針對電力信息系統(tǒng)的身份集中授權管理方法
【專利摘要】本發(fā)明公開了針對電力信息系統(tǒng)的身份集中授權管理方法及應用層結構,包括以下步驟:建立身份數(shù)據(jù)業(yè)務模型,將企業(yè)所有用戶、組織、崗位構成的身份數(shù)據(jù)建立成模型;建立權限受控資源管理中心,構建企業(yè)資源信息系統(tǒng)模型;所述企業(yè)資源信息系統(tǒng)模型包括:業(yè)務域、組織體系、應用系統(tǒng)、組織性質、業(yè)務組織、業(yè)務角色、組織角色、資源模型、資源、策略;構建以角色為中心的授權模型,通過對用戶進行崗位指派的方式來為用戶分配相應的權限;建立公共的身份鑒權服務,為信息系統(tǒng)提供權限決策;滿足信息系統(tǒng)權限管理所需,將企業(yè)身份數(shù)據(jù)進行統(tǒng)一管理,所有的受控資源對象或資源抽象對象進行集中管理,有效提高管理效率、降低生產(chǎn)及管理成本。
【專利說明】針對電力信息系統(tǒng)的身份集中授權管理方法
【技術領域】
[0001] 本發(fā)明涉及信息系統(tǒng)控制、電力系統(tǒng)控制等【技術領域】,具體的說,是針對電力信息 系統(tǒng)的身份集中授權管理方法。
【背景技術】
[0002] 在電力行業(yè)中,信息管理系統(tǒng)種類繁多,不同的信息管理系統(tǒng)在訪問控制方面采 用的技術不盡相同,在訪問控制領域,RBAC模型是一個經(jīng)常被引用的模型,是保障企業(yè)信 息系統(tǒng)安全的一項重要技術。RBAC的基本概念就是把權限和角色聯(lián)系在一起,然后給用戶 指派合適的角色,用戶通過其指派的角色取得相應的權限,整個訪問控制過程就被分為了 兩個部分:訪問權限與角色相關聯(lián),角色再與用戶相關聯(lián),從而實現(xiàn)了用戶與訪問權限的邏 輯分離。
[0003] 隨著企業(yè)的發(fā)展壯大及現(xiàn)代信息技術的發(fā)展,信息化應用越來越廣,信息系統(tǒng)安 全和管控越來越重要,一種能有效解決信息系統(tǒng)控制、電力系統(tǒng)控制等【技術領域】中統(tǒng)一權 限管理方法是為迫切需要。
【發(fā)明內容】
[0004] 本發(fā)明的目的在于提供針對電力信息系統(tǒng)的身份集中授權管理方法,滿足信息系 統(tǒng)權限管理所需,將企業(yè)身份數(shù)據(jù)進行統(tǒng)一管理,所有的受控資源對象或資源抽象對象進 行集中管理,有效提高管理效率、降低生產(chǎn)及管理成本。
[0005] 本發(fā)明通過下述技術方案實現(xiàn):針對電力信息系統(tǒng)的身份集中授權管理方法,包 括以下步驟: 步驟A :建立身份數(shù)據(jù)業(yè)務模型,將企業(yè)所有用戶、組織、崗位構成的身份數(shù)據(jù)建立成 模型; 步驟B :建立權限受控資源管理中心,通過步驟A所提供的身份數(shù)據(jù)業(yè)務模型構建信息 系統(tǒng)的權限資源內容,以便對其進行權限指派;將企業(yè)的所有信息系統(tǒng)資源按照業(yè)務域進 行劃分,并構建企業(yè)資源信息系統(tǒng)模型; 步驟C:構建以角色為中心的授權模型,通過對用戶進行崗位指派的方式來為用戶分 配相應的權限; 步驟D :建立公共的身份鑒權服務,為信息系統(tǒng)提供權限決策。
