CN106713229A - 一种基于用户行为的智能电网终端可信接入系统和方法 - Google Patents

Abstract

本发明提供一种基于用户行为的智能电网终端可信接入系统和方法，系统包括终端访问层、可信评估层和可信度量层；所述终端访问层位于最底层，所述可信评估层位于终端访问层和可信度量层之间，所述可信度量层位于最顶层。方法中完成了用户身份认证、平台身份认证、平台完整性验证和用户行为可信判断。本发明在进行身份认证和平台完整性验证的基础上，对用户行为证据信息进行收集，周期性地判断用户行为是否可信，从而决定是否允许智能电网终端继续接入网络以及以何种身份接入等问题，并以此决定对用户采取实时监控的力度。

Description

一种基于用户行为的智能电网终端可信接入系统和方法

技术领域

本发明涉及一种可新接入技术，具体涉及一种基于用户行为的智能电网终端可信接入系统和方法。

背景技术

近年来，智能电网已经成为世界电网发展的共同趋势。所谓智能电网是以坚强网架为基础，以通信信息平台为支撑，以智能控制为手段，包含电力系统的发电、输电、变电、配电、用电和调度六大环节，覆盖所有电压等级，实现“电力流、信息流、业务流”的高度一体化融合。随着智能电网互动化业务的不断发展，各类终端接入电网的需求越来越广泛，人们对电网安全有了新的认识和更高的要求。传统“垒高墙，堵漏洞，防外攻”的被动式防御，不能有效地抵抗来自系统内部的攻击，也不能防止层出不穷的病毒和恶意攻击行为。事实上，几乎所有的攻击事件都是从终端发起。如果能够从源头抓起，从终端进行网络连接时刻就开始建立起安全体系，将非法终端排除在电网之外，从而保证电网中每一个终端都是经过认证和授权的，那么就不会有攻击事件的发生，这就是智能电网终端可信接入方法的目的。

自从2003年可信计算组织(Trusted Computing Group,TCG)成立以来，可信计算技术得到了迅速的发展，人们已经意识到，在面对现有各种安全风险和威胁时，不仅需要自顶向下的安全体系设计，还需要从终端开始自底向上地保证计算系统的可信；不仅要保证终端计算环境的可信，还要把终端计算环境的可信扩展到网络，使得网络成为一个可信的计算环境。TCG认为如果一个实体的行为总是以预期方式朝着预期目标进行，该实体是可信的。

可信网络连接(Trusted Network Connection，TNC)是将可信计算延伸到网络的一种理论，是可信计算技术与网络接入控制机制的结合，它是指在终端接入网络之前，对用户的身份进行认证。如果认证通过，对终端平台的身份进行认证，如果认证通过，对终端的平台可信状态进行度量，如果度量结果满足网络接入的安全策略，则允许终端接入网络，否则将终端连接到指定的隔离区域，对其进行安全性修补和升级。TNC旨在将终端的可信状态延续到网络中，使信任链从终端扩展到网络。

“十二五”期间，国家电网公司将加快建设具有“信息化、自动化、互动化”特征的坚强智能电网，智能电网信息安全关系到国家安全、社会稳定和电网安全。智能电网用户数量大，双向交流互动性强，网络边界向发电侧、用户侧延伸覆盖至智能电网各环节。与传统电网相比，智能电网信息安全具有点多面广、技术复杂的特点，信息安全风险隐患更为突出，存在生产信息在网络传输中被非法窃取、篡改，业务系统完整性、保密性、可用性被破坏，智能设备、智能表计、智能终端和用户终端被非法冒用、远程控制和违规操作等风险。随着设备智能化、无线通信等领域的新设备、新技术不断涌现，并被逐步广泛应用到智能电网环境下信息通信网络的建设中，加快智能电网快速发展的同时也带来了安全隐患。由于传统的可信接入方法只是对终端身份进行认证，并没有动态地实时监测终端行为，不能实时动态发现并阻止不可信终端，仅仅在接入网络时进行一次性度量只能证明终端在该时刻所处的信任状态，不能反映终端的状态变化。也就是说，在网络接入时的可信终端在运行过程中并不能保证一直是安全可信的，有可能被非法冒用、远程控制等，而进行一系列非法操作。

