面向电力物联网设备和用户的零信任动态访问控制方法技术

本发明专利技术涉及访问控制技术领域，具体涉及面向电力物联网设备和用户的零信任动态访问控制方法，包括获取目标用户的历史交互数据以及目标电力物联网设备对应的层级推荐者的传递信任度；基于所述历史交互数据以及所述层级推荐者的传递信任度，分别确定所述目标电力物联网设备对所述目标用户的直接信任度以及间接信任度；根据所述直接信任度以及所述间接信任度，确定所述目标电力物联网设备对所述目标用户的实时信任度；基于所述实时信任度，控制所述目标用户对所述目标电力物联网设备的访问。该方法是将目标用户与其访问的目标电力物联网设备进行关联计算，而避免采用边界防护的方案，提高了电力物联网系统的安全性。

【技术实现步骤摘要】
面向电力物联网设备和用户的零信任动态访问控制方法
本专利技术涉及访问控制
，具体涉及面向电力物联网设备和用户的零信任动态访问控制方法。
技术介绍
目前，物联网安全研究在电力行业尚处于起步阶段。研究主要围绕行业规范和标准的制定展开，针对电力物联网安全防护体系及相关技术的研究较少。电力物联网环境下海量终端设备和用户的广泛接入，增加了网络的暴露性，处在网络核心地位的信息资产(包括数据、业务系统和基础设施)，无形中也增加了暴露面，从而使得被攻击的可能性越来越大，这对以边界隔离为特征的保护系统提出了严峻的挑战。物联网终端设备和用户的认证和访问控制大多采用“一次认证、一次授权、长期有效”的方式，这种安全模型存在一些问题：一旦边界被突破，攻击者可以畅通无阻地访问企业的内部特权网络。为解决这些问题，谷歌公司提出了零信任框架，以身份认证为核心，通过持续认证和信任评估来保障访问资源的安全，零信任框架被越来越多的企业运用到安全防护和信任评估体系中。但是，即使是零信任框架大多也是沿用部分边界防护方案，将内网和外网隔离，对内网采用高信任度的信任评级和访问策略，这使得系统容易遭受内部攻击，导致电力物联网系统的安全性较低。
技术实现思路
有鉴于此，本专利技术实施例提供了一种面向电力物联网设备和用户的零信任动态访问控制方法，以解决现有的电力物联网系统的安全性较低问题。根据第一方面，本专利技术实施例提供了一种面向电力物联网设备和用户的零信任动态访问控制方法，包括：获取目标用户的历史交互数据以及目标电力物联网设备对应的层级推荐者的传递信任度；基于所述历史交互数据以及所述层级推荐者的传递信任度，分别确定所述目标电力物联网设备对所述目标用户的直接信任度以及间接信任度；根据所述直接信任度以及所述间接信任度，确定所述目标电力物联网设备对所述目标用户的实时信任度；基于所述实时信任度，控制所述目标用户对所述目标电力物联网设备的访问。本专利技术实施例提供的面向电力物联网设备和用户的零信任动态访问控制方法，利用历史用户数据以及层级推荐者的传递信任度，实时计算目标电力物联网设备对目标用户的实时信任度，并利用该实时信任度实时控制目标用户对目标电力物联网设备的访问，该方法是将目标用户与其访问的目标电力物联网设备进行关联计算，而避免采用边界防护的方案，提高了电力物联网系统的安全性。可选地，所述历史交互数据包括预设时间间隔内所述目标用户的交互次数、交互失败的次数以及访问的各个电力物联网设备；其中，所述基于所述历史交互数据以及所述层级推荐者的传递信任度，分别确定所述目标电力物联网设备对所述目标用户的直接信任度以及间接信任度，包括：利用所述目标用户的交互次数以及所述交互失败的次数，计算所述目标用户的直接知识；利用所述目标用户的交互次数、所述交互失败的次数以及访问的各个电力物联网设备，计算所述目标用户的直接经验；基于所述直接知识以及所述直接经验，确定所述直接信任度；利用所述层级推荐者的数量以及所述层级推荐者的传递信任度，确定所述间接信任度。