一种基于角色的权限管理方法

技术领域

本发明属于网络安全技术领域，具体涉及一种基于角色的权限管理方法。

背景技术

目前，电力集团全面朝着数字化、网络化的方向建设，集团层面的供应链管理、财务管理、人力资源管理，以及各下级单位的项目管理等各种工作场景，均可通过建立一个应用系统来辅助管理，单位的用户通过注册账号的方式访问应用系统。

在一些情况下，集团的应用系统不仅用于供内部员工使用，还可能需要供外部人员访问，比如，一些企业的现场访客需要对企业资源进行有限访问；再比如，对于企业自己的内部应用程序、数据库和资产，外包给供应商维护，供应商偶尔需要在现场提供维修服务，服务提供商需要网络连接以执行任务。目前，集团的数据资源主要供内部员工使用，对于如何保证访客有限的访问权限，以及如何保证维护人员必要的访问权限，没有明确的方式，访客和维护人员对集团的网络资源一般以内部员工的权限来对待，导致集团数据资源的安全得不到保障。

发明内容

本发明的目的在于提供一种基于角色的权限管理方法，解决现有技术中企业的数据资源的访问权限安排不够精细，数据资源有安全风险的技术问题。

为解决上述技术问题，本发明采用以下技术方案：

一种基于角色的权限管理方法，包括：设置登录模块、认证模块、账号通信管理模块和资源模块；

所述登录模块供访客、外包服务人员或企业员工登录所述资源模块，所述认证模块对访客、外包服务人员、企业员工的登录行为进行认证，当所述认证模块认证通过，则所述账号通信管理模块建立通信路径供相应的账号访问所述资源模块。

本发明进一步的改进在于，所述认证模块设有访客账号认证单元、外包服务人员账号认证单元和企业员工账号认证单元，所述访客账号认证单元、外包服务人员账号认证单元和企业员工账号认证单元分别对访客、外包服务人员和企业员工的登录行为进行认证。

本发明进一步的改进在于，所述访客账号认证单元包括访客账号信息存储子单元、和访客账号登录信息判断子单元，所述访客账号信息存储子单元对访客的账号信息进行存储，所述访客账号登录信息判断子单元对登录的访客的账号信息进行判断。

本发明进一步的改进在于，所述外包服务人员账号认证单元包括外包服务人员账号信息存储子单元和外包服务人员账号登录信息判断子单元，所述外包服务人员账号信息存储子单元对外包服务人员的账号信息进行存储，所述外包服务人员账号登录信息判断子单元对登录的外包服务人员的账号信息进行判断。

本发明进一步的改进在于，所述企业员工账号认证单元包括企业员工账号信息存储子单元和企业员工账号登录信息判断子单元，所述企业员工账号信息存储子单元对企业员工的账号信息进行存储，所述企业员工账号登录信息判断子单元对登录的企业员工的账号信息进行判断。

本发明进一步的改进在于，还包括账号管理模块，所述账号管理模块包括访客账号管理单元、外包服务人员账号管理单元和企业员工账号管理单元；所述访客账号管理单元对所述访客账号信息存储子单元中存储的账号进行增加、删除或修改，所述外包服务人员账号管理单元对所述外包服务人员账号信息存储子单元中存储的账号进行增加、删除或修改，所述企业员工账号管理单元对所述企业员工账号信息存储子单元中存储的账号进行增加、删除或修改。

本发明进一步的改进在于，所述账号通信管理模块包括访客通信管理单元、外包服务人员通信管理单元和企业员工通信管理单元；所述访客通信管理单元对登录的访客的通信路径进行建立或隔断；所述外包服务人员通信管理单元对登录的外包服务人员的通信路径进行建立或隔断；所述企业员工通信管理单元对登录的企业员工的通信路径进行建立或隔断。

本发明进一步的改进在于，所述资源模块包括访客资源单元、外包服务人员资源单元、企业员工资源单元和开放资源单元；所述访客资源单元中存放供访客访问的资源，所述外包服务人员资源单元中存放供外包服务人员访问的资源，所述企业员工资源单元中存放供企业员工访问的资源，所述开放资源单元中存放供任何客户均能够访问的资源。

