一種基于電力系統(tǒng)安全標(biāo)簽的強制訪問控制方法
【專利摘要】本發(fā)明涉及一種基于電力系統(tǒng)安全標(biāo)簽的強制訪問控制方法,將電力生產(chǎn)控制類系統(tǒng)中的安全標(biāo)簽判定體系與可信計算密碼平臺相結(jié)合的雙控制體系,對系統(tǒng)訪問請求進行雙重判定,建立一種雙備份、雙保險的強制訪問控制體系;解決了目前電力生產(chǎn)控制類系統(tǒng)安全標(biāo)簽體系面臨的安全隱患,防止越權(quán)訪問,且不容易被旁路。
【專利說明】一種基于電力系統(tǒng)安全標(biāo)簽的強制訪問控制方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種強制訪問控制方法,具體涉及一種基于電力系統(tǒng)安全標(biāo)簽的強制訪問控制方法。
【背景技術(shù)】
[0002]遠程瀏覽業(yè)務(wù)現(xiàn)主要應(yīng)用于省際跨域瀏覽業(yè)務(wù)中,當(dāng)某省發(fā)起遠程瀏覽請求時,攜帶用戶身份標(biāo)簽的請求被轉(zhuǎn)發(fā)到目的省代理服務(wù)器進行處理,在被確定是遠程瀏覽服務(wù)請求后,查驗其身份標(biāo)簽。
[0003]首先取出身份標(biāo)簽中的權(quán)限數(shù)據(jù),同時在本地的安全標(biāo)簽中查找服務(wù)的權(quán)限數(shù)據(jù),將兩份標(biāo)簽的權(quán)限數(shù)據(jù)部分進行異或操作;如果權(quán)限不允許,拒絕此請求,同時向源端發(fā)送權(quán)限拒絕錯誤信息。如果驗證通過,代理端處理安全標(biāo)簽的格式,并向SCADA服務(wù)器端發(fā)起建立安全認證接口請求,SCADA服務(wù)器端將再次驗證代理發(fā)來的安全標(biāo)簽,驗證過程同上。驗證通過后,接受此請求,進行后續(xù)的流程處理。
[0004]如圖2所示,遠程瀏覽業(yè)務(wù)流程主要涵蓋人機端、遠端代理服務(wù)器、遠端SCADA服務(wù)端等三個階段,具體業(yè)務(wù)流程如下:
[0005]人機端:用戶通過指紋登錄,登錄時通過驗證用戶的安全標(biāo)簽判定用戶的合法身份;驗證通過后,操作員發(fā)起遠程瀏覽指令進入指紋驗證;并向遠程代理服務(wù)器發(fā)起連接請求;連接成功后,通過驗證用戶的安全標(biāo)簽來判別用戶是否有發(fā)起連接請求的權(quán)限,如果有,則建立安全認證通訊接口,發(fā)送服務(wù)請求。
[0006]遠端代理服務(wù)器:人機端向跨域遠端代理發(fā)起連接請求,代理服務(wù)器響應(yīng)該請求;代理服務(wù)器向本地SCADA端發(fā)起連接請求;人機端向跨域遠端代理發(fā)起建立安全認證接口請求,請求中攜帶人機主體標(biāo)簽;遠端代理解析訪問請求,摘取人機主體標(biāo)簽;遠端代理根據(jù)本地保存的客體標(biāo)簽數(shù)據(jù),提取瀏覽服務(wù)的客體標(biāo)簽;遠端代理將人機主體標(biāo)簽與瀏覽服務(wù)的客體標(biāo)簽權(quán)限進行異或運算;查看人機是否有權(quán)進行瀏覽服務(wù),滿足權(quán)限則接受此請求,否則拒絕此請求;遠端代理向本地SCADA端發(fā)起建立安全認證接口請求,請求中攜帶轉(zhuǎn)化后的主體標(biāo)簽;人機端向跨域遠端代理發(fā)起服務(wù)連接請求,代理服務(wù)器響應(yīng)此請求;代理服務(wù)器向本地SCADA端發(fā)起連接請求。
