CN103647787A - 基于接入信任度和快速权限分配的智能电网访问控制方法 - Google Patents

基于接入信任度和快速权限分配的智能电网访问控制方法 Download PDF

Info

Publication number
CN103647787A
CN103647787A CN201310715699.5A CN201310715699A CN103647787A CN 103647787 A CN103647787 A CN 103647787A CN 201310715699 A CN201310715699 A CN 201310715699A CN 103647787 A CN103647787 A CN 103647787A
Authority
CN
China
Prior art keywords
access
intelligent grid
terminal
granularity
belief
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201310715699.5A
Other languages
English (en)
Other versions
CN103647787B (zh
Inventor
杨云
吕跃春
罗春雷
吴彬
徐光侠
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Chongqing Electric Power Co Ltd
Original Assignee
State Grid Chongqing Electric Power Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Chongqing Electric Power Co Ltd filed Critical State Grid Chongqing Electric Power Co Ltd
Priority to CN201310715699.5A priority Critical patent/CN103647787B/zh
Priority claimed from CN201310715699.5A external-priority patent/CN103647787B/zh
Publication of CN103647787A publication Critical patent/CN103647787A/zh
Application granted granted Critical
Publication of CN103647787B publication Critical patent/CN103647787B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Storage Device Security (AREA)

Abstract

本发明公开了基于接入信任度和快速权限分配的智能电网访问控制方法,包括部署智能电网系统;智能电网调度中心负责按照智能电网数据控制中心的实际需求给数据控制中心配电;智能电网数据控制中心的检测与认证模块完成接入认证后向信任度计算模块发送检测认证信息,信任度计算模块对检测认证信息进行信任度计算处理并向访问粒度分配模块传递信任度计算结果,访问粒度分配模块根据信任度计算结果进行细粒度分配并与常用权限集计算模块和高级权限分配模块进行映射,获得最终的接入访问权限范围。设置信任度计算模块,防止内部资源被非法访问,保障系统的接入访问安全。常用权限集计算模块的设置,在保证安全的前提下提高了智能电网权限分配的效率。