[0006] 進一步的,為更好的實現(xiàn)本發(fā)明,在所述步驟B中,所述企業(yè)資源信息系統(tǒng)模型包 括:業(yè)務域、組織體系、應用系統(tǒng)、組織性質、業(yè)務組織、業(yè)務角色、組織角色、資源模型、資 源、策略; 進一步的,為更好的實現(xiàn)本發(fā)明,所述步驟B包含如下步驟: 步驟B. 1、企業(yè)在新建一個企業(yè)資源信息系統(tǒng)時,首先要定義企業(yè)資源信息系統(tǒng)所在企 業(yè)的業(yè)務域,進行業(yè)務域劃分,并整理識別企業(yè)資源信息系統(tǒng)所涵蓋的組織范圍; 步驟B. 2、企業(yè)資源信息系統(tǒng)在首次使用時,從企業(yè)信息資源規(guī)劃的整體上出發(fā),即自 上而下的規(guī)劃,并根據(jù)企業(yè)信息資源規(guī)劃完成業(yè)務域和組織體系的初始化; 步驟B. 3、經(jīng)步驟B. 2,如果業(yè)務域或組織體系不存在,則需要先梳理出該業(yè)務域所參 與的組織部門及企業(yè)資源信息系統(tǒng)的業(yè)務需求,并結合企業(yè)資源信息系統(tǒng)模型中的組織完 成組織體系、組織性質、業(yè)務組織的建立;如果已經(jīng)存在,則根據(jù)企業(yè)資源信息系統(tǒng)所屬業(yè) 務域選擇對應的組織體系即可; 步驟B. 4、建立應用系統(tǒng),完成業(yè)務需求在應用系統(tǒng)劃分,并進一步完成業(yè)務角色的梳 理,構建各個應用系統(tǒng)的業(yè)務角色; 步驟B. 5、經(jīng)步驟B. 4,通過應用系統(tǒng)的業(yè)務信息梳理,建立資源分類,并根據(jù)應用系統(tǒng) 的權限控制業(yè)務要求建立資源模型的定義及資源模型的操作,進一步完成業(yè)務角色與資源 的指派。
[0007] 進一步的,為更好的實現(xiàn)本發(fā)明,所述步驟B. 3中,業(yè)務角色的建立是企業(yè)信息規(guī) 劃,自上而下根據(jù)應用系統(tǒng)業(yè)務需求進行業(yè)務信息分析建立,并直接派生為系統(tǒng)的組織角 色。
[0008] 進一步的,為更好的實現(xiàn)本發(fā)明,所述步驟B. 5中,應用系統(tǒng)的資源模型的定義, 能夠更好的滿足各個應用系統(tǒng)資源的抽象定義,進而覆蓋其資源權限控制。
[0009] 進一步的,為更好的實現(xiàn)本發(fā)明,所述步驟C中,通過為崗位分配組織角色方式和 為崗位分配策略方式來構建以角色為中心的授權模型; 為崗位分配組織角色方式,組織角色的權限建立是通過業(yè)務角色的權限指派派生而 來,或組織角色根據(jù)場景進行權限自定義;組織角色采用應用系統(tǒng)進行安全域隔離,崗位和 組織角色是多對多的關系; 為崗位分配策略方式,策略部分采用XACML進行描述定義,每個策略都有一個目標,將 策略目標設置為對應應用策略的崗位,崗位的屬性值與請求帶有的屬性值匹配,則認為與 此策略相關,應用此策略所定義的規(guī)則對請求進行驗證。策略采用應用系統(tǒng)進行安全域隔 離,崗位和策略是一對多的關系。
[0010] 進一步的,為更好的實現(xiàn)本發(fā)明,在所述為崗位分配策略方式中,策略的定義范圍 需覆蓋所有的應用系統(tǒng)的資源,采用XACML可根據(jù)應用系統(tǒng)的業(yè)務權限需求建模,從而能 夠覆蓋企業(yè)所有信息系統(tǒng)的權限要求。