[0007]遠端SCADA服務(wù)端:SCADA啟動,注冊服務(wù)總線;接收連接端的連接請求;驗證代理端轉(zhuǎn)換后的安全標(biāo)簽(驗證代理是否有請求某種服務(wù)的權(quán)限),通過后響應(yīng)建立安全認證接口請求;接收代理服務(wù)器服務(wù)請求,生成遠程瀏覽指令。
[0008]當(dāng)操作員對電廠下發(fā)控制命令時,使用下發(fā)控制命令服務(wù);控制命令下發(fā)后,人機端需要與SCADA服務(wù)器建立安全認證接口,攜帶安全標(biāo)簽的安全認證接口請求將被發(fā)送到SCADA服務(wù)器端,SCADA服務(wù)器端將定位用戶安全標(biāo)簽的位置,并將操作員的權(quán)限的數(shù)據(jù)取出,同時查取本地的服務(wù)安全標(biāo)簽的權(quán)限數(shù)據(jù),權(quán)限比對通過,則建立認證接口,提供后續(xù)的服務(wù);否則,無法建立安全認證接口,將拒絕的錯誤的信息發(fā)送給人機端。
[0009]如圖3所示,下發(fā)控制命令業(yè)務(wù)流程主要涵蓋人機端、SCADA服務(wù)端兩個階段,具體業(yè)務(wù)流程如下:
[0010]人機端:用戶通過指紋登錄,在登錄過程中,通過驗證用戶的安全標(biāo)簽來驗證用戶的合法身份;驗證通過后,操作員準備發(fā)起控制指令,再次進行指紋驗證;指紋驗證后,向SCADA服務(wù)總線發(fā)起連接請求;連接成功后,驗證用戶的安全標(biāo)簽(驗證用戶是否有發(fā)起連接請求的權(quán)限),通過后建立安全認證通訊接口 ;安全認證接口建立完畢,發(fā)送服務(wù)請求。
[0011]SCADA服務(wù)端:SCADA啟動,注冊服務(wù)總線;接受連接端連接請求;通過驗證用戶安全標(biāo)簽驗證用戶是否有請求某種服務(wù)的權(quán)限,通過后響應(yīng)建立安全認證接口請求;接收人機端服務(wù)請求,生成控制指令。
[0012]通過安全管理員對系統(tǒng)中的主體、客體進行統(tǒng)一標(biāo)記,對主體進行授權(quán),配置一致的安全策略,并確保標(biāo)記、授權(quán)和安全策略的數(shù)據(jù)完整性。
[0013]如圖2所示,系統(tǒng)在初始化過程中,可信安全管理中心需要對系統(tǒng)中的所有主體和客體實施身份管理、標(biāo)記管理、授權(quán)管理和策略管理。身份管理確定系統(tǒng)中的所有合法用戶的身份、工作密鑰及證書等與安全相關(guān)的內(nèi)容;標(biāo)記管理是根據(jù)業(yè)務(wù)系統(tǒng)的需要,結(jié)合客體資源的重要程度確定系統(tǒng)中所有客體資源的安全級,生成全局客體標(biāo)記列表。同時根據(jù)用戶在業(yè)務(wù)系統(tǒng)中的權(quán)限和角色確定主體的安全標(biāo)記,生成全局主體標(biāo)記列表;授權(quán)管理根據(jù)系統(tǒng)需求和安全狀況授予用戶訪問客體資源能力的權(quán)限,生成強制訪問控制列表和特權(quán)列表;策略管理則是根據(jù)節(jié)點系統(tǒng)的需求生成和執(zhí)行主體相關(guān)的策略,包括強制訪問控制策略及級別改變檢查策略等,供節(jié)點系統(tǒng)執(zhí)行。除此之外,系統(tǒng)審計員需要通過可信安全管理中心制定系統(tǒng)審計策略,實施系統(tǒng)的審計管理。
[0014]利用上述方法,其系統(tǒng)中的安全標(biāo)簽由應(yīng)用系統(tǒng)控制管理,執(zhí)行機制容易被繞過,其管理控制的細粒度、擴展性和定制性不強,安全性差;安全標(biāo)簽制定的安全內(nèi)容無法廣泛適用,不能根據(jù)不同業(yè)務(wù)系統(tǒng)定制策略伸縮調(diào)整。
【發(fā)明內(nèi)容】
