针对电力信息系统的身份集中授权管理方法技术方案

本发明专利技术公开了针对电力信息系统的身份集中授权管理方法及应用层结构，包括以下步骤：建立身份数据业务模型，将企业所有用户、组织、岗位构成的身份数据建立成模型；建立权限受控资源管理中心，构建企业资源信息系统模型；所述企业资源信息系统模型包括：业务域、组织体系、应用系统、组织性质、业务组织、业务角色、组织角色、资源模型、资源、策略；构建以角色为中心的授权模型，通过对用户进行岗位指派的方式来为用户分配相应的权限；建立公共的身份鉴权服务，为信息系统提供权限决策；满足信息系统权限管理所需，将企业身份数据进行统一管理，所有的受控资源对象或资源抽象对象进行集中管理，有效提高管理效率、降低生产及管理成本。

【技术实现步骤摘要】
针对电力信息系统的身份集中授权管理方法
本专利技术涉及信息系统控制、电力系统控制等
，具体的说，是针对电力信息系统的身份集中授权管理方法。
技术介绍
在电力行业中，信息管理系统种类繁多，不同的信息管理系统在访问控制方面采用的技术不尽相同，在访问控制领域，RBAC模型是一个经常被引用的模型，是保障企业信息系统安全的一项重要技术。RBAC的基本概念就是把权限和角色联系在一起，然后给用户指派合适的角色，用户通过其指派的角色取得相应的权限，整个访问控制过程就被分为了两个部分：访问权限与角色相关联，角色再与用户相关联，从而实现了用户与访问权限的逻辑分离。随着企业的发展壮大及现代信息技术的发展，信息化应用越来越广，信息系统安全和管控越来越重要，一种能有效解决信息系统控制、电力系统控制等
中统一权限管理方法是为迫切需要。
技术实现思路
本专利技术的目的在于提供针对电力信息系统的身份集中授权管理方法，满足信息系统权限管理所需，将企业身份数据进行统一管理，所有的受控资源对象或资源抽象对象进行集中管理，有效提高管理效率、降低生产及管理成本。本专利技术通过下述技术方案实现：针对电力信息系统的身份集中授权管理方法，包括以下步骤：步骤A：建立身份数据业务模型，将企业所有用户、组织、岗位构成的身份数据建立成模型；步骤B：建立权限受控资源管理中心，通过步骤A所提供的身份数据业务模型构建信息系统的权限资源内容，以便对其进行权限指派；将企业的所有信息系统资源按照业务域进行划分，并构建企业资源信息系统模型；步骤C：构建以角色为中心的授权模型，通过对用户进行岗位指派的方式来为用户分配相应的权限；步骤D：建立公共的身份鉴权服务，为信息系统提供权限决策。进一步的，为更好的实现本专利技术，在所述步骤B中，所述企业资源信息系统模型包括：业务域、组织体系、应用系统、组织性质、业务组织、业务角色、组织角色、资源模型、资源、策略；进一步的，为更好的实现本专利技术，所述步骤B包含如下步骤：步骤B.1、企业在新建一个企业资源信息系统时，首先要定义企业资源信息系统所在企业的业务域，进行业务域划分，并整理识别企业资源信息系统所涵盖的组织范围；步骤B.2、企业资源信息系统在首次使用时，从企业信息资源规划的整体上出发，即自上而下的规划，并根据企业信息资源规划完成业务域和组织体系的初始化；步骤B.3、经步骤B.2，如果业务域或组织体系不存在，则需要先梳理出该业务域所参与的组织部门及企业资源信息系统的业务需求，并结合企业资源信息系统模型中的组织完成组织体系、组织性质、业务组织的建立；如果已经存在，则根据企业资源信息系统所属业务域选择对应的组织体系即可；步骤B.4、建立应用系统，完成业务需求在应用系统划分，并进一步完成业务角色的梳理，构建各个应用系统的业务角色；步骤B.5、经步骤B.4，通过应用系统的业务信息梳理，建立资源分类，并根据应用系统的权限控制业务要求建立资源模型的定义及资源模型的操作，进一步完成业务角色与资源的指派。进一步的，为更好的实现本专利技术，所述步骤B.3中，业务角色的建立是企业信息规划，自上而下根据应用系统业务需求进行业务信息分析建立，并直接派生为系统的组织角色。