CN112217793B - 一种适用于电力物联网的跨体系信任管理系统 - Google Patents

Abstract

本发明公开了一种适用于电力物联网的跨体系信任管理系统，包括：网关，用于根据用户的身份认证请求确定所述用户的身份认证所属的认证体系；服务模块，用于根据用户的身份认证所属的认证体系确定对应的认证处理单元，利用确定的认证处理单元调用基础设施模块对所述用户的身份进行认证，确定身份认证结果，并将所述身份认证结果反馈至用户端；基础设施模块，用于支撑所述服务模块中涉及的密码运算功能和数据库查询功能，同时实时同步签发系统的签发认证数据；监控模块，用于对系统的运行状态进行监控，获取资源承载信息，并将所述资源承载信息发送至调度模块；调度模块，用于根据所述资源承载信息对所述服务模块和基础设施模块进行统一调配和控制。

Description

一种适用于电力物联网的跨体系信任管理系统

技术领域

本发明涉及物联网技术领域，并且更具体地，涉及一种适用于电力物联网的跨体系信任管理系统。

背景技术

随着电力物联网建设的深入推进，电力信息网络安全边界弹性化变革，身份认证技术是边界划分、权限管理的重要抓手，也是安全防护的核心基础。当前密码行业和电力行业立足物联网业务形态，开展了大量基于不同信任体系的身份认证技术研究，包括基于数字证书体系(PKI)、基于标识的轻量级认证体系、区块链等。当前技术难点主要在于两方面：一是各个认证体系处于割裂状态，无法互认。电力物联网、能源互联网要实现三方面联通：电网系统内各类终端和主站系统的互通互认、电力企业内部各专业环节互通互认、电力行业内各企业间互通互认。但终端、主站、企业自身所使用的认证技术各不相同，为实现全面互联互通须先实现认证一体化，解决跨体系认证问题，打通物联网多种信任体系关键环节，达到真正的全面互信互认和数据共享。二是电力物联网认证技术应用场景十分复杂。认证对象的多样、数据结构多元、应用场景多变，为跨体系认证带来难题。终端种类繁多、数量庞大，通信能力、计算能力参差不齐。电气量、物理量、状态量、环境量、行为量、空间量的数据来源不同，数据结构各异。需要设计一种适用于电力物联网的跨体系信任管理平台，集中身份认证功能，解决基于不同信任体系的人员、系统、设备的互通互认问题。同时，服务整个电力行业对跨体系信任管理平台性能要求极高，需要充分考虑高并发场景，依靠简单的堆叠服务器显然不适用于电力物联网需求。

当前应用较广的两种信任体系：基于数字证书体系(PKI)、基于标识的轻量级认证体系数学原理不同、各自独立，无法实现统一认证，无法满足电力物联网和能源互联网跨系统、跨企业、跨行业的互通互认和数据共享需求。因此，需要一种跨体系的信任管理系统。

发明内容

本发明提出一种适用于电力物联网的跨体系信任管理系统，以解决如何实现跨体系的身份认证的问题。

为了解决上述问题，根据本发明的一个方面，提供了一种适用于电力物联网的跨体系信任管理系统，所述系统包括：网关、服务模块、基础设置模块、监控模块和调度模块；

所述网关，用于根据用户的身份认证请求确定所述用户的身份认证所属的认证体系；

所述服务模块，用于根据所述用户的身份认证所属的认证体系确定对应的认证处理单元，利用确定的认证处理单元调用基础设施模块对所述用户的身份进行认证，确定身份认证结果，并将所述身份认证结果反馈至用户端；

