本發明提出了一種多租戶下用戶與設備對應權限管理系統和方法，屬于權限管理。

背景技術：

1、平臺設system賬戶管理配置和管理組。管理組內容對同組管理員可見可管，數據隔離。管理員權限隨組。用戶組共享資源，用戶可見分配資源。用戶權限受用戶組和角色控制。角色為多設備權限集，可編輯分配。現有技術中的平臺設system賬戶管理存在如下技術問題：

2、(1)管理員角色目前缺乏實際功能，且無法進行分配。

3、(2)角色及其子模塊設備沒有根據管理組進行數據隔離，導致工業設備與子模塊設備控制存在分裂。

技術實現思路

1、本發明提供了一種多租戶下用戶與設備對應權限管理系統和方法，用以解決現有技術中存在的上述技術問題，所采取的技術方案如下：

2、一種多租戶下用戶與設備對應權限管理系統，所述多租戶下用戶與設備對應權限管理系統包括管理員單元、用戶管理單元和設備管理單元；

3、所述管理員單元，用于對數據進行管理員分級管理；

4、所述用戶管理單元，用于對各個用戶進行賦權操作和管理；

5、所述設備管理單元，用于將掛載資源調整為設備，并對設備權限與用戶進行關聯。

6、進一步地，所述管理員單元包括管理員組模塊和管理員模塊；

7、所述管理員組模塊，用于數據進行管理員組級別的隔離，不同管理員組創建的數據互不可見，同時，不同管理員組下的所有配置互不干擾，并且，相同管理員組下的所有管理員持有相同操作權限與設備權限；

8、所述管理員模塊，用于對管理員身份的賬號所處管理組下的資源進行運行操作和管理，并且，為用戶組進行賦權，使用戶組所包含的用戶賬號擁有部分設備的權限；其中，所述資源包括但不限制于用戶組，用戶，用戶樹，設備，電子地圖，數據駕駛艙，規則鏈等

9、其中，管理員為特殊身份的賬戶，與用戶的賬戶保存在同一數據表中，但身份不同，對應可見頁面也不同。

10、進一步地，所述用戶管理單元包括用戶組管理模塊、用戶管理模塊和用戶組織管理模塊；

11、所述用戶組管理模塊，用于對其內包含的所有用戶所持有資源的權限進行管理操作，其中，用戶組內用戶只允許進行創建操作、刪除操作和修改基礎信息操作，不允許將用戶從某一用戶組移動到另一用戶組；

12、所述用戶管理模塊，用于持有用戶身份的賬戶，對用戶被賦權的資源進行可見展示和操作管理；

13、所述用戶組織管理模塊，用于顯示用戶時的顯示優化，但不涉及用戶權限管理能力。

14、進一步地，所述設備管理單元包括設備組織模塊、設備權限模塊和設備鑒權模塊；

15、所述設備組織模塊，用于將掛載資源調整為設備，其中，設備組織模塊僅為顯示優化使用，不涉及任何權限，并且，所述設備創建時選擇掛載某一節點，后續可以修改移動；

16、所述設備權限模塊，用于設備權限與用戶進行關聯，設備權限的賦權與否，由微服務進行處理，微服務賦權完成后，通過rpc接口調用，告知本服務，由本服務統一記錄存儲；

17、所述設備鑒權模塊，用于當前端web向微服務具體請求設備樹或者設備相關數據或直接操作設備時，控制微服務向本服務調用鑒權接口，判定用戶是否持有該設備權限；當持有權限時，可正常進行；否則，則返回錯誤信息。

18、進一步地，多租戶下用戶與設備對應權限管理系統還包括：

19、實時監測模塊，用于實時監測所述多租戶下用戶與設備對應權限管理系統的每個單位時間的運行負荷參數；其中，所述運行負荷參數包括cpu使用率、內存利用率、i/o數據尺寸和并發任務處理量；

20、比較模塊，用于將所述cpu使用率和內存利用率與預設的cpu使用率閾值和內存利用率閾值進行比較；

21、第一負荷強度評價系數獲取模塊，用于當所述cpu使用率超過預設的cpu使用率閾值，并且，所述內存利用率超過預設的內存利用率閾值時，則利用cpu使用率、內存利用率、i/o數據尺寸和并發任務處理量獲取第一負荷強度評價系數；

22、其中，所述第一負荷強度評價系數通過如下公式獲取：

23、

24、其中，l01表示第一負荷強度評價系數；n表示多租戶下用戶與設備對應權限管理系統運行所經歷的單位時間的個數；pci表示第i個單位時間對應的cpu使用率；pni表示第i個單位時間對應的內存利用率；ki表示第i個單位時間對應的i/o數據尺寸；kc表示預設的i/o數據尺寸參考值；ti表示第i個單位時間對應的并發任務處理量；pnm表示超過預設的內存利用率閾值對應的內存利用率數值；pcm表示超過預設的cpu使用率閾值對應的cpu使用率數值；

25、第二負荷強度評價系數獲取模塊，用于當所述cpu使用率超過預設的cpu使用率閾值，或者，所述內存利用率超過預設的內存利用率閾值時，則利用cpu使用率、內存利用率、i/o數據尺寸和并發任務處理量獲取第二負荷強度評價系數；

26、其中，所述第二負荷強度評價系數通過如下公式獲取：

27、

28、其中，l02表示第二負荷強度評價系數；n表示多租戶下用戶與設備對應權限管理系統運行所經歷的單位時間的個數；pci表示第i個單位時間對應的cpu使用率；pni表示第i個單位時間對應的內存利用率；ki表示第i個單位時間對應的i/o數據尺寸；kc表示預設的i/o數據尺寸參考值；ti表示第i個單位時間對應的并發任務處理量；

