一種智能電網用戶訪問授權方法
【專利摘要】本發明提出了一種智能電網用戶訪問授權方法,包括如下步驟:按照層次結構部署智能電網安全接入系統,遠程接入層為智能電力終端,接入安全層為接入控制組件,訪問控制組件和認證服務器;智能電力終端完成安全接入認證后向接入控制組件發送權限憑證信息,接入控制組件對憑證信息計算處理并將結果發送給認證服務器進行角色認證和授權。本發明將相關認證功能交給接入控制組件作為第三方實施,弱化了智能終端(特別是移動終端)的功能,可以保護授權過程中用戶隱私信息。另外,本發明根據用戶角色進行合適的訪問授權,只開放給用戶符合本身角色最小范圍的訪問資源,一定程度上防止了內部資源被非法訪問,符合智能電網的安全需求。
【專利說明】—種智能電網用戶訪問授權方法
【技術領域】
[0001]本發明屬于接入控制領域,涉及智能電網中的終端訪問授權和用戶權限管理,具體涉及一種智能電網用戶訪問授權方法。
【背景技術】
[0002]作為物聯網的一個分支,智能電網是一個重要的公眾應用網絡。電力工業是國家經濟發展中最重要的基礎能源產業,為國民經濟的持續發展起著極為重要的作用。隨著世界經濟的發展、氣候變化的加劇和各國能源政策的調整,電網與電廠、政府、客戶等群體間的關系更加緊密,客戶對電能質量的要求不斷提高,可再生能源逐漸成為重要的電源形式,世界能源正在向清潔化、低碳化、高效化的新趨勢發展,在此背景下,國家提出了建設統一堅強智能電網的戰略目標。智能電網以特高壓電網為骨干網架、各級電網協調發展,貫穿發電、輸電、變電、配電、用電、調度六個環節,具有信息化、自動化、互動化特征。智能電網用戶訪問授權系統是智能電網連接外部網絡的一道防火墻,與安全接入技術緊密相聯,聯合提高對遠程訪問終端系統環境的認證控制能力,盡可能杜絕非法、不可信環境接入,約束用戶的訪問權限和降低系統風險。智能電網將信息技術、通信技術、計算機技術與原有的輸配電基礎設施聞度集成形成新型電網,具有提聞能源效率、減少對環境的影響、提聞供電安全性和可靠性、減少輸電網電能損耗等優點。智能電網的關鍵技術涉及諸多領域,也是物聯網的一個重要應用。
[0003]隨著電網運行和服務模式將進行重大轉變,信息數據交互性大量增加,智能終端接入方式不斷增多,這些變化必將引入大量安全風險和新的挑戰,如何解決智能電網終端接入訪問授權問題成了智能電網發展急需解決的重要問題。如果不能保障智能電網相關信息被合法訪問和保護用戶隱私,智能電網相關服務和應用發展將受到很大影響。由于智能電網信息交互安全接入與訪問控制還處于初級階段,現有的接入控制技術直接應用于智能電網中可能會引起以下幾點問題:(I)遠程訪問層無線信道的開放特性使得智能電網易被監聽,致使網絡中用戶隱私敏感信息容易被竊取,惡意攻擊者可以根據現有的背景信息,假冒用戶訪問和修改電網中用戶重要數據。⑵電網和用戶的雙向互動增強,智能采集和智能終端設備大量使用,大批配網、用戶雙向智能終端設備需要甚至必須通過無線公共網絡接入,大量用戶側的接入訪問給安全管理帶來了更多的風險。(3)傳統的身份認證方法需要對記錄所有用戶的訪問權限,這會造成數據庫服務器的負擔,降低用戶的訪問速度和訪問成功率。
[0004]目前,傳統訪問授權技術可以實現對智能電網終端接入的可信認證,但由于認證機制復雜臃腫不靈活,不能滿足智能電網日益增加的用戶量對系統的訪問需求,不便于系統和業務的擴展,不能很好的保護遠程訪問終端用戶的隱私信息,容易導致用戶敏感信息的泄露,缺乏嚴格認證和加密,使非法用戶入侵網絡竊取用戶相關數據信息。因此有必要提出一種輕巧的、可靠的、安全的新型訪問授權系統來滿足智能電網未來發展的需求,同時提高智能電網用戶使用的方便性和安全性。
【發明內容】
[0005]為了克服上述現有技術中存在的缺陷,本發明的目的是提供一種智能電網用戶訪問授權方法,該方法通過計算處理用戶身份認證信息,并結合環境信息進行多維度的訪問授權控制,一定程度上保護了用戶隱私和控制了用戶的訪問權限,讓整個訪問授權過程安全、方便、快捷且易于實現。
[0006]為了實現本發明的上述目的,本發明提供了一種智能電網用戶訪問授權方法,包括如下步驟:
