針對電力信息系統(tǒng)的身份集中授權(quán)管理方法
【專利摘要】本發(fā)明公開了針對電力信息系統(tǒng)的身份集中授權(quán)管理方法及應(yīng)用層結(jié)構(gòu),包括以下步驟:建立身份數(shù)據(jù)業(yè)務(wù)模型�,將企業(yè)所有用戶、組織��、崗位構(gòu)成的身份數(shù)據(jù)建立成模型;建立權(quán)限受控資源管理中心�����,構(gòu)建企業(yè)資源信息系統(tǒng)模型�;所述企業(yè)資源信息系統(tǒng)模型包括:業(yè)務(wù)域、組織體系�、應(yīng)用系統(tǒng)、組織性質(zhì)����、業(yè)務(wù)組織、業(yè)務(wù)角色���、組織角色�、資源模型���、資源��、策略�;構(gòu)建以角色為中心的授權(quán)模型��,通過對用戶進行崗位指派的方式來為用戶分配相應(yīng)的權(quán)限���;建立公共的身份鑒權(quán)服務(wù),為信息系統(tǒng)提供權(quán)限決策�����;滿足信息系統(tǒng)權(quán)限管理所需��,將企業(yè)身份數(shù)據(jù)進行統(tǒng)一管理����,所有的受控資源對象或資源抽象對象進行集中管理�����,有效提高管理效率、降低生產(chǎn)及管理成本。
【專利說明】針對電力信息系統(tǒng)的身份集中授權(quán)管理方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及信息系統(tǒng)控制���、電力系統(tǒng)控制等【技術(shù)領(lǐng)域】�����,具體的說�,是針對電力信息 系統(tǒng)的身份集中授權(quán)管理方法。
【背景技術(shù)】
[0002] 在電力行業(yè)中�����,信息管理系統(tǒng)種類繁多,不同的信息管理系統(tǒng)在訪問控制方面采 用的技術(shù)不盡相同��,在訪問控制領(lǐng)域����,RBAC模型是一個經(jīng)常被引用的模型���,是保障企業(yè)信 息系統(tǒng)安全的一項重要技術(shù)��。RBAC的基本概念就是把權(quán)限和角色聯(lián)系在一起�����,然后給用戶 指派合適的角色��,用戶通過其指派的角色取得相應(yīng)的權(quán)限�����,整個訪問控制過程就被分為了 兩個部分:訪問權(quán)限與角色相關(guān)聯(lián)���,角色再與用戶相關(guān)聯(lián),從而實現(xiàn)了用戶與訪問權(quán)限的邏 輯分離。
[0003] 隨著企業(yè)的發(fā)展壯大及現(xiàn)代信息技術(shù)的發(fā)展����,信息化應(yīng)用越來越廣,信息系統(tǒng)安 全和管控越來越重要�,一種能有效解決信息系統(tǒng)控制、電力系統(tǒng)控制等【技術(shù)領(lǐng)域】中統(tǒng)一權(quán) 限管理方法是為迫切需要�����。
【發(fā)明內(nèi)容】
[0004] 本發(fā)明的目的在于提供針對電力信息系統(tǒng)的身份集中授權(quán)管理方法����,滿足信息系 統(tǒng)權(quán)限管理所需,將企業(yè)身份數(shù)據(jù)進行統(tǒng)一管理�,所有的受控資源對象或資源抽象對象進 行集中管理,有效提高管理效率���、降低生產(chǎn)及管理成本�����。
[0005] 本發(fā)明通過下述技術(shù)方案實現(xiàn):針對電力信息系統(tǒng)的身份集中授權(quán)管理方法����,包 括以下步驟: 步驟A :建立身份數(shù)據(jù)業(yè)務(wù)模型,將企業(yè)所有用戶����、組織、崗位構(gòu)成的身份數(shù)據(jù)建立成 模型����; 步驟B :建立權(quán)限受控資源管理中心�����,通過步驟A所提供的身份數(shù)據(jù)業(yè)務(wù)模型構(gòu)建信息 系統(tǒng)的權(quán)限資源內(nèi)容�����,以便對其進行權(quán)限指派����;將企業(yè)的所有信息系統(tǒng)資源按照業(yè)務(wù)域進 行劃分,并構(gòu)建企業(yè)資源信息系統(tǒng)模型���; 步驟C:構(gòu)建以角色為中心的授權(quán)模型�,通過對用戶進行崗位指派的方式來為用戶分 配相應(yīng)的權(quán)限�; 步驟D :建立公共的身份鑒權(quán)服務(wù)�����,為信息系統(tǒng)提供權(quán)限決策��。
