技術領域

本發明涉及權限管理領域，尤其涉及集中權限管理系統和授權方法、鑒權方法。

背景技術

目前的運營支撐管理系統中的各軟件系統，包括C/S和B/S的系統，都是獨立分散的系統，需要有統一的一個登錄用戶，這樣就不必每套系統都單獨建用戶，另外，有一些功能特別是對網元的管理，并不是每一個用戶都可以有操作權的，關系到整個網絡的安全性，所以需要對系統功能進行分級分權的訪問。對于現在日益擴大的移動通信網絡，網元越來越多，更需要一種簡單且安全的方法進行管理。

系統登錄用戶及其權限的管理是整個軟件系統的重要組成部分，如果管理恰當，不只可以簡化登陸用戶的操作，而且可以很好地維護軟件系統中的重要數據，同時，如果出現數據故障問題，也可以快速地找到責任人。隨著移動網絡的不斷擴大，網元越來越多，操作安全性的要求也越來越高，本發明對用戶和操作權限形成了一套統一的管理系統，方便管理和維護，同時對現在廣泛出現的4A統一鑒權的實現提供了前提。

發明內容

本發明提供一種集中權限管理系統，包括授權單元、鑒權單元和人機交互界面，其特征在于，所述授權單元包括域控制器、資源管理器；

所述域控制器用于在預先設定域管轄范圍內通過所述人機交互界面接收設置的用戶、角色和操作權限信息，管控所有接入該域的設備的用戶、角色、操作權限以及三者間的關系；

所述資源管理器用于保存所述域控制器管轄范圍內設備的的資源信息，通過所述人機交互界面設定并保存資源與所述域控制器中角色的對應關系；

所述鑒權單元用于預先設定不同權限的鑒權接口，通過調用相應的權限接口從所述域控制器和資源管理器中獲取權限信息。

優選的，域控制器具體包括活動目錄和授權管理器；

所述活動目錄用于接收所述人機交互界面輸入的用戶信息并保存，所述用戶信息包括用戶登錄信息和用戶屬性信息；

所述授權管理器用于接收所述人機交互界面輸入的角色信息、操作信息并保存，保存每個角色的操作權限，設定角色和所述活動目錄中用戶的對應關系。

優選的，所述域控制器還包括密碼管理模塊，用于根據預先設定的密碼策略對所有接入該域的被管系統進行密碼管理。

具體的，所述授權管理器是域控制器中指定路徑的目錄，接收到所述人機交互界面的信息后，通過調用預先編譯好的函數，完成所述定義角色及操作權限的工作；

所述活動目錄是域控制器中指定路徑的目錄，接收到所述人機交互界面的信息后，通過調用預先編譯好的函數，完成所述定義用戶的工作。

進一步的，所述被指定位置的授權管理器還進一步包括：

角色定義模塊：用于接收人機交互界面輸入的角色屬性信息定義并保存角色；

操作權限設置模塊：用于根據所述角色定義模塊中的角色，為所述角色設置操作權限；

用戶權限設置模塊：用于通過人機交互界面，根據所述活動目錄中的用戶信息和所述角色定義模塊中的角色，為所述用戶匹配相應的角色。

進一步的，所述資源管理器包括：

資源存儲模塊，用于保存接入域控制器中設備的資源信息，所述資源信息包括數據資源和功能資源；

資源權限設置模塊，用于為所述角色定義模塊中定義的角色匹配相應的資源。

具體的，所述預先編譯好的函數為域控制器中的函數。

本發明還提供一種基于上述集中權限管理系統的授權方法，其特征在于：

根據在人機交互界面輸入的角色參數，調用所述授權管理器中相應的角色函數，在授權管理器中定義角色并保存；

選擇人機交互界面呈現的操作信息和角色信息，確定兩者的匹配關系并存入授權管理器中；

選擇人機交互界面呈現的角色信息和資源信息，確定兩者的匹配關系存入并所述資源管理器中；

根據在人機交互界面輸入的用戶參數，調用所述活動目錄中相應的用戶函數，在活動目錄中定義用戶并保存；

選擇人機交互界面呈現的角色信息和用戶信息，將兩者的匹配關系存入授權管理器中，完成授權。

本發明還提供一種基于上述集中權限管理系統的鑒權方法，其特征在于：

在人機交互界面中輸入用戶的登錄信息，登錄域控制器；

在人機交互界面中選擇需要使用的鑒權接口，通過鑒權單元中相應的鑒權接口描述的方法屬性，獲取相應的權限。