[0015]針對現(xiàn)有技術(shù)的問題,本發(fā)明提出一種基于電力系統(tǒng)安全標(biāo)簽的強制訪問控制方法,將電力生產(chǎn)控制類系統(tǒng)中的安全標(biāo)簽判定體系與可信計算密碼平臺相結(jié)合的雙控制體系,對系統(tǒng)訪問請求經(jīng)過兩種訪問控制類別的雙重判定。解決了目前電力生產(chǎn)控制類系統(tǒng)安全標(biāo)簽體系面臨的安全隱患,使安全標(biāo)簽的安全強度大大提升,防止越權(quán)訪問,且不容易被芳路。
[0016]本發(fā)明的目的是采用下述技術(shù)方案實現(xiàn)的:
[0017]一種基于電力系統(tǒng)安全標(biāo)簽的強制訪問控制方法,所述方法將電力生產(chǎn)控制類系統(tǒng)中的安全標(biāo)簽判定體系與可信計算密碼平臺相結(jié)合的雙控制體系,對系統(tǒng)訪問請求進行雙重判定,所述方法包括下述步驟:
[0018](I)可信計算密碼平臺截獲客戶端發(fā)送的系統(tǒng)訪問請求;
[0019](2)提取請求中的主體安全標(biāo)簽,判定合法身份;
[0020](3)將所述可信計算密碼平臺合法的身份訪問請求發(fā)送至安全標(biāo)簽判定體系,進行二次判定;
[0021](4)雙控制體系判定通過后,接受系統(tǒng)訪問請求。
[0022]優(yōu)選的,所述可信計算密碼平臺部署在SCADA服務(wù)器上。
[0023]優(yōu)選的,當(dāng)任一種體系功能失效時,另一種訪問控制體系阻止對電力生產(chǎn)控制類系統(tǒng)的越權(quán)訪問。
[0024]優(yōu)選的,所述步驟(I)中,所述系統(tǒng)訪問請求包括:遠端瀏覽服務(wù)和下發(fā)控制命令服務(wù);除遠端瀏覽服務(wù)和下發(fā)控制命令服務(wù)外,不控制其他服務(wù)。
[0025]優(yōu)選的,所述步驟(2)包括,可信計算密碼平臺強制訪問控制體系只對服務(wù)請求的第一個數(shù)據(jù)包截獲,并進行權(quán)限判定;標(biāo)記通過的服務(wù)請求和被標(biāo)記的服務(wù)請求后續(xù)交互數(shù)據(jù)將不再判定。
[0026]進一步地,所述步驟⑵包括,當(dāng)攜帶安全標(biāo)簽的訪問請求到達時,首先經(jīng)過可信計算密碼平臺提供的內(nèi)核級高強度的訪問控制的策略判定;根據(jù)被訪問服務(wù)的端口號,在端口服務(wù)對應(yīng)列表中尋找對應(yīng)的服務(wù)名稱;再通過服務(wù)名稱在客體標(biāo)簽列表找中找到相應(yīng)的客體標(biāo)簽;將主體安全標(biāo)簽中權(quán)限值與客體標(biāo)簽中的權(quán)限值進行異或運算;如果權(quán)限判定通過,放行數(shù)據(jù)包并進入下一步,否則,關(guān)閉此連接。
[0027]優(yōu)選的,所述步驟(3)中,所述可信計算密碼平臺的判定,包括本地客體服務(wù)標(biāo)簽列表、端口與服務(wù)對應(yīng)關(guān)系表和安全標(biāo)簽在請求數(shù)據(jù)包的實際偏移量及格式。
[0028]優(yōu)選的,所述步驟(4)中雙控制體系全部判定通過,則允許請求通過,任何一個雙控制體系拒絕,則拒絕此訪問請求。
[0029]與最接近的現(xiàn)有技術(shù)比,本發(fā)明的優(yōu)異效果為:
[0030](I)本方案將電力生產(chǎn)控制類系統(tǒng)中的安全標(biāo)簽判定體系與可信計算密碼平臺的強制訪問控制體系進行了有機的結(jié)合,對系統(tǒng)訪問請求經(jīng)過兩種訪問控制類別的雙重判定,形成一種“雙備份”的強制訪問控制體系,即便任何一種訪問控制體系由于某種原因?qū)е鹿δ苁?,另外一種訪問控制體系仍然可以阻止對電力生產(chǎn)控制類系統(tǒng)的越權(quán)訪問,提高了安全性。