[0006] 進一步的��,為更好的實現(xiàn)本發(fā)明�,在所述步驟B中��,所述企業(yè)資源信息系統(tǒng)模型包 括:業(yè)務(wù)域�、組織體系、應(yīng)用系統(tǒng)�、組織性質(zhì)、業(yè)務(wù)組織�、業(yè)務(wù)角色、組織角色�����、資源模型��、資 源����、策略�����; 進一步的����,為更好的實現(xiàn)本發(fā)明����,所述步驟B包含如下步驟: 步驟B. 1、企業(yè)在新建一個企業(yè)資源信息系統(tǒng)時���,首先要定義企業(yè)資源信息系統(tǒng)所在企 業(yè)的業(yè)務(wù)域,進行業(yè)務(wù)域劃分�,并整理識別企業(yè)資源信息系統(tǒng)所涵蓋的組織范圍; 步驟B. 2�、企業(yè)資源信息系統(tǒng)在首次使用時,從企業(yè)信息資源規(guī)劃的整體上出發(fā)��,即自 上而下的規(guī)劃���,并根據(jù)企業(yè)信息資源規(guī)劃完成業(yè)務(wù)域和組織體系的初始化����; 步驟B. 3、經(jīng)步驟B. 2,如果業(yè)務(wù)域或組織體系不存在�,則需要先梳理出該業(yè)務(wù)域所參 與的組織部門及企業(yè)資源信息系統(tǒng)的業(yè)務(wù)需求,并結(jié)合企業(yè)資源信息系統(tǒng)模型中的組織完 成組織體系�����、組織性質(zhì)�����、業(yè)務(wù)組織的建立�;如果已經(jīng)存在,則根據(jù)企業(yè)資源信息系統(tǒng)所屬業(yè) 務(wù)域選擇對應(yīng)的組織體系即可�����; 步驟B. 4�����、建立應(yīng)用系統(tǒng)����,完成業(yè)務(wù)需求在應(yīng)用系統(tǒng)劃分,并進一步完成業(yè)務(wù)角色的梳 理�,構(gòu)建各個應(yīng)用系統(tǒng)的業(yè)務(wù)角色����; 步驟B. 5�����、經(jīng)步驟B. 4,通過應(yīng)用系統(tǒng)的業(yè)務(wù)信息梳理��,建立資源分類����,并根據(jù)應(yīng)用系統(tǒng) 的權(quán)限控制業(yè)務(wù)要求建立資源模型的定義及資源模型的操作,進一步完成業(yè)務(wù)角色與資源 的指派����。
[0007] 進一步的,為更好的實現(xiàn)本發(fā)明�,所述步驟B. 3中��,業(yè)務(wù)角色的建立是企業(yè)信息規(guī) 劃��,自上而下根據(jù)應(yīng)用系統(tǒng)業(yè)務(wù)需求進行業(yè)務(wù)信息分析建立��,并直接派生為系統(tǒng)的組織角 色���。
[0008] 進一步的�,為更好的實現(xiàn)本發(fā)明,所述步驟B. 5中����,應(yīng)用系統(tǒng)的資源模型的定義, 能夠更好的滿足各個應(yīng)用系統(tǒng)資源的抽象定義�,進而覆蓋其資源權(quán)限控制。
[0009] 進一步的����,為更好的實現(xiàn)本發(fā)明,所述步驟C中����,通過為崗位分配組織角色方式和 為崗位分配策略方式來構(gòu)建以角色為中心的授權(quán)模型; 為崗位分配組織角色方式�����,組織角色的權(quán)限建立是通過業(yè)務(wù)角色的權(quán)限指派派生而 來��,或組織角色根據(jù)場景進行權(quán)限自定義�����;組織角色采用應(yīng)用系統(tǒng)進行安全域隔離,崗位和 組織角色是多對多的關(guān)系����; 為崗位分配策略方式,策略部分采用XACML進行描述定義��,每個策略都有一個目標�,將 策略目標設(shè)置為對應(yīng)應(yīng)用策略的崗位,崗位的屬性值與請求帶有的屬性值匹配����,則認為與 此策略相關(guān),應(yīng)用此策略所定義的規(guī)則對請求進行驗證��。策略采用應(yīng)用系統(tǒng)進行安全域隔 離�����,崗位和策略是一對多的關(guān)系��。
[0010] 進一步的����,為更好的實現(xiàn)本發(fā)明,在所述為崗位分配策略方式中��,策略的定義范圍 需覆蓋所有的應(yīng)用系統(tǒng)的資源��,采用XACML可根據(jù)應(yīng)用系統(tǒng)的業(yè)務(wù)權(quán)限需求建模���,從而能 夠覆蓋企業(yè)所有信息系統(tǒng)的權(quán)限要求��。