基于可信网络连接的思想，终端接入过程中，当终端要求接入被保护的网络时，接入认证服务器对终端进行身份认证和平台验证，当终端满足网络预设的安全策略时被允许接入；当终端不满足上述要求时，被禁止接入或进行隔离修复。但从整个终端接入的过程来看，这种接入方法只是在终端接入时对其进行认证，一旦终端被允许接入网络，则该终端的行为就不受制约，也就是说，终端如果被恶意控制，就可能以其合法身份做出威胁网络安全的行为。

TNC只在终端接入网络时对其进行了身份和完整性认证，在接入之后没有对终端进行任何安全性保护，这种保护机制只能保护终端接入网络时的安全性，不能保证接入后网络的安全。因此，需要一种基于用户行为的智能电网终端可信接入方法，从终端行为入手，对网络攻击进行主动防御，将大部分潜在攻击在发生前进行抑制。

发明内容

为了克服上述现有技术的不足，本发明提供一种基于用户行为的智能电网终端可信接入系统和方法，在进行身份认证和平台完整性验证的基础上，对用户行为证据信息进行收集，周期性地判断用户行为是否可信，从而决定是否允许智能电网终端继续接入网络以及以何种身份接入等问题，并以此决定对用户采取实时监控的力度。

为了实现上述发明目的，本发明采取如下技术方案：

本发明提供一种基于用户行为的智能电网终端可信接入系统，所述系统包括终端访问层、可信评估层和可信度量层；所述终端访问层位于最底层，所述可信评估层位于终端访问层和可信度量层之间，所述可信度量层位于最顶层。

所述智能电网终端为可信网络连接TNC中的访问请求者AR，网络接入设备为可信网络连接TNC中的策略执行点PEP，认证服务器为可信网络连接TNC中的策略决策点PDP。

在终端访问层，网络访问请求者NAR和网络访问授权者NAA之间建立数据传输通道，之后策略执行点PEP执行允许、禁止和隔离网络访问请求者NAR的接入操作，完成网络访问请求者NAR的访问请求，网络访问请求者NAR申请建立与可信网络之间的网络连接。

所述可信评估层包括可信网络连接客户端TNCC和可信网络连接服务器TNCS；

所述可信网络连接客户端TNCC获得完整性度量收集者IMC收集到的平台完整性信息和用户行为证据收集UBEC收集到的用户行为证据信息，并完成完整性度量收集者IMC与可信网络连接服务器TNCS之间的信息交互以及用户行为证据收集UBEC与可信网络连接服务器TNCS之间的信息交互；

所述可信网络连接服务器TNCS完成完整性度量验证者IMV与完整性度量收集者IMC之间的信息交互以及用户行为统计检查UBCJ与用户行为证据收集UBEC之间的信息交互，获得完整性度量验证者IMV的平台完整性判断结果和用户行为统计检查UBCJ的用户行为可信判断结果，并将平台完整性判断结果、用户行为可信判断结果及操作建议返回给网络访问授权者NAA。

