CN111460500B

CN111460500B - 一种网络资源的权限管理方法

Info

Publication number: CN111460500B
Application number: CN202010246377.0A
Authority: CN
Inventors: 孙玉洁; 周洋; 张盛安; 陈卿; 陈常霖; 洪寰; 田勇; 方浩; 付中林; 王劲午
Original assignee: Guizhou Power Grid Co Ltd
Current assignee: Guizhou Power Grid Co Ltd
Priority date: 2020-03-31
Filing date: 2020-03-31
Publication date: 2023-12-01
Anticipated expiration: 2040-03-31
Also published as: CN111460500A

Abstract

本发明公开了一种网络资源的权限管理方法，包括对各类用户进行权限控制；以及，将所述各类用户权限与系统的功能进行动态映射；其中，所述各类用户包括新增用户、离职需删除用户以及职位变动用户，对使用人员权限、设备资源查看权限等进行精确定义，严格控制非授权人员访问修改数据资源，完成权限等级划分，保护系统安全，达到了授权人员只能看到授权信息的目的。

Description

一种网络资源的权限管理方法

技术领域

本发明涉及网络资源管理的技术领域，尤其涉及一种网络资源的权限管理方法。

背景技术

由于供电局本身职责的特殊性和重要性，为其开发的系统需要具备很好的稳定性和安全性。

为了保障安全性，在整个敏捷网络资源系统中，必须做到对不同用户权限进行严格把控，按照部门对权限进行分级，针对每一个所属的部门，向其展示的资源拓扑图的可视化范围需要做到不同。具体描述为，系统管理员可以针对用户进行授权，普通用户只能查看或定位自己所属组织的设备资源，对公司其他组织的资源不具备访问权限，而高级用户除了可以查看公司所有设备信息外，还需做到能够查看资源的统计信息，故此，开发的系统对所有用户的控制显得尤为重要。

发明内容

本部分的目的在于概述本发明的实施例的一些方面以及简要介绍一些较佳实施例。在本部分以及本申请的说明书摘要和发明名称中可能会做些简化或省略以避免使本部分、说明书摘要和发明名称的目的模糊，而这种简化或省略不能用于限制本发明的范围。

鉴于上述现有网络资源权限管理存在的问题，提出了本发明。

因此，本发明解决的技术问题是：解决现有网络资源权限管理无法精准对所有用户进行有效的控制，没有保障电力系统网络资源管理的绝对安全性和稳定性。

为解决上述技术问题，本发明提供如下技术方案：一种网络资源的权限管理方法，包括对各类用户进行权限控制；以及将所述各类用户权限与系统的功能进行动态映射；其中，所述各类用户包括新增用户、离职需删除用户以及职位变动用户。

作为本发明所述的网络资源的权限管理方法的一种优选方案，其中：对所述各类用户进行权限控制包括新增用户权限、删除用户权限、更改用户权限以及查询用户权限。

作为本发明所述的网络资源的权限管理方法的一种优选方案，其中：将所述各类用户权限与系统的功能进行动态映射具体包括权限与拓扑图可视范围映射、权限与报警信息映射、权限与数据分析映射以及权限与资源映射。

作为本发明所述的网络资源的权限管理方法的一种优选方案，其中：新增用户权限具体为进入用户管理页面；点击创建新用户按钮弹出新增用户信息页面；在所述新增用户信息页面中的对应选项中输入新增用户的基本信息并选择所属权限；提交实现新增用户权限，并存入用户信息表中。

作为本发明所述的网络资源的权限管理方法的一种优选方案，其中：输入的所述基本信息包括必填字段和其他字段；其中，所述必填字段包括用户姓名、用户编号、用户登录名、用户密码和权限编号，且所述用户姓名、所述用户编号、所述用户登录名三个字段均需要进行长度校验，长度限制为30字节，所述用户密码需要隐藏掉所输入的字符，用黑色圆点代替，长度为0～100字节，所述权限编号从0开始，随着数字增大权限依次减小；所述其他字段仍需添加基本校验，若校验未通过，则未通过校验字段后方出现提示信息，并且弹出提示框提示“数据输入有误，请重新填写”，前台校验成功后，进入后台数据库中，通过判重标准，若数据唯一，则插入到所述数据库中的指定表下。

作为本发明所述的网络资源的权限管理方法的一种优选方案，其中：更改用户权限具体为进入用户管理页面，并通过所述必填字段对用户进行查询；选择指定用户，点击信息编辑按钮进入用户信息编辑页面更改用户权限；提交确认后完成用户权限的更改，并将更改的权限信息存入所述用户信息表中。

作为本发明所述的网络资源的权限管理方法的一种优选方案，其中：权限与拓扑图可视范围映射和权限与资源映射具体为判断登录用户的权限级别，并映射到对应的设备表中；查找设备所属的部门；将可见和不可见的部门信息作为查找条件，在前台根据权限进行有选择的图形数据展示；返回用户权限对应的资产拓扑图实现映射。