[0011] 進一步的��,為更好的實現(xiàn)本發(fā)明���,所述步驟D中,主要包括身份的認證控制和身份 資源的訪問控制: 身份的認證控制��,用戶在訪問企業(yè)資源信息系統(tǒng)模型時���,采用基于SAML進行身份驗證 和識別�,需要提交用戶的身份驗證請求��,完成身份的識別認證��,包括以下步驟: 步驟D1. 1��、用戶通過源站點認證并向它請求到目標站點受保護資源的鏈接; 步驟D1. 2�、源站點使用驗證標志重新定向主體; 步驟D1. 3��、用戶使用該標志向目標站點請求受保護的資源���; 步驟D1. 4��、目標站點PEP檢查該TOP的權(quán)限�; 步驟D1. 5��、PDP內(nèi)部請求源站點使用該標志進行SAML驗證斷言�����; 步驟D1. 6��、源站點根據(jù)標志向目標站點提供SAML驗證斷言�����; 步驟D1. 7�、目標站點向源站點發(fā)送SAML令牌,用戶接收令牌訪問目標站點受保護的資 源���;通過步驟Dl. 1-步驟D1. 7的方式��,當用戶請求訪問目標站點時����,用戶信息可由目標站點 通過SAML標志直接從源站點請求獲得����,不需要用戶的再一次輸入; 身份資源的訪問控制��,不同用戶在進行訪問企業(yè)資源信息系統(tǒng)時�����,將進行應(yīng)用系統(tǒng)身 份資源權(quán)限鑒別����,在應(yīng)用系統(tǒng)身份資源權(quán)限鑒別時采用如下兩種處理方式: D2. 1、基于組織角色授權(quán)的資源權(quán)限鑒權(quán): D2. 1. 1����、首先根據(jù)資源的安全域進行計算出用戶的組織角色,因組織角色指派給崗位�, 崗位被分配給用戶����,基于以上可計算出資源被訪問的當前用戶所擁有的組織角色��; D2. 1.2�、計算出組織角色所派生的業(yè)務(wù)角色,并結(jié)合業(yè)務(wù)角色所訪問的資源為基礎(chǔ)與 其派生的組織角色資源進行耦合�; 所述D2. 1. 2中所采用的計算規(guī)則為:最終資源訪問權(quán)限為組織角色繼承業(yè)務(wù)角色資 源后進行的個性化權(quán)限調(diào)整后的結(jié)果; D2. 2�����、基于策略的資源權(quán)限鑒權(quán): D2. 2. 1�����、應(yīng)用系統(tǒng)通過基于XACML規(guī)范向PDP發(fā)出資源訪問請求���,PDP首先根據(jù)資源的 安全域進行計算出用戶的策略��,因策略指派給崗位��,崗位被分配給用戶�,基于以上可計算出 資源被訪問的當前用戶所擁有的策略���; D2. 2. 2�����、PDP通過加載策略庫�����,并依據(jù)應(yīng)用系統(tǒng)的XACML描述的訪問控制策略做出訪問 控制決策��。
[0012] 進一步的����,為更好的實現(xiàn)本發(fā)明��,所述崗位只屬于組織下���,一個崗位只屬于一個組 織而不存在分屬多個組織之下�����,所述崗位只具有分配策略和組織角色權(quán)限��。
[0013] 本發(fā)明與現(xiàn)有技術(shù)相比�,具有以下優(yōu)點及有益效果: (1)本發(fā)明滿足信息系統(tǒng)權(quán)限管理所需,將企業(yè)身份數(shù)據(jù)進行統(tǒng)一管理����,所有的受控資 源對象或資源抽象對象進行集中管理,受控資源對象或資源抽象對象進行系統(tǒng)域劃分�����,使 其不同域之間互不干擾���、單獨管理�����,有效提高管理效率����、降低生產(chǎn)及管理成本�����。
[0014] (2)本發(fā)明能解決因權(quán)限模型不一致��、權(quán)限管理分散、不統(tǒng)一原因��,造成的不利于 企業(yè)對身份權(quán)限的集中管控�,和給企業(yè)留下一定的安全隱患的弊端。
[0015] (3)本發(fā)明能解決因企業(yè)信息化的推進����,各類業(yè)務(wù)應(yīng)用系統(tǒng)大勢新建,各個系統(tǒng)之 間身份�、權(quán)限管理獨立,造成系統(tǒng)間的信息共享壁壘����。
[0016] (4)本發(fā)明能打破各應(yīng)用系統(tǒng)間的信息孤島�����,降低維護管理成本���,切實有效的保證 用戶身份�、權(quán)限信息的安全性��、完整性�、一致性和可用性。
[0017] (5)本發(fā)明在應(yīng)用系統(tǒng)中對資源模型的定義�,能夠更好的滿足各個應(yīng)用系統(tǒng)中資 源的抽象定義����,進而覆蓋其資源權(quán)限控制����。
[0018] (6)本發(fā)明中,崗位權(quán)限的指派是通過分配策略及組織角色�,從而其所擁有的權(quán)限 范圍可涵蓋所有業(yè)務(wù)的應(yīng)用系統(tǒng)。
[0019] (7)本發(fā)明在進行數(shù)據(jù)的采集與還原時����,實現(xiàn)此功能的運作對象都是同一個數(shù)據(jù) 庫的文件,沒有其他復雜的數(shù)據(jù)結(jié)構(gòu)�����,達到簡單的設(shè)計完成復雜的功能��。