本专利技术实施例提供的面向电力物联网设备和用户的零信任动态访问控制方法，在进行直接信任度计算时通过分别计算直接知识以及直接经验再将两者结合得到直接信任度，保证了直接信任度计算的可靠性；且在计算间接信任度时，利用信任的可传递性进行的，提高了间接信任度计算的准确性。可选地，采用如下公式计算所述直接信任度：DT＝μDE+(1-μ)DK其中，DT为所述直接信任度；DE为所述直接经验；DK为所述直接知识；μ为常数，μ∈(0，1)；n为所述目标用户的交互次数；wi为第i次交互所占的比重；λi为惩罚因子；ei为第i次交互的电力物联网设备；f为交互失败的次数；sl为服务等级因子，且sl∈[1，100]。可选地，采用如下公式计算所述间接信任度：其中，IT(Ri，Rj)为所述目标电力物联网设备Ri对所述目标用户Rj的间接信任度；n为所述层级推荐者的数量；DT′(Rk，Rj)为目标电力物联网设备对应的层级推荐者Rk对所述目标用户Rj的传递信任度；ω(Rk)为层级推荐者Rk对应的权重；l为预设层级数。本专利技术实施例提供的面向电力物联网设备和用户的零信任动态访问控制方法，通过对间接信任经过的级数来对不同级数进行不同的加权，即赋予不同层级推荐者以不同的权重，提高了间接信任度计算的准确性。可选地，所述根据所述直接信任度以及所述间接信任度，确定所述目标电力物联网设备对所述目标用户的实时信任度，包括：获取所述目标用户对所述电力物联网设备的历史最大访问次数、预设时间间隔内所述目标用户访问所述电力物联网设备的历史访问次数；利用所述层级推荐者的数量计算信任度权重；基于所述历史最大访问次数、所述历史访问次数、所述信任度权重、所述直接信任度以及所述间接信任度，确定实时信任度评估值；基于所述实时信任度评估值，确定所述实时信任度。本专利技术实施例提供的面向电力物联网设备和用户的零信任动态访问控制方法，通过直接信任度以及间接信任度进行实时信任度评估值的计算，且在此基础上确定实时信任度，提高了实时信任度计算的准确性，为后续电力物联网系统的安全防护提供了可靠保障。可选地，采用如下公式计算所述实时信任度评估值：其中，T(Ri，Rj)为所述目标电力物联网设备Ri对所述目标用户Rj的实时信任度评估值；IT(Ri，Rj)为所述目标电力物联网设备Ri对所述目标用户Rj的间接信任度；N为所述历史最大访问次数；n为历史访问次数；DT′(Ri，Rj)为目标电力物联网设备对应的层级推荐者Ri对所述目标用户Rj的传递信任度；为所述层级推荐者的数量；nall为与所述目标用户存在直接信任关系的电力物联网设备的数量；为调节因子，且α∈(0，1)。可选地，所述基于所述实时信任度评估值，确定所述实时信任度，包括：获取所述目标电力物联网设备和所述目标用户的当前行为风险评估值、上一次行为风险评估值以及所述目标用户访问所述目标电力物联网设备的危险行为次数；利用所述上一次行为风险评估值，确定所述目标用户的访问状态；其中，所述访问状态为正常行为，或危险行为；基于所述目标用户的访问状态以及所述上一次行为风险评估值，确定实时风险评估值；基于所述实时风险评估值以及所述实时信任度评估值，确定所述实时信任度。本专利技术实施例提供的面向电力物联网设备和用户的零信任动态访问控制方法，在实时信任度评估值的基础上结合实时风险评估值，再从访问行为角度进行评估，提高了实时信任度计算的准确性。可选地，采用如下公式计算所述实时风险评估值：其中，R为所述实时风险评估值；R0为上一次风险评估值；R′为所述上一次行为风险评估值；c为所述危险行为次数；α为风险衰减因子，且α∈[0.5，1]；μ为常数，且μ∈[1，2]本文档来自技高网...

