1.本发明涉及电力系统网络安全技术领域,具体是一种实现多级架构之间认证漫游和鉴权的方法。
背景技术:
2.在电力行业,特别是大型电力企业,组织结构层次复杂、数量众多,其通常由集团总部、二级单位、三级单位等多级系统架构组成,规模大,结构复杂,电力应用系统中的用户身份管理的复杂程度也达到了前所未有的高度,弱口令、僵尸账号、冗余账号、账号冒用、钓鱼用户、重复登录、异地登录、多样性访问、分散管理、审计弱化等与用户安全有关的问题也开始浮出水面,成为制约电力企业生态系统建设、威胁其网络安全、影响用户体验的主要问题。
3.电力应用系统中的用户身份管理是网络安全的基础,也是网络安全体系中最薄弱、管理难度最大、管理成本最高的环节,同时也是攻击者开展攻击的首选目标和方向,然而现有的电力应用系统存在用户身份的认证和鉴权安全性不高,容易受到异常攻击的问题。
技术实现要素:
4.本发明的目的在于提供一种实现多级架构之间认证漫游和鉴权的方法,以解决上述背景技术中提出的问题。
5.为实现上述目的,本发明提供如下技术方案:
6.提供一种实现多级架构之间认证漫游和鉴权的方法,具体包括以下步骤:
7.s1、多级架构账号注册管理步骤:通过一级系统负责电力总公司的账号集中注册管理;通过二级系统负责电力二级单位的账号集中注册管理;通过三级系统负责电力三级单位的账号集中注册管理,实现多级架构的账号注册管理;
8.s2、账号集中认证管理步骤:由电力总公司、二级单位和三级单位的本地用户分别在本地完成账号集中认证管理;所述账号集中认证服务管理包括支持全面的认证方式、高复杂度和高适配性相结合的认证策略管理、跨应用的接口对接能力和定制的认证组件;
9.s3、账号授权管理步骤:分别进行资源管理、访问授权管理、分组授权管理和授权自服务管理;
10.s4、账号鉴权管理步骤:分别对账号登录、访问操作记录、系统管理日志和用户视图进行鉴权,鉴权的手段包括异常行为分析、报表查询、安全预警;
11.s5、账号权限控制步骤:分别对账号口令策略、时间限制策略、账号管理场景、账号组织管理和账号特殊状态管理进行控制。
12.优选的,所述s1步骤中的账号注册管理包括自注册服务、证书管理服务、个人信息变更服务、应用市场服务和安全设置服务。
13.优选的,所述s2步骤中全面的认证方式可与外部认证系统对接以实现各种认证方
式及组合;
14.所述s2步骤中的高复杂度和高适配性相结合的认证策略管理根据用户访问的资源类型、访问数据的敏感程度、访问经过的网络路径、登录时间,确定不同的安全等级;
15.所述s2步骤中的跨应用的接口对接能力包括与ca系统实现认证以及与fido实现认证对接;
16.所述s2步骤中的定制的认证组件包括移动认证sdk插件、认证jssdk插件和认证后台。
17.优选的,所述s2步骤中的账号集中认证管理的流程包括:
18.s11、访问服务:认证组件发送请求访问应用系统提供的服务资源;
19.s12、定向认证:认证组件会重定向用户请求到sso服务器;
20.s13、用户认证:用户身份认证;
21.s14、发放票据:系统服务器会产生一个经过sm4算法加密的令牌;
22.s15、验证票据:系统服务器验证令牌的合法性,验证通过后,允许客户端访问服务;
23.s16、传输用户信息:系统服务器验证票据通过后,传输用户认证结果信息给客户端。
24.优选的,所述s2步骤中账号集中认证管理通过全面的单点登录协议覆盖、广泛的单点登录场景及认证场景覆盖、跨应用形态的认证支持、多层级的管理要求和融合网络的认证,以解决整个电力公司应用系统中庞大数量的应用一键登录和处处漫游的问题,且用户只需登录一次就能访问所有相互信任的应用系统。
25.优选的,所述s4步骤中异常行为分析是通过日常行为基线对用户行为动作进行分析,以判断异常行为,异常行为内容包括登录行为异常、认证行为异常、操作行为异常、无账号异常、同一ip多个账号登录;
26.所述s4步骤中安全预警根据异常行为分析后产生的待鉴权信息,待鉴权信息经后台管理员审核后确认是否需要告警,预警方式包括短信通知、图形化界面显示、以及通过工单接口将预警信息发送给相应的审计人员;预警内容包括事件预警、预警明细信息和处理建议。
27.优选的,所述s5步骤中的账号口令策略包括账号密码最小值最大值长度限制、密码复杂度、可用特殊字符、密码有效期、逾期提醒时间、密码不得重复次数、允许密码错误次数,密码锁定后,可由管理员解锁;
28.所述s5步骤中的时间限制策略用于对登录时间进行控制;
29.所述s5步骤中的账号管理场景包括账号注册与应用关联管理、账号冻结与禁用场景以及人员调用场景组成;
