一种权限管理的方法及装置制造方法及图纸

本申请涉及通信技术领域，公开了一种权限管理的方法及装置，用以实现标准化的对象权限控制，保证操作行为的安全性。运维系统可以根据第一原子对象的权限信息，确定所述第一用户是否具有对所述第一原子对象执行第一操作的权限。如果运维系统确定所述第一用户具有对所述第一原子对象执行所述第一操作的权限，则可以向第一设备发送第一消息，所述第一消息用于请求对所述第一原子对象执行所述第一操作。运维系统可以确定用户是否具有对某个原子对象执行某种操作权限，只有在具有权限时，才会向设备发送消息请求对原子对象执行操作，在不具有权限时，不向设备发送消息，可以在一定程度上保证操作行为的安全性，保证网络安全。

【技术实现步骤摘要】
一种权限管理的方法及装置
本申请涉及通信
，尤其涉及一种权限管理的方法及装置。
技术介绍
网络配置协议(networkconfigurationprotocol，NETCONF)是一种基于可扩展标记语言(extensiblemarkuplanguage，XML)的网络管理协议。近年来，YANG(YetAnotherNextGeneration)数据建模语言(datamodelinglanguage)被国际互联网工程任务组(theinternetengineeringtaskforce，IETF)作为标准的NETCONF数据建模语言。它不仅可以建立配置数据的模型(modelconfigurationdata)，还可以建立各种操作和通知的模型，具有良好的可读性和可扩展性。目前，YANG语言可以对NETCONF协议的内容层、操作层和消息层进行数据建模。然而，当前标准YANG不具备权限定义能力，无法保证操作行为的安全性。
技术实现思路
本申请实施例提供一种权限管理的方法及装置，实现标准化的对象权限控制，保证操作行为的安全性。第一方面，提供了一种权限管理的方法，运维系统或者第三方中可以保存原子对象的权限信息。运维系统可以根据第一原子对象的权限信息，确定所述第一用户是否具有对所述第一原子对象执行第一操作的权限。如果运维系统确定所述第一用户具有对所述第一原子对象执行所述第一操作的权限，则可以向第一设备发送第一消息，所述第一消息用于请求对所述第一原子对象执行所述第一操作。运维系统可以确定用户是否具有对某个原子对象执行某种操作的权限，只有在具有权限时，才会向设备发送消息请求对原子对象执行操作。在不具有权限时，不向设备发送消息。这样，可以在一定程度上保证操作行为的安全性，从而保证网络安全。在一种可能的实现中，所述第一操作包括但不限于增加操作，删除操作，修改操作，查询操作中的任一种。在一种可能的实现中，所述运维系统可以接收来自所述第一设备的所述第一原子对象的权限信息。在一种可能的实现中，所述第一原子对象的权限信息包括对所述第一原子对象具有操作权限的用户的类型，以及所述类型的用户对所述第一原子对象具有权限的操作。用户类型例如可以是游客类型、管理员类型等。在一种可能的实现中，所述运维系统在根据第一原子对象的权限信息，确定登录所述运维系统的第一用户是否具有对所述第一原子对象执行所述第一操作的权限时，可以是先根据对所述第一原子对象具有操作权限的用户的类型，确定所述第一用户的第一类型对所述第一原子对象是否具有操作权限。如果第一类型对所述第一原子对象不具有操作权限，则所述第一用户不具有对所述第一原子对象执行所述第一操作的权限。如果第一类型对所述第一原子对象具有操作权限，则可以再根据第一类型的用户对所述第一原子对象具有权限的操作，确定所述第一类型的用户对所述第一原子对象是否具有所述第一操作的权限，如果具有第一操作的权限，则确定所述第一用户具有对所述第一原子对象执行所述第一操作的权限。针对各个用户的类型，设置对应的操作权限，后续可以通过用户的类型，准确、简洁、快速地确定出第一用户是否具有对所述第一原子对象执行所述第一操作的权限。