[0007]S1:按照層次結構部署智能電網安全接入系統,包括位于遠程接入層的智能電力終端,位于接入安全層的接入控制組件和認證服務器,所述智能電力終端與接入控制組件通信,所述接入控制組件與認證服務器通信。
[0008]S2:對所述智能電網安全接入系統進行初始化,并設立角色集、身份可信集和、時間權限集A、位置權限集及和身份權限集Pi。
[0009]S3:所述智能電力終端向認證服務器申請安全接入認證,如果智能電力終端未注冊,則認證服務器要求智能電力終端提交注冊信息,并根據注冊信息向智能電力終端返回用戶身份識別碼。
[0010]S4:所述智能電力終端完成安全接入認證后,收集權限憑證信息Cmsg并加密發送給接入控制組件。
[0011]S5:所述接入控制組件對接收到的加密消息M。進行分析處理,把處理結果和身份識別碼進行封裝并發給認證服務器。
[0012]S6:所述證服務器完成相關安全接入認證,并根據訪問權限將相關資源反饋給用戶。
[0013]本發明根據移動終端存在的功耗低、移動性強、功能弱等特點簡化其接入要求,提供了一種安全易部署的用戶訪問授權方案。首先,該方法將智能電網中終端訪問授權系統進行分層,在提高了網絡部署的簡便性和可擴展性,同時有助于網絡生存周期和能量控制。其次,該方法在用戶接入階段進行加密,將身份信息處理階段放在中間階段,能夠保障用戶的數據隱私,防止用戶相關隱私信息的泄露。這對于具有敏感信息傳輸的智能電網使用者也十分重要。最后,相對于其他方法,對終端使用者無特殊要求,任何智能電網的有效用戶都能夠通過該發明保證通信交互過程中信息的安全,符合智能電網使用的實際需求。
[0014]進一步,步驟S2中設立角色集、身份可信集、時間權限集乓、位置權限集及和身份權限集Pi的方法為:
[0015]根據用戶的實際身份設置相應的角色,并將各個角色劃分到不同的角色集,各個角色集按角色等級從高到低排列并屬于角色總集合Ra,所述角色總集合Ra的具體格式為Ra=IR1, R2, R3,…,RJ,其中Ri為各個角色集,對應相應等級的權限集和身份可信區間的具體格式為Ri= Ir1, r2, r3,…,rn},其中ri為各個角色,不同角色集中的角色與角色數不相同。
[0016]在區間[0,1]里依次劃分各個身份可信區間Iti,身份可信集Is={(a,b],(b,c]…,(η, I]},區間個數等于角色集個數,O不劃分在區間里,此時都應為合法用戶,沒有非法用戶。
[0017]根據角色集等級高低劃分身份權限集,各個權限集按等級從高到低排列并屬于身份權限總集合Pa=的,P2, P3,…,PJ,其中Pi為各個權限集,身份權限集具體格式為Pi=IP11P2lP3,…,Pn},其中Pi為各個權限,不同身份權限集中的權限與權限數不相同。
[0018]根據背景環境,比如根據企業的一周或一天的工作時間和休息時間劃分不同時
間段Ti,將不同時間段凡劃分不同時間權限集/^^匕乂義’…義^其中ti為各個權限,不同時間權限集中的權限與權限數不相同,將不同地理位置域Li劃分不同位置權限集P, =μρ/2,/;,…其中Ii為各個權限,不同位置權限集中的權限與權限數不相同。
[0019]本發明通過對身份可信區間進行劃分,規定了不同等級用戶的數量,方便對不同用戶的管理和后續的角色認定和權限分配操作。
[0020]進一步,步驟S3所述安全接入認證的步驟為:
[0021]S31:所述認證服務器將注冊信息發送給身份注冊模塊,所述身份注冊模塊對用戶注冊信息規范性進行檢查,如檢查失敗則要求用戶重新提交注冊信息;
[0022]S32:所述身份注冊模塊根據注冊信息(例如證件號碼)判斷用戶角色等級,并根據角色等級從預置的對應等級身份識別碼區間隨機選取一個身份識別碼返回給用戶;
[0023]S33:所述身份注冊模塊將選好的身份識別碼與對應用戶身份信息保存在資源數據庫中,并將身份注冊模塊寄存器中的對應身份識別碼刪除。
