實現(xiàn)權(quán)限管理控制的方法及終端的制作方法
【專利摘要】本發(fā)明實施例提供了一種實現(xiàn)權(quán)限管理控制的方法及終端。該方法包括:根據(jù)委托管理方與被委托管理方之間的委托關(guān)系信息配置管理樹上目標節(jié)點的屬性,所述委托關(guān)系信息包括:委托管理方標識、被委托管理方標識、目標節(jié)點的信息、被委托權(quán)限及委托等級;接收第一管理方對目標節(jié)點的操作請求,根據(jù)該目標節(jié)點被配置的所述屬性判斷第一管理方是否有操作權(quán)限;如果是,根據(jù)操作請求對目標節(jié)點執(zhí)行對應的操作,否則,拒絕第一管理方對目標節(jié)點執(zhí)行操作。本發(fā)明實施例的終端包括:管理樹執(zhí)行模塊和設備管理代理模塊。本發(fā)明能夠使終端確定多個管理方之間的委托關(guān)系,根據(jù)委托關(guān)系對節(jié)點進行權(quán)限管理控制。
【專利說明】實現(xiàn)權(quán)限管理控制的方法及終端
【技術(shù)領域】
[0001]本發(fā)明實施例涉及通信技術(shù),尤其涉及一種實現(xiàn)權(quán)限管理控制的方法及終端。
【背景技術(shù)】
[0002]開放移動聯(lián)盟(Open Mobile Alliances,以下簡稱“0ΜΑ”)設備管理(DeviceManagement,以下簡稱“DM”)是一種通過空中下載技術(shù)將管理方的管理指令從網(wǎng)絡側(cè)下載到終端上,并由終端自動運行,進而完成終端軟硬件安裝及升級、參數(shù)配置、診斷等遠程管理的技術(shù)。
[0003]OMA DM技術(shù)中,主要包括終端和DM服務器。終端中包括DM代理和DM管理樹,DM管理樹相當于DM服務器對終端進行管理的接口,DM代理用于解釋和執(zhí)行DM服務器下發(fā)的管理命令。DM管理樹上的每個節(jié)點都有各自的訪問控制列表(以下簡稱“ACL”)屬性。
[0004]在OMA DM技術(shù)中,一個終端可以存在多個管理方,其中的一個管理方可以將自己對該終端內(nèi)一個節(jié)點的管理權(quán)限委托授權(quán)給另一個管理方,被委托方則擁有了委托方所委托的管理權(quán)限,可以利用該管理權(quán)限對終端內(nèi)的節(jié)點進行相應的管理。
[0005]目前,針對一個終端的多個管理方進行委托授權(quán)的情況,權(quán)限管理控制的過程主要包括:針對終端內(nèi)的節(jié)點,在該節(jié)點的ACL屬性里設置能夠?qū)υ摴?jié)點進行管理的每一個管理方信息及其權(quán)限。比如,管理方I擁有對節(jié)點A的“刪除”權(quán)限,管理方I將對節(jié)點A的“刪除”權(quán)限委托授權(quán)給了管理方2,這樣,在節(jié)點A的ACL屬性里就設置出管理方I和管理方2擁有對該節(jié)點A的“刪除”權(quán)限;當該節(jié)點A后續(xù)被一個管理方執(zhí)行“刪除”操作時,終端會根據(jù)該節(jié)點A的ACL屬性確定該管理方是否有針對該節(jié)點A進行“刪除”操作的權(quán)限,如果有,則終端對該節(jié)點A執(zhí)行對應的“刪除”操作,否則,拒絕執(zhí)行。
[0006]在實現(xiàn)本發(fā)明過程中,發(fā)明人發(fā)現(xiàn)現(xiàn)有技術(shù)中至少存在如下問題:在實現(xiàn)權(quán)限管理控制時,現(xiàn)有技術(shù)采用的方法就是在終端中記錄節(jié)點的管理方及該管理方的權(quán)限信息,這樣,即使節(jié)點存在多個管理方且該多個管理方存在委托關(guān)系,終端也只能確定一個節(jié)點對應了哪些管理方以及每一個管理方的權(quán)限,而無法確定多個管理方之間的委托關(guān)系,也就無法根據(jù)委托關(guān)系對節(jié)點進行權(quán)限管理控制,從而降低了業(yè)務服務質(zhì)量。
【發(fā)明內(nèi)容】
[0007]本發(fā)明實施例提供一種實現(xiàn)權(quán)限管理控制的方法及終端,能夠確定多個管理方之間的委托關(guān)系,根據(jù)委托關(guān)系對節(jié)點進行權(quán)限管理控制。
[0008]本發(fā)明實施例提供的實現(xiàn)權(quán)限管理控制的方法,包括:
[0009]根據(jù)委托管理方與被委托管理方之間的委托關(guān)系信息配置管理樹上目標節(jié)點的屬性;所述委托關(guān)系信息包括:委托管理方標識、被委托管理方標識、目標節(jié)點的信息、被委托權(quán)限及委托等級;
[0010]接收第一管理方對所述目標節(jié)點的操作請求,根據(jù)該目標節(jié)點被配置的所述屬性判斷所述第一管理方是否有操作權(quán)限;如果是,根據(jù)所述操作請求對所述目標節(jié)點執(zhí)行對應的操作,否則,拒絕所述第一管理方對所述目標節(jié)點執(zhí)行操作。
[0011]本發(fā)明實施例提供的終端包括:
[0012]管理樹執(zhí)行模塊,用于根據(jù)委托管理方與被委托管理方之間的委托關(guān)系信息配置管理樹上目標節(jié)點的屬性;所述委托關(guān)系信息包括:委托管理方標識、被委托管理方標識、目標節(jié)點的信息、被委托權(quán)限及委托等級;
[0013]設備管理代理模塊,用于接收第一管理方對所述目標節(jié)點的操作請求,根據(jù)所述目標節(jié)點被配置的所述屬性判斷所述第一管理方是否有操作權(quán)限;如果是,根據(jù)所述操作請求對所述目標節(jié)點執(zhí)行對應的操作,否則,拒絕所述第一管理方對所述目標節(jié)點執(zhí)行操作。
