账号管理方法和设备与流程

本发明涉及计算机技术领域，尤其涉及一种账号管理方法和设备。

背景技术：

在信息化管理中，系统用户账号管理是工作中的重中之重。用户账号是一把钥匙，无处不在，关系到各个主机、网络设备、数据库维护的安全问题。用户账号数量巨大，一个主机，一个数据库往往有几十甚至上百个账号，每个账号的使用人、使用状态、账号权限各有不同，账号信息泄露对整台设备甚至整个系统都是灾难性的。因此，用户账号的管理任务较为艰巨。

由于传统的用户账号管理方法是半人工方式，系统管理员需要统计、整理主机、数据库的账号信息，难免出现遗漏、信息错误等问题。

技术实现要素：

本发明提供一种账号管理方法和设备，以提高账号管理的效率，以及准确性。

第一方面，本发明提供一种账号管理方法，包括：

账号管理设备根据所述账号管理设备与主机和数据库的连接参数，建立所述账号管理设备与所述主机和所述数据库的连接；

若待采集的账号信息为所述主机的账号信息，所述账号管理设备通过采集探针向所述主机发送采集指令，所述采集指令用于指示所述主机采集所述主机的账号信息；

若待采集的账号信息为所述数据库的账号信息，所述账号管理设备通过采集探针向所述数据库发送采集指令，所述采集指令用于查询所述数据库的账号信息。

第二方面，本发明提供一种账号管理设备，包括：

配置模块，用于根据所述账号管理设备与主机和数据库的连接参数，建立所述账号管理设备与所述主机和所述数据库的连接；

采集模块，用于若待采集的账号信息为所述主机的账号信息，通过采集探针向所述主机发送采集指令，所述采集指令用于指示所述主机采集所述主机的账号信息；

所述采集模块，还用于若待采集的账号信息为所述数据库的账号信息，通过采集探针向所述数据库发送采集指令，所述采集指令用于查询所述数据库的账号信息。

第三方面，本发明实施例提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现第一方面中任一项所述的方法。

第四方面，本发明实施例提供一种电子设备，包括：

处理器；以及

存储器，用于存储所述处理器的可执行指令；

其中，所述处理器配置为经由执行所述可执行指令来执行第一方面中任一项所述的方法。

本发明实施例提供的账号管理方法和设备，账号管理设备根据所述账号管理设备与主机和数据库的连接参数，建立所述账号管理设备与所述主机和所述数据库的连接；若待采集的账号信息为所述主机的账号信息，所述账号管理设备通过采集探针向所述主机发送采集指令，所述采集指令用于指示所述主机采集所述主机的账号信息；若待采集的账号信息为所述数据库的账号信息，所述账号管理设备通过采集探针向所述数据库发送采集指令，所述采集指令用于查询所述数据库的账号信息，运用探针采集方式，实现了账号自动采集，提高了管理效率，保证了用户账号信息的准确性，安全性。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本公开的实施例，并与说明书一起用于解释本公开的原理。

图1是本发明提供的账号管理方法一实施例的流程示意图；

图2是本发明提供的账号管理方法一实施例的交互示意图；

图3是本发明提供的账号管理方法另一实施例的流程示意图；

图4是本发明提供的账号管理方法一实施例的用户权限申请流程示意图；

图5是本发明提供的账号管理方法又一实施例的流程示意图；

图6是本发明提供的账号管理设备一实施例的结构示意图；

图7是本发明提供的电子设备实施例的结构示意图。

通过上述附图，已示出本公开明确的实施例，后文中将有更详细的描述。这些附图和文字描述并不是为了通过任何方式限制本公开构思的范围，而是通过参考特定实施例为本领域技术人员说明本公开的概念。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本公开相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本公开的一些方面相一致的装置和方法的例子。

本发明的说明书和权利要求书及所述附图中的术语“包括”和“具有”以及它们任何变形，意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元，而是可选地还包括没有列出的步骤或单元，或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。