作为本发明所述的网络资源的权限管理方法的一种优选方案，其中：权限与报警信息映射和权限与数据分析映射分别具体为用户登录后分别进入查看报警信息页面和数据分析展示页面；判断登录用户的权限级别，并在表中分别查找对应的报警结果和分析结果；根据不同权限的用户分别展示不同的报警结果和分析结果；返回对用户展示的信息和结果，普通用户返回“无权操作此模块”的提示内容并返回上级菜单。

作为本发明所述的网络资源的权限管理方法的一种优选方案，其中：根据不同权限的用户分别展示不同的报警结果和分析结果具体包括，对于领导层面的用户只展示最上层封装好的报警信息和分析结果，对于管理员要向其展示发出报警信息的设备状态、详细的报警日志以及涉及不同设备各项技术指标的综合分析结果，对于普通用户无权查看报警信息页面和数据分析页面。

作为本发明所述的网络资源的权限管理方法的一种优选方案，其中：权限管理的主要内容包括系统登录、用户管理、工作界面、角色管理和组织管理；其中，所述系统登录具体为，对所述用户登录名和所述用户密码进行校验登陆，若相匹配，则直接进入用户工作界面，否则提示用户“用户名或密码不正确，请重新输入”，窗口跳转回到用户登陆窗口；所述用户管理具体为，系统管理员完成用户信息的录入、维护以及用户授权工作，并给用户指定组织机构，系统根据部门编号、所述用户编号、所述用户姓名来检索数据；所述工作界面具体为，系统根据用户的权限对工作窗口进行初始化，不同角色的用户对应不同的工作窗口界面；所述角色管理具体为，下级角色的权限范围只能在上级权限范围实行进行授权操作，且所述角色管理包括角色信息录入、信息维护、将角色授权给用户、查看角色用户列表；所述组织管理具体为，与电网系统的部门对应，实现对用户的分组归类管理，且组织具有上下级关系，可以实现无限级的子节操作，且管理范围包括组织信息录入、组织信息维护、查看组织员工。

本发明的有益效果：本发明提供的网络资源权限管理方法依托权限管理模块，对使用人员权限、设备资源查看权限等进行精确定义，严格控制非授权人员访问修改数据资源，完成权限等级划分，保护系统安全，达到了授权人员只能看到授权信息的目的。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其它的附图。其中：

图1为本发明提供的网络资源的权限管理方法的方法流程图；

图2为本发明提供的网络资源的权限管理方法对基础功能的权限细化用例图；

图3为本发明提供的网络资源的权限管理方法对管理员权限细化用例图；

图4为本发明提供的网络资源的权限管理方法对领导者权限细化用例图；

图5为本发明拓展的网络资源管理系统的总体实际架构图；

图6为本发明所述的网络资源的越权访问控制方法的权限映射表示意图；

图7为本发明所述的网络资源的越权访问控制方法的流程示意图。

具体实施方式

为使本发明的上述目的、特征和优点能够更加明显易懂，下面结合说明书附图对本发明的具体实施方式做详细的说明，显然所描述的实施例是本发明的一部分实施例，而不是全部实施例。基于本发明中的实施例，本领域普通人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明的保护的范围。

在下面的描述中阐述了很多具体细节以便于充分理解本发明，但是本发明还可以采用其他不同于在此描述的其它方式来实施，本领域技术人员可以在不违背本发明内涵的情况下做类似推广，因此本发明不受下面公开的具体实施例的限制。

其次，此处所称的“一个实施例”或“实施例”是指可包含于本发明至少一个实现方式中的特定特征、结构或特性。在本说明书中不同地方出现的“在一个实施例中”并非均指同一个实施例，也不是单独的或选择性的与其他实施例互相排斥的实施例。

本发明结合示意图进行详细描述，在详述本发明实施例时，为便于说明，表示器件结构的剖面图会不依一般比例作局部放大，而且所述示意图只是示例，其在此不应限制本发明保护的范围。此外，在实际制作中应包含长度、宽度及深度的三维空间尺寸。

同时在本发明的描述中，需要说明的是，术语中的“上、下、内和外”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。此外，术语“第一、第二或第三”仅用于描述目的，而不能理解为指示或暗示相对重要性。

本发明中除非另有明确的规定和限定，术语“安装、相连、连接”应做广义理解，例如：可以是固定连接、可拆卸连接或一体式连接；同样可以是机械连接、电连接或直接连接，也可以通过中间媒介间接相连，也可以是两个元件内部的连通。对于本领域的普通技术人员而言，可以具体情况理解上述术语在本发明中的具体含义。