[0031](2)可信計算密碼平臺的強制訪問控制體系提供內(nèi)核級的安全訪問控制,電力生產(chǎn)控制類系統(tǒng)安全標(biāo)簽體系提供基于應(yīng)用級別的訪問控??尚庞嬎忝艽a平臺的強制訪問控制體系粒度更細,處于操作系統(tǒng)底層,不容易被旁路,任何攜帶安全標(biāo)簽的服務(wù)的權(quán)限判定都會優(yōu)先經(jīng)過可信計算密碼平臺的判定,只有經(jīng)過可信計算密碼平臺的判定通過之后,才會提交給應(yīng)用級安全標(biāo)簽判定機制進行判定。
【專利附圖】
【附圖說明】
[0032]如圖1所示為本發(fā)明提供的強制訪問控制方法流程圖;
[0033]如圖2所示為【背景技術(shù)】提供的遠程瀏覽業(yè)務(wù)流程圖
[0034]如圖3所示為【背景技術(shù)】提供的下發(fā)控制命令業(yè)務(wù)流程圖
[0035]如圖4所示為本發(fā)明提供的融合可信計算密碼平臺的強制訪問控制體系
[0036]如圖5所示為本發(fā)明提供的嵌入可信計算密碼平臺的遠程瀏覽業(yè)務(wù)流程圖
[0037]如圖6所示為本發(fā)明提供的嵌入可信計算密碼平臺下發(fā)控制命令業(yè)務(wù)流程圖
【具體實施方式】
[0038]下面結(jié)合附圖對本發(fā)明作進一步詳細說明。
[0039]如圖1所示,一種基于電力系統(tǒng)安全標(biāo)簽的強制訪問控制方法,將電力生產(chǎn)控制類系統(tǒng)中的安全標(biāo)簽判定體系與可信計算密碼平臺相結(jié)合的雙控制體系,對系統(tǒng)訪問請求進行雙重判定,所述方法包括下述步驟:
[0040](I)可信計算密碼平臺截獲客戶端發(fā)送的系統(tǒng)訪問請求;所述系統(tǒng)訪問請求包括:遠端瀏覽服務(wù)和下發(fā)控制命令服務(wù);
[0041]除遠端瀏覽服務(wù)和下發(fā)控制命令服務(wù)外,不控制其他服務(wù)。
[0042](2)提取請求中的主體安全標(biāo)簽,判定合法身份;可信計算密碼平臺強制訪問控制體系只對服務(wù)請求的第一個數(shù)據(jù)包截獲,并進行權(quán)限判定;標(biāo)記通過的服務(wù)請求和被標(biāo)記的服務(wù)請求后續(xù)交互數(shù)據(jù)將不再判定。
[0043]所述步驟(2)包括,當(dāng)攜帶安全標(biāo)簽的訪問請求到達時,首先經(jīng)過可信計算密碼平臺提供的內(nèi)核級高強度的訪問控制的策略判定;根據(jù)被訪問服務(wù)的端口號,在端口服務(wù)對應(yīng)列表中尋找對應(yīng)的服務(wù)名稱;再通過服務(wù)名稱在客體標(biāo)簽列表找中找到相應(yīng)的客體標(biāo)簽;將主體安全標(biāo)簽中權(quán)限值與客體標(biāo)簽中的權(quán)限值進行異或運算;如果權(quán)限判定通過,放行數(shù)據(jù)包并進入下一步,否則,關(guān)閉此連接。
[0044]所述步驟(3)判定通過后,將所述可信計算密碼平臺訪問請求發(fā)送至安全標(biāo)簽判定體系,進行二次判定;
[0045]所述步驟(3)中,所述可信計算密碼平臺的判定,包括本地客體服務(wù)標(biāo)簽列表、端口與服務(wù)對應(yīng)關(guān)系表和安全標(biāo)簽在請求數(shù)據(jù)包的實際偏移量及格式。
[0046](4)雙控制體系判定通過后,接受系統(tǒng)訪問請求。所述步驟(4)中雙控制體系全部判定通過,則允許請求通過,任何一個雙控制體系拒絕,則拒絕此訪問請求。