首先对本发明所涉及的应用场景进行介绍：

本发明实施例提供的账号管理方法，应用于在对系统信息化管理中，对主机、数据库的账号信息的管理场景。由于用户账号数量巨大，一个主机，一个数据库往往有几十甚至上百个用户账号，每个用户账号的使用人、使用状态、账号权限各有不同，传统的用户账号管理和复核方法通常是半人工方式，系统管理员需要统计、整理主机、数据库的账号信息，难免出现遗漏、信息错误等问题。复核过程中，由于账号数量巨大，分类困难，复核工作量大。

本发明实施例的账号管理方法，通过账号管理设备与主机和数据库交互，运用探针采集方式，结合账号申请/变更、账号复核流程，实现账号自动管理，提高了用户账号信息的管理效率。

下面以具体的实施例对本发明的技术方案进行详细说明。下面这几个具体的实施例可以相互结合，对于相同或相似的概念或过程可能在某些实施例不再赘述。

图1是本发明提供的账号管理方法一实施例的流程示意图。如图1所示，本实施例提供的方法，包括：

步骤101、账号管理设备根据账号管理设备与主机和数据库的连接参数，建立账号管理设备与主机和数据库的连接。

具体的，账号管理设备根据与主机和数据库的连接参数，分别建立与主机和数据库的连接，其中，账号管理设备与主机的连接参数包括以下至少一项：ip地址、端口号；账号管理设备与数据库的连接参数包括以下至少一项：ip地址、数据库名称、数据库类型、统一资源定位符(uniformresourcelocator，简称url)。

其中，上述数据库部署在电子设备，如服务器上。

账号管理设备可以包括采集模块和账号维护模块，其中可以对采集模块的参数进行配置，采集模块的参数包括：与主机和数据库的连接参数，以及配置参数；

其中，配置参数包括资源类别、采集的资源指标等参数；

表1资源类别树表(restypetree)

表2资源类别树数据

表2中，资源类别分类名称，如aix主机对应的id为100-199。

表3资源表

表3中可以包括各个资源类别对应的资源的信息。

表4资源类别指标定义表(property)

表4中指标名称可以为待采集的信息，如主机的账号信息，如用户名、用户状态、创建时间等。

表5datatype数据

账号管理设备可以采集主机、数据库的账号信息，账号信息包括用户名和用户状态。其中，主机可以为多个主机，数据库也可以为多个数据库，而且一个主机或数据库可以包括多个用户的账号信息。

步骤102、若待采集的账号信息为所述主机的账号信息，所述账号管理设备通过采集探针向所述主机发送采集指令，所述采集指令用于指示所述主机采集所述主机的账号信息。

具体的，可以建立采集探针，将需要执行的采集指令配置到采集探针中，若待采集的账号信息为主机的账号信息，则向待采集的主机发送采集指令，指示主机采集该主机的账号信息。主机执行采集指令后将采集到的账号信息发送给账号管理设备。

步骤103、若待采集的账号信息为所述数据库的账号信息，所述账号管理设备通过采集探针向所述数据库发送采集指令，所述采集指令用于查询所述数据库的账号信息。

具体的，若待采集的账号信息为数据库的账号信息，则向待采集的数据库发送采集指令，查询该数据库的账号信息。

发送给数据库的采集指令可以为sql命令。

进一步的，可以将采集到的账号信息存储在用户账号信息基础数据库中，使用户账号管理方式更加安全、便捷、完整。

本实施例的方法，账号管理设备根据所述账号管理设备与主机和数据库的连接参数，建立所述账号管理设备与所述主机和所述数据库的连接；若待采集的账号信息为所述主机的账号信息，所述账号管理设备通过采集探针向所述主机发送采集指令，所述采集指令用于指示所述主机采集所述主机的账号信息；若待采集的账号信息为所述数据库的账号信息，所述账号管理设备通过采集探针向所述数据库发送采集指令，所述采集指令用于查询所述数据库的账号信息，运用探针采集方式，实现了账号自动采集，提高了管理效率，保证了用户账号信息的准确性，安全性。

