：

在yang模型标准中，“list”表示“原子”这个概念。

用户可以通过账户信息登录运维系统，账户信息例如账号和密码。当第一用户登录运维系统后，第一用户可以请求对哪些原子对象执行哪些操作。例如第一用户请求对第一原子对象执行第一操作。第一操作可以增加(ADD)操作，或删除(remove)操作，或修改(modify)操作，或查询(query)操作等。

第一用户在请求第一原子对象和第一操作时，可以是通过用户界面向运维系统下发第一指示，所述第一指示可以用于指示第一原子对象和第一操作。例如，第一用户在登录运维系统后，运维系统可以出现一个用户界面，用户界面上可以显示多个原子对象，以及多个操作。第一用户可以在用户界面上选择第一原子对象，也可以选择第一操作。用户界面上还可以显示有“具有确认功能”按钮，用户可以点击所述具有确认功能的按钮，以实现向运维系统下发第一指示，即请求对第一原子对象执行第一操作。

相应的，运维系统可以根据第一原子对象的权限信息，确定登录所述运维系统的第一用户是否具有对所述第一原子对象执行第一操作的权限。具体的，可以是先根据对所述第一原子对象具有操作权限的用户的类型，确定所述第一用户的第一类型对所述第一原子对象是否具有操作权限。如果第一类型对所述第一原子对象不具有操作权限，则所述第一用户不具有对所述第一原子对象执行所述第一操作的权限。如果第一类型对所述第一原子对象具有操作权限，则可以再根据第一类型的用户对所述第一原子对象具有权限的操作，确定所述第一类型的用户对所述第一原子对象是否具有所述第一操作的权限，如果具有第一操作的权限，则确定所述第一用户具有对所述第一原子对象执行所述第一操作的权限。

所述运维系统中可以保存每个用户的账户信息的类型，例如账户信息是游客类型，是管理员类型，是操作员类型，运维系统可以根据第一用户的账户信息，确定所述第一用户的第一类型。

步骤202：若所述第一用户具有对所述第一原子对象执行所述第一操作的权限，则所述运维系统向第一设备发送第一消息，所述第一消息用于请求对所述第一原子对象执行所述第一操作。

若所述第一用户不具有对所述第一原子对象执行所述第一操作的权限，则所述运维系统则可以不向第一设备发送消息，流程停止。或者所述运维系统可以发出提示信息，用于提示所述第一用户不具有对所述第一原子对象执行所述第一操作的权限。

运维系统或第三方中保存的一个或多个原子对象的权限信息可以是人为设置的，还可以设置哪些设备上保存有这些原子对象，原子对象的权限信息也可以是设备发送给运维系统的。例如，第一设备向所述运维系统发送所述第一原子对象的权限信息，相应的，所述运维系统接收来自所述第一设备的所述第一原子对象的权限信息。

当然在本申请中，多个设备上可能会保存同一原子对象的权限信息，例如多个UPF中均保存有地址池的权限信息。这样则会存在多个设备向运维系统发送同一原子对象的权限信息的情况。当第一用户请求对第一原子对象执行第一操作时，运维系统可以向保存原子对象的权限信息的第一设备发送第一消息，用于请求对所述第一原子对象执行所述第一操作。假设保存第一原子对象的权限信息的设备有多个，此处的第一设备可以是任一保存第一原子对象的权限信息的设备。第一设备也可以是第一用户选择出来的，例如用户界面上还显示有哪些设备保存第一原子对象的信息，第一用户可以选择一个设备作为第一设备。第一设备还可以是运维系统根据多个保存所述第一原子对象的权限信息的设备的信息(例如版本，ID等信息)选择出来的。

在上述实施例中，运维系统可以确定用户是否具有对某个原子对象执行某种操作的权限，只有在具有权限时，才会向设备发送消息请求对原子对象执行操作。在不具有权限时，不向设备发送消息。这样，可以在一定程度上保证操作行为的安全性，从而保证网络安全。

