專利名稱:一種網(wǎng)絡(luò)管理控制方法與網(wǎng)絡(luò)管理控制系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及無線通信領(lǐng)域�,尤其涉及一種無線通信網(wǎng)絡(luò)的網(wǎng)絡(luò)管理控制方 法與系統(tǒng)。
背景技術(shù):
目前的無線通信網(wǎng)絡(luò)運營支撐系統(tǒng)在訪問控制方面大多采用了基于角色
的訪問控制模型(Role-Based Access Model),通過預(yù)先定義的用戶��、角色�����、權(quán) 限來定義系統(tǒng)的訪問控制���,即WHO + WHAT + HOW,這是權(quán)限系統(tǒng)中較為靈 活的一種粗粒度訪問控制���,其基本思想就是將訪問許可權(quán)分配給一定的角色, 用戶通過飾演不同的角色獲得角色所擁有的訪問許可權(quán)�。然而�����,基于角色的訪 問控制模型不能滿足多級和立體的用戶組織結(jié)構(gòu),角色由系統(tǒng)管理員定義��、角 色成員的增減也只能由系統(tǒng)管理員來執(zhí)行���,即只有系統(tǒng)管理員有權(quán)定義和分配 角色�����,低級別的管理員不能自主地將訪問權(quán)限授予管轄范圍內(nèi)用戶��。
對于多級的用戶組織結(jié)構(gòu)進行角色的分配和管理是一項非常復(fù)雜的管理 工作��,低級別的管理員不能創(chuàng)建新的用戶�、也不能分配角色給自己管轄范圍內(nèi) 的用戶�����。同樣在被管對象發(fā)生變更的情況下�,系統(tǒng)管理員需要重新對用戶訪問 對象權(quán)限的角色的權(quán)利進行配置,而不能實現(xiàn)自適應(yīng)���。例如地市分公司在開 通新業(yè)務(wù)時需要等待省中心的系統(tǒng)管理員完成相關(guān)的設(shè)備配置和業(yè)務(wù)開通工 作���,既影響了業(yè)務(wù)開通的效率��,也會造成省公司系統(tǒng)管理員長期超負(fù)荷工作����。 而如果為每個地市分公司提供系統(tǒng)管理員的最高權(quán)限��,又會擔(dān)心出現(xiàn)大量超級 用戶��、難以控制權(quán)限的擴散并有權(quán)限被濫用的可能性����。
綜上所述,現(xiàn)有技術(shù)中�����,對網(wǎng)絡(luò)的管理控制沒有建立起有效的權(quán)限分配����、 授予和管理機制。
發(fā)明內(nèi)容
本發(fā)明實施例提供一種網(wǎng)絡(luò)管理控制方法與網(wǎng)絡(luò)管理控制系統(tǒng)��,實現(xiàn)多級 權(quán)限分配、控制和管理����。
一種網(wǎng)絡(luò)管理控制方法,包括 上層網(wǎng)管用戶創(chuàng)建下層網(wǎng)管用戶���;
所述上層網(wǎng)管用戶將自己所擁有的網(wǎng)絡(luò)管理權(quán)限全部或部分授予給所述 下層網(wǎng)管用戶;
各網(wǎng)管用戶根據(jù)自己所擁有的網(wǎng)絡(luò)管理權(quán)限�,對網(wǎng)絡(luò)對象/對象組進行操作。
根據(jù)本發(fā)明的上述方法�,所述上層網(wǎng)管用戶將自己所擁有的網(wǎng)絡(luò)管理權(quán)限 全部或部分授予給所述下層網(wǎng)管用戶,包括
所述上層網(wǎng)管用戶將自己所擁有的權(quán)限標(biāo)簽全部或部分授予給所述下層 網(wǎng)管用戶�,所述權(quán)限標(biāo)簽由最高層網(wǎng)管用戶創(chuàng)建,是用于對所述網(wǎng)絡(luò)對象/對象 組進行操作的憑證��。
根據(jù)本發(fā)明的上述方法��,還包括建立所述網(wǎng)絡(luò)對象/對象組與所述權(quán)限標(biāo) 簽之間的依附關(guān)系�。
根據(jù)本發(fā)明的上述方法,所述各網(wǎng)管用戶根據(jù)自己所擁有的網(wǎng)絡(luò)管理權(quán) 限�,對網(wǎng)絡(luò)對象/對象組進行操作,包括
驗證所述網(wǎng)管用戶所擁有的權(quán)限標(biāo)簽之一與請求操作的網(wǎng)絡(luò)對象/對象組 所依附的權(quán)限標(biāo)簽之一是否一致��,若是����,則允許所述網(wǎng)管用戶對所述網(wǎng)絡(luò)對象 /對象組進行操作�;否則�����,不允許所述網(wǎng)管用戶對所述網(wǎng)絡(luò)對象/對象組進行操 作���。
根據(jù)本發(fā)明的上述方法���,所述上層網(wǎng)管用戶將自己所擁有的權(quán)限標(biāo)簽全部 或部分^^予給所述下層網(wǎng)管用戶,包括
所述上層網(wǎng)管用戶將自己所擁有的全部或部分權(quán)限標(biāo)簽通過操作通道授予給所述下層網(wǎng)管用戶��,所述操作通道作為中間介質(zhì)存儲網(wǎng)管用戶被授予的權(quán) 限標(biāo)簽�����。
根據(jù)本發(fā)明的上述方法����,還包括
所述上層網(wǎng)管用戶通過所述操作通道取消授予給所述下層網(wǎng)管用戶的權(quán) 限標(biāo)簽。
根據(jù)本發(fā)明的上述方法��,所述操作通道為多個,每一個操作通道與一種網(wǎng) 絡(luò)對象/對象組操作類型相對應(yīng)�����,每一個操作通道中存儲該網(wǎng)管用戶在對應(yīng)操作 類型上的權(quán)限標(biāo)簽�。
根據(jù)本發(fā)明的上述方法,所述建立網(wǎng)絡(luò)對象/對象組與所述權(quán)限標(biāo)簽之間的 依附關(guān)系����,包括
根據(jù)預(yù)設(shè)的權(quán)限標(biāo)簽與網(wǎng)絡(luò)對象/對象組的依附策略,自動生成所述網(wǎng)絡(luò)對 象/對象組與所述權(quán)限標(biāo)簽之間的依附關(guān)系�����;和/或
由最高層網(wǎng)管用戶手動建立所述網(wǎng)絡(luò)對象/對象組與所述權(quán)限標(biāo)簽之間的 依附關(guān)系��。
