一种一体化网络安全接入方法

一种一体化网络安全接入方法
【专利摘要】本发明公开了一种一体化网络安全接入方法，包括确定第一网络设备对应的第一用户属性；确定第一网络设备在第一用户属性中的第二用户属性；采用最小权限原则，对第一网络设备分配与其第一用户属性对应的一级权限，并分配与其第二用户属性对应的二级权限；判断第一网络设备的第二用户属性与第二网络设备的第二用户属性是否一致；若第一网络设备的第二用户属性与第二网络设备的第二用户属性不一致，则对第一网络设备和所述第二网络设备进行屏蔽。本发明通过确定网络设备的第一用户属性和第二用户属性，并根据该网络设备的属性分配不同级别的权限。同时，对属性不同的网络设备进行屏蔽，以实现网络设备分级授权和不同属性网络设备相互隔离的目的。
【专利说明】一种一体化网络安全接入方法

【技术领域】
[0001]本发明涉及网络安全领域，特别是涉及一种一体化网络安全接入方法。

【背景技术】
[0002]在我国网络信息技术不断发展的背景下，电力系统也越来越多地依靠信息网络开展正常的生产、管理、运营、维护等业务。信息网络已成为电力系统的重要设施。同时，信息网络能够安全稳定运行，对于电力系统的正常运作也十分重要。
[0003]目前，电力系统的信息网络系统对相关网络的设备的接入往往是通过AAA(认证Authenticat1n，授权Authorizat1n，记帐Accounting)认证方式进行的。具体的，该网络设备通过认证后，即可得到授权，授权期限结束后再解除该网络设备的授权。但现有的接入方式并未对授权分级，也未对接入的网络设备之间进行必要的隔离，不能满足一体化网络安全接入的需求。


【发明内容】

[0004]本发明的目的是提供一种一体化网络安全接入方法，以解决现有网络设备接入时并未对授权分级，也未对接入的网络设备之间进行必要的隔离的问题。
[0005]一种一体化网络安全接入方法，包括:
[0006]确定第一网络设备对应的第一用户属性；
[0007]确定所述第一网络设备在所述第一用户属性中的第二用户属性；
[0008]采用最小权限原则，对所述第一网络设备分配与其第一用户属性对应的一级权限；
[0009]采用所述最小权限原则，对所述第一网络设备分配与其第二用户属性对应的二级权限；
[0010]判断所述第一网络设备的第二用户属性与第二网络设备的第二用户属性是否一致；
[0011]若所述第一网络设备的第二用户属性与所述第二网络设备的第二用户属性不一致，则对所述第一网络设备和所述第二网络设备进行屏蔽。
[0012]优选地，还包括:
[0013]判断第三网络设备的第二用户属性是否与所述第一网络设备的第二用户属性一致；
[0014]若一致则将所述第三网络设备添加至所述第一网络设备；
[0015]若不一致则对所述第一网络设备和所述第三网络设备进行屏蔽。
[0016]优选地，还包括:
[0017]对所述第一网络设备发出动态认证口令；
[0018]若所述第一网络设备回复正确口令，则对所述第一网络设备分配操作权限。
[0019]优选地，所述对所述第一网络设备分配操作权限之后还包括:
[0020]检测所述第一网络设备是否完成所述操作权限规定的内容；
[0021]若完成所述操作权限规定的内容，则收回所述操作权限。
[0022]优选地，所述对所述第一网络设备分配操作权限之后还包括:
[0023]检测所述第一网络设备的操作时间是否超过一单两票时间；
[0024]若所述操作时间超过一单两票时间，则收回所述操作权限。
[0025]优选地，所述检测所述第一网络设备是否完成所述操作权限规定的内容为:检测是否接收到所述第一网络设备发送的一单两票签发成功的数据。
[0026]优选地，所述一单两票签发成功的数据的发送方式为:
[0027]所述第一网络设备接收所述一单两票签发成功的数据；
[0028]判断所述数据是否接收完毕；
[0029]若所述数据接收完毕，则发送所述一单两票签发成功的数据。
[0030]优选地，所述发送所述一单两票签发成功的数据为:
[0031 ] 以数据推送方式发送所述一单两票签发成功的数据。
[0032]因此，本发明具有如下有益效果:
[0033]本发明提供一种一体化网络安全接入方法，包括确定第一网络设备对应的第一用户属性；确定所述第一网络设备在所述第一用户属性中的第二用户属性；采用最小权限原贝1J，对所述第一网络设备分配与其第一用户属性对应的一级权限；采用所述最小权限原则，对所述第一网络设备分配与其第二用户属性对应的二级权限；判断所述第一网络设备的第二用户属性与第二网络设备的第二用户属性是否一致；若所述第一网络设备的第二用户属性与所述第二网络设备的第二用户属性不一致，则对所述第一网络设备和所述第二网络设备进行屏蔽。
[0034]本发明通过确定网络设备的第一用户属性和第二用户属性，并根据该网络设备的属性分配不同级别的权限。同时，将该网络设备与其他网络设备属性进行对比，对属性不同的网络设备进行屏蔽，以实现网络设备分级授权和不同属性网络设备相互隔离的目的。