[0014]本發(fā)明實施例提出的實現(xiàn)權(quán)限管理控制的方法及終端,能夠根據(jù)委托管理方與被委托管理方之間的委托關(guān)系信息配置管理樹上目標節(jié)點的屬性,委托關(guān)系信息中具體包括委托管理方標識、被委托管理方標識、目標節(jié)點的信息、被委托權(quán)限及委托等級,這樣,就能夠使得終端獲知針對一個目標節(jié)點的委托關(guān)系,即一個目標節(jié)點的一個管理方將它的何種權(quán)限以何種委托等級委托給了另一個管理方,從而能夠針對該委托關(guān)系進行對應的權(quán)限控制,從而提高了業(yè)務服務質(zhì)量。
【專利附圖】
【附圖說明】
[0015]為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對實施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作一簡單地介紹,顯而易見地,下面描述中的附圖是本發(fā)明的一些實施例,對于本領域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動的前提下,還可以根據(jù)這些附圖獲得其他的附圖。
[0016]圖1是本發(fā)明實施例提出的實現(xiàn)權(quán)限管理控制的方法的基本流程圖;
[0017]圖2是本發(fā)明實施例1中實現(xiàn)權(quán)限管理控制的流程圖;
[0018]圖3是本發(fā)明實施例1中利用添加的Delegat1n子樹配置委托關(guān)系的示意圖;
[0019]圖4是本發(fā)明實施例2中實現(xiàn)權(quán)限管理控制的流程圖;
[0020]圖5是本發(fā)明實施例3中實現(xiàn)權(quán)限管理控制的流程圖;
[0021]圖6是本發(fā)明實施例中終端的一種結(jié)構(gòu)示意圖;
[0022]圖7是本發(fā)明實施例4中終端的另一種結(jié)構(gòu)示意圖;
[0023]圖8是本發(fā)明實施例5中終端的另一種結(jié)構(gòu)示意圖;
[0024]圖9是本發(fā)明實施例6中終端的另一種結(jié)構(gòu)示意圖;
[0025]圖10是本發(fā)明實施例7中終端的另一種結(jié)構(gòu)示意圖;
[0026]圖11是本發(fā)明實施例8中終端的另一種結(jié)構(gòu)示意圖;
[0027]圖12是本發(fā)明實施例9中終端的另一種結(jié)構(gòu)示意圖;
[0028]圖13是本發(fā)明實施例10中終端的另一種結(jié)構(gòu)示意圖;
[0029]圖14是本發(fā)明實施例11中終端的另一種結(jié)構(gòu)示意圖。
【具體實施方式】
[0030]為使本發(fā)明實施例的目的、技術(shù)方案和優(yōu)點更加清楚,下面將結(jié)合本發(fā)明實施例中的附圖,對本發(fā)明實施例中的技術(shù)方案進行清楚、完整地描述,顯然,所描述的實施例是本發(fā)明一部分實施例,而不是全部的實施例?;诒景l(fā)明中的實施例,本領域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例,都屬于本發(fā)明保護的范圍。
[0031]本發(fā)明實施例提供了一種實現(xiàn)權(quán)限管理控制的方法,參見圖1,該方法包括:
[0032]步驟101:根據(jù)委托管理方與被委托管理方之間的委托關(guān)系信息配置管理樹上目標節(jié)點的屬性,其中,委托關(guān)系信息中包括委托管理方標識、被委托管理方標識、目標節(jié)點的信息、被委托權(quán)限及委托等級。
[0033]步驟102:接收第一管理方對目標節(jié)點的操作請求,根據(jù)該目標節(jié)點被配置的所述屬性判斷第一管理方是否有操作權(quán)限,如果是,則執(zhí)行步驟103,否則,執(zhí)行步驟104。
[0034]步驟103:根據(jù)操作請求對目標節(jié)點執(zhí)行對應的操作,結(jié)束當前流程。
[0035]步驟104:拒絕第一管理方對目標節(jié)點執(zhí)行操作。
[0036]可見,由于在本發(fā)明實施例提出的實現(xiàn)權(quán)限管理控制的方法中,能夠根據(jù)委托管理方與被委托管理方之間的委托關(guān)系信息配置管理樹上目標節(jié)點的屬性,委托關(guān)系信息中具體包括委托管理方標識、被委托管理方標識、目標節(jié)點的信息、被委托權(quán)限及委托等級,這樣,就能夠使得終端獲知針對一個目標節(jié)點的委托關(guān)系,即一個目標節(jié)點的一個管理方將它的何種權(quán)限以何種委托等級委托給了另一個管理方,從而能夠針對該委托關(guān)系進行對應的權(quán)限控制,從而提高了業(yè)務服務質(zhì)量。
[0037]在終端的管理樹上,存在對應各個管理方的樹形結(jié)構(gòu)以及對應各個節(jié)點的各種屬性,那么,在本發(fā)明實施例的實現(xiàn)中,可以根據(jù)實際需要來確定委托關(guān)系信息被配置的具體屬性。根據(jù)委托關(guān)系信息被配置的屬性的不同,本發(fā)明實施例具體可以存在如下業(yè)務場旦牙、:
[0038]業(yè)務場景一、在管理樹的終端管理帳號(以下簡稱“DMAcc”)管理對象下,存儲了每一個管理方的帳號信息,因此,可以在該DMAcc管理對象下針對每個涉及權(quán)限委托的管理方添加一個委托(以下簡稱“Delegat1n”)子樹,利用添加的Delegat1n子樹配置委托關(guān)系信息,并根據(jù)該Delegat1n子樹配置的委托關(guān)系信息配置目標節(jié)點的訪問控制列表(以下簡稱“ACL”)屬性。
[0039]業(yè)務場景二、在管理樹的DMAcc管理對象下,存儲了每一個管理方的帳號信息,對應每一個管理方都預留有擴展節(jié)點,因此,可以在該DMAcc管理對象下利用每個涉及權(quán)限委托的管理方的擴展節(jié)點來配置委托關(guān)系信息,并根據(jù)該擴展節(jié)點中配置的委托關(guān)系信息配置目標節(jié)點的ACL屬性。