[0047]所述可信計算密碼平臺部署在SCADA服務(wù)器上;當(dāng)任一種訪問控制體系功能失效時,另一種訪問控制體系仍然可以阻止對電力生產(chǎn)控制類系統(tǒng)的越權(quán)訪問。
[0048]如圖4 所示,用戶(userI,權(quán)限標(biāo)識 0x00000001,users2,權(quán)限標(biāo)識 0x00000000)使用遠端瀏覽服務(wù)(服務(wù)權(quán)限標(biāo)識0x00000001)。
[0049]當(dāng)userl使用遠端瀏覽服務(wù),當(dāng)請求在代理端被截獲之后,可信計算密碼平臺首先把userl的權(quán)限標(biāo)識0x00000001取出來,同時在本地的服務(wù)列表中尋找遠端瀏覽服務(wù)的權(quán)限標(biāo)識,把遠端瀏覽服務(wù)的權(quán)限標(biāo)識0x00000001提取出來,將用戶和服務(wù)的主客體權(quán)限標(biāo)識進行異或運算(OxOOOOOOOlxor 0x00000001 = 0),判定通過,則允許其發(fā)起遠程瀏覽請求。
[0050]當(dāng)user2發(fā)起遠程瀏覽請求時,由于其權(quán)限判定不通過(0x00000000xor0x00000001 = I),則不允許其發(fā)起遠程瀏覽請求。
[0051]如圖5所示,遠程瀏覽業(yè)務(wù)主要用于省際跨域瀏覽業(yè)務(wù),當(dāng)某省發(fā)起遠程瀏覽請求時,攜帶用戶的身份標(biāo)簽的請求將被轉(zhuǎn)發(fā)到目的省的代理服務(wù)器進行處理,目的省的代理服務(wù)器將收到的請求分析處理。確定是遠程瀏覽服務(wù)請求之后,則查驗其身份標(biāo)簽。首先將身份標(biāo)簽中權(quán)限數(shù)據(jù)取出,同時在本地的安全標(biāo)簽中查找服務(wù)的權(quán)限數(shù)據(jù),將兩份標(biāo)簽的權(quán)限數(shù)據(jù)部分進行異或操作,如果權(quán)限不允許,則拒絕此請求,并向源端發(fā)送權(quán)限拒絕錯誤信息。如果驗證通過,代理端將安全標(biāo)簽進行格式處理后向SCADA服務(wù)器端發(fā)起建立安全認證接口請求,SCADA服務(wù)器端的可信計算密碼平臺將首先對此應(yīng)用標(biāo)簽進行策略判定,如果判定通過再提交給應(yīng)用級安全標(biāo)簽判定機制進行二次判定。任何一種判定機制判定不通過,都將拒絕此請求。驗證通過后,接受此請求,進行后續(xù)的本地業(yè)務(wù)流程處理。
[0052]嵌入可信計算密碼平臺的遠程瀏覽服務(wù)的主要業(yè)務(wù)流程如下:
[0053]人機端:
[0054]A.用戶通過指紋登錄,在登錄過程中要驗證用戶的安全標(biāo)簽,驗證用戶的合法身份);
[0055]B.驗證通過后,操作員準備發(fā)起遠程瀏覽指令,再次進行指紋驗證;
[0056]C.指紋驗證后,向遠程代理服務(wù)器發(fā)起連接請求;
[0057]D.連接成功后,驗證用戶的安全標(biāo)簽(驗證用戶是否有發(fā)起連接請求的權(quán)限),通過后建立安全認證通訊接口;
[0058]E.安全認證接口建立完畢,發(fā)送服務(wù)請求。
[0059]遠端代理服務(wù)器:
[0060]A.人機端向跨域遠端代理發(fā)起連接請求,代理服務(wù)器響應(yīng)此請求;
[0061]B.代理服務(wù)器向本地SCADA端發(fā)起連接請求;
[0062]C.人機端向跨域遠端代理發(fā)起建立安全認證接口請求,請求中攜帶人機主體標(biāo)簽;
[0063]D.遠端代理解析訪問請求,摘取人機主體標(biāo)簽;