【专利附图】

【附图说明】
[0035]为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0036]图1为本发明提供的一种一体化网络安全接入方法的流程示意图；
[0037]图2为本发明提供的另一种一体化网络安全接入方法的流程示意图；
[0038]图3为本发明提供的一体化网络安全接入方法中，对网络设备的操作权限的授予与收回的流程示意图；
[0039]图4为本发明提供的一体化网络安全接入方法中，对网络设备的操作权限收回的方法示意图。

【具体实施方式】
[0040]本发明的核心是提供一种一体化网络安全接入方法。[0041 ] 为了使本【技术领域】的人员更好地理解本发明的方案，下面结合附图和【具体实施方式】对本发明作进一步的详细说明。
[0042]在以下描述中阐述了具体细节以便于充分理解本发明。但是本发明能够以多种不同于在此描述的其它方式来实施，本领域技术人员可以在不违背本发明内涵的情况下做类似推广。因此本发明不受下面公开的具体实施的限制。
[0043]在本发明提供的一体化网络安全接入方法中，参见图1，该实施例包括以下步骤:
[0044]S101、确定第一网络设备对应的第一用户属性。
[0045]S102、确定所述第一网络设备在所述第一用户属性中的第二用户属性。
[0046]具体的，我国的许多企业对于网络接入的安全性的管理，都采用AAA认证的方式。在电力系统中，网络接入的安全可靠更是重中之重，因此，对需要接入网络的设备需要更有针对性的接入方法。因此，本发明首先确定第一用户属性和第二用户属性。具体的，在本发明提供的实施例中，一台设备对应的用户属性是指其行政等级属性。第一用户属性是指省级行政等级。第二用户属性是地市行政等级。
[0047]在这里，需要说明的是，所述的第一网络设备是泛指需要接入的某一台设备，而不是特定指代。
[0048]S103、采用最小权限原则，对所述第一网络设备分配与其第一用户属性对应的一级权限。
[0049]S104、采用所述最小权限原则，对所述第一网络设备分配与其第二用户属性对应的二级权限。
[0050]在这里，将设备的用户权限划分为一级权限和二级权限。具体的，省级用户属性则分配一级权限，地市级用户属性分配二级权限。当然，在本实施例中，只是提供了一个具体的一级权限和二级权限的分配方案。在其他的场景下，也可以根据实际情况根据其他的属性划分配一级权限和二级权限。
[0051]S105、判断所述第一网络设备的第二用户属性与第二网络设备的第二用户属性是否一致。
[0052]S106、若所述第一网络设备的第二用户属性与所述第二网络设备的第二用户属性不一致，则对所述第一网络设备和所述第二网络设备进行屏蔽。
[0053]当第一网络设备和第二网络设备的第二用户属性一致时，相互可见；而属性不一致时，则相互不可见，以确保安全。
[0054]本发明通过确定网络设备的第一用户属性和第二用户属性，并根据该网络设备的属性分配不同级别的权限。同时，将该网络设备与其他网络设备属性进行对比，对属性不同的网络设备进行屏蔽，以实现网络设备分级授权和不同属性网络设备相互隔离的目的。
[0055]在本发明提供的上述一体化网络安全接入方法的实施例的基础上，参见图2，还包括以下步骤:
[0056]S201、判断第三网络设备的第二用户属性是否与所述第一网络设备的第二用户属性一致。
[0057]S202、若一致则将所述第三网络设备添加至所述第一网络设备。