所述可信度量层包括完整性度量收集者IMC、完整性度量验证者IMV、用户行为证据收集UBEC和用户行为统计检查UBCJ；

所述完整性度量收集者IMC收集平台完整性信息，通过可信网络连接客户端TNCC、可信网络连接服务器TNCS将收集到的平台完整性信息发送给完整性度量验证者IMV；

所述完整性度量验证者IMV对完整性度量收集者IMC收集的平台完整性信息进行判定，从而决定网络访问请求者NAR是否通过平台完整性验证；

所述用户行为证据收集UBEC实时收集网络访问请求者NAR的用户行为证据信息，形成用户行为证据集；

所述用户行为统计检查UBCJ根据用户行为证据集，周期性地加权判断用户行为是否可信，从而决定是否允许网络访问请求者NAR的继续接入以及接入身份。

本发明还提供一种基于用户行为的智能电网终端可信接入方法，所述方法包括以下步骤：

步骤1：进行网络访问请求者NAR和网络访问授权者NAA之间的用户身份认证；

步骤2：进行可信网络连接客户端TNCC和可信网络连接服务器TNCS之间的平台身份认证；

步骤3：进行可信网络连接客户端TNCC和可信网络连接服务端TNCS之间的平台完整性验证；

步骤4：进行网络访问请求者NAR和网络访问授权者NAA之间的用户行为可信判断。

所述步骤1包括以下步骤：

步骤1-1：所述可信网络连接客户端TNCC对完整性度量收集者IMC和用户行为证据收集UBEC进行初始化，确保可信网络连接客户端TNCC拥有与完整性度量收集者IMC和用户行为证据收集UBEC的有效连接状态；同时可信网络连接服务器TNCS对完整性度量验证者IMV和用户行为统计检查UBCJ进行初始化，确保可信网络连接服务器TNCS拥有与完整性度量验证者IMV和用户行为统计检查UBCJ的有效连接状态；

步骤1-2：网络访问请求者NAR向策略执行点PEP发送访问请求；

步骤1-3：策略执行点PEP收到网络访问请求者NAR的访问请求后，其向网络访问授权者NAA发送决策请求；假定网络访问授权者NAA已经设置为按照用户身份认证、平台身份认证、平台完整性验证和用户行为可信判断的顺序进行操作，如果用户身份认证、平台身份认证、平台完整性验证和用户行为可信判断中任一不通过，则停止后续操作；

所述步骤2包括以下步骤：

步骤2-1：网络访问请求者NAR和网络访问授权者NAA之间的用户身份认证通过，网络访问授权者NAA通知可信网络连接服务器TNCS其收到来自网络访问请求者NAR的访问请求；

步骤2-2：可信网络连接客户端TNCC和可信网络连接服务器TNCS之间进行平台身份认证，若平台身份认证通过，则执行步骤3，否则禁止网络访问请求者NAR接入。

所述步骤3包括以下步骤：

步骤3-1：可信网络连接客户端TNCC和可信网络连接服务器TNCS交换平台完整性信息，平台完整性信息在网络访问请求者NAR、策略执行点PEP和网络访问授权者NAA之间转发；

步骤3-2：可信网络连接服务器TNCS将完整性度量收集者IMC收集到的平台完整性信息发送给完整性度量验证者IMV，完整性度量验证者IMV对平台完整性信息进行分析，将平台完整性判断结果发送给可信网络连接服务器TNCS；

步骤3-3：可信网络连接客户端TNCC转发来自完整性度量验证者IMV的平台完整性信息给完整性度量收集者IMC，并将来自完整性度量收集者IMC的平台完整性信息转发给可信网络连接服务器TNCS。

所述步骤4包括以下步骤：

步骤4-1：可信网络连接服务器TNCS向用户行为统计检查UBCJ表示用户行为可信判断开始，用户行为统计检查UBCJ完成用户行为可信判断策略制定、用户异常行为判断阈值Add_abormal、周期性判断时间间隔Time_int和用户行为证据信任的信任范围(T_low，T_high)的设定，其中T_low为可接受的用户行为证据最低值，T_high为可接受的用户行为证据最高值；之后可信网络连接客户端TNCC向用户行为证据收集UBEC发送收集用户行为证据请求，收集实时用户行为证据E_new，并对以往用户行为证据进行统计和存储，假设该用户以往用户行为证据累加值为Add_evi，用户行为证据收集UBEC将该Add_evi汇报给可信网络连接客户端TNCC；

步骤4-2：可信网络连接客户端TNCC将用户行为证据信息发送给可信网络连接服务器TNCS；

步骤4-3：可信网络连接服务器TNCS转发用户行为证据信息给用户行为统计检查UBCJ，在Time_int内，用户行为统计检查UBCJ根据用户行为证据收集UBEC收集到的E_new判定用户行为是否可信，判定过程如下：

根据Add_evi判定E_new是否可信，若|E_new-Add_evi|小于异常行为的偏离度D，则表明E_new可信，即将其作为用户行为可信证据，否则E_new有可能为用户行为不可信证据的怀疑证据；

对于怀疑证据，判断T_low＜E_new＜T_high是否成立，如果成立则表明怀疑证据为用户行为可信证据，否则为用户行为不可信证据，即E_new为用户异常行为证据E_abnormal，并记录E_abnormal；

