2. 技术
  3. 一种新型电力系统的跨域认证与授权系统及其方法与流程

一种新型电力系统的跨域认证与授权系统及其方法与流程

xiaoxiao17天前  7

本发明涉及一种新型电力系统的跨域认证与授权系统及其方法,属于新型电力系统安全。


背景技术:

1、随着国家电网公司发布了碳达峰、碳中和行动方案,提出加快构建清洁低碳、安全高效能源体系,构建以新能源为主体的新型电力系统。新型电力系统建设引发电力系统的深刻变革,随着也产生了新的需求。新型电力业务终端广泛采用运营商无线apn专网和无线公网接入,存在跨区域、跨系统、跨层级接入的需求,例如分布式光伏需要同时接入生产控制大区和管理信息大区的不同信息系统,与此同时县域光伏终端、全口径发电数据采集控制终端、风电新能源终端、虚拟电厂终端等新型业务终端在访问公司主站业务系统时,对配电自动化系统、物联云平台系统、虚拟电厂管控系统等支撑新型电力系统的跨系统、跨区域、跨层级访问场景也不断涌现。然而各业务系统存在不同的终端安全要求,导致目前终端尚不能实现统一身份认证后的多业务系统无缝访问。随着分布式电源、可控负荷、增量配电网、物资服务等需要跨域数据共享的综合性业务的不断涌现,集中化的接入认证手段已无法满足电力物联网源网荷储互动、物资精准供应等由多方参与的跨域业务系统的信任需求,因此需要探索跨域认证方案。

2、传统的跨域认证方案存在以下不足之处:

3、(1)现有电力系统中不同信任域独立管理,不同终端设备接入不同信任域时分别进行认证和授权,这种方法安全性比较高,但随着多种新能源终端业务的扩展,大量同一终端需要访问不同安全域、接入不同系统,因此传统的认证方案效率较低,消耗网络资源多。

4、(2)目前针对电力系统提出的跨域认证方案较少,现有跨域认证方案未能针对电力系统的特性进行分析,未能考虑电力系统特有的不同等级安全域之间的信任关系,因此现有跨域访问方案安全性和效率较低,同时对终端跨域接入之后的访问控制不够细粒度。

5、因此本专利提出一种新型电力系统的跨域认证与授权系统与方法,其中包含认证模块、授权模块和信任管理模块,通过持续动态评估终端与域之间以及不同域之间的信任等级,实现终端一次认证,多域安全访问。


技术实现思路

1、新型电力业务终端的接入带来了跨区域、跨系统安全接入的新需求,然而各业务系统存在不同的终端安全要求,导致目前终端尚不能实现统一身份认证后的多业务系统无缝访问。因此,在分析了新型电力系统的具体应用场景后,本发明提出了一种基于信任管理的新型电力系统跨域认证和授权系统及其方法,解决了一次认证后不同域之间的终端访问问题。

2、为解决上述技术问题,本发明所采用的技术方案如下:

3、一种新型电力系统的跨域认证与授权方法,包括:

4、终端接入本域时,通过本域认证模块进行身份认证,若认证成功则本域认证模块为终端颁发令牌;

5、终端持令牌发起跨域访问申请,外域认证模块通过调用ca权威中心模块查询终端所在域的域证书来验证终端持有的令牌是否合法并将认证结果发给授权模块;

6、信任管理模块计算终端每次请求访问时的信任值;

7、授权模块根据外域认证模块的认证结果以及查询信任管理模块所计算的终端的信任值进行权限授予。

8、上述认证模块与ca权威中心模块协作通过颁发、验证令牌和证书来实现域内外终端的认证。授权模块与信任管理模块协作实现基于信任度和属性的终端权限授予和访问控制。

9、上述本域认证模块和外域认证模块均包括域内认证服务器、跨域认证服务器、令牌中心和域内ca中心;

10、所述终端接入本域时,通过认证模块进行身份认证,若认证成功则认证模块为终端颁发令牌的步骤包括:

11、终端向本域认证模块发起本域接入请求;

12、本域认证模块收到所述本域接入请求后判断终端是否为本域终端,若是,则本域认证模块的域内认证服务器负责对终端进行身份认证,本域认证模块的域内认证服务器根据所述本域接入请求中的终端信息向本域认证模块的域内ca中心发起查验终端证书请求,本域认证模块的域内ca中心查验终端证书是否为本域认证模块的域内ca中心签发、终端证书是否在有效期之内,以判断终端证书是否合法,若合法则终端通过本域内的身份认证;