根據(jù)本發(fā)明的上述方法��,當(dāng)所述網(wǎng)絡(luò)對象為包含多個子對象的父容器對 象�����,且已建立起與所述權(quán)限標(biāo)簽之間的依附關(guān)系后�����,其所包含的各個子對象自 動繼承所述父容器對象所依附的權(quán)限標(biāo)簽���。
根據(jù)本發(fā)明的上述方法����,還包括設(shè)定所述權(quán)限標(biāo)簽的生命周期���,當(dāng)權(quán)限 標(biāo)簽的生命周期到達時�����,相應(yīng)網(wǎng)管用戶不再擁有該權(quán)限標(biāo)簽�。
根據(jù)本發(fā)明的上述方法��,還包括上層網(wǎng)管用戶刪除下層網(wǎng)管用戶�。
根據(jù)本發(fā)明的上述方法,還包括
設(shè)定權(quán)限控制點�����,并由所述上層網(wǎng)管用戶對所述下層網(wǎng)管用戶進行權(quán)限控 制點管理�����。
根據(jù)本發(fā)明的上述方法,還包括設(shè)定進行權(quán)限控制點管理的特權(quán)用戶��, 僅由所述特權(quán)用戶對其下層網(wǎng)管用戶進行權(quán)限控制點管理����。
根據(jù)本發(fā)明的上述方法,設(shè)定支持模板和繼承的權(quán)限控制點����,允許下層網(wǎng)客用戶繼承上層網(wǎng)管用戶的權(quán)限控制點的部分或全部默認(rèn)設(shè)置。
根據(jù)本發(fā)明的上述方法�,還包括為網(wǎng)管用戶^^受予對象事件處理權(quán)限;當(dāng) 網(wǎng)絡(luò)中的事件服務(wù)器獲取到對象事件時��,將所述對象事件上^^艮給具有該對象事 件處理權(quán)限的網(wǎng)管用戶���。
根據(jù)本發(fā)明的上述方法���,所述為網(wǎng)管用戶授予對象事件處理權(quán)限�����,包括
為網(wǎng)管用戶授予對象事件的查看權(quán)限��;或者
還為網(wǎng)管用戶授予對象事件的操作控制權(quán)限。
根據(jù)本發(fā)明的上述方法��,所述將對象事件上報給具有該對象事件處理權(quán)限 的網(wǎng)管用戶��,包括
所述事件服務(wù)器根據(jù)獲取到的對象事件���,確定出具有該對象事件處理權(quán)限 的網(wǎng)管用戶�����;
所述事件服務(wù)器向具有該對象事件處理權(quán)限的網(wǎng)管用戶當(dāng)前登錄的控制 臺發(fā)送相應(yīng)的對象事件上報消息�;
所述控制臺顯示出上報的對象事件信息����;或者
所述控制臺還接受網(wǎng)管用戶的控制,對所述對象事件所涉及的網(wǎng)絡(luò)對象/ 對象組進行操作��。
一種網(wǎng)絡(luò)管理控制系統(tǒng)�,包括
第一功能單元,用于上層網(wǎng)管用戶創(chuàng)建或刪除下層網(wǎng)管用戶��; 第二功能單元���,用于所述上層網(wǎng)管用戶將自己所擁有的網(wǎng)絡(luò)管理權(quán)限全部
或部分授予給所述下層網(wǎng)管用戶�����;
第三功能單元�,用于各網(wǎng)管用戶根據(jù)自己所擁有的網(wǎng)絡(luò)管理權(quán)限,對網(wǎng)絡(luò)
對象/對象組進行操作�����。
根據(jù)本發(fā)明的上述系統(tǒng)��,所述第二功能單元�����,包括 權(quán)限標(biāo)簽生成模塊�����,用于允許最高層網(wǎng)管用戶創(chuàng)建權(quán)限標(biāo)簽�; 權(quán)限標(biāo)簽授予模塊,用于所述上層網(wǎng)管用戶將自己所擁有的權(quán)限標(biāo)簽全部
或部分授予給所述下層網(wǎng)管用戶��;對象標(biāo)簽依附模塊用于建立起所述網(wǎng)絡(luò)對象/對象組與所述權(quán)限標(biāo)簽之間 的依附關(guān)系����。
根據(jù)本發(fā)明的上述系統(tǒng),所述第三功能單元��,包括權(quán)限驗證模塊和執(zhí)行 處理模塊����;
所述權(quán)限驗證模塊,用于接受網(wǎng)管用戶對所述網(wǎng)絡(luò)對象/對象組的操作請 求���,驗證所述網(wǎng)管用戶所擁有的權(quán)限標(biāo)簽之一與請求4喿作的網(wǎng)絡(luò)對象/對象組所 依附的權(quán)限標(biāo)簽之一是否一致���,若是,則發(fā)送第一消息給所述執(zhí)行處理模塊���, 否則�,發(fā)送第二消息給所述執(zhí)行處理模塊�����;
所述執(zhí)行處理模塊���,用于接收所述第 一消息��,對請求操作的所述網(wǎng)絡(luò)對象
/對象組進行操作�����;或者接收所述第二消息�����,向所述網(wǎng)管用戶顯示不允許操作信 自
根據(jù)本發(fā)明的上述系統(tǒng)�����,還包括權(quán)限控制點管理單元�����,用于設(shè)定權(quán)限控 制點��,并實現(xiàn)所述上層網(wǎng)管用戶對所述下層網(wǎng)管用戶進行權(quán)限控制點管理���。
根據(jù)本發(fā)明的上述系統(tǒng)��,還包括對象事件處理單元�,用于為網(wǎng)管用戶授 予對象事件處理權(quán)限�,并通知給網(wǎng)絡(luò)中的事件服務(wù)器。
本發(fā)明實施例提供的網(wǎng)絡(luò)管理控制方法與網(wǎng)絡(luò)管理控制系統(tǒng),通過上層網(wǎng) 管用戶創(chuàng)建或刪除下層網(wǎng)管用戶���;并由上層網(wǎng)管用戶將自己所擁有的網(wǎng)絡(luò)管理 權(quán)限全部或部分授予給所述下層網(wǎng)管用戶;各網(wǎng)管用戶4艮據(jù)自己所擁有的網(wǎng)絡(luò) 管理權(quán)限�,對網(wǎng)絡(luò)對象/對象組進行操作。由于上層網(wǎng)管用戶可以將自己所擁有 的網(wǎng)絡(luò)管理權(quán)限全部或部分授予給下層網(wǎng)管用戶���,使得權(quán)限分散�����,減輕了上層 網(wǎng)管用戶的負(fù)擔(dān)����,提高了下層用戶業(yè)務(wù)開通的效率�����;且由于各層網(wǎng)管用戶僅從 自己的管理權(quán)限子集中提取部分權(quán)限授予下級用戶�����,從而避免了大量超級用戶 的出現(xiàn)和濫用權(quán)限的可能性�����。