Description

基于接入信任度和快速权限分配的智能电网访问控制方法
技术领域
本发明属于接入控制领域,涉及智能电网中终端访问信任度计算和用户权限分配,具体涉及一种智能电网用户访问授权方法。
背景技术
当今世界,以可再生能源逐步替代化石能源,建造能源使用的创新体系,以信息技术彻底改造现有的能源利用体系,最大限度地开发电网体系的能源效率是各国能源发展的挑战。因此,智能电网应运而生。智能电网的思想是通过一个通信网络将能源资源开发、输送、存储、转换(发电)、输电、配电、供电、售电、服务以及蓄能与能源终端用户的各种电气设备和其它用能设施连接在一起,通过智能化控制实现精确供能、对应供能、互助供能和互补供能,将能源利用效率和能源供应安全提高到全新的水平,将污染与温室气体排放降低到环境可以接受的程度,使用户成本和投资效益达到一种合理的状态。随着我国特高压电网的建设和电力体制改革的不断深化,智能电网也成为我国电网发展的一个新方向。我国的智能电网研究以现有的物理电网为基础,将现代先进的传感器技术、信息技术、通信技术与之融合使其在充分满足用户电力需求和资源配置优化的情况下,能动的保证电力供应的安全、可靠性,以达到确保高电能质量的同时,满足环保约束、适应电力市场化发展等的目的和对用户的增值服务。
然而,智能电网具有的“信息化、自动化、互动化”特点,及其运行、服务过程中信息数据交互性的大量增加,智能电网面临着大量的安全风险和安全挑战。在智能电网中,如何保障各应用系统间的信息安全访问等安全问题成为智能电网发展应用中迫切需要解决的问题。由于智能电网信息集成的复杂性,将已有的接入控制技术直接用于智能电网在安全性上会存在如下缺陷:(1)目前,应用系统中大多都是采用基于角色的访问控制(RBAC)模型的接入控制技术,但RBAC在跨域访问的安全性上存在不足。因为RBAC在角色映射时可能存在角色“渗透”、“隐蔽提升”、“冲突关联”等安全问题。(2)基于属性的访问控制(ABAC)是将实体的属性贯穿于访问控制策略、模型和实现机制三个层次以实现访问授权,该方法能够灵活的控制主客体的访问粒度,能弥补RBAC模型的不足。但是属性的划分较为复杂,且没有考虑角色所处的环境(如物理位置、网络位置等)对访问控制的影响进行分析。(3)基于行为的访问控制综合了角色、时态状态和环境状态等相关信息,可以灵活的处理各种访问控制问题,但是角色、时态、环境之间的约束关系和管理策略还有待进一步的研究。(4)与上下文相关的访问控制有基于位置的访问控制和基于时态的访问控制两种,该类访问控制技术能根据用户的当前位置或时态约束条件来判断哪些用户是有效的,并能实现空间职责隔离限制、基于位置的时序限制等,但各种因素的相互影响有待进一步研究。
发明内容
为了弥补上述现有技术中存在的缺陷,本发明的目的是提供一种适用于智能电网的接入控制和快速权限分配方法,该方法通过计算接入终端接入信任度信息,并结合接入时间、接入地点等上下文信息进行多维度的访问控制和权限分配,一定程度上提高了智能电网接入访问控制的效率和保障了智能电网的接入安全,让整个接入授权过程更加安全、高效。
为了实现上述目的,本发明提供了一种基于接入信任度和常用权限分配的智能电网访问控制方法,包括如下步骤: 
S1:按照系统结构部署智能电网系统,所述智能电网系统包括智能电网接入终端、智能电网数据控制中心和智能电网调度中心,所述智能电网接入终端与智能电网数据控制中心通信,所述智能电网数据控制中心与智能电网数据库和智能电网调度中心通信;其中所述智能电网数据控制中心包括检测与认证模块、信任度计算模块、访问粒度分配模块常用权限集计算模块和高级权限分配模块;
S2:对所智能电网系统进行初始化;
S3:所述智能电网接入终端向智能电网数据控制中心发送接入请求和智能电网接入终端的身份信息,所述检测与认证模块对智能电网接入终端进行检测与认证;
S4:所述检测与认证模块将通过认证的智能电网接入终端的认证信息发送给智能电网数据控制中心的信任度计算模块,所述信任度计算模块结合智能电网接入终端的认证信息对智能电网接入终端进行信任度计算,并将计算结果发送给访问粒度分配模块;
S5:所述访问粒度分配模块根据信任度计算模块的计算结果分配相应的访问粒度给该智能电网接入终端,并将该访问粒度传递给常用权限集计算模块;
S6:所述常用权限集计算模块根据传递来的访问粒度计算出的常用权限直接授权给获得该访问粒度的智能电网接入终端,从而实现对智能电网数据库常规数据的快速访问;
S7:所述已获得访问粒度的智能电网接入终端向高级权限分配模块发送分配审计请求,如果请求没有通过,则不允许该智能电网接入终端访问除常用权限以外的非常用权限;
S8:所述高级权限分配模块在完成审计后根据通过审计的智能电网接入终端的粒度信息将相应的高级权限分配给该智能电网接入终端,使之获得相应的智能电网数据库访问权限或与智能电网调度中心通信的权限。