在另一个实施例中，运维系统根据原子对象的权限信息，对操作请求进行判断，将在权限范围内的原子对象的操作请求发送给对应的设备。在此之前，运维系统可以向设备进行接入认证，该过程属于现有技术，此处不再详细赘述。另外，运维系统还可以向设备进行权限信息的认证，具体过程可以参见图3所示的权限管理流程图，仍以第一设备、第一用户为例进行说明。

步骤301：第一设备确定自身保存的一个或多个原子对象的权限信息。

第一设备中可以被配置有多个原子对象的权限信息，第一设备在开始工作后，可以先确定出一个或多个原子对象的权限信息，并告知运维系统。

步骤302：第一设备将确定出的原子对象的权限信息发送给运维系统，相应的，所述运维系统接收来自所述第一设备的原子对象的权限信息。

示例的，原子对象的权限信息包括对所述原子对象具有操作权限的用户的类型，以及所述类型的用户对所述原子对象具有权限的操作。例如第一设备可以向运维系统发送yang模型列表，所述yang模型列表中包括原子对象的权限信息，即通过yang模型标签表示原子对象的权限信息。例如，通过上述步骤201中所描述的allow-group、acess-range、allow或deny等标签来标识原子对象的权限信息。

步骤303：运维系统在识别出第一用户登录运维系统，请求对第一原子对象执行第一操作时，可以在保存的原子对象的权限信息中，提取出所述第一用户的第一类型的权限信息。

运维系统持有很多账户信息，当识别出第一用户登录，且对第一原子对象执行第一操作时，可以根据第一用户的账户信息识别出第一用户的第一类型，进而对第一用户的第一类型的权限信息进行认证。当再有另一类型的用户登录时，可以再对另一类型的权限信息进行认证。

如果运维系统已经对第一类型的权限信息进行认证，当又有一个第一类型的用户再次登录，运维系统可以再次对第一类型的权限信息进行认证，也可以无需再对第一类型的权限信息进行认证。

步骤304：运维系统向第一设备发送第五消息，所述第五消息中包括第一类型的权限信息，相应的，所述第一设备接收来自所述运维系统的所述第五消息。所述第五消息可以是Netconf消息。

运维系统要想管理第一设备中的原子对象，可以先向第一设备进行认证接入。一般情况下，运维系统通过Netconf消息向第一设备进行认证接入。在步骤304中，运维系统通过在Netconf消息中携带第一类型的权限信息，在认证运维系统的同时，也对权限信息进行认证，可以减少信令开销。

维系统向第一设备认证某种用户的类型的权限信息，这样可以使运维系统和第一设备针对该用户的类型保存相同的权限信息，以进一步保证网络安全。

步骤305：所述第一设备根据针对所述运维系统保存的权限信息，认证登录所述运维系统的第一类型的用户是否具有所述第五消息中包括的权限信息；当认证结果为第一类型的用户具有所述第五消息中包括的权限信息时，认证通过；否则，认证未通过。

所述第一设备向所述运维系统发送所述第五消息的响应消息，所述第五消息的响应消息用于指示所述第一类型的权限信息认证通过或未认证通过。所述第五消息的响应消息也可以是Netconf消息。认证通过可以是指运维系统认证通过，以及第一类型的权限信息认证通过。

步骤306：运维系统向第一设备发送在权限范围内的原子对象的操作请求。

例如运维系统采用图2中的步骤201、步骤202，确定向第一设备发送第一消息，所述第一消息用于请求对所述第一原子对象执行所述第一操作。

在本申请的另一示例中，设备可以是主动更新原子对象的权限信息，为了便于区分，将权限信息被更新的原子对象定义为第二原子对象。

如图4所示，提供了一种权限管理的流程示例图。

步骤401：第二设备确定需要更新第二原子对象的权限信息，并确定更新后的第二原子对象的权限信息。例如可以是更新yang模型文件。

示例的，所述第二设备确定登录所述第二设备的第三用户请求允许或禁止所述第三用户对第二原子对象执行的第三操作。一般，所述第三操作超出所述第二原子对象的权限信息对应的权限范围，即所述第三用户的用户类型不具有对所述第二原子对象执行第三操作的权限。例如，例如第三用户对一个原子对象由之前只能进行修改操作，更新为只能进行查询操作。第二设备可以根据第三用户的请求，确定更新后的第二原子对象的权限信息。