所述基础设施模块，用于支撑所述服务模块中涉及的密码运算功能和数据库查询功能，同时实时同步签发系统的签发认证数据；

所述监控模块，用于对系统的运行状态进行监控，获取资源承载信息，并将所述资源承载信息发送至调度模块；

所述调度模块，用于根据所述资源承载信息对所述服务模块和基础设施模块进行统一调配和控制。

优选地，其中所述认证体系包括：数字证书体系、轻量级标识体系和区块链体系。

优选地，其中所述网关包括：互认策略管理单元、通信策略协同单元和协议解析单元；

所述互认策略管理单元，用于支持系统管理员对跨系统互通互认策略的配置和管理；

所述通信策略协同单元，用于对平台与平台、平台与终端之间不同的通信模式进行协同对接，建立安全传输通道；

所述协议解析单元，用于对接入系统的用户不同格式的数据包进行重组，获取核心数据组包并发送至服务模块。

优选地，其中所述认证处理单元，包括：基于容器编排实现的数字证书体系互认单元、轻量级标识体系互认单元和区块链体系互认单元；

所述数字证书体系互认单元，用于依次进行算法类型验证、根证书有效性验证、证书链合法性验证和是否处于黑名单验证操作，以实现基于数字证书的身份认证；

所述轻量级标识体系互认单元，用于依次进行算法类型验证、划定所属物联分区、标识类型验证和托管密码查询操作，以实现基于轻量级标识的身份认证；

所述区块链体系互认单元，用于依次进行算法类型验证、上链认证、跨链条信任搭建和账本同步情况更新操作，以实现基于区块链信息的身份认证。

优选地，其中所述基础设施模块，包括：

密码机资源池，用于存储每个认证体系的密钥，提供密码运算能力；其中，密码机资源池内存储的密钥类型包括：运算密钥、认证私钥、标识密钥和口令密钥；

数据库，用于存储认证体系的公钥和信息；其中，所述公钥信息包括：数字证书公钥、标识算法公钥、区块链分布式账本和系统自身的日志记录；

多源异构认证信息同步单元，用于与各企业和签发机构进行数据同步，签发机构通过该多源异构认证信息同步单元接入所述基础设施模块，实时同步认证数据，供服务层调用。

优选地，其中所述签发机构包括：数字证书签发机构、轻量级身份签发机构和区块链管理机构。

优选地，其中所述调度模块的调度对象包括：支撑批量认证请求的容器数量、实体密码机的调配数量、云密码机的调配数量和数据库查询的优先级

优选地，其中所述资源承载信息，包括：

认证服务受理和反馈数量、服务模块中认证处理单元的数量和分配情况、基础设施模块中密码机资源池运算和存储资源分配情况、数据库容量和调用情况以及认证信息同步情况。

本发明提供了一种适用于电力物联网的跨体系信任管理系统，基于云架构设计，突破传统平台网关、服务器两大性能瓶颈，采用容器编排技术设计高可用、高稳定、弹性扩展、动态伸缩、按需调配的平台架构，支持高并发身份认证需求，实现不同信任体系的统一认证，使各行业、企业基于不同信任体系建立的认证体系之间实现互通，促进系统融合、数据共享；实现了基于数字证书的跨企业、跨行业身份认证体系，基于标识的跨平台、跨终端轻量级认证、基于区块链的上链认证和跨链互认；同时实现了三种认证体系之间的互认，进而实现认证一体化，打通了物联网多种信任体系之间的技术壁垒，解决基于不同信任体系的人员、系统、设备的互通互认问题，达到真正的全面互信互认和数据共享。

附图说明

通过参考下面的附图，可以更为完整地理解本发明的示例性实施方式：

图1为根据本发明实施方式的适用于电力物联网的跨体系信任管理系统100的结构示意图；

图2为根据本发明实施方式的适用于电力物联网的跨体系信任管理系统的架构图；

图3为根据本发明实施方式的跨体系认证技术理论的示意图；

图4为根据本发明实施方式的基于“容器”编排的平台设计理论的示意图；

图5为根据本发明实施方式的跨体系信任管理系统应用的示例图。

具体实施方式

现在参考附图介绍本发明的示例性实施方式，然而，本发明可以用许多不同的形式来实施，并且不局限于此处描述的实施例，提供这些实施例是为了详尽地且完全地公开本发明，并且向所属技术领域的技术人员充分传达本发明的范围。对于表示在附图中的示例性实施方式中的术语并不是对本发明的限定。在附图中，相同的单元/元件使用相同的附图标记。

除非另有说明，此处使用的术语(包括科技术语)对所属技术领域的技术人员具有通常的理解含义。另外，可以理解的是，以通常使用的词典限定的术语，应当被理解为与其相关领域的语境具有一致的含义，而不应该被理解为理想化的或过于正式的意义。

