一种智能电表数据的安全访问控制方法技术

一种智能电表数据的安全访问控制方法，本发明专利技术应用于智能电能表的数据访问控制。通过本发明专利技术的处理，可以显著平衡数据访问的安全及智能电表软硬件开销，防止通信数据因过度保护而数据冗余，导致智能电能表无法及时处理数据，或是因数据保护不足导致数据泄露。该数据访问控制包括：智能电表数据的分层；智能电表访问权限划分；智能电表各分层数据所需访问权限设定；访问权限采用的身份鉴别手段设定；各分层数据所需数据传输安全控制设定。

【技术实现步骤摘要】
一种智能电表数据的安全访问控制方法
本专利技术应用于智能电网通信领域，具体是一种智能电表数据的安全访问控制方案。
技术介绍
近年来智能电网迅猛发展，电力公司与各终端间数据传输量越来越大，并且对数据的安全性要求越来越高。作为智能电网中的智能电表，其数据量也在增加，并且电力公司对智能电表的数据也做出了安全要求。一般，智能电表的数据通信安全以对通信数据的加密和数据验证来保证数据的机密性和完整性，访问者身份安全则以对访问者身份的身份鉴别来保证。并且由于智能电表CPU、内存等的限制，智能电表对通信数据的加密和数据验证采用对称算法，以减小算法处理时间。同时一般只对访问者做一个身份认证，对数据的访问权限不做具体的细分，而且只有对整体访问数据的传输安全设定，未针对不同的访问数据做不同的数据传输要求。这样，面对越来越庞大的数据量，作为嵌入式设备，智能电表若一味对所有数据使用高标准安全访问安全方案，对其软硬件都是考验，并且随着数据量的增大，智能电表可能需要硬件升级才能满足对所有数据的安全控制，但若不使用保护措施则智能电表的数据处于不安全之中。应当在现有的软硬件条件下，做出一个可调节的数据安全访问控制方案，根据数据的敏感度及操作的敏感度来对不同的数据及不同的操作进行访问安全控制，该方案应包括数据分层，访问权限划分、分层数据所需访问权限设定、访问权限采用的身份鉴别手段设定、各分层数据所需数据传输安全控制设定。
技术实现思路
本专利技术提供了一套基于智能电表数据安全访问的控制方案。包括智能电表数据的分层、访问权限划分、分层数据所需访问权限设定、访问权限采用的身份鉴别手段设定、各分层数据所需数据传输安全控制设定。智能电表数据将分层为：基础数据、普通数据、管理数据、安全数据、机密数据以及升级数据。访问权限将划分为：公共权限、只读权限、管理权限、安全权限、升级权限。分层数据所需访问权限为：基础数据除升级权限所有权限可访问，管理及安全权限可设置；普通数据、管理数据可由只读权限只读，并由管理权限及安全权限设置；安全数据只有安全权限可读可设置，只读和管理权限可读；机密数据只能由安全权限设置，不可读；升级数据只有升级权限可执行。各访问权限应采用的身份鉴别手段为：公共权限无安全要求；只读权限低安全要求；管理权限可接受低安全和高安全；安全权限和升级权限要求高安全；各分层数据所需数据传输安全控制为：基础数据无要求；普通数据按照安全传输设置确定；管理数据读由安全传输设置确定，管理数据写必须加密并认证；安全数据、机密数据的读写都需加密并认证；升级数据需要数字签名。附图说明图1：智能电表数据分层图；图2：智能电表对数据访问的安全控制流程图。具体实施方式下面结合附图详细介绍本专利技术：智能电表数据的分层：如附图1，将数据分为基础数据、普通数据、管理数据、安全数据、机密数据以及升级数据。基础数据主要是电表的结构数据；普通数据包括一般的电表实时数据，如瞬时电压电流等；管理数据主要包括电能量、需量等，以及费率等数据；安全数据主要包括IEC62056-62中安全类security-setup中各属性；机密数据包括访问者身份认证密码以及传输数据所用加密密码和认证密码，因其涉及后续来访数据所需的传输安全，需要特殊考虑；升级数据，由于其数据将会改变智能电表运行软件，其数据来源需要完全保证，需要对传输数据特殊处理。针对分层后的数据，将权限划分为：公共权限、只读权限、安全权限、管理权限、升级权限。并根据分层数据的敏感度，将智能电表数据与权限绑定，如表1：表1：智能电表数据与权限绑定公共权限只读权限管理权限安全权限升级权限基础数据可读可读可读可写可读可写—普通数据—可读可读可写可读可写—管理数据—可读可读可写可读可写—安全数据——可读可读可写—机密数据———可写—升级数据————可升级如上表，基础数据除升级权限所有权限可访问，管理及安全权限可设置；普通数据、管理数据可由只读权限只读，并由管理权限及安全权限设置；安全数据只有安全权限可读可设置，只读和管理权限可读；机密数据只能由安全权限设置，不可读；升级数据只有升级权限可执行。智能电表将对访问者的身份（每种身份对应一种权限）进行鉴别，只有在鉴别通过后，才会赋予访问者如表1所示对应的数据访问权限。对于每一种权限，因其可访问数据敏感度的不同，需配以不同的身份鉴别手段。身份鉴别手段有：无安全、低安全、高安全。如表2，各访问权限应采用的身份鉴别手段为：公共权限无安全要求；只读权限低安全要求；管理权限可接受低安全和高安全，具体可由访问者根据通信环境确定，智能电表都接受；安全权限和升级权限要求高安全。表2：访问权限需要的身份认证级别身份认证无安全身份认证低安全身份认证高安全公共权限√——只读权限√—管理权限√√安全权限—√升级权限——√这样，对于不同层次的数据，需要不同的身份认证方法，并且数据敏感度越高，所需的身份认证安全度要求越高。并且，对各分层数据进行数据传输安全控制。数据传输安全控制有：无安全、加密、验证、验证加加密、数字签名。如表3，基础数据无要求；普通数据按照安全传输设置确定；管理数据读由安全传输设置确定，管理数据写必须加密并认证；安全数据、机密数据的读写都需加密并认证；升级数据需要数字签名。如表3：智能电表分层数据与安全传输的绑定（数据传输安全可由安全权限配置决定）数据传输加密数据传输认证数字签名基础数据———普通数据按设置按设置—管理数据读按设置按设置—管理数据写√√—安全数据√√—机密数据√√—升级数据——√如此，当需要访问一个智能电表时，在建立连接时首先要根据访问者权限进行对应的身份认证，认证通过后才会赋予访问者访问对应数据的权限。在真正访问数据时，智能电表先根据开放的权限查看是否需可以访问改数据，随后再查看数据的传输安全是否满足要求，只有以上皆符合，才会给以访问者正确的回复。具体可见图2:智能电表对数据访问的安全控制流程图。这样，智能电表中的各项数据根据其敏感程度划分开，并根据其敏感度与需要的不同安全方案绑定，即可以达到不同数据不同安全，防止因数据过度保护而数据冗余导致通信不畅，或是数据保护不足导致数据泄露。本文档来自技高网...