[0040]業(yè)務場景三、在管理樹上,每一個被管理的目標節(jié)點都具有自己的屬性,因此,可以在目標節(jié)點的屬性中直接配置委托關(guān)系信息。
[0041]下面針對三種業(yè)務場景分別舉一個具體實施例來詳細說明進行權(quán)限管理控制的過程。
[0042]實施例1:
[0043]該實施例1適用于上述業(yè)務場景一,利用添加的Delegat1n子樹配置委托關(guān)系,并配置目標節(jié)點的ACL屬性,從而實現(xiàn)后續(xù)針對委托關(guān)系的權(quán)限管理控制。參見圖2,在本發(fā)明實施例1中,實現(xiàn)權(quán)限管理控制的過程包括如下步驟:
[0044]步驟201:在管理樹的DMAcc管理對象下,針對涉及權(quán)限委托的管理方添加一個Delegat1n 子樹。
[0045]步驟202:將委托管理方與被委托管理方之間的委托關(guān)系信息配置在所添加的Delegat1n 子樹上。
[0046]在上述步驟中,添加Delegat1n子樹時可以對應于委托管理方添加,也可以對應于被委托管理方添加,還可以對委托管理方和被委托管理方都添加;對應地,委托關(guān)系信息可以配置在委托管理方的Delegat1n子樹上,也可以配置在被委托管理方的Delegat1n子樹上,還可以將委托關(guān)系信息分別配置在委托管理方的Delegat1n子樹上和被委托管理方的Delegat1n子樹上。
[0047]委托管理方與被委托管理方之間的委托關(guān)系信息具體可以包括:委托管理方標識、被委托管理方標識、目標節(jié)點的信息、被委托權(quán)限及委托等級。
[0048]關(guān)于委托關(guān)系信息,首先,目標節(jié)點的信息包括以下至少一種:目標節(jié)點的通用資源標志符(以下簡稱為“URI”),管理對象標識(以下簡稱“Μ0Ι”)或者MOI及特定節(jié)點值。
[0049]其次,被委托權(quán)限表示針對目標節(jié)點,委托管理方將自己的何種權(quán)限委托給了被委托管理方。被委托權(quán)限的值可以符合標準ACL值的寫法。比如,委托管理方ServerA將“Get”和“Delete”權(quán)限委托給了被委托管理方ServerB,那么,被委托權(quán)限的值為“Get =ServerB&Delete = ServerB,,。
[0050]再次,委托等級是為了實現(xiàn)基于委托關(guān)系的權(quán)限管理控制而設置的,用于反映委托管理方與被委托管理方對所委托權(quán)限的擁有程度。委托等級可以設置成:全委托,表示委托管理方在將一個權(quán)限委托給被委托管理方之后,該委托管理方不再擁有該權(quán)限。委托等級也可以設置成:共享委托,表示委托管理方在將一個權(quán)限委托給被委托管理方之后,該委托管理方仍然擁有該權(quán)限。
[0051]最后,為了進一步提高基于委托關(guān)系進行權(quán)限管理控制的效果,委托管理方與被委托管理方之間的委托關(guān)系信息還可以進一步包括:委托生效開始時間和/或委托有效的持續(xù)時間。其中,委托生效開始時間用于控制委托生效的時間點,從而使得委托管理方能夠更好地控制所委托權(quán)限的使用情況。其中,委托有效的持續(xù)時間用于終端能夠自行回收委托管理方所委托出去的權(quán)限,使得被委托管理方不再繼續(xù)擁有被委托的權(quán)限。
[0052]通過Delegat1n子樹配置委托關(guān)系信息可以參見圖3所示。Delegat1n子樹上可以進一步預留圖3中所示的擴展節(jié)點,以便在委托關(guān)系信息包括的內(nèi)容增強時,可以通過該擴展節(jié)點記錄增強的內(nèi)容。
[0053]步驟203:在計時到達委托生效開始時間時,在管理樹上查找到目標節(jié)點。
[0054]如果委托關(guān)系信息中目標節(jié)點的信息是該目標節(jié)點的URI,那么,本步驟中直接根據(jù)該URI找到管理樹上的對應的目標節(jié)點。
[0055]如果委托關(guān)系信息中目標節(jié)點的信息是Μ0Ι,那么,由于MOI通常對應一個或多個子樹,因此,本步驟中是在管理樹上找到對應該MOI的子樹的根節(jié)點。
[0056]如果委托關(guān)系信息中目標節(jié)點的信息是MOI以及特定節(jié)點值,則首先在管理樹上找到對應該MOI的各子樹,然后從該各子樹上找到具有該特定節(jié)點值的子樹的根節(jié)點。
[0057]步驟204:根據(jù)委托管理方標識、被委托管理方標識、被委托權(quán)限及委托等級,修改所找到的目標節(jié)點的ACL值。
[0058]如果委托等級為全委托,那么,修改所找到的目標節(jié)點的ACL值的過程包括:使用被委托權(quán)限覆蓋所找到的目標節(jié)點的ACL值中委托管理方的對應權(quán)限。比如,委托管理方ServerA將對節(jié)點I的“Get”和“Delete”權(quán)限全委托給了被委托管理方ServerB,被委托權(quán)限的值為“Get = ServerB&Delete = ServerB”,那么,在所找到的節(jié)點I的ACL值中,原來包括委托管理方ServerA對該節(jié)點的權(quán)限“Get = ServerA&Delete = ServerA”,在委托等級為全委托的情況下,使用“Get = ServerB&Delete = ServerB”覆蓋該節(jié)點I的ACL值中的“Get = ServerA&Delete = ServerA”。從而使得委托管理方ServerA不再繼續(xù)擁有對該節(jié)點I的“Get”和“Delete”權(quán)限。進一步地,為了確保委托管理方ServerA不再繼續(xù)擁有該權(quán)限,也可以進一步對應ACL值的“Get”和“Delete”權(quán)限添加排除該委托管理方ServerA的標簽。