本发明根据智能电网接入终端的灵活性、移动性等上下文因素及其接入记录等信息,提供了一种安全可靠的接入终端访问控制方法。首先,该方法将智能电网进行分层,在提高智能电网部署的简便的同时,也方便了智能电网的安全加固。其次,在终端接入时,数据控制中心将采集接入终端的信息来进行任度计算,从而判断该接入终端是否被允许访问智能电网,保证了智能电网的安全。而在检测接入终端信息时,数据控制中心会将检测到的信息进行加密,从而防止接入终端隐私信息的泄露。第三,接入终端在获得访问粒度后,快速权限分配方法会直接将该粒度常用权限集里面的权限授权给该终端而不需经过再次认证,这样提高了访问授权的效率。最后,任何智能电网的合法终端都能够通过该发明保证访问控制过程中的信息安全,符合智能电网接入访问控制中的实际安全需求。
具体地,对所述检测与认证模块对智能电网接入终端的接入请求进行检测与认证的步骤为:
S21:检测与认证模块首先检测智能电网接入终端的接入请求。
S22:检测与认证模块对发送接入请求的智能电网接入终端进行身份认证,若身份不合法就拒绝该智能电网接入终端接入智能电网。
S23:如果身份认证合法,检测与认证模块对该智能电网接入终端的接入时间、地点和终端的接入记录进行检测,并将检测到的数据进行加密封装。
S24:检测与认证模块将检测封装的数据发送给信任度计算模块。
本发明通过对终端用户合法认证和对接入环境、接入记录等信息的采集并加密,实现了对智能电网访问安全保护的第一道防护墙。
具体地,对所述信任度计算模块对智能电网接入终端的信任度计算步骤为:
S31:信任度计算模块将检测与认证模块发过来的数据解密;
S32:信任度计算模块根据解密获得的智能电网接入终端请求的接入时间、地点以及该终端的接入记录来进行信任度计算,所用的计算公式是                                               
Figure 2013107156995100002DEST_PATH_IMAGE002
Figure 2013107156995100002DEST_PATH_IMAGE004
。 其中
Figure 2013107156995100002DEST_PATH_IMAGE006
表示该终端第
Figure 2013107156995100002DEST_PATH_IMAGE008
次接入智能电网的接入信任度;
Figure 2013107156995100002DEST_PATH_IMAGE010
表示由接入时间和接入地点共同作用形成的权值且
Figure 2013107156995100002DEST_PATH_IMAGE014
表示该终端前
Figure 2013107156995100002DEST_PATH_IMAGE016
次接入访问智能电网的平均接入信任度,设定终端第一次接入访问智能电网的信任度只与其接入的时间和地点相关,即第一次接入智能电网的
Figure 2013107156995100002DEST_PATH_IMAGE018
对上述权值
Figure 711023DEST_PATH_IMAGE010
的计算方法为:
Figure 2013107156995100002DEST_PATH_IMAGE020
,其中
Figure 2013107156995100002DEST_PATH_IMAGE022
表示接入终端请求接入时间所对应的安全系数,表示接入终端请求接入地点所对应的安全系数;所述接入时间安全系数的值设定为
Figure 2013107156995100002DEST_PATH_IMAGE026
,接入地点安全系数
Figure 254930DEST_PATH_IMAGE024
的值设定为
当智能电网接入终端接入请求时间在每天的非工作时间并且在非指定的地点接入时,即当时,此时
Figure 592370DEST_PATH_IMAGE010
的值最小;当终端接入请求时间在每天的工作时间并且在非指定的地点接入时,即当时,此时
Figure 235841DEST_PATH_IMAGE010
的值适中;当终端接入请求在指定地点接入时,无论是在工作时间还是在非工作时间,权值
Figure 384057DEST_PATH_IMAGE010
的值都为1。由权值可知,接入终端请求在指定地点接入时,无论请求接入的时间是工作时间还是非工作时间,它的权重都是1,该终端的访问信任度
Figure 2013107156995100002DEST_PATH_IMAGE034
只与该终端之前的访问信任度有关;当接入终端请求在非指定地点接入时,其权重
Figure 254110DEST_PATH_IMAGE010
主要取决于接入时间,请求在工作时间接入时的信任度权重比在非工作时间接入的权重大。此时,该终端的访问信任度
Figure 752087DEST_PATH_IMAGE034
不仅取决于该终端之前的访问信任度,还与请求接入时间和接入地点有关。
本发明通过对终端信任度的计算,利用终端获得的信任度值,将阻止低于信任最低标准的终端访问智能电网,从而可以降低智能电网因终端接入环境上下文等因素而带来的安全风险,进一步巩固了系统的访问安全。
具体地,对所述访问粒度分配模块根据信任度计算结果分配相应的访问粒度给该智能电网接入终端的方法为:
根据智能电网接入信任度划分访问粒度集