30.所述s5步骤中的账号组织管理按树状目录展示主账号组织;
31.所述s5步骤中的账号特殊状态管理包括长期未用账号管理、异常事件登录账号管理、异地登录账号管理、异地同时登录账号管理。
32.与现有技术相比,本发明至少具有如下有益的技术效果:
33.本发明通过多级架构账号注册管理、账号集中认证管理、账号授权管理、账号鉴权管理和账号权限控制,对电力系统中的用户身份进行认证和鉴权,具备全网集中的账号管
理能力,能够对全网账号进行集中化、标准化、可视化管理,具备全网统一的认证能力,能够对全网人员和业务认证提供标准化、服务化管理,具备全网统一的鉴权能力,能够提升鉴权智慧程度,落实鉴权管理,实现真正有效的鉴权,具有增强型的平台安全支持能力,为业务系统提供安全增强支持,避免了电力系统受到异常攻击,提高了电力系统的网络安全。
具体实施方式
34.本发明实施例中,一种实现多级架构之间认证漫游和鉴权的方法,包括以下步骤:
35.s1、多级架构账号注册管理:通过一级系统负责电力总公司的账号集中注册管理;通过二级系统负责电力二级单位的账号集中注册管理;通过三级系统负责电力三级单位的账号集中注册管理,实现多级架构的账号注册管理;
36.s2、账号集中认证管理:由电力总公司、二级单位和三级单位的本地用户分别在本地完成账号集中认证管理,电力总公司用户到二级单位的认证,先由二级单位先在本地查询,本地没有,由二级单位转发认证请求到总公司,由总公司完成认证,同理,二级单位用户到三级单位的认证,先由三级单位先在本地查询,本地没有,由三级单位转发认证请求到二级单位,由二级单位完成认证;支持电力总公司、二级单位和三级单位的本地用户分别访问各自应用,支持总公司用户访问二级系统,二级单位用户访问三级系统,支持二级单位互访,即二级单位人员访问其他二级单位系统,支持内网外网用户访问,避免电力公司的内外网存在物理隔离;账号集中认证服务管理包括支持全面的认证方式、高复杂度和高适配性相结合的认证策略管理、跨应用的接口对接能力和定制的认证组件;
37.s3、账号授权管理:分别进行资源管理、访问授权管理、分组授权管理和授权自服务管理;
38.其中资源管理包括资源属性管理、资源组管理和资源类型管理;访问授权管理用于将用户账号与资源进行绑定,实现用户只能在已授权资源上进行登陆;分组授权管理用户账号通过绑定资源组,便可访问该资源组下的所有资源;授权自服务管理用于定义用户可访问的业务系统,当用户访问时生成用户访问的票据,从而保证用户账号只能登陆已授权的资源,对于未授权的资源即便认证信息正确,也不允许登陆;
39.s4、账号鉴权管理:分别对账号登录、访问操作记录、系统管理日志和用户视图进行鉴权,鉴权的手段包括异常行为分析、报表查询、安全预警,对用户身份的真实性进行鉴别;
40.s5、账号权限控制:分别对账号口令策略、时间限制策略、账号管理场景、账号组织管理和账号特殊状态管理进行控制;
41.优选的,s1步骤中的账号注册管理包括自注册服务、证书管理服务、个人信息变更服务、应用市场服务和安全设置服务;
42.自注册服务包括用户实名注册、用户注册申请和注册状态查看;证书管理服务包括证书申请、证书延期和证书下载;个人信息变更服务包括电话变更、住址变更和其他个人信息变更;应用市场服务包括应用系统、账号应用关联和申请状态跟踪,其中账号应用关联用于定义用户可访问的业务系统,当用户进行访问时,生成用户访问的票据;安全设置服务包括密码强度设置、等级保护设置和安全策略设置。
43.优选的,s2步骤中全面的认证方式可与外部认证系统对接以实现各种认证方式及
组合,其认证的方式包括:动态口令、静态口令、手机令牌、二维码扫描认证、数字证书认证、短信认证、指纹、虹膜和人脸识别;
44.s2步骤中的高复杂度和高适配性相结合的认证策略管理根据用户访问的资源类型、访问数据的敏感程度、访问经过的网络路径、登录时间,确定不同的安全等级,为各安全级别提供不同强度的认证方式,实现不同强度的认证,且针对不同的人员可设置不同的认证策略,认证策略包括访问时间控制策略、访问地址控制策略、访问周期控制策略、访问账号控制策略,认证策略可与认证方式相结合;
45.s2步骤中的跨应用的接口对接能力包括与ca系统实现认证以及与fido实现认证对接;通过与ca系统实现认证,以增加双因素认证能力,通过与fido实现认证对接,以解决收集app认证的问题;
46.s2步骤中的定制的认证组件包括移动认证sdk插件、认证jssdk插件和认证后台;其中移动认证sdk插件作为用户认证操作的功能载体,提供统一应用app集成,认证jssdk插件为用户提供登录所需的多因素认证操作选项,认证后台提供对用户从移动端认证sdk发起的认证动作的鉴权功能。