[0064]E.遠端代理根據(jù)本地保存的客體標(biāo)簽數(shù)據(jù),提取瀏覽服務(wù)的客體標(biāo)簽;
[0065]F.遠端代理將人機主體標(biāo)簽與瀏覽服務(wù)的客體標(biāo)簽權(quán)限進行異或運算;
[0066]G.查看人機是否有權(quán)進行瀏覽服務(wù),滿足權(quán)限則接受此請求,否則拒絕此請求;
[0067]H.遠端代理向本地SCADA端發(fā)起建立安全認證接口請求,請求中攜帶轉(zhuǎn)化后的主體標(biāo)簽;
[0068]1.人機端向跨域遠端代理發(fā)起服務(wù)連接請求,代理服務(wù)器響應(yīng)此請求;
[0069]J.代理服務(wù)器向本地SCADA端發(fā)起連接請求。
[0070]遠端SCADA服務(wù)端:
[0071]A.SCADA啟動,注冊服務(wù)總線;
[0072]B.接受連接端連接請求;
[0073]C.可信計算密碼平臺首先截獲安全認證接口建立請求,通過驗證代理端轉(zhuǎn)換后的安全標(biāo)簽判定代理是否有請求某種服務(wù)的權(quán)限;
[0074]D.通過后提交應(yīng)用級安全標(biāo)簽進行再次驗證;
[0075]E.雙強制訪問控制策略全部驗證通過后,響應(yīng)建立安全認證接口請求;
[0076]F.接收代理服務(wù)器服務(wù)請求,生成遠程瀏覽指令。
[0077]如圖6所示,當(dāng)操作員對電廠下發(fā)控制命令時需要使用下發(fā)控制命令服務(wù)。操作員下發(fā)控制命令之后,人機端與SCADA服務(wù)器建立安全認證接口,攜帶安全標(biāo)簽的安全認證接口請求將被發(fā)送到SCADA服務(wù)器端,SCADA服務(wù)器端的可信計算密碼平臺將首先對此應(yīng)用標(biāo)簽進行策略判定,可信計算密碼平臺將定位用戶安全標(biāo)簽的位置,并將操作員的權(quán)限的數(shù)據(jù)取出,同時查取本地的服務(wù)安全標(biāo)簽的權(quán)限數(shù)據(jù),進行權(quán)限數(shù)據(jù)的比對,權(quán)限比對通過,將提交給應(yīng)用級安全標(biāo)簽判定機制進行二次判定;驗證通過后,接受此請求,建立認證接口,提供后續(xù)的服務(wù)。任何一種判定機制判定不通過,都將拒絕訪問請求。
[0078]嵌入可信計算密碼平臺的下發(fā)控制命令服務(wù)的工作流程如下:
[0079]人機端:
[0080]A.用戶通過指紋登錄,在登錄過程中要驗證用戶的安全標(biāo)簽(驗證用戶的合法身份);
[0081]B.驗證通過后,操作員準備發(fā)起控制指令,再次進行指紋驗證;
[0082]C.指紋驗證后,向SCADA服務(wù)總線發(fā)起連接請求;
[0083]D.連接成功后,驗證用戶的安全標(biāo)簽(驗證用戶是否有發(fā)起連接請求的權(quán)限),通過后建立安全認證通訊接口;
[0084]E.安全認證接口建立完畢,發(fā)送服務(wù)請求。
[0085]SCADA 服務(wù)端:
[0086]A.SCADA啟動,注冊服務(wù)總線;
[0087]B.接受連接端連接請求;
[0088]C.可信計算密碼平臺首先截獲安全認證接口建立請求,驗證請求中攜帶的安全標(biāo)簽(驗證用戶是否有請求某種服務(wù)的權(quán)限);
[0089]D.通過后提交應(yīng)用級安全標(biāo)簽進行再次驗證;
[0090]E.雙強制訪問控制策略全部驗證通過后,響應(yīng)建立安全認證接口請求;
[0091]F.接收人機端服務(wù)請求,生成控制指令。