[0020] (8)本發(fā)明通過步驟Dl. 1-步驟D1. 7的方式�����,當用戶請求訪問目標站點時�����,用戶信 息可由目標站點通過SAML標志直接從源站點請求獲得,不需要用戶的再一次輸入�。
【專利附圖】
【附圖說明】
[0021] 圖1為本發(fā)明所述身份數(shù)據(jù)業(yè)務(wù)模型和企業(yè)資源信息系統(tǒng)模型示意圖。
[0022] 圖2為本發(fā)明的應(yīng)用系統(tǒng)資源建立步驟流程圖����。
[0023] 圖3為本發(fā)明的身份權(quán)限訪問鑒權(quán)框圖。
【具體實施方式】
[0024] 下面結(jié)合實施例對本發(fā)明作進一步地詳細說明�����,但本發(fā)明的實施方式不限于此��。
[0025] 實施例1 : 本發(fā)明提出了針對電力信息系統(tǒng)的身份集中授權(quán)管理方法��,如圖1所示���,包括以下步 驟: 步驟A :建立身份數(shù)據(jù)業(yè)務(wù)模型,將企業(yè)所有用戶�、組織、崗位構(gòu)成的身份數(shù)據(jù)建立成 模型�; 步驟B :建立權(quán)限受控資源管理中心,通過步驟A所提供的身份數(shù)據(jù)業(yè)務(wù)模型構(gòu)建信息 系統(tǒng)的權(quán)限資源內(nèi)容��,以便對其進行權(quán)限指派;將企業(yè)的所有信息系統(tǒng)資源按照業(yè)務(wù)域進 行劃分����,并構(gòu)建企業(yè)資源信息系統(tǒng)模型; 步驟C :構(gòu)建以角色為中心的授權(quán)模型���,通過對用戶進行崗位指派的方式來為用戶分 配相應(yīng)的權(quán)限����; 步驟D :建立公共的身份鑒權(quán)服務(wù)�,為信息系統(tǒng)提供權(quán)限決策。
[0026] 其中數(shù)字1和0. . *表不連線兩端的關(guān)系是1對0或多個���,*和*表不連線 兩端的關(guān)系是多個對多個�,例如1個用戶可以包含〇個或多個崗位�����,該模型中身份模型元 素包括如下:用戶�、組織和崗位;用組織下可以包含0或多個用戶和崗位��,用戶可分配0個 或多個崗位�;在崗位���、組織角色、資源和資源模型的關(guān)系中:多個崗位可以存在多種組織角 色�,多個組織角色可以訪問多個資源和多個資源模型。
[0027] 實施例2 : 本實施例是在上述實施例的基礎(chǔ)上進一步優(yōu)化���,結(jié)合圖1��、圖2所示���,進一步的,為更好 的實現(xiàn)本發(fā)明��,在所述步驟B中����,所述企業(yè)資源信息系統(tǒng)模型包括:業(yè)務(wù)域、組織體系�����、應(yīng)用 系統(tǒng)��、組織性質(zhì)�、業(yè)務(wù)組織、業(yè)務(wù)角色��、組織角色���、資源模型����、資源����、策略; 所述步驟B包含如下步驟: 步驟B. 1����、業(yè)務(wù)域劃分,整理識別組織范圍����,企業(yè)在新建一個企業(yè)資源信息系統(tǒng)時,首先 要定義企業(yè)資源信息系統(tǒng)所在企業(yè)的業(yè)務(wù)域���,進行業(yè)務(wù)域劃分���,并整理識別企業(yè)資源信息 系統(tǒng)所涵蓋的組織范圍���; 步驟B. 2、業(yè)務(wù)域與組織體系的初始化����,企業(yè)資源信息系統(tǒng)在首次使用時,從企業(yè)信息 資源規(guī)劃的整體上出發(fā)���,即自上而下的規(guī)劃��,并根據(jù)企業(yè)信息資源規(guī)劃完成業(yè)務(wù)域與組織 體系的初始化�; 步驟B. 3��、經(jīng)步驟B. 2,如果業(yè)務(wù)域或組織體系不存在�����,則需要先梳理出該業(yè)務(wù)域所參 與的組織部門及企業(yè)資源信息系統(tǒng)的業(yè)務(wù)需求����,并結(jié)合企業(yè)資源信息系統(tǒng)模型中的組織完 成組織體系、組織性質(zhì)�����、業(yè)務(wù)組織的建立�����;如果已經(jīng)存在���,則根據(jù)企業(yè)資源信息系統(tǒng)所屬業(yè) 務(wù)域選擇對應(yīng)的組織體系即可��; 步驟B. 4�、應(yīng)用系統(tǒng)劃分到整理業(yè)務(wù)完成業(yè)務(wù)角色梳理的過程:建立應(yīng)用系統(tǒng)����,完成業(yè) 務(wù)需求在應(yīng)用系統(tǒng)劃分,并進一步完成業(yè)務(wù)角色的梳理�����,構(gòu)建各個應(yīng)用系統(tǒng)的業(yè)務(wù)角色�����; 步驟B. 5����、經(jīng)步驟B. 4,整理各應(yīng)用系統(tǒng)資源范圍�,建立系統(tǒng)資源模型����,通過應(yīng)用系統(tǒng)的 業(yè)務(wù)信息梳理,建立資源分類��,并根據(jù)應(yīng)用系統(tǒng)的權(quán)限控制業(yè)務(wù)要求建立資源模型的定義 及資源模型的操作��,進一步完成業(yè)務(wù)角色與資源的指派���,后結(jié)束一輪應(yīng)用系統(tǒng)資源建設(shè)流 程���。
