一种基于调度机构级别的跨系统访问权限控制系统
阅读说明:本技术 一种基于调度机构级别的跨系统访问权限控制系统 (Cross-system access authority control system based on scheduling mechanism level ) 是由 赖美娟 王志明 熊峰 于 2021-07-29 设计创作,主要内容包括:本发明公开了一种基于调度机构级别的跨系统访问权限控制系统,包括,身份建立模块,用于系统用户身份信息的建立;身份识别模块,其用于所述身份信息的认证;数据存储模块,其用于系统数据的存储;访问关系选择模块,其用于同级别调度机构或低级别调度机构的选择;访问关系确认模块,其用于调度机构或低级别调度机构的访问需求确认;级别确认模块,其用于确认登录身份的级别;中央处理器其用于处理系统数据。本发明通过设置多层采集和验证方式,能够方便对登录身份进行识别和确认,同时能够实现电网调度自动化系统间的跨系统访问。(The invention discloses a cross-system access right control system based on a scheduling mechanism level, which comprises an identity establishing module, a cross-system access right control module and a cross-system access right control module, wherein the identity establishing module is used for establishing identity information of system users; an identity recognition module for authentication of the identity information; the data storage module is used for storing system data; an access relation selection module for selection of a same-level scheduling mechanism or a lower-level scheduling mechanism; an access relation confirmation module for confirming access requirements of the scheduling mechanism or the low-level scheduling mechanism; a level confirmation module for confirming a level of the login identity; the central processing unit is used for processing system data. According to the invention, through setting a multilayer acquisition and verification mode, the login identity can be conveniently identified and confirmed, and cross-system access among power grid dispatching automation systems can be realized.)
技术领域
本发明涉及电力调度的技术领域,尤其涉及一种基于调度机构级别的跨系统访问权限控制系统。
背景技术
传统电网调度自动化系统采用封闭管理方式,各个调度自动化系统之间没有用户交叉访问的场景,每个系统只需做好系统内部用户的访问控制,无需考虑其他外部系统用户的访问。
针对跨系统业务访问的权限控制问题在业内一般通过单点登录机制进行管理:单点登录服务器集中管理用户账号信息,统一完成认证校验;各业务系统从单点服务器获取用户账号信息,配置其在系统内部的访问权限;用户在单点服务器完成登录后,在各个业务系统间切换访问时无需重新登录,进入任何业务系统时只能在预先授予的权限内进行操作;其不足之处在于:单点登录机制是集中管理用户账号信息,统一完成认证校验,不符合各级调度自动化系统的独立管理、独立运行要求,不能解决电网调度自动化系统间的跨系统访问问题。
发明内容
本部分的目的在于概述本发明的实施例的一些方面以及简要介绍一些较佳实施例。在本部分以及本申请的说明书摘要和发明名称中可能会做些简化或省略以避免使本部分、说明书摘要和发明名称的目的模糊,而这种简化或省略不能用于限制本发明的范围。
鉴于上述现有存在的问题,提出了本发明。