[0059]如果委托等級為共享委托,那么,修改所找到的目標節(jié)點的ACL值的過程包括:在所找到的節(jié)點I的ACL值中添加被委托權(quán)限。比如,委托管理方ServerA將對節(jié)點I的“Get”和“Delete”權(quán)限共享委托給了被委托管理方ServerB,被委托權(quán)限的值為“Get =ServerB&Delete = ServerB”,那么,在所找到的節(jié)點I的ACL值中,原來包括委托管理方ServerA對該節(jié)點I的權(quán)限“Get = ServerA&Delete = ServerA”,在委托等級為共享委托的情況下,仍然保留“Get = ServerA&Delete = ServerA”,同時在ACL值中再添加“Get =ServerB&Delete = ServerB”。從而使得委托管理方ServerA和被委托管理方ServerB均擁有對該節(jié)點I的“Get”和“Delete”權(quán)限。
[0060]步驟205:終端接收到一個管理方(記為“管理方I”)對一個目標節(jié)點(記為“節(jié)點I”)的操作請求。
[0061]步驟206:終端根據(jù)節(jié)點I當前的ACL值判斷管理方I是否有操作權(quán)限,如果是,則執(zhí)行步驟207,否則,執(zhí)行步驟208。
[0062]步驟207:根據(jù)操作請求對節(jié)點I執(zhí)行對應的操作,結(jié)束當前流程。
[0063]步驟208:拒絕管理方I對節(jié)點I執(zhí)行操作。
[0064]Delegat1n子樹上配置的委托關(guān)系信息中如果包括委托有效的持續(xù)時間,那么,在上述步驟204修改所找到的目標節(jié)點的ACL值后,上述圖2所示流程還可以進一步包括:在計時到達委托有效的持續(xù)時間的結(jié)束時刻時,將所述找到的目標節(jié)點的ACL值恢復為修改前的ACL值。
[0065]在本發(fā)明實施例1中,能夠通過在管理樹上添加的Delegat1n子樹來配置委托管理方和被委托管理方之間的委托關(guān)系信息,并修改目標節(jié)點的ACL值,這樣,就能夠使得終端獲知針對一個目標節(jié)點的委托關(guān)系,即一個目標節(jié)點的一個管理方將它的何種權(quán)限委托給了另一個管理方,從而能夠針對該委托關(guān)系進行對應的權(quán)限控制。比如,通過設置委托等級能夠?qū)崿F(xiàn)委托管理方對被委托管理方的全委托和共享委托,從而大大增加了權(quán)限管理控制的靈活性,優(yōu)化了業(yè)務性能。
[0066]實施例2:
[0067]該實施例2適用于上述業(yè)務場景二,利用DMAcc管理對象下預留的擴展節(jié)點來配置委托關(guān)系信息,并根據(jù)該委托關(guān)系信息修改目標節(jié)點的ACL值,從而實現(xiàn)后續(xù)針對委托關(guān)系的權(quán)限管理控制。參見圖4,在本發(fā)明實施例2中,實現(xiàn)權(quán)限管理控制的過程包括如下步驟:
[0068]步驟401:在管理樹的DMAcc管理對象下,利用涉及權(quán)限委托的管理方的擴展節(jié)點來配置委托管理方與被委托管理方之間的委托關(guān)系信息。
[0069]具體地,可以將委托關(guān)系信息配置在委托管理方對應的擴展節(jié)點值中和/或配置在被委托管理方對應的擴展節(jié)點值中。
[0070]本步驟中委托關(guān)系信息的內(nèi)容和作用與上述步驟202中委托關(guān)系信息的內(nèi)容和作用相同。
[0071]步驟402?407描述的內(nèi)容與步驟203?208描述的內(nèi)容相同。
[0072]在DMAcc管理對象下的擴展節(jié)點值中,配置的委托關(guān)系信息如果包括委托有效的持續(xù)時間,那么,在上述步驟402修改所找到的目標節(jié)點的ACL值后,上述圖4所示流程可以進一步包括:在計時到達委托有效的持續(xù)時間的結(jié)束時刻時,將所述找到的目標節(jié)點的ACL值恢復為修改前的ACL值。
[0073]在本發(fā)明實施例2中,能夠通過DMAcc管理對象下預留的擴展節(jié)點來配置委托管理方和被委托管理方之間的委托關(guān)系信息,并根據(jù)該委托關(guān)系信息修改ACL值,這樣,就能夠使得終端獲知針對一個目標節(jié)點的委托關(guān)系,即一個目標節(jié)點的一個管理方將它的何種權(quán)限委托給了另一個管理方,從而能夠針對該委托關(guān)系進行對應的權(quán)限控制。比如,通過設置委托等級能夠?qū)崿F(xiàn)委托管理方對被委托管理方的全委托和共享委托,從而大大增加了權(quán)限管理控制的靈活性,優(yōu)化了業(yè)務性能。
[0074]實施例3:
[0075]該實施例3適用于上述業(yè)務場景三,利用目標節(jié)點的新增屬性來配置委托關(guān)系信息,從而實現(xiàn)后續(xù)針對委托關(guān)系的權(quán)限管理控制。參見圖5,在本發(fā)明實施例3中,實現(xiàn)權(quán)限管理控制的過程包括如下步驟:
[0076]步驟501:在委托管理方將對目標節(jié)點的操作權(quán)限委托給了被委托管理方后,委托管理方生成存儲有委托管理方與被委托管理方之間的委托關(guān)系信息的授權(quán)證書。
[0077]本步驟中,授權(quán)證書中的委托關(guān)系信息可以包括:委托管理方標識、被委托管理方標識、目標節(jié)點的信息、被委托權(quán)限及委托等級。
[0078]其中,委托等級具體可以為:全委托、共享委托或者子委托。當委托等級為子委托時,被委托管理方標識包括第一級被委托管理方標識和第二級被委托管理方標識,表示委托管理方將權(quán)限委托給第一級被委托管理方后,允許該第一級被委托管理方將該權(quán)限繼續(xù)委托給第二級被委托管理方。
[0079]并且,進一步地,授權(quán)證書中的委托關(guān)系信息還可以包括:委托生效開始時間和/或委托有效的持續(xù)時間。
[0080]本實施例3中,被委托權(quán)限、全委托、共享委托、委托生效開始時間及委托有效的持續(xù)時間的作用和相關(guān)描述與上述步驟202中對應的描述相同。