进一步的，为更好的实现本专利技术，所述步骤B.5中，应用系统的资源模型的定义，能够更好的满足各个应用系统资源的抽象定义，进而覆盖其资源权限控制。进一步的，为更好的实现本专利技术，所述步骤C中，通过为岗位分配组织角色方式和为岗位分配策略方式来构建以角色为中心的授权模型；为岗位分配组织角色方式，组织角色的权限建立是通过业务角色的权限指派派生而来，或组织角色根据场景进行权限自定义；组织角色采用应用系统进行安全域隔离，岗位和组织角色是多对多的关系；为岗位分配策略方式，策略部分采用XACML进行描述定义，每个策略都有一个目标，将策略目标设置为对应应用策略的岗位，岗位的属性值与请求带有的属性值匹配，则认为与此策略相关，应用此策略所定义的规则对请求进行验证。策略采用应用系统进行安全域隔离，岗位和策略是一对多的关系。进一步的，为更好的实现本专利技术，在所述为岗位分配策略方式中，策略的定义范围需覆盖所有的应用系统的资源，采用XACML可根据应用系统的业务权限需求建模，从而能够覆盖企业所有信息系统的权限要求。进一步的，为更好的实现本专利技术，所述步骤D中，主要包括身份的认证控制和身份资源的访问控制：身份的认证控制，用户在访问企业资源信息系统模型时，采用基于SAML进行身份验证和识别，需要提交用户的身份验证请求，完成身份的识别认证，包括以下步骤：步骤D1.1、用户通过源站点认证并向它请求到目标站点受保护资源的链接；步骤D1.2、源站点使用验证标志重新定向主体；步骤D1.3、用户使用该标志向目标站点请求受保护的资源；步骤D1.4、目标站点PEP检查该PDP的权限；步骤D1.5、PDP内部请求源站点使用该标志进行SAML验证断言；步骤D1.6、源站点根据标志向目标站点提供SAML验证断言；步骤D1.7、目标站点向源站点发送SAML令牌，用户接收令牌访问目标站点受保护的资源；通过步骤D1.1-步骤D1.7的方式，当用户请求访问目标站点时，用户信息可由目标站点通过SAML标志直接从源站点请求获得，不需要用户的再一次输入；身份资源的访问控制，不同用户在进行访问企业资源信息系统时，将进行应用系统身份资源权限鉴别，在应用系统身份资源权限鉴别时采用如下两种处理方式：D2.1、基于组织角色授权的资源权限鉴权：D2.1.1、首先根据资源的安全域进行计算出用户的组织角色，因组织角色指派给岗位，岗位被分配给用户，基于以上可计算出资源被访问的当前用户所拥有的组织角色；D2.1.2、计算出组织角色所派生的业务角色，并结合业务角色所访问的资源为基础与其派生的组织角色资源进行耦合；所述D2.1.2中所采用的计算规则为：最终资源访问权限为组织角色继承业务角色资源后进行的个性化权限调整后的结果；D2.2、基于策略的资源权限鉴权：D2.2.1、应用系统通过基于XACML规范向PDP发出资源访问请求，PDP首先根据资源的安全域进行计算出用户的策略，因策略指派给岗位，岗位被分配给用户，基于以上可计算出资源被访问的当前用户所拥有的策略；D2.2.2、PDP通过加载策略库，并依据应用系统的XACML描述的访问控制策略做出访问控制决策。进一步的，为更好的实现本专利技术，所述岗位只属于组织下，一个岗位只属于一个组织而不存在分属多个组织之下，所述岗位只具有分配策略和组织角色权限。本专利技术与现有技术相比，具有以下优点及有益效果：（1）本专利技术满足信息系统权限管理所需，将企业身份数据进行统一管理，所有的受控资源对象或资源抽象对象进行集中管理，受控资源对象或资源抽象对象进行系统域划分，使其不同域之间互不干扰、单独管理，有效提高管理效率、降低生产及管理成本。（2）本专利技术能解决因权限模型不一致、权限管理分散、不统一原因，造成的不利于企业对身份权限的集中管控，和给企业留下一定的安全隐患的弊端。（3）本专利技术能解决因企业信息化的推进，各类业务应用系统大势新建，各个系统之间身份、权限管理独立，造成系统间的信息共享壁垒。（4）本专利技术能打破各应用系统间的信息孤岛，降低维护管理成本，切实有效的保证用户身份、权限信本文档来自技高网...

