[发明专利]针对大容量对象的用户访问权限管理方法

说明书

技术领域

本发明涉及网络管理，具体涉及针对大容量对象的用户访问权限管理方法。

背景技术

随着网络IP化以及FMC（Fixed-Mobile Convergence）的发展，运营商运维模式将发生深刻改变，从以网络类型和网元类型分层管理逐步走向融合管理，同时对运维成本和用户体验有更高的要求，因此为了适应未来网络的发展，通信网络管理系统必须实现各种类型网元的统一管理，充分满足融合网络运维管理的需要。

统一管理面临的一个主要问题是管理容量，而现有的用户访问权限管理系统都没有考虑这种大容量的要求，只能在一个维度上集中控制用户权限，不能分域管理，缺乏灵活性。在统一管理的背景下，如果将种类繁多，跨越不同地区的设备，集中交给一个部门来进行用户访问权限控制，其工作量可想而知将十分艰巨。

对于权限控制策略的选择，通常需要根据组织结构和人员分工来决定，在电信网络维护中，通常的结构是有一个中心对全网设备进行监控，而设备的直接配置和维护是由各个区域的组织和人员来完成的。因此，权限控制系统需要能够根据不同组织结构和管理容量，灵活定制不同的管理策略，即能集中维护所有用户权限，也能由各个区域的管理员维护自己区域的用户权限。

发明内容

本发明所要解决的技术问题是解决现有的用户访问权限管理系统只能在一个维度上集中控制用户权限，不能分域管理，缺乏灵活性的问题。

为了解决上述技术问题，本发明所采用的技术方案是提供一种针对大容量对象的用户访问权限管理方法，包括以下步骤：

A10、建立用户访问权限管理模型，所述管理模型包括用户、用户组、对象、对象集、操作和操作集；用户是系统使用者；用户组是具相同权限的用户的集合；对象是用户可访问的系统中的资源；对象集是对象的集合；操作是用户可执行的动作，分为无限制、admin特权、安全管理及对象操作四种类型；操作集是操作的集合；

A20、建立用户，并通过将用户分别指派到不同的用户组从而使用户具有相应的权限，用户组分为超级管理员组、安全管理员组、子域安全管理员组和普通用户组四种类型；属于安全管理员组或子域安全管理员组的用户具有管理权限；属于其他类型用户组的用户不具有管理权限，仅能对可管理对象进行授权的操作；属于安全管理员组的用户可以对包括子域安全管理员组在内的全域进行管理；属于子域安全管理员组的用户只能对所属子域进行管理；

A30、用户登录时，根据用户类型允许其使用相应的权限。

在上述方法中，在步骤A20中，首先定义用户可执行的所有操作，并内置一个超级管理员组和一个安全管理员组，内置一个admin用户属于上述两个内置用户组；然后使用admin登陆，根据规划建立用户，将用户分别指派到用户组从而使用户具有相应权限。

在上述方法中，建立的用户可以属于多个用户组，但是只能属于一个安全管理员组或子域安全管理员组。

在上述方法中，超级管理员组默认包含除安全管理员组或子域安全管理员所具有的管理权限外的所有权限，安全管理员组或子域安全管理员组默认具有管理权限，普通用户组的权限取决于管理者为其分配的权限。

在上述方法中，属于安全管理员组或子域安全管理员组的用户分配权限的方法是：将对象划分为不同的对象集，将操作划分为不同的操作集，将对象集和操作集指派给用户组表示对这些对象具有相应操作权限。

在上述方法中，将对象集和操作集直接指派给用户，对用户组内的对象授予用户组内的操作权限或者对用户自身对象授予用户自身操作权限。

在上述方法中，建立新的用户、用户组、对象集或操作集时记录其归属的唯一的安全管理员组或子域安全管理员组ID,当属于安全管理员组的用户登录时，可以管理所有用户、用户组、对象集和操作集；而属于子域安全管理员组的用户登录时，只能管理子域内的用户、用户组、对象集和操作集。

在上述方法中，判断用户权限的方法是：

如果是无限制操作，则总是有权限；

如果是安全管理操作，则只有安全管理员组或子域安全管理员组用户具有权限，且被编辑的用户、用户组、对象集、操作集属于用户所在区域；

如果是admin特权操作，则只有内置的admin用户具有权限；

如果是对象操作，则依次判断用户所属用户组是否包含目标对象和操作，如果包含则具有权限，否则继续，最后判断用户自身对象集和操作集是否包含目标对象和操作，如果包含则具有权限，否则无权限。