本发明进一步的改进在于，还包括资源管理模块，所述资源管理模块对所述访客资源单元、外包服务人员资源单元、企业员工资源单元和开放资源单元中的资源进行增加或删除。

与现有技术相比，本发明至少具有如下有益的技术效果：

本发明提供的基于角色的权限管理方法设置登录模块、认证模块、账号通信管理模块和资源模块，登录模块供访客、外包服务人员或企业员工登录资源模块，认证模块对访客、外包服务人员、企业员工的登录行为进行认证，当认证模块认证通过，则账号通信管理模块建立通信路径供相应的账号访问资源模块。因此，该基于角色的权限管理方法针对访客、外包服务人员和企业的内部员工，设定了不同的认证方式，便于访客、外包服务人员和企业的内部员工根据自己的属性访问企业的数据资源，并且保障了企业数据资源的安全。

附图说明

附图用来提供对本发明的进一步理解，并且构成说明书的一部分，与本发明的实施例一起用于解释本发明，并不构成对本发明的限制。在附图中：

图1为本发明基于角色的权限管理方法一实施例的流程图。

图2为本发明基于角色的权限管理方法一实施例中访客认证单元的架构图。

图3为本发明基于角色的权限管理方法一实施例中外包服务人员账号认证单元的架构图。

图4为本发明基于角色的权限管理方法一实施例中企业员工账号认证单元的架构图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

一种基于角色的权限管理方法，请参阅图1至图4。

如图1所示，该基于角色的权限管理方法包括：

设置登录模块、认证模块、账号通信管理模块和资源模块，登录模块供访客、外包服务人员或企业员工登录资源模块，认证模块对访客、外包服务人员、企业员工的登录行为进行认证，当认证模块认证通过，则账号通信管理模块建立通信路径供相应的账号访问资源模块。

其中，认证模块设有访客账号认证单元、外包服务人员账号认证单元、企业员工账号认证单元，访客账号认证单元、外包服务人员账号认证单元、企业员工账号认证单元分别对访客、外包服务人员、企业员工的登录行为进行认证。如图2所示，访客账号认证单元包括访客账号信息存储子单元、访客账号登录信息判断子单元，访客账号信息存储子单元对访客的账号信息进行存储，访客账号登录信息判断子单元对登录的访客的账号信息进行判断；如图3所示，外包服务人员账号认证单元包括外包服务人员账号信息存储子单元、外包服务人员账号登录信息判断子单元，外包服务人员账号信息存储子单元对外包服务人员的账号信息进行存储，外包服务人员账号登录信息判断子单元对登录的外包服务人员的账号信息进行判断；如图4所示，企业员工账号认证单元包括企业员工账号信息存储子单元、企业员工账号登录信息判断子单元，企业员工账号信息存储子单元对企业员工的账号信息进行存储，企业员工账号登录信息判断子单元对登录的企业员工的账号信息进行判断。

其中，账号通信管理模块包括访客通信管理单元、外包服务人员通信管理单元、企业员工通信管理单元；访客通信管理单元对登录的访客的通信路径进行建立或隔断；外包服务人员通信管理单元对登录的外包服务人员的通信路径进行建立或隔断；企业员工通信管理单元对登录的企业员工的通信路径进行建立或隔断。

资源模块包括访客资源单元、外包服务人员资源单元、企业员工资源单元、开放资源单元；访客资源单元中存放供访客访问的资源；外包服务人员资源单元中存放供外包服务人员访问的资源；企业员工资源单元中存放供企业员工访问的资源；开放资源单元中存放供任何客户均能够访问的资源。

如图1所示，进一步的，该基于角色的权限管理方法还包括账号管理模块，账号管理模块包括访客账号管理单元、外包服务人员账号管理单元、企业员工账号管理单元；访客账号管理单元对访客账号信息存储子单元中存储的账号进行增加、删除或修改；外包服务人员账号管理单元对外包服务人员账号信息存储子单元中存储的账号进行增加、删除或修改；企业员工账号管理单元对企业员工账号信息存储子单元中存储的账号进行增加、删除或修改。

进一步的，如图1所示，该基于角色的权限管理方法还包括资源管理模块，资源管理模块对访客资源单元、外包服务人员资源单元、企业员工资源单元、开放资源单元中的资源进行增加或删除。

需要说明的是，在本文中，诸如术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。

尽管已经示出和描述了本发明的实施例，对于本领域的普通技术人员而言，可以理解，在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型，本发明的范围由所附权利要求及其等同物限定。