在上述实施例的基础上，进一步的，步骤102具体可以通过如下方式实现：

所述账号管理设备通过所述采集探针向所述主机的采集程序发送所述采集指令；

相应的，所述账号管理设备通过采集探针向所述主机发送采集指令之后，还包括：

所述账号管理设备通过所述采集探针接收所述主机的采集程序在执行所述采集指令后发送的采集信息；所述采集信息包括所述主机的账号信息。

具体的，在待采集账号信息的主机上安装cmdserver采集程序，采集程序的连接参数，包括：ip地址、端口号，系统默认采集程序的端口号为9001。

建立采集探针probe，将需要执行的采集指令配置到采集探针probe中：

采集探针probe与主机的cmdserver采集程序之间通过套接字socket短连接进行同步通信，socket短连接传输的数据流由包头和包体组成，包头为包体的字节流长度，用10位表示，不足位前面补零。由采集探针probe向cmdserver采集程序发送要执行的采集指令，cmdserver采集程序执行完成后将采集到的账号信息通过socket短连接的数据流发送给采集探针probe。

在上述实施例的基础上，进一步的，步骤103具体可以通过如下方式实现：

账号管理设备通过所述采集探针向所述数据库的java数据库连接jdbc驱动程序发送所述采集指令。

具体的，待采集账号信息的数据库上开放jdbc的驱动程序，该数据库开放远程连接、查询所有表、查询所有视图权限。jdbc的驱动程序的连接参数，包括：ip地址、数据库名、数据库类型、连接url。

采集探针probe与数据库之间通过jdbc的驱动程序进行账号信息的查询，jdbc的驱动程序与数据库连接通过数据库连接池(databaseconnectionpool，简称dbcp)实现，连接池的最大连接数例如为1。当连接池中的当前连接数已经超过最大连接数时，新的连接请求需要等待其它连接归还连接。

在上述实施例的基础上，进一步的，本实施例的方法，还包括：

账号管理设备将采集到的账号信息，放置在中间件中；

所述账号管理设备对所述中间件中的信息进行提取，形成valuelist文件。

具体的，账号管理设备的采集模块，可以包括中间件，将通过采集探针采集的账号信息放置在中间件中，并提取中间件中的信息，形成valuelist文件。中间件中可以放置不同的系统主机、数据库对应的信息。

如图2所示，账号管理设备通过采集探针与主机的采集程序通信，采集模块在采集探针中配置采集指令，通过采集探针采集账号信息，还可以将采集信息放置在中间件中，采集模块从中间件中提取账号信息，并存储在数据库中。用户设备可以通过采集模块查看采集的账号信息，或者发送其他指示信息。

进一步的，账号管理设备通过用户权限申请流程工单搜集主机和/或数据库的账号信息；用户权限申请流程工单为用户申请所述主机和/或数据库的账号信息对应的权限的流程工单，所述用户权限申请流程工单中包括所述账号信息。

进一步的，账号管理设备的账号维护模块可以搜集主机、数据库的账号信息，具体可以包括如下几种方式：

1、账号维护模块从所述采集模块中获取账号信息。

具体的，如图3、图5所示，采集模块通过采集探针，采集主机、数据库的账号信息。账号维护模块从采集模块采集到的信息中获取主机、数据库的账号信息。

例如，剥离valuelist文件的信息，账号维护模块通过webservice接口从采集模块中获取valuelist文件的信息，例如：user_namevalue＝“zhanghaoa”(用户名)、account_status＝“open”(当前状态)、create_date＝“2016-01-01”(创建时间)模式的字符串文件。

账号维护模块可以创建用户信息表，如“t_account_handle_manage”。

账号维护模块根据从采集模块中获取的账号信息自动录入用户信息表数据，对经valuelist剥离形成的字符串文件进行遍历解析，将对应的数据写入t_account_handle_manage表中，形成用户账号信息记录如：“zhanghaoa，open，2016-01-01”。