在Time_int内，将E_abnormal按照预设的权重进行加权计算，设α_i为各个用户异常行为的恶意指数，如果∑_iα_iE_abnormal＞Add_abormal成立，则表明该用户行为不可信，对于有不可信访问行为的用户在网络访问授权者NAA的执行过程中及时终止网络访问请求者NAR访问，禁止用户下一次请求接入；用户行为统计检查UBCJ将用户行为可信判断结果返回给可信网络连接服务器TNCS；

步骤4-4：可信网络连接服务器TNCS将用户行为可信判断结果及操作建议发送给网络访问授权者NAA；

步骤4-5：网络访问授权者NAA将访问决策发至策略执行点PEP执行，网络访问授权者NAA把用户行为可信判断结果发送给可信网络连接服务器TNCS，可信网络连接服务器TNCS将该用户行为可信判断结果发送给可信网络连接客户端TNCC；

步骤4-6：如果策略执行点PEP允许网络访问请求者NAR接入，在网络访问请求者NAA和可信网络连接TNC建立之后，用户行为证据收集UBEC周期性的收集用户行为证据信息，用户行为统计检查UBCJ在Time_int内根据用户行为证据信息判断用户行为是否可信，并将用户行为可信判断结果发送给可信网络连接服务器TNCS，可信网络连接服务器TNCS一旦发现存在用户异常行为，则通过网络访问请求者NAA实时告知策略执行点PEP阻断网络访问请求者NAR的接入。

与最接近的现有技术相比，本发明提供的技术方案具有以下有益效果：

(1)本方法解决了TNC不能实时动态监控智能电网终端行为以及终端接入后缺乏安全保护的问题，在接入之后也能对智能电网终端进行安全性保护，实时反映智能电网终端状态变化；

(2)本方法从智能电网终端行为入手，实时监控接入智能电网终端的行为，及时阻止用户异常访问行为，能够对网络攻击进行主动防御，将大部分攻击在发生前进行抑制。

附图说明

图1是本发明实施例中基于用户行为的智能电网终端可信接入系统结构图；

图2是本发明实施例中基于用户行为的智能电网终端可信接入方法示意图；

图3是本发明实施例中基于用户行为的智能电网终端可信接入方法流程图。

具体实施方式

下面结合附图对本发明作进一步详细说明。

本发明提供一种基于用户行为的智能电网终端可信接入系统，如图1，所述系统包括终端访问层、可信评估层和可信度量层；所述终端访问层位于最底层，所述可信评估层位于终端访问层和可信度量层之间，所述可信度量层位于最顶层。

所述智能电网终端为可信网络连接TNC(Trusted Network Connection)中的访问请求者AR(Access Requestor)，网络接入设备为可信网络连接TNC中的策略执行点PEP(PolicyEnforcement Point)，认证服务器为可信网络连接TNC中的策略决策点PDP(Policy DecisionPoint)。

在终端访问层，网络访问请求者NAR((Network Access Requestor)和网络访问授权者NAA(Network Access Authorizator)之间建立数据传输通道，之后策略执行点PEP执行允许、禁止和隔离网络访问请求者NAR的接入操作，完成网络访问请求者NAR的访问请求，网络访问请求者NAR申请建立与可信网络之间的网络连接。

所述可信评估层包括可信网络连接客户端TNCC(TNC Client)和可信网络连接服务器TNCS(TNC Server)；

所述可信网络连接客户端TNCC获得完整性度量收集者IMC(Integrity MeasurementCollector)收集到的平台完整性信息和用户行为证据收集UBEC(User Behavior EvidenceCollector)收集到的用户行为证据信息，并完成完整性度量收集者IMC与可信网络连接服务器TNCS之间的信息交互以及用户行为证据收集UBEC与可信网络连接服务器TNCS之间的信息交互；

所述可信网络连接服务器TNCS完成完整性度量验证者IMV(Integrity MeasurementVerifier)与完整性度量收集者IMC之间的信息交互以及用户行为统计检查UBCJ(UserBehavior Count Judge)与用户行为证据收集UBEC之间的信息交互，获得完整性度量验证者IMV的平台完整性判断结果和用户行为统计检查UBCJ的用户行为可信判断结果，并将平台完整性判断结果、用户行为可信判断结果及操作建议返回给网络访问授权者NAA(NetworkAccess Authorizator)。