13、终端成功接入本域后若申请跨域访问,则本域认证模块的令牌中心为所述终端生成令牌;其中,令牌内容使用终端申请访问域的域ca公钥进行加密;

14、所述终端持令牌发起跨域访问申请,外域认证模块通过调用ca权威中心模块查询终端所在域的域证书来验证终端持有的令牌是否合法并将认证结果发给授权模块的步骤包括:

15、外域认证模块的跨域认证服务器接收到终端所持有的令牌后,在本域认证模块的令牌中心提取颁发者信息,明确终端所在的域,向ca权威中心模块发起查询终端所在域的域证书请求;

16、ca权威中心模块将查询到的域证书发送给外域认证模块的跨域认证服务器;

17、外域认证模块的跨域认证服务器将终端的令牌和终端所在域的域证书发送给外域认证模块的令牌中心,请求验证令牌;

18、外域认证模块的令牌中心接收到终端的令牌和终端所在域的域证书后,用终端所在域的公钥解密令牌上的签名信息,验证令牌的来源是否属实,验证令牌的有效性,若验证令牌有效且来源属实,则终端认证成功;

19、外域认证模块的令牌中心发送令牌验证的结果给外域认证模块的跨域认证服务器;

20、外域认证模块的跨域认证服务器根据验证结果向终端返回认证结果。

21、终端在认证模块通过认证后,需通过授权模块进行权限授予才能实现资源的安全访问。

22、授权模块主要采用基于属性和信任度的访问控制模型。首先调用信任管理模块计算发起访问申请的外域终端的信任值,然后再根据主体、客体和环境属性生成访问控制策略,确保安全可信的终端实现跨域资源访问。

23、上述授权模块包含pep、pip、pdp和pap,其中,pep为策略执行节点,pip为策略信息节点,pdp为策略决定节点,pap为策略管理节点;

24、所述授权模块根据外域认证模块的认证结果以及查询信任管理模块所计算的终端的信任值进行权限授予的步骤包括:

25、pep接收终端的跨域访问请求,并将跨域访问请求转发给外域认证模块中的跨域认证服务器进行认证,认证结束后返回认证结果到pep;

26、pep接收到认证通过的消息后,从跨域访问请求中提取终端的身份信息转发给pdp;

27、pdp调用信任管理模块计算终端本次请求的信任值作为授权的依据;

28、pdp根据终端身份信息向pip发出获取该终端相关属性的请求,相关属性包括环境属性和资源属性;

29、pip根据请求信息返回相关属性;

30、pdp根据相关属性信息和终端本次请求的信任值向pap发出策略请求;

31、pap返回策略给pdp;

32、pdp根据策略判断终端是否有权限访问资源并作出决策;

33、pdp返回决策结果给pep;

34、pep根据决策结果执行响应终端访问资源的请求;

35、终端访问资源。

36、上述ca权威中心模块:负责颁发、查询、存储、修改和撤销安全域的证书。信任管理模块:负责对终端进行信任评估以及对域与域之间的信任等级进行计算管理,作为终端访问控制授权决策来源之一,并在终端申请跨域访问时综合计算终端的信任值;它主要评估域对终端的信任值,并根据历史访问行为信息计算域对域的信任值。该模块将整合所有方面的数据作为信任评估的输入,并动态更新所有信任值。

37、本技术在基于属性的访问控制基础上引入信任值,终端本次请求时的信任值成为授权决策依据之一。

38、终端本次请求的信任值由直接信任和推荐信任两部分组成,假设外域终端请求访问本域资源,则直接信任是本域对终端所在域的信任值与终端所在域对终端的信任值的组成,推荐信任是终端在与本域有关联的其他安全域的信任值有关;

39、信任值表示各实体间的信任程度,用t表示,取值为t∈{0,100},其值的大小受到访问行为、上下文环境、时间因素等的影响,假设安全域a的终端s要访问安全域b的资源,具体终端访问请求时的信任度计算方法如下:

40、若信任值为直接信任值,终端访问本域时,直接信任值为由本域对终端所在域的信任值和终端所在域对终端的评分组成:

41、

42、其中,tba(s)i表示第i次访问安全域b对安全域a内终端s的直接信任值;ta(s)i表示第i次访问时安全域a对终端s的评分;t(b→a)表示安全域b对安全域a的信任值;f(tn-tn-1)为时间衰减函数,表示终端任意两次访问在tn与tn-1时间内的衰减率;

