摘要：描述了一個基于角色訪問控制擴(kuò)展而來的通用安全管理模型。通過引入管理對象域的概念，定義了角色所具備的權(quán)限的作用域范圍，實現(xiàn)了同一主體在不同的客體上可以擁有不同的訪問權(quán)限。并且描述了在電信網(wǎng)絡(luò)管理系統(tǒng)應(yīng)用中，基于這個模型實現(xiàn)的一個配置驅(qū)動的安全管理模塊。

關(guān)鍵詞：基于角色的訪問控制；管理對象域；網(wǎng)絡(luò)管理系統(tǒng)；安全管理；配置驅(qū)動

0 引言

隨著電信網(wǎng)絡(luò)的飛速發(fā)展，運營商對于電信網(wǎng)絡(luò)管理的需求不斷增多，對于電信網(wǎng)管中的安全管理模塊的要求也越來越細(xì)致；并且隨著電信網(wǎng)絡(luò)的細(xì)分，不同類型的電信網(wǎng)絡(luò)對于安全的控制需求也不盡相同；安全管理也從最簡單的用戶密碼登錄，發(fā)展到要求對于不同的操作進(jìn)行權(quán)限校驗，再發(fā)展到要求同一主體對于不同的客體相應(yīng)有不同的訪問權(quán)限。以上這一切都對網(wǎng)管中的安全管理模型提出了更高的要求。怎樣能夠靈活地適應(yīng)不同客戶的網(wǎng)絡(luò)管理運維模式?怎樣能夠快速地縮短安全管理模塊的開發(fā)周期和復(fù)雜度?顯然一個靈活通用的安全管理模型必不可少。