图1为根据本发明实施方式的适用于电力物联网的跨体系信任管理系统100的结构示意图。如图1所示，本发明实施方式提供的适用于电力物联网的跨体系信任管理系统，基于云架构设计，突破传统平台网关、服务器两大性能瓶颈，采用容器编排技术设计高可用、高稳定、弹性扩展、动态伸缩、按需调配的平台架构，支持高并发身份认证需求，实现不同信任体系的统一认证，使各行业、企业基于不同信任体系建立的认证体系之间实现互通，促进系统融合、数据共享；实现了基于数字证书的跨企业、跨行业身份认证体系，基于标识的跨平台、跨终端轻量级认证、基于区块链的上链认证和跨链互认；同时实现了三种认证体系之间的互认，进而实现认证一体化，打通了物联网多种信任体系之间的技术壁垒，解决基于不同信任体系的人员、系统、设备的互通互认问题，达到真正的全面互信互认和数据共享。本发明实施方式提供的适用于电力物联网的跨体系信任管理系统100，所述系统包括：网关101、服务模块102、基础设置模块103、监控模块104和调度模块105。

优选地，所述网关101，用于根据用户的身份认证请求确定所述用户的身份认证所属的认证体系。

优选地，其中所述认证体系包括：数字证书体系、轻量级标识体系和区块链体系。

优选地，其中所述网关包括：互认策略管理单元、通信策略协同单元和协议解析单元；

所述互认策略管理单元，用于支持系统管理员对跨系统互通互认策略的配置和管理；

所述通信策略协同单元，用于对平台与平台、平台与终端之间不同的通信模式进行协同对接，建立安全传输通道；

所述协议解析单元，用于对接入系统的用户不同格式的数据包进行重组，获取核心数据组包并发送至服务模块。

本发明提供了一种适用于电力物联网的跨体系信任管理系统，融合多种认证模式，能够为接入该平台的设备、系统、人员提供无差别、实时的身份认证。如图2所示，本发明实施方式的适用于电力物联网的跨体系信任管理平台(系统)采用云架构设计，由网关、服务模块(位于SaaS层)、基础设施模块(位于IaaS层)、调度模块和监控模块五部分组成。平台用户包括国网内平台和国网外平台，通过接入跨体系信任管理平台，运用跨体系认证技术达成企跨业务、跨企业的信任体系建立。所述适用于电力物联网的跨体系认证技术，以融合多种信任体系认证要素、同步签发系统签发的认证凭证，实现跨信任体系的统一认证。如，同步电力行业各企业自建PKI数字证书系统所签发的数字证书，签发系统基于不同根证书签发的数字证书在业务系统之间无法互认。跨体系认证技术将不同企业签发的根证书、证书链、黑名单及使用的算法实时同步至跨体系信任管理平台，实现数字证书认证要素的集中管理和统一认证。同理，针对使用轻量级标识体系的系统，跨体系信任管理平台预先同步轻量级身份签发机构的标识编码；对区块链中的数字证书、上链认证情况进行同步备份，因此，跨体系认证技术使企业内部、企业之间基于任何信任体系的认证请求都能够实现统一认证，同时在基于不同信任体系的认证技术之间实现了互通互认。跨体系认证技术的理论方法如图3所示。

具体地，用户在业务流程中产生身份认证需求时，将身份认证请求发送至跨体系信任管理平台，平台的网关对其身份认证所属技术体系进行辨别和分流并转发至SaaS层对应的处理单元。平台网关是平台的系统接入端口和管理入口。网关包含三个模块：互认策略管理单元、通信策略协同单元、协议解析单元。所述互认策略管理单元是平台的管理界面，支持系统管理员对跨系统互通互认策略的配置和管理。所述通信策略协同单元对平台与平台、平台与终端之间不同的通信模式进行协同对接，建立安全传输通道。所述协议解析单元对接入平台用户不同格式的数据包进行重组，适应不同外界平台的不同通信协议，将认证要素等核心数据组包发送至SaaS层。