[0011] 進一步的,為更好的實現(xiàn)本發(fā)明,所述步驟D中,主要包括身份的認證控制和身份 資源的訪問控制: 身份的認證控制,用戶在訪問企業(yè)資源信息系統(tǒng)模型時,采用基于SAML進行身份驗證 和識別,需要提交用戶的身份驗證請求,完成身份的識別認證,包括以下步驟: 步驟D1. 1、用戶通過源站點認證并向它請求到目標站點受保護資源的鏈接; 步驟D1. 2、源站點使用驗證標志重新定向主體; 步驟D1. 3、用戶使用該標志向目標站點請求受保護的資源; 步驟D1. 4、目標站點PEP檢查該TOP的權限; 步驟D1. 5、PDP內部請求源站點使用該標志進行SAML驗證斷言; 步驟D1. 6、源站點根據(jù)標志向目標站點提供SAML驗證斷言; 步驟D1. 7、目標站點向源站點發(fā)送SAML令牌,用戶接收令牌訪問目標站點受保護的資 源;通過步驟Dl. 1-步驟D1. 7的方式,當用戶請求訪問目標站點時,用戶信息可由目標站點 通過SAML標志直接從源站點請求獲得,不需要用戶的再一次輸入; 身份資源的訪問控制,不同用戶在進行訪問企業(yè)資源信息系統(tǒng)時,將進行應用系統(tǒng)身 份資源權限鑒別,在應用系統(tǒng)身份資源權限鑒別時采用如下兩種處理方式: D2. 1、基于組織角色授權的資源權限鑒權: D2. 1. 1、首先根據(jù)資源的安全域進行計算出用戶的組織角色,因組織角色指派給崗位, 崗位被分配給用戶,基于以上可計算出資源被訪問的當前用戶所擁有的組織角色; D2. 1.2、計算出組織角色所派生的業(yè)務角色,并結合業(yè)務角色所訪問的資源為基礎與 其派生的組織角色資源進行耦合; 所述D2. 1. 2中所采用的計算規(guī)則為:最終資源訪問權限為組織角色繼承業(yè)務角色資 源后進行的個性化權限調整后的結果; D2. 2、基于策略的資源權限鑒權: D2. 2. 1、應用系統(tǒng)通過基于XACML規(guī)范向PDP發(fā)出資源訪問請求,PDP首先根據(jù)資源的 安全域進行計算出用戶的策略,因策略指派給崗位,崗位被分配給用戶,基于以上可計算出 資源被訪問的當前用戶所擁有的策略; D2. 2. 2、PDP通過加載策略庫,并依據(jù)應用系統(tǒng)的XACML描述的訪問控制策略做出訪問 控制決策。
[0012] 進一步的,為更好的實現(xiàn)本發(fā)明,所述崗位只屬于組織下,一個崗位只屬于一個組 織而不存在分屬多個組織之下,所述崗位只具有分配策略和組織角色權限。
[0013] 本發(fā)明與現(xiàn)有技術相比,具有以下優(yōu)點及有益效果: (1)本發(fā)明滿足信息系統(tǒng)權限管理所需,將企業(yè)身份數(shù)據(jù)進行統(tǒng)一管理,所有的受控資 源對象或資源抽象對象進行集中管理,受控資源對象或資源抽象對象進行系統(tǒng)域劃分,使 其不同域之間互不干擾、單獨管理,有效提高管理效率、降低生產(chǎn)及管理成本。
[0014] (2)本發(fā)明能解決因權限模型不一致、權限管理分散、不統(tǒng)一原因,造成的不利于 企業(yè)對身份權限的集中管控,和給企業(yè)留下一定的安全隱患的弊端。
[0015] (3)本發(fā)明能解決因企業(yè)信息化的推進,各類業(yè)務應用系統(tǒng)大勢新建,各個系統(tǒng)之 間身份、權限管理獨立,造成系統(tǒng)間的信息共享壁壘。
[0016] (4)本發(fā)明能打破各應用系統(tǒng)間的信息孤島,降低維護管理成本,切實有效的保證 用戶身份、權限信息的安全性、完整性、一致性和可用性。
[0017] (5)本發(fā)明在應用系統(tǒng)中對資源模型的定義,能夠更好的滿足各個應用系統(tǒng)中資 源的抽象定義,進而覆蓋其資源權限控制。
[0018] (6)本發(fā)明中,崗位權限的指派是通過分配策略及組織角色,從而其所擁有的權限 范圍可涵蓋所有業(yè)務的應用系統(tǒng)。
[0019] (7)本發(fā)明在進行數(shù)據(jù)的采集與還原時,實現(xiàn)此功能的運作對象都是同一個數(shù)據(jù) 庫的文件,沒有其他復雜的數(shù)據(jù)結構,達到簡單的設計完成復雜的功能。