在第二设备上注册的用户可以登录第二设备，在用户界面上指示允许或禁止所述第三用户对第二原子对象执行的第三操作。

步骤402：第二设备向运维系统发送第二消息，相应的，所述运维系统接收来自所述第二设备的所述第二消息。所述第二消息携带更新后的第二原子对象的权限信息。

所述第二消息可以是Netconf消息。

所述第二消息可以包括更新后的yang模型文件，具体可以是更新用于表示权限信息的yang模型标签。

步骤403：所述运维系统根据所述第二消息更新所述第二原子对象的权限信息。

进一步地，如果所述运维系统接收到某个用户对第二原子对象的操作请求时，可以根据更新后的第二原子对象的权限信息判断所述用户是否具有对所述第二原子对象的操作的权限，运维系统向设备发送在权限范围内的原子对象的操作请求。

例如，所述运维系统根据更新后的第二原子对象的权限信息，确定登录所述运维系统的第四用户是否具有对所述第二原子对象执行第四操作的权限；若所述第四用户具有对所述第二原子对象执行所述第四操作的权限，则所述运维系统向第二设备发送第四消息，所述第四消息用于请求对所述第二原子对象执行所述第四操作。若所述第四用户不具有对所述第二原子对象执行所述第四操作的权限，则所述运维系统则可以不向第二设备发送消息，流程停止。或者所述运维系统可以发出提示信息，用于提示所述第四用户不具有对所述第二原子对象执行所述第四操作的权限。

运维系统在根据更新后的第二原子对象的权限信息，确定登录所述运维系统的第四用户是否具有对所述第二原子对象执行第四操作的权限时，运维系统先根据对更新后的对所述第二原子对象具有操作权限的用户类型，确定所述第四用户的类型对所述第二原子对象是否具有操作权限。在所述第四用户的类型对所述第二原子对象具有操作权限的基础上，再根据所述第四用户的类型的用户对所述第二原子对象具有权限的操作，确定所述第四用户的类型的用户对所述第二原子对象是否具有所述第四操作的权限。

通过对原子对象的权限信息进行更新，可以更加符合网络需求，进一步提高网络安全。

在本申请的又一实施例中，运维系统也可以主动更新原子对象的权限信息，具体过程可以如图5所示的权限管理流程图。

步骤501：所述运维系统确定需要更新所述第二原子对象的权限信息，并确定请求更新的所述第二原子对象的权限信息。

示例的，运维系统确定登录所述运维系统的第二用户请求允许或禁止所述第二用户对第二原子对象执行第二操作，其中，所述第二操作超出所述第二原子对象的权限信息对应的权限范围。例如第二用户对一个原子对象由之前只能进行增加操作，更新为除了进行增加操作外，也可以进行查询操作。

第二用户在运维系统的用户界面上指示允许或禁止所述第二用户对第二原子对象执行第二操作。

示例的，运维系统确定登录所述运维系统的第二用户请求对所述第二原子对象执行第二操作的次数达到设定阈值，其中，所述第二操作超出所述第二原子对象的权限信息对应的权限范围。

第二设备可以根据第二用户的请求，确定更新后的第二原子对象的权限信息。

步骤502：所述运维系统向所述第二设备发送第三消息，相应的，所述第二设备接收来自所述运维系统的第三消息。所述第三消息用于指示请求更新的所述第二原子对象的权限信息。

所述第二设备接收到来自所述运维系统的第三消息时，第二设备可以确定需要更新第二原子对象的权限信息。所述第三消息可以是Netconf消息，例如为Netconf请求消息。