圖1為本發(fā)明實施例中用戶分級樹結(jié)構(gòu)圖;圖2a為本發(fā)明實施例中網(wǎng)管用戶的權(quán)限標(biāo)簽以才喿作通道為中間介質(zhì)進行 存儲的示意圖2b為本發(fā)明實施例中權(quán)限標(biāo)簽存儲在對象梯:作入口處的示意圖��; 圖3為本發(fā)明實施例中對象/對象組依附一個或多個權(quán)限標(biāo)簽的示意圖�; 圖4為本發(fā)明實施例中權(quán)限標(biāo)簽繼承的示意圖5為本發(fā)明實施例中網(wǎng)管用戶對網(wǎng)絡(luò)對象進行操作時,驗證權(quán)限標(biāo)簽是 否一致的示意圖6為本發(fā)明實施例中對象變更前網(wǎng)管用戶和對象的權(quán)限標(biāo)簽示意圖����; 圖7為本發(fā)明實施例中對象變更后網(wǎng)管用戶和對象的權(quán)限標(biāo)簽示意圖; 圖8為本發(fā)明實施例中網(wǎng)絡(luò)管理控制系統(tǒng)示意圖�����。
具體實施例方式
本發(fā)明實施例提供一種基于權(quán)限標(biāo)簽的網(wǎng)絡(luò)管理控制方法及系統(tǒng)����,該方法 采用用戶分級樹結(jié)構(gòu),實現(xiàn)多級分權(quán)和自治管理�。用戶分級樹如圖l所示。其 中
Root組���、用戶11����、用戶12、用戶13����、用戶21......等是用戶分級樹不同層
的網(wǎng)管用戶,它們是網(wǎng)絡(luò)管理權(quán)限的擁有者�。
Root組是一個超級管理員��,它是一個特殊的網(wǎng)管用戶��,擁有所有的網(wǎng)絡(luò)管 理權(quán)限��;它可以創(chuàng)建權(quán)限標(biāo)簽�,并將自己所擁有的權(quán)限標(biāo)簽全部或部分授予給 下層的網(wǎng)管用戶。其它層的網(wǎng)管用戶擁有與超級管理員賦予的權(quán)限標(biāo)簽相對應(yīng) 的網(wǎng)絡(luò)管理權(quán)限���。
從最高層的Root組開始�,每個網(wǎng)管用戶都可以創(chuàng)建/刪除下層網(wǎng)管用戶���, 并將自己所擁有的權(quán)限標(biāo)簽授予下層網(wǎng)管用戶�,以圖1中所示為例
Root組創(chuàng)建用戶11��、用戶12�����、用戶13.......;
用戶12創(chuàng)建用戶21、用戶22�、用戶23.......;
用戶21創(chuàng)建用戶31、用戶32����、......;......,依此類推��;
n-l層的某一網(wǎng)管用戶創(chuàng)建用戶nl�、用戶n2、用戶n3......��。
一個用戶創(chuàng)建的下一層用戶的集合稱為該用戶的管轄域�����;例如用戶11�、
用戶12、用戶13.......為Root組的管轄域�����;用戶21����、用戶22����、用戶23.......
為用戶12的管轄域�����,等等����。
一個用戶創(chuàng)建的所有下層用戶的集合稱為該用戶的管轄樹��;例如用戶11�����、 用戶12��、用戶13���、用戶21�����、用戶22����、用戶23、用戶31��、用戶32��、用戶nl�����、 用戶n2���、用戶n3......構(gòu)成Root組的管轄樹�����;用戶21�����、用戶22���、用戶23��、用
戶31�����、用戶32��、用戶nl�、用戶n2�����、用戶n3......為用戶12的管轄樹��,等等�。
所有樹(域)的集合稱為森林���,森林只被超級管理員管轄��;
因此�,對于樹上每個節(jié)點的網(wǎng)管用戶來說���,它既是上層節(jié)點的網(wǎng)管用戶的
子用戶���,又是下層節(jié)點樹的管理員�,能夠在自己的管轄樹中完成所有下層用戶 的創(chuàng)建和權(quán)限標(biāo)簽的授予����。例如圖i所示的用戶分級樹模型,從最上層的超級
管理員Root開始��,可以不斷向下創(chuàng)建下層網(wǎng)管用戶�����,支持最多32層��,最大32767
個網(wǎng)管用戶�,每個用戶角色可以創(chuàng)建最多128個登陸賬戶。
同時���,每個網(wǎng)管用戶可以對應(yīng)多個賬戶實體���,通過各自獨立的登錄名和登 錄口令驗證其合法性。
特別的�,用戶21、用戶22���、用戶23也可以由Root組創(chuàng)建并授予^5l限標(biāo) 簽����;用戶31、用戶32也可以由Root組和用戶12創(chuàng)建并4受予權(quán)限標(biāo)簽���;用戶 nl��、用戶n2�����、用戶n3也可以由Root組�、用戶12���、用戶21等上層用戶創(chuàng)建并 授予權(quán)限標(biāo)簽���。
權(quán)限標(biāo)簽只能由最高層網(wǎng)管用戶創(chuàng)建��,如圖1中的超級管理員Root組��, 權(quán)限標(biāo)簽用作對網(wǎng)絡(luò)對象/對象組進行操作的憑證�,通過這個權(quán)限標(biāo)簽就可以對 對象/對象組進行訪問/管理�。超級管理員擁有所有權(quán)限標(biāo)簽����,其它用戶的權(quán)限 標(biāo)簽是超級管理員權(quán)限標(biāo)簽的 一個子集。
上層網(wǎng)管用戶通過操作通道將自己所擁有的全部或部分權(quán)限標(biāo)簽授予給
12下層網(wǎng)管用戶�����,以及剝奪下層網(wǎng)管用戶所擁有的權(quán)限標(biāo)簽的過程��,稱為授權(quán)操 作����。授權(quán)操作是通過操作通道進行,并以操作通道作為中間介質(zhì)來存儲用戶被 授予的權(quán)限標(biāo)簽���。
每個用戶都存在1 N個操作通道�,每個操作通道分別對應(yīng)某種操作類型 (如讀���、寫���、執(zhí)行、刪除、遍歷���、或者自定義的告警確認(rèn)����、告警清除���、告警派 單�����、遠(yuǎn)程登錄等)�。操作通道作為網(wǎng)管用戶和該操作類型上權(quán)限標(biāo)簽的入口介 質(zhì)��,保存用戶在這一類型操作上權(quán)限標(biāo)簽的存儲狀況�。所以上層網(wǎng)管用戶只能 在相同的操作通道上對下層網(wǎng)管用戶進行自己擁有的權(quán)限標(biāo)簽授權(quán)或者剝奪。