[0024]更進一步,所述身份注冊模塊對用戶注冊信息規范性進行檢查的方法為:所述身份注冊模塊對用戶基本注冊信息(例如身份證號)進行格式的正則檢查,如果格式不正確則檢查失敗,如果格式正確則對用戶高級信息(例如是否為內部人員、部門、職務)與資源數據庫用戶信息進行比對核查,如果核查通過則檢查通過,如果核查失敗則檢查失敗。
[0025]再進一步,所述預置對應等級身份識別碼區間的方法為:所述身份識別碼Id。為十進制 10 位數字,其身份識別碼區間為(C1, Ch) = {(C1, Cah),(Cal, Cbh),(Cbl, Cch),…,(Cil, Ch)},其中各子區間分別對應預置好的各身份可信區間,取身份可信區間上邊界{13,(3,...,1}依
次根據隸屬函數(隸屬函數為
【權利要求】
1.一種智能電網用戶訪問授權方法,其特征在于,包括如下步驟: S1:按照層次結構部署智能電網安全接入系統,包括位于遠程接入層的智能電力終端,位于接入安全層的接入控制組件和認證服務器,所述智能電力終端與接入控制組件通信,所述接入控制組件與認證服務器通信; S2:對所述智能電網安全接入系統進行初始化,并設立角色集、身份可信集、時間權限 位置權限集P和身份權限集Pi ; 53:所述智能電力終端向認證服務器申請安全接入認證,如果智能電力終端未注冊,則認證服務器要求智能電力終端提交注冊信息,并根據注冊信息向智能電力終端返回用戶身份識別碼; 54:所述智能電力終端完成安全接入認證后,收集權限憑證信息Cmsg并加密發送給接入控制組件; 55:所述接入控制組件對接收到的加密消息M。進行分析處理,把處理結果和身份識別碼進行封裝并發給認證服務器; 56:所述證服務器完成相關安全接入認證,并根據訪問權限將相關資源反饋給用戶。
2.根據權利要求1所述一種智能電網用戶訪問授權方法,其特征在于,所述步驟S2中設立角色集、身份可信集、時間權限隼C位置權限集巧和身份權限集Pi的方法為: 根據用戶的實際身份設置相應的角色,并將各個角色劃分到不同的角色集,各個角色集按角色等級從高到低排列并屬于角色總集合Ra,所述角色總集合Ra的具體格式為Ra=IR1, R2, R3,…,RJ,其中Ri為各個角色集,對應的權限集和身份可信區間的具體格式為Ri= Ir1, r2, r3,…,rn},其中ri為各個角色,不同角色集中的角色與角色數不相同; 在區間[0,1]里依次劃分各個身份可信區間Iti,身份可信集Is=Ka, b],(b, c]...,(η, I]},區間個數等于角色集個數,O不劃分在區間里; 根據角色集等級高低劃分身份權限集,各個權限集按等級從高到低排列并屬于身份權限總集合Pa=汜,P2,P3,…,PJ,其中Pi為各個權限集,身份權限集具體格式為Pi=IP11P2lP3,…,Ρη},其中Pi為各個權限,不同身份權限集中的權限與權限數不相同; 將不同時間段Ti劃分不同時間權限集4=仏44,-_,(,;[,其中\為各個權限,不同時間權限集中的權限與權限數不相同,將不同地理位置域Li劃分不同位置權限集P1,, ={hM,h,.?,^,其中Ii為各個權限,不同位置權限集中的權限與權限數不相同。
3.根據權利要求1所述一種智能電網用戶訪問授權方法,其特征在于,步驟S3所述安全接入認證的步驟為: 531:所述認證服務器將注冊信息發送給身份注冊模塊,所述身份注冊模塊對用戶注冊信息規范性進行檢查,如檢查失敗則要求用戶重新提交注冊信息; 532:所述身份注冊模塊根據注冊信息判斷用戶角色等級,并根據角色等級從預置的對應等級身份識別碼區間隨機選取一個身份識別碼返回給用戶; S33:所述身份注冊模塊將選好的身份識別碼與對應用戶身份信息保存在資源數據庫中,并將身份注冊模塊寄存器中的對應身份識別碼刪除。
4.根據權利要求3所述一種智能電網用戶訪問授權方法,其特征在于,所述身份注冊模塊對用戶注冊信息規范性進行檢查的方法為:所述身份注冊模塊對用戶基本注冊信息進行格式的正則檢查,如果格式不正確則檢查失敗,如果格式正確則對用戶高級信息與資源數據庫用戶信息進行比對核查,如果核查通過則檢查通過,如果核查失敗則檢查失敗。
