[发明专利]能源工业互联网的访问控制系统、电子设备及存储介质

说明书

本发明提供能源工业互联网的访问控制系统、电子设备及存储介质，系统包括：当策略执行模块接收到用户终端对能源工业互联网资源的访问控制请求时，向策略评估模块请求与查询与资源相关的策略属性，并形成策略评估请求发送给策略评估模块进行访问控制策略匹配，最后返回最终策略评估结果决定用户终端对能源工业互联网资源的访问。策略生成模块采集边缘侧策略属性信息，动态生成能源工业互联网的资源访问控制策略，存储在边缘策略库中；边缘策略库根据策略变更情况与策略评估模块的中心策略库同步。本发明提出的方案，用户终端对能源工业互联网资源的访问，在策略自动生成、动态同步的策略评估机制下，能够实现对资源全生命周期的动态访问控制。

技术领域

本发明属于互联网和新能源领域，尤其涉及能源工业互联网的访问控制系统、电子设备及存储介质。

背景技术

能源工业互联网是针对能源行业融合云计算、大数据、边缘计算等多技术的工业互联网，其中的新型计算范式极大地提高了工业数据的共享和处理效率，并创造更多的社会及经济价值；同时，数据的共享和利用也带来了更多、更严峻的安全风险。作为保护信息安全的重要手段之一，访问控制技术通过执行授权策略及实现访问控制操作，保护在合法情况下信息系统与资源的有效运行，防止对任何资源进行未授权的访问。

早期多机系统及计算机系统可信度要求的增加带来了对系统安全性的深入研究，访问控制作为安全领域课题也逐步建立和发展起来。正式、精确的访问控制描述引入了访问控制正式的概念：主体、客体、以及裁决主体对客体访问的访问矩阵。在可信计算机系统评估标准中，建立了自主访问控制模型、强制访问控制模型。访问控制规则形式化为适于定义和评估计算机安全系统的数学模型；角色这样的访问控制术语也出现了。之后，集成了现有各种特定应用方法到到一般化的基于角色的模型描述了集合、关联、使用定义角色和角色层级的映射等。近期，在传统的访问控制基础上，使用控制模型成为普适计算环境的下一代访问控制模型。

1、在架构方面，现有的技术方案1有以下不足：

由于虚拟技术的出现,工业互联网环境下的访问控制技术已从用户授权扩展到虚拟资源的访问和云存储数据的安全访问等方面,适用范围和控制手段显著增加；

能源大数据海量、分散的特点导致分散式访问控制难于集中管理；

开放、动态的访问控制策略使访问控制技术体系面临新的挑战。

2、在机制方面，现有的技术方案2有以下不足：

能源行业的安全规范严格定义了各类工业互联网服务所处的不同安全域,当用户跨域访问数据资源时,需要考虑统一策略,相互授权,资源共享等问题；

虚拟资源与底层完全隔离的机制使得隐蔽通道更不易被发现,需要访问控制机制进行控制；

在能源工业互联网内逐渐被关注的零信任问题也直接强化了访问控制颗粒度。

3、在模型方面，现有的技术方案3有以下不足：

传统的访问控制模型，以基于角色模型为例，在能源工业互联网内主体和客体的定义发生了很多变化,以多租户为核心、大数据为基础的服务模式,使得访问控制要对主体和客体的有关概念重新界定,这就导致了传统的访问控制模型要进行优化和更新,使其更适用于新的计算环境；

被称为下一代访问控制模型的使用模型，虽然模型定义了能够覆盖传统的访问控制模型，并提供了融合客体资源属性、环境因素等更细粒度的访问控制策略评价机制，但核心的策略评价机制依旧是静态固化的，在现实实践中难以达到全运行周期、动态自适应的访问控制机制。

发明内容

为解决上述技术问题，本发明提出能源工业互联网的访问控制、电子设备及存储介质的技术方案，以解决上述技术问题。

本发明第一方面公开了一种能源工业互联网的访问控制系统，所述系统包括：策略执行模块、策略评估模块和策略生成模块；