網(wǎng)管用戶以操作通道為中間介質(zhì)存儲自身所擁有的權(quán)限標(biāo)簽的示意圖如
圖2a所示��。該網(wǎng)管用戶包括讀�����、寫�、執(zhí)行及其它操作通道�����。對應(yīng)操作類型 "讀"的操作通道上存儲有標(biāo)簽1、標(biāo)簽2�����、和標(biāo)簽3;對應(yīng)操作類型"寫"的 操作通道上存儲有標(biāo)簽l;對應(yīng)操作類型"執(zhí)行"的操作通道上存儲有標(biāo)簽2�����、 和標(biāo)簽3;對應(yīng)操作類型"其它"的操作通道上存儲有標(biāo)簽2�、和標(biāo)簽3。
對象依附1到多個權(quán)限標(biāo)簽的示意圖如圖2b所示�。對象1的依附入口處 存儲了標(biāo)簽l、標(biāo)簽2和標(biāo)簽4;對象2的依附入口處存儲了標(biāo)簽1和標(biāo)簽4; 對象3的依附入口處存儲了標(biāo)簽3和標(biāo)簽4�����。
超級管理員在創(chuàng)建權(quán)限標(biāo)簽之后���,可以手動建立網(wǎng)絡(luò)對象/對象組與創(chuàng)建的 權(quán)限標(biāo)簽之間的依附關(guān)系�����。每個對象/對象組可以依附1到多個權(quán)限標(biāo)簽��, 一旦 對象依附了權(quán)限標(biāo)簽��,在對象上的操作類型隨著網(wǎng)管用戶的操作通道的類型可 以不斷的變更和增刪����, 一切取決于網(wǎng)管用戶自身操作通道和操作通道上被授予 的權(quán)限標(biāo)簽的定義。對象/對象組依附1到多個權(quán)限標(biāo)簽的情況如圖3所示
對象/對象組1依附了標(biāo)簽1和標(biāo)簽3;
對象/對象組2依附了標(biāo)簽2;
對象/對象組3依附了標(biāo)簽2和標(biāo)簽3����。
在創(chuàng)建權(quán)限標(biāo)簽的時候,也可以定義這個權(quán)限標(biāo)簽自動依附到網(wǎng)絡(luò)對象/ 對象組的策略�,比如對象/對象組別名中的關(guān)鍵字、對象/對象組的地址范圍段等���。 一旦創(chuàng)建了符合自動依附策略的網(wǎng)絡(luò)對象���,或者對象屬性變更后符合依附 策略,網(wǎng)絡(luò)管理控制系統(tǒng)將自動對這些注冊對象進行^J艮標(biāo)簽依附操作���。這個 功能大大簡化了對象創(chuàng)建或者變更后����,需要用戶手工進行權(quán)限標(biāo)簽依附的工 作,讓權(quán)限標(biāo)簽和對象的分配關(guān)系可以自動完成�。即網(wǎng)絡(luò)對象/對象組可以才艮據(jù) 預(yù)設(shè)的權(quán)限標(biāo)簽與網(wǎng)絡(luò)對象/對象組的依附策略,自動生成網(wǎng)絡(luò)對象/對象組與 權(quán)限標(biāo)簽之間的依附關(guān)系��。
同樣的�����,最高層網(wǎng)管用戶還可以創(chuàng)建具有繼承功能的權(quán)限標(biāo)簽��,用于當(dāng)父 容器對象建立起與權(quán)限標(biāo)簽之間的依附關(guān)系后����,其所包含的各個子對象自動繼 承父容器對象所依附的權(quán)限標(biāo)簽�����。例如端口對象等���。權(quán)限標(biāo)簽繼承的情況如圖
4所示圖中的父容器對象包含有子對象l�����、子對象2和子對象3三個子對象�����。 當(dāng)將權(quán)限標(biāo)簽一一標(biāo)簽1授予父容器對象之后���,不僅父容器對象依附了標(biāo)簽1, 根據(jù)繼承關(guān)系�,子對象l��、子對象2和子對象3均依附了標(biāo)簽1�����。
特別的����,最高層網(wǎng)管用戶還可以為權(quán)限標(biāo)簽設(shè)定生命周期,來控制網(wǎng)管用 戶對網(wǎng)絡(luò)對象操作權(quán)限的使用時間�,當(dāng)權(quán)限標(biāo)簽的生命周期到達時,相應(yīng)網(wǎng)管 用戶不再擁有該權(quán)限標(biāo)簽���。
當(dāng)網(wǎng)管用戶要對某一個對象的操作進行訪問的時候�,網(wǎng)絡(luò)管理控制系統(tǒng)通 過驗證雙方是否擁有相同的權(quán)限標(biāo)簽��,來鑒別網(wǎng)管用戶是否對該對象具有相應(yīng) 的操作權(quán)限�;若是�����,則允許該網(wǎng)管用戶對請求操作的網(wǎng)絡(luò)對象/對象組進行操作�����; 否則,不允許該網(wǎng)管用戶對請求操作的網(wǎng)絡(luò)對象/對象組進行操作����。例如圖5 所示的網(wǎng)管用戶與對象/對象組擁有相同的權(quán)限標(biāo)簽——標(biāo)簽x,該用戶可以對 該對象/對象組進行訪問或管理。
以上所述基于權(quán)限標(biāo)簽的網(wǎng)絡(luò)管理控制方法�����,可以在網(wǎng)管用戶操作通道上 完成權(quán)限標(biāo)簽的管理���,使各級網(wǎng)管用戶能夠自主將所擁有的權(quán)限授予給下層的 網(wǎng)管用戶���,實現(xiàn)對本管轄區(qū)域的自治管理(包括繼續(xù)創(chuàng)建下級網(wǎng)管用戶、創(chuàng)建 本地資源對象��、對下級網(wǎng)管用戶提供授權(quán)等)����,從而減輕了最高層網(wǎng)管用戶的 工作負(fù)擔(dān)����。網(wǎng)管用戶與網(wǎng)絡(luò)對象之間并沒有直接的權(quán)限關(guān)系��,通過權(quán)限標(biāo)簽作為鑒權(quán)