【技术保护点】
针对电力信息系统的身份集中授权管理方法，其特征在于：包括以下步骤：步骤A：建立身份数据业务模型，将企业所有用户、组织、岗位构成的身份数据建立成模型；步骤B：建立权限受控资源管理中心，通过步骤A所提供的身份数据业务模型构建信息系统的权限资源内容，以便对其进行权限指派；将企业的所有信息系统资源按照业务域进行划分，并构建企业资源信息系统模型；步骤C：构建以角色为中心的授权模型，通过对用户进行岗位指派的方式来为用户分配相应的权限；步骤D：建立公共的身份鉴权服务，为信息系统提供权限决策。

【技术特征摘要】
1.针对电力信息系统的身份集中授权管理方法，其特征在于：包括以下步骤：步骤A：建立身份数据业务模型，将企业所有用户、组织、岗位构成的身份数据建立成模型；步骤B：建立权限受控资源管理中心，通过步骤A所提供的身份数据业务模型构建信息系统的权限资源内容，以便对其进行权限指派；将企业的所有信息系统资源按照业务域进行划分，并构建企业资源信息系统模型，所述企业资源信息系统模型包括：业务域、组织体系、应用系统、组织性质、业务组织、业务角色、组织角色、资源模型、资源、策略，其具体包含如下步骤：步骤B.1、业务域划分，整理识别组织范围，企业在新建一个企业资源信息系统时，首先要定义企业资源信息系统所在企业的业务域，进行业务域划分，并整理识别企业资源信息系统所涵盖的组织范围；步骤B.2、业务域与组织体系的初始化，企业资源信息系统在首次使用时，从企业信息资源规划的整体上出发，即自上而下的规划，并根据企业信息资源规划完成业务域和组织体系的初始化；步骤B.3、经步骤B.2，如果业务域或组织体系不存在，则需要先梳理出该业务域所参与的组织部门及企业资源信息系统的业务需求，并结合企业资源信息系统模型中的组织完成组织体系、组织性质、业务组织的建立；如果已经存在，则根据企业资源信息系统所属业务域选择对应的组织体系即可；步骤B.4、建立应用系统，完成业务需求在应用系统划分，并进一步完成业务角色的梳理，构建各个应用系统的业务角色；步骤B.5、经步骤B.4，通过应用系统的业务信息梳理，建立资源分类，并根据应用系统的权限控制业务要求建立资源模型的定义及资源模型的操作，进一步完成业务角色与资源的指派；步骤C：构建以角色为中心的授权模型，通过对用户进行岗位指派的方式来为用户分配相应的权限；步骤D：建立公共的身份鉴权服务，为信息系统提供权限决策。2.根据权利要求1所述的针对电力信息系统的身份集中授权管理方法，其特征在于：所述步骤B.3中，业务角色的建立是企业信息规划，自上而下根据应用系统业务需求进行业务信息分析建立，并直接派生为系统的组织角色。3.根据权利要求1所述的针对电力信息系统的身份集中授权管理方法，其特征在于：所述步骤B.5中，应用系统的资源模型的定义，满足各个应用系统资源的抽象定义，覆盖其资源权限控制。4.根据权利要求1所述的针对电力信息系统的身份集中授权管理方法，其特征在于：所述步骤C中，通过为岗位分配组织角色方式和为岗位分配策略方式来构建以角色为中心的授权模型：为岗位分配组织角色方式，组织角色的权限建立是通过业务角色的权限指派派生而来，或组织角色根据场景进行权限自定义；组织角色采用应用系统进行安全域隔离，岗位和组织角色是多对多的关系；为岗位分配策略方式，策略部...

【专利技术属性】
技术研发人员：张捷，张慧，胡超阳，吴桐，胡州明，张晓韬，梁楷，姜志航，肖建飞，马常惠，
申请(专利权)人：四川中电启明星信息技术有限公司，
类型：发明
国别省市：四川;51