优选地，所述服务模块102，用于根据所述用户的身份认证所属的认证体系确定对应的认证处理单元，利用确定的认证处理单元调用基础设施模块对所述用户的身份进行认证，确定身份认证结果，并将所述身份认证结果反馈至用户端。

优选地，其中所述认证处理单元，包括：基于容器编排实现的数字证书体系互认单元、轻量级标识体系互认单元和区块链体系互认单元；

所述数字证书体系互认单元，用于依次进行算法类型验证、根证书有效性验证、证书链合法性验证和是否处于黑名单验证操作，以实现基于数字证书的身份认证；

所述轻量级标识体系互认单元，用于依次进行算法类型验证、划定所属物联分区、标识类型验证和托管密码查询操作，以实现基于轻量级标识的身份认证；

所述区块链体系互认单元，用于依次进行算法类型验证、上链认证、跨链条信任搭建和账本同步情况更新操作，以实现基于区块链信息的身份认证。

在本发明的实施方式中，SaaS层基于容器编排实现的数字证书体系互认单元、轻量级标识体系互认单元和区块链体系互认单元。基于“容器”编排的平台设计理论如图4所示。在本发明中，不同“容器”对应不同体系的认证处理单元。认证处理单元对认证要素进行拆解、验证，对涉及密码运算的环节调用IaaS层密码机资源池，对密钥参与运算的环节调用IaaS层数据库中密钥。IaaS层将密码运算结果反馈至SaaS层相应认证处理单元，再转发至网关，通过跨体系信任管理平台界面反馈至用户系统，反馈信息包括身份认证是否通过，是以何种信任体系(PKI、轻量级或区块链)通过了验证。

如图2所示，所述跨体系信任管理平台SaaS层即平台服务层，其内的功能模块为服务模块。所示服务模块主要功能是向上接收网关转发的认证请求，并在“容器”中进行预处理和分流；向下调用IaaS层密码算力进行运算处理。SaaS层包括3类容器，每类容器实现不同信任体系下的身份认证功能，包括数字证书体系互认、轻量级标识体系互认、区块链体系互认。每类容器可根据认证需求实时横向拓展出多个同类容器支撑运算、支持按需动态分配。

其中，所述数字证书体系互认单元包括以下功能：根证书验证、证书链验证、黑名单查询和算法控制。通过调用数字证书体系互认单元对应的容器实现基于数字证书的身份认证流程，包括：验证算法类型→验证根证书有效性→验证证书链合法性→验证是否处于黑名单。

所述轻量级标识体系互认单元包括以下功能：物联分区、标识类型、密钥托管、算法控制。通过调用轻量级标识体系互认单元对应的容器实现基于轻量级标识的身份认证流程，包括：验证算法类型→划定所属物联分区→验证标识类型→托管密钥查询。

所述区块链体系互认单元包括以下功能：上链认证、跨链互信、账本同步、算法控制。区块链较为特殊，属于去中心化认证。但存在国产化瓶颈和跨链互信难题。对于使用国产密码对区块链签发数字证书的业务应用，通过调用区块链体系互认单元对应的容器实现基于区块链信息的身份认证，实现跨连互信。流程包括：验证算法类型→是否在区块链上(上链认证)→跨链条信任搭建→账本同步情况更新。

优选地，所述基础设施模块103，用于支撑所述服务模块中涉及的密码运算功能和数据库查询功能，同时实时同步签发系统的签发认证数据。

优选地，其中所述基础设施模块，包括：

密码机资源池，用于存储每个认证体系的密钥，提供密码运算能力；其中，密码机资源池内存储的密钥类型包括：运算密钥、认证私钥、标识密钥和口令密钥；

数据库，用于存储认证体系的公钥和信息；其中，所述公钥信息包括：数字证书公钥、标识算法公钥、区块链分布式账本和系统自身的日志记录；

多源异构认证信息同步单元，用于与各企业和签发机构进行数据同步，签发机构通过该多源异构认证信息同步单元接入所述基础设施模块，实时同步认证数据，供服务层调用。

优选地，其中所述签发机构包括：数字证书签发机构、轻量级身份签发机构和区块链管理机构。

如图2所示，在本发明的实施方式中，所述跨体系信任管理平台IaaS层即平台基础设施层，该层的平台设施模块主要功能是支撑SaaS层服务中涉及的密码运算、数据库查询，同时具有多源异构认证信息同步模块，从各个签发系统实时同步签发认证的情况，供平台查询调用。基础设施模块层包括3个部分：密码机资源池、数据库和多源异构认证信息同步单元。