[0028] 進一步的,為更好的實現(xiàn)本發(fā)明�����,所述步驟B. 3中���,業(yè)務(wù)角色的建立是企業(yè)信息規(guī) 劃�����,自上而下根據(jù)應(yīng)用系統(tǒng)業(yè)務(wù)需求進行業(yè)務(wù)信息分析建立�����,并直接派生為系統(tǒng)的組織角 色��。
[0029] 進一步的��,為更好的實現(xiàn)本發(fā)明�����,所述步驟B. 5中�,應(yīng)用系統(tǒng)的資源模型的定義�����, 能夠更好的滿足各個應(yīng)用系統(tǒng)資源的抽象定義��,進而覆蓋其資源權(quán)限控制���。
[0030] 實施例3 : 本實施例是在上述實施例的基礎(chǔ)上進一步優(yōu)化��,進一步的�����,為更好的實現(xiàn)本發(fā)明��,所述 步驟C中�����,通過為崗位分配組織角色方式和為崗位分配策略方式來構(gòu)建以角色為中心的授 權(quán)模型����; 為崗位分配組織角色方式,組織角色的權(quán)限建立是通過業(yè)務(wù)角色的權(quán)限指派派生而 來���,或組織角色根據(jù)場景進行權(quán)限自定義�;組織角色采用應(yīng)用系統(tǒng)進行安全域隔離����,崗位和 組織角色是多對多的關(guān)系; 為崗位分配策略方式�����,策略部分采用XACML進行描述定義���,每個策略都有一個目標���,將 策略目標設(shè)置為對應(yīng)應(yīng)用策略的崗位���,崗位的屬性值與請求帶有的屬性值匹配,則認為與 此策略相關(guān)�,應(yīng)用此策略所定義的規(guī)則對請求進行驗證�����。策略采用應(yīng)用系統(tǒng)進行安全域隔 離���,崗位和策略是一對多的關(guān)系�����;XACML是OASIS所指定的基于XML標準的一種通用的用于 保護資源的策略語言和訪問決策語言�����;XACML具備很好的擴展性��,支持參數(shù)化的策略描述�����, 從而使系統(tǒng)能夠很好的對應(yīng)用系統(tǒng)的提供資源訪問控制服務(wù)�����,充分的滿足各應(yīng)用系統(tǒng)的權(quán) 限控制業(yè)務(wù)場景���。
[0031] 進一步的���,為更好的實現(xiàn)本發(fā)明,在所述為崗位分配策略方式中�,策略的定義范圍 需覆蓋所有的應(yīng)用系統(tǒng)的資源,采用XACML可根據(jù)應(yīng)用系統(tǒng)的業(yè)務(wù)權(quán)限需求建模�����,從而能 夠覆蓋企業(yè)所有信息系統(tǒng)的權(quán)限要求�。
[0032] 實施例4 : 本實施例是在上述實施例的基礎(chǔ)上進一步優(yōu)化,如圖1����、圖3所示,進一步的����,為更好的 實現(xiàn)本發(fā)明�����,在發(fā)出訪問請求后����,將執(zhí)行身份資源權(quán)限訪問決策(PDP)�����,身份資源權(quán)限訪問 決策(PDP)通過權(quán)限庫來決策權(quán)限范圍���,所述步驟D中,主要包括身份的認證控制和身份資 源的訪問控制: 身份的認證控制��,用戶在訪問企業(yè)資源信息系統(tǒng)模型時�����,采用基于SAML認證控制進行 身份驗證和識別���,需要提交用戶的身份驗證請求���,完成身份的識別認證�,包括以下步驟: 步驟D1. 1�����、用戶通過源站點認證并向它請求到目標站點受保護資源的鏈接���; 步驟D1. 2�����、源站點使用驗證標志重新定向主體�����; 步驟D1. 3��、用戶使用該標志向目標站點請求受保護的資源����; 步驟D1. 4�����、目標站點PEP檢查該TOP的權(quán)限; 步驟D1. 5���、PDP內(nèi)部請求源站點使用該標志進行SAML驗證斷言��; 步驟D1. 6�、源站點根據(jù)標志向目標站點提供SAML驗證斷言��; 步驟D1. 