[0092]最后應(yīng)當(dāng)說明的是:以上實施例僅用以說明本發(fā)明的技術(shù)方案而非對其限制,盡管參照上述實施例對本發(fā)明進行了詳細的說明,所屬領(lǐng)域的普通技術(shù)人員依然可以對本發(fā)明的【具體實施方式】進行修改或者等同替換,而這些未脫離本發(fā)明精神和范圍的任何修改或者等同替換,其均在申請待批的本發(fā)明的權(quán)利要求保護范圍之內(nèi)。
【權(quán)利要求】
1.一種基于電力系統(tǒng)安全標(biāo)簽的強制訪問控制方法,所述方法將電力生產(chǎn)控制類系統(tǒng)中的安全標(biāo)簽判定體系與可信計算密碼平臺相結(jié)合的雙控制體系,對系統(tǒng)訪問請求進行雙重判定,其特征在于,所述方法包括下述步驟: (1)可信計算密碼平臺截獲客戶端發(fā)送的系統(tǒng)訪問請求; (2)提取請求中的主體安全標(biāo)簽,判定合法身份; (3)將所述可信計算密碼平臺合法的身份訪問請求發(fā)送至安全標(biāo)簽判定體系,進行二次判定; (4)雙控制體系判定通過后,接受系統(tǒng)訪問請求。
2.如權(quán)利要求1所述的強制訪問控制方法,其特征在于,所述可信計算密碼平臺部署在SCADA服務(wù)器上。
3.如權(quán)利要求1所述的強制訪問控制方法,其特征在于,所述方法包括,當(dāng)任一種體系功能失效時,另一種訪問控制體系阻止對電力生產(chǎn)控制類系統(tǒng)的越權(quán)訪問。
4.如權(quán)利要求1所述的強制訪問控制方法,其特征在于,所述步驟(I)中,所述系統(tǒng)訪問請求包括:遠端瀏覽服務(wù)和下發(fā)控制命令服務(wù); 除遠端瀏覽服務(wù)和下發(fā)控制命令服務(wù)外,不控制其他服務(wù)。
5.如權(quán)利要求1所述的強制訪問控制方法,其特征在于,所述步驟⑵包括,可信計算密碼平臺強制訪問控制體系只對服務(wù)請求的第一個數(shù)據(jù)包截獲,并進行權(quán)限判定;標(biāo)記通過的服務(wù)請求和被標(biāo)記的服務(wù)請求后續(xù)交互數(shù)據(jù)將不再判定。
6.如權(quán)利要求1所述的強制訪問控制方法,其特征在于,所述步驟⑵包括,當(dāng)攜帶安全標(biāo)簽的訪問請求到達時,首先經(jīng)過可信計算密碼平臺提供的內(nèi)核級高強度的訪問控制的策略判定;根據(jù)被訪問服務(wù)的端口號,在端口服務(wù)對應(yīng)列表中尋找對應(yīng)的服務(wù)名稱;再通過服務(wù)名稱在客體標(biāo)簽列表找中找到相應(yīng)的客體標(biāo)簽;將主體安全標(biāo)簽中權(quán)限值與客體標(biāo)簽中的權(quán)限值進行異或運算;如果權(quán)限判定通過,放行數(shù)據(jù)包并進入下一步,否則,關(guān)閉此連接。
7.如權(quán)利要求1所述的強制訪問控制方法,其特征在于,所述步驟(3)中,所述可信計算密碼平臺的判定,包括本地客體服務(wù)標(biāo)簽列表、端口與服務(wù)對應(yīng)關(guān)系表和安全標(biāo)簽在請求數(shù)據(jù)包的實際偏移量及格式。
8.如權(quán)利要求1所述的強制訪問控制方法,其特征在于,所述步驟(4)中雙控制體系全部判定通過,則允許請求通過,任何一個雙控制體系拒絕,則拒絕此訪問請求。
【文檔編號】H04L9/32GK104504340SQ201410821099
【公開日】2015年4月8日 申請日期:2014年12月25日 優(yōu)先權(quán)日:2014年12月25日
【發(fā)明者】王志皓, 郭子明, 趙保華, 宋磊, 楊博龍, 邢金, 戚岳, 李新鵬, 劉軍娜, 閻博 申請人:國家電網(wǎng)公司, 中國電力科學(xué)研究院, 國網(wǎng)冀北電力有限公司