(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210843232.8 (22)申请日 2022.07.18 (71)申请人 西安热工 研究院有限公司 地址 710048 陕西省西安市碑林区兴庆路 136号 申请人 华能集团技 术创新中心有限公司 (72)发明人 毕玉冰　杨东　肖力炀　崔逸群　 刘超飞　曾荣汉　胥冠军　朱博迪　 刘迪　刘骁　王文庆　邓楠轶　 董夏昕　朱召鹏　介银娟　王艺杰　 崔鑫　 (74)专利代理 机构 西安通大专利代理有限责任 公司 6120 0 专利代理师 闵岳峰(51)Int.Cl. H04L 9/40(2022.01) H04L 9/32(2006.01) (54)发明名称 一种实现多级架构之间认证漫游和鉴权的 方法 (57)摘要 本发明涉及电力系统网络安全技术领域， 公 开了一种实现多级架构之间认证漫游和鉴权的 方法， 包括以下步骤： S1、 多级架构账号注册管 理； S2、 账号集中认证管理； S3、 账号授权管理； S4、 账号鉴权管理； S5、 账号权限控制。 本发明通 过对电力系统中的用户身份进行认证和鉴权， 具 备全网集中的账号管理能力， 能够对全网账号进 行集中化、 标准化、 可视化管理， 具备全网统一的 认证能力， 能够对全网人员和业务认证提供标准 化、 服务化管理， 具备全网统一的鉴权能力， 能够 提升鉴权智慧程度， 落实鉴权管理， 实现真正有 效的鉴权， 具有增强型的平台安全支持能力， 为 业务系统提供安全增强支持， 避免了电力系统受 到异常攻击， 提高了电力系统的网络安全。 权利要求书2页 说明书5页 CN 115189958 A 2022.10.14 CN 115189958 A 1.一种实现多 级架构之间认证漫游和鉴权的方法， 其特 征在于， 具体包括以下步骤： S1、 多级架构账号注册管理步骤： 通过一级系统负责电力总公司的账号集中注册管理； 通过二级系统负责电力二级单位的账号集中注册管理； 通过三级系统负责电力三级单位的 账号集中注册管理， 实现多 级架构的账号注 册管理； S2、 账号集中认证管理步骤： 由电力总公司、 二级单位和三级单位的本地用户分别在本 地完成账号集中认证管理； 所述账号集中认证服务管理包括支持全面的认证方式、 高复杂 度和高适配性相结合的认证策略管理、 跨应用的接口对接能力和定制的认证组件； S3、 账号授权管理步骤： 分别进行资源管理、 访问授权管理、 分组授权管理和授权自服 务管理； S4、 账号鉴权管理步骤： 分别对账号登录、 访问操作记录、 系统管理日志和用户视图进 行鉴权， 鉴权的手段包括异常行为分析、 报表查询、 安全预警； S5、 账号权限控制步骤： 分别 对账号口令策略、 时间限制策略、 账号管理场景、 账号组织 管理和账号特殊状态管理进行控制。 2.根据权利要求1所述的一种实现多级架构之间认证漫游和鉴权的方法， 其特征在于， 所述S1步骤中的账号注册管理包括自注册 服务、 证书 管理服务、 个人信息变更服务、 应用市 场服务和安全设置服 务。 3.根据权利要求1所述的一种实现多级架构之间认证漫游和鉴权的方法， 其特征在于， 所述S2步骤中全面的认证方式可与外 部认证系统对接以实现各种认证方式及组合； 所述S2步骤中的高复杂度和高适配性相结合的认证策略管理根据用户访 问的资源类 型、 访问数据的敏感程度、 访问经 过的网络路径、 登录时间， 确定不同的安全等级； 所述S2步骤中的跨应用的接口对接能力包括与CA系 统实现认证以及与FIDO实现认证 对接； 所述S2步骤中的定制的认证组件 包括移动认证S DK插件、 认证JS SDK插件和认证后台。 4.根据权利要求1所述的一种实现多级架构之间认证漫游和鉴权的方法， 其特征在于， 所述S2步骤中的账号 集中认证管理的流 程包括： S11、 访问服 务： 认证组件发送请求访问应用系统提供的服 务资源； S12、 定向认证： 认证组件 会重定向用户请求到S SO服务器； S13、 用户认证： 用户身份认证； S14、 发放 票据： 系统服 务器会产生 一个经过SM4算法加密的令牌； S15、 验证票据： 系统服 务器验证令牌的合法性， 验证通过后， 允许客户端访问服 务； S16、 传输用户信息： 系统服 务器验证票据通过后， 传输用户认证结果信息给客户端。 5.根据权利要求1所述的一种实现多级架构之间认证漫游和鉴权的方法， 其特征在于， 所述S2步骤中账号集中认证管理通过全面的单点登录协 议覆盖、 广泛的单点登录场景及认 证场景覆盖、 跨应用形态的认证支持、 多层 级的管理要求和融合网络的认证， 以解决整个电 力公司应用系统中庞大数量的应用一键 登录和处处漫游的问题， 且用户只需登录一次就能 访问所有相互信任的应用系统。 6.根据权利要求1所述的一种实现多级架构之间认证漫游和鉴权的方法， 其特征在于， 所述S4步骤中异常行为分析是通过日常行为基线对用户行为动作进 行分析， 以判断异常行 为， 异常行为内容包括登录行为异常、 认证行为异常、 操作行为异常、 无账号异常、 同一IP多权　利　要　求　书 1/2 页 2 CN 115189958 A 2个账号登录 。 7.根据权利要求6所述的一种实现多级架构之间认证漫游和鉴权的方法， 其特征在于， 所述S4步骤中安全 预警根据异常行为分析后产生的待鉴权信息， 待鉴权信息经后台管理员 审核后确认是否需要告警， 预警方式包括短信通知、 图形化界面显示、 以及通过工单接口将 预警信息发送给相应的审计人员； 预警内容包括事 件预警、 预警明细信息和处 理建议。 8.根据权利要求1所述的一种实现多级架构之间认证漫游和鉴权的方法， 其特征在于， 所述S5步骤中的账号口令策略包括账号密码最小值最大值长度限制、 密码复杂度、 可用特 殊字符、 密码有效期、 逾期提醒时间、 密码不得重复次数、 允许密码错误次数， 密码锁定后， 可由管理员解锁； 所述S5步骤中的时间限制策略用于对登录时间进行控制； 所述S5步骤中的账号管理场景包括账号注册与应用关联管理、 账号冻结与禁用场景以 及人员调用场景组成； 所述S5步骤中的账号组织管理按树状目录展示主账号组织； 所述S5步骤中的账号特殊状态管理包括长期未用账号管理、 异常事件登录账号管理、 异地登录账号管理、 异地同时登录账号管理。权　利　要　求　书 2/2 页 3 CN 115189958 A 3