【技术保护点】
1.一种面向电力物联网设备和用户的零信任动态访问控制方法，其特征在于，包括：/n获取目标用户的历史交互数据以及目标电力物联网设备对应的层级推荐者的传递信任度；/n基于所述历史交互数据以及所述层级推荐者的传递信任度，分别确定所述目标电力物联网设备对所述目标用户的直接信任度以及间接信任度；/n根据所述直接信任度以及所述间接信任度，确定所述目标电力物联网设备对所述目标用户的实时信任度；/n基于所述实时信任度，控制所述目标用户对所述目标电力物联网设备的访问。/n

【技术特征摘要】
1.一种面向电力物联网设备和用户的零信任动态访问控制方法，其特征在于，包括：
获取目标用户的历史交互数据以及目标电力物联网设备对应的层级推荐者的传递信任度；
基于所述历史交互数据以及所述层级推荐者的传递信任度，分别确定所述目标电力物联网设备对所述目标用户的直接信任度以及间接信任度；
根据所述直接信任度以及所述间接信任度，确定所述目标电力物联网设备对所述目标用户的实时信任度；
基于所述实时信任度，控制所述目标用户对所述目标电力物联网设备的访问。


2.根据权利要求1所述的方法，其特征在于，所述历史交互数据包括预设时间间隔内所述目标用户的交互次数、交互失败的次数以及访问的各个电力物联网设备；其中，所述基于所述历史交互数据以及所述层级推荐者的传递信任度，分别确定所述目标电力物联网设备对所述目标用户的直接信任度以及间接信任度，包括：
利用所述目标用户的交互次数以及所述交互失败的次数，计算所述目标用户的直接知识；
利用所述目标用户的交互次数、所述交互失败的次数以及访问的各个电力物联网设备，计算所述目标用户的直接经验；
基于所述直接知识以及所述直接经验，确定所述直接信任度；
利用所述层级推荐者的数量以及所述层级推荐者的传递信任度，确定所述间接信任度。


3.根据权利要求2所述的方法，其特征在于，采用如下公式计算所述直接信任度：
DT＝μDE+(1-μ)DK












其中，DT为所述直接信任度；DE为所述直接经验；DK为所述直接知识；μ为常数，μ∈(0,1)；n为所述目标用户的交互次数；wi为第i次交互所占的比重；λi为惩罚因子；ei为第i次交互的电力物联网设备；f为交互失败的次数；sl为服务等级因子，且sl∈[1,100]。


4.根据权利要求2所述的方法，其特征在于，采用如下公式计算所述间接信任度：






其中，IT(Ri,Rj)为所述目标电力物联网设备Ri对所述目标用户Rj的间接信任度；n为所述层级推荐者的数量；DT′(Rk,Rj)为目标电力物联网设备对应的层级推荐者Rk对所述目标用户Rj的传递信任度；ω(Rk)为层级推荐者Rk对应的权重；l为预设层级数。


5.根据权利要求1所述的方法，其特征在于，所述根据所述直接信任度以及所述间接信任度，确定所述目标电力物联网设备对所述目标用户的实时信任度，包括：
获取所述目标用户对所述电力物联网设备的历史最大访问次数、预设时间间隔内所述目标用户访问所述电力物联网设备的历史访问次数；
利用所述层级推荐者的数量计算信任度权重；
基于所述历史最大访问次数、所述历史访问次数、所述信任度权重、所述直接信任度以及所述间接信任度，确定实时信任度评估值；
基于所述实时信任度评估值，确定所述实时信任度。


6.根据权利要求5所述的方法，其特征在于，采用如下公式计算所述实时信任度评估值：









其中，T(Ri,Rj)为所述目标电力物联网设备Ri对所述目标用户Rj的实时信任度评估值；IT(Ri,Rj)为所述目标电...

【专利技术属性】
技术研发人员：石聪聪，姚启桂，费稼轩，范杰，陈连栋，
申请(专利权)人：全球能源互联网研究院有限公司，国网河北省电力有限公司信息通信分公司，国网河北省电力有限公司，国家电网有限公司，
类型：发明
国别省市：北京;11