[0020] (8)本發(fā)明通過步驟Dl. 1-步驟D1. 7的方式,當用戶請求訪問目標站點時,用戶信 息可由目標站點通過SAML標志直接從源站點請求獲得,不需要用戶的再一次輸入。
【專利附圖】
【附圖說明】
[0021] 圖1為本發(fā)明所述身份數(shù)據(jù)業(yè)務模型和企業(yè)資源信息系統(tǒng)模型示意圖。
[0022] 圖2為本發(fā)明的應用系統(tǒng)資源建立步驟流程圖。
[0023] 圖3為本發(fā)明的身份權限訪問鑒權框圖。
【具體實施方式】
[0024] 下面結合實施例對本發(fā)明作進一步地詳細說明,但本發(fā)明的實施方式不限于此。
[0025] 實施例1 : 本發(fā)明提出了針對電力信息系統(tǒng)的身份集中授權管理方法,如圖1所示,包括以下步 驟: 步驟A :建立身份數(shù)據(jù)業(yè)務模型,將企業(yè)所有用戶、組織、崗位構成的身份數(shù)據(jù)建立成 模型; 步驟B :建立權限受控資源管理中心,通過步驟A所提供的身份數(shù)據(jù)業(yè)務模型構建信息 系統(tǒng)的權限資源內容,以便對其進行權限指派;將企業(yè)的所有信息系統(tǒng)資源按照業(yè)務域進 行劃分,并構建企業(yè)資源信息系統(tǒng)模型; 步驟C :構建以角色為中心的授權模型,通過對用戶進行崗位指派的方式來為用戶分 配相應的權限; 步驟D :建立公共的身份鑒權服務,為信息系統(tǒng)提供權限決策。
[0026] 其中數(shù)字1和0. . *表不連線兩端的關系是1對0或多個,*和*表不連線 兩端的關系是多個對多個,例如1個用戶可以包含〇個或多個崗位,該模型中身份模型元 素包括如下:用戶、組織和崗位;用組織下可以包含0或多個用戶和崗位,用戶可分配0個 或多個崗位;在崗位、組織角色、資源和資源模型的關系中:多個崗位可以存在多種組織角 色,多個組織角色可以訪問多個資源和多個資源模型。
[0027] 實施例2 : 本實施例是在上述實施例的基礎上進一步優(yōu)化,結合圖1、圖2所示,進一步的,為更好 的實現(xiàn)本發(fā)明,在所述步驟B中,所述企業(yè)資源信息系統(tǒng)模型包括:業(yè)務域、組織體系、應用 系統(tǒng)、組織性質、業(yè)務組織、業(yè)務角色、組織角色、資源模型、資源、策略; 所述步驟B包含如下步驟: 步驟B. 1、業(yè)務域劃分,整理識別組織范圍,企業(yè)在新建一個企業(yè)資源信息系統(tǒng)時,首先 要定義企業(yè)資源信息系統(tǒng)所在企業(yè)的業(yè)務域,進行業(yè)務域劃分,并整理識別企業(yè)資源信息 系統(tǒng)所涵蓋的組織范圍; 步驟B. 2、業(yè)務域與組織體系的初始化,企業(yè)資源信息系統(tǒng)在首次使用時,從企業(yè)信息 資源規(guī)劃的整體上出發(fā),即自上而下的規(guī)劃,并根據(jù)企業(yè)信息資源規(guī)劃完成業(yè)務域與組織 體系的初始化; 步驟B. 3、經(jīng)步驟B. 2,如果業(yè)務域或組織體系不存在,則需要先梳理出該業(yè)務域所參 與的組織部門及企業(yè)資源信息系統(tǒng)的業(yè)務需求,并結合企業(yè)資源信息系統(tǒng)模型中的組織完 成組織體系、組織性質、業(yè)務組織的建立;如果已經(jīng)存在,則根據(jù)企業(yè)資源信息系統(tǒng)所屬業(yè) 務域選擇對應的組織體系即可; 步驟B. 4、應用系統(tǒng)劃分到整理業(yè)務完成業(yè)務角色梳理的過程:建立應用系統(tǒng),完成業(yè) 務需求在應用系統(tǒng)劃分,并進一步完成業(yè)務角色的梳理,構建各個應用系統(tǒng)的業(yè)務角色; 步驟B. 5、經(jīng)步驟B. 4,整理各應用系統(tǒng)資源范圍,建立系統(tǒng)資源模型,通過應用系統(tǒng)的 業(yè)務信息梳理,建立資源分類,并根據(jù)應用系統(tǒng)的權限控制業(yè)務要求建立資源模型的定義 及資源模型的操作,進一步完成業(yè)務角色與資源的指派,后結束一輪應用系統(tǒng)資源建設流 程。