因此,本发明提供了一种基于调度机构级别的跨系统访问权限控制系统,能够解决电网调度自动化系统间的跨系统访问问题。
为解决上述技术问题,本发明提供如下技术方案:包括,身份建立模块,用于系统用户身份信息的建立;身份识别模块,与所述身份建立模块连接,其用于所述身份信息的认证;数据存储模块,与所述身份识别模块连接,其用于系统数据的存储;访问关系选择模块,与所述数据存储模块连接,其用于同级别调度机构或低级别调度机构的选择;访问关系确认模块,与所述访问关系选择模块连接,其用于调度机构或低级别调度机构的访问需求确认;级别确认模块,与所述身份建立模块连接,其用于确认登录身份的级别;中央处理器,分别与所述身份建立模块、所述身份识别模块、所述数据存储模块、所述访问关系选择模块、所述访问关系确认模块、所述级别确认模块连接,其用于处理所述身份建立模块、所述身份识别模块、所述数据存储模块、所述访问关系选择模块、所述访问关系确认模块和所述级别确认模块的数据。
作为本发明所述的基于调度机构级别的跨系统访问权限控制系统的一种优选方案,其中:所述身份建立模块包括,指纹采集单元、人脸采集单元和数文密码登录单元;所述指纹采集单元用于人体手指指纹的采集;所述人脸采集单元用于人脸信息的采集;所述数文密码登录单元用于登录信息和登录密码的设置。
作为本发明所述的基于调度机构级别的跨系统访问权限控制系统的一种优选方案,其中:所述身份建立模块还包括,所述指纹采集单元、所述人脸采集单元和所述数文密码登录单元所录入的数据均通过所述中央处理器存储至所述数据存储模块。
作为本发明所述的基于调度机构级别的跨系统访问权限控制系统的一种优选方案,其中:所述登录密码包括,由数字、文字和特殊符号组成。
作为本发明所述的基于调度机构级别的跨系统访问权限控制系统的一种优选方案,其中:所述身份识别模块包括指纹识别单元、人脸识别单元和数文密码识别单元;所述指纹识别单元用于对所述数据存储模块的指纹数据进行识别对比;所述人脸识别单元用于对所述数据存储模块存储的人脸数据进行识别对比;所述数文密码识别单元用于对所述数据存储模块存储的信息的一致性的判断。
作为本发明所述的基于调度机构级别的跨系统访问权限控制系统的一种优选方案,其中:所述身份识别模块还包括,所述指纹识别单元、所述人脸识别单元和所述数文密码识别单元任意一项识别成功均视为登录身份确认成功。
作为本发明所述的基于调度机构级别的跨系统访问权限控制系统的一种优选方案,其中:所述访问关系选择模块包括,根据登录身份的级别拒绝访问比登录身份的级别高的调度机构。
作为本发明所述的基于调度机构级别的跨系统访问权限控制系统的一种优选方案,其中:所述数据存储模块包括,采用SQLite数据库存储数据。
本发明的有益效果:本发明通过设置多层采集和验证方式,能够方便对登录身份进行识别和确认,且安全性高,同时能够实现电网调度自动化系统间的跨系统访问。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其它的附图。其中:
图1为本发明第一个实施例所述的一种基于调度机构级别的跨系统访问权限控制系统的整体结构示意图;
图2为本发明第二个实施例所述的一种人脸识别方法的流程示意图;
图3为本发明第二个实施例所述的一种人脸识别方法的卷积神经网络模型的结构示意图。
具体实施方式
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合说明书附图对本发明的具体实施方式做详细的说明,显然所描述的实施例是本发明的一部分实施例,而不是全部实施例。基于本发明中的实施例,本领域普通人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明的保护的范围。
在下面的描述中阐述了很多具体细节以便于充分理解本发明,但是本发明还可以采用其他不同于在此描述的其它方式来实施,本领域技术人员可以在不违背本发明内涵的情况下做类似推广,因此本发明不受下面公开的具体实施例的限制。
其次,此处所称的“一个实施例”或“实施例”是指可包含于本发明至少一个实现方式中的特定特征、结构或特性。在本说明书中不同地方出现的“在一个实施例中”并非均指同一个实施例,也不是单独的或选择性的与其他实施例互相排斥的实施例。
本发明结合示意图进行详细描述,在详述本发明实施例时,为便于说明,表示器件结构的剖面图会不依一般比例作局部放大,而且所述示意图只是示例,其在此不应限制本发明保护的范围。此外,在实际制作中应包含长度、宽度及深度的三维空间尺寸。
同时在本发明的描述中,需要说明的是,术语中的“上、下、内和外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一、第二或第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。
