CN120301648A 基于零信任架构的电网工程供应商信息访问控制方法 （国网吉林招标有限公司）.docxVIP

(19)国家知识产权局

(12)发明专利申请

(10)申请公布号CN120301648A(43)申请公布日2025.07.11

(21)申请号202510458233.4

(22)申请日2025.04.14

(71)申请人国网吉林招标有限公司

地址130000吉林省长春市南关区平泉路

1427号

(72)发明人何平葛胜仓张翼飞刘春莲

(74)专利代理机构北京佐行专利代理事务所(特殊普通合伙)11683

专利代理师张先蓉

(51)Int.CI.

HO4L9/40(2022.01)

权利要求书3页说明书11页附图2页

(54)发明名称

基于零信任架构的电网工程供应商信息访问控制方法

(57)摘要

CN120301648A本发明公开了一种基于零信任架构的电网工程供应商信息访问控制方法，包括如下步骤：S1、接收访问请求，执行身份验证；S2、对通过验证的访问请求提取供应商相关信息，生成访问上下文信息；S3、根据访问上下文信息生成访问控制策略；S4、建立资源访问路径，并通过加密通信方式完成访问连接；S5、在访问过程中采集供应商的操作行为数据；S6、计算操作行为数据与预设行为基线之间的偏离程度，并生成风险评分；S7、当风险评分超过设定阈值时，执行相应的安全处理操作；S8、将访问过程中的操作行为数据和安全处理记录进行存档。本发明基于零信任架

CN120301648A

S1、

S1、接收访问请求，执行身份验证

S2.对通过验证的访问请求

提取供应商相关信息，生成访问上下文信息

S3、根据访问上下文信息生成访问控制策略

S4、建立资源访问路径，并通过加密通信方式完成访问连接

S5、在访问过程中采集供应商的操作行为数据

S6.计算操作行为数据与预设

行为基线之间的偏离程度，并生成风险评分

S7,当风险评分超过设定阅值时，执行相应的安全处理操作

S8、将访问过程中的操作行为数据和安全处理记录进行存档

CN120301648A权利要求书1/3页

2

1.一种基于零信任架构的电网工程供应商信息访问控制方法，其特征在于，包括如下步骤：

S1、接收供应商终端设备的访问请求，执行多因素身份验证；

S2、对通过验证的访问请求提取供应商的身份信息、任务状态、项目信息、访问时间和网络位置，生成访问上下文信息，并与会话令牌进行绑定，传递至访问控制流程的下一阶段；

S3、根据访问上下文信息生成访问控制策略；

S4、依据访问控制策略建立资源访问路径，将访问请求限定在授权资源清单范围内，并通过加密通信方式完成访问连接；

S5、在访问过程中采集供应商的操作行为数据；

S6、对采集的操作行为数据进行分析，计算操作行为数据与预设行为基线之间的偏离程度，并生成风险评分；

S7、当风险评分超过设定阈值时，执行相应的安全处理操作；

S8、将访问过程中的操作行为数据和安全处理记录进行存档，形成访问日志数据。

2.根据权利要求1所述的一种基于零信任架构的电网工程供应商信息访问控制方法，其特征在于，所述多因素身份验证包括账号口令校验、动态令牌校验和终端设备指纹识别。

3.根据权利要求1所述的一种基于零信任架构的电网工程供应商信息访问控制方法，其特征在于，所述S1具体包括：

S11、接收供应商终端发起的访问请求，所述访问请求中包含身份验证信息，所述身份验证信息包括账号、口令、动态令牌和终端设备标识信息；

S12、对账号和口令进行校验，调用预设的认证数据库，通过比对所提交的账号和口令与存储信息判断是否匹配；

S13、对动态令牌进行时间同步验证，将终端设备所提交的动态令牌与当前系统生成的标准令牌进行比对，判断是否在设定的时间误差范围内；

S14、提取终端设备的标识信息，所述标识信息包括终端的MAC地址、硬盘序列号、操作系统信息和浏览器指纹信息，将所述标识信息进行拼接处理后生成设备标识摘要；

S15、将生成的设备标识摘要与已登记的合法设备信息进行比对，判断当前设备是否为可信终端；

S16、当账号口令校验通过、动态令牌验证通过且终端设备的标识信息与登记信息一致时，确认身份验证成功，系统生成唯一的会话令牌，所述会话令牌作为后续访问控制过程中的身份凭证，并将所述会话令牌与当前访问请求进行绑定。

4.根据权利要求1所述的一种基于零信任架构的电网工程供应商信息访问控制方法，其特征在于，所述任务状态包括任务编号、任务类型、任务阶段和任务进度状态，所述任务阶段