CN103491093B - 一种智能电网用户访问授权方法 - Google Patents
一种智能电网用户访问授权方法 Download PDFInfo
- Publication number
- CN103491093B CN103491093B CN201310442614.0A CN201310442614A CN103491093B CN 103491093 B CN103491093 B CN 103491093B CN 201310442614 A CN201310442614 A CN 201310442614A CN 103491093 B CN103491093 B CN 103491093B
- Authority
- CN
- China
- Prior art keywords
- identity
- role
- authority
- user
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Landscapes
- Storage Device Security (AREA)
Abstract
本发明提出了一种智能电网用户访问授权方法,包括如下步骤:按照层次结构部署智能电网安全接入系统,远程接入层为智能电力终端,接入安全层为接入控制组件,访问控制组件和认证服务器;智能电力终端完成安全接入认证后向接入控制组件发送权限凭证信息,接入控制组件对凭证信息计算处理并将结果发送给认证服务器进行角色认证和授权。本发明将相关认证功能交给接入控制组件作为第三方实施,弱化了智能终端(特别是移动终端)的功能,可以保护授权过程中用户隐私信息。另外,本发明根据用户角色进行合适的访问授权,只开放给用户符合本身角色最小范围的访问资源,一定程度上防止了内部资源被非法访问,符合智能电网的安全需求。
Description
技术领域
本发明属于接入控制领域,涉及智能电网中的终端访问授权和用户权限管理,具体涉及一种智能电网用户访问授权方法。
背景技术
作为物联网的一个分支,智能电网是一个重要的公众应用网络。电力工业是国家经济发展中最重要的基础能源产业,为国民经济的持续发展起着极为重要的作用。随着世界经济的发展、气候变化的加剧和各国能源政策的调整,电网与电厂、政府、客户等群体间的关系更加紧密,客户对电能质量的要求不断提高,可再生能源逐渐成为重要的电源形式,世界能源正在向清洁化、低碳化、高效化的新趋势发展,在此背景下,国家提出了建设统一坚强智能电网的战略目标。智能电网以特高压电网为骨干网架、各级电网协调发展,贯穿发电、输电、变电、配电、用电、调度六个环节,具有信息化、自动化、互动化特征。智能电网用户访问授权系统是智能电网连接外部网络的一道防火墙,与安全接入技术紧密相联,联合提高对远程访问终端系统环境的认证控制能力,尽可能杜绝非法、不可信环境接入,约束用户的访问权限和降低系统风险。智能电网将信息技术、通信技术、计算机技术与原有的输配电基础设施高度集成形成新型电网,具有提高能源效率、减少对环境的影响、提高供电安全性和可靠性、减少输电网电能损耗等优点。智能电网的关键技术涉及诸多领域,也是物联网的一个重要应用。
随着电网运行和服务模式将进行重大转变,信息数据交互性大量增加,智能终端接入方式不断增多,这些变化必将引入大量安全风险和新的挑战,如何解决智能电网终端接入访问授权问题成了智能电网发展急需解决的重要问题。如果不能保障智能电网相关信息被合法访问和保护用户隐私,智能电网相关服务和应用发展将受到很大影响。由于智能电网信息交互安全接入与访问控制还处于初级阶段,现有的接入控制技术直接应用于智能电网中可能会引起以下几点问题:(1)远程访问层无线信道的开放特性使得智能电网易被监听,致使网络中用户隐私敏感信息容易被窃取,恶意攻击者可以根据现有的背景信息,假冒用户访问和修改电网中用户重要数据。(2)电网和用户的双向互动增强,智能采集和智能终端设备大量使用,大批配网、用户双向智能终端设备需要甚至必须通过无线公共网络接入,大量用户侧的接入访问给安全管理带来了更多的风险。(3)传统的身份认证方法需要对记录所有用户的访问权限,这会造成数据库服务器的负担,降低用户的访问速度和访问成功率。
目前,传统访问授权技术可以实现对智能电网终端接入的可信认证,但由于认证机制复杂臃肿不灵活,不能满足智能电网日益增加的用户量对系统的访问需求,不便于系统和业务的扩展,不能很好的保护远程访问终端用户的隐私信息,容易导致用户敏感信息的泄露,缺乏严格认证和加密,使非法用户入侵网络窃取用户相关数据信息。因此有必要提出一种轻巧的、可靠的、安全的新型访问授权系统来满足智能电网未来发展的需求,同时提高智能电网用户使用的方便性和安全性。
发明内容
为了克服上述现有技术中存在的缺陷,本发明的目的是提供一种智能电网用户访问授权方法,该方法通过计算处理用户身份认证信息,并结合环境信息进行多维度的访问授权控制,一定程度上保护了用户隐私和控制了用户的访问权限,让整个访问授权过程安全、方便、快捷且易于实现。