实施例1

请参阅图1～4，为本发明提供的第一个实施例：一种网络资源的权限管理方法，包括：

对各类用户进行权限控制；以及，

将各类用户权限与系统的功能进行动态映射；

其中，各类用户包括新增用户、离职需删除用户以及职位变动用户。

具体的，对各类用户进行权限控制包括新增用户权限、删除用户权限、更改用户权限以及查询用户权限。实现了

具体的，将各类用户权限与系统的功能进行动态映射具体包括权限与拓扑图可视范围映射、权限与报警信息映射、权限与数据分析映射以及权限与资源映射，保证不同权限级别的用户严格对应到其所属级别的各类业务操作中。

如下表1所示为权限管理模块设计表：

表1：权限管理模块设计表

如上表1所示，权限管理模块的功能主要分为两部分，第一部分是对各类用户进行权限管理，第二部分是动态映射。

在系统初始化或者有新的人员参与到系统时，可以进行用户权限的赋予，在赋予后即可进入系统；当发生人员变动时，例如人员的升迁或部门的转移，权限的修改可以实时地将用户的权限信息进行更新；当有人员离职时，相应的会将用户所有信息包括权限全部删除。

在为工作人员赋权后，系统方面会将人员方面的权限与系统的功能进行映射，例如与拓扑图、报警信息、数据分析图表、物理资源进行相应的关联与映射，当用户进行相应功能的使用时，便会进行权限的验证。

需要说明的是：

①新增用户权限(实现对新用户的赋权操作)具体为：

进入用户管理页面；

点击创建新用户按钮弹出新增用户信息页面；

在新增用户信息页面中的对应选项中输入新增用户的基本信息并选择所属权限；

提交实现新增用户权限，并存入用户信息表中。

其中，输入的基本信息包括必填字段和其他字段。必填字段包括用户姓名、用户编号、用户登录名、用户密码和权限编号，且用户姓名、用户编号、用户登录名三个字段均需要进行长度校验，长度限制为30字节，用户密码需要隐藏掉所输入的字符，用黑色圆点代替，长度为0～100字节，权限编号从0开始，0代表最大权限，随着数字增大权限依次减小；

其他字段仍需添加基本校验，例如长度校验以及类型校验，其中有几个字段需要特殊说明。性别、证件类型等字段则需要使用下拉选框方式，选择成功后显示在文本框内完成此类字段的录入输入各数据项，形成用户基本信息，点击提交，若校验未通过，则未通过校验字段后方出现提示信息，并且弹出提示框提示“数据输入有误，请重新填写”，前台校验成功后，进入后台数据库中，通过判重标准，若数据唯一，则插入到数据库中的指定表下，返回信息成功并存入用户信息表中。

②更改用户权限(实现对已有用户的权限变更操作)具体为：

进入用户管理页面，并通过必填字段对用户进行查询；

选择指定用户，点击信息编辑按钮进入用户信息编辑页面更改用户权限；

提交确认后完成用户权限的更改，并将更改的权限信息存入用户信息表中。

其中，根据查询条件，点击查询，可以进行精确查询及模糊查询，可依据查询中填写的关键字段进行选择。

③删除用户权限(平台提供用户的删除功能，管理员可通过此功能删除用户)具体为：进入用户列表，选择一条数据，点击删除后会出现“是否确认删除”的提示框，点击确定后返回删除结果信息。

④权限与拓扑图可视范围映射和权限与资源映射具体为：

判断登录用户的权限级别，并映射到对应的设备表中；

查找设备所属的部门；

将可见和不可见的部门信息作为查找条件，在前台根据权限进行有选择的图形数据展示；

返回用户权限对应的资产拓扑图实现映射。

⑤权限与报警信息映射和权限与数据分析映射分别具体为：

用户登录后分别进入查看报警信息页面和数据分析展示页面；

判断登录用户的权限级别，并在表中分别查找对应的报警结果和分析结果；

根据不同权限的用户分别展示不同的报警结果和分析结果；

返回对用户展示的信息和结果，普通用户返回“无权操作此模块”的提示内容并返回上级菜单。

其中，根据不同权限的用户分别展示不同的报警结果和分析结果具体包括，对于领导层面的用户只展示最上层封装好的报警信息和分析结果，对于管理员要向其展示发出报警信息的设备状态、详细的报警日志以及涉及不同设备各项技术指标的综合分析结果，对于普通用户无权查看报警信息页面和数据分析页面。

本发明实现的权限管理的主要内容为：

系统登陆：对用户名和密码进行校验登陆。如果帐号和密码相匹配，则直接进入用户工作界面；否则，提示用户“用户名或密码不正确，请重新输入”，窗口跳转回到用户登陆窗口。

用户管理：系统管理员完成用户信息的录入、维护以及用户授权工作，并给用户指定组织机构。系统具备根据部门编号，用户编号，用户姓名来检索数据的功能。

工作界面：系统根据用户的权限对工作窗口进行初始化，不同角色的用户具有对应的工作窗口界面，即用户只能看到自己管辖区域内的设备并对其进行操作，其余部门的设备对该用户不可见。

