對數據管理進行權限控制的方法

專利名稱：對數據管理進行權限控制的方法
技術領域：
本發明涉及網絡管理技術領域，尤其涉及一種對數據管理進行權限控制的方法。
背景技術：
網管系統(或稱網管)是電信網絡中的網絡設備管理系統，如果要求網管用戶僅能對某些指定條件的數據進行管理，則該條件稱為管理權限。在目前電信的網管中，特別是NGN(下一代網絡)領域的網管中，由于NGN的扁平化特征以及跨地域特征，要求網管在提供集中管理的情況下，支持按不同地域劃分數據的管理權限，以使分布在不同地域的網管用戶允許且僅允許管理本地域相關的數據。
現有技術中，網管對數據管理進行權限控制的方法，是對每一條數據都進行編號，然后配置網管用戶可管理的數據的編號范圍。網管系統通過檢查用戶可管理的數據編號來控制網管用戶對某條數據的管理權限。這種方法的缺點在于1、在數據種類非常多的情況下，需要對每一個用戶，對每一種數據都配置網管用戶可管理的數據編號范圍，工作量大。
比如在軟交換設備的資源數據配置中，最多可達二百多種資源，如果對每一個網管用戶，都配置其可以使用的資源編號范圍，則將進行二百多種配置；而實際的網管系統中可能有很多個用戶(設為n)個，這樣這些編號范圍配置操作將進行200*n次。
2、在數據之間有關聯關系的情況下，容易出現對有關聯的數據配置的管理權限不一致，導致用戶對數據的管理權限出現沖突或不一致。
比如對于軟交換中的局向和路由，在配置時要求先配置局向，再根據局向配置路由，局向和路由是有聯系的數據。在查看時要求有權限查看到的局向和路由一致。但如果配置的管理權限不一致，可能出現可查看的局向與可查看的路由不能完全對應的情況。

發明內容
本發明所要解決的技術問題是克服現有的網管對數據管理進行權限控制的方法配置工作量大、易出現對有關聯的數據配置的管理權限不一致的缺點，提供一種對數據管理進行權限控制的方法，減少配置工作量，并實現對有關聯數據管理權限的統一管理，避免出現沖突或不一致。
本發明為解決上述技術問題所采用的技術方案為這種對數據管理進行權限控制的方法，包括以下步驟網管系統將數據分為根數據和非根數據，根數據是在增加該數據時不需要引用其它數據的數據；非根數據是在增加該數據時要求引用根數據或其它非根數據的數據；網管系統為每個用戶配置根數據的管理權限，在管理根數據時，直接查詢出用戶對該根數據的管理權限來判斷用戶是否可管理該根數據；在管理非根數據時，根據非根數據查詢到相關的一個或多個根數據，并檢查用戶對這些根數據是否擁有管理權限來判斷用戶是否可管理該非根數據。
可以先為所有數據建立一個完整的關聯關系圖，根數據和非根數據都是圖中一個節點，然后系統根據需要從圖中非根數據節點向根數據節點搜索可達路徑，如有可達路徑，則根據非根數據查詢到對應的一個或多個根數據，進而根據用戶對這些根數據是否擁有管理權限來判斷用戶是否可管理該非根數據。
根據非根數據查詢到的根數據判斷用戶是否可管理該非根數據時，如果查詢到一條根數據，且用戶對該根數據具有管理權限，則該用戶對該非根數據有管理權限，反之則沒有管理權限；如果根據非根數據查詢到關聯的多條不同種類的根數據，則該非根數據的管理權限通過對所查出的全部或部分根數據管理權限的邏輯算法來判斷。
所述的邏輯算法包括求與、求或，或者是求與、求或的邏輯組合。
所述的邏輯算法內置到網管系統中，或在網管系統由用戶進行配置。
在用戶查詢數據時，網管系統根據管理權限過濾，使用戶僅查詢到自己擁有管理權限的數據，而無法查詢到不擁有管理權限的數據；或者在用戶查詢數據時，可以查詢到所有數據，在進行數據更改操作時檢查用戶對數據的管理權限，使用戶僅能操作自己擁有管理權限的數據。