29、第一報警模塊，用于將所述第一負荷強度評價系數與預設的第一負荷強度評價系數閾值進行比較，當所述第一負荷強度評價系數超過預設的第一負荷強度評價系數閾值時，則判定系統負荷過載，并進行過載報警；

30、第二報警模塊，用于將所述第二負荷強度評價系數與預設的第二負荷強度評價系數閾值進行比較，當所述第二負荷強度評價系數超過預設的第二負荷強度評價系數閾值時，則判定系統負荷過載，并進行過載報警。

31、一種多租戶下用戶與設備對應權限管理方法，所述多租戶下用戶與設備對應權限管理方法包括管理員單元、用戶管理單元和設備管理單元；

32、對數據進行管理員分級管理；

33、對各個用戶進行賦權操作和管理；

34、將掛載資源調整為設備，并對設備權限與用戶進行關聯。

35、進一步地，所述對數據進行管理員分級管理包括：

36、數據進行管理員組級別的隔離，不同管理員組創建的數據互不可見，同時，不同管理員組下的所有配置互不干擾，并且，相同管理員組下的所有管理員持有相同操作權限與設備權限；

37、對管理員身份的賬號所處管理組下的資源進行運行操作和管理，并且，為用戶組進行賦權，使用戶組所包含的用戶賬號擁有部分設備的權限；其中，所述資源包括但不限制于用戶組，用戶，用戶樹，設備，電子地圖，數據駕駛艙，規則鏈等

38、其中，管理員為特殊身份的賬戶，與用戶的賬戶保存在同一數據表中，但身份不同，對應可見頁面也不同。

39、進一步地，所述對各個用戶進行賦權操作和管理包括：

40、對其內包含的所有用戶所持有資源的權限進行管理操作，其中，用戶組內用戶只允許進行創建操作、刪除操作和修改基礎信息操作，不允許將用戶從某一用戶組移動到另一用戶組；

41、持有用戶身份的賬戶，對用戶被賦權的資源進行可見展示和操作管理；

42、顯示用戶時的顯示優化，但不涉及用戶權限管理能力。

43、進一步地，所述將掛載資源調整為設備，并對設備權限與用戶進行關聯包括：

44、將掛載資源調整為設備，其中，設備組織模塊僅為顯示優化使用，不涉及任何權限，并且，所述設備創建時選擇掛載某一節點，后續可以修改移動；

45、將設備權限與用戶進行關聯，設備權限的賦權與否，由微服務進行處理，微服務賦權完成后，通過rpc接口調用，告知本服務，由本服務統一記錄存儲；

46、當前端web向微服務具體請求設備樹或者設備相關數據或直接操作設備時，控制微服務向本服務調用鑒權接口，判定用戶是否持有該設備權限；當持有權限時，可正常進行；否則，則返回錯誤信息。

47、進一步地，多租戶下用戶與設備對應權限管理方法還包括：

48、實時監測所述多租戶下用戶與設備對應權限管理系統的每個單位時間的運行負荷參數；其中，所述運行負荷參數包括cpu使用率、內存利用率、i/o數據尺寸和并發任務處理量；

49、將所述cpu使用率和內存利用率與預設的cpu使用率閾值和內存利用率閾值進行比較；

50、當所述cpu使用率超過預設的cpu使用率閾值，并且，所述內存利用率超過預設的內存利用率閾值時，則利用cpu使用率、內存利用率、i/o數據尺寸和并發任務處理量獲取第一負荷強度評價系數；

51、其中，所述第一負荷強度評價系數通過如下公式獲取：

52、

53、其中，l01表示第一負荷強度評價系數；n表示多租戶下用戶與設備對應權限管理系統運行所經歷的單位時間的個數；pci表示第i個單位時間對應的cpu使用率；pni表示第i個單位時間對應的內存利用率；ki表示第i個單位時間對應的i/o數據尺寸；kc表示預設的i/o數據尺寸參考值；ti表示第i個單位時間對應的并發任務處理量；pnm表示超過預設的內存利用率閾值對應的內存利用率數值；pcm表示超過預設的cpu使用率閾值對應的cpu使用率數值；

54、當所述cpu使用率超過預設的cpu使用率閾值，或者，所述內存利用率超過預設的內存利用率閾值時，則利用cpu使用率、內存利用率、i/o數據尺寸和并發任務處理量獲取第二負荷強度評價系數；

55、其中，所述第二負荷強度評價系數通過如下公式獲取：

56、

57、其中，l02表示第二負荷強度評價系數；n表示多租戶下用戶與設備對應權限管理系統運行所經歷的單位時間的個數；pci表示第i個單位時間對應的cpu使用率；pni表示第i個單位時間對應的內存利用率；ki表示第i個單位時間對應的i/o數據尺寸；kc表示預設的i/o數據尺寸參考值；ti表示第i個單位時間對應的并發任務處理量；

58、將所述第一負荷強度評價系數與預設的第一負荷強度評價系數閾值進行比較，當所述第一負荷強度評價系數超過預設的第一負荷強度評價系數閾值時，則判定系統負荷過載，并進行過載報警；

59、或

60、將所述第二負荷強度評價系數與預設的第二負荷強度評價系數閾值進行比較，當所述第二負荷強度評價系數超過預設的第二負荷強度評價系數閾值時，則判定系統負荷過載，并進行過載報警。

61、本發明有益效果：

62、本發明提出的一種多租戶下用戶與設備對應權限管理系統和方法通過精細化的權限管理和數據隔離，有效解決管理員權限過于寬泛，沒有實現數據的有效隔離，存在數據泄露的風險的技術問題，實現了數據的租戶級隔離，不同管理員組之間的數據互不可見，這極大地提高了數據的安全性。