角色管理：下级角色的权限范围只能在上级权限范围实行进行授权操作。角色管理包括角色信息录入、信息维护、将角色授权给用户、查看角色用户列表。

组织管理：与电网系统的部门对应，用于实现对用户的分组归类管理。组织具有上下级关系，可以实现无限级的子节操作，管理范围包括组织信息录入、组织信息维护、查看组织员工等操作。

本发明方法在设计基础的功能性需求的同时，也会根据公司内具体的人员组织结构来设计权限的分配。后台的用户角色权限大概可以划为三个层级：普通用户权限、部门管理人员权限、领导权限。用户的管理往往随着行政部门划分或者随着业务线部门划分，对应部门或者小组有着类似的功能需求和权限等级。

角色权限方面类似一个用户分组标签，虽然普通员工分属不同的部门，但这里统一按照普通用户来划分权限。而管理员用户划分标准可以是某一级别往上的公司人员和某些技术人员，与普通员工的划分一致，各个部门之间的差异只是权限下的网络设备不同，因此可以将所有部门的管理员设为统一角色标签。而领导的角色是公司内部的决策者，系统对于领导的意义就是设备的位置、状态信息以及与决策制定相关的数据的展现，但系统的相关维护工作并不需要该权限下的人员管理。

如图2、图3、图4所示为三类角色的对应权限的细化：

首先是只拥有最基础功能的普通用户，因为该系统最基础的功能是实现设备的唯一标识和设备的定位，因此普通用户的操作范围就只有查看自己权限范围下的位置拓扑图查看、报警拓扑图查看以及设备详细页面的设备信息的查看。而这些基础的功能管理员也同样拥有，因为管理员也来源于不同的部门，只能查看该部门的物理设备的所有信息。

在所有角色中，管理员的权限是最繁杂的，管理员需要对系统的安全和维护负责。因此除了拥有最基本的信息查看功能外，管理员还有权限管理、设备位置变更控制、报警的实时定向的通知、所有设备信息的维护管理以及日志导出的权限。在系统初始化时，就要进行权限的分配，将所有员工的权限一一录入系统，并且在系统使用过程中，如果有新的员工加入、老员工的升职和离职，都需要管理员对其权限进行修改。而报警模块最主要的面向对象也是管理员，每个部门的管理员们需要对部门内的网络设备状态进行监控，一旦发生报警，需要管理员指定合理的解决措施。日志的导出也是普通用户不具有的权限，因为涉及数据分析的内容，因此在线下会议需要数据支持时，管理员可以将日志导出并打印。另外，设备的位置变更、基本信息的变更都是管理员独有的权限，这样可以较好的保证系统的安全性。

与普通员工和各部门的管理员不同，领导的角色分组可以查看所有设备的位置拓扑图和设备信息，公司内所有的网络设备一目了然，并且可以查看经过数据可视化后的数据图表，方便决策的指定。但设备的管理、权限的管理、报警的管理这类管理方面的权限对于领导是屏蔽的，只开放给管理员进行管理，而领导只需要查看管理过程中的日志，因此领导也具有日志导出与打印的权限。

如下表2所示为本方法涉及的数据实体项：

表2：数据实体项列表

字段名称	长度	录入方式	是否非空项	默认显示
					ID	2-15	自动生成	Y	是
用户姓名	2-15	文本	Y	是
					用户编号	2-15	文本	Y	是
用户性别	2-15	下拉框	Y	否
					用户名	2-255	文本	Y	是
用户密码	2-15	下拉框	Y	否
					所属部门	2-255	文本	Y	是
权限范围	2-15	文本	Y	是

需要注意的是：

①敏捷网络资源定位系统提供权限与映射关系，前台通过WEB端获取针对不同权限用户的语义及拓扑图匹配的结果进行展示；

②针对错误的处理方式包括：

前台异常：前台可预见异常均以界面交互的形式展现在页面上。前台不可预见的异常，统一定位到出错页，并展示后台异常的堆栈信息；

后台异常：后台可预见异常，利用系统错误日志的方式记录。后台不可预见的运行时异常，在平台功能端，以错误页的形式展示，在接口实现段，要求系统全部抓取，以错误日志的形式记录。平台预定义以下异常类型的日志报告，并封装成相关的日志记录服务，在编程时遇到相应的情况，将记录对应的系统错误日志，方便用户查看；

底层日志：系统底层还利用log4j记录系统级日志，方便开发人员追踪问题根源。

针对权限管理的接口说明：用户登录；

请求方式：POST/user/device/position_warn

请求参数：html或表单，如下表3所示：

表3：请求参数表单

参数名	类型	是否必须	说明
				user_id	varchar	是	用户id
user_name	varchar	否	用户名
				password	varchar	否	用户密码
login_time	datetime	是	登陆时间
				user_role	varchar	是	用户角色
role_detail	varchar	否	角色描述
				user_authority	varchar	是	用户权限
authority_detail	varchar	否	权限描述