其中，所述密码机资源池是一整套密码机集群，用于存储各个认证体系的密钥、提供密码运算能力。密码机资源池存储密钥类型包括：运算类密钥、数字证书私钥(认证密钥)、标识密钥和口令密钥。

所述数据库，用于存储可公开密钥和信息，如PKI体系中数字证书的公钥、标识算法公钥、区块链的分布式账本和跨体系信任管理平台自身日志记录。

所述多源异构认证信息同步单元，是与各企业、各系统自身签发系统进行数据同步的模块，签发机构通过该模块接入跨体系信任管理平台IaaS层，实时同步认证数据，供SaaS层的服务模块调用。所述签发机构包括：PKI数字证书签发机构、轻量级身份签发机构和区块链管理机构。

优选地，所述监控模块104，用于对系统的运行状态进行监控，获取资源承载信息，并将所述资源承载信息发送至调度模块。

优选地，其中所述资源承载信息，包括：

认证服务受理和反馈数量、服务模块中认证处理单元的数量和分配情况、基础设施模块中密码机资源池运算和存储资源分配情况、数据库容量和调用情况以及认证信息同步情况。

优选地，所述调度模块105，用于根据所述资源承载信息对所述服务模块和基础设施模块进行统一调配和控制。

优选地，其中所述调度模块的调度对象包括：支撑批量认证请求的容器数量、实体密码机的调配数量、云密码机的调配数量和数据库查询的优先级。

在本发明的实施中，为适应高并发身份认证需求，平台基于云调度策略设计调度模块和监控模块，实时根据数据流量、服务请求的实时响应需求，弹性调度、按需供给SaaS层“容器”和IaaS层密码机资源。监控模块将平台内部各层运行情况、认证服务受理和结果反馈情况显示在管理界面并在IaaS层进行日志记录和周期性加密存储，便于管理人员和运维人员掌握系统运行状态。同时，跨体系信任管理平台与身份认证凭证签发系统通过信息同步模块实时同步新签发的认证凭证。

所述调度模块基于云架构调度策略进行改进，连接SaaS层和IaaS层，对两层资源进行统一调配和控制。调度模块的调度对象包括：支撑批量认证请求的容器数量、实体密码机和云密码机的调配数量、数据库查询优先级。同时，调度模块连接监控模块获取平台资源信息，实现反馈控制、优化调度策略。

所述监控模块对跨体系信任管理平台运行情况进行监控，连接网关、服务模块和基础设施模块，实时显示认证服务受理和反馈数量、服务模块中的容器数量和分配情况、基础设施模块中密码机资源池运算和存储资源分配情况、数据库容量和调用情况、认证信息同步情况等。并将资源承载信息发送至调度模块，供调度策略更新和资源调度调整。

本发明实施方式的跨体系信任管理系统，能够实现不同信任体系的统一认证，使各行业、企业基于不同信任体系建立的认证体系之间实现互通，促进系统融合、数据共享。

电力物联网将借助信息技术，改造电力服务模式，为跨行业合作创造机会。开拓数字治企、数字服务、数字金融，实现“共建、共治、共赢”的能源互联网生态圈。建设综合能源服务系统、涵盖能源金融、客户服务、招标采购、物流仓储、商业运营多种功能，为政府机构、供应商、中小微企业提供合作平台。电动汽车车联网平台、智能家居、电力需求侧响应、新能源并网等方面，跨体系认证技术应用的迫切需求已然凸显。但目前，能源行业、汽车行业尚未形成统一认证体系，其根源是国内乃至国际跨体系认证技术尚无突破，无应用先例。

