数字管理系统与在此类管理系统中管理访问权限的方法.pdf

数字管理系统与在此类管理系统中管理访问权限的方法
    【技术领域】

    本发明涉及一种数字管理系统与一种在网络环境中管理访问权限的方法，在所述网络环境中，至少两个可管理的设备可以连接到所述网络，所述管理系统包含处理与至少一个客户端通信的设备管理器，所述设备管理器包含用户帐户数据结构并且负责客户端身份验证。

    背景技术

    公共信息模型(CIM)为网络环境(例如存储区网络(SAN))下系统管理的现有标准，以便管理与网络相连的存储设备。存储区网络(SAN)提供灵活的、联网的存储基础架构，该架构将存储设备从其各自服务器分离。为了达到此目的，SAN包含了交换机结构技术，一般被称为SAN结构，以将任意服务器连接到任意存储子系统。

    公共信息模型(CIM)为用来定义设备与应用特性的计算机工业标准，从而系统管理员与管理程序将能够以同样的方式控制来自不同制造商或源的设备与应用。例如，从不同公司购买了不同种类存储设备的公司将能够查看有关每一个此类设备的同一种类的信息(诸如：设备名称与型号、序列号、容量、网络位置、以及与其他设备或应用的关系)，或者能够从程序访问该信息。CIM利用了可扩展标记语言(XML)。硬件与软件制造者选择几种已定义的XML模式(信息结构)之一，以提供有关其产品的CIM信息。

    CIM对象管理器(CIMOM)处理与CIM客户端的通信，并且对CIM XML消息进行编码/解码。另外，其负责客户端身份验证。CIMOM具有可以永久存储CIM类与实例地知识库。对于设备对象的请求被委托给设备提供商。其封装了设备的私有数据模型以及协议，以及任何外部方法的逻辑。

    标准体系结构没有提供任何详细的授权机制。

    【发明内容】

    据此，本发明的目的在于提供一种数字管理系统以及一种在网络环境中管理访问权限的方法，在所述网络环境中，至少两个可管理的设备可以连接到所述网络，所述管理系统包含处理与至少一个客户端通信的设备管理器，所述设备管理器包含用户帐户数据结构并且负责客户端身份验证，从而避免了现有技术的缺点。

    本发明提供了一种新型数字管理系统以及一种在网络环境中管理访问权限的方法，在所述网络环境中，至少两个可管理的设备可以连接到所述网络，所述管理系统包含处理与至少一个客户端通信的设备管理器，所述设备管理器包含用户帐户数据结构并且负责客户端身份验证。

    该新型数字管理系统的其特征在于：具有集成了客户端请求管理与帐户管理的授权层，其中所述设备管理器，尤其是CIM对象管理器的用户帐户数据结构被扩展，从而对于特定设备的授权级别被包含在帐户数据中。本发明允许设备特有的访问权限管理。因此有利的是，该设备管理器能够在系统级上检查用户授权。

    该管理系统的优选实施方式特征在于：所述设备接口被扩展，以允许所述设备检索该设备所负责的任何对象的范围系统标识符。有了这一点，该设备管理器就能够在系统级上检查用户授权。

    该管理系统的另一优选实施方式特征在于：帐户提供商可连接到所述设备管理器，所述帐户提供商提供有关客户端的访问权限以及授权级别的信息。具有对责任的严格分离。设备提供商一点也不知道用户帐户。帐户提供商一点也不知道系统。

    该新型管理方法特征在于：向所述用户帐户数据结构添加所述设备管理器对哪个设备具有被批准的访问的信息。通常的CIMOM实现允许以用户标识/口令对的形式创建帐户。当CIM客户端连接到CIMOM时，在CIM客户端能够提交CIM请求之前，CIM客户端必须用有效的用户标识与口令进行身份验证。一旦验证了身份，则客户端可以独立于特定用户标识管理连接到CIMOM的所有设备。根据本发明，客户端只可以管理设备管理器具有被批准的访问的设备。

    该管理方法的优选实施方式特征在于：每当客户端提交请求时，所述设备管理器都检查该用户帐户是否具有适当的授权。为了作到这一点，其必须知道涉及了哪些系统。

    该管理方法的另一优选实施方式特征在于：所述设备生成其所管理的每个对象的系统范围字串，所述字串被传送给所述帐户提供商。帐户提供商与系统范围相结合地存储授权级别。

    该管理方法的另一优选实施方式特征在于：当访问对象时，所述授权层从所述设备检索系统范围，并且从所述帐户提供商检索授权级别，以批准或拒绝该请求。

    该管理方法的另一优选实施方式特征在于：所述帐户管理由管理帐户的专门提供商(33)作为CIM实例处理，所述CIM实例被存储在CIMOM知识库中。

    该管理方法的另一优选实施方式特征在于：所述帐户管理由与例如LDAP的目录服务接口的专门提供商处理。LDAP(轻便目录访问协议)为使任何人都能够在网络中，不管是在公共互联网还是在公司内部网上，定位组织、个人、以及诸如文件与设备等其他资源的软件协议。在网络中，目录将告诉你在网络的哪里能够找到某物。

    该管理方法的另一优选实施方式特征在于：所述帐户管理由CIMOM扩展处理，所述CIMOM扩展不提供提供商接口，但是提供某些私有接口以与所述CIMON以及授权层通信。

    该管理方法的另一优选实施方式特征在于：所述系统范围以唯一标识所述设备或设备提供商的字串的形式生成。在这种情况下，用户帐户对由该设备或提供商所管理的所有对象的访问被批准/拒绝。