返回数据代码为：json html

{

“user_id”:404,

“user_name”:”pc0040”,

“password”:”pc”，

“login_time”:2T，

“user_role”:”manger”,

“role_detail”:财务部主任

“user_authority”:查看设备信息

“authority_detail”:查看财务部所有信息

}

表4

返回值	类型	说明
			user_id	varchar	用户id
user_name	varchar	用户名
			password	varchar	用户密码
login_time	datetime	登录时间
			user_role	varchar	用户角色
role_detail	varchar	角色描述
			user_authority	varchar	用户权限
authority_detail	varchar	权限描述

在整个敏捷网络资源管控系统中，实现了对不同类型用户权限进行严格把控。权限按部门分级，基于电力公司的保密性与安全性，针对每一个所属的部门，向其展示的资源拓扑图的可视化范围都是不同的。系统管理员也可以针对用户进行授权，普通用户只能查看或定位自己所属组织的设备资源，对公司其他组织的资源没有访问权限。而高级用户除了可以查看公司所有设备信息外，还能查看资源的统计信息，有利于做决策。

实施例2

请参阅图5，鉴于本发明的整体还提供了第二个实施例：一种网络资源管理系统，包括：

硬件模块，通过snmp协议访问硬件设备的管理信息库，读取设备资源的静态信息，以及运行时所产生的如利用率等动态信息，完成设备信息的读取工作；

数据存储模块，采用MySql数据库存储设备信息；

应用支撑模块，通过应用服务器提供对系统应用层强大的支持，并通过WebService接口服务支持外部资源对内容管理基础数据以及内容管理对外部数据资源的应用数据集成；

应用模块，进行程序逻辑控制，完成系统功能需求；

视图模块，用于展示网络图。

其中，应用模块根据需求分析，主要分为数据分析，资源管理，资源定位，报警管理，权限管理这5个主要单元。

视图层是用户看到的并与之交互的界面。根据需求，网络图采用拓扑图的方式进行呈现，系统的性能指标及数据分析图表等采用饼状图，折线图等进行展示。使用户直观具体看到资源变化情况，对网络资源的决策支持提供直接的帮助。

软件整体开发采用基于最主流的SpringBoot+MyBatis+Shiro的jeesite快速开发平台。以Spring Framework为核心容器，Spring MVC为模型视图控制器，MyBatis为数据访问层，Apache Shiro为权限授权层，Activit为工作流引擎。

实施例3

基于上述实施例提出网络资源的报警管理方法，为防止被恶意轮询攻击、非法登入网络资源系统导致资源信息泄露，因此为提高网络资源的安全性，本实施例提出一种网络资源的访问控制方法，在轮询各个设备状态的报警操作时，需经过访问授权或越权许可，来提升整个网络资源的管理安全性。

访问控制是根据网络用户的身份或属性，对该用户执行某些操作或访问某些网络资源进行控制的过程，可以提供更加安全、灵活以及动态访问授权机制，从而提高授权机制的安全性与可靠性。

具体的，网络资源的越权访问控制方法，包括以下步骤，

建立用户访问权限映射表；

用户登录管理系统进行基本信息的注册用户名和密码；

系统后台鉴别用户身份并分配用户对应的初始权限映射值；

根据初始权限映射值的等级对应设置允许越权告警权限值，用户执行对应授权的访问操作；

用户向系统发出越权访问请求；

访问控制模块根据用户越权访问请求的等级和用户积累的信任值实时更新当前权限值；

判断当前权限值是否超过告警权限值，若超过则判定属于非法越权操作，若不超过则根据当前权限值给予用于对应操作的授权访问。

在现有中通过建立信任度来控制网络系统的访问权限，但是信任度基本都能够依靠平时访问操作的累计来逐步累积，也就是任何用户等级(由于是低等级)的权限都能够通过正常的操作都能积累信任度，从而获得更高的访问权限，并没有考虑到低权限用户实际在网络资源中属于不被信任的用户，不允许获得更高的越权。本方法针对上述问题通过根据用户各等级设定对应的越权访问权限的界限，控制用户越权访问的上限，限定可越权的范围，一旦操作限定值便视为非法请求，对用户封号处理，从而提高网络访问的安全性，消除恶意用户利用积累信任度来获取更高访问权限攻击网络的安全问题。