的憑證����,使得權(quán)限集合的最大記錄數(shù)由原來的最大記錄數(shù)等于網(wǎng)管用戶數(shù)x 對象個數(shù)x可以提供的操作類型的數(shù)量,變?yōu)楝F(xiàn)在的網(wǎng)管用戶數(shù)x操作類 型的數(shù)量x所有的權(quán)限標(biāo)簽數(shù)+對象數(shù)x所有的權(quán)限標(biāo)簽數(shù)�����;有效的降低權(quán) 限記錄數(shù)量��,提高了鑒權(quán)效率�。同時,也能夠基于權(quán)限標(biāo)簽的自動依附來提供 權(quán)限關(guān)系的自適應(yīng)功能���。
當(dāng)對象發(fā)生變更后��,如網(wǎng)元從A市轉(zhuǎn)移到B市��,相關(guān)的管理權(quán)限也由A 市管理員轉(zhuǎn)移到B市管理員����,通過權(quán)限標(biāo)簽自動依附關(guān)系能夠自動更新對象依 附的權(quán)限標(biāo)簽,而不必重新對訪問對象的網(wǎng)管用戶進行授權(quán)�����,從而實現(xiàn)權(quán)限關(guān) 系的自適應(yīng)調(diào)整�。對象變更前后,網(wǎng)絡(luò)對象與網(wǎng)管用戶所依附標(biāo)簽情況如圖6 和圖7所示����。其中���,圖6為對象變更前的情況網(wǎng)管用戶(某子網(wǎng)管理員)擁 有的權(quán)限標(biāo)簽為某子網(wǎng)路由器�,變更前設(shè)備也擁有權(quán)限標(biāo)簽?zāi)匙泳W(wǎng)路由器���,所 以�,某子網(wǎng)管理員可以對該變更前設(shè)備進行訪問和管理�;圖7為對象變更后的 情況,網(wǎng)管用戶(某子網(wǎng)管理員)擁有的權(quán)限標(biāo)簽為該子網(wǎng)路由器���,變更后的 設(shè)備自動依附于權(quán)限標(biāo)簽該子網(wǎng)路由器�����,則該子網(wǎng)管理員依然可以對變更后的 設(shè)備進行訪問和管理���。
權(quán)限控制點是對網(wǎng)管系統(tǒng)的抽象操作行為進行控制的方式��。抽象的操作行 為包括功能菜單項�����、工具條上功能按鈕��、泛指的某種行為(如打印報表�����、開 通電路等)���;這些都能定義為權(quán)限控制點納入權(quán)限管理。權(quán)限控制點是直接和 網(wǎng)管用戶發(fā)生關(guān)系的���,每個網(wǎng)管用戶都被定義了對哪些權(quán)限控制點具有權(quán)限���, 哪些不具有權(quán)限����,這樣網(wǎng)管用戶和權(quán)限控制點的列表就構(gòu)成了 一個二維關(guān)系�。
對于上述網(wǎng)絡(luò)管理控制方法中的分級管理形式,僅僅提供網(wǎng)管用戶-權(quán)限 控制點的簡單二維映射關(guān)系是遠(yuǎn)遠(yuǎn)不夠的�,因為每個網(wǎng)管用戶除了被上層網(wǎng)管 用戶管理之外,也要對下層的管轄樹進行權(quán)限控制點的管理���,這就需要把權(quán)限 控制點的權(quán)限許可設(shè)定和管轄樹聯(lián)系起來��。每個上層的網(wǎng)管用戶都可以管轄下 層網(wǎng)管用戶對應(yīng)的權(quán)限控制點���,設(shè)定哪些權(quán)限控制點是下層用戶寸以訪問,哪些是不可以訪問的����。同時為了簡化操作��,權(quán)限控制點的設(shè)定支持模板和繼承�����, 允許下層網(wǎng)管用戶繼承上層網(wǎng)管用戶的權(quán)限控制點的部分或者全部默認(rèn)設(shè)置。
在用戶分級樹中����,也可以定義不同級別的網(wǎng)管用戶是否能夠具有對下層網(wǎng) 管用戶進行權(quán)限控制點管理的特權(quán),這樣對于從某一層開始的網(wǎng)管用戶來說���, 就只是被管理者而不是權(quán)限控制點的管理者�。例如只設(shè)定到地市網(wǎng)管用戶這一
層或者某3個特殊地市的網(wǎng)管用戶具有權(quán)限控制點管理者特權(quán)����,那么除了省中 心系統(tǒng)網(wǎng)管用戶和這3個特殊地市網(wǎng)管用戶具有對下級網(wǎng)管用戶進行權(quán)限控制 點分配(授權(quán)和剝奪)的權(quán)限之外,其他地市網(wǎng)管用戶或者更下層的區(qū)網(wǎng)管用 戶都無法再對自己管轄范圍內(nèi)的下層網(wǎng)管用戶進行相應(yīng)的權(quán)限控制點管理�����。
上述網(wǎng)絡(luò)管理控制方法�����,能夠支撐大量的并發(fā)客戶端訪問�����,為各級網(wǎng)管用 戶提供高效�、便捷的網(wǎng)絡(luò)接入口。
而原有的故障管理實現(xiàn)方法各個客戶端的告警控制臺從告警后臺服務(wù)器 訂閱告警事件,客戶端的告警控制臺通過在系統(tǒng)中定制的顯示過濾器對收到的 告警事件進行過濾呈現(xiàn)���。所有的告警事件都從告警后臺服務(wù)器傳輸?shù)矫總€客戶 端���,只能在客戶端實現(xiàn)對告警事件的顯示過濾。如果將這一模式應(yīng)用到本發(fā)明 提供的網(wǎng)絡(luò)管理控制方法中��,將存在如下問題
(1) 由于消息服務(wù)器將所有的告警事件幾乎同時發(fā)送到所有的告警控制 臺��,消息傳輸量與客戶端數(shù)量呈線性比例�。而實際上4艮多告警對于某個用戶來 說是不可見的(如地市網(wǎng)管人員無法看到省網(wǎng)設(shè)備的告警事件)。這樣就增加 了消息服務(wù)器的傳輸負(fù)擔(dān)���,隨著客戶端數(shù)量的不斷增加�,告警后臺服務(wù)的實時 響應(yīng)能力將顯著下降����,無法支撐大量的并發(fā)訪問;
(2) 無法對各種對象集合(如基于地理或者業(yè)務(wù)系列來劃分)提供告警 查詢/告警處理的分級權(quán)限管理�����;
為了提高系統(tǒng)對對象事件��,例如上述告警事件的并發(fā)支撐能力���,本發(fā)明 方法提供了數(shù)據(jù)層的權(quán)限過濾功能�,對對象事件進行分權(quán)控制和過濾�,通過權(quán) 限過濾降低傳輸?shù)南?shù)量。具體為針對為不同對象的事件�����,為網(wǎng)管用戶4吏予相應(yīng)的對象事件處理權(quán)限�����,包括查看的權(quán)限����、操作控制的權(quán)限等。當(dāng)網(wǎng)絡(luò)中 的事件服務(wù)器獲取到對象事件時�,根據(jù)獲取到的不同的對象事件,確定出具有