[0081]步驟502:委托管理方將授權(quán)證書發(fā)送給終端。
[0082]步驟503:終端將授權(quán)證書配置在管理樹上目標節(jié)點的新增屬性中。
[0083]如,委托管理方ServerA將對目標節(jié)點I的“Get”和“Delete”權(quán)限委托給了被委托管理方ServerB,那么,授權(quán)證書就被配置在管理樹上目標節(jié)點I的新增屬性中。
[0084]步驟504:終端接收到一個管理方(記為“管理方I”)對一個目標節(jié)點(記為“節(jié)點I”)的操作請求。
[0085]步驟505:終端根據(jù)節(jié)點I屬性中的授權(quán)證書,判斷管理方I是否有操作權(quán)限,如果有,則執(zhí)行步驟506,否則,執(zhí)行步驟507。
[0086]在本步驟中,授權(quán)證書中的委托生效開始時間、委托管理方標識、被委托管理方標識、被委托權(quán)限及委托等級都可以用來判斷管理方I是否有操作權(quán)限。比如一種判斷的過程包括如下步驟:
[0087]步驟5051:判斷當前時間是否在委托生效開始時間之后,如果是,則執(zhí)行步驟5052,否則,直接執(zhí)行步驟507。
[0088]步驟5052:根據(jù)委托管理方標識、被委托管理方標識、被委托權(quán)限及委托等級判斷管理方I是否有操作權(quán)限,如果有,執(zhí)行步驟506,否則,執(zhí)行步驟507。
[0089]如果委托等級為全委托,那么,本步驟中具體判斷過程包括:根據(jù)被委托管理方標識判斷管理方I是否為被委托管理方,如果是,則根據(jù)被委托權(quán)限判斷所述操作請求是否在權(quán)限范圍內(nèi),如果在,則確定管理方I有操作權(quán)限;
[0090]如果委托等級為共享委托,那么,本步驟中具體判斷過程包括:根據(jù)委托管理方標識和被委托管理方標識判斷管理方I是否為委托管理方和被委托管理方中的任意一個,如果是,則根據(jù)被委托權(quán)限判斷所述操作請求是否在權(quán)限范圍內(nèi),如果在,則確定管理方I有操作權(quán)限;
[0091]如果委托等級為子委托,那么,本步驟中具體判斷過程包括:根據(jù)第二級被委托管理方標識判斷管理方I是否為第二級被委托管理方,如果是,則根據(jù)被委托權(quán)限判斷所述操作請求是否在權(quán)限范圍內(nèi),如果在,則確定管理方I有操作權(quán)限。
[0092]步驟506:根據(jù)操作請求對節(jié)點I執(zhí)行對應的操作,結(jié)束當前流程。
[0093]步驟507:拒絕管理方I對節(jié)點I執(zhí)行操作。
[0094]授權(quán)證書中如果包括委托有效的持續(xù)時間,那么,在上述步驟503將授權(quán)證書配置在管理樹上目標節(jié)點的新增屬性中之后,上述圖5所示流程進一步包括:在計時到達委托有效的持續(xù)時間的結(jié)束時刻時,從該目標節(jié)點的屬性中刪除該授權(quán)證書。
[0095]在本發(fā)明實施例3中,能夠利用管理樹上目標節(jié)點的新增屬性來配置授權(quán)證書方式的委托關(guān)系信息,這樣,就能夠使得終端獲知針對一個目標節(jié)點的委托關(guān)系,即一個目標節(jié)點的一個管理方將它的何種權(quán)限委托給了另一個管理方,從而能夠針對該委托關(guān)系進行對應的權(quán)限控制。比如,通過設置委托等級能夠?qū)崿F(xiàn)委托管理方對被委托管理方的全委托、子委托和共享委托,從而大大增加了權(quán)限管理控制的靈活性,優(yōu)化了業(yè)務性能。
[0096]需要說明的是,實施例1中添加Delegat1n子樹的方式只是在終端的管理樹上添加了一個分支,實施例2中只是利用了 DMAcc管理對象下原來就預留好的擴展節(jié)點,實施例3只是利用了目標節(jié)點新增的屬性,因此,都對終端原有結(jié)構(gòu)改動較小,易于實現(xiàn)。
[0097]進一步地,在本發(fā)明的實施例1至實施例3中,通過設置的委托生效開始時間可以控制委托生效的時間點,從而使得委托管理方能夠更好地控制所委托權(quán)限的使用情況。另夕卜,通過設置的委托有效的持續(xù)時間,實施例1和實施例2中終端能夠自動將目標節(jié)點的ACL值恢復到修改前的ACL值,實施例3中,終端能夠自動刪除目標節(jié)點屬性中的授權(quán)證書,從而都能夠使得后續(xù)對該目標節(jié)點的權(quán)限操作恢復到委托管理方進行權(quán)限委托之前的權(quán)限,從而實現(xiàn)了委托管理方安全回收所委托出去的權(quán)限。
[0098]在本發(fā)明的實施例1至實施例3中,可以由終端執(zhí)行上述流程圖中各個步驟的處理,或者,也可以由終端連接的一個控制設備來執(zhí)行各個步驟的處理,可以理解的,終端與控制設備的連接方式包括但不限于有線連接方式或無線連接方式,具體的有線連接方式或無線連接方式不構(gòu)成對本發(fā)明的限制。
[0099]本發(fā)明實施例還提出了一種終端。參見圖6,該終端包括:
[0100]管理樹執(zhí)行模塊601,用于根據(jù)委托管理方與被委托管理方之間的委托關(guān)系信息配置管理樹上目標節(jié)點的屬性;其中,委托關(guān)系信息中包括委托管理方標識、被委托管理方標識、目標節(jié)點的信息、被委托權(quán)限及委托等級;
[0101 ] 設備管理代理模塊602,用于接收第一管理方對目標節(jié)點的操作請求,根據(jù)目標節(jié)點被配置的所述屬性判斷第一管理方是否有操作權(quán)限;如果是,根據(jù)操作請求對目標節(jié)點執(zhí)行對應的操作,否則,拒絕第一管理方對目標節(jié)點執(zhí)行操作。