網管系統查詢出用戶可以管理的根數據，再將非根數據對應的根數據查詢出來，兩者取交集后得到一個根數據集合，這個根數據集合對應的非根數據以及根數據，即是網管系統擁有管理權限的數據。
在為用戶配置根數據的管理權限時，網管系統具有較高級權限的用戶登錄網管系統后，在網管系統的安全管理中查詢出根數據以及各網管用戶帳號，為各個網管用戶帳號配置根數據的管理權限。
網管系統在接收到用戶查詢根數據的操作請求后，根據當前操作用戶的用戶帳號，在網管的安全系統數據庫中查詢出該用戶帳號可管理的根數據。
本發明的有益效果為本發明網管系統將數據分為根數據和非根數據，網管系統為每個用戶配置根數據的管理權限，在管理根數據時，直接查詢出用戶對該根數據的管理權限來判斷用戶是否可管理該根數據；在管理非根數據時，根據非根數據查詢到相關的一個或多個根數據，并檢查用戶對這些根數據是否擁有管理權限來判斷用戶是否可管理該非根數據。利用本發明，網管只需要通過對少量數據的管理權限進行配置，即可實現對其它數據的管理權限進行控制，減少了配置工作量，同時可實現對有關聯的數據管理權限的統一管理，避免了出現沖突或不一致。
具體實施例方式
下面根據實施例對本發明作進一步詳細說明本發明網管系統需要了解數據之間的關系，并且歸納出少數幾類數據作為根數據，其它類別的數據做為非根數據。
所謂根數據，是指在增加該數據時，不需要引用其它的數據；所謂非根數據，就是在增加該數據時要求引用根數據或其它非根數據。
例如在軟交換的數據中，一條媒體網關的記錄是一條根數據，因為增加該數據時不需要引用系統中其它數據；而一條七號中繼群的記錄則是一條非根數據，因為增加該數據時需要引用媒體網關記錄。
例如局向是根數據，因為增加局向時不需要引用其它已經配置的數據；路由就是非根數據，因為增加路由時要求引用已經增加的某條局向數據。
網管只需要為每個用戶配置根數據的管理權限，比如網管系統具有較高級權限的用戶在登錄網管系統后，在網管系統的“安全管理”中可以查詢出根數據以及其它的網管用戶帳號，超級用戶可以為各個網管用戶帳號配置有哪些根數據可以被該用戶管理。
用戶在管理根數據時，只需要直接查詢出用戶對該根數據的管理權限即可判斷用戶是否可管理該根數據。網管系統在接收到用戶查詢根數據的操作請求后，根據當前操作用戶的用戶帳號，在網管的安全系統數據庫中查詢出該用戶帳號可管理的根數據。
用戶在管理非根數據時，需要系統自動從非根數據查詢到相關的一個或多個根數據(網管系統自身有一套從非根數據查詢到根數據的算法)，并檢查用戶對這些根數據是否擁有管理權限，系統可根據檢查出的根數據的管理權限，判斷非根數據是否有管理權限。如果查詢到一條根數據，且用戶對該根數據具有管理權限，則該用戶對該非根數據有管理權限，反之則沒有管理權限；如果根據非根數據查詢到關聯的多條不同種類的根數據，則該非根數據的管理權限可通過對所查出的全部或部分根數據管理權限的邏輯算法來判斷。
在用戶查詢數據時，網管系統可以根據管理權限過濾，使用戶僅查詢到自己擁有管理權限的數據，而無法查詢到不擁有管理權限的數據；也可以不提供查詢過濾功能，使用戶可以查詢到所有數據，并且只在進行數據更改操作時再檢查數據的管理權限。在根據管理權限進行過濾時，網管系統查詢出當前帳號可以管理的根數據，再將非根數據對應的根數據查詢出來，兩者取交集后得到一個根數據集合，這個根數據集合對應的非根數據即是按管理權限過濾后的數據。
