CN110298168A

CN110298168A - 一种轨道交通综合监控用户权限管理方法及系统

Info

Publication number: CN110298168A
Application number: CN201910541599.2A
Authority: CN
Inventors: 周勇; 汪波; 杨志奋; 蒋春华; 孙阳松; 赵瑜
Original assignee: HEFEI SIWILL INTELLIGENT Co Ltd
Current assignee: HEFEI SIWILL INTELLIGENT Co Ltd
Priority date: 2019-06-21
Filing date: 2019-06-21
Publication date: 2019-10-01

Abstract

本发明提出的一种轨道交通综合监控用户权限管理方法，包括：构造四维数据格式{role.line.station.subsystem}，role表示角色，line表示线路，station表示车站，subsystem表示子系统；将用户权限以四维数据{role.line.station.subsystem}与行为的关联关系进行存储；每一个用户均配置有一个或多个对应的角色；根据用户获取其对应的角色，并根据角色调取对应的四维数据对用户权限进行验证。本发明使得用户权限的设置和验证与用户执行行为的平台相分离，实现了轨道交通综合监控系统进行权限验证时的统一，解决了不同的轨道交通综合监控系统由于兼容的SCADA系统不同从而造成的不同线路上由于访问协议不同必须独立设置权限验证的问题。

Description

一种轨道交通综合监控用户权限管理方法及系统

技术领域

本发明涉及交通综合监控技术领域，尤其涉及一种轨道交通综合监控用户权限管理方法及系统。

背景技术

随着国民经济的发展，国内各大城市都在争相发展城市轨道交通，目前，已进入到轨道交通大发展时期，在这种大发展背景下，推动了各种新技术在轨道交通领域的应用。

轨道交通综合监控系统(ISCS)是一种高度集成的综合自动化系统，可实现对轨道交通的各个系统、各个设备进行集中监控和集中管理，最终达到各个系统(专业)之间信息资源共享和协同互动的功能。ISCS已成为轨道交通领域不可缺少的综合自动化系统，越来越受到重视。ISCS涉及的内容复杂，第一，管理的车站多，一条地铁线一般有20多个车站；第二，管理的系统(专业)多，涉及环控、消防、信号、电力、视频监控等多个系统；第三，涉及的权限复杂，包含系统管理员级、维护级、操作员级三个级别，而操作员级又包含总调、电调、环调、行调、车站值班员等。其用户权限管理涉及诸多因素，复杂度高。

目前，国内的ISCS通常采用工业监控软件平台，如国外的一些SCADA(SupervisoryControl And Data Acquisition，即监视控制和数据采集系统)平台，WinCCOA、Citect、Wonderware等，在此基础上进行应用软件功能开发。这些SCADA平台都是诞生于工业控制领域，专业单一、控制级别不多，其用户权限管理模式往往不能适应轨道交通领域多站点、多系统(专业)、多控制级别的权限需求。此外，一个城市的多条轨道交通综合监控系统通常使用的SCADA平台往往不止一个品牌，例如某城市地铁一号线ISCS使用Citect，而二号线使用WinCCOA，这样需针对不同的SCADA设计开发不同的用户权限管理功能模块，每条线的ISCS相互独立，都有各自的用户权限管理，用户权限管理功能不统一，耗时大、成本高。

发明内容

基于背景技术存在的技术问题，本发明提出了一种轨道交通综合监控用户权限管理方法及系统。

本发明提出的一种轨道交通综合监控用户权限管理方法，包括：

构造四维数据格式{role.line.station.subsystem}，role表示角色，line表示线路，station表示车站，subsystem表示子系统；

将用户权限以四维数据{role.line.station.subsystem}与行为的关联关系进行存储；

每一个用户均配置有一个或多个对应的角色；

根据用户获取其对应的角色，并根据角色调取对应的四维数据对用户权限进行验证。

优选的，将用户权限以四维数据{role.line.station.subsystem}与行为的关联关系的形式存储到关系型数据库中。

优选的，将用户权限以四维数据{role.line.station.subsystem}与行为的关联关系进行存储的具体方式为：以role×line为单位建立station×subsystem的二维表格，所述二维表格中对应每一个station×subsystem表格均标记有一个或多个许可行为。

一种轨道交通综合监控用户权限管理系统，包括：控制中心管理平台、用户权限管理服务器和车站管理平台；

用户权限管理服务器用于存储权利要求要求1至3任一项所述的四维数据{role.line.station.subsystem}，且每一条四维数据{role.line.station.subsystem}分别关联有一个或多个许可行为；

