基于接入信任度和快速權(quán)限分配的智能電網(wǎng)訪問(wèn)控制方法
【專利摘要】本發(fā)明公開(kāi)了基于接入信任度和快速權(quán)限分配的智能電網(wǎng)訪問(wèn)控制方法，包括部署智能電網(wǎng)系統(tǒng)；智能電網(wǎng)調(diào)度中心負(fù)責(zé)按照智能電網(wǎng)數(shù)據(jù)控制中心的實(shí)際需求給數(shù)據(jù)控制中心配電；智能電網(wǎng)數(shù)據(jù)控制中心的檢測(cè)與認(rèn)證模塊完成接入認(rèn)證后向信任度計(jì)算模塊發(fā)送檢測(cè)認(rèn)證信息，信任度計(jì)算模塊對(duì)檢測(cè)認(rèn)證信息進(jìn)行信任度計(jì)算處理并向訪問(wèn)粒度分配模塊傳遞信任度計(jì)算結(jié)果，訪問(wèn)粒度分配模塊根據(jù)信任度計(jì)算結(jié)果進(jìn)行細(xì)粒度分配并與常用權(quán)限集計(jì)算模塊和高級(jí)權(quán)限分配模塊進(jìn)行映射，獲得最終的接入訪問(wèn)權(quán)限范圍。設(shè)置信任度計(jì)算模塊，防止內(nèi)部資源被非法訪問(wèn)，保障系統(tǒng)的接入訪問(wèn)安全。常用權(quán)限集計(jì)算模塊的設(shè)置，在保證安全的前提下提高了智能電網(wǎng)權(quán)限分配的效率。
【專利說(shuō)明】基于接入信任度和快速權(quán)限分配的智能電網(wǎng)訪問(wèn)控制方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于接入控制領(lǐng)域，涉及智能電網(wǎng)中終端訪問(wèn)信任度計(jì)算和用戶權(quán)限分配，具體涉及一種智能電網(wǎng)用戶訪問(wèn)授權(quán)方法。
【背景技術(shù)】
[0002]當(dāng)今世界，以可再生能源逐步替代化石能源，建造能源使用的創(chuàng)新體系，以信息技術(shù)徹底改造現(xiàn)有的能源利用體系，最大限度地開(kāi)發(fā)電網(wǎng)體系的能源效率是各國(guó)能源發(fā)展的挑戰(zhàn)。因此，智能電網(wǎng)應(yīng)運(yùn)而生。智能電網(wǎng)的思想是通過(guò)一個(gè)通信網(wǎng)絡(luò)將能源資源開(kāi)發(fā)、輸送、存儲(chǔ)、轉(zhuǎn)換(發(fā)電)、輸電、配電、供電、售電、服務(wù)以及蓄能與能源終端用戶的各種電氣設(shè)備和其它用能設(shè)施連接在一起，通過(guò)智能化控制實(shí)現(xiàn)精確供能、對(duì)應(yīng)供能、互助供能和互補(bǔ)供能，將能源利用效率和能源供應(yīng)安全提高到全新的水平，將污染與溫室氣體排放降低到環(huán)境可以接受的程度，使用戶成本和投資效益達(dá)到一種合理的狀態(tài)。隨著我國(guó)特高壓電網(wǎng)的建設(shè)和電力體制改革的不斷深化，智能電網(wǎng)也成為我國(guó)電網(wǎng)發(fā)展的一個(gè)新方向。我國(guó)的智能電網(wǎng)研究以現(xiàn)有的物理電網(wǎng)為基礎(chǔ)，將現(xiàn)代先進(jìn)的傳感器技術(shù)、信息技術(shù)、通信技術(shù)與之融合使其在充分滿足用戶電力需求和資源配置優(yōu)化的情況下，能動(dòng)的保證電力供應(yīng)的安全、可靠性，以達(dá)到確保高電能質(zhì)量的同時(shí)，滿足環(huán)保約束、適應(yīng)電力市場(chǎng)化發(fā)展等的目的和對(duì)用戶的增值服務(wù)。
