【技术实现步骤摘要】
本专利技术涉及电力终端访问控制,特别是涉及一种基于动态风险评估的电力终端综合访问控制方法、系统、计算机设备及存储介质。
技术介绍
1、随着电力物联网等新技术应用以及现货市场“源-网-荷-储”协同控制等二次业务快速发展,网络边界不断延伸,节点设备大幅度增加,功能应用更加深入,数据交互更加广泛,使得电力物联网暴露面大幅度增加,海量异构终端广泛连接带来了网络边界模糊化和接入场景多样化的同时,电力物联网架构愈发庞大复杂,新能源及分布式能源占比越来越高,终端安全防护不到位及安全管理问题突出。
2、当前电力系统网络安全防护体系主要是以边界隔离防护为主,通过在网络区域之间部署横向隔离装置、在纵向边界部署加密认证装置,结合采用“一次认证,持续信任”机制对电力终端设备进行依赖于pki证书体系和流量异常分析的信任评估,并依据信任评估结果设置安全访问控制级别的基于静态边界的安全防护体系。然而,在实际应用中,电力终端入网后,接入电网业务不断增加且终端设备工作环境也不断发生变化,若仅基于静态属性进行权限判定,缺少对电力终端访问行为的动态监测评估,则会因安全认证与信任度评估不足,而直接漏掉电力终端设备带来潜在安全威胁,导致危及电力系统网络的安全运行,难以有效满足电力业务发展需求,且不利于电力物联网的建设和推广。
技术实现思路
1、本专利技术的目的是提供一种电力终端综合访问控制方法,通过设计一种面向本地通信网同时考虑静态属性和访问行为的电力终端持续信任评估及动态访问控制的安全控制机制,能够自适应真实
2、为了实现上述目的,有必要针对上述技术问题,提供一种电力终端综合访问控制方法、系统、计算机设备及存储介质。
3、第一方面,本专利技术实施例提供了一种电力终端综合访问控制方法,所述方法包括以下步骤:
4、响应于各个电力终端的入网注册,根据获取的对应终端基本信息,生成对应的终端安全服务等级和终端初始信任值,并根据所述终端初始信任值,执行对应的终端访问控制策略;
5、实时获取单位时间在网终端数目和各个电力终端的动态行为信息,并根据所述单位时间在网终端数目,生成在线终端数信任值,根据所述动态行为信息,生成对应的终端行为信任值,以及根据所述终端安全服务等级、所述终端行为信任值和所述在线终端数信任值,得到对应的终端实时信任评估值;
6、获取各个电力终端的预设数目个终端历史信任评估值,并将所述终端实时信任评估值和对应的终端历史信任评估值进行综合分析,得到对应的终端综合信任值,以及根据所述终端综合信任值,更新对应的终端访问控制策略。
7、进一步地,所述终端基本信息包括身份id、通信协议和所属业务类型;
8、所述根据获取的对应终端基本信息,生成对应的终端安全服务等级和终端初始信任值的步骤包括:
9、根据所述终端基本信息中的身份id,判断所述电力终端是否为受控终端;
10、若否,则将对应的终端安全服务等级设为放通服务等级,并将对应的终端初始信任值设为放通信任值;
11、若是,则根据所述终端基本信息和预设终端身份认证机制进行终端身份认证,若未通过认证,则将对应的终端初始信任值设为最低信任值,反之,则根据所述终端基本信息的身份id、通信协议和所属业务类型,生成对应的终端安全服务等级,并根据所述终端安全服务等级和预设权重值,生成对应的终端初始信任值。
12、进一步地,所述在线终端数信任值表示为:
13、
14、式中,和分别表示 t时刻的单位时间在网终端数目和在线终端数信任值;e表示指数函数的底数。
15、进一步地,所述动态行为信息包括登录记录、网络通信记录和作业环境信息;所述作业环境信息包括cpu使用情况和内存使用情况;
16、所述根据所述动态行为信息,生成对应的终端行为信任值的步骤包括:
17、根据所述登录记录,计算对应单位时间内终端登录次数与预设标准登录次数的比值,得到对应的登录指标值;
18、根据所述网络通信记录,计算对应单位时间内协议通信次数与预设标准协议通信次数的比值,得到对应的通信指标值;