参照图6～7的示意，为本实施例构建用户访问权限映射表的示意图，需要说明的是，图6中权限1被权限2包括、权限2被权3包括，以此类推，故低权限用户无法具备高级用户的访问权限，但高级用户具有低用户的所有访问权限，同时虚线代表的为越权访问操作。通过在用户集合与权限集合之间建立用户集合，首先权限管理根据网络资源系统的组织结构设置不同的角色，并建立了角色与权限之间的映射关系：“用户→权限子集”，用户为权限子集的所有者，其次权限管理根据用户身份的不同为其分配对应的等级，这建立了主体与角色之间的映射关系：“用户→等级”，其中用户是等级的使用者，故映射关系实际为“用户→等级→权限子集”。也即本实例中用户登录管理系统进行基本信息的注册用户名和密码后，系统后台鉴别用户身份并分配用户对应的初始权限映射值，该初始权限映射值由用户的等级确定。

初始权限映射值映射分配具体如下：

定义用户集合表示U＝{u₁、u₂…u_n}、定义用户等级集合R＝{r₁、r₂…r_n}和定义权限集合P，用户操作权限分为粗粒度权限mP₁、mP₂、mP₃和细粒度权限cP₁、cP₂、cP₃，则存在下式关系：{cP₁、cP₂}∈mP₁、{cP₃}∈mP₂。上述高低级用户具有低级用户的访问权限，体现为若用户u_i具有对mP的操作权限，但不具有节点cP的访问权限，则一定具有对父节点mP的访问权限。具有分配过程描述如下：

设置粗粒度二级菜单权限集合mP＝{mP₁、mP₂、mP_i…mP_n}、细粒度控件权限集合mp＝{cP₁、cP₂、cP_i…cP_n}、工作流程权限结合wfP＝{wfP₁、wfP₂、wfP_i...wfP_n}和用户集合表示U＝{u₁、u₂…u_n}；

定义等级R_j，有效周期T，任务时间t；

U-＞R_j，即将用户抽象成某一等级，mP-＞R_j，将粗粒度二级菜单权限分配给等级R_j，形成R_j的权限集合R_jmP＝{R_jmP1、R_jmP_i…R_jmP_n}；R_jcP＝cP∩wfP且cP∈mP，t∈T，最终得出等级对应的操作全权限集映射关系如下：

R_jmP&cP＝R_jmP∪R_jcP。

进一步的，本实施例根据用户的身份登录注册，定义该用户等级R、并设定初始权限映射值q和越权告警权限值g，则定义当前用户U_n等级的越权告警权限值g满足如下关系：

式中m为节点权限交互的次数，λ为时间衰减系数、g_n(t)为当前时刻下用户U_n的越权告警权限值，R_n(t)为当前时刻下用户U_n的用户等级，Δt为时间的变化。

基于上式不难发现，各用户U_n在不同的时间段会赋予不同的越权告警权限值，其通过当前设定的用户等级R和初始权限映射值q来决定，虽然其值也为变量，但每个用户在当前等级下每个时刻对应的越权告警权限值为固定值，且无论如何变化，其具有变化的上限，也即取决于初始设定的映射关系：

故g_n(t)在不断变化中具有一定的上限，属于当前时刻的界限定值。

进一步的，本方法中采用动态访问控制模型来实现系统能够根据用户信任度的变化而动态地调整用户的权限值，包括以下步骤：

定义权限值计算公式：

T＝[αT₁+(1-α)T₂]σ(t)ΔR

式中α∈[0,1]为历史因子，用来表示用户历史信任度在当前权限值中的作用大小，ΔR为越权等级变化，α计算公式如下：

式中ρ∈[0,1]为衰减速率，μ∈[0,1]能够依据时间段进行调节，时间段越大即会话时间越长，μ越小表示的整体衰减越慢。

T₁表示用户的历史权限值，其计算公式如下：

基于上述的实现，因此不难理解的是，若用户发出越权请求，根据请求越权等级的变化，实时更新权限值T的值，并将当前权限值T与越权告警权限值g进行对比判断，若当前权限值T＞越权告警权限值g，则判定越权请求非法，该用户异常，进行封号处理；若当前权限值T≤越权告警权限值g，则判定越权请求合法，系统给予越权请求的授权。

应当认识到，本发明的实施例可以由计算机硬件、硬件和软件的组合、或者通过存储在非暂时性计算机可读存储器中的计算机指令来实现或实施。所述方法可以使用标准编程技术-包括配置有计算机程序的非暂时性计算机可读存储介质在计算机程序中实现，其中如此配置的存储介质使得计算机以特定和预定义的方式操作——根据在具体实施例中描述的方法和附图。每个程序可以以高级过程或面向对象的编程语言来实现以与计算机系统通信。然而，若需要，该程序可以以汇编或机器语言实现。在任何情况下，该语言可以是编译或解释的语言。此外，为此目的该程序能够在编程的专用集成电路上运行。