[0028] 進一步的,為更好的實現(xiàn)本發(fā)明,所述步驟B. 3中,業(yè)務角色的建立是企業(yè)信息規(guī) 劃,自上而下根據(jù)應用系統(tǒng)業(yè)務需求進行業(yè)務信息分析建立,并直接派生為系統(tǒng)的組織角 色。
[0029] 進一步的,為更好的實現(xiàn)本發(fā)明,所述步驟B. 5中,應用系統(tǒng)的資源模型的定義, 能夠更好的滿足各個應用系統(tǒng)資源的抽象定義,進而覆蓋其資源權限控制。
[0030] 實施例3 : 本實施例是在上述實施例的基礎上進一步優(yōu)化,進一步的,為更好的實現(xiàn)本發(fā)明,所述 步驟C中,通過為崗位分配組織角色方式和為崗位分配策略方式來構建以角色為中心的授 權模型; 為崗位分配組織角色方式,組織角色的權限建立是通過業(yè)務角色的權限指派派生而 來,或組織角色根據(jù)場景進行權限自定義;組織角色采用應用系統(tǒng)進行安全域隔離,崗位和 組織角色是多對多的關系; 為崗位分配策略方式,策略部分采用XACML進行描述定義,每個策略都有一個目標,將 策略目標設置為對應應用策略的崗位,崗位的屬性值與請求帶有的屬性值匹配,則認為與 此策略相關,應用此策略所定義的規(guī)則對請求進行驗證。策略采用應用系統(tǒng)進行安全域隔 離,崗位和策略是一對多的關系;XACML是OASIS所指定的基于XML標準的一種通用的用于 保護資源的策略語言和訪問決策語言;XACML具備很好的擴展性,支持參數(shù)化的策略描述, 從而使系統(tǒng)能夠很好的對應用系統(tǒng)的提供資源訪問控制服務,充分的滿足各應用系統(tǒng)的權 限控制業(yè)務場景。
[0031] 進一步的,為更好的實現(xiàn)本發(fā)明,在所述為崗位分配策略方式中,策略的定義范圍 需覆蓋所有的應用系統(tǒng)的資源,采用XACML可根據(jù)應用系統(tǒng)的業(yè)務權限需求建模,從而能 夠覆蓋企業(yè)所有信息系統(tǒng)的權限要求。
[0032] 實施例4 : 本實施例是在上述實施例的基礎上進一步優(yōu)化,如圖1、圖3所示,進一步的,為更好的 實現(xiàn)本發(fā)明,在發(fā)出訪問請求后,將執(zhí)行身份資源權限訪問決策(PDP),身份資源權限訪問 決策(PDP)通過權限庫來決策權限范圍,所述步驟D中,主要包括身份的認證控制和身份資 源的訪問控制: 身份的認證控制,用戶在訪問企業(yè)資源信息系統(tǒng)模型時,采用基于SAML認證控制進行 身份驗證和識別,需要提交用戶的身份驗證請求,完成身份的識別認證,包括以下步驟: 步驟D1. 1、用戶通過源站點認證并向它請求到目標站點受保護資源的鏈接; 步驟D1. 2、源站點使用驗證標志重新定向主體; 步驟D1. 3、用戶使用該標志向目標站點請求受保護的資源; 步驟D1. 4、目標站點PEP檢查該TOP的權限; 步驟D1. 5、PDP內部請求源站點使用該標志進行SAML驗證斷言; 步驟D1. 6、源站點根據(jù)標志向目標站點提供SAML驗證斷言; 步驟D1. 7、目標站點向源站點發(fā)送SAML令牌,用戶接收令牌訪問目標站點受保護的資 源;通過步驟Dl. 