控制中心管理平台用于配置所述四维数据以及所述四维数据对应的许可行为并存入用户权限管理服务器；控制中心管理平台还用于建立每一个用户与角色的对应关系并存储到用户权限管理服务器；

控制中心管理平台内设有用于供外部服务进行调用的中心级API接口，控制中心管理平台还用于在外服服务调用中心级API接口时，获取与用户对应的角色，并根据角色调用用户权限管理服务器中对应的用户权限判断外服服务的当前行为是否合法，并将判断结果通过中心级API接口发送给外部服务；

车站管理平台内设有用于供外部服务进行调用的车站级API接口，车站管理平台用于在外服服务调用车站级API接口时，从控制中心管理平台获取用户对应的角色，并根据角色调用用户权限管理服务器中对应的用户权限判断外部服务的当前行为是否合法，并将判断结果通过中心级API接口发送给外部服务。

优选的，还包括备用服务器，备用服务器与用户权限管理服务器数据同步；当用户权限管理服务器故障，控制中心管理平台和车站管理平台从备用服务器调用用户权限。

优选的，备用服务器与用户权限管理服务器内部均设有关系型数据库进行数据存储，且备用服务器与用户权限管理服务器相互配合实现双机热备功能。

优选的，控制中心管理平台包括用户权限管理模块；用户权限管理模块与用户权限管理服务器连接，用于新增、删除和修改用户权限管理服务器中的四维数据及所述四维数据对应的许可行为；

优选的，用户权限管理模块包括信息配置单元和权限管理单元，信息配置单元用于配置每一条所述四维数据中的线路、车站和子系统，权限管理单元用于配置每一条所述四维数据中的角色以及所述四维数据对应的许可行为。

优选的，用户权限管理模块还包括用户管理单元；用户管理单元用于编辑用户信息，并用于给每一个用户配置对应的角色。

优选的，控制中心管理平台还包括中心级权限验证单元；当用户通过调用中心级API接口的外部服务执行行为时，中心级权限验证单元通过中心级API接口获取用户信息，中心级权限验证单元与用户权限管理服务器通信对用户当前行为进行验证，并将验证信息通过中心级API接口发送给外部服务，外部服务根据验证信息继续执行行为或者终止行为；

车站管理平台包括车站级权限验证单元，当用户通过调用车站级API接口的外部服务执行行为时，车站级权限验证单元通过车站级API接口获取用户信息，车站级权限验证单元与用户权限管理服务器通信对用户当前行为进行验证，并将验证信息通过车站级API接口发送给外部服务，外部服务根据验证信息继续执行行为或者终止行为；

优选的，控制中心管理平台内设有服务程序，控制中心管理平台和车站级权限单元均通过服务程序从用户权限管理服务器中调用用户权限。

优选的，中心级权限验证单元通过中心级API接口获取的用户信息包括用户名以及用户当前行为对应的线路、车站和子系统；

车站级权限验证单元通过车站级API接口获取的用户信息包括用户名以及用户当前行为对应的线路、车站和子系统。

本发明提出的一种轨道交通综合监控用户权限管理方法中，所有的用户权限均以四维数据的格式存储，从而实现了所有线路的轨道交通综合监控系统的用户权限的统一管理，使得一个地域内的地铁线路都可使用统一的用户权限管理进行权限验证，无需再针对平台、针对线路重新开发，解决了现有技术中用户权限管理功能不统一、耗时大、成本高的问题。

本发明提出的一种轨道交通综合监控用户权限管理系统，使得用户权限的设置和验证与用户执行行为的平台相分离，实现了轨道交通综合监控系统进行权限验证时的统一，解决了不同的轨道交通综合监控系统由于兼容的SCADA系统不同从而造成的不同线路上由于访问协议不同必须独立设置权限验证的问题。

附图说明

图1为本发明提出的一种轨道交通综合监控用户权限管理方法流程图；

图2为本发明提出的一种轨道交通综合监控用户权限管理系统结构图；

图3为图2中的用户权限管理模块工作示意图。

具体实施方式

参照图1，本发明提出的一种轨道交通综合监控用户权限管理方法，包括：

每一个用户均配置有一个或多个对应的角色；

本实施方式中，角色可为用户类型的一种抽象化模型，角色是用户与权限之间的桥梁；范围即为区域，一个城市的轨道交通可细分为三级区域，线路、车站、子系统，一条线路中包含多个车站，一个车站中包含多个子系统；子系统不仅包含轨道交通中的专业，如BAS、FAS，也包含功能，如报警、日志、联动、参数设置等。