43、若信任值为推荐信任值,终端访问本域时,推荐信任值由本域对其他域的信任值和与本域有关联的其他安全域对终端的评分组成:

44、

45、其中,t2(s)i为终端s第i次访问安全域b时的推荐信任值,t(b→dj)表示安全域b对有关联的安全域d1、安全域d2等的信任值,表示其他与安全域b有关联的安全域d1、安全域d2等对终端s的评分;

46、基于终端的直接信任值和推荐信任值得到终端的总信任值:

47、

48、其中,t(s)i为终端s第i次跨域请求访问的总信任值,t2(s)i为终端s第i次访问安全域b时的推荐信任值,tb(s)i为第i次访问时安全域b对终端s的信任值,ω1ω2ω3表示不同的权重值;首次访问时,终端总信任值由直接信任值和推荐信任值组成,访问成功后安全域b综合本次访问时的行为状态等信息为终端进行评价得到信任值tb(s)i;当终端再次访问安全域b时,终端总信任值则由直接信任值、推荐信任值和域b对终端信任值组成。

49、一种新型电力系统的跨域认证与授权系统,包含域认证模块、外域认证模块、授权模块、信任管理模块和ca权威中心模块;

50、本域认证模块用于在终端接入安全域时进行身份认证,若认证成功则为终端颁发令牌;

51、外域认证模块用于在终端持令牌发起跨域访问申请时,调用ca权威中心模块查询终端所在域的证书来验证终端持有的令牌是否合法并将认证结果发给授权模块;

52、授权模块用于根据外域认证模块的认证结果以及查询信任管理模块所计算的终端的信任值进行权限授予;

53、信任管理模块用于计算终端每次请求访问时的信任值;

54、ca权威机构模块负责管理各个安全域的证书。

55、上述本域认证模块和外域认证模块均包括域内认证服务器、跨域认证服务器、令牌中心和域内ca中心;

56、域内ca中心用于负责域内终端证书的颁发、存储与管理;

57、域内认证服务器用于负责终端的身份认证,通过查询域内ca中心的终端证书完成对终端的接入认证;

58、跨域认证服务器用于接收终端跨域申请,向ca权威中心模块查询域证书,然后带着域证书向令牌中心申请查验令牌;

59、令牌中心用于验证令牌内容并将验证结果返回给跨域认证服务器,二者协作完成终端的认证,并将认证结果发给授权模块。

60、上述跨域认证服务器:负责接收终端的令牌,从令牌中提取颁发者信息以确定终端来自哪个域,并向ca权威中心模块发送查询终端所在域证书的请求,然后将证书和令牌发送到令牌中心进行验证,最后根据验证结果处理终端请求;令牌中心:主要具有生成令牌和验证令牌两个功能,如果终端通过了域内认证,令牌中心将向其颁发由该域ca的私钥签名的认证令牌,如果终端申请使用令牌访问外部域,则外部域的跨域认证将接收终端令牌,并验证令牌的来源和令牌内容的合法性。

61、上述本域认证模块的工作流程如下:

62、本域认证模块用于接收终端发起的本域接入请求;

63、本域认证模块收到所述本域接入请求后用于判断终端是否为本域终端,若是,则本域认证模块的域内认证服务器负责对终端进行身份认证,本域认证模块的域内认证服务器根据所述本域接入请求中的终端信息向本域认证模块的域内ca中心发起查验终端证书请求,本域认证模块的域内ca中心查验终端证书是否为本域认证模块的域内ca中心签发、终端证书是否在有效期之内,以判断终端证书是否合法,若合法则终端通过本域内的身份认证;

64、终端成功接入本域后若申请跨域访问,则本域认证模块的令牌中心为所述终端生成令牌;其中,令牌内容使用终端申请访问域的域ca公钥进行加密;

65、外域认证模块的工作流程如下:

66、外域认证模块的跨域认证服务器接收到终端所持有的令牌后,在本域认证模块的令牌中提取颁发者信息,明确终端所在的域,向ca权威中心模块发起查询终端所在域的域证书请求;

67、ca权威中心模块将查询到的域证书发送给外域认证模块的跨域认证服务器;

68、外域认证模块的跨域认证服务器将终端的令牌和终端所在域的域证书发送给外域认证模块的令牌中心,请求验证令牌;