此外，可按任何合适的顺序来执行本文描述的过程的操作，除非本文另外指示或以其他方式明显地与上下文矛盾。本文描述的过程(或变型和/或其组合)可在配置有可执行指令的一个或多个计算机系统的控制下执行，并且可作为共同地在一个或多个处理器上执行的代码(例如，可执行指令、一个或多个计算机程序或一个或多个应用)、由硬件或其组合来实现。所述计算机程序包括可由一个或多个处理器执行的多个指令。

进一步，所述方法可以在可操作地连接至合适的任何类型的计算平台中实现，包括但不限于个人电脑、迷你计算机、主框架、工作站、网络或分布式计算环境、单独的或集成的计算机平台、或者与带电粒子工具或其它成像装置通信等等。本发明的各方面可以以存储在非暂时性存储介质或设备上的机器可读代码来实现，无论是可移动的还是集成至计算平台，如硬盘、光学读取和/或写入存储介质、RAM、ROM等，使得其可由可编程计算机读取，当存储介质或设备由计算机读取时可用于配置和操作计算机以执行在此所描述的过程。此外，机器可读代码，或其部分可以通过有线或无线网络传输。当此类媒体包括结合微处理器或其他数据处理器实现上文所述步骤的指令或程序时，本文所述的发明包括这些和其他不同类型的非暂时性计算机可读存储介质。当根据本发明所述的方法和技术编程时，本发明还包括计算机本身。计算机程序能够应用于输入数据以执行本文所述的功能，从而转换输入数据以生成存储至非易失性存储器的输出数据。输出信息还可以应用于一个或多个输出设备如显示器。在本发明优选的实施例中，转换的数据表示物理和有形的对象，包括显示器上产生的物理和有形对象的特定视觉描绘。

如在本申请所使用的，术语“组件”、“模块”、“系统”等等旨在指代计算机相关实体，该计算机相关实体可以是硬件、固件、硬件和软件的结合、软件或者运行中的软件。例如，组件可以是，但不限于是：在处理器上运行的处理、处理器、对象、可执行文件、执行中的线程、程序和/或计算机。作为示例，在计算设备上运行的应用和该计算设备都可以是组件。一个或多个组件可以存在于执行中的过程和/或线程中，并且组件可以位于一个计算机中以及/或者分布在两个或更多个计算机之间。此外，这些组件能够从在其上具有各种数据结构的各种计算机可读介质中执行。这些组件可以通过诸如根据具有一个或多个数据分组(例如，来自一个组件的数据，该组件与本地系统、分布式系统中的另一个组件进行交互和/或以信号的方式通过诸如互联网之类的网络与其它系统进行交互)的信号，以本地和/或远程过程的方式进行通信。

应说明的是，以上实施例仅用以说明本发明的技术方案而非限制，尽管参照较佳实施例对本发明进行了详细说明，本领域的普通技术人员应当理解，可以对本发明的技术方案进行修改或者等同替换，而不脱离本发明技术方案的精神和范围，其均应涵盖在本发明的权利要求范围当中。

Claims

1.一种网络资源的权限管理方法，其特征在于：包括，

对各类用户进行权限控制；对所述各类用户进行权限控制包括新增用户权限、删除用户权限、更改用户权限以及查询用户权限；

以及，将所述各类用户权限与系统的功能进行动态映射；

将所述各类用户权限与系统的功能进行动态映射具体包括权限与拓扑图可视范围映射、权限与报警信息映射、权限与数据分析映射以及权限与资源映射；其中，所述各类用户包括新增用户、离职需删除用户以及职位变动用户；

新增用户权限具体为，进入用户管理页面；

点击创建新用户按钮弹出新增用户信息页面；

在所述新增用户信息页面中的对应选项中输入新增用户的基本信息并选择所属权限；

输入的所述基本信息包括必填字段和其他字段；其中，所述必填字段包括用户姓名、用户编号、用户登录名、用户密码和权限编号，且所述用户姓名、所述用户编号、所述用户登录名三个字段均需要进行长度校验，长度限制为30字节，所述用户密码需要隐藏掉所输入的字符，用黑色圆点代替，长度为0～100字节，所述权限编号从0开始，随着数字增大权限依次减小；

所述其他字段仍需添加基本校验，若校验未通过，则未通过校验字段后方出现提示信息，并且弹出提示框提示“数据输入有误，请重新填写”，前台校验成功后，进入后台数据库中，通过判重标准，若数据唯一，则插入到所述数据库中的指定表下；

提交实现新增用户权限，并存入用户信息表中；

定义用户集合表示U＝{u₁、u₂...u_n}、定义用户等级集合R＝{r₁、r₂...r_n}和定义权限集合P，用户操作权限分为粗粒度权限mP₁、mP₂、mP₃和细粒度权限cP₁、cP₂、cP₃，则存在下式关系：{cP₁、cP₂}∈mP1、{cP₃}∈mP2，高等级用户具有低级用户的访问权限，体现为若用户u_i具有对mP的操作权限，但不具有节点cP的访问权限，则一定具有对父节点mP的访问权限；