步骤503：第二设备在确定具备更新权限的条件时，可以更新所述第二原子对象的权限信息。

具体的，更新第二原子对象的权限信息是更新第二原子对象的yang模型文件。

第二设备可以根据当前的网络资源情况，确定是否具有更新权限的条件。例如，如果当前的网络资源较多，可以允许增加地址池，如果网络资源较小，则不能增加地址池。

步骤504：第二设备在确定具有更新权限的条件时，第二设备向运维系统发送第二消息，相应的，所述运维系统接收来自所述第二设备的所述第二消息。所述第二消息携带更新后的第二原子对象的权限信息。所述第二消息可以是Netconf消息，例如可以为Netconf响应消息。该第二设备在确定允许更新权限时，也可以是向运维系统反馈允许权限更新的响应信息。

上述步骤503和步骤504的先后顺序不进行限制，即可以先执行步骤503，后执行步骤504，也可以先执行步骤504再执行步骤503，或者步骤503和步骤504同步执行。

此外，第二设备也可以允许部分更新，部分不能更新。

步骤505：所述运维系统根据所述第二消息更新所述第二原子对象的权限信息。

进一步地，如果所述运维系统接收到某个用户对第二原子对象的操作请求时，可以根据更新后的第二原子对象的权限信息判断所述用户是否具有对所述第二原子对象的操作的权限，运维系统向设备发送在权限范围内的原子对象的操作请求。具体过程可以参见图4的步骤403处的描述，重复之处不再赘述。

基于与上述权限管理的方法的同一技术构思，如图6所示，提供了一种权限管理的装置600，装置600能够执行上述图2、图3、图4、图5的方法中由运维系统执行的各个步骤。装置600可以为运维系统，也可以为应用于运维系统中的芯片。装置600可以包括：收发模块620，处理模块610，可选的，还包括存储模块630；处理模块610可以分别与存储模块630和收发模块620相连，所述存储模块630也可以与收发模块620相连。

收发模块620，可以用于收发数据。所述存储模块630，可以用于存储接收到的数据或待发送的数据。在一种示例中，处理模块610，用于根据第一原子对象的权限信息，确定登录所述装置的第一用户是否具有对所述第一原子对象执行第一操作的权限；若所述第一用户具有对所述第一原子对象执行所述第一操作的权限，则通过收发模块620向第一设备发送第一消息，所述第一消息用于请求对所述第一原子对象执行所述第一操作。

在一种示例中，所述收发模块620，还用于接收来自所述第一设备的所述第一原子对象的权限信息。所述处理模块610在用于根据第一原子对象的权限信息，确定登录所述装置的第一用户具有对所述第一原子对象执行所述第一操作的权限时，具体用于：根据对所述第一原子对象具有操作权限的用户的类型，确定所述第一用户的第一类型对所述第一原子对象具有操作权限；根据第一类型的用户对所述第一原子对象具有权限的操作，确定所述第一类型的第一用户具有对所述第一原子对象执行所述第一操作的权限。

在一种示例中，所述处理模块610，还用于根据所述第一用户的账户信息，确定所述第一用户的第一类型。所述收发模块620，还用于向所述第一设备发送第五消息，所述第五消息包括所述第一用户的第一类型的权限信息，所述第五消息用于对所述第一类型的权限信息进行认证；以及接收来自所述第一设备的所述第五消息的响应消息，所述响应消息用于指示所述第一类型的认证信息认证通过或未认证通过。

在一种示例中，所述收发模块620，用于接收来自所述第二设备的第二消息，所述第二消息携带更新后的第二原子对象的权限信息；所述处理模块610，用于更新所述第二原子对象的权限信息。

在一种示例中，所述处理模块610，还用于确定需要更新所述第二原子对象的权限信息；并通过所述收发模块620向所述第二设备发送第三消息，所述第三消息用于指示请求更新的所述第二原子对象的权限信息。

在一种示例中，所述处理模块610在确定需要更新所述第二原子对象的权限信息时，具体用于：确定登录所述装置的第二用户请求允许或禁止所述第二用户对第二原子对象执行第二操作；或者，确定登录所述装置的第二用户请求对所述第二原子对象执行第二操作的次数达到设定阈值，其中，所述第二操作超出所述第二原子对象的权限信息对应的权限范围。