1-步驟Dl. 7的方式,當用戶請求訪問目標站點時,用戶信息可由目標站點 通過SAML標志直接從源站點請求獲得,不需要用戶的再一次輸入; 身份資源的訪問控制,不同用戶在進行訪問企業(yè)資源信息系統(tǒng)時,將進行應用系統(tǒng)身 份資源權限鑒別,在應用系統(tǒng)身份資源權限鑒別時采用如下兩種處理方式: D2. 1、基于組織角色授權的資源權限鑒權: D2. 1. 1、首先根據(jù)資源的安全域進行計算出用戶的組織角色,因組織角色指派給崗位, 崗位被分配給用戶,基于以上可計算出資源被訪問的當前用戶所擁有的組織角色; D2. 1.2、計算出組織角色所派生的業(yè)務角色,并結合業(yè)務角色所訪問的資源為基礎與 其派生的組織角色資源進行耦合; 所述D2. 1. 2中所采用的計算規(guī)則為:最終資源訪問權限為組織角色繼承業(yè)務角色資 源后進行的個性化權限調整后的結果; D2. 2、基于策略的資源權限鑒權: D2. 2. 1、應用系統(tǒng)通過基于XACML規(guī)范向PDP發(fā)出資源訪問請求,PDP首先根據(jù)資源的 安全域進行計算出用戶的策略,因策略指派給崗位,崗位被分配給用戶,基于以上可計算出 資源被訪問的當前用戶所擁有的策略; D2. 2. 2、PDP通過加載策略庫,并依據(jù)應用系統(tǒng)的XACML描述的訪問控制策略做出訪問 控制決策,對應用系統(tǒng)1至應用系統(tǒng)η進行基于XACML訪問策略控制。
[0033] 實施例5 : 本實施例是在上述實施例的基礎上進一步優(yōu)化,如圖1所示,進一步的,為更好的實現(xiàn) 本發(fā)明,所述崗位只屬于組織下,一個崗位只屬于一個組織而不存在分屬多個組織之下,所 述崗位只具有分配策略和組織角色權限。
[0034] 其中,業(yè)務域:企業(yè)的核心業(yè)務價值鏈,根據(jù)其業(yè)務相關性進行組合形成的較為高 階的業(yè)務領域,通常和組織單元中部門的劃分相似。
[0035] 業(yè)務組織:組織機構的抽象表示,可以有多級,可以是一個集團、公司、部門、處室 或一個工作組等;也可以表示外部組織,如客戶或供應商;還可以表示臨時性組織,如項目 組。
[0036] 應用系統(tǒng):一組同類型的或緊密耦合的、實現(xiàn)同一業(yè)務目標的功能邏輯組合。
[0037] RBAC :基于角色的訪問控制(Role-Based Access Control)作為傳統(tǒng)訪問控制(自 主訪問,強制訪問)。
[0038] XACML :是一種用于決定請求/響應的通用訪問控制策略語言和執(zhí)行授權策略的 框架。
[0039] PDP :作為系統(tǒng)授權決策的實體,依據(jù)XACML描述的訪問控制策略以及其他屬性信 息進行訪問控制決策。
[0040] PEP:它是在一個具體的應用環(huán)境下執(zhí)行訪問控制的實體,將具體應用環(huán)境下訪問 控制請求轉換為適應XACML要求的決策請求。
[0041] SAML :即安全斷言標記語言,英文全稱是Security Assertion Markup Language ; 它是一個基于XML的標準,用于在不同的安全域(security domain)之間交換認證和授權 數(shù)據(jù)。
[0042] 本發(fā)明滿足信息系統(tǒng)權限管理所需,將企業(yè)身份數(shù)據(jù)進行統(tǒng)一管理,所有的受控 資源對象或資源抽象對象進行集中管理,有效提高管理效率、降低生產(chǎn)及管理成本。
[0043] 以上所述,僅是本發(fā)明的較佳實施例,并非對本發(fā)明做任何形式上的限制,凡是依 據(jù)本發(fā)明的技術實質對以上實施例所作的任何簡單修改、等同變化,均落入本發(fā)明的保護 范圍之內。