7�����、目標站點向源站點發(fā)送SAML令牌����,用戶接收令牌訪問目標站點受保護的資 源���;通過步驟Dl. 1-步驟Dl. 7的方式���,當用戶請求訪問目標站點時,用戶信息可由目標站點 通過SAML標志直接從源站點請求獲得�,不需要用戶的再一次輸入; 身份資源的訪問控制�,不同用戶在進行訪問企業(yè)資源信息系統(tǒng)時�����,將進行應(yīng)用系統(tǒng)身 份資源權(quán)限鑒別�,在應(yīng)用系統(tǒng)身份資源權(quán)限鑒別時采用如下兩種處理方式: D2. 1���、基于組織角色授權(quán)的資源權(quán)限鑒權(quán): D2. 1. 1�、首先根據(jù)資源的安全域進行計算出用戶的組織角色����,因組織角色指派給崗位, 崗位被分配給用戶��,基于以上可計算出資源被訪問的當前用戶所擁有的組織角色����; D2. 1.2、計算出組織角色所派生的業(yè)務(wù)角色�,并結(jié)合業(yè)務(wù)角色所訪問的資源為基礎(chǔ)與 其派生的組織角色資源進行耦合; 所述D2. 1. 2中所采用的計算規(guī)則為:最終資源訪問權(quán)限為組織角色繼承業(yè)務(wù)角色資 源后進行的個性化權(quán)限調(diào)整后的結(jié)果�����; D2. 2�����、基于策略的資源權(quán)限鑒權(quán): D2. 2. 1、應(yīng)用系統(tǒng)通過基于XACML規(guī)范向PDP發(fā)出資源訪問請求��,PDP首先根據(jù)資源的 安全域進行計算出用戶的策略�����,因策略指派給崗位�,崗位被分配給用戶,基于以上可計算出 資源被訪問的當前用戶所擁有的策略�; D2. 2. 2、PDP通過加載策略庫��,并依據(jù)應(yīng)用系統(tǒng)的XACML描述的訪問控制策略做出訪問 控制決策�,對應(yīng)用系統(tǒng)1至應(yīng)用系統(tǒng)η進行基于XACML訪問策略控制。
[0033] 實施例5 : 本實施例是在上述實施例的基礎(chǔ)上進一步優(yōu)化��,如圖1所示�,進一步的���,為更好的實現(xiàn) 本發(fā)明����,所述崗位只屬于組織下,一個崗位只屬于一個組織而不存在分屬多個組織之下����,所 述崗位只具有分配策略和組織角色權(quán)限。
[0034] 其中��,業(yè)務(wù)域:企業(yè)的核心業(yè)務(wù)價值鏈�,根據(jù)其業(yè)務(wù)相關(guān)性進行組合形成的較為高 階的業(yè)務(wù)領(lǐng)域,通常和組織單元中部門的劃分相似�。
[0035] 業(yè)務(wù)組織:組織機構(gòu)的抽象表示,可以有多級���,可以是一個集團�、公司�、部門、處室 或一個工作組等���;也可以表示外部組織���,如客戶或供應(yīng)商;還可以表示臨時性組織����,如項目 組�����。
[0036] 應(yīng)用系統(tǒng):一組同類型的或緊密耦合的�����、實現(xiàn)同一業(yè)務(wù)目標的功能邏輯組合�����。
[0037] RBAC :基于角色的訪問控制(Role-Based Access Control)作為傳統(tǒng)訪問控制(自 主訪問��,強制訪問)�����。
[0038] XACML :是一種用于決定請求/響應(yīng)的通用訪問控制策略語言和執(zhí)行授權(quán)策略的 框架��。
[0039] PDP :作為系統(tǒng)授權(quán)決策的實體���,依據(jù)XACML描述的訪問控制策略以及其他屬性信 息進行訪問控制決策。
[0040] PEP:它是在一個具體的應(yīng)用環(huán)境下執(zhí)行訪問控制的實體�,將具體應(yīng)用環(huán)境下訪問 控制請求轉(zhuǎn)換為適應(yīng)XACML要求的決策請求。
[0041] SAML :即安全斷言標記語言��,英文全稱是Security Assertion Markup Language ; 它是一個基于XML的標準��,用于在不同的安全域(security domain)之間交換認證和授權(quán) 數(shù)據(jù)�。
[0042] 本發(fā)明滿足信息系統(tǒng)權(quán)限管理所需,將企業(yè)身份數(shù)據(jù)進行統(tǒng)一管理����,所有的受控 資源對象或資源抽象對象進行集中管理,有效提高管理效率�����、降低生產(chǎn)及管理成本����。
[0043] 以上所述,僅是本發(fā)明的較佳實施例���,并非對本發(fā)明做任何形式上的限制�����,凡是依 據(jù)本發(fā)明的技術(shù)實質(zhì)對以上實施例所作的任何簡單修改����、等同變化,均落入本發(fā)明的保護 范圍之內(nèi)��。
