(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111578179.5 (22)申请日 2021.12.2 2 (71)申请人 山东浪潮工业互联网产业股份有限 公司 地址 250101 山东省济南市高新区浪潮路 1036号浪潮科技园S02号楼19层 (72)发明人 周雅琨　胡立军　商广勇　李佳　 (74)专利代理 机构 北京君慧知识产权代理事务 所(普通合伙) 11716 专利代理师 董延丽 (51)Int.Cl. G06F 21/31(2013.01) G06F 21/62(2013.01) H04L 9/40(2022.01) (54)发明名称 一种基于工业互联网平台的安全访问方法 及设备 (57)摘要 本申请提供了一种基于工业互联网平台的 安全访问方法及设备， 本申请属于工业互联网技 术领域。 该方法确定企业用户身份信息， 企业用 户身份信息至少包括登录账号。 根据企业用户身 份信息， 确定当前企业用户相应的身份数据库。 用户类型为注册工业互联网平台的身份类型， 包 括第一类型、 第二类型。 根据身份数据库以及预 设区块链平台的用户授权信息， 确定当前企业用 户的平台权 限。 其中， 预设区块链平台包括进行 数据传输的若干企业用户终端。 平台权限用于获 取应用数据库的预定服务。 预定服务基于用户类 型生成。 基于平台权限以及当前企业用户的操 作， 确定预定服务相应的可访问信息， 以实现当 前企业用户的对工业互联网平台的工业应用软 件的安全访问。 权利要求书3页 说明书8页 附图3页 CN 114491435 A 2022.05.13 CN 114491435 A 1.一种基于 工业互联网平台的安全访问方法， 其特 征在于， 所述方法包括： 确定企业用户身份信息； 所述企业用户身份信息 至少包括登录账号； 根据所述企业用户身份信 息， 确定当前企业用户相应的身份数据库； 其中， 所述身份数 据库根据用户类型生成； 所述用户类型为注册所述工业互联网平台的身份类型， 包括第一 类型、 第二类型； 根据所述身份数据库以及预设区块链平台的用户授权信 息， 确定所述当前企业用户的 平台权限； 其中， 所述预设区块链平台包括进行数据传输的若干企业用户终端； 所述平台权 限用于获取应用数据库的预定服 务； 所述预定服 务基于所述用户类型生成； 基于所述平台权限以及所述当前企业用户的操作， 确定所述预定服务相应的可访问信 息， 以实现所述当前企业用户的对所述工业互联网平台的工业应用软件的安全访问。 2.根据权利要求1所述方法， 其特征在于， 根据所述身份数据库以及预设区块链平台的 用户授权信息， 确定所述当前企业用户的平台权限， 具体包括： 确定所述身份数据库中所述企业用户身份信息相应的用户存储数据； 其中， 所述用户 存储数据包括平台使用权限； 所述平台使用权限根据所述用户授权信息生成； 通过所述用户存储数据， 确定所述应用数据库中的应用软件是否存在相应的映射关 系； 所述映射关系用于使所述身份数据库中的用户与所述应用数据库中的应用软件， 建立 关联关系； 在所述应用数据库存在相应的所述映射关系的情况下， 确定所述用户存储数据相应的 所述平台权限。 3.根据权利要求1所述方法， 其特征在于， 根据所述身份数据库以及预设区块链平台的 用户授权信息， 确定所述当前企业用户的平台权限之前， 所述方法还 包括： 接收企业终端注 册信息； 根据所述企业终端注册信 息， 确定所述身份数据库中企业用户的一级节点； 其中， 所述 一级节点的数量与所述身份数据库中的企业数量相对应； 根据所述一级节点， 生成相应的区块链平台； 其中， 所述区块链平台用于所述一级节点 与预先生成的单点登录列表中的各二级节点信息交 互； 基于非对称加密算法， 通过所述区块链平台， 将经过哈希运算后的所述二级节点的用 户数据， 进行公钥加密处 理， 并将非对称加密处 理后所述用户数据， 发送至所述 一级节点； 通过所述一级节点的私钥， 将非对称加密处理后所述用户数据进行解密处理， 并解析 所述用户数据， 以对所述 二级节点进行用户授权， 得到所述 二级节点的所述用户授权信息 。 