本发明专利技术涉及电力系统网络安全技术领域,公开了一种实现多级架构之间认证漫游和鉴权的方法,包括以下步骤:S1、多级架构账号注册管理;S2、账号集中认证管理;S3、账号授权管理;S4、账号鉴权管理;S5、账号权限控制。本发明专利技术通过对电力系统中的用户身份进行认证和鉴权,具备全网集中的账号管理能力,能够对全网账号进行集中化、标准化、可视化管理,具备全网统一的认证能力,能够对全网人员和业务认证提供标准化、服务化管理,具备全网统一的鉴权能力,能够提升鉴权智慧程度,落实鉴权管理,实现真正有效的鉴权,具有增强型的平台安全支持能力,为业务系统提供安全增强支持,避免了电力系统受到异常攻击,提高了电力系统的网络安全。提高了电力系统的网络安全。
【技术实现步骤摘要】
一种实现多级架构之间认证漫游和鉴权的方法
[0001]本专利技术涉及电力系统网络安全
,具体是一种实现多级架构之间认证漫游和鉴权的方法。
技术介绍
[0002]在电力行业,特别是大型电力企业,组织结构层次复杂、数量众多,其通常由集团总部、二级单位、三级单位等多级系统架构组成,规模大,结构复杂,电力应用系统中的用户身份管理的复杂程度也达到了前所未有的高度,弱口令、僵尸账号、冗余账号、账号冒用、钓鱼用户、重复登录、异地登录、多样性访问、分散管理、审计弱化等与用户安全有关的问题也开始浮出水面,成为制约电力企业生态系统建设、威胁其网络安全、影响用户体验的主要问题。
[0003]电力应用系统中的用户身份管理是网络安全的基础,也是网络安全体系中最薄弱、管理难度最大、管理成本最高的环节,同时也是攻击者开展攻击的首选目标和方向,然而现有的电力应用系统存在用户身份的认证和鉴权安全性不高,容易受到异常攻击的问题。
技术实现思路
[0004]本专利技术的目的在于提供一种实现多级架构之间认证漫游和鉴权的方法,以解决上述
技术介绍
中提出的问题。
[0005]为实现上述目的,本专利技术提供如下技术方案:
[0006]提供一种实现多级架构之间认证漫游和鉴权的方法,具体包括以下步骤:
[0007]S1、多级架构账号注册管理步骤:通过一级系统负责电力总公司的账号集中注册管理;通过二级系统负责电力二级单位的账号集中注册管理;通过三级系统负责电力三级单位的账号集中注册管理,实现多级架构的账号注册管理;<br/>[0008]S2、账号集中认证管理步骤:由电力总公司、二级单位和三级单位的本地用户分别在本地完成账号集中认证管理;所述账号集中认证服务管理包括支持全面的认证方式、高复杂度和高适配性相结合的认证策略管理、跨应用的接口对接能力和定制的认证组件;
[0009]S3、账号授权管理步骤:分别进行资源管理、访问授权管理、分组授权管理和授权自服务管理;
[0010]S4、账号鉴权管理步骤:分别对账号登录、访问操作记录、系统管理日志和用户视图进行鉴权,鉴权的手段包括异常行为分析、报表查询、安全预警;
[0011]S5、账号权限控制步骤:分别对账号口令策略、时间限制策略、账号管理场景、账号组织管理和账号特殊状态管理进行控制。
[0012]优选的,所述S1步骤中的账号注册管理包括自注册服务、证书管理服务、个人信息变更服务、应用市场服务和安全设置服务。
[0013]优选的,所述S2步骤中全面的认证方式可与外部认证系统对接以实现各种认证方
式及组合;
[0014]所述S2步骤中的高复杂度和高适配性相结合的认证策略管理根据用户访问的资源类型、访问数据的敏感程度、访问经过的网络路径、登录时间,确定不同的安全等级;
[0015]所述S2步骤中的跨应用的接口对接能力包括与CA系统实现认证以及与FIDO实现认证对接;
[0016]所述S2步骤中的定制的认证组件包括移动认证SDK插件、认证JSSDK插件和认证后台。
[0017]优选的,所述S2步骤中的账号集中认证管理的流程包括:
[0018]S11、访问服务:认证组件发送请求访问应用系统提供的服务资源;
[0019]S12、定向认证:认证组件会重定向用户请求到SSO服务器;
[0020]S13、用户认证:用户身份认证;
[0021]S14、发放票据:系统服务器会产生一个经过SM4算法加密的令牌;
[0022]S15、验证票据:系统服务器验证令牌的合法性,验证通过后,允许客户端访问服务;
[0023]S16、传输用户信息:系统服务器验证票据通过后,传输用户认证结果信息给客户端。
[0024]优选的,所述S2步骤中账号集中认证管理通过全面的单点登录协议覆盖、广泛的单点登录场景及认证场景覆盖、跨应用形态的认证支持、多层级的管理要求和融合网络的认证,以解决整个电力公司应用系统中庞大数量的应用一键登录和处处漫游的问题,且用户只需登录一次就能访问所有相互信任的应用系统。
[0025]优选的,所述S4步骤中异常行为分析是通过日常行为基线对用户行为动作进行分析,以判断异常行为,异常行为内容包括登录行为异常、认证行为异常、操作行为异常、无账号异常、同一IP多个账号登录;
