專利名稱:網(wǎng)絡(luò)管理系統(tǒng)多域安全管理方法
技術(shù)領(lǐng)域:
本發(fā)明涉及SDH(同步數(shù)字體系)/MSTP(基于SDH的多業(yè)務(wù)傳送平臺)/PTN(分組 傳送網(wǎng))傳輸網(wǎng)絡(luò)����,關(guān)注于網(wǎng)管系統(tǒng)的分權(quán)分域管理��,靈活的控制用戶權(quán)限�,阻止未授權(quán)的 用戶訪問網(wǎng)絡(luò)資源和網(wǎng)絡(luò)管理功能��。
背景技術(shù):
近幾年來��,隨著傳輸網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大�,電信運營商的傳輸網(wǎng)絡(luò)形成了多廠家,多 傳輸并存的局面����。傳輸網(wǎng)管集中管理各種類型和各廠家的設(shè)備,實時監(jiān)控告警和性能����,配置 各種網(wǎng)絡(luò)連接和業(yè)務(wù)���。由于傳輸網(wǎng)管是集中管理�,并且管理的范圍和實現(xiàn)的功能越來越多�, 因此對網(wǎng)管的安全管理提出更高的要求?����?蛻羝谕峁╈`活的權(quán)限控制手段,為指定用戶 賦予一個或者多個操作權(quán)限�。網(wǎng)管系統(tǒng)中管理各種廠家各種類型的設(shè)備,并且分布在不同的物理區(qū)域���?�?蛻羝?望對不同的區(qū)域有不同的管理權(quán)限�����,例如對A域有修改權(quán)限��,對B域只有查看權(quán)限��。這樣可 以靈活的配置用戶權(quán)限并控制其操作�,方便權(quán)限控制管理�,提高系統(tǒng)的安全性。與本發(fā)明有關(guān)的現(xiàn)有技術(shù)�,其技術(shù)方案一如下權(quán)限控制的粒度為域,并且和真實環(huán)境的物理域綁定�,一個用戶的權(quán)限針對特定 的一個或多個物理域。由上述技術(shù)方案可以看出����,現(xiàn)有技術(shù)方案一存在以下缺陷用戶權(quán)限直接和物理域綁定�����,而存在可能場景用戶對物理域A的某些某些網(wǎng)元 有操作權(quán)限��,對域B的某些網(wǎng)元具有操作權(quán)限��,在該場景下用戶權(quán)限設(shè)置管理區(qū)域就存在 問題�。技術(shù)方案二 權(quán)限控制的粒度為網(wǎng)元���,用戶的權(quán)限針對每個網(wǎng)元進(jìn)行設(shè)置�。由上述技術(shù)方案可以看出����,現(xiàn)有技術(shù)方案存在如下缺陷用戶權(quán)限分配繁瑣,需要針對每個網(wǎng)元進(jìn)行權(quán)限分配和控制�����,并且存在著大量的 幾余fe息�、�����。
發(fā)明內(nèi)容
本發(fā)明所要解決的技術(shù)問題是提供一種網(wǎng)絡(luò)管理系統(tǒng)多域安全管理方法,通過 本方法�����,解決網(wǎng)管系統(tǒng)中分域分權(quán)限控制問題�,靈活的給用戶分配不同管理域的不同權(quán)限。本發(fā)明所采用的技術(shù)方案是網(wǎng)絡(luò)管理系統(tǒng)多域安全管理方法�,包括Si)創(chuàng)建一個或者多個邏輯安全管理域;S2)分配網(wǎng)元到相應(yīng)的邏輯安全管理域�;S3)創(chuàng)建用戶組,指派不同用戶到該用戶組��;S4)創(chuàng)建操作權(quán)限集合����;S5)對邏輯安全管理域指定權(quán)限集合,建立邏輯安全管理域-操作權(quán)限集合的關(guān)聯(lián)關(guān)系�;S6)對用戶組指定一個或多個邏輯安全管理域-操作權(quán)限集合的關(guān)聯(lián)關(guān)系,最終 建立用戶組-邏輯安全管理域-操作權(quán)限集合的關(guān)聯(lián)關(guān)系���。所述步驟Sl的邏輯安全管理域為虛擬的邏輯域��,其包括一個或多個物理域的網(wǎng)兀��。所述步驟S3的用戶組包括管理員���、系統(tǒng)操作員和觀察員�����。這些用戶組是系統(tǒng)缺省 值����,還可以按照用戶自己的要求定義新的用戶組�。所述步驟S4的操作權(quán)限集合包括系統(tǒng)、操作和查看權(quán)限集�。