由各系统管理员配置相应系统中用户的信息，如对应的系统名称、复核类型。

2、账号维护模块通过用户权限申请流程获取账号信息。

用户通过流程管理系统发起“用户权限申请流程”，将账号信息填写在用户权限申请流程工单中，由管理员审核，审核通过后账号维护模块自动获得用户填写的账号信息。

用户也可以通过用户权限申请流程对账号信息进行变更。

由用户在流程管理系统中进行账号权限的申请，如图4所示，用户提出申请，系统管理员审批，用户即申请人确认后提交主管审批，主管审批后再经过用户确认，流程结束。

如图3、图5所示，账号维护模块提取用户权限申请流程中相应的用户的账号信息、包括主机、数据库账号(包括用户名)、主机、数据库名称、使用的系统类型、申请人、确认人名称(确认人可以是申请人或主管等)、用户状态、申请时间等，加入到用户信息表中。

将用户权限申请流程提取的用户的账号信息，与通过采集探针获得的用户的账号信息进行比对，可以查找出用户账号管理中的漏洞，如不经过申请流程人为添加账号等情况。

3、账号维护模块通过管理员操作获取所述账号信息。

一方面，如图3所示，管理员可以直接对账号维护模块中的用户信息表进行操作，例如直接对用户信息表中账号信息进行增加，删除，修改等操作。

另一方面，可以通过管理员批量导入账号信息；

如图3所示，针对批量的账号信息的增加，管理员可批量导入用户信息表中。

本实施例中，可以以通过用户权限申请流程提取的账号信息、采集探针采集的账号信息为数据来源，构建用户账号信息基础数据库。其中，用户账号信息基础数据库具有独立的账号维护功能，可以查询、统计、增、删、修改，进一步的，用户账号信息基础数据库可通过账号复核流程反馈的结果自动进行维护，也可通过用户权限申请流程或系统管理员按需进行维护，保证了用户账号信息的安全、可靠，保密性。

在上述实施例的基础上，进一步的，本实施例的方法还包括：

账号管理设备将搜集到的账号信息通过流程工单发送给用户设备，以使所述用户设备对所述账号信息进行复核；

账号管理设备接收所述用户设备发送的复核结果信息，并对所述复核结果信息中包括的账号信息进行再次复核。

具体的，账号维护模块将收集到的账号信息定期复核。

如图3、图5所示，账号维护模块将收集到账号信息通过流程工单方式，定期发送给用户(用户设备)。

用户接收到流程工单，在流程工单上确认账号权限是否删除，修改等。

用户复核完毕，流程工单到达管理员，管理员在流程工单上对账号信息再次确认。

管理员确认完毕，关闭流程工单，账号信息自动回传到账号维护模块中，进行自动更新操作。

如图3所示，管理员还可以通过账号维护模块中存储的账号信息查询并生成各种报表。

具体可以通过如下方式实现：

根据预设要求，由系统管理员发起账号复核流程。

系统管理员(发起人)发起“账号复核流程”，将t_account_handle_manage表中的用户账号信息发送至流程管理系统中，如该用户(即使用人)的“待办事宜”中，如：对zhanghaoa进行复核：在“zhanghaoa”的“待办事宜”中有请求对“zhanghaoa,gaoyang，高杨，bss，是否在用”确认的工作任务，“zhanghaoa”确认后，系统管理员(发起人)将会收到复核结果信息，如：“zhanghaoa,gaoyang，高杨，bss，停用”，系统管理员将根据复核结果信息调整存储的账号信息，完成账号复核的工作，此外，复核结果信息可以自动更新到t_account_handle_manage中对应的记录中，如:“zhanghaoa，bss，gaoyang，open，主机，2016-01-01，停用，已复核”。