通过跨体系信任管理平台实现以下突破：一是跨技术，融合多种认证技术，突破认证技术壁垒；二是要跨专业，将发输配变用调度联通成为“电网一张图”；三是要跨行业，利用5G技术，构建能源互联网生态圈。应用示例如图5所示。在企业内部实现互联互通。跨体系信任管理平台首先联通国网公司内部平台，包括智慧车联网平台、企业能效服务共享平台、智慧能源控制系统、客户侧用能服务平台，共同构建国网公司综合能源服务型平台。在国网内生态体系中实现三种互通互认：一是不同平台之间同一认证技术体系互通互认(如基于不同根证书的数字证书体系)；二是不同平台之间不同认证技术体系互通互认(如PKI体系与轻量级认证体系)；三是平台与终端设备之间基于不同技术体系的互通互认。

(1)不同平台之间同一认证技术体系互通互认

以通过应用跨体系信任管理平台实现智慧车联网和客户侧用能服务平台之间的互通互认为例。某电动汽车车主及车辆的身份信息存储于智慧车联网平台，可以通过手机APP给电动汽车充电缴费并获取周边服务。该用户希望接入客户侧用能服务平台，优化家中用电策略，并将电动汽车用电纳入家庭用能优化方案。通过跨体系信任管理平台接入智慧车联网平台和客户侧用能服务平台，将两个平台签发的数字证书的根证书、证书链、用户公钥证书集中存储于跨体系信任管理平台。用户将电动汽车通过智慧车联网平台接入客户侧用能服务平台时，客户侧用能服务平台向跨体系信任管理平台发出认证请求，跨体系信任管理平台将车主和车辆身份信息与从智慧车联网平台同步过来的认证信息进行比对和验证，用户不用重复注册填写信息和认证真实性，即可享受客户侧用能服务平台的相关服务，并将车辆填入客户侧用能服务平台的信任名单中。

(2)不同平台之间不同认证技术体系互通互认

以通过应用跨体系信任管理平台实现企业能效服务共享平台和客户侧用能服务平台之间的互通互认为例。对于安全性要求不高的平台可使用轻量级标识技术对平台身份进行标识。如企业能效服务共享平台通过轻量级标识自身身份，业务上为与客户侧用能服务平台(基于PKI认证体系)实现数据交换，则需跨体系信任管理平台作为中间媒介实现统一认证。如能效服务共享平台调用客户侧用能服务平台用能方案，客户侧用能服务平台向跨体系信任管理平台发起请求认证能效服务共享平台身份是否可信或伪造。跨体系信任管理平台基于标识算法认证能效服务共享平台身份真实，将身份认证结果发送卡户厕用能服务平台，客户侧用能服务平台将该企业用能方案发送至能效服务共享平台，能效服务共享平台再对跨体系信任管理平台发起请求，认证对方身份。身份认证通过后接收用能方案。

(3)平台与终端设备之间基于不同技术体系的互通互认

以通过应用跨体系信任管理平台实现智慧能源控制系统中的控制终端和客户侧用能服务平台之间的互通互认为例。智慧能源控制系统中大量控制终端(如能源路由器、能源控制器)属于物联网设备，可采用基于轻量级标识的身份认证技术标识其身份。当客户侧用能服务平台制定用能优化方案时，若需要某一片区内控制终端中的用电数据，则需要与终端之间建立信任。首先，客户侧用能服务平台向终端发起数据读取请求，终端接入跨体系信任管理平台，对客户侧用能服务平台的身份基于数字证书体系进行验证，验证通过后，终端将数据传输至客户侧用能平台，客户侧用能平台向跨体系信任管理平台发起验证终端身份的请求，跨体系信任管理平台基于轻量级认证技术对终端身份标识进行验证，并将验证结果发送至客户侧用能服务平台，身份认证通过则客户侧用能服务平台接收用电数据，完成方案优化。

同理，通过介入跨体系信任管理平台，可以实现任何平台、任何终端之间的互通互认，达成统一认证、建立信任体系，进而实现跨企业、跨行业的数据共享、协同合作。跨体系信任管理平台的广泛应用将连通社会运营平台、第三方服务平台、供应商平台、客户自建平台和能源、车辆、家电等多个行业的合作伙伴，为用户提供更加便利、快捷，更加多元化的增值服务。