所述系統(tǒng)權(quán)限集包括系統(tǒng)管理員的有關(guān)操作權(quán)限項,例如包括網(wǎng)元操作權(quán)限項��、 網(wǎng)元查看權(quán)限項�����、業(yè)務(wù)操作權(quán)限項�����、業(yè)務(wù)查看權(quán)限項和用戶操作權(quán)限項;操作權(quán)限集包括網(wǎng) 元操作權(quán)限項�����、網(wǎng)元查看權(quán)限項���、業(yè)務(wù)操作權(quán)限項和業(yè)務(wù)查看權(quán)限項;查看權(quán)限集包括網(wǎng)元 查看權(quán)限項和業(yè)務(wù)查看權(quán)限項�����。所述網(wǎng)元查看權(quán)限項包括查看網(wǎng)元屬性��、查看網(wǎng)元狀態(tài)的操作�,網(wǎng)元操作權(quán)限項 包括創(chuàng)建網(wǎng)元、刪除網(wǎng)元和修改網(wǎng)元的操作���。所述步驟S6的用戶組-邏輯安全管理域-操作權(quán)限集合的關(guān)聯(lián)關(guān)系包括管理員 用戶組-所有邏輯安全管理域-系統(tǒng)權(quán)限集�,操作員用戶組-所有邏輯安全管理域-操作 權(quán)限集���,以及觀察員用戶組-所有邏輯域-查看權(quán)限集���。本發(fā)明的優(yōu)點在網(wǎng)管系統(tǒng)中,該方法解決了分域安全的主要問題,針對不同用 戶���,提供了靈活的權(quán)限管理機(jī)制�。首先它解決了安全和物理域的綁定��,用戶管理網(wǎng)元的范圍和物理地址沒有任何關(guān) 聯(lián)�,用戶可以靈活的指派網(wǎng)元的管理范圍。其次��,它減少了安全配置的工作時間����,不需要針 對每個網(wǎng)元進(jìn)行單獨權(quán)限配置,只用對邏輯安全管理域統(tǒng)一配置用戶組和權(quán)限集合���,減輕 維護(hù)工作時間����。
圖1為本發(fā)明的說明圖�。圖2為本發(fā)明的正常流程圖。圖3為本發(fā)明的權(quán)限關(guān)聯(lián)關(guān)系圖����。
具體實施例方式首先根據(jù)用戶需要創(chuàng)建虛擬的邏輯安全管理域(該域和物理域沒有直接聯(lián)系,邏 輯安全管理域可以看作一組網(wǎng)元的集合,但是該集合中的網(wǎng)元可以分別屬于不同的物理 域)�����;然后根據(jù)用戶的實際安全管理需求��,把不同物理域的物理網(wǎng)元劃分到該邏輯管理域 中����;創(chuàng)建用戶組����,添加相關(guān)用戶到該用戶組;最后對邏輯安全管理域賦予不同安全管理權(quán) 限���,并指定用戶組和邏輯安全管理域的聯(lián)系����。這樣用戶就可以根據(jù)實際情況靈活的管理各 種不同物理域中的不同網(wǎng)元�����,對不同的設(shè)備具有不同的操作權(quán)限集合�,滿足網(wǎng)管的分域分 權(quán)管理要求。本發(fā)明提供以下技術(shù)方案本方案主要包括以下概念
1.網(wǎng)元真實物理設(shè)備以及虛擬網(wǎng)元設(shè)備。2.物理域真實的設(shè)備管理域��,一般根據(jù)地域劃分���,例如武漢市的所有物理設(shè)備 可以看作一個物理域����。3.邏輯安全管理域虛擬出來的邏輯安全管理域�,主要用于用戶的安全控制,虛 擬域和物理域沒有直接聯(lián)系�����,他是一組網(wǎng)元的集合�����,可以包括不同物理域的網(wǎng)元���,可以靈活 指派網(wǎng)元到邏輯域中��。實例邏輯域={網(wǎng)元1����,網(wǎng)元對,···}4.用戶真實用戶�。5.用戶組一組具有相同邏輯安全管理域和相同權(quán)限的用戶集合。實例用戶組={管理員�,系統(tǒng)操作員,…}用戶組缺省有管理員用戶組�、操作員用戶組和觀察員用戶組等等,用戶還可以自 定義用戶組���。6.權(quán)限項操作權(quán)限的集合,可以按照功能粒度配置�����。實例網(wǎng)元操作權(quán)限項={創(chuàng)建網(wǎng)元�����,刪除網(wǎng)元���,修改網(wǎng)元���,···}7.權(quán)限集分配給用戶功能權(quán)限項的集合。實例管理員操作權(quán)限集={網(wǎng)元操作權(quán)限項�,業(yè)務(wù)操作權(quán)限項���,···}其中,操作項是系統(tǒng)自定義的����,操作項是操作的集合;權(quán)限集是是操作項的集合��, 用戶可以選擇哪些操作項見下表1 3��。表1權(quán)限集所包含的權(quán)限項