所述可信度量层包括完整性度量收集者IMC、完整性度量验证者IMV、用户行为证据收集UBEC和用户行为统计检查UBCJ；

所述完整性度量收集者IMC收集平台完整性信息，通过可信网络连接客户端TNCC、可信网络连接服务器TNCS将收集到的平台完整性信息发送给完整性度量验证者IMV；

所述完整性度量验证者IMV对完整性度量收集者IMC收集的平台完整性信息进行判定，从而决定网络访问请求者NAR是否通过平台完整性验证；

所述用户行为证据收集UBEC实时收集网络访问请求者NAR的用户行为证据信息，形成用户行为证据集；

所述用户行为统计检查UBCJ根据用户行为证据集，周期性地加权判断用户行为是否可信，从而决定是否允许网络访问请求者NAR的继续接入以及接入身份。

如图2和图3，本发明还提供一种基于用户行为的智能电网终端可信接入方法，所述方法包括以下步骤：

步骤1：进行网络访问请求者NAR和网络访问授权者NAA之间的用户身份认证；

步骤2：进行可信网络连接客户端TNCC和可信网络连接服务器TNCS之间的平台身份认证；

步骤3：进行可信网络连接客户端TNCC和可信网络连接服务端TNCS之间的平台完整性验证；

步骤4：进行网络访问请求者NAR和网络访问授权者NAA之间的用户行为可信判断。

所述步骤1包括以下步骤：

步骤1-1：所述可信网络连接客户端TNCC对完整性度量收集者IMC和用户行为证据收集UBEC进行初始化，确保可信网络连接客户端TNCC拥有与完整性度量收集者IMC和用户行为证据收集UBEC的有效连接状态；同时可信网络连接服务器TNCS对完整性度量验证者IMV和用户行为统计检查UBCJ进行初始化，确保可信网络连接服务器TNCS拥有与完整性度量验证者IMV和用户行为统计检查UBCJ的有效连接状态；

步骤1-2：网络访问请求者NAR向策略执行点PEP发送访问请求；

步骤1-3：策略执行点PEP收到网络访问请求者NAR的访问请求后，其向网络访问授权者NAA发送决策请求；假定网络访问授权者NAA已经设置为按照用户身份认证、平台身份认证、平台完整性验证和用户行为可信判断的顺序进行操作，如果用户身份认证、平台身份认证、平台完整性验证和用户行为可信判断中任一不通过，则停止后续操作；

所述步骤2包括以下步骤：

步骤2-1：网络访问请求者NAR和网络访问授权者NAA之间的用户身份认证通过，网络访问授权者NAA通知可信网络连接服务器TNCS其收到来自网络访问请求者NAR的访问请求；

步骤2-2：可信网络连接客户端TNCC和可信网络连接服务器TNCS之间进行平台身份认证，若平台身份认证通过，则执行步骤3，否则禁止网络访问请求者NAR接入。

所述步骤3包括以下步骤：

步骤3-1：可信网络连接客户端TNCC和可信网络连接服务器TNCS交换平台完整性信息，平台完整性信息在网络访问请求者NAR、策略执行点PEP和网络访问授权者NAA之间转发；

步骤3-2：可信网络连接服务器TNCS将完整性度量收集者IMC收集到的平台完整性信息发送给完整性度量验证者IMV，完整性度量验证者IMV对平台完整性信息进行分析，将平台完整性判断结果发送给可信网络连接服务器TNCS；

步骤3-3：可信网络连接客户端TNCC转发来自完整性度量验证者IMV的平台完整性信息给完整性度量收集者IMC，并将来自完整性度量收集者IMC的平台完整性信息转发给可信网络连接服务器TNCS。