[0003]然而，智能電網(wǎng)具有的“信息化、自動(dòng)化、互動(dòng)化”特點(diǎn)，及其運(yùn)行、服務(wù)過(guò)程中信息數(shù)據(jù)交互性的大量增加，智能電網(wǎng)面臨著大量的安全風(fēng)險(xiǎn)和安全挑戰(zhàn)。在智能電網(wǎng)中，如何保障各應(yīng)用系統(tǒng)間的信息安全訪問(wèn)等安全問(wèn)題成為智能電網(wǎng)發(fā)展應(yīng)用中迫切需要解決的問(wèn)題。由于智能電網(wǎng)信息集成的復(fù)雜性，將已有的接入控制技術(shù)直接用于智能電網(wǎng)在安全性上會(huì)存在如下缺陷:(1)目前，應(yīng)用系統(tǒng)中大多都是采用基于角色的訪問(wèn)控制(RBAC)模型的接入控制技術(shù)，但RBAC在跨域訪問(wèn)的安全性上存在不足。因?yàn)镽BAC在角色映射時(shí)可能存在角色“滲透”、“隱蔽提升”、“沖突關(guān)聯(lián)”等安全問(wèn)題。(2)基于屬性的訪問(wèn)控制(ABAC)是將實(shí)體的屬性貫穿于訪問(wèn)控制策略、模型和實(shí)現(xiàn)機(jī)制三個(gè)層次以實(shí)現(xiàn)訪問(wèn)授權(quán)，該方法能夠靈活的控制主客體的訪問(wèn)粒度，能彌補(bǔ)RBAC模型的不足。但是屬性的劃分較為復(fù)雜，且沒(méi)有考慮角色所處的環(huán)境(如物理位置、網(wǎng)絡(luò)位置等)對(duì)訪問(wèn)控制的影響進(jìn)行分析。(3)基于行為的訪問(wèn)控制綜合了角色、時(shí)態(tài)狀態(tài)和環(huán)境狀態(tài)等相關(guān)信息，可以靈活的處理各種訪問(wèn)控制問(wèn)題，但是角色、時(shí)態(tài)、環(huán)境之間的約束關(guān)系和管理策略還有待進(jìn)一步的研究。(4 )與上下文相關(guān)的訪問(wèn)控制有基于位置的訪問(wèn)控制和基于時(shí)態(tài)的訪問(wèn)控制兩種，該類訪問(wèn)控制技術(shù)能根據(jù)用戶的當(dāng)前位置或時(shí)態(tài)約束條件來(lái)判斷哪些用戶是有效的，并能實(shí)現(xiàn)空間職責(zé)隔離限制、基于位置的時(shí)序限制等，但各種因素的相互影響有待進(jìn)一步研究。

【發(fā)明內(nèi)容】

[0004]為了彌補(bǔ)上述現(xiàn)有技術(shù)中存在的缺陷，本發(fā)明的目的是提供一種適用于智能電網(wǎng)的接入控制和快速權(quán)限分配方法，該方法通過(guò)計(jì)算接入終端接入信任度信息，并結(jié)合接入時(shí)間、接入地點(diǎn)等上下文信息進(jìn)行多維度的訪問(wèn)控制和權(quán)限分配，一定程度上提高了智能電網(wǎng)接入訪問(wèn)控制的效率和保障了智能電網(wǎng)的接入安全，讓整個(gè)接入授權(quán)過(guò)程更加安全、聞效。
[0005]為了實(shí)現(xiàn)上述目的，本發(fā)明提供了一種基于接入信任度和常用權(quán)限分配的智能電網(wǎng)訪問(wèn)控制方法，包括如下步驟:
S1:按照系統(tǒng)結(jié)構(gòu)部署智能電網(wǎng)系統(tǒng)，所述智能電網(wǎng)系統(tǒng)包括智能電網(wǎng)接入終端、智能電網(wǎng)數(shù)據(jù)控制中心和智能電網(wǎng)調(diào)度中心，所述智能電網(wǎng)接入終端與智能電網(wǎng)數(shù)據(jù)控制中心通信，所述智能電網(wǎng)數(shù)據(jù)控制中心與智能電網(wǎng)數(shù)據(jù)庫(kù)和智能電網(wǎng)調(diào)度中心通信；其中所述智能電網(wǎng)數(shù)據(jù)控制中心包括檢測(cè)與認(rèn)證模塊、信任度計(jì)算模塊、訪問(wèn)粒度分配模塊常用權(quán)限集計(jì)算模塊和高級(jí)權(quán)限分配模塊；