为了实现本发明的上述目的,本发明提供了一种智能电网用户访问授权方法,包括如下步骤:
S1:按照层次结构部署智能电网安全接入系统,包括位于远程接入层的智能电力终端,位于接入安全层的接入控制组件和认证服务器,所述智能电力终端与接入控制组件通信,所述接入控制组件与认证服务器通信。
S2:对所述智能电网安全接入系统进行初始化,并设立角色集、身份可信集和、时间权限集、位置权限集和身份权限集Pi。
S3:所述智能电力终端向认证服务器申请安全接入认证,如果智能电力终端未注册,则认证服务器要求智能电力终端提交注册信息,并根据注册信息向智能电力终端返回用户身份识别码。
S4:所述智能电力终端完成安全接入认证后,收集权限凭证信息Cmsg并加密发送给接入控制组件。
S5:所述接入控制组件对接收到的加密消息Mc进行分析处理,把处理结果和身份识别码进行封装并发给认证服务器。
S6:所述证服务器完成相关安全接入认证,并根据访问权限将相关资源反馈给用户。
本发明根据移动终端存在的功耗低、移动性强、功能弱等特点简化其接入要求,提供了一种安全易部署的用户访问授权方案。首先,该方法将智能电网中终端访问授权系统进行分层,在提高了网络部署的简便性和可扩展性,同时有助于网络生存周期和能量控制。其次,该方法在用户接入阶段进行加密,将身份信息处理阶段放在中间阶段,能够保障用户的数据隐私,防止用户相关隐私信息的泄露。这对于具有敏感信息传输的智能电网使用者也十分重要。最后,相对于其他方法,对终端使用者无特殊要求,任何智能电网的有效用户都能够通过该发明保证通信交互过程中信息的安全,符合智能电网使用的实际需求。
进一步,步骤S2中设立角色集、身份可信集、时间权限集、位置权限集和身份权限集Pi的方法为:
根据用户的实际身份设置相应的角色,并将各个角色划分到不同的角色集,各个角色集按角色等级从高到低排列并属于角色总集合Ra,所述角色总集合Ra的具体格式为Ra={R1,R2,R3,…,Rn},其中Ri为各个角色集,对应相应等级的权限集和身份可信区间的具体格式为Ri={r1,r2,r3,…,rn},其中ri为各个角色,不同角色集中的角色与角色数不相同。
在区间[0,1]里依次划分各个身份可信区间Iti,身份可信集Is={(a,b],(b,c]…,(n,1]},区间个数等于角色集个数,0不划分在区间里,此时都应为合法用户,没有非法用户。
根据角色集等级高低划分身份权限集,各个权限集按等级从高到低排列并属于身份权限总集合Pa={P1,P2,P3,…,Pn},其中Pi为各个权限集,身份权限集具体格式为Pi={p1,p2,p3,…,pn},其中pi为各个权限,不同身份权限集中的权限与权限数不相同。
根据背景环境,比如根据企业的一周或一天的工作时间和休息时间划分不同时间段Ti,将不同时间段Ti划分不同时间权限集,其中ti为各个权限,不同时间权限集中的权限与权限数不相同,将不同地理位置域Li划分不同位置权限集,其中li为各个权限,不同位置权限集中的权限与权限数不相同。
本发明通过对身份可信区间进行划分,规定了不同等级用户的数量,方便对不同用户的管理和后续的角色认定和权限分配操作。
进一步,步骤S3所述安全接入认证的步骤为:
S31:所述认证服务器将注册信息发送给身份注册模块,所述身份注册模块对用户注册信息规范性进行检查,如检查失败则要求用户重新提交注册信息;
S32:所述身份注册模块根据注册信息(例如证件号码)判断用户角色等级,并根据角色等级从预置的对应等级身份识别码区间随机选取一个身份识别码返回给用户;
S33:所述身份注册模块将选好的身份识别码与对应用户身份信息保存在资源数据库中,并将身份注册模块寄存器中的对应身份识别码删除。
更进一步,所述身份注册模块对用户注册信息规范性进行检查的方法为:所述身份注册模块对用户基本注册信息(例如身份证号)进行格式的正则检查,如果格式不正确则检查失败,如果格式正确则对用户高级信息(例如是否为内部人员、部门、职务)与资源数据库用户信息进行比对核查,如果核查通过则检查通过,如果核查失败则检查失败。
再进一步,所述预置对应等级身份识别码区间的方法为:所述身份识别码Idc为十进制10位数字,其身份识别码区间为(Cl,Ch)={(Cl,Cah),(Cal,Cbh),(Cbl,Cch),…,(Cil,Ch)},其中各子区间分别对应预置好的各身份可信区间,取身份可信区间上边界{b,c,…,1}依次根据隶属函数(隶属函数为反函数计算身份识别码区间各子区间下边界{Cl,Cal,Cbl,…,Cil},计算结果应取整数,并把计算出的各子区间下边界{Cl,Cal,Cbl,…,Cil}依次根据隶属函数计算身份可信区间上边界{b,c,…,1},如计算出的边界值与预置边界值不等,则将预置边界值重新设为计算后的边界值。
本发明通过对预置边界值的再计算,解决了计算身份识别码是取整产生的误差问题,是身份识别码与预置边界值能完美匹配。
进一步,步骤S4所述加密的方法为:
S41:采集用户输入的身份识别码、地理位置信息和时间信息。