[0102]可見,由于本發(fā)明實施例提出的終端能夠根據(jù)委托管理方與被委托管理方之間的委托關(guān)系信息配置管理樹上目標節(jié)點的屬性,委托關(guān)系信息中具體包括委托管理方標識、被委托管理方標識、目標節(jié)點的信息、被委托權(quán)限及委托等級,這樣,就能夠使得終端獲知針對一個目標節(jié)點的委托關(guān)系,即一個目標節(jié)點的一個管理方將它的何種權(quán)限以何種委托等級委托給了另一個管理方,從而能夠針對該委托關(guān)系進行對應的權(quán)限控制,從而提高了業(yè)務服務質(zhì)量。
[0103]本發(fā)明實施例提出的終端可以應用于上述三種業(yè)務場景,具體流程參見上述的方法實施例。
[0104]首先,說明終端設備應用于上述的業(yè)務場景一或業(yè)務場景二時各模塊的具體結(jié)構(gòu)和功能:
[0105]可選的,參見圖7,在發(fā)明實施例4中,所述管理樹執(zhí)行模塊601包括第一管理樹執(zhí)行模塊701,該第一管理樹執(zhí)行模塊701用于在管理樹的終端管理帳號管理對象下,對應于委托管理方或者對應于被委托管理方添加委托子樹,將委托管理方與被委托管理方之間的委托關(guān)系信息配置在該委托子樹上;并根據(jù)委托子樹上配置的所述委托關(guān)系信息,配置管理樹上目標節(jié)點的訪問控制列表屬性。
[0106]可選的,參見圖8,在發(fā)明實施例5中,所述管理樹執(zhí)行模塊601包括第二管理樹執(zhí)行模塊801,該第二管理樹執(zhí)行模塊801用于在管理樹的終端管理帳號管理對象下,將所述委托管理方與被委托管理方之間的委托關(guān)系信息配置在該委托管理方對應的擴展節(jié)點值中或者配置在被委托管理方對應的擴展節(jié)點值中;并根據(jù)該擴展節(jié)點值中配置的所述委托關(guān)系信息,配置管理樹上目標節(jié)點的訪問控制列表屬性。
[0107]可選的,參見圖7和圖9,在本發(fā)明實施例6中,第一管理樹執(zhí)行模塊701中還可以包括修改模塊901,參見圖8和圖10,在本發(fā)明實施例7中,第二管理樹執(zhí)行模塊801中也可以進一步包括修改模塊1001,圖9的修改模塊901和圖10的修改模塊1001中的至少一個可以用于根據(jù)所述委托關(guān)系信息中目標節(jié)點的信息,在管理樹上找到目標節(jié)點,根據(jù)所述委托關(guān)系信息中委托管理方標識、被委托管理方標識、被委托權(quán)限及委托等級,修改所找到的目標節(jié)點的訪問控制列表值;
[0108]相應地,
[0109]參見圖9,在本發(fā)明實施例6中,所述設備管理代理模塊602還包括判斷模塊902 ;參見圖10,在本發(fā)明實施例7中,所述設備管理代理模塊602還包括判斷模塊1002,所述判斷模塊902和判斷模塊1002中的至少一個可以根據(jù)目標節(jié)點當前的訪問控制列表值判斷第一管理方是否有操作權(quán)限。
[0110]可選的,參見圖9和圖11,在本發(fā)明實施例8中,第一管理樹執(zhí)行模塊701中的修改模塊901中還包括執(zhí)行模塊1101 ;參見圖10和圖12,在本發(fā)明實施例9中,第二管理樹執(zhí)行模塊801中的修改模塊1001中還包括執(zhí)行模塊1201,執(zhí)行模塊1101和執(zhí)行模塊1201中的至少一個可以用于當所述委托關(guān)系信息進一步包括委托生效開始時間和/或委托有效的持續(xù)時間時,根據(jù)所述委托關(guān)系信息中的委托生效開始時間,在到達該委托生效開始時間時執(zhí)行所述修改所找到的目標節(jié)點的訪問控制列表值;根據(jù)所述委托關(guān)系信息中的委托有效的持續(xù)時間,在所述修改所找到的目標節(jié)點的訪問控制列表值后,進一步在到達委托有效的持續(xù)時間的結(jié)束時刻時,將所述目標節(jié)點的訪問控制列表值恢復為修改前的訪問控制列表值。
[0111]其次,說明終端應用于上述業(yè)務場景三時各模塊的具體結(jié)構(gòu)和功能:
[0112]可選的,參見圖13,在本發(fā)明實施例10中,所述管理樹執(zhí)行模塊601還包括第三管理樹執(zhí)行模塊1301,所述第三管理樹執(zhí)行模塊1301用于將存儲有委托管理方與被委托管理方之間的委托關(guān)系信息的授權(quán)證書配置在管理樹上目標節(jié)點的新增屬性中;
[0113]相應地,
[0114]所述設備管理代理模塊602還包括第三設備管理代理模塊1302,所述第三設備管理代理模塊1302用于根據(jù)目標節(jié)點的授權(quán)證書中的委托管理方標識、被委托管理方標識、被委托權(quán)限及委托等級判斷第一管理方是否有操作權(quán)限。
[0115]可選的,參見圖14,在本發(fā)明實施例11中,所述設備管理代理模塊602還包括第四設備管理代理模塊1402,所述第四設備管理代理模塊1402用于根據(jù)目標節(jié)點的授權(quán)證書中的委托生效開始時間判斷第一管理方是否有操作權(quán)限。
[0116]參見圖14,無論所述設備管理代理模塊602中是否包括第四設備管理代理模塊1402,所述管理樹執(zhí)行模塊601中都可以進一步包括第四管理樹執(zhí)行模塊1401,所述第四管理樹執(zhí)行模塊1401用于在授權(quán)證書配置在管理樹上的對應目標節(jié)點的屬性中之后,在到達授權(quán)證書中的委托有效的持續(xù)時間的結(jié)束時刻時,從該目標節(jié)點的新增屬性中刪除該授權(quán)證書。
[0117]本領域普通技術(shù)人員可以理解:實現(xiàn)上述方法實施例的全部或部分步驟可以通過程序指令相關(guān)的硬件來完成,前述的程序可以存儲于一計算機可讀取存儲介質(zhì)中,該程序在執(zhí)行時,執(zhí)行包括上述方法實施例的步驟;而前述的存儲介質(zhì)包括:R0M、RAM、磁碟或者光盤等各種可以存儲程序代碼的介質(zhì)。
[0118]最后應說明的是:以上實施例僅用以說明本發(fā)明的技術(shù)方案,而非對其限制;盡管參照前述實施例對本發(fā)明進行了詳細的說明,本領域的普通技術(shù)人員應當理解:其依然可以對前述各實施例所記載的技術(shù)方案進行修改,或者對其中部分技術(shù)特征進行等同替換;而這些修改或者替換,并不使相應技術(shù)方案的本質(zhì)脫離本發(fā)明各實施例技術(shù)方案的精神和范圍。