已经通过参考少量实施方式描述了本发明。然而，本领域技术人员所公知的，正如附带的专利权利要求所限定的，除了本发明以上公开的其他的实施例等同地落在本发明的范围内。

通常地，在权利要求中使用的所有术语都根据他们在技术领域的通常含义被解释，除非在其中被另外明确地定义。所有的参考“一个/所述/该[装置、组件等]”都被开放地解释为所述装置、组件等中的至少一个实例，除非另外明确地说明。这里公开的任何方法的步骤都没必要以公开的准确的顺序运行，除非明确地说明。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

最后应当说明的是：以上实施例仅用以说明本发明的技术方案而非对其限制，尽管参照上述实施例对本发明进行了详细的说明，所属领域的普通技术人员应当理解：依然可以对本发明的具体实施方式进行修改或者等同替换，而未脱离本发明精神和范围的任何修改或者等同替换，其均应涵盖在本发明的权利要求保护范围之内。

Claims (3)

1.一种适用于电力物联网的跨体系信任管理系统，其特征在于，所述系统包括：网关、服务模块、基础设置模块、监控模块和调度模块；

所述网关，用于根据用户的身份认证请求确定所述用户的身份认证所属的认证体系；其中，所述认证体系包括：数字证书体系、轻量级标识体系和区块链体系；

所述服务模块，用于根据所述用户的身份认证所属的认证体系确定对应的认证处理单元，利用确定的认证处理单元调用基础设施模块对所述用户的身份进行认证，确定身份认证结果，并将所述身份认证结果反馈至用户端；

所述基础设施模块，用于支撑所述服务模块中涉及的密码运算功能和数据库查询功能，同时实时同步签发系统的签发认证数据；

所述监控模块，用于对系统的运行状态进行监控，获取资源承载信息，并将所述资源承载信息发送至调度模块；

所述调度模块，用于根据所述资源承载信息对所述服务模块和基础设施模块进行统一调配和控制；

其中，所述网关包括：互认策略管理单元、通信策略协同单元和协议解析单元；

所述互认策略管理单元，用于支持系统管理员对跨系统互通互认策略的配置和管理；

所述通信策略协同单元，用于对平台与平台、平台与终端之间不同的通信模式进行协同对接，建立安全传输通道；

所述协议解析单元，用于对接入系统的用户不同格式的数据包进行重组，获取核心数据组包并发送至服务模块；

其中，所述认证处理单元，包括：基于容器编排实现的数字证书体系互认单元、轻量级标识体系互认单元和区块链体系互认单元；

所述数字证书体系互认单元，用于依次进行算法类型验证、根证书有效性验证、证书链合法性验证和是否处于黑名单验证操作，以实现基于数字证书的身份认证；

所述轻量级标识体系互认单元，用于依次进行算法类型验证、划定所属物联分区、标识类型验证和托管密码查询操作，以实现基于轻量级标识的身份认证；

所述区块链体系互认单元，用于依次进行算法类型验证、上链认证、跨链条信任搭建和账本同步情况更新操作，以实现基于区块链信息的身份认证；

其中，所述基础设施模块，包括：

密码机资源池，用于存储每个认证体系的密钥，提供密码运算能力；其中，密码机资源池内存储的密钥类型包括：运算密钥、认证私钥、标识密钥和口令密钥；

数据库，用于存储认证体系的公钥和信息；其中，所述公钥和信息包括：数字证书公钥、标识算法公钥、区块链分布式账本和系统自身的日志记录；

多源异构认证信息同步单元，用于与各企业和签发机构进行数据同步，签发机构通过该多源异构认证信息同步单元接入所述基础设施模块，实时同步认证数据，供服务层调用；

其中，所述签发机构包括：数字证书签发机构、轻量级身份签发机构和区块链管理机构。

2.根据权利要求1所述的系统，其特征在于，所述调度模块的调度对象包括：支撑批量认证请求的容器数量、实体密码机的调配数量、云密码机的调配数量和数据库查询的优先级。

3.根据权利要求1所述的系统，其特征在于，所述资源承载信息，包括：

认证服务受理和反馈数量、服务模块中认证处理单元的数量和分配情况、基础设施模块中密码机资源池运算和存储资源分配情况、数据库容量和调用情况以及认证信息同步情况。

Images