S42:将采集的权限凭证信息Cmsg封装加密后发送给接入控制组件,其中加密方式为:加密消息Mc=Kp{Cmsg}=Kp{Idc,Tm,Pm},其中Idc为身份识别码,Tm为时间信息,Pm为地理位置信息。
本发明通过对终端用户信息进行初步采集,并且同时对信息格式进行初步的规划,对信息内容进行加密,提高接入系统的安全性,实现信息的安全传输,降低用户身份被破解的概率。
进一步,步骤S5所述接入控制组件对接收到的加密消息Mc进行分析处理的步骤为:
S51:接入控制组件接收到加密消息Mc,备份加密消息Mc并将其发给加解密模块。
S52:加解密模块对加密消息Mc进行解密,将身份识别码与资源数据库中身份识别码匹配,如果身份识别码不存在则拒绝进行授权,如果身份识别码存在则将其发给角色隶属计算模块,并将备份的加密消息Mc发送给认证服务器。
S53:角色隶属计算模块对身份识别码计算出身份度量值Imv,并将身份度量值Imv和身份识别码封装并发送给认证服务器。
更进一步,所述计算身份度量值Imv的方法为:角色隶属计算模块接收到身份识别码Idc后,将身份识别码Idc根据隶属函数μA计算出身份度量值Imv,隶属函数表达式为其中a为身份识别码的下限,0<a<b,α>0,β>0,β是参数,可根据具体情况进行更改,用于调整各权限范围的身份识别码数量,一般α取0.01到0.02,β取1/2,x为身份识别码Idc。
本发明通过在发送给认证服务器前对数据进行处理计算,使认证服务器接触不到用户身份信息从而对用户隐私提供一定程度的保护,采取信息分开发送的方式,缩短了系统处理时间,提高任务执行效率。
进一步,步骤S6所述认证服务器完成相关安全接入认证的方法为:认证服务器收到接入控制组件发来的加密消息Mc后,对加密消息Mc进行解密,提取出身份识别码Idc、时间信息Tm和地理位置信息Pm,等待角色隶属模块发来的计算结果,在收到角色隶属模块发来的封装消息后,取出身份识别码Idc并与之前解密得到的身份识别码Idc进行匹配,将相同身份识别码Idc的时间信息Tm、地理位置信息Pm和身份度量值Imv综合为消息Mitp发送到角色认证模块进行角色认证,根据认证的结果授权。
角色认证模块收到消息Mitp后,取出时间信息Tm、地理位置信息Pm和身份度量值Imv,对时间信息Tm和地理位置信息Pm进行权限集匹配,找出对应的时间权限集 和对应的位置权限集 ,实例 和,将身份度量值Imv映射到对应的身份可信区间Iti,匹配相应的身份可信区间Iti的角色集Ri={r1,r2,r3,…,rn},根据相应的角色集匹配对应的身份权限集Pi={p1,p2,p3,…,pn},实例Pi={p1,p2,p4,p5,p7,p9},将得到的时间权限集、位置权限集和身份权限集Pi取交集得到共同享有的权限集Pr,例如将 和Pi={p1,p2,p4,p5,p7,p9}取交集为 把最后得到的共同权限集Pr发送给策略决定模块进行授权。
本发明通过对身份、时间和位置的权限采取综合处理,从多维度的角度对用户权限进行了最大范围的控制,将用户权限约束在最小范围内。
更进一步,步骤S6所述根据访问权限将相关资源反馈给终端用户的方法为:策略决定模块根据共同权限集Pr查询资源数据库后得到对应的资源数据集Rd={rd1,rd2,…,rdn},并将所述资源数据集Rd发送给接入控制组件,接入控制组件收到资源数据集Rd后对其进行加密,将加密后的消息发送给智能电力终端,智能电力终端对消息进行解密将资源数据返回给用户。
本发明是基于智能电网用户特性和数据特性,用简洁、高效的加工、加密方式对用户信息进行处理,然后才将用户信息进行传输,保障了用户信息在网络传输过程中的安全性,实现了智能电网用户访问授权过程的可信。层次式的结构使得系统容易组建和部署,同时使得系统分工明确,提高了系统的计算效率。
附图说明
图1是本发明智能电网用户访问授权系统结构图;
图2是本发明用户注册流程图;
图3是本发明接入控制组件处理信息流程图;
图4是本发明认证服务器用户授权流程图。
具体实施方式
下面详细描述本发明的实施例,所述实施例的示例在附图中示出,下面通过参考附图描述的实施例是示例性的,仅用于解释本发明,而不能理解为对本发明的限制。
本发明提供了一种体域网系统中的数据安全传输方法,具体是一种智能电网用户访问授权方法,其包括如下步骤:
第一步:按照层次结构部署智能电网安全接入系统,远程接入层为智能电力终端,接入安全层为接入控制组件,访问控制组件和认证服务器;智能电力终端完成安全接入认证后向接入控制组件发送权限凭证信息,接入控制组件对凭证信息计算处理并将结果发送给认证服务器进行角色认证和授权,并将相关资源信息返回给用户。如图1所示,智能电力终端的信息采集模块,对相关用户身份信息与环境信息进行采集,加解密模块对信息加解密并发送,接入控制组件包括角色隶属计算模块和加解密模块,分别完成身份信息计算处理和消息加解密与发送接收,认证服务器包括身份注册模块、角色认证模块、策略决定模块和加解密模块,对角色进行鉴定预授权,返回用户资源信息并完成授权过程。
