電信網管中通用安全管理模型的設計與實現

摘要：描述了一個基于角色訪問控制擴展而來的通用安全管理模型。通過引入管理對象域的概念，定義了角色所具備的權限的作用域范圍，實現了同一主體在不同的客體上可以擁有不同的訪問權限。并且描述了在電信網絡管理系統應用中，基于這個模型實現的一個配置驅動的安全管理模塊。

關鍵詞：基于角色的訪問控制；管理對象域；網絡管理系統；安全管理；配置驅動

0 引言

隨著電信網絡的飛速發展，運營商對于電信網絡管理的需求不斷增多，對于電信網管中的安全管理模塊的要求也越來越細致；并且隨著電信網絡的細分，不同類型的電信網絡對于安全的控制需求也不盡相同；安全管理也從最簡單的用戶密碼登錄，發展到要求對于不同的操作進行權限校驗，再發展到要求同一主體對于不同的客體相應有不同的訪問權限。以上這一切都對網管中的安全管理模型提出了更高的要求。怎樣能夠靈活地適應不同客戶的網絡管理運維模式?怎樣能夠快速地縮短安全管理模塊的開發周期和復雜度?顯然一個靈活通用的安全管理模型必不可少。