| 摘要:文中从系统结构、模型以及 框架角度对电力综合自动化系统 中的访问控制技术进行了探析, 这一研究对于智能电网的发展具 有一定的参考价值。 【关键词】电力综合自动化 访问控制技术 系 统结构 框架 电网调度自动化、变电站自动化以及中 低压配电自动化是我国电力信息化的重要组成 部分。然而,这些信息系统往往是根据某个企 业甚至是某个部门自身需求而设计的,信息的 采集、加工和存储大多着眼于本企业或本部门 的信息,忽视了相互之间信息沟通和共享的要 求。本文基于这一背景,对电力综合自动化系 统中的访问控制技术完成了叙述,这一研究对 于智能电网的发展具有一定的参考价值。 1 电力综合自动化系统中的访问控制技 术 1.1 电力综合自动化系统 电力综合自动化系统的开发所采用的方 法是以组件为基础,设计了十二个子系统以满 足功能需求,从而实现系统的可扩展性以及复 用性。这十二个子系统分别为:组态系统、用 户管理系统、数据采集系统、系统管理器、实 时数据服务、数据发布系统、历史数据服务、 报警系统、监控系统、WEB 发布系统、报表 系统、SOE/PDR 系统以及其他辅助系统。它 们是由多个组件所组成的。可根据应用场合的 各种需求,通过一定的方式将子系统组装成相 应的服务器。要根据工IEC61850 与IEC61970 标准来建立系统数据模型。 1.2 访问控制模型 为了保护系统资源不被非法用户访问或 破坏,需要对电力综合自动化系统的所有子系 统中的某些操作权限进行判断。包括:对监控 系统的调控、数据转存以及报警系统输出方式 设置等,除此之外,用户登录或退出每个子系 统均需对其身份进行验证。要确保电力综合自 动化系统的安全稳定运行,对控制系统进行定 期或不定期的访问是十分关键的。 相比于自主访问和强制访问这两种控制 模型,传统RBAC 模型的优势显而易见,但 应用于电力综合自动化系统中却表现出了一些 缺点。如:传统RBAC 模型中权限的赋予对 象是一个客体,如果客体时常改变且数量种类 较多,那么权限分配以及维护就有一定的难度 了;该模型下授权只有一种方式,那就是角色, 从而使其应用具有一定的局限性;在角色继承 过程中,角色与被继承角色的用户是同一个人, 一旦角色权限改变了,将不便于对用户权限进 行管理。根据电力综合自动化系统的访问特点 以及基于RBAC 模型,出现了一种新的模型, 即ERBAC(ExpandedRBAC),以下为其结构及 规则示意图1。 1.3 电力综合自动化系统中访问控制的框架结 构 图2 为电力综合自动化系统的访问控制 系统结构示意图,可以看到该系统由以下几个 部分组成,即角色管理、用户管理、安全服务、 安全服务代理以及用户管理日志等五个组件。 其中,角色和用户的管理分别由角色管理与用 户管理这两个组件来完成,对用户身份进行认 证以及权限审查则由安全服务与安全服务代理 这两个组件来完成,审计功能由用户管理日志 组件来实现。没有历史与实时数据服务的支持, 任何一项功能都无法实现。历史数据服务为权 限管理提供了必不可少的工程资源数据;角色、 用户管理组件主要是对组态进行管理,对工程 角色与用户进行监控,组态结果的保存位置为 历史数据库;管理员需要通过身份认证和权限 审查才可监控子系统和进行权限管理操作及日 志记录管理,为了方便查找与分析,日志记录 存储位置为实时数据库。 2 数据安全访问 该系统主要通过多机冗余、集中鉴权与 本地鉴权相结合这两种手段来加强安全服务的 可靠性。多机冗余指的是系统包含一些安全服 务组件,当子系统要进行权限鉴别时,将与其 中的一个安全服务组件绑定,从而使某个安全 服务负担得以减轻,另外,还可在很大程度上 提高系统权限鉴别的效率。 集中鉴权与本地鉴权相结合的措施指的 是用户登录到对应的子系统中后,安全服务会 通过历史数据库得到用户的权限列表,同时向 安全服务客户端代理发送,从而使权限得以激 活,权限有效期时钟也随之启动。对于本地用 户操作的鉴权,第一步是在本地进行鉴权,若 本地权限有效,只需本地鉴权即可;若本地权 限无效,客户端代理将再次发送在本地保存权 限的请求给安全服务,权限激活的同时将权限 有效期时钟启动,接着在本地鉴权。对于安全 服务代理端的用户而言,权限是有时间限制的, 一旦过了这个期限,权限就无效了;若鉴权不 在有效期限内,则要在安全服务对本地权限列 表进行更新,随后权限恢复有效,期限与之前 一样。用户权限的改变如果是发生在服务端, 用户会被安全服务强制注销,以对代理端用户 的权限进行更新。 参考文献 [1] 刘向军,赵莲清. 电力综合自动化系统中 实时数据共享的研究和实现[J]. 煤炭工 程,2006. [2] 彭云建,邓飞其. 电力综合信息管理系统 面向对象数据库的建模[J]. 电力系统及 其自动化学报,2007. 作者单位 南京工程学院 江苏省南京市 211167 |
| 在线咨询: |
|
| 联系电话: | 18602588568 |
| 投稿邮箱: | bosslunwen@126.com |
| ★诚信★专业★权威★快速★ | |