在一种可能的实现中，用户可以通过账户信息登录运维系统，则运维系统可以根据所述第一用户的账户信息，确定所述第一用户的第一类型。在一种可能的实现中，所述运维系统还可以向所述第一设备发送第五消息，所述第五消息可以包括所述第一用户的第一类型的权限信息，所述第五消息可以用于对所述第一类型的权限信息进行认证。可选的，还可以接收到来自第一设备的响应消息，所述响应消息可以用于指示所述第一类型的权限信息认证通过或未认证通过。运维系统向第一设备认证某种用户的类型的权限信息，这样可以使运维系统和第一设备针对该用户的类型保存相同的权限信息，以进一步保证网络安全。在一种可能的实现中，所述运维系统向所述第一设备发送的第五消息可以是Netconf消息。进一步地，运维系统接收到的第五消息的响应消息也可以是Netconf消息。运维系统要想管理第一设备中的原子对象，可以先向第一设备进行认证接入。一般情况下，运维系统通过Netconf消息向第一设备进行认证接入，在此实施例中，通过在Netconf消息中携带第一类型的权限信息，在认证运维系统的同时，也对权限信息进行认证，可以减少信令开销。在一种可能的实现中，通过yang模型的标签指示所述第一原子对象的权限信息。例如yang模型的标签包括用户的类型标签和操作标签，所述用户的类型标签用于标识对所述第一原子对象具有操作权限的用户的类型，所述操作标签用于标识对所述第一原子对象具有操作权限的用户的类型的用户对所述第一原子对象具有权限的操作。通过标准的yang模型表达权限信息，使得原子对象的权限信息模型化、标准化和自动化。更方便管理数据模型以及方便外部系统/工具的理解与对接。第二方面，提供了一种权限管理的方法，第一设备可以向运维系统发送第一原子对象的权限信息，所述第一原子对象的权限信息用于确定登录所述运维系统的用户是否具有对所述第一原子对象执行第一操作的权限。进而，第一设备可以接收来自所述运维系统的第一消息，所述第一消息可以用于请求对所述第一原子对象执行第一操作。然后，所述第一设备可以对所述第一原子对象执行所述第一操作。运维系统可以确定用户是否具有对某个原子对象执行某种操作的权限，只有在具有权限时，才会向第一设备发送消息请求对原子对象执行操作。在不具有权限时，不向第一设备发送消息。这样可以在一定程度上保证网络安全。在一种可能的实现中，所述第一操作包括但不限于增加操作，删除操作，修改操作，查询操作中的任一种。在一种可能的实现中，所述第一原子对象的权限信息包括对所述第一原子对象具有操作权限的用户的类型，以及所述类型的用户对所述第一原子对象具有权限的操作。用户类型例如可以是游客类型、管理员类型等。在一种可能的实现中，所述第一设备还可以接收来自所述运维系统的第五消息，所述第五消息可以包括第一类型的权限信息，所述第五消息可以用于对所述第一类型的权限信息进行认证；所述第一设备根据针对所述运维系统保存的权限信息，认证登录所述运维系统的第一类型的用户是否具有所述第五消息中包括的权限信息；并且所述第一设备向所述运维系统发送所述第五消息的响应消息，所述第五消息的响应消息用于指示所述第一类型的权限信息认证通过或未认证通过。当认证结果为第一类型的用户具有所述第五消息中包括的权限信息时，认证通过；否则，认证未通过。运维系统向第一设备认证某种用户的类型的权限信息，这样可以使运维系统和第一设备针对该用户的类型保存相同的权限信息，以进一步保证网络安全。在一种可能的实现中，所述运维系统向所述第一设备发送的第五消息可以是Netconf消息。进一步地，运维系统接收到的第五消息的响应消息也可以是Netconf消息。运维系统要想管理第一设备中的原子对象，可以先向第一设备进行认证接入。一般情况下，运维本文档来自技高网...