該對象事件處理權(quán)限的網(wǎng)管用戶����;然后事件服務(wù)器向具有該對象事件處理權(quán)限 的網(wǎng)管用戶當(dāng)前登錄的控制臺發(fā)送相應(yīng)的對象事件上報消息;所述控制臺顯示 出上報的對象事件信息����;或者所述控制臺還接受網(wǎng)管用戶的控制����,對所述對象 事件所涉及的網(wǎng)絡(luò)對象/對象組進行操作��。 以告警事件為例
通過驗證告警控制臺登錄的網(wǎng)管用戶對告警事件的處理權(quán)限��,在服務(wù)器端 對訂閱的告警事件進行基于權(quán)限的過濾����。如果告警事件對用戶"可見"(即用 戶具有對該告警事件的處理權(quán)限),則通過消息將該事件發(fā)送到該用戶所登錄 的告警控制臺��;如果是"不可見"的(即用戶不具有對該告警事件的處理權(quán)限)�����, 則該事件將在后臺被直接過濾��,不會發(fā)送到該用戶所登錄的告警控制臺��。
由于只有網(wǎng)管用戶獲得授權(quán)的事件才被傳輸?shù)皆摼W(wǎng)管用戶登錄的告警控 制臺�,將顯著降低在網(wǎng)絡(luò)上傳輸?shù)氖录蠄笙?shù)量,提高系統(tǒng)的響應(yīng)速度�, 提供可靠的并發(fā)訪問支撐。
系統(tǒng)還將提供網(wǎng)管用戶對告警事件操作權(quán)限的控制功能���,即網(wǎng)管用戶對于 告警事件處理(如確認(rèn)��、清除����、派單)的授權(quán)是按對象劃分的�。例如某地市級 的網(wǎng)管用戶只能查看某個對象的告警事件,但沒有對該對象的告警事件進行處 理的權(quán)限��;而省中心的網(wǎng)管用戶對該對象發(fā)生的告警事件既有查看的權(quán)限��,又 有操作的權(quán)限���。
同時�,應(yīng)用層的告警后臺處理提供負(fù)載均衡支持��,能夠?qū)⑾㈥犃兄械南?息均衡的發(fā)到運行在不同服務(wù)器上的各個事件分析器里���,從而提高后臺事件處 理的可擴展性�����。
上述網(wǎng)絡(luò)管理控制方法提供的數(shù)據(jù)層的權(quán)限過濾方法��,如在故障管理后臺 對告警事件進行分權(quán)控制和事件的過濾��,基于客戶端登錄的網(wǎng)管用戶的身份進 行消息過濾�,實現(xiàn)了故障的分級權(quán)限管理,有效的提高了系統(tǒng)對威障管理客戶
17端的并發(fā)支撐能力�����。
根據(jù)上述網(wǎng)絡(luò)管理控制方法�����,可以構(gòu)建一種用于無線通信網(wǎng)絡(luò)的網(wǎng)絡(luò)管理
控制系統(tǒng)80,該系統(tǒng)包括第一功能單元801�、第二功能單元802、第三功能 單元803�����、權(quán)限控制點管理單元804和對象事件處理單元805���。
第一功能單元801,用于上層網(wǎng)管用戶在自己的管轄樹中創(chuàng)建或刪除下層
網(wǎng)管用戶�����。
予權(quán)限標(biāo)簽的形式全部或部分授予自己的管轄樹中下層網(wǎng)管用戶�����。 較佳的���,第二功能單元802還可以劃分為
權(quán)限標(biāo)簽生成模塊8021,用于允許最高層網(wǎng)管用戶創(chuàng)建權(quán)限標(biāo)簽��;
權(quán)限標(biāo)簽授予模塊8022,用于上層網(wǎng)管用戶將自己所擁有的權(quán)限標(biāo)簽全部 或部分授予給自己的管轄樹中下層網(wǎng)管用戶���;
對象標(biāo)簽依附模塊8023�,用于建立起網(wǎng)絡(luò)對象/對象組與權(quán)限標(biāo)簽之間的 依附關(guān)系����,每個對象/對象組可以依附一到多個權(quán)限標(biāo)簽。
第三功能單元803用于各網(wǎng)管用戶根據(jù)自己所擁有的網(wǎng)絡(luò)管理權(quán)限����,對網(wǎng) 絡(luò)對象/對象組進行操作。
較佳的���,第三功能單元803還可以劃分為
權(quán)限驗證模塊8031,用于接受網(wǎng)管用戶對網(wǎng)絡(luò)對象/對象組的操作請求�����, 驗證網(wǎng)管用戶所擁有的權(quán)限標(biāo)簽之一與請求操作的網(wǎng)絡(luò)對象/對象組所依附的 權(quán)限標(biāo)簽之一是否一致��,若是���,則發(fā)送第一消息給執(zhí)行處理模塊8032��,否則����, 發(fā)送第二消息給執(zhí)行處理模塊8032;
執(zhí)行處理模塊8032�����,用于接收權(quán)限驗證模塊8031發(fā)送的第一消息��,對請 求操作的所述網(wǎng)絡(luò)對象/對象組進行操作���;或者接收權(quán)限驗證模塊8031第二消 息���,向所述網(wǎng)管用戶顯示不允許操作信息。
權(quán)限控制點管理單元804用于設(shè)定權(quán)限控制點,并實現(xiàn)所述上層網(wǎng)管用戶 對所述下層網(wǎng)管用戶進行權(quán)限控制點管理�。
18對象事件處理單元805用于為網(wǎng)管用戶授予對象事件處理權(quán)限,并通知給 網(wǎng)絡(luò)中的事件服務(wù)器���,具體為當(dāng)網(wǎng)管用戶對某對象事件具有處理權(quán)限時�����,則
將該對象事件上報給該網(wǎng)管用戶的登錄的事件服務(wù)器。
本發(fā)明實施例提供的網(wǎng)絡(luò)管理控制方法與網(wǎng)絡(luò)管理控制系統(tǒng)����,通過上層網(wǎng) 管用戶創(chuàng)建或刪除下層網(wǎng)管用戶;并由上層網(wǎng)管用戶將自己所擁有的網(wǎng)絡(luò)管理 權(quán)限以授予權(quán)限標(biāo)簽的形式全部或部分授予給所述下層網(wǎng)管用戶��;各網(wǎng)管用戶 根據(jù)自己所擁有的網(wǎng)絡(luò)管理權(quán)限��,對網(wǎng)絡(luò)對象/對象組進行操作���。以權(quán)限標(biāo)簽作 為鑒權(quán)的憑證�,實現(xiàn)網(wǎng)管用戶和操作對象之間權(quán)限關(guān)系的動態(tài)組合����,使得用戶 對操作對象的訪問權(quán)限實現(xiàn)了更靈活的配置;有效的降低權(quán)限記錄數(shù)量,提高 了鑒權(quán)的效率�;權(quán)限標(biāo)簽的自動依附功能使得權(quán)限管理具有很強的自適應(yīng)性; 通過設(shè)置權(quán)限標(biāo)簽的生命周期��,實現(xiàn)了權(quán)限使用時間的靈活控制�����;由于上層網(wǎng)