第二步:对所述智能电网用户访问授权系统进行初始化,并设立角色集、身份可信集和各种权限集;智能电力终端申请完成安全接入认证,如果用户未注册,认证服务器要求用户提交注册信息并根据注册信息向用户返回用户权限识别码。
在本发明的一种优选实施方式中,设立角色集、身份可信集和各种权限集方法为:根据用户的实际身份设置相应的角色r,并将各个角色r划分到不同的角色集R,各个角色集按角色等级从高到低排列并属于角色总集合Ra,所述角色总集合Ra的具体格式为Ra={R1,R2,R3,…,Rn},其中Ri为各个角色集,对应相应等级的权限集和身份可信区间其具体格式为Ri={r1,r2,r3,…,rn},其中ri为各个角色,不同角色集中的角色与角色数可不相同。
在区间[0,1]里依次划分各个身份可信区间Iti,身份可信集Is={(a,b],(b,c]…,(n,1]},区间个数等于角色集个数,0不划分在区间里,此时都应为合法用户,没有非法用户。
根据角色集等级高低划分身份权限集P,各个权限集按等级从高到低排列并属于身份权限总集合Pa={P1,P2,P3,…,Pn},其中Pi为各个权限集,身份权限集具体格式为Pi={p1,p2,p3,…,pn},其中pi为各个权限,不同身份权限集中的权限与权限数可不相同。
根据背景环境,将不同时间段Ti划分不同时间权限集,其中ti为各个权限,不同时间权限集中的权限与权限数可不相同,将不同地理位置域Li划分不同位置权限集,其中li为各个权限,不同位置权限集中的权限与权限数可不相同。
在本发明的一种优选实施方式中,如图2所示,所述根据注册信息向用户返回用户权限识别码的步骤为:
S31:所述认证服务器将用户注册信息发送给身份注册模块,所述身份注册模块对用户注册信息规范性进行检查,如检查失败则要求用户重新提交注册信息。
S32:所述身份注册模块根据注册信息(例如证件号码)判断用户角色等级,并根据角色等级从预置的对应等级身份识别码区间随机选取一个身份识别码返回给用户。
S33:所述身份注册模块将选好的身份识别码与对应用户身份信息保存在资源数据库中,并将身份注册模块寄存器中的对应身份识别码删除。
在本发明的一种优选实施方式中,所述身份注册模块对用户注册信息进行检查的方法为:所述身份注册模块对用户基本注册信息(例如身份证号)进行格式的正则检查,如果格式不正确则检查失败,如果格式正确则对用户高级信息(例如是否为内部人员、部门、职务)与资源数据库用户信息进行比对核查,如果核查通过则检查通过,如果核查失败则检查失败。
在本发明的一种优选实施方式中,所述预置对应等级身份识别码区间的方法为:所述身份识别码Idc为十进制10位数字,其身份识别码区间为(Cl,Ch)={(Cl,Cah),(Cal,Cbh),(Cbl,Cch),…,(Cil,Ch)},其中各子区间分别对应预置好的各身份可信区间,取身份可信区间上边界{b,c,…,1}依次根据隶属函数反函数计算身份识别码区间各子区间下边界{Cl,Cal,Cbl,…,Cil},计算结果应取整数,并把计算出的各子区间下边界{Cl,Cal,Cbl,…,Cil}依次根据隶属函数计算身份可信区间上边界{b,c,…,1},如计算出的边界值与预置边界值不等,则将预置边界值重新设为计算后的边界值。
第三步:智能电力终端在完成安全接入认证后收集权限凭证信息Cmsg并加密发送给接入控制组件。在本实施方式中,对所述收集权限凭证信息并加密发送给接入控制组件的步骤为:
S31:采集用户输入的身份识别码和相关环境信息,包括地理位置和时间。
S32:将采集的权限凭证信息Cmsg封装加密后发送给接入控制组件。
在本发明的一种优选实施方式中,所述采集的权限凭证信息Cmsg封装加密后消息的具体格式为:
加密消息Mc=Kp{Cmsg}=Kp{Idc,Tm,Pm},其中Idc为身份识别码,Tm为时间信息,Pm为地理位置信息。
第四步:接入控制组件对接收到的信息进行分析处理,把处理结果和身份识别码进行封装并发给认证服务器。如图3所示,在本实施方式中,接入控制组件对接收到的信息进行分析处理并把处理结果发给认证服务器的步骤为:
S41:接入控制组件接收到加密的权限凭证信息Cmsg,备份信息并同时将接收到的信息发给加解密模块;
S42:加解密模块对权限凭证信息Cmsg进行解密,将身份识别码与资源数据库中身份识别码匹配,如果身份识别码不存在则拒绝进行授权,如果身份识别码存在则将身份识别码发给角色隶属计算模块,并将备份的加密权限凭证信息Cmsg发送给认证服务器;
S43:角色隶属计算模块对身份识别码计算出身份度量值Imv,并将身份度量值Imv和身份识别码封装并发送给认证服务器。
在本发明的一种优选实施方式中,所述角色隶属计算模块对身份识别码计算出身份度量值Imv的方法为:角色隶属计算模块接收到身份识别码Idc后,将身份识别码Idc根据隶属函数μA计算出身份度量值Imv,隶属函数表达式为其中a为身份识别码的下限,α>0,β>0,β是参数,可根据具体情况进行更改,用于调整各权限范围的身份识别码数量,一般α取0.01到0.02,β取1/2,x为身份识别码Idc。