【權利要求】
1. 針對電力信息系統(tǒng)的身份集中授權管理方法,其特征在于:包括以下步驟: 步驟A :建立身份數(shù)據(jù)業(yè)務模型,將企業(yè)所有用戶、組織、崗位構成的身份數(shù)據(jù)建立成 模型; 步驟B :建立權限受控資源管理中心,通過步驟A所提供的身份數(shù)據(jù)業(yè)務模型構建信息 系統(tǒng)的權限資源內容,以便對其進行權限指派;將企業(yè)的所有信息系統(tǒng)資源按照業(yè)務域進 行劃分,并構建企業(yè)資源信息系統(tǒng)模型; 步驟C :構建以角色為中心的授權模型,通過對用戶進行崗位指派的方式來為用戶分 配相應的權限; 步驟D :建立公共的身份鑒權服務,為信息系統(tǒng)提供權限決策。
2. 根據(jù)權利要求1所述的針對電力信息系統(tǒng)的身份集中授權管理方法,其特征在于: 在所述步驟B中,所述企業(yè)資源信息系統(tǒng)模型包括:業(yè)務域、組織體系、應用系統(tǒng)、組織性 質、業(yè)務組織、業(yè)務角色、組織角色、資源模型、資源、策略。
3. 根據(jù)權利要求2所述的針對電力信息系統(tǒng)的身份集中授權管理方法,其特征在于: 所述步驟B包含如下步驟: 步驟B. 1、業(yè)務域劃分,整理識別組織范圍,企業(yè)在新建一個企業(yè)資源信息系統(tǒng)時,首先 要定義企業(yè)資源信息系統(tǒng)所在企業(yè)的業(yè)務域,進行業(yè)務域劃分,并整理識別企業(yè)資源信息 系統(tǒng)所涵蓋的組織范圍; 步驟B. 2、業(yè)務域與組織體系的初始化,企業(yè)資源信息系統(tǒng)在首次使用時,從企業(yè)信息 資源規(guī)劃的整體上出發(fā),即自上而下的規(guī)劃,并根據(jù)企業(yè)信息資源規(guī)劃完成業(yè)務域和組織 體系的初始化; 步驟B. 3、經(jīng)步驟B. 2,如果業(yè)務域或組織體系不存在,則需要先梳理出該業(yè)務域所參 與的組織部門及企業(yè)資源信息系統(tǒng)的業(yè)務需求,并結合企業(yè)資源信息系統(tǒng)模型中的組織完 成組織體系、組織性質、業(yè)務組織的建立;如果已經(jīng)存在,則根據(jù)企業(yè)資源信息系統(tǒng)所屬業(yè) 務域選擇對應的組織體系即可; 步驟B. 4、建立應用系統(tǒng),完成業(yè)務需求在應用系統(tǒng)劃分,并進一步完成業(yè)務角色的梳 理,構建各個應用系統(tǒng)的業(yè)務角色; 步驟B. 5、經(jīng)步驟B. 4,通過應用系統(tǒng)的業(yè)務信息梳理,建立資源分類,并根據(jù)應用系統(tǒng) 的權限控制業(yè)務要求建立資源模型的定義及資源模型的操作,進一步完成業(yè)務角色與資源 的指派。
4. 根據(jù)權利要求3所述的針對電力信息系統(tǒng)的身份集中授權管理方法,其特征在于: 所述步驟B. 3中,業(yè)務角色的建立是企業(yè)信息規(guī)劃,自上而下根據(jù)應用系統(tǒng)業(yè)務需求進行 業(yè)務信息分析建立,并直接派生為系統(tǒng)的組織角色。
5. 根據(jù)權利要求3所述的針對電力信息系統(tǒng)的身份集中授權管理方法,其特征在于: 所述步驟B. 5中,應用系統(tǒng)的資源模型的定義,滿足各個應用系統(tǒng)資源的抽象定義,覆蓋其 資源權限控制。