[0058]S203、若不一致则对所述第一网络设备和所述第三网络设备进行屏蔽。
[0059]需要指出的是，在本实施例中，只是给出了一个具体的实施方法，并不能认为本发明提供的方法在其他的情况下也按照此执行顺序进行。具体的，也可以在进行S201步骤之后先进彳丁 S203步骤。
[0060]具体的，在第一网络设备连入企业网络后，与其他在该网络的第三网络设备交换信息或者信息共享时，需要首先判断二者的第二用户属性是否一致。不一致时，说明第一网络设备和第三网络设备不在同一地理区域。具体的，在一个场景中，以地市为第二用户属性的划分单位时，第一网络设备的第二用户属性为杭州，而第三网络设备的第二用户属性为金华，则不允许在第一网络设备添加第三网络设备。在本发明提供的方案中，具体的方法是，屏蔽第一网络设备与第三网络设备，实现二者在网络中的隔离，提高网络安全性。当然，如果第一网络设备和第三网络设备为同一第二用户属性，则不对二者进行屏蔽，可以进行添加，以便同一区域内的设备实现信息和资源共享。
[0061]在本发明提供的上述一体化网络安全接入方法的实施例的基础上，参见图3，还包括以下步骤，以实现对网络设备的操作权限的授予与收回:
[0062]S301、对所述第一网络设备发出动态认证口令。
[0063]在一个具体的场景中，企业网络采用双因素认证的方式。使用第一网络设备的用户通过移动终端接收网络发送的动态认证口令。用户将该认证口令输入至第一网络设备。当然，在选择具体的双因素认证的方式时，可以根据实际情况选择合适的认证类型，本发明在此并不做限制。
[0064]S302、若所述第一网络设备回复正确口令，则对所述第一网络设备分配操作权限。
[0065]用户输入动态认证口令后，第一网络设备将该认证口令作为回复内容，向网络回复。网络将发送的认证口令与第一网络设备回复的认证口令进行匹配，若匹配正确，则分配相应的操作权限。
[0066]S303、检测所述第一网络设备的操作时间是否超过一单两票时间。
[0067]S304、若所述操作时间超过一单两票时间，则收回所述操作权限。
[0068]一单两票，即工作票、操作票和派工单。具体的，可以根据实际情况对一单了两票时间进行设置，本发明在此并不做具体限制。
[0069]在本发明提供的上述一体化网络安全接入方法的实施例的基础上，参见图4，对所述第一网络设备分配操作权限之后还可以通过以下方法收回操作权限:
[0070]S401、检测所述第一网络设备是否完成所述操作权限规定的内容。
[0071]在一个具体的实施例中，可以是检测是否接收到所述第一网络设备发送的一单两票签发成功的数据。
[0072]在一个具体的实施例中，所述一单两票签发成功的数据的发送方式包括:
[0073]所述第一网络设备接收所述一单两票签发成功的数据。
[0074]判断所述数据是否接收完毕。
[0075]若所述数据接收完毕，则发送所述一单两票签发成功的数据。
[0076]具体的，在一个实施例中，以数据推送方式发送所述一单两票签发成功的数据。
[0077]在一个实际的场景下，用户使用第一网络设备输入相应数据，表征操作完成。完成后，该网络设备根据结果，对一单两票进行闭环并发送数据。数据接收成功后，即收回操作权限，操作结束。
[0078]S402、若完成所述操作权限规定的内容，则收回所述操作权限。