【技术保护点】
1.一种权限管理的方法，其特征在于，所述方法包括：/n运维系统根据第一原子对象的权限信息，确定登录所述运维系统的第一用户是否具有对所述第一原子对象执行第一操作的权限；/n若所述第一用户具有对所述第一原子对象执行所述第一操作的权限，则所述运维系统向第一设备发送第一消息，所述第一消息用于请求对所述第一原子对象执行所述第一操作。/n

【技术特征摘要】
1.一种权限管理的方法，其特征在于，所述方法包括：
运维系统根据第一原子对象的权限信息，确定登录所述运维系统的第一用户是否具有对所述第一原子对象执行第一操作的权限；
若所述第一用户具有对所述第一原子对象执行所述第一操作的权限，则所述运维系统向第一设备发送第一消息，所述第一消息用于请求对所述第一原子对象执行所述第一操作。


2.如权利要求1所述的方法，其特征在于，还包括：
所述运维系统接收来自所述第一设备的所述第一原子对象的权限信息。


3.如权利要求1或2所述的方法，其特征在于，所述第一原子对象的权限信息包括对所述第一原子对象具有操作权限的用户的类型，以及所述类型的用户对所述第一原子对象具有权限的操作。


4.如权利要求3所述的方法，其特征在于，所述运维系统根据第一原子对象的权限信息，确定登录所述运维系统的第一用户具有对所述第一原子对象执行所述第一操作的权限，包括：
所述运维系统根据对所述第一原子对象具有操作权限的用户的类型，确定所述第一用户的第一类型对所述第一原子对象具有操作权限；
所述运维系统根据第一类型的用户对所述第一原子对象具有权限的操作，确定所述第一用户具有对所述第一原子对象执行所述第一操作的权限。


5.如权利要求4所述的方法，其特征在于，还包括：
所述运维系统向所述第一设备发送第五消息，所述第五消息包括所述第一用户的第一类型的权限信息，所述第五消息用于对所述第一类型的权限信息进行认证；
所述运维系统接收来自所述第一设备的所述第五消息的响应消息，所述响应消息用于指示所述第一类型的认证信息认证通过或未认证通过。


6.如权利要求1-5任一项所述的方法，其特征在于，通过yang模型的标签指示所述第一原子对象的权限信息。


7.如权利要求6所述的方法，其特征在于，yang模型的标签包括用户的类型标签和操作标签，所述用户的类型标签用于标识对所述第一原子对象具有操作权限的用户的类型，所述操作标签用于标识所述类型的用户对所述第一原子对象具有权限的操作。


8.一种权限管理的方法，其特征在于，所述方法包括：
第一设备向运维系统发送第一原子对象的权限信息，所述第一原子对象的权限信息用于确定登录所述运维系统的用户是否具有对所述第一原子对象执行第一操作的权限；
第一设备接收来自所述运维系统的第一消息，所述第一消息用于请求对所述第一原子对象执行所述第一操作；
所述第一设备对所述第一原子对象执行所述第一操作。


9.如权利要求8所述的方法，其特征在于，还包括：
所述第一设备接收来自所述运维系统的第五消息，所述第五消息包括第一类型的权限信息，所述第五消息用于对所述第一类型的权限信息进行认证；
所述第一设备根据针对所述运维系统保存的权限信息，认证登录所述运维系统的第一类型的用户是否具有所述权限信息；
所述第一设备向所述运维系统发送所述第五消息的响应消息，所述第五消息的响应消息用于指示所述第一类型的权限信息认证通过或未认证通过。


10.一种权限管理的方法，其特征在于，所述方法包括：
运维系统接收来自第二设备的第二消息，所述第二消息携带更新后的第二原子对象的权限信息；
所述运维系统更新所述第二原子对象的权限信息。


11.如权利要求10所述的方法，其特征在于，还包括：
所述运维系统确定需要更新所述第二原子对象的权限信息；
所述运维系统向所述第二设备发送第三消息，所述第三消息用于指示请求更新的所述第二原子对象的权限信息。


12.如权利要求11所述的方法，其特征在于，所述运维系统确定需要更新所述第二原子对象的权限信息，包括：
运维系统确定登录所述运维系统的第二用户请求允许或禁止所述第二用户对第二原子对象执行第二操作；或者，
运维系统确定登录所述运维系统的第二用户请求对所述第二原子对象执行第二操作的次数达到设定阈值，其中，所述第二操作超出所述第二原子对象的权限信息对应的权限范围。


13.一种权限管理的方法，其特征在于，所述方法包括：
第二设备确定需要更新第二原子对象的权限信息；
第二设备向运维系统发送第二消息，所述第二消息携带更新后的第二原子对象的权限信息。


14.如权利要求13所述的方法，其特征在于，第二设备确定需要更新第二原子对象的权限信息，包括：
所述第二设备接收来自所述运维系统的第三消息，所述第三消息用于指示请求更新的所述第二原子对象的权限信息；或者
所述第二设备确定登录所述第二设备的第三用户请求允许或禁止所述第三用户对第二原子对象执行的第三操作。


15.一种权限管理的装置，其特征在于，所述装置包括：
处理模块，用于根据第一原子对象的权...

【专利技术属性】
技术研发人员：杨娇，刘军，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：广东;44