Figure 2013107156995100002DEST_PATH_IMAGE036
,所述访问粒度集
Figure 336783DEST_PATH_IMAGE036
的具体格式为
Figure 2013107156995100002DEST_PATH_IMAGE038
,其中
Figure 2013107156995100002DEST_PATH_IMAGE040
表示信任度为
Figure 2013107156995100002DEST_PATH_IMAGE042
所对应的访问粒度集合,并且
Figure 349739DEST_PATH_IMAGE040
的具体表现形式为,其中表示信任度为
Figure 45293DEST_PATH_IMAGE042
的终端可以获取的访问粒度;
Figure 397777DEST_PATH_IMAGE046
是一个一元函数
Figure 2013107156995100002DEST_PATH_IMAGE048
,其中
Figure 2013107156995100002DEST_PATH_IMAGE050
是身份标识;终端根据自己的信任度可以找到与之匹配的访问粒度集合,只要再次提供的身份验证信息与该访问粒度集合里面的某一访问粒度相匹配,就可以获得该访问粒度。
对所述常用权限集计算模块计算常用权限的方法为:
首先根据每个访问粒度对智能电网的职能划分权限集
Figure 2013107156995100002DEST_PATH_IMAGE052
,所述权限集
Figure 402642DEST_PATH_IMAGE052
的具体格式为
Figure 2013107156995100002DEST_PATH_IMAGE054
,其中
Figure 2013107156995100002DEST_PATH_IMAGE056
表示访问粒度可以拥有的访问权限;权限是一个二元函数
Figure 2013107156995100002DEST_PATH_IMAGE060
,其中
Figure 2013107156995100002DEST_PATH_IMAGE062
是权限
Figure 139490DEST_PATH_IMAGE056
的操作对象,而
Figure 2013107156995100002DEST_PATH_IMAGE064
表示操作的范围;
根据访问粒度
Figure 425109DEST_PATH_IMAGE058
对应的权限集里的权限被该访问粒度使用的频率划分出该访问粒度的常用权限集
Figure 2013107156995100002DEST_PATH_IMAGE066
Figure 600875DEST_PATH_IMAGE066
里面包含了使用频率最高的五个权限且按使用频率从高到低的顺序排列,其具体格式为
Figure DEST_PATH_IMAGE068
,其中权限的使用频率依次为
计算好常用权限集后,常用权限集计算模块将该集合的权限直接赋予该访问粒度,从而获得该访问粒度的接入终端就可以对智能电网数据库进行在常用权限集权限以内的操作或者向智能电网调度中心收发信息;若该访问粒度想要获取除常用权限集以外的访问权限,则需要向高级权限分配模块提交请求。
对所述高级权限分配模块的权限分配步骤为:
S61:高级权限分配模块检测粒度的分配请求;
S62:高级权限分配模块检测粒度的分配信息;
S63:高级权限分配模块根据粒度信息对接入终端再次进行权限分配认证,以确定该终端是否能访问该粒度所拥有的高级权限;
S64:高级权限分配模块将对应粒度的访问权限范围内的权限授予通过审计认证的访问粒度(即拥有该粒度的智能电网接入终端),使之可以使用这些权限对智能电网数据库操作或者完成与调度中心的通信。
本发明通过终端获取的信任度找到与之匹配的访问粒度集合后,再次提供身份验证信息,就可以获取访问粒度集里面与之相应的访问粒度。通过获取的访问粒度就可直接获取该粒度的常用权限集合里面的权限的使用权;若想获取非常用权限集合里的权限,就需向高级权限分配模块发出请求,被再次验证后,就可获得该粒度高级权限的使用权。该方法在提高访问权限分配效率的同时,实现了终端的3次动态认证,从而加强了智能电网的访问控制的力度,保证了智能电网访问过程的安全需求。
本发明的附加方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
图1是本发明智能电网接入终端访问授权系统结构;
图2是本发明的检测与认证模块的认证过程;
图3是本发明的高级权限分配过程。
具体实施方式
下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,仅用于解释本发明,而不能理解为对本发明的限制。
在本发明的描述中,除非另有规定和限定,需要说明的是,术语“审计”、“加密”、“连接”应做广义理解,例如,可以是机械连接或电连接,也可以是两个元件内部的连通,可以是直接相连,也可以通过中间媒介间接相连,对于本领域的普通技术人员而言,可以根据具体情况理解上述术语的具体含义。
