[发明专利]在网络管理系统中的权限控制方法

说明书

技术领域

本发明涉及一种权限控制方法，特别地，涉及一种网络管理系统中的权限控制方法。

背景技术

在3GPP的网络管理架构中，存在着三层结构，即网元(NE，NetworkElement)、网元管理系统(EMS，Element Management System)以及网络管理系统(NMS，Network Management System)。

其中，网元管理系统对网元进行管理，而网络控制系统则对网元管理系统进行进一步的管理，在网元管理系统和网络管理系统中分别具有多个实体，以便对网元和网络管理系统进行管理。3GPP从逻辑的角度，上述实体是给网元管理系统和网络管理系统定义的若干个集成参考点(IRP，IntegratedReference Point)，这些集成参考点在网元管理系统和网络管理系统上分别表现为IRP代理单元(IRP Agent)和IRP管理单元(IRP Manager)。具体地，如图1所示，在网元管理系统中的控制实体称为IRP代理单元(IRP Agent)，在网络管理系统(NMS)中的控制实体称为IRP管理单元(IRP Manager)。网元管理系统和网络管理系统之间的接口成为北向接口。

3GPP已经明确定义了诸如：通用功能IRP、大数据量配置管理IRP(BulkCM IRP，Bulk Configuration Management IRP)、基本配置管理IRP(Basic CMIRP，Basic Configuration Management IRP)、性能管理IRP(PM IRP，PerformanceManagement IRP)、入口点IRP(EP IRP，Entry Point IRP)以及安全管理IRP(SM IRP，Security Management IRP)等集成参考点。不同的IRP分别对应于不同的管理应用程序，因此如何控制用户对IRP的操作权限是网络管理系统中进行安全管理的一个重要课题。

在现有技术中的安全管理接入控制方法如附图2所示。当IRP Manager访问3GPP的IRP Agent时需要进行如下步骤：首先，IRP Manager通过查询对象表获得IRP Agent的地址；然后利用自己存储的用户名和密码调用安全管理IRP(SM IRP)的get_irp_interfaces操作，安全管理IRP(SM IRP)则通过authenticate(user，password)操作并且利用LDAP(Lightweight Directory AccessProtocol，即轻量目录访问协议)完成对IRP Manager的身份验证及相关操作。如果没有通过身份验证，则拒绝IRP Manager对IRP Agent的访问；如果通过身份验证，SM IRP则在get_irp_interfaces操作的返回中输出安全管理IRP所属对象的EP IRP的接口对象引用值。这样IRP Manager就可以通过调用getIRPOutline和getIRPReference操作获得其他对象的标识引用，并开始对IRPAgent的后续操作。

从上述对现有技术方案的描述中可以看出，IRP Manager要利用自己持有的用户名和密码来获取入口IRP(EP IRP)的引用。从而IRP Manager可以对IRP Agent的操作。也就是说，一个IRP Manager一旦获得了某个IRP Agent的EP IRP的引用令牌，就可以执行针对IRP Agent的其他IRP(例如，BULKCM IRP或PM IRP)的所有操作。

因此，当前技术的缺点是：该技术方案利用IRP Agent的EP IRP的安全保护来对所有IRP进行保护，从而一个拥有EP IRP的用户名及密码的用户就可以对所有的IRP进行操作，使得系统的安全性较低。

发明内容

针对现有技术中，用户只要获取入口IRP的用户名及密码就可以对所有IRP进行操作从而存在安全性漏洞的缺点，本发明提出了一种可以对网络管理系统中所有IRP操作进行保护的权限控制方法。

本发明提供的在网络管理系统中的权限控制方法包括：

1)为每个用户分配用户名和密码；

2)根据所述用户名和密码设置操作集合；

3)当一个用户访问IRP Agent时，IRP Agent对所述用户的用户名和密码进行验证；

4)当所述用户的用户名和密码通过验证后，IRP Agent向该用户返回相应的操作集合。