第五步:所述认证服务器完成相关安全接入认证过程,并根据访问权限将相关资源反馈给终端用户。
如图4所示,在本发明的一种优选实施方式中,所述认证服务器完成相关安全接入认证过程的方法为:认证服务器收到接入控制组件发来的加密的权限凭证信息Cmsg后,对信息进行解密,提取出身份识别码Idc、时间信息Tm和地理位置信息Pm,等待角色隶属模块发来的计算结果,在收到角色隶属模块发来的封装消息后,取出身份识别码Idc并与之前解密得到的身份识别码Idc进行匹配,将相同身份识别码Idc的时间信息Tm、地理位置信息Pm和身份度量值Imv综合为消息Mitp发送到角色认证模块进行角色认证,根据认证的结果授权。
在本发明的一种优选实施方式中,所述角色认证模块进行角色认证,根据认证的结果授权的方法为:角色认证模块收到消息Mitp后,取出时间信息Tm、地理位置信息Pm和身份度量值Imv,对时间信息Tm和地理位置信息Pm进行权限集匹配,找出对应的时间权限集和对应的位置权限集 ,实例 和 ,将身份度量值Imv映射到对应的身份可信区间Iti,匹配相应的身份可信区间Iti的角色集Ri={r1,r2,r3,…,rn},根据相应的角色集匹配对应的身份权限集Pi={p1,p2,p3,…,pn},实例Pi={p1,p2,p4,p5,p7,p9},将得到的时间权限集、位置权限集和身份权限集Pi取交集得到共同享有的权限集Pr,例如将 和Pi={p1,p2,p4,p5,p7,p9}取交集为 把最后得到的共同权限集Pr发送给策略决定模块进行授权。
在本发明的一种优选实施方式中,所述根据访问权限将相关资源反馈给终端用户的方法为:策略决定模块根据共同权限集Pr查询数据库后得到对应的资源数据集Rd={rd1,rd2,…,rdn},并将所述资源数据集Rd发送给接入控制组件,接入控制组件收到资源数据集Rd后对其进行加密,将加密后的消息发送给智能电力终端,智能电力终端对消息进行解密将资源数据返回给用户。
本发明是基于智能电网用户特性和数据特性,用简洁、高效的加工、加密方式对用户信息进行处理,然后才将用户信息进行传输,保障了用户信息在网络传输过程中的安全性,实现了智能电网用户访问授权过程的可信。层次式的结构使得系统容易组建和部署,同时使得系统分工明确,提高了系统的计算效率。实现对用户权限的访问授权,将用户权限控制在最小范围,保护了用户的隐私信息和特殊资源不被非法访问。
尽管已经示出和描述了本发明的实施例,本领域的普通技术人员可以理解:在不脱离本发明的原理和宗旨的情况下可以对这些实施例进行多种变化、修改、替换和变型,均在本发明所要求保护的范围内。
Claims (9)
1.一种智能电网用户访问授权方法,其特征在于,包括如下步骤:
S1:按照层次结构部署智能电网安全接入系统,包括位于远程接入层的智能电力终端,位于接入安全层的接入控制组件和认证服务器,所述智能电力终端与接入控制组件通信,所述接入控制组件与认证服务器通信;
S2:对所述智能电网安全接入系统进行初始化,并设立角色集、身份可信集、时间权限集位置权限集和身份权限集Pi;
S3:所述智能电力终端向认证服务器申请安全接入认证,如果智能电力终端未注册,则认证服务器要求智能电力终端提交注册信息,并根据注册信息向智能电力终端返回用户身份识别码;
S4:所述智能电力终端完成安全接入认证后,收集权限凭证信息Cmsg并加密发送给接入控制组件;
S5:所述接入控制组件对接收到的加密消息Mc进行分析处理,把处理结果和身份识别码进行封装并发给认证服务器;分析处理的步骤为:
S51:接入控制组件接收到加密消息Mc,备份加密消息Mc并将其发给加解密模块;
S52:加解密模块对加密消息Mc进行解密,将身份识别码与资源数据库中身份识别码匹配,如果身份识别码不存在则拒绝进行授权,如果身份识别码存在则将其发给角色隶属计算模块,并将备份的加密消息Mc发送给认证服务器;
S53:角色隶属计算模块对身份识别码计算出身份度量值Imv,并将身份度量值Imv和身份识别码封装并发送给认证服务器;
S6:所述认证服务器完成相关安全接入认证,并根据访问权限将相关资源反馈给用户。
2.根据权利要求1所述一种智能电网用户访问授权方法,其特征在于,所述步骤S2中设立角色集、身份可信集、时间权限集位置权限集和身份权限集Pi的方法为:
根据用户的实际身份设置相应的角色,并将各个角色划分到不同的角色集,各个角色集按角色等级从高到低排列并属于角色总集合Ra,所述角色总集合Ra的具体格式为Ra={R1,R2,R3,…,Rn},其中Ri为各个角色集,对应的权限集和身份可信区间的具体格式为Ri={r1,r2,r3,…,rn},其中ri为各个角色,不同角色集中的角色与角色数不相同;
在区间[0,1]里依次划分各个身份可信区间Iti,身份可信集Is={(a,b],(b,c]…,(n,1]},区间个数等于角色集个数,0不划分在区间里;