基于与上述权限管理的方法的同一技术构思，如图7所示，提供了一种权限管理的装置700，装置700能够执行上述图2、图3、图4、图5的方法中由第一设备/第二设备执行的各个步骤。装置700可以为设备，也可以为应用于设备中的芯片。装置700可以包括：收发模块720，处理模块710，可选的，还包括存储模块730；处理模块710可以分别与存储模块730和收发模块720相连，所述存储模块730也可以与收发模块720相连。

收发模块720，可以用于收发数据。所述存储模块730，可以用于存储接收到的数据或待发送的数据。

在一种示例中，收发模块720，用于运维系统发送第一原子对象的权限信息，所述第一原子对象的权限信息用于确定登录所述运维系统的用户是否具有对所述第一原子对象执行第一操作的权限，以及接收来自运维系统的第一消息，所述第一消息用于请求对第一原子对象执行第一操作；处理模块710，用于对所述第一原子对象执行所述第一操作；其中，所述第一消息为所述运维系统在根据所述第一原子对象的权限信息，确定登录所述运维系统的第一用户具有对所述第一原子对象执行第一操作的权限后发送给所述装置的。

在一种示例中，所述收发模块720，还用于接收来自所述运维系统的第五消息，所述第五消息包括第一类型的权限信息，所述第五消息用于对所述第一类型的权限信息进行认证；所述处理模块710，还用于根据针对所述运维系统保存的权限信息，认证登录所述运维系统的第一类型的用户是否具有所述权限信息；所述收发模块720，还用于向所述运维系统发送所述第五消息的响应消息，所述第五消息的响应消息用于指示所述第一类型的权限信息认证通过或未认证通过。

在一种示例中，所述处理模块710，用于确定需要更新第二原子对象的权限信息；所述收发模块720，用于向运维系统发送第二消息，所述第二消息携带更新后的第二原子对象的权限信息。

在一种示例中，所述处理模块710在确定需要更新第二原子对象的权限信息时，具体用于：确定通过收发模块720接收来自所述运维系统的第三消息，所述第三消息用于指示请求更新的所述第二原子对象的权限信息；或者确定登录所述装置的第三用户请求允许或禁止所述第三用户对第二原子对象执行的第三操作。

图8是本申请实施例的权限管理的装置800的示意性框图。应理解，所述装置800能够执行上述图2、图3、图4、图5的方法中由运维系统执行的各个步骤，为了避免冗余，此处不再详述。装置800包括：处理器810和收发器820，可选的，还包括存储器830。所述处理器810和所述存储器830之间电耦合。

示例的，存储器830，用于存储计算机程序；所述处理器810，可以用于调用所述存储器中存储的计算机程序或指令，以通过所述收发器820执行上述的权限管理的方法。

图6中的处理模块610可以通过处理器810来实现，收发模块620可以通过收发器820来实现，存储模块630可以通过存储器830来实现。

图9是本申请实施例的权限管理的装置900的示意性框图。应理解，所述装置900能够执行上述图2、图3、图4、图5的方法中由第一设备/第二设备执行的各个步骤，为了避免冗余，此处不再详述。装置900包括：处理器910和收发器920，可选的，还包括存储器930。所述处理器910和所述存储器930之间电耦合。

示例的，存储器930，用于存储计算机程序；所述处理器910，可以用于调用所述存储器中存储的计算机程序或指令，以通过所述收发器920执行上述的权限管理的方法。

图7中的处理模块710可以通过处理器910来实现，收发模块720可以通过收发器920来实现，存储模块730可以通过存储器930来实现。

上述的处理器可以是中央处理器(central processing unit，CPU)，网络处理器(network processor，NP)或者CPU和NP的组合。处理器还可以进一步包括硬件芯片或其他通用处理器。上述硬件芯片可以是专用集成电路(application-specific integrated circuit，ASIC)，可编程逻辑器件(programmable logic device，PLD)或其组合。上述PLD可以是复杂可编程逻辑器件(complex programmable logic device，CPLD)，现场可编程逻辑门阵列(field-programmable gate array，FPGA)，通用阵列逻辑(generic array logic，GAL)及其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等或其任意组合。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