從非根數據查詢到相關的根數據可能需要經歷中間多層其它非根數據，網管系統需要一直回溯到根數據為止。可以先為所有數據建立一個完整的關聯關系圖，根數據和非根數據都是圖中一個節點，然后根據需要從圖中非根數據節點向根數據節點搜索可達路徑，如有可達路徑，則說明非根數據可回溯到對應的根數據，從而根據非根數據查詢到對應的一條或多條根數據。
比如編號為0、1的局向數據為根數據，編號為10的路由數為非根數據，并引用了編號為0的局向數據；編號為100的子路由數據為非根數，并引用了編號為10的路由數，則可在內存或其它存儲介質中建立一個關聯關系圖，子路由100關聯到路由10，路由10關聯到局向0；在檢查用戶是否對子路由100有管理權限時，需要搜索子路由100和局向0、局向1之間是否有可達路徑。從上例中可知，子路由100與局向0之間有可達路徑，而與局向1之間無可達路徑，說明用戶對子路由100的管理權限取決于用戶對局向0的管理權限，而與局向1無關。
如果非根數據關聯多條不同類的根數據，則這些非根數據的管理權限可以通過對全部或部分根數據管理權限的邏輯算法來判斷。一條非根數據可能關聯多條不同種類的根數據，比如軟交換中一條中繼群，可關聯的根數據既有媒體網關數據，也有局向數據。當要求對多條根數據有管理權限，用戶才能對相應的非根數據有管理權限，則稱為求與。邏輯算法包括“求與”、“求或”、或者是“求與”/“求或”的邏輯組合。比如一條非根數據可以關聯到根數據a、b、c，邏輯組合可以為(a有管理權限與b有管理管理)或(c有管理權限)。
假設上例中的子路由100除了關聯到一條編號為0的局向數據，還可以關聯到另一條編號為3的網關數據、一條編號為9的信令點數據，且邏輯算法要求(局向數據有權限與網關數據有權限)或(信令點數據有權限)，則滿足如下條件時用戶對子路由100有管理權限1、用戶對局向0和網關3同時有管理權限時；2、用戶對信令點數據9有管理權限時。
如下條件時用戶對子路由100無管理權限1、用戶對局向0和信令點9都沒有管理權限時；2、用戶對網關3和信令點9都沒有管理權限時。
邏輯算法的實現可以在系統實現時內置到系統中且不可改變；也可以在系統實現時不內置到系統中，在系統實際使用時由用戶進行配置；還可以在系統實現時內置，在系統實際使用時由用戶進行更改。
利用本發明，網管系統中對非根數據的管理權限通過查詢相關根數據的管理權限來確定，而不需要通過網管系統直接分配。網管只需要通過對少量數據的管理權限進行配置，即可實現對其它數據的管理權限進行控制，減少了配置工作量，同時可實現對有關聯的數據的管理權限的統一管理，避免了出現沖突或不一致。如果非根數據涉及多條根數據，本發明還支持對多條根數據的管理權限進行邏輯組合，該邏輯組合既可以是系統自動默認的，也可以是用戶通過系統定制的。
網管系統中數據的范圍相當廣泛，除了網管自身產生數據，從其它系統引入并在網管中需要進行權限管理的數據都可以納入到數據的概念中，比如從設備上報的告警數據也可以支持本方案。所有數據都可以劃分為根數據和非根數據，從非根數據一定可以找到根數據，根數據下不一定有非根數據。
本領域技術人員不脫離本發明的實質和精神，可以有多種變形方案實現本發明，以上所述僅為本發明較佳可行的實施例而已，并非因此局限本發明的權利范圍，凡運用本發明說明書內容所作的等效變化，均包含于本發明的權利范圍之內。
權利要求
1.一種對數據管理進行權限控制的方法，其特征在于，包括以下步驟網管系統將數據分為根數據和非根數據，根數據是在增加該數據時不需要引用其它數據的數據；非根數據是在增加該數據時要求引用根數據或其它非根數據的數據；網管系統為每個用戶配置根數據的管理權限，在管理根數據時，直接查詢出用戶對該根數據的管理權限來判斷用戶是否可管理該根數據；在管理非根數據時，根據非根數據查詢到相關的一個或多個根數據，并檢查用戶對這些根數據是否擁有管理權限來判斷用戶是否可管理該非根數據。