權(quán)利要求
1.網(wǎng)絡(luò)管理系統(tǒng)多域安全管理方法��,其特征在于包括51)創(chuàng)建一個或者多個邏輯安全管理域��;52)分配網(wǎng)元到相應(yīng)的邏輯安全管理域�;53)創(chuàng)建用戶組,指派不同用戶到該用戶組���;54)創(chuàng)建操作權(quán)限集合����;55)對邏輯安全管理域指定權(quán)限集合�����,建立邏輯安全管理域-操作權(quán)限集合的關(guān)聯(lián)關(guān)系;56)對用戶組指定一個或多個邏輯安全管理域-操作權(quán)限集合的關(guān)聯(lián)關(guān)系���,最終建立 用戶組-邏輯安全管理域-操作權(quán)限集合的關(guān)聯(lián)關(guān)系�。
2.根據(jù)權(quán)利要求1所述的方法���,其特征在于步驟Sl的邏輯安全管理域為虛擬的邏輯 域�����,其包括一個或多個物理域的網(wǎng)元��。
3.根據(jù)權(quán)利要求1所述的方法,其特征在于步驟S3的用戶組包括管理員�、系統(tǒng)操作 員和觀察員。
4.根據(jù)權(quán)利要求1所述的方法��,其特征在于步驟S4的操作權(quán)限集合包括系統(tǒng)�����、操作 和查看權(quán)限集����。
5.根據(jù)權(quán)利要求4所述的方法���,其特征在于系統(tǒng)權(quán)限集包括網(wǎng)元操作權(quán)限項、網(wǎng)元查 看權(quán)限項�、業(yè)務(wù)操作權(quán)限項、業(yè)務(wù)查看權(quán)限項和用戶操作權(quán)限項��;操作權(quán)限集包括網(wǎng)元操作 權(quán)限項�����、網(wǎng)元查看權(quán)限項���、業(yè)務(wù)操作權(quán)限項和業(yè)務(wù)查看權(quán)限項�����;查看權(quán)限集包括網(wǎng)元查看權(quán) 限項和業(yè)務(wù)查看權(quán)限項���。
6.根據(jù)權(quán)利要求5所述的方法,其特征在于網(wǎng)元查看權(quán)限項包括查看網(wǎng)元屬性���、查看 網(wǎng)元狀態(tài)的操作�����,網(wǎng)元操作權(quán)限項包括創(chuàng)建網(wǎng)元�、刪除網(wǎng)元和修改網(wǎng)元的操作。
7.根據(jù)權(quán)利要求3或4所述的方法�����,其特征在于步驟S6的用戶組-邏輯安全管理 域-操作權(quán)限集合的關(guān)聯(lián)關(guān)系包括管理員用戶組-所有邏輯安全管理域-系統(tǒng)權(quán)限集�����,操 作員用戶組所有邏輯安全管理域-操作權(quán)限集��,以及觀察員用戶組-所有邏輯域-查看權(quán) 限集��。
全文摘要
本發(fā)明提供了一種網(wǎng)絡(luò)管理系統(tǒng)多域安全管理方法��,其包括S1)創(chuàng)建一個或者多個邏輯安全管理域�����;S2)分配網(wǎng)元到相應(yīng)的邏輯安全管理域��;S3)創(chuàng)建用戶組�����,指派不同用戶到該用戶組���;S4)創(chuàng)建操作權(quán)限集合�;S5)對邏輯安全管理域指定權(quán)限集合��,建立邏輯安全管理域-操作權(quán)限集合的關(guān)聯(lián)關(guān)系����;S6)對用戶組指定一個或多個邏輯安全管理域-操作權(quán)限集合的關(guān)聯(lián)關(guān)系,最終建立用戶組-邏輯安全管理域-操作權(quán)限集合的關(guān)聯(lián)關(guān)系�。通過本方法,解決網(wǎng)管系統(tǒng)中分域分權(quán)限控制問題�,靈活的給用戶分配不同管理域的不同權(quán)限。
文檔編號H04L12/24GK102075357SQ20101062125
公開日2011年5月25日 申請日期2010年12月31日 優(yōu)先權(quán)日2010年12月31日
發(fā)明者張玨 申請人:武漢日電光通信工業(yè)有限公司