还应理解，本申请实施例中提及的存储器可以是易失性存储器或非易失性存储器，或可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器(Read-Only Memory，ROM)、可编程只读存储器(Programmable ROM，PROM)、可擦除可编程只读存储器(Erasable PROM，EPROM)、电可擦除可编程只读存储器(Electrically EPROM，EEPROM)或闪存。易失性存储器可以是随机存取存储器(Random Access Memory，RAM)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的RAM可用，例如静态随机存取存储器(Static RAM，SRAM)、动态随机存取存储器(Dynamic RAM，DRAM)、同步动态随机存取存储器(Synchronous DRAM，SDRAM)、双倍数据速率同步动态随机存取存储器(Double Data Rate SDRAM，DDR SDRAM)、增强型同步动态随机存取存储器(Enhanced SDRAM，ESDRAM)、同步连接动态随机存取存储器(Synchlink DRAM，SLDRAM)和直接内存总线随机存取存储器(Direct Rambus RAM，DR RAM)。应注意，本申请描述的存储器旨在包括但不限于这些和任意其它适合类型的存储器。

本申请实施例还提供了一种计算机存储介质，存储有计算机程序，该计算机程序被计算机执行时，可以使得所述计算机用于执行上述权限管理的方法。

本申请实施例还提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机可以执行上述提供的权限管理的方法。

本申请实施例还提供了一种权限管理的系统，所述系统包括：执行上述权限管理的方法的运维系统和设备。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包括有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

尽管已描述了本申请的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例作出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。

显然，本领域的技术人员可以对本申请实施例进行各种改动和变型而不脱离本申请实施例的精神和范围。这样，倘若本申请实施例的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本申请也意图包括这些改动和变型在内。

Claims

一种权限管理的方法，其特征在于，所述方法包括：

运维系统根据第一原子对象的权限信息，确定登录所述运维系统的第一用户是否具有对所述第一原子对象执行第一操作的权限；

若所述第一用户具有对所述第一原子对象执行所述第一操作的权限，则所述运维系统向第一设备发送第一消息，所述第一消息用于请求对所述第一原子对象执行所述第一操作。
如权利要求1所述的方法，其特征在于，还包括：

所述运维系统接收来自所述第一设备的所述第一原子对象的权限信息。
如权利要求1或2所述的方法，其特征在于，所述第一原子对象的权限信息包括对所述第一原子对象具有操作权限的用户的类型，以及所述类型的用户对所述第一原子对象具有权限的操作。
如权利要求3所述的方法，其特征在于，所述运维系统根据第一原子对象的权限信息，确定登录所述运维系统的第一用户具有对所述第一原子对象执行所述第一操作的权限，包括：

所述运维系统根据对所述第一原子对象具有操作权限的用户的类型，确定所述第一用户的第一类型对所述第一原子对象具有操作权限；

所述运维系统根据第一类型的用户对所述第一原子对象具有权限的操作，确定所述第一用户具有对所述第一原子对象执行所述第一操作的权限。
如权利要求4所述的方法，其特征在于，还包括：

所述运维系统向所述第一设备发送第五消息，所述第五消息包括所述第一用户的第一类型的权限信息，所述第五消息用于对所述第一类型的权限信息进行认证；

所述运维系统接收来自所述第一设备的所述第五消息的响应消息，所述响应消息用于指示所述第一类型的认证信息认证通过或未认证通过。
如权利要求1-5任一项所述的方法，其特征在于，通过yang模型的标签指示所述第一原子对象的权限信息。
如权利要求6所述的方法，其特征在于，yang模型的标签包括用户的类型标签和操作标签，所述用户的类型标签用于标识对所述第一原子对象具有操作权限的用户的类型，所述操作标签用于标识所述类型的用户对所述第一原子对象具有权限的操作。
一种权限管理的方法，其特征在于，所述方法包括：