5.根據權利要求3所述一種智能電網用戶訪問授權方法,其特征在于,所述預置對應等級身份識別碼區間的方法為:所述身份識別碼Id。為十進制10位數字,其身份識別碼區間為(C1, Ch) = ((C1, Cah), (Cal, Cbh), (Cbl,Cch),…,(CiuCh)K其中各子區間分別對應預置好的各身份可信區間,取身份可信區間上邊界{b,c,一,l}依次根據隸屬函數反函數計算身份識別碼區間各子區間下邊界ICuCauCbl,…,CilK計算結果應取整數,并把計算出的各子區間下邊界IC1, Cal,Cbl,…,CJ依次根據隸屬函數計算身份可信區間上邊界出,(:^",1},如計算出的邊界值與預置邊界值不等,則將預置邊界值重新設為計算后的邊界值。
6.根據權利要求1所述一種智能電網用戶訪問授權方法,其特征在于,步驟S4所述加密的方法為: 541:采集用戶輸入的身份識別碼、地理位置信息和時間信息; 542:將采集的權限憑證信息Cmsg封裝加密后發送給接入控制組件,其中加密方式為:加密消息Mc=Kp {Cmsg} =Kp {Idc, Tm, PJ,其中Id。為身份識別碼,Tm為時間信息,Pm為地理位置信肩、O
7.根據權利要求1所述一種智能電網用戶訪問授權方法,其特征在于,步驟S5所述接入控制組件對接收到的加密消息M。進行分析處理的步驟為: 551:接入控制組件接收到加密消息M。,備份加密消息M。并將其發給加解密模塊; 552:加解密模塊對加密消息M。進行解密,將身份識別碼與資源數據庫中身份識別碼匹配,如果身份識別碼不存`在則拒絕進行授權,如果身份識別碼存在則將其發給角色隸屬計算模塊,并將備份的加密消息Mc發送給認證服務器; 553:角色隸屬計算模塊對身份識別碼計算出身份度量值Imv,并將身份度量值Imv和身份識別碼封裝并發送給認證服務器。
8.根據權利要求7所述一種智能電網用戶訪問授權方法,其特征在于,所述計算身份度量值Imv的方法為:角色隸屬計算模塊接收到身份識別碼Id。后,將身份識別碼Id。根據隸
I屬函數μ A計算出身份度量值imv,隸屬函數表達式為~=1+a其中a為身份識別碼的下限,α >0,β、。^為身份識別碼、。。
9.根據權利要求1所述一種智能電網用戶訪問授權方法,其特征在于,步驟S6所述認證服務器完成相關安全接入認證的方法為:認證服務器收到接入控制組件發來的加密消息Μ。后,對加密消息Μ。進行解密,提取出身份識別碼Id。、時間信息Tm和地理位置信息Pm,等待角色隸屬模塊發來的計算結果,在收到角色隸屬模塊發來的封裝消息后,取出身份識別碼Idc并與之前解密得到的身份識別碼Id。進行匹配,將相同身份識別碼Id。的時間信息Tm、地理位置信息Pm和身份度量值Imv綜合為消息Mitp發送到角色認證模塊進行角色認證,根據認證的結果授權; 角色認證模塊收到消息Mitp后,取出時間信息Tm、地理位置信息Pm和身份度量值1?,對時間信息!'?1和地理位置信息??1進行權限集匹配,找出對應的時間權限集/32;=^14,?3,...,^}和對應的位置權限集G [{/,,^,^,…./,丄將身份度量值Imv映射到對應的身份可信區間Iti,匹配相應的身份可信區間Iti的角色集Ri= Ir1^2A3,…,rn},根據相應的角色集匹配對應的身份權限集Pi= {Pl,P2, P3,…,Pj,將得到的時間權限集巧、位置權限集及和身份權限集Pi取交集得到共同享有的權限集匕,把最后得到的共同權限集匕發送給策略決定模塊進行授權。
10.如權利要求1所述智能電網用戶訪問授權方法,其特征在于,步驟S6所述根據訪問權限將相關資源反饋給終端用戶的方法為:策略決定模塊根據共同權限集己查詢資源數據庫后得到對應的資源數據集Rd= Ird1, rd2,…,rdj,并將所述資源數據集Rd發送給接入控制組件,接入控制組件收到資源數據集Rd后對其進行加密,將加密后的消息發送給智能電力終端,智能電力終端對消息進行解`密將資源數據返回給用戶。
【文檔編號】H04L29/06GK103491093SQ201310442614
【公開日】2014年1月1日 申請日期:2013年9月25日 優先權日:2013年9月25日
【發明者】楊云, 呂躍春, 白云慶, 聶靜, 吳斌, 常濤 申請人:國網重慶市電力公司