【權(quán)利要求】
1. 針對電力信息系統(tǒng)的身份集中授權(quán)管理方法���,其特征在于:包括以下步驟: 步驟A :建立身份數(shù)據(jù)業(yè)務(wù)模型���,將企業(yè)所有用戶、組織���、崗位構(gòu)成的身份數(shù)據(jù)建立成 模型�����; 步驟B :建立權(quán)限受控資源管理中心���,通過步驟A所提供的身份數(shù)據(jù)業(yè)務(wù)模型構(gòu)建信息 系統(tǒng)的權(quán)限資源內(nèi)容,以便對其進行權(quán)限指派�;將企業(yè)的所有信息系統(tǒng)資源按照業(yè)務(wù)域進 行劃分,并構(gòu)建企業(yè)資源信息系統(tǒng)模型����; 步驟C :構(gòu)建以角色為中心的授權(quán)模型����,通過對用戶進行崗位指派的方式來為用戶分 配相應(yīng)的權(quán)限����; 步驟D :建立公共的身份鑒權(quán)服務(wù)�,為信息系統(tǒng)提供權(quán)限決策。
2. 根據(jù)權(quán)利要求1所述的針對電力信息系統(tǒng)的身份集中授權(quán)管理方法���,其特征在于: 在所述步驟B中����,所述企業(yè)資源信息系統(tǒng)模型包括:業(yè)務(wù)域�、組織體系、應(yīng)用系統(tǒng)��、組織性 質(zhì)�、業(yè)務(wù)組織、業(yè)務(wù)角色���、組織角色��、資源模型��、資源�����、策略�。
3. 根據(jù)權(quán)利要求2所述的針對電力信息系統(tǒng)的身份集中授權(quán)管理方法,其特征在于: 所述步驟B包含如下步驟: 步驟B. 1����、業(yè)務(wù)域劃分,整理識別組織范圍���,企業(yè)在新建一個企業(yè)資源信息系統(tǒng)時��,首先 要定義企業(yè)資源信息系統(tǒng)所在企業(yè)的業(yè)務(wù)域�����,進行業(yè)務(wù)域劃分�����,并整理識別企業(yè)資源信息 系統(tǒng)所涵蓋的組織范圍����; 步驟B. 2、業(yè)務(wù)域與組織體系的初始化���,企業(yè)資源信息系統(tǒng)在首次使用時����,從企業(yè)信息 資源規(guī)劃的整體上出發(fā)����,即自上而下的規(guī)劃����,并根據(jù)企業(yè)信息資源規(guī)劃完成業(yè)務(wù)域和組織 體系的初始化; 步驟B. 3����、經(jīng)步驟B. 2,如果業(yè)務(wù)域或組織體系不存在,則需要先梳理出該業(yè)務(wù)域所參 與的組織部門及企業(yè)資源信息系統(tǒng)的業(yè)務(wù)需求����,并結(jié)合企業(yè)資源信息系統(tǒng)模型中的組織完 成組織體系、組織性質(zhì)����、業(yè)務(wù)組織的建立�;如果已經(jīng)存在���,則根據(jù)企業(yè)資源信息系統(tǒng)所屬業(yè) 務(wù)域選擇對應(yīng)的組織體系即可����; 步驟B. 4�、建立應(yīng)用系統(tǒng),完成業(yè)務(wù)需求在應(yīng)用系統(tǒng)劃分�,并進一步完成業(yè)務(wù)角色的梳 理,構(gòu)建各個應(yīng)用系統(tǒng)的業(yè)務(wù)角色��; 步驟B. 5���、經(jīng)步驟B. 4,通過應(yīng)用系統(tǒng)的業(yè)務(wù)信息梳理�����,建立資源分類����,并根據(jù)應(yīng)用系統(tǒng) 的權(quán)限控制業(yè)務(wù)要求建立資源模型的定義及資源模型的操作�,進一步完成業(yè)務(wù)角色與資源 的指派。
4. 根據(jù)權(quán)利要求3所述的針對電力信息系統(tǒng)的身份集中授權(quán)管理方法,其特征在于: 所述步驟B. 3中����,業(yè)務(wù)角色的建立是企業(yè)信息規(guī)劃,自上而下根據(jù)應(yīng)用系統(tǒng)業(yè)務(wù)需求進行 業(yè)務(wù)信息分析建立���,并直接派生為系統(tǒng)的組織角色����。
5. 根據(jù)權(quán)利要求3所述的針對電力信息系統(tǒng)的身份集中授權(quán)管理方法����,其特征在于: 所述步驟B. 5中�,應(yīng)用系統(tǒng)的資源模型的定義,滿足各個應(yīng)用系統(tǒng)資源的抽象定義����,覆蓋其 資源權(quán)限控制。