所述步骤4包括以下步骤：

步骤4-1：可信网络连接服务器TNCS向用户行为统计检查UBCJ表示用户行为可信判断开始，用户行为统计检查UBCJ完成用户行为可信判断策略制定、用户异常行为判断阈值Add_abormal、周期性判断时间间隔Time_int和用户行为证据信任的信任范围(T_low，T_high)的设定，其中T_low为可接受的用户行为证据最低值，T_high为可接受的用户行为证据最高值；之后可信网络连接客户端TNCC向用户行为证据收集UBEC发送收集用户行为证据请求，收集实时用户行为证据E_new，并对以往用户行为证据进行统计和存储，假设该用户以往用户行为证据累加值为Add_evi，用户行为证据收集UBEC将该Add_evi汇报给可信网络连接客户端TNCC；

步骤4-2：可信网络连接客户端TNCC将用户行为证据信息发送给可信网络连接服务器TNCS；

步骤4-3：可信网络连接服务器TNCS转发用户行为证据信息给用户行为统计检查UBCJ，在Time_int内，用户行为统计检查UBCJ根据用户行为证据收集UBEC收集到的E_new判定用户行为是否可信，判定过程如下：

根据Add_evi判定E_new是否可信，若|E_new-Add_evi|小于异常行为的偏离度D，则表明E_new可信，即将其作为用户行为可信证据，否则E_new有可能为用户行为不可信证据的怀疑证据；

对于怀疑证据，判断T_low＜E_new＜T_high是否成立，如果成立则表明怀疑证据为用户行为可信证据，否则为用户行为不可信证据，即E_new为用户异常行为证据E_abnormal，并记录E_abnormal；

在Time_int内，将E_abnormal按照预设的权重进行加权计算，设α_i为各个用户异常行为的恶意指数，如果∑_iα_iE_abnormal＞Add_abormal成立，则表明该用户行为不可信，对于有不可信访问行为的用户在网络访问授权者NAA的执行过程中及时终止网络访问请求者NAR访问，禁止用户下一次请求接入；用户行为统计检查UBCJ将用户行为可信判断结果返回给可信网络连接服务器TNCS；

步骤4-4：可信网络连接服务器TNCS将用户行为可信判断结果及操作建议发送给网络访问授权者NAA；

步骤4-5：网络访问授权者NAA将访问决策发至策略执行点PEP执行，网络访问授权者NAA把用户行为可信判断结果发送给可信网络连接服务器TNCS，可信网络连接服务器TNCS将该用户行为可信判断结果发送给可信网络连接客户端TNCC；

步骤4-6：如果策略执行点PEP允许网络访问请求者NAR接入，在网络访问请求者NAA和可信网络连接TNC建立之后，用户行为证据收集UBEC周期性的收集用户行为证据信息，用户行为统计检查UBCJ在Time_int内根据用户行为证据信息判断用户行为是否可信，并将用户行为可信判断结果发送给可信网络连接服务器TNCS，可信网络连接服务器TNCS一旦发现存在用户异常行为，则通过网络访问请求者NAA实时告知策略执行点PEP阻断网络访问请求者NAR的接入。

最后应当说明的是：以上实施例仅用以说明本发明的技术方案而非对其限制，所属领域的普通技术人员参照上述实施例依然可以对本发明的具体实施方式进行修改或者等同替换，这些未脱离本发明精神和范围的任何修改或者等同替换，均在申请待批的本发明的权利要求保护范围之内。

Claims (10)

1.一种基于用户行为的智能电网终端可信接入系统，其特征在于：所述系统包括终端访问层、可信评估层和可信度量层；所述终端访问层位于最底层，所述可信评估层位于终端访问层和可信度量层之间，所述可信度量层位于最顶层。

2.根据权利要求1所述的基于用户行为的智能电网终端可信接入系统，其特征在于：所述智能电网终端为可信网络连接TNC中的访问请求者AR，网络接入设备为可信网络连接TNC中的策略执行点PEP，认证服务器为可信网络连接TNC中的策略决策点PDP。

3.根据权利要求2所述的基于用户行为的智能电网终端可信接入系统，其特征在于：在终端访问层，网络访问请求者NAR和网络访问授权者NAA之间建立数据传输通道，之后策略执行点PEP执行允许、禁止和隔离网络访问请求者NAR的接入操作，完成网络访问请求者NAR的访问请求，网络访问请求者NAR申请建立与可信网络之间的网络连接。

