[发明专利]针对电力信息系统的身份集中授权管理方法

说明书

技术领域

本发明涉及信息系统控制、电力系统控制等技术领域，具体的说，是针对电力信息系统的身份集中授权管理方法。

背景技术

在电力行业中，信息管理系统种类繁多，不同的信息管理系统在访问控制方面采用的技术不尽相同，在访问控制领域，RBAC 模型是一个经常被引用的模型，是保障企业信息系统安全的一项重要技术。RBAC 的基本概念就是把权限和角色联系在一起，然后给用户指派合适的角色，用户通过其指派的角色取得相应的权限，整个访问控制过程就被分为了两个部分：访问权限与角色相关联，角色再与用户相关联，从而实现了用户与访问权限的逻辑分离。

随着企业的发展壮大及现代信息技术的发展，信息化应用越来越广，信息系统安全和管控越来越重要，一种能有效解决信息系统控制、电力系统控制等技术领域中统一权限管理方法是为迫切需要。

发明内容

本发明的目的在于提供针对电力信息系统的身份集中授权管理方法，满足信息系统权限管理所需，将企业身份数据进行统一管理，所有的受控资源对象或资源抽象对象进行集中管理，有效提高管理效率、降低生产及管理成本。

本发明通过下述技术方案实现：针对电力信息系统的身份集中授权管理方法，包括以下步骤：

步骤A：建立身份数据业务模型，将企业所有用户、组织、岗位构成的身份数据建立成模型；

步骤B：建立权限受控资源管理中心，通过步骤A所提供的身份数据业务模型构建信息系统的权限资源内容，以便对其进行权限指派；将企业的所有信息系统资源按照业务域进行划分，并构建企业资源信息系统模型；

步骤C：构建以角色为中心的授权模型，通过对用户进行岗位指派的方式来为用户分配相应的权限；

步骤D：建立公共的身份鉴权服务，为信息系统提供权限决策。

进一步的，为更好的实现本发明，在所述步骤B中，所述企业资源信息系统模型包括：业务域、组织体系、应用系统、组织性质、业务组织、业务角色、组织角色、资源模型、资源、策略；

进一步的，为更好的实现本发明，所述步骤B包含如下步骤：

步骤B.1、企业在新建一个企业资源信息系统时，首先要定义企业资源信息系统所在企业的业务域，进行业务域划分，并整理识别企业资源信息系统所涵盖的组织范围；

步骤B.2、企业资源信息系统在首次使用时，从企业信息资源规划的整体上出发，即自上而下的规划，并根据企业信息资源规划完成业务域和组织体系的初始化；

步骤B.3、经步骤B.2，如果业务域或组织体系不存在，则需要先梳理出该业务域所参与的组织部门及企业资源信息系统的业务需求，并结合企业资源信息系统模型中的组织完成组织体系、组织性质、业务组织的建立；如果已经存在，则根据企业资源信息系统所属业务域选择对应的组织体系即可；

步骤B.4、建立应用系统，完成业务需求在应用系统划分，并进一步完成业务角色的梳理，构建各个应用系统的业务角色；

步骤B.5、经步骤B.4，通过应用系统的业务信息梳理，建立资源分类，并根据应用系统的权限控制业务要求建立资源模型的定义及资源模型的操作，进一步完成业务角色与资源的指派。

进一步的，为更好的实现本发明，所述步骤B.3中，业务角色的建立是企业信息规划，自上而下根据应用系统业务需求进行业务信息分析建立，并直接派生为系统的组织角色。

进一步的，为更好的实现本发明，所述步骤B.5中，应用系统的资源模型的定义，能够更好的满足各个应用系统资源的抽象定义，进而覆盖其资源权限控制。

进一步的，为更好的实现本发明，所述步骤C中，通过为岗位分配组织角色方式和为岗位分配策略方式来构建以角色为中心的授权模型；

为岗位分配组织角色方式，组织角色的权限建立是通过业务角色的权限指派派生而来，或组织角色根据场景进行权限自定义；组织角色采用应用系统进行安全域隔离，岗位和组织角色是多对多的关系；

为岗位分配策略方式，策略部分采用XACML进行描述定义，每个策略都有一个目标，将策略目标设置为对应应用策略的岗位，岗位的属性值与请求带有的属性值匹配，则认为与此策略相关，应用此策略所定义的规则对请求进行验证。策略采用应用系统进行安全域隔离，岗位和策略是一对多的关系。

进一步的，为更好的实现本发明，在所述为岗位分配策略方式中，策略的定义范围需覆盖所有的应用系统的资源，采用XACML可根据应用系统的业务权限需求建模，从而能够覆盖企业所有信息系统的权限要求。

进一步的，为更好的实现本发明，所述步骤D中，主要包括身份的认证控制和身份资源的访问控制：