根据角色集等级高低划分身份权限集,各个权限集按等级从高到低排列并属于身份权限总集合Pa={P1,P2,P3,…,Pn},其中Pi为各个权限集,身份权限集具体格式为Pi={p1,p2,p3,…,pn},其中pi为各个权限,不同身份权限集中的权限与权限数不相同;
将不同时间段Ti划分不同时间权限集其中ti为各个权限,不同时间权限集中的权限与权限数不相同,将不同地理位置域Li划分不同位置权限集其中li为各个权限,不同位置权限集中的权限与权限数不相同。
3.根据权利要求2所述一种智能电网用户访问授权方法,其特征在于,步骤S3所述安全接入认证的步骤为:
S31:所述认证服务器将注册信息发送给身份注册模块,所述身份注册模块对用户注册信息规范性进行检查,如检查失败则要求用户重新提交注册信息;
S32:所述身份注册模块根据注册信息判断用户角色等级,并根据角色等级从预置的对应等级身份识别码区间随机选取一个身份识别码返回给用户;
S33:所述身份注册模块将选好的身份识别码与对应用户身份信息保存在资源数据库中,并将身份注册模块寄存器中的对应身份识别码删除。
4.根据权利要求3所述一种智能电网用户访问授权方法,其特征在于,所述身份注册模块对用户注册信息规范性进行检查的方法为:所述身份注册模块对用户基本注册信息进行格式的正则检查,如果格式不正确则检查失败,如果格式正确则对用户高级信息与资源数据库用户信息进行比对核查,如果核查通过则检查通过,如果核查失败则检查失败。
5.根据权利要求3所述一种智能电网用户访问授权方法,其特征在于,所述预置对应等级身份识别码区间的方法为:所述身份识别码Idc为十进制10位数字,其身份识别码区间为(Cl,Ch)={(Cl,Cah),(Cal,Cbh),(Cbl,Cch),…,(Cil,Ch)},Cil表示身份识别码各子区间的下边界,Cah,Cbh…分别表示身份识别码各子区间的上边界,其中各子区间分别对应预置好的各身份可信区间,取身份可信区间上边界{b,c,…,1}依次根据隶属函数反函数计算身份识别码区间各子区间下边界{Cl,Cal,Cbl,…,Cil},计算结果应取整数,并把计算出的各子区间下边界{Cl,Cal,Cbl,…,Cil}依次根据隶属函数计算身份可信区间上边界{b,c,…,1},如计算出的边界值与预置边界值不等,则将预置边界值重新设为计算后的边界值。
6.根据权利要求1所述一种智能电网用户访问授权方法,其特征在于,步骤S4所述加密的方法为:
S41:采集用户输入的身份识别码、地理位置信息和时间信息;
S42:将采集的权限凭证信息Cmsg封装加密后发送给接入控制组件,其中加密方式为:加密消息Mc=Kp{Cmsg}=Kp{Idc,Tm,Pm},其中Idc为身份识别码,Tm为时间信息,Pm为地理位置信息,Kp为数据加密算法。
7.根据权利要求1所述一种智能电网用户访问授权方法,其特征在于,所述计算身份度量值Imv的方法为:角色隶属计算模块接收到身份识别码Idc后,将身份识别码Idc根据隶属函数μA计算出身份度量值Imv,隶属函数表达式为其中a为身份识别码的下限,α>0,β>0,α和β均为身份识别码数量调整因子,x为身份识别码Idc。
8.根据权利要求1所述一种智能电网用户访问授权方法,其特征在于,步骤S6所述认证服务器完成相关安全接入认证的方法为:认证服务器收到接入控制组件发来的加密消息Mc后,对加密消息Mc进行解密,提取出身份识别码Idc、时间信息Tm和地理位置信息Pm,等待角色隶属计算模块发来的计算结果,在收到角色隶属计算模块发来的封装消息后,取出身份识别码Idc并与之前解密得到的身份识别码Idc进行匹配,将相同身份识别码Idc的时间信息Tm、地理位置信息Pm和身份度量值Imv综合为消息Mitp发送到角色认证模块进行角色认证,根据认证的结果授权;
角色认证模块收到消息Mitp后,取出时间信息Tm、地理位置信息Pm和身份度量值Imv,对时间信息Tm和地理位置信息Pm进行权限集匹配,找出对应的时间权限集和对应的位置权限集其中ti为时间权限,li为位置权限,将身份度量值Imv映射到对应的身份可信区间Iti,匹配相应的身份可信区间Iti的角色集Ri={r1,r2,r3,…,rn},其中ri为角色,根据相应的角色集匹配对应的身份权限集Pi={p1,p2,p3,…,pn},其中pi为身份权限,将得到的时间权限集位置权限集和身份权限集Pi取交集得到共同享有的权限集Pr,把最后得到的共同权限集Pr发送给策略决定模块进行授权。