本发明提供了一种基于接入信任度和快速权限分配算法的智能电网接入控制方法,其包括如下步骤:
第一步:按照系统结构部署智能电网系统,智能电网系统包括智能电网接入终端、智能电网数据控制中心和智能电网调度中心,其中所述智能电网数据控制中心包括检测与认证模块、信任度计算模块、访问粒度分配模块常用权限集计算模块和高级权限分配模块,如图1所示。智能电网接入终端与数据控制中心通信,数据控制中心与智能电网调度中心通信。智能电网接入终端向数据控制中心发送接入请求和身份信息,检测与认证模块对接入终端进行检测与认证并将合法终端的认证信息及其接入时间、接入地点等信息封装加密。
在本发明的一种优选实施方式中,如图2所示,对所述检测与认证模块对接入终端请求信息的检测与认证的步骤为:
S21:检测与认证模块首先检测智能电网接入终端接入请求。
S22:检测与认证模块对发送接入请求的智能电网接入终端进行身份认证,若身份不合法就拒绝该智能电网接入终端接入智能电网。
S23:如果身份认证合法,检测与认证模块对该智能电网接入终端的接入的时间、地点和终端的接入记录进行检测,并将检测到的数据进行加密封装。
S24:检测与认证模块将检测封装的数据发送给信任度计算模块。
第二步:所述信任度计算模块对接入终端的信任度进行计算。
在本发明的一种优选实施方式中,信任度计算模块的信任度计算方法为:信任度计算模块将首先将检测与认证模块发过来的数据解密,然后根据解密的终端请求接入时间、地点以及之前该终端的接入记录来进行信任度计算,所用的计算公式是
Figure 339155DEST_PATH_IMAGE002
Figure 563463DEST_PATH_IMAGE004
。 其中
Figure 624960DEST_PATH_IMAGE006
表示该终端第
Figure 971628DEST_PATH_IMAGE008
次接入智能电网的接入信任度;
Figure 384155DEST_PATH_IMAGE010
表示由接入时间和接入地点共同作用形成的权值且表示该终端前
Figure 596458DEST_PATH_IMAGE016
次接入访问智能电网的平均接入信任度,设定终端第一次接入访问智能电网的信任度只与其接入的时间和地点相关,即第一次接入智能电网的
Figure 496281DEST_PATH_IMAGE018
对所述信任度计算方法的权值
Figure 62392DEST_PATH_IMAGE010
的计算方法为:
Figure 426377DEST_PATH_IMAGE020
,其中
Figure 786951DEST_PATH_IMAGE022
表示终端接入时间所对应的安全系数,
Figure 174070DEST_PATH_IMAGE024
表示终端接入地点所对应的安全系数。所述接入时间安全系数
Figure 353991DEST_PATH_IMAGE022
的值设定为
Figure 244587DEST_PATH_IMAGE026
,接入地点安全系数的值设定为
Figure 712794DEST_PATH_IMAGE028
当终端接入请求时间在每天的非工作时间并且在非指定的地点接入时,即当
Figure 886287DEST_PATH_IMAGE030
时,此时
Figure 896968DEST_PATH_IMAGE010
的值最小;当终端接入请求时间在每天的工作时间并且在非指定的地点接入时,即当
Figure 677973DEST_PATH_IMAGE032
时,此时
Figure 774105DEST_PATH_IMAGE010
的值适中;当终端接入请求在指定地点接入时,无论是在工作时间还是在非工作时间,权值
Figure 485709DEST_PATH_IMAGE010
的值都为1。由权值
Figure 350897DEST_PATH_IMAGE010
可知,接入终端请求在指定地点接入时,无论请求接入的时间是工作时间还是非工作时间,它的权重都是1,该终端的访问信任度
Figure 552071DEST_PATH_IMAGE034
只与该终端之前的访问信任度有关;当接入终端请求在非指定地点接入时,其权重
Figure 135500DEST_PATH_IMAGE010
主要取决于接入时间,请求在工作时间接入时的信任度权重比在非工作时间接入的权重大。此时,该终端的访问信任度
Figure 385215DEST_PATH_IMAGE034
不仅取决于该终端之前的访问信任度,还与请求接入时间和接入地点有关。
第三步:所述访问粒度分配模块根据信任度计算模块的计算结果分配相应的访问粒度给接入终端。
在本发明的一种优选实施方式中,对所述访问粒度分模块根据信任度计算结果分配相应的访问粒度给该接入终端的方法为:根据智能电网接入信任度划分访问粒度集
Figure 183538DEST_PATH_IMAGE036
,所述访问粒度集的具体格式为
Figure 493297DEST_PATH_IMAGE038
,其中
Figure 564021DEST_PATH_IMAGE040
