[发明专利]一种智能电网用户访问授权控制方法

说明书

技术领域

本发明涉及智能电网控制领域，尤其涉及一种智能电网用户访问授权控制方法。

背景技术

作为物联网的一个分支，智能电网是一个重要的公众应用网络。电力工业是国家经济发展中最重要的基础能源产业，为国民经济的持续发展起着极为重要的作用。随着世界经济的发展、气候变化的加剧和各国能源政策的调整，电网与电厂、政府、客户等群体间的关系更加紧密，客户对电能质量的要求不断提高，可再生能源逐渐成为重要的电源形式，世界能源正在向清洁化、低碳化、高效化的新趋势发展，在此背景下，国家提出了建设统一坚强智能电网的战略目标。智能电网以特高压电网为骨干网架、各级电网协调发展，贯穿发电、输电、变电、配电、用电、调度六个环节，具有信息化、自动化、互动化特征。智能电网用户访问授权系统是智能电网连接外部网络的一道防火墙，与安全接入技术紧密相联，联合提高对远程访问终端系统环境的认证控制能力，尽可能杜绝非法、不可信环境接入，约束用户的访问权限和降低系统风险。智能电网将信息技术、通信技术、计算机技术与原有的输配电基础设施高度集成形成新型电网，具有提高能源效率、减少对环境的影响、提高供电安全性和可靠性、减少输电网电能损耗等优点。智能电网的关键技术涉及诸多领域，也是物联网的一个重要应用。

然而，智能电网具有的“信息化、自动化、互动化”特点，及其运行、服务过程中信息数据交互性的大量增加，智能电网面临着大量的安全风险和安全挑战。在智能电网中，如何保障各应用系统间的信息安全访问等安全问题成为智能电网发展应用中迫切需要解决的问题。由于智能电网信息集成的复杂性，将已有的接入控制技术直接用于智能电网在安全性上会存在如下缺陷：(1)目前，应用系统中大多都是采用基于角色的访问控制(RBAC)模型的接入控制技术，但RBAC在跨域访问的安全性上存在不足。因为RBAC在角色映射时可能存在角色“渗透”、“隐蔽提升”、“冲突关联”等安全问题。(2)基于属性的访问控制(ABAC)是将实体的属性贯穿于访问控制策略、模型和实现机制三个层次以实现访问授权，该方法能够灵活的控制主客体的访问粒度，能弥补RBAC模型的不足。但是属性的划分较为复杂，且没有考虑角色所处的环境(如物理位置、网络位置等)对访问控制的影响进行分析。(3)基于行为的访问控制综合了角色、时态状态和环境状态等相关信息，可以灵活的处理各种访问控制问题，但是角色、时态、环境之间的约束关系和管理策略还有待进一步的研究。(4)与上下文相关的访问控制有基于位置的访问控制和基于时态的访问控制两种，该类访问控制技术能根据用户的当前位置或时态约束条件来判断哪些用户是有效的，并能实现空间职责隔离限制、基于位置的时序限制等，但各种因素的相互影响有待进一步研究。

发明内容

本发明的目的是为了解决现有技术中存在的缺点，而提出的一种智能电网用户访问授权控制方法。

为了实现上述目的，本发明采用了如下技术方案：

一种智能电网用户访问授权控制方法，包括以下步骤：

S1、按照系统结构部署智能电网系统，智能电网系统包括智能电网接入终端、智能电网数据控制中心和智能电网调度中心，智能电网接入终端与智能电网数据控制中心通信，智能电网数据控制中心与智能电网数据库和智能电网调度中心通信；其中智能电网数据控制中心包括检测与认证模块、信任度计算模块、访问粒度分配模块常用权限集计算模块和高级权限分配模块；

S2、对智能电网系统进行初始化：数据所有者可以授权用户访问数据，并且将授权集发送至授权中心；分别将每个用户的属性集合映射为一个可以用hash函数进行运算的值；初始化一个数组，授权中心选择多个相互独立的hash函数，分别对授权集合中的各个元素进行多次hash运算，所得结果映射到一定的范围中得到一个新的位数组；

S3、智能电力终端向认证服务器申请安全接入认证，如果智能电力终端未注册，则认证服务器要求智能电力终端提交注册信息，并根据注册信息向智能电力终端返回用户身份识别码；智能电力终端完成安全接入认证后，收集权限凭证信息并加密发送给接入控制组件；

S4、检测与认证模块将通过认证的智能电网接入终端的认证信息发送给智能电网数据控制中心的信任度计算模块，信任度计算模块结合智能电网接入终端的认证信息对智能电网接入终端进行信任度计算，并将计算结果发送给访问粒度分配模块；

S5、访问粒度分配模块根据信任度计算模块的计算结果分配相应的访问粒度给该智能电网接入终端，并将该访问粒度传递给常用权限集计算模块；