[0026]所述S4步骤中安全预警根据异常行为分析后产生的待鉴权信息,待鉴权信息经后台管理员审核后确认是否需要告警,预警方式包括短信通知、图形化界面显示、以及通过工单接口将预警信息发送给相应的审计人员;预警内容包括事件预警、预警明细信息和处理建议。
[0027]优选的,所述S5步骤中的账号口令策略包括账号密码最小值最大值长度限制、密码复杂度、可用特殊字符、密码有效期、逾期提醒时间、密码不得重复次数、允许密码错误次数,密码锁定后,可由管理员解锁;
[0028]所述S5步骤中的时间限制策略用于对登录时间进行控制;
[0029]所述S5步骤中的账号管理场景包括账号注册与应用关联管理、账号冻结与禁用场景以及人员调用场景组成;
[0030]所述S5步骤中的账号组织管理按树状目录展示主账号组织;
[0031]所述S5步骤中的账号特殊状态管理包括长期未用账号管理、异常事件登录账号管理、异地登录账号管理、异地同时登录账号管理。
[0032]与现有技术相比,本专利技术至少具有如下有益的技术效果:
[0033]本专利技术通过多级架构账号注册管理、账号集中认证管理、账号授权管理、账号鉴权管理和账号权限控制,对电力系统中的用户身份进行认证和鉴权,具备全网集中的账号管
理能力,能够对全网账号进行集中化、标准化、可视化管理,具备全网统一的认证能力,能够对全网人员和业务认证提供标准化、服务化管理,具备全网统一的鉴权能力,能够提升鉴权智慧程度,落实鉴权管理,实现真正有效的鉴权,具有增强型的平台安全支持能力,为业务系统提供安全增强支持,避免了电力系统受到异常攻击,提高了电力系统的网络安全。
具体实施方式
[0034]本专利技术实施例中,一种实现多级架构之间认证漫游和鉴权的方法,包括以下步骤:
[0035]S1、多级架构账号注册管理:通过一级系统负责电力总公司的账号集中注册管理;通过二级系统负责电力二级单位的账号集中注册管理;通过三级系统负责电力三级单位的账号集中注册管理,实现多级架构的账号注册管理;
[0036]S2、账号集中认证管理:由电力总公司、二级单位和三级单位的本地用户分别在本地完成账号集中认证管理,电力总公司用户到二级单位的认证,先由二级单位先在本地查询,本地没有,由二级单位转发认证请求到总公司,由总公司完成认证,同理,二级单位用户到三级单位的认证,先由三级单位先在本地查询,本地没有,由三级单位转发认证请求到二级单位,由二级单位完成认证;支持电力总公司、二级单位和三级单位的本地用户分别访问各自应用,支持总公司用户访问二级系统,二级单位用户访问三级系统,支持二级单位互访本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种实现多级架构之间认证漫游和鉴权的方法,其特征在于,具体包括以下步骤:S1、多级架构账号注册管理步骤:通过一级系统负责电力总公司的账号集中注册管理;通过二级系统负责电力二级单位的账号集中注册管理;通过三级系统负责电力三级单位的账号集中注册管理,实现多级架构的账号注册管理;S2、账号集中认证管理步骤:由电力总公司、二级单位和三级单位的本地用户分别在本地完成账号集中认证管理;所述账号集中认证服务管理包括支持全面的认证方式、高复杂度和高适配性相结合的认证策略管理、跨应用的接口对接能力和定制的认证组件;S3、账号授权管理步骤:分别进行资源管理、访问授权管理、分组授权管理和授权自服务管理;S4、账号鉴权管理步骤:分别对账号登录、访问操作记录、系统管理日志和用户视图进行鉴权,鉴权的手段包括异常行为分析、报表查询、安全预警;S5、账号权限控制步骤:分别对账号口令策略、时间限制策略、账号管理场景、账号组织管理和账号特殊状态管理进行控制。2.根据权利要求1所述的一种实现多级架构之间认证漫游和鉴权的方法,其特征在于,所述S1步骤中的账号注册管理包括自注册服务、证书管理服务、个人信息变更服务、应用市场服务和安全设置服务。3.根据权利要求1所述的一种实现多级架构之间认证漫游和鉴权的方法,其特征在于,所述S2步骤中全面的认证方式可与外部认证系统对接以实现各种认证方式及组合;所述S2步骤中的高复杂度和高适配性相结合的认证策略管理根据用户访问的资源类型、访问数据的敏感程度、访问经过的网络路径、登录时间,确定不同的安全等级;所述S2步骤中的跨应用的接口对接能力包括与CA系统实现认证以及与FIDO实现认证对接;所述S2步骤中的定制的认证组件包括移动认证SDK插件、认证JSSDK插件和认证后台。4.根据权利要求1所述的一种实现多级架构之间认证漫游和鉴权的方法,其特征在于,所述S2步骤中的账号集中认证管理的流程包括:S11、访问服务:认证组件发送请求访问应用系统提供的服务资源;S12、定向认证:认证组件会重定向用户请求到SSO服务器;S13、用户认证...
【专利技术属性】
技术研发人员:毕玉冰,杨东,肖力炀,崔逸群,刘超飞,曾荣汉,胥冠军,朱博迪,刘迪,刘骁,王文庆,邓楠轶,董夏昕,朱召鹏,介银娟,王艺杰,崔鑫,
申请(专利权)人:华能集团技术创新中心有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。