一种基于二维安全标记的双重访问权限控制方法及系统技术方案

本发明专利技术公开了一种基于二维安全标记的双重访问权限控制方法及系统，包括：对用户和业务资源进行分级，进行安全标记。安全标记代表数据安全的属性，将安全标记分为标记类型和标记等级两个维度，细粒度的控制用户和业务资源的安全权限。访问系统时，用户携带登录凭证、待访问业务资源标识、访问类型向系统的鉴权服务发出请求，鉴权服务根据访问类型的不同对登录账户和待访问业务资源的安全标记进行匹配运算、判断用户的角色授权情况的双重权限控制模式，最终判定用户是否具有资源的访问控制权限。本发明专利技术通过对账户和业务资源的安全属性的细粒度分类控制和用户角色授权的双重权限控制模式，实现系统访问的精确化控制，提高了系统访问的安全性。统访问的安全性。统访问的安全性。

【技术实现步骤摘要】
一种基于二维安全标记的双重访问权限控制方法及系统


[0001]本专利技术属于电网调度自动化
，具体涉及一种基于二维安全标记的双重访问权限控制方法及系统。

技术介绍

[0002]随着电网调度自动化水平的提高，加强权限控制以保障电力调度自动化系统的安全日益重要。传统的电网调度自动化系统用户以特定角色访问系统资源，访问控制机制仅检查角色的权限，只要用户拥有某个角色，就可以使用该角色的所有权限，但对系统中调度人员、管理人员等不同使用者以及他们能操作的客体资源的安全等级没有进行有效的、细粒度的分类和控制，无法适应电力调度自动化系统日益增长的安全需求。

技术实现思路

[0003]专利技术目的：为了解决现有电网调度自动化系统中不同使用者能操作的客体资源的安全等级没有进行有效分类和控制的问题，本专利技术提出了一种基于二维安全标记的双重访问权限控制方法及系统。
[0004]技术方案：一种基于二维安全标记的双重访问权限控制方法，对主体登录帐户和客体业务资源数据本身进行安全标记；所述安全标记分为标记类型和标记等级两个维度；
[0本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于二维安全标记的双重访问权限控制方法，其特征在于：对主体登录帐户和客体业务资源数据本身进行安全标记；所述安全标记分为标记类型和标记等级两个维度；进行业务资源访问时，包括以下步骤：步骤1：获取用户请求，该用户请求中携带了登录凭证、待访问的业务资源标识RES_URL和访问类型ACTIONTYPE；步骤2：根据当前用户的访问类型ACTIONTYPE，判断当前操作是否为查询操作QUERYACTION；若访问类型ACTIONTYPE为查询操作QUERYACTION，则根据查询类型的安全鉴权和用户角色鉴权共同确定用户的访问权限并返回鉴权结果；若访问类型ACTIONTYPE为非查询操作，则根据非查询操作的安全鉴权和用户角色鉴权确定用户的控制权限并返回鉴权结果。2.根据权利要求1所述的一种基于二维安全标记的双重访问权限控制方法，其特征在于：若访问类型ACTIONTYPE为查询操作QUERYACTION时，根据查询类型的安全鉴权和用户角色鉴权共同确定用户的访问权限并返回鉴权结果，包括以下步骤：从登陆凭证中解析出登录帐户，根据登录帐户查询获得用户安全标记中查询操作QUERYACTION的等级配置USER_SECURITY_QUERYLEVER；从用户请求中获得待访问的业务资源标识RES_URL，根据业务资源标识RES_URL查询获得待访问业务资源安全标记中查询操作QUERYACTION的等级配置RES_SECURITY_QUERYLEVER；比较用户安全标记的等级配置USER_SECURITY_QUERYLEVER和待访问业务资源安全标记的等级配置RES_SECURITY_QUERYLEVER，若安全检查通过，则进行用户角色鉴权来确定用户的访问权限，否则判定该用户不具备业务资源的访问权限，拒绝访问并返回。3.根据权利要求1所述的一种基于二维安全标记的双重访问权限控制方法，其特征在于：若访问类型ACTIONTYPE为非查询类型时，根据非查询操作的安全鉴权和用户角色鉴权确定用户的控制权限并返回鉴权结果，包括以下步骤：从登陆凭证中解析出登录帐户，根据登录帐户查询获得用户安全标记中查询操作QUERYACTION的等级配置USER_SECURITY_QUERYLEVER和当前操作类型对应的等级配置USER_SECURITY_LEVER；从用户请求中获得待访问的业务资源标识RES_URL，根据业务资源标识RES_URL，查询获得待访问业务资源安全标记中查询操作QUERYACTION的等级配置RES_SECURITY_QUERYLEVER和待访问业务资源安全标记中当前操作类型对应的等级配置RES_SECURITY_LEVER；匹配运算等级配置USER_SECURITY_QUERYLEVER、等级配置USER_SECURITY_LEVER和等级配置RES_SECURITY_QUERYLEVER、等级配置RES_SECURITY_LEVER，若安全检查通过，则进行用户角色鉴权来确定用户的控制权限，否则判定该用户不具备业务资源的控制权限，拒绝并返回鉴权结果。4.根据权利要求2或3所述的一种基于二维安全标记的双重访问权限控制方法，其特征在于：所述的用户角色鉴权，包括如下步骤：从登陆凭证中解析出登录帐户，通过登录帐户获得该登录帐户的授权角色；
若登录帐户配置了角色，则根据用户请求中的待访问的业务资源标识RES_URL判定角色是否具有该业务资源的控制权限，并返回鉴权结果；若登录帐户未配置角色，则查询是否有默认角色，若有，则根据用户请求中的待访问的业务资源标识RES_URL判断该默认角色是否具有该业务资源的控制权限，并返回鉴权结果；否则判定该用户不具备业务资源的控制权限，拒绝并返回。5.一种基于二维安全标记的双重访问权限控制系统，其特征在于：包括如下...

【专利技术属性】
技术研发人员：周玲，宋奇兵，季惠英，陈云，季学纯，彭晖，孙云枫，翟明玉，
申请(专利权)人：国电南瑞科技股份有限公司，
类型：发明
国别省市：