表示信任度为
Figure 679744DEST_PATH_IMAGE042
所对应的访问粒度集合,并且
Figure 519525DEST_PATH_IMAGE040
的具体表现形式为
Figure 184DEST_PATH_IMAGE044
,其中
Figure 105675DEST_PATH_IMAGE046
表示信任度为的终端可以获取的访问粒度;
Figure 657059DEST_PATH_IMAGE046
是一个一元函数
Figure 308620DEST_PATH_IMAGE048
,其中
Figure 416253DEST_PATH_IMAGE050
是身份标识符。终端根据自己的信任度可以找到与之匹配的访问粒度集合,只要再次提供的身份验证信息与该访问粒度集合里面的某一粒度身份标识码相匹配,就可以获得该访问粒度。
第四步:所述常用权限集计算模块根据传递来的访问粒度计算出的常用权限将直接授权给获得该访问粒度的接入终端,从而实现对智能电网数据库常规数据的快速访问。常规数据是指用户经常访问查看的数据,如用电情况、缴费记录、电力部门发布的通知等。
在本发明的一种优选实施方式中,对所述常用权限集计算模块计算常用权限的方法为:
首先根据每个访问粒度的对智能电网的职能划分权限集
Figure 811463DEST_PATH_IMAGE052
, 所述权限集
Figure 360256DEST_PATH_IMAGE052
的具体格式为
Figure 252558DEST_PATH_IMAGE054
,其中
Figure 519591DEST_PATH_IMAGE056
表示粒度
Figure 718491DEST_PATH_IMAGE058
可以拥有的访问权限。权限
Figure 184107DEST_PATH_IMAGE056
是一个二元函数
Figure 443051DEST_PATH_IMAGE060
,其中
Figure 197380DEST_PATH_IMAGE062
是权限
Figure 747441DEST_PATH_IMAGE056
的操作对象,而
Figure 270826DEST_PATH_IMAGE064
表示操作的范围。当终端获得某一权限时,其能操作的对象和范围由权限的
Figure 700671DEST_PATH_IMAGE062
Figure 676717DEST_PATH_IMAGE064
决定。
根据访问粒度对应的权限集里面权限被该访问粒度使用的频率划分出该访问粒度的常用权限集
Figure 923207DEST_PATH_IMAGE066
Figure 258374DEST_PATH_IMAGE066
里面包含了使用频率最高的五个权限且按使用频率从高到低的顺序排列,其具体格式为
Figure 800345DEST_PATH_IMAGE068
,其中权限的使用频率依次为
Figure 879159DEST_PATH_IMAGE070
。计算好常用权限集后,权限集计算模块将该集合的权限直接赋予该访问粒度,从而获得该访问粒度的接入终端就可以对智能电网数据库进行在常用权限集权限以内的操作或者向智能电网调度中心收发信息。若该访问粒度想要获取除常用权限集以外的访问权限,则需要向高级权限分配模块提交请求。
第五步:所述已获得访问粒度的终端向高级权限分配模块发送分配请求,并提供自己的身份信息进行再次验证,以获得分配允许。在本发明的一种优选实施方式中,如图3所示,对所述高级权限分配模块的权限分配步骤为:
S61:高级权限分配模块检测粒度的分配请求。
S62:高级权限分配模块检检测粒度的分配信息。
S63:高级权限分配模块根据粒度信息对终端再次进行权限分配认证,以确定该终端是否能访问该粒度所拥有的高级权限。
S64:高级权限分配模块将合法信息及其权限范围发送给权限分配模块,然后权限分配模块将对应粒度的访问权限范围内的权限授予该访问粒度,使之可以使用这些权限对智能电网数据库操作或者完成与调度中心的通信。
本发明是基于智能电网接入终端的环境属性、接入记录,用简洁的信任度计算和常用权限计算方法提供了一种方便部署在智能电网环境中,能够保障智能电网数据安全且效率较高的数据访问控制方案。该方案部署方便且易于扩展,终端信任度的计算有益于限制终端权限的分配范围,使智能电网权限分配变得谨慎。在得到相应信任度的访问粒度后,常用权限集的直接分配提高了智能电网权限分配的效率。本发明在保证智能电网接入终端可信的情况下,根据终端接入地点、时间等信息,灵活高效的实现了智能电网数据的访问控制,确保了智能电网数据的安全。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、 “示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
尽管已经示出和描述了本发明的实施例,本领域的普通技术人员可以理解:在不脱离本发明的原理和宗旨的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由权利要求及其等同物限定。