本实施方式中提供了多个行为示例，其中，M为监控、查看，即查看某个子系统界面的权限；C为单控，即控制单个设备的权限；G为组控，即可同时对多个设备发送控制指令的权限，如顺控、模控等；D为显示报警；A为确认报警；S为系统管理、用户管理和权限管理等，即系统某些参数的设置的权限、用户的编辑的权限和每一条四维数据及其对应的行为的配置的权限等。具体可参考表1。

表1：行为对照表

序号	代码	含义
			1	M	监视、查看
2	C	控制设备，单控
			3	G	控制设备，组控
4	D	显示报警
			5	A	确认报警
6	S	系统管理，系统参数设置，用户权限管理

本实施方式中采用的四维数据格式，角色嵌套线路，线路嵌套车站，车站嵌套子系统，每一个四维数据生成点位的值即为具体的用户行为控制权限。本实施方式中，通过四维数据结构生成全部的点位数量为role×line×station×subsystem，控制权限的划分说明如表1所示，用户行为控制权限可以是表1中一个或者多个代码的组合。由于用户权限对应的四维数据为电位数据，具有体量小的特点，可选择关系型数据库例如MySQL将用户权限以四维数据{role.line.station.subsystem}与行为的关联关系的形式存储到关系型数据库中。例如，{电调.线路1.车站1.子系统1}＝MCG，表示电调角色在线路1上车站1的子系统1中具有监视、查看、单控和组控权限，即当某个用户配置有电调角色时，其在在线路1上车站1的子系统1中执行监视、查看、单控和组控中的一个或者多个行为时，都被允许。

本实施方式中，所有的用户权限均以四维数据的格式存储，从而实现了所有线路的轨道交通综合监控系统的用户权限的统一管理，使得一个地域内的地铁线路都可使用统一的用户权限管理，无需再针对平台、针对线路重新开发，解决了现有技术中用户权限管理功能不统一、耗时大、成本高的问题。

具体的，本实施方式中，将用户权限以四维数据{role.line.station.subsystem}与行为的关联关系进行存储的具体方式为：以role×line为单位建立station×subsystem的二维表格，所述二维表格中对应每一个station×subsystem表格均标记有一个或多个许可行为。如此，在验证某个用户的行为时，只需要获取用户对应的角色已经用户行为对应的线路便可调取用户对应角色在该线路上的station×subsystem的二维表格，然后根据用户行为对应的车站和子系统获取用户的行为权限，并进一步判断用户当前行为是否属于用户对应角色的许可行为，以实现对用户行为的验证。

参照图2，本发明还提供一种轨道交通综合监控用户权限管理系统，包括：控制中心管理平台、用户权限管理服务器和车站管理平台。

用户权限管理服务器用于存储上述的四维数据{role.line.station.subsystem}，且每一条四维数据{role.line.station.subsystem}分别关联有一个或多个许可行为。即用户权限管理服务器用于存储由所述的四维数据和对应的许可行为构成的用户权限。本实施方式中，通过用户权限管理服务器实现了对于用户权限的统一管理，并为用户权限的统一调用奠定了基础。

控制中心管理平台用于配置所述四维数据以及所述四维数据对应的许可行为并存入用户权限管理服务器。即，控制中心管理平台用于配置用户权限。

控制中心管理平台还用于建立每一个用户与角色的对应关系并存储到用户权限管理服务器。

控制中心管理平台内设有用于供外部服务进行调用的中心级API接口，控制中心管理平台还用于在外服服务调用中心级API接口时，获取与用户对应的角色，并根据角色调用用户权限管理服务器中对应的用户权限判断外服服务的当前行为是否合法，并将判断结果通过中心级API接口发送给外部服务。具体的，控制中心管理平台用于在外部服务调用中心级API接口时，通过中心级API接口获取外部服务的操作用户以及其当前行为，并获取操作用户对应的角色；控制中心管理平台用于从用户权限管理服务器中获取操作用户对应的角色的权限，从而判断操作用户的当前行为是否合法并通知外部服务，以便外部服务根据判断结果继续执行操作或者终止操作。

如此，本实施方式中，权限验证过程中，控制中心和车站相同，在需要进行权限验证的时候，通过调用提供的API向用户权限管理服务器验证权限，判断当前用户是否具有某个或者多个用户行为权限。具体的，当用户通过任意一个平台(例如SCADA平台)对轨道交通综合监控系统中的任意一个子系统执行一项行为时，该用户权限管理系统都可根据平台调用的API接口获取用户信息和行为信息，从而获取用户对应的角色以及当前行为对应的线路、车站和子系统，从而生成对应的四维数据并进一步获取对应的许可行为，并进一步通过API接口向平台反馈用户的当前行为是否授权，即实现了对用户的权限验证。