現(xiàn)了本轄區(qū)內(nèi)的自治管理��,權(quán)限的M,減輕了上層網(wǎng)管用戶的負(fù)擔(dān)�,提高了 下層用戶業(yè)務(wù)開通的效率;且由于各層網(wǎng)管用戶僅從自己的管理權(quán)限子集中提 取部分權(quán)限授予下級用戶�����,從而避免了大量超級用戶的出現(xiàn)和濫用權(quán)限的可能性���。
以上所述�����,僅為本發(fā)明較佳的具體實施方式
���,但本發(fā)明的保護范圍并不局 限于此�,任何熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi)�,可輕易 想到的變化、替換或應(yīng)用到其他類似的裝置���,都應(yīng)涵蓋在本發(fā)明的保護范圍之 內(nèi)�。因此�,本發(fā)明的保護范圍應(yīng)該以權(quán)利要求書的保護范圍為準(zhǔn)。
權(quán)利要求
1�、一種網(wǎng)絡(luò)管理控制方法,其特征在于����,包括上層網(wǎng)管用戶創(chuàng)建下層網(wǎng)管用戶���;所述上層網(wǎng)管用戶將自己所擁有的網(wǎng)絡(luò)管理權(quán)限全部或部分授予給所述下層網(wǎng)管用戶�����;各網(wǎng)管用戶根據(jù)自己所擁有的網(wǎng)絡(luò)管理權(quán)限���,對網(wǎng)絡(luò)對象/對象組進行操作。
2����、 如權(quán)利要求1所述的方法�����,其特征在于���,所述上層網(wǎng)管用戶將自己所 擁有的網(wǎng)絡(luò)管理權(quán)限全部或部分授予給所述下層網(wǎng)管用戶,包括所述上層網(wǎng)管用戶將自己所擁有的權(quán)限標(biāo)簽全部或部分^l更予給所述下層 網(wǎng)管用戶����,所述權(quán)限標(biāo)簽由最高層網(wǎng)管用戶創(chuàng)建,是用于對所述網(wǎng)絡(luò)對象/對象 組進行操作的憑證���。
3�、 如權(quán)利要求2所述的方法��,其特征在于���,還包括建立所述網(wǎng)絡(luò)對象/ 對象組與所述權(quán)限標(biāo)簽之間的依附關(guān)系�。
4�����、 如權(quán)利要求3所述的方法,其特征在于�����,所述各網(wǎng)管用戶根據(jù)自己所 擁有的網(wǎng)絡(luò)管理權(quán)限�����,對網(wǎng)絡(luò)對象/對象組進行操作����,包括驗證所述網(wǎng)管用戶所擁有的權(quán)限標(biāo)簽之一與請求操作的網(wǎng)絡(luò)對象/對象組 所依附的權(quán)限標(biāo)簽之一是否一致,若是��,則允許所述網(wǎng)管用戶對所述網(wǎng)絡(luò)對象 /對象組進行操作����;否則�,不允許所述網(wǎng)管用戶對所述網(wǎng)絡(luò)對象/對象組進行操 作。
5�����、 如權(quán)利要求4所述的方法��,其特征在于,所述上層網(wǎng)管用戶將自己所 擁有的權(quán)限標(biāo)簽全部或部分^t受予給所述下層網(wǎng)管用戶�,包括所述上層網(wǎng)管用戶將自己所擁有的全部或部分權(quán)限標(biāo)簽通過操作通道授 予給所述下層網(wǎng)管用戶,所述操作通道作為中間介質(zhì)存儲網(wǎng)管用戶被授予的權(quán)限標(biāo)簽��。
6����、 如權(quán)利要求5所述的方法,其特征在于�,還包括 所述上層網(wǎng)管用戶通過所述操作通道取消授予給所述下層網(wǎng)管用戶的權(quán)限標(biāo)簽。
7�、 如權(quán)利要求5或6所述的方法,其特征在于�����,所述才喿作通道為多個��, 每一個操作通道與 一種網(wǎng)絡(luò)對象/對象組操作類型相對應(yīng)����,每一個操作通道中存 儲該網(wǎng)管用戶在對應(yīng)操作類型上的權(quán)限標(biāo)簽。
8����、 如權(quán)利要求4所述方法���,其特征在于,所述建立網(wǎng)絡(luò)對象/對象組與所 述權(quán)限標(biāo)簽之間的依附關(guān)系�����,包括根據(jù)預(yù)設(shè)的權(quán)限標(biāo)簽與網(wǎng)絡(luò)對象/對象組的依附策略�,自動生成所述網(wǎng)絡(luò)對 象/對象組與所述權(quán)限標(biāo)簽之間的依附關(guān)系;和/或由最高層網(wǎng)管用戶手動建立所述網(wǎng)絡(luò)對象/對象組與所述權(quán)限標(biāo)簽之間的 依附關(guān)系��。
9��、 如權(quán)利要求8所述方法����,其特征在于,當(dāng)所述網(wǎng)絡(luò)對象為包含多個子 對象的父容器對象�,且已建立起與所述權(quán)限標(biāo)簽之間的依附關(guān)系后,其所包含 的各個子對象自動繼承所述父容器對象所依附的權(quán)限標(biāo)簽����。
10����、 如權(quán)利要求4所述的方法��,其特征在于�,還包括設(shè)定所述權(quán)限標(biāo)簽 的生命周期�����,當(dāng)權(quán)限標(biāo)簽的生命周期到達時�����,相應(yīng)網(wǎng)管用戶不再擁有該權(quán)限標(biāo) 簽����。
11、 如權(quán)利要求l所述的方法���,其特征在于����,還包括上層網(wǎng)管用戶刪除 下層網(wǎng)管用戶����。
12、 如權(quán)利要求l所述的方法,其特征在于�����,還包括 設(shè)定權(quán)限控制點�,并由所述上層網(wǎng)管用戶對所述下層網(wǎng)管用戶進行權(quán)限控制點管理。
