The invention provides a user behavior based on the smart grid terminal trusted access system and method. The system includes the terminal access layer, trust evaluation layer and trusted measurement layer; the terminal access layer at the bottom, the trust evaluation layer is located in the terminal access layer and trusted measurement layers, the reliability layer is located in the most top. In the method, user authentication, platform authentication, platform integrity verification and user behavior credible judgment are completed. The invention is based on identity authentication and platform integrity verification, on the evidence of information user behavior were collected periodically to determine the user behavior is credible, so as to decide whether to allow smart grid terminal to access network, in which identity access and other issues, and then decided to take real-time monitoring of the user's efforts.
【技术实现步骤摘要】
一种基于用户行为的智能电网终端可信接入系统和方法
本专利技术涉及一种可新接入技术,具体涉及一种基于用户行为的智能电网终端可信接入系统和方法。
技术介绍
近年来,智能电网已经成为世界电网发展的共同趋势。所谓智能电网是以坚强网架为基础,以通信信息平台为支撑,以智能控制为手段,包含电力系统的发电、输电、变电、配电、用电和调度六大环节,覆盖所有电压等级,实现“电力流、信息流、业务流”的高度一体化融合。随着智能电网互动化业务的不断发展,各类终端接入电网的需求越来越广泛,人们对电网安全有了新的认识和更高的要求。传统“垒高墙,堵漏洞,防外攻”的被动式防御,不能有效地抵抗来自系统内部的攻击,也不能防止层出不穷的病毒和恶意攻击行为。事实上,几乎所有的攻击事件都是从终端发起。如果能够从源头抓起,从终端进行网络连接时刻就开始建立起安全体系,将非法终端排除在电网之外,从而保证电网中每一个终端都是经过认证和授权的,那么就不会有攻击事件的发生,这就是智能电网终端可信接入方法的目的。自从2003年可信计算组织(TrustedComputingGroup,TCG)成立以来,可信计算技术得到了迅速的发展,人们已经意识到,在面对现有各种安全风险和威胁时,不仅需要自顶向下的安全体系设计,还需要从终端开始自底向上地保证计算系统的可信;不仅要保证终端计算环境的可信,还要把终端计算环境的可信扩展到网络,使得网络成为一个可信的计算环境。TCG认为如果一个实体的行为总是以预期方式朝着预期目标进行,该实体是可信的。可信网络连接(TrustedNetworkConnection,TNC)是将可信计算延伸到网 ...
【技术保护点】
一种基于用户行为的智能电网终端可信接入系统,其特征在于:所述系统包括终端访问层、可信评估层和可信度量层;所述终端访问层位于最底层,所述可信评估层位于终端访问层和可信度量层之间,所述可信度量层位于最顶层。
【技术特征摘要】
1.一种基于用户行为的智能电网终端可信接入系统,其特征在于:所述系统包括终端访问层、可信评估层和可信度量层;所述终端访问层位于最底层,所述可信评估层位于终端访问层和可信度量层之间,所述可信度量层位于最顶层。2.根据权利要求1所述的基于用户行为的智能电网终端可信接入系统,其特征在于:所述智能电网终端为可信网络连接TNC中的访问请求者AR,网络接入设备为可信网络连接TNC中的策略执行点PEP,认证服务器为可信网络连接TNC中的策略决策点PDP。3.根据权利要求2所述的基于用户行为的智能电网终端可信接入系统,其特征在于:在终端访问层,网络访问请求者NAR和网络访问授权者NAA之间建立数据传输通道,之后策略执行点PEP执行允许、禁止和隔离网络访问请求者NAR的接入操作,完成网络访问请求者NAR的访问请求,网络访问请求者NAR申请建立与可信网络之间的网络连接。4.根据权利要求1所述的基于用户行为的智能电网终端可信接入系统,其特征在于:所述可信评估层包括可信网络连接客户端TNCC和可信网络连接服务器TNCS;所述可信网络连接客户端TNCC获得完整性度量收集者IMC收集到的平台完整性信息和用户行为证据收集UBEC收集到的用户行为证据信息,并完成完整性度量收集者IMC与可信网络连接服务器TNCS之间的信息交互以及用户行为证据收集UBEC与可信网络连接服务器TNCS之间的信息交互;所述可信网络连接服务器TNCS完成完整性度量验证者IMV与完整性度量收集者IMC之间的信息交互以及用户行为统计检查UBCJ与用户行为证据收集UBEC之间的信息交互,获得完整性度量验证者IMV的平台完整性判断结果和用户行为统计检查UBCJ的用户行为可信判断结果,并将平台完整性判断结果、用户行为可信判断结果及操作建议返回给网络访问授权者NAA。5.根据权利要求4所述的基于用户行为的智能电网终端可信接入系统,其特征在于:所述可信度量层包括完整性度量收集者IMC、完整性度量验证者IMV、用户行为证据收集UBEC和用户行为统计检查UBCJ;所述完整性度量收集者IMC收集平台完整性信息,通过可信网络连接客户端TNCC、可信网络连接服务器TNCS将收集到的平台完整性信息发送给完整性度量验证者IMV;所述完整性度量验证者IMV对完整性度量收集者IMC收集的平台完整性信息进行判定,从而决定网络访问请求者NAR是否通过平台完整性验证;所述用户行为证据收集UBEC实时收集网络访问请求者NAR的用户行为证据信息,形成用户行为证据集;所述用户行为统计检查UBCJ根据用户行为证据集,周期性地加权判断用户行为是否可信,从而决定是否允许网络访问请求者NAR的继续接入以及接入身份。6.一种基于用户行为的智能电网终端可信接入方法,其特征在于:所述方法包括以下步骤:步骤1:进行网络访问请求者NAR和网络访问授权者NAA之间的用户身份认证;步骤2:进行可信网络连接客户端TNCC和可信网络连接服务器TNCS之间的平台身份认证;步骤3:进行可信网络连接客户端TNCC和可信网络连接服务端TNCS之间的平台完整性验证;步骤4:进行网络访问请求者NAR和网络访问授权者NAA之间的用户行为可信判断。7.根据权利要求6所述的基于用户行为的智能电网终端可信接入方法,其特征在于:所述步骤1包括以下步骤:步骤1-1:所述可信网络连接客户端TNCC对完整性度量收集者IMC和用户行为证据收集UBEC进行初始化,确保可信网络连接客户端TNCC拥有与完整性度量收集者IMC和用户行为证据收集UBEC的有效连接状态;同时可信网络连接服务器TNCS对完整性度量验证者IMV和用户行为统计检查UBCJ进行初始化,确保可信网络连接服务器TNCS拥有与完整性度量验证者IMV和用户行为统计检查UBCJ的有效连接状态;步骤1-2:网络访问请求者NAR向策略执行点PEP发送访问请求;步骤1-3:策略执行点PEP收到网络访问请求者NAR的访问请求后,其向网络访问授权者NAA发送决策请求;假定网络访问授权者NAA已经设置为按照用户身份认证、平台身份认证、平台完整性验证和用户行为可信判断的顺序进行操作,如果用户身份认证、平台身份认证、平台完整性验证和用户行为可信判断中任一不通过,则停止后续操作。8.根据权利要求6所述的基于用户行为的智能电网终端可信接入方法,其特征在于:...
【专利技术属性】
技术研发人员:陈璐,张涛,马媛媛,邵志鹏,何高峰,管小娟,黄秀丽,华晔,周诚,
申请(专利权)人:国网智能电网研究院,国网天津市电力公司,国家电网公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。