9.根据权利要求8所述一种智能电网用户访问授权方法,其特征在于,步骤S6所述根据访问权限将相关资源反馈给用户的方法为:策略决定模块根据共同权限集Pr查询资源数据库后得到对应的资源数据集Rd={rd1,rd2,…,rdn},其中rdi为资源数据,并将所述资源数据集Rd发送给接入控制组件,接入控制组件收到资源数据集Rd后对其进行加密,将加密后的消息发送给智能电力终端,智能电力终端对消息进行解密将资源数据返回给用户。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310442614.0A CN103491093B (zh) | 2013-09-25 | 2013-09-25 | 一种智能电网用户访问授权方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310442614.0A CN103491093B (zh) | 2013-09-25 | 2013-09-25 | 一种智能电网用户访问授权方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103491093A CN103491093A (zh) | 2014-01-01 |
CN103491093B true CN103491093B (zh) | 2016-08-03 |
Family
ID=49831052
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201310442614.0A Expired - Fee Related CN103491093B (zh) | 2013-09-25 | 2013-09-25 | 一种智能电网用户访问授权方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103491093B (zh) |
Families Citing this family (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103905270A (zh) * | 2014-03-11 | 2014-07-02 | 国网湖北省电力公司信息通信公司 | 智能电网andriod系统安全基线自动化检查系统及检查方法 |
CN104104745B (zh) * | 2014-07-14 | 2017-10-13 | 国家电网公司 | 一种电网终端安全准入方法 |
CN104270343A (zh) * | 2014-09-11 | 2015-01-07 | 江苏集群信息产业股份有限公司 | 一种基于模糊度方式的隐私保护方法 |
CN104504315A (zh) * | 2014-11-29 | 2015-04-08 | 韩少茹 | 一种智能电网用电信息的多方交互方法 |
CN104580261B (zh) * | 2015-02-10 | 2018-01-05 | 成都英力拓信息技术有限公司 | 一种适用于物联网的安全方法 |
CN104660599B (zh) * | 2015-02-14 | 2016-02-10 | 张晓� | 一种基于角色的访问控制方法 |
CN105471977B (zh) * | 2015-11-18 | 2018-11-09 | 国网北京市电力公司 | 用于电力系统的文件传输系统 |
CN105553666B (zh) * | 2015-12-15 | 2020-01-24 | 国网智能电网研究院 | 一种智能电力终端安全认证系统及方法 |
CN106888199B (zh) * | 2015-12-16 | 2021-03-02 | 国家电网公司 | 智能电网中角色驱动的需求响应安全接入方法 |
CN106789996A (zh) * | 2016-12-12 | 2017-05-31 | 墨宝股份有限公司 | 一种智能电网用户访问授权控制方法 |
CN109474581A (zh) * | 2018-10-25 | 2019-03-15 | 国网浙江省电力有限公司嘉兴供电公司 | 一种lte电力专网安全防护方法 |
CN109474580A (zh) * | 2018-10-25 | 2019-03-15 | 国网浙江省电力有限公司嘉兴供电公司 | 一种lte电力专网安全防护系统 |
CN112787979A (zh) * | 2019-11-07 | 2021-05-11 | 北京地平线机器人技术研发有限公司 | 物联网设备访问控制方法及物联网设备访问控制装置 |
CN111541779B (zh) * | 2020-07-07 | 2021-05-25 | 德能森智能科技(成都)有限公司 | 一种基于云平台的智慧住宅系统 |
CN115277090B (zh) * | 2022-06-24 | 2024-05-28 | 南京南瑞信息通信科技有限公司 | 一种基于轻量级算法的安全认证系统及其工作方法 |
CN117113326B (zh) * | 2023-08-31 | 2024-03-12 | 金锐软件技术(杭州)有限公司 | 一种基于abac模型的授权访问系统 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2011031272A1 (en) * | 2009-09-14 | 2011-03-17 | Interdigital Patent Holdings, Inc. | Method and apparatus for trusted authentication and logon |
