一种实现多级架构之间认证漫游和鉴权的方法
申请人信息
- 申请人:西安热工研究院有限公司; 华能集团技术创新中心有限公司
- 申请人地址:710048 陕西省西安市碑林区兴庆路136号
- 发明人: 西安热工研究院有限公司; 华能集团技术创新中心有限公司
专利详细信息
| 项目 | 内容 |
|---|---|
| 专利名称 | 一种实现多级架构之间认证漫游和鉴权的方法 |
| 专利类型 | 发明授权 |
| 申请号 | CN202210843232.8 |
| 申请日 | 2022/7/18 |
| 公告号 | CN115189958B |
| 公开日 | 2024/1/19 |
| IPC主分类号 | H04L9/40 |
| 权利人 | 西安热工研究院有限公司; 华能集团技术创新中心有限公司 |
| 发明人 | 毕玉冰; 杨东; 肖力炀; 崔逸群; 刘超飞; 曾荣汉; 胥冠军; 朱博迪; 刘迪; 刘骁; 王文庆; 邓楠轶; 董夏昕; 朱召鹏; 介银娟; 王艺杰; 崔鑫 |
| 地址 | 陕西省西安市碑林区兴庆路136号; 北京市西城区复兴门内大街6号楼三层A312 |
摘要文本
本发明涉及电力系统网络安全技术领域,公开了一种实现多级架构之间认证漫游和鉴权的方法,包括以下步骤:S1、多级架构账号注册管理;S2、账号集中认证管理;S3、账号授权管理;S4、账号鉴权管理;S5、账号权限控制。本发明通过对电力系统中的用户身份进行认证和鉴权,具备全网集中的账号管理能力,能够对全网账号进行集中化、标准化、可视化管理,具备全网统一的认证能力,能够对全网人员和业务认证提供标准化、服务化管理,具备全网统一的鉴权能力,能够提升鉴权智慧程度,落实鉴权管理,实现真正有效的鉴权,具有增强型的平台安全支持能力,为业务系统提供安全增强支持,避免了电力系统受到异常攻击,提高了电力系统的网络安全。
专利主权项内容
1.一种实现多级架构之间认证漫游和鉴权的方法,其特征在于,具体包括以下步骤:S1、多级架构账号注册管理步骤:通过一级系统负责电力总公司的账号集中注册管理;通过二级系统负责电力二级单位的账号集中注册管理;通过三级系统负责电力三级单位的账号集中注册管理,实现多级架构的账号注册管理;S2、账号集中认证管理步骤:由电力总公司、二级单位和三级单位的本地用户分别在本地完成账号集中认证管理;所述账号集中认证服务管理包括支持全面的认证方式、高复杂度和高适配性相结合的认证策略管理、跨应用的接口对接能力和定制的认证组件;全面的认证方式可与外部认证系统对接以实现各种认证方式及组合,包括:动态口令、静态口令、手机令牌、二维码扫描认证、数字证书认证、短信认证、指纹、虹膜和人脸识别;认证策略管理包括访问时间控制策略、访问地址控制策略、访问周期控制策略和访问账号控制策略,且高复杂度和高适配性相结合的认证策略管理根据用户访问的资源类型、访问数据的敏感程度、访问经过的网络路径、登录时间,确定不同的安全等级;跨应用的接口对接能力包括与CA系统实现认证以及与FIDO实现认证对接;定制的认证组件包括移动认证SDK插件、认证JSSDK插件和认证后台;S3、账号授权管理步骤:分别进行资源管理、访问授权管理、分组授权管理和授权自服务管理;S4、账号鉴权管理步骤:分别对账号登录、访问操作记录、系统管理日志和用户视图进行鉴权,鉴权的手段包括异常行为分析、报表查询、安全预警;S5、账号权限控制步骤:分别对账号口令策略、时间限制策略、账号管理场景、账号组织管理和账号特殊状态管理进行控制;其中账号特殊状态管理包括长期未用账号管理、异常事件登录账号管理、异地登录账号管理和异地同时登录账号管理。