第一设备向运维系统发送第一原子对象的权限信息，所述第一原子对象的权限信息用于确定登录所述运维系统的用户是否具有对所述第一原子对象执行第一操作的权限；

第一设备接收来自所述运维系统的第一消息，所述第一消息用于请求对所述第一原子对象执行所述第一操作；

所述第一设备对所述第一原子对象执行所述第一操作。
如权利要求8所述的方法，其特征在于，还包括：

所述第一设备接收来自所述运维系统的第五消息，所述第五消息包括第一类型的权限信息，所述第五消息用于对所述第一类型的权限信息进行认证；

所述第一设备根据针对所述运维系统保存的权限信息，认证登录所述运维系统的第一类型的用户是否具有所述权限信息；

所述第一设备向所述运维系统发送所述第五消息的响应消息，所述第五消息的响应消息用于指示所述第一类型的权限信息认证通过或未认证通过。
一种权限管理的方法，其特征在于，所述方法包括：

运维系统接收来自第二设备的第二消息，所述第二消息携带更新后的第二原子对象的权限信息；

所述运维系统更新所述第二原子对象的权限信息。
如权利要求10所述的方法，其特征在于，还包括：

所述运维系统确定需要更新所述第二原子对象的权限信息；

所述运维系统向所述第二设备发送第三消息，所述第三消息用于指示请求更新的所述第二原子对象的权限信息。
如权利要求11所述的方法，其特征在于，所述运维系统确定需要更新所述第二原子对象的权限信息，包括：

运维系统确定登录所述运维系统的第二用户请求允许或禁止所述第二用户对第二原子对象执行第二操作；或者，

运维系统确定登录所述运维系统的第二用户请求对所述第二原子对象执行第二操作的次数达到设定阈值，其中，所述第二操作超出所述第二原子对象的权限信息对应的权限范围。
一种权限管理的方法，其特征在于，所述方法包括：

第二设备确定需要更新第二原子对象的权限信息；

第二设备向运维系统发送第二消息，所述第二消息携带更新后的第二原子对象的权限信息。
如权利要求13所述的方法，其特征在于，第二设备确定需要更新第二原子对象的权限信息，包括：

所述第二设备接收来自所述运维系统的第三消息，所述第三消息用于指示请求更新的所述第二原子对象的权限信息；或者

所述第二设备确定登录所述第二设备的第三用户请求允许或禁止所述第三用户对第二原子对象执行的第三操作。
一种权限管理的装置，其特征在于，所述装置包括：

处理模块，用于根据第一原子对象的权限信息，确定登录所述装置的第一用户是否具有对所述第一原子对象执行第一操作的权限；

若所述第一用户具有对所述第一原子对象执行所述第一操作的权限，则通过收发模块向第一设备发送第一消息，所述第一消息用于请求对所述第一原子对象执行所述第一操作。
如权利要求15所述的装置，其特征在于，所述收发模块，还用于接收来自所述第一设备的所述第一原子对象的权限信息。
如权利要求15或16所述的装置，其特征在于，所述第一原子对象的权限信息包括对所述第一原子对象具有操作权限的用户的类型，以及所述类型的用户对所述第一原子对象具有权限的操作。
如权利要求17所述的装置，其特征在于，所述处理模块在用于根据第一原子对象的权限信息，确定登录所述装置的第一用户具有对所述第一原子对象执行所述第一操作的权限时，具体用于：

根据对所述第一原子对象具有操作权限的用户的类型，确定所述第一用户的第一类型对所述第一原子对象具有操作权限；根据第一类型的用户对所述第一原子对象具有权限的操作，确定所述第一用户具有对所述第一原子对象执行所述第一操作的权限。
如权利要求18所述的装置，其特征在于，所述收发模块，还用于向所述第一设备发送第五消息，所述第五消息包括所述第一用户的第一类型的权限信息，所述第五消息用于对所述第一类型的权限信息进行认证；以及接收来自所述第一设备的所述第五消息的响应消息，所述响应消息用于指示所述第一类型的认证信息认证通过或未认证通过。
如权利要求15-19任一项所述的装置，其特征在于，通过yang模型的标签指示所述第一原子对象的权限信息。
如权利要求20所述的装置，其特征在于，yang模型的标签包括用户的类型标签和操作标签，所述用户的类型标签用于标识对所述第一原子对象具有操作权限的用户的类型，所述操作标签用于标识所述类型的用户对所述第一原子对象具有权限的操作。
一种权限管理的装置，其特征在于，所述装置包括：

