【技术实现步骤摘要】
一种基于授权策略的自适应动态访问控制方法及系统
[0001]本专利技术涉及电力监控系统的网络安全准入授权策略及动态访问控制
,更具体地,涉及一种基于授权策略的自适应动态访问控制方法及系统
。
技术介绍
[0002]网络安全已经成为电力系统安全的重要内容,电力监控系统的网络安全则是重中之重
。
随着电力监控系统在局域网和广域网中的广泛应用,如何提高电力监控系统的信息安全性成为了电力信息领域中首要问题
。
在电力信息系统中,故障监测
、
诊断
、
维护技术是电力信息系统的重要功能,因此分布式电力监控系统已成为现代电力信息系统领域的主角,针对现代电力信息系统非法用户的访问
、
合法用户的误操作等安全性问题,分布式电力监控系统的授权策略及动态访问控制技术是解决其网络安全性问题的关键措施
。
[0003]基于能力的安全
(capability based security)
对资源的访问是通过对那些资源对象的不...
【技术保护点】
【技术特征摘要】
1.
一种基于授权策略的自适应动态访问控制方法,所述方法包括:访问方向资源管理系统提交身份验证请求,所述身份验证请求包括所述访问方的身份识别信息以及目标访问资源;所述资源管理系统在接收到所述身份验证请求后,基于目标访问资源的环境条件生成能力列表;所述资源管理系统基于所述能力列表以及所述身份识别信息生成能力令牌,并将所述能力令牌授予所述访问方;所述访问方向资源提供方发送目标访问资源的访问请求,所述访问请求中包括所述能力令牌;所述资源提供方基于接收到的所述能力令牌,做出控制决策
。2.
根据权利要求1所述的方法,在所述访问方向资源管理系统提交身份验证请求之前,还包括:进行访问方以及资源提供方的属性划分,获取访问方以及资源提供方的属性信息;确定所述资源提供方的操作权限;基于所述属性信息以及所述操作权限,发布访问方的能力令牌
。3.
根据权利要求1或2述的方法,所述环境条件包括:当前时间
、
当前位置和当前级别
。4.
根据权利要求1所述的方法,所述资源提供方基于所述能力令牌,做出控制决策,包括:所述资源提供方基于所述能力令牌中的所述能力列表以及所述身份识别信息,判断所述能力列表中是否存在所述目标访问资源的操作权限;当所述能力列表中存在所述目标访问资源的操作权限时,则授权所述访问方的访问权限;或者当所述能力列表中不存在所述目标访问资源的操作权限时,则拒绝所述访问方的访问权限
。5.
根据权利要求1所述的方法,还包括:所述资源管理系统在生成所述能力令牌后,对所述能力令牌进行签名并通过公钥进行加密,将加密后的所述能力令牌授予所述访问方;所述资源管理系统通过哈希算法计算所述访问方的身份识别信息的第一哈希值,并将身份识别信息的第一哈希值发送至所述访问方;所述访问方向资源提供方发送目标访问资源的访问请求后,所述资源提供方通过私钥对所述访问请求中的所述能力令牌进行解密,并对所述能力令牌的签名进行验证;当所述述能力令牌的签名无法通过验证时,拒绝所述访问方的访问权限;所述访问方将所述第一哈希值发送至所述资源提供方;所述资源提供方通过相同的哈希算法计算所述访问方的所述身份识别信息的第二哈希值,并对所述第一哈希值以及所述第二哈希值是否一致进行验证;当所述第一哈希值以及所述第二哈希值不一致时,所述访问方的身份判断为不合法,拒绝所述访问方的访问权限
。6.
根据权利要求1所述的方法,还包括:对于获取访问权限的访问方在访问过程中,所述资源提供方基于所述环境列表中的环境条件对所述访问过程进行实时监控,当所述环境条件不满足时,则中断访问过程
。
7.
一种基于授权策略的...
【专利技术属性】
技术研发人员:王治华,金明辉,高峰,韩政,严威,姜玉靓,冯陈佳,徐之欣,姜琳,金昊天,
申请(专利权)人:中国电力科学研究院有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。