具体的，本实施方式中，控制中心管理平台设有用于调用用户权限管理服务器中用户权限的服务程序，控制中心管理平台和车站管理平台均通过服务程序从用户权限管理服务器中调用用户权限。

控制中心管理平台将用户与角色的对应关系存储到用户管理服务器中，控制中心管理平台和车站管理平台在发现外部服务时，均从用户管理服务器中获取外部服务登录用户对应的角色。

具体的，本实施方式中，控制中心管理平台还包括中心级权限验证单元；当用户通过调用中心级API接口的外部服务执行行为时，中心级权限验证单元通过中心级API接口获取用户信息，中心级权限验证单元与用户权限管理服务器通信对用户当前行为进行验证，并将验证信息通过中心级API接口发送给外部服务，外部服务根据验证信息继续执行行为或者终止行为。中心级权限验证单元通过中心级API接口获取的用户信息包括用户名以及用户当前行为对应的线路、车站和子系统。具体的，中心级权限验证单元用于根据用户名获取用户对应的角色，并用于结合所述角色以及用户当前行为对应的线路、车站和子系统生成对应的四维数据，然后根据四维数据通过服务程序从用户权限管理服务器中调用对应的用户权限与用户当前行为进行对比，判断用户当前行为是否合法。具体的，如果中心级权限验证单元生成的对应用户当前行为的四维数据不存在于用户权限管理服务器，或者用户当前行为不属于该四维数据在用户权限管理服务器中对应的用户行为，则判断用户当前行为不合法。

车站管理平台包括车站级权限验证单元，当用户通过调用车站级API接口的外部服务执行行为时，车站级权限验证单元通过车站级API接口获取用户信息，车站级权限验证单元与用户权限管理服务器通信对用户当前行为进行验证，并将验证信息通过车站级API接口发送给外部服务，外部服务根据验证信息继续执行行为或者终止行为。车站级权限验证单元通过车站级API接口获取的用户信息包括用户名以及用户当前行为对应的线路、车站和子系统。具体的，车站级权限验证单元用于根据用户名获取用户对应的角色，并用于结合所述角色以及用户当前行为对应的线路、车站和子系统生成对应的四维数据，然后根据四维数据通过服务程序从用户权限管理服务器中调用对应的用户权限与用户当前行为进行对比，判断用户当前行为是否合法。具体的，如果车站级权限验证单元生成的对应用户当前行为的四维数据不存在于用户权限管理服务器，或者用户当前行为不属于该四维数据在用户权限管理服务器中对应的用户行为，则判断用户当前行为不合法。

如此，本实施方式中，通过该用户权限管理系统的设置，使得用户权限的设置和验证与用户执行行为的平台相分离，实现了轨道交通综合监控系统进行权限验证时的统一，解决了不同的轨道交通综合监控系统由于兼容的SCADA系统不同从而造成的不同线路上由于访问协议不同必须独立设置权限验证的问题。

本实施方式中，控制中心管理平台和车站管理平台均对用户及用户配置的角色进行本地存储，有利于提高在获取用户行为时进行权限验证的效率。

具体的，本实施方式中，控制中心管理平台包括用户权限管理模块。如图3所示，用户权限管理模块与用户权限管理服务器连接，用于新增、删除和修改用户权限管理服务器中的四维数据及所述四维数据对应的许可行为。具体的，用户权限管理模块包括信息配置单元和权限管理单元，信息配置单元用于配置每一条所述四维数据中的线路、车站和子系统，权限管理单元用于配置每一条所述四维数据中的角色以及所述四维数据对应的许可行为。通过信息配置单元和权限管理单元还可新增用户权限或者删除用户权限，也可对现有的用户权限进行修改，例如修改任意一条四维数据中的角色、线路、车站和/或子系统，或者修改任意一条四维数据对应的许可行为等。具体实施时，控制中心管理平台可通过用户权限管理模块配置的人机交互界面进行用户权限的新增、删除和修改。具体的，人机界面以控件形式存在，可以嵌入到SCADA软件平台的组态界面中。例如.net控件和ActiveX控件形式，可兼容现有轨道交通综合监控系统使用的所有SCADA平台，为用户权限管理模块提供人机交互界面。

本实施方式中，信息配置单元和权限管理单元只存在于控制中心，有利于保证用户权限设置的安全，保证用户权限的受控。

具体的，本实施方式中，配置信息单元用于相关信息，如如线路信息、车站信息、子系统信息等，每条线路的综合监控系统都需配置相关信息。信息配置完之后即可在权限管理界面进行权限管理与配置，可新建、修改、删除角色，如总调、电调、环调、行调、车站值班员等，可对某个具体的角色配置在某个区域的相应的许可行为，可根据需求对某个角色在某条线路上某个车站某个子系统配置相应的许可行为，可配置单个的许可行为也可配置许可行为的组合。如表2所示，为特定角色在特定线路上的用户行为配置示例表。本示例中，假设5个车站，5个子系统，该角色在车站2子系统1具有查看、单控、组控权限，在车站5子系统3具有查看权限。