13���、 如權(quán)利要求12所述的方法����,其特征在于��,還包括設(shè)定進行權(quán)限控 制點管理的特權(quán)用戶���,僅由所述特權(quán)用戶對其下層網(wǎng)管用戶進行權(quán)限控制點管理����。
14�����、 如權(quán)利要求12或13所述的方法�����,其特征在于��,設(shè)定支持模板和繼承 的權(quán)限控制點��,允許下層網(wǎng)客用戶繼承上層網(wǎng)管用戶的權(quán)限控制點的部分或全 部默認(rèn)設(shè)置�。
15、 如權(quán)利要求l所述的方法����,其特征在于,還包括為網(wǎng)管用戶:l受予對 象事件處理權(quán)限�����;當(dāng)網(wǎng)絡(luò)中的事件服務(wù)器獲取到對象事件時����,將所述對象事件 上報給具有該對象事件處理權(quán)限的網(wǎng)管用戶。
16��、 如權(quán)利要求15所述的方法�,其特征在于,所述為網(wǎng)管用戶授予對象 事件處理權(quán)限���,包括為網(wǎng)管用戶授予對象事件的查看權(quán)限�����;或者 還為網(wǎng)管用戶授予對象事件的操作控制權(quán)限�。
17、 如權(quán)利要求16所述的方法�����,其特征在于����,所述將對象事件上報給具 有該對象事件處理*1限的網(wǎng)管用戶,包括所述事件服務(wù)器根據(jù)獲取到的對象事件��,確定出具有該對象事件處理權(quán)限 的網(wǎng)管用戶�;所述事件服務(wù)器向具有該對象事件處理權(quán)限的網(wǎng)管用戶當(dāng)前登錄的控制 臺發(fā)送相應(yīng)的對象事件上報消息;所述控制臺顯示出上報的對象事件信息����;或者所述控制臺還接受網(wǎng)管用戶的控制,對所述對象事件所涉及的網(wǎng)絡(luò)對象/ 對象組進行操作�����。
18、 一種網(wǎng)絡(luò)管理控制系統(tǒng)����,其特征在于,包括 第一功能單元����,用于上層網(wǎng)管用戶創(chuàng)建或刪除下層網(wǎng)管用戶�; 第二功能單元,用于所述上層網(wǎng)管用戶將自己所擁有的網(wǎng)絡(luò)管理權(quán)限全部或部分授予給所述下層網(wǎng)管用戶���;第三功能單元�,用于各網(wǎng)管用戶根據(jù)自己所擁有的網(wǎng)絡(luò)管理權(quán)限��,對網(wǎng)絡(luò) 對象/對象組進行操作���。
19����、 如權(quán)利要求18所述的系統(tǒng)����,其特征在于��,所述第二功能單元�,包括:權(quán)限標(biāo)簽生成模塊����,用于允許最高層網(wǎng)管用戶創(chuàng)建權(quán)限標(biāo)簽; 權(quán)限標(biāo)簽授予模塊�����,用于所述上層網(wǎng)管用戶將自己所擁有的權(quán)限標(biāo)簽全部或部分授予給所述下層網(wǎng)管用戶���;對象標(biāo)簽依附模塊用于建立起所述網(wǎng)絡(luò)對象/對象組與所述權(quán)限標(biāo)簽之間的依附關(guān)系��。
20�����、 如權(quán)利要求19所述的系統(tǒng)��,其特征在于�,所述第三功能單元�����,包括 權(quán)限驗證模塊和執(zhí)行處理模塊;所述權(quán)限驗證模塊����,用于接受網(wǎng)管用戶對所述網(wǎng)絡(luò)對象/對象組的操作請 求,驗證所述網(wǎng)管用戶所擁有的權(quán)限標(biāo)簽之一與請求操作的網(wǎng)絡(luò)對象/對象組所 依附的權(quán)限標(biāo)簽之一是否一致�,若是,則發(fā)送第一消息給所述執(zhí)行處理模塊����, 否則����,發(fā)送第二消息給所述執(zhí)行處理模塊;所述執(zhí)行處理模塊����,用于接收所述第一消息,對請求操作的所述網(wǎng)絡(luò)對象/對象組進行操作���;或者接收所述第二消息����,向所述網(wǎng)管用戶顯示不允許操作信 白
21���、 如權(quán)利要求18所述的系統(tǒng)�,其特征在于,還包括權(quán)限控制點管理 單元���,用于設(shè)定權(quán)限控制點��,并實現(xiàn)所述上層網(wǎng)管用戶對所述下層網(wǎng)管用戶進 行權(quán)限控制點管理���。
22、 如權(quán)利要求18或21所述的系統(tǒng)�����,其特征在于�����,還包括對象事件處 理單元����,用于為網(wǎng)管用戶授予對象事件處理權(quán)限,并通知給網(wǎng)絡(luò)中的事件服務(wù) 器�。
全文摘要
本發(fā)明公開了一種網(wǎng)絡(luò)管理控制方法及系統(tǒng),包括在網(wǎng)絡(luò)管理控制系統(tǒng)中���,最高層網(wǎng)管用戶創(chuàng)建權(quán)限標(biāo)簽�,建立權(quán)限標(biāo)簽與網(wǎng)絡(luò)對象/對象組之間的依附關(guān)系;上層網(wǎng)管用戶創(chuàng)建或刪除下層網(wǎng)管用戶�����,并將自己所擁有的權(quán)限標(biāo)簽全部或部分授予給下層網(wǎng)管用戶�����;各網(wǎng)管用戶對網(wǎng)絡(luò)對象/對象組進行操作時�����,驗證網(wǎng)管用戶所擁有的權(quán)限標(biāo)簽是否與請求操作的網(wǎng)絡(luò)對象/對象組所依附的權(quán)限標(biāo)簽一致���,僅當(dāng)兩者一致時才允許網(wǎng)管用戶對網(wǎng)絡(luò)對象/對象組進行操作。本發(fā)明可實現(xiàn)網(wǎng)絡(luò)管理的多級權(quán)限分配和權(quán)限控制�。
文檔編號H04L12/24GK101453357SQ200710178830
公開日2009年6月10日 申請日期2007年12月5日 優(yōu)先權(quán)日2007年12月5日
發(fā)明者馮瑞軍, 健 龐, 廖翀云, 徐海東, 峻 王, 波 舒, 南 郭, 曦 陳, 魏麗紅, 黃昭文 申請人:中國移動通信集團公司;杭州東方通信軟件技術(shù)有限公司