4.根据权利要求1所述的基于用户行为的智能电网终端可信接入系统，其特征在于：所述可信评估层包括可信网络连接客户端TNCC和可信网络连接服务器TNCS；

所述可信网络连接客户端TNCC获得完整性度量收集者IMC收集到的平台完整性信息和用户行为证据收集UBEC收集到的用户行为证据信息，并完成完整性度量收集者IMC与可信网络连接服务器TNCS之间的信息交互以及用户行为证据收集UBEC与可信网络连接服务器TNCS之间的信息交互；

所述可信网络连接服务器TNCS完成完整性度量验证者IMV与完整性度量收集者IMC之间的信息交互以及用户行为统计检查UBCJ与用户行为证据收集UBEC之间的信息交互，获得完整性度量验证者IMV的平台完整性判断结果和用户行为统计检查UBCJ的用户行为可信判断结果，并将平台完整性判断结果、用户行为可信判断结果及操作建议返回给网络访问授权者NAA。

5.根据权利要求4所述的基于用户行为的智能电网终端可信接入系统，其特征在于：所述可信度量层包括完整性度量收集者IMC、完整性度量验证者IMV、用户行为证据收集UBEC和用户行为统计检查UBCJ；

所述完整性度量收集者IMC收集平台完整性信息，通过可信网络连接客户端TNCC、可信网络连接服务器TNCS将收集到的平台完整性信息发送给完整性度量验证者IMV；

所述完整性度量验证者IMV对完整性度量收集者IMC收集的平台完整性信息进行判定，从而决定网络访问请求者NAR是否通过平台完整性验证；

所述用户行为证据收集UBEC实时收集网络访问请求者NAR的用户行为证据信息，形 成用户行为证据集；

所述用户行为统计检查UBCJ根据用户行为证据集，周期性地加权判断用户行为是否可信，从而决定是否允许网络访问请求者NAR的继续接入以及接入身份。

6.一种基于用户行为的智能电网终端可信接入方法，其特征在于：所述方法包括以下步骤：

步骤1：进行网络访问请求者NAR和网络访问授权者NAA之间的用户身份认证；

步骤2：进行可信网络连接客户端TNCC和可信网络连接服务器TNCS之间的平台身份认证；

步骤3：进行可信网络连接客户端TNCC和可信网络连接服务端TNCS之间的平台完整性验证；

步骤4：进行网络访问请求者NAR和网络访问授权者NAA之间的用户行为可信判断。

7.根据权利要求6所述的基于用户行为的智能电网终端可信接入方法，其特征在于：所述步骤1包括以下步骤：

步骤1-1：所述可信网络连接客户端TNCC对完整性度量收集者IMC和用户行为证据收集UBEC进行初始化，确保可信网络连接客户端TNCC拥有与完整性度量收集者IMC和用户行为证据收集UBEC的有效连接状态；同时可信网络连接服务器TNCS对完整性度量验证者IMV和用户行为统计检查UBCJ进行初始化，确保可信网络连接服务器TNCS拥有与完整性度量验证者IMV和用户行为统计检查UBCJ的有效连接状态；

步骤1-2：网络访问请求者NAR向策略执行点PEP发送访问请求；

步骤1-3：策略执行点PEP收到网络访问请求者NAR的访问请求后，其向网络访问授权者NAA发送决策请求；假定网络访问授权者NAA已经设置为按照用户身份认证、平台身份认证、平台完整性验证和用户行为可信判断的顺序进行操作，如果用户身份认证、平台身份认证、平台完整性验证和用户行为可信判断中任一不通过，则停止后续操作。

8.根据权利要求6所述的基于用户行为的智能电网终端可信接入方法，其特征在于：所述步骤2包括以下步骤：

步骤2-1：网络访问请求者NAR和网络访问授权者NAA之间的用户身份认证通过，网络访问授权者NAA通知可信网络连接服务器TNCS其收到来自网络访问请求者NAR的访问请求；