表2：用户行为配置示例表

本实施方式中，用户权限管理模块还包括用户管理单元；用户管理单元用于编辑用户信息，并用于给每一个用户配置对应的角色。具体的，控制中心管理平台可通过用户管理单元配置的人机交互界面实现用户的编辑和角色配置。

图2所示实施例中，用户权限管理模块通过调用中心级API接口接入的SCADA平台组态用户权限管理模块的人机界面，从而使得用户可通过中心级API接口接入的SCADA平台组态实现的人机交互界面实现信息配置单元、权限管理单元和用户管理单元的操作。

本实施方式提供的轨道交通综合监控用户权限管理系统，还包括备用服务器，备用服务器与用户权限管理服务器数据同步，实现双机热备。当用户权限管理服务器故障，控制中心管理平台和车站管理平台从备用服务器调用用户权限。具体的，本实施方式中，备用服务器与用户权限管理服务器内部均设有关系型数据库例如MySQL进行数据存储，以便通过MySQL自带的双机热备实现数据同步。

本实施方式中，控制中心管理平台和车站管理平台与用户权限管理服务器均采用远程通信，有极小的可能发生用户权限管理服务器和备用服务器同时故障的情况。用户权限管理服务器和备用服务器同时故障时，则轨道交通综合监控系统无法进行用户权限验证。本实施方式中，设置有一个超级用户，该超级用户无需向用户权限管理服务器进行权限验证，即中心级权限验证单元和车站级权限验证单元通过对应的API接口获知超级用户登录时，默认超级用户的任意行为均被许可，以避免远程通信故障。

以上所述，仅为本发明涉及的较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，根据本发明的技术方案及其发明构思加以等同替换或改变，都应涵盖在本发明的保护范围之内。

Claims

1.一种轨道交通综合监控用户权限管理方法，其特征在于，包括：

每一个用户均配置有一个或多个对应的角色；

2.如权利要求1所述的轨道交通综合监控用户权限管理方法，其特征在于，将用户权限以四维数据{role.line.station.subsystem}与行为的关联关系的形式存储到关系型数据库中。

3.如权利要求2所述的轨道交通综合监控用户权限管理方法，其特征在于，将用户权限以四维数据{role.line.station.subsystem}与行为的关联关系进行存储的具体方式为：以role×line为单位建立station×subsystem的二维表格，所述二维表格中对应每一个station×subsystem表格均标记有一个或多个许可行为。

4.一种轨道交通综合监控用户权限管理系统，其特征在于，包括：控制中心管理平台、用户权限管理服务器和车站管理平台；

5.如权利要求4所述的轨道交通综合监控用户权限管理系统，其特征在于，还包括备用服务器，备用服务器与用户权限管理服务器数据同步；当用户权限管理服务器故障，控制中心管理平台和车站管理平台从备用服务器调用用户权限。

6.如权利要求5所述的轨道交通综合监控用户权限管理系统，其特征在于，备用服务器与用户权限管理服务器内部均设有关系型数据库进行数据存储，且备用服务器与用户权限管理服务器相互配合实现双机热备功能。

7.如权利要求1所述的轨道交通综合监控用户权限管理系统，其特征在于，控制中心管理平台包括用户权限管理模块；用户权限管理模块与用户权限管理服务器连接，用于新增、删除和修改用户权限管理服务器中的四维数据及所述四维数据对应的许可行为；

8.如权利要求1所述的轨道交通综合监控用户权限管理系统，其特征在于，用户权限管理模块还包括用户管理单元；用户管理单元用于编辑用户信息，并用于给每一个用户配置对应的角色。

9.如权利要求1所述的轨道交通综合监控用户权限管理系统，其特征在于，控制中心管理平台还包括中心级权限验证单元；当用户通过调用中心级API接口的外部服务执行行为时，中心级权限验证单元通过中心级API接口获取用户信息，中心级权限验证单元与用户权限管理服务器通信对用户当前行为进行验证，并将验证信息通过中心级API接口发送给外部服务，外部服务根据验证信息继续执行行为或者终止行为；

10.如权利要求9所述的轨道交通综合监控用户权限管理系统，其特征在于，中心级权限验证单元通过中心级API接口获取的用户信息包括用户名以及用户当前行为对应的线路、车站和子系统；