【權(quán)利要求】
1.一種實現(xiàn)權(quán)限管理控制的方法,其特征在于,包括: 根據(jù)委托管理方與被委托管理方之間的委托關(guān)系信息配置管理樹上目標節(jié)點的屬性;所述委托關(guān)系信息包括:委托管理方標識、被委托管理方標識、所述目標節(jié)點的信息、被委托權(quán)限及委托等級; 接收第一管理方對所述目標節(jié)點的操作請求,根據(jù)所述目標節(jié)點被配置的所述屬性判斷所述第一管理方是否有操作權(quán)限;如果所述第一管理方有所述操作權(quán)限,根據(jù)所述操作請求對所述目標節(jié)點執(zhí)行對應的操作,如果所述第一管理方?jīng)]有所述操作權(quán)限,拒絕所述第一管理方對所述目標節(jié)點執(zhí)行操作; 在所述管理樹的終端管理帳號管理對象下,對應于所述委托管理方和/或?qū)谒霰晃泄芾矸教砑游凶訕洌瑢⑺鑫泄芾矸脚c所述被委托管理方之間的所述委托關(guān)系信息配置在所述委托子樹上; 所述根據(jù)委托管理方與被委托管理方之間的委托關(guān)系信息配置管理樹上目標節(jié)點的屬性包括:根據(jù)所述委托子樹上配置的所述委托關(guān)系信息,配置所述管理樹上所述目標節(jié)點的訪問控制列表屬性。
2.根據(jù)權(quán)利要求1所述的實現(xiàn)權(quán)限管理控制的方法,其特征在于, 所述被委托權(quán)限按照訪問控制列表的語義語法描述。
3.根據(jù)權(quán)利要求1所述的實現(xiàn)權(quán)限管理控制的方法,其特征在于, 該方法進一步包括:根據(jù)所述委托關(guān)系信息中所述目標節(jié)點的信息,在所述管理樹上找到所述目標節(jié)點; 所述配置所述管理樹上所述目標節(jié)點的訪問控制列表屬性包括:根據(jù)所述委托關(guān)系信息中的所述委托管理方標識、所述被委托管理方標識、所述被委托權(quán)限及所述委托等級,修改所述目標節(jié)點的訪問控制列表值; 所述根據(jù)所述目標節(jié)點被配置的所述屬性判斷所述第一管理方是否有操作權(quán)限包括:根據(jù)所述目標節(jié)點當前的訪問控制列表值判斷所述第一管理方是否有所述操作權(quán)限。
4.根據(jù)權(quán)利要求3所述的實現(xiàn)權(quán)限管理控制的方法,其特征在于, 所述委托等級為全委托;則所述修改所述目標節(jié)點的訪問控制列表值包括:使用所述被委托權(quán)限覆蓋所述目標節(jié)點的訪問控制列表值中所述委托管理方的對應權(quán)限; 或者, 所述委托等級為共享委托;則所述修改所述目標節(jié)點的訪問控制列表值包括:在所述目標節(jié)點的訪問控制列表值中添加所述被委托權(quán)限。
5.根據(jù)權(quán)利要求3所述的實現(xiàn)權(quán)限管理控制的方法,其特征在于,所述委托關(guān)系信息進一步包括:委托生效開始時間和/或委托有效的持續(xù)時間; 如果所述委托關(guān)系信息包括所述委托生效開始時間,在到達該委托生效開始時間時執(zhí)行所述修改所述目標節(jié)點的訪問控制列表值; 如果所述委托關(guān)系信息包括所述委托有效的持續(xù)時間,在所述修改所述目標節(jié)點的訪問控制列表值后進一步包括:在計時到達所述委托有效的持續(xù)時間的結(jié)束時刻時,將所述目標節(jié)點的訪問控制列表值恢復為修改前的訪問控制列表值。
6.根據(jù)權(quán)利要求3所述的實現(xiàn)權(quán)限管理控制的方法,其特征在于,所述目標節(jié)點的信息包括以下至少一種:所述目標節(jié)點的通用資源標志符,管理對象標識或者管理對象標識以及特定節(jié)點值; 如果所述目標節(jié)點的信息包括所述管理對象標識,則所述在所述管理樹上找到所述目標節(jié)點的步驟包括:在所述管理樹上找到對應該管理對象標識的子樹的根節(jié)點; 如果所述目標節(jié)點的信息包括所述管理對象標識以及所述特定節(jié)點值,則所述在所述管理樹上找到所述目標節(jié)點的步驟包括:在所述管理樹上找到對應所述管理對象標識的各子樹,并從所述各子樹中找到具有所述特定節(jié)點值的子樹的根節(jié)點。
7.一種實現(xiàn)權(quán)限管理控制的方法,其特征在于,包括: 根據(jù)委托管理方與被委托管理方之間的委托關(guān)系信息配置管理樹上目標節(jié)點的屬性;所述委托關(guān)系信息包括:委托管理方標識、被委托管理方標識、所述目標節(jié)點的信息、被委托權(quán)限及委托等級; 接收第一管理方對所述目標節(jié)點的操作請求,根據(jù)所述目標節(jié)點被配置的所述屬性判斷所述第一管理方是否有操作權(quán)限;如果所述第一管理方有所述操作權(quán)限,根據(jù)所述操作請求對所述目標節(jié)點執(zhí)行對應的操作,如果所述第一管理方?jīng)]有所述操作權(quán)限,拒絕所述第一管理方對所述目標節(jié)點執(zhí)行操作; 在所述管理樹的終端管理帳號管理對象下,將所述委托管理方與所述被委托管理方之間的所述委托關(guān)系信息配置在所述委托管理方對應的擴展節(jié)點值中和/或配置在所述被委托管理方對應的擴展節(jié)點值中; 所述根據(jù)委托管理方與被委托管理方之間的委托關(guān)系信息配置管理樹上目標節(jié)點的屬性包括:根據(jù)所述擴展節(jié)點值中配置的所述委托關(guān)系信息,配置所述管理樹上所述目標節(jié)點的訪問控制列表屬性。
8.根據(jù)權(quán)利要求7所述的實現(xiàn)權(quán)限管理控制的方法,其特征在于, 所述被委托權(quán)限按照訪問控制列表的語義語法描述。