【技术保护点】
一种智能电表数据的安全访问控制方法，其特征在于该方法包括下列步骤：智能电表数据的分层；智能电表访问权限划分；智能电表各分层数据所需访问权限设定；访问权限采用的身份鉴别手段设定；分层数据所需数据传输安全控制设定。

【技术特征摘要】
1.一种智能电表数据的安全访问控制方法，其特征在于该方法包括下列步骤：智能电表数据的分层；智能电表访问权限划分；智能电表各分层数据所需访问权限设定；访问权限采用的身份鉴别手段设定；分层数据所需数据传输安全控制设定。2.根据权利要求1所述的智能电表数据的安全访问控制方法，其特征在于智能电表数据的分层是将数据分为6个部分：基础数据、普通数据、管理数据、安全数据、机密数据以及升级数据。3.根据权利要求1所述的智能电表数据的安全访问控制方法，其特征在于智能电表访问权限划分是将权限划分为5种：公共权限、只读权限、管理权限、安全权限、升级权限。4.根据权利要求1所述的智能电表数据的安全访问控制方法，其特征在于智能电表各分层数据所需访问权限是不同数据的读写必须有相应的权限，具体为：基础数据除升级权限所有权限可访问，管理及安全权限可设置；普通数据、管理数据可由只读权限只读，...

【专利技术属性】
技术研发人员：尹建丰，
申请(专利权)人：江苏林洋能源股份有限公司，
类型：发明
国别省市：江苏,32