具有分配过程描述如下：

设置粗粒度二级菜单权限集合mP＝{mP₁、mP₂、mP_i...mP_n}、细粒度控件权限集合mp＝{cP₁、cP₂、cP_i...cP_n}、工作流程权限结合wfP＝{wfP₁、wfP₂、wfP_i...wfP_n}和用户集合表示U＝{u₁、u₂...u_n}，定义等级R_j，有效周期T，任务时间t；

U-＞Rj，即将用户抽象成某一等级，mP-＞Rj，将粗粒度二级菜单权限分配给等级R_j，形成R_j的权限集合RjmP＝{RjmP1、RjmP_i...RjmP_n}；RjcP＝cP∩wfP且cP∈mP，t∈T，得出等级对应的操作全权限集映射关系如下：

RjmP&cP＝RjmP∪RjcP

根据用户的身份登录注册，定义该用户等级R、并设定初始权限映射值q和越权告警权限值g，定义当前用户U_n等级的越权告警权限值g满足如下关系：

式中，m为节点权限交互的次数，λ为时间衰减系数、g_n(t)为当前时刻下用户U_n的越权告警权限值，R_n(t)为当前时刻下用户U_n的用户等级，Δt为时间的变化；

各用户U_n在不同时间段赋予不同的越权告警权限值，通过当前设定的用户等级R和初始权限映射值q来决定，每个用户在当前等级下每个时刻对应的越权告警权限值为固定值，具有变化的上限，取决于初始设定的映射关系：

g_n(t)属于当前时刻的界限定值；根据用户信任度的变化调整用户的权限值，包括以下步骤：

定义权限值计算公式：

T＝[αT₁+(1-α)T₂]σ(t)△R

式中α∈[0,1]为历史因子，表示用户历史信任度在当前权限值中的作用大小，ΔR为越权等级变化，α计算公式如下：

式中ρ∈[0,1]为衰减速率，μ∈[0,1]能够依据时间段进行调节，时间段越大即会话时间越长，μ越小表示的整体衰减越慢；T₁表示用户的历史权限值，计算公式如下：

若用户发出越权请求，根据请求越权等级的变化，实时更新权限值T的值，并将当前权限值T与越权告警权限值g进行对比判断，若当前权限值T＞越权告警权限值g，则判定越权请求非法，该用户异常，进行封号处理；

若当前权限值T≤越权告警权限值g，则判定越权请求合法，系统给予越权请求的授权。

2.根据权利要求1所述的网络资源的权限管理方法，其特征在于：更改用户权限具体为，进入用户管理页面，并通过所述必填字段对用户进行查询；

提交确认后完成用户权限的更改，并将更改的权限信息存入所述用户信息表中。

3.根据权利要求1所述的网络资源的权限管理方法，其特征在于：权限与拓扑图可视范围映射和权限与资源映射具体为，

判断登录用户的权限级别，并映射到对应的设备表中；

查找设备所属地部门；

返回用户权限对应的资产拓扑图实现映射。

4.根据权利要求1所述的网络资源的权限管理方法，其特征在于：权限与报警信息映射和权限与数据分析映射分别具体为，

根据不同权限的用户分别展示不同的报警结果和分析结果；

5.根据权利要求1所述的网络资源的权限管理方法，其特征在于：根据不同权限的用户分别展示不同的报警结果和分析结果具体包括，对于领导层面的用户只展示最上层封装好的报警信息和分析结果，对于管理员要向其展示发出报警信息的设备状态、详细的报警日志以及涉及不同设备各项技术指标的综合分析结果，对于普通用户无权查看报警信息页面和数据分析页面。

6.根据权利要求1所述的网络资源的权限管理方法，其特征在于：权限管理的主要内容包括系统登录、用户管理、工作界面、角色管理和组织管理；

其中，所述系统登录具体为，对所述用户登录名和所述用户密码进行校验登陆，若相匹配，则直接进入用户工作界面，否则提示用户“用户名或密码不正确，请重新输入”，窗口跳转回到用户登陆窗口；

所述用户管理具体为，系统管理员完成用户信息的录入、维护以及用户授权工作，并给用户指定组织机构，系统根据部门编号、所述用户编号、所述用户姓名来检索数据；

所述工作界面具体为，系统根据用户的权限对工作窗口进行初始化，不同角色的用户对应不同的工作窗口界面；

所述角色管理具体为，下级角色的权限范围只能在上级权限范围实行进行授权操作，且所述角色管理包括角色信息录入、信息维护、将角色授权给用户、查看角色用户列表；

所述组织管理具体为，与电网系统的部门对应，实现对用户的分组归类管理，且组织具有上下级关系，可以实现无限级的子节操作，且管理范围包括组织信息录入、组织信息维护、查看组织员工。