本实施例中，通过流程工单方式将需要复核的用户账号及权限发送给使用人，经使用人和系统管理员确认后，最新的用户账号信息自动更新到用户账号信息基础数据库中，使得用户账号信息更准确、安全、有迹可查，查询用户账号信息更快捷。用户账号复核过程完全为系统自动实现，系统管理员只需在内控要求的时间段内发起账号复核流程，复核结果信息会通过系统自动生成，无需人工参与，从而保证了用户账号信息的完整性、统一性、正确性。

综上，本发明实施例的方法，通过采集主机和数据库账号信息，自动分类，并写入数据库，对用户账号信息进行统一管理，并与办公流程管理系统结合，把用户权限申请流程及自动采集的用户账号信息作为账号复核流程的入口，与账号复核流程形成闭环管理，对账号信息进行有痕迹的管理，既提高了账号复核的效率，又提高了账号维护的安全性、准确性。

图6为本发明提供的账号管理设备一实施例的结构图，如图6所示，本实施例的账号管理设备，包括：

配置模块601，用于根据所述账号管理设备与主机和数据库的连接参数，建立所述账号管理设备与所述主机和所述数据库的连接；

采集模块602，用于若待采集的账号信息为所述主机的账号信息，通过采集探针向所述主机发送采集指令，所述采集指令用于指示所述主机采集所述主机的账号信息；

所述采集模块602，还用于若待采集的账号信息为所述数据库的账号信息，通过采集探针向所述数据库发送采集指令，所述采集指令用于查询所述数据库的账号信息。

可选的，所述账号管理设备与所述主机的连接参数包括以下至少一项：ip地址、端口号；所述账号管理设备与所述数据库的连接参数包括以下至少一项：ip地址、数据库名称、数据库类型、统一资源定位符url。

可选的，所述采集模块602，具体用于：

通过所述采集探针向所述主机的采集程序发送所述采集指令；

相应的，所述采集模块602，具体用于：

通过所述采集探针接收所述主机的采集程序在执行所述采集指令后发送的采集信息；所述采集信息包括所述主机的账号信息。

可选的，所述采集模块602，具体用于：

通过所述采集探针与所述主机的采集程序建立的套接字socket短连接向所述主机的采集程序发送所述采集指令；

通过所述socket短连接接收所述主机的采集程序发送的所述采集信息。

可选的，所述采集模块602，具体用于：

通过所述采集探针向所述数据库的java数据库连接jdbc驱动程序发送所述采集指令。

可选的，所述采集模块602，还用于：

将采集到的账号信息，放置在中间件中；

对所述中间件中的信息进行提取，形成valuelist文件。

可选的，还包括：

账号维护模块603，用于通过用户权限申请流程工单搜集主机和/或数据库的账号信息；所述用户权限申请流程工单为用户申请所述主机和/或数据库的账号信息对应的权限的流程工单，所述用户权限申请流程工单中包括所述账号信息。

可选的，账号维护模块603，还用于：

将搜集到的账号信息通过流程工单发送给用户设备，以使所述用户设备对所述账号信息进行复核；

接收所述用户设备发送的复核结果信息，并对所述复核结果信息中包括的账号信息进行再次复核。

本实施例的装置，可以用于执行上述方法实施例的技术方案，其实现原理和技术效果类似，此处不再赘述。

图7为本发明提供的电子设备实施例的结构图，如图7所示，该电子设备包括：

处理器701，以及，用于存储处理器701的可执行指令的存储器702。

可选的，还可以包括：通信接口703，用于与其他设备通信。

上述部件可以通过一条或多条总线进行通信。

其中，处理器701配置为经由执行所述可执行指令来执行前述方法实施例中对应的方法，其具体实施过程可以参见前述方法实施例，此处不再赘述。

本发明实施例中还提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现前述方法实施例中对应的方法，其具体实施过程可以参见前述方法实施例，其实现原理和技术效果类似，此处不再赘述。

本领域技术人员在考虑说明书及实践这里公开的发明后，将容易想到本公开的其它实施方案。本发明旨在涵盖本公开的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本公开的真正范围和精神由下面的权利要求书指出。

应当理解的是，本公开并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本公开的范围仅由所附的权利要求书来限制。