4.根据权利要求1所述方法， 其特征在于， 根据企业用户身份信息， 确定所述当前企业 用户相应的身份数据库， 具体包括： 确定所述企业用户身份信息对应的所述用户类型； 在所述用户类型为所述第一类型的情况下， 确定第一数据库， 为所述当前企业用户相 应的身份数据库； 其中， 所述第一数据库用于存 储平台服 务商数据； 在所述用户类型为所述第二类型的情况下， 确定第二数据库， 为所述当前企业用户相 应的身份数据库； 所述第二数据库包括所述第一数据库中的所述平台服务商 数据以及企业 管理数据。 5.根据权利要求 4所述方法， 其特 征在于， 所述方法还 包括：权　利　要　求　书 1/3 页 2 CN 114491435 A 2在所述身份数据库为所述第二数据库的情况下， 通过预设IDaaS身份管理协议， 确定所 述当前企业用户与所述应用数据库中各应用软件的使用权限； 在所述身份数据库为所述第二数据库的情况下， 通过预设IDaaS身份管理协议， 确定所 述当前企业用户与所述应用数据库中各应用软件的使用权限以及应用软件上架权限； 其 中， 所述应用软件上架权限用于在所述工业互联网平台管理和/或上架所述当前企业用户 的应用软件。 6.根据权利要求1所述方法， 其特征在于， 根据所述企业用户身份信息， 确定当前企业 用户相应的身份数据库， 具体包括： 通过预设IDaaS身份管理协议， 对所述企业用户身份信息进行认证； 其中， 所述预设 IDaaS身份管理协议至少包括以下一项或多项： 中央认证服务器CAS、 安全断言标记语言 SAML、 开放授权OAuth2.0、 OIDC； 根据对所述企业用户身份信 息进行认证的认证结果， 确定所述当前企业用户相应的所 述身份数据库。 7.根据权利要求1所述方法， 其特 征在于， 所述方法还 包括： 基于轻型目录访问协议 LDAP， 获取来自企业管理端的企业用户数据； 根据所述企业用户数据， 生成所述预设区块链平台的若干节点； 其中， 所述预设区块链 平台的若干节点包括所述企业管理端及相应的若干企业用户终端。 8.根据权利要求1所述方法， 其特征在于， 基于所述平台权限以及所述当前企业用户的 操作， 确定所述预定服 务相应的可访问信息， 具体包括： 确定所述当前企业用户的操作 与所述平台权限是否匹配； 在所述当前企业用户的操作与所述平台权限匹配的情况下， 响应所述当前企业用户的 操作， 确定所述可访问信息 。 9.根据权利要求1所述方法， 其特 征在于， 确定企业用户身份信息， 具体包括： 确定当前登录的所述登录账号预 先绑定的用户终端； 通过双因子认证机制， 生成登录验证码， 并发送至所述用户终端； 基于用户对所述用户终端的反馈操作， 验证所述企业用户身份信息， 以使所述企业用 户身份信息的登录账号登录所述工业互联网平台， 并确定所述企业用户身份信息 。 10.一种基于 工业互联网平台的安全访问设备， 其特 征在于， 所述设备包括： 至少一个处 理器； 以及， 与所述至少一个处 理器通信连接的存 储器； 其中， 所述存储器存储有可被所述至少一个处理器执行的指令， 所述指令被所述至少一个处 理器执行， 以使所述至少一个处 理器能够： 确定企业用户身份信息； 所述企业用户身份信息 至少包括登录账号； 根据所述企业用户身份信 息， 确定当前企业用户相应的身份数据库； 其中， 所述身份数 据库根据用户类型生成； 所述用户类型为注册所述工业互联网平台的身份类型， 包括第一 类型、 第二类型； 根据所述身份数据库以及预设区块链平台的用户授权信 息， 确定所述当前企业用户的 平台权限； 其中， 所述预设区块链平台包括进行数据传输的若干企业用户终端； 所述平台权 限用于获取应用数据库的预定服 务； 所述预定服 务基于所述用户类型生成；权　利　要　求　书 2/3 页 3 CN 114491435 A 3