本发明中除非另有明确的规定和限定,术语“安装、相连、连接”应做广义理解,例如:可以是固定连接、可拆卸连接或一体式连接;同样可以是机械连接、电连接或直接连接,也可以通过中间媒介间接相连,也可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
实施例1
参照图1,为本发明的第一个实施例,该实施例提供了一种基于调度机构级别的跨系统访问权限控制系统,包括:身份建立模块100,身份识别模块200,数据存储模块300,访问关系选择模块400,访问关系确认模块500,级别确认模块600和中央处理器700。
具体的,身份建立模块100用于系统用户身份信息的建立,其包括指纹采集单元101、人脸采集单元102和数文密码登录单元103;其中,指纹采集单元101用于人体手指指纹的采集,本发明中的可采用指纹采集单元101可采用指纹采集器;人脸采集单元102用于人脸信息的采集,本实施例中可采用摄像头进行人脸信息的采集;数文密码登录单元103用于登录信息和登录密码的设置,登录密码由数字、文字和特殊符号组成;指纹采集单元101、人脸采集单元102和数文密码登录单元103所录入的数据均通过中央处理器800存储至数据存储模块300。
身份识别模块200,与身份建立模块100连接,其用于身份信息的认证;身份识别模块200包括指纹识别单元201、人脸识别单元202和数文密码识别单元203;具体的,指纹识别单元201用于对数据存储模块300的指纹数据进行识别对比,从而判断登录身份是否正确;人脸识别单元202用于对数据存储模块300存储的人脸数据进行识别对比,从而判断登录身份是否正确;数文密码识别单元203用于对数据存储模块300存储的信息的一致性的判断;较佳的是,当指纹识别单元201、人脸识别单元202和数文密码识别单元203任意一项识别成功均视为登录身份确认成功。
数据存储模块300,与身份识别模块200连接,其用于系统数据的存储;本实施例采用SQLite数据库存储数据,SQLite是一款轻量级的关系型数据库,运算速度非常快,占用资源很少,通常只需要几百K的内存就足够了,SQLite没有服务器进程,在保存数据时,支持null,integer,real,text和blob5种数据类型。
访问关系选择模块400,与数据存储模块300连接,其用于同级别调度机构或低级别调度机构的选择;访问关系选择模块400根据登录身份的级别拒绝访问比登录身份的级别高的调度机构。
访问关系确认模块500,与访问关系选择模块400连接,其用于调度机构或低级别调度机构的访问需求确认。
级别确认模块600,与身份建立模块100连接,级别确认模块600通过身份建立模块100之前建立的身份确认登录身份的级别。
中央处理器700通过网络分别与身份建立模块100、身份识别模块200、数据存储模块300、访问关系选择模块400、访问关系确认模块500、级别确认模块600连接,其用于处理身份建立模块100、身份识别模块200、数据存储模块300、访问关系选择模块400、访问关系确认模块500和级别确认模块600的数据。
实施例2
参照图2~图3,为本发明的第二个实施例,该实施例不同于第一个实施例的是,提供了关于人脸识别单元202的一种人脸识别方法,包括:
S1:利用爬虫技术采集人脸图像和非人脸图像,并对图像进行预处理。
本实施例使用第三方库Requests、lxml和AipFace抓取人脸图片;
进一步的,对抓取到的人脸图片进行预处理,步骤如下:
①将人脸图片的label置为0-1637,并将label加入到图片的名字中,如0_001.jpg;
②将所有人脸图片分别放在face-images和no-face-images目录下;
③使用code_point中的工具对人脸图片进行标点,其中bbox.txt中指定了固定的人脸位置;
④根据每个图片样本的标点信息将人脸进行旋转和裁剪,使得样本标准化;
经过步骤①②③④,可以得到1638人的7654张标准化人脸图块。
S2:基于深度学习构建人脸识别模型。
人脸识别模型共由12个卷积神经网络模型组成,卷积神经网络模型的结构如图3所示,本实施例将人脸识别模型分为三部分:L1、L2、L3,具体如下:
①L1:模型输入:预处理后的人脸图片;模型输出:包含两个眼球、一个鼻尖以及两个嘴角的bonding box,该部分共包含一个卷积神经网络模型;
②L2:模型输入:L1的输出;模型输出:预测出两个眼球、一个鼻尖以及两个嘴角的初始位置,该部分共包含一个卷积神经网络模型;
③L3:模型输入:L2的输出;模型输出:两个眼球、一个鼻尖以及两个嘴角的精定位位置,该部分共包含十个卷积神经网络模型。
S3:训练人脸识别模型。
定义损失函数Loss:
其中,m为margin系数,i和j表示数值,n为样本数,s为学习参数,W为归一化权重,y为类别,fi为归一化的特征。
进一步的,将损失函数的初始学习率设置为0.001,并以inv方式进行衰减,直到精确度达到最高时停止训练;下表为模型的不同训练次数对应的准确率。