Claims (7)

1.基于接入信任度和快速权限分配的智能电网访问控制方法,其特征在于,包括如下步骤:
S1:按照系统结构部署智能电网系统,所述智能电网系统包括智能电网接入终端、智能电网数据控制中心和智能电网调度中心,所述智能电网接入终端与智能电网数据控制中心通信,所述智能电网数据控制中心与智能电网数据库和智能电网调度中心通信;其中所述智能电网数据控制中心包括检测与认证模块、信任度计算模块、访问粒度分配模块常用权限集计算模块和高级权限分配模块;
S2:对所述智能电网系统进行初始化;
S3:所述智能电网接入终端向智能电网数据控制中心发送接入请求和智能电网接入终端的身份信息,所述检测与认证模块对智能电网接入终端进行检测与认证;
S4:所述检测与认证模块将通过认证的智能电网接入终端的认证信息发送给智能电网数据控制中心的信任度计算模块,所述信任度计算模块结合智能电网接入终端的认证信息对智能电网接入终端进行信任度计算,并将计算结果发送给访问粒度分配模块;
S5:所述访问粒度分配模块根据信任度计算模块的计算结果分配相应的访问粒度给该智能电网接入终端,并将该访问粒度传递给常用权限集计算模块;
S6:所述常用权限集计算模块根据传递来的访问粒度计算出的常用权限直接授权给获得该访问粒度的智能电网接入终端,从而实现对智能电网数据库常规数据的快速访问;
S7:所述已获得访问粒度的智能电网接入终端向高级权限分配模块发送分配审计请求,如果请求没有通过,则不允许该智能电网接入终端访问除常用权限以外的非常用权限;
S8:所述高级权限分配模块在完成审计后根据通过审计的智能电网接入终端的粒度信息将相应的高级权限分配给该智能电网接入终端,使之获得相应的智能电网数据库访问权限或与智能电网调度中心通信的权限。
2.如权利要求1所述基于接入信任度和快速权限分配的智能电网访问控制方法,其特征在于,对所述检测与认证模块对智能电网接入终端的接入请求进行检测与认证的步骤为:
S21:检测与认证模块首先检测智能电网接入终端的接入请求;
S22:检测与认证模块对发送接入请求的智能电网接入终端进行身份认证,若身份不合法就拒绝该智能电网接入终端接入智能电网;
S23:如果身份认证合法,检测与认证模块对该智能电网接入终端的接入时间、地点和终端的接入记录进行检测,并将检测到的数据进行加密封装;
S24:检测与认证模块将检测封装的数据发送给信任度计算模块。
3.如权利要求1所述基于接入信任度和常用权限分配的智能电网访问控制方法,其特征在于,对所述信任度计算模块对智能电网接入终端的信任度计算步骤为:
S31:信任度计算模块将检测与认证模块发过来的数据解密;
S32:信任度计算模块根据解密获得的智能电网接入终端请求的接入时间、地点以及该终端的接入记录来进行信任度计算,所用的计算公式是                                                
Figure 45816DEST_PATH_IMAGE001
其中
Figure 257934DEST_PATH_IMAGE003
表示该终端第
Figure 183165DEST_PATH_IMAGE004
次接入智能电网的接入信任度;
Figure 469790DEST_PATH_IMAGE005
表示由接入时间和接入地点共同作用形成的权值且
Figure 531286DEST_PATH_IMAGE006
Figure 877954DEST_PATH_IMAGE007
表示该终端前次接入访问智能电网的平均接入信任度。
4.如权利要求3所述基于接入信任度和常用权限分配的智能电网访问控制方法,其特征在于,对所述权值
Figure 380797DEST_PATH_IMAGE005
的计算方法为:
Figure 562379DEST_PATH_IMAGE009
,其中
Figure 315834DEST_PATH_IMAGE010
表示接入终端请求接入时间所对应的安全系数,
Figure 215657DEST_PATH_IMAGE011
表示接入终端请求接入地点所对应的安全系数;所述接入时间安全系数
Figure 844084DEST_PATH_IMAGE010
的值设定为,接入地点安全系数
Figure 568644DEST_PATH_IMAGE011
的值设定为
Figure 955763DEST_PATH_IMAGE013
5.如权利要求1所述基于接入信任度和常用权限分配的智能电网访问控制方法,其特征在于,对所述访问粒度分配模块根据信任度计算结果分配相应的访问粒度给该智能电网接入终端的方法为:
根据智能电网接入信任度划分访问粒度集
Figure 387881DEST_PATH_IMAGE014
,所述访问粒度集的具体格式为
Figure 639313DEST_PATH_IMAGE015
,其中
Figure 248149DEST_PATH_IMAGE016
表示信任度为
Figure 483958DEST_PATH_IMAGE017
所对应的访问粒度集合,并且
Figure 494640DEST_PATH_IMAGE016
的具体表现形式为
Figure 524912DEST_PATH_IMAGE018
,其中
Figure 621044DEST_PATH_IMAGE019
表示信任度为
Figure 394965DEST_PATH_IMAGE017
的终端可以获取的访问粒度;
Figure 260153DEST_PATH_IMAGE019
是一个一元函数
Figure 962792DEST_PATH_IMAGE020
,其中
Figure 546220DEST_PATH_IMAGE021
是身份标识;终端根据自己的信任度找到与之匹配的访问粒度集合,只要再次提供的身份验证信息与该访问粒度集合里面的某一访问粒度相匹配,就可以获得该访问粒度。
6.如权利要求1所述基于接入信任度和常用权限分配的智能电网访问控制方法,其特征在于,对所述常用权限集计算模块计算常用权限的方法为:
首先根据每个访问粒度对智能电网的职能划分权限集
Figure 858253DEST_PATH_IMAGE022
,所述权限集
Figure 843527DEST_PATH_IMAGE022
的具体格式为
Figure 215602DEST_PATH_IMAGE023
,其中表示访问粒度
Figure 402050DEST_PATH_IMAGE025
拥有的访问权限;权限
Figure 241830DEST_PATH_IMAGE024
是一个二元函数
Figure 297990DEST_PATH_IMAGE026
,其中
Figure 590431DEST_PATH_IMAGE027
是权限
Figure 509846DEST_PATH_IMAGE024
的操作对象,而
Figure 266449DEST_PATH_IMAGE028
表示操作的范围;
根据访问粒度对应的权限集里的权限被该访问粒度使用的频率划分出该访问粒度的常用权限集
Figure 984635DEST_PATH_IMAGE029
里面包含了使用频率最高的五个权限且按使用频率从高到低的顺序排列,其具体格式为
Figure 533428DEST_PATH_IMAGE030
,其中权限的使用频率依次为
计算好常用权限集后,常用权限集计算模块将该集合的权限直接赋予该访问粒度,从而获得该访问粒度的接入终端就可以对智能电网数据库进行在常用权限集权限以内的操作或者向智能电网调度中心收发信息;若该访问粒度想要获取除常用权限集以外的访问权限,则需要向高级权限分配模块提交请求。
7.如权利要求1所述基于接入信任度和常用权限分配的智能电网访问控制方法,其特征在于,对所述高级权限分配模块的权限分配步骤为:
S61:高级权限分配模块检测粒度的分配请求;
S62:高级权限分配模块检测粒度的分配信息;
S63:高级权限分配模块根据粒度信息对接入终端再次进行权限分配认证,以确定该终端是否能访问该粒度所拥有的高级权限;
S64:高级权限分配模块根据粒度信息及其权限范围将对应粒度的访问权限范围内的权限授予该访问粒度,使之可以使用这些权限对智能电网数据库操作或者完成与调度中心的通信。
CN201310715699.5A 2013-12-23 基于接入信任度和快速权限分配的智能电网访问控制方法 Expired - Fee Related CN103647787B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201310715699.5A CN103647787B (zh) 2013-12-23 基于接入信任度和快速权限分配的智能电网访问控制方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201310715699.5A CN103647787B (zh) 2013-12-23 基于接入信任度和快速权限分配的智能电网访问控制方法