9.根據(jù)權(quán)利要求7所述的實現(xiàn)權(quán)限管理控制的方法,其特征在于, 該方法進一步包括:根據(jù)所述委托關(guān)系信息中所述目標節(jié)點的信息,在所述管理樹上找到所述目標節(jié)點; 所述配置所述管理樹上所述目標節(jié)點的訪問控制列表屬性包括:根據(jù)所述委托關(guān)系信息中的所述委托管理方標識、所述被委托管理方標識、所述被委托權(quán)限及所述委托等級,修改所述目標節(jié)點的訪問控制列表值; 所述根據(jù)所述目標節(jié)點被配置的所述屬性判斷所述第一管理方是否有操作權(quán)限包括:根據(jù)所述目標節(jié)點當前的訪問控制列表值判斷所述第一管理方是否有所述操作權(quán)限。
10.根據(jù)權(quán)利要求9所述的實現(xiàn)權(quán)限管理控制的方法,其特征在于, 所述委托等級為全委托;則所述修改所述目標節(jié)點的訪問控制列表值包括:使用所述被委托權(quán)限覆蓋所述目標節(jié)點的訪問控制列表值中所述委托管理方的對應權(quán)限; 或者, 所述委托等級為共享委托;則所述修改所述目標節(jié)點的訪問控制列表值包括:在所述目標節(jié)點的訪問控制列表值中添加所述被委托權(quán)限。
11.根據(jù)權(quán)利要求9所述的實現(xiàn)權(quán)限管理控制的方法,其特征在于,所述委托關(guān)系信息進一步包括:委托生效開始時間和/或委托有效的持續(xù)時間; 如果所述委托關(guān)系信息包括所述委托生效開始時間,在到達該委托生效開始時間時執(zhí)行所述修改所述目標節(jié)點的訪問控制列表值; 如果所述委托關(guān)系信息包括所述委托有效的持續(xù)時間,在所述修改所述目標節(jié)點的訪問控制列表值后進一步包括:在計時到達所述委托有效的持續(xù)時間的結(jié)束時刻時,將所述目標節(jié)點的訪問控制列表值恢復為修改前的訪問控制列表值。
12.根據(jù)權(quán)利要求9所述的實現(xiàn)權(quán)限管理控制的方法,其特征在于,所述目標節(jié)點的信息包括以下至少一種:所述目標節(jié)點的通用資源標志符,管理對象標識或者管理對象標識以及特定節(jié)點值; 如果所述目標節(jié)點的信息包括所述管理對象標識,則所述在所述管理樹上找到所述目標節(jié)點的步驟包括:在所述管理樹上找到對應該管理對象標識的子樹的根節(jié)點; 如果所述目標節(jié)點的信息包括所述管理對象標識以及所述特定節(jié)點值,則所述在所述管理樹上找到所述目標節(jié)點的步驟包括:在所述管理樹上找到對應所述管理對象標識的各子樹,并從所述各子樹中找到具有所述特定節(jié)點值的子樹的根節(jié)點。
13.—種終端,其特征在于,包括: 管理樹執(zhí)行模塊,用于根據(jù)委托管理方與被委托管理方之間的委托關(guān)系信息配置管理樹上目標節(jié)點的屬性,所述委托關(guān)系信息包括:委托管理方標識、被委托管理方標識、目標節(jié)點的信息、被委托權(quán)限及委托等級; 設備管理代理模塊,用于接收第一管理方對所述目標節(jié)點的操作請求,根據(jù)所述目標節(jié)點被配置的所述屬性判斷所述第一管理方是否有操作權(quán)限;如果是,根據(jù)所述操作請求對所述目標節(jié)點執(zhí)行對應 的操作,否則,拒絕所述第一管理方對所述目標節(jié)點執(zhí)行操作; 所述管理樹執(zhí)行模塊至少還包括以下至少一種模塊: 第一管理樹執(zhí)行模塊,用于在所述管理樹的終端管理帳號管理對象下,對應于所述委托管理方和/或?qū)谒霰晃泄芾矸教砑游凶訕?,將所述委托管理方與所述被委托管理方之間的所述委托關(guān)系信息配置在所述委托子樹上;并根據(jù)所述委托子樹上配置的所述委托關(guān)系信息,配置所述管理樹上所述目標節(jié)點的訪問控制列表屬性; 第二管理樹執(zhí)行模塊,用于在所述管理樹的終端管理帳號管理對象下,將所述委托管理方與所述被委托管理方之間的所述委托關(guān)系信息配置在所述委托管理方對應的擴展節(jié)點值中和/或配置在所述被委托管理方對應的擴展節(jié)點值中;并根據(jù)所述擴展節(jié)點值中配置的所述委托關(guān)系信息,配置所述管理樹上所述目標節(jié)點的訪問控制列表屬性。
14.根據(jù)權(quán)利要求13所述的終端,其特征在于, 所述第一管理樹執(zhí)行模塊和所述第二管理樹執(zhí)行模塊中的至少一個還包括修改模塊,所述修改模塊用于根據(jù)所述委托關(guān)系信息中所述目標節(jié)點的信息,在所述管理樹上找到所述目標節(jié)點,根據(jù)所述委托關(guān)系信息中所述委托管理方標識、所述被委托管理方標識、所述被委托權(quán)限及所述委托等級,修改所述目標節(jié)點的訪問控制列表值; 相應地, 所述設備管理代理模塊還包括判斷模塊,所述判斷模塊用于根據(jù)所述目標節(jié)點當前的訪問控制列表值判斷所述第一管理方是否有所述操作權(quán)限。
15.根據(jù)權(quán)利要求14所述的終端,其特征在于, 所述修改模塊中還包括執(zhí)行模塊,所述執(zhí)行模塊用于當所述委托關(guān)系信息進一步包括委托生效開始時間和/或委托有效的持續(xù)時間時,根據(jù)所述委托關(guān)系信息中的所述委托生效開始時間,在到達所述委托生效開始時間時執(zhí)行修改所述目標節(jié)點的訪問控制列表值;根據(jù)所述委托關(guān)系信息中的所述委托有效的持續(xù)時間,在修改所述目標節(jié)點的訪問控制列表值后,進 一步在計時到達所述委托有效的持續(xù)時間時,將所述目標節(jié)點的所述訪問控制列表值恢復為修改前的訪問控制列表值。
【文檔編號】H04L29/06GK104079437SQ201410333745
【公開日】2014年10月1日 申請日期:2010年8月12日 優(yōu)先權(quán)日:2010年8月12日
【發(fā)明者】常新苗, 宋悅, 劉海濤, 張惠萍 申請人:華為終端有限公司