69、外域认证模块的令牌中心接收到终端的令牌和终端所在域的域证书后,用终端所在域的公钥解密令牌上的签名信息,验证令牌的来源是否属实,验证令牌的有效性,若验证令牌有效且来源属实,则终端认证成功;

70、外域认证模块的令牌中心发送令牌验证的结果给外域认证模块的跨域认证服务器;

71、外域认证模块的跨域认证服务器根据验证结果向终端返回认证结果。

72、终端在认证模块通过认证后,需通过授权模块进行权限授予才能实现资源的安全访问。

73、上述授权模块主要采用基于属性和信任度的访问控制模型。首先它调用信任管理模块计算发起访问申请的外域终端的信任值,然后再根据主体、客体和环境属性生成访问控制策略,确保安全可信的终端实现跨域资源访问。

74、上述授权模块包含pep、pip、pdp和pap,ep、pip、pdp和pap结合信任管理模块实现授权决策,其中,pep为策略执行节点,pip为策略信息节点,pdp为策略决定节点,pap为策略管理节点;

75、pep用于拦截对系统资源的访问请求,并将访问请求转发到认证模块,通过认证后将访问请求所携带的请求信息转发给pdp;

76、pep还用于执行从pdp接收到的访问决策,同时履行pdp在访问决策中包含的义务;

77、pdp用于评估访问请求,并根据描述访问请求元素的属性和访问控制策略作出访问决策;

78、pip用于提供访问请求所需的属性,收集与访问请求的主体、客体和环境有关的属性,在进行访问决策时将属性提供给pdp;

79、pap用于支持策略管理功能,包括添加、删除和修改访问策略,还存储由策略管理员定义的访问策略。

80、上述授权模块的授权流程如下:

81、pep用于接收终端的跨域访问请求,并将跨域访问请求转发给外域认证模块中的跨域认证服务器进行认证,认证结束后返回认证结果到pep;

82、pep用于接收到认证通过的消息后,从跨域访问请求中提取终端的身份信息转发给pdp;

83、pdp用于调用信任管理模块计算终端本次请求的信任值作为授权的依据;

84、pdp用于根据终端身份信息向pip发出获取该终端相关属性的请求,相关属性包括环境属性和资源属性;

85、pip用于根据请求信息返回相关属性;

86、pdp用于根据相关属性信息和终端本次请求的信任值向pap发出策略请求;

87、pap用于返回策略给pdp;

88、pdp用于根据策略判断终端是否有权限访问资源并作出决策;

89、pdp用于返回决策结果给pep;

90、pep用于根据决策结果执行响应终端访问资源的请求;

91、终端用于访问资源。

92、上述ca权威中心模块:负责颁发、查询、存储、修改和撤销安全域的证书。信任管理模块:负责对终端进行信任评估以及对域与域之间的信任等级进行计算管理,作为终端访问控制授权决策来源之一,并在终端申请跨域访问时综合计算终端的信任值;它主要评估域对终端的信任值,并根据历史访问行为信息计算域对域的信任值。该模块将整合所有方面的数据作为信任评估的输入,并动态更新所有信任值。

93、本技术在基于属性的访问控制基础上引入信任值,终端本次请求时的信任值成为授权决策依据之一。终端本次请求的信任值由直接信任和推荐信任两部分组成,假设外域终端请求访问本域资源,则直接信任是本域对终端所在域的信任值与终端所在域对终端的信任值的组成,推荐信任是终端在与本域有关联的其他安全域的信任值有关;

94、信任值表示各实体间的信任程度,用t表示,取值为t∈{0,100},其值的大小受到访问行为、上下文环境、时间因素等的影响,假设安全域a的终端s要访问安全域b的资源,具体终端访问请求时的信任度计算方法如下:

95、若信任值为直接信任值:外域终端访问本域时,直接信任值为由本域对终端所在域的信任值和终端所在域对终端的评分组成:

96、

97、其中,tba(s)i表示第i次访问安全域b对安全域a内终端s的直接信任值;ta(s)i表示第i次访问时安全域a对终端s的评分;t(b→a)表示安全域b对安全域a的信任值;f(tn-tn-1)为时间衰减函数,表示终端任意两次访问在tn与tn-1时间内的衰减率;

98、若信任值为推荐信任值,终端访问本域时,推荐信任值由本域对其他域的信任值和与本域有关联的其他安全域对终端的评分组成:

99、

100、其中,t2(s)i为终端s第i次访问安全域b时的推荐信任值,t(b→dj)表示安全域b对有关联的安全域d1、安全域d2等的信任值,表示其他与安全域b有关联的安全域d1、安全域d2等对终端s的评分;

101、基于终端的直接信任值和推荐信任值得到终端的总信任值:

102、

103、其中,t(s)i为终端s第i次跨域请求访问的总信任值,t2(s)i为终端s第i次访问安全域b时的推荐信任值,tb(s)i为第i次访问时安全域b对终端s的信任值,ω1ω2ω3表示不同的权重值;首次访问时,终端总信任值由直接信任值和推荐信任值组成,访问成功后安全域b会综合本次访问时的行为状态等信息为终端进行评价得到信任值即tb(s)i;当终端之后再次访问安全域b时,终端总信任值则由直接信任值、推荐信任值和域b对终端信任值组成。

104、本发明未提及的技术均参照现有技术。

105、本发明相比现有技术,具有以下有益效果:

106、1、本发明基于令牌的终端跨域认证,通过为认证通过的终端颁发令牌,外域认证服务器验证令牌来实现跨域认证,实现终端一次认证,多域安全访问。

107、2、本发明基于属性和信任度终端授权,通过实时评估终端信任度、动态更新域间信任度以及构建属性策略映射实现动态权限授予,实现细粒度的终端动态访问控制。

108、3、本发明给出了终端跨域授权时的信任值计算方法,终端信任值通过评估相邻域间的信任等级和相邻域对终端的信任值计算构成,通过加入时间衰减函数使得信任值动态变化实时更新,且降低了计算开销。


技术特征:

1.一种新型电力系统的跨域认证与授权方法,其特征在于:包括:

2.如权利要求1所述的方法,其特征在于:本域认证模块和外域认证模块均包括域内认证服务器、跨域认证服务器、令牌中心和域内ca中心;

3.如权利要求2所述的方法,其特征在于:授权模块包含pep、pip、pdp和pap,其中,pep为策略执行节点,pip为策略信息节点,pdp为策略决定节点,pap为策略管理节点;

4.如权利要求3所述的方法,其特征在于:信任管理模块中信任值包括直接信任值和推荐信任值,信任值表示各实体间的信任程度,终端每次请求访问时的信任值计算方法如下:

5.一种新型电力系统的跨域认证与授权系统,其特征在于:包含本域认证模块、外域认证模块、授权模块、信任管理模块和ca权威中心模块;

6.如权利要求5所述的系统,其特征在于:本域认证模块和外域认证模块均包括域内认证服务器、跨域认证服务器、令牌中心和域内ca中心;

7.如权利要求6所述的系统,其特征在于:本域认证模块的工作流程如下:

8.如权利要求7所述的系统,其特征在于:授权模块包含pep、pip、pdp和pap,ep、pip、pdp和pap结合信任管理模块实现授权决策,其中,pep为策略执行节点,pip为策略信息节点,pdp为策略决定节点,pap为策略管理节点;

9.如权利要求8所述的系统,其特征在于:授权模块的授权流程如下:

10.如权利要求9所述的系统,其特征在于:信任管理模块生成的信任值包括直接信任和推荐信任,信任值表示各实体间的信任程度,终端每次请求访问时的信任值计算方法如下:


技术总结
本发明公开了一种新型电力系统的跨域认证与授权系统及其方法,新型电力系统的跨域认证与授权方法,包括:终端接入本域时,通过本域认证模块进行身份认证,若认证成功则本域认证模块为终端颁发令牌;终端持令牌发起跨域访问申请,外域认证模块通过调用CA权威中心模块查询终端所在域的域证书来验证终端持有的令牌是否合法并将认证结果发给授权模块;信任管理模块计算终端每次请求访问时的信任值;授权模块根据外域认证模块的认证结果以及查询信任管理模块所计算的终端的信任值进行权限授予。本发明实现了终端一次认证,多域安全访问;实现细粒度的终端动态访问控制;使得信任值动态变化实时更新,且降低了计算开销。

技术研发人员:田峥,冷华,罗伟强,孙毅臻,何权潍,杨芳僚,李永发,张继宇,徐慧艳
受保护的技术使用者:国网湖南省电力有限公司
技术研发日:
技术公布日:2024/9/23

专利

最新回复(0)