2.根據權利要求1所述的對數據管理進行權限控制的方法，其特征在于先為所有數據建立一個完整的關聯關系圖，根數據和非根數據都是圖中一個節點，然后根據需要從圖中非根數據節點向根數據節點搜索可達路徑，如有可達路徑，則根據非根數據查詢到對應的一個或多個根數據，進而根據用戶對這些根數據是否擁有管理權限來判斷用戶是否可管理該非根數據。
3.根據權利要求1或2所述的對數據管理進行權限控制的方法，其特征在于根據非根數據查詢到的根數據判斷用戶是否可管理該非根數據時，如果查詢到一條根數據，且用戶對該根數據具有管理權限，則該用戶對該非根數據有管理權限，反之則沒有管理權限；
4.根據權利要求3所述的對數據管理進行權限控制的方法，其特征在于如果根據非根數據查詢到關聯的多條不同種類的根數據，則該非根數據的管理權限通過對所查出的全部或部分根數據管理權限的邏輯算法來判斷。
5.根據權利要求4所述的對數據管理進行權限控制的方法，其特征在于所述邏輯算法包括求與、求或，或者是求與、求或的邏輯組合。
6.根據權利要求4所述的對數據管理進行權限控制的方法，其特征在于所述的邏輯算法內置到網管系統中，或在網管系統由用戶進行配置。
7.根據權利要求4所述的對數據管理進行權限控制的方法，其特征在于在用戶查詢數據時，網管系統根據管理權限過濾，使用戶僅查詢到自己擁有管理權限的數據，無法查詢到不擁有管理權限的數據；或者在用戶查詢數據時，可以查詢到所有數據，在進行數據更改操作時檢查用戶對數據的管理權限，使用戶僅能操作自己擁有管理權限的數據。
8.根據權利要求7所述的對數據管理進行權限控制的方法，其特征在于網管系統查詢出用戶可以管理的根數據，再將非根數據對應的根數據查詢出來，兩者取交集后得到一個根數據集合，這個根數據集合對應的非根數據以及根數據，即是網管系統擁有管理權限的數據。
9.根據權利要求3所述的對數據管理進行權限控制的方法，其特征在于在為用戶配置根數據的管理權限時，網管系統具有較高級權限的用戶登錄網管系統后，在網管系統的安全管理中查詢出根數據以及各網管用戶帳號，為各個網管用戶帳號配置根數據的管理權限。
10.根據權利要求9所述的對數據管理進行權限控制的方法，其特征在于網管系統在接收到用戶查詢根數據的操作請求后，根據當前操作用戶的用戶帳號，在網管的安全系統數據庫中查詢出該用戶帳號可管理的根數據。
全文摘要
一種對數據管理進行權限控制的方法，將數據分為根數據和非根數據，根數據是在增加該數據時不需要引用其它數據的數據；非根數據是在增加時要求引用根數據或其它非根數據的數據；網管系統為每個用戶配置根數據的管理權限，在管理根數據時，直接查詢出用戶對該根數據的管理權限來判斷用戶是否可管理該根數據；在管理非根數據時，根據非根數據查詢到相關的一個或多個根數據，并檢查用戶對這些根數據是否擁有管理權限來判斷用戶是否可管理該非根數據。利用本發明，網管只需要通過對少量數據的管理權限進行配置，即可實現對其它數據的管理權限進行控制，減少了配置工作量，同時可實現對有關聯的數據的管理權限的統一管理，避免了出現沖突或不一致。
文檔編號H04L12/24GK1859166SQ200510100870
公開日2006年11月8日 申請日期2005年10月28日 優先權日2005年10月28日
發明者解寧, 任寶剛 申請人:華為技術有限公司