CN103152326A (zh) * | 2013-02-01 | 2013-06-12 | 深圳市巨雷科技有限公司 | 一种分布式认证方法及认证系统 |
CN103314606A (zh) * | 2011-01-20 | 2013-09-18 | 皇家飞利浦有限公司 | 认知无线电设备的认证和授权 |
-
2013
- 2013-09-25 CN CN201310442614.0A patent/CN103491093B/zh not_active Expired - Fee Related
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2011031272A1 (en) * | 2009-09-14 | 2011-03-17 | Interdigital Patent Holdings, Inc. | Method and apparatus for trusted authentication and logon |
CN103314606A (zh) * | 2011-01-20 | 2013-09-18 | 皇家飞利浦有限公司 | 认知无线电设备的认证和授权 |
CN103152326A (zh) * | 2013-02-01 | 2013-06-12 | 深圳市巨雷科技有限公司 | 一种分布式认证方法及认证系统 |
Also Published As
Publication number | Publication date |
---|---|
CN103491093A (zh) | 2014-01-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103491093B (zh) | 一种智能电网用户访问授权方法 | |
CN101390085B (zh) | Drm互操作系统 | |
CN102710623B (zh) | 一种基于多方交互的智能电网用电信息隐私保护方法 | |
CN102448061B (zh) | 一种基于移动终端防钓鱼攻击的方法和系统 | |
CN109088857B (zh) | 一种在物联网场景下的分布式授权管理方法 | |
CN105099690A (zh) | 一种移动云计算环境下基于otp和用户行为的认证授权方法 | |
CN109871668B (zh) | 智能电网中基于时限属性密码的认证、授权和访问控制方法 | |
CN102946603A (zh) | 电力云系统中基于社交特性的统一身份认证方法 | |
CN103647788B (zh) | 一种智能电网中的节点安全认证方法 | |
CN106789996A (zh) | 一种智能电网用户访问授权控制方法 | |
CN112989416A (zh) | 一种面向智能电网的匿名多维数据聚合隐私保护方法 | |
KR101344074B1 (ko) | 프라이버시 보호를 위한 스마트 그리드 정보 전송 기법 | |
CN109617675A (zh) | 一种充放电设施与用户端间的双方标识认证方法及系统 | |
CN105897784A (zh) | 物联网终端设备加密通信方法和装置 | |
Von Oheimb | IT security architecture approaches for smart metering and smart grid | |
CN106790138A (zh) | 一种政务云应用用户登录双因子验证的方法 | |
CN106817217B (zh) | 一种分级时效的动态口令加密算法 | |
CN104994107B (zh) | 一种基于iec62351的mms报文离线分析方法 | |
KR101491553B1 (ko) | 인증서 기반의 dms를 이용한 안전한 스마트그리드 통신 시스템 및 방법 | |
KR101329015B1 (ko) | 스마트그리드에서 프라이버시 보호가 향상된 안전한 데이터 전송 방법 | |
CN111611617A (zh) | 一种基于智能电网数据库的读取认证管理系统 | |
CN116720218A (zh) | 基于区块链的跨系统账户共享服务方法及系统 | |
CN110942538A (zh) | 一种带有加密算法的远程授权的实时蓝牙电子密钥 | |
KR101213287B1 (ko) | 빌딩 에너지 통합 관제 장치 및 방법 | |
CN113438562A (zh) | 一种智能电表数据传输方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20160803 Termination date: 20210925 |