步骤2-2：可信网络连接客户端TNCC和可信网络连接服务器TNCS之间进行平台身份认证，若平台身份认证通过，则执行步骤3，否则禁止网络访问请求者NAR接入。

9.根据权利要求6所述的基于用户行为的智能电网终端可信接入方法，其特征在于：所述步骤3包括以下步骤：

步骤3-1：可信网络连接客户端TNCC和可信网络连接服务器TNCS交换平台完整性信息，平台完整性信息在网络访问请求者NAR、策略执行点PEP和网络访问授权者NAA之间转发；

步骤3-2：可信网络连接服务器TNCS将完整性度量收集者IMC收集到的平台完整性信息发送给完整性度量验证者IMV，完整性度量验证者IMV对平台完整性信息进行分析，将平台完整性判断结果发送给可信网络连接服务器TNCS；

步骤3-3：可信网络连接客户端TNCC转发来自完整性度量验证者IMV的平台完整性信息给完整性度量收集者IMC，并将来自完整性度量收集者IMC的平台完整性信息转发给可信网络连接服务器TNCS。

10.根据权利要求6所述的基于用户行为的智能电网终端可信接入方法，其特征在于：所述步骤4包括以下步骤：

步骤4-1：可信网络连接服务器TNCS向用户行为统计检查UBCJ表示用户行为可信判断开始，用户行为统计检查UBCJ完成用户行为可信判断策略制定、用户异常行为判断阈值Add_abormal、周期性判断时间间隔Time_int和用户行为证据信任的信任范围(T_low，T_high)的设定，其中T_low为可接受的用户行为证据最低值，T_high为可接受的用户行为证据最高值；之后可信网络连接客户端TNCC向用户行为证据收集UBEC发送收集用户行为证据请求，收集实时用户行为证据E_new，并对以往用户行为证据进行统计和存储，假设该用户以往用户行为证据累加值为Add_evi，用户行为证据收集UBEC将该Add_evi汇报给可信网络连接客户端TNCC；

步骤4-2：可信网络连接客户端TNCC将用户行为证据信息发送给可信网络连接服务器TNCS；

步骤4-3：可信网络连接服务器TNCS转发用户行为证据信息给用户行为统计检查UBCJ，在Time_int内，用户行为统计检查UBCJ根据用户行为证据收集UBEC收集到的E_new判定用户行为是否可信，判定过程如下：

根据Add_evi判定E_new是否可信，若|E_new-Add_evi|小于异常行为的偏离度D，则表明E_new可信，即将其作为用户行为可信证据，否则E_new有可能为用户行为不可信证据的怀疑证据；

对于怀疑证据，判断T_low＜E_new＜T_high是否成立，如果成立则表明怀疑证据为用户行为可信证据，否则为用户行为不可信证据，即E_new为用户异常行为证据E_abnormal，并记录 E_abnormal；

在Time_int内，将E_abnormal按照预设的权重进行加权计算，设α_i为各个用户异常行为的恶意指数，如果∑_iα_iE_abnormal＞Add_abormal成立，则表明该用户行为不可信，对于有不可信访问行为的用户在网络访问授权者NAA的执行过程中及时终止网络访问请求者NAR访问，禁止用户下一次请求接入；用户行为统计检查UBCJ将用户行为可信判断结果返回给可信网络连接服务器TNCS；

步骤4-4：可信网络连接服务器TNCS将用户行为可信判断结果及操作建议发送给网络访问授权者NAA；

步骤4-5：网络访问授权者NAA将访问决策发至策略执行点PEP执行，网络访问授权者NAA把用户行为可信判断结果发送给可信网络连接服务器TNCS，可信网络连接服务器TNCS将该用户行为可信判断结果发送给可信网络连接客户端TNCC；

步骤4-6：如果策略执行点PEP允许网络访问请求者NAR接入，在网络访问请求者NAA和可信网络连接TNC建立之后，用户行为证据收集UBEC周期性的收集用户行为证据信息，用户行为统计检查UBCJ在Time_int内根据用户行为证据信息判断用户行为是否可信，并将用户行为可信判断结果发送给可信网络连接服务器TNCS，可信网络连接服务器TNCS一旦发现存在用户异常行为，则通过网络访问请求者NAA实时告知策略执行点PEP阻断网络访问请求者NAR的接入。