47.优选的,s2步骤中的账号集中认证管理的流程如下:
48.s11、访问服务:认证组件发送请求访问应用系统提供的服务资源;
49.s12、定向认证:认证组件会重定向用户请求到sso服务器;
50.s13、用户认证:用户身份认证;
51.s14、发放票据:系统服务器会产生一个经过sm4算法加密的令牌;
52.s15、验证票据:系统服务器验证令牌的合法性,验证通过后,允许客户端访问服务;
53.s16、传输用户信息:系统服务器验证票据通过后,传输用户认证结果信息给客户端。
54.优选的,s2步骤中账号集中认证管理通过全面的单点登录协议覆盖、广泛的单点登录场景及认证场景覆盖、跨应用形态的认证支持、多层级的管理要求和融合网络的认证,以解决整个电力公司应用系统中庞大数量的应用一键登录和处处漫游的问题,且用户只需登录一次就能访问所有相互信任的应用系统;
55.其中,全面的单点登录协议覆盖支持ldap、cas、saml、oauth2、openid、radius、tacas+、sdk和schema认证协议,同时支持口令代填和token认证方式;
56.广泛的单点登录场景及认证场景覆盖由基于业务的单点登录场景及认证管理、基于一级用户的单点登录场景及认证管理和基于二级用户的单点登录场景及认证管理组成;
57.其中,基于业务的单点登录场景及认证管理用于解决用户不直接登录同一门户,用户先登录某一个系统采用双因素认证的方式,然后登录其他的业务系统,实现其他业务系统的sso单点登录,整个认证过程对业务用户不可见;基于一级用户的单点登录场景及认证管理用于解决电力总公司用户成功访问二级单位业务系统情况下,当需要再访问其他业务系统时,需要实现单点登录;基于二级用户的单点登录场景及认证管理用于解决二级单位互访的情况下,当需要访问其他二级单位业务系统,需要实现单点登录;
58.跨应用形态的认证支持支持跨pc端应用、跨移动端app应用、跨b/s架构应用、跨c/b架构应用的认证,如移动端app应用的登录及认证、pc端堡垒机运维操作登录及认证;
59.融合网络的认证支持融合vpn、无线、网络准入、堡垒机,通过ldap协议完成统一认证管理。
60.优选的,s4步骤中异常行为分析是通过日常行为基线对用户行为动作进行分析,以判断异常行为,异常行为内容包括登录行为异常、认证行为异常、操作行为异常、无账号异常、同一ip多个账号登录;
61.s4步骤中安全预警根据异常行为分析后产生的待鉴权信息,待鉴权信息经后台管理员审核后确认是否需要告警,预警方式包括短信通知、图形化界面显示、以及通过工单接口将预警信息发送给相应的审计人员;预警内容包括事件预警、预警明细信息和处理建议。
62.优选的,s5步骤中的账号口令策略包括账号密码最小值最大值长度限制、密码复杂度、可用特殊字符、密码有效期、逾期提醒时间、密码不得重复次数、允许密码错误次数,密码锁定后,可由管理员解锁,针对不同的账号可以采取不同的密码策略对密码进行更新;
63.s5步骤中的时间限制策略用于对登录时间进行控制,在限定的时间内,对某个资源,在非工作时间内,不允许登录,以保障重要资源的安全;
64.s5步骤中的账号管理场景包括账号注册与应用关联管理、账号冻结与禁用场景以及人员调用场景组成,其中,账号注册与应用关联管理用于人员注册和访问应用关联,通过流程化的管理方式解决用户注册和访问内容管理,同时加入人员的处理流程管;账号冻结与禁用场景用于管理员对用户账号进行冻结和解禁管理支持批量冻结、批量解禁能力,支并持自动冻结功能,例如:用户连续认证5次失败,自动对账号进行冻结,用于超过一个月未登陆,自动对账号进行冻结;人员调用场景用于人员调离相应的单位,管理员可以对账号的关联应用进行冻结,当用户返回原单位后,可通过关联申请对账号进行解禁;
65.s5步骤中的账号组织管理按树状目录展示主账号组织,通过主账号还可以进行批量操作,比如:批量导入导出、批量删除、批量缩短、批量解锁;
66.s5步骤中的账号特殊状态管理包括长期未用账号管理、异常事件登录账号管理、异地登录账号管理、异地同时登录账号管理。
67.试验例
68.根据上述实现多级架构之间认证漫游和鉴权的方法对电力公司内部系统进行管理,并设置多个恶意账号进行测试,发现恶意账号无法顺利通过用户身份的认证和鉴权,从而确保了业务系统的安全,避免了电力系统受到异常攻击。
69.以上的,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,根据本发明的技术方案及其发明构思加以等同替换或改变,都应涵盖在本发明的保护范围之内。