[0079]综上所述，本发明提供的一体化网络安全接入方法通过分类分级用户权限分配，能够满足了信息网络设备一体化管理需求，又满足不同地区用户组之间的相互隔离，增加系统设备操作的安全性。进一步的，本发明提供的操作权限授予与收回的方法采用数据推送方式，对整个网络系统进行集约化管理，减少了多级部署、以及多余的投资，节省了资源，提尚了效率。
[0080]本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其它实施例的不同之处，各个实施例之间相同或相似部分互相参见即可。
[0081]以上对本发明所提供的一种一体化网络安全接入方法进行了详细介绍。本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的原理及其核心思想。应当指出，对于本【技术领域】的普通技术人员来说，在不脱离本发明原理的前提下，还可以对本发明进行若干改进和修饰，这些改进和修饰也落入本发明权利要求的保护范围内。
【权利要求】
1.一种一体化网络安全接入方法，其特征在于，包括: 确定第一网络设备对应的第一用户属性； 确定所述第一网络设备在所述第一用户属性中的第二用户属性； 采用最小权限原则，对所述第一网络设备分配与其第一用户属性对应的一级权限； 采用所述最小权限原则，对所述第一网络设备分配与其第二用户属性对应的二级权限； 判断所述第一网络设备的第二用户属性与第二网络设备的第二用户属性是否一致；若所述第一网络设备的第二用户属性与所述第二网络设备的第二用户属性不一致，则对所述第一网络设备和所述第二网络设备进行屏蔽。
2.根据权利要求1所述的一体化网络安全接入方法，其特征在于，还包括: 判断第三网络设备的第二用户属性是否与所述第一网络设备的第二用户属性一致； 若一致则将所述第三网络设备添加至所述第一网络设备； 若不一致则对所述第一网络设备和所述第三网络设备进行屏蔽。
3.根据权利要求1所述的一体化网络安全接入方法，其特征在于，还包括: 对所述第一网络设备发出动态认证口令； 若所述第一网络设备回复正确口令，则对所述第一网络设备分配操作权限。
4.根据权利要求3所述的一体化网络安全接入方法，其特征在于，所述对所述第一网络设备分配操作权限之后还包括: 检测所述第一网络设备是否完成所述操作权限规定的内容； 若完成所述操作权限规定的内容，则收回所述操作权限。
5.根据权利要求3所述的一体化网络安全接入方法，其特征在于，所述对所述第一网络设备分配操作权限之后还包括: 检测所述第一网络设备的操作时间是否超过一单两票时间； 若所述操作时间超过一单两票时间，则收回所述操作权限。
6.根据权利要求4所述的一体化网络安全接入方法，其特征在于，所述检测所述第一网络设备是否完成所述操作权限规定的内容为:检测是否接收到所述第一网络设备发送的一单两票签发成功的数据。
7.根据权利要求6所述的一体化网络安全接入方法，其特征在于，所述一单两票签发成功的数据的发送方式为: 所述第一网络设备接收所述一单两票签发成功的数据； 判断所述数据是否接收完毕； 若所述数据接收完毕，则发送所述一单两票签发成功的数据。
8.根据权利要求7所述的一体化网络安全接入方法，其特征在于，所述发送所述一单两票签发成功的数据为: 以数据推送方式发送所述一单两票签发成功的数据。
【文档编号】H04L29/06GK104506528SQ201410810878
【公开日】2015年4月8日 申请日期:2014年12月23日 优先权日:2014年12月23日
【发明者】叶卫, 杜猛俊 申请人:国家电网公司, 国网浙江省电力公司杭州供电公司