    该管理方法的另一优选实施方式特征在于：所述系统范围以唯一标识对象组的字串的形式生成。在这种情况下，以每组为基础批准访问。

    该管理方法的另一优选实施方式特征在于：所述系统范围以唯一标识对象的字串的形式生成。在这种情况下，以每个对象为基础批准访问。

    该管理方法的另一优选实施方式特征在于：将所述授权级别构造成为指示访问是否被批准的布尔值的模型。

    该管理方法的另一优选实施方式特征在于：将所述授权级别构造成为批准特定访问级别的角色的模型。

    该管理方法的另一优选实施方式特征在于：所述授权级别的模型为指示到例如查看、改变和/或删除的特定操作的访问的布尔值集合。

    另外，本发明有关于一种存储在数字计算机的内部存储器中的计算机程序产品，其包含如果在计算机上运行则执行上述方法的软件代码部件。

    【附图说明】

    本发明上述以及其他目的、特征与优点将在以下描述中变得显而易见。

    本发明的新颖特征在权利要求中列出。然而，本发明自身及其优选使用模式、其他目的、以及优点最好参照附图结合以下对示范性实施方式的详细描述进行理解，其中：

    图1显示现有的CIM代理体系结构；

    图2显示根据本发明的体系结构的方框图；

    图3显示工业标准的CIMOM体系结构的方框图；

    图4显示对象枚举的序列图；和

    图5显示对象操纵的序列图。

    【具体实施方式】

    图1显示了连接到CIM代理7的多个客户端1至N，如箭头4、5所示。在客户端1至N与CIM代理7之间的连接可以通过(例如)互连网实现。CIM代理7连接到设备11至M，如箭头9、10所示。客户端1至N以客户端服务器为主机。CIM代理7以CIM代理服务器为主机。设备11至M以设备提供商为主机。客户端1至N可以是由管理员操作的管理应用。在客户端1至N与CIM代理之间的通信由http上的CIM/XML协议实现。在CIM代理与设备11至M之间的通信由本地协议实现。

    图3显示图1所示CIM代理体系结构的方框图。客户端20与CIM对象管理器22通信，如箭头21所示。CIM对象管理器22与知识库24通信，并且与设备提供商26至M通信。CIM对象管理器22处理与CIM客户端20的通信，以及对CIM/XML消息进行编码/解码。另外，CIM对象管理器22负责客户端身份验证。CIMOM22使用知识库24以永久存储CIM类与实例。对设备对象的请求被委托给设备提供商26至M。设备或设备提供商26至M封装设备的私有数据模型与协议，以及任何外部方法的逻辑。图1与3中所示的标准体系结构没有提供任何详细的授权机制。任何请求的用户内容(context)为设备提供商所知。在原理上，它们可以根据用户内容而批准或拒绝方法，但是在实际上，这看起来此路不通。设备提供商不负责用户管理。每个提供商总是必须保持具有每个用户访问权限信息的数据知识库，并且提供管理访问权限的接口。

    图2显示了根据本发明的体系结构的方框图。与图3中所示的现有技术的图相比，在图2中，引入了授权层31，其集成了客户端请求管理、帐户管理以及设备提供商26至M。帐户提供商32与授权层31通信。授权层31检查设备提供商26至M的任何所处理对象的系统范围，并且根据来自账户提供商33的授权设置对其评定。根据本发明，存在对责任的严格分离。设备提供商26至M一点也不知道用户帐户。帐户提供商33一点也不知道系统或设备。设备提供商26至M生成其所管理的每个对象的系统范围字串。该字串被传递给帐户提供商33，从而其能够与系统范围结合地存储授权级别。对对象访问时，授权层31从设备提供商26至M检索系统范围，并从帐户提供商33检索授权级别，以批准或拒绝该请求。

    图4显示对象枚举的序列图。图4的方框图被分为四列。第一列为客户端20。第二列为CIM对象管理器22。第三列为授权层31。第四列为设备提供商26。在步骤41，客户端20登录。在步骤42，CIM对象管理器22检查客户端20的身份。在步骤43，提供相应的用户角色。在步骤44，客户端20向CIM对象管理器20发送显示特殊对象的请求。在步骤45，该请求被从CIM对象管理器22发送到授权层31。在步骤46，该请求被从授权层31发送到设备提供商26。在步骤47，在设备提供商26中处理该请求。在步骤48，所请求的对象被从设备提供商26传送给授权层31。在步骤49，将对获得对象系统范围的请求从授权层31传送给设备提供商26。在步骤50，系统范围被从设备提供商26传送给授权层31。在步骤51，对获得对于系统的用户角色的请求被从授权层31传送给CIM对象管理器22。在步骤52，用户角色被从CIM对象管理器22传送给授权层31。在步骤53，检查并评定授权。在步骤54，将经过过滤的对象被从授权层31传送给CIM对象管理器22。在步骤55，将经过过滤的对象从CIM对象管理器22传送给客户端20。

    图5显示对象操纵的序列图。图5所示的序列图类似于图4所示的序列图。相同的部件具有相同的标号。步骤41(登录)、42(检查身份)、以及43(获得用户角色)与图4中相同。在步骤64，将对操纵特殊对象的请求从客户端20传送给CIM对象管理器22。在步骤65，将该操纵请求从CIM对象管理器22传送给授权层31。在步骤66，将对获取该特殊对象的系统范围的请求从授权层31传送给设备提供商26。在步骤67，将系统范围从设备提供商26传送给授权层31。在步骤68，将对获取对于系统的用户角色的请求从授权层31传送给CIM对象管理器22。在步骤69，将用户角色从CIM对象管理器22传送给授权层31。在步骤70，评定授权。如果客户端20被授权操纵该特殊对象，则在步骤71，该操纵请求被从授权层31传送给设备提供商26。在步骤72，在设备提供商26中操纵该特殊对象。