Publications (2)

Publication Number Publication Date
CN103647787A true CN103647787A (zh) 2014-03-19
CN103647787B CN103647787B (zh) 2016-11-30

Family

ID=

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104917761A (zh) * 2015-05-29 2015-09-16 西安电子科技大学 一种通用的访问控制方法及装置
CN106789996A (zh) * 2016-12-12 2017-05-31 墨宝股份有限公司 一种智能电网用户访问授权控制方法
CN112787979A (zh) * 2019-11-07 2021-05-11 北京地平线机器人技术研发有限公司 物联网设备访问控制方法及物联网设备访问控制装置
CN115622798A (zh) * 2022-11-22 2023-01-17 国网湖北省电力有限公司营销服务中心(计量中心) 一种电力负荷管理系统的用户权限分配方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102045353A (zh) * 2010-12-13 2011-05-04 北京交通大学 一种公有云服务的分布式网络安全控制方法
US20110282508A1 (en) * 2010-05-12 2011-11-17 Alstom Grid Generalized grid security framework
CN103067406A (zh) * 2013-01-14 2013-04-24 暨南大学 一种公有云与私有云之间的访问控制系统及方法
US20130117560A1 (en) * 2011-11-03 2013-05-09 Cleversafe, Inc. Processing a dispersed storage network access request utilizing certificate chain validation information
CN103442354A (zh) * 2013-09-04 2013-12-11 上海辰锐信息科技公司 一种移动警务终端安全管控系统

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110282508A1 (en) * 2010-05-12 2011-11-17 Alstom Grid Generalized grid security framework
CN102045353A (zh) * 2010-12-13 2011-05-04 北京交通大学 一种公有云服务的分布式网络安全控制方法
US20130117560A1 (en) * 2011-11-03 2013-05-09 Cleversafe, Inc. Processing a dispersed storage network access request utilizing certificate chain validation information
CN103067406A (zh) * 2013-01-14 2013-04-24 暨南大学 一种公有云与私有云之间的访问控制系统及方法
CN103442354A (zh) * 2013-09-04 2013-12-11 上海辰锐信息科技公司 一种移动警务终端安全管控系统

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104917761A (zh) * 2015-05-29 2015-09-16 西安电子科技大学 一种通用的访问控制方法及装置
CN104917761B (zh) * 2015-05-29 2018-01-30 西安电子科技大学 一种通用的访问控制方法及装置
CN106789996A (zh) * 2016-12-12 2017-05-31 墨宝股份有限公司 一种智能电网用户访问授权控制方法
CN112787979A (zh) * 2019-11-07 2021-05-11 北京地平线机器人技术研发有限公司 物联网设备访问控制方法及物联网设备访问控制装置
CN115622798A (zh) * 2022-11-22 2023-01-17 国网湖北省电力有限公司营销服务中心(计量中心) 一种电力负荷管理系统的用户权限分配方法

Similar Documents

Publication Publication Date Title
Acharya et al. Cybersecurity of smart electric vehicle charging: A power grid perspective
Acharya et al. Public plug-in electric vehicles+ grid data: Is a new cyberattack vector viable?
CN103491093B (zh) 一种智能电网用户访问授权方法
CN102521548B (zh) 一种管理功能使用权限的方法及移动终端
CN103679062A (zh) 智能电表主控芯片和安全加密方法
CN109361718B (zh) 身份认证方法、装置和介质
Lee et al. Study on analysis of security vulnerabilities and countermeasures in ISO/IEC 15118 based electric vehicle charging technology
Chaudhry et al. Security concerns of a plug-in vehicle
EP2487767B1 (en) Energy access control
US20150324589A1 (en) System and method for controlled device access
CN112019326B (zh) 一种车辆充电安全管理方法及系统
Cárdenas et al. Security and privacy in the smart grid
CN114267100B (zh) 开锁认证方法、装置、安全芯片及电子钥匙管理系统
CN104702599A (zh) 一种mms规约应用层安全交互方法
Alcaraz et al. OCPP in the spotlight: threats and countermeasures for electric vehicle charging infrastructures 4.0
CN106789996A (zh) 一种智能电网用户访问授权控制方法
Aghapour et al. Cybersecurity and data privacy issues of electric vehicles smart charging in smart microgrids
CN102821102A (zh) 一种智能配电网防御系统及其防御方法
CN103647787A (zh) 基于接入信任度和快速权限分配的智能电网访问控制方法
CN103647787B (zh) 基于接入信任度和快速权限分配的智能电网访问控制方法
US20220337599A1 (en) Systems and techniques for smart demand side response using data plane architecture
Metere et al. An Overview of Cyber Security and Privacy on the Electric Vehicle Charging Infrastructure
Ranabhat Secure design and development of IoT enabled charging infrastructure for electric vehicle: Using CCS standards for DC fast charging
Harnett et al. Government Fleet and Public Sector Electric Vehicle Supply Equipment (EVSE) Cybersecurity Best Practices and Procurement Language Report
Sharma et al. Fortified-Grid 3.0: Security by Design for Smart Grid through Hardware Security Primitives

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20161130

Termination date: 20211223