表1:不同训练次数对应的准确度表。
训练次数
训练时间
模型准确度
50万次
20分钟
89.2486%
75万次
32分钟
92.5486%
100万次
50分钟
96.4782%
110万次
63分钟
96.4982%
150万次
80分钟
97.2462%
170万次
96分钟
97.4516%
190万次
102分钟
98.6478%
200万次
109分钟
97.9820%
205万次
115分钟
97.5463%
由上表可见,当训练次数达到190万次时,模型的准确度最高。
为了对本方法中采用的技术效果加以验证说明,本实施例选择多种人脸识别方法和采用本方法进行对比测试,以科学论证的手段对比试验结果,以验证本方法所具有的真实效果。
传统的人脸识别方法的识别率低,适应性差。
为验证本方法相对传统的人脸识别方法具有较优的识别效果,本实施例中将采用传统的人脸识别方法和本方法分别对采集的人脸图像进行人脸识别对比。
测试环境:Inter Core i7-6500U,8G内存,CPU:2.5GHz;
分别利用PCABP模型、PCA+BP模型、PCA+欧式距离分类器和本方法同时对200张人脸图片进行实时识别,识别结果如表2所示。
表2:传统的人脸识别方法与本方法对200张人脸图像的识别结果对比表。
由表2可见,通过四种方法获得的识别率都随着维度的增加而增加,且明显地,本方法相较于传统的PCABP模型、PCA+BP模型、PCA+欧式距离分类器来看,识别率明显提升,且解决了样本维数过大可能会影响识别率的问题。
应当认识到,本发明的实施例可以由计算机硬件、硬件和软件的组合、或者通过存储在非暂时性计算机可读存储器中的计算机指令来实现或实施。所述方法可以使用标准编程技术-包括配置有计算机程序的非暂时性计算机可读存储介质在计算机程序中实现,其中如此配置的存储介质使得计算机以特定和预定义的方式操作——根据在具体实施例中描述的方法和附图。每个程序可以以高级过程或面向对象的编程语言来实现以与计算机系统通信。然而,若需要,该程序可以以汇编或机器语言实现。在任何情况下,该语言可以是编译或解释的语言。此外,为此目的该程序能够在编程的专用集成电路上运行。
此外,可按任何合适的顺序来执行本文描述的过程的操作,除非本文另外指示或以其他方式明显地与上下文矛盾。本文描述的过程(或变型和/或其组合)可在配置有可执行指令的一个或多个计算机系统的控制下执行,并且可作为共同地在一个或多个处理器上执行的代码(例如,可执行指令、一个或多个计算机程序或一个或多个应用)、由硬件或其组合来实现。所述计算机程序包括可由一个或多个处理器执行的多个指令。
进一步,所述方法可以在可操作地连接至合适的任何类型的计算平台中实现,包括但不限于个人电脑、迷你计算机、主框架、工作站、网络或分布式计算环境、单独的或集成的计算机平台、或者与带电粒子工具或其它成像装置通信等等。本发明的各方面可以以存储在非暂时性存储介质或设备上的机器可读代码来实现,无论是可移动的还是集成至计算平台,如硬盘、光学读取和/或写入存储介质、RAM、ROM等,使得其可由可编程计算机读取,当存储介质或设备由计算机读取时可用于配置和操作计算机以执行在此所描述的过程。此外,机器可读代码,或其部分可以通过有线或无线网络传输。当此类媒体包括结合微处理器或其他数据处理器实现上文所述步骤的指令或程序时,本文所述的发明包括这些和其他不同类型的非暂时性计算机可读存储介质。当根据本发明所述的方法和技术编程时,本发明还包括计算机本身。计算机程序能够应用于输入数据以执行本文所述的功能,从而转换输入数据以生成存储至非易失性存储器的输出数据。输出信息还可以应用于一个或多个输出设备如显示器。在本发明优选的实施例中,转换的数据表示物理和有形的对象,包括显示器上产生的物理和有形对象的特定视觉描绘。
如在本申请所使用的,术语“组件”、“模块”、“系统”等等旨在指代计算机相关实体,该计算机相关实体可以是硬件、固件、硬件和软件的结合、软件或者运行中的软件。例如,组件可以是,但不限于是:在处理器上运行的处理、处理器、对象、可执行文件、执行中的线程、程序和/或计算机。作为示例,在计算设备上运行的应用和该计算设备都可以是组件。一个或多个组件可以存在于执行中的过程和/或线程中,并且组件可以位于一个计算机中以及/或者分布在两个或更多个计算机之间。此外,这些组件能够从在其上具有各种数据结构的各种计算机可读介质中执行。这些组件可以通过诸如根据具有一个或多个数据分组(例如,来自一个组件的数据,该组件与本地系统、分布式系统中的另一个组件进行交互和/或以信号的方式通过诸如互联网之类的网络与其它系统进行交互)的信号,以本地和/或远程过程的方式进行通信。
应说明的是,以上实施例仅用以说明本发明的技术方案而非限制,尽管参照较佳实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明技术方案的精神和范围,其均应涵盖在本发明的权利要求范围当中。