19、根据所述cpu使用情况,获取对应单位时间内cpu使用率超过预设标准cpu使用率的cpu使用异常次数,并计算所述cpu使用异常次数与预设cpu异常允许次数的比值,得到对应的cpu异常指标值;
20、根据所述内存使用情况,获取对应单位时间内内存使用率超过预设标准内存使用率的内存使用异常次数,并计算所述内存使用异常次数与预设内存异常允许次数的比值,得到对应的内存异常指标值;
21、根据所述登录指标值、所述通信指标值、所述cpu异常指标值和所述内存异常指标值进行终端行为综合信任评估,得到所述终端行为信任值。
22、进一步地,所述终端行为信任值表示为:
23、
24、式中,、、和分别表示 t时刻第 i个电力终端的登录指标值、通信指标值、cpu异常指标值和内存异常指标值;、、和表示指标值权重;表示 t时刻第 i个电力终端的终端行为信任值。
25、进一步地,所述终端实时信任评估值表示为:
26、
27、式中,表示第 i个电力终端的终端安全服务等级;表示 t时刻的在线终端数信任值;表示 t时刻第 i个电力终端的终端行为信任值;、和分别表示终端安全服务等级、在线终端数信任值和终端行为信任值对应的权重值;表示 t时刻第 i个电力终端的终端实时信任评估值。
28、进一步地,所述将所述终端实时信任评估值和对应的终端历史信任评估值进行综合分析,得到对应的终端综合信任值的步骤包括:
29、基于信任值衰减特性,计算各个终端历史信任评估值的历史信任衰减值;所述历史信任衰减值表示为:
30、
31、式中,表示第 i个电力终端的终端实时信任评估值对应的时刻;表示第 i个电力终端的第 j个终端历史信任评估值对应的时刻,且;表示第 i个电力终端时刻的终端历史信任评估值;表示衰减速率;表示第 i个电力终端时刻终本文档来自技高网...
【技术保护点】
1.一种电力终端综合访问控制方法,其特征在于,所述方法包括以下步骤:
2.如权利要求1所述的电力终端综合访问控制方法,其特征在于,所述终端基本信息包括身份ID、通信协议和所属业务类型;
3.如权利要求1所述的电力终端综合访问控制方法,其特征在于,所述在线终端数信任值表示为:
4.如权利要求1所述的电力终端综合访问控制方法,其特征在于,所述动态行为信息包括登录记录、网络通信记录和作业环境信息;所述作业环境信息包括CPU使用情况和内存使用情况;
5.如权利要求4所述的电力终端综合访问控制方法,其特征在于,所述终端行为信任值表示为:
6.如权利要求1所述的电力终端综合访问控制方法,其特征在于,所述终端实时信任评估值表示为:
7.如权利要求1所述的电力终端综合访问控制方法,其特征在于,所述将所述终端实时信任评估值和对应的终端历史信任评估值进行综合分析,得到对应的终端综合信任值的步骤包括:
8.一种电力终端综合访问控制系统,其特征在于,所述系统包括:
9.一种计算机设备,包括存储器、处理器及存储
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至7中任一所述方法的步骤。
...【技术特征摘要】
1.一种电力终端综合访问控制方法,其特征在于,所述方法包括以下步骤:
2.如权利要求1所述的电力终端综合访问控制方法,其特征在于,所述终端基本信息包括身份id、通信协议和所属业务类型;
3.如权利要求1所述的电力终端综合访问控制方法,其特征在于,所述在线终端数信任值表示为:
4.如权利要求1所述的电力终端综合访问控制方法,其特征在于,所述动态行为信息包括登录记录、网络通信记录和作业环境信息;所述作业环境信息包括cpu使用情况和内存使用情况;
5.如权利要求4所述的电力终端综合访问控制方法,其特征在于,所述终端行为信任值表示为:
6.如权利要求1所述的电力终端综合访问...
【专利技术属性】
技术研发人员:钱锦,罗少杰,陈超,杜猛俊,罗俊,樊立波,韩荣杰,孙智卿,方响,刘兴业,王剑,周波,李强强,屠永伟,倪夏冰,
申请(专利权)人:国网浙江省电力有限公司杭州供电公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。