6. 根據(jù)權(quán)利要求1所述的針對電力信息系統(tǒng)的身份集中授權(quán)管理方法�����,其特征在于: 所述步驟C中�,通過為崗位分配組織角色方式和為崗位分配策略方式來構(gòu)建以角色為中心 的授權(quán)模型: 為崗位分配組織角色方式,組織角色的權(quán)限建立是通過業(yè)務(wù)角色的權(quán)限指派派生而 來�,或組織角色根據(jù)場景進行權(quán)限自定義����;組織角色采用應(yīng)用系統(tǒng)進行安全域隔離��,崗位和 組織角色是多對多的關(guān)系�; 為崗位分配策略方式,策略部分采用XACML進行描述定義�����,每個策略都有一個目標�,將 策略目標設(shè)置為對應(yīng)應(yīng)用策略的崗位,崗位的屬性值與請求帶有的屬性值匹配�,則認為與 此策略相關(guān),應(yīng)用此策略所定義的規(guī)則對請求進行驗證����,策略采用應(yīng)用系統(tǒng)進行安全域隔 離,崗位和策略是一對多的關(guān)系��。
7. 根據(jù)權(quán)利要求6所述的針對電力信息系統(tǒng)的身份集中授權(quán)管理方法��,其特征在于: 在所述為崗位分配策略方式中�,策略的定義范圍需覆蓋所有的應(yīng)用系統(tǒng)的資源,采用XACML 可根據(jù)應(yīng)用系統(tǒng)的業(yè)務(wù)權(quán)限需求建模,從而能夠覆蓋企業(yè)所有信息系統(tǒng)的權(quán)限要求���。
8. 根據(jù)權(quán)利要求1所述的針對電力信息系統(tǒng)的身份集中授權(quán)管理方法����,其特征在于: 所述步驟D中��,主要包括身份的認證控制和身份資源的訪問控制: 身份的認證控制���,用戶在訪問企業(yè)資源信息系統(tǒng)模型時�����,采用基于SAML進行身份驗證 和識別���,需要提交用戶的身份驗證請求��,完成身份的識別認證���,包括以下步驟: 步驟D1. 1�、用戶通過源站點認證并向它請求到目標站點受保護資源的鏈接�; 步驟D1. 2、源站點使用驗證標志重新定向主體; 步驟D1. 3����、用戶使用該標志向目標站點請求受保護的資源; 步驟D1. 4�、目標站點PEP檢查該TOP的權(quán)限; 步驟D1. 5����、PDP內(nèi)部請求源站點使用該標志進行SAML驗證斷言; 步驟D1. 6�、源站點根據(jù)標志向目標站點提供SAML驗證斷言; 步驟D1. 7��、目標站點向源站點發(fā)送SAML令牌�,用戶接收令牌訪問目標站點受保護的資 源; 身份資源的訪問控制��,不同用戶在進行訪問企業(yè)資源信息系統(tǒng)時����,將進行應(yīng)用系統(tǒng)身 份資源權(quán)限鑒別,在應(yīng)用系統(tǒng)身份資源權(quán)限鑒別時采用如下兩種處理方式: D2. 1����、基于組織角色授權(quán)的資源權(quán)限鑒權(quán): D2. 1. 1�、首先根據(jù)資源的安全域進行計算出用戶的組織角色���,因組織角色指派給崗位��, 崗位被分配給用戶���,基于以上可計算出資源被訪問的當前用戶所擁有的組織角色; D2. 1.2�����、計算出組織角色所派生的業(yè)務(wù)角色���,并結(jié)合業(yè)務(wù)角色所訪問的資源為基礎(chǔ)與 其派生的組織角色資源進行耦合�; 所述D2. 1. 2中所采用的計算規(guī)則為:最終資源訪問權(quán)限為組織角色繼承業(yè)務(wù)角色資 源后進行的個性化權(quán)限調(diào)整后的結(jié)果����; D2. 2、基于策略的資源權(quán)限鑒權(quán): D2. 2. 1���、應(yīng)用系統(tǒng)通過基于XACML規(guī)范向PDP發(fā)出資源訪問請求,PDP首先根據(jù)資源的 安全域進行計算出用戶的策略�����,因策略指派給崗位,崗位被分配給用戶���,基于以上可計算出 資源被訪問的當前用戶所擁有的策略��; D2. 2. 2���、PDP通過加載策略庫,并依據(jù)應(yīng)用系統(tǒng)的XACML描述的訪問控制策略做出訪問 控制決策��。
9. 根據(jù)權(quán)利要求1所述的針對電力信息系統(tǒng)的身份集中授權(quán)管理方法��,其特征在于: 所述崗位只屬于組織下��,一個崗位只屬于一個組織而不存在分屬多個組織之下����,所述崗位 只具有分配策略和組織角色權(quán)限。
【文檔編號】G06Q50/06GK104125219SQ201410319286
【公開日】2014年10月29日 申請日期:2014年7月7日 優(yōu)先權(quán)日:2014年7月7日
【發(fā)明者】張捷, 張慧, 胡超陽, 吳桐, 胡州明, 張曉韜, 梁楷, 姜志航, 肖建飛, 馬?;? 申請人:四川中電啟明星信息技術(shù)有限公司