6. 根據(jù)權利要求1所述的針對電力信息系統(tǒng)的身份集中授權管理方法,其特征在于: 所述步驟C中,通過為崗位分配組織角色方式和為崗位分配策略方式來構建以角色為中心 的授權模型: 為崗位分配組織角色方式,組織角色的權限建立是通過業(yè)務角色的權限指派派生而 來,或組織角色根據(jù)場景進行權限自定義;組織角色采用應用系統(tǒng)進行安全域隔離,崗位和 組織角色是多對多的關系; 為崗位分配策略方式,策略部分采用XACML進行描述定義,每個策略都有一個目標,將 策略目標設置為對應應用策略的崗位,崗位的屬性值與請求帶有的屬性值匹配,則認為與 此策略相關,應用此策略所定義的規(guī)則對請求進行驗證,策略采用應用系統(tǒng)進行安全域隔 離,崗位和策略是一對多的關系。
7. 根據(jù)權利要求6所述的針對電力信息系統(tǒng)的身份集中授權管理方法,其特征在于: 在所述為崗位分配策略方式中,策略的定義范圍需覆蓋所有的應用系統(tǒng)的資源,采用XACML 可根據(jù)應用系統(tǒng)的業(yè)務權限需求建模,從而能夠覆蓋企業(yè)所有信息系統(tǒng)的權限要求。
8. 根據(jù)權利要求1所述的針對電力信息系統(tǒng)的身份集中授權管理方法,其特征在于: 所述步驟D中,主要包括身份的認證控制和身份資源的訪問控制: 身份的認證控制,用戶在訪問企業(yè)資源信息系統(tǒng)模型時,采用基于SAML進行身份驗證 和識別,需要提交用戶的身份驗證請求,完成身份的識別認證,包括以下步驟: 步驟D1. 1、用戶通過源站點認證并向它請求到目標站點受保護資源的鏈接; 步驟D1. 2、源站點使用驗證標志重新定向主體; 步驟D1. 3、用戶使用該標志向目標站點請求受保護的資源; 步驟D1. 4、目標站點PEP檢查該TOP的權限; 步驟D1. 5、PDP內部請求源站點使用該標志進行SAML驗證斷言; 步驟D1. 6、源站點根據(jù)標志向目標站點提供SAML驗證斷言; 步驟D1. 7、目標站點向源站點發(fā)送SAML令牌,用戶接收令牌訪問目標站點受保護的資 源; 身份資源的訪問控制,不同用戶在進行訪問企業(yè)資源信息系統(tǒng)時,將進行應用系統(tǒng)身 份資源權限鑒別,在應用系統(tǒng)身份資源權限鑒別時采用如下兩種處理方式: D2. 1、基于組織角色授權的資源權限鑒權: D2. 1. 1、首先根據(jù)資源的安全域進行計算出用戶的組織角色,因組織角色指派給崗位, 崗位被分配給用戶,基于以上可計算出資源被訪問的當前用戶所擁有的組織角色; D2. 1.2、計算出組織角色所派生的業(yè)務角色,并結合業(yè)務角色所訪問的資源為基礎與 其派生的組織角色資源進行耦合; 所述D2. 1. 2中所采用的計算規(guī)則為:最終資源訪問權限為組織角色繼承業(yè)務角色資 源后進行的個性化權限調整后的結果; D2. 2、基于策略的資源權限鑒權: D2. 2. 1、應用系統(tǒng)通過基于XACML規(guī)范向PDP發(fā)出資源訪問請求,PDP首先根據(jù)資源的 安全域進行計算出用戶的策略,因策略指派給崗位,崗位被分配給用戶,基于以上可計算出 資源被訪問的當前用戶所擁有的策略; D2. 2. 2、PDP通過加載策略庫,并依據(jù)應用系統(tǒng)的XACML描述的訪問控制策略做出訪問 控制決策。
9. 根據(jù)權利要求1所述的針對電力信息系統(tǒng)的身份集中授權管理方法,其特征在于: 所述崗位只屬于組織下,一個崗位只屬于一個組織而不存在分屬多個組織之下,所述崗位 只具有分配策略和組織角色權限。
【文檔編號】G06Q50/06GK104125219SQ201410319286
【公開日】2014年10月29日 申請日期:2014年7月7日 優(yōu)先權日:2014年7月7日
【發(fā)明者】張捷, 張慧, 胡超陽, 吳桐, 胡州明, 張曉韜, 梁楷, 姜志航, 肖建飛, 馬常惠 申請人:四川中電啟明星信息技術有限公司