收发模块，用于向运维系统发送第一原子对象的权限信息，所述第一原子对象的权限信息用于确定登录所述运维系统的用户是否具有对所述第一原子对象执行第一操作的权限；以及接收来自所述运维系统的第一消息，所述第一消息用于请求对所述第一原子对象执行所述第一操作；

处理模块，用于对所述第一原子对象执行所述第一操作。
如权利要求22所述的装置，其特征在于，所述收发模块，还用于接收来自所述运维系统的第五消息，所述第五消息包括第一类型的权限信息，所述第五消息用于对所述第一类型的权限信息进行认证；

所述处理模块，还用于根据针对所述运维系统保存的权限信息，认证登录所述运维系统的第一类型的用户是否具有所述权限信息；

所述收发模块，还用于向所述运维系统发送所述第五消息的响应消息，所述第五消息的响应消息用于指示所述第一类型的权限信息认证通过或未认证通过。
一种权限管理的装置，其特征在于，所述装置包括：

收发模块，用于接收来自第二设备的第二消息，所述第二消息携带更新后的第二原子对象的权限信息；

处理模块，用于更新所述第二原子对象的权限信息。
如权利要求24所述的装置，其特征在于，所述处理模块，还用于确定需要更新所述第二原子对象的权限信息；并通过所述收发模块向所述第二设备发送第三消息，所述第三消息用于指示请求更新的所述第二原子对象的权限信息。
如权利要求25所述的装置，其特征在于，所述处理模块在确定需要更新所述第二原子对象的权限信息时，具体用于：

确定登录所述装置的第二用户请求允许或禁止所述第二用户对第二原子对象执行第二操作；或者，

确定登录所述装置的第二用户请求对所述第二原子对象执行第二操作的次数达到设定阈值，其中，所述第二操作超出所述第二原子对象的权限信息对应的权限范围。
一种权限管理的装置，其特征在于，所述装置包括：

处理模块，用于确定需要更新第二原子对象的权限信息；

收发模块，用于向运维系统发送第二消息，所述第二消息携带更新后的第二原子对象的权限信息。
如权利要求27所述的装置，其特征在于，所述处理模块在确定需要更新第二原子对象的权限信息时，具体用于：

确定通过收发模块接收来自所述运维系统的第三消息，所述第三消息用于指示请求更新的所述第二原子对象的权限信息；或者

确定登录所述装置的第三用户请求允许或禁止所述第三用户对第二原子对象执行的第三操作。
一种权限管理的系统，其特征在于，所述系统包括如权利要求15-21任一项所述的装置和如权利要求22-23任一项所述装置，或者包括如权利要求24-26任一项所述的装置和如权利要求27-28任一项所述的装置。
一种权限管理的装置，其特征在于，包括处理器和收发器；

所述收发器，用于接收和/或发送信号；

所述处理器，用于在执行存储器存储的计算机程序或指令时，使得所述装置执行如权利要求1-14任一项所述的方法。
一种权限管理的装置，其特征在于，用于执行如权利要求1至7中任一项所述的方法，或如权利要求8或9所述方法，或执行如权利要求10-12中任一项所述方法，或执行如权利要求13或14所述方法。
一种计算机可读存储介质，其特征在于，所述存储介质存储有计算机指令，当所述计算机指令被计算机执行时，使得所述计算机执行如权利要求1-14任一项所述的方法。
一种芯片系统，其特征在于，包括处理器和存储器，所述处理器和所述存储器电耦合；

所述存储器，用于存储计算机程序指令；

所述处理器，用于执行所述存储器中的部分或者全部计算机程序指令，当所述部分或者全部计算机程序指令被执行时，用于实现如权利要求1-14任一项所述的方法。
一种计算机程序产品，其特征在于，所述计算机程序产品包括计算机指令，当所述计算机指令被计算机执行时，使得所述计算机执行如权利要求1-14任一项所述的方法。