52:對(duì)所智能電網(wǎng)系統(tǒng)進(jìn)行初始化；
53:所述智能電網(wǎng)接入終端向智能電網(wǎng)數(shù)據(jù)控制中心發(fā)送接入請(qǐng)求和智能電網(wǎng)接入終端的身份信息，所述檢測(cè)與認(rèn)證模塊對(duì)智能電網(wǎng)接入終端進(jìn)行檢測(cè)與認(rèn)證；
S4:所述檢測(cè)與認(rèn)證模塊將通過(guò)認(rèn)證的智能電網(wǎng)接入終端的認(rèn)證信息發(fā)送給智能電網(wǎng)數(shù)據(jù)控制中心的信任度計(jì)算模塊，所述信任度計(jì)算模塊結(jié)合智能電網(wǎng)接入終端的認(rèn)證信息對(duì)智能電網(wǎng)接入終端進(jìn)行信任度計(jì)算，并將計(jì)算結(jié)果發(fā)送給訪問(wèn)粒度分配模塊；
55:所述訪問(wèn)粒度分配模塊根據(jù)信任度計(jì)算模塊的計(jì)算結(jié)果分配相應(yīng)的訪問(wèn)粒度給該智能電網(wǎng)接入終端，并將該訪問(wèn)粒度傳遞給常用權(quán)限集計(jì)算模塊；
56:所述常用權(quán)限集計(jì)算模塊根據(jù)傳遞來(lái)的訪問(wèn)粒度計(jì)算出的常用權(quán)限直接授權(quán)給獲得該訪問(wèn)粒度的智能電網(wǎng)接入終端，從而實(shí)現(xiàn)對(duì)智能電網(wǎng)數(shù)據(jù)庫(kù)常規(guī)數(shù)據(jù)的快速訪問(wèn)；
S7:所述已獲得訪問(wèn)粒度的智能電網(wǎng)接入終端向高級(jí)權(quán)限分配模塊發(fā)送分配審計(jì)請(qǐng)求，如果請(qǐng)求沒(méi)有通過(guò)，則不允許該智能電網(wǎng)接入終端訪問(wèn)除常用權(quán)限以外的非常用權(quán)限；
S8:所述高級(jí)權(quán)限分配模塊在完成審計(jì)后根據(jù)通過(guò)審計(jì)的智能電網(wǎng)接入終端的粒度信息將相應(yīng)的高級(jí)權(quán)限分配給該智能電網(wǎng)接入終端，使之獲得相應(yīng)的智能電網(wǎng)數(shù)據(jù)庫(kù)訪問(wèn)權(quán)限或與智能電網(wǎng)調(diào)度中心通信的權(quán)限。
[0006]本發(fā)明根據(jù)智能電網(wǎng)接入終端的靈活性、移動(dòng)性等上下文因素及其接入記錄等信息，提供了一種安全可靠的接入終端訪問(wèn)控制方法。首先，該方法將智能電網(wǎng)進(jìn)行分層，在提高智能電網(wǎng)部署的簡(jiǎn)便的同時(shí)，也方便了智能電網(wǎng)的安全加固。其次，在終端接入時(shí)，數(shù)據(jù)控制中心將采集接入終端的信息來(lái)進(jìn)行任度計(jì)算，從而判斷該接入終端是否被允許訪問(wèn)智能電網(wǎng)，保證了智能電網(wǎng)的安全。而在檢測(cè)接入終端信息時(shí)，數(shù)據(jù)控制中心會(huì)將檢測(cè)到的信息進(jìn)行加密，從而防止接入終端隱私信息的泄露。第三，接入終端在獲得訪問(wèn)粒度后，快速權(quán)限分配方法會(huì)直接將該粒度常用權(quán)限集里面的權(quán)限授權(quán)給該終端而不需經(jīng)過(guò)再次認(rèn)證，這樣提高了訪問(wèn)授權(quán)的效率。最后，任何智能電網(wǎng)的合法終端都能夠通過(guò)該發(fā)明保證訪問(wèn)控制過(guò)程中的信息安全，符合智能電網(wǎng)接入訪問(wèn)控制中的實(shí)際安全需求。
[0007]具體地，對(duì)所述檢測(cè)與認(rèn)證模塊對(duì)智能電網(wǎng)接入終端的接入請(qǐng)求進(jìn)行檢測(cè)與認(rèn)證的步驟為:
S21:檢測(cè)與認(rèn)證模塊首先檢測(cè)智能電網(wǎng)接入終端的接入請(qǐng)求。
[0008]S22:檢測(cè)與認(rèn)證模塊對(duì)發(fā)送接入請(qǐng)求的智能電網(wǎng)接入終端進(jìn)行身份認(rèn)證，若身份不合法就拒絕該智能電網(wǎng)接入終端接入智能電網(wǎng)。
[0009]S23:如果身份認(rèn)證合法，檢測(cè)與認(rèn)證模塊對(duì)該智能電網(wǎng)接入終端的接入時(shí)間、地點(diǎn)和終端的接入記錄進(jìn)行檢測(cè)，并將檢測(cè)到的數(shù)據(jù)進(jìn)行加密封裝。
[0010]S24:檢測(cè)與認(rèn)證模塊將檢測(cè)封裝的數(shù)據(jù)發(fā)送給信任度計(jì)算模塊。
[0011]本發(fā)明通過(guò)對(duì)終端用戶合法認(rèn)證和對(duì)接入環(huán)境、接入記錄等信息的采集并加密，實(shí)現(xiàn)了對(duì)智能電網(wǎng)訪問(wèn)安全保護(hù)的第一道防護(hù)墻。
[0012]具體地，對(duì)所述信任度計(jì)算模塊對(duì)智能電網(wǎng)接入終端的信任度計(jì)算步驟為:
531:信任度計(jì)算模塊將檢測(cè)與認(rèn)證模塊發(fā)過(guò)來(lái)的數(shù)據(jù)解密；
532:信任度計(jì)算模塊根據(jù)解密獲得的智能電網(wǎng)接入終端請(qǐng)求的接入時(shí)間、地點(diǎn)以及該終端的接入記錄來(lái)進(jìn)行信任度計(jì)算，所用的計(jì)算公式是
細(xì)
【權(quán)利要求】
1.基于接入信任度和快速權(quán)限分配的智能電網(wǎng)訪問(wèn)控制方法，其特征在于，包括如下步驟: S1:按照系統(tǒng)結(jié)構(gòu)部署智能電網(wǎng)系統(tǒng)，所述智能電網(wǎng)系統(tǒng)包括智能電網(wǎng)接入終端、智能電網(wǎng)數(shù)據(jù)控制中心和智能電網(wǎng)調(diào)度中心，所述智能電網(wǎng)接入終端與智能電網(wǎng)數(shù)據(jù)控制中心通信，所述智能電網(wǎng)數(shù)據(jù)控制中心與智能電網(wǎng)數(shù)據(jù)庫(kù)和智能電網(wǎng)調(diào)度中心通信；其中所述智能電網(wǎng)數(shù)據(jù)控制中心包括檢測(cè)與認(rèn)證模塊、信任度計(jì)算模塊、訪問(wèn)粒度分配模塊常用權(quán)限集計(jì)算模塊和高級(jí)權(quán)限分配模塊； S2:對(duì)所述智能電網(wǎng)系統(tǒng)進(jìn)行初始化； S3:所述智能電網(wǎng)接入終端向智能電網(wǎng)數(shù)據(jù)控制中心發(fā)送接入請(qǐng)求和智能電網(wǎng)接入終端的身份信息，所述檢測(cè)與認(rèn)證模塊對(duì)智能電網(wǎng)接入終端進(jìn)行檢測(cè)與認(rèn)證； S4:所述檢測(cè)與認(rèn)證模塊將通過(guò)認(rèn)證的智能電網(wǎng)接入終端的認(rèn)證信息發(fā)送給智能電網(wǎng)數(shù)據(jù)控制中心的信任度計(jì)算模塊，所述信任度計(jì)算模塊結(jié)合智能電網(wǎng)接入終端的認(rèn)證信息對(duì)智能電網(wǎng)接入終端進(jìn)行信任度計(jì)算，并將計(jì)算結(jié)果發(fā)送給訪問(wèn)粒度分配模塊； 55:所述訪問(wèn)粒度分配模塊根據(jù)信任度計(jì)算模塊的計(jì)算結(jié)果分配相應(yīng)的訪問(wèn)粒度給該`智能電網(wǎng)接入終端，并將該訪問(wèn)粒度傳遞給常用權(quán)限集計(jì)算模塊； 56:所述常用權(quán)限集計(jì)算模塊根據(jù)傳遞來(lái)的訪問(wèn)粒度計(jì)算出的常用權(quán)限直接授權(quán)給獲得該訪問(wèn)粒度的智能電網(wǎng)接入終端，從而實(shí)現(xiàn)對(duì)智能電網(wǎng)數(shù)據(jù)庫(kù)常規(guī)數(shù)據(jù)的快速訪問(wèn)； S7:所述已獲得訪問(wèn)粒度的智能電網(wǎng)接入終端向高級(jí)權(quán)限分配模塊發(fā)送分配審計(jì)請(qǐng)求，如果請(qǐng)求沒(méi)有通過(guò)，則不允許該智能電網(wǎng)接入終端訪問(wèn)除常用權(quán)限以外的非常用權(quán)限； S8:所述高級(jí)權(quán)限分配模塊在完成審計(jì)后根據(jù)通過(guò)審計(jì)的智能電網(wǎng)接入終端的粒度信息將相應(yīng)的高級(jí)權(quán)限分配給該智能電網(wǎng)接入終端，使之獲得相應(yīng)的智能電網(wǎng)數(shù)據(jù)庫(kù)訪問(wèn)權(quán)限或與智能電網(wǎng)調(diào)度中心通信的權(quán)限。
2.如權(quán)利要求1所述基于接入信任度和快速權(quán)限分配的智能電網(wǎng)訪問(wèn)控制方法，其特征在于，對(duì)所述檢測(cè)與認(rèn)證模塊對(duì)智能電網(wǎng)接入終端的接入請(qǐng)求進(jìn)行檢測(cè)與認(rèn)證的步驟為: S21:檢測(cè)與認(rèn)證模塊首先檢測(cè)智能電網(wǎng)接入終端的接入請(qǐng)求； S22:檢測(cè)與認(rèn)證模塊對(duì)發(fā)送接入請(qǐng)求的智能電網(wǎng)接入終端進(jìn)行身份認(rèn)證，若身份不合法就拒絕該智能電網(wǎng)接入終端接入智能電網(wǎng)； S23:如果身份認(rèn)證合法，檢測(cè)與認(rèn)證模塊對(duì)該智能電網(wǎng)接入終端的接入時(shí)間、地點(diǎn)和終端的接入記錄進(jìn)行檢測(cè)，并將檢測(cè)到的數(shù)據(jù)進(jìn)行加密封裝； S24:檢測(cè)與認(rèn)證模塊將檢測(cè)封裝的數(shù)據(jù)發(fā)送給信任度計(jì)算模塊。
3.如權(quán)利要求1所述基于接入信任度和常用權(quán)限分配的智能電網(wǎng)訪問(wèn)控制方法，其特征在于，對(duì)所述信任度計(jì)算模塊對(duì)智能電網(wǎng)接入終端的信任度計(jì)算步驟為: 531:信任度計(jì)算模塊將檢測(cè)與認(rèn)證模塊發(fā)過(guò)來(lái)的數(shù)據(jù)解密； 532:信任度計(jì)算模塊根據(jù)解密獲得的智能電網(wǎng)接入終端請(qǐng)求的接入時(shí)間、地點(diǎn)以及該終端的接入記錄來(lái)進(jìn)行信任度計(jì)算，所用的計(jì)算公式是
4.如權(quán)利要求3所述基于接入信任度和常用權(quán)限分配的智能電網(wǎng)訪問(wèn)控制方法，其特征在于，對(duì)所述權(quán)值a的計(jì)算方法為:/I = ,其中，表示接入終端請(qǐng)求接入時(shí)間所對(duì)應(yīng)的安全系數(shù)，^表示接入終端請(qǐng)求接入地點(diǎn)所對(duì)應(yīng)的安全系數(shù)；所述接入時(shí)間
安全系數(shù)；^的值設(shè)定為
5.如權(quán)利要求1所述基于接入信任度和常用權(quán)限分配的智能電網(wǎng)訪問(wèn)控制方法，其特征在于，對(duì)所述訪問(wèn)粒度分配模塊根據(jù)信任度計(jì)算結(jié)果分配相應(yīng)的訪問(wèn)粒度給該智能電網(wǎng)接入終端的方法為: 根據(jù)智能電網(wǎng)接入信任度劃分訪問(wèn)粒度集J所述訪問(wèn)粒度隼A的具體格式為^ 二供ATDl * ATD2 > ATD3 *? ?'? ATDn ),其中RjHtDa表不彳目任度為ATlJ及所對(duì)應(yīng)的訪問(wèn)粒度集合,并且Aiia的具體表現(xiàn)形式為故偷=W^2-rS--rIl)，其中&表示信任度為ATDx的終端可以獲取的訪問(wèn)粒度；~是一個(gè)一元函數(shù),r QS，其中W是身份標(biāo)識(shí)；終端根據(jù)自己的信任度找到與之匹配的訪問(wèn)粒度集合，只要再次提供的身份驗(yàn)證信息與該訪問(wèn)粒度集合里面的某一訪問(wèn)粒度相匹配，就可以獲得該訪問(wèn)粒度。
6.如權(quán)利要求1所述基于接入信任度和常用權(quán)限分配的智能電網(wǎng)訪問(wèn)控制方法，其特征在于，對(duì)所述常用權(quán)限集計(jì)算模塊計(jì)算常用權(quán)限的方法為:首先根據(jù)每個(gè)訪問(wèn)粒度對(duì)智能電網(wǎng)的職能劃分權(quán)限隼^所述權(quán)限集P的具體格式為.P = (PlsP2lP3,...,PJf，其中巧表示訪問(wèn)粒度G擁有的訪問(wèn)權(quán)限；權(quán)限巧是一個(gè)二元函數(shù)Uos,之)，其中是權(quán)限乓的操作對(duì)象，而之表示操作的范圍； 根據(jù)訪問(wèn)粒度4對(duì)應(yīng)的權(quán)限集里的權(quán)限被該訪問(wèn)粒度使用的頻率劃分出該訪問(wèn)粒度的常用權(quán)限集OPS ; OPS里面包含了使用頻率最高的五個(gè)權(quán)限且按使用頻率從高到低的順序排列，其具體格式為0/^ =訊忑為，1>4忑}，其中權(quán)限的使用頻率依次為
7.如權(quán)利要求1所述基于接入信任度和常用權(quán)限分配的智能電網(wǎng)訪問(wèn)控制方法，其特征在于，對(duì)所述高級(jí)權(quán)限分配模塊的權(quán)限分配步驟為: 561:高級(jí)權(quán)限分配模塊檢測(cè)粒度的分配請(qǐng)求； 562:高級(jí)權(quán)限分配模塊檢測(cè)粒度的分配信息； 563:高級(jí)權(quán)限分配模塊根據(jù)粒度信息對(duì)接入終端再次進(jìn)行權(quán)限分配認(rèn)證，以確定該終端是否能訪問(wèn)該粒度所擁有的高級(jí)權(quán)限； 564:高級(jí)權(quán)限分配模塊根據(jù)粒度信息及其權(quán)限范圍將對(duì)應(yīng)粒度的訪問(wèn)權(quán)限范圍內(nèi)的權(quán)限授予該訪問(wèn)粒度，使之可以使用這些權(quán)限對(duì)智能電網(wǎng)數(shù)據(jù)庫(kù)操作或者完成與調(diào)度中心的通信。
【文檔編號(hào)】H04L29/06GK103647787SQ201310715699
【公開(kāi)日】2014年3月19日 申請(qǐng)日期:2013年12月23日 優(yōu)先權(quán)日:2013年12月23日
【發(fā)明者】楊云, 呂躍春, 羅春雷